2006년 03월 03일 지오트 바이러스 분석실(GCERT)에서는 국내의 특정 웹사이트가 해킹되어 웹페이지가 변조되고, 해당 사이트를 통해서 트로이목마가 유포 중인 것을 자체 모니터링 시스템(GWHS)에서 발견했다.

기존에 사용하였던 변조방식과는 크게 다른 변조기법을 사용하였는데, 이는 웹사이트 관리자나 백신 등에서 쉽게 검출해 내지 못하게 하기 위한 은폐 코드 기법이라 말할 수 있다.

아래는 html 코드를 자동으로 변환시키는 프로그램이다.

물론 이 방식은 정상적인 html 등에서도 사용되고 있는것인데, 웹 페이지 변조에 악용한 경우라 할 수 있다.

보통 국내 사이트등을 해킹하여 index 나 main 페이지에 특정 스크립트나 html 태그등을 삽입하고, 인터넷 사용자들의 보안취약점등을 이용하여 트로이목마나 백도어등의 악성프로그램이 감염되도록 유도한다.

이때 아이프레임이나 자바스크립트 등을 이용하며, 여러 보안 취약점등이 사용된다.

URL 값을 16진수 대칭 ASCII 로, html 값들을 16진수 Null, JScript, Escape 등의 함수로 Encode 하여 쉽게 확인하지 못하게 한다.

이번에 발견된 것은 기존 방식들보다 한 단계 더 발견하기 어렵게 조작되었는데 중간 중간 페이지에 명령어를 분산 시키고, 그것을 다시 합쳐서 실행되도록 한 것이다.

19개로 명령어를 세분화 시킨 후 각각 String 을 리소스화하였고, String 검사기능 함수를 이용하여 다시 결합시키도록 되어있다.

이는 전체 페이지를 확인하여야만 정확한 코드 확인이 가능한 상태이기 때문에 예전처럼 쉽게 찾아내기가 어려운 방식이다.

공격자(해커)의 웹 사이트 변조방식이 날로 진화하고 있다는것을 알 수 있으며, 이것이 자동화된 도구로 진행된 것이라면, 웹 사이트의 변조를 검출해 내는것이 앞으로 더 복잡해 질 것으로 예상된다.

지오트 바이러스 분석실(GCERT)에서는 계속 발견되는 국내 웹사이트 해킹 상황을 지속적으로 모니터링하여, 공격자의 흐름과 기법을 세밀히 분석하여, 신속하게 대응할 수 있도록 하고 있다.

(글: 지오트 바이러스 분석실(GCERT) 문종현 실장)

[길민권 기자(boannews@infothe.com)]

<저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.>