시만텍, ‘인터넷 보안 위협 보고서’ 제 12호 통해 전문화되고 상업화된 사이버 범죄자 급증 경고
최신 ‘인터넷 보안 위협 보고서’를 통해, 시만텍은 해커들이 점점 더 전문화되고 상업화된 방식으로 악성 코드 및 서비스를 개발, 배포하고 사용하고 있다고 밝혔다. 사이버 범죄자들은 계속해서 금전적인 이득을 목표로 하고 있으며, 더욱 전문적인 공격 방법, 툴, 전략을 활용해 악성 활동을 하고 있다. 특히 2007년 상반기에 보고된 사이버 악성 활동 중 4%가 포춘 100대 기업의 IP 주소에서 발생하는 등, 해커들은 사용자들이 안전할 것이라고 신뢰하는 온라인 환경을 이용해 간접 공격을 실행하는 방식을 택하고 있는 것으로 드러났다. 또한 시만텍은 1차 감염된 컴퓨터에 계속해서 추가 악성 코드를 설치할 수 있도록 만드는 다단계 공격 방식 역시 증가하고 있다고 밝혔다.
시만텍코리아 윤문석 사장은 “’인터넷 보안 위협 보고서’ 제 12호를 통해 알 수 있듯, 사용자들이 안전성을 신뢰하고 있는 웹 사이트에 대한 공격 비율이 급증하고 있다”면서 “이제 사용자들은 어떤 온라인 환경에서든 자신도 모르는 사이에 해커의 타겟이 될 수 있다는 사실을 인지해야 한다. 기업이나 개인 사용자를 막론하고, 자신이 이러한 상업적 보안 공격의 피해자가 되지 않도록 적절한 보안 방책을 마련하고 이를 생활화해야 한다”고 밝혔다.
1. 더욱 전문화되고 상업화된 사이버 범죄
2007년 상반기 조사 기간 동안, 시만텍은 악성 공격을 실행하기 위해 매우 정교한 툴 킷을 사용하는 사이버 범죄자들이 증가하고 있다는 사실을 관찰할 수 있었다. 이러한 전략 변화의 좋은 예가 바로 M팩(MPack)으로, 암시장에서 거래되는 공격 툴킷이다. 일단 구입만 하면, 공격자들은 M팩에 들어있는 소프트웨어 구성 요소들을 사용해서 전세계 수천 대의 컴퓨터에 악성 코드를 설치할 수 있으며, 비밀번호로 보호되는 온라인 상의 제어관리 창을 통해 공격 성공 여부를 관찰할 수 있다. 또한 M팩은 공격자들이 다양한 악성 활동을 통합해 보다 정교하고 조직적인 공격을 하고 있다고 보고한 ‘인터넷 보안 위협 보고서’ 제 11호의 내용을 다시 한 번 증명하는 예이기도 하다.
공격자들이 자동으로 실제 웹 사이트를 모방한 피싱 웹 사이트를 개설할 수 있도록 도와주는 여러 스크립트를 제공하는 피싱 툴 킷 역시 전문적이고 상업화된 사이버 범죄에 이용되고 있다. 2007년 상반기 중에 발생한 피싱 공격 중 42%가 단 3개의 피싱 툴 킷으로 인해 발생한 것이었다.
2. 사용자들이 안전성을 신뢰하고 있는 웹 사이트에 대한 공격 비율 급증
2007년 상반기 조사 기간 동안, 시만텍은 공격자들이 이미 사용자들이 그 안전성을 신뢰하고 있는 웹 사이트를 먼저 공격함으로써 간접적으로 일반 사용자들을 공격하는 것을 탐지했다. 이러한 웹 사이트에는 널리 사용되고 있는 금융, 인맥 혹은 인재 채용 웹 사이트 등이 포함된다. 이러한 공격 경향은 포춘100대 기업의 IP에서 발생한 악성 행위 통계에서도 드러났다. 2007년 상반기에 보고된 사이버 악성 활동 중 4%가 포춘 100대 기업의 IP 주소에서 발생했으며, 이 악성 활동에는 봇 감염 컴퓨터, 피싱 웹 사이트, 스팸 좀비와 인터넷 공격 등이 포함된다. 또한 이번 조사 기간 동안 공개된 모든 취약점 중 61%가 웹 애플리케이션 취약점으로, 웹 사이트를 통한 간접 공격이 사이버 범죄자들에게 보다 좋은 기회를 제공할 수 있음을 보여준다.
먼저 이러한 웹 사이트가 감염되고 나면 사이버 범죄자들은 이 사이트를 악성 프로그램을 배포하는 진원지로 사용할 수 있으며, 이를 이용해 각 개인의 컴퓨터를 감염시키게 된다. 이러한 공격 방법을 통해 사이버 범죄자들은 자신이 공격 타겟을 찾아 나서지 않고도 사용자들이 스스로 공격에 걸려들도록 만들 수 있다. 인맥 사이트의 경우 해당 사이트의 내용과 보안 수준을 신뢰하는 많은 수의 사용자에게 접근할 수 있기 때문에 더욱 위험하다고 할 수 있다. 특히, 이러한 웹 사이트들은 명의 도용, 온라인 사기나 또 다른 공격을 감행할 수 있는 다른 웹 사이트 접근에 사용 가능한 사용자 기밀 정보를 대량으로 노출시킬 수 있다.
3. 다단계 방식 공격의 증가
시만텍은 2007년 상반기에 다단계 방식의 공격이 증가하고 있음을 관찰할 수 있었다. 다단계 공격은 일단 악성 행위를 즉시 실행하지는 않지만, 추가적인 다른 공격을 설치하는데 사용된다. 이러한 다단계 공격의 예가 바로 단계별 다운로더(Staged Downloader)다. 단계별 다운로더는 감염된 컴퓨터에 공격자의 목적에 따른 다양한 추가 악성 코드를 설치할 수 있도록 한다. 이번 ‘인터넷 보안 위협 보고서’에 따르면, 2007년 상반기 상위 50개의 악성 코드 샘플 중 28개가 바로 이 단계별 다운로더였다. 스톰 웜(Storm Worm)으로 잘 알려진 Peacomm Trojan 역시 단계별 다운로더 트로이 목마로, 이번 조사 기간 동안 가장 많이 보고된 신규 악성 코드군에 올랐다. 또한 M팩의 경우, 공격 툴 킷이면서 동시에 단계별 다운로더 구성 요소를 가진 다단계 공격의 예이기도 하다.
4. 기타 주요 내용
· 지하 경제 서버에서 가장 판매 광고가 많이 올라온 것은 신용카드 정보로, 22%의 비중을 차지했다. 은행 계좌 번호가 21%로 그 뒤를 이었다.
· 시만텍은 2007년 상반기에 웹 브라우저 플러그-인에서 237개의 취약점을 발견했다. 이는 2006년 상반기의 34개, 하반기의 74개에 비해 크게 증가한 수치다.
· 상위 50개의 악성 코드 샘플 중 온라인 게임을 타겟으로 한 것이 5%를 차지했다. 온라인 게임은 가장 활발한 인터넷 활동 중 하나로 떠오르고 있으며 실제 돈으로 구매할 수 있는 물건이 게임 상에 존재하는 경우가 많기 때문에 공격자들이 금전적인 이득을 얻을 수 있는 잠재적인 기회를 제공한다.
· 모니터링된 모든 이메일 트래픽의 61%가 스팸이었으며, 이는 2006년 하반기의 59%에 비해 약간 증가한 수치다.
· 명의 도용 사고로 이어질 수 있는 데이터 유출 사고의 46%가 컴퓨터나 다른 데이터 저장 장치의 분실이나 도난이 원인이었다. 이와 유사하게, 시만텍의 ‘IT 리스크 관리 리포트 (IT Risk Management Report)’는 58%의 기업들이 최소 5년에 한 번씩 심각한 수준의 데이터 손실 사고가 발생할 것으로 예상하고 있다고 밝힌바 있다.
시만텍 ‘인터넷 보안 위협 보고서’는 매 6개월마다 발표되는 인터넷 위협 동향 보고서로, 이번 제 12호 보고서는 2007년 1월 1일부터 6월 30일까지 6개월 간의 조사 결과와 앞으로의 전망을 다루고 있다. 시만텍 ‘인터넷 보안 위협 보고서’는 전세계 180개 이상의 국가의 4만개 이상의 센서로부터 수집된 데이터와 8천여 벤더의 5만개 이상의 기술에 영향을 미치는 2만 2천여 가지의 취약점 데이터베이스를 기반으로 하여 작성된다. 또한 시만텍은 전세계 20개 국가에서 이메일을 유인하는 2백만 개 이상의 디코이 계정을 분석해 전세계 스팸 및 피싱 활동을 파악하고 있다. 시만텍 ‘인터넷 보안 위협 보고서’의 전체 원문은 추가 통계 및 상세 내용을 담고 있으며 www.symantec.com/threatreport/에서 다운로드가 가능하다. 또한 멀티미디어 자료는 www.thenewsmarket.com/symantec에서 다운로드 할 수 있다.
