취약한 SQL 서버 공격 웜 급증...뉴테크웨이브, 9월 악성코드 분석결과 발표
바이러스 백신 개발업체 뉴테크웨이브(www.viruschaser.com. 대표 김재명)는 ‘뉴테크웨이브 기술연구소’를 통해 9월 악성코드를 분석한 결과 SQL 서버가 설치된 시스템의 취약점을 공격하는 웜이 지속적으로 증가하고 있으며, 암호유출 트로이목마도 급증했다고 11일 발표했다.
분석결과 9월 전체 악성코드 출현은 지난달에 비해 10% 가량 증가했으며 그 중 웜의 경우 지난 8월에 대비 35.4% 증가했다. 이러한 웜의 증가는 이메일 웜은 증가하지 않은 반면 네트워크 웜이 8월 대비 약 50% 더 증가했기 때문이다.
네트워크 웜의 증가는 MS-SQL(또는 MSDE)과 같이 SQL 서버가 설치된 시스템의 취약한 계정을 이용한 웜과, 암호유출 트로이목마를 전파시키는 복합형 악성코드인 가비르(Gavir;네트워크 웜 + 바이러스) 변종의 지속적인 등장이 원인이다. 복합형 악성코드 가비르의 급증으로 인해 지난 8월 대비 암호유출 트로이목마가 92.4%나 증가했다.
9월의 또 다른 특징은 신종 바이러스 ‘BackDoor.IRC.Combot’ 의 등장이다. IRCBot 계열의 이 바이러스는 DB가 설치된 취약한 서버 시스템을 감염시킨 후 감염 시스템을 자신의 유포 서버로 사용하는 웜이다.
MS-SQL(또는 MSDE-Microsoft SQL Server Desktop Engine)이 설치된 시스템에 기본적으로 설정되는 sa 계정의 null 패스워드(암호없음)가 설정된 경우 SQL injection을 통한 확장 저장 프로시저(Extended Stored Procedure)를 이용하여 자신을 전파한다. 그런 다음, 감염된 시스템에서 특정 서버로부터 애드웨어 프로그램을 다운받아 설치함으로써 특정 애드웨어를 전파시키는 주요 원인이 되기도 한다.
이와 같은 IRCBot 계열의 웜들은 자신을 전파하기 위하여 많은 취약점들을 이용하고 있다. 여기에는 윈도 보안 취약점 이외에도 DB 프로그램이나 다른 응용프로그램의 취약점을 이용하기도 한다.
뉴테크웨이브 기술연구소 최재혁 팀장은 “최신 백신을 업데이트했어도 시스템 환경이 취약할 경우 바이러스를 비롯한 악성코드는 계속해서 유입될 수 있다”며 “이에 따라 사용자들은 백신 업데이트뿐만 아니라 취약점이 발견되는 응용 프로그램들에 대한 보안 업데이트와 시스템 취약점 관리에 대한 노력도 지속해야 할 것”이라고 설명했다.
[용어 설명]
SQL injection
SQL은 DB 에 저장된 데이터를 처리하기 위한 구조화된 질의어(SQL : Structured Qurey Language)이며, 이를 통하여 DB 의 구조 및 데이터를 조회 및 변경할 수 있다. SQL injection 은 웹 페이지 또는 DB 응용 프로그램을 통하여 SQL Sever 에 전달될 문자열에 부정한 방법으로 SQL 쿼리 명령을 삽입하는 해킹의 방법이다. 이런 경우 개발자가 의도하지 않은 SQL 문장이 실행되어, DB 정보(구조) 또는 DB 데이터를 수집하거나 변경할 수 있다.
확장 저장 프로시저(Extended Stored Procedure)
SQL Server의 확장된 기능을 제공하기 위하여 SQL Server 관리자가 설치할 수 있는 동적 링크 라이브러리(DLL)이다. 이를 이용할 경우 기본적으로 포함된 몇 가지 확장 저장 프로시저 중 시스템 명령이 가능한 프로시저를 통하여 악의적인 시스템 명령을 수행할 가능성이 있으므로 보안 위험이 나타날 수 있다.
sa/NULL
SQL Server 가 설치될 때 기본적으로 제공되는 아이디/패스워드가 있는데 바로, sa 계정이며 암호가 없는 상태(null) 이다. 이러한 SQL Server 가 동작할 경우 외부의 악의적인 접근자로부터 sa 계정으로의 접근을 허용될 수 있고 이를 통하여 확장 저장 프로시저 중 시스템 명령이 가능한 프로시저를 사용하는 기법으로 시스템에 대한 제어를 당할 수 있다.
웹사이트: http://www.viruschaser.com
연락처
KnA 이영란 016-801-5381
-
2008년 10월 8일 10:13