웹 해킹을 통한 악성코드 유포 ‘급증’

모기업 과장 ㄱ씨(32)는 항상 즐겨가는 사이트만 방문하고, 웹 서핑 시간도 하루 30분 이내이다. 그래서 그는 보안 프로그램이 필요치 않다고 생각하는 일반적인 사람 중 하나였다. 최근 기름 값 때문에 고심하던 중 차를 소형 중고차로 바꾸려고 중고차 거래 사이트를 자주 방문하게 되었다. 그러던 중 자기도 모르는 사이에 스파이웨어에 감염되었다. 월 방문자 수가 20만이 넘는 이 중고차 사이트는 유명 포털의 검색 결과 맨 위에 링크로 연결되어 있다. 현재 기름 값 상승으로 중고차 거래가 상승하고 있음을 감안한다면 ㄱ씨 외에도 더 많은 피해자가 있을 것으로 예측된다.

영화 예매 사이트, 인터넷 서점, 인터넷 뱅킹 사이트 등 아무런 의심 없이 방문했던 사이트에서 악성코드에 감염될 수 있다. 요즘 공격자들이 웹사이트를 해킹해 그곳을 방문한 사람들에게 악성코드를 유포하고 있기 때문이다. 어느 순간 웹사이트가 악성코드의 유포지 또는 경유지가 돼버리고, 서핑 위험 지역으로 분류되고 있다. 이처럼 악성코드를 유포하는 웹사이트는 지난 8월 1일 안철수연구소 집계에 따르면 총 6천 593개나 된다. 이는 3초에 1명씩(일일 사용자 24만명 기준) 악성 사이트에 접근하고 있는 셈이다. 인터넷 사용자 수가 3000만명이라고 가정했을 경우 3초에 100명씩 악성 사이트에 접근하고 있는 것이다.

 
악성코드 배포 사이트들 중에는 알 수 없는 악성코드를 배포한 후 사라지거나, 휴면 사이트 처럼 알 수 없는 페이지들이 전체의 19%에 달한다. 그리고 허위 과장 광고 및 결제를 유도하는 SW 다운로드 사이트는 11%, 개인 홈피나 블로그 10%, UCC, 카페는 전체의 8%에 달하고 있다. 이러한 웹사이트들은 악성코드를 의도적으로 배포하기도 하지만, 사이트가 해킹되어 악성코드 유포지로 악용당하고 있기도 하다.

최근에는 유명 포털 사이트인 구글 검색 웹페이지에서 악성코드가 유포돼 사용자 PC에 트로이목마가 자동 다운로드된 바 있다. 네이버도 카페 게시판에서 이 악성코드가 발견된 바 있다. 국내외 유명 포털 사이트까지 해킹을 당하자 웹사이트에 대한 불안감은 고조되고, 신뢰도 또한 연일 추락하고 있다. 한국정보보호진흥원은 웹페이지 감염률이 2006년에는 12.5%라 밝힌 바 있다. 웹 감염률이 10%일 경우 거의 웹 서핑을 할 수 없다고 하니 이젠 인터넷 서핑도 신중히 해야 할 참이다.
 
악성코드 유포지로 변한 웹 사이트, 왜?

인터넷이 발달하면서 모든 서비스가 웹 환경에서 가능하도록 변화하고 있다. 그에 비해 보안은 굉장히 미약한 수준이다. 그 이유로는 웹사이트를 프로그래밍할 때 개발자가 보안을 고려하지 않고 만들었다는 것과, 관리자의 점검이 철저히 이루어지지 않는다는 점을 들 수 있다.

웹사이트는 악성코드를 유포할 수 있는 파괴력이 크기 때문에 주된 공격 수단으로 이용되고 있다. 예를 들면 네티즌 수천만명이 하루에 1번 이상 방문하는 대형 포털 사이트를 해킹하면 악성코드가 수천만명의 PC에 유포될 수 있으며, 개인정보도 한꺼번에 취합할 수 있다. 그렇다보니 과거에는 디스켓이나 이메일, 메신저 등으로 유포되던 악성코드가 이제는 웹페이지를 통해 유포되고 있는 것이다.

그러나, 이처럼 짧은 시간에 악성코드가 파급될 수 있는 가장 큰 이유는 공격이 자동화했기 때문이다. 공격자는 검색 엔진을 통해 공격 대상이 되는 웹페이지를 자동으로 수집하고, 실제 공격을 위해 자동화한 SQL 인젝션(Injection) 도구를 사용한다. 최종적으로 사용자 시스템을 공격하기 위해서도 자동화한 취약점 생산 도구를 사용했다. 검색 엔진은 과거에 테스트 대상을 찾거나 불법적인 목적으로 주민등록번호 등을 수집하는 데 공공연히 이용되어 왔고, 최근 SQL 인젝션 공격에도 이용되고 있다. 검색 시 가장 위에 있는 주소가 피싱 공격의 대상이 되고 있는 점을 보면 앞으로도 검색 엔진이 다양한 공격에 지속적으로 활용될 것으로 보인다.
 

피해 예방 위해 웹사이트 관리자, 사용자 모두 주의해야 

이처럼 해킹당한 웹사이트에 접속해 악성코드에 감염되는 피해를 막기 위해서는 웹사이트 관리자가 보안 취약점이 있는지, 공격을 받고 있는지, 악성코드가 심어져 있는지 등을 수시로 철저히 점검해야 한다. 사용자는 웹사이트에 접속할 때 그 페이지가 안전한지 검사해 위험한 경우 접속을 차단해주는 보안 서비스를 사용하는 것이 안전하다. 개인 사용자는 안철수연구소가 무료로 제공하는 ‘사이트가드’(AhnLab SiteGuard. www.siteguard.co.kr)’를 사용하면 악성코드를 유포하는 사이트에 접속하는 것을 예방할 수 있다. 뿐만 아니라 사기성 온라인 쇼핑몰이나 피싱 사이트에 접속하는 것도 차단할 수 있다.

‘사이트가드’의 강점은 웹사이트 이용 시 발생할 수 있는 모든 위험을 차단하며, 웹브라우저 실시간 감시 기능을 제공하며, 검사 속도가 빠르다는 점이다. 우선, ‘사이트가드’는 악성코드 유포 사이트를 비롯해 사기 쇼핑몰 사이트, 피싱 사이트, 변조 사이트 등 모든 위험을 차단한다. 특히 인터넷 변조 감시 기능은 다양한 경우를 정밀하게 감시해내는 기술이 탁월하다. 또한, 웹브라우저 실시간 감시 기능은 특허 출원 중이며, 사용자가 신고한 후에 DB(DB)에 추가되는 타사 제품과 달리 방금 만들어진 웹사이트의 유해성도 진단할 수 있다. 검사 속도 또한 동종 제품 중 가장 빠르다.

한편, ‘사이트가드’는 악성코드가 유입되는 경로를 차단하는 것으로, PC에 저장된 파일의 입출력 과정을 검사하는 V3 365 클리닉 등의 보안 제품과는 기능이 다르다. 따라서 함께 사용해 이중 보안 장치를 하는 것이 안전하다.
 

안철수연구소는 최근 ‘시큐리티대응센터 리포트’에 올해 상반기 7대 보안 이슈를 발표했습니다.

이 보고서에 따르면 올해 상반기에 국내에서 새로 발견된 악성코드 및 스파이웨어는 10,580개로 전년 동기 4,376개 대비 2.4배 증가했고, 종류별로는 트로이목마가 2.7배 급증했으며 스파이웨어도 2.1배 증가했습니다. 이렇게 급증한 이유는 악성코드를 손쉽게 제작하고, 만들어진 악성코드로 자동 공격할 수 있는 툴들이 지속적으로 제작, 공유됨에 따른 것으로 분석됩니다. 이는 돈을 노린 범죄화 경향과 밀접한 관련이 있는데, 해커들은 은밀하고 조직적으로 특정 시스템이나 조직을 겨냥한 국지적 공격으로 금전적 이익을 취하고 있는 실정입니다.

또한 7대 보안 이슈로는 웹 통한 악성코드 설치 유도하는 ARP 스푸핑 기승, 특정 애플리케이션 취약점을 악용하는 악성코드 급증, 검색 엔진을 이용한 자동화된 SQL 인젝션 급증, 스파이웨어의 악성화, 전통적인 악성코드 감염 기법 증가, 스피어 피싱(Spear Phishing) 급증, 플로그(Splog)의 등장과 블로그를 이용한 스팸의 악성화 등을 들었습니다. 자세한 내용은 아래 글을 참고하세요.


1) 웹 통한 악성코드 설치 유도하는 ARP 스푸핑 기승
2007년 상반기에 확산되어 많은 피해를 준 ARP(Address Resolution Protocol; 주소결정 프로토콜) 스푸핑이 6월에 다시 발생해 큰 피해를 일으켰다. ARP 스푸핑 공격을 당한 PC는 동일 IP 대역폭에 있는 모든 PC의 ARP 값을 변조한다. 이후 정상적인 PC가 인터넷 익스플로러로 웹사이트에 접속할 때, 감염된 PC를 먼저 거친 후 웹사이트에 접속하게 되며, 이때 악성코드를 내려받는다. 최근에는 이러한 ARP 스푸핑을 악용하는 악성코드를 자동으로 제작해주는 자동화 툴이 널리 공유되어 다수의 변종이 만들어져 피해가 커지고 있다.

2) 특정 애플리케이션 취약점을 악용하는 악성코드 급증
최근 공격 유형은 윈도 시스템 관련 취약점보다는 대중적으로 사용되는 특정 애플리케이션으로 집중되는 현상을 보이고 있다. 특히 중국발 악성코드 제작 도구를 이용하여 대량 생산되고 있다. SWF, ARP, PDF, 오피스 관련 취약점 및 네트워크 공격 도구들이 엄청난 피해를 주고 있고 앞으로도 이러한 현상은 상당 기간 지속될 것으로 예상된다. 이같은 피해를 줄이려면 시스템 보안 패치 외에도 사용자 시스템에 설치된 수많은 애플리케이션들에 대한 점검이 필요하다.
 
3) 검색 엔진을 이용한 자동화된 SQL 인젝션 급증
검색 엔진을 통해 공격 대상을 수집하고, 취약한 웹 서버와 연계된 데이터베이스의 모든 테이블에 악성 스크립트를 삽입할 수 있도록 설계된, 자동 SQL 인젝션 툴을 이용한 공격이 많이 발생했다. SQL 인젝션 공격을 받은 웹사이트는 데이터가 손상되는 피해를 입게 되며, 해당 웹사이트에 접속한 PC에는 악성 스크립트가 실행되어 특정 웹사이트로 연결되어 악성코드를 내려받게 된다.

4) 스파이웨어의 악성화
악성코드를 다운로드하는 프로그램을 숨기거나 스파이웨어의 삭제를 방해하는 기능을 가진 것들 것이 많이 발견되었다. 또한 분석 도구의 실행을 방해하고 분석을 어렵게 하는 스파이웨어가 다수 발견되었다.

5) 전통적인 악성코드 감염 기법 증가
도스(DOS) 시절의 전통적인 방법을 사용하는 악성코드가 증가해 큰 이슈가 되었다. 이러한 악성코드는 운영체제가 작동하기 전 자신이 먼저 실행되고, 파일이나 레지스트리 어디에도 존재하지 않는 것이 특징이다. 이 때문에 일반 사용자들이 감염 여부를 알기가 매우 어렵다. 또한 진단/치료하기가 매우 까다롭다.

6) 스피어 피싱(Spear Phishing) 급증
스피어 피싱은 특정 조직에 신뢰할 만한 발신인으로 위장해 메일을 보내 가짜 사이트로 유도하여 악성코드 설치 및 아이디와 비밀번호 입력을 유도하는 것이다. 취약점이 담긴 문서 파일을 보내 실행을 유도하기도 하는 일종의 피싱 공격이다. 최근 들어 일반인보다는 특정 기업 및 조직 내 특정 인물이나 그룹과 같이 목표를 정해 공격하는 경우가 급증했다.

7) 스플로그(Splog)의 등장과 블로그를 이용한 스팸의 악성화
블로그(Blog)가 1인 미디어로 자리잡자 광고나 스파이웨어 배포 수단으로 악용하는 ‘스플로그(Spam + Blog)’가 급증했다. 인기 검색어를 이용해 검색 엔진을 통해 방문을 유도하고 스파이웨어를 설치하거나 광고를 전달하는 것이다. 댓글이나 트랙백을 이용한 블로그 스팸의 경우 과거에는 영문에 국한됐으나, 최근에는 스팸 필터를 우회하기 위해 한글이나 다른 언어로도 등록되고 있다.

이 밖에 상반기 동안 피해를 일으킨 것으로 대표적인 중국산 악성코드인 디스크젠(Win32/Diskgen)과 동영상 코덱으로 위장하여 성인사이트 중심으로 확산되는 스파이웨어 즐롭(Win-Spyware/Zlob)의 변형이 확산된 것이 특기할 만하다. 즐롭에 감염되면 툴바 설치, 허위 경고 메시지 노출, 허위 안티스파이웨어 프로그램 설치 등의 증상이 나타난다.