지난 10월에는 인터넷전화 스카이프통신 소프트웨어에서 시스템의 보안을 위태롭게 만들 수 있는 두 가지 취약점이 발견됐다.
먼저, 발견된 스카이프 취약점은 윈도우즈용 스카이프 프로그램에 영향을 미치는 악성 프로그램으로 스카이프 고유의 URL 유형인 callto:// 및 skype://의 불완전한 URL 처리를 위해 프로그램을 호출하는 경우 버퍼 오버플로우를 이용하여 임의코드를 실행한다. 또한, 이 취약점을 이용하여 특정 비표준 형식으로 된 VCARD를 가져오는 동안 임의코드를 실행할 가능성도 있다.
또 다른 스카이프의 취약점은 모든 스카이프 플랫폼에 영향을 미치는 오류로서 특정 네트워킹 루틴의 범위 점검 중에 일어나며 원격 악성 프로그램이 스카이프 클라이언트를 파괴하도록 지원하는 역할을 한다.
악성 프로그램은 이러한 취약점을 이용하기 위해 특수하게 조작된 네트웍 트래픽 흐름을 스카이프 클라이언트 네트웍으로 흘려보내 클라이언트의 파괴를 일으킨다. 이 악성 프로그램이 클라이언트가 특정 지침을 실행하도록 만드는 것은 불가능하지만 다른 예상치 못한 현상을 일으킬 수도 있다. 스카이프는 이러한 취약점을 모두 해결하는 업데이트를 배포한 상황이고, 업데이트된 버전은 http://www.skype.net/download/에서 다운로드 받을 수 있다.
자체 봇 네트웍을 생성하는 웜
10월 한 달 동안에 위험도는 낮지만 ELF_LUPPER.A나 ELF_LUPPER.B 등의 자체 봇 네트웍을 생성하는 웜이 발견됐다.
이 봇들은 리눅스(Linux) 커널에 관련된 것이 아닌 특정 웹 응용 프로그램의 취약점을 이용하도록 만들어졌다. 해당 웜은 리눅스를 공격하도록 제작됐지만 소스 코드를 다시 컴파일하면 리눅스에 관련된 다른 시스템도 공격 대상이 될 수 있다는 가능성에 주목해야 한다. 이 두 가지 웜이 동일한 취약점인 지난 2005년 6월 27일에 처음 공개된 XML-RPC를 사용했다.
해당 공격은 그로부터 한 달 뒤에 공식 웹 사이트에 게시되어 사용자들에게 공시되었다. 이러한 네트웍 웜에는 사용자의 개입 없이도 자체 전파될 수 있는 능력도 가지고 있어 잠재적인 위험을 가지고 있다.트렌드마이크로 바이러스 전문가는 “이 네트웍 웜은 웹 사이트에 몰래 연결할 수 있다는 취약점을 이용, 피해자의 시스템에 자신의 복제 파일을 다운로드하고 실행했다”고 설명하면서 “해당 웜은 자체 봇 네트웍을 구축하도록 되어 있어 향후 더욱 막대한 피해를 줄 수 있는 추가 정보를 제작자에게 알려주는 역할을 했다”고 덧붙였다.
이 두 개 웜은 2002년 9월에 발견된 Linux Slapper 웜의 기본 코드를 따랐다. Linux Slapper 웜의 제작자가 SSL 공격 부분을 삭제하고 두 개의 알려진 취약점인 AWStat 및 XML-RPC로 대체한 것이다.
해당 웜은 2005년 11월 3일에 발견된 HKTL_CALLBACK이라는 해킹 도구와 연관성이 있는 것으로 보인다. 트렌드마이크로 분석에 따르면 해당 해킹 도구의 목적은 피해자의 방화벽을 넘어 웜 공격을 도울 수 있는 정보를 비밀리에 수집하는 것일 가능성이 있다. 트렌드마이크로 보안 담당자는 시스템에 최신 보안 패치를 설치할 것은 물론 사용하는 운영체제에 상관없이 방심하지 말 것을 당부하면서 “공개된 소스이기 때문에 현 악성 프로그램(malware)에 악용 코드, 기능을 추가 보완하여 다른 변종을 낳을 가능성이 비교적 높다”고 강조했다. 또 “윈도우즈에 비해 리눅스는 많이 사용하지는 않지만 사용자들은 자신의 시스템에 관련된 보안 문제에 각별히 신경을 써야 한다. 또한 이 공격은 거의 모든 시스템에 취약점이 존재한다는 단편적인 예일 뿐이며 운영체제에 상관없이 사용자들은 항상 경계해야 한다”고 덧붙였다.
신종 웜 FANBOT 변종 등장
트렌드마이크로는 신종 웜 군인 FANBOT 변종 6개를 발견했다. 이중 심각한 피해를 준 웜은 없지만 이러한 초기 변종에 감염될 경우 심각한 취약점이 공격당해 악의적으로 사용자의 시스템에 접근될 수 있기 때문에 트렌드마이크로의 연구진들은 새롭게 등장한 위협을 예의 주시하고 있다.
악의적인 사용자의 접근은 악성 공격, 악성 프로그램 설치, 개인 정보 유출로 이어질 수 있으며 앞으로 변종이 만들어질 경우, 급속도로 전파되고 추가 기능을 갖출 가능성이 있다.
FANBOT군은 MYTOB군의 기본 소스를 사용하지만, 지난 8월에 보고된 MS05-039(플러그앤플레이) 취약점을 이용하도록 기능이 추가됐다.
웜 제작자는 기존의 전자 메일 스팸 방식은 물론 P2P 또는 파일 공유 네트웍을 숙주로 웜을 전파시키는 기능도 추가했다. 이 웜군에 감염된 경우, 사용자가 첨부파일을 클릭하면 다음과 같은 거짓 오류 메시지가 표시된다.
사용자가 첨부 파일을 열면 웜이 실행되나 전자 메일이 정상적이라는 메시지 상자가 나타나면서 이 사실을 감춘다. FANBOT 웜 군이 MYTOB군의 발전 형태는 아닐 것으로 추정되며 또 다른 사람이 만들었을 가능성이 높다.
트렌드마이크로에서는 일부 FANBOT 변종에 MYTOB 제작자를 ‘얼간이’라고 부르는 문장이 포함되어 있는 것으로 미루어 볼 때 보이지 않는 전쟁이 시작된 것은 아닌지 추측하고 있다.
신종 출현 웜에 대한 대처 방법
트렌드마이크로는 지난 10월에 출시된 신종 웜이나 악성 프로그램 등의 공격으로부터 스스로를 보호하려면 사용자가 다음과 같은 조치를 취할 것을 권장한다. 먼저, 시스템에 가장 최신의 마이크로소프트 시스템 업데이트가 패치 되어 있는지 확인한다. 이와 함께 바이러스 백신 프로그램의 바이러스 정의가 업데이트되어 있는지 확인한다. 트렌드마이크로의 무료 바이러스 검색 서비스인 하우스콜(http://housecall.trendmicro.com) 을 이용하면 실시간으로 손쉽게 바이러스를 검색할 수 있다.
피싱 사기, 적십자 기부 사이트 위장해커 수중으로 재난 구호 기부금 유출 우려
최근의 연이은 국제적인 재해로 인해 전 세계에서 적십자 등의 기구를 통한 다양한 기부 활동이 이루어지고 있다.
그러나 온라인 기부의 경우, 기부금이 비양심적인 해커의 손으로 들어가지 않고 실제 도움을 필요로 하는 사람들에게 가는지 세심한 주의가 필요하다. 인터넷 보안 전문 업체인 트렌드마이크로는 최근 피싱 사기에 적십자 재난 구호 기부 웹 사이트가 연루되고 있다고 지적했다.
이 가짜 사이트는 ‘Continue’, ‘Cancel’, ‘Verisign’ 이 세 버튼을 제외하면 실제 적십자 사이트와 거의 완벽하게 동일하며, 웹 사이트를 주의 깊게 보지 않을 경우 쉽게 속을 수 있다.
이 사기에는 새로운 수법이 사용되고 있다. 이 웹 페이지는 포탈 사이트(이 경우, www.quadrate-stadt.de)를 통해 호스팅되어 해당 적십자 사이트를 거의 동일하게 미러링하고 있다. 또한 실제 적십자 사이트의 컨텐츠에 대한 링크를 포함하고 있어 특히 주의가 필요하다.
이 피싱 사이트의 URL은 http:// www.quadrate-stadt.de/mamheim/kontakt/www(현재 폐쇄 상태)이다.
피싱 사기 방지 방법
? 전자 메일에 회신할 때는 각별한 주의를 기울인다.
기부 웹 사이트 링크를 클릭할 경우 정보를 입력하기 전에 세심하게 해당 웹 사이트의 진위성을 확인하도록 한다.
? 웹 사이트의 진위성을 평가하는 간단한 방법: 웹 페이지의 보안 여부를 확인하기 위해 브라우저에서 URL을 확인한다.
주소가 http://가 아니라 https://로 시작되는지 확인한다. 또한 브라우저 창의 오른쪽 하단에 작은 자물쇠 아이콘이 있는지 확인한다. 이 아이콘을 클릭하면 보안 인증 정보를 볼 수 있다.
? 전자 메일 링크를 클릭하지 않는다.
전자 메일의 진위가 조금이라도 의심스러울 경우 전자 메일에 포함된 링크를 클릭하지 않는다. 대신 해당 사이트의 정확한 URL 주소를 브라우저에 입력하여 실제 기업의 사이트로 이동한 후 로그인한다. 또는 전화로 사전에 해당 기업에 사이트의 진위 여부를 문의한다. 피싱 사기의 목표가 되는 대부분의 기업은 해당 연락처 정보를 게시한다.
? 의심스러운 전자 메일 첨부 파일을 열지 않는다.
첨부 파일에 개인 정보를 빼갈 수 있는 악성 프로그램이 포함될 수 있으므로 피싱 사기가 의심되는 전자 메일의 첨부 파일을 열지 않는다.
? 인터넷 보안 기관의 웹 사이트를 방문한다.
최근 피싱 사기에 대한 온라인 뉴스와 정보를 읽는 습관을 가진다. 트렌드마이크로는 피싱 관련 뉴스와 정보를 제공하는 다음 사이트를 정기적으로 업데이트한다.
http://www.trendmicro.com/en/security/phishing/overview.htm
? 브라우저를 업데이트하고 취약성에 대한 패치를 적용한다.
웹 브라우저가 최신 버전으로 업데이트되었는지 확인하고 최신 보안 패치를 설치한다. 인터넷 익스플로러를 사용하는 경우 다음 사이트에서 피싱을 방지하기 위한 다양한 패치를 찾을 수 있다.
http://support.microsoft.com/?id=833786
? 피싱 및 스파이웨어 침입을 방지하는 보안 소프트웨어를 설치한다.
피싱 발송자들은 목적을 달성하기 위해 여러 악성 프로그램과 스파이웨어를 결합한 다양한 피싱 방법을 사용할 수 있다. 따라서 사용자는 개인용 보안 솔루션 설치를 고려해야 한다. 기업 사용자의 경우 피싱 공격, 악성 프로그램, 해커 침입을 방지하기 위해 데스크톱 PC와 서버 데이터 보안 솔루션을 사용할 수 있다. 또한 보안 소프트웨어의 최신 패치를 항상 업데이트한다.
? 의심스러운 전자 메일과 웹 사이트를 신고한다.
다음의 전화번호 또는 전자 메일 주소로 의심스러운 피싱 시도를 신고한다. 인터넷 검색사이트를 통한 개인정보누출에 대한 피해보상책임이 해당 웹사이트 운영자가 지게 됨에 따라 웹사이트를 운영하는 기업들은 피해가 없도록 즉시 피싱 시도에 대한 신고를 권장한다.
- 해킹 및 피싱 신고전화 : 국번없이 118
- 스팸 신고는 1336
- 글로벌 안티피싱 워킹 그룹: reportphishing@antiphishing.org
- 트렌드마이크로 사기 방지 부서: antifraud@support.trendmicro.com