JxJ

트렌드 마이크로(Trend Micro)에서 2011년 발생 할 수 있는 보안 위협들에 대해 정리한 Trend Micro 2011 Threat Predictions 을 공개하였다. 그리고 이와 함께 2 페이지 분량의 별도 보고서인 "TREND MICRO THREAT PREDICTIONS FOR 2011"도 작성하였다.

링크 : http://www.bloter.net/archives/44946

올 한해 동안이 보안 위협이 주요 흐름들은 어떠했을까?

안철수연구소가 이를 분석해 ‘2010년 10대 보안 위협 트렌드’를 발표했다. 이에 따르면 올 한 해를 주요 이슈는 사회 기반 시설 노린 스턱스넷, 사이버 전쟁의 서막과 스마트폰 보안 위협의 현실화가 뽑혔고 그 뒤를 정보의 허브 SNS, 악성코드의 허브로 악용, 분산서비스거부공격(DDoS) 공격용 악성코드의 변종 등장, 국제적 이슈 악용한 사회공학 기법 만연, 악성코드 배포 방식의 지능화, 제로데이 취약점, 악성코드가 한 발 먼저 악용, 개인 정보 노출의 2차 피해, 돈 노린 피싱의 다양화, 금전 노린 악성코드에 ‘한류’ 열풍, 온라인 게임 해킹 툴 급증 등이었다.

1.   사회 기반 시설 노린 스턱스넷, 사이버 전쟁의 서막
사회 기반 시설 자체가 공격 대상이 될 수 있음을 증명한 ‘스턱스넷(Stuxnet)’ 악성코드가 올해 최대 이슈 중 하나였다. 스턱스넷은 교통, 전기, 수도, 발전소와 같은 사회 기반 시설의 제어 시스템(PCS; Process Control System)을 감염시켜 오작동을 유발한다. 실제로 이란 원전 시설에서 원심분리기의 오작동이 발생한 바 있다. 지금까지 이런 시스템은 외부와 단절된 폐쇄망 안에 있기 때문에 안전하다고 간주되었으나, 이제는 적극적인 보안 대책이 필요하다는 것을 경고한 사건이었다. 또한, 의도적으로 이란 원전을 노렸다는 의혹이 제기됨에 따라 스턱스넷의 출현은 사실상 ‘사이버 전쟁의 서막’으로 인식되었다.

2.   스마트폰 보안 위협의 현실화
스마트폰의 급속한 보급에 따라 스마트폰 보안 위협 또한 급증했다. 배경화면 변경, 동영상 플레이어, 유명 게임, 고전 게임 등 대중적인 애플리케이션으로 위장한 악성코드가 다수 발견됐다. 주요 증상은 스마트폰 기기 정보와 사용자 정보를 외부로 유출하는 것부터 유료 문자를 임의 발신해 금전적 피해를 주는 것까지 다양하다. 이월스(Ewalls), SMS센드(SmsSend), 스네이크(Snake), SMS리플리케이터(SMSReplicator), 모바일포넥스(Mobilefonex) 등이 대표적이다. 또한 스마트폰 운영체제나 웹 브라우저 등의 취약점이 발견되고, 이 취약점을 이용해 관리자 권한을 획득하는 툴이 공개되기도 했다. 그런가 하면 스마트폰 내부의 개인 정보를 유출하고 사생활을 감시하는 상용 스파이웨어가 버젓이 판매되기도 한다. 상용 스파이웨어는 사용자가 악의적인 기능이 있으리라 짐작하기 어려우므로 피해가 지속될 수밖에 없다.

3.   정보의 허브 SNS, 악성코드의 허브로 악용
올해는 SNS가 악성코드의 플랫폼으로 본격 악용되기 시작한 해이다. 트위터와 페이스북 등 ‘정보의 허브’의 역할까지 하는 SNS(소셜 네트워크 서비스)가 악성코드 유포의 경로로 악용되는 역기능이 나타났다. 대량의 스팸 메일을 발송하는 브레도랩(Win32/Bredolab)은 트위터, 페이스북에서 발송하는 이메일로 위장해 악성코드 유포 사이트로 접속하게 하며, 변종이 지속적으로 제작됐다. 또한 트위터의 다이렉트 메시지(DM, Direct Message)로 피싱 사이트 URL을 유포하는 사례, 페이스북의 채팅 창이나 쪽지로 악성코드 유포 사이트의 단축 URL을 전송하는 경우, 페이스북에 설치되는 애플리케이션(앱) 형태의 악성코드 등 다양한 형태가 발견됐다. 또한 트위터나 미투데이를 봇넷 조정용 C&C(명령 및 제어) 서버로 악용하는 악성코드도 등장했다.

4.   DDoS 공격용 악성코드의 변종 등장
2010년에도 좀비 PC를 이용한 크고 작은 DDoS 공격이 이어졌다. 좀비 PC를 만들어내는 대표적 악성코드인 팔레보(Win32/Palevo.worm)는 2009년 초부터 본격적으로 활동했고, 2010년에는 다양한 변종으로 크게 확산됐다. 팔레보는 C&C 서버로부터 공격 명령을 받아 자신을 전파하거나 혹은 원격지의 타깃 시스템을 공격해 또 다른 좀비 PC를 만든다.

5.   국제적 이슈 악용한 사회공학 기법 만연
2010년에는 사회공학기법에 이용될 만한 사회적 이슈가 많았기 때문에 이를 악용한 악성코드 유포가 많았다. SEO(Search Engine Optimization, 검색 엔진 최적화) 기법, 이메일, 파일 공유 사이트를 이용해 유포돼 피해가 확산됐다. 동계 올림픽, 월드컵, 아시안게임 등의 국제 스포츠 대회를 비롯해 아이티 지진, G20, 노벨 평화상 시상식 관련 문구로 사용자를 현혹했다. 이 밖에도 유튜브, 신용카드사, 온라인 쇼핑몰, 경찰청에서 보낸 메일로 위장해 악성코드 설치를 유도하는 메일도 다수 발견됐으며, 국내 유명 포털 사이트의 디지털 서명 인증서를 도용해 액티브X 형태로 설치되는 악성코드도 등장했다.

6.   악성코드 배포 방식의 지능화
ARP 스푸핑(Spoofing) 공격(보충 설명), 스팸 차단 회피, 유명 소프트웨어 모방 등 악성코드 배포 방식이 더 교묘해졌다. 2007년에 많았던 ARP 스푸핑 공격이 올해 다시 많아졌으며, 스팸 차단 제품의 탐지를 회피하기 메일 본문을 텍스트가 아닌 이미지로 처리한 악성코드가 다수 있었다. 이런 악성코드는 주로 DHL, UPS, FedEx 등 유명 운송 회사를 사칭했다. 또한 윈도우나 플래시 플레이어 등 유명 소프트웨어의 업데이트 사이트와 유사하게 만든 악성코드 사례도 있었다.

가짜 백신의 경우 사용 중인 윈도우와 동일한 언어로 동작해 사용자가 의심하지 않도록 제작됐거나, 설치되면 웹 브라우저와 가짜 백신을 제외한 모든 프로그램의 실행을 차단하고 유료 치료를 요구하는 등 지능적인 방법이 등장했다.

이 밖에 보안 소프트웨어의 진단을 회피하는 악성코드도 대거 제작됐다. 2009년에 등장한 TDL3는 보안 소프트웨어가 접근하지 않는 디스크 영역에 자신을 암호화해 저장하고 부팅 시점부터 동작한다. 최근 이 악성코드의 64비트 윈도우용 변형이 제작됐다. 은폐 기법을 사용해 자신을 숨기고 계속 변형을 만들어내 보안 소프트웨어가 진단/치료하기 어렵게 한다. 또한 크랩루트킷(Win-Trojan/KrapRootkit)은 자신이 진단/삭제되지 않도록 자기보호 기능을 갖고 있다. 메모리 진단/치료를 하지 않으면 계속 피해를 주는 팔레보(Palevo)와 지봇(ZBot) 또한 2009년에 이어 올해도 기승을 부렸다.

7.   제로데이 취약점, 악성코드가 한 발 먼저 악용
예년과 같이 어도비사의 어도비 리더, 플래시 플레이어와 MS사의 인터넷 익스플로러에서 다수의 제로데이 취약점이 보고되었다. 과거에는 제로데이(Zero-day) 취약점이 취약점 공개 사이트에 사전에 알려지는 경우가 일반적이었으나 최근에는 악성코드에 이미 이용됐거나 침해 사고가 발생한 후에 뒤늦게 파악되는 경우가 많아 그 위험성이 더욱 높아지고 있다.

8.   개인 정보 노출의 2차 피해, 돈 노린 피싱의 다양화
돈을 노린 피싱은 이제 사회 문제가 되었다. 피싱 메일을 비롯해 보이스 피싱, 메신저 피싱까지 다양한 경로로 시도된다. 또한 간단한 클릭 몇 번으로 실제 웹사이트와 구분이 안 될 정도로 정교하게 피싱 사이트를 제작할 수 있는 툴이 사이버 암시장에서 거래되는 실정이다. 특히 올해는 SNS의 활성화로 개인 정보 수집이 더 용이해져 피싱의 위협에 더 쉽게 노출되게 되었다.

9.   금전 노린 악성코드에 ‘한류’ 열풍
2009년까지는 금전을 노린 악성코드의 경우 국산의 비중이 극히 적었다. 하지만 올해는 하루에도 수천 개가 발견된 한편, 보안 소프트웨어의 진단을 회피하거나 진단되는 시간을 최대한 지연시켜 수익을 극대화하기 위한 지능적인 시도도 나타났다.

10. 온라인 게임 해킹 툴 급증
온라인 게임 해킹 툴은 비정상적인 방법으로 메모리, 게임 파일, 서버 등에 접근하여 데이터 등을 변조함으로써 게임 플레이를 불공정하게 이끄는 오토 플레이, 메모리 조작 등의 해킹 툴을 의미한다. 2010년 12월 2주까지 접수된 해킹 툴 건수는 총 4천 268건으로 2009년 2천 225건보다 약 91% 증가했다. 해킹 유형 별로는 국내에서는 오토플레이가, 북미와 중국에서는 메모리 조작이 급증했다. 오토플레이는 올해 1358건으로 전년 대비 약 95% 증가했고, 메모리 조작은 2709건으로 전년 대비 약 154% 증가했다.

안철수연구소 시큐리티대응센터 전성학 실장은 “스마트폰, SNS 등 사용자의 관심이 쏠리는 곳에 악성코드도 도사리고 있다고 볼 수 있다. 갈수록 교묘해지는 공격 기법과 유포 방식에 대응하기 위해 전문적이고 체계적인 보안 관리와 서비스가 중요하다.”라고 강조했다.

<보충설명-ARP 스푸핑 공격>

ARP 스푸핑 공격이란 통신 장비 간의 패킷을 가로채기(스니핑)한 후 ARP(Address Resolution Protocol; 주소 결정 프로토콜) 패킷을 조작하는 것이다. 이를 통해 웹사이트(HTTP 트래픽)에 아이프레임(iframe; HTML 문서에서 글 중의 임의 위치에 또 다른 HTML 문서를 보여주는 내부 프레임(inline frame) 태그)을 삽입해 악성코드를 유포한다. 한 PC가 이 공격을 받아 악성코드에 감염되면 동일 네트워크의 다른 PC에 악성코드가 빠르게 확산된다. 따라서 개인뿐 아니라 기업/기관에도 피해가 크다.

ref : http://blog.naver.com/santalsm/110052657769

제안서 작업할때 우왕 굳!!~

ppcore-mong.a00

ppcore-mong.alz

ref : http://www.boannews.com/media/view.asp?page=1&gpage=1&idx=19227&search=&find=&kind=0

VoIP 보안

최근 한 별정 인터넷전화 사업자의 교환장비가 해킹당해 1억원 이상의 피해를 입은 사고가 언론을 통해 보도되었다. 이번 사고는 그동안 잠재적인 보안위협으로 여겨졌던 인터넷전화 해킹이 현실이 된 사례로 600만 인터넷전화 시대에 사업자, 개인에게 보안에 대한 경각심을 일깨우는 계기가 되었다.

국내 인터넷전화는 2001년 소프트 폰 기반의 다이얼패드 서비스를 시작으로 초고속인터넷 보급 확산, 번호이동성제도 시행(2008년 10월) 등 사업자와 정부의 통화품질 및 제도개선 노력으로 인해 사용자가 급속히 증가하고 있다. 인터넷전화는 2010년 1,000만 가입자를 넘어서 기존 PSTN 방식의 유선전화 시장의 절반 가량을 차지할 것으로 예상되어 이제 우리 일상생활에 빠질 수 없는 보편적 서비스로 자리매김하고 있다.

인터넷전화는 인터넷망을 기반으로 음성 및 영상통화를 제공하는 서비스이다. 인터넷망을 기반으로 하고 있어 가입자간 무료통화 등 기존 PSTN 전화에 비해 통신비용이 저렴하고 영상통화, 문자서비스 등 다양한 부가서비스를 제공할 수 있다. 하지만 이러한 장점과 함께 인터넷이 가지고 있는 보안 위협을 고스란히 가지고 있다는 점도 간과해서는 안된다.

인터넷전화기와 인터넷전화 교환장비는 컴퓨터와 마찬가지로 IP주소를 가지고 있고 인터넷을 통해 접근이 가능하다. 즉 보안이 허술한 인터넷전화 시스템은 기존 컴퓨터와 같이 해킹, 도청, DDoS 공격 등 다양한 공격위협에 직면할 수 있다. 최근 보도된 사고와 같이 관리자의 사소한 보안설정 실수는 기업에 수억원의 금전적 피해를 입힐 수도 있고 개인은 통화내용이 제3자에게 누출되어 생각지도 못한 프라이버시 침해를 당할 수도 있다.

보안위협의 심각성 인식하고 대처해야

다음과 같이 대표적인 인터넷전화 보안위협과 각 위협별 대책을 살펴보자.

첫째, 최근 언론에 보도된 사건과 같은 과금우회 공격을 예방하기 위해 교환장비의 보안설정이 필요하다.

War dialer(임의의 전화번호로 전화를 거는 장치)를 사용하여 취약한 전화시스템을 찾아내고 이를 해킹하여 무료 통화하는 프리킹(Phreaking)은 이미 오래전부터 알려진 고전적인 공격이다. 최근 인터넷전화 시스템에서 발생된 과금우회 공격도 프리킹의 일종으로 보아야 할 것이다.

인터넷전화는 기존 PSTN에 비해 장비들이 보다 컴퓨터 시스템에 가깝고 인터넷에 연결되어 있어 공격위협에 노출되어 있다. IP-PBX, 게이트웨이 장비 등 인터넷전화 교환장비들의 보안설정이 미흡할 경우 공격자는 인터넷전화망과 연결된 PSTN 백업 라인을 통해 국제전화를 무료로 사용할 수 있다. 이러한 인터넷전화 교환장비는 VoIP 사업자뿐만 아니라 구내에 인터넷전화를 사용하는 일반기업도 보유하고 있어 교환장비의 보안관리에 주의를 기울일 필요가 있다.

과금우회 공격을 차단하기 위해 다양한 방법이 있을 수 있지만 장비 출고시 설정되어 있는 기본 패스워드를 바꾸고 이를 주기적으로 변경해야 한다. 또한 교환장비에 인가된 사용자 및 장비로부터의 호처리 요청에 대해서만 응답할 수 있도록 접근제어 설정이 필요하다.

둘째, 개인의 프라이버시 보호를 위해 도청 공격을 차단해야 한다.

인터넷상에서 패킷을 스니핑할 수 있는 것과 마찬가지로 인터넷을 통해 전달되는 음성통화 내용도 도청이 가능하다. 물론 모든 환경에서 인터넷전화 도청이 가능한 것은 아니고 동일한 LAN 환경이어야 하고 MAC 인증이나 음성/데이터 망 분리가 되지 않는 등 보안조치가 미흡한 환경에서 가능하다. 또한 무선인터넷전화의 경우 무선 공유기의 패스워드를 설정하지 않거나 초기 설정된 기본 패스워드를 변경하지 않고 사용할 경우 도청 위협에 노출될 수 있다.

무선인터넷전화를 사용하는 일반 가정에서는 무선 공유기의 패스워드를 반드시 변경하여야 한다. 또한 기업에서는 인터넷전화기에 대한 MAC 인증을 하도록 하고 음성망과 데이터망을 VLAN 등을 이용하여 분리하는 것이 바람직하다. 장기적으로는 국제표준에 따른 VoIP 트래픽 암호화가 필요한데 행정인터넷전화에서는 이를 준수한 보안통신을 구축 중에 있으며 민간분야에서도 일반인들에게 보안통신 서비스를 제공하기 위한 협의를 하고 있다.

셋째, DDoS 등 인터넷전화에 특화된 해킹공격에 대비해야 한다. 인터넷전화는 전화통화라는 실시간 서비스를 제공하므로 언제든 통화가 되어야 하고 통화품질이 보장되어야 하는 등 가용성 보장이 필수적이다. 7.7 DDoS 사건의 경우와 같이 최근의 DDoS 공격은 네트워크 기반의 공격에서 응용계층의 공격으로 변화하고 있다. 인터넷전화에 대해서도 무작위로 대량의 전화를 거는 Call Bombing 공격 등 인터넷전화에 특화된 공격이 발생될 수 있다. 이러한 인터넷전화 대상 해킹공격을 탐지하고 차단하기 위해서는 인터넷전화 방화벽과 같은 인터넷전화 메시지 구문을 이해하고 분석하여 공격을 탐지할 수 있는 전용 보안장비가 필요하다.

국내 인터넷전화 가입자는 2010년에는 1,000만명을 돌파할 것으로 예상되고 스마트폰, FMC 폰(Fixed Mobile Convergence:무선랜(와이파이) 기술을 이용한 인터넷전화와 이동전화를 동시에 사용할 수 있는 서비스) 등 다양한 단말기를 통해서도 인터넷전화 서비스가 제공될 예정이다.

이처럼 인터넷전화는 이제 우리 생활 깊숙이 자리매김하고 있다. 반면 도청, 해킹 등 인터넷전화에 대한 보안 위협은 갈수록 현실화되어 가고 있다. 1,000만 인터넷전화 시대를 앞둔 시점에서 인터넷전화 보안에 대해 다시 한 번 생각하고 대책을 강화할 필요가 있을 듯 하다.

다행히 정부와 인터넷사업자들은 보안위협의 심각성에 대해 인식을 같이 하고 올해 '인터넷전화 정보보호협의회(가칭)' 구성, 인터넷전화 침해사고 모니터링 체계 구축, 영세 별정사업자 보안 기술지원 등 다양한 활동을 추진할 예정이다. 정부와 사업자가 협력하여 안전한 인터넷전화 서비스 환경을 구축해 해외에서도 벤치마킹할 수 있는 모델이 될 수 있기를 기대한다.

<글 : 정현철 한국인터넷진흥원 정보보호본부 보호기술팀장(hcjung@kisa.or.kr)>