WMF 제로데이 공격 처음 발생
익스플로잇은 관리자 권한을 획득하기 위해 목표 시스템에서 사용하는 프로그램의 취약점을 공격해 또다른 악성프로그램을 다운로드 및 실행하기 위해 만든 악성코드다.
WMF의 취약점을 이용한 위협은 취약점이 발표되자마자 이를 이용한 익스플로잇이 같은 날 출현했기 때문에 ‘제로데이 익스플로잇’이라고 불린다. 즉 보안 패치가 없는 상태에서 급속하게 익스플로잇 코드가 출현했기 때문에 많은 컴퓨터가 피해를 입을 수 있으며 보안업체들이 패치를 작성해 설치할 수 있는 충분한 시간적인 여유가 없어 설상가상의 상태가 될 수 있다.
특히 이번 익스플로잇은 특수한 방법으로 만들어진 WMF 이미지를 마우스 오른쪽 버튼으로 클릭하기만 하면 공격자가 선택한 코드 실행이 가능한 것이 특징이다. 또 제로데이 익스플로잇이 등장한 후 얼마 지나지 않아 트로이목마와 스파이웨어가 복사본 다운로드 및 코드 실행을 위한 수단으로 사용되기 시작했다.
제로데이 익스플로잇을 악용한 최초의 악성 코드는 TROJ_ NASCENE.A으로 밝혀졌으며 2005년 12월 28일 수신되었다. 이는 unionseek.com 사이트에 연결되어 TROJ_DLOADER. BFK는 트로이목마를 다운로드했다. 얼마 지나지 않아 트렌드랩은 다양한 TROJ_NASCENE 변종을 수신했으며 가장 최근에 발견된 변종은 TROJ_NASCENE.BQ이다.
디지털 보안은 이와 같이 보안 장벽을 손쉽게 우회할 수 있는 익스플로잇이 막대한 위험을 야기할 수 있다는 점에서 최우선 과제가 되고 있다. 안티바이러스는 새로운 샘플을 찾아내기 위해 계속 패턴을 업데이트할 수 있지만 패치되지 않은 시스템은 제한된 범위 내에서만 보호할 수 있다는 점이 문제이다.
앞으로도 윈도우 취약점을 노린 공격들은 점점 더 많아질 것으로 예상되기 때문에 이에 대한 충분한 준비가 필요한 시점이다.
포르노 이메일 가장한 ‘나이젬’
지난 1월 말 포르노 이메일을 가장해 등장한 나이젬 변종 웜은, 감염 시 2월 3일 전세계를 공략할 것이라는 메시지를 포함하고 있어 큰 위협의 대상이 됐다. ‘Nyxem’, ‘BlackMal’, ‘Mywife’, ‘CME24’ 등의 이름으로 불리기도 했다. 또한 다른 웜들과 마찬가지로 WORM_GREW.A도 이메일 첨부나 네트워크 공유, P2P 파일 공유 서비스 등을 통해 감염되었다. 또 감염되면 매월 3일 워드, 엑셀, 파워포인트 등으로 작성된 사용자의 중요 데이터 파일들이 삭제되거나 키보드, 마우스 등의 실행도 방해하는 등의 현상이 나타났다.
특정 공격일을 예고하는 형식으로 전세계 PC 사용자들의 중요 데이터들을 공격하는 인터넷 웜은 최근 들어 처음 등장했다.
지난 1월 16일 해외에서 이 웜이 처음 보고된 이래 현재 전세계 50만대 이상의 PC가 감염돼 있는 것으로 추정되고 있다. 그러나 보안업계에 잘 알려진 이 웜은 트렌드마이크로를 포함한 많은 보안 벤더들이 이 웜에 대한 대비책을 마련하여 피해가 발생하지는 않았다.
WORM_FEEBS : 웜의 진화
악성코드 기술의 진화는 대개 일정한 패턴을 가지고 있다. 악성코드 제작자는 가장 먼저 ‘코드의 다른 부분에 복사할 수 있는 코드를 작성할 수 있다면 어떨까?’ 하는 생각을 떠올리게 된다.
그 다음으로 코드의 프로토타입(prototype) 역할을 하는 최초의 개념 증명(proof of concept)이 나오게 된다. 이렇게 되면 사이버 상에서 빠르게 확산되면서(cyber hype) 해커 및 보안 전문가 모두의 관심을 불러일으키고 사람들이 인식하기 전에 가능한 모든 방법으로 프로토타입 코드에 대한 검사, 복사 및 수정이 이루어지게 된다.
일반적으로 그 다음에는 사람들이 알아야 할 것은 거의 다 알고 있고 최악의 상황은 끝났다고 믿게 되는 상대적인 평온 상태가 뒤따른다. 그 다음에는 ‘인터넷을 통해 코드가 자기 복제될 수 있게 하면 어떨까?’ 하는 또 다른 흥미로운 아이디어가 나오게 된다.
그동안 악성 코드는 바이러스 개발자가 다음 아이디어를 기다릴 필요가 없을 정도로 정교화되었기 때문에 AV 벤더는 한시도 긴장을 놓을 수 없게 되었다. 그들이 원하는 것은 시도하거나 테스트한 공식을 재미 삼아 적용해 보는 것 뿐이다.
기본적인 바이러스를 가져와서 약간의 백도어(backdoor) 기능을 제공하고 P2P 네트워크를 통해 유포한 다음 자체 SMTP 적색경보(엔진을 장착해 여분으로 3~4개의 취약점을 악용할 수 있도록 하면 Red Alert) 게임과 같이 경쟁자가 등장하게 된다.
정탐자 역할을 하는 트로이목마
지난 2004년 처음 발생한 베이글 웜은 최근에는 단순한 대량 메일 웜에서 베이글 트로이목마(Bagle Trojan)라는 선발 정탐자를 내세운 대량 메일 웜으로 진화하기 시작했다.
한층 정교화된 베이글 웜의 감염 루틴은 최신 스파이 영화를 방불케 하고 있다. 먼저, 정탐자(베이글 트로이목마)는 e-메일 메시지(웜이 전송)에 첨부되어 도착한다. 그 다음, 웜이 도착할 때를 대비해 구축되어 있는 방어선을 약화시켜서 시스템 성능을 저하시키게 된다.
베이글 트로이목마는 윈도우 익스플로러 내부에 삽입해 프로세스를 감춘다. 베이글 트로이목마가 실행되면 바이러스 백신 소프트웨어 및 기타 악성 코드와 관련된 하드 코딩된 프로세스 목록이 종료된다. 또한, 윈도우 자동 업데이트, 경보, 인터넷 접속 공유, 윈도우 보안 센터 서비스 등 마스터(웜)의 확산을 막을 수 있는 몇몇 윈도우 서비스도 종료된다. 감염된 시스템의 방어선이 붕괴되면 베이글 트로이목마는 베이글을 시스템에 다운로드해 실행한다.
이러한 공격은 불시에 일어나기 때문에 막대한 피해를 준다. 이러한 피해를 방지하기 위해서 안티바이러스 업체는 악성코드 확산을 효과적으로 차단하기 위해 트로이목마와 웜을 모두 잡아야만 한다. 컴퓨터 시스템의 교란을 위해 서로 다른 유형의 2가지 악성코드가 공조하도록 한다는 발상은 획기적으로 새로운 아이디어는 아니지만 악성코드 감염 기법의 진화에 한 획을 그은 것으로 평가된다.
‘FEEBS’ 새로운 공격방법 개발
올 초, FEEBS 웜은 베이글 웜에서 처음 사용된 이러한 공생감염 방식(symbiotic infection)을 모방해 새로운 공격 방법을 개발한 웜으로 주의해야 한다.
베이글과 마찬가지로 FEEBS웜은 단순한 웜의 형태로 출현했다. 실제로 FEEBS웜은 P2P 네트워크 전파라는 하나의 감염 채널만을 가지고 있었다. 또한 윈도우 방화벽을 무력화시켰지만 합법적으로 보이는 파일 이름을 사용해서 사용자가 복사본을 실행하도록 유도하는 등 사회 공학적인 측면에 주로 의존했다.
그 과정에서 대량 메일 기능이 FEEBS에 추가되었다. 또한 FEEBS는 자체 복사본을 감염된 e-메일 메시지에 첨부하는 대신 베이글 트로이목마와 유사하게 HTML이나 HTA 파일을 첨부해 선발 정탐자 역할을 한다.
첨부 파일에는 실제로 WORM_FEEBS 사본을 시스템에 다운로드 또는 설치(dropping)할 때 HOTMAIL.COM 로딩 페이지로 스스로를 위장하는 자바스크립트 트로이목마가 포함되어 있다. 트로이목마 스크립트의 일부 변종은 바이러스 차단 소프트웨어와 관련된 서비스도 무력화시킨다. 하지만 베이글 트로이목마가 탐지를 피하는 동시에 디버깅 차단 방법의 하나로 패커(packer) 및 컴프레서(compressor)에 의존한다면, FEEBS의 트로이목마 스크립트는 형태 변화가 가능한 다형성(polymorphism)이라는 보다 근본적이면서도 강력한 기법을 사용하고 있다.
이러한 루틴은 스크립트 작성 언어인 자바스크립트로 작성되었기 때문에 암호 해독기(decryptor) 형태를 손쉽게 바꿀 수 있다(반면 베이글 트로이목마는 바이너리로 작성되어 수정을 할 때마다 재컴파일링이 필요). 한 변종에서는 암호 해독기를 디코딩하기 전에 함수가 삽입되었다. 이 새로운 함수의 역할은 암호 해독기 문자의 모든 인스턴스를 새로운 것으로 대체하는 것이다(예를 들면 모든 A를 B로 교체). 그 결과 기존 트로이목마와 작동 방법은 동일하지만 기존 패턴으로는 탐지할 수 없는 새롭게 형태의 버전이 나오게 된다. 또한 이렇게 나온 새로운 버전의 스크립트에서는 패턴 기반의 스캔 엔진이 자체 휴리스틱스(heuristics)를 조정해야 한다.
FEEBS의 트로이목마 스크립트는 바이너리 스크립트에 비해 또 다른 이점을 가지고 있다. 오른쪽 <표>에서는 이 두 트로이목마 스크립트의 특성이 요약되어 있다.
FEEBS는 아직 지난 2004년과 2005년 몇 차례 경보를 야기했던 베이글과 같은 영향력은 발휘하지 못하고 있다. 그 까닭은 FEEBS가 단지 기존 기술을 재활용할 뿐 보다 효과적으로 사용하지 못하고 있기 때문인 것으로 분석되고 있다. 이는 최근의 다형적 변종에 대해 스캔 패턴을 업데이트하면 된다.
베이글과 FEEBS 웜이 어떠한 취약점을 악용했는지 파악하는 것이 무엇보다 중요하다. 지금까지는 기존의 악성 코드 기술(다형성, 루트킷, 악용 취약점 등)에 의한 공격이 전부였다. 하지만 이제는 다양한 유형의 악성코드가 컴퓨터 시스템에 협공을 펼치는 등 위협 형태가 다양해지고 있다. 클러스터의 각 악성코드는 다른 시간대에 도착해서 서로 다른 페이로드를 개시하고 다음 익스플로잇의 도착에 대비해 루틴을 수행할 수 있게 되었다. 따라서 베이글과 FEEBS에서 이렇게 조직적인 공격을 완벽하게 차단하기 위해서는 악성코드 사슬의 모든 링크를 차단해야 한다.
스파이웨어와 악성코드의 협공
최근 스파이웨어 중 ‘가장 피해를 준’ 공격 가운데 일부는 2개 이상의 익스플로잇의 협공으로 이루어진 것이다.
또한 최근 스파이웨어는 은행 계좌 정보를 빼내기 위해 피싱(phishing) 기법을 도입한 키로거(keylogger)와 트로이목마 스파이웨어가 컴퓨팅 환경을 맹렬하게 강타하고 있다. 비교적 오래된 익스플로잇의 새로운 변종을 비롯해 사용자를 정보 도용의 위험에 노출시키는 새로운 악성코드 및 스파이웨어가 매일 발견되면서 바이러스 차단 솔루션 업체가 이러한 유형의 공격을 막을 수 있는 전문 제품을 내놓도록 독려하는 분위기가 이어지고 있다.
마지막으로 악성코드-스파이웨어 협공은 스파이웨어 공격을 몇 단계 강화하려는 노력이라고 볼 수 있다. 스파이웨어 프로그램은 주로 소프트웨어 설치 패키지와 함께 번들 형태로 제공되거나 인터넷에서 다운로드된다. e-메일, 랜(LAN)나 P2P 네트워크를 통한 전파될 수 있는 악성코드에 의해 스파이웨어 프로그램이 설치 또는 다운로드될 수 있다면 그 어느 때 보다 광범위한 공격이 수행될 수 있다.
악성코드 협공은 대규모 전파가 목적
현재까지 가장 널리 사용되고 있는 악성코드 중 하나인 넷스카이.P는 HTML 악성코드를 통해 ‘Incorrect MIME Header’ 취약점을 공격함으로써 전 세계 80만 대 이상의 컴퓨터를 2년 내에 감염시킨 결과를 낳았다. 특히 이 악성코드의 경우 시스템에 패치가 설치되지 않은 상태로 남아 있게 되며 메일을 열거나 단순히 미리보기만 해도 첨부 파일이 자동 실행되기 때문에 넷스카이.P가 HTML 익스플로잇을 사용하여 익스플로잇 전파를 확산시킨다.
이와 함께 전파력이 강한 악성코드로 베이글은 전파를 위해 트로이목마 설치 프로그램을 대량 메일로 전송하고 있다. 일단 익스플로잇이 실행되면 첨부된 트로이목마가 웜 복사본을 수신자의 컴퓨터에 다운로드해서 실행하는 등 악의적인 감염 사이클을 수행한다. 이러한 베이글 웜이 생성됨에 따라 트렌드마이크로는 이존 버전의 베이글로 엄청난 횟수의 경보와 더불어 수차례 중간 위험 경보를 내보냈다.
가장 최근에 나타난 FEEBS 익스플잇은 악성코드 협공을 모방해 새롭게 개발한 웜-자바스크립트 협공 전략을 활용해 공격하는 것이 특징이다. FEEBS 익스플로잇은 지금까지 수많은 변종을 낳았고 WTC 모니터링에서 상당히 많은 감염 회수를 기록하고 있다. 또한 악성코드-트로이목마 스파이웨어 협공이라는 새로운 형태도 등장했다.
2005년 5월, 대량 메일을 통해 자체 복사본을 유포하여 수천 대의 컴퓨터를 감염시킨 WORM_WURMARK.J에 대한 경보가 내려지는 등 큰 피해를 낳았다. 페이로드인 이 웜은 주로 키스트로크(keystro ke)를 로깅하며 이를 위해 트로이목마 스파이웨어인 TSPY_ AGENT.C를 설치했다.
돈을 노리는 해커들의 집중 공격
최근 악성코드-스파이웨어 협공이 스파이웨어 공격을 강화하면서, 익스플로잇 감염에 효과적인 수단으로 입증된 웜을 사용하지 않는 것은 해커들의 생각이 변했기 때문이다.
트렌드마이크로 바이러스 전문가는 “악성코드 제작자들이 전 세계 컴퓨터를 감염시킬 수 있는 능력을 알리는 데는 더 이상 관심을 두지 않고 있다”고 지적했다.
예전에는 악성코드 제작자들이 오직 자신을 치켜세우고 동료들의 부러움을 사기 위해 악성코드를 작성했다. 하지만 최근 몇 년 동안의 추세로는 작성자들이 이와 같은 성향에서 벗어나고 있는 것으로 보인다.
대신 정보 도용을 위한 새로운 형태의 악성코드가 대세가 되고 있다. 특히 금전적 이익을 위해 활용할 수 있는 정보에 공격이 집중되고 있다. 이에 다른 무엇보다도 BANCOS, BANKER, BANBRA, BANCBAN, CASHGRAB 등 다양한 트로이목마 변종이 나오고 있다.
웜의 공격 목표 수에 있어서도 가능한 많은 인터넷 사용자를 공격하는 것 보다는 전문화된 사용자 그룹을 공격하는 것을 목표로 하는 추세이다. 전문가들은 이처럼 전문화된 공격을 ‘집중 공격(focused attack)’이라고 부르고 있으며 공격이 조직화되고 범죄 조직이 공격을 주도한다는 이론이 널리 받아들여지고 있다.
특히 트로이목마는 이러한 ‘집중 공격’에 더할 나위 없이 적합하다. 트로이목마를 이용하면, 상당수의 시스템을 손쉽게 감염시킬 수 있다. 상당수의 시스템 공격을 위해서 트로이목마를 이용해 대량 스팸 메일로 TROJ_AGENT.APS가 유포된 것도 바로 이러한 이유 때문이다. 웜을 사용하지 않는 방법 역시 웜을 우회하는 이들 트로이목마의 잠입을 가능하게 한다. 이들은 과도한 네트워크 트래픽을 발생시키지 않고도 바이러스 차단 솔루션 업체의 주목을 끌 만큼 많은 시스템을 감염시킨다.
이 모든 것은 결국 익스플로잇 탐지의 문제로 귀결된다는 견해는 논쟁의 여지가 있다. 기술적 측면에 치우치지 않고 본다면 여전히 TSPY_CASHGRAB.J는 트로이목마이다. 이는 계속해서 그 영역을 확대하고 있는 악성코드와 스파이웨어 사이의 중간 영역(gray area)에 속하기 때문에 그레이웨어, 스파이웨어와 구분되어 악의적 스파이웨어인 트로이목마 스파이웨어로 탐지되고 있다. 만약 트로이목마로 탐지되었다면(그리고 과거 이러한 악성코드를 트로이목마로 탐지했다면) 다른 트로이목마를 다운로드하는 트로이목마와 같이 간단한 문제가 되었을 것이다. 보안업체들은 이에 손쉽게 대응할 수 있는 트로이목마 대응 제품군을 보유하고 있다.
트로이목마는 주로 인터넷 상의 사용자 포럼, 와레즈 사이트 등의 게시판을 통해 쉽게 전파되므로 이런 사이트를 이용할 때 출처가 불분명하거나 게시자의 서명이 없는 파일들은 다운로드 받지 않도록 주의가 필요하다.
안철수연구소가 권하는
개인정보유출 예방 10계명
지난달 인터넷 사용자 수천~수만 명의 개인정보가 유출돼 온라인 게임 사이트 회원으로 도용되는 사건이 벌어졌다. 정보 유출은 인터넷 업체의 회원정보 DB 관리가 허술해 통째로 유출된 것으로 추정되어 업체들의 회원정보 관리가 허술하다는 것이 드러났다.
그러나 개인정보 유출은 PC에서도 일어날 수 있는데, 이는 보통 트로이목마나 스파이웨어가 설치된 경우에 발생한다. 따라서 자신의 PC는 자신이 지킨다는 생활 속의 보안 의식이 중요하며 외출할 때 문단속하듯이 필수적으로 실천해야 한다. 개인이 PC 내 개인정보 유출을 막기 위해 해야 할 일은 다음과 같다.
1 굳이 회원 가입을 하지 않아도 되거나, 자주 사용하지 않는 웹사이트에는 회원 가입을 자제한다. 온라인 이벤트 응모에 무분별하게 참여하면 개인 정보 노출이 많아지므로 유의한다.
2 피싱(Phishing) 사기 e메일을 조심한다. 개인정보, 계좌정보 등을 요구하는 수상한 e메일의 경우 신종 금융사기 수법인 피싱을 먼저 의심해 각별히 주의해야 한다. 금융기관으로부터 개인정보, 계좌정보 등의 업데이트나 정보 변경을 요구하는 e메일을 받으면 클릭하지 말고 해당 금융기관 사이트에 가서 직접 확인해야 한다.
3 인터넷에서 아무 자료나 프로그램을 함부로 다운로드하지 않는다. 정품이 아닌 복제 프로그램에는 트로이목마 등의 바이러스가 공개 프로그램에는 스파이웨어가 포함되어 있을 수 있으므로 설치하지 않는 것이 좋다.
4 웹사이트 방문 시 ‘보안경고’ 창이 뜰 경우에는 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의한다. 무심코 설치에 동의하면 스파이웨어나 악성코드가 설치될 수 있다.
5 PC방 등 누구에게나 개방된 컴퓨터에서는 가급적 온라인 쇼핑이나 인터넷 금융 거래를 하지 않는다. ID와 패스워드를 가로채는 트로이목마가 설치되어 있는 경우 내 정보가 유출되어 금융 사고가 발생할 수 있다. 불가피하게 사용할 경우 백신 및 PC방화벽이 설치 실행되는 곳에서만 이용한다.
6 백신, 안티스파이웨어 제품, PC 방화벽, 키보드 보안 제품 등을 설치, 자동 업데이트 기능을 이용해 항상 최신 버전을 유지한다. 실시간 감시 기능을 설정해두고 최소 일주일에 한 번 이상 최신 버전의 보안 제품으로 PC를 검사한다.
7 최신 윈도우 보안 패치를 적용해 최신 윈도우 보안 패치를 모두 설치한다.
8 로그인 계정의 비밀번호는 영문/숫자 조합으로 8자리 이상으로 설정하며 주기적으로 변경한다. 타인이 쉽게 추정할 수 있거나 영문으로 유추하기 간단한 단어는 사용해서는 안된다.(타인이 쉽게 추정할 수 있는 비밀번호 사용 금지. 예) 주민등록번호, 전화번호, 생일날짜, 차량번호 등 개인정보)
9 이메일에 첨부된 파일이나 메신저로 전달되는 파일, P2P 프로그램을 통한 자료 다운로드 시 유의한다. 메신저로 URL이나 파일이 첨부되어 올 경우에는 반드시 메시지를 보낸 이가 직접 보낸 것이 맞는지를 먼저 확인하고 실행한다. P2P 프로그램을 이용해 파일을 다운로드할 때는 반드시 악성 코드에 감염되어 있는지 보안 제품으로 검사한 후에 사용한다.
10 중요한 문서 파일의 암호를 설정하고 백업을 생활화한다.
정보보안 첫 번째 위협요소는
‘내부자 보안 문제’
IBM ‘2005 글로벌 비즈니스 시큐리티 인덱스 리포트’
사이버 범죄가 최근 금전적인 이득을 목적으로 특정 회사나 조직을 타깃으로 은밀하며, 소규모적으로 진행되고 있다.
IBM은 최근 ‘2005 글로벌 비즈니스 시큐리티 인덱스 리포트’에서 이러한 보안 침해사고 유형 변화 흐름을 밝혔다. IBM이 밝힌 올해 기업의 핵심 정보보안 위협 요소는 ▲내부자 보안 문제 ▲개발도상국 이용 공격 증가 ▲블로그를 통한 기업 기밀자료 유출 가능성 증대 ▲인스턴트 메신저 및 P2P 프로그램 위험도 증가 ▲모바일 기기 악성코드 급증 등 5가지이다.
IBM 글로벌 시큐리티 인텔리전스팀이 작성한 이 보고서에 따르면, 2005년 전세계적으로 IT 위험지수는 중급 수준 정도이다. 조톱웜이 전 세계적으로 많은 피해를 낳기는 했으나 보안침해 사고 발생 건수는 감소한 것으로 나타났다.
그러나 이 보고서는 보안침해 사고 발생 건수의 감소가 보안 수준의 향상을 의미한다고 보기는 어려운 상황이라고 분석했다. 스팸과 악성코드(Malware), 기타 보안 침해 공격이 실질적인 목적을 가진 범죄의 성향이 짙어졌기 때문. 미국을 비롯한 전 세계의 사이버범죄로 사법 처리된 사례들의 상당수가 개인의 경제적 이득을 위해 고도로 계획된 범죄의 성격을 지니고 있다는 것이다. 또한 이는 많은 기업들이 일정 수준 이상의 정보보안 설비에 투자한 상황이므로, 앞으로의 정보보호 관련 범죄는 기업 내부인과 연계되어 일어나기 쉽다는 예측에 의거해 기업 내부 직원들이 중요한 보안 취약 요인으로 이용될 가능성이 높다고 예상했다.
2005년 보안 이슈 평가
보고서는 2005년에 대한 평가 역시 아래와 같이 정리하고 있다.
1. 타깃 이메일 공격
(Targeted Email Attack)
2005년에는 평균 약 2-3회의 타깃이메일 공격이 차단된 것으로 집계되었다. 2004년에는 거의 미미한 숫자에 불과했던 타깃 이메일 공격 방식이 뚜렷한 증가세를 보이는 것은 사이버 공격의 성향과 목적이 달라졌음을 반증하고 있다.
정부 기관이나 군, 항공, 석유, 법조, 인권 분야 등의 큰 기관을 목표로 한 경우가 많았던 것으로 집계되었다. 이런 공격 방식은 2005년 연중 몇 차례 주목을 끌었으나, 기업들을 대상으로 한 공격 사례들 중 집계되지 않은 수가 훨씬 더 많을 것으로 보인다.
2. 스피어 피싱(Spear Phishing)
공격 방식이 좀 더 특정 목표 대상을 향해 이루어지는 경우가 많았던 경향은 피싱 공격에 대해서도 동일하게 드러났다. 특히 마치 IT 부서나 인사부와 같이 특정 부서에서 보낸 것처럼 위장해서 특정 대상의 정보를 빼내는 방식의 범죄가 급증했다.
이런 경우 흔히 공격자는 피해자가 정보를 제공하면 소정의 보상을 제공하는 등 피해자가 합법적이고 안전하다고 믿도록 만든다. 이런 방식을 통해 피해자가 무심코 기업 내부 네트워크에 접속할 수 있는 접속 정보를 제공하게 만들어서 기업 기밀 정보와 지적 자산이 유출되는 피해를 발생시킨다. 스피어 피싱은 또한 악성코드 바이러스를 열어보게 만드는 유인책으로도 자주 이용되었다.
3. 바이러스
2005년에는 이메일을 통해 유포되는 바이러스의 개수는 전반적으로 줄어들었다. 평균적으로 36.15통의 이메일당 한 개의 바이러스나 트로얀과 같은 해킹프로그램이 배달되었으며 이는 전체 이메일의 2.8%를 차지한다. 이는 2004년의 16.39통당 1개, 6.1%였던 기록에 비해 현저한 감소를 보여준다.
4. 피싱
피싱은 2005년에도 여전히 주요한 위협요소였다. 2005년 동안 평균 304통의 이메일 중 하나가 피싱이었다. 2004년에는 943통당 1통이었던 데 비해 급격한 증가를 보였다. 이러한 피싱 공격의 증가는 봇넷(botnet) 사용의 증가에 기인한다고 분석하고 있다. 봇넷은 특정 대상을 공격 목표로 삼고 금전 취득을 목적으로 한 사기성 이메일을 증가시키기 위해 많이 사용되었다.
5. 정교한 악성코드(Malware)
2005년에는 보트 공격 방식과 기존의 악성코드들이 결합한 방식의 복합적인 공격방식이 급증했다. 마이톱(Mytob)이 그 대표적인 사례. 이는 마이둠(Mydoom) 웜바이러스를 기반으로 하되 보트 공격 방식과 기타 훨씬 향상된 공격 방식을 결합하여 훨씬 더 위험도 높은 악성 프로그램을 만들어 낸 사례이다. 역대 최고의 전파속도로 전 세계 1백만대 이상의 PC를 감염시킨 웜인 마이둠은 2005년에도 지속적으로 변종이 출현했다.
IBM이 보는 2006년 보안 키워드
IBM 글로벌 비즈니스 시큐리티 인덱스 보고서(IBM Global Business Security Index report)가 밝힌 2006년 정보 보안 트렌드에서 키워드들은 다음과 같다.
1. 내부자 보안 문제
각종 소프트웨어의 보안성이 향상됨에 따라, 사용자가 기업 및 기관의 가장 높은 보안 취약 요인이 될 가능성이 높아지고 있다. 정보보안 사범들이 소프트웨어의 보안 취약점을 찾는 기나긴 작업에 시간을 낭비하는 대신 조직 내부에서 보안 공격을 감행할 사용자들을 설득하거나 이용할 방법을 찾는데 더 집중할 것이다.
그런 측면에서 보면 글로벌 경제 시대에 기업의 정보보안 수준 유지는 더욱 큰 도전을 받고 있다. 즉, 조직의 글로벌화, 인수 합병이나 빈번한 구조조정 등으로 인해 보안에 대한 내부 인력들에 대한 교육과 관리가 더욱 어려워지기 때문이다.
2. 개발도상국
사이버 범죄에 대한 국제적인 협력이 다른 분야에 비해 상대적으로 약하다는 점을 이용, 개발도상국을 이용한 공격이 증가할 것이다. 동유럽이나 아시아 일부 국가들의 경우 선진국에 비해 상대적으로 사이버 범죄에 대한 규제가 약하거나 단속과 처벌이 느슨한 경향이 높다. 이런 약점을 이용한 공격으로 인해 이 지역의 기업이나 기관을 이용한 사이버 공격이 일어나도 공격 근원지 추적 및 수사에 어려움을 겪는 사례가 증가할 것이다.
3. 블로그
블로그와 같이 정보 공유와 협업을 위한 도구 사용이 증가하고 있는 추세이므로, 기업 기밀 자료 유출 가능성도 함께 증가할 것이다.
4. 인스턴트 메신저
봇넷(Botnet)이라고 명명된 바이러스 소프트웨어 집합체로 인해 사용자가 인지하지 못하는 사이에 컴퓨터가 보안 침해 사고의 도구로 이용되는 범죄가 2005년에 이어 계속해서 인터넷의 커다란 위협요소가 될 것이다.
새로운 봇넷은 은닉이 더 쉬운 용량이 작은 프로그램으로 만들어지고 있는 경향이므로, 인스턴트 메신저에 이어 새로운 형태의 P2P(peer-to-peer : 냅스터, 소리바다 등과 같이 개인 컴퓨터끼리 직접 연결하고 검색함으로써 모든 참여자가 공급자인 동시에 수요자가 되는 형태) 프로그램으로 그 공격 대상을 넓힐 것으로 예측된다.
5. 모바일 장치
핸드폰, PDA 등 무선 모바일 장치들에 대한 악성코드(Malware) 바이러스 공격이 급증하였다. 그러나, 컴퓨터와 같이 각 장치들이 연결되어 급속하게 전파될 수 없는 특성에 따라 아직 심각한 수준의 공격으로 간주되지는 않았었다. 그러나 올해에도 지속적으로 증가할 것으로 보여, 주목할 분야로 선정되었다.
이유지 기자 yjlee@rfidjournalkorea.com