트렌드마이크로는 이메일의 첨부파일은 패치를 설치하는 대신 악성코드를 실행하여 첨부파일 실행 시 인터넷에서 무료로 다운로드 받을 수 있는 상용 키로거를 설치하므로 사용자의 주의를 요구한다고 밝혔다. 특히 이 첨부파일은 사용자 시스템에 최소 3가지의 서로 다른 트로이목마 구성요소를 감염시킨다.
트렌드마이크로는 이에 대비해 사용자들에게 시스템에서 최신 보안패치와 업데이트된 바이러스 차단 정의를 유지하는 것이 좋다고 밝혔다. 또한 마이크로소프트를 비롯해 보안 벤더, 은행 등 합법적 사업자들은 보안 패치나 민감한 정보는 이메일에 첨부하지 않는 것이 좋다고 권고했다.
트렌드마이크로는 MS보안패치 관련해서 가짜라는 것을 알아챌 수 있는 많은 허점이 있다고 지적했다. 먼저, 메시지가 오래된 악성코드인 ‘베이글.D’를 현재 확산 중인 악성코드로 언급하거나 MS와 같은 합법적 기업에서 사용자에게 농담처럼 ‘조언을 받지 말라’는 식의 메시지를 보낸다. 그리고 ‘이렇게 패치를 설치하지 않을 경우 법률에 저촉된다’며 사용자를 위협한다. 그러나 현재 전 세계 어느 국가도 ‘희생자’가 시스템에 패치를 설치하지 않았다는 사실만으로 책임을 져야 한다는 법적 조항을 가지고 있지 않다. 또한 많은 스팸, 피싱 및 기타 e-메일에서 발생한 위협과 마찬가지로 이 메시지들도 몇 가지 철자 및 문법적 오류가 있다.
트렌드마이크로 보안담당자는 앞으로 이메일이 의심스러울 때는 브라우저를 열어서 해당 벤더의 URL을 직접 입력해 보는 것이 가장 좋은 방법이니 출처를 알 수 없는 e-메일은 먼저 확인해보는 것이 바람직하다고 지적했다.
최신 봇-넷에 대한 해법
트렌드마이크로는 봇-넷이 타깃 공격에서 컴퓨터 손상을 야기할 수 있는 가장 효과적인 방법 중 하나로 악성코드 작성자들이 표적으로 삼은 금융기관에 대한 DoS 공격 개시를 통해 손실을 야기하는 등 광범위한 위력을 행사할 수 있다고 경고했다.
봇-넷(bot-net)은 컴퓨터 소유자가 인식하지 못하는 사이에 컨트롤러나 봇마스터가 생각하는 의도에 따라 설치되는 컴퓨터 클러스터이다. 봇-넷은 최소 수백 대에서 최대 수만, 수십만 대의 컴퓨터로 이루어지며 이들 모두는 공통의 기반 감염(underlying infection)을 통해 하나로 연결되기 때문에 봇마스터의 원격조정이 가능하다.
때문에 봇-넷이 새로운 것은 아니지만 여전히 위험성을 내재하고 있으며 종종 악성코드를 빠르고 효율적으로 확산시키기 위한 수단으로 사용, 악성코드 작성자들이 언제라도 활용할 수 있다. 오늘날의 봇은 모듈식으로 구축되었기 때문에 프로그램 작성자가 다양한 공격방법을 선택할 수 있다.
몇 가지 예로 취약점 공격, 대량 메일 발송, P2P(Peer-to-Peer) 확산 등을 들 수 있다. 그리고 스파이웨어/스팸 전달에서부터 DoS 공격 개시에 이르기까지 작성자들은 공격목표인 컴퓨터에 대해 동일한 봇을 사용해 다양한 활동을 전개할 수 있고, 동시에 향후 사용을 위해 감염된 시스템을 봇-넷에 추가할 수 있다.
또한 봇-넷은 원격 액세스 트로이 목마의 뒤를 자연스럽게 잇고 있으며 이들은 복제 기법이 아니라 페이로드라고 할 수 있다. 예를 들어 홈 페이지를 방문하면, 일상적으로 한 종류나 또 다른 종류의 봇이 나와 관련된 컴퓨터를 소유하게 된다. 즉, 수천 개에 달하는 봇의 힘이 하나로 결집되면 모든 웹 사이트나 네트워크를 실질적으로 무력화할 수 있다.
그리고 최근 조사에 따르면 실력이 뛰어난 범죄 조직원들이 일부 봇-넷 공격을 감행하는 것으로 나타났다. 현재 바이러스는 범죄자에 의해, 범죄 행위를 목적으로 작성되고 있지만 봇-넷은 전체 스팸, ID 도용, DoS 및 부당 취득 성향(extortion mentality) 중에서도 최첨단 형태로서 컴퓨터 범죄의 기본 요소가 되고 있다.
트렌드마이크로는 봇 차단 방법으로 네트워크 진입 시 불필요한 프로토콜을 차단할 것을 강조했다. 인스턴트 메시징 및 P2P 통신 프로토콜과 IRC(Internet Relay Chat)는 봇의 무기 중 가장 위협적인 존재로 알려져 있다. 봇은 이들 프로토콜을 사용해 다른 시스템에 악성코드를 확산시키며 봇마스터와 통신을 주고 받는다. 하지만 방화벽을 통과할 수는 없다. 그러나 다른 보안 위협에서 흔히 볼 수 있는 봇 및 봇-넷에 대한 통신 경로 차단은 해결책의 일부에 지나지 않으며 봇 작성자는 봇 스캐닝 프로그램이 봇을 어떻게 찾아내는지 잘 알고 있어 주의가 요구된다.
한편, 트렌드마이크로는 봇 차단 프로그램으로 기업용 네트워크 바이러스 월(Network Virus Wall)을, 일반 고객용으로는 개인 방화벽(Personal Firewall)을 제공하고 있다.
더욱 강력해지는 신종 악성코드의 진화
트렌드마이크로는 현재 바이러스, 웜, 트로이 목마, 스파이웨어, 피싱, 봇-넷, 루트킷 등은 물론, 2~3개의 위협이 결합된 복합위협에 이르기까지 광범위한 위협에 직면하고 있으며 이 모든 공격 기법들이 일상적인 사용자 공격에 사용되고 있기 때문에 보안 제품 및 서비스는 이에 충분히 대응할 수 있어야 한다고 지적했다.
현재 보안위협의 최대 진원지는 바로 전문 범죄자들로 이들은 자금력을 갖추고 프로그래머들을 고용해 정교한 코드를 작성한다. 또 바이러스가 효과적으로 확산되도록 바이러스 백신제품에 대적할 만큼 강력한 신종 악성코드를 완성하기 위해 시도한다.
일반적으로 악성코드(malware)는 악성 소프트웨어(Malicious Software)의 약자로서, 바이러스나 트로이목마 등과 같이 시스템 손상/붕괴를 목적으로 특별 개발된 프로그램이다. 얼마 전까지만 해도 아마추어 해커인 ‘스크립트 키디(script kiddies)’가 만든 흔히 접할 수 있는 ‘바이러스 제작 키트’를 이용해 만든 프로그램이 많았다. 그러나 최근에는 실력이 뛰어난 고액 연봉의 전문가들이 악성코드를 작성해 배포하고 있어 악성코드 위협은 더욱 심각한 수준에 이르렀다.
이처럼 악성코드 자체가 갈수록 교묘해지고 공격수위가 높아짐에 따라 악성코드 위협과 싸워야 하는 보안 업체들의 노력 또한 치열해지고 있다. 하지만, 악성코드 작성 산업이 점차 발전함에 따라 악성코드 차단은 어느 정도 사후 대응적인 조치가 될 수 밖에 없을 것이다. 즉, 악성코드 작성자들은 계속해서 새로운 기법을 개발하고 있으며 이를 차단할 수 있는 방법을 개발하기 전까지는 어쩔 수 없이 겪어야 하는 상황이다.
또한 바이러스 차단 및 위협 관리 솔루션, 기업/SMB/개별 시스템으로 무장한 대다수의 최종 사용자 조차도 여전히 감염에 노출되어 있다. 이는 사용자가 보안 솔루션을 항상 모니터링 및 업데이트해야 한다는 사실을 잊어버리는 데다 새로운 유형의 위협이 계속해서 등장하고 있기 때문이다.
이에 트렌드마이크로는 보안위협 양상에 대비하여 새롭게 출현하는 위협을 지속적으로 모니터링하고 있으며, 고객을 보호할 수 있는 사전 대처적인 솔루션을 개발하고 있다. 또 트렌드마이크로 이노베이션 랩(Trend Innovation Labs)을 통해 새롭게 등장하고 있는 위협을 지속적으로 연구 조사함으로써 향후 고객에게 영향을 미칠 수 있는 새로운 위협 및 공격 기법을 파악하고 있다.
한편, 악성코드 차단 시장은 성숙단계에 접어들었으며 바이러스 백신제품은 범용화가 빠르게 진행되고 있다. 리서치 업체인 가트너(Gartner Dataquest)의 올 상반기 보고서에 따르면, 66억 달러(미화) 규모의 보안 소프트웨어 시장은 연간 16%의 성장률을 기록한 것으로 나타났다.
MS 오피스 취약점을 노리는 공격과 대비책
트렌드마이크로는 가장 많은 사용자들이 보편적으로 사용하는 애플리케이션인 MS 오피스에 대해 OLE 표준이 개발된 이후, 문서와 데이터를 저장하기 위해 이를 활용하는 추세가 점차 높아짐에 따라 이는 악성코드를 확산시키는 주요방법 중의 하나가 되고 있다고 지적했다.
MS워드 XP 및 2003에서 스마트 태그를 사용하는 버퍼 오버플로우 취약점이 발견되었을 때, 스마트 태그를 사용하여 코드를 실행할 수 있는 첫 번째 사건으로 기록되었다. 스마트 태그는 이름 또는 날짜 등과 같이 특별한 유형으로 인식되며 자동으로 작업을 수행하는 데 사용될 수 있다. 예를 들어 MS워드에서 사용자가 날짜를 입력하면 애플리케이션은 이를 인식하여 일정으로서 MS 아웃룩에 이를 추가할 수 있다.
이에 트렌드마이크로는 MS오피스 취약점과 관련 고객들이 방화벽 실행, 소프트웨어 업데이트, 바이러스 백신 소프트웨어 설치 등과같은 PC 보호 지침에 따르도록 권고하며 안전모드의 오피스 문서를 위해 다음과 같은 지침을 발표했다.
먼저, 엑셀, 파워포인트와 같은 여타 애플리케이션에 포함되어 있는 워드파일은 열지 말아야 한다.
또 인터넷 익스플로러 혹은 다른 브라우저를 통한 웹 사이트에서 워드제목 표시 줄에 ‘안전 모드’가 보이지 않으면 열어서는 안 된다. 이는 워드가 안전모드에서 실행되지 않음을 의미하고 사용자 시스템이 악성 .doc 파일에 취약하여 감염될 수도 있기 때문이다. 대신 워드 뷰어2003을 사용하면 이러한 취약점에 영향을 받지 않고 원하는 파일을 열 수 있다.
모든 고객은 MS에서 출시한 최신 보안 업데이트를 설치해야만 공격시도로부터 시스템을 보호할 수 있으며, 자동 업데이트를 실행하는 고객들은 모든 윈도우 업데이트를 자동으로 수신할 수 있다. 보안 업데이트에 대한 자세한 내용은 MS보안 웹 사이트에서 확인 할 수 있다.
트렌드마이크로는 특히 알려진 소스 및 알려지지 않은 소스로부터 파일을 수신했을 때 주의할 것을 당부했다. 항상 윈도우를 최신 상태로 업데이트해야 하며 MSN 메신저 사용관련 컴퓨터를 보호하는 방법에 대한 자세한 내용은 MSN 메신저 FAQ 웹 사이트에서 확인할 것을 권장하고 있다.
그리고 모든 윈도우 사용자는 가능한 위협으로부터 컴퓨터를 보호하기 위해 최신 MS 보안 업데이트를 실행해야 한다. 현재 사용 중인 소프트웨어가 최신 상태인지 확신할 수 없다면, 윈도우 업데이트 웹 사이트에서 컴퓨터를 검사하여 사용 가능한 업데이트가 있는지 확인해야 한다. 또한 우선 순위의 업데이트를 설치하도록 해야 한다. 자동 업데이트 기능이 설정되어 있는 경우에는 업데이트가 출시될 때 자동으로 제공되지만, 이를 설치했는지 여부를 반드시 확인해야 한다.