◆UN, 英정부 등 수많은 웹서버 해킹

웹센스 보안 랩(Websense Security Labs)은 지난 22일 공식 블로그에서 “악성 자바스크립트 삽입 공격을 최근 추적해 본 결과, UN과 영국 정부 홈페이지 등이 수만은 웹사이트가 동시에 감염, 2~3주 전부터 공격이 시작된 것으로 파악됐다”며 “공격자는 새로운 도메인으로 바꿔 가며 악성 코드를 배포하고 있다”고 긴급 공지했다. 업계에서 추정한 감염 서버 수는 약 50만개다.

이번에 발생한 공격은 사용자들이 특정 웹사이트에 접근하면 자바스크립트가 자동 실행되고, 사용자들 컴퓨터의 접근 권한을 탈취하는 방식으로 동작하는 것이다. 자바스크립트가 악성 코드 호스팅 서버로부터 아이프레임을 읽어 들인 뒤, 악성 코드가 지정한 다른 웹페이지로 브라우저 창을 납치해 버린다. 일부 악성코드는 사용자 PC에 내려 받도록 한 경우도 있는 것으로 알려졌다. 이러한 공격은 이미 보안 전문가들에게는 잘 알려져 있는 것으로, 새로운 기술은 아니다.

웹센스 리서치 팀이 이번이 탐지한 자바 스크립트는 nihao.com에서 올려 둔 ‘1.js’가 1.htm 파일을 읽어 들이고, 이후 8가지 다른 공격을 추가 병행하는 구조로 되어 있다. 2117.net 나 nmida.com 등도 같은 방식으로 동작하고 있는 것으로 볼 때 동일한 해커가 중국 도메인을 변경하며 잇달아 공격을 하고 있는 것으로 보인다.

이와 앞서 웹센스 팀은 지난 14일에도 공식 블로그에서 “악성 자바스크립트 아이프레임(malicious JavaScript iframe)이 최근 전 세계 수많은 웹사이트에 삽입됐다”며 “보안 업계에서는 새로운 건 아니지만, 이러한 악성 코드가 지난 2월부터 중국에 있는 일부 악성코드 호스트에서 호출되고 있다”고 설명했다.

브라이언 크랩스(Brian Krebs) 워싱턴포스트(WP) 취재기자 역시 지난 25일 자신의 공식 블로그에서 ‘수많은 MS 웹서버가 해킹 당했다(Hundreds of Thousands of Microsoft Web Servers Hacked)’는 제하의 글에서 “UN이나 영국 정부 등 MS 웹서버를 사용하는 주요 웹사이트들이 최근 웹사이트 방문객들의 PC에 악성 코드를 몰래 심는 해킹을 당했다”며 “해커들은 MS 인터넷 인포메이션 서비스(IIS) 웹서버의 보안 취약점을 이용한 것으로 보인다”고 주장했다.

국제 기구인 SANS 인터넷스톰센터(ISC) 역시 최근 “특정 도메인에서 악성 코드를 배포하는 자바스크립트가 삽입되는 SQL 인젝션 공격이 감지됐다”며 경고한 바 있다. 지난 1월에 발생한 웹사이트 1만여개 감염사고 역시 SQL 인젝션 공격으로 밝혀지기도 했다.

단초 단체브(Dancho Danchev) 보안 전문가는 WP와 인터뷰에서 “웹사이트 운영자들은 최근 이러한 종류의 공격을 받았는지 반드시 살펴봐야 한다”며 “대부분 nihaorr1.com , haoliuliang.net , 2117.net , 2117966.net 등으로 불리는 일부 중국 도메인으로부터 악성 코드를 슬그머니 내려 받을 수 있도록 자바스크립트 코드를 추가했다”고 설명했다. 실제로 다양한 커뮤니티에서 정체 불명의 스크립트에 대해 문의하는 일이 폭증했다.

이러한 코드에 감염된 웹서버는 구글 검색을 통해 확인할 수 있는 상황이다. 실제로 구글에서 악성 코드 루틴을 검색해 보면 UN 웹사이트의 일부는 여전히 악성 코드에 감염된 상태이고, 영국 정부는 현재 문제점이 완전히 제거됐다. 구글에서 특정 웹사이트의 감염 여부를 확인하기 위해서는 ‘inurl: abcde.com(검색 대상 도메인) www.nihaorr1.com(악성코드 호출 호스트명)’ 이라고 검색하면 된다. 다른 악성 코드를 확인하기 위해서는 도메인 명칭만 바꿔 주면 된다.

◆MS 취약점은 아닌 듯…SQL 공격에 무방비

이와 관련, 핀란드 안티 바이러스 F시큐어(F-Secure)는 24일 공식 블로그에서 “수많은 웹사이트에서 ‘대량 SQL 인젝션’ 공격에 노출되어 있다”며 “구글에서 검색해 본 결과 이미 51만 여개 페이지가 이미 개조된 상태(잠재적인 위험)”라고 지적했다. 이 정도라면 국내에서도 유사 피해가 우려되는 상황이다.

F시큐어는 “우선, 웹사이트 로그에 문제의 특정 코드가 있는지 분석한 뒤, 방문객들이 악성코드에 감염되지 않도록 막아야 한다”며 “또한 모든 데이터는 방역 처리하고, 문제의 사이트 접속은 차단해야 한다”고 설명했다. 다만 관계자는 “이러한 취약점은 MS 웹서버나 MS SQL의 취약점과는 전혀 관련이 없다”고 덧붙였다.

MS 측도 “MS 제품의 보안 취약과는 관련이 없다”는 입장을 밝혔다. 빌 시스크(Bill Sisk) MS 보안 응답 센터(Microsoft Security Response Center, MSRC) 관계자는 공식 블로그에서 “최근 웹서버 공격 사태와 관련 혼란스러운 보안 보고서가 상당수 있다”며 “자체 조사 결과 알려지지 않는 IIS 보안 위협은 아니다”고 강조했다. 그는 “이번 SQL 인젝션 공격은 IIS 6.0, ASP, ASP.Net 이나 MS SQL 핵심 기술과 무관하다”며 “SQL 공격을 막기 위해 웹사이트 개발자들은 공식 웹사이트에 있는 보안 개발 방식을 준수해야 한다”고 지적했다. 개발자들이 SQL 개발 원칙을 지키지 않은 것이 문제라는 설명이다.

그는 공식 블로그 뿐만 아니라 자신의 블로그에서도 SQL 인젝션 공격을 막기 위한 개발 방법에 대해 안내하는 등 사태 확산을 막기 위해 자세히 안내했다.

전문가들은 “빈약한 SQL 코딩 기술이 최근 잇달아 불거진 SQL 인젝션 공격을 야기했다”며 “개발자들은 업계 표준 개발 방식을 준수해야 한다”고 지적하고 있다.

◆네티즌들, 자바스크립트 선별 허용 기능 활용해야

일반 사용자들은 이러한 악성 코드에서 벗어나기 위해서는 파이어폭스의 애드온인 ‘자바 스크립트 방지’(noscript, http://noscript.net) 기능 등을 사용해야 한다. 이는 해킹과 관련된 사이트의 자바스크립트는 선별적으로 사용하지 못하도록 하는 소프트웨어다. 인터넷 익스플로러(IE) 사용자들은 자바스크립트 기능 전체를 한꺼번에 막을 수는 있지만, 선별하는 기능은 없다.

국내 보안업계 관계자는 "SQL 인젝션 공격은 나온지 꽤 오래 됐음에도 불구하고 아직도 많은 수의 공격이 이루어지고 있다"며 "개발과 함께 보안에 대한 인식이 매우 향상돼야 한다는 반증"이라고 설명했다.

◆SQL 인젝션(Injection) 공격 = 데이터베이스(DB) 서비스인 ‘SQL’의 쿼리 문자열 사이에 특정 악성 코드를 몰래 삽입해 넣은 뒤 실행시키는 해킹 공격 방법이다. XSS(크로스 사이트 스크립팅)과 함께 해커들이 가장 즐겨 사용한다.