[현장에서] 악성코드 유포하는 웹사이트 해법은

글자 작게 글자 크게 인쇄하기
김소헌 안철수연구소 선임연구원
<김소헌 안철수연구소 선임연구원 >

 웹사이트를 평소처럼 방문했는데 갑자기 PC에 설치된 백신 프로그램이 악성코드에 감염됐다는 메시지를 보여줘 당황할 때가 있다. 웹사이트가 해킹돼 악성코드를 유포하고 있기 때문이다.

 이런 형태의 공격으로 피해가 느는 이유는 금전적인 이익을 취하려는 해커 때문이다. 요즘은 해커의 공격 방식이 온라인 게임이나 스팸, 허위백신과 같은 매체에 특화돼 있고, 공격 기법 또한 전문화되고 있다. 일례로 국내에서 많이 유포되는 온라인 게임핵의 경우 계정을 탈취하는 게임의 종류나 악성코드 내부 기능들이 처음부터 국내 PC환경에 맞게 제작된다.

 해커의 공격 방식이 점점 고도화되고 있지만 웹 환경은 여전히 보안에 취약하다. 평범한 웹사이트가 해킹돼 악성코드를 유포하기 시작한 것은 이미 오래 전부터의 일이다. 보안업계 종사자뿐 아니라 일반 사용자들도 잘 아는 내용이지만 상황은 악화일로에 있다.

 유포된 악성코드들은 대부분 사용자 정보를 탈취하는 것들이고, 이 정보는 사이버 블랙마켓 등에서 판매될 것이다. 웹 사이트를 통한 악성코드 유포는 특정 그룹을 타깃으로 공격할 수 있다. 효과도 매우 뛰어나다. 때문에 악성코드 제작자들은 더 이상 이메일이나 P2P를 이용해서 악성코드를 유포하지 않는다.

 3·4 DDoS 공격 당시 악성코드를 유포했던 업체들의 대부분은 공격이 발생하기 수개월 전부터 홈페이지에서 다른 악성코드를 유포하고 있었다. 그 가운데 일부 사이트는 현재도 악성코드를 유포한다.

 이런 위협에 대처하는 가장 좋은 방법은 예방이다. 일단 서버가 해커에 손에 들어가면 백도어를 찾기란 쉽지 않다. 찾아낸다 해도 이미 주변 시스템들까지 모두 장악된 터라 문제가 재발하는 경우가 많다. 악성코드를 유포하는 대부분 사이트들의 관리자는 해킹된 사실을 모른다. 이를 인지해도 근본적인 문제가 해결되기 전까지 계속 해커에게 이용된다.

 웹 보안 강화를 위한 자료들이 많기 때문에 웹사이트 관리자들은 이런 상황에서 무엇을 해야 하는지 이미 잘 알고 있을 것이다. 상황을 개선하기 위해 필요한 것은 기술적 완성도를 높이는 것보다 개선을 위한 결정권자의 강력한 의지와 지원임을 잊어선 안된다.

 김소헌 안철수연구소 시큐리티대응팀 선임연구원 sohkim@ahnlab.com