본문 바로가기

Security Indicator/Insight

악성코드와 금융 그리고 한국. ( 간단한 반박)

지금 한 회사가 문제가 아니라, 이 IT 서비스 분야 전체에 걸친 심각한 문제라는 점이다. 전자상거래가 차지하는 부분.. 그리고 테스트서버라는 부분도 문제이고 연동되어 있는 실제 스크린샷이 있는데도 손바닥으로 장대비를 가리는 형국


지금의 문제는 공인인증서 관리 업체 하나의 문제가 아니라 기반 체제의 문제점이라는 점이고 또 하나는 DMZ zone 에 위치한 서버가 권한 탈취를 당했다는 것은 심각한 상황이라는 것이다.


10월 하순부터 신규로 만들어진 악성링크가 소스코드 복사를 통해 들어가 있었다는 해명은 황당하기 그지 없다. 또한 구글은 내부에 포함된 악성링크를 가지고 판단 하는 체계가 아니며, Drive by download 즉 해당 웹 서비스에서 악성파일이 내려 올때에만 Alert을 하는 체제이다. 현재 다운로드 이벤트가 없는 비정상적인 링크를 대규모로 추적하는 곳은 세계적으로 빛스캔만이 유일한 곳이다.


변명을 하고 해명을 할 때가 아니라 전체의 안정을 위해 대단한 노력을 기울여야 할 시점인데도 불구하고...  


악성링크가 들어 있는 소스가 복사 되어 사용 되었기 때문에 문제가 없다는 것은 사기다.  그 악성링크는 유포 통로로서 이용이 된다. 즉 공격자가 수시로 내용을 채워 넣고 지우는 형태라서 꾸준히 추적을 못한 경우 정체를 알 수가 없다. 우린 이미 추적을 해오고 있었고 그 기록을 다 유지하고 있다.


방문 했을때의 스크린 샷을 보면 악성링크도 불려지는 것을 확인 할 수 있다. 그 이야기는 테스트(?) 서버라고 주장하는 것이 언제부터 연동 되었는지 알 수 없지만 이미 한참 이전 부터 악성코드 유포에 사용 되고 있었음을 의미한다. 


실제 데이터까지 다 있는 마당에 이제와서....무슨 궤변이던가?





위의 이미지는 악성링크가 들어 있는 시점에 한국전자인증을 방문하여 첫 페이지에서 불려지는 모든 링크를 체크한 부분의 이미지다.  테스트 서버라고 하면 왜 메인 웹서비스와 연동이 되어 있었는가?  또한 해당 악성링크는 이미 발견 당일에도 악성코드 유포 이슈가 감지된 악성링크인데 왜 영향이 없다고 하는가?


테스트 서버라고 하면 영향이 없다는 것은 말이 안되는 부분이며, 연결 되는 순간 영향력은 동일하다.  모든 방문자가 해당 회사를 어떤 방식으로든 방문 하게 되면 내부의 링크들은 그대로 다 불려진다. 10월 하순 부터 활성화된 악성링크는 11월 19일까지 계속해서 영향을 미치고 있었다.  


우린 대규모 유포망의 변화와 추적에만 신경을 쓰고 있었고 하위 유포 통로의 경우 매우 심각하거나 반복적인 이슈가 있을때에만 정보 제공 및 기사화를 통해 주의 환기를 시키는 정도 였으나 본 사안의 경우 심각성이 도를 넘어선 상태여서 강력한 개선과 점검을 통해 보완을 해야만 현재의 위기를 막을 수 있다고 언급한 부분들이다.


연결된 화면과 변화된 내역을 모두 데이터로 가지고 있으며 최종 설치된 악성코드가 어떤 일을 하는지도 분석이 된 상황에서 지금도 아무런 영향과 피해가 없다고만 하는 것이 옳은 것인가에 대해서 고민해야 할 것이다.


인터넷은 연결 되어 있다. 그 한축이 무너지면 균형을 잃게 된다. 지금은 그 균형을 잃기 직전의 상황일 수도 있기에 문제제기를 하는 것이고 해당 악성링크의 역할과 위험성에 대해서 모른다면 앞으로 강력하게 컬럼 및 기사화를 통해 알릴 것이다. 


단순히 악성코드 유포가 기사화 되는 것에만 집중하지 말고 또 10월 말에 생성된 악성링크를 코드 복사 하다가 붙여 넣어졌다는 엄청나게 오해스러운 설명으로 덮으려고 하지 말아야 한다. 구글의 악성코드 감염 위험을 나타내는 Safebrowsing 화면은 좀 자세히 알고 해명에 올리길 바란다. 구글은 무조건 Drive by download 가 발생되면 내부의 악성링크와 관계 없이 위험성을 알리는 차원에서 세이프 브라우징에 등록된다.  즉 방문 했을때 이벤트가 발생 되어야 하고 그 이벤트 발생되어 내려온 파일이 위험성이 있을때 차단을 하는 것이다. 단순히 아무 영향이 없는 링크가 악성링크로 이용이 된다고 하여 차단을 하지는 않는다는 점이다.


그러므로 DMZ Zone 내의 서버가 공격당한 것은 사실이며, 공격자에 의해 악성코드 유포에 이용 되었다는 것은 치명적인 결과라 할 수 있을 것이다. 더군다나 공격자가 악성링크를 이용하여 악성코드 감염을 위한 숙주로 이용하는 것은 정말 마지막 단계에서나 버리는 수준에서 ( 노출이 되니..) 사용이 되는 기법이다.  권한 획득 하고 단지 악성코드 유포만을 할까?  농협도 악성코드로 인해 내부로 들어온 공격자들에 의해 전체가 중단 되었다. 그러나 이건 우연한 침입이 아니고 의도된 침입이 아닐까? 그리고 그 모든 일들이 완료 되어 장난삼아 악성코드 유포에 이용 한 것은 아닐까?


농락 당하는 것이 지금의 한국 인터넷 상황이다. 농락..


전체에 대한 확인이 필요할 것이다. 그것도 아주 강도 높은 수준의...


좀 더 상세한 내용과 설명이 필요한 부분들은 앞으로 계속 지적 할 것이다.  


http://deepers.net/archives/1357


데이터 및 우려하는 부분에 대한 내용은 컬럼에 상세하게 기술이 되어 있다.  변화되는 내용들에 대해서는 www.facebook.com/bitscan 에서 계속 갱신 되고 공유 될 것이다.


- 바다란