2008년 한해는 예전에 비해 엄청난 양의 악성코드가 출현한 해로 볼 수 있겠다. 물론 매년 발견되는 악성코드의 숫자는 증가하였지만 2008년의 경우 증가폭이 상상하지 못할 정도로 늘어났다. 이 현상이 2008년으로 끝나기를 바랬지만 보름이 지난 2009년에도 그 추세가 이어질뿐 아니라 오히려 악성코드의 출현이 더욱더 가속화 될 것으로 보인다.
과거 악성코드의 변천을 보면 몇가지 흐름을 찾아볼 수 있다. 흥미로운 점은 악성코드의 흐름이 5년 주기로 변화를 하고 있다는 점이다. 1986년 도스시절의 컴퓨터바이러스가 1995년까지 맹위를 떨쳤고, 윈도우95가 발표되면서 일부 윈도우용 악성코드가 피해를 입혔지만 2000년 지나면서 바이러스보다는 웜의 피해가 있었고, Web 2.0시대를 예고라도 하듯이 그 환경과 어울려 트로이목마가 피해를 주고 있는 실정이다. 지금은 각 악성코드별로 영역조차 구분하기 힘들 정도로 복합적인 면을 보이고 있기는 하지만 그 시대에 가장 많이 쓰는 플랫폼, 감염 즉 공격하기 쉬운 형태의 대표적인 악성코드가 유행한다고 이해하면 될 것이다.
그림1) 악성코드의 변천
매년 보안위협에 대한 전망을 하는 이유는 IT 보안 산업에 일하면서 IT위협요소를 알려주고 보안 위협이 어떻게 발전하고 있는지, 우리는 어떤 대응을 준비해야 하는지,IT위협에 대해 정확하게 인식하고 함께 대처해 나가자는 취지이다. 지금의 상황이 혼자의 힘으로 대처해 나가기 어려운 환경이기 때문에 정부와 개인, 기업의 적극적인 투자와 참여가 필요하며 보안의식 제고에 대한 공감대가 필요할 것이다.
안철수연구소가 2008년 말에 발표한 10대 보안 이슈 중에서 몇 가지를 언급하면 다음과 같다.
1) 악성코드가 기하급수적으로 증가했고 지금도 증가하고 있다.
몇 년 전부터 악성코드의 제작 목적이 돈과 관련되는 특성을 보였기 때문에 금전적인 목적을 위해서(실제로 금전적인 소득이 많다고 함) 더 조직적으로 움직이게 되었고, 또한 불특정 다수를 공격하기 보다는 특정 타켓을 정해놓고 공격하는 형태가 늘고 있기 때문에 90년대 초처럼 다시 국지적인 특성이 나타났다. 타겟 공격을 하기 위해서는 같은 악성코드로 공격하지 않고 다른 악성코드를 사용해야 했기 때문에 변종이 늘어날 수 밖에 없었으며 이런 변종을 쉽게 제작할 수 있도록 툴 등이 제작되고 있으며 거래되고 있다. 이런 이유로 전세계적으로 엄청난 숫자의 악성코드가 발견되고 있다.
2) 개인정보 유출 위험이 지속되고 있다.
앞에서도 이야기했듯이 악성코드 제작 동기가 돈을 목적으로 하기 때문에 상당히 많은 악성코드가 개인정보 유출과 관련이 있다. 2008년 ASEC Report자료에 의하면 웹사이트 로그인 계정 정보, 온라인 계정 정보등을 훔치는 트로이목마가 악성코드의 75%를 차지할 만큼 많았다. 또한 대형 개인정보 유출 사고가 연이어 발생했었고 그 결과 보이스 피싱, 스팸 메일 발송 등에 이용돼 2차 피해를 당하고 있는 것으로 추정되고 있다. 악성코드 제작자는 개인정보를 훔치기 위한 방법으로 공공기관을 사칭하는 첨부 파일을 메일로 보내거나 메신저나 쪽지함을 이용하여 악성코드 링크가 포함된 URL을 보내는 등 사회공학적 기법 또한 지능화되어 클릭할 확률을 높이고 있다.
3) 스파이웨어 및 가짜백신 피해가 커지고 있다.
2008년에 또 하나의 특징은 외산 가짜 백신의 피해가 전세계적으로 발생하였고 2009년 들어 가짜 백신도 업그레이드되어 피해가 늘어가고 있다. 해킹된 웹사이트를 통해 배포하거나, 다른 악성코드를 통해 배포하거나, 사용자로 하여금 허위 결과를 보여주어 설치를 유도하는 방법 등 더욱 다양해지고 지능화되고 있다. 또 다른 특징은 국산이 상대적으로 수치가 감소하는 것으로 보이지만 실체를 보면 더 큰 문제로 인한 결과임을 알 수 있다. 스파이웨어로 규정되지 않기 위해 사용자 동의는 받지만 알고보면 불공정 약관을 이용하는 등 보다 교묘한 방법을 사용하기 때문이다. 수치상으로는 줄고 있지만 사용자들의 피해는 늘어나고 있는 현실이다.
4) 웹이나 취약점을 이용하여 공격하고 있다.
2008년에는 SQL 인젝션 등 웹 공격이 극심했는데 해킹된 사이트를 통해 악성코드를 유포하거나 경유지로 이용된 수치가 2007년 대비 1.7배에 달할 정도로 웹이 감염 경로로 이용되었다. 또한 이 공격은 2009년에도 지속될 것으로 전망된다. 취약점을 이용한 공격은 MS사에서 발표한 보안 패치를 보면 2008년도 늘어났다는 것을 알 수 있다. MS사 뿐만 아니라 플래쉬 플레이어 취약점, PDF리더 프로그램의 보안 취약점을 악용한 공격 역시 다수 발생했다.
2008년 악성코드 동향에 이어 2009년 전망을 말하고자 한다. 2009년 보안 이슈는 안철수연구소에서 2009년 초에 보도자료를 통해 배포하였지만 여기서는 몇 가지만 언급하고자 하며 2008년과 많이 중복된 공격 형태들이 많음을 알 수 있을 것이다.
1) 악성코드 숫자의 압박
매년 악성코드의 기하급수적 증가가 추세가 되었듯이 2009년에도 증가 추세는 변함이 없을 것이다. 하나의 악성코드만으로 피해를 주는 것이 아니라 수시로 변종이 다운로드되고 백신 업데이트보다도 더 빨리 변종으로 진화하는 형태로 발전하고 있다. 2009년에도 악성코드는 다양해지고 있고 더 많은 변종의 출현이 1월 중순인 지금 벌써 현실화되고 있다.
2) 취약점을 이용한 공격과 웹 해킹을 통한 악성코드 배포
2008년 하반기에 MS08-067과 MS08-078 취약점을 이용한 제로데이 공격이 큰 파장을 일으킨 것처럼 2009년의 공격형태도 대중적인 소프트웨어의 취약점이 목표물이 될 것이다. 그리고 공격하는 악성코드는 자동화된 공격 도구와 결합하여 누구나 쉽게 만들 수 있고 공격할 수 있도록 진화되고 있다. 또한 트로이목마의 공격이 웹 해킹과 밀접한 관계가 있기 때문에 다른 공격 형태가 나타나기 전까지는 밀월관계가 지속될 것이다. 보안에 취약한 웹 서버들이 없어질 때까지…
3) 모바일 악성코드의 피해 가능성
국내는 위피(WIPI, 한국형 무선인터넷 플랫폼)라는 장벽(?)이 있었기 때문에 세계적으로 대중화된 모바일 악성코드로부터 안전할 수 있었지만 2009년에 그 장벽이 없어진다고 한다. 또한 스마트폰이 유행하게 될 것이기 때문에 모바일 악성코드의 피해가 현실화될 것이라는 것은 누구라도 예상할 수 있을 것이다. 안타깝지만 아이폰이나 구글폰에서 벌써 취약점을 이용하거나 비정상 동작을 유발하는 해킹이 등장했기 때문에 악성코드가 만들어질 환경은 이미 준비되어 있다고 봐야 되며 그 발견 시기만을 기다리는 신세가 되었다.
4) 봇넷의 발전
봇넷이 예전보다 감소한 것은 사실이다. 그러나 계속 나름대로 진화하고 있다. 봇넷을 통해서 가짜 백신의 설치 링크가 포함된 메일이 유포되어 엄청난 피해를 주었다. 그리고 다른 많은 악성코드도 이 봇넷을 통해서 배포되었으며 DDoS 공격 등 그 활용도는 무궁무진한 것 역시 사실이다. 때문에 2009년에는 또 다른 형태로 발전하여 피해를 입힐 것임이 분명하다. 또한 가상화와 보안이라는 단어가 2008년에 많이 회자되었는데 2009년에는 가상화를 이용한 공격이 악성코드의 공격에도 활용될 것이며 방어적인 입장에서도 가상화와 밀접하게 연구가 진행될 것이다.
5) 메신저, SNS, 메일계정 탈취
요즘 돈이 되고 많은 사람이 사용하는 것이라면 보안 위협이 존재한다고 봐야 한다. 특히 SNS를 통해서 많은 개인 정보를 얻을 수 있기 때문에 악성코드 제작자들은 매우 관심이 있을 것이다. 스피어 피싱 공격이나 스팸, 광고성 댓글 등을 통한 악성코드 유포로 계정 정보를 얻기 위해서 공격을 할 것이고 거기서 얻은 개인정보로 2차 사기성 범죄들이 예상된다.
2009년의 전망을 언급하면서 최근의 보안 위협은 새로운 IT환경이 등장하거나 대중화되는 시점에는 해커들의 공격 타겟이 되며 2003년부터는 감염자가 피해자가 되는 추세이기 때문에 IT와 관련된 모든 사람들의 보안 의식 고도화가 필수이다. 또한 공격 형태가 단순하지 않고 복잡한 기법들을 혼합하여 공격하며 불특정 다수보다는 특정 대상을 겨냥한 국지성 공격이 많기 때문에 보안 전문 업체의 역할이 더욱 중요한 시점이며 보안업체는 전문적이고 체계적인 대응 조직을 고도화해야 할 것이며 일반 기업에서는 안전에 필요한 최소한의 노력과 투자가 필요하다는 인식을 함께 해야 할 것이다.@
| 
