2019-12-12 14:15 (목)
함께 사는 아파트, 함께 감염되는 PC들
상태바
함께 사는 아파트, 함께 감염되는 PC들
  • 길민권
  • 승인 2011.06.17 03:44
이 기사를 공유합니다

Mass SQL 인젝션 취약점과 같은 웹 취약점 노린 공격 ↑
악성코드 유포하는 URL링크에 대한 DB화 및 대응 방안 마련해야
최근 Mass SQL 인젝션 취약점과 같은 웹 취약점을 노린 공격이 증가하고 있지만, 국내외 안티바이러스(백신)뿐만 아니라 보안 업체의 대응이 늦어 피해가 확산되고 있으며, 앞으로 대규모 사고가 발생할 가능성이 꾸준히 제기되고 있다.
 
하루에 약 25만명 이상 방문하는 아파트 커뮤니티 사이트인 XX홈아파트에서는 거의 매주 새로운 악성코드가 삽입되고 있다. 얼마전에는 vcvsta.com/ur.php라는 문자열이 해당 웹서버의 데이터베이스에 삽입되어 유포되고 있으며, 최종적으로는 악성코드를 PC에 다운로드하여 설치(감염)시키는 방식으로 공격이 이뤄진다.(현재에는 삽입된 상태이지만 유포가 차단된 것으로 보여진다)
 
하지만 일반인이 믿을 수 있는 보안 수단은 백신뿐이지만, 이 마저도 신종 악성코드에 대응하는 시간이 너무 느리다. 백신 회사들이 이러한 악성코드를 파악하더라도 긴급 대응을 하기 위해서는 최소 6시간, 보통 1~2일 정도 소요되기 때문이다. 특히 주말에 악성코드가 유포되는 경우에는 보안 전문가도 사람이기 때문에 그만큼 인력 투입이 늦어지게 되어 대응이 더 늦어지게 된다. 진단하기까지 약 2일 정도가 소요된다고 가정해 본다면 약 50만 명의 방문자들이 악성코드에 감염될 가능성이 있다고 말할 수 있다.
 
그리고 이 사이트에 방문하는 사람의 유형을 추정해 보면, 아파트에 살고 있는 평범한 주민이 다수일 것으로 예상되며 이러한 일반인의 보안 의식 또한 그리 높지 않다고 보여진다. 악성코드의 유형 즉, 어떤 취약점을 이용하느냐에 따라 감염률이 달라지지만, 대략 10%만 감염된다고 가정해 보면 약 5만 명이 감염된다고 볼 수 있다.
 
만약 해커가 DDoS 공격을 노리는 악성코드를 유포하는 행동을 취했다면, 자그마치 5만대의 좀비 PC 군단을 보유할 수 있으며, 이 정도 규모라면 대한민국의 어떠한 사이트뿐만 아니라 ISP까지도 무력화시킬 수 있을 정도의 잠재력인 파괴력을 가지고 있다.
 
또 국민은행과 같이 국내 메이저 은행의 인터넷 뱅킹 사이트에 DDoS 공격을 시도한다면, 지난 4월에 발생한 농협 사태보다도 더욱 큰 파장을 불러 올 수도 있다. 특히, 월말 또는 분기 말에 DDoS 공격이 서너 시간만 지속하더라도 은행 한 곳에서 시작한 서비스 장애가 전국 거의 모든 은행에까지 영향을 미치게 될 것이며, 이로 인한 사회적 혼란뿐만 아니라 경제적 손실 또한 막대할 것이다. 아니, 은행에 대한 신뢰가 깨지게 되어 경제계 자체가 흔들릴 가능성도 충분하다.
 
하지만 보안 업체와 유관 기관에서는 백신을 설치하고 보안 패치를 업데이트하라는 몇 년째 동일한 즉, 상투적인 대응 방식만 고수하고 있다. 일반인은 어떤 제품이 믿을 수 있는 백신인지도 제대로 모르고 있으며 하물며 보안 패치가 뭔지 당연히 알 리가 만무하다. 정품 윈도우라도 보유한 경우에는 윈도우 보안 패치라도 되니 그나마 다행이다. 최근 문제가 불거지고 있는 어도비 아크로밧(Adobe Acrobat), 플래쉬플레이어(Flashplayer)같은 경우에는 일반인이 취약점이 있는지도 모르고, 보안 패치가 있는지조차도 모른다.
 
따라서, 이를 막을 수 있는 새로운 방식을 고민해 봐야 한다. 이를 위해서 먼저 악성코드가 어떻게 유포되고 있는지부터 차근차근 살펴볼 필요가 있다.
 
한국인터넷진흥원(KISA)에서 2005년도에 발간한 ‘웹 해킹을 통한 악성코드 유포 사이트 사고 사례’ 보고서를 인용 요약해 보면 다음과 같다.
 
◇공격 과정
1. 사용자 입력 또는 URL 인자값에서 SQL Injection 공격이 가능한 페이지 탐색
2. 취약 페이지에 대한 SQL Injection 공격 수행(자동화된 공격 도구 이용)
3. 추가적인 공격을 위해 웹쉘 프로그램(또는 백도어)과 같은 ASP 파일 업로드
4. 웹쉘을 통해 웹페이지 파일에 악성코드 URL 삽입
(http://www.krcert.or.kr/unimDocsDownload.do?fileName1=050629-IN-2005-012.pdf&docNo=IN2005012)
 
이미 이 보고서는 보안에 관심이 있는 사람들이 익히 들어서 알고 있는, 웹사이트에 존재하는 SQL Injection 취약점을 이용한 공격으로 이미 10여 년 전부터 위험성에 대해 누누이 언급되고 있지만 아직까지도 해결하지 못하고 있다. 아니 해결하지 못하는 ‘난제’가 아닐까 생각된다.
 
게다가 이 보고서는 2005년도에 발간한 보고서로 그 이전부터 이러한 피해 사례가 발생하고 있었을 것이다. 현재에도 동일한 공격이 발생하고 앞으로도 그럴 것으로 예상된다.
 
이제 원인을 알고도 해결하지 못한다는 자포자기하는 심정을 가지지 말고, 이제부터는 감염되는 과정에서 막을 수 있는 방안을 고민해 봐야 하지 않을까?
 


<이미지 출처: 안랩 ASEC 대응팀 블로그 http://core.ahnlab.com/266>
 
그림을 단계 별로 살펴 보면, 다양한 유통 경로(링크)를 타고 가다가 마지막에 최종적으로 악성코드 파일(여기에서는 플래쉬(Flash) 취약점을 이용하는 SWF 파일)을 다운로드하는 것을 볼 수 있다.
 
그렇다면 여기에서 먼저 악성코드 파일에 대한 대응을 보면, 이에 대한 가장 적합한 분야가 바로 백신 업체다. 즉, 악성코드가 새롭게 출현한다는 의미는 새로운 실행파일이 나왔다는 것으로 이미 20여 년 전부터 백신 업체가 해오던 업무니까 접어 두자.
 
우리가 관심을 가져야 할 부분은 바로 악성코드를 유포하는 가교 역할을 하는 URL 링크이다. 만약 이 링크는 앞서 언급한 것과 같이 SQL Injection 취약점을 이용해 웹사이트에 삽입한 URL이다. 참고로, 분석이나 추적이 어렵도록 여러 개의 URL 및 관련 파일(JS, HTM)을 이용한다.
 
만약 이 링크를 빨리 파악한다면 다음과 같은 효과를 가져 올 수 있다.
 
1. 최종적으로 다운로드되는 악성 코드 파일을 백신 업체가 보다 빨리 입수 및 분석하여 보다 빨리 진단이 가능해 진다.
2. 중간에 유포되는 경로를 네트워크 경계에 위치한 웹 프록시 장비 또는 ISP 단에서 직접 차단하게 되면, 백신이 차단할 수 있도록 기다리거나 할 필요 없이 즉시 효과를 가져올 수 있다. 다만, 이를 위해서는 네트워크 장비가 필요하고, URL이 정상적인 웹사이트라면 해당 웹사이트의 관리자 또는 일반인이 클레임을 제기할 가능성이 있기도 하다.
 
다행이 국내 안철수연구소에서 웹 상에서 다운로드되는 악성코드를 진단하는 트러스가드 DPX 제품군이 출시된 것을 비추어 볼 때 국내 보안 벤더에서도 웹으로 유입되는 문제점에 대해 인식하고 있다고 볼 수 있다. 다만, 백신 업체라는 전제하에 ASD 즉, 사용자의 PC에서 수집하는 정보를 기반으로 한다는 점에서 일부 한계가 있다고 볼 수도 있다.
 
현재 국내외적으로 악성코드를 유포하는 URL 링크에 대한 데이터베이스 및 관련 대응 방안에 대해서 충분한 방어가 되어 있다고 보기에는 어렵다. 보안 벤더 및 기관의 끊임없는 기술 개발과 혁신을 기대한다. [빛스캔 주식회사 문일준 대표]