IBM ‘X-Force 2011년 중반기 보안 동향 및 리스크 보고서’에 따르면 하이 프로파일(high-profile) 표적 공격, 모바일 취약점(Vulnerabilities) 증가, 개인 정보를 활용해 특정 인물에 맞춤 공격을 하는 웨일링(whaling)등 더욱 정교해진 위협으로 최근 보안 환경이 급변하고 있는 것으로 나타났다.
아울러, IBM은 여러 보안 문제에 대한 고객 지원을 강화하기 위해 북미와 유럽의 IBM 첨단보안연구협회에 이어 아시아 태평양 지역에 첨단보안연구협회(Institute for Advanced Security)를 개설한다고 발표했다.
IBM X-Force 팀은 수 천 IBM 고객들과 밀착해 광범위한 보안 공격 기술을 조사하고 보안 취약점이 알려지기 전에 방어 기술을 개발해 대처해 나가고 있다. X-Force 2011 중반기 동향 및 리스크 보고서는 일반에 공개된 취약점들에 대한 IBM의 조사와 매일 평균 120억 건에 이르는 보안 이벤트에 대해 2011년 초부터 모니터링하고 분석하여 수집한 정보에 기초하고 있다.
■모바일 익스플로잇(취약점 공격), 두 배로 증가
기업 네트워크에 개인 기기의 접근이 활발해지고 스마트폰 및 태블릿과 같은 모바일 디바이스로 일하는 모바일 오피스가 늘면서 새로운 보안 문제가 대두되고 있다. IBM X-Force팀은 이 보고서에서 디바이스에 영향을 미치는 보안 취약점이 꾸준히 증가하고 있다는 다양한 증거를 제시하고 있다. 그러면서 IBM은 기업의 IT 팀이 지속적으로 업무용 폰에 대한 안티-멀웨어 및 패치 관리 소프트웨어 채택을 지속적으로 확산시켜야 한다고 권고하고 있다. 주요 조사 결과는 다음과 같다
▲X-Force는 2011년에는 모바일 익스플로잇의 공개 건수가 2010년에 비해 2배가 될 것으로 전망했다. 또 모바일폰 회사들이 자사 디바이스에 대해 신속하게 보안 업데이트를 실시하지 않는 경향이 있다고 밝혔다.
▲모바일폰 사용자 수가 급격하게 증가하고 있으며 모바일폰을 겨냥한 악성 소프트웨어는 앱 마켓을 통해 종종 배포될 정도로 감염 방법이 간단하기 때문에 멀웨어 개발자들은 모바일을 주 공격 대상으로 삼고 있는 것으로 나타났다. 가령, 멀웨어 배포자들은 프리미엄 문자(SMS 메시징) 서비스를 만들어, 사용자들이 특정 번호를 문자로 발송하게 할 수 있다. 그러면 멀웨어는 감염된 전화기에서 그 프리미엄 번호로 문자 메시지를 발송한다.
▲부 모바일 멀웨어는 최종 사용자의 개인 정보를 수집하도록 고안되어 있다. 이러한 데이터는 피싱 공격이나 신분 도용에 쓰일 수 있다. 모바일 멀웨어는 대개 피해자의 사적인 통화 내용을 도청하고 GPS를 통해 추적할 수 있다.
IBM X-Force의 톰 크로스(Tom Cross) 위협 정보 관리자는 “과거 수 년 동안 언젠가 멀웨어가 최신 모바일 디바이스에 실질적인 문제로 대두될 것이라 예상해 왔는데 이제 본격적으로 위협적인 공격이 시작됐다”고 말했다.
■올 들어 보안 취약점 3배 증가
X-Force 팀은 올 들어 지금까지 중대한 취약점 비율이 3배 증가했다고 밝혔다. X-Force는 다수의 하이프로파일 공격과 네트워크 위험 노출이 금년 가장 눈에 띄게 발생했다는 점을 들며 새로 등장하는 위협을 다음과 같이 요약했다:
▲전략적인 정보를 수집하고자 하는 전문기술을 가진 공격자들이 팀을 이뤄 면밀한 계획을 짜고 은밀하고 정교한 기술을 결합해 중요한 컴퓨터 네트워크에 대한 접근 권한을 확보하고 유지한다. 이러한 공격자들을 흔히 APT(Advanced Persistent Threat, 지능형 지속 위협)라고 한다.
▲APT은 중요 데이터에 접근하기 위해 주요인물이나 기업 내의 고위직을 노리는 일종의 스피어 피싱인 웨일링에 대한 경각심을 높이고 있다. 이러한 표적 공격은 대상자의 온라인 프로파일을 면밀하게 조사해 그 정보를 바탕으로 피해자가 속아서 클릭할 수 밖에 없는 피싱 이메일을 작성하고 발송한다
▲순한 금전적 이득이 아닌 정치적 목적을 위해 웹 사이트와 컴퓨터 네트워크를 겨냥한 ‘핵티비스트(hacktivist)’ 그룹의 공격 또한 지속적으로 증가하고 있다. 핵티비스트 그룹들은 인터넷에서 가장 흔한 공격 기법인 SQL 인젝션과 같이 널리 알려진 기존의 공격 기법을 사용해 왔다.
▲익명 프록시는 3년 전 대비 그 수가 4배 이상으로 늘어났다. 익명 프록시는 사람들이 잠재적으로 악의적인 의도를 감출 수 있기 때문에 추적에 치명적인 웹 사이트의 일종이다.
IBM X-Force의 톰 크로스(Tom Cross) 위협 정보 관리자는 “올해 하이프로파일 기반 공격이 빈번하게 발생하는 것은 기업이 자사의 보안 전략 수행에서 흔히 직면하는 문제를 부각시키고 있다. 우리는 기술적인 차원에서 어떻게 이러한 공격들을 방어할 수 있는지를 이해하고 있지만, 기업들이 회사를 보호하기 위해 회사 전방위에 걸친 운영에 대한 경험을 갖추고 있는 것은 아니다”라고 말했다.
■보안 역량 향상
이 보고서는 2011년이 하이프로파일 기반 공격이 급격히 증가한 반면, 동시에 보안 분야에서는 상당한 개선을 이뤄냈다고 밝혔다.
▲ 2011년 상반기 전체 취약점 공개의 49%를 차지하던 웹 애플리케이션 취약점이 5년 만에 처음으로 줄어 37%로 감소하였다.
▲ 브라우저 시장이 점점 더 복잡해지고 있음에도 불구하고, 웹 브라우저의 심각하고 결정적인 취약점도 2007년 이래 최저점을 기록하였다. 이러한 웹 브라우저 및 애플리케이션 보안의 개선은 다수의 공격들이 해당 소프트웨어를 겨냥하고 있기 때문에 매우 중요하다.
▲ 대다수 봇넷 운영자들이 사법당국에 의해 해체되고 활동을 중단하면서, 이 보고서는 스팸 등 전통적인 피싱 방법이 감소하고 있다는 추이를 보여주고 있다.
▲ 2010년 중반까지 수 년 간 스팸이 지속적으로 증가한 후, 올해 상반기에는 스팸 량이 현저히 감소하였다.
▲ 2011년 상반기 주간 단위 피싱 스팸 비율이 0.01% 낮았다. 전통적인 피싱은 작년 같은 기간 수준에서 상당히 감소하였다.
또한 그 중에서도 2003년에 출현해 IBM X-Force 팀이 명명한 SQL 슬래머 웜(Slammer Worm)은 인터넷 상에서 가장 보편적인 악성 패킷 소스 중의 하나였지만 올 3월부터 급격히 사라지고 있다. 가장 최근의 분석에 따르면, SQL 슬래머 웜이 사라진 것은 미지의 소스나 행위자로 인한 것일 가능성이 높아 보인다. 분석에 의하면 슬래머의 서버 클록을 사용하는 시간 기반의 트리거를 이용하여 웜을 중지시킨 것으로 나타났으며, 이는 단일 원인에 의해 해제되었다는 것을 입증한다.
■전통적인 취약점 여전히 문제
이번 X-Force 보고서는 수많은 공격들이 전통적인 보안 취약점을 노리고 있다는 점을 밝혔다. 보고서에 의하면, 취약한 패스워드에 대한 공격이 웹 애플리케이션의 SQL 인젝션 취약점을 이용하여 백엔드 데이터베이스를 손상시키는 공격만큼이나 인터넷 상에 일반화되어 있다.
데이터베이스는 공격자들에게 중요한 표적이 되어 왔다. 재무/ERP, 고객, 직원, 그리고 신제품 디자인과 같은 지적 재산권 정보를 포함하여, 기업 운영에 극히 중요한 데이터가 관계형 데이터베이스에 보관되어 있다. IBM 연구원들이 포춘 500대 기업 및 여타 매우 있기 있는 사이트를 포함하여 약 700개의 웹사이트를 테스트한 결과, 이 중의 40%가 클라이언트 측 자바스크립트 취약점으로 불리는 종류의 보안 문제가 있는 것으로 드러났다. 다수의 기업 웹사이트에 이러한 취약점이 존재하는 것은 다수 기업에 보안 맹점이 있음을 나타낸다.
■IBM, 아시아/태평양지역에 첨단보안연구소 개설
보안 위험 대처를 지원하고 보안 산업 리더들 간의 협력을 촉진하기 위해, IBM은 아시아/태평양지역에서 늘어나고 있는 보안 위협에 맞서기 위해 동 지역에 IBM 첨단보안연구협회를 개설한다. IBM은 X-Force 2011년 중반기 보안 동향 및 위험 보고서에서 전세계 스팸메일이 가장 많이 발송되는 지역 중 한국 4위를 포함해 대부분 스팸이 아시아/태평양 지역에서 발생한다고 밝혔다. 이 연구협회는 각기 유럽 및 미국 고객들에 주안점을 둔 벨기에의 브뤼셀과 워싱턴 D.C.의 연구협회에 이어 개설된다.