[박춘식 교수의 보안이야기] 공격자가가 조직의 네트워크로부터 정보를 훔치는 수법으로 가장 많은 것은 해킹, 다음이 맬웨어다. 해킹은 예를 들면, SQL Injection에 의한 웹 사이트 경유로 정보를 훔치는 경우다. 맬웨어는 불법 프로그램을 삽입해서 정보를 취득하고 외부로 보내는 수법이다.
 
사회적 공격기법이나 물리적인 침입 등, 다른 수법에 비하면 두 종류가 압도적 다수가 된다. 이것만이라면, 그다지 의외의 인상은 없을지도 모른다. 단지, 맬웨어를 감염 경로로 분류해보면, 정보 누설 사건에 악용된 맬웨어의 95%는 공격자가 원격으로부터 설치한 것이다.
 
어디까지나 정보 누설 사건에 관련되어 있는 경우라는 조건이 추가되지만, 자주 시끄러운 전자 메일에 의한 감염은 실로 1%밖에 되지 않는다. 대기업 사례만으로 좁혀서 보아도 18%정도의 비율이다. 공격자가 맬웨어를 설치한다는 것은 공격자가 시스템에 침입한 후에 설치를 하고 있다는 것을 의미한다. 이것으로부터 정보유출 대책으로 침입방어 만이 아니라 로그를 검사하는 체제나 로그를 관리, 해석하는 노하우를 조직 내에 설치하는 것이 얼마나 중요한 지 알 수 있다.　
 　
좀더 상세히 살펴보자. 공격자가 원격에서 맬웨어를 설치하는 경우는, 2009년은 모든 데이터 누설/침해의 반 이상, 2010년은 약 80%, 2011년은 95%로 최근 수년간 증가 경향에 있다.
 
이것은 시스템에 액세스한 후에도 공격자가 시스템을 계속적으로 통제할 수 있으며 동시에 원격 액세스 서비스를 통해서 다수의 표적으로 자동화한 공격이 시도되는 것이 이유라고 생각된다.
 
대상을 대규모 기업 조직에 한해서 경향을 살펴보면, 전자메일 경유, 웹 인터넷 경유의 비율은 높아 지게 된다. 이것은 공격자가 대규모의 기업 조직을 정면으로 공격해서 방어를 무너뜨림으로, 종업원이 맬웨어를 설치하도록 하는 것이 간단하다고 생각하고 있기 때문이라고 생각한다.
 
그래도 원격으로부터의 설치가 전자메일이나 웹 경유보다도 압도적으로 많은 것은 변하지 않는다. 즉, 시큐리티 강화대책으로, 예를 들면, 전자메일이나 웹에서의 맬웨어 대책에만 주력해도 효과는 크지 않게 된다.
 
그렇다고 해서 모든 위협에 대한 대책을 실시하는 것은 시간과 비용면에서 생각해보면 결코 현실적이라고 말할 수 없다. 그래서 중요한 것은 우선 순위를 정해서 대응해 나가는 것이다. 앞에서 설명한 경향에서 생각해보면 먼저 원격에서의 침입을 막는 것이 중요하다. 데이터 누설, 침해조사보고서에 있는 차트 등을 참고로 공격자의 경향을 검토하면서 효율적으로 대책을 준비하는 것이 중요하다.(Nikkei. 2012.09.06)　
[출처] 정보누설에 사용되는 맬웨어의 95%는 감염에 의한 것이 아니라 범죄자에 의한 설치
 
[글. 박춘식 서울여자대학교 정보보호학과 교수]