2024-04-23 18:55 (화)
금융권, 악성코드 대응...제대로 하고 있나
상태바
금융권, 악성코드 대응...제대로 하고 있나
  • 길민권
  • 승인 2014.01.22 15:56
이 기사를 공유합니다
지난 12월 6일~8일까지 제2금융권 악성코드 유포 정황...근본 대책 필요
2014년 벽두를 뒤흔든 초대형 블록버스터급 금융권 정보유출 사고가 여전히 처리되지 않은 채 국민들을 분노와 혼란에 빠뜨리고 있다. 사람 관리를 제대로 하지 못해 발생한 사고로 고객정보 1억 400만건이 유출된 인재다. 이와 더불어 금융권의 악성코드 공격에 대한 대비도 제대로 이루어져야 한다는 지적도 나오고 있다.
 
빛스캔(대표 문일준) 측은 21일 보도자료를 배포하고 “금융기관과 관련된 사례에서 널리 알려지지 않은 사례 중 하나는 지난 2013년 12월 5일경, 저축은행 관련 기관 웹사이트에서 악성코드 링크가 유포된 상황이며, 확인된 즉시 관계부서에 알린 바가 있다. 이후에도 12월 6일 저녁 다시 관찰된 바가 있다. 악성코드 유포현상은 8일까지 지속되었다”고 전했다.
 
문제의 원인은 해당 기관 서버가 위치한 네트워크 영역에서 악성코드 감염을 위한 ARP Spoofing 공격이 발생 되어 일어난 것으로 알려지고 있다.
 
참고로 ARP Spoofing 공격은 공격 대상의 IP 주소와 네트워크 장비의 정보를 위조함으로써 공격 대상 컴퓨터와 서버 사이를 오가는 트래픽을 공격자의 컴퓨터로 우회시켜 정보를 탈취하는 공격 방법으로 알려져 있으며, 최근에는 정상트래픽에 악성코드 감염을 위한 주소를 추가시키는 방식으로 대규모 악성코드 감염에 직접 이용되고 있기도 하다.
 
해당 웹서버가 위치한 서버 영역 중 한 곳에서 실제 침입이 발생되어 공격자가 모든 권한을 가진 상황이 발생된 것이 핵심이라는 설명이다.


<저축은행 관련 기관 메인 페이지에서 12월 6일 악성코드 유포 정황>
 
빛스캔 관계자는 “공격자의 권한 획득 이후에 서버에서 발생되는 패킷을 변조해 동일한 네트워크 장비와 연결된 모든 웹서비스에서 방문자들에게 악성코드 감염에 이용되는 링크를 자동으로 배포하게 한 것으로, 일반 사용자 입장에서는 방문만 해도 감염될 수밖에 없다”고 설명했다.
 
ARP Spoofing 공격의 특성 상, 해당 대역에 있는 다른 웹서비스에서도 동일하게 악성코드를 유포하는 행위가 발생하기 때문에 DMZ에 있는 웹서비스 서버에 심각한 보안상 문제가 있다는 뜻으로 해석될 수 있으며, 일부 서버의 경우 공격자가 이미 권한을 보유하고 있는 상황을 가정한다면 내부망의 침입도 의심할 수 있는 매우 심각한 사안이 아닐 수 없다.
 
또한 저축은행들과 연결망을 가질 수밖에 없는 기관의 특성상 제2금융권 전체에 대한 심각한 금융사고 발생 가능성도 있을 수 있어서 더욱더 심각한 상황이라 볼 수 있었다. 침해사고에 대한 분석과 대응은 관계부처에서 완료했겠지만 현재 금융 관련 정보유출 사고와 같은 유형은 직접적인 공격에 의해서도 일상적으로 발생될 수 있다는 점이다.
 
즉 공격자는 모든 권한을 가진 상태에서 내부로 진입할 수 있는 연결지점을 확보하고 외부보다 확연히 보안관리나 감시가 소홀한 내부망에 침입이 가능한 상태였다는 것이 핵심이다. 실제 악성코드 감염 행위는 이러한 최초 교두보 확보 이후에 나타나는 또 다른 공격의 결과로 봐야 한다.

 
내부로 유입되는 단 한대의 좀비PC가 전체에 영향을 미칠 수 있다는 것을 우리는 3.20대란을 통해서 알 수 있었다. 또한 웹서비스에 대한 직접 침입이 내부망으로 들어오는 통로가 되고 현대캐피탈이나 한화손해보험의 사례에서 보듯, 직접적인 정보유출이 발생될 수 있음을 목격한 바가 있다. 매번 대책이 발표되고 있으나 여전히 위험성은 계속 되고 있다. 따라서 정보 유출 통로 및 침입 통로라고 할 수 있는 부분들에 대해서도 다각적인 대책들이 필요해 보인다.
 
빛스캔 관계자는 "웹, 이메일, USB 혹은 사람과 같은 정보유출 통로들에 대해서 다각적인 대책과 노력을 기울여야 현재의 위험성을 줄일 수 있을 것이다. 웹은 웹서핑을 통한 악성코드 감염도 예방을 해야 하겠지만 웹서비스를 자체를 안전하게 유지하고 상시적으로 관찰 할 수 있어야만 한다"고 강조했다.
 
빛스캔은 웹보안 전문기업으로 국내외 210만개 웹사이트를 모니터링하고 있으며 웹사이트를 통해 악성코드에 감염될 수 있는 악성 링크를 탐지 및 분석하는 체계를 운영한다. 이에 누적된 DB를 활용해 차단 장비 및 보고서를 제공하고 있으며, 웹 취약점을 온라인으로 진단할 수 있는 비트스캐너도 운영하고 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com 
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
길민권
길민권 다른기사 보기
  • 서울특별시 송파구 송파대로 201 테라타워2, B동 9층 913-2호
  • 대표전화 : 02-400-2908
  • 팩스 : 02-400-2906
  • 청소년보호책임자 : 길민권
  • 법인명 :
  • 제호 : 데일리시큐
  • 등록번호 : 서울 아 02362
  • 등록일 : 2012년 11월 26일
  • 발행일 : 2013년 11월 26일
  • 발행·편집인 : 길민권
  • 사업자 번호 : 301-87-02348
  • 데일리시큐 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2024 데일리시큐. All rights reserved. mail to mkgil@dailysecu.com
ND소프트