안철수연구소는 2007년 1월부터 11월까지의 악성코드·스파이웨어 동향을 분석한 결과 새로 발견된 악성코드(바이러스, 웜, 트로이목마의 통칭)는 5599개로 전년 동기 대비 39.1% 증가했으며 스파이웨어는 6036개가 새로 발견돼 지난해 동기 대비 11.7% 증가했다고 전했다.
안철수연구소는 또 `2007년 보안 위협 10대 트렌드`로 ▲공격의 국지성 심화를 비롯해 ▲`사이버 블랙 마켓`을 통한 대가성 범죄 급증 ▲웹사이트 해킹 심화 ▲허위 안티스파이웨어 급증 ▲좀비 PC를 만드는 봇넷(BotNet) 기승 ▲이동저장장치 노린 악성코드 기승 ▲스파이웨어 전파 방법의 지능화 ▲악성코드 은폐 기법의 고도화 ▲ARP 스푸핑 해킹 기법과 악성코드의 결합 ▲애플리케이션 취약점 공격 다양화 등을 들었다.
◇공격의 국지성 심화
악성코드의 국지성이 심화했다. 그 이유는 악성코드 제작자들이 금전을 얻고자 개인 정보를 빼내는 데 목표를 두기 때문이다. 따라서 불특정 다수가 아닌 한 국가, 한 회사, 한 커뮤니티 사이트를 겨냥해 웹사이트를 해킹한 후 악성코드를 심는 일이 갈수록 급증하고 있다. 단적인 예로 특정 온라인 게임의 사용자 계정을 탈취하는 트로이목마의 경우 올해 1800개가 발견돼 전년 동기 대비 95.9% 증가했다.
◇`사이버 블랙 마켓`을 통한 대가성 범죄 급증
사이버상에서 거래되는 가상의 재화를 현금으로 교환하는 일이 늘고 있다. 이에 따라 불법으로 재화를 거래하는 소위 `사이버 블랙 마켓`이 형성됐다. 최근 발생하는 대부분의 보안 위협은 `블랙 마켓`을 통해 현금을 얻는 데 목적이 있는 것으로 보인다. 여기서는 신상 정보 및 신용카드 정보, 온라인 게임 계정 등이 거래되고 있으며 악성코드가 판매되는가 하면 봇넷이나 피싱, DDoS(분산 서비스 거부) 공격 등을 대가를 받고 해주는 것으로 알려져있다.
현재 `블랙 마켓`이 가장 크게 활성화한 곳은 러시아와 중국이다. 우리나라는 중국 블랙 마켓의 영향력이 크게 미친다고 볼 수 있다. 특히 두 나라 사이에서는 대규모 다중사용자 온라인 롤플레잉 게임(MMORPG)에서 발생하는 아이템이 현금으로 거래되고 있어 게임 사용자의 정보가 매우 큰 가치를 갖는다. 따라서 이를 노리는 피해 규모도 상상을 초월할 것으로 추정된다.
◇웹사이트 해킹 심화
◇허위 안티스파이웨어 급증
스파이웨어의 발견 및 피해 신고가 늘고 있을 뿐 아니라 허위 안티스파이웨어 또한 증가해 큰 피해를 주고 있다. 악성코드에 감염됐다는 허위 메시지를 보여주고 치료를 유도하는 허위 안티스파이웨어는 2006년에는 67개가 발견됐으나 2007년 11월말 현재 186개로 3배 가까이 급증했다.
◇좀비 PC 만드는 봇넷(BotNet) 기승
2007년 악성 IRC봇의 수는 2006년에 비해 다소 감소했다. 하지만 화상채팅 사이트, 게임 아이템 거래 사이트에 대한 DDoS 공격처럼 봇넷을 이용한 공격은 점차 대담해지고 있다. IRC 채널뿐 아니라 P2P를 이용하는 경우도 많아지고, 컴퓨터의 사양이 좋아짐에 따라 몇십대에서 몇백대의 좀비 PC만으로 DDoS 공격이 가능하기 때문에 피해는 갈수록 커질 것으로 전망된다.
◇이동저장장치 노린 악성코드 기승
◇스파이웨어 전파 방법의 지능화
스파이웨어가 사용자의 동의를 거치지 않고 손쉽게 설치되기 위해 각종 지능적인 기법을 사용하고 있다. 다른 프로그램이 설치될 때 사용자 몰래 함께 설치되거나 동영상 플레이어 같은 특정 프로그램이 설치된 후 그 프로그램의 일부인 양 다운로드되기도 한다. 스파이웨어가 설치된 것을 인지하지 못하게 하거나 분석을 어렵게 하는 루트킷(root kit 해커가 컴퓨터에 침입한 사실을 숨긴 채 관리자용 접근 권한을 획득하는 데 사용하는 도구)을 상용하기도 한다. 10월에 등장한 랜섬웨어는 동영상 플레이어 설치 후 화면을 크게 하는 데 필요한 프로그램인 것처럼 설치됐다. 사용자의 동영상 파일을 임의로 다른 폴더에 옮긴 후 실행하려고 하면 휴대전화 번호를 입력해 인증 절차를 거치게 하고, 7일 동안 해지하지 않으면 매달 자동 결제가 되도록 해 많은 피해를 낳았다.
◇악성코드 은폐 기법의 고도화
보안 제품의 성능 및 진단 기법이 향상됨에 따라 최근의 악성코드들은 보안 제품을 역분석해 진단을 회피하거나 무력화를 시도한다. 최신 기법에는 첫째, 종전에는 보안 제품의 프로세스를 종료하거나 파일을 삭제했으나, 최근에는 보안 제품이 정상적으로 동작하는 것처럼 보이지만 실제 기능은 중지시켜 사용자가 인지하기 어렵게 하는 기법이 있다. 둘째, 윈도 파일 보호 기능을 기존과 전혀 다른 방법으로 우회해 시스템 파일을 악성코드로 변경하는 기법이다. 셋째, 정상 행위와 악성 행위를 교묘히 섞어 보안 제품이 악의적인 행동을 탐지하지 못하게 하거나 잘못 탐지하도록 유도하는 방법이다.
◇ARP 스푸핑 해킹 기법과 악성코드의 결합
ARP 스푸핑(Address Resolution Protocol Spoofing)은 동일 네트워크에 존재하는 공격 대상 PC의 IP 주소를 공격자 자신의 랜카드 주소와 연결해 다른 PC에 전달돼야 하는 정보를 가로채는 공격을 말한다. 어떤 PC에 ARP 스푸핑 기능을 가진 악성코드가 설치되면 약간의 조작으로 동일 구역 내의 다른 PC에 쉽게 악성코드를 설치할 수 있다. 이 기법 자체가 새로운 것은 아니지만 올해 상반기에 많은 피해가 있었다. 한편 ARP 스푸핑을 통해 VoIP 도청 등 데이터 변조를 쉽게 할 수 있어 기업 내부 네트워크 보안의 중요성이 부각되고 있다.
◇애플리케이션 취약점 공격 다양화
2007년에 나온 MS 보안 패치 중 애플리케이션(오피스, 인터넷 익스플로러, 일반 애플리케이션)에 관련된 것이 총 66%를 차지했다. 애플리케이션 취약점을 이용해 악성코드가 포함된 파일을 대량 메일로 전송하거나 인터넷 익스플로러의 취약점을 통해 악성코드를 배포하는 사건이 빈발했다. MS사의 애플리케이션 취약점뿐 아니라 애플 맥 OS X, 액티브X, 멀티미디어 플레이어, 이미지 뷰어, 메신저 등 사용자들이 많이 사용하는 애플리케이션들을 위협하는 요소도 늘었다.
▶ 관련기사 ◀
☞안철수연구소, 주당 500원 현금배당 계획
☞안철수연구소, 성장 지속 `목표가 상향`-교보