• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

금전적 이익·자신은폐 공격 급증 2007.04.16

안철수硏 <시큐리티대응센터리포트> 통해 분석


최근 발생하는 사이버 공격은 금전적 이익을 취하기 위한 것이 많으며, 철저하게 자신을 은폐해 사용자들이 악성코드 등에 감염됐다는 사실을 알아차리지 못하게 하고 있는 것으로 나타났다.


올해 1분기에 새로 발견된 악성코드와 스파이웨어는 2160개이며 이 중 트로이목마의 비중이 55.4%로 가장 높았다. 트로이목마 중 온라인 게임 사용자 계정을 탈취하는 것의 비중이 42.4%로 여전히 맹위를 떨치고 있다.


안철수연구소(대표 오석주, www.ahnlab.com)가 최근 발간한 <시큐리티대응센터 리포트 3월호>는 올해 1분기 보안 이슈의 특징으로 △금전적 이익을 취하기 위한 기법 △자신을 은폐하거나 보안 제품의 탐지를 우회하는 기법 등이라고 발표했다.


인터넷 송수신 데이터 가로채는 공격 출현


지난해에 이어 올해 1분기에도 예전에 나왔던 바이러스의 변종이 급격하게 늘었다. 델보이 바이러스 변형은 1분기에 약 25종, 바이럿 바이러스는 3종의 변형이 출현했다.


이들은 감염 후 특정 웹사이트에 접속해 온라인 게임 계정을 빼가는 트로이목마나 스팸 메일 발송 시 발신자를 감추는 트로이목마, 팝업 광고를 보여주는 애드웨어 등을 추가 설치해 금전적 이익을 취하는 수단으로 이용되고 있다.


사양세에 있던 전통적 바이러스가 다시 기승을 부리는 이유는 기업 내부 네트워크에 있는 파일들을 손쉽게 감염시켜 피해 범위를 확대하기 위한 것이라고 보고서는 분석했다.


지난 2월에는 인터넷으로 송수신되는 데이터를 가로채 국내 온라인 게임 계정을 빼내는 스파이웨어 ‘코게임(KorGame)’ 변형이 처음 등장해 네트워크보안에 경종을 울렸다.


지금까지 계정탈취는 키보드 입력 단계에서 가로채는 것이었으나 코게임 변형은 인터넷 전송 단계에서 데이터를 유출하기 때문에 고성능 보안 제품이 아니면 차단하기 어렵다.


해당 파일만 제거할 경우 정상적으로 인터넷을 사용할 수 없어 많은 사용자에게 큰 피해를 주었다.


실제로 돈을 탈취하는 트로이목마 등장


실제로 돈을 탈취하는 뱅키(Banki) 트로이목마도 등장했다. 실제 인터넷뱅킹 접속사이트로 가장해 사용자의 개인정보는 물론, 공인인증서까지 빼낸 것.


지금까지 출현한 악성코드는 국내 온라인 게임의 사용자 계정을 빼내 아이템이나 사이버 머니를 탈취하는 등의 피해를 주었지만, 뱅키 트로이목마는 인터넷뱅킹을 가장해 사용자의 금융정보를 빼냈다. 특히 공인인증서는 복사만 하면 다른 곳에서도 사용할 수 있어 매우 위험하다.


보안프로그램의 실행을 종료하거나 보안프로그램 파일을 삭제하는 수법을 사용하는데, 최근 나타나는 악성코드는 더욱 교묘하고 지능적인 기법으로 사용되고 있다.


보안 프로그램의 탐지를 우회하는 것이다. 은폐형 스팸 메일러인 ‘러스톡’은 보안 프로그램이 실행되는 순간 이를 탐지, 우회한다. 온라인 게임 계정을 탈취하는 일부 트로이목마는 안티바이러스의 진단 화면과 음향을 꺼버린다.


루트킷 프로그램을 사용해 자신을 보호하는 국산 스파이웨어가 작년에 3종, 올해 1분기에 2종이 발견됐다.


루트킷은 해커가 네트워크에 몰래 들어가 관리자 접근 권한을 획득해 정보 유출, 컴퓨터 공격 등을 하는 데 사용되던 것이다. 작년부터는 악성 툴바 등에 원하는 프로그램 설치나 삭제 방지, 은폐 등에 이용됐다.


허위 안티스파이웨어 프로그램인 씨씨(CC)는 프로세스와 설치 폴더를 은폐하기 위해 루트킷 드라이버를 설치하는데, 제거 방법을 제공하지 않아 감염 피해가 다수 접수됐다.


웜과 결합한 스파이웨어 등장


올해 나타난 공격 양상은 웜·바이러스가 스파이웨어와 결합한 복합적 악성코드가 나타나고 있는 것이다. 지난 3월 발견된 다운로더인 코게임.48019는 기존 스파이웨어 다운로드 기능에 윈도 취약점을 공격하고 자신을 전파하는 웜의 기능도 가지고 있다.


마이크로소프트의 윈도 관련 취약점은 총 16개로 전년 동기 대비 3배 이상 증가했다. 취약점을 이용한 공격은 주로 웹사이트 해킹 후 악성코드를 배포하거나 악성코드가 포함된 워드프로세서 파일 등을 메일로 보내는 방식으로 이루어진다.


강은성 안철수연구소 상무는 “악성코드가 부당한 방법으로 금전을 취하기 위한 도구로 이용되고 있다. 컴퓨터 보안이 정보뿐 아니라 재산을 지키는 길임을 인식해야 한다”며 “예방을 위해 통합 보안 제품을 사용해야 하며, 실시간 감시 기능을 켜두고 최신 버전을 유지해야 한다”고 말했다.

[김선애 기자(boan1@boannews.co.kr)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>