시큐어컴퓨팅, 2007년 상반기 주요 보안 위협 및 향후 트렌드 전망 보고서 발표
이번 보고서에서 정보 유출 위협과 백도어 (backdoor) 위협이 가장 심각한 문제로 계속해서 기승을 부리는 것으로 나타났다. 통계 자료에 따르면 이들 공격 방법이 기업과 일반 사용자를 가장 괴롭히는 위협인 것으로 나타났다.
정보 유출 악성코드는 현재 확인되고 있는 위협의 약 10% 가량을 차지하면서 지난 1월에 비해 8% 증가한 양상을 보였다. 또한 이메일에 직접 첨부되는 악성코드에서 웹호스팅 악성코드에 연결되는 메시지로의 트렌드 변화가 계속될 것으로 점쳐졌다.
트로이목마는 신종 바이러스 중 거의 63%를 차지하면서, 대표적인 악성코드 자리를 재확인했다. 이와 같은 수치는 1월에 비해 58%나 증가한 것이다. 또한, 윈도우 실행 파일 (Windows Executable Files)이 여전히 신종 공격을 유포하는 가장 인기 있는 방법인 것으로 나타났다.
개인과 금전 정보를 노린 ‘조용한’ 공격 (소수 특정 대상 겨냥)으로 전환되면서 스파이웨어와 피싱도 기승을 부렸다. 가트너 역시 감지가 어려운 전문가급 악성코드를 사용해 금전적 이득을 노린 공격이 2007년 말까지 기업 보안문제의 75%를 차지할 것으로 내다보았다.
애드웨어의 경우, 주로 사용자가 알지 못하는 사이에 사용자 시스템에 설치되는 프로그램인 감시 목적 (surveillance-driven) 스파이웨어로 분류되고 있다. 뿐만 아니라 스파이웨어가 설치된 불법 사이트로 링크되는 스팸 역시 일반인들 사이에서 큰 문제로 대두되고 있다.
포레스터 리서치의 센시 왕 (Chenxi Wang) 위협-위험관리 부문 선임연구원은 “악성코드 웹사이트로 링크되는 스팸 이메일과 같은 혼합 위협이 등장하면서, 컨텐츠 기반 공격이 한층 지능화되고 있음을 알 수 있다”라고 하면서 “스스로를 보호하기 위해서는 사용자들이 교차 채널 분석과 이메일 발송자-URL 신뢰도 평가가 가능한 솔루션 구축을 고려해야 할 것”이라고 덧붙였다.
시큐어컴퓨팅의 폴 저지 (Paul Judge) 최고기술경영자는 “오늘날 위협이 한층 빨라지고 복잡해지고 있으며, 시큐어컴퓨팅의 신뢰도 기반 웹 게이트웨이 보안 솔루션이 피싱, 악성코드, 혼합 위협으로부터 사용자들을 보호하는데 가장 적격”이라고 말하면서 “첨단 트러스티드소스 (TrustedSource) 신뢰도 시스템과 웹와셔 안티말웨어 (Webwasher Anti-Malware) 감지 테크놀로지를 활용한 최고 수준의 광범위한 통합 보안을 구현하는데 힘쓰고 있다”고 밝혔다.
2007년 주요 보안위협 방법 및 공격
올해 1월 대규모 트로이목마 대량 매일로 포문을 열었다. ‘폭풍우 유럽 강타, 230명 사망’과 같은 제목 때문에 이들은‘스톰 웜 (Storm Worm)’으로 알려져 있다. 공격이 특히 기승을 부렸을 당시, 서명 기반 감지를 무력화하기 위해 15분 간격으로 새로운 변종이 출현할 정도였다. ‘시리얼 변종 공격 (Serial variant attacked)’이라고 알려진 이 기법이 이후 몇 개월간 악성 컨텐츠로 변형되어 극성을 떨쳤다.
지난 2월 미국 슈퍼볼 결승전 당시, 최종 결승팀의 웹사이트에 많은 사람들이 몰리면서 마이애미 돌핀스 팀의 웹사이트가 공격을 받았다. 해커들이 인터넷 익스플로러 VML (Voice Markup Language) 문서 렌더링의 최근 취약점을 교묘히 활용, 방문자 컴퓨터의 비밀번호를 알아내기 위해 트로이목마를 퍼뜨렸다.
올해 최초의 ‘대형’ 웹호스팅 악성코드 링크 메일 사건은 3월 말에 발생했다. 브리트니 스피어스와 패리스 힐튼 사진이 첨부된 이메일을 통해 사용자들을 유인한 후 윈도우의 ANI (Animated Cursor files) 제로데이 (zero-day) 취약점을 공격하는 웹사이트로 연결하는 방식이었다. 과거 2005년 이와 유사한 취약점 (MS05-002)이 재발한 경우로, 아직까지 문제가 완전히 해결되지 않고 있었고 새로 출시된 윈도우 비스타 사용자들을 공격하였다. 다행히, 마이크로소프트가 패치데이 일정에 앞서 이처럼 심각한 취약성 문제를 해결하기 위해 패치를 제공하기 시작했다. 이 사건과 관련해 흥미로운 사실은 제로데이 ANI를 호스팅한 최초 서버 중 하나가 바로 이보다 몇 주 앞서 돌핀스 스타디움 해킹에 연루된 동일한 서버 (중국 내 서버)였다는 점이다.
6월에는 많은 유럽 웹사이트 (10,000개 이상)를 공격한 웹호스팅 악성코드가 악명을 떨쳤다. ‘히든 IFRAME’s (hidden IFRAME’s)’라고 알려져 있는 이 악성코드는 엠팩 (Mpack) 툴킷을 사용해 웹사이트에 방문한 사용자들을 불법 사이트로 유인한다. 엠팩은 윈도우 미디어 플레이어 취약점 (MS06-006)을 겨냥해 기존 공격 방법 (인터넷 익스플로러, 액티브X 기능)을 사용할 뿐만 아니라, 파이어폭스나 오페라 브라우저와 같은 대체품을 사용하는 사용자 역시 공격한다. 공격이 성공하는 경우 사용자가 ‘토피그 (Torpig)’ 뱅킹 트로이목마에 감염되었다.
비밀번호를 노리는 온라인게임즈 (OnlineGames)와 최근의 GpCoder ‘랜섬웨어’ 등 정보 유출 악성코드가 확인되고 있는 전체 보안 위협의 10% 가량을 차지했다. 주로 독일 내 사용자들에게 대량 발송된 ‘아이빌 (iBill))’ 가짜 청구서 트로이목마와 같이 일부 공격은 지역적으로 이루어졌다. 악성코드가 첨부된 이들 이메일 (제목: PayPal E-TAN Software Nr)을 열어 보면 로그인 웹페이지에서 키 스트로크 모니터링으로 비밀번호 정보를 알아내는Bzub.IF 트로이목마에 감염되었다.
백도어 트로이목마 역시 계속해서 전세계 일반 사용자들을 공격하고 있다. 새로 등장한 ‘스톰’ 악성코드가 거의 10만 대 PC를 감염시킨 것으로 나타나고 있다. “You've received a postcard from a family member! (친지로부터 우편엽서를 받았습니다)’라는 제목의 대량 메일을 통해 여러 가지 취약점을 노린 웹호스팅으로 사용자를 유인한다. 사용자 PC를 감염시켜 이들 컴퓨터에 스톰 계열의 P2P 봇넷을 첨부한다.
시큐어컴퓨팅 연구팀은 이들 기존 위협과 향후 위협을 방지하기 위해서는 기업과 일반 사용자 모두가 소프트웨어와 패치를 최신 버전으로 유지하고, 공격을 감지하고 차단하기 위해 다층 접근을 실행하도록 권장하고 있다. 시큐어컴퓨팅의 첨단 ‘트러스티드소스’ 신뢰도 시스템과 ‘웹와셔 안티웨어’ 감지 테크놀로지 기반 솔루션을 사용해 기업은 기존 위협뿐만 아니라 새로운 악성코드나 바이러스에 대비해 진일보한 보호 방법을 구현할 수 있다. 이들 악성코드 방지 테크놀로지는 게이트웨이에서 유입되는 위협을 차단하고, 더 나아가 특허 출원 기법을 사용해 기업 네트워크로 재연결되도록 감염된 휴대용 컴퓨터와 같이 기감염된 PC에서 유출되는 ‘phone home’을 감지하고 차단할 수 있다.
트러스티드소스와 웹와셔, 이 밖의 기타 시큐어컴퓨팅 테크놀로지, 제품, 솔루션에 관한 자세한 내용은 www.securecomputing.com이나 이메일 info@securecomputing.com을 통해 확인할 수 있다.
웹사이트: http://www.securecomputing.co.kr
연락처
브라이먼 커뮤니케이션 임영빈 02-587-3308
-
2007년 11월 2일 09:14