페이스북의 계정정보가 변경되었다는 제목의 바이러스 메일이 발송되고 있습니다. PIF 확장자의 파일이 첨부되어 있고 이 파일을 실행 할 경우 바이러스가 감염된다고 하는데, PIF 확장자는 다소 낯선 확장자입니다. 그 만큼 설마 바이러스가 동작가능한 확장자겠어? 라는 잘못된 생각까지 떠오르네요.

윈도우 상에서는 위험 파일로 감지하고 실행 여부를 묻는 경고창이 나오지만, 이를 무시하는 사용자가 다수기 때문에 감염될 가능성이 있다고 하네요. 다행히도 백신상에서는 감지가 되고 있는 것 같습니다. 메일 내용을 읽기 위해서는 마이크로소프트의 실버라이트가 필요하다고 그림을 띄우고 이 그림을 클릭하면 실버라이트 설치파일로 위장한 PIF 바이러스 파일이 받아집니다. 

페이스북에서는 설정에 따라 자신이 활동하는 페이스북 친구들의 소식이나 새로운 댓글 소식등을 메일로 보내주게 되는데, 이러한 기능을 악용하여 사칭 바이러스 메일이 나오지 않을까 생각합니다. 

지식인을 하면서 가장 많이 접하는 질문이면서, 몇가지 보안 유언비어를 손으로 꼽자면 그 중에서 del usp10.dll lpk.dll imm32.dll /a /s 명령어를 이용한 악성코드 치료법 아닐까 싶습니다. cmd 명령어를 이용한 바이러스 치료방법 이라는 각종 유언비어들이 퍼지기 시작하면서 정확하게 알지 못해 컴퓨터 고생하는 상황이 무엇인지 새삼 느꼈습니다.

이번 포스팅에서는 이 유언비어의 문제점에 대해 조목조목 따져보겠습니다. 


< 파일이 지워지지 않는다면 강제로 삭제하라? >
 
del usp10.dll lpk.dll imm32.dll /a /s 명령어는 명령 프롬프트상에서 작동하는 명렁어로써 드라이브내의 usp10.dll 파일과 lpk.dll과 imm32.dll 을 삭제하는 명령어 입니다. 이것이 왜 악성코드 치료방법으로 부각되고 있는 것일까요?

본론으로 들어가기 전 유언비어에서 주장하는 내용에 대해 알아보자면 "컴퓨터에는 기본적으로 usp10.dll 파일과 lpk.dll 파일이 특정 갯수로만 있으며, 이 갯수보다 많게 동일 파일이 존재하면 바이러스에 감염된 것으로 볼 수 있으며, 반드시 특정 갯수 외에 usp10.dll 과 lpk.dll은 삭제해야 한다. 어차피 강제로 삭제하는 과정에서 정상파일은 액세스 거부 메세지와 함께 삭제되지 않으므로 악성파일만 삭제된다." 라는 주장입니다. 

이러한 유언비어가 시작된 발단은 게임계정정보를 전문적으로 탈취하는 OnlineGameHack 악성코드의 출현으로 해당 악성코드에 대해 여러 치료방법이 주목을 끌게 되었고, 거기서 나온 것이 OnlineGameHack 이 usp10.dll 파일과 lpk.dll 파일을 변조한다는 주장이였습니다. 실제로도 초창기 OnlineGameHack 악성코드는 마치 정상적인 시스템파일인 것으로 위장하기 위해 정상 시스템파일을 악성 파일로 변조시켰고 그 중에 usp10.dll 파일과 lpk.dll 이 포함되어 있었습니다. 

usp10.dll 과 lpk.dll은 여러 프로그램들을 구동하기 위해서 반드시 필요한 것이기 때문에 윈도우마다 기본적으로 설치가 되어 있습니다. 이런 역할을 하는 정상 시스템파일의 이름을 악성코드가 자신을 감추는데 악용을 한 것입니다. 

< usp10.dll 을 찾을 수 없어 프로그램이 실행되지 않는다는 질문 >
 
문제는 'usp10.dll 과 lpk.dll 을 감염시키는 악성코드가 있다' 라는 내용의 정보를 접한 네티즌들은 곧 'usp10.dll과 lpk.dll 은 악성코드임으로 삭제해야 한다' 라는 잘못된 결론에 도달하게 되었고, 결론적으로 삭제할 수 있는 usp10.dll과 lpk.dll 파일을 모두 삭제하는 명렁어를 배포하기 시작했습니다. 정상파일로써 이용되며 매우 중요한 파일이라는 사실은 철저히 가려졌습니다. 

실제로 처음에 보안 업계에서 제시한 올바른 치료법은. 자신의 바이러스 감염 사실이 확실하나 백신을 통해 치료할 수 없는 상황이라면 수동으로 dll파일을 제거하고 정상 dll 파일로 바꾸는 것이었습니다. 네티즌은 삭제절차 이후에 dll 파일을 정상파일로 교체해야 된다는 사실을 쏙 빼 놓고 무작정 제거만 한 것입니다. 

만약 교체 절차가 빠진다면 어떤 상태가 될까요? 수동으로 감염파일이 제거 되었으나, 정작 프로그램 실행에 필요한 정상 dll 파일 또한 없는 상태가 된 것입니다. 이 경우 당연히 시스템이나 프로그램 상에서 오류가 나타날 수 밖에 없습니다. 즉, 삭제 뿐만 아니라 정상 파일의 dll 파일로 교체해야 하여야 비로소 올바른 치료방법으로 볼 수 있다는 것입니다. 


< 포스팅 중인 내 컴퓨터에는 usp10.dll 과 lpk.dll 파일이 17개나 있네? >

 
유언비어 내에서 주장하는 dll 파일 갯수에 대해서도 문제가 있습니다. usp10.dll 이나 lpk.dll 등 수 많은 dll 파일들은 프로그램마다 필요에 의해 별도의 수정본을 만들어 프로그램 각 폴더에 따로 저장하는 경우가 비일비재 합니다. 컴퓨터 내부에는 프로그램 환경에 따라 같은 이름의 여러 갯수의 dll 파일이 존재할 수 있기 때문에 콕 찝어 몇개 이상의 dll 파일이 있으면 비정상이다! 라고 이야기하는 것은 잘못 된 주장입니다.

결정적으로 해당 dll을 악용하는 OnlineGameHack 악성코드는 별도의 usp10.dll 과 lpk.dll 을 파일을 추가로 생성하여 사용하는 것이 아니라, 기존의 usp10.dll 파일과 lpk.dll 파일을 이용하는 것이기 때문에 악성코드가 감염되었다고 해서 전체적인 usp10.dll, lpk.dll 파일 갯수는 절대로 변하지 않습니다.  


< 이미 예전(2010년)에 유행했던 바이러스임을 확인할 수 있다 >

이 유언비어의 또 다른 문제점은 악성코드가 매일매일 새롭게 변하고 있다는 것입니다. 즉, 감염되는 시스템 파일이 점차 시기에 따라 변하고 있다는 것인데, 최근에 나오는 악성코드는 기존의 usp10.dll 과 lpk.dll 이 아닌 다른 dll 파일을 감염시키고 있다는 사실을 반드시 알고 계셔야 합니다. 

이것이 왜 문제냐? 라고 생각하실 수 있습니다. 더 이상 악성코드가 usp10.dll 과 lpk.dll 을 이용하지 않게 되면서 기존의 수동 삭제방식을 이용하여 삭제해버릴 경우에 정상적인 dll 파일을 삭제해버릴 수 있다는 것입니다. 질병에 비유를 하자면, 새로운 형태의 바이러스가 감염되었으나 과거에 사용하던 약을 이용해 치료를 시도하다 몸이 망가지는 것입니다.  

특히나 바이러스에 감염이 되었는지 되지 않았는지 정확하게 알지도 못한 채로 무작정 파일을 삭제해 버리는 사용자들이 많은 것으로 볼 때 애꿎은 정상파일만 삭제하게 될 가능성이 매우 높습니다. 
 

 

netstat 포스팅 이후로 거듭 강조드리지만 되도록이면 이러한 바이러스는 백신을 이용해 치료해주십시오. 인터넷 상에 돌아다니는 각종 보안지식 중에는 허위로 작성되거나 전혀 근거가 없거나 이번 유언비어처럼 중요한 내용이 빠져있어 시스템에 치명적인 타격을 줄 수 있는 정보가 많습니다. 특히나 이번 유언비어는 시스템파일을 조작하는 만큼 단순히 프로그램 구동 불가를 넘어서 부팅 불가까지 초래할 수 있고, 실제 사례도 있다는 점을 명심하십시오. 

백신에서도 대부분의 OnlineGameHack 바이러스를 진단/치료가 가능한 만큼, 바이러스를 치료한다고 신뢰를 할 수 없는 유언비어를 듣기보다는 비교적 신뢰있는 백신 프로그램을 이용하는 것이 확실하고 안전한 바이러스 치료가 될 수 있습니다. 



 


분석 : 
YIS 동아리 팀장 이규형 호밌(ttuu44@naver.com) ( http://ris1.tistory.com/ )
YIS 동아리 팀원 박정훈 삼수맨(dkaldyfl@naver.com) ( http://blog.bpscal.com/


악성코드 소식 과 파일 제공 및 같이 밤새워 분석해주신 이규형 팀장님 감사합니다. :)
 

2012.1.20 같은 동아리 팀장 이규형 군으로 부터 신종 악성코드 소식을 듣고 파일 분석을 시작하였습니다. 

 우선 파일 아이콘 자체가 VB 으로 작성된 파일임을 금방 눈치챌 수 있죠. 추가적으로 peid 를 통해서 VB로 작성된 것임을 더욱 확실히 확인할 수 있었습니다. 처음에는 Ollydbg 를 이용해 분석하려 하였으나 디버거상의 오류로 부득이 하게 책으로만 접해보았던 IDA Pro 를 사용하게 되었습니다. 

 악성코드 증상은 파일을 실행하였을 시에 윈도우 인식이 되지 않는 문제였습니다. 실제 실행해본 결과 XP의 경우 블루스크린과 함께 재부팅시 OS 부팅 불가. 7의 경우 모든 데이터 읽기 쓰기가 작동되지 않고 컴퓨터를 정상 종료해도 종료되지 않으며 재부팅시 OS 부팅 불가 현상이 발생합니다. 

 무엇보다도 AVG를 제외한 어떠한 국내외 백신에서도 감지되지 않아, 아이콘이나 파일이름을 바꾸어 재 배포할 경우 심각한 문제가 발생할 수 있었습니다. 

 
 처음에는 엉뚱한 부분을 분석하였으나 리버싱 책을 참고하면서 특정 부분에 함수 쿼리가 몰려있으며, 어느 부분부터 함수의 시작인지 발견하게 되었고, 동시에 vba 기본 함수와는 거리가 먼 함수 테이블을 확인할 수 있었습니다. WriteBytes 라는 함수명으로 미루어 바이트를 조작하는 것을 알 수 있습니다. 


어떠한 Windows OS에도 적용되는 것을 보아서 어느 Windows OS에나 공통적으로 설치되어 있는 기능이나 OS에 구애받지 않는 기능을 이용하여 공격하고 있음을 짐작할 수 있습니다. 특히나 OffsetLow High 와 같은 함수로 미루어 볼 때 기존 바이트를 읽어오고 사용함을 알 수 있습니다. 


 함수명을 검색 중 해당 함수가 개인이 제작한 MBR 조작 함수라는 정보를 얻게 되었고 과거 DDoS 좀비파일의 자가 파괴형식이 MBR 손상이였다는 정보에 비추어 볼 때 이번 공격도 MBR을 손상 시킴으로써 피해를 발생시키는 것임을 짐작할 수 있습니다. 더군다나 MBR 부분은 특정 OS에 구애받지 않는 부분 입니다. 

 또, MBR 조작 원본 소스코드의 주석 중 '512 바이트를 그대로 옮겨놓는다.' 라는 문구는 하드디스크의 512바이트가 MBR 부분이라는 정보에 비추어 볼 때 MBR 을 사용하는 것이 확실해 보입니다. 


MBR 손상이라는 가설을 더욱 확실하게 하기 위해 MBR 보호프로그램을 가동한 채로 악성코드를 실행해 보았습니다. 악성코드는 보호프로그램에 의해 어떠한 손상작업도 할 수 없었고 결론적으로 OS는 어떠한 손상도 입지 않았습니다.

악성코드는 MBR 을 이용한다는 것이 확실하게 드러난 것입니다. 




악성코드 실행으로 손상된 컴퓨터의 MBR 영역을 보니 기존 DDoS 의 MBR 파괴당시 처럼 16비트상으로 00 의 아무 의미없는 코드로 MBR 부분이 덮어씌워졌음을 알 수 있습니다. 

현재 해당 악성코드 및 함수파일은 오래전 부터 배포되어져 왔으나 신고의 부재인 것인지 백신에서 감지하지 못하고 있습니다.
https://www.virustotal.com/file/717e8afdf58cb17108fb17dbe3ef50edafc54b803f4f2d6ae0aae49e6d50db4f/analysis/1327118871/ 

EXE 파일을 실행하는 것은 어느정도의 위험부담을 안고 가는 것이므로, 평소 실행하실 때에 다른 사용자가 있고 정상적으로 작동하고 있는 것인지 반드시 확인하셔야 하며, 블로그나 카페에 단독적으로 올려져 있는 첨부파일은 바이러스일 가능성이 높으므로 되도록이면 소프트웨어는 소프트웨어 개발사 홈페이지에서 직접 다운로드 받으시고, 핵과 관련된 파일은 사용을 자제해주시기 바랍니다. 

시도 때도 없이 바이러스가 있다며 알리는 경고문. 치료하려고 보니 월정액을 요구한다. 정작 탐지한 바이러스들은 쿠키와 같은 정말로 피해를 줄 수 있는 바이러스와는 거리가 먼 것들 입니다. 이렇게 이용자에게 피해만 주는 백신들의 숫자가 여전히도 많습니다. 특히나 오히려 줄지 않고 늘었다고 하니, 규제를 했다고는 믿겨지지 않네요.

더욱 문제인 것은 이러한 프로그램 배포자들은 법적으로 아무런 하자가 없기 때문에 소비자들이 가짜백신임을 알리는 글을 인터넷상에 올리면 명예훼손으로 강제로 삭제할 권리를 가지고 있다는 것이 문제지요. 오히려 자신들이 법을 행사하여 영업하는 이상한 상황이 벌어진 것입니다.

저도 삭제프로그램을 만들어볼까 했으나, 수 많은 가짜 백신업체들이 힘모아 법적으로 고소 들어올까 무서워 개발조차 못하고 있습니다. 법이 소비자를 보호해야지 악덕 개발자들을 보호한다니 너무 아이러니 합니다. 이번년도는 아마도 가짜백신보다는 각종 광고프로그램이 나오지 않을까 생각됩니다.

인터넷을 임의로 apk 다운받아 설치하는 방식이 아닌, 마켓에 버젓이 정식으로 유통중인 악성파일이 나왔습니다. 이제 정식 마켓이라도 필터링이 없는 이 상태가 지속된다면 100% 신뢰하기 어렵다는 것을 의미합니다. 월페이퍼 앱으로 위장하였으나, 실제로 월페이퍼 기능까지도 함께 내장되어 있어 실제 악성앱인지 판별하기 힘듭니다. 최근들어 정상적인 작동을 하면서 정보유출을 하는 앱이 부쩍 늘었죠. 

정식 마켓까지도 이렇게 악성앱이 자리잡고, 점점 교묘해지고 있는 만큼 정상앱 인지 확인이 힘들어지고 있습니다. 그러나 이번 앱은 다른 악성앱과 달리 전화, 문자를 통해 요금을 부과하는 기능이 없고, 휴대폰 ID 를 유출하는 것으로 보아서는 보안팀이나 개인이 보안 테스트 목적으로 제작한 것이 아닐까 생각됩니다. 

매일매일 시도때도 없이 올라오는 성인사이트, 도박사이트 홍보글. 이제는 지겹습니다. 하지만, 그 아이디 중에는 일반인의 아이디가 포함되어 있다면? 그만큼 하루에도 수십개의 아이디가 크래킹되고 있다고 봐도 무방할 것입니다. 

친한 나의 동료 블로그에 자극적인 배너와 홍보글로 도배되어 있는 광경을 보게 된다면? 그 동료가 사실을알게된다면 매우 당황스럽습니다. 그나마 다행인 것은 누가봐도 블로그 주인이 자발적으로 올려진 홍보글은 아님을 금방 눈치챌 수 있다는 것입니다. 

포털사이트의 계정이 크래킹 될 경우 자신의 블로그는 물론 카페 게시글, 지식인 까지 위험할 수 있습니다. 





< 위에서 부터 차례대로 지식인, 카페, 블로그에 올라온 홍보글 >


과거에는 불법 경로로 홍보아이디를 생성해서 홍보글을 올리는 것이 일반적이였으나, 이렇게 불법으로 아이디를 생성하는데 소요되는 시간과 비용이 상당합니다. 그 과정에서 발전한 수법이 바로 일반인들의 아이디를 크래킹하여 홍보아이디로 이용하는 것입니다. 

자동프로그램에 의해 빠르게 글이 올라가고 블로그가 변조되기 때문에 유저의 아이디는 순식간에 홍보아이디로 전락하게 되지만, 추후에 삭제된 게시글, 강제탈퇴된 카페, 변조된 블로그를 다시 복구하기 위해서는 일일히 모두 수정해줘야 하기 때문에 엄청난 시간이 소요됩니다. 

더욱 심각한 것은 이러한 행태를 막기 위해서라도 범인을 검거하여야 하지만, 대부분 이러한 범행이 중국과 같은 해외 등지에서 이루어지고 있고, 누가 주도한 범행인지 파악하기 힘들기 때문에 검거조차 힘듭니다. 결국 이런 악순환이 반복되는 것입니다. 

Q & A

Q1 : "나의 아이디 로그인 기록을 보면 상대방 아이피가 나오지 않나?"

A1 : 범인들은 아이피를 임대해주는 기업으로 부터 아이피를 빌린 뒤 접속하는 방법(VPN or Proxy 기법)을 이용하기 때문에, 기록상에 나온 아이피는 분명 한국아이피라 할지라도 이 아이피가 범인의 아이피라 확신할 수 없습니다. 즉 범인의 아이피가 아닐 확률이 매우 높다는 것이지요.


Q2 : "이 아이피를 임대해준 사람을 검거하면 되지 않나?"

A2 : 아이피를 임대해주는 행위는 위법행위가 아닙니다. 해외에서 한국 게임을 하기 위해, 한국 사이트를 접속하기 위해, 자신의 사생활 보호를 위해서 아이피를 임대해 사용하시는 분들이 있기 때문에 이런 서비스가 현존하는 것입니다. 범인들은 이러한 서비스를 악용한 것이지요. 임대 사업주는 전혀 책임이 없습니다.




< 정상 후기를 가장한 특정 치과 홍보 >



최근에는 각종 카페와 포털사이트 자체적 노력으로 홍보글이 빠르게 삭제되고 있습니다. 그 만큼 홍보를 하던 범인들의 입지가 많이 좁아진 것입니다. 이러한 가이드라인의 허점을 노려 요즘에는 마치 후기를 올리는 냥 간접적으로 광고를 하고 있습니다. 

이와 유사한 마케팅 행위를 바이럴 마케팅이라 하는데, 파워블로거들이 돈을 받고 후기를 올리는 행위. 최근에 많은 이슈가 되었죠. 이것이 바이럴 마케팅입니다. 마치 순수한 의도로 후기를 올리는 것처럼 위장을 하면서 간접적인 홍보효과를 보는 것이지요. 

바이럴 마케팅 전문 기업도 있을 만큼 시장이 많이 발달했습니다. 하지만 바이럴 마케팅 기업들 중에서 몇몇 기업에서 불법으로 아이디를 크래킹 한 뒤 마케팅 아이디로 이용하는 파렴치한 행위를 하고 있습니다. 바이럴 마케팅 업체에서 홍보의뢰를 받으면 해외의 전문 크래커에게 포털 사이트 크래킹 의뢰를 한 뒤, 빼낸 포털 아이디를 이용하는 것으로 보입니다. 

아직까지 이러한 행위가 계속되는 것을 보면 아마도 바이럴 마케팅 업체도, 크래커들도 모두 해외에 거주하고 있지 않을까 생각됩니다. 

예방법

저는 처음에 이런 아이디 크래킹 사건이 컴퓨터 내부의 크래킹툴이 설치가 되어 있었기 때문이 아닌가 했었습니다만, 매일매일 너무나도 많은 포털사이트 계정이 피해를 입는 것을 보면 단순히 바이러스 유출 뿐만 아니라 다른 경로로도 개인정보가 유출되고 있는 것 아닌가? 라는 의심을 품게 되었습니다. 


- 각 포털사이트의 계정의 아이디와 비밀번호는 다른 사이트에서는 절대로 사용하지 말 것
 

첫번째 원인으로는 피싱 사이트를 개설하여 회원가입인냥 위장하여 개인정보를 탈취하거나 정상 사이트의 계정정보를 빼돌린 뒤, 수집한 정보와 포털 사이트와 동일한 아이디와 비밀번호를 사용하는 사람을 찾아내어 접속 시도하는 것은 아닐까 라는 의심이 됩니다. 

실제로 이와 유사한 수법으로 회원정보를 공개한 학생이 검거된 사건이 있었기 때문에 사이트마다 계정정보를 다르게 하는 것이 굉장히 중요합니다. 


- 컴퓨터를 정기적으로 백신 검사하고, 실시간 감시가 작동되는지 항상 확인 할 것

요즘은 백신이 설치되어 있더라도 바이러스에 의해 실시간 감시가 작동되지 않거나 아예 백신 자체가 실행되지 않는 사럐가 발생하고 있습니다. 요즘 나오는 개인정보 유출관련 크래킹툴의 경우 백신을 무력화 시키는 기능이 함께 내장되어 있기 때문입니다. 

컴퓨터를 백신을 이용해 정기적으로 검사하는 것은 물론 실시간 감시가 잘 작동하는 지 반드시 확인해주셔야 합니다. 


- 시간나면 틈틈히 접속기록을 확인하기

기록 중에 아이피를 가지고 범인이 접속하였는지 여부를 판단하기는 굉장히 힘드실 겁니다. 내가 사용하는 아이피도 모르고, 더군다나 내 아이피도 불규칙적으로 바뀌며, 휴대폰 3G를 이용하여 접속하면 통신사 망을 이용하기 때문에 통신사의 아이피가 찍힐 것이고, 근처 공용 무선인터넷을 이용해 접속했다면 또 다른 아이피가 찍히기 때문입니다.

중요한 것은 자신이 접속하지 않았던, 혹은 접속할 수 없었던 시간대에 누군가 접속한 것은 없는지를 확인해보십시오. 물론 동시접속을 했을 경우에는 시간대로 구별하기 힘들지만, 동시간대 범인과 같이 접속할 가능성은 적은 만큼 시간대 확인만으로도 누군가 허락없이 접속한 것은 아닌지 확인 가능합니다.

확인 후에 의심스러운 부분이 있다면, 비록 피해를 입지 않았더라도 미리미리 계정정보를 수정해주십시오. 간혹 범인은 피해를 입히기 전 아이디 접속을 시험해보기 위해 접속시도하는 경우가 있습니다.


- 내 주민등록번호로 가입되지 않도록 가입잠금 설정하기

네이버의 경우 한 명의로 3개의 아이디를 생성할 수 있습니다. 자신이 사용하는 아이디가 피해를 입지 않았더라도 명의를 도용해 추가아이디를 생성한 뒤 홍보아이디로 이용하는 경우도 있습니다. 네이버에서는 이러한 도용행위를 방지하기 위해 추가가입을 차단하는 기능을 제공하고 있습니다. 




한국에 이어 중국도 이제 자신의 나라 중국크래커들에게 표적이 되어 가고 있습니다. 해외 뿐만 아니라 내수시장(?) 까지 공략하겠다는 중국 크래커들의 야심이 나타나고 있네요. 번호만 알아도 무단으로 회원가입에 악용할 수 있는 무시무시한 주민등록번호 같은 것이 중국에는 없기 때문에 안심입니다. 

중국과 같은 경우에는 걱정하는 것이 아이디와 비밀번호가 유출되는 것인데, 같은 비밀번호를 사용하는 사이트의 계정정보만 바꾸어도 확실한 효과를 볼 수 있으니 우리나라 처럼 유출되면 각종 피해사건이 난무하지는 않겠지요.  

재미있는 기사입니다. 분석하시는 분들 다들 헥스나 어셈블리어로 파일 열어보신 경험들 많이 있으실 껍니다. 분석에는 필수코스 중에 하나기 때문이지요. 재밌는 것은 분석하다보면 바이러스에 문구들을 새겨져 있는 것을 목격 할 수 있다는 것이지요. 

바이러스 제작자가 분석가들에게 보내는 메세지... 사용자들은 알 수 없지만, 분석가들만이 볼 수 있기에 메시지 전달능력은 확실한 것 같습니다. 기사내용상에는 시만텍에 보내는 긴 장문의 메세지가 바이러스에 새겨져 있는 것이 예로 나왔는데 재밌네요. :)

전파력 강한 Parite 웜에서도 루마니아어로 욕이 적혀있기도 했죠. 바이러스 제작도 분석 만큼이나 힘드니, 서로 힘든 상황을 대변하는 이색적인 상황

결국 네이트 사건과 비슷한 수순을 밟는 것 같습니다. 네이트 사건도 결국 알 시리즈의 업데이트 서버를 통하여 악성코드가 관리자 PC에 삽입. 관리자의 접속 권한을 획득하여 유출이 발생한 것인데, 넥슨 역시나 데이터를 저장해두는 백업서버 상에 백도어가 설치되었고 이것이 이용되었다는 기사입니다. 

비슷한 규모, 비슷한 수순. 이러한 비슷한 유출사건이 계속 발생하는 이유는 무엇일까요? 분명 넥슨측에서도 네이트 사건 당시 보안에 한번이라도 눈여겨 보았을 것인데, 결국 막지 못한 이유는 무엇일까요? 이 사건이 어떻게 마무리 될지 기대됩니다.

  수 많은 이용자를 보유한 넥슨의 메이플스토리. 그 만큼 크래커에 표적이 되기 쉬웠고, 비례해서 각종 계정 크래킹 사건이 증가하였습니다. 여태까지는 개인의 부주의로 인해 바이러스가 컴퓨터 내부에 침입하면서 계정정보가 유출되는 경우가 많았습니다. 

최근에 새롭게 나오고 있는 악성코드의 대부분이 게임계정 정보를 탈취하는 OnlineGameHack 류 였던 것을 보자면, 분명히 메이플스토리 게임 자체가 크나큰 돈벌이 수단으로 이용되고 있음을 가늠 해볼 수 있습니다.


1. 11월 18일 : 개인정보 유출 발생

 
  메이플스토리 에서는 접속자 기록인 로그 검사를 7일마다 있는 매 정기점검때 마다 합니다. 해킹 발생 전 마지막 정기점검은 17일. 즉, 정기점검 하루 뒤에 정보유출이 발생하였고, 결국 다음 정기점검인 24일 까지는 피해 사실을 전혀 알 수 없었습니다. 아마도 범인은 이러한 점을 노린 것이 아닐까 생각합니다.

정기점검 허점을 노려 6일간 시간을 벌 수 있었습니다. 넥슨은 18일 당일에는 로그 검사를 실시하지 않기 때문에 전혀 눈치채지 못하였습니다. 


2. 11월 24일 : 넥슨측에서 유출사실 인지


  24일차 정기점검 때 18일날 유출사실을 알아챈 넥슨은 정확한 유출 경로 및 피해규모 파악과 신고를 위한 증거자료 수집을 하기 위해 모든 로그를 검사합니다. 1322만명의 암호화된 주민등록번호와 비밀번호 그리고 아이디가 유출되었음을 파악함.

 

3. 11월 25일 : 회원 공지 및 경찰 신고



<25일, 유출사실을 이용자에게 공지함>


  수집한 증거자료와 함께 경찰에 신고하는 한편, 피해사실에 대한 사실을 이용자에게 공지합니다. 이와 동시에 언론사에서는 피해사실을 기사화 하기 시작하였습니다. 동시에 이용자들은 회사의 책임에 대한 비난과 질책이 줄을 이뤘고 피해 이용자들을 모아 사태 논의를 위한 카페를 개설하기 시작합니다. 

넥슨측에서는 중국발 크래킹은 아니라고 결론냈고, 비밀번호와 주민등록번호는 암호화 되어 안전하다고 주장합니다. 이번 사건을 맡은 방통위는 내부 공모자가 있는지, 혹은 내부 PC의 악성코드에 발생한 것인지 모든 가능성을 두고 검토한다고 발표합니다. 


4. 11월 26일 : 개인정보 유출확인 페이지 공개, 수사결과 일부 공개



< 나도 당했네? 즉시 확인가능 >

  넥슨측에서는 피해사실을 인지할 수 있도록 개인정보 유출확인 페이지를 공개하고, 메이플스토리 비밀번호 변경을 포함한 타 사이트의 개인정보 변경을 권고합니다. 수사과정에서 서버의 백도어 2종이 사용되었음을 잠정 확인하였습니다.



 

+ Recent posts