연목구어(緣木求魚) “문제의 해결은 원인을 제거함으로써 완성된다.”

연목구어(緣木求魚) "문제의 해결은 원인을 제거함으로써 완성된다."

-바다란

  * 언론에 기고한 내용입니다.

정확한 문제의 해결을 위해서는 원인을 알고 제거를 할 수 있어야 해결이 된다. 문제는 산적해 있으나 해결 방안은 근본 원인에 접근을 하지 못할 때 문제의 해결은 어려울 수밖에 없다. 더구나 그 피해가 전체에 영향을 미치는 상황이라면 심각성은 말할 필요가 없을 것이다.

 

 

악성코드로 인한 피해가 심각한 상황임은 2013년 올해 들어서 일어난 두 가지 대형 사건으로도 충분히 입증된 바가 있다. 방송과 금융을 직접적으로 노리고 피해를 입힌 3.20 대란과 6.25사건은 방송과 금융은 물론 한국의 중요 기관 조차도 위험의 중심부에 있음을 여실히 보여준 바가 있다. 직접적인 공격 이외에도 일반 사용자를 대상으로 하는 금융정보 탈취의 경우에도 이미 올해 상반기만에 지난해 전체의 피해를 넘어서는 피해액을 보이고 있는 상황을 볼 때 지금의 한국 인터넷 환경의 위험도는 조절 할 수 있는 상황을 넘어선 것이 아닌가 하는 우려가 든다.

 

한 주에만 악성코드를 감염 시키는데 이용 되는 악성링크가 최소 200여 개 이상이 발생 되고 영향을 받는 사이트가 수 천여 개에 이르는 상황에서 일반 사용자가 안심 할 수 있는 인터넷 이용 환경은 매우 제한 적이다. 일상적인 웹서핑 상황에서도 악성코드에 감염될 수 있는 Drive by download는 접속만으로도 감염이 된다. 모든 악성코드는 감염 시도 이전에 한국 내에서 사용되는 주요 백신에 대해 탐지 여부를 확인 하고 유포 함으로써 감염률을 극도로 높이고 있는 실정이다.

 

방문자가 많은 사이트를 대상으로 악성코드 감염에 이용하고 있고, 주요 백신에 대해 탐지 여부를 확인 함으로써 감염율을 높인다. 또한 감염 이후에는 금융 정보 탈취 이외에도 원격에서 조정이 가능한 백도어까지 심어둠으로써 추가적인 정보 획득 및 내부 침입을 위해 적극적으로 활용을 한다. 최근 공격자가 다수의 백도어 감염 PC를 조정하는 서버를 역으로 관찰한 바에 의하면, 의료 분야뿐 아니라 기업의 중요 기밀이라고도 할 수 있는 설계도 및 내부 인트라넷을 이용하는 화면을 모니터링 하고 있는 것이 확인 되었다. 일반적으로 산업 기밀에 대한 유출은 보통 사람을 통해 저장된 매체를 통해 유출 하는 것이 대부분으로 알려져 있다. 그러나 이번 확인을 통해 공격자가 내부의 PC를 완벽하게 제어하는 것을 통해서 더욱 많은 정보들이 노출 될 수 있는 상황에 처해 있음이 확인 되었다. 지난 3.20 대란의 경우에도 내부로 침입한 이후에 실제 피해를 발생 시킨 것으로 확인 되었으나 아직까지 내부망으로 어떻게 침입 하였는지에 대한 확인은 된 바가 없다. 그러나 최근 공격자들이 운영하는 서버에서 확인된 결과에 의하면 전체 감염 PC의 상당수가 사설 IP를 이용하는 내부망의 PC라는 점에서 개연성은 일부 추정이 가능하다.

 

이메일을 통한 특정 대상에 대한 감염 시도와 웹을 통한 불특정 다수를 겨냥한 감염 시도는 피해의 범위에서 현격한 차이를 보일 수 밖에 없다. 현재 금융 정보 탈취에 이용되는 파밍 관련 피해가 급증하고 사회적 문제로 대두되고 있는 것은 불특정 다수를 겨냥한 감염 시도가 사회적 영향을 주고 있기 때문일 것이다.

 

웹서핑을 통해 감염 되는 악성파일을 설치된 백신이 탐지 하지 못하고 공격자에 의해서 원격에서 제어되는 상태에 놓이게 되는 상황과 인터넷 뱅킹을 이용하거나 사용자 정보를 입력하는 모든 순간을 지켜 보고 있으며, 정보를 빼내어가고 심지어는 원격에서 직접 제어를 함으로써 추가적인 정보탈취가 직접 가능한 상황은 악몽에 가깝다. 지금까지의 피해 예방을 위한 대책으로는 이메일의 첨부 파일을 클릭 하지 말거나, 불법 파일 다운로드를 하지 말아야 한다는 정도의 대책이 대부분 이였다. 그러나 실제로 발생되는 공격들은 대책과는 한참 동 떨어져 있다. 문제의 원인 파악이 제대로 되어 있지 않은 대책이라 할 수 있다.

 

PC에 설치되는 백신을 믿을 수 밖에 없는 개인 사용자들과 각종 보안장비 (IDS , IPS, Web Firewall) 등을 믿을 수 밖에 없는 기업의 현재 상황은 안타까움을 넘어 위험에 처한 상황으로 보인다. 백신 탐지를 우회하고 내부 사용자를 노리고 공격하는 악성코드들에 무력할 수 밖에 없는 보안장비들은 현재 위험의 원인을 제어할 수 없는 상황이다.

 

접속만 해도 감염되는 악성코드의 경우에도 사용자의 클릭과 같은 행동 없이도 자동으로 공격이 발생된다. 접속만 해도 자동적으로 공격이 발생 되는 상황은 Java, Flash, IE 브라우저의 취약성을 적극적으로 이용한다. 공격자들은 정상적인 웹사이트들을 공격하여 공격에 이용되는 코드를 넣어둔다. 그 이후 방문 하는 모든 사용자들은 즉시적인 공격의 대상이 된다. 지금의 상황을 살펴보면 대책들은 웹서비스를 통한 대량 감염을 통제하기에는 한계가 있는 상황이다. 개인과 기업 차원의 보호 대책도 현재의 위험을 통제하기 위해서는 다른 형태의 보호 방안을 강구해야만 할 상황에 처해 있다. 위험을 외면 해서는 3.20, 6.25와 같은 직접적인 공격에 노출 되고 기업의 기밀도 순식간에 유출 될 수밖에 없다. 위험은 통제 범위를 벗어난 상황이 현재다.

 

접속만 해도 감염이 되는 상황이며, 어떤 사이트에서 공격이 발생 되는지에 대해서도 알 수가 없다. 그리고 최종 악성파일 조차도 주요 백신들의 탐지를 우회하는 상황이며, 수시로 악성파일을 변경 하고 있다. 현재는 개인 사용자들의 피해가 급증하고 있으나, 머지않아 기업/기관들의 정보 유출 및 추가적인 사고들도 연속해서 이어질 가능성이 높다. 적극적인 대책들을 실행 하지 않는다면 문제는 향후에도 계속 될 수 밖에 없을 것이다.

 

개인차원에서 믿을 수 있는 것은 백신뿐이지만 금융정보 탈취 가능성을 최소화 하기 위해서는 노력이 필요하다.

 

1. 운영체제 및 백신의 업데이트를 항시 최상으로 유지
2. Java ,Flash , IE의 업데이트를 최신으로 유지
3. 공인인증서는 별도의 매체에 보관하며, 보안카드는 오프라인으로 보관한다.

 

위의 세 가지 대책 이외에는 개인 차원에서 노력 할 수 있는 것은 없는 상황이다. 기업 차원에서는 웹을 통한 악성코드 감염 이슈에 대해서 사전 예방에 적극적인 노력을 해야만 한다. 감염 이후에는 제한적인 대응만이 가능한 상황이라 기존의 보안 장비들에 대한 지속적인 관리와 갱신 이외에도 내부 사용자들을 보호할 수 있는 방안들에 대해서 적극적인 노력을 해야만 할 것이다.

 

구글의 크롬 브라우저에서 볼 수 있듯이 악성코드 감염 시도가 발생되는 웹서비스에 대해서 경고하는 사전예방 서비스는 충분히 효과적이라 할 수 있다. 비록 공격자들의 잦은 변경과 변화에 대해서는 무용지물이지만 없는 것 보다는 나은 상황이라 할 것이다. 웹을 통해 목적을 가진 동일한 악성코드를 대량으로 유포하는 이슈는 기업은 물론이고 산업과 국가 차원에서도 적극적인 대응을 해야만 문제를 최소화 할 수 있다.

 

장기적으로는 악성코드 유포에 이용되는 웹서비스들의 문제점을 지속적으로 해결 할 수 있도록 관리 체계가 구성 되어야 할 것이다. 단기적으로는 감염이 발생되는 초기 단계에서 적극적으로 공격 링크를 확인하고 대응 함으로써 감염 범위를 줄여야만 문제를 최소화 할 수 있다.

 

문제가 있다면 원인을 찾는 것이 기본이다. 원인을 찾지 못한다면 문제는 전혀 해결 되지 않는다. 금융정보 유출과 같은 피해를 사용자의 부주의로 돌리는 상황이라면 앞으로도 기업이나 기관에서 발생될 3.20과 6.25와 같은 충격적인 피해는 피할 수가 없을 것이다. 연목구어는 지금의 상황을 대변한다.

2013.10.7