보안 취약한 지자체, 사이버 사고 가장 많아

지난달에는 해외로부터 슬래머(slammer) 웜 트래픽 유입이 증가하고 신ㆍ변종 웜 바이러스, 홈페이지 해킹 등에 대한 20여 종의 신규 탐지기법의 추가로 인해 전반적인 유해 트래픽이 2월에 비해 63% 이상 증가한 것으로 나타났다. 또 지자체의 보안 취약성이 여전해 보안강화에 신경을 써야한다는 지적이다.

국가사이버안전센터(NCSC) 관계자는 “3월 공공기관 일일 평균 공격탐지 건수는 87만건이 넘는다. 이는 2월에 비해 36%나 증가한 수치”라며 그 이유에 대해 “snmp show Interface 이벤트 증가와 국외로부터 슬래머 웜 확산시도가 크게 증가했기 때문”이라고 분석했다.

한편 2월말 국내에 유입된 IRC봇 변종 웜ㆍ바이러스가 3월 들어 일부 지방자치단체와 국내 대학교를 중심으로 확산되는 것을 탐지해 긴급 대응했다고 밝혔다.

또 3월에는 악성코드 감염사고 건수가 크게 줄어들었다는 것이 큰 특징이다. NCSC 자료에 따르면, 3월은 정보유출 목적으로 제작된 리니지핵 등의 악성코드 감염사고가 감소하면서 1월 이후 지속적으로 사고건수가 감소하는 추세하는 것으로 나타났다.

특히 악성코드 감염사고 건수가 줄어든 것은 국가기관, 지자체 및 교육기관의 백신설치 및 업데이트에 대한 관리 수준이 향상되고 있으며, 공공기관의 보안관제 대상확대와 관제 탐지기술이 지속적으로 개발돼 신속한 악성코드 탐지와 대응이 이루어지고 있기 때문이라고 한다.

하지만 지자체의 보안은 여전히 취약한 것으로 나타났다. 사고유형별로 보면 악성코드 감염, 경유지악용, 자료훼손 및 유출, 홈페이지 변조 순으로 나타났고, 사고기관별로 보면 지자체, 교육기관, 산하기관, 국가기관, 연구기관 순으로 나타났다.

지자체에 대한 공격이 다소 줄어들기는 했지만 여전히 공격이 집중되고 있고 그에 따른 피해도 다른 기관에 비해 상대적으로 큰 것으로 밝혀졌다. 특히 3월에는 바이러스 제작자들이 백신프로그램의 바이러스 탐지 회피를 위해 만든 변종 봇 계열 바이러스가 지자체 여러 기관에 동시에 감염되면서 해당 전산망에 과부하를 일으키는 사고도 있었다.

또 NCSC 관계자는 “최근 해킹경유지 사고 중 금융 및 전자상거래 사이트를 모방한 피싱 사이트와 파밍 사이트가 성행하고 있다”며 “인터넷 사용자들은 신뢰할 수 있는 사이트만 방문해야 하고 각급 기관 정보보안 담당자는 내부직원에 대한 적합한 보안교육과 올바른 인터넷 접속정책을 마련할 필요가 있다”고 당부했다.

경유지 사고의 특색으로는 IFRAME을 삽입하는 방식에서 해킹코드를 특수문자 등으로 변환하거나 실시간 코드 병합방식으로 악성코드를 은닉하는 기법을 적용하고 있는 것으로 나타났다.

NCSC는 지난 3월 해킹프로그램 유포지로 악용된 모 기관 홈페이지에 대해 조사를 실시했다. 분석결과, 해당시스템에 IFRAME을 삽입해 홈페이지를 방문하는 일반 인터넷 사용자들에게 악성코드를 유포하도록 홈페이지를 변조한 것으로 나타났다.

공격자는 SQL 인젝션 취약점을 이용해 해당 웹서버의 관리자 권한을 획득한 후, 해당 웹서버의 홈페이지에 악성 아이프레임을 삽입한 것이다. 

센터 관계자는 “IFRAME을 이용한 해킹경유지 악용사고는 SQL 인젝션 기법뿐만 아니라 파일 업로드, WEBDAV 등 다양한 취약점에 의해 발생할 수 있다”며 “홈페이지 관리자들은 주기적인 패치 및 백신관리와 홈페이지 시스템 취약점 점검을 해야 한다”고 당부했다.

또한 “홈페이지 구축 및 운영과정에서 보안관리를 부실하게 하는 것이 주요 원인이기 때문에 개발자 및 관리자의 각별한 주의가 요구된다”고 덧붙였다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>