차세대 보안 위협 키워드「인공지능 봇」

      차세대 보안 위협 키워드「인공지능 봇」에 댓글 1개

아래는… zdnet기사입니다.

시만텍이 최근 펴낸 인터넷 보안 위협 보고서에 따르면 지난 2004년 상반기 가장 주목할만한 보안 위협은 ‘아고봇(Agobot)’ 등 ‘봇(Bot)’이란 개념의 악성코드인 것으로 나타났다. 이 악성코드는 기존의 모든 형태의 악성코드의 특징을 갖췄으며 전파 속도도 빠르고 스스로 모양을 바꿔 변종으로 진화하는 형태로 특별한 피해 사례는 없지만 잠재적인 해킹 수단으로 악용될 우려가 있다.

스스로 검색해 취약점을 파고들 뿐만 아니라 스스로 복제되면서 원본과 다른 모양의 변종으로 바뀌고 있다. 따라서 지금까지 개발된 패턴 방식의 안티바이러스 시스템으로는 대처하기 힘들다”라고 말했다.

시만텍 보안 연구소가 매년 상하반기 2차례에 걸쳐 내놓는 ‘인터넷 보안 위협 보고서’에 따르면 지난 해 인터넷 대란을 불러일으켰던 장본인인 ‘슬래머’ 웜이 여전히 인터넷 공격 유형 1위를 차지하고 있으며 기타 이미 패치가 나왔음에도 불구하고 윈도우 관련 취약점 공격이 상위를 차지하고 있는 것으로 나타났다. ‘웜은 인터넷 환경에서는 멸종되지 않는다’라는 상식을 그대로 보여주고 있는 것.

주목할 만한 위협으로는 지난해 하반기 조사에는 없었던 공격 유형인 ‘봇’의 출현이다. 지난 1월부터 6월까지 기하급수적으로 늘어난 봇의 공격은 이미 3만대의 컴퓨터를 감염시킨 것으로 조사됐다. 아직까지 이렇다 할 피해는 발생하고 있지 않지만 이 봇을 원격으로 조종 가능한 해커가 출현한다면 동시다발적인 피해가 예상되는 상황이다.

[#M_ 시만텍코리아의 강영호 이사의 보고서 자세히보기.. | 시만텍코리아의 강영호 이사의 보고서 줄여보기.. |

시만텍 코리아의 개발실 실장으로 지난 97년부터 일해오고 있는 강영호 이사는 “코드레드가 시한을 정해 특정 사이트를 공격하도록 코딩돼 있었던 것에 비해 봇은 원격으로 임의 조종이 가능하기 때문에 봇에 감염된 컴퓨터는 일제히 공격용 컴퓨터가 될 수 있다”며 주의를 당부했다. 그는 이 보고서의 결과를 설명하면서 또 하나 지적한 인터넷 보안 위협으로 사기 유형에 가까운 ‘피싱(Phishing)’에 대해서도 각별한 주의가 필요하다고 말했다.

원래 피싱은 기존 유명 도메인에서 철자 하나만 바꾸는 등 유사한 도메인을 등록시켜 똑같은 레이아웃으로 꾸며 놓은 다음 사용자들이 실수로 들어와 개인정보를 기입하기를 기다리는 인터넷 사기 수법으로 낚시에 물고기가 걸려들 때까지 기다린다고 해서 ’피싱‘이라는 이름이 붙었다.

하지만 최근에는 은행이나 쇼핑몰 등 전자상거래 사이트에서 개인 정보 수정에 대해 공식적으로 요청하는 것처럼 꾸며 사용자에게 이메일을 보내 이메일 안에 있는 링크로 사용자를 유도해 개인정보를 기입하도록 유인하는 수법이 널리 이용되고 있어 해외에서는 피해사례가 종종 발생하고 있다.

강 이사는 “해외의 피싱에 대한 피해 사례가 국내에서는 특별히 없지만 국내 인터넷 뱅킹 사용이나 전자 상거래 이용이 폭발적으로 늘고 있는 국내 현실을 감안한다면 미리부터 이런 사기 수법에 대해 정확하게 이해하고 있어야 피해를 막을 수 있다”고 말했다.

또한 취약점 발견 시기와 발견된 취약점을 공격하는 시기의 시간 간격이 점차 짧아지고 있다는 점도 우려할 만한 사항이다. 시만텍의 보고서에 따르면 취약점 발견 시기에서 이를 이용하는 악성코드의 발생 시점의 평균 시간 간격이 5.8일로 짧아진 것으로 나타났다. 이는 처음으로 일주일 단위 이내로 좁혀진 것으로 당일 악성코드의 출현을 의미하는 ‘제로데이 공격(0-Day Attack)’이 가까워지고 있는 것을 의미한다..

강 이사는 “사실상 제로데이 공격은 이뤄지고 있는지도 모른다. 다만 취약점이 발견되고 패치가 개발된 시점에 이를 이용한 공격이 있었는지 여부를 모르기 때문에 취약점 발견 이후에나 공격이 이뤄지는 것을 인지할 수 있다”라며 취약점 패치를 했다고 해서 피해가 발생하지 않았다는 것을 보증할 수 없다고 말한다. 이번 보고서에는 또한 인터넷 익스플로러에 대한 취약점 보고가 증가하는 등 상대적으로 웹브라우저 등 웹 응용 프로그램에 대한 공격이 점차 늘고 있다고 지적했다. 데이터베이스에 기록된 웹 응용 프로그램 취약성 중 약 82%가 악용하기 쉬운 대상으로 분류되어 별다른 해킹 툴이 없어도 컴퓨터를 장악할 수 있는 위험한 취약점이 속속 발견되고 있다.

한편 공격 경향을 보면 지난해 하반기에는 공격 대상 가운데 전자 상거래 사이트가 4%에 지나지 않았지만 이번 조사에서는 16%로 갑자기 늘어 점차 인터넷 공격이 특정한 이익을 노리는 경향으로 바뀌고 있음을 보여주고 있다. 이는 예전처럼 해커가 자신의 명성이나 실력을 드러내기 위해 해킹을 시도했던 경향과 달리 자신을 드러내놓지 않고 범죄를 행하기 위해 해킹을 이용하고 있다는 의미로 해석된다.

_M#]

시만텍이 일년에 2차례 내놓는 인터넷 보안 위협 보고서는 500개 이상의 시만텍 보안 관제 서비스를 받고 있는 고객사와 180개 이상의 국가에서 네트워크 활동을 모니터하는 2만 개 이상의 센서, 그리고 1억 2000만 개 이상의 클라이언트, 서버, 게이트웨이 안티바이러스 시스템 등을 통해 수집된 정보를 기초로 작성되어 공표되는 보고서이다.

[#M_ 시만텍코리아의 인터넷 보안 위협 보고서 자세히보기.. | 시만텍코리아의 인터넷 보안 위협 보고서 줄여보기.. |

공격 동향

지난 6개월간 가장 일반적인 공격유형은 슬래머웜으로 IP 주소에 대한 공격 중 15%가 슬래머웜이었다. 두번째로 흔한 공격유형은 가오봇(gaobot)과 가오봇 변종으로 올해 상반기 동안 600% 이상 늘어났다. 전반적으로 2004년 상반기의 인터넷기반의 웜공격이 줄어들면서 일일 공격건수 역시 줄었다. 한편 전자상거래 분야가 가장 많은 공격을 받았으며, 중소기업이 두 번째로 많은 공격을 당한 것으로 조사됐다.

2004년 상반기 최대 공격진원지는 미국이며, 그 공격 수치는 2003년 하반기 58%에서 2004년 상반기 37%로 감소했다. 반면 다른 국가들의 수치는 증가하여 공격활동이 보다 국제화되고 있음을 알 수 있다. 6개월 이상 시만텍 보안관리 서비스를 이용한 고객의 87%는 심각한 공격을 피해갈 수 있었다.

취약점 동향

2004년 상반기동안 취약점 발표부터 관련 취약점의 악용까지의 소요시간은 평균 5.8일이다. 시만텍 취약점 데이터베이스(Symantec Vulnerability Database)에 따르면 2004년 1월 1일부터 2004년 6월 30일 사이에 1,237건의 새로운 취약점이 발견됐다. 이 중 96%는 보통 혹은 매우 심각한 취약점이고, 70%는 악용하기 쉬운 취약점이다. 해당 공격코드가 이미 유포된 취약점의 64%는 매우 심각한 수준이었다. 2004년 상반기에 479건(총 신규취약점의 39%)은 웹 애플리케이션 관련 취약점이다.

시만텍은 2004년 상반기에 4,496건 이상의 새로운 윈도우 바이러스와 웜(특히 Win32)을 발견했다. 이는 전년동기 대비 4.5배 늘어난 수치이다. 봇 변종이 2004년 상반기에 600% 증가를 나타내며 매우 빠르게 증가하고 있다. P2P, IRC(Internet relay chat), 네트워크 파일 공유가 웜과 여타 악성코드의 매개체로서 꾸준히 이용되고 獵?
애드웨어가 악성코드 공격사례 상위 50위 중 6위로 나타나 갈수록 문제가 커지고 있다. 최초의 이동통신기의 악성코드인 카비르(Cabir)가 등장했다.

최근 동향 및 향후 전망

앞으로 클라이언트에 대한 공격이 늘어날 것으로 예상된다. 즉 방화벽, 라우터, 기타 보안기기 등 사용자의 시스템을 보호하는 보안 디바이스를 겨냥한 공격이 늘어날 것으로 우려된다. 시만텍은 봇 네트워크가 더욱 정교한 통제 기법과 탐지가 어려운 동시 다발 공격을 감행할 것으로 예상한다.

최근 리눅스 및 BSD 취약점을 악용, ‘새롭게 개념을 정의하는(Proof-of-Concept)’ 바이러스 사례가 곧 공격 기반으로 등장할 것으로 예상된다. 아울러 이동통신기기를 대상으로 한 공격 시도가 증가할 것으로 예측한다.

_M#]

One thought on “차세대 보안 위협 키워드「인공지능 봇」

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.