트렌드마이크로바이러스 관제 센터인 트렌드랩의 2006년 8월 바이러스 분석자료에 따르면, 최근 파워포인트를 공격하는 보안 위협이 등장했는가 하면 다양한 스파이웨어가 기승을 부리는 등 보이지 않은 다양한 보안위협이 등장하고 있어 주의가 필요하다고 권고했다.
파워포인트 공격하는 보안위협 등장, 또 한번의 제로데이 우려
최근 악성코드 작성자들이 공식적으로 문서화되지 않은 마이크로소프트 파워포인트의 취약점을 악용한 ‘제로 데이(zero-day)’ 공격이 있었다. 이에 트렌드마이크로는 매월 마이크로소프트(MS)의 보안 패치가 발표된 후 며칠 지나지 않아 공격이 발생하는 이 같은 제로데이 공격형태가 수 개월 전부터 이러한 동향이 이어지고 있다고 보고했다.
이번 공격은 MS취약점에서 흔히 볼 수 있는 오래된 기법을 이용한 것으로 보통 MS가 매달 두 번째 화요일에 패치를 내놓고 있으며, 매우 심각한 상황에 한해 비정기 패치를 발표하는 점을 이용한 것.
악성코드 작성자들이 모든 수단을 동원해 취약점을 찾아 내고 매월 업데이트 패치가 발표될 때까지 익스플로이트를 숨겨두고 한달 내내 공격을 활성 상태로 유지함으로써 공격 성공률을 높이고 있다.
이번 파워포인트의 취약점은 최근 5개월 동안 발견된 세번째 취약점으로 코드 실행을 가능하게 만드는 것은 물론, 백도어 프로그램의 설치 및 실행에 악용될 수 있는 드로퍼(dropper)를 포함하고 있어 사용자 시스템의 성능을 약화시킬 수 있다.
이미 지난 5월과 6월에 발표된 파워포인트에 영향을 미치는 2개의 취약점 역시, 모두 악의적 프로그래머가 원격코드 실행을 통해 사용자의 시스템을 완벽하게 조종하는 데 악용될 소지가 있었다.
특히 이러한 파워포인트 취약점은 브라우저 결함이나 최근 급증하고 있는 MS 엑셀 및 워드 익스플로이트 같이 클라이언트측 애플리케이션을 노리는 공격이 늘어나고 있는 추세를 반영한 것으로 앞으로 이러한 위험은 더욱 커질 전망이다.
때문에 보안 관리자는 클라이언트 애플리케이션 익스플로이트를 서버나 핵심 외부 애플리케이션에서 발견된 결함만큼, 심각한 위험 상황으로 인식해야 한다.
이러한 MS 오피스에 대한 위협에 대해 트렌드마이크로는 아래와 같은 위험 완화책과 ‘입증된(tried-and-true)’ 정책을 통해 이러한 익스플로이트에 의한 위험을 최소화할 것을 권장하고 있다.
먼저, 모르는 발신자로부터 온 e-메일에 첨부된 파워포인트 형식으로된 파일을 열지 않는 게 좋다. 또한, 발신자를 아는 경우라 하더라도 발신자로부터 첨부 파일에 대한 어떤 언질도 없었던 경우라면, e-메일이 발신자가 보낼 만한 성격의 내용이 아니라면 파워포인트 첨부 파일을 열지 않을 것을 권장한다.
이와 함께 기업설정 시 관리자들은 정책상 검증되지 않은 외부 소스로부터 들어오는 모든 워드, 파워포인트 및 엑셀 파일을 차단하는 방법을 고려해야 하며 외부에서 호스팅된 파워포인트 문서는 열지 않도록 해야 한다.
바이러스 백신 프로그램 정의를 항상 최신 버전으로 업데이트하며 트렌드마이크로 고객은 OPR 3.587.00 또는 그 이후 버전을 사용해야 한다. 업데이트된 트렌드마이크로 제품이나 트렌드마이크로의 무료 온라인 바이러스 스캐너인 하우스콜(Housecall)을 사용하여 수동 검사를 실행한다. 트렌드마이크로의 하우스콜은 http://housecall.trendmicro.com/ 에서 제공하고 있다.
아울러 모든 규모의 기업들이 클라이언트 및 서버 애플리케이션에 대해 보다 엄격한 보안 검사와 코드 검토, 지속적인 패치 업데이트 적용 등을 적극 검토해야 하며 빠른 시간 내에 이런 점들을 완벽하게 구현하고 정착시켜야 한다.
다양한 종류의 스파이웨어, 최선책은 ‘사용자 의식 전환’
지난8월 바이러스를 분석한 결과 모든 형태의 스파이웨어가 기승을 부리고 있는 것이 발견됐다.
스파이웨어란 단순하게 팝업광고를 띄워 사용자를 성가시게 하는 것부터 금융정보와 같은 개인적인 기밀 정보를 빼내 막대한 보안위협을 야기하는 모든 소프트웨어 프로그램을 광범위하게 통칭하는 용어이다.
이런 스파이웨어의 함정을 피하고 감염의 위험을 최소화하기 위해서는 무엇보다도 사용자의 의식이 중요하다.
특히 사용자는 안전한 인터넷 실행방식에 대해 제대로 알아야 하며 스파이웨어와 같은 악성 코드 프로그램을 차단하기 위해서는 스파이웨어에 대해 관심을 갖고 스파이웨어 차단 프로그램을 이용하여 수시로 스파이웨어 감염 여부를 검사하는 것이 좋다.
더욱이 한번 이러한 악성 프로그램에 감염되면 탐지 및 제거가 쉽지 않고 악성코드 근절을 위해서는 전문 솔루션이 필요한 경우가 많으므로 사용자는 이러한 위협의 심각도를 인지하고 이에 따라 작업 방식을 변화시켜야 한다.
트렌드마이크로에 따르면 ‘특정 대상을 겨냥한’ 팝업 광고를 띄우기 위해 사용자의 인터넷 서핑 습관을 추적 및 보고하는 데 사용되는 애드웨어는 전체 컴퓨터의 40~70%가 이런 애드웨어에 영향을 받고 있는 것으로 보고됐다.
또한 정보를 도용해 경제적 이윤을 목적으로 하는 스파이웨어는 일반적으로 전체 컴퓨터의 4~6%에서만 나타나고 있는 상황. 경제적인 이윤을 노린 스파이웨어의 비율은 현재로서는 다행히 크지 않지만 피해의 정도가 가장 심각함으로 사용자는 이를 간과해서는 안된다.
이러한 스파이웨어의 공격을 최소화하려면, 사용자는 스파이웨어 및 애드웨어가 컴퓨터에 미치는 증상을 제대로 이해해야 한다. 또 스파이웨어와의 전쟁에서 승리할 수 있는 가장 좋은 방법은 애초에 스파이웨어에 감염되지 않는 것이기 때문에, 사용자 역시 인터넷 사용과 같은 온라인 활동으로 인해 스파이웨어 감염의 위험이 얼마나 증가되는지를 제대로 이해하고 이에 따라 온라인 활동 방식을 바꾸기 위해 노력하는 것이다.
트렌드마이크로에 따르면 스파이웨어는 단순히 사용자를 성가시게 하는 것이 아니라 프라이버시 침해와 보안 위협을 야기한다고 한다. 즉 스파이웨어의 등장과 그 확산을 심각한 위험 요소로 간주하고 스파이웨어를 감소 또는 제거 하기 위한 적절한 조치를 취해야 한다.
따라서 안전한 컴퓨터 사용의 기본은 스파이웨어 차단 솔루션을 설치하고 이를 지속적으로 업데이트하는 것부터 시작된다. 또한, 정기적으로 데이터를 백업하고 스파이웨어/악성 코드 차단 정책을 구축함으로써 문제나 우려 상황이 발생했을 때 누구에게 도움을 청해야 하는지를 확실히 알아야 한다. 보안은 지속적인 관심이 필요하다는 사실도 잊지 않도록 해야 한다.
봇 차단을 위한 다양한 옵션
트렌드마이크로는 사용자의 상황에 따라 봇과 봇넷을 차단할 수 있는 방어책이 다르지만 대부분의 사용자들이 시스템에서 봇의 존재를 눈치채지 못하기 때문에 사전에 차단하는 것이 최선의 방어책이라고 경고하고 있다.
때문에 일반 소비자나 홈 오피스 사용자들은 스파이웨어, 바이러스, 루트킷, 스팸과 같은 흔히 볼 수 있는 다양한 형태의 보안위협을 차단할 수 있는 올인원(all-in-one) 인터넷 보안 패키지를 사용하는 것은 기본이다.
마찬가지로, 중소중견 기업들도 데스크탑에 설치한 보안 솔루션 외에도 웹 및 e-메일 서버에 대한 보호를 강화해야 한다.
더욱이 트래픽이 통과하는 허용된 포트의 수는 필요한 최소한의 수로 제한하여 방화벽을 구성한다. 예를 들어 IRC(Internet Relay Chat)는 포트 194와 994를 사용하는 데 대부분의 봇은 IRC를 사용해 봇을 제어하는 마스터 프로그램인 명령 및 제어와 연락을 취한다. 이들 포트를 닫아 버리면 설령 컴퓨터가 봇에 의해 감염이 되더라도 봇이 명령 및 제어와 연락할 가능성이 크게 낮아지고 봇은 데이터를 외부로 전송할 수 없게 된다.
때문에 바이러스, 트로이 목마 및 웜의 조기 탐지, 삭제 및 차단을 통해 감염을 방지하고 방화벽을 사용해 의심이 가는 발송 활동을 탐지하는 데 초점을 맞추는 게 중요하다.
또한 트렌드마이크로는 봇과 봇넷이 제작자에게 불법적인 이익을 가져다 주기 때문에 새로운 변종들이 늘고 있고 지금까지도 탐지되지 않은 기존의 봇은 더욱 발전되거나 강력해진 변종에 의해 대체되고 설치 기반도 서서히 통합되고 있다고 평가했다.
이와함께 MS윈도우 비스타라는 새로운 운영 체제가 내년에 발표되면 이를 충분히 파악해 전략 및 코드를 변경하기까지 잠시나마 악성코드 프로그래머들의 공격이 주춤할 것으로 예상되고 있었지만 , 윈도우 비스타의 공개 베타 버전이 출시된 지금에도 벌써 악성 코드 프로그래머들은 활발하게 취약점 분석에 나서고 있다. 이 새로운 운영 체제의 풀 버전이 공개되는 시점에 이르면 악성코드 프로그래머들은 이미 원도우 비스타의 몇몇 익스플로이트를 사용할 수 있는 상태가 될 것으로 예상되거나 혹은 그렇지 않다 하더라도 윈도우 비스타가 정식 출시된 후, 이를 악용하는 익스플로이트가 등장하기 까지 오랜 시간이 걸리지 않을 것으로 보인다.
대규모 피싱과 특정 대상을 겨냥한 피싱
트렌드마이크로는 사용자를 속여 기밀정보를 유출하도록 유인하는 피싱, 특히 특정대상을 겨냥한 피싱이 현재 대두되고 있으므로 의심스러운 e-메일을 열거나 메일에 링크된 사이트를 방문할 때는 조심할 것을 권고했다.
기존 피싱 공격은 합법적 기업의 e-메일로 위장하여 이를 익명의 다수에게 전송을 통해 수신자가 개인 정보를 제공하도록 유인하는 형식이다. 대부분의 피싱은 이런 유의 공격을 의심하지 않는 사용자들에게 수천 개의 메시지를 전달하는 방식으로 대규모로 진행된다. 기존의 피싱과 달리 특정 대상을 겨냥한 또 다른 유형의 스피어 피싱(spear phishing)이 있다.
이 두 유형의 피싱 공격 모두 주로 사용자를 속여 기밀 정보를 제공하도록 유인하는 점은 동일하다. 또한 이러한 피싱 공격은 종종 원본 웹사이트와 동일 혹은 착각을 일으킬 정도로 유사하게 보이는 로고와 디자인을 사용한 위조된 웹사이트를 통해서 이루어진다. 또한 문제는 이런 피싱 메시지는 위에서 말한대로 합법적인 기업의 메일로 위장되기에 기존에 기업이 가지고 있는 스팸 솔루션을 통과할 가능성이 크다는데 문제점이 있다. 두 유형 모두 목표하는 공격 대상과 그 규모만 다를 뿐 대부분의 경우 비슷한 양상으로 공격이 진행된다.
즉, 기존의 대규모 피싱 공격은 바다에 거대한 그물을 던져 넣고 종류나 크기에 관계없이 모든 물고기를 낚아 올리는 것과 유사한 방식이었지만 스피어 피싱 공격은 특정 대상을 겨냥해 이루어지며 희생자에 대한 사전 지식을 전제로 한다.
트렌드마이크로는 피싱을 스팸과 스파이웨어의 기술이 병합된 결과로 보며 이에 따라, 스팸 솔루션에서도 종류의 스팸을 막을 수 있도록 진보된 기술을 적용하여 위협으로부터 대응하여야 한다고 지적했다.
일부 피싱 공격은 아주 간단하게 피할 수 있다. 피싱 공격의 대상이 되고 있다는 의심이 드는 경우, 피싱 메일인지 아닌지 가장 잘 알 수 있는 방법은 계정을 가지고 있지 않은 어떤 회사의 웹 사이트에 로그인하라는 내용이 포함되어 있는지 살펴보는 것이다. 그런 내용이 있다면 피싱 메일로 간주하면 된다.
만약 온라인 거래가 필요한 경우라면 e-메일 메시지에 링크된 사이트에서가 아니라 메인 URL에서 시작해야 한다. 피싱 차단 기능을 갖춘 트렌드마이크로 보안 제품군은 물론, ShowIP 플러그인을 설치한 모질라 파이어폭스, 스푸핑 차단 기능을 갖춘 MS 인터넷 익스플로러 7.0 등과 같이 방문하고자 하는 URL을 역추적해서 확인할 수 있는 기능이 내장된 브라우저를 사용하는 것도 피싱 공격의 희생자가 되지 않기 위한 기술적 해결책 가운데 한 방법이다.
또한 사용자들의 보안 교육을 통해 의심스러운 e-메일을 열거나 메일에 링크된 사이트를 방문하기 전에 다시 한번 생각하도록 하는 것도 중요하다.
복잡해지는 위협환경에 대한 최선책 ‘다계층 방어’
지난 8월까지 나타난 보이지 않은 보안 위협에 대해 사용자들은 포괄적인 솔루션을 통한 보안 문제 접근이 절실하다
IT 리서치 업체인 IDC에 따르면 제품의 관리에 드는 비용 및 시간을 줄이기 위해 개별 보안 기술 간의 통합을 요구하는 목소리가 높아지고 있어 클라이언트, 서버 및 게이트웨이를 비롯해 그 사이의 모든 것을 통합할 수 있는 다계층의 보안 접근법이 필요하다고 강조하고 있다.
따라서 오늘날과 같이 강력한 스파이웨어로부터 시스템을 보호하기 위해서는 사용자가 다계층 접근법을 통해 전체 활동 기간 동안 스파이웨어를 완벽하게 차단해야 한다. 포괄적 솔루션의 일환으로 기타 그레이웨어 및 악성 코드를 비롯해 스파이웨어를 예방, 탐지, 차단 및 치료하기 위해서는 이러한 계층적 접근법이 반드시 필요하다.
게이트웨이 및 서버에서 데스크톱 및 모바일 장비에 이르는 다계층 방어는 경계, 네트워크 무결성 시스템, 애플리케이션 게이트웨이, 호스트 무결성 등 4가지 기본 계층으로 이루어져 있는 데 다중 방어선을 제공해 민감한 데이터를 보호하고 대역폭 및 생산성에 미치는 영향을 최소화한다.
먼저, 경계에는 악성코드를 차단하기 위한 방화벽, 침입 탐지 시스템 및 바이러스 차단 필터가 포함되어 있다.
네트워크 무결성 시스템 계층에는 트래픽 예외 상황을 인지하고 실시간으로 이를 차단하며 문제가 되는 트래픽의 경로를 변경해 제한하는 등 대역폭이 미션 크리티컬 애플리케이션에 사용될 수 있도록 하는 정책 중심의 자동 트래픽 관리 시스템이 포함되어 있다.
애플리케이션 게이트웨이 계층은 애플리케이션에 도달한 트래픽의 컨텐트에 초점을 맞추고 있다. 또한, 호스트 상에서 구성을 보호하는 호스트 무결성 계층에는 호스트 기반의 바이러스 차단 애플리케이션, 침입 방지 소프트웨어, 스파이웨어 툴 및 개인 방화벽이 포함되어 있다.
각 개인들에게 중요한 것은 무엇보다도 자주 업데이트 되는 고성능 상용 바이러스 및 스팸 차단 소프트웨어 애플리케이션이다. 데스크탑이나 로컬 클라이언트 상에서는 아웃룩이나 썬더버드(Thunderbird) 같은 주요 메일 애플리케이션이 스팸 필터링에서 놀라운 역할을 수행할 수 있다.
물론, 스팸과 스팸이 아닌 메일을 구분할 수 있도록 e-메일 클라이언트에 대한 교육을 실시하는 데 따른 시간이 필요한 것은 사실이지만, 여타 대안을 고려해 볼 때 이는 비교적 비용이 적게 드는 방법이다.
최근 봇넷이 새로운 문제로 떠오르면서 트렌드마이크로는 봇넷이 기업의 게이트웨이나 사용자 시스템에 접근해서 시스템 교란 능력을 약화시키기 전에 미리 인터넷 계층에서 이를 차단하는 솔루션을 개발 중에 있다.
또 피싱은 봇넷과 연관이 있어 스패머들은 더 이상 소수의 호스트에서 수백 만개의 메시지를 전송하지 않으며 대신 이제는 좀비 컴퓨터로 구성된 거대 네트워크에서 소수의 메시지를 전송하고 있어 트렌드마이크로는 봇넷이 수십만 대에 달하는 컴퓨터의 성능을 저하시킬 것으로 보고 있다.
예를 들어, 피싱 발송자들이 현재의 기준으로 소형 봇넷이라 할 수 있는 5,000대의 호스트를 임대해서 호스트 당 하루 2,000건씩, 총 100만 건의 스팸 메시지를 발송한다고 가정해 보자.
보편적으로 볼 때 피싱 발송자들은 이들 5,000대의 컴퓨터 가운데 4,500대를 사용해 은행이나 신용 카드 회사에서 보낸 메일처럼 위장한 피싱 메시지를 전송할 것이다.
나머지 500대는 은행이나 신용 카드 웹 사이트를 위장한 웹 서버 역할을 하게 될 것이다. 이들 서버는 사용자가 피싱 공격에 넘어가 자신의 정보를 내어주면 이들 서버가 그 정보를 수집한다. 그런 다음 수집된 정보를 피싱 발송자에게 전송한다. 사용자는 다음 달 은행 거래 또는 신용 카드 명세서를 받아보고 크게 놀라게 될 것이다.
봇은 섣불리 공격을 개시하지 않기 때문에 탐지가 쉽지 않다. 일단 컴퓨터가 공격을 받아 손상되면 봇 마스터 또는 봇 허더(herder)의 관심은 이에 대한 제어권 확보에 쏠린다.
소프트웨어에 대한 검사를 소홀히 하거나 소수 시스템 자원을 사용하거나 사용자에게 모든 제어권을 넘겨주는 경우 이러한 봇 공격의 최대 희생양이 될 수 있다.
따라서 위협의 유형에 관계없이 모든 컴퓨터 사용자는 최대한의 보호책을 제공하는 포괄적 보안 솔루션을 갖춰야 하며, 오늘날과 같이 점차 복잡해지는 위협 환경에서는 계층적 보호가 최상의 해결책이다.
이러한 다계층 방어 체계라는 개인 및 기업 모두를 위해 사후 대응적, 사전 대처적 및 사전 예측적 조치를 모두 결합한 강력한 보호 기능을 통해 최대한의 보안 대책이 강구되어야 한다.