시만텍 엔터프라이즈 보안 시만텍 인터넷 보안 위협 보고서 2010년 동향 제16호, 2011년 4월 보고서 소개 시만텍은 Symantec Global Intelligence Network를 통해 전 세계적으로 가장 광범위한 인터넷 위협 정보 기반을 구축했습니다. Symantec Global Intelligence Network는 Symantec DeepSight Threat Management System, Symantec Managed Security Services, Norton 과 같은 시만텍 제품과 타사 데이터 소스를 사용하여 전 세계 200여개 국가의 240,000여개 센서를 통해 공격 활동을 모니터링합니다. 시만텍은 시만텍 안티바이러스 제품이 설치된 1억3천만대 이상의 클라이언트, 서버 및 게이트웨이 시스템으로부터 악성 코드 정보를 수집하고 있습니다. 또한 시만텍의 분산형 허니팟 네트워크에서 전 세계의 데이터를 수집하여 지금까지 발견되지 않았던 보안 위협 및 공격 양상을 정의하여 공격자의 수법을 파악하는 데 중요한 정보를 제공합니다. 또한 시만텍은 전 세계에서 가장 포괄적인 취약점 데이터베이스를 보유하고 있습니다. 이 데이터베이스는 20여년 전부터 수집된 14,000여개 벤더의 105,000여종 기술과 관련된 40,000여개의 보안 취약점 정보로 구성되었습니다. 또한 시만텍은 인터넷 취약점에 대한 정보를 공개하고 토론하는 최대 규모의 포럼 중 하나인 BugTraq의 메일링 목록을 관리합니다. 여기서는 약 24,000명의 구독자가 매일 취약점에 관한 조사 연구에 동참하고 그 결과를 수신하며 연구 내용에 대해 토론하고 있습니다. Marc Fossi 수석 편집자 관리자, 개발 보안 기술 연구소 Gerry Egan 제품 관리 담당 이사 보안 기술 연구소 Kevin Haley 제품 관리 담당 이사 보안 기술 연구소 Eric Johnson 편집자 보안 기술 연구소 Trevor Mack 공동 편집자 보안 기술 연구소 Téo Adams 보안 위협 분석가 보안 기술 연구소 Joseph Blackbird 보안 위협 분석가 보안 기술 연구소 Mo King Low 보안 위협 분석가 보안 기술 연구소 Debbie Mazurek 보안 위협 분석가 보안 기술 연구소 David McKinney 보안 위협 분석가 보안 기술 연구소 Paul Wood MessageLabs Intelligence 수석 분석가 Symantec.cloud
또한 5백만개가 넘는 디코이 계정으로 구성된 Symantec Probe Network 시스템, 그리고 메시징 보안 문제, 동향 및 통계 관련 정보와 분석 결과를 제공하는 업계 최고의 MessageLabs Intelligence, 그 밖의 시만텍 기술을 포함한 다양한 출처를 통해 스팸 및 피싱 데이터를 수집합니다. 전 세계 86여 개국에서 데이터를 수집하고 16개의 데이터 센터에서 매일 80억 통이 넘는 이메일 메시지와 10억 건이 넘는 웹 요청을 처리합니다. 뿐만 아니라 시만텍은 엔터프라이즈, 보안 벤더, 5천만 명 이상의 개인 사용자 등으로 구성된 광범위한 사기 방지 커뮤니티를 통해서도 피싱 정보를 수집합니다. 이러한 리소스는 시만텍 애널리스트가 공격, 악성 코드 활동, 피싱 및 스팸에 대한 새로운 동향을 식별, 분석하고 이에 대한 유용한 정보를 제공할 수 있도록 도와줍니다. 시만텍 인터넷 보안 위협 보고서는 이러한 활동의 결과물로써 기업 및 개인 사용자가 현재 그리고 미래의 시스템 환경을 안전하게 보호하는 데 꼭 필요한 정보를 제공합니다. 2
2010년 리뷰 진화를 거듭하는 표적 공격 새롭게 등장한 공격 유형은 아니지만 주요 기관(Hydraq) 및 기간 시설(Stuxnet)을 대상으로 삼은 표적 공격이 대대적으로 보도되면서 악명을 떨쳤습니다. 소셜 네트워킹 + 사회 공학 = 치명적인 보안 사고 온라인 표적 조사 능력을 갖춘 해커들이 전문가도 쉽게 속일 만큼 강력한 사회 공학적 공격 수법을 개발했습니다. 숨바꼭질 (제로데이 취약점과 루트킷) 표적 공격 시에는 주로 조직 내부에 침투하거나 일반 사이트에 숨어 정체를 드러내지 않는 것이 중요합니다. 제로데이 취약점과 루트킷이 이를 가능하게 했습니다. EXPLOIT LIBRARY COMMAND & CONTROL USER INTERFACE UPDATABILITY ENGINE OBFUSCATION 공격 킷의 카페인 효과 보다 지능화된 표적 공격 수법이 등장하면서 주로 툴킷을 사용한 대규모 공격이 수행될 것입니다. 모바일 보안 위협 증가 공격 유형이 모바일 장치로 확산되고 있으며 주로 투자 수익을 거두려는 공격자들이 주축을 이루고 있습니다. VULNERABILITIES 163 115 2009 2010 출처: Symantec Corporation 3
요약 시만텍은 2010년 한 해에만 30억 건이 넘는 악성 코드 공격을 기록했으며 그중 가장 눈에 띄는 것이 Stuxnet입니다. Stuxnet이 많은 이들의 주목을 받으면서 그 표적과 배후에 대한 추측이 난무했습니다. 그만큼 Stuxnet은 복잡하고 엄청난 파장을 불러일으킨 공격입니다. 2010년을 돌이켜보면 반복적으로 등장하는 5가지 테마가 있습니다. 1) 표적 공격. Stuxnet의 부상으로 거의 잊혀질 뻔한 공격은 Hydraq입니다. 사이버 사보타주라고 할 수 있는 Stuxnet에 비하면 Hydraq의 목적은 다소 고전적이라고 할 수 있습니다. 단순히 훔치는 것이 목적입니다. 하지만 Hydraq의 특징은 누구로부터 무엇을 훔치려 했느냐에 있습니다. Hydraq이 주로 노리는 것은 기업들의 지적 재산입니다. 표적 공격은 과거에도 있었고 2010년에도 계속 발생할 것입니다. 이제는 Hydraq 공격이 잊혀진 것처럼 Stuxnet도 언젠가는 잊혀지겠지만, 그 파급 효과는 앞으로 나타날 악성 코드 공격으로 이어질 것입니다. Stuxnet과 Hydraq 공격을 통해 알게 된 점은 미래의 공격자들이 친구와 동료라는 이름으로 우리의 신뢰를 손쉽게 악용할 것이라는 점입니다. USB 키를 보유한 사용자에게 접근 권한이 없었다면 Stuxnet이 표적으로 삼지 못했을 것입니다. 또한 사용자가 이메일로 받은 링크 및 첨부 파일이 신뢰할 만한 곳에서 왔다고 믿지 않았다면 Hydraq은 성공하지 못했을 것입니다. 2) 소셜 네트워크. 표적이 CEO이든 QA 팀원이든지 간에 인터넷과 소셜 네트워크는 맞춤형 공격을 개발하는 공격자에게 훌륭한 정보 출처가 됩니다. 해커가 친구들 사이에 끼어들어 우리의 관심사를 알아내고 신뢰를 얻은 다음 친구처럼 행세합니다. 낯선 이메일 주소, 맞춤법 오류, 얼핏 봐도 알 수 있는 악성 링크가 주를 이루던 시대는 지났습니다. 실제로 고도의 사회 공학적 공격 수법은 알아채는 것이 거의 불가능합니다. 3) 제로데이 취약점과 루트킷. 표적 공격은 일단 조직 내부에 침투하면 목표를 달성할 때까지 정체를 드러내지 않습니다. 이때 구사하는 수법으로 제로데이 취약점이 있는데, 공격자는 이 방법을 사용하여 사용자 몰래 시스템에 악성 애플리케이션을 설치할 수 있습니다. 2010년에는 제로데이 취약점 14개가 발견되었습니다. 루트킷도 핵심적인 역할을 수행합니다. 루트킷이 새로운 개념은 아니지만 공격자들은 탐지 툴보다 앞서 나가기 위해 루트킷의 수법을 더욱 지능화하고 있습니다. 이러한 루트킷 중 상당수는 은밀한 공격에 사용할 목적으로 개발되었습니다. 2010년에는 일반적인 해킹 툴을 사용한 표적 공격 사례가 보도되기도 했습니다. 이러한 공격 프로세스는 제품 생산 공정과 유사합니다. 즉, 공격 툴의 구성 요소가 표준 양산 부품처럼 공급되어 비용이 낮아지는 동시에 시장에 침투하는 속도가 빠릅니다. 게다가 점점 더 저렴해지고 속도도 빨라지고 있으며 Stuxnet과 같은 공격은 표적 공격의 학습 효과가 뚜렷하기 때문에 그 기법이 전수 및 수정 과정을 거치면 대규모 공격에서 이용될 가능성이 큽니다. 4
4) 공격 킷. 공격 킷을 사용하면 평범한 사이버 범죄자도 고도의 공격 기법을 구사할 수 있습니다. 공격 킷이 등장하면서 제로데이 취약점은 일상적인 취약점이 되었습니다. Stuxnet에 사용된 취약점과 2010년에 발견된 6,253종의 취약점은 지하 경제에서 판매되는 공격 킷을 통해 새로운 판로가 개척되고 있습니다. 이러한 툴은 사이버 범죄자가 손쉽게 이용할 수 있으며 2010년에 발견된 2억 8,600만여 종의 신규 악성 코드 변종 생성에도 일조했습니다. 5) 모바일 보안 위협. 툴킷을 통해 알 수 있는 것처럼 사이버 범죄는 이제 하나의 비즈니스가 되었습니다. 게다가 합법적인 비즈니스와 마찬가지로 사이버 범죄도 투자 수익률에 좌우됩니다. 시만텍은 최근 모바일 보안 위협과 관련된 사이버 범죄의 실태를 이러한 맥락에서 파악하고 있습니다. 2010년에는 보안 위협을 실행할 수 있는 모든 요건이 준비되었습니다. 스마트폰과 기타 모바일 장치를 이용하는 사용자도 상당한 규모로 확대되었습니다. 이러한 장치에 실행되는 정교한 운영 체제에서는 불가피한 취약점도 있는데, 2010년만 해도 163종이 발견되었습니다. 뿐만 아니라 앱스토어에서 판매 중인 합법적인 애플리케이션에 숨어 있는 트로이 목마가 간단하면서도 효과적인 전파 수단으로 활용된 것으로 밝혀졌습니다. 이러한 조건을 취합하여 PC에 버금가는 수익 센터로 활용할 수 있는 해커가 아직 나타나지 않았을 뿐, 2010년과 달리 2011년에는 또 다른 상황이 전개될 것입니다. 이 보고서는 이와 같은 보안 위협의 동향과 예측되는 보안 위협 그리고 2010년에 이어 더욱 진화될 인터넷 위협 환경을 조명합니다. 4개의 부록은 이러한 내용을 보완하면서 다음과 같은 카테고리를 중심으로 1년간 수집한 데이터를 제공합니다. 보안 위협 현황 취약점 악성 코드 사기 활동 시만텍은 이러한 분석과 함께 기업과 개인 사용자가 현재의 인터넷 보안 위협 환경에서 위험 부담을 줄이기 위해 권장되는 베스트 프랙티스에 대한 종합 안내서도 제공합니다. 보충 분석과 베스트 프랙티스를 사용하려면 시만텍 인터넷 보안 위협 보고서 사이트 를 방문하십시오. 5
수치로 본 1년 2010년의 보안 환경을 보여주는 대표적인 통계 수치들 286M+ 보안 위협 다형성(polymorphism)과 웹 공격 툴킷 등의 새로운 제공 메커니즘을 통해 일반적인 경로로 전파되는 악성 코드 변종의 수가 계속 증가하고 있습니다. 2010년에 시만텍은 2억 8600만 종 이상의 고유한 악성 코드 변종을 발견했습니다. 93% 웹 공격 증가 웹 공격 툴킷이 확산되면서 2010년의 웹 기반 공격 볼륨이 2009년 대비 93% 증가했습니다. 여기에는 단축 URL도 일조한 것으로 보입니다. 2010년에 3개월간 관찰한 바로는 소셜 네트워크에서 발견된 악성 URL의 65% 가 단축 URL이었습니다. 260,000 보안 사고당 유출된 신원 정보 이 수치는 1년간 해킹으로 발생한 데이터 유출 사고의 평균 신원 노출 건수입니다. ID ID 42% 더 많은 모바일 취약점 모바일 분야에 보안 조사 전문가와 사이버 범죄자의 관심이 높아지고 있음을 나타내는 징후 중 하나로 신규 모바일 운영 체제 취약점 신고 건수가 2009년의 115건에서 163건으로 크게 증가한 점을 들 수 있습니다. VULNERABILITIES 115 163 09 10 6,253 새로운 취약점 시만텍은 2010년 한 해 동안 이 보고서를 발행한 이래 가장 많은 취약점을 찾아냈습니다. 뿐만 아니라 취약점의 영향을 받는 신규 벤더 수는 1,914개로 전년 대비 161% 증가했습니다. 14 새로운 제로데이 취약점 2010년에는 Internet Explorer, Adobe Reader, Adobe Flash Player와 같이 널리 사용되는 애플리케이션에서 14개의 제로데이 취약점이 발견되었습니다. Industrial Control System 소프트웨어에 대한 익스플로잇도 발견되었습니다. Stuxnet만 해도 4가지의 제로데이 취약점을 이용하면서 고도의 정교함을 드러냈습니다. 74% 의약품 스팸 2010년에 발생한 전체 스팸 메일 중 약 3/4은 의약품과 관련되어 있었습니다. 그 중 상당수가 Canadian Pharmacy 웹 사이트와 관련 브랜드에 관한 메일이었습니다. 1M+ 봇 2010년에 발견된 가장 큰 규모의 봇넷인 Rustock은 1백만 대가 넘는 봇을 제어합니다. 그 이후에 발생한 Grum, Cutwail 등은 각각 수십만 개의 봇으로 구성되어 있습니다. $15 봇 10,000개당 가격 시만텍이 2010년에 발견한 한 지하 경제 광고는 10,000개의 봇을 15달러에 판매한다는 내용이었습니다. 일반적으로 봇은 스팸 또는 로그웨어 캠페인에서 사용되지만 분산형 서비스 거부(DDoS) 공격에 사용되는 경우도 늘고 있습니다. $0.07 ~ $100 신용 카드 1개당 지하 경제에서 광고 중인 도용한 신용 카드 번호 1개당 가격입니다. 합법적인 시장과 마찬가지로 대량 구매 시 상당한 할인도 제공됩니다. 출처: Symantec Corporation 참고: 모든 금액은 미국 달러 기준입니다. 6
진화를 거듭하는 표적 공격 2010년에는 두 가지 표적 공격이 주를 이루었습니다. 새해 초부터 Hydraq(일명 Aurora)이 경종을 울렸으며 여름에 발견된 Stuxnet은 관련 정보가 속속 드러나면서 연말까지 크게 주목 받았습니다. Stuxnet에 관한 심층적인 분석이 이루어졌지만 이러한 표적 공격과 관련하여 아직 밝혀지지 않은 것도 많습니다. 2010년에 가장 널리 알려진 표적 공격 중 일부는 매우 다른 양상을 띠었으며, 상장된 다국적 기업 및 정부 기관부터 소기업까지 공격의 규모도 다양했습니다. 게다가 알려진 공격자의 동기와 배경도 각양각색입니다. 어떤 공격은 상대적으로 훨씬 더 효과적이고 위험했습니다. 하지만 모든 피해자에게는 한 가지 공통점이 있었는데, 바로 구체적인 표적이 되어 공격을 받았다는 것입니다. 웜 및 기타 네트워크 침입으로부터 중요한 시스템을 보호하기 위해 격리형 네트워크와 같은 강력한 보안 장치를 구현한 곳도 많습니다. 하지만 Stuxnet 웜은 이와 같이 격리된 네트워크에도 침입할 수 있으므로 추가적인 보안 계층이 필요합니다. Stuxnet은 매우 복잡한 보안 위협이지만, 이보다 덜 복잡한 악성 코드로도 격리형 네트워크에 침투할 수 있습니다. USB 드라이브와 같은 이동식 미디어를 전파 수단으로 삼는 악성 코드가 증가하고 있으므로 격리형 네트워크 역시 사용자 네트워크 못지 않은 정책과 보호 장치가 있어야 안전하게 보호할 수 있습니다. 이러한 보안 위협은 장치 제어 정책과 같이 외부 포트에 대한 액세스를 차단하는 엔드포인트 보호 조치를 통해 차단할 수 있습니다. 순위 전파 메커니즘 2010% 2009% 1 실행 파일 공유. 악성 코드는 스스로 복제되거나 실행 파일을 감염시킵니다. 그런 다음 다른 사용자에게 배포되는데, 주로 소형 USB 드라이브와 같은 이동식 드라이브에 복사한 후 자동 실행 루틴을 설정하는 방식입니다. 74% 72% 2 파일 전송, CIFS. CIFS는 파일 공유 프로토콜로, 시스템의 파일 및 기타 리소스를 인터넷에 연결된 다른 시스템과 공유할 수 있도록 합니다. 시스템의 디렉터리 하나 이상을 공유하여 다른 시스템에서 해당 디렉터리의 파일에 액세스하도록 할 수 있습니다. 악성 코드는 공유 디렉터리에서 자체 복사되어 해당 디렉터리에 액세스하는 다른 사용자를 감염시킵니다. 3 원격으로 악용할 수 있는 취약점. 악성 코드는 자가 복제를 수행하거나 다른 시스템을 감염시키는 취약점을 이용합니다. 4 파일 전송/이메일 첨부 파일. 악성 코드는 자체 복사본이 포함된 스팸 이메일을 전송합니다. 스팸 수신자가 첨부 파일을 열 경우 악성 코드가 실행되며 수신자의 시스템이 감염될 수 있습니다. 5 파일 공유, P2P. 악성 코드는 P2P 파일 공유 애플리케이션이 실행 중인 감염 시스템의 폴더에 자가 복제합니다. 애플리케이션이 실행되면 악성 파일이 동일한 P2P 네트워크에 연결된 다른 사용자들과 공유됩니다. 6 파일 전송, HTTP, 임베디드 URI, 인스턴트 메신저. 악성 코드를 통해 임베디드 URI가 포함된 인스턴트 메시지를 보내거나 수정합니다. 수신자가 해당 URI를 누르면 공격이 실행되고 악성 코드의 복사본이 설치됩니다. 7 파일 전송, 인스턴트 메신저. 악성 코드가 인스턴트 메시징 클라이언트를 사용하여 피해자의 주소록에 있는 수신자에게 자체적으로 파일을 전송합니다. 8 SQL. 악성 코드가 잠재된 SQL 취약점을 악용하거나 기본 또는 추측 가능한 관리자 암호를 시도하여 SQL 서버를 평가한 다음 해당 서버에서 자체 복사를 수행합니다. 9 파일 전송, HTTP, 임베디드 URI, 이메일 메시지 본문. 악성 코드를 통해 악성 URI가 포함된 스팸 이메일을 보냅니다. 수신자가 해당 URI를 누르면 공격이 실행되고 악성 코드의 복사본이 설치됩니다. 10 파일 전송, MMS 첨부 파일. 악성 코드가 MMS(Multimedia Messaging Service)를 이용하여 자체 복사본이 포함된 스팸 메시지를 전송합니다. VULNERABILITIES 115 163 2010년의 전파 메커니즘 출처: Symantec Corporation 47% 42% 24% 24% 18% 8% 4% 25% 5% 5% 2% 1% 1% 2% < 1% < 1% < 1% < 1% 2009 2010 7
상당수의 표적 공격이 대기업 및 정부 기관을 겨냥하지만 중소기업과 개인 사용자도 표적이 될 수 있습니다. 물론 고위직 임원만 노리는 것도 아닙니다. 대부분의 경우 제한된 네트워크 또는 관리 리소스에 대한 액세스 권한이 있는 사용자만 무너뜨린다면 공격에 성공할 수 있습니다. 부주의한 사용자 1명 또는 패치를 적용하지 않은 시스템 1대만 있으면 공격자가 표적으로 삼은 조직에 침투하고 해당 사용자의 인증 정보를 이용하여 추가적인 공격을 감행할 수 있습니다. Stuxnet에는 전례 없이 많은 수의 제로데이 취약점에 대한 익스플로잇 코드가 포함되었지만 그러한 코드가 없더라도 표적 공격이 가능합니다. 실제로는 조사 및 탐색을 통해 효과적인 사회 공학적 공격이 이루어지는 경우가 더 많습니다. 공격자는 기업 웹 사이트, 소셜 네트워크 및 기타 소스로부터 얻은 공개된 정보를 이용하여 그럴듯한 속임수를 고안할 수 있습니다. 그런 다음 악성 파일 또는 악성 웹 사이트 링크를 첨부하거나 포함한 이메일 메시지를 정상적인 메시지로 둔갑시켜 조사를 통해 알아낸 특정 직원에게 전송합니다. 이러한 수법을 스피어 피싱(spear phishing)이라고 합니다. 누구나 스피어 피싱 공격의 표적이 될 수 있습니다. Stuxnet, Hydraq과 같이 미디어의 관심이 집중된 유명 표적 공격은 지적 재산을 도용하거나 물리적 피해를 입히는 데 목적이 있지만 상당수의 공격은 개인 정보를 도용하는 데 주력합니다. 예를 들어, 2010년에 해킹으로 인한 데이터 보안 사고 건당 26만 개가 넘는 신원 정보가 유출되었으며, 이는 다른 어떤 원인보다 훨씬 높은 수치입니다. 이와 같은 보안 사고는 기업에게 특히 큰 타격이 될 수 있습니다. 고객 및 직원에 대한 기밀 정보가 함께 유출되어 공격자가 이를 지하 경제에서 팔 수도 있기 때문입니다. Average Number of Identities Exposed per Data Breach by Cause 해킹 262,767 내부자 68,418 도용/손실 67,528 미비한 보안 정책 30,572 사기 6,353 = 25,000개의 신원 정보 데이터 보안 사고 건당 평균 유출 신원 수(원인별, 2010년) 출처: OSF DataLoss DB 제공 데이터 기반 표적 공격에 대한 관심은 주로 공격자가 표적을 무너뜨리기 위해 구사하는 지능적인 수법에 초점을 맞추고 있으며 실제로는 그러한 분석에 예방 및 완화하는 방법에 관한 내용이 빠져 있는 경우가 많습니다. 대부분의 경우 베스트 프랙티스나 적합한 정책, 사용자 교육 프로그램으로 표적 공격을 예방하거나 적발할 수 있습니다. 예를 들어 USB 장치의 사용을 제한하면 이동식 미디어를 통해 전파되는 보안 위협을 막을 수 있습니다. 사용자에게 이메일 첨부 파일을 열지 말고 이메일 또는 인스턴트 메시지의 링크를 누르지 않도록 교육하는 것도 사고 예방에 도움이 될 수 있습니다. 8
여러 시스템에서 각기 다른 암호를 사용해야 하는 등 강력한 암호 정책을 적용한다면 보안 사고가 발생하더라도 네트워크를 통해 확산되지 않도록 막을 수 있습니다. 사용자의 권한을 제한하는 것은 감염된 시스템에서 액세스할 수 있는 네트워크 리소스 수를 줄이는 데 효과적입니다. 표적 공격의 주 목표 중 하나가 고객 기록, 지적 재산 등의 정보를 도용하는 것이므로 적절한 이그레스(egress) 필터링을 실시하고 데이터 손실 방지 솔루션을 구현해야 합니다. 그러면 기밀 정보가 사외로 반출되는 경우 네트워크 운영자가 그 사실을 알 수 있습니다. Stuxnet은 매우 지능적인 보안 위협이지만, 그처럼 복잡한 수법을 사용하지 않고도 성공을 거두는 표적 공격도 있습니다. 베스트 프랙티스를 따르지 않는 기업은 그리 정교하지 않은 공격으로도 간단히 무너질 수 있습니다. 물론 표적 공격과 그 수법은 앞으로 진화와 변화를 거듭할 것이 분명합니다. Stuxnet은 일반적인 공격자들도 새로운 보안 위협을 만들어 낼 수 있는 가능성을 제공했습니다. SCADA(Supervisory Control and Data Acquisition) 시스템을 담당하는 관리자라면 만일의 공격을 방어할 수 있도록 적어도 보안 장치와 정책을 검토해야 합니다. 소셜 네트워킹 + 사회 공학 = 치명적인 보안 사고 소셜 네트워크는 여전히 기업들의 보안 고민거리 중 하나입니다. 기업 및 정부 기관은 소셜 네트워킹의 장점을 충분히 활용하여 직원들의 만족도를 높이면서도 중요한 정보와 악용될 만한 정보의 노출 증가에 따른 위험을 줄이고자 애쓰고 있습니다. 게다가 소셜 네트워킹 사이트를 전파 수단으로 이용하는 악성 코드 문제도 여전히 심각합니다. 공격자는 소셜 네트워킹 사이트에서 프로필 정보를 가져와 표적 공격에 활용합니다. 이를테면 프로필에 근무하는 회사, 부서, 프로필이 있는 다른 동료 직원의 직장 정보를 게재하는 사람들이 많습니다. 이러한 정보를 공개해도 무해할 것 같지만 실제로 공격자는 회사의 이메일 주소 프로토콜(예: firstname.lastname@ company.com)을 간단히 알아낸 후 이를 피해자의 프로필에서 가져온 다른 개인 정보와 조합하여 피해자를 사칭하는 그럴 듯한 사기 행각을 벌일 수 있습니다. 예를 들어, 피해자의 소셜 네트워크에서 같은 곳에 근무하는 다른 회원들을 찾아낸 다음 피해자로 가장하여 메시지를 전송하여 상대방의 신뢰를 얻을 만한 추가 정보를 수집할 수 있습니다. 이 경우 친구이자 동료인 사람이 보내는 이메일 메시지의 형태를 가장하면서 최근 다녀온 휴가 여행 사진을 볼 수 있다는 링크를 포함시킵니다. 구체적인 여행 정보는 소셜 네트워킹 사이트에서 수집했을 것입니다. 이렇듯 그럴싸한 제목까지 붙인 메시지를 열어보지 않을 사람은 거의 없을 것입니다. 소셜 네트워킹 사이트의 매력은 바로 이러한 유형의 정보를 공유하는 데 있기 때문입니다. 공격자는 소셜 네트워킹 사이트에서 기업 대상의 공격에 간접적으로 사용될 만한 다른 정보를 가져오기도 합니다. 이를테면 한 직원이 사내의 소프트웨어 또는 하드웨어 프로필 변경 내용을 자세히 소개한 글을 EXPLOIT LIBRARY 올리면, 공격자는 이를 COMMAND 참조하여 & 어떤 CONTROL 기술을 공격 대상으로 삼을 것인지 판단할 수 있습니다. USER INTERFACE OBFUSCATION UPDATABILITY ENGINE 개인 정보 보호 설정을 강화하면 프로필 스푸핑의 위험을 줄일 수 있지만, 사용자의 친구 중 한 사람이 공격에 무너진다면 사용자 역시 피해를 입을 수 있습니다. 따라서 각 기업은 직원들을 대상으로 민감한 정보를 게시하는 것의 위험성에 대해 교육을 실시해야 합니다. 또한 보안 정책을 명확하게 정의하고 시행해야 합니다. VULNERABILITIES 115 163 9
소셜 네트워킹 사이트를 이용하여 합동 공격으로 사용자를 감염시키는 악성 코드도 무시할 수 없는 보안 위협 입니다. 예를 들어 최근에 등장한 Koobface 웜 변종은 감염된 소셜 네트워킹 사이트 사용자의 계정에서 사용자의 모든 친구에게 직접 메시지를 보낼 뿐 아니라 상태 메시지를 업데이트하거나 프로필 페이지에 텍스트를 추가하는 것도 가능합니다. 게다가 공격자가 감염된 사용자의 소셜 네트워킹 사이트 계정에 접근할 뿐 아니라 사용자의 시스템까지 감염시킬 수 있는 보안 위협도 있습니다. Koobface 웜은 감염된 시스템에 가짜 안티바이러스 애플리케이션 다운로드를 시도합니다. 이러한 보안 위협은 네트워크 관리자에게 심각한 문제가 됩니다. 많은 사용자가 업무용 시스템에서 소셜 네트워크에 액세스하기 때문입니다. 감염된 프로필로부터 공격을 확산하는 데 자주 사용되는 수법 중 하나는 바로 프로필에 악성 웹 사이트 링크를 게시하는 것입니다. 그러면 이 링크가 감염자 친구들의 뉴스 피드에 나타납니다. 단축 URL도 이러한 용도로 사용되는 경우가 늘고 있습니다. 링크의 실제 목적지가 사용자에게 드러나지 않기 때문입니다. 1 2010년에 3개월간 시만텍이 찾아낸 뉴스 피드의 악성 링크 중 2/3가 단축 URL을 사용했습니다. Malicious shortened URLs #2 35% URL 65% 단축 URL 2010년 3개월간 소셜 네트워킹 사용자를 노린 악성 URL 출처: Symantec Corporation 악성 웹 사이트로 연결하는 단축 URL 수법의 성패는 실제로 그 링크를 누른 횟수를 조사하면 알 수 있습니다. 시만텍이 조사한 바에 따르면 2010년에 3개월간 소셜 네트워킹 사이트에서 악성 웹 사이트로 연결하는 단축 URL 중 73%는 클릭 횟수가 11회 이상이고 33%는 11회 ~ 50회였습니다. 한 번도 클릭되지 않은 링크는 12%에 불과했습니다. 현재 소셜 네트워크 사이트에 있는 악성 URL 대부분은 공격 툴킷을 호스팅하는 웹 사이트로 연결됩니다. 10 1 URL 단축 서비스는 제출된 URL에 대해 해당 URL로 리디렉션되도록 특수하게 코딩된 단축 URL을 제공합니다.
40 (A23) Malicious shortened URLs, clicks per malicious shortened URL 30 33% URL 비율 20 19% 10 12% 15% 14% 7% 0 0 1-10 11-50 51-100 101-250 251회 이상 클릭 횟수 2010년 3개월간 악성 단축 URL당 클릭 횟수 출처: Symantec Corporation 소셜 네트워킹 사이트에서 무해한 것처럼 보이는 다른 애플리케이션에도 악의적인 의도가 숨겨져 있을 수 있습니다. 많은 설문 조사나 퀴즈 문항이 사용자에게 상당한 개인 정보를 공개하도록 유도하고 있습니다. 그러한 문항은 주로 쇼핑 기호와 같은 일반적인 사항을 위주로 하지만 사용자가 다녔던 초등학교 이름, 애완 동물 이름, 어머니의 결혼 전 이름과 같이 여러 애플리케이션에서 암호 분실 시 힌트로 자주 사용되는 정보를 묻기도 합니다. 소셜 네트워킹 사이트 가입자가 늘고 사이트 역시 더욱 정교해지면서 더 복잡한 공격 유형의 전파 수단으로 활용될 가능성도 높아졌습니다. 사용자는 그러한 사이트에 게재된 프로필의 보안 설정을 최대한 자주 모니터링해야 합니다. 특히 그러한 설정 중 상당수가 악용 가능한 정보를 공유하도록 자동 설정되므로 사용자가 자체적으로 액세스를 제한해야 합니다. 공격 킷의 카페인 효과 EXPLOIT LIBRARY COMMAND & CONTROL USER INTERFACE UPDATABILITY ENGINE OBFUSCATION 표적 공격이 특정 조직이나 개인을 공격하는 데 주력한다면, 공격 툴킷은 그와 정반대로 브로드캐스트 블랭킷 공격 수법을 구사하면서 어쩌다가 감염된 웹 사이트에 방문한 불운한 사용자를 모두 이용하려 합니다. 시만텍 인터넷 보안 위협 보고서 지난 호에서는 날로 확산되는 웹 기반 공격과 널리 사용되는 공격 툴킷을 다룬 바 있습니다. 2010년에는 새로운 기법이 추가되면서 공격 툴킷이 더욱 광범위하게 보급되었습니다. VULNERABILITIES 163 115 11 009 2010
2010년에 발생한 웹 기반 공격 활동 중에는 Phoenix 툴킷으로 생성된 것이 가장 많습니다. 다른 여러 공격 툴킷처럼 이 킷은 Java 취약점을 악용합니다. 보고 기간 중에 가장 많이 발생했던 6대 웹 기반 공격 역시 Java 기술 익스플로잇 공격이었습니다. 공격자들이 Java를 선호하는 이유 중 하나는 브라우저 제한 없이 여러 플랫폼에서 지원하는 기술이기 때문입니다. 즉 Java는 거의 모든 웹 브라우저 및 운영 체제에서 실행되며, 이러한 기술은 극소수에 불과합니다. 그만큼 Java는 공격자들에게 매력적인 표적이 될 수 있습니다. Top Web-based attacks 40% 39% 35% 30% 상위 10개의 비율 25% 20% 15% 18% 18% 10% 5% 8% 8% 0% 3% 2% 2% 1% 1% 공격 유형 Phoenix 툴킷 공격 활동 NeoSploit 툴킷 공격 활동 Nukesploit P4ck 툴킷 공격 활동 JavaScript 버퍼 오버플로우 공격 Adobe Reader 공격 활동 Sun Java 공격 활동 Eleonore 툴킷 공격 활동 악성 툴킷 변종 공격 활동 Fragus 툴킷 공격 활동 Unique Pack 툴킷 공격 활동 2010년 웹 기반 공격 활동 출처: Symantec Corporation 일일 웹 기반 공격의 규모는 2009년 대비 93% 증가했습니다. 시만텍이 관찰한 웹 기반 보안 위협 활동 중 2/3 가 공격 킷에서 발생한 것이므로 이러한 킷을 증가의 가장 큰 원인으로 볼 수 있습니다. 하지만 이와 같이 2010년에 웹 기반 공격 활동이 증가한 것은 갑작스러운 변화가 아닙니다. 일일 평균 공격 건수는 월별로 발생한 최신 사건이나 기타 변수에 의해 상당한 변동이 있지만, 시만텍이 2009년에 데이터를 추적하기 시작한 이래 2010년 말까지 웹 기반 공격은 꾸준히 증가했습니다. 시만텍은 이러한 추세가 웹 기반 공격 사용량 증가를 나타내는 다른 지표(예: 공격 툴킷 개발 및 구축 증가)와 함께 2011년 이후로도 계속될 것으로 예상합니다. 12
45,000,000 40,000,000 일일 평균 웹 공격 횟수 35,000,000 30,000,000 25,000,000 20,000,000 15,000,000 10,000,000 5,000,000 0 1월 3월 5월 7월 9월 11월 1월 3월 5월 7월 9월 11월 2009 2010 월 일일 평균 웹 기반 공격 횟수(월별, 2009-2010) 출처: Symantec Corporation 오래된 취약점에 대해서는 사용자가 보호를 받을 가능성이 높으므로, 공격 툴킷 개발자들은 익스플로잇에 포함된 취약점의 성공률과 최신 익스플로잇을 내세우며 광고합니다. 또한 이들은 경쟁력을 유지하면서 계속 성공을 거두기 위해 위협 환경에서 새롭게 드러나는 취약점을 악용할 수 있도록 툴킷을 업데이트해야 합니다. 즉 킷 개발자는 성공률이 낮은 익스플로잇 대신 성공률이 높은 최신 익스플로잇을 선호하거나 킷에 최초로 새로운 익스플로잇을 포함시킵니다. 앞으로 Java 익스플로잇은 개발자들이 더 취약하다고 판단한 다른 기술에 자리를 내줄 가능성도 있습니다. 모든 웹 기반 공격을 차단하려면 침입 방지 시스템을 도입하고 알려지지 않은 웹 사이트를 방문하지 않아야 합니다. 숨바꼭질 루트킷은 운영 체제 및 확장자를 통해 사용자가 시스템 감염의 흔적을 찾아낼 수 없도록 숨기는 툴 모음입니다. 루트킷은 운영 체제의 후크를 이용하여 파일 및 프로세스가 표시되지 않고 이벤트가 로깅되지 않도록 합니다. 루트킷은 비교적 오래 전에 등장했는데, Brain 바이러스는 1986년 PC 플랫폼에서 이러한 수법을 구사한 최초의 루트킷으로 알려져 있습니다. 그 이후로 더욱 정교하고 복잡한 수법들이 등장했습니다. 루트킷 기법을 이용하는 악성 코드의 주 목적은 탐지를 피하는 것입니다. 그러면 보안 위협 요소가 감염된 시스템에 더 오랫동안 실행되면서 잠재적 피해가 커질 수 있습니다. 만약 시스템에서 트로이 목마나 백도어가 발견되면 피해자는 손실을 줄이기 위해 온라인 금융 거래 암호를 변경하거나 신용 카드를 해지하는 등의 조치를 취할 것입니다. 하지만 위협 요소가 장기간 발견되지 않은 채로 머물러 있다면 기밀 정보가 도용될 가능성이 커질 뿐 아니라 공격자는 그 정보를 더 오랫동안 사용할 수 있게 됩니다. VULNERABILITIES 163 13
현재 대표적인 루트킷으로는 Tidserv, Mebratix, Mebroot 등이 있습니다. 이들 모두 Windows 시스템의 마스터 부트 레코드(MBR)를 수정하는 방식으로 운영 체제가 로드되기 전에 시스템을 통제합니다. 루트킷 자체는 새로운 것이 아니지만, 이 기술은 최근에 개발된 것입니다. 그로 인해 보안 소프트웨어에서 이러한 위협을 탐지하는 것이 훨씬 더 어려워집니다. 애플리케이션 커널 하드웨어 파일 시스템 디스크 클래스 포트 표준 루트킷 Mebroot 및 Tidserv Tidserv 및 Mebroot 감염 과정 출처: Symantec Corporation Tidserv 감염 사례 중 상당수는 2010년 2월에 우연히 발견되었습니다. Tidserv와 무관한 Windows 보안 문제를 해결하기 위해 발표된 Microsoft 의 패치에 의해 드러난 것입니다. 이 악성 코드가 Windows 커널을 일부 변경했기 때문에 감염된 시스템에 패치를 적용한 후 다시 부팅하면 블루 스크린 이 뜨곤 했습니다. Tidserv에 감염된 파일은 Windows 시작에 꼭 필요하므로 시스템이 안전 모드에서 정상적으로 시작되지 않습니다. 따라서 사용자는 감염된 드라이버 파일을 Windows 설치 CD의 정상 파일로 대체해야 합니다. Tidserv 역시 2010년에 64비트 Windows의 64비트 드라이버 프로세스를 감염시킬 수 있는 버전이 밝혀지면서 주목받았습니다. Tidserv 개발자들이 여전히 활동 중일 뿐만 아니라 최신 시스템까지 감염시킬 수 있도록 새로운 기술을 개발하고 있다는 사실이 드러난 것입니다. Tidserv는 영리적인 목적으로 개발된 것인 만큼 이는 그리 놀라운 소식이 아닙니다. Tidserv에 감염된 시스템에서 검색 쿼리를 실행하면 가짜 안티바이러스 애플리케이션을 호스팅하는 사이트로 리디렉션됩니다. Tidserv는 검색 결과를 가로채고 사용 중인 검색 엔진에 대한 사용자의 신뢰를 악용합니다. 이 보안 위협이 검색어를 가로챘기 때문에 이후에 하이재킹되는 결과 역시 원래의 검색어에 맞게 맞춤 구성될 수 있습니다. 이와 같이 사용자의 신뢰를 얻으면 사용자가 이 수법에 넘어갈 가능성이 커집니다. 지금까지 표적 공격에서 발견된 여러 트로이 목마는 첨단 기능이나 기술을 구현하지 않았습니다. 주 목적은 그저 발견되기 전에 최대한 신속하게 많은 정보를 훔쳐내는 것입니다. 하지만 표적 공격이 적발되지 않은 상태가 계속되면 정보 유출의 가능성도 커집니다. 최근 Hydraq, Stuxnet과 같은 표적 공격에 미디어의 관심이 집중되면서 많은 네트워크 보안 전문가들이 이러한 위협에 대한 경계를 강화했을 가능성이 높습니다. 따라서 공격자들은 강화된 감시망을 피해 공격 방식을 수정하고 루트킷 익스플로잇과 같은 수법을 활용할 가능성이 있습니다. 시만텍은 루트킷 기술이 발전하면서 결국 표적 공격에 수용될 것으로 예상합니다. 14
모바일 보안 위협 VULNERABILITIES 163 115 2009 2010 개인 사용자들이 최초의 스마트폰을 갖게 된 이래 모바일 장치를 노리는 보안 위협에 대한 염려도 커졌습니다. Symbian, Palm과 같은 초기 스마트 장치 역시 보안 위협의 표적이 되곤 했지만 그러한 위협이 널리 확산되지 않았으며 상당수는 기술 검증 활동 (POC: Proof-of-Concept) 단계에 머물렀습니다. 하지만 최근 스마트폰 및 태블릿 사용자 수가 급증하고 연결성과 기능이 확장됨에 따라 보안 위협 개발자와 보안 조사 전문가들도 큰 관심을 갖게 되었습니다. 모바일 장치에 즉시 해를 입히는 보안 위협의 수는 PC에 비해 상대적으로 적은 편이지만 이 분야에서 새로운 수법이 개발되고 있습니다. 이러한 장치에 타사 애플리케이션을 다운로드하여 설치하는 사용자가 늘면서 악성 애플리케이션을 설치할 위험도 커졌습니다. 뿐만 아니라 오늘날에는 악성 코드 대부분이 영리 목적으로 개발되는 만큼 이러한 장치를 노리는 보안 위협이 더욱 많이 개발될 것입니다. 사용자들이 온라인 쇼핑, 금융 거래와 같은 중요한 거래에도 모바일 장치를 이용하기 때문입니다. 데스크탑 컴퓨터와 마찬가지로 모바일 장치에서도 취약점을 악용하여 악성 코드를 설치할 수 있습니다. 2010년에는 모바일 장치에 영향을 주는 취약점이 다수 보고되었습니다. 시만텍이 2010년에 문서화한 모바일 장치 운영 체제의 취약점은 163건에 이릅니다. 이는 2009년의 115건에서 크게 증가한 것입니다. 이러한 취약점을 성공적으로 악용하는 것이 어려울 수 있지만, Apple iphone ios 운영 체제 플랫폼의 두 가지 취약점은 사용자가 이러한 장치를 소위 탈옥 시켜 잠금 장치를 해제할 수 있도록 했습니다. 이렇듯 익스플로잇을 이용하여 장치의 잠금을 해제하는 과정은 익스플로잇을 통해 악성 코드를 설치하는 것과 그리 다르지 않습니다. 그러나 사용자가 자발적으로 익스플로잇 수행에 나섰다는 차이점이 있습니다. 현재 모바일 장치의 악성 코드는 합법적인 애플리케이션으로 가장하는 트로이 목마가 대부분입니다. 이러한 애플리케이션이 모바일 앱 시장에 업로드되어 사용자가 다운로드하고 설치하기를 기다립니다. 2011년 3월, Google은 Android Market에서 몇 개의 악성 Android 애플리케이션을 제거했으며 사용자의 전화기에서 원격 삭제했다고 밝혔습니다. 또한 공격자들은 합법적인 인기 애플리케이션에 코드를 추가하기도 합니다. Android 장치의 Pjapps Trojan 이 대표적인 예입니다. 영리한 사용자들은 애플리케이션에서 필요 이상의 권한을 요구할 때 뭔가 잘못되었다는 것을 눈치챌 수 있었습니다. 15
합법적인 애플리케이션 악성 애플리케이션 Pjapps 설치 화면 출처: Symantec Corporation 최근까지 모바일 장치를 노리는 트로이 목마는 전화기에서 할증 요금 통화 또는 문자 서비스를 이용하게 하는 것이 대부분이었습니다. Pjapps 역시 이러한 기능이 있을 뿐만 아니라 감염된 Android 장치로 봇넷을 구축하려는 시도까지 합니다. Pjapps에서 접속하도록 프로그래밍된 관제 서버는 더 이상 가동되지 않는 듯하지만, 모바일 장치에서 봇넷을 구축하려 한 이 시도는 공격자들이 모바일 장치를 사이버 범죄용 플랫폼으로 활용할 방법을 적극 모색하고 있음을 입증합니다. 지난 몇 년간 등장한 악성 온라인 공격은 영리를 목적으로 한 것이 대부분이었습니다. 모바일 장치 트로이 목마에서도 할증 요금 서비스를 사용하는 시도가 있었지만 아직 신용 카드 사기나 온라인 금융 거래 인증 정보 도용만큼 수익성 있는 일이 아닙니다. 아마도 이러한 공격 유형의 첫 번째 주자는 피싱 공격 또는 모바일 장치에서 데이터를 훔쳐내는 트로이 목마의 형태가 될 것입니다. 이러한 보안 위협은 이미 PC에서 충분히 검증된 만큼 모바일 장치에서 상대적으로 쉽게 자리 잡을 수 있습니다. 이를테면 모바일 장치에서 무선 결제와 같은 새로운 기능을 도입하고 있으므로 공격자들이 PC에서 성공한 방식으로 이익을 챙길 수 있는 방법을 모색할 것입니다. 공격자들은 순진한 사용자를 악용하고 이익을 얻을 새로운 수법을 끊임없이 연구합니다. 하지만 새로운 장치 익스플로잇의 투자 효과가 입증될 때까지는 이미 검증된 수법을 계속 사용할 가능성이 높습니다. 16
결론 2010년에 악성 공격 활동은 더욱 규모가 커지고 지능화되었습니다. Stuxnet 웜은 물리적 장치를 손상시키는 기능을 갖췄을 뿐 아니라 전례 없이 많은 제로데이 취약점 익스플로잇을 시도한 최초의 악성 코드였습니다. Stuxnet과 같은 보안 위협은 당장 상당한 리소스를 필요로 하므로 보편화될 가능성이 낮지만, 고도로 조직화되고 뛰어난 기술력을 지닌 공격자들이 어느 선까지 갈 수 있는가를 보여주는 사례입니다. Stuxnet, Hydraq과 같은 표적 공격은 마음만 먹으면 본격적인 조사 및 사회 공학적 수법만으로도 표적을 감염시킬 수 있음을 증명했습니다. 미국에서 발생한 데이터 유출 사고 건당 평균 피해액이 720만 달러에 달했으며, 가장 큰 규모의 사건은 해결하는 데 3,530만 달러가 투입되었다는 최근 조사 결과를 고려하면 이는 심각한 문제입니다. 그러므로 각 기업은 데이터 유출 방지를 위한 보안 노력에 총력을 기울여야 합니다. 소셜 네트워킹 사이트는 기업에게 효과적인 온라인 마케팅 공간으로 활용되지만 동시에 심각한 결과를 초래하기도 합니다. 직원들이 소셜 네트워킹 사이트에 게시하는 정보가 표적 공격의 일부인 사회 공학적 수법에 악용될 수 있기 때문입니다. 뿐만 아니라 이러한 사이트는 악성 코드 감염의 경로가 될 위험도 있습니다. 각 기업은 직원들이 부주의로 기밀 정보를 게시할 가능성이 있으므로 이에 대한 구체적인 정책을 마련해야 합니다. 또한 기업용 시스템에서 소셜 네트워킹 사이트를 방문하는 사용자가 회사 네트워크를 감염시킬 수 있는 위험을 경계해야 합니다. 개인 사용자 역시 소셜 네트워킹 사이트의 악성 링크로 인해 똑같은 위험에 처할 수 있으므로 주의해야 합니다. 공격 툴킷은 여전히 웹 기반 공격 활동을 주도하고 있습니다. 사용하기 쉽고 고급 기능을 제공한다는 점 때문에 공격자들에게 매력적인 투자처로 자리잡았습니다. 일부 취약점의 익스플로잇은 더 이상 효과가 없으므로 툴킷 개발자는 새로운 취약점을 포함시켜 시장에서 경쟁력을 유지해야 합니다. 현재는 Java 취약점과 같은 특정 익스플로잇이 주 공략 대상입니다. 하지만 이 또한 그 효과가 사라진다면 상황이 바뀔 수 있습니다. 툴킷 개발자들은 킷의 가치를 극대화하기 위해 끊임없이 변화를 모색하고 있습니다. 공격자들이 순진한 사용자를 사취할 방법을 모색하는 데 주력하는 지난 몇 년간 악성 코드의 주된 목적은 거의 그대로였지만 최근 보안 위협이 정교해지면서 탐지 기술을 피하기 위한 새로운 기능이 추가되기 시작했습니다. 이러한 기능을 사용하면 악성 코드가 감염된 시스템에 더 오랫동안 머무를 수 있습니다. 즉 감염 사실이 뒤늦게 밝혀지므로 공격자가 더 많은 정보를 훔쳐내고 더 오랫동안 정보를 사용할 수 있습니다. 이러한 보안 위협에 대한 사용자의 인식이 높아지며 공격자들 간의 경쟁이 치열해지면서 보안 소프트웨어를 피하기 위해 루트킷 기법을 적용하는 보안 위협이 더욱 늘어날 것입니다. 모바일 보안 위협의 영향이 미치는 장치 수나 그 영향력은 아직 매우 제한적입니다. 이러한 보안 위협이 당장 큰 규모로 확산되지는 않겠지만 가까운 미래에는 그 영향력이 커질 것으로 예상됩니다. 사용자가 현재의 보안 위협을 피하기 위해서는 반드시 합법적인 시장에서 애플리케이션을 다운로드해야 합니다. 애플리케이션에 대한 평가를 살펴보면 이미 애플리케이션을 설치했던 다른 사용자가 의심스러운 징후를 발견하지 않았는지 확인할 수 있습니다. 17
2010년의 사건들 2010년에 일어났던 주목할 만한 보안 관련 사건을 간추려 봤습니다. 1 27 1 1월 Trojan.Hydraq 전 세계 다국적 기업들을 강타한 표적 공격이 뉴스에 보도되면서 관심을 집중시켰습니다. ipad 발표 전혀 새로운 컴퓨팅 플랫폼이 등장하면서 컴퓨팅 플랫폼 분야에 또 한 차례 지각 변동을 일으켰습니다. 해커들은 이러한 전 세계적인 관심사를 이용하기 위해 즉시 SEO 포이즈닝 캠페인을 시작했습니다. 15 2월 SpyEye와 ZeuS 사이버 범죄 툴킷의 대결 툴킷의 제왕으로 군림하던 ZeuS가 SpyEye라는 새로운 주자에게 자리를 내주었습니다. 3월 칠레 지진 SpyEye 스패머들이 스팸 캠페인에 칠레 지진을 이용했습니다. 11 6월 FIFA 월드컵 스팸과 SEO 포이즈닝의 또 다른 훌륭한 타겟이 등장했습니다. 17 Stuxnet 제로데이 취약점을 악용하는 새로운 보안 위협이 최초로 보도되었습니다. 2010년 최대 규모의 악성 코드 사건 중 하나로 기록되었습니다. 18 4월 특별한 사건 없음 5월 특별한 사건 없음 7월 특별한 사건 없음 8월 최초의 Android 트로이 목마 발견 AndroidOS.Tapsnake: 사용자의 모든 움직임을 감시합니다. 9 9월 Imsolk.B 과거를 기념하는 Imsolk.B (일명 Here you Have )라는 이메일 웜이 몇 시간 만에 빠르게 확산되면서 전 세계를 뒤흔들어 놓았습니다. 29 대규모 ZeuS 소탕 영국 경찰은 사이버 범죄 퇴치 작전의 일환으로 ZeuS 트로이 목마를 이용하여 은행 계좌에서 950만 달러를 훔쳐낸 사이버 범죄 조직망의 일원으로 의심되는 19명을 체포했습니다. 25 10월 Trojan.Jnanabot 보안 조사 전문가들이 Java를 이용하여 Windows, OS X, Linux 등 다양한 플랫폼을 공격하는 트로이 목마를 발견했습니다. 1 11월 특별한 사건 없음 12월 위키리크스와 핵티비즘 이 사고는 우리 시대의 새로운 보안 문제, 즉 기밀 정보를 보호하고 핵티비즘 공격을 막아내는 것에 대한 관심을 증폭시켰습니다. 출처: Symantec Corporation 18
시만텍에서 발행한 모든 기술 정보에 대한 저작권은 시만텍이 소유합니다. 무보증. 시만텍은 현재 상태로 이 문서를 제공하며, 그 정확성이나 사용에 관한 어떤 보증도 하지 않습니다. 부정확한 내용이나 인쇄상의 오류가 이 문서에 포함될 수 있으며 최신 개발 동향이 반영되지 않을 수도 있습니다. 시만텍은 이 문서가 완전하거나 정확하거나 최신 버전임을 주장, 보증하거나 보장하지 않습니다. 또한 시만텍은 이 문서 및 참조된 모든 자료에 제시된 어떤 의견도 입증하거나 보장하지 않습니다. 상황의 변화에 따라 이 문서에 포함된 내용의 정확성이 변경될 수 있습니다. 이 문서에 제시된 의견은 발행 시점의 판단을 반영한 것이며, 변경될 수 있습니다. 이 문서에 포함된 정보의 활용으로 인한 책임은 전적으로 사용자에게 있습니다. 시만텍은 여기 수록된 정보의 사용 또는 참조에서 비롯된 오류, 누락 또는 손해에 대해 어떠한 책임도 지지 않습니다. 시만텍은 언제든지 예고 없이 변경할 수 있습니다.
시만텍 소개 시만텍은 보안, 스토리지 및 시스템 관리 솔루션을 제공하는 세계적 선두 기업으로, 기업 및 개인이 정보를 보호하고 관리할 수 있도록 지원합니다. 시만텍의 솔루션과 서비스는 다양한 위협으로부터 완벽하고 효율적인 보호를 제공하며 정보가 사용되거나 저장되는 장소에 상관없이 기업과 개인이 정보에 대한 확신을 가질 수 있도록 돕습니다. 보다 자세한 정보는 www.symantec.co.kr 에서 확인하실 수 있습니다. 시만텍코리아(주) 서울시 강남구 역삼 1동 737 강남파이낸스센터 28층 TEL: 02-3468-2000 FAX: 02-3468-2001 www.symantec.co.kr Copyright 2011 Symantec Corporation. All rights reserved. Symantec, Symantec 로고, Checkmark 로고는 미국 및 기타 국가에서 Symantec Corporation 또는 그 자회사의 상표 또는 등록 상표입니다. 다른 이름은 해당 회사의 상표일 수 있습니다. 04/11 WP-00249-KR