안녕하세요. 바다란입니다.
금일 새로 나온 기사에 벅스의 악성코드 유포 관련 소식이 있었습니다.
벅스의 해킹은 벅스 회원이 몇백만을 넘고 유료 사용자 비율이 높다는 측면에서 파급효과가 클 수 밖에 없습니다.
벅스를 통해 유포된 악성코드는 사용자 계정의 유출 및 특정 온라인 게임[ 대상이라고 해봐야 몇 개 안됩니다. ] 의 사용자 정보를 유출하는 악성코드이며 유포 경로는 검색창을 통한 유포라고 합니다.
검색창을 서비스 하는 곳은 코리아와이즈넛 .. 검색업체인데 이 곳 서버가 해킹을 당해 검색 코드내에 악성코드 유포 루틴이 추가된 것으로 유추가 되고 있습니다. 또한 검색코드는 여러 곳에서 링크를 통해 서비스를 하고 있을텐데 한 곳에 대한 해킹이 아닌 와이즈넛이 검색 서비스를 제공하는 모든 곳에서 사용자에게 악성코드가 유포 되었을 것으로 예상됩니다.
일반 방문자가 많은 홈페이지를 해킹하여 [ 지난 해에 다수 있었죠. 신문사 및 온라인 서적 , 게임 , 신문사 등등 ] 악성코드를 유포하는 행위에서 한걸음 더 나아가 해킹 흔적을 찾기 어렵도록 코드를 숨기도록 하여 대응이 어렵도록 만들었었죠.
발전 방향을 보면 다음과 같습니다.
일반 홈페이지 단순 악성코드 유포루틴 삽입 ->
악성코드 유포의 흔적 및 숙주서버의 존재를 숨기기 위해 다른 홈페이지에 악성코드를 업로드 하여 유포 ->
악성코드 유포 루틴의 흔적을 찾기 어렵게 하기 위한 Encoding 및 다양한 기법 사용 -> 여러 곳에 서비스 하는 업체를 해킹하여 일타 다피를 노리는 유포 행위 ->
현재 발견된 최종은 검색 서비스와 같이 다수의 계층 및 업체에 제공되는 서비스를 해킹하여 불특정 다수에 대한 유포 ..
과정 설명이 조금 복잡할 수도 있습니다만 지금까지 지켜 보면서 느낀 부분만을 기술하면 위와 같이 정리가 가능합니다.
결론적으로 금일 발생한 악성코드 유형은 와이즈넛은 해킹을 당해서 악성코드 유포루틴이 추가 되었고 벅스는 해당 악성코드를 유포 하였다라고 현재 발생한 사건을 명확하게 정리가 됩니다.
악성코드가 유포되는 홈페이지에 누가 방문을 하려 할까요? .. 또 검색엔진 자체가 해킹을 당해 불특정 다수에게 유포가 되는 상황이 왔을 경우에 어떤 문제들이 생길까요?.
그 어떤 경우에라도 치명적일 수밖에 없습니다. 특히 IT 비지니스를 주된 업종으로 삼고 있는한 현재 노출된 직접적인 공격 가능성에서 자유로울수가 없습니다. 공격자들과 유사하거나 조금 더 빨리 대응책을 만들고 대비를 해야 하는데 이럴려면 전체적인 수준에서도 상위권 수준을 유지해야만 일정정도 가능해 집니다. 공격을 당하고 대응을 하는 것이 아니라 공격징후 및 위험 요소를 사전 인지한 이후 최소한의 준비 혹은 대응태세가 있어야만 현재의 환경에서 살아남고 창의적인 경쟁력을 보장 할 수 있게 됩니다.
악성코드의 탐지를 위한 자체적인 룰 개선 및 탐지 로직 , 공격 행위의 탐지 [ 예전과는 상당히 판이한 공격입니다. Application에 대한 공격들이 대부분이라...] , 원인 요소의 사전제거 등등 다양한 작업들이 필요합니다.
무엇보다도 가장 중요한 것은 원인요소의 사전제거라고 할 수 있는데 원인이 없으면 공격의 시작도 발생 할 수 없는 것이죠.
원인 제거를 위한 내용은??.. Secure programming 혹은 Secure 하다고 인정된 Template의 사용과 개발 이후 과정에서의 보안성검수를 통해서만 제거가 될 수 있습니다.
어떤 서비스든 IT 베이스 위에서 운영이 되고 네트웍 상황에서 이용이 된다면 보안성 검수의 이행만이 일정 수준 이상의 안정성을 보장 할 수 있게 됩니다.
좋은 하루 되세요.
'Security Indicator' 카테고리의 다른 글
CSS Virus PoC 코드 와 구글의 XSS 문제 수정 (0) | 2010.04.27 |
---|---|
CSI 컨퍼런스 참가 후기 (0) | 2010.04.27 |
BlackHat의 Web Worm 경고 (0) | 2010.04.27 |
alzip 및 apache 신규 취약성 - 주의 (0) | 2010.04.27 |
Active X를 이용한 사회공학적 해킹 기법 (0) | 2010.04.27 |