공유 폴더 복제 보편화·P2P 이용 경보 … DoS 등 비즈니스 위협 공격 증가
이번 시만텍 보안 업데이트는 2006년 2월 24일부터 2006년 3월 23일 사이에 수집된 데이터에 기반한다. 이 기간 중 TCP 커넥션 이벤트의 ‘Generic Extra SYN’이 아태지역 및 전세계 컴퓨터에서 가장 많이 발견된 공격으로 조사됐다. 이 공격은 3개월 연속으로 대처해야할 공격 목록 가장 상단에 위치됐다. 시만텍 보안 업데이트는 보안 취약점, 공격코드, 악성코드, 스팸 등에 관한 최신 인터넷 보안 경향을 한 눈에 파악할 수 있는 요약 보고서다. <편집자>
최근의 시만텍 보안 업데이트를 통해 관찰되는 공격 동향은 모두 비즈니스의 연속성, 무결성을 위협하고 있다는 점에서 과거의 공격들과는 의미가 다르다. 특히, 상위 세 개의 공격 행동 중 2개가 서비스 거부 공격(DoS) 방식을 사용하고 있는데, 서비스 거부 공격은 웹사이트나 다른 네트워크 서비스에 고객 및 직원들이 접속할 수 없도록 만들어 기업 커뮤니케이션을 방해하고, 매출과 기업 이미지에 타격을 입히게 된다.
이번 시만텍 보안 업데이트의 조사 기간 동안 아태지역에서 가장 많이 발견된 공격의 유형은 지난 보안 업데이트에서도 가장 큰 비율을 차지했던 TCP 커넥션 이벤트의 ‘Generic Extra SYN’이다. 이 공격은 해당 지역의 IP 주소 공격 중 13%의 비중을 차지했으며, 전세계적으로도 가장 큰 19%의 비율을 차지한 공격 방법이다.
이 공격이 감지된 것은 공격자들이 인터넷 프로토콜의 대부분에 깔려있는 TCP/IP 연결을 조작하고자 한다는 것을 보여준다. TCP/IP 연결을 조종할 수 있는 공격자는 해당 커넥션 상의 데이터를 읽거나 조종할 수 있게 되고, 공격자가 중요 정보에 접근하거나 데이터 무결성을 오염시킬 수 있게 된다. 따라서 관리자들은 TCP/IP 프로토콜의 변칙을 추적하는 IDS 시그너처를 설치해 어떤 의심스러운 행동도 그냥 지나쳐서는 안 되는 세심한 주의가 요구된다.
아태지역에 설치된 센서들로부터 보고된 공격 방식 중 2, 3위를 차지한 것은 모두 서비스 거부 공격이다. 이 중 2위를 차지한 것은 ‘Generic UDP Flood 서비스 거부 공격’으로, IP 주소 공격 방법 중 5%를 차지했다. 이 공격은 공격 대상 컴퓨터를 향해 엄청난 양의 UDP 패킷을 내보낸다. 3위를 차지한 ‘Net Flood TCP 서비스 거부 공격’도 타깃 TCP 서비스에 대한 엄청난 양의 접속 시도로 이뤄진다. 이런 공격들은 타깃이 된 컴퓨터가 유효한 요청도 처리할 수 없도록 만들 수 있어 잠재적 피해가 크다.
기업 및 단체들은 DoS 공격에 대응할 수 있는 문서화된 절차를 마련해놓고 있어야 한다. 이 공격을 방지하기 위해 시만텍코리아에서 권장하는 가장 좋은 방법 중 하나는 공격이 시작되는 가장 가까운 곳에서부터 필터링하는 것이다. 인터넷 서비스 공급 업체와의 협력을 통해 공격 시작 지점에 대한 필터링을 실행할 수 있다. 또한 공격에 대한 필터링 뿐 아니라 외부로 나가는 모든 트래픽에 대해서도 필터링을 실행해야 한다.
방화벽 및 운영 시스템의 구성 파라미터 변경을 통해 ‘Net Flood’ 영향을 완화시킬 수 있다. 서비스 거부 공격의 모든 잠재적 타깃들이 공격 발생 시 피해를 최소화할 수 있는 적절한 설정을 갖췄는지 점검해야 한다.
데이터 파괴, 대량 메일 발송 웜 증가
1월 17일 시만텍에 의해 보고된 ‘Blackmal.E13’은 파괴적 성격을 띈 웜이다. 이 웜은 매달 3일 감염된 컴퓨터 상에서 ‘.doc, .xls, .pdf’의 확장자를 가진 모든 파일에 대한 삭제를 시도한다. 대량 메일 발송 컴포넌트와 공유 네트워크 및 원격 컴퓨터로의 자기 복제를 활용해 확산되며, 감염된 컴퓨터의 안티바이러스와 보안 애플리케이션 무력화를 시도하기도 한다.
시만텍 통계에서 가장 많이 보고된 악성 코드는 ‘Beagle.DL’이란 대량 메일 발송 웜이다. 이 웜은 감염된 컴퓨터의 다양한 파일들로부터 수집한 이메일 주소로 발송되며, ‘SHAR’라는 철자를 포함한 폴더에 스스로를 복제해 P2P 네트워크를 통해 전파된다. 이 악성 코드는 또한 안티바이러스 및 보안 애플리케이션을 무력화시키고 원격 파일들의 다운로드를 시도한다.
지난호에서 전세계 악성 코드 순위 4위를 차지한 반면, 아태지역 순위에는 오르지 않았던 ‘Netsky.P’ 웜은 전세계 악성 코드 순위 4위를 유지하면서 아태지역 순위 3위로 상승했다. ‘Netsky.P’는 대량 메일 발송 웜으로 압축파일(.zip) 형태로 자신을 발송시켜 몇몇 이메일 게이트웨이나 안티바이러스 스캐너의 필터링을 피한다. 공유 폴더로도 자아 복제되는 특성을 가져 다양한 P2P 애플리케이션을 타고 다른 컴퓨터로 다운로드될 수 있다.
이는 관리자들이 패치를 항상 최신으로 업데이트해야 하며, 특히 HTTP, FTP, SMTP 및 DNS 서버와 같이 공공 서비스를 호스트하는 컴퓨터와 방화벽을 통해 접근 가능한 컴퓨터, DMZ 안에 존재하는 컴퓨터에 대해서 최신 패치 상태를 더욱 철저히 유지시켜야 한다는 것을 의미한다. 이메일 서버는 비즈니스에 필요한 파일 형태만을 인증하도록 설정돼 있어야 하고, 이상 행동을 추적하기 위한 경계 디바이스에 내외부 필터링을 적용해야 한다는 것이 시만텍코리아의 권고사항이다.
엔드 유저의 경우 안티바이러스 소프트웨어와 개인용 방화벽을 비롯한 보다 심층적 방어 시스템을 구축이 필요하며, 안티바이러스 정의에 대한 정기적인 업데이트와 보안 패치 적용이 요구된다. 특히 믿을 수 있는 소스로부터 온 메일이거나 첨부 파일의 목적이 분명한 경우가 아니면 절대로 이메일 첨부 파일을 열거나 실행하지 않아야 한다.
전세계 스팸 동향
조사 기간 동안 전세계 스팸에서 가장 많은 비중을 차지한 것은 대출, 주식 투자 등과 같은 금융 상품 관련 스팸으로 전체 스팸의 21%를 차지했다. 프린터 관련 상품, 보석 등 소비재와 관련된 스팸은 전체의 20%를 차지해 지난달보다 1% 증가했으며, 건강 관련 스팸은 13%를 기록했다.
아태지역의 경우 전세계 통계와는 조금 다른 경향을 보였다. 전체 스팸 중 21%를 소비재 제품 관련 내용이 차지했으며, 금융 상품 스팸은 20%를 차지했다. 아태지역에서 세 번째로 많은 양을 차지한 스팸은 인터넷 제품이나 서비스 관련 메일로, 13%를 기록했다.
가장 많은 스팸이 발송된 지역으로 시만텍 프로브 네트워크를 통해 탐지된 것은 북미 지역이다. 물론 아시아나 유럽 지역 역시 광대역 접속 비율이 매우 높기는 하지만, 시만텍은 북미 지역에서 제공되는 낮은 가격의 광대역 인터넷 서비스가 이런 결과를 만들어낸 것으로 분석했다.
한국, 봇(Bot) 감염 순위 아태지역 3위
봇 감염 컴퓨터는 공격자의 지휘 아래 활동을 하게 되며, 하나의 봇에 많게는 수백 수천 개의 컴퓨터가 조종될 수 있다. 봇 감염 컴퓨터 네트워크는 공격 대상이 될 수 있는 추가 컴퓨터를 찾아 감염시키고, 이를 통해 서비스 거부 공격을 시행할 수 있다.
예를 들어, 봇에 감염된 노트북이 이후에 네트워크에 연결된 경우와 같이 내부 네트워크의 한 호스트가 감염되는 상황에도 네트워크 전체에 봇이 퍼질 수 있게 되며, 이러한 봇 감염 컴퓨터들은 외부 타깃에 대한 서비스 거부 공격을 시행하기 위해 상호 협동해서 움직일 수 있다. 서비스 거부 공격 실행 시 타깃 컴퓨터는 물론 소스 컴퓨터의 대역폭을 활용해 공격하게 된다.
3월 발표한 인터넷 보안 위협 보고서에서, 시만텍은 국가의 봇 감염 비율이 브로드밴드 인터넷 인프라스트럭처의 성장과 밀접한 관련이 있다고 분석해 보고한 적 있다. 중국은 무려 46%의 비중으로 아태지역에서 가장 높은 봇 감염 비율을 보였다. 중국은 아태지역에서 가장 많은 인터넷 사용 인구를 가지고 있으며, 이는 봇 감염 컴퓨터가 이 지역에 많이 존재하는 이유에 대한 설명이 될 수 있다. 아태지역에서 인터넷 이용자수 2, 3위를 기록하고 있는 한국과 대만의 봇 감염 비중도 높게 나타났다. 대만은 25%의 아태지역 봇 감염컴퓨터 비중을 보였고, 한국은 14%를 기록해 3위를 차지했다.
봇 감염을 방지하기 위해서는 엔드 유저들이 안티바이러스, 방화벽 및 침임 감지 시스템과 같은 심층적 방어 시스템을 구축해야 한다. 기업의 보안 관리자들은 이미 알려진 봇 네트워크 트래픽을 막기 위해 내외부 필터링이 제대로 이뤄지고 있는지 철저하게 점검해야 하며, 안티바이러스 정의 또한 정기 업데이트되고 있는지 살펴봐야 한다.
애플 맥 OS Ⅹ 관련 취약점 출현
이번 시만텍 보안 업데이트의 취약점 경향에서 주목할 만한 점은 애플 맥 OS 관련 취약점이 출현했다는 것이다. 애플 맥 OS Ⅹ 메타데이터 명령 실행 취약점은 2월 21일 처음 발견됐으며, 3월 14일 애플컴퓨터에 의해 공식 확인됐다. 실행 가능 데이터와 리소스 데이터 등 크게 두 부분으로 나뉘는 애플 맥 OS Ⅹ 애플리케이션은 리소스 데이터에 포함된 메타데이터 애플리케이션에 대한 실행 설정을 위해 사용되는데, 공격자가 사용자가 접속해 있는 취약한 컴퓨터에 대한 권한을 가질 수 있도록 악용될 수 있다.
이 공격은 사용자가 악성 애플리케이션이 들어있는 압축 파일(.zip)을 열거나, 접근하기 위한 인터넷 링크를 사파리(Safari) 웹 브라우저를 통해 들어갈 때 발생된다. 취약한 운영 시스템은 파일의 압축을 풀어 실행하려고 시도하며, 악성 애플리케이션은 해당 취약점에 대한 트리거로 작용해 사용자가 모르는 사이에 애플리케이션을 실행하도록 만든다. 몇몇 경우에는 공격 코드가 실행될 때 터미널 창이 뜰 수 있지만, 공격자가 터미널 창이 실행되지 않도록 방지하도록 설정할 수 있다. 이 취약점은 관련 공격 코드가 이미 배포돼 사용자와 기업에 상당한 위협으로 떠오르고 있다.
따라서 관련된 애플 맥 OS Ⅹ에 대한 적절한 패치 설치가 권장되며, 취약점에 노출되는 가능성을 줄이기 위해 사용자들이 알지 못하는, 혹은 미심쩍은 웹 사이트를 방문하는 것에 대해 주의를 기울이도록 교육해야 한다. 확신이 없는 이메일의 링크를 따라가거나, 첨부 파일을 여는 것에도 주의해야 함은 물론이다.
‘Sendmail Asynchronous Signal Handling 원격 코드 실행 취약점’은 지난 3월 22일 처음 보고된 것이다. 샌드메일(Sendmail)은 무료 배포되는 오픈 소스 소프트웨어로 마이크로소프트 윈도, 리눅스, 유닉스 운영 시스템에서 주로 사용되는 이메일 서버다. 이 취약점은 샌드메일 이메일 서버를 감염시켜 공격자들이 마이크로소프트 윈도 컴퓨터에 대한 관리자 권한을 가질 수 있도록 하거나, 유닉스 및 리눅스 컴퓨터에서 슈퍼유저 권한을 허용하도록 한다. 이 공격이 모든 플랫폼에서 성공할 경우에는 감염된 컴퓨터에 대해 공격자들이 완전한 통제권을 가지게 된다.
취약한 샌드메일 서버가 특정한 시간 간격을 두고 발송된 악성 이메일 데이터를 받았을 때 발생된다. 공격이 성공하면 이메일 서버는 악성 이메일 데이터 처리를 시도하지만, 계속해서 실패하게 되며, 공격자는 자신의 코드를 쓰고 실행할 수 있게 된다. 관리자들은 관련 취약점과 관련이 있는 모든 샌드메일 제품을 업그레이드하고 패치를 설치해야 하며, 네트워크 말단 보안 소프트웨어를 설치함으로써 방어할 수도 있다.
‘마이크로소프트 인터넷 익스플로러 CreateTextRange 원격 코드 실행 취약점’은 3월 22일 처음 발표됐다. 이 취약점은 인터넷 익스플로러 웹 브라우저의 자바 스크립트 실행 기능에 영향을 끼쳐 취약한 인터넷 익스플로러를 실행하고 있는 사용자의 컴퓨터가 공격받을 수 있다.
취약점을 가진 인터넷 익스플로러 웹 브라우저가 ‘CreateTextRange 자바 스크립트’ 기능을 실행하도록 설계된 악성 웹 사이트를 방문할 때 발생되며, 해당 취약 기능에 악성 데이터를 보냄으로써 공격자가 이 취약점을 트리거할 수 있게 된다. 이와 같은 원격 공격이 가능한 명령 실행 취약점은 사용자가 전혀 모르는 사이에 공격을 실행할 수 있기 때문에 더욱 위험성을 갖게 된다.
HTTP 트래픽의 경우 방화벽에서 걸러지지 않는 경우가 많다. 웹 브라우저 취약점은 방화벽과 같은 전통적 성격의 보안 방책을 무력화시킬 수 있다. 이 취약점을 공격함으로써 공격자들은 기업의 보안 시스템을 속일 수 있고, 기업 네트워크 상에서 추가 공격을 시행할 수 있는 기반을 얻게 된다. 따라서 관리자들은 잠재적 공격을 모니터링하고, 공격 성공 이전에 필터링하기 위해서 HTTP 트래픽을 감시할 수 있는 침입 감지 시스템을 설치해야 한다.
기타 최근 주요 보안 위협들
다음은 시만텍코리아가 최근 발표한 4월 마이크로소프트 보안 블러틴(Microsoft Security Bulletin) 관련 위협이다.
1) 마이크로소프트 인터넷 익스플로러 누적 보안 업데이트
마이크로소프트는 4월 마이크로소프트 보안 블러틴에서 인터넷 익스플로러의 10가지 취약점에 관한 패치를 발표했다. 발표된 패치와 관련된 취약점은 모두 위험도가 높으며, 이 중 3가지 취약점은 해당 취약점을 타깃으로 공격 활동이 활발하게 진행되고 있는 것이다. 몇몇 취약점은 인터넷 익스플로러 5.0 버전까지도 영향을 미칠 수 있다.
2) MDAC 기능 관련 취약점
시만텍 보안연구소는 이번에 발표된 보안 블러틴의 내용 중 MDAC(Microsoft Data Access Components) 기능 관련 취약점을 가장 높은 위험도를 가진 것으로 평가했다. 이 취약점은 ADO(ActiveX Data Objects)의 일부분으로 제공되며, MDAC에서 배포되는 ‘RDS.Dataspace ActiveX’ 객체에 존재한다. 해당 취약점에 대한 공격이 성공할 경우, 인터넷 익스플로러가 원격 코드를 실행해 사용자의 동의 없이 브라우저가 프로그램과 코드를 자동 실행함으로써 시스템을 완전히 감염시킬 수 있다.
시만텍의 최신 인터넷 보안 위협 보고서에 따르면, 보안 패치가 배포되는 시점과 공격 방식의 개발 시점 사이에는 6일 정도의 시간 차이가 있는 것으로 나타나고 있다. 이번 보안 블러틴에서도 발표된 취약점 중 세 개가 패치 발표 이전부터 이미 공격자들의 활발한 공격이 이뤄지고 있다. 따라서 시만텍코리아는 모든 마이크로소프트 인터넷 익스플로러, 아웃룩 익스프레스 사용자들이 가능한 빨리 소프트웨어를 업데이트할 것을 권고하고 있다.
