동향 리포트/년간 동향 리포트

2010년 주요 보안 이슈 정리 및 2011년 보안 이슈 전망

TACHYON & ISARC 2010. 12. 6. 11:48

2010년 한해도 지난해와 마찬가지로 다양한 보안 위협들이 발생 하였다. 이러한 보안 위협들로 부터 안전하기 위해 개인 및 기업, 단체들은 보다 보안에 관심을 쏟기 시작했고, 그로 인해 더 다양한 방법으로 악성파일 유포 기법이 등장해 여전히 완벽하게 보안 위협으로 부터 안전할 수 없는 2010년 한 해였다.

그럼 이쯤에서 2010년 발생한 주요 보안 이슈들에 대해 정리해 보고, 이를 바탕으로 2011년 발생 가능한 보안 이슈 전망에 대해 살펴볼 수 있는 시간을 갖도록 하자.

◆ 다시보는 2010년 주요 보안 이슈와 2011년 보안 이슈 전망

1. 메신저, SNS를 통한 악성파일 유포

■ Mi3 메신저를 통한 악성파일 유포

2010년 1월 19일경, 국내 주요 증권회사를 비롯해 여러 금융권에서 사용하는 Mi* 메신저를 통한 악성파일 유포 사례가 발생하였다. 민감한 금융권쪽과 관련된 이슈로 해당 메신저를 배포하는 홈페이지가 해킹을 당하면서 악성파일 유포가 이루어졌다. 해당 악성파일은 IE Zero-Day 취약점을 이용한 것으로 확인되었으며, 다운로드된 Script 파일에 의해 추가적인 악성파일을 다운로드 한다.

금융권의 경우 위와 같은 보안위협이 발생할 경우 민감한 피해가 발생 할 수 있다. 악성파일로 부터 안전하기 위해서는 사용자 뿐만 아니라 관리자 등도 보안관리에 좀 더 신경을 써야한다는 것을 알려준 사례로 남아있다.

[ Mi3 메신저로 유포된 악성코드 주의 ]
http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=84

[ Microsoft Security Bulletin MS10-002 - Critical ]
http://www.microsoft.com/technet/security/bulletin/MS10-002.mspx

■ SNS를 통한 악성파일 유포

최근 트위터, 페이스북과 같이 다양한 정보를 공유하고 소통할 수 있는 SNS(Social Network Service)가 전세계에서 폭발적인 반향을 일으키고 있다. 특히 각종 스마트폰의 보급화가 이루어지면서 이용자 수는 기하급수적으로 늘어나고 있는 상태이다.

※ SNS(Social Network Service)란?

온라인 네트워크 공간을 통해서 불특정 타인과 각종 커뮤니티 교환 등 인맥관계를 형성 할 수 있는 서비스를 뜻한다.

2010년 6월 15일경, 트위터와 페이스북에서 보내온 내용으로 위장한 스팸메일이 발견되었으며, 링크나 첨부파일을 통해 악성파일을 유포한 사례가 있었다.

[ SNS 악성코드 소통의 창구로 악용 주의 ]

http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=88

위와 같은

SNS를 악성파일 제작자가 악용하는 이유

는 우선

"많은 사람들이 이용한다는 점"

"신속한 정보 전파가능"

,

"Short URL 등 변형 주소 사용 가능"

, 또한 위 그림과 같이 첨부된 파일이나 링크 클릭을 유도하는

"사회 공학적 기법 사용이 용이"

하다는 것으로 추정되고 있다. 이용자들은 출처가 불분명한 메일이나 링크 등은 클릭하지 않는 등의 관심과 노력이 필요하다.

2. 국가 주요 산업시설 공격용 악성파일 출현

2010년 7월 경 중국, 이란 등의 해외 원자력, 전기, 철강, 화학과 같은 국가 주요 산업기반 시설 및 자동화 산업 생산시설에 대한 공격을 수행 할 수 있는 악성파일 "Stuxnet"이 등장하여 큰 이슈가 되었다.

Stuxnet(스턱스넷)이란?

주요 산업 기반시설의 집중 원격 통합 감시제어 시스템 (SCADA : Supervisory Control and Data Acquisition) 을 주요 공격대상으로 하여 전파되는 악성파일을 말한다.

독일 지멘스사의 SCADA 시스템의 취약점과 특정 PLC(Programmable Logic Controller : 산업용 제어 컨트롤러)코드를 변형하여 산업시설의 제어 시스템 기능을 마비시키는 것이 최종 목표로 알려져있다.

[ Stuxnet 악성프로그램 분석 및 대응방안 ]

http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=98

이와 같이 악의적으로 특정 시스템의 취약점을 이용하여 심각한 타격을 입히려는

공격적 악성파일이 등장했다는 점은 굉장히 심각한 문제로 발전할 수 있으며, 관련하여 악용될 수 있는 여러 정황 등을 고려한 사회 전반적 논의가 필요하다는 점을 일깨워준 사례

로 남아있다.

3. 잠잠했던 ARP Spoofing 공격 재출현

2010년 중반기는 특정 온라인 게임 등과 관련하여 사용자 계정 정보 탈취를 목적으로 하는 악성파일을 유포하기 위한 기법으로서 ARP Spoofing 기능을 탑재한 악성파일이 함께 유포된 사례가 다수 발견되었으며, 현재도 지속적으로 변종이 출현하고 있다.

※ ARP Spoofing란?

ARP 프로토콜을 기반으로 저장되는 ARP 테이블을 변조하는 것이다. 즉, 간단하게 설명하면 공격자가 Mac 주소에 대해 묻고 응답하는 ARP 패킷을 조작하여 자신이 게이트웨이인 것처럼 위장하는 것이다.

◎ ARP 프로토콜 : IP주소를 Mac주소로 대응시켜주는 프로토콜

ARP Spoofing 공격의 특성상 최초 감염된 PC가 게이트웨이로 위장되어 추가적으로 특정 온라인 게임의 계정 정보 탈취를 목적으로 하는 악성파일을 다운로드 하여 같은 네트워크 대역에 존재하는 PC에 유포하는 형태로 동작되며, 이로인해 좀 더 손쉽게 악성파일 추가감염이 가능해졌다.

이러한

ARP Spoofing 공격과 관련해서는 매일 새로운 변종이 다수 출현하고 있기 때문에 신뢰 할 수 있는 백신을 사용함과 동시에 하기의 경로와 같이 스스로 본인의 PC를 체크 할 수 있는 노력이 필요

하다.

[ ARP Spoofing 공격과 대처법 ]

http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=97

4. 신용카드 이용대금 명세서로 위장한 악성파일 유포 사례

국내 유명 신용카드 이용대금 명세서로 위장한 스팸메일이 유포되어 이슈가 된 사례가 있었다. 이메일을 이용하여 사용자에게 정상적인 신용카드 이용대금 명세서와 유사한 창을 보여주기 때문에 무심코 이에 대한 확인을 할 수 있으며, 확인 시 악성파일에 감염되는 경우가 발생했다.

 

메일을 자세히 살펴보면 내용은 분명 신용카드 회사에서 발송되었으나, 보낸사람의 도메인 주소가 naver.com 이다. 사용자들은 

불분명한 수신처에서 발송된 메일은 가급적 열람하지 않거나 혹여 메일을 확인 하더라도 첨부파일에 대한 실행이나 다운로드는 지양

해야 한다.

 

[ 신용카드 이용대금 명세서로 위장한 악성코드 감염 주의 ]

http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=90

5. 각종 사칭 스팸메일과 관련한 사회공학적 기법 대두

2010년에는 유독 국내외에 사회적으로 굵직한 이슈 및 행사가 많았다. 그와 동시에 어김없이 이러한 사회적 이슈를 악용하는 악성파일에 대한 유포 시도 또한 이루어졌다. "대구경찰청 사이버수사대 사칭"건과 "G20 정상회의 관련"건 가깝게는 "北, 연평도 도발"과 관련한 허위백신 유포건과 "웨스턴 유니온 사칭 건" 등을 예로 들 수 있다.

[ 대구경찰청 사이버수사대 사칭 메일 유포 주의! ]

http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=100

[ G20 정상회의 관련 내용으로 위장한 악성파일 출현! ]

http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=101

[ 北, 연평도 포격과 관련한 사이버 위협 대응태세 유지 ]

http://erteam.nprotect.com/77

[ 웨스턴 유니온(Western Union)사칭 악성파일 유포 메일 국내 유입 ]

http://erteam.nprotect.com/85

위와 같이

사회적 이슈를 악용하여 사칭, 혹은 위장을 하거나 이를 이용해 스팸메일을 통한 악성파일 유포를 시도하는 등의 사회공학적 기법이 기승을 부리는 까닭은 날로 보안에 대한 이슈나 관심이 높아지면서 다른 방법으로 보다 손쉽게 악성파일에 대한 유포를 달성하기 위해서다.

이러한 사회공학적 기법을 이용하는 악성파일로 부터 안전하기 위해서는 매번 이야기하는 것이지만 수신처가 불분명한 메일의 열람 및 첨부파일에 대한 다운로드는 최대한 자제해야 한다.

6. 올해도 끊일 줄 모르는 Zero-Day와 같은 취약점 공격

지난해에 이어 올해도 악성파일 유포 및 감염의 한축이 된 취약점 관련 이슈는 여전히 식을줄 모르고 있다. 보안패치가 발표되지 않은 상태에서 발생하는 새로운 취약점 공격은 그만큼 치명적이며, 플래시 플레이어 (SWF) 취약점, 어도브 리더 (PDF) 취약점, Real Player Exploit, MS Office Exploit 등과 같이 종류도 다양하다. 

이러한 취약점을 이용하는 악성파일은 해킹으로 변조된 웹사이트를 비롯해 위에서 설명한 각종 위장형 스팸메일의 첨부파일을 통해서도 감염이 이루어질 수 있으므로 2009년, 2010년에 이어 2011년에도 기승을 부릴 것으로 예상된다. 취약점 공격을 이용한 악성파일의 감염은 일반 사용자들은 인지 못하는 상태에서 이루어 질 수 있으므로 각종 신규 보안 패치와 백신 제품 사용외에는 확인 할 수 있는 뚜렷한 방안이 없다.

새로운 보안 패치와 사용중인 백신을 최신 엔진 및 패턴 버전으로 유지하는 등 최소한의 보안 수칙은 생활화 하여 보다 안전한 PC사용을 할 수 있도록 스스로의 관심이 필요하다.

7. 스마트폰 악성파일의 대두

스마트폰의 보급이 확대되면서 각종 편의성에 따라 수 많은 어플리케이션 들이 개발되었다. 수 많은 어플리케이션 중 자체로서 악의적인 목적을 가지고 만들어진 어플리케이션이 있는 반면, 악의적인 목적을 가지고 만들어 지지는 않았지만 그 효율성이 양날의 칼이 되어 개인정보 및 휴대폰 정보 등의 탈취에 악용되는 사례가 있었다.

[ Android 용 스마트 폰 악성코드에 대한 최근 이슈 정리 ]

http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=95

[ 스마트폰 GPS 기능은 양날의 칼과 같다 ]

http://erteam.nprotect.com/25
※ 2011년 보안 이슈 전망

2011년에도 어김없이 ▶사회공학적 기법과 취약점 관련 악성파일이 기승을 부릴 것으로 추정된다. 보안에 대한 이슈나 관심이 높아지면서 좀 더 손쉽게 악성파일을 유포하기 위해 향후에도 변함없이 사회공학적 기법은 유용하며, ▶발표되지 않은 보안취약점에 대한 Zero-Day 공격 등 취약점 관련 악성파일 또한, 사전 대응이 어려운 만큼 지속적으로 기승을 부릴 것이 분명하다.

이에 개인 및 단체, 기관, 기업 들의 담당자들은 각종 취약점에 대한 검토를 진행해야 하며, 이러한 위협에 대비하기 위한 메뉴얼을 수립하는 등 세부적인 보안의식 함양 노력이 필요하다.

또한, ▶스마트폰의 보급은 날로 늘어나며, SNS와 같은 서비스 역시 2011년에는 올해보다 규모나 파급 효과가 커질 것으로 예상되므로 악의적 목적을 가지는 스마트폰용 어플리케이션 등장 이외에도 SNS를 매개체로 한 악성파일 유포가 다양한 기법으로 출현 할 수 있을 것으로 예상된다.

더불어 올해와 마찬가지로 ▶사회적 이슈에 따른 악성파일 출현, 또한 현재도 동일한 제작자에 의한 것으로 추정되며, 매일 변종이 유포되고 있는 ▶ARP Spoofing 공격을 통한 특정 악성파일 유포 기법 또한 지속적으로 출현 할 것으로 예상된다.

2010년 주요 보안 이슈에서 정리하였던 사항 및 아래와 같은 보안 관리 수칙 등을 바탕으로 2011년에는 사용자 및 관리자 스스로가 악성파일로 부터 안전할 수 있도록 더욱더 주의를 기울여야 할 것으로 예상된다.
[보안 관리 수칙]

1. 사용중인 운영체제(OS)의 취약점을 보완하기 위한 각종 보안패치의 생활화

2. P2P 사이트 등을 통한 불법적인 다운로드 행위 지양

3. Flash Player(SWF), Adobe Reader(PDF), Office 등 응용 프로그램 취약점을 보완하기 위한 보안패치의 생활화

4. 신뢰 할 수 있는 백신 제품 사용과 최신 엔진 및 패턴 버전 유지를 위한 업데이트 생활화

5. 수신처가 불분명한 메일의 열람이나 첨부파일에 대한 다운로드 지양

6. 금융권 등 사용자가 각자 이용중인 서비스에 대한 정기적 비밀번호 변경 생활화