시큐리티 전망대 - 시만텍 보안 업데이트
상태바
시큐리티 전망대 - 시만텍 보안 업데이트
  • 승인 2006.08.08 00:00
  • 댓글 0
이 기사를 공유합니다

TCP/IP 공격 내리막 … 이메일 공격 활발
애플 퀵타임·야후메일 취약점 발생 … 중국 봇 증가세 여전

이번 시만텍 보안 업데이트는 2006년 4월 24일부터 2006년 5월 24일 사이에 수집된 데이터다. 이 기간 중 아태지역 및 전

세계 컴퓨터에서 가장 많이 발견된 공격은 Generic SMTP FROM: 버퍼 오버플로우 공격으로 조사됐다. 4개월째 가장 많이 발

견된 공격 TCP 커넥션 이벤트의 Generic Extra SYN은 한 계단 내려갔다.

5월 11일 처음 공개된 ‘애플 퀵타임 미디어 파일 멀티플 버퍼 오버플로우 취약점(Apple QuickTime Media File Multiple

Buffer Overflow Vulnerabilities)’은 애플 맥 OS X와 마이크로소프트 윈도 운영 시스템 모두에서 운영되는 애플 퀵타임

버전에 영향을 끼친다. 애플 퀵타임은 퀵타임, 플래시, MPEG4, AVI 동영상과 FPX 파일 및 BMP 이미지를 포함한 다양한 미

디어 파일 형태를 지원하는 프로그램이다. 이번에 공개된 취약점은 애플 퀵타임을 통해 웹 브라우저를 감염시키고, 공격자

가 사용자 권한을 가질 수 있다.
이 공격은 사용자가 취약한 애플 퀵타임을 이용해 악성 미디어 파일을 열거나 애플 퀵타임 플러그인이 설치된 브라우저가

있는 악성 웹 사이트를 볼 때 일어날 수 있다. 취약한 애플리케이션의 경우 악성 파일 처리에 실패하게 되고, 오버플로우

를 발생시킨다.
이 취약점은 최근 대부분의 공격 경향이 그렇듯 공격자가 타깃 유저가 눈치채지 못하는 사이 공격을 실행할 수 있는 스텔

스형 공격으로 더욱 심각한 위험성을 지닌다. 사용자와 관리자는 이들 취약점의 영향권에 있는 모든 소프트웨어를 최신 패

치 버전으로 업그레이드 해야 할 것이다.
잠재적 공격을 모니터하고, 공격이 성공하기 이전에 필터링하는 HTTP 트래픽 감시용 침입 감지 시스템을 설치해 이를 미연

에 방지할 수도 있다. 이러한 취약점 공격에 노출되는 것을 막기 위해 기업 및 조직들은 사용자들이 알지 못하는, 혹은 악

의적인 목적이 의심되는 웹 사이트를 방문하는 것에 대해 주의를 기울이고, 확신이 없는 이메일의 링크를 따라가지 않도록

교육해야 한다.
‘마이크로소프트 워드 불특정 원격 코드 실행 취약점(Microsoft World Unspecified Remote Code Execution

Vulnerability)’은 지난 5월19일 처음 공개된 것으로, 이 취약점에 대한 공격은 사용자가 악성 데이터가 들어있는 마이크

로소프트 워드 문서를 열어볼 때 발생된다. 이 공격에는 마이크로소프트 워드 애플리케이션 자체를 사용하는 것은 물론,

마이크로소프트 워드를 기본 텍스트 편집기로 사용하는 마이크로소프트 이메일 클라이언트를 사용해 이메일을 열어보는 것

에도 노출될 수 있다.
이 취약점은 공격자로 하여금 웹 브라우저를 감염시켜 사용자의 권한을 가질 수 있도록 하며, 마이크로소프트 워드 애플리

케이션이 문서를 처리할 때 이 악성 데이터를 제대로 처리하는데 실패하면 오버플로우를 야기시킬 수도 있다. 해당 취약점

에 대한 공격이 현재 실제로 발생하고 있기 때문에 사용자들의 주의가 필요하다. 특히, 이 취약점은 공격자는 감염 컴퓨터

에 대한 원격 통제권을 갖게 하는 ‘Backdoor.Ginwui’와 ‘Trojan.Mdropper.H’ 악성 코드를 설치하는 데에도 이용되고

있다고 알려진다.
시만텍은 마이크로소프트에서 발표한 보안 권고와 마찬가지로 사용자 및 관리자가 마이크로소프트 워드 애플리케이션을 안

전 모드에서 사용할 것을 권고했다. 또한 사용자들은 명확하지 않은 이메일 및 마이크로소프트 워드 문서를 여는데 큰 주

의를 기울여야 한다는 당부도 잊지 않았다.
마이크로소프트 익스체인지 서버 2000과 2003 버전에 영향을 주는 마이크로소프트 익스체인지 서버의 캘린더 원격 코드 실

행 취약점은 5월 9일 처음 공개됐다. 5월 마이크로소프트 보안 블러틴(Micro soft Security Bulletin) 중 가장 높은 위험

도로 지적된 이 취약점은 마이크로소프트 익스체인지 서버가 악성 캘린더 데이터를 포함한 이메일을 수신할 때 공격이 일

어날 수 있으며, 공격자가 악성 일정을 포함한 이메일을 보내 원격 코드를 실행할 수 있는 기회를 제공할 수 있다. 익스체

인지 서버가 이 취약점을 이용한 악성 콘텐츠를 처리하는데 실패하게 되면, 공격자가 임의의 코드를 실행하여 대상 컴퓨터

를 완전히 장악할 수 있다.
IT관리자들은 해당 파일 형식을 차단하도록 설정함으로써 이 취약점에 노출될 위험성을 줄일 수 있다. 관리자들은 모든 취

약한 서버에 패치를 적용하고, 잠재적 공격을 모니터하며, 공격 성공 이전에 필터링할 수 있는 네트워크 경계 보안 소프트

웨어를 설치해 사전 방지에 공격을 차단해야 할 것이다.

TCP/IP 연결 공격 하락세
아태지역에서 이번 조사 기간 동안 가장 많이 감지된 공격은 ‘Generic SMTP “FROM:”버퍼 오버플로우 공격’이다. 지난

달에 비해 6% 증가하면서 총 공격 방식 중 13%를 차지, 2위에서 1위로 오른 이 공격은 SMTP 이메일 전송의 ‘프롬(From)’

필드를 통해 과다한 양의 데이터 전송을 공격자들이 시도하고 있다는 것을 의미한다.
이 버퍼 오버플로우 공격이 성공할 경우, 공격자가 타깃 컴퓨터에 대한 접근 권한을 얻게 돼 높은 권한의 사용자나 관리자

권한이 잠재적으로 주어지게 된다. 기업은 모든 SMTP 서버에 적정한 패치 레벨이 유지되도록 해 이 공격으로부터 방어할

수 있으며, 나아가 방화벽 및 침임 감지 시스템 설치를 통해 기업 이메일 서버를 보호할 수 있다.
두 번째로 많은 공격 유형은 지난달 1위를 차지했던 TCP 커넥션 이벤트의 ‘Generic Extra SYN’이다. 이 공격은 해당 지

역의 IP 주소 공격 중 11%의 비중을 차지해 지난 3월과 4월 조사에서 보여준 지속적인 증가를 멈추고 하향세로 돌아섰다.
이 공격은 공격자들이 인터넷 프로토콜의 대부분에 깔려있는 TCP/IP 연결을 조작하고자 한다는 것을 보여주는 것이라고 시

만텍은 분석했다. TCP/IP 연결을 조종할 수 있는 공격자는 해당 커넥션 상의 데이터를 읽거나 조종할 수 있게 되며, 중요

정보에 접근하거나 데이터 무결성을 오염시킬 수 있다. 이 공격의 대응을 위해 관리자들은 TCP/IP 프로토콜의 변칙을 추적

하는 IDS 시그너처를 설치, 의심스러운 행동을 파악할 수 있다.
또한 기업들은 이 공격을 막기 위해 방화벽 및 라우터를 포함한 모든 시스템에 적정한 패치를 설치해야 하며, 프로토콜 이

상을 감지해날 수 있는 침임 감지 시스템 시그너처 역시 반드시 설치, 모든 경고를 완벽하고 자세하게 조사해야 한다.
‘Generic SMTP Invalid Command Before HELO Event’ 공격이 7%의 비율로 지난달에 이어 또다시 아태지역에서 세 번째로

많이 발견된 공격 유형으로 조사됐다. 이 공격방식의 증가는 공격자들이 시퀀스를 벗어난 명령을 통해 이메일 서버를 장악

하려는 시도를 하는 것으로 해석될 수 있다. 이를 통해 공격자는 이메일로 전송되는 데이터의 무결성을 오염시키고, 중요

정보에 접근하게 될 수 있게 된다.

중국의 봇 위협 증가 지속
봇 감염 컴퓨터는 여러 가지 이유에서 문제를 일으킬 수 있다. 감염 그 자체에서 오는 피해와 더불어 봇 네트워크 행동에

서 비롯되는 간접적인 영향도 봇의 위험성 중 하나다. 예를 들어, 봇에 감염된 노트북이 이후에 네트워크에 연결된 경우와

같이 네트워크 내부의 하나의 호스트가 감염되는 상황이라면, 네트워크 전체에 봇이 퍼질 수 있게 된다.
아울러 봇 감염 컴퓨터가 무서운 점은 공격자의 지휘 아래 활동을 하게 된다는 것 외에도 외부 타깃에 대한 서비스 거부

공격을 시행하기 위해 서로 협동해서 움직일 수 있다는 점이다. 봇 감염 컴퓨터 네트워크는 공격 대상이 될 수 있는 추가

컴퓨터를 찾고 감염시키며, 이를 통해 서비스 거부 공격을 시행할 수 있게 된다.
따라서 봇 감염 컴퓨터를 파악하는 것은 매우 중요한 작업이다. 감염된 컴퓨터의 증가는 향후 봇 관련 공격의 증가를 의미

하는 것이기 때문. 또한 이 결과는 각 지역의 패치 적용 정도와 보안 의식의 정도를 나타내는 것이기도 하다. 이러한 이유

로 시만텍은 봇에 감염된 것으로 판명된 컴퓨터가 몇 개인지를 계산하고, 이들 컴퓨터가 어느 곳에 자리하고 있는지를 분

석하는 등 전세계 및 아태지역의 봇 감염 컴퓨터를 추적, 조사해 결과를 제공하고 있다.
이번 조사 결과 중국 베이징에 아태지역에서 가장 많은 봇 감염 컴퓨터가 위치해 있는 것을 드러났다. 지난 조사 결과 보

다 3% 증가해 아태지역 봇 감염 컴퓨터의 13%가 베이징에 존재했는데, 베이징은 지난달에 이어 전세계적으로도 가장 많은

비율의 봇 감염 컴퓨터를 가진 지역으로 나타났다.
아태지역 봇 감염 컴퓨터 통계에서 2, 3위를 차지한 곳 역시 4월 조사와 마찬가지로 중국이다. 2위는 7%를 기록한 광저우,

3위는 6%를 기록한 항저우 지역이다. 또한 아태지역에서 1, 2, 3위를 차지한 중국의 이 세 도시는 전세계 봇 감염 통계에

서도 상위 10개 지역 안에 들 정도로 봇 감염률이 높은 것으로 조사됐다.
봇 감염을 방지하기 위해서 시만텍은 사용자들에게 안티바이러스, 방화벽, 침임 감지 시스템 등과 같은 심층적 방어 시스

템을 구축할 것을 권했으며, 보안 관리자들은 이미 알려진 봇 네트워크 트래픽을 막기 위해 내외부 필터링이 제대로 이루

어지고 있는지 확실히 점검하고, 안티바이러스 정의가 정기적으로 업데이트되고 있는지 확인해야 한다는 점도 당부했다.

백도어 서버 프로그램 활개
‘Mytop’ 웜의 변종인 ‘Mytob.EA11’이 이번 조사 기간 동안 가장 많이 보고된 악성 코드 샘플로 조사됐다. 또한 ‘

Mytop’ 웜의 또 다른 변종인 ‘Mytob.AG12’와 ‘My tob.U13’도 많이 발견된 악성코드였다. 대량 메일 발송 웜의 변종인

이 웜들은 감염된 컴퓨터에 IRC 봇을 설치하고, 공격자가 해당 시스템에 대한 원격 제어권을 가질 수 있도록 한다.
또 보안 애플리케이션의 프로세스를 파괴하는 것은 물론, Hosts 파일을 덮어써서 보안 웹 사이트 액세스를 막거나, 인터넷

익스플로러의 보안 설정 레벨을 낮춰 보안 상태를 약하게 만들 수도 있다. 지난달에도 이 웜의 변종이 많이 보고된 바 있

어 이번 조사는 이러한 웜의 위험성이 계속 증가하고 있음을 보여준다고 말할 수 있다.
아태지역에서 두 번째로 많이 보고된 악성 코드 샘플은 ‘Mydoom.M14’이란 이름의 대량 메일 발송 웜이다. ‘마이둠’ 웜

의 변종인 이 악성 코드는 감염된 컴퓨터에 자동적으로 설치되는 ‘Zincite.A15’ 백도어 서버 프로그램을 포함하고 있다.

이 웜은 로컬 시스템 상의 파일에서 수집한 주소와 인터넷 검색 엔진을 통해 얻은 주소로 이메일 메시지를 자동 발송한다.
3위를 차지한 악성 코드는 ‘CVM16’ 백도어 서버 프로그램이다. 이 백도어는 감염된 컴퓨터를 통해 원격지의 공격자가 다

양한 활동을 할 수 있도록 하는데, 이 프로그램이 한 번 설치되면 주기적으로 웹 사이트에 연결돼 공격자의 명령을 다운로

드하거나, 자신을 업데이트하게 된다.
이러한 악성코드 위협으로부터 보호받기 위해서는, 사용자들은 안티바이러스 소프트웨어와 개인용 방화벽을 비롯한 보다

심층적 방어 시스템을 구축해야 하며, 안티바이러스 정의를 정기적으로 업데이트해야 한다. 또한 모든 데스크톱, 노트북

및 서버 컴퓨터에 운영 시스템 벤더로부터 필요한 모든 보안 패치를 다운받아 설치하는 것도 중요하다. 특히 믿을 수 있는

소스로부터 온 메일이거나 첨부 파일의 목적이 분명한 경우가 아니면 절대로 이메일 첨부 파일을 열어보거나 실행해서는

안된다.

스팸 동향
5월, 전세계 스팸에서 가장 다수를 차지한 것은 20%를 기록한 대출, 주식 투자 등과 같은 금융 상품이다. 두 번째로 많았

던 스팸 내용은 소비재 제품이었으며, 전체 19%를 차지했다. 또한 인터넷 제품 및 서비스 관련 스팸 메일은 전체의 13%를

기록했다.
아태지역의 경우 전체 스팸 중 22%를 소비재 제품 관련 내용이 차지했으며, 금융 상품 스팸은 20%였다. 이 지역에서 세 번

째로 많은 양을 차지한 스팸은 인터넷 제품이나 서비스 관련 메일로, 전체 14%를 기록했다.
북미 지역은 계속해서 시만텍 프로브 네트워크를 통해 탐지된 스팸 중 가장 높은 근원지 비율을 보였다. 시만텍은 이 지역

에서 제공되는 싼 가격의 광대역 인터넷 서비스가 이러한 결과를 만들어낸 것으로 보고 있으며, 많은 스팸이 이미 공격 받

은 데스크톱 컴퓨터로부터 발송되는 경향으로 미뤄볼 때 광대역 서비스가 활발히 제공되는 지역에서 계속해서 더 많은 스

팸이 발송될 것으로 예측했다.

최근 주요 보안 위협
■ 야후메일 공격 자바스크립트 웜

시만텍 보안 연구소(Symantec Response Center)는 야후 웹 기반 이메일 프로그램의 취약점을 공격하는 자바스크립트 웜인

‘JS.Yamanner@m’을 발견하고, 최고 5등급의 위협 카테고리 중 2등급으로 분류했다.
이 웜에 감염된 이메일을 열어볼 경우 해당 야후메일 사용자의 주소록에 있는 이메일 주소로 발송되며 수집된 이메일 주소

를 인터넷 상의 원격 서버로 보낸다. 이 위협은 @ya hoo.com 이나 @yahoogroups.com 계정 사용자에게만 영향을 미치며, 야

후메일 베타 버전 사용자들은 이 웜의 위협에 노출되지 않은 것으로 드러났다. 이 웜이 보내는 이메일은 다음과 같은 제목

및 내용으로 구별이 가능하다.

보낸사람: av3[at]yahoo.com
제목: New Graphic Site
내용: this is test

이 웜은 최근 몇 년간 보아온 전통적인 대량 메일 발송 웜의 변종이지만, 감염 및 확산을 위해서는 첨부 파일을 열어야만

했던 앞선 웜들과는 달리 알려지지 않았던 야후메일 프로그램의 보안 취약점을 이용해 위험성이 높다. 야후메일은 지금까

지 이러한 종류의 위협에 노출된 경우가 드물었지만, 이번 웜으로 인해 상당수의 인터넷 사용자가 공격에 노출될 가능성이

생기게 됐다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.