오늘날의 사이버 범죄자들은 예전에 주목받고 싶어 하는 해커들과는 다르다. 그들은 경쟁사의 정보를 빼내거나 신용카드 번호, 이메일, 비밀번호 등과 같은 중요 정보들을 훔치기도 한다. 특히 금전적 이득을 위해서는 개인정보와 사회 공학적 방법 등을 이용해 특정 대상을 표적으로 삼기도 한다. 시만텍의 ‘인터넷 보안 위협 보고서(Internet Security Threat Report)’ 제15호에 의하면 2009년 특정 기업을 겨냥한 표적 공격위협이 증가한 것으로 나타났다.

과거 해킹은 괴짜들의 전유물이었다. 1990년대 초반만 하더라도 해커들은 주목 받고 싶어 하는 컴퓨터 귀재들이 대부분으로, 컴퓨터를 바이러스에 감염시켜 사용자들과 담당부서가 디버깅에 골머리를 앓게 만드는 게 전부였다. 하지만 오늘날의 사이버 범죄자들은 실질적인 범죄행위를 저지르고 있다. 그들은 경쟁사들의 정보를 캐내는 기업일 수도 있고 신용카드번호, 이메일 또는 비밀번호와 같은 소중한 데이터를 훔치는 국제 범죄조직일 수도 있다.

특히 지적 재산, 콘텐츠, 아이디어 등 정보의 가치로 정의되는 오늘날의 정보 경제(Information Economy) 환경에서 사이버 범죄자들은 그 어느 때보다도 기업의 기밀 정보를 빼돌려 금전적 이득을 취하기 위해 열을 올리고 있다. 심지어 공격자들은 표적으로 삼은 기업의 시스템에 침투하기 위해 소셜 네트워킹 사이트에 널린 개인정보와 정교한 사회 공학적 기법을 이용해 특정 기업의 특정 인물을 겨냥하기도 한다.

실제 시만텍이 2009년 한 해 동안의 주요 사이버 범죄 동향을 조사, 분석한 ‘인터넷 보안 위협 보고서(Internet Security Threat Report)’ 제15호에 따르면 특정 기업을 겨냥한 표적 공격(Targeted attack) 위협이 증가한 가운데 사이버 범죄에 악용되는 공격용 툴킷이 보편화되면서 사이버 범죄가 양산되고 있는 것으로 나타났다. 여기에 최근 사회적 현상으로 떠오른 소셜 네트워킹 서비스(SNS)와 스마트폰의 인기를 노린 새로운 공격들도 급증하고 있는 상황이다.

표적 공격 위협의 증가

가장 눈에 띄는 것은 공격의 양상이 기존의 전방위적인 무작위 공격에서 특정 기업을 겨냥한 표적 공격으로 바뀌고 있다는 점이다. 표적 공격은 기업의 핵심 정보에 접근할 수 있는 특정인들을 속여서 감염된 이메일이나 다른 메시지들을 열도록 하는 정교한 사회 공학적 기법을 이용한다. 또한 일반적인 해킹과 달리 표적 공격은 기업 네트워크에 침투해 오랫동안 잠복하면서 기업의 기밀정보를 빼내도록 설계된다. 이러한 표적 공격은 주로 대량의 개인정보 유출을 수반하는 대규모 데이터 침해사고에서 발견된다.

최근에는 전 세계 에너지 회사들을 대상으로 한 표적 공격용 웜 바이러스가 발견돼 충격을 주기도 했다. ‘스턱스넷(Stuxnet)’으로 명명된 이 바이러스는 폐쇄망으로 운용되는 원자력, 전기, 철강 등 기간산업의 제어시스템에 침투해 작동 교란을 유도하는 명령코드를 입력, 시스템을 마비시키는 악성코드로 주로 기업이나 국가와 같은 산업제어시스템을 공격한다. ‘다이하드4’의 영화 속 시나리오가 이제는 더 이상 허구가 아닌 현실로 다가온 셈이다.

이 같은 표적 공격은 기존의 시그니처 기반 악성 코드 탐지기술을 피하도록 설계되어 있기 때문에 공격을 방어하기가 어렵다. 전통적인 보안 솔루션은 보호기능을 제공하기 위해 사전에 해당 악성 코드를 포착해 분석해야 하기 때문이다. 시만텍의 경우 1억대 이상의 고객 컴퓨터 정보와 시만텍 ‘글로벌 인텔리전스 네트워크(Global Intelligence Network)’가 제공하는 정보를 기반으로 75% 이상의 악성코드가 50명도 채 안되는 사용자들을 공격하고 있다는 결론을 얻었다. 이 같은 통계는 사이버 위협이 국지적 형태의 표적 공격 형태로 진행되고 있고 따라서 이러한 악성 코드 공격에 대비하기 위해서는 기존 시그니처, 휴리스틱 및 행위 기반 보안기술을 보완해주는 평판(Reputation) 기반의 보안 접근법이 필요함을 시사한다.

공격용 툴킷의 보편화로 악성코드 급증

이와 함께 사이버 범죄용 툴킷을 통해 초보자들도 손쉽게 시스템을 공격하고 정보를 빼돌릴 수 있는 악성코드를 만들 수 있게 되면서 사이버 범죄가 급증하고 있다. 지하경제(Underground Economy)에서 사이버 범죄에 이용되는 공격용 툴킷을 통해 초보자들도 손쉽게 데이터 및 다른 개인정보를 훔칠 수 있도록 악성 코드를 설계하고 생성할 수 있다. 이러한 툴킷 중 하나인 제우스(Zeus)는 700달러 내외에 구입할 수 있지만 일부 포럼에서는 무료로 제공하고 있다.

이에 따른 부작용은 매우 심각하다. 사이버 범죄자들이 수백만개의 악성코드 변종을 만들어내고 있기 때문이다. 2009년 한 해 동안 시만텍은 제우스 툴킷에 의해 생성된 9만여 종의 바이너리 파일들을 탐지했다.

시만텍이 평판 기반 탐지기술을 통해 고객을 보호한 위협 인스턴스들 중 57%가 컴퓨터 한대에서만 발견된 싱글톤(Singleton)에 해당했다. 따라서 시그니처 방식에 의존하는 기존의 보안 소프트웨어만으로는 이 모든 변종을 다 탐지하기란 거의 불가능하기 때문에 휴리스틱, 행위 기반 및 평판 기반 보안 기술을 통해 기존의 탐지 기술을 보완할 필요가 있다.

초보 해커들의 사이버 범죄 진입장벽이 낮아지고 있다는 점은 기밀 정보를 유출시키는 악성코드의 증가에서 분명하게 나타나고 있다. 기밀정보 해킹을 위해 원격접속 기능을 갖춘 보안위협 비율은 2008년 83%에서 2009년에는 98%로 증가했으며 사이버 범죄자들 사이에서 공격용 툴킷이 인기를 끌면서 새로운 경쟁과 비즈니스 모델들이 등장하고 있는 상황이다. 예를 들어 스파이아이(SpyEye) 키트는 정보 해킹 기능 외에도 제우스 설치여부를 탐지해 해당 소프트웨어를 발견하면 이에 대한 통신을 차단하는 기능도 갖추고 있다.

소셜 네트워킹 서비스를 겨냥한 공격 증가

사용자들은 신뢰하는 사이트에서 자신의 컴퓨터에 코드를 실행하려 하면 이를 쉽게 승인하거나 이 사이트에서 내려 받은 파일은 아무 의심 없이 열어보는 경향이 크다. 더구나 일단 감염되고 나면 사이버 범죄자들이 악성 프로그램을 배포하는 진원지로 사용할 수 있으며 피해 대상의 인맥을 통해 공격을 빠르게 확산시킬 수 있기 때문에 공격자들은 사용자 정보를 훔쳐내거나 대규모 공격을 수행할 수도 있다.

특히 최근 소셜 네트워킹 서비스가 사이버 범죄자들에게 강력한 공격 매개체로 인기를 끌고 있는 이유는 소셜 네트워킹 서비스가 온라인 범죄활동에 가장 좋은 표적이 되는 사용자 수와 사용자간의 높은 신뢰도 등 두 가지 요건을 모두 충족해 소셜 네트워킹 서비스를 통해 악성 코드나 악성 링크를 손쉽게 퍼뜨릴 수 있기 때문이다.

예를 들어 공격자들이 소셜 네트워킹 웹사이트에서 발송하는 메시지와 유사한 스팸 메시지를 만들어 전송하게 되면 대부분의 사용자들은 별다른 의심 없이 메시지 상의 URL 링크를 클릭해 공격자들이 만들어 놓은 악의적인 웹사이트를 방문하게 된다. 또한 친구, 지인 간의 친밀한 인간관계로 이어지는 소셜 네트워킹 서비스의 특성상 사용자들의 스팸 메시지에 대한 의심이 다소 느슨하다는 점 역시 공격 증가의 주요 원인으로 분석된다.

시만텍이 파악한 소셜 네트워킹 서비스에 대한 공격 유형은 다음과 같다.

• 가짜 초대: 소셜 네트워킹 서비스의 인지도를 이용, 가짜 초청장을 개발해 사용자들에게 메시지를 발송, 악의적인 스팸 웹사이트로 유도
• 계정 통합: 알림 메시지를 사칭해 사용자에게 계정 통합을 내세워 개인정보 탈취
• 사진 관련 댓글: 합법적인 소셜 네트워킹 웹사이트의 사진 관련 댓글 알림창을 만들어 사용자에게 전송하고 메시지 상의 URL 링크를 클릭해 스팸 웹사이트로 이동하도록 유도   
• 애플리케이션 정보: 소셜 네트워킹 웹사이트에서 제공되는 인기 게임 등의 정보를 알려준다고 위장
• 악성코드 유포: 악성코드를 퍼뜨리기 위한 다양한 스팸 메시지 등장. 일례로 소셜 네트워킹 서비스 툴바 다운로드 안내 메시지로 가장한 트로이목마 바이러스가 탐지되기도 함
• 개인 사생활보호 및 보안 업데이트: 개인 사생활보호를 위해 개인정보 관리 실태에 대한 조사가 필요하다고 속이며 개인정보 요구
• 가짜 설문조사: 소셜 네트워킹 서비스 사용자 대상 설문조사로 위장한 메시지를 통해 사용자들에게 개인 정보 공유를 요청하거나 스팸 웹사이트로의 방문을 유도 

이러한 공격 방법을 통해 사이버 범죄자들은 자신이 공격 타깃을 찾아 나서지 않고도 사용자들이 스스로 공격에 걸려들도록 만들고 있다.

모바일 보안위협의 대두

모바일 기기의 활용도가 지속적으로 증가하면서 모바일 기기와 그 이용자들도 웜 바이러스 및 스파이웨어 등 잠재적으로 해로운 불법 소프트웨어의 주요 공격 목표로 부각되고 있는 상황이다. 특히 오늘날의 모바일 기기는 공격의 타깃일 뿐만 아니라 악성 코드의 배포 매개로 활용될 수 있다는 점에서 각별한 주의가 요구되고 있다.

IDC에 따르면 올 연말까지 모바일 기기 출하량은 55% 증가할 것으로 예상되며 가트너도 동기간 내 12억명의 인구가 인터넷 접속이 가능한 휴대용 전화를 사용하게 될 것이라고 전망하고 있다. 2011년에도 이 같은 성장이 지속될 것으로 예상됨에 따라 기업 및 개인 소비자 모두 안전하게 모바일 기기 및 기기 상의 중요한 정보를 효과적으로 보호, 관리해야 하는 과제에 직면하고 있다.

전통적으로 사이버 범죄는 모바일 기기 보다는 수확이 큰 PC에 집중되어 왔다. 모바일 기기를 겨냥한 보안 공격의 가장 큰 장애물은 뚜렷한 시장 리더의 부재였다. 이로 인해 공격자들은 각각의 플랫폼 마다 다수의 공격을 감행함으로써 성공률을 높여야 했다.

그러나 IDC에 따르면 올 연말까지 안드로이드 및 애플의 iOS 디바이스가 전 세계 시장에서 31%를 차지할 것으로 전망된다. 이렇게 소수의 모바일 플랫폼이 시장을 주도하게 되면 2011년에는 모바일 기기를 겨냥한 보안 공격이 증가할 것으로 예상된다. 이미 시만텍은 올해 모바일 위협의 증가세를 인지했으며 모바일 분야 전문업체인 ‘모카나(Mocana)도 설문조사 결과 응답기업의 65%가 모바일 기기를 겨냥한 보안 공격에 대비에 인력을 늘려야 한다고 대답했다.

철저한 보안 의식만이 해결책

앞서 살펴봤듯이 이제 해커들에게 ‘얼마나 많은 사람을, 기업을 공격했는가’는 별로 중요한 문제가 아니다. ‘어떻게, 얼마나 교묘하게 사용자를 속일 수 있는가’ 그리고 ‘얼마나 중요한 정보를 몰래 훔쳐낼 수 있는가’가 핵심이다. 과거에 대부분의 공격자들이 시도할 수 있는 방법은 피싱 웹사이트 주소나 악성 코드 첨부 파일이 들어있는 이메일을 보내는 것에 불과했다.

하지만 이제 공격자들은 특정 기업을 겨냥해 공격하거나 인기가 높은 웹사이트를 공격해 그 안에 숨어 있다가 사용자가 알지 못하는 사이에 PC를 감염시킨다. 또한 SNS와 모바일 기기를 겨냥한 보안 위협들도 새롭게 떠오르고 있는 상황이다. 

현 시점에서 가장 필요한 것은 기업과 사용자들의 보안의식 강화다. 수백만 대의 PC를 동시에 감염시키는 눈에 보이는 공격이 사라지면서 전반적인 보안에 대한 인식은 점점 낮아지고 있다.

그리고 이로 인해 공격자들은 더욱 쉽게 개인정보를 빼내갈 수 있는 악순환의 고리를 형성한다. 사용자를 속이는 기술이 그 어느 때보다도 정교해지는 만큼, 사용자의 철저한 보안 의식만이 소중한 디지털 자산을 지켜낼 수 있다.

<글 : 윤광택 시만텍코리아 이사(Patrick_Youn@symantec.com)>

[월간 정보보호21c 통권 제124호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>