시만텍, 공격용 툴킷 확산으로 사이버 범죄 더욱 기승부릴 것으로 전망
Symantec 공격용 툴킷의 변천사
공격용 툴킷이란 네트워크로 연결된 컴퓨터를 공격하기 위해 사용되는 악성 코드 프로그램들의 모음이다. 크라임웨어(Crimeware)로도 불리는 공격용 툴킷은 보통 취약점을 이용하도록 미리 프로그램된 악성 코드와 명령제어(C&C) 서버 관리 툴 등으로 구성되어 원하는 형태로 공격을 감행하거나 공격을 자동화할 수 있다. 공격용 툴킷은 대다수 악성 코드와 마찬가지로 보통 민감한 정보를 빼내거나 사용자 컴퓨터를 봇에 감염시켜 좀비PC로 만든 후 추가 공격을 감행하기 위해 사용된다.
현재 거래되고 있는 대다수 공격용 툴킷들은 주로 웹브라우저와 브라우저 플러그인 애플리케이션의 취약점을 이용한다. 그 이유는 공격자들이 대부분 지속적으로 웹을 통해 악성 공격을 시도하기 때문이다. 이처럼 취약점을 이용해 악성 코드를 설치하는 방식은 기업과 사용자에 심각한 위협이 된다. 공격용 툴킷의 자동화 기능을 통해 초보자들도 사용자 몰래 복잡한 사이버 공격을 성공시킬 수 있기 때문이다.
일례로, 공격용 툴킷계의 ‘본좌’라 할 수 있는 ‘제우스(Zeus)’의 경우, 공격자들이 맞춤형 악성 코드를 생성할 수 있는 툴킷으로 유명하다. 2007년 처음 발견된 제우스 툴킷은 초기 버전이 4,000달러에 이르고, 최신 제우스 2.0 버전의 경우 무려 8,000달러에 이르는 등 매우 높은 가격에 거래되고 있지만 사용 편의성뿐만 아니라 강력한 공격 기능을 통해 손쉽게 돈을 벌 수 있기 때문에 사이버 범죄자들에게 큰 인기를 얻고 있다고 시만텍은 지적했다.
제우스를 사용한 악성 코드 공격의 수익성은 일명 ‘삼지창 소탕(Trident Breach)’ 작전의 일환으로 2010년 9월 미국, 영국 및 우크라이나에서 수십 명의 범죄자를 체포한 데서 잘 알 수 있다. 이때 검거된 다국적 범죄집단은 제우스 봇넷을 사용해 18개월간 중소기업들의 온라인 금융 및 거래 계좌에서 7천만 달러 이상을 빼돌린 것으로 밝혀졌다.
지하경제에서 공격용 툴킷이 활발히 거래되면서 2차 서비스 시장도 새롭게 생성되고 있는 것으로 나타났다. 시만텍 조사 결과 툴킷 판매자들은 구매자들에게 다양한 부가 서비스를 제공하거나 돈벌이 사업 기회를 제공하고 있는 것으로 나타났다. 예를 들어, 많은 공격용 툴킷들이 약정 기반으로 판매되거나, 툴킷의 성능 향상을 위해 추가 컴포넌트를 구매할 수 있으며, 공격에 이용되는 취약점을 정기적으로 업데이트 받을 수도 있다.
공격자들은 이러한 모듈형 기능으로 취약점 및 사이버 공격 기법을 최신상태로 유지하고 공격환경이 바뀔 때마다 툴킷에 바로 적용할 수 있다. 또한 대다수 공격용 툴킷에는 고객지원 서비스에 상응하는 지원 서비스가 포함되어 있다.
시만텍은 공격용 툴킷의 등장으로 전문 프로그래밍 기술이나 그런 기술을 가진 전문가를 고용할 필요가 없어지면서 조직범죄에 가담한 경험이 있는 사람들이 손쉽게 범죄의 길로 들어서고 있으며, 그 결과 프로그래머들은 공격용 툴킷 개발에 전념하고, 노련한 범죄자들은 그 툴킷을 이용하는 식의 위험한 동거가 확산돼 사이버 범죄가 더욱 증가할 수 있다고 경고했다.
시만텍코리아의 윤광택 이사는 “과거 해커들은 무에서 유를 창조하듯 사이버 공격 기법을 스스로 개발해야 했지만 오늘날의 공격용 툴킷은 프로그래밍 지식이 없는 초보자들조차 손쉽게 사이버 공격을 감행할 수 있도록 해준다”며, “향후 더 많은 사이버 범죄자들이 양산되고 그에 따라 기업 및 개인 사용자들이 피해를 입을 확률이 더 높아진 만큼 소중한 디지털 자산을 지켜내기 위한 기업과 사용자들의 보안 인식 강화가 그 어느 때보다 절실하다”고 강조했다.
기타 이번 보고서의 주요 분석 내용은 다음과 같다.
- 공격용 툴킷에 대한 인기와 수요증가는 가격 상승으로 이어지고 있다. 2006년, 인기를 모은 공격용 툴킷인 ‘웹어태커(WebAttacker)’의 경우 지하경제에서 15달러에 판매된 반면, 2010년제우스 2.0의 판매가격은 최대 8,000달러에 광고된 바 있다.
- 사용자 컴퓨터를 몰래 악성 웹사이트로 유도하는 2차 서비스도 출현하고 있다. 이를 위해 스팸, 블랙 햇(Black Hat) 검색 엔진 최적화(SEO) 기법, 정상적인 웹사이트에 악성 코드 삽입, 악성 광고 등이 동원되고 있다.
- 이번 조사에서 시만텍은 31만 여 고유 도메인들이 악성인 것으로 밝혀냈으며, 이로 인해 매월 평균 440만 개의 악성 웹페이지가 탐지되는 것으로 나타났다.
- 보고 기간 중 시만텍이 탐지한 웹기반 위협 활동의 61%는 공격용 툴킷에 의한 것이었다.
- 가장 일반적인 공격용 툴킷으로는 ‘앰팩(MPack)’, ‘네오스플로이트(Neosploit)’, ‘제우스(Zeus)’, ‘뉴크스플로이트 P4ck( Nukesploit P4ck'와 ‘피닉스(Phoenix)’ 등이 있다.
- 악성 웹사이트 연결을 가장 많이 유도하는 검색 용어는 성인 엔터테인먼트 관련 용어로, 전체 검색 용어의 44%에 달했다.
또한 이번 조사결과를 토대로 시만텍이 선정한 ‘가장 악명높은 공격용 툴킷 Top 5’는 다음과 같다.
-제우스(Zeus)
-엘리노어(Eleonore)
-프라거스(Fragus)
-크라임팩(CRiMEPACK)
-스파이아이(SpyEye)
이와 함께 공격용 툴킷에 의한 피해를 줄이기 위해 시만텍은 다음과 같은 사항을 준수할 것을 권장하고 있다.
- 기업 및 개인 사용자들은 모든 소프트웨어를 항상 최신 업데이트 상태로 유지해야 한다. 자산 및 패치 관리 솔루션을 이용하면 시스템의 컴플라이언스를 유지하는 한편, 업데이트 되지 않은 시스템에 자동으로 패치를 적용할 수 있다.
- 기업들은 정책적으로 사내 사용자에게 필요치 않은 웹 브라우저 소프트웨어와 브라우저 플러그인에 대한 사용을 제한할 필요가 있다. 이러한 정책은 사용자가 인식하지 못한 상황에서 설치될 수 있는 액티브X 컨트롤에 대해 특히 신중히 계획해야 한다.
- 기업들은 웹사이트 평판과 IP 차단 리스팅 솔루션을 통해 공격용 툴킷과 관련 위협들을 호스팅하는 악성 웹사이트에 대한 접근을 방지할 수 있다.
- 안티바이러스 및 침입 방지 시스템을 이용하면 취약점을 활용한 악성코드 설치를 막을 수 있다.
