한국IBM(대표 이휘성, www.ibm.com/kr)은 기업들의 보안 부주의로 인해 고객들이 사이버 범죄에 노출되고 있다는 내용을 담은 2008년 X-Force 동향 및 리스크 연례 보고서를 발표했다.
보고서에 따르면 사이버범죄자들이 고객 대상 공격 거점으로 기업 웹사이트를 사용하는 사례가 급증하고 있으며, 고객 개인 정보 도용에 기업 웹사이트를 이용하고 있는 것으로 나타났다.
이번 X-Force 보고서는 사이버 범죄자들이 웹사이트를 통해 대중들을 표적으로 삼는 공격방법에 관한 두 가지 주요 트렌드를 발표했다. 첫번째는 웹사이트가 기업 IT 보안의 ‘아킬레스건’이 되고 있다는 것이다.
해커들이 최종 사용자의 PC를 감염시키기 위해 웹 애플리케이션 공격에 집중하고 있음에도 불구, 많은 기업들은 취약점이 많은 패키지 애플리케이션이나 더 심한 경우 보안 취약점의 패치가 불가능한 맞춤형 애플리케이션을 사용하고 있다. 웹 애플리케이션 관련 취약점들은 지난해 발견된 전체 보안 취약점들의 절반 이상을 차지했으며, 이 중 74% 이상은 보안 패치가 제공되지 않았다. 이에 따라 2008년 초 등장한 대규모 자동화 SQL(Structured Query Language) 인젝션 공격에 대한 취약점은 계속 줄어들지 않고 있으며, 공격량은 2008년 말 같은 해 여름 대비 30배로 증가했다.
두 번째 주요 트렌드는 해커들이 여전히 최종 사용자의 PC를 공격하기 위해 브라우저나 액티브X 컨트롤에 집중하고 있으면서도, 플래시 등의 동영상, PDF 문서 등을 통한 새로운 형태의 해킹 바이러스로 관심의 초점을 옮기고 있다는 점이다.
IBM X-Force 연구소는 2008년 4분기 중 확인된 해킹 바이러스를 옮기는 악성 URL들의 수가 2007년 한 해 동안 발견된 수보다 50% 증가했음을 확인했다. 또한 스팸 메일 발송자들은 더 많은 스팸 메일을 전송하기 위해 잘 알려진 웹사이트를 활용하고 있어 인기 블로그나 뉴스사이트를 통해 스팸 메일을 발송하는 기술은 2008년 하반기에 두 배 이상 증가했다.
X-Force 보고서는 또한 2008년 공개된 일부 주요 취약점에 대해서는 광범위한 공격이 이루어지지 않았다는 점을 지적했다. IBM X-Force 연구소는 보안업계가 이 점에서 힌트를 얻어 현재의 취약점 대응 우선순위를 보다 유용하게 발전시킬 수 있다고 보고 있다.
현재 취약점 대응 우선순위의 결정은 업계 표준 ‘취약점 공동 평가 시스템(CVSS; Common Vulnerability Scoring System)’을 통해 진행되고 있다. CVSS는 공격의 강도 및 용이함 등 취약성의 기술적인 면에 초점을 맞추고 있다. 물론 이들 요소들은 매우 중요하지만, 컴퓨터 범죄의 일차적 동기인 ‘경제적 기회’를 반영하지 못한다는 단점을 갖고 있다.
크리스 램 수석 운영 관리자는 “CVSS는 보안업계에 보안 위협을 측정하는 필수적인 기반을 제공하고 있다”라며 “하지만 사이버 범죄자의 궁극적인 동기는 돈이라는 사실 또한 인식해, 해커들이 취약점의 공격 비용 대비 기대수익을 어떻게 보고 있는지를 충분히 고려할 필요가 있다”라고 말했다.
램은 “보안업계가 컴퓨터 범죄자의 범행 동기를 보다 잘 이해할 수 있다면 즉각적인 위협들을 발견했을 때 응급 패치가 가장 필요한 시점을 보다 정확히 결정할 수 있을 것이며, 특정 취약점에 공격이 집중될 때까지 오랜 시간이 걸릴 것인지, 또는 공격이 아예 발생하지 않을지를 한층 정확히 판단할 수 있게 될 것”이라며, “이러한 분석은 시간과 자원의 효율적 사용을 가능하게 해 줄 것”이라고 설명했다.
한편 IBM의 최신 X-Force 보안 보고서는 스팸전송 1위국은 브라질, 러시아, 미국, 터키 등이었으며 중국은 2008년 최초로 미국을 제치고 가장 많은 악성 웹사이트를 보유한 국가로 떠올랐다고 밝혔다.
또 2008년 전체 악성 프로그램의 46%가 온라인 게임과 인터넷 뱅킹 사용자를 목표로 하는 트로이목마(Trojans)였다. X-Force 보고서는 이들 특정 사용자 집단이 2009년에도 계속적으로 공격 대상이 될 것으로 예상하고 있다.
전자신문인터넷 장윤정 기자linda@etnews.co.kr