피해사이트 조치 후 재공격 많아...국내 보안관리체계 미흡

트로이목마 유포의 지능화

지오트 바이러스분석팀 관계자는 “국내 사이트 해킹된 후 트로이목마 유포되는 사이트가 갈수록 급증하고 있다”며 “내년에는 이 문제가 더욱 이슈가 될 것”이라고 밝혔다.

2005년 5월 초 일본의 유명 가격비교 사이트인 가격.com(kakaku)의 웹페이지가 변조되어 보안이 취약한 접속자들에게 트로이목마를 유포하는 사건이 발생했고, 해당 사이트 관계자는 이 문제를 해결하기 위해서 약 1주일간 사이트를 폐쇄한다고 공지하기에 이르렀다.

이 일본 사이트를 통해서 유포된 트로이목마는 특정 온라인 게임의 사용자 아이디와 암호를 유출하기 위한 목적을 가지고 있었던 것으로 알려졌다.

그 후 국내의 유명 사이트들도 하나 둘씩 유사 공격 피해의 대상이 되었으며, 국내 온라인 게임 사용자들의 개인정보를 불법적으로 도용하려는 시도가 증가하면서, 사회적인 이슈가 되기 시작했다.

공격자(해커)는 특정 데이터 베이스(DB)의 취약점 공격방식인 SQL Injection 기법을 이용하여 웹사이트에 불법 침입한 후에 Index나 Main 파일 등에 임의의 IFRAME TAG 나 암호화된 Script 코드를 설치하며, 특정 호스트 등에 chm파일 등을 삽입(XSS:Cross Site Scripting)시켜 Exploit과 함께 사용자 컴퓨터에 EXE, DLL 등의 트로이목마를 설치하게 했다.

만약 마이크로소프트사 2개의 윈도우 보안패치[MS05-001(KB890175), MS04-013(KB837009)]를 하지 않은 사용자가 스크립트가 포함된 사이트에 인터넷 익스플로러를 이용하여 접속할 경우 악의적인 코드가 사용자 컴퓨터에 설치되어 감염이 이루어진다. 보안취약점 이외에 ActiveX 컨트롤을 이용한 설치방법도 발견된 바 있다.

이런 유사 공격의 패턴이 증가하는 가장 큰 이유는 자동화된 취약점 공격 프로그램이 사용되고 있기 때문이며, 국내 웹 사이트의 보안관리가 허술하고 웹 사이트 관리자들이 해킹에 대해 경각심도 부족하기 때문으로 분석된다.

또한 피해의 직접적인 대상이 국산 온라인 게임 사용자의 아이디와 암호로 국한되어 있는 점과 이런 해킹으로 인한 피해정도를 피부로 직접 느낄 수 없다는 점 등을 들 수 있다.

그리고 해킹되어 변조된 코드가 관리자에 의해 발견되었더라도 전체적인 서버 점검이 많은 예산과 인력이 소요되고, 단순히 한 줄 정도의 IFRAME 이나 Script 등이 보여지기 때문에 대수롭지 않게 대응하고 조치하게 되는데 이로 인하여 재차 연속 공격의 피해를 보게 되는 경우가 다반사로 발생하고 있다.

온라인 화폐의 도용과 개인정보 유출

2005년 5월경부터 국내의 많은 사이트가 유사 해킹 피해로 몸살을 앓고 있고 정부차원에서도 보안기술 세미나와 보안패치 캠페인 등을 개최하는 등 홈페이지 변조를 통한 트로이목마나 백도어 유포는 지속적으로 증가하고 있다.

그렇다면 도대체 어떤 이유와 목적으로 이와 같은 공격이 끊이지 않는 것일까?

현재까지 발견된 여러가지 공격패턴에 대해 지오트 바이러스 분석실(GCERT)에서는 “종합해 본 결과 대체적으로 국내 특정 온라인 게임 사용자의 아이디와 암호, 개인정보(IP), 기타(특정 웹사이트 로그인 아이디 암호)등을 탈취하기 위한 목적으로 분석되었다”고 밝혔다.

국내 유명 온라인 게임의 경우 게임용 아이템을 사기 위해 실제로 돈을 주고 구입하는 거래가 이루어지고 있는데, 이것을 도용하여 무단으로 아이템 거래에 사용되고 있는 것으로 추정된다.

국내 온라인 게임에서 사용되고 있는 아이템들은 이미 고액으로 현금거래가 되고 있어 단순한 웹 사이트의 변조가 아닌 하나의 범죄로 대두되고 있다는 점일 것이다.

눈으로 보이지 않는 해킹 피해

지오트 바이러스 분석실(GCERT)은 해킹 피해 사이트를 자동으로 발견할 수 있는 Geot Web Hacking Scan(GWHS)시스템을 10월말 경에 구축하여 24시간 국내외 약 10만개의 웹사이트를 24시간 모니터링 하고 있다.

2005년 12월 05일까지 약 2,050 개의 국내외 웹사이트가 개인정보 유출용 트로이목마 유포목적으로 해킹된 것을 발견하였다.

이 정보를 작성하고 있는 현재에도 지방의 특정 시청 사이트가 해킹되어 트로이목마 유포를 시도하고 있는 것을 발견했다.

11월 초부터 12월 초 까지 약 1800여개의 사이트가 발견되었는데, 이곳을 통해서 유포된 트로이목마가 어느 정도인지도 가늠해 볼 수 있을 것이며, 국내 사이트의 해킹 피해 정도가 매우 심각한 상황임을 알 수 있다.

해킹 대응 및 향후 대책

지오트 바이러스 분석실(GCERT)에서는 이와 같은 유사 해킹 방식을 분석하여 웹해킹 조기 진단시스템을 자체 개발해 국내 웹사이트 해킹 상황을 모니터링하고 있는데, 국내를 포함한 중국, 독일, 캐나다 등의 다수의 웹사이트도 피해를 보고 있는 것을 확인할 수 있었다.

연일 발견되는 웹페이지 변조와 악성프로그램 유포는 단순히 특정 개인이나 기업의 피해가 아닌 제 3의 범죄로 악용되고 있다는 점을 인지해야 한다.

과거의 웹페이지 변조는 단순한 장난이나 실력과시가 대부분이었지만 최근에 발견되는 웹 변조를 통한 악성프로그램 유포의 피해는 해당 웹 사이트, 일반 웹사용자, 게임사용자 등의 많은 대상이 피해자가 되고 있다는 것이다.

최근의 국내 피해사이트들의 상황을 보면 조치완료 후 재공격과 피해를 보는 곳이 많은데 이는 국내 보안 관리체계가 허술하다는 반증이다.

지오트 관계자는 “이같은 피해사태가 재발되지 않기 위해선 무엇보다 홈페이지 관리자 및 보안담당자들의 보다 세심한 주의가 필요하며, 트로이목마 유포시 삽입되는 iframe 이나 object 코드 등이 있는 지 지속적으로 확인해주는 것은 기본이며 외부로부터 웹서버에 대한 해킹시도 여부를 중점 모니터링해야 된다”고 강조했다.

또한 “일반 개인사용자는 최신 윈도 보안패치(MS04-013, MS05-001)을 설치해 두고, 최근 해킹 동향정보와 최신버전의 백신제품으로 점검하는 습관이 필요하다”고 덧붙였다. 

[길민권 기자(is21@infothe.com)]

          <저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.>