HAURI

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

기업 정보 유출 유형 및 사례 분석(4)
등록일 :
2005.01.10
Ⅳ. 기업 정보 유출 유형


2.2 바이러스/웜

바이러스/웜을 통해 해킹을 하고자 하는 해커는 특별히 해킹하고자 하는 특정 시스템이 존재하지 않는 경우가 많다. 즉, 해커는 불특정 다수를 대상으로 해킹을 하여 기업 또는 개인의 정보를 유출하려고 하는 경우 바이러스/웜을 활용하게 된다.




2.2.1 Bot을 이용한 공격

Bot(봇)은 "로봇"의 준말로, 사용자나 다른 프로그램 또는 사람의 행동을 흉내 내는 대리자로 동작하는 프로그램을 의미한다. 인터넷상에서 가장 보편적으로 존재하는 봇들은 '스파이더', '크로울러'라고 불리는 프로그램들로써, 웹사이트를 주기적으로 방문하여 검색엔진의 색인을 위한 콘텐츠를 모아오는 일을 한다.[11]

하지만, 최근 이 Bot의 기능을 이용해 불특정 시스템의 보안 취약점을 분석하고 분석된 결과를 통해 시스템에 침투하여 해커에서 관리자 권한을 전달하는 역활을 한다.

가장 대표적인 Bot으로 IRC Bot을 예로 들수 있다. IRC(Internet Relay Chatting)는 일종의 채팅 서비스이며 대화를 위해서는 IRC 서버에 접속해야 한다. IRC 서버에 접속하는 프로그램은 IRC 클라이언트라 부르며 윈도우에서는 mIRC가 가장 널리 사용된다. 보통 IRC 클라이언트에는 스크립트를 처리할 수 있는 기능이 있고 mIRC 클라이언트에도 막강한 스크립트 기능을 포함하고 있다. 악성 IRC Bot에 감염된 시스템은 보통 이름이 변경되거나 실행 압축된 mIRC 클라이언트가 설치되며, 윈도우 시작 시 자동으로 실행되어 사용자들에게 들키지 않고 실행 중인 프로세스를 숨기는 프로그램 등으로 자신을 숨긴 후 사용자 모르게 IRC 서버의 특정 방(채널)에 접속한다.

이후 [그림1]과 같이 해당방(채널)에 접속한 시스템들은 운영자(해커)가 내리는 다양한 명령어에 의해 IRC Bot들은 동작하게 된다. 이들 명령어 중에는 시스템의 정보를 획득하는가 하면, 중요 문서들을 유출할 수 있다.





[그림 1. IRC Bot의 명령어 전달]



물론 IRC Bot들은 바이러스/웜으로 간주되기 때문에 Anti-Virus 프로그램들에 의해 진단되고 치료되어지게 된다. 하지만, 해커는 IRC 서버의 특정방(채널)에 접속한 시스템은 Anti-Virus 프로그램이 실행되지 않은 시스템을 생각할 수 있고 그 방(채널)에 접속한 시스템의 숫자가 급격히 줄어들게 되면 Anti-Virus 프로그램에 의해 자신이 배포한 IRC Bot이 진단/치료 된다고 간주하여 새롭게 설계한 IRC Bot 변종을 다시 감염된 시스템에게 업그레이드 하도록 명령을 내리고 다시 IRC Bot은 감염되지 않은 시스템을 다시 찾아내어 감염시켜 IRC 서버의 특정방(채널)에 접속하게 하여 해커에게 정보 유출의 발판을 마련하게 한다. 따라서 최근 IRC Bot의 변종이 많이 등장하는 것도 이 때문이다.


IRC Bot이 가지는 주요 기능은 다음과 같다.[12]

  • 특정한 IRC 서버 및 채널로 재 접속

  • 트로이 목마가 설치된 시스템의 IP 대역의 회선속도 확인

  • 트로이 목마가 설치된 시스템의 트로이 목마 환경 재설정

  • 트로이 목마가 설치된 시스템을 찾기 위해 임의의 IP 대역을 스캔

  • 트로이 목마가 설치된 시스템의 트로이 목마의 버전확인

  • 트로이 목마가 설치된 시스템의 프로세스 중지 및 삭제

  • 트로이 목마가 설치된 시스템의 정보(H/W, S/W) 확인

  • 트로이 목마가 설치된 시스템에서 rconnect.exe 프로그램을 이용하여 FTP 서버 기능 on/off

  • 트로이 목마가 설치된 시스템에서 mIRC Web 서버 추가(Add-on) 기능을 이용하여 Web 서버기능 on/off

  • 트로이 목마가 설치된 시스템의 파일복사기능 또는 Dropper 파일 복사, 삭제기능

  • 트로이 목마가 설치된 시스템들을 이용하여 DDoS 또는 ICMP 패킷 공격기능

  • 트로이 목마가 설치된 시스템에서 다른 버전의 트로이 목마를 다운 받을 수 있는 기능

  • 트로이 목마가 설치된 시스템의 임의의 포트 Open/Closed 기능

  • 트로이 목마가 설치된 시스템에서 자신을 삭제하는 기능

    그 외 mIRC 기본적인 기능들..




    2.2.2 P2P를 활용한 공유 공격

    초기에 P2P 서비스는 단순하게 음악 파일(주로 MP3)이나 동영상, 그림 파일 등을 주고 받는 데 사용되었지만, 최근 들어 실행 파일뿐만 아니라 모든 파일을 공유할 수 있는 방식으로 발전하고 있다. 이는 자신이 원하지 않는 파일이 공유되거나 다른 사람에게 받는 파일의 안전성이 떨어질 수 있다는 것을 의미한다.

    실제로 P2P가 실행 파일을 포함한 모든 파일에 대한 공유가 가능해짐으로써, P2P 프로그램의 설정을 변경해 C드라이브 전체나 기밀문서 폴더 등이 공유될 수 있으며, 이는 곧바로 사용자가 원하지 않는 정보의 외부 유출로 이어질 수 있다.

    악성코드가 많이 퍼지는 메일의 경우 많은 메일 서비스에서 메일을 백신으로 안전성을 검사해주지만 P2P는 이러한 부분이 모두 개인에 맡겨지므로 사용자 부주의에 의한 악성 코드 공유가 문제시 되는 것이다. 다행히 메일에 비해 아직 사용자 수가 적고 단시간에 악성코드가 전파되는 경우는 없어 피해는 적은 편이다.

    하지만, 앞으로 P2P 서비스가 더욱 대중화되고 사용자 수가 늘어난다면 문제가 커질 수 있다. 특히 최근 발견되고 있는 웜은 메일, 공유 폴더, 메신저에 이어 P2P 서비스를 자신의 전파에 활용하고 있는 추세이기 때문에 P2P 서비스에 대한 안전 문제를 더 이상 간과할 수 없는 것이다.[13]

    국내에서 많이 사용하는 P2P프로그램은 "소리바다", "구루구루", "당나귀"등을 들 수 있다.





    [그림 2. IP2P 프로그램으로 검색한 화면]



    [그림2]는 P2P 프로그램으로 xls 문서를 검색해본 화면이다. [그림2]에 표시한 것은 기업의 정보가 담겨있는 문서로 추측되는 것을 표시한 것이다. 검색된 xls 파일명은 다음과 같다.
  • 고객 정보 현황(전체)9157.xls

  • 생산, 영업 관리 업무 계획서.xls

  • 직원 정보.xls

  • 메인 거래처 명단.xls



    바이러스/웜은 실행되면 시스템에서 사용하고 있는 P2P 프로그램을 검색하고 P2P 프로그램이 공유하는 폴더에 바이러스/웜을 복사하여 누구나 접근할 만한 파일명으로 변환한여 다른 사용자로 하여금 다운로드 받게 한다. 다음은 P2P 프로그램을 이용하여 확산되는 Worm.Win32.Doep 가 사용하는 파일명의 일부이다.

  • Starcraft BroodWar LAST Official Patch.zip

  • Diablo KeyGen.zip

  • The Sims 2 Full Downloader.zip

  • Baldurs Gate 2 KeyGen.zip

    … 생략 …



    물론 현재까지 P2P를 활용하여 정보의 유출을 하는 바이러스/웜의 예를 아직 보고된 바 없다. 하지만, P2P 프로그램이 가지고 있는 공유의 범위만 변경하는 바이러스/웜이 등장한다면 이는 어려운 일이 아니다.

    예를 든다면, 앞서 사용했던 "프루나" P2P 프로그램의 경우 [그림3]에서 보는바와 같이 옵션 항목을 선택하면 공유의 범위를 지정하는 곳을 볼 수 있다. 만약 바이러스/웜이 이 같은 설정을 전체 공유로 변경하게 된다면 누구나 사용자의 시스템의 정보를 가져 갈 수 있게 된다.





    [그림 3. P2P 공유의 범위를 지정하는 옵션 창]




    2.2.3 메일 확산시 정보 유출 공격

    흔히 바이러스/웜이 메일로 확산될 때 바이러스/웜만 확산된다. 하지만, 이메일 웜의 대표적인 I-Worm.Win32.Sircam은 감염된 PC에 존재하는 DOC, XLS, ZIP 파일중 하나를 웜 파일 끝부분에 붙여 자체적으로 내장되어있는 SMTP를 이용하여 E-MAIL을 보내는 특징을 갖고있다.[14] 즉, I-Worm.Win32.Sircam 끝부분에 붙는 파일이 대체로 문서 파일들이기 때문에 정보 유출 가능성이 크다.

    대표적인 예로 I-Worm.Win32.Sircam에 의해 정보가 유출된 사건으로 우크라이나 정부의 비밀 문서가 인터넷 사이트인 www.for-ua.com을 통해 누출된 사건을 들 수가 있다.[15] 물론 현재 알려진 것은 우크라이나 정부뿐이지만 분명 수 많은 기업들의 비밀 문서가 같이 누출되었음에 의심의 여지가 없다.

    정보를 중요시 하는 요즘 이런 유형의 바이러스/웜은 계속적으로 나올 가능성이 크다.



    [참고 문헌]

    [11] \"Bot: 봇의 정의\", http://www.terms.co.kr/bot.htm

    [12] 차민석, \"악성 IRC봇의 의미와 동작원리 : 보안/바이러스정보\", 안철수 연구소, 2003.12.3

    [13] 차민석, \"Peer to Peer(P2P)와 악성 코드 : 보안/바이러스정보\", 안철수 연구소, 2002.7.23

    [14] \"I-Worm.Win32.Sircam 바이러스 정보\", 하우리,2001.7.19

    [15] \"서캠바이러스, 코드레드보다 잠재위험성 더 커\", 매일경제, 2001.8.3

    • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
    • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

    Top