본문 바로가기
AhnLab 칼럼

웹 해킹 실태와 해결책...악성코드 유포자로 변한 웹사이트 왜?

by 보안세상 2020. 4. 20.

2008.10.27

 

웹 해킹을 통한 악성코드 유포 ‘급증’

 

모기업 과장 ㄱ씨(32)는 항상 즐겨가는 사이트만 방문하고, 웹 서핑 시간도 하루 30분 이내이다.
그래서 그는 보안 프로그램이 필요치 않다고 생각하는 일반적인 사람 중 하나였다. 최근 기름 값
때문에 고심하던 중 차를 소형 중고차로 바꾸려고 중고차 거래 사이트를 자주 방문하게 되었다.
그러던 중 자기도 모르는 사이에 스파이웨어에 감염되었다. 월 방문자 수가 20만이 넘는 이 중고차
사이트는 유명 포털의 검색 결과 맨 위에 링크로 연결되어 있다. 현재 기름 값 상승으로 중고차
거래가 상승하고 있음을 감안한다면 ㄱ씨 외에도 더 많은 피해자가 있을 것으로 예측된다.

영화 예매 사이트, 인터넷 서점, 인터넷 뱅킹 사이트 등 아무런 의심 없이 방문했던 사이트에서
악성코드에 감염될 수 있다. 요즘 공격자들이 웹사이트를 해킹해 그곳을 방문한 사람들에게 악성
코드를 유포하고 있기 때문이다. 어느 순간 웹사이트가 악성코드의 유포지 또는 경유지가 돼버리고,
서핑 위험 지역으로 분류되고 있다. 이처럼 악성코드를 유포하는 웹사이트는 지난 8월 1일 안철수
연구소 집계에 따르면 총 6천 593개나 된다. 이는 3초에 1명씩(일일 사용자 24만명 기준) 악성 사이
트에 접근하고 있는 셈이다. 인터넷 사용자 수가 3000만명이라고 가정했을 경우 3초에 100명씩 악성
사이트에 접근하고 있는 것이다.

 

악성코드 배포 사이트들 중에는 알 수 없는 악성코드를 배포한 후 사라지거나, 휴면 사이트 처럼 알
수 없는 페이지들이 전체의 19%에 달한다. 그리고 허위 과장 광고 및 결제를 유도하는 SW 다운로드
사이트는 11%, 개인 홈피나 블로그 10%, UCC, 카페는 전체의 8%에 달하고 있다. 이러한 웹사이트
들은 악성코드를 의도적으로 배포하기도 하지만, 사이트가 해킹되어 악성코드 유포지로 악용당하고
있기도 하다.

최근에는 유명 포털 사이트인 구글 검색 웹페이지에서 악성코드가 유포돼 사용자 PC에 트로이목마
가 자동 다운로드된 바 있다. 네이버도 카페 게시판에서 이 악성코드가 발견된 바 있다. 국내외 유명
포털 사이트까지 해킹을 당하자 웹사이트에 대한 불안감은 고조되고, 신뢰도 또한 연일 추락하고
있다. 한국정보보호진흥원은 웹페이지 감염률이 2006년에는 12.5%라 밝힌 바 있다. 웹 감염률이
10%일 경우 거의 웹 서핑을 할 수 없다고 하니 이젠 인터넷 서핑도 신중히 해야 할 참이다.

 

 

악성코드 유포지로 변한 웹 사이트, 왜?

 

인터넷이 발달하면서 모든 서비스가 웹 환경에서 가능하도록 변화하고 있다. 그에 비해 보안은
굉장히 미약한 수준이다. 그 이유로는 웹사이트를 프로그래밍할 때 개발자가 보안을 고려하지 않고
만들었다는 것과, 관리자의 점검이 철저히 이루어지지 않는다는 점을 들 수 있다.

웹사이트는 악성코드를 유포할 수 있는 파괴력이 크기 때문에 주된 공격 수단으로 이용되고 있다.
예를 들면 네티즌 수천만명이 하루에 1번 이상 방문하는 대형 포털 사이트를 해킹하면 악성코드가
수천만명의 PC에 유포될 수 있으며, 개인정보도 한꺼번에 취합할 수 있다. 그렇다보니 과거에는
디스켓이나 이메일, 메신저 등으로 유포되던 악성코드가 이제는 웹페이지를 통해 유포되고 있는
것이다.

 

그러나, 이처럼 짧은 시간에 악성코드가 파급될 수 있는 가장 큰 이유는 공격이 자동화했기 때문
이다. 공격자는 검색 엔진을 통해 공격 대상이 되는 웹페이지를 자동으로 수집하고, 실제 공격을
위해 자동화한 SQL 인젝션(Injection) 도구를 사용한다. 최종적으로 사용자 시스템을 공격하기
위해서도 자동화한 취약점 생산 도구를 사용했다. 검색 엔진은 과거에 테스트 대상을 찾거나 불법
적인 목적으로 주민등록번호 등을 수집하는 데 공공연히 이용되어 왔고, 최근 SQL 인젝션 공격에도
이용되고 있다. 검색 시 가장 위에 있는 주소가 피싱 공격의 대상이 되고 있는 점을 보면 앞으로도
검색 엔진이 다양한 공격에 지속적으로 활용될 것으로 보인다.

 

최근 기승 부리는 SQL 인젝션 공격

 

한편, 요즘 많이 등장하는 공격은 SQL 인젝션 공격이다. 이 공격을 받아 변조되는 웹페이지가 급증
하고 있다. SQL 인젝션 공격은 웹사이트에 악성코드 링크를 몰래 숨겨놓고 방문자를 감염시키는
것이다. 자칫 내부 DB까지 통째로 유출될 수 있는 위험성을 가지고 있다. 또한, 온라인 게임 사용자
는 자신도 모르게 계정을 도용당할 수 있고, PC의 작동 속도가 느려지거나 인터넷 접속이 되지 않는
증상이 발생할 수 있다. 기업에서는 네트워크 속도가 저하되거나 다운되는 피해를 당할 수 있다.

공격이 이루어지는 과정을 보면, 먼저 SQL 인젝션 공격 도구를 이용해 검색 엔진에서 취약한 사이
트를 검색한다. 취약한 사이트에 실제 SQL 인젝션 공격을 하여 DB(데이터베이스)에 악의적인 스크
립트 파일을 연결하는 스크립트를 심는다. 사용자가 악성 스크립트가 심어진 웹사이트에 접속할 때
웹 서버는 DB로부터 사용자에게 보여줄 콘텐츠를 가져오는데, 이때 삽입된 스크립트도 동시에
가져온다. 웹브라우저를 통해 스크립트가 실행되면 이후 공격자의 웹 서버에서 또 다른 악성 스크
립트를 가져와 실행한다. 이때, 악성 스크립트는 실제 사용자의 PC를 공격하는 취약점 공격코드
(Exploit Code)가 탑재되어 있어, 보안성이 낮은 사용자의 PC에 악성코드를 설치하고 중요 정보를
유출한다.

 

SQL 인젝션 공격이 이루어지는 과정

 

피해 예방 위해 웹사이트 관리자, 사용자 모두 주의해야

 

이처럼 해킹당한 웹사이트에 접속해 악성코드에 감염되는 피해를 막기 위해서는 웹사이트 관리자가
보안 취약점이 있는지, 공격을 받고 있는지, 악성코드가 심어져 있는지 등을 수시로 철저히 점검
해야 한다. 사용자는 웹사이트에 접속할 때 그 페이지가 안전한지 검사해 위험한 경우 접속을 차단
해주는 보안 서비스를 사용하는 것이 안전하다. 개인 사용자는 안철수연구소가 무료로 제공하는
‘사이트가드’(AhnLab SiteGuard. www.siteguard.co.kr)’를 사용하면 악성코드를 유포하는 사이트
에 접속하는 것을 예방할 수 있다. 뿐만 아니라 사기성 온라인 쇼핑몰이나 피싱 사이트에 접속하는
것도 차단할 수 있다.

 

‘사이트가드’의 강점은 웹사이트 이용 시 발생할 수 있는 모든 위험을 차단하며, 웹브라우저 실시간
감시 기능을 제공하며, 검사 속도가 빠르다는 점이다. 우선, ‘사이트가드’는 악성코드 유포 사이트를
비롯해 사기 쇼핑몰 사이트, 피싱 사이트, 변조 사이트 등 모든 위험을 차단한다. 특히 인터넷 변조
감시 기능은 다양한 경우를 정밀하게 감시해내는 기술이 탁월하다. 또한, 웹브라우저 실시간 감시
기능은 특허 출원 중이며, 사용자가 신고한 후에 DB(DB)에 추가되는 타사 제품과 달리 방금 만들
어진 웹사이트의 유해성도 진단할 수 있다. 검사 속도 또한 동종 제품 중 가장 빠르다.

 

한편, ‘사이트가드’는 악성코드가 유입되는 경로를 차단하는 것으로, PC에 저장된 파일의 입출력
과정을 검사하는 V3 365 클리닉 등의 보안 제품과는 기능이 다르다. 따라서 함께 사용해 이중 보안
장치를 하는 것이 안전하다.

* 자료 도움 : ASEC팀 김지훈 선임

[출처] 사보 보안세상
http://sabo.ahnlab.com/200809/ahn_03_02.shtml