거의 보름만에 다시 블로그에 글을 남기게 되는 것 같습니다. 지난 일주일간은 중국 항주에서 진행된 제 15회
AVAR(Association of anti Virus Asia Researchers) 보안 컨퍼런스에 참석하고, 거기에 따른 출장 준비 등을 하느라 2주 정도를 바삐 보낸 것 같습니다. 조만간 AVAR 컨퍼런스 참석과 중국 항주 관광과 관련된 사진들을 올려보도록 하겠습니다.
오늘 작성하는 글은 2011년 7월 "월간 안"에 기고한 소셜 네트워크(Social Network)와 관련된 보안 위협들에 정리한 "
소셜 네트워크 서비스에서의 보안 위협"이라는 원고 입니다.
지난 번 원고에서는 트위터(Twitter)라는 특정 소셜 네트워크 플랫폼과 서비스에서 발생하는 보안 위협들에 대한 연구에 촛점이 맞추어진 원고라면, 이번 원고에서는 트위터 외에 페이스북(Facebook)을 포함해 소셜 네트워크 플랫폼을 악성코드 유포나 개인 정보 탈취 등에 악용하는 다양한 형태들을 연구했다는 차이점이 있습니다.
+---------------------------
보안 위협은 현재의 IT 트렌드와 사회적인 이슈에 민감하게 반응한다. 이러한 경향을 살펴봤을 때 악성코드 제작자들에게 현재 가장 매력적인 먹잇감은 단연 SNS(Social Network Service)이다. SNS에서 발생하는 보안 위협의 특징과 실제 사례를 살펴보자.
소셜 네트워크 서비스로 인한 사회적 관계의 변화
최근 한국인터넷진흥원(이하 KISA)에서는 ‘2011년 상반기 스마트폰(Smartphone) 이용 실태 조사’라는 흥미로운 보고서를 발표했다. 이 보고서는 전국 만 12세에서 29세 사이의 스마트폰 사용자 4천 명을 대상으로 스마트폰 활용 실태를 조사한 것으로 국내에 보급된지 얼마 되지 않은 스마트폰이 우리 일상 생활에 얼마나 밀접하게 활용되고 있는지를 잘 보여주고 있었다.
또한 이 보고서에는 최근 몇 년 사이 급속하게 사용자가 증가하고 있는 소셜 네트워크 서비스(Social Network Service, 이하 SNS) 관련 통계도 포함되어 있었다. 스마트폰 사용자의 87.1%가 SNS를 이용한 경험이 있으며, 이용 빈도는 커뮤니티, 마이크로 블로그, 미니홈피 순서로 그 활용 빈도가 높다는 것을 잘 알 수 있다.
[그림 1] 스마트폰을 이용한 SNS 이용 경험
(출처: KISA ‘2011년 상반기 스마트폰 이용 실태 조사)
스마트폰으로 SNS를 이용한 경험이 있는 사용자들은 일일 평균 1.9시간을 SNS 이용에 소비하고 있다. 그리고 전체의 42.3%가 하루 1시간 이상 소셜 네트워크 서비스를 이용하였으며, 그 중 24.3%는 하루 2시간 이상 소셜 네트워크 서비스를 이용하는데 보내고 있었다.
[그림 2] 스마트폰을 이용한 SNS 이용 시간
(출처: KISA ‘2011년 상반기 스마트폰 이용 실태 조사)
그리고 SNS를 이용하는 목적에 있어서도 커뮤니케이션, 정보 습득 및 교류, 그리고 친교 및 교제라는 측면이 가장 높아 오프라인의 일상 생활을 통해 형성된 인간 관계를 다시 온라인의 소셜 네트워크 서비스를 통해 연결하고 확장해가는 형태를 보이는 것을 알 수가 있다.
[그림 3] 스마트폰을 이용한 SNS 이용 목적
(출처: KISA ‘2011년 상반기 스마트폰 이용 실태 조사’)
이렇게 손안의 컴퓨터라는 스마트폰을 이용한 SNS 활용은 우리에게 많은 생활의 변화를 주었으며, 인간 관계에 있어서도 시간과 공간의 제약 없이 언제나 온라인의 네트워크를 통해 인간 관계가 항상 연결되어 있는 편리한 시대에 살고 있다.
하지만, 모든 사물들에는 밝은 면의 순기능이 존재한다면 이에 반대되는 어두운 면의 역기능이 존재하듯이 SNS 역시 이를 악용한 보안 위협들이 발생하였으며, 현재도 계속 발생하고 있는 실정이다.
소셜 네트워크 서비스에서 발생한 보안 위협들의 특징
1. SNS와 사회 공학(Social Engineering) 기법
트위터(Twitter) 및 페이스북(Facebook)과 같이 최근 몇 년 사이 사용자가 급격하게 증가하고 있는 SNS는 모두 기본적으로 오프라인에서 형성된 인간 관계를 온라인에서도 이어갈 수 있도록 도와 주고 있다. 그리고 이 모든 SNS의 핵심적인 목적과 기능들은 해당 서비스에 가입한 사용자가 오프라인에서 이미 가지고 있는 인간 관계를 바탕으로 서로 신뢰 관계의 사람들을 연결해주거나 공통의 관심사가 있는 사용자들간의 연결을 통해 새로운 인간 관계를 형성할 수 있도록 하고 있다. 이렇게 형성된 인간 관계를 바탕으로 서로간의 일상 생활 소식과 생활 중에 알게 된 다양한 흥미로운 정보 및 소식들을 공유 할 수 있도록 하고 있다. 그러므로 결국 모든 SNS에 있어 핵심적인 키워드는 사람과 인간 관계라고 볼 수 있다.
그러나 정보 보호(Information Security) 분야에서는 모든 보안 취약점들 중에서 가장 취약한 부분은 사람이며 언제라도 보안 위협에 노출될 가능성이 가장 높은 것으로 지적하고 있다. 이러한 관점에서 바라본다면 SNS 사용자들은 보안 위협에 노출될 가능성이 높다. 실제 SNS에서 발생하고 있는 보안 위협 사례들을 분석해보면 그 근간에는 모두 사람을 해킹(Hacking)한다는 사회 공학(Social Engineering) 기법이 차지하고 있다.
소셜 네트워크 서비스에서 사회 공학 기법들이 쉽게 악용하고 있는 방식은 사용자들이 쉽게 흥미를 가질 수 있는 주제들이나 이미 형성된 인간 관계 속에서 신뢰할 수 있는 사람들이 보낸 메시지들로 사칭하거나 위장하고 있다. 따라서 인간 관계가 핵심 목적인 SNS 사용자들은 상대적으로 보안 위협에 쉽게 노출될 수 밖에 없다.
2. 단축 URL(URL Shortening)의 편리성과 위험성
SNS의 발달은 이를 더욱 편리하게 사용하기 위해 파생된 다른 유용한 서비스들도 많이 제공되고 있다. 이러한 대표적인 사례로 스마트폰에 설치되는 다양한 소셜 네트워크 서비스들을 지원해주고 있는 앱(App)들을 예로 들 수 있으나, 가장 대표적인 서비스로 볼 수 있는 것은 단축 URL(URL Shortening) 서비스이다.
트위터의 경우 140자라는 제한된 메시지의 길이로 인해 인터넷에 존재하는 다양한 흥미로운 정보들을 가지고 있는 길다란 웹 페이지의 URL을 쉽게 전달하기가 어렵다. 그러나 단축 URL은 미리 정의된 짧은 형식의 URL을 이용하여 길다란 웹 페이지의 URL을 대체함으로써 제한된 길이의 메시지 내에서도 충분히 길다란 웹 페이지의 URL을 공유하거나 전달할 수 있는 편리성을 제공하고 있다.
[그림 4] 트위터 메시지에 포함된 단축 URL로 연결된 웹 페이지
그러나 이러한 편리성을 가진 단축 URL은 길다란 웹 페이지의 URL을 짧은 URL로 대체함으로써 사용자의 입장에서는 대체된 단축 URL이 실제 어떠한 웹 페이지로 연결될지 쉽게 예측하고 확인하기가 어렵게 된다.
이러한 문제로 인해 실제 소셜 네트워크 서비스에서 전달되는 메시지들에 포함된 단축 URL들 중에는 피싱(Phishing)이나 악성코드 유포를 위한 웹 사이트들로 연결하는 단축 URL들이 다수 존재하고 있다.
[그림 5] SNS 사용자를 대상으로 한 악의적인 URL (출처: 시만텍)
글로벌 보안 업체인 시만텍(Symantec)은 ‘Symantec Internet Security Threat Report Trends for 2010’를 통해 2010년 4분기 동안 SNS 사용자들을 대상으로 한 악의적인 URL 중에서 65%가 단축 URL 형태를 가지고 있는 것으로 밝히고 있다.
이로 인해 결국 단축 URL은 그 편리성과는 반대로 악의적인 목적으로 활용 시에는 SNS 사용자들로 하여금 보안 위협에 쉽게 노출되는 위험성도 동반하고 있다.
소셜 네트워크 서비스에서 발생한 보안 위협들의 특징
앞서 살펴본 것과 같이 SNS에서 발생하는 보안 위협들은 사용자들이 흥미를 가질 수 있는 주제로 위장하는 사회 공학 기법에 그 근간을 두고 악의적인 목적으로 제작된 웹 사이트로 연결하는 단축 URL을 활용하여 제작되고 있다. 실제 SNS에서 발생한 보안 위협 사례들을 분석해보면 공통적으로 4가지의 커다란 특징적인 형태를 가지고 있다는 것을 알 수 있다.
[그림 6] 소셜 네트워크 서비스에서 발생하는 보안 위협의 특징
1. 내부 시스템 환경 악용
SNS에서 발생하는 보안 위협 중 내부 시스템 환경을 악용하는 형태들은 SNS 내부에 이미 정의되어 있는 기본적인 규칙(Rule)들을 악용하는 형태들이다.
이러한 형태들은 트위터의 경우 사용자들 사이에 서로가 팔로어(Follower)와 팔로잉(Following)의 관계가 성립되어야지만 다이렉트 메시지(Direct Message)라는 다른 사용자들이 볼 수 없는 비밀 쪽지를 발송할 수 있다. 이러한 기본적인 규칙을 악용하여 피싱이나 악성코드를 유포하는 악의적인 웹 사이트들을 다른 트위터 사용자들이 인지하지 못하도록 은밀하게 전송이 가능하다.
2. 사용자 생태계 악용
현재 서비스 되고 있는 트위터 및 페이스북(Facebook)과 같은 유명 해외 소셜 네트워크 서비스의 경우에는 해당 서비스들을 이용하기 위한 가입 절차가 국내와 비교하여 비교적 간단하게 메일 주소와 암호 입력만으로도 바로 사용이 가능하다.
[그림 7] 사용자 이름과 이메일 주소만 입력하면 가입이 가능한 페이스북
이러한 간편한 가입 절차로 인해 악의적인 목적으로도 다수의 허위 사용자 계정들을 생성하여 SNS 사용자들에게 흥미로운 정보로 위장한 다양한 형태의 보안 위협들을 유포할 수가 있다. 특히 한국의 경우에는 트위터에서 ‘맞팔’이라고 하여 먼저 팔로잉을 해준 사용자에 대한 답례로 같이 팔로잉을 하는 독특한 형태의 문화로 인해 악의적인 목적으로 생성된 허위 트위터 계정들로 인해 쉽게 보안 위협에 노출될 수 있다.
3. SNS 이미지 악용
최근 몇 년 사이 SNS 사용자가 증가함으로써 각종 언론을 통해 트위터나 페이스북 사용자들이 아니더라도 많은 사람들이 해당 서비스들이 어떠한 것인지 알고 있다. 이러한 SNS의 브랜드(Brand)와 이미지 가치가 상승함에 따라 이를 악용하여 트위터나 페이스북에서 발송한 이메일 등으로 위장한 피싱 메일이나 악성코드가 첨부된 메일이 유포되었다.
4. 다른 보안 위협에서 악용
SNS 사용자들이 지속적으로 증가함으로 인해 기업의 입장에서는 마케팅이나 홍보를 위한 도구로도 소셜 네트워크 서비스가 이용되고 있다. 그리고 사용자들은 개인 프로필에서도 역시 자신이 일하는 기업을 공개하며 기업 홍보를 돕고 있다.
이러한 소셜 네트워크 서비스의 생태계로 인해 사용자의 활동이나 기업의 활동에 대한 정보 수집이나 오프라인 범죄 등을 위한 사전 정보 수집 도구로서 SNS가 악용되고 있다.
소셜 네트워크 서비스에서 발생한 보안 위협 사례들
앞서 SNS에서 발생하고 있는 보안 위협들의 분석을 통해 4가지 커다란 특징들을 살펴보았다. 현재 발생하고 있는 보안 위협들은 전세계적으로 사용자가 비교적 많은 트위터와 페이스북을 중심으로 발생하고 있다. 해당 서비스들에서 발생한 보안 위협들에 대해 구체적인 사례들을 통해 살펴보도록 하자.
1. 트위터에서 금전 거래되는 팔로어 및 악의적인 트위터 계정
2010년 3월에는 유럽에서 허위 백신을 유포하기 위한 목적으로 다수의 허위 계정들이 생성된 것이 발견되었다. 생성된 허위 계정들은 [그림 8]과 같이 다수를 이루고 있으며, 해당 허위 계정들에 의해 트위터 내부로 유포된 메시지들은 사용자들이 흥미를 가질 만한 주제와 함께 허위 백신을 설치하도록 유도하는 악의적인 웹 페이지로 연결되는 단축 URL들이 포함되어 있었다.
[그림 8] 금전 거래를 통해 트위터 팔로어를 늘려준다는 웹 사이트
그리고 2010년 7월에는 해외에서 생성된 트위터 계정을 통해 금전적인 대가를 지불하면 [그림 9]와 같이 금전적인 대가에 따라 특정 수치만큼의 트위터 팔로어를 늘려준다는 광고 웹 사이트가 발견되었다.
[그림 9] 금전 거래를 통해 트위터 팔로어를 늘려준다는 웹 사이트
2. 트위터 DM(Direct Message)으로 피싱(Phishing) 웹 사이트 링크 전달
2010년 2월에는 트위터에서 상호 팔로잉이 되어 있는 사용자들에게 피싱 웹 사이트로 연결하는 단축 URL이 포함된 다이렉트 메시지가 유포되었다. 유포된 다이렉트 메시지에는 [그림 10]과 같이 사용자로 하여금 호기심을 유발하게 하는 메시지와 함께 단축 URL이 포함되어 있었다.
[그림 10] 트위터 다이렉트 메시지로 전달된 피싱 웹 사이트
다이렉트 메시지에 포함되어 있는 단축 URL을 클릭하게 될 경우에는 [그림 11]과 같이 허위로 제작된 트위터 로그인 웹 사이트로 연결되며, 해당 웹 페이지를 통해 수집된 트위터 사용자 정보들은 모두 중국에 위치한 특정 서버로 전송되었다.
[그림 11] 허위 트위터 로그인 페이지
그리고 2010년 11월에는 다양한 피싱 웹 페이지를 간편하게 생성이 가능한 피싱 툴킷(Toolkit)에서도 페이스북과 마이스페이스(MySpace)와 같은 SNS의 로그인 웹 페이지가 생성 가능한 것이 발견되었다.
[그림 12] 다양한 피싱 웹 페이지 생성을 위한 피싱 툴킷
3. 트위터를 이용한 허위 사실 유포
2009년 6월에는 팝가수 브리트니 스피어스(Britney Spears)의 트위터 계정이 해킹되어 브리트니 스피어스가 사망하였다는 허위 사실이 유포되었다.
[그림 13] 브리트니 스피어스의 계정으로 유포된 허위 사망 소식
(출처: Sophos)
이러한 트위터를 이용한 허위 사실 유포는 국내에서도 역시 유명 영화배우를 사칭한 허위 트위터 계정을 통해 새로운 영화와 관련한 허위 내용들을 유포한 사례가 존재한다.
4. 페이스북과 트위터로 위장한 악성코드 및 성인 약품 광고 스팸 메일 발송
2009년 9월에는 트위터에서 사용자가 발송한 친구 초대 메일로 위장하여 악성코드 감염을 시도한 사례가 발견되었다. 또한 2010년 6월에는 트위터에서 발송한 사용자 계정에 대한 암호 변경 안내 메일로 위장하여 악성코드 감염을 시도한 사례가 나타났다.
그리고 2010년 5월에는 [그림 14]와 같이 트위터에서 발송한 메일로 위장하여 성인 약품 광고를 위한 웹 사이트로 연결을 유도한 스팸(Spam) 메일도 발견되었다.
[그림 14] 트위터에서 발송한 메일로 위장한 성인 약품 광고를 위한 스팸 메일
2009년 10월과 2011년 1월에는 페이스북에서 발송한 것으로 위장한 사용자 정보 업데이트 안내 메일과 사용자 암호 변경 안내 메일로 위장한 메일에 악성코드가 첨부되어 유포된 것이 발견되었다.
[그림 15] 페이스북 사용자 암호 변경 메일로 위장한 악성코드 유포
5. 트위터를 이용해 악의적인 봇넷 구성과 조정
2009년 8월과 2010년 5월, 그리고 8월에는 트위터로 조정이 가능한 악성코드인 트윗봇(TwitBot) 생성기가 발견되었으며, 국내에서도 P2P(Peer to Peer) 프로그램을 통해 유용한 유틸리티로 위장하여 공유되고 있는 트윗봇 악성코드가 발견되었다.
[그림 16] 트위터를 이용해 봇넷(Botnet) 구성 및 조정
악성코드 제작자는 [그림 16]과와 같이 트윗봇 생성기를 통해 악성코드를 생성한 후 취약한 웹 사이트 또는 P2P 프로그램 등에서 동영상 파일이나 유용한 프로그램 등으로 위장하여 유포한다. 이렇게 유포된 해당 악성코드에 감염된 시스템들은 악성코드 제작자가 악성코드 생성 당시에 지정해둔 특정 트위터 계정의 웹 페이지로 접속을 시도하여 접속이 성공하게 될 경우 악성코드 제작자에 의해 생성되어 있는 트위터 메시지들을 명령으로 수신하여 특정 시스템에 대한 DDoS(Distributed Denial-of-Service) 공격 등을 수행할 수가 있다.
6. APT(Advance Persistent Threat) 형태의 위협에서 정보 수집 수단으로 트위터 활용
2011년 3월 해외 보안 업체인 EMC/RSA에서 발생한 기업 기밀 탈취를 목적으로 한 APT 형태의 보안 사고가 발생하였다. 해당 보안 사고에서 공격자는 타깃 공격(Targeted Attack)을 위해 사전에 장시간 동안 해당 업체에 근무하는 임직원들의 트위터를 모니터링하며 공격 대상 선정과 유효하게 적용될 사회 공학 기법 개발을 위한 목적으로 관련자 개인 정보를 수집 하였다.
[그림 17] EMC/RSA에서 발생한 APT 형태의 보안 위협 (출처: EMC/RSA)
7. 페이스북 담벼락과 채팅 메시지로 악성코드 유포
2010년 11월과 12월에는 페이스북 사용자들 사이에서 사용이 가능한 채팅 창을 통해 악성코드를 다운로드하는 악의적인 웹 사이트가 유포되었다. 그리고 2011년 2월에는 페이스북 사용자들의 담벼락에 악성코드를 다운로드 하도록 유도하는 악의적인 웹 사이트가 특정 게시물에 포함되어 유포되었다.
[그림 18] 페이스북 담벼락에 게시된 악성코드를 다운로드하는 웹 사이트
2011년 5월에는 미국 정부에 의해 테러 조직인 알카에다의 지도자인 오사마 빈 라덴(Osama Bin Laden)이 사망하였다는 소식이 국내외 언론을 통해 공개된 이후, 페이스북에는 [그림 19]와 같이 빈 라덴 사망 동영상으로 위장한 허위 백신 유포 시도 사례가 발견되었다.
[그림 19] 빈 라덴 사망 소식을 이용한 허위 백신 유포 시도
8. 소셜 네트워크 서비스를 전파 경로로 악용하는 악성코드
2011년 6월에는 다양한 소셜 네트워크 서비스를 전파 경로로 악용하는 악성코드가 발견되었다. 해당 악성코드는 사용자가 많은 트위터와 페이스북 외에도 다른 소셜 네트워크 서비스들인 러시아에서 많이 이용되는 브 칸탁제(Vkontakte), 미국에서 이용되는 베보(Bebo)와 프렌드스터(Friendster)로도 동시에 악성코드 유포를 시도한 특징이 존재한다.
[그림 20] 트위터와 페이스북으로 동시에 전파되는 악성코드의 코드 중 일부
맺음말
소셜 네트워크 서비스를 통해 우리는 매일 사회적으로 좋은 관계를 유지하고 있는 많은 사람들의 좋은 이야기들을 전해 듣거나 나 자신이 겪는 다양한 세상사는 이야기들을 전하는 즐거움을 느끼고 있다.
그러나 그 이면에는 다양한 보안 위협들도 같이 포함이 되어 있어 많은 주의가 필요하다는 것을 소셜 네트워크 서비스에서 발생한 다양한 보안 위협 사례들을 통해 쉽게 알 수 있다.
특히 기업에 있어서는 소셜 네트워크 서비스의 활용이 기업 마케팅과 이미지 제고에 많은 도움을 줄 수도 있지만 사내 임직원들의 잘못된 소셜 네트워크 서비스의 이용은 기업 네트워크로 심각한 피해를 유발할 수 있는 악성코드의 유입 접점이 될 수도 있다. 이와 함께 APT 위협 형태의 기업 기밀 유출이라는 심각한 보안 사고까지 유발할 수 있는 부작용이 발생 할 수 있다는 점을 반드시 인식할 필요가 있다.
그러므로 기업에서는 기업 보안 정책에 있어 소셜 네트워크 서비스를 어떠한 방식으로 통제를 할 것인지에 대한 진지한 고민이 필요하다. 기업 임직원들의 경우에는 과도한 개인 정보와 기업 활동 정보의 공개는 자신 뿐만 아니라 기업에 있어서도 심각한 보안 사고로 직결될 수 있다는 점을 분명히 인지하여야만 한다.