지난 27일 서울 잠실롯데호텔에서 개최된 '정보보호심포지엄(SIS) 2007' 행사의 일환으로 개최된 해킹시연을 했다고 합니다. 관련해서 '중국발 해킹, 마술의 경지?' 기사가 나서 소개올려 드립니다.
신문기사 앞부분에는 "해킹당하지도 않았는데 정상적인 웹사이트에서 악성코드가 유포된다?" 어찌보면 마술과도 같은 해킹. 그러나 실제 국내 이용자들을 표적으로 은밀히 진행되고 있는 공격이다.
라고 할정도로 표현을 할 정도로 현재의 해킹 툴은 대단하다는것을 알려 준다.
결국 외부에 취약점을 오픈을 최소화 하려는 대안을 만들지 않는 한 오픈된 웹 서버에게는 결코 안정하지 못하다는 것을 알 수 있습니다.
공격자가 자신의 PC에 웹사이트의 취약점을 찾아 이를 해킹할 수 있는 자동 공격 프로그램 화면을 띄운다. 공격자가 취약점 탐색 버튼을 클릭하자 보안이 취약한 웹서버들이 줄줄이 걸려든다.
이 중 한곳을 타깃으로 공격자가 공격명령을 실행하자 해당 웹서버의 관리자 권한이 장악됐다. 한순간이었다. 공격자는 원격접속 프로그램을 해당 웹서버에 설치하면 눈앞의 모니터 화면으로 마치 자신의 PC처럼 통제가 가능한 상황.
이후 공격자가 사용한 공격 방식은 'ARP 스푸핑(Spoofing)'. ARP란 IP 네트워상에서 IP 주소를 물리적 네트워크(장비) 주소로 대응시키기 위한 프로토콜로, 이를 조작하면 동일한 네트워크를 물려있는 다른 웹서버나 PC의 모든 이동중인 데이터 패킷을 볼 수 있게 된다.
공격자는 이 공격을 통해 같은 네트워크에 물려있는 모든 웹사이트(웹서버)의 방문자들을 상대로 개인정보를 빼내는 악성코드가 자동으로 유포되도록 조작했다. 이 경우, 사용자가 다른 정상적인 웹서버에 접속해도 이용자PC에 전송되는 데이터는 모두 이곳을 경유해 공격자가 미리 숨겨놓은 악성코드를 받아가게되는 것이다.
현재 많은 IDC 제공되는 웹서버들의 실제 담당자가 알고 있지 못하는 유형의 웹사이트를 해킹해 악성코드를 숨겨놓거나 중개서버로 악용되는 이른바 '중국발 해킹'이 여전히 기승을 부리고 있다고 볼 수 있습니다.
또한, 더욱이 IDC나 웹호스팅업체의 경우, 한곳의 웹서버가 뚫리면 그곳에 입주한 모든 웹서버들이 이같은 악성코드 유포 위협에 노출될 수 있다는 점에서 충격적이며 관련해서 기업체에서 준비해야 할 사항이 매우 미비하다는 것이 더 걱정된 부분입니다.
특히 이런 모든 취약점과 해킹 공격을 막는 다는 것은 기업의 보안담당자나 엔지니어가 해야 할 부분이 매우 미비할 수도 있다는 것입니다.
◆패치 상업화 경향…반드시 설치해야 = 확인된 공격 방법에 대한 패치 평균개발 기간은 6.8일로 지난해 상반기와 비교했을 때 약 하루 정도 더 늘어났다. 시만텍 측은 이 같은 패치 개발 지연 경향이 '패치 상업화'에 따른 것으로 보고 있다. 그러나 시만텍 관계자는 "웹서버나 데스크톱에 새로 설치한 운영체제를 감염시키는데 걸리는 시간을 분석해 본 결과 패치를 설치한 PC는 모든 종류의 운영체제에서 감염 문제가 없었다"며 "운영시스템 및 애플리케이션 패치를 하지 않으면 감염 치료-재감염의 악순환이 계속될 수밖에 없다"고 설명했다.
◆올해 보안 위협 어떤 변화 있나 =시 만텍은 사용자가 눈치채지 못하게 은밀한 공격을 실행하는 악성 코드가 증가할 것으로 예상했다. 또 ▲상업화된 취약점 연구가 증가하고, ▲비전통적인 플랫폼(휴대전화, PDA, 맥OSX 등)에 대한 공격이 늘어나며, ▲인스턴트 메시징을 통해 피싱이나 악성 코드의 배포가 급증할 것으로 내다봤다.
자료출처 : '중국발 해킹' 올바로 대처하라