사용자제작콘텐츠(UCC)가 올라온 게시판에 들러 누군가 올려놓은 HTML코드를 무심코 눌렀다. 믿을만한 게시물이라고 단정할 수 있을까. 그렇지 않다. 당신의 PC를 몰래 훔쳐볼 수 있는 악성코드일 가능성은 충분하다. 

UCC가 확대되면 될수록 이러한 의심은 더욱 늘어만 간다. 웹2.0은 사용자들간 원활한 소통과 자기를 강조하는 사회적인 트렌드를 밑바탕에 깔고 있다. 그래서 뜨는 것이다. 그러나 그만큼 보안 위협에 노출될 가능성도 높아진다. 언제 무슨일이 터질지는 아무도 모른다.

이런 가운데 글로벌 보안 업체인 시만텍코리아가 반기마다 발표하는 ‘시만텍 인터넷 보안 위협 보고서(ISTR)’를 통해  웹2.0 보안 위협을 공식적으로 경고하고 나섰다.  조만간 가시화될 보안 위협으로 성큼 다가왔음을 선언한 것이다. 

확대일로를 달리는 웹브라우저 취약점과 이를 겨냥한 공격 확산은 웹2.0 인터넷 환경을 위협하는 기폭제가 되고 있다. 시만텍은 "공격자들은 사용자들의 취약한 보안 수준과 아작스(AJAX) 등 웹2.0 관련 기술에 대한 허점을 찾아낼 것이다"면서 개인 사용자들의 보안 수준이 높아져야 한다고 목소리를 높였다.

데스크톱 대상 공격 증가

시만텍 ISTR은 관련 업계에서도 전문성을 인정받고 있는 보고서로, 180여개 국가에서 4만여개 센터를 통해 모니터링한 기록을 모은 결과물이다. 올 상반기 보안 위협의 두드러진 특징은 개인 사용자를 노린 공격이 확산되고 있다는 것이다. 목표를 정한 뒤 시도한 공격중 86%는 개인 사용자를 겨냥한 것이었다. 금융 서비스 부문이 14%로 뒤를 이었다. 웹2.0 환경이 확산되고 있음을 감안하면 특정 개인을 노린 공격은 더욱 증가할 것으로 전망된다.

보안 제품 탐지를 피하는 기법 확산

‘뛰는 놈 위에 나는 놈’이 있는 법이다. 아무리 성능이 좋은 보안 솔루션을 설치해도 공격자가 그것을 피해갈 수 있는 방법을 갖고 있다면 무용지물이다.

2006년 상반기 시만텍 ISTR에 따르면 공격자들은 이제 침입탐지와 방지 시스템을 피하기 위한 시도를 활발하게 진행하고 있다. 피싱 공격자들도 필터링 기술을 우회하는 다양한 메시지를 생성하고 이를 광범위하게 유포하고 있다. 시만텍은 올 상반기 15만7천477개의 고유 피싱 메시지를 감지했다. 지난해 하반기보다 무려 81%나 증가한 수치다.

공격 동기는 금전적 이익 획득

공격자들은 왜 개인과 기업들을 공격하는가? 호기심과 유명세 때문인 시대는 지나간 지 오래다. 지금은 돈을 노린 공격이 가장 많은 비중을 차지하고 있다. 금전적인 이익이 공격자들에게 가장 큰 인센티브를 제공하고 있는 것이다. 

봇 네트워크의 확산은 이를 보여준다. 봇 네트워크는 악성 코드 유포에 쓰일 뿐만 아니라 스팸, 피싱 메시지 발송, 애드웨어 및 스파이웨어 다운로드, 조직/기업 공격, 기밀 정보 수집에도 사용될 수 있다. 시만텍은 올 상반기  4천600만개가 넘는 봇 네트워크 컴퓨터 활동을 찾아냈다. 하루에 5만7천717개다. 

취약점 동향

시만텍은 올 상반기 2천249개의 새로운 취약점을 발견했다. 지난해 하반기 대비 18% 상승한 것이다. 이중 웹 애플리케이션 취약점이 69%를 차지했는데, 이는 웹기반 서비스에 대한 공격이 늘고 있는 현상과 맞물려 있다. 

브라우저별 상반기 취약점 분포를 보면 모질라가 47개로 가장 많았다. MS 익스플로러는 38개였다. 그러나 최고의 공격 대상은 여전히 익스플로러였다. 상반기 이뤄진 웹브라우저 공격의 74%는 익스플로러에 집중됐다. 패치 개발에 있어서는 썬 솔라리스가 89일이 걸렸다. 휴렛패커드(HP)는 53일, 애플은 37일, MS 윈도와 레드햇은 13일이 걸렸다.

악성코드 동향

2006년 1월 1일부터 6월30일까지 시만텍 허니팟 네트워크에서 감지된 모든 고유 악성코드 샘플중 18%는 이전에는 없었던 새로운 유형을 갖고 있었다. 가장 널리 배포된 악성코드는 ‘Polip’ 바이러스였고 상위 50개 악성코드 위협중 웜이 38건으로 가장 많았다.

트로이목마를 활용한 타깃 공격도 증가했다. ISTR에 따르면 상위 10개 악성코드군중 5개군이 트로이목마였다. 트로이목마는 특정 사용자 및 그룹을 공격하기 위해 제작되는 경우가 많은데, 목표를 정해놓고 공격하는 트렌드를 반영하고 있다.


시만텍 ISTR은 원래 120페이지 보고서다. 모든 내용을 보려면 시만텍 홈페이지(http://www.symantec.com/enterprise/threatreport/index.jsp)에서 PDF파일로 내려받을 수 있다.

delight@bloter.net

블로터 황치규 기자입니다. 좋은 관점과 메시지 발굴에 힘쓰겠습니다.