본문 바로가기
AhnLab News

2010.12.22 안철수연구소, 2010년 10대 보안 위협 트렌드 발표

by 보안세상 2020. 4. 4.

사회 기반 시설, 스마트폰, SNS 겨냥한 악성코드 등장
-국제적 이슈, 유명 기업 사칭 등 사용자 현혹 방법 지능화
-교묘한 은폐 기법과 다양한 피싱 방법으로 지속적인 금전 탈취

 

글로벌 통합보안 기업인 안철수연구소(대표 김홍선, www.ahnlab.com, 약칭 ‘안랩’) 22일 올 한 해 동안의 보안 위협의 주요 흐름을 분석해 ‘2010 10대 보안 위협 트렌드’를 발표했다. 이에 따르면 올 한 해를 주요 이슈는 ▶사회 기반 시설 노린 스턱스넷, 사이버 전쟁의 서막 ▶스마트폰 보안 위협의 현실화 ▶정보의 허브 SNS, 악성코드의 허브로 악용 ▶DDoS 공격용 악성코드의 변종 등장 ▶국제적 이슈 악용한 사회공학 기법 만연 ▶악성코드 배포 방식의 지능화 ▶제로데이 취약점, 악성코드가 한 발 먼저 악용 ▶개인 정보 노출의 2차 피해, 돈 노린 피싱의 다양화 ▶금전 노린 악성코드에 ‘한류’ 열풍 ▶온라인 게임 해킹 툴 급증 등이었다.

 

1.   사회 기반 시설 노린 스턱스넷, 사이버 전쟁의 서막

사회 기반 시설 자체가 공격 대상이 될 수 있음을 증명한 ‘스턱스넷(Stuxnet)’ 악성코드가 올해 최대 이슈 중 하나였다. 스턱스넷은 교통, 전기, 수도, 발전소와 같은 사회 기반 시설의 제어 시스템(PCS; Process Control System)을 감염시켜 오작동을 유발한다. 실제로 이란 원전 시설에서 원심분리기의 오작동이 발생한 바 있다. 지금까지 이런 시스템은 외부와 단절된 폐쇄망 안에 있기 때문에 안전하다고 간주되었으나, 이제는 적극적인 보안 대책이 필요하다는 것을 경고한 사건이었다. 또한, 의도적으로 이란 원전을 노렸다는 의혹이 제기됨에 따라 스턱스넷의 출현은 사실상 ‘사이버 전쟁의 서막’으로 인식되었다.

 

2.   스마트폰 보안 위협의 현실화

스마트폰의 급속한 보급에 따라 스마트폰 보안 위협 또한 급증했다. 배경화면 변경, 동영상 플레이어, 유명 게임, 고전 게임 등 대중적인 애플리케이션으로 위장한 악성코드가 다수 발견됐다. 주요 증상은 스마트폰 기기 정보와 사용자 정보를 외부로 유출하는 것부터 유료 문자를 임의 발신해 금전적 피해를 주는 것까지 다양하다.

이월스(Ewalls), SMS센드(SmsSend), 스네이크(Snake), SMS리플리케이터(SMSReplicator), 모바일포넥스(Mobilefonex) 등이 대표적이다. 또한 스마트폰 운영체제나 웹 브라우저 등의 취약점이 발견되고, 이 취약점을 이용해 관리자 권한을 획득하는 툴이 공개되기도 했다. 그런가 하면 스마트폰 내부의 개인 정보를 유출하고 사생활을 감시하는 상용 스파이웨어가 버젓이 판매되기도 한다. 상용 스파이웨어는 사용자가 악의적인 기능이 있으리라 짐작하기 어려우므로 피해가 지속될 수밖에 없다.

 

3.   정보의 허브 SNS, 악성코드의 허브로 악용

올해는 SNS가 악성코드의 플랫폼으로 본격 악용되기 시작한 해이다. 트위터와 페이스북 등 ‘정보의 허브’의 역할까지 하는 SNS(소셜 네트워크 서비스)가 악성코드 유포의 경로로 악용되는 역기능이 나타났다. 대량의 스팸 메일을 발송하는 브레도랩(Win32/Bredolab)은 트위터, 페이스북에서 발송하는 이메일로 위장해 악성코드 유포 사이트로 접속하게 하며, 변종이 지속적으로 제작됐다.

 

또한 트위터의 다이렉트 메시지(DM, Direct Message)로 피싱 사이트 URL을 유포하는 사례, 페이스북의 채팅 창이나 쪽지로 악성코드 유포 사이트의 단축 URL을 전송하는 경우, 페이스북에 설치되는 애플리케이션() 형태의 악성코드 등 다양한 형태가 발견됐다. 또한 트위터나 미투데이를 봇넷 조정용 C&C(명령 및 제어) 서버로 악용하는 악성코드도 등장했다.

 

4.  DDoS 공격용 악성코드의 변종 등장

2010년에도 좀비 PC를 이용한 크고 작은 DDoS 공격이 이어졌다. 좀비 PC를 만들어내는 대표적 악성코드인 팔레보(Win32/Palevo.worm) 2009년 초부터 본격적으로 활동했고, 2010년에는 다양한 변종으로 크게 확산됐다. 팔레보는 C&C 서버로부터 공격 명령을 받아 자신을 전파하거나 혹은 원격지의 타깃 시스템을 공격해 또 다른 좀비 PC를 만든다.

 

5.   국제적 이슈 악용한 사회공학 기법 만연

2010년에는 사회공학기법에 이용될 만한 사회적 이슈가 많았기 때문에 이를 악용한 악성코드 유포가 많았다. SEO(Search Engine Optimization, 검색 엔진 최적화) 기법, 이메일, 파일 공유 사이트를 이용해 유포돼 피해가 확산됐다. 동계 올림픽, 월드컵, 아시안게임 등의 국제 스포츠 대회를 비롯해 아이티 지진, G20, 노벨 평화상 시상식 관련 문구로 사용자를 현혹했다.

 

 

이 밖에도 유튜브, 신용카드사, 온라인 쇼핑몰, 경찰청에서 보낸 메일로 위장해 악성코드 설치를 유도하는 메일도 다수 발견됐으며, 국내 유명 포털 사이트의 디지털 서명 인증서를 도용해 액티브X 형태로 설치되는 악성코드도 등장했다.

 

6.   악성코드 배포 방식의 지능화

ARP 스푸핑(Spoofing) 공격(보충 설명), 스팸 차단 회피, 유명 소프트웨어 모방 등 악성코드 배포 방식이 더 교묘해졌다. 2007년에 많았던 ARP 스푸핑 공격이 올해 다시 많아졌으며, 스팸 차단 제품의 탐지를 회피하기 메일 본문을 텍스트가 아닌 이미지로 처리한 악성코드가 다수 있었다. 이런 악성코드는 주로 DHL, UPS, FedEx 등 유명 운송 회사를 사칭했다. 또한 윈도우나 플래시 플레이어 등 유명 소프트웨어의 업데이트 사이트와 유사하게 만든 악성코드 사례도 있었다.

 

가짜 백신의 경우 사용 중인 윈도우와 동일한 언어로 동작해 사용자가 의심하지 않도록 제작됐거나, 설치되면 웹 브라우저와 가짜 백신을 제외한 모든 프로그램의 실행을 차단하고 유료 치료를 요구하는 등 지능적인 방법이 등장했다.

 

이 밖에 보안 소프트웨어의 진단을 회피하는 악성코드도 대거 제작됐다. 2009년에 등장한 TDL3는 보안 소프트웨어가 접근하지 않는 디스크 영역에 자신을 암호화해 저장하고 부팅 시점부터 동작한다. 최근 이 악성코드의 64비트 윈도우용 변형이 제작됐다. 은폐 기법을 사용해 자신을 숨기고 계속 변형을 만들어내 보안 소프트웨어가 진단/치료하기 어렵게 한다. 또한 크랩루트킷(Win-Trojan/KrapRootkit)은 자신이 진단/삭제되지 않도록 자기보호 기능을 갖고 있다. 메모리 진단/치료를 하지 않으면 계속 피해를 주는 팔레보(Palevo)와 지봇(ZBot) 또한 2009년에 이어 올해도 기승을 부렸다.

 

7.   제로데이 취약점, 악성코드가 한 발 먼저 악용

예년과 같이 어도비사의 어도비 리더, 플래시 플레이어와 MS사의 인터넷 익스플로러에서 다수의 제로데이 취약점이 보고되었다. 과거에는 제로데이(Zero-day) 취약점이 취약점 공개 사이트에 사전에 알려지는 경우가 일반적이었으나 최근에는 악성코드에 이미 이용됐거나 침해 사고가 발생한 후에 뒤늦게 파악되는 경우가 많아 그 위험성이 더욱 높아지고 있다.

 

8.   개인 정보 노출의 2차 피해, 돈 노린 피싱의 다양화

돈을 노린 피싱은 이제 사회 문제가 되었다. 피싱 메일을 비롯해 보이스 피싱, 메신저 피싱까지 다양한 경로로 시도된다. 또한 간단한 클릭 몇 번으로 실제 웹사이트와 구분이 안 될 정도로 정교하게 피싱 사이트를 제작할 수 있는 툴이 사이버 암시장에서 거래되는 실정이다. 특히 올해는 SNS의 활성화로 개인 정보 수집이 더 용이해져 피싱의 위협에 더 쉽게 노출되게 되었다.

 

9.   금전 노린 악성코드에 ‘한류’ 열풍

2009년까지는 금전을 노린 악성코드의 경우 국산의 비중이 극히 적었다. 하지만 올해는 하루에도 수천 개가 발견된 한편, 보안 소프트웨어의 진단을 회피하거나 진단되는 시간을 최대한 지연시켜 수익을 극대화하기 위한 지능적인 시도도 나타났다.

 

10.온라인 게임 해킹 툴 급증

온라인 게임 해킹 툴은 비정상적인 방법으로 메모리, 게임 파일, 서버 등에 접근하여 데이터 등을 변조함으로써 게임 플레이를 불공정하게 이끄는 오토 플레이, 메모리 조작 등의 해킹 툴을 의미한다. 2010 12 2주까지 접수된 해킹 툴 건수는 총 4268건으로 2009 2225건보다 약 91% 증가했다. 해킹 유형 별로는 국내에서는 오토플레이가, 북미와 중국에서는 메모리 조작이 급증했다. 오토플레이는 올해 1358건으로 전년 대비 약 95% 증가했고, 메모리 조작은 2709건으로 전년 대비 약 154% 증가했다.

 

안철수연구소 시큐리티대응센터 전성학 실장은 "스마트폰, SNS 등 사용자의 관심이 쏠리는 곳에 악성코드도 도사리고 있다고 볼 수 있다. 갈수록 교묘해지는 공격 기법과 유포 방식에 대응하기 위해 전문적이고 체계적인 보안 관리와 서비스가 중요하다.”라고 강조했다. <Ahn>

 

<보충설명-ARP 스푸핑 공격>---------------------------------------------------------------------------------------------

 

ARP 스푸핑 공격이란 통신 장비 간의 패킷을 가로채기(스니핑)한 후 ARP(Address Resolution Protocol; 주소 결정 프로토콜) 패킷을 조작하는 것이다. 이를 통해 웹사이트(HTTP 트래픽) 상에 아이프레임(iframe; HTML 문서에서 글 중의 임의 위치에 또 다른 HTML 문서를 보여주는 내부 프레임(inline frame) 태그)을 삽입해 악성코드를 유포한다.  PC가 이 공격을 받아 악성코드에 감염되면 동일 네트워크 상의 다른 PC에 악성코드가 빠르게 확산된다. 따라서 개인뿐 아니라 기업/기관에도 피해가 크다. <Ahn>