“소셜 네트워킹+사회 공학=보안의 악몽”
- 더욱 정교하고 위험해진 인터넷 보안 위협
- 시만텍 ‘인터넷 보안 위협 보고서 제16호 발표… SNS를 통한 정보 수집과 사회 공학적 공격 기법을 결합한 인터넷 보안 위협 급증, 사이버 범죄도 모바일 분야로 확대
2010년 보안관련 사건사고들
숫자로 보는 2010년 보안환경
이와 함께 ▲기업을 겨냥한 표적 공격이 질적, 양적으로 그 규모가 확대되고 더욱 정교해진 가운데 ▲SNS(소셜네트워킹서비스)가 사회 공학적 공격 기법을 통해 악성 코드를 퍼뜨리는 새로운 플랫폼으로 악용되고 있는 것으로 나타났다. 또한 ▲거의 모든 웹 브라우저와 운영체계에서 구동되는 자바 스크립트의 취약점을 노린 공격이 증가하는 등 공격 전술에 변화가 감지되었으며, ▲사이버 범죄가 모바일 기기로 확대되고 있는 것으로 확인됐다.
2010년은 표적 공격의 해
2010년에는 하이드락(Hydraq)이나 스턱스넷(Stuxnet)과 같이 기업을 겨냥한 표적 공격이 증가했다. 특히 공격 성공률을 높이기 위해 제로데이 취약점을 이용한 표적 공격이 빈번해졌다. 일례로 스턱스넷은 표적 공격을 위해 한번에 4개의 제로데이 취약점을 이용한 것으로 확인됐다.
다국적 기업이나 정부 기관뿐만 아니라 중소기업을 겨냥한 표적 공격도 눈에 띄게 증가했다. 대부분의 표적 공격은 공격자가 사전에 기업 내부의 핵심 관계자를 파악한 후 사회공학적 공격 기법을 통해 대상 네트워크에 침투하게 된다. 이 같은 표적 공격의 특성 때문에 공격 대상 기업이 기본적인 보안 시스템을 운영하고 있더라도 대다수 공격이 성공을 거뒀다.
지난 해 언론의 관심이 집중됐던 지적 재산을 빼돌리거나 국가 핵심 시설에 물리적 피해를 입히기 위한 목적의 표적 공격 외에도 사용자의 개인 정보를 겨냥한 공격도 빈번히 발생했다. 시만텍 보고서에 따르면 해킹에 의한 데이터 침해사고당 평균 26만건 이상의 개인 정보가 유출되었고, 이는 다른 공격 유형에 비해 거의 4배나 높은 수치였다.
사이버 범죄의 온상 SNS
SNS가 인기를 끌면서 공격자들이 새로운 악성코드 전파 통로로 SNS를 주목하고 있는 것으로 나타났다. SNS를 활용한 주요 공격 기법 중 하나는 복잡한 웹 주소를 짧게 만들어 이메일이나 웹 페이지 상에 효율적으로 공유하기 위해 만들어진 단축 URL을 이용하는 것이다. 지난해 공격자들은 수백만 개의 단축 URL을 SNS 상에 노출시켜 사용자들을 피싱 및 악성코드 사이트로 유도함으로써 감염 성공률이 크게 높아졌다.
또한 인기있는 SNS가 제공하는 뉴스 피드(News-feed) 기능을 악용해 악성 코드를 대량으로 유포하는 공격도 급증했다. 공격자가 탈취한 SNS 계정으로 로그인해 상태(status)를 업데이트하면서 악성 웹사이트로 연결하는 단축 URL을 올리면, 뉴스 피드를 통해 피해자의 친구들에게 링크가 자동으로 배포되고 수 분내에 수백 혹은 수천 명의 계정으로 악성 링크가 전달되는 식이다. 시만텍 조사 결과, 2010년 뉴스 피드에 포함된 악성 링크의 65%가 단축 URL을 사용한 것으로 나타났다. 그 중 11번 이상 클릭된 단축URL은 73%에 이르렀고, 11~50번 클릭한 경우도 33%에 달했다.
자바 스크립트를 이용한 공격용 툴킷 급증
공격용 툴킷은 네트워크로 연결된 컴퓨터를 공격하기 위해 초보자나 전문가 모두 사용할 수 있는 소프트웨어 프로그램으로, 지난해 발생한 여러 사이버 공격에 광범위하게 사용된 것으로 나타났다. 특히 인기 있는 자바 시스템의 취약점을 이용한 공격용 툴킷이 크게 증가해 지난해 전체 브라우저 플러그인에 영향을 미친 취약점 가운데 17%가 자바 시스템과 관련된 것으로 집계됐다.
공격자들이 자바 스크립트를 주목하는 이유는 자바가 다양한 웹 브라우저에서 구동되는 다중 플랫폼 기술이기 때문이다. 자바가 현존하는 거의 모든 웹 브라우저와 운영체계에서 구동하는 거의 유일한 애플리케이션이라는 것을 감안할 때 향후 자바는 공격자들에게 매력적인 표적이 될 것으로 보인다.
웹 기반 공격으로는 피닉스(Phoenix) 툴킷이 가장 많이 이용된 것으로 나타났다. 피닉스 툴킷은 다른 많은 툴킷과 마찬가지로 자바 취약점을 이용한다. 지난해 자바 기술을 이용한 웹 기반 공격 시도는 6번째로 많았다. 또한2010년 일일 웹 기반 공격 건수는 2009년에 비해 93% 증가했다. 시만텍이 탐지한 웹 기반 위협 활동의 3분의 2는 공격용 툴킷에 의한 것으로, 웹 기반 위협 급증의 주요 요인으로 분석됐다.
모바일 보안 위협 가시화
모바일 플랫폼 환경이 보편화되고 공격자들도 큰 관심을 보임에 따라 모바일 플랫폼에 대한 보안 공격이 더욱 증가할 것으로 보인다. 2010년 모바일 기기를 겨냥한 악성 코드 공격의 대부분은 합법적인 애플리케이션으로 위장한 트로이목마 프로그램으로 나타났다. 공격자가 처음부터 직접 개발한 악성코드도 있지만, 악성 로직을 합법적인 애플리케이션에 넣어 사용자 컴퓨터를 감염시킨 후 일반 앱 스토어를 통해 감염 애플리케이션을 유포시키는 경우가 대다수였다. 최근 안드로이드폰에서 개인정보를 가로채는 것으로 알려진 악성앱 ‘Pjapps’ 개발자 역시 이 방식을 사용했다.
현재 모바일 기기에 탑재된 보안 아키텍처의 기능은 최소 데스크톱이나 서버 보안에 준하는 정도지만 공격자들은 모바일 플랫폼의 취약점을 이용해 보안 시스템을 우회하는 공격을 시도한다. 이러한 결함은 다른 유형의 결함과 비교해 상대적으로 빈번히 발생하는 편으로, 시만텍은 지난해 공격자들이 모바일 기기를 전체 또는 부분적으로 통제할 수 있는 163개의 취약점을 발견했다. 2011년 3월 현재, 이미 수십만 개의 모바일 기기를 감염시킬 목적으로 이러한 취약점들이 이용되고 있다.
기타 시만텍 인터넷 보안 위협 보고서 제16호의 주요 내용은 다음과 같다.
· 2억8,600만개의 신규 위협 탐지 – 다형성 및 웹 공격용 툴킷과 같은 새로운 공격 기법의 등장으로 악성 코드 수가 급증했다. 시만텍은 2010년 2억8천6백만개 이상의 새로운 악성 코드를 탐지했다.
· 웹 기반 공격 93% 증가 – 웹 공격용 툴킷으로 인해 2010년 웹 기반 공격이 크게 급증했으며, 단축 URL 또한 영향을 미쳤다.
· 데이터 침해 사고당 개인정보 26만건유출 – 2010년 해킹에 의한 데이터 침해사고당 평균 26만건의 개인정보가 유출되었다.
· 새로운 제로데이 취약점 14개 발견 – 제로데이 취약점은 하이드락, 스턱스넷 등과 같은 표적 공격의 성공률을 높여주는 핵심적인 역할을 한다. 스턱스넷의 경우 4개의 제로데이 취약점을 이용한 것으로 밝혀졌다.
· 새로운 취약점 6,253개 발견 – 2010년 이전보다 훨씬 많은 6,253개의 새로운 취약점이 발견됐다.
· 모바일 취약점 42% 증가 – 2010년 새롭게 발견된 모바일 운영체제의 취약점은 2009년 115개에서 2010년 163개로 급증, 사이버 범죄 영역이 모바일로 확대되고 있는 것으로 분석됐다.
· 100만개 이상의 스팸 봇을 조종하는 봇넷 등장 – 러스톡(Rustock)은 2010년 발견된 가장 큰 규모의 봇넷으로, 2010년 러스톡이 조종한 봇의 개수는 100만개를 웃돌았다. 그룸(Grum), 컷웨일(Cutwail)과 같은 봇넷도 러스톡의 뒤를 이어 각각 수십만 개의 봇을 조종하는 것으로 조사됐다.
· 전체 스팸의 74%가 의약품 관련 - 2010년 전체 스팸 중 약 4분의 3은 의약품과 관련된 것으로, 제약 웹 사이트 및 의약품 브랜드가 대다수를 차지했다.
· 봇 1만개당 15달러에 거래 – 시만텍은 2010년 지하 경제에서 봇에 감염된 1만대의 컴퓨터를 15달러에 판매한다는 광고를 발견했다. 봇은 일반적으로 스팸이나 광고성 가짜 보안 소프트웨어인 로그웨어에 사용되지만, DDoS 공격에 사용되는 봇이 점점 증가하는 추세다.
· 신용카드 정보 거래 가격은 7센트 ~ 100달러 – 카드 희소성이나 대량 구매 할인 등 주요 가격 결정 요인에 따라 2010년 지하 경제를 통해 신용카드 정보가 다양한 가격대에 거래되고 있는 것으로 확인됐다.
시만텍코리아 정경원 사장은 “지난해 스턱스넷 및 하이드락과 같이 특정 목적을 지닌 정교한 사이버 위협이 두드러진 가운데, 개인 사용자를 겨냥해 SNS나 모바일 기기를 통한 보안 위협들도 급증한 것으로 나타났다”며, “공격자들의 인터넷 보안 위협 목표와 공격 전술이 더욱 지능화, 정교화되고 있는 만큼 사이버 범죄 피해를 방지하기 위해 개인 사용자들은 최신 보안 소프트웨어를 사용하고 보안 안전수칙을 준수해야 하며, 기업들은 사이버 보안 위협에 대비해 적절한 보안 정책구현은 물론 엔드포인트, 메시징, 웹 환경에 대한 보안을 강화함으로써 각종 보안 공격에 노출될 가능성을 최소화해야 한다”고 강조했다.
시만텍 ‘인터넷 보안 위협 보고서(Internet Security Threat Report)’ 제16호에 대한 보다 자세한 정보는 http://www.symantec.com/about/news/resources/press_kits/detail.jsp?pkid=threat_report_16에서 찾아볼 수 있다.
시만텍 인터넷 보안 위협 보고서 (Internet Security Threat Report)에 대하여
시만텍 ‘인터넷 보안 위협 보고서’는 매년 정기적으로 발표되는 인터넷 위협 동향 보고서로, 전세계 200여개 국가, 24만여 개의 센서로부터 수집된 데이터와 4만개 이상의 취약점 데이터베이스를 기반으로 작성된다. 이번 ‘인터넷 보안 위협 보고서(Internet Security Threat Report)’ 제16호는 2010년 1월부터 12월까지의 전세계 보안 위협 동향을 조사한 최신 보고서다.
시만텍 보안기술대응 조직(Security Technology and Response)에 대하여
시만텍 보안연구소를 포함한 보안기술대응(Security Technology and Response, STAR) 조직은 전세계 보안 전문가와 보안 위협 분석가 및 연구원으로 구성돼 있으며, 시만텍의 모든 기업 및 개인 사용자용 보안 제품을 위한 기본적 기능 및 컨텐츠 작업과 전문 역량을 제공하고 있다. 세계 각지에 대응 센터를 운영하고 있는 STAR 조직은 인터넷 상의 1억 3천만 대 이상의 시스템으로 들어오는 악성 코드 리포트를 모니터링하고 있다. 또한 200여 개국에 설치된 24만여 개 네트워크 센서의 데이터를 수신, 8,000여 공급업체가 보유한 5만 5천건 이상의 기술에 영향을 주는 2만 5천개 이상의 취약점을 추적한다. STAR 조직은 이와 같이 방대한 인텔리전스를 이용해 가장 포괄적인 보안 기술을 개발, 제공하는데 주력하고 있다.
시만텍에 대하여
시만텍은 보안, 스토리지 및 시스템 관리 솔루션을 제공하는 세계적 선두 기업으로, 기업 및 개인이 정보를 보호하고 관리할 수 있도록 지원한다. 시만텍의 솔루션과 서비스는 다양한 위협으로부터 완벽하고 효율적인 보호를 제공하며 정보가 사용되거나 저장되는 장소에 상관없이 기업과 개인이 정보에 대한 확신을 가질 수 있도록 돕는다. 보다 자세한 정보는 www.symantec.co.kr 에서 확인할 수 있다.
