본문 바로가기
AhnLab News

2007.12.24 2007년 보안 위협 10대 트렌드_악성코드 39.1% 증가

by 보안세상 2020. 3. 21.

안철수연구소가 2007년 1월부터 11월까지의 악성코드/스파이웨어 동향을 분석한 결과를 발표했습니다.

▶공격의 국지성 심화를 비롯해 ▶’사이버 블랙 마켓’ 통한 대가성 범죄 급증 ▶웹사이트 해킹 심화 ▶허위 안티스파이웨어 급증 ▶좀비 PC 만드는 봇넷(BotNet) 기승 ▶이동저장장치 노린 악성코드 기승 ▶스파이웨어 전파 방법의 지능화 ▶악성코드 은폐 기법의 고도화 ▶ARP 스푸핑 해킹 기법과 악성코드의 결합 ▶애플리케이션 취약점 공격 다양화 등을 들었습니다.

또한   올 1월∼11월에 새로 발견된 악성코드(바이러스, 웜, 트로이목마의 통칭)는 5,599개로 전년 동기 대비 39.1% 증가했으며, 스파이웨어는 6,036개가 새로 발견돼 지난해 동기 대비 11.7% 증가했습니다.

자세한 내용을 살펴보도록 하겠습니다.



공격의 국지성 심화

악성코드의 국지성이 심화했다. 그 이유는 악성코드 제작자들이 금전을 얻고자 개인 정보 빼내는 데 목표를 두기 때문이다. 따라서 불특정 다수가 아닌 한 국가, 한 회사, 한 커뮤니티 사이트를 겨냥해 웹사이트를 해킹한 후 악성코드를 심는 일이 갈수록 급증하고 있다. 단적인 예로 특정 온라인 게임의 사용자 계정을 탈취하는 트로이목마의 경우 올해 1800개가 발견돼 전년 동기 대비 95.9% 증가할 만큼 기승을 부렸다.

’사이버 블랙 마켓’ 통한 대가성 범죄 급증

사이버 상에서 거래되는 가상의 재화를 현금으로 교환하는 일이 늘고 있다. 이에 따라 불법으로 재화를 거래하는 소위 ’사이버 블랙 마켓’이 형성된 것으로 알려졌다. 최근 발생하는 대부분의 보안 위협은 ’블랙 마켓’을 통해 현금을 얻는 데 목적이 있는 것으로 보인다. 여기서는 신상 정보 및 신용카드 정보, 온라인 게임 계정 등이 거래되고 있으며, 악성코드가 판매되는가 하면 봇넷이나 피싱, DDoS(분산 서비스 거부) 공격 등을 대가를 받고 해주는 것으로 알려져 있다.

현재 ’블랙 마켓’이 가장 크게 활성화한 곳은 러시아와 중국이다. 우리나라는 중국 블랙 마켓의 영향력이 크게 미친다고 볼 수 있다. 특히 두 나라 사이에서는 대규모 다중사용자 온라인 롤플레잉 게임(MMORPG)에서 발생하는 아이템이 현금으로 거래되고 있어 게임 사용자의 정보가 매우 큰 가치를 갖는다. 따라서 이를 노리는 피해 규모도 상상을 초월할 것으로 추정된다.

웹사이트 해킹 심화

웹사이트가 해킹을 당해 악성코드와 스파이웨어를 유포하거나 해당 웹페이지로 유도하는 역할을 하는 일이 많이 발생했다. 2007년 한 해 동안 2006개의 웹사이트가 악성코드/스파이웨어 유포지나 경유지로 이용됐다(표 4). 특히 인터넷 뉴스, 포털 사이트 등 방문자 수가 많은 웹사이트가 주된 해킹 대상이었다. 이는 다수의 취약한 PC에 악성코드를 설치할 수 있다는 점에서 가장 효과적인 방법이기 때문이다.

허위 안티스파이웨어 급증

스파이웨어의 발견 및 피해 신고가 늘고 있을 뿐 아니라 허위 안티스파이웨어 또한 증가해 큰 피해를 주었다. 악성코드에 감염되었다는 허위 메시지를 보여주고 치료를 유도하는 허위 안티스파이웨어는 2006년에는 67개가 발견됐으나 2007년 11월 말 현재 186개로 3배 가까이 급증했다.

좀비 PC 만드는 봇넷(BotNet) 기승

2007년 악성 IRC봇의 수는 2006년에 비해 다소 감소했다. 하지만 화상채팅 사이트, 게임 아이템 거래 사이트에 대한 DDoS 공격처럼 봇넷을 이용한 공격은 점차 대담해지고 있다. IRC 채널뿐 아니라 P2P를 이용하는 경우도 많아지고, 컴퓨터의 사양이 좋아짐에 따라 몇십 대에서 몇백 대의 좀비 PC만으로 DDoS 공격이 가능하기 때문에 피해는 갈수록 커질 것으로 전망된다.

이동저장장치 노린 악성코드 기승

2007년은 이동저장장치(USB 플래시 메모리, 이동식 하드디스크)를 통해 전파되는 오토런(Autorun) 웜이 기승을 부렸다. USB 플래시 메모리 사용이 대중화함에 따라 악성코드 제작자들도 이를 노린 것으로 보인다. 현재 USB 플래시 메모리는 악성코드 전파 경로로만 이용되고 있지만 USB 플래시 메모리에 저장된 공인인증서 등의 정보 자체를 노린 악성코드도 등장할 수 있다.

스파이웨어 전파 방법의 지능화

스파이웨어가 사용자의 동의를 거치지 않고 손쉽게 설치되기 위해 각종 지능적인 기법을 사용하고 있다. 다른 프로그램이 설치될 때 사용자 몰래 함께 설치되거나 동영상 플레이어 같은 특정 프로그램이 설치된 후 그 프로그램의 일부인 양 다운로드되기도 한다. 스파이웨어가 설치된 것을 인지하지 못하게 하거나 분석을 어렵게 하는 루트킷(root kit; 해커가 컴퓨터에 침입한 사실을 숨긴 채 관리자용 접근 권한을 획득하는 데 사용하는 도구)을 상용하기도 한다. 10월에 등장한 랜섬웨어는 동영상 플레이어 설치 후 화면을 크게 하는 데 필요한 프로그램인 것처럼 설치됐다. 사용자의 동영상 파일을 임의로 다른 폴더에 옮긴 후 실행하려고 하면 휴대전화 번호를 입력해 인증 절차를 거치게 하고, 7일 동안 해지하지 않으면 매달 자동 결제가 되도록 해 많은 피해를 낳았다.

악성코드 은폐 기법의 고도화

보안 제품의 성능 및 진단 기법이 향상됨에 따라 최근의 악성코드들은 보안 제품을 역분석해 진단을 회피하거나 무력화를 시도한다. 최신 기법에는 첫째, 종전에는 보안 제품의 프로세스를 종료하거나 파일을 삭제했으나, 최근에는 보안 제품이 정상적으로 동작하는 것처럼 보이지만 실제 기능은 중지시켜 사용자가 인지하기 어렵게 하는 기법이 있다. 둘째, 윈도 파일 보호 기능을 기존과 전혀 다른 방법으로 우회해 시스템 파일을 악성코드로 변경하는 기법이다. 셋째, 정상 행위와 악성 행위를 교묘히 섞어 보안 제품이 악의적인 행동을 탐지하지 못하게 하거나 잘못 탐지하도록 유도하는 방법이다.

ARP 스푸핑 해킹 기법과 악성코드의 결합

ARP 스푸핑(Address Resolution Protocol Spoofing)은 동일 네트워크에 존재하는 공격 대상 PC의 IP 주소를 공격자 자신의 랜카드 주소와 연결해 다른 PC에 전달돼야 하는 정보를 가로채는 공격을 말한다. 어떤 PC에 ARP 스푸핑 기능을 가진 악성코드가 설치되면 약간의 조작으로 동일 구역 내의 다른 PC에 쉽게 악성코드를 설치할 수 있다. 이 기법 자체가 새로운 것은 아니지만 올해 상반기에 많은 피해가 있었다. 한편, ARP 스푸핑을 통해 VoIP 도청 등 데이터 변조를 쉽게 할 수 있어 기업 내부 네트워크 보안의 중요성이 부각되고 있다.

애플리케이션 취약점 공격 다양화

2007년에 나온 MS 보안 패치 중 애플리케이션(오피스, 인터넷 익스플로러, 일반 애플리케이션)에 관련된 것이 총 66%를 차지했다. 애플리케이션 취약점을 이용해 악성코드가 포함된 파일을 대량 메일로 전송하거나, 인터넷 익스플로러의 취약점을 통해 악성코드를 배포하는 사건이 빈발했다. MS사의 애플리케이션 취약점뿐 아니라, 애플 맥 OS X, 액티브X, 멀티미디어 플레이어, 이미지 뷰어, 메신저 등 사용자들이 많이 사용하는 애플리케이션들을 위협하는 요소도 늘었다.