보안

시만텍, “새로운 보안 위협으로 떠오른 기업 겨냥 사이버 공격”

편집부 | IDG Korea 2010.04.21

시만텍(www.symantec.co.kr)이 2009년 한 해 동안의 주요 사이버 범죄 동향을 조사, 분석한 최신 보고서인 ‘인터넷 보안 위협 보고서(Internet Security Threat Report)’ 제15호를 발표했다.

 

2009년 1월부터 12월까지 전세계 200여 개국에 설치된 24만여 개의 센서와 1억3천3백 만대의 시스템에서 수집된 방대한 실제 데이터를 기반으로 분석된 이번 보고서에 따르면 ▲특정 기업을 겨냥한 표적 공격 위협이 증가한 가운데, ▲사이버 범죄에 악용되는 공격용 툴킷이 보편화되면서 사이버 범죄가 양산되는 추세를 보였고, ▲웹 기반 공격도 여전히 기승을 부린 것으로 나타났다. 또한 ▲법적 규제가 상대적으로 느슨한 신흥 국가에서 악성 활동이 증가한 것으로 나타났으며, ▲세계적인 경기불황 속에서도 지하경제(Underground economy)는 별다른 영향을 받지 않은 것으로 조사됐다.

 

특히 시만텍은 이번 보고서를 통해 사이버 범죄 활동이 개인을 겨냥한 단순한 사기행각부터 기업 및 정부 기관을 조준한 고도의 정교한 표적 공격에 이르기까지 질적?양적으로 그 규모가 확대되고 있는 만큼 전세계 도처에서 벌어지는 각종 사이버 범죄에 대응하기 위해 국제적인 민관 협조체제 구축이 절실히 요구된다고 강조했다.

 

기업을 겨냥한 표적 공격 위협의 증가

구체적으로 이번 보고서는 사이버 공격의 양상이 기존의 전방위적인 무작위 공격에서 특정 기업을 조준한 표적 공격으로 바뀌고 있음을 확인시켜 줬다. 지적 재산, 콘텐츠, 아이디어 등 정보의 가치로 정의되는 오늘날의 정보 경제(Information economy) 환경에서 사이버 범죄자들은 그 어느 때보다도 기업의 기밀 정보를 빼돌려 금전적 이득을 취하기 위해 열을 올리고 있다. 심지어 공격자들은 표적으로 삼은 기업의 시스템에 침투하기 위해 소셜 네트워킹 사이트에 널린 개인 정보와 정교한 사회 공학적 기법을 이용해 특정 기업의 특정 인물을 겨냥하기도 한다.

 

대표적인 예가 2009년 말에 발생한 악명 높은 ‘하이드락 트로이목마(Hydraq Trojan, 일명 오로라)’ 공격을 들 수 있다. 하이드락과 같은 표적 공격은 기업의 핵심 정보에 접근할 수 있는 특정인을 속여서 감염된 이메일이나 다른 메시지들을 열도록 하는 정교한 사회 공학적 기법을 이용한다. 또한 시그니처 기반의 악성 코드 탐지기술을 피하도록 설계되어 있기 때문에 공격을 방어하기가 어렵다. 일반적인 해킹 공격과 달리 표적 공격은 기업 네트워크에 침투해 오랫동안 잠복하면서 기업의 기밀정보를 빼내도록 설계된다. 이러한 표적 공격은 주로 대량의 개인정보 유출을 수반하는 대규모 데이터 침해사고에서 발견된다.

 

공격용 툴킷의 보편화로 사이버 범죄 급증

이와 함께 사이버 범죄용 툴킷을 통해 초보자들도 손쉽게 시스템을 공격하고 정보를 빼돌릴 수 있는 악성 코드를 만들 수 있게 되면서 사이버 범죄가 급증한 것으로 나타났다. 이러한 툴킷 중 하나인 제우스(Zbot)는 700달러 내외에 구입할 수 있으며, 개인 정보를 빼내도록 설계된 악성 코드를 자동으로 생성해준다.

 

제우스와 같은 툴킷을 사용해 공격자들은 말 그대로 수 백 만개의 악성 코드 변종을 만들어내고 있기 때문에 시그니처 방식에 의존하는 기존의 보안 소프트웨어만으로는 이 모든 변종을 다 탐지하기란 거의 불가능하다. 따라서 행위 기반 및 평판 기반 보안 기술을 통해 기존의 탐지 기술을 보완할 필요가 있다.

 

웹 기반 공격 여전히 기승

오늘날 공격자들은 사회 공학적 기법을 통해 사용자들이 아무런 의심 없이 악의적인 웹사이트에 방문하도록 유도한다. 이러한 웹사이트들은 웹 브라우저 또는 비디오나 문서 파일을 보기 위해 필요한 플러그인의 취약점을 이용해 사용자들의 컴퓨터를 공격한다. 특히 2009년에는 PDF 뷰어를 겨냥한 웹 기반 공격이 전체의 49%를 차지할 만큼 급증했는데, 이는 2008년 조사된 11%와 비교하면 기록적으로 증가한 수치이다.

 

2009년 웹 기반 공격에 주로 이용된 상위 5개 취약점 중 4개는 클라이언트 취약점이었다. 이들 4개 취약점 중 2개는 어도비 아크로뱃(Adobe Acrobat)과 어도비 아크로뱃 리더에서, 나머지 2개는 MS 인터넷 익스플로러와 액티브X 컨트롤에서 발견된 취약점이다. 이는 해킹 공격에 주로 웹 브라우저 및 관련 기술들의 취약점이 악용되고 있다는 점을 시사한다.

 

신흥국가, 악성활동 주요 국가로 부상

이번 보고서에 따르면 브라질, 인도, 폴란드, 베트남 및 러시아 등 IT 인프라 및 광대역 통신망이 빠르게 발전하고 있는 신흥 국가에서 악의적 활동들이 급증하고 있는 것으로 나타났다. 이는 선진국들의 강력한 사이버 범죄 규제로 인해 사이버 범죄자들이 관련 법규제가 상대적으로 느슨한 개발도상국으로 본거지를 옮기고 있기 때문으로 풀이된다.

 

기타 ISTR 보고서 제15호의 주요 내용은 다음과 같다.  

 

- 2009년 시만텍은 2억4천 만개 이상의 새로운 악성 프로그램을 탐지했는데, 이는 2008년과 비교해 100%나 증가한 것이다.

 

- 2009년 시만텍 보안 소프트웨어가 가장 빈번히 차단한 보안 위협은 키보드나 마우스의 활동을 감지해 아이디나 패스워드 등 개인정보를 빼내는 키로깅 기능을 가진 Sality.AE 바이러스, 미디어 파일을 감염시킨 후 감염된 파일을 재생할 때 악의적인 웹 사이트로 연결하는 Brisv Trojan, 그리고 컴퓨터의 주요 정보를 몰래 빼돌려 공격자에게 보내는 SillyFDC 웜 순이었다.

 

- 2009년 말 현재 전세계적으로 약 650만대의 컴퓨터가 컨피커(또는 다운애드업) 웜에 감염돼 있는 것으로 파악됐다. 아직까지는 컨피커 웜에 감염된 컴퓨터들이 심각한 범죄 활동에 동원되고 있지는 않지만 컨피커 웜의 배후 범죄세력이 여전히 감염된 컴퓨터에 대한 키를 보유하고 있기 때문에 언제 터질지 모르는 시한폭탄과 같다

 

- 2009년에 유출된 개인정보의 60%는 해킹에 의한 것으로 나타났다. 지난 1월 시만텍이 발표한 ‘2010 기업 보안현황 보고서’에 따르면, 설문에 응한 기업들 중 75%가 2009년에 사이버 공격을 경험했다고 답했는데, 이는 이러한 문제가 일부 대기업들에 국한된 것이 아니라는 것을 보여준다.

 

- 2009년 시만텍이 관찰한 전체 이메일 중 88%가 스팸 메일이었다. 2009년 전세계적으로 매일 평균 1천70억 건의 스팸 메시지가 발송됐으며, 이 중 85%가 봇넷을 통해 발송된 것으로 파악됐다. 컷웨일(Cutwail), 러스톡(Rustock) 및 메가-D(Mega-D)를 포함해 스팸 발송에 동원된 상위 10개의 봇넷들이 제어하는 좀비PC는 최소 5백 만대 이상이다. 시만텍은 지하경제에서 봇 감염 컴퓨터가 대당 3센트 미만에 거래되고 있는 것으로 파악하고 있다.

 

- 시스템을 보다 안전하게 업그레이드된 상태로 유지하기가 갈수록 어려워지고 있다. 많은 사용자들이 한참 전에 공개된 취약점조차 보안 패치를 안하고 있는 것으로 나타났다. 일례로, 사용자의 컴퓨터로 악성 코드를 다운로드시키는데 악용되는 ‘마이크로소프트 인터넷 익스플로러 ADODB.Stream 객체 파일 설치 취약점(Microsoft Internet Explorer ADODB.Stream Object File Installation Weakness)’은 2003년 8월 23일 공개된 이후 2004년 7월 2일부터 보안 패치가 제공되고 있지만 2009년에도 여전히 가장 자주 공격에 동원되는 웹 기반 취약점 중 2번째를 차지하고 있다.

 

시만텍코리아의 윤광택 이사는 “사이버 공격의 양상이 기존의 전방위적인 무작위 공격에서 특정 기업을 겨냥한 표적 공격으로 바뀌고 있으며, 사이버 범죄용 툴킷을 통해 초보자들도 손쉽게 시스템을 공격하고 정보를 빼돌릴 수 있게 됨에 따라 사이버 범죄가 급증하고 있다”고 지적하며, “사이버 범죄 피해를 방지하기 위해 개인 사용자들은 최신 보안 소프트웨어를 사용하고 보안 안전수칙을 준수해야 하며, 기업의 경우 사이버 보안 위협을 완화하기 위한 정책구현은 물론 엔드포인트, 메시징, 웹 환경에 대한 보안을 수행함으로써 공격에 노출될 가능성을 최소화해야 한다”고 강조했다.

 

시만텍 ‘인터넷 보안 위협 보고서(Internet Security Threat Report)’에 대한 보다 자세한 정보는 홈페이지에서 찾아볼 수 있다. editor@idg.co.kr

 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.