가온아이 비즈레터 2008년 7월호

솔루션개발부 개발2팀 대리 성수곤

Web 2.0 등으로 웹의 개방성이 높아지고, 메신저, RSS, 검색 시스템 등 편리한 서비스가 늘어갈수록 보안에 대한 위협은 증대되고 있다. RFID, VoIP, WiBro등 새로운 기술이 상용화될 때마다 보안에 대한 문제가 화두로 등장하는 것은 새로운 일이 아니다. 본질적으로 연결과 소통에 중심을 둔 IP 기반 기술이나 전자통신 기술들은 항상 보안상의 취약점을 내재하고 있기 때문이다.

기술이 발전하는 속도만큼이나 보안시스템에 대한 공격도 지능화, 다양화, 조직화되고 있다. 과거 바이러스로 대표되던 보안 위협은 제작자의 기술적 역량을 과시하거나, 무차별적으로 대상을 파괴하는 데 그 목적이 있었다면, 지금의 악성코드는 점차 크라임웨어, 피싱, 파밍 등의 형태로 진화하면서 금전적 이득을 노리는 사이버 범죄의 양상으로 바뀌고 있다. 더 심각한 것은 보안제품의 역추적이나 탐지 등을피하기 위해 특정 타겟을 겨냥한 악성코드도 지속적으로 증가하고 있다는 것이다.

공격자들은 자신들의 정보와 기술을 통합해 보다 정교한 공격방법을 개발하는 등 글로벌 네트워크를 형성하고 있으며, 이를 통한 사이버 마피아 등 조직적인 사이버 범죄 양상이 확산되고 있다.

악성코드 역시 그 공격 대상 및 방법, 배포형태 등이 다각화되고 있으며, 멀티미디어 트래픽의 증가와 다양한 신규 IT 서비스의 등장 등으로 기존의 Anti-Virus, Anti-Spam 등 단일 보안 솔루션만으로는 보안 위협에 대한 효과적인 보안 수준을 유지하기 어려운 환경이 도래하였다.

때문에 파이어월, VPN, IDS/IPS, Anti-Virus, Anti-Spam, 콘텐츠 보안 등 다양한 보안 기능을 하나로 융합한 통합위협관리(UTM : Unified Threat Management) 시스템의 중요성이 날로 커져가는 추세이다.

주요 보안 이슈

국내 보안 취약성

우리나라는 세계 최고 수준의 IT 인프라와 선도적인 서비스를 제공하는 나라로 알려져 있다. 문제는 이러한 유명세 덕분에 많은 악의적인 공격자들이 한국을 주목하고 있으며, 상대적으로 높은 보안 위협과 취약점에 많이 노출되어 있다는 것이다.

그러나, 한국에서 폭넓게 사용되고 있는 브로드밴드 환경은 컴퓨터 전문가가 아닌 가정 내 개인 사용자들이 대부분이라는 특성이 있으며, 때문에 전 세계의 해커들에서 좀비(zombie)와 봇넷(botnets)를 만들기에 매력적인 공격 대상이 된다. 이런 좀비나 보트네트는 피싱(phishing), 스패밍(spamming), DDos(Distributed Denial-of-Service)와 같은 침투 공격을 불러들이는 요인이 될 수 있다.

보안 위협의 산업화

최근의 보안 위협은 금전적 이득을 노리고 발생하는 경우가 대다수이며, 점차 고도화되고 산업화 되는 경향을 띄고 있다.

대표적 사례인 스파이웨어의 경우 인터넷 카페나 소규모 포털 등과 제휴하여 무차별 배포를 통해 다수의 유저를 확보한 후 이를 기반으로 유료모델을 만들거나 광고, 제휴 사업 등을 통한 수익을 얻는 등 다수의 방문자 수, 가입자 수, 배포 수를 확보해야 하는 인터넷 비즈니스 모델의 전형을 따르고 있다.

또한, 허위 안티스파이웨어는 안티스파이웨어처럼 보이지만 실제로는 스파이웨어로 작동하면서 소액결제를 유도한 뒤, 사용자의 적절한 동의 없이 결제를 자동연장 하는 형태로 유료수익을 취하고 있다.

해외에서는 도난 기밀 정보가 지하 경제 서버(Underground Economy Server)를 통해 유통되고 있으며, 다른 사람의 PC에 접근할 수 있도록 하는 트로이 목마와 봇넷을 매매하는 시장이 형성되어 품질보증은 물론 임대도 가능하다고 광고까지 하는 것으로 알려져 있다.

보안 위협 기술의 대중화

과거의 해킹은 소수의 전문가에 의해서만 이루어졌지만, 오늘날엔 누구나 마음만 먹으면 쉽게 해킹툴을 구하고 이를 악용할 수 있게 되었다.

루트킷을 이용한 은폐 기술, 자기 보호 기술 역시 웬만한 악성코드나 해킹 도구를 통해 일반 유저가 약간의 지식만 습득하면 이용이 가능할 정도로 대중화되었다. 심지어는 악성코드에 사용할 수 있는 다양한 도구를 종합선물세트로 만들어 판매하는 것도 등장했다.

보안 위협 기술이 대중화되는 것은 온라인 상에서 정보 공유를 손쉽게 할 수 있기 때문이다. 매달 몇 건씩 발견되는 윈도 운영체제의 취약점은 패치가 채 나오기도 전에 이를 검증하는 개념 검증(Proof Of Concept) 코드가 나오고, 곧바로 이를 악용하여 다양한 공격이 이뤄진다. 이러한 공격 기술은 커뮤니티를 통해 공유되어 과거에 서로 다른 영역의 보안 위협이 서로의 기술을 차용하여 공격을 하기도 한다.

주변에서 쉽게 볼 수 있는 사례로 온라인 게임핵이 악성코드에서 많이 사용하는 은폐 기술을 차용한 것과, 스파이웨어가 윈도 취약점을 공격하여 감염시키는 기능을 갖추는 것을 들 수 있다. 또한, 분산서비스 거부(DDoS) 공격은 봇넷을 이용하기 시작하면서 공조할 컴퓨터를 손쉽게 확보할 수 있게 되어서 더 이상 과거처럼 어려운 공격 기술이 아니다.

어느 선두 그룹에서 개발한 공격 기술은 얼마 되지 않아 다른 곳에서도 발견된다. 이렇게 보안 위협 기술의 대중화는 보안 위협 산업화의 기반이 된 한편, 사이버 블랙마켓의 등장으로 보안 위협 기술이 더욱 대중화되는 악순환 고리가 형성되었다.

무료백신 확산

최근 무료백신 서비스들이 보급, 확산되어감에 따라 국내 안티바이러스 시장의 환경이 크게 변화할 것으로 예상된다. 주요 이슈가 되는 백신 서비스는 네이버의 ‘PC그린’과 이스트소프트의 ‘알약’ 프로그램이다.

네이버는 2007년 9월 발표 당시에는 실시간 감시기능이 포함된 안티바이러스 프로그램 ‘PC그린’을 무료로 배포하는 방안을 추진하였으나, 보안업체들의 반발과 포털의 독점적 권한행세에 대한 논란이 예상되면서 결국 오픈플랫폼을 통한 업체간 상생으로 입장을 선회하였다.

반면, 이스트소프트는 기존에 ‘알집’, ‘알FTP' 등에서 취해온 ‘기업 유료, 개인무료’ 형태의 기존 라이선스 제도를 백신 서비스에도 적용한 ‘알약’ 서비스를 개시하였다.

‘알약’의 경우 개인사용자에겐 무료임에도 불구하고 소비자들이 유료 백신 서비스를 택하게 되는 주요 이유인 ‘실시간 감시기능’과 ‘자동 업데이트’ 기능 등을 내장하고 있어, 이에 대응하기 위한 여타 보안업체들의 향후 행보가 주목되고 있다.

현재 IT시장은 오픈소스와 웹 2.0 환경의 등장으로 사용자의 참여가 높아지고 있는 동시에 무료화에 대한 논의가 활발하게 이뤄지고 있는 상황이고, 기업용 솔루션 시장에도 서비스로서의 소프트웨어(SaaS)가 등장하면서 라이선스 방식의 변화가 감지되고 있는 상황이다 보니, 일반인을 대상으로 하는 소프트웨어 역시 비즈니스 모델의 변화는 필수 불가결한 흐름이 될 전망이다

주요 보안 위협 요소

2005년도 이후부터 금전적인 이득을 노리는 보안 사고가 급증하고 있으며, 개인정보의 유출을 노리는 악성코드와 무차별하게 설치되는 스파이웨어 비즈니스도 지속적으로 성행하고 있다. 또한 악성코드를 이용한 스팸 메일과 피싱 메일도 여전히 위협의 대상이 되고 있다.

악성코드

과거의 악성코드들은 주로 사용자의 데이터를 삭제하거나 파괴하는 식의 논리적인 문제를 발생시켜 이용자로 하여금 복구를 통한 금전적, 시간적 손해를 유발했다. 하지만, 현재의 악성코드는 정보유출에 따른 직접적이고 경제적인 피해를 유발하는 형태로 발전하고 있다. 이 때문에 일부에서는 이런 형태의 악성코드를 크라임웨어(crimeware)라고 부르기도 한다.

한편 윈도우 XP SP2가 등장한 이후 악성 IRCBot 웜 등의 주요 공격이 상당부분 무력화 되면서, 악성코드들의 주요 공격 대상이 기존의 운영체제에서 인터넷 익스플로어와 MS 오피스 등의 웹 어플리케이션 쪽으로 확대되어 가고 있다. 이들 제품들의 취약점은 과거부터 알려져 왔으나, 주요 공격대상으로 이른바 ‘제로-데이 공격’이 본격화 된 것은 2006년부터로 보여 진다.

최근의 악성코드는 철저하게 금전적인 이익을 목표로 조직적인 움직임을 보이는 것도 주목할 만한 특징이다. 무차별적으로 광범위한 배포가 아닌 특정 타겟을 목표로 한 계획적인 배포 형태를 취하고 있다. 실례로 ‘중국발 웹 해킹’을통한 악성코드 유포는 한국과 아시아 지역에서만 자주 보고되는 사례인데 반해, 유럽이나 남미에서는 인터넷 뱅킹 시 사용자 계정을 탈취하는 트로이 목마가 악성코드의 주류를 이루고 있다.

또한, 최근 발견되는 악성코드는 단순히 백도어 기능이나 트로이목마 기능을가지고 있는 형태보다는 이들이 혼합된 형태가 주를 이룬다. ‘백도어 + 바이러스’나 ‘웜 + 바이러스’와 같은 형태로 결합된 변종 악성코드는 하나 이상의 파일을 감염시켜 다수의 숙주를 생성하게 되며, 이는 단일 시스템 내에서 일정한 확산력을 가지게 되며, 결과적으로 악성코드의 생존시간을 연장시키는 결과를 초래한다.

스파이웨어

최근 스파이웨어 동향의 가장 큰 특징은 웜이 설치하는 스파이웨어가 증가했다는 점이다. 자체 전파력이 없는 스파이웨어를 자체 전파력을 지닌 웜이 설치하면서 웜과 동일한 확산력을 가지게 된 셈이다. 또한 사용자 동의 없이 설치된 스파이웨어는 일반적인 제거방법을 제공하지 않을 뿐 아니라, 루트킷을 사용하거나 잘 알려지지 않은 시작프로그램 등록 방법으로 사용자가 스파이웨어를 쉽게 제거할 수 없도록 한다.

스파이웨어의 배포에는 여전히 ActiveX가 가장 많이 사용되지만, 다운로드 방식을 통한 배포도 최근 꾸준히 늘고 있다. 스파이웨어 배포에 흔히 이용되는제휴사 마케팅(Affiliate Program)은 소프트웨어를 배포하고 설치할 때마다 제어 서버에 제휴사 또는 파트너의 아이디를 전송한다. 이어 이를 계산하고 설치된 프로그램의 수만큼 배당금을 지급하는 형태가 일반적이다. 이 점을 이용하여 봇넷 운영자는 IRCBot에 감염된 좀비(Zombie) 시스템을 이용하여 스파이웨어를 배포하고 불법적인 수익을 올리기도 한다.

윈도우 XP의 시작프로그램 관리자에 등록된 스파이웨어를 손쉽게 삭제할 수없도록 하는 다양한 기법도 활용되고 있다. 예를 들어 2006년 상반기에 큰 피해를 야기한 'Look2Me', 'Crypter' 등의 스파이웨어는 다운로드에 의해 설치되고, Winlogon Notification Dll을 사용하여 Logon, Logoff, Startup, Shutdown, Startscreensaver 등의 이벤트가 발생할 때마다 원하는 코드를 실행한다. Winlogon Notification Dll은 Winlogon.exe와 함께 실행되기 때문에 Dll이 로드된 상태에서는 수동으로 제거하기가 어렵다.

또한 최근에는 악성코드뿐만 아니라 스파이웨어도 프로그램의 존재를 숨기고 삭제를 방해하기 위해 윈도우 커널모드 드라이버를 이용한 루트킷을 설치해 실행한다. 목적이 무엇이든 사용자 동의 없이 설치되는 루트킷은 실행 중인 사실을 숨기고 종료할 수 없는 프로세스를 생성하므로 스파이웨어로 분류할 수있다.

피싱(phishing)과 파밍(pharming)

피싱은 기술적인 공격이라기보다는 사회공학적인 공격으로 사용자 스스로가 개인정보 및 금융정보를 입력하도록 유도한다. 손쉽게 피싱 사이트를 구축, 관리할 수 있는 ‘Phish Kit'이 인터넷 상에 돌아다니기 시작하면서 피싱 사이트수도 꾸준히 증가하고 있다.

피싱 메일 기반의 트로이목마는 이메일 첨부파일, P2P, 게시판 등 다양한 경로를 통해 시스템에 잠입한 후 트로이목마에 정의된 특정 호스트에 사용자의 접속 시도가 감지되면 키보드 입력을 몰래 저장하여 공격자에게 정보를 전송할수 있도록 설계되어 있다.

피싱에서 더 진화한 형태인 파밍(Pharming)은 DNS 결과 값을 속여 공격자가의도한 사이트로 연결하기 때문에 사용자가 이를 알아채기가 더욱 어렵다. 파밍에는 hosts 파일변조, DNS 캐시중독 등의 기법이 사용되고 있다.

키로거

최근 인터넷 뱅킹 관련 정보를 가로채 실제 계좌에서 돈을 인출하는 사건이 종종 발생하는 데, 이는 키로거(Key logger) 툴을 이용한 형태이다. 인터넷 뱅킹을 통한 거래가 이루어 질 때마다 키보드나 마우스로 입력되는 데이터는 일반적으로 그림1의 형태를 거쳐 은행의 백엔드 시스템으로 전달된다.

이 각각의 단계에서 키로거는 다양한 방법으로 데이터를 훔칠 수 있고, 인증서서명 창과 같이 인터넷 익스플로어에서 ActiveX로 실행되는 모듈 데이터는 키로거가 익스플로어의 BHO로 실행되면서 데이터를 가로채는 경우도 있다.

따라서 키로거를 막기 위한 키보드 보안제품(Anti-Keylogger)은 각각의 단계에 대한 키로거의 공격을 막을 수 있어야 하지만, 대부분의 키보드 보안 제품이 IDT(Interrupt Descriptor Table) 후킹 수준에서 키보드 보안을 수행하고 있어 키로거가 같은 수준에서 작동하게 되면 보안을 장담할 수 없게 된다.

검색엔진

국내에서는 주민등록번호 유출이 2차적인 개인정보 유출의 도화선이 된다는 점에서 검색엔진 또한 위협 대상이 되고 있다.

구글 등 검색엔진의 기능이 강화되면서 해킹에 대한 지식이 없는 사용자도 검색엔진을 통한 일정 수준 이상의 검색이 가능하기에 웹에 올라가 있는 주민등록번호, 주소, 전화번호, 비밀번호 등의 각종 개인정보가 인터넷 상에서 유출될 가능성도 커지고 있다.

결론

오늘날의 보안위협은 날이 갈수록 지능화, 조직화 되고 있으며, 금전적 이득을 주목적으로 하고 때문에 한번 보안 위협에 노출이 되면 과거에 비해 훨씬 심각한 피해를 입게 된다. 다양한 악성코드들은 말 그대로 점점 더 악성으로 진화하여 공격 대상 및 해킹 방법, 배포형태 등이 다각화되고, 멀티미디어 트래픽의 증가와 다양한 신규 IT 서비스의 등장등으로 기존의 Anti-Virus, Anti-Spam과 단일 보안 솔루션만으로는 보안 위협에 대한 효과적인 보안 수준을 유지하기 어려운 환경이 도래하였다.

때문에 파이어월, VPN, IDS/IPS, Anti-Virus, Anti-Spam, 콘텐츠 보안 등 다양한 보안기능을 하나로 융합한 통합위협관리(UTM : Unified Threat Management) 시스템의 중요성이 날로 커져가는 추세이다. 어떠한 보안위협이던 사후처방보다는 사전예방이 바람직함은 두말할 나위 없다. 개인사용자든 기업사용자든 보안 패치와 안티바이러스 소프트웨어 설치, 방화벽 설치 등 보안 위협에 대한 지속적인 주의를 기울여야 하며, 사용자 스스로의 정보보호에 대한 인식 전환이 필요한 시점이다.