BLOTER.NET

2008년 4월 9일. 악성코드를 전문으로 제작하는 프로그래머 H씨는 사람들이 즐겨찾는 유명 소셜 네트워크 서비스(SNS: 인맥 구축 서비스) ‘친구찾기’(가칭)에 새로 개발한 악성코드를 은밀하게 심어놓았다. 그가 ‘친구찾기’를 선택한 것은 인맥 구축 서비스의 경우 사용자들이 보안 위협에 상대적으로 둔감해진다는 빈틈을 간파했기 때문이다.

H씨의 전술은 그대로 적중했다. 한시간만에 그는 자신이 설치해둔 악성코드에 걸려든 ‘친구찾기’ 사용자들의 PC로부터 각종 개인정보들을 훔쳐낼 수 있었다. H씨는 곧바로 경찰이 파악하지 못한 지하경제서버에 접속, 빼낸 개인정보들에 가격을 붙여 판매 목록에 올렸다. 신용카드 정보는 20달러, e메일 비밀번호는 정보의 가치에 따라 4~30달러의 가격표를 붙였다. 올리자마자 익명의 누군가로부터 사겠다는 연락이 왔다. 거래는 바로 마무리됐고 H씨는 적지않은 돈을 손에 넣을 수 있었다.

H씨가 먹고사는 방법은 훔친 개인정보를 파는 것만 있는게 아니다. 그는 가끔 용역 프로젝트도 뛴다. 인터넷 범죄를 전문적으로 저지르는 조직으로부터 악성코드 개발을 의뢰받아 돈을 받고 만들어주는 것이다. 이런 일거리가 요즘 부쩍 늘었다는게 H씨의 생각이다. 돈벌이가 그만큼 많아지는 것이니 H씨 입장에선 나쁠게 없다.

H씨 이야기는 SF 영화가 아니다. 이미 현실에서 벌어지고 있는 현상을 약간 각색한 논픽션 드라마다.

세계적인 보안 업체 시만텍은 9일 전세계에서 벌어지는 인터넷 보안 위협을 종합적으로 정리한 ‘인터넷 보안 위협 보고서(Internet Security Threat Report: ISTR)’ 제13호를 통해 H씨와 같은 사람들이 주로 활동하는 인터넷 지하 경제는 이제 수요와 공급의 원칙이 거래되는 정보 가격에 직접적인 영향을 미치는 제도권 경제의 특징을 그대로 닮아가고 있다고 경고하고 있다. 시만텍 ISTR 13호는 2007년 7월 1일부터 12월 31일까지 일어난 전세계 보안 위협 동향을 담고 있다.

보고서에 따르면 사람들이 많이 쓰고 있는 웹서비스들이 점점더 인터넷 범죄자들의 놀이터로 변해가는 모양새다. 매일 일상적으로 방문하던 웹사이트에 접속하는 것만으로도 위협 요소에 감염되는 것으로 조사됐다. 얼마전까지만 해도 사용자들은 악의적인 의도를 갖고 만든 웹 사이트를 방문하거나 e메일에 첨부된 파일을 눌러야 보안 위협에 노출됐는데 요즘 공격자들은 정상적인 웹사이트를 감염시켜 이를 개인 및 기업 사용자를 공격하기 위한 매개로 삼고 있다는 이유에서였다.

특히 인맥 구축 사이트와 같이 사용자들이 쉽게 신뢰하는 웹서비스들이 인터넷 공격자들 사이에서 큰 인기를 끌고 있는 것으로 분석됐다. 시만텍코리아의 윤광택 부장은 “사용자들은 일반적으로 인맥 구축 사이트 페이지를 신뢰하고 있다”면서 “이같은 특징 때문에 범죄자들이 인맥 사이트를 모방해 피싱 공격을 시도할 경우 성공 확률이 높아진다”고 말했다.

시만텍 보고서에 따르면  2007년 하반기 인터넷에는 특정 사이트에 한정된 크로스-사이트 스크립팅 (Cross-Site Scripting) 취약점이 1만1천253개나 보고됐는데, 이들 취약점중 4%인 473개만이 조사 기간중 관리자에 의해 패치가 설치됐다. 이같은 상황은 인터넷 범죄자들이 공격을 할 수 있는 기회의 문이 활짝 열려있음을 의미한다. 크로스-사이트 스크립팅이란 주로 웹애플리케이션에서 발견되는 컴퓨터 보안 취약점의 일종으로 그 사이트를 보는 다른 사용자들에게도 코드를 설치할 수 있도록 하기 때문에 위험성이 매우 높다.

피싱 위협 역시 확대일로였다. 시만텍은 2007년 하반기에 1개 이상의 피싱 사이트를 호스팅할 수 있는 컴퓨터인 피싱 호스트를 8만7천963개나 발견했다. 이는 2007년 상반기에 비해 167% 증가한 수치다. 피싱 공격의 대상이된 브랜드중 80%는 금융 서비스 기업이었다고 시만텍은 설명했다.

돈이 될만한 정보를 겨냥하는 공격이 늘어나는 만큼 이를 거래할 수 있는 지하경제권도 진화에 진화를 거듭하고 있다. 이미 수요와 공급에 의해 가격이 결정되는 시장경제법칙이 가동되기 시작했다.

시만텍에 따르면 현재 지하경제에서 다량으로 거래되고 있는 신용카드 정보는 판매되는 전체 정보의 13%를 차지하는데 많게는 20달러, 적게는 40센트라는 푼돈에도 판매되고 있다. 지하경제에서 판매되는 신용카드 정보 가격은 발행 은행의 위치가 어디인가에도 영향을 받는데 예를 들어 유럽 연합 국가에서 발행된 신용카드의 경우 미국에서 발급된 신용카드보다 비싸다고 한다. 유럽 연합에서 사용되는 신용카드 정보의 경우 지하경제로 유입되는량이 미국에 비해 적기 때문으로 풀이된다.

윤광택 부장은 “지하경제가 점점더 성숙해지고 있다. 신종 위협이 급격하게 증가한 것은 위협을 만들어내는 프로그래머를 고용하는 조직의 존재를 알려주는 것이다”면서 “지금 지하경제 세계는 어떤 단체가 악성코드 개발자에게 돈을 주고 프로그램을 만들어달라고 하는 비즈니스가 붐을 이루고 있는 것으로 보인다”고 추정했다.

이외에도 시만텍 보고서에는 보안 위협에 대한 다양한 동향이 담겨 있는데, 악성 애플리케이션수가 급증했다는 대목이 흥미롭다.

시만텍은 2007년 한해 동안 71만1천912개의 새로운 위협을 발견했는데, 이는 2006년 12만5천243개에 비해 468% 증가한 것이다. 또 2007년 하반기에 배포된 소프트웨어를 조사한 결과 대중에게 공개된 독립 애플리케이션 5만4천609개중 65%가 악성이었다. 시만텍이 조사를 시작한 이래 정상 애플리케이션수를 악성 애플리케이션이 넘어선 것은 이번이 처음이다.

시만텍 보고서를 보면 악성코드 제작자들의 위력이 갈수록 세지고 있다는 것을 알 수 있다. 악성코드 진화속도가 보안 제품보다 빠르다는 생각도 하게된다. 이런 가운데 전세계적으로 SNS와 같은 웹서비스들은 사용자를 빠르게 파고들고 있고 인터넷 범죄자들은 바로 이 지점을 노리고 있다. 첨단 웹서비스 시대는 최첨단 인터넷 보안 위협을 동반하고 있는 것이다. 적어도 지금까지는.

시만텍 보고서의 자세한 내용은 블로터닷넷 자료실에서 파일로 내려받을 수 있다.

[관련글1] “악성코드 진화속도, 보안 제품보다 훨씬 빨라”
[관련글2] “해커들, 위장기술로 완전무장” IBM 보안보고서
[관련글3] 상업화로 치닫는 해킹SW의 은밀한 세계