본문 바로가기

Security Indicator/Insight

온라인 한국이 위험하다.

기사에서 밝힌 것은 작게 축소해서 본 부분입니다.

실제로는 validation 체크가 안된 사이트는 국내 사이트의 2/3이상일 것입니다. 또한 이중에서 직접 해킹이 가능한 서버가 절반정도 될 것이구요.

앞으로도 계속될 사안입니다.

 

 

[머니투데이 성연광 기자]

"대한민국 인터넷 보안에 심각한 구멍이 뚫렸다"

유수 웹사이트를 해킹해 악성코드 유포지로 악용하는 신종해킹수법(일명 '중국發 해킹')을 두고 한 말이다.

지난 5월 한국MSN, 코리아닷컴 등 쟁쟁한 국내 상당수 인터넷 사이트들이 연이어 중국發 해킹에 당해 온라인 게임사용자의 아이디와 비밀번호를 노리는 악성코드가 유포되는 신종 해킹 사건이 터지면서 국내 인터넷보안의 최대 이슈로 대두된 지 반년이 다됐다.

당시부터 정부기관과 민간 보안업계가 이에 대한 권고문, 취약점 진단서비스 등 대책 마련에 나서고 있지만, 언론사 뉴스포털, 케이블방송, 심지어는 국가연구기관까지 가릴것없이 연일 중국발 해킹에 속수무책으로 당하고 있다. 지난 6월부터 현재까지 중국발 해킹수법에 당해 한국정보보호진흥원(KISA)에 공식 집계된 국내 사이트 수만 이미 1000여곳을 넘어섰다.

전문가들은 "자칫 방심했다가는 과거 1.25대란보다 더욱 큰 보안사고에 직면할 수 있다"고 경고하고 있다. 2003년 1.25대란의 경우, 일시적인 네트워크 소통 마비 정도에 국한됐지만, 이번 중국發 해킹수법의 경우, 위협적인 악성코드를 보다 광범위하고 은밀하게 유포시킬 수 있다는 점에서 훨씬 위험하다는 게 이들의 지적이다. 무엇보다 1.25대란의 경우, 근본적인 처방이 가능했지만, 이번 신종해킹수법의 경우, 아직까지 이렇다할 국가차원의 대응책이 없다는 게 큰 문제다.

◇점점 대담해지는 중국發 해킹

지난 6개월 사이 중국발 해킹에 대한 국내 보안대책은 여전히 제자리를 맴돌았던 반면, 공격자들의 수법은 빠른 속도로 교묘해지고 있다. 무엇보다 공격자들의 해킹방식이 보다 용이주도해졌다. 얼마전까지만 해도 보안이 취약한 웹사이트들을 무작위적으로 공격하던 방식에서 벗어나 최근에는 방문자수가 많거나 많을 것으로 추정되는 특정 분야의 웹사이트들을 순차적으로 공격하고 있다.

뉴스포털과 케이블방송이 대표적이다. 네이트닷컴 뉴스포털과 오마이뉴스, 스포츠조선 등 주요 뉴스 사이트들이 일제히 공격을 받은데 이어 최근에는 모 지상파 방송 한곳과 경제일간지도 같은 피해를 입은 것으로 알려졌다.

지난달에는 엠넷, 홈CGV, 내셔널지오그래픽, XTM 등 주요 케이블방송들과 교육방송(EBS) 등 방송 미디어들이 줄줄이 공격받았다.

악성코드를 유포하는 수법 또한 보다 지능화되고 있다. 7월 모 보안업체 웹사이트에 유포된 악성코드의 경우, 감염된 사용자 PC에 만들어진 실행파일 아이콘이 이 회사에서 배포하는 스파이웨어 퇴치 프로그램을 흉내내 제작됐다. 심지어는 온라인 게임에서 기본적으로 깔아주는 키보드 방지 프로그램명을 흉내낸 악성코드도 발견됐다.

지난 9월 모 만화 케이블방송사의 경우, 공격자는 기존 익스플로러 브라우저의 취약점을 이용한 유포방법 대신 액티브 엑스(Active X)를 이용했다. 또 게임 사용자 정보를 빼내는 악성코드는 미디어 웹사이트에서 흔히 내려받을 수 있는 '플래시' 파일로 위장됐다. 이처럼 교묘히 사용자들을 속이기 시작한 것이다.

과거엔 사용자의 온라인 게임 아이디와 비밀번호를 훔쳐내는 트로이목마가 주로 유포됐으나, 최근에는 해커가 사용자 PC에 직접 접속해 정보를 빼갈 수 있는 백도어와 애드웨어도 같은 방식으로 유포되고 있다. 지난달 해킹을 당한 한국전자통신연구원 게임기술지원센터(ETRI GTSC) 사이트에도 온라인 게임정보 탈취용 트로이목마와 함께 백도어가 발견됐으며, O사 미디어 관련 사이트에서는 중국 애드웨어가 유포된 바 있다.

◇악성코드 탐지도 어렵다

이뿐 아니다. 악성코드도 기존 보안제품이 탐지하기 어렵게 만들어지고 있다. 초기 해킹당한 사이트에 검출된 악성코드의 경우, 대부분의 백신제품들이 이를 탐지해냈으나, 최근에는 어느 백신제품으로나 탐지가 어렵게 제작돼 있다. 공격자들이 계속해서 변종을 만들어내기 때문이다.

악성코드를 숨겨놓는 일명 '숙주서버' 해킹도 갈수록 교묘해지고 있다. 숙주서버란 공격자가 자신을 노출시키 않기 위해 또다른 웹 서버를 해킹에 악성코드를 몰래 숨겨놓는 곳을 말한다.

최근에는 국내 보안이 허술한 중소 웹사이트뿐만 아니라 중국 현지 사이트, 심지어는 멀리 독일에 소재한 사이트까지 해킹해 몰래 숨겨놓고 있다. 해외에 소재한 사이트의 경우, 우리나라 보안당국이 이를 제거하기 쉽지 않다는 점을 노린 것이다.

◇피해 규모는 상상초월할 듯

아직까지 공식적인 피해규모는 발표되지 않았다. 그러나 중국발 해킹과 악성코드 유포방법이 갈수록 은밀해지다보니, 의외로 그 피해규모가 상상을 초월할 수 있다는 지적이다.

실제, 지난달 KISA가 악성코드가 숨겨져 있는 숙주 서버를 분석한 결과, 한곳에서만 1000여명 이상이 악성코드를 받아간 것으로 알려졌다. 현재 이같은 숙주서버만 수백개가 있다. 물론 보안패치가 완료된 사용자 PC에선 실행되지 않지만, 적잖은 네티즌들이 실제적인 피해를 본 것으로 추정된다. 최신 보안패치 적용률이 상대적으로 미미하기 때문이다.

또 올들어 국내 온라인 게임 아이템 거래를 둘러싼 한중 조직간 불법 커넥션이 실제 두차례나 적발된데다, 한국 게이머들을 겨냥한 중국발 해킹이 갈수록 기승을 부리고 있다는 점에 비춰, 실제 이같은 공격이 효과가 있고, 이로인해 피해규모 또한 상당한 것으로 추정된다.

문제는 이같은 중국발 해킹피해가 장기화될 가능성이 높다는 것.

현재 중국발 해킹수법이 방화벽, 침입탐지시스템(IDS) 등으로 방어가 불가능한 웹 애플리케이션의 취약점을 이용하는데, 상당수 국내 웹사이트들이 이같은 취약점에 그대로 노출돼 있는 것으로 지적됐다.

NHN 보안담당자인 전상훈 과장은 "국내 웹사이트의 50% 이상이 이같은 웹 애플리케이션 취약점을 안고 있다"며 "이를 막기 위해선 개별 사이트마다 일일이 보안 체크(인자값 유효성 점검)을 해줘야하는데, 현실적으로 불가능하다"고 말했다.

또 현재까지 주로 국내 유명 온라인 게임 아이디와 비밀번호 유출을 목적으로 하고 있으나, 금융정보 등 앞으로 다른 중요 정보유출에 악용될 가능성도 크다는 게 전문가들의 지적이다.

보안업체인 지오트의 문종현 바이러스분석실장은 "현재 중국발 해킹은 기존 웹사이트 변조사고처럼 단순한 장난이나 실력과시 차원이 아닌, 금전취득과 직결되고 있다는 점에 유념해야한다"며 "인터넷 보안은 앞으로 인터넷서비스 운영업체뿐 아니라 인터넷을 사용하는 국민 스스로 재산을 지키는 필수요소로 이미 자리잡고 있다"고 지적했다.

성연광기자 saint@