본문 바로가기
AhnLab 보안in

안철수연구소 상반기 10대 보안 이슈 발표

by 보안세상 2020. 4. 8.

2009.07.24

 

안철수연구소(대표 김홍선 www.ahnlab.com)는 최근 ‘ASEC(시큐리티대응센터) 리포트’에서 올해 상반기 보안 이슈 동향을 발표했습니다. 이에 따르면 사용자의 재산과 금전을 노리는 악성코드, 해킹, 스파이웨어 등 보안 위협 요소는 전년 동기 대비 약 2.1배 급증했고, 웹사이트에서 유포된 악성코드 수가 136만여 개에 달해 웹사이트의 안전 문제가 심각한 것으로 나타났습니다.

 

올해 상반기에 새로 발견된 악성코드 및 스파이웨어는 22,537개로 전년 동기 10,589개에서 약 2.1배 증가했습니다. 이 중 개인 정보를 탈취하는 트로이목마의 비중이 48.8%로 여전히 높은 비중을 차지했습니다(표 1). 또한 보안에 취약한 웹사이트에서 유포된 악성코드 수가 1,363,866개에 달하고 49,567개의 웹페이지에서 악성코드가 발견됐습니다. (도표 1, 2)

 

또한 올 상반기 10대 주요 이슈로는 스팸 메일 발송하는 커널 스팸 봇 급증, 콘피커 웜 변종 기승, 웹 공격의 지능화 등을 비롯해 메신저 계정 수집하는 악성코드 기승, 국산 엑셀 매크로 바이러스 확산, 동영상 재생 프로그램 가장한 국산 스파이웨어 발견, 제로데이(0-day) 취약점 발견 급증, 외산 가짜백신 배포 방법 및 감염 증상의 지능화, 사회 이슈 이용한 웨일덱 웜의 확산, 바이럿 바이러스 변형 피해 지속 등이 꼽혔습니다.

 

▲ 스팸 메일 발송하는 ‘커널 스팸 봇’ 급증

스팸 메일을 발송하는 기계라 할 수 있는 커널 스팸 봇의 피해 신고가 올 상반기에 급증했습니다. 커널 스팸 봇이란 커널 모듈로 존재하며 윈도우 주요 시스템 프로세스에 자신의 쓰레드를 생성하여 동작하는 악성코드를 말합니다. ‘러스톡’(Win-Trojan/Rustock)이 대표적입니다. 이 악성코드에 감염된 PC에서는 주로 불법적인 약 광고 스팸 메일이 발송된다. 단지 스팸 메일을 보내는 데 그치지 않고 정보 유출(백도어) 기능도 하고 있습니다. 또한 고도의 자기 보호 기능이 있어 진단 및 치료가 매우 어렵다. 이 악성코드의 감염 경로는 다양합니다. 메일에 삽입된 인터넷 주소를 클릭하거나 보안이 취약한 웹사이트를 방문했을 때 웹브라우저의 취약점 등으로 자동 다운로드 및 실행되는 것으로 보입니다.

 

▲ 콘피커 웜 변종 기승

콘피커 웜(Win32/Conficker.worm)은 2008년 10월 말 첫 보고 이후 현재까지 위세를 떨치고 있습니다. 그 이유는 확산 방법이 다양하고 지능적인 자기 보호 기능이 있기 때문이다. 즉, 전파 방법이 USB의 자동 실행(Autorun), 네트워크 공유 폴더, MS08-067 보안 취약점 등으로 다양합니다. 더욱이 안티바이러스 제품의 실행 종료, 운영체제의 방화벽 기능 해제는 물론 인터넷 주소 조작으로 안티바이러스 업체 같은 특정 주소로의 접근을 차단하는 등의 기법으로 자기를 보호합니다. 올 상반기에는 A~E형까지 다수의 변형이 발견되었고, 새 변형마다 새로운 감염 경로 및 특징을 보여주었습니다. 앞으로도 어떤 변형이 제작돼 피해를 줄지 예측하기 어렵기 때문에 주의가 필요합니다.

 

▲ 웹 공격의 지능화

일반적인 웹 공격은 정상적인 사이트를 해킹한 후, 취약점 공격코드(Exploit)가 있는 서버로 연결되는 URL을 삽입하는 방법을 씁니다. 최근에는 여기에 더해 서버로 바로 연결되지 않고 중간에 다른 서버를 거치거나(다중 리다이렉션(Re-Direction)), 정상 링크와 매우 흡사한 링크를 사용하는 등 교묘한 기법이 더해졌습니다. 이 밖에도 다양한 툴킷을 쓰거나 난독화, 우회 등의 지능적인 방법을 씁니다.

 

▲ 메신저 계정 수집하는 악성코드 기승

최근 타인의 계정으로 메신저에 로그인해 지인인 척 대화 상대에게 금전을 요구하는 사기가 증가하는 추세입니다. 이런 계정 탈취의 수단 중 하나로 추정되는 것이 ‘나티스’(Win-Trojan/Natice) 악성코드 변형들입니다. 이 악성코드는 그림 파일로 위장하거나 직접 다운로드 링크를 대화 상대에게 보내기도 합니다. 연결된 페이지는 일종의 피싱 페이지로서 메신저 로그인 계정을 입력하도록 돼 있습니다. 이렇게 수집된 계정을 사기에 이용하는 것으로 보입니다.

 

▲ 국산 엑셀 매크로 바이러스 확산

국산 매크로 바이러스는 자취를 감춘 지 오래되었으나 올해 5월 초부터 ‘엑시스’(X97M/Ecsys) 바이러스가 광범위하게 확산됐습니다. 엑셀 파일을 실행할 때마다 다른 문서 파일을 감염시키며, 오후 4시 44분 44초가 되면 특정 파일을 삭제하는 것처럼 메시지를 보여준 후 ‘뻥!임’이라는 메시지 창을 띄웁니다. 비주얼 베이직 편집기로 자신을 보려고 하면 자신의 코드를 삭제합니다.

 

▲ 동영상 재생 프로그램 가장한 국산 스파이웨어 발견

국산 스파이웨어의 배포 방식이 바뀌고 있습니다. 이전에는 주로 액티브X를 이용해 배포됐으나, 최근에는 많은 관심을 끄는 이슈로 사용자를 유인하고 동영상 재생 프로그램(코덱)이나 동영상 자체로 가장해 배포되고 있습니다. 즉, 관심을 끌 만한 동영상으로 사용자의 접속을 유도한 후 동영상을 클릭하면 코덱을 설치하라고 메시지를 보여줍니다. 이때 설치되는 프로그램은 코덱이 아니라 가짜백신이나 스파이웨어입니다. 이런 방식은 대부분 해외에서 발견됐으나 최근에는 국내 제작자가 모방하는 추세입니다.

 

▲ 제로데이(0-day) 취약점 발견 급증

올해는 제로 데이 취약점이 많이 발견됐습니다. MS 파워포인트, MS 엑셀, MS SQL 등 MS사 제품군은 물론 어도비 아크로뱃 리더처럼 대중성이 높은 일반 애플리케이션에서도 잇달아 발견됐습니다. 제로 데이 취약점은 개발사에서 공식적인 패치를 제공하기 전에 악성코드의 공격을 받기 때문에, 사용자의 주의와 함께 이를 사전에 최대한 탐지하는 보안 제품을 사용하는 것이 효과적입니다.

 

▲ 외산 가짜백신 배포 방법 및 감염 증상의 지능화

안티스파이2009(Antispy2009)와 같은 이름으로 많은 피해를 입힌 가짜백신의 배포 방법이 다양해졌습니다. 가짜 백신 배포자는 최대한 많은 PC에 설치해 수익을 올리기 위해 다양한 배포 방법을 씁니다. 음란 사이트나 불법 소프트웨어 사용을 위해 필요한 키 생성 프로그램을 가장해 설치를 유도하거나, 유명 사이트를 변조해 사이트 방문 시 운영체제의 취약점을 이용해 설치합니다. 최근에는 이메일의 첨부 파일로 전파되는 이카드(e-card) 형태의 악성코드에 의해서도 설치됩니다. 또 유튜브 같은 동영상 사이트에서 해당 사이트를 직접 방문하게 하거나 공유 파일을 이용해 설치를 유도하기도 합니다. 가짜백신은 바탕화면을 변경하고 사용자가 바꿀 수 없게 만들거나, 컴퓨터의 보안 설정을 변경하거나 인터넷 익스플로러를 제외한 모든 프로세스를 동작할 수 없게 하는 등의 증상을 보입니다.

 

▲ 사회 이슈 이용한 웨일덱 웜의 확산

웨일덱 웜(Win32/Waledac.worm)은 이스라엘의 가자 지구 침공, 발렌타인 데이, 오바마 대통령 당선, 테러 관련 뉴스 등 잘 알려진 사회적 이슈를 이용하여 메일로 유포되었습니다. 메일 내 특정 링크를 통하여 사용자를 특정 웹 페이지로 유도합니다. 해당 웹 페이지에 접속하면 페이지의 내용에 맞는 특정 실행 파일의 다운로드 창이 나타납니다. 또한 특정 웹 서버로 접속하려고 시도하는데, 이는 감염된 다른 시스템과 암호화된 통신을 하기 위한 것으로 보입니다. 이 웜은 조직적으로 제작, 유포되는 것으로 보여 올 한 해 많은 변형이 제작돼 피해를 줄 가능성이 높아 보입니다.

 

▲ 바이럿 바이러스 변형 피해 지속

바이럿(Win32/Virut) 바이러스는 2006년 발견된 이래 지속적으로 변형이 제작돼 피해를 주고 있습니다. 그 이유는 컴퓨터의 메모리를 감염시키기 때문에 메모리 치료를 선행하지 않으면 반복적으로 감염되기 때문입니다. 또한 보안 소프트웨어의 진단을 회피하는 변형이 지속적으로 제작되는 것도 주된 이유입니다. 최근에는 온라인 게임의 패치 파일이 바이럿 바이러스에 감염된 채 배포되기도 했습니다.

 

시큐리티대응센터 조시행 상무는 "악성코드는 가능한 모든 경로를 이용해 유포되며, 특히 웹사이트나 메신저가 주된 유포 경로로 악용되는 추세입니다. 또한 개인 정보를 빼돌리거나 가짜백신 및 스파이웨어처럼 금전적 이득을 취하기 위한 악성코드 등 보안 위협의 종류도 갈수록 늘고 있습니다. 개방적 환경인 인터넷으로 연결된 채 이런 위협에 노출된 사용자는 피해자인 동시에 가해자가 될 수 있습니다. 따라서 사용자 각자 보안 수칙을 잘 지키고 신뢰할 수 있는 보안 전문 기업의 도움을 받아야 안전한 인터넷 환경을 만들 수 있다.”라고 강조했습니다.

<표 1> 2007~2009년 상반기 신종 악성코드 수

구분

트로이목마

바이러스

스파이웨어

기타

합계

2007년 상반기

423

2731

52

1070

100

4376

2008년 상반기

531

6753

858

2294

153

10589

2009년 상반기

1253

10988

558

9596

141

22537

 

<도표 2> 악성코드가 발견된 웹페이지 수