사이트 개인 정보·인스턴트 메시징 이용 스팸 증가 … 불확실한 메일·웹사이트 경계 경보
이번 보안 업데이트에서는 마이크로소프트 엑셀 스프레드시트 프로그램의 취약점과 함께 ‘마이스페이스(MySpace)’란 스팸에 대해 살펴본다. 마이스페이스는 해외 인터넷 사이트 가입자들에게 배포된 새로운 형태의 스팸이다. 또한, 결제 시스템으로 널리 사용되고 있는 페이팔(PayPal) 사이트의 비밀번호를 훔치는데 사용되고 있는 취약점에 대해 설명하고, 인스턴트 메시징 서비스와 야후 메일을 공격하는 새로운 웜에 대한 분석을 제공한다.
스팸메일 부문에서 눈에 띄는 현상은 미국의 인맥 기반 커뮤니티 서비스인 ‘마이스페이스(MySpace)’를 이용한 스팸메일의 증가다. 마이스페이스는 우리나라 사용자들도 상당수 이용하고 있는 것으로 알려져 특히 주의가 요구된다. 시만텍의 조사에 따르면, 이 서비스 이용자들은 최근 약 2만개 이상의 마이스페이스 사용자 프로필 구매를 권하는 스팸메일을 받은 것으로 나타났다. 마이스페이스 사용자들 중 다수가 사진 프로필에 개인 정보를 입력해 놓기 때문에 이 스팸메일은 다시 타깃 스팸 및 피싱 공격을 실행하도록 한다.
폭발적으로 스팸메일이 들어오는 현상을 예방하기 위해 사용자들은 웹 사이트, 채팅룸 등 모든 온라인 커뮤니티에서 자신의 정보가 공개되는 정도에 대해 항상 주의를 기울여야 한다. 또한 스패머들에 의해 이메일 주소가 수집되지 않기 위해서는 온라인에서 이메일 주소를 완전하게 기입하지 않는 것도 스팸메일을 피하기 위한 하나의 방법이 될 수 있다.
예를 들어 ‘yourname@serviceprovider.com’ 라는 이메일 주소를 완전히 다 기입하는 것보다는, ‘yourname at serviceprovider.com’과 같은 형식으로 분리, 기재함으로서 상당수의 스팸을 막을 수 있는 것. 무엇보다 유의해야 될 점은 어떠한 스팸 메시지에도 절대 답을 해서는 안 된다는 사실이다. 답장을 보내는 것은 스패머에게 사용자의 이메일 주소가 정확하다는 것을 확인시켜주는 것과 다름없는 행동이기 때문이다.
페이팔 결제 서비스 취약점 공격 발생
지난 6월16일에는 온라인 결제 서비스를 제공하는 페이팔(PayPal)의 웹 페이지 보안 취약점이 발표됐으며, 페이팔은 같은 날 이 취약점이 실제 공격을 받았다고 확인했다. 이 취약점은 해커들에게 페이팔 계정 정보를 훔쳐낼 수 있는 통로를 만들어줬으며, 해커들은 취약점을 통해 페이팔 웹사이트에 직접 악성 콘텐츠를 심고, 사용자들이 링크를 따라 이미 해킹된 페이팔 사이트로 이동하도록 유도하는 방식을 사용했다.
해킹된 페이팔 웹사이트에 방문한 사용자들은 자신의 계정에 문제가 있다는 메시지를 받게 되며, 문제를 고치기 위해 특정 링크를 따라가라는 지시를 받는다. 링크된 사이트는 해커가 장악한 사이트로 사용자의 페이팔 비밀번호를 요구, 이를 입력한 사용자의 비밀번호를 사용해 해커가 금전적인 이득을 얻을 수 있다.
이러한 사기는 사실 흔한 수법이지만, 페이팔과 같은 금융 서비스에 이러한 공격이 실행되면 그 위협은 실로 엄청나고 말할 수 있다. 이러한 위협으로부터 자신을 보호할 수 있는 가장 좋은 방법은 알지 못하는, 혹은 믿을 수 없는 사람으로부터 온 이메일의 링크를 클릭하는데 극도로 조심하는 것이다. 그 링크가 보기에 안전해 보일지라도, 위협적인 것일 가능성이 충분하며, 비밀번호나 다른 개인 정보를 요구하는 이메일에는 특히 주의를 기울여야 한다. 해당 메시지에 대한 확신이 100% 있지 않다면, 관련 회사에 전화를 걸어서 사실여부를 확인하는 것이 필요하다.
ICQ·AIM 이용 스팸 유포
인스턴트 메시징은 사용자가 급속하게 증가하고 있는 애플리케이션이다. 하지만 불행히게도 인스턴트 메시징은 바이러스, 웜 및 다른 악성 프로그램을 유포하는 수단으로도 점점 더 많이 쓰이고 있다.
지난 6월에는 대표적인 인스턴스 메시징 서비스인 ICQ와 AIM 네트워크 사용자들을 대상으로 ‘seret.exe’라는 이름의 파일 링크를 제공하는 인스턴스 메시지 스팸 공격이 발생했다. 이 링크를 따라가면 악성 프로그램을 컴퓨터에 다운로드 받게 되며, 이를 열어서 실행할 경우에는 ‘Nailmews’란 트로이 목마에 감염됐다. 이 트로이 목마는 인스턴스 메시징, 이메일 및 웹 브라우저에서 사용되는 사용자의 이름 및 비밀번호 등 다양한 정보를 수집하는 것으로 공격자들은 수집된 정보를 활용, 사용자의 온라인 뱅킹 계정 등에 접속해 피해를 입힐 수 있다.
이러한 위협으로부터 벗어나기 위해서는 모르는 곳으로부터 발송되는 모든 메시지를 거부해야 하며, 파일이나 링크를 실행시켜서도 안 된다. 파일을 다운로드 받을 경우에는 항상 최신의 안티바이러스 소프트웨어로 검사한 후 사용해야 한다.
야후 인스턴트 메신저에서는 서비스 거부를 일으킬 수 있는 취약점이 발견됐다. 공격자는 이 취약점을 이용해 악성 메시지를 보냄으로써 애플리케이션의 충돌을 야기시킬 수 있다. 이 공격을 받으면 주고받고 있는 모든 파일이 삭제되며, 지금까지의 대화 내용도 없어지게 된다. 또한 공격자는 악성 메시지를 지속적으로 내보냄으로써 프로그램을 새로 시작할 때마다 애플리케이션이 충돌을 일으키도록 할 수도 있다. 이를 방지하기 위해서는 대화 상대 리스트에 등록된 사람들로부터만 메시지를 받을 수 있도록 설정하는 것이 바람직하다.
이달의 보안 핫 토픽, 야후 웹메일 웜
마이크로소프트 엑셀 프로그램에서는 해커가 컴퓨터에 대한 접근 권한을 확보할 수 있도록 하는 두 가지 중요한 취약점이 발견됐다. 공격자는 사용자가 해커 코드를 포함하고 있는 문서를 마이크로소프트 엑셀을 통해 열 때 이 취약점을 공격할 수 있다. 이런 문서는 이메일, 웹사이트, 혹은 신뢰할 수 있는 누군가와의 공유 파일 등 여러 경로로 들어올 수 있으며, 취약점 공격에 성공할 경우에 공격자들은 사용자의 파일을 읽거나 변형하고, 훔쳐낼 수도 있게 된다. 나아가 공격자가 사용자의 타이핑 내용을 모두 추적할 수 있음은 물론, 이메일 주소 목록까지도 가져갈 수 있다.
따라서 100% 안전하다는 확신이 없는 엑셀 파일은 열어서는 안 되며, 메일 발송 목적이나 발신인이 확실치 않을 때에는 이메일 첨부 파일 등을 보거나 여는 것은 물론, 클릭해서도 안 된다.
6월에는 야후 웹 기반 이메일 프로그램의 취약점을 공격하는 새로운 자바스크립트 웜인 ‘Yamanner’가 발견됐다. 이 웜은 감염된 이메일을 열어볼 경우 해당 야후 메일 사용자 주소록에 있는 이메일 주소로 발송되며, 수집된 이메일 주소를 인터넷 상의 원격 서버로 보내게 된다.
최근 몇 년간 발생해온 전통적인 대량 메일 발송 웜의 변종이지만, 감염이나 확산을 위해서 첨부 파일을 열어야만 했던 앞선 웜들과는 다르게 야후 메일 프로그램의 보안 취약점을 대상으로 한다는 점이 특징적이다. 이를 통해 다른 야후 메일 사용자들에게 확산되는 것은 물론, 향후 공격을 위해 사용자 정보를 수집하게 돼 이전 세대의 대량 메일 발생 웜에 비해 더욱 위험하다고 할 수 있다.
기타 최근 주요 보안 위협들
7월 마이크로소프트 보안 블러틴에서 7가지 새로운 보안 취약점이 발표됐으며, 시만텍 보안 연구소는 이 가운데 가장 위험도가 높은 것으로 평가되는 4가지 보안 이슈와 이에 대한 권고 사항을 발표했다.
1) 메일슬롯 힙 오버플로우 취약점
이번 보안 블러틴에서 시만텍 보안 연구소는 마이크로소프트의 메일슬롯(Mailslot)의 취약점을 가장 위험도가 높은 것으로 평가했다. 이 취약점은 공격자가 익명의 악성 TCP 포트 445로 전송하여 원격 코드를 실행할 수 있도록 하며, 이런 방식의 공격에 성공하게 되면, 시스템을 완전히 감염시킬 수 있다.
2) 윈도 DHCP 클라이언트 서비스의 원격 코드 실행 취약점
이번 보안 블러틴에서 위험도가 높은 것으로 분류된 또 다른 취약점은 윈도 DHCP(Dynamic Host Configura tion Protocol) 클라이언트 서비스의 원격 코드 실행 취약점이다. DHCP는 관리자들이 조직 내 네트워크 상에서 IP 주소를 중앙에서 관리하고 자동적으로 할당해줄 수 있도록 하는 프로토콜로 로컬 서브넷 상에서 공격자의 악성 DHCP 클라이언트 요청을 처리할 때 생기는 버퍼 오버플로우와 관련된 취약점이다. 네트워크의 IP 주소를 관리하는 DHCP의 특성상, 하나의 컴퓨터만 감염되더라도 동일 네트워크 상에서 연결된 다른 시스템 역시 추가로 영향을 미칠 수 있다.
위의 두 취약점은 윈도 2000, 윈도 XP, 그리고 윈도 서버 2003 사용자들에게 영향을 미치며, 원격으로 공격이 가능해 사용자간의 상호작용이 필요가 없고 인터넷을 통한 공격이 가능하다. 따라서 더욱 심각한 위협이 될 수 있다고 시만텍코리아 측은 풀이했다. 많은 윈도 서버가 동일 네트워크 상에 존재하는 경향이 있고, 메일슬롯과 DHCP 취약점들은 웜이 공격을 야기할 수 있으므로, 기업들은 방화벽 정책을 점검하고 시스템에 패치를 적용해야 한다.
3) 마이크로소프트 PNG 이미지 파일 처리 취약점
마이크로소프트 PNG 이미지 파일 처리 기능의 취약점은 파일 길이에 대한 검증과 관련된 메모리 손상 결함이다. 악성 PNG 이미지를 포함하고 있는 정교하게 조작된 엑셀 파일이 해당 취약점을 공격할 수 있다. 또한 마이크로소프트 오피스XP와 2003을 제외하고, 영향을 받을 수 있는 모든 플랫폼의 이메일을 통해서도 자동적인 공격이 가능하며, 공격자는 웹 상에 악성 문서를 올리고 사용자들이 이를 열어보도록 유도함으로써 공격에 성공할 수 있다.
4) 마이크로소프트 엑셀 보안 취약점
마이크로소프트는 마이크로소프트 엑셀의 여러 취약점과 관련한 패치를 발표했다. 이와 관련된 모든 취약점이 악성 정보를 포함한 정교하게 조작된 엑셀 문서를 통해 공격받을 수 있으며, 공격자가 전송하는 데이터를 통해 프로세스 메모리를 손상시킬 수도 있다. 공격에 성공할 경우, 공격자는 현재 접속 중인 사용자의 컨텍스트에 임의의 코드를 실행할 수 있게 된다. 시만텍 보안 연구소는 사용자들이 마이크로소프트의 보안 웹사이트에서 이 취약점에 영향을 받은 모든 엑셀 프로그램 버전을 확인할 것을 권고했다.
시만텍이 온라인 사기 행위 방지를 위해 권고하는 보안 수칙.
▶ 이용하는 사이트의 보안에 대한 확신이 없을 경우 절대 개인 정보를 입력하지 않는다.
▶ 이메일, 메신저 프로그램을 통해 개인 정보를 전달하는 일은 절대 삼가 한다.
▶ 개인정보, 계좌정보 업데이트 요구 이메일은 무시하고, 해당 사이트에서 직접 확인한다.
▶ 스팸으로 의심되는 이메일의 첨부 파일을 열거나 답장을 보내지 않는다.
▶ PC에 카드번호 혹은 비밀번호 등을 저장해 사용하지 않는다.
▶ 다양한 보안 위협에 종합적으로 대처할 수 있는 통합 보안 제품을 사용한다.
▶ 금융거래 사이트는 주소창에서 직접 입력하거나 즐겨찾기로 사용한다.
▶ 공인인증서는 USB, 스마트카드 등 이동식 저장장치에 보관한다.
▶ PC방 등 공용 장소에서는 인터넷 금융거래를 자제한다.
▶ 정기적으로 윈도우즈를 업데이트하고 최신의 보안 업데이트를 설치한다.
