7.7이나 3.4DDoS 공격은 악성코드의 대량 유포가 가능했기 때문이었다. 또 대량의 개인정보유출 사건사고들도 대부분 악성코드가 그 길을 열어주었기 때문이다. 5일 열린 제16회 정보보호 심포지엄에서 정석화 경찰청 사이버테러대응센터 수사실장은 ‘최근 사이버범죄의 표적과 대응’이라는 주제로 의미있는 발표를 했다.


 
정석화 실장은 “최근 악성코드는 이메일 첨부파일을 통해 유포하던 고전방식에서 벗어나 유틸리티나 동영상 파일로 위장해 악성코드를 유포하기도 하고 웹하드 자동업데이트 기능을 악용해 악성코드를 동시감염 시키기도 한다. 또 코드서명인증서로 전자서명 후 액티브X 악성코드를 유포하는 방식으로 진화하고 있다”고 설명했다. 특히 “예전의 무차별 감염에서 선별적 감염 방식으로 진화하는 것도 특징”이라고 덧붙였다.  
 
또 그는 “현재 유포되고 있는 악성코드 대부분에는 원격제어 기능과 관리자가 알지 못하도록 역접속 기능을 탑재하고 있다”며 “이 역접속 기능을 통해 방화벽 등 보안시스템 우회와 무력화가 가능해진다”고 경고했다.
 
좀더 구체적으로 살펴보면, 서버에 설치되는 악성코드는 웹쉘과 역접속툴이다. 해커는 서버 취약점을 직접 공격한 후, 악성코드를 설치하기도 하고 사내망에 역접속툴을 설치하고 경유해 서버망에 접근한 후 악성코드를 설치한다. 이때는 탐지가 쉽지않다. 대용량 DB가 유출된 A사 사건도 이와 같은 방법으로 해킹을 당했다고 볼 수 있다.
 
한편 해커들은 PC를 대상으로 역접속툴들을 설치하기도 한다. 이때는 자동 업데이트, 코드서명 액티브X, 유틸리티 및 동영상 파일로 위장해 감염을 시도한다. 예전에는 사용자 부주의로 감염되는 사례가 많았지만 최근에는 사용자 부주의와는 상관없이 감염되는 사례가 증가하고 있다. 7.7과 3.4 DDoS 사건에는 자동 업데이트를 사용해 악성코드가 유포됐다.
 
또 하나 최근 악성코드 유포 특징은 무차별 감염 보다는 선별적 감염을 시도한다는 점이다. 무차별 감염시도는 대량 좀비PC를 만들기는 쉽기만 들통나기 쉽다. 하지만 선별적 감염 시도는 3자에 알려지지 않기 때문에 분석과 치료가 힘들어지는 효과가 있다.
 
◇전자서명 액티브X에 의한 악성코드 유포 증가
정석화 실장은 “지난해부터 최근까지 코드서명 인증서를 악용한 악성코드 유포사례가 늘고 있다”며 “코드서명 인증서란 공인인증기관이 발행하는 인증서로 인터넷에 배포하는 프로그램의 제작회사를 확인해주는 증명서로서 배포 프로그램의 안전성과 신뢰성을 보장해 주는 인증서”라고 설명했다.
 
하지만 “공인인증서와 달리 코드서명 인증서는 공인인증기관과 사용자간 인증절차가 없기 때문에 인증서가 유효한지 알 수가 없다. 그래서 사용자들은 대부분 설치를 클릭하게 되고 악성코드가 설치되는 것”이라며 “지난해 상당히 많은 PC들이 이런 방법으로 악성코드 감염이 됐다”고 밝혔다.
 
◇자동 업데이트에 의한 악성코드 유포
이 방법은 7.7 DDoS 공격과 3.4 DDoS 공격에 실제 사용됐던 악성코드 유포 방법이다. 북한이 주로 사용하는 공격방법이라고 한다. 특정 웹하드나 P2P 사용자들은 해당 사이트를 이용하기 위해서 전용프로그램을 다운로드해 설치하게 된다. 이를 악용한 공격방법이다.
 
정 실장은 “전용 프로그램을 설치하면 부팅과정에서 자동업데이트가 시도된다. 해커는 이 메카니즘을 파악하고 웹하드 업체를 해킹해 자동 업데이트 기능에 악성코드를 삽입해 둔다. 그렇게 되면 해당 사이트를 사용하는 모든 PC가 일제히 악성코드에 감염되고 결국 해커의 조종을 받는 수많은 좀비PC가 만들어지는 것”이라고 설명했다.
 
◇특정 IP대역을 선별적으로 감염시키는 악성코드 유포
최근 가장 자주 발생하는 유포 수법이다. 다양한 공격방법들이 혼용된 형태다. 정 실장은 “해커는 해킹을 하려는 타깃 회사가 정해지면 인터넷과 사회공학적 방법을 동원해 해당 기업 사내 IP대역망을 알아낸다. 알아내는 방법은 간단하다. 회사 직원에게 메일만 한통 받으면 끝이다”며 “받은 메일을 분석하면 해커는 쉽게 타깃 회사의 IP대역을 확보할 수 있다”고 설명했다.
 
또 “이때 해커는 웹서버 3개를 만든다. 하나는 해킹으로 리다이렉트 설정을 하고 또 하나 웹서버에는 악성코드를 설치하고 마지막에는 VPN을 설정해 경유지화해 놓게 된다. 그후 타깃 회사 직원이 감염되면 사내 전체 PC가 감염되고 해커는 이를 활용해 사내 네트워크에 침입한다”며 “해커의 최종 목적은 회사 PC가 아니라 해당 회사 네트워크로만 접속할 수 있는 서버에 접속하기 위해서다. 최종 서버에 접근권한을 갖게 되면 해커는 모든 정보를 밖으로 빼내 올 수 있게 되는 것”이라고 말했다.  
 
◇악성코드 유포, 역접속 차단 솔루션으로 예방
정 실장은 “우선 네트워크 기반 대응이 필요하다. 서버망에 아웃바운드 패킷을 차단하고 송수신 패킷량을 모니터링 해야 한다. 또 TCP 80 등 쉽게 알 수 있는 포트의 비정상 패킷을 모니터링하고 기업용 좀비PC 방지 솔루션 도입을 추천한다”고 조언했다.
 
또 서버기반 대응으로는 “웹쉘 등 파일 생성여부를 모니터링해야 하고 PC방화벽 프로그램을 설치하는 것이 중요하다. 또 무엇보다 가장 중요한 것은 역접속 경고 및 차단 솔루션을 설치하면 상당히 많은 해킹 시도를 사전에 탐지하고 예방할 수 있다”고 강조했다. 하지만 국내에서는 아직 역접속 차단 솔루션이 제대로 나오지 않고 있어 이 부분을 안타까워했다.
 
PC에 반드시 설치돼야 하는 필수 보안프로그램 3종 셋트로는 백신과 키보드 보안, 방화벽 등을 추천했다. [데일리시큐=길민권 기자]