시큐리티 전망대 / 시만텍 보안 업데이트
상태바
시큐리티 전망대 / 시만텍 보안 업데이트
  • 데이터넷
  • 승인 2007.04.18 00:00
  • 댓글 0
이 기사를 공유합니다

공격 방법의 다양화 현재 진행형
가정용 라우터 해킹 ‘주의’ … 신뢰된 사이트라도 웹배너 클릭 주의해야

이번 보안 업데이트에서는 해커들의 컴퓨터 접근을 허용할 수 있는 마이크로소프트 워드의 보안 결함에 대해서 먼저 설명한다. 또 시스템닥터(SystemDoctor)라는 마이크로소프트의 프로그램에 대해서도 알아본다. 마이크로소프트는 윈도 디펜더(Defender)를 내놓으면서 보안, 프라이버시, 리소스 등에 악영향을 미칠 수 있는 ‘잠재적 위험 프로그램’을 제거하는 기능을 제공한다고 했는데, 아이러니컬하게도 이 시스템닥터가 바로 그런 종류의 프로그램이다.

2007년 2월 15일 보고된 마이크로소프트 워드 보안 결함은 해커들이 컴퓨터에 접근할 수 있는 통로가 될 수 있다. 사용자가 해커 코드가 담긴 문서 파일을 마이크로소프트 워드로 열 때 해커는 이 결함을 이용할 수 있다. 특히 이 결함은 실제 공격 방법으로 사용되고 있기에 위험성이 더욱 높다.
공격에 성공할 경우 해커는 컴퓨터에 백도어 프로그램을 설치하고 컴퓨터와 그 내부의 콘텐츠에 자유롭게 접근할 수 있게 되며, 접근 권한을 얻으면 사용자의 컴퓨터에 있는 파일, 커뮤니케이션, 은행 계좌, 비밀 번호와 같은 정보를 읽고, 변경하고 훔쳐갈 수 있다. 또한 해커는 사용자가 키보드에 입력하는 모든 내용을 추적하고 이메일 주소록의 연락처들을 빼낼 수 있게 된다.
이를 방지하기 위해서는 마이크로소프트에서 발표한 패치가 업데이트되어 있는지를 반드시 확인하고, 윈도 업데이트를 필수적으로 실행해야 한다. 또한 확실하게 신뢰할 수 있는 곳으로부터 온 것이 아닐 경우 절대 전송된 파일을 열어서는 안 된다.

MS, 잠재적 위험 애플리케이션 배너 서비스
최근까지 마이크로소프트 웹 사이트, 마이크로소프트 라이브 메신저와 같은 몇몇 마이크로소프트 서비스는 ‘시스템닥터(SystemDoctor)’란 프로그램의 배너 광고를 내보냈다. 마이크로소프트가 이 프로그램 광고를 진행했다는 것은 아이러니한 일. 아이러니한 이유는 시스템닥터가 잠재적 위험 애플리케이션이기 때문이다. 마이크로소프트가 윈도 디펜더를 내놓으면서 잠재적 위험 애플리케이션에 대한 제거 기능을 제공하고 있다,
마이크로소프트는 대부분의 경우 광고를 게재하기 전에 이에 대한 검토를 실시하지만, 시스템닥터 프로그램 성격은 알아채지 못했다. 시만텍은 “시스템닥터는 쉽게 말해 ‘스케어웨어(Scareware)’ 즉 겁을 주는 소프트웨어”라고 정의했다. 즉 컴퓨터의 상황에 대해 과장되거나 잘못된 리포트를 전달해 사용자를 속여 광고하고 있는 소프트웨어를 사도록 유도하는 종류의 소프트웨어란 설명이다. 이러한 프로그램들이 제공하는 리포트나 경고는 많은 경우 과장돼 있어 사용자들은 겁을 먹고 이를 치료하기 위해 소프트웨어를 구매하게 된다.
유명 웹 사이트에 이런 위장 애플리케이션이 광고된 경우는 종종 발생하는 사례라고 할 수 있다. 2007년 1월말에는 인기 있는 네트워킹 사이트인 마이스페이스에 에러세이프(ErrorSafe)라는 스케어웨어 프로그램 광고가 게재되기도 했다.
시만텍은 피해 예방을 위해 “믿을 수 있는 사이트에 게재된 배너 광고라고 하더라도 항상 주의를 기울여야 한다”고 조언했다. 대부분의 경우 광고들은 게재 전에 허가를 받아야 하지만 완벽한 검열 작업을 거치지 않는 경우도 있으며, 이로 인해 위장 애플리케이션들이 사이트의 허가 프로세스를 통과할 가능성은 충분하다는 것이 시만텍 측의 설명. 안티바이러스 소프트웨어를 설치하고 최신 정의를 업데이트하면 원치 않는, 그리고 잠재적인 위협 요소를 가지고 있는 애플리케이션으로 인한 피해를 대부분 예방할 수 있다.

구글 데스크톱, 데이터 도용 가능성 발견
구글 데스크톱 애플리케이션에 있는 결함 또한 보고됐다. 이 결함은 해커가 컴퓨터에 저장된 정보를 훔칠 수 있도록 할 가능성이 있으며, 해커는 패치가 되지 않은 컴퓨터에 자바스크립트 프로그램을 작동시켜 하드 드라이브에서 정보를 찾도록 만들 수도 있다. 즉, 사용자의 이름은 물론 웹 사이트 비밀번호, 저장된 파일에 남아있는 개인 정보, 주소록에 남아있는 이메일 주소 등의 데이터가 도난당할 가능성이 존재하는 것이다.
현재 이 결함에 대한 패치가 이미 나와 있으므로 구글 데스크탑을 이용 중인 사용자들은 해당 프로그램의 자동 업데이트 기능을 통해 패치 설치가 반드시 요구된다. 또 아직 패치를 업데이트하지 않은 경우에는 잘 알지 못하는 혹은 신뢰할 수 없는 웹 사이트를 방문하는 것을 삼가야 한다.
또한 제41회 슈퍼볼(Super Bowl XLI)이 열린 미국 플로리다주 마이애미 돌핀 경기장의 웹사이트가 경기 시작 전 해킹을 당하는 사고도 발생했다. 해킹 후 이 웹 사이트에는 알려진 마이크로소프트 윈도 취약점을 공격하는 악성 자바스크립트가 심어져 웹 사이트 방문자들의 PC에 악성 소프트웨어(키로거와 백도어 기능을 갖춘 트로이 목마)의 다운로드를 시도하고, 다운로드된 악성코드를 실행했다.
해당 공격을 당한 사이트는 www.miamidolphins.com과 www.dolphinstadium.com, 그리고 혼잡 상황이나 백업에 대비해 만들어놓은 미러(Mirror) 사이트인 www.proplayerstadium.com이다. 웹해킹 사실은 1월 26일에 처음 발견되었으며 2월 2일에 악성 코드가 제거됐다. 만약 해당 기간 중에 위 사이트를 방문한 경험이 있는 사용자라면 반드시 전체 시스템 바이러스 스캔을 실행할 것이 권장된다.

라우터가 해커의 백도어로
최근 보안 연구원들은 해커가 가정용 유무선 라우터를 통해서 네트워크에 침투할 수 있는 방법을 발견했다. 라우터는 집과 재택 사무실에서 빠르고 쉽게 네트워크를 구축할 수 있는 강력한 툴이지만, 이에 대한 보안 방책을 제대로 세워놓지 않았을 경우에는 인터넷을 통해 내보내는 정보를 해커들이 훔쳐갈 수 있도록 하는 통로를 열어주는 격이 될 수 있음을 보여주는 것이다.
라우터를 이용한 공격 방법이 매우 간단하다는 것도 커다란 위협 요소다. 단순히 사용자가 공격자가 통제하는 웹 페이지를 여는 것만으로도 공격을 실행할 수 있으며, 일단 페이지가 로딩되고 나면 이 사이트는 사용자의 라우터를 납치해 사용자의 방문 사이트를 해커가 통제하도록 할 수 있다. 예를 들어 사용자가 은행의 웹 사이트 주소를 입력하면 공격자는 해당 은행처럼 보이지만 실은 공격자가 통제하고 있는 다른 사이트로 접속되도록 만들 수 있는 것. 이 경우 사용자가 입력하는 모든 내용을 해커도 동시에 볼 수 있으며, 해커의 실력이 뛰어날 경우에는 무슨 일이 일어나고 있는지 사용자는 전혀 눈치를 못 챌 수 있다.
이러한 방식의 공격으로부터 자유롭기 위해서는 무엇보다 라우터를 안전하게 설치해야 한다. 이 공격은 초기 설정 비밀번호를 그대로 사용하고 있는 라우터를 이용해 전개되는데, 라우터 구입 시 설정된 초기 비밀번호는 대부분 해커들에게 공공연히 알려져 있다. 또 같은 업체의 같은 모델을 구매한 사용자들 또한 모두 같은 값을 가지고 있기 때문에 초기 비밀번호는 매우 취약하다고 볼 수 있다. 따라서 홈 네트워크를 설치할 때 이 비밀번호를 해커가 추리하기 힘든 다른 비밀번호로 변경하는 것이 좋다.

기타 최근 주요 보안 위협들
마이크로소프트에서는 3월에는 보안 공지를 발표하지 않았다. 따라서 이번 보안 업데이트에서는 최근의 스팸 메일 동향에 대해 설명한다.
지금까지 대개의 스팸은 텍스트로 구성돼 메일 내용에 하이퍼링크를 삽입해 사용자의 클릭을 유도하는 형태로 돼있었지만 이제 이런 스팸 유형은 각종 텍스트 필터링 기술이 충분히 방어할 수 있는 단계에 와있다고 볼 수 있다. 그렇지만, 기술이 발달할수록 스패머들의 배포 기술 역시 교묘해지고 있으며, 이미지 스팸은 최신 안티스팸 기술을 피해가기 위해 스패머들이 내놓은 기법이다.
이미지 스팸은 텍스트 필터링을 우회하기 위해 이미지만을 이용해 메일 내용을 구성한 스팸으로, 텍스트만을 검사하는 안티스팸 엔진은 이를 스팸으로 인지하지 않게 된다. 광고 전단과 같은 이미지 하나만을 보내는 것은 이미지 스팸의 가장 기본적인 형태라 할 수 있으며, 시만텍의 월간 스팸 리포트 3월호는 2월에 관찰된 전체 스팸 중 이미지 스팸은 38% 비율을 차지하고 있다고 밝혔다.
또 최근에는 기존의 이미지 스팸 기술에 비스듬하게 만든 텍스트 이미지를 합치거나, 영문이 아닌 기타 언어로 이뤄진 이미지 스팸 형태가 급격하게 증가하고 있다. 비스듬한 혹은 뒤틀린 텍스트(Slanted & Warped Text)를 활용한 접근법은 사실 이전의 기술과 크게 다르지는 않으나, 글자 이미지 하나하나를 변형시키는 것이 아니라 전체 텍스트 이미지를 비스듬하게 처리한다는 점에서 특이하다고 할 수 있다. 이러한 기술은 OCR (Optical Character Recognition, 광학식 문자 인식) 혹은 테두리 검출(Edge Detection)에 크게 의존하고 있는 몇몇 안티스팸 기술을 우회할 수 있다.
또 비영어권 스팸도 증가하고 있어 주의가 요구된다. 대부분의 스팸은 영어로 쓰여 있지만 2007년 2월 모니터링 결과 하나의 내용이 독일어, 이탈리아어, 불어 등 다양한 언어로 번역돼 배포되는 스팸의 발견도 증가하고 있다는 것이 시만텍의 전언이다. 시만텍은 이러한 방식이 안티스팸 기술에게 큰 영향을 안겨주는 것은 아니지만, 하나의 스팸 내용이 각 지역 언어로 번역되는 스팸의 로컬라이징 현상은 앞으로 더욱 증가할 것이라고 시만텍 측은 예상했다.


보안 업데이트 요약
- MS 워드 보안 결함
- MS , 잠재적 위험 애플리케이션 배너 서비스
- 구글 데스크톱, 데이터 도용 가능성 존재
- 라우터가 해커의 백도어로
- 기타 최근 주요 보안 위협들

보안 업데이트 요약
- MS 워드 보안 결함
- MS , 잠재적 위험 애플리케이션 배너 서비스
- 구글 데스크톱, 데이터 도용 가능성 존재
- 라우터가 해커의 백도어로
- 기타 최근 주요 보안 위협들

시만텍이 온라인 사기 행위 방지를 위해 권고하는 보안 수칙
▶ 이용하는 사이트의 보안에 대한 확신이 없을 경우 절대 개인 정보를 입력하지 않는다.
▶ 이메일, 메신저 프로그램을 통해 개인 정보를 전달하는 일은 절대 삼가한다.
▶ 개인정보, 계좌정보 업데이트 요구 이메일은 무시하고, 해당 사이트에서 직접 확인한다.
▶ 스팸으로 의심되는 이메일의 첨부 파일을 열거나 답장을 보내지 않는다.
▶ PC에 카드번호 혹은 비밀번호 등을 저장해 사용하지 않는다.
▶ 다양한 보안 위협에 종합적으로 대처할 수 있는 통합 보안 제품을 사용한다.
▶ 금융거래 사이트는 주소창에서 직접 입력하거나 즐겨찾기로 사용한다.
▶ 공인인증서는 USB, 스마트카드 등 이동식 저장장치에 보관한다.
▶ PC방 등 공용 장소에서는 인터넷 금융거래를 자제한다.
▶ 정기적으로 윈도를 업데이트하고 최신의 보안 업데이트를 설치한다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.