본문 바로가기

보안칼럼

이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.

2009, 2010, 2011 해 마다 사회적 이슈를 만들었던 DDOS 공격의 루트는 대부분 웹하드 사이트였습니다.


DDOS 공격을 실행했던 해커들은 보안이 취약한 웹하드 사이트를 해킹한 뒤, 웹하드 이용자들의 PC가 자동으로 악성코드를 내려 받도록 유도하는 수법을 사용하여 짧은 시간 동안 수 십만 대의 컴퓨터를 손쉽게 좀비 PC로 만들었습니다. 특히 윈도우OS 보안패치나 플래시플레이어 보안패치등을 최신으로 항상 유지하고 있지 않다면 해당 보안 취약점을 이용하여 손쉽게 악성코드가 침투하게 됩니다.
이렇듯 악성코드 감염이 쉽게 이루어지는 이유는 OS와 SW의 보안취약점 혹은 사용자의 잘못된 보안습관 때문이기도 하지만, 이에 앞서 웹사이트를 운영하는 사업자들이 서버운영에 보안을 고려하지 않기 때문입니다.


일단 해커가 특정 홈페이지를 해킹하는데 성공하면, 그 사이트를 믿고 이용하는 불특정 다 수의 사용자 PC에 악성코드를 설치하기는 매우 쉽습니다. 때문에 사업자는 이용고객들에게 피해를 주지 않기 위해서라도 웹서버에 적절한 보안조치를 해야 하지만, 해킹을 당해도 서버에는 직접적인 피해가 발생하지 않는데다, 보안을 강화하기 위한 비용이 많이 들기 때문에 보안투자에 소극적인 경우가 있습니다.


알약분석팀에서는 취약한 웹사이트를 분류해 모니터링을 실시하고 있는데, 확인 결과 상당수의 웹하드 사이트가 정기적으로 악성코드를 유포하고 있고, 올해 발생한 3.3 DDOS 공격코드의 거점으로 악용되었던 웹하드 사이트들 까지도 여전히 악성코드를 유포하고 있다는 것을 확인할 수 있었습니다.



유명 웹하드 사이트의 홈페이지 변조내역

<유명 웹하드 사이트의 홈페이지 변조내역>


 

주말에 서버를 변조했다가 월요일 0시를 기해 유포를 중지하는 공격 패턴을 반복하면서 웹사이트 자체에는 피해를 주지 않고, 방문자들의 PC에만 몰래 악성코드를 설치하는 이런 공격은 벌써 수 년째 계속되고 있습니다.


하지만 앞으로 이 고질적인 문제가 개정된 전기통신사업법으로 인해 조금이나마 해소될 전망입니다.
올 11월 개정된 ‘전기통신사업법 시행령’에 의하면, ‘특수한 유형의 부가통신서비스’를 경영하려는 (웹하드와 P2P로 대표되는) 신규 사업자는 반드시 먼저 방통위에 등록해야 하며, 기술적인 이용자 보호계획을 세워야 합니다.


그 밖에 불법 저작물?청소년 유해정보 유통방지 및 정보보호를 위한 기술적 조치 실시계획, 불법,유해정보, 불법 저작물 유통모니터링을 위한 24시간 상시 모니터링 요원 배정 계획, 자본금 3억원 이상임을 증명할 수 있는 서류, 사업계획서 등도 구비되어야 등록이 가능하다고 합니다.


이미 운영중인, 기존의 사업자들도 6개월 내에 이 등록요건을 만족해야 하므로, 대부분의 웹하드 사이트에서는 기술적인 이용자 보호 계획이 검토될 것입니다.
규제를 한다고 해서 웹하드로부터 발생되는 악성코드 감염이 모두 예방되는 것은 아니지만, 최소한의 이용자보호계획이 세워지고 검토될 거라는 점에서, 국내 웹하드 사이트의 전반적인 환경변화와 보안 수준 향상이 기대됩니다.