• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

2011년 글로벌 보안 이슈 되돌아보기 2012.01.27

데이터유출, 스마트폰기반 멀웨어 증가

취약점은 대량 SQL 인젝션 공격으로 이어져...


[보안뉴스 오병민 기자] 2011년을 돌아보면 사이버공격의 경향이 점차 금전 취득을 목적으로 한 공격으로 전환되는 경향을 보였으며, 기술적으로는 양보다 질적인 성장이 드러난 한해로 파악되고 있다. 트렌드마이크로 위협 연구원들이 작성한 보고서에 따르면 2011년은 APT 공격으로 인한 데이터 유출이 가장 심했던 한해였으며 스마트폰 기반 멀웨어 수도 크게 증가한 것으로 전해졌다.


2011년은 APT 공격으로 인한 데이터 유출의 해

엄청난 규모의 정보 및 재정적 손실을 발생시키는 데이터 유출 범죄와의 전쟁에 많은 시간을 투자해 온 보안업계는 2011년의 마지막을 기다리며 안도의 한숨을 내쉬었을 것이다. 연간 위협 보고서에서 트렌드마이크로는 유수의 기업들이 표적화된 데이터 유출공격(APT)에 기업 이미지가 훼손되고 이로 인한 심각한 손해를 입었던 한해라고 밝히며 2011년을 ‘데이터 유출의 해’라고 언급했다.

 

 

스마트폰 기반 멀웨어 기하급수 증가

2011년에는 스마트폰 기반 모바일 위협 수준이 성숙한 단계에 도달했다. 트렌드마이크로 위협 연구원들은 모바일 멀웨어의 양이 엄청난 규모로 증가했으며 특히 안드로이드 플랫폼을 표적으로 한 멀웨어가 급증한 사실을 확인했다고 밝혔다. 가장 악명 높은 안드로이드 멀웨어 변종인 RuFraud와 DroidDreamLight는 수백만 사용자들의 데이터 및 비용 손실을 야기시키며 세간의 큰 주목을 받았다.

 


SNS 인기검색어 활용한 스팸과 사기 극성

2011년은 소셜 엔지니어링과 해킹 전술을 발전시키기 위해 소셜 네트워킹 사이트의 인기 검색어를 활용하여 전 세계 수백만 소셜 네트워커들의 데이터를 훔친 소셜 미디어 스패머와 사기범이 큰 수익을 올린 해였다. 규제기관들은 소셜 네트워킹 사이트로 하여금 사용자의 개인정보를 보호할 수 있는 정책과 메커니즘을 구현하도록 요청하기 시작했다.

 


스팸 및 악성링크 이용한 공격 성행...한국 스팸 3위 불명예

스팸 및 악성링크의 활동이 끊임없이 이어지면서 2011년에도 이런 스팸 등 기존 매개체를 활용한 공격이 성행했다. 트렌드마이크로가 탐지한 전세계 상위 10개 스팸 국가 중 한국이 3위를 차지했다.

 


취약점 양보다 질적인 발전, 취약점은 대량 SQL인젝션 공격 야기

공개적으로 보고되는 취약점의 수가 2010년 4,651건에서 2011년에는 4,155건으로 줄어들긴 했지만, 익스플로잇 공격은 복잡성과 정교함이 발전돼 양보다 질적인 발전이 주목된다. 2011년의 익스플로잇 공격은 표적화되어 있고 독창적이며 우수하게 통제되는 경향을 보였다. 이들 중 가장 주목할 만한 공격은 CVE-2011-3402, CVE-2011-3544 및 CVE-2011-3414와 함께 어도비 리더를 비롯한 어도비 제품 제로데이 취약점이 주요 표적이었다.

 

CVE-2011-3402

MS 윈도우 구성 요소의 취약점으로 공격자들이 취약한 시스템에서 코드를 실행할 수 있도록 허용한다. 스턱스넷2라 불리는 DUQU 멀웨어에도 악용됐다.

CVE-2011-3544

오라클 자바 SE 자바 개발 키트와 JRE의 자바 런타임 환경(JRE) 구성 요소의 명시되지 않은 취약점으로 원격 자바 웹 스타트(Java Web Start) 애플리케이션과 Java 애플릿(applets)이 스크립팅과 관련된 알려지지 않은 매개체를 통해 악성 기능을 수행할 수 있다.

CVE-2011-3414

잠재 공격자가 공격 대상에게 악의적으로 만들어진 웹 요청을 전송할 경우 권한을 상승시킬 수 있는 취약점이다. ASP.NET 사이트의 기존 계정을 통해 임의의 명령이 실행될 수 있다. 이미 마이크로소프트에서 패치가 발표됐지만 아직도 이용되고 있다.

 

이런 취약점은 악성코드 유포와 최악의 대량 SQL 인젝션 공격으로 이어졌다. willysy.com에 대한 공격이 진행되는 시기에 감염된 페이지 수는 8백만 개에 이르며 ASP.NET 사이트를 표적으로 한 공격은 1백만 개의 페이지를 감염시켰다.


정치적 문제 표출하는 핵티비스트들의 공격도 이어져

올해에도 어나너머스(Anonymous), 룰즈섹(LulzSec)과 같은 핵티비스트 그룹은 오퍼레이션 안티섹(Operation AntiSec)이라는 기치 하에 자신들의 존재를 알리고 있다. 그들을 비롯한 전 세계 핵티비스트 그룹들은 다양한 정치적 문제에 불만을 가진 표출하기 위해 대대적 공격을 실시했다.


2011년, 분산형 서비스 거부 공격(DDoS) 공격 실시에 주력하던 핵티비스트들은 이런 공격 대신 그들의 공격 대상을 추적하여 데이터를 훔쳐냈다. 룰즈섹이 해산되었음에도 불구하고 이러한 공격은 계속 이어졌는데 이는 핵티비스트 그룹의 분권화된 특성 때문으로 분석되고 있다.


지난해 감행됐던 가장 유명한 공격은 미국 안보 싱크탱크 스트랫커(STRATFOR) 핵티비스트 공격이다. 이 공격은 2011년 12월 24일 개시됐으며, 신용카드 데이터를 포함한 스트랫퍼 조직 구성원의 일부 개인 식별 정보가 외부에 공개되었다.

 

이 공격으로 6만8천 개의 신용카드 번호(이 중 유효 기간이 만료되지 않은 카드 3만6천 개)와 85만 개의 전자메일 주소, 5만개의 전화번호가 공개됐으며 ‘개인 고객’으로 분류된 조직 구성원들의 목록도 외부에 공개됐다.

 

공격의 배후로 여겨졌던 어나너머스(Anonymous)는 그들의 개입을 부인했고, 룰즈섹(LulzSec)의 리더로 알려진 사부(Sabu)가 공격에 가담한 것이라는 주장이 제기됐다.


사이버범죄 검거, 보안기업과의 협업

마지막으로, 공격적인 사이버 범죄가 늘어나면서 트렌드마이크로는 업계 파트너 및 법 집행 기관과 공조해 사이버 범죄자를 검거하는 몇 가지 전략적 성과를 올렸다고 밝혔다.

 

이런 성과들 중에는 5년에 걸쳐 FBI와의 긴밀한 협력과 해커 추적을 통해 ‘Operation Ghost Click’을 체포한 사례도 포함하고 있다고 전했다. 이번 사건은 FBI가 검거한 가장 큰 규모의 사이버 범죄 중 하나였으며 트렌드마이크로는 검거에 참여한 유일한 보안업체였다고 덧붙였다.

[오병민 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>