ARP스푸핑, 공격대상 웹서버에서 개인 PC로 방향 전환

▒ '보안이 허술한 우리집 PC 때문에 옆집 PC들이 악성코드에 줄줄이 감염된다?'


이처럼 희한한 사이버 해킹 피해가 최근 잇따라 발견되고 있어 이용자들의 철저한 주의가 요구된다.


9일 한국정보보호진흥원(KISA) 인터넷침해사고대응센터에 따르면, 가정용 PC에 숨어든 악성코드 하나로 네트워크 회선을 사용하는 아파트 이웃들의 PC들이 줄줄이 감염돼 소중한 개인정보가 유출되거나 아예 한동안 인터넷 서비스까지 마비되는 사례가 잇따르고 있다.


해당 악성코드가 감염PC를 마치 외부 인터넷을 연결해주는 게이트웨이로 속여 이웃집 PC 이용자들의 모든 인터넷 트래픽을 가로채 뒤 동일한 악성코드에 감염될 수 있는 코드를 삽입시켰기 때문. 이 경우, 이웃집 PC 이용자들은 아무리 정상적인 웹사이트에 접속했더라도 '코드'가 숨겨진 가짜 웹문서를 전달받게 돼 악성코드에 감염될 수 있다.


이른바 개인 PC를 대상으로 ARP 스푸핑(Spoofing)을 시도하는 악성코드다. ARP란 IP 주소를 물리적 네트워크(장비) 주소로 바꿔주는 프로토콜로, ARP 스푸핑은 이같은 ARP를 조작해 동일한 네트워크에 물려있는 다른 웹서버나 PC의 모든 이동 중인 데이터 패킷을 보거나 변조할 수 있는 공격을 말한다.


이 해킹방식은 사실 과거부터 해커들 사이에 잘 알려진 기법. 그러나 올해 초 한국 게임이용자들을 겨냥한 중국발 해킹과 결합 IDC되면서 가공할만한 사이버 공격방식으로 주목받았다.


가령, IDC에 입주한 웹서버 가운데 보안이 취약한 서버를 골라 이 공격을 수행할 경우, 같은 IDC에 함께 입주한 모든 웹서버(웹사이트)가 전혀 해킹을 당하지 않았더라도 이들 웹사이트에 접속한 방문자들은 모두 악성코드 감염 위협에 놓이게 된다.


작년까지만해도 유수 웹사이트 한곳을 뚫어 해당 웹사이트에 접속한 방문자들만 악성코드 감염 피해를 입었으나, 이같은 방식이 사용되면서 동일한 네트워크(세그먼트)를 사용하는 웹서버 한곳만 뚫려도 전체를 해킹한 효과를 보는 셈.


실제 얼마 전 국내 대형 포털 웹사이트에서 악성코드가 유포된 것도 이처럼 IDC에 함께 입주한 다른 서버가 ARP 스푸핑 공격을 당했기 때문으로 밝혀졌다.


최근에는 IDC에 입주한 웹서버가 아니라 아파트 등 개인 사용자PC를 대상으로 ARP 스푸핑 공격을 수행하는 악성코드를 감염시키는 방식으로 확대 발전하고 있다.


실제 서울의 모 아파트에 사는 인터넷 사용자는 최근 인터넷 서핑을 하다가 중국 소재의 악성코드 숙주사이트에서 ARP 스푸핑 공격을 시도하는 'googleons.exe'라는 악성코드에 감염됐다.


이 악성코드는 감염PC를 외부 네트워크와 연동되는 게이트웨이라고 속이는 기능이 있다. 이 경우, 동일한 네트워크에 물려있던 옆집 PC들의 모든 인터넷 트래픽을 가로채 악성코드에 감염될 수 있는 코드를 삽입시킬 수 있다. 만약 윈도 보안패치가 안된 PC라면 동일한 악성코드에 감염시킨다.


이렇게 해서 감염된 PC수가 6~7대. 감염 PC들은 자신 또한 게이트웨이라고 속여 역시 같은 네트워크 트래픽을 가로채 변조시킨다. 동일한 네트워크 장비에 물려있는 20여곳의 인터넷 가입자들이 일시에 다운된 이유가 이 때문이다.


KISA 관계자는 "올들어 IDC를 겨냥한 ARP스푸핑 공격이 화두가 되면서 관리자들이 이에 대한 대책을 내놓자 이제는 보안이 허술한 가정용 PC를 직접 겨냥한 것으로 보인다"며 "무엇보다 피해를 막기 위해서는 윈도 보안패치를 최신버전으로 업데이트하고, 백신프로그램으로 바이러스 감염여부를 점검하는 등 보다 각별한 주의가 필요하다"고 당부했다.


실제 이번에 문제가 된 'googleons.exe'파일의 경우, 다양한 윈도 보안 취약점을 이용해 전파되고 있지만, 최신 보안패치가 설치된 PC에는 전혀 지장을 주지않은 것으로 나타났다.

<출처> 머니투데이, 2007/12/09 15:08

Posted by TopARA

댓글을 달아 주세요

  1. 알로愛레몬 2007.12.12 20:55  댓글주소  수정/삭제  댓글쓰기

    좋은글이라 담아갑니다.*^^*