Seoul, Korea - Update management server has become the main target of hackers. According to INCA Internet Corporation, a security company, malicious files have spread via customer management programs of internet cafes, a.k.a. PC Bang. The malicious files seem to have been developed by the same hacking organization that had attacked major government institutions and media outlets on June 25th. Customer management program is designed to control all the computers in the PC Bang, and seems to have been misused as a route to spread malicious codes. The problem is that hackers take advantage of the update function of customer management program. For instance, the DDoS attack was done through the update management program of web hard companies. In the similar period, the computer networks of media outlets were affected by malicious code via program update servers. All the hacker attacks seem to have recognizably same patterns. Experts analyze that hackers abuse update functions to maximize the effect of their attacks. It is impossible to check all the update details from outside when it comes to internal servers of a private company. This reduces the risk of exposure for hackers. Accordingly, the regulator needs to introduce new measures, assuming that there is no safehouse from hackers’ attacks. “Hackers deliberately modify programs or misuse security solutions, which is impossible to identify even with the Managed Security Service (MSS)”, “We need security measures like integrity check to identify a normal file”, said a person from INCA Internet Corporation.
게임방 프로그램 통해 악성파일 전파…6·25 해커 동일 조직 소행
`해커는 업데이트 기능을 노린다.`
프로그램을 최신 상태로 관리, 유지하는 업데이트 관리 모듈이 해커들의 주 타깃이 되고 있다. 악성코드를 유포하는 주 경로로 업데이트 기능을 악용하는 사례가 잇따라 발견돼 주의가 요구된다.
보안 업체인 잉카인터넷은 지난 6월 25일 국내 주요 정부 기관과 언론사를 공격한 해커들과 동일 조직이 개발한 것으로 보이는 악성파일이 게임방 클라이언트 관리 프로그램을 통해 전파된 정황을 포착했다고 9일 밝혔다. 6월 14일 오전 8시께 관리 프로그램이 변조된 것으로 파악됐으며, 현재 해당 프로그램은 다운로드가 중단된 상태다.
이번에도 업데이트 기능이 악용됐다. 클라이언트 관리 프로그램이란 PC방 내 컴퓨터를 일괄 제어할 수 있는 프로그램으로 악성코드를 감염시키는 경로로 활용된 셈이다.
주목되는 건 대형 사이버 공격이 발생할 때마다 이런 업데이트 기능이 악용되고 있다는 점이다. 6월 25일 정부 사이트에 분산서비스거부(DDoS) 공격을 가했을 때도 웹하드 업체들의 업데이트 관리 프로그램이 이용을 당했다. 또 같은 시기 공격을 받은 언론사와 방송사도 내부에서 사용하는 제작 프로그램의 업데이트 기능이 악용돼 악성코드가 전파됐다. 이 뿐만 아니라 지난 3월 20일 사이버테러 때도 일부 보안 프로그램의 업데이트 기능이 악용되는 등 공통된 패턴들이 발견되고 있다.
전문가들은 짧은 시간 내 공격 효과를 극대화할 수 있기 때문에 해커들이 업데이트 기능을 악용하는 것으로 풀이하고 있다. 특히 기업 내부 등 특정 목적에서 사용하는 프로그램의 경우 업데이트 내용까지 외부에서 확인하는 건 불가능해 탐지에 노출될 위험이 적다는 분석이다.
이에 따라 새로운 방식의 대책 마련이 필요해 보인다. 해커가 불특정 다수만을 상대로 하지 않고 언론사 전용 프로그램 등 특수 집단을 집중 공격하는 테러 성격을 띠고 있는 만큼 해킹에 안전지대가 없다는 전제 하에 경계를 강화해야 한다는 지적이다.
문종현 잉카인터넷 팀장은 “정상적인 프로그램을 고의로 변조하거나 보안 솔루션을 악용하는 때문에 최신 백신이나 보안관제서비스를 이용해도 이를 파악하기란 사실상 불가능하다”며 “제조사가 실제로 만든 정상 파일인지 여부를 체크할 수 있는 무결성 검사와 같은 보안 대책이 필요하다”고 말했다.
윤건일기자 benyun@etnews.com
**Article provided by etnews [Korea IT News]
[Reference] : http://english.etnews.com/computing/2796823_1301.html
