최근 몇달동안 제가 글을 쓰는 주요한 의제는 바로 보안 중 웹 보안에 대한 부분입니다. 각종 침해사고부터 방법론까지, 하지만, 글을 써도 그렇게 쉽게 고치거나 하는 등의 대응이 부족합니다.

오늘 다시 소개하려는 소식 또한 봇넷에 대한 것입니다. 봇넷은 보안이 약한 사용자의 컴퓨터에 은밀한 프로그램을 설치하여 동작하게 하여 나중에 이를 원격에서 조종하는 방법을 수십 아니 수천 대 이상의 컴퓨터를 아울르는 네트워크 체계를 의미합니다.

이러한 봇넷을 만드는데 가장 효과적인 방법은 보안의 취약한 웹 서버(데이터베이스 서버)를 공격하여 침해 코드를 서버에 넣어 두고, 이를 방문하는 사용자는 자신도 모르게 봇넷의 일원이 되게 하는 SQL 인젝션 공격입니다.

지난 5월과 6월 경에는 Asprox라는 이름을 가진 봇넷이 구축된 것으로 알려지고 있습니다. 약 천여 대이상의 웹 서버들이 이용당했으며 이를 통해 수십 만개 이상의 웹페이지가 감염된 것으로 알려졌습니다. 하지만, 재미있는 사실은 봇넷이 구축된 이래로 아무런 활동을 벌이지 않고 있다는 점입니다.

하지만, 며칠 전인 9월 30일에 드디어 Asprox 봇넷이 활동을 시작했다고 합니다. 국내에서는 공격에 대한 피해가 전무해서 그런지 이에 대한 어떠한 자료도 나오지 않은 상태입니다.

Asprox는 취약한 ASP 웹서버를 공격하여 여기에 코드를 삽입하는 즉, SQL 인젝션 공격을 수행한 아주 전형적인 수법이 사용되었습니다.

삽입된 코드는 "ads-t.ru" 도메인이며, 실제 스크립트는 "ads-t.r/ads.js"입니다. 실제로 구글에서 해당 도메인으로 검색해 보면 약 1,400 여개의 링크가 검출되는 것을 확인할 수 있습니다.

국내외적으로 웹 보안의 문제점이 지속적으로 나타나고 있지만, 제대로 된 해결책이 아직까지 나오지 않고 있습니다. 언제쯤이면 이러한 공격이 사라질까요?


reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    댓글을 달아 주세요



    Web Analytics Blogs Directory