한 인터넷보안업체가 지난 1월 1일부터 7월 31일까지 7개월간 조사한 결과를 바탕으로 위협 동향 보고서를 발표했다. 이 조사내 따르면 지난 6개월간 모바일 기반의 악성코드가 30퍼센트 증가한 것으로 조사됐다. 조사팀은 하루 평균 1,300여개 이상의 신규 악성코드 샘플을 탐지했으며, 추적결과 300여 개 이상 특이 안드로이드 악성코드군과 250,000여 개 이상의 악성 안드로이드 샘플인 것으로 나타났다.
<위기관리경영 - 글 | 김용삼 기자>

모바일 기반의 악성코드의 증가
한 보안업체가 최근 유행하는 BYOD(bring Your Own Device)는 직원의 효율성 및 생산성 향상 측면에서 두드러진 효과를 보이며 산업현장에서 다양한 이점을 제공하는 반면, 정교하지 못한 BYOD 정책을 운영할 경우 모바일 악성코드에 감염된 개인 사용자의 모바일 기기가 회사 내부 네트워크에 위협할 수 있다는 단점이 있다고 지적했다. 보안업체인 포티가드 랩의 액실 애프브릴(Axelle Apvrille) 수석 모바일 안티바이러스 연구원은 “3년 전까지만 해도 사용자나 기업의 입장에서 모바일기반의 악성코드는 크게 걱정되는 분야는 아니었다”라며,
“당시 스마트폰 및 태블릿PC를 공격하는 대부분의 악성코드의 경우 Cabir 바이러스나 스캠 소프트웨어처럼 SMS 문자 사기 혹은 아이콘을 변경하는 등 사용자를 귀찮게 하는 정도 수준이었기 때문이다”라고 밝혔다. 그는 이어, “하지만 모바일 기기 사용자가 급증하였고 이와 더불어 사이버범죄 또한 이렇게 증가하는 사용자 기반의 모바일 기기를 활용하고 있다. 우리 조사 결과도 모바일 악성코드의 확산은 가까운 시일 내에 약화되기는 어려울 것으로 전망했다”라고 덧붙였다.

심비안OS에서 모바일 위협
지난 2009년 당시 OS 및 안드로이드 기반의 모바일OS는 상대적으로 새롭게 시장에 진입한 OS였기 때문에 대부분의 모바일 악성코드는 그 시기 시장점유율이 높았던 심비안OS를 타깃으로 제작되었다. 또한, 동유럽 및 중국의 프로그램머들에 의해 대량의 악성코드가 제작되었고 이는 심비안을 거점으로 사용자 중심으로 대량 유포되었다. 

2013년, 모바일 위협 상황은 전혀 다른 양상을 보이고 있다. 전 세계적으로 많은 스마트폰 제조업자들이 구글의 안드로이드OS를 채택하면서 안드로이드의 시장점유율은 폭발적으로 증가했다. 매우 저렴한 제품에서 다양한 기능을 겸비한 고성능 스마트폰까지 안드로이드 기반의 스마트폰은 시장 전반에 걸쳐 출시된 상태다. 이와 함께 다양한 애플리케이션들 또한 폭발적으로 증가하게 되었고 이러한 상황을 틈타 해당 모바일 플랫폼이 사이버공격 및 다른 형태의 범죄 행위들의 신규 사이버범죄 사업기회로 이용되고 있다.

모바일 랜섬웨어의 등장
지난 2012년 포티가드에서는 금전탈취를 목적으로 한 랜섬웨어가 등장할 것이라고 예측한바 있다. 포티가드 랩의 리차드 헨더슨(Richard Henderson) 보안 분석가는 “랜섬웨어는 금전적인 측면에서 매우 성공적인 사이버범죄 도구이며 이러한 상황에서 공격자들이 공격대상을 모바일기기로 눈을 돌린 것은 전혀 놀라운 사실이 아니다”라며, “안드로이드용 Fake Defender(가짜 보안툴) 악성코드는 PC용 가짜 안티바이러스 소프트웨어와 같은 M.O를 사용한다”라고 밝혔다.

그는 이어, “해당 악성코드는 매우 유용 프로그램처럼 보이지만 실제 공격을 위해 숨어 있는다. 해당 악성코드는 사용자의 스마트폰에 암호를 걸어 잠그고 암호를 풀어주는 조건으로 돈을 요구하는데 스마트폰이 암호에 걸리고 나면 사용자는 돈을 지불하여 암호를 풀거나 혹은 완전히 리셋하는 방법 밖에 없다. 백업이 되어 있지 않을 경우 사용자의 소중한 사진 및 데이터 전부 잃을 수 밖에 없다”라고 덧붙였다.

기존 취약성을 이용한 신규 공격
루비온레일(Ruby on Rails), 자바(Java), 어도비 애크로뱃(Adobe Acrobat) 및 아파치(Apache) 등 기존에 알려진 취약성들에 대한 패치가 최근에 배포 되었음에도 불구하고 포티가드랩 조사결과 공격자들은 여전히 이러한 기존의 취약성에 대한 익스플로잇(Exploit)을 시도되고 있는 것으로 나타났다. 지난 1월에는 루비온레일 프레임워크 내의 심각한 취약성으로 인해 원격의 공격자가 웹서버 내에서 악성코드 동작이 가능하다고 발표된 바 있다. 루비온레일은 루비 프로그래밍 언어를 위한 웹 애플리케이션 프레임워크(Web Application Framework)로 쉽게 말해, 웹2.0 기반의 웹사이트를 보다 빠르고 간편하며 고급스럽게 구축할 수 있도록 지원한다.

화려한 웹사이트 구축을 위하여 수많은 온라인 웹사이트들이 이용하고 있는 매우 인기 있는 프로그램이다. 이러한 문제점과 함께 메타스플로잇(Metasploit) 모듈의 등장으로 인해 취약성 스캐닝이 가능해지면서 공격자들은 익스플로잇 공격이 가능한 웹서버를 판별할 수 있게 되었다. 이에 헨더슨 보안 분석가는 “해당 익스플로잇은 루비 개체를 즉시 생성하는 XML 프로세서 Deserialization 규칙에 대한 취약성을 포함하고 있다”라며, “해당 취약성을 해결하기 위해 루비온레일에 대한 패치가 이루어졌음에도 불구하고 4개월이 지난 후까지 공격자(혹은 공격자들)는 여전히 패치가 완료되지 않은 웹서버를 탐색하고 있고 공격을 위해 소프트웨어를 통한 익스플로잇을 시도하고 있는 것으로 드러났다”라고 밝혔다.

자바 원격 코드 실행
지난 1월에는 자바의 샌드박스를 우회하고(Bypass) 임의로 자바 코드를 실행하는 제로데이 익스플로잇이 발견된바 있다. 자바는 널리 사용되고 있는 온라인 기술로 대부분의 컴퓨터에서는 다양한 방식으로 설치 및 실행되고 있다. 악성 자바애플릿은 자바의 취약성을 이용해 어떠한 자바 프로그램도 실행 할 수 있으며, 이를 통해 자바의 샌드박스를 우회하거나 취약성에 노출된 컴퓨터에 대한 완전한 접근(Full Access)이 가능해 진다.

자바의 제로데이 취약성 공격이 등장한 이후 해당 익스플로잇은 블랙홀(BlackHole), 레드킷(Redkit) 및 뉴클리어팩(Nuclear Pack) 등 잘 알려진 크라임웨어(범죄용 소프트웨어) 공격 킷과 빠르게 통합되어 해당 통합 크라임웨어를 구입하면 익스플로잇 및 악성코드 배포가 가능하게 된다.

이에 헨더슨 보안 분석가는 “해당 익스플로잇은 JMX(Java Management Extensions) 구성 내에서 취약성을 포함하고 있어 악성 자바애플릿으로 하여금 권한을 향상시키며 이를 통해 어떠한 자바 코드도 마음대로 실행할 수 있게 된다”라고 밝혔다. 이러한 취약성에 대해 오라클은 재빨리 패치를 배포했지만 다른 익스플로잇과 마찬가지로 크라임웨어 킷과 통합되어 많은 추가 피해자가 발생하게 되었다. 또한 패치가 되지 않은 자바 버전에 의해 여전히 악성코드 설치가 진행되고 있다.

애크로뱃 및 애프로뱃 리더의 제로데이 공격 등장
지난 2월에는 PDF 파일로 위장한 터키에서 발송된 여행 비자 양식 파일이 확산되고 있는 것이 탐지 되었다. 이는 기존의 어도비 리더 소프트웨어의 알려지지 않은 취약성을 이용하고 있다고 밝혀졌다. 해당 익스플로잇 공격은 어도비 리더의 최신 버전(9.5.X, 10.1.X, and 11.0.X등)에서 작동하며 윈도우7의 64비트를 포함, 대부분의 윈도우 버전과 Mac OS X 시스템에서도 작동한다.

익스플로잇 PDF는 공격대상 컴퓨터에 악성코드를 설치하기 위한 사이버범죄 도구로 사용 사용되고 있다. 해당 취약성에 대해 어도비는 지난 2월 20일에 패치를 배포했지만 스피어피싱 공격을 통해 온라인상에서 리패키지(Repackaged) 버전을 생성되면서 지속적으로 사이버범죄 도구로 사용되고 있다. 이러한 어도비 PDF리더 내의 익스플로잇은 최신 패치를 적용하지 않은 사용자 컴퓨터를 통해 사이버공격을 위한 악성코드 확산 도구로써 지속적으로 이용되고 있다.

CDorked 악성코드로 아파치 웹 서버 공격
지난 4월 말경, 아파치 웹 서버상에서 새로운 공격이 발견된 바 있다. CDorked를 탑재한 해당 악성코드는 웹서버를 통제하는데, 해당 웹서버로 접속하는 방문자들을 다른 서버로 리디렉트(redirect)하여 블랙홀 익스플로잇 킷을 이용 악성코드를 설치한다. 해당 공격은 아파치 서버뿐만 아니라 Lighttpd 및 Nginx 웹서버 플랫폼도 공격한다고 밝혀졌다. CDorked는 지난 2012년 아파치 서버를 공격한 Dark Leech 공격과 매우 유사한 방식을 보이기도 하지만 Dark Leech 보다 더욱 교묘하고 지능적이다. CDorked는 Dark Leech와 달리 감염된 서버에 추가 악성모듈을 실행하지 않으면서도 악성코드를 통해 기존의 httpd binary를 변경할 수 있다. 흥미롭게도 CDorked는 웹서버 하드드라이브 상에 어떠한 정보도 입력하지 않았다.

모든 정보는 메모리에 저장된 상태에서 공격자가 통제된 서버에 전송하는 허위 GET 요청을 통해 접속을 시도했고 이러한 GET 요청은 로그에 기록되지 않았다. CDorked는 작동에 있어 지능적인 방식을 보이는 것이다. 헨더슨 보안 분석가는 “CDorked 악성코드는 일종의 할당량의 의해 운영되는 쿼터 시스템(Quota System)으로 설계되었다. 다시 말해, 통제된 웹서버에 접속하는 모든 방문객을 대상으로 일일이 블랙홀 사이트로 리디렉트하는 것은 아니었다”라며, “만약 통제된 웹서버 상에서 사용자가 관리자 페이지로 접속하여 해당 서버가 악성코드를 확산하는 리디렉트 사이트인지 알아보려는 시도가 있을 경우 숨어서 작동하지 않았다”라고 설명했다. 그는 이어, “단순히 CDorked 뿐만 아니라, 다른 악성 악성코드들도 악성코드 분석가나 다른 화이트햇 해커들을 인지하는 지능화 기능을 포함하고 있기도한 것으로 밝혀졌다”라고 덧붙였다.