인터넷침해사고대응센터와 한국정보보호진흥원에서 발표한 각종 웹서버 해킹 사례입니다.

원리 및 용어가 잘 설명되어 있으니 참고하시기 바랍니다.


이 문서내용에 등장하는 웹쉘은 약간 고전적인 면이 있어 대부분의 사이트에서는 보안이 되어있지만,

혹시라도 보안이 되지 않은 사이트에 대해서는 상당히 치명적으로 작용할 수 있는 것이 웹쉘입니다.

웹쉘의 원리 파악 정도로 읽어보는 것도 좋을 것 같습니다.


국가 공공기관의 보안을 단적으로 보여주는 예가 아닐까 싶습니다.

유지관리 업체에게 지나치게 많은 권한을 주고, 관리도 소홀하다보니 일어난 사건인 것 같습니다.

기업체 처럼 유지관리시에 변경된 사항을 기재하게 하여 나중에 실제로 변경되었는지 확인하는 방법이라던가,

파일 수정시에 로그파일이 생성되도록 한다음 유지관리 업체에게는 로그파일 수정권한을 주지 않는 다는 식.

http://www.boannews.com/media/view.asp?idx=23026&kind=1

네이버 지식인을 활동하다가 간간히 눈이 띄는 "샀던 계정이 해킹당했다" 라는 질문.


저는 이러한 질문의 의구심을 갖게 되었습니다. 이러한 질문은 모두 "해킹" 카테고리에 올라온다는 것인데, 과연 이것을 크래킹으로 볼 수 있냐는 것입니다.

< 크래킹의 의미와는 조금 다른? >

하루에도 게임거래사이트에서 거래되는 물량이 어마어마 합니다. 이 중에서 계정거래 또한 많은 비율을 차지하고 있을 것입니다.

그러나 법적으로 보호받을 수 없는 것이 게임거래 입니다. 사유재산 인정이 되지 않기 때문에, 보호를 받지 못하는 것이지요.
늘어나는 계정거래에 자연스럽게 "비양심" 이 나타나게 됩니다. 아이디를 판매한, 혹은 해당 아이디의 명의자가 판매한 아이디를 회수하는 것입니다. 어쩌면 당연한 현상일지도 모릅니다. 판매자 입장에서도 분명 아이디를 찾아가는 것은 자신이 이득을 취할 수 있는 방법이기 때문입니다.

하지만 우리는 이러한 비양심을 막자는 취지에서 이 글을 포스팅 한 것이 아닙니다. 과연 위와 같은 행각을 크래킹으로 생각하는 것이 올바른 것인가 라는 주제가 우리 목표입니다. 엄연히 피의자와 피해자가 있는 다른 범죄와 다를 것이 없습니다. 단지, 법적으로 처벌이 불가능 하다는 것을 제외한다면 말이지요.

크래킹이란 ? 특정 혹은 불특정 컴퓨터의 정보를 파괴 도용 공격을 하는 행위, ( <-> 해킹 )
사기란 ?
사람을 속여 착오를 일으키게 함으로써, 일정한 의사표시나 처분행위를 하게 하는 일.


우리는 위에 2가지 용어를 정확하게 알아야 할 필요가 있습니다. 어쩌면 벌써 대충 이 글이 어떠한 방식으로 나아갈지 미리 알려주는 것이기도 합니다.

                 < 수많은 게임거래는 수많은 피해를 동반 한다 >

수많은 계정거래 피해자들이 입에 달고다니는 것이 "계정을 크래킹당했다" 라고 합니다. 그러나 계정을 구매하였어도, 대부분의 게임은 계정구매후에도 명의까지 자신것으로 이전시킬 수 없고, 여전히 그 계정의 원래 주인의 명의를 가진 계정을 플레이 해야 합니다. 여기서 주인이 찾아간다면 단순히 찾아간 것이지 구매자의 컴퓨터에 바이러스를 심었다거나 조종한 것이 아니고, 서류등 절차를 밟아 정상적으로 찾아간 것입니다.

여기서 크래킹이 아닌 단순 사기로 분류 되어야 한다는 것을 알 수 있습니다. 물론 법적으로는 자신의 명의 계정을 자기가 찾아간 것이기 때문에 절대로 위법이 되지 않지만, 크래킹으로써 인정되지도 않는 것입니다. 자신이 계정을 샀다면 이 계정은 자기것이고, 이 계정이 피해를 입으면 무조껀 크래킹이라고 분류하는 것은 무리가 있는 것입니다.


 

 

 드디어 IE9 가 선보였다고 합니다. IE 는 웹표준 안지키기로 유명했죠. .

 다른 브라우저에 비해서 욕을 많이 먹었던 부분이 웹표준이였는데,

 이번에 이러한 부분을 개선하고, 브라우징 속도를 11배나 올렸다고 합니다.

 약간 기사가 MS 측에서 요청에 의해 써진 느낌도 나지만, 어쨌든 거짓은 아니겠지요.

 http://www.bloter.net/archives/38718

이번에 새로 취약점이 발견된 것 같습니다.

클릭만으로 DLL Injection 이 되는 것 같습니다.

http://www.boannews.com/media/view.asp?idx=22834&kind=0

제가 컴퓨터를 처음 샀을 때는, IE아니면 다른 브라우저는 없었습니다. 어느 덧 크롬, 파이어폭스, 사파리등의 브라우저가 우후죽순으로 생겼고, 점차 IE의 점유율을 갉아 먹고 있습니다.

예전에는 MS측에서는 IE의 점유율이 높아, 취약한 문제에 대해서도 거만한 태도를 보였는데, 요즘에는 바짝 긴장하고 있을 듯 합니다.

속도면이나 보안면에서 심각하게 좋지않아 어느덧 점유율이 50% 이하로 추락할 듯합니다.

IE8 베타가 나온다니, 역전을 기대해 볼 수도 있겠군요.

http://www.segye.com/Articles/News/Economy/Article.asp?aid=20100909001714&ctg1=09&ctg2=00&subctg1=09&subctg2=00&cid=0101030900000


2007년도 자료라 시대와 뒤떨어지는 감이 있긴 하지만, 90% 는 아직도 유효한 내용입니다.

웹서버 구축시에 반드시 확인해 보아야 할 보안에 대한 PDF 문서입니다.
스펀지 좀비PC편이 재방송이 되면서 다시 지식인과 네이버검색이 뜨겁게 달구어 졌습니다.
이에 따라 유언비어들도 같이 만들어지는 것 같습니다. 자신의 PC를 올바르게 보호하는 것이 중요하지 않을까요

해결책 제시를 얼버무린 채 과장된 내용으로 방송해주신 덕분에, 많은 분들이 좀비PC란 용어에 대해 관심을 갖게 해주신 스펀지측에 감사드립니다. 덕분에 모든 온통 지식인이 좀비PC 질문밖에 보이지 않아요. !!

따라서 기왕 관심 갖으신거 왜곡된 정보보다는 올바른 정보로 자신의 PC를 보호하시라고 이 글을 포스팅 합니다.
( 어쩌면 수많은 좀비PC 지식글에 일일히 길게 답변하기 싫어서 간단하게 이 포스트의 링크를 남김으로써 노동력을 절약하려는 목적일지도 모르겠습니다 )

1. 정의 및 증상

좀비PC란? "크래킹 툴에 의하여 언제든지 크래커 마음대로 조종이 가능한 PC" 를 일컬어 좀비 PC라 합니다.

이전까지는 단순히 "트로이잔 걸린 PC" 로 일컬어 지다가, 7.7 DDOS 사이버대란 이후에 DDOS 에 사용된 감염PC를 좀비PC라 하게 되었습니다.

사이버대란 당시에는 DDOS 명령을 받아들이고 수행하며, 하드디스크를 논리적으로 파괴시켜 부팅이 되지 못하도록 하는 정도에 그쳤으나, 요즘 좀비툴은 개인정보유출까지 함께 병행하고, 원격제어까지 하기 때문에 피해가 더욱 커지고 있습니다.

최근에 백신들의 활약 덕분에 7.7 대란당시 이용되었던 좀비PC들은 물론이고, 이후에 감염자들도 대부분 치료가 되었습니다. 하지만 아직까지도 감염자가 있고, 새로운 변종이 나타난다는 점으로 미루어, 스펀지 처럼 "도청과 도촬" 까지는 아니지만 개인정보유출의 피해가 상당히 있습니다.



2. 해결책
< 시시각각 변하는 민감한 netstat로 좀비PC 진단을 할 수 있을까?  >

좀비PC 예방책이라 하여 지식인에 답변하시고, 블로그에 글을 게재하시는 분들 보면 90%는 netstat 를 이용하라 인 것 같습니다. 그런데 netstat는 현재 실행중인 프로그램과 컴퓨터 개개인의 환경에 따라 결과가 달라질 수 있기 때문에 그리 신빙성 있는 방법이 아닙니다.

Q1 : 8080 , 8000 포트가 잡히면 좀비PC다 ?
A1 : 7.7 사이버대란 당시 "넷봇" 이라는 DDOS 툴(좀비툴)을 이용하였습니다. 넷봇은 8080포트를 이용하여 DDOS 명령을 내리고 PC를 제어하였습니다. 하지만 이미 넷봇은 백신을 통하여 대부분 잡히게 되고, 크래커들은 다시 백신에 잡히지 않는 좀비툴을 양산해 내기 시작합니다. 크래커들은 바보가 아닙니다. 어쩌면 우리들보다 천재일지도 모릅니다.  크래커들이 바보같이 또 8080 포트를 이용하지 않습니다. 이미 많은 사람들이 8080포트에 대하여 예민하게 반응하기 때문이지요. 다른 포트를 이용하여 친숙하게 다가가는 것을 이용하는 것이 요즘의 크래킹 툴입니다. 또한, 포트는 모든 프로그램에 너그럽습니다. 정상프로그램도 해당 포트를 사용 할 수 있습니다. 실제로 8080포트를 사용하는 정상 프로그램도 많이 존재한다는 것. 포트를 통하여 좀비PC를 구분하다는 것은 말도 안되는 것입니다.


굳이 믿을 수 없는 netstat를 활용하고 싶다면, 현재 실행중인 프로그램 및 인터넷창을 모두 꺼주시고, netstat -na 명령어를 이용하여 검색된 아이피를 일일히 아이피조회해 보시기 바랍니다. 해당 아이피의 지역은 상관 없습니다. ( 어차피 지역도 인터넷 회사가 나오겠지요 ) 중요한 것은 해당 아이피의 국가 입니다. 한국이 아닌 해외아이피가 내 netstat 에 잡혔다면, 의심해 보는 것도 좋을 것 같습니다. ( 하지만 대부분 정상아이피 입니다 )

Q2 : 내 컴퓨터를 좀비PC 만든 크래커를 잡을 수 있을까요?
A2 : 이 부분을 과연 포스팅 해도 될지 걱정입니다. 논란의 여지가 있을 수 있겠군요. 저의 대답은 어렵다 입니다. 자신의 좀비PC임에 확실해지자, 이성을 잃고 크래커 잡겠다고 하는 분들이 많습니다. 하지만, 좀비PC를 시도하는 대부분의 크래커는 해외지역 ( 중국, 미국, 대만 ) 등지에서 활동하는 경우가 많고, 아이피세탁이라 하여 아이피를 계속 바꾸거나, 정상서버를 거쳐 명령을 내리는 등, 추적을 피하기 위하여 다양한 방법을 사용합니다. 사이버수사대에 고소장을 제출하여도 아이피추적 결과 해외라면 "수사종결" 되어버립니다. 대기업 혹은 나라 전체가 피해를 입을 정도가 아니면 잡을 수는 없습니다.


< 유명 게임핵이라 속여, 트로이잔 유포하는 한 카페 >

하지만, 위와 같이 한국분들이 친히 좀비툴을 유포하는 경우가 있습니다. 위 스크린샷의 카페는 게임핵이라며 상대방에게 트로이잔 다운로드를 유도하여 좀비PC를 늘리는 수법을 사용하고 있습니다.
대부분 스크립트 키드 라고하는 "법" 무서운줄 모르고 바이러스를 유포하는 초보크래커들 입니다. 만약 이러한 카페에서 다운받은 파일에서 나중에 문제가 생겨서 개인정보 유출등의 피해가 발생하였다면 사이버수사대에 신고만 하시면 빠르게 검거가 가능하니, "법" 에 대하여 제대로 가르쳐주셨으면 합니다.

Q3 : 국내에서 현존하는 백신들로 치료할 수 있을까요.
A3 : 흔히들 국내백신 하면 Ahnlab의 V3 시리즈와 이스트소프트의 알약(Alyac)과 NHN의 PC그린을 꼽을 수 있습니다. 각자 백신은 사람마다 느끼는 차이는 있지만, 자신들만의 색깔들로 장단점이 있어 무엇이 좋다고 판단할 수는 없습니다. 하지만, 최근 트로이잔의 종류중의 AV-Killer 라는것이 있습니다. AV는 AntiVirus의 준말로써 바이러스를 탐지하는.. 즉, 백신을 일컬어 부르는 말입니다. AV-Killer 류의 트로이잔은 자신을 감지하는 백신을 먹통으로 만드는 기능이 있습니다. 백신의 중요한 파일을 삭제 및 강제변경하여 백신이 실행되지 못하도록 방해하게 됩니다. 요즘은 대부분의 트로이잔에 해당 기능이 첨부되어 있습니다. ( 예로 OnlineHack 류의 게임트로이잔 ) 국내백신을 사용중인데도, 계정이 크래킹 당하는 등의 문제가 잇따르고, 백신의 실시간 감시가 자꾸 꺼지는 등의 전형적은 AV-Killer 증상이 최근에도 자주 일어남에 따라 AV-Killer 기능을 가진 좀비툴에는 국내백신이 무리가 있지 않나 생각합니다.

그러면 어떻게 하여야 할까요? netstat도 안되고, 백신으로도 치료가 어렵다면 답이 없지 않나요? 하고 물을 수 있습니다. 하지만 답은 가까운 곳에 있습니다.
국내백신이 아닌 해외백신을 사용하는 것입니다. ( 어쩌면 이 포스팅글은 국내백신 회사들로 부터 삭제요청이 빗발칠 수도 있을 것입니다. 하지만 분명 현실을 고려한 포스팅 입니다. )
AV-Killer 류의 트로이잔도 소화할 수 있고, 신종바이러스에 대해서도 업데이트가 빨라 전세계적으로 사용되어지고 있는 유명 해외백신을 이용하면 삭제가 가능합니다. ( 전세계적으로 수많은 신종바이러스 샘플이 수집되니, 업데이트가 빠를 수 밖에 없겠지요 ) 아래는 대표적인 해외무료백신 리스트 입니다. 이 중 한개를 설치하셔서 트로이잔의 사슬로 부터 벗어나시길 바랍니다.

Avast 사의 Avast Home Edtion ( http://www.avast.co.kr/ )
Avira 사의 Antivir Free 버젼 ( http://www.free-av.com/ )
AVG 사의 AVG ( http://www.avgkorea.com/ )
MIcrosoft 사의 MS Essentials ( http://www.microsoft.com/security_essentials/default.aspx ) 정품인증필요 !



OWASP 이린 웹표준화 단체이자 보안취약점 연구 기관으로써 가장 시도가 많았던 웹해킹 TOP 10 을 발표,

PDF와 시연동영상을 같이 만들어 배포하였다.

많은 도움이 되길 바랍니다. :)

동영상 보러가기 ( http://i2sec.co.kr/board/view.php?&bbs_id=community_01&page=&doc_num=11 )

+ Recent posts