[사이버 보안] 백도어에 대해 알아보자

코로나로 인한 펜데믹은 우리에게 언텍트 시대를 강제하게 되었습니다.

우리는 이제 업무와 경제생활, 교육 등을 포함한 많은 활동들을 온라인으로 대체하고 있는데, 변화하는 온라인 위주의 생활 환경에 맞춰 대두되는 문제가 바로 온라인 보안 영역입니다.

전 세계적으로 하루에 약 10,000건 이상의 보안 이벤트가 발생하며, 백만개 이상의 멀웨어(Malware), 6만개 이상의 신규 악성 도메인이 생성됩니다.

우리는 휴대폰과 노트북, 타블렛과 같이 온라인에 연결된 개인 디바이스를 평균 2개 이상 사용하고 있으며 IoT 제품의 사용량도 폭발적으로 늘어났습니다.

하지만 갑작스럽게 노출된 온라인 환경에 맞춰 보안의 중요성을 의식하지 못해 피해를 입는 경우가 많이 발생합니다.

그에 따라 인포라드는 사이버 보안과 그에 관련된 여러가지 정보들을 정리 해보겠습니다.

이번 시간에는 백도어에 대해 알아보겠습니다.

백도어(Backdoor)

백도어(Backdoor)는 시스템에 접근하기 위해 정상적인 인증 절차를 무효화하는 악성 코드의 유형으로, 컴퓨터의 시스템이나 네트워크, 또는 응용 프로그램의 일반적인 보안 조치를 우회해 접근할 수 있는 방식을 말합니다.

백도어를 통해 데이터베이스 및 파일 서버와 같은 애플리케이션 내의 리소스에 대한 원격 접속이 가능해져, 공격자가 원격으로 시스템 명령을 실행하고 각종 악성 코드들을 업데이트 할 수 있습니다.

백도어는 원래 시스템이나 프로그램 설계 및 개발 단계에서 개발자들에 의해 의도적으로 만들어진 수단으로, 출시 후 시스템의 고장이나 고객들을 위한 사후 서비스를 처리하는데 있어 시스템으로의 접근을 원할히 하기 위한 것입니다.

일반적으로 백도어라는 용어를 사용하긴 하지만 사용자를 공격하기 위해 인위적으로 만들어진 백도어는 익스플로잇(Exploit)이라고 합니다.

공격자들은 컴퓨터 및 소프트웨어의 보안 취약점을 통해 사용자의 컴퓨터에 백도어를 만듭니다.

랜섬웨어와 같은 악성 코드들은 사용자에게 자신을 알리고 금전을 요구하는 방식이지만, 백도어는 사용자 몰래 설치되고 자신을 드러내지 않습니다.

공격자는 맬웨어나 트로이 목마와 같은 악성 코드를 통해 백도어를 생성하고, 사용자의 데이터를 빼내거나 시스템을 원격으로 제어할 수 있습니다.

시스템 코드 속에 숨겨진 백도어 관리자 비밀번호

출처 : Wikipedia

https://en.wikipedia.org/wiki/Backdoor_(computing)

백도어의 역사

백도어는 네트워크를 동반한 운영체제가 널리 퍼지며 발생되었습니다.

피터슨(Petersen)과 턴(Turn)은 1967년 미국 정보 처리 협회(AFIPS - American Federation of Information Processing Societies) 회의에서 발표된 눈문에서 'Trapdoor'라는 이름의 컴퓨터 침투 공격을 설명했는데, 트랩도어는 현재 다른 의미로 사용되고 있지만 의미와 정의는 현재의 백도어와 동일해, 같은 내용이라 볼 수 있습니다.

1993년 미국의 국가 안보국(NSA - National Security Agency)는 백도어가 내장된 컴퓨터와 전화용 암호화 칩을 개발했습니다.

이 칩은 평상시에는 기능을 하지 않고 있다가 법 집행 기관과 정부 기관이 필요할 경우 음성 및 데이터 전송을 해독하고 감청할 수 있는 기능을 가지고 있었습니다.

이런 하드웨어를 이용한 백도어는 소프트웨어를 이용한 백도어에 비해 제거하기가 더 어려운데, 제거를 위해서는 칩을 제거하고 펌웨어를 다시 설치해야 합니다.

국가기관에 의한 백도어 생성과 이용은 현재까지도 미국과 중국을 비롯한 많은 나라에서 실행되고 있어 개인 정보 이슈가 계속되고 있습니다.

백도어의 생성

위에서 언급했듯이, 백도어는 시스템이나 소프트웨어를 개발할 때, 인위적으로 생성되며, 제품 출시 후에도 제품 테스트나 사후 서비스를 위해 삭제되지 않는 상태로 유지되는 경우가 많습니다.

대부분의 백도어는 보안이 유지되지만, 일부 백도어는 대중에 유출되어 시스템 접근에 사용될 수 있습니다.

그 외의 악위적으로 생성된 백도어는 대부분 맬웨어나 웜, 트로이 목마에 의해 생성됩니다.

백도어는 자발적으로 생성되기보다는 사용자가 정상적인 소프트웨어라고 생각해 프로그램을 실행시키면 시스템에 백도어가 설치되도록 만들어지는 경우가 많습니다.

백도어의 증상

사용자에게 자신을 과시하거나 금전적인 요구를 하기 위한 악성코드들은 필연적으로 사용자에게 자신을 알려야 합니다.

하지만 백도어의 경우 개인 정보나 시스템 내부의 데이터를 유출하는 것이 목적이기 때문에 사용자에게 자신을 노출시키지 않고 은밀하게 실행되고, 일반적으로 증상을 알아차리기가 어렵습니다.

다만 공격자가 백도어를 통해 랜섬웨어와 같은 추가적인 악성코드를 설치할 경우에는 해당 악성 코드와 같은 증상이 나타날 수 있습니다.

백도어의 차단

백도어는 탐지하고 차단하기가 매우 어려우며, 컴퓨터의 운영 체제에 따라 다른 방법이 사용됩니다.

윈도우 OS를 사용하는 개인용 PC의 경우 컴퓨터용 백신을 사용이 권장됩니다.

대부분의 백신 소프트웨어들은 바이러스 및 웜, 트로이 목마와 같은 악성 코드들을 감지하고 치료할 수 있는 능력을 가지고 있기 때문에 백신 소프트웨어를 사용하면 해당 위협으로부터 컴퓨터를 보호하는데 큰 도움이 됩니다.

특히 국내에서는 개인에게 무료로 제공되는 백신들이 있기 때문에 백신 보급률이 높은 편이며, 윈도우에서 기본으로 제공되는 Windows Defender도 사용할 수 있습니다.

소프트웨어의 취약성은 백도어를 생성하는 맬웨어나 웜, 트로이 목마의 주요 감염 매개체가 되므로 컴퓨터의 운영 체제와 응용 프로그램이 최신 버전인지 확인하고 주기적으로 업데이트를 하는 것이 좋습니다.

또한 윈도우 보안 업데이트를 항상 최신으로 유지하고, 주기적으로 컴퓨터의 임시 파일을 정리하는 것도 도움이 될 수 있습니다.

그리고 의심스러운 웹사이트 및 프로그램은 실행 전에 충분히 검토를 진행해야 합니다.

백도어 공격 이후 데이터의 복구

위에서 언급한 것처럼 백도어가 한번 생성되면 탐지 및 제거가 쉽지 않습니다.

하지만 단순히 백도어가 생성된 경우 데이터를 손상시키지는 않기 때문에 데이터를 백업한 후, 시스템을 초기화시키는 방법을 사용할 수 잇습니다.

하드 드라이브를 포맷하고 시스템을 초기화시키면 하드 드라이브에 저장되어 있던 데이터들도 모두 사라지는 단점이 있지만 시스템이 초기화되어 모든 악성코드 및 악성 프로그램을 없앨 수 있습니다.

맬웨어, 웜, 바이러스 등과 같은 악성 코드 공격에 대처하는 가장 좋은 방법은 애초에 감염되지 않거나, 감염되더라도 피해를 최소화 할 수 있도록 중요한 데이터는 백업을 해 두는 것입니다.

특히 온라인에 연결되어 있는 백업 데이터는 시스템과 동일하게 공격에 노출될 수 있기 때문에 외장 하드디스크와 같은 오프라인 백업 데이터를 만들어 두는 것도 좋은 방법입니다.

감염된 컴퓨터에서 액세스할 수 없는 외부 저장 드라이브, 인터넷을 포함한 네트워크에 대한 액세스 권한이 없는 저장 장치는 악성 코드의 감염을 방지할 수 있습니다.

출처

https://en.wikipedia.org/wiki/Backdoor_(computing)

https://terms.naver.com/entry.naver?docId=3431427&cid=40942&categoryId=32837