“보안 탐지 회피하는 서버측 다형성 공격 기승”

“보안 탐지 회피하는 서버측 다형성 공격 기승”

  • BIkorea
  • 승인 2012.03.20 16:16
  • 댓글 0
이 기사를 공유합니다

‘시만텍 인텔리전스 리포트’ 2월호 발표

시만텍이 ‘시만텍 인텔리전스 리포트(Symantec Intelligence Report)’ 2월호에서 미 공정거래협회(Better Business Bureau)를 사칭한 신종 사이버 공격들이 잇따르고 있어 주의가 요구된다고 밝혔다.

공격자들은 기업들을 겨냥해 미 공정거래협회에서 보낸 것처럼 위조해 해당 기업을 상대로 소비자 불만이 접수되었으며, 보다 자세한 정보는 첨부파일을 참조하라고 사회공학적 공격기법을 접목한 이메일을 보낸다.

하지만 첨부된 PDF 파일에는 악성 실행파일이 심어져 있거나 악의적 웹사이트로의 방문을 유도하는 URL이 포함되어 있다.

이러한 공격들은 2007년 처음 보고된 공격방식과 비슷한데, 이때도 공격자들은 기업 임원들을 겨냥해 미 공정거래협회에서 보낸 것처럼 위장한 이메일을 발송했다.

최근 공격방식도 2007년 당시처럼 사회 공학적 기법을 이용하고 있다는 점에서 유사하지만 서버측 다형성(Polymorphism) 공격과 같은 좀더 진일보한 공격 기법이 동원되고 있어 탐지가 더욱 어렵다.

서버측 다형성 공격을 통해 공격자들은 매번 기존 유형과 조금씩 다른 형태로 공격, 기존 보안 시스템의 탐지를 회피하며, 주로 PHP 스크립트를 이용해 공격자의 웹사이트에서 자동으로 돌연변이 악성 코드를 생성한다.

이러한 공격양상은 그리스 신화에 나오는 바다의 신 프로테우스처럼 매번 모습을 바꾸는 변화무쌍한 속성 때문에 기존 시그니처 기반의 보안 탐지 방식으로는 탐지하기 매우 어렵다. 2012년 2월 탐지된 이메일 기반 악성코드 중 41.1%가 다형성 악성코드 변종이었다.

시만텍은 이전에 알려지지 않은 신종 위협에 신속히 대응할 수 있는 클라우드 기반의 휴리스틱 탐지 기법인 ‘스켑틱(Skeptic)’ 기술을 통해 다형성 악성코드 변종을 매우 효과적으로 탐지하고 있고, 거의 매일 시만텍의 닷클라우드 이메일 서비스를 통해 필터링하고 있다.

하지만 공격자들도 공격 성공률을 높이기 위해 공격전술과 사회 공학적 기법을 수시로 바꾸고 있는 상황이다. 최근 발생한 대표적인 공격사건 가운데는 페덱스, UPS, DHL, 아메리칸 항공 등 잘 알려진 기업을 사칭한 이메일 공격이 포함되어 있다.

시만텍은 이번 보고서 작성 시점에서 한 번의 공격으로 700건 이상의 악성 이메일이 전송되었음을 확인할 수 있었다. 각 이메일마다 공격 표적이 달랐고, 공격 시간은 30분도 채 걸리지 않았다.

시만텍코리아 윤광택 이사는 “다형성은 말 그대로 매번 기존 위협과 조금씩 다르게 형태를 바꾸는 것으로, 이를 이용해 공격자들은 쉽게 보안 탐지를 피할 수 있다”며, “새로운 악성 프로그램이 정상적인 프로그램에 비해 더 빠른 속도로 생성되는 상황에서 전통적인 보안 시스템의 부족한 부분을 채워줄 수 있는 클라우드 기반의 휴리스틱 탐지기법 및 평판 보안 기술과 같은 상호보완적 기술을 도입할 필요가 있다”고 강조했다.

‘시만텍 인텔리전스 리포트’ 2월호에 포함된 주요 발표내용은 다음과 같다.

△스팸: 2012년 2월 전세계에서 발송된 이메일 중 스팸이 차지하는 비율은 68.0%로 전월 대비 1% 포인트 감소

△피싱: 2012년 2월 피싱 이메일 활동은 전월 대비 0.01% 포인트 증가했으며, 이메일 358.1건 당 1 건(0.28%)이 피싱 공격에 이용됨

△이메일을 통한 보안 위협: 2012년 2월 전 세계에서 발송된 이메일 중 악성코드가 포함된 메일은 274.0건 당 1 건 꼴로, 2011년 1월 이후 0.03% 포인트 증가

△웹 기반 악성코드 위협: 2012년 2월 악성코드 및 스파이웨어, 애드웨어 등 사용자가 원치 않은 프로그램을 포함하고 있는 웹사이트는 하루 평균 2,305개 탐지됨

△엔드포인트 위협: 2012년 2월에 가장 많이 차단된 악성코드는 WS.Trojan.H로, 시만텍은 클라우드 기반의 휴리스틱 탐지를 이용해 아직 정식으로 분류되지 않은 위협을 가진 파일을 탐지해 사용자에게 위협요소를 사전에 제공하고, 이 악성코드가 컴퓨터에 감염되는 것을 차단


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?

댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.