프록시 프로그램을 악용한 온라인 게임 우회접속 사례

프록시 프로그램을 악용한 온라인 게임 우회접속 사례

다운로드 ==>  프록시 프로그램을 악용한 온라인 게임 우회접속 사례.pdf

 [자료: 한국정보보호진흥원(KISA)]

인터넷침해사고대응지원센터
- 2 -
1. 개요
‘06년 2월, 국내 온라인 게임에서 개인 명의를 도용해 대량으로 계정이 생성되는 사고가 발생하
였다. 언론을 통해 발표된 내용을 통해 생성된 계정들이 중국어 발음과 유사한 것으로 확인되고
있어 중국 등의 국외로부터 작업이 이루어 진 것으로 추정된다
대부분의 국내 MMORPG(massively multiplayer online role-playing game) 게임의 경우, 국외
로부터의 직접적인 접속을 차단하고 있어 국외 IP로부터 게임서버로의 접속은 불가능한 상태이다.
이를 회피하기 위해 사용되고 있는 방법이 국내 시스템을 경유한 우회 접속이며, 실제 중국 사이
트를 검색해 보면 온라인 게임 우회 접속 서비스를 제공하는 업체를 쉽게 찾아볼 수 있다.
본 문서에서는 이러한 중국 웹 사이트를 통해 수집한 우회 접속 IP중 현장분석을 통해 확인된
결과와 함께 전반적으로 온라인 게임 우회접속이 어떠한 단계를 거쳐 발생하고 있는지 분석하고
자 한다.
2. 분석 시스템
☐ 시스템 현황
- 운영체제 : Windows 2000 Server
- 시스템 용도 : 자체 개발 S/W용 DB 서버
- 구동 서비스 : FTP, MS-SQL, Radmin(원격관리용)
KrCERT-IN-2006-02 http://www.krcert.or.kr
프록시 프로그램을 악용한 온라인 게임 우회접속 사례 cert@krcert.or.kr
KISC
인터넷침해사고대응지원센터
- 3 -
3. 시스템 분석 결과
해당 시스템의 분석결과, OOOproxy라는 우회 접속용 프록시 프로그램이 설치된 것으로 확인되었
다. OOOproxy 프로그램이 시스템 해킹을 통해 설치된 것인지는 시스템 로그 등이 남아있지 않아
정확히 확인할 수는 없었으나, 해당 시스템이 ‘06년 1월 이후에는 Windows 보안패치가 설치되지
않은 상태로 운영되고 있어 외부에서 시스템 침입 후 설치 작업을 진행했을 것으로 예상된다.
설치된 OOOproxy의 접속 로그가 전혀 남아있지 않았고, 분석 당시 방화벽 S/W를 이용해 불필
요한 서비스에 대한 접속을 차단하고 있어 OOOproxy를 이용해 실제 우회 접속이 발생하였는지
확인할 수는 없었다. 하지만, 프로그램의 관리자 페이지 메뉴가 중국어로 구성된 페이지가 있고,
프로그램 사용자 계정이 중국어 발음 표기부호와 유사한 것으로 보아, 중국어를 사용하는 해커에
의해 설치되었을 것으로 보이며, 아래와 같은 단계를 거쳐 실제 우회 접속 서비스가 제공되었을
것으로 예상된다.
☐ 우회 접속용 프록시 프로그램(OOOproxy) 설치
시스템 확인을 통해 3개의 프록시 관련 포트가 열려있는 것을 확인하였으며, 해당 포트들이 우
회 접속에 자주 이용되고 있는 OOOproxy라는 프로그램에서 사용되는 것을 확인하였다.
KrCERT-IN-2006-02 http://www.krcert.or.kr
프록시 프로그램을 악용한 온라인 게임 우회접속 사례 cert@krcert.or.kr
KISC
인터넷침해사고대응지원센터
- 4 -
설치된 우회 접속용 프로그램(OOOproxy)가 c:winntsystem32 pcproxy 디렉토리에
services.exe라는 이름으로 변경되어 설치되어 있었다. 설치시기는 해당 파일의 생성시기를 통해
‘05년 11월 11일 01시경에 설치된 것으로 확인되었으며, 시스템 재부팅 시에도 프로그램이 구동될
수 있도록 Windows Schedule Services에 등록되어 있었다.
OOOproxy를 이용해 제공되고 있던 우회 접속 서비스는 설정파일을 통해 모두 5가지(HTTP.
FTP, Telnet, News, SOCKS)로 확인되었으나 실제 오픈된 포트는 3개로 확인되었으며, 각각의 서
비스에 대한 프록시 서비스 포트는 OOOproxy.ini 파일에 설정되어 있었다.
OOOproxy 프로그램은 프록시 서버의 관리용 웹 페이지를 제공하는데, 이를 이용해 외부에서
도 프록시 서버를 제어할 수 있다. 관리자 페이지에서 제공되는 메뉴는 Logs View,
Configuration, Account Manager로서, 관리자 페이지에 접속하기 위해서는 설정 파일(OOOproxy.ini)
에 등록되어 있는 관리자 계정과 암호를 이용해 로긴하여야 한다. 다음은 OOOproxy 관리자 페
이지 로긴 화면과 제공 서비스의 설정 화면이다.
KrCERT-IN-2006-02 http://www.krcert.or.kr
프록시 프로그램을 악용한 온라인 게임 우회접속 사례 cert@krcert.or.kr
KISC
인터넷침해사고대응지원센터
- 5 -
또한 OOOproxy는 사용자 등록을 통해, 설치한 프록시 서버를 외부의 특정한 사용자만이 사용
할 수 있도록 계정 등록기능을 지원하며, 사용자 별로 네트웍 대역, MAC 어드레스 등을 설정할 수
있다. 금번의 경우 총 24개의 계정이 발급된 것을 확인할 수 있었으며, 분석 당시에도 5개의 계정이
사용가능한 상태로 설정되어 있었다.
KrCERT-IN-2006-02 http://www.krcert.or.kr
프록시 프로그램을 악용한 온라인 게임 우회접속 사례 cert@krcert.or.kr
KISC
인터넷침해사고대응지원센터
- 6 -
다음은 프록시 사용자를 추가하는 등록 페이지로서 중국어로 제작된 것을 알 수 있다.
KrCERT-IN-2006-02 http://www.krcert.or.kr
프록시 프로그램을 악용한 온라인 게임 우회접속 사례 cert@krcert.or.kr
KISC
인터넷침해사고대응지원센터
- 7 -
OOOproxy에서는 프록시 사용자 별로 접속 로그를 남길 수 있는 기능을 가지고 있으나. 관련로
그가 남아있지 않아 어느 IP에서 우회 접속이 발생 하였는지, 실제 국내 온라인 게임으로의 접속
이 시도되었는지 확인할 수 없었다.
o Windows OS 패치 설치 미비
해당 시스템은 관리업체에서 개발한 S/W용 DB 서버로서, WindowsUpdate.log 파일을 통해 마
지막으로 OS 보안패치를 설치한 시기가 ‘06년 1월경으로 확인 되었다. 해당 시스템은 외부 고객
사와의 통신문제로 인해 패치 설치를 진행하지 않고 있었으며, 패치를 설치한 경우에도 재부팅을
하지 않아 실제 패치 적용이 되지 않은 상태였다.
4. 보안대책
수집한 온라인 게임 우회 접속 IP에 대해 일부 분석을 진행한 결과, 해킹을 통해 프록시 서비스
가 구동 중인 경우가 다수 확인되고 있다. 이러한 사고의 원인은 OS의 보안패치와 연관이 깊은
것으로 예상되며, OS 보안패치의 설치는 시스템 관리자가 약간의 관심을 가지는 것만으로도 해결
될 수 있는 문제이다.
또한, 우회 접속용 프록시 프로그램의 경우, 외부 접속을 위해 특정 포트를 오픈하게 되므로 쉽
게 설치여부를 파악할 수 있다. 따라서 기본적인 시스템 관리를 꾸준히 하는 것으로도 우회 접속
경로로 이용되는 것을 막을 수 있다.
o OS 보안 패치는 Windows에서 제공하고 있는 자동패치 설치 기능을 활성화하여 패치가 발표
되는 즉시 설치가 되도록 하며, 정기적인 시스템 점검을 통해 시스템에 설치된 패치를 확인
하고 시스템 재부팅을 통해 패치가 적용되도록 한다.
o 방화벽 장비 또는 방화벽 S/W를 이용, 사용 중인 서비스 대역만을 허용하도록 설정하여
이외의 서비스 대역이 우회 접속 등에 오용되는 경우를 사전에 차단한다.
o 사고가 발생한 이후의 분석 작업을 용이하게 하기 위해, 시스템에서 제공되는 로그는 모두 생
성되도록 설정을 하며, 주기적인 백업 작업을 실시한다.