백도어란 사용자가 기기의 표준 인증 과정을 거치지 않고, 암호화된 보안망을 우회하여 접근할 수 있도록 하는 모든 수단을 의미합니다. 이러한 백도어 바이러스 공격으로부터 어떻게 자신을 보호할 수 있는지 알아보겠습니다.
백도어는 데이터베이스나 파일 서버와 같은 중요 자원에 원격으로 접근할 수 있도록 기기, 네트워크 또는 소프트웨어에 비밀 통로를 만드는 행위와 같습니다.
해커들은 인터넷에서 백도어 바이러스를 심을 수 있는 취약한 애플리케이션을 찾아냅니다. 일단 기기에 백도어 바이러스가 설치되면, 파일이 복잡하게 숨겨지는 경향이 있어 탐지하기 매우 어려울 수 있습니다.
만약 기기에 백도어가 존재하게 되면, 공격자는 원격으로 다음과 같은 여러 가지 해킹 행위를 할 수 있습니다:
- 감시
- 기기 탈취
- 악성 프로그램 설치
- 금융 정보 절취
- 신원 도용
백도어 바이러스 공격의 작동 원리
백도어는 소프트웨어 개발자가 소프트웨어 문제를 해결하는 등 특정 기능을 수행하기 위해 합법적으로 애플리케이션에 접근할 수 있도록 설치할 수 있습니다.
그러나 대개의 경우, 백도어는 사이버 범죄자가 기기, 네트워크, 또는 소프트웨어 애플리케이션에 불법적으로 접근하기 위해 설치됩니다.
사이버 범죄자가 기기에 백도어 바이러스를 성공적으로 심으려면, 먼저 기기 내 시스템의 취약점 또는 손상된 애플리케이션을 찾아야 합니다.
일반적인 시스템 취약점의 예시는 다음과 같습니다:
- 패치되지 않은 소프트웨어
- 개방된 네트워크 포트
- 취약한 비밀번호
- 허술한 방화벽
취약점은 트로이 목마와 같은 악성 프로그램에 의해 생성될 수도 있습니다. 해커는 기기에 침투한 트로이 목마를 이용하여 백도어를 만듭니다.
트로이 목마는 합법적인 소프트웨어로 위장하여 데이터를 훔치거나 백도어를 설치하는 악성 프로그램의 일종입니다. 소셜 엔지니어링 기법을 활용하여 사용자를 속여 트로이 목마를 다운로드하고 실행하도록 유도합니다.
활성화되면 백도어 트로이 목마는 해커가 감염된 기기를 원격으로 제어할 수 있게 합니다. 파일 절도, 파일 전송 및 삭제, 기기 재부팅, 그리고 다른 악성코드 설치와 같은 모든 종류의 악의적인 활동을 수행할 수 있습니다.
사이버 범죄자가 백도어 감염을 통해 컴퓨터를 해킹한 후에는 정보 탈취, 암호화폐 채굴 프로그램 설치, 기기 납치, 사업 방해 등과 같은 악의적인 행위를 쉽게 반복하려 할 것입니다.
해커는 특히 취약점이 패치될 경우 기기를 계속해서 해킹하기 어렵다는 것을 알고 있습니다. 따라서 취약점이 수정되더라도 백도어가 남아 기기에 침입할 수 있도록 대상 기기에 백도어 코드를 설치하는 것입니다.
오늘날 해커가 백도어 바이러스 공격을 활용하는 방식
해커들은 포트 바인딩, 연결 백도어 접근 방식, 연결 가용성 악용, 표준 서비스 프로토콜 접근 방식 등 여러 가지 복잡한 백도어 침입 기술을 사용하여 기기에 접근합니다. 이 과정은 매우 복잡하며, 기기, 방화벽, 네트워크를 속이는 행위를 포함합니다.
백도어 바이러스가 일단 설치되면 해커는 다음과 같은 악의적인 활동을 수행할 수 있습니다:
- 랜섬웨어: 기기를 감염시키고 개인 파일에 대한 접근을 차단하는 악성 소프트웨어로, 일반적으로 비트코인으로 몸값을 지불하도록 요구합니다.
- DDoS(분산 서비스 거부) 공격: 과도한 트래픽으로 웹사이트나 온라인 서비스를 마비시켜 사용할 수 없게 만드는 악의적인 공격입니다. 이 트래픽에는 연결 요청, 가짜 패킷, 수신 메시지 등이 포함될 수 있습니다.
- 악의적인 의도로 사용자의 기기에 침투하는 스파이웨어 소프트웨어는 은행 계좌 정보, 인터넷 검색 습관, 사용자 이름과 비밀번호 등 거의 모든 형태의 개인 정보를 수집합니다.
- 크립토재킹: 악성 암호화폐 채굴이라고도 하며, 컴퓨터나 휴대폰에 숨어 사용자가 모르는 사이에 리소스를 사용하여 비트코인과 같은 온라인 통화를 채굴하는 온라인 위협입니다.
성공적인 백도어 공격의 실제 사례
#1. MarcoStyle 유튜브 채널 해킹
유튜버 MarcoStyle이 해킹당했습니다. 2019년에 그는 자신의 채널에 광고하려는 회사의 이메일에 답장했습니다. 이 회사는 합법적으로 보였지만, Marco가 이메일에 첨부된 링크를 클릭했을 때 그의 컴퓨터에 악성 프로그램이 설치되었습니다. 그는 즉시 자신의 PC에 문제가 있다는 것을 인지하고 전원을 끄고 Windows를 새로 설치하고 로그인 정보를 변경했습니다.
안타깝게도 해커는 이미 그의 Google 계정에 침입하여 35만 명 이상의 구독자를 가진 Gmail에서 YouTube 채널을 탈취했습니다.
Marco는 YouTube에 알렸지만, 그의 해킹당한 YouTube 채널이 러시아 웹사이트에서 팔리기 전까지 조치를 취하지 않았습니다. 그들은 그의 프로필 사진과 이름을 “Brad Garlinghouse”로 변경하고 모든 비디오를 삭제했습니다. 5일 후, 해커는 라이브 스트리밍을 시작하여 Marco의 시청자로부터 약 15,000달러를 훔쳤다고 합니다.
그들은 심지어 Marco가 수없이 시도했지만 거절당했던 YouTube 인증을 받았습니다. YouTube가 해킹 후 Marco의 채널을 복구하는 데 11일이 걸렸습니다.
이것은 해커가 악성 링크를 사용하여 기기에 백도어 바이러스를 설치하는 일반적인 방식의 예시입니다.
#2. 워너크라이 랜섬웨어 공격
2017년 WannaCry 랜섬웨어 공격은 해커가 패치가 적용되지 않은 시스템을 통해 회사에 백도어 바이러스 공격을 개시할 수 있는 가장 대표적인 예시일 것입니다.
150개국에서 23만 대 이상의 컴퓨터에 영향을 준 이 공격은 NSA가 구형 Windows용으로 개발한 익스플로잇인 EternalBlue를 통해 확산되었습니다. Shadow Brokers로 알려진 해커 그룹이 EternalBlue를 훔쳐 DoublePulsar 백도어를 설치한 다음 데이터를 암호화하고 몸값으로 600달러 상당의 비트코인을 요구했습니다.
Microsoft는 해당 취약점에 대해 사용자를 보호하는 패치를 몇 달 전에 배포했지만 NHS 병원을 포함한 많은 피해 기업들이 적용하지 못했습니다. 며칠 만에 영국 전역에서 수천 건의 NHS 병원 수술이 중단되었고, 위급한 환자를 태운 구급차가 우회하는 사태가 발생했습니다.
공격 결과 19,000건의 예약이 취소되었고, NHS는 9,200만 파운드라는 막대한 손실을 입었습니다. Wannacry 공격으로 전 세계적으로 약 40억 달러의 피해가 발생한 것으로 추정됩니다.
몸값을 지불한 일부 회사는 데이터를 되찾았지만, 대부분은 그렇지 못했다는 연구 결과가 있습니다.
#3. SolarWinds Sunburst 백도어 공격
2020년 12월 14일, Sunburst 및 Supernova로 알려진 악성 백도어가 SolarWinds에서 발견되었습니다. SolarWinds는 기업들이 네트워크, 시스템, IT 인프라를 관리하는 데 도움이 되는 소프트웨어를 개발하는 미국의 주요 정보 기술 회사입니다.
사이버 범죄자들이 텍사스에 위치한 SolarWinds 시스템을 해킹하여 회사의 소프트웨어인 Orion에 악성 코드를 추가했습니다. Orion은 기업에서 IT 자원을 관리하는 데 널리 사용되는 소프트웨어 시스템입니다.
SolarWinds는 자신도 모르게 악성 코드가 포함된 Orion 소프트웨어 업데이트를 고객들에게 보냈습니다. 고객들이 업데이트를 다운로드하면 악성 코드가 자동으로 설치되어 해커가 스파이 활동을 할 수 있도록 기기에 백도어를 생성했습니다.
SolarWinds는 30만 명의 고객 중 18,000명이 백도어 Orion 소프트웨어의 영향을 받았다고 보고했습니다. 이 공격으로 인한 보험 손실은 9천만 달러로 추정되며, 이는 가장 심각한 사이버 보안 공격 중 하나로 기록되었습니다.
#4. iPhone에서 발견된 백도어
오하이오 주립대학교, 뉴욕대학교, 헬름홀츠 정보 보안 센터의 2020년 연구에 따르면 수천 개의 Android 앱에 백도어가 포함되어 있다고 합니다. 테스트된 150,000개의 앱 중 12,705개의 앱이 백도어의 존재를 나타내는 비밀스러운 행위를 보였습니다.
발견된 백도어 유형에는 원격으로 앱 잠금을 해제하고 사용자 비밀번호를 재설정할 수 있는 액세스 키와 마스터 비밀번호가 포함되었습니다. 원격으로 비밀 명령을 실행할 수 있는 앱도 일부 발견되었습니다.
휴대폰의 백도어는 사이버 범죄자나 정부가 사용자를 쉽게 감시할 수 있도록 합니다. 데이터가 완전히 손실될 수 있으며 시스템 손상이 발생하면 복구할 수 없는 상황에 이를 수 있습니다.
백도어 바이러스 공격에 취약한가?
불행히도 대부분의 사람들은 온라인 계정, 네트워크, 심지어 사물 인터넷(IoT) 기기에서 백도어 바이러스 공격에 취약하게 만드는 많은 결함을 가지고 있습니다.
다음은 해커가 사용자의 기기에 백도어를 설치하기 위해 악용하는 다양한 기술입니다:
#1. 숨겨진/합법적인 백도어
때로는 소프트웨어 개발자가 고객 지원이나 소프트웨어 버그 해결과 같은 합법적인 활동을 수행하기 위해 원격 액세스를 제공하기 위해 의도적으로 숨겨진 백도어를 설치합니다. 해커들은 소프트웨어에 불법적으로 접근하기 위해 이러한 백도어를 찾아냅니다.
#2. 개방된 네트워크 포트
해커는 원격 사이트에서 트래픽을 받아들일 수 있기 때문에 악용할 수 있는 개방된 네트워크 포트를 찾습니다. 열린 포트를 통해 기기에 침입하면 탐지되지 않은 채 기기에 계속 접근할 수 있는 백도어를 남깁니다.
서버에서 실행하려는 포트를 식별하고 제한한 다음, 사용하지 않는 포트를 닫거나 차단하여 인터넷에 노출되지 않도록 해야 합니다.
#3. 무제한 파일 업로드
대부분의 웹 서버에서는 사진이나 PDF 파일 등을 업로드할 수 있습니다. 백도어 취약점은 업로드된 파일을 의도한 파일 형식으로만 제한하지 못할 때 발생합니다.
이러한 취약점을 통해 사이버 범죄자는 웹 서버에 임의의 코드를 업로드하여 언제든지 돌아와 원하는 명령을 실행할 수 있는 백도어를 생성합니다. 이러한 취약점을 해결하는 가장 좋은 방법은 사용자가 파일을 수락하기 전에 업로드할 수 있는 파일 유형을 확인하는 것입니다.
#4. 명령 주입
백도어 바이러스 공격으로 이어질 수 있는 또 다른 유형의 취약점은 명령 주입입니다. 이러한 유형의 공격에서 해커는 취약한 웹 애플리케이션을 악용하여 대상 기기에서 명령을 실행하는 것을 목표로 합니다. 이러한 백도어 감염은 악의적인 사용자가 언제 기기를 공격하려고 하는지 알기 어렵기 때문에 탐지하기 어렵습니다.
명령 주입 취약점을 방지하는 가장 효과적인 방법은 부적절하게 구성된 데이터가 시스템에 침투하는 것을 막는 강력한 사용자 입력 유효성 검사를 사용하는 것입니다.
#5. 취약한 비밀번호
생일이나 첫 애완동물의 이름과 같은 취약한 암호는 해커가 쉽게 해독할 수 있습니다. 더 심각한 것은 대부분의 사람들이 모든 온라인 계정에 동일한 암호를 사용한다는 점입니다. 즉, 해커가 하나의 계정 암호를 알게 되면 다른 모든 계정을 쉽게 통제할 수 있다는 뜻입니다.
IoT 기기의 취약하거나 기본 암호도 사이버 범죄자에게 쉬운 목표가 됩니다. 예를 들어 라우터를 장악하면 장치에 저장된 Wi-Fi 암호를 알아낼 수 있고, 여기서부터 공격이 매우 심각해져 종종 DDoS 공격으로 이어지기도 합니다.
지금 바로 라우터 및 Wi-Fi PSK의 기본 비밀번호를 업데이트하고, 네트워크 내 모든 IoT 장치의 관리자 비밀번호를 변경하십시오.
백도어 공격을 방지하는 추가 방법
백도어 바이러스 공격은 탐지하기 매우 어렵기 때문에 오랫동안 발견되지 않은 채 존재할 수 있습니다. 이것이 바로 해커가 공격을 수행하는 방식입니다. 그럼에도 불구하고 백도어 바이러스 공격으로부터 기기를 안전하게 보호하기 위해 몇 가지 쉬운 조치를 취할 수 있습니다.
#1. 바이러스 백신 사용
정교한 바이러스 백신 소프트웨어는 사이버 범죄자들이 백도어 공격을 실행할 때 자주 사용하는 트로이 목마, 암호화폐 채굴기, 스파이웨어 및 루트킷을 포함한 광범위한 악성 프로그램을 탐지하고 방지하는 데 도움을 줄 수 있습니다.
우수한 바이러스 백신에는 Wi-Fi 모니터링, 고급 방화벽, 웹 보호, 마이크 및 웹캠 개인 정보 모니터링과 같은 도구가 포함되어 있어 온라인 활동을 최대한 안전하게 보호합니다.
즉, 바이러스 백신 소프트웨어는 시스템을 감염시키기 전에 백도어 감염을 감지하고 제거합니다.
#2. 신중하게 다운로드
소프트웨어, 파일, 앱을 다운로드할 때 추가 번들 애플리케이션 설치(무료) 권한 요청에 주의하십시오. 이러한 번들 앱은 PUA(Potentially Unwanted Application)라고 하며 합법적인 것처럼 보이지만 실제로는 그렇지 않은 무료 소프트웨어, 파일, 앱입니다. 종종 백도어 바이러스를 포함한 일종의 악성 프로그램과 함께 패키지되는 경우가 많습니다.
실시간 악성 프로그램 탐지 기능이 있는 온라인 보안 소프트웨어를 설치하고 항상 공식 웹사이트에서 다운로드하고, 타사 다운로드(해적판) 사이트를 클릭하지 마십시오.
#3. 방화벽 사용
대부분의 바이러스 백신 소프트웨어에는 백도어 바이러스와 같은 공격으로부터 사용자를 보호할 수 있는 방화벽이 탑재되어 있습니다.
방화벽은 네트워크에 들어오고 나가는 모든 트래픽을 모니터링하여 위협을 걸러낼 수 있도록 설계되었습니다.
예를 들어, 방화벽은 허가된 사용자가 네트워크 또는 기기에 접근하려고 할 때 이를 알려주고 차단합니다. 또한 알 수 없는 네트워크 위치로 중요한 데이터를 보내려는 기기의 모든 응용 프로그램을 차단하도록 방화벽을 설정할 수도 있습니다.
#4. 비밀번호 관리자 사용
비밀번호 관리자는 모든 계정에 대한 로그인 자격 증명을 생성 및 저장할 뿐만 아니라 자동으로 로그인하는 데에도 도움을 줍니다.
비밀번호 관리자는 마스터 비밀번호를 사용하여 비밀번호 데이터베이스를 암호화하므로 매번 비밀번호, 이메일, 또는 사용자 이름을 입력할 필요가 없습니다. 비밀번호를 비밀번호 관리자에 저장한 다음, 마스터 비밀번호만 설정하면 됩니다.
계정에 로그인할 때 마스터 비밀번호를 입력하면 자동으로 데이터가 채워집니다. 그리고 대부분의 비밀번호 관리자에는 데이터가 유출되었을 때나 사용 중인 비밀번호가 도난당한 사용자 데이터 덤프에서 발견되었을 때 사용자에게 알려주는 기능이 있습니다.
#5. 최신 보안 업데이트/패치 유지
해커는 기기나 소프트웨어의 알려진 결함이나 취약점을 악용합니다. 이러한 약점은 업데이트 부족으로 인해 존재할 수 있습니다. 통계에 따르면, 침해 사건 3건 중 1건은 이미 패치되었어야 할 취약점으로 인해 발생합니다.
또 다른 연구에 따르면, 유럽의 34% (IT 전문가 3명 중 1명)는 패치되지 않은 취약점으로 인해 조직이 침해를 당했다고 보고했습니다.
다행히 소프트웨어 개발자들은 소프트웨어의 취약점을 수정하기 위해 자주 새 패치를 게시하고, 자동 업데이트 설정을 포함하거나 업데이트에 대한 알림을 제공합니다.
백도어는 운영 체제를 속이는 데 의존하기 때문에 운영 체제를 최신 상태로 유지하는 것이 필수적이므로 자동 업데이트를 켜 두십시오.
#6. 다단계 인증(MFA) 사용
다단계 인증은 무단 액세스를 방지하여 보안을 강화하도록 설계되었습니다.
응용 프로그램, 웹사이트, 또는 소프트웨어에 접근할 때, 두 가지 이상의 방법으로 신원을 확인해야 합니다.
MFA는 세 가지 필수 요소를 사용하여 사용자의 신원을 확인합니다:
- 비밀번호나 핀과 같이 나만 알고 있는 것
- 토큰이나 스마트폰과 같이 나만 가지고 있는 것
- 지문, 음성, 또는 얼굴 특징과 같이 나에게만 속하는 것
예를 들어 비밀번호로 계정에 로그인할 때, 요청을 승인하기 위해 화면을 탭하라는 알림을 휴대폰으로 받을 수 있습니다.
계정에 로그인할 때 비밀번호와 지문, 또는 눈의 홍채를 함께 사용해야 할 수도 있습니다.
마지막 한마디 👩🏫
기기에 백도어 바이러스가 설치되면 파일이 매우 복잡하게 숨겨지는 경향이 있기 때문에 탐지하기 어려울 수 있습니다. 또한, 공격자가 민감한 정보에 접근하고 다른 형태의 악성 프로그램을 설치할 수 있는 통로를 만들게 됩니다.
하지만 다행히도 백도어 바이러스 공격으로부터 자신을 안전하게 보호할 수 있는 방법들이 있습니다.
예를 들어, 좋은 악성 프로그램 방지 솔루션을 사용하거나, 백도어를 사용하여 기기를 해킹하려는 침입자로 인해 발생하는 이상한 데이터 급증에 대해 네트워크 활동을 모니터링할 수 있습니다. 또한 방화벽을 사용하여 네트워크에 대한 모든 무단 연결을 차단할 수도 있습니다.