올해는 안드로이드 기반 모바일 디바이스에서 보안위협이 실제로 나타난 첫 해로 기록될 것으로 보인다.
잉카인터넷(대표 주영흠 www.nprotect.com)은 ISARC 대응팀을 통해 키워드로 돌아보는 2012년 10대보안위협을 발표했으며, 이 중 첫번째로 ‘안드로이드 보안위협 폭발적 증가와 국내상륙 공식발견’을 꼽았다.
10대 보안위협은 잉카인터넷 ISARC 대응팀을 통해 2012년에 발생한 대표적인 보안 위협들을 키워드를 통해 되짚어보고, 2013년에 발생 가능한 위협 요소들을 예측해 사전에 대처할 수 있는 기초 자료로 활용하기 위한 것이다.
안드로이드 보안위협 폭발적 증가
안드로이드 기반의 스마트폰 이용자가 기하급수적으로 증가함에 따라 안드로이드 이용자를 겨냥한 보안위협도 비례적으로 증가추세를 보이고 있으며, 이 과정에서 외산 안드로이드 악성앱 변종들이 연일 기승을 부리고 있다.
ISARC는 2012년 1월 6일 국내 대표포털 사이트의 공식자료실에서 개인정보 유출형 안드로이드 악성앱이 국내최초로 발견된 사실을 국내 최초로 발견했으며, 약 41명의 이용자가 다운로드 한 것을 확인했다.
특히 4분기에는 국내 이동통신사 이용자를 타깃으로 한 ‘스팸차단 프로그램’, ‘이용요금 명세서’ 등의 내용으로 사칭한 악성앱 유포 기법도 꾸준히 성행하고 있다. 이는 본격적인 한국형 안드로이드 보안위협의 신호탄이라 할 수 있으며, 일부 변종은 잉카인터넷 대응팀에서 최초로 보고했다.
보안 사각지대 노린 지능화된 표적공격 지속
국내외 주요 기업과 기관 등을 겨냥한 표적공격이 지속적으로 이어지는 가운데, 한국 특정 기업 및 기관에 대한 다양하고 국지적인 공격시도 정황이 수 차례 포착됐고, 해당 발견시점 당시 보안취약점이 제거되지 않은 제로데이 공격기법도 꾸준히 발견됐다.
제로데이 취약점 공격은 신속히 보안취약점이 해결되지 않은 이상 은밀하고 지능화된 보안위협으로 작용하기 때문에 이용자들은 공격에 쉽게 노출될 가능성이 높고, 이용자 입장에서는 사전차단이 어려운 상황이기도 하다.
특히 국내에서 주로 사용하는 한컴 문서파일(HWP) 취약점을 이용한 악성파일들은 2012년에 백여 개 가깝게 연이어 발견됐다.
인터넷뱅킹 예금탈취 목적의 전자금융사기 본격화
국내 대표 인터넷뱅킹 이용자들의 예금탈취를 직접적으로 노린 악성파일(KRBanker)이 다양한 형태로 제작/유포됐고 웹 사이트 해킹과 결합되는 등 그 수법이 갈수록 고도화 되고 있다.
초기에는 특정 인터넷방송 동영상 재생프로그램 위변조, 웹하드 설치파일에 포함, 토렌트 등과 같은 P2P 파일로 위장하는 등 짧은 시간에 많은 이용자들을 감염시기키 위한 다양한 공격시도가 이어졌으나, 이후에는 국내 유수의 불특정 웹사이트들을 변조해 각종 보안취약점(Exploit)과 결합된 형태로 꾸준히 진화됐다.
‘보안승급서비스’, ‘전자금융사기 예방서비스’라는 문구를 이용해 인터넷뱅킹 이용자들을 의도적으로 현혹시켜 공인인증서(NPKI)와 보안카드 전체번호, 금융계좌 정보 등을 과도하게 입력하도록 해 개인정보 탈취를 시도하고 있다.
성인동영상과 함께 유포되는 악성파일 변종
신종 악성파일 유포를 국지적으로 좀더 쉽고 빨리 진행하기 위한 방식이 다각적으로 시도됐는데, 그 중 2012년에는 성인동영상을 통한 악성파일 유포가 특징이라 말할 수 있다.
악성파일 유포자는 다운로드 증가를 유도하기 위해 조회수가 상대적으로 많은 음란 성인동영상에 악성파일을 교묘하게 포함시켜 유포하고 있으며, 파일이 재생될 때 악성파일이 별도로 생성된다는 특징 때문에 사전에 탐지하기가 쉽지 않아 악성파일 제작자들은 실제 성인동영상에 악성파일을 포함시켜 유포시키는 행위를 멈추지 않고 있다.
온라인게임 계정 탈취 목적의 악성파일 여전히 기승
유명 온라인 게임 사용자들의 개인정보(아이디, 암호 등)를 불법적으로 탈취한 후 해당 정보를 도용해 금전적인 수익을 챙기는 사이버 범죄가 끊이지 않고 있으며, 국내에서 발생하고 있는 대다수의 보안위협에서 온라인 게임 계정 탈취용 악성파일을 배제하고 보안트랜드를 언급하기 어려울 정도로 2012년에도 온라인게임 계정 탈취 악성파일은 여전히 기승을 부리고 있으며, 변종도 꾸준히 양산되고 있는 실정이다.
2012년에는 각종 윈도우 운영체제의 주요 시스템파일을 변조(Patched/Forwarded) 또는 악성파일로 교체해 일반인들이나 안티바이러스 제품들이 치료하기 불편하게 방해하는 기법도 꾸준히 성행하고 있다.
심리·사회·정치 관심사 이용한 악성파일
온라인 호텔 예약서비스, 인터넷 유명 물류 배송서비스 조회내용, 전자청구서 내용, 런던 올림픽과 내용으로 위장하거나, 롬니 미 대선 후보, 북한 핵실험 및 광명성 3호 발사, 핵안보 정상회의와 관련된 사회적으로 이슈화 되고 있는 내용들을 통해서 악성파일이 유포되는 사례가 발견됐다.
사회적으로 이슈가 되는 내용이나 많은 사람들에게 큰 관심을 끌고 있는 특정 키워드나 등을 이용해서 인터넷 사용자들을 현혹시켜 악성파일에 감염되도록 만드는 수법은 예전부터 꾸준히 사용되고 있으므로, 유사한 내용에 각별히 주의하는 노력이 필요하다.
SNS 이용한 악성파일 남용
전세계적으로 트위터, 페이스북 이용자가 꾸준히 증가 유지되고, 스마트폰 활성화 등과 연계돼 악성파일 유포자들은 이를 역이용한 유포수법을 비례적으로 끈질기게 악용하고 있다.
트위터, 페이스북 친구 요청 이메일로 사칭해 악성파일에 감염되도록 유혹하기도 하며, 단축URL 주소 서비스를 이용해 악의적인 웹사이트로 연결을 유도하거나, 페이스북의 채팅창을 통해서 자동으로 악의적 URL 주소를 클릭하게 만드는 등의 사례가 다수 발견됐다.
정상프로그램을 불법 해킹/변조한 피해 증가
웹 사이트에서 배포되는 정상 동영상 플레이어 설치파일이나 각종 애플리케이션을 불법적으로 해킹, 변조해 악성파일을 배포하는 행동도 포착된 바 있다.
악성파일 자체를 정상파일처럼 보이도록 조작하는 방식이 대부분이었으나, 실제 정상 프로그램을 위변조해 악성파일이 함께 설치되도록 하는 경우는 매우 드문 경우로, 사용자들이 인지하기가 쉽지 않으므로 웹사이트 운영자와 프로그램 개발자들은 자신의 프로그램이 설치될 때 무결성을 체크하도록 하거나 서버에 존재하는 파일이 위변조되지 않았는지 수시로 점검하는 노력이 필요하다.
사이버 협박범 ‘랜섬웨어’ 피해 증가
랜섬웨어(Ransomware)란 사이버 범죄자들이 컴퓨터의 운영체제나 특정 파일들을 암호화해 사용자가 정상적으로 사용하지 못하게 만든 후 이를 볼모로 현금이나 부당한 요구를 하는 악성파일들을 의미한다.
초기에는 특정 문서파일들을 암호화하는 형태가 많은 비중을 차지했으나 최근에는 운영체제 자체를 정상적으로 부팅하지 못하게 하는 경우가 많아지고 있다.
특히 경찰청·저작권 협회와 같은 기관으로 위장한 문구 등을 이용해서 벌금 요구 등의 명목으로 현금을 요구하는 형태가 해외 각지에서 다수 보고되고 있다.
사회기반시설 타깃 악성파일 변종 ‘플레임(Flame)’
특정 국가의 사회기반시실(발전소, 교통 등)의 정상적인 사용을 방해하고 국가 내부 중요시설 정보를 은밀히 수집하기 위한 목적 등으로 개발 된 스턱스넷, 두쿠(Duqu)의 또 다른 변종인 플레임(Flame) 악성파일이 발견됐다.
해당 악성파일은 2010년 이전부터 활동한 것으로 추정되며, 컴퓨터 화면 기록, 특정대상 시스템에 대한 정보, 저장된 파일, 연락처 데이터, 컴퓨터 주변 대화내용 녹취 등 각종 기밀 정보를 탈취하도록 설계돼 있다.
