인텔 시큐리티(임치규 지사장, http://www.intelsecurity.com)는 2014년 4분기 맥아피 연구소 위협보고서를 발표하고, 주요 내용을 정리해 공개했다.

이번 위협보고서에서는 모바일 앱의 취약점, 위협적인 앵글러 익스플로잇 킷(Angler exploit kit), 그리고 잠재적 유해 프로그램(PUPs)의 증가 등이 주요한 위협 동향으로 나타났다.

■ SSL/TLS 취약점에 노출되어 있는 휴대폰 사용자들

몇 달전 유명한 휴대폰 앱 공급자들은 사용자들을SSL/TLS 취약성에 노출시킨다는 통보를 받았음에도 불구하고 아직까지 안전하지 않은 상태로 남아있다고 맥아피 연구소는 전했다.

인기있는 모바일 앱의 암호화 취약점은 사용자가 모바일 앱과 연결되어 있는 웹사이트에 로그인 할 때, 사이버 범죄자들이 중간자(man-in-the-middle) 공격을 실행하도록 허용한다. 이러한 앱 개발자들의 허술한 프로그래밍은 사용자들을 BERserk 과 Heartbleed와 같은  다양한 SSL/TLS 취약점에 노출시킨다. 결과적으로 ID, Password를 포함한 모바일 앱과 그들의 웹사이트 사이의 모든 커뮤니케이션은 사이버 범죄자들에게 노출될 가능성이 있다는 것이다.

맥아피 연구소는 모바일 멀웨어 소스코드의 상업적인 효용과 더불어 모바일 악성코드 생성 키트가 조만간 다크웹(dark web)에 제공될 것이라고 예측했다. 이 노출은 정보 유출을 시도하기 위한 하나의 방법이 되며 인터넷에서의 신뢰성 위기로 이어질 수 있다.

■ Blacole의 종말 이후: 앵글러 익스플로잇 키트(Angler exploit kit)

앵글러 익스플로잇 키트는 Blacole의 뒤를 이어 가장 인기있고 파워풀한 공격 키트 중의 하나가 되었다. 익스플로잇 키트는 알려진 취약점, 알려지지 않은 취약점에 대응하여 쉽게 사용할 수 있는 공격들을 포함한 규격된 소프트웨어 패키지이다.

2013년, Blacole 익스플로잇 키트 개발자가 수감된 이후, 매우 빠르게 사이버 범죄자들은 그들의 페이로드를 앵글러 익스플로잇 키트로 옮겨갔다. 앵글러는 사용하기 쉽고 온라인 암시장을 통해 넓게 퍼질 수 있기 때문에 사이버 범죄자들이 악성코드를 전달하는데 선호하는 수단이 되었다.

2014년 하반기, 앵글러 익스플로잇 키트는 자체의 보급력과 파일없이 감염되는 바이러스, 가상 머신, 보안 제품 감염과 같은 새로운 가능성과 금융 트로이목마, 루트킷, 랜섬웨어, CryptoLocker 그리고 백도어 트로이 목마와 같은 넓은 범위의 페이로드에 전파 가능한 키트의 능력으로 인해 보안 시장의 주목을 얻었다. 현재도 앵글러는 가장 인기있는 익스플로잇 키트 중의 하나로 존재한다.

■ 그레이(Gray)의 50가지 그림자: 잠재적 유해 프로그램의 세계

잠재적 유해 프로그램(PUPs)는 성가신 존재와 악성코드 사이에서 갈수록 더 공격적으로 변하고 있다. 잠재적 유해 프로그램은 적법하게 사용되지만 사용자의 동의없이 사용자에 대해 기능이나 행위를 이용할 수 있는 불분명한 중간지대(gray zone) 어플리케이션이다.

적법한 앱에 업혀가는 피기배킹(piggybacking), 사회공학적 용법, 온라인 광고 하이재킹(hijacking), 의도치 않은 브라우저 확장과 플러그인 설치, 적법한 앱과 함께 함께 강제적으로 설치하는 등이 잠재적 유해프로그램을 배포하는 가장 흔한 방법들이다. 이러한 행위는 보안 제품에 감지되는 전형적인 악성 행위가 아니기 때문에 감시하기가 어렵다.

몇몇의 잠재적 유해 프로그램 개발자는 더 사악해지고 있으며 따라서 잠재적 유해 프로그램 감시는 적정한 보호를 위해 자주 업데이트 되어야 한다.

■ 2014년 마지막 4분기 위협 동향에 대한 맥아피 연구소의 추가 발표 내용

(1) 모바일 악성코드 : 모바일 멀웨어 샘플이 2014년 4분기에 14% 성장하였고, 특히 아시아와 아프리카 지역의 감염율이 높다. 맥아피가 모니터하고 있는 모든 모바일 시스템 중의 최소 8%가 2014년 4분기에 감염을 보고했고 대부분이 AirPush 광고 네트워크로 보인다.

(2) 잠재적 유해 프로그램 : 4분기, 맥아피 연구소는 매일 9,100만개 시스템에서 잠재적 유해 프로그램을 감지했다. 맥아피 연구소는 잠재적 유해 프로그램이 갈수록 더 공격적으로 변화하고 의도하지 않은 광고를 디스플레이 혹은 브라우저 세팅을 수정하거나 사용자, 시스템 데이터를 수집할 때와 같이 권한이 없는 행동을 할 때, 적법인 앱인 것 처럼 행동하는 것을 볼 수 있었다.

(3) 랜섬웨어 : 3분기 초반, 새로운 랜섬웨어 샘플의 수가 지난  4분기 동안 감소 추세였으나, 이후에 다시 증가하기 시작했다. 4분기에는 새로운 샘플의 수가 155% 증가했다.

(4) 서명된 악성코드 : 일시적으로 악의적인 서명된 바이너리가 하락세를 보였으나, 4분기에 전체 규모에서  17프로가 증가하며 성장세를 지속하고 있다.

(5) 악성코드 전반 동향 : 맥아피 연구소는 매분 387개의, 매초 6개 이상의 새로운 악성코드 샘플을 탐지하고 있다.

2014년 4분기 위협 리포트에 대한 자세한 내용은 http://www.mcafee.com/February2015ThreatsReport 를 참고하면 된다.

Copyright ⓒ Acrofan All Right Reserved