한국IBM(대표 이휘성, www.ibm.com/kr)이 2008년 엑스포스(X-Force) 동향 및 리스크 연례 보고서를 발표했다. 이 보고서에서 IBM은 기업들의 보안 부주의로 인해 고객들이 사이버 범죄에 노출되고 있다고 지적했다.
보고서에 따르면 사이버 범죄자들이 고객 대상 공격 거점으로 기업 웹사이트를 사용하는 사례가 급증하고 있다. 다시 말해 기업 웹사이트를 이용해 고객 개인 정보 도용에 나서고 있는 것이다.
엑스포스 보고서는 웹 사이트를 통한 주요 공격 방법으로 두 가지 트렌드가 존재한다고 지적했다. 하나는 기업의 웹 사이트가 기업 보안의 아킬레스건으로 작용하고 있다는 점이다. 공격자들이 사용자 PC를 감염시키기 위해 웹 애플리케이션 공격에 집중하고 있음에도 불구하고, 많은 기업들은 취약점이 많은 패키지 애플리케이션을 사용하고 있으며, 심지어는 보안 취약점의 패치가 불가능한 맞춤형 애플리케이션을 사용해 웹 공격에 무방비로 노출돼 있다.
보고서에 따르면, 2008년 웹 애플리케이션 관련 취약점들은 발견된 전체 보안 취약점들의 절반 이상을 차지했으며, 이 중 74% 이상은 보안 패치가 제공되지 않았다. 이에 따라 2008년 초 등장한 대규모 자동화 SQL(Structured Query Language)인젝션 공격에 대한 취약점은 계속 줄어들지 않고 있는 상황으로 2008년 말 SQL 인젝션 공격량은 6개월 전에 비해 30배 증가했다.
IBM 인터넷시큐리티시스템즈(ISS) 엑스포스 보안 연구소의 크리스 램 수석 운영 관리자는 “SQL 인젝션 공격은 현존하는 대량 공격 방식 중 가장 오래된 형태의 하나로 발견된 지 10년이 지난 지금까지 적절한 패치가 안 돼 광범위한 피해를 보고 있다는 것은 경악할 일”이라고 말했다. 그는 “사이버 범죄자들이 기업 웹사이트를 목표로 하고 있는 것은 웹을 방문하는 모든 네티즌들을 쉽게 공격할 수 있는 거점으로 활용할 수 있기 때문”이라고 설명했다.
두 번째 트렌드는 최종 사용자의 PC를 공격하기 위해 브라우저나 액티브X 컨트롤에 집중하고 있으면서도, 플래시 등의 동영상, PDF 문서 등을 통한 새로운 형태의 해킹 바이러스로 관심의 초점을 옮기고 있다는 점이다. 엑스포스 연구소는 2008년 4분기 중 확인된 해킹 바이러스를 옮기는 악성 URL들의 수가 2007년 한 해 동안 발견된 수보다 50% 증가했다고 밝혔다.
또한 스팸 메일 발송자들은 더 많은 스팸 메일을 전송하기 위해 잘 알려진 웹사이트를 활용하고 있어 인기 블로그나 뉴스사이트를 통해 스팸 메일을 발송하는 기술은 2008년 하반기에 두 배 이상 증가했다.
이와 더불어 IBM 엑스포스 연구소는 2008년 공개된 일부 주요 취약점에 대해서는 광범위한 공격이 이뤄지지 않았다는 점을 지적하면서 이러한 결과는 현재의 취약점 대응 우선순위가 변화해야 하는데 힌트를 준다고 지적했다.
업계 표준 ‘취약점 공동 평가 시스템(CVSS)’을 통해 진행되고 있는 현재 취약점 대응 우선순위의 결정은 사이버 공격의 일차적 동기인 ‘경제적 기회’를 반영하지 못한다는 단점을 갖고 있다. CVSS가 공격의 강도 및 용이함 등 취약성의 기술적인 면에 초점을 맞추고 있기 때문이다.
크리스 램 수석 운영 관리자는 “CVSS는 보안업계에 보안 위협을 측정하는 필수적인 기반을 제공하고 있지만 사이버 범죄자의 궁극적인 동기는 돈이라는 사실 또한 인식할 필요가 있다”라고 말했다. 램은 “보안업계가 컴퓨터 범죄자의 범행 동기를 보다 잘 이해할 수 있다면 즉각적인 위협들을 발견했을 때 응급 패치가 가장 필요한 시점을 보다 정확히 결정할 수 있을 것이며, 특정 취약점에 공격이 집중될 때까지 오랜 시간이 걸릴 것인지, 또는 공격이 아예 발생하지 않을지를 한층 정확히 판단할 수 있게 될 것”이라며, “이러한 분석은 시간과 자원의 효율적 사용을 가능하게 해 줄 것”이라고 덧붙였다.
