오늘자 동아일보에 "아멕스-이베이등 신종해킹에 당해…클릭하면 가짜사이트로" 라는 제목의 기사가 나갔습니다. 이 기사는 아마 25일날 제 블로그에 올라온 "봇넷(BotNet) 관리 프로그램 화면" 이라는 글을 보고 힌트를 얻어 작성된 것이 아닌가 싶습니다.
기사의 "25일 국내외 인터넷 보안 전문가와 금융계에 따르면 이 같은 해킹은 19일 호주에서 처음 일어났으며 급속히 확산돼 하루 평균 1000명 이상의 PC 접속자를 위장 사이트로 유도한 뒤" 라는 글은 제 블로그에 글이 올라온 날짜가 25일 점, Symantec 블로그에 미국 일자로 20일에 '아침에 메일을 받았다' 는 내용이 올라와 있는 점, 호주가 최대 감염국이고 호주 총리의 신상에 대해 언급한 점, 약 1200 여대의 시스템이 감염된 점을 토대로 해서 짜깁기된 문장이 아닌가 싶네요.
해당 기사는 흥미로운 점이 많은데요. 보통 기존의 보안 관련 기사는 보안 업체 담당자가 메일이나 전화로 불러주는 내용을 그대로 싣는 경우가 많았습니다. 하지만 이 기사는 참고 자료인 WebSense 의 자료, Symantec 의 자료를 나름대로 연구하고 노력한 흔적이 보입니다. 약간 소설 같은 상상력이 보이긴 하지만 서너군데 사이트의 내용을 기자 나름대로 이해하고자 한 노력이 대단합니다.
Symantec 블로그에 나오는 '불특정 다수에게 ‘존 하워드 호주 총리가 심장마비로 생명이 위독하다’는 등의 가짜' 메일을 보내어 특정 사이트로 접속을 유도해 감염시켰다는 내용도 담고 있고, 피싱 대상이 된 금융권 사이트의 리스트도 WebSense 사이트의 그림을 보고 본래 업체를 파악해 기사에 싣기도 했습니다.
또한 기사 말미에 '파밍'이라는 일반인에 생소한 용어에 대해 아래와 같이 친절한 설명도 잊지 않고 있습니다.
"해커가 인터넷 사이트 주소를 관할하는 도메인 서버를 공격하거나 PC의 호스트파일(인터넷 주소를 알려주는 파일)을 조작해 가짜 사이트로 접속을 유도해 개인 정보를 훔치는 신종 수법. 진짜 사이트 주소를 입력하더라도 가짜 사이트로 연결되는 것이 문제." 라고...
그러나 " e메일을 읽은 사용자의 PC는 ‘트로이목마’ 바이러스에 감염돼 인터넷 주소를 연결해 주는 호스트파일이 조작됐다." 거나 "지난달 국민은행과 농협의 고객들이 당한 파밍과 동일한 수법이지만 정보를 훔친 뒤 진짜 사이트로 다시 이동하게 하는 등 더욱 정교해졌다" 는 내용은 기술적 오류가 아닌가 싶습니다.
현재 한국의 보안 회사에서 해당 봇넷의 샘플을 입수해 실제로 기술적 분석을 한 회사가 있을 것이라고는 보이지 않는데, 모 보안 회사에서 매우 대담한 코멘트를 한 점도 의아스럽네요.
왜 기술적 오류라고 보는지 근거를 들면 다음과 같습니다.
첫째, WebSense 가 공개한 자료와 화면을 보면 IEGrabber.dll 과 IEFaker.dll 이라는 파일 이름이 나옵니다. 이 파일이 무슨 역할을 수행하는지는 구체적으로 모르겠으나, 이름으로 추정해볼때는 IEGrabber.dll 은 사용자가 웹 브라우저의 주소란이나, 아이디, 패스워드란에 입력하는 내용을 수집하는 역할을 하는 것으로 보입니다. IEFaker.dll 은 아마 봇넷 관리 프로그램에서 지정해놓은 특정 금융 사이트에 접속하려고 하면, 미리 만들어 놓은 가짜 페이지로 유도하는 역할을 하는게 아닌가 싶습니다. 그리고 dll 형태로 존재하므로 인터넷 익스플로러를 실시간으로 모니터링하면서 사용자가 금융 사이트로 접속하고자 하면 즉시 다른 페이지로 접속하도록 할 것입니다.
Symantec 의 블로그 원문을 봐도 제 추측과 가까운 내용이 나옵니다. 원문에는 "The panel also allows the administrator to manage some malicious plugins, and obviously the page already shows a “frame grabber” plugin for IE present on the bot. This plugin is able to intercept typed URLs and information posted on Web pages on-the-fly. The attacker can also redirect the browser if the URL matches with one on a specific list." (굵은 글씨는 이해의 편의를 위해 제가 굵게 표기했습니다).
이는 시스템의 hosts 파일이나 DNS 정보를 조작해서 다른 사이트로 유도하는 '파밍' 기법이 아니라, 인터넷 익스플로러의 접속을 가로채 다른 사이트로 유도하는 '피싱' 기법입니다. 최근의 악성 코드 탐지 프로그램은 시스템의 hosts 파일 정보가 변경되었는지 감시하는 기능을 포함하고 있습니다. 봇넷 제작자는 이런 점을 고려해서 실시간으로 redirection 할 수 있는 획기적인 방법을 고안한 것이죠.
동아일보의 해당 기사가 기술적 오류를 포함하고 있는 점은 아쉽지만, 해외 보안 기사를 그대로 번역해서 싣거나, 보안 업체 담당자가 이메일로 보내준 내용을 토씨하나 안틀리고 그대로 싣던 기존의 보안 기사에 비해 발전한 모습을 보여준 점 인상이 깊습니다. 앞으로도 발로 뛰고 노력하면서 만들어진 보안 기사가 보다 많이 늘어났으면 좋겠습니다.
기사의 "25일 국내외 인터넷 보안 전문가와 금융계에 따르면 이 같은 해킹은 19일 호주에서 처음 일어났으며 급속히 확산돼 하루 평균 1000명 이상의 PC 접속자를 위장 사이트로 유도한 뒤" 라는 글은 제 블로그에 글이 올라온 날짜가 25일 점, Symantec 블로그에 미국 일자로 20일에 '아침에 메일을 받았다' 는 내용이 올라와 있는 점, 호주가 최대 감염국이고 호주 총리의 신상에 대해 언급한 점, 약 1200 여대의 시스템이 감염된 점을 토대로 해서 짜깁기된 문장이 아닌가 싶네요.
해당 기사는 흥미로운 점이 많은데요. 보통 기존의 보안 관련 기사는 보안 업체 담당자가 메일이나 전화로 불러주는 내용을 그대로 싣는 경우가 많았습니다. 하지만 이 기사는 참고 자료인 WebSense 의 자료, Symantec 의 자료를 나름대로 연구하고 노력한 흔적이 보입니다. 약간 소설 같은 상상력이 보이긴 하지만 서너군데 사이트의 내용을 기자 나름대로 이해하고자 한 노력이 대단합니다.
Symantec 블로그에 나오는 '불특정 다수에게 ‘존 하워드 호주 총리가 심장마비로 생명이 위독하다’는 등의 가짜' 메일을 보내어 특정 사이트로 접속을 유도해 감염시켰다는 내용도 담고 있고, 피싱 대상이 된 금융권 사이트의 리스트도 WebSense 사이트의 그림을 보고 본래 업체를 파악해 기사에 싣기도 했습니다.
또한 기사 말미에 '파밍'이라는 일반인에 생소한 용어에 대해 아래와 같이 친절한 설명도 잊지 않고 있습니다.
"해커가 인터넷 사이트 주소를 관할하는 도메인 서버를 공격하거나 PC의 호스트파일(인터넷 주소를 알려주는 파일)을 조작해 가짜 사이트로 접속을 유도해 개인 정보를 훔치는 신종 수법. 진짜 사이트 주소를 입력하더라도 가짜 사이트로 연결되는 것이 문제." 라고...
그러나 " e메일을 읽은 사용자의 PC는 ‘트로이목마’ 바이러스에 감염돼 인터넷 주소를 연결해 주는 호스트파일이 조작됐다." 거나 "지난달 국민은행과 농협의 고객들이 당한 파밍과 동일한 수법이지만 정보를 훔친 뒤 진짜 사이트로 다시 이동하게 하는 등 더욱 정교해졌다" 는 내용은 기술적 오류가 아닌가 싶습니다.
현재 한국의 보안 회사에서 해당 봇넷의 샘플을 입수해 실제로 기술적 분석을 한 회사가 있을 것이라고는 보이지 않는데, 모 보안 회사에서 매우 대담한 코멘트를 한 점도 의아스럽네요.
왜 기술적 오류라고 보는지 근거를 들면 다음과 같습니다.
첫째, WebSense 가 공개한 자료와 화면을 보면 IEGrabber.dll 과 IEFaker.dll 이라는 파일 이름이 나옵니다. 이 파일이 무슨 역할을 수행하는지는 구체적으로 모르겠으나, 이름으로 추정해볼때는 IEGrabber.dll 은 사용자가 웹 브라우저의 주소란이나, 아이디, 패스워드란에 입력하는 내용을 수집하는 역할을 하는 것으로 보입니다. IEFaker.dll 은 아마 봇넷 관리 프로그램에서 지정해놓은 특정 금융 사이트에 접속하려고 하면, 미리 만들어 놓은 가짜 페이지로 유도하는 역할을 하는게 아닌가 싶습니다. 그리고 dll 형태로 존재하므로 인터넷 익스플로러를 실시간으로 모니터링하면서 사용자가 금융 사이트로 접속하고자 하면 즉시 다른 페이지로 접속하도록 할 것입니다.
Symantec 의 블로그 원문을 봐도 제 추측과 가까운 내용이 나옵니다. 원문에는 "The panel also allows the administrator to manage some malicious plugins, and obviously the page already shows a “frame grabber” plugin for IE present on the bot. This plugin is able to intercept typed URLs and information posted on Web pages on-the-fly. The attacker can also redirect the browser if the URL matches with one on a specific list." (굵은 글씨는 이해의 편의를 위해 제가 굵게 표기했습니다).
이는 시스템의 hosts 파일이나 DNS 정보를 조작해서 다른 사이트로 유도하는 '파밍' 기법이 아니라, 인터넷 익스플로러의 접속을 가로채 다른 사이트로 유도하는 '피싱' 기법입니다. 최근의 악성 코드 탐지 프로그램은 시스템의 hosts 파일 정보가 변경되었는지 감시하는 기능을 포함하고 있습니다. 봇넷 제작자는 이런 점을 고려해서 실시간으로 redirection 할 수 있는 획기적인 방법을 고안한 것이죠.
동아일보의 해당 기사가 기술적 오류를 포함하고 있는 점은 아쉽지만, 해외 보안 기사를 그대로 번역해서 싣거나, 보안 업체 담당자가 이메일로 보내준 내용을 토씨하나 안틀리고 그대로 싣던 기존의 보안 기사에 비해 발전한 모습을 보여준 점 인상이 깊습니다. 앞으로도 발로 뛰고 노력하면서 만들어진 보안 기사가 보다 많이 늘어났으면 좋겠습니다.
덧글