• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

중국 크래커에게 IPS와 IDS는 있으나 마나 2008.02.14

IPS와 IDS만 믿고 있다간 다 당한다

중국 크래커, 공격 한 두달 전부터 사전 작업 실시

로그기록 지속적으로 살펴야하고 보안교육 철저히해야


중국 해커들의 동향을 가장 잘 파악하고 있는 보안 전문기업  씨엔시큐리티(www.cnsec.co.kr) 신윤수 보안기술팀장은 “통상적으로 중국 크래커들은 국내 사이트를 크래킹 하기 한 두달 전부터 정보수집 작업을 실시하는 것이 일반적”이라며 “그 과정에서 침입 루트를 만들고 공격이 가능하다고 판단이 되면 집중적인 공격을 감행한다”고 말했다.


그의 말대로라면 이번에 정보유출로 난감한 상황을 겪고 있는 오픈마켓 옥션의 경우도 현재 중국 크래커에 의한 공격이 확실한 것으로 밝혀진 이상, 그 전부터 사전작업이 이루어졌을 가능성이 있다.


신 팀장은 “하지만 중국 크래커들은 신종 크래킹 기법을 계속해서 생산해 내기 때문에 이러한 사전작업을 관제팀에서 탐지해 내기란 힘든 일 일것”이라고 말하고 있다.


그는 중국 크래커들의 공격 방법에 대해 두 가지 시나리오를 예상했다.


우선 직접 크래킹은 모니터링에 의해 탐지될 확률이 높다. 그래서 이를 우회하기 위한 방법으로 옥션 웹페이지에 떠 있는 고객센터 메일로 악성코드가 삽입돼 있는 메일을 보낸다. 고객센터 직원은 민원을 확인하기 위해 크래커가 첨부한 파일을 열어보거나 링크한 사이트로 접속을 하게 된다. 이때 해당직원의 PC에 악성코드가 설치되고 시스템 접근 권한을 가진 ID/PW가 크래커의 손에 넘어간다. 이것으로 DB를 빼내가는 시나리오가 성립된다.


이렇듯 중국 크래커들은 직접 크래킹을 시도하기 보다는 보다 손쉬운 방법으로 우회해서 정보를 빼내가려는 시도를 계속하고 있다. 이는 옥션에만 국한된 문제는 아니다. 대부분 대형 사이트들이 이와 같은 위협을 실제로 당하고 있고 피해를 입는 경우도 종종 발생하고 있다. 다만 이를 알리느냐 숨기느냐의 차이가 있을 뿐이다.


또 하나의 시나리오는 중국 크래킹 공격의 70% 이상을 차지하고 있는 SQL인젝션 공격이다. 하지만 이러한 공격은 관제를 담당했던 인포섹의 관제 시스템에 포착됐을 것이다. 중국 크래커는 이를 알고 옥션 메인 사이트 보다는 옥션과 연결된 다른 사이트를 공격한 후에 옥션에 접근했을 가능성이 있다.


이 두 가지 시나리오 모두 치명적인 결과를 가져올 수 있는 크래킹 수법들이다. 특히 중국 크래커들은 모니터링하고 차단한다고 하더라도 이를 우회하는 방법을 찾아내 교묘하게 접근하는 방식을 취하고 있어 보안담당자들을 더욱 난감하게 하고 있다.


만약 DB가 유출되고 금전적 요구가 있었다면 어떻게 대응해야 할까.

신 팀장은 “DB유출에 대한 금전적 요구에 응하면 안된다. 어차피 정보는 빠져나간 것이고 그들은 돈을 받아도 그만 안받아도 그만이다. 그들은 훔친 정보를 팔아 돈을 획득하는 것이 목적이기 때문이다”라고 말했다. 


현재 중국에는 중국인과 조선족이 팀을 이뤄 크래킹 혹은 DDos 공격을 시도한 후 조선족이 금전을 요구하는 협박전화를 하는 경우가 많다고 한다. 


신 팀장은 “메일을 보내 고객정보를 빼내가는 공격시도는 옥션뿐만 아니라 포털이나 온라인 쇼핑몰 등 국내 대형사이트들에 지속적으로 발생하고 있고 실제로 피해를 입는 경우도 있다”며 “하지만 대부분 업체들이 이를 쉬쉬하고 덮어두기 때문에 중국 크래커들이 계속해서 공격을 시도하고 있는 상황”이라고 말했다.


특히 DDos 공격을 빌미로 금전을 요구하는 수법은 중국 크래커들의 주된 돈벌이가 되고 있는 현실이다.


신 팀장은 “금전을 요구하는 경우는 대부분 DDos 공격 전에 이루어지고 있다. DB정보를 빼내갈 때는 협박전화를 하지 않는다. DB정보 자체가 돈이 되기 때문이다”라고 말했다.


이들이 빼내간 고객정보 특히 실명과 주민번호·휴대전화번호·메일주소 등은 스패머들에게 유용한 정보가 되기 때문에 제법 많은 돈을 받고 중국 내 혹은 국내에 판매가 되고 있다.


따라서 옥션의 고객정보가 얼마나 빠져 나간지는 알 수 없지만, 크래커들은 이 정보를 이미 적당한 비용을 받고 이를 필요로 하는 자들에게 팔아넘겼을 것이다. 이런 이유 때문에 한번 유출된 고객정보는 다시 주워담을 수 없는 상황이 되고 만다.


이러한 공격들을 최소화하기 위한 예방법으로는 어떤 조치들이 필요할까.


신 팀장은 “모의해킹을 주기적으로 실시해 웹 취약점이나 보안 취약점을 지속적으로 알아내야 한다. 또 직원들의 보안교육이 무엇보다 중요하다. IPS(침입방지시스템)와 IDS(침입탐지시스템)만 믿고 있다가는 큰 코 다친다. 대부분 중국 크래커들은 이들 보안장비를 우회해서 들어오기 때문에 조심해야 한다”고 강조했다.


또한 그는 “보안교육과 관리를 철저히 해야 하고 지속적인 내부 취약점을 점검하면서 로그기록을 주기적으로 봐줘야 한다. 아마 대부분 기업에서 로그기록을 철저히 확인하는 기업은 잘 없을 것이다. 이것이 되지 않으면 결국 사고가 터진 다음 로그기록을 살펴보는 경우가 반복될 것”이라고 경고했다.

[길민권 기자(reporter21@boannews.com)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>