이번 보안 업데이트에서는 인기 있는 온라인 3D 게임 사용자들의 개인 정보를 해커들에게 공개하게 된 데이터베이스 침해 사고에 대해 살펴본다. 또한 AT&T DSL 서비스 온라인 매장의 고객들을 대상으로 행해진 정교한 피싱 사기와 마이크로소프트 워드, 모질라 파이어폭스, 마이크로소프트 인터넷 익스플로러의 파일 공유 보안 문제에 대해 알아본다.

온라인 3D 가상 세계인 세컨드라이프(Second Life)는 2006년 9월 6일 데이터베이스 보안에 문제가 발생했다고 밝혔다. 서버에 설치된 소프트웨어의 취약점을 공격하는 제로-데이 공격에 의해 데이터베이스가 해킹 당한 것이 원인으로 해커들에게 하여금 사용자의 이름, 주소는 물론 암호화된 신용카드 정보와 비밀번호에까지 접근을 허용했다.
세컨드라이프를 운영하는 린덴 랩(Linden Labs)은 9월 8일에 해킹 사실을 사용자들에게 공지했으며, 린덴 랩은 암호화되지 않은 신용카드 정보의 경우, 별도의 서버에 저장돼 있어 해커들에게 노출되지 않았다고 밝혔다. 하지만, 계정 보호를 위해 세컨드라이프 사용자들은 비밀번호의 즉각적인 변경이 요구된다.
아직도 많은 사용자들이 온라인 게임 계정 보호에 크게 신경을 쓰지 않고 있지만, 해커들이 계정에 포함된 프로필 정보에 접근하게 되면 이를 이용해 명의 도용 범죄를 저지를 수 있다는 사실을 명심해야 한다.

AT&T DSL 고객 피싱 공격 발생
지난 9월에는 AT&T의 DSL 고객들이 정교한 피싱 사기의 타깃이 되는 사건도 발생했다. DSL 온라인 쇼핑몰을 이용해 DSL 서비스를 구매한 고객들의 개인 정보를 담은 서버가 해킹을 당한 것이 피싱 사기 발생의 원인으로 지적된다.
해커들은 해킹으로 얻은 데이터를 가지고 1만9천여명의 고객들에게 피싱 메시지를 보냈으며, 다른 피싱 메시지와 달리 이 피싱 메시지들은 각각의 고객에게 맞는 완전한 개별 메시지로 발송됐고 또한 이 메시지들은 온라인 쇼핑몰에서의 주문 번호, 집 주소 및 구매에 사용한 신용카드 번호의 마지막 4자리를 포함하고 있어 큰 피해가 야기됐다. 이 이메일을 통해 해커들은 결제 처리에 문제가 생겼다고 하면서 메시지 내의 링크를 클릭해 신용카드 정보를 업데이트할 것을 요구했으며, 이 링크는 고객들을 진짜 SBCdslstore.com 웹 사이트와 비슷한 모양의 가짜 피싱 사이트로 이동시켰다.
대부분의 피싱 메시지들이 일반적인 내용으로 쓰여 될 수 있는 대로 가장 많은 수의 사용자들을 낚아 올리려고 하는 것과 달리, 이번 공격은 각각의 수신자에게 맞춰진 정보를 전송함으로써 성공률을 크게 높였다. 이러한 피싱 피해 예방을 위해 사용자들은 개인 정보를 입력할 것을 요구하는 이메일에 들어있는 어떤 링크도 클릭해서는 안 된다는 점을 알 수 있다. 설령 그것이 아무리 진짜처럼 보인다고 해도 이 원칙을 지켜야 하며, 조금이라도 이상한 내용을 보거나 의심이 가는 경우에는 해당 기업에 연락해 명확하게 사실 여부를 알아보는 행동이 필요하다.

MS 워드, 패치 안 된 보안 결점에 노출
9월 2일에는 ‘마이크로소프트 워드2000 Malformed String 원격 코드 실행 취약점’이 발견됐다. 이 취약점은 해커들로 하여금 사용자의 컴퓨터에 대한 접근권을 갖도록 하며, 해커는 해커 코드가 담겨 있는 문서를 마이크로소프트에서 열었을 때 이를 이용할 수 있다. 오염된 문서는 이메일, 웹 사이트를 통해서 받을 수도 있고, 사용자가 신뢰하고 있는 누군가와 공유한 파일이 될 수도 있다.
9월 1일 발견된 ‘Trojan.MDropper.Q’라는 이름의 트로이 목마 프로그램은 취약한 컴퓨터에 백도어 프로그램을 설치하기 위해 이 워드 취약점을 활용하게 되며, 이 백도어 프로그램은 다시 해커들에게 완전한 원격 접근권을 줄 수 있다. 해당 공격이 성공하게 되면 해커들은 사용자의 파일을 읽고, 변경하고, 훔쳐낼 수 있으며, 사용자가 타이핑하는 모든 것을 추적하고 이메일 주소를 빼낼 수 있다.
이 문제에 관한 패치는 10월 중순에서야 마이크소프트 보안 공지(Microsoft Security Bulletin)을 통해 배포됐다. 사용자들은 일단 명확하게 알거나 믿을 수 있는 곳으로부터 온 것이 아니면 워드 문서를 열어서는 안 된다. 파일의 목적이나 보낸 사람이 불분명할 경우에는 이메일 첨부 파일을 절대 열지 말아야 하며, 마이크로소프트가 배포한 관련 패치를 최대한 빨리 업데이트하여야 한다.

모질라 파이어폭스, 다수의 보안 결점 노출
모질라파운데이션은 9월 21일 파이어폭스 인터넷 브라우저에 영향을 미치는 취약점들에 관해 설명하는 몇 가지 권고 사항을 배포했다. 해커 코드를 포함한 웹 사이트를 모질라 파이어폭스를 이용해 서핑할 때 이들 취약점을 이용해 해커가 접근할 수 있다. 이러한 해커 코드를 지닌 웹 사이트에는 포럼, 게시판 웹 사이트, 이메일 혹은 텍스트 문서 등 다양한 경로를 통해 들어갈 수 있으며, 공격이 성공하면, 다른 공격들처럼 해커가 사용자 컴퓨터에 대한 완전한 통제권을 얻게 돼 사용자의 파일을 읽고, 변경하고, 훔쳐낼 수 있으며 사용자가 타이핑하는 모든 것을 추적하고 이메일 주소를 빼낼 수 있게 된다.
이러한 위협으로부터 보호하기 위해서 사용자들은 모질라 파이어폭스의 도움말 메뉴에서 ‘업데이트 사항 체크’를 클릭해 업데이트를 실행해야 한다. 모질라 웹 사이트에서 최신 모질라 파이어폭스를 다운로드 받는 것도 피해 예방을 위한 또 다른 방법이다. 또한 웹사이트, 이메일, 문서 등에 걸려 있는 링크들은 믿을 수 있는 소스가 아니면 절대 실행해서는 안 된다.

MS 인터넷 익스플로러, 보안 결점 다수 발견
마이크로소프트 인터넷 익스플로러에서도 패치 되지 않은 다양한 보안 결점이 밝혀졌다. 9월 15일에는 ‘마이크로소프트 인터넷 익스플로러 Daxctle.OCX Spline Method 힙 버퍼 오버플로우 취약점’이 보고됐으며, 9월 19일에는 ‘마이크로소프트 인터넷 익스플로러 Daxctle.OCX KeyFrame Method 힙 버퍼 오버플로우 취약점’이, 9월 21일에는 ‘마이크로소프트 인터넷 익스플로러 Vector Markup Language 버퍼 오버플로우 취약점’이 보고됐다. 이들 세 가지 취약점은 모두 해커들이 사용자의 파일을 읽고, 변경하고, 훔쳐낼 수 있도록 할 수 있으며, 사용자가 타이핑하는 모든 것을 추적하고 이메일 주소를 빼낼 수 있다. 또한 해커들이 이러한 보안 취약점을 이용한 실제 공격을 진행함에 따라 큰 위협이 되고 있다.
따라서 사용자들은 웹사이트, 이메일, 문서 등에 걸려 있는 링크의 경우 믿을 수 있는 소스가 아니면 절대 실행해서는 안 되며, 가능한 빨리 소프트웨어 패치를 최신으로 업데이트해야 한다.
마이크로소프트 인터넷 익스플로러는 또 ‘마이크로소프트 인터넷 익스플로러 HTTP 1.1과 Compression Long URI 버퍼 오버플로우 변종 취약점’에 취약한 것으로 9월 13일 보고됐다. 이 취약점은 9월 8일 배포된 보안 패치로 인해 우연히 발견된 두 번째 취약점이다. 마이크로소프트가 이 취약점을 해결하기 위한 패치를 다시 배포했으므로, 신속한 업데이트가 요구된다.
AOL 인스턴트 메신저 웜
9월에는 또 AOL 인스턴트 메신저를 통해 퍼지는 새로운 웜이 발견됐다. ‘Chaim.B,10’이라고 불리는 이 웜은 감염된 사용자의 주소록에 있는 연락처로 메시지를 보내고, 웹 사이트에 그들의 사진을 올리는 것을 허용하라고 요청한다. 사진이 올려진 웹 링크를 보내기도 하는데 이 링크를 클릭하면 사진이 아닌 웜 파일이 컴퓨터에 다운로드되고, 파일을 열기 위한 더블클릭으로 컴퓨터에 설치된다.
일단 웜이 설치되고 나면 이 웜은 해커에게 사용자의 컴퓨터에 원격으로 접근할 수 있도록 한다. 설치 후에는 바로 다른 곳으로 확산을 시작하며, AOL 인스턴트 메신저는 물론 마이크로소프트 윈도 11 취약점 및 네트워크 공유를 통해 확산된다.

기타 최근 주요 보안 위협
마이크로소프트는 10월 마이크로소프트 보안 공지에서 10가지 새로운 보안 취약점에 대한 정보를 발표했다. 시만텍 보안연구소(Symantec Response Center)는 이 가운데 ‘마이크로소프트 오피스-워드, 엑셀, 파워포인트 프로그램 보안 취약점’을 가장 위험도가 높은 것으로 평가하고, 권고 사항을 발표했다.
마이크로소프트 워드, 엑셀, 파워포인트의 여러 취약점을 담은 마이크로소프트 오피스 프로그램 관련 보안 취약점 중 몇 가지는 이미 일반에 공개됐던 것들이지만, 이 가운데 몇몇 취약점에 대한 공격 코드가 활발하게 활동하고 있어 주의가 필요하다. 실제 활동 중인 공격 코드의 예로는 마이크로소프트 엑셀에 대한 제로-데이 공격을 실행하는 ‘Trojan.Hongmosa’와 워드에 대한 제로-데이 공격 실행 코드인 ‘Trojan.MDropper.Q’를 들 수 있다. 시만텍은 이들 코드를 7월과 9월에도 각각 관찰한 바 있다.
시만텍은 최신 인터넷 보안 위협 보고서를 통해 “공격자들이 네트워크 인프라스트럭처가 아닌 데스크톱 애플리케이션의 취약점을 공격하는 경향이 높아지고 있다”고 밝힌 바 있는데, 이번에 많은 수의 마이크로소프트 오피스 취약점이 발견된 것은 이러한 경향을 증명하는 것이다. 사용자들은 관련 보안 패치를 반드시 설치해야 피해를 막을 수 있을 것이다.

보안 업데이트 요약
세컨드 라이프 고객 데이터 유출
AT&T DSL 고객 피싱 공격 발생
MS 워드, 패치 안 된 보안 결점에 노출
모질라 파이어폭스, 다수의 보안 결점 노출
MS 인터넷 익스플로러, 보안 결점 다수 발견
AOL 인스턴트 메신저 웜
기타 최근 주요 보안 위협

시만텍이 온라인 사기 행위 방지를 위해 권고하는 보안 수칙.
▶ 이용하는 사이트의 보안에 대한 확신이 없을 경우 절대 개인 정보를 입력하지 않는다.
▶ 이메일, 메신저 프로그램을 통해 개인 정보를 전달하는 일은 절대 삼가한다.
▶ 개인정보, 계좌정보 업데이트 요구 이메일은 무시하고, 해당 사이트에서 직접 확인한다.
▶ 스팸으로 의심되는 이메일의 첨부 파일을 열거나 답장을 보내지 않는다.
▶ PC에 카드번호 혹은 비밀번호 등을 저장해 사용하지 않는다.
▶ 다양한 보안 위협에 종합적으로 대처할 수 있는 통합 보안 제품을 사용한다.
▶ 금융거래 사이트는 주소창에서 직접 입력하거나 즐겨찾기로 사용한다.
▶ 공인인증서는 USB, 스마트카드 등 이동식 저장장치에 보관한다.
▶ PC방 등 공용 장소에서는 인터넷 금융거래를 자제한다.
▶ 정기적으로 윈도를 업데이트하고 최신의 보안 업데이트를 설치한다.

시만텍이 권고하는 보안 피해 예방 수칙
시만텍은 사용자들의 보안 피해를 예방하기 위해 다음과 같은 수칙을 권고하고 있다.
- 안티바이러스, 방화벽, 침입 탐지 및 취약점 관리 기능을 모두 제공하는 인터넷 보안 제품을 사용해 악성 코드 및 다른 위협으로부터 최대한의 보호를 받도록 한다.
- 모든 보안 패치를 최신으로 설치하고 이를 취약한 애플리케이션에 신속하게 적용하도록 한다.
- 비밀번호는 숫자와 일반 글자가 혼합된 형태로 사용하고, 어려운 것으로 설정한다. 비밀번호를 자주 변경한다.
- 파일의 목적이나 보낸 사람이 불분명할 경우, 이메일 첨부 파일은 절대 열어보거나 실행하지 않는다.
- 바이러스 정의를 정기적으로 업데이트한다.
- 자신의 PC 시스템이 취약한 점은 없는지 Symantec Security Check 웹사이트, ‘www.symantec.com/securitycheck’를 통해 점검한다.
- 모든 컴퓨터 사용자들은 훅스(Hoax)와 같은 가짜 바이러스나 피싱 사기 등의 시도를 알아볼 수 있어야 한다. 훅스는 대체로 “이 메시지를 아는 사람 모두에게 보내시오”라는 등의 가짜 위협 메시지를 보내거나, 사용자들을 위협하거나 오도하는 어려운 기술적 용어들을 담고 있다. 피싱 사기는 합법적인 기관에서 온 것처럼 위장해 사용자들이 신용카드 번호 등 중요한 금융 정보를 입력하도록 유도한다. 사용자들은 절대 이러한 메시지에 속아서는 안 되며, 그 메시지와 기관이 적법한 것인지에 대해서 확인해야 한다.
- 스파이웨어와 애드웨어는 파일 공유 프로그램, 공짜 다운로드 프로그램, 소프트웨어의 프리웨어나 쉐어웨어 버전, 혹은 이메일 링크나 첨부 파일, 인스턴트 메시징 등을 통해 컴퓨터에 자동으로 설치될 수 있다. 따라서 자신의 컴퓨터에 어떤 것이 설치되고 있는지 항상 주시하고 정보를 파악해야 한다.
- 사용자 라이선스 동의에 무조건 ‘네, 동의합니다’를 클릭해서는 안 된다.
- 유저 인터페이스에 플래시 광고를 담고 있는 프로그램에는 유의하는 것이 좋다. 많은 스파이웨어 프로그램들이 사용자가 이러한 광고에 어떻게 반응하는지 조사해서 피싱 공격 등에 사용하게 된다.

▶▷ 보안 위협 및 대처 방안 등에 대한 보다 자세한 정보
- 시만텍 보안연구소 글로벌 웹사이트 (securityresponse.symantec.com)
- 시만텍코리아 보안 대응 웹사이트 (www.symantec.co.kr/region/kr/avcenter)

데이터넷 관리자