"웹2.0 트렌드에 편승해 악성코드도 지능화"

국내 최대 정보보안 기업인 안철수연구소(대표 오석주 www.ahnlab.com)는 올해 상반기 보안 동향을 분석해 10대 이슈를 발표했다. 눈여겨볼 만한 특징은 웹2.0 흐름에 맞추어 악성코드 역시 그에 편승해 지능화했다는 점이다. 한편 올해 상반기에 새로 발견된 악성코드는 3,306개로 지난해 상반기 1,531개 대비 2배 이상 급증했다. 이에 반해 스파이웨어는 1,070개로 전년 동기 3,160개에 비해 1/3로 줄었다.(표 1, 2 및 그림 참고) 스파이웨어의 경우 신종 발견 숫자는 줄었지만 UCC를 이용한 스파이웨어 유포 급증, 스파이웨어와 허위 안티스파이웨어 기승 등 위협은 확대되고 있는 상황이다.

1. UCC 이용한 스파이웨어 유포 급증

UCC(User Created Contents)를 이용한 스파이웨어 배포가 증가했다. 동영상 또는 플래쉬(Flash) 파일에 스파이웨어 설치를 유도하는 코드가 삽입되는 경우는 2005년부터 발견됐으나, 올해부터는 공략 대상 UCC가 더 다양해졌다. 특히 동영상을 보기 위한 필수 프로그램이라고 속이거나 미니 홈피 방문자 추적용 프로그램이라고 속이는 UCS(User Created Software)들이 스파이웨어를 설치하는 도구가 되고 있다.

2. 블로그도 해킹 대상으로 부상

다양한 툴이 제공됨에 따라 블로그를 개설 및 운영하기가 수월해져 블로그 수가 급증하고 있다. 그러나 블로그 관리용 아이디, 비밀번호가 쉽거나 여러 군데에 같은 것으로 사용할 경우 아이디, 비밀번호가 유출돼 피해를 당하는 경우가 많다. 특히 보안에 허술한 웹사이트에 개설한 블로그의 경우도 그 웹사이트 서버가 해킹을 당하면 관리자 권한을 잃는 일이 발생한다. 이는 블로그의 내용 변경부터 사생활 침해까지 심각한 문제를 야기할 수 있다. 특히 오랫동안 휴면 상태로 방치된 블로그는 피해를 당하고도 모르는 경우가 많다.

3. 메신저 통한 웜 유포 급증

연초부터 메신저를 통해 유포되는 악성코드가 자주 출현했다. Look at this: 1960.basu????dewa.co496 등 특정 인터넷 주소를 클릭하도록 유도하는 스트레이션.젠 웜을 필두로 photo album.zip 파일과 photos.zip 파일을 전송하는 셰도봇(ShadoBot) 웜 변종이 잇달아 발견됐다. 해당 인터넷 주소를 보내고, 그 주소를 클릭하면 누가 대화 상대에서 본인을 차단하거나 삭제했는지 알 수 있다며 메신저 ID와 비밀번호를 입력하라고 하는, 광고성 메시지까지 등장했다.

4. 윈도 비스타 취약점 노린 제로 데이 공격 첫 등장

윈도 비스타와 인터넷 익스플로러 7에도 존재하는 ANI(Animated Cursor) 파일의 취약점을 노린 제로 데이 공격이 처음 등장했다. ANI 취약점은 윈도 애니메이션 커서와 아이콘 파일에 존재하며, 이 취약점을 공격하는 코드가 알려지자마자 국내 웹사이트에서 악성코드를 전파하는 데 악용됐다.

5. 파밍 공격 국내 첫 발생

뱅키(Banki) 트로이목마는 국내 최초로 PC에 있는 호스트(hosts) 파일을 변조해 가짜 금융권 웹사이트로 사용자를 유도하는 파밍 공격을 했다. 이로 인해 일부 사용자가 개인 정보는 물론 공인 인증서까지 탈취당했다. 파밍 공격은 피싱 공격보다 사용자가 알아차리기 더욱 어렵다는 점에서 사용자와 해당 기관의 주의가 필요하다.

6. ARP 스푸핑 공격 통한 악성코드 유포 첫 발생

올해 상반기에 ARP(Address Resolution Protocol; 주소결정 프로토콜. IP 주소를 물리적 네트워크 주소로 대응시키기 위해 사용되는 프로토콜) 스푸핑(Spoofing; 위장) 공격을 이용한 악성코드 유포 기법이 처음 나타났다. 과거에 해커는 유명한 웹 서버 자체를 공격해 악성코드 경유지로 활용했다. 그러나 웹 서버 보안이 강화하자, 네트워크의 서브넷(subnetwork. 어떤 기관에 소속된 네트워크이지만 따로 분리된 한 부분으로 볼 수 있는 네트워크. 일반적으로 한 서브넷은 한 지역, 한 빌딩 내에 있는 모든 컴퓨터들을 나타낼 수 있음) 내에 침투해 ARP 위장으로 해당 서브넷 내의 PC들을 감염시키는 기법을 쓰게 된 것이다. 어떤 시스템에 ARP 위장 기능을 가진 악성코드가 설치되면 약간의 조작으로 동일 구역 내의 다른 시스템에 쉽게 악성코드가 설치될 수 있다. 이는 종전과 달리 사용자가 해킹된 웹사이트를 방문하지 않더라도 악성코드에 감염될 수 있다는 것을 의미한다.

7. 백신 제작 방해하는 바이러스 기승

작년에 바이킹(Viking) 바이러스가 국내외에 심각한 피해를 준 데 이어 올해는 델보이(DellBoy), 바이럿(Virut), 알만.C(Alman.C) 바이러스의 변형이 다수 발견돼 심각한 위협을 주었다. 이 바이러스들은 분석 및 백신 제작을 지연시킬 목적으로 자신을 은폐하거나 암호화했다는 점에서 이전보다 더 지능화했다.

8. 온라인 게임 계정 유출 스파이웨어 강세

2006년 하반기부터 증가하기 시작한 온라인 게임 계정 유출 스파이웨어의 피해는 최근까지 이어지고 있으며, 2007년 1월에 최고조에 달했다. 중국발 해킹에 의해 보안에 취약한 웹사이트가 변조되고, 여기에 악성코드가 삽입되면, 취약점 패치를 하지 않은 인터넷 익스플로러 사용자가 해당 웹사이트에 방문하는 것만으로 쉽게 감염된다. 일부 변형은 네트워크로 전파되어 여러 사용자에게 피해를 주었다.

9. 스파이웨어 및 허위 안티스파이웨어 기승

스파이웨어 제작사와, 이를 배포하는 업자 간 제휴가 증가함에 따라 스파이웨어 및 허위 안티파이웨어가 여전히 기승을 부렸다. 이것들은 광고, 유료 사용자 확보 및 설치 배당금 등의 금전적인 이익을 목적으로 한다. 무차별적으로 배포되는 스파이웨어나 허위 안티스파이웨어는 악성코드에 감염된 채로 배포되거나 악성코드 감염의 매개체가 되는 경우가 적지 않다.

10. 윈도 애플리케이션 취약점 위협 증가

올해 상반기에 발표된 MS 윈도 관련 애플리케이션 취약점은 총 26개로 전년 동기(19개) 대비 26.3% 증가했다. 특히 인터넷 익스플로러와 오피스의 취약점이 절반을 차지했다. 애플리케이션 취약점은 웹사이트 해킹 후 악성코드를 배포하거나 악성코드가 포함된 문서 파일 등을 메일로 유포하는 데 이용된다. 또한 국내 인터넷 사이트에서 많이 사용되는 액티브X 애플리케이션의 취약점도 속속 발견되고 있다. 수상한 발신인이 보낸, 문서 파일이 포함된 메일을 유의해서 읽어야 하며, 매월 발표되는 보안 패치를 반드시 적용해야 안전하다.

안철수연구소 강은성 상무는 "웹2.0의 개방, 공유, 참여의 철학은 보안 대책이 뒷받침될 때 빛을 발할 수 있다. 기술의 발전은 일반 사용자는 물론 악성코드 제작자에게도 기회이므로 항상 보안 측면을 동시에 고려해야 한다"라며 "안전을 위해서는 보안 패치 적용을 비롯해 V3, 빛자루 등 통합 보안 제품의 실시간 감시 및 업데이트 등 기본적인 수칙을 습관화하는 것이 필수이다"라고 강조했다.

                                                     2007. 7. 12

                          시민의 관점으로 시민이 만드는 생활밀착 뉴스/정보

                                     보도자의 입장을 100%반영하는 보도

                                           카빙메이커투 : 박영수

                                           - 카빙-  cabing.co.kr

                              <저작권자 (C) 카빙. 무단전제 - 재배포 금지>