시만텍, 글로벌 네트워크 형성 통한 조직적인 사이버 범죄 급증 경고
국가별 악성 행위 순위
국가별 피싱 사이트 호스팅 순위
지하 경제 서버를 통해 거래되는 정보의 가격
또한 금전적 이득을 노린 사이버 범죄가 지속적으로 증가하고 있으며, 기밀 정보를 유출시키면서 보안제품으로부터의 탐지를 피하기 위해 특정 타겟을 겨냥한 악성 코드가 증가하고 있다고 밝혔다.
이번 조사 기간 동안 원격 공격자의 명령에 의해 움직이는 봇 감염 컴퓨터는 6백만 개가 넘는 것으로 보고됐으며, 이는 2006년 상반기 조사 기간에 비해 29% 증가한 수치다. 이처럼 봇 감염 컴퓨터는 증가한 반면, 이 봇 컴퓨터를 통제하는 명령-제어(Command and Control) 서버의 경우 25% 감소하는 결과를 보였다. 이처럼 봇 감염 컴퓨터는 증가했지만 명령-제어 서버 수가 감소한 것은 서버를 제거하기 위한 노력에 의해 봇 네트워크를 소유한 공격자들이 기존 네트워크를 통합해 확대했기 때문으로 해석된다.
또한, 이번 ‘인터넷 보안 위협 보고서’ 제 11호에서는 2006년 하반기에 트로이 목마의 숫자가 크게 증가했음을 시사했다. 이는 2006년 상반기 통계에서 시만텍이 예측한 바대로 공격자들이 대량 메일 발송 웜에서 벗어나 트로이 목마를 활용하는 비중이 더 높아지고 있다는 것을 의미한다. 2006년 하반기 조사 기간 동안 트로이 목마는 상위 50개의 악성 코드 샘플 중 45%를 차지하면서 2006년 상반기 통계에 비해 23% 증가된 수치를 기록했다.
시만텍코리아 윤문석 사장은 “사이버 범죄자들이 점점 더 악의적인 목적을 가짐에 따라, 이들은 보안 제품의 탐지를 피해가기 위해 더욱 복잡하고 정교한 공격 방법을 개발하고 있다”면서 “기업이나 개인 사용자를 막론하고, 모든 사용자들은 공격자들이 자산의 기밀 정보에 접근해 금전적 손실을 야기하거나, 중요한 고객에게 피해를 입히거나 고객의 명의를 손상시키지 못하도록 적절한 보안 방책을 마련해야 한다”고 밝혔다.
기밀 정보를 노린 위협 증가
이번 보고서에서 시만텍은 처음으로 도난 기밀 정보의 거래를 추적했으며 이러한 정보가 일종의 암시장인 지하 경제 서버 (Underground Economy Server)를 통해 판매되고 있다는 것을 밝혀냈다. 이러한 서버들은 흔히 범죄자 및 범죄 집단이 훔쳐낸 정보를 팔기 위해 사용하며, 거래되는 정보에는 주민등록번호, 신용카드, 개인 식별 번호(PIN, Personal Identification Number), 이메일 주소 리스트 등이 포함된다.
2006년 하반기 조사 기간 동안, 존재가 알려진 전세계 지하 경제 서버의 51%는 미국에 위치하고 있었으며 가장 높은 비율을 보였다. 지하 경제 서버에서는 카드 인증 번호를 포함한 미국에서 발행된 신용카드는 1~6달러, 미국 은행 계좌, 신용카드, 생년월일 및 주민등록번호 등을 포함한 명의는 14~18달러의 가격에 판매되고 있었다.
또한 다른 사람의 컴퓨터에 접근할 수 있도록 하는 트로이 목마와 봇 네트워크의 증가 역시 기밀 정보를 타겟으로 한 위협 수준이 높아지고 있음을 보여주고 있다. 감염된 컴퓨터에 저장된 민감한 데이터에 대한 공격은 큰 금전적인 손실로 이어질 수 있으며, 특히 신용카드 또는 은행 관련 정보가 노출되었을 경우 더욱 위험하다. 2006년 하반기 조사 기간 중 상위 50개의 악성 코드 샘플의 66%가 기밀 정보 관련 위협이었으며, 이는 2006년 상반기 통계인 48%보다 증가된 수치다. 이 중 이름이나 비밀번호와 같은 사용자 데이터를 유출할 수 있는 위협은 전체 기밀 정보 관련 위협의 62%를 차지해 38%를 기록한 2006년 상반기보다 증가했다.
데이터 누출 사고의 증가로 명의 도용 위험성 높아져
명의 도용에 이용되는 기밀 정보는 데이터 누출 사고로 인해 범죄자들에게 노출됐다. 2006년 하반기 조사 기간 동안 시만텍은 해커, 컴퓨터 하드웨어 분실 및 도난, 보안 정책 실패로 인한 데이터 누출 사고를 분석했다. 데이터 누출 혹은 기밀 정보가 명의 도용에 이용될 수 있다는 가능성은 기업에 대한 신뢰 하락, 법률적 책임 그리고 엄청난 비용 소송 등의 결과를 낳을 수 있다. 이번 조사 기간 동안 데이터 누출 사고가 가장 많이 일어난 곳은 전체 누출의 25%를 차지한 정부 부문이었다. 이는 정부에서 공격자들에게 데이터에 인가되지 않은 접근을 허용할 수 있는 방대한 양의 정보를 저장 및 관리하고 있기 때문이다.
제로-데이 취약점의 급격한 증가로 위협 노출 가능성 높아져
특히 시만텍은 2006년 하반기 조사 기간 동안 보고된 제로-데이 취약점이 크게 증가해 기업 및 개인 사용자들이 알려지지 않은 위협에 노출될 가능성이 높아졌다고 밝혔다. 제로-데이 취약점은 공격을 당한 이후에 발견이 가능하기 때문에, 악성 코드를 이용해 타겟화된 공격을 실행하는 공격자들에게 높은 인기를 얻고 있다. 2006년 하반기 조사 기간 동안 시만텍은 12개의 제로-데이 취약점을 발견했으며, 이는 각각 1개의 제로-데이 취약점이 발견됐던 2005년 하반기와 2006년 상반기에 비해 크게 증가한 수치다. 제로-데이 취약점은 전문적인 조사자에 의해 발견되거나 악성 코드, 애드웨어, 위장 애플리케이션 설치와 같은 범죄 행위를 목적으로 인터넷 암시장에서 구매되기도 한다.
정교한 스팸과 온라인 사기 시도 증가
이번 조사 기간 중에는 스팸과 악성 코드, 온라인 사기가 통합된 공격이 크게 증가했다. 2006년 하반기에 스팸은 전체 이메일 트래픽의 59%를 차지했으며, “펌프 앤 덤프 (Pump and Dump)” 스팸의 증가로 금융 제품 및 서비스 관련 스팸이 전체 스팸의 30%를 차지했다. “펌프 앤 덤프” 기법은 헐값에 매입한 주식을 허위 정보 등을 유포시켜 가격을 상승시킨 후 높은 가격일 때 되파는 것으로 금전적 이득을 얻기 위해 시도되는 사기 기법이다.
2006년 하반기 조사 기간 동안 시만텍은 총 166,248개의 고유 피싱 메시지를 탐지했으며, 이는 하루 평균 904개로 2006년 상반기보다 6% 증가한 수치이다. 시만텍은 이번 보고서에서 처음으로 주중, 주말 그리고 공휴일 등이 피싱 공격에 미치는 영향을 분석했다. 그 결과 주말에는 평균 961개가 발견되는 주중보다 평균 27% 적은 양의 피싱 메시지가 탐지됐다. 이러한 경향은 공격자들이 합법적인 이메일로 위장하기 위해 피싱 활동을 기업 근무일에 맞추고 있다는 것을 나타낸다. 하지만 이러한 패턴은 피싱 메시지의 생존 기간이 짧다는 것, 그리고 피싱 메시지가 수신된 직후에 이를 읽는 것이 제일 효과가 높다는 사실을 의미하는 것일 수 있다. 또한 시만텍은 월드컵 같은 장기간의 이벤트가 개최되는 시기나 주요 공휴일에 피싱 활동이 증가했다는 것을 관찰했는데, 이는 이러한 행사와 관련된 주제를 이용해 사회공학적 공격을 더 쉽게 할 수 있기 때문으로 예측된다.
이번 조사에서 시만텍은 처음으로 네트워크에서 악성 활동이 발원되는 국가별 순위를 조사했다. 이 악성 활동에는 봇 감염 컴퓨터, 봇 명령-제어 서버, 피싱 웹 사이트, 악성 코드 활동, 스팸 릴레이 호스트와 인터넷 공격이 포함된다. 그 결과 2006년 하반기에 미국은 악성 행위의 진원지 중 31%를 차지해 가장 높은 비율을 보였으며, 봇 감염 컴퓨터의 수는 중국이 26%로 가장 높았다.
시만텍 ‘인터넷 보안 위협 보고서’
시만텍 ‘인터넷 보안 위협 보고서’는 매 6개월마다 발표되는 인터넷 위협 동향 보고서로, 이번 제 11호 보고서는 2006년 7월 1일부터 12월 31일까지 6개월 간의 조사 결과와 앞으로의 전망을 다루고 있다. 시만텍 ‘인터넷 보안 위협 보고서’는 전세계 180개 이상의 국가의 4만개 이상의 센서로부터 수집된 데이터와 4천여 벤더의 3만개 이상의 기술에 영향을 미치는 2만여 가지의 취약점 데이터베이스를 기반으로 하여 작성된다. 또한 시만텍은 전세계 20개 국가에서 이메일을 유인하는 2백만 개 이상의 디코이 계정을 분석해 전세계 스팸 및 피싱 활동을 파악하고 있다. 특히 이번 ‘인터넷 보안 위협 보고서’ 제 11호에서는 진화하는 위협 환경에 대한 더욱 높은 수준의 통찰력을 제공하기 위해 기존에 발견되지 않았던 새로운 악성 코드 비율, 웹 브라우저 공격 노출 시간 등과 같은 새로운 항목을 추가했다.
시만텍 ‘인터넷 보안 위협 보고서’의 전체 원문은 추가 통계 및 상세 내용을 담고 있으며 www.symantec.com/threatreport/에서 다운로드가 가능하다. 또한 멀티미디어 자료는 www.thenewsmarket.com/symantec에서 다운로드 할 수 있다.
