잉카인터넷, 키워드로 본 2008년 보안 이슈 결산과 2009년 전망
1. 웹 사이트의 범죄화
2005년경부터 활발히 진행된 웹 사이트 변조와 Exploit Code 삽입을 통한 악성코드 유포 기법은 2008년도 역시 다양화됨과 동시에 매우 활발히 진행되었다. 이는 웹 사이트를 통한 악성코드 유포가 상대적으로 쉽고 빠르게 전파시킬 수 있다는 특징과 국지적 공격에 매우 유용한 장점이 있기 때문이라고 말할 수 있다.
유포된 악성코드는 국내외 유명 온라인 게임 사용자들의 개인정보(ID, Password, Game Money) 등을 불법적으로 탈취하기 위한 목적과 기능이 주류를 이루었으며, 악성코드를 통해서 획득한 불법 개인정보는 사이버 범죄 조직(원)들의 주요 수입원이 되고 있는 것으로 추정된다.
이러한 악성코드 유포 기법이 조직화, 지능화됨에 따라 웹 관리자와 인터넷 사용자들은 보안불감증으로 이어지지 않도록 하는 관심과 노력이 요구된다.
2. 위협의 자동화
악성코드 유포 성향이 다양해짐에 따라 자동화 취약점도구 등을 통한 대규모 공격이 유행하였는데, 대표적으로 Mass SQL Injection Attack 증가와 ARP Spoofing 기법을 복합적으로 사용한 악성코드의 자동화 유포를 들 수 있으며, Bot Net을 이용한 분산 서비스 거부 공격(DDoS) 등의 문제가 대두되었다.
Mass SQL Injection 공격의 경우 자동화 프로그램 사용으로 인하여 불특정 다수의 웹 사이트에서 동시 다발적으로 피해가 발생할 수 있기 때문에 공격 시점을 사전에 예측하기가 쉽지 않다. 특히 해당 공격으로 삽입되는 악성 코드가 시간 간격 차를 두고 변형되는 등 지능적인 수법으로 발전되었다.
자동화 공격 도구 중에는 내부에 Google 검색 기능을 가지고 있어 검색 키워드 등의 옵션을 이용한 악성 스크립트 자동 삽입 기능이 존재하는 형태도 있으며, 이러한 종류는 공격자가 매우 쉽고 빠르게 다양한 웹 사이트의 취약점을 이용하여 Multi Exploit 코드를 삽입하고 있기도 하다.
아래 화면은 현재 대부분 차단이 된 상태이지만, Mass SQL Injection 공격으로 인하여 보안이 취약한 수 많은 웹 사이트들에 악성 스크립트가 다량으로 삽입된 모습을 볼 수 있다. 이것은 실제 공격 당시 화면 중 일부이다.
공격을 입은 해당 사이트에 인터넷 사용자들이 방문할 경우 다양한 Exploit Code 등에 의해서 사용자 컴퓨터에 악성프로그램이 자동으로 설치되고 감염되는 피해를 입게 되는 것이다.
ARP Spoofing 공격기법이 SQL Injection 공격기법과 복합적으로 사용되면서 다양한 문제를 야기하기도 하였다.
ARP Spoofing 기법을 사용한 악성코드가 컴퓨터에 감염될 경우에 동일 네트워크 대역폭에 연결된 수 많은 컴퓨터에 악성 스크립트나 아이프레임 등을 포함한 Packet 내용을 삽입 시도하여 네트워크에 연결된 수 많은 사용자들에게 악성코드를 무차별적으로 배포하며, 이로 인하여 기업 등의 네트워크 전산망에 과도한 이상트래픽 발생 등으로 인하여 업무가 마비되는 사고 피해 등이 발생할 수 있다.
3. 취약점의 차별화
악성코드를 제작하고 유포하고자 하는 공격자들은 사실상 보안패치가 존재하지 않는 새로운 취약점(Zero-Day/Hour Attack)을 이용하기 위해서 혈안이 되어 있다.
공개되지 않은 차별화된 취약점 악용은 공격자로 하여금 새롭게 제작된 신종 악성프로그램을 사용자 몰래 유입시키고, 신속하게 감염시킬 수 있기 때문이다.
금년에도 수 많은 보안취약점이 신규로 보고되었고, 이를 통한 보안위협이 끊이질 않고 있는데, 현재 가장 유행하는 종류로는 최근 패치가 출시된 Internet Explorer 취약점(MS08-078)을 꼽을 수 있으며, 그 다음으로 플래시(SWF) 취약점, PDF 취약점, Real Player Exploit, MS06-014, MS08-041 등을 들 수 있다. 또한, Anti-Virus 제품으로부터 탐지를 회피하기 위한 다양한 우회기법(Obfuscate Technique) 등이 사용되고 있다.
새로운 취약점에 적절히 대응하기 위해서 신속하게 신규 보안패치(업데이트)를 설치하고자 하는 노력이 절실히 필요하며, 자신이 사용하는 Anti-Virus 제품 등을 최신 버전으로 상시 유지하는 것이 중요하다.
4. 허위 Anti-Virus 제품의 증가
외산 허위 Anti-Virus 제품이 큰 폭으로 증가했는데, 특히 주목할 만한 현상은 프로그램 유포 수법 등이 나날이 교묘해 지고 있다는 점과 이중 일부는 국내에도 다수 유입되어 사용자들에게 전체 보안제품에 대한 신뢰도 하락과 불신감을 증폭시키는 문제를 발생시켰다.
이러한 종류의 허위 보안제품들은 전문 보안업체가 아닌 곳에서 개발하여 무단 배포되며, 허위 악성코드 진단내용을 보여주거나 위험요소를 과장하는 보여 주는 등 사용자들을 현혹하여 소액결재를 유도하거나 또 다른 악성프로그램을 설치한다.
허위 Anti-Virus 제품들이 매우 다양화되고 유포방식과 설치방식 등이 매우 복합적으로 발전되고 있으므로, 신뢰할 수 있는 보안기업의 제품만을 선별하여 사용할 수 있도록 하는 것이 필요하다.
5. 이동매체와 사회공학적 기법
이외에도 이동형 드라이브(USB 저장장치 등)의 자동실행 기능을 이용한 일명 AutoRun 부류의 악성프로그램의 변종이 꾸준히 증가하였으며, 중국 시작페이지 증상을 유발시키는 Multi Downloader 의 피해가 있었다.
더불어 포토샵 불법 사용 고소장으로 위장하여 유포된 악성코드와 출두명령서 내용으로 유포된 악성코드, 인스턴트 메신저 피싱 등 사회공학적 기법을 이용하여 사용자를 유혹한 형태가 다수 발생하였다.
2009년 보안 전망
2009년에는 기존에 유행했던 취약점 공격기법을 지속적으로 활용함과 동시에 좀더 많은 컴퓨터 사용자들을 대상으로 악성코드를 감염시키기 위해서 Zero-Day 취약점 공격을 꾸준히 시도할 것으로 예측되며, Anti-Virus 제품의 탐지를 우회하거나 치료를 어렵게 하기 위한 기술적 연구를 지속적으로 할 것으로 보여진다.
특히, Mass SQL Injection 공격과 웹 사이트 변조를 통한 악성코드 유포가 계속 이어질 것으로 전망된다.
잉카인터넷 개요
잉카인터넷은 2000년부터 인터넷 PC 보안 서비스라는 새로운 개념의 보안사업으로 출발해 현재 대한민국을 대표하는 정보보안 강소기업이다. 잉카인터넷의 보안 솔루션 “nProtect(엔프로텍트)”는 우수한 기술력과 서비스 체계를 갖춘 제품으로 안티바이러스, 게임보안, 온라인방화벽 등 다양한 정보보안 서비스를 제공하고 있다. 현재 잉카인터넷은 공공기관, 금융사 및 게임회사 정보보안 부분 시장점유율 1위를 기록하고 있으며, 국내를 넘어 일본, 중국, 미국 등 글로벌 시장 진출을 행하고 있다.
웹사이트: http://www.inca.co.kr
연락처
잉카인터넷 경영지원실 임대청 02-6220-8069
-
2016년 7월 13일 10:00
