Home > 전체기사
중국 크래커에게 IPS와 IDS는 있으나 마나
  |  입력 : 2008-02-14 10:56
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

IPS와 IDS만 믿고 있다간 다 당한다

중국 크래커, 공격 한 두달 전부터 사전 작업 실시

로그기록 지속적으로 살펴야하고 보안교육 철저히해야


중국 해커들의 동향을 가장 잘 파악하고 있는 보안 전문기업  씨엔시큐리티(www.cnsec.co.kr) 신윤수 보안기술팀장은 “통상적으로 중국 크래커들은 국내 사이트를 크래킹 하기 한 두달 전부터 정보수집 작업을 실시하는 것이 일반적”이라며 “그 과정에서 침입 루트를 만들고 공격이 가능하다고 판단이 되면 집중적인 공격을 감행한다”고 말했다.


그의 말대로라면 이번에 정보유출로 난감한 상황을 겪고 있는 오픈마켓 옥션의 경우도 현재 중국 크래커에 의한 공격이 확실한 것으로 밝혀진 이상, 그 전부터 사전작업이 이루어졌을 가능성이 있다.


신 팀장은 “하지만 중국 크래커들은 신종 크래킹 기법을 계속해서 생산해 내기 때문에 이러한 사전작업을 관제팀에서 탐지해 내기란 힘든 일 일것”이라고 말하고 있다.


그는 중국 크래커들의 공격 방법에 대해 두 가지 시나리오를 예상했다.


우선 직접 크래킹은 모니터링에 의해 탐지될 확률이 높다. 그래서 이를 우회하기 위한 방법으로 옥션 웹페이지에 떠 있는 고객센터 메일로 악성코드가 삽입돼 있는 메일을 보낸다. 고객센터 직원은 민원을 확인하기 위해 크래커가 첨부한 파일을 열어보거나 링크한 사이트로 접속을 하게 된다. 이때 해당직원의 PC에 악성코드가 설치되고 시스템 접근 권한을 가진 ID/PW가 크래커의 손에 넘어간다. 이것으로 DB를 빼내가는 시나리오가 성립된다.


이렇듯 중국 크래커들은 직접 크래킹을 시도하기 보다는 보다 손쉬운 방법으로 우회해서 정보를 빼내가려는 시도를 계속하고 있다. 이는 옥션에만 국한된 문제는 아니다. 대부분 대형 사이트들이 이와 같은 위협을 실제로 당하고 있고 피해를 입는 경우도 종종 발생하고 있다. 다만 이를 알리느냐 숨기느냐의 차이가 있을 뿐이다.


또 하나의 시나리오는 중국 크래킹 공격의 70% 이상을 차지하고 있는 SQL인젝션 공격이다. 하지만 이러한 공격은 관제를 담당했던 인포섹의 관제 시스템에 포착됐을 것이다. 중국 크래커는 이를 알고 옥션 메인 사이트 보다는 옥션과 연결된 다른 사이트를 공격한 후에 옥션에 접근했을 가능성이 있다.


이 두 가지 시나리오 모두 치명적인 결과를 가져올 수 있는 크래킹 수법들이다. 특히 중국 크래커들은 모니터링하고 차단한다고 하더라도 이를 우회하는 방법을 찾아내 교묘하게 접근하는 방식을 취하고 있어 보안담당자들을 더욱 난감하게 하고 있다.


만약 DB가 유출되고 금전적 요구가 있었다면 어떻게 대응해야 할까.

신 팀장은 “DB유출에 대한 금전적 요구에 응하면 안된다. 어차피 정보는 빠져나간 것이고 그들은 돈을 받아도 그만 안받아도 그만이다. 그들은 훔친 정보를 팔아 돈을 획득하는 것이 목적이기 때문이다”라고 말했다. 


현재 중국에는 중국인과 조선족이 팀을 이뤄 크래킹 혹은 DDos 공격을 시도한 후 조선족이 금전을 요구하는 협박전화를 하는 경우가 많다고 한다. 


신 팀장은 “메일을 보내 고객정보를 빼내가는 공격시도는 옥션뿐만 아니라 포털이나 온라인 쇼핑몰 등 국내 대형사이트들에 지속적으로 발생하고 있고 실제로 피해를 입는 경우도 있다”며 “하지만 대부분 업체들이 이를 쉬쉬하고 덮어두기 때문에 중국 크래커들이 계속해서 공격을 시도하고 있는 상황”이라고 말했다.


특히 DDos 공격을 빌미로 금전을 요구하는 수법은 중국 크래커들의 주된 돈벌이가 되고 있는 현실이다.


신 팀장은 “금전을 요구하는 경우는 대부분 DDos 공격 전에 이루어지고 있다. DB정보를 빼내갈 때는 협박전화를 하지 않는다. DB정보 자체가 돈이 되기 때문이다”라고 말했다.


이들이 빼내간 고객정보 특히 실명과 주민번호·휴대전화번호·메일주소 등은 스패머들에게 유용한 정보가 되기 때문에 제법 많은 돈을 받고 중국 내 혹은 국내에 판매가 되고 있다.


따라서 옥션의 고객정보가 얼마나 빠져 나간지는 알 수 없지만, 크래커들은 이 정보를 이미 적당한 비용을 받고 이를 필요로 하는 자들에게 팔아넘겼을 것이다. 이런 이유 때문에 한번 유출된 고객정보는 다시 주워담을 수 없는 상황이 되고 만다.


이러한 공격들을 최소화하기 위한 예방법으로는 어떤 조치들이 필요할까.


신 팀장은 “모의해킹을 주기적으로 실시해 웹 취약점이나 보안 취약점을 지속적으로 알아내야 한다. 또 직원들의 보안교육이 무엇보다 중요하다. IPS(침입방지시스템)와 IDS(침입탐지시스템)만 믿고 있다가는 큰 코 다친다. 대부분 중국 크래커들은 이들 보안장비를 우회해서 들어오기 때문에 조심해야 한다”고 강조했다.


또한 그는 “보안교육과 관리를 철저히 해야 하고 지속적인 내부 취약점을 점검하면서 로그기록을 주기적으로 봐줘야 한다. 아마 대부분 기업에서 로그기록을 철저히 확인하는 기업은 잘 없을 것이다. 이것이 되지 않으면 결국 사고가 터진 다음 로그기록을 살펴보는 경우가 반복될 것”이라고 경고했다.

[길민권 기자(reporter21@boannews.com)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
막히지마   2008-02-17 오후 5:40:24
시스템 장악할 것도 아니고 고객정보 빼내는데 그렇게 많은 권한이 필요하진 않지... 웹상에서 고객정보 확인하는 페이지도 있을 거고 그정도만 통해도 충분한 자료는 확보 할 수 있다.. 밝혀진 유출 정보에서 비번이 빠져 있는 걸로 봐서는 그리 추측된다. 그리고 노출된 정보는 스팸따위 보다는 보이스피싱 같은 걸로 활용될 확율이 더 크다.. 실제로 일본 규슈지방 유학생 명단이 뿌려져서 그정보 이용한 피싱에 많이 당한 전례도 있으니.....
이상해   2008-02-15 오후 12:59:40
상담원이 열람하는 고객정보화면도 있는데 아마 그거이야기하는 걸 수도 있겠죠 내부 경유를 했을 수도 있고 그나저나 옥션때문에 여기저기 패스워드 변경을 하던데 정말 귀찮네요 ㅡㅡ
기가막혀   2008-02-15 오전 10:15:20
기사의 내용만 본다면 고객센터 메일로 악성코드를 보냈다면 해킹 프로그램은 상담원 PC에 설치되었을 것입니다. 기가막힘 님의 의견대로 상담원 PC에서 시스템 ID/PASS가 노출되어 제일 핵심이 되는 DB로 연결이 가능했다는 것은 옥션같은 큰 사이트에서 쉽게 납득이 가지 않습니다.
단지 추측만을 가지고 XXX 카더라 하는식의 내용은 불안감만 조성할 뿐입니다.
기가막힘님의 의견대로 좀도 신중한 보도가 필요하다고 봅니다.
음..   2008-02-15 오전 2:33:06
공격하는 놈이 훨씬 쉽지..
막으려고해봐..짜증나지 -_-
피해규모나 제대로 산정했음좋겠네..
더기막힘   2008-02-15 오전 1:00:08
여전히 저렇게 감추고 싶은 사람들이 많구나,,,중국 뙛놈들...저 방법으로 온갖 사이트 다 쑤시고 다니고 있다는거 다 알고 있는데,.,기가막힘님만 모르고 있었나보네요...뭐가 그리 캥기는지...답답,,,공부좀 하고 댓글 다세요~
기가막힘   2008-02-14 오후 3:26:56
예상하는 공격 시나리오를 보니 무지 기가막힘. 고객센터 직원 PC에 악성코드를 심어서 어떻게 중요 시스템 접속ID를 갈취할 수 있다는건지, SQL Injection 같은 웹 어플리케이션 취약점 공격을 일반적인 보안 관제시스템으로 어떻게 알 수 있다는 건지.. 한 사람의 인터뷰 내용을 정확한 정보여부 확인도 안하시고 기사화하신 기자분도 좀 오버하신듯 하고..
파급영향도가 있는 언론은 추측과 진실을 분명히 해주세요.


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상