이번 보고서에서 시만텍은 특히 글로벌 네트워크를 통해 조직화되는 사이버 공격 경향을 경고했다. 공격자들은 자신들의 정보와 기술을 통합해 보다 정교한 공격방법을 개발하는 등 글로벌 네트워크 형성하고 있으며, 이러한 조직화가 사이버 범죄 행위 증가의 원인으로 작용하고 있다는 것이다.
또한 금전적 이득을 노린 사이버 범죄가 지속적으로 증가하고 있으며, 기밀 정보를 유출시키면서 보안제품으로부터의 탐지를 피하기 위해 특정 타겟을 겨냥한 악성 코드가 증가하고 있다는 점도 지적하며, 이에 맞서 보안 기업 및 담당자들간의 긴밀한 협조가 필요하다고 역설했다.
조사 기간인 2006년 하반기 동안 원격 공격자의 명령에 의해 움직이는 봇 감염 컴퓨터는 6백만개를 상회한 것으로 보고됐다. 이러한 봇 감염 컴퓨터의 수는 2006년 상반기에 비해 29% 증가한 수치다. 그렇지만 봇 감염 컴퓨터가 증가한 반면, 봇 감염 컴퓨터를 통제하는 명령-제어(Command and Control) 서버는 오히려 25% 감소하는 결과를 나타냈다. 이는 명령-제어 서버를 제거하기 위한 전세계적인 공조 작업으로 인해 봇넷을 소유한 공격자들이 기존 네트워크를 통합해 확대했기 때문이라고 시만텍 측은 해석했다.
아울러 트로이목마의 수 역시 증가하는 모습을 보였다. 지난 보고서를 통해 시만텍이 예측한 바대로 공격자들이 대량 메일 발송 웜에서 벗어나 트로이목마를 활용하는 비중이 더 높아지고 있는 것. 이번 조사 기간 동안 트로이 목마는 상위 50개의 악성 코드 샘플 중 45%를 차지하면서 2006년 상반기 통계에 비해 23% 증가된 수치를 기록했다.
시만텍코리아 윤문석 사장은 “사이버 범죄자들이 점점 더 악의적인 목적을 가짐에 따라, 이들은 보안 제품의 탐지를 피해가기 위해 더욱 복잡하고 정교한 공격 방법을 개발하고 있다”면서 “기업이나 개인 사용자를 막론하고, 모든 사용자들은 공격자들이 자산의 기밀 정보에 접근해 금전적 손실을 야기하거나, 중요한 고객에게 피해를 입히거나 고객의 명의를 손상시키지 못하도록 적절한 보안 방책을 마련해야 한다”고 강조했다.
개인정보 18달러에 암시장 거래돼
도난 기밀 정보의 불법 거래가 추적됐다는 시만텍의 보고는 눈에 띄는 부문이다. 처음으로 불법 유출된 정보의 거래를 추적한 시만텍은 일종의 암시장인 지하 경제 서버(Underground Economy Server)를 통해 불법 유출된 주민등록번호, 신용카드, 개인 식별 번호(PIN, Personal Identification Number), 이메일 주소 리스트 등의 정보가 거래되고 있다고 전했다. 이러한 지하 경제 서버의 51%는 미국에 위치하고 있었으며, 신용카드 정보는 1~6달러에, 은행계좌와 신용카드 정보, 생년월일, 주민등록번호(개인식별번호) 등을 포함한 명의는 14~18달러의 가격에 판매되고 있었다.
앞서 언급한 것처럼 트로이목마와 봇 네트워크의 증가 역시 기밀 정보를 타겟으로 한 위협 수준이 높아지고 있음을 보여주는 단초로, 시만텍은 감염 컴퓨터에 저장된 신용카드, 은행계좌 등의 정보는 커다란 금전적 손실을 가져올 수 있다고 경고했다. 보고서에 따르면, 지난해 하반기 기밀정보관련 위협은 상반기에 비해 48%나 증가, 상위 50개의 악성코드 샘플의 66%를 차지했다. 또 이름, 비밀번호 등 개인정보를 유출할 수 있는 위협은 전체 기빌 정보 관련 위협의 65%로 증가했다(2006년 상반기는 38%).
명의 도용에 이용될 수 있는 정보가 누출되는 곳은 정부기관과 같은 공공기관에서 많이 발생했다. 시만텍의 보고서에 따르면 데이터 누출사고의 1/4이 정부 관련 사이트에서 발생했으며, 이는 방대한 정보를 저장·관리하는 정부기관이 공격자들의 주요 타깃이 되고 있기 때문이다.
또한 스팸과 악성 코드, 온라인 사기가 통합된 공격이 크게 증가하는 경향을 보였다. 2006년 하반기 스팸은 전체 이메일 트래픽의 59%를 차지했다. 특히 주식 관련 허위 정보를 유포하고 이를 통해 금전적 이득을 얻기 위해 시도되는 ‘펌프 앤 덤프 (Pump and Dump)’ 기법의 스팸 증가로 금융 제품 및 서비스 관련 스팸이 전체 스팸의 30%를 차지할 정도로 증가했다. 피싱은 조사기간 동안 총 16만6천248개의 고유한 피싱 메시지를 탐지했다. 이는 하루 평균 904개로 2006년 상반기보다 6% 증가한 수치다.
2006년 하반기 조사 기간 동안 시만텍은 총 166,248개의 고유 피싱 메시지를 탐지했으며, 이는 하루 평균 904개로 2006년 상반기보다 6% 증가한 수치이다. 시만텍은 또한 이번 보고서에서 최초로 주말과 공휴일이 피싱 공격에 미치는 영향을 분석했는데, 그 결과 주말에는 평균 961개가 발견되는 주중보다 평균 27% 적은 양의 피싱 메시지가 탐지됐다.
이러한 경향은 공격자들이 합법적인 이메일로 위장하기 위해 피싱 활동을 기업 근무일에 맞추고 있다는 것을 의미하는 것이며, 동시에 피싱 메시지의 생존 기간이 짧음과 메시지 수신 직후에 이를 읽는 것이 제일 효과가 높다는 사실을 의미하는 것으로 해석할 수도 있다. 월드컵 같은 장기간의 이벤트가 개최되는 시기나 주요 공휴일에는 평상시와는 반대로 피싱 활동이 증가하는 경향도 관찰됐다. 이는 이러한 행사와 관련된 주제를 이용해 사회공학적 공격을 더 쉽게 할 수 있기 때문으로 분석된다고 시만텍 측은 전했다.
아울러 네트워크에서 악성 활동이 발원되는 국가별 순위도 처음으로 조사됐는데, 이에 따르면, 2006년 하반기에 미국은 악성 행위의 진원지 중 31%를 차지해 가장 높은 비율을 보였으며, 봇 감염 컴퓨터의 수는 중국이 26%로 가장 높았다. 시만텍이 분류한 악성 활동에는 봇 감염 컴퓨터, 봇 명령-제어 서버, 피싱 웹 사이트, 악성 코드 활동, 스팸 릴레이 호스트와 인터넷 공격이 포함된다.
시만텍은 마지막으로 2006년 하반기 조사 기간 동안 보고된 제로-데이 취약점이 크게 증가함으로써 기업 및 개인 사용자들이 알려지지 않은 위협에 노출될 가능성이 높아졌다고 밝혔다. 제로-데이 취약점은 공격을 당한 이후에야 발견이 가능하기 때문에 악성 코드를 이용해 타겟화된 공격을 실행하는 공격자들에게 높은 인기를 얻고 있다. 2006년 하반기 조사 기간 동안 시만텍은 12개의 제로-데이 취약점을 발견했으며, 이는 각각 1개의 제로-데이 취약점이 발견됐던 2005년 하반기와 2006년 상반기에 비해 크게 증가한 수치다. 제로-데이 취약점은 높은 공격 성공률로 인해 악성 코드, 애드웨어, 위장 애플리케이션 설치와 같은 범죄 행위를 목적으로 인터넷 암시장에서 구매되는 경향을 나타내고 있다. <오현식 기자>
