지식인을 하면서 가장 많이 접하는 질문이면서, 몇가지 보안 유언비어를 손으로 꼽자면 그 중에서 del usp10.dll lpk.dll imm32.dll /a /s 명령어를 이용한 악성코드 치료법 아닐까 싶습니다. cmd 명령어를 이용한 바이러스 치료방법 이라는 각종 유언비어들이 퍼지기 시작하면서 정확하게 알지 못해 컴퓨터 고생하는 상황이 무엇인지 새삼 느꼈습니다.

이번 포스팅에서는 이 유언비어의 문제점에 대해 조목조목 따져보겠습니다. 


< 파일이 지워지지 않는다면 강제로 삭제하라? >
 
del usp10.dll lpk.dll imm32.dll /a /s 명령어는 명령 프롬프트상에서 작동하는 명렁어로써 드라이브내의 usp10.dll 파일과 lpk.dll과 imm32.dll 을 삭제하는 명령어 입니다. 이것이 왜 악성코드 치료방법으로 부각되고 있는 것일까요?

본론으로 들어가기 전 유언비어에서 주장하는 내용에 대해 알아보자면 "컴퓨터에는 기본적으로 usp10.dll 파일과 lpk.dll 파일이 특정 갯수로만 있으며, 이 갯수보다 많게 동일 파일이 존재하면 바이러스에 감염된 것으로 볼 수 있으며, 반드시 특정 갯수 외에 usp10.dll 과 lpk.dll은 삭제해야 한다. 어차피 강제로 삭제하는 과정에서 정상파일은 액세스 거부 메세지와 함께 삭제되지 않으므로 악성파일만 삭제된다." 라는 주장입니다. 

이러한 유언비어가 시작된 발단은 게임계정정보를 전문적으로 탈취하는 OnlineGameHack 악성코드의 출현으로 해당 악성코드에 대해 여러 치료방법이 주목을 끌게 되었고, 거기서 나온 것이 OnlineGameHack 이 usp10.dll 파일과 lpk.dll 파일을 변조한다는 주장이였습니다. 실제로도 초창기 OnlineGameHack 악성코드는 마치 정상적인 시스템파일인 것으로 위장하기 위해 정상 시스템파일을 악성 파일로 변조시켰고 그 중에 usp10.dll 파일과 lpk.dll 이 포함되어 있었습니다. 

usp10.dll 과 lpk.dll은 여러 프로그램들을 구동하기 위해서 반드시 필요한 것이기 때문에 윈도우마다 기본적으로 설치가 되어 있습니다. 이런 역할을 하는 정상 시스템파일의 이름을 악성코드가 자신을 감추는데 악용을 한 것입니다. 

< usp10.dll 을 찾을 수 없어 프로그램이 실행되지 않는다는 질문 >
 
문제는 'usp10.dll 과 lpk.dll 을 감염시키는 악성코드가 있다' 라는 내용의 정보를 접한 네티즌들은 곧 'usp10.dll과 lpk.dll 은 악성코드임으로 삭제해야 한다' 라는 잘못된 결론에 도달하게 되었고, 결론적으로 삭제할 수 있는 usp10.dll과 lpk.dll 파일을 모두 삭제하는 명렁어를 배포하기 시작했습니다. 정상파일로써 이용되며 매우 중요한 파일이라는 사실은 철저히 가려졌습니다. 

실제로 처음에 보안 업계에서 제시한 올바른 치료법은. 자신의 바이러스 감염 사실이 확실하나 백신을 통해 치료할 수 없는 상황이라면 수동으로 dll파일을 제거하고 정상 dll 파일로 바꾸는 것이었습니다. 네티즌은 삭제절차 이후에 dll 파일을 정상파일로 교체해야 된다는 사실을 쏙 빼 놓고 무작정 제거만 한 것입니다. 

만약 교체 절차가 빠진다면 어떤 상태가 될까요? 수동으로 감염파일이 제거 되었으나, 정작 프로그램 실행에 필요한 정상 dll 파일 또한 없는 상태가 된 것입니다. 이 경우 당연히 시스템이나 프로그램 상에서 오류가 나타날 수 밖에 없습니다. 즉, 삭제 뿐만 아니라 정상 파일의 dll 파일로 교체해야 하여야 비로소 올바른 치료방법으로 볼 수 있다는 것입니다. 


< 포스팅 중인 내 컴퓨터에는 usp10.dll 과 lpk.dll 파일이 17개나 있네? >

 
유언비어 내에서 주장하는 dll 파일 갯수에 대해서도 문제가 있습니다. usp10.dll 이나 lpk.dll 등 수 많은 dll 파일들은 프로그램마다 필요에 의해 별도의 수정본을 만들어 프로그램 각 폴더에 따로 저장하는 경우가 비일비재 합니다. 컴퓨터 내부에는 프로그램 환경에 따라 같은 이름의 여러 갯수의 dll 파일이 존재할 수 있기 때문에 콕 찝어 몇개 이상의 dll 파일이 있으면 비정상이다! 라고 이야기하는 것은 잘못 된 주장입니다.

결정적으로 해당 dll을 악용하는 OnlineGameHack 악성코드는 별도의 usp10.dll 과 lpk.dll 을 파일을 추가로 생성하여 사용하는 것이 아니라, 기존의 usp10.dll 파일과 lpk.dll 파일을 이용하는 것이기 때문에 악성코드가 감염되었다고 해서 전체적인 usp10.dll, lpk.dll 파일 갯수는 절대로 변하지 않습니다.  


< 이미 예전(2010년)에 유행했던 바이러스임을 확인할 수 있다 >

이 유언비어의 또 다른 문제점은 악성코드가 매일매일 새롭게 변하고 있다는 것입니다. 즉, 감염되는 시스템 파일이 점차 시기에 따라 변하고 있다는 것인데, 최근에 나오는 악성코드는 기존의 usp10.dll 과 lpk.dll 이 아닌 다른 dll 파일을 감염시키고 있다는 사실을 반드시 알고 계셔야 합니다. 

이것이 왜 문제냐? 라고 생각하실 수 있습니다. 더 이상 악성코드가 usp10.dll 과 lpk.dll 을 이용하지 않게 되면서 기존의 수동 삭제방식을 이용하여 삭제해버릴 경우에 정상적인 dll 파일을 삭제해버릴 수 있다는 것입니다. 질병에 비유를 하자면, 새로운 형태의 바이러스가 감염되었으나 과거에 사용하던 약을 이용해 치료를 시도하다 몸이 망가지는 것입니다.  

특히나 바이러스에 감염이 되었는지 되지 않았는지 정확하게 알지도 못한 채로 무작정 파일을 삭제해 버리는 사용자들이 많은 것으로 볼 때 애꿎은 정상파일만 삭제하게 될 가능성이 매우 높습니다. 
 

 
netstat 포스팅 이후로 거듭 강조드리지만 되도록이면 이러한 바이러스는 백신을 이용해 치료해주십시오. 인터넷 상에 돌아다니는 각종 보안지식 중에는 허위로 작성되거나 전혀 근거가 없거나 이번 유언비어처럼 중요한 내용이 빠져있어 시스템에 치명적인 타격을 줄 수 있는 정보가 많습니다. 특히나 이번 유언비어는 시스템파일을 조작하는 만큼 단순히 프로그램 구동 불가를 넘어서 부팅 불가까지 초래할 수 있고, 실제 사례도 있다는 점을 명심하십시오. 

백신에서도 대부분의 OnlineGameHack 바이러스를 진단/치료가 가능한 만큼, 바이러스를 치료한다고 신뢰를 할 수 없는 유언비어를 듣기보다는 비교적 신뢰있는 백신 프로그램을 이용하는 것이 확실하고 안전한 바이러스 치료가 될 수 있습니다. 



 
저작자표시

'잡다한 자료 > 보안 칼럼' 카테고리의 다른 글

WannaCrypt 랜섬웨어 예방 한방패치 / 자주묻는 질문  (5) 2017.05.15
KB국민은행 피싱사이트 분석.  (1) 2012.05.25
포털 계정이 위험하다! 사이트 홍보에 이용되는 나의 아이디  (0) 2011.12.30
엄청난 개인정보유출, 메이플스토리 유출사건 정리  (0) 2011.11.26
신종 보이스피싱, 이제는 검찰청 피싱사이트 !  (0) 2011.09.07


분석 : 
YIS 동아리 팀장 이규형 호밌(ttuu44@naver.com) ( http://ris1.tistory.com/ )
YIS 동아리 팀원 박정훈 삼수맨(dkaldyfl@naver.com) ( http://blog.bpscal.com/


악성코드 소식 과 파일 제공 및 같이 밤새워 분석해주신 이규형 팀장님 감사합니다. :)
 

2012.1.20 같은 동아리 팀장 이규형 군으로 부터 신종 악성코드 소식을 듣고 파일 분석을 시작하였습니다. 

 우선 파일 아이콘 자체가 VB 으로 작성된 파일임을 금방 눈치챌 수 있죠. 추가적으로 peid 를 통해서 VB로 작성된 것임을 더욱 확실히 확인할 수 있었습니다. 처음에는 Ollydbg 를 이용해 분석하려 하였으나 디버거상의 오류로 부득이 하게 책으로만 접해보았던 IDA Pro 를 사용하게 되었습니다. 

 악성코드 증상은 파일을 실행하였을 시에 윈도우 인식이 되지 않는 문제였습니다. 실제 실행해본 결과 XP의 경우 블루스크린과 함께 재부팅시 OS 부팅 불가. 7의 경우 모든 데이터 읽기 쓰기가 작동되지 않고 컴퓨터를 정상 종료해도 종료되지 않으며 재부팅시 OS 부팅 불가 현상이 발생합니다. 

 무엇보다도 AVG를 제외한 어떠한 국내외 백신에서도 감지되지 않아, 아이콘이나 파일이름을 바꾸어 재 배포할 경우 심각한 문제가 발생할 수 있었습니다. 

 
 처음에는 엉뚱한 부분을 분석하였으나 리버싱 책을 참고하면서 특정 부분에 함수 쿼리가 몰려있으며, 어느 부분부터 함수의 시작인지 발견하게 되었고, 동시에 vba 기본 함수와는 거리가 먼 함수 테이블을 확인할 수 있었습니다. WriteBytes 라는 함수명으로 미루어 바이트를 조작하는 것을 알 수 있습니다. 


어떠한 Windows OS에도 적용되는 것을 보아서 어느 Windows OS에나 공통적으로 설치되어 있는 기능이나 OS에 구애받지 않는 기능을 이용하여 공격하고 있음을 짐작할 수 있습니다. 특히나 OffsetLow High 와 같은 함수로 미루어 볼 때 기존 바이트를 읽어오고 사용함을 알 수 있습니다. 


 함수명을 검색 중 해당 함수가 개인이 제작한 MBR 조작 함수라는 정보를 얻게 되었고 과거 DDoS 좀비파일의 자가 파괴형식이 MBR 손상이였다는 정보에 비추어 볼 때 이번 공격도 MBR을 손상 시킴으로써 피해를 발생시키는 것임을 짐작할 수 있습니다. 더군다나 MBR 부분은 특정 OS에 구애받지 않는 부분 입니다. 

 또, MBR 조작 원본 소스코드의 주석 중 '512 바이트를 그대로 옮겨놓는다.' 라는 문구는 하드디스크의 512바이트가 MBR 부분이라는 정보에 비추어 볼 때 MBR 을 사용하는 것이 확실해 보입니다. 


MBR 손상이라는 가설을 더욱 확실하게 하기 위해 MBR 보호프로그램을 가동한 채로 악성코드를 실행해 보았습니다. 악성코드는 보호프로그램에 의해 어떠한 손상작업도 할 수 없었고 결론적으로 OS는 어떠한 손상도 입지 않았습니다.

악성코드는 MBR 을 이용한다는 것이 확실하게 드러난 것입니다. 




악성코드 실행으로 손상된 컴퓨터의 MBR 영역을 보니 기존 DDoS 의 MBR 파괴당시 처럼 16비트상으로 00 의 아무 의미없는 코드로 MBR 부분이 덮어씌워졌음을 알 수 있습니다. 

현재 해당 악성코드 및 함수파일은 오래전 부터 배포되어져 왔으나 신고의 부재인 것인지 백신에서 감지하지 못하고 있습니다.
https://www.virustotal.com/file/717e8afdf58cb17108fb17dbe3ef50edafc54b803f4f2d6ae0aae49e6d50db4f/analysis/1327118871/ 

EXE 파일을 실행하는 것은 어느정도의 위험부담을 안고 가는 것이므로, 평소 실행하실 때에 다른 사용자가 있고 정상적으로 작동하고 있는 것인지 반드시 확인하셔야 하며, 블로그나 카페에 단독적으로 올려져 있는 첨부파일은 바이러스일 가능성이 높으므로 되도록이면 소프트웨어는 소프트웨어 개발사 홈페이지에서 직접 다운로드 받으시고, 핵과 관련된 파일은 사용을 자제해주시기 바랍니다. 

저작자표시

'잡다한 자료 > 바이러스 분석' 카테고리의 다른 글

inde.jpg.exe NateOn 바이러스 증상 및 치료법  (0) 2011.02.12
agtcl.jpg.exe NateOn 바이러스 증상 및 치료법  (0) 2011.01.26
picte.jpg.exe NateOn 바이러스 증상 및 치료법  (0) 2011.01.16
bsoxg.jpg.exe NateOn 바이러스 증상 및 치료법  (0) 2011.01.09
noek.jpg.exe NateOn 바이러스 증상 및 치료법  (0) 2011.01.02
매일매일 시도때도 없이 올라오는 성인사이트, 도박사이트 홍보글. 이제는 지겹습니다. 하지만, 그 아이디 중에는 일반인의 아이디가 포함되어 있다면? 그만큼 하루에도 수십개의 아이디가 크래킹되고 있다고 봐도 무방할 것입니다. 

친한 나의 동료 블로그에 자극적인 배너와 홍보글로 도배되어 있는 광경을 보게 된다면? 그 동료가 사실을알게된다면 매우 당황스럽습니다. 그나마 다행인 것은 누가봐도 블로그 주인이 자발적으로 올려진 홍보글은 아님을 금방 눈치챌 수 있다는 것입니다. 

포털사이트의 계정이 크래킹 될 경우 자신의 블로그는 물론 카페 게시글, 지식인 까지 위험할 수 있습니다. 





< 위에서 부터 차례대로 지식인, 카페, 블로그에 올라온 홍보글 >


과거에는 불법 경로로 홍보아이디를 생성해서 홍보글을 올리는 것이 일반적이였으나, 이렇게 불법으로 아이디를 생성하는데 소요되는 시간과 비용이 상당합니다. 그 과정에서 발전한 수법이 바로 일반인들의 아이디를 크래킹하여 홍보아이디로 이용하는 것입니다. 

자동프로그램에 의해 빠르게 글이 올라가고 블로그가 변조되기 때문에 유저의 아이디는 순식간에 홍보아이디로 전락하게 되지만, 추후에 삭제된 게시글, 강제탈퇴된 카페, 변조된 블로그를 다시 복구하기 위해서는 일일히 모두 수정해줘야 하기 때문에 엄청난 시간이 소요됩니다. 

더욱 심각한 것은 이러한 행태를 막기 위해서라도 범인을 검거하여야 하지만, 대부분 이러한 범행이 중국과 같은 해외 등지에서 이루어지고 있고, 누가 주도한 범행인지 파악하기 힘들기 때문에 검거조차 힘듭니다. 결국 이런 악순환이 반복되는 것입니다. 

Q & A

Q1 : "나의 아이디 로그인 기록을 보면 상대방 아이피가 나오지 않나?"

A1 : 범인들은 아이피를 임대해주는 기업으로 부터 아이피를 빌린 뒤 접속하는 방법(VPN or Proxy 기법)을 이용하기 때문에, 기록상에 나온 아이피는 분명 한국아이피라 할지라도 이 아이피가 범인의 아이피라 확신할 수 없습니다. 즉 범인의 아이피가 아닐 확률이 매우 높다는 것이지요.


Q2 : "이 아이피를 임대해준 사람을 검거하면 되지 않나?"

A2 : 아이피를 임대해주는 행위는 위법행위가 아닙니다. 해외에서 한국 게임을 하기 위해, 한국 사이트를 접속하기 위해, 자신의 사생활 보호를 위해서 아이피를 임대해 사용하시는 분들이 있기 때문에 이런 서비스가 현존하는 것입니다. 범인들은 이러한 서비스를 악용한 것이지요. 임대 사업주는 전혀 책임이 없습니다.




< 정상 후기를 가장한 특정 치과 홍보 >



최근에는 각종 카페와 포털사이트 자체적 노력으로 홍보글이 빠르게 삭제되고 있습니다. 그 만큼 홍보를 하던 범인들의 입지가 많이 좁아진 것입니다. 이러한 가이드라인의 허점을 노려 요즘에는 마치 후기를 올리는 냥 간접적으로 광고를 하고 있습니다. 

이와 유사한 마케팅 행위를 바이럴 마케팅이라 하는데, 파워블로거들이 돈을 받고 후기를 올리는 행위. 최근에 많은 이슈가 되었죠. 이것이 바이럴 마케팅입니다. 마치 순수한 의도로 후기를 올리는 것처럼 위장을 하면서 간접적인 홍보효과를 보는 것이지요. 

바이럴 마케팅 전문 기업도 있을 만큼 시장이 많이 발달했습니다. 하지만 바이럴 마케팅 기업들 중에서 몇몇 기업에서 불법으로 아이디를 크래킹 한 뒤 마케팅 아이디로 이용하는 파렴치한 행위를 하고 있습니다. 바이럴 마케팅 업체에서 홍보의뢰를 받으면 해외의 전문 크래커에게 포털 사이트 크래킹 의뢰를 한 뒤, 빼낸 포털 아이디를 이용하는 것으로 보입니다. 

아직까지 이러한 행위가 계속되는 것을 보면 아마도 바이럴 마케팅 업체도, 크래커들도 모두 해외에 거주하고 있지 않을까 생각됩니다. 

예방법

저는 처음에 이런 아이디 크래킹 사건이 컴퓨터 내부의 크래킹툴이 설치가 되어 있었기 때문이 아닌가 했었습니다만, 매일매일 너무나도 많은 포털사이트 계정이 피해를 입는 것을 보면 단순히 바이러스 유출 뿐만 아니라 다른 경로로도 개인정보가 유출되고 있는 것 아닌가? 라는 의심을 품게 되었습니다. 


- 각 포털사이트의 계정의 아이디와 비밀번호는 다른 사이트에서는 절대로 사용하지 말 것
 
첫번째 원인으로는 피싱 사이트를 개설하여 회원가입인냥 위장하여 개인정보를 탈취하거나 정상 사이트의 계정정보를 빼돌린 뒤, 수집한 정보와 포털 사이트와 동일한 아이디와 비밀번호를 사용하는 사람을 찾아내어 접속 시도하는 것은 아닐까 라는 의심이 됩니다. 

실제로 이와 유사한 수법으로 회원정보를 공개한 학생이 검거된 사건이 있었기 때문에 사이트마다 계정정보를 다르게 하는 것이 굉장히 중요합니다. 


- 컴퓨터를 정기적으로 백신 검사하고, 실시간 감시가 작동되는지 항상 확인 할 것

요즘은 백신이 설치되어 있더라도 바이러스에 의해 실시간 감시가 작동되지 않거나 아예 백신 자체가 실행되지 않는 사럐가 발생하고 있습니다. 요즘 나오는 개인정보 유출관련 크래킹툴의 경우 백신을 무력화 시키는 기능이 함께 내장되어 있기 때문입니다. 

컴퓨터를 백신을 이용해 정기적으로 검사하는 것은 물론 실시간 감시가 잘 작동하는 지 반드시 확인해주셔야 합니다. 


- 시간나면 틈틈히 접속기록을 확인하기

기록 중에 아이피를 가지고 범인이 접속하였는지 여부를 판단하기는 굉장히 힘드실 겁니다. 내가 사용하는 아이피도 모르고, 더군다나 내 아이피도 불규칙적으로 바뀌며, 휴대폰 3G를 이용하여 접속하면 통신사 망을 이용하기 때문에 통신사의 아이피가 찍힐 것이고, 근처 공용 무선인터넷을 이용해 접속했다면 또 다른 아이피가 찍히기 때문입니다.

중요한 것은 자신이 접속하지 않았던, 혹은 접속할 수 없었던 시간대에 누군가 접속한 것은 없는지를 확인해보십시오. 물론 동시접속을 했을 경우에는 시간대로 구별하기 힘들지만, 동시간대 범인과 같이 접속할 가능성은 적은 만큼 시간대 확인만으로도 누군가 허락없이 접속한 것은 아닌지 확인 가능합니다.

확인 후에 의심스러운 부분이 있다면, 비록 피해를 입지 않았더라도 미리미리 계정정보를 수정해주십시오. 간혹 범인은 피해를 입히기 전 아이디 접속을 시험해보기 위해 접속시도하는 경우가 있습니다.


- 내 주민등록번호로 가입되지 않도록 가입잠금 설정하기

네이버의 경우 한 명의로 3개의 아이디를 생성할 수 있습니다. 자신이 사용하는 아이디가 피해를 입지 않았더라도 명의를 도용해 추가아이디를 생성한 뒤 홍보아이디로 이용하는 경우도 있습니다. 네이버에서는 이러한 도용행위를 방지하기 위해 추가가입을 차단하는 기능을 제공하고 있습니다. 




'잡다한 자료 > 보안 칼럼' 카테고리의 다른 글

KB국민은행 피싱사이트 분석.  (1) 2012.05.25
usp10.dll lpk.dll 삭제, 자신의 PC를 해친다.  (12) 2012.02.10
엄청난 개인정보유출, 메이플스토리 유출사건 정리  (0) 2011.11.26
신종 보이스피싱, 이제는 검찰청 피싱사이트 !  (0) 2011.09.07
왜, 네이트 유출사건 이후의 크래킹은 다 네이트 탓인가?  (0) 2011.08.02
  수 많은 이용자를 보유한 넥슨의 메이플스토리. 그 만큼 크래커에 표적이 되기 쉬웠고, 비례해서 각종 계정 크래킹 사건이 증가하였습니다. 여태까지는 개인의 부주의로 인해 바이러스가 컴퓨터 내부에 침입하면서 계정정보가 유출되는 경우가 많았습니다. 

최근에 새롭게 나오고 있는 악성코드의 대부분이 게임계정 정보를 탈취하는 OnlineGameHack 류 였던 것을 보자면, 분명히 메이플스토리 게임 자체가 크나큰 돈벌이 수단으로 이용되고 있음을 가늠 해볼 수 있습니다.


1. 11월 18일 : 개인정보 유출 발생

 
  메이플스토리 에서는 접속자 기록인 로그 검사를 7일마다 있는 매 정기점검때 마다 합니다. 해킹 발생 전 마지막 정기점검은 17일. 즉, 정기점검 하루 뒤에 정보유출이 발생하였고, 결국 다음 정기점검인 24일 까지는 피해 사실을 전혀 알 수 없었습니다. 아마도 범인은 이러한 점을 노린 것이 아닐까 생각합니다.

정기점검 허점을 노려 6일간 시간을 벌 수 있었습니다. 넥슨은 18일 당일에는 로그 검사를 실시하지 않기 때문에 전혀 눈치채지 못하였습니다. 


2. 11월 24일 : 넥슨측에서 유출사실 인지


  24일차 정기점검 때 18일날 유출사실을 알아챈 넥슨은 정확한 유출 경로 및 피해규모 파악과 신고를 위한 증거자료 수집을 하기 위해 모든 로그를 검사합니다. 1322만명의 암호화된 주민등록번호와 비밀번호 그리고 아이디가 유출되었음을 파악함.

 

3. 11월 25일 : 회원 공지 및 경찰 신고



<25일, 유출사실을 이용자에게 공지함>


  수집한 증거자료와 함께 경찰에 신고하는 한편, 피해사실에 대한 사실을 이용자에게 공지합니다. 이와 동시에 언론사에서는 피해사실을 기사화 하기 시작하였습니다. 동시에 이용자들은 회사의 책임에 대한 비난과 질책이 줄을 이뤘고 피해 이용자들을 모아 사태 논의를 위한 카페를 개설하기 시작합니다. 

넥슨측에서는 중국발 크래킹은 아니라고 결론냈고, 비밀번호와 주민등록번호는 암호화 되어 안전하다고 주장합니다. 이번 사건을 맡은 방통위는 내부 공모자가 있는지, 혹은 내부 PC의 악성코드에 발생한 것인지 모든 가능성을 두고 검토한다고 발표합니다. 


4. 11월 26일 : 개인정보 유출확인 페이지 공개, 수사결과 일부 공개



< 나도 당했네? 즉시 확인가능 >

  넥슨측에서는 피해사실을 인지할 수 있도록 개인정보 유출확인 페이지를 공개하고, 메이플스토리 비밀번호 변경을 포함한 타 사이트의 개인정보 변경을 권고합니다. 수사과정에서 서버의 백도어 2종이 사용되었음을 잠정 확인하였습니다.



 

'잡다한 자료 > 보안 칼럼' 카테고리의 다른 글

usp10.dll lpk.dll 삭제, 자신의 PC를 해친다.  (12) 2012.02.10
포털 계정이 위험하다! 사이트 홍보에 이용되는 나의 아이디  (0) 2011.12.30
신종 보이스피싱, 이제는 검찰청 피싱사이트 !  (0) 2011.09.07
왜, 네이트 유출사건 이후의 크래킹은 다 네이트 탓인가?  (0) 2011.08.02
인포스캔 S/W? 정말 네이트 유출사건에 대안일까?  (3) 2011.07.30

보이스피싱이란? 전화를 통해 상대방을 속여 개인정보를 획득한 뒤 금전적 이득을 취하는 사기 수법을 이르는 말입니다. 보이스피싱이 처음 나올 당시 수법은 무작위로 전화를 건 뒤 특정 계좌로 현금을 입금시키도록 유도하는 방식이였습니다. 

하지만 국내의 각종 개인정보 유출사례를 통하여 개개인의 주소 이름까지 유출이 되면서 이 정보들이 고스란히 보이스피싱에 이용되고 있습니다. 언론, 정부기관의 적극적인 홍보활동을 통해 기존의 보이스피싱 방법으로는 더 이상 사기행위가 힘들어지자 신종 보이스피싱 수법을 개발하여, 최근에 수많은 피해자들을 양산하고 있습니다. 

범인이 중국등지에서 활동하면서 도피생활을 하며, 자신의 존재를 알리지 않기 위해서 발신번호 조작이나 중요한 정보를 암호화 합니다. 따라서 검거가 매우 힘들어, 피해입은 현금을 보상받기가 사실상 불가능합니다.

유출된 개인정보를 이용하여, 특정인에게 전화를 건 뒤 "계좌번호가 범죄에 이용되어 수사가 필요하니 알려주는 사이트로 들어가서 개인정보를 입력하라" 식으로 이야기 합니다. 이 때 상대방이 신뢰할 수 있도록 사전에 유출된 정보를 통해 상대방의 개인정보를 확인 차 알려주며 "우리는 당신의 개인정보를 모두 가지고 있을 만큼 공신력 있음" 을 알립니다.

알려주는 사이트로 접속하니 검찰청 홈페이지와 판박이처럼 똑같은 사이트가 나타납니다. 


< 위쪽사진이 피싱사이트, 아래 사진이 진짜 검찰청 홈페이지 >


언뜻 보기에는 정말로 믿을 수 있을 만큼 똑같이 생겼습니다.(링크까지도 연결되어 있습니다.) 하지만 조금만 더 집중해서 보면 금방 피싱사이트라는 것을 알 수 있습니다. 우리나라 정부기관은 정부기관에서만 발급받을 수 있는 go.kr 이라는 도메인을 사용하고 있습니다. 일반적으로 피싱사이트는 ".com .net .org .co.kr" 등 다른 도메인을 사용하기 때문에, 도메인 만으로도 피싱사이트임을 알 수 있습니다. 
우리나라 검찰청 홈페이지 주소는 http://www.spo.go.kr 입니다.

또한, 검찰청 공식 홈페이지에서는 각종 보안프로그램 모듈이 설치됩니다. 보안을 위해 홈페이지 접속시에 저절로 켜지게 되는 보안프로그램인데, 피싱사이트 접속시에는 이러한 모듈이 실행되지 않습니다. 

이 외에도 메뉴의 구성이라던지, 그림이나 글자 배열깨짐 등으로 판단할 수 있습니다, 


< 내 개인정보를 안다면서 개인정보를 입력하라니? >



범인은 해당 피싱사이트 하단의 작은 메뉴인
"개인정보침해신고센터" :

버튼을 눌러 개인정보를 입력하라 합니다. 실제 검찰청 홈페이지라면 따로 마련된 신고센터 홈페이지가 뜨겠지만, 피싱사이트의 경우에는 개인정보 입력하는 조잡스러운 페이지가 뜨게 됩니다. 

여기서 개인정보를 입력하고 등록 버튼을 누를 경우 범죄자에게 개인정보가 모두 전송이 되며 수집한 개인정보를 이용하여 계좌의 현금을 인출하며, 카드를 재발급 받아 무단으로 거의 돈을 개출하며, 주민등록번호와 이름을 이용하여 타 사이트의 회원가입한 뒤 범죄로 이용되기도 합니다.

일반적으로 정식 수사가 들어갈 경우에는 개인정보를 경찰측에서 얼마든지 확보할 수 있습니다. 이렇게 따로 전화를 걸어 개인정보를 수집하지 않습니다. 전화상으로 혹시나 개인정보를 요구하더라도 절대로 알려주지 마십시오. 

더욱 치밀하고 정교해진 수법에 의해 피해가 계속 증가하고 있습니다. 소중한 나의 개인정보가 외부로 유출되지 않도록 우리도 더욱 똑똑해져야 해야 합니다.

'잡다한 자료 > 보안 칼럼' 카테고리의 다른 글

포털 계정이 위험하다! 사이트 홍보에 이용되는 나의 아이디  (0) 2011.12.30
엄청난 개인정보유출, 메이플스토리 유출사건 정리  (0) 2011.11.26
왜, 네이트 유출사건 이후의 크래킹은 다 네이트 탓인가?  (0) 2011.08.02
인포스캔 S/W? 정말 네이트 유출사건에 대안일까?  (3) 2011.07.30
네이트 정보유출 소식. 허와 실  (0) 2011.07.28
지식인/카페를 통해서 주변 정보를 꾸준히 접하고 있습니다. 그런데, 네이트 유출로 인해 피해본 것이라며 올라오는 게시글이 급격히 증가하는 현상을 보이고 있습니다. 제 관점에서 보았을 때는 네이트 유출사건과는 전혀 관련이 없어보이는 사건임에도 네이트 유출사건으로 탓하는 경우가 굉장히 많았습니다. 

 <네이트 유출정보로 다음에 가입한다는 게시글>

이 게시글을 보면 상당히 그럴듯 해 보입니다. 이 게시글에는 주민등록번호가 유출되었고, 다음에 가입하는 방법을 설명해 놓았다며 직접 스크린샷까지 찍어 보여주셨습니다.  하지만, 이전부터 국내사이트의 가입을 시도하기 위해 가입방법을 설명한 중국게시물들이 굉장히 많았으며, 게시글에 첨부해주신 주소로 접속해보니 역시 네이트 유출사건 이전부터 유포되어오던 게시물이였습니다. 

또한 다음에 가입하기 위해 필요한 주민등록번호라며 중국인들이 올려놓은 주민등록번호를 조사해본 결과 모두 유출사건 이전부터 유포되어오던 주민등록번호로써 이번 사건으로 인해 유출된 것이 아닌 것으로 결론지을 수 있습니다.

< 네이트 유출사건으로 인해 바이러스가 감염되었다 주장 >

이런 지식인 질문들을 많이 접할 수 있는데, 네이트 유출사건은 개인정보가 유출된 것이지 바이러스가 유포된 것이 아닙니다. 정보가 유출되었다고 하여서 사용하고 있는 PC에 바이러스가 설치되는 것은 아닙니다. 즉, 이 바이러스는 유출사건과 관련없이 질문자분의 부주의로 설치된 바이러스일 가능성이 매우 높으며

이 바이러스에 의해 네이트온 정보까지 유출되어 메신저 아이디가 도용당했으리라 추측해볼 수 있습니다. 

 < 네이트로 인해 프로그램이 설치되었다는 주장 >

네이트 유출로 인하여 프로그램이 설치되는 경우는 없습니다. 어떻게 유출된 정보로 사용자의 PC를 제어하는 것이 가능할까요? 개인정보와 PC와는 별개의 문제입니다.

 < 네이트 유출로 네이버 아이디가 도용되었다는 주장 >

물론 네이트 정보유출로 인하여 도용이 발생할 수도 있습니다. 하지만, 패턴상으로는 유출사건 이전부터 흔히 일어나고 있었던 네이버 해킹사건과 별반 다를게 없습니다. 피해가 유출사건 기간과 맞물리면서 의심하시는데, 실제로 암호했던 정보가 중국 크래커에 의해 복호화 되었다고 하면 피해가 대량으로 발생하지, 이렇게 부분적이고 간헐적으로 발생할 수가 없습니다. 

따라서 추정컨데 아마도 평소에 발생하던 크래킹 사건이라 생각됩니다. 


현재 끊임없이 온갖 추측성 글이 올라오고 있습니다. 하지만, 정말 냉정하게 판단해 볼 때는 네이트 유출사건과는 전혀관련이 없거나 오히려 다른 요인들이 더 크게 작용했을 가능성이 있는 경우가 많습니다.

피해사례는 계속 올라오고 있지만, 아직 이렇다 할 네이트 정보유출로 인한 피해가 아직까진 발생하지 않았습니다. SBS 를 통해 네이트의 암호화가 3초안에 풀린다, 개인정보를 바꿔도 소용없다라는 등등의 불안심리를 유도하는 언론사들이 굉장히 많습니다. 

특히나 SBS의 기사 내용이 가히 충격적이였는데 실제로 기자에게 연락하여 실험방식에 대해 문의해보니 네이트의 암호화 기술과는 관련이 없는 방식이였으며, 실제로 네이트 기술은 방송에서 나온 기법보다 더 강력하게 보호하고 있습니다.

불안심리로 이득을 챙기는 언론사들의 이야기와 객관적이지 않은 정보로 마치 자신이 증거를 찾은 것 마냥 행동하는 작성자들의 게시글을 필터과정 없이 수용하지 마십시오. 이러한 것들은 전문가들의 객관적인 판단이 빠진 경우가 굉장히 많습니다.

'잡다한 자료 > 보안 칼럼' 카테고리의 다른 글

엄청난 개인정보유출, 메이플스토리 유출사건 정리  (0) 2011.11.26
신종 보이스피싱, 이제는 검찰청 피싱사이트 !  (0) 2011.09.07
인포스캔 S/W? 정말 네이트 유출사건에 대안일까?  (3) 2011.07.30
네이트 정보유출 소식. 허와 실  (0) 2011.07.28
중국 크래커에게 해킹 당했다? 어떻게 확신하지?  (0) 2011.07.11
우연히 지식인을 활동하면서 인포스캔이라는 프로그램을 알게 되었습니다. 현재 많은 블로그와 카페, 지식인, SNS 를 통해서 유출확인이 가능하다는 내용으로 배포되어지고 있습니다. 그러나 이러한 프로그램이 네이트 유출사건에 맞지 않다고 저는 생각합니다. 

회사측의 광고와 네티즌의 불안심리가 겹쳐서 이루어진 합작인지 알 수 없으나 실제로 지식인 답변 상위랭크에 올라가 있으신 전문가 답변인들도 추천하는 프로그램인 만큼 궁금한 마음에 저도 사용해보았습니다.  

프로그램에 악의적인 내용이 있다는 것은 절대 아닙니다. 하지만, 이번 사건에 유출확인 해결책으로써 제시되기에는 큰 무리가 있습니다. 프로그램 사용 후기와 추천글만 있을 뿐 문제점에 대한 포스팅을 찾을 수가 없는 상황입니다. 



< KMC 에서 제공하는 INFOSCAN >


인포스캔의 ID/PW 검사, 개인정보 검사, PC사용흔적 기능은 모두 자신이 사용하는 PC에 저장되어 있는 파일들로 부터 개인정보가 기록된 파일들은 없는 것인지, 외부로 파일이 유출될 경우 개인정보 유출이 될 수 있는 파일은 없는 것인지 검사하는 방식으로써 PC의 파일로 부터 개인정보를 유출하는 방식을 이용하지 않는 네이트 유출과는 전혀 상관이 없는 기능입니다. 

관련이 있는 기능이라고 하면, 인터넷 유출확인 기능입니다. 프로그램 내부에 자신의 개인정보를 입력하면 입력한 개인정보를 각종 포털사이트 검색엔진을 통해 검색하여, 혹시나 개인정보가 인터넷 상에 올려져 있는 것은 없는 것인지 검사. 결과값을 출력하는 원리입니다. 



< 인터넷 유출확인 기능의 검색할 개인정보 입력 창 >


네이트를 통해 유출된 정보가 인터넷 상에 마구 돌아다닌다면, 효과가 있을 것 같습니다. 하지만 실제로 유출된 개인정보가 인터넷에 무단으로 돌아다닐 확률은 극히 적습니다. 이번 유툴사건은 중국이 발원지로 밝혀졌는데, 중국의 수많은 크래커 집단의 대부분은 개인의 이익을 위해 활동합니다. 

이익을 쫓는 크래커들이 과연 네이트를 통해 얻은 개인정보를 인터넷에 공개시킬까요? 중국 암시장을 통해서 우리나라 돈으로 개인정보 1개 당 60원 선에서 거래되어지고 있습니다. 유출된 개인정보의 양도 어마어마한 만큼 이를 돈을 받고 판매한다면 크래커로써는 엄청난 돈을 벌 수 있습니다. 

즉, 수익을 위해 주도한 범행일 확률이 매우 높은 만큼 실제로 인터넷 상에 개인정보가 공개되는 것은 룰즈섹 사건과 같이 자칭 공익을 위해 활동을 한다는 집단의 도발성 행위가 나타나지 않는 이상 거의 불가능 합니다. 

따라서 인포스캔으로 개인정보를 검색하여 네이트의 유출확인을 한다는 것은 사실상 불가능합니다. 



< 블로그 운영자인 나도 유출된 것일까? 수상스런 중국어 >

그런데, 관련 자료를 찾던 도중, 어느 분이 벌써 네이트 유출로 인해 개인정보가 유출되어지고 있다며 프로그램 검색결과를 올려주신 분이 있습니다. 딱 보기에도 알 수 없는 중국어와 깨진 한국어. 일반인이라면 얼마든지 네이트로 인한 유출이라 의심할 수 있을 것입니다.

하지만, 이는 네이트와 전혀 관련이 없는 페이지 입니다. 실제로 해당 페이지를 접속하여 보면 "중국 커뮤니티 사이트 게시글" 혹은 "단순히 수많은 숫자들만 적힌 곳" 이였을 것입니다. 

중국에서 암암리에 스팸 휴대폰 번호리스트라고 하여서 한국에서 실제로 존재하는 휴대폰 번호들을 쭉 나열해 놓은 페이지가 굉장히 많습니다. 사용하지 않는 번호들을 제외한 스팸문자를 보내면 실 사용자가 있는 일종의 스팸리스트 입니다. 


< 수 많은 휴대폰 번호리스트.. 눈이 아프다 >

이러한 휴대폰 번호들은 네이트의 유출로 인해 작성된 리스트가 아닌, 무작위로 전화를 걸어 신호음이 가는 휴대폰 번호, 검색엔진을 통해 수집된 휴대폰 번호, 광고회사를 통해 얻은 휴대폰 번호 등등 전혀 네이트 유출과는 전혀 다른 경로로 작성된 것입니다. 따라서 프로그램 검색으로 자신의 휴대폰 번호가 이러한 페이지에 유출되었다고 알리더라도 네이트 유출로 인한 문제라고 생각하시면 안됩니다. 



< 중국 뉴스 기사가 뜬다? 내 휴대폰번호랑 무슨 관련? >

다른 유출 검색기록을 클릭하니 이번에는 중국 뉴스기사로 연결됩니다. 나의 휴대폰 번호와 무슨 상관이 있을까요? 게시글 마다 부여되는 게시글 번호를 보니 휴대폰번호(010158940)와 비슷합니다. 즉, 휴대폰 번호가 아닌 게시글 번호가 검색된 것입니다. 

이렇게 실제로는 유출과는 관련이 없음에도 검색되는 경우가 있습니다. 네이트의 유출확인은 네이트의 공식 홈페이지에서 하셔야하며 (https://www.nate.com/nateInfo/noticeInfo.aspx), 검증되지 않는 방법은 오히려 추가 유출피해가 발생할 수 있기 때문에, 방법에 대해 확인하는 작업이 반드시 필요합니다. 

'잡다한 자료 > 보안 칼럼' 카테고리의 다른 글

신종 보이스피싱, 이제는 검찰청 피싱사이트 !  (0) 2011.09.07
왜, 네이트 유출사건 이후의 크래킹은 다 네이트 탓인가?  (0) 2011.08.02
네이트 정보유출 소식. 허와 실  (0) 2011.07.28
중국 크래커에게 해킹 당했다? 어떻게 확신하지?  (0) 2011.07.11
계속되는 사이트 변조, 안심하고 서핑할 수 없다.  (0) 2011.06.19

네이트 정보 유출로 많은 분들이 혼란을 겪고 있습니다. 그런데 이러한 이슈를 이용하여 이득을 챙기려는 신문사가 있습니다. 왜곡된 정보로 인해 불안감을 조성시켜 자신의 회사 구독률을 높이기 위한 수법이라고 볼 수 있는데, 이슈화된 문제가 발생하면 흔히 발생하는 문제다 보니 이제는 무감각 해진 것 같습니다. 

유출 피해자 수는 3천 500만명

네이트 측에서 밝힌 피해상황으로는 대략 3천 500만건이라 표현한 것은 맞습니다. 하지만, 전문적으로 보안을 다루는 보안뉴스 측에서는 "3천 500만명 중 일부" 라고 표현하고 있고(http://www.boannews.com/media/view.asp?page=1&idx=27124&search=&find=&kind=1), 실제 피해는 3천 500만건에 훨씬 밑 돌거나 이상이 될 수 있으며, 네이트 측에서도 3천 500만명은 대략 추산이라고만 표현했을 뿐 확신할 수 없음(http://www.boannews.com/media/view.asp?page=1&idx=27127&search=&find=&kind=1) 을 분명히 밝히고 있습니다. 실제로 차이가 굉장히 많이 날수 있기 때문에 3천 500만건이라 단정지을 수는 없습니다. 


불안감에 휩쌓인 많은 네티즌분들께서는 도용을 당하였는지 확인할 방법이 없는지 자체적으로 궁리를 하여 일부에서는 나름 합리적인 이유를 들어 도용확인이 가능하다고 주장하고 있습니다. 불안감에 어딘가에 의존하는 것이 사람이지만 분명히 알아두셔야 할 것은 실제로 검증되지 않은 방법의 민간요법(?) 치료방법을 이용하시면 문제가 발생할 수 있습니다.


네이트 로그인 기록을 통해 도용 확인가능
 

이번 크래킹은 일일히 크래커가 네이트 아이디를 접속하여 정보를 유출하는 방식이 아닌 네이트 서버 자체로 인한 유출이기 때문에, 로그인 기록상으로 수상한 아이피가 절대로 찍히지 않습니다. 이 부분은 네이트측에서 인정을 하고, 허위소문임을 분명히 밝혔습니다. (http://www.mt.co.kr/view/mtview.php?type=1&no=2011072815312664153&outlink=1)
이 글을 포스팅하는 시각 현재 아직까지는 해킹 확인 방법이 없습니다.  조만간 확인할 수 있도록 한다고 하니 기다려야 하겠죠.

 

아직까지 우리나라 보안수준이 이 정도 인 것인가. 생각해볼 필요가 있습니다. 무조껀 기업만 탓하는 우리나라의 네티즌들은 정말로 본질을 모르는 것이 아닐까요?

네이트 회사의 일방적인 책임
 
무작정 네이트 회사의 보안탓으로 돌리기에는 보안적인 관점에서 오류가 있습니다. 과거 농협과 같이 피해사실에 대해 숨기고 있다 추후에 밝혀진 사건인 경우와 네이트 회사에서 자체적으로 피해사실을 통보한 사건은 분명 다른 관점에서 보아야 합니다. 

정보유출을 제대로 확인하지 못하고 보호하지 못한 것은 엄연히 네이트 측 회사잘못이지만, 어두운 면만을 보고 무작정 네이트를 욕하는 상황을 만들기 보다는 해킹사실에 대해서 빠르게 공개하여 대처한 부분에 대해서는 칭찬을 해줄 부분입니다. 이것이 피해입고 난 후에 회사에서 대처해야 할 올바른 행동이기 때문입니다. 

네이트에서 지나치게 허술하게 한 것도 아니고, 보안수칙을 준수하며 사이트를 운영하였기 때문에, 이 문제는 중국의 크래킹 행위를 방치한 국가 책임도 있는 것입니다. 중국에서 끊임없이 신종 악성코드가 나오고 있는데 반해 국가차원에서의 대처는 미비하였지요. 

나의 정보다 보니 유출에 대해서 걱정하는 것은 당연한 일일 것입니다. 하지만, 나의 모든 정보가 유출되었다고 생각하기에는 무리가 있습니다. 

나의 개인정보가 모두 유출되어 도용될 것이다

네이트측에 따르면 주민등록번호와 비밀번호는 암호화 처리를 하였다고 밝혔습니다. 어쩌면 유출된 정보중에서 가장 민감한 부분일 수 있는데, 이 부분을 암호화 처리를 한 것입니다. 암호화가 100% 안전하다고 확신할 수 없습니다. 모든 암호화에는 무작위 대입법(Brute Force)이라는 취약점이 존재하는 것이 사실이고, 암호화의 구성이 모두 분석되어 복호화가 가능할 수도 있습니다. 

하지만, OTP 와 같이 정말로 회사의 기밀이 유출되지 않는 이상 암호화의 구성을 알기 힘든 암호화 방식도 엄연히 존재하고, 암호화 기법중에서 아직 해법이 밝혀지지 않은 방식도 굉장히 많습니다. (물론 비공식적으로는 밝혀졌을 수도 있지만..)

따라서 정보가 유출되었다고 해서 암호화된 정보까지 무턱대고 무조껀 위험하다라고 생각하셔서는 안됩니다. 암호화 이유 중 하나가 바로 정보가 유출되더라도 방어하기 위한 목적입니다. 

개인정보가 모두 유출되었다는 불안감을 조성하는 멘트에 더이상 휘둘리지 않으셨으면 합니다.  


우선 유출된 정보를 통해서 악용할 가능성이 있는 부분을 차단하는 것이 중요하다 생각합니다. 전화번호는 스팸과 보이스피싱, 이메일은 스팸과 도용, 주소는 도용과 신상파악 등 여러가지 상황을 예측해볼 수 있습니다. 

포털사이트 마다 계정정보를 변경해주시는 것도 좋은 방법이고, OTP 를 설정하시고 주변 지인들에게 악용 가능성을 알려 메신저 피싱이나 도용피해에 대해 대처할 것을 알려주시는 것도 필요합니다.

'잡다한 자료 > 보안 칼럼' 카테고리의 다른 글

왜, 네이트 유출사건 이후의 크래킹은 다 네이트 탓인가?  (0) 2011.08.02
인포스캔 S/W? 정말 네이트 유출사건에 대안일까?  (3) 2011.07.30
중국 크래커에게 해킹 당했다? 어떻게 확신하지?  (0) 2011.07.11
계속되는 사이트 변조, 안심하고 서핑할 수 없다.  (0) 2011.06.19
3.4 바이러스 대란, 좀비PC 치료법은 없는 것일까?  (0) 2011.03.04
네이버 지식인 활동을 하다보면 다양한 피해 사례를 볼 수 있습니다. 특히나 이번년도에는 중국으로 부터 금전적인 이익을 위한 악성코드 유포가 급격히 증가하였고, 유명 사이트들의 변조사건을 통해서 백신/보안패치를 사용하지 않은 PC에서는 단순 사이트 접속만으로도 악성코드가 감염되어 유포되고 있어 주변에서도 쉽게 감염 사례를 찾아볼 수 있을 만큼 유포속도가 굉장히 빠릅니다. 

이렇게 해서 피해를 입은 여러 게임 계정들이 기하 급수적으로 증가하였고, 이를 보안에 신경을 쓰지 않은 계정 주인 탓으로 돌리기 전에 피해 입은 계정에 대해서 복구가 진행되어야 할 것입니다. 게임사 자체적으로 복구를 해주고 있으나, 조건이 까다로운 측면이 없지 않아 있습니다. 

이처럼 게임사측의 복구가 힘들다면 신고를 통해 범인을 직접 검거하여 범인과의 합의를 통해 합의금을 받아 피해본 부분을 어느정도 보상 받아야만 할 것입니다. 이 때, 범인이 해외에 있을 경우에는 중대한 사건이 아닌 이상 해외로 국내인력이 출동하여 검거해오기란 무척 어려운 일입니다. 

절차상으로 굉장히 복잡하여 중국 어디서 크래킹을 시도한 것인지 알고 있다고 하더라도 범인을 잡을 수 없는 경우가 발생하기 때문에 이제는 중국 크래커들의 일정한 패턴을 통해 중국 크래킹인지 아닌지를 신고전에 자율적으로 판단해 보는 것도 필요하다고 생각합니다. 

지식인 활동을 하면서 접한 다양한 사례를 모두 종합하여 정리한 내용으로써 중국 이외에 국내에 거주하고 있는 크래커들도 자신이 중국 크래커인냥 위장하기 위해 패턴을 일부 따라할 수도 있고, 패턴이얼마든지 변화할 수 있기 때문에, 이 내용을 통해서 100% 중국 크래킹이다. 아니다 를 판단하셔서는 안됩니다. 

1. OTP를 설정 하였음에도 피해를 입었다.

OTP 의 경우에는 각 게임사에서 인정한 강력한 보안장치 입니다. 단순 개인정보를 아는 것 만으로는 여느 다른 보안장치와는 달리 OTP를 어찌 할 수 없는 강력한 보안장치입니다. 따라서 게임사들은 아이템 복구를 신청했을 시에는 복구 기준을 OTP의 존재 유무로 판단할 정도로 신빙성 있는 장치입니다만, 중국 크래커에게 이러한 장치가 충분히 무력화 될 수 있습니다. 

아직 중국에서 어떻게 하여 OTP 장치마저 무력화되는 것인지 밝혀진 바가 없으나, OTP가 발급되는 순간을 노려 접속하는 경우나 OTP를 거치지 않고도 우회를 하는 방법을 사용하는 것으로 추정됩니다.

이러한 방법은 일반인이 알기 어려운 정보이고, 더욱이 중국 내부의 암시장에서만 거래되는 정보를 국내의 크래커들이 접하기도 굉장히 어렵습니다. 따라서 강력한 보안장치인 OTP가 무력화 되었다면 중국 크래킹을 의심할 수 있습니다.

 
2. 계정의 비밀번호가 바뀌지 않았다.

이 부분은 어느정도 논란의 소지가 있습니다만, 지금까지 보고받은 사례로 보자면 80% 이상은 피해를 입힌 이후로는 비밀번호를 변경하지 않고 그대로 둡니다. 일부 사례에서 중국 크래커의 소행임에도 피해자가 계정정보를 다시 바꾸는 과정에서 시간을 벌기 위해 비밀번호를 변경하는 경우가 있습니다. 

하지만, 어차피 피해자가 인증절차를 통해 비밀번호를 변경할 수 있기 때문에 피해자가 계속 접속을 시도하면서 의도적으로 크래킹을 방해하는 경우 처럼 시간을 벌 필요가 없다 생각되면 계정정보는 바꾸지 않고 그대로 두게 됩니다.


3. 캐릭터는 그대로이고 아이템만 가져갔다.

캐릭터를 삭제하거나, 임의로 캐릭터의 상태를 조정하는 경우는 거의 없습니다. 

주 목적은 아이템과 같은 금전적으로 이득을 취할 수 있는 부분이기 때문에 캐릭터를 삭제한다고 하여서 자신들에게 돈이 남는 것도 아니며, 어쩌면 추후에 피해자가 캐릭터를 삭제하지 않고 재 회생할 기회를 준 이후에 피해자가 캐릭터를 다시 키우는 시점을 노리고 그 때 다시 크래킹하여 아이템을 빼돌릴 기회를 엿보는 것일 수도 있습니다. 


4. 개인정보가 필요한 부분임에도 쉽게 접근한다.

예를 들자면, 메이플스토리라는 게임에서 창고를 이용하기 위해서는 계정의 주민등록번호 뒷자리를 반드시 알고 있어야 합니다. 그런데 창고마저도 피해를 입을 수 있습니다. 또한 주민등록번호 뒷자리를 알아야 바꿀 수 있는 계정정보 또한 바꿀 수 있습니다. 이것으로 보아 중국 크래커들은 개인정보가 필요한 부분까지도 쉽게 우회 할 수 있는 것으로 추정됩니다. 

정말로 개인정보를 크래커가 알고 있는 것인지 판단할 수만은 없는 것이, 개인정보를 알지 못하더라도 인증 절차를 뛰어넘어 접속할 수 있는 취약점을 발견했을 가능성도 존재합니다. 

 
5. 어떠한 대화도 하지 않는다.

크래커가 크래킹을 하기 위해서 피해자 게임계정에 무단으로 접속했을 때에 게임 내부에서 같이 알고 지내던 지인이 접속 사실을 발견할 수도 있습니다. 그런데, 정작 말을 걸면 어떠한 대답도 하지 않는 것이 특징입니다. 

원인은 2가지로 추측해볼 수 있는데 대부분의 중국 크래커들이 사용하는 방식인 크래킹이 자동적으로 이루어지는 방식(매크로) 의 경우에는 당연히 매크로 내부에 대답을 하는 기능이 없다면 대답을 하지 않고 크래킹이 진행됩니다.

다른 이유로는 수동으로 크래킹이 진행된다고 할지라도 중국인이다 보니 우선 한국어를 모르기 때문에 자신이 한국인이 아니라는 사실을 외부에 알려지게 될 경우에는 지인이 피해자에게 연락하여 계정에 대해 조치를 취할 수도 있습니다. 즉, 자신의 신분이 밝혀지지 않도록 하여 크래킹에 필요한 시간을 버는 수단이라 볼 수 있습니다. 

 
6. 특정 장소로 이동 되어 있다.

중국 크래커들은 대부분 아이템을 다른 계정으로 옮길 때는 자동화된 프로그램을 이용하기 때문에 프로그램에서 설정해 놓은 특정장소로 캐릭터가 이동한 후에 크래커의 캐릭터와 만나 게임내부의 교환기능이나 우편기능을 이용하여 아이템을 옮기게 됩니다.  

그러나 장소가 계속 바꾸어 가며 만나기 위해서는 매번 프로그램을 수정해주어야 하는데, 그렇게 하지 않고 매번 같은 프로그램을 사용하기 때문에, 게임별로 특정 장소가 정해져있는 경우가 있습니다. 

예를 들자면, 메이플스토리 라는 게임에서는 자유시장이라는 공간에서 거래가 이루어 집니다. 따라서 피해자가 추후에 접속했을 때는 자신이 로그아웃 했던 장소가 아닌 다른 장소가 나오게 되는 것입니다. 게임마다 특정 장소가 있다는 것을 통해 누구의 소행인지를 추측할 수 있을 것입니다.

 
7.  짧은 시간에 캐릭터가 다른 장소로 옮겨져 있다.

최대한 빠르게 아이템을 빼내기 위해서는 빠르게 캐릭터를 특정 장소로 이동시켜야 합니다. 이 때, 크래커들은 핵과 같은 불법프로그램을 이용해서 캐릭터를 이동시키기 때문에 크래커의 접속이 발생한지 몇 분만에 아이템을 모두 뺄 수 있습니다.

특히나 바람의 나라 라는 게임이 대표적인데, 채 1분도 되지 않아 특정 장소로 캐릭터가 이동되어져 있고 모든 아이템이 사라지는 경우가 다반사입니다. 이러한 이유로 크래킹을 당한 이후에 불법프로그램 사용으로 아이디가 정지되는 일도 발생하고 있습니다. 


8.  OnlineGameHack 종류의 바이러스가 감지된다.

안철수 연구소의 V3 백신에서 볼 수 있는 OnlineGameHack 악성코드는 이름과 달리 게임 핵과는 전혀 관련이 없는 계정 탈취를 주 목적으로 하는 악성코드입니다. 이러한 악성코드의 대다수가 중국 크래커에 의해 제작되고 있으며, 실제로도 해당 악성코드로 인해 피해가 많이 발생 하고 있습니다.

따라서 피해를 입은 이후에 자신의 PC 바이러스를 검사하였는데 OnlineGameHack 류의 악성코드가 발견되었다면, 중국 크래커 소행일 확률이 높습니다.

 


다시 한번 말씀드리지만, 얼마든지 국내인이 모방범죄를 일으킬 수 있기 때문에 이 기준만을 가지고 중국인의 소행이다 라고 판단하셔서는 안됩니다. 

제가 포스팅 한 글을 볼 때는 범인은 중국인이라는 판단이 들 수 있으나, 실제로는 국내에서 거주중인 소규모 크래커집단에 의한 피해일 수도 있다는 것입니다. 

범인의 범행장소를 정확하게 알 수 있는 방법은 경찰서의 정식 신고절차를 밟으셔서 수사가 진행되는 과정에서 게임 계정에 접속했었던 아이피를 추적하여 범인의 범행장소를 알아 낼 수 있습니다. 이 방법이 가장 확실한 방법이지만 가장 까다로운 방법이기에, 자율적으로 점검을 해보시라는 의미에서 글을 포스팅 하였습니다. 
 

'잡다한 자료 > 보안 칼럼' 카테고리의 다른 글

인포스캔 S/W? 정말 네이트 유출사건에 대안일까?  (3) 2011.07.30
네이트 정보유출 소식. 허와 실  (0) 2011.07.28
계속되는 사이트 변조, 안심하고 서핑할 수 없다.  (0) 2011.06.19
3.4 바이러스 대란, 좀비PC 치료법은 없는 것일까?  (0) 2011.03.04
"보호나라, 악성코드 치료에 특효약인가?"  (2) 2011.01.25
 최근에 사이트 변조가 굉장히 많이 발생하고 있습니다. 과거의 방문자수가 적고, 관리를 잘 하지 않는 개인홈페이지 위주로 변조가 되고 있지만, 최근에는 이용자 수가 굉장히 많은 메이저 사이트 마저도 변조를 당하고 있는 실정입니다. 

< 이제는 메이저 사이트도 위험하다! -스크린샷 보안뉴스->

과거에는 자동화된 프로그램을 이용하여 취약점이 발견된 일부 사이트만 변조하는 방식이였지만, 이제는 점차적으로 진화하여 프로그램이 아닌 한 사이트를 목표로 삼아 집중적으로 취약점을 찾아 변조하기 때문에 메이저급 사이트도 피해 갈 수 없었습니다. 

대부분은 중국에서 이루어지고, 악성코드 유포를 위한 것입니다. 실제로도 최근에는 이러한 변조 방식을 이용해서 대량으로 DDoS 좀비 PC를 모으는 행위가 가능하게 되었다고 해도 과언이 아닐 것입니다. 

IE(Internet Explorer) 을 사용하는 이용자에게는 변조된 페이지에 접속하는 것 만으로도 악성코드에 감염되기 때문에, 이제는 서핑을 할 때 백신의 실시간 검사를 반드시 켜주시는 것이 중요합니다.


< 크롬 유저라면 이제는 익숙할 만한 문구 >
 

 과거에 위에 문구를 보기 굉장히 힘들었을 것입니다. CVE-2011-0609 라고 하는 취약점을 이용한 공격방식이 대중화되기 이전에는 네이트온 악성코드 유포에만 이용했기 때문에, 그리 큰 비중을 차지하고 있지 않습니다.

브라우저와 백신에서는 감염 사이트의 접속을 사전 차단하기 위해 경고문구와 동시에 접속차단을 시행하게 됩니다. 하지만 취약점에 해당되지 않는 크롬에서도 차단하는데 반에 정작 취약점이 적용되는 IE에서는 차단 기능을 제공하고 있지 않아서 피해가 심각한 실정입니다 


   구글 크롬   인터넷 익스플로러
 취약점 적용 여부  X  O
 초기 증상  스크립트 경고  인터넷 창 꺼짐 등
 차단 여부  빠르게 자체 검사로 차단  보고된 사이트에서만 차단


크롬을 이용해 악성 웹페이지 방문 시 SWF 취약점을 이용했을 경우에는 "스크립트 실행이 지연되고 있다" 라는 문구와 함께 스크립트 동작을 취소할 수 있는 경고창이 뜨게 되고 취소를 할 경우에는 정상적인 웹 서핑이 가능합니다. 

IE의 경우에는 오류 창과 함께 인터넷 창이 모두 꺼지며 일부 컴퓨터에서는 시스템 파일이 변경되었다는 문구를 받으실 수 있습니다. 

< 트로이목마 악성코드가 다운받아진다 >

Q1 : 감염이 되면 어떻게 되나요?
A1: 이렇게 감염이 된 악성코드는 게임계정의 정보를 탈취하는 트로이목마로써 현재 국내백신에서는 OnlineGameHack 이라는 진단명으로 따로 분류하고 있으며, 해외백신은 PWS, Packed 등 다양한 진단명으로 감지하고 있습니다.
치료를 하지 않고 방치할 경우에는 후에 게임 접속시도를 할 경우 계정정보가 탈취되는 것 입니다.


Q2 : 해결책이 없을까요?
A2 : 보안업데이트가 나와있고 대부분의 백신에서는 사이트 사전차단기능 혹은 바이러스 치료 기능을 이용하여 사전에 예방하고 있습니다. 따라서 백신 사용과 보안업데이트를 반드시 필수적으로 해주셔야 합니다. 이미 감염이 된 경우에는 백신을 통해서 검사/치료 해주시면 됩니다. 

자신의 IE의 버젼과 운영체제가 무엇인지 파악하셔서 다운로드 페이지에서 찾아가시면 됩니다.

Microsoft MS10-018 보안패치 다운로드 
국내외 무료백신 다운로드


참고 자료 : http://hummingbird.tistory.com/2781 
http://www.boannews.com/media/view.asp?page=1&gpage=1&idx=26531&search=&find=&kind=0 
http://blog.ahnlab.com/asec/522

'잡다한 자료 > 보안 칼럼' 카테고리의 다른 글

네이트 정보유출 소식. 허와 실  (0) 2011.07.28
중국 크래커에게 해킹 당했다? 어떻게 확신하지?  (0) 2011.07.11
3.4 바이러스 대란, 좀비PC 치료법은 없는 것일까?  (0) 2011.03.04
"보호나라, 악성코드 치료에 특효약인가?"  (2) 2011.01.25
oinve.jpg.exe NateOn 바이러스 증상 및 치료법  (0) 2011.01.01

+ Recent posts

티스토리툴바