[김국배기자] "요즘 해커들은 악성코드를 배포할 때 속된 말로 왕창 뿌리지 않습니다. A라는 악성코드를 뿌린다고 하면 보통 20~50개 정도에 그칩니다."
나날이 악성코드의 위협이 커지는 가운데 국내 보안 전문가들은 최근 들어 나타난 악성코드 유포 방식의 특징 중 한 가지로 '소규모 다품종' 배포를 꼽는다. 공격자들이 이전처럼 대량의 규모로 악성코드를 퍼붓지 않는다는 것이다.
이유가 뭘까. 이에 대해 시만텍코리아 윤광택 이사는 "대량으로 배포할 경우 백신회사들이 이를 발견하고 시그니처를 만들어 백신을 업데이트할 수 있기 때문"이라고 설명한다.
악성코드를 많이 배포할수록 그만큼 발각될 위험도 커지기 때문에 해킹 작전에서도 군사 작전하듯 '짧게 치고 빠지는(hit and run)' 방식이 사용되고 있는 것이다. 윤 이사는 "그러다보니 목적은 같으나 변종인 악성코드를 만들어내길 반복한다"고 덧붙였다.
이에 더해 악성코드 제작자들이 더 이상 실력 과시가 아닌 금전적 목적을 띄기 시작한 것도 원인이다. 자연스럽게 불특정 다수가 아닌 특정 조직을 노리는 표적 공격이 나타났기 때문이다.
반면 백신업체들이 고심하는 부분도 이 지점에서 시작된다. 악성코드가 널리 퍼지지 않으니 발견해서 백신 엔진에 반영하기도 힘들어졌다. 또한 적은 수의 악성코드로 인해 전체 고객사를 대상으로 수시로 업데이트를 진행해야 하는 부담이 생긴 것이다.
안랩 이호웅 시큐리티대응센터장은 "하루에 15~50만 개의 신·변종 악성코드가 생겨난다"며 "즉, 열흘만 PC 백신을 업데이트 하지 않으면 PC는 최대 500만 개의 악성코드 위협에 노출될 수 있는 것이 현주소"라고 말했다.
이러한 가운데 악성코드를 유포하는 주된 통로로 지목되고 있는 게 웹(web)이다.
글로벌 보안업체 시만텍의 조사결과에 따르면 웹에 의한 악성코드 감염 건수는 지난 2012년 24만7천350건(일 단위)으로 이전해인 19만370건에 비해 30% 증가했다.
웹서비스가 악성코드를 배포하는 주요 통로로 떠오른 건 네트워크를 비롯한 기업 보안이 강화되면서 공격자의 관심이 기업에서 개인으로 옮겨가면서다. 트로이목마 등을 심는 '드라이브 바이 다운로드(DBD)' 공격이 악성코드의 주범으로 떠올랐고 워터링홀이나 랜섬웨어 공격도 새로운 위협이 되고 있다.
워터링홀 공격이란 알려지지 않은 취약점을 활용해 사용자를 노리는 공격 기법으로 악성코드를 특정 웹사이트에 심어두고 사용자가 여기에 접속하면 악성코드가 PC로 배포되는 형태의 해킹을 말한다. 랜섬웨어는 데이터를 인질 삼아 댓가를 요구하는 방식의 해킹 기법이다.
윤광택 이사는 "웹의 발전과 함께 취약점도 늘어났다"며 "액티브X와 같은 플러그인, 자바, 플래시 등 새로운 기술에 대한 취약점을 통해 악성코드가 배포되는 경우가 많아지고 있다"고 설명했다.
안랩 이호웅 시큐리티대응센터장도 "공격자들은 은행의 시스템을 직접 노리기 보다 개인의 PC에 악성코드를 감염시키는 것을 공격의 첫 행위로 삼고 있다"고 "현대 보안의 명백한 트렌드"라고 말했다.
이 센터장은 또한 "피해자가 되지 않기 위해선 백신 프로그램의 지속적인 업데이트와 검사 실행, 수상한 메일이나 SNS의 URL 클릭 자제하기, 비밀번호 자주 바꾸기, 수상한 첨부파일 실행 자제 등 생활 속의 작은 보안 습관을 지키는 것이 더욱 중요하다"고 강조했다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기