숨어있는 저격수

이러한 모든 기술들은 이름도, 얼굴도 없는 공격자와 임의의 대중 피해자에 입각하고 있다. 그러나 더 큰 먹잇감이 되는 특수한 피해자들이 있다. 스패머들이 점점 더 선호하는 메커니즘은 피해자에게 “일대일” 마케팅으로 접근하는 것으로, 특정한 개인을 대상으로 고도로 커스터마이즈된 개인적인 공격들이 행해진다. 이 기법은 고위험, 고가치의 네트워크 ‘고래’(high-net-worth whale)를 쫓는 것으로 일명 “고래잡이(whaling)”라고도 불리는데, 메시지나 첨부파일에 포함된 개인 정보는 스팸으로 감지하기가 매우 어렵다.

프루프포인트(Proofpoint)의 마케팅 및 제품 VP 샌드라 본(Sandra Vaughan)은 이러한 공격들을 빈번하게 보고 있다며 “일례로 우리의 부동산 관리 고객 중 하나가 피싱의 일종인 ‘정부기관 컴플라이언트’를 받았는데, 그것은 더 이상 정부 기관들이 관리하지 않는 부동산의 주소 등  타깃 단체에 관한 수많은 상세 내역이 리스트 되어있는 것이었다”고 말했다. 문제는 이것이 더욱 심각해질 것이라는 점이다. 악당들이 계속해서 정보에 영향을 끼치기 위해 복제 가능한 비즈니스 프로세스를 구축하고 있기 때문이다. 

시큐어 컴퓨팅(Secure Computing)의 정보 분석 책임자 드미트리 알페로비치(Dmitri Alperovitch)는 “보다 교묘한 범죄 단체들의 일부는 이제 수백만 명의 피해자들의 사회 보장 번호, 메일/이메일 주소, 전화 번호 및 기타 개인 정보로 그들 자체의 데이터베이스를 구축할 수 있는 데이터와 힘을 갖게 되었다”고 말했다.

새로운 전장

우리는 계속해서 VoIP, 모바일 장치, 블로그, 기타 소셜 네트워크 등과 같은 오늘날의 정보 시스템의 소프트 취약점을 겨냥한 새로운 공격을 보게 될 것이다. 이러한 새로운 공격들의 일부에 관한 개요를 정리하면 다음과 같다.

-SMSing. 2007년 중반 이후 SMS 사용자들의 글로벌 유저 베이스를 겨냥한 새로운 공격이 보급되었다. SMS의 사용자 상호작용 때문에 이 공격의 영향은 상당히 적었지만 이것은 분명 앞으로 다가올 사태를 예고하는 것이었다.

-Vishing. 시큐어 컴퓨팅은 VoIP(voice over IP) 사용자들을 겨냥하는 공격의 수적 증가를 탐지해왔다. 공격자들은 발신자 ID 정보를 속여 발신자의 위치를 추적하기 어렵게 만든다.

-Facebook attacks. 우리는 또한 페이스북, 마이스페이스, 그리고 다양한 블로깅 서비스와 같은 주도적인 소셜 네트워크에 대한 공격의 증가를 보아왔다. 이러한 서비스들이 악당들의 아젠다를 증진시키며 어떻게 익스플로이트 될 것인지에 관해 이제 우리가 시작하고 있는 것은 겨우 수박 겉핥기에 불과할 뿐이다.

이러한 공격은 현재 성가신 정도에 불과할 뿐이지만 언젠가 그들은 보다 실제적인 존재가 될 것이며, 공격을 탐지하고 차단할 수 있는 존재로서의 관점에서 보면 이러한 컴퓨팅 플랫폼들은 이메일보다 말 그대로 5년은 뒤쳐져있다.

대응책

물론 방어자들도 하는 일 없이 방관하고 있지는 않다. 공격자들이 새로운 기술로 새로운 전선을 익스플로이트할 때 보안팀들은 침해에 대항하기 위해 신속히 움직이고 있다.

-방어비용 지출 상위의 업체들은 스팸 네트워크를 꿰뚫고 봇 운영자를 발견하며 메시지를 분석하기 위한 연구에 상당한 돈을 투자하고 있다. 악당들이 끊임없이 혁신함에 따라 이러한 투자 수준은 사업 운영의 비용으로 자리 잡고 있다. 이를 버텨낼 수 없는 업체들은 그들의 스팸 포착이 급격히 감소하는 것을 목격하게 될 것이다.

-사인 인(Sign in). 스팸 메시지의 시그니처는 최초의 스팸 방어에 다시 관심을 기울이지만 이 기술은 스패머들이 더욱 더 속이기 어려운 메시지 특성들을 업체들이 (수천은 아니라 할지라도) 수백 개를 추적함에 따라 다시 컴백하고 있다.

-연합 부대 엔드 유저들이 다중 컨텐츠 보안 제공이 이메일, 웹, 기타 메시지 애플리케이션(VoIP와 메신저 등)을 포함하는 연합 게이트웨이와의 통합을 원함에 따라 이메일 전용 솔루션들은 더욱 더 보기 힘든 존재가 되어가고 있다. 이러한 통합 게이트웨이는 신뢰도 정보를 결합하는데 뿐만 아니라 사용자가 발송하기위해 사용하는 프로토콜에 상관없이 컨텐츠 사용을 통제하는 일반적인 정책을 구축할 수 있도록 하는데 유용하다.

-트레이닝 엔드 유저들은 사실 최후의 방어선이다. 그들을 교육하는데 시간을 투자하는 것은 전 세계적인 좀비화 전염병을 유발하는 수많은 어리석은 행동을 제거하는데 도움이 될 것이다. 사용자 교육은 고도로 개인화된 유도로 고위 간부들을 겨냥하는 고래잡이 공격에 맞설 유일한 방어일 수도 있다.

영원한 전쟁?

이 전쟁의 끝을 볼 수 있을 것인가? 그럴 것 같지 않다. 피해자들이 계속해서 피싱 메시지 링크를 클릭하고 온라인 사기 제품을 구매하며 유혹에 반응하는 한, 끊임없이 급속도로 스팸을 발송할 악당들은 여전히 막대한 투자 이익을 얻게 될 것이다.

시만텍의 남용 방지 엔지니어링 선임 디렉터 더그 바워즈(Doug Bowers)는 “포맷과 메시지가 전달되는 방식은 변화될 것이다”라며 “그러나 어떤 형태로든 스팸은 그것이 돈 벌이가 될 수 있을 만큼의 충분한 반응자들이 있는 한 계속 존재할 것이다”라고 말했다.

SERVICE SOLUTIONS

아웃소싱할 것인가, 하지 않을 것인가?

안티스팸 사업이 진화함에 따라 그 기능을 이메일 보안 서비스 전문 제공 업체에게 아웃소싱하는 것은 온-프레미스(on-premises, 직접 설치) 게이트웨이를 도입하고 관리하는 것에 비해 매력적인 대안이 되고 있다. 아웃소싱 결정은 대부분 민감한 이슈가 되고 있다. 이러한 관리 서비스들이 최고의 탐지는 물론 지난 3년 간 스팸 볼륨이 급등함에 따라 투과성의 크기 조정을 제공하고 있기 때문이다.

구글은 지난 해 포스티니를 인수했고 이러한 관리 서비스들의 가격을 지난해 대비 약 1/3로 내리기 시작했다. 다른 모든 기술 시장과 마찬가지로 가격 동향은 뒤집어지지 않는 경향이 있기 때문에 소비자들은 가격이 계속해서 떨어지는, 보다 급격한 가격 곡선을 즐기게 될 것이다.

고도로 민감한 이메일 트래픽이나 매우 개별적이고 특정한 컨텐트 필터링 통제의 필요성 때문에 전용 게이트웨이를 필요로 하는 고객을 위해 프루프포인트사는 자사의 Proofpoint On Demand 서비스의 일부로 “가상 게이트웨이” 옵션을 제공한다. 고객들은 관리 서비스의 장점과 전용 게이트웨이가 제공하는 개별성을 선사하는 프루프포인트의 영향권 안에서 작동하는 자기만의 가상 게이트웨이를 구입할 수 있다.

< 글·마이크 로스만(Mike Rothman) >

Copyright ⓒ 2006 Information Security and TechTarget

[정보보호21c 통권 96호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>