시만텍사는 9월 26일 서울 조선호텔에서 인터넷 보안 위협 보고서 10호를 발표했다. 인터넷 보안 위협 보고서는 보안 업계 중에서 시만텍만이 내놓는 바이러스 동향 분석 보고서로서, 전세계에서 진행되고 있는 위협을 널리 알리고자 만들었다.

　

　최신 ‘인터넷 보안 위협 보고서’를 통해 시만텍은 개인 사용자들이 공격자들에게 잠재적인 명의 도용 대상으로 떠오르고 있으며, 더 많은 타겟 공격이 명의 도용, 사기 및 다른 금전적 이득을 노린 범죄를 위해 사용되고 있다고 전했다. 이는 개인 사용자가 사용하고 있는 컴퓨터들은 다른 컴퓨터들에 비해 보안 위협에 대응할 수 있는 대응책이 미비한 경우가 많기 때문인 것으로 분석됐다. 더 나아가, 공격자들은 보안 제품의 탐지를 피하면서 시스템에서 오래 머물러 기밀 정보를 훔칠 시간을 더 길게 벌고, 마케팅 목적을 위해 컴퓨터를 탈취하거나, 금전적인 이득을 위해 기밀 정보를 빼낼 수 있는 다양한 기법을 사용하고 있다.

　이번 ‘인터넷 보안 위협 보고서’는 공격자들이 보안 제품의 탐지를 피하는 것뿐만 아니라 정보를 훔쳐 이익을 얻을 기회를 극대화하기 위해 설계된 악성 코드를 활용하여 개인 사용자를 공격하고 있음을 제시하고 있다. 개인 사용자들은 전체 공격 대상의 86%를 차지하면서 금융 서비스 산업을 누르고 가장 큰 공격 대상으로 떠올랐다. 시만텍은 클라이언트 애플리케이션을 대상으로 한 공격과 은밀한 공격 실행을 위한 기법이 증가하고 있음을 발견했다. 특히, 대량으로 널리 유포되는 웜의 형태에서 벗어나, 사기, 데이터 도용, 범죄 행위를 위한 더 작고 타겟화된 공격으로 위협 동향이 변화하고 있음을 감지했다.
　

　

　시만텍코리아의 윤문석 사장은 “공격자들은 개인 사용자들을 보안 위협과 관련해 방어 대응책이 가장 약한 대상으로 보고 있으며, 따라서 이득을 얻기 위해 지속적으로 이들을 공격하고 있다”고 지적하면서 “광범위한 분야를 포괄하는 과학적인 보고서를 통해 시만텍은 인터넷 보안 위협 요인에 대한 깊은 통찰을 제공하고 이와 동시에 사용자들의 보안 우려를 최소화할 수 있는 대응책을 제시하고 있다”라고 전했다.

　

　

　

데스크탑 대상 공격 증가
　소프트웨어 업체 및 기업들이 변화하는 위협 환경에 성공적으로 대응함에 따라, 공격자들은 웹 브라우저, 이메일 클라이언트 및 기타 데스크탑 프로그램과 같은 클라이언트단의 프로그램을 악성 코드로 공격하는 등 새로운 방법을 쓰기 시작했다. 2006년 상반기 조사 기간 동안 웹 프로그램 취약점은 전체 취약점 통계의 69%를 차지했다. 웹 브라우저 취약점의 경우 모질라 브라우저는 47개의 취약점이 발견됐으며, 마이크로소프트 인터넷 익스플로러와 애플 사파리는 각각 38개와 12개의 취약점이 발견됐다. 2005년 하반기에는 모질라 브라우저가 17개, 마이크로소프트 인터넷 익스플로러는 25개, 애플 사파리는 6개의 취약점을 각각 기록하여 2006년 상반기에 취약점이 큰 폭으로 증가했음을 알 수 있다.

　

▲ 전세계에 분포되어있는 시만텍 글로벌 인텔리전스 네트워크로 180여개국의 4만여개가 등록되어있다.

　

▲ 2006년 6월까지 공격적 성향을 지닌 봇 바이러스에 대한 동향으로 중국이 가장 많은 감염률을 보였다.

　

▲ 서비스 거부(DoS:Denial of Service) 공격이 하루 평균 6,110건으로 확인되고 1월보다 6월이 3,500건이 증가되었다. 가장 공격 회수가 높은 달은 3월로 8,000건이 기록 되었다. DoS 공격이 가장 많았던 나라로는 미국으로 꼽혔다.

　

▲ 전세계 중에서 가장 공격이 많이 발생되는 국가로는 미국으로 전체 100%중 37%에 해당된다. 미국은 브로드밴드 사용자의 급증으로 보안 공격 수가 빠르게 늘어났다. 중국은 10%로 증가했다.

　

▲ 보안 공격 목표로는 인터넷 익스플로러가 다른 프로그램보다 가장 높았고, 취약점은 모질라보다 낮은 것으로 보고되었다. 또한, 여러 브라우저를 동시 공격하기도해 보안에 대한 심각성이 들어나고 있다.

　

▲ 업계들의 보고와 외부 확인 취약점을 모두 포함해 모질라가 가장 많은 47건의 취약점이 기록되었다. 두 번째로는 인터넷 익스플로러가 38건으로 기록되었다. 이전 통계보다 취약점이 52%나 증가했다.

　

▲ 보고된 취약점 가운데 69%가 웹 프로그램에 관련된 취약점이다. 전체 취약점 중에서 80%가 쉽게 공격 가능한 유형으로 분류되었다. 이 중 가장 많은 비중을 차지한 것은 웹 프로그램으로 개발 사이클의 가속화, 보안 코딩 관행의 완화, 취약점의 복잡성 감소 등으로 인한 결과로 볼 수 있다는 보고다.

　

보안 제품의 탐지를 피하기 위한 기법 증가
　이번 ‘인터넷 보안 위협 보고서’ 조사 기간 동안 시만텍이 발견한 모든 고유 악성 코드 샘플 중 18%가 이전까지는 존재하지 않았던 새로운 형태의 샘플이었다. 이러한 데이터는 공격자들이 시그너처 기반의 안티바이러스와 침입 탐지/방지 시스템의 탐지를 피하기 위한 시도를 활발하게 진행하고 있음을 의미한다.

　피싱(Phishing) 공격자인 피셔(Phisher) 역시 필터링 기술을 우회하기 위해 다양한 무작위 메시지를 생성하고, 이를 광범위하고 통제되지 않은 방식으로 유포하고 있다. 2006년 상반기 동안, 시만텍은 157,477개의 고유 피싱 메시지를 감지했으며, 이는 지난 제9호 보고서 통계에 비해 81%나 증가한 수치다. 이와 동시에, 모니터링 된 이메일 트래픽 중 54%가 스팸이었으며, 지난 보고 기간의 50% 보다 증가한 수치를 기록했다. 대부분의 스패머들은 스팸 메시지에서 악성 코드를 없애 필터링될 확률을 낮추는 대신, 악성 코드를 포함한 웹 사이트 링크를 메시지에 집어넣는 방식을 쓰고 있다.

　

▲ 주요 10종 악성 코드군 중 다형성을 지닌 Polip는 1위로 파일 공유, P2P의 경로를 이용한 바이러스다. Bomka는 루트킷(rootkit) 테크닉을 이용한 클릭 사기 트로이, 백도어 바이러스다. Bomka는 자신의 PC에 악성 코드가 몇 개 발견되었다고 메시지로 알리면서 치료를 하도록 유도해 악성 코드를 설치하는 방식으로 과거 우리나라에서도 애드웨어 치료 프로그램이 많이 쓰던 수법이다.

　

악성 공격 활동의 가장 큰 동기는 금전적 이득
　이번 ‘인터넷 보안 위협 보고서’에서 금전적인 이득은 여전히 많은 보안 위협 행위의 동기가 됐다. 예를 들어, 봇 네트워크는 악성 코드 유포에 쓰일 수 있을 뿐만 아니라 스팸이나 피싱 메시지 발송, 애드웨어 및 스파이웨어 다운로드, 조직/기업 공격, 그리고 기밀 정보 수집 등에 사용될 수 있다. 금번 조사 기간 동안, 시만텍은 6개월간 4천6백만 개가 넘는 개별 봇 네트워크 컴퓨터의 활동을 탐지했으며, 하루에 57,717개의 활동 중인 봇 네트워크를 발견했다. 봇 네트워크는 흔히 서비스 거부 공격에 사용되기도 하는데, 이는 기업 내부의 커뮤니케이션을 붕괴시키고 큰 손실을 가져오며, 기업의 명성과 가치를 손상시키는 것은 물론 범죄적인 갈취 행위에 기업을 노출시키게 된다. 이번 조사 기간 동안 시만텍은 하루 평균 6,110 건의 서비스 거부 공격을 발견했다.

　금전적 이득을 동기로 한 또 다른 공격 유형은 대상 호스트에 거점을 세우고 더 공격적인 위협을 다운로드 하거나 그 자신을 업데이트 하여 기밀 정보 유출을 시도하는 모듈형 악성 코드 및 악성 소프트웨어를 사용한다. 상위 50개의 악성 코드 샘플 중 79%는 모듈화된 악성 코드였다. 또한, 상위 50개의 악성 코드 샘플 중 30개가 기밀 정보를 유출하는 기능을 가지고 있었다.

　시만텍은 이번 보고서에서 처음으로 피싱 공격의 타겟이 되는 산업별 브랜드를 분석했다. 그 결과 피싱 공격의 주된 타겟은 금전적 이득을 노린 금융 서비스 부문으로 나타났다. 시만텍 피시 리포트 네트워크(Symantec Phish Report Network) 및 시만텍 브라이트메일 안티스팸(Symantec Brightmail AntiSpam)에 의해 추적된 피싱 사이트 중 84%를 금융 서비스 부문이 차지했다.
　

▲ 1월부터 6월 30일까지 보고된 기간 동안 스팸 메일의 비중은 54%로 지난 보고 때보다 4% 증가했다. 건강 관련 스팸이 전체 26%로 1위를 차지했으며, 성인 스팸이 22%로 2위를 차지했다. 성인 관련 스팸이 가장 높은 접근도를 보였다. 하지만, 한국과 캐나다만이 스팸 비율이 감소한 유일한 국가로 기록되어 스팸 근절을 위한 정부의 노력이 눈에 보이는 결과다.

　

추가 주요 시사점
• 취약점 : 시만텍은 2,249개의 새로운 취약점을 발견했으며, 이는 2005년 하반기와 비교해 18% 상승한 수치다. 이러한 수치는 지금까지의 통계 중 최고치다.
• 위협 노출 기간 및 패치 배포 시간 : 기업 및 웹 브라우저가 공격에 노출된 기간은 28일이었으며, 지난 보고서의 50일에 비해 감소했다. 평균 취약점 노출 기간은 마이크로소프트 인터넷 익스플로러의 경우 9일, 애플 사파리는 5일, 오페라는 2일, 모질라는 1일이었다. 2005년 하반기 조사의 경우, 마이크로소프트 인터넷 익스플로러는 25일, 애플 사파리는 0일, 오페라는 18일, 모질라는 -2일이었다. 이번 보고서에서 처음으로, 시만텍은 운영 시스템 업체들이 취약점 패치를 개발하는데 걸리는 평균 시간을 추적했다. 가장 오랜 기간이 걸린 곳은 썬 마이크로시스템즈로 89일이 걸렸으며, 그 다음이 휴렛 패커드로 53일, 애플은 37일, 마이크로소프트 윈도우즈 및 레드햇은 13일이 걸렸다.
• 위장 애플리케이션(Misleading Application) : 2006년 상반기 6개월간, 상위 10개의 신규 보안 리스크 중 3개가 위장 애플리케이션이었다. 이러한 애플리케이션들은 사용자 시스템의 보안 위협에 대한 가짜 혹은 과장된 리포트를 제시하여 사용자로 하여금 ‘위협’으로 보고된 사항을 제거할 수 있는 제품의 구매 혹은 업그레이드를 위해 돈을 지불하도록 유도한다.
• 서비스 거부 공격(Denial-of-Service Attacks) : 미국은 가장 큰 서비스 거부 공격 타겟으로 조사됐으며, 전세계 통계의 54%를 차지했다. 또한 인터넷 서비스 제공자(ISP) 분야가 가장 많은 서비스 거부 공격을 받았다. 미국은 전세계 봇 네트워크 명령-제어 서버 통계에서도 42%를 차지해 1위에 올랐으며, 중국은 전세계 봇 감염 컴퓨터의 20%를 차지하면서 가장 높은 비율을 기록했다.
• 향후 위협 전망 : 향후 일어날 수 있는 위협 동향으로 시만텍은 다형성 기술(polymorphism) 및 기타 보안 제품의 탐지를 피하기 위한 기법이 Win32 악성 코드에서 다시 부활할 것으로 예상하고 있다. 또한 사용자 기반 퍼블리싱이나 AJAX 등의 기술과 같은 “웹 2.0” 컨셉트를 공격하는 위협이 증가할 것으로 보고 있으며, 윈도우즈 비스타 출시에 따른 보안 이슈 발생, 소프트웨어 코드의 취약점을 찾도록 설계된 스크립트나 프로그램 ‘Fuzzer’의 사용에 따른 취약점 보고가 증가할 것으로 예상하고 있다.