서버 소프트웨어의 보안 설계를 함에 있어 가장 골치아픈 것 중의 하나가 요즘 한국을 떠들썩하게 하고 있는 DDoS 공격입니다. 그런데, 이러한 DDoS 공격은 항상 있어 왔고 전혀 새로운 것이 아니기 때문에, 이번에 갑자기 한국에서 큰 이슈로 등장한 이유가 매우 궁금하여 이리 저리 검색을 해보았습니다.
이번에 퍼지고 있는 웜 바이러스는 W32.Dozer 라는 것으로 감염이 되면 Trojan.Dozer 를 설치하는 것으로 알려져 있습니다. 이 트로이 목마 프로그램이 DDoS로 공격하는 주목표는 한국의 정부, 은행과 미국 정부 싸이트이기 때문에, 한국 싸이트들을 마비시키며 이슈화되지 않았나 생각이 드는군요.
우연히도 이틀전 하나의 수상쩍은 메일을 받았는데 임의로 작성된 제목에 하나의 URL 링크만 달랑 있는 메일이었습니다. 이 URL이 가르키는 페이지의 내용을 다운로드하여 잠시 분석해 보니 역시나, MyDoom과 비슷한 웜바이러스 였습니다. 아마도 Dozer에 감염된 PC에서 2차적으로 전파시킨 웜 바이러스가 아닌가 생각이 됩니다. 이 웜 바이러스는 아래와 같이 기존에 이미 알려진 윈도우즈의 보안 취약점을 이용한 공격을 시도하고 있었습니다.
이들 공격에 사용된 두 싸이트는 www.roaster.kr, www.om108.com 로 한국과 중국의 웹싸이트인 것이 좀 특이하였습니다.
이번에 퍼지고 있는 웜 바이러스는 W32.Dozer 라는 것으로 감염이 되면 Trojan.Dozer 를 설치하는 것으로 알려져 있습니다. 이 트로이 목마 프로그램이 DDoS로 공격하는 주목표는 한국의 정부, 은행과 미국 정부 싸이트이기 때문에, 한국 싸이트들을 마비시키며 이슈화되지 않았나 생각이 드는군요.
우연히도 이틀전 하나의 수상쩍은 메일을 받았는데 임의로 작성된 제목에 하나의 URL 링크만 달랑 있는 메일이었습니다. 이 URL이 가르키는 페이지의 내용을 다운로드하여 잠시 분석해 보니 역시나, MyDoom과 비슷한 웜바이러스 였습니다. 아마도 Dozer에 감염된 PC에서 2차적으로 전파시킨 웜 바이러스가 아닌가 생각이 됩니다. 이 웜 바이러스는 아래와 같이 기존에 이미 알려진 윈도우즈의 보안 취약점을 이용한 공격을 시도하고 있었습니다.
- MDAC vulnerability http://www.microsoft.com/technet/security/Bulletin/MS06-014.mspx
- Yahoo WebCam ActiveX vulnerability http://www.kb.cert.org/vuls/id/949817
- Zero day Flash vulnerability using http://www.roaster.kr/branch/br_img/upsa.jpg
- IE vulnerability http://www.microsoft.com/technet/security/bulletin/ms06-057.mspx
이들 공격에 사용된 두 싸이트는 www.roaster.kr, www.om108.com 로 한국과 중국의 웹싸이트인 것이 좀 특이하였습니다.
그런데 이러한 공격방법은 이미 수년전부터 알려진 것으로 최신 보안 패치를 적용한 경우, 쉽게 감염되지 않습니다. 특히 많은 공격 수법이 ActiveX의 보안 취약점을 이용한다는 것인데, ActiveX를 지원하지 않는 FireFox를 쓰거나, IE에서 ActiveX 사용을 disable함으로써 많은 공격을 차단할 수 있다는 점입니다. 한국의 경우 정부를 비롯해 금융기관까지 ActiveX를 많이 사용하고 있기 때문에 ActiveX의 실행을 disable 시키기 힘들다는 점에서, 한국이 상대적으로 웜 바이러스의 공격에 더 취약하다고 하겠습니다.
오늘 우연히 7월 6일에 MS싸이트에 올라온 또 다른 ActiveX 관련 보안 경고를 보게 되었습니다. 이 보안 취약에 대한 보안 패치는 다음 주 화요일에 발표될 예정이라고 합니다. 그런데, 이 보안 취약점을 살펴보면 IE의 Microsoft Video ActiveX Control을 이용하여 임의의 원격 코드 실행(Remote Code Execution)을 할 수 있다는 것입니다. 이 ActiveX 컨트롤이 얼마나, 또 어떻게 자주 사용되는 지는 알 수 없으나, 이 취약점을 악용하도록 조작된 비디오 파일을 IE에서 플레이 하는것 만으로도 웜바이러스에 감염이 된다는 것, 즉 다시 말해 감염된 웹싸이트를 단순히 방문하는 것 만으로 웜바이러스에 감염되고 이 바이러스가 내 컴퓨터를 마음대로 제어할 수 있다는 것으로 상당히 심각해 보입니다. 이번 한국에 W32.Dozer이 퍼진 시기와 이 보안 취약점이 알려진 시기가 거의 같은 것은 우연의 일치일까요 아니면 이것이 진짜 주범이었을까요?
