본문 바로가기

보안칼럼

이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.

악의적인 소프트웨어가 아니라고 해서 반드시 안전한 것은 아닙니다.


사용자를 속여 설치되는 악성코드나 비 정품 소프트웨어를 사용하면 처음부터 많은 위험이 발생합니다.
하지만 인터넷 자료실에서 받은 정상인지 아닌지 알 수 없는 애매한 경계의 소프트웨어들을 사용할지 말지는 무얼 보고 결정하시나요?


지금은 대부분의 소프트웨어가 인터넷에 연결되어 취약점을 패치하거나 원격컴퓨터를 통해 정보를 교환하고 있습니다.


관리에 문제가 있는 프로그램들은 이 과정에서 심각한 취약점을 노출 시키기도 하며, 아예 서버를 해킹당하기도 합니다.


이제 소프트웨어를 선택할 때, 많은 사용자를 확보하고 있는 안전하다고 여겨지는 소프트웨어라 할지라도 설치 이후에 일어나는 기능의 변경 또는 해커의 공격 등으로부터 무조건 안심할 수 만은 없다는 것까지 고려해야 하는 상황이 되었습니다.


 

정상적인 소프트웨어를 통한 피해 가능성


A. 인기 캡쳐 툴


얼마 전 대표적인 국산 캡쳐프로그램 중 하나인 모 툴 운영업체의 업데이트 서버가 해커에게 공격받은 사례가 있습니다.
ID/PW 탈취용 해킹툴이 해당 프로그램의 패치파일로 위장되어 이용자 PC에 배포되었고, 해당업체에는 해킹피해사실을 인정하며 사과문을 게시했습니다.


모 툴 운영업체의 사과문

<모 툴 운영업체의 사과문>


 

B. 각종 PUA(Potentially Unwanted Application)


인터넷 자료실들을 통해 무심코 설치되는 PUA(잠재적으로 사용자가 원하지 않는 애플리케이션), 툴바, 광고 어뷰징 프로그램들의 업데이트서버가 탈취당해, 이용자들에게 악성코드를 유포한 사례는 이미 다수 발견된 바 있습니다.


심지어 해커가 업데이트서버를 탈취한 뒤, 이를 들키지 않고 장기간 이용하기 위해 평일 낮에는 정상적인 업데이트 파일을 배포하다가, 새벽이나 주말만 골라 악성코드를 유포한 사례가 발견되기도 했습니다.


C. 보안 프로그램


최근에는 시스템을 보호하기 위해 만들어진 보안프로그램조차 안심할 수 없다는 의견도 나오고 있습니다.
특정 보안프로그램이 기업내의 모든 PC에 필수 설치되어있다는 점을 역으로 이용해, 보안 프로그램의 관리자 권한을 획득하면 사내의 모든 PC를 손쉽게 공격대상으로 삼을 수 있기 때문입니다.


D. 이용률이 높은 프로그램


공격자 입장에서는 대중에게 인기가 많은 프로그램일수록 업데이트 서버를 공격할 가치가 높아집니다.
업데이트 서버 탈취에 성공할 경우, 사용자가 많으면 공격 가능한 타겟도 늘어납니다.


 

소프트웨어 업데이트 체계를 노리는 해킹의 대처방법


이 같이 정상 소프트웨어의 업데이트 서버를 탈취하여 해당 프로그램의 사용자들을 한꺼번에 해킹하는 공격방법은 앞으로도 계속될 것으로 보입니다.
하지만 업데이트서버에 대한 공격은 이용자보다 프로그램을 제공하는 측의 주의가 절대적으로 필요한 사항입니다.


그렇다면 주로 소프트웨어의 사용자인 기업 측에서는 어떤 주의를 기울여 리스크를 줄여볼 수 있을까요?


 


1. 많은 사용자를 확보한 프로그램이 APT공격의 도구로 사용되는 일이 잦아지고 있다. 평판이 좋은 소프트웨어라도 보안사고의 가능성을 배제하지 말아야 한다.2. 불법소프트웨어는 물론이고 정품이라도 업무에 불필요한 프로그램의 설치는 정책으로 금지한다.

3. 최종 PC사용자인 임직원들에게 이 같은 내용의 보안교육을 실시한다.

4. 관리자는 주기적으로 불필요한 프로그램의 목록을 조사하고 삭제한다.

5. PMS와 같은 강력한 권한의 관리툴은 보안을 특히 강화하고 PW를 주기적으로 교체한다.

6. 위험 가능하다고 판단되는 프로그램의 불필요한 사용이 계속되면, 방화벽을 이용하여 해당 어플리케이션의 업데이트 주소를 차단한다.

7. 소프트웨어 도입 시 해당 제품의 업데이트 관리체계가 높은 보안 수준을 가지는지 확인한다.
    (개발사와 제품의 보안인증 등을 확인)