한국, 봇 바이러스 감염률 아태지역 3위 … 패치 업데이트 신속설치 권장
네트워크의 발달로 인한 편리함만큼 기업의 비즈니스 연속성을 저해하는 위협은 급속히 증가하고 있다. 기업 보안은 오늘날 IT 담당자의 최대 고민거리로 떠오를 정도. 본지는 이번호(2006년 3월호, 통권 151호)부터 시만텍코리아가 제공하는 ‘시만텍 보안 업데이트’를 기반으로 최신 보안 이슈를 점검한다. 시만텍 보안 업데이트는 보안 취약점, 공격 코드, 악성 코드, 스팸 등에 관한 최신 인터넷 보안 경향을 한 눈에 파악할 수 있는 요약 보고서다. <편집자>
2005년 12월 24일부터 2006년 1월 23일까지 전세계 컴퓨터에서 가장 많이 발견된 공격은 TCP 커넥션 이벤트의 제너릭 엑스트라(Generic Extra)SYN이었으며, 스팸은 금융 상품과 관련한 내용이 가장 많았다.
시만텍의 보고서 중 눈에 띄는 것은 우리나라의 봇(Bot) 감염률이다. 한국은 22%의 봇 감염률로 아태지역 3위를 기록했다. 봇 바이러스에 감염된 PC는 공격자의 지휘 아래 일괄적으로 움직이게 되며, 추가로 감염시킬 수 있는 컴퓨터를 찾아내 DoS공격을 시행할 수 있다. 즉, 감염된 컴퓨터가 네트워크를 통해 기업 방화벽 내부로 침입하게 되면 순식간에 악성 코드가 기업 내부로 퍼지게 되는 것이다.
아태지역에서는 중국이 41%로 봇 감염률 1위를 기록했으며, 대만(25%)과 한국이 뒤를 이었다. 우리나라를 비롯해 중국과 대만은 모두 아시아태평양 지역 인터넷사용자 수에서도 상위 3개국이다. 시만텍은 봇 감염을 예방하기 위해 안티바이러스 방화벽, 침입 방지 솔루션 설치 등의 정책을 실행해야 한다고 지적했다. 또한 봇 네트워크 트래픽을 막기 위해 기업 보안 관리자들에게는 내부로 유입되는 트래픽과 외부로 유출되는 모든 트래픽에 대한 필터링 실행 확인이 요구된다.
리니지 계정 빼가는 악성 코드 ‘활발’
지난 1월 발견된 ‘리니지21(Lineage21)’은 아태지역에서 가장 많이 보고된 악성 코드 중 하나로 꼽혔다. 리니지21은 인기 온라인 게임 리니지의 계정정보를 훔칠 수 있는 트로이 바이러스다. 리니지21은 아태지역에서 전세계 보고사례의 절반 이상이 발생할 정도로 활발한 활동을 보였다.
시만텍코리아 측은 “중국 사이트에서는 도용한 한국 게임 계정이 무더기로 돌아다니고 있다고 밝혀졌다”며 “아태지역에서 리니지21의 활동을 예사롭게 넘겨서는 안된다”고 지적했다.
한편, 조사 기간 중 가장 많이 보고된 악성코드는 ‘소버.X19(Sober.X19)’가 꼽혔다. 대량 메일을 발송시키는 웜 바이러스인 소버.X19는 다른 변종들과 마찬가지로 영어와 독일어 두가지 언어로 메일을 전송한다. 대량 메일 발송 웜의 활동은 매우 활발히 나타났는데, 아태지역 악성코드 3위를 차지한 ‘러브게이트.R22(Lovgate.R22)’도 그 중 하나다. 러브게이트R.22는 DCOM RPC 취약점을 공격하고, 공유된 네트워크에 복제된다. 이 웜은 또한 감염된 컴퓨터의 백도어를 열어 원격 공격자에게 해당 컴퓨터에 있는 중요한 정보를 전송하기도 한다.
중요 정보 공격 성향 뚜렷
시만텍 통계에 따르면, 전세계 및 아태지역에서 지난 1월 가장 널리 퍼진 공격은 TCP 커넥션 이벤트(TCP Connection Event)의 ‘제너릭 엑스트라 SYN이다. 전세계적으로 16%, 아태지역에서는 8%의 공격자들이 이를 이용했다. TCP/IP 연결을 조종함으로써 해당 커넥션 상의 데이터를 읽거나 제어할 수 있으며, 중요 정보에 대한 접근과 데이터 무결성 오염이 가능하다. TCP/IP 프로토콜의 변칙을 추적하는 IDS 시그너처가 의심되는 활동에 대해 기업들에게 경고를 보내줄 수 있다.
아태지역에서 두 번째로 많았던 공격 유형은 마이크로소프트 SQL서버2000의 레졸루션 서비스(Resolution Service)에 대한 스택 오버플로우(stack overflow)였다. 아태지역 공격자들의 7%가 사용한 이 공격 유형은 슬래머(Slammer), 가오봇(Gaobot), 스파이봇(Spybot) 등 세 가지 악성 코드 샘플과 관련된 것이다.
이 공격은 마이크로소프트 SQL서버는 물론 몇몇 써드파티 소프트웨어에 포함된 마이크로소프트 데스크톱 엔진에 영향을 주며, 이들 소프트웨어 모두 개별 패치가 필요하게 됨으로써 취약점에 대한 패치 적용을 어렵게 만든다. 또한, 이 공격은 취약점을 가진 애플리케이션이 설치될 때마다 발생할 수 있어 애플리케이션 설치 후 바로 패치를 설치하지 않으면 감염 발생의 가능성이 높아지게 된다.
이 공격 방법을 사용하는 악성 코드가 계속해서 공격 타깃을 찾아 확산되기 때문에 해당 공격이 발생하면 기업 내부는 물론 외부적으로도 매우 큰 타격을 입게 된다. 따라서 기업들은 이에 대해 인식, 대응, 시스템 수리를 위해 상당한 양의 리소스를 투자해야 한다. 특히 이 공격 방법을 사용하는 봇 바이러스들은 감염된 데이터베이스의 중요 정보를 감염시키거나 영향을 받은 컴퓨터에 대한 통제권을 공격자에게 넘겨줄 수 있어 위험성이 더욱 높다.
이 공격은 모바일 컴퓨터 사용자들에게 특히 더 위험하다고 시만텍코리아는 지적했다. 네트워크와 VPN, 또는 직접 연결된 단 하나의 노트북이 감염된 경우라도, 기업 내부 전체에 악성 코드를 퍼트릴 수 있기 때문이다.
시만텍은 “마이크로소프트 SQL 포트들의 경계 필터링과 보안 정책을 통해 이 공격에 대한 위험을 현저하게 줄일 수 있다”고 전했다.
아태지역에서 일어난 공격 유형 중 세 번째로 많은 유형은 악성 첨부 파일 수신 가능성에 대한 이슈였다. 이러한 공격이 발견되면 대부분의 대량 메일 발송 웜의 출현을 의미한다. 이 공격은 SMTP 이메일 서비스 상에서 일어나게 되며 공격이 성공할 경우에는 패스워드를 포함한 중요한 정보를 감염시킨다.
예방을 위해 기업들은 안티바이러스 소프트웨어에서 강력한 경계 필터링이 실행되는지 확인하고, 패치 애플리케이션 및 안티바이러스 업데이트에 대한 강력한 보안 정책을 실행해야 한다.
금융 상품 판매 스팸이 가장 많아
시만텍 1월 통계에 따르면, 전세계 스팸에서 가장 다수를 차지한 것은 대출, 주식 투자 등과 같은 금융 상품 관련 스팸이었으며, 전체 스팸의 21%를 차지했다. 프린터, 보석 등 소비재와 관련된 스팸은 전체의 19%를 차지했으며, 사성 메일 역시 13%나 됐다.
아태지역의 경우, 전체 스팸 중 22%를 소비재 제품 관련 내용이 차지했으며, 금융 상품 스팸은 21%를 차지했다. 아태지역에서 세 번째로 많은 양을 차지한 스팸은 성인물 관련 내용으로, 전체 13%를 기록했다.
최근 주요 보안 위협들
이 외에 최근 발표된 주요 보안 위협 3가지를 살피면 다음과 같다.
1) MS 아웃룩 및 익스체인지의 TNEF 디코딩시 나타나는 원격 코드 실행 취약점
마이크로소프트 익스체인지 서버와 마이크로소프트 아웃룩은 TNEF(Transport Neutral Encapsulation Format)를 포함한 메시지를 디코딩할 때 원격 코드 실행에 노출될 수 있는 취약점을 가지고 있는 것으로 나타났다.
MS 익스체인지 서버에 대한 공격이 성공하면, 공격자는 시스템 레벨의 통제권을 갖게 되며, 또한 MS 아웃룩 공격에 성공할 경우에 공격자는 호스트 컴퓨터를 감염시켜 취약한 애플리케이션을 사용하고 있는 사용자에 대한 통제권을 가지게 될 수 있다. 예를 들어, 관리자가 MS 아웃룩을 사용하고 있을 경우, 공격자는 해당 관리자가 가지는 수준의 통제권을 완전히 장악할 수 있게 되는 것이다.
2) 애플 퀵타임 멀티플 코드 실행 취약점
1월 10일 발표된 애플 퀵타임 멀티플 코드 실행 취약점은 퀵타임의 이미지 프로세스 기능에 영향을 미치는 것으로 공격자들은 이를 통해 퀵타임을 감염시켜 취약한 애플리케이션을 사용하고 있는 사용자에 대한 통제권을 갖게 될 수 있다. 퀵타임은 여러 이미지나 미디어 포맷을 실행 및 디스플레이 하기 위한 미디어 플레이어 프로그램이다.
애플 퀵타임 멀티플 코드 실행 취약점에 대한 공격은 취약한 퀵타임 플레이어가 임베디드 이미지 파일이 들어있는 악성 미디어 파일을 로딩할 때 일어날 수 있다. 퀵타임 플레이어가 임베디드 이미지 파일 안에 들어있는 악성 데이터를 처리하려고 하면 해당 취약점에 트리거로 작용해 공격이 발생하게 된다. 퀵타임 플러그-인(plug-in)은 대부분의 웹 브라우저에서 다운로드 및 실행이 가능해 이 취약점은 많은 위험성을 가지고 있다.
3) 윈도 WMF 보안 취약점
시만텍 보안연구소는 아직 패치가 발표되지 않은 마이크로소프트 윈도 메티파일(WMF) 그래픽 랜더링 엔진의 보안 취약점과 관련, 시만텍 스레트콘(ThreatCon) 레벨을 최고 4등급 가운데 3등급으로 경고했다. 시만텍이 스레트콘 레벨을 3등급으로 올린 것은 2004년 7월 ‘마이둠.M(MyDoom.M)’ 변종 바이러스 이후 첫 사례다.
2005년 12월 27일에 처음 발견된 이후 이 취약점을 공격하는 웜 등의 여러 악성 코드 프로그램이 웹, 이메일 및 인스턴트 메시지 등 다양한 매개를 통해 활동하는 등 빠른 확산 속도를 보이고 있다.
취약한 그래픽 랜더링 엔진이 WMF 형식의 악성 이미지 파일을 랜더링 할 때 일어나는 이 공격이 일어날 수 있다. 즉, 인터넷 익스플로러 상의 웹 페이지, 아웃룩 혹은 아웃룩 익스프레스 상의 이메일 메시지 등을 통해 악성 WMF를 볼 때 일어날 수 있는 것이다. 이 외에도 악성 WMF 메시지를 디스플레이하면서 취약점을 가지고 있는 애플리케이션도 공격당할 가능성이 있다.
노련한 공격자의 경우에 해당 사용자가 모르는 사이에 공격을 실행할 수 있어 위와 같은 취약점들은 상당히 위험한 것으로 분류할 수 있다. 나아가 공격자들이 타깃 컴퓨터를 완전하게 장악할 가능성도 있다.
이 보안 취약점이 중요성을 가지는 또 다른 이유는 방화벽과 같은 전통적인 보안 도구를 비껴갈 수 있는 공격 포인트를 제공하기 때문이다. 일반적으로 방화벽은 위의 취약점과 관련된 TNEF 콘텐츠, 웹 트래픽 등이 필터링 되지 않으며, 따라서 시만텍은 이러한 취약점에 대비한 업데이트 패치를 신속하게 설치할 것을 권장하고 있다.
시만텍이 권고하는 보안 피해 예방 수칙
기업 사용자 보안 피해 예방 수칙
● 발견된 취약점이 주요 시스템에 미칠 가능성이 있는 악영향을 측정한다.
● 패치 설치 및 적절한 보안 솔루션을 사용한 베스트 프랙티스를 포함, 사전에 필요한 대응방안을 마련한다.
● 정보 및 네트워크의 통합성을 보호하기 위해 능동적으로 움직인다.
● 적절한 데이터 백업 프로세스 및 안전 장치가 정확하고 효율적으로 이뤄지고 있는지 확인한다.
● 시스템 사용자들이 모든 미확인 이메일 첨부 파일 및 검증되지 않는 소스로부터의 웹 링크 클릭에 유의하도록 상기시킨다.
개인 사용자 보안 피해 예방 수칙
● 소프트웨어를 최신 상태로 유지하기 위해 정기적으로 윈도를 업데이트하고 최신의 보안 업데이트를 설치한다.
● 알 수 없는 첨부파일이나 첨부 이메일을 열거나, 검증되지 않은 소스나 알 수 없는 웹 링크의 클릭은 피한다.
● 현재 및 향후에 발생 가능한 위협에 대비해 노턴 인터넷 시큐리티(Norton Internet Security)와 같은 인터넷 보안 솔루션을 사용하고 이를 최신 상태로 유지한다.
● 모든 공유 윈도 파일에 강력한 패스워드를 사용한다.
● 오프라인 스토리지 미디어에 사용자 데이터를 백업해 놓는다.
