보고서에 따르면, 해커들은 점점 더 전문화되고 상업화된 방식으로 악성 코드 및 서비스를 개발, 배포하고 사용하고 있다. 금전적인 이득을 목표로 하고 있는 경향은 더욱 높아지고 있으며, 더 전문적인 공격 방법과 툴, 전략을 활용해 악성 활동을 펴고 있다. 특히 2007년 상반기에 보고된 사이버 악성 활동 중 4%가 포춘 100대 기업의 IP 주소에서 발생하는 등 사용자들이 안전할 것이라고 신뢰하는 온라인 환경을 이용해 간접 공격하는 움직임이 높아지고 있는 것은 주목할 부문이다.
시만텍코리아 윤문석 사장은 “인터넷 보안 위협 보고서 제12호를 통해 알 수 있듯 사용자들이 안전성을 신뢰하고 있는 웹 사이트에 대한 공격 비율이 급증하고 있다”면서 “이제 사용자들은 어떤 온라인 환경에서든 자신도 모르는 사이에 해커의 타겟이 될 수 있다는 사실을 인지해야 하며, 기업이나 개인 사용자를 막론하고 상업적 보안 공격의 피해자가 되지 않도록 적절한 보안 방책을 마련하고 이를 생활화해야 한다”고 강조했다.
이번 보고서에 주목할 부문으로 시만텍코리아가 지적한 사안은 ▲M팩(MPack)과 같은 전문화되고 상업적인 공격 ▲신뢰된 웹사이트를 통한 간접공격 ▲다단계 방식 공격 등이다. 다단계 공격이란 1차 감염된 컴퓨터에 계속해서 추가 악성 코드를 설치할 수 있도록 만드는 것으로 탐지가 어려워 초기 감염 예방에 더욱 주의를 기울여야 한다.
M팩은 악성 공격을 실행하기 위해 매우 정교한 툴 킷을 사용하는 대표적 사례로 들 수 있다. M팩이란 암시장에서 거래되는 공격 툴킷이다. 일단 구입만 하면, 공격자들은 M팩에 들어있는 소프트웨어 구성 요소들을 사용해서 전세계 수천 대의 컴퓨터에 악성 코드를 설치할 수 있으며, 제어관리 창을 통해 공격 성공 여부를 관찰할 수 있다. 자동으로 실제 웹 사이트를 모방한 피싱 웹 사이트를 개설할 수 있도록 도와주는 여러 스크립트를 제공하는 피싱 툴 킷이 성행해 2007년 상반기 중에 발생한 피싱 공격 중 42%가 단 3개의 피싱 툴 킷으로 인해 발생했다고 시만텍 측은 지적했다.
안정성이 신뢰되고 있는 사이트를 해킹하고, 이를 통해 간접 공격을 취하는 사례도 크게 증가했다. 보고서에 따르면, 2007년 상반기에 보고된 사이버 악성 활동 중 4%가 포춘 100대 기업의 IP 주소에서 발생해 봇 감염, 피싱 웹 사이트, 스팸 좀비와 인터넷 공격 등을 수행했다. 상반기 동안 공개된 모든 취약점 중 61%가 웹 애플리케이션 취약점이란 사실은 웹 사이트 보호가 간접공격 차단을 위해 선행돼야 함을 보여주는 결과다.
다단계 공격은 악성 행위를 즉시 실행하지는 않지만 추가적인 다른 공격을 설치하는데 주로 사용되고 있다. 이러한 다단계 공격의 예가 바로 단계별 다운로더(Staged Downloader). 단계별 다운로더는 감염된 컴퓨터에 공격자의 목적에 따른 다양한 추가 악성 코드를 설치하는데 시만텍은 2007년 상반기 상위 50개의 악성 코드 샘플 중 28개가 바로 이 단계별 다운로더였다. 스톰 웜(Storm Worm)으로 잘 알려진 ‘Peacomm Trojan’ 역시 단계별 다운로더 형태의 트로이 목마로 이번 조사 기간 동안 가장 많이 보고된 신규 악성 코드군에 올랐으며, 앞서 언급한 M팩 또한 공격 툴 킷이면서 동시에 단계별 다운로더 구성 요소를 가진 다단계 공격의 예이기도 하다.
이외에도 인터넷 보안 위협 보고서에서 나타난 내용을 살피면, ▲암시장 서버에서 가장 판매 광고가 많이 올라온 것은 신용카드 정보로 22%의 비중을 차지했으며, 은행 계좌 번호가 21%로 뒤를 이었다. ▲웹 브라우저 플러그-인에서는 2006년 상반기의 34개, 하반기의 74개에 비해 크게 증가한 237개의 취약점을 발견됐으며, ▲상위 50개의 악성 코드 샘플 중 온라인 게임을 타겟으로 한 것이 5%를 차지했다. ▲모니터링된 모든 이메일 트래픽의 61%가 스팸으로 2006년 하반기의 59%에 비해 소폭 증가했으며, ▲명의 도용 사고로 이어질 수 있는 데이터 유출 사고의 46%가 컴퓨터나 다른 데이터 저장 장치의 분실이나 도난이 원인으로 밝혀졌다. <오현식 기자>
