2021-04-23 20:55 (금)
CJ미디어, 해킹당해 악성코드 중계지로 악용돼!
상태바
CJ미디어, 해킹당해 악성코드 중계지로 악용돼!
  • 길민권
  • 승인 2013.01.07 14:49
이 기사를 공유합니다

공격자의 내부망 침입과 정보 탈취도 의심스러운 상황!
빛스캔 “집중적인 문제해결 노력이 필요한 시점”
국내 굴지의 엔터테인먼트 그룹인 CJ 그룹에서 온라인 서비스 유지관리 시스템에 이용되고 있는 한 웹서비스, CJ미디어 사이트가 악성코드 중계에 이용된 정황이 지난 12월 24일 국내 120만개 사이트를 대상으로 악성코드 유포 모니터링, 탐지 전문기업 빛스캔(대표 문일준)에 의해 포착 되었다.
 
이 사실을 최초 발견하고 데일리시큐에 제보한 빛스캔 관계자는 “해당 사이트는 rq.cjmedia.net이며 해당 사이트는 권한을 가진 제한적인 관리자들만 이용할 수 있는 사이트로 판단된다”며 “전체 악성링크 중계 경로는 rq.cjmedia.net/xxx/ext/index.html이며 12월 26일에도 유지가 되고 있는 상태였다. 방문자에게 악성파일을 직접 유포한 곳은 파일공유 사이트들이며 cjmedia.net 서비스는 악성코드 중계지로 활용이 된 상황이다. 최초 12월 24일 오전에 탐지 되었으며 오후에는 다른 중계경로로 변경이 된 상황”이라고 전했다.

 
빛스캔에서 분석한 공격자에 의해 생성된 악성링크 구조는 다음과 같다. 붉은색 박스 부분이 공격이 실행 되는 부분이다. 정체를 찾기 어렵도록 여러 단계의 중계링크를 이용 하였고 최종 중계링크는 cjmedia.net의 웹서비스이다. 최근 이와 같이 국내 사이트를 해킹하여 여러 단계에 걸쳐 공격에 이용하는 현황이 급증하고 있어서 탐지 및 차단에 어려움이 있을 것이라고 빛스캔 측은 밝혔다.

 
현대캐피탈의 사례에서 보듯 비교적 비중이 낮은 사이트들은 보안점검과 관리체계에서도 우선순위가 낮을 수 밖에 없다. 인터넷을 통해 접근이 가능한 모든 웹서비스들은 동일한 공격을 받을 수 밖에 없음에도 불구하고 방문자가 적거나 제한적인 이용만 하는 사이트의 경우에는 중점적인 관리대상에서는 항상 제외가 될 수 밖에 없다. 그 이유는 점검에 들어가는 비용과 인력을 감당 할 수 없기 때문일 것이다. 
 
올해 5월에 발생된 IBM의 연구관리 사이트인 researcher.ibm.com의 해킹 사례도 동일한 관점에서 볼 수가 있다. 웹 서비스의 개발보다 오래 걸리는 보안점검과 전문인력의 투입은 비용대비 효과를 극도로 떨어뜨리는 상황이 현재의 상황이다. 지금의 상황은 외부에 공개된 모든 웹서비스에 대해 일괄적이고 상시적인 관리 체계가 필요함을 의미하고 있으며 최소한 100%에 가까운 정밀한 점검은 1년에 1회 정도 하더라도 자동화된 공격도구에 손쉽게 당하지 않으려면 잦은 변경과 사소한 변경에도 수시로 점검 할 수 있는 도구나 체계가 필수적이라 할 것이다.
 
실제 보안 진단을 하는 스캐너의 경우 진단을 시작할 경우 데이터베이스 훼손이나 소스코드 훼손과 같은 장애가 발생 할 수 있어서 약속된 시간에 개발자와 운영자들이 대기한 상태에서 진단을 할 수 밖에 없다. 단지 한 줄의 소스코드 추가에도 점검을 해야 한다면 정상적인 서비스 운영은 불가능한 상황이라 할 것이다. 사람으로 예를 들면 매일같이 내시경검사를 받아야 되는 그런 상황이 된다. 물론 검사를 받는 상황에는 다른 업무들은 불가능한 상황이 된다. 웹서비스 차원에서는 대외적인 서비스 제공은 할 수 없는 치명적인 상황이 되는 것이다.
 
빛스캔 측은 “악성코드 중계에 이용되는 국내 웹서비스는 탐지를 회피하고 추적을 어렵게 하려는 공격자들에 의해 활용 비율이 계속 증가되고 있다. 그만큼 국내 웹서비스 생태계가 취약함을 의미한다”며 “웹서비스 소스 변경을 위해서는 서버에 대한 충분한 권한을 가져야만 가능하다. 매번 공격자는 웹소스를 변경하여 모든 방문자들에게 악성코드 감염을 시도하는 현재의 상황은 충분히 위험한 상황이라 할 수 있다. 대기업이 관리하는 웹서비스들 조차 악성코드 중계지로 이용되는 현실은 지난해의 현대캐피탈의 사례와 다를 바가 없다”고 우려를 표했다.  
 
또 “최소한 현재의 공격자들이 자주 사용하고 공격효과가 매우 높은 기법인 URL 상의 인자에 대한 SQL Injection 공격은 이미 자동화된 공격도구들이 매우 많이 존재한다. 이 공격기법은 웹서비스를 경유하여 데이터베이스를 직접 공격하는 형태이므로 더 치명적인 사안”이라며 “해외 외신에서 나오는 이름만 들어도 알만한 기업이나 국가기관의 해킹에는 대부분 인자에 대한 SQL Injection 공격기법이 직접 이용 되었고 데이터베이스를 공격함에 따라 내부 데이터 유출도 계속 발생되고 있는 상황”이라고 설명했다.
 
문제를 해결하기 위해서는 모든 URL에 이용되고 있는 인자들에 대해 유효성 체크를 해야만 하는데 이 체크는 현재로서는 내시경검사와 같은 정밀검진으로만 가능한 상황이다. 그렇다고 하루가 멀게 변경되고 추가되는 웹소스의 상태에서 매일같이 정말검진을 한다는 것은 불가능한 상황이라 할 수 있다. 
 
가볍게 웹서비스를 중지 시키지도 않고 데이터베이스 및 소스코드의 변경이나 훼손이 발견 되지도 않으면서 빠른 시간 내에 웹서비스의 URL 인자값의 유효성을 체크 할 수 있는 방안은 없을까?
 
OWASP Top 10과 같은 항목 진단은 일년에 한번 정밀진단으로 할 수 있다. 지금 이 순간 가장 필요한 것은 외부에 노출된 웹서비스들이 잦은 변경과 갱신이 되는 현재의 상태에서 자동화된 공격도구의 공격대상이 되는 것을 막을 수 있는 것인가가 관건이 될 것이다. 모든 보안장비를 동원하여 막는다 해도 문제의 근원이라 할 수 있는 소스코드의 취약성을 없애지 않는다면 모든 문제는 다시 원점이 된다.
 
소스코드 취약성을 초기단계에서부터 진단하는 문제도 잦은 변경이 발생되는 웹서비스의 문제를 해결하기에는 매우 역부족이다. 변동성이 큰 웹 소스에서 소스코드 차원의 문제를 발견하기란 여간 어려운 일이 아니다. 더군다나 웹은 액티브 컨텐츠인데 반해 소스코드 진단은 정적인 진단만을 할 수 있다는 점은 현재 문제 해결과는 동떨어진 것으로 볼 수 있다. 비용 측면도 매우 높은 수준일 것이다.
 
빛스캔 측은 더불어 “CJ Media 관리 서버의 해킹과 악성코드 중계지로의 활용은 이미 내부망에 대한 침입과 정보 탈취들은 현대캐피탈의 사례에서 보듯 일어난 상황일 수도 있다”며 “지금의 상황은 대기업과 금융기관을 가리지 않고 악성코드 유포에 이용되거나 악성코드를 중계하는 심각한 상황이며 집중적인 문제해결 노력이 필요한 시점”이라고 강조했다.
 
빛스캔에서는 국내 120만개, 해외 10만여 개의 웹서비스에 대해 상시적인 악성코드 유포를 모니터링 하고 있으며 사전위협 탐지 체계를 갖추고 매주 수요일 한 주간의 공격과 위협, 공격코드의 구성과 악성파일의 유형, 자주 이용되는 취약성에 대해서 보고서 형태로 정보를 제공하고 있다. 또한 국내기업으로는 최초로 해외 정보공유 사이트인 exploit-db 사이트에 KAIST 정보보호대학원과 공동으로 올 하반기에만 4종의 취약성 분석 문서를 공개함으로써 세계적으로 그 역량을 인정받고 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com