한 보안 연구가가 웹 서퍼들의 PC에 영향을 미치지 않고 유저들이 인식하지도 못하는 사이에 PC를 웹 해킹에 이용할 수 있는 방법을 알아냈다.
이것을 가능하게 한 것은 「직토(Jikto)」라는 이름의 툴 덕분이다. 직토의 제작자인 웹 보안 연구 기업 SPI 다이내믹(SPI Dynamic)의 빌리 호프만(Billy Hoffman)에 의하면, 자바스크립트로 작성된 이 툴은 인터넷 이용자들이 인식하지 못하는 사이에 그들의 PC를 이용해 웹사이트의 허점을 찾아낼 수 있다고 한다.
웹 보안의 개선을 위해 이 툴을 개발한 호프만은 주말에 워싱턴 DC에서 열리는 해커 이벤트인 「ShmooCon」에서 직토를 정식으로 공개할 예정이다.
호프만은, "직토는 자바스크립트를 이용하여 저지를 수 있는 해킹의 범위를 획기적으로 변화시켜 줄 것이다. 직토를 이용하면 어느 누구의 PC라도 말 그대로 내 작은 일꾼으로 만들어 내 대신 웹사이트를 공격하고 그 결과를 내게 보고하게 만들 수 있다."라고 밝혔다.
온라인 응용 프로그램의 도래 이후 해커들은 웹 보안의 무력화에 지대한 관심을 보여 왔다. 크로스사이트 스크립팅 버그나 SQL 삽입 허용 등의 취약성들이 이미 수 년 전부터 알려졌음에도 불구하고 웹 보안의 문제는 점점 증가하고 있으며, 이를 악용한 사례도 늘고 있다.
호프만에 따르면, 직토는 취약한 웹 응용 프로그램을 스캔하는 프로그램이다. 공용 웹사이트에 소리 없이 침투해 보안 상태를 검열 하고 그 결과를 제 3자에 전송한다. 직토는 해커가 만들어 놓은 웹사이트에 설치될 수도 있고 크로스스크립팅 버그라고 알려진 웹 보안의 공통된 허점을 이용함으로써 다른 공신력 있는 웹사이트에 침투할 수도 있다.
취약성 탐지 기능 자체는 사실 별 새로운 게 아니다. 해커들은 종종 이러한 툴을 이용해 허점을 찾아내어 시스템으로 침투하게 만들어 왔다.
즉, 직토는 해커들 사이에 유명한 웹 응용 프로그램 버그 스캐닝 툴인 「닉토(Nikto)」와 마찬가지라고 볼 수 있다. 차이가 있다면, 닉토는 고전적인 PC 응용 프로그램인 반면, 직토는 웹 브라우저상에서 실행하고 복수의 PC에 버그 탐지 작업을 배포, 실행할 수 있다는 점이다.
호프만은 직토가 웹상에 공통된 여러 보안상의 허점들을 찾아내고 이를 공격자에게 보고하여 어떤 사이트를 공격하고 어떤 취약점들을 찾아내야 할지에 대한 지령을 받을 수 있다.
예를 들면 유수의 은행들이 운영하는 인터넷 뱅킹 웹 사이트들이 SQL 삽입과 관련하여 어떤 취약성을 가지고 있는지 찾아내도록 프로그래밍 할 수도 있는 것이다. 이러한 취약성들은 심각한 위험에 노출될 수 있으며, 데이터베이스를 해커들의 공격으로부터 무방비상태로 만들 수 있다.
호프만은 "해킹하는 데 드는 시간의 절반은 사실 정보의 수집 및 분류에 소요된다. 해커들은 이제 이 작업을 다른 여러 사람들에게 대신 시킬 수 있는 것이다."라고 설명했다. 덧붙여 호프만은 직토가 침투해있는 웹사이트에 우연히 들른 웹 서퍼들을 이용해 사이트를 스캔하기 때문에 타깃이 된 웹사이트에서는 해커의 신원을 알아낼 수가 없게 된다고 말했다.
한편, 보안 업계에서 취약성 탐지에 널리 이용하는 「Nmap 시큐리티 스캐너(Nmap Security Scanner)」 의 제작자 표도르 바스코비치(Fyodor Vaskovich)는 직토는 어떻게 자바 스크립트가 악용될 수 있는지를 보여주는 흥미로운 예라고 할 수 있지만, 기존의 취약성 스캐닝 툴들은 훨씬 더 효율적이라고 말한다.
바스코비치는 "이미 손상된 PC를 스캔하는 해킹 프로그램에 비해 보통 자바스크립트 공격은 매우 속도가 느리다. 공격자를 감추고 스캐닝 작업을 제3자에게 배분한다는 것은 유용할 수도 있지만, 일반적으로 해커들은 법이 허용하는 한도 내에서 꽤 폭넓은 범위까지 취약성 스캔이 가능할 뿐 아니라 프록시 체인을 이용해 쉽게 이를 수행할 수 있다." 고 주장한다.
웹상에 널리 이용되는 스크립팅 언어인 자바스크립트로 제작되었기 때문에 직토는 대부분의 웹 브라우저에서 경고 없이 실행이 가능하다.
직토가 깔린 웹사이트를 방문하는 인터넷 유저들은 이를 전혀 알아챌 수 없을 것이다. 이 툴은 브라우저가 닫힐 때까지 실행되며, 브라우저가 닫히면 어떠한 흔적이나 피해를 남기지 않고 사라져버린다.
직토는 흔한 악성 도구인 봇이 타인의 PC를 조종하는 것과는 방식이 다르다. 보통 봇은 트로이 목마가 침투한 웹 브라우저나 이메일 메시지의 취약성을 이용해 PC를 손상시킨다. 패치가 깔린 브라우저를 사용하거나 이메일 관리를 똑똑하게 하고, 업데이트된 보안 소프트웨어를 사용하는 유저들은 봇 소프트웨어의 피해로부터 안전할 수 있다.
호프만은, "하지만, 직토나 다른 자바스크립트 기반의 해킹 프로그램의 경우, 이용자는 예방을 위해 별로 할 수 있는 게 없다. 트로이 목마 등을 몰래 침투시키지도 않고, 이용자의 컴퓨터 자체에는 어떠한 손상도 입히지 않는다. 그게 정말 무서운 것이다. 안티바이러스 프로그램도 별 도움이 안 된다." 라고 말했다.
웹 보안 전문가들은, 자바스크립트는 웹사이트가 수행할 수 있는 작업의 범위를 확대함으로써 문제를 야기하고 있는 「웹 2.0(Web 2.0)」의 붐의 일등공신이라고 할 수 있는데, 악성 자바스크립트, 특히 공용 웹사이트의 허점과 결합된 자바 스크립트는 잠복성 웹 해킹을 가능케 할 수 있다고 경고한다.
독자들이 이 글을 읽고 있는 바로 지금도 직토가 슬그머니 기어들어와 허점을 찾고 있을지도 모른다. 호프만은 취약점을 찾아 데이터를 빼돌릴 수 있는 직토의 다음 버전을 연구 중이다. 호프만에 따르면 아마도 올 여름 라스베거스에서 있을 블랙 햇(Black Hat) 보안 컨퍼런스에서 이 차기 버전이 선보이게 될 것이라고 한다.
이것을 가능하게 한 것은 「직토(Jikto)」라는 이름의 툴 덕분이다. 직토의 제작자인 웹 보안 연구 기업 SPI 다이내믹(SPI Dynamic)의 빌리 호프만(Billy Hoffman)에 의하면, 자바스크립트로 작성된 이 툴은 인터넷 이용자들이 인식하지 못하는 사이에 그들의 PC를 이용해 웹사이트의 허점을 찾아낼 수 있다고 한다.
웹 보안의 개선을 위해 이 툴을 개발한 호프만은 주말에 워싱턴 DC에서 열리는 해커 이벤트인 「ShmooCon」에서 직토를 정식으로 공개할 예정이다.
호프만은, "직토는 자바스크립트를 이용하여 저지를 수 있는 해킹의 범위를 획기적으로 변화시켜 줄 것이다. 직토를 이용하면 어느 누구의 PC라도 말 그대로 내 작은 일꾼으로 만들어 내 대신 웹사이트를 공격하고 그 결과를 내게 보고하게 만들 수 있다."라고 밝혔다.
온라인 응용 프로그램의 도래 이후 해커들은 웹 보안의 무력화에 지대한 관심을 보여 왔다. 크로스사이트 스크립팅 버그나 SQL 삽입 허용 등의 취약성들이 이미 수 년 전부터 알려졌음에도 불구하고 웹 보안의 문제는 점점 증가하고 있으며, 이를 악용한 사례도 늘고 있다.
호프만에 따르면, 직토는 취약한 웹 응용 프로그램을 스캔하는 프로그램이다. 공용 웹사이트에 소리 없이 침투해 보안 상태를 검열 하고 그 결과를 제 3자에 전송한다. 직토는 해커가 만들어 놓은 웹사이트에 설치될 수도 있고 크로스스크립팅 버그라고 알려진 웹 보안의 공통된 허점을 이용함으로써 다른 공신력 있는 웹사이트에 침투할 수도 있다.
취약성 탐지 기능 자체는 사실 별 새로운 게 아니다. 해커들은 종종 이러한 툴을 이용해 허점을 찾아내어 시스템으로 침투하게 만들어 왔다.
즉, 직토는 해커들 사이에 유명한 웹 응용 프로그램 버그 스캐닝 툴인 「닉토(Nikto)」와 마찬가지라고 볼 수 있다. 차이가 있다면, 닉토는 고전적인 PC 응용 프로그램인 반면, 직토는 웹 브라우저상에서 실행하고 복수의 PC에 버그 탐지 작업을 배포, 실행할 수 있다는 점이다.
호프만은 직토가 웹상에 공통된 여러 보안상의 허점들을 찾아내고 이를 공격자에게 보고하여 어떤 사이트를 공격하고 어떤 취약점들을 찾아내야 할지에 대한 지령을 받을 수 있다.
예를 들면 유수의 은행들이 운영하는 인터넷 뱅킹 웹 사이트들이 SQL 삽입과 관련하여 어떤 취약성을 가지고 있는지 찾아내도록 프로그래밍 할 수도 있는 것이다. 이러한 취약성들은 심각한 위험에 노출될 수 있으며, 데이터베이스를 해커들의 공격으로부터 무방비상태로 만들 수 있다.
|
||||||||||
한편, 보안 업계에서 취약성 탐지에 널리 이용하는 「Nmap 시큐리티 스캐너(Nmap Security Scanner)」 의 제작자 표도르 바스코비치(Fyodor Vaskovich)는 직토는 어떻게 자바 스크립트가 악용될 수 있는지를 보여주는 흥미로운 예라고 할 수 있지만, 기존의 취약성 스캐닝 툴들은 훨씬 더 효율적이라고 말한다.
바스코비치는 "이미 손상된 PC를 스캔하는 해킹 프로그램에 비해 보통 자바스크립트 공격은 매우 속도가 느리다. 공격자를 감추고 스캐닝 작업을 제3자에게 배분한다는 것은 유용할 수도 있지만, 일반적으로 해커들은 법이 허용하는 한도 내에서 꽤 폭넓은 범위까지 취약성 스캔이 가능할 뿐 아니라 프록시 체인을 이용해 쉽게 이를 수행할 수 있다." 고 주장한다.
웹상에 널리 이용되는 스크립팅 언어인 자바스크립트로 제작되었기 때문에 직토는 대부분의 웹 브라우저에서 경고 없이 실행이 가능하다.
직토가 깔린 웹사이트를 방문하는 인터넷 유저들은 이를 전혀 알아챌 수 없을 것이다. 이 툴은 브라우저가 닫힐 때까지 실행되며, 브라우저가 닫히면 어떠한 흔적이나 피해를 남기지 않고 사라져버린다.
직토는 흔한 악성 도구인 봇이 타인의 PC를 조종하는 것과는 방식이 다르다. 보통 봇은 트로이 목마가 침투한 웹 브라우저나 이메일 메시지의 취약성을 이용해 PC를 손상시킨다. 패치가 깔린 브라우저를 사용하거나 이메일 관리를 똑똑하게 하고, 업데이트된 보안 소프트웨어를 사용하는 유저들은 봇 소프트웨어의 피해로부터 안전할 수 있다.
호프만은, "하지만, 직토나 다른 자바스크립트 기반의 해킹 프로그램의 경우, 이용자는 예방을 위해 별로 할 수 있는 게 없다. 트로이 목마 등을 몰래 침투시키지도 않고, 이용자의 컴퓨터 자체에는 어떠한 손상도 입히지 않는다. 그게 정말 무서운 것이다. 안티바이러스 프로그램도 별 도움이 안 된다." 라고 말했다.
웹 보안 전문가들은, 자바스크립트는 웹사이트가 수행할 수 있는 작업의 범위를 확대함으로써 문제를 야기하고 있는 「웹 2.0(Web 2.0)」의 붐의 일등공신이라고 할 수 있는데, 악성 자바스크립트, 특히 공용 웹사이트의 허점과 결합된 자바 스크립트는 잠복성 웹 해킹을 가능케 할 수 있다고 경고한다.
독자들이 이 글을 읽고 있는 바로 지금도 직토가 슬그머니 기어들어와 허점을 찾고 있을지도 모른다. 호프만은 취약점을 찾아 데이터를 빼돌릴 수 있는 직토의 다음 버전을 연구 중이다. 호프만에 따르면 아마도 올 여름 라스베거스에서 있을 블랙 햇(Black Hat) 보안 컨퍼런스에서 이 차기 버전이 선보이게 될 것이라고 한다.
Comment on this post!