2006년 악성코드 은밀화·제로데이 공격 ‘급증’
상태바
2006년 악성코드 은밀화·제로데이 공격 ‘급증’
  • 데이터넷
  • 승인 2007.02.21 00:00
  • 댓글 0
이 기사를 공유합니다

시큐리티 전망대_ 시만텍 보안 업데이트
직접적 금전 이득 노린 공격 증가 … 무분별 링크 클릭·패치 적용 등 사용자 주의 요망

이번 시만텍 보안 업데이트에서는 스카이프 인스턴트 메시징 프로그램의 채팅 창을 통해 퍼지는 악성 웜에 대해서, 또한 애플 퀵타임 미디어 플레이어에 있는 보안 결함을 공격해 마이스페이스에서 확산되고 있는 웜에 대해 살펴본다. 아울러 이번 업데이트에서는 2006년의 주요 보안 동향에 대해서도 정리해본다.

지난해 말 스카이프 인스턴트 메시징 소프트웨어를 사용해 확산되는 웜이 발견됐다. 이 웜은 스카이프의 채팅 기능을 이용해 사용자들에게 메시지를 보내 링크를 클릭할 것을 요청하면서 확산된다. 해당 링크는 악성 웜 파일로 연결돼 있으며, 사용자 컴퓨터에 다운로드되는 즉시 실행된다. 일단 웜 파일이 실행되면 이를 운용하는 사람, 즉 공격자가 비밀번호를 훔치거나 감염된 컴퓨터의 키보드에 입력되는 모든 내용을 읽을 수 있는 것은 물론 기밀 정보를 빼낼 수도 있게 된다.
이러한 형태의 공격에서 자유롭기 위해서는 요청하지 않은 채팅 메시지, 이메일 및 신뢰할 수 없는 웹 게시판에서 링크를 클릭하는 것에 주의를 기울여야 한다. 믿을 수 없는 링크를 클릭하지 않는 것만으로도 이러한 공격에 피해자가 될 확률을 크게 줄일 수 있다. 또한 안티바이러스 소프트웨어를 사용하는 것은 물론 바이러스 정의를 항상 최신으로 유지되도록 해야 한다.

마이스페이스, 애플 퀵타임 취약점 이용 웜 출현
온라인 네트워킹 웹 사이트인 마이스페이스 상에서 퍼지고 있는 웜도 발견됐다. ‘JS.QSpace’라고 불리는 이 웜은 퀵타임 미디어 소프트웨어의 보안 취약점 공격을 확산 수단으로 삼았으며, 악성 퀵타임 파일을 열람하는 사용자들의 프로필에 영향을 줬다. 퀵타임 비디오로 위장한 이 웜은 퀵타임이 지원하는 자바스크립트 기능을 사용해 피해자의 마이스페이스 프로필에 특정 링크나 데이터를 덮어 씌웠으며, 이 링크는 사용자들의 정보를 훔쳐내는 피싱 사이트로 연결됐다.
공격 예방을 위해 사용자들은 믿을 수 없는 곳에서 호스팅한 퀵타임 파일을 보는 것에 주의해야 한다. 또 마이스페이스 계정과 프로필 보호를 위해 로그아웃한 상태에서 마이스페이스를 서핑하고, 필요한 경우에만 로그인을 하는 것이 권장된다. 이러한 방법을 사용하면 이 웜에 감염될 가능성을 줄일 수 있다.

마이크로소프트 워드, 중요 보안 취약점 발견
마이크로소프트 워드의 여러 가지 취약점들이 지난해 말 보고됐다. 특히 이러한 취약점들은 영향권에 있는 프로그램이 설치된 컴퓨터에 해커의 접근을 허용할 가능성이 있어 매우 위험하다고 평가된다.
사용자가 해커 코드를 포함한 문서를 마이크로소프트 워드를 통해 열었을 때 해커는 해당 컴퓨터를 공격할 수 있다. 이러한 악성 문서는 이메일이나 방문 웹사이트, 그리고 사용자가 신뢰하고 있는 누군가와 공유한 파일을 통해 전달받을 수 있다.
이 취약점을 공격할 수 있는 툴들은 이미 배포된 상태인데, 이는 해커들이 이 취약점에 대한 공격을 쉽게 수행할 수 있음을 의미한다. 공격에 성공할 경우, 해커는 컴퓨터에 백도어 프로그램을 설치해 컴퓨터 및 그 내용물에 대한 완전한 접근 권한을 확보할 수 있으며, 이를 통해 은행 정보와 같은 사용자의 기밀 정보를 읽고, 변경하고, 훔쳐내 사용하는 것도 가능하다. 아울러 사용자가 타이핑하는 모든 것을 추적하고, 이메일 주소를 빼낼 수 있다.
이 문제에 관한 패치는 마이크소프트 보안 공지 (Microsoft Security Bulletin)를 통해 배포돼 있기에 관련 패치의 신속한 업데이트가 요구된다. 또한 다른 대응방법과 마찬가지로 명확하게 알거나 믿을 수 있는 곳으로부터 온 것이 아니면 워드 문서를 열어서는 안 된다. 특히 이메일 첨부파일은 파일의 목적이나 보낸 사람이 불분명하다면, 절대 열어보거나 실행하지 말아야 한다.

2006년 보안 위협 동향
2006년 온라인 사기 동향 - 흔히 피싱으로 알려진 온라인 사기는 은행 및 신용 카드 정보 등의 개인 정보를 범죄를 목적으로 빼내려는 시도를 의미한다. 2006년 1년간 시만텍이 감지한 피싱시도는 하루 700만 건이 넘는 수치를 기록했으며, 대부분 은행이나 다른 금융 기관에서 온 것처럼 꾸며진 이메일 메시지를 통해 시도가 이뤄졌다.
피싱 공격을 가장 많이 받은 상위 10개 브랜드 중 9개가 금융 산업에 해당하는 것으로, 금융 피싱 이메일은 대체로 사용자의 계좌에 문제가 있다면서 이를 해결하기 위해 이메일의 링크를 클릭, 정보를 업데이트해야 한다고 말한다. 링크는 마치 진짜 은행 사이트인 것처럼 꾸며진, 공격자에 의해 통제되는 웹 사이트로 연결돼 이름, 주소, 주민등록번호, ID, 비밀번호 입력을 요청하며, 이렇게 입력된 정보를 이용해 공격자는 대출, 신용카드 신청, 계좌 이체 등을 실행해 직접적인 금전적 피해를 입힌다.
피해 예방을 위해서는, 거래 은행으로부터 온 것으로 보이는 이메일 메시지에 포함된 링크를 클릭하는 것에 주의를 기울여야 한다. 대부분의 금융 기관들은 고객에게 보내는 이메일 메시지에 링크를 포함하지 않고 있다는 것을 명심해야 한다. 만약 은행에서 온 것 같은 메시지를 받으면 해당 은행에 연락해 이를 확인하거나 사기성 행위를 신고해야 한다. 더 나아가서는 의심되는 링크를 사기 모니터링 서비스에 등록하는 것도 권장되는 방법이다.
기존에 가장 흔한 악성코드는 대량 메일 발송 웜이었다. 이메일 메시지의 첨부 파일 형태로 자신을 확산시켜 받은 편지함을 원치 않는 메시지로 가득 채우는 대량 메일 발송 웜들은 과거 대량으로 발송돼 높은 온라인 트래픽을 발생시켰고, 이에 안티바이러스 기업들은 이를 곧바로 감지하고 대응책을 내놓을 수 있었다.
2006년에도 대량 메일 발송 웜은 여전히 높은 비율을 차지했지만, 이제 악성코드는 좀 더 은밀한 방식을 사용하는 것이 관찰됐다. 대표적인 것으로는 ‘LinkOptimizer’를 꼽을 수 있다. 이 트로이 프로그램은 마이크로소프트 인터넷 익스플로러 및 모질라 파이어 폭스 브라우저에 있는 취약점을 공격하는 악성 웹 사이트를 통해 설치되는데, 설치 이후에는 스텔스 기술을 활용해 그 존재를 은밀하게 숨기기 때문에 안티바이러스 프로그램을 통해 감지 및 제거하는 것이 힘들다.
이러한 공격 방식 중 하나가 바로 ‘루트킷’이다. 루트킷은 컴퓨터에서 자신의 존재를 들키지 않고 계속 머물러 있기 위해 스텔스 기술을 사용하며, 루트킷이 진행하는 설치나 모든 악성코드 실행 과정은 사용자가 인지하지 못하는 사이에 일어나게 된다. 보안 시스템을 속이고 탐지를 피하기 위한 루트킷 기술의 사용은 점점 더 보편화되는 추세에 있다.
시만텍은 금전적 이득을 노린 악성 위협이 증가함에 따라 더 많은 공격자들이 감염된 컴퓨터 상에서 자신의 존재를 숨기려고 할 것으로 예상했다. 이는 루트킷 공격 방법을 사용하는 위협이 더욱 증가할 것을 의미한다고 볼 수 있다.
2006년 취약점 동향 - 2006년 이전에 가장 심각한 소프트웨어 결함은 마이크로소프트 윈도와 같은 운영 시스템에 존재했다. 하지만, 보안 문제에 대한 인식이 높아짐에 따라 사용자들은 방화벽 소프트웨어를 설치해 운영 시스템 결함에 대한 공격을 방어하기 시작했고, 이러한 상황 변화에 따라 공격자들은 마이크로소프트 오피스, 웹 브라우저와 같은 클라이언트 단의 애플리케이션을 공격 타깃으로 하는 방향으로 변화하고 있다.
제로데이 공격 프로그램은 소프트웨어 공급자가 아직 방어할 준비가 되지 않은 어떤 알려지지 않은 결함을 공격하기 위해 개발된 프로그램으로, 지난 2006년 1년간, 워드, 엑셀, 파워포인트 등이 포함된 마이크로소프트 오피스 스위트의 다양한 애플리케이션에서 7건의 제로-데이 공격이 발생했다. 이러한 공격을 실행하기 위해 공격자는 워드 문서나 파워포인트 슬라이드 쇼와 같은 악성 파일을 이메일 등을 통해 사용자에게 전송한다. 사용자가 이 파일을 열어볼 경우, 공격자는 바이러스, 트로이 목마와 같은 악성코드를 사용자 컴퓨터에서 실행할 수 있게 된다.
시만텍에 따르면, 제로데이 공격을 사고파는 시장이 몇 년 전 생성됐으며, 제로데이 공격을 통해 많은 수의 컴퓨터에 영향력을 행사할 수 있기 때문에 제로데이 공격 소프트웨어는 암시장에서 매우 높은 가격에 판매되고 있다.

기타 최근 주요 보안 위협들
마이크로소프트는 2007년 1월 보안 블러틴에서, 4개의 보안 취약점과 관련한 정보를 배포했다. 시만텍 보안연구소는 이 가운데 가장 위험도가 높은 것으로 ‘마이크로소프트 아웃룩 및 엑셀 관련 취약점’을 꼽았다.
공격을 위해 정교하게 제작된 .OSS(Office Saved Searches) 형식 파일을 아웃룩에서 접근하게 되면 마이크로소프트 아웃룩 취약점이 공격에 노출돼 원격 코드 실행으로 이어지게 된다. 이 취약점은 마이크로소프트 아웃룩2000/2002/2003에 영향을 미친다.
이번 보안 블러틴에서 발표된 다양한 마이크로소프트 엑셀 취약점은 모두 악성 엑셀 문서를 통해 사용자의 컴퓨터가 공격받을 수 있다는 내용이다. 정교하게 제작된 악성 엑셀 데이터는 프로세스 메모리 손상을 가져올 수 있으며, 현재 로그인 된 사용자 환경에 공격자의 임의의 코드를 실행시킬 수 있게 된다. 피해 예방을 위해 시만텍 보안연구소는 사용자들이 마이크로소프트 웹사이트를 통해 이 취약점에 영향을 받는 마이크로소프트 엑셀 버전의 모든 리스트를 확인할 것을 권고하고 있다.
한편, 이번에 발표된 패치들은 윈도 플랫폼 클라이언트 레벨의 취약점 수가 여전히 많이 존재하고 있음을 시사하고 있다. 공격자들의 취약점 공격 속도가 점점 더 빨라지고 있는 만큼 사용자들이 업데이트된 소프트웨어 패치를 최대한 빨리 설치해 스스로를 보호하는 것이 무엇보다 중요하다고 할 수 있다.

보안 업데이트 요약
스카이프 통한 웜 확산
마이스페이스, 애플 퀵타임 취약점 이용 웜 출현
마이크로소프트 워드, 중요한 보안 결함 발견
2006년 보안위협 동향
기타 최근 주요 보안 위협들

시만텍이 온라인 사기 행위 방지를 위해 권고하는 보안 수칙
▶ 이용하는 사이트의 보안에 대한 확신이 없을 경우 절대 개인 정보를 입력하지 않는다.
▶ 이메일, 메신저 프로그램을 통해 개인 정보를 전달하는 일은 절대 삼가한다.
▶ 개인정보, 계좌정보 업데이트 요구 이메일은 무시하고, 해당 사이트에서 직접 확인한다.
▶ 스팸으로 의심되는 이메일의 첨부 파일을 열거나 답장을 보내지 않는다.
▶ PC에 카드번호 혹은 비밀번호 등을 저장해 사용하지 않는다.
▶ 다양한 보안 위협에 종합적으로 대처할 수 있는 통합 보안 제품을 사용한다.
▶ 금융거래 사이트는 주소창에서 직접 입력하거나 즐겨찾기로 사용한다.
▶ 공인인증서는 USB, 스마트카드 등 이동식 저장장치에 보관한다.
▶ PC방 등 공용 장소에서는 인터넷 금융거래를 자제한다.
▶ 정기적으로 윈도를 업데이트하고 최신의 보안 업데이트를 설치한다.

악성코드 순위
1 Stration
2 Netsky.P
3 Tooso
4 Spybot
5 Looked.P
6 Rahack.H
7 Sality.U
8 Looked.BK
9 Mytob.AG
10 Dowiex

스팸 발송 지역 순위
1 북미 45.9%
2 유럽 33.6%
3 아시아 16.6%

스팸 발송 유형 순위
1 건강상품 및 서비스
2 금융상품 및 서비스
3 유통상품 및 서비스

취약점 순위
마이크로소프트 워드 불특정 코드 실행 취약점
마이크로소프트 워크 코드 실행 취약점
마이크로스트 워드 불특정 원격 코드 실행 취약점

주요 보안위협
애드웨어 쟁고서치(ZangoSearch)
스파이웨어 아이서치(ISearch)
위장 애플리케이션 윈픽서(WinFixer)


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.