고등학생인 김인철 군(17)은 요즘 사용자제작콘텐츠(UCC)를 보는 재미가 쏠쏠하다. 친구를 비롯해 네티즌의 재기발랄한 아이디어가 가득한 UCC를 감상하는 것이 취미가 된 지 오래다. 그런데 며칠 새 PC가 눈에 띄게 느려졌다. UCC에 몰래 숨겨진 악성코드가 PC에 설치돼 사용자 정보를 가로채 발송하기 때문이다.
UCC 등 사용자 참여형 서비스가 늘어나면서 올해 ‘웹2.0 사이버 위협’이 현실화될 전망이다. 이에 따라 UCC가 새로운 보안 위협으로 떠올랐다.
8일 안철수연구소와 맥아피 등 보안 기업은 올해 온라인 비디오 공유 서비스의 인기를 틈타 MPEG 파일을 이용한 악성코드 출현이 임박했다고 경고했다.
김우한 한국정보보호진흥원 인터넷침해사고대응지원센터장은 “아직까지 국내에 UCC를 악용한 악성코드 사례는 접수되지 않았지만 MPEG를 이용해 악성코드 유포가 가능하다”며 “해외에서 사고가 접수되고 있어 국내 출현에 주의를 기울이고 있다”고 말했다.
해커들은 웹2.0의 핵심 서비스인 UCC에 트로이목마나 스파이웨어, 애드웨어 등의 악성코드를 삽입하는 기술을 발전시키고 있다.
보안 전문가들은 국내 웹2.0 사이트 상당수가 HTML 태그 편집 기능을 제공해 블로그 대상으로 음란 사이트 광고 사업이나 스파이웨어가 급증할 것이라고 지적했다.
실제로 미국의 대표적인 웹2.0 서비스인 마이스페이스에서 비디오 파일재생용 태그를 악용해 자바 스크립트를 실행시키는 바이러스가 등장했다. 이 바이러스는 동영상을 재생하지 않고 웹 페이지만 열람해도 감염되는 형태다.
또 웹2.0 핵심 기술인 에이잭스(Ajax)를 활용한 바이러스도 마이스페이스에 등장했다. 맥아피는 웹2.0 악성코드가 고도의 기법을 이용한 공격으로 일반 사용자가 이를 식별하고 감염을 막는 것이 어렵다고 지적했다. 스파이웨어가 창궐하고 있는 국내에서는 UCC가 스파이웨어 유포의 숙주로 악용될 가능성이 매우 높다.
임채호 NHN 보안 실장은 “UCC의 활성화로 웹 사이트에 업로드 기능이 강화되면서 보안 취약점이 대폭 증가해 UCC에 대한 감시를 강화했다”면서 “UCC가 성인물이나 악성코드를 유포하는 숙주로 사용될 수 있어 악용 여부를 가리는 솔루션을 설치하고 콘텐츠를 모니터링하는 등 피해 최소화에 중점을 두고 있다”고 말했다.
김인순기자@전자신문, insoon@
◆뉴스의 눈 "UCC가 악성코드 새 진원지"
기업들은 올해 여러 보안 위협에 시달릴 전망이다. 일단 UCC 등 새로운 IT인프라를 노리는 해킹은 늘어나고 악성코드의 경우 더욱 지능화될 전망이기 때문이다.
이러한 상황을 반영하듯 한국정보보호진흥원(원장 이홍섭)과 안철수연구소(대표 오석주), 뉴테크웨이브(대표 김재명) 등 국내 정보보호 대표 기관들은 ‘2007 보안 위협 전망’을 내놨다.
보고서는 UCC가 악성코드 유포경로로 악용될 소지가 높으며 VoIP 해킹과 모바일 기기용 악성코드의 출현을 경고했다. 또 e메일보다 웹사이트를 이용한 악성코드의 전파와 금전적 목적을 노리는 행위가 지속적으로 증가할 것으로 예측했다.
예컨대 악의적인 VoIP 음성메시지를 남겨 개인 정보를 유출하도록 유도할 수 있는 VoIP공격과 음성을 이용한 피싱인 ‘비싱(vishing)’이 위협적이며, PMP와 DMB, 네비게이션 등 휴대 단말기를 이용한 악성코드 유포도 늘어날 것이라는 전망이다.
올해 특히 최신 CPU나 응용 프로그램이 지원하는 가상화 기법을 이용한 악성코드도 부각될 것으로 보인다. 이런 악성코드는 하드웨어와 운용체계 사이에 가상 OS 환경을 만들고 이 환경에서만 동작한다.
따라서 OS에 설치된 보안 프로그램은 가상 환경에서 벌어지는 일을 인지할 수가 없어 매우 위험하다. 여기에 중국발 웹 사이트 해킹이 게임 정보 탈취에서 금융정보 등 민감한 정보 유출까지 확대될 것으로 예상된다.
전문가들은 올해 바이러스나 웜같은 악성코드와 광고를 노출하는 스파이웨어가 혼합된 경우도 적잖이 등장할 것으로 보고 있다. 해커들은 나아가 봇 네트워크의 존재를 숨기기 위해 암호화 방법을 선택하는 등 지능화한 방법을 택할 것으로 예상하고 있다.
어쨌든 이 같은 현상을 막기 위해서는 안티 바이러스 업체만의 노력으로는 부족하며 네트워크 보안업체, 기타 보안업체들의 협조와 공동대응이 필요할 것으로 보인다.
예컨대 기업은 보안 전문 업체의 새로운 정보에 귀 기울이고, PC나 네트워크에 보안 제품을 설치해 항상 최신 버전으로 유지하는 등 정보보호의 생활화에 앞장서야 할 것이다.
최희재·김인순기자@전자신문, hjchoi@