[칼럼]디지털 페스트②

전상훈입력 :2012/11/29 15:01

전상훈
전상훈

중세 유럽 인구 감소의 결정적인 원인. 통계에 의하면 전체 유럽 인구의 최대 절반에서 1/4 가량이 단 5년 만에 '페스트'의 영향으로 죽은 것으로 발표 되고 있다.

페스트와도 같은 인터넷상의 악성코드들은 대규모 감염 매개체를 통해 확산을 거듭하고 있다. 페스트가 나돌던 중세유럽의 상황과 다를 바가 없다. 인터넷 생활 비중이 높은 지금의 사회는 악성코드에 직접적인 영향을 받고 있다.

페스트의 사망률보다 높은 60% 이상의 치사율을 가지는 공격코드가 난무하고, 때로는 제로데이(패치가 없는 취약성 공격)라도 나오면 그 비율은 상상 이상으로 높아진다. 페스트가 공기를 통해 감염되는 것이 가장 무섭고 대책이 없듯이, 생활 속에서 무심결에 하는 웹서핑 만으로도 감염이 되는 현재의 상황은 더 나을 것이 없어 보인다.

급기야 악성코드의 공격기법은 자동화된 도구로 인해 사용자의 브라우저와 애플리케이션을 직접 공격하는 형태로 변하고 있다 . 사용자 PC를 공격하는 기법은 이제 운영체제를 넘어서 애플리케이션까지도 직접 공격하는 형태로 전환 된지 오래다.

IE 브라우저와 Flash, Java를 공격 대상으로 하는 공격도구들은 단 한 순간이라도 빈틈이 보이면 완벽하게 권한을 장악한다. 패치를 한다해도 수시로 출현하는 제로데이 공격코드들은 강력한 영향력을 행사하고 있다.

이에 대한 대응은 느리게 진행되고, 공격은 급진적으로 기술을 향상시켜 전체에 영향을 끼치고 있다. 어디를 지켜야 하고 무엇을 보호해야 하는지 개념조차 없는 최전선에서, 진내사격을 뜻하는, 브로큰애로우(Broken arrow)가 난무 할 수 밖에 없는 현 상황은 어쩌면 스스로 초래 했는지도 모를 일이다.

오래 전부터 경고한 내용이지만 지금껏 그에 대한 대비나 대처도 방향성 측면에서 변화를 따라가지 못한 면이 있다. 이 링크의 칼럼 조차도 2010년에 작성된 것이며 컬럼 내에 언급된 대책은 2008년에 언급된 내용이다.(http://www.zdnet.co.kr/column/column_view.asp?artice_id=20100307155931)

■심화된 위협

지난 디지털페스트 칼럼의 경우 추정을 통해 상당히 높은 수준의 위험이 계속 되고 있음을 알렸었다. 그러나 2012년 상반기에 수집된 공격자의 로그를 통해 치명적인 공격 성공률에 대한 데이터를 확보 할 수 있었다. 그 결과는 사뭇 충격적인 현실을 나타내고 있다.

통계데이터를 살펴보면 다양한 공격 기법들이 사용자 PC에 영향을 미쳤고, 최종 결과로는 새벽 3시간 동안이지만 전체 57000명 가량의 순수 방문자들중 3400명 이상의 유니크한 PC의 권한을 장악한 것으로 나타나고 있다. 즉 공격 성공률이 60% 가량 됨을 알 수 있다.

기간이나 감염비율 상으로 볼 때 인터넷의 페스트라 할 수 있는 악성코드의 전파력과 전염력은 이미 중세의 치명적인 페스트를 한참 앞서고 있는 상황이다. 일상생활에 밀접한 인터넷 어디에도 악성코드는 존재하고 있고 불특정 다수를 향해 수시로 공격코드는 실행이 된다.

윈도 패치를 제때 하는 사람들이 과연 얼마나 있을까. Java와 Flash의 패치를 매번 확인해 적용하는 사람들은 얼마나 있을까. 그리고 그 패치들은 얼마나 자주 나왔던가.

프로그램의 문제를 없애주는 패치를 적용해도 무용지물인 공격코드들이 난무하는 세상에서 안전한 곳은 어디에도 없다. 지금의 문제는 대량감염이 가능하게 된 것이다. 그 감염의 도구로 이용 되는 곳은 대부분의 웹서비스들이 된다.

그리하여 방문만 해도 공격코드는 자동으로 사용자 PC로 내려와 실행돼 결국 권한을 획득하게 된다. 이후에는 공격자의 의도대로 모든 것이 이루어 지는 상황이다.

공격자들은 현명하게도 과시보다는 이득을 택했으며 그 결과 웹페이지의 화면을 바꾸거나 하는 짓들은 하지 않는다. 웹서비스의 모든 권한을 가지고 있으면서도 단지 한 줄의 소스를 변경 하거나 추가 할 뿐이다.

그 결과는 해당 웹서비스를 방문하는 모든 사용자들에게 공격코드의 실행으로 돌아간다. 10명중 6명이 감염이 되고 새로운 공격기법이라도 추가 되는 날에는 당장 90% 가량이 직접적인 영향을 받을 수 밖에 없는 현재의 위험은 상상 이상의 위협이 현실화된 것을 보여주고 있다.

경험으로부터 배우지 못하고 애써 외면하며 등 돌린 결과는 부메랑이 되어 겁 없이 세상을 지배하고 있다. 페스트라는 용어 이외에 더 적절한 의미를 찾을 수는 없는 상황이 지금의 상황이다. 악성코드는 지금 이 순간에도 너무 가까운 곳에 존재한다. 마치 공기처럼!

■공격 전략 - 효과의 극대화

하나의 새로운 취약성을 발견하거나 공격기법이 발견되면 이제는 눈 깜짝할 사이에 전체가 영향을 받는 구조를 공격자들은 만들어 선보이고 있다. 모든 것이 네트워크로 구축돼 조종되는 봇넷 처럼 악성코드를 유포하는 네트워크 체계를 멀웨어넷(MalwareNet)이라 할 수 있다. 멀웨어넷의 심각성과 전략에 대해서 알아보면 다음과 같다.

여러 악성링크를 사전에 만들어 두고 취약성이 있는 다수의 서비스나 광고를 이용하는 언론사 등에 침입을 한다. 침입 이후에는 웹 소스를 변경해 화면상으로는 아무런 징후를 느낄 수 없으나 자동실행 돼 브라우저를 통해 직접 공격을 하도록 만들어 둔다. 일반적인 예로 다음과 같이 변경을 하는 사례들이 많이 발견 된다.

Js 파일의 경우 웹서비스 방문 시 자동으로 사용자 PC로 불려지며 사용자의 브라우저 상에서 서비스의 기능들을 수행하도록 만들어 주는 역할을 한다. 아주 쉽게 웹페이지에서 주민번호 입력을 체크하거나 전화번호를 체크해 잘못된 숫자나 범위가 입력 되는 것을 검토하고 방지하도록 하는 기능들도 대부분 공용 JS 파일에 넣어두고 활용 한다.

사용자가 회원가입을 위해 서비스를 방문하는 순간 숫자의 범위나 입력 값을 체크하는 기능들도 기본적으로 사용자 PC에 내려진 상태에서 실행이 됨을 말한다. 그 상태에서 위의 코드가 실행이 된다는 것은 악성링크를 사용자 PC로 불러와서 실행 하라는 것과 동일한 의미가 된다.

A라는 웹서비스에 악성링크가 들어 있다면 방문하는 모든 사용자들은 그 내부의 악성링크를 찾아서 클릭하지 않더라도 자동으로 실행이 되고 영향권 내에 들어가 있는 상태라 할 수 있다.

만약 A라는 웹서비스 이외에도 수없이 많은 웹서비스에 동일한 악성링크를 넣어둔다면? 그리고 공격자는 위의 이미지처럼 'S.asp'라는 악성링크의 내용만 변경 한다면 어떻게 될까?

순식간에 수십에서 수백여 개 이상의 웹서비스들은 또 다른 형태의 악성코드들을 즉시 전송하는 새로운 패러다임이 형성된다. 디지털 페스트라고 부를 수 있는 강력한 영향력은 여기에서부터 출발이 된다고 할 수 있다.

일반적으로 바이러스나 공격이라고 하는 것들은 기존의 관념 대로라면 이메일을 통해서 바이러스를 받거나 이상한 프로그램을 다운 받아서 설치할 경우에 발생하는 것이다. 그러나 그 시기에도 대규모 유포 시도들은 산발적으로 계속돼 왔으며, 지금에 이르러서는 네트워크를 구성한 다단계 유포 형태로 고착화 된 상황이라 할 수 있다.

■대안은?

사실상 전 국민의 PC에 대해 동시에 각 애플리케이션과 운영체제에 대해서 패치를 한다는 것은 불가능하다. 현재 공격자들의 전술을 살펴 볼 때 대규모 유포에 이용 되는 악성링크를 빠르게 발견하고 선제적으로 차단하여 감염이 확산 되지 않도록 하는 것이 최선이라 할 수 있을 것이다.

1. 공격 링크의 조기 발견 및 피해 범위 최소화

2. 근본적인 문제 원인이 되고 있는 취약한 웹 서비스들의 주기적 관리 체계 및 보호 방안

3. 보안이라고 하는 것은 이제 일상 생활에 직접적인 영향을 미치므로 전체적인 지식 강화

관련기사

1, 2, 3 단계별로 나누어서 진행이 돼야 하며 가장 급한 것은 피해 범위의 최소화가 될 것이다. 2008년에 제시한 해결책은 여전히 유효하다. 그리고 아직도 상황은 그대로이다. 전자상거래의 기반이 되는 공인인증서 부분에서도 인증 관련 서비스에서 조차도 악성코드 유포가 발생 되는 현실은 공포감을 넘어선 심각한 상황이다.

상대를 알아야 이길 수 있고 최소한의 통제력은 지니고 있어야만 조절이 가능하다. 그러나 지금은 그 어느 것도 하지 못한 상태이다. 디지털 페스트는 날이 갈수록 더 강력해 지고 있다.

*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.

전상훈 IT컬럼니스트

보안컬럼니스트, 빛스캔 기술이사, 시큐리티 기반한 미래 예측과 전략, 근본적인 문제해결을 위한 방안.