전문화&상업화된 사이버 범죄 급증 - 시만텍 인터넷 보안 위협 보고서 12호

2007-09-18 18:32
이성복 기자

polabear@bodnara.co.kr

인프라스트럭처 소프트웨어 부문을 선도하는 시만텍코리아(대표 윤문석, www.symantec.co.kr)는 전세계 인터넷 보안 위협에 대한 가장 포괄적인 정보를 제공하는 '인터넷 보안 위협 보고서(Internet Security Threat Report)' 제 12호를 발표하는 기자간담회를 개최하였다. 참고로 이번 보고서는 2007년 1월 1일부터 6월 30일까지의 전세계 보안 위협 동향을 조사한 최신 보고서이다.

최신 '인터넷 보안 위협 보고서'를 통해, 시만텍은 해커들이 점점 더 전문화되고 상업화된 방식으로 악성 코드 및 서비스를 개발, 배포하고 사용하고 있다고 밝혔다. 사이버 범죄자들은 계속해서 금전적인 이득을 목표로 하고 있으며, 더욱 전문적인 공격 방법, 툴, 전략을 활용해 악성 활동을 하고 있다. 특히 2007년 상반기에 보고된 사이버 악성 활동 중 4%가 포춘 100대 기업의 IP 주소에서 발생하는 등, 해커들은 사용자들이 안전할 것이라고 신뢰하는 온라인 환경을 이용해 간접 공격을 실행하는 방식을 택하고 있는 것으로 드러났다. 또한 시만텍은 1차 감염된 컴퓨터에 계속해서 추가 악성 코드를 설치할 수 있도록 만드는 다단계 공격 방식 역시 증가하고 있다고 밝혔다.

1. 더욱 전문화되고 상업화된 사이버 범죄

2007년 상반기 조사 기간 동안, 시만텍은 악성 공격을 실행하기 위해 매우 정교한 툴 킷을 사용하는 사이버 범죄자들이 증가하고 있다는 사실을 관찰할 수 있었다. 이러한 전략 변화의 좋은 예가 바로 M팩(MPack)으로, 암시장에서 거래되는 공격 툴킷이다. 일단 구입만 하면, 공격자들은 M팩에 들어있는 소프트웨어 구성 요소들을 사용해서 전세계 수천 대의 컴퓨터에 악성 코드를 설치할 수 있으며, 비밀번호로 보호되는 온라인 상의 제어관리 창을 통해 공격 성공 여부를 관찰할 수 있다. 또한 M팩은 공격자들이 다양한 악성 활동을 통합해 보다 정교하고 조직적인 공격을 하고 있다고 보고한 '인터넷 보안 위협 보고서' 제 11호의 내용을 다시 한 번 증명하는 예이기도 하다.

공격자들이 자동으로 실제 웹 사이트를 모방한 피싱 웹 사이트를 개설할 수 있도록 도와주는 여러 스크립트를 제공하는 피싱 툴 킷 역시 전문적이고 상업화된 사이버 범죄에 이용되고 있다. 2007년 상반기 중에 발생한 피싱 공격 중 42%가 단 3개의 피싱 툴 킷으로 인해 발생한 것이었다.

2. 사용자들이 안전성을 신뢰하고 있는 웹 사이트에 대한 공격 비율 급증

2007년 상반기 조사 기간 동안, 시만텍은 공격자들이 이미 사용자들이 그 안전성을 신뢰하고 있는 웹 사이트를 먼저 공격함으로써 간접적으로 일반 사용자들을 공격하는 것을 탐지했다. 이러한 웹 사이트에는 널리 사용되고 있는 금융, 인맥 혹은 인재 채용 웹 사이트 등이 포함된다. 이러한 공격 경향은 포춘100대 기업의 IP에서 발생한 악성 행위 통계에서도 드러났다. 2007년 상반기에 보고된 사이버 악성 활동 중 4%가 포춘 100대 기업의 IP 주소에서 발생했으며, 이 악성 활동에는 봇 감염 컴퓨터, 피싱 웹 사이트, 스팸 좀비와 인터넷 공격 등이 포함된다. 또한 이번 조사 기간 동안 공개된 모든 취약점 중 61%가 웹 애플리케이션 취약점으로, 웹 사이트를 통한 간접 공격이 사이버 범죄자들에게 보다 좋은 기회를 제공할 수 있음을 보여준다.

먼저 이러한 웹 사이트가 감염되고 나면 사이버 범죄자들은 이 사이트를 악성 프로그램을 배포하는 진원지로 사용할 수 있으며, 이를 이용해 각 개인의 컴퓨터를 감염시키게 된다. 이러한 공격 방법을 통해 사이버 범죄자들은 자신이 공격 타겟을 찾아 나서지 않고도 사용자들이 스스로 공격에 걸려들도록 만들 수 있다. 인맥 사이트의 경우 해당 사이트의 내용과 보안 수준을 신뢰하는 많은 수의 사용자에게 접근할 수 있기 때문에 더욱 위험하다고 할 수 있다. 특히, 이러한 웹 사이트들은 명의 도용, 온라인 사기나 또 다른 공격을 감행할 수 있는 다른 웹 사이트 접근에 사용 가능한 사용자 기밀 정보를 대량으로 노출시킬 수 있다.

3. 다단계 방식 공격의 증가

시만텍은 2007년 상반기에 다단계 방식의 공격이 증가하고 있음을 관찰할 수 있었다. 다단계 공격은 일단 악성 행위를 즉시 실행하지는 않지만, 추가적인 다른 공격을 설치하는데 사용된다. 이러한 다단계 공격의 예가 바로 단계별 다운로더(Staged Downloader)다. 단계별 다운로더는 감염된 컴퓨터에 공격자의 목적에 따른 다양한 추가 악성 코드를 설치할 수 있도록 한다. 이번 '인터넷 보안 위협 보고서'에 따르면, 2007년 상반기 상위 50개의 악성 코드 샘플 중 28개가 바로 이 단계별 다운로더였다. 스톰 웜(Storm Worm)으로 잘 알려진 Peacomm Trojan 역시 단계별 다운로더 트로이 목마로, 이번 조사 기간 동안 가장 많이 보고된 신규 악성 코드군에 올랐다. 또한 M팩의 경우, 공격 툴 킷이면서 동시에 단계별 다운로더 구성 요소를 가진 다단계 공격의 예이기도 하다.

4. 기타 주요 내용

지하 경제 서버에서 가장 판매 광고가 많이 올라온 것은 신용카드 정보로, 22%의 비중을 차지했다. 은행 계좌 번호가 21%로 그 뒤를 이었다.
시만텍은 2007년 상반기에 웹 브라우저 플러그-인에서 237개의 취약점을 발견했다. 이는 2006년 상반기의 34개, 하반기의 74개에 비해 크게 증가한 수치다.
상위 50개의 악성 코드 샘플 중 온라인 게임을 타겟으로 한 것이 5%를 차지했다. 온라인 게임은 가장 활발한 인터넷 활동 중 하나로 떠오르고 있으며 실제 돈으로 구매할 수 있는 물건이 게임 상에 존재하는 경우가 많기 때문에 공격자들이 금전적인 이득을 얻을 수 있는 잠재적인 기회를 제공한다.
모니터링된 모든 이메일 트래픽의 61%가 스팸이었으며, 이는 2006년 하반기의 59%에 비해 약간 증가한 수치다.
명의 도용 사고로 이어질 수 있는 데이터 유출 사고의 46%가 컴퓨터나 다른 데이터 저장 장치의 분실이나 도난이 원인이었다. 이와 유사하게, 시만텍의 'IT 리스크 관리 리포트 (IT Risk Management Report)'는 58%의 기업들이 최소 5년에 한 번씩 심각한 수준의 데이터 손실 사고가 발생할 것으로 예상하고 있다고 밝힌바 있다.

▲ 보고기간동안 하루평균 52,771개의 활성화된 봇 네트워크 확인
전세계 봇 감염 컴퓨터 수는 5,029,309개로 작년 하반기 대비 17% 감소
미국은 가장 많은 명령-제어 서버 보유, 중국은 전세계 감염 컴퓨터중 29%차지

▲ MS는 패치되지 않은 취약점을 가장 많이 보유한 벤더로 2006년 하반기
75개에 비해 감소한 결과를 보여주고 있다.

▲ 2007년 상반기동안 212,101건의 신종 악성 코드가 확인됨.
이는 2006년 하반기에 비해 185% 증가된 결과로 단계별 다운로더와
같은 신종 트로이 목마의 증가로 인한 결과로 볼 수 있다.

※ 시만텍 '인터넷 보안 위협 보고서'에 대해

시만텍 '인터넷 보안 위협 보고서'는 매 6개월마다 발표되는 인터넷 위협 동향 보고서로, 이번 제 12호 보고서는 2007년 1월 1일부터 6월 30일까지 6개월 간의 조사 결과와 앞으로의 전망을 다루고 있다. 시만텍 '인터넷 보안 위협 보고서'는 전세계 180개 이상의 국가의 4만개 이상의 센서로부터 수집된 데이터와 8천여 벤더의 5만개 이상의 기술에 영향을 미치는 2만 2천여 가지의 취약점 데이터베이스를 기반으로 하여 작성된다. 또한 시만텍은 전세계 20개 국가에서 이메일을 유인하는 2백만 개 이상의 디코이 계정을 분석해 전세계 스팸 및 피싱 활동을 파악하고 있다. 시만텍 '인터넷 보안 위협 보고서'의 전체 원문은 추가 통계 및 상세 내용을 담고 있으며 www.symantec.com/threatreport/에서 다운로드가 가능하다. 또한 멀티미디어 자료는 www.thenewsmarket.com/symantec에서 다운로드 할 수 있다.

이 기사의 의견 보기

godanhan (ID) / 07-09-18 19:23/ 신고

뭐든지 알면 심각한거죠. 모르고 사용하면 아무런 이상도 없을것을 괜히 부추기는 면도 없지 않아 있어 보입니다.

tksto3299 (ID) / 07-09-18 22:29/ 신고

저같은 사람은 보안에 필요성이 별로없을텐니 그냥 신경안쓰는게 좋을듯하네요.

hanaro (ID)