뚜기의 S 톨이

최근에 Adobe Flash Player 취약점 (CVE-2011-2110)을 이용한 악성코드가 유포되고 있습니다.
해당 취약점은 10.3.181.23 버전 이하 사용 시 감염이 이루어 집니다.

배포중인 사이트는 축구관련 사이트로 제로보드xe를 이용하여 제작한 웹페이지며
제로보드의 취약점을 이용하여 웹사이트 변조 후 악성스크립트를 업로드 한 것으로 확인됩니다.
메인페이지 접속 시 악성코드에 감염이 되며 현재에도 해당 취약점을 이용한 악성코드가 유포중입니다.

- 악성코드 유포경로   hxxp://www.******mania.com/xe/modules/addon/tpl/js/tpl.js       └ hxxp://markopc**.com/files/out.htm               └ hxxp://markopc**.com/files/main.swf       └ hxxp://www.delp**.co.kr/files/analytics.html               └ hxxp://js.users.51***.la/5359042.js                        └ hxxp://www.51***.la/?5359042

위의 내용을 살표보면 해당 사이트의 tpl.js 스크립트 내부에 악성 iframe 을 추가하여 "out.htm" 파일에 포함된
"main.swf?info=" 를 호출하며 CVE-2011-2110 취약점을 이용하여 Flash Player 버전이 10.3.181.23 이하일 경우
감염이 이루어 집니다.



호출된 플래시 파일을 통해 특정 웹 사이트에서 파일을 다운로드 하도록 설정되어 있습니다.


해당 파일이 실행이 되면 윈도우 임시폴더에 svchost.exe 파일을 생성하고 cmd.exe 명령을 이용하여
_Taskkill_Name_.bat 파일을 실행하여 explorer.exe 프로세스를 죽이고 다시 생성하여 cmd.exe 프로세스의
자식 프로세스로 등록합니다. 해당 작업이 끝나면 _Delete_Me_.bat 를 실행하여 생성파일과 자신을 삭제합니다.






또, 윈도우 시스템 관련 파일인 xpsp2res.dll 을 Windows 디렉토리에 생성을 하여 explorer.exe 프로세스에
삽입이 됩니다.

- 생성파일   1. C:\Windows\xpsp2res.dll

위의 파일이 악성파일이며 아래의 정상적인 파일과 중복되어 사용되고 있습니다.

정상적인 파일의 위치는 c:\Windows\system32\ 디렉토리 안에 있으나
악성파일은 c:\Windows\ 디렉토리에 생성이 됩니다.





xpsp2res.dll 의 내용을 살펴보면 특정 사이트로 컴퓨터이름과 사용자계정 그리고 IP를 전달합니다.




해당 취약점은 보안제품인 카스퍼스케에서는 Exploit.SWF.CVE-2011-2110.a 진단명으로 진단하고 있습니다.


- 복구방법
  1. 관련 프로세스를 종료 (cmd.exe  explorer.exe)를 종료
  2. c:\Windows\xpsp2res.dll 파일 삭제 후 재부팅


해당 취약점을 악용한 사례가 지속적으로 발생하고 있으며 감염을 예방하기 위해서는 해당 취약점을 보완한
최신 버전으로 업데이트 하는 것이 중요합니다.

Adobe Flash Player 최신버전 업데이트

Adobe Flash Player 를 이용한 악성코드 공격이 증가함에 따라 감염되지 않기 위해서는 
항상 최신버전으로 유지해야 합니다.

윈도우 업데이트의 경우 자동으로 업데이트 여부를 확인할 수 있으나 Adobe Flash Player의 경우는
사용자가 관심을 가지고 주기적으로 업데이트를 확인 해줘야 하는 번거러움이 있어
대부분 업데이트를 하지 않으시는 분들이 많이 있습니다.
또 상당 수 업데이트를 어떻게 하는지 모르시는 분들도 있어 업데이트 하는 방법을 알아보도록 하겠습니다.

업데이트 하는 방법은 두 가지가 있습니다.

   1. 제어판에서 업데이트 하는 방법

악성코드 동적 분석을 하기위하여 가상서버를 구축 시 Adobe Flash Player 구버전이 필요한 경우가 있는데

Adobe 社 는 개발자를 위하여 모든 버전을 제공하고 있습니다.

아래 링크에서 필요한 버전을 다운 받으시면 됩니다.

http://kb2.adobe.com/cps/142/tn_14266.html

국내에서 제작되어진 검색도우미 프로그램으로 인터넷 검색 시 좌측 사이드에 광고바가 생성되는
검색 도우미 GuideOn 에 대하여 살펴보도록 하겠습니다.

[실행 파일명]

해당 파일은 카스퍼스키 보안제품에서 Trojan-Downloader.Win32.Adload.apfh 진단명으로 진단하고 있습니다.



해당 파일 구조를 확인하기 위해 PEID로 보니 UPX 로 패킹이 되어 있었습니다.






파일 내부를 살펴보니 해당 파일은 설치파일을 다운로드 후 자신은 삭제가 되도록 하여
사용자가 설치여부를 확인할 수 없도록 동작을 하고 있습니다.

다음은 파일내용의 일부입니다.



시스템루트에 DelUS.bat 배치 파일를 생성하여 실행 후 삭제되도록 하며
마지막으로 자신을 삭제하도록 동작합니다.


또, 아래와 같이 해당 서버에 접속하여 GuideOn_GO45.exe 를 다운받아 사용자 PC에 설치가 됩니다.





다운받은 GuideOn_GO45.exe 파일은 실제 사이드바를 설치하는 실행파일입니다.

[생성 파일]   C:\Program Files\GuideOn\elist.ini                 사이드바 생성 리스트 키워드   C:\Program Files\GuideOn\GuideOn.dll           BHO등록 파일   C:\Program Files\GuideOn\GuideOn.exe         시작프로그램 및 메모리상주   C:\Program Files\GuideOn\uninstall.exe

인터넷 익스플로러 실행 시 GuideOn.dll 파일을 로드하여 감시하는 사이트에 접속하게 되면 사이드바를
보여지도록 합니다.




프로세스 정보를 보면 GuideOn.exe 가 메모리에 상주하여 사용자가 인터넷 익스플로러를 실행 시
iexplorer.exe에 GuideOn.dll 이 삽입되어 BHO 방식으로 동작을 합니다.





감시하는 사이트 접속 시 사이드바가 생성됩니다.

[사이드바 생성하는 사이트 리스트]   auction   gmarket   interpark   dnshop   cjmall   gseshop   shinsegae   lotte   hmall   lotteimall   samsungmall   zeromarket   nseshop   yeoin   ddm   mple   gsestore   danawa   enuri   lotteshopping

약 20개 정도 사이트에 대하여 감시하고 있으며, 대부분 쇼핑몰 사이트로 사용자가 키워드를 클릭하게 되면
광고업체에 금전적인 수익이 발생할 것으로 예상됩니다.





시작 시 자동실행 되도록 레지스트리에 등록되어 집니다.




해당 프로그램은 [프로그램 추가/제거]에서 삭제가 가능합니다.

이상하게 회사 컴퓨터에서는 압축프로그램을 설치했는데도 마우스 우클릭 시 보이는 탐색기 메뉴가
보이지 않아 몇 번이고 재설치 하고 여러 다른 프로그램을 설치 해봤지만 동일했다.

포맷하기도 그렇고 다른 걸 쓰자니 기업용이라 사용할 수가 없었는데
우연히 반디집이란 압축프로그램을 알게 되었다.

해당 사이트에서 확인 해보니 기업에서도 무료로 쓸 수 있단다..ㅋㅋ





혹시나 하는 맘에 설치를 했는데 웬 걸 마우스 우클릭 시 전혀 보이지도 않던
탐색기 메뉴가 반디집을 설치하니 보인다.




쓰기도 편하고 가볍고 웬만한 압축 다 지원하니 이거보다 좋은게 있을까~~

더 좋은건 무료라는거..ㅋㅋ

앞으로 반디집 많이 사랑해줘야겠다 ㅋㅋ


사용해보고 싶으신 분은 아래 링크 클릭하세요~
http://apps.bandisoft.com/bandizip/

국내에서 제작된 검색키워드광고 프로그램으로 특정 키워드 입력 시 플래시 팝업광고와 해당 업체 홈페이지를 띄워
광고주로부터 수익을 내는 방식의 프로그램이며 해당 프로그램에 대해 한 번 살펴보도록 하겠습니다.



어떠한 경로로 실행이 되는지 알 수는 없으나 해당 파일이 실행된 후 
자신은 삭제가 되도록 하여 사용자가 설치여부를 확인할 수 없도록 합니다.





카스퍼스키 보안제품에서는 HEUR:Trojan.Win32.Generic 진단명으로 진단하고 있습니다.



dktemp.exe 프로세스를 띄워 업데이트 파일과 DirectKeyword2.exe 파일을 다운받으며 DirectKeyword2.exe
프로세스를 메모리에 상주시켜 검색엔진을 주기적으로 확인하여 특정 키워드 입력 시 광고와 해당 업체 홈페이지를
생성하도록 하는 역할을 합니다.








해당 프로그램은 [C:\Documents and Settings\(사용자 계정)\Application Data\DirectKeyword2]
폴더에 파일을 생성하며, 윈도우 시작시 DirectKeyword2.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록
구성되어 있습니다.

[생성파일 / 폴더]   - C:\Docum...\(사용자 계정)\Applic...\DirectKeyword2   - C:\Docum...\(사용자 계정)\Applic...\DirectKeyword2\dktemp.exe (프로그램 다운로드)   - C:\Docum...\(사용자 계정)\Local ...\Tempo...\Cont...\(랜덤폴더명)\DirectKeyword2_1107130.zip (업데이트 파일 및 사용자 정보 전송)   - C:\Docum...\(사용자 계정)\Applic...\DirectKeyword2\Directkeyword2.exe (메모리 상주 프로그램)   - C:\Docum...\(사용자 계정)\Local ...\Temporary Int...\Content.IE5\(랜덤폴더명)\install2.htm   - C:\Docum...\(사용자 계정)\Local ...\Temp...\Cont...\(랜덤폴더명)\SetActiveCount_new.htm

 

자동시작을 위해 레지스트리에 DirectKeyword2.exe 파일이 등록 되어 있는 것을 확인할 수 있습니다.

[레지스트리 등록 정보] [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]  - DirectKeyword2 "C:\Documents and Settings\Administrator\Application Data\DirectKeyword2\DirectKeyword2.exe" [HKCU\Software\GOMSEK.COM\DirectKeyword2]  - Owner "admin"  - Version "1107130"

해당 프로그램은 다른 검색 도우미와 다르게 툴바 및 사이드바 형식이 아니기 때문에 인터넷창을 띄워도
사용자는 아무런 변화를 느낄 수가 없으나 해당 키워드가 입력이 되면 플래시 팝업창 또는 업체 사이트를 생성해
사용자의 불편을 주고 있습니다.

[검색엔진 정보]     paran.com             google.co.kr              google.com                   daum.net               naver.com                 nate.com         empas.com           kr.yahoo.com             hanafos.com      freechal.com         dreamwiz.com           msn.com   korea.com            auction.co.kr

해당 방식이 타 검색도우미와 비교하였을 때 나쁘지 않는 방식이긴하나 대부분의 검색도우미가 그렇듯
사용자의 동의를 구하지 않고 설치가 되는것이 문제여서 이러한 부분이 사용자기 느끼기에 컴퓨터가
이상해졌다.. 바이러스에 걸린것 같다..라고 생각할 수 밖에 없을 것 같습니다.
또한 팝업 띄우는 웹페이지가 악성코드에 감염이 되어 있으면 원치않게 감염이 될 수 있어
추가 피해가 발생할 수 있는 여지가 있습니다.
해당 업체에서는 이러한 부분도 신경을 써야 하지 않을까 생각이 됩니다.



사용을 원치않으시는 분은 [제어판 -> 프로그램 추가/제거]에서 해당 프로그램을 삭제할 수 있습니다.

해당 악성코드는 정상적인 js파일인 것처럼 위장하여 홈페이지에 삽입이 되어 있습니다.




해킹 된 사이트에 접속하게 되면 ajax.js 스크립트가 실행되면서 xdfile.com/ad.html을 호출하여
추가 악성코드를 다운로드 하게 되는 방식이며 해당 url 접속이 더이상 확인이 불가능 하여 분석을
진행할 수 없었습니다.

악성코드 유포경로   - h**p://momo****.com/js/ajax.js   - h**p://xdfile.com/ad.html

카스퍼스키 보안제품에서는 HEUR:Trojan.Script.Iframer 진단명으로 진단되고 있습니다.


해당 js 파일의 내용을 확인해보니 별다른 난독화 없이 단순 인코딩 되어 해당 유포지를 쉽게 확인 할 수 있습니다.





디코딩 결과 iframe를 이용하여 악성코드를 다운로드 하도록 되어 있으며 확인결과 접속이 되지 않았습니다.




이러한 유형의 공격 확인결과 악성코드 주소만 변경되어 사용하고 있는 것으로 확인 되어집니다.

사상 최대의 개인정보 유출사고가 발생한 네이트닷컴에서
개인정보 유출여부 확인 할 수 있는 공간을 마련해 놨다.

개인정보 유출여부 확인

3500만명 이라니 당연히 유출되었을거라 믿고 해보니 역시나..ㅋ



비번이랑 개인정보를 바꾼지 얼마되지 않았는데..쩝..
그래도 다행인건 사이트 마다 비번을 다르게 사용하고 있어서 별로 신경은 안쓰이지만 기분은 안좋다..ㅡㅡㅋ

이 번 해킹사고의 주범인 악성코드 탐지를 위해 KISA 보호나라에서 전용백신을 배포하고 있으니
한 번 검사 해보는 것도 좋을 듯 싶다.

o 진단/치료 대상 악성코드 명: Trojan/Infostealer.Ntn o 악성코드 위험도 - 시스템: 높음 - 네트워크: 보통 - 확산: 보통 o 감염시 증상 - C:\Documents and Settings\All Users\ 폴더에 winsvcfs.DLL 파일을 생성 - 해당 dll를 레지스트리에 서비스로 등록하여 부팅시 자동으로 실행되도록 함 - Proxy 서버를 설정하여 데이터를 전송하는데 사용함 * 본 프로그램은 PC내에 설치되지 않으며, 특정 악성코드에 대한 1회용 검사/치료 프로그램 입니다

네이트, 싸이 해킹당해 개인정보가 개 털렸다네요..ㅡㅡㅋ

그것도 3500만명.. 헉..
저도 예외일 순 없겠군요..

이 번 해킹은 중국에서 시도 된 것으로 2011년 7월 26일날 해킹을 당했고 업체에서는 28일날 해킹 사실을 알았답니다.

현재까지 유출 확인 된 개인정보는 ID, 이름, 핸펀, 이멜, 비번, 주민번호 등입니다.
비밀번호와 주민번호는 암호화가 되었다고는 하지만 그래도 불안하기는 마찬가지겠죠..

안그래도 네이트온으로 인한 피싱 공격이 많은데 이메일, 핸드폰 번호는 암호화 되지 않기 때문에
유출된 개인정보를 통해 스펨메일이나 전화 피싱 같은 사회공학적인 방법으로 추가적인 피해가 있을 것으로 예상됩니다.

네이트닷컴에서는 고객정보 유출 여부 확인을 오늘 오후부터 운영할 예정이라고 합니다.
우선 추가적인 피해를 막기 위해서 비밀번호 변경은 꼭 합시다~!

참고로 네이트닷컴에서 로그인 기록을 남기고 있으니 확인 해보는 것도 좋을 것 같네요..

중국발 네이트닷컴 로긴 시도 흔적 확인

에브리존에서 개발한 캐릭터 백신이라고 하네요..

옛날 터보백신을 기반으로 개발된 백신이며 지금 무료로 배포중이랍니다.

뿌까 캐릭터를 이용한거라 많은 사람들이 한 번씩은 꼭 사용해 볼 거 같다는..ㅋㅋ


뿌까백신의 기능은 일반 백신 기능과 차이는 없구요

검사할 때나 업데이트 할 때 뿌까가 나와 지루하지는 않을거 같네요 ㅋ

 

요즘들어 날씨가 미쳤나봅니다.

기상청에서는 100년만에 한 번 발생할 수 있는 국지성 폭우라네요..
관련 사진을 보니 장난이 아니네요..



어제는 저희 회사 지하에도 물이새서 경비 아저씨들이 물퍼내시고 난리가 아니었어요..ㅡㅡㅋ

아무쪼록 이 넘의 비가 고만 왔으면 좋겠네요..

네이트온이나 싸이월드 쪽지를 이용한 피싱공격이 많이 발생됨에 따라
네이트닷컴(nate.com)에서 로그인 기록을 확인 할 수 있는 서비스를 제공하고 있습니다.

해당 서비스는 2010.12.1 에 오픈되어 최근 3개월(최대90일)의 로그를 확인 할 수 있습니다.

네이트닷컴에 접속하여 고객센터 --> 회원정보 --> 개인정보 보안관리 --> 로그인기록
다음 주소를 클릭하셔도 됩니다.
http://helpdesk.nate.com/userinfo/exMemberInfo.asp?pgcode=myself

저도 혹시나 하고 확인 해봤는데 5월 22일, 29일 두 차례나 접속 시도가 있었으며 해당 IP 확인결과
중국 IP로 확인 되었습니다. 이 짱깨넘들~!

네이트 악성코드 감염된 적이 없었던 것으로 보아 아마 다른 사이트에서 수집된 계정일 가능성이
아~주 높아 보입니다.

저도 요즘에 비번의 중요성(?)을 깨달아 인터넷 사이트 마다 비번을 다르게 하고 있습니다.
저 나름대로의 방식으로 까먹지 않게..ㅋㅋ

사이트마다 다른 비번을 사용한다는게 여간 귀찮은 일이다 보니,
대부분 동일한 비번을 사용하시는 분들이 많죠...

하지만 취약한 사이트에서 계정이 유출되기라도 한다면 연쇄적으로 피해를 입을 수 있으니
귀찮더라도 꼭 비번은 다르게 설정하시고, 주기적으로 바꾸는 습관을 들입시다~!!

[기사원문보기]

돈도 주고 해킹기술 키울 수 있도록 다양하게 지원중?
국내 유포 악성코드 90% 이상 게임계정 탈취가 목적
게임아이템과 사이버머니, 돈 되는 한 공격 멈추지 않을 것

한국인들 PC에 무엇이 들어있길래 중국 해커들은 그렇게 주말마다 웹하드나 P2P, 소셜 커머스 사이트들을 통해 악성코드를 유포하고 있는 것일까? 지겨울 만도 한데 2005년부터 지금까지 쉴새 없이 악성코드를 뿌려대고 있다. 그 이유는 무엇일까? 16년간 악성코드 분석에 매달린 문종현 잉카인터넷 시큐리티대응센터 대응팀장을 만나 그 이유에 대해 자세히 들어봤다.

문종현 팀장은 “2005년부터 중국 사이버 범죄자(이들은 해커가 아니라 사이버 범죄자들이다)들로 추정되는 한 집단에서 지금까지 지속적으로 악성코드를 유포하고 있다. 그 이유는 바로 국내 유명 온라인 게임 계정을 탈취해서 게임머니나 아이템을 빼돌려 현금화하려는 목적이 있기 때문이다. 한마디로 돈 벌려고 그렇게 계속해서 공격을 하고 있다”고 설명했다.

공격패턴은 2005년이나 지금이나 비슷하다. 문 팀장은 “국내 악성코드 유포 목적의 90% 이상은 게임계정 탈취에 있다고 해도 과언이 아니다. 국내 웹하드 업체나 P2P 업체, 소셜 커머스 사이트 등에 많은 사람들이 자주 방문하기 때문에 그 사이트들의 취약점을 찾아내 해당 사이트를 악성코드 유포지로 만들어 놓고 느긋하게 기다리고 있다”며 “주로 보안관리가 안되는 주말을 이용해 작업이 이루어지고 국내 많은 이용자들이 악성코드에 감염되고 있다”고 말했다.

해커는 감염된 PC 이용자가 게임에 접속하는 순간 아이디와 비밀번호를 알아내고 이용자 몰래 게임 머니나 아이템을 빼내 거래사이트에서 이를 현금화해 돈을 벌고 있다.

◇왜 2005년과 지금 변한 것이 하나도 없을까=문 팀장은 6년 전이나 지금이나 변한 것은 하나도 없다고 안타까워한다. 그는 “누구 하나 책임을 지고 있지 않기 때문이다. 책임지는 기관도 없다. 유포지로 사용되고 있는 업체는 악성 스크립트 제거했다고 고지하면 끝이다. 법적으로 제재를 가할 법적 근거도 없다”며 “KISA는 해외 경유지 사이트를 발견 즉시 차단하고 있고 전용백신도 무료로 배포하고 있지만 공격은 끊임없이 발생하고 있고, 이런 사안은 국정원이나 경찰청이 책임질 일도 아니다. 더구나 이용자들은 그렇게 어도비 플래시 플레이어 등 최근 문제가 되고 있는 프로그램들의 보안패치를 하라고 해도 잘 하지 않는다”고 답답해 했다.

현재로서는 유포 사이트도 책임이 없고 KISA도 책임이 없다. 그렇다고 개인 유저들에게 책임을 물을 수도 없고 국정원이나 경찰청이 책임질 일도 아니다. 하지만 공격은 주말마다 계속되고 있고 많은 사용자들은 보안불감증에 빠져 계속 악성코드를 유포하는 사이트에 접속해 악성코드에 감염되고 있다.

공격자는 이런 상황이 너무 재미있고 신나는 일일 것이다. 아무도 자신들을 방해하지 않고 있으니 편안하게 한국인들의 게임계정을 탈취해 가고 있다. 탈취한 정보를 이용해 아이템을 팔아서 돈을 벌고 축적된 정보를 한국 브로커들에게 팔아서 또 돈을 번다. 한국 사이트들은 현재 중국 해커들의 돈벌이 수단이 되고 있고 해킹기술을 마음껏 연구하고 성장시킬 수 있는 놀이터가 되어주고 있는 상황이다.

문 팀장은 “웹하드나 소셜 커머스 기업들도 해킹을 당한 피해자라고 항변할 수는 있지만 많은 이용자들이 접속하는 사이트임에도 불구하고 악성코드 유포로 인해 많은 이용자들에게 피해를 주고 있기 때문에 이에 대한 법적 제재가 필요하다”며 “그래야 해당업체들이 보안에 신경을 쓰게 되고 다소나마 공격을 차단할 수 있을 것”이라고 강조했다.

◇돈이 되는 한 공격은 계속된다=국내로 유포되는 악성코드의 목적은 90% 게임계정 탈취가 목적이라고 한다. 문 팀장은 “어도비 플래시 플레이어 취약점이나 MS관련 취약점들을 이용한 공격들이 대부분이다. 온라인 게임계정을 노리는 범죄자들이 굳이 다른 나라에 악성코드를 뿌릴 이유는 없다. 한국이 타깃”이라며 “온라인 게임계정을 탈취하면 돈을 벌 수 있다는 공식이 무너지지 않는 한 이 지겨운 공격은 영원히 계속 될 것”이라고 말했다.

현재도 중국 사이버 범죄자들은 플래시 플레이어 취약점을 활용하고 있다. 한국 PC이용자들이 대부분 그 프로그램을 사용하고 있기 때문이다. 또 플래시 플레이어 보안 업데이트는 10초에서 20초만 투자하면 보안패치가 가능한데 그것을 하지 않기 때문에 공격자는 편안하게 정보를 수집하고 있는 중이다.

또 악성코드를 유포하고 있는 피해자이면서 동시에 가해자인 웹하드 업체나 소셜 커머스 업체들을 처벌할 수 있는 법적 근거도 없기 때문에 이들 업체들이 적극적으로 보안시스템을 마련할 것을 기대하기도 힘들다.

더욱이 백신업체는 24시간 모니터링하면서 열심히 일하고 있지만 결국 백신은 사후대응이 한계다.아무리 빨리 대응한다 해도 공격을 당하고 난 후이다. 또 공격자들은 최근에 백신이 탐지 못하는 것을 확인한 후 악성코드를 뿌리고 있기 때문에 백신으로는 현재의 공격을 차단하기란 불가능하다.

문 팀장은 “근본적인 원인을 제거해야 한다. 게임아이템이나 게임머니가 돈으로 환산되는 것을 막는 방법밖에 없다. 사이버 범죄자들이 돈이 되지 않는데 그 고생을 해가면서 악성코드를 뿌릴 이유가 없기 때문”이라며 “이 문제는 정부와 게임업체들의 노력이 뒤따라야 한다. 물론 게임업체 수익성 때문에 힘든 문제겠지만 이 문제를 해결하지 않으면 악성코드 공격은 끊임없이 계속될 것”이라고 강조했다.

게임 아이템거래와 게임머니 환전 문제가 근절되지 않는 한, 정부가 어떠한 보안 장치와 법을 마련하고 KISA가 아무리 노력해도, 또 백신업체가 24시간 연구인력을 풀가동해도 어차피 방어만 하고 있는 것이기 때문에 공격자들의 지속적인 새로운 해킹 기술을 당해낼 수 없는 일이다. 게임아이템 거래와 게임머니 환전 문제에 대해 관계기관과 기업, 보안업체가 모여 논의해야 한다. 방어만으로는 한계가 있다.



◇어떤 방식으로 공격하고 있나=역시 가장 많이 사용하는 공격방법은 SQL인젝션 공격방법이다. 또 사용하는 서버가 윈도우냐 리눅스냐에 따라 다양한 방식으로 공격을 시도한다. (사진출처. www.flickr.com / kevinpoh)

문 팀장은 “하지만 앞서 말했다시피 방어에는 한계가 있다. 모든 보안 시스템과 보안팀을 구축해 놓고 그래 들어 올 테면 들어와보라는 식으로 기다리고 있으면 범죄자는 웹마스터 메일로 고객처럼 위장해 메일을 보내 관리자가 고객이 보낸 파일을 열어보도록 만든다. 그럼 문서를 열어보는 즉시 감염된다. 그때부터 관리자 권한이 넘어가고 범죄자가 웹마스터가 되는 것”이라며 “이 공격이 제로데이 공격이라면 백신도 탐지 못하고 그저 당하고 만 있어야 하는 상황이 발생하게 된다”고 설명했다.

그래서 그는 “보안 시스템 구축보다 중요한 것이 전직원의 보안마인드를 어떻게 함양시키느냐이다. 사이트의 취약점도 찾아내 제거해야 하겠지만 그 보다 앞서 CEO와 모든 직원들의 보안마인드를 높이기 위한 교육이 지속적으로 이루어지는 것이 가장 중요하다”고 말했다.

사실 공격자들이 SNS를 활용해 기업 CEO나 임원 메일을 알아낸 후, 악성파일이 숨겨진 파일을 메일에 첨부해 직원들에게 보내면 끝이다. 웬만한 기업들은 당해 낼 수가 없다. 어설프게 몇가지 보안장비를 들여놨다고 해서 안심할 문제가 아닌 것이다. 실제로 지금도 수많은 기업들이 이러한 공격에 무방비로 너무도 손쉽게 범죄자들에게 당하고 있는 것이 지금의 현실이다.

문 팀장 또한 “돈을 목적으로 하고 있는 사이버 범죄자들은 웬만한 기업들은 100% 뚫을 수 있다. 취약점을 이용하든 사회공학적 공격방법을 이용하든 점령당하게 돼 있다. 기업도 그런데 일반인들은 더 속수무책”이라며 “하루빨리 사이버 범죄자들이 한국 사이트를 공격해 봐야 돈이 안되는 사회적 환경을 만드는 것이 최선”이라고 말했다.

◇최소한의 노력이라도 하자=문 팀장은 “사실 옥션 정보유출 사태 전까지는 보안에 대부분 관심도 없었다. 집단 소송도 걸리고 해킹사건으로 기업이 위험해 질 수 있다는 인식이 확산되면서 보안솔루션이나 보안팀 구성이 다소 활성화 된 것이 사실”이라며 “당하고 후회하지 말고 최소한 사이트 취약점 점검을 수시로 하고 웹 사이트 관리자들은 관리자 암호라도 자주 복잡하게 정기적으로 바꿔줘야 한다. 또 서버에 백신 설치하는 것 얼마 안든다. 그리고 좀더 큰 기업들은 웹 스캐너, 웹방화벽, 보안 전담팀 구축 등을 생각해야 한다”고 조언했다.

또 그는 “백신을 설치했다고 하면서도 정작 컴퓨터가 느려진다고 실시간 감시기능을 꺼두는 사람도 봤다. 정기적으로 수동검사도 하지 않는다. 그러면서 백신 때문에 심리적 안정을 갖고 있다. 개인뿐 아니라 기업도 마찬가지 경우가 많다. 보안솔루션 도입하고 제대로 관리하지 않으면 보안솔루션 없는 것과 같다”며 “피해를 입기 전에는 예방에 신경쓰고 피해를 입었다면 제대로 외양간이라도 고쳐야 한다. 이를 강제할 수 있는 법적 제도적 장치마련도 필요하다”고 지적했다.

◇돈도 벌어주고 해킹기술도 키워주는 한국, “땡큐쏘머치”=한국은 중국 사이버 범죄자들의 놀이터이자 황금어장이다. 돈 벌기 정말 좋은 환경을 제공해주고 있다. 이용자 많은 사이트 몇 개 해킹해서 자동화 프로그램으로 악성코드 유포하고 게임계정 알아내고 아이템이나 사이버머니 팔아서 돈버는 그야 말로 이보다 좋을 순 없다. 또 가끔 해킹 방어한다고 이런저런 시스템 설치도 해주니 해킹기술도 발달한다. 고양이가 쥐를 가지고 놀 듯 즐기면서 이렇게도 해보고 저렇게도 해보고 그 기술을 자기들끼리 공유하면서 ‘한국 사이트 뚫는 방법’에 대해 체계적으로 학습을 하는 상황이다.

우리는 인위적으로 화이트해커를 양성해야 한다며 어렵사리 대학이나 대학원에 교육과정을 개설하고 사이버사령부에서 사이버전 요원들을 양성하겠다고 떠들썩 하지만, 그네들은 실전 해킹방법을 연마하고 있고 그것이 돈과 연관돼 있기 때문에 치열하게 공부하고 기술공유도 이루어지고 있는 상황이다. 자연스럽게 한국이 중국 해커 양성을 돕고 있는 것이다. 그런 실전 공격력을 지속적으로 배양한 자들과 어떻게 대적할 수 있을까. 학교나 학원에서 곱게 배운 실력으로는 어림도 없다는 것이 전문가들 의견이다.

중국 범죄자들에게 돈도 벌어주고 해킹기술도 연마시켜주는 한국. 문 팀장은 “답답하다. 중국 사이버 범죄자들이 게임 계정을 탈취하기 위해 모은 수많은 한국인 개인정보와 해킹기술들이 모여 나중에는 어떤 결과가 초례 될지 두렵다”며 “지금은 단순 게임계정 탈취용이지만 실제 심각한 전쟁이나 사이버 전쟁이 발생했을 때 그런 정보들이 얼마나 치명적 결과를 가져올지 생각해 봐야 한다”고 말했다.

◇게임아이템과 사이버머니 현금화 차단해야=사이버 범죄자들은 KISA나 민간 백신업체들이 많이 노력하고는 있지만 여기 막으면 다른데 뚫을 곳 널려있다는 식으로 생각한다. 근본적인 악의 근원을 뿌리 뽑지 못하면 이 지겨운 전쟁은 계속 될 것이다.

바로 게임아이템과 사이버머니의 현금화를 금지해야 한다. 문 팀장은 “돈이 되는 한 공격은 계속된다. 막을 수 없다. 그거 막으려고 사실 KISA나 백신업체들 일하고 있다. 게임아이템과 사이버머니가 돈이 안되도록 하면 끝”이라며 “덩치가 커진 게임업체들의 저항도 만만치 않겠지만 정부와 관련업계, 보안업체 등이 모여 머리를 맞대고 풀어야 할 숙제”라고 말했다.

물론 게임업체들도 아이템 거래와 사이버머니 현금화에 반대하고 있고 노력을 기울이고 있는 상황이다. 하지만 부족하다. 온라인 게임 특성상 아이템 현금화가 게임의 큰 생명력을 불어 넣고 있기 때문에 유저들의 자발적인 참여를 기대하는 것은 무리다. 법적인 제재가 필요하다. 강력한 결단이 없는 한 중국 사이버 범죄자들에게 돈도 주고 해킹 기술도 키워주는 이 어처구니 없는 일의 무한 반복은 계속 될 것이다. [데일리시큐=길민권 기자]

네로아에서 운영하는 문제풀이 형식의 사이트 이며, 회원가입 후 이용하실 수가 있습니다.

http://www.neroa.com


Web Application의 보안을 일깨워 주고 각종 취약점을 문제풀이 형식으로 익힐 수 있도록 되어 있으며

더이상 우리나라가 해킹 경유지로 이용되지 않도록 한다는 좋은 목적을 가지고 제작되어진 만큼

열씨미 풀어 봅시다~

IBM에서 만든 온라인 뱅킹 데모 사이트 이며

여기서 SQL Injection이나 XSS 등을 연습하기에 좋은 사이트 입니다.

http://demo.testfire.net



초보자 입장에서 간단하게 SQL Injection을 테스트 하는 방법을 알려드리면..

상단의 Sign In을 클릭하여 로긴 Form에 ' or 'a'='a' 을 입력 해봅니다.




기본적인 SQL Injection은 에러정보를 통하여 이루어지므로

어떤 에러가 출력 되는지 확인하여 우회가 가능하도록 수정해보시면 자기도 모르게 로긴이 되어 있을 겁니다..ㅋ



약간(?)의 힌트를 드리면 username와 password의 값들이 ' 로 쌓여 있네요..