• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

중국해커들의 자동화 도구 공격 2006.03.02

웹사이트 해킹을 통한 범죄행위


웹사이트를 통한 범죄의 시작


2005년 5월 15일 일본의 Kakaku(가격) 웹사이트가 2005년 5월 11일과 14일 사이에 웹사이트가 해킹피해를 입고 해당 사이트에 접속하는 사용자들중 보안이 취약한 사용자를 감염시키는 트로이목마가 무단으로 유포되었다.


유포된 트로이목마는 한국의 유명 온라인 게임인 리**(일부삭제) 사용자들의 키보드 작업내용(ID, Password)등을 특정 호스트(j4sb 포트80)로 전송하는 기능을 가지고 있었다.


보통 이러한 종류의 트로이목마를 Trojan-PSW.Win32.Name식으로 진단명을 표기하는데, PSW가 바로 Password의 약자이다.


트로이목마 유포에 사용된 취약점은 Outlook Express가 특수하게 만든 MHTML URL을 처리하는 방식 때문에 발생한 것으로, Internet Explorer ITS Protocol Zone Bypass 취약점을 활용하여 chm 파일을 실행하는 것이다.


이 취약점은 MS04-013 보안패치를 통해서 해결할 수 있다.


MHTML(MIME Encapsulation of Aggregate HTML )은 전자 메일 메시지 본문의 HTML 콘텐츠를 보내는데 사용되는 MIME (Multipurpose Internet Mail Extensions) 구조를 정의하는 인터넷 표준이다.


chm 파일은 컴파일된 HTML Help 파일로 윈도우상에서 도움말로 많이 사용되는데, 압축알고리즘을 사용하고 있어 내부에 html 이나 exe 등의 파일을 포함시킬 수 있다.


일본 사이트를 통해서 유포된 chm 파일내부에는 #.exe가 포함되어 있었고, 보안취약점을 통해서 자동실행되면 시스템폴더에 explorer.exe와 htdll.dll 파일이 생성되고, 홈(C) 드라이브 루트에 GaMeJTT1.txt 파일등을 생성하였다.


htdll.dll은 리**(일부삭제) 게임에 전송한 키보드 입력내용 및 마우스 사용내역을 기록하고, 메모리에 있는 일부내용도 기록한다.


국내 웹사이트의 피해


일본의 사이트가 해킹되어 한국의 온라인 게임 사용자의 개인 정보유출시도를 대상으로 하는 트로이목마가 유포된 후 국내에서도 같은 시기에 많은 사이트가 해킹되어 트로이목마가 유포되는 것이 발견된다.


2005년 6월 2일 한국의 MSN 뉴스 사이트가 해킹되어 해당 사이트를 통해서 리**(일부삭제)사용자의 정보를 유출시도하는 새로운 트로이목마가 유포중에 있다는 것이 외신등(AP통신, CNet)을 통해서 알려졌으며, 이는 미국의 보안업체인 Websense가 미국 현지시간 2005년 5월 29일 전 세계 웹사이트를 상대로 정례 보안점검을 실시하던 중 해당 사이트에 트로이목마가 설치돼 있는 것을 발견하여 보고한 것이다.


하지만 Websense는 미국의 메모리얼 데이 연휴관계로 그로부터 이틀 뒤인 31일에야 마이크로 소프트(MS)사의 관계자들과 연락이 되어 피해내용을 전달한 것으로 알려져 사흘 동안 무방비로 방치하게 하였다는 도의적인 책임이 있다는 항의가 있기도 하였다.


당시 한국의 웹사이트가 해킹되고, 해당 사이트를 통해서 악성프로그램이 유포되는 사례가 거의 없었기 때문에 한국 MSN 관계자는 웹센스의 보고에 대해서 "현재로서는 확인된 것이 없다."며 악성프로그램의 정확한 기능 등을 조사해 발표할 것이라고 말한 바 있고, 추후 변조된 웹사이트가 복구되고 경찰이 수사에 착수된 바 있다.


그 후에 국내의 유명 자료실 사이트, 방송국 사이트, 게임관련 사이트 등이 연속적으로 해킹된 것이 발견되면서 해킹을 통한 트로이목마 유포가 활개를 치기 시작한다.


초기에 대부분의 웹사이트 해킹피해 관리자들은 해킹피해 사실이 알려지면 웹사이트에서 자료가 유출되었거나 웹사이트 이용자의 피해는 접수되지 않았다는 내용을 발표하기도 하였다.


이는 이 해킹의 목적이 무엇이며, 어떤 방식으로 이루어지는지 몰랐기 때문이며, 문제의 본질을 흐리게 하는 부분중에 하나였다.


보이지 않는 정보 유출과 문제의 심각성


지오트 바이러스 분석실(GCERT)에서는 해킹된 웹사이트를 매개체로 유포된 트로이목마와 스크립트등을 분석하는 과정에서 여러가지 공통된 패턴을 발견하였고, 유출시도되는 정보가 한국의 유명 온라인게임들의 사용자 정보이고, 이 정보들은 중국의 특정 호스트나 이메일로 몰래 전송되고 있다는 것을 확인하였다.


트로이목마 코드의 분석을 통한 이 결과자료는 특정 게임사용자로 제한되면서 사회적인 이슈보다는 대부분이 막연하게 생각되어졌고, 객관적인 증명이 이루어지지 않았던 상황에서 유출시도의 가능성과 추측으로 인해 개인정보 유출시도의 심각성보다는 유명 웹사이트의 해킹에만 포커스가 맞추어졌고 또는 특정 온라인 게임업체에만 책임을 추궁하는 모습들을 볼 수 있었다.


유포되는 웹사이트에 접속하는 사용자들의 감염과정과 감염피해로 인한 부분은 그다지 큰 문제로 다루어지지 않았던 것이 현실이었고, 그 후 지오트 바이러스 분석실(GCERT)에서 특정 방송국 사이트에서 해킹되어 유포된 트로이목마의 제작자가 숨겨놓은 이메일과 암호를 분석중에 발견하여, 국내의 게임 사용자 정보가 실제로 중국 호스트로 다량 유출되고 있다는 것을 확인하면서 크게 알려진 바 있다.


국내의 유명 웹사이트들을 통해서 유포된 트로이목마는 불특정다수가 감염될 수 있고, 자기 자신이 감염된 시점과 감염내용 조차 쉽게 확인하지 못하는 부분때문에, 정확한 감염집계를 발표한다는 것 자체도 불가능하고, 이로 인하여 유수의 한국 웹사이트들은 계속해서 피해를 받고 있으며, 이로 인한 최종 피해는 한국의 게임사용자와 일반 네티즌들이 받고 있는 것이다.


감염되는 과정이 쉽게 눈에 보이지 않고, 유출되는 나의 정보도 눈에 보이지 않기 때문에 가해자와 피해자가 존재하지만 실제로는 피해자만 양산하는 악순환을 반복하고 있는것이다.


지오트 바이러스 분석실(GCERT)은 자체적으로 수집한 자료와 통계를 바탕으로 국내의 많은 사용자들이 자신도 모른 채 개인정보가 유출되고 있다고 판단하며, 이는 단순한 해킹사고 조치방식으로 접근하는 것이 아닌 근본적인 대안책과 적극적으로 사회적인 관심사로 불러일으켜야 한다고 생각된다.


자동화 공격과 수동적인 대응


국내의 많은 사이트가 해킹되고 취약점을 통하여 다양한 트로이목마가 무차별적으로 유포되고 있는 현실은 눈으로 보지 않는 이상 믿기 어려울 정도로 다양하고 많다.


지오트 바이러스 분석실(GCERT)은 2006년 2월 28일 현재 약 4900건 이상의 해킹 피해사이트를 발견하고 있다.


특히 유포되는 시점에는 유명 백신제품들이 진단하지 못하는 경우가 다반사이고, 백도어(Backdoor)의 경우는 공격자가 감염자의 컴퓨터를 훤히 볼 수 있을 정도로 위협적이지만 정작 피해자는 그 현실을 알지 못하고 있는 것이다.


공격지는 대부분이 중국으로 지목되는데 그 이유는 트로이목마나 백도어등이 중국쪽 호스트나 이메일로 특정 정보등을 발신하기 때문이며, 제작된 트로이목마 등도 중국어 버전으로 제작된 것들이 포함되어 있기 때문이다.


또한 해킹당한 웹사이트의 접속로그를 분석해 보면 중국쪽 아이피를 쉽게 확인할 수 있으며, 중국어로 추정되는 용어등도 다수 포함되어 있다.


아래는 중국에서 사용되는 악성프로그램을 자동으로 제작해 주는 프로그램 도구들인데, 이 처럼 자동화된 공격도구로 국내외 웹사이트 해킹에 사용되고 있다.


<chm 파일 자동화 제작 프로그램>


<iframe 파일 자동화 제작 프로그램>


<DHTML Exploit 파일 자동화 제작 프로그램>


<웹사이트 SQL Injection 자동화 공격 프로그램>


이외에도 많은 종류의 자동화 공격 프로그램과 악성프로그램 제작툴이 중국에서는 공개배포 또는 판매가 되고 있으며, 동영상으로 설명서를 포함해 해킹되는 과정을 시연해 보이기도 한다.


아래는 자동화 악성프로그램 제작도구를 판매하거나 배포하고 있는 사이트의 일부화면인데 다양한 프로그램을 캡처화면까지 올려놓았다.


목적을 가진 공격


공격당한 특정 웹사이트를 통해서 불특정 다수의 접속자에게 보안취약점을 악용하여 트로이목마나 백도어, 스파이웨어등을 유포하는 사례가 우리가 느끼지 못하는 약 반년사이에 이제는 일반화 되고 있다고 말할 수 있다.


그 동안 어떤 악성프로그램(바이러스, 웜, 트로이목마 등)을 유포할 때 불특정 다수에게 유포하기 위한 가장 좋은 방법은 웜종류였다.


웜(Worm)은 인터넷과 네트워크를 매개체로 스스로 자신을 확산시키기 때문에, 컴퓨터 바이러스나 트로이목마보다도 상대적으로 빠르게 전 세계로 확산시킬 수 있었기 때문이다.


물론 최근의 웹사이트 해킹을 통한 악성프로그램 유포는 국내에만 한정되어 나타나는 것은 아니고 일본, 중국, 독일, 캐나다, 미국등지에서 발견된 바 있지만 특히 중국과 한국의 웹사이트가 많은 공격피해를 받고 있다.


이는 국내의 온라인 게임사용자들의 개인 정보(IP, ID, PASSWORD, ITEM, GAME MONEY)등을 탈취하여 금전적인 이득을 얻거나, 백도어등의 해킹프로그램을 설치하여 원격제어를 통한 추가범죄를 노리고 있기 때문이다.


최근까지 가장 많이 유포되는 악성프로그램의 경우가 국내 온라인 게임 사용자들의 개인정보를 도용하는 트로이목마로 부분적으로 제한되다 보니 게임과 무관한 일반 네티즌들은 이런 종류의 악성프로그램에 대해서 무감각해 질 수 밖에 없고, 해킹을 당한 웹사이트 관리자나 담당자 역시 자신들도 피해자일뿐, 또 다른 가해자라는 것을 느끼지 못한다.


한 예로 지오트 바이러스 분석실(GCERT)에서 해킹된 웹사이트 담당자에게 후속조치에 대한 전화통화를 하다 보면 해킹된것을 알려주어도 그냥 알았다라고만 일관할 뿐 조치하지 않는 경우와 오히려 너희들이 왜 상관하느냐라고 따지는 경우도 있으니 말이다.


해킹과 악성프로그램의 함수관계에 대해서 좀더 명확히 인지하고 자신의 웹사이트가 악성프로그램 숙주사이트로 변질되지 않도록 좀더 적극적인 웹보안에 대한 인식과 노력이 필요할 때이다.


적절한 준비와 대책


지오트 바이러스 분석실(GCERT)에서 GWHS(Geot Web Hacking Scan)를 통해서 하루 평균 10 에서 30여건이상의 해킹피해 사이트를 발견하고 있다.


자신의 눈으로 직접 보지 않고서는 믿지 못할 정도로 국내의 많은 사이트들이 보안취약점과 ActiveX 컨트롤 등을 통해서 악성프로그램을 일반 네티즌들에게 유포하고 있다는 것이다.


보통 국내의 백신업체는 신고접수율등을 기준으로 단계별로 보안위협등급을 나누어 컴퓨터 사용자들에게 보안알림 서비스를 진행하고 있다.


하지만 이런 종류의 악성프로그램 유포는 사용자가 인지하기 어렵다는 것이 가장 큰 어려움이며, 그래서 어느정도의 악성프로그램이 유포되는지 파악하기 힘든 상황이며, 어디서 감염되는지 조차 알 수 없는것이 대부분이다.


사용자의 신고율에 의해서 대비하는것도 중요하지만 현재 어떠한 사이트들이 해킹되어 악성프로그램이 유포되는지, 그리고 신속하게 감지하여 해당 사이트 관리자에게 후속조치를 권고하는 것은 더더욱 중요한 보안관계자의 업무일 것이다.


좀더 많은 사용자가 웹사이트의 해킹과 트로이목마의 위험성에 노출되어 있다는 것을 인식해야 함은 물론 최신 보안패치와 최신 정보, 최신 보안프로그램 등을 잘 관리하는 것이 최선의 방어책일 것이다.


해킹 사이트를 통해서 유포되는 트로이목마나 백도어는 게임사용자만의 문제가 아닌 범국가적인 보안의식 문제와 결부된다는 것도 다시 한번 되새겨보았으면 한다.


2006년 2월 28일 정보통신부는 차관주재로 온라인 게임 명의도용 및 중국발 해킹 관련 대책회의를 열고 방지대책을 마련하였다.


앞으로 정부의 적극적인 보안대책과 지속적인 관심이 필요할 때일 것이다.


<참고자료>


웹 해킹을 통한 개인정보 유출시도

http://www.geot.com/customer/customer_notice_view.php?db=notice&no=366&page=


해킹을 통한 트로이목마 유포통계

http://www.geot.co.kr/customer/customer_notice_view.php?db=notice&no=342&page=3


사이트 해킹을 통한 트로이목마 유포목적

http://www.geot.co.kr/customer/customer_notice_view.php?db=notice&no=283&page=2


Active X 트로이목마 차단 프로그램

http://www.geot.co.kr/customer/customer_notice_view.php?db=notice&no=326&page=


지오트 웹 해킹 스캔(GWHS) 동영상

http://www.geot.co.kr/customer/customer_notice_view.php?db=notice&no=337&page=1

<글. 지오트 바이러스 분석실(GCERT) 문종현 실장>

[길민권 기자(boannews@infothe.com)]


<저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.>