말웨어에 노출된 소셜네트워킹서비스, 과연 안전한가?

이메일로 서비스 되는 한민족과학기술자네트워크(KOSEN) 메일링 서비스에서 관심있는 사항 올립니다.

스팸과 피싱공격의 주요원인이 되는 말웨어가 소셜네트워킹 서비스들 (Twitter, Facebook, etc)로 인해 2009년 대폭 증가한 것으로 보안솔루션 전문사인 M86 Security社의 연구보고서에 의해 밝혀졌다.

이번 분석보고서는 M86社에서 자사 연구진들을 동원해 7백만 건 이상의 이메일 메세지를 매일같이 모니터링하여 스팸과 말웨어의 특정패턴과 트렌드를 분석한 토대로 작성된 것이라고 하니, 그 자세한 내용을 살펴보고자 한다.

2008년 대비, 매일 2천억 건 이상의 스팸메세지가 익명의 사용자들에게 발송이 된 것으로 집계되었으며, 각 민.관.공기업으로 보내진 전체 이메일 수신볼륨 역시 80 ~ 90퍼센트 증가한 것으로 나타났다. 또한 하반기 집계량은 상반기에 이후부터 매일 30억 건의 스팸메세지가 발송되어왔으며 상반기 집계된 일간 6억건의 스팸이 발송된 조사결과에 비교했을 때 수백배 증가한 수치인 것으로 보인다.

스팸 및 말웨어의 주된 발송매개체는 `봇넷`이라 할 수 있겠는데, 바이러스에 감염된 컴퓨터에서 운영하는 어떠한 사이트라도 봇넷이 될 수 있게 된다. 2009년 하반기에 집계된 전체 스팸 및 말웨어를 추적조사한 결과 5개의 봇넷에서 자행된 일로 보이며, 해당 사이트는 다음과 같다; Rustock (34퍼센트), Pushdo (20퍼센트), Mega-D (9퍼센트), Grum (8퍼센트), Lethic (7퍼센트) [첨부사진 1 참조]

대다수의 악성코드들이 위와 같은 특정 봇넷에서 발송되었다는 점을 미뤄볼 때, 상기 사이트들을 무력화시키거나 정지시킴으로서 스팸발송으로 인한 정보유출피해를 방지할 수 있을것으로 보인다.

하지만 대다수의 사이버범죄가 조직화된 전문 갱스터나 범죄집단에 의해 최근 운영되고 있음이 밝혀지면서 봇넷 사이트를 차단해도 다른 방식으로 서비스를 재게할 가능성이 매우 높은 것 또한 사이버범죄를 원천차단하기 어려운 실정이다.

또한 단순 스팸메세지부터 정보유출을 조장할 수 있는 말웨어코드까지 보다 정교해지고 있어 사용자들의 각별한 주의가 요구된다고 한다. 일례로 `Virut 바이러스`는 PC에 어떠한 종류의 말웨어라도 가상으로 설치할 수 있게 만들어 종국엔 자동실행이 되어 각종 실행파일들 (.exe, .scr 등)을 감염시킬 수 있다고 한다.

가장 많은 취약성을 갖고 있는 제품군은 Adobe와 Microsoft 소프트웨어들인데, 여기서 발견되는 말웨어들은 특히 다른 일반 악성코드보다 심각한 피해를 사용자에게 입힐 수 있는데, 상기 회사들이 자사 제품군에 대한 보안결점을 잡아내는 보안패치를 공공에 배포하는데 걸리는 시간이 적게는 수 주에서 수 개월이 걸리기 때문인 것으로 분석되었다.

특히 전 세계적으로 다량의 사용자를 보유해나가고 있는 일부 소셜네트워킹 사이트들 덕분에 말웨어들이 2010년에는 보다 폭넓고 발빠르게 퍼져나갈 것으로 보인다. 사용자가 많아질수록 보안위협도 커져가기 마련인데, 이들 소셜네트워킹사이트들이 보안성에 각별한 위기의식을 가져야 하는 상황이 도래한 것이라 볼 수 있겠다. 작년 6월, Twitter계정이 해킹을 당한 사례를 되짚어보더라도 말이다.

그렇다면 현재로서 사용자들이 말웨어에 감염되지 않기 위해 보안소프트웨어를 업데이트 하는 방법 말고는 무엇이 있을까? Firefox 브라우저에서 스크립트실행을 차단한 상태로 설정해두면, JavaScript코드의 실행이 제한되고 접속한 웹페이지의 전체 웹주소를 보여줄 수 있는 기능이 실행되어 무작위적인 말웨어코드의 설치 및 다운로드를 막을 수 있다고 한다.

출처 : http://www.m86security.com/newsimages/trace/M86_Labs_Report_Jan2010.pdf