UCC를 통해 유포되는 악성코드 예방법 ...

UCC의 등장 UCC(User Created Contents)라고 하면 일반적으로 인터넷을 통해 보는 동영상을 떠올리는 사람이 많다. 하지만 UCC 는 미디어 생산 업체가 아닌, 일반적인 사용자가 직접 제작한 컨텐츠를 뜻하며 여기에는 글(text)은 물론이고 이미지 및 동영상 모두가 UCC의 대상이 될 수 있다. 따라서 이전부터 존재해왔던 형태였지만 소수의 특정 사용자에 의해 제작 되었으며, 이를 부르는 적절한 용어가 없어 별도로 분류가 되지 않았을 뿐이다. [그림 1] 과거 컨텐츠의 생산 및 소비 형태 이전에는 [그림 1]과 같이 소수의 미디어 제작자가 컨텐츠를 제작하고, 다수의 일반 사용자가 이를 소비하는 형태를 보였다. [그림 2] 현재 컨텐츠의 생산 및 소비 형태 하지만 최근 디지털카메라, 디지털 캠코더 등이 널리 보급되고 웹 2.0이라 불리는 시기로 접어 들면서 [그림2]와 같이 다수의 일반 사용자들이 블로그(blog)나 기타 미디어 공유 서비스를 통해 컨텐츠를 제작하고 소비하고, 공유하는 형태로 변하게 되었다. 따라서 국내외의 대형 포탈 사이트에서는 UCC를 이용한 서비스를 지속적으로 오픈하고 있으며 사용자 또한 기하 급수적으로 증가하고 있다. UCC를 이용한 보안 위협의 유형별 예방법 UCC가 급속도로 확산됨에 따라 이를 악용하여 애드웨어나 악성코드를 사용자 동의 없이 설치하는 사례가 실제 발견되었고 이러한 움직임이 보다 활발해질 것으로 예상된다. 그렇다면 어떠한 방법을 통해 이루어지며 그 예방법은 무엇이 있는지 구체적인 사례를 예를 들어 유형별로 알아보자. (1) Microsoft사의 Windows Media Player의 스크립 명령 실행을 악용 [그림 3] Microsoft사의 Windows Media Player의 스크립트 명령 실행 옵션 Microsoft사의 Windows Media Player에는 스크립트 명령을 수행하는 기능이 있다. 이 기능은 악의적으로 사용될 소지가 매우 높아 Windows Media Player 설치 시 해당 옵션이 비활성 상태로 되어 있다. 만약 이 기능이 활성화 되어 있다면 사용자는 인터넷 웹페이지에서 동영상을 보기만 해도 공격자가 원하는 웹페이지로 방문을 실행할 수 있다. 해당 페이지에서 ActiveX를 이용해서 애드웨어를 배포할 수 있으며, 최근 계속 문제가 되고 있는 중국에서 제작되어 국내 온라인 게임의 아이디와 비밀번호를 유출하는 스파이웨어를 배포하는 주요 방법인 취약점(MS06-014등등)을 사용한 웹페이지가 실행 되었을 경우 해당 보안 취약점에 대한 보안 패치가 되어 있지 않았다면 곧 바로 악성코드가 설치되고 동작한다. 이런 점을 이용하여 동영상을 소리만 나오게 인코딩한 웹페이지에서 소리만 나올 경우 해결 방안으로 [스크립트 명령이 있는 경우 해당 명령 실행]을 체크하라고 유도하고 사용자는 이를 믿고 의심 없이 동영상에 포함된 악성 스크립트를 실행하도록 옵션을 변경하는 과정을 거쳐 결국 악성코드가 감염되는 결과를 가져 올 수 있다. 이를 예방하기 위해서는 다음 사항을 주의 해야 한다. - [Windows Media Player URL 스크립트 명령 동작 업데이트]를 설치한다. 만약 설치가 되어 있지 않은 경우 [http://support.microsoft.com/?id=828026]를 방문해서 설치하면 된다. 이렇게 설치하면 Windows Media Player을 이용해 웹페이지가 실행되어 악성코드가 실행되는 것을 효과적으로 차단해준다. - 웹에서 동영상을 볼 때 소리나 화면이 나오지 않을 경우 검증되지 않은 방법을 유도하는 경우 의심해본다. 최근은 보다 편리한 감상을 위해 Adobe사의 Flash 기술을 사용하여 별도의 프로그램 없이 동영상 시청이 가능하도록 제작하고 서비스 하고 있다. 따라서 다른 방법을 첫 페이지에 보이도록 해 놓고 이를 따라 설정을 변경하게 하는 것은 다시 한번 확인해 볼 필요가 있다. - [Windows Update]를 사용하여 알려진 보안 취약점을 모두 패치 한다. 가장 쉽고 기본적인 사항이다. 하지만 대다수의 사용자들이 보안 취약점 패치의 중요성을 인식하지 못해 많은 피해를 보고 있다. 보안 취약점이 패치 되어 있지 않을 경우 웹 페이지를 보는 것 만으로도, 심지어는 컴퓨터를 켜 놓는 것 만으로도 악성코드가 설치되고 실행될 수 있다. (2) 허위 코덱(codec)으로 악성코드 설치 유도 Microsoft사의 Windows Media Player와 동일하게 일종의 사회 공학적 기법을 사용하여 누구나 관심을 가질만한 주제의 동영상을 소리만 또는 영상만 인코딩(용량이 큰 동영상 데이터를 작은 사이즈로 압축하는 과정) 한 후 나오지 않는 소리 또는 영상을 보기 위해서는 특정 사이트에서 배포하는 코덱(인코딩을 통해 압축된 데이터를 실시간으로 해제해 볼 수 있게 풀어주는 프로그램)을 설치해야 한다고 안내한 후 설치를 유도하는 방식이다. 실제 발견된 사례로 이렇게 설치를 유도한 프로그램은 동영상 재생과는 아무런 상관이 없는 스파이웨어를 다운로드 받아서 설치하는 프로그램이였다. 실제 코덱으로 위장한 사이트를 방문하면 [그림 4]와 같이 정상적인 웹페이지를 볼 수 있다. [그림 4] 코덱으로 위장하고 있는 스파이웨어 배포 사이트 해당 프로그램을 다운로드 받아서 실행하면 [그림 5]와 같이 사용자 약관을 보여주는등 다른 정상적인 프로그램과 동일한 형태를 취하고 있어 사용자는 아무런 의심 없이 설치를 진행하게 된다. [그림 5] 코덱으로 위장하고 있는 스파이웨어 설치 프로그램 이렇게 프로그램 설치를 마치고 나면 동영상 재생 코덱이 아닌 다수의 스파이웨어가 설치되어 원하지 않는 팝업 광고를 지속적으로 보여준다. 그리고 이때 [그림 6]과 같이 함께 설치된 허위 안티 스파이웨어(Rogue Anti Spyware)를 이용해 허위 또는 과장된 진단 결과를 보여주고 사용자의 불안감을 조성한 후, 유료 결재 후 치료할 것을 유도한다. [그림 6] 허위안티스파이웨어 진단 결과 물론 유료로 결재하고 치료를 했다고 해서 사용자가 겪는 불편함이 해결되지 않는다. 즉, 금전적으로 이득을 취하기 위한 애드웨어 제작 업체에 사기를 당한 결과를 초래한다. 사용자는 단지 동영상을 보기위해 웹페이지에서 시키는대로 동영상 재생 코덱을 다운로드 해서 설치했을 뿐인데 그 결과는 컴퓨터를 사용하기 조차 힘들 정도로 잦은 팝업 광고와 설치하지도 않은 허위 안티 스파이웨어가 설치되는 결과를 가져온다. 이를 예방하기 위해서는 다음 사항을 주의 해야 한다. - 동영상을 보기 위해 추가로 코덱을 설치하라는 안내문이 있을 시 이를 의심해 본다. 앞서 설명했듯이 최근에는 별도의 프로그램 없이도 간단하게 동영상을 볼 수 있게끔 서비스를 제작하고 운영하는 곳이 늘어나고 있다. - 새로운 프로그램을 다운로드 받아서 설치하는 경우 무조건 설치하지 말고 인터넷 검색을 통해 안정성이 확인된 프로그램인 경우 설치한다. 단 확인이 어려울 경우 국내 대형 포탈 사이트에서 제공하는 자료실에 등록되어 있는지를 확인한 후 다운로드 해서 설치하는 것이 바람직하다. (3) 보안 취약점을 사용해 악성코드 설치 UCC는 일반 사용자들이 컨텐츠를 만들고 공유할 수 있다는 점을 이용해 누구나 흥미를 가질만한 내용의 컨텐츠를 작성하고 해당 컨텐츠에 보안 취약점을 사용해 애드웨어나 스파이웨어 또는 바이러스를 설치하는 코드를 삽입해 이를 보는 사용자를 공격하는 방법이 사용될 가능성이 매우 높다. 실제 얼마 전 국내 애드웨어 제작사의 경우 보안 취약점(MS06-014)을 이용해 자사의 애드웨어를 배포하는 사례가 발견되었다. 따라서 수익을 극대화 하기 위한 애드웨어 제작사와 배포자가 이를 이용할 가능성은 그 어느 때보다 높다고 할 수 있다. 특히 최근 보안 패치가 발표되기 이전에 제로데이 공격이 잦아져 이런 위험은 더욱 증가되고 있다. 최근 발표된 ANI 취약점(MS07-017)의 경우에도 보안 패치가 발표되기 이전에 공격 코드가 나왔으며, 중국에선 이를 자동으로 만들어주는 제작도구까지 개발되어 유통되었다. 이렇게 윈도우나 다른 어플리케이션의 취약점을 사용하는 경우는 대부분 보안 패치를 적용하면 큰 문제 없이 사용이 가능하지만, 각종 통계 자료를 보면 상당수의 사용자들이 윈도우 보안 패치의 중요성을 인식하지 못하고 이를 수행하지 않는 경우가 많다고 알려져 있으며 보안 패치가 나오기 전에 공격 코드가 나오는 경우는 앉아서 당할 수 밖에 없게 된다. 또한 XSS(Cross Site Scripting) 취약점 또한 무시할 수 없다. 이는 사용자가 직접 제작한 컨텐츠를 등록할 때 XSS 취약점을 사용하여 악성코드를 설치하는 코드를 삽입하는 경우이다. 실제 미국의 싸이월드라 불리는 MySpace에서 동영상 재생을 위해 사용하고 있는 Apple사의 Quick Time 동영상에 악성 자바 스크립트를 삽입해 동영상을 플레이하면 피싱 사이트로 변경되어 사용자의 계정 정보를 유출하려는 시도가 있었다. 하지만 이러한 경우는 해당 서비스를 제공하는 회사에서 사용자가 입력하거나 업로드 하는 컨텐츠 데이터의 이상 유무를 확인해 문제가 될 수 있는 부분을 사전에 필터링 해야 하는 부분을 처리하지 않는 등 보안의 중요한 요소를 간과해서 주로 발생한다. 이는 서비스를 제공하는 회사에서 지속적인 모니터링과 관심이 있어야 예방이 가능한 부분이다. 이를 예방하기 위해서는 다음 사항을 주의해야 한다. - 정기적으로 윈도우 보안 업데이트를 수행하며, 가급적 자동 업데이트를 활성화 시켜 놓는다. 방법은 [시작] -> [제어판] -> [보안센터] -> [자동 업데이트]를 클릭[그림 7 참조]하고 [그림 8]과 같이 [자동]을 선택하면 된다. [그림 7] 윈도우 보안 센터 [그림 8] 자동 업데이트 - 신뢰할 수 있는 컴퓨터 보안 회사에서 제공하는 각종 보안 권고문을 주기적으로 살펴보고 혹시 나에게 해당하는 취약점이 존재하지 않는지 점검한다. 참고로 안철수연구소의 보안 권고문은 [그림 9]와 같이 [http://kr.ahnlab.com/advisories.ahn]에서 확인할 수 있다. [그림 9] 안철수연구소 보안 권고문 (4) UCS(User Created Software)의 보안 위협 UCC에 이어 사용자가 직접 만들어 배포하는 소프트웨어를 일컫는 UCS가 차츰 등장하고 있다. 특히 웹서비스에서도 이러한 움직임을 보이고 있다. 실제 예로 [그림 10]과 같이 싸이월드의 친구 추적 기능을 제공해 준다는 개인이 만든 사이트가 있는데 이 사이트를 방문하면 [그림 11]과 같이 Internet Explorer의 보안 설정을 낮추는 안내문을 보여주고 계속 진행 하면 10여개 이상의 애드웨어와 허위 안티 스파이웨어가 사용자 동의 없이 무단으로 설치된다. [그림 10] 싸이월드 방문자 추적을 사칭한 악성코드 배포 웹페이지 [그림 11] Internet Explorer의 보안 설정을 낮추는 안내문 컴퓨터를 잘 모르는 사용자의 경우 아무런 의심 없이 Internet Explorer의 보안 설정을 낮추게 되는데 이로 사용자는 매우 심각한 보안 위협에 빠지게 된다. 이후 방문하는 웹페이지중 ActiveX를 사용하는 페이지의 모든 프로그램이 사용자의 동의 없이 설치되기 때문이다. 즉, 원하지 않지만 웹페이지를 방문하는 것만으로도 프로그램이 추가로 설치되는 문제를 겪게 된다. 이를 예방하기 위해서는 다음 사항을 주의해야 한다. - 검증되지 않은 소프트웨어는 가급적 사용을 자제한다. - Internet Explorer의 설정 정보를 변경하는 것은 자칫 심각한 보안 위협에 빠질 수 있으므로 철저하게 확인한 후 꼭 필요한 사항인 경우에만 변경한다. - 정상적이지 않은 방법으로 서비스를 이용하는 것은 어떻게든 문제가 되므로 반듯이 정상적인 방법으로 서비스를 사용한다. 안전하게 UCC를 즐기기 위해... 앞서 실제 사례에서 보듯 UCC의 등장으로 인해 우리는 더욱 더 많은 보안 위협에 노출되고 있음을 알 수 있다. 하지만 내가 직접 만든 컨텐츠를 손쉽게 다른 사람과 공유할 수 있다는 점은 너무나도 매력적이다. 해당 서비스를 제공하는 회사에서는 업로드 되는 컨텐츠로 인해 발생할 수 있는 위험 요소를 적극적으로 찾고 지속적으로 모니터링 하고, 동영상과 같은 컨텐츠의 경우 데이터 포멧을 변경해 만약에 삽입되어 있을지 모르는 악성 스크립트가 동작하지 않도록 하는 등의 노력이 필요하다. 일반 사용자의 경우 보안의 중요성을 인식하고 조금만 관심을 가지고 윈도우 보안 패치를 하며 믿을 수 있는 컴퓨터 보안 회사의 보안 제품을 사용하고 조금만 노력하면 안전하게 UCC 컨텐츠를 즐길 수 있을 것이다.[Ahn] [저자] 안철수연구소 ASEC 분석2팀 박시준 연구원