안철수연구소(대표 김홍선 www.ahnlab.com)는 올 한 해 동안의 보안 위협의 주요 흐름을 분석해 ‘SNS(소셜 네트워크 서비스) 및 소셜 메시징 인프라를 이용한 피싱 기승’ ‘7ㆍ7 DDoS 대란 및 DDoS 공격 유발 악성코드 다수 등장’ 등 ‘2009년 10대 보안 위협’을 다음과 같이 발표했다.
특히 이 회사는 11월 현재 접수된 해킹 툴 건수가 지난 한 해 동안 접수 건수의 4배를 넘어설 정도로 급증, 해커들이 자신의 실력을 과시하는 데 그치지 않고 해킹을 돈벌이 수단 혹은 오프라인의 사회 질서를 위협하는 범죄 수준에 도달한 것으로 판단했다.
이에 대해 이 회사 조시행 상무는 “최근의 보안 위협은 마치 지능범과 같아서 보안 제품의 진단을 회피하는 고도의 기법을 사용하고 특히 갈수록 교묘해지는 공격 기법에 대응하기 위해 전문적이고 체계적인 보안 관리와 서비스가 중요하다”고 설명했다.
△7ㆍ7 DDoS 대란 및 DDoS 공격 유발 악성코드 다수 등장=2003년에 발생한 1·25 대란 이후 최대 사이버 재난으로 기록될 ‘7.7 DDoS(Distributed Denial of Service; 분산서비스거부) 공격’이 발생했다. 이는 사전에 12개의 악성코드를 유포해 해당 악성코드가 설치된 다량의 좀비 PC를 이용해 국내외 주요 웹 사이트를 일주일 동안 DDoS 공격한 사건이다. 여기에 사용된 악성코드는 마이둠 변종 3개와, 네트워크 트래픽을 유발하는 에이전트 6개, 공격 대상 웹사이트 목록을 담은 파일(BinImage/Host), 또 다른 악성코드를 내려받는 다운로더, 공격 후 하드 디스크를 손상하는 트로이목마로 총 12개이다. 이후 이와 유사한 스케줄링 기능을 활용하여 예정된 시각에 특정 사이트를 공격하는 악성코드(Win-Trojan/SynAttack)나 DDoS 공격을 하도록 설계된 악성코드가 다수 등장했다.
△웹 공격의 지능화=웹사이트 공격 기법이 교묘해져 공격 목표 서버로 바로 연결되지 않고 중간에 다른 서버를 거치거나, 정상 링크와 매우 흡사한 링크를 사용하는 등의 기법이 등장했다. 다양한 공격 툴을 쓰거나 난독화, 우회 등의 지능적인 방법을 사용하기도 한다.
특히 2008년 매스 SQL 인젝션(Mass-SQL Injection) 공격으로 소수의 PC에서 다수의 웹사이트를 침해할 수 있게 된 후, 2009년에는 상반기부터 ‘검블러(Gumblar,Geno)’ ‘나인볼(Nine-Ball)’이라는 공격이 가시화했다. 하반기에는 이런 공격을 당한 웹사이트에서 다오놀(Win32/Daonol) 악성코드가 유포돼 피해 신고가 급증했다. 또한, 분석 및 추적을 방해하는 기법도 지능화했다. 이처럼 웹이 주요 공격 목표가 된 이유는 한 번의 공격으로 많은 좀비 PC를 확보할 수 있기 때문이다. 웹 취약점이 단순히 한 사이트의 웹 침해 사고로 끝나지 않고 대량 공격의 기반으로 확대될 수 있기 때문에 철저한 관리가 중요하다.
△사회공학기법에 기반한 스팸봇(SpamBot)의 확산=올해 기승을 부린 대표적인 스팸봇은 웨일닥(Waledac), 제트봇(ZBot), 브레도랩(Bredolab) 등이다. 이들은 주로 국제적인 이슈들을 가장한 소식이나 허위 운송장 메일 같은 사회공학적인 기법을 이용해 유포됐다. 이들은 단순히 스팸 메일을 보내는 것에 그치지 않고 가짜 백신이나 악성코드를 설치하기도 한다. 일부 스팸봇은 윈도우 시스템 파일을 감염시키고, 메모리 치료가 필요하거나 자기 보호 기능이 고도화한 형태가 부쩍 증가했다.
△몸통 없는 악성코드 발생=올해 발견된 콘피커(Conficker), 팔레보(Palevo), TDL루트킷(TDLRootkit) 같은 악성코드의 공통된 특징은 진단·치료가 매우 까다롭다는 것이다. 이들은 일반 응용 프로그램이 접근하지 않는 특정 메모리 영역에 자리잡고 악의적인 동작을 한다. 이런 악성코드는 파일을 진단·삭제하는 것으로는 완벽히 치료되지 않으므로 메모리를 치료해야 한다. 이 밖에 사용되지 않는 디스크 영역에서 동작하는 악성코드도 등장했다. 이처럼 파일 형태로 존재하지 않기 때문에 소위 ‘몸체 없는 악성코드’로 분류된다.
△일반 애플리케이션의 제로데이(0-day) 취약점 지속 발견= 제로 데이 취약점은 취약점은 발견됐는데 해당 소프트웨어 개발사의 공식 패치가 제공되기 전 상태에 있는 취약점을 말한다. 예방과 방어책이 존재하지 않는 상태이기 때문에 다른 위협에 비해 더 큰 피해를 일으킨다. 액티브X와 인터넷 익스플로러 제로데이 취약점은 과거부터 지속적으로 악용됐고, 최근에는 MS 오피스 제품군과 어도비 리더(PDF) 및 플래시 플레이어(flash) 등 대중적인 애플리케이션의 취약점을 이용해 악성코드를 배포한다. 공격의 위협을 최소화하기 위해 이를 사전 탐지하는 보안 제품을 활용하는 것이 안전하다.
△SNS 및 소셜 메시징 인프라 이용한 피싱 기승=타인의 계정으로 메신저에 로그인해 지인인 척 대화 상대에게 금전을 요구하는 사기가 증가했다. 계정 노출은 악성코드를 통해 이루어진다. 이 악성코드는 그림 파일이나 인터넷 주소를 대화 상대에게 보내 접속 시 계정을 입력하도록 한다. 이와 같이 메신저나 트위터, 페이스북 같은 소셜 메시징 인프라나 SNS(소셜 네트워크 서비스)의 사용자 계정을 탈취해 대화 상대에게 사기를 치는 사건이 빈발했다.
△프로그래밍 도구 델파이 감염시키는 바이러스 등장=인덕(Win32/Induc) 바이러스는 일반적인 실행 파일이 아닌 개발자들이 사용하는 프로그래밍 도구 ‘델파이’의 일부 파일을 감염시켜 이슈가 됐다. 이 바이러스는 델파이로 파일을 만들 때마다 해당 파일을 감염시킨다. 따라서, 사용자가 보안 제품으로 치료하는 것은 한계가 있어 델파이 개발자가 개발 소스를 수정해 재배포해야 한다. 한 외국 백신은 델파이로 개발한 파일을 모두 삭제하는 오진으로 큰 파장을 일으키기도 했다.
△콘피커 웜, 바이럿 바이러스 등 변종 기승=콘피커 웜(Win32/Conficker.worm)은 2008년 10월 말 첫 보고 이후 2009년 초부터 전세계로 급속 확산됐다. 취약점(MS08-067), USB 메모리, 네트워크 공유 폴더 등 다양한 전파 방법을 사용하기 때문에, 확산력이 뛰어나다. USB 자동 실행(Autorun)과 자기 보호 수단을 가지고 있어서 치료가 쉽지 않다. 특히, MS08-067 취약점에 대한 보안 업데이트를 하지 않은 기업은 콘피커 웜의 변종 때문에 피해가 많았다. 한편, 2006년 발견된 바이럿(Win32/Virut) 바이러스는 메모리 치료를 하지 않으면 반복 감염되고, 보안 제품의 진단을 회피하는 변형이 지속적으로 제작돼 올해도 많은 피해를 주었다.
△가짜 백신 배포 방법의 지능화=올해 들어 가짜 백신 배포 방법이 더욱 교묘해지고 지능화했다. 최근의 이슈로 사용자를 유인하고 동영상 재생 프로그램(코덱)이나 동영상 자체로 가장해 배포된다. 이들은 바탕화면을 변경하고 사용자가 바꿀 수 없게 만들거나, 컴퓨터의 보안 설정을 변경하거나 인터넷 익스플로러를 제외한 모든 프로세스를 동작할 수 없게 한다.
△온라인 게임 해킹 툴 급증=온라인 게임 해킹 툴은 비정상적인 방법으로 메모리, 게임 파일, 서버 등에 접근하여 데이터 등을 변조함으로써 게임 플레이를 불공정하게 이끄는 오토 플레이, 메모리 조작 등의 해킹 툴을 의미한다. 2008년에 급증했던 해킹 툴의 증가 추세가 2009년 들어서도 꺾이지 않고 있다. 11월 현재까지 접수된 해킹 툴 건수(1910건)는 안철수연구소가 온라인 게임 해킹 통계를 집계한 2005년 이후 최대 수치이다. 2008년 한 해 동안 접수된 건수(506개)의 4배를 넘는다.
안수민기자 smahn@etnews.co.kr