다양한 웹 애플리케이션 보안 위협이 곳곳에 도사리는 월드 와일드(wild) 웹

지난 2008년은 특히 웹 애플리케이션과 관련된 취약점을 이용한 공격이 심각했던 한 해였으며 이에 따라 각 관련 업체들은 정기, 비정기 가릴 것 없이 ‘끊임없이’ 패치를 배포해 취약점을 수정하기에 급급할 수밖에 없었다.

미(美) 보안솔루션 전문업체 센직(Cenzic)은 최근 발표한 “2008년 3~4분기 웹 애플리케이션 보안 경향 리포트(Web Application Security Trends Report Q3-Q4, 2008)”를 통해 지난해 가장 심각했던 대표적인 웹 애플리케이션 위협 10가지를 다음과 같이 꼽았다.

● 마이크로소프트(Microsoft) 인터넷 익스플로러(IE)의 데이터 바인딩 메모리 손상 취약점

● 어도비(Adobe) 플래시 플레이어(Flash Player)와 관련된 다수의 취약점

● JRE(Java Runtime Environment) 버퍼 오버플로우 취약점

● SAPGUI 액티브엑스(ActiveX) 컨트롤 코드 실행 취약점

● 어도비 리더(Reader) 및 아크로뱃(Acrobat)의 스택 기반 버퍼 오버플로우

● 마이크로소프트 오피스 스냅샷 뷰어(Snapshot Viewer) 액티브엑스 취약점

● 오라클 웹로직 아파치(Weblogic Apache) 커넥터 버퍼 오버플로우

● 모질라 파이어폭스 코드 실행 취약점

● 아파치 톰캣(Tomcat) UTF8 디렉토리 접근 취약점

● JRE로 인한 SOP(Same Origin Policy) 우회관련 보안 취약점

이중에서도 특히 어도비 리더(Reader) 및 아크로뱃(Acrobat)의 취약점은 2009년 중반에 들어선 지금까지도 심각한 보안 이슈로 거론되고 있을 만큼 웹 애플리케이션의 보안 위협은 진정될 기미가 보이지 않는다. 농담 삼아 월드와이드웹(World Wide Web)이 아니라 각종 위협이 곳곳에 도사리는 월드와일드웹(World Wild Web)이라고 불러도 무방할 정도다.

이러한 상황에서 지난 2월 시만텍(Symantec)의 메시지랩(MessageLabs)이 “2009년 새로운 웹 위협(New Web Threats for 2009)”에 관한 보고서를 발표해 관심을 끌었다. 이 보고서를 통해 메시지랩은 “기업 네트워크를 공격하는 새로운 웹 기반 위협들은 그 어느 때보다 보다 강렬하고 교묘하다”며 “풍부한 미디어, 오픈소스 플랫폼, 웹 2.0 툴, 소셜 네트워킹 사이트, 그리고 최근 떠오른 클라우드 서비스 등의 기술 때문에 네트워크는 새로운 종류의 웹 보안 위협에 노출됐다”고 전했다.

특히 웹 2.0을 ‘양날의 검’이라며 “웹 2.0은 고객과 파트너들이 실시간으로 아이디어를 공유하는 오픈 포럼이 되기도 하지만 이러한 장점과 더불어 위험을 동반하고 있다”고 지적했다. 즉 “RTC(Real time collaboration) 툴 이용이 증가하고 있으며 합법적인 사업체들도 이에 가세하고 있고 기업의 HR 부서들은 종종 다양한 소셜 네트워킹 사이트를 통해 직원들을 채용하고 있으며 기업의 IT 부서와 R&D 부서들도 웹에서 오픈 소스 코드를 받아 프로그래밍하거나 개발하는데 이용하고 있다”며 “이들 모두 웹을 매우 합리적으로 이용하고 있는 것이다. 그러나 이는 잠재적으로 그들의 사업에 위험을 내포하고 있다”고 설명했다.

일례로 일부 유명 소셜 네트워킹 사이트는 사용자들의 프로필 페이지를 강화할 수 있는 매력적인 애플리케이션을 제공하고 있지만 문제는 대부분 이러한 애플리케이션이 제3자에 의해 구축된 것으로 코드의 보안성은 모니터되지 않는다는 것. 즉 이러한 애플리케이션을 다운로드함으로써 한 치의 의심도 품지 않은 사용자는 원치 않은 악성 코드를 자신의 프로필 페이지에 삽입하게 되고 따라서 자신의 컴퓨터뿐만 아니라 네트워크에도 영향을 끼치게 되는 것이다.

또한 기업과 관련한 웹 위협에 대해 “교묘한 타깃화된 웹 위협은 직·간접적인 금융 및 운영비용과 관련해 기업에 대한 많은 위험을 내포하고 있다”며 “손상된 주요 데이터나 규제를 준수하지 못 한 결과 발생하는 위협들은 사업 진행에 장애가 될 뿐만 아니라 잠재적으로 기업 평판을 훼손하게 되며 기업을 법적 소송에 노출시키는 결과를 가져온다”고 강조했다.

그러나 메시지랩은 “위험 요인을 파악하고 자산을 보호할 수 있는 정책을 규정하고 이를 효과적인 기술로 실행함으로써 웹 2.0의 장점은 취하면서 위험은 줄일 수 있다”고 덧붙였다.

이와 더불어 메시지랩이 예측한 대표적인 “2009년 새로운 웹 위협”은 다음과 같다.

웹 기반 맬웨어 Web Based Malware

블로깅 툴과 더불어 플래시(Flash) 등 클라이언트 사이드 브라우저 플러그인 등과 같은 서버 기반 애플리케이션의 취약점을 타깃으로 하는 최근의 익스플로이트는 사용자들이 단지 웹사이트를 방문하는 것만으로도 맬웨어를 설치할 수 있다.

이와 관련해 메시지랩은 “지난 2008년 가장 눈에 띄는 악성 스팸, 바이러스 침투 등 이메일 기반 범죄 행위에서 새로운 인터넷 기반 위협에 친숙하지 않은 피해자들이 의심이 없다는 점을 이용하는 교묘한 온라인 웹 기반 공격으로의 변화”라고 언급했다.

특히 최근에는 유명 검색엔진의 동영상 검색 결과를 통해 이용자들은 종종 안전한 것으로 보이지만 사실은 악성 사이트인 웹사이트들을 방문하는 상황에 처하고 있다.

이러한 합법적인 사이트로 위장한 악성 사이트에서 사용자들은 동영상을 보기 위해서는 플래시 플레이어 업데이트를 다운로드하고 설치하라는 메시지를 전달받는데 이를 통해 실제로는 새로운 웜을 다운로드하게 되는 것이다.

소셜 네트워킹 ‘맬웨어’ Social Networking Malware

최근 북미 지역을 중심으로 해외 보안 전문가들 사이에서 가장 많이 언급되고 있는 것은 바로 소셜 네트워킹 관련 위협들이다.

스패머들은 소셜 네트워킹 계정 피싱으로 다른 회원들의 블로그에 코멘트를 달거나 피싱한 계정에서 다른 접속자들에게로 메시지를 발송할 수 있다. 이와 관련해 메시지랩은 “특히 메시지 내에 포함된 링크가 스팸 이메일 자체보다 더 위험할 수 있다”고 전했다.

예를 들어 스팸 메시지의 링크를 클릭하면 동영상을 포함하고 있다는 페이지로 리디렉트되는데 이 페이지에서 사용자는 해당 동영상을 보기 위해서는 새로운 코덱을 설치하라는 메시지를 받게 된다. 사용자가 이러한 지시를 따를 경우 동영상 대신 실제로는 악성 소프트웨어를 다운로드하게 되는 것이다.

소셜 네트워킹 “스팸” Social Networking Spam

메시지랩은 소셜 네트워킹과 관련된 위협들 중에서도 특히 “사이버 범죄들은 소셜 엔지니어링 기법을 이용해 피해자들을 속여 조직 내부로 침투하는 길을 찾고 있다”며 “가장 일반적인 접근 방법은 소셜 네트워킹 웹사이트에 허위 프로파일을 생성해 악성 링크와 다른 이용자들을 낚는데(Phishing) 이용하는 것”이라고 전했다. 이와 더불어 메시지랩은 앞서 언급한 소셜 네트워킹 사이트를 이용한 맬웨어뿐만 아니라 소셜 네트워킹을 통한 스팸을 별도로 구분해 소셜 네트워킹의 위험성을 강조했다.

메시지랩은 특히 “소셜 네트워킹 환경을 노리는 스패머들과 사이버 범죄자들로부터의 위협은 매우 실제적인 위협이다”라며 “그들은 규모를 갖춘 사업체들을 속이기 위해 소셜 네트워킹이라는 새로운 매체를 이용하고 있다”고 강조했다.

그 근거로 메시지랩은 지난 2008년 유명인 또는 왕족의 가짜 프로필이 소셜 네트워킹 사이트에 나타나기 시작했던 것을 예로 들었다. 즉 일부 기업들은 이들 사이트를 사업을 위해 이용하고 있기 때문에 이러한 사건은 스푸핑(spoofing)이 기업 환경에도 발생할 수 있다는 우려를 갖게 됐다는 것. 메시지랩은 이러한 프로필 스푸핑 공격이 실제로 발생하고 있다고 강조했다. 한편 2008년 말 유명 소셜 네트워킹 사이트를 이용하는 많은 사람들이 허위 프로필로부터 ‘친구(buddy) 요청’을 받았던 사건도 있었다. 기존의 안티스팸 솔루션이 가짜 요청을 구분해낼 수 없기 때문에 이러한 접근 방법이 잘 통했던 것이다. 이러한 친구 요청을 수락하게 되면 사이버 범죄자들은 이용자의 특정한 개인 정보를 확인할 수 있을 뿐만 아니라 타깃 공격을 형성하기에 충분한 정보도 수집할 수 있어 소셜 네트워킹을 통한 위협이 심각해지고 있다.

피싱, DNS 통제 Phishing - taking Control of DNS

메시지랩의 2008년 연간 인텔리전스 보고서(MessageLabs Intelligence 2008 Annual Report)에 따르면 오래된 온라인 사업체들이 호스트 피싱 공격의 타겟이 되고 있다. 피셔(phisher)들은 기업의 DNS(Domain Name Service) 데이터베이스 기록 컨트롤을 차지함으로써 필터링에 걸리지 않기 때문에 이러한 도메인들의 평판을 이용한다고 메시지랩은 설명했다. 특히 공격자는 합법적인 기업의 DNS를 손상시킨 후 서브 도메인과 타겟의 도메인을 속이는 와일드카드 기록를 추가한다.

이러한 DNS 엔트리들은 실제 소유자가 인식하지 못 한 상태에서 추가돼 심각한 위험을 낳고 있다고 메시지랩은 강조했다. 지난해 이미 수차례 현실로 나타난 것처럼 이와 같은 웹 위협으로 발생할 수 있는 손실은 결국 기업의 점증적인 비용 소모를 가져오게 된다. 특히 경제 상황이 날로 심각해지고 있는 상황에서 웹 위협을 최소화하는 것이야말로 비즈니스 연속성을 확보하는 열쇠가 될 수도 있다.

<글 :  김동빈 기자(foreign@boannews.com)>

[월간 정보보호21c 통권 제107호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>