스팸 동향과 정보 :스팸 메일의 동향과 다양한 관련 정보들을 알 려드립니다.

시만텍이 정리한 2009년 상반기 보안 이슈 2009/10/09

시만텍의 발표에 따르면 올해 상반기도 지난해에 이어 월 평균 2억 4천 5백만건 이상의 악성코드 공격 시도가 탐지됐으며, 대다수의 공격이 웹을 통해 발생한 새로운 유형의 보안위협이었다.

 

새로운 악성코드 변종의 폭증

지난해에 이어 올 상반기에도 전세계적으로 월 평균 2억 4천 5백만건 이상의 악성코드 공격 시도가 탐지됐으며, 대다수의 공격이 웹을 통해 발생한 새로운 유형이었다. 해커들은 소수의 위협요소를 광범위하게 배포하는 기존 방식에서 벗어나 수백만 가지의 위협요소를 소규모로 배포하는 공격방식으로 전환해가고 있다. 새로운 종류의 악성코드는 P2P와 이메일, 이동식 저장장치 등과 같은 다양한 경로를 통해 확산되면서 무수한 악성코드들을 양산해 가고 있다. 새롭게 등장한 보안 위협으로 인해 휴리스틱(heuristics), 행위기반과 평판 기반의 보안 모델과 같은 기존 기술들을 보완할 수 있는 새로운 탐지기법의 필요성이 대두되고 있다.

 

경제 위기를 악용한 보안 위협

전세계적인 경제 위기를 악용한 수많은 새로운 보안 공격이 발생했다. 지난해 시만텍이 예상했던  ‘재택근무’ 사기뿐 아니라 구인 게시판 등을 겨냥한 새로운 변종들이 등장했으며, 주택담보 대출자를 대상으로 하는 주택 사기와 미취업자를 대상으로 한 스팸메일 사기 지속적으로 증가하고 있다.

 

소셜 네트워크에 대한 보안 위협

소셜 네트워크 사이트에 대한 피싱을 통한 보안 위협도 증가했다. 최근 인기있는 한 SNS 사이트에 피싱 공격자들이 계정을 만들고 이를 이용해 다른 사용자 계정 정보를 탈취하는 사례가 보고됐으며, 블로깅 사이트에 게임을 올려두고 참가자들에게 게임의 일부인 것처럼 개인정보를 요구해 정보를 탈취한 사례도 있었다. 시만텍은 소셜 네트워크 사이트에 대한 보안 위협은 앞으로도 더욱 증가할 것으로 예상되며, 개인 및 기업들은 이러한 위협에 대해서 더욱 주의를 기울여야 한다고 조언했다.

 

스팸의 증가

2008년 시만텍은 대규모 스팸 유포의 근원지이었던 웹 호스팅 업체 맥콜로(McColo)의 서비스 중단 전후의 48시간 동안 스팸의 양이 65% 정도 감소했지만, 2009년에는 전체 메일에서 스팸이 차지하는 비중이 75~80% 수준으로 다시 높아질 것으로 예측했었다.

2009년 6월 초 미국연방통신위원회(FTC)는 악명높은 ISP 중의 하나인 프라이스워트(Pricewert)를 폐쇄하도록 연방법원을 설득해 임시제지명령을 내렸는데, 이는 보안 전문가들이 사이버범죄에 맞서기 위해 어떤식으로 협력할 수 있는지를 보여준 모범 사례라 할 수 있다. 하지만 선례에서와 마찬가지로 폐쇄조치에도 불구하고 지난 6월 전체 이메일에서 스팸 메시지가 차지하는 비중은 평균 90%에 달한 것으로 나타났다.

최근 스패머들이 애용하는 메시지로는 마이클 잭슨 자살, 신종감기, 이탈리아 지진 등으로 나타났다.

 

진화된 웹 기반 위협

웹 기반 보안 위협이 증가하고 있는 가운데 최근에는 공격자들이 합법적인 웹사이트를 조작, 일반 방문자들을 악성 콘텐츠를 유포하는 사이트로 유도해 감염시키는 형태의 공격들이 주를 이루고 있다. 이 같은 감염 방식 중 하나가 사용자 몰래 또는 동의 없이 악성 컨텐트를 사용자 컴퓨터로 다운로드 시키는 ‘드라이브 바이 다운로드(drive-by download)’이다.

소셜 네트워킹 환경을 통해 유명 도메인을 공격하는 웹 기반 공격 또한 주의를 기울여야 한다. 최근 잘 알려진 공격 중 하나는 소셜 네트워킹 사이트의 가짜 초대장에 대량 메일발송 웜을 첨부해 보내는 것이다. 그 외 기타 공격 유형으로는 악성 자바스크립트나 패치를 설치하지 않은 브라우저 대신 플러그인 애플리케이션과 크로스사이트 스크립팅 취약성을 이용하는 공격 유형들이 증가하고 있다.

 

한편, 2009년 상반기에 부각된 주요 보안 이슈로 과거 보안공격 기법의 재등장과, 사이버보안에 대처하기 위한 업계 전체의 공동대응 노력,  실제 비즈니스 거래를 모방해 방문자를 현혹하는 허위/위장 공격의 증가 등을 들 수 있다.

 

2009, 과거 보안 공격 기법의 재등장

2009년 상반기 중 가장 최근에 대대적으로 알려진 공격들을 살펴보면 과거에 사용된 공격 기법을 채용한 것이 특징이다. 소셜 네트워크를 통해 꾸준히 확산되고 있는 ‘쿱페이스(Koobface)’ 웜이나 최근 몇 년간의 보안 공격 중 가장 복잡하고 광범위하게 확산된 공격으로 꼽히고 있는 컨피커(Conficker) 웜에서 채용된 공격기법은 과거 대규모로 유포됐던 코드레드(CodeRed)나 님다(Nimda) 공격에서도 이미 사용된 공격기법을 사용하고 있는 것으로 나타났다.

 

개인정보 도용, 가짜 안티바이러스 배포, 스팸 유포
최근 보안 공격은 개인정보 도용, 가짜 안티바이러스 배포, 스팸 유포와 같이 금적적인 목적으로 행해진 것들이 대부분이다. 최근 한국과 미국 웹사이트에 대해 DDoS공격을 유발한 악성코드 ‘도저(Trojan.Dozer)’도 악의적인 목적을 가지고 있었다.

일명 ‘스캐어웨어(scareware)’ 혹은 가짜 안티바이러스 프로그램으로 알려진 ‘허위 알림/위장 애플리케이션(misleading application)’은 컴퓨터의 보안 상태에 문제가 있다고 알려 사용자가 실제 존재하지 않거나 허위로 날조된 보안 위험을 제거하기 위해 가짜 보안 소프트웨어를 구입하도록 만든다. 스캐어웨어는 실제로는 존재하지도 않는 악성코드에 감염되었다는 허위 시스템 알림을 통해 사용자를 속이고, 결국에는 이를 치료할 수 있다는 가짜 소프트웨어를 구매하는 주문 페이지로 사용자를 유인하고 있다.

 

사이버보안에 대처하기 위한 업계 전체의 협업 확대

보안 공격들이 점점 더 정교해짐에 따라 폭넓은 위협에 재빨리 대처하기 위한 업계간 협력 역시 더욱 공고해 지고 있다. 2009년 2월에는 산학연 협의체인 컨피커 워킹그룹이  컨피커 웜의 위험성을 알리고 전세계적인 공동대응 방안을 마련하기 위해 설립되었다. 또 보안 연구자들, ICANN(국제인터넷주소관리기구)와 DNS 내 운영자들과 공동으로 몇몇 업계 벤더들은 컨피커 웜이 겨냥한 도메인을 무력화하는 대응방안을 마련하기도 했다. 날로 심각해지는 보안 위협에 대응하기 위한 산학연과 정부기관의 협업 노력은 앞으로도 계속 이어질 것으로 전망된다.

 

실제 비즈니스 거래를 모방해 방문자를 현혹하는 허위 공격

보안 공격은 갈수록 정교해지고 조직적인 양상을 띄고 있으며, 최근에는 실제 비즈니스 거래까지 그대로 모방해 사용자들을 현혹시키고 있다. 주로 플래시 형태로 유포되는 악성 광고(malvertisements)는 방문자를 가짜 웹 페이지로 유도하고 있으며, 유명 여부와 상관 없이 모두 이러한 공격에 취약하다.

 

 

※ 이 외에도 보안과 스팸에 대한 자세한 정보는 시만텍 홈페이지에서 확인하실 수 있습니다.