MAU'S

보안 기업인 안철수연구소가 12일 ‘2011년 상반기 10대 보안 위협 트렌드’를 발표했다. 안 연구소는 올해 상반기 주요 위협으로 ▲기업 대상 악의적 해킹 시도 증가 ▲더욱 대담해진 온라인 뱅킹 해킹 ▲모바일 악성코드 기승 ▲SNS로 유포되는 악성코드 급증 진짜 백신으로 위장한 가짜 백신 등장 윈도우 시스템 파일을 패치하는 악성코드 증가 ▲악성코드 첨부 메일 증가 ▲웹 애플리케이션 취약점 악용한 악성코드 증가 ▲맥 OS를 겨냥한 악성코드 본격화 ▲온라인 게임 해킹 툴 기법 지능화를 꼽았다.

(1) 기업 대상 악의적 해킹 시도 증가
올해 상반기에는 기업 대상 해킹 시도가 증가했다. 글로벌 에너지 업체의 기밀 정보를 탈취하려는 나이트드래곤(Night Dragon) 위협, EMC/RSA에서 발생한 OTP(One Time Password) 관련 기밀 탈취 위협, 해킹 그룹 룰즈섹(LulzSec)이 소니(Sony)의 고객 정보를 대량 유출한 사고가 대표적이다. 국내에서도 대형 금융기관 대상의 악의적 해킹이 일어났다.

이러한 해킹 시도는 그 피해의 여파가 과거에 비해 더 크며, 금전 탈취는 물론 자신들의 주장을 관철하려는 핵티비즘(Hacktivism) 성격으로까지 다양해지고 있는 것이 특징이다.

(2) 더욱 대담해진 온라인 뱅킹 해킹
온라인 뱅킹 중에 전송되는 금융 정보를 탈취하는 악성코드는 올해도 지속적으로 국내외에서 발견되고 있다. 국내에서는 온라인 뱅킹을 지원하는 국내 대부분의 은행 사이트를 대상으로 한 악성코드 뱅커(Banker)가 발견됐으며, 해외에서는 2010년에 심각한 금융 보안 사고를 유발한 악성코드 제우스(Zeus)의 변형을 제작할 수 있는 소스코드가 유출되기도 했다.

안 연구소는 “사용자가 더욱 세밀한 보안 설정과 관리를 해야 한다”며 “온라인 뱅킹 암호를 주기적으로 변경하고 공인인증서 관리에도 특별한 주의를 기울여야 할 것”이라고 조언했다.

(3) 모바일 악성코드 기승
올해 상반기 안드로이드(Android)용 악성코드가 크게 증가했다.

사용자 모르게 루트(Root) 권한을 획득하는 루팅(Rooting)을 수행하는 ‘Zft’, 사용자의 통화 목록과 문자 내역 그리고 웹사이트 방문 기록 등을 탈취하는 ‘키드로거’(KidLogger), 안드로이드 스마트폰을 원격으로 제어할 수 있는 ‘드로이트쿵후’(DroidKungFu)가 대표적이다. 이 밖에 탈옥(JailBreak)된 아이폰과 아이패드에 설치되어 키보드 입력값을 가로채는 상용 키로거(Keylogger)도 발견됐다. 모바일 악성코드는 감염 기법과 동작 방식이 점차 PC용 악성코드와 유사해져 향후 더 심각한 보안 위협이 될 것으로 예측된다.

(4) SNS로 유포되는 악성코드 급증
올해부터 본격적으로 SNS(소셜 네트워크 서비스)가 악성코드 유포 경로로 악용되기 시작했다. 많은 사람의 주목을 끌어야 하는 만큼 사회적 이슈를 이용한 사례가 많았다. 일례로 일본 대지진 관련 기사나, 빈 라덴 사망 관련 동영상으로 위장한 가짜 백신들이 유포됐다. SNS는 그 특성상 악성코드와 피싱(Phishing) 등에 쉽게 노출된다.

(5) 진짜 백신으로 위장한 가짜 백신 등장
가짜 백신이 이제는 버젓이 진짜 백신으로 위장하는 사례까지 등장했다. 해외 백신인 ‘AVG’, ‘비트디펜더’(BitDefender)와 동일한 UI(사용자 인터페이스)와 아이콘을 도용한 가짜 백신이 발견됐다. 이는 사용자로 하여금 허위 진단 결과를 신뢰하게 하여 금전 획득의 가능성을 높이려는 의도이다.

또한 더 많은 PC를 감염시키기 위해 유포 방식도 지능화했다. 검색 엔진에서 검색한 이미지 파일을 클릭하면 가짜 백신 유포 웹사이트로 연결되게 한 것이다. 안 연구소는 일종의 ‘블랙햇 검색엔진최적화’(BlackHat Search Engine Optimization) 기법으로, 검색 결과를 조작해 가짜 백신 유포 사이트로 연결하는 종전 방식에서 변형된 형태라고 설명했다. 

(6) 윈도우 시스템 파일을 패치하는 악성코드 증가
2011년 상반기에 유포된 악성코드 중 윈도우 운영체제에 존재하는 정상 시스템 파일을 악의적 목적으로 패치(Patch)하거나 변경하는 악성코드가 급증했다. 윈도우 시스템 파일(imm32.dll, ksuser.dll, midimap.dll, comres.dll 등)을 패치하여 다른 악성코드를 감염시키거나 특정 온라인 게임의 사용자 정보를 탈취하는 악성코드가 다수 발견됐다.

일부 악성코드는 윈도우 시스템 파일뿐 아니라 백신이 사용하는 파일을 삭제 또는 변조하거나 윈도우 서비스를 강제 종료하는 등 보안 제품의 작동을 방해하기도 한다. 이런 유형은 악성코드를 삭제할 경우 시스템 자체를 손상시키므로, 백신의 진단/치료를 어렵게 하려는 목적으로 제작되었다고 볼 수 있다.

(7) 악성코드 첨부 메일 증가
안 연구소에 따르면 악성코드를 첨부한 메일의 유포가 올해 2분기를 기점으로 다시 증가했다. 페이스북에서 발송하는 메일로 위장한 사례, UPS나 페덱스(FedEx)와 같은 택배 운송 업체의 메일로 위장한 사례가 대표적이다. 인터넷 쇼핑몰 주문 확인, 신용카드 한도 초과 안내 메일로 위장한 사례도 발견됐다. 이런 악성코드 대부분이 해외에서 제작된 가짜 백신을 설치하려는 목적으로 유포됐으며, 사용자가 많은 온라인 서비스로 위장한 점이 특징이다.

(8) 웹 애플리케이션 취약점 악용한 악성코드 증가
올해 상반기 악성코드에 악용된 취약점 대부분이 웹 애플리케이션과 관련되어 있다. 이로 인해 단기간에 많은 PC가 악성코드에 감염됐다. 특히 2분기에는 보안 패치가 제공되기 전에 발견된 제로 데이(Zero Day) 취약점 모두가 어도비 플래쉬 플레이어에서 발견됐다. 취약점을 악용하는 악성코드는 주로 온라인 게임 사용자의 정보를 탈취하거나 윈도우 시스템 파일을 패치한다. 그러므로 MS뿐 아니라 어도비가 제공하는 보안 패치도 빠짐없이 설치해야 악성코드 감염을 예방할 수 있다.

(9) 맥 OS 겨냥한 악성코드 본격화
아이폰과 아이패드 사용자가 늘어남에 따라 애플 운영체제(OS)인 ‘맥’용 악성코드도 동반해서 증가하는 추세이다. 맥 OS에 가짜 백신을 설치하는 맥디펜더(MacDefender) 종류가 대표적이다. 이 악성코드들은 트위터로 유포됐으며, 시스템 전체를 검사하는 것처럼 위장하고 허위 감염 결과를 보여준다. 사용자는 애플사가 제공하는 보안 패치를 설치하고 악성코드 감염을 주의할 필요가 있다.

(10) 온라인 게임 해킹 툴 기법 지능화
비정상적인 방법으로 메모리, 게임 파일, 서버 등에 접근하여 데이터 등을 변조함으로써 게임 플레이를 불공정하게 이끄는 온라인 게임 해킹 툴은 보안 솔루션을 회피하기 위해 새로운 방식이 많이 적용되는 추세다. 메모리 조작은 코드 조작에서 데이터 메모리 조작으로, 오토플레이는 키보드/마우스 관련 함수를 이용하는 방식에서 게임의 특정 기능을 수행하는 함수를 직접 호출해 오토플레이를 구현하는 방식으로 변화했다.

한편, 온라인 게임 해킹 툴은 작년 상반기에 1068개가 발견된 데 비해 올해 상반기에는 총 4050개로 약 300% 늘어났다. 해킹 유형 별로는 메모리 조작이 2575개로 비중이 가장 높고 오토플레이는 1274개로 집계됐다.