고성능 네트워크 보안 솔루션의 글로벌 리더인 포티넷 코리아(사장 최원식, www.fortinet.co.kr)는 지난 1월 1일부터 3월 31일 까지 3개월 동안에 포티가드랩에서 집계한 2013년 1분기 보안 위협 전망 보고서를 발표했다.

포티넷의 인터넷 위협 분석 및 연구 기관인 포티가드랩 (FortiGuard Labs)에 따르면 비트코인 채굴(Bitcoin-Mining)과 연관된 봇넷인 ‘제로엑세스(ZeroAccess)’가 이번 1분기 전세계 고객사에 설치된 전체 포티게이트(FortiGate) 장치가 감지한 최대 위협 요소였다고 보고했다. 이와 더불어 한국에서 발생한 대규모 사이버 테러에 대한 분석과 지난 3개월 동안 발견된 안드로이드 기반의 신종 변종 애드웨어를 공개했다.

1. 폭발적인 제로엑세스(ZeroAccess) 봇넷의 증가

포티가드랩의 리차드 헨더슨(Richard Henderson) 보안 전략가 겸 위협 연구원은 “지난 2013년 1분기에 제로엑세스 봇넷의 소유자가 그들의 통제하에 봇(Bots)을 유지하고 확장하고 있었다”라며, “지난 3개월 동안, 제로엑세스의 소유자는 그들이 감염시킨 호스트에 20개의 소프트웨어 업데이트를 전송하였다”라고 밝혔다.

전세계 포티게이트 장비의 보고에 따르면, 제로엑세스는 현재 가장 위협적인 봇넷으로 밝혀졌다. 제로엑세스는 주로 클릭 사기(Click Fraud)와 함께 비트코인 채굴로 이용되었다. 분권화되고 공개 소스기반인 디지털 통화 비트코인의 가치가 폭발적으로 증가했고 이는 곧 제로엑세스로 인해 벌어들인 수익이 수백만 달러 혹은 그 이상일 수도 있음을 의미한다.

헨더슨은 “비트코인의 열기와 가치가 점차 증가함에 따라 우리는 또 다른 봇넷의 소유자들이 자신들이 개발한 봇넷을 비트코인과 유사한 형태로 사용하거나 기존의 비트코인 시장을 파괴하려는 시도를 발견했다”라고 덧붙였다.

지난 3월과 4월초 전세계 비트코인의 최대 거래소인 마운틴 곡스(Mt. Gox)에서는 통화가치를 불안정하게 만들거나 이러한 행위로 금전적 이익을 얻으려는 목적의 디도스 공격을 당하기도 했다. 감염된 머신에 디도스 모듈을 탑재할 수 있는 기능이 있는 제로엑세스에 대해 포티가드랩이 분석한 결과 최근 발견된 봇넷에는 디도스 모듈을 탑재하지는 않은 것으로 밝혀졌다. 이는 곧 해당 디도스가 공격적인 목적이라기보다는 또 다른 봇넷의 소유자가 디도스로 인한 비트코인 통화의 변동 폭을 이용하여 이득을 챙기려는 것으로 간주할 수 있다.

지난 3개월 동안 새로운 제로엑세스 감염이 끊임없이 증가하였다. 포티가드랩은 2012년 8월부터 본격적으로 제로엑세스를 감시하였기 때문에 이 새로운 감염툴이 가상의 공간에서 얼마나 많이 증가하였는지 관찰할 수 있었다. 최근에는 신규 감염이 주당 10만 건이라는 어마어마한 증가폭을 보였고 대략 3백만 건의 특정 IP주소가 감염됐다고 보고 되었다. 이는 대략적으로 제로엑세스가 사기 광고 수익으로만 하루에 10만 달러의 소유주를 생산해내고 있다는 것을 의미한다.

2. 대한민국 대규모 와이퍼(Wiper) 공격 당해

지난 3월 20일 대한민국의 일부 방송사와 금융기관에서 악성코드로 인한 거대한 사이버 공격을 당해 대규모 손상과 수천 대의 PC 하드드라이브가 삭제되었다. 포티가드랩은 한국의 공공과 민간 기업의 파트너사와 함께 해당 공격의 본질적인 정보를 밝혀냈고 악성코드가 어떻게 퍼졌는지 확인하였다.

포티가드랩의 카일 양(Kyle Yang) 안티바이러스 수석 매니저는 “분석 결과 이번 공격은 내부의 보안 관리 서버들을 감염시키는 것을 통해서 시작되었다”라며, “이러한 관리 서버가 내부의 사용자 기기들과 신뢰를 기반으로 한 통신을 한다는 점에서 희생자가 크게 증가했다라는 특성을 보였다라고 확인하였다.”라고 밝혔다.

3. 안드로이드 기반의 신규 변종 애드웨어 2종 출현

포티넷은 또한 지난 3개월 동안 안드로이드 기반의 변종 애드웨어인 Android.NewyearL.B 와 Android.Plankton.B 가 전세계적으로 급증했다고 밝혔다.

포티가드랩의 데이빗 매셰잭(David Maciejak) 선임 연구원은 “포티가드랩이 모니터링 하고있는 이 새로운 방식의 광고 키트 애드웨어는 배후 공격자가 노출되지 않도록 하기 위해 점점 더 교묘한 수법을 이용하고 있다”라며” 이러한 악성코드는 같은 공격자에 의해 만들어 지고 있을 수 있으나, 더 많은 희생자에 감염을 시키기 위해 각자 별개의 것처럼 운영되고 있다”라고 말했다.

이 변종 악성코드는 안드로이드 기반의 다양한 애플리케이션에 침입하여 모바일 기기의 상태 창에 원하지 않는 광고를 지속 노출시키거나 IMEI (International Mobile Equipment Identity / 국제 모바일 기기 식별 코드) 번호를 통해 사용자를 추적하거나, 휴대 전화의 바탕화면을 변형시키는 증상을 유발한다.

포티가드랩의 기욤 러벳(Guillaume Lovet) 수석 매니저는 “이러한 안드로이드 기반 애드웨어가 급증한 것은 악성 애드웨어 코드가 포함된 애플리케이션을 설치하면서도 본인은 합법적인 애플리케이션을 설치하고 있다고 믿는 사용자들에서 기인한다.”라고 말하며 “특히 불법 광고 제휴 프로그램을 이용한 이러한 감염을 통해 개인이나 특정 그룹이 금전적인 이득을 취했을 것으로 추정된다”라고 말했다.

포티넷은 이러한 악성코드로부터 자신의 스마트 기기를 방어하기 위해서는 응용 프로그램을 설치할 때 설치 동의 약관을 신중하게 검토하고, 높은 평가와 리뷰 개수를 확보한 모바일 애플리케이션을 다운로드 하는 것이 좋다고 권고했다.

포티가드랩

포티가드랩은 전세계 포티게이트(FortiGate) 네트워크 보안 어플라이언스 및 인텔리전스 시스템으로부터 수집된 데이터에 기반하여 위협에 대한 통계와 동향을 준수하였다. 포티넷의 포티가드 서비스를 사용하는 고객들은 이번 보고서에서 밝혀진 취약성에 대해 적절한 설정 한도 내에서 대응할 수 있다.

포티가드 서비스는 안티바이러스, 침입방지, 웹 콘텐츠 필터링, 안티스팸 성능 등 광범위한 보안 솔루션을 제공하며, 이를 통해 애플리케이션 및 네트워크 계층에 대해 위협으로부터 보호한다. 포티가드 서비스는 포티가드랩에 의해 업데이트 되며, 신규 및 부상하는 위협에 다계층 보안 인텔리전스 및 제로데이 보호기능을 제공한다. 포티가드 업데이트는 모든 포티게이트, 포티메일, 포티클라이언트 제품을 통해 이루어진다.

현재 진행중인 조사에 관련해서는 포티가드랩의 RSS 피드를 통한 포티가드 센터에서 확인할 수 있다. 한 보안기술 및 위협 분석에 대한 심층 토론은 포티넷 보안 블로그를 통해 이루어진다.