한국 인터넷 금융의 위험 신호( 증권사 메인 웹서비스가 악성코드 감염경로로 활용)

한국 인터넷 금융의 위험 신호- 흥국증권 악성코드 감염 경로로 활용

  -본 컬럼은 문제 발생 당일 KISA에 정보 전달을 통해 처리가 되었으며, 한주 더 재발 가능성을 예의 주시한 이후 발표되는 자료 입니다. 

올해 11월에 빛스캔㈜에서 한국전자인증 웹서비스를 통한 악성코드 유포에 대해 기사화를 한적이 있다. 전자상거래의 핵심부분이라 할 수 있는 인증체계가 무너질 수도 있는 상황에서 이례적으로 문제제기를 한 상황 이였다. 신뢰가 기반이 되어야 할 전자상거래 체계가 무너진다는 것은 경제의 한 축이 무너지는 것과 동일한 상황이라 할 수 있다. 또한 공격자들의 최종 공격 형태라고 할 수 있는 악성코드 유포를 위한 숙주로 공인인증체계를 관리하는 기업의 웹서비스가 이용 되었다는 점은 심각성을 넘어선 충격일 것이다. 일반적으로 공격자들은 지난 농협이나 현대캐피탈의 해킹 사례에서 보듯 내부의 정보를 탈취하기 위한 목적으로 공격을 시도한다. 그리고 공격자들의 목표가 달성 되었다면 더 이상 쓸모가 없는 웹서비스들은 마지막으로 악성코드 감염을 확대하기 위한 숙주로서 이용 하는 형태를 보인다. 최종적인 용도폐기 단계에 해당하는 악성코드 감염 확대용 숙주라면 대단히 심각한 상황임은 두말 할 필요가 없다.

 

한국의 인터넷 전자상거래 부분에서 또한 가장 많은 부분을 차지하는 것이 온라인 뱅킹과 온라인 주식 프로그램이 상당히 많은 부분을 담당하고 있다. 거래 금액으로만 보더라도 상당한 규모이다. 전자상거래 분야에 대한 위협은 현재까지는 웹서비스에 대한 DDoS 공격 이외에 특별히 드러난 위협들은 없는 것으로 보고된바 있다. 그러나 12.24일 크리스마스 이브를 기해 발견된 일련의 사건은 충격적일 수 밖에 없는 사건이다. 국내에서 사용자가 많은 파일공유 사이트 세 곳에서 모든 방문자를 대상으로 악성코드 감염을 시키기 위해 공격자에 의해 소스코드가 일부 변경 되는 것이 발견 되었고 그 결과 파일 공유 사이트 세 곳 ( 애플파일, 예스파일, 본디스크)을 방문한 모든 사용자는 악성코드 감염 시도가 발생 되게 되고 최소한 60%의 방문자들이 악성코드 감염이 되었을 것으로 예상된다. 세 곳의 파일공유 사이트에 추가된 악성링크 ( 방문자에 대한 자동 감염을 위해 자동으로 실행 되어 방문자 PC를 좀비 PC로 만드는 악성링크)로 국내 증권사의 웹서비스가 직접 이용 된 정황이 발견 되었다.

 

상태

 

< 다른 웹서비스 소스에 추가되어 악성코드 중계에 이용된 흥국증권의 악성링크 내용>

< 악성링크의 구조 – 붉은색 부분이 사용자 PC 공격 부분이다.>

 

해킹을 당해 악성코드 중계에 이용된 증권사는 흥국증권이며 12.25일 현재까지도 악성링크는 그대로 남아 있는 상태이다. 흥국증권의 웹서비스들이 방문자들에게 악성코드를 감염 시키는 숙주로 이용이 된 것도 아니며 그 보다 더 심각하다고 할 수 있는 공격링크로 이용이 된 상황은 상상을 뛰어넘는 위험성을 예상하게 한다. 현재 상황으로 판단해 보면 공격자들은 이미 흥국증권의 웹서비스의 권한을 가진 상태에서 특정 디렉토리에 공격코드가 올려진 상태에서 악성코드를 중계한 상태라 할 수 있다. 최종 설치 파일은 12.24일 발견 당시 시점에는 국내 주요 백신들은 탐지하지 못한 상태이며 12.26일 지금 시점에도 한 곳 정도만 탐지하는 것으로 나타나고 있다. 또한 12.26일 새벽을 기해 최종 악성 파일은 변경 되었으며 해당 파일은 모두 국내 주요백신을 우회하고 있는 상황이다.

 

< 파일공유 사이트인 애플파일 사이트에서 악성코드 중계에 흥국증권 링크가 이용되는 화면>

 

공격의 개요를 보면 다음과 같다.

 

최종 악성파일이 올려진 사이트 -> 흥국증권 웹서버에 올려진 공격코드 -> 파일 공유 사이트 세곳의 웹서비스 소스를 수정하여 흥국증권에 올려진 공격코드가 실행 되도록 변경

 

파일 공유 사이트를 방문하는 모든 사용자들에게 흥국증권에 올려진 공격코드가 실행 되어 최종 악성파일을 사용자 PC에 설치하여 좀비 PC로 만드는 구조로 볼 수 있다.

<12.24일 발견 시점의 악성코드 진단 현황 – 국내 주요 백신은 우회한 상태>

 

최종 설치된 악성코드는 사용자 PC에 ahnurl.sys , gdyoyutgsew.sys 드라이버 파일을 추가로 다운로드 받아 시스템에 등록하고 서비스를 실행하며 다양한 시스템 설정들을 변경하는 형태를 보이고 있다. 원격에서 완벽하게 통제될 수 있는 좀비 PC로 이용됨을 알 수 있다. 웹서비스를 방문하는 즉시 사용자의 눈에는 보이지 않게 많은 링크들이 실행 되며, 그 중에 흥국증권에 올려진 공격코드들은 자바 취약성 5종류와 올 7월에 발표된 MS XML 취약성을 이용하고 있다.

 

모든 방문자의 PC와 브라우저 버전에 맞추어서 공격이 자동으로 진행되며, PC상의 백신과 같은 보안도구들의 탐지는 우회한 상태에서 권한획득을 한다. 이후 최종으로 아래와 같은 최종 악성파일을 아무런 제한 없이 사용자 PC에 설치하고 공격자는 자유자재로 활용 할 수 있는 상태가 된다.

 

12.24일 ~ 25일까지 유포된 최종 악성코드 http://ogajy.com/xxx/lb.exe

12.26일 변경된 최종 악성코드 http://uhemi.com/xxxx/lbi.exe

 

시사점

 

2012년 하반기에 들어서 사용자 PC에서 금융정보를 탈취하는 유형의 악성코드들이 급증하고 있다. 그 사고 급증의 원인은 웹을 통한 대규모 악성코드 유포가 계속 되기에 앞으로도 더 확대될 것으로 예상이 된다. 금융정보를 사용자 PC에서 직접 빼내어가는 형태 이외에도 직접 해킹을 통해 악성코드 유포에 이용되거나 중계지로 이용 되는 유형도 계속 증가를 하고 있으며 그 악성코드 중계의 역할에 금융기관의 웹서비스가 직접 이용 되었다는 것은 대단히 충격적인 일이라 할 것이다.

 

1990년대 후반에 시작된 홈트레이딩 시스템은 현재까지 이용하지 않는 투자가가 거의 없을 저도로 보편화 되어 있다. 또한 2011년 통계에 따르면 온라인 주식거래 규모는 2천468조원이고 매년 증가하고 있는 상태이다. 거대한 규모의 홈트레이딩 시스템에서 신뢰가 기반이 되어야 함은 당연한 일이다. 그러나 흥국증권의 사건과 같은 증권사의 메인 웹서비스가 직접 악성코드 중계에 이용된 사례는 대단히 심각한 우려를 할 수 밖에 없다. 가장 보안이 철저해야 할 금융기관의 웹서비스가 악성코드 유포를 하여도 심각한 사안인데 지금의 경우는 악성코드 중계에 직접 이용이 된 사안이다. 외부에 노출된 웹서비스들은 정보를 제공하는 창구 역할도 하지만 공격자들에게는 내부로 침입 할 수 있는 거의 유일한 통로로서도 직접 이용이 되고 있다. 즉 외부 노출된 웹서버를 공격한다는 것은 웹서버와 연결된 데이터베이스 서버에 대한 권한을 가지는 것과도 동일한 상황이라 할 수 있다. 내부망과 연결된 곳에 거점을 만들게 되면 그 이후에는 농협과 같은 전산망 마비 사례도 발생 하게 되는 것이고 내부에 저장된 데이터를 빼낸 이후 온라인 금융을 혼란케 하거나 주식투자자의 금액을 빼내어 가는 것도 가능할 수 있을 것이다. 모든 것은 공격자의 선택에 달려 있을 뿐이다. 그 상태에서 현재 공격자가 선택한 것은 악성코드 중계지로만 이용 했다는 점은 또 다른 상상들을 할 수 밖에 없는 상황이다.

 

홈페이지에 대한 관리뿐 아니라 보안적인 측면에서도 수익 관점에서 벗어나 생존을 위해서 반드시 해야만 하는 중요 업무로 인식을 해야 할 것이다. 더구나 금융기관이라면 더욱 더 심도 있는 노력이 필요하지 않을까? 전자상거래를 위협하는 대단히 큰 시그널은 공인인증 취급기업의 악성코드 유포와 금융기관의 직접적인 악성코드 중계지 활용에서 이미 공공연한 위협이라 할 것이다. 온라인의 주인은 과연 누구일까? ..

 

현재 빛스캔㈜은 국내 120만개의 웹서비스와 해외 10만여개의 웹서비스를 모니터링하며 악성코드 유포에 이용되는 악성링크를 추적하고 있다. 특히 전세계적으로 공격이 매우 극심한 국내의 상황에서 특화된 기술과 역량을 통해 집중적인 노력을 기울이고 있으며 매주 수요일 한주간의 한국 인터넷 위협현황에 대해 정보를 제공 하고 있다. 매주 1000여개 이상의 국내 사이트들에서 악성코드를 유포하고 있는 현상을 정리하고 있으며, 그 중 심각도가 높은 부분에 한해서는 공개적으로 언급을 하고 있다. 문의는 info@bitscan.co.kr .