트렌드마이크로가 최근 발표한 2006년 7월 바이러스 분석 자료에 따르면, MS 오피스에서 발견된 취약점이 증가되고 있는 것으로 나타났다. 패치 배포가 많아졌음에도 불구하고 여전히 새로운 익스플로이트가 발견되고 있는 것이다. 이 보고서는 또한 루트킷, 애드웨어, 스파이웨어, 봇넷, 표적공격 등 다양한 보안위협에 대한 차단 및 방지가 필요하다고 분석했다.
MS 취약점 증가, 최대 패치 기록
트렌드마이크로는 마이크로소프트(MS)가 윈도우 운영체제는 물론 다양한 MS소프트웨어 애플리케이션에서 발견된 취약점을 해결하기 위한 월간 패치 모음(MS에서는 ‘업데이트’라고 명명)을 공개하며 6월 업데이트 수가 최대 및 심각한 수준에 있다고 발표했다.
이 월간 업데이트는 매달 둘째 주 화요일에 발표되어 ‘패치 튜즈데이(Patch Tuesday)’라고 하는데 이번 6월에는 업데이트의 수 측면은 물론, 전반적인 심각도 수준에서 단연 독보적이다.
트렌드마이크로는 이 업데이트가 1998년부터 이어진 월간 패치 사이클 중에 가장 높은 패치 번호(가장 심각한 위협에 가장 높은 번호가 붙여짐)에 해당하는 레코드가 지정되었고 6월 공개된 패치는 12개로 이중 8개가 심각도 등급(critical)으로 분류됐다고 밝혔다. 이는 이전까지 단일 공개된 패치에서 볼 수 있었던 최고 패치 7개, 이중 2개만 심각도 등급으로 분류된 것에 비하면 단연 심각한 것이다.
그 시기의 또 다른 징표는 6월 업데이트 발표 후 24시간도 되지 않아 MS06-030에 대한 익스플로이트인 ‘Server Message Block Could Allow Elevation of Privilege’가 공개됐다. MS06-030은 중소기업에 영향을 미치는 2가지 취약점을 다룬 것으로 공격이 성공하는 경우 커널 수준(하드웨어 및 소프트웨어 간의 통신을 담당하는 운영 체제의 핵심 부분)에서 권한 없이도 액세스를 허용할 수 있는데 이 익스플로이트 그 자체에는 악성코드가 포함되어 있지 않다.
한편, 대다수의 악성코드 작성자들은 자신의 친구나 동료들로부터 찬사를 받기를 원한다. 그들은 작성한 코드에 악의적인 요소를 포함시킬 경우 실형을 받을 수도 있기 때문에, ‘증거물’로서 악성 코드를 공용 웹 사이트에 게시하고 누군가 이를 다른 악성 컴포넌트와 함께 재사용하도록 유도한다.
이처럼 취약점이 증가하는 이유는 과거 그 어느 때보다 기업 및 개인의 컴퓨터 사용자가 증가했으며 컴퓨터의 활용도가 높아지는 것은 물론, 더 많은 기능을 사용하고 있다. 이처럼 높아진 기능적 요구를 만족하기 위해 더 많은 코드가 필요하며, 의도하지 않은 취약점을 비롯, 그에 따른 오류 발생 가능성도 높아졌다.
또한 취약점의 증가뿐만 아니라, MS는 점차 악성코드 작성자들의 핵심 공격 목표가 되고 있다. 심지어 이들을 발견하는 데 주력하는 가상 사용자들로 인해 이제서야 수년 간 존재해 온 취약점들이 발견되고 있다.
이와 같이 여러 다양한 공격으로부터 보안을 강화하기 위해 트렌드마이크로의 보안 전문가들은 모든 사용자가 자신의 시스템에 가장 최신 MS시스템 업데이트 패치를 설치할 것을 당부했다. 이를 수작업으로 수행하는데 따른 부담을 없애기 위해 대부분의 보안 업체들은 자체 제품 내에서 자동 업데이트 옵션을 제공하고 있다.
또한 트렌드마이크로는 고객들에게 OPR 3.511.00 또는 이후 버전을 사용하길 권장하며 기업 사용자는 http://www .oval.mitre.org에서 제공되는 OVAL(Open Vulnerability and Assessment Language)을 사용하여 시스템을 평가할 것을 권장했다. OVAL은 표준화된 취약점과 구성 평가를 널리 알리는 것은 물론, 공개 보안 컨텐츠를 공유하도록 하는 체계적인 방안을 제공하는 데 목적을 두고 있는 국제적인 독립 커뮤니티 표준이다. 또 OVAL은 시스템을 최신 상태로 유지하는 것은 물론, 기업이 특정 취약점에 영향을 받는지 여부를 알려 주는 환상적인 방법을 제공한다.
MS 엑셀 취약점의 새로운 3가지 익스플로이트
트렌드마이크로는 마이크로소프트(MS) 엑셀의 취약점을 이용한 새로운 3가지 익스플로이트가 있다고 지적했다.
MS는 패치 튜즈데이 발표를 통해 예상되는 MS취약점들을 공격하는 익스플로이트들을 원활히 해결해왔다. 그러나 이들 익스플로이트 외에 간헐적으로 '제로데이 익스플로이트'가 발견되면서 새로운 위협으로 대두되었다. 제로데이 익스플로이트는 아직 알려지지 않았거나 아직 패치가 만들어지지 않은 취약점을 이용하는 것이다.
MS 엑셀에 이와 같은 익스플로이트가 발생하자, 발표 후 수일 내에 3개의 새로운 '개념 증명용' 익스플이트가 공용 웹 사이트에서 발견됐다.
엑셀에서 변조된 파일 구조와 관련된 취약점은 악의적으로 만들어진 엑셀파일을 의심 없는 사용자에게 전송함으로써 해당 사용자의 시스템에서 원격으로 코드를 실행하는데 악용될 수 있다. 특정 구현이 엑셀버전 별로 다를 수도 있지만 이 취약점은 엑셀 2000, 2003 및 2004(Mac용)에 영향을 미친다.
이 취약점은 패치 튜즈데이 발표 이전에 MS에 보고되었지만 6월 업데이트 릴리즈에 포함되지 않았다. 트렌드마이크로는 취약점을 치료할 패치가 제공되기까지 취약점을 테스트하고 분석할 시간이 필요하고 MS 패치 릴리즈는 매달 두 번째 화요일이기 때문에 취약점이 그 전에 알려졌다고 해도 MS가 6월 릴리즈에 포함시키기에는 파악 및 분석할 시간이 부족했다고 설명했다. MS는 7월 11일로 예정된 7월 업데이트에 이 패치를 포함시킬 것이라고 발표했다.
특히, 공개되지 않은 패치에 대한 취약점의 경우, 새로운 취약점 발표 때마다 이러한 익스플로이트들이 등장해 널리 알려지게 된다. 취약점 발견 직후 개념 증명 코드가 출현하는 것이 일반적이다. 요즘 대부분의 악성코드 작성자들은 해커 사이트로 코드를 게시해 기술적 지식을 과시하는 한편 누군가가 이를 악의적인 목적으로 사용하도록 유도한다.
이러한 익스플로이트들이 즉각적으로 실제 공격으로 이어지는 것은 아니지만 (일부는 공격에 전혀 악용되지 않지만) 코드를 쉽게 손에 넣을 수 있고 언제든지 악의적인 작성자에 의해 사용될 수 있기 때문에 트렌드마이크로의 보안 전문가들은 사용자들이 항상 경계심을 늦추지 말도록 충고했다. 실제로 트렌드마이크로의 연구자들은 이러한 익스플로이트 중 하나는 이미 표적 공격에서 활용되고 추가 공격도 가능하며 이 취약점을 악용하는 2가지 주요 공격 루트인 e-메일과 인터넷을 통한다고 설명했다.
따라서 트렌드마이크로는 다음과 같은 위험 우회 방법과 입증된 정책을 사용해 이러한 익스플로이트에 따른 위험을 최소화할 것을 권고했다.
먼저, 발신자를 모르는 경우에는 e-메일에 첨부된 엑셀파일을 열지 않고 발신자를 아는 경우에도 발신자로부터 예고가 없는 경우라면, 혹은 e-메일 내용이 발신자의 성격에서 벗어난다고 생각된다면 첨부된 엑셀 파일을 열지 않는다. 또 기업 설정 시 관리자들은 정책상 검증되지 않은 소스로부터 수신되는 모든 워드, 파워포인트 및 엑셀 파일을 차단하도록 고려해야 한다. 심각한 내부 문제가 존재하지 않는 한 기업 간 문서들은 이 특별한 위협으로부터 비교적 안전하다고 가정할 수 있다. 그리고 외부에서 호스팅된 엑셀 문서를 열지 않으며 바이러스 백신 프로그램 정의를 항상 최신 버전으로 업데이트한다.
마지막으로 트렌드마이크로 고객은 OPR 3.555.00 또는 이후 버전을 사용해야 하며 업데이트된 트렌드마이크로 제품 또는 트렌드마이크로의 무료 온라인 바이러스 스캐너인 하우스콜(Housecall)을 사용하여 수동 검사를 실행해야 한다.
루트킷 공격 탐지 및 차단
트렌드마이크로는 루트킷에 대해 다른 많은 문제들과 마찬가지로 예방하는 것이 제거하기 보다 쉽다고 경고했다. 루트킷은 악성코드 차단 프로그램이 쿼리할 경우 정확한 정보로 응답할 수 없도록 표준 OS(Operating System) API(Application Programming Interfaces)를 변조한다.
루트킷이 제공되고 자체 파일이 숨겨져 있을 때 윈도우에서 특정 폴더의 파일 이름 목록을 요청하면 루트킷이 이를 가로채어 숨기려는 파일을 제외한 나머지 모든 이름을 반환하게 되어 윈도우는 해당 폴더에 다른 파일이 존재한다는 사실을 모르게 된다.
최종적인 영향은 디렉토리 목록이 요청될 때마다 루트킷에 포함된 파일을 윈도우 익스플로러 또는 악성 코드 차단 애플리케이션으로 볼 수 없다. 트렌드마이크로는 이에 대해 매우 낮은 수준의 시스템 침투에 해당하는 것으로 악성 소프트웨어가 숨길 수 있는 은신처를 제공한다고 설명했다.
기존 기술은 설치 프로그램상의 시그니처 매칭을 사용하여 비활성 루트킷을 탐지할 수 있고 이것은 가장 기초적인 방어 수준으로 비교적 평범한 기능이다. 모든 시그니처 기반 스파이웨어 차단 제품들은 이러한 기능을 제공하며 어려운 부분은 이미 시스템에 널리 퍼져 있는 루트킷을 탐지하여 제거하는 것이다. 또 설치 시 루트킷을 차단할 수 있다면 모든 활성 파일 모니터링으로 이를 잡아 낼 수 있다.
트렌드마이크로는 루트킷이 시스템으로 들어온 상황에서 보유하고 있는 바이러스 백신 제품이 루트킷의 활동을 차단하지 못한다면, 사용자는 이를 확인할 수 없고 다른 드라이브에서 별도의 OS를 부팅하거나 감염 의심이 드는 드라이브를 분할하여 검토하지 않고서는 이를 확인할 수 없다고 밝혔다. 또한 악성코드 작성자가 다른 컴파일러, 파일 압축 유틸리티 또는 암호화를 사용할 경우 시그니처 기반 매칭 솔루션이 변종을 잡아 낼 수 없다.
스파이웨어와 현재 작성되고 있는 다른 악성 코드는 PC에서 자신을 숨긴 채 잔존하기 위해 점차 루트킷 기술을 사용하고 있는 추세이기 때문에 제거하는 것이 더욱 어려워지고 있다.
기존 악성 코드 차단 엔진은 전용 루트킷 차단 기술이 없기 때문에 새로운 스파이웨어를 제대로 처리하지 못한다. 사용자는 특별한 애플리케이션을 사용할 수 밖에 없으며, 이들 중 일부는 루트킷을 탐지하는 것만 가능하며, 제거할 수 없다.
일부 업체들은 부분적인 문제만을 해결하는 포인트 솔루션을 제공하고 있지만 트렌드마이크로는 루트킷이 드라이브에 존재하는지를 판단할 수 있도록 OS에 대한 총체적인 방법를 제공한다.
이 최신 트렌드마이크로의 엔진은 윈도우 함수 호출을 숨기는 과거의 모든 스파이웨어나 루트킷 기술을 확인할 수 있도록 루트킷 차단 기능을 제공한다. 루트킷 차단 모듈은 훼손된 계층을 우회해OS를 직접 확인할 수 있다. 이는 전용 모듈을 가지고 있기 때문에, 특수한 유틸리티들을 사용할 필요가 없으며, 심지어 이중 일부는 루트킷을 제거할 수도 없다.
경제적인 목적의 스파이웨어 및 애드웨어
심각한 위협이든 단순한 방해든 간에 스파이웨어(및 그와 동류인 애드웨어)는 기업에 피해를 입힌다. 트렌드마이크로는 심각한 피해를 야기할 수 있는 스파이웨어/애드웨어가 시스템에 많이 설치되어 있는 경우(단일 시스템에 수십 개의 프로그램이 존재할 수 있음) 계속 뜨는 팝업 광고들로 시스템 성능에 타격을 받을 수 있다고 경고했다.
종종 그레이웨어(grayware)는 사용자가 인식하지 못하고 승인 받지도 않은 상태에서 시스템으로 로드된다. 따라서 기업들이 만연한 스파이웨어와 애드웨어와 대항하기 위해서는 우선 스파이웨어와 애드웨어의 개념과 그 활동을 이해해야 한다.
스파이웨어는 사용자의 키보드 활동을 모니터링하여 입력한 정보를 사용자 모르게 전송하는 소프트웨어로 이 공격은 기업의 ID 도용, 데이터 훼손 및 개인정보 유출의 피해를 줄 수 있다. 또한 애드웨어는 사용자의 개인 정보를 광고자에게 전송하여 광고자가 그 데이터를 사용, 해당 사용자에게 광고를 보내는 스파이웨어 프로그램의 일종이다.
이들은 언뜻 보면 별다른 해가 없어 보이지만 마케팅 목적으로 사용자의 나이, 성별, 위치, 구매 기호 및 서핑 습관과 같은 개인 정보를 수집한다. 또 웹 페이지를 해킹해 다른 마케팅 컨텐츠를 표시함으로써 사용자의 웹 서핑을 방해하기도 한다.
트렌드마이크로측에 따르면, 과거의 위협은 파괴의 목적을 가지고 있었지만 오늘날 스파이웨어와 애드웨어는 실제적인 경제적 목적을 가지고 있다. 그레이웨어(기본적으로 과도하게 공격적인 마케팅)와 크라임웨어(정보 도용 또는 거래 사기의 형태로 행해지는 범죄의 일종)를 구분할 수 있다.
이에 트렌드마이크로와 같은 보안 업체들은 스파이웨어와 애드웨어의 문제를 해결하기 위해 다양한 스파이웨어 차단제품과 서비스를 제공하고 있으며 많은 다양한 유형의 악성 코드를 처리할 수 있는 적절한 조직 정책과 프로시저를 구현해야 한다고 강조하고 있다.
사용자 입장에서 기업은 크라임웨어와 스파이웨어가 무엇인지 이해할 필요가 있다. 매우 상식적인 것들이 포함된 정책 적용과 같은 신중한 보안 방법과, 방화벽같은 기술적인 스파이웨어 차단 제품 및 애드웨어 보호 간에는 분명한 차이가 있다.
그레이웨어와 크라임웨어는 훨씬 신중한 보안 방법들을 적용할 수 있으며, 또 그렇게 해야 한다. 예를 들어 대부분의 그레이웨어는 팝업을 통해 설치되기 때문에 사용자는 팝업 창을 닫을 수 있어야 한다. 기술적 측면에서 볼 때, 네트워크 관리자는 문제를 해결하기 위해 항상 트렌드마이크로와 같은 보안 업체와 협력하고 있다.
그레이웨어(침입 형태의 데이터 수집과 그에 따른 불필요한 방해)는 컴퓨터 생산성을 저하시킬 수 있으며, 크라임웨어(도용자에 의해 작성된 악성 스파이웨어, 정보를 도용하여 경제적 목적으로 사용하는 것이 유일한 목적임)는 개별 또는 기업 시스템에 훨씬 심각한 수준의 침입이 이루어지게 된다.
크라임웨어는 기업에 중요한 보안, 기밀 및 법률상의 위험을 가져올 수 있다. 기업 PC가 감염된 경우 해당 기업은 개인 또는 기업의 기밀 정보 유출, 컴퓨터 시스템 성능 저하, 직원 생산성 저하, 법률적 책임상의 위험과 같은 많은 문제에 봉착하게 된다. 그 영향은 분명하다. 스파이웨어 프로그램은 최종 사용자와 기업 IT 관리자 모두에게 훨씬 심각한 영향을 미치게된다.
봇넷의 범죄적 악용 증가
트렌드마이크로는 이전에 호기심에 불과했던 봇이 이제는 거의 모든 악명 높은 바이러스와 웜에 포함되어 있고 스파이웨어, 피싱 및 그라임 웨어 공격을 제공하기 위한 봇넷의 범죄적 악용이앞으로 더욱 증가할 것이라고 지적했다.
봇넷은 2명 이상의 사람이 참가하는 범죄 기업이라고 할 수 있는데 봇을 작성한 사람, 봇 네트워크를 판매 또는 임대한 사람 그리고 봇넷을 사용하여 공격을 감행한 사람으로 일종의 삼각 관계로 이루어진다.
봇과 봇넷의 사용이 작성자에게 불법적인 이익을 가져다주기 때문에 새로운 변종들이 늘고 있다. 이전의 탐지되지 않은 구형 봇은 향상되거나 보다 경쟁력 있는 변종에 의해 대체되고 설치 기반도 서서히 통합되고 있다.
MS가 올해 후반에 새로운 윈도우 운영체제를 출시하면 잠깐 동안 악성코드 프로그래머들의 활동이 둔화될 것이다. 하지만 대다수의 사용자들이 한동안 최신 버전으로 업데이트하지 않을 것이기 때문에 이전의 기법들이 계속해서 효력을 발휘할 것이다.
이에 대해 트렌드마이크로는 봇과 봇넷을 방어할 수 있는 최선의 방법으로 개인 사용자와 홈 오피스 사용자는 광범위한 악성코드를 탐지하여 제거하는 올인원 인터넷 보안 패키지를 사용해야 한다고 밝혔다.
또한 중소기업은 데스크톱은 물론, e-메일 서버도 보호해야 하고 대기업에서는 전 범위 통합 솔루션을 사용하여 게이트웨이에서 서버, 클라이언트에 이르기까지 전체 네트워크를 보호해야 한다고 설명했다.
봇넷에 대해 기억해야 할 중요한 사항은 이들이 특정 유형의 위협에만 국한되지 않는 실질적인 지원 기술이며 지금까지 봇넷이 악용 잠재력의 일부분만을 활용했다고 판단하고 있다. 또 루트킷 기술을 활용하고 악성 스파이웨어를 제공하며 구축된 보트 네트워크를 통해 전파하는 공격의 실질적인 가능성은 항상 존재하고 있다.
트렌드마이크로는 스팸, 봇넷 및 모든 종류의 악성코드를 탐지 및 퇴치하는데 효과적인 IP 평판 서비스를 개발하고 있다. 보트 네트워크가 보고하는 IP 주소 뒤에서 이들 주소를 차단하는 것이 이들의 작용을 원천적으로 봉쇄하는 것으로 IP 평판 서비스는 대기업은 물론 최소 규모 기업까지 다양한 기업에 상당한 이점을 제공하게 된다. 또 IP 주소를 평판에 따라 등급을 매김으로써 디스크상의 컨텐츠를 스캐닝하는 것은 물론 그 연결까지 포착하여 재빨리 봇을 탐지할 수 있다.
개별 봇넷을 제어하기 위해 사용되는 IP 주소를 차단할 경우 이들은 그처럼 심각한 위협을 가하지못한다. 기업 단위로 시도하기 보다는 인터넷 클라우드에서 가장 큰 효과를 발휘하는 솔루션이다. 가까운 시일 내에 이러한 서비스를 제공할 수 있는 ISP를 찾아야 할 것이며 이들 업체를 통해 보다 자세한 정보를 입수할 수 있다.
표적 공격에 대한 방어
트렌드마이크로는 네트워크를 많이 사용할수록 새로운 네트워크 감염 방법을 찾아 내기 위해 노력하는 악성코드 작성자들에게 더 많은 기회를 제공하며 현재 표적공격을 더욱 국지화시킨다고 밝혔다.
과거, 보안 벤더들은 인증받지 못한 사용자의 정보 시스템 사용 시도를 효과적으로 탐지 또는 우회시켜 손쉽게 공격을 판단할 수 있었던 ‘허니팟(honey pots)’이라는 시스템을 활용할 수 있어 의도된 공격의 규모가 클수록 이를 식별하여 대응하기 쉬웠다.
하지만 악성코드 작성자들은 결국 특정목표를 공격하는 것이 더욱 효과적이라는 사실을 알아 냈으며 쉽게 추적망을 피할 수 있었다. 비교적 소수의 대상에 초점을 맞추면 이런 종류의 악성코드를 탐지하고 방어하는 데 더 많은 시간이 걸릴 수 있다.
표적 공격은 재정적 목적으로 시도되며 특정 회사와 사용자 또는 공통으로 연결된 특정 그룹을 겨냥한다. 악성 코드 작성자들이 특정 개인들에게 노력을 집중시킬 수 있는 은행, 주소 목록 및 배포 목록이 일반적인 표적이 된다. 표적 공격에서 특수하게 작성된 트로이 목마 프로그램은 의심 없는 사용자들이 그들의 덫에 걸려들기를 바라면서 이러한 대상으로 전송된다.
기술적 견지에서 볼 때 표적 공격과 대량 공격 간의 주요 차이점은 공격 전 작성자의 준비에 있다. 대량 공격은 관련 툴의 제어할 수 없는 특성 때문에 사전에 거의 대상을 인식하지 못한다. 하지만 표적 공격은 소규모 희생자 집단을 겨냥하며 장기적으로 존재하는 위협으로 인해 보다 큰 이익을 노린다. 표적 공격(특정 사용자, 그룹 또는 목록 대상을 겨냥한)은 기업과 업무 지속성에 상당한 위협이 되고 있다.
또한 표적 공격을 방어하려는 기업들은 사람과 기술적 솔루션을 함께 활용해야 한다. 보안을 위해 적절히 다양한 방법을 조합해 사용해야 위협을 최소화할 수 있다. 기술 솔루션이 아무리 훌륭하더라도 항상 인적 요소가 개입하게 되며 인적 요소는 항상 악용될 수 있다.
표적 공격은 종종 사용자가 부지불식간에 악성코드를 설치하도록 하는 사회 공학적 기법(스푸핑된 e-메일과 웹사이트처럼 기술에 대한 기본적인 신뢰를 이용하는 기법)을 사용한다. 또한 대상별 메시지는 사용자로부터 ID와 암호를 입수해 중요한 시스템 및 정보에 액세스하는 데 사용된다.
적절한 보안 기술 외에도 기존 및 새로운 위협과 안전한 컴퓨팅 사용에 대해 직원 교육을 실시해야 한다. 많은 기업들이 표적 공격을 차단하기 위해 대역폭을 필터링하고 있다. 또한 메일 서버를 인증할 적절한 툴은 물론, 송신 IP 주소를 인증하는 아웃 필터링 서비스도 갖추고 있다. 하지만 이러한 조직도 사용자 교육과 엄밀한 정책으로 이러한 기술 전략들을 뒷받침해야 한다.