공중파 방송인 스펀지 제로에서 좀비PC에 대한 소개(?)가 있었던 모양이다. 사실 스펀지에서 나온 상대편 PC의 원격제어나 파일 유출은 10여전 전부터 많이 알려졌던 백오리피스나 넷버스, 스쿨버스 등 많은 원격제어가 가능한 툴들을 다른사람의 PC에 설치하여 얼마든지 가능한 해킹기법이다.
즉, 특별히 새로울 것 없는 이미 오래전부터 자행되어 온 해킹이다. 그리고 실제로 그런 방법에 의해 유출된 사적인 사진이나 개인정보를 담은 파일들이 인터넷의 P2P 혹은 웹하드 서비스를 통해서 공공연하게 유포되고 있는 것이 현실이다.
스펀지 뿐만 아니라 많은 언론과 정보보호진흥원 등에서는 개인사용자 PC가 좀비PC가 되는 것 즉, 그러한 해킹도구에 감염되지 않도록 하기 위해 몇가지 사용자들이 지켜야할 보안 지침을 알려주기도 했다. 그렇다면 그러한 보안지침을 지키면 내 PC는 정말 좀비PC가 되지 않는 것일까?
1. 백신을 설치하고 주기적으로 Update하고…
2. 윈도업데이트를 한다.
이쯤에서 한가지 짚고 넘어가야 하는 것이 있다. 도대체 어떤 경로로 내 PC가 좀비 PC가 되느냐는 것이다.
– 가정의 인터넷 구성 –
요즘은 대부분의 기업과 가정에서 IP공유기를 사용하게 된다. 일반 사용자들은 잘 모르겠지만 070 인터넷 전화를 설치하면 모뎀 비슷한 장치를 하나 집에다 설치해주고 그 장치에서 070 무선 전화기와 PC로 연결되는 랜선이 나오게 된다. 즉 아래 그림과 같이 집으로 들어오는 인터넷 선이 PC에 곧바로 연결되는 것이 아니라 무선AP라고 하는 일종의 “IP공유기”를 거쳐 PC로 연결되게 된다.
이 것이 중요한 의미는 이단 공유기역할을 하는 무선AP라는 것을 거치게 되면 PC는 인터넷에 직접 노출되지 않는 사설IP (192.~~~으로 시작하는)를 부여받아 간접적으로 인터넷에 연결된다는 것이다. 이렇게 사설IP를 부여받아 인터넷에 연결되면 인터넷에 있는 해커들이 PC의 존재여부를 직접적으로 확인할 수 없기 때문에 PC를 직접 공격하여 PC를 좀비PC로 만드는 해킹툴을 설치 할 수 없게 된다.
070전화를 사용하지 않는 경우에도 IP공유기를 사용한다면 동일한 구성으로 가정의 인터넷이 구성되므로 해커들은 가정의 PC를 해커의 PC혹은 서버에서 직접 공격하여 해킹할 수는 없게 된다.
좀비(Zombi) PC의 감염 경로
그런데도 불구하고 좀비PC는 늘어만 가고 있고 좀비PC가 될 가능성 또한 점점 커지고 있다. 해커들이 어떻게 일반가정의 PC를 좀비PC로 감염시키는 지를 이해하게 되면 많은 네티즌들이 화를 낼지도 모르겠다.
좀비PC라는 말은 7.7 DDOS 대란 때부터 본격적으로 사용되기 시작했다. 공공기관의 서버에 트래픽 공격을 가해 서비스를 중지시킬 목적으로 트래픽 공격을 유발하는 공격도구를 감염시킨 수없이 많은 좀비PC를 확보하여 좀비PC들이 특정 공공기관의 서버를 공격하도록 유도하는 데서부터 좀비PC라는 용어가 일상적으로 사용되기 시작한 것이다.
DDOS 공격에 사용되는 공격도구가 감염된 좀비PC에 대한 포스팅에 올렸던 그림을 다시 올린다.
좀비 PC를 만들기 위한 방법은 여러가지가 있지만 최근에는 IP공유기나 사설IP를 사용하는 경우가 많아 예전처럼 해커가 불특정 다수의 PC를 하나씩 직접 공격하는 방법은 사용되지 않는다. 대신 인터넷 상에 PC의 접속이 잦은 게시판이나 미니홈피, 블로그 혹은 웹사이트를 해킹하여 해당 웹페이지에 접근하는 사용자의 PC에 공격도구를 감염시키는 방법을 많이 이용한다.
그런 공격도구를 감염시키는 서버가 바로 위 그림의 “악성코드 전파서버”다. 따라서 전국민의 개인PC에 대한 보안을 강화하는 것 보다는 인터넷 상에 있는 서버의 보안을 강화하여 해커가 해킹을 하지 못하도록 하는 것이 더 쉬울 것이다.
특히 최근들어 웹페이지에 자바스크립트를 삽입하는 해킹이 유행하고 있다. 보안에 취약한 웹서버를 해킹하여 웹페이지의 소스를 수정할 수 있는 권한을 얻은 뒤 특정 웹페이지 소스에 자바스크립트를 삽입하는 것이다.
[ 자바스크립트 삽입 해킹이 반복적으로 지속되고 있다는 상담 문의 글 : 출처 taeyo.net 2009년 6월 글]
이렇게 되면 해당 페이지에 접근하는 사용자 PC에 해커가 추가한 Javascript Code가 다운로드되어 브라우저 상에서 실행되고 그 결과로 공격도구 감염 혹은 원격제어 해킹도구가 감염되는 결과를 초래하는 것이다. 지금 우리나라에 이렇게 변조된 웹페이지가 몇개가 있는지는 아무도 모른다.
좀비PC에 대한 책임
많은 알려진 해킹툴의 경우 백신이나 윈도 업데이트를 꾸준히 한다면 막을 수 있다. 단, 어디까지나 현재까지 백신에서 차단할 수 있도록 처리된(즉, 잘 알려진) 공격도구의 공격만을 막을 수 있다는 말이다. 새롭게 출현한 것이거나 변종 공격도구 혹은 현재까지 많이 알려지지 않았던 해킹툴의 경우 현재까지 시중에 나와있는 패턴기반의 백신으로는 절대….Never…차단할 수 없다.
가장 확실한 방법은 바로 공격도구를 감염시키는 주범인 웹페이지의 보안을 강화하는 것이다. 하지만 우리나라의 어느 산업분야 보다도 고강도 업무 환경에서 근무하는 IT개발자들에게 “보안”까지 신경을 써서 어플리케이션을 개발하라고 한다해서 그들이 그렇게 할 수 있을지는 의문이다. 보안은 아무래도 직접적인 서비스와는 무관하다 생각하는 경향이 강하기 때문에 어느정도의 심리적, 시간적 여유가 보장되어야 스스로 신경쓸 수 있는 부문이기 때문이다.
두번째 방법은 웹 소스의 위변조와 보안이 취약할 것으로 예상되는 파일들에 대한 위변조를 서버 운영체제의 커널 수준에서 차단해줄 수 있는 보안OS (SecureOS)를 이용하여 홈페이지의 위변조와 웹쉘 차단 등 보안을 강화하는 것이다.
그리고 그 다음에야 비로소 바로 개인사용자들에게 주의를 당부하는 것이 순서일것이다. 영리목적 또는 공공의 목적을 위해 웹서비스를 하면서 보안에 대한 책임을 다하지 못하고 “인터넷에 접속하는 모든 PC에 백신 설치를 의무화하자는 식의 편의주의적 발상은 기업과 공공기관 그리고 정부의 너무도 무지하고 무책임한 처사가 아닐까???
내 PC에 공격도구가 설치되어 좀비PC가 되면 과연 누구의 책임인가…..!!!!