대부분 윈도우즈도움말취약점(help.txt) 이용한 코드 삽입

‘fucksnow.exe’라는 게임계정 탈취 목적 파일 실행

몇 달전부터 해커 침투해 별 짓 다해도 모르는 관리자 태반

“국내 중소사이트 혹은 잘 알려지지 않은 사이트들 중 관리가 잘 안되거나 보안상태가 허술한 사이트를 중국 해커들이 노리고 있다. 대형 사이트에서 발견된 악성코드 소스를 분석해보면 그러한 중소규모의 허술한 사이트와 링크가 돼 있고 그 사이트에 삽입된 악성코드가 자동으로 다운로드 되도록 구성되있는 것이 일반적인 중국발 해킹의 유형이다.”

이안시큐리티 정문수 대표는 중국발 해킹의 일반적인 유형을 설명하면서 “국내 중 소사이트들의 취약성이 심각한 수준이며 중국 해커들이 이들 사이트들을 이용해 악성코드를 유포하는 등 지속적으로 공격을 시도하고 있다”고 밝혔다. 

‘중국발 해킹’이라는 용어의 애매함에 대해 KISA 관계자는 “중국발이라는 용어를 사용하면 마치 모든 해외 해킹 공격이 중국에서만 이루어지는 것처럼 비쳐질 수도 있어 외교문제까지 비화될 수도 있다”며 “용어 선택에서 신중함을 보여달라”는 입장을 표명한바 있다.

하지만 해킹관제서비스를 하는 정보보호기업 관계자들은 대부분 공격 소스를 분석해보면 중국 IP들이 대부분이라고 설명한다. 즉 국내 특정 게임(리니지)을 노리고 사용자의 게임계정을 탈취하려는 해킹이 대부분을 이루고 있다는 것이다.

대부분 중국발 해킹, ‘fucksnow.exe’ 파일이용 게임계정 탈취 목적

이안시큐리티 정 대표는 “해킹 사고가 난 업체에서 연락이 와 복구를 위해 나가보면 해커들이 사이트 프로그래밍 코드 속에 관리자가 감지할 수 없을 정도로 한 줄 정도 코드를 삽입해 놓은 것을 쉽게 볼 수 있다”며 “그 코드들을 분석해보면 다른 국내 중소 사이트와 링크가 돼 있고 그 사이트를 찾아서 들어가 다시 코드를 분석해보면 ‘help.txt’라는 ‘윈도우즈 도움말 취약점’을 이용한 공격임을 알 수 있다”고 설명했다.

정 대표는 “대부분 중국발 해킹 유형이 이러한 유형이다. help.txt를 이용해 악성코드를 유포하고 있으며 보안패치를 하지 않는 이용자들은 자신도 모르게 악성코드에 감염되는 것”이라고 말했다.

특히 이들 중국발 해킹이 게임계정 탈취를 목적으로 하고 있다는 사실을 알 수 있는 것은 악성코드의 형태가 대부분 ‘fucksnow.exe’가 포함됐기 때문이다. 

즉 큰 사이트가 해킹이 되면 해커는 그 속에 윈도우즈도움말취약점(help.txt)을 이용한 코드를 삽입한다. 그러면 그 사이트를 방문한 이용자중 보안패치를 하지 않은 이용자 PC에는 해당 취약점이 바로 실행이 되면서 ‘fucksnow.exe’라는 파일을 불러들이는 것이다.

‘fucksnow.exe’는 바로 게임계정을 탈취하는 실행파일로 알려져 있으며 특히 이 파일은 리니지 게임 계정을 목적으로 하고 있고 이 코드에 감염된 PC이용자가 리니지에 접속하면 접속과 동시에 그 이용자의 키보드가 해킹이 된다.

키보드 해킹으로는 이용자의 아이디와 비밀번호를 탈취할 수 있다. 중국 해커들을 이러한 경로를 통해 리니지 게임 이용자의 계정을 불법으로 탈취해 그 속에 들어있던 게임아이템을 빼내는 등 갖은 만행(?)을 저지르고 있는 것이다.

해킹 감지 늦으면 해커가 무슨 짖했는지 분석도 어려워...

정 대표는 “해킹을 당했다는 업체를 가보면 벌써 오래전에 해킹을 당한 상태가 많으며 해커가 얼마나 많은 나쁜짓(?)을 해 놓고 갔는지 알 수도 없을 지경”이라며 “관리자가 그 전 로그를 지웠다든지 하는 경우에는 해커가 어떤 경로를 통해 언제 들어와서 무슨짓을 했는지를 분석할 수 없기 때문에 재발 방지도 어렵다”고 설명했다.

한편 중국 해커들은 ‘프락치’를 이용해 해킹을 시도한다. 그 이유는 프락치를 이용하면 IP노출을 막을 수 있고 그로인해 자신을 방어하는 것이다.

인터넷 상에는 프락치를 거쳐서 갈 수 있는 경로들이 존재한다. 프락치 리스트는 해커들이라면 누구나 가지고 있는 정보들이며 프락치 리스트도 인터넷상에 떠돌고 있다고 전문가들은 말한다.

‘8080’이나 ‘3128’등 주로 프락치들이 사용하는 포트들이 있으며 악성 해커들은 광대역 스캔을 통해 이들 포트들을 스캔해서 그 중에 게임과 관련된 프락치가 있으면 이를 이용해 해킹을 시도한다.  

“업로드 공격은 웹 방화벽도 감지 못해...”

정 대표는 “일반적으로 악성해커들은 SQL 인젝션 공격이나 업로드 공격 등 모든 다양한 방법을 동원해 공격을 시도한다. 특히 업로드 공격은 정상적인 경로를 통해 들어오는 것이기 때문에 웹방화벽도 감지하지 못한다. 따라서 모든 공격시도를 막는 것은 불가능하다”고 말했다.

즉 공격침투 이후, 최단시간에 해킹 사실을 알아내고 해당 악성코드를 삭제하고 복구하는 것이 필요하다. 전문가들 또한 최대한 빨리 대응하는 것이 중요하며 한 두달 후에 해킹 사실을 알게 되면 해커가 해놓은 짓이 너무 많아 복구가 불가능하게 된다는 의견이었다.

지금도 중국 해커들은 국내 게임 계정 탈취를 위해 중소사이트를 해킹하고 대형사이트에 악성코드를 심어 ‘fucksnow.exe’를 게임이용자들의 PC에서 실행시키고 있다. 다시한번 보안패치의 중요성과 보안담당자들의 관리 그리고 개발자들의 철저한 보안의식이 필요한 시점이다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>