악성코드(malicious code)란?

악성코드란, ‘malicious software (악의적인 소프트웨어)’의 약자로, 사용자의 의사에 상관없이 시스템을 파괴하거나 정보를 유출하는 등 악의적 활동을 수행하도록 의도적으로 제작된 소프트웨어를 말합니다.

원인

FTP ID/PASS 가 유출되는 경우 일반적으로 검블러(Gumblar) 또는 GENO 라고 불리는 악성코드는 어도브(Adobe)사의 Acrobat 이나 Flash Player 의 보안패치가 되지 않은 PC 가 특정 Web Site 를 방문하여 감염되는 'Drive by Download' 방식으로 전파되고 있어 그 감염속도가 매우 빠릅니다. 감염된 pc 사용자가 웹 사이트 파일을 관리 하는 ftp 클라이언트 프로그램을 가지고 ftp 접속을 할 경우 id 와 password 를 빼내어 해당 웹사이트 파일 이름이 index ,main 으로 되어 있는 파일들을 변조해서 악성코드를 다운받도록 코드를 심어 놓은 방식으로 진행이 되고 있습니다.

감염을 의심할 수 있는 증상은?

• 각종 광고 팝업 및 음란광고가 실행
• 컴퓨터 속도가 급속히 느려지는 현상 발생
• Explorer 시작페이지가 특정 사이트로 고정되어 변경 안됨
• 사용자 제어 없이 윈도우 환경의 변경
• CD-ROM등이 알 수 없는 이유로 열리고 닫히는 현상 발생
• 사용자 PC 간의 네트워크 접근 속도가 갑자기 느려짐
• 사용하는 프로그램 중지 후에도 CPU 사용량이 줄지 않음

조치방안

1. 고객님의 ftp 암호를 주기적으로 변경 합니다.

   블루웹 로그인 -> My page -> 호스팅관리 -> 호스팅관리툴 -> FTP Passw 변경

2. 고객님의 ftp 접속이 있었던 PC를 주기적으로 백신프로그램으로 바이러스 점검 합니다.

   개인용 무료백신으로 개인 PC를 점검 할 수 있습니다.
   안랩 (https://www.ahnlab.com/kr/site/download/product/productFreeList.do)
   알약 (http://alyac.altools.co.kr/)
   카스퍼스키 (https://free.kaspersky.com/kr/ )
   (단, 감염이 의심되는 경우 OS 재설치를 하시는 것이 좋습니다.)

3. ftp 계정 보안적용상태(lock)로 설정합니다. (ftp 사용시 해제 후 사용)

   블루웹 로그인 -> My page -> 호스팅관리 -> 호스팅관리툴 -> FTP lock 설정/해제
   http://고객도메인/119 접속 후 ftp lock 설정/해제

4. SFTP 사용
   SFTP 프로그램 다운 및 사용법
5. 악성스크립트 탐지 툴로 점검
   탐지 툴 신청

한국인터넷진흥원 대응방안

한국인터넷진흥원의 정보보호 사이트에서는 악성코드 감염을 진단할 수 있는 서비스를 제공하고 있으며, 그에 대한 대응책 및 신고센터를 운영하고 있습니다. 스스로 해결이 불가능한 분들을 위해 원격점검 서비스도 지원을 하고 있으니 악성코드에 감염되었는지에 대한 여부를 꼭 확인해 보시고, 감염되었다면 치료하시기 바랍니다. 아래는 한국인터넷진흥원에서 제공하고 있는 감염 진단 서비스 입니다.

1. 웹 취약점 점검
   웹 취약점 점검 서비스는 SQL injection, Cross site scripting 등의 취약점을 원격으로 점검해 드리는 서비스입니다. 점검 결과는 보고서로 제공 해 드리며 발견된 취약점을 보완하여 웹사이트의 보안을 강화하실 수 있습니다. 점검은 오탐지/미탐지의 가능성이 있으며, 점검 결과는 어떠한 증빙자료로도 사용 하실 수 없습니다.
2. 사이버대피소
   사이버대피소는 피해 웹사이트로 향하는 DDoS 트래픽을 대피소로 우회하여 분석, 차단함으로써 정상적으로 운영될 수 있도록 하는 중소기업 무료지원 서비스입니다.
3. PC원격점검
   백신 홈페이지상에서 직접 바이러스/스파이웨어를 점검 할 수 있는 서비스이며 국내외 주요 백신 업체에서 제공하고 있습니다. 점검은 무료이나 치료는 유료인 경우가 많이 있습니다.
4. DNS 싱크홀
   악성봇에 감염된 PC를 해커가 조종하지 못하도록 악성봇과 해커의 명령/제어 서버 간 연결을 차단하는 서비스 입니다. 본 서비스는 자체 DNS 서버를 운영하는 민간기관을 대상으로 제공됩니다.
5. 중소기업 정보보호 컨설팅 지원
   과학기술정보통신부와 한국인터넷진흥원은 예산·인력이 부족하여 정보보호에 취약한 중소기업을 대상으로 고수준의 정보보호 컨설팅 지원과 정보보호 조치를 위한 솔루션 구입비용(최대 300만원)을 지원합니다.
6. 정보보호사전점검
   신규 IT서비스는 이용자의 서비스 접근 편의성을 제공하나 다양한 보안위협 및 취약점에 노출되어 침해사고 발생 가능성이 높아짐 특히, 신규 IT서비스를 위한 시스템 구축 시 보안 취약점 발생 가능성이 증가하고 있으나 이에 상응하는 예방차원의 선행투자는 미흡 따라서, 보다 안전한 시스템을 구축 및 IT서비스 제공을 위해 정보보호 사전점검 제도 시행(’13.2.18) ※ 정보보호 사전점검 제도 : IT서비스의 구축 단계에서 정보보호 위협 및 취약점 분석·위험분석 등의 절차를 통해 사전에 취약점을 제거하고 보호대책을 수립하는 일련의 보안 컨설팅 활동(정보통신망법 제45조의2(정보보호 사전점검))

블루웹의 대응정책

1. ftp 해외접속 차단 대부분의 경우 ftp를 통한 스크립트 삽입은 해외IP를 통해 이루어지고 있어 ftp해외 접속을 차단합니다.
   (단, 해외IP 에서 접속이 필요한 경우 허용 IP 등록 접속 가능)
2. ftp lock 설정/해제 제공 (사용시만 해제 후 사용)
   http://고객도메인/119 접속 후 ftp lock 설정/해제
3. 홈페이지 scan를 통해 악성스크립트 삽입여부 진단 및 제거
4. ftp log 모니터링을 통한 의심 IP 접속제한