중국산 악성프로그램 한글화해 한국 유명 메신저 통해 판매
체험판 무분별 배포…친절하게 상담까지
공공연하게 불법적 해킹용 도구를 개발하여 몰래 판매하는 사례가 해외에서는 다소 있는 편이었는데, 근래에 한글로 된 웹 사이트 등을 이용해 다양한 악성 프로그램을 한글화하여 판매 또는 대행하는 사이트가 발견되었다.
 
해당 사이트에서는 종류별로 고가의 금액으로 다양한 악성프로그램을 판매하고 있으며, 국내 유명 메신저 등을 통해서 실시간 구입 상담까지 진행하고 있어 주의가 필요하다. 또한, 체험판 다운로드 등을 통해서 사용자들에게 악의적인 해킹 프로그램을 무분별하게 배포하고 있어 문제시되고 있다.
 
일반적으로 악의적 기능의 원격 제어 프로그램이나 DDoS(분산서비스거부) 공격용 프로그램을 판매하는 경우는 모두 불법적 요소에 해당하며, 현재 해당 사이트를 통해서 판매를 시도하고 있는 대부분의 파일들은 기존에 이미 널리 알려져 있는 중국산 악성 프로그램으로 분류되고 있는 형태로 파악되었다. 중국산 악성 프로그램을 메뉴나 문구 등을 한글화하여 한국인을 상태로 재판매를 하고 있다고 볼 수 있는 경우이다.
 
보통 이러한 경우는 중국내 사이트나 블로그 등에 한글 버전을 별도로 게시하고 판매하는 경우가 종종 있었는데, 웹 사이트 자체를 한글로 만들고 한국에서 널리 사용하는 메신저로 상담까지 해 주는 경우는 이례적인 사례이다.

아래는 중국 블로그에 한국어 버전의 해킹 도구 내용이 올려져 있는 내용이다.

 
이번에 발견된 웹 사이트는 다음과 같이 한글로 된 웹 페이지와 한국어 버전의 악성 프로그램을 판매하고 있는 것이 특징이고, 버전별로 판매 금액이 표시되어 있다.

 
그외에도 Hack Tool 종류로 악성 파일을 손쉽게 제작할 수 있는 생성기용 도구와 플래시 플레이어 취약점(Exploit) 공격용 악성파일 제작 도구 등도 함께 안내하고 있는 중이며, DDoS 공격용 프로그램의 경우 판매금액이 다른 버전별의 기능을 비교한 표까지 올려두고 있다. 특히, 기술 지원도 가능하다고 표기되어 있는데, 인스턴트 메신저 등을 통해서 원격 지원을 해주는 것으로 추정된다.

 
해당 사이트는 대부분 한글 문구로 표현이 되어 있지만, 일부 띄어쓰기가 부적절하거나 한국어 표현이 다소 어눌한 부분이 있는 것으로 보아 외국에서 운영되는 것으로 추정된다. 하지만 사용 고객과의 상담용으로 사용하고 있는 한국 메신저는 현재 한국인 명의로 등록되어 있는 것으로 확인되었는데, 개인정보나 사용자 명의를 도용하였거나 중간에서 협조하고 있는 한국인 브로커일 가능성도 배제할 수 없다.


 
체험판 다운로드 메뉴에서는 2개의 종류를 무료로 제공하고 있으며, Anti-Virus 프로그램에서 진단하고 있다는 내용을 안내하고 있다.

 
다운로드한 프로그램을 실행하면 다음과 같이 일부 한글화된 악성파일 생성 도구나 DDoS 공격용 프로그램인 것을 확인할 수 있다.


 
2011년 10월 말 경 해당 사이트에서는 악성 Exploit Code 등을 실제로 별도의 하위 경로에 등록해 두었던 기록도 일부 확인된 상태이지만, 현재는 모두 제거된 것으로 보여진다. 아마도 테스트용으로 등록해 두었던 것이 아니었을까 추정된다.

 
불법적으로 악성 프로그램을 판매·대행하는 사이트로 한국인터넷진흥원(KISA)에 웹 사이트 차단 보호조치에 대한 공식 협조를 요청한 상태이며, 배포 중인 악성파일은 nProtect Anti-Virus 제품을 통해서 치료가 가능하도록 조치 중이다. [잉카인터넷 시큐리티대응센터]

심각한 취약점을 발견했어도 이를 묵인해야 하는가? ‘갑론을박’


[보안뉴스 호애진] 한 보안 전문가가 자신이 알아낸 취약점을 선의의 목적으로 기업에 알려줬다가 경찰 수사를 받게 됐다. 수사가 진행되는 과정서 해당 기업은 도리어 취약점을 수정하느라 발생한 비용을 지불하라고 한 것으로 알려졌다.


호주 보안 전문가인 패트릭 웹스터(Patrick Webster)는 퇴직연금 기금인 FSS(First State Superannuation)의 웹 취약점을 우연히 발견하고 이 사실을 알려줬으나 FSS는 그를 경찰에 신고했다. 이 취약점은 수백만명의 FSS 고객 정보가 유출될 수 있는 심각한 위협이었다.


FSS는 웹스터를 경찰에 신고한 후 그의 컴퓨터에 자사의 IT 직원이 액세스할 수 있게 하라는 요구와 함께 취약점을 수정하는데 발생한 비용을 지불하라고 경고했다.


FSS의 기금 운용사인 필라(Pillar)는 그가 선의의 목적으로 취약점을 알려준 것은 인정하지만 다른 고객 정보에 액세스한 행위는 NSW 컴퓨터 범죄법(the NSW Computer Crimes Act)을 위반한 것이라고 강조했다.


지난달 말, FSS의 고객인 웹스터는 이메일로 수신된 명세서에서 직접 객체 참조(direct object reference) 취약점을 발견했다. 그가 자신의 명세서에 액세스하는데 사용되는 URL의 수치값을 1자리 올렸더니 과거 자신의 동료였던 사람의 계정으로의 액세스가 가능했다. 이 계정에는 이름, 주소, 생년월일, 금융 결제 내역 등의 정보가 포함돼 있었다.


몇 시간 후 웹스터는 그 동료에게 이 사실을 알리는 한편 필라의 직원인 아담 쟈렛(Adam Jarrett)에게도 연락해 이 취약점을 알리면서 다른 계정에 액세스하거나 고객정보를 보유하고 있지는 않다고 설명했다. 웹스터에 따르면 필라는 취약점을 알려준 것에 대해 감사하다고 말했고 24시간 내에 취약점을 해결했다.


그러나 필라는 의외로 법적 조치를 취하기 시작했다. NSW 컴퓨터 범죄법 위반으로 웹스터를 경찰에 신고했으며, 이에 그는 경찰의 심문을 받기에 이르렀다.


법률회사 민터엘리슨의 매지드 거기스(Maged Girgis)의 서명이 있는 서한에는 “귀하의 행위의 심각성을 감안해 NSW 경찰에 신고를 했음을 알린다. 귀하는 자신의 행위가 필라의 시스템에 범법자들이 무단 침입할 수 있음을 보여주기 위한 것이라고 말하지만 귀하의 행위 자체가 1900년의 범죄법(the Crimes Act 1900 (NSW)) 조항 308H와 조항 478의 위반에 해당한다. 아울러 귀하의 무단 액세스는 필라 약관의 위반에도 해당하며 해당 문제를 처리하느라 회사의 비용이 소모됐기 때문에 우리는 약관에 준해 발생한 비용에 대해 귀하로부터 보상 받을 권리가 있다”고 쓰여 있었다. 


FSS는 웹스터에게 무단 액세스를 가능케 한 모든 정보를 삭제하는 한편 데이터가 폐기됐는지의 여부를 검증하라고 요청하고 웹스터의 FSS 계정을 중단시켰다.


이 사실이 알려지면서 보안 전문가들 사이에서 논란이 끊이지 않고 있다. 기업 내 심각한 취약점이 있는 것을 알게 된다면 과연 이를 묵인해야 하는지에 대해 갑론을박이 계속되고 있다. 현재 이를 보도한 몇몇 외신 사이트에는 다양한 의견이 담긴 댓글이 올라오고 있다.

[호애진 기자(boan5@boannews.com)]

 

- 보안뉴스에서는 선의의 목적으로 기업에 취약점을 알려줬다가 피해를 입으신 보안 전문가분 또는 이와 같은 경우를 알고 계신 분들의 제보를 받습니다 -

보안뉴스: 전화 (02) 719-6931

              이메일 boan5@boannews.com


Mass SQL 인젝션 공격 확산...국내서만 5만개 웹페이지 감염


[보안뉴스 오병민] 웹 페이지를 감염시키는 악성코드를 이용해 가짜백신을 유포하는 사례가 또다시 급증하고 있다. 지난 10월 5일 처음 발생한 이 악성코드는 기하급수로 확산돼 13일 현재 국내에서만 5만3,300개의 웹 페이지가 이 악성코드에 감염된 것으로 확인되고 있어 사용자들의 주의가 당부되고 있다.

 

▲5일부터 나타는 Mass SQL 인젝션 공격은 8일까지 90여개의 유포지를 생성한 것으로 파악됐다.  빛스캔

 

▲13일 현재 구글검색으로 감염된 페이지를 찾아본 결과 5만3,300개의 웹 페이지가 감염된 것으로 파악됐다.  ⓒ보안뉴스

 

이번에 발견된 허위백신 유포지는 ‘Mass SQL Injection’ 공격 기법을 이용하고 있다. 이 공격 기법은 웹사이트의 DB에 유포지 URL을 삽입하는 DB 변조 기법 중의 하나로 이용자가 해당 웹사이트에 방문하기만 해도 자동으로 허위백신을 설치하는 페이지를 방문하게 한다고 알려져 있다.


따라서 일정 수준의 유포지가 확보되면 감염페이지가 기하급수로 증가하는 특성을 가지고 있다. 더불어 SQL 인젝션 공격으로 공격자는 웹사이트의 권한을 획득하거나 웹쉘과 같이 파일을 변조하는 등 추가적인 공격이 가능하기 때문에 변조된 웹사이트의 관리자 계정이 탈취되었을 수도 있다고 추정할 수도 있다.


방문자를 통해 기하급수로 확산되는 Mass SQL 인젝션 공격은 전파속도가 빠르고 파급효과가 매우 크기 때문에 무차별 공격에 주로 이용되고 있다. 게다가 허위백신 뿐만 아니라 악성코드를 유포하는 수단으로도 널리 사용되고 있으며 짧은 시간 내에 다른 형태로 변화하기 때문에 백신과 같은 보안 제품으로 대응하기에는 한계가 있다.


지난 3월 ‘LizaMoon’이라는 이름으로 알려진 Mass SQL 인젝션 공격의 경우, 약 24만여 개의 웹페이지가 감염됐었으며 이 중 애플의 아이튠즈도 감염된 것으로 확인돼 이슈가 됐었다.


전문가들은 현재 국내 웹 환경에서 Mass SQL 인젝션 공격의 확산을 막는 것은 불가능에 가깝다고 이야기 한다. 이 공격들은 기본적인 웹 취약점을 노리고 있지만 아직도 국내 대부분의 웹사이트들이 많은 웹 취약점을 방치하고 있기 때문. 따라서 웹 취약점에 대한 보완이 시급하다는 이야기다.


국내 한 보안업계 관계자는 “Mass SQL 인젝션 공격은 SQL 인젝션 공격으로 관리자 계정을 탈취하고 방문자를 따라 다른 사이트까지 공격을 시도하는 매우 골치 아픈 해킹 공격이며 특히 SQL 인젝션 공격에 취약한 국내 웹사이트들은 거의 놀이터나 다름없다”면서 “공격을 막을 수 있는 방법은 웹사이트들이 가지고 있는 기본적인 웹 취약점을 최소화하고 유포지를 사전에 차단에 확산을 막아야 한다”고 조언했다.


사이트 개발시 보안을 고려한 코딩으로 즉 ‘보안코딩’으로 취약점을 최소화해야 하고 유포지를 사전에 차단해야 한다는 이야기다. 그러나 안타깝게도 국내 대부분 웹 사이트들이 수 많은 웹 취약점을 노출하고 있지만 관리자들이 보안코딩에 신경쓰기 힘든 상황. 아울러 이를 감독하는 기관도 규정도 없어 문제는 점차 커져가고 있다.


국내 한 컨설턴트는 “Mass SQL 인젝션과 같은 웹 공격은 앞으로도 크게 증가할 것으로 예상되며 웹으로 확산한다는 특성 때문에 악성코드를 유포에 많이 이용되고 있어 모든 해킹 공격의 근원이 될 것으로 보인다”면서 “이런 위험성을 간과하고 지금처럼 취약점이 노출된 채 방치하다가는 걷잡을 수 없는 심각한 해킹공격이 무차별로 나타날 수 있어 이에 대한 대책이 요구된다”고 주장했다.

[오병민 기자(boan4@boannews.com)]


해커들의 동네북으로 전락한 소니가 또 한 번 해킹으로 인해 9만여명의 고객 개인정보 유출 가능성이 제기됐다.

12일 일본 현지 언론들은 소니가 현재 운영 중인 네트워크 서비스 해킹으로 인해 최대 9만3천명의 개인정보가 유출됐을 수 있다고 보도했다.

소니는 지난 7일부터 10일까지 게임이나 음악 전송 서비스를 제공하는 웹사이트에서 해커의 침입흔적을 발견한 것으로 알려졌다.

 

현재 소니는 전 세계 약 9만3천여명 고객의 ID와 비밀번호, 사용자 이름, 주소, 이메일까지 노출된 것으로 예측하고 있다. 다만, 신용카드 정보의 유출 여부는 아직 확인되지 않은 상태라고 소니는 덧붙였다.

소니는 현재 서비스 이용자들을 대상으로 비밀번호를 변경해줄 것을 요청하고 있다.

한편, 소니는 지난 5월부터 대규모 해킹에 시달리며 전 세계 서비스 이용자들의 개인정보가 유출되는 사태가 발생해 보안성에 대해 지적받은 바 있다.


미국 스탠퍼드대학이 구글, 페이스 북 등 유명 웹사이트를 서핑할 때 신원보안에 취약점이 많다는 연구결과를 발표했다.

이 대학 컴퓨터보안연구소는 접속이 많은 185개 사이트를 대상으로 조사한 결과 절반 이상의 사이트가 다른 사이트와 사용자 이름이나 사용자 ID 정보를 공유하고 있었다고 11일 밝혔다. 사용자 이름이나 사용자 ID 공유를 통해 접속자에 대한 정보를 제공받는 양이 최고로 많은 편에 속하는 사이트는 구글이나 페이스북, 컴스코어, 콴트캐스트 등인 것으로 조사됐다.

NBC 웹사이트에 등록할 때도 사용자의 이메일 주소가 다른 7개 회사와 즉시 공유되며 종합 가정용품업체인 홈디포의 웹사이트에서 지역 광고를 클릭하면 사용자 이름과 이메일 주소가 13개 회사에 전송된다.

이번 연구 결과는 웹사이트 시스템이 사용자의 접속 기록을 추적하는 것을 금지할 필요가 있다는 지적을 낳고 있다.

[정시행 기자 polygon@chosun.com]

+ Recent posts