(서울=뉴스와이어) 2008년07월10일-- 글로벌 통합보안 기업인 안철수연구소(대표 오석주 www.ahnlab.com)는 최근 ‘시큐리티대응센터 리포트’에 올해 상반기 7대 보안 이슈를 발표했다.
이 보고서에 따르면 올해 상반기에 국내에서 새로 발견된 악성코드 및 스파이웨어는 10,580개로 전년 동기 4,376개 대비 2.4배 증가했다. 종류별로는 트로이목마가 2.7배 급증했으며 스파이웨어도 2.1배 증가했다. 이렇게 급증한 이유는 악성코드를 손쉽게 제작하고, 만들어진 악성코드로 자동 공격할 수 있는 툴들이 지속적으로 제작, 공유됨에 따른 것으로 분석된다. 이는 돈을 노린 범죄화 경향과 밀접한 관련이 있다. 해커들은 은밀하고 조직적으로 특정 시스템이나 조직을 겨냥한 국지적 공격으로 금전적 이익을 취하고 있는 실정이다.
또한 7대 보안 이슈로는 웹 통한 악성코드 설치 유도하는 ARP 스푸핑 기승, 특정 애플리케이션 취약점을 악용하는 악성코드 급증, 검색 엔진을 이용한 자동화된 SQL 인젝션 급증, 스파이웨어의 악성화, 전통적인 악성코드 감염 기법 증가, 스피어 피싱(Spear Phishing) 급증, 플로그(Splog)의 등장과 블로그를 이용한 스팸의 악성화 등을 들었다.
1) 웹 통한 악성코드 설치 유도하는 ARP 스푸핑 기승
2007년 상반기에 확산되어 많은 피해를 준 ARP(Address Resolution Protocol; 주소결정 프로토콜) 스푸핑이 6월에 다시 발생해 큰 피해를 일으켰다. ARP 스푸핑 공격을 당한 PC는 동일 IP 대역폭에 있는 모든 PC의 ARP 값을 변조한다. 이후 정상적인 PC가 인터넷 익스플로러로 웹사이트에 접속할 때, 감염된 PC를 먼저 거친 후 웹사이트에 접속하게 되며, 이때 악성코드를 내려받는다. 최근에는 이러한 ARP 스푸핑을 악용하는 악성코드를 자동으로 제작해주는 자동화 툴이 널리 공유되어 다수의 변종이 만들어져 피해가 커지고 있다.
2) 특정 애플리케이션 취약점을 악용하는 악성코드 급증
최근 공격 유형은 윈도 시스템 관련 취약점보다는 대중적으로 사용되는 특정 애플리케이션으로 집중되는 현상을 보이고 있다. 특히 중국발 악성코드 제작 도구를 이용하여 대량 생산되고 있다. SWF, ARP, PDF, 오피스 관련 취약점 및 네트워크 공격 도구들이 엄청난 피해를 주고 있고 앞으로도 이러한 현상은 상당 기간 지속될 것으로 예상된다. 이같은 피해를 줄이려면 시스템 보안 패치 외에도 사용자 시스템에 설치된 수많은 애플리케이션들에 대한 점검이 필요하다.
3) 검색 엔진을 이용한 자동화된 SQL 인젝션 급증
검색 엔진을 통해 공격 대상을 수집하고, 취약한 웹 서버와 연계된 데이터베이스의 모든 테이블에 악성 스크립트를 삽입할 수 있도록 설계된, 자동 SQL 인젝션 툴을 이용한 공격이 많이 발생했다. SQL 인젝션 공격을 받은 웹사이트는 데이터가 손상되는 피해를 입게 되며, 해당 웹사이트에 접속한 PC에는 악성 스크립트가 실행되어 특정 웹사이트로 연결되어 악성코드를 내려받게 된다.
4) 스파이웨어의 악성화
악성코드를 다운로드하는 프로그램을 숨기거나 스파이웨어의 삭제를 방해하는 기능을 가진 것들 것이 많이 발견되었다. 또한 분석 도구의 실행을 방해하고 분석을 어렵게 하는 스파이웨어가 다수 발견되었다.
5) 전통적인 악성코드 감염 기법 증가
도스(DOS) 시절의 전통적인 방법을 사용하는 악성코드가 증가해 큰 이슈가 되었다. 이러한 악성코드는 운영체제가 작동하기 전 자신이 먼저 실행되고, 파일이나 레지스트리 어디에도 존재하지 않는 것이 특징이다. 이 때문에 일반 사용자들이 감염 여부를 알기가 매우 어렵다. 또한 진단/치료하기가 매우 까다롭다.
6) 스피어 피싱(Spear Phishing) 급증
스피어 피싱은 특정 조직에 신뢰할 만한 발신인으로 위장해 메일을 보내 가짜 사이트로 유도하여 악성코드 설치 및 아이디와 비밀번호 입력을 유도하는 것이다. 취약점이 담긴 문서 파일을 보내 실행을 유도하기도 하는 일종의 피싱 공격이다. 최근 들어 일반인보다는 특정 기업 및 조직 내 특정 인물이나 그룹과 같이 목표를 정해 공격하는 경우가 급증했다.
7) 스플로그(Splog)의 등장과 블로그를 이용한 스팸의 악성화
블로그(Blog)가 1인 미디어로 자리잡자 광고나 스파이웨어 배포 수단으로 악용하는 ‘스플로그(Spam + Blog)’가 급증했다. 인기 검색어를 이용해 검색 엔진을 통해 방문을 유도하고 스파이웨어를 설치하거나 광고를 전달하는 것이다. 댓글이나 트랙백을 이용한 블로그 스팸의 경우 과거에는 영문에 국한됐으나, 최근에는 스팸 필터를 우회하기 위해 한글이나 다른 언어로도 등록되고 있다.
이 밖에 상반기 동안 피해를 일으킨 것으로 대표적인 중국산 악성코드인 디스크젠(Win32/Diskgen)과 동영상 코덱으로 위장하여 성인사이트 중심으로 확산되는 스파이웨어 즐롭(Win-Spyware/Zlob)의 변형이 확산된 것이 특기할 만하다. 즐롭에 감염되면 툴바 설치, 허위 경고 메시지 노출, 허위 안티스파이웨어 프로그램 설치 등의 증상이 나타난다.
안철수연구소 시큐리티대응센터 조시행 상무는 “상반기에 나타난 보안 위협의 공통적인 특징은 예전처럼 금전적인 이득을 취하는 목적이 변하지 않고 지속되고 있다는 것이다. 그로 인해 악성코드의 숫자가 급증하고 있다. 또한 특정 목표를 정해 공격하는 국지적인 특성을 가지며 악성코드, 스파이웨어, 피싱, 해킹 등과 같이 다수의 위협이 동시에 피해를 준다. 악성코드가 거래되는 사이버 암시장이 형성되어 있을 정도로 조직적인 범죄와 연결되어 있다. 따라서 기술력과 체계적인 긴급 대응 시스템을 갖춘 보안 전문 업체의 역할이 더욱 중요해지고 있다”라고 말했다.
이 보고서에 따르면 올해 상반기에 국내에서 새로 발견된 악성코드 및 스파이웨어는 10,580개로 전년 동기 4,376개 대비 2.4배 증가했다. 종류별로는 트로이목마가 2.7배 급증했으며 스파이웨어도 2.1배 증가했다. 이렇게 급증한 이유는 악성코드를 손쉽게 제작하고, 만들어진 악성코드로 자동 공격할 수 있는 툴들이 지속적으로 제작, 공유됨에 따른 것으로 분석된다. 이는 돈을 노린 범죄화 경향과 밀접한 관련이 있다. 해커들은 은밀하고 조직적으로 특정 시스템이나 조직을 겨냥한 국지적 공격으로 금전적 이익을 취하고 있는 실정이다.
또한 7대 보안 이슈로는 웹 통한 악성코드 설치 유도하는 ARP 스푸핑 기승, 특정 애플리케이션 취약점을 악용하는 악성코드 급증, 검색 엔진을 이용한 자동화된 SQL 인젝션 급증, 스파이웨어의 악성화, 전통적인 악성코드 감염 기법 증가, 스피어 피싱(Spear Phishing) 급증, 플로그(Splog)의 등장과 블로그를 이용한 스팸의 악성화 등을 들었다.
1) 웹 통한 악성코드 설치 유도하는 ARP 스푸핑 기승
2007년 상반기에 확산되어 많은 피해를 준 ARP(Address Resolution Protocol; 주소결정 프로토콜) 스푸핑이 6월에 다시 발생해 큰 피해를 일으켰다. ARP 스푸핑 공격을 당한 PC는 동일 IP 대역폭에 있는 모든 PC의 ARP 값을 변조한다. 이후 정상적인 PC가 인터넷 익스플로러로 웹사이트에 접속할 때, 감염된 PC를 먼저 거친 후 웹사이트에 접속하게 되며, 이때 악성코드를 내려받는다. 최근에는 이러한 ARP 스푸핑을 악용하는 악성코드를 자동으로 제작해주는 자동화 툴이 널리 공유되어 다수의 변종이 만들어져 피해가 커지고 있다.
2) 특정 애플리케이션 취약점을 악용하는 악성코드 급증
최근 공격 유형은 윈도 시스템 관련 취약점보다는 대중적으로 사용되는 특정 애플리케이션으로 집중되는 현상을 보이고 있다. 특히 중국발 악성코드 제작 도구를 이용하여 대량 생산되고 있다. SWF, ARP, PDF, 오피스 관련 취약점 및 네트워크 공격 도구들이 엄청난 피해를 주고 있고 앞으로도 이러한 현상은 상당 기간 지속될 것으로 예상된다. 이같은 피해를 줄이려면 시스템 보안 패치 외에도 사용자 시스템에 설치된 수많은 애플리케이션들에 대한 점검이 필요하다.
3) 검색 엔진을 이용한 자동화된 SQL 인젝션 급증
검색 엔진을 통해 공격 대상을 수집하고, 취약한 웹 서버와 연계된 데이터베이스의 모든 테이블에 악성 스크립트를 삽입할 수 있도록 설계된, 자동 SQL 인젝션 툴을 이용한 공격이 많이 발생했다. SQL 인젝션 공격을 받은 웹사이트는 데이터가 손상되는 피해를 입게 되며, 해당 웹사이트에 접속한 PC에는 악성 스크립트가 실행되어 특정 웹사이트로 연결되어 악성코드를 내려받게 된다.
4) 스파이웨어의 악성화
악성코드를 다운로드하는 프로그램을 숨기거나 스파이웨어의 삭제를 방해하는 기능을 가진 것들 것이 많이 발견되었다. 또한 분석 도구의 실행을 방해하고 분석을 어렵게 하는 스파이웨어가 다수 발견되었다.
5) 전통적인 악성코드 감염 기법 증가
도스(DOS) 시절의 전통적인 방법을 사용하는 악성코드가 증가해 큰 이슈가 되었다. 이러한 악성코드는 운영체제가 작동하기 전 자신이 먼저 실행되고, 파일이나 레지스트리 어디에도 존재하지 않는 것이 특징이다. 이 때문에 일반 사용자들이 감염 여부를 알기가 매우 어렵다. 또한 진단/치료하기가 매우 까다롭다.
6) 스피어 피싱(Spear Phishing) 급증
스피어 피싱은 특정 조직에 신뢰할 만한 발신인으로 위장해 메일을 보내 가짜 사이트로 유도하여 악성코드 설치 및 아이디와 비밀번호 입력을 유도하는 것이다. 취약점이 담긴 문서 파일을 보내 실행을 유도하기도 하는 일종의 피싱 공격이다. 최근 들어 일반인보다는 특정 기업 및 조직 내 특정 인물이나 그룹과 같이 목표를 정해 공격하는 경우가 급증했다.
7) 스플로그(Splog)의 등장과 블로그를 이용한 스팸의 악성화
블로그(Blog)가 1인 미디어로 자리잡자 광고나 스파이웨어 배포 수단으로 악용하는 ‘스플로그(Spam + Blog)’가 급증했다. 인기 검색어를 이용해 검색 엔진을 통해 방문을 유도하고 스파이웨어를 설치하거나 광고를 전달하는 것이다. 댓글이나 트랙백을 이용한 블로그 스팸의 경우 과거에는 영문에 국한됐으나, 최근에는 스팸 필터를 우회하기 위해 한글이나 다른 언어로도 등록되고 있다.
이 밖에 상반기 동안 피해를 일으킨 것으로 대표적인 중국산 악성코드인 디스크젠(Win32/Diskgen)과 동영상 코덱으로 위장하여 성인사이트 중심으로 확산되는 스파이웨어 즐롭(Win-Spyware/Zlob)의 변형이 확산된 것이 특기할 만하다. 즐롭에 감염되면 툴바 설치, 허위 경고 메시지 노출, 허위 안티스파이웨어 프로그램 설치 등의 증상이 나타난다.
안철수연구소 시큐리티대응센터 조시행 상무는 “상반기에 나타난 보안 위협의 공통적인 특징은 예전처럼 금전적인 이득을 취하는 목적이 변하지 않고 지속되고 있다는 것이다. 그로 인해 악성코드의 숫자가 급증하고 있다. 또한 특정 목표를 정해 공격하는 국지적인 특성을 가지며 악성코드, 스파이웨어, 피싱, 해킹 등과 같이 다수의 위협이 동시에 피해를 준다. 악성코드가 거래되는 사이버 암시장이 형성되어 있을 정도로 조직적인 범죄와 연결되어 있다. 따라서 기술력과 체계적인 긴급 대응 시스템을 갖춘 보안 전문 업체의 역할이 더욱 중요해지고 있다”라고 말했다.
안철수연구소 소개
안철수연구소(www.ahnlab.com)는 1995년 3월 창립되어 국내 백신 전문 기업에서 글로벌 통합보안 솔루션 개발 기업(Integrated Security Solution Developer)으로 성장하고 있다. 통합보안 솔루션과 통합보안 관리 솔루션을 비롯해 안티바이러스 V3 제품군, 악성 코드 사전 방역 서비스, 보안 ASP 등 정보 네트워크 시대 최적의 보안 솔루션을 개발 공급하고 있으며 정보통신부지정 정보보호 컨설팅 전문업체로서 보안 컨설팅도 제공하고 있다. 안철수연구소는 세계적 기술력을 보유한, 국내 보안 업계에서 가장 오랜 역사와 가장 큰 규모를 가진 업체이다. 세계적으로 정보보안 시장이 형성되기 시작한 1988년부터 쌓은 안티바이러스 노하우를 기반으로 보안 분야를 개척해왔으며, 설립 이래 꾸준한 매출 성장을 보여 국내 보안 업계 선두를 유지하고 있다.
언론문의처 : 안철수연구소 커뮤니케이션팀 황미경 차장 2186-6033 이병철 대리 2186-7955
출처 : 안철수연구소
홈페이지 : http://www.ahnlab.com
'보안' 카테고리의 다른 글
소프트웨어 웹방화벽 닷디펜더 (0) | 2008.08.27 |
---|---|
[세미나안내] DDos 공격의 최근 사례부터 효과적인 대비책까지 (1) | 2008.07.10 |
SQL Injection 취약점 + ARP Spoofing 변종 공격 지속 (0) | 2008.07.09 |
윈도우 서버 보안관리를 위한 설정 방법 (0) | 2008.06.02 |
속수무책인 웹해킹 그리고 이에 대한 방어책 (0) | 2008.05.31 |