발견된 백도어 파일은 △ds.jsp △dsin.jsp △dsout.jsp △debug,jsp △saveas.jsp
비인가자, 백도어 악용해 시스템 원격 접속과 정보유출 등 피해 일으킬 수 있어
백도어 발견시 바로 삭제, 비인가자 접속 이력 확인될 경우 KISA에 신고해야
[보안뉴스 김경애 기자] 비아이매트릭스의 AUD 플랫폼 제품에서 백도어 5개가 발견됐다. 공격자가 백도어 파일을 악용해 정보유출 피해 등을 일으킬 수 있어 이용자들의 각별한 주의가 요구된다.
[이미지=비아이매트릭스 홈페이지]
AUD 플랫폼은 기업 업무 지원 솔루션으로 비아이매트릭스사에서 만든 제품이다. 이번에 발견된 취약점은 AUD 플랫폼 6,7에 존재하는 백도어 파일이다. 비인가자가 해당 백도어 파일을 악용해 시스템 원격 접속과 정보유출 등의 피해를 발생시킬 수 있다.
발견된 백도어 파일은 △ds.jsp △dsin.jsp △dsout.jsp △debug,jsp △saveas.jsp이다. 외부 공격에 의해 실제로 백도어가 심어진 것인지, 개발단계에서 작업 실수로 인한 문제인지 관심이 커지고 있다.
스틸리언 신동휘 CTO는 “발견된 백도어 파일이 특정 서버에서 발견된 건지, 제조사에서 처음부터 생긴 건지 등 어떤 경로로 어떻게 만들어졌는지에 대한 면밀한 분석이 필요하다”며 “처음부터 제조 과정에서 생긴 백도어라면 제조사, 전체 고객사를 대상으로 점검대상을 확대해야 하기 때문에 그에 따라 조사 범위가 달라질 것”이라고 말했다.
순천향대학교 염흥열 교수는 “백도어를 우선적으로 제거하고, 현재 발견되지 않은 악성코드도 존재할 수 있으니, 서버 전면 재구성이 필요하다”며 “또한 향후 재발 방지를 위한 보안조치가 요구되는 만큼 유출된 사례가 없는지를 점검하는 로그 분석이 필요하다”고 당부했다.
익명을 요청한 보안전문가는 “만약 개발자 디버깅용 기능이 남겨진 것이거나, 개발자나 기술 지원을 위한 기능이라고 해도 백도어가 해킹에 악용 될 수 있기 때문에 사용자가 해당 기능의 존재를 알아야 한다”며 “불필요할 경우 제거돼야 한다”고 강조했다.
한국인터넷진흥원 이창용 팀장은 “비아이매트릭스의 AUD 플랫폼 제품에서 발견된 백도어의 경우 제조사에서 애초 개발단계부터 원격으로 유지보수할 수 있도록 디버깅용으로 만든 것”이라며 “개발 중에는 만들어도 운영할 때는 삭제한 후 운영사 측에 통보해야 하는데 그렇지 않은 경우”라며 주의를 당부했다.
따라서 AUD 플랫폼 이용자는 AUD 플랫폼 내 존재하는 총 5개의 백도어 파일을 삭제해야 한다. 만약 백도어 관련 5개의 파일에 대한 비인가자의 접속 이력이 확인될 경우, ‘KISA 인터넷보호나라&KrCERT’ 홈페이지를 통해 침해사고 신고를 해야 한다.
신고방법은 ‘KISA 인터넷보호나라&KrCERT’ 홈페이지→ 침해사고 신고→ 신고하기를 클릭하면 된다. 또한 사고조사를 위해서는 관련 파일이 들어있는 폴더를 암호화해 압축한 후, 침해사고 신고 시 증적자료로 제출하면 된다.
중소기업의 경우 ‘KISA 인터넷보호나라&KrCERT’ 홈페이지에서 내서버 돌보미 서비스를 신청해 서버 점검을 받거나, 웹쉘 탐지 프로그램인 휘슬(WHISTL)을 사용해 서버 내 악성 파일이 존재하는지 여부를 점검할 수 있다.
신청방법은 보호나라 > 정보보호서비스 > 기업서비스 > 서비스 신청하기 > 내서버 돌보미 혹은 중소기업 홈페이지 보안 강화(휘슬) 코너를 신청하면 된다.
[김경애 기자(boan3@boannews.com)]
비인가자, 백도어 악용해 시스템 원격 접속과 정보유출 등 피해 일으킬 수 있어
백도어 발견시 바로 삭제, 비인가자 접속 이력 확인될 경우 KISA에 신고해야
[보안뉴스 김경애 기자] 비아이매트릭스의 AUD 플랫폼 제품에서 백도어 5개가 발견됐다. 공격자가 백도어 파일을 악용해 정보유출 피해 등을 일으킬 수 있어 이용자들의 각별한 주의가 요구된다.
[이미지=비아이매트릭스 홈페이지]
AUD 플랫폼은 기업 업무 지원 솔루션으로 비아이매트릭스사에서 만든 제품이다. 이번에 발견된 취약점은 AUD 플랫폼 6,7에 존재하는 백도어 파일이다. 비인가자가 해당 백도어 파일을 악용해 시스템 원격 접속과 정보유출 등의 피해를 발생시킬 수 있다.
발견된 백도어 파일은 △ds.jsp △dsin.jsp △dsout.jsp △debug,jsp △saveas.jsp이다. 외부 공격에 의해 실제로 백도어가 심어진 것인지, 개발단계에서 작업 실수로 인한 문제인지 관심이 커지고 있다.
스틸리언 신동휘 CTO는 “발견된 백도어 파일이 특정 서버에서 발견된 건지, 제조사에서 처음부터 생긴 건지 등 어떤 경로로 어떻게 만들어졌는지에 대한 면밀한 분석이 필요하다”며 “처음부터 제조 과정에서 생긴 백도어라면 제조사, 전체 고객사를 대상으로 점검대상을 확대해야 하기 때문에 그에 따라 조사 범위가 달라질 것”이라고 말했다.
순천향대학교 염흥열 교수는 “백도어를 우선적으로 제거하고, 현재 발견되지 않은 악성코드도 존재할 수 있으니, 서버 전면 재구성이 필요하다”며 “또한 향후 재발 방지를 위한 보안조치가 요구되는 만큼 유출된 사례가 없는지를 점검하는 로그 분석이 필요하다”고 당부했다.
익명을 요청한 보안전문가는 “만약 개발자 디버깅용 기능이 남겨진 것이거나, 개발자나 기술 지원을 위한 기능이라고 해도 백도어가 해킹에 악용 될 수 있기 때문에 사용자가 해당 기능의 존재를 알아야 한다”며 “불필요할 경우 제거돼야 한다”고 강조했다.
한국인터넷진흥원 이창용 팀장은 “비아이매트릭스의 AUD 플랫폼 제품에서 발견된 백도어의 경우 제조사에서 애초 개발단계부터 원격으로 유지보수할 수 있도록 디버깅용으로 만든 것”이라며 “개발 중에는 만들어도 운영할 때는 삭제한 후 운영사 측에 통보해야 하는데 그렇지 않은 경우”라며 주의를 당부했다.
따라서 AUD 플랫폼 이용자는 AUD 플랫폼 내 존재하는 총 5개의 백도어 파일을 삭제해야 한다. 만약 백도어 관련 5개의 파일에 대한 비인가자의 접속 이력이 확인될 경우, ‘KISA 인터넷보호나라&KrCERT’ 홈페이지를 통해 침해사고 신고를 해야 한다.
신고방법은 ‘KISA 인터넷보호나라&KrCERT’ 홈페이지→ 침해사고 신고→ 신고하기를 클릭하면 된다. 또한 사고조사를 위해서는 관련 파일이 들어있는 폴더를 암호화해 압축한 후, 침해사고 신고 시 증적자료로 제출하면 된다.
중소기업의 경우 ‘KISA 인터넷보호나라&KrCERT’ 홈페이지에서 내서버 돌보미 서비스를 신청해 서버 점검을 받거나, 웹쉘 탐지 프로그램인 휘슬(WHISTL)을 사용해 서버 내 악성 파일이 존재하는지 여부를 점검할 수 있다.
신청방법은 보호나라 > 정보보호서비스 > 기업서비스 > 서비스 신청하기 > 내서버 돌보미 혹은 중소기업 홈페이지 보안 강화(휘슬) 코너를 신청하면 된다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
