인터넷의 탄생과 배경을 살펴보면, 인터넷은 태동기부터 연구자 또는 연구기관 사이의 일종의 폐쇄그룹 간을 위한 정보통신망으로 출발했다. 즉, 전화망은 보급과 동시에 불특정 다수를 대상으로 보다 쉽고 편리하게 통신을 하기 위한 기술적 접근을 했으나, 인터넷은 상호 신뢰할 수 있는 통신 상대방을 가정하여 통신규약을 결정했다.

또한, 인터넷은 일부 교환 노드에 장애가 발생해도 데이터가 목적지까지 효율적으로 전달하는 방식인 일종의 패킷 통신망 형태로 망을 설계한 것이다. 이같은 인터넷 망이 전문가들이 이용하는 폐쇄망에서 자연스럽게 만인을 위한 개방형 망으로 발전하게 되고, 웹이 활성화됨에 따라서 수많은 사용자의 PC가 접속이 되고, 20세기 말에 있었던 Dot Com Business의 활성화를 거치면서 인터넷은 일상생활의 요소가 된 것이다.

여기서 보안에 관한 문제가 필연적으로 대두된다. 즉, 상호신뢰성을 기반으로 사용되는 것을 가정한 인터넷 통신망이 PC를 가진 모든 사용자가 같이 이용하는 망으로 발전함에 따라서 악의를 가진 해커 입장에서는 속된 말로, ‘먹잇감이 인터넷 망에 널려있는 형태’가 된 것이다. 그것도 요즘은 금전적인 목적과 국가 및 첨단 산업기술을 손쉽게 탈취하는 방식으로 말이다.

흔히 이야기하는 인터넷의 역기능은 여러 가지가 있으나, 여기서는 몇 가지 침해사고와 이에 관련된 보안조치에 대한 내용을 언급하고자 한다.

인터넷은 지뢰밭?

우리가 사용중인 인터넷은 웹 검색, P2P를 이용한 자료 공유 그리고 이메일 전송 등에 관련된 좋은(?) 의미의 통화량도 있으나, 인터넷에 접속된 PC나 서버 그리고 인터넷을 이루는 주요 통신시스템 중에 보안에 취약한 개소가 있는지 여부를 지속적으로 탐색하는 트래픽도 상당수 존재한다. 이같은 트래픽은 악의를 가진 자가 의도적으로 먹잇감을 탐지하기 위한 트래픽도 있지만, 이미 해킹을 당하여 자신도 모르게 악성코드에 감염된 후에 또 다른 희생양을 찾기 위해 피해 PC가 가해 PC로 변해 발생시키는 트래픽도 많은 양을 차지한다.

인터넷은 말 그대로 Inter-Network를 의미하므로 Network의 Network이다. 즉, WAN, LAN은 물론이고 현재 거론되는 Home-Network 또는 USN(Ubiquitous Sensor Network)으로 발전하는 경우에는 네트워크에 연결된 모든 사물을 네트워크화 하는 방향으로 발전될 것이다.

즉, 초기에는 연구과제를 수행하는 연구원 간의 상호신뢰를 바탕으로 태동된 통신망이 이제는 모든 이의 통신망을 지나서 전기가 통하는 모든 기기의 연결을 목적으로 하는 통신망으로 발전을 하고 있는 것이다. 이에 따라서, 인터넷에 연결된 기기(PC, 서버 및 주변기기)를 사용할 때는 항시 “내 PC 및 시스템이 보안에 취약하면 해킹을 당할 수 있다”는 가정을 갖고 사용해야 한다.

KISA(한국정보보호진흥원) 인터넷침해사고대응지원센터에서는 인터넷에 연결된 PC가 암호설정이 되어있지 않고 또한 보안 업데이트도 하지 않은 상태로 모든 포트가 열려있는 인터넷 환경에서 악성코드에 감염되기 전까지의 생존시간을 매월 측정한다. 생존시간은 평균 20분 내외 수준을 기록하지만, 최단 시간은 5초 만에 악성코드에 감염된 경우도 있었다. 즉, PC가 보안에 무방비 상태에서 인터넷에 연결이 되면 웹을 검색하는 동안에 악성코드가 먼저 PC 내에 자리잡고 있는 형국이 되는 것이다.

검색 사이트는 양날의 칼 인가?

우리가 정보의 위치를 찾기 위해 많이 이용하는 검색 사이트는 인터넷 사용자에게 찾고자 하는 정보를 빠르고 효율적으로 제공해준다. 하지만 해커에게는 또 다른 보조도구를 제공해주고 있다. 특정 소프트웨어와 관련된 취약점이 발표되면 해커는 검색 포털의 막강한 기능

을 이용해 취약한 서버에 관한 상세한 정보를 쉽게 찾고 또한 자동화 툴을 이용해 대상 시스템을 해킹하게 된다. 지난 2004년 12월에 국내에서 발생한 대규모 홈페이지 변조사건도 특정 취약점이 발표된 이후에 검색 사이트에서 국내에서 운용중인 취약한 서버를 찾은 후 해킹 툴을 이용해 자동화 공격을 실시했다.

당시 KISA 인터넷침해사고대응지원센터에서는 해커가 사용한 유사한 방식을 이용해 국내에 위치한 서버를 검색 후 일일이 전화 등을 이용해 통보 후에 피해예방을 하기도 했다. 참고로 외국에서 발표한 자료에 의하면, 해킹의 75% 정도가 애플리케이션 단에서 발생한다고 하는데, KISA에서 측정한 국내 IDC에 입주한 서버를 대상으로 실시한 결과도 유사하다.

해킹은 당했지만 조치가 어렵다?

KISA 인터넷침해사고대응지원센터에서는 2005년부터 국내 주요 웹 사이트를 대상으로 ‘악성코드 은닉’ 여부를 탐지하는 업무를 하고 있다. 즉, 인터넷 사용자가 많이 이용하는 홈페이지를 대상으로 원격에서 자동 점검을 해 악성코드 은닉여부를 탐지하는 것이다. 은닉된 악성코드를 탐지 후에는 해당 홈페이지 운영자에게 통보 및 기술지원을 실시한다.

물론, 무료 기술지원이다. 2006년에는 일 평균 약 20개 사이트 정도가 이미 해킹을 당해 피해를 보았으며, 총 6600여 곳의 홈페이지가 피해를 보았다. 이같은 사고는 해킹을 당한 홈페이지도 문제가 되지만, 해당 홈페이지를 방문한 누리꾼에게도 피해를 유발시킨다. 이같은 경우에는 KISA에서 해킹을 당한 웹사이트 운영자에게 연락을 해 보안조치를 당부하게 되는데, 이 과정에서 듣는 반응은 3가지 정도로 구분된다.

KISA가 어떻게 알았냐는 것은 공통되는 사항이며, 대부분은 해당되는 악성코드를 삭제하고 자체 점검을 해 재발 방지에 노력을 기울이고 있다. 하지만 간혹 근원적인 치료인 보안패치 또는 이미 숨겨진 백도어 등에 대한 탐지 및 제거조치를 하지 않아 재발되는 경우도 존재한다. 두번째는 홈페이지를 자체 개발은 했으나 개발자가 퇴사를 했다는 이야기다. 그래서 조치방법을 잘 모른다는 답변이다.

그리고 세번째는 외부 회사에게 웹 서버 개발을 발주했으나, 이미 해당 개발회사가 폐업을 하여 더 이상 연락이 되지 않으니 후속 조치가 어렵다는 경우이다. 즉, 자체적으로 해결할 방법도 없고 웹 서비스를 중지할 수가 없다는 이야기다. 이같은 경우는 해당되는 사이트는 이미 피해자이지만, 그 사이트에 접속하는 사용자 누리꾼에게 2차적인 문제를 발생시키게 된다.

하지만 해당 홈페이지 운영자 입장에서는 조치를 해야 하지만 방법을 잘 모르고 지원받기도 어려워 답답하다는 이야기다. 물론, 이같은 경우에는 KISA에서 기술적 지원을 실시해 반복적인 해킹 피해방지를 위한 도움을 주고 있다.

이같은 업무를 추진하는 과정에서 밝혀진 사안이지만, 해커는 KISA가 하는 업무를 충분히 이해하고 해킹 방법을 개선(?) 한다는 점이다. 즉, 악성코드를 은닉하는 방법의 점진적 진화이다. 지금까지 특정 서버 내 홈페이지에 삽입된 악성코드 방식은 웹사이트 소스파일 변조(Text -> Script -> Escape화 등), 접속자측 스크립트(자바 스크립트, 비주얼 베이직 스크립트 등) 적용, 플래시파일의 액션스크립트 변조, 데이터베이스 자료값의 변조 등을 이용한 방법이 사용되고는 했다.

하지만 지난 2월에  발표된 국내 1100여 개의 서버를 해킹해 악성코드를 은닉한 후 약 9만 2000명의 인터넷 사용자를 대상으로 국내 온라인 인터넷 게임용 ID/PW를 탈취한 사건에서 사용된 방식은, 해당 웹 서버 내부의 취약점을 악용한 서버 해킹이 아니라 동일한 LAN 상에 연결된 타 서버를 해킹해 LAN 상에 흐르는 트래픽을 탈취/변조해 악성 iframe 코드를 삽입한 방식을 이용한 형태였다.

당시에 사용된 방식은 동일 LAN 상에 있는 서버를 해킹한 후에 ARP Spoofing 기법을 통해 동일 LAN 상에 있는 해킹을 당한 서버가 게이트웨이인 것으로 변경해 외부로 나가는 모든 트래픽을 가로채고 변조하는 방식을 이용했던 것이다.

이에 따라 외부에서 보기에는 엉뚱한 특정 사이트가 해킹을 당해 악성코드가 삽입된 줄 알고, 열심히 해당 서버의 Source Code를 분석하고, 보안 취약점을 찾고 점검을 하고 백도어 은닉여부를 샅샅이 살펴보았으나, 해당된 사이트는 문제가 없었고 동일 LAN에 연결된 타 시스템이 문제였던 것이다. 즉, 해커는 은닉기술을 점진적으로 진화 및 보강시켜 보안기관으로 하여금 탐지를 못하도록 열심히 공부(?)하고 있는 것이다.

 

BOT는 IMF인가?

BOT에 감염된 시스템은 통상의 웜과는 달리 유포자가 원격에서 인터넷을 통해 지시하는 대로 악성행위를 하게 된다. 이때 감염된 시스템의 물리적 소유자는 자기 시스템이 조정을 받아 악성행위에 이용되어도 거의 감지를 못한다. 현재 문명의 이기인 로보트는 흔히 IMF(Intelligence/Information, Mobility, Function) 의 기능을 갖고 있다. 즉, 정보 채널을 이용해 원격에서 조정하는 대로 특정한 기능을 수행하게 된다. 악성 봇에 감염된 시스템도 IMF 기능을 갖는 측면에서는 로보트와 유사하다.

KISA 인터넷침해사고대응지원센터에서는 2004년부터 악성 BOT에 감염된 Zombie PC의 심각성에 대하여 인지를 하고, 대처를 해왔다. 금년 1월 DAVOS World Economy Forum에서 조차 악성 BOT의 심각성이 언급된 형국이니 한편으로는 경종을 울리는 것 같아 반갑기도 하다.

DAVOS Forum에서 Mr. Vint Cerf(Mr. Vint Cerf 는 인터넷 통신규약의 근간이 되는 TCP/IP Protocol 의 공동 창시자이며, 현재 사용중인 Internet의 아버지라고 칭함)가 언급하기로는 “인터넷에 연결된 전세계 PC를 약 6억 대로 가정시, 약 1억 내지 1.5억 대 PC가 이미 악성 BOT에 감염이 된 것으로 보인다” 라고 언급을 하였다.

약 20% 정도로 보면 된다는 이야기다. 좀 과장된 숫자로 보이기도 한다. 악성 BOT 에 감염된 시스템 (주로 가정의 PC임)은 이미 해당 PC 내 정보는 탈취 된 상태로 볼 수 있으며, SPAM Mail을 전송하는 매체로 사용되거나 최근에 발생한 여러 형태의 DDoS 공격에 악용되는 등 본의 아니게 여러 가지 악성 행위에 기여하게 된다.

문제는 악성 BOT에 감염된 PC가 숫자가 많다는 점과 이들 대부분은 초고속인터넷에 접속된 PC라는 점이다. 초고속 인터넷 망에 연결된 대부분의 PC는 유동 IP를 사용한다. 이는 접속할 때 마다 IP 주소가 변경이 되므로 해당 IP 주소에 대한 물리적인 PC 위치를 파악하는데 어려움이 있다.

KISA에서는 국내 주요 ISP와 협조 하에 악성 봇에 감염된 PC에 대한 기술적 대응업무를 하고 있다. 즉, 봇에 감염된 PC를 대상으로 유포자가 원격에서 조정하는 일종의 명령 채널을 차단해, 비록 감염은 되었으나 더 이상 악용되는 사태를 막기 위한 조치를 시행하고 있다.

국가적 차원에서 적용하는 나라는 아마 한국이 유일할 것이다. 하지만 이같은 방법은 일종의 2차 악성 행위를 막는 조치이므로 해당 PC에 숨겨진 악성 봇을 제거하지 않으면 근원적인 치료가 되지 않은 상태로 남게 된다. 문제는 PC에 대한 물리적인 주소를 파악한 후에 고객에게 통보해 조치를 하게 하여야 하므로 손이 많이 간다는 사실이다.

자신과 타인의 보안을 위해 무엇을 해야 하나?

대부분의 가정은 절도 및 강도로부터 피해를 예방하기 위해 방범창, 보조자물쇠 또는 숫자 및 지문인식 기능을 가진 디지털 도어록 등을 설치한다. 즉, 외부 침입을 방지하기에는 대문에 있는 자물쇠 하나만으로는 무언가 부족하다고 생각하기 때문이다. 이같은 보안조치는 물리적인 재물의 피해예방이나, 인명피해를 예방하기 위한 가장 기본적인 조치다.

하지만 요즘은 시쳇말로 정보통신의 시대를 지나 여러 전문가가 줄기차게 언급하고 있는 유비쿼터스 세상으로 가는 형국이다. 이 말은 정보 자체의 중요성과 인간사회의 발전에 중요한 역할을 담당하게 될 네트워크의 중요성을 강조한 말로 이해된다. 정보의 저장과 가공 그리고 전달은 컴퓨터 및 주변기기를 이용한다.

이때 가장 기초가 되는 것이 PC라고 할 수 있다. PC의 중요성이 강조되는 형국에서 보안조치 없이 PC를 이용한다는 것은 지극히 위험하다. KISA나 기타 기관 및 보안업체가 안전한 인터넷을 위해 여러 가지 업무를 수행하고 있지만, 국내에 사용 중인 PC가 2700만 대 수준이고, 서버로 사용되는 Host Computer가 약 540만 대를 넘는 환경을 고려하면 특정 기관/회사에서 하기에는 역부족이다. 이에 따라서 최소한 PC 사용자가 수행할 업무를 정리하면 다음과 같다.

■ 보안패치의 생활화 : 가장 손쉽고 별도의 비용 지불없이 할 수 있는 방안이다. 보안패치없이 백신 프로그램을 설치한다고 하면 의미가 없다. 즉, 백신 프로그램은 기본적으로 악성코드를 탐지 및 차단하지만 100%는 아니다. 그러므로 보안패치가 가장 기본이다. 최근에는 윈도우나 Linux(Ubuntu, RedHat 등 배포판)에서도 보안패치 발표시 자동으로 안내 창이 나타나므로 반드시 보안패치를 설치해야 한다.

 

■ PC Firewall 설치 및 적용 : 요즘 PC에 설치되는 윈도우 OS 중 XP는 SP-2(Service Pack-2 )가 출시되고 비스타는 보안이 더욱 강화돼 출시되므로 PC Firewall 기능을 설정한 후 사용하게 된다. Linux 배포판 역시 마찬가지다. 설치된 Firewall 기능을 사용해 외부로부터 자기 PC로 진입 시도를 하는 악성 트래픽을 막는 것이다. 윈도우 XP SP-1 사용자는 SP-2를 설치해야 한다. 이것저것 생각하기 복잡하면 차라리 유·무선 공유기라도 설치하라. 단, 공유기 설치 시에는 해당 ISP의 이용약관에 따라서 설치를 해야 한다.

 ■ E-Mail 첨부 파일 열기 조심 : 2004년 6월 국내에서 발생한 정부 주요기관을 대상으로 한 자료절취형 트로이목마나, 2005년 6월 영국 및 8월 미국에서 발생한 사건 그리고 작년 대만 및 미국에서 발생한 PC내 자료 절취형 해킹은 대부분이 이메일의 첨부 파일을 Click하는 순간에 감염되어 발생한 사안이다. 즉, 발신자가 불분명하거나 의심스러운 이메일은 열어보기를 하지 말고 삭제하는 것이 안전하다.

 ■ 웹 검색 또는 P2P 사이트에서 내려받은 자료 조심 : 위에서 언급한 내용 중 악성코드가 은닉된 사이트에 접속한 경우에 보안패치를 하지 않은 PC 사용자는 일종의 악성코드가 자동 설치된다. 좋은 사례가 최근 KISA에서 탐지 및 조치한 국내 온라인 인터넷 게임업체 가입자의 ID/PW를 절취하기 위한 경우다. 62만 여명이 접속을 했으나 보안패치를 하지 않은 9만 2000여 명의 PC만이 피해를 당한 것으로 예상된다. 2005년 4월에 발생한 국내 모 은행 인터넷 뱅킹 사용자를 대상으로 했던 해킹 사고는 해커가 게시판에 일종의 재테크를 위한 프로그램으로 위장을 한 트로이목마 파일을 내려받기 하여 설치한 후에 발생한 경우다. 말 그대로 강도인지도 모르고 집으로 초대한 형국이다. 이같은 피해를 예방하기 위해서는 인터넷에서 내려받은 파일은 백신 프로그램을 이용해 검사를 하는 것이 안전하다.

보안의 출발과 끝은 ‘보안의식’

여러 가지를 언급했지만, 결론적으로 보안은 불편하다. 하지만 안전한 인터넷 환경을 위해 어느 정도의 불편은 감수해야 한다. 즉, 편리성과 보안은 상호 보완작용이 아닌 상호 배타적인 면이 있다. 이같은 불편을 제거하기 위해 보안업체는 여러 가지 기능을 개발하고 적용하려고 한다.

최근에 언급되는 통합보안(Network Centric Security) 방식인 NAC(Network Access Control)도 그 중 하나이다. 점점 복잡해지는 경향이 있긴 하지만 보안의 출발과 끝은 사용자 각자의 보안의식에서 출발한다는 점을 강조하고 싶다. 이는 자신의 중요한 정보자산도 지키고 남도 배려하게 되기 때문이다.  

<글: 김우한 한국정보보호진흥원 인터넷침해사고대응지원센터 본부장>

 

[월간 정보보호21c 통권 제80호(info@boannews.com)]

             

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>