1인 체제의 미디어와 커뮤니티를 형성해 실시간으로 다양한 정보를 공유하고 소통할 수 있는 마이크로 블로그 서비스인 SNS가 전 세계의 수많은 사람들에게 폭발적인 호응을 얻고 있는 가운데 이용자를 대상으로 하는 악의적인 공격 형태가 지속적으로 등장하고 있어 문제가 되고 있다.

특히 SNS는 아이폰과 안드로이드폰 등 각종 스마트폰의 수요 급증과 맞물려 활용 범위가 웹에서 모바일까지 점차 확대되고 있다. 이는 다양한 인맥채널을 통해 새로운 정보가 신속하게 전파될 수 있는 기반이 충족됐다는 것을 의미한다. 이러한 이유로 SNS는 악의적인 의도를 가진 사이버 범죄자들에게 새로운 공격 매개체로 주목을 끌고 있으며 주요 표적이 되는 조건이 충분히 성립돼 있다고 할 수 있다.

이렇듯 SNS가 사이버 범죄자들에게 표적이 되는 것은 세계적으로 많은 이용자가 사용하고 있으며 신속하게 정보를 전파할 수 있고 이용자들간에 신뢰도가 구축이 돼 있다는 점이다. 또한 Short URL 등의 변형 주소를 사용할 수 있고 사회 공학적 기법을 사용하는 것이 용이하며 사진이나 동영상 파일의 링크 클릭을 유도할 수 있다는 것이다.

원유재 한국인터넷진흥원(KISA) 인터넷정책단장은 SNS의 장점뿐만 아니라 단점도 미리 인식하고 사용해야 안전하고 유용하게 이용할 수 있다고 이야기한다.

원 단장은 “SNS 사용자의 증가에 비례할 만큼 역기능을 이용한 악성행위도 증가하고 있어 사용자 스스로 이런 역기능을 잘 숙지해야 한다”면서 “특히 최근 들어 국내에서도 사용자가 급증한 트위터의 경우, 여러 가지 역기능이 확인되고 있어 주의가 필요하다”고 강조했다.

트위터의 경우 140자 이내의 짧은 글을 통해 빠르게 의견을 나눌 수 있다는 특징을 가지고 있다. 140자의 한계로 인해 인터넷 정보를 전달할 때 URL을 줄여주는 서비스(Short URL Service)가 많이 이용되고 있지만 이 경우 실제 URL을 확인할 수 없어 피싱 사이트 URL이나 악성코드가 담긴 URL이 전달될 수도 있다는 것이다. 이런 역기능은 DDoS나 악성코드 전파를 위한 수단으로 이용되기도 한다. 최근엔 트위터를 DDoS 공격의 명령서버로 이용한 사례가 나타나기도 했다.

SNS, 악성코드 소통 창구로 악용돼

최근에는 SNS의 대표적 서비스인 트위터와 페이스북 내용으로 위장한 형태가 국내에서 발견되기도 했다. 사용자 암호 변경 내용이라며 마치 트위터와 페이스북에서 공식적으로 발송한 이메일처럼 위장해 악성 스크립트 코드(index.html)를 첨부, 국내에 유포된 사례가 있었다.

첨부된 html 파일들은 모두 악의적인 스크립트 코드로 구성돼 있었고 일반 사용자는 코드의 악성유무를 판단하기 어렵도록 부분적으로 난독화(암호화)돼 있었으며 첨부파일을 수신한 사용자가 아무런 의심 없이 무심코 파일을 실행할 경우 잠재적인 보안 위협에 노출되도록 만들어져 있었다.

지난 6월에는 메일 본문을 트위터 화면처럼 스킨을 조작한 형태가 발견됐는데 이메일 본문에 트위터 URL 주소처럼 위장된 링크 주소를 통해 사용자의 클릭과 특정 사이트를 방문하도록 유도하는 형태였다.

파일이 링크된 곳은 트위터 주소가 아니라 악성코드가 존재하는 또 다른 사이트였다. 또한 미국의 유명 영화배우인 안젤리나 졸리(Angelina Jolie)로부터 페이스북 초대 내용처럼 위장한 형태가 발견되기도 했다. 이외에도 트위터 사용자들을 대상으로 DM(Direct Message) 쪽지 기능을 악용한 피싱(Phishing) 메시지가 지속적으로 전파되고 있다.

문종현 잉카인터넷 대응팀장은 “가장 근래에 목격되고 있는 공격 유형은 허위 사실을 SNS나 불특정 다수의 E-Mail 주소 등으로 무차별 배포하며 인터넷 사용자들이 최대한 신뢰할 수 있도록 위장하고 현혹시킬 수 있는 문구나 이미지 등을 사용하고 있다”며 “수신자로 하여금 무심결에 유해성 내용을 직접적으로 실행하도록 유도하는 방식이 사용되고 있다”고 말했다.

트위터 쪽지(DM) 기능을 통해서 개인정보 수집 및 인터넷 광고, 악성코드 유포 목적으로 URL 전파가 지속적으로 증가하고 있는 추세이므로 이러한 유사 내용을 쪽지로 받는 경우 URL 주소를 클릭하기 전에 세심한 주의가 필요하다는 것.

문 팀장은 “트위터 사용자가 로그인을 하게 되면 계정과 암호가 외부로 무단 유출돼 또 다른 Follower들에게 해당 광고 쪽지를 발송하는 가해자가 될 수 있으므로 이와 같은 내용을 접하게 되면 보낸이에게 유해성 및 관련 내용을 전달해 트위터 암호나 계정을 신속하게 변경하도록 권고해 주는 것이 안전하다”고 강조했다.

미투데이 SNS를 이용한 악성코드 유포 사례 발견

윈도우 업데이트 파일로 위장한 악성 DLL 파일이 추가 악성코드를 다운로드해 새로운 좀비PC들을 양산해내고 있으며 국내 사용자가 대다수를 차지하는 미투데이를 통해 악성코드를 유포하는 사례가 처음으로 발견됐다.

현재까지 SNS를 통한 악성코드 유포는 주로 해외의 트위터나 페이스북 등을 중심으로 이뤄졌으나 국내 사용자가 대다수를 차지하는 미투데이를 통해 악성코드를 유포한 사례로는 이번이 처음이다. 특히 이번에 유포된 악성코드는 감염 PC를 좀비PC로 만들어 공격자의 추가 공격 명령을 기다리며 악성코드를 다운로드 하는 서버가 국내에 위치하고 있는 것으로 파악됐다. 이외에도 증거 인멸을 목적으로 악성코드 자신을 삭제하는 기능과 좀비PC들을 관리하기 위한 C&C(Com mand & Control) 서버가 국내 웹 하드 사이트의 게시판인 것으로 드러나 주목할 필요가 있다.

이상희 이스트소프트 알약분석팀장은 “이번에 유포된 악성코드들은 최근에 제작된 신종 악성코드로 보여지며 감염 PC들을 좀비PC 상태로 추가 공격 명령을 내려 받을 수 있다”며 “토종 SNS서비스를 통해 악성코드가 유포된 첫 사례이고 향후 이를 모방한 공격 방법도 증가할 것으로 보여 실시간 감시가 제공되는 최신의 백신을 꼭 사용해 이를 예방해야 한다”고 강조했다.

SNS로 군 기밀 정보까지 줄줄 샌다

수많은 정보가 범람하고 있는 SNS를 통해 개인정보가 손쉽게 타인에게 노출될 수 있으며 군 기밀 같은 중요 정보가 새어나갈 수도 있다.

25살의 로빈 세이지(Robin Sage)는 자신의 페이스북과 링크드인(Linkedin)에 사진과 함께 자신을 MIT를 졸업한, 10년 넘게 활동한 보안  전문가라고 소개했다. 또한 그녀는 미국 해군 네트워크 전투지휘부대(Naval Network Warfare Command)에 근무하고 있다고 올려 놓았다.

그녀의 화려한 이력과 미모에 한달도 채 안돼 국방부, 국가안보국(NSA) 등을 포함한 정부 및 기업의 보안 전문가 300명 이상이 친구로 연결됐다. 이들은 모두 보안에 종사했지만 정작 자신의 정보보호에는 무심했다. 이들은 그녀에게 저녁을 제의하거나 논문을 요청하기도 했고 이들의 개인정보는 고스란히 드러났다. 결국 이들은 개인 정보는 물론, 기밀 정보를 유출하기에 이르렀다.

한 예로 그녀의 친구인 한 군인은 아프카니스탄 산악 초소에서 정찰 임무를 맡고 있는 자신의 소속 부대 사진을 올렸다가 이로 인해 부대 위치가 노출됐다. 사진에 카메라에서 나온 GeoIP 데이터가 들어 있었기 때문이다.

그러나 진짜 이야기는 여기서부터 시작된다. 그녀는 사실 톰 라이언(Tom Ryan)이라는 남성이 만들어낸 허구의 인물이다. ‘Provide Security‘라는 회사를 운영하고 있는 이 보안전문가는 SNS를 통한 정보 유출의 실태를 알아보기 위해 가짜 SNS 계정을 만들어 실험을 한 것이다.

사진은 성인 사이트에서 가져온 것이다. 그는 친구로 연결된 이의 82%가 남성인 것으로 볼 때 외모가 영향을 미친 것 같다는 의견을 내놓았다.

그는“SNS를 통해 수많은 정보가 유출되고 있다”며 “사용자들은 사진을 올리는 것과 같은 행동이 무해하다고 생각하지만 이로 인해 민감한 정보를 노출시킬 수 있다는 것을 알지 못한다”고 지적했다.

<글 : 김태형 기자(is21@boannews.com) / 호애진 기자(is@boannews.com)>

[월간 정보보호21c 통권 제121호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>