본문 바로가기
AhnLab 보안in

[3분기 보안 이슈] 개인과 기업 활동 동시에 위협하는 공격 기승

by 보안세상 2020. 4. 3.

2007.10.08

 

안철수연구소가 올해 3분기 보안 동향을 분석해 발표했습니다. 눈여겨볼 만한 특징은 DDoS 공격, 웹사이트 해킹 등 개인은 물론 기업 비즈니스에도 심각한 타격을 주는 공격이 특히 기승을 부렸다는 점입니다. 또한 한번 설치된 스파이웨어가 다른 스파이웨어나 허위 안티스파이웨어를 줄줄이 설치하거나 바이러스에 감염된 허위 안티스파이웨어가 배포돼 2중의 피해를 유발한 점, 메신저를 통한 악성코드 유포와 윈도 애플리케이션 취약점이 지속적으로 증가하고 있다는 점이 주목할 이슈들로 나타났습니다.

 

더보기

네트워크 마비시키는 DDoS 공격 기승

최근 트로이목마를 이용해 게임 업체 웹사이트를 DDoS 공격해 서비스를 못 하게 한 후 협박해 돈을 갈취한 일당이 구속된 일이 있다. 트래픽의 과부하를 유발해 네트워크를 마비시키는 DDoS(분산서비스거부) 공격이 범죄에 이용된 단적인 사례이다. 아울러 PC용 악성코드가 웹 서버를 공격해 비즈니스의 연속성에 심대한 타격을 줄 수 있다는 경각심을 불러일으킨 사건이다. 지난 9월에는 엘도.10240 트로이목마에 감염된 네트워크에 트래픽이 과도하게 발생하는 현상이 발생했다. 특정 웹사이트에 접속을 반복적으로 시도하는 과정에서 대량의 패킷이 발생한 것으로 추정된다.

 

중국발 웹 해킹 지속 증가

 

중국발 웹 해킹에 의한 국내 웹사이트 피해 사례가 꾸준히 보고되고 있다. 안철수연구소 집계 결과 올해 1월부터 9월까지 웹사이트 해킹은 1006건에 이르며 이 중 42.5%에 달하는 428건이 해당 웹사이트에서 악성코드가 유포된 경우이다. 해킹된 웹사이트에는 보안 취약점이 있다는 것으로, 사용자의 불신을 살 수 있다는 점에서 비즈니스에 악영향을 줄 수 있다. 기업의 웹사이트 관리자는 악성코드가 사용하는 주요 MS 취약점에 대한 보안 패치를 반드시 적용해야 한다. 또한 웹 해킹의 주된 목적은 온라인 게임 계정 탈취용 악성코드를 유포하기 위한 것이므로 사용자는 특정 웹사이트에 접속했을 때 프로그램 설치를 권하는 창이 뜰 경우 주의해야 한다.

 

또 다른 스파이웨어 설치하는 스파이웨어 기승

 

스파이웨어 및 허위 안티스파이웨어의 수가 증가한 것은 물론 설치 방법이 더욱 교묘해지고 있어 문제다. 과거에는 불특정 웹 사이트에서 액티브X 방식으로 설치됐으나 3분기에 들어서 다운로더(다른 악성코드를 다운로드하는 프로그램)를 이용해 설치되는 방법이 많이 이용되고 있다. 즉, 일단 설치된 스파이웨어가 다운로더를 이용해 여러 다른 스파이웨어를 사용자 동의 없이 다운로드 및 실행하는 것이다. 어쩌다 실수로 설치한 단 한 개의 스파이웨어 때문에 사용자는 ‘스파이웨어 폭탄’을 맞게 되는 것이다. 더욱이 이때 설치되는 것 중에는 ‘악성코드 치료 프로그램’이라고 가장한 허위 안티스파이웨어까지 있어 사용자를 혼란에 빠뜨리고 있다. 사용자의 동의를 받고 설치되는 프로그램이라도 약관에 “다른 소프트웨어의 설치, 광고, 전달을 할 수 있다.”는 문구가 포함된 것도 있으므로 각별한 주의가 필요하다.

 

바이러스 전파하는 허위 안티스파이웨어 등장

 

지난 8월 허위 안티스파이웨어가 바이럿(Virut) 바이러스 바이러스에 감염된 채로 배포돼 사용자에게 2중의 피해를 주었다. 이는 지난 1999년 악명을 떨친 CIH 바이러스가 불법복제된 게임 및 PC통신 프로그램 등에 감염돼 널리 확산됐던 사례와 유사하다. 바이러스는 특히 불법복제 소프트웨어나 제작자의 관리가 소홀한 허위 안티스파이웨어 등에도 감염돼 있는 경우가 많다. 따라서 PC 보안을 위해서 정품 소프트웨어, 신뢰할 수 있는 보안 소프트웨어를 사용하는 것이 좋다.

MSN 메신저 웜의 기승

 

올해 들어 MSN 메신저를 유포 수단으로 한 웜이 급증했다. 메신저 창에 특정 인터넷 주소를 클릭하도록 유도하여 자신의 변형을 설치하도록 하는 스트레이션.젠 변형 웜을 필두로 사진이 첨부된 것처럼 속이며 photos.zip 파일 등을 전송하는 셰도봇 웜 변형이 증가했다. 최근 MSN 메신저를 유포 수단으로 하는 악성코드는 자신이 직접 IRCBot 기능을 가지고 있어 악의적인 IRC 서버로 접속해 명령을 받는다. MSN 메신저로 유포되는 악성코드는 3분기에만 15개가 발견돼 작년 동기에 하나도 발견되지 않은 것에 비하면 매우 대조적인 현상을 보였다.

 

윈도 애플리케이션 취약점 증가 추세

 

액티브X나 인터넷 익스플로러, 오피스 등 MS 윈도 관련 애플리케이션 취약점은 올해 1월부터 9월까지 총 31개가 발표됐다. 이는 작년 동기 23건에 비해 34.8% 증가한 것이다. 애플리케이션 취약점은 웹사이트 해킹 후 악성코드를 배포하거나 악성코드가 포함된 문서 파일 등을 메일로 유포하는 데 이용된다. 특히 MS 오피스 파일에 대한 보안 인식이 높지 않기 때문에, MS 오피스 취약점을 이용한 공격이 있을 때 피해가 클 것으로 예상된다. 따라서 수상한 발신인이 보낸, 문서 파일이 포함된 메일을 유의해서 읽어야 하며, 매월 발표되는 보안 패치를 반드시 적용해야 안전하다.

 


이 밖에 3분기에 사회적 주목을 끈 이슈로는 인터넷 뱅킹 보안과 삭제한 개인 정보의 복원 문제가 있었다.  인터넷 뱅킹 시스템의 보안 문제는 USB 키보드 해킹, 메모리 조작 등으로 금융 정보의 유출이나 조작이 가능하다는 것이다. 이것이 실제 사고로 이어지지는 않았지만 향후를 대비해 보안 업계에서는 인터넷 뱅킹의 모든 단계에서 데이터 훔쳐보기나 조작을 방지하기 위한 솔루션을 개발 중이다.

 

삭제한 개인 정보의 복원 문제는 휴대폰 통화 기록, 내비게이션 위치 정보, 이메일 내용, 하드디스크 내 중요 파일 등의 개인 정보가 유출될 수 있다는 것이다. 이에 따라 하드디스크 폐기와 사내 보안, 파일 완전 삭제 소프트웨어데 대한 관심이 높아졌다.

 

한편 3분기에 주목할 악성코드로는 런타임(Runtime) 트로이목마와 젤라틴(Zhelatin) 웜을 들 수 있다. 런타임은 메일로 광범위하게 확산돼 국내외에서 피해 사례가 많이 보고됐다. 매우 자극적인 메일 제목과 본문 문구로 수신인이 첨부 파일을 실행하도록 유도한다. 첨부 파일을 실행하면 특정 호스트로부터 파일을 다운로드하며 자신을 은폐하고 스팸 메일을 발송한다. 따라서 감염 여부를 알기 어렵고, 일반적인 방법으로는 치료하기가 매우 어려우며 자기 복구 기능까지 갖고 있다.

젤라틴(Zhelatin) 웜은 감염된 다른 컴퓨터와 암호화된 내용으로 P2P 네트워크를 구성하는 것이 이색적이다. 이는 감염된 컴퓨터끼리 정보를 교환하고 특정 파일을 다운로드 및 실행하기 위한 것이다. 또한 이 웜은 감염된 시스템의 보안 프로그램을 무력화하며 자신을 실행압축하거나 특정 횐경에서는 실행이 안 되게 함으로써 보안 프로그램이 진단 및 분석하지 못하도록 한다. 메일 주소를 수집해 자신의 변형이나 스팸 메일을 발송하는 것이 주요 증상이다.

 


안철수연구소 강은성 상무는

악성코드 등 정보보안을 위협하는 요소는 갈수록 교묘한 방법으로 컴퓨팅 환경의 취약한 부분을 파고들고 있다. 대부분 돈을 노린 것으로 국지성이 강해지며 점차 심각한 범죄로 이어지고 있는 추세다. 따라서 기업이나 개인이나 다각적인 노력으로 정보 범죄에 대비해야 하며 특히 신뢰할 수 있는 전문 업체의 보안 솔루션을 사용하는 것이 안전하다


라고 강조를 했습니다.