중요 정보 다 빼먹고 마지막으로 악성코드 삽입

국내 대규모 해킹 발생...대부분 게임정보 탈취용

악성코드 제거하면 다 된 줄 알아...심각성 인식 못해

사이트 소스코드 내부에 악성코드를 삽입한다는 것은 심각한 문제다. 하지만 이에 대한 인식 부족으로 언론이나 피해업체에서는 단순보도와 단순대응으로 일관하고 있다는 지적이 나오고 있다.

NHN 보안담당 전상훈 팀장은 “공격자가 사이트에 교묘하게 악성코드를 심어놓는 것은 보통 문제가 아니다. 공격자가 그 사이트의 모든 권한을 가지고 있다고 봐야 한다”며, “그럼에도 불구하고 피해기업에서는 단순히 삽입된 악성코드 몇 개만 지우는 것으로 대응하고 있어 지속적인 해킹의 빌미를 제공하고 있다”고 경고했다.

올해 10월 이전까지 공격 성향은 공격자들이 국내 방문자가 많은 사이트를 해킹해 악성코드를 심어놓고 이 사이트를 방문하는 사람들이 악성코드에 감염되도록 만드는 형식이었다. 악성코드에 감염된 이용자들이 특정 온라인 게임이나 금융사이트에  접속과 동시에 ID와 패스워드를 가로채 이를 악용하는 것이다.

이에 대비해 NHN 한게임은 중국 IP를 차단하고 있으나, 중국 해커들은 이를 피해가기 위해 국내 IP를 해킹해 우회해서 들어오고 있다고 한다. 이렇게 되면 차단이 힘들 실정이다.

전상훈 팀장은 “국내 사이트의 대규모 해킹이 발생하면 바로 그 다음날 한게임 전용패치를 분석해보면 게임전용 악성코드가 엄청나게 증가한 것으로 나타났다. 즉 사이트 해킹의 목적이 특정 게임사용자를 겨냥한 타깃 공격인 것을 알 수 있다”고 말했다.

한편, 그는 “더욱 중요한 사실은 이들이 국내 대형 사이트를 해킹해 악성코드를 심어놓는다는 것은 더 이상 그 사이트에서 뽑아낼 수 있는 정보가 없다는 것이다. 그 사이트에서 자신이 필요한 정보를 모두 뽑아 낸 후, 마지막으로 이용하는 것이 악성코드 유포지로 활용하는 것”이라고 말해 충격을 주고 있다.

10월 이후의 공격 유형은 또 달라진다. 공격자들이 하나의 PC에 게임관련 바이러스인 ‘바이킹 바이러스’를 유포하면, 그 바이러스는 피해 PC의 특정 폴더 전부를 감염시킨다고 한다. 폴더 구석구석에 숨어있는 바이러스는 일반인들이 찾아낸다는 것은 불가능하다. 백신도 이를 제거하는데 한계가 있다고 한다.

이에, NHN은 게임관련 바이러스 전용 백신을 사용해 사용자의 동의를 얻어, 사용자 PC 전체를 스캔해 감염된 바이러스를 제거하는 서비스를 실시 중에 있다.

하지만 공격자들이 여기에 포기할 자들이 아니다. 전 팀장은 “공격자들은 악성코드를 GIF나 JPG와 같은 정상 파일로 교묘하게 수정해 찾을 수 없는 곳에 숨겨놓고 게임 접속시 이 가짜 파일들이 EXE 파일로 변환돼 악성코드가 실행되는 기술을 사용하고 있다”고 덧붙였다.

지난 11월, 유명 취업 사이트와 포털 사이트가 해킹당한 바 있다. 이때도 공격자는 해당 사이트의 소스코드 내부에 교묘하게 악성코드를 숨겨놓았다. 이로 인해 이 사이트들에 접속한 이용자들은 대부분 감염이 되고 이들이 게임을 이용시, ID와 패스워드 유출이 발생한 적이 있다.

NHN 보안팀은 그 사실을 발견하고 KISA(한국정보보호진흥원)에 통보했다고 한다. 하지만 이들 업체들도 단순히 삽입된 악성코드만 제거하는 차원에서 마무리하는 등 근본적인 대책은 세우지 못하고 있어 재해킹 우려가 심각한 상황이다.

전상훈 팀장은 “올해도 대규모 사이트를 겨냥한 엄청난 해킹 사건들이 발생했다. 이들이 더욱 독성이 강한 취약점을 이용해 공격을 한다면 그 피해는 엄청 날 것이다. 또 공격자들은 이들 사이트의 소스코드를 완전히 장악하고 있으며, 그 속에서 중요 데이터를 모두 빼가고 있으며 이용가치가 없을 때 마지막으로 악성코드를 심어 유포지로 활용하고 있다”고 말했다.

내년에는 이들이 획득한 정보를 활용한 도용사건들이 더욱 활개를 칠 것으로 전문가들은 내다보고 있다.

소스코드를 수정하는 일은 심각한 사안이다. 공격자는 소스코드에서 읽기권한과 쓰기권한 모두를 가지고 획득하고 이를 변조하고 심각한 타격을 입힐 수 있음에도 불구하고 악성코드를 심어놓는 이유는 게임사용자들을 이용해 돈을 벌기 위함이다. 사이트 변조와 더욱 심각한 공격들이 자신들이 돈을 버는 것과 상관없기 때문에 그렇게 하지 않을 뿐, 악의적인 마음만 먹으면 충분히 가능하다는 것이다.

전 팀장은 “이를 인식하지 못하고 대부분 악성코드 제거만 하고 백신만 돌리고 있다. 어떻게 공격자들이 소스코드 수정 권한을 획득했는지에 대한 근본적인 연구가 필요하다. 그것을 알아야 대응이 가능해진다”고 강조했다.   

우선 SQL 인젝션 공격에 대한 대비를 해야 하고, 웹 관련 로그파일을 분석해서 공격유형을 파악해 대처해야 한다고 전문가들은 말하고 있다. 또, 악성코드가 깔릴 정도면 백도어 설치도 가능하기 때문에 기존 계정, 접근권한 등에 대한 전체적인 조정이 있어야 한다.

백도어 설치는 관리자가 악성코드를 인지하고 삭제했을 때, 다시 들어올 수 있는 루트를 확보하는 차원에서 공격자가 심어놓는 것이다. 그래서 근본적인 해결이 되지 않으면 한번 해킹 당한 사이트는 반드시 재해킹이 이루어진다.

NHN 관계자는 “강력한 소스코드를 만들기 위해서 개발자들의 보안의식이 절대적이다. 그래서 1년 전부터 개발과정에서 보안성 검사를 철저히 실시하고 문제가 있을 경우 다시 몇 번을 수정해 완전해진 상태에서 오픈하는 프로세스를 시행하고 있다”고 밝혔다. 

전 팀장도 “개발자들의 인식을 변화시키는데 1년 정도 걸렸다. 처음에는 이들이 만들 놓은 소스코드가 얼마나 취약한 것인가를 직접 모의해킹을 통해 보여줬다. 지속적인 충격요법을 통해 이제는 NHN 개발자들은 보안에 상당히 신경을 쓰며, 소스코드를 개발하고 있다”고 덧붙였다. 이 보안 프로세스는 NHN 모든 부서와 글로벌 해외 지사에도 똑같이 적용하고 있다고 한다.

또한, 그는 “앞으로 공격 유형은 범위는 좁아지면서도 더욱 정교하게 공격의 깊이가 더해질 것이다. 이를 방어하기 위해서는 백신만으로는 한계가 있다. 정교한 보안 프로세스를 확립하고 IT 보안에 실무적으로 대응할 수 있는 인력을 확충하고 키우는 작업이 반드시 필요하다”고 강조했다.  

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>