2010.07.02 “특정 타깃 노린 디도스 공격 늘었다”

- 네트워크 공격 중 DDoS가 35%로 가장 비중 높아

- 악성코드 탐지/차단 약 6570만 건, 2009년 하반기 대비 2.2% 증가

- 스마트폰, SNS 이용 악성코드 유포 지능화

- 컨설팅-제품-서비스로 보안 위협에 전방위 입체적 대응

안철수연구소는 1일 7.7 DDoS 대란 1주년에 앞서 올해 상반기 DDoS 공격을 비롯한 보안 위협 동향을 진단하고 대응 전략을 발표했습니다.

 

<2010년 상반기 보안 위협 동향>

 

안철수연구소가 올해 상반기 네트워크 보안 위협 및 공격 동향을 분석한 결과에 따르면 DDoS(디도스) 공격이 35.4%로 가장 많고 그 다음이 웹사이트 취약점 공격(34.8%)이었습니다. DDoS 공격의 양상은 ▲공격 기법의 진화 ▲공격 범위의 확대 ▲대범한 범죄화 ▲사이버 암시장 형성에 따른 대중화를 들 수 있습니다..

 

공격 양상은 무작위의 불특정 대상 공격은 감소하고, 특정 타깃을 겨냥한 공격이 증가한 것으로 나타났다. 공격 목표가 성인 채팅 사이트, 중소규모 업체(꽃배달, 펜션 예약 등), 아이템 거래 사이트에서 주요 포털 및 게임, 쇼핑몰, 금융기관, 공공기관 등으로 바뀌었다. 공격의 목적의 경우 금전을 노린다는 점은 여전하지만, 개인 능력을 과시하려는 데서 경쟁사 공격 및 청부 공격(사이버 조폭), 정치적/문화적 목적으로 바뀐 것이 특징입니다. 또한 대량의 좀비 PC를 이용한 공격이 지속되는 가운데 자발적으로 공격에 참여하는 경우가 늘어난 것도 주목할 점입니다.

 

한편, 2010년 상반기의 악성코드 동향을 분석한 결과 악성코드 탐지 및 차단 건수는 약 6570만 건에 달해 2009년 하반기 대비 144만 건(2.2%)이 증가했습니다(그림1). 이 중 유형 별로는 트로이목마가 43.3%로 가장 많고, 웜(11.7%)과 스파이웨어(10.4%)가 뒤를 이었다. 또한 20,227개 웹사이트에서 123만여 개의 악성코드가 발견돼 2009년 하반기 대비 각각 571개, 26만여 개가 증가해 웹사이트의 취약성을 단적으로 보여주었습니다(그림2).

 

<2010년 상반기 악성코드 7대 이슈>

 

또한 안철수연구소는 2010년 상반기의 악성코드 7대 이슈로 ▲사회공학기법의 범용화 ▲가짜 백신 감염 기법 고도화 ▲진단/치료 회피 기법 지능화 ▲제로데이 취약점의 타깃 공격 악용 증가 ▲감염 경로/기법의 다중화 ▲SNS 기반 보안 위협 본격화 ▲스마트폰 보안 위협 첫 등장 등을 선정했습니다.

 

▲사회공학기법의 범용화

신뢰할 수 있는 사람이 보낸 흥미로운 내용으로 위장하는 사회공학기법이 범용화하는 추세입니다. 동계 올림픽과 남아공 월드컵 등 사회 이슈를 악용하거나 구글, 페이스북, 트위터 등 유명 회사나 서비스를 사칭해 경계심 없이 악성코드 관련 메시지를 열어보도록 유도하는 방법이 모든 보안 위협의 기본이 되었습니다.

 

▲가짜 백신 감염 기법 고도화

가짜 백신의 감염 기법이 전에는 다른 악성코드에 의해 다운로드되는 방식이었으나 최근 들어 직접 감염되는 방식으로 바뀌고 있습니다. 특정 단어 검색 시 가짜 백신이 존재하는 웹페이지를 상단에 노출해 접속을 유도하는 것이 대표적인 방법입니다.

 

▲진단/치료 회피 기법 지능화

정상 프로세스의 메모리 영역, 하드 디스크의 언파티션드(Unpartitioned) 영역에서 동작해 진단/치료가 어려운 악성코드가 다수 등장했습니다. 또한 윈도우 시스템 관련 파일을 패치하는 등 뚜렷한 증상이 보이지 않아 사용자가 감염 사실을 인식하기 어려운 악성코드도 등장하고 있습니다.

 

▲제로데이 취약점의 타깃 공격 악용 증가

올 상반기에 악성코드에 악용된 제로데이 취약점은 5건이며, 그 중 MS 인터넷 익스플로러 관련 취약점 2건이 타깃 공격에 악용됐습니다. 타깃 공격은 특정 대상을 공격하는 것으로, 공격자는 성공률을 높이기 위해 공식 패치가 나오지 않아 탐지가 어려운 제로데이 취약점을 악용하는 것입니다.

 

▲감염 경로/기법의 다중화

악성 웹사이트와 이메일의 결합, 피싱 사이트에서 악성코드까지 유포하는 등 다중적인 방법이 등장하고 있습니다.  

 

▲SNS 기반 보안 위협 본격화

트위터에서 단축 URL을 이용해 악성코드 유포 및 피싱 웹사이트로 유도하거나 SNS(소셜 네트워크 서비스)를 악성코드 조종을 위한 C&C 시스템으로 악용하는 사례가 발견됐습니다.

 

▲스마트폰 보안 위협 첫 등장

윈도우 모바일에 감염되는 악성코드인 ‘트레드다이얼(TredDial)’의 실제 감염 사례가 국내에서 처음 발생했습니다. 무단으로 국제전화를 발신해 비용을 발생시키는 증상으로 실제 피해는 없었으나 이후 유사 사례를 예고했다는 의미가 있습니다.

 

<안철수연구소 대응 전략>

 

안철수연구소는 DDoS 공격을 비롯해 더욱 지능화 복합화한 보안 위협에 ‘ACCESS(AhnLab Cloud Computing E-Security Service)’ 전략으로 전방위 입체적인 대응을 합니다. ‘ACCESS’는 ASEC(시큐리티대응센터)의 악성코드 수집 및 분석 능력과 CERT(침해사고대응팀)의 위협 모니터링 및 대응 서비스를 지능형 기술로 받쳐주는 플랫폼입니다. 각종 보안 관리 데이터베이스(DB)와 유기적으로 결합해 위협의 근원인 악성코드와 해킹 기법을 실시간 수집/탐지/치료함은 물론 악성코드 시그니처 DB를 다이나믹하게 생성합니다. 이 결과는 ASEC과 CERT, 안철수연구소 제품 및 서비스, 유관 전문 기관과 실시간 연계되어 신속하고 정확하게 일관된 종합 대응을 할 수 있습니다(그림3).

 

또한 보안 위협은 지능화를 거듭하기 때문에 그에 효과적으로 대응하려면 ‘제품’뿐 아니라 ‘운영’이 중요합니다. 이에 따라 안철수연구소는 컨설팅부터 제품, 보안관제 서비스에 이르기까지 종합적인 대책을 제공합니다. 특히 DDoS의 경우 기존 DDoS 대응 장비가 단순히 장비 차원의 방어에만 초점이 맞춰져 있던 것과 달리 사전 컨설팅, 모의 공격 대응 훈련, 보안 관제 등 3단계 서비스로 전방위적인 DDoS 대응 프로세스를 제공합니다. 안철수연구소 DDoS 전용 장비인 트러스가드 DPX(TrusGuard DPX)는 다단계 필터 구조와 정밀한 자동 학습으로 오탐이 적고 방어 기능이 탁월한 것이 강점입니다. 현존 대부분의 DDoS 공격을 차단하며, HTTP에 특화한 애플리케이션 DDoS 공격 유형과 신규 공격 유형에도 신속히 대응합니다.

 

안철수연구소 김홍선 대표는 “7.7 DDoS 대란 1주년을 앞두고 전반적인 보안 대책을 총체적으로 점검하는 계기가 되었으면 한다. 보안의 목적은 안전하게 관리되어 신뢰받을 수 있는 플랫폼을 만드는 데 있다. 어느 한 쪽만 잘해서는 되지 않고 정부기관, 기업, 개인이 같이 이루어가야 한다.”라며 “항상 현장에 적용되고 실천되어야 하는, 선택이 아닌 필수 사항이며, IT 담당자뿐 아니라 사용자 모두가 책임져야 하고 최고책임자의 관심과 투자가 필요하다.”라고 강조했습니다.

 

<그림1> 2009년 하반기, 2010년 상반기 월별 악성코드 탐지/차단 보고 건수

 

<그림2> 2009년 하반기, 2010년 상반기 웹 사이트를 통해 유포된 악성코드 수치

 

 

 

<그림3> 안철수연구소 ACCESS(AhnLab Cloud Computing E-Security Service) 전략