사이버 위협과 관련된 유수의 보안 기업의 2011년 예측에는 공통점이 있다. 그것은 바로 소셜 네트워크 서비스(SNS)와 관련된 위협이 크게 증가한다는 것이다. 공격 효과 극대화를 위해서는 많은 사용자를 보유한 플랫폼과 서비스를 겨냥하는 것은 당연한 현상이다. 운영체제(OS)의 경우, 윈도우 관련 공격이 가장 많이 발생하는 것도 전세계적으로 윈도우를 사용하는 비율이 높기 때문.
SNS는 스마트폰의 대두와 함께 전세계적으로 선풍적인 인기를 끌고 있다. 페이스북, 트위터와 같은 SNS는 지인의 안부를 손쉽게 확인하고, 자신의 의사 표현과 일상의 흔적을 손쉽게 남길 수 있을 뿐 아니라 보다 신뢰성이 높은 정보를 얻을 수 있다는 이점 등으로 인해 인기몰이를 지속하고 있다. 스마트폰이 결합되면서 언제, 어디서나 접속할 수 있게 됨으로써 SNS의 인기는 더욱 높아지고 있는 상황이다.
사용자가 급증하고 있는 SNS를 사이버 공격자가 그냥 지나칠 리는 만무하다. SNS의 인기를 노려 이를 악용하려는 사이버 공격이 2010년 속속 등장했으며, 이러한 경향은 2011년 더욱 가속화될 것이라는 게 보안 전문가들의 중론이다.
2010년 발생한 SNS 공격 사례를 살피면, 페이스북 관리자를 사칭해 사용자 계정을 탈취하는 피싱 메일이 3월 발생했으며, 6월에는 페이스북에서 개인정보 유출을 목적으로 하는 피싱 동영상(hilarious video)이 급속히 확산되기도 했다. 또 SNS 사용자를 대상으로 한 클릭재킹 공격이 활발히 전개됐다. 클릭재킹이란, 아이프레임 태그 등을 이용해 사용자가 현재 보고 있는 화면과 다른 동작이 실행될 수 있도록 하는 것으로 사용자는 단순히 추천 버튼으로 보여 클릭했지만, 실제로는 노트북이나 PC의 웹캠을 동작시켜 녹화한 후 이를 공격자에게 전송하는 등의 행위가 가능하다.
이러한 클릭재킹은 여러 형태로 악용될 수 있다. 단순하게는 클릭 수로 광고료를 집행하는 온라인 배너 광고에 연결해 공격자가 부당한 이익을 얻을 수 있다. 이 경우에는 배너 광고를 집행한 기업이 부당한 광고비를 집행하게 될 뿐 사용자 피해는 없다. 하지만 악성코드를 숨겨 사용자 PC를 감염시키거나 온라인 주식거래 등을 연동한다면 클릭재킹에 당한 사용자에게도 심각한 피해를 안길 수 있다.
이외에도 11월에는 SNS 사용자의 정보와 이용 패턴을 몰래 탈취하는 멀웨가 출현하기도 했으며, 트위터에서는 단축 URL을 악용해 악성코드 유포 사이트로 사용자를 유인하는 공격도 발생했다. 140자로 글자 수가 제한된 트위터는 웹페이지 링크시 긴 URL을 짧게 줄여 ‘http://bit.ly/****’ 등과 같이 표기되도록 하고 있는데, 이러한 단축 URL을 가짜 단축 URL로 바꿔 사용자들을 악성코드가 삽입된 웹사이트로 유도하는 사례가 발견된 것이다.
SNS에 대한 공격 급증이 예상되는 까닭은 사용자가 많다는 이유도 있지만, 사용자의 신뢰가 높다는 점도 한 요인이다. SNS에 친구 등록된 지인으로부터 메시지가 전송된다면, 메시지를 받은 사용자가 이를 신뢰할 가능성은 매우 높다. 다시 말해 한 사용자를 감염시킬 수 있다면, 급속도로 확산될 가능성이 더욱 큰 것이다.
트윗봇은 SNS를 C&C로 악용한 대표적인 사례이다. 공격자는 특정 트위터 계정 페이지에 악의적인 명령어를 트윗하는 것만으로 트윗봇 감염 좀비 PC를 실시간으로 조종할 수 있다. 트위터와 페이스북에서 보내온 내용으로 위장한 스팸메일의 첨부 파일이나, 쪽지 또는 채팅 메시지 등의 링크 또는 단축 URL을 통해 악성파일을 유포한 사례도 다수 발견됐다.
“스마트폰 위협 현실화 원년될 것”
올해 스마트폰 관련 위협이 본격화될 것이란 점도 공통된 예측이다. ‘손 안의 작은 PC’로 불리는 스마트폰은 여러 가지 브라우징 프로그램을 이용해 다양한 방법으로 인터넷에 직접 접속할 수 있을 뿐 아니라 원하는 애플리케이션을 직접 선택(혹은 제작)해 사용할 수 있으며, 동일한 운영체제(OS)를 가진 기기에서 애플리케이션을 공유할 수 있어 시공간의 속박에서 벗어난 진정한 모바일 오피스에 한 발 더 가까워질 수 있게 하는 열쇠로 평가된다.
이러한 장점으로 인해 아이폰을 필두로 전세계적으로 스마트폰이 큰 인기몰이를 하고 있으며, 이에 더해 최근에는 더 큰 디스플레이를 장착한 스마트패드 기기도 등장, 활용도를 높이고 있다. 이러한 스마트폰과 스마트패드를 이용한 공격 급증이 2011년 본격화될 것으로 예측되고 있다.
2010년 4월 윈도우 모바일폰을 기반으로 하는 악성코드(WinCE/TerDial)는 국내 최초로 발견된 스마트폰 악성코드란 점에서 주목을 끌었다. 이 악성코드는 ‘3D Anti Terrorist Action’이라는 게임에 트로이목마 형태로 숨겨져 게임 설치와 동시에 기기를 감염시키며, 이후 자동으로 서비스 과금되는 해외 프리미엄 요금 번호에 국제전화를 시도해 피해를 유발, 눈길을 끌었다. 국제전화 발신으로 인한 과금 피해가 발생한 것은 아니지만, 첫 국내 감염사례인 동시에 불법적인 금전적 이익을 노리는 유형이란 점에서 많은 시사점을 준다.
이외에도 2010년 안드로이드 커널 취약점이 발견(88개 고위험 결함)되고, 중국에서 100만대의 모바일 악성코드 감염 사고가 발견되는 등 적지 않은 보안 위협 사례가 존재했지만, 이는 시작에 불과하다는 것이 전문가들의 중론이다.
스마트폰의 경우, 제각기 다른 OS환경이었던 피처폰과 달리 iOS, 안드로이드OS 등 다수의 기기에 공통적인 OS에 수많은 기기가 사용되고 있어 확산력이 높을 뿐 아니라 PC와 같이 자유롭게 애플리케이션을 설치할 수 있어 이를 겨냥한 악성코드가 활개를 칠 가능성이 높다고 예상된다. 나아가 스마트폰의 경우, 인터넷뱅킹을 통한 금융거래가 가능해 사이버 금융거래에 사용되는 응용프로그램 취약점을 집중적으로 노리는 공격시도가 성행할 수 있다고 경고된다. 사용자의 주의와 더불어 스마트폰에 대한 철저한 보안이 반드시 요청되는 것이다.
KISC는 “2010년 한해는 스마트폰 보급 확대 및 SNS 사용자 급증 등 인터넷 환경에서 많은 변화와 더불어 상대적으로 보안이 강화된 서버를 목표로 하는 것이 아니라 스마트 폰이나 개인 PC를 사용하는 일반 사용자를 겨냥한 악성 봇 활동이 두드러지게 나타났다”며 “SNS를 이용하거나 인터넷 이용시 발생할 수 있는 위협에 대해 인지하고, 안전한 사용을 습관화하는 것이 필요하다”고 강조했다.
DDoS 공격 위험 ‘여전’
2009년 보안을 전사회적 이슈로 밀어 올렸던 분산서비스거부(DDoS) 공격은 여전히 주된 위협으로 집계된다. 대형 DDoS 공격으로 인한 대규모 피해사례가 발생한 것은 아니지만, 2010년에도 끊임없이 DDoS 공격이 발생해 기업을 위협한 것이다.
KISC에 따르면, 2010년 ▲인터넷서비스사업자(ISP)를 대상으로 하는 대용량 DDoS 공격 ▲키워드 광고 이용 업체를 대상으로 하는 순차적인 DDoS 공격 ▲발신지 위조 트래픽을 이용한 DDoS 공격 ▲SYN과 HTTP의 데이터 사이즈를 증가시켜 대역폭을 채우는 공격 등이 발생해 DDoS 공격 위험이 여전히 높음을 보여줬다. 특히 DDoS 공격이 더욱 대형화하는 경향이 강하게 드러났다는 것이 KISC의 분석이다. 2010년 이전 3년간 신고된 DDoS 공격 중 10Gbps 이상의 공격은 약 12% 수준이었지만, 2010년을 기점으로 10Gbps 이상의 공격이 40%에 달하고 있으며, 150Gbps에 달하는 DDoS 공격도 발생됐다.
DDoS 공격의 대형화는 광랜 등의 보급 증가에 따른 것으로 업로드 속도가 느린 ADSL의 경우, 100Gbps급 공격을 위해서는 약 10만대의 좀비PC를 확보해야 하지만 50Mbps 이상의 업로드가 가능한 광랜 환경에서는 경우, 수천 대의 좀비PC만으로도 100Gbps급 공격이 가능하게 된다. 따라서 DDoS 공격의 대형화는 계속될 전망으로 대형 DDoS 공격에 대응할 수 있는 대응체제 구축은 이제 선택이 아닌 필수의 영역이 됐다.
다른 한편으로 전세계적인 인기와 더불어 사이버 공격자의 관심사로 부상하고 SNS가 DDoS 공격에 이용되고 있다는 점도 주목할 만한 요소다. 아바네트웍스와 안연구소는 인기 SNS인 트위터를 DDoS 공격의 명령제어서버(C&C)로 악용하는 사례를 발견해 보고했다.
아버네트웍스가 발견한 트위터 악용 사례는 트위터에 메시지를 게시해 접속시 좀비PC에 새로운 명령을 전달하는 것이며, 안연구소가 발견해 보고한 것은 트위터를 통해 자동으로 악성봇을 생성하는 공격툴이다. 이 공격툴은 명령을 전달할 트위터의 계정명만 입력할 경우, 트위터의 계정을 C&C 서버로 이용할 수 있다. 트위터와 같은 SNS를 C&C 서버로 사용할 경우, 계정 자체를 막지 않는 한 차단하기 어렵기에 더욱 철저한 주의가 요청된다.
2011년에도 DDoS 공격은 주요한 사이버 위협의 하나로 위세를 떨칠 것으로 전망된다. 광랜 등으로 소수의 좀비PC 확보로도 대형 DDoS 공격이 보다 쉬워진 반면 인터넷 망 모니터링 수준 및 필터링 정책 설정 수준은 이에 미치지 못하고 있기에 DDoS 공격을 이용해 불법적인 이득을 노리는 사이버 범죄 행위가 지속적으로 발생할 수 있기 때문이다.
이에 더해 SNS를 C&C 서버로 이용하거나 정상적인 HTTP 헤더에 느린 속도의 데이터를 붙여 웹서버 자원을 고갈시키는 것과 같은 L7 영역의 슬로우 공격 등 지능화된 공격방법이 더해지면서 방어를 더욱 까다롭게 만들고 있다는 점은 DDoS 공격 위협이 계속될 것이라는 전망을 뒷받침한다. 또 폭로전문사이트 위키리크스 설립자 구속과 관련해 이에 항의하는 DDoS 공격이 전세계적으로 발생했다는 점을 고려하면, 정치적 항의 목적의 DDoS 공격도 지속될 것으로 예상된다.
지능화 봇에 대응하라
DDoS 공격을 예방하는 가장 효과적인 방법은 악성봇에 감염돼 공격자에 의해 조종되는 좀비PC를 막는 것이다. 즉, 사용자의 PC를 좀비PC화하는 악성봇 차단이 선결과제가 되는 것이다. 악성봇 감염은 공격자에 의해 PC가 원격조종되는 것이기에 DDoS 외에도 다양한 문제를 일으킨다. 대량 스팸메일 발송, 개인정보유출 등을 발생시키는 원인이 된다. 따라서 악성봇 차단은 DDoS의 문제가 아니더라도 효과적인 정보보안을 구현하기 위해서는 반드시 요구된다.
하지만 악성봇은 기업의 보안 체제를 회피하기 위해 더욱 더 빠르게 진화하고 있다. 2010년에도 산업용 기기를 겨냥, 사회기반시설을 공격하는 스턱스넷이 발생해 이란 원자력발전소에 장애를 일으켜 전세계적인 화제를 모았으며, 인터넷뱅킹 정보 등 민감한 개인정보를 탈취하는 제우스 봇이 더욱 발전된 형태로 등장해 안전을 위협했다.
KISC에 따르면, 2010년 국내 봇 감염률은 0.6% 수준으로 2009년 이후 1% 미만의 낮은 감염률을 보이고 있다. KISC가 봇 감염률을 집계하기 시작했던 2005년 18.8%, 이후에도 10% 내외에 달했다는 점을 고려하면 감염률은 크게 낮아진 수치를 보이고 있다. 하지만 이는 최근 봇 감염 형태의 변화에 따른 것으로 실제 감염이 획기적으로 감소했다고 보기는 어렵다. KISC의 통계는 악성봇에 감염된 시스템이 확산을 위해 허니넷으로 트래픽을 일으킬 때 탐지하지만, 최근 악성봇은 웹 페이지 등을 이용해 전파되고 자동전파 방식은 감소하고 있어 허니넷 탐지율이 낮아질 수밖에 없는 것이다.
2010년 등장한 제우스봇 2.0은 높아진 봇의 위험성을 증명한다. 2007년 발견돼 사상 최대의 악성봇으로 악명을 떨친 제우스봇은 2010년 더욱 정교한 형태로 재등장했다. 인터넷뱅킹 정보와 같은 민감한 데이터를 수집하기 위해 개발된 제우스봇은 금전적 이득을 볼 수 있는 민감한 정보를 쉽게 빼돌릴 수 있는 기능이 포함돼 큰 인기를 끈 악성봇이다.
2010년 등장한 제우스봇은 임의의 고유한 레지스트리 키 값 및 파일명을 탐지우회하는 기법과 환경설정파일의 RC4 암호화 기능 등이 추가된 모습으로 등장, 보안 프로그램에 의한 탐지/차단을 방지함으로써 위험성을 더욱 높였다. 이러한 제우스 봇넷을 사용해 2010년 9월에는 18개월간 온라인 금융 및 거래 계좌에서 7000만달러를 불법이체한 다국적 사이버 공격자 집단이 검거됐으며, 영국과 미국에서는 수백만 달러가 불법 인출되는 사건도 발생했다.
제우스봇은 탐지회피 기술 등 고도의 지능화 양상뿐 아니라 공격 툴킷이 암시장에서 활발히 거래되면서 기업화되고 있는 사이버 공격 양상을 여실히 보여준다. 시만텍이 최근 발표한 공격용 툴킷 조사 보고서에 따르면, 제우스 2.0버전은 사이버 암시장에서 기본 패키지가 최고 8000달러에 제공되고 있으며, 500~2000달러 가격대에서 추가 모듈까지 제공되고 있다.
또 고객지원 서비스에 상응하는 지원 서비스가 제공되고 있으며, 단일 컴퓨터와 봇 생성 애플리케이션을 연계, 하드웨어 기반의 잠금 메커니즘으로 불법복제를 방지하는 등 마치 기업의 상용 패키지 소프트웨어와 같은 판매형태를 보이고 있다. 이는 제우스 툴킷 구입을 통해 전문적 지식이 없더라도 누구나 쉽게 공격을 전파하고, 불법적으로 정보를 탈취해 부당한 이익을 얻을 수 있음을 의미한다.
제우스봇 외에도 스파이아이, 스트라이크 등 공격 툴킷이 인기를 끌으면서 사이버 위협을 가중시켰다. 저렴한 제우스 대용품으로 스파이아이는 제우스 C&C 서버로 전송하는 데이터를 가로채거나 탈취할 수 있도록 프로그래밍돼 있으며, 스파이아이 개발자 하더만(Harderman)은 오리지널 제우스 개발자 슬래빅(Slavik)으로부터 소스 코드를 넘겨 받아 스파이아이와 제우스의 소스코드를 통합하는 작업을 진행하고 있다고 알려진다. 스트라이크는 윈도우 XP, 윈도우 비스타, 윈도우 7 등 신규 OS를 목표로 한 공격 툴킷으로 신규 윈도우 OS의 사용자계정관리(UAC) 보안 기능을 회피, 키스트로크 로거, 백도어 등과 같은 악성 애플리케이션을 사용자 몰래 설치한다.
웜/바이러스 증가세 ‘지속’
가장 원초적 보안 위협인 웜/바이러스는 2010년에도 기승을 부렸다. KISC의 통계를 살피면, 2010년 웜/바이러스 신고건수는 1만7930건으로 2009년 1만395건에 비해 무려 72%의 증가세를 보였다. 이는 개인정보 탈취, 스팸발송 등을 위해 여전히 악성코드가 활개치고 있음을 보여준다. 또 맥아피에 따르면, 2010년 3분기에는 사상 최고치인 일평균 6만개의 신종 멀웨어가 발견되는 등 악성코드는 여전히 사이버 공격의 기초 수단으로 지속적으로 등장하고 있다.
악성코드의 이러한 급증세는 시그니처에 기반한 보안 기술의 변화를 요청하고 있다. 다수의 악성코드에 대응하기에는 시그니처 방식의 한계가 드러나고 있기 때문이다. 시그니처의 경우, ‘악성코드 샘플확보 → 시그니처 제작 → 시그니처 오류 점검 → 시그니처 배포/적용’ 등의 과정이 필요하지만, 시시각각 등장하는 신종 악성코드는 이러한 프로세스 적용을 어렵게 만드는 것이다. 이에 시그니처 방식을 보완할 수 있는 새로운 보안 기술 적용이 강력하게 요구되고 있다.
또한 2010년 주목할 악성코드는 스턱스넷이다. 교통, 전기, 수도, 발전소와 같은 사회 기반 시설의 제어 시스템(PCS)을 감염시켜 오작동을 유발하는 스턱스넷은 이란 원자력발전소의 원심분리기 오작동을 유발시키면서 전세계적인 주목을 끌었다. 이란 이외에도 중국 1000여개 주요 산업 시설을 비롯해 전세계 곳곳에서 감염사례가 보고되면서 전세계를 경악시켰다.
스턱스넷은 외부와 단절된 폐쇄망에서도 사이버 위협이 예외가 아님을 증명한 사례일 뿐 아니라 사이버 전쟁이 가능함을 증명했다. 안철수연구소의 경우, 의도적으로 이란 원전을 노렸다는 의혹이 사실일 경우, 스턱스넷은 사이버 전쟁의 서막을 알리는 신호탄이 될 수 있다고 평가하기도 했다.
한편 2010년 CVE(Common Vulnerabilities and Exposures)에 등록된 취약점은 4640건으로 2009년 5734건에 비해 감소(-19%)했다. 하지만 취약점 공격은 영향도가 중요한 변수로 여전히 주의를 요하는 부분이다. 스턱스넷의 경우에도 산업제어시스템의 취약점을 악용한 공격이란 점은 이를 반증한다. 또한 스마트폰, 스마트패드 등 새로운 플랫폼의 확산은 노출 대상의 증가하는 것이기에 더 많은 취약점이 발견되고, 공격에 악용될 수 있다고 경고된다.
