㈜이스트소프트(047560)는 새해에 새롭게 나타날 수 있는 보안 위협과 동향을 예측한 “2011년 보안 위협 전망” 자료를 3일 발표했다.

2011년에는 ▷대중화된 스마트폰 서비스를 이용한 보안 위협 ▷무선랜의 대량 보급으로 새로운 위협 발생 ▷고도화된 악성코드의 공격 지속 ▷윈도우 7의 보급 확대로 인한 64비트 악성코드의 전환점 ▷사이버 범죄 그룹의 표적화 공격이 증가될 것으로 전망됐다.

▶대중화된 스마트폰 서비스를 이용한 보안 위협= 국내 스마트 폰 사용자가 올해 말 600만을 돌파하였으며, 내년에는 1,500~1,800만 명의 스마트폰 사용자가 생겨날 것으로 예측되고 있다. 특히 국내 스마트폰 OS 중에서 구글 안드로이드의 점유율(58.6%, 353만명)이 절대적으로 높게 나타난 가운데 안드로이드를 기반으로 한 악성코드가 2010년 최초로 발견되었고, 국내 백신 회사들을 중심으로 안드로이드 백신이 연이어 출시되었다. 2011년에는 스마트폰 대중화 추세와 국내에 독보적인 안드로이드 OS의 점유율, 안드로이드의 앱(App) 설치 및 배포 특성을 고려했을 때 안드로이드 OS에 대한 악성코드 유포가 크게 늘어날 것으로 예측되며, 안드로이드 OS 기반의 태블릿 PC, 구글TV 같은 셋톱박스 등으로 악성코드의 활동 범위가 늘어날 수 있다.

▶무선랜의 대량 보급으로 새로운 위협 발생= 국내 495만대에 Access Point 중 일반 개인이나 기업이 설치한 사설 무선 AP가 절반에 가깝다는 통계가 발표되었다. 대다수 사설 무선 AP는 상용 AP에 비해 상대적으로 보안이 취약한 상태로 운영되고 있으며, AP 패스워드가 아예 없거나 공장 초기 값, 취약한 암호화 알고리즘을 사용(WEP)하는 경우가 많다. 취약한 무선 AP를 통한 예상 공격 방법으로는 무선 AP의 직접적인 취약점을 이용하여 해킹이나 DDoS 수행, 무선 AP에 연결된 클라이언트들의 공격 및 악성코드 감염 등을 대표적으로 꼽을 수 있다.

▶고도화된 악성코드의 공격 지속= 2011년에도 주로 MS Internet Explorer와 Adobe Acrobat 제품을 대상으로 한 제로데이 취약점 공격이 계속 이어질 것으로 보여지며, 홈페이지 해킹과 변조 이외에도 SNS(트위터, 페이스북 등)의 단축 URL 서비스를 통한 악성코드 유포 방식이 대세를 이룰 것으로 예측되고 있다. 또한, 악성코드가 PC에 설치된 백신과 보안 제품을 무력화시키고, 백신으로부터 탐지와 제거를 회피하기 위해 악성코드의 자가보호나 루트킷(Rootkit) 기법을 이용한 은폐기법, 바이러스 분석가들의 분석을 방해하는 기술(가상 PC에서의 동작 여부 확인이나, 분석도구의 강제 종료 등) 또한 계속 발전할 것이다. 악성코드의 백신 무력화 기법의 하나로 최신 엔진 업데이트의 방해(hosts 파일 변조, 백신 업데이트 프로세스의 실행 차단, 보안 회사 홈페이지의 해킹 및 변조 혹은 업데이트 서버에 대한 DDoS 공격)가 주로 사용되고 있으며, 2011년에 이 기술이 중국의 악성코드 제작자들을 중심으로 더욱 일반화될 것이다. 최근에는 바이러스 토탈(VirusTotal)이나 VirScan 같은 멀티 스캐너 사이트를 통해 미리 악성코드가 백신에 진단되는지 확인하고, 진단되지 않는 경우에 최종적으로 악성코드를 유포하는 사례들이 나타나고 있으며(심지어 전문 악성코드 제작자를 대상으로 한 백신 진단 유료 서비스도 존재한다) 앞으로 사전 방역 기능이 지원되지 않는 백신은 신종 악성코드에 대한 진단과 대응이 더욱 어려울 것으로 전망된다.

▶윈도우 7의 보급 확대로 인한 64비트 악성코드의 전환점= 64bit CPU 보급과 함께 대표적인 64bit PC OS인 윈도우7의 도입 속도가 빠르게 증가하면서 본격적인 64bit 컴퓨팅 시대로 옮겨가고 있으며, 이에 악성코드도 64bit 환경에서 동작하도록 진화하고 있다. Microsoft의 자료에 의하면 2010년 전세계 Windows 7 OS 시장에서 64bit 모드(64bit mode)가 차지하는 비율이 46%에 달하는 것으로 나타났으며, 이는 이전 버전인 Windows Vista와 비교했을 때 4배 이상 급성장한 수치이다. 2010년에 하드디스크 MBR까지 감염되는 Alureon 악성코드가 64bit CPU 및 OS 환경에서 작동하도록 새롭게 업그레이드 되었으며, Shruggle, Rugrat도 64bit 환경에서 동작하는 대표적인 악성코드로 유명하다. Microsoft는 이미 Windows 2008 Server R2 버전부터 64bit 전용 OS만 출시하고 있으며, 앞으로 32bit OS의 비중을 점진적으로 감소시킬 것으로 예측되는 만큼 64bit 환경에 완전히 적응한 악성코드들이 내년에 점차 늘어날 것으로 전망 된다.

▶사이버 범죄 그룹의 표적화 공격 증가= 주로 해외의 인터넷 뱅킹 계정 정보를 빼내는 제우스(Zeus or Zbot) 계열 악성코드나 온라인 게임 계정 해킹 같은 형태로 금전적 이득을 얻는 사이버 범죄 집단이 계속 성장할 것이다. 제우스의 경우 새로운 C&C(Command & Control) 서버와 전파 목적의 스팸메일, 변종 악성코드 샘플이 계속 발견되고 있으며, 제우스 봇넷(Botnet)을 구성할 수 있는 종합 툴킷(Tool Kit)들이 지하 경제에서 3000달러~5000달러 사이의 가격대로 거래되고 있다. 또한, 간단한 설정으로 다양한 변종을 만들 수 있는 빌더(Builder)와 감염(좀비) PC에서 실행되는 봇(bot), 대량의 감염 PC들을 중앙에서 관리할 수 있는 C&C 역할의 컨트롤 패널 (Control Panel)으로 각자의 영역이 세분화되어 있어 해커는 쉽게 제우스 변종을 유포하고 좀비 PC들을 중앙에서 편안하게 관리할 수 있다. 게다가 덤으로 인터넷 뱅킹의 계정 정보를 빼내 불법적인 계좌 이체까지 가능하다. 최근 중국에서 제작되는 대부분의 악성코드들은 국내 온라인 게임들을 목표로 하고 있으며, PC에 감염되면 온라인 게임에 접속할 때 계정 정보를 유출시키는 역할을 한다. 2010년에 크게 유행했던 ARP Spoofing 공격 관련 악성코드는 사실 국내 온라인 게임의 계정 유출을 주된 목적으로 제작된 것이 특징이다. 국내 온라인 게임의 아이템들은 게임 유저들간의 매매를 통해 이미 현금화 할 수 있는 좋은 수단으로 잘 알려져 있으며, 중국 해커들도 게임 아이템 거래로 금전적 이득을 얻기 위해 더욱 조직화되고 전문화되는 양상을 보이고 있다. 중국 이외의 러시아에서 제작된 악성코드들의 경우 상당수가 금전적 목적을 위해 활동하고 있지만 다행히 현재까지 국내에 별다른 영향을 끼치지 않았다. 러시아 악성코드 제작자들은 중국 이상으로 세련된(?) 악성코드 제작 기술을 선보이고 있지만, 아직까지 우리나라를 주된 목표로 생각하지 않는 것으로 보인다. 하지만 이들이 국내 인터넷 환경을 주목한다면 강력한 악성코드들을 무기로 중국에 못지 않은 피해를 발생시킬 수 있다고 생각된다.

<정순식 기자 @sunheraldbiz> sun@heraldcorp.com