믿을 수 있는 백신 사용, 최신 보안패치, 구글 크롬 등 병행 활용해야

[보안뉴스=문일준 빛스캔 대표] 미국에서 살아본 적이 있거나 해외 쇼핑에 익숙한 사람들은 최근 며칠동안 가장 큰 할인행사가 진행되는 미국의 ‘블랙프라이데이’ 기간에 쇼핑하느라 바쁘다는 것을 익히 알고 있을 것이다.

또한, 온라인에서도 ‘블랙프라이데이’ 그리고 그 이후 며칠간을 연장하여 ‘사이버먼데이’라는 추가적인 할인행사가 대대적으로 진행된다. 그러나 문제는 사이버범죄자들은 이러한 좋은 기회를 이용해 또 다른 금전적 이득을 취하려 한다는 것이다.

아쉽게도 국내에서는 ‘블랙프라이데이’ 같은 통 큰 할인 행사가 없지만, 인터넷 강국답게 온라인으로 은행, 증권 등의 업무뿐만 아니라 온라인쇼핑을 통해서도 수많은 거래가 이루어지고 있다. 그럼 우리나라 네티즌들은 인터넷에서 안전하게 제품을 구매할 수 있을까?

지난 10월 4주차부터 11월 1주차까지 꾸준히 해커들에게 악용된 한 쇼핑몰이 지난주에도 마찬가지로 악성코드를 유포한 정황이 포착됐다. 더욱이 이 사이트에 삽입된 URL은 다른 정상적인 언론사, 쇼핑몰, 오디션관련 사이트를 통해 한번 더 경유된 것으로 나타났다.

공격자는 탐지장비 및 백신을 우회하기 위해 정상적인 사이트를 유포지로 활용했으며, 아래 그림과 같이 악성링크 및 악성코드를 유포시키기 위해서 정상적인 사이트 내에 악성링크 및 악성코드를 삽입시켰다. 

특히, 빛스캔의 PCDS(사전범죄탐지체계 : Pre-Crime Detect System)에 의해 탐지된 악성파일을 분석할 결과 최종 다운받는 링크와 C&C 서버와 연결되는 링크도 매시간 변화되고 있다. 즉, 사용자 PC는 좀비화되어 있고, 사용자의 키로딩 등의 기록이 공격자가 놓아둔 C&C 서버로 전송된다는 점이다.

더욱이 수많은 백신의 바이러스 진단 여부를 확인할 수 있는 사이트인 Virus Total의 분석결과에서는 탐지하는 백신이 별로 없다는 것이다. 발생한지 24시간 정도 후에 탐지되는 경우가 많지만, 공격자는 6시간만 지나도 새로운 코드로 변경한다. 따라서 백신이 진단하는 데에는 한계가 있을 수밖에 없다. 일부 백신이 진단하지만 이는 정식진단이 아닌 휴리스틱(heuristic) 진단명이다.

더욱 큰 문제는 앞서 언급한 악성코드 유포를 통해 사용자의 PC에 감염되는 악성파일들이 게임계정 탈취 및 금융정보 탈취의 목적으로 사용되고 있다는 점이다. 국내에서는 인터넷에서 어떤 인증이나 결제를 위해서는 공인인증서를 사용한다.

만약 사용자가 봇 에이전트(좀비 PC) 상태라면 공격자는 사용자가 어느 사이트에 로그인 하는지를 알 수 있고, 심지어는 공인인증서 파일도 빼내갈 수 있다는 점이다.

참고로 봇 에이전트 유형은 디도스 공격을 수행할 수 있는 유형, 키로거 정보유출형, 그리고 화면정보 유출형 등 크게 세 가지로 구분될 수 있다. 이 가운데 키로거 정보유출형 봇 에이전트는 실시간으로 입력되는 키보드의 정보를 유출하는 악성코드로, 악성코드 감염 PC를 사용하는 사용자의 개인정보, 신용카드 및 금융계좌 비밀번호 등 다양한 정보를 유출시킬 수 있다.

그렇다면 인터넷 쇼핑을 즐기는 사용자가 이러한 보안위협에 대응하기 위해서는 어떤 방안이 필요할까?

1. 신뢰할 수 있는 백신(안티바이러스)을 사용한다.

한국인터넷진흥원이 운영하는 보호나라(http://www.boho.or.kr)에서 어느 정도 검증된 백신에 대한 정보를 제공하고 있으며 유료제품뿐만 아니라 무료제품도 소개하고 있으니 여기에 언급된 제품을 사용하는 것이 좋다.

2. 보안패치를 반드시 수행한다.

윈도우는 매달 한번씩 보안패치가 제공된다. 바탕화면 하단에 있는 시스템 트레이에서 방패모양이 나타난다면 귀찮다고 여기지 말고 꼭 패치를 적용해야 한다. 또한, Adobe Flash, Java RLE 등도 정기적으로 점검하여 최신 상태로 유지해야 한다.

3. 구글 크롬 또는 사파리 브라우저를 활용한다.

국내 인터넷 환경에서는 결제를 하기 위해 인터넷 익스플로러(IE)가 필수적이다. 하지만 구글 크롬에서는 IE가 제공하는 보안 기능보다 훨씬 강력한 스톱배드웨어 기능이 있다. 예를 들어 쇼핑몰이 해킹되어 악성코드를 유포하고 있는 경우 구글 크롬으로 접속해 보면 아래와 같이 경고 화면이 나타난다.

결제는 IE로 하더라도, 결제 전에 반드시 구글 크롬 등을 방문해 문제점이 있는 경우 결제를 며칠 미루는 것도 한 방법이다. 그 이유는 주말에 공격을 시도하고 2~3일후 원상태로 되돌리거나 웹사이트 관리자가 이 문제를 해결했을 수 있기 때문이다.

비단 쇼핑몰뿐만 아니라 언론사, 커뮤니티사이트들도 매주 반복해서 이러한 일들이 아무렇지도 않게 일어나고 있는 것이 국내 상황이다. 이렇듯 공격자들이 국내 인터넷 사용자들을 농락하고 있음에도 불구하고 주말이 지난 후 월요일 새벽이 되면 악성링크 및 악성코드가 공격자에 의해 흔적도 없이 삭제되기 때문에 관리자들은 유포 및 변조에 대해 알 수 없고, 그냥 그대로 웹사이트를 유지하는 상황이 반복되고 있는 것이다.

웹사이트 관리자들이 이 문제의 심각성에 대해 공감하고 해결을 위해 노력해야 하지만, 공격자의 교묘한 수법으로 인해 그조차도 쉽지 않은 실정이다. 따라서 인터넷을 사용할 때, 특히 로그인 정보를 입력하거나 공인인증서와 같이 중요한 정보를 사용해야할 때는 보다 각별한 주의를 기울여야 한다.

[글_문 일 준 빛스캔 대표이사((moonslab@bitscan.co.kr)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>