트렌드마이크로 최신 위협 동향: 2006년 상반기 종합 보고서

뉴스 제공

2006-09-29 12:04

서울--(뉴스와이어)--위협 지표 요약

트렌드마이크로의 2006년 상반기 위협 분석 보고서에 따르면 2006년 발생한 전체 위협의 70%가 악성 코드(malicious code) 범주, 28%가 그레이웨어(grayware), 나머지는 관련 크라임웨어(crimeware) 에 속하는 것으로 나타났다.

악성 코드의 범주에는 바이러스 및 웜, 봇, 루트킷, 트로이 목마 및 백도어, 익스플로이트 그리고 모바일 악성 코드 등이 포함된다.

그레이웨어 범주에는 공격적인 마케팅 애드웨어, 전통적인 스파이웨어(일종의 트랙웨어), 그리고 BHO(Browser Helper Objects) 등이 포함된다.

크라임웨어의 범주에는 스파이웨어와 기타 키로깅 트로이 목마, 해킹 툴, 그리고 피싱 관련 스팸 메일 등이 포함된다. 새로운 하이브리드 조합에는 이제 스파이-피싱과 함께 VoIP를 이용하는 일명 비싱(vishing) 기법까지 포함되고 있다. 크라임웨어를 통해 사용자들은 증가하는 정보 도난은 물론, 민감한 데이터의 손실 등으로 인한 위협의 결과를 보다 분명하게 확인할 수 있을 것이다.

전체 위협에 대한 감염 보고가 2005년 같은 기간 보다 2/3으로 감소하여 단 1백20만 건만을 기록했지만, 불행히도, 이러한 수치만으로는 전반적인 상황을 낙관할 수만은 없다는 것이 전문가의 전망이다.

보고 건수의 감소는 악성 코드 저작자가 자신들의 전쟁을 널리 확신시키기 위해 보다 교묘한 방법을 이용하고 있다는 것을 의미한다. 레이다망 아래로 저공 비행하면서 봇/백도어의 감염과 통제된 설치 횟수를 점차 증가시키고 있기 때문에, 그 어느 때보다 오랜 시간 동안 대규모의 모험이 탐지되지 않고 있는 것이다.. 이는 여러 가지 자동 압축 프로그램과 암호화 알고리즘을 통해 이루어지고 있으며, 정확하게 겨냥한 사이트에서 보다 높은 대역폭 용량을 소모하는 타깃 공격도 입증된 전술이다.

이 보고서에서는 두드러진 변화 요인으로 모바일 악성 코드의 증가를 들었으며, 특히 Symbian OS 기반의 악성 코드의 증가가 두드러지게 나타났다고 함께 지적했다.

기존 툴이 취약한 시스템을 찾아내 바이러스와 웜을 감염시키고, 루트킷과 기타 트로이 목마를 해당 시스템에 자동으로 다운로드하여 확산시키면, 이어 해킹 툴의 공격이 감행된다. 자동 설치 루틴은 익스플로이트와 피싱 트로이 목마를 함께 사용하여 매우 광범위하게 확산되는 것으로, 이들 하이브리드 위협을 실행되도록 한다. 일반적으로 봇넷에 포함된 새로운 위협을 통해 성공적으로 공격하고 있으며, 이는 사용자가 알지 못하는 사이에 여러 다양한 공격적인 마케팅 소프트웨어를 통해 정보를 수집하고 장기적으로 정보를 가로채는 스파이웨어를 설치할 수 있다.

2006년 하반기 예측

현재의 위협 현황을 고려할 때, 트렌드마이크로는 2005년과 많은 측면에서 유사한 추세가 반복될 것으로 예상하고 있으며, 2006년 종합 보고서에서 다음과 같은 전망하고 있다.

· 피셔들(phisher)은 기생 코드가 최신 악성 코드를 제공할 수 있는 기간을 최대한 활용하기 때문에 스파이피싱 보고서는 계속해서 증가할 것이다.

· 봇은 루트킷을 활용하고, 악용할 수 있는 발견된 취약점 간의 격차를 해소함으로써 향상된 기능을 확보하게 될 것이다.

· 스피어 피싱은 개별 기업에서 가장 우려하고 있는 위협이 되고 있다.

· 스팸은 다른 현지 언어와 방언을 전파하지만 비용을 지불할 수 있는 수익성 높은 문화에 집중하게 될 것이다.

· 갈수록 증가하고 있는 다양한 압축 프로그램들은 악성 코드를 압축하고 암호화하여 검색기 탐지를 피하는 데 이용될 것이다.

· IRC, IM 및 P2P를 비롯한 메시징 프로토콜은 계속해서 방화벽을 통과하고 감염 경로로 악용될 것이다.

· 취약점 윈도우(Vulnerability windows)는 계속 감소되고 있기 때문에 보안 업계가 제공하는 사전 대처적인 솔루션으로 보장받을 수 있게 될 것이다.

· 그레이웨어(grayware)와 악성 코드 간의 경계가 허물어짐으로써 보안 벤더들은 이러한 위협을 제거하기 위해 사용자 권한에 대한 자사의 입장을 강화할 수 있을 것이다.

· 봇 및 봇넷을 활용하는 경우 막대한 불법적 이점으로 제작자들을 보상하기 때문에 올해에 새로운 변종에 대한 탐지 빈도가 증가할 것으로 예상되고 있다. 모든 탐지되지 않는 봇은 향상된 변종이나 경쟁 변종으로 대체되기 때문에 천천히 통합될 것이다.

· 루트킷 및 다른 은밀히 우회하는 기술이 증가할 것으로 예상된다. 루트킷 기법은 갈수록 널리 사용되고 있으며 가까운 장래까지도 계속 널리 사용될 것이다. 루트킷 기법은 완화 요소로서 Microsoft에서 올해에 새로운 Windows 운영 체제를 출시하게 될 경우 루트킷 프로그래머들이 새로운 환경에 대한 전략을 변경하는 데 필요할 수도 있다. 이는 오늘날 가장 널리 사용되고 있는 Windows 버전을 위해 설계된 최신 루트킷에 전혀 영향을 주지 않다.

· 피싱 기법과 유사한 방식의 스파이피싱 및 타깃 공격의 증가. 피싱과 같은 사회 공학 기법이나 다른 사회 공학 기법은 이용함으로써 사용자 기반에 대한 영향력을 증가시킬 수 있다. 또한 공격자가 원천 정보를 수신하고 장시간 동안 탐지되지 않도록 할 수 있는 소규모 타깃 공격이 증가할 것으로 예상된다. 이 두 가지 유형 모두 과거 공격의 특징인 일반적인 파괴와 대조적으로 기밀 정보를 대상으로 하고 있기 때문에 매우 위험한다

· 광고 프로그램은 오랫동안 널리 사용되어 왔다. 광고 캠페인은 매년 엄청난 비용을 발생시키고 있다. 많은 광고 소프트웨어 업체들은 가능한 많은 PC에 애드웨어 제품을 설치하도록 지원하기 위해 막대한 비용을 지불하고 있다. 정부에서는 이러한 실행 방식을 규제하고 차단하기 위해 노력하고 있지만 처음 등장한 이후 계속 증가하고 있다. 이제 악성 코드 작성자들도 더 많은 이익을 추구하기 위해 악성 코드에 애드웨어가 포함되도록 하는 방법을 선택하고 있다. 이는 애드웨어가 갈수록 증가하고 있는 최근의 추세를 계속 유지할 것이다.

2006년 악성 코드의 영향을 피하기 위한 조언

업체 및 기업을 위한 조언

· HTTP 검사 방식 설치 많은 최신 위협들은 웹 프로토콜을 이용해 확산된다. 관리자들이 오래 전부터 e-메일 검사 기능을 구축한 것과 같은 방식으로 웹 바이러스 검사 시스템을 구현하는 것이 좋다. 어떤 감염 파일이라도 최종 사용자에게 도달되기 전에 위협을 탐지 및 차단함으로써 기업 네트워크 인프라에 새로운 보호 체계를 추가할 수 있다. 이들 위협은 기업 환경에 침입하기 위해 HTTP만을 이용하기 때문에 네트워크 계층의 스파이웨어 보호 기능을 추가로 얻을 수 있다.

· 불필요한 프로토콜이 기업 네트워크로 진입하는 것을 차단한다 이 중 가장 위험한 것은 IM P2P 통신 프로토콜과 IRC(채팅)이다. 이 두 가지는 봇마스터를 통해 전파되고 통신할 수 있는 봇 제품의 일환으로 기업 방화벽에서 금지되어야 한다

· 네트워크에 취약점 조사 소프트웨어를 구축한다 지속적으로 최신 상태로 유지함으로써 모든 네트워크 취약점에 대한 영향을 최소화하고 이러한 유형의 웜을 통해 감염될 수 있는 위험을 줄일 수 있다.

· 모든 사용자에게 관리자 권한을 제공하지 말아야 한다. 모든 권한 중 가장 위험한 권한은 “장치 드라이버 로딩 및 언로딩하기”이다. 이는 루트킷의 공격을 차단하기 위해 가장 권장되는 방법이다. 일반적으로 루트킷은 모든 운영 체제 내부에 액세스하기 위해 장치 드라이버처럼 구현된다. 이러한 방식으로 사용자를 제한하기 위해 사용자 정책을 재설계하는 것은 네트워크를 보호하는 가장 유용한 방법이 될 수 있다. 만약 관리자가 사용자의 관리 권한을 허용하지 않는다면, 공격적인 악성 코드가 시스템의 바이러스 차단 프로세스를 무효화할 수 없게 될 것이다.

· 기업 스파이웨어 차단 검사 기능을 구축한다 스파이웨어는 기업 비즈니스에 대한 위협으로 널리 확산되고 있기 때문에 관리자들은 이를 탐지 및 차단하는 특정 소프트웨어를 구축해야 한다.

· 사용자 교육을 실시한다. 네트워크 내에 엄격한 보안 정책을 이행한다 소프트웨어와 방어 시스템은 악성 코드에 대응할 수 있어야 한다. 대개의 경우, 사용자의 몇 가지 유형의 행동으로 인해 시스템이 감염된다. 이는 스파이웨어를 설치한 웹 페이지나 감염된 e-메일이 될 수 있으며, 사용자는 사용자를 공격하는 새로운 악성 코드에 대해 미리 알고 있어야 한다. 사용자의 인식은 청정 네트워크(clean network)의 핵심이며 관리자들은 지속적인 교육을 실시하여 사용자들이 업데이트된 악성 코드 기술에 대한 정보를 얻고 네트워크를 보호할 수 있도록 지원해야 한다. 이러한 교육은 일반적으로 악성 코드 작성자들의 타깃이 될 수 있는 새로운 사용자들에게 특히 중요하다.

일반 개인 사용자를 위한 조언

· 소프트웨어 설치를 요구하는 페이지를 경계한다 해당 웹 페이지나 소프트웨어 공급업체를 절대적으로 신뢰하지 않는 한 브라우저를 통해 새로운 소프트웨어를 설치하지 말아야 한다.

· 최신 상태로 업데이트된 바이러스 차단 및 스파이웨어 차단 소프트웨어를 이용해 인터넷을 통해 다운로드한 모든 프로그램을 검사한다 여기에는 소스와 상관없이 웹과 모든 FTP 서버를 통해 P2P 네트워크에서 다운로드하는 모든 것이 포함된다.

· 발신자와 상관없이 예상치 못한 이상한 e-메일을 경계한다 이러한 e-메일 메시지에 포함되어 있는 링크를 클릭하거나 첨부 파일을 절대로 열지 말아야 한다.

· Windows 운영 체제의 “자동 업데이트” 기능을 실행시키고 가능한 빨리 새로운 업데이트를 적용한다.

· 항상 실시간 바이러스 차단 검사 서비스를 보유하고 있어야 한다 업데이트를 수행하고 있는지 그리고 서비스가 실행되고 있는지 정기적으로 모니터링 한다.

웹사이트: http://www.trendmicro.co.kr