이쥐화 목마 백도어, 전체 웹사이트 백도어 60% 차지

[보안뉴스 온기홍=중국 베이징] 중국 정보보안업체인 치후360는 지난해 1월~11월 해킹 프로그램의 하나인 웹사이트 백도어(Backdoor)에 대한 조사 결과를 바탕으로 ‘백도어 톱10’과 백도어 감염량이 많은 서버 톱10을 최근 공개했다.



▲ 2014년 중국에서 감염 서버 수량이 많은 백도어 톱10과 악성 행위   (출처: 중국 360인터넷보안센터) 이 가운데 ‘한 줄(이쥐화) 목마’란 이름이 붙은 백도어 유형이 전체 웹사이트 백도어의 60% 이상의 비중을 차지하며 웹사이트를 대량 공격한 것으로 나타났다. 치후360의 360인터넷보안센터는 “지난해 중국에서 서버를 많이 감염시킨 백도어 ‘톱10’과 악성 행위를 보면, 특히 ‘143 Byte’ 크기의 백도어 하나가 2,546대의 서버를 감염시킬 만큼 영향을 끼친 범위가 넓었다”고 밝혔다.

앞서 360인터넷보안센터는 지난해 1월~11월 중국내 8,409대 웹사이트 서버(웹사이트 수 199만6,000개)를 대상으로 백도어 모니터링을 실시한 결과, 전체의 41.2%에 달하는 3,465개 서버에서 백도어가 존재하는 것으로 드러났다고 밝혔다.

中 백도어 감염량 많은 서버 톱10
지난해 중국에서 백도어 감염량이 많은 상위 10위 이내 서버의 IP 및 백도어 감염 수량을 보면, 장쑤성 안에 설치돼 있는 서버의 백도어 감염량이 103만9,000개로 가장 많았다. 이어 상하이시 소재 서버의 백도어 감염량은 54만3,000개로 두 번째로 많았다. 윈난성 소재 서버의 백도어 감염량은 47만8,485개, 베이징시는 16만4,786개, 광동성 16만개, 허베이성 13만650개로 뒤를 이었다.



▲ 2014년 중국내 백도어 감염량이 많은 서버 톱10

360인터넷보안센터는 “최근 중국내 대부분의 웹사이트 백도어는 악성 도메인 링크를 숨겨 놓고 있으며, 이들 악성 도메인 링크는 해커의 통제를 받는 악성 웹사이트로 이어진다”고 밝혔다.  지난 한 해 중국에서 감염 파일이 가장 많았던 악성 도메인은 ‘http://295544.com’로 밝혀졌다. 이 도메인의 감염 파일 수량은 560만여개로 압도적으로 많았다.



▲ 2014년 중국내 악성 도메인 네임 톱10

360인터넷보안센터는 “일반적으로 해커는 통제류 트로이목마를 투입할 때 비밀번호를 설정하는데, 이는 자신이 투입한 백도어를 다른 해커가 사용하는 것을 막기 위한 것”이라며 “하지만 ‘디도스(DDoS) 스크립트 목마’란 백도어는 통상 비밀번호를 설정하지 않으며, 공격 대상 host와 포트만 기입하면 바로 트래픽 공격을 할 수 있다”고 밝혔다.

센터는 “많은 웹사이트들이 침입을 당하는 원인 가운데 하나는 관리자가 보안이 취약한 비밀번호 또는 암호를 쓰기 때문이라는 점을 주목해야 한다”고 강조했다.

그러나 센터의 웹사이트 백도어 분석 결과, 웹사이트를 공격하는 해커조차도 백도어 프로그램 비밀번호를 설정할 때 습관적으로 일부 흔히 볼 수 있는 비밀번호를 쓰는 것으로 드러났다.



▲ 2014년 중국에서 검출된 웹사이트 백도어 가운데 사용률이 높은 비밀번호 톱10과 사용   (검출) 횟수

中 서버, 백도어 삭제 주기 평균 8일
360인터넷보안센터가 지난해 조사한 중국내 8,409대 웹사이트 서버(웹사이트 수 199만6,000개)에 대한 분석 결과, 서버(관리자)가 새로 발견한 백도어를 삭제한 평균 주기는 8.28일로 나타났다.

삭제 주기 ‘5일 이하’가 26.2%의 점유율로 가장 많았으며, 5~10일이 21.4%로 뒤를 이었다. 또 ‘당일 백도어 삭제’와 ‘20~30일내 백도어 삭제’는 각각 9.5%의 비중을 보였다. 하지만 ‘백도어를 삭제 안함’도 19%의 높은 비율을 차지했다.



▲ 2014년 중국에서 서버가 새로운 백도어를 삭제한 주기 분포

中 웹사이트 백도어 사례:이쥐화 목마·악성 SEO 백도어·QuasiBot
먼저 ‘한 줄(이쥐화) 목마’는 가장 간단한 트로이목마로, 단지 한 줄의 코드만 필요하다. 크기도 작아서 정상적인 웹 코드 안에 쉽게 들어간다. 최근 많은 웹 보안 S/W들이 출시됨에 따라, 이 ‘이쥐화 목마’도 많은 변형이 나오고 있고, 변형 수단도 계속 새로워지고 있으며, 일부는 널리 이용되고 있다고 360인터넷보안센터는 밝혔다.

아울러 ‘이쥐화 목마’를 대량 생성하고 관리하는 S/W도 점점 성행하고 있다. 이들 툴은 조작이 쉽고 기능도 많으며, 여러 언어를 지원한다. 이들 툴이 성행하면서 해커가 웹사이트를 공격하는 문턱이 낮아졌을 뿐 아니라, 해커가 ‘이쥐화 목마’를 이용해 보다 편하게 대량 공격을 할 수 있게 됐다. 이로써 ‘이쥐화 목마’의 영향 범위도 더욱 넓어졌다.

예컨대 중국에서 ‘차이 다오(菜刀·식칼)’로 불리는 한 ‘이쥐화 목마’ 관리 S/W의 경우, 해커는 이 S/W를 통해 웹사이트 파일을 조회·코딩·업로드·다운로드 할 수 있으며, 데이터베이스 관리 기능을 통해 정보를 빼낼 수 있는 것으로 밝혀졌다. 웹사이트 상에서도 많은 해커들은 이 S/W를 수정하고, 자신이 사용하는 전문 버전으로 만들어 웹사이트 보안 S/W의 검색·퇴치와 차단을 피하고 있다고 360인터넷보안센터는 설명했다.

악성 SEO 백도어
중국에서는 최근 여러 해 동안 주류 인터넷 검색 사이트에서 악성 SEO(Search Engine Optimization·검색 엔진 최적화) 공격을 차단하는 능력이 향상됨에 따라, 공격자들도 더욱 선진적인 수법을 써서 악성 SEO 공격을 벌여 왔다. 여기에는 웹사이트 안에 삽입된 악성 SEO 백도어도 포함된다. 이와 관련, 그 동안 인터넷 검색 사이트에서 특정 내용을 클릭하면 악성코드가 삽입된 웹페이지로 이동하는 SEO 감염 공격 기법이 계속 출현해 왔다.

악성 SEO 백도어의 주요 공격 목표는 보안 취약점이 있는 정부·교육 기관 웹사이트 서버다. 이들 웹사이트들은 인터넷 검색 사이트에서 가중치가 높은 편이기 때문인데, SEO 효과도 더욱 크다.

360인터넷보안센터는 “일반적인 웹사이트 백도어와 달리, 악성 SEO 백도어는 공격을 받은 서버 상에서 대량의 스팸 웹페이지를 만들어 낸다”고 밝혔다. 또 이들 백도어는 공격자가 통제하는 원격 서버에서 웹페이지 내용을 얻은 다음, 공격을 받은 서버 상에서 대량의 파일 폴더를 생성한다. 이어 이들 웹페이지 내용을 각각의 새 파일 폴더 안에 복사한다.

공격자 쪽에서 볼 경우, 이들 백도어의 최대 장점은 원격 서버에서 악성 SEO의 웹페이지 내용을 수정하기만 하면, 백도어 프로그램이 공격 대상 웹사이트에서 자동으로 ‘업데이트’를 진행할 수 있다는 점이라고 정보보안업계는 지적했다.

신형 웹사이트 백도어 관리 툴 ‘QuasiBot’
QuasiBot은 php 코딩에 쓰이는 웹사이트 백도어 관리 툴로서 원격으로 웹사이트를 대량 관리 할 수 있으며, 디도스(DDoS) 공격에 여러 차례 쓰였다고 360인터넷정보센터는 밝혔다.

QuasiBot이 이전의 웹사이트 백도어 관리 툴과 다른 점을 살펴 보면, 먼저 QuasiBot는 웹사이트 백도어에 대한 원격 조작을 지원한다는 점이 꼽힌다. 둘째, QuasiBot는 각 웹사이트 백도어에 대해 Md5 Hash를 통해 검증할 수 있을 뿐 아니라, 매 시간마다 한 차례 Md5 값을 바꾼다.

셋째, QuasiBot는 한 웹사이트를 통제하게 된 다음, 다른 웹사이트에 대해서도 침입 공격을 진행하며, 최근에 나온 대다수 보안 S/W의 탐지·퇴치도 피할 수 있다고 정보보안 전문가들은 설명했다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>