Tip:
Highlight text to annotate it
X
[음악 재생]
MAILE OHYE: 안녕하세요, Maile Ohye입니다.
해킹된 사이트 복구에 대한 동영상 시리즈의 다음 편인
피해 평가를 수행할 준비가 되셨습니다.
이 동영상은 사이트가 멀웨어에 감염되었다는
메시지를 받았고, 소스 코드를
확인하고 터미널에서 명령어를 실행하는 데
필요한 기술적 배경을 가진 사용자에게 맞춰 제작되었습니다.
멀웨어를 해결하는 데 도움을 주고 관련 지식을
나누기 위해 Google 세이프 브라우징 팀의 엔지니어인
Lucas Ballard씨가 나와주셨습니다.
LUCAS BALLARD: Maile씨 안녕하세요.
MAILE OHYE: 도움을 주셔서 감사합니다.
지금까지 해킹의 개요에 대해 알아보았고 사이트에서
멀웨어가 게재되도록 해킹되었다는 것을 확인했습니다.
이제 피해 평가를 할 준비가 되었습니다.
작업을 시작하기 전에 멀웨어가 정확하게
무엇인지 설명해 주시겠어요?
LUCAS BALLARD: 예.
멀웨어는 컴퓨터나 네트워크에 해를 입히도록 만들어진
악성 소프트웨어를 말합니다.
바이러스, 웜, 스파이웨어, 키 로거, 트로이 목마 등이
멀웨어에 해당됩니다.
웹에 있는 모든 사용자를 악성 소프트웨어로부터 보호하기 위해
Google 세이프 브라우징 팀은 인터넷 전체에서 스캐너를 실행하여
유해한 페이지를 찾습니다.
Google의 자동 스캐너는 악성 콘텐츠를 감지하여
페이지가 감염되었는지를 확인합니다.
이 과정에서 웹마스터의 평판은 고려하지 않습니다.
많은 사이트가 멀웨어에 감염됩니다.
Google에서는 매일 10,000개의 새로 감염된 웹사이트를 찾습니다.
MAILE OHYE: 매우 도움이 되는 정보네요.
사이트가 멀웨어에 감염되면 어떻게 되는지에
대해서도 구체적으로 설명해 주실 수 있나요?
LUCAS BALLARD: 물론입니다.
합법적인 사이트가 '멀웨어에 감염됨'으로
표시되는 경우, 이는 Google에서 사용자가 해당 사이트에 방문하면
브라우저에서 자동으로
브라우저를 공격하는 다른 사이트를
방문한다고 판단했기 때문입니다.
일반적으로 브라우저가 이러한 공격 사이트에 방문하는 이유는
해킹된 사이트 또는 해킹된 사이트가
포함하는 리소스 중 하나가 공격 사이트의 콘텐츠를
포함하도록 수정되었기 때문입니다..
사용자가 감염된 페이지에 방문하면 공격 사이트의 콘텐츠가
사용자 브라우저의 취약점을 이용하므로
Google은 멀웨어 페이지를 방문하는 사용자에게 경고를 표시합니다.
취약점을 이용당하게 되면 사용자가 알지 못하는 사이에
악성 소프트웨어가 컴퓨터에
자동으로 로드됩니다.
악성 소프트웨어는 사용자의 은행 자격증명 정보를
수집하려는 스파이웨어 또는 감염된 컴퓨터를 이용하여
스팸을 발송하는 멀웨어일 수 있습니다.
해커는 사용자의 해킹된 컴퓨터를 사용하여
자신의 멀웨어 네트워크에 또 다른
노드를 추가하고 이를 사용하여 다른 컴퓨터나
웹사이트를 공격할 수 있습니다.
MAILE OHYE: 말씀을 들어보니 멀웨어가 정말
전염병처럼 퍼지는군요.
사이트 소유자가 자신의 사이트가 멀웨어에 감염되었거나
다른 사이트를 감염시키는 데 관련되었는지를
알 수 있는 방법에 대해 알려주시겠어요?
LUCAS BALLARD: 알겠습니다.
Google 세이프 브라우징은 이 정보를
확인된 사이트 소유자인지 여부에 관계없이
모든 사용자에게 표시합니다.
노트북에서 Google 세이프 브라우징
진단 페이지로 이동하겠습니다.
페이지 주소는 www.google.com/safebrowsing/diagnostic?site=이고
뒤에 사이트 주소가 추가됩니다.
예를 들어 googleonlinesecurity.blogspot.com을 추가할 수 있겠죠.
여기에서 사용자가 페이지를 안전하게 탐색할 수 있는지
여부와 관련된 현재 사이트 상태를 확인할 수 있습니다.
저희 팀에서는 이러한 데이터를 생성하는
스캐너를 실행합니다.
다행히 Google 온라인 보안 블로그는 안전하군요.
사이트 소유자가 무엇을 확인할 수 있는지
자세히 알려드리기 위해 멀웨어에 감염된 사이트를 살펴보겠습니다.
세이프 브라우징 진단 페이지에서
확인할 수 있는 정보 유형은 사이트의 현재 상태입니다.
즉, 사이트가 안전한지
아니면 의심스럽거나 사용자에게 위험한지를 알 수 있죠.
멀웨어에 감염된 사이트는 당연히 의심스러운 사이트로 표시됩니다.
그 아래에는 Google이 해당 사이트를 방문했을 때
발생한 상황에 대해 보다 자세한 정보를 표시합니다.
예를 들어 사이트에서 포함할 공격 사이트를
확인할 수 있습니다.
또한 공격 사이트 자체에 대한 정보도 확인할 수 있습니다.
다시 한번 말씀드리면, 공격 사이트는 실제로 멀웨어를 호스팅하여
사용자를 감염시키고 사이트가 더 큰 멀웨어 네트워크에
포함되었는지 확인하는 데 사용됩니다.
공격 사이트나 네트워크를 클릭하면 세이프 브라우징에 대한
더 자세한 정보를 확인할 수 있습니다.
이 페이지의 마지막 부분에는 사이트가 다른 사이트를 감염시키거나
멀웨어를 호스팅하기 위한
중개자로 사용되었는지가 표시됩니다.
MAILE OHYE: Lucas씨, 감사합니다.
이제 멀웨어에 대해 알았으니
사이트가 입은 피해를 안전하게 조사하는 방법에 대해
설명해 주시겠습니까?
LUCAS BALLARD: 좋은 질문입니다.
그 질문을 기다리고 있었어요.
페이지를 보고 파일을 삭제하거나 사이트를 수정하기 전에
우선 멀웨어 조사에 대한 몇 가지 팁을 알려 드리겠습니다.
먼저 브라우저를 사용하여
감염된 웹페이지를 열지 마세요.
조금 전에 말씀드렸듯이 멀웨어는 브라우저의
취약성을 이용하여 퍼져 나가는 경우가 많습니다.
브라우저에서 감염된 웹페이지를 여는 것은
화를 자초하는 것입니다.
두 번째, 악성코드를 조사할 때 서버에 액세스할 수 있다면
큰 도움이 됩니다.
일부 멀웨어는 사용자의 에이전트, 쿠키, 참조자, 특정 시간,
운영체제, 브라우저 버전에 따라
표시되도록 설정되므로 멀웨어의 콘텐츠나 동작을
더 상세히 파악하기 위해
페이지의 실제 소스 코드를
확인하는 것이 좋습니다.
세 번째, 사이트의 피해를 평가하기 위해
진단 HTTP 요청이나 페이지 가져오기를 수행할 수 있는
몇 가지 유용한 도구가 있습니다.
해커는 해킹된 사이트에서 공격 사이트로 이동하는 리디렉션을
설정하는 경우가 많기 때문에 페이지의 소스 코드를 확인하는 것만으로는
리디렉션을 감지하지 못할 수도 있습니다.
따라서 실제로 페이지를 가져와야 합니다.
유용하면서 대체로 무료로 사용할 수 있는 두 가지 도구는
Wget과 cURL입니다.
Wget과 cURL은 모두 HTTP 요청을 생성하며
이러한 도구에서 사용자 에이전트나 브라우저 정보를
포함하거나 참조하도록 설정할 수 있습니다.
이러한 기능은 해커가 들키지 않기 위해 사용하는
몇몇 정교한 기술을
파악하는 데 유용합니다.
예를 들어 해커가 검색결과 페이지에서 URL을 요청한 경우에만
악성 콘텐츠로 리디렉션되도록
설정했을 수 있습니다.
즉, 사용자가 google.com에서 검색하면
페이지 요청에 Google 참조자가 포함됩니다.
Google 참조자를 사용하는 사용자에게만 악성 콘텐츠를
게재함으로써 해커는 더욱 실제적인 사용자를
타겟팅하게 되었으며 웹마스터나 멀웨어 스캐너에서
감지하지 못하도록 할 수 있는
가능성이 높아졌습니다.
Wget과 cURL을 검색하면 이러한 도구를 사용하는 방법에
관해 더욱 자세히 설명된 리소스를 찾을 수 있습니다.
MAILE OHYE: 지금까지 말씀하신 것을 요약해 보면
사이트에서 멀웨어를 조사할 때 첫 번째,
브라우저에서 페이지를 열지 않는다.
두 번째, 파일 시스템에서 페이지의 소스 코드를 확인한다.
그리고 세 번째, 리디렉션을 찾고 Wget이나 cURL을 통해
소스 코드를 확인한다. 이 세 가지군요.
LUCAS BALLARD: 감염된 사이트가 어떻게 되는지
더 자세히 알아보기 위해 조금 전에 세이프 브라우징
진단 페이지를 살펴 보았습니다.
다음에 확인할 곳은
웹마스터 도구의 멀웨어 섹션입니다.
MAILE OHYE: 저는 제 사이트의 확인된 소유자인데요.
웹마스터 도구에 로그인하고 내 사이트, 진단, 멀웨어를
차례로 선택하겠습니다.
Lucas씨, 세이프 브라우징 팀에서 이 페이지에 표시하는 정보에 대해
더 자세히 알려주시겠어요?
LUCAS BALLARD: 물론입니다.
멀웨어 페이지는 상단의 두 개의 버튼인
표 다운로드와 검토 요청으로 구성되어 있습니다.
검토 요청 버튼은 사이트에서
멀웨어가 없어지면 사용합니다.
검토 요청을 하기 전에
먼저 피해를 평가해야 합니다.
이 페이지의 표는 사이트의 감염된 URL의 예,
Google 스캐너에서 인식하는
감염 유형 및 감지된
가장 최근 날짜를 표시합니다.
URL을 클릭하면 특정 작업 항목이 포함된 멀웨어
세부정보 페이지로 이동합니다.
일부 URL 예에는 감염 유형이 표시되지 않습니다.
Google 스캐너가 URL이 악성이라고 감지하는 동안
특정 동작을 식별할 수 없었기 때문입니다.
이 외의 경우는 개별 동영상에서
각 감염 유형에 대해 자세히 설명해 드릴 것입니다.
웹마스터 도구에 있는 각 샘플 URL을 조사한 후
이 단계에서 수행해야 하는 마지막 작업은 사이트의
피해를 보다 개괄적으로 평가하는 것입니다.
MAILE OHYE: 그렇군요.
이 단계에서 시청하실
마지막 동영상은 파일 시스템 피해 평가입니다.
파일 시스템 피해 평가를 통해 나중에 정리 단계를 수행하는 데
도움이 되도록 사이버 범죄자가 수정했거나
추가한 파일의 목록을 컴파일할 수 있습니다.
Lucas씨, 감사합니다.
사이트의 멀웨어 유형에 따라
서버 설정, SQP 삽입, 오류 템플릿 등의 주제에 해당하는
Lucas씨의 동영상을 시청하시기 바랍니다.
사이트의 모든 멀웨어 유형에 따른 피해를 조사한 후
개괄적인 파일 시스템 평가도
수행해야 합니다.
이러한 작업을 완료한 후에
취약성을 파악하는 다음 단계로 넘어가세요.
이제 복구 막바지에 접어들었습니다.
계속 힘내세요.