“악성코드 배포에 악용된 웹사이트, 올해 2천개 넘어”
2007. 12. 23 뉴스와 분석 |
올 11월까지 새로 발견된 악성코드(바이러스, 웜, 트로이목마)수가 지난해보다 약 40% 증가한 것으로 나타났다.
안철수연구소가 2007년 1월부터 11월까지 악성코드/스파이웨어 동향을 분석한 결과에 따르면 이 기간에 새로 발견된 악성코드수는 지난해 같은기간보다 39.1%나 증가한 5천599개에 달했다. 스파이웨어는 11.7%나 늘어난 6천36개가 새로 발견됐다.
악성코드의 스타일도 보다 지능적이고 교모하게 변모했다. 안연구소는 ▶공격의 국지성 심화를 비롯해 ▶ ‘사이버 블랙 마켓’을 통한 대가성 범죄 급증 ▶웹사이트 해킹 심화 ▶허위 안티스파이웨어 급증 ▶좀비 PC를 만드는 봇넷(BotNet) 기승 ▶이동저장장치 노린 악성코드 기승 ▶스파이웨어 전파 방법의 지능화 ▶악성코드 은폐 기법의 고도화 ▶ARP 스푸핑 해킹 기법과 악성코드의 결합 ▶애플리케이션 취약점 공격 다양화를 2007년 10대 보안 위협 트렌드로 선정했다.
1.공격의 국지성 심화
국지적 공격을 겨냥한 악성코드가 늘고 있다. 악성코드 제작자들이 금전적 이익을 위해 불특정 다수가 아닌 한 국가, 한 회사, 한 커뮤니티 사이트를 겨냥해 웹사이트를 해킹한 후 악성코드를 심는 일이 갈수록 급증하고 있다.
단적인 예로 특정 온라인 게임 사용자 계정을 탈취하는 트로이목마의 경우 올해 1천800개가 발견돼 전년 동기 대비 95.9% 증가했다. (왼쪽<온라인게임 계정탈취 통계표> 참조)
2. 사이버 블랙 마켓통한 대가성 범죄 급증
사이버공간에서 거래되는 가상 재화를 현금으로 교환하는 일이 늘고 있다. 불법으로 재화를 거래하는 소위 ‘사이버 블랙 마켓’도 형성된 것으로 알려졌다.
최근 발생하는 대부분의 보안 위협은 블랙 마켓을 통해 현금을 얻는 데 목적이 있는 것으로 보인다. 블랙마켓에선 신상 정보 및 신용카드 정보, 온라인 게임 계정 등이 거래되며 악성코드도 판매되는 것으로 알려지고 있다. 봇넷이나 피싱, DDoS(분산 서비스 거부) 공격 등도 대가를 받고 해주는 것으로 알려지고 있다. 블랙 마켓은 러시아와 중국에서 가장 활성화돼 있다.
3. 웹사이트 해킹 심화
올해에는 웹사이트가 해킹을 당해 악성코드와 스파이웨어를 유포하거나 해당 웹페이지로 유도하는 역할을 하는 사건사고가 많이 발생했다. 2007년 한해 2천6개 웹사이트가 악성코드/스파이웨어 유포지나 경유지로 이용됐다. 특히 인터넷 뉴스, 포털 사이트 등 방문자 수가 많은 웹사이트가 주된 해킹 대상이었다.
4. 허위 안티스파이웨어 급증
스파이웨어가 느는 것과 비례해 허위 안티스파이웨어도 증가해 큰 피해를 주었다. 악성코드에 감염됐다는 허위 메시지를 보여주고 치료를 유도하는 허위 안티스파이웨어는 2006년 67개가 발견됐으나 2007년 11월 말 현재 186개로 3배 가까이 늘었다.
5. 좀비 PC 만드는 봇넷(BotNet) 기승
2007년 악성 IRC봇 수는 2006년에 비해 다소 감소했다. 하지만 화상채팅 사이트, 게임 아이템 거래 사이트에 대한 DDoS 공격처럼 봇넷을 이용한 공격은 점차 대담해지고 있다. IRC 채널뿐 아니라 P2P를 이용한 공격도 많아졌다.
6. 이동저장장치 노린 악성코드 기승
2007년에는 이동저장장치(USB 플래시 메모리, 이동식 하드디스크)를 통해 전파되는 오토런(Autorun) 웜이 기승을 부렸다. USB 플래시 메모리 사용이 대중화함에 따라 악성코드 제작자들도 이를 노린 것으로 풀이된다. 이를 감안하면 USB 플래시 메모리는 악성코드 전파 경로로만 이용되고 있지만 USB 플래시 메모리에 저장된 공인인증서 등의 정보 자체를 노린 악성코드도 등장할 수 있다.
7. 스파이웨어 전파 방법의 지능화
스파이웨어가 사용자 동의를 거치지 않고도 쉽게 설치될 수 있도록 다양한 지능적인 기법이 동원되고 있다. 다른 프로그램이 설치될 때 사용자 몰래 함께 설치되거나 동영상 플레이어 같은 특정 프로그램이 설치된 후 그 프로그램의 일부인 양 다운로드되기도 한다. 스파이웨어가 설치된 것을 인지하지 못하게 하거나 분석을 어렵게 하는 루트킷(root kit; 해커가 컴퓨터에 침입한 사실을 숨긴 채 관리자용 접근 권한을 획득하는 데 사용하는 도구)을 사용하기도 한다.
8. 악성코드 은폐 기법의 고도화
최근 악성코드들은 보안 제품을 역분석해 진단을 회피하거나 무력화를 시도한다. 예전에는 보안 제품의 프로세스를 종료하거나 파일을 삭제했으나 최근에는 보안 제품이 정상적으로 동작하는 것처럼 보이지만 실제 기능은 중지시켜 사용자가 인지하기 어렵게 하는 기법이 등장하고 있다.
윈도 파일 보호 기능을 기존과 전혀 다른 방법으로 우회해 시스템 파일을 악성코드로 변경하는 기법도 나와 있다. 정상 행위와 악성 행위를 교묘히 섞어 보안 제품이 악의적인 행동을 탐지하지 못하게 하거나 잘못 탐지하도록 유도하는 방법도 쓰이고 있다.
9. ARP 스푸핑 해킹 기법과 악성코드의 결합
ARP 스푸핑(Address Resolution Protocol Spoofing)은 동일 네트워크에 존재하는 공격 대상PC의 IP 주소를 공격자 자신의 랜카드 주소와 연결해 다른 PC에 전달돼야 하는 정보를 가로채는 공격을 말한다. 어떤 PC에 ARP 스푸핑 기능을 가진 악성코드가 설치되면 약간의 조작만으로 동일 구역 내의 다른 PC에 쉽게 악성코드를 설치할 수 있다.
10. 애플리케이션 취약점 공격 다양화
2007년에 나온 MS 보안 패치 중 애플리케이션(오피스, 인터넷 익스플로러, 일반 애플리케이션)가 관련한게 66%를 차지했다. 애플리케이션 취약점을 이용해 악성코드가 포함된 파일을 대량 메일로 전송하거나, 인터넷 익스플로러 취약점을 통해 악성코드를 배포하는 사건이 빈발했다. MS 애플리케이션 취약점뿐 아니라, 애플 맥 OS X, 액티브X, 멀티미디어 플레이어, 이미지 뷰어, 메신저 등 사용자들이 많이 사용하는 애플리케이션들을 위협하는 요소도 늘어난 것으로 나타났다.
[관련글1] 상업화로 치닫는 해킹SW의 은밀한 세계
[관련글2] 시만텍이 보는 2008년 보안위협 3대 키워드
