2019-12-09 23:10 (월)
대규모 해킹사건 중심엔 악성코드가 있다
상태바
대규모 해킹사건 중심엔 악성코드가 있다
  • 길민권
  • 승인 2011.11.25 02:04
이 기사를 공유합니다

악성코드 공격, 전년대비 100% 이상 증가해
노명선 KISA 단장 “사이버 위기 대응공조 체계로 악성코드 방어”
올해 3.4 DDoS 공격, 농협 전산망 장애, SK컴즈 해킹사건 등 악성코드로 인한 대형사고들이 지속적으로 발생하고 있다. 공격자들은 웹사이트나 웹하드, 스팸메일, SNS, 메신저 등을 통해 악성코드 감염을 시도하고 감염된 PC를 좀비로 만들어 대량 트레픽을 발생시켜 타깃 사이트에 DDoS 공격을 하거나 기업이 개인정보를 대량으로 유출해 가고 있다.
 
이러한 악성코드로 인해 3.4 DDoS 공격에서는 40개 사이트가 피해를 입었고 116,299대의 좀비 PC가 사용됐다. 악성코드 종류만도 53종으로 밝혀졌다. 또 농협은 273대의 서버가 파괴됐고 SK컴즈는 3,500만명의 개인정보가 유출되는 피해를 입었다.
 
노명선 한국인터넷진흥원 단장은 “최근 악성코드 공격자들은 짧은 시간에 대량의 PC를 감염시키기 위해 다양한 경로를 활용한다”며 “주로 이메일, 메신저, SNS, 네트워크 취약점 및 웹사이트를 통해 감염되고 최근 이슈가 되는 사회적 사건 및 사용자간 신뢰관계 등을 악용하는 사회공학적 방법이 더욱 증가하고 있다”고 경고했다.
 
특히 KISA 통계를 보면, 전년 대비 웜, 바이러스 신고 건수가 30.5% 증가했고 악성코드 유포 사이트는 100.7% 증가한 것으로 나타났다.
 
◇악성코드 어떻게 감염되나=악성코드 감염경로 별로 살펴보면, 우선 웹 방문시 사용자 인지없이 악성코드 감염이 이루어지고 있다. Drive-by-Download 방식이다. 공개된 게시판을 통해 유포되거나 SQL인젝션 등 웹 해킹을 통해 악성코드 유포 사이트 접속코드를 삽입하기도 한다. 또 사용자가 게시물을 확인시 사용자 PC의 취약점을 이용해 악성코드를 감염시키고 공개 게시판의 게시문 변조를 통한 악성 스크립트를 은닉하는 경우도 있다.
 
또 웹하드 등 전용 프로그램을 사용하는 사이트를 해킹해 악성코드를 감염시키기도 한다. 웹하드 서비스 특성상 별도의 필수적 프로그램 설치가 필요한데 웹하드 서비스의 프로그램 관리 서버를 악용해 정상 프로그램을 악성 프로그램으로 변경해 악성코드를 감염시킨다. 7.7과 3.4 DDoS 공격과 SK컴즈가 이러한 방법으로 당한 것이다.
 
스팸메일을 통한 악성코드 감염방식은 메일 첨부파일을 통해 첨부파일이 실행시 자동으로 악성코드가 실행되며 감염된다. 또 스팸메일 확인시 사용자가 인지하지 못한 상태에서 자동으로 악성 URL로 연결하기도 하고 수신한 스팸메일 본문에 포함된 악성 URL에 접속시 감염되기도 한다. 특히 사회공학적 방법으로 스팸메일의 제목과 본문 내용을 지능적으로 구성해 열어보지 않을 수 없도록 교묘하게 발송해 많은 피해가 발생한다.
 
SNS 게시 글을 통해 악성코드를 유포하는 경우도 증가하고 있다. 국내 SNS 서비스인 미투데이를 이용한 악성코드 유포사례도 있고 악성코드가 해커와 통신을 위한 수단으로 악용되기도 한다. 또 명령제어를 위해 SNS 서비스를 악용하기도 한다.
 
한편 악성 앱 설치로 인한 모바일 감염도 우려된다. 스마트폰 이용자들이 보안성 검증이 취약한 앱 마켓에서 악성 앱을 설치하면 감염이 이루어진다. 감염이 이루어지면 통화내용 도청, SMS 다량 발송 및 모바일 DDoS 공격 등 다양한 방식으로 악용이 가능하다.
 
메신저를 통한 악성코드 감염도 심각하다. 사용자의 메신저 계정을 탈취해 메신저 상에 등록돼 있는 친구들에게 악성코드를 자동 전파하고 대화 창의 파일공유 기능을 악용해 악성코드 파일을 전송해 감염을 유도한다. 악성 URL이 포함된 쪽지 전송도 유포 방법중 하나다.
 
◇악성코드 대응은 이렇게=노명선 단장은 “KISA는 악성코드에 대응하기 위해 사이버위기 대응공조 체계를 구축하고 있다”며 “국정원이나 국방부 등과 악성코드 및 사고분석 자료를 공유하고 검찰청, 경찰청 등에 악성코드를 제공하고 사고분석자료도 공유하고 있다”고 설명했다.
 
또 “KT, LG U+, SK브로드밴드, 드림라인, 온세텔레콤 등 112개 업체 등에 악성사이트 차단과 좀비PC 통보 및 자료 요청을 공조하고 있고 IDC 사업자 및 보안관제업체, 통신ISAC, 금융ISAC 등과도 공조하고 있다. 물론 안철수연구소, 하우리, 이스트소프트, SG어드밴텍, 시만텍 등 백신업체와 공조도 긴밀하게 하고 있다”고 덧붙였다.
 
KISA는 현재 악성코드 탐지 및 처리를 위해 국내 사이트 180만개를 점검대상으로 등록해 악성코드 탐지시스템으로 점검하고 있고 악성코드 은닉사이트가 국내인 경우 삭제 요청을 하고 해외인 경우도 상황전파문을 통해 해외 사이트 접속을 차단하고 있다.
 
운영체제의 취약점을 통해 전파되는 악성코드 유포도 탐지하고 있다. 운영체제 취약점이 내재된 서버군을 구축해 웜 형태의 악성코드를 자동 수집해 분석하고 있다. 또 주요 사이트를 대상으로 주기적으로 방문해 악성코드 유포를 탐지하고 있기도 하다.
 
스팸을 통해 전파되는 것을 막기 위해 악성코드 유포에 사용되는 스팸메일을 수집할 수 있는 스팸 트랩 시스템을 구축해 분석하고 있고 자체적으로 DDoS 공격 방어가 불가능한 영세 기업을 위해 홈페이지 IP 주소를 대피소 IP 주소로 변경해 모든 트래픽을 대피소로 우회시켜주는 사이버 대피소도 운영하고 있다.
 
더불어 좀비PC가 인터넷에 접속시 팝업창을 통해 악성코드 감염사실을 알리고 전용백신을 제공해 치료하는 서비스도 하고 있고 인터넷 연동구간에 DDoS 대응시스템을 구축해 DDoS 공격 탐지를 하고 있다. 현재 14개 대응시스템을 운영중이며 향후 전체 연동구간 라우터 76개에 모두 구축할 수 있도록 확대 추진 예정이다.
 
노 단장은 기업에게 “정보보호 투자 확대 및 자사망 서비스 보호를 통한 역할과 책임을 강화해야 하고 안전한 접근관리 및 인증 획득을 통한 정보보호 관리체계도 강화해야 한다. 또 정보보호 인식제고 활동을 통한 건전한 인터넷 문화 조성도 중요하다”고 강조했다.
 
또 “개인들은 검증되지 않거나 불확실한 정보를 인터넷에 유포하는 것을 주의해야 하고 SNS 사용시 개인정보, 위치 등 사적인 내용을 노출하는 것을 주의해야 한다. 그리고 KISA에서 강조한 정보보호 5대 수칙과 SNS 개인정보보호 수칙, 무선랜 안전 수칙, 스마트폰 보안수칙, PC사용자 안전수칙 등을 준수해야 한다”고 강조했다.
[데일리시큐=길민권 기자]