태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

피싱 및 파밍 사고 예방. 과연 이게 최선 입니까?

며칠전 받은 문자 한통;
"파밍 사기 예방을 위해 설연휴기간 절대로 보안카드 35개의 숫자를 입력하지 마세요."

뭐 대충 이런 문구 였죠. 정말 이게 최선 인가요? 생태계가 무너지면 이건 끝이에요. 온라인 거래로 수익 많이 나셨지만 이젠 아닐 수도 있다고 생각해야죠. 


조 단위 수익이 나는 금융회사와 비교도 안될 정도로 미미 했던 모 포털의 게임 부분 관리 할때도 이 문제는 환경 개선을 시도 한 적이 있습니다. 관련 내용은 검색 하셔도 나옵니다.  모두 처음 시도한 내용들이긴 합니다.

2005년 무렵이네요. 벌써 8년전.  기억 하시는 분들 좀 있으실듯
그때도 온라인 상의 계정 탈취를 위한 BHO 기능을 가진 악성코드들이 처음 출현한 시기 입니다. 피해가 계속 늘어나서 원인 제거를 위한 방안들을 짧은기간에 기획하고 진행한 적이 있습니다.

1. 온라인에서 게임계정 탈취를 위한 악성코드가 로드 되어 있다면 첫페이지 접근시에 (로그인 하기 전에 ) ActiveX로 전용백신을 설치하여 해당 프로세스 제거하여 원인을 줄입니다. 차단 횟수 무척 많았습니다.

2. 악성코드가 설치되는 공격코드들을 살펴보니 주로 세가지 정도의 윈도우 취약성을 이용했던 것으로 기억합니다. 그때는 윈도우 패치가 자동 업데이트 없었습니다. 파일 하나하나 다운로드 받아서 직접 설치 했어야 했죠. 그 당시 국내 신생 업체 중 온라인에서 패치 파일을 검증하고 설치해 주는 서비스 ( 요즘은 일반화 되어 있죠?  PMS ) 가 막 시작할 때였죠.   웹상에서 ActiveX로 일반 방문자의 브라우저가 해당 게임사 홈페이지로 접근하면 동의를 받고 온라인 패치 서비스를 설치 하도록 했습니다.  그리고 우리가 관찰한 가장 적극적으로 활용된 취약성 3가지를 가장 먼저 패치하고 이후에도 계속 했었죠.  그 후로 6개월 동안 패치한 유니크한 피씨는 1100만대 였습니다. 그때가 2006년 입니다.

이후 시간이 지나 여러 곳에서 온라인 패치를 하기 시작했고 ( 이것도 기억 하는 분들 많이 있을듯. ) 그 뒤 MS에서도 자동 업데이트를 하기 시작했죠. 지금이야 자동이지만 몇년전만 해도 자동 아니였습니다.

..
8년전 했던 일입니다. 현상이 있다면 그 원인을 제거해야 개선 시킬 수 있고 문제를 낫게 만들 수 있습니다. 지금은 현상만 알려주고 주의를 하라고 한다면 과연 개선이 될까요? 금융 사고의 피해는 누가 입나요? 일차적으로는 이용자고 그 뒤는 금융사입니다. 최종적으로는 금융 시스템 자체의 불신으로 넘어 갈 수도 있는 사안이죠.

예전의 사례를 든건 ..저 때에도 저런식으로 문제를 풀고 개선 시켜 왔다는 점입니다.

지금의 해결방식은 누군가가 대신 해주기를 바라고 책임전가를 하는 것에 지나지 않는 것 같습니다.  근원 문제 해결을 위해 각 금융기관 차원에서도 차별성을 지니기 위해서 원인 제거와 같은 활동을 해야 하지 않을까요?

하다못해 형식적으로 가져다 놓고 온갖 원망을 사고 있는 금융사 접근시 마다 깔리는 ActiveX들이 효율적으로 운용이나 되고 있는지요? 정체를 파악해서 위험을 사전에 제거 하고 등등 말입니다. 문제 해결에는 도움이 안되고 번거롭게만 하니 원망을 사는거죠. 물론 규제가 있고 설치를 해야만 하니 형식적 운용을 하겠지만 말입니다.


왜? 어째서? 안하는걸까요? 몰라서라기 보단 당장 수익이 없기 때문이겠지만 그건 시스템 체계의 공멸로도 갈 수 있을 겁니다.

뭐 하든 안하든 상관 없습니다만 현재 문제의 개선은 앞으로도 막막해 보이네요.


-바다란

Posted by 바다란

댓글을 달아 주세요

바다란입니다. 근래에 피싱 관련된 이슈들이 국내외를 막론하고 발생이 되었습니다.

 

해당 유형에 대한 기사중 국내에서 발생된 기사의 경우 제가 특별히 언급을 할만한 내용은 없어 보이고 [ 이미 많은 설명이 되었기 때문 ] 해외 기사중 스웨덴에서 발생된 대규모 예금 인출 사건등과 묶어서 설명하는 것이 좋을 듯 싶습니다.

 

http://www.zdnet.co.kr/news/internet/hack/0,39031287,39154804,00.htm

 

국내의 특정 사이트로 가도록 유도한 이슈와 스웨덴에서 발생한 두 가지 케이스 모두 악성코드 기능을 이용하여 전문적인 정보를 빼내도록 했다는 것입니다.

 

연관 관계 및 진행 및 발전 상황을 기술적으로 설명을 하는 방향으로 간략히 기술해 보겠습니다.

국내에서 발생된 이슈 및 해외 발생 이슈의 공통점인 악성코드 설치 유형은 약간의 차이가 있습니다. 국내 발생된 이슈의 경우 시스템의 취약성을 이용하여 [MS 06-014 취약성] 악성코드를 설치하고 사용자 시스템의 Host 파일 설정을 변경 하여 특정 URL 입력시 특정 IP로만 전달 되도록 한 내용이며 스웨덴의 경우는 기사상으로만 본다면 약간의 사회공학적인 해킹 [ 사람을 속이는 기술]을 이용하여 악성코드들을 제거해 준다는 Utility 형태로 사용자에게 정상 설치토록 진행 한 것으로 보입니다. 또한 악성코드 자체는 일반적인 키로깅 기능을 사용하도록 되어 있습니다.

 

형태와 난이도로만 본다면 국내에서 발생된 피싱 사건이 조금 발전적인 형태이며 스웨덴의 경우는 난이도가 높지 않은 경우입니다만 실제 피해 사례가 대규모로 발생 하였다는 점에서 큰 차이가 있습니다.

 

이 부분에 대한 관점은 다를 수 있으나 국내 은행들이 그동안 해외에 무수하게 난무하던 피싱 관련 피해 및 직접적인 개인정보를 이용한 예금 인출등의 피해가 매우 적었던 것은 공인인증서의 사용이 가장 큰 영향이라고 개인적으로 보고 있습니다.

 

해외 은행의 경우 ActiveX의 사용을 피하고 사용자의 입력에 의한 단순 인터넷 뱅킹들을 다수 사용하고 있어서 2000년대 이후 지속적인 공격 대상이 되었습니다. 금전과 연계된 증권 관련 회사들도 마찬가지 입니다. 관련 부분은 본 블로그의 분석 제목에 연계된 글이 있으므로 해당 글을 참조 하시면 됩니다.  키로깅 기능에 따른 사용자 정보 노출 피해가 발생하자 화면상에 가상 키보드를 올려두고 마우스로 클릭하는 형태로 일부 해외 금융권이 보안을 강화 하였으나 이 부분도 마우스의 클릭 좌표 및 이벤트를 로깅 하는 형태로 발전된 피싱이 이미 일반화 된 상태입니다.

 

해외 은행들의 경우 피싱으로 인한 피해가 적은 수준은 아니며 해외 관련 피싱 메일 및 피싱 사이트 탐지 현황에서도 손쉽게 확인이 가능합니다. 실제 브랜드 이미지 뿐 아니라 금전적인 피해사례도 직접 발생하고 있는 상황이죠.

 

그 동안 국내 은행에서도 유사 피해 사례가 없었던 것은 아니나 유형은 차이가 있으며 피해 규모도 오프라인과 연계된 제한적인 피해들이 발생 하여..해외의 경우와는 많은 차이를 보이고 있습니다.

 

그렇다면 국내의 은행들을 대상으로한 이번 해킹의 중요성은 무엇일까요?

 

이번에는 공인인증서 자체의 습득도 목표로 한 것을 확인 할 수 있습니다.

악성코드의 유포부분은 지난해 까지 일반적으로 게임의 계정등을 획득하기 위해 특정 유명 사이트를 해킹한 이후 해킹한 사이트에 악성코드 설치 모듈을 숨겨 두는 유형으로 진행을 하고  해당 사이트 방문자는 방문 하는 순간 취약성을 이용한 악성코드가 방문자의 시스템에 설치가 됩니다.  알려진 취약성을 이용할 경우 보안패치가 된 사용자는 피해가 없으나 그렇지 않은 사용자에게는 피해가 있습니다. 또한 Zeroday 취약성 [ 공개되지 않은 취약성]을 이용할 경우에는 거의 방문자 모두에게 피해를 입히게 됩니다.

 

악성코드를 설치 [ MS 06-014 취약성 이용] -> 사용자 PC의 공인인증서 가져감 -> 사용자 PC의 Host 파일 변조 -> 사용자의 개인정보를 빼내가기 위해 변조된 Host 정보를 통해 특정은행과 공격자가 변조한 사이트 IP 주소를 등록하고 사용자가 해당 은행 이나 금융기관 접근시 -> 개인 신상정보 및 공인인증서 비번 ,보안카드 등을 입력하도록 유도

 

위와 같은 과정으로 국내 은행의 피싱이 이루어 졌습니다. 실제로 외국의 은행에 비해 어려운 점이 공인인증서 및 보안카드의 결합 사용으로 인하여 몇 단계가 더 추가가 되었고 사용자에게 기본 금융권 사이트와 다른 입력 정보를 입력하도록 유도함에 따라 쉽게 발각이 되었다고 할 수 있습니다.

 

그렇다면 외국의 은행은 어떨까요? 공인인증서 사용 없으며 보안카드도 일반적이지는 않습니다. 따라서 일반적인 개인정보 입력을 통해서만 거래가 가능하므로 피싱에 매우 큰 영향을 받을 수 있습니다. 보안 기술은 항상 공격 기술의 뒤에 따라 갈 수 밖에 없으므로 피해가 발생한 이후에야 보완이 가능하며 발전이 됩니다.

 

이번 스웨덴에서 발생된 실제 예금 인출 사태는 온라인 무장강도라고 해도 됩니다. 예전처럼 총을 들고 터는 것이 아닌 사용자 PC를 조정 할 수 있는 악성코드를 이용한 온라인 무장강도이죠.

 

기사에 언급된 내용을 바탕으로 추려보면 다음과 같이 간단한 순으로 처리가 됩니다. 물론 알려지지 않은 내용은 더욱 많을 것이며 스웨덴 은행의 경우 가장 기초적인 내용에 당한 것이라고도 볼 수 있습니다.

사용자에게 악성코드 제거용 프로그램이라고 속이고 다운로드 받도록 유도 -> 사용자 PC에 해당 프로그램의 설치 -> 사용자가 입력하는 키보드 정보를 기록 -> 특정 위치로 전송 [ 기사대로라면 미국으로 전송 그 이후 러시아쪽으로 전달 ] -> 노출된 정보를 이용하여  온라인 뱅킹을 통한 계좌 이체 시도 -> 계좌의 금액을 반복적으로 옮겨..추적을 어렵게 한다음 인출

 

이렇게 해서 발생된 피해가 확인이 된 부분만 10억 이상이라고 합니다. ^^;

 

그 동안의 피싱의 발전을 보면 국내에서는 관련된 공격이 이미 2~3년전 부터 있었으며 악성코드와의 결합 가능성도 매우 높은 상태 였습니다. 그러나 해외는 이제 시작입니다.

 

피싱의 발전

 

단순 이메일 링크 클릭을 통한 피싱 사이트 접속 -> 혼동하기 쉬운 사이트의 개설을 통한 사용자 혼동유도 -> XSS 취약성등을 이용하여 Popup 창 생성 이후 정보 유출 -> 이번에 나온 직접 PC에 설치된 악성코드 [저레벨]를 통한 사용자 정보 도용 [키로깅 이용] -> (?) 앞으로의 발전은 국내에 나온 유형이 발전적으로 적용 될 것입니다. 신규 악성코드 나 신규 취약성을 통해 사용자 PC의 원격제어 및 키로깅 또는 마우스 이벤트 훅킹등을 통해 정보 유출 시도가 증가하고 실제 피해를 입힐 것입니다.

 

국내에는 조금 다른 이야기가 되겠죠. 실제 예금인출까지 가는 온라인 무장강도는 가능성이 낮습니다. 그러나 기본적인 ActiveX 실행구조가 변경이 되는 Vista 상에서는 문제가 있을 것 같습니다.

 

사실 ActiveX의 전면적인 시스템 권한 비허용 부분에 대해서는 큰 방향에서는 바람직하나 국내의 사안으로 보면 좀 더 다른 위험에 노출 시킬 수 있다는 부분에서 우려를 하고 있습니다. 이 부분에 대해서는 적절한 시점에 별도의 칼럼으로 만들어 보도록 하겠습니다.

 

좋은 하루 되세요.

 

 -
p4ssion
Posted by 바다란

댓글을 달아 주세요