사진제공 : 이슈메이커스랩, 레드얼럿

국내에서 판매되고 있는 인터넷공유기에 제로데이(0day) 취약점이 가득한 것으로 조사됐다. 제로데이 취약점은 보안업데이트가 발표되지 않은 상황에서의 취약점을 뜻한다.


이러한 제로데이 취약점은 자동화된 공격도구에 적용되며, 공격도구는 인터넷공유기를 해킹해 파밍 등의 2차 공격을 실시하도록 탈바꿈시킨다.

22일 이슈메이커스랩과 NSHC 레드얼럿팀은 최근 인터넷공유기를 해킹하는 공격도구를 분석한 결과를 발표했다.

공격도구는 중국어로 돼 있으며, 주요 기능은 ▲공유기 암호 임의 변경 ▲네트워크 정보 변경 ▲사용자 계정 정보 변경 등이다.

공격 대상은 국내산 공유기 22종(에어벤드, 엑슬러, 애니게이트, LG유플러스 공유기, 엘럭시온, 하이온넷, 아이피타임, 티브로드 공유기, LG상사 엑슬러, 맥시오, 넥스트, 네트원, 오비트, 파테크, SDT정보기술, 스마트게이트, 스파이어, 시리우스, 유니콘, 지오, 위보, 네티스)으로 국내 사용자들을 노린 도구임이 분명해 보인다.
사용자 삽입 이미지

사진제공 : 이슈메이커스랩, 레드얼럿


공격도구는 공유기 관리 페이지의 HTML 소스에서 특정 패턴을 검색해 공유기의 제품 종류를 확인한다. 가령 아이피타임의 관리 페이지는 ‘login.cgi’로 끝나게 되는데, 이 경우 POST 메소드를 이용해 DNS와 DDNS, TCP/IP 등에 접근하게 된다.

POST 메소드는 HTTP 명령 중 하나로 클라이언트에서 서버로 데이터를 회신할 때 쓰인다. HTTP 메소드를 POST로 변경하면 인증 우회가 가능해지는데, 이 경우 관리자 계정을 알지 못해도 관리 페이지로 접근할 수 있게 된다.

레드얼럿팀은 “공유기에 잠재적으로 존재하는 보안위협이 있을 것으로 추정된다”며 “공유기 제조사들은 제품 출고시 기본적으로 관리자 페이지 인증 활성화와 원격관리기능 보안성 강화 등의 조치를 해야한다”고 설명했다.

이어 “사용자들도 관리자 페이지와 무선 접속시 인증을 사용하고, 원격 관리 기능을 되도록 사용하지 않길 바란다”고 당부했다.

아울러 공유기 제조사 홈페이지에서 보안문제를 해결한 펌웨어를 내려받아 적용하는 것도 필요하다.
2015/01/22 15:34 2015/01/22 15:34
사용자 삽입 이미지

무선키보드에서 입력되는 키값을 탈취할 수 있는 10달러짜리 충전기 설계도가 공개됐다. 충전기라는 단어에 의아함을 가진 사람이 있을 수 있지만 잘 못쓴게 아니다. 충전기가 무선키보드 스니퍼(sniffer)로 동작한다.

12일 새미 캄카르(Samy Kamkar)는 자신의 홈페이지에 아두이노 기반의 무선키보드 스니퍼 ‘키스위퍼(Keysweeper)’의 설계도를 공개했다.  이 장비는 겉으로 보기에는 USB 충전기와 동일하게 생겼지만, 전원이 들어오면 주변에 동작하는 마이크로소프트사의 무선키보드를 찾아서 기기에서 입력되는 모든 키값을 탈취한다.
사용자 삽입 이미지

무선키보드는 2.4Ghz RF주파수로 키값을 전송하게 되는데 이 충전기는 이 키값을 도중에 가로채 복호화하고 저장하는 기능을 한다.

캄카르는 “이 장치가 대단한점은 무선키보드의 맥(MAC) 주소를 알지 못해도 주고받는 모든 키값을 탈취할 수 있다는 점”이라고 설명했다.

그는 이어 “몇 달러짜리 아두이노 보드와 1달러짜리 RF칩은 무선키보드의 패킷을 해독해서 내부에 저장한다. 투자를 더 한다면 충전기능도 넣을 수 있기 때문에 콘센트를 뽑더라도 동작한다”고 덧붙였다.

충전기 내부에 저장된 데이터는 또 다른 장치(Keysweeper)를 통해 전송받을 수 있다. 캄카르는 아두이노에 GSM칩을 추가로 설치할 경우 특정 키워드가 입력될 경우 문자메시지로 전송하는 것도 가능하다고 설명한다. 가령 ‘www.좋은은행.com’이 입력될 경우 이후에 입력되는 키값을 지정된 번호로 문자메시지를 보낼 수 있다.

캄카르가 발표한 키스위퍼는 무선기기들의 보안취약점을 여실히 보여줬으며, 이는 기업 보안담당자들로 하여금 사내 무선기기 운영 방향을 고민하게 될 계기가 될 것으로 보인다.
2015/01/13 16:59 2015/01/13 16:59
사용자 삽입 이미지

지난 광복절 연휴기간 동안 넥슨 네오플의 온라인게임 던전앤파이터 홈페이지가 악성코드로 몸살을 앓았다.

공격자는 어도비 플래시플레이어의 취약점(CVE-2014-0515)을 악용해 비정상적인 게임 클라이언트를 내려받고 실행하도록 유도했다.

어도비 플래시플레이어 최신버전이 설치돼 있지 않은 사용자는 던전앤파이터 홈페이지에 접속하기만 하더라도 피싱 클라이언트로 접속된다는 점이 무서운점이다. 최근 몇 년 사이 유행처럼 번지는 드라이브바이다운로드(DBD)의 확장 버전이라고 봐도 무방할 것이다.

피싱 클라이언트는 사용자의 일회용비밀번호(OTP)를 탈취한 뒤 공격자의 서버로 전송하는 역할을 한다. 이미 아이디와 비밀번호는 피싱 클라이언트 접속 시에 이미 노출된 상황이기 때문에 계정에 포함된 게임아이템 등이 탈취당하는 것은 시간문제다.

출처 : http://viruslab.tistory.com/3557

출처 : http://viruslab.tistory.com/3557


보안업계에서는 취약점에 대한 업데이트가 나온지 석 달이나 지났음에도 이를 적용하지 않는 사용자가 많아 우려된다고 전했다.

보안업계 관계자는 “평소에 보안 업데이트를 하지 않는 사용자들은 3개월 전에 나온 업데이트가 아니라 나온지 1년이 넘은 업데이트도 진행하지 않는 경우가 많다”며 “보안 업데이트를 실행하지 않을 경우 DBD 등으로 인한 좀비피시화(化), 개인정보유출 등의 문제가 발생할 수 있다”고 주의를 당부했다.

카스퍼스키랩이 최근 발표한 보고서에도 보안 업데이트에 대한 사용자들의 인식을 보여주고 있다.

2010년 6월에 발견 스턱스넷 공격에 사용된 CVE-2010-2568 취약점은 아직까지도 수천만명의 피해자를 낳고 있다. 이 취약점은 윈도 바로가기 핸들링 오류를 이용해 임의의 DLL 파일을 로드해 실행할 수 있도록 하는데, DLL 파일을 임의로 삽입할 수 있다는 강력함으로 인해 공격자들이 활용하기도 매우 수월해 인기가 높은(?) 취약점이다.

카스퍼스키랩 조사에 따르면 2013년 11월부터 2014년 6월까지 8개월간 CVE-2010-2568 취약점으로 인해 피해를 입은 PC는 전 세계적으로 1900만대에 달하는 것으로 나타났다. 취약점에 대한 패치가 나온지 3년이란 시간이 지났으나 이를 패치하지 않은 사용자가 여전히 많다는 증거다.

악성코드를 비롯해 제로데이 취약점이 활개치는 상황에서 보안 업데이트마저 하지 않는다면 그 피해는 더 확산될 수 밖에 없다.

지금 우려되는 점은 지난주 발생한 윈도7 업데이트 오류로 인해 자동 업데이트를 꺼리는 사용자가 더 늘어나진 않을까 하는 부분이다.

하지만 어떠한 이슈가 있더라도 보안 업데이트를 제때 하지 않으면 이에 대한 보호를 받지 못한다. 자신의 PC나 계정을 지키기 위해서는 스스로 보안에 신경을 써야할 것이다.
2014/08/20 10:18 2014/08/20 10:18
사용자 삽입 이미지

지난주 미국 라스베이거스에서 열린 블랙핵2014에서는 자동차, 위성 등 평소에는 생각하지도 못한 기기들이 해킹당하는 사례가 발표돼 많은 이들의 시선을 끌었다.

이와 함께 스마트폰, 이동식저장장치 등 평소에 우리가 쉽게 접하는 기기에 대한 새로운 해킹 수법도 공개됐으며, 임베디드 소프트웨어, 즉 사물인터넷용 기기들도 쉽게 침투될 수 있다는 발표로 인해 좌중들이 충격받기도 했다.
사용자 삽입 이미지

◆하드코딩된 위성통신장비 시스템, 보안에 취약


블랙햇 첫날 루벤 산타마르타 IO액티브 연구원은 비행기에서 사용할 수 있는 무선랜(Wi-Fi) 서비스를 악용해 비행기와 위성간 통신 서비스 취약점을 소개했다.

산타마르타 연구원은 블랙햇2012에서 삼성전자의 공조시스템과 슈나이더의 전자계량기, 지멘스의 네트워크 장비에 대한 취약점을 공개해 이목을 한 몸에 받기도 했다.

그는 올해에는 주요 항공사들이 채택해 사용하고 있는 코브햄, 휴즈네트워크, 해리스, 이리듐 커뮤니케이션, 재팬라디오 등 5개의 비행 위성통신장비 시스템에서 발견한 취약점을 공개했다.

산타마르타 연구원은 “해당 장비들을 역공학(리버스 엔지니어링)한 결과 제대로 된 보안장치가 없어 손쉽게 시스템 탈취가 가능했다”고 지적했다.

역공학을 위해 산타마르타 연구원은 비행기내에서 제공되는 와이파이 서비스에 접속한 뒤, 위성통신장비 시스템까지 접근했다. 이는 위성통신장비 시스템에서 와이파이 서비스를 통제하기 때문이다. 공개 와이파이에 접속한 공격자가 관리자설정 페이지까지 진입한 것이라고 생각하면 이해가 빠를 것이다.

산타마르타 연구원은 “위성통신장비 시스템들은 공장출하시 설정된 아이디와 비밀번호를 쓰도록 설정돼 있다. 이는 해킹에 아주 무방비한 상황을 뜻한다”며 “이에 대한 대책 마련이 시급하다. 항공사와 위성통신장비 시스템 업체들의 적극적인 개입이 필요하다”고 강조했다.
사용자 삽입 이미지

◆자동차도 해킹에서 자유롭지 않다


자동차도 해킹에서 자유롭지 않은 것으로 나타났다. 지난 2013블랙햇에서 처음 공개된 자동차 해킹 기법이 올해는 더 확대돼 소개됐다.

이번 블랙햇2014에서 크라이슬러 ‘지프 체로키’, 캐딜락 ‘에스컬레이드’, 도요타 ‘프리우스’는 해킹에 가장 취약한 자동차 리스트에 이름을 올렸다. 이들은 디지털 모듈을 다수 채택한 최신 모델이란 공통점을 가지고 있다.

지난해 블랙햇에서 도요타 프리우스를 해킹해 세간의 주목을 받았던 찰리 밀러(트위터 보안 엔지니어)와 크리스 밸러섹(IO액티브) 연구원은 “자동화된 요소가 많을수록 외부의 공격에 취약하다”며 “취약점을 악용할 경우 자동차의 계기판을 마음대로 조작하는 것에 이어, 스티어링 휠을 돌리거나 브레이크, 가속페달의 조작도 가능하게 된다”고 설명했다.

하지만 모든 자동차가 이러한 취약점을 가지고 있는 것은 아니며, 이러한 취약점에 대해 자동차 제조사들은 적극 대응하고 있다고 밀러 연구원은 설명했다.

밀러 연구원은 “자동차 제조사마다 설계하는 방식과 아키텍처가 다르기 때문에 해킹에 대한 위협을 일반화해선 안된다”고 전했다.

한편 가장 해킹에 안전한 자동차들로는 닷지 바이퍼, 아우디 A8, 혼다 어코드 등이 꼽혔다.

이외에도 블랙햇에선 펌웨어 해킹을 통해 임베디드된 기기의 임의조작(USB, 사물인터넷 기기) 사례가 다수 발표됐으며, 랜섬웨어를 구제해줄 수 있는 서비스도 소개됐다.


2014/08/11 14:36 2014/08/11 14:36
백신업체들의 패치매니지먼트시스템(PMS)이 악성파일 배포의 숙주 역할을 한 것으로 드러났다.

방송통신위원회는 20일 저녁 브리핑을 통해 “피해기관으로부터 채증한 악성코드를 초동 분석한 결과 업데이트 서버를 통해 유포가 이뤄진 것으로 추정되며, 부팅영역(Master Boot Record)이 파괴됐다”고 밝혔다.

이 과정에서 업계 관계자들은 이 과정에서 피해기관들이 사용하는 안랩과 하우리의 백신 솔루션의 업데이트 서버가 유포지로 활용된 것으로 추측했으나 보안업체는 업데이트 서버가 아닌 PMS 솔루션 계정탈취로 인한 것이라고 주장했다.

PMS 솔루션은 많은 수의 PC에 설치된 SW를 관리하기 위해 개발된 제품이다. 안랩과 하우리는 각각 안랩 폴리시 센터(APC), 바이로봇매니지먼트시스템(VRMS)를 보유하고 있다. 이 솔루션은 백신뿐 아니라 기업에서 활용하는 모든 SW, 윈도 보안업데이트 등도 관리한다.

바꿔말하면 PMS 솔루션 관리 계정을 탈취하면 다양한 방법의 공격이 가능해진다는 의미다. 안랩과 하우리는 “PMS 솔루션 관리자 계정이 탈취될 경우 변조된 파일이라도 이를 에이전트로 내려주는 것은 정상적인 권한에 의한 접근이기 때문에 악용될 수 밖에 없다”고 입을 모았다.

김희천 하우리 대표는 “엔진 업데이트 서버가 해킹된 것은 아니며, 해커의 악의적인 목적으로 백신 프로그램 파일을 변조했다”며 “본 취약점의 대처 방안으로 백신SW 업데이트 파일 실행 전 파일의 무결성을 검사해 본래의 파일이 맞는 경우에만 실행하도록 보완했다”고 밝혔다.

안랩 역시 PMS 솔루션 계정 탈취로 인한 피해로 추정하고 있다. 안랩은 보도자료를 통해 “이번 악성코드 배포는 업데이트 서버 해킹이 아닌 APC(안랩 폴리시 센터) 솔루션 계정 탈취로 인한 것”이라고 말했다.

다소 별도의 문제로 업데이트 시 파일 무결성 검사 여부의 문제도 도마에 올랐다. 일각에서는 백신SW 업데이트 파일의 무결성 검사를 실시했더라면 악성파일이 배포되지는 않았을 것이라는 주장도 나오고 있다.

보통 백신SW는 실행 시 파일 무결성을 검사한다. 해커들이 백신SW를 우회하거나 무력화시키는 것을 방지하기 위해서다. 무력화 검사를 마친 뒤 SW가 실행되면, 해당 파일은 읽거나, 삭제할 수 없기 때문에 변조될 가능성은 낮은 편이다.

그러나 업데이트 파일은 상황이 다르다. 업데이트가 있을 경우에만 실행되기 때문에 악성코드에 감염될 가능성이 있다. 이를 탐지하기 위해서는 보안업체가 직접 운영하는 업데이트 서버를 통해 파일 무결성 검사를 실시해야 한다.

물론 이번 사고는 관리자 계정이 탈취돼 발생한 것으로 파일 무결성 검사를 실시했더라도 문제가 발생할 가능성이 존재해 단언하기는 쉽지 않을 것으로 보인다.

이와 관련 하우리 관계자는 “업데이트 파일을 배포할 수 있는 권한이 해커 손에 들어갔기 때문에 파일 무결성 검사 여부로 사고의 원인을 판단하기는 힘들다”며 “이전부터 수많은 악성파일들이 PMS를 통해 클라이언트로 내려갔다. 계정 탈취를 인지하지 못한 시점에서 사고는 예견됐다고 볼 수 있다”고 말했다.

2013/03/21 23:45 2013/03/21 23:45


8일 서울 양재동 교육문화회관에서는 국제 해킹·보안 컨퍼런스인 ‘POC2012’가 개최됐습니다.

일반적인 보안 컨퍼런스는 보안업계 현업인들이 나와 시장현황과 위협동향, 솔루션 등을 소개하곤 합니다. 그런데 ‘POC’는 기존의 해킹, 보안 컨퍼런스와는 조금 다른 성격을 가지고 있습니다.

POC는 국내 해커들과 보안 전문가들, 그리고 외국 해커들의 참여에 의해 새로운 공격 기술 발표와 제로데이 취약점 등 실제 위협에 가까운 기술들이 발표되는 자리로 유명합니다.

상황이 이렇다보니 발표자들은 대부분 실명을 거론하기 힘든 해커들이 많은 편이며, 발표자료도 잘 공개되지 않고 있습니다. 악용될 가능성이 높기 때문이라고 합니다.

올해 POC의 발표자들은 한국, 중국, 러시아, 미국, 이스라엘, 이탈리아, 스웨덴, 스페인 출신 해커들로 구성됐습니다. ‘flashsky’, ‘Luigi Auriemma’와 같은 세계 최고의 실력있는 해커들이 발표자들도 이 자리에 참석했습니다.

러시아 해커인 세르게이(Sergey)는 현재 산업제어시스템의 취약점을 공격하는 고난도의 방법을 소개해 주목을 끌었습니다. 이는 스카다 시스템의 제로데이 공격 기법을 의미합니다. 또 그는 이 자리에서 PLC 시스템을 찾아내 분석하는 툴 PLC SCAN을 발표해 참석자들의 열띤 호응을 이끌어 냈습니다.

제가 이번 행사에서 가장 흥미를 끌었던 발제는 윈도8 취약점 공격이었습니다.

이는 윈도 비스타부터 사용되던 보안 기술 DSE(Driver Signature Enforcement)를 우회해 서명받지 않은 드라이버를 시스템에 업로드하는 취약점으로 윈도8에서도 적용됨을 확인할 수 있었습니다.

이외에도 POC2012에는 다양한 부대행사가 진행됐습니다. 여성해킹콘테스트(Power of XX), 네트워크 패킷 스니핑(SSL Strip for POC), 블라인드 프로그래밍 등 해커들을 위한 행사를 비롯해, 타이핑 게임, 퀴즈 게임, 미로찾기 게임 등 일반인들도 가볍게 즐길 수 있는 부스도 마련됐습니다.

여성해킹콘테스트의 경우 POC의 대표적인 부대행사로 꼽히는데, 수준이 날로 높아지고 있다는 평입니다.

이 콘테스트에는 웹, 시스템, 리버싱, 포렌식 등의 문제를 해결해 가장 높은 점수를 얻은 팀이 우승하는 전통적인 방식을 띄고 있으며 인터넷을 통한 예선전을 치룬 후 본선에 올라온 8개의 팀이 격돌하게 됩니다.

지난해 우승을 거머진 ‘Security First’의 팀원은 “매년 문제의 난이도가 높아지고 있는 것 같다”며 “올해는 까다로운 문제가 많이 나와 어려움을 겪고 있다”고 전하더군요.

한편, 약 10시간동안 진행된 이 콘테스트의 최종 승자는 ‘K.knock’이 차지했습니다. 큰 점수차가 나지 않아 2, 3위팀이 아쉬워하는 눈치였네요.


‘K.knock’은 경기대학교 해킹동아리라고 합니다. 이번 출전을 위해 동아리 내 여학생 4명이 팀을 이루어 출전했다고 하네요.


행사장 한켠에서는 주최측이 미리 설치해둔 무선네트워크 핫스팟(AP)에 접속한 사용자들의 데이터를 수집하는 이벤트를 진행하고 있었습니다.

이 이벤트에서 흥미로운 점은 SSL 보안이 적용된 ‘https’의 껍질을 벗겨내고 평문을 획득했다는 점입니다. 일반적으로 ‘https’ 방식을 사용하면 평문이 암호화돼 전송되게 됩니다. 무선 네트워크 중간에서 누군가 패킷을 가로채더라도 해킹의 위험을 줄이기 위해 개발된 표준입니다.

네이버, 다음, 구글, 페이스북 등 대부분의 인터넷서비스 로그인에는 이 형식이 적용돼 있습니다.

그런데 이벤트 로그를 기록하는 PC에는 몇몇 참가자들의 아이디, 비밀번호가 저장돼 있었습니다. SLL 암호화가 무효화된 것입니다. 물론 이는 인증서 오류를 무시하는 절차가 있으므로 완벽하다고 보긴 힘들겠지요. (물론 행사이후에는 전량 폐기했을뿐더러 비밀번호는 별표(*)로 처리돼 안전하다고 합니다)

매년 그렇지만 POC의 부대행사의 주축은 중·고등학생입니다. 그들은 자발적으로 행사를 준비하고, 즐겁게 참여합니다. 앞으로 이러한 행사가 지속적으로 늘어서 국내 보안업계의 인력풀이 탄탄해지길 기대해봅니다.

2012/11/09 09:06 2012/11/09 09:06
TAG , ,

최근 단속으로 주춤했던 네이버, 다음 등 국내 포털사이트들의 계정정보 판매가 다시금 활개치고 있습니다.


실제 대형 커뮤니티사이트 게시판에서는 ‘포털사이트 아이디 팝니다’라는 글을 심심치 않게 볼 수 있었습니다. 어떤 방식으로 이러한 계정정보를 습득해 판매하는지를 알아보기 위해 판매상과 직접 접촉해 구입을 시도해 봤습니다.

계정정보 판매상은 예상했던 대로 조선족이었습니다. 네이버 아이디 100개가 필요하다고하니 대뜸 한번 로그인해보라며 아이디와 비밀번호, 이름, 주민번호를 불러줍니다. 제가 네이버에 접속해 아이디와 비밀번호를 입력하니 정상적으로 로그인이 됩니다. 실명인증도 완료된 상태입니다. 바로 ‘악용’할 수 있을 정도였습니다.

이러한 계정정보를 어떻게 얻게 되느냐고 물었습니다.

판매상은 “여러가지 루트로 얻는다. 실제 주민번호와 이름을 입수해 가입하기도 하지만 이런 경우는 주민번호, 이름만 판매한다. 대부분의 계정 판매상들은 휴면계정 해킹, 복수계정 가입 등으로 얻는다”고 설명했습니다.

가격은 어떠할까요?


과거에는 계정 500개에 현금 100만원 정도씩 받고 판매했는데, 그래도 공급이 모잘랐다고 합니다.

최근에는 공급은 많은데, 수요가 적어서 한 건당 1위안(한화 170원)정도를 받는다고 합니다. 계정 100개를 얻으려면 1만7000원만 있으면 된다는 이야기네요.

이러한 판매상은 조직적으로 움직이기도 하지만, 대체로 1~3명 규모로 중국 현지에서 움직인다고 합니다. 중국 현지에서 소규모로 움직이다보니 대포폰, 대포통장 같은 것을 사용할 수 없어 중국 은행으로 바로 입금하도록 유도합니다.

판매상은 “공상은행 등으로 입금할 수 있어야 우리가 편하게 작업할 수 있다. 거래처(국내 중계상)를 거치려면 최소 금액이 10만위안이고, 시간이 많이 소요된다”고 귀뜸했습니다.

계정정보가 이렇게 팔리고 있지만 정작 포털사이트들이 대응할 수 있는 방법은 전무합니다. 해킹이 의심된다고 접속을 차단하거나 역추적하거나 할 수 있는 권한이 없기 때문입니다.

이와 관련 NHN 관계자는 “법률적으로 이를 차단할 수 있는 방법이 없기 때문에, 정기적으로 비밀번호를 바꾸고 보안에 유의하라는 안내만 할 수 밖에 없다. 유출된 계정정보는 해킹한 것이 아닌 다른 사이트 등에서 짜깁기 등으로 얻은 것”이라고 전했습니다.


계정 판매와 관련해 대책 마련이 시급해 보입니다.


2012/08/21 17:44 2012/08/21 17:44



2008년 베이징올림픽 당시 국내에는 ‘베이징 올림픽 개최가 취소되고 미국 애틀란타에서 다시 열린다’라는 제목의 이메일이 성행했다.

 

해당 이메일은 열람만 할 경우에는 큰 문제가 없으나 첨부된 문서파일을 열람할 경우 PC에 애드웨어가 설치되는 악성코드를 탑재하고 있었다.

2008년 당시 국내에서는 중국에 대한 감정이 좋지 않음을 넘어 혐한의 수준까지 올라왔었다. 당연히 우리나라 사람들도 중국에 대한 안좋은 감정을 인터넷 상으로 나타내고 있던 상황. 그런 상황에서 중국 올림픽 개최가 취소됐다고하니 얼마나 궁금하겠는가.

이듬해 마이클 잭슨이 사망한 이후 ‘마이클 잭슨의 미공개 영상’으로 위장한 이메일이 배포되기 시작했다. 해당 사이트에 접속하면 자동으로 액티브X가 설치되며 악성코드를 내려받게 된다. 스크린세이버 형태를 띄고 있어 실행 즉시 PC에 설치돼 사용자의 온라인 뱅킹 정보를 기록, 전송하도록 설계됐다.
 
이 외에도 김연아 선수 동영상으로 위장한 악성코드, 일본 대지진, 오사마 빈 라덴 사망소식, 김정일 국방위원장 사망, 스티브 잡스 사망 등 굵직한 뉴스가 나올 때마다 네티즌의 호기심을 악용한 악성코드 유포 시도가 어김없이 발생했다.

올해는 2012 런던 올림픽과 관련된 악성코드가 인터넷에 넘쳐나고 있다. 트렌드마이크로, 시만텍, 안랩 등 보안업체들은 올림픽 티켓, 정보 등을 위장한 이메일을 주의하라고 당부했다.

이러한 악성코드 배포 방법은 사회공학적 기법이라 부른다. 이는 기계라면 이해하지 못할, 사람만이 이해할 수 있는 정보를 가장해 악성코드 설치로 유인하는 방법을 뜻한다.

지난해 국내 사용자들을 대상으로 한 대표적인 해킹 사례는 북한 김정일 국방위원장으로 설명할 수 있다.

김 위원장과 관련된 것처럼 보이는 허위게시글 작성부터, 유튜브 동영상 사이트를 통한 악성 광고 프로그램 배포, 이메일의 문서 첨부파일을 통한 악성파일 배포에 이어 추가로 김정일 사진파일처럼 교묘하게 위장한 악성파일이 발견됐다.

해당 악성파일은 윈도 운영체제의 기본적인 JPG 사진파일용 아이콘을 사용하고 있으며, 폴더 옵션의 확장자 숨기기 기능이 활성화돼 있을 경우에는 JPG 파일처럼 보이도록 2중 확장자(.jpg.scr)를 가지고 있다. SCR 확장자는 화면보호기용(Screen Saver)으로 사용되는 것으로 일반적으로 실행파일 형태로 사용되고 있기 때문에 실제 EXE 파일을 SCR 로 위장한 형태로 2중으로 교묘하게 위장하고 있다.

최근에는 안드로이드 애플리케이션으로 위장한 악성파일도 등장하고 있어 주의가 요구된다. 정당한 방법을 지불하지 않고 불법으로 위,변조된 *.apk 파일을 내려받으려는 사용자를 노리는 해커들이 증가하는 추세다.

안드로이드폰을 사용하는 일부 사람들은 고가의 앱을 구입하는 대신 자료실이나 블로그 등을 검색해 앱을 내려받아 설치한다.

해커들은 사람들의 호기심을 자극하기 위해 ‘곧 짤릴 것 같습니다. 빨리 받으세요. 좋은 자료입니다’ 등의 문구를 탑재하는 것은 기본이다.

그러나 해당 파일은 apk 형태를 띈 보통의 압축파일, 실행파일이며 내려받거나, 실행하는 즉시 사용자 PC, 스마트폰에 피해를 입히게 된다.

실제로 최근 안랩은 런던 올림픽 게임으로 위장한 안드로이드 악성코드를 발견했다.

 

 ‘London 2012 공식 게임’이라는 타이틀로 위장한 앱은 러시아에서 발견됐으며, 구글 정식마켓이 아닌 사설마켓에서 발견됐다. 이 악성어플은 설치 시 사용자 폰의 정보를 무단으로 전송시키며, 아래의 특정한 지정번호로 문자 메시지를 발송한다.

위협을 막을 수 있는 방법은 다음과 같다.

1. 윈도OS, 각종 응용프로그램의 최신버전 설치 및 보안패치 적용하기
2. 백신 프로그램을 최신 버전으로 업데이트하고, 실시간 감시 기능을 켜고 주기적으로 전체검사하기
3. 알지 못하는 사람이 보낸 메일이나 쪽지는 가급적 열지 말고 삭제하기
4. 올림픽이나 최근 핫이슈를 담은 온라인기사를 클릭하기 전 이를 악용하는 사례가 많다는 것을 유의하기
5. 불법 소프트웨어, 애플리케이션 검색, 설치하지 않



2012/08/02 14:09 2012/08/02 14:09


최근 발생한 KT 해킹사건과 관련 보안담당 기자들이 기자실에 모이면 하는 말이 있다.

‘KT가 고객정보 유출 사실을 한 달만 늦게 알아챘다면 더 큰 파장 생겼을 것’

이런 이야기가 나오는 이유는 이달 18일부터 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률) 개정안이 시행되기 때문이다. 새롭게 시행되는 법령에는 ‘정보통신사업자의 고발’이란 항목이 추가돼 있다.


국회는 지난 2월 17일 정보통신사업자들의 정보보호 의무를 확대하고 이용자들의 권리를 보호하기 위해 정보통신망법을 개정했다.

개정 정보통신망법은 현재 IT현황에 맞춰서 개정된 내용이 많다. 신설된 법령으로는 ▲주민등록번호 사용제한 ▲개인정보 누출등의 통지·신고 ▲개인정보 이용내역의 통지 ▲정보보호사전점검 ▲정보보호최고책임자 지정 ▲개인정보보호 관리체계의 인증 ▲정보보호 관리등급 부여 ▲방송사업자에 대한 준용 ▲정보통신서비스 제공자 고발 등이다.

여기서 주목할 부분은 ‘정보통신서비스 제공자 고발’이다. 정보통신망법 제69조의2항을 살펴보면 ‘방송통신위원회는 제64조의3제1항 각 호의 어느 하나에 해당하는 행위가 있다고 인정하는 경우에는 해당 정보통신서비스 제공자등을 검찰 등 수사기관에 고발할 수 있다’는 부분이 명시돼 있다.


정보통신망법 제28조 1항 2조에는 ‘개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영’ 부분이 있다. 아직 수사가 종결된 것은 아니지만 KT는 해커들이 비정상적인 방법으로 고객영업시스템에 접근하는 것을 막지 못했다는 점에서 과실이 있었다고 볼 수 있다.

지금까지 개인정보유출 사고를 일으킨 기업은 과징금만 부과 받았다. 민사소송으로 인한 피해보상이 있을 수 있으나 과징금 이외의 처벌규정은 딱히 없었다.

제69조의2항 신설로 개인정보보호에 대한 기술적·관리적 조치(정보통신망법 제28조)를 취하지 않은 사업자는 ‘고발’을 당하는 등의 불편한(?) 경험을 할 수도 있다.

즉, 만약 KT가 고객정보 유출 사건을 한 달만 늦게 알았어도 ‘해킹 사건으로 인한 고발의 첫사례’란 불명예를 안게 됐을지도 모른다는 이야기다.

비단 KT만의 문제는 아니다. 엎지른 물은 다시 담을 수 없기 때문에 처음부터 엎질러선 안된다. 이번 사건을 계기로 개인정보를 취급하는 모든 사업자는 더더욱 보안에 신경 쓰길 기대한다
.



2012/08/01 10:08 2012/08/01 10:08


지난 2월부터 6월까지 약 5개월동안 870만건의 개인정보를 유출시킨 KT의 사과문의 일부 문구가 네티즌들로부터 지적을 받고 있다.

 

해당 사과문을 살펴보면 ‘KT는 경찰의 조사에 적극 협력해 범죄조직이 불법 수집한 개인정보를 전량 회수 했으며, 추가적인 개인정보 유출을 차단했다’ 라는 문구를 확인할 수 있다.

여기서 업계관계자들과 네티즌들이 걸고 넘어진 부분은 ‘유출된 개인정보의 전량 회수’ 부분.

KT가 ‘전량 회수’라는 표현을 쓴 이유는 이번 범행에 사용됐던 PC, 노트북, 모바일디바이스, 하드디스크 등을 모두 경찰이 압수했기 때문으로 예상된다. 그러나 복제와 유포가 손쉬운 디지털 파일의 특성 상, 전량 회수라는 부분은 어색하다.

과거 GS칼텍스 개인정보 유출사고에서도 GS칼텍스는 ‘개인정보 전량 회수’라는 표현을 사용된 적이 있다.

2008년 9월에 발생한 GS칼텍스 개인정보 유출사건은 GS칼텍스 자회사 직원 정 모씨가 1125만건의 개인정보를 유출한 사건이다. 당시 정 모씨는 해당 개인정보 파일을 6장의 DVD로 제작, 이중 세 장은 언론사에게 제보의 형태로 배포하는 등의 간 큰 배짱을 보여줬다.

당시 수사과정에서 경찰은 정 씨 등이 만들었다고 진술한 개인정보 DVD를 모두 회수했다고 발표했다. 그러나 디지털 파일의 특성상 외부에 유출됐을 가능성을 배제하지 않고 조사하고 있다고 밝힌 바 있으며, 다행히도 최종결론은 추가유출이 없었다는 것으로 나왔다.

GS칼텍스 사건은 ‘DVD등 기록장치의 추가제작’과 ‘개인정보 판매’가 없었다는 가정하에 ‘전량 회수’라는 표현을 제한적으로 사용할 수 있을 것으로 생각된다.
 
그러나 KT 개인정보 유출사건은 이와는 성격이 다르다. 당초 txt형태로로 저장된 파일이었고, 아무런 보호조치없이 스토리지에 저장돼 있었으며, 용의자들이 다른 텔레마케팅 업체들에게 사용자 개인정보를 판매해 ‘7억원’의 부당이익을 봤다는 점에서 이미 ‘전량 회수’는 불가능해졌다.

해당 개인정보 파일을 구입했던 사람들까지 모두 검거해 조사하고, 유포 경로를 모두 차단하지 않는 이상 ‘전량 회수’라는 말은 곤란하다.

870만건의 개인정보가 하나의 엑셀 파일에 담겨있다고 가정할 때, 해당 파일의 용량(10*870셀을 가진 엑셀파일의 용량 165KB, (165*10000/1024/1024=10.78GB)은 10기가가 채 안된다. 텍스트파일로 가정하면 그보다 용량은 더 줄어든다. 16기가 USB하나만 있으면 얼마든지 무한대로 퍼져나갈 수 있다.

임종인 고려대 정보보호대학원장은 “다른 업체에게 개인정보를 팔아넘길 때 해당 파일을 복제해서 넘겼을텐데, 원본만 회수했다고 전량 회수라고 이야기하는 것은 잘못됐다”며 “과거 현대캐피탈 사건의 경우 암호화된 파일이 복호화되기전 범인과 파일을 회수했다. 그 경우엔 전량 회수라는 표현을 쓸 수 있어도, 전문이 공개돼 있는 상황에서 전량 회수는 말이 안된다”고 말했다.

KT가 전량회수라는 말을 쓰려면, KT고객영업시스템에 남겨진 로그의 모든 분석을 마치고 해당 시점에 시스템에 접근, 조회한 모든 영업점의 기록을 살펴본 후, 이상징후가 없을 때다.

2012/07/30 17:07 2012/07/30 17:07