트렌드마이크로 바이러스 관제 센터인 트렌드랩(TrendLabs, 필리핀 마닐라 소재)의 2006년 9월 바이러스 분석자료에 따르면, 2006년 발생한 전체 위협의 70%가 악성 코드(malicious code) 범주, 28%가 그레이웨어(grayware), 나머지는 관련 크라임웨어(crimeware)에 속하는 것으로 나타났다. <편집자>
악성 코드의 범주에는 바이러스 및 웜, 봇, 루트킷, 트로이 목마 및 백 도어, 익스플로이트 그리고 모바일 악성 코드 등이 포함된다. 또한 그레이웨어 범주에는 공격적인 마케팅 애드웨어, 전통적인 스파이웨어(일종의 트랙웨어), 그리고 BHO(Browser Helper Objects) 등이 속한다.
크라임웨어의 범주에는 스파이웨어와 기타 키로깅 트로이 목마, 해킹 툴, 그리고 피싱 관련 스팸 메일 등이 포함된다. 새로운 하이브리드 조합에는 이제 스파이-피싱과 함께 VoIP를 이용하는 일명 비싱(vishing) 기법까지 해당한다. 크라임웨어를 통해 사용자들은 증가하는 정보 도난은 물론, 민감한 데이터의 손실 등으로 인한 위협의 결과를 보다 분명하게 확인할 수 있을 것이다.
전체 위협에 대한 감염 보고가 지난해 같은기간 보다 2/3으로 감소해 1백20만 건을 기록했다. 하지만 수치만으로는 전반적인 상황을 낙관할 수만 없다는 것이 전문가의 전망이다. 보고 건수의 감소는 악성 코드 저작자가 자신들의 전쟁을 널리 확신시키기 위해 보다 교묘한 방법을 이용하고 있다는 것을 의미하기 때문이다.
레이다망 아래로 저공 비행하면서 봇/백 도어의 감염과 통제된 설치 횟수를 점차 증가시키고 있기 때문에, 그 어느 때보다 오랜 시간 동안 대규모의 모험이 탐지되지 않고 있는 것이다. 이는 여러 가지 자동 압축 프로그램과 암호화 알고리즘을 통해 이루어지고 있으며, 정확하게 겨냥한 사이트에서 보다 높은 대역폭 용량을 소모하는 타깃 공격도 입증된 전술이다.
또한 올해에는 모바일 악성 코드의 증가를 들었으며, 특히 심비안 OS 기반의 악성 코드의 증가가 두드러지게 나타났다.
기존 툴이 취약한 시스템을 찾아내 바이러스와 웜을 감염시키고, 루트킷과 기타 트로이 목마를 해당 시스템에 자동으로 다운로드하여 확산시키면, 이어 해킹 툴의 공격이 감행된다. 자동 설치 루틴은 익스플로이트와 피싱 트로이 목마를 함께 사용하여 매우 광범위하게 확산되는 것으로, 이들 하이브리드 위협을 실행되도록 한다. 일반적으로 봇넷에 포함된 새로운 위협을 통해 성공적으로 공격하고 있으며, 이는 사용자가 알지 못하는 사이에 여러 다양한 공격적인 마케팅 소프트웨어를 통해 정보를 수집하고 장기적으로 정보를 가로채는 스파이웨어를 설치할 수 있다.
PC를 위협하는 새로운 취약성
마이크로소프트는 새로운 보안 취약성들을 발표하면서, 취약성에 대한 경고 조치를 발효했다. 이번 보안 취약성은 지난해 같은 시기에 MS05-39 취약성이 발견된 후 작성된 조톱(ZOTOB) 웜과 매우 유사한 성향을 보인다.
새롭게 발표된 MS06-040취약성이 발표된 직후, WORM-IRCBOT.JK와 WORM_IRCBOT.JL라는 두 개의 신종 웜이 만들어졌다. 이 웜들은 바이러스에 감염되면 봇(bot)으로 변화시켜, 시스템 보안을 위협하는 동시에 원격 사용자가 명령어를 실행하면서 기기 작동에 대한 권한을 가질 수 있게 한다. 또한 시스템이 감염되면, 임의의 TCP 포트가 개설되어 IRC 서버와 접속한다.
이러한 접속이 백 도어(backdoor)의 역할을 해 악의적인 원격지 이용자는 명령어를 실행하여 감염된 기기에 대한 통제권을 가지게 되고, 결과적으로 시스템 보안에 실질적인 타격을 입힌다. 이러한 웜들은 여러 시스템 서비스의 기능을 정지시키거나 제한함으로써, 아무런 방해 없이 활동을 지속한다.
웜들은 흔히 사용되는 채팅 애플리케이션, AOL 인스턴트 메신저(AIM)를 통해서도 많은 시스템으로 복제 프로그램을 전파할 수 있다. 또한 이 웜은 AIM을 통해 감염된 사용자의 친구 목록에 게재된 모든 주소로 URL이 표시된 인스턴트 메시지를 발송하고, 이 메시지를 받은 사람이 URL을 클릭하면 복제 프로그램이 다운로드될 수 있기 때문에 주의를 기울여야 한다.
타깃 중심의 보안 위협 증대
최근에 등장하는 타깃을 공격하는 보안 위협의 변화는 기존처럼 악의적인 행동을 통해 악명 높은 사람이 되고자 하던 욕구에서 비롯되기 보다는 금전적인 이득을 목표로 행해지고 있다. 돈을 벌 목적으로 만들어진 신종 맬웨어(malware)들은 일반적인 네트워크로 연결된 특정 기업과 사용자, 혹은 특별 단체들을 대상으로 한다.
잘 속는 이용자들을 함정에 빠뜨리겠다는 의도 하에 특별히 고안된 트로이 목마(Trojans)를 스팸 메일 형태로 퍼뜨린다. 느린 전파 속도는 맬웨어 활동의 성공율을 급격하게 증가시키며 오랜 시간 동안 감지되지 않은 체 퍼져 나간다. 그 결과, 트로이 목마 바이러스가 발견, 제거되기 전에 상당한 양의 기밀 정보를 수집할 수 있게 된다.
트렌드마이크로 보안전문가는 “보안 위협에 있어 전반적으로 레트로 무브먼트(retro-movement)가 나타나고 있다”며 “e-메일을 통해 대량의 웜과 바이러스를 무차별적으로 발송하던 것에서 스피어피싱과 스파이피싱으로 양상이 변화하고 있다”라고 말했다.
특히 최근 위협 요소들은 다양한 경로를 통해 침입한다. 잠재적인 신규 희생자를 속여 방심하게 만들기 위해 송신자 스프핑(spoofing) 방법을 사용하는 은폐 공격이 가장 흔히 사용된다.
스피어피싱은 목표지향적인 피싱 공격으로 정의
스파이피싱은 합법적인 특정 URL로부터 특정 정보를 훔치도록 프로그래밍된 트로이 목마이다. 트로이 목마는 사용자 시스템에 잠복해 있다가 특정 URL에 접속하면 활동을 개시하여, 악의적인 서드파티에게 정보를 전송한다.
이에 반해, e-메일을 통한 웜과 바이러스의 대량 발송은 간단하게 이루어지며 작성자가 진행 과정을 추적하는 동안 널리 전파된다.
타깃 공격이 점점 더 많아지면서, 그 출처 또한 변화하고 있고 공격 결과는 더욱 위험해지고 있다. 이러한 공격들이 감지 레이더 아래에서는 활동하지 않기 때문에 장기적이며 기생적인 정보 유출의 결과를 낳을 뿐만 아니라 초기 공격에 연결되어 있는 대형 시스템의 손상 또한 야기할 것으로 전망된다.
트렌드마이크로는 현재의 위협 환경이 지속된다면 올해 나타난 여러 경향들이 계속해서 이어질 것으로 평가한다. 피셔들이 맬웨어의 수명을 연장시키는 기생적 코드를 활용함에 따라 스파이피싱이 계속해서 증가하는 것이 이에 해당한다. 루트킷(rootkit)의 사용과 취약 윈도우의 지속적인 축소로 인해 봇의 기능도 강화될 것으로 예상된다. 스피어피싱은 개별 기업에게 가장 중요한 문제거리가 될 것이다.
좀비 컴퓨터의 공격으로부터 PC 보호하기
최근 발생된 보안 문제점들은 신종 맬웨어 작성하기 쉬울 뿐만 아니라 사용자 모르게 감염된 좀비 컴퓨터 네트워크를 통해 급속히 퍼져나간다는 점이다. 이들 위협은 ‘봇 네트워크(bot network)’ 혹은 ‘봇넷(botnets)’이라고 한다. 봇에 의해 구현되는 웜들도 종종 ‘봇(bots)’이라는 별명으로 불리기도 한다.
트렌드마이크로는 올해 봄, 네 개의 맬웨어 종에서 여섯 개의 서로 다른 봇을 찾아냈는데, 이들 모두 동일한 익스플로잇 코드(exploit code)를 사용했음을 발견했다. 또 이들은 대량의 e-메일을 발송하는 메스 메일러(mass mailer)와 같은 새로운 악성 코드 기능을 각각 추가했다.
최초의 익스플로잇 코드가 작성되어 공공 인터넷 사이트에 전송되면 다른 작성자들이 보다 고급화된 씨딩(seeding) 및 증식 기술 등의 추가 기능을 덧붙이게 된다. 결과적으로 맬웨어의 침투력이 강해지고 기능 또한 더욱 강화된다.
취약점 이용 속도가 성공적인 봇 공격의 핵심
일반적으로 취약점 발표 시기에서 대다수의 컴퓨터가 패치를 설치하기까지 단지 30~90일 간의 기회가 있을 뿐이기 때문에 패치 설치 시기가 지나면 시스템들은 더 이상 감염되지 않아 얼마나 빨리 작성해야하는 지가 관건이다.
또한 서로 다른 수많은 웜 작성자 그룹들이 자신만의 봇 네트워크를 구축하기 위해 서로 경쟁하고 있다. 이들은 가능한한 많은 사용자 시스템을 감염시켜 봇넷을 형성하고 다른 작성자 그룹의 봇넷 구축에 자신들이 감염시킨 시스템이 사용되지 못하도록 하면서 서로 경쟁하고 있기 때문에 시간이 관건이라는 사실을 잘 파악하고 있다.
그 결과, 하나의 취약점이 발표되면 작성자들은 각자의 익스플로잇 코드를 만들어 가능한한 가장 빨리 널리 유포시킴으로써 공격의 효율성을 극대화하고 싶어하고 있는 상황이다.
때문에 기업 시스템이 감염되면, 관련 취약점에 대비하여 시스템에 패치를 설치함으로써 다시는 감염되지 않을 것이라고 여기지만, 새로운 취약점이 발생하면 이 시스템은 또 다시 공격 대상이 되고 있다.
이에 대해 트렌드마이크로는 익스플로잇 코드가 작성되는 속도와 모듈 코드의 사용을 다시 한번 지적하며 변종을 만들어낼수록 더 위험한 보안 위협의 대상이 되기 때문에 주의할 것을 권고한다.
정보를 훔치는 테스트 신종 스파이웨어 BZUB
최근에 발견된 TSPY_BZUB.AE는 스팸을 통해 전달되고 있는 최신 스파이웨어이다. 마이크로소프트 윈도우 98, ME, NT, 2000, XP, 서버 2003에서 작동하는 이 프로그램은 사용자의 신상 정보를 훔치려는 목적으로 개발된 키 로거(key logger)를 내장한다.
이 스파이웨어는 스팸 메일의 첨부파일 형태로 전달될 수 있다. 또한, 다른 맬웨어가 남긴 파일이나 악성 웹 사이트 방문시 사용자 자신도 모르게 다운로드한 파일의 형태로 전달되기도 한다.
이 스파이웨어가 작동하면 무작위의 파일명을 사용하여 윈도우 시스템 폴더 내에 자체 복사본을 만들어 놓는다. 그 다음에, 일련의 레지스트리 항목을 만들어 사용자가 시스템을 실행시킬 때마다 자동적으로 작동시킨다.
또한 INFO.TXT로 명명된 파일을 만들어 감염된 기기로부터 다음에 해당하는 정보를 훔친다. 이들 정보는 자동완성(autocomplete) 정보, 컴퓨터 ID, 호스트 명, IP 주소 및 게이트웨이 주소, 운영체제, 방문 웹 사이트, 사용자 이름 및 패스워드 등이다.
2006년 하반기 보안위협 예측
트렌드마이크로는 현재의 위협 현황을 고려할 때 2005년과 유사한 추세가 앞으로도 반복될 것으로 예상하고 있다.
● 피셔들(phisher)은 기생 코드가 최신 악성 코드를 제공할 수 있는 기간을 최대한 활용하기 때문에 스파이피싱 보고서는 계속해서 증가할 것이다.
● 봇은 루트킷을 활용하고, 악용할 수 있는 발견된 취약점 간의 격차를 해소함으로써 향상된 기능을 확보하게 될 것이다.
● 스피어 피싱은 개별 기업에서 가장 우려하고 있는 위협이 되고 있다.
● 스팸은 다른 현지 언어와 방언을 전파하지만 비용을 지불할 수 있는 수익성 높은 문화에 집중하게 될 것이다.
● 갈수록 증가하고 있는 다양한 압축 프로그램들은 악성 코드를 압축하고 암호화하여 검색기 탐지를 피하는 데 이용될 것이다.
● IRC, IM 및 P2P를 비롯한 메시징 프로토콜은 계속해서 방화벽을 통과하고 감염 경로로 악용될 것이다.
● 취약점 윈도우(Vulnerability windows)는 계속 감소되고 있기 때문에 보안 업계가 제공하는 사전 대처적인 솔루션으로 보장받을 수 있게 될 것이다.
● 그레이웨어(grayware)와 악성 코드 간의 경계가 허물어짐으로써 보안 벤더들은 이러한 위협을 제거하기 위해 사용자 권한에 대한 자사의 입장을 강화할 수 있을 것이다.
● 봇 및 봇넷을 활용하는 경우 막대한 불법적 이점으로 제작자들을 보상하기 때문에 올해에 새로운 변종에 대한 탐지 빈도가 증가할 것으로 예상되고 있다. 모든 탐지되지 않는 봇은 향상된 변종이나 경쟁 변종으로 대체되기 때문에 천천히 통합될 것이다.
● 루트킷 및 다른 은밀히 우회하는 기술이 증가할 것으로 예상된다.
루트킷 기법은 갈수록 널리 사용되고 있으며 가까운 장래까지도 계속 널리 사용될 것이다. 루트킷 기법은 완화 요소로서 마이크로소프트에서 올해에 새로운 윈도우 운영체제를 출시할 경우 루트킷 프로그래머들이 새로운 환경에 대한 전략을 변경하는 데 필요할 수도 있다. 이는 오늘날 가장 널리 사용되고 있는 윈도우 버전을 위해 설계된 최신 루트킷에 전혀 영향을 주지 않다.
● 피싱 기법과 유사한 방식의 스파이피싱 및 타깃 공격의 증가
피싱과 같은 사회 공학 기법이나 다른 사회 공학 기법은 사용자 기반에 대한 영향력을 증가시킬 수 있다. 또한 공격자가 원천 정보를 수신하고 장시간 동안 탐지되지 않도록 할 수 있는 소규모 타깃 공격이 증가할 것으로 예상된다. 이 두 가지 유형 모두 과거 공격의 특징인 일반적인 파괴와 대조적으로 기밀 정보를 대상으로 하고 있기 때문에 매우 위험한다.
● 광고 프로그램은 오랫동안 널리 사용되어 왔다.
광고 캠페인은 매년 엄청난 비용을 발생시키고 있다. 많은 광고 소프트웨어 업체들은 가능한 많은 PC에 애드웨어 제품을 설치하도록 지원하기 위해 막대한 비용을 지불하고 있다. 정부에서는 이러한 실행 방식을 규제하고 차단하기 위해 노력하고 있지만 처음 등장한 이후 계속 증가하고 있다. 이제 악성 코드 작성자들도 더 많은 이익을 추구하기 위해 악성 코드에 애드웨어가 포함되도록 하는 방법을 선택하고 있다. 이는 애드웨어가 갈수록 증가하고 있는 최근의 추세를 계속 유지할 것이다.
악성 코드의 피해를 최소화하는 방법
업체 및 기업을 위한 조언
● HTTP 검사 방식을 설치하는 게 좋다.
많은 최신 위협들은 웹 프로토콜을 이용해 확산되기 때문에 관리자들은 오래 전부터 e-메일 검사 기능을 구축한 것과 같은 방식으로 웹 바이러스 검사 시스템을 구현하는 것이 좋다. 어떤 감염 파일이라도 최종 사용자에게 도달되기 전에 위협을 탐지 및 차단함으로써 기업 네트워크 인프라에 새로운 보호 체계를 추가할 수 있다. 이들 위협은 기업 환경에 침입하기 위해 HTTP만을 이용하기 때문에 네트워크 계층의 스파이웨어 보호 기능을 추가로 얻을 수 있다.
● 불필요한 프로토콜이 기업 네트워크로 진입하는 것을 차단한다.
이 중 가장 위험한 것은 IM P2P 통신 프로토콜과 IRC(채팅)이다. 이 두 가지는 봇마스터를 통해 전파되고 통신할 수 있는 봇 제품의 일환으로 기업 방화벽에서 금지되어야 한다
● 네트워크에 취약점 조사 소프트웨어를 구축한다.
지속적으로 최신 상태로 유지함으로써 모든 네트워크 취약점에 대한 영향을 최소화하고 이러한 유형의 웜을 통해 감염될 수 있는 위험을 줄일 수 있다.
● 모든 사용자에게 관리자 권한을 제공하지 말아야 한다.
모든 권한 중 가장 위험한 권한은 ‘장치 드라이버 로딩 및 언로딩하기’이다. 이는 루트킷의 공격을 차단하기 위해 가장 권장되는 방법이다. 일반적으로 루트킷은 모든 운영체제 내부에 액세스하기 위해 장치 드라이버처럼 구현된다. 이러한 방식으로 사용자를 제한하기 위해 사용자 정책을 재설계하는 것은 네트워크를 보호하는 가장 유용한 방법이 될 수 있다. 만약 관리자가 사용자의 관리 권한을 허용하지 않는다면, 공격적인 악성 코드가 시스템의 바이러스 차단 프로세스를 무효화할 수 없게 될 것이다.
● 기업 스파이웨어 차단 검사 기능을 구축한다.
스파이웨어는 기업 비즈니스에 대한 위협으로 널리 확산되고 있기 때문에 관리자들은 이를 탐지 및 차단하는 특정 소프트웨어를 구축해야 한다.
● 사용자 교육을 실시한다.
네트워크 내에 엄격한 보안 정책을 이행한다 소프트웨어와 방어 시스템은 악성 코드에 대응할 수 있어야 한다. 대개의 경우, 사용자의 몇 가지 유형의 행동으로 인해 시스템이 감염된다. 이는 스파이웨어를 설치한 웹 페이지나 감염된 e-메일이 될 수 있으며, 사용자는 사용자를 공격하는 새로운 악성 코드에 대해 미리 알고 있어야 한다. 사용자의 인식은 청정 네트워크(clean network)의 핵심이며 관리자들은 지속적인 교육을 실시하여 사용자들이 업데이트된 악성 코드 기술에 대한 정보를 얻고 네트워크를 보호할 수 있도록 지원해야 한다. 이러한 교육은 일반적으로 악성 코드 작성자들의 타깃이 될 수 있는 새로운 사용자들에게 특히 중요하다.
일반 개인 사용자를 위한 조언
● 소프트웨어 설치를 요구하는 페이지를 경계한다.
해당 웹 페이지나 소프트웨어 공급업체를 절대적으로 신뢰하지 않는 한 브라우저를 통해 새로운 소프트웨어를 설치하지 말아야 한다.
● 최신 상태로 업데이트된 바이러스 차단 및 스파이웨어 차단 소프트 웨어를 이용해 인터넷을 통해 다운로드한 모든 프로그램을 검사한다. 여기에는 소스와 상관없이 웹과 모든 FTP 서버를 통해 P2P 네트워크에서 다운로드하는 모든 것이 포함된다.
● 발신자와 상관없이 예상치 못한 이상한 e-메일을 경계한다.
이러한 e-메일 메시지에 포함되어 있는 링크를 클릭하거나 첨부 파일을 절대로 열지 말아야 한다.
● 윈도우 운영체제의 ‘자동 업데이트’ 기능을 실행시키고 가능한 빨리 새로운 업데이트를 적용한다.
● 항상 실시간 바이러스 차단 검사 서비스를 보유하고 있어야 한다.
업데이트를 수행하고 있는지 그리고 서비스가 실행되고 있는지 정기적으로 모니터링 한다.