태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

인터넷 위협 수준: 주의

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

[표 1. 2월 3주차 한국인터넷 위협지수]

2월 3주차에 전체 발견된 유포지는 지난주에 비해 조금 증가하였지만, 신규 경유지의 활동이 약 3배정도 증가함에 따라 파급력도 동반 상승하는 효과가 나타났다. 상승 요인으로는 파일공유(P2P), 여행사, 쇼핑몰, 뉴스, 광고 배너 사이트가 주말기간 악성코드의 집중적인 유포에 따른 효과로 보이며 일부 사이트는 3주 연속 악성코드 통로로 이용되기도 하였으며 파일공유(P2P) 사이트에서는 공백(Space, Tab)와 배열함수를 이용하여 AV 제품의 웹 페이지 탐지를 방해하기 위한 활동도 포착되었다. 또한, 발견된 악성코드는 대부분 파밍 악성코드로 분석 되었으며 일부는 추가 다운로드를 통해 스케쥴러를 생성하여 C&C와 지속적인 명령을 받는 모습도 관찰되었다. 특히, 지난 주에 출현한 지마켓을 노린 파밍용 악성코드는 금주에 이르러서 웹사이트에 연결되는 상황까지 발전하였다. 금주 신규 경유지의 지속적인 증가 및 탐지 회피를 위한 악성링크의 변화와 지속적인 파일공유(P2P) 유포 등 전반적인 위협이 증가함에 따라 인터넷 위협 수준을 "주의" 단계로 유지한다.

 

[표 2. 시간대별 통계]

시간대 별 통계를 살펴 보면 신규 경유지가 증가함에 따라 전반적인 수치가 지난주에 비해 상승한 모습이 나타났으며 특히, 평일에 시작된 악성코드의 유포가 주말까지 이어지는 모습이 나타났다.

[표 3. 최근 1달 악성링크 도메인 통계]

1월 2주차부터 2월 3주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 165건(14.8%)으로 지난주와 비슷하였으며, 프랑스가 300건(26.8%), 미국이 240건(21.5%), 독일이 165건(14.8%), 이탈리아가 58건(5.2%), 스페인이 33건(3.0%), 폴란드가 30건(2.7%), 영국이 24건(2.1%), 네덜란드가 22건(2.0%), 홍콩이 11건(1.0%), 기타 70건(6.1%) 등으로 나타났다.

 

  • 2월 3주차 대표적 유포 이슈

[그림 1. 오픈마켓 지마켓(Gmarket.com) 및 금융결제원을 이용한 플로팅 배너 광고]

지난주 오픈마켓인 지마켓(Gmarket.com)을 이용하려는 사전 징후가 악성코드를 통해 포착되었다. 그 이후 금주 주말에 나타난 악성코드를 통해 지마켓(Gmarket.com) 사이트가 플로팅 배너 광고로 이용되고 있는 모습을 확인하였다. 지마켓을 시작으로 다른 오픈 마켓까지 확대될 지는 조금 더 지켜봐야겠지만 한가지 분명한 점은 이제는 포탈 사이트만이 타겟이 아니라는 점은 확실하다. 더불어, 금주 포털 사이트에서 나타난 플로팅 배너 광고에서는 금융결제원을 사칭하여 파밍 사이트로 연결하는 모습도 확인되었다.

보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

끝.

 

고급보안정보구독서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 브리핑 요약 주간의 공격 동향 새로운 공격 형태 정보 요약
  • 동향분석보고서– 최소 4 제공
  • 기술 보고서공격 기법 구조 분석 제공
  • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공
  • 제공해킹 탐지 Alert 서비스 - PCDS에서 탐지된 악성 URL DB를 활용하여 해킹 여부 제공

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시, 선별된 정보만 제공)

 

정기 구독자

  • 스탠다드 브리핑 요약, 동향분석보고서, 기술분석보고서
  • 엔터프라이즈 Daily base C&C 정보, 브리핑 요약, 동향분석, 기술 보고서, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

정교하고 신속하게 변화되는 파밍 공격.

(포털 배너의 신뢰성을 이용한 금융정보 탈취-)

 

금융정보 탈취를 위한 파밍 악성코드는 2013년부터 활발하게 감염을 시도하고 있는 상황이다. 이에 따라 금융정책 당국 및 금융기관에서도 여러 수준의 경고를 통해 사용자에게 주의를 환기 시키고 위험성을 당부하고 있다. 그러나 이미 2013년 상반기에만 2012년 전체의 피해를 상회하는 피해금액이 발생된 상태에서 보듯 확산일로에 있다. 피해확산의 원인 중 가장 큰 부분은 불특정 다수를 겨냥한 대량 감염이며, 대량 감염을 위해 웹서비스를 방문함과 동시에 감염되는 Drive by download 공격을 공격자들이 이용하고 있기 때문이다.

 

http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=101&oid=001&aid=0006478598

 

2012년까지만 해도 웹서비스를 통한 악성코드 감염은 게임계정 탈취가 대세를 이루고 있었으나 2013년 시작부터 금융 정보 탈취로 대거 선회하고 있는 상황이라 피해 급증은 충분히 예상된 상황이라 할 것입니다. 일반 소비자 및 사용자들의 커뮤니티에도 낯설지 않게 파밍 관련 피해에 대한 글들이 올라오는 상황이라 피해 범위는 보다 광범위하고 오래갈 것으로 예상됩니다.

 

초기의 파밍은 금융기관의 Domain 주소를 공격자 IP로 지정하는 Hosts 파일에 대한 변조가 주를 이루었고 이후 Hosts 파일에 대한 모니터링과 감시가 강화되자 Hosts.ics 파일을 이용한 주소 변조가 다수를 이룬 것을 관찰 할 수 있습니다. 일반적으로 금융기관에 직접 접근 하는 횟수가 많지 않은 상황에서 공격자들은 추가적으로 메일 및 국내 대형 포털들의 주소까지도 위장하도록 하여 사용자를 유인할 만큼 적극적인고 대범한 공격들을 실행하고 있는 상황입니다.

 

<2013년 7월까지 발견된 포털 주소를 위장한 팝업 파밍>

 

포털 주소를 위장한 사례의 경우 가짜 사이트를 만들어서 연결되도록 하고 URL은 동일하더라도 공격자의 IP로 연결 되도록 한 상황입니다. 실시간으로 뉴스와 기사가 업데이트 되는 포털들의 변화가 관찰 되지 않으므로 조금만 주의를 기울이면 문제를 알 수 있는 상황입니다. 또한 전방위적으로 금융감독원을 사칭한 팝업창은 악성코드라는 주의가 다수의 언론매체를 통해 보도가 된 상황이라 사용자들도 높은 경각심을 가진 상황이 됩니다.

 

<2013년 9월초 발견된 포털 배너를 위장한 파밍 공격>

<2013년 9월초 발견된 포털 배너를 위장한 파밍 공격 2>

 

9월초에 처음 발견된 공격 유형은 팝업창이 아닌 배너를 통한 파밍 공격이 최초 발견 되었습니다. 팝업창에 대한 주의가 높아짐에 따라 공격 형태를 변경한 것을 확인 할 수 있습니다. 이 경우에도 실제 포털과는 관계 없는 공격자가 인위적으로 만든 포털 사이트 첫 화면에서 배너만 파밍 사이트로 연결되도록 구성한 것이 관찰 됩니다. 주된 공격 형태는 포털사이트의 주소와 주요 메일에 대한 주소를 Hosts 파일과 Hosts.ics 파일을 통해 공격자의 파밍 사이트 주소로 설정해 둔 상태라 할 수 있습니다. 본 사례의 경우에도 실시간 검색과 같은 변화나 기사에 대한 변동 등은 없는 상태임을 확인 할 수 있습니다.

 

9월 10일 최초 발견된 포털의 광고서버를 파밍 사이트 주소로 변경하여 실제 포털 서비스에서 광고 영역만을 파밍 사이트 연결 배너로 교체한 사안은 보다 정교해지고 사용자가 당할 가능성이 매우 높은 부분이라 할 수 있습니다.

< 2013.9.10일 국내를 대상으로 대량 유포된 악성코드의 파밍 기능 >

파밍 사이트는 nv1.ad.naver.com 주소를 공격자의 IP로 변경하도록 하여 정상 포털을 접속 하였음에도 불구하고 배너 광고만 공격자가 지정한 광고( 파밍 사이트 연결)로 나타나는 상황입니다.

 

현재 9월 이후에 발견되는 공격들은 9.26일부터 실시되는 전자금융 사기 예방 서비스 시행안내를 역으로 파밍 공격에 이용하는 대담함을 엿볼 수 있습니다. 그만큼 자신감에 차 있다는 것으로 보입니다.

< 2013.9.10일 국내를 대상으로 대량 유포된 악성코드의 파밍 기능 - 내역>

로그인 및 모든 포털 기능은 정상적으로 작동을 하며, 단지 배너 광고에 이용되는 도메인만 공격자가 만들어둔 파밍 사이트로 연결 하도록 되어 있습니다. 포털을 접속하면 광고만 공격자 IP로 연결 되는 상황이고 모든 서비스는 정상적이라 사용자가 의심을 하기에는 상당히 어려워 보입니다.

 

호스트파일 변조 내역에는 금융기관은 최소화하고 배너 광고의 경우에도 포털의 배너 서버인 nv1.ad.naver.com 을 파밍 사이트로 연결 되도록 한 상황이라 탐지 여부를 인식하기에는 어려움이 있을 것으로 보입니다.

 

< 9.10일 발견된 악성코드의 Hosts 파일의 변조 내역 샘플 >

 

파밍 사이트 연결도 다양한 방식으로 시도되고 있고 파밍 IP들도 계속 변경 되고 있는 상황입니다. 근본적인 문제 해결은 웹을 통한 대량 악성코드 감염 시도에 대해 모니터링을 강화하고 초기 단계에서 피해 범위를 최소화 할 수 있는 다양한 노력으로 문제를 줄일 수 있도록 노력해야 할 것입니다.

 

문제의 원인을 해결하고 줄일 수 있도록 노력을 해야 문제는 최소화 됩니다. 사용자의 주의를 당부하고 불법 파일 다운로드와 백신을 통한 해결만으로는 현재 상황은 어려운 부분이 있지 않나 생각 됩니다. 지금 이 순간에도 변화하는 공격기술은 이제 대응을 순식간에 무력화 하는 상태로 계속 발전 하고 있습니다.

 

문의 info@bitscan.co.kr  , 최신 정보는 www.facebook.com/bitscan 페이지에서 확인 가능

Posted by 바다란

* 본 분석 문서는 지난 2년 이상의 악성링크를 통한 대량 유포 관찰 기간 동안 가장 특이한 행동이 관찰된 시점을 기준으로 작성이 되어 있습니다. 2012년 12월 대선을 기점으로 공격 전략의 변화와 위험성에 대해서 매 주간 단위로 정리하여 정보제공을 한 바 있습니다만 좀 더 넓은 기간을 관찰하여 변화에 대한 내용을 정리하기 위해 공개되는 문서입니다.  


변화의 관찰을 위해 수치의 변화만을 기술 하였으며, 동 기간에 파밍 유형의 악성코드 감염 사례가 다수 발견 된바가 있어서 국내에서의 악성코드 감염을 통한 정보 유출과 금융정보 탈취형 악성코드가 심각한 상황에 있음을 알 수 있습니다.  2013년 3월 현재는 웹 서비스를 통해 대량 감염 시도하는 악성코드들 대부분이 금융 정보 탈취형이 파밍형태의 악성코드라 앞으로 피해는 계속 될 것으로 예상 됩니다. 


향후에도 특이 사항이 발견되어 정보전달이 필요할 경우에는 폭 넓은 범주에서 동향을 관찰한 데이터들을 공개 하도록 하겠습니다.  


제 1호

빛스캔 분기 동향 분석

 

 

 

 

악성코드 유포 및 경유지

변화 관찰

(2012년11월~2013년1월)

 

 

 

 

 

 

 

 

2013. 02.

 

 

빛스캔(주)

 

 

 

본 정보는 빛스캔(주)의 PCDS (Pre Crime Detect Satellite)를 통해 2012년 11월부터 2013년 1월까지의 경유지 및 유포지의 변화를 종합 관찰한 내용이다. 본 관찰결과는 대선실시 이전에 정보를 공유하여 협력한 결과 변화된 공격 형태를 나타내고 있다. 대선기간 DDoS 공격을 우려하여 최종 악성파일과 C&C 연결 정보를 전달한 결과 악성코드 유포지의 비율이 국내로 급격하게 기울어지는 현상을 확인 할 수 있다.

3개월간의 변화 관찰과 내부 데이터를 가공한 보고서를 통해 국내 인터넷 환경의 심각성에 대해서 인식을 하는 계기가 되었으면 한다. 동 기간에 유포된 최종 악성코드들은 최소 50% 이상이 금융정보 탈취를 위한 파밍 형태의 악성코드들이 유포된 상황이므로 향후에도 계속해서 금융 관련 사고가 발생 할 것으로 예측이 된다.

 

악성코드 유포지: 홈페이지 자체에서 악성코드 파일을 저장하여 이용자에게 전파하는 페이지

● 악성코드 경유지: 홈페이지 방문자에게 악성코드 유포지로 경유할 수 있도록 간접적으로 전파하는 페이지

 

유포 및 경유지 통계

 

전체 수치는 PCDS 탐지 체계를 통해 수집된 내용이며, 중복을 제외한 수치이다. 경유지의 수치는 실제 공격이 발생된 서비스 수치만을 카운트한 내용이며, 반복된 공격의 수치를 포함하면 수치는 대폭 증가하는 상황이다. 악성링크라고 부를 수 있는 유포지는 전체적으로 감소하는 현상을 보이고 있고 경유지도 감소하는 현상이 관찰되고 있다. 그러나 12월중에 접속자가 매우 많은 서비스들이 경유지 및 유포지로 직접 이용된 정황들이 있어서 전체 피해범위는 더 넓어졌을 것으로 판단된다.

 

2012년 11월

2012년 12월

2013년 1월

유 포 지

218

196

162

경 유 지

1,228

837

931

합 계

1,446

1,033

1,093

증감 (비율)

 

-29%

6%

 

 

 

유포지 국가별 통계

 

2012년 11월

2012년 12월

2013년 1월

1-18일

19-31일

대한민국

68

79

32

119

기 타

150

74

11

43

합 계

218

196

162

비 율

 

-10%

-17%





















<영역 비율을 통한 악성코드 유포지별 국가 변화 관찰 2012.11~2013.1 >



대량으로 탐지된 유포지 및 경유지로 탐지된 Top 10 list


Find Time

Malware URL(유포지)

Vulnerability Set(CVE)

Nation

경유지

2013-01-12

xxxx.pickple.com/xx/xxxx.js

0422-5076-4681-1889-1723-0507-3544

USA

145

2012-12-09

kxx.or.kr/xxx/xxxx.html

4681-1889-3544

Korea

69

2012-11-11

205.209.137.xx/xxx/xx.js

4681-1889-1723-3544-1255

USA

63

2012-11-11

66.79.179.xxx/xxx/xxx.js

4681-1889-1723-3544-1255

USA

55

2013-01-30

112.169.111.xx/xxxx.html

5076-4681-1889-1723-0507-3544

Korea

55

2013-01-06

58.227.192.xx/ixxx.html

5076-4681-1889-1723-0507-3544

Korea

50

2012-11-10

66.79.169.xx/xxxx/xxxjs

4681-1889-1723-3544-1255

USA

42

2013-01-05

58.227.192.xx/xxxxjs

5076-4681-1889-1723-0507-3544

Korea

35

2012-12-01

wtmain.com/xx/xxxjs

5076-4681-1889-1723-0507-3544

Korea

34

2012-11-01

www.seoxxxx.kr/xxxx.html

4681-1889-1723-0507-3544

Korea

33



















< 동기간 국가별 악성코드 유포지 활용 비율>

* 본 통계는 모두 실측된 통계자료이며, 국내 인터넷 환경의 위협 변화에 대해 정리된 통계자료 입니다. 동 기간 동안 정보제공 및 채널을 통해 매주의 이슈에 대해서는 정리된 바 있습니다. 


======================================================

2013년 2월 이후 주요 이슈 및 대책

 

1. Gondad Exploit Kit에서 새로운 취약점을 이용한 공격 발견

Gondad Exploit Kit에서는 존재하지 않았던 새로운 취약점을 이용한 공격을 발견하였다. 이 취약점은 2013년 2월 7일 CVE에 등록은 되었지만, 실제로 국내에서 발견된 것은 이번이 처음이다. [그림1]과 같이 해당 취약점은 Adobe Flash 파일을 이용하여 공격하는 방식으로 해당 파일은 Adobe Flash Player의 Memory Corruption 취약점을 이용해 Buffer Overflow을 일으켜 공격자가 실행시키고 하자 하는 코드를 임의로 실행시킬 수 있다. 또한, swf파일의 특징으로써 Decompiler을 통해 swf파일을 열어보면, 클래스 이름이 LadyBoyle이고 32비트 버전, 64비트 버전별로 따로 클래스가 존재함을 알 수 있다[그림2].

그리고 또한 LadyBoyle 클래스에서는 플래시 버전과 OS버전을 확인한 후 공격의 여부를 결정하고 있다[그림3].

현재 해당 취약점은 윈도우 이외에 매킨토시에서도 DoS공격이 가능하다고 알려져 있으나, 해당 swf파일에서는 윈도우 사용자를 대상으로 하는 공격이었으며, 윈도우에서는 취약점을 이용한 권한상승 및 Drive-by download를 통한 공격이 가능하다고 알려져 있기에, 2월 7일 배포된 Adobe Flash Player의 업데이트를 권장한다.

 

2. 자동화 된 Exploit Kit을 활용한 대규모 악성코드 유포

악성코드 유포를 위해 취약한 웹 서비스들에 대량으로 악성링크를 삽입하여 이루어지는 공격은 여전히 활발하게 이루어지고 있다. 따라서 일반 사용자들은 악성링크가 삽입된 사이트에 방문만 하더라도 해당 웹 페이지에 삽입된 링크로 연결되어 자신도 모르는 사이에 악성코드에 감염되는 Drive-by download 공격에 노출될 수밖에 없다. 정상 페이지로부터 연결되는 악성 페이지는 사용자 PC의 다양한 어플리케이션의 취약점을 이용하여 악성코드를 다운로드 하고 실행하는 기능을 포함하고 있다.

 

악성코드 유포에 사용되는 취약점들은 Oracle Java, Adobe Flash Player, Internet Explorer 등과 같은 다양한 어플리케이션에 존재한다. 대부분의 일반 사용자들은 사용하는 어플리케이션의 업데이트를 제대로 수행하지 않기 때문에, 공격자들은 패치가 없는 제로데이 취약점은 물론이고, 이미 패치가 나와 있는 취약점이라 할지라도 공격 효과가 높은 취약점을 선호한다. [그림 3]은 지난 2012년 6월부터 현재까지, Exploit Kit에 추가되어 대량의 악성코드 유포에 활용되었던 대표적인 취약점들을 나타낸다.

 

 

[그림 4]은 Gondad Exploit Kit을 사용하는 악성링크의 일반적인 구조도로, CVE-2013-0634를 포함하여 총 8가지 취약점을 동시에 활용하여 악성코드를 유포한다. 악성 페이지인 index.html에는 6가지 JAVA 취약점, MS XML 취약점, Adobe Flash 취약점이 포함되어 있으며, 최종적으로 pang.exe라는 악성코드를 다운로드 하여 실행한다.

지난 한 해 동안의 공격 동향을 살펴보면 이러한 취약점들을 동시에 사용하여 악성코드를 유포하는 다중 취약점 형태가 가장 일반적으로 나타났다. 특히 최근에도 지속적으로 발견되고 있는 Gondad와 같이 자동화 된 공격 도구(Exploit Tool Kit)를 활용하는 경우에는 6~8개의 취약점을 동시에 이용한다. 이처럼 공격자들이 악성코드 유포에 여러 취약점을 동시에 사용하는 이유는 공격 성공률 및 악성코드 감염율을 높이기 위함이다. 서로 다른 어플리케이션의 취약점을 동시에 이용하거나, 또는 여러 종류의 어플리케이션 버전에 대한 취약점들을 한꺼번에 이용함으로써 사용자의 PC가 감염될 확률을 높이고, 더욱 효과적인 악성코드 유포가 가능하기 때문이다.

이와 같은 악성코드 유포 공격을 막기 위해서는, 먼저 관리자들이 웹 서버 취약점 점검과 모니터링을 통해 악성링크가 삽입되지 않도록 각별한 주의를 기울이는 것이 필요하다. 또한 만일 악성링크가 삽입되더라도 신속하게 탐지하여 이를 제거하는 것이 필요하다. 이러한 조치를 통해 일반 사용자들이 악성코드에 대량으로 감염되는 것을 방지 할 수 있다. 또한 일반 사용자들은 관련 어플리케이션들의 보안 업데이트를 반드시 주기적으로 수행하여, 최소한 패치가 이루어진 취약점들을 활용하여 유포되는 악성코드에는 감염되지 않도록 하는 것이 필요하다.

 

3. Java Applet, Internet Explorer 등 주기적인 보안 업데이트 권고

금주에 악성코드 유포에 사용된 취약점들은 아래와 같으며, 해당 URL에서 업데이트 관련 정보를 얻을 수 있다.

 

  • CVE-2013-0634 (Adobe Flash 취약점) - http://www.adobe.com/support/security/bulletins/apsb13-04.html
  • CVE-2013-0422 (Java Applet 취약점) - http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html
  • CVE-2012-5076 (Java Applet 취약점) - http://www.oracle.com/technetwork/topics/security/javacpuoct2012-1515924.html
  • CVE-2012-4681 (Java Applet 취약점) - http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-1835715.html
  • CVE-2012-1889 (MS XML 취약점) - http://technet.microsoft.com/ko-kr/security/bulletin/MS12-043
  • CVE-2012-1723 (Java Applet 취약점) - http://www.oracle.com/technetwork/topics/security/javacpujun2012-1515912.html
  • CVE-2012-0507 (Java Applet 취약점) - http://www.oracle.com/technetwork/topics/security/javacpufeb2012-366318.html
  • CVE-2011-3544 (Java Applet 취약점) - http://www.oracle.com/technetwork/topics/security/javacpuoct2011-443431.html
  • CVE-2010-0188 (Adobe reader 취약점) - http://www.adobe.com/support/security/bulletins/apsb10-07.html


Posted by 바다란

피싱 및 파밍 사고 예방. 과연 이게 최선 입니까?

며칠전 받은 문자 한통;
"파밍 사기 예방을 위해 설연휴기간 절대로 보안카드 35개의 숫자를 입력하지 마세요."

뭐 대충 이런 문구 였죠. 정말 이게 최선 인가요? 생태계가 무너지면 이건 끝이에요. 온라인 거래로 수익 많이 나셨지만 이젠 아닐 수도 있다고 생각해야죠. 


조 단위 수익이 나는 금융회사와 비교도 안될 정도로 미미 했던 모 포털의 게임 부분 관리 할때도 이 문제는 환경 개선을 시도 한 적이 있습니다. 관련 내용은 검색 하셔도 나옵니다.  모두 처음 시도한 내용들이긴 합니다.

2005년 무렵이네요. 벌써 8년전.  기억 하시는 분들 좀 있으실듯
그때도 온라인 상의 계정 탈취를 위한 BHO 기능을 가진 악성코드들이 처음 출현한 시기 입니다. 피해가 계속 늘어나서 원인 제거를 위한 방안들을 짧은기간에 기획하고 진행한 적이 있습니다.

1. 온라인에서 게임계정 탈취를 위한 악성코드가 로드 되어 있다면 첫페이지 접근시에 (로그인 하기 전에 ) ActiveX로 전용백신을 설치하여 해당 프로세스 제거하여 원인을 줄입니다. 차단 횟수 무척 많았습니다.

2. 악성코드가 설치되는 공격코드들을 살펴보니 주로 세가지 정도의 윈도우 취약성을 이용했던 것으로 기억합니다. 그때는 윈도우 패치가 자동 업데이트 없었습니다. 파일 하나하나 다운로드 받아서 직접 설치 했어야 했죠. 그 당시 국내 신생 업체 중 온라인에서 패치 파일을 검증하고 설치해 주는 서비스 ( 요즘은 일반화 되어 있죠?  PMS ) 가 막 시작할 때였죠.   웹상에서 ActiveX로 일반 방문자의 브라우저가 해당 게임사 홈페이지로 접근하면 동의를 받고 온라인 패치 서비스를 설치 하도록 했습니다.  그리고 우리가 관찰한 가장 적극적으로 활용된 취약성 3가지를 가장 먼저 패치하고 이후에도 계속 했었죠.  그 후로 6개월 동안 패치한 유니크한 피씨는 1100만대 였습니다. 그때가 2006년 입니다.

이후 시간이 지나 여러 곳에서 온라인 패치를 하기 시작했고 ( 이것도 기억 하는 분들 많이 있을듯. ) 그 뒤 MS에서도 자동 업데이트를 하기 시작했죠. 지금이야 자동이지만 몇년전만 해도 자동 아니였습니다.

..
8년전 했던 일입니다. 현상이 있다면 그 원인을 제거해야 개선 시킬 수 있고 문제를 낫게 만들 수 있습니다. 지금은 현상만 알려주고 주의를 하라고 한다면 과연 개선이 될까요? 금융 사고의 피해는 누가 입나요? 일차적으로는 이용자고 그 뒤는 금융사입니다. 최종적으로는 금융 시스템 자체의 불신으로 넘어 갈 수도 있는 사안이죠.

예전의 사례를 든건 ..저 때에도 저런식으로 문제를 풀고 개선 시켜 왔다는 점입니다.

지금의 해결방식은 누군가가 대신 해주기를 바라고 책임전가를 하는 것에 지나지 않는 것 같습니다.  근원 문제 해결을 위해 각 금융기관 차원에서도 차별성을 지니기 위해서 원인 제거와 같은 활동을 해야 하지 않을까요?

하다못해 형식적으로 가져다 놓고 온갖 원망을 사고 있는 금융사 접근시 마다 깔리는 ActiveX들이 효율적으로 운용이나 되고 있는지요? 정체를 파악해서 위험을 사전에 제거 하고 등등 말입니다. 문제 해결에는 도움이 안되고 번거롭게만 하니 원망을 사는거죠. 물론 규제가 있고 설치를 해야만 하니 형식적 운용을 하겠지만 말입니다.


왜? 어째서? 안하는걸까요? 몰라서라기 보단 당장 수익이 없기 때문이겠지만 그건 시스템 체계의 공멸로도 갈 수 있을 겁니다.

뭐 하든 안하든 상관 없습니다만 현재 문제의 개선은 앞으로도 막막해 보이네요.


-바다란

Posted by 바다란