최근 웹2.0 열풍이 불고 있는 것과 비례해 UCC와 관련된 다양한 악성코드가 기승을 부리고 있다. 특히 동영상을 보기 위한 필수 프로그램이라고 속이거나, 미니 홈피 방문자 추적 프로그램이라고 속여 스파이웨어 설치를 유인하는 등으로 지능화된 속임수가 등장하고 있다.
또한 블로그의 해킹 문제도 피해가 심각한 상황이다. 블로그 관리용 아이디, 비밀번호가 쉽거나 여러 군데에 같은 것으로 사용할 경우 아이디, 비밀번호가 유출돼 피해를 당하는 경우가 많다.
특히 보안에 허술한 웹사이트에 개설한 블로그의 경우도 그 웹사이트 서버가 해킹을 당하면 관리자 권한을 잃는 일이 발생한다. 이는 블로그의 내용 변경부터 사생활 침해까지 심각한 문제를 야기할 수 있다. 특히 오랫동안 휴면 상태로 방치된 블로그는 피해를 당하고도 모르는 경우가 많다.
이에 따라 이런 보안 위협에 노출되지 않기 위해선 인터넷 사용자들의 각별한 주의가 요구된다고 안철수연구소(대표 오석주)는 오늘 발표한 ‘상반기 10대 보안 동향’을 통해 밝혔다.
이번에 안연구소가 발표한 ‘상반기 10배 보안 동향’을 살펴보면 올해 상반기에 새로 발견된 악성코드는 3,306개로 지난해 상반기 1,531개 대비 2배 이상 급증했다. 이에 반해 스파이웨어는 1,070개로 전년 동기 3,160개에 비해 1/3로 줄었다. (표 1, 2 및 그림 참고) 스파이웨어의 경우 신종 발견 숫자는 줄었지만 UCC를 이용한 스파이웨어 유포 급증, 스파이웨어와 허위 안티스파이웨어 기승 등 위협은 확대되고 있는 상황이다.
발표 내용에 따르면, 메신저 통한 웜 유포 급증하고 있다. 연초부터 메신저를 통해 유포되는 악성코드가 자주 출현했다. ‘Look at this: http://1960.basu????dewa.com/5/496’ 등 특정 인터넷 주소를 클릭하도록 유도하는 스트레이션.젠 웜을 필두로 photo album.zip 파일과 photos.zip 파일을 전송하는 셰도봇(ShadoBot) 웜 변종이 잇달아 발견됐다. 해당 인터넷 주소를 보내고, 그 주소를 클릭하면 누가 대화 상대에서 본인을 차단하거나 삭제했는지 알 수 있다며 메신저 ID와 비밀번호를 입력하라고 하는, 광고성 메시지까지 등장했다.
윈도 비스타 취약점 노린 제로 데이 공격이 처음으로 등장한 것에도 주목된다. 윈도 비스타와 인터넷 익스플로러 7에도 존재하는 ANI(Animated Cursor) 파일의 취약점을 노린 제로 데이 공격이 처음 등장했다. ANI 취약점은 윈도 애니메이션 커서와 아이콘 파일에 존재하며, 이 취약점을 공격하는 코드가 알려지자마자 국내 웹사이트에서 악성코드를 전파하는 데 악용됐다.
파밍 공격이 국내에서 처음으로 발생하기도 했다. 뱅키(Banki) 트로이목마는 국내 최초로 PC에 있는 호스트(hosts) 파일을 변조해 가짜 금융권 웹사이트로 사용자를 유도하는 파밍 공격을 했다. 이로 인해 일부 사용자가 개인 정보는 물론 공인 인증서까지 탈취당했다. 파밍 공격은 피싱 공격보다 사용자가 알아차리기 더욱 어렵다는 점에서 사용자와 해당 기관의 주의가 필요하다.
또 올해 상반기에 ARP(Address Resolution Protocol; 주소결정 프로토콜. IP 주소를 물리적 네트워크 주소로 대응시키기 위해 사용되는 프로토콜) 스푸핑(Spoofing; 위장) 공격을 이용한 악성코드 유포 기법이 처음 나타났다. 과거에 해커는 유명한 웹 서버 자체를 공격해 악성코드 경유지로 활용했다. 그러나 웹 서버 보안이 강화하자, 네트워크의 서브넷(subnetwork. 어떤 기관에 소속된 네트워크이지만 따로 분리된 한 부분으로 볼 수 있는 네트워크. 일반적으로 한 서브넷은 한 지역, 한 빌딩 내에 있는 모든 컴퓨터들을 나타낼 수 있음) 내에 침투해 ARP 위장으로 해당 서브넷 내의 PC들을 감염시키는 기법을 쓰게 된 것이다. 어떤 시스템에 ARP 위장 기능을 가진 악성코드가 설치되면 약간의 조작으로 동일 구역 내의 다른 시스템에 쉽게 악성코드가 설치될 수 있다. 이는 종전과 달리 사용자가 해킹된 웹사이트를 방문하지 않더라도 악성코드에 감염될 수 있다는 것을 의미한다.
백신 제작 방해하는 바이러스도 기승을 부렸다. 작년에 바이킹(Viking) 바이러스가 국내외에 심각한 피해를 준 데 이어 올해는 델보이(DellBoy), 바이럿(Virut), 알만.C(Alman.C) 바이러스의 변형이 다수 발견돼 심각한 위협을 주었다. 이 바이러스들은 분석 및 백신 제작을 지연시킬 목적으로 자신을 은폐하거나 암호화했다는 점에서 이전보다 더 지능화했다.
또 2006년 하반기부터 증가하기 시작한 온라인 게임 계정 유출 스파이웨어의 피해는 최근까지 이어지고 있으며, 2007년 1월에 최고조에 달했다. 중국발 해킹에 의해 보안에 취약한 웹사이트가 변조되고, 여기에 악성코드가 삽입되면, 취약점 패치를 하지 않은 인터넷 익스플로러 사용자가 해당 웹사이트에 방문하는 것만으로 쉽게 감염된다. 일부 변형은 네트워크로 전파되어 여러 사용자에게 피해를 주었다.
스파이웨어 및 허위 안티스파이웨어 위협도 여전했다. 스파이웨어 제작사와, 이를 배포하는 업자 간 제휴가 증가함에 따라 스파이웨어 및 허위 안티파이웨어가 여전히 기승을 부렸다. 이것들은 광고, 유료 사용자 확보 및 설치 배당금 등의 금전적인 이익을 목적으로 한다. 무차별적으로 배포되는 스파이웨어나 허위 안티스파이웨어는 악성코드에 감염된 채로 배포되거나 악성코드 감염의 매개체가 되는 경우가 적지 않다.
끝으로 윈도 애플리케이션 취약점 위협이 증가했다. 올해 상반기에 발표된 MS 윈도 관련 애플리케이션 취약점은 총 26개로 전년 동기(19개) 대비 26.3% 증가했다. 특히 인터넷 익스플로러와 오피스의 취약점이 절반을 차지했다. 애플리케이션 취약점은 웹사이트 해킹 후 악성코드를 배포하거나 악성코드가 포함된 문서 파일 등을 메일로 유포하는 데 이용된다. 또한 국내 인터넷 사이트에서 많이 사용되는 액티브X 애플리케이션의 취약점도 속속 발견되고 있다. 수상한 발신인이 보낸, 문서 파일이 포함된 메일을 유의해서 읽어야 하며, 매월 발표되는 보안 패치를 반드시 적용해야 안전하다.
자료협조:안철수연구소