본문 바로가기

Security Indicator/Guide for guru

디지털 액자의 공격 -Mocmex ( Online game 공격용)

바다란입니다. 오랜만에 뵙습니다.

 

* 디지털 액자에 숨겨진 악성코드가 사진 변경이나 추가를 위해 직접 연결되는 PC에 감염을 시키는 유형의 출현

<imgref: http://www.techgadgets.in/images/bestbuy-frame-infected.jpg >

 

 

악성코드 유포의 새로운 유형이 출현 하였습니다.

디지털 액자를 통한 악성코드의 유포 유형인데 해외 언론에서도 특이함에 주목을 하고 있지만 다른 관점에서 보아야 할 이슈들이 있습니다. 한국내의 현실에서는 그다지 새로울 것이 없는 유형이지만 시사하는 점이 여럿 존재하고 있습니다. 악성코드의 유형은 온라인 게임(특히 MMO- 아마 WoW가 아닐까 예상 됩니다.)의 계정정보를 유출하기 위한 형태이지만 근래에 발견되는 악성코드의 특징대로 사용자의 모든 개인정보에 대한 유출이 가능한 형태라 할 수 있습니다. -* 모든 개인정보에 대한 유출이 가능 하다는 의미는 시스템에 대한 완벽제어가 가능하다는 것과 동일함.

 

 

1. On/Offline 연계를 통한 악성코드의 유포

 

2. 공격 기술의 진보 가속화 (Quality Assurance ??) - Vaccine evasion

 

3. Application Attack의 일반화 및 영향력 확대 - 세계화

 

 

주요 시사점은 위의 세 가지 정도로 볼 수 있습니다.

일반적으로 판매되고 있는 디지털 액자를 통해 Worm 유형의 악성코드 유포를 한 사안인데 심각한 사안은 제조공정에서나 탑재가 가능한 Application에 악성코드가 심어져 있는 것이 발견이 된 것입니다.

 

문제가 된 버젼은 insignia 사에서 제조한 10.4inch의 디지털 액자이며 2007년에만 디지털 액자가 미국 내에서 천만개 가량 팔린 것으로 조사가 되고 있습니다. 이중에 몇 개나 문제가 되고 있는지는 파악하기는 어렵지 않을까 싶습니다.

 

미국 내 대형 유통 업체인 Bestbuy( Sam's club, Costco 등에서도 판매가 되었다고 함)를 통해 Offline 판매가 되었으며 올해의 신년 Holiday 기간 중에 판매된 제품들 중에서 문제가 최초 발견이 된 것으로 보고가 되고 있습니다. 공식적으로 Bestbuy에서는 해당 제품의 판매수치에 대해 언급 하지는 않고 있습니다. 또한 이와 같은 이슈에 대해 제품에 대한 Recall도 없는 상태이구요.

( 그렇다면 Worm을 어떻게 제거 할까요? 디지털 액자에도 AntiVirus를 설치해야 하는 것인지 아니면 PC 연결 이후 해당 디지털 액자에 대해 Storage 검사를 해야 하는 것인지 궁금하네요. 아마도 후자일 것 같습니다.)

 

http://fatmatrix.com/digital-frames-infected-with-virus.html

기사를 확인하여 보면 Insignia와 Bestbuy측은 최초 웜의 발견 이후에 발표된 논평에서 일반적인 바이러스 이며 대부분의 Anti Virus 소프트웨어를 통해 탐지 및 제거가 가능한 유형이라고 해명을 하였으나 이후 전문 AntiVirus 업체인 CA의 분석결과는 또 다른 유형으로 나오고 있습니다.

 

http://www.eurogamer.net/article.php?article_id=92900

온라인 게임 관련 매거진의 내용대로라면 Antivirus 제품에 의한 탐지를 피하고 Windows Firewall ( 이 의미는 외부 연결 제한을 우회 할 수 있다는 의미로서 조금 더 확장하여 보면 독자적인 정보 전달 통로를 제한 없이 이용 할 수 있음을 의미합니다.)의 제한 회피등이 가능하다고 되어 있습니다.

 

좀 더 자세하게 나타난 자료를 찾아 보니 다음과 같습니다. 공신력이 있는 UPI를 통한 언론 보도이니 신뢰가 가능할 것 같습니다.

http://www.upi.com/NewsTrack/Science/2008/02/18/digital_frame_virus_traced_to_china/9409/

위의 기사에서는 좀 더 상세한 내용들이 나오고 있습니다.

 

최소 100여 개 이상의 Antivirus 제품으로 부터 탐지를 회피하고 있으며 Windows system의 보안기능을 우회하는 기능을 가지고 있습니다. 더불어 추적이 힘들도록 구성이 되어 있다고 CA의 제품개발 담당이 이야기를 하고 있습니다. Nuclear  bomb 이라고 언급을 하기도 합니다. 이 의미에는 악성코드의 유포방식, 보안제품에 대한 탐지 우회, 시스템의 제한 우회, 추적 회피 등과 같은 다양한 이슈가 포함 되어 있다고 보입니다.

 

 

언론이나 온라인의 기사만으로 사실 추론은 위와 같이 가능합니다. 그렇다면 이슈가 되는 부분들은 무엇이 있을까요?

 

가장 먼저는 insignia 사의 제품 제조 공정까지 침입한 공격자를 들 수가 있습니다. 제품제조 공정시에 탑재되는 Application을 변조 시킬 정도라면 해당 회사의 전체 시스템도 매우 위험한 상태에 놓여 있으며 이미 공격자가 시스템 대다수의 권한을 가지고 있다고 볼 수 있습니다. 공격이 가능한 지점은 내부 담당자에게 악성코드가 담긴 이메일 전송을 통해 ( 최근엔 Office 계열 파일이 다수 사용됨) 권한 획득을 하였을 경우와 외부로부터 직접 웹 서비스의  Application 취약성을 공격하여 차근차근 권한 획득을 한 두 가지 경우로 볼 수 있습니다.

 

중요한 관점은 사용자들에게 배포되기 직전 단계의 Application 변조가 일어났다는 것이며 그 어떤 AV 제품으로도 탐지가 되지 않는 신형 악성코드가 추가 되었다는 점입니다. 더불어 주변기기를 통한 전파를 노린 점도 향후의 위험성을 증대 시킵니다. 그 어디에도 이런 의미를 논하고 있지는 않습니다.  실제 우리가 사용하고 있는 모든 디지털 관련 제품들이 향후 더욱 큰 위협들에 노출 될 수 밖에 없음을 실증적으로 보여주는 사례라 할 수 있으며 악성코드 전파 방법의 특이성 또한 염두에 둘만 합니다.

 

두 번째로는 악성코드의 진화입니다. 최소 100여 개 이상의 Antivirus 제품으로부터 탐지를 회피한다는 의미는 공격자들이 공유하고 있는 기술 수준이 높음을 의미합니다. 또한 곧 일반화 될 것으로 예상됩니다. 한 해에 몇 천개 혹은 몇 만개 정도씩 만들어 지는 중국발 악성코드의 기능들이 대폭 업그레이드 될 가능성을 내포하고 있다고 볼 수 있습니다. 운영체제의 보호기능 정도는 당연히 더 쉬운 상태라 할 수 있습니다.

 

세 번째로는 Online 상의 방문자가 많은 사이트를 통한 악성코드 유포 이외에도 Offline상의 Digital 주변기기를 통한 전파 방식입니다. 기존에는 방문자가 많은 사이트를 공격하여 소스코드를 변조함으로써 악성코드를 유포하는 방식을 일관되게 사용하였으나 이제는 주변기기 제조회사 등을 공격하여 Offline상에서도 배포가 되는 방향도 시도가 되었다는 점은 여러 가지를 생각하게끔 합니다.

 

 

앞으로의 예상은 중국발 해킹의 세계화와 온라인게임의 risk 지속 확대, 온라인 생활(금융, SNS 등)의 위험 증가가 일반적인 상황이라고 할 수 있습니다.

 

중국발 해킹은 2005년부터 위험요소를 언급 하고 세계적으로 확대 될 것이라고 개인적으로 여러 자리에서 공언 하였습니다. 현재의 상황은 그 공언을 실증적으로 보여주고 있습니다. 앞으로도 상당기간 지속될 것이고 전 세계적인 Risk가 될 것으로 보입니다.  온라인 게임 혹은 금융과 같은 다양한 온라인의 생활은 금전적인 가치와 결부되는 순간에 공격의 대상이 됩니다. 시대의 변화는 온라인에 가치를 부여하는 것이 당연한 것이므로 앞으로의 위험은 모든 부분에 걸쳐 나타날 것으로 예상 됩니다.

 

 

중국발 해킹의 근본적인 부분은 현재 상태에서 두 가지에 기인합니다.  Office 파일을 이용한 신규 백도어 설치 방법 ( 주로 이메일을 활용) , Web Application Attack을 통한  권한획득과 웹 Application 소스코드의 변조를 통한 악성코드 유포입니다.

근본적으로 백도어를 활용한 방식 (주로 폐쇄적인 망을 공격합니다. 주요 국가들의 국가기관들의 공격, 산업기밀의 유출등..) 과 Web Application Attack이 일반적입니다. 아니 이 두 가지가 전부라 할 수 있습니다.

 

백도어를 활용한 방식 부분은 운영체제적인 면과 Antivirus 측면에서 충분한 대응 방안들이 나올 수 있습니다. 그러나 사람이 제작하는 Web Application에 대한 공격은 향후에도 많은 어려움이 있을 수 밖에 없습니다. 아직 중국발 해킹은 2라운드 초반입니다. 이제 겨우 세계로 진출한 것이라 할 수 있습니다.  Web Application의 공격 방식을 유추하여 모든 사이트에서 공격에 사용될 근본 원인을 제거 하지 않는 한 문제는 계속 됩니다.

 

URL에 사용되는 모든 인자들에 대한 Validation check가 문제 해결의 시작이 될 것입니다.

 

국내의 상황을 한번쯤 생각해 보시죠 어떤 위험들이 앞으로 다가 올 것인지... ( IPTV, 유.무선연동 등등 무궁무진 하겠네요..)

 

감사합니다.