“2009년, 제로데이 취약점 공격 꾸준히 시도될 것”

잉카인터넷(대표 주영흠 www.inca.co.kr)은 2008년 한 해 동안 각종 보안 위협 등이 발생하였으며, 이전에 알려지지 않았던 악성프로그램은 기하급수적인 비율로 증가했다고 30일 밝혔다. 이와함께 잉카인터넷 시큐리티 대응센터 대응팀은 한 해 동안 발생했던 주요 보안 이슈들의 사례를 정리하고, 2009년에 발생 가능한 보안 위협 등을 다음과 같이 발표했다.

■ 웹 사이트의 범죄화

2005년경부터 활발히 진행된 웹 사이트 변조와 Exploit Code 삽입을 통한 악성코드 유포 기법은 2008년도 역시 다양화됨과 동시에 매우 활발히 진행되었다.

이는 웹 사이트를 통한 악성코드 유포가 상대적으로 쉽고 빠르게 전파시킬 수 있다는 특징과 국지적 공격에 매우 유용한 장점이 있기 때문이라고 말할 수 있다.

▲ 정상 웹 페이지에 삽입된 악의적인 iframe 코드화면.

유포된 악성코드는 국내외 유명 온라인 게임 사용자들의 개인정보(ID, Password, Game Money) 등을 불법적으로 탈취하기 위한 목적과 기능이 주류를 이루었으며, 악성코드를 통해서 획득한 불법 개인정보는 사이버 범죄 조직(원)들의 주요 수입원이 되고 있는 것으로 추정된다.

 

이러한 악성코드 유포 기법이 조직화, 지능화됨에 따라 웹 관리자와 인터넷 사용자들은 보안 불감증으로 이어지지 않도록 하는 관심과 노력이 요구된다.

■ 위협의 자동화

악성코드 유포 성향이 다양해짐에 따라 자동화 취약점도구 등을 통한 대규모 공격이 유행하였는데, 대표적으로 Mass SQL Injection Attack 증가와 ARP Spoofing 기법을 복합적으로 사용한 악성코드의 자동화 유포를 들 수 있다. 또한 Bot Net을 이용한 분산 서비스 거부 공격(DDoS) 등의 문제가 대두되었다.

▲ SQL Injection 공격에 사용하는 도구 화면.

Mass SQL Injection 공격의 경우 자동화 프로그램 사용으로 인하여 불특정 다수의 웹 사이트에서 동시 다발적으로 피해가 발생할 수 있기 때문에 공격 시점을 사전에 예측하기가 쉽지 않다. 특히 해당 공격으로 삽입되는 악성 코드가 시간 간격 차를 두고 변형되는 등 지능적인 수법으로 발전되었다.

 

자동화 공격 도구 중에는 내부에 구글 검색 기능을 가지고 있어 검색 키워드 등의 옵션을 이용한 악성 스크립트 자동 삽입 기능이 존재하는 형태도 있으며, 이러한 종류는 공격자가 매우 쉽고 빠르게 다양한 웹 사이트의 취약점을 이용하여 Multi Exploit 코드를 삽입하고 있기도 하다.

▲ Mass SQL Injection 공격으로 악성스크립트가 삽입된 검색 화면.

왼쪽 화면은 현재 대부분 차단이 된 상태이지만, Mass SQL Injection 공격으로 인하여 보안이 취약한 수 많은 웹 사이트들에 악성 스크립트가 다량으로 삽입된 모습을 볼 수 있다. 이것은 실제 공격 당시 화면 중 일부이다.

 

공격을 입은 해당 사이트에 인터넷 사용자들이 방문할 경우 다양한 Exploit Code 등에 의해서 사용자 컴퓨터에 악성프로그램이 자동으로 설치되고 감염되는 피해를 입게 되는 것이다.

▲ ARP Spoofing 공격 방식.

ARP Spoofing 공격기법이 SQL Injection 공격기법과 복합적으로 사용되면서 다양한 문제를 야기하기도 하였다.

 

ARP Spoofing 기법을 사용한 악성코드가 컴퓨터에 감염될 경우에 동일 네트워크 대역폭에 연결된 수 많은 컴퓨터에 악성 스크립트나 아이프레임 등을 포함한 Packet 내용을 삽입 시도하여 네트워크에 연결된 수많은 사용자들에게 악성코드를 무차별적으로 배포하며, 이로 인하여 기업 등의 네트워크 전산망에 과도한 이상트래픽 발생 등으로 인하여 업무가 마비되는 사고 피해 등이 발생할 수 있다.

■ 취약점의 차별화

악성코드를 제작하고 유포하고자 하는 공격자들은 사실상 보안패치가 존재하지 않는 새로운 취약점(Zero-Day/Hour Attack)을 이용하기 위해서 혈안이 되어 있다. 공개되지 않은 차별화된 취약점 악용은 공격자로 하여금 새롭게 제작된 신종 악성프로그램을 사용자 몰래 유입시키고, 신속하게 감염시킬 수 있기 때문이다.

▲ Obfuscate 기법의 악성 스크립트 일부 화면.

금년에도 수많은 보안취약점이 신규로 보고 되었고, 이를 통한 보안위협이 끊이질 않고 있는데, 현재 가장 유행하는 종류로는 최근 패치가 출시된 Internet Explorer 취약점(MS08-078)을 꼽을 수 있으며, 그 다음으로 플래시(SWF) 취약점, PDF 취약점, Real Player Exploit, MS06-014, MS08-041 등을 들 수 있다. 또한, Anti-Virus 제품으로부터 탐지를 회피하기 위한 다양한 우회기법(Obfuscate Technique) 등이 사용되고 있다.

 

새로운 취약점에 적절히 대응하기 위해서 신속하게 신규 보안패치(업데이트)를 설치하고자 하는 노력이 절실히 필요하며, 자신이 사용하는 Anti-Virus 제품 등을 최신 버전으로 상시 유지하는 것이 중요하다.

■ 허위 Anti-Virus 제품의 증가

외산 허위 안티바이러스 제품이 큰 폭으로 증가했는데, 특히 주목할 만한 현상은 프로그램 유포 수법 등이 나날이 교묘해 지고 있다는 점과 이중 일부는 국내에도 다수 유입되어 사용자들에게 전체 보안제품에 대한 신뢰도 하락과 불신감을 증폭시키는 문제를 발생시켰다.

▲ 외산 허위 Anti-Virus 제품의 모습.

이러한 종류의 허위 보안제품들은 전문 보안업체가 아닌 곳에서 개발하여 무단 배포되며, 허위 악성코드 진단내용을 보여주거나 위험요소를 과장하는 보여 주는 등 사용자들을 현혹하여 소액결재를 유도하거나 또 다른 악성프로그램을 설치한다.

 

허위 안티바이러스 제품들이 매우 다양화되고 유포방식과 설치방식 등이 매우 복합적으로 발전되고 있으므로, 신뢰할 수 있는 보안기업의 제품만을 선별하여 사용할 수 있도록 하는 것이 필요하다.

■ 이동매체와 사회공학적 기법

이외에도 이동형 드라이브(USB 저장장치 등)의 자동실행 기능을 이용한 일명 오토런(AutoRun) 부류의 악성프로그램의 변종이 꾸준히 증가하였으며, 중국 시작페이지 증상을 유발시키는 멀티 다운로더의 피해가 있었다.

더불어 포토샵 불법 사용 고소장으로 위장하여 유포된 악성코드와 출두명령서 내용으로 유포된 악성코드, 인스턴트 메신저 피싱 등 사회공학적 기법을 이용하여 사용자를 유혹한 형태가 다수 발생하였다.

■ 2009년 보안 전망

2009년에는 기존에 유행했던 취약점 공격기법을 지속적으로 활용함과 동시에 좀더 많은 컴퓨터 사용자들을 대상으로 악성코드를 감염시키기 위해서 제로데이 취약점 공격을 꾸준히 시도할 것으로 예측되며, 안티바이러스 제품의 탐지를 우회하거나 치료를 어렵게 하기 위한 기술적 연구를 지속적으로 할 것으로 보여 진다.

특히 Mass SQL Injection 공격과 웹 사이트 변조를 통한 악성코드 유포가 계속 이어질 것으로 전망된다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>