HOME > 보안정보 > 최신보안동향
Security Information
문의사항
작성자 관리자 날짜 2010-04-22
제목 Gumblar의 현황과 대책 방법

 Gumblar의 현황과 대책 방법 

Gumblar란, Web 사이트의 변조를 통해, 방문자가 눈치 채지 못하는 사이 부정 사이트로 리다이렉트시켜, 악성코드를 클라이언트에 감염 시키는 공격 기법이다. 일본에서는 2009년 말 부터 Gumblar에 의해서 주요 기업의 Web사이트가 변조되는 피해를 입었다. 이에 대해 라크의 니시모토 이츠로우 이사 상무집행임원 최고기술책임자(CTO)에게 Gumblar의 현황과 대책 방법에 대한 내용을 알아보았다. 

질문자: 나카이 스스무(닛케이 컴퓨터)


 

Q. Gumblar에 의한 피해가 여전히 계속되고 있다.

A.
Gumblar 공격은 침입자가 Web 사이트 관리자의 FTP 계정을 탈취하여 Web 사이트를 변조시키는 공격으로, 해당 사이트의 방문자를 악성코드에 감염시키는 사이트로 강제 접속 시킨다. 우리 회사에서는 Gumblar를 조기에 발견하기 위하여 「Gumblar맵」 이라는 독자적인 분포도를 작성하여 감시를 강화하고 있다. 「Gumblar맵」은 FTP의 계정 정보를 탈취하는 호스트 컴퓨터와, FTP 서버에 무단으로 로그인을 실시하여 사이트를 변조하는 호스트 컴퓨터의 위치를 확인할 수 있다. Web 사이트의 변조에 대해 심각하게 생각하지 않는 기업은 의외로 많다. Web 사이트 담당자에게 변조되어 있는 부분을 지적하더라도, 겉으로 보아서는 별 차이가 없기 때문에 “어디가 잘못되었느냐”며 되려 화를 내기도 한다. 이 경우에는 Web 사이트의 소스에서 변조되어진 내용을 확인시킴으로써 이해를 구하기도 한다. Gumblar의 Web 사이트 변조는, 리다이렉트 되는 대상 사이트에서 악성코드를 클라이언트에 감염시킬 위험성을 동반한다. 따라서 기업은 복구를 위해 임시로 Web 사이트를 폐쇄하여야 한다. EC사이트처럼 Web 사이트가 비즈니스에 직결되는 기업이라면 Web 사이트의 폐쇄가 비즈니스에 미치는 피해는 매우 클 것이다.

 

Q. Web 사이트가 변조된다면 복구까지는 어느 정도의 시간이 걸리는가?

A.
Web 사이트의 규모에 따라서 다르지만 빠르면 하루 사이에 복구 할 수 있다. 하지만 페이지 수가 수만에 달하는 대규모 사이트이거나, Web 서버를 재구축 해야 할 경우에는 1주일에서 10일 정도 걸리는 경우도 있다. 만약 Web 사이트가 변조된 경우에는 당황하지 말고 신속히 복구에 착수 하는 것이 중요하다. Web 사이트의 변조로 인해 회사가 도산의 위험에 처할 정도로 심각한 문제가 발생할 리는 없기 때문이다.

 

Q. Gumblar를 통해, 사이트의 방문자는 악성코드에 감염될 위험이 있다.

A.
Gumblar에 의한 피해 사례에서는 주로 Web 사이트 변조라는 피해만이 주목되고 있지만, 그 뿐만이 아니라 그에 잇따르는 악성코드의 감염 위협 또한 잊지 말아야 한다. Web사이트의 변조로 인해 리다이렉트된 사이트에서 강제 다운로드된 멀웨어가 실제로 어떤 피해를 가지고 올 지에 대해 생각해 볼 필요가 있다. 공격자의 진정한 의도는 그곳에 있기 때문이다. 예를 들면 LAC는 Gumblar에 의해 감염 되는 악성코드 중에서 Windows OS의 취약점을 공격하는 “Conficker”의 변종을 확인하였다.

 

Q. 예전부터 존재하였던 SQL Injection 공격도 Gumblar와 마찬가지로 Web 사이트를 변조하여, 악성코드를 감염시키는 사이트로 유도하는 수법이었다. 차이는 무엇인가?

A.
SQL Injection 공격은 취약성이 있는 서버에 직접 공격을 해서 데이터베이스나 내용을 변조하는 것이었다. 하지만 지금은 SQL Injection에 의한 사이트 변조는 거의 볼 수가 없다. 왜냐하면FTP 계정을 사용하여 변조시키는 편이, 공격자에게는 훨씬 편하기 때문이다. SQL Injection공격으로는, 데이터베이스를 수정하려고 해도 태그가 인식되지 않거나 변조된 흔적을 확인하기 쉽기 때문에, 공격자의 측면에서는 효율성이 떨어진다.

 

Q. Gumblar의 대책으로 기업은 무엇을 해야하는가?

A.
Web 사이트의 변조를 검출해내는 기술을 도입하는 것도 효과가 있겠지만, 우선은 Web 사이트가 변조되지 않도록 하는 대책을 수립하는 것이 시급하다. 예를 들어 FTP 계정을 도난 당한 경우에도, FTP의 이용을 제한함으로써 공격자가 원격으로 FTP 계정을 이용해서 Web사이트를 변조할 수 없게 할 수 있다. Gumblar 공격 자체를 미연에 방지하기는 어렵다. 만약에 FTP계정을 도난당하더라도 악용되지 않을 정도의 보안 상태를 유지하되, 이러한 상태에서도 Gumblar 공격을 당할 수 있다는 마음가짐으로 대책에 힘써야 할 것이다.


작성자: 니시모토 이츠로우 (西本逸郎) 
               주식회사 LAC 
               이사, 상무집행임원 최고기술책임자(CTO)
 
 
원문보기