> 뉴스 > 테크가이드 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
시큐리티 전망대 - 시만텍 보안 업데이트
2006년 07월 04일 00:00:00
웹 브라우저 취약점 위협 증가 HTTP 트래픽 감시 침입감지 시스템 대두

오라클DB·파이어폭스 MS 익스플로러 취약점 발견
중국, 전세계 봇 집합소로 부상

이번 시만텍 보안 업데이트는 2006년 3월24일부터 2006년 4월23일 사이에 수집된 데이터다. 이 기간 중 아태지역 및 전세계 컴퓨터에서 가장 많이 발견된 공격은 TCP 커넥션 이벤트의 Generic Extra SYN이 차지했다. 4개월째 가장 많이 발견된 공격으로 조사됐지만, IP 주소 공격 중 비율은 지난호의 13%에서 20%로 증가해 더욱 기승을 부리고 있다. 이번 업데이트 중 눈여겨 볼 부분은 오라클DB의 취약점이 발견됐다는 보고다. 공격자가 DB 액세스 및 통제 권한을 부여받을 수 있어 더욱 큰 주의가 요구된다. <편집자>



널리 이용되는 기업용 데이터베이스 중 하나인 오라클 데이터베이스의 엑스포트 컴포넌트 기능의 취약점(Oracle Database and Enterprise Application Export Component SQL-Injection)이 지난 4월18일 공개됐다. 데이터베이스 요소들의 복사본을 만들 수 있는 기능인 엑스포트 컴포넌트를 이용하는 취약점 공격으로 공격자는 데이터베이스 액세스를 승인 받아 데이터를 보고 훔쳐내거나 통제할 수 있는 권한을 가지게 된다.
이 취약점에 대한 공격은 데이터베이스 지원 애플리케이션에 대한 액세스 권한을 가지고 있는 원격 공격자에 의해 일어날 수 있다. 즉, 데이터베이스를 지원하는 웹 기반 애플리케이션이 공격 경로가 될 수 있는 것. 예를 들어 취약점의 영향권에 있는 웹 애플리케이션의 필드를 통해 데이터베이스에 악성 인풋이 실행돼 데이터베이스가 이 악성 인풋을 실행하려고 하면, 해당 취약점이 트리거돼 공격을 받게 된다.
사용자 및 관리자들이 취약점을 가진 모든 오라클 애플리케이션을 업그레이드할 것이 권장된다. 관리자에게는 또한 데이터베이스 액세스를 막기 위한 방화벽 설치가 또한 요구되며, 중요 데이터베이스 정보 액세스 권한을 재설정해 사용자나 그룹별 접근 제한을 두는 것이 좋다.
Mozilla Firefox XBL Eval Code Execution 취약점은 4월13일 공개된 취약점이다. 다양한 웹 페이지 구성 요소들이 하나로 통합될 수 있도록 하는 마크업 언어인 XBL(eXtensible Binding Language)의 XBL Eval 코드 실행 취약점을 이용해 공격자는 브라우저를 감염시켜 모질라 파이어폭스 브라우저의 사용자 권한을 획득할 수 있다. 관리자급 임원이 모질라 파이어폭스를 사용하고 있다면, 공격자는 관리자의 권한을 가질 수 있게 되는 것이다.
지난 4월11일 발표된 Microsoft Internet Explorer Invalid HTML Parsing Code Execution 취약점도 유사한 종류의 취약점이다. 마이크로소프트의 인터넷 익스플로러는 웹 페이지를 디스플레이 하기 위해 HTML 파일을 읽고 실행하게 되는데, Invalid HTML Parsing 코드 실행 취약점은 공격자로 하여금 웹 브라우저를 감염시킬 수 있도록 해 공격자가 사용자 권한을 가지도록 한다.
모질라 파이어폭스 및 마이크로소프트 인터넷 익스플로러 취약점 공격은 사용자가 악성 데이터가 들어있는 웹 기반 이메일이나 웹페이지의 링크를 클릭해서 들어갈 때 발생할 수 있다. 이 공격이 실행되면 취약한 브라우저는 악성 데이터를 실행하게 되며, 사용자 권한을 취득해 코드 실행에 대한 트리거로 작용하게 된다. 특히 이들 취약점은 공격자가 타깃 유저가 눈치채지 못하는 사이 공격을 실행할 수 있어 더욱 심각한 위험성을 가지고 있다고 말할 수 있다.
이처럼 웹 브라우저 취약점은 해커들이 방화벽, 라우터 등의 고전적인 경계 보안 디바이스를 우회할 수 있는 경로를 제공함으로써 심각한 보안 이슈로 떠오르고 있다. 이 취약점을 통해 기업의 보안 시스템을 속이고, 기업 네트워크에서 추가 공격을 시행할 수 있는 기반을 얻게 되는 것이다.
이들 공격의 방어를 위해서는 모든 모질라 파이어폭스 및 인터넷 익스플로러를 최신 패치 버전으로 업그레이드해야 한다. “잠재적 공격을 모니터하고 이것이 성공하기 이전에 필터링하는 HTTP 트래픽 감시용 침입 감지 시스템을 설치하면 사전 방지가 가능하므로 관리자들이 이러한 시스템을 설치하는 것도 공격 방어에 도움이 된다”고 시만텍코리아 측은 밝혔다. 또한 사용자들이 알지 못하는, 혹은 미심쩍은 웹 사이트를 방문하는 것에 대해 주의를 기울이고, 신뢰할 수 없는 이메일의 링크를 클릭하거나, 첨부 파일을 열지 않는다면 이들 웹 브라우저 취약점 공격에 노출을 최소화할 수 있다. 따라서 취약점 공격 방어를 위해 기업의 보안 담당자는 사용자 교육에도 힘써야 한다.


이메일 이용한 공격이 ‘주류’
조사 기간 동안 아태지역에서 가장 많은 공격은 TCP/IP 연결을 겨냥한 ‘Generic Extra SYN’이 차지했다. 이 공격은 아태지역의 IP 주소 공격 중 20%를 차지해 지난 3월의 조사 결과인 13% 보다 비율이 크게 증가한 모습을 보였다. 4개월 연속으로 리스트 최상위에 위치했음에도 시간이 흐를 수록 더욱 기승을 부리고 있는 것. 시만텍코리아 측은 “이 공격이 계속해서 증가하고 있는 것은 점점 더 많은 아태지역의 공격자들이 인터넷 프로토콜의 대부분에 깔려있는 TCP/IP 연결을 조작하고자 한다는 것을 증명하고 있다”고 분석했다.
TCP/IP 연결을 조종할 수 있게 되면 해당 커넥션 상의 데이터를 공격자가 읽거나 조종할 수 있어 중요 정보에 접근하거나 데이터 무결성을 오염시킬 수 있다. 따라서 관리자들은 TCP/IP 프로토콜의 변칙을 추적하는 IDS 시그니처를 설치해 어떤 종류의 의심스러운 변화도 간과해서는 안 될 것이며, 방화벽 및 라우터를 포함한 모든 시스템에 적절한 패치 수준이 유지되고 있는지를 점검해야 한다. 전세계적으로 볼 때 이 공격은 지난 3월의 조사보다 1% 감소한 18%를 기록했다.
아태지역에서 이번 조사 기간 동안 두 번째로 많이 감지된 공격은 ‘Generic SMTP “FROM:” Buffer Overflow Attack’이다. 총 공격 방식 중 7%를 차지한 이 버퍼 오버플로우 공격은 SMTP 방식 이메일의 “From” 필드를 통해 과다한 양의 데이터 전송 시도가 일어나고 있다는 것을 의미한다. 공격자는 취약한 SMTP 서버의 버퍼 오버플로우 공격 트리거로 이를 활용할 수 있는데, 버퍼 오버플로우 공격에 성공할 경우에 공격자가 타깃 컴퓨터에 대한 높은 권한의 사용자나 관리자 권한을 잠재적으로 얻게 된다. 다른 한편으로는 최근 발표된 ‘Sendmail Asynchronous Sign al Handling Remote Code Execution’ 취약점을 타깃으로 한 공격이 버퍼 오버플로우 공격 증가에 영향을 미쳤을 가능성도 존재한다.
이러한 공격 방어를 위해서 기업들은 모든 SMTP 서버에 적정한 패치 레벨이 유지되도록 해야 하며, 나아가 방화벽 및 침임 감지 시스템을 설치해 이메일 서버에 대한 확실한 보호책을 마련해야 한다.
‘Generic SMTP Invalid Command Before HELO Event’는 5%의 점유율로 아태지역에서 3위를 기록했다. 이 공격 방식의 증가는 시퀀스를 벗어난 명령을 통해 이메일 서버를 장악하려고 시도하는 공격자가 많다는 것으로 해석될 수 있다. 공격자는 이 방식을 통해 이메일로 전송되는 데이터의 무결성(Integrity)를 오염시키거나 중요 정보에 접근하게 될 수 있다.
이 공격을 막기 위해서는 방화벽 및 라우터를 포함한 모든 시스템에 적절한 패치는 물론, 프로토콜 이상을 감지해낼 수 있는 침임 감지 시스템 시그니처를 반드시 설치하고, 모든 경고를 자세하게 조사해야 한다.


‘봇’ 최대 위협국가 ‘중국’
공격자의 지휘 아래 활동하게 되는 봇 감염 컴퓨터는 수백 수천 개가 존재할 수 있다. 봇 감염 컴퓨터 네트워크는 공격 대상이 될 수 있는 추가 컴퓨터를 찾아 감염시키며, 이를 통해 서비스 거부 공격을 시행할 수도 있다. 봇 감염 컴퓨터는 여러 가지 이유에서 문제를 일으킬 수 있다. 특히 감염 그 자체에서 오는 피해도 있지만 봇 네트워크 행동에서 비롯되는 간접적인 영향도 무시할 수 없다는 점을 간과해서는 안 된다.
봇에 감염된 노트북이 이후에 네트워크에 연결된 경우와 같이 네트워크 내부의 하나의 호스트가 감염되는 상황이라면, 네트워크 전체에 봇이 퍼질 수 있게 되는 것 또한 봇 감염에 대한 면밀한 주의가 요구되는 이유 중 하나다. 봇 감염 컴퓨터들은 외부 타깃에 대한 서비스 거부 공격을 시행하기 위해 상호 협력해 움직일 수 있으며, 서비스 거부 공격 시행시 타깃 컴퓨터는 물론 소스 컴퓨터의 대역폭을 활용해 부하를 발생시킨다.
봇 네트워크 위협 증가에 대응하기 위해 시만텍은 전세계 및 아태지역의 봇 감염 컴퓨터를 추적, 조사해 그 결과를 보안 업데이트에서 발표하고 있다. 봇 감염 컴퓨터를 파악하는 것은 매우 중요한 작업으로, 감염된 컴퓨터의 증가는 향후 봇 관련 공격의 증가를 의미하는 것이기 때문이다. 또한 이 결과는 각 지역의 패치 적용 정도와 보안 의식의 정도를 나타내는 지표가 되기도 한다.
이번 조사 결과 중국 베이징에 아태지역에서 가장 많은 봇 감염 컴퓨터가 위치해 있는 것으로 드러났다. 아태지역 봇 감염 컴퓨터의 10%가 이 지역에 존재하고 있는 것. 베이징은 또한 전세계적으로도 가장 많은 비율의 봇 감염 컴퓨터를 가진 지역이란 불명예도 안았다. 시만텍코리아 측은 “급격한 인터넷 사용 증가가 발생하고 있는 중국의 상황이 이러한 봇 감염률 증가로 나타나는 원인이 될 것”이라고 분석했다. 아태지역 봇 감염 컴퓨터 통계에서 2, 3위를 차지한 곳 역시 중국. 아태지역 봇 컴퓨터 중 6%가 광동성에, 5%가 저장성에 위치한 것으로 조사됐다.
봇 감염을 방지하기 위해서는 엔드 유저들에게도 안티바이러스, 방화벽 및 침입 탐지 시스템과 같은 심층적 방어 시스템 구축이 요구된다는 것이 시만텍코리아의 지적이다. 또한 보안 관리자들은 이미 알려진 봇 네트워크 트래픽을 막기 위해 내외부 필터링이 제대로 이뤄지고 있는지 확실하게 점검해야 하며, 안티바이러스 정의가 정기적으로 업데이트되고 있는지 확인해야 한다.


리니지 악성코드, 아태지역에서 활발한 활동 지속
아태지역에서 시만텍에 가장 많이 보고된 악성코드는 인기 온라인 게임인 리니지의 계정을 노리는 트로이 목마인 ‘Lineage’였다. 온라인게임 리니지에서 사용자 ID나 비밀번호 같은 사용자 계정을 훔치기 위한 이 악성코드는 아태지역에서 보고된 건수가 전세계에서 보고된 수의 절반에 육박할 정도로 높은 기록을 나타냈다.
Mytop 웜의 변종 역시 많이 보고됐다. 이 대량 메일 발송 웜의 변종들은 감염된 컴퓨터에 IRC 봇을 설치, 공격자에게 해당 시스템에 대한 원격 제어권을 허용하며, 또한 보안 애플리케이션의 프로세스를 파괴하고, HOSTS 파일을 덮어써서 보안 웹 사이트 액세스를 막거나, 인터넷 익스플로러의 보안 세팅 단계를 낮춰 보안 상태를 약하게 만들 수 있다.
지난 1월17일 시만텍에 의해 발견된 Blackmal.E은 세 번째로 많이 보고된 악성코드 샘플이었다. 이 웜은 감염된 컴퓨터에서 .doc, .xls, .pdf란 확장자를 가진 모든 파일을 매월 3일 삭제를 시도하는 파괴적 성격을 지녔다. 감염된 컴퓨터의 안티바이러스나 보안 애플리케이션을 무력화시키려고 시도하기도 하는 이 웜은 대량 메일 발송 컴포넌트와 공유 네트워크 및 원격 컴퓨터로의 자기 복제를 활용해 확산된다.
악성코드 위협으로부터 보호받기 위해서 사용자들은 안티바이러스 소프트웨어와 개인용 방화벽을 비롯한 방어 시스템을 구축해야 하며, 안티바이러스 업데이트와 운영시스템의 보안 패치를 설치해야 한다. 특히 믿을 수 있는 소스로부터 온 메일이거나 첨부 파일의 목적이 분명한 경우가 아니면 절대로 이메일 첨부 파일을 열어보거나 실행하지 말아야 한다.


주요 스팸 동향
4월 조사 기간 동안, 전세계 스팸에서 가장 다수를 차지한 것은 소비재와 관련된 스팸으로 전체 스팸의 22%를 차지했다. 두 번째로 많았던 스팸은 대출, 주식 투자 등과 같은 금융 상품에 관련된 것이었으며, 이 스팸은 전체 스팸 중 20%를 차지했다. 또한 건강 제품이나 서비스와 관련한 스팸 메일은 13%를 기록했다.
이번 달에도 역시 아태지역은 전세계 통계와는 조금 다른 경향을 보였다. 전체 스팸 중 23%를 소비재 제품 관련 내용이 차지했으며, 금융 상품 스팸은 21%를 차지했다. 이 지역에서 세 번째로 많은 양을 차지한 스팸은 인터넷 제품이나 서비스 관련 메일로, 전체 13%를 기록했다.


기타 최근 주요 보안 위협들
이번에 발표된 마이크로소프트 보안 블러틴 가운데 가장 높은 위험도를 가진 것은 마이크로소프트 익스체인지 서버 관련 취약점이라고 시만텍코리아 측은 설명했다. 이 취약점을 이용해 공격자는 악성 일정을 포함한 이메일을 보내 원격 코드를 실행할 수 있다. 악성 일정들은 개별 파일로 이메일에 첨부돼 수신될 수 있기 때문에 IT관리자들은 이러한 파일 형식을 차단하도록 설정해 위험성을 줄일 수 있다. 이 취약점은 마이크로소프트 익스체인지 서버 2000과 2003에 존재하는 취약점이다.
시만텍 보안연구소의 올리버 프리드리히(Oliver Friedr ichs) 박사는 “IT관리자들이 이 문제를 쉽게 완화시킬 수 있는 것은 사실이지만, 이 취약점은 가볍게 다루어져서는 안 된다”고 경고했다. “대다수의 익스체인지 서버가 익명의 사용자로부터 오는 메일을 수용하도록 설정돼 있으며, 제대로 패치가 적용돼있지 않을 경우에는 이 취약점이 웜의 형태로 나타날 수 있기 때문”이라는 것이 프리드리히 박사의 설명이다.


ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

 
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr