유클린 뉴스

2회해피~투게더, 디지털 세상
목록

제2의 사이버 대란 전운 감돈다

제로데이 웜 국내 상륙 비상...중국발 해킹과의 결합땐 '최악'

성연광 기자  |  2006.01.04 15:35
제로데이 웜 국내 상륙 비상...중국발 해킹과의 결합땐 '최악'
`수천여개의 국내 웹사이트들이 연이어 해킹을 당해 접속자들을 대상으로 악성코드가 무차별적으로 유포된다면?'

지난 5월부터 국내에서 피해가 속출하고 있는 '중국발 해킹수법'을 떠올리게 된다.
그러나 중국발 해킹의 경우, 최신 보안패치가 제대로 이루어진 PC사용자들에게는 기본적으로 피해가 발생하지 않는다. 또 웹사이트 관리자들이 조금만 신경쓰면 자신의 사이트에서 악성코드가 유포되는지 여부를 쉽게 알 수 있었다.

그렇다면 `공격자가 웹사이트를 해킹한 뒤 메인 화면의 이미지파일(*.jpg, *.gif) 중 하나로 위장한 악성 WMF파일(일명; 제로데이 웜)을 숨겨놓는다면?'

이 경우, 보안패치 여부와 상관없이 피해 사이트에 접속한 모든 PC사용자들은 악성 WMF파일의 공격을 받아 자기 PC의 시스템 권한을 장악당하는 해킹 프로그램이나 스파이웨어에 감염된다.

이 과정에서 PC 사용자는 전혀 피해사실을 알 수 없는 것은 물론이다. 심지어 웹사이트 관리자들도 해킹피해 여부를 즉각 찾아내거나 보안조치하는 것이 쉽지않다.

기존 중국발 해킹에 주로 사용됐던 웹 악성코드 유포수법과 현재 한국에 상륙한 제로데이 공격 취약점(악성 WMF파일)이 결합된 최악의 상황을 가정한 것이다. 이 경우, 지난 2003년 `1.25대란'을 넘어서는 초대형 사이버 대란이 발생하게 될 것이라는 게 보안 전문가들의 우려다.

image

◆제로데이 웜 국내 상륙=

3, 4일 2곳의 국내 서버가 연이어 해킹돼, 제로데이 웜을 직접 유포하거나 이 웜이 첨부된 스팸메일 경유지로 악용됐다. 지난달 28일부터 미국, 유럽의 보안업계를 긴장시켰던 제로데이 취약점 공격이 급기야 국내에까지 상륙한 것이다.

이번에 국내에 유포된 악성WMF파일은 초기 해외 피해 사이트에서 발견됐던 스파이웨어 유포용 프로그램이 아니라 사용자 PC를 완전 장악할 수 있는 백도어 프로그램이라는 점에서 훨씬 더 위협적이다.

지난 연말 제로데이 웜으로 첫 보고된 악성 WMF 파일은 마이크로소프트(MS) 윈도 그래픽 처리엔진이 악의적으로 제작된 WMF(일종의 그림파일)파일을 처리할 때 악성코드가 자동 실행될 수 있는 취약점 공격코드로, 취약점이 보고된 지 24시간도 지나지 않은 상황에서 공격이 시작돼 전세계 보안업계를 긴장시켰다.

문제는 이같은 악성 WMF파일로 인한 피해를 근본차단하기 위한 보안패치가 아직까지 발표되지 않은데다, 윈도98, 2000, XP, 서버2003 등 대부분의 윈도 사용자들이 이같은 취약점에 그대로 노출돼 있다는 것.

제로데이 공격이 삽시간에 확산되자, 4일 마이크로소프트가 관련 보안패치가 일정을 앞당겨 내주쯤 내놓는다고 발표했지만, 실제 전 PC사용자에게 보안패치가 완료되려면 상당한 시일이 걸릴 것으로 예상된다.

이에 따라 이같은 공격이 재발되거나 확산될 경우, 국내 PC사용자들은 속수무책으로 당할 수 밖에 없는 상황에 직면할 가능성이 크다.

◆중국발해킹+제로데이 공격 결합 가능성 높아=

보안 전문가들이 가장 우려하는 사태는 웹 취약점을 이용해 다수의 웹사이트를 해킹한 뒤 악성코드를 유포하는 기존 중국발 해킹과 같은 웹 악성코드 유포수법과 제로데이 공격이 결합되는 시나리오다.

지난해 5월 이미 국내 대형 포털들을 포함해 무려 2000여개가 넘는 웹사이트들이 해킹당해 악성코드 유포지 혹은 숙주 사이트로 악용당했다. 그럼에도 사태의 심각성을 간과한 정부와 웹사이트 운영자들의 안이한 대처로 국내 웹사이트 보안 수준은 좀처럼 나아지지 않았다.

이대로라면 국내 웹사이트를 해킹한 뒤 기존 온라인게임계정 탈취용 트로이목마 대신 제로데이 취약점을 악용한 악성코드를 유포시키는 것은 식은 죽 먹기라는 게 보안 전문가들의 지적이다.

이미 중국내 해커그룹 사이에 악성 WMF파일 변종을 쉽게 제작할 수 있는 제작 프로그램까지 공유되고 있는 것으로 알려졌다.

보안 전문가들은 만약 중대형 사이트를 포함한 다수의 웹사이트들이 해킹을 당해 악성WMF파일이 유포되기 시작할 경우, 수백만대의 국내 PC들이 일시에 백도어로 인한 정보유출이나 스파이웨어, 바이러스 등의 피해가 발생할 수 있다고 우려하고 있다.

웹사이트 접속하는 순간 곧바로 사용자 PC에 악성파일에 감염될 수 있기 때문이다.

한 보안 전문가는 "이미 이와 유사한 방식으로 악성 WMF파일이 유포됐다는 것은 그동안 우려해왔던 제로데이 공격이 국내에서도 본격화될 수 있음을 알리는 신호탄으로 해석된다"며 "보안패치가 완료될 때까지 자칫 이같은 공격이 본격 감행될 경우, 초유의 사이버 대란도 발생할 수도 있다"고 경고했다.

한편, 제로데이 공격이란 시스템의 취약점이 발견된 뒤 이를 막을 수 있는 보안 패치가 발표되기도 전에, 그 취약점을 이용해 웜이나 해킹공격을 감행하는 수법이다. 이 경우, 별도의 대처방안이 없게 돼, 가공할만한 피해를 발생할 수 있다는 점에서 전세계 보안 전문가들이 가장 우려해왔던 공격방식이다.

관련기사 1☞제로데이 공격 국내상륙...보안당국 초긴장

관련기사 2☞제로데이 공격 국내유포는 중국해커 소행?