웹 애플리케이션 취약성이 IT보안 최대 약점

한국IBM(대표 이휘성)은 5일 기업들의 보안 부주의로 인해 고객들이 사이버 범죄에 노출되고 있다는 내용을 담은 2008년 X-Force 동향 및 리스크 연례 보고서를 발표했다.

보고서에 따르면 사이버범죄자들이 고객 대상 공격 거점으로 기업 웹사이트를 사용하는 사례가 급증하고 있으며, 고객 개인 정보 도용에 기업 웹사이트를 이용하고 있는 것으로 나타났다.

이번 X-Force 보고서는 사이버 범죄자들이 웹사이트를 통해 대중들을 표적으로 삼는 공격방법에 관한 두 가지 주요 트렌드를 발표했다.

첫 번째는 웹사이트가 기업 IT 보안의 ‘아킬레스건’이 되고 있다는 것. 해커들이 최종 사용자의 PC를 감염시키기 위해 웹 애플리케이션 공격에 집중하고 있음에도 불구, 많은 기업들은 취약점이 많은 패키지 애플리케이션이나 더 심한 경우 보안 취약점의 패치가 불가능한 맞춤형 애플리케이션을 사용하고 있다.

웹 애플리케이션 관련 취약점들은 지난해 발견된 전체 보안 취약점들의 절반 이상을 차지했으며, 이 중 74% 이상은 보안 패치가 제공되지 않았다. 이에 따라 2008년 초 등장한 대규모 자동화 SQL(Structured Query Language 구조화 질의어) 인젝션 공격에 대한 취약점은 계속 줄어들지 않고 있으며, 공격량은 2008년 말 같은 해 여름 대비 30배로 증가했다.

크리스 램 수석 IBM 인터넷시큐리티시스템즈 X-Force 보안 연구소 운영 관리자는 “이러한 자동화된 공격의 목표는 네티즌을 속여 그들의 웹 브라우저에 해킹 바이러스를 심어 넣는 데 있다”면서 “SQL 인젝션 공격은 현존하는 대량 공격 방식 중 가장 오래된 형태의 하나로, 발견된 지 10년이 지난 지금까지 적절한 패치가 안 돼 광범위한 피해를 보고 있다는 것은 경악할 일”이라고 말했다.

그는 이어 “사이버 범죄자들이 기업 웹사이트를 목표로 하고 있는 것은 웹을 방문하는 모든 네티즌들을 쉽게 공격할 수 있는 거점으로 활용할 수 있기 때문”이라고 부연 설명했다.

IBM X-Force 보고서가 발표한 두 번째 주요 트렌드는 해커들이 여전히 최종 사용자의 PC를 공격하기 위해 브라우저나 액티브X 컨트롤에 집중하고 있으면서도, 플래시 등의 동영상, PDF 문서 등을 통한 새로운 형태의 해킹 바이러스로 관심의 초점을 옮기고 있다는 점이다.

IBM X-Force 연구소는 2008년 4분기 중 확인된 해킹 바이러스를 옮기는 악성 URL들의 수가 2007년 한 해 동안 발견된 수보다 50% 증가했음을 확인했다. 또한 스팸 메일 발송자들은 더 많은 스팸 메일을 전송하기 위해 잘 알려진 웹사이트를 활용하고 있어 인기 블로그나 뉴스사이트를 통해 스팸 메일을 발송하는 기술은 2008년 하반기에 두 배 이상 증가했다.

X-Force 보고서는 또한 2008년 공개된 일부 주요 취약점에 대해서는 광범위한 공격이 이루어지지 않았다는 점을 지적했다. IBM X-Force 연구소는 보안업계가 이 점에서 힌트를 얻어 현재의 취약점 대응 우선순위를 보다 유용하게 발전시킬 수 있다고 보고 있다.

현재 취약점 대응 우선순위의 결정은 업계 표준 ‘취약점 공동 평가 시스템(CVSS; Common Vulnerability Scoring System)’을 통해 진행되고 있다. CVSS는 공격의 강도 및 용이함 등 취약성의 기술적인 면에 초점을 맞추고 있다. 물론 이들 요소들은 매우 중요하지만, 컴퓨터 범죄의 일차적 동기인 ‘경제적 기회’를 반영하지 못한다는 단점을 갖고 있다.

크리스 램 수석 운영 관리자는 “CVSS는 보안업계에 보안 위협을 측정하는 필수적인 기반을 제공하고 있다”라며 “하지만 사이버 범죄자의 궁극적인 동기는 돈이라는 사실 또한 인식해, 해커들이 취약점의 공격 비용 대비 기대수익을 어떻게 보고 있는지를 충분히 고려할 필요가 있다”라고 말했다.

그리고 그는 “보안업계가 컴퓨터 범죄자의 범행 동기를 보다 잘 이해할 수 있다면 즉각적인 위협들을 발견했을 때 응급 패치가 가장 필요한 시점을 보다 정확히 결정할 수 있을 것이며, 특정 취약점에 공격이 집중될 때까지 오랜 시간이 걸릴 것인지, 또는 공격이 아예 발생하지 않을지를 한층 정확히 판단할 수 있게 될 것”이라며 “이러한 분석은 시간과 자원의 효율적 사용을 가능하게 해 줄 것”이라고 덧붙였다.

X-Force 연구소는 1997년 이후 지속적으로 공개된 취약점들을 취합, 분석, 연구해왔으며, 현재까지 4만개 이상의 보안 취약점들을 취합해 세계 최고의 취약점 데이터베이스를 구축하고 있다. 이 데이터베이스는 X-Force 연구진이 취약점들이 발견되고 공개되는 방식을 잘 이해하는 데 도움을 주고 있다.

IBM의 최신 X-Force 보안 보고서에 포함된 주요 내용들은 다음과 같다.

▶ 2008년 취약점 발견 건수는 2007년 대비 13.5% 증가했다.

▶ 2008년 말까지 한 해 동안 공개된 전체 취약성의 53%에 대해서는 소프트웨어 업체의 보안 패치가 제공되지 않았으며, 2008년 말 현재까지도 2006년부터 공개된 취약점의 46%, 2007년부터 공개된 취약점의 44%는 여전히 패치가 없는 상황이다.

▶ 맥콜로(McColo-미국 웹호스팅업체) 서비스 중단은 스팸의 양 뿐 아니라 전송된 스팸의 형태와 주요 스팸 전송 국가 등2008년 스팸 활동에 큰 영향을 미쳤다.

▶ 맥콜로 서비스 중단 직후 스팸 전송 1위국은 중국이었으나 연말에는 브라질이 1위를 차지했다. 서비스 중단 전까지 수 년 동안 1위 자리를 고수한 국가는 미국이었다.

▶ 2008년 주요 스팸 메일 발송 국가는 러시아(12%), 미국(9.6%), 터키(7.8%)등이었다.

(스팸 발송지와 스팸 메일 전송자의 거주지가 반드시 일치하는 것은 아니다)

▶ 중국은 2008년 최초로 미국을 제치고 가장 많은 악성 웹사이트를 보유한 국가로 떠올랐다.

▶ 피싱 공격자들은 지속적으로 금융기관들을 공격하고 있다. 피싱 공격의 약 90%가 금융기관을 목표로 하고 있으며, 이중 대다수가 북미지역 금융기관을 대상으로 하고 있다.

▶ 2008년 전체 악성 프로그램의 46%가 온라인 게임과 인터넷 뱅킹 사용자를 목표로 하는 트로이목마(Trojans)였다. X-Force 보고서는 이들 특정 사용자 집단이 2009년에도 계속적으로 공격 대상이 될 것으로 예상하고 있다.

이번 전망에 대한 자세한 내용을 담은 ‘2008년 X-Force 동향 및 리스크 보고서’는 http://www-935.ibm.com/services/us/iss/xforce/trendreports에서 확인할 수 있다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>