• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

올해 ┖그레이웨어 공격┖ 지속 2006.04.01

그레이웨어-스파이웨어, 애드웨어, 백도어, 루트킷 등

지난해-악성코드 변종은 감소... 신종웜과 트로이목마는 소폭 증가

기업-불필요한 프로토콜 차단 및 사용자 교육 실시 필요...

개인-최신 보안패치 설치 및 수상한 이메일 클릭 금지


트렌드마이크로(지사장 최성환 www.trendmico.co.kr)의 ‘2005년 글로벌 바이러스 동향 및 2006년 전망’ 보고서에 따르면 2005년은 바이러스의 공격은 줄어든데 비해 상위 15개의 위협 중 65%(위협관련 보고 사례 중 거의 1천1백만 건에 해당)를 몇몇 유형의 스파이웨어, 애드웨어, 백도어, 루트킷 또는 봇 기능 등을 비롯한 그레이웨어가 차지함에 따라 지난해는 ‘그레이웨어의 해’라고 보고했다.

 


그레이웨어란 사용자의 허가 또는 인지 없이 컴퓨터에 몰래 설치되어, 특정정보를 추적해 외부로 보고하는 스파이웨어 뿐 아니라, 애드웨어, 인터넷 뱅킹 사고의 주범인 키로그(Keylogger)등을 모두 포괄한다.


이 보고서에 따르면 2005년 새로운 악성 코드 변종의 증가세는 최근 수년간에 비해 다소 완화되고 신종 바이러스 수는 2005년 한 해 동안 꾸준히 유지됐지만 신종 웜과 트로이목마는 소폭으로 증가했다. 또 신종 루트킷은 2005년 가을에 크게 증가했지만 지난 달 신종 루트킷의 출현 속도가 보다 느려진 것으로 나타났다. 이는 부분적으로는 Sony 루트킷 파장에 대한 대응에 따른 것으로 보고 있다.


2005년에는 애드웨어의 새로운 변종에서부터 희생양 PC에 그레이웨어가 설치하도록 하는 교묘한 방법으로 그레이웨어와 관련한 변화가 있었다. 전반적으로 새로운 형태의 애드웨어의 출현은 꾸준한 속도로 이어지고 있지만 새로운 백도어(backdoor), 다운로더, 드로퍼(dropper) 및 기타 트로이 목마 스파이웨어는 2005년 한 해 동안 2배 이상 증가했다.


2005년도의 전반적인 위협 현황에 대한 기타 몇 가지 통계치에 따르면 트로이 목마(27%), 바이러스 또는 웜(25%), 애드웨어(18%), 스파이웨어 트로이 목마(11%), 봇(10%), 스크립트(3%), 루트킷(0.60%), 오피스 매크로(0.60%) 등으로 증가한 것으로 나타났다.

 


트렌드마이크로의 분석에 따르면 네트워크 공유 드라이브로 악성 코드를 반복적으로 검색해 몰래 심어놓는 방법이 바이러스 감염 경로 중 전체의 약 37%를 차지하는 등 가장 많이 공격받은 것으로 나타났다. 또한 취약점 익스플로이트가 전체의 19%나 차지했으며, 대량 메일링 코드의 사용, IRC(Internet relay chat) 및 기본 공유 등은 나머지 사례의 10%에 해당한다. 전파 수단으로 사용되었던 인스턴트 메신저(Instant messenger)는 같은 기간 동안 단 4%만이 사용됐으며, 일반적인 파일 감염과 P2P 네트워크 공유와 같은 다른 모든 방법들이각각 공격 요인의 약 2%를 차지했다.


이와 함께 스팸메일역시 여전히 전 세계 언어 가운데 스팸의 40% 가량이 영어로 제작됐으며 비영어 스팸메일은 20%정도 성장한 것으로 보고됐다.


트렌드마이크로가 작성한 언어 분포 리스트에 가장 최근에 기록된 언어는 스페인어 스팸으로 2004년에 2%에 불과하던 것이 2005년에는 13%로 증가했다. 스팸은 일반적으로 ICT의 성장과 함께 출현하고 있으며 개인, 공공 및 정부 부문에서 적절한 기능이 구현되면 해결될 것으로 기대된다. 또 중국어 스팸이 상당히 감소했다는 점이다. 2004년 9월 중국은 스팸 문제를 인식하기 시작했으며 주요 기업들이 이러한 문제를 해결하려는 노력에 착수했다. 반대로 일본어 스팸은 꾸준히 상승하고는 있지만 이전 연도보다 약간 증가했다.


또한 스팸 내용의 변화로는 2005년에는 상업적 내용을 담은 스팸이 전년 대비 50%가량 감소한 반면 학술ㆍ교육 관련 스팸은 100%까지 증가했으며, 건강 관련 스팸은 70% 가량 감소하였고, 도박이나 게임 등은 22%로 집계되었는데 이는 2004년에 겨우 1%였던 것과는 매우 대조적이다. 이와 유사하게 성인관련 내용도 작년의 6%에서 올해 21%까지 증가했다.


또한 2005년 피싱 URL의 명시적인 표시는 연초에 공격의 76%였던 데 비해 연말에는 13%로 줄어들었다. HTML 형식의 e-메일에 포함된 작성 양식과 스크립트는 각각 전년도보다 3%로 하락, 2포인트 상승했다. 작년 한 해 동안 피싱기법에 있어 이러한 변화와 반전은 희생양 컴퓨터에 대한 사용자 개입 없이 자동 실행을 가능하게 하는 e-메일 취약점들을 조합한 결과로 보여진다.


2005년에는 트렌드마이크로가 ‘스파이 피싱’이라는 신종 공격을 발견했다. 이 공격은 몇 가지 새로운 속임수와 함께 피싱 사기 및 파밍(pharming) 공격 수법을 빌려 온라인 뱅킹, 금융 기관 및 기타 암호 중심 사이트를 공격한다.


트렌드마이크로는 현재의 위협상황과 관련해 2005년에 나타난 경향중 상당수가 계속될 것이라고 전망했다.


특히 그레이웨어와 악성코드간의 경계가 허물어짐에 따라 다양한 그레이웨어의 공격이 2006년에도 이어질 것으로 전망했다.


또한 피셔들(phisher)은 기생 코드가 최신 악성 코드를 제공할 수 있는 기간을 최대한 활용하기 때문에 스파이피싱 보고서는 계속해서 증가할 전망이다.


< 2006년 위협 예측 >

- 피셔들(phisher)은 기생 코드가 최신 악성 코드를 제공할 수 있는 기간을 최대한 활용하기 때문에 스파이피싱 보고서는 계속해서 증가할 것이다.


- 봇은 루트킷을 활용하고, 악용할 수 있는 발견된 취약점 간의 격차를 해소함으로써 향상된 기능을 확보하게 될 것이다.


- 스팸은 다른 현지 언어로 전파되지만 비용을 지불할 수 있는 수익성 높은 곳에 집중하게 될 것이다.


- 갈수록 증가하고 있는 다양한 압축 프로그램들은 악성 코드를 압축하고 암호화하여 검색기 탐지를 피하는 데 이용될 것이다.


- IRC, IM 및 P2P를 비롯한 메시징 프로토콜은 계속해서 방화벽을 통과하고 감염 경로로 악용될 것이다.


- 취약점 윈도우(Vulnerability windows)는 계속 감소되고 있기 때문에 보안 업계가 제공하는 사전 방역 솔루션으로 대응이 가능할 것이다.


- 그레이웨어(grayware)와 악성 코드 간의 경계가 허물어짐으로써 보안 벤더들은 이러한 위협을 제거하기 위해 사용자 권한에 대한 자사의 입장을 강화할 수 있을 것이다.


- 봇 및 봇넷의 증가. 봇 및 봇넷을 이용하는 경우 막대한 불법적 이익을 얻기 때문에 올해에도 봇의 새로운 변종에 대한 탐지 빈도가 증가할 것으로 예상되고 있다.


- 은밀히 우회하는 방식의 증가. 루트킷 및 다른 은밀히 우회하는 기술이 증가할 것으로 예상된다.


- 피싱 기법과 유사한 방식의 스파이피싱 및 타깃 공격의 증가. 피싱과 같은 사회 공학 기법이나 다른 사회 공학 기법은 이용함으로써 사용자 기반에 대한 영향력을 증가시킬 수 있다. 또한 공격자가 원천 정보를 수신하고 장시간 동안 탐지되지 않도록 하는 소규모 타깃 공격이 증가할 것으로 예상된다.


- 악성 코드 작성자들 역시 더 많은 이익을 추구하기 위해 악성 코드에 애드웨어가 포함되도록 하는 방법을 선택하고 있다. 이는 애드웨어가 갈수록 증가하고 있는 최근의 추세를 계속 유지할 것으로 전망된다.


< 2006년 악성코드 감염 예방 수칙 >

올해 다양한 방법으로 나타나게 될 위협에 대해 한국트렌드마이크로는 기업이나 기업 보안관리자 및 일반 개인 사용자를 위한 2006년 바이러스 위협에 대해 몇 가지 예방수칙을 제안했다.

 

▲ 업체 및 기업

- HTTP 검사 수단을 구축=최신 위협들은 웹 프로토콜을 이용해 확산되므로 e-메일 검사 기능과 같이 웹 바이러스 검사시스템을 구현하는 것이 좋다. 어떤 감염 파일이라도 최종 사용자에게 도달되기 전에 위협을 탐지 및 차단함으로써 기업 네트워크 인프라에 새로운 보호 체계를 추가할 수 있다.


- 불필요한 프로토콜이 기업 네트워크로 진입하는 것을 차단=이 중 가장 위험한 것은 인스턴트 메신저, P2P, 통신 프로토콜과 IRC(채팅)이다. 이 두 가지는 봇 마스터를 통해 전파되고 통신할 수 있는 봇 제품의 일환으로 기업 방화벽에서 차단돼야 한다.


- 네트워크에 취약점 검사 소프트웨어를 구축=지속적으로 최신 상태로 유지함으로써 모든 네트워크 취약점에 대한 영향을 최소화하고 이러한 유형의 웜을 통해 감염될 수 있는 위험을 줄일 수 있다.


- 모든 사용자에게 관리자 권한을 제공하지 마라=루트킷의 공격을 차단하기 위해 가장 권장되는 방법이다. 이러한 방식으로 사용자를 제한하기 위해 사용자 정책을 재설계하는 것은 네트워크를 보호하는 가장 유용한 방법이다. 관리자가 사용자로 하여금 관리 권한을 허용하지 않는 경우 공격적인 악성 코드가 시스템 내 바이러스 차단 프로세스를 공격할 수 없도록 하는 추가 이점을 얻을 수 있다.


- 기업 스파이웨어 차단 검사 기능을 구축=스파이웨어는 기업 비즈니스에 대한 위협으로 널리 확산되고 있기 때문에 관리자들은 이를 탐지 및 차단하는 특정 소프트웨어를 구축해야 한다.


- 사용자 교육을 실시=사용자의 인식은 청정 네트워크(clean network)의 핵심이며 관리자들은 지속적인 교육을 실시해 사용자들이 업데이트된 악성 코드 기술에 대한 정보를 얻고 네트워크를 보호할 수 있도록 지원해야 한다. 이러한 교육은 일반적으로 악성 코드 작성자들의 타깃이 될 수 있는 새로운 사용자들에게 특히 중요하다.


▲ 일반 개인 사용자

- 소프트웨어 설치를 요구하는 페이지를 경계=신뢰하지 않는 소프트웨어 공급업체로부터의 웹 페이지를 방문하거나 새로운 소프트웨어를 설치하지 않는다.


- 최신 상태로 업데이트된 바이러스 및 스파이웨어 차단 소프트웨어를 이용해 인터넷을 통해 다운로드한 모든 프로그램을 검사한다.


- 발신자와 상관없이 예상치 못한 이상한 e-메일을 경계=이러한 e-메일 메시지에 포함되어 있는 링크를 클릭하거나 첨부 파일을 절대로 열지 않는다.


- Windows 운영 체제의 ‘자동 업데이트’ 기능을 실행시키고 가능한 빨리 새로운 업데이트를 적용한다.


- 실시간 바이러스 차단 검사 서비스를 보유=업데이트를 수행하고 있는지 그리고 서비스가 실행되고 있는지 정기적으로 모니터링한다.

[박은수 기자(boannews@infothe.com)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지.>