HOME > 보안정보 > 최신보안동향
Security Information
문의사항
작성자 관리자 날짜 2010-04-08
제목 PC 보안의 첫걸음은 취약성 확인

PC 보안의 첫걸음은 취약성 확인

Gumblar공격은 시간이 경과함과 동시에 좀더 복잡하고 교묘해지고 있다. 예를 들어 백신 소프트웨어 공급업체의 보고에 따르면 Gumblar 공격에 사용되는 변종 악성 프로그램은 수십 종류로 확인되고 있다. 게다가 그 일부는 백신 소프트웨어로도 치료할 수 없다. 지금까지의 공격에서는 FTP어카운트(account)의 정보가 유출되었으나, 그 이외의 정보의 도용에 관해서는 아직 해명되지 않고 있는 실정이다.  

웹 사이트에서도, 공격자는 일반 사용자로 가장하여 컨텐츠를 수정하기 때문에, 해당 조작을 발견하기 어렵다. 또한 Backdoor를 설치하여, 지속적으로 컨텐츠를 변조하거나 악성 프로그램을 업데이트하기도 한다.  

일반 사용자(PC)에 대해서도, Web 관리자(서버)에 대해서도 근본적인 대책은 없다. 요구되는 것은 조금이라도 피해를 경감하기 위한 노력과 대처이며, 해야 할 것은 지금까지와 변함은 없지만 요점을 파악하여 효과를 높이는 것이 중요하다.


실행중인 웹 어플리케이션의 취약성 확인 

현재 보고되어 있는 Gumblar 공격에 대해서 PC에서는 어떤 대책을 실시하는 것이 좋은가?
일반적으로 아래의 다섯 가지 대책을 들 수 있다.

(1) Windows Update를 실시
(2) Adobe Reader, Flash Player, JRE를 최신 상태로 유지
(3) 백신 소프트웨어를 최신 상태로 유지
(4) JavaScript의 이용을 제한 (예를 들면 Firefox 및 확장 기능 RequestPolicy 조합)
(5) FTP의 사용을 자제

가정 내의 PC 인 경우, 이 조치를 쉽게 실천할 수 있을 것이다. 그러나 조직내의 PC의 경우는 얘기가 달라진다. 모든 대책을 강구하는 것이 어려울 수도 있다.

중요한 것은 감염된 PC에 대비한 대책과 우선 순위를 생각하는 것에 있다. 먼저 철저히 점검해야 하는 것이 (1)과 (2)의 취약성 대책이다. 이 때, 각각의 PC에 설치되어있는 응용 프로그램이 최신 버전인지를 확인하는 것이 좋다. 덴마크 세큐니아가 제공하고 있는 Secunia PSI 와, 정보 처리 추진기구 (IPA) 에서 제공하고 있는 "MyJVN"을 사용하면 좋을 것이다

그래도 업무상의 사정으로 모든 응용 프로그램의 버전을 최신 상태로 할 수 없는 경우도 있다. 이 경우, Web 사이트를 열람할 시, 주의를 기울이는 등 PC의 운영 측면에 신경을 쓰는 수밖에 없다.

 

 여러 백신 소프트웨어 사용 감지 속도 업

다음은 (3) 백신 소프트웨어이다. 대부분의 사용자는 이미 백신 프로그램 정도는 설치를 완료한 상태 라고 말할 것이다. 하지만 현재 Gumblar 공격에는 수많은 종류의 악성 프로그램들이 사용 되고 있다. 그리고 감염 시에 발생하는 증상 또한 다양하게 보고 되고 있다. 블루 스크린이 뜨거나, 특정한 프로그램이 작동되지 않는 증상도 발견되고 있다.

사실, Gumblar 대책의 어려움 중 하나는 변종 악성 프로그램이 계속해서 만들어져 백신 소프트웨어만으로는 충분히 감지, 제거할 수 없다는 것이다. 대책 강화 방안으로 고안되는 것은 바이러스 대책을 다단계로 적용 하는 것이다.

예를 들어 PC에 설치되어 있지 않는, 이른바 온라인 스캐너 같은 백신 소프트웨어를 여러 개 사용하여 PC를 검사하는 것이다. 관련 소프트웨어로는 "Dr.Web CureIt!", "Kaspersky Online Scanner" 등 이 있다. 이 중 Dr.Web CureIt!은 온라인 스캐너가 아닌, 설치가 불필요한 실행 파일 형식으로 USB 메모리 등에 넣고 다닐 수 있기 때문에 매우 편리하게 사용할 수 있다.

백신 소프트웨어 업체들은 각자 내세우는 분야가 다르기 때문에, A사 제품에서 바이러스가 발견 되었으나, B 사 제품에서는 발견되지 않는 등의 문제가 발생할 수 있으니, 가능하다면 여러 스캐너를 이용하는 것이 바람직하다.

 

 가능하면 JavaScript의 동작을 제한

 공격 당한 웹 사이트를 방문하더라도 문제가 발생하지 않는 안전한 환경을 만드는 것 또한 중요한 대책 중 하나이다. 구체적인 방안으로 JavaScript의 동작을 제한하는 것을 들 수 있겠다. Gumblar에서 공격자는 사용자가 바이러스(악성 프로그램)를 배포하는 사이트에 연결시키기 위해, Web 사이트의 내용을 갱신한다. 이러한 리디렉션에 대한 코드를 짜기 위해 JavaScript를 사용한다. 따라서 (4) JavaScript의 이용 제한은 매우 효과가 크다.

대표적인 것은 Firefox에 NoScript와 RequestPolicy 등의 Add-on 기능을 결합하는 방법이다. 브라우저를 선택할 권한이 주어진 환경이라면, Web 브라우저를 변경하는 것을 권장하고 싶다. 브라우저만이 아니다. 최근에는 Adobe Reader의 취약성을 악용한 공격이 눈에 띄고 있다.

 이러한 취약성의 일부는 Adobe Acrobat JavaScript를 비활성화하면 된다. Adobe Acrobat JavaScript 비활성화 절차는 Acrobat 이나 Adobe Reader 실행 후, 메뉴에서 "편집 (E)"→ "환경 설정 (N)"으로 가서 "JavaScript"를 선택 "Acrobat JavaScript를 사용 (J)"의 체크를 해제하면 JavaScript가 실행되지 않게 된다. (Adobe Reader 9의 경우).

물론 공격자 사이트, 혹은 그곳으로 리디렉션시키는 사이트에 엑세스하지 않으면 사용자가 피해를 입지는 않는다. 대부분의 브라우저는 Google과 자신의 독자적인 블랙리스트를 참조하여, 위험 사이트 열람에 대해 경고하도록 되어있다. 단, 실제로는 이 블랙리스트의 작성만으로는 따라잡지 못할 속도로 빠르게 사이트 변조 공격이 확산되고 있다.

여기서 힘을 발휘할 수 있는 것이 바로 입소문에 의한 정보의 이용이다. 잘 알려져 있는 Firefox WOT(클릭) 라는 기능은, 이 애드온(add-on)을 인스톨해 두는 것으로, 소위 말하는「위험한 사이트」에 액세스하려고 했을 경우에 경고를 해준다. WOT는 "WOT 커뮤니티"에 참가하는 800 만명 이상의 사용자가 신뢰성, 업체의 신뢰도, 개인 정보, 어린이에게 안전한 정도 등의 척도로 사이트를 평가하는 방식을 이용한다. 따라서 Gumblar에서 사용될 법한 바이러스에 의해 변조된 Web 사이트라도 조기에 발견할 수 있다.

 

 Gumblar의 특징적인 통신을 차단하라

 Gumblar에 국한되지 않고, 바이러스 등의 악성 프로그램은 아무런 이유없이 갑자기 감염되는 것은 아니다. 우선 취약성을 악용하여 시스템 권한 등을 탈취당한 이후에, 본의 아니게 바이러스 본체를 강제 다운로드 받게 되는 것이다. 즉, 어떤 사정으로 보안 대책을 실시하지 못하고 취약성이 악용되었다 치더라도 바이러스 본체만 다운로드 하지 않으면 감염되지 않는다.

그래서 부득이하게 조치를 취할 수 없는 사용자는 백신 소프트웨어 외에 서드 파티의 개인 방화벽 사용을 권장한다. 현재 유행하고 있는 Gumblar(통칭 8080계)는 8080번 포트의 TCP를 이용하여 바이러스 본체를 다운로드 하는 것이다. 즉, PC의 통신 포트를 제한할 경우 바이러스 감염을 막을 수 있다.


  작성자: 콩고우치 카즈키 (金剛地一樹) 
                 주식회사 LAC 
                 computer security 연구소
 
 
원문보기