세상에서 가장 안전한 이름, 안철수연구소

지난 주 필자의 인스턴스 메신저(Instant Messenger)로 후배가 평소와는 다르게 반말로 대화를 걸어왔다. 바로 요즘 유행하고 있는 메신저 피싱이다. 필자만 해도 이런 식으로 돈을 빌려 달라는 메신저 피싱을 4번이나 겪었으니 아마 인스턴스 메신저를 사용하는 대부분의 사용자들은 한번쯤은 겪었을 것으로 보인다. 그림 1. 실제 메신저 피싱 예   이런 피싱 메시지는 주로 갑자기 사고를 당해 합의금을 대신 보내 달라고 하는 식이다. 최근에는 자신의 계좌에서 이체를 할 경우 실패를 하니 시험 삼아 계좌이체를 해 보라는 등 다양한 방법을 사용하고 있다.   이러한 메신저 피싱을 당해 계좌 이체를 해 피해자가 되면 송금한 당사자는 금전적 피해를 입게 된다. 또한 메신저 계정이 유출된 사용자는 개인의 신뢰도에 큰 상처를 입게 되며 자칫 오해로 이어져 사회 생활에 악영향을 미칠 수 있다.   이런 메신저 피싱은 이전에 불특정 다수를 대상으로 국가기관, 금융회사, 택배 서비스 등을 사칭한 전화 사기에서 보다 발전된 형태로 타인의 인맥과 신용을 활용하여 범죄의 성공율을 높이는 행태를 취하고 있다. 2010년도에도 이러한 지능적인 범죄는 더욱 정교하게 우리의 허점을 파고들 것으로 예상되어 그 피해는 더욱더 커질 것으로 보인다.   그럼 이러한 범죄는 어떻게 예방해야 하는걸까? 그러기 위해서는 여러 방법이 있지만 보다 효과적인 예방을 위해 직접 범죄자의 입장에서 이를 살펴보고 그 예방 방법을 찾아 보도록 하자. 쫓고 쫓기는 끊임 없는 추격전   대다수의 범죄가 그렇지만, 특히 IT 기술을 이용한 범죄는 날이 갈수록 그 방법과 수법이 더욱 정교해지고 있다. 새로운 형태의 범죄 수법이 나오면 정부와 관련 기관의 노력으로 그 확률이 낮아지게 되다. 그럼 범죄자는 낮아진 범죄 성공 확률을 높이기 위해 새로운 유형의 범죄로 발전하는 형태를 취하게 된다. 즉, 범죄자는 범죄 성공 확률을 높이기 위해 노력하고 정부와 관련 기관은 이를 막기 위해 노력한다. 끊임 없는 추격전과 같은 형태를 보인다. 따라서 보다 효과적으로 범죄를 예방하려면 현재 이루어지는 범죄의 트랜드를 이해하는 것이 좋다. 2009년도 초까지는 하나의 수단을 사용한 범죄가 유행했었다. 대표적인 예로 전화사기를 들 수 있다. 그 이외에 이메일(e-mail)과 팩스(fax)를 사용하기도 했었다. 하지만 2009년 후반으로 접어들면서 이런 트랜드가 조금씩 바뀌기 시작했다. 바로 인스턴스 메신저를 이용한 형태인데 이전의 범죄와는 큰 차이점이 있다. 바로 타인의 중요한 개인정보를 사용했다는 점이다. 일반적으로 인스턴스 메신저에 로그인 하기 위해서는 아이디와 비밀번호가 필요하다. 즉, 아이디와 비밀번호를 고의적으로 유출시켜 이를 악용했다는 것을 알 수 있다. 정리해보면 [그림 2]와 같이 범죄의 성공 확률을 높이기 위해 1차로 사용자의 아이디와 비밀번호를 유출했으며 그 결과를 이용하여 실질적인 범죄를 저질렀다.   그림 2. 메신저 피싱의 범죄 수법   그렇다면 어떻게 이런 메신저 피싱이 성공하게 되었을까?   대다수 사용자들이 오해하는 부분이 있는데 이런 메신저 피싱은 인스턴스 메신저 회사의 보안이 취약해서 발생한 것으로 오인한다는 것이다. 하지만 이는 잘못된 정보이다. 현재 국내 사용자들이 주로 사용하는 인스턴스 메신저는 대부분 어느 정도 큰 규모를 가진 회사에서 서비스하고 있다. 이런 회사는 보안에 각별한 주의를 기울이므로 공격자의 입장에선 공략하기 어렵다.   그렇다면 어떻게 범죄자는 나의 메신저 계정으로 로그인을 했을까? 여기에 사용된 것은 기술적인 해킹 기법을 사용한 것이 아니라 대다수의 사용자들이 동일한 아이디와 비밀번호를 사용한다는 경험적 사고를 사용한 것이다. 디지털 해킹을 위해 아날로그적인 해킹 방식이 적용된 것이다. 이런 경험적 사고를 바탕으로 공격자는 보다 보안에 취약한 작은 규모의 인터넷 서비스 서버나 개인 사용자의 PC를 공격해 보다 손쉽게 개인 정보를 유출시키고 이 개인 정보를 활용해 보안이 잘 되어 있는 인스턴스 메신저에 다른 사람의 계정으로 로그인하여 범죄를 저지른 것이다.   범죄자의 입장에서 생각해 본다면 실질적인 범죄를 저지르기 위해서는 먼저 개인 정보를 유출해야 한다는 결론을 낼 수 있다. 그럼 다시 사용자의 입장에서 본다면 이런 범죄를 예방하기 위해서는 나의 개인 정보가 외부로 유출되지 않도록 막는 것이 곧 범죄를 예방하는 길임을 알 수 있다.   내 개인 정보는 대체 어디서? 그렇다면 과연 나의 개인 정보는 어디서 유출되는 것일까? 필자 역시 모든 유출 경로를 알수는 없다. 하지만 지금껏 경험적으로 유출될 가능성이 높은 경로를 하나씩 살펴보고 그 예방 방법을 알아 보도록 하자.   - 편리함이냐? 보안이냐? 그것이 문제로다 많은 사용자들이 편리함을 이유로 비밀번호를 매우 쉽고 짧게 만들어 사용하는 경우가 많다. 특히 모바일 기기가 활성화 됨에 따라 입력의 불편함을 해소하고자 숫자로만 구성되고 짧은 비밀번호를 선호하는 경향이 있다. 하지만 이는 보안상 매우 취약한 구조이다. 타인의 패스워드를 알아내는 가장 기초적인 방법인 정공법은 패스워드를 하나 하나 대입해 보는 것을 말한다. 이때 주로 사용되는 것이 “1111”과 같은 패스워드나 사전에 존재하는 단어, 고유명사등이 주로 사용된다. 따라서 비밀번호는 가급적 어렵게 설정해 놓는 것이 좋다. 특히 숫자 또는 사전에 존재하는 단어로 생성한 비밀번호는 정공법에 의해 쉽게 파악될 수 있으므로 가급적 피하는것이 좋다. 따라서 숫자, 알파벳, 특수기호 등등을 다양하게 섞어서 비밀번호를 생성하는 것이 보안상 여러모로 유리하다. 단, 특정 서비스의 경우 패스워드에 특수문자 사용을 제한하는 경우도 있으므로 유의해야 한다.   나쁜 비밀번호의 예 : 1111, 1234, play, abcd, seoul 등 좋은 비밀번호의 예 : ahn!2048 (사전에 존재하지 않으며, 고유명사도 아니며, 다양한 문자셋을 섞어서 사용하여 추측이 불가능하게 만든 형태)   - 나의 개인 정보는 당나귀귀~ 최근엔 굳이 PC방에 가지 않더라도 지하철 역, 커피숍 등등 누구나 쉽게 사용할 수 있도록 곳곳에 공용 PC가 비치되어 있다. 이런 컴퓨터는 제한된 사용자가 아닌 불특정 다수의 다양한 사람들이 사용한다. 따라서 보안 상태를 신뢰할 수 없다. 실제 이런 PC들을 살펴 보면 해킹 툴(특히 키보드 입력 내용을 가로채 외부로 유출하는 형태)이 설치되어 있는 경우를 자주 볼 수 있다. 필자 역시 가끔 공용 PC를 사용해야 하는 경우가 있는데 이땐 PC에 해킹툴의 설치 유무를 잠시 살펴보고 사용한다. 하지만 일반적인 사용자의 경우는 수동으로 해킹툴의 존재 유무를 판단하기 매우 어렵다. 따라서 공용 PC에서는 가급적 아이디와 비밀번호를 사용하여 로그인을 하지 않도록 주의해야 한다, 특히 금융사이트에 접속해 개인 정보를 입력하는 것은 매우 위험하므로 각별한 주의가 필요하다. 그리고 불가피하게 사용을 했다면 자리를 떠나기 전에 실행되어 있는 모든 웹브라우저 및 프로그램을 종료하는 것이 좋다. 최근 웹브라우저는 여러가지 편의를 위해 세션(session)과 쿠키(cookie)를 공유한다. 따라서 정상 종료하지 않고 자리를 비웠을 경우 다음 사용자는 내가 로그인한 사이트에 접근해 나의 소중한 개인정보를 유출하거나 사생활을 침해 할 수 있다. 또한 불안한 경우에는 가급적 빨리 나의 PC에서 비밀번호를 변경하는 것이 좋다.   - 스파이웨어(spyware) 넌 누구냐? 4~5년 전부터 사회적 이슈를 가져온 스파이웨어는 이젠 친숙한 단어가 되었다. 스파이에어는 단어에서 알 수 있듯, 나의 소중한 개인 정보를 몰래 외부로 유출하는 악의적인 프로그램을 의미한다. 스파이웨어는 그 특성상 자신의 실행 사실을 숨겨서 동작한다. 따라서 일반적인 사용자는 자신의 PC에 스파이웨어가 설치되어 동작하고 있다는 사실을 인지하는 것인 사실상 불가능하다. 따라서 이를 예방하는 것이 무엇보다 중요하다. 먼저 가장 기본적인 보안 업데이트를 충실히 수행해야 한다. 우리가 사용하는 운영체제인 윈도우(Windows)의 제작사인 마이크로소프트(Microsoft)는 매달 두 번째 화요일에 보안 업데이트를 발표하므로 둘째주 수요일에 윈도우 업데이트를 해 주는 것이 좋다. 대다수의 사용자들은 윈도우 보안 업데이트를 하면 PC의 속도가 느려진다는 잘못된 정보를 알고 있거나 불편함을 이유로 하지 않는다. 하지만 이는 외출할 때 창문을 열어두고 외출 하는 것과 비슷한 경우로 도둑이 마음만 먹으면 집에 들어올 수 있는 보안 허점을 그대로 방치 하는 것이다. 최근 운영체제나 웹브라우저 외에 우리가 자주 사용하는 응용 소프트웨어의 취약점 또한 자주 발견되고 있다. 특히 어도비(Adobe)사의 다양한 웹 관련 응용 소프트웨어들이 전 세계에서 범용적으로 사용되다 보니 이를 겨냥한 취약점이 수시로 등장하고 있다. 따라서 해당 소프트웨어의 보안 패치 역시 가급적 빨리 수행하는 것이 좋다. 요즘 소프트웨어는 대부분 자체 업데이트 기능을 가지고 있으므로 최신 업데이트 발견 시 사용자에게 이를 알리고 수행할 것을 권하는데 조금 귀찮더라도 가급적 빨리 하는 것이 보안을 위해서는 바람직하다. 그리고 무엇보다 신뢰할 수 있는 PC보안 업체의 보안 제품을 사용하는 것이 좋으며 더욱 중요한 것은 해당 보안 제품의 실시간 감시와 업데이트를 종료하지 않고 사용해야 한다. 상당수 사용자들이 속도가 느리다는 이유로 실시간 감시 또는 업데이트를 종료하고 사용한다. 필자가 근무하는 안랩의 경우도 하루에 수 차례 엔진을 업데이트 한다. 이는 가급적 빠른 시간 내 새로 발견된 악성코드를 예방하고 진단하고 치료하기 위함이다. 하지만 실시간 감시와 업데이트가 꺼져 있을 경우 보안 제품을 사용하지 않는 것과 같다. 또한 외부의 침입이 발생할 수 있으므로 여건이 허락하는 한 PC 방화벽을 사용 하는 것도 좋다. PC 방화벽은 외부에서 내 PC로 침입하거나 내 PC의 정보가 외부로 유출되는 것을 차단해 준다.   - 동일한 아이디와 비밀번호의 사용 인터넷 서비스 제공 업체들이 모두 동일하게 높은 보안 수준을 유지하지는 않는다. 서비스 업체의 규모와 보안 인식에 따라 보안 수준은 천차 만별이다. 따라서 같은 아이디와 비밀번호를 사용한다면 내가 사용하는 인터넷 서비스 업체의 보안 수준은 가장 낮은 보안 수준을 유지하는 서비스 회사의 보안 수준과 동일하게 된다.그 이유는 보안이 허술한 서비스가 공격을 받아 개인 정보가 유출된다면 이 정보는 그 보안이 허술한 서비스뿐 아니라 보안이 잘 되어 있는 사이트에도 나의 아이디와 비밀번호를 사용하여 접속이 가능해진다. 또한 이 정보는 메신저 피싱과 같이 다른 범죄에도 사용될 수 있다. 가장 좋은 예방 방법은 모든 인터넷 서비스에 가입을 하지 않거나 모든 사이트마다 각기 다른 비밀번호를 사용하는 것이다. 하지만 이것은 현실적으로 거의 불가능한 일이다. 그렇기에 필자의 경우는 크게 3가지의 비밀번호를 사용하고 있다.   첫째, 금융기관용 비밀번호 둘째, 보안이 잘 되어 있거나 유출되면 직접적인 피해를 받는 곳을 위한 비밀번호 셋째, 유출되어도 직접적인 피해가 없는 곳을 위한 비밀번호   각기 용도에 따라 다른 비밀번호를 사용하여 보안이 비교적 허술한 곳의 비밀번호가 유출되어도 그 피해가 최소화되도록 해 놓은 것이다. 각기 다른 비밀번호로 인해 조금은 불편하지만 이는 우리가 외출할 때 문 단속을 하는 것과 유사하다고 보면 된다. 작은 불편함이 큰 보안 사고를 예방하는 쉽고 간단한 방법이기 때문이다.   - 나를 삭제하거나 차단한 친구는 누구? 얼마 전까지 인스턴스 메신저 또는 이메일을 통해 나를 삭제하거나 차단한 친구가 누구인지 알려준다는 서비스가 유행했다.   그림 3. 나를 삭제하거나 차단한 친구를 알려준다는 서비스   해당 서비스에 접속해 보면 메신저 아이디와 비밀번호를 입력하라고 나온다. 해당 사이트에 아이디와 비밀번호를 입력하면 지금은 서비스 할 수 없다고 나오거나 차단하거나 삭제한 친구가 없다고 나온다. 이런 서비스는 해당 인스턴스 메신저를 제작한 회사가 아닌 다른 곳에서 제작한 서비스로 정상 동작하지 않는다. 이 서비스는 나를 삭제하거나 차단한 친구를 알려주는 것이 아닌, 나의 개인 정보(아이디와비밀번호)를 수집하기 위한 가짜 서비스인 것이다. 즉, 나의 개인 정보를 범죄자에게 고스란히 넘겨준 셈이 되는 것이다. 수집된 인스턴스 메신저 계정과 비밀번호를 사용하여 또 다른 친구들에게 이런 메시지와 이메일을 보내는 수법을 통해 순식간에 전파되었다. 이렇게 수집된 개인 정보는 메신저 피싱이나 기타 다른 범죄에 사용된 것으로 추측된다. 국내에도 이와 같은 유형이나 사이버 머니 또는 아이템을 준다는 이유로 사용자의 아이디와 비밀번호를 입력하라는 서비스가 유행했었다. 이렇듯 불법적이거나 편법으로 무언가를 제공한다는 곳은 대부분 악의적인 목적으로 만들어졌을 가능성이 매우 높다. 자신의 개인 정보는 자신부터 지켜야 한다. “이건 비밀이야. 너만 알고 있어야 돼”라는 전제 조건을 달고 한 이야기 역시 말한 순간부터는 더 이상 비밀이 아니다. 얼마 전 유출되어 큰 사회적 파장을 일으킨, 영화 “해운대” 유출 사건 역시 “이건 너만 봐야 해”하고 준 것이 인터넷을 통해 순식간에 공유된 것이었다. 나조차 아무데나 입력하는 아이디와 비밀번호는 그 누구도 지켜줄 수 없다. 그리고 무엇보다 불법이고 편법으로 무언가를 무료로 제공 해주는 서비스는 없다. 무언가를 얻기 위해서는 정당한 노력이나 댓가가 반드시 필요하다. 만약 이런 곳에 아이디와 비밀번호를 한번이라도 입력한 적이 있다면 꼭 지금 바로 비밀번호를 변경해야 한다. 내 PC 정보도 문 단속하듯 메신저 피싱이라는 실제 피해 사례를 통해 개인 정보가 얼마나 중요하며 그것을 지키기 위해선 어떤 노력을 해야 하는지 간략하게 살펴봤다. 우리는 집 밖에 나갈 때 창문은 물론 정문 역시 꼭 잠그고 재차 확인하고 나간다. 그리고 그 누구도 그것이 이상하다고 여기지 않는다. 컴퓨터 보안 역시 마찬가지다. 다만, 눈에 보이지 않는 부분이 많아 다소 어렵고 힘들게 느껴질 뿐이다. 윈도우 및 기타 업데이터들이 보안 업데이트를 하라고 하면 그때 그때 마다 하고, 신뢰할 수 있는 PC보안 업체의 보안 제품을 사용하고 실시간 감시와 업데이트를 종료하지 않고 개인 정보를 다른 곳에 유출시키지 말고.. 비밀번호를 생성할 때 조금만 더 신경을 쓰면 된다. 어렵게만 보이지만 차근 차근 수행하다 보면 창문과 정문을 잠그고 집 밖을 나가는 것과 크게 다르지 않다는 것을 쉽게 알 수 있을 것이다. 옛말에 “소 잃고 외양간 고친다”는 말이 있다. 실제 보안 사고가 발생하면 그 타격은 매우 크다. 지금 지인의 인스턴스 메신저에 등록된 친구중 6명의 대화명이 메신저 피싱 당했으니 돈 입금 하지 말라는 문구이다. 여러분도 대화명을 그렇게 바꿀지도 모른다. 하지만 확실한 것은 이전보다 조금만 신경 쓰면 아마도 그럴 일은 없을 거라는 것이다. Ahn 글. 박시준 / 악성코드 분석가   안철수연구소에서 악성코드 분석 업무를 담당하며 “안랩 칼럼니스트”로 활동하고 있다. 다양한 분야에 대한 스키마를 쌓는 것을 좋아하며, 세상을 함께 살아가는 구성원으로서 다른 누군가에게 조금이라도 도움이 되었으면 하는 마음가짐으로 오늘도 열심히 하루를 살아가려고 노력한다. 위 글은 안랩닷컴  페이지에서도 제공되고 있습니다. 안랩닷컴 보안정보 中 보안포커스 / 전문가 칼럼 http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=2&menu_dist=3&seq=15495&columnist=0&dir_group_dist=0&dir_code= 보안에 대한 더 많은 정보 안랩닷컴에서 찾으세요 :D

 

- 스마트폰, VoIP, SNS 겨냥 공격 가시화
- 클라우드, 가상화 등 신기술 악용 악성코드 급증
- DDoS 공격용 좀비 PC 확보 기법 지능화

안철수연구소가 2010년 새해에는 어떤 보안 위협이 이슈가 될지 12가지를 예측해 발표했습니다.

1. DDoS 공격용 좀비 PC 확보 기법 지능화

작년 7.7 DDoS 대란 때처럼 대량의 좀비 PC를 확보해 악의적 공격을 하는 사건이 올해도 지속될 것으로 전망됩니다. 공격자는 다수의 좀비 PC를 이용해 금전적 대가를 노린 악의적 DDoS 공격을 하거나 확보한 좀비 PC 자체를 가지고 협박해 금전을 갈취할 수 있습니다. 이를 위해 진단되지 않고 지속적으로 작동할 수 있는 악성코드를 원하기 때문에 최근 중앙명령(C&C; Command & Control) 서버와의 통신 채널, 셀프(Self) 업데이트, 공격을 위한 정보 능동적 생성 등 지능적인 기법이 등장하고 있습니다. 2010년에도 이런 양상은 계속될 것으로 예상됩니다.

2. 스마트폰 공격 위협 본격화

국내에도 본격적인 스마트폰 시대가 열려 PC에서 했던 일을 언제 어디서든 할 수 있게 됐습니다. 이는 기존 PC에서 발생한 보안 문제가 스마트폰에서도 발생할 수 있음을 의미합니다. 스마트폰의 종류와 플랫폼이 다양하므로 악성코드도 다양한 형태로 나타날 것으로 예상됩니다. 이미 해킹(Jail Break)된 아이폰의 개인 정보를 탈취하는 악성코드가 발생했습니다. 스마트폰을 대상으로 한 악성코드는 통화 기록이나 전화번호, 사진 등의 개인 정보를 탈취할 뿐 아니라, 스마트폰을 좀비 클라이언트로 만들어 DDoS 공격에 악용할 수도 있습니다. 비정상 트래픽을 유발해 비정상적인 과금을 유도하거나 불필요하게 배터리를 소진할 가능성도 있습니다.
 

3. 클라우드 및 가상화 기술 악용한 보안 위협 증가

IT 자원 활용의 효율화 때문에 주목 받는 클라우드 기술과 가상화 기술이 사이버 공격에 악용될 것으로 예측됩니다. 이를테면 클라우드 컴퓨팅을 이용해 여러 대의 C&C 서버를 준비해두고, 좀비 PC 안의 악성코드가 이 중 서비스가 가능한 C&C 서버로 찾아가는 방식입니다. 이때 여러 대의 C&C 서버를 구축하기 위해 공격자는 가상사설서버(Virtual Private Server)를 이용합니다. 이것을 이용하면 물리적으로는 1대이지만 가상으로 여러 대의 서버를 구축함으로써 봇넷(네트워크로 연결된 대량의 좀비 PC)을 효율적으로 관리할 수 있습니다. 이러한 클라우드, 가상화 기술은 ‘그린 IT’의 기반이기 때문에, ‘그린 IT’까지도 위협 대상이 될 것으로 예상됩니다.
 
4. 웹사이트와 스팸 메일이 결합한 위협 증가

새해에도 역시 웹사이트가 악성코드 전파의 주요 경로로 이용될 것으로 전망됩니다. 여전히 SQL 인젝션, XSS(크로스 사이트 스크립트), 사이트 취약점을 이용한 악성코드 삽입 등이 주로 사용될 것으로 보입니다. 2009년 하반기에 스팸 메일과 웹사이트가 결합된 보안 위협이 처음 발견됐는데, 2010년에는 이 형태가 증가할 것으로 예측됩니다. 공격자는 최초 이메일로 악의적인 웹사이트 주소를 보내 접속을 유도합니다. 사용자가 접속하면 웹브라우저 취약점 공격, 악성코드 설치, 취약점을 가진 문서 파일(PDF, Office 파일 등) 다운로드 등의 공격을 합니다. 현재 우리나라는 보안에 취약한 다수의 웹 서버가 별다른 방어책 없이 인터넷에 연결돼 있는 상태여서 피해는 올해도 증가할 것으로 보입니다.  

5. SNS(소셜 네트워크 서비스)를 이용한 공격 확산

2010년에는 트위터, 페이스북 같은 SNS(Social Network Service)를 대상으로 한 해킹이 증가할 것으로 예상됩니다. 지난해 이미 트위터(twitter)에 짧은 주소 서비스를 통해 악성코드를 유포한 사례가 있었습니다. 스마트폰의 급속한 보급과 함께 다양한 SNS 애플리케이션이 등장함에 따라 개인 정보를 노린 해킹이 발생할 것으로 우려됩니다. 본인 확인이 어려운 점을 악용해 유명인을 사칭하거나 유명인의 SNS 계정을 탈취할 수도 있습니다. 또한, SNS 업체를 직접 겨냥한 해킹도 발생할 것으로 보입니다.

 6. VoIP 보안 위협 등장

인터넷 전화인 VoIP(Voice over Internet Protocol)의 보급이 늘어남에 따라 그에 따른 보안 위협도 커져가고 있습니다. 특정 VoIP 서비스의 통화 내용을 유출하는 악성코드가 이미 발견됐습니다. 앞으로는 이 같은 도감청의 위협이 더욱 광범위해져 사생활을 침해하거나 기업 활동에 악영향을 줄 수 있습니다. 부정 사용으로 금전적 피해를 주거나, 무선 인터넷 공유기의 ID와 비밀번호를 가로채 악성코드 설치 및 개인정보 유출 등의 피해를 주는 일이 발생할 수도 있습니다. 또한 VoIP 서비스 업체를 DDoS 공격해 서비스 중단, 서비스의 데이터 위변조 등을 일으킬 가능성도 있습니다.  

7. 메신저 피싱 급증

지난해 메신저 프로그램을 이용한 악성코드 유포 및 금전 요구 사기가 적지 않았고 편의성 때문에 올해도 지속적으로 확산될 것으로 보입니다. 인스턴트 메신저의 계정 정보는 악성코드를 이용해 쉽게 탈취할 수 있고, 메신저와 포털, SNS까지 동일한 계정을 쓸 경우 2차 피해로 이어질 가능성도 높습니다.  

8. 악성코드의 자기 보호 기법 지능화

보안 소프트웨어가 접근하지 않는 영역에서 작동하거나 은폐 및 자기 보호 기법을 보유한 악성코드가 급증할 것으로 전망됩니다. 지난해 많은 피해를 낳은 콘피커(Conficker), 브레도랩(Bredolab), 팔레보(Palevo), 다오놀(Daonol) 등은 V3를 제외한 일부 백신을 비롯해 일반 응용 프로그램이 접근하지 않는 특정 메모리 영역에서 동작합니다. 따라서 감염된 파일을 삭제하는 것만으로는 치료가 끝나지 않습니다. 갈수록 악성코드가 감염시키는 대상 파일은 다양해지고 동작하는 위치는 컴퓨터 구조의 더 깊숙한 곳으로 내려가는 추세입니다. 따라서 진단/치료 기술은 더 복잡해지고 더 많은 시간과 노력이 투입될 것으로 전망됩니다.  

9. 윈도우7 취약점 공격 증가

윈도우7이 작년 10월 발표된 직후 보안 취약점이 발견됐습니다. 윈도우7의 보안을 뚫기 위해 악성코드 제작자들은 새로운 기술로 공격할 것으로 보입니다. 이는 기존 주요 응용 프로그램인 MS 오피스, 어도비 PDF 등의 애플리케이션 취약점을 이용하는 악성코드 증가와 맥을 같이할 것으로 예상됩니다. 

10. 사회 공학 기법의 정교화

마이클 잭슨 사망과 같은 사회적 이슈가 발생하면 소위 ‘사회 공학 기법’에 기반한 악성코드가 등장합니다. 앞으로는 페이스북과 트위터 등 SNS로 유포 경로가 다양해지고, 사용자가 악의적 목적을 인지하지 못하게 정밀해질 것으로 예측됩니다. 특히 최근 등장한, 인터넷 검색 최적화 기술인 SEO(Search Engine Optimization)를 악용해 검색 결과를 인위적으로 조작하는 기법이 많이 활용될 것으로 보입니다.

 11. 가짜 백신 확산

악성코드에 감염되었다는 허위 문구를 띄워 비용 결제를 요구하는 가짜 백신이 올해도 확산될 것으로 보입니다. 현재 무료 백신이 개인 시장에 대량 제공되고 있지만, 일부 고객들은 이러한 가짜 백신에 현혹되어 허위 진단에 금전적인 비용을 지불하는 문제가 발생할 수 있습니다.  

12. 온라인 게임 해킹 증가

올해도 온라인 게임 해킹이 꾸준히 증가하고, 특히 메모리 해킹과 오토플레이가 급증할 것으로 예상됩니다. RPG(역할 수행 게임)와 캐주얼 게임, 기능성 게임 등 온라인 게임 종류가 다양해짐에 따라 이를 겨냥한 해킹이 급증할 것으로 보입니다.    

위에서 살펴본 바와 같이 스마트폰, 클라우드, 가상화, SNS 등 새로운 IT 환경의 등장은 사용자에게 편의성을 제공하지만, 악의적 해커에게는 더욱 손쉬운 방법으로 악성코드 유포, 해킹을 할 수 있는 토대가 됩니다. 사용 편의성과 함께 보안 측면을 함께 고려해 유의할 필요가 있습니다. Ahn

오늘날 우리는 인터넷(Internet)으로 통칭되는 월드와이드웹(WWW)을 통해 내 방에서 원하는 정보를 빠르게 찾을 수 있으며 원하는 업무를 손쉽게 처리할 수 있다. 하지만 그로 인해 이전보다 더욱더 다양한 보안 위협을 접하고 있는 것도 사실이다.
우리가 웹 서핑(Web Surfing) 시 마주 하게 되는 보안상 문제점은 크게 다음과 같다.

- 웹 브라우저(Web Browser)의 보안 취약점으로 인한 악성코드의 실행
- 액티브엑스(ActiveX)를 통해 악성코드의 설치 및 실행
- 아이디와 패스워드 유출

(1) 웹 브라우저의 보안 취약점
먼저 웹 브라우저에 보안 취약점이 있을 경우 해당 취약점 코드가 삽입된 웹 사이트에 방문하는 것 만으로도 악성코드가 설치되고 동작한다. 따라서 무엇보다 예방이 중요하다. 하지만 이런 응용프로그램의 취약점은 사용자만 주의한다고 문제가 해결되지 않는다. 웹 브라우저 제작사와 사용자 모두의 노력이 필요하다. 먼저 제작사의 경우 보안 취약점이 발견 되었을 경우 고객이 피해를 입기 전에 신속히 보안 패치를 제공해야 한다. 그리고 사용자의 경우 업데이트를 통해 웹 브라우저를 항상 최신 버전으로 유지해야 한다. 컴퓨터 보안 회사에서 사용자에게 보안 업데이트를 강조하는 이유가 바로 여기에 있다.

보안 업데이트가 되지 않은 컴퓨터를 네트워크에 접속하고 사용하는 것은 마치 구멍 난 방독면을 쓰는 것과 동일하다. 평소엔 아무런 이상이 없지만 화생방 상황이 벌어지면 구멍 난 방독면은 착용은 하고 있지만 무용지물이 된다. 취약점도 마찬가지로 평소에 취약점이 존재하는 응용 프로그램을 사용할 때는 이상이 없지만 해당 취약점을 악용하는 공격을 받았을 경우 컴퓨터는 바로 악성코드에 감염된다. 따라서 자주 사용하는 프로그램의 경우 최신 업데이트 버전이 존재하는지 확인하는 습관이 중요하며, 무엇보다 사용하는 운영체제(일반적인 경우 마이크로소프트사의 윈도우)에 대한 보안 패치는 항상 발표 즉시 수행하는 것이 좋다.

참고로 마이크로소프트사의 경우 매달 두 번째 수, 목요일에 보안 업데이트를 발표하므로 가급적 업데이트를 수행해 주는 것이 좋다.

(2) 액티브엑스를 이용한 악성코드
MS에서 개발한 액티브엑스(ActiveX)는 웹 브라우저의 기능을 확장하는데 널리 사용되고 있다. 액티브엑스의 등장으로 정적인 웹 브라우저 환경이 동적으로 바뀌어 오늘날 우리는 웹 브라우저를 통해 보다 다양한 서비스를 제공 받을 수 있게 되었다. 웹 서핑 시 어떤 프로그램을 설치 하겠냐는 메시지 박스를 자주 접하게 되는데 이것이 바로 액티브엑스이다.

일반적인 사용자는 웹 서핑도중 이런 메시지를 만나면 큰 고민 없이 [설치] 버튼을 누른다. 이런 점을 악용해 액티브엑스를 애드웨어(Adware)와 같은 프로그램을 배포하는 경로로 사용하는 사례가 지속적으로 발견 되었다. 특히 국내의 경우 제휴마케팅사를 통해 일반인들까지 금전적 수익을 노리고 이런 애드웨어를 배포하는 사례가 증가해 그 피해가 극심했다.

최근 관련 기관과 보안 업체의 노력으로 이러한 사례가 감소하는 추세지만 여전히 그 위험성은 매우 높다. 따라서 웹 서핑도중 보안 경고창이 발생했을 경우 무조건 [설치]버튼을 누르지 말고 한번쯤 필요한 프로그램인지 먼저 생각해 보고 설치 여부를 결정해야 한다. 이때 고려해야 할 사항은 내가 하려고 하는 작업과 설치하려고 하는 프로그램이 연관성이 있는지를 살펴보면 된다.

메일을 쓰기 위해 접속 했을 경우 액티브엑스를 설치하려고 한다. 이때 어떤 것은 설치를 해야 하고 어떤 것은 설치하지 말아야 할까? “메일 에디터” 또는 “파일 업로드” 모듈을 설치하려고 한다면 메일 쓰기와 연관성이 있으니까 설치하는 것이 맞다. 하지만 “무료보안”프로그램을 설치하려고 한다면? 메일 쓰기와 무료보안은 연관성이 많이 떨어진다.

또는 동영상을 보기 위해 접속 했는데 동영상 재생과 관련된 모듈이 아니고 “쇼핑몰 적립” 이나 “키워드 검색 도우미” 같은 모듈을 설치하려고 한다면? 단순히 이름 인터넷 익스플로러 보안 경고창의 이름만 보고 판단이 되지 않을 경우 파란색으로 된 이름 부분을 클릭하면 해당 액티브엑스 제작사의 홈페이지로 연결이 된다. 여기서 해당 액티브엑스가 어떤 프로그램이 확인할 수 있다. 그리고 게시자를 클릭하면 해당 액티브엑스의 디지털 서명 정보를 확인할 수 있다. 아래 이미지와 같이 “이 디지털 서명은 유효합니다”라는 메시지가 있는지 확인해 이상이 없는지 확인해 보는 것도 필요하다.


최근 쇼핑몰에서 물건 구입시 구매 금액의 일정액을 적립해 주는 리워드 프로그램, 인터넷 익스플로러 등에서 주소창에 입력한 키워드로 사이트를 검색해주는 키워드 도우미 서비스, 각종 바로가기를 아이콘으로 제공하는 인터넷 익스플로러 툴바 등이 이런 방법으로 설치되고 있다. 따라서 사용자에게 꼭 필요한 프로그램인지 확인한 후 설치하는 것이 바람직하다.

(3) 아이디와 패스워드 유출
인터넷 상에서 나와 다른 사람을 구분해 주는 가장 기본이 되는 정보는 바로 아이디(ID)이다. 아이디와 패스워드만 입력하면 인터넷상에서 나의 이름으로 활동할 수 있게 된다. 하지만 달리 말하면 아이디와 패스워드를 다른 사람이 알게 된다면 내가 아닌 다른 사람이 나의 이름으로 활동할 수 있게 된다는 말이 된다. 영화 마이너리티 리포트에서 다른 사람의 눈을 이식 받아 다른 사람을 살아갈 수 있게 되는 것과 같다.

실제 지인이 어느 대형 포탈 사이트에 로그인 한 후 메일 서비스에 들어가 보낸 편지함을 열어보고 무척 당황했다는 이야기를 들었다. 보낸 편지함엔 자신이 보내지도 않은 수 많은 스팸 메일(Spam mail) 발송 기록이 남아 있었기 때문이다. 즉, 다른 사람이 나의 아이디를 이용해 또 다른 사람에게 스팸 메일을 발송한 것이다. 나도 모르는 사이 본인의 의지와는 상관없이 스팸 메일러가 되어 버렸다.

이렇듯 유출된 아이디와 패스워드는 거기서 그치지 않고 또 다른 범죄에 사용될 소지가 높아 그 피해는 예측하기도 힘들다. 따라서 가장 좋은 방법은 이를 예방하는 것이다. 그럼 아이디와 패스워드는 어떤 경로로 유출이 되는 것일까?

첫째, 쉬운 패스워드가 간단하게 구성된 경우이다. 1234와 같이 누구나 예측 가능한 패스워드나 사전에 등록되어 있는 단일 문자가 그 공격 대상이다. 이런 공격을 정공법이라고 하는데 특정 아이디를 대상으로 하나씩 다른 패스워드를 대입해 보는 방식이다. 이렇게 해서 로그인에 성공한 패스워드가 곧 그 사람의 패스워드가 되는 것이다. 이는 복잡한 패스워드를 사용함으로써 어느 정도 예방이 가능하다. 복잡한 패스워드를 만드는 방법은 의외로 간단하다. 단일 단어를 사용하지 말고 단어와 숫자를 적절하게 섞는 것이 좋다. 즉, 복잡한 단어와 숫자의 조합을 사용하는 것이다. 만약 해당 서비스에서 허용만 한다면 특수문자(영어와 한글이 아닌 다른 기호)를 섞어 주면 더욱더 효과적이다.

둘째, 아이디와 패스워드를 본인이 직접 다른 곳에 입력한 경우이다. 실제 국내외에 유명 메신저에서 자신을 삭제한 친구 리스트를 보여준다는 사이트가 퍼졌었다. 해당 페이지에 접속하면 메신저 아이디와 패스워드를 입력하라고 하는데 여기에 아이디와 패스워드를 입력하면 그 내용이 고스란히 저장된다. 이렇게 유출된 아이디와 패스워드를 이용해 공격자는 메신저에 로그인해 친구로 등록된 사람들에게 동일한 메시지를 보내고 그 메시지를 받은 사람은 또 다시 자신의 메신저 아이디와 패스워드를 입력하는 악순환이 반복되었다. 즉, 피해자가 기하 급수적으로 늘어날 수 밖에 없다. 따라서 이를 예방하기 위해서는 검증된 사이트 이외에는 자신의 패스워드를 절대 기록하지 말아야 한다. 만약 과거에 그렇게 한 적이 있다면 가능한 빨리 자신의 패스워드를 변경하는 것이 좋다.

셋째, 보안이 허술한 사이트를 통해 외부로 유출된 경우이다. 대다수의 사용자들이 동일한 아이디와 패스워드를 사용한다. 인터넷 상에서는 수 많은 사이트들이 존재한다. 그 중 보안이 철저하게 점검되고 관리되는 곳도 있지만 그렇지 않은 곳도 있다. 따라서 보안이 허술한 사이트를 공격해 그 사이트에 가입된 사용자 정보가 외부로 유출된다면 그 사이트 이외에 보안이 잘 되고 있는 사이트의 아이디와 비밀번호도 함께 유출이 된 것과 동일하다. 따라서 가급적이면 사이트마다 다른 아이디 또는 패스워드를 사용해 만에 하나 자신의 정보가 유출이 되더라도 또 다른 피해를 당하지 않도록 예방하는 것이 좋다. 하지만 사이트마다 모두 다른 아이디와 패스워드를 유지한다는 것이 어렵다면 보안이 잘 되어 있다고 생각하는 사이트와 그렇지 않은 사이트를 구분해 각각 다른 패스워드를 사용하는 것도 좋다.

넷째, 악성코드에 의해 유출된 경우이다. 특정 악성코드는 사용자 컴퓨터를 뒤져 정보가 될만한 것들을 수집해 공격자에게 전송하는 기능을 가지고 있다. 이런 악성코드에 감염 되었다면 방화벽이 없는 이상 나의 소중한 개인 정보는 공격자에게 바로 전송 된다. 따라서 무엇보다 이런 악성코드의 예방이 매우 중요한데 그 방법으로는 보안 업데이트를 통해 보안 취약점을 패치 해야 하며 신뢰할 수 있는 보안 업체의 제품을 사용하며 늘 최신 엔진으로 유지하고 방화벽 등을 사용해 외부로 나가는 정보를 통제하는 것이 좋다. 또한 가급적 주기적으로 패스워드를 변경하는 것도 도 다른 피해를 예방하는데 도움이 된다.

또한 PC방과 같이 여러 사람들이 함께 사용하는 컴퓨터에서는 가급적 패스워드를 입력하지 않는 것이 좋다. 왜냐하면 공용 컴퓨터는 개인 컴퓨터에 비해 더욱더 보안에 취약하며 다른 사람들의 접근이 용이해 아이디와 패스워드를 유출하는 악성코드가 동작하고 있을 가능성이 높다. 꼭 입력해야 할 상황이라면 마우스로 키보드 입력을 대신할 수 있는 화상 키보드를 사용하면 키보드 입력을 가로채는 위험은 어느 정도 예방할 수 있다. 화상 키보드를 실행하기 위해서는 [시작] -> [모든 프로그램] -> [보조프로그램] -> [내게 필요한 옵션] -> [화상 키보드]를 클릭하거나, [시작] -> [실행] 후 OSK 를 입력하고 [확인]을 누르면 된다. 하지만 이도 네트워크상에서 송수신 되는 내용을 가로채는 악성코드에 대해서는 무방비 상태가 되므로 안심해서는 안 된다.@

박시준 | 안철수연구소 악성코드 분석가

안철수연구소에서 악성코드 분석 업무를 담당하고 있으며 “IT 칼럼니스트”로 활동하고 있다. 다양한 분야에 대한 스키마를 쌓는 것을 좋아하며, 세상을 함께 살아가는 구성원으로서 다른 누군가에게 조금이라도 도움이 되었으면 하는 마음 가짐으로 오늘도 열심히 하루를 살아가려고 노력하고 있다.