더욱 교묘한 애드웨어 설치 증가
2005년에는 애드웨어의 새로운 변종에서부터 희생양 PC에 그레이웨어가 설치되도록 하는 등 더욱 교묘하고 새로운 방법으로 그레이웨어에 획기적인 변화가 있었다. 전반적으로 새로운 형태의 애드웨어의 출현은 꾸준히 늘고 있으며, 새로운 백도어, 다운로더, 드로퍼(dropper) 및 기타 트로이 목마 스파이웨어는 2005년 한 해 동안 2배 이상 증가했다.
2005년도의 전반적인 위협 현황에 대한 통계치는 다음과 같다.
·봇 10% ·스파이웨어 트로이 목마 11%
·애드웨어 18% ·루트킷 0.60%
·오피스 매크로 0.60% ·스크립트 3%
·바이러스 또는 웜 25% ·트로이 목마(루트킷 포함) 27%
WORM_NETSKY.P는 2004년 최초의 변종이 발견된 이후, 거의 2년 간 순위에 올라있으며 TROJ_AGENT 및 TROJ_DLOADER 변종이 정상을 차지한 2005년 9월을 제외하고 줄곧 컴퓨터에 영향을 주는 위협의 선두 자리를 지키고 있다. TROJ_AGENT과 TROJ_DLOADER 두 변종은 기본적인 다운로더 트로이 목마로, 애드웨어 및 스파이웨어의 공격과 연계되어 있다. 이들의 확산은 전체 설치 수가 NETSKY 감염 수와 거의 일치하기 때문에 상위 그레이웨어 위협 중에서도 주목을 받고 있다.
2005년 전 세계 경고 발행 현황
2005년에 발표된 모든 경고 중 26%는 마이둠의 연결 부분에서 파생돼 조합된 위협인 마이톱의 변종 때문이며, 이는 BOT 컴포넌트와 함께 2004년 감염을 확산시켰던 주범이기도 하다. 이 바이러스가 성공을 거둘 수 있었던 것은 HOSTS 파일을 수정함으로써 도움을 요청하는 사용자를 속이는 것은 물론, 전송 오류를 자세히 검토하도록 만드는 가짜 메일 전송 실패 메시지 등 과거 알려진 가장 효과적인 침투 기법이기 때문이다.
소버 변종이 스팸 메시지에서 2개 언어를 사용함으로써 2005년 위협 발생 중 16%를 차지했다. 마이톱과 유사하게 이 위협은 메모리에서 바이러스 백신 제품의 사용을 중단시켜 탐지되지 않은 악성 컴포넌트들을 안전하게 드롭시키는 등 주요 바이러스 백신 제품에 대한 보복 기법을 포함하고 있었다. 스패머들로부터 빌려온 한 가지 기법으로서 독일에서 개최되는 ‘FIFA 월드컵’ 경기와 같은 세계적인 주요 행사도 이 위협이 성공적으로 확산되는 데 일조했다.
안전하지 않은 네트워크 공유 폴더와 P2P 애플리케이션의 광범위한 사용으로 인해 베이글 변종은 전 세계 기업에 발생한 위협 중 11%를 차지한다. 2005년 발생 빈도가 높은 바이러스 계열과 마찬가지로 베이글도 보복 기법과 함께 가짜 메일 전송 오류 메시지를 사용했다.
다양해진 네트워크 침입 기법
트렌드마이크로의 분석에 따르면 네트워크 공유 드라이브로 악성 코드를 반복적으로 검색하여 드롭하는 것이 가장 많이 행해진 방법으로서 전체의 약 37%를 차지한다. 그리고 취약점 익스플로잇이 전체의 19%를 차지하며 두 번째로 성공적인 방법으로 기록됐다는 사실이 두드러진다.
대량 메일링 코드의 사용, IRC(Internet relay chat) 및 기본 공유 등은 나머지 사례의 10%에 해당한다. 전파 수단으로 사용되었던 인스턴트 메신저는 같은 기간 동안 단 4%만이 사용되었고 일반적인 파일 감염과 P2P 네트워크 공유와 같은 다른 모든 방법들이 각각 공격 요인의 약 2%를 차지했다.
여전히 영어 스팸이 강세
전세계 언어 가운데 스팸의 40% 가량이 영어라는 사실은 이 언어가 가장 선호되는 비즈니스의 매개수단이라는 것을 입증하고 있다. 그러나 이와 함께 주목할 만한 것은 비영어 스팸이 20% 가량 성장했다는 것이다. 이러한 증가는 효과 증대를 위해 스팸이 점차 현지화 되고 있으며 다른 주시할만한 행동 패턴이 있음을 대변한다.
2005년에는 스페인어로 된 스팸이 약 13%에 달했다. 이는 전년에 약 2%에 비해 크게 증가한 수치로 스페인의 IT와 커뮤니케이션 기술이 점차 발달하고 있기 때문으로 간주하고 있다.
또 다른 특이할만한 점은 중국어 스팸이 현저히 줄어들었다는 점이다. 이는 경제 기회가 증가하고 있으며 처음 사용하는 온라인 이용자들이 많은 지역이라는 점을 감안할 때 중국에 좋은 징조가 아닐 수 없다. 2004년 9월 중국은 스팸 문제를 심각하게 인식하기 시작하였으며 이러한 이슈를 해결하기 위해 주요 기업들이 노력하고 있다.
반면, 일본어 스팸은 꾸준히 증가하는 추세로 작년에 비해 약간 늘었다. 또한 작년에 비해 스팸은 2005년의 심각한 문제로 떠올랐다. 그러나 가장 중요한 변화는 바로 콘텐츠에 있다. 2005년에는 상업적 내용을 담은 스팸이 전년 대비 50% 가량 감소한 반면 학술/교육 관련 스팸은 100%까지 증가했으며, 건강 관련 스팸은 70% 가량 줄었고, 도박이나 게임 등은 22%로 집계되었다. 이는 2004년에 겨우 1%였던 것과는 매우 대조적이다. 이와 유사하게 성인관련 내용도 작년의 6%에서 올해 21%까지 증가했다.
휴대폰을 통한 웜의 전파
최초의 모바일 웜은 2004년 8월에 발견되었다. 카비르라는 이 웜은 블루투스를 사용해 사용자가 보안 프로그램을 받았다고 생각하는 사이 전혀 의심하지 않는 희생자들에게로 옮겨가 설치 시 감염을 시도했다. CABIR와 그 변종들은 GSM 휴대폰 시장의 80% 이상을 차지하는 심비안 60 운영 환경에서만 실행되었다. 그 이후로 트렌드마이크로는 서핑 및 e-메일 첨부 파일을 다운로드하는 기능인 MMS(multi-media messaging)와 같은 전화 기술을 이용하는 모바일 위협의 수가 크게 증가했음을 파악했다.
지난해 9월, SYMBOS_CARDTRP.A은 WORM_WUKILL.B를 포함하는 감염된 메모리 카드에 웜을 드롭함으로써 최초의 크로스 플랫폼 모바일 웜이 되었다. 카드가 윈도우 컴퓨터에 연결되면 시스템 백도어를 열고 2개의 웜을 더 배포할 수 있는 능력을 갖게 된다. 공격이 그다지 성공적이지 않더라도 이는 모바일 악성 코드의 개발이 지속되고 있다는 사실을 반증하는 것이다. 이러한 추세가 지속된다면 모바일 웜에 새로운 기능들이 추가되어 성공적인 공격력을 위한 잠재력이 더욱 커질 것이라고 예측할 수 있다.
이러한 상황에서 2005년 11월 트렌드마이크로는 사용자의 전화번호부를 수집해 이를 다른 모바일 장비로 전송하려 하는 휴대폰 악성코드 샘플을 입수했다. 트렌드마이크로는 이 악성코드를 SYMBOS_PBSTEAL.A라고 이름 지었다. 이 악성코드는 사실상 최초의 휴대폰 정보 도용 위협이라 할 수 있다.
2005년과 현재의 위협 차이점
2005년 등장한 대다수의 위협들은 재정적인 이익을 실현하는 데 그 목적을 두고 공격자들은 정보 도용의 의도를 품고 사용자를 공격한다. 이들은 전 세계 수백만의 희생자를 대상으로 현대의 사기 예술가를 표방하며 가능한 모든 속임수를 개발했다.
동기 변화는 위협 환경의 구조를 변화시켰다. 신종 악성 코드는 거의 재정적인 이익을 위해 개발되고 있다. 특정 회사와 그 사용자 또는 공통된 관계를 가진 특별 그룹에 집중하는 타깃 공격이 점차 증가하고 있다. 특히 교묘한 트로이 목마 웜은 의심하지 않는 사용자가 덫에 걸려들기를 바라며 이러한 공격 대상에 무차별적으로 살포되고 있다.
바이러스 제작자들은 대규모 웜 감염보다는 천천히 확산되는 종류의 웜을 선호하기 때문에 악성코드가 보다 오랫동안 탐지되지 않을 가능성이 매우 크다. 이러한 전략을 통해 트로이 목마가 탐지 및 제거되기 전에 더욱 많은 기밀 정보를 수집할 수 있다.
또한 2005년에는 트렌드마이크로가 ‘스파이 피싱’이라고 부르는 신종 공격이 확인되었다. 이 공격은 몇 가지 새로운 속임수와 함께 피싱 사기 및 파밍 공격 수법을 빌려 온라인 뱅킹, 금융 기관 및 기타 암호 중심 사이트를 공격한다. 스파이 피싱 작성자는 트로이 목마 또는 트로이 목마를 다운로드하는 링크를 포함한 e-메일 메시지를 살포한다. 수동이든, 취약점 악용을 통해서든 이 악성코드가 다운로드 되어 실행되면 타깃 페이지에 대한 웹 액세스가 탐지될 때까지 웹 트래픽을 모니터링 한다. 이러한 공격이 발생하면 로그인 또는 기밀 데이터가 공격자에게 다시 전송된다. 동일한 목표로 특정 엔티티 또는 관련 웹 기업을 겨냥하는 다양한 웜의 변종들이 있었다.
2005년에는 사실상 복합적인 위협이 부각되었다. 재정적인 이익에 목적을 둔 공격자들은 자신의 활동을 은행 및 전자상거래 신용정보 도용에만 제한하지 않았다. 또한 많은 공격자들이 스파이웨어, 애드웨어 및 기타 그레이웨어를 사용하여 희생자의 시스템을 감염시켰다. 일부 악성코드 작성자들은 타사의 스파이웨어 및 애드웨어를 공격에 포함시킴으로써 설치 건수 당 커미션이 제공되는 마케팅 캠페인에 참여할 수 있었다. 따라서 공격자가 더 많은 사용자를 감염시킬수록 수입이 증가했다. 다중 트로이 목마 공격은 더 많은 파일을 시스템에서 일어나고 다양한 트로이 목마, 애드웨어 또는 스파이웨어를 설치하기 위한 다운로더/드로퍼(downloader/dropper) 프로그램으로 나타나기 시작했다.
2006년 바이러스 동향 전망
트렌드마이크로는 현재의 위협 상황과 관련하여 2005년에 나타난 이미 확립된 경향 중 상당수가 계속될 것이라고 전망하고 있다.
·피셔들(phisher)은 기생코드가 최신 악성코드를 제공할 수 있는 기간을 최대한 활용하기 때문에 스파이 피싱 보고서는 계속해서 증가할 것이다.
·봇은 루트킷을 활용하고, 악용할 수 있는 발견된 취약점 간의 격차를 해소함으로써 향상된 기능을 확보하게 될 것이다.
·스피어 피싱은 기업에서 가장 우려하고 있는 위협이 되고 있다.
·스팸은 현지 언어를 통해 전파되지만 가장 수익성이 높은 언어를 이용해 확산될 것이다.
·갈수록 증가하고 있는 다양한 압축 프로그램들은 악성코드를 압축하고 암호화하여 검색기 탐지를 피하는 데 이용될 것이다.
·IRC, IM 및 P2P를 비롯한 메시징 프로토콜은 계속해서 방화벽을 통과하고 감염 경로로 악용될 것이다.
·취약점 윈도우(Vulnerability windows)는 계속 감소되고 있기 때문에 보안 업계가 제공하는 사전 방역 솔루션으로 대처가 가능할 것이다.
·그레이웨어와 악성코드 간의 경계가 허물어짐으로써 보안 벤더들은 이러한 위협을 제거하기 위해 사용자 권한에 대한 자사의 입장을 강화할 수 있을 것이다.
·봇 및 봇넷의 증가. 봇 및 봇넷을 활용하는 경우 막대한 불법적 이점으로 제작자들을 보상하기 때문에 올해에 새로운 변종에 대한 탐지 빈도가 증가할 것으로 예상되고 있다. 탐지되지 않는 봇은 향상된 변종이나 경쟁 변종으로 대체되기 때문에 천천히 통합될 것이다.
·은밀히 우회하는 방식의 증가. 루트킷 및 다른 은밀히 우회하는 기술이 증가할 것으로 예상된다. 루트킷 기법은 갈수록 널리 사용되고 있으며 계속 널리 사용될 것이다. 루트킷 기법은 완화 요소로서 마이크로소프트에서 올해에 새로운 윈도우 운영체제를 출시할 경우 루트킷 프로그래머들이 새로운 환경에 대한 전략을 변경하는 데 필요할 수도 있다. 이는 현재 가장 널리 사용되고 있는 윈도우 버전을 위해 설계된 최신 루트킷에 전혀 영향을 주지 않는다.
·피싱 기법과 유사한 방식의 스파이 피싱 및 타깃 공격의 증가. 피싱과 같은 사회 공학 기법이나 다른 사회 공학 기법을 이용함으로써 사용자 기반에 대한 영향력을 증가시킬 수 있다. 또한 공격자가 원천 정보를 수신하고 장시간 동안 탐지되지 않도록 할 수 있는 소규모 타깃 공격이 증가할 것으로 예상된다. 이 두 가지 유형 모두 과거 공격의 특징인 일반적인 파괴와 대조적으로 기밀 정보를 대상으로 하고 있기 때문에 매우 위험하다.
·애드웨어 및 스파이웨어의 확산. 광고 프로그램은 오랫동안 널리 사용되어 왔으며 광고 캠페인은 매년 엄청난 비용을 발생시키고 있다. 많은 광고 소프트웨어 업체들은 가능한 많은 PC에 애드웨어 제품을 설치하도록 지원하기 위해 막대한 비용을 지불하고 있다. 악성 코드 작성자들도 더 많은 이익을 추구하기 위해 악성 코드에 애드웨어가 포함되도록 하는 방법을 선택하고 있다. 이는 애드웨어가 갈수록 증가하고 있는 최근의 추세를 계속 유지할 것이다.
2006년 악성 코드 감염을 막기 위한 지침
·HTTP 검사 수단을 구축하라.
많은 최신 위협들은 웹 프로토콜을 이용해 확산되므로 e-메일 검사 기능과 같이 웹 바이러스 검사 시스템을 구현하는 것이 좋다. 어떤 감염 파일이라도 최종 사용자에게 도달되기 전에 위협을 탐지 및 차단함으로써 기업 네트워크 인프라에 새로운 보호 체계를 추가할 수 있다. 많은 위협들이 기업 환경에 침입하기 위해 HTTP만을 이용하기 때문에 네트워크 계층에서 스파이웨어를 추가로 차단할 수 있다.
·불필요한 프로토콜이 기업 네트워크로 진입하는 것을 차단하라.
이 중 가장 위험한 것은 인스턴트 메신저, P2P, 통신 프로토콜과 IRC(채팅)이다. 이 두 가지는 봇 마스터를 통해 전파되고 통신할 수 있는 봇 제품의 일환으로 기업 방화벽에서 차단되어야 한다.
·네트워크에 취약점 검사 소프트웨어를 구축하라.
지속적으로 최신 상태로 유지함으로써 모든 네트워크 취약점에 대한 영향을 최소화하고 이러한 유형의 웜을 통해 감염될 수 있는 위험을 줄일 수 있다.
·모든 사용자에게 관리자 권한을 제공하지 말라.
모든 권한 중 가장 위험한 권한은 ‘장치 드라이버 로딩 및 언로딩하기’이다. 이는 루트킷의 공격을 차단하기 위해 가장 권장되는 방법이다. 일반적으로 루트킷은 모든 운영 체제 내부에 액세스하기 위해 장치 드라이버처럼 구현된다. 이러한 방식으로 사용자를 제한하기 위해 사용자 정책을 재설계하는 것은 네트워크를 보호하는 가장 유용한 방법이다. 관리자가 사용자로 하여금 관리 권한을 허용하지 않는 경우 공격적인 악성코드가 시스템 내 바이러스 차단 프로세스를 공격할 수 없도록 하는 추가 이점을 얻을 수 있다.
·기업 스파이웨어 차단 검사 기능을 구축하라.
스파이웨어는 기업 비즈니스에 대한 위협으로 널리 확산되고 있기 때문에 관리자들은 이를 탐지 및 차단하는 특정 소프트웨어를 구축해야 한다.
·사용자 교육을 실시하라.
네트워크 내에 엄격한 보안 정책을 통해 악성 코드에 대응할 수 있어야 한다. 대개의 경우, 사용자의 잘못된 행동으로 인해 시스템이 감염된다. 이는 스파이웨어를 설치한 웹 페이지나 감염된 e-메일이 될 수 있으며, 사용자는 사용자를 공격하는 새로운 악성코드에 대해 미리 알고 있어야 한다. 사용자의 인식은 청정 네트워크(clean network)의 핵심이며 관리자들은 지속적인 교육을 실시하여 사용자들이 업데이트된 악성 코드 기술에 대한 정보를 얻고 네트워크를 보호할 수 있도록 지원해야 한다. 이러한 교육은 일반적으로 악성코드 작성자들의 타깃이 될 수 있는 새로운 사용자들에게 특히 중요하다.