시큐리티 전망대 / 시만텍 보안 업데이트
상태바
시큐리티 전망대 / 시만텍 보안 업데이트
  • 데이터넷
  • 승인 2007.01.29 00:00
  • 댓글 0
이 기사를 공유합니다

온라인 쇼핑 노린 위협 증가 ‘경계 경보’
판매자·구매자 모두 사기피해 대상 … 웹브라우저 로그인 정보 저장 취약점 발생

이번 보안 업데이트에서는 자동화된 메일 서버에서 구글에서 관리되는 리스트로 발송된 악성 웜에 대해 살펴본다. 더불어 애플 맥 OS Ⅹ에 영향을 미치는 악성 디스크 이미지 파일 보안 취약점과 웹 브라우저의 로그인 창에서 비밀번호 정보를 기억하도록 설정할 때 발생할 수 있는 문제에 대해 알아본다. 온라인 경매나 광고 사이트에서 일어나는 요금 과(過)지불 사기, 유명한 가상현실 세계인 ‘세컨드 라이프(Second Life)’의 서버에서 일어난 두 번째 바이러스 사고에 대해서도 살펴본다.

최근 해커가 사용자 컴퓨터에 침입하도록 만들어줄 수 있는 애플 맥OS Ⅹ 내부의 보안 취약점이 공개됐으며, 이 취약점을 이용할 수 있는 공격 코드 역시 배포됐다. 10.4.8 버전을 사용하는 모든 애플 맥OS 사용자들은 이 위험에 노출돼 있으며, 이전 버전의 운영 시스템 역시 해당 결함에 영향을 받을 가능성이 있다.
해커는 사용자에게 확장자명이 ‘.dmg’ 인 악성 디스크 이미지 파일을 다운로드 혹은 더블 클릭 하도록 유도함으로써 취약점을 공격할 수 있다. 이 파일을 더블 클릭하게 되면 가상 디스크 이미지가 실행되고, 악성 파일인 디스크 이미지를 이용해 해커가 사용자 컴퓨터에 접근, 이메일, 주소록을 읽거나 파일, 소프트웨어를 훔치고 다른 해킹 공격을 위해 사용자의 컴퓨터를 활용할 수 있게 된다.
애플 사파리 웹 브라우저 사용자들에게 이 취약점은 특히 치명적이다. 사파리 브라우저가 이러한 파일 형식을 무조건적으로 신뢰하도록 기본 설정돼 있어 사파리는 디스크 이미지 파일 링크를 따라가 자동적으로 해당 파일을 다운로드해 실행하게 되기 때문이다. 다운로드된 악성 파일을 통해 해커는 사용자의 컴퓨터를 완전히 장악할 수 있게 된다.
이 취약점으로부터 자신을 보호하기 위해 확장자명이 ‘.dmg’ 인 디스크 이미지 파일 다운로드에 반드시 주의를 기울여야 하며, 믿을 수 있는 사람으로부터 온 파일만을 다운로드하도록 해야 한다. 애플 사파리 사용자의 경우, 사파리 옵션 창에서 ‘다운로드 후 안전한 파일은 실행’ 부분을 선택, 해제함으로써 악성 파일을 자동으로 실행할 가능성을 원천적으로 차단해야 할 것이 요구된다.
모질라 파이어폭스 웹 브라우저의 비밀번호 저장 기능 취약점 역시 공개됐다. 파이어폭스는 로그인 서식을 사용하는 웹 사이트의 사용자 ID와 비밀번호를 입력할 때 이를 저장해주는 옵션을 제공하고 있는데, 이를 이용해 로그인 정보를 저장하면 사용자가 해당 웹 페이지로 다시 돌아올 때 자동 입력된다.
이번 취약점은 파이어폭스가 로그인 페이지가 과연 진짜인지를 확인해주지 못하기 때문에 일어난다. 이 결함을 가진 웹 브라우저 사용자가 특정 웹 사이트 혹은 포럼의 로그인 페이지의 서식을 모방해 생성된 웹페이지를 보게 되면, 자동으로 채워져 해커에게 정보를 보내게 된다. 단순한 로그인 페이지 모방만으로도 타인의 ID와 비밀번호를 해커가 손쉽게 훔칠 수 있는 것.
이로 인한 피해를 방지하기 위해서는 비밀번호를 자동 저장해주는 옵션을 사용해서는 안 되며, 또한 웹 포럼, 게시판, 블로그, 이메일 등에 등재된 알 수 없는 링크를 따라가지 않아야 한다. 이러한 예방책을 수행한다면, 피해 가능성을 크게 줄일 수 있게 된다.

세컨드 라이프, 바이러스 공격 재발
서버를 통해 바이러스가 복제되는 문제로 인해 세컨드 라이프는 지난 10월 온라인 세계를 잠시 폐쇄한 바 있다. 하지만, 바이러스 노출 문제로 세컨드 라이프는 11월 또다시 서버를 폐쇄시켰다. 수를 파악할 수 없는 공격자가 서버에 바이러스를 유포한 것. 이 바이러스를 제거하기 위한 폐쇄 상태는 약 30분간 지속됐으며, 이 동안 세컨드 라이프 관리자들은 서버에서 바이러스를 제거했다.
가상 세계 내의 바이러스는 세컨드 라이프에서만 일어나는 독특한 현상이다. 월드 오브 워크래프트와 같은 대부분의 온라인 게임의 경우에는 개발자가 만들어놓은 구성 요소와 사용자들이 교류하지 못하도록 만들어져 있지만, 세컨드 라이프는 가상 세계 내부에서 사용자들이 자유롭게 구성 요소를 만들어낼 수 있도록 하고 있기 때문이다. 스크립트를 생성함으로써 세컨드 라이프 사용자들은 자신의 환경을 다양하게 변화시킬 수 있는 자유를 얻었지만, 바이러스들이 비주얼 베이직과 같은 널리 쓰이는 스크립트로 생성되듯 세컨드 라이프에서 사용되는 스크립트 역시 이렇게 이용될 수 있는 것. 세컨드 라이프란 가상 세계의 가장 큰 장점이 바로 이 스크립트 기능인 까닭에 관리자들이 이 기능을 없애는 것은 현실적으로 불가능할 것으로 전망되고 있다.
세컨드 라이프의 바이러스는 사용자의 컴퓨터에 영향을 미치지는 못하지만, 사용자의 가상 세계 경험에 심각한 불편함을 가져다 줄 수 있다. 이러한 가상 세계가 더욱더 인기를 끌고 있는 만큼 사용자들의 즐거움을 방해하기 위한 악성 사용자들의 활동 역시 증가할 것으로 여겨진다.

온라인 물건 판매 ‘주의 경보’
몇몇 사기 행위자들이 온라인 상에서 물건을 판매하려는 사람들에게서 물건 혹은 금전을 사취하는 시도도 종종 발견되고 있다. 사기 행위자들은 주로 온라인 광고를 통해 판매되는 물건을 찾은 후 판매자에게 전화를 걸어 수표나 우편환을 통해 결제가 가능한지 확인하고, 물건을 구매한다. 수표 혹은 우편환을 받아 이를 입금하려고 하면 수표는 가짜 계정으로 만들어진 것이라 사용이 불가능하며, 우편환 역시 위조지폐로 판매자는 금전적 피해를 입게 된다. 이 같은 시점이라면 물건은 이미 배송된 상태기 때문이다.
온라인 상으로 제품을 구매할 때 일어날 수 있는 사기 행위에 대한 사용자 인식은 높아졌지만, 물건을 파는 것과 관련된 위험성에 대해서 인지하고 있는 사용자는 드물다. 특히 연말 시즌에는 온라인으로 선물을 구매하고자 하는 사람들이 넘쳐나기에 온라인 사기 행위자에게도 이는 기회가 된다.

‘추가 경매 기회’ 사기
연말 연초 쇼핑을 위한 경매 사이트도 호황을 맞이하고 있다. 따라서 이를 노린 사기 행위도 부쩍 증가하고 있는데 최근 많이 관찰되고 있는 사기 유형 중 하나가 바로 ‘추가 경매 기회’를 미끼로 한 것이다.
이러한 사기 행위에서는 주로 보석, 전자 제품, 스포츠 혹은 콘서트 티켓과 같은 큰 아이템 경매가 완료된 후 해당 경매에서 두 번째로 높은 금액을 제시한 사용자가 타깃이 된다. 사기 범죄자는 타깃이 될 만한 최근 완료된 경매를 찾아낸 다음 판매자를 가장해 두 번째로 높은 가격을 부른 사용자에게 접근하는데, 주로 낙찰자가 제품 구매를 포기했으며 두 번째로 높은 금액을 제시한 사람에게 다시 기회를 주는 것이라고 소개한다. 이는 낙찰자가 구매를 포기할 경우, 많은 온라인 경매 사이트에서 실제로 행해지고 있는 방식이기에 사용자는 별다른 의심없이 믿게 된다.
사기를 노린 추가 기회인 경우에는 해당 경매 사이트가 아닌 다른 수단을 이용해 구매 정보 및 송금을 할 것을 유도하거나, 또는 사기 행위자가 통제하는 제3의 가짜 웹사이트를 사용할 것을 요구받게 된다. 물론, 돈이 송금된 후 사용자는 물건을 받거나 사기 범죄자와 다시 연락을 할 수 없게 된다.
이러한 사기 피해를 방지하기 위해서는 실제 경매 사이트를 통하지 않고 이뤄지는 모든 행위에 대해 의심을 해야 한다. 대부분의 경매 웹 사이트들은 판매자와 구매자 모두를 보호하는 시스템을 갖추고 있지만, 이를 경유하지 않은 행위는 보호의 혜택에서 제외된다는 것을 명심해야 할 것이다.
기타 최근 주요 보안 위협들
마이크로소프트는 2006년 12월 마이크로소프트 보안 공지(Microsoft Security Bulletin)에서 7가지 새로운 보안 취약점에 대한 정보를 발표했다. 시만텍 보안연구소(Symantec Response Center)는 이들 가운데 마이크로소프트 인터넷 익스플로러와 윈도 미디어 플레이어에서 발견된 취약점을 가장 위험도가 높은 것으로 분석했으며, 이에 대한 권고 사항을 발표했다.
인터넷 익스플로러 스크립트 오류 처리 메모리 손상 취약점은 특정 상황에서 인터넷 익스플로러가 스크립트 오류를 처리할 때 나타나는 메모리 손상 현상으로 인해 일어나며, 이를 통해 전체 시스템 감염으로 이어질 수 있다. 윈도2000, 윈도XP, 윈도 서버2003 시스템에서 운용되는 인터넷 익스플로러5와 익스플로러6(서비스팩1 포함) 버전 공격을 위해 설계된 악성 웹 페이지를 통해 이러한 취약점이 악용될 수 있다.
윈도 미디어 플레이어 취약점 역시 클라이언트 단에서의 원격 코드 실행 취약점으로, 윈도 미디어 플레이어가 멀티미디어 콘텐트 파일 포맷인 ASF(Advanced Streaming Format)을 처리하는 방식이 원인이 된다. 웹 기반 악성 윈도 미디어 플레이어 콘텐츠를 통해서, 혹은 해당 취약점의 영향권에 있는 윈도 미디어 플레이어를 이용해 감염된 파일을 실행할 경우 공격을 받을 수 있다. 윈도 미디어 플레이어 6.4버전과 7.1버전, 9버전, 10버전이 모두 이 취약점의 영향을 받는다.
올리버 프리드리히(Oliver Friedrichs) 시만텍 보안연구소 이사는 “미디어 플레이어나 브라우저 등 콘텐츠를 다루는 애플리케이션들이 통합됨에 따라, 많은 클라이언트 단의 취약점을 공격하는 수단으로 애플리케이션이 이용되고 있다”고 지적하면서 “이번 마이크로소프트의 마이크로소프트 보안 공지는 클라이언트 단의 취약점이 가장 효과적이고 잘 알려진 공격 방법임을 다시금 확인시켰으며, 최대한 빨리 패치를 설치해 잠재적 공격 가능성을 없애야 할 것”이라고 권고했다.

보안 업데이트 요약
애플 맥OS Ⅹ 보안 취약점
파이어폭스, 저장된 비밀번호 노출 가능성
세컨드 라이프, 바이러스 공격 재발
온라인 물건 판매 ‘주의 경보’
‘추가 경매 기회’ 사기
기타 최근 주요 보안 위협들

시만텍은 가장 광범위한 보안 취약점 관련 데이터베이스를 보유하고 있으며, 여기에는 지난 10년 이상 축적된 1만 3천여가지의 취약점에 대한 내용이 포함된다. 전세계 180여 국가에 설치한 4만개 이상의 센서들로부터 수집한 위협 정보를 활용해 시만텍은 보안 위협으로부터 기업, 개인의 시스템을 보호하기 위한 방법을 제시한다.

시만텍이 온라인 사기 행위 방지를 위해 권고하는 보안 수칙
▶ 이용하는 사이트의 보안에 대한 확신이 없을 경우 절대 개인 정보를 입력하지 않는다.
▶ 이메일, 메신저 프로그램을 통해 개인 정보를 전달하는 일은 절대 삼가한다.
▶ 개인정보, 계좌정보 업데이트 요구 이메일은 무시하고, 해당 사이트에서 직접 확인한다.
▶ 스팸으로 의심되는 이메일의 첨부 파일을 열거나 답장을 보내지 않는다.
▶ PC에 카드번호 혹은 비밀번호 등을 저장해 사용하지 않는다.
▶ 다양한 보안 위협에 종합적으로 대처할 수 있는 통합 보안 제품을 사용한다.
▶ 금융거래 사이트는 주소창에서 직접 입력하거나 즐겨찾기로 사용한다.
▶ 공인인증서는 USB, 스마트카드 등 이동식 저장장치에 보관한다.
▶ PC방 등 공용 장소에서는 인터넷 금융거래를 자제한다.
▶ 정기적으로 윈도를 업데이트하고 최신의 보안 업데이트를 설치한다.

악성코드 순위
1 Stration.DL
2 Looked.P
3 Spybot
4 Netsky.P
5 Stration
6 Stration.CX
7 Stration.DE
8 Rahack.H
9 Sality.U
10 Stration.DW

스팸 발송 지역 순위
1 북미 47.3%
2 유럽 32.0%
3 아시아 16.8%

스팸 발송 유형 순위
1 금융상품 및 서비스
2 유통제품 및 서비스
3 인터넷상품 및 서비스

취약점 순위
애플 맥OS Ⅹ UDIF 디스크이미지 원격코드 실행 취약점
모질라 파이어폭스2 패스워드매니저 크로스-사이트 정보공개 취약점
마이크로소프트 인터넷 익스플로러 HTML 랜더링 원격코드 실행 취약점

주요 보안위협
애드웨어 쟁고서치(ZangoSearch)
스파이웨어 아이서치(ISearch)
위장 애플리케이션 윈픽서(WinFixer)

시만텍이 권고하는 보안 피해 예방 수칙
시만텍은 사용자들의 보안 피해를 예방하기 위해 다음과 같은 수칙을 권고하고 있다.

안티바이러스, 방화벽, 침입 탐지 및 취약점 관리 기능을 모두 제공하는 인터넷 보안 제품을 사용해 악성 코드 및 다른 위협으로부터 최대한의 보호를 받도록 한다.
모든 보안 패치를 최신으로 설치하고 이를 취약한 애플리케이션에 신속하게 적용하도록 한다.
- 비밀번호는 숫자와 일반 글자가 혼합된 형태로 사용하고, 어려운 것으로 설정한다. 비밀번호를 자주 변경한다.
- 파일의 목적이나 보낸 사람이 불분명할 경우, 이메일 첨부 파일은 절대 열어보거나 실행하지 않는다.
- 바이러스 정의를 정기적으로 업데이트한다.
- 자신의 PC 시스템이 취약한 점은 없는지 시만텍 시큐리티 체크 웹사이트, ‘www.symantec.com/securitycheck’를 통해 점검한다.
- 모든 컴퓨터 사용자들은 훅스(Hoax)와 같은 가짜 바이러스나 피싱 사기 등의 시도를 알아볼 수 있어야 한다. 훅스는 대체로 “이 메시지를 아는 사람 모두에게 보내시오”라는 등의 가짜 위협 메시지를 보내거나, 사용자들을 위협하거나 오도하는 어려운 기술적 용어들을 담고 있다. 피싱 사기는 합법적인 기관에서 온 것처럼 위장해 사용자들이 신용카드 번호 등 중요한 금융 정보를 입력하도록 유도한다. 사용자들은 절대 이러한 메시지에 속아서는 안 되며, 그 메시지와 기관이 적법한 것인지에 대해서 확인해야 한다.
- 스파이웨어와 애드웨어는 파일 공유 프로그램, 공짜 다운로드 프로그램, 소프트웨어의 프리웨어나 쉐어웨어 버전, 혹은 이메일 링크나 첨부 파일, 인스턴트 메시징 등을 통해 컴퓨터에 자동으로 설치될 수 있다. 따라서 자신의 컴퓨터에 어떤 것이 설치되고 있는지 항상 주시하고 정보를 파악해야 한다.
- 사용자 라이선스 동의에 무조건 ‘네, 동의합니다’를 클릭해서는 안 된다.
- 유저 인터페이스에 플래시 광고를 담고 있는 프로그램에는 유의하는 것이 좋다. 많은 스파이웨어 프로그램들이 사용자가 이러한 광고에 어떻게 반응하는지 조사해서 피싱 공격 등에 사용하게 된다.

▶▷ 보안 위협 및 대처 방안 등에 대한 보다 자세한 정보
- 시만텍 보안연구소 글로벌 웹사이트 (securityresponse.symantec.com)
- 시만텍코리아 보안 대응 웹사이트 (www.symantec.co.kr/region/kr/avcenter)


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.