AMC world

미래창조과학부가 2016년에 정보보호 실태 조사를 한 결과 침해사고 중 랜섬웨어 범죄가 전년 대비 11배가 증가한 것으로 나타났다고 한다. 한국랜섬웨어침해 대응센터에 신고된 피해 건수와 랜섬웨어 방어 보안회사의 신고접수 건수, 관련 정부 기관 신고 건수 및 복구대행업체에 의뢰한 복구 건수 정보를 분석한 결과 2015년도에는 약 53,000명이 감염되어 1,090억원의 피해를 입었고 총 30억원 정도가 해커에게 비트코인 금전으로 지급된 것으로 추정됬다고 한다.

2016년에는 13만명이 감염되고 3,000억원 정도 피해가 발생했으며 피해자 중 최소 10%인 13,000명이 100억원 이상의 비트코인을 지급한 것으로 추정했다고 밝혔다.

적용기술 : 적용 기술인 랜섬웨어는 피해자의 컴퓨터에 침투해 중요 파일을 암호화한 후 열지 못하게 만들고 피해자가 돈을 보내주면 암호화를 풀어준다며 금품을 요구하는 악성 프로그램이다.

랜섬 웨어에 감염될 경우 파일이 복잡한 알고리즘으로 암호화돼 파일을 열어도 내용을 알아 볼 수 없다. 주로 이메일, SNS, 메신저 등을 통해 전송된 첨부파일을 실행하면 감염되며, 웹사이트 방문을 통해 감염되기도 한다. 백신 프로그램으로 악성코드를 없애도 암호화된 파일은 복구되지 않아 ‘사상 최악의 악성코드’라고 불린다.

증상 : 사용자 운영체제에서 실행영역의 파일은 그대로 둔 채로 문서, 스프레드시트, 그림 파일 등을 암호화 해 열지 못하게 만든다. 구체적으론 업무에 많이 쓰이는 파일등을 노린다. 랜섬웨어에 감염되면 해당 기기의 모든 성능을 끌어내서 암호화를 시작한다. 따라서 거의 모든 메모리를 할당받아 파일을 암호화 한다. 작업을 거의 하고 있지 않아도 심한 발열과 함께 시스템이 느려지고, 하드디스크 같은 저장 매체를 쉴 새 없이 돌린다면 랜섬웨어를 의심해야 한다. 암호화가 완료되면 사용자에게 “랜섬웨어에 걸렸다”는 알림창을 표시하고 복구를 위한 사이트를 표시해 준다.

전망 : 낙관적인 전망으로는 랜섬웨어의 위협에 대한 사용자 인식의 확대와 안티 랜섬웨어 기술의 발전, 전반적인 정보 공유 증대와 국가간 사법 당국 간의 공조 등으로 랜섬웨어 위협이 꺾일것이라는 의견이 있고, 비관적 전망으로는 해커들이 기술수준을 높이 랜섬웨어 위협이 계속 지속되면서 MS오피스와 PDF로 만든 파일에 숨겨 보안 소프트웨어를 피해가는 방법과 사회공학적인 기법이 적용된 지능화된 랜섬웨어가 기승을 부릴 것이란 의견이 있다.

기존에 해킹의 주대상이었던 개인정보 거래시장이 붕괴됨으로 주민등록번호, 휴대폰번호, 신용카드번호를 판매해도 금전적 이익을 얻기까지 오랜 시간이 걸이며 판매가격도 낮아진다고 한다.

이에 비해 랜섬웨어 해킹은 특별한 기술없이 시작할 수 있는데 유포 3일 이내에 직접 비트코인이 입금되며 지속적인 수입을 보장해서 해커들은 랜섬웨어를 더욱 교묘하고 지능적이며 사회공학적인 기법을 접목하여 발전시킬 거란 예상이 있다고 한다.

대처법 : 랜섬웨어의 대처법은 보고서 내용을 보면 랜섬웨어의 침해 경로의 1위가 인터넷이고 2위가 이메일이라고 한다. 처음부터 랜섬웨어 해킹을 당하지 않게 예방하는 방법 5가지로는 첫 번째 운영체제 및 소프트웨어는 최신 버전으로 업데이트하여 사용해야 한다. 두 번째 백신 소프트웨어를 설치하고, 최신 버전으로 업데이트한다. 세 번째 출처가 불명확한 이메일과 URL링크는 실행하지 않는다. 네 번째 파일 공유 사이트 등에서 파일 다운로드 및 실행에 주의한다. 다섯 번째 중요 자료는 정기적으로 백업하는 습관을 기른다.

그리고 최근에는 고정식 드라이브 뿐 아니라 USB, 외장하드와 같은 외부 저장 장치에도 감염되는 만큼 자료를 백업한 후에 케이블을 반드시 제거해야 한다. 만약 랜섬웨어에 감염되었다면 이스트시큐리티, 안랩 등 랜섬웨어 복구 프로그램 지원 회사의 프로그램을 이용하여 복구를 시도해야 한다. 이 과정에서 주의할 점은 중요한 파일은 반드시 복사본으로 시도하는 것이 좋다고 한다. 중요한 파일에 대한 대비책으로 3가지 방법이 있다. 첫 번째 pc등에 쓰는 중요한 데이터의 확장명을 바꾸는 것 이있다. 두 번째는 평소 크롬이나 파이어폭스 브라우저를 쓰는 것이다. 많은 랜섬웨어는 어도비의 플래시에서 생기는 취약점을 통해 감염을 유도한다. 특히 여기엔 마이크로소프타사의 인터넷 익스플로러 브라우저가 취약하다고 한다. 따라서 평소 플래시를 지원하지 않는 크롬이나 파이어폭스를 사용하면 감염이 어렵다고 한다. 세 번째로 당연한 것이지만 중요한 데이터를 주기적으로 백업하는 것이다. 위에 예방법들은 랜섬웨어가 업그레이드되면 효과가 없어 질수 있다. 하지만 백업은 근본적으로 예방이 될 수 있다. 백업으로도 NAS를 이용하면 좋다고 한다. NAS는 장치와 분리된 개별 장치로서 일반적인 PC와 운영체제와 권한설정이 다르다고 한다. 따라서 주기적으로 백업하는 설정만 해놓으면 감염된 파일이 생기기 이전 상태로 돌아갈 수 있다.

그 외에도 구글드라이브, 드롭박스 등을 이용하는 것도 좋은 백업 수단이라고 한다.

APT 사례1. 인터파크는 7월 11일에 해커 조직에 의해 Apt 형태의 해킹에 고객 정보 일부가 침해 당한 사실을 밝혔다. 유출개인정보의 규모는 1030만 건이고 고객 이름이나 전화번호, 아이디, e메일 주소 등이라고 한다. 네이트 유출 사건과는 다르게 주민번호나 카드 결제내역 등 민감한 금융정보는 유출되지 않은 것으로 파악됐다고 한다. 인터파크 유출 사건은 네이트 사건처럼 서버를 통해 악성코드를 유포시키고 좀비 PC가 된 내부망 이용자의 PC를 이용해 회원들의 개인정보를 빼낸 것과는 다르게 e메일을 통해 첨부파일을 열어 보면 해당 pc에 악성코드가 감염되는 형식으로 해킹이 이루어졌다고 한다.

APT 사례2. 넥슨 사의 온라인 게임 메이플스토리가 2011년 11월 18일에 가입자 1320만명의 개인정보가 유출되는 사건이 발생했다. 이 개인정보 침해사건으로 메이플스토리 고객의 이름과 계정, 암호화된 비밀번호, 주민등록번호 등이 유출되었다. 이번 사건은 보안솔루션을 우회하고 관제에서도 탐지 못하는 고도의 기법으로 관리자 PC에 침투해 백업서버를 해킹했을 것이라는 전문가의 분석이 있었다고 한다. 이 사건이후 넥슨의 대처 방법은 2차 피해를 막기 위해 비밀번호 변경 캠페인 확대 방안을 발표 했고 개인정보 유출 여부 확인 페이지를 개설했다. 그리고 악용될 가능성이 높은 휴면 계정의 보호 시스템 구축을 즉시 적용 하고 통합 멤버십 체계 구축해 보안을 강화했다고 한다. 마지막으로 글로벌 보안관제센터를 구축, 운용하고 보안 전문인력 확충 및 투자를 확대했다.

2011년 7월 말 SK커뮤니케이션즈 산하의 포털 네이트가 7월 26일 중국으로 추정되는 크래커에게 해킹을 당해 고객 약 3,500만 명의 개인정보가 유출된 사건이 발생한다. 네이트와 연결된 네이트온, 싸이월드 등의 이용 고객의 정보 또한 유출되었다. 유출된 개인정보에는 아이디, 비밀번호, 주민등록번호, 성명, 생년월일, 이메일 주소, 전화번호, 주소가 포함되어 있었고, 가입 당시 혈액형, 닉네임 등을 입력한 일부 회원들의 경우 혈액형, 닉네임 등도 유출됐다.

이 사건은 무료 백신을 공급하는 업체 이스트소프트의 서버를 통해 악성코드를 유포시키고 좀비 PC가 된 SK커뮤니케이션즈 내부망 이용자의 PC를 이용해 네이트와 그 외 연결된 회원들의 개인정보를 빼낸 것으로 파악됐다. SK컴즈의 개인정보 유출 일지를 보면 첫 번째 일시에 이스트 소프트 알집 업데이트 서버 해킹과 sk컴즈 pc감염를 하고 두 번째 일시에는 DB관리자 pc에서 DB계정정보 탈취 세 번째 일시에는 좀비 pc통해 db접속 및 개인정보 탈취 마지막으로 중국 ip로 개인정보 db전송을 했다고 한다. 해킹 원인은 이스트소프트 공개용 알집 프로그램에 대한 미흡한 보안대책과 SK컴즈의 내부 보안관리도 미흡했고 공개용 알집 사용, DB관리자 PC가 외부망에 연결되었다고 한다.

적용기술 : 적용기술은 APT라고 해커가 다양한 보안 위협을 만들어 특정 기업이나 조직의 네트워크에 지속적으로 가하는 공격을 뜻한다. 특정 조직 내부 직원의 PC를 장악한 뒤 그 PC를 통해 내부 서버나 데이터베이스에 접근한 뒤 기밀정보 등을 빼오거나 파괴하는 것이 APT의 공격 수법으로, 불특정 다수보다는 특정 기업이나 조직을 대상으로 한다. APT의 특징은 지속성과 은밀함이다. 이 APT공격같은 경우 평균적으로 1년 길게는 5년정도의 공격 기간이 있어서 언제 어떻게 당했는지도 모르게 속수무책으로 공격을 당해서 지능형 지속 공격이라 한다.

대처법 : 첫 번째로는 다단계 방어 전략 구축이 있다. APT 공격을 막기 위해서는 네트워크 보안에 대한 다층적 접근이 필요하다고 보안 전문가들은 강조한다. 사실 다단계 방어는 APT를 미리 예방함에 있어 최고의 전략이다. 다단계 방어에는 네트워크 엔트리 및 출구 포인트를 통제하고 차세대 방화벽을 이용하는 것, 침입 탐지/방지 시스템과 보안 정보 및 이벤트 관리 시스템의 운용, 주기적인 보안 패치 업데이트 및 엔드포인트 보호 조치 등의 노력이 모두 포함된다고 한다.

두 번째로는 위협 탐지 및 모니터링 테크닉 강화로 로그 파일이나 데이터 트래픽상의 이상 징후가 없는지를 꾸준히 그리고 성실히 살피는 것만이 APT를 조기에 예방하는 길이라고 한다.

마지막으로는 보안 인식 교육 실시가 필요할 것이다. IT 보안에서는 보안 인식 교육이 중요하다.

소셜 엔지니어링 테크닉에 구체적으로 어떤 것들이 있는지를 교육시킴으로써 네트워크와 데이터를 초기에 안전하게 보호할 수 있다.

보안의 중요성

이처럼 아주 기본적인 해킹기법에 의해 고객의 예민한 개인정보 및 사용 내역을 탈취당하거나, 외주 서비스를 이용함으로써, 보안이슈에 의존성이 생겨 불거항력의 해킹을 당하는 경우. 어떤 사람도 예측 할 수 없었기에, 혹은 걱정은 했으나 무심코 지나친 취약점에 비집고 들어온 해커들에게 무방비 하게 당해버린 것이다.

보안이란 ‘자 이제 보안이슈를 해결하자~’라고 시작해도 막상 할 수 있는 것은 많지 않다. 코드 곳곳에 취약점들이 이미 너무 많이 흩어져 있고, 이 부분들을 모두 수정하기에는 너무 시간이 오래 소요되기 때문에. 취약점을 알더라도 손을 대지 못하는 경우가 허다하다.

실용적이고 보안 레벨을 올릴 수 있는 디자인 패턴이나 기법들은 충분히 많이 존재한다.

보안에 대한 이슈는 모두가 예민하고, 조심하려는 부분이기 때문에 이에 대한 솔루션 역시 적지 않다.

그에 반대로 이 모든 부분을 고려하기에는 물리적인 시간이 부족한 것 역시 간과할 수 없는 부분이다.

시큐어 코딩(Secure Coding)을 전제로 코딩을 하되. 너무 많은 시간을 뺏기지 말자 정도가 합리적인 방안일 듯 싶다. 간단하고 기본적인 보안요소들을 지키고, 너무 시간이 오래 걸리거나 고도의 보안 요소가 필요한것들은 조금 뒤로 밀어두고 추후에 TF팀를 꾸려 보완 하는 방법 역시 나쁘지 않다고 본다.

보안에는 끝이없다. 아무리 많은 공격방법에 대비하더라도 새로 생기고, 변칙적인 패턴의 공격을 모두 고려하자니 서비스의 고도화는 꿈도 못 꿀 일이다. 모든 구성원이 경각심을 가지고 모든 고려 요소의 첫 번째에 보안을 둔다면

적어도 허탈할 정도의 수준의 해킹 시도에 회사 문을 닫는 일은 없을거라 생각한다.

2. 아시아나 항공 홈페이지 해킹

2월 20일 새벽에 아시아나 항공의 홈페이지가 세르비아와 알바니아 분쟁에 대한 주장이 담긴 글과 사진으로 도배가 됐던 사건이 있다. 약 6시간 가량 홈페이지는 마비되었고, 아시아나 항공은 속수무책으로 대처하지 못하였고, 호스팅 업체에서 서버를 다운시켜 진정되었다.

이 사건은 아시아나 항공의 서버가 아닌 DNS를 관리하는 외주 호스팅 업체에 대한 공격이었으며 고객에 대한 개인정보는 유출되지 않았다.

수업시간에 배웠듯이 아시아나 항공의 IP 주소인 ‘186.126.63.1’에서 DNS 공격으로 인해 ‘217.174.152.174’로

변경 되었다고 한다. fly.asiana.com으로 접속을 했을 때 ‘186.126.63.1’로 연결되어야 하는 것이 정상인데. 해커에 공격으로 인해 ‘217.174.152.174’로 접속되었다고 하는 것이다. 유저는 인간 친화적인 도메인으로 접속을 요청하기 때문에 계속해서 해커가 유도한 IP로 접속할 수 밖에 없는 것이다. 

↑해킹당한 아시아나 웹 사이트

일각에서는 웹 서버나 게이트웨이의 맥(MAC) 주소를 변경시켜 데이터를 변조시키는 스푸핑 공격이라는 의견도 있다. 단순한 DNS 공격을 복구하는데 반나절이나 걸릴 이유가 없다는 것이 이유인데. 이 의견 또한 무시하기가 힘든점이. 아시아나 항공에서는 이전에도 개인정보 4만7천여건을 유출한 이력이 있고. 아주 민감한 요소인 여권, 가족관계 증명서 등이 대거 포함된 첨부파일 URL이 노출되었던 사고이다. 외부 침투에 의한 해킹이 아닌 내부 개발단의 실수로 소유하고있는 정보를 유출시키는 사례들도 있는 것이다.

우리나라 대표 항공사인 아시아나 항공에선 이 외에도 수 많은 이슈들이 발생했다.

 한 순간의 실수로 탑승객의 목숨을 좌지우지 할 수 있을정도로 안전이 중요한 항공사에서 고객과 가장 밀접한 부분인 웹 사이트에서 이러한 허술한 모습을 보인다는 것은 브랜드 이미지에도 상당한 타격일것이라고 본다.

안전한 운행을 하는것에 앞서 이용자에게 믿음직한 서비스를 제공하는 것 또한 무시해서는 안되는 부분이다.

1. 숙박 앱 ‘여기 어때’ 개인정보 유출

지난 3월 메이저 모바일 앱인 ‘여기 어때’ 앱의 고객에게 불쾌한 내용의 문자메세지가 전송되었다.

‘여기 어때’의 개인정보가 저장되어있는 데이터베이스가 ‘SQL 인젝션’ 공격으로 뚫린 것으로 확인되었고.

이로 인해 유출된 고객 정보는 4천여건 이라고한다.

웹 취약점중 한가지인 ‘SQL 인젝션’ 공격에 대비하지 못해 막대한 피해를 입게된 ‘여기 어때’ 앱에서는 200회의 인젝션 공격을 받은 흔적이 있다고 밝혔고. 사실상 초보적인 해킹 수법인 ‘SQL 인젝션’에 의해 데이터 베이스를 해킹당해, 보안관리 미흡에 대한 질책의 목소리가 상당히 높다.

↑  '여기 어때' 앱 공식 사과문

아직은 성에 대한 인식이 부족한 대한민국에서 숙박업소 이용 내역이 누군가에게 넘어갔다고 하니.

아마 ‘여기 어때’앱의 수명은 이제 끝나지 않았나 싶다. 간단한 쿼리빌더만 사용하더라도 아주 쉽게 예방 할 수 있는 ‘SQL 인젝션’이다. 이 사건으로 인해 모든 개발자들이 보안에 대한 경각심을 갖는 계기가 되었으면 좋겠다.

같은 모바일 앱 기반의 서비스를 개발하는 사람으로써 보면 내가 개발중인 서비스도 보안에 미흡한점이 많다.

마음만 먹는다면 어느정도 웹 지식을 가지고 있는 사람은 얼마든지 해킹하기 좋은 구조이며, 보안에 대한 인식도 상당히 낮은 레벨이다. 당장 눈앞에 있는 데드라인 때문에 보안은 둘째 치고 일단 어떻게든 돌아가는 코드를 구현하자는 CTO님 덕분에 앞,뒤 없는 코드를 짜게 되는데, 마음 한켠이 상당히 아려오는 부분이다.