한게임-메이플스토리, 해킹 주의!

MS06-014 보안패치 미적용 PC는 감염...주의

온라인 게임 이용자들은 지금 바로 보안패치 요망!

한국정보보호진흥원 인터넷침해사고대응지원센터 관계자는 “국내ㆍ외 1,000여개 홈페이지를 해킹하여 홈페이지 방문 PC를 감염시키는 사례가 확인되어 개인 사용자 및 웹서버 관리자의 주의가 필요하다”고 경고했다.

이번 피해는 주로 MS 보안취약점인 MS06-014에 대한 보안패치를 적용하지 않은 인터넷 사용자가 악성코드 경유사이트로 이용된 1,000여개 홈페이지를 방문할 경우 자동으로 트로이목마 프로그램이 설치돼 피해를 당할 수 있다.

해당 트로이목마는 국내 온라인게임인 한게임과 메이플스토리의 접속 ID 및 패스워드를 해외 공격자에게 유출시키려는 목적으로 제작된 것으로 밝혀졌다.

KISA 관계자는 “특히 한게임과 메이플스토리 이용자들이 주의해야 한다. 신속하게 해당 취약점에 대한 MS 보안패치를 적용하지 않으면 ID와 패스워드가 유출될 가능성이 크다”고 경고했다.

다음은 KISA 관계자들이 말한, 개인 PC이용자들과 웹서버 보안 관리자들이 신속하게 대처해야 할 사항들이다.

◇개인 PC이용자들 보안패치 업데이트

- 해당 취약점(MS06-014)에 대한 마이크로소프트사의 보안패치 적용

http://www.microsoft.com/technet/security/bulletin/MS06-014.mspx

- 보호나라의 “PC 자동 보안 업데이트” 프로그램 설치

download.pcsmile.co.kr/pcsmile/PCSmileInstaller.exe

- 최신 바이러스 백신을 이용한 주기적인 점검

◇웹서버 보안 관리 대책

1. 안전한 웹 프로그램 개발

-웹 어플리케이션 보안 템플릿 :

http://www.krcert.or.kr/cyberSecureManual/webapp.jsp

-홈페이지 개발보안 가이드 :

http://www.krcert.or.kr/cyberSecureManual/hpdev.jsp

2. 공개 웹 방화벽을 이용한 웹 보안 강화

-공개 웹 방화벽 다운로드 :

http://www.krcert.or.kr/cyberSecureManual/pre_firewall.jsp

3. 웹 취약점 점검

-원격 점검 서비스 신청 :

webcheck.krcert.or.kr/index.html

4. ARP Spoofing 예방 및 탐지

-게이트웨이에서 동적 ARP Table 대신 정적 ARP Table 사용

-arpwatch(http://ee.lbl.gov) 등 도구를 이용한 ARP cache 모니터링

5. 웹 해킹 사고 발생시 분석 절차

-침해사고 분석절차 가이드 :

http://www.krcert.or.kr/docDown.jsp?dn=10

다음은 혹시라도 감염된 이용자가 있다면 조치해야할 사항들이다. 빠른 조치가 필요하다.

◇개인 PC 감염 시 수동 치료 방법

현재 대부분의 바이러스 백신에서 해당 악성코드의 탐지 및 치료가 가능하며, 바이러스 백신이 없을 경우 아래의 치료방법 사용을 KISA는 권장하고 있다.

-감염 시 치료 요령

① 안전모드로 부팅→② 악성코드 alg.exe 삭제→③ 악성코드에 의하여 손상된 Winsock 복구→④ 악성코드 okviewer4.dll 삭제→재 부팅

-상세 치료 절차

① 안전모드로 부팅

윈도우를 다시 시작하여 안전 모드로 부팅한다. (부팅시 F8을 누른 후 안전모드 선택)

② 악성코드 alg.exe 삭제

트로이목마가 윈도우 폴더(Windows NT/2000의 경우 c:\winnt, Windows XP의 경우c:\windows)에 생성한 alg.exe를 삭제한 후 재부팅 한다.

※주의: 정상적인 alg.exe는 시스템 폴더(Windows NT/2000의 경우 c:\winnt\system32, Windows XP의 경우 c:\windows\system32)에 있으며 이 파일을 삭제해서는 안된다.

③ 악성코드에 의하여 손상된 Winsock 복구(MS社 권장 Winsock 복구방법)

※ 주의: Winsock 복구 후, 바이러스 백신의 인터넷 감시기능, 개인방화벽 또는 프록시 클라이언트 등 인터넷에 액세스하거나 인터넷을 모니터링하는 프로그램들이 올바르게 작동하지 않을 수 있으며, 이러한 문제 발생 시에는 해당 프로그램을 다시 설치하여 기능을 복원해야 한다.

-윈도우 XP SP2일 경우의 Winsock 복구방법

[Step1] 시작→실행→“cmd.exe”를 입력 후 확인

[Step2] “netsh winsock reset” 명령 실행

[Step3] 재 부팅

-윈도우 XP SP1 일 경우의 Winsock 복구방법

[Step1] 시작→ 실행→ “regedit”를 입력 후 확인

레지스트리 편집기에서 아래 경로의 키를 찾아 마우스 오른쪽 버튼을 눌러 삭제

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2

[Step2] TCP/IP 설치

시작→제어판→네트워크 및 인터넷 연결→네트워크 연결→ 로컬영역 연결(마우스 오른쪽 버튼 클릭하여 “속성” 선택)→ “설치” 클릭→ 프로토콜 선택 후 “추가”→디스크 있음→ c:\Windows\inf를 입력한 다음 “확인”을 클릭

[Step3] 인터넷 프로토콜(TCP/IP) 선택 후 확인 클릭

[Step4] 재 부팅

-윈도우 2000 일 경우의 Winsock 복구방법

[Step1] 인터넷 프로토콜(TCP/IP) 제거

시작→설정→제어판→네트워크 및 전화접속→로컬영역 연결(마우스 오른쪽 버튼 클릭하여 등록정보 선택)→“인터넷프로토콜 (TCP/IP)” 선택한 후 “제거” 메뉴 클릭

[Step2] 재 부팅

[Step3] 인터넷 프로토콜(TCP/IP) 재 설치

시작→설정→제어판→네트워크 및 전화접속→로컬영역 연결(마우스 오른쪽 버튼 클릭하여 등록정보 선택) → “설치” 클릭 → 프로토콜 선택 후 “추가” → 인터넷 프로토콜(TCP/IP) 선택 후 확인

④ 악성코드 okviewer4.dll 삭제

[Step1] 악성코드 okviewer.dll 삭제

윈도우 시스템 폴더(Windows NT/2000의 경우 c:\winnt\system32, Windows XP의 경우 c:\windows\system32)에 생성된 okviewer4.dll를 삭제

[Step2] 재 부팅

이상이다. 인터넷침해사고대응지원세터 관계자는 “이 또한 중국발 해킹의 한 형태이며 게임 유저들은 항상 보안패치와 개인 PC보안에 신경을 써야 안전한 게임 사용이 가능하다. 그렇지 않으면 자신이 애써 키운 아이템들이 해커의 손에 넘어갈 수 있고, 제2의 피해도 당할 수 있으니 조심해야 한다”고 밝혔다.

[길민권 기자(reporter21@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)