인터넷 보안위협 보고서, 기업공격 증가 추세

보안솔루션 전문기업인 시만텍(www.symantec.co.kr)
에서 인터넷 보안 위협 보고서(Internet Security Threat Report) 15호를 발표했다. 2009년부터 한
해 동안 수집된 주요 사이버 범죄 동향을 조사 & 분석한 이 보고서는. 전 세계 200여 개국에 설치된 24만여 개의
센서와 1억 3,300마내의 시스템에서 수집된 데이터를 바탕으로 작성되었다.

이 보고서에 따르는 2009년 1월부터 12월까지 특정 기업을 겨냥한 표적 공격 위협이 증가했으며, 사이버 범죄에 악용되는
공격용 툴킷이 보편화되면서 사이버 범죄가 양산되는 추세를 보인 것으로 나타났다. 아울러 웹 기반 공격이 여전히 기승을 부리고
있고, 법적 규제가 느슨한 신흥국가에서의 활동이 증가한 것으로 나타났다고 시만텍은 밝혔다.

특히 세계적인 경제불황의 여파 속에도 지하경제(Underground economy)는 거의 영향을 받지 않은 것으로 조사됐다.
아울러 개인 대상의 사기 행각에서 기업이나 정부기관을 겨냥한 고도의 정교한 표적공격으로 질과 양적인 면에서 규모가 확대되고
있다는 점에서 대책 마련이 시급한 한 것으로 나타났다.
사용자 삽입 이미지
다음은 시만텍이 발표한 인터넷 보안 위협 보고서 15호에 실린 보안 위협 현황을 요약한 내용이다.

 기업을 겨냥한 표적 공격 위협의 증가

구체적으로 이번 보고서는 사이버 공격의 양상이 기존의 전방위적인 무작위 공격에서 특정 기업을 조준한 표적 공격으로 바뀌고 있음을
확인시켜 줬다. 지적 재산, 컨텐트, 아이디어 등 정보의 가치로 정의되는 오늘날의 정보 경제(Information
economy) 환경에서 사이버 범죄자들은 그 어느 때보다도 기업의 기밀 정보를 빼돌려 금전적 이득을 취하기 위해 열을 올리고
있다. 심지어 공격자들은 표적으로 삼은 기업의 시스템에 침투하기 위해 소셜 네트워킹 사이트에 널린 개인 정보와 정교한 사회
공학적 기법을 이용해 특정 기업의 특정 인물을 겨냥하기도 한다.

대표적인 예가 2009년 말에 발생한 악명높은 ‘하이드락 트로이목마(Hydraq Trojan, 일명 오로라)’ 공격을 들 수
있다. 하이드락과 같은 표적 공격은 기업의 핵심 정보에 접근할 수 있는 특정인을 속여서 감염된 이메일이나 다른 메시지들을 열도록
하는 정교한 사회 공학적 기법을 이용한다.

또한 시그니처 기반의 악성 코드 탐지기술을 피하도록 설계되어 있기 때문에 공격을 방어하기가 어렵다. 일반적인 해킹 공격과 달리
표적 공격은 기업 네트워크에 침투해 오랫동안 잠복하면서 기업의 기밀정보를 빼내도록 설계된다. 이러한 표적 공격은 주로 대량의
개인정보 유출을 수반하는 대규모 데이터 침해사고에서 발견된다.

공격용 툴킷의 보편화로 사이버 범죄 급증

이와 함께 사이버 범죄용 툴킷을 통해 초보자들도 손쉽게 시스템을 공격하고 정보를 빼돌릴 수 있는 악성 코드를 만들 수 있게
되면서 사이버 범죄가 급증한 것으로 나타났다. 이러한 툴킷 중 하나인 제우스(Zbot)는 700달러 내외에 구입할 수 있으며,
개인 정보를 빼내도록 설계된 악성 코드를 자동으로 생성해준다.

제우스와 같은 툴킷을 사용해 공격자들은 말 그대로 수백만개의 악성 코드 변종을 만들어내고 있기 때문에 시그니처 방식에 의존하는
기존의 보안 소프트웨어만으로는 이 모든 변종을 다 탐지하기란 거의 불가능하다. 따라서 행위 기반 및 평판 기반 보안 기술을 통해
기존의 탐지 기술을 보완할 필요가 있다.

웹 기반 공격 여전히 기승

오늘날 공격자들은 사회 공학적 기법을 통해 사용자들이 아무런 의심없이 악의적인 웹사이트에 방문하도록 유도한다. 이러한
웹사이트들은 웹 브라우저 또는 비디오나 문서 파일을 보기 위해 필요한 플러그인의 취약점을 이용해 사용자들의 컴퓨터를 공격한다.
특히 2009년에는 PDF 뷰어를 겨냥한 웹 기반 공격이 전체의49%를 차지할 만큼 급증했는데, 이는 2008년 조사된 11%와
비교하면 기록적으로 증가한 수치이다.

2009년 웹 기반 공격에 주로 이용된 상위 5개 취약점 중 4개는 클라이언트 취약점이었다.  이들 4개 취약점 중 2개는
어도비 아크로뱃(Adobe Acrobat)과 어도비 아크로뱃 리더에서, 나머지 2개는 MS 인터넷 익스플로러와 액티브X
컨트롤에서 발견된 취약점이다. 이는 해킹 공격에 주로 웹 브라우저 및 관련 기술들의 취약점이 악용되고 있다는 점을 시사한다.

신흥국가, 악성활동 주요 국가로 부상

이번 보고서에 따르면 브라질, 인도, 폴란드, 베트남 및 러시아 등 IT 인프라 및 광대역 통신망이 빠르게 발전하고 있는 신흥
국가에서 악의적 활동들이 급증하고 있는 것으로 나타났다. 이는 선진국들의 강력한 사이버 범죄 규제로 인해 사이버 범죄자들이 관련
법규제가 상대적으로 느슨한 개발도상국으로 본거지를 옮기고 있기 때문으로 풀이된다.

이 밖에도 ISTR 보고서 제15호에 수록된 주요 내용은 다음과 같다. 

– 2009년 시만텍은 2억4천만개 이상의 새로운 악성 프로그램을 탐지했는데, 이는 2008년과 비교해 100%나 증가한 것이다.

– 2009년 시만텍 보안 소프트웨어가 가장 빈번히 차단한 보안 위협은 키보드나 마우스의 활동을 감지해 아이디나 패스워드 등
개인정보를 빼내는 키로깅 기능을 가진 Sality.AE 바이러스, 미디어 파일을 감염시킨 후 감염된 파일을 재생할 때 악의적인
웹 사이트로 연결하는 Brisv Trojan, 그리고 컴퓨터의 주요 정보를 몰래 빼돌려 공격자에게 보내는 SillyFDC 웜
순이었다.

– 2009년 말 현재 현재 전세계적으로 약 650만대의 컴퓨터가 컨피커(또는 다운애드업) 웜에 감염돼 있는 것으로 파악됐다.
아직까지는 컨피커 웜에 감염된 컴퓨터들이 심각한 범죄 활동에 동원되고 있지는 않지만 컨피커 웜의 배후 범죄세력이 여전히 감염된
컴퓨터에 대한 키를 보유하고 있기 때문에 언제 터질지 모르는 시한폭탄과 같다

– 2009년에 유출된 개인정보의 60%는 해킹에 의한 것으로 나타났다. 지난 1월 시만텍이 발표한 ‘2010 기업 보안현황
보고서’에 따르면, 설문에 응한 기업들 중 75%가 2009년에 사이버 공격을 경험했다고 답했는데, 이는 이러한 문제가 일부
대기업들에 국한된 것이 아니라는 것을 보여준다.

– 2009년 시만텍이 관찰한 전체 이메일 중 88%가 스팸 메일이었다. 2009년 전세계적으로 매일 평균 1천70억건의 스팸
메시지가 발송됐으며, 이 중 85%가 봇넷을 통해 발송된 것으로 파악됐다. 컷웨일(Cutwail), 러스톡(Rustock) 및
메가-D(Mega-D)를 포함해 스팸 발송에 동원된 상위 10개의 봇넷들이 제어하는 좀비PC는 최소 5백만대 이상이다. 시만텍은
지하경제에서 봇 감염 컴퓨터가 대당 3센트 미만에 거래되고 있는 것으로 파악하고 있다.

– 시스템을 보다 안전하게 업그레이드된 상태로 유지하기가 갈수록 어려워지고 있다. 많은 사용자들이 한참 전에 공개된 취약점조차
보안 패치를 안하고 있는 것으로 나타났다. 일례로, 사용자의 컴퓨터로 악성 코드를 다운로드시키는데 악용되는 ‘마이크로소프트
인터넷 익스플로러 ADODB.Stream 객체 파일 설치 취약점(Microsoft Internet Explorer
ADODB.Stream Object File Installation Weakness)’은 2003년 8월 23일 공개된 이후
2004년 7월 2일부터 보안 패치가 제공되고 있지만 2009년에도 여전히 가장 자주 공격에 동원되는 웹 기반 취약점 중
2번째를 차지하고 있다.

%d bloggers like this: