2012년 상반기를 뜨겁게 달궜던 보안 이슈는 어떤 것들일까. 여전히 온라인 게임 계정 탈취 악성코드 유포가 심각한 상황이고 다양한 형태의 APT 공격이 발견됐다. 또 안드로이드 악성파일 유포와 SNS를 통한 악성코드 유포, HWP 제로데이 공격 등이 이슈로 떠올랐다.
 
잉카인터넷(대표 주영흠 www.nprotect.com)은 ISARC 대응팀을 통해 2012년 상반기 보안이슈 결산 및 TOP10을 선정해 발표했다.
 
잉카인터넷 ISARC 대응팀은 “2012년 상반기에 출현했던 대표적인 보안 위협들을 되짚어보고, 하반기에 출현 가능한 위협 요소들을 예측하여 사전에 대처할 수 있는 기초 자료로 활용하는데 그 취지가 있으며 각 계 보안 의식 제고에 대한 공감대 형성을 이루는데 그 주 목적이 있다”고 밝혔다.
 
잉카인터넷에서 선정한 2012년 상반기 주요 보안이슈 TOP 10을 살펴보면 다음과 같다.
 
◇2012 상반기 주요 보안이슈 TOP 10
1. 온라인게임 계정 탈취 목적의 악성파일 여전히 기승
유명 온라인 게임 사용자들의 개인정보(아이디, 암호 등)를 불법적으로 탈취한 후 해당 정보를 도용하여 금전적인 수익을 챙기는 사이버 범죄가 끊이지 않고 있으며, 이 과정에서 윈도우 운영체제의 정상 시스템파일을 변조 또는 악성파일로 교체하는 악성파일 유포가 연일 기승을 부리고 있다.
 
2012년 상반기 중에는 ws2help.dll, version.dll 등 각종 윈도우 운영체제의 정상 시스템파일을 변조(Patched/Forwarded) 또는 악성파일로 교체하여 일반인들이나 Anti-virus 제품들이 치료하기 불편하게 방해하는 기법도 꾸준히 성행하고 있다.
 
2. 지능형지속위협(APT:Advanced Persistent Threat) 공격 지속적 발견
일본 국토교통부 산하 국토지리원을 표적으로 한 공격, 3월 10일 티벳(Tibet) 봉기 53주년 기념 표적형 공격 등 지능화된 표적 공격이 지속적으로 발견되고 있다. 지능형지속위협(APT)은 감염 사실을 인지하기가 어렵고, 해당 기관이나 기업이 공식적인 피해 사실을 파악하여 공개하는 경우는 매우 희박하기 때문에 공격자로 하여금 꾸준한 공격 가능 환경을 제공하고 있는 상황이기도 하다.
 
3. 안드로이드 기반 악성파일 국내 자료실에서 유포 최초 발견
스마트폰 사용자를 대상으로 한 안드로이드 기반 악성파일이 계속적으로 발견되고 있는 가운데, 2012년 상반기에는 국내 유명 공개자료실에서 개인정보 유출 시도형 안드로이드 기반 악성파일이 배포되고 있는 것이 발견되었다.
 
안드로이드 기반 악성파일은 대체로 중국, 러시아, 일본 등의 블랙마켓 등에서 무단 배포되는 안드로이드 악성파일이 주류를 이루고 있었으나, 국내 유명 공개 자료실에서 발견된 사례는 최초라고 할 수 있다.
 
nProtect Mobile for Android 제품에는 2012년 01월부터 06월까지 상반기 동안만 약 9,700여개의 새로운 안드로이드 기반 악성파일의 진단/치료 기능을 추가한 상태이다. 이는 2011년 한해 동안 업데이트된 약 4,000여개의 두배 이상으로 증가한 상태이다.
 
4. 소셜네트워크서비스(SNS)를 이용한 악성파일 지속적 유포
전세계적으로 트위터(Twitter), 페이스북(Facebook) 이용자가 꾸준히 증가 유지되고, 스마트폰 활성화 등과 연계되어 악성파일 유포자들은 이를 역이용한 유포수법을 비례적으로 끈질기게 악용하고 있다.
 
트위터, 페이스북 친구 요청 이메일로 사칭하여 악성파일에 감염되도록 유혹하기도 하며, 단축URL 주소 서비스를 이용하여 악의적인 웹사이트로 연결을 유도하거나, 페이스북의 채팅창을 통해서 자동으로 악의적 URL 주소를 클릭하게 만드는 등의 사례가 다수 발견되었다.
 
5. 한글 사용자를 주요 위협 대상으로 삼고 있는 HWP 문서 취약점 증가
2012년 상반기 중에도 다수의 HWP 문서 취약점을 악용한 악성파일이 다수 발견되어 HWP를 이용하고 있는 사용자들에게 새로운 위협요소로 작용하였다.
 
근래에는 국내 유명기업이나 정부기관, 정치권 등을 겨냥하는 지능형지속위협(APT) 공격에 특화화된 HWP 문서 취약점을 은밀하게 악용하고 있기 때문에 HWP 문서를 사용하는 기업이나 기관의 경우 이러한 악성파일에 각별한 주의가 필요하다.
 
6. 인터넷 뱅킹 사용자를 위협대상으로 삼는 보안위협 다수 발생
2012년 상반기는 보이스 피싱이 한 단계 진화한 문자(SMS) 피싱이 극성을 부렸으며, 이후 문자 피싱은 악성파일과 추가 결합한 형태로 또 다시 발전을 거듭하고 있다. 특히, “보안승급서비스’라는 문자(SMS)를 보내 사용자들을 현혹하여 인터넷뱅킹에 필요한 대부분의 개인정보를 사용자 스스로 직접 입력하도록 유도하는 형태도 다수 발견되었고, 악성파일 배포에 해킹과 정상프로그램 변조 등 고도화된 기법이 복합적으로 사용되어 이슈화 되었다. 
 
7. 북한 핵실험 및 핵안보 정상회의와 관련된 정치적 악성파일 등장
북한의 광명성 3호 발사와 3차 핵실험 강행 위협 등 국재 안보 정세에 다소 위협적인 북한의 입장 표명을 이용하는 사회적으로 이슈화 되고 있는 내용들을 통해서 악성파일이 유포되는 사례가 발견되었다.
 
북한과 관련된 키워드나 특정 문구 등을 이용해서 인터넷 사용자들을 현혹시켜 악성파일에 감염되도록 만드는 수법은 예전부터 꾸준히 사용되고 있으므로, 유사한 내용에 각별히 주의하는 노력이 필요하다.
 
8. 성인동영상과 함께 유포되는 악성파일 변종 출현
신종 악성파일 유포를 국지적으로 좀더 쉽고 빨리 진행하기 위한 방식이 다각적으로 시도되었는데, 그 중 2012년 상반기에는 성인동영상을 통한 악성파일 유포가 특징이라 말할 수 있다.
 
악성파일 유포자는 다운로드 증가를 유도하기 위해 조회수가 상대적으로 많은 음란 성인동영상에 악성파일을 교묘하게 포함시켜 유포하고 있으며, 사용자가 해당 대용량 파일을 다운로드하고 실행 시 성인용 동영상파일이 별도로 생성되고 재생도 정상적으로 가능하도록 조작하여 만들었다.
 
9. 정상프로그램을 불법 해킹/변조한 피해 증가
웹 사이트에서 배포되는 정상 동영상 플레이어 설치파일이나 각종 애플리케이션을 불법적으로 해킹, 변조하여 악성파일을 배포하는 행동도 포착된 바 있다.
 
악성파일 자체를 정상파일처럼 보이도록 조작하는 방식이 대부분이었으나, 실제 정상 프로그램을 위변조하여 악성파일이 함께 설치되도록 하는 경우는 매우 드문 경우였다
 
10. 사회기반시설을 표적으로 삼는 악성파일 변종 플레임(Flame) 보고
특정 국가의 사회기반시실(발전소, 교통 등)의 정상적인 사용을 방해하고 국가 내부 중요시설 정보를 은밀히 수집하기 위한 목적 등으로 개발 된 Stuxnet, Duqu의 또 다른 변종인 Flame이라는 악성파일이 발견되었다.
 
해당 악성파일은 2010년 이전부터 활동한 것으로 추정되며, 컴퓨터 화면 기록, 특정대상 시스템에 대한 정보, 저장된 파일, 연락처 데이터, 컴퓨터 주변 대화내용 녹취 등 각종 기밀 정보를 탈취하도록 설계되어 있다.
 
◇2012년 하반기 주요 보안 이슈 전망
2012년 하반기에도 어김없이 ▲사회공학적 기법과 취약점 관련 악성파일 여전히 기승, ▲발표되지 않은 보안 취약점에 대한 Zero-Day 공격을 가미한 APT 등 취약점 관련 악성파일, ▲악의적인 목적을 가진 스마트기기용 애플리케이션 등장/SNS를 매개체로 한 악성파일 유포, ▲사회적 이슈에 따른 악성파일 출현, ▲DDoS 공격, 유명 온라인게임 계정 탈취를 위한 특정 악성파일 유포 기법, ▲국가 기관이나 기업, 특정 인물들을 타깃으로 하는 APT 공격의 고도화되어 발생할 것으로 보인다.
 
잉카인터넷 관계자는 “2012년에도 악성파일 동향은 공격 형태가 점차 지능화되고 있으며, 불특정 다수와 특정 대상을 겨냥한 국지성 공격이 함께 증가하고 있기 때문에 전문 보안 업체의 역할은 더욱 더 중요한 시점”이라며 “앞으로도 전문적이고 체계적인 대응조직을 통한 신속하고 정확한 보안 서비스를 필요로 하고 있다”고 밝혔다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com