2020-05-27 17:50 (수)
[단독] PC방 25만대 PC 좀비화 가능한 취약점...게토골드!
상태바
[단독] PC방 25만대 PC 좀비화 가능한 취약점...게토골드!
  • 길민권
  • 승인 2011.12.22 19:12
이 기사를 공유합니다

PC방 관리SW 게토골드, 상당수 PC방 DB서버 계정비번 동일 적용중
게토, 국내 PC방 점유율 30%…악의적 해커가 장악 가능한 상황
네오위즈게임즈-엔씨소프트-에이씨티소프트 공동 책임져야
온라인 게임포탈 피망을 서비스하고 있는 네오위즈게임즈(대표 윤상규)의 PC방 관리 프로그램 게토골드(www.getogold.co.kr)에 심각한 보안취약점이 발견돼 신속한 조치가 필요한 상황이다. 게토골드는 에이씨티소프트(대표 박택곤)에서 개발한 것으로 현재 국내 5,000여개 이상 PC방에서 사용되고 있으며 국내 PC방 점유율 30%를 차지하고 있는 대표 PC방 관리 프로그램이다. 한편 엔씨소프트(대표 김택진)는 게토골드 개발사 지분을 15% 소유하고 있고 네오위즈게임즈와  함께 게토골드를 공동 활용하고 있는 기업이다.  
 
게토골드는 PC방 업주가 원격에서 편리하게 PC방을 관리할 수 있는 프로그램이다. 특히 PC방은 업주와 아르바이트생이 교대로 관리하는 특성상 업주가 집에서도 PC방을 체크해야 한다. 게토골드는 PC방 업주가 집에서도 PC방 상황을 관리할 수 있도록 데이터베이스 시스템의 권한을 원격접속이 가능하도록 열어두고 있다.
 
◇게토골드, MSSQL DB서버 SA계정 상당수 PC방에 동일적용=여기서 문제가 발생한다. 이때 사용하는 MSSQL DB서버의 최고 관리자 계정인 SA계정의 비밀번호를 개발업체 측에서 ‘!dpdlXXXXXXX’(일부 X로 표기)로 상당수 게토골드 사용 PC방에 동일하게 사용하고 있다는 점이다. 
 
이때 사용되는 데이터베이스 계정은 게토골드 프로그램의 계정과는 다른 MSSQL2005의 고유한 계정으로 게토골드 프로그램을 사용하지 않고도 원격에서 SA권한으로 PC방의 데이터베이스에 접근할 수 있게 된다.
 
만약 해커가 SA권한으로 PC방 데이터베이스에 접근하게 되면 해당 PC방의 모든 PC는 해커에 의해 장악 당하게 되고 PC방에서 사용하는 사람들의 사용내역 뿐만 아니라 회원들의 개인정보, 게임들의 CD키 등도 빼내 갈 수 있다.
 
◇공격자, 관리자 권한회득 후 다양한 사이버공격 가능=더 심각한 것은 DB서버 최고 관리자 권한을 획득하면 PC방 내부 전체 PC에 DOS명령으로 각종 악성코드를 삽입해 정보유출 뿐만 아니라 좀비PC로 만들어 대규모 DDoS 공격과 다양한 사이버 공격을 시도할 수 있다는 점이다.
 
공격 형태는 여러가지가 있을 수 있다. 악의적 공격자는 먼저 게토골드를 사용하는 PC방을 찾아 들어간다. 게토골드가 30% 이상의 점유율을 가지고 있기 때문에 쉽게 게토 PC방을 찾을 수 있다. 일단 게토골드를 사용하는 PC방이라면 카운터의 관리 PC에 MSSQL이 설치되어 있다. 이때 공격자는 PC방 컴퓨터중 한대의 컴퓨터에 패킷 스니핑으로 PC방 카운터 PC의 IP를 알아낸다.
 
공격자는 IP를 확인하고 자신의 작업장으로 돌아와 간단히 MSSQL을 접속하는 프로그램을 설치한 뒤 가지고 온 IP에 MSSQL 기본 포트인 1443포트로 접근한다. 이때 DB 계정명은 MSSQL 기본 관리자 계정명인 SA로 지정하고 비번은 현재 대부분 게토 PC방에서 사용하고 있는 ‘!dpdlXXXXXXX’(일부 X로 표기)로 접근한다. 이렇게 되면 데이터베이스 내용을 최고 관리자 권한으로 모두 볼 수 있게 된다. 
 
공격자는 최고 관리자 권한으로 데이터베이스에 대한 내용을 모두 확인할 수 있다. 이는 PC방에서 사용하는 이용자 사용내역과 회원 정보, 게임 CD키 등 민감한 정보를 모두 쉽게 빼내올 수 있는 상황이다.   
 
더욱이 MSSQL의 최고관리자 권한을 획득했기 때문에 MSSQL의 쿼리문을 통해 PC방 컴퓨터 전체에 다양한 악의적 명령을 실행할 수 있다.
 
이때부터 공격자는 PC방 관리자 PC의 전권을 완벽하게 획득했기 때문에 'dir c:‘나 ’ipconfig /all'과 같은 DOS명령을 내릴 수 있게 된다. 공격자가 PC전체를 관리하는 관리PC에 원하는 명령을 내릴 수 있다는 것이다. 이는 다양한 해킹방법이나 키로깅과 같은 기법과 연계되면 완전히 관리 PC를 자신의 컴퓨터와 같은 상황으로 만들 수 있는 상황으로 관리 PC 뿐만 아니라 PC방에서 사용되는 다른 PC까지 모두 완전히 장악할 수 있다.
 
또 굳이 게토 PC방을 찾아가지 않아도 된다. 기술이 뛰어난 해커라면 직접 게토홈페이지를 뚫어 전국 게토 영업점의 IP목록을 획득해 위와 같은 방법으로 동시에 5,000여개 PC방을 대상으로 원격에서 공격을 할 수 있을 것이다.
 
또 다양한 공격 방식이 가능하다. 공격자가 DB서버를 장악하면 DB에 게토원격 관리자 접속정보가 기록돼 있다. PC방 업주가 집에서 PC방에 접속해 관리하는 프로그램으로 그 정보가 DB에 저장돼 있기 때문에 공격자는 그 정보를 가지고 PC방 사장권한으로 접속할 수 있는 정보를 재조합할 수 있다.
 
공격자는 재조합된 정보를 파일로 만들어서 얼마든지 관리자 PC에 원격접속을 할 수 있다. 이렇게 접속하면 공격자는 쉽게 관리자 권한으로 내부 PC를 통제할 수 있게 된다. 게토골드가 제공하는 원격관리 기능을 해킹을 통해 악의적으로 사용할 수 있다는 것이다.
 
만약 게토골드가 제공하는 원격관리 기능을 사용해 각각의 PC를 제어하지 못한다 하더라도 일단 카운터 PC 제어권을 DB에서 획득했기 때문에 내부 네트워크를 스푸핑 기술로 감염시켜 전체 PC에 다양한 악성코드나 웜을 심을 수도 있어 전체를 장악할 수 있게 된다.
 
또 공격자는 인터넷에서 공개된 게토골드 프로그램을 다운받아 리버싱 해보면 바로 MSSQL 관리자 SA의 비밀번호가 인코딩되어 박혀있는 것을 확인할 수 있다. 여기까지 확인하고 PC방 중에서 1443포트가 열려있다는 가정을 하고 테스트베드를 구축해 위와 같은 공격작업을 진행해도 전체 PC를 장악할 수 있다.
 
게토골드 개발사가 잘못한 부분은 바로 1443 포트로 원격에서 DB로 접속할 수 있게끔 프로그램구조를 설계했다는 점이다. 또 PC방의 접속 클라이언트에 버젓이 패스워드가 박혀있다는 점을 지적할 수 있겠다. 더욱이 그런 취약한 DB에 원격관리 프로그램의 접속정보가 모두 노출되어 있다는 점도 심각한 상황이다. 이러한 취약점으로 인해 공격자는 마음만 먹으면 현재 국내 게토골드 PC방 전체 PC를 장악해 엄청난 양의 좀비PC를 만들어 대규모 사이버 공격을 가할 수 있는 상황이다.
 
◇현재 취약점 공격으로 25만대 PC 좀비화 가능해=1개 PC방에 있는 PC를 평균 50대로만 잡아도 공격자는 5,000여 개 PC방 25만대의 PC를 장악할 수 있는 상황이다. 25만대의 PC를 좀비화하는데 성공한다면 공격자는 다양한 사이버공격과 대규모 DDoS 공격을 감행해 국내 모든 공공기관과 민간 사이트를 초토화시킬 수 있다.
 
모 보안전문가는 “이 문제는 게토골드 자체의 취약점과는 별개로 게토골드 프로그램이 사용하는 MSSQL DB서버의 SA 패스워드를 동일하게 사용하는 것이 심각한 문제다. 즉 게토골드 측에서 PC방에 설치해주는 방식에 문제가 있다”고 설명하고 “예전에 가정용 인터넷 전화의 공유기가 모두 비번이 동일해 도청 등에 취약하다는 문제와 유사한 것으로 보인다”고 말했다.
 
모 해커는 MSSQL DB서버 즉 PC방 관리 PC 주소를 어떻게 알아낼 수 있느냐는 질문에 “모든 PC방에 있는 PC는 DB서버와 통신을 해야 하기 때문에 PC방 컴퓨터에 돌아다니는 패킷을 조사하면 알아낼 수 있다”며 “어려운 기술이 아니라 기본적인 네트워크 상식이 있는 사람이라면 누구나 가능하다”고 밝혔다.
 
또 “인터넷에 무료 MSSQL DB서버 접속 클라이언트가 많이 있다. 이를 통해 접속하면 되고 접속할 때 필요한 정보는 모두 알아낼 수 있다”고 덧붙였다.
 
◇에이씨티소프트 뿐만 아니라 네오위즈게임즈와 엔씨소프트도 책임있어=네오위즈게임즈와 게토골드 개발사인 에이씨티소프트는 게토골드 프로그램 운영에 이러한 취약점이 존재하고 있고 공격도 가능하다는 것을 모르고 있었던 것으로 파악되며 만약 알고도 그대로 방치했다면 더 큰 문제다.
 
모 보안전문가는 “PC방의 수많은 PC들이 악의적 해커에 의해 장악당해 엄청난 좀비PC가 만들어질 수 있는 상황임에도 불구하고 지금까지 방치한 것은 운영사와 개발사에 문제가 있는 것 같다”며 “프로그램 구조상 업체에서 패치하는 것보다 각각 PC방들에 특정 포트를 막으라고 해야 해결될 문제로 보인다”고 조언했다.
 
또 다른 전문가는 “MSSQL SA 권한의 비밀번호를 모든 PC방 마다 다르게 설정하도록 관리해주어야 한다. 또한 관리PC의 원격접속 권한 역시 없애야 한다”며 “PC방은 MSSQL SA권한의 비밀번호 관리가 필요하고 원격접속을 하지 않고 PC방 관리는 PC방의 내부 네트워크에서만 해야 한다”고 밝혔다.
 
더불어 “PC방 사용자는 항상 PC방의 보안 상태가 대단히 취약하다는 것을 알고 있어야 하고 되도록이면 로그인이나 금융거래와 같은 민감한 서비스를 사용하지 말아야 한다”며 “부득이한 경우 OTP와 같은 일회용 인증도구를 사용할 것을 권장한다”고 밝혔다.
 
네오위즈게임즈는 얼마전 게토골드 개발사인 에이씨티소프트를 인수했다. 네오위즈게임즈의 기존 사업과 시너지를 극대화해 안정적으로 게임사업을 전개해 나가기 위한 전략이었다.
 
또 그동안 에이씨티소프트는 엔씨소프트와 전략 관계를 맺어왔다. 엔씨소프트는 지난 2007년 5월 에이씨티소프트의 지분 15%를 7억7000만원에 인수했다. 에이씨티소프트의 경영권이 네오위즈게임즈에 넘어갔지만 엔씨소프트의 지분은 그대로 유지됐다. 이에 따라 게토골드 프로그램을 두 회사가 일정 비율로 활용하고 있다.
 
따라서 국내 대표 게임사인 네오위즈게임즈와 엔씨소프트는 게임활성화만 생각할 것이 아니라 개발사 에이씨티소프트의 게토골드 PC방에 대한 전면적인 취약점 점검을 실시하고 대규모 좀비PC를 양산할 수 있는 취약점을 제거해야 한다.
 
데일리시큐는 게토골드 PC방의 취약성을 한국인터넷진흥원(KISA)에 통보한 상태이며 KISA에서도 해당 업체에 취약성 패치를 할 것을 권고하겠다고 밝혔다.
[데일리시큐=길민권 기자]