트렌드마이크로의 바이러스 관제 센터인 트렌드랩의 2005년 12월 바이러스 분석 자료에 따르면, 지적재산권을 이용한 백도어 프로그램을 비롯한 새해 바이러스 변종을 예고하는 바이러스 등 다양한 위협들이 등장했다.
지난 12월에는 BREPLIBOT 백도어-트로이 목마 제품군이 출현해 이목을 집중시켰다. 이 BREPLIBOT.A은 소니 디지털 라이트 매니지먼트(Sony Digital Rights Management) 루트킷을 악용해 특정 사용자(기업 사용자)를 공격하는 새로운 악성 코드로 판명됐다. 전자 메일의 첨부 파일로 전달되는 이 악성 코드는 저명한 업계 잡지를 사칭하며 기업가에게 12월 호에 실린 자신의 ‘사진’(외견상 전자 메일에 첨부된 것처럼 보이는)을 확인해줄 것을 요청한다. 수신자가 사진을 클릭하면 사진을 보여 주는 것이 아니라 첨부 파일을 실행시켜 트로이 목마를 설치한다.
이 트로이 목마는 이를 악용하는 기반 툴킷 기술이 더욱 심각한 문제로 꼽히고 있다. REPLIBOT 트로이 목마가 악용하는 툴킷이 ‘커널 모드’ 프로그램이기 때문에 ‘사용자 모드’ 프로그램보다 더욱 악의적인 목적으로 사용될 수 있다는 것. 트렌드마이크로는 소니뿐만 아니라 지적 재산을 보호해야 하는 기업들의 경우, 특히 그 파트너들이 추가적인 DRM(Digital Rights Management) 툴을 개발할 때 기술 파트너와의 계약에 보안 수준에 대한 약정을 작성하는 등 여타 다른 해결책을 모색할 것을 권고했다. 또한 커널 모드 드라이버의 가장 큰 위험은 운영 체제 코드를 포함하고 있는 메모리 내 다른 모든 데이터 구조를 변경하거나 파괴할 수 있는 능력을 가지고 있다는 점이라고 지적했다. 이는 커널 모드가 기본적으로 시스템에 대한 최고 수준의 액세스 권한을 가지고 있기 때문에 해당 시스템 내 모든 프로그램 또는 데이터를 무효화하는 것을 비롯해 거의 모든 작업을 수행하는 데 악용될 수 있기 때문이다.
루트킷의 목적은 다른 프로그램의 존재를 숨기는 것이다. 즉, 루트킷은 스파이웨어나 여타 악성 코드를 숨기는 데 쉽게 이용할 수 있다는 점에서 루트킷 탐지 빈도가 증가할 것으로 예상되고 있다.
트렌드마이크로는 “예방 차원에서, 특히 첨부 파일을 포함하고 있거나 예상치 못한 출처 또는 알지 못하는 송신자가 보낸 모든 전자 메일을 철저하게 검사해야 하며 보안 솔루션을 완벽하게 업데이트해야 한다.”고 권장하고 있다.
‘Happy New Year’ 공격 예고하는 웜 소버.AG
지난 11월 웜 소버.AG을 퍼뜨렸던 그룹에서 오는 1월 5일이나 6일경에 새로운 소버 변종을 유포할 것으로 전망되고 있어 주의가 요구되고 있다. 이 보고는 2006년 1월 5일이나 6일경 웜 소버.AG가 소버.AG 웜내에서 자체적으로 고도로 암호화/부호화된 특정한 URL들로부터 실행 가능한 Sober.exe파일을 다운로드 할 것이라는 분석에 근거를 두고 있다. 이 미리 정해진 URL들은 사용 가능한 사이트가 아니며 스스로 타깃 날짜에 사용될 특정 URL들을 가동하기 위해 날짜를 기반으로 한 알고리즘이 사용된다.
웹페이지로 위장한 악성 코드 ‘새로운 보안 위험’
이제는 웹사이트를 통해 전파되는 악성코드가 등장했다. 특히 ‘정상적으로 보이는’ 웹사이트조차도 눈 깜짝할 사이에 컴퓨터에 애드웨어, 스파이웨어, 백도어 프로그램, 트로이 목마, 웜 등을 퍼뜨릴 수 있다.
이 새로운 유형의 인터넷 위협은 사용자들이 탐지하기 어려운 공격으로 구성돼 있어 사용자들은 감염여부 조차도 확인하기 어렵다.
트렌드랩(TrendLabs)은 최근 새로운 스파이웨어 기법을 추적 및 분석한 결과, 일부 스파이웨어들이 이제 공백 웹페이지나 대부분이 공백인 웹페이지를 미끼로 이용하고 있다는 사실을 발견했다. 이들은 주로 테스트 페이지나 ‘이 서버에 대한 액세스 권한이 없습니다’라는 메시지가 나오는 금지 페이지, ‘시스템 관리자에게 문의하십시오’ 등 보통 사용자들이 중요하지 않다고 생각되는 페이지로 위장한다.
이러한 웹사이트 중 상당수는 실제로 스파이웨어를 확산시키기 위한 사이트일 가능성이 있어 주의해야 한다. 이와 함께 사이트를 방문하면 사용자가 알지 못하는 사이에 스파이웨어를 전파하는 헤아릴 수 없이 많은 사이트들도 존재하고 있다.
트렌드마이크로의 컨설팅팀 이용을 차장은 “스파이웨어 감염과 관련된 많은 사이트들은 특정 서버가 파일을 저장하기 위해 이용하는 장소에 불과하다”며 “사용자가 이들 페이지에 연결된 후, 즉시 무슨 일이 발생하지는 않지만 샘플이 이러한 스토리지 웹사이트를 통해 사용자의 시스템에 다운로드 되자마자 곧 감염될 것”이라고 분석했다.
기존 URL 위조 기법(피싱 URL은 웹 주소 필드에 나타난 일반적인 URL을 통해 흰 배경상의 텍스트로 위장) 또는 파밍 기법(피해자들은 정확한 URL을 입력하지만 완벽하게 위장된 악성 사이트로 연결함)이 유행했다. 초기에 이러한 기법은 인터넷 익스플로러 보안 취약점으로 발표됐지만 이후에 기법들이 발전하면서 인터넷 브라운저 파이어폭스(Firefox)마저도 이러한 취약점을 지니고 있는 것으로 밝혀졌다. 이러한 취약점 때문에 사용자가 공식 링크를 클릭하더라도 악의적인 피싱 웹사이트로 경로가 변경된다.
전문가들은 이제 공격자들이 악의적으로 링크에 공식 URL을 입력하고 의심 없는 사용자들이 이를 클릭하여 악성 웹사이트에 연결되기를 기다리기만 하면 된다는 점을 우려하고 있다. 또한 이러한 기법은 여전히 다른 경로로 변경하기 전에 사용자들이 링크를 클릭하도록 요구하기 때문에 온라인 보안을 효과적으로 보장하려면 사용자들은 e메일이나 인스턴트 메시지에 있는 링크를 클릭하는 대신, 브라우저에 직접 해당 URL을 입력해야 한다.
이러한 링크를 클릭하면 소스 코드가 미리 자바스크립트(Javas-cript)를 추가하기 때문에 인터넷 브라우저가 특정 웹페이지로 경로를 재지정하게 된다. 경로 재지정 명령 코드가 변경되면 공격자는 취약점을 악용하여 원하는 모든 자바스크립트를 실행할 수 있다. 예를 들어 사용자가 http://www.사이트명.com으로 시작되는 링크를 클릭하면 이 사용자는 악성 코드가 포함돼 있는 웹페이지로 경로가 재지정 될 수 있으며 교차 웹사이트(cross-website) 공격을 받을 수 있다. 대표적인 예로 개인 정보를 요구하는 위조 사이트명 트랜잭션 웹페이지나 위에서 언급한 스파이웨어를 숨기고 있는 ‘금지된(Forbidden)’ 페이지를 들 수 있다. 여기에서는 브라우저의 자바스크립트 지원을 해제하는 것이 이러한 허위 URL을 일시적으로 처리할 수 있는 효과적인 방법이다.
미국 IT업체들의 연합 단체인 ‘전국 사이버 보안 연합(NCSA)’의 조사 결과에서 가정용 컴퓨터의 80%가 스파이웨어에 감염돼 있지만 대부분의 사용자들은 이를 인식하지 못하고 있는 것으로 나타나 이러한 사실을 뒷받침하고 있다. 또한 한 사용자의 저성능 컴퓨터상에서 1000여 개의 스파이웨어가 발견되기도 했다. 때문에 스파이웨어를 조기에 탐지하지 않는다면 엄청난 스파이웨어 프로그램이 순식간에 전파될 수도 있다. 이렇게 되면 스파이웨어의 수가 정규 프로그램보다 많을 수도 있다.
이러한 웹사이트 피해를 방지하기 위해 한국트렌드마이크로는 기본적인 8가지 수칙을 권장하고 있다.
웹사이트 피해를 방지하기 위한 8계명
? 회신하지 마십시오.
사용자 이름, 비밀 번호 또는 신용 카드 번호와 같은 개인 정보나 금융 정보를 요청하는 e메일에 대해서는 신중을 기하고, 가급적 회신하지 않는 게 좋다.
? 클릭하지 마십시오.
알 수 없는 출처에서 보낸 e메일 내에 있는 링크는 클릭하지 않는 게 좋다. 설사 웹사이트를 방문하고자 하는 경우라면 브라우저의 웹 주소 필드에 URL을 직접 입력한 다음, 정상적으로 나오는 로그인 창을 통해 이용하는 것이 좋다. 또한 정보를 확인하기 위해 해당 사이트 업체에 문의해도 된다.
? 첨부 파일을 열지 마십시오.
메일을 받았는데 알려진 출처에서 보낸 e메일이라는 확신이 없다면, e메일 첨부 파일을 열지 않는 게 좋다. 대부분의 출처가 불명확한 메일은 개인정보를 노리는 악성코드일 가능성이 아주 높다.
? 보안 패치를 항상 최신으로 유지하세요.
사용하고 있는 바이러스 백신은 최신 버전을 항상 유지하고 최신 보안 패치를 설치해야 한다.
? 검사하십시오.
기밀 정보를 전송하거나 인터넷 뱅킹을 사용하기 전에 웹사이트 정보가 암호화됐는지 확인해야 한다. 매번 주소가 https(비 https)로 시작하는지, 그리고 상태 표시줄에 잠금 아이콘이 나타나는지 확인하라. 보안 검사가 이루어지도록 보장하기 위해 잠금 아이콘을 더블 클릭하는 것은 웹사이트를 방문하는 경우에도 마찬가지이다.
? 도움을 받으십시오.
의심스러운 e-메일을 받았지만 어떻게 처리해야 할지 모른다면 e-메일 검사를 지원하는 많은 전문업체들의 도움을 받을 수 있다.
(문의사항이 있는 경우 트렌드마이크로의 사기방지팀 antifraud @support.trendmicro.com로 이메일을 보내면 된다.)
? 바이러스 관련 최신 정보에 귀를 기울이세요.
끊임없이 변하는 다양한 바이러스 및 악성코드에 대한 위협을 방지하기 위한 최고의 전략은 지속적으로 최신 정보를 입수하는 것이다. 또한 인터넷 사기에 대한 지식을 넓히는 것도 매우 중요하다.
? 기업 내에서는 다계층 보호 솔루션을 설치해라.
악성코드를 탐지하고 인터넷 컨텐츠를 필터링하며 인터넷 이용을 제한하기 위해 트렌드마이크로의 토탈 솔루션과 같은 소프트웨어를 설치하면 해커 및 스팸으로 인한 손해로부터 시스템을 보호할 수 있다.
2005년 악성코드 스파이웨어 동향 분석 결과
안철수연구소, ‘올해 최대 보안 이슈는 돈 노린 해킹’
안철수연구소는 2005년 1월부터 11월까지의 악성코드/스파이웨어 동향을 분석한 결과 5대 이슈로 ▲금전 노린 해킹 급증 ▲악성코드의 국지화, 게릴라화 ▲스파이웨어의 지능화 ▲휴대전화, 휴대용 게임기 공격 본격화 ▲악성코드 간 통합화 증가 등을 선정했다. 또한 올해 가장 피해가 많았던 악성코드는 넷스카이.29568인 것으로 나타났다고 발표했다.
돈 노린 해킹 범죄 급증
6월 인터넷 뱅킹 해킹 사고, 7월 국내 금융사기 피싱 첫 등장을 비롯해 지속적으로 피해를 일으키고 있는 온라인 게임 계정 탈취 등 일련의 사건은 악성코드가 금전적 이익을 위한 도구로 본격 활용되기 시작했음을 보여주는 것이다. 특히 온라인 게임 계정을 탈취하는 악성코드는 국내에서 발견된 것만 193개에 달하며 피해 신고도 1058건에 달해 많은 게임 사용자들에게 피해를 주었다.
악성코드의 게릴라화, 국지화
악성코드는 전세계적으로 폭넓게 퍼지기보다 특정 지역에서 게릴라성으로 피해를 입히고 있다.
언제 어디서 터질지 모르는 ‘사이버 지뢰’라고 할 수 있다. 실제로 올해 와일드 리스트(Wild List; 전세계적으로 두 곳 이상의 지역에서 감염 활동이나 발견 등의 보고가 있었던 바이러스 정보 DB)에 보고된 악성코드 가운데 한 곳에서 보고된 것이 월 평균 3500여 개, 두 곳에서 보고된 것이 월 평균 700여 개로 지난해 각각 1000여 개, 300여 개에서 대폭 늘었다. 이에 따라 각 지역에 근거한 분석 및 대응 조직 및 보안 서비스의 필요성이 더욱 커질 것으로 보인다.
스파이웨어의 지능화
신종 스파이웨어 발견 개수가 일반 악성코드(2,656)의 약 2배인 5,623개에 달하며 피해 신고 건수도 악성코드(18,457)의 약 2배인 34,021건에 달했다. 수적 증가도 문제이지만 트로이 목마 등 다른 악성코드와 결합돼 개인 정보 유출 등의 위험성이 더해지고 있다. 더욱이 기술의 지능화로 암호화와 자기보호 기능을 가진 스파이웨어가 증가하고 있어 문제가 더욱 심각하다.
이런 가운데 허위 검사 결과를 보여주고 사용자의 결제를 유도하는 가짜 안티스파이웨어 프로그램이 난립해 사용자에게 이중으로 피해를 주고 있다. 스파이웨어 역시 금전적 이익을 노리고 제작된 것이라는 점에서 최근 해킹과 맥을 같이 한다.
휴대전화, 휴대용 게임기 공격 본격화
국내에서는 아직 피해가 발생하지 않았지만 외국에서는 둠부트(Doomboot), 카드트랩(Cardtrap), 카드블록(Cardblock) 등 휴대전화 OS(운영체계)인 심비안용 악성코드가 꾸준히 등장했다. 특히 3분기에는 전파 수단이 기존 블루투스에서 MMS(Multimedia Messaging Service)로 이동해 지역적 한계를 넘었으며 휴대전화와 연결되는 다른 OS나 시스템도 감염시키는 악성코드도 등장해 새로운 국면으로 접어들었다. 또한 소니 PSP, 닌텐도 DS 등 휴대용 게임기에서 작동하는 악성코드가 첫 등장해 향후 유사한 사례가 잇따를 것으로 전망된다.
악성코드 간 통합화 증가
이메일 웜과 악성 IRCBot 웜, 스파이웨어와 바이러스가 결합된 형태가 다수 등장했으며, 10월에는 메일로 확산되고, 스팸 메일을 발송하며, 키보드 입력 정보 유출, 백도어(원격 제어) 등 종합적 악성코드인 ‘멀티드롭퍼.23044’가 등장하기에 이르렀다. 이는 악성코드의 지능화의 수위가 점차 높아지고 있음을 보여준다.
한편, 2006년에는 모바일 악성코드나 64비트용 악성코드, 피싱 등의 위협이 현실화할 것이며, 검색 엔진 강화에 따라 개인 정보 보호 문제가 대두할 것으로 전망된다.
안철수연구소 김익환 부사장은 “인터넷의 발달로 한동안 이메일로 지역 경계를 넘어 무차별적으로 확산되던 악성코드가 점차 국지성을 띠고 있다. 따라서 현지의 악성코드에 효과적으로 대응할 신뢰성 있는 긴급 대응 및 서비스 조직을 갖춘 업체가 고객의 요구를 충족시킬 수 있다.”라고 설명했다.