예전에는 취약점이 발견되면 즉각 보안 커뮤니티에 공개되고 자신의 실력을 자랑하던 해커들이 음지로 숨어들면서 자신만이 찾아낸 취약점 정보로 거래를 하려는 경향이 나타나고 있다.
이같은 내용은 시만텍이 발표한 인터넷 보안 위협 보고서 Vol.9에서 지적된 내용이다. 이 보고서는 시만텍이 매 6개월마다 조사해 발표하는 것으로 오늘 발표된 내용은 지난 2005년 7월 1일부터 12월 31일까지의 보안 위협 동향을 다루고 있다.
악성코드는 '범죄 도구'
이번 보고서에서 가장 주목되는 내용은 사이버 범죄를 위한 보안 위협이 대폭 증가했다는 점. 최근의 사이버 범죄들은 컴퓨터 및 인터넷 구성요소를 활용한 소프트웨어를 이용한다는 것이 특징이다.
보고서는 "공격자들은 이제 방화벽, 라우터 등의 전통적인 경계 보안 장비를 대상으로 한 다양한 목적을 가진 대량 공격 유형에서 벗어나고 있다"고 지적하고 "공격자들은 국지적 대상, 웹 애플리케이션, 데스크톱 등을 공격해 개인 금융 및 중요 정보를 얻어내려고 하며, 이를 통해 금전적인 이득을 노린 사이버 범죄 행위를 저지르게 된다"고 기술했다.
또한 기존의 위협들이 복합적인 위협으로 피해 범위가 광범위하고 무차별적인 공격을 행했던 것에 반해, 이제는 "조용하고 추적이 어려우며 매우 집중화된 공격이 주를 이루고 있다"고 보고서는 평가했다. 즉, 전통적인 위협이 데이터의 파괴 등을 목적으로 했다면 이제는 데이터를 빼내 금전적인 이득을 얻으려 하는 '사기', '절도' 등의 지능 범죄적 성격을 갖추게 된 셈이다.
보고서는 중요한 정보를 유출할 수 있는 악성 코드 위협이 상위 50개의 악성 코드 샘플 중 80%를 차지, 지난 보고서의 74%에 비해 크게 증가했다. 이러한 현상은 마이톱(Mytob) 변종에 대한 보고가 증가한 것이 주요 원인이라고 보고서는 분석했다. 이러한 위협은 공격자들이 사용자의 키보드 입력 내용을 파악하거나 임시 저장된(캐시된) 비밀번호나 다운로드 파일 등을 감염 컴퓨터에서 빼낼 수 있도록 돕는 역할을 한다.
또한 최근의 악성 코드들은 모듈형(조립식) 방식을 택해 작은 데이터만을 숨겨 놓은 채 추가 프로그램이나 악성 코드를 필요에 의해 다운로드하는 추세다. 실제로 보고서에서 조사 기간 6개월 동안 모듈형 악성 코드는 악성 코드 샘플 상위 50개 중에서 88%를 차지했으며 지난 보고서 통계인 77%에 비해 11%포인트 증가한 것으로 나타났다. 이러한 모듈형 악성 코드 역시 사용자의 정보를 빼내기 위한 다양한 시도를 하려고 만든 것으로 필요에 따라 키워드 값만 훔치거나 데이터만 훔치는 등의 특정 모듈을 활용하는 것이 가능해진 것이다.
속이고, 훔치고, 숨기고, 가로채고, '취약점 거래까지'
아예 대놓고 가짜 금융 사이트를 만들어 놓고 사용자를 유인해 진짜로 오인하게 만들어 개인정보를 입력하면 이를 가로채는 이른바 '피싱(Phising) 위협도 급격하게 늘고 있는 것으로 나타났다. 보고서의 조사 기간 동안 피싱 공격은 평균 119개의 이메일 메시지마다 하나씩 발견됐으며 이는 대략 하루에 평균 792만번의 피싱 공격이 일어나는 것이라고 시만텍 관계자는 설명했다.
이러한 범죄적인 성격을 갖춘 프로그램 유통과 더불어 취약점을 발견하고 이를 공개하기 전에 중요한 취약점 정보를 놓고 해당 기업과 거래하려는 '암시장'이 꿈틀거리고 있다고 시만텍 관계자는 전했다.
시만텍 제품기술본부 윤광택 차장은 "예전의 해커는 자신의 명성을 알리기 위한 방식으로 취약점을 공개해왔지만 최근에는 중요한 취약점을 발견했을 경우 이에 대한 정보를 이용하려는 기업과 거래한다거나 해당 취약점으로 인한 피해를 입을 수 있는 기업과 협상하는 용도로 취약점 정보를 이용하는 사례가 있다"고 말했다.
시만텍은 공격자들이 자신의 공격을 널리 알리는 방식보다 조용히 공격을 수행하면서 필요한 정보만 빼내가는 식의 '정밀 해킹' 방식이 선호되고 있으면 거의 모든 동기가 '금전적 이득'이라고 강조한다.
시만텍 보고서는 "범죄적 악용을 위한 취약점 정보 구매나 암시장이 성장함에 따라 상업회된 취약점 연구가 늘어날 것"으로 전망했다. ⓢ