태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

웹해킹은 방화벽+패치+백신해도 해킹한다

윈도우 보안 2008/07/03 13:28

 요즘 해킹이 정말 심각합니다. 요즘의 기법은 단순한 방법을 넘어 최신의 방법을 취하고 있지요. 하지만, 우리의 대응은 크게 변한 것이 없습니다. 그러다보니 일반 신문과 전자신문, 보안뉴스와 같은 곳에서는 지긋지긋할 정도로 기사를 내보냅니다.

웹사이트를 무차별 해킹한뒤 방문자를 상대로 악성코드를 유포하는 대규모 웹해킹이 연일 이어지고 있어, 국가 차원의 대책마련이 시급하다.
8일 한국정보보호진흥원(KISA)에 따르면, 지난달 1195개 국내 웹사이트가 해킹돼 악성코드 유포지로 악용당한 것으로 집계됐다. 실제 지난달 27일에도 국내 공공기관, 대학, 중소쇼핑몰 등 수백여개 웹사이트 7300여개 웹페이지에서 악성코드가 유포되는 사건이 발생했다.
- 무차별 공격하는 웹해킹, 해법없다? 中 -

 여태까지 우리는 보안을 위한다는 생각으로 방화벽, 패치, 백신을 구비하고 설치해왔습니다. 일부 서버 관리자들은 불안한 마음에 백신은 두개씩 설치하기도 했으며, 조금만 이상해도 재설치를 했습니다. 그럼에도 불구하고 증상은 호전될 기미를 보이지 않고 있습니다. 그러면 왜? 이런 다양한 보호 시스템이 있음에도 불구하고 계속적으로 해킹을 당하는 것일까요?

사용자 삽입 이미지

출처:한경닷컴



이는 해킹 수법의 진화와 표준화 과정이 들어갔기 때문입니다. 우리가 믿고 있는 방화벽, 패치, 백신을 피해 실제 해킹 방법이 분명히 존재하기 때문입니다.
  1. 방화벽 우회
    : 요즘의 공격은 대표적으로 잘 알려진 포트 중 하나인 웹포트 HTTP(TCP:80)를 이용합니다. 웹서버의 HTTP포트는 외부->내부의 접근은 대부분 열려 있습니다. 또한 아직도 많은 웹사이트의 취약점인 SQL Injection과 XSS를 통해 백도어를 심습니다.
    그리고 최근의 백도어는 외부->내부의 접근을 해주는 것이 아닌 내부에서 발생한 일을 기록해서 내부->외부로 전송시켜 줍니다. 이는 방화벽의 기본 세팅인 나가는 접속은 제한하지 않는다는 값을 이용한 것이지요.

  2. 패치
    : 많은 분들이 Windows의 패치와 Internet Explorer의 패치는 열심히 합니다. 하지만, 우리가 웹에 접속 할 때 Internet Explorer에서 동작하는 응용 프로그램의 취약점에 대해서는 신경을 쓰지 않습니다. 이런 대표적인 예로 Flash Player가 있습니다. 이런 매체들도 브라우저가 있는 대부분의 PC에 설치되어 있습니다. 따라서, 브라우저의 취약점이 아닌  플래시 파일을 변조하면 공격이 가능합니다.

    특히 플래시 파일을 변조하는데 성공하면, 개발자가 문제 있다고 판단하기란 더많은 시간이 소요되므로 성공의 효과는 더 크지요.

  3. 백신
    : 백신은 일단 사고가 발생한 후에 그 바이러스에 대한 규칙이 파악되고난 후에 패턴이 생성됩니다. 이 시간이 짧긴하지만, 일단 바이러스나 백도어의 설치가 성공하기만 하면 됩니다. 그리고, 백신이 잡지 못하는 부분으로 해킹 툴을 제작한다면 얼마든지 백신은 무용지물로 만들 수 있습니다.

    예를 들면, 루트킷을 사용한다든가. .asp와 같은 웹쉘(WebShell)을 심어둔다거나, 기존 바이러스의 변종을 심는다거나, 정상적인 원격 관리 프로그램을 심는다는 식으로 회피가 가능합니다. 

방화벽을 통과하기 위한 표준화를 지키는 작업, 공격 범위를 자동으로 할 수 있는 해킹 툴의 개발, 해킹 툴의 표준화 작업, 윈도우의 패치를 우회하기 위한 다양한 방법, 그리고 설치되어 있는 백신을 우회하기 위한 수많은 기법들 등의 방법이 계속 나오고 있는 이상 단순히 스크립트를 그때그때 빼주는 방식으로는 해결이 되지 않습니다.

 이제는 방어에 대한 기술 우위가 있다고 말할 수 있는 시기도 아니며, 이런 공격에 대해서 해킹의 방어책을 고민해야 할 시기입니다.

'윈도우 보안' 카테고리의 다른 글

800개 사이트 해킹` 대형 악성코드 사고  (0) 2008/07/08
KISA, 웹 서버 보안강화 가이드라인 발표  (0) 2008/07/07
웹해킹은 방화벽+패치+백신해도 해킹한다  (14) 2008/07/03
10가지 웹어플리케이션 보안 취약점  (0) 2008/07/02
웹해킹 공격 사례 #2  (0) 2008/07/01
웹서버 해킹. 방법이 바뀌었다.  (1) 2008/06/16
Posted by 데굴대굴
TAG , , , , , , , , , ,
트랙백 0, 댓글 14개가 달렸습니다

트랙백 주소 :: http://ntfaq.co.kr/trackback/4229 관련글 쓰기

댓글을 달아 주세요

  1. BlogIcon 조아가는거야 2008/07/03 14:57  댓글주소  수정/삭제  댓글쓰기

    화요일날부로 트로이목마로 감염이 되었지요.
    분명 flash player를 업뎃하라고 하는데 결국 낚이고 말았지요. 트로이 목마라 걸리더군요.
    분명 알약으로 실시간 검사를 하고 있음에도 말이지요. ㅡㅡ;;
    글쓰신 분의 내용에서 두번째 부분인 패치부분으로 제대로 걸리고 말았지요. ㅡㅡ;;
    알약도 이모양인데 V3나 카스퍼스키로도 방어할 수 있을지 ㅡㅡ;;

    • 불여우 3.0 2008/07/04 10:16  댓글주소  수정/삭제

      알약보다 못한 Kaspersky? 국산무료백신쪽에 기대를 거시는군요. 알약,피시그린등 써봤지만 가져다 쓴 백신의 엔진성능을 제대로 못쓰고 있는듯싶습니다. 알약의 bitdefender, 피시그린의 Kaspersky보다 한 참 떨어지는 듯.
      언급한 두 백신, 외산 무료백신보다도 못한 듯 싶더군요.

      두 백신 사용하면서 실시간 감시 뚫려보니 짜증만;;;

    • 알약을 너무 좋게아시네.. 2008/07/04 15:26  댓글주소  수정/삭제

      알약은 '무료'백신입니다.

      돈내고 사용하는 V3나 카스퍼스키와는 비교가 안되죠.

      V3나 카스퍼스키를 한번이라도 사용하셨으면 이런말 안나올겁니다. 무게감부터 차이가 나죠.

    • BlogIcon 데굴대굴 2008/07/04 16:35  댓글주소  수정/삭제

      조아가는거야 //
      회사에서는 알약 무료가 아닙니다. 그리고 알약에 크게 기대를 하고 계시는데, 알약 이외의 백신이 더 훌륭한 결과를 내는 경우가 더 많습니다.

      불여우 3.0 //
      실시간 감시 두개 키면 오히려 실시간 감시가 안될 수 있습니다. (이른바 쫑나는 경우가.....)

    • tsohr 2009/03/08 12:59  댓글주소  수정/삭제

      그냥 comodo firewall + vmware 마루타 + ollydbg가 짱인듯

  2. ㅇㅇ 2008/07/04 02:17  댓글주소  수정/삭제  댓글쓰기

    요즘 악성은 독종 중의 독종들이라 한번 걸렸다하면 무조건 복원이나 재설치 ㄱㄱ

    • BlogIcon 데굴대굴 2008/07/04 16:40  댓글주소  수정/삭제

      대부분의 서버는 해킹 당하면 복원이나 재설치 해도 일주일 안에 재발하는데, 그에 대한 대처는 어이 하실련지? 복원이나 재설치라는 방법은 지금 해킹 당한 수단이 모두 듣지 않는다는 확신이 있을 때만 유효합니다.

  3. BlogIcon 정훈 2008/07/04 05:40  댓글주소  수정/삭제  댓글쓰기

    저 역시 제가 관리하는 서버에 SQL Injection으로 크게 한방 먹었습니다.
    지금 서버에 대한 정밀 검사를 하고 있는 중인데... 무슨 트로이 목마 같은 게 심어져 있을지 걱정되네요.
    부랴부랴 web form 들에 대해 regular validation 다 덧입혀주고 그랬는데... 과연 이걸로 SQL Injection이 막아질까요...

    • BlogIcon 데굴대굴 2008/07/04 16:41  댓글주소  수정/삭제

      소스 수정 다 하셨으면 앞으로 같은 공격은 되지 않을꺼라 생각됩니다. 다만, 한번 해킹 시도 후에는 꼭 백도어를 심어두는데, 이 백도어가 어디에 얼마나 있을지는 모르는 일이죠. 백신으로 처리가 된다면 좋겠지만, 그렇지 않은 경우도 많아서 걱정이 크시리라 생각됩니다.

  4. BlogIcon SweeNy 2008/07/14 18:19  댓글주소  수정/삭제  댓글쓰기

    우와~ 글이 무려 3700여개......

    여기 정말 블로그가 맞는거예요? ㅎㅎ
    포털사이트인줄 알았어요..! 정말 방대한 자료에 이런 질 좋은 컨텐츠까지~~!

    즐겨찾기에 추가시켜놓고 자주자주 들르겠습니다!

    좋은 글 잘 읽고 갑니다 ^^*

  5. ㅎㅎㅎ 2008/07/15 06:29  댓글주소  수정/삭제  댓글쓰기

    불여우/ 피시그린의 Kaspersky ???

    지금 제정신?? 피시그린의 카브 엔진은 이제 5엔진인가?

    카브 보통 7버전 쓰는데.. 모르면 조용히 있으면 중간이라도 가지..

    모르면 댓글 달지마셈...

  6. 자유의날개 2008/07/21 22:27  댓글주소  수정/삭제  댓글쓰기

    엔진 버전에 의한 차이는 있을수 있지만. 결정적인 차이는 DB입니다[...]
    카브 8 기준으로 현재 멀웨어만 97만개이며, 08년 05월 답변 기준으로 PC그린의 카브 엔진 DB가 64만개있가 그랬습니다.[한숨]
    또, 알약은 모르겠지만, PC그린은 하루에 한번꼴로 업데이트가 진행되더군요. 그것도 휴일/토,일요일엔 일 안합니다-_-;[덕분에 3일간 DB업데이트 없는거 보고 한숨쉬며 KIS 8 씁니다만.]
    이런저런 이유로, PC그린과 알약은 단지 PC방 가서 돌려보고 사이트 로그인 하는 용도일 뿐이지요[..]

    아웃바운드 차단에 대해서는, "대부분의 방화벽"이 다 차단합니다만....
    윈도 기본방화벽 말고 아웃바운드 차단을 못하는 프로그램, 있었나요?
    한글 인터페이스에 무료라는 점에서 초보자들에게 인기를 끌고있는 PCTools의 방화벽도 하는것을..

    1pc1백신은 모든 보안 밴더사가 공통적으로 권유하고 있지만...
    일부 몰상식한 커뮤니티와 네이버 지식인에선 아직도 백신 많으면 좋은줄 알더군요.
    당장 눈에 안보여도, 시스템의 상태는 점점 나빠질 텐데 말이죠.

  7. ciws84@hanmail.net 2008/07/30 00:45  댓글주소  수정/삭제  댓글쓰기

    웹 해킹은 방화벽+패치+백신 이 영역과 다른것 아닌가요 ?
    이건 상식인것 같은데 ㅠㅜ