매월 전세계 보안 위협 동향을 심도있게 분석, 발표하고 있는 시만텍(www.symantec.co.kr)이 ‘시만텍 인텔리전스 리포트(Symantec Intelligence Report)’ 2월호를 통해 미 공정거래협회(Better Business Bureau)를 사칭한 신종 사이버 공격들이 잇따르고 있어 주의가 요구된다고 밝혔다.
 
공격자들은 기업들을 겨냥해 미 공정거래협회에서 보낸 것처럼 위조해 해당 기업을 상대로 소비자 불만이 접수되었으며, 보다 자세한 정보는 첨부파일을 참조하라고 사회공학적 공격기법을 접목한 이메일을 보낸다. 하지만 첨부된 PDF 파일에는 악성 실행파일이 심어져 있거나 악의적 웹사이트로의 방문을 유도하는 URL이 포함되어 있다.
 
이러한 공격들은 2007년 처음 보고된 공격방식과 비슷한데, 이때도 공격자들은 기업 임원들을 겨냥해 미 공정거래협회에서 보낸 것처럼 위장한 이메일을 발송했다. 최근 공격방식도 2007년 당시처럼 사회 공학적 기법을 이용하고 있다는 점에서 유사하지만 서버측 다형성(Polymorphism) 공격과 같은 보다 진일보한 공격 기법이 동원되고 있어 탐지가 더욱 어렵다.
 
서버측 다형성 공격을 통해 공격자들은 매번 기존 유형과 조금씩 다른 형태로 공격, 기존 보안 시스템의 탐지를 회피하며, 주로 PHP 스크립트를 이용해 공격자의 웹사이트에서 자동으로 돌연변이 악성 코드를 생성한다.
 
이러한 공격양상은 그리스 신화에 나오는 바다의 신 프로테우스처럼 매번 모습을 바꾸는 변화무쌍한 속성 때문에 기존 시그니처 기반의 보안 탐지 방식으로는 탐지하기 매우 어렵다. 2012년 2월 탐지된 이메일 기반 악성코드 중 41.1%가 다형성 악성코드 변종이었다.
 
시만텍은 이전에 알려지지 않은 신종 위협에 신속히 대응할 수 있는 클라우드 기반의 휴리스틱 탐지 기법인 ‘스켑틱(Skeptic)’ 기술을 통해 다형성 악성코드 변종을 매우 효과적으로 탐지하고 있고, 거의 매일 시만텍의 닷클라우드 이메일 서비스를 통해 필터링하고 있다.
 
하지만 공격자들도 공격 성공률을 높이기 위해 공격전술과 사회 공학적 기법을 수시로 바꾸고 있는 상황이다. 최근 발생한 대표적인 공격사건 가운데는 페덱스, UPS, DHL, 아메리칸 항공 등 잘 알려진 기업을 사칭한 이메일 공격이 포함되어 있다. 시만텍은 본 보고서 작성 시점에서 한번의 공격으로 700건 이상의 악성 이메일이 전송되었음을 확인할 수 있었다. 각 이메일마다 공격 표적이 달랐고, 공격 시간은 30분도 채 걸리지 않았다.
 
시만텍코리아 윤광택 이사는 “다형성은 말 그대로 매번 기존 위협과 조금씩 다르게 형태를 바꾸는 것으로, 이를 이용해 공격자들은 쉽게 보안 탐지를 피할 수 있다”며, “새로운 악성 프로그램이 정상적인 프로그램에 비해 더 빠른 속도로 생성되는 상황에서 전통적인 보안 시스템의 부족한 부분을 채워줄 수 있는 클라우드 기반의 휴리스틱 탐지기법 및 평판 보안 기술과 같은 상호보완적 기술을 도입할 필요가 있다”고 강조했다.
 
이밖에 ‘시만텍 인텔리전스 리포트’ 2월호에 포함된 주요 발표내용은 다음과 같다.
 
-스팸: 2012년 2월 전세계에서 발송된 이메일 중 스팸이 차지하는 비율은 68.0%로 전월 대비 1% 포인트 감소
 
-피싱: 2012년 2월 피싱 이메일 활동은 전월 대비 0.01% 포인트 증가했으며, 이메일 358.1건 당 1 건(0.28%)이 피싱 공격에 이용됨
 
-이메일을 통한 보안 위협: 2012년 2월 전세계에서 발송된 이메일 중 악성코드가 포함된 메일은 274.0건 당 1 건 꼴로, 2011년 1월 이후 0.03% 포인트 증가
 
-웹 기반 악성코드 위협: 2012년 2월 악성코드 및 스파이웨어, 애드웨어 등 사용자가 원치 않은 프로그램을 포함하고 있는 웹사이트는 하루 평균 2,305개가 탐지됨
 
-엔드포인트 위협: 2012년 2월에 가장 많이 차단된 악성코드는 WS.Trojan.H로, 시만텍은 클라우드 기반의 휴리스틱 탐지를 이용해 아직 정식으로 분류되지 않은 위협을 가진 파일을 탐지해 사용자에게 위협요소를 사전에 제공하고, 이 악성코드가 컴퓨터에 감염되는 것을 차단
 
한편, 시만텍은 매월 ‘시만텍 인텔리전스 리포트’를 통해 전세계 보안 위협 동향을 발표함으로써 전세계 기업 및 개인 사용자들이 다양한 웹 기반 공격, 악성 코드 활동, 피싱 및 스팸 트렌드에 대한 최신 정보를 통해 효과적으로 시스템을 보호할 수 있도록 돕고 있다.
 
전세계 보안 위협 동향과 통계를 비롯해 각 지역 및 산업별로 자세한 분석 정보를 제공하고 있는  ‘시만텍 인텔리전스 리포트’의 2012년 2월호 전문은 http://www.symanteccloud.com/mlireport/SYMCINT_2012_02_February_FINAL.PDF에서 다운로드 받을 수 있다.
 
다음은 시만텍이 제안하는 기업을 위한 보안 베스트 프랙티스 지침 내용이다.
 
1.심층적인 방어 전략을 수립하라: 특정 기술 또는 보호 방식에 존재하는 오류를 막기 위해 여러 방어 시스템을 활용한다. 이를 위해 네트워크 전반에 정기적으로 업데이트되는 방화벽, 게이트웨이 안티바이러스, 침입탐지, 침입차단시스템, 웹보안게이트웨이 솔루션을 구축해야 한다.
 
2.네트워크 보안 위협, 취약점 및 브랜드 도용을 감시하라: 네트워크 침입, 전파 시도, 기타 의심스러운 트래픽 패턴이 있는지 감시하고 확인된 악성 호스트나 의심스러운 호스트와의 연결 시도를 찾아낸다.여러 벤더의 플랫폼 전반에서 새로운 취약점과 보안 위협에 대한 알림을 수신하고 선제적으로 해결한다. 도메인 알림 기능과 가짜 사이트 보고 기능으로 브랜드 도용 사례를 추적한다.
 
3.안티바이러스만으로는 충분하지 않다: 시그니처 기반의 안티바이러스만으로는 최신 보안 위협과 웹기반 공격 툴킷으로부터 엔드포인트를 확실하게 보호할 수 없다. 다음과 같은 추가적인 보호 계층을 포함하는 통합적인 엔드포인트 보안 제품을 구축해야 한다.
 
-패치가 적용되지 않은 취약점이나 사회 공학적 공격기법을 차단하며, 엔드포인트를 노리는 악성 코드를 차단하는 엔드포인트 침입 차단 기술
 
-위장 웹 기반 공격을 차단하는 브라우저 보호 기술
 
-사전 예방 차원에서 미확인 보안 위협을 차단하는 클라우드 기반 악성 코드 방지 기술
 
-애플리케이션과 웹 사이트의 리스크와 평판을 평가하여 빠르게 변이하는 악성 코드와 다형성 악성 코드를 차단하는 파일 및 웹 기반 평판 솔루션
 
-애플리케이션과 악성 코드의 행동을 감시하고 악성 코드를 차단하는 행동 기반 차단 기능
 
-애플리케이션과 브라우저 플러그인에서 허가받지 않은 악성 컨텐트의 다운로드를 차단하는 애플리케이션 제어 설정
 
-USB 장치 유형의 사용을 차단하고 제어하는 장치 제어 설정
 
4.중요한 데이터는 암호화하라: 중요 데이터를 암호화하는 보안 정책을 구현하고, 이에 대한 접근을 제한해야 한다. 이를 위해 데이터를 식별, 모니터링, 보호하는 DLP(데이터 유출방지) 솔루션이 필요하다. 이 솔루션은 데이터 보안 사고를 방지할 뿐 아니라 사내에서 잠재적 데이터 유출의 피해를 줄이는 데도 효과적이다.
 
5.DLP 기술로 데이터가 유출되지 않도록 방지하라: DLP 솔루션을 구현하여 중요 데이터가 저장된 위치를 찾아내고 데이터 사용 현황을 모니터링하며, 손실되지 않도록 보호할 수 있다. DLP는 중요 데이터를 복사하거나 다운로드하는 의심스러운 행동을 탐지해 차단할 수 있도록 구성해야 한다. 또한 DLP를 사용하여 네트워크 파일 시스템과 PC에서 기밀 데이터나 중요한 데이터 자산을 찾아내고 암호화 등 적합한 데이터 보호 기술을 적용함으로써 데이터 손실 위험을 최소화해야 한다.
 
6.휴대용 저장장치 사용을 제한하라: 가능하다면 외부 휴대용 하드 드라이브나 기타 이동식 저장장치 등의 사용을 제한해야 한다. 이러한 장치는 의도적으로 또는 실수로 악성 코드를 유입하고 지적 재산을 유출하는 빌미를 제공할 수 있다. 외부 미디어 장치가 허용되는 경우에는 장치가 네트워크에 연결되는 즉시 자동으로 바이러스 검사를 실시하고 DLP 솔루션을 이용하여 암호화되지 않은 외부 스토리지 장치에 기밀 데이터가 복사되는지 감시하고 제한해야 한다.
 
7.주기적으로 신속하게 보안 대응조치를 업데이트하라: 2010년 시만텍이 발견한 악성 코드 변종은 2억 8,600만 개 이상이었다. 기업은 매일 수 차례는 아니더라도 1회 이상 보안 바이러스 및 침입 차단 정의를 업데이트해야 한다.
 
8.적극적으로 업데이트하고 패치를 적용하라: 구버전의 브라우저와 플러그인, 애플리케이션은 벤더가 제공하는 자동 업데이트를 통해 최신 버전으로 업데이트하고 패치를 적용하며 마이그레이션해야 한다. 대부분의 소프트웨어 벤더는 소프트웨어의 취약점 악용을 차단하기 위한 패치를 자주 발표한다. 하지만 이러한 패치를 현장에 적용해야 비로소 안전하다. 가급적 패치 적용을 자동화함으로써 전사적 환경을 취약점 없는 안전한 상태로 유지해야 한다.
 
9.효과적인 암호 정책을 적용하라: 강력한 암호를 사용해야 한다. 강력한 암호는 8~10자 이상이고 대소문자, 숫자, 특수문자를 모두 포함해야 한다. 사용자가 여러 웹 사이트에서 동일한 암호를 사용하지 않도록 하고 다른 사용자와 암호를 공유하는 것도 금지해야 한다. 90일마다 1회 이상 정기적으로 암호를 변경하고 암호는 기록해 두지 않는다.
 
10.이메일 첨부를 제한하라: .VBS, .BAT, .EXE, .PIF, .SCR 파일 등 주로 바이러스를 확산시키는 데 사용되는 첨부 파일이 있는 경우 이메일을 차단하거나 제거하도록 이메일 서버를 구성한다. 또한 이메일 첨부가 허용되는 PDF 파일은 엄격한 보안 정책을 적용한다.
 
11.감염 및 사고 대응 절차를 마련하라
-보안 벤더의 연락처 정보를 확보하고 하나 이상의 시스템이 감염될 경우 어디에 연락하고 어떤 절차를 거쳐야 하는지 파악해둔다.
 
-공격이 성공하거나 심각한 데이터 손실이 발생할 경우 손실되거나 손상된 데이터를 복원할 수 있도록 백업 및 복구 솔루션을 마련한다.
 
-웹 게이트웨이, 엔드포인트 보안 솔루션, 방화벽의 사후 감염 탐지 기능을 활용하여 감염된 시스템을 찾아 격리시켜 추가 감염이 발생하지 않도록 한다.
 
-악성 코드나 기타 보안 위협에서 네트워크 서비스의 취약점을 악용할 경우 패치가 적용될 때까지 서비스 접속을 제한하거나 차단한다.
 
-감염된 시스템에 대해 사후 분석을 실시하고 신뢰할 수 있는 미디어를 사용하여 복원한다.
 
12.변화하는 보안 위협 환경에 대해 사용자 교육을 실시하라
-확실하고 믿을 수 있는 출처에서 발송한 첨부 파일이 아니면 열어보지 않는다. 인터넷 다운로드가 허용되는 경우 다운로드한 소프트웨어는 반드시 바이러스 검사를 실시한 후에 실행한다.
 
-이메일이나 소셜 미디어 프로그램에 포함된 URL을 누를 때 비록 믿을 수 있는 출처에서 발송되거나 친구가 보낸 경우라도 신중을 기한다.
 
-단축 URL을 누를 때는 먼저 사용 가능한 툴과 플러그인을 통해 미리 보거나 펼쳐 본다.
 
-사용자가 소셜 네트워킹 솔루션을 통해 정보를 제공할 경우 이러한 정보가 사용자 본인을 노리는 공격에 이용되거나 악성 URL 또는 첨부 파일을 열도록 유도하는 데 사용될 수 있으므로 주의해야 한다.
 
-검색 엔진 결과를 무조건 신뢰해서는 안되며, 특히 미디어에서 집중적으로 다루는 주제에 관해 검색할 때는 신뢰할 수 있는 출처의 결과만 눌러야 한다.
 
-검색 결과에 웹 사이트의 평판을 표시하는 웹 브라우저 URL 평판 플러그인 솔루션을 구축한다.
 
-소프트웨어 다운로드가 허용되는 경우 회사 공유 시스템만 이용하거나 벤더의 웹 사이트에서 직접 다운로드한다.
 
-사용자가 URL을 누르거나 검색 엔진을 사용한 후에 감염되었다는 경고 메시지가 나타날 경우(가짜 안티바이러스 감염) Alt-F4, CTRL+W 또는 작업 관리자를 사용하여 브라우저를 닫거나 종료하도록 교육한다.
[데일리시큐=길민권 기자]