SkySummer.com ::: 여름하늘 ::: 블로그(RSS), 새로운 악성코드 유포경로가 된다.

블로그(RSS), 새로운 악성코드 유포경로가 된다.
저작권 및 공지 CATEGORY : 보안 : 백신

지난 달 http://www.computerworld.com의 Security 파트에 게재된 기사이다..
원 제목은 Read RSS, get hacked - Hackers have found a really simple solution to delivering malware이며 자세한 전문은 해당 링크를 참조..

결론은, 해커들이 새로운 악성코드 유포 경로로 RSS를 육성(?)하고 있다는 암울한 내용이다..
RSS에 의해 새로운 멀웨어 유포가 되기 쉽고, 해커들이 관심을 기울이고 있는 이유는 그것의 태생적인 특성 때문이라고 한다.. 즉, 구독자에게 어떠한 선택권도 주어지지 않은 채, 피드의 모든 요소가 전송되기 때문이다..
[The security problem arises from the fact that many RSS and Atom-based feed readers and aggregators simply pull in the content from the source without first checking to see whether it might contain malicious code]

사실, RSS만큼 수신자의 선택권이 배제된 채, 단시간 내에 널리 확산되는 플랫폼도 없을 것이다.. 이러한 확산성은 스팸이 갈구하는 본질과도 정확히 일치하기 때문에 이미 많은 블로거가 스팸으로 골머리를 앓고 있기도 하다.. 본 블로그에서도 하루에 1천개 가까이 달리는 스팸 때문에 현재는 열흘이 지난 글의 트랙백을 차단하고 있다..

하지만 이러한 단순 스팸은 앞으로는 애교 정도에 그친다 할 수 있을지도 모른다..
RSS의 탁월한 확산성과 상호 연결성, 그리고 공유성 등은 멀웨어를 전파하는 데에도 매력적이지 않을 수 없고, 해커들은 이미 이를 인식하고 있다..
문제는, 구독자 상호간의 연결이 강력하기 때문에 악성 피드를 유포한 블로그나 사이트를 제제한다고 하더라도, 이미 오염된 피드를 받은 사용자에게서 다른 사용자에게로 전파될 수 있다는 점이다..
때문에, Worm과 같은 패턴을 지닐 것도 충분히 예상하게 만든다.. 어쩌면 멀웨어 이름에 XXX.(blog)rss.worm 이라는 단어가 들어갈 지도 모르겠다..

RSS를 통하여 유포되는 것으로 확인된 패턴에는 다음과 같은 것들이 현재 알려져 있다..
악의적인 자바스크립트, 패스워드 또는 개인정보 하이잭킹, PC원격조정 등...
또한 댓글에 악성 코드를 기입하는 방식으로 멀웨어를 전파하기도 한다고 하니, 가급적 댓글에는 HTML 지원을 배제함이 현명하리라 여겨진다..

저 기사에 따르면, Authentium

[필자 주] Authentium사는 보안에 관련된 유명한 연구소로, 여러 백신 업체들과 제휴하여 공동으로 샘플을 수집하거나 안티-바이러스 엔진 등의 보안 솔루션을 제작하기도 한다.
Microsoft, 노턴을 제작한 Symantec, SpySweeper를 제작한 Webroot 등이 알려진 제휴업체들이다.
http://www.authentium.com

에서 최근에 수집한 6만여건의 멀웨어 샘플 중, 1천여개 이상이 블로그(blog)란 단어와 연관이 있는 URL을 내포하고 있다고 한다..

P/S
1. 이번을 계기로 RSS 전체공개에 대한 당위성을 종교처럼 고집하는 맹신자들의 대응이 기대된다..
2. 새로운 위협에 대한 발빠른 대응으로 벌써부터 외국 보안 기업들은 분주한데, 부지런함과 열정은 안드로메다로 보내 버린 대한민국의 보안업체들은 뭐 하는지 궁금하다..
3. 앞으로는 포르노 사이트에 이어 포르노 블로그 구독도 신중해야 할 것 같은데.. 내 구독목록에서 몇 개나 지워져야 하는겨... ㅡ.ㅡ;

이 블로그의 모든 글 및 리뷰에 대한 저작권은 여름하늘에게 있습니다.
출처를 밝힌 여부와 상관 없이 글, 또는 리뷰의 내용을 다른 사이트에 올리는 것을 금합니다. 좋은 글이라 여겨지면 링크나 트랙백을 이용해 주세요.
참고 : 저작권 위반에 대한 법적 대응
Copyrights 2008 무단 전재/스크랩 금지.

adware, Authentium, Computer, computerworld, FEED, JavaScript, RSS, Security, Software, SPAM, Spyware, Windows, worms, xml, 바이러스, 백신, 보안, 블로그, 소프트웨어, 스파이웨어, 스팸, 악성코드, 애드웨어, 웜, 윈도우, 자바스크립트, 컴퓨터, 포르노, 피드, 해커

여름하늘 | 2007/03/03 13:33 |

트랙백(0)

이 글의 트랙백 주소 : http://skysummer.com/trackback/274

* 웹초보 at 2007/03/03 14:01 ::: Reply ::: Delete ::: ↑
스팸 트랙백이야 그 익명성과 무작위성 때문에 어쩔수 없다지만, RSS 같은 경우는 어느정도 신뢰할수 있는 블로그를 개인이 선택해서 구독한다는점에서 그다지 위협적일것 같진 않은데요.

뭐.. 강제적으로 RSS를 구독하게 만들어 버리는 스크립트가 있다든가.. 아니면 RSS 전달과정 중간에서 해킹을 한다든지 그러면 모르겠네요..

그런데 RSS 보안문제와 부분공개 문제가 왜 연관이 있는겁니까?? 해킹할려고 마음먹으면 제목만 보여주는 RSS도 얼마든지 가능할텐데요.

여름하늘 at 2007/03/04 02:17 ::: Delete
글쎄요.. 세상이 그렇게 단순하고 예측가능하다면 백신업체는 이미 모두 망하고 없어지겠지요..
드림위X, 스포츠조X, 미디어X, 심지어 국내 모 백신업체와 정부, 지자체 사이트까지.. 모두 신뢰할 수 없어서 방문들이 멀웨어로 피해를 입었습니까?
한 가지 큰 오류를 전제하고 있는데요..
해커들이 자신이 만들어 놓은 RSS 사이트에서 멀웨어를 배포할 거라 여기시는지요.. 그건 너무 너무 순진한 생각 아닌가요?
웹초보님이나 제 서버, 심지어 티스토리의 서버까지.. 마음만 먹으면 당장에 멀웨어 숙주로 이용할 수 있는 해커가 전 세계에 깔렸습니다..
보안과 백신에 관해 얼마나 많은 정보와 뉴스를 접해 보셨는지 모르지만, (대놓고 만든) 악의적인 사이트에서 입는 피해는 거의 없습니다.. 아니, 요즘은 전혀 없다고봐도 됩니다..

RSS 전달과정 중간에서 해킹을 하는 하이잭킹이 오히려 더 번거롭고 어렵습니다..
어지간한 해커라면 그 방법을 쓰지 않죠.. 그냥 제 블로그의 서버를 해킹해서 숙주로 쓰면 되지.. 중간에서 하이잭킹을 하고, 다시 리다이렉팅 하기 위해 또 하나의 서버를 해킹하는 삽질은 하지 않습니다.. 그도 아니면 일반 사용자의 PC를 그리딩 방식으로 해킹하겠으나, 개인정보 수집이 목적이 아니라면, 이 역시 비효율적이죠..

부분공개가 상대적으로 위협이 적다는 의미입니다.. 님이 아무리 고집해도 물리적으로 이는 당연한 것이거든요..
스크립트나 코드가 구동되기 위해서는 어느 정도의 크기가 필요하고, 정작 중요한 위협은 임베디드되는 컨텐츠들에게 있습니다..
간단히 말해, 야구 방망이를 들고 쳐 들어오는데, 방망이 끝만 들어오는데 그친다면 그만큼 감염 위협이 적죠..
하지만 모든 RSS를 개방한다면 방망이와 그것을 든 도둑이 들어와서 손쉽게 강타할 수 있습니다..

이건 아주 개인적 생각이지만, 이러한 이유로 장차에는 RSS 부분공개가 대세일 것이라 예측합니다.. 물론, 어떤 대안이나 기술이 나온다면 모르지만요..

* 비탈길 at 2007/03/03 23:50 ::: Reply ::: Delete ::: ↑
저도 윗분들과 같이 생각해요.^^; 그런데 저는 구독자로서 RSS 전체공개가 항상 훨씬 보기 좋더군요.

여름하늘 at 2007/03/04 02:23 ::: Delete
해커가 악성코드를 배포하기 위해 RSS 사이트를 만들고 구독자들을 끌어 모은다고만 생각들 하시는지 이해가 가질 않습니다.. ㅎㅎㅎ
신석기 시대라면 모를까.. 이러한 단순한 노가다성 방법을 쓰는 해커는 요즘 없습니다..

물론 구독자 입장에서는 전체공개가 좋겠지요..
보안과 저작권에 대한 기술적 진보가 있다면 저역시 전체공개에 열성적으로 찬동할 의지가 있습니다..^^;

* LOSER at 2007/03/04 04:16 ::: Reply ::: Delete ::: ↑
비생산적인 댓글들이... 여름하늘님, "말씀대로" 전문, 부분 공개와 RSS 공격 벡터와는 큰 관련이 없습니다. 그렇지요? 가볍게 화두를 하나 던지신 건데 방문객들의 댓글이 어긋나버려서 좀 논의가 꼬인 것 같네요. ^^

여름하늘 at 2007/03/04 23:51 ::: Delete
가벼운 화두라고 할 지라도, 글을 읽는 분의 입장에서는 진지하게 생각하실 수도 있을 것 같습니다..
그러한 반박을 통해 제가 배우는 것도 많구요..
하지만, RSS 해킹에 대한 단편적인 지식들은 저를 당황스럽게 하네요..

* 작은인장 at 2007/03/06 04:59 ::: Reply ::: Delete ::: ↑
제가 작성했던 댓글들을 딴지 정도로만 보시기 때문에 모두 삭제했습니다.
그정도로 생각하신다니 제가 할 말씀은 없습니다만..... 그럴거면 이 글을 왜 공개하셨는지 의문이 좀 드네요. -_-

여름하늘 at 2007/03/06 15:15 ::: Delete
블로그(RSS)가 새로운 악성코드 유포경로가 된다는 것을 알리기 위해 포스팅했습니다..

* 비밀방문자 at 2007/03/08 13:59 ::: Reply ::: Delete ::: ↑
관리자만 볼 수 있는 댓글입니다.

* link at 2007/03/24 11:20 ::: Reply ::: Delete ::: ↑
쓰신 글과 별 관련은 없지만 하나 여쭤보고 싶은게 있는데요,
컴퓨터의 어떤 파일이나 폴더를 삭제하려고 할때
다른 사람이나 프로그램에서 사용하고 있다고 나오는데
저는 사용하고 있지 않거든요?;
제 컴퓨터에 누가 들어와서 자료를 복사해 간다거나 하는 걸까요?;
귀찮으시겠지만 가르쳐 주시면 안될까요?ㅎ;

여름하늘 at 2007/03/25 02:54 ::: Delete
다른 사람이 사용하는 경우는 없을 것 같습니다..
해킹이 의심되면 한 번 백신으로 테스트 해 보시고요.. 삭제되지 않는 파일은 이 글을 참고하세요..
http://skysummer.com/292

* link at 2007/03/25 22:23 ::: Reply ::: Delete ::: ↑
답변 감사합니다~

이름
비밀번호
홈페이지
	비밀글로 등록 댓글, 트랙백 관련 공지 이메일 연락처
내용	부분적으로 웹폰트를 적용해 보았습니다. 구독자분들의 반응을 보고 계속 사용 여부를 정하겠습니다.