이번 사고가 발생한 악성 코드 루틴을 구글에서 검색하면, UN 웹사이트의 일부는 여전히 악성 코드에 감염된 상태다. / 서명덕 기자


UN 일부 웹사이트는 여전히 감염…구글서 확인 가능
MS 관계자 “개발자들이 SQL 인젝션 공격방어 소홀”
국내도 유사 피해 우려…‘악성 자바스크립트’ 주의를

옥션, 국민은행, 청와대 등 국내 주요 기관이나 민간 기업들의 잇단 해킹 파문이 확산되고 있는 가운데, 국제연합(UN, United Nations)과 영국 정부(U.K. government) 등 세계적인 기관들의 주요 홈페이지 등 50여만개가 지난 주 초부터 한때 방문객들에게 악성 코드를 배포하는 해킹 공격을 당했던 것으로 알려졌다.

이 소식이 알려지자 일부에서는 “마이크로소프트(MS) 웹서버의 취약점이 발견돼 대규모 공격이 진행된 것”이라며 대규모 해킹 사태로 이어질 조짐을 보였다. 이에 대해 MS는 긴급 안내를 통해 “웹사이트 개발자들이 SQL 인젝션 공격을 막기 위한 기본적인 조치를 하지 않았을 뿐, MS 제품의 취약점과는 무관하다”고 설명해 한 동안 혼란이 계속될 전망이다.

실제로 해외 보안 전문가들은 “이번 사건은 오래 전부터 꾸준히 문제점이 제기된 SQL 인젝션 공격을 대규모로 받은 것이고, 일부 웹사이트는 공격을 받은 뒤에도 (개발자들이) 문제점을 개선하지 않고 있다”고 지적했다. 이에 따라 국내 웹사이트들도 유사 피해를 입을 가능성이 제기되고 있다.



웹센스 보안 랩은 지난주 초 국제연합 및 영국 정부 홈페이지가 공격을 받았음을 긴급 공지했다. / 서명덕 기자


◆UN, 英정부 등 수많은 웹서버 해킹

웹센스 보안 랩(Websense Security Labs)은 지난 22일 공식 블로그에서 “악성 자바스크립트 삽입 공격을 최근 추적해 본 결과, UN과 영국 정부 홈페이지 등이 수만은 웹사이트가 동시에 감염, 2~3주 전부터 공격이 시작된 것으로 파악됐다”며 “공격자는 새로운 도메인으로 바꿔 가며 악성 코드를 배포하고 있다”고 긴급 공지했다. 업계에서 추정한 감염 서버 수는 약 50만개다.

이번에 발생한 공격은 사용자들이 특정 웹사이트에 접근하면 자바스크립트가 자동 실행되고, 사용자들 컴퓨터의 접근 권한을 탈취하는 방식으로 동작하는 것이다. 자바스크립트가 악성 코드 호스팅 서버로부터 아이프레임을 읽어 들인 뒤, 악성 코드가 지정한 다른 웹페이지로 브라우저 창을 납치해 버린다. 일부 악성코드는 사용자 PC에 내려 받도록 한 경우도 있는 것으로 알려졌다. 이러한 공격은 이미 보안 전문가들에게는 잘 알려져 있는 것으로, 새로운 기술은 아니다.

웹센스 리서치 팀이 이번이 탐지한 자바 스크립트는 nihao.com에서 올려 둔 ‘1.js’가 1.htm 파일을 읽어 들이고, 이후 8가지 다른 공격을 추가 병행하는 구조로 되어 있다. 2117.net 나 nmida.com 등도 같은 방식으로 동작하고 있는 것으로 볼 때 동일한 해커가 중국 도메인을 변경하며 잇달아 공격을 하고 있는 것으로 보인다.

이와 앞서 웹센스 팀은 지난 14일에도 공식 블로그에서 “악성 자바스크립트 아이프레임(malicious Javascript iframe)이 최근 전 세계 수많은 웹사이트에 삽입됐다”며 “보안 업계에서는 새로운 건 아니지만, 이러한 악성 코드가 지난 2월부터 중국에 있는 일부 악성코드 호스트에서 호출되고 있다”고 설명했다.

브라이언 크랩스(Brian Krebs) 워싱턴포스트(WP) 취재기자 역시 지난 25일 자신의 공식 블로그에서 ‘수많은 MS 웹서버가 해킹 당했다(Hundreds of Thousands of Microsoft Web Servers Hacked)’는 제하의 글에서 “UN이나 영국 정부 등 MS 웹서버를 사용하는 주요 웹사이트들이 최근 웹사이트 방문객들의 PC에 악성 코드를 몰래 심는 해킹을 당했다”며 “해커들은 MS 인터넷 인포메이션 서비스(IIS) 웹서버의 보안 취약점을 이용한 것으로 보인다”고 주장했다.

국제 기구인 SANS 인터넷스톰센터(ISC) 역시 최근 “특정 도메인에서 악성 코드를 배포하는 자바스크립트가 삽입되는 SQL 인젝션 공격이 감지됐다”며 경고한 바 있다. 지난 1월에 발생한 웹사이트 1만여개 감염사고 역시 SQL 인젝션 공격으로 밝혀지기도 했다.

단초 단체브(Dancho Danchev) 보안 전문가는 WP와 인터뷰에서 “웹사이트 운영자들은 최근 이러한 종류의 공격을 받았는지 반드시 살펴봐야 한다”며 “대부분 nihaorr1.com , haoliuliang.net , 2117.net , 2117966.net 등으로 불리는 일부 중국 도메인으로부터 악성 코드를 슬그머니 내려 받을 수 있도록 자바스크립트 코드를 추가했다”고 설명했다. 실제로 다양한 커뮤니티에서 정체 불명의 스크립트에 대해 문의하는 일이 폭증했다.

이러한 코드에 감염된 웹서버는 구글 검색을 통해 확인할 수 있는 상황이다. 실제로 구글에서 악성 코드 루틴을 검색해 보면 UN 웹사이트의 일부는 여전히 악성 코드에 감염된 상태이고, 영국 정부는 현재 문제점이 완전히 제거됐다. 구글에서 특정 웹사이트의 감염 여부를 확인하기 위해서는 ‘inurl: abcde.com(검색 대상 도메인) www.nihaorr1.com(악성코드 호출 호스트명)’ 이라고 검색하면 된다. 다른 악성 코드를 확인하기 위해서는 도메인 명칭만 바꿔 주면 된다.



빌 시스크(Bill Sisk) MS 보안 응답 센터 관계자는 자신의 블로그에서 잇달아 터지고 있는 SQL 인젝션 공격에 대해 "개발자들이 주의를 기울여야 한다"고 촉구했다. / 서명덕 기자


◆MS 취약점은 아닌 듯…SQL 공격에 무방비

이와 관련, 핀란드 안티 바이러스 F시큐어(F-Secure)는 24일 공식 블로그에서 “수많은 웹사이트에서 ‘대량 SQL 인젝션’ 공격에 노출되어 있다”며 “구글에서 검색해 본 결과 이미 51만 여개 페이지가 이미 개조된 상태(잠재적인 위험)”라고 지적했다. 이 정도라면 국내에서도 유사 피해가 우려되는 상황이다.

F시큐어는 “우선, 웹사이트 로그에 문제의 특정 코드가 있는지 분석한 뒤, 방문객들이 악성코드에 감염되지 않도록 막아야 한다”며 “또한 모든 데이터는 방역 처리하고, 문제의 사이트 접속은 차단해야 한다”고 설명했다. 다만 관계자는 “이러한 취약점은 MS 웹서버나 MS SQL의 취약점과는 전혀 관련이 없다”고 덧붙였다.

MS 측도 “MS 제품의 보안 취약과는 관련이 없다”는 입장을 밝혔다. 빌 시스크(Bill Sisk) MS 보안 응답 센터(Microsoft Security Response Center, MSRC) 관계자는 공식 블로그에서 “최근 웹서버 공격 사태와 관련 혼란스러운 보안 보고서가 상당수 있다”며 “자체 조사 결과 알려지지 않는 IIS 보안 위협은 아니다”고 강조했다. 그는 “이번 SQL 인젝션 공격은 IIS 6.0, ASP, ASP.Net 이나 MS SQL 핵심 기술과 무관하다”며 “SQL 공격을 막기 위해 웹사이트 개발자들은 공식 웹사이트에 있는 보안 개발 방식을 준수해야 한다”고 지적했다. 개발자들이 SQL 개발 원칙을 지키지 않은 것이 문제라는 설명이다.

그는 공식 블로그 뿐만 아니라 자신의 블로그에서도 SQL 인젝션 공격을 막기 위한 개발 방법에 대해 안내하는 등 사태 확산을 막기 위해 자세히 안내했다.

전문가들은 “빈약한 SQL 코딩 기술이 최근 잇달아 불거진 SQL 인젝션 공격을 야기했다”며 “개발자들은 업계 표준 개발 방식을 준수해야 한다”고 지적하고 있다.

◆네티즌들, 자바스크립트 선별 허용 기능 활용해야

일반 사용자들은 이러한 악성 코드에서 벗어나기 위해서는 파이어폭스의 애드온인 ‘자바 스크립트 방지’(noscript, http://noscript.net) 기능 등을 사용해야 한다. 이는 해킹과 관련된 사이트의 자바스크립트는 선별적으로 사용하지 못하도록 하는 소프트웨어다. 인터넷 익스플로러(IE) 사용자들은 자바스크립트 기능 전체를 한꺼번에 막을 수는 있지만, 선별하는 기능은 없다.

국내 보안업계 관계자는 "SQL 인젝션 공격은 나온지 꽤 오래 됐음에도 불구하고 아직도 많은 수의 공격이 이루어지고 있다"며 "개발과 함께 보안에 대한 인식이 매우 향상돼야 한다는 반증"이라고 설명했다.

◆SQL 인젝션(Injection) 공격 = 데이터베이스(DB) 서비스인 ‘SQL’의 쿼리 문자열 사이에 특정 악성 코드를 몰래 삽입해 넣은 뒤 실행시키는 해킹 공격 방법이다. XSS(크로스 사이트 스크립팅)과 함께 해커들이 가장 즐겨 사용한다.

인터넷뉴스부 서명덕 기자


이 기사와 관련된 글입니다.

http://blog.washingtonpost.com/securityfix/2008/04/hundreds_of_thousands_of_micro_1.html

http://www.neowin.net/news/main/08/04/28/hundreds-of-thousands-of-microsoft-web-servers-hacked

http://www.technewsworld.com/story/Mass-SQL-Attack-a-Wake-Up-Call-for-Developers-62783.html?welcome=1209441917

http://www.informationweek.com/news/security/vulnerabilities/showArticle.jhtml?articleID=207402562

http://it.slashdot.org/article.pl?no_d2=1&sid=08/04/28/2014206

http://www.news.com/8301-10789_3-9930452-57.html

http://www.heise.de/english/newsticker/news/107111

http://news.xinhuanet.com/english/2008-04/28/content_8064460.htm

http://news.google.com/news?hl=en&ned=us&ie=ISO-8859-1&ncl=1153693242

http://www.aviransplace.com/2008/04/28/microsoft-denies-fault-in-hacks/

http://www.news.com/8301-10784_3-9929861-7.html?part=rss&subj=news&tag=2547-1_3-0-5

http://blogs.technet.com/msrc/archive/2008/04/25/questions-about-web-server-attacks.aspx

http://www.pcworld.com/article/id,145151-c,hackers/article.html

http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9079961