시만텍이 최근 발표한 ‘2009년 상반기 주요 보안 이슈동향’에 따르면, 올 상반기에는 담보대출 관련 사기와 미취업자를 노린 구인광고 위장 스팸메일 등을 통한 피싱 및 사기피해가 증가한 가운데 악성코드 변종의 폭발적 증가, 소셜 네트워크에 대한 보안 위협, 웹기반 위협의 발전 등 금전적 이득을 목적으로 하는 보안 위협이 갈수록 정교해지고 조직화되고 있는 것으로 나타났다.

이런 보안 위협은 기술적인 위협보다는 사회공학적인 기법을 이용한 수법을 이용한 것으로써, 이런 위협에 대비하기 위해는 보다 다각적인 보안체계 구축이 필요해 보인다.

- 새로운 악성코드 변종의 폭증

시만텍에 따르면 지난해에 이어 올 상반기에도 전세계적으로 월 평균 2억4천5백만건 이상의 악성코드 공격 시도가 탐지되었으며, 대다수의 공격이 웹을 통해 발생한 새로운 유형의 보안위협이었다. 해커들은 소수의 위협요소를 광범위하게 배포하는 기존 방식에서 수백만 가지의 위협요소를 소규모로 배포하는 공격방식으로 전환하고 있다. 이러한 새로운 종류의 악성코드는 파일공유, 이메일 및 이동식 저장장치 등과 같은 다양한 경로를 통해 확산되면서 각기 다른 개별적 악성코드들을 무수히 발생시킨다. 이처럼 새롭게 등장하는 보안 위협으로 인해 휴리스틱(heuristics), 행위기반 및 평판 기반의 보안 모델과 같이 기존 기술들을 보완할 수 있는 새로운 탐지기법의 필요성이 대두되고 있다.

- 경제 위기를 악용한 보안 위협

2009년 상반기에는 전세계적인 경제 위기를 틈타 이를 악용한 수많은 새로운 보안 공격이 발생했다. 지난해 시만텍이 예상했던 대로 ‘재택근무’ 사기뿐 아니라 구인 게시판 등을 겨냥하는 새로운 변종들이 등장했으며, 주택담보 대출자를 대상으로 하는 주택 관련 사기와 미취업자를 대상으로 한 스팸메일 사기 등도 지속적으로 증가하고 있는 것으로 나타났다.

- 소셜 네트워크에 대한 보안 위협

소셜 네트워크 사이트에 대한 피싱 등의 보안 위협도 증가한 것으로 나타났다. 일례로 최근 인기있는 한 소셜 네트워크 사이트에 피싱 공격자들이 계정을 만들고 이를 이용해 다른 사용자 계정 정보를 탈취하는 사례가 보고됐으며, 블로깅 사이트에 게임을 올려두고 참가자들에게 게임의 일부인 것처럼 개인정보를 요구해 탈취한 사례도 있었다. 소셜 네트워크 사이트에 대한 보안 위협은 앞으로도 더욱 증가할 것인 만큼 개인 및 기업들은 이러한 위협에 대해서 더욱 주의를 기울여야 한다고 시만텍은 조언한다.

- 스팸의 증가

2008년 시만텍은 대규모 스팸 유포의 근원지이었던 웹 호스팅 업체 맥콜로(McColo)의 서비스 중단 전후 48시간 동안 스팸의 양이 65% 정도 감소했지만, 2009년에는 전체 메일에서 스팸이 차지하는 비중이 75 ~ 80% 수준으로 다시 높아질 것으로 예측한 바 있다. 2009년 6월 초 미국연방통신위원회(FTC)는 악명높은 ISP 중의 하나인 프라이스워트(Pricewert)를 폐쇄하도록 연방법원을 설득해 임시제지명령을 내렸는데, 이는 보안 전문가들이 사이버범죄에 맞서기 위해 어떻게 협력할 수 있는지를 보여준 모범 사례라 할 수 있다. 하지만 이 같은 폐쇄조치에도 불구하고 지난 6월 전체 이메일에서 스팸 메시지가 차지하는 비중은 평균 90%에 달한 것으로 나타났다. 한편, 최근 스패머들이 애용하는 메시지로는 마이클 잭슨 자살, 신종감기, 이탈리아 지진 등으로 나타났다.

- 진화된 웹 기반 위협

웹 기반 보안 위협이 증가하고 있는 가운데 최근에는 공격자들이 합법적인 웹사이트를 조작하여 일반 방문자들을 악성 컨텐트를 유포하는 사이트로 유도해 감염시키는 형태의 공격들이 주를 이루고 있다. 이 같은 감염 방식 중 하나가 사용자 몰래 또는 허락 없이 악성 컨텐트를 사용자 컴퓨터로 다운로드 시키는 ‘드라이브 바이 다운로드(drive-by download)’이다. 소셜 네트워킹 환경을 통해 유명 도메인을 공격하는 웹 기반 공격도 주의를 기울일 필요가 있다. 최근 잘 알려진 공격 중 하나는 소셜 네트워킹 사이트 가짜 초대장에 대량 메일발송 웜을 첨부해 보내는 것이다. 기타 공격 유형들로는 악성 자바스크립트나 패치를 설치하지 않은 브라우저 대신 플러그인 애플리케이션 및 크로스사이트 스크립팅 취약성을 이용하는 공격 유형들이 증가하고 있는 것으로 나타났다.

한편, 2009년 상반기에 부각된 주요 보안 이슈로는 과거 보안공격 기법의 재등장과 함께 사이버보안에 대처하기 위한 업계 전체의 공동대응 노력 및 실제 비즈니스 거래를 모방하여 방문자를 현혹하는 허위/위장 공격의 증가 등을 들 수 있다.

- 2009, 과거 보안 공격 기법의 재등장

2009년 상반기 중 가장 최근에 대대적으로 알려진 공격들을 살펴보면 과거에 사용된 공격 기법을 채용한 것이 특징이다. 소셜 네트워크를 통해 꾸준히 확산되고 있는 ‘쿱페이스(Koobface)’ 웜이나 최근 몇 년간의 보안 공격 중에서 가장 복잡하고 광범위하게 확산된 공격으로 꼽히고 있는 컨피커(Conficker) 웜에서 채용된 공격기법은 과거 대규모로 유포되었던 코드레드(CodeRed)나 님다(Nimda) 공격에서 사용된 공격기법을 사용하고 있는 것으로 나타났다.

최근의 보안 공격은 개인정보 도용, 가짜 안티바이러스 배포, 스팸 유포와 같이 금적적인 목적으로 행해진 것들이 대부분이다. 최근 한국과 미국 웹사이트에 대해 DDoS공격을 유발한 악성코드 ‘도저(Trojan.Dozer)’도 악의적인 목적을 가지고 있었다. 과거의 보안 공격기법은 최근의 공격 위협에서도 다시금 등장하고 있기 때문에, 전통적인 탐지 방식과 이를 보완하는 평판 기반의 보안 모델을 접목한 이른바 ‘다계층(multi-layered) 방어’ 체제를 구축하는 것이 중요하다.

- 사이버보안에 대처하기 위한 업계 전체의 협업 확대

보안 공격들이 점점 더 정교해짐에 따라 폭넓은 위협에 재빨리 대처하기 위한 업계간 협력도 더욱 공고해 지고 있다. 2009년 2월에는 산학연 협의체인 컨피커 워킹그룹이 설립되어 컨피커 웜의 위험성을 알리고 전세계적인 공동대응 방안을 마련하기 위해 노력하고 있다. 또한 보안 연구자들, ICANN(국제인터넷주소관리기구) 및 DNS 내 운영자들과 공동으로 몇몇 업계 벤더들은 컨피커 웜이 겨냥한 도메인을 무력화하는 대응방안을 마련하기도 했다. 날로 심각해지는 보안 위협에 대응하기 위한 산학연 및 정부기관의 협업 노력은 앞으로도 계속 이어질 전망이다.

- 실제 비즈니스 거래를 모방하여 방문자를 현혹하는 허위 공격

보안 공격은 갈수록 정교해지고 조직적인 양상을 띄고 있는데, 최근에는 실제 비즈니스 거래까지 그대로 모방하여 사용자들을 현혹시키고 있다. 주로 플래시 형태로 유포되는 악성 광고(malvertisements)는 방문자를 가짜 웹 페이지로 유도하고 있는데, 주류 비주류 웹 사이트에 상관 없이 모두 이러한 공격에 취약한 실정이다. 일명 ‘스캐어웨어(scareware)’ 또는 가짜 안티바이러스 프로그램으로 알려진 ‘허위 알림/위장 애플리케이션(misleading application)’은 컴퓨터의 보안 상태에 문제가 있다고 알려 사용자가 실제 존재하지 않거나 허위로 날조된 보안 위험을 제거하기 위해 가짜 보안 소프트웨어를 구입하도록 한다. 스캐어웨어는 실제로는 존재하지도 않는 악성코드에 감염되었다는 허위 시스템 알림을 통해 사용자를 속이고, 결국에는 이를 치료할 수 있다는 가짜 소프트웨어를 구매하는 주문 페이지로 사용자를 유인하고 있다.

시만텍코리아 윤광택 수석 컨설턴트는 “전세계 경제 위기를 틈타 금전적 이득을 목적하는 하는 각종보안 위협의 규모와 피해 정도가 갈수록 커지고 있다”며, “이러한 경향은 앞으로도 더욱 심해질 것인 만큼 보안 위협으로부터 소중한 정보를 안전하게 보호, 관리하기 위해 기업 및 개인 사용자는 새로운 보안 이슈에 항상 관심을 갖고 최선의 대응 방안을 강구해야 한다”고 강조했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>