• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

새로운 보안위협 동향 기업이 해야할 일은? 2007.03.03

<윤광택 시만텍코리아 제품기술본부 차장>

우리는 전자상거래, 브로드밴드, 웹 등의 분야에서 눈부신 성장을 목격하고 있으며, 모든 현대인들은 디지털화된 삶을 누리고 있다. 디지털 환경은 우리의 모든 일상에 영향을 미치며, 심지어 우리가 연결돼 있지 않다고 생각하는 상황에서도 실제로는 이어져 있는 경우가 많다.


디지털라이프의 시대가 열리면서 개인 사용자, 중소기업, 대기업 등 그 환경을 불문하고 시스템 정보, 기밀문서, 인증 정보, 신용카드 정보, 은행계좌 정보 등 중요 정보를 노려 금전적 이득을 얻으려는 시도 또한 갈수록 늘어나고 있다.


시만텍이 지난 3월 발표한 ‘인터넷 보안위협 보고서’를 보더라도 이제 사이버 범죄가 오늘날의 가장 큰 보안위협으로 떠오르고 있음을 증명하고 있다. 이번 보고서에 따르면, 기존 보안위협들이 복합적 위협, 웜과 같이 그 활동이 눈에 띄고 요란한 성격이었던 것에 반해, 이제는 조용하고 추적이 어려우며, 매우 집중화된 공격이 주를 이루고 있다. 즉, 전통적인 공격이 데이터를 손상시키는 것을 목적으로 했다면, 이제 데이터를 훔쳐내 금전적인 이득을 얻고자 하는 공격이 주요 경향이 돼가고 있는 것이다.


스텔스 성격을 띤 악성 코드의 증가


2005년 하반기 동안 발견된 악성 코드 샘플 중 기밀정보에 대한 위협으로 분류되는 악성 코드의 비율은 80%로, 전년 동기 대비 54%나 증가한 수치를 나타냈다.


또한, 모듈형 악성 코드도 증가했는데, 2005년 7월 1일부터 12월 31일까지 모듈형 악성 코드는 악성 코드 샘플 상위 50개 중에서 88%를 차지했으며, 지난 보고서 통계인 77%에 비해 11% 증가했다. 이러한 모듈화된 악성 코드는 실제 악성 코드 자체가 가진 능력은 제한돼 있는 반면, 더욱 심각한 위협을 끼칠 수 있는 다른 코드를 다운받는 기능을 가졌기 때문에 그 위험성이 높다. 이 모듈형 악성 코드는 중요한 정보를 유출시키게 되며, 명의도용, 신용카드사기 및 다른 금융범죄 활동에 활용될 가능성이 매우 높다.


사용자의 컴퓨터가 일단 악성 코드에 감염되고 나면, 악성 코드는 자신의 존재를 드러내지 않고 사용자가 눈치채지 못하도록 활동을 개시한다. 악성 코드는 사용자의 컴퓨터상에서 자신의 존재를 은폐하기 위해 다양한 테크닉을 사용한다.


봇과 봇 네트워크의 ‘붐’ 사이클


봇(Bot)에 감염된 컴퓨터들은 공격자의 지휘를 통해 일괄적인 움직임을 띠게 되며, 그 수는 수백 수천까지 이를 수 있다. 일단 감염된 컴퓨터는 추가로 감염시킬 수 있는 또 다른 컴퓨터를 찾아내 서비스 거부(Dos : Denial of Service) 공격을 시행할 수 있게 된다. 예를 들어 기업 방화벽 외부에서 감염된 컴퓨터가 네트워크를 통해 내부에 연결되는 상황처럼 네트워크상에서 단 하나의 컴퓨터가 감염된 경우라도 이 컴퓨터는 악성 코드가 기업 내부 시스템 전체에 퍼지도록 만들 수 있다.


보안관리자들은 포트 블로킹과 같은 조치를 통해 봇과 봇 소유자 간의 커뮤니케이션을 차단해왔다. 하지만 이러한 노력의 결과로 공격자들은 다시 봇 네트워크를 구축하고 컨트롤하기 위한 새로운 방법을 고안해내고 있다. 공격자들은 다른 커뮤니케이션 채널을 사용하거나 캡처/삭제를 방지하기 위한 암호화를 활용하기도 한다.


이러한 공격자와 보안관리자의 끝없는 싸움은 봇 활동의 주기적인 증감을 초래하고 있으며, 이러한 현상을 봇 및 봇 네트워크의 ‘boom-and-bust’ 사이클이라 부른다. 

현재는 봇 네트워크의 성장이 잠시 정체된 상태로 보이지만, 시만텍은 조만간 새롭고 더 효과적인 공격경로가 개발될 것으로 전망하고 있다. ‘인터넷 보안 위협 보고서’의 ‘취약점 경향’에서는 웹 애플리케이션의 취약점과 웹 브라우저의 취약점이 증가하는 현상에 대해 언급한 바 있다.


이러한 취약점은 봇 및 봇 네트워크의 급격한 증가를 초래할 가능성이 충분하다. 예를 들어 웹 브라우저의 취약점은 운영체제 및 애플리케이션의 취약점을 악용, 봇과 같은 악성 코드를 설치하기 위한 통로로 활용될 수 있다. 웹 애플리케이션과 웹 브라우저 취약점의 잠재적인 활용가능성을 고려했을 때, 웹상의 보안 취약점이 봇 네트워크의 급격한 증가 원인이 될 가능성이 있다.


또한, 웹 애플리케이션과 웹 브라우저 취약점을 대상으로 하는 공격은 HTTP 프로토콜을 통해 수행되는 것이 일반적이다. 따라서 이러한 공격은 네트워크 경계지점의 필터링 방식을 우회할 가능성도 있다. 또, 웹 애플리케이션에 대한 공격이 매우 정교해지면서 웹 애플리케이션을 타깃으로 하는 자기복제형 악성 코드의 개발 노력이 확산되고 있다.


인스턴트 메시징 통해 배포되는 피싱 메시지와 악성 코드의 위협


기업이 변화하는 보안 환경에 대응하기 위해 보안조치를 강구하는 동안, 공격자들은 보안망을 뚫기 위한 새로운 방법과 전략을 끊임없이 모색하고 있다. 그 한 예가 바로 인스턴트 메시징(IM)을 통해 전파되는 악성 코드의 사례다.

인스턴트 메시징(IM) 환경은 매우 빠르게 성장하고 있으며, 2005년의 경우 개인 사용자와 기업 사용자를 합하면 약 3억 명에 이를 것으로 추산된다. 또한, 올해 말에는 IM 트래픽의 규모가 이메일 트래픽을 넘어설 것으로 전망되고 있다.


인스턴트 메시징은 악성 코드를 배포하기에 좋은 경로 가운데 하나다. 하나의 컴퓨터가 악성 코드에 감염되면, 해당 컴퓨터의 주소록에 등록된 모든 사용자에게 메시지가 전송되므로 신속한 확산이 가능해지기 때문이다. 또한, IM을 통해 연결된 사용자들은 서로를 신뢰하는 경향이 강해 공격자들이 메시지를 보낼 때 주로 사용하는 사회공학적인 기법이 유용하게 먹혀들 수 있다.

 


이렇듯 다양한 IM 클라이언트와 네트워크가 활용되면서 새로운 공격경로가 개발될 것으로 전망된다. 또한, 내부적인 IM 네트워크를 구축한 기업이 공공 IM 네트워크와 다시 연결되면서 네트워크의 복잡성 증대와 함께 연결된 사용자수가 급격하게 증가할 것이 분명하며, 그 결과로 악성 코드의 타깃이 될 수 있는 IM 환경의 취약점은 계속 발견될 것이다.


이로 인해 IM 서비스 환경에서 피싱이 점점 더 중요한 보안문제로 떠오르게 될 것으로 예측된다. IM 커뮤니케이션의 특성을 감안했을 때, IM 사용자들에게 특히 위험한 공격방식은 바로 ‘피싱’이다. IM 사용자들은 연락처 목록에 등록된 사람들을 신뢰하는 경향이 매우 강해 IM 커뮤니케이션이 악의적인 목적으로 이용되고 있다는 것을 눈치채지 못할 가능성이 높기 때문이다.


지금까지 주로 이메일, 특히 스팸 메시지를 통해 시도된 특징에서 벗어나 2005년에는 실제로 인스턴트 메시징과 같은 새로운 전달 메커니즘을 활용하려는 시도가 목격되기 시작했다. 비록 발견된 것은 2005년 중 4차례로 매우 미미한 수준이지만, 이는 공격자들이 IM의 잠재적인 가능성을 인식하기 시작했다는 징후로도 해석할 수 있다.


Win32 바이러스와 웜 변종 위협의 지속적 강세


2005년 하반기 동안, 시만텍은 10,992종의 Win32 바이러스 및 웜을 추가로 발견했다. 이 숫자는 2004년에 7,360건과 비교해 49%나 증가한 결과다. 2004년 이후 통계가 급격히 증가한 것은 공격자들이 금전적 이익을 노리고 봇 기능을 내장한 Win32 웜을 지속적으로 개발하고 있기 때문인 것으로 보인다.


Win32 바이러스와 웜의 수가 지속적으로 증가하고 있지만, 새로운 Win32 코드군은 2005년 하반기에 감소하는 추세를 보였다. 새로운 코드군은 지난 4회의 보고서 발표기간 동안 일정한 수준을 유지해 왔다. 하지만 이번 기간에는 새로운 코드군의 수가 170개에서 104개로 39%나 감소했다. 이러한 사실은 과거와 달리 동일한 악성 코드군 내에서 많은 변종이 생성되고 있음을 의미한다.


2005년 12월 31일을 기준으로 Win32 바이러스 및 웜 변종의 수는 39,257개를 넘어섰다. 시만텍은 2005년 한 해에만 21,830개 이상의 Win32 변종을 발견했다. 따라서 Win32 바이러스 및 웜의 수는 2005년 한 해 동안 2배 이상 증가한 셈이며, 이러한 추세는 앞으로 당분간 악성 코드의 지배적인 경향으로 유지될 것으로 보인다.


웹 애플리케이션 및 웹 브라우저 취약점 증가


2005년 7월 1일부터 12월 31일까지의 기간 동안, 시만텍이 확인한 모든 새로운 취약점은 총 1,896건이었다. 2005년 12월 하반기 동안, 시만텍은 45%의 새로운 취약점을 매우 심각한(Highly Severe) 수준으로 분류했으며, 이는 상반기의 49%보다 감소한 결과다. 동시에, 중간 수준의 심각성(Moderately Severe)을 갖는 취약점은 상반기의 48%에서 52%로 증가했다.


취약점 수가 증가하는 것과 더불어 더욱 심각한 것은, 이중 웹 애플리케이션 및 웹 브라우저 취약점이 차지하는 비율이 점차 늘어가고 있다는 점이다. 2005년 7월부터 12월까지의 기간 동안 보고된 취약점 중 69%가 웹 애플리케이션과 관련된 것으로 확인됐다. 이것은 2005년 상반기의 수치인 60%와 비교했을 때 15% 증가한 결과다. 참고로, 2004년 하반기의 수치는 49%였다. 웹 애플리케이션 취약점의 수가 증가함에 따라, 시만텍은 이러한 취약점이 해커들에게 매우 매력적인 공격수단으로 인식되기 시작한 것으로 예상하고 있다.


웹 애플리케이션은 브라우저를 사용자 인터페이스로 사용하며, 많은 경우 웹 서버 상에서 실행된다는 특성을 갖는다. 웹 애플리케이션과 관련한 보안 취약점은 웹 서버를 통해 인터넷에 쉽게 노출되기 때문에 방화벽과 같은 고전적인 보안대책을 우회하는 공격이 가능하다. 이렇게 해서 하나의 시스템만이라도 침입에 성공하면 공격자는 전체 네트워크에 대한 접근 권한을 얻을 수 있게 되며, 다른 서버에 접근하지 않고도 데이터베이스에 저장된 기밀정보에 액세스하는 것이 가능하게 된다.


웹 브라우저 취약점은 온라인 사기에 활용될 수 있다는 점에서 매우 심각한 보안문제로 취급된다. 브라우저의 보안 취약점은 스파이웨어, 애드웨어의 확산, 악성 웹사이트를 통한 ‘drive-by’ 다운로드 등의 주된 수단으로 이용되기도 한다. 또한, 웹 브라우저의 취약점은 해커들이 방화벽, 라우터 등의 고전적인 경계 보안 디바이스를 우회할 수 있는 경로를 제공한다. 개인 사용자와 기업 환경의 보안 경계가 점차 강화되고 있는 상황에서, 웹 브라우저의 취약점은 해커들의 가장 쉬운 공격수단으로 떠오르고 있다.

 


서비스 거부(Denial of Service) 공격의 급격한 증가


시만텍은 2005년 하반기 동안 하루에 1,402개의 서비스 거부 공격을 발견했으며, 이는 상반기 통계보다 51%나 증가한 수치다. 이러한 서비스 거부 공격은 인터넷을 통해 중요 커뮤니케이션이 이루어지거나 매출을 올리는 기업들에게 있어 매우 심각한 문제가 되고 있다.


DoS 공격의 급격한 증가는, 지하조직 성격의 공격자 커뮤니티가 리소스를 활용해 보다 조직화된 공격을 수행하기 시작했음을 반증하고 있으며, 이러한 공격의 상당수는 봇 네트워크로 추정된다. 시만텍은 봇 네트워크의 규모가 점점 커지고 조직화되면서, 여기에 기업이 협박에 굴복하기 시작하면서 이러한 형태의 공격이 지속적으로 증가할 것으로 예측하고 있다.


보안에 대한 새로운 접근 방식이 필요하다


이제까지 많은 기업이 보안위협을 한 번에 한 개씩 해결해 왔기 때문에, 이러한 보안위협의 변화는 오늘날 기업들에게 큰 과제로 떠오르고 있다. 이러한 수동적 방식의 대응으로는 운영 효율이 크게 떨어질 뿐만 아니라 심각한 비즈니스 다운타임으로 이어질 수 있는 공격에 노출될 가능성이 높아질 수밖에 없다.


예를 들어 패치 관리를 살펴보자. 과거에는 취약점 발견과 이에 대한 공격발생 간에는 몇 달의 시간차이가 있었다. 따라서 취약점에 대한 패치를 개발, 배포하고 이를 기업이 테스트해서 도입하는데 어느 정도 여유가 있었다.

 


그러나 오늘날의 상황은 다르다. 시만텍 ‘인터넷 보안 위협 보고서’에 따르면, 2005년 하반기 동안 취약점 발표와 이에 대한 공격 코드가 나타나는데 평균 6.8일의 시간차가 존재했는데, 이에 반해 취약점 발견과 보안 패치 배포 사이에는 49일간의 차이가 있어 공격자들이 취약점을 공격할 충분한 여유를 주고 있다. 그리고 패치가 배포될 때까지 사용자 및 관리자들은 정식 패치가 아닌 예비로 마련된 방안을 사용하고 있었으며, 따라서 이 시기에는 네트워크가 감염위험에 노출돼 있을 수밖에 없었다.


인터넷에서는 하루 평균 1억 5천만 개의 피싱 이메일이 전송되고 있으며, 매달 14,000가지의 새로운 공격방법이 시도된다. 공격자들은 가짜 웹 사이트를 만들어 사용자들이 금융정보를 입력하거나 기부금을 입금하도록 유도한다. 사이버 범죄의 일종인 신분도용만 따져도, 이로 인해 발생하는 시간 및 금전적 비용은 엄청난 수준이다. 美 연방거래위원회에 따르면 매년 신분도용으로 인해 기업이 입는 피해는 480억 달러에 달하고 있으며, 지난해의 경우 소비자는 6억 8천만 달러의 피해를 입었다고 한다.


기업이 앞서 언급된 수많은 보안위협들로부터 고객을 보호하고, 신뢰할 수 있는 디지털 환경을 만들어내지 못한다면 경제 전반에 커다란 악영향을 미치게 될 것이다. 소비자가 기업에 대한 신뢰를 상실하는 것이야말로 디지털 세계에 잠재한 가장 심각한 위협이기 때문이다. 따라서 기업이 앞으로 해야 할 일은, 정보가 생성·전송·저장되는 인프라스트럭처의 모든 측면을 보호하는 것이다.

따라서 기업들은 이제 기존의 비효율적이고 수동적인 ad-hoc 방식에서 벗어나 보안에 대한 접근법을 새롭게 해야 한다.

<글: 윤광택 시만텍코리아 제품기술본부 차장>

 

[월간 시큐리티월드(info@boannews.com)]


           <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>