악용 가능성 상승·사용자 적극적인 대처 요구 … 아태지역 사기 메일 극성
이번 시만텍 보안 업데이트는 2006년 1월 25일부터 2006년 2월 24일 사이에 수집된 데이터에 기반한다. 이 기간 중 아태지역 및 전세계 컴퓨터에서 가장 많이 발견된 공격은 TCP 커넥션 이벤트의 ‘Generic Extra SYN’이다. 이 공격은 지난 호에 이어 2개월 연속으로 대처해야할 공격 목록 가장 상단에 위치됐다. 시만텍 보안 업데이트는 보안 취약점, 공격코드, 악성코드, 스팸 등에 관한 최신 인터넷 보안 경향을 한 눈에 파악할 수 있는 요약 보고서다. <편집자>
지난 2월 시만텍 통계에 따르면, 전세계 및 아태지역에서 가장 널리 퍼진 공격은 TCP 커넥션 이벤트의 ‘Generic Extra SYN’이다. 이 공격 방식은 1월에 이어 또다시 1위를 차지했으며, 아태지역 공격 통계에서도 가장 널리 쓰인 방법으로 나타났다. 아태지역의 경우, 공격 IP 주소 중 13%가 이 방법을 사용했다.
시만텍코리아는 “TCP/IP 공격이 전세계 공격 순위 최상위를 차지한 것은 공격자들이 인터넷 프로토콜의 대부분에 깔려있는 TCP/IP 연결을 조작하고자 한다는 것을 보여주고 있다”며 각별한 주의를 당부했다. 공격자가 TCP/IP 연결을 조종할 수 있게 되면 해당 커넥션 상의 데이터를 읽거나 조종할 수 있게 됨으로써 공격자가 중요 정보에 접근하거나 데이터 무결성을 오염시킬 수 있다는 것. 따라서 관리자들은 TCP/IP 프로토콜의 변칙을 추적하는 IDS 시그너처를 설치해 어떠한 의심스러운 행동도 그냥 지나쳐서는 안 되며, 방화벽 및 라우터를 포함한 모든 시스템에 적절한 패치 수준이 유지되고 있는지에 대한 점검이 요구된다.
‘Generic Extra SYN’의 뒤를 이어 아태지역에서 가장 흔한 공격으로 기록된 것은 ‘Generic SMTP Invalid Command Before HELO Event’로 조사됐다. 전체의 9%가 이 공격 방법을 사용했으며, 이는 공격자들이 경로를 벗어난 명령을 통해 이메일 서버를 조작하고자 한다는 사실을 알려준다. 공격자는 이메일 프로토콜을 조작해 이메일 데이터 무결성을 오염시키거나 기밀 정보에 접근할 수 있게 된다. TCP/IP의 이상 행동을 감지하는 IDS 시그너처 설치를 통해 이러한 공격에 대비해야 한다.
아태지역에서 가장 널리 사용된 공격 방법 중 3위는 ‘Net Flood TCP DoS’ 공격이 차지했다. 5% 가량이 이 방법을 사용해 공격을 시도했다. 타깃 TCP 서비스에 대한 엄청난 양의 접속 시도로 이뤄지는 ‘Net Flood TCP DoS’ 공격은 타깃 컴퓨터가 어떤 유효한 요청도 처리할 수 없도록 만들 수 있다.
DoS(Denial of Service, 서비스 거부) 공격은 웹사이트나 다른 네트워크 서비스에 접속을 방해함으로써 내부 커뮤니케이션을 방해하며, 매출과 기업 신인도에 잠재적인 타격을 준다. 시만텍코리아는 “오래 전부터 DoS 공격에 기반한 사이버 범죄 시도가 일반화될 것이라는 시만텍의 경고가 점차 현실화되고 있다”며, “기업 및 단체들은 DoS 공격에 대응할 수 있는 문서화된 절차를 마련해야 한다”고 조언한다. DoS 공격은 향후 더욱 빈번하게 나타날 것이기 때문이다.
DoS 공격 방지를 위해 시만텍코리아가 권장하는 방법 중 하나는 공격이 시작되는 가장 가까운 곳에서부터 필터링하는 것이다. 인터넷 서비스 공급 업체와의 협력을 통해 이를 실행할 수 있는데, 이때 내부 유입되는 트래픽 뿐 아니라 외부로 나가는 트래픽에 대한 필터링도 필요하다.
대부분의 방화벽 및 운영 시스템은 구성 파라미터 변경을 통해 ‘Net Flood’의 영향을 완화시킬 수 있도록 설계돼 있으며, 기업 및 단체의 보안 담당자는 공격 발생 시 모든 잠재적 DoS 공격 타깃들이 그 피해를 최소화할 수 있도록 적절한 설정이 이뤄져 있는지를 점검해야 한다.
대량 메일 발송 웜 ‘기승’
이번 통계 중 악성코드 부분에서 눈에 띄는 것은 신종 웜인 ‘Beagle.DL’이다. ‘Beagle.DL’은 아태지역에서 지난 보고서에서 1위였던 ‘Sober.X’를 2위로 밀어내고 가장 많이 보고된 악성 코드로 보고됐다. 세계적으로는 ‘Sober.X’에 이어 두 번째로 발생률이 높은 악성 코드로 보고됐으며, 변종인 ‘Beagl.DM’도 전세계 악성코드 순위 중 7위를 차지할 정도로 빠른 확산세를 보이고 있다.
이 대량 메일 발송 웜은 감염된 컴퓨터의 다양한 파일들로부터 수집한 이메일 주소로 발송되며, ‘SHAR’라는 철자를 포함한 폴더에 스스로를 복제해 놓고 P2P 파일 공유 네트워크를 통해서 전파된다. 이 악성 코드는 안티바이러스 및 보안 애플리케이션을 무력화시키고 원격 파일들의 다운로드를 시도하게 된다.
대량 메일 발송 웜은 대량 메일 발송 웜인 ‘Sober.X9’는 사용자들이 해당 이메일 첨부 파일을 실행하도록 유도한다. 영어 및 독어 두 언어로 이메일 메시지를 발송하며, 특정시간에 활성화되는 페이로드를 갖고 있다. 발견된 것은 2006년 1월 6일을 기점으로 원격 웹사이트에 접속해 파일 다운로드를 시도하는 것이었지만, 해당 날짜인 1월 6일에 파일은 배포되지 않았다.
업계의 노력으로 관리자들이 피해 상황에 미리 대비할 수 있게 됐다는 점과 더불어 해당 사이트들이 경찰 등에 의해 감시될 것이라는 사실을 알고 웜 배포자가 추적을 피하기 위해 악성 코드 실행을 업로드하지 않았을 가능성이 높다. 이 웜은 발견된지 3일만인 2005년 11월 22일 ‘카테고리3’으로 레벨이 상향 조정됐다.
‘Mytob’ 웜의 변종인 ‘Mytob.U’ 는 2월 아태지역에서 세 번째로 많이 보고된 악성 코드 샘플이다. 이 대량 메일 발송 웜의 변종은 감염된 컴퓨터에 IRC 봇(Bot)을 설치, 공격자에게 해당 시스템에 대한 원격 통제권을 넘겨준다. 또한 보안 애플리케이션의 프로세스를 삭제하고, HOSTS 파일을 덮어씀으로써 보안 웹사이트 접속을 막으며, 인터넷 익스플로러 보안 세팅을 낮춰 컴퓨터의 보안 상태를 취약하게 만든다. 대량 메일 발송을 통한 확산과 함께 이 변종은 마이크로소프트 윈도 DCOM RPC 인터페이스 버퍼 오버런 취약점과 마이크로소프트 윈도 LSASS 버퍼 오버런 취약점도 공격한다.
이러한 악성 코드 감염을 막기 위해 보안 베스트 프랙티스가 실행돼야 한다는 것이 시만텍코리아의 권고사항. 패치 업데이트를 항상 최신으로 유지해야 하며, 특히 HTTP, FTP, SMTP 및 DNS 서버와 같은 공공 서비스를 호스트하는 컴퓨터와 방화벽을 통해 접근 가능한 컴퓨터, 그리고 DMZ 안에 존재하는 컴퓨터는 더욱 철저한 업데이트가 요구된다. 이메일 서버의 경우, 비즈니스에 필요한 파일 형식만 승인하도록 설정돼야 한다.
엔드 유저의 경우에는 안티바이러스 소프트웨어와 개인용 방화벽을 비롯한 심층적인 방어 시스템 구축이 필요하다. 안티바이러스의 정기적 업데이트는 물론, 모든 데스크톱, 노트북 및 서버 컴퓨터에 시스템 공급자로부터 필요한 모든 보안 패치를 다운로드받아 설치해야 한다. 특히 믿을 수 있는 발신인으로부터 온 메일이거나 첨부 파일의 목적이 분명한 경우가 아닐 경우에는 절대로 이메일 첨부 파일을 열어보거나 실행해서는 안 된다.
전세계 스팸 동향
전세계 스팸에서 가장 다수를 차지한 것은 대출, 주식 투자 등과 같은 금융 상품 관련 스팸으로 전체 스팸의 21%를 차지했다. 프린터, 보석 등 일반 소비재와 관련된 스팸은 전체의 19%를 차지했으며, 사기 메일 역시 14%를 기록했다.
아태지역은 금융 상품 스팸과 일반 소비재가 각각 전체 스팸 중 20%를 소비재 제품 관련 내용이 차지했다. 아태지역에서 세 번째로 많은 양을 차지한 스팸은 사기성 메일로, 전체 13%를 기록했다.
시만텍 프로브 네트워크를 통해 탐지된 스팸 중 가장 높은 근원지 비율을 보인 지역은 북미 지역이었다. “북미 지역에서 제공되는 싼 가격의 광대역 인터넷 서비스가 원인”이라고 시만텍코리아는 분석했다. 더욱더 많은 스팸이 이미 공격받은 데스크톱 컴퓨터로부터 발송되는 경향으로 볼 때 대역폭이 넓은 지역에서 계속해서 더 많은 스팸이 발송될 것으로 예측된다.
취약점 경향
마이크로소프트 윈도 미디어 플레이어의 플러그인 버퍼 오버플로우 취약점은 지난 2월 처음으로 알려졌다. 마이크로소프트 윈도 미디어 플레이어는 미디어 파일을 웹 브라우저 상에서 열수 있도록 하는 기능을 지원하고 있는데, 윈도 미디어 플레이어 플러그인이 마이크로소프트 웹 브라우저가 아닌 타 웹 브라우저에 설치되어있는 경우 영향을 미치게 된다.
이 취약점은 공격자가 사용자의 브라우저에 대한 권한을 가질 수 있도록 웹 브라우저를 감염시킬 수 있다. 예를 들어, 관리자가 웹 브라우저를 실행하고 있을 경우, 공격자는 관리자 권한을 가질 수 있게 되는 것이다.
이 취약점에 대한 공격은 사용자가 악성 코드가 탑재된 미디어 태그가 담긴 웹 페이지를 열 때 일어날 수 있으며, 마이크로소프트 윈도 미디어 플레이어 플러그인이 웹 페이지로부터 악성 데이터를 전송 받을 경우에 제대로 된 프로세스를 시행하지 못하고 오버플로우가 트리거된다.
또한 마이크로소프트 윈도 미디어 플레이어의 비트맵 핸들링 버퍼 오버플로우 취약점도 공개됐다. 마이크로소프트 윈도 미디어 플레이어가 지원하는 다양한 형태의 미디어 파일 가운데 비트맵 이미지 파일 형식에 대한 취약점이다.
대체로 비트맵 파일은 미디어 플레이어 스킨이 인터페이스에 적용될 때 윈도 미디어 플레이어에서 처리되는데, 미디어 플레이어 스킨에 악성 코드가 담긴 비트맵 이미지가 포함된 경우 해당 악성 비트맵 이미지를 읽어 들이면서 자동으로 악성 코드가 실행될 수 있다. 특히 이 취약점은 미디어 플레이어 프로그램 안에 속해 있지만, 사용자들이 자주 인터넷에 올려져 있는 미디어 콘텐츠를 실행하는 경향을 볼 때 인터넷 익스플로러를 통해서도 공격받을 가능성이 높다.
모질라 파이어폭스의 쿼리인터페이스 원격 코드 실행 취약점도 발견됐다. 모질라 파이어폭스 브라우저의 기능 중 위치 및 내비게이션 대상에 정보를 전달하는 쿼리인터페이스 기능과 관련된 취약점이다. 특정 상황에서 쿼리인터페이스 기능은 입력치를 안전하게 다루지 못할 가능성이 있는 것. 이런 취약점을 통해 공격자가 모질라 및 모질라 파이어폭스 브라우저를 감염시키고 사용자의 권한을 가질 수 있다.
파이어폭스 사용자가 해당 취약점을 트리거할 수 있는 악성 코드가 담긴 웹 페이지를 열 때 발생하는 공격으로 데이터를 전달받아 제대로 처리하지 못하고 공격자의 코드를 실행하게 되는 것이다. 앞서 언급한 마이크로소프트 윈도 미디어 플레이어 취약점과 마찬가지로 이 취약점 또한 공격 코드가 이미 만들어져 유포되고 있어 위험성이 높다.
이들 취약점은 치명적인 위협이 될 수 있다. 공격자가 사용자가 아무것도 눈치채지 못하게 만들면서 해당 취약점들을 공격할 수 있기 때문이다. 모든 관련 소프트웨어에 대한 최신 업그레이드와 패치가 권장된다. 침입 탐지 시스템이 유입되는 HTTP 데이터를 모니터링함으로써 필터링을 통해 공격 발생 전 취약점 공격을 방어할 수도 있다. 잘 모르는 웹사이트 방문이나 확실치 않은 이메일 링크를 따라가지 않는 사용자 교육도 취약점 공격에 대한 노출을 막는 방법이다.
최근 주요 보안 위협들
최근 발생한 주요 보안 위협 2가지는 마이크로소프트 엑셀 보안 취약점과 마이크로소프트 오피스 공동 작업 문서 공유 기능 관련 취약점이다.
마이크로소프트 최신 보안 블러틴을 통해 발표된 마이크로소프트 엑셀 취약점은 이메일의 첨부파일이나 웹사이트를 거쳐 전달되는 악의적인 엑셀 문서를 통해 공격받는다. 공격이 성공할 경우, 원격으로 코드가 실행되고 전체 시스템이 손상되는 결과를 가져온다.
이 취약점은 해당 취약점 정보 판매 시도로 알려지게 됐다. 취약점에 대한 상업적 판매가 더욱 증가할 것으로 보인다. 따라서 “공식적으로 밝혀진 취약점의 수는 감소하고, 이와 동시에 사용자들이 잠재적 위협에 노출될 위협이 증가한다”는 것이 시만텍의 견해다. 보안 관리자는 시스템 취약점을 깨닫지 못하는 위험에 처할 수 있으며, 이로 인해 제로-데이 공격에 쉽게 노출될 수 있다.
또한 새로운 마이크로소프트 보안 블러틴은 다양한 오피스 애플리케이션이 라우팅 슬립 메타데이터를 어떻게 다루는지와 관련된 마이크로소프트 오피스 취약점도 밝혔다. 라우팅 슬립이란 오피스에서 지원하는 공동 작업 문서 공유 기능을 말하는데, 사용자는 웹사이트나 이메일 첨부 파일을 통해 받은 악의적인 오피스 문서를 열어서 원격 코드 실행이나 전체 시스템 손상과 같은 피해를 입을 수 있다.
공격자들이 이러한 취약점을 이용하는 것은 잠재적 피해자가 그들이 보낸 문서를 열어보는 등의 협력을 통해서만 가능하다. 따라서 모든 마이크로소프트 사용자들은 불명확한 발송처로부터 온 오피스 문서를 열어보지 말아야 한다.
시만텍이 권고하는 보안 피해 예방 수칙
기업 사용자 보안 피해 예방 수칙
● 발견된 취약점이 주요 시스템에 미칠 가능성이 있는 악영향을 측정한다.
● 패치 설치 및 적절한 보안 솔루션을 사용한 베스트 프랙티스를 포함, 사전에 필요한 대응방안을 마련한다.
● 정보 및 네트워크의 통합성을 보호하기 위해 능동적으로 움직인다.
● 적절한 데이터 백업 프로세스 및 안전 장치가 정확하고 효율적으로 이뤄지고 있는지 확인한다.
● 시스템 사용자들이 모든 미확인 이메일 첨부 파일 및 검증되지 않는 소스로부터의 웹 링크 클릭에 유의하도록 상기시킨다.
개인 사용자 보안 피해 예방 수칙
● 소프트웨어를 최신 상태로 유지하기 위해 정기적으로 윈도를 업데이트하고 최신의 보안 업데이트를 설치한다.
● 알 수 없는 첨부파일이나 첨부 이메일을 열거나, 검증되지 않은 소스나 알 수 없는 웹 링크의 클릭은 피한다.
● 현재 및 향후에 발생 가능한 위협에 대비해 노턴 인터넷 시큐리티(Norton Internet Security)와 같은 인터넷 보안 솔루션을 사용하고 이를 최신 상태로 유지한다.
● 모든 공유 윈도 파일에 강력한 패스워드를 사용한다.
● 오프라인 스토리지 미디어에 사용자 데이터를 백업해 놓는다.
▶▷ 보안 위협 및 대처 방안 등에 대한 보다 자세한 정보
- 시만텍 보안연구소 글로벌 웹사이트 (securityresponse.symantec.com/)
- 시만텍코리아 보안 대응 웹사이트 (www.symantec.co.kr/region/kr/avcenter)
