2009년 동향, 해외 모바일 악성코드 국내 유입 가능성 증가 등

한국정보보호진흥원은 ‘인터넷침해사고 동향 및 분석월보(12월호)’에 ‘2008년 웜·바이러스 동향 및 2009년 전망’이란 내용을 통해 작년 한해 발생한 웜·바이러스 동향은 물론 올해 발생할 악성코드에 대해 전망하고 있다.

 

■ 2008년 악성코드 감염 사례

▲ P2P방식 스톰 악성코드 이용한 대량 스팸메일 발송 등

작년 만우절을 전후로 만우절과 관련된 내용의 스팸메일이 발견됐다. 문제의 메일본문에는 악의적인 URL이 포함돼 있으며, URP 클릭 시에 악성코드에 감염되고 감염 후에 감염PC 내에 저장돼 있는 메일주소로 악성메일을 다시 발송한다.

 

 

이 악성코드는 P2P통신을 하는 스톰 웜의 변종이며, 공격자는 P2P통신방식을 통해 감염PC를 통제하므로 차단을 통한 대응이 어렵다.

▲ DDoS 공격대상 범위 확대

주로 성인사이트를 대상으로 많이 발생했던 DDoS 공격의 범위가 확대돼, 2008년에는 금융사이트 및 일반 포털사이트에서도 발생했다. 공격에 악용된 도구를 추적해 본 결과, 넷봇이라는 악성코드가 매우 많이 악용되었다. 이 도구는 원클릭으로 DDoS 에이전트 악성코드를 생성할 수 있으며, 다양한 유형의 공격기능이 구현되어 있다.

▲ 윈도우 OS 신규 취약점 이용 악성코드 출현

2008년에 발견된 윈도우 상의 신규 취약점은 여거가지가 있으나, 실제 크게 위협이 되었던 취약점을 살펴보면 MS08-067 윈도우 서버서비스 취약점, MS08-078 IE 취약점 등을 들 수 있다.

MS08-067 취약점은 10월 MS에서 긴급으로 패치를 발표한 취약점으로써, 취약점 발표 후 중국 OS를 대상으로 공격코드가 공개되었으며, 이후 한글 OS에도 공격이 가능한 자동전파 웜이 출현하여 위협이 되었다. 해당 웜은 취약점을 공격하는 과정에서 과도한 스캔 패킷발송으로 인하여, 윈도우 통신 소켓버퍼를 고갈시켜 HTTP·FTP 등 TCP기반의 통신에 장애를 발생시키는 특징을 가지고 있으며, 감염 시 추가적인 악성코드를 다운로드해 설치하는 다운로드기능이 구현되어 있다. KISA에서는 해당 웜의 활동을 조기에 인지해, 국내 주요 ISP와의 협조를 통해 피해확산을 예방한 바 있다.

12월에는 MS에서 보안패치가 발표되지 않은 IE 제로데이 취약점에 대한 공격이 확인되었다. 관련 취약점은 12월 18일에 MS에서 MS08-078으로 긴급패치를 발표했다.

▲ 스팸메일 이용, 허위백신 설치 후 결재요구

8월에는 ‘CNN 속보’, ‘베이징 올림픽’, ‘세계 3차 대전 시작’ 등과 같이 메일 수신자들을 현혹하는 문구를 포함하는 메일을 발송해 허위 백신을 설치하게 한 후, PC에 악성코드가 설치되어 있는 것처럼 속여 악성코드 치료를 위한 결재를 요구하는 피해가 발생했다.

 

 

사용자가 실제 결재를 진행할 경우, 금전적인 피해를 입을 수 있어 주의가 필요하다.

▲ 감염 PC가 도박사이트 홍보 위한 스팸에이전트로 악용돼

일부 도박 사이트에서 게임 프로그램 설치 시 악성코드가 동시에 설치되도록 한 후, 감염PC를 키보드 입력을 가로채 포털 메일사이트 계정정보를 유출했다. 설치된 악성코드는 해당 포털 또는 메일사이트에 접속해, 게시판에 도박 사이트를 홍보하는 게시물을 자동으로 올리거나 홍보용 스팸메일을 발송한다.

▲ 개인 계정유출 등 개인정보 유출사고 증가

3월에는 ‘이명박 대통령 순방일정’이라는 제목의 해킹메일 피해가 확인됐다. 해당 메일의 첨부파일 ‘대통령출국일정.xls’에는 엑셀 프로그램의 취약점을 공격하는 코드가 삽입돼 있었다.

미 패치 된 엑셀 사용자가 해당 파일을 열어볼 경우 악성코드에 감염되며, 감염 후에는 키보드 입력유출·사용자 화면유출·공격자 원격로그온 등의 피해가 발생한다.

또한 게임 및 국내 유명 메신저 계정을 유출하는 악성코드 피해도 다수 보고됐다. 악성코드는 메신저 및 게임프로세스에 인젝션되는 형태로 사용자가 입력하는 계정정보를 탈취하여 특정 해커사이트로 전송한다.

▲ 홈페이지 은닉 및 ARP 스푸핑 공격 지속적 발생

홈페이지 은닉 및 ARP 스푸핑 기법을 이용하여 사용자 PC를 감염시키는 사고가 많이 발생했다.

침해사례에서 주로 많이 이용된 ARP 스푸핑 공격코드에는, 데이터 유출·악성코드 유포·DNS 파밍·로컬 네트워크 상의 통신속도제한 등의 기능이 구현되어 있다.

■ 2009년도 전망

▲ 금전적 이득 위한 악성코드 감염사례 지속적 증가

2009년에도 웜·바이러스에 감염된 PC가 DDoS 및 스팸메일 발송을 위한 에이전트로 악용되는 사고가 지속적으로 발생할 것으로 보이며, 광케이블·FTTH 환경 등 사용자 PC 인터넷 대역폭이 크게 확장됨으로 인해 DDoS공격의 영향력은 예전보다 커질 것으로 보인다.

또한 공격은 금융·전자상거래 등 다양한 사이트를 대상으로 발생할 소지가 있다.

▲ HTTP 및 P2P 통신 방식의 악성코드 등 진화된 악성코드 활동증가

기존에는 웜바이러스에 대한 웜제작자의 명령전달서버를 차단조치 함으로써, 웜의 활동을 효과적으로 억제할 수 있었으나, 웜의 생존력을 높이기 위해 원격명령전달에 HTTP 프로토콜을 활용하거나 통신을 P2P방식으로 변경하는 사례가 증가할 것으로 보인다.

▲ MS 오피스 및 애크로뱃 문서파일, 메일첨부 등 이용한 공격증가

OS보다 보안패치에 대한 관심이 적은 MS 오피스 및 애크로뱃 등 문서 파일 애플리케이션 취약점이 악성코드 전파 경로로 많이 악용될 것으로 보이며, 메일첨부 등을 통하여 특정인을 대상으로 한 공격이 올해에도 많이 발생할 것으로 보인다.

▲ 알려지지 않은 취약점 이용한 공격증가

악성코드 제작자들은 감염성공률을 높이기 위해 알려지지 않은 취약점을 악성코드 전파경로로 악용하는 유형의 공격을 예전보다 많이 시도할 것으로 보인다.

알려지지 않은 취약점을 공격자가 먼저 발견하여 악용할 경우, 최신 패치가 돼 있는 사용자도 공격피해를 당할 수 있어 각별한 주의가 필요하다.

▲ 변종 악성코드 증가 및 자기은폐 기술 진화

일부 악성코드 제작자는 악성코드에 자신을 은폐하거나 분석을 방해하는 기능 또는 백신진단을 어렵게 하기 위한 기능 등을 구현해 놓는다. 이러한 자기은폐기능을 통하여 생존기간을 늘릴 수 있으므로 이러한 기술이 적용된 악성코드는 향후 더욱 많아질 것으로 보인다.

▲ 웹사이트 및 ARP 스푸핑 이용한 피해 지속적 발생

웹사이트를 이용해 악성코드가 전파되는 사례는 올해에도 지속적으로 발생할 것으로 보인다. 또한 ARP 스푸핑 공격은 악성코드 감염 외에도 파밍 공격, 정보 유출 등에도 악용될 소지가 있으므로 주의가 필요하다.

▲ 해외 모바일 악성코드 국내 유입 가능성 증가

최근 위피 의무탑재 고시 해제(2008.12.10 방통위)에 따라 외산 스마트폰의 국내 도입 및 활성화가 예상된다. 해외 보고에 의하면 주로 개방형 운영체제를 탑재한 단말기를 대상으로 현재까지 약 400여종의 모바일 악성코드가 발견돼, 개인정보유출·불법 스팸발송 및 문자메시지 전송으로 인한 피해가 발생할 위험성이 증가하고 있다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>