시큐리티 전망대 / 시만텍 보안 업데이트
상태바
시큐리티 전망대 / 시만텍 보안 업데이트
  • 데이터넷
  • 승인 2007.03.20 00:00
  • 댓글 0
이 기사를 공유합니다
악성코드와 결합한 지능적 피싱 ‘속속’ 등장
감염 시 정상적 은행 주소를 피싱 사이트로 이동 … 보안 인식 강화 절실

이번 보안 업데이트에서는 해커가 컴퓨터에 침입하는 통로를 만들어줄 수 있는 애플 아이챗의 보안 결함에 대해 살펴보며, 스웨덴 은행 고객들을 대상으로 발생한 타깃 피싱 공격과 의미에 대해서도 알아본다. 또한 최근에는 유명 브랜드의 뉴스레터로 위장한 새로운 형태의 스팸이 발견되기도 했는데, 이러한 스팸이 어떻게 필터를 피하는지에 대한 설명도 이번 보안 업데이트에 수록됐다.

2007년 초 애플 ‘아이챗(iChat)’의 중요한 보안 결함이 발견됐다. 해커들은 이 결함을 이용해 컴퓨터에 침입할 수 있으며, 이메일 메시지, 주소록을 읽거나 파일 및 소프트웨어를 유출하거나, 또 다른 해킹 시도를 목적으로 사용자의 컴퓨터를 이용할 수 있게 된다.
해커는 사용자가 악성 웹사이트에 방문하거나 악성 파일을 열도록 유인해 이 취약점을 공격할 수 있는데, 웹 사이트가 로딩되거나 파일이 열리면 해커가 이 취약점을 이용하여 컴퓨터의 통제권을 얻게 되는 것이다.
이러한 형태의 공격으로부터 시스템을 보호하기 위해서는, 안티바이러스 소프트웨어를 사용하는 것은 물론 바이러스 정의를 항상 최신 상태로 유지해야 한다. 또한 신뢰할 수 있는 대상으로부터 파일이 전송된 경우이거나, 환경의 안정성을 확신할 수 있는 경우가 아니라면 파일을 열어서는 안 된다. 또한 파일의 전송 대상, 전송 목적, 파일의 내용에 대해 확인할 수 없는 경우에는 절대 이메일 첨부 파일을 보아서도, 열어서도, 실행해서도 안 된다.

스웨덴 은행 노린 트로이 목마 출현
한 대형 스웨덴 은행의 고객들이 트로이 목마 공격에 노출되는 사건도 발생했다. 은행 고객의 스팸 차단을 위한 프로그램으로 위장한 헥스도어(Haxdoor) 트로이 목마의 변종이 은행 고객들에게 전송된 것. 컴퓨터에 설치된 트로이 목마는 사용자가 은행 사이트에 접속하려 시도하는 경우 공격자가 통제하고 있는 가짜 사이트로 사용자를 이동시켰으며, 이러한 타깃화된 형태의 피싱 공격을 통해 이 은행 고객 250명의 계좌가 공격당해 약 110만달러에 달하는 금전적 피해가 발생한 것으로 추정된다. 이 공격은 소액 인출 방식으로 약 15개월 간에 걸쳐 진행된 것으로 알려진다. 단기간에 걸친 대규모 공격에 비해 탐지가 어려운 방식을 취한 것이다.
국내에서도 최근 이와 유사하게 미리 악성코드를 컴퓨터에 심어놓고, 이 악성코드를 이용해 사용자들을 은행 사이트로 위장한 웹 사이트로 이동시키는 피싱 공격이 발생한 사례가 보고된 바 있다. 우리나라 역시 이러한 지능적 피싱 공격에서 자유로울 수 없다는 것이 실제 피해로 증명된 것으로 사용자들의 각별한 주의가 요구된다고 할 수 있다.
이러한 공격으로부터 시스템을 보호하기 위해서, 사용자들은 안티바이러스 정의가 최신 상태로 유지되고 있는지 확인해야 한다. 또한 사기 방지 툴바를 웹 브라우저에 설치, 피싱 사이트를 탐지할 수 있어야 한다. 대부분의 금융 기관들은 고객에게 보내는 이메일 메시지에 링크를 포함시키지 않고 있다는 점을 명심해 만약 은행에서 온 것 같은 메시지를 받으면 해당 은행에 연락해 이를 확인하거나 사기 행위를 신고해야 한다. 아울러 이메일에 적힌 고객센터 전화번호 역시 가짜일 수 있으므로 그 번호로는 절대 전화하지 말아야 한다.

인기 뉴스레터 위장 스팸 출현
스패머들의 메시지 전달 성공률을 높이기 위한 새로운 형태의 스팸이 발견됐다. 이 스팸은 NFL, 월마트, ESPN, 이베이, 아마존과 같은 유명 업체의 뉴스레터로 위장해 스패머가 알리고자 하는 제품의 광고를 함께 포함시키는 방식으로 발송됐다. 스패머들은 실제 뉴스레터의 포맷을 그대로 빌려 쓰고 몇몇 콘텐츠까지 끌어와 이용하면서 사용자들이 메일을 열어 보도록 유인하는 방법을 취했다. 보다 더 중요한 점은 사용자가 신뢰하는 브랜드의 제품으로 광고를 위장할 경우, 사용자들이 이를 더 쉽게 믿게 된다는 사실이다. 따라서 이러한 형태의 스팸 위협을 차단하기 위해서는 안티바이러스, 안티스팸 소프트웨어를 정기적으로 업데이트하고 의심스러운 광고 콘텐츠를 담은 뉴스레터에 주의를 기울여야 한다.

자바 결함으로 인한 보안 위협
자바 애플리케이션 실행을 허용하고 웹 브라우저가 자바 애플릿을 실행할 수 있도록 허용해주는 소프트웨어인 썬의 ‘JRE(Java Runtime Environment)’에서 해커의 침입 경로로 활용될 수 있는 보안 결함이 보고됐다. 자바 애플릿은 웹 페이지에서 인터랙티브 미디어 활용을 위해 주로 사용되는데, 해커는 사용자가 악성 자바 애플릿을 담은 웹 페이지를 열도록 유도함으로써 해당 취약점에 대한 공격을 실행한다.
악성 웹 사이트는 취약한 JRP가 악성 GIF 포맷 이미지를 처리하도록 유인하는 방식으로 보안 취약점을 공격하며, 이 공격이 성공할 경우 해커들은 컴퓨터에 접근할 권한과 이메일 메시지, 주소록을 열람, 파일 및 소프트웨어 유출 등을 수행할 수 있다. 또 추가적인 해킹을 시도하기 위해 사용자의 컴퓨터를 이용할 수도 있게 된다.
이 취약점으로 인한 보안 사고를 방지하려면, 반드시 소프트웨어 패치가 최신 상태인지 확인하고, 웹 포럼, 메시지 게시판, 블로그 혹은 이메일에 포함된 의심스러운 링크를 클릭하지 말아야 한다.
MS 윈도 벡터 마크업 취약점 발견
지난 1월 9일에는 마이크로소프트 윈도의 ‘벡터 마크업 랭귀지(VML) 처리 기능’에서 보안 결함이 보고됐다. 해커들은 이 결함을 이용해 컴퓨터에 침입할 수 있으며, 이메일 메시지, 주소록을 읽거나 파일 및 소프트웨어를 훔치고, 또 다른 해킹을 시도하는데 사용자의 컴퓨터를 이용할 수 있다.
해커는 사용자가 악성 웹사이트를 방문하거나 악성 파일을 열도록 유도해 이 결함을 공격하는데, 웹 사이트가 로딩되거나 파일이 열리면 악성 컨텐트가 이 결함을 공격해 해당 컴퓨터에 대한 통제권을 얻게 된다. 따라서 이로 인한 보안 사고를 방지하려면 반드시 소프트웨어 패치를 최신 상태로 업데이트하고 웹 포럼, 게시판, 블로그 혹은 이메일에 포함된 의심스러운 링크에 대한 클릭금지가 요구된다.

리스크레벨3 ‘스톰웜’ 출현
일명 ‘스톰 웜(Storm Worm)’이라고 불리는 트로이목마 프로그램인 ‘Trojan.Peacomm’이 발견됐다. 이 트로이목마는 뛰어난 확산력을 지녀 짧은 기간 동안 발견 건수가 급증하는 경향을 보였다. 이에 시만텍은 이 보안 위협을 리스크 레벨3로 분류하고, 특별한 주의를 당부했다.
스톰웜은 스팸형 트로이목마 프로그램 중 하나로 감염된 컴퓨터를 통해 P2P 봇 네트워크 형성을 시도하며, ‘Abwi z.F’나 ‘Mixor.Q’와 같은 악성 프로그램을 컴퓨터에 추가로 다운로드한다. 또한 루트킷 기술을 이용해 감염 사실을 숨기기 때문에 사용자가 감염 여부를 쉽게 파악할 수 없게 만든다. 다른 악성코드와 마찬가지로 스톰웜 감염으로 인해 사용자 PC는 서비스 거부 공격, 스팸 릴레이에 이용되거나 정보 유출 등의 피해를 입을 수 있다
이로 인한 피해를 방지하기 위해서는, 안티바이러스 정의가 최신 상태인지 반드시 확인해야 한다. 또한 첨부 파일의 전송자 또는 전송 목적이 불확실한 경우에는 절대 첨부 파일을 보거나, 열거나, 실행해서는 안 된다.

기타 최근 주요 보안 위협
마이크로소프트는 2007년 2월 보안 블러틴에서, 12개의 보안 취약점과 관련한 정보를 공지하고, 이 중 가장 위험도가 높은 것으로 평가된 두 가지 취약점에 대한 권고 사항을 발표했다.
시만텍 보안 연구소는 이 가운데 마이크로소프트 멀웨어 방지 엔진(Microsoft Malware Protection Engine)에서 발견된 취약점이 가장 위험도가 높은 것으로 평가했다. 해당 원격 코드 실행의 취약점은 멀웨어 방지 엔진을 포함하고 있는 다양한 마이크로소프트 제품에 영향을 미치는 것으로 윈도 라이브 원케어, 마이크로소프트 안티젠 9.x, 마이크로소프트 윈도 디펜더, 마이크로소프트 익스체인지 서버용 포어프론트 시큐리티 1.x, 셰어포인트 서버용 마이크로소프트 포어프론트 시큐리티 1.x 등이 영향권에 포함된다.
마이크로소프트 멀웨어 방지 엔진을 사용하는 마이크로소프트 안티바이러스 클라이언트가 PDF 파일 처리를 허용하도록 설정된 경우 취약점이 발생하게 된다. 이 취약점이 특히 위험한 이유는 악성 PDF 파일이 웹 사이트 상에 올려지거나 이메일을 통해 전송되는 경우에 발견이 어렵기 때문이다. 기능적으로 취약한 일부 안티바이러스 엔진은 게이트웨이 또는 데스크톱 레벨에서 이 취약점 공격을 탐지하지 못할 가능성이 높다. 공격이 성공하게 되면, 대상 컴퓨터는 외부 공격에 완전히 취약한 상태에 놓이게 된다.
마이크로소프트는 2월의 보안 공지를 통해 마이크로소프트 워드에 존재하는 다양한 취약점에 대한 패치를 함께 발표했다. 이 패치들은 감염된 컴퓨터에 추가 위협 요소를 심어놓는 트로이 목마 Trojan.Mdropper.T/W/X와 관련된 제로-데이 워드 취약점을 보완하는 것이다. 또 악의적으로 생성된 개체가 내장된 워드 문서로 촉발될 수 있는 마이크로소프트 워드의 클라이언트 레벨 코드 실행 취약점 수정 패치도 포함됐다. 이 취약점에 대한 공격이 성공할 경우, 공격자는 로그인 중인 사용자에게 원격으로 임의의 코드를 실행할 수 있기에 신속한 패치 적용이 요구된다.
시만텍은 “제로-데이 취약점이 점점 더 증가하고 있음을 관찰하고 있다”면서 “이번에 발표된 마이크로소프트 워드 취약점은 이러한 동향을 잘 보여주는 사례”라고 지적했다. 시만텍은 “취약점이 최초 발견된 이후 실제 공격에 이용되기까지 걸리는 시간이 점점 짧아지고 있어 기업 및 개인 사용자 모두에게 패치 발표 즉시 업데이트 실행이 권고된다”고 덧붙였다.

시만텍은 가장 광범위한 보안 취약점 관련 데이터베이스를 보유하고 있으며, 여기에는 지난 10년 이상 축적된 1만 3천여가지의 취약점에 대한 내용이 포함된다. 전세계 180여 국가에 설치한 4만개 이상의 센서들로부터 수집한 위협 정보를 활용해 시만텍은 보안 위협으로부터 기업, 개인의 시스템을 보호하기 위한 방법을 제시한다.

보안 업데이트 요약
- 애플 아이챗 AIM, 보안 결함 발견
- 스웨덴 은행 노린 트로이 목마 출현
- 인기 뉴스레터 위장 스팸 출현
- 자바 결함으로 인한 보안 위협
- MS 윈도 벡터 마크업 취약점 발견
- 리스크레벨3 ‘스톰 웜’ 출현
- 기타 최근 주요 보안 위협

저작권자 © 데이터넷 무단전재 및 재배포 금지
데이터넷
데이터넷
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
주요기사