2024-03-28 22:35 (목)
인터넷 보안 강화된 만큼 공격도 진화!
상태바
인터넷 보안 강화된 만큼 공격도 진화!
  • 길민권
  • 승인 2012.03.26 11:29
이 기사를 공유합니다

IBM X-Force 2011 보안 동향 및 리스크 보고서 발표
모바일 취약점 공격, 패스워드 자동 추측 등 새로운 위협 등장
지난해 애플리케이션 보안 취약점 개선, 공격 코드와 스팸 감소 등 다양한 인터넷 보안 분야에서 눈부신 발전이 있었던 것으로 나타났다. 그러나 공격 수법도 날로 진화해 IT 보안 헛점의 틈새를 노리거나 소셜 네트워크, 모바일로 옮겨 새로운 경로를 공략하는 등 위협 방식도 크게 달라진 것으로 나타났다. 이와 같은 사실은 IBM이 발표한 ‘X-Force 2011년 보안 동향 및 리스크 보고서’에서 밝혀졌다.
 
이 보고서에 따르면, 작년 스팸 메일의 양은 2010년에 비해 50%가 감소됐고, 소프트웨어 보안 취약점도 소프트웨어 공급회사들이 보안 취약점을 패치함으로써 2010년 대비 43%에서 36%로 줄었다. 클라이언트 소프트웨어에 존재하는 크로스 사이트 스크립팅으로 불리는 웹 애플리케이션의 취약점 또한 4년 전에 비해 절반으로 크게 줄어 소프트웨어 애플리케이션 코드가 전반적으로 고품질화된 것으로 나타났다.
 
이러한 보안 강화 흐름에 따라, 모바일 기반 공격, 패스워드 추측 프로그램 및 대량 피싱 공격 등 새로운 방식의 공격 수법이 증가하고 있는 것도 이 보고서는 밝혀냈다. 예를 들어 웹쉘 공격(웹 서버에 대한 자동화된 쉘 명령 주입)의 증가는 웹 애플리케이션 취약점을 막기 위한 대응 노력에 대한 반응일 수 있다.
 
IBM X-Force 2011년 보안 동향 및 리스크 보고서는 업계를 선도하는 IBM 보안 연구팀이 4,000개 이상의 IBM 고객사들로부터 수집한 취약점 공개 자료를 연구하고 하루 평균 130억 건의 공격에 대한 점검과 분석을 통해 작성된다.
 
IBM X-Force 팀의 정보 위협 및 전략 총괄 관리자인 톰 크로스(Tom Cross)는 “작년 한해 소프트웨어 품질을 개선하기 위한 IT 산업계의 노력이 각종 보안 위협에 대한 대응 능력을 놀라울 정도로 크게 향상시켰다. 다만 공격자들이 새로운 침투 경로를 찾기 위한 기술을 진화시켜 사이버 범죄를 통해 계속해서 이득을 취하려는 만큼 기업이나 공공기관은 보안 강화를 최우선으로 두고 실질적인 대처 노력을 멈추지 말아야 한다”고 당부했다.
 
보고서에 따르면, 작년 한해 기업들의 보안 강화 활동이 활발히 진행됐으며 그 성과 역시 크게 향상된 것으로 나타났다.
 
◇공격 코드 발생 30% 감소=보안 취약점이 공개되면, 컴퓨터에 다운로드 방식으로 침투하는 공격 코드가 배포되는 경우가 있다. 2011년은 이전 4년 동안의 평균치보다 약 30% 적게 공격 코드가 배포되었다. 이러한 개선은 공격 성공을 더 어렵게 만드는 소프트웨어 개발자들의 아키텍처와 프로세스 변경에 원인을 둘 수 있다.
 
◇패치되지 않은 보안 취약점의 감소=보안 취약점이 일반에게 공개될 때, 해당 소프트웨어 공급회사들이 적시에 패치나 치료 프로그램을 제공하는 것이 매우 중요하다. 전체 보안 취약점 패치가 완벽하게 이뤄지진 않았지만, 패치되지 않은 취약점의 비율은 지속적으로 감소해 2010년의 43%에서 2011년에는 36%로 감소하였다.
 
◇소프트웨어 품질 향상에 따른 크로스 사이트 스크립팅(XSS) 취약점 50% 감소=프로그램 코드에 존재하는 취약점을 분석, 발견, 치료하는 IBM 앱스캔 온디멘드(AppScan OnDemand)와 같은 툴을 사용하는 기업들이 생산한 소프트웨어 품질이 현저하게 개선된 사실이 확인됐다. IBM은 클라이언트 소프트웨어에 존재하는 XSS 취약점이 4년 전에 비해 절반으로 감소하였음을 발견하였다. 그러나, XSS 취약점이 잘 발견되고 대처 가능한 것임에도 불구하고 IBM이 조사한 애플리케이션 중에 여전히 높은 약 40%에서 취약점이 존재했다.
 
◇스팸 감소=스펨 메일 점검을 위한 IBM의 글로벌 네트워크에 따르면 2010년에 비해 작년 스팸메일 양이 절반 정도로 감소했다. 이러한 감소의 상당 부분은 몇몇 대형 스팸 봇넷(botnet)의 해체로 스팸발송자들의 활동이 억제된 것에 기인했다고 볼 수 있다. 더불어 IBM X-Force 팀은 스팸 차단 기술 발전과 동시에 과거 7년간 스팸 발송 수법과 기술의 발전 단계가 완전히 드러났다고 밝혔다.
 
◇2011년 공격 수법 진화
이러한 개선에도 불구하고, 새로운 공격 트랜드가 생겨나는 한편, 중대하고 광범위한 외부 네트워크 및 보안 헛점이 보고되었다. 악의적인 공격이 점차 치밀해짐에 따라, IBM X-Force는 다음 3가지 주요 분야에서의 공격 행위가 증가했다고 발표했다.
 
◇쉘 명령 주입 취약점 공격 2배 증가=지난 수 년 동안, 웹 애플리케이션에 대한 SQL 주입 공격이 주요 공격 경로였다. SQL 주입 취약점은 공격자들이 웹 사이트 후방의 데이터베이스를 조작하도록 허용한다. 이러한 취약점 차단이 강화되자(2011년 공개 웹 애플리케이션 취약점의 46%를 차지) 상당수의 공격자들이 쉘 명령 주입 취약점을 타깃으로 삼기 시작했다. 이 취약점은 공격자들이 웹 서버 상에서 직접 명령을 실행하는 것을 허용한다. 쉘 명령 주입 공격은 2011년 동안 2배 내지 3배까지 상승했다. 웹 애플리케이션 개발자들은 증가하고 있는 이 공격 벡터에 세심한 주의를 기울여야 한다. 
 
◇패스워드 자동 추측 프로그램의 급증=안전하지 못한 패스워드와 패스워드 정책으로 작년 다수의 치명적인 보안사건이 발생했다. 네트워크 상의 취약한 접속 패스워드를 갖고 있는 시스템을 탐색해 공격하는 인터넷 상의 자동화된 공격 활동도 상당수 있다. IBM은 2011년 후반기에 보안 쉘(SSH) 서버에 지령된 이러한 유형의 패스워드 추측 활동이 크게 급증하였음을 관찰하였다.
 
◇소셜 네트워킹 사이트 및 택배 발송 메일을 가장한 피싱 공격의 증가=2010년과 2011년 상반기에는 피싱 이메일 양이 상대적으로 적었지만, 2011년 후반기에 피싱이 다시 급증하여 2008년 이래 최대치에 이르렀다. 대다수 이런 피싱 메일은 유명 소셜 네트워킹 사이트와 소포 발송 메일을 가장해 피해자 PC에 악성코드를 감염시키는 웹페이지의 링크를 클릭하도록 유도한다. 이들 상당수에는 쇼핑몰 사이트의 트래픽을 유도하는 광고 스팸도 포함된다.
 
◇새로운 기술이 공격 경로로 이용
모바일 및 클라우드 컴퓨팅과 같은 새로운 기술 동향들이 기업에게 보안과 관련된 새로운 도전으로 부상했다.
 
◇공개 배포된 모바일 공격 코드가 2011년 19% 증가=IBM X-Force 보고서는 현재 기술 동향과 모바일 기기를 업무에 이용하는 BYOD(Bring Your Own Device) 동향에 초첨을 맞춘 발표 내용에서 모바일 기기를 표적으로 배포된 공개 공격 코드의 수가 전년도에 비해 19% 증가됐다고 보고했다. 이미 사용 중인 스마트폰 등은 공개 배포된 공격 코드에 대한 취약점이 패치되지 않아 공격 받을 수 있는 위협이 존재한다. IT 관리자들은 이러한 점차 급증하는 위협에 대처하기 위하여 대비해야 한다.
 
◇소셜 미디어를 이용한 공격 증가=소셜 미디어 플랫폼과 소셜 테크놀러지의 광범위한 채택과 더불어, 이러한 분야가 표적이 되고 있다. IBM X-Force는 소셜 미디어 사이트를 가장하는 피싱 이메일이 급격히 증가한 것을 관찰하였다. 공격이 더욱 정교해져 소셜 네트워크의 개인적 또는 업무에 대한 일상 정보가 공공기업 및 기업의 컴퓨팅 네트워크에 침투하기 위한 사전 정보 수집에 쓰이기 시작했다.
 
◇새로운 도전에 직면한 클라우드 컴퓨팅=클라우드 컴퓨팅은 도입이 가속화 되면서 2013년 말까지 급속히 성장할 것으로 예상된다. 2011년에는, 기업과 일반 고객들에게 피해를 끼친 클라우드 보안 공격이 많이 있었다. IT 보안 담당자는 어느 워크로드가 제3자인 클라우드 제공자에게 보내지고, 어느 민감한 자료가 내부적으로 보관되어야 하는지를 신중히 고려하여야 한다.
 
클라우드 보안은 클라우드 서비스 제공자 영역에서의 융통성과 기술 뿐만 아니라 고객 영역에 대한 진단도 요구된다. IBM X-Force 보고서에서는, 기업이 현실적으로 클라우드 컴퓨팅 서비스에 대하여 행사할 수 있는 영향이 제한적이기 때문에, 클라우드에서 보안을 관리하기 위한 가장 효과적인 수단은 서비스 수준 합의서(SLAs)를 통하는 것이라고 특별히 강조한다.
 
따라서, 서비스 수준 합의서를 작성할 때에는 소유권, 접속 관리, 규제 및 종료에 대하여 신중한 고려가 이루어져야 한다. IBM X-Force 보고서는 클라우드 고객들이 클라우드 전개에 대한 포괄적인 관점을 갖고 전반적인 정보 보안에 대한 태도까지 충분히 고려할 것을 권장한다.
 
리얀 버그(Ryan Berg) IBM 클라우드 보안 전략 연구원은 “클라우드 도입 형태에 따라 다르지만 대부분 사용자는 그들의 통제 밖에 있기 때문에 클라우드 서비스 보안에 대해 많은 사용자들이 걱정한다. 사용자들은 클라우드로 향하는 자료의 정보 보안 요건에 초점을 맞추어야 하며, 실사를 통해 클라우드 제공자가 워크로드를 적절히 보호할 수 있는 능력을 갖고 있는지를 명확히 해야 한다”고 당부했다.
 
IBM은 모바일과 클라우드 같은 새로운 분야에 관련된 보안을 향상시키고자 고객들과 함께 연구 및 개발에 총력을 기울이고 있다. 정기적인 보안 평가의 수행, 민감한 시스템과 정보의 분리, 사업 파트너의 정책에 대한 검토, 피싱, 스피어 피싱 및 일반적인 컴퓨터 안전 원칙에 대한 훈련 등 새로운 위협에 관해 고객들이 IT부문의 보안을 향상시키도록 지원한다.
 
IBM X-Force 2011년 보안 동향 및 리스크 보고서 전문과 하이라이트 동영상은 다음 사이트에서 볼 수 있다.  www.ibm.com/security/xforce. 또 IBM의 보안 솔루션에 대한 추가 정보를 얻으려면 www.ibm.com/security를 방문하면 된다.
[데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★