10대 청소년들의 사이버 공격이 문제가 되고 있습니다. 인터넷 상에 각종 사이버 범죄를 쉽게 접할 수 있는 환경이 조성되다보니 이러한 범죄행위를 접하는 나이대가 점점 줄고 있고 문제는 죄의식 없이 자신이 기분이 나쁘다는 이유로 공격을 행하는 경우가 생기고 있다는 것입니다. 


특히나 인터넷 상에 돌아다니는 각종 해킹툴은 사용법이 간단한데 비해 위험성은 매우 크다보니, 그 만큼 툴을 가지고 공격을 행하는 청소년들이 굉장히 증가하고 있는 것입니다. 중학생 2명이 이러한 범죄에 가담했다는 것에 소름이 끼칩니다. 


IT기술 뿐만 아니라 윤리의식 또한 발전해야 한다는 것을 절실히 보여주는 예입니다. 


http://mcaf.ee/4wbjn

이미 예상했던 예견되었던 부분이 아닌가 싶습니다. 디아블로3의 인기는 국내는 물론 세계적으로 엄청난 인기를 얻었고, 이러한 상황을 크래커가 가만히 보고 있을 수는 없을 것입니다. 특히나 디아블로3 플레이 과정에서 조금더 빨리 게임을 진행하고 레벨을 올리고자 핵 프로그램을 구한다는 사실은 누구나 다 아는 사실입니다. 


이번에 발견된 악성코드는 단순히 디아블로를 넘어서 타 게임/포털사이트 계정 정보까지도 유출하는 기능을 가지고 있기 때문에 단순 게임계정 뿐만아니라 이용하는 사이트/게임 모두에게서 피해가 발생할 수 있습니다. 


바이러스가 백신에 의해 감지되기 이전에 이미 수많은 다운로드가 이루어졌고, 그에 따른 피해가 발생했으리라 생각합니다. 평소에 파일을 다운 받을 때 조심해질 필요가 있습니다. 특히나 게임핵의 경우 정상적인 기능을 하더라도 악성코드를 같이 심어놓는 경우가 있기 때문에 겉으로 감염 사실을 알아채기 힘듭니다. 


http://mcaf.ee/h3z7t

최근에 나타나는 인터넷 피싱은 은행홈페이지와 매우 유사한 홈페이지를 제작한 뒤 마치 현재 사용자가 가지고 있는 계좌의 보안을 향상시켜야 한다며, 해당 피싱사이트를 접속하도록 유도하는 문자를 전송하고 있습니다. 


실제 이 피싱사이트에 접속하면 각종 계좌정보(보안카드 정보, 비밀번호)를 묻는 페이지가 나타납니다. 자신의 계좌정보를 입력할 경우 해당 정보가 외부로 유출되며 계좌내의 돈이 인출됨은 물론, 해당 명의로 대출 등등 각종 금전적 피해가 발생할 수 있습니다. 


이 피싱사이트의 특징을 알아보고, 페이지를 세부적으로 뜯어보겠습니다. (예시로 www.kbhsg.net 를 이용했습니다.)


< KB국민은행 공식사이트 메인화면 >


< KB국민은행 피싱사이트 메인화면 >


공식사이트와 피싱사이트의 차이를 보면, 실제 보안강화 서비스 신청하기 라는 팝업 외에는 전혀 차이가 없다는 것을 알 수 있습니다. 피싱사이트의 메뉴, 공지등등 모두 공식홈페이지와 연결되어 있어 모두 정상적으로 작동하고 있습니다. 제작자가 원하는 것은 팝업창 내의 보안강화 서비스 신청하기 라는 버튼을 클릭하는 것 입니다.



< 보안프로그램 가짜 로딩 창 >


< 가짜 로딩 페이지 내의 소스 >


버튼을 클릭하니 index.html 으로 넘어갑니다. 이 페이지에서는 마치 보안프로그램이 작동하기 위해 로딩이 되고있는 듯한 가짜 로딩페이지입니다. 과거 은행피싱사이트와는 다른 점이 있다면, 이 처럼 보안프로그램이 마치 존재하는 신뢰있는 이미지를 심어주기 위한 페이지가 추가적으로 삽입되었습니다. (로딩이미지 : img/progress_sec.swf)


페이지 내의 소스를 보니 중국어로 주석이 달려있는 것을 볼 수 있습니다. 중국에서 소스가 제작되었다는 것을 의심해볼 수 있습니다. 또한 로딩페이지 이후에 다른 페이지로 넘어가는 소스가 존재합니다만, 크롬에서는 정상적으로 작동하지 않아 계속해서 로딩만 계속되는 증상이 나타났습니다. 

(iframe 형식의 페이지 이동 : <iframe id="demo" src="main.aspx" width="100%" height="1800px" frameborder="0" scrolling="no" marginheight="0"></iframe>)


그리고, 실제로 보안프로그램이 설치되지 않았음에도 어떠한 설치과정도 존재하지 않으며, 보안프로그램을 실행하는 소스 조차 없습니다. 즉, 단순히 사용자를 속이기 위한 페이지라는 것을 알 수 있으며, 소스에 중국어를 남길 정도로 페이지가 매우 조잡하게 제작되었음을 알 수 있습니다. 



< 보안정보를 입력하는 페이지 >


로딩페이지가 잠깐 나타나고 약 30초 후 main.aspx 로 페이지가 이동했습니다. 이 페이지가 피싱사이트의 가장 핵심되는 페이지 입니다. 뒷 배경은 KB국민은행의 보안서비스를 관리하는 페이지로써 마치 정상적인 보안강화서비스 인 것 처럼 꾸며놓았습니다. 그리고 페이지 중앙에는 개인정보와 보안카드, 계좌정보를 입력하는 페이지가 나타나며, 실제 보안승급과는 다르게 무리한 개인정보를 입력하도로 하고 있습니다.

(입력 값 체크 : js/check.js, 주민등록번호 유효성 검사 및 기타 데이터 전송 : js/function_utill.js)



가짜 정보를 입력하더라도 어떠한 에러가 나타나지 않기 때문에 가짜 페이지임을 알 수 없습니다. 또한, KB국민은행에서는 플래시메뉴의 링크를 상대주소로 제작하였기 때문에 실제 서브메뉴가 전혀 작동하지 않음을 알 수 있습니다. 


 < 주소 https:// 를 확인하라! >

무엇보다 KB국민은행에서는 현재 피싱사이트를 구별하는 방법으로 사이트 주소의 시작이 https:// 인지 확인해 볼 것을 권고하고 있습니다. https:// 는 기존의 http:// 과 달리 정보가 암호화 전송되고 있음을 의미하며, 인증된 사이트에 한해서만 사용이 가능한 것이기 때문에 피싱사이트에서는 함부로 구현할 수 없는 방식입니다. 


과거에는 홈페이지 접속 시 시작페이지 부터 보안프로그램이 실행되는지 여부를 통해 피싱사이트를 구별하였지만, 최근에는 크롬/파이어폭스 와 같은 보안프로그램이 자동으로 설치되기 어려운 환경의 브라우저 이용자수가 증가함에 따라 공식사이트에서도 이용자를 보호하기 위해 보안프로그램을 설치해야 접속할 수 있는 페이지를 줄여나가고 있습니다. 즉, 보안프로그램 실행여부로 피싱사이트를 구별하기 어려워 졌다는 것입니다.


이러한 범죄가 끊임없이 발생하고 있다는 것은 그만큼 피해가 꾸준히 발생하고 있다는 의미이기도 합니다. 보이스피싱과 비교해보면 많은 인력이 필요하지 않고, 항상 상주해 있을 필요가 없으니 그만큼 범죄자들에게는 인터넷 피싱이 매력적으로 보일 수 밖에 없습니다. 


너무나 많은 개인정보를 요구할 경우 한번 쯤 의심해보시기 바랍니다.

기업내에서 보안을 책임지고 있는 보안전문가. 만약 보안에 관련된 사건이 터지면 징계를 먹고 책임지고 떠나는 것이 보안전문가 입니다. 문제는 이 보안전문가들이 모든 책임을 다 지고 떠나는 것에 대해 합당하냐는 문제를 다룬 기사입니다. 


보안은 완벽할 수 없는 만큼, 추후에 얼마든지 보안피해가 나타날 수 있습니다. 전문가가 보안관제에 소홀하였거나, 고의적으로 피해를 발생시킨 것이 아닌 부분임에도 처벌을 계속 가한다면, 정작 유능한 인재들이 처벌이 두려워 보안시장에 뛰어들지 못하는 현상이 발생할 수 있음을 시사하고 있습니다. 


언제 짤릴지, 순식간에 보안 소홀로 범법자가 될지 모르는 보안 전문가 자리를 원하는 사람이 누가 있을까요? 이번에 넥슨 유출사건으로 전문가들까지 처벌을 받는 것에 대해서 부당하다는 의견이 있습니다. 


기업에서 보안에 투자를 하지 않는 부분에 대해서 경영진들과 고위급 까지도 처벌을 받아야 하지 않을까요? 열악한 지원과 환경에서 100% 보안을 바란다는 것 자체가 모순입니다. 


http://mcaf.ee/s0l2d

인터넷에서 흔히 구할 수 있는 디도스 프로그램을 이용해 공격을 했었던 몇몇 철 없는 학생들이 검거가 되는 사례는 많았습니다. 하지만, 이번 기사내용상으로는 직접 자신이 디도스 공격 프로그램을 개발하였고, 개발된 프로그램의 성능이 기존에 공개되어있는 디도스프로그램의 성능보다 훨씬 우월하다고 표현하고 있습니다. 


같은 사건을 다룬 다른 기사를 통해 보니 이 학생들은 학원을 통해서 언어를 배웠다고 하는데, 배운 부분을 응용하는 능력이 상당했던 것으로 보입니다. 이러한 실력을 해킹프로그램을 개발하여 악용하는데 쓰여졌다는 것이 안타깝기만 합니다. 


자신의 기분에 거슬리면 채팅하던 다른 사람을 공격하고, 심지허 수사과정에서 테스트를 위해 울산경찰청에 설치하였던 파일에 의해 경찰청 서버까지도 공격을 받은 것은 물론이고,

인터넷 업체를 공격하여 일부 사이트의 접속을 방해까지 하였습니다. 


한편으로는 경찰에서 이 프로그램이 200만원 어치가 블랙마켓상으로 이미 판매되고, 블로그와 카페상에 공개된지 한참되어서 수사가 진행되었다는 점이 아쉽습니다. 기존까지 좀비PC 였던 사용자들은 개인정보 유출과 같은 2차 피해에 대한 해결책도 제시된 것이 없습니다. 


http://mcaf.ee/twlc6


유출된 신용카드 정보를 전문적으로 판매하던 사이트가 드디어 폐쇄되었다는 소식입니다. 처음으로 신용카드 정보 판매사이트가 나왔다고 신문을 몇 년 전에 본 것 같은데 이제야 폐쇄및 검거가 되고 있습니다. 세계 각지에 서버를 두고 있다보니 나라간의 경찰 공조가 힘들었던 것으로 보입니다. 


크래킹한 신용카드 정보를 내부 잔액에 맞춰서 금액을 책정 판매하였는데, 신용카드의 잔액 보다는 싸게 판매되고 있기 때문에 구매하자마자 신용카드 내부의 모든 잔액을 인출하면 본전 금액은 찾는 것은 물로 +@ 까지 가능합니다. 이 때문에 대량 구매자도 생기게 되었고, 결국 이 대량 구매자까지도 검거가 되고 있습니다. 


정작 피해자들은 유출사실도 모르고 당하는 경우가 많다고 하는데, 그 만큼 결제시스템이나 신용카드 정보를 다루는 사이트의 보안에서 허술한 부분도 많이 있다는 것이지요. 


http://mcaf.ee/r4a9v

다수의 인터넷 강의 사이트에서 사용중인 A사의 플레이어에서 취약점이 발견되어 자신이 구입하지 않은 동영상도 모두 다운로드가 가능하다는 기사 내용입니다. 보안에 대해서 아예 신경쓰지 않은 것은 아니지만 보안 수준이 매우 취약하여 불법으로 접근하는 것 조차도 체크하지 않고, 체크섬 조차도 알고리즘이 매우 쉽게 설계되어 있다고 합니다. 


하나의 업체가 아닌 다수의 업체에서 같은 플레이어를 사용있다고 하니, 플레이어 제작업체에서는 반드시 보안에 관련된 패치가 시행되어야 합니다. 처음 취약점을 발견한 사람은 다름아닌 해당 인터넷 강의 수강자였으며, 다른 컴퓨터에서 강의를 볼 수 없자 아예 파일을 다운로드 받아 볼 생각에 취약점을 연구하였다고 합니다. 물론 인터넷 강의를 듣는 사용자 중에 이렇게 취약점을 파고들 사용자는 얼마 없겠지만, 


다수가 소수 때문에 억울해야 하는 경우는 없어져야 합니다. 그래도 취약점을 악용하지 않고 바로 신고한 이호준씨의 마인드가 아름답네요


http://mcaf.ee/w9mle

프로그램마다 실행시 필요한 DLL 파일들을 불러오는 과정에서 찾는 파일이 특정 디렉토리에 없을 경우 다른 디렉토리까지 검색하여 같은 이름의 dll 파일을 불러들이는 기능을 이용하여 DLL 하이재킹을 시도하는 방식입니다. 


악성 dll 을 이름만 같게하여 프로그램에서 자동으로 불러들이도록 하는 것인데, 문제는 악성dll 파일이 굳히 로컬내의 위치하지 않더라도 다른 컴퓨터의 공유폴더에만 해당 파일이 있어도 되기 때문에, 같은 랜상에 위치하거나 VPN 등을 사용할 경우 굉장히 위험할 수 있습니다. 



윈도우 환경에서 애플리케이션의 dll 하이재.pdf


요즘 트위터를 통해 바이러스 유포가 활발히 이루어지고 있습니다. 단축URL 은 본래 연결되는 사이트의 주소를 알기 어렵다는 것을 이용하여 피싱이나 바이러스 유포로 자주 이용되곤 합니다. 지금도 페이스북에 자신도 모르게 악성코드 파일을 받을 수 있는 URL 이 포함된 글이 올라가도록 하는 바이러스가 유포중이죠. 

연결되는 사이트를 알기 어렵기 때문에 평소에 백신의 실시간 감시 상태를 반드시 확인하셔서 미리미리 악성파일을 차단해주셔야 합니다. 또한 갑자기 평소와 다르게 영어를 사용한다거나 평소에는 점잖던 팔로워가 갑자기 URL 접속을 권하는 메세지를 트위터상에 올린다면  한번쯤 의심해보셔야 합니다. 

페이스북의 계정정보가 변경되었다는 제목의 바이러스 메일이 발송되고 있습니다. PIF 확장자의 파일이 첨부되어 있고 이 파일을 실행 할 경우 바이러스가 감염된다고 하는데, PIF 확장자는 다소 낯선 확장자입니다. 그 만큼 설마 바이러스가 동작가능한 확장자겠어? 라는 잘못된 생각까지 떠오르네요.

윈도우 상에서는 위험 파일로 감지하고 실행 여부를 묻는 경고창이 나오지만, 이를 무시하는 사용자가 다수기 때문에 감염될 가능성이 있다고 하네요. 다행히도 백신상에서는 감지가 되고 있는 것 같습니다. 메일 내용을 읽기 위해서는 마이크로소프트의 실버라이트가 필요하다고 그림을 띄우고 이 그림을 클릭하면 실버라이트 설치파일로 위장한 PIF 바이러스 파일이 받아집니다. 

페이스북에서는 설정에 따라 자신이 활동하는 페이스북 친구들의 소식이나 새로운 댓글 소식등을 메일로 보내주게 되는데, 이러한 기능을 악용하여 사칭 바이러스 메일이 나오지 않을까 생각합니다. 

+ Recent posts