해마다 연말이 되면 티비에서는 영화나 음악 그리고 방송에서 좋은 활동을 보여주었던 배우나 연예인들에게 상을 수여하며, 한 해를 되돌아보게 됩니다. 저 역시도 연말이되면 한 해 동안 발생했던 보안 위협들에 대해 정리하고, 주요 이슈들을 종합 정리하는 일들을 하게 됩니다.
이 글 역시 월간 안이라는 회사 매체에 기고하기 위해 작성했던 "키워드를 통해 본 2012년 보안 이슈 '총정리'" 입니다. 항상 한 해 동안 발생했던 보안 위협들의 주요 이슈들을 정리하면서 예년과 비교하면 보안 위협의 성장 속도가 점점 빨라지고 위험성 역시 커지고 있다는 것입니다. 그 만큼 우리의 생활이 이제 인터넷과 PC 그리고 스마트 디바이스들과 점점 밀착되어 가고 있다는 생각을 하게 됩니다.
올해는 특히나 회사 차원에서 "2012 보안 이슈 7가지로 보는 보안 트렌드"라는 동영상으로까지 제작을 해서 IT와 보안에 대해 잘 모르는 분들에게 더욱 쉽게 다가가지 않았나 생각 합니다.
+--------------------
APT 공격 기승부터 피싱 기법 발달까지
키워드를 통해 본 2012년 보안 이슈 총정리
2012년 보안업계는 그 어느 때보다 뜨거운 한 해를 보냈다. 고도화된 공격기법은 물론이고 기하급수적으로 늘어나는 악성코드에 맞서 전쟁을 방불케 하는 사투를 벌인 것이다. 게다가 사람의 심리를 파고든 사회공학적 공격기법의 기승과 금전 탈취 목적의 악성코드들의 급증, 날로 높아져가는 모바일 보안 위협 등은 보안업계를 긴장의 한 가운데로 내몰았다.
그 뜨거웠던 1년을 안랩 시큐리티대응센터(ASEC)가 7개의 키워드로 정리했다. APT부터 피싱까지, 2012년의 보안 키워드를 살펴본다.
APT
고도화된 지능형 타깃 위협(Advanced Persistent Threat, 이하 APT)은 전년보다 수적으로 크게 증대됐다. 공격기법도 진화했으며 공격대상 역시 광범위해졌다.
APT 공격은 그동안 어도비 PDF, 마이크로소프트(MS) 워드 등 문서파일에 존재하는 취약점을 악용해 악의적인 취약한 전자 문서파일을 제작한 뒤 공격하고자 하는 대상이나 기관에 이메일을 보내는 방식이었다. 이 같은 전통적 형태의 APT 공격기법은 2012년에도 여전히 기승을 부렸다.
이와 동시에 APT 공격은 좀 더 진화된 형태를 선보이기도 했다. 정상 전자문서나 이미지 파일에 실행 파일을 삽입, 압축파일(RARSfx)로 만들어 이메일에 첨부한 것이다. 윈도우의 도움말 파일(HLP)에 악성코드를 삽입해 이메일로 전달하는 형태도 등장했다.
또한 공격 대상이 되는 기관(기업)의 직원들의 사용빈도가 높은 운영체제를 파악한 뒤, 그에 맞는 '맞춤형 악성코드'를 제작하거나 모바일 기기에서 작동하는 악성코드를 제작?유포하는 형태도 발견됐다.
특히 국내에서는 기업이나 공공기관에서 자주 사용하는 소프트웨어의 업데이트 파일을 이용해 악성코드를 유포한 사례도 있었다.
APT 공격 대상의 범위도 다양화됐다. 과거에는 주로 첨단산업 분야에서 각 기업의 내부 기밀자료를 탈취하고자 하는 목적으로 APT 공격이 이뤄졌다. 그러나 이제는 정치적인 사안이나 군사 정보를 확보하기 위한 목적으로 정부기관과 민간단체에도 공격이 시도되면서 대상 폭이 넓어졌다.
취약점
2012년 소프트웨어의 취약점을 악용한 보안 위협은 특정 지역에서 주로 사용되는 소프트웨어를 악용하는 형태가 증가했다는 게 특징이다.
이같은 공격들 중 가장 눈에 띄는 것은 국내에서 사용빈도가 높은 한글문서를 악용한 공격이다. 국내에도 타깃 공격이 증대되고 있는 징후로 해석할 수 있다.
한글문서 파일의 취약점을 악용한 보안 위협은 지난 2012년 4월부터 서서히 발견됐다. 그러다 6월 이후에는 거의 매월 취약한 한글문서 파일을 악용한 보안 위협 사례들이 쏟아졌다.
애초 한글문서 파일을 악용한 공격은 대부분은 기존에 알려진 취약점을 악용한 사례들이 다수를 이뤘다. 그러나 6월과 11월엔 기존에 발견되지 않은, 이른바 제로데이 취약점이 발견되었으며 이를 활용한 공공 및 정부기관 내부 직원 타깃의 공격도 가해져 주목을 끌었다.
이밖에 세계적으로 사용빈도가 높은 소프트웨어의 취약점을 악용한 보안 위협도 지속적으로 발견됐다. 어도비플래시의 경우 CVE-2012-0754 취약점을 비롯해 CVE-2012-0779, CVE-2012-1535 등 3개의 취약점 이슈가 주로 대두됐다.
MS 관련 취약점 악용 보안 위협으로는 MS12-004 윈도우 미디어 취약점이나, MS12-043 XML 코어 서비스 취약점, MS12-027 윈도우 공용 콘트롤 취약점, MS12-063 인터넷 익스플로러 버전 7과 8의 취약점 등이 나타났다. 2011년부터 위협 대상으로 떠오른 자바 역시 JRE 7에 존재하는 CVE-2012-4681 취약점을 악용한 형태가 등장했다.
사회공학
사회공학적 공격기법에서는 정치적인 이슈를 악용한 보안 위협이 크게 늘었다는 점을 꼽을 수 있다. 미국과 한국의 대선 등 2012년이 세계적으로 '정치의 해'였기 때문에 세간의 관심과 호기심을 자극할 수 있는 정치 이슈를 악용한 공격이 증대된 것으로 풀이된다.
사회공학적 공격기법에 악용된 정치 이슈는 한국의 4.11 총선과 미국의 대선, 한국의 대선 등을 들 수 있다. 또한 북한 광명성 3호 발사 및 핵실험, 2012 서울핵안보정상회의 등이 있다.
사회적으로 이슈가 된 현안들도 공격에 자주 이용됐다. 세계적인 이목이 집중됐던 런던올림픽은 물론이고 국내에서 뜨거운 화두가 됐던 한 걸 그룹의 멤버 '왕따 사건'도 있다.
일반적인 소재를 활용한 공격 사례도 심심찮게 발견됐다. 유명 패스트푸드 업체에서 제공하는 프리미엄 환불서비스, 한 보안업체의 보안관련 소식, 남성들이 주로 읽는 무협지, 자동차업체가 제공하는 경품 이벤트 등으로 위장한 이메일 발송 사례 등이 그 예다.
모바일
모바일 악성코드의 기하급수적 증가도 2012년 눈에 띄는 사건 중 하나다. 모바일 악성코드는 지난해부터 안드로이드 운영체제를 중심으로 늘기 시작했지만 올해에는 그 증가세가 훨씬 뚜렷했다.
악성코드 제작자들로 하여금 모바일 환경이 금전적 탈취가 가능한 새로운 시장으로 인식된 것이 모바일 악성코드의 양적 팽창을 이끈 게 아니냐는 해석이 제기된다.
모바일 악성코드의 급증은 유포 방식의 다변화로 이어지기도 했다. 유용한 애플리케이션이나 유명한 게임으로 위장해 허위 안드로이드 마켓에서 유포되는 방식이 대표적이다. 또한 소셜네트워크서비스인 트위터나 문자서비스(이하 SMS)를 통해 단축 URL을 유포하는 형태도 등장하고 있다.
모바일 악성코드의 기능적 진화도 주목할 만하다. 스마트폰의 하드웨어 정보, 혹은 사용자의 개인정보를 유출하는 형태는 물론이고 온라인 뱅킹에 사용하는 인증번호 등 SMS 탈취까지 나타나고 있다. 모바일 백신으로 위장해 금전적 대가를 요구하는 형태와 모바일 애드웨어도 등장했다.
모바일 악성코드의 주 공격 지역은 점차 국지적 경향을 띄고 있다. 중동에서는 이스라엘을 타깃해 히브리어로 제작한 모바일 악성코드가 발견된 바 있다. 국내에서도 공공기관을 사칭하거나 스마트폰의 청구서로 위장한 모바일 악성코드가 발견, 특정 지역 타깃의 모바일 악성코드 제작이 이뤄지고 있음을 증명했다.
고도화
2012년 발견된 악성코드들은 과거보다 보안에 적극적이고 고도화된 경향을 보였다. 과거에는 실행 압축과 암호화 기법 등을 사용해 보안 소프트웨어의 탐지를 회피하는 비교적 소극적인 방법을 택했다.
그러나 2012년에는 보안 소프트웨어 관련 파일을 직접 삭제하거나 운영체제의 커널(Kernel) 영역에서부터 보안 소프트웨어 관련 파일이 실행되지 않도록 하는 적극적인 방법이 나타났다. 이들은 모두 온라인 게임 영역에서 활용이 두드러진 편이다.
부팅에 관련된 영역인 MBR(Master Boot Record)을 감염시키는 악성코드 유형인 '부트킷(Bootkit)' 형태의 악성코드도 지난 한 해 동안 지속적으로 발견됐다.
특히 러시아와 중국에서 주로 제작해 유포하는 것으로 알려진 부트킷의 경우 한국의 PC 사용자들만을 대상으로 한 형태로 등장, 주목을 받았다.
제로엑세스(ZeroAccess)로도 알려진 스미서의 변형은 물론, 국내 PC 사용자들을 감염 대상으로 유포한 아두스카(Adusca) 부트킷 등이 나타난 것이다. 이들 모두 온라인 게임 관련 개인 정보 탈취를 목적으로 제작됐다.
또한 기존 악성코드들은 탈취한 정보를 이용해 간접적으로 이익을 취했다. 그러나 2012년 유포된 뱅키(Banki) 트로이목마의 경우 개인 금융 정보를 직접 탈취해 곧바로 금전적 이익을 가져가는 특징을 보였다.
유포방식 면에서도 발전된 경향을 보였다. 일반 소프트웨어의 취약점을 악용하거나 소프트웨어의 설치 파일에 악성코드를 삽입하는 등 다양한 유포경로를 활용했다.
핵티비즘
2012년에 발생한 해킹 공격들은 크게 두 가지 목적으로 시도됐다. 정치적인 의사를 표시하기 위해 사용하는 이른바 ‘핵티비즘(Hacktivism)’과 기업이 가진 내부 정보를 탈취하기 위한 목적의 해킹이다.
먼저 핵티비즘 성격의 해킹을 살펴보면 올해 4.11 총선과 12.19 대선 등 정치적인 이슈가 많았던 해인 만큼, 각 정당 및 정치단체 홈페이지, 혹은 언론사 홈페이지를 해킹한 사건이 많았다. 이들 모두 핵티비즘 성격의 해킹으로 해석이 가능하다.
아울러 2012년 가장 큰 해킹사고로는 한 방송사의 홈페이지가 해킹돼 회원 400만명의 개인정보가 유출된 사건을 들 수 있다. 또 국내 유수의 통신사가 해킹돼 가입자 870만명의 개인정보가 유출된 사고도 있었다.
이들 모두 기업 내부의 중요한 정보인 고객의 개인정보를 탈취하기 위한 목적으로 해킹이 이뤄졌다. 국산 문서 프로그램 업데이트 서버를 해킹해 악성코드를 유포한 해킹 사고도 해당 소프트웨어를 사용하는 기업과 기관의 내부 정보를 탈취하기 위한 성격이 짙은 것으로 분석된다.
피싱
2012년은 개인의 금융 정보를 직접적으로 탈취하기 위한 목적의 피싱(Phishing) 웹사이트의 유포가 그 어느 때보다 활발했다. 무엇보다 올해 피싱 웹사이트의 유포는 스마트폰의 대중화로 인해 스마트폰 문자메시지인 SMS를 활용하는 방식이 두드러지는 경향을 보였다.
전 세계적으로 피싱 웹사이트의 유포는 흔한 일이었다. 반면에 국내에서는 금융기관으로 위장한 피싱 웹사이트 발견이 좀 처럼 쉽지 않았다.
하지만 올해는 예년과 달리, 국내 금융기관은 물론이고 공공기관으로 위장해 개인이 금융 정보를 탈취하는 피싱 사이트들의 급증해 사용자들을 바짝 긴장시켰다.
게다가 스마트폰이 대중화되면서 모바일 뱅킹 역시 일상화됨에 따라, SMS를 통해서 피싱 웹사이트로 유도하는 사례 역시 증가했다. 일각에서는 모바일 브라우저 형태의 피싱 웹 사이트도 등장해 ‘모바일 맞춤형’ 피싱 웹사이트가 기승을 부리고 있는 단면을 엿보게 했다.
댓글 없음:
댓글 쓰기