사이트 접속 악성코드 - saiteu jeobsog agseongkodeu

2008.10.27

웹 해킹을 통한 악성코드 유포 ‘급증’

모기업 과장 ㄱ씨(32)는 항상 즐겨가는 사이트만 방문하고, 웹 서핑 시간도 하루 30분 이내이다.
그래서 그는 보안 프로그램이 필요치 않다고 생각하는 일반적인 사람 중 하나였다. 최근 기름 값
때문에 고심하던 중 차를 소형 중고차로 바꾸려고 중고차 거래 사이트를 자주 방문하게 되었다.
그러던 중 자기도 모르는 사이에 스파이웨어에 감염되었다. 월 방문자 수가 20만이 넘는 이 중고차
사이트는 유명 포털의 검색 결과 맨 위에 링크로 연결되어 있다. 현재 기름 값 상승으로 중고차
거래가 상승하고 있음을 감안한다면 ㄱ씨 외에도 더 많은 피해자가 있을 것으로 예측된다.

영화 예매 사이트, 인터넷 서점, 인터넷 뱅킹 사이트 등 아무런 의심 없이 방문했던 사이트에서
악성코드에 감염될 수 있다. 요즘 공격자들이 웹사이트를 해킹해 그곳을 방문한 사람들에게 악성
코드를 유포하고 있기 때문이다. 어느 순간 웹사이트가 악성코드의 유포지 또는 경유지가 돼버리고,
서핑 위험 지역으로 분류되고 있다. 이처럼 악성코드를 유포하는 웹사이트는 지난 8월 1일 안철수
연구소 집계에 따르면 총 6천 593개나 된다. 이는 3초에 1명씩(일일 사용자 24만명 기준) 악성 사이
트에 접근하고 있는 셈이다. 인터넷 사용자 수가 3000만명이라고 가정했을 경우 3초에 100명씩 악성
사이트에 접근하고 있는 것이다.

악성코드 배포 사이트들 중에는 알 수 없는 악성코드를 배포한 후 사라지거나, 휴면 사이트 처럼 알
수 없는 페이지들이 전체의 19%에 달한다. 그리고 허위 과장 광고 및 결제를 유도하는 SW 다운로드
사이트는 11%, 개인 홈피나 블로그 10%, UCC, 카페는 전체의 8%에 달하고 있다. 이러한 웹사이트
들은 악성코드를 의도적으로 배포하기도 하지만, 사이트가 해킹되어 악성코드 유포지로 악용당하고
있기도 하다.

최근에는 유명 포털 사이트인 구글 검색 웹페이지에서 악성코드가 유포돼 사용자 PC에 트로이목마
가 자동 다운로드된 바 있다. 네이버도 카페 게시판에서 이 악성코드가 발견된 바 있다. 국내외 유명
포털 사이트까지 해킹을 당하자 웹사이트에 대한 불안감은 고조되고, 신뢰도 또한 연일 추락하고
있다. 한국정보보호진흥원은 웹페이지 감염률이 2006년에는 12.5%라 밝힌 바 있다. 웹 감염률이
10%일 경우 거의 웹 서핑을 할 수 없다고 하니 이젠 인터넷 서핑도 신중히 해야 할 참이다.

악성코드 유포지로 변한 웹 사이트, 왜?

인터넷이 발달하면서 모든 서비스가 웹 환경에서 가능하도록 변화하고 있다. 그에 비해 보안은
굉장히 미약한 수준이다. 그 이유로는 웹사이트를 프로그래밍할 때 개발자가 보안을 고려하지 않고
만들었다는 것과, 관리자의 점검이 철저히 이루어지지 않는다는 점을 들 수 있다.

웹사이트는 악성코드를 유포할 수 있는 파괴력이 크기 때문에 주된 공격 수단으로 이용되고 있다.
예를 들면 네티즌 수천만명이 하루에 1번 이상 방문하는 대형 포털 사이트를 해킹하면 악성코드가
수천만명의 PC에 유포될 수 있으며, 개인정보도 한꺼번에 취합할 수 있다. 그렇다보니 과거에는
디스켓이나 이메일, 메신저 등으로 유포되던 악성코드가 이제는 웹페이지를 통해 유포되고 있는
것이다.

그러나, 이처럼 짧은 시간에 악성코드가 파급될 수 있는 가장 큰 이유는 공격이 자동화했기 때문
이다. 공격자는 검색 엔진을 통해 공격 대상이 되는 웹페이지를 자동으로 수집하고, 실제 공격을
위해 자동화한 SQL 인젝션(Injection) 도구를 사용한다. 최종적으로 사용자 시스템을 공격하기
위해서도 자동화한 취약점 생산 도구를 사용했다. 검색 엔진은 과거에 테스트 대상을 찾거나 불법
적인 목적으로 주민등록번호 등을 수집하는 데 공공연히 이용되어 왔고, 최근 SQL 인젝션 공격에도
이용되고 있다. 검색 시 가장 위에 있는 주소가 피싱 공격의 대상이 되고 있는 점을 보면 앞으로도
검색 엔진이 다양한 공격에 지속적으로 활용될 것으로 보인다.

최근 기승 부리는 SQL 인젝션 공격

한편, 요즘 많이 등장하는 공격은 SQL 인젝션 공격이다. 이 공격을 받아 변조되는 웹페이지가 급증
하고 있다. SQL 인젝션 공격은 웹사이트에 악성코드 링크를 몰래 숨겨놓고 방문자를 감염시키는
것이다. 자칫 내부 DB까지 통째로 유출될 수 있는 위험성을 가지고 있다. 또한, 온라인 게임 사용자
는 자신도 모르게 계정을 도용당할 수 있고, PC의 작동 속도가 느려지거나 인터넷 접속이 되지 않는
증상이 발생할 수 있다. 기업에서는 네트워크 속도가 저하되거나 다운되는 피해를 당할 수 있다.

공격이 이루어지는 과정을 보면, 먼저 SQL 인젝션 공격 도구를 이용해 검색 엔진에서 취약한 사이
트를 검색한다. 취약한 사이트에 실제 SQL 인젝션 공격을 하여 DB(데이터베이스)에 악의적인 스크
립트 파일을 연결하는 스크립트를 심는다. 사용자가 악성 스크립트가 심어진 웹사이트에 접속할 때
웹 서버는 DB로부터 사용자에게 보여줄 콘텐츠를 가져오는데, 이때 삽입된 스크립트도 동시에
가져온다. 웹브라우저를 통해 스크립트가 실행되면 이후 공격자의 웹 서버에서 또 다른 악성 스크
립트를 가져와 실행한다. 이때, 악성 스크립트는 실제 사용자의 PC를 공격하는 취약점 공격코드
(Exploit Code)가 탑재되어 있어, 보안성이 낮은 사용자의 PC에 악성코드를 설치하고 중요 정보를
유출한다.

SQL 인젝션 공격이 이루어지는 과정

피해 예방 위해 웹사이트 관리자, 사용자 모두 주의해야

이처럼 해킹당한 웹사이트에 접속해 악성코드에 감염되는 피해를 막기 위해서는 웹사이트 관리자가
보안 취약점이 있는지, 공격을 받고 있는지, 악성코드가 심어져 있는지 등을 수시로 철저히 점검
해야 한다. 사용자는 웹사이트에 접속할 때 그 페이지가 안전한지 검사해 위험한 경우 접속을 차단
해주는 보안 서비스를 사용하는 것이 안전하다. 개인 사용자는 안철수연구소가 무료로 제공하는
‘사이트가드’(AhnLab SiteGuard. www.siteguard.co.kr)’를 사용하면 악성코드를 유포하는 사이트
에 접속하는 것을 예방할 수 있다. 뿐만 아니라 사기성 온라인 쇼핑몰이나 피싱 사이트에 접속하는
것도 차단할 수 있다.

‘사이트가드’의 강점은 웹사이트 이용 시 발생할 수 있는 모든 위험을 차단하며, 웹브라우저 실시간
감시 기능을 제공하며, 검사 속도가 빠르다는 점이다. 우선, ‘사이트가드’는 악성코드 유포 사이트를
비롯해 사기 쇼핑몰 사이트, 피싱 사이트, 변조 사이트 등 모든 위험을 차단한다. 특히 인터넷 변조
감시 기능은 다양한 경우를 정밀하게 감시해내는 기술이 탁월하다. 또한, 웹브라우저 실시간 감시
기능은 특허 출원 중이며, 사용자가 신고한 후에 DB(DB)에 추가되는 타사 제품과 달리 방금 만들
어진 웹사이트의 유해성도 진단할 수 있다. 검사 속도 또한 동종 제품 중 가장 빠르다.

안랩 " 성인 웹사이트로 악성코드 유포"

【서울=뉴시스】 장윤희 기자 = 성인 사이트에 접속하기만 해도 악성코드에 감염될 수 있는 만큼 주의해야 하는 것으로 나타났다.

 안랩은 최근 '갓모드(God Mode) 공격기법'을 악용해 성인 웹사이트로 악성코드를 유포하는 사례가 발견됐다고 8일 밝혔다.

 갓모드 공격기법은 윈도 운영체제(OS)에서 발견된 보안 취약점을 악용한 해킹이다. 악성 사이트에 방문하기만 해도 감염되는 경우가 많으며 해커는 감염자PC를 자유자재로 조작할 수 있다.

 최근 사례 보고에 따르면 공격자는 보안이 취약한 성인 웹사이트에 악성코드를 심어놓고, 보안 패치가 되지 않은 PC가 이 성인 웹사이트를 방문하면 악성코드에 감염되도록 만들었다.

 사용자가 해당 사이트를 방문하기만 해도 자동으로 악성코드에 감염되는 것이다. 감염된 PC는 공격자의 특정 명령을 받아 수행하는 '백도어'(일명 좀비PC) 역할을 하게 된다.

 이같은 피해를 줄이기 위해서는 ▲의심되는 웹사이트 방문 자제 ▲OS 및 인터넷 브라우저·SW 등 프로그램 최신 버전 유지 및 보안 패치 적용 ▲백신 프로그램 설치 ▲자동 업데이트 및 실시간 감시 기능 실행 등이 필요하다.

 박태환 안랩 ASEC대응팀 팀장은 "공격자는 악성코드 유포를 위해 다양한 취약점을 노리고 있다"며 "사용자가 백신 설치 등의 기본 수칙을 지키면 피해를 예방할 수 있다"고 말했다.

지난 3월 국내 보안 전문업체 ‘하우리’는 ‘헤르메스(Hermes)’ 감염 주의를 당부했다. 헤르메스는 랜섬웨어의 일종으로 웹 사이트에 접속만 해도 감염되는 것이 특징인 악성코드이다.

웹 서핑 도중에 본인도 모르는 사이에 랜섬웨어에 감염될 수 있다. 헤르메스는 확산력이 뛰어나므로 쉽게 랜섬웨어에 감염될 수 있어 위협적이다.

웹 사이트 방문만으로 랜섬웨어 피해를 주는 악성코드는 헤르메스가 처음은 아니다. 작년 10월 ‘매트릭스(Matrix)’라는 랜섬웨어가 유포됐는데, 헤르메스처럼 웹 사이트 접속만 해도 감염된다. 하우리는 헤르메스를 매트릭스 후속 랜섬웨어로 추정하고 있다.

다행히 헤르메스의 경우 국내 보안 전문업체가 헤르메스 정보를 분석, 탐지해서 감염을 피할 수 있게 하고 있다. 그러므로 국내에서 배포하는 최신 백신이 본인 컴퓨터에 깔려있으면 헤르메스로부터 안심해도 된다. 다만 헤르메스 악성코드 정보를 업데이트하지 않은 해외 일부 백신 기업들이 있기 때문에, 해외 백신을 사용하고 있다면 감염에 주의해야 한다.

헤르메스에 걸렸을 당시 화면 ⓒ 유성민

헤르메스의 악성 행위를 실제로 분석해봤는데, 우선 파일의 복구가 불가능하도록 백업 파일들을 파괴하는 흔적이 보였다. 이후 암호화 알고리즘의 일종인 ‘RSA(Rivest Sharmir Adleman)’을 사용해 파일을 암호화시키는 행위를 발견했다.

헤르메스가 암호화시키는 대상 파일 유형은 5,000여 개가 넘기 때문에, 웬만한 파일들은 헤르메스에 의해서 암호화된다고 보면 된다.

감염 방식에서 ‘선다운(Sundown)’이라고 불리는 익스플로잇 킷(Exploit Kit)이 발견됐는데, 익스플로잇 킷은 해커가 취약점을 찾아서 해킹할 수 있게 돕는 악성 툴이다. 헤르메스는 이를 이용해 ‘어도비 플래시 (Adobe Flash)’의 취약점을 노리는 것으로 분석됐다.

참고로 어도비 플래시는 애니메이션을 구현시키는 소프트웨어로, 사이트에도 활용될 수 있다. 사이트의 움직이는 이미지가 있는데, 이러한 것들이 플래시로 구현됐다고 생각하면 된다.

정리하면, 해커가 플래시를 사용하는 사이트를 대상으로 해킹한 후 헤르메스를 퍼뜨릴 것으로 추정할 수 있다.

참고로 사이트의 취약점을 노려서 악성코드를 확산시키는 수법을 ‘드라이브 바이 다운로드 (Drive by Download)’라고 하는데, 사이버 공격에 많이 활용되는 분야이다. 다시 말해 드라이브 바이 다운로드는, 사이트의 취약점을 악용해 악성코드를 심어서 방문자를 감염시키는 수법이다.

계속해서 생소한 보안 전문 용어를 들으니 머리가 무거울 것이다. 이번 기회에 드라이브 바이 다운로드를 좀 더 상세히 살펴봄으로써, 해당 수법의 위험성뿐만 아니라 헤르메스의 감염 방법을 명확히 알아보도록 하자.

드라이브 바이 다운로드는 사이트 취약점을 악용해 사용자를 감염시킨다. ⓒ Flickr

취약점을 노리는 악성 수법 ‘익스플로잇’

드라이브 바이 다운로드를 명확히 알기 위해서는, 익스플로잇(Exploit)을 우선 이해해야 한다. 익스플로잇을 우린 말로 번역하면 ‘취약점’이라는 뜻인데, 말 그대로 취약점을 이용해 공격하는 수법이다. 악성코드라는 단어와 많이 헷갈리는 경우가 많은데, 둘의 차이점은 명확하다.

악성코드는 악성 행위를 일으키는 코드로 정의할 수 있다. 반면 익스플로잇은 시스템의 오류와 같은 취약점을 악용하는 수법이다. 가령, 해커는 익스플로잇으로 시스템의 취약점을 악용해 악성코드를 심어서 시스템이 악성행위를 일으키게 할 수 있다.

좀 더 쉬운 설명을 위해서, 개발자가 실수로 시스템에 누구든지 파일을 업로드 할 수 있는 PUT 함수를 넣었다고 가정해보자. 해커는 이러한 함수를 악용해서 악성코드를 심을 수 있다. 파일을 누구든지 업로드 할 수 있기 때문에 가능한 것이다. 이처럼 개발상의 취약점을 악용하는 수법을 익스플로잇이라고 부른다.

보안 전문 회사 ‘팔로알토(Palo Alto)’는 익스플로잇은 악성코드 배포에 매우 효과적이기 때문에 위협적인 공격이라고 언급했다. 악성 메일과 같은 경우에는 사용자가 주의해서 열어보지 않으면 그만이다.

그런데 익스플로잇의 경우 본인도 모르게 시스템의 취약점을 악용해서 공격해오기 때문에, 사용자 입장에서는 위협적일 수밖에 없다.

작년에 익스플로잇은 가장 큰 화두였다. 랜섬웨어 일종인 ‘워너크라이(WannaCry)’ 때문이라고 할 수 있다. 작년 5월 워너크라이로 인해서 150개국의 30만대 이상 기기가 피해를 입었는데, 이처럼 수많은 기기가 감염된 이유는 익스플로잇 수법 때문이다. 해커 그룹은 윈도 공유 폴더 기능으로 활용되는 ‘SMB(Server Messaging Block)’ 취약점을 악용해 워너크라이를 퍼뜨린 것이다.

취약점을 악용하는 수법인 익스플로잇 ⓒ Flickr

‘드라이브 바이 다운로드’는 익스플로잇 유형

이제 드라이브 바이 다운로드를 정의해보면, 익스플로잇의 일종으로 웹 사이트만을 대상으로 하는 악성 수법이다. 사이트 방문만으로 악성코드에 감염시키는 익스플로잇으로도 정의할 수 있다.

따라서 웹 사이트에서 사용하는 소프트웨어, 웹 사이트 자체의 코드의 취약점을 악용하는 행위를 모두 드라이브 바이 다운로드로 정의할 수 있다.

드라이브 바이 다운로드도 익스플로잇의 일종이어서 악성코드 전파력이 강하기 때문에 사용자에게는 상당히 위협적이다. 헤르메스 사례처럼 사이트 접속만으로도 감염될 수 있기 때문이다. 보안 전문 기업 ‘소포스(Sopohos)’는 드라이브 바이 다운로드로 평균 0.5초 만에 악성코드에 감염될 수 있어 조심할 필요가 있다고 경고한 적이 있다.

드라이브 바이 다운로드는 ‘스피어 피싱 (Spear-Fishing)’ 수법과도 함께 병행되어 사용될 수도 있는데, 이러한 공격 수법을 ‘워터링 홀(Watering Hole)’이라고 부른다. 참고로 스피어 피싱은 특정 대상을 노리는 악성 공격 수법이다.

드라이브 바이 다운로드는 사이트 방문자를 대상으로 하므로 불특정 다수를 노리는 특성이 강했다. 그런데 전문 해커 집단은 특정인을 노리는 수법으로도 드라이브 바이 다운로드를 이용할 수 있다.

해커 집단은 스피어 피싱에서처럼 특정인의 정보를 수집한 다음 자주 접속하는 사이트를 알아낼 수 있다. 그리고 해당 사이트에 드라이브 바이 다운로드 수법으로 악성코드를 심은 후에 특정인이 방문할 시에 감염시킬 수 있다.

이러한 공격 수법을 워터링 홀이라고 명명한 이유는, 악어를 떠올리면 이해가 된다. 악어는 초식동물을 사냥하기 위해서 물웅덩이에 잠복하는 경우가 많다. 마찬가지로 해커는 특정인을 노리기 위해서 사이트에 악성코드를 잠복시킨다. 이러한 유사점 때문에 해당 악성 수법을 워터링 홀이라고 부르는 것이다.

지금까지 살펴봤듯이, 드라이브 바이 다운로드는 개인, 기관을 가리지 않고 거의 모든 대상을 향해 공격하는 수법이다. 따라서 해당 수법으로 악성코드에 감염될 가능성이 높기 때문에, 메일 열람뿐만 아니라 사이트 방문도 조심할 필요가 있다.

(6741)