상업화로 치닫는 해킹SW의 은밀한 세계
2007. 09. 18 뉴스와 분석 |
해킹툴도 일반 소프트웨어와 유사한 개발 과정을 통해 진화에 진화를 거듭하고 있다. 버전도 업그레이드되고, 품질보증(Quality Assurance: QA) 과정도 거친다. 심지어 고객 요구 사항까지 반영되고 있다고 한다. 바야흐로 해킹SW가 음성 시장을 통해 상업화의 길을 걷고 있는 것이다.
시만텍코리아(대표 윤문석, www.symantec.co.kr)는 18일 올 상반기 보안 위협 동향을 분석한 ‘인터넷 보안 위협 보고서’(Internet Security Threat Report: ISTR)) 제 12호를 통해 세계 해킹 동향이 점점 전문화 및 상업화되고 있다고 분석했다. 해킹툴 음성 시장에서 수요와 공급의 경제법칙이 점점 위력을 발휘하고 있다는 얘기였다.
시만텍코리아의 윤광택 부장은 “M팩(MPACK)이란 해킹툴의 경우 기본버전은 1천달러 정도에 판매되는 것으로 추정되며 특정 기능이 추가되면 비용이 올라간다”면서 “이런 제품들이 암시장에서 활발하게 거래되고 있다”고 경고했다.
글로벌 해킹의 세가지 키워드
시만텍코리아 윤광택 부장
시만텍코리아는 이번 ISTR 12호를 통해 전세계 해킹 트렌드를 전문화 및 상업화, 유명 웹사이트에 대한 공격 급증, 다단계 방식 공격 증가로 요약했다.
해킹툴의 전문화 및 상업화는 해킹툴이 일반 SW와 비슷한 과정을 거쳐 음성 시장에서 개발되고 판매된다는게 골자다. 버전 업그레이드 과정은 물론 유저 인터페이스(UI)도 멋있다는게 시만텍의 설명. 윤광택 부장은 “구글 등을 통해 해킹툴 ‘M팩’을 구해보려 했지만 실패했다”면서 “이는 이들 제품이 암시장에서만 판매되고 있다는 것을 의미한다”고 말했다.
시만텍에 따르면 M팩을 구입한 공격자들은 M팩에 들어있는 소프트웨어들을 사용해 전세계를 무대로 수천여대 컴퓨터에 악성 코드를 설치할 수 있다. 비밀번호로 보호되는 관리 창을 통해 공격이 성공했는지 여부도 확인할 수 있다고 한다.
무차별 공격 대신 특정 웹사이트, 특히 외부에서 신뢰받는 것으로 알려진 웹사이트에 대한 공격이 늘어난 것도 ISTR 12호에서 시만텍이 강조한 포인트. 금융, 인맥, 인재채용 사이트 등을 먼저 공격함으로써 간접적으로 일반 사용자를 공격하는 사례가 늘었다는 것이다. 사용자를 직접 공격하는게 아니라 덫을 놓고 몰래 기다리는 작전을 펴는 것에 비유할 수 있겠다.
실제로 ISTR 12호에 따르면 올 상반기 보고된 악성코드 사고중 4%가 포춘100대 기업의 IP주소를 통해 일어났다. 윤광택 부장은 “최근 국내 유명 사이트도 이런 상황에 감염된 것을 발견했다”면서 이같은 추세가 남의나라 일이 아님을 경고했다.
다단계 공격방식의 예
올 상반기에는 다단계 방식의 공격도 두드러졌다. 다단계 공격은 공격을 즉시 실행하는게 아니라 다른 공격을 위해 악성코드를 설치하는 것을 말한다. 대표적인 예가 바로 단계별 다운로더(Staged Downloader). 단계별 다운로더는 감염된 컴퓨터에 공격자가 목적에 따라 다양한 악성 코드를 추가로 설치할 수 있게 해준다.
ISTR 12호에 따르면 2007년 상반기 상위 50개 악성코드 샘플 중 28개가 단계별 다운로더인 것으로 조사됐다. ‘스톰 웜’(Storm Worm)으로 널리 알려진 ‘Peacomm Trojan’도 단계별 다운로더 트로이 목마로 올 상반기 가장 많이 보고된 신규 악성 코드군에 올랐다.
브라우저 플러그인 위협을 주목하라
브라우저 플러그인 위협 현황(출처: 시만텍코리아)
시만텍코리아는 ISTR 12호를 발표하며 브라우저 플러그인 보안 위협에 대해서도 ‘비상경계령’을 내렸다. ISTR 12호에 따르면 상반기 발견된 브라우저 플러그인 관련 취약점은 모두 237개로 지난해 전체 브라우저 플러그인 취약점(108개)보다 두배 이상 높은 수치를 보였다.
브라우저 플러그인은 e메일 첨부파일에 이어 두번째로 많은 악성코드 감염 경로가 됐다는게 시만텍의 설명. 윤광택 부장은 “브라우저 플러그인 취약점중 89%가 인터넷 익스플로러 액티브X 콤포넌트와 관련돼 있다”면서 “브라우저 플러그인 보안에 신경을 써야 한다”고 거듭 강조했다.
음성시장에서 거래되는 정보의 가격 현황(출처:시만텍코리아)
이외에도 ISTR 12호를 보면 지하 경제 서버에서 가장 많은 판매 광고가 올라온 것은 신용카드 정보로, 22%의 비중을 차지했다. 은행 계좌 번호가 21%로 그 뒤를 이었다.
관련글: 도난당한 개인정보, 얼마나 거래될까?
또 상위 50개의 악성 코드 샘플 중 온라인 게임을 겨냥한게 전체의 5%를 차지했다. 이에 대해 시만텍코리아는 온라인 게임은 가장 활발한 인터넷 활동중 하나로 떠올라 실제 돈으로 구매할 수 있는 물건이 게임 상에 존재하는 경우가 많기 때문에 공격자들이 금전적인 이득을 얻을 수 있는 잠재적인 기회를 제공한다고 설명했다.
ISTR 12호와 관련해 시만텍이 공개한 자료들은 블로터닷넷 자료실에서 내려받을 수 있다.
2007-09-19 at 11:38 오전
브라우저 플러그인의 취약성이라는 부분은 좀 잘못 해석이 된듯 싶습니다. 지난해 부터 많이 발견되는 유형은 BHO (Browser Helper object)라는 유형의 공격이 더욱 많습니다. 아마 중국에서 들어오는 유형은 대부분 이 유형이라고 볼 수 있습니다. 플러그인에 대한 이해 부분과 BHO 부분은 조금 다른데..아마도 오해를 살 수 있을듯.. 실제로 설명하기가 어렵다 보니 아마도 플러그인의 취약성으로 이야기를 했는데.. 플러그인의 취약성 부분 보다는 아마 플러그인 형식의 악성코드 갯수를 이야기 한게 아닐까 생각 되네요.
시만텍도 쫌..~~~.. 다음에 자세한 부분을 적어 볼께요.
2007-09-19 at 11:59 오전
일단은 발표된 내용 위주로 정리했는데, 그런 측면이 있는줄을 몰랐습니다. 한번 정리해주시면 도움이 많이 될거 같습니다^^