IBM X-Force 2011 보안 동향 및 리스크 보고서 발표
모바일 취약점 공격, 패스워드 자동 추측 등이 새로운 위협 등장


▲IBM X-Force팀의 정보 위협 및 전략 총괄 관리자인 톰 크로스(Tom Cross)가 2011년 보안 동향 등을 소개하고 있다. 관련 내용은 관련 사이트(www.ibm.com/security/xforce)에서 동영상을 통해 직접 확인할 수 있다.
[보안뉴스 김정완] 지난해 애플리케이션 보안 취약점 개선, 공격 코드와 스팸 감소 등 다양한 인터넷 보안 분야에서 눈부신 발전이 있었던 것으로 나타났다. 그러나 공격 기법도 날로 진화해 IT 보안 헛점의 틈새를 노리거나 소셜 네트워크, 모바일로 옮겨 새로운 경로를 공략하는 등 위협 방식도 크게 달라진 것으로 나타났다.
 
IBM이 최근 발표한 ‘X-Force 2011년 보안 동향 및 리스크 보고서’에 따르면, 작년 스팸 메일의 양은 2010년에 비해 50%가 감소됐고, 소프트웨어 보안 취약점도 소프트웨어 공급회사들이 보안 취약점을 패치함으로써 2010년 대비 43%에서 36%로 줄었다. 클라이언트 소프트웨어에 존재하는 크로스 사이트 스크립팅으로 불리는 웹 애플리케이션의 취약점 또한 4년 전에 비해 절반으로 크게 줄어 소프트웨어 애플리케이션 코드가 전반적으로 고품질화된 것으로 나타났다.

이러한 보안 강화 흐름에 따라, 모바일 기반 공격, 패스워드 추측 프로그램 및 대량 피싱 공격 등 새로운 방식의 공격 수법이 증가하고 있는 것도 이 보고서는 밝혀냈다. 예를 들어 웹쉘 공격(웹 서버에 대한 자동화된 쉘 명령 주입)의 증가는 웹 애플리케이션 취약점을 막기 위한 대응 노력에 대한 반응일 수 있다.

이에 IBM X-Force팀의 정보 위협 및 전략 총괄 관리자인 톰 크로스(Tom Cross)는 “작년 한해 소프트웨어 품질을 개선하기 위한 IT 산업계의 노력이 각종 보안 위협에 대한 대응 능력을 놀라울 정도로 크게 향상시켰다”고 말하면서도, “다만 공격자들이 새로운 침투경로를 찾기 위한 기술을 진화시켜 사이버 범죄를 통해 계속해서 이득을 취하려는 만큼 기업이나 공공기관은 보안 강화를 최우선으로 두고 실질적인 대처 노력을 멈추지 말아야 한다”고 당부했다.

또한 보고서에 따르면, 작년 한해 기업들의 보안 강화 활동이 활발히 진행됐으며 그 성과 역시 크게 향상돼 △공격 코드 발생 △패치되지 않은 보안 취약점 △소프트웨어 품질 향상에 따른 크로스 사이트 스크립팅(XSS) 취약점 △스팸 등이 감소한 것으로 나타났다.
 


 
하지만 이러한 개선에도 불구하고, 새로운 공격 트렌드가 생겨나는 한편, 중대하고 광범위한 외부 네트워크 및 보안 헛점이 보고됐다. 악의적인 공격이 점차 치밀해짐에 따라, IBM X-Force는 다음 3가지 주요 분야에서의 공격 행위가 증가했다고 발표했다.

◇ 쉘 명령 주입 취약점 공격 2배 증가 - 지난 수 년 동안, 웹 애플리케이션에 대한 SQL 주입 공격이 주요 공격 경로였다. SQL 주입 취약점은 공격자들이 웹 사이트 후방의 데이터베이스를 조작하도록 허용한다. 이러한 취약점 차단이 강화되자(2011년 공개 웹 애플리케이션 취약점의 46%를 차지) 상당수의 공격자들이 쉘 명령 주입 취약점을 타깃으로 삼기 시작했다. 이 취약점은 공격자들이 웹 서버 상에서 직접 명령을 실행하는 것을 허용한다. 쉘 명령 주입 공격은 2011년 동안 2배 내지 3배까지 상승했다. 웹 애플리케이션 개발자들은 증가하고 있는 이 공격 벡터에 세심한 주의를 기울여야 한다.

◇ 패스워드 자동 추측 프로그램의 급증 - 안전하지 못한 패스워드와 패스워드 정책으로 작년 다수의 치명적인 보안사건이 발생했다. 네트워크 상의 취약한 접속 패스워드를 갖고 있는 시스템을 탐색해 공격하는 인터넷 상의 자동화된 공격 활동도 상당수 있다. IBM은 2011년 후반기에 보안 쉘(SSH) 서버에 지령된 이러한 유형의 패스워드 추측 활동이 크게 급증했음을 관찰할 수 있었다.

◇ 소셜 네트워킹 사이트 및 택배 발송 메일을 가장한 피싱 공격의 증가 - 2010년과 2011년 상반기에는 피싱 이메일 양이 상대적으로 적었지만, 2011년 후반기에 피싱이 다시 급증하여 2008년 이래 최대치에 이르렀다. 대다수 이런 피싱 메일은 유명 소셜 네트워킹 사이트와 소포 발송 메일을 가장해 피해자 PC에 악성코드를 감염시키는 웹페이지의 링크를 클릭하도록 유도한다. 이들 상당수에는 쇼핑몰 사이트의 트래픽을 유도하는 광고 스팸도 포함된다.

아울러 모바일 및 클라우드 컴퓨팅과 같은 새로운 기술 동향들이 기업에게 보안과 관련된 새로운 도전으로 부상했다는 점도 주목할 부분이다.

◇ 공개 배포된 모바일 공격 코드가 2011년 19% 증가 - IBM X-Force 보고서는 현재 기술 동향과 모바일 기기를 업무에 이용하는 BYOD(Bring Your Own Device) 동향에 초첨을 맞춘 발표 내용에서 모바일 기기를 표적으로 배포된 공개 공격 코드의 수가 전년도에 비해 19% 증가됐다고 보고했다. 이미 사용 중인 스마트폰 등은 공개 배포된 공격 코드에 대한 취약점이 패치되지 않아 공격 받을 수 있는 위협이 존재한다. IT 관리자들은 이러한 점차 급증하는 위협에 대처하기 위하여 대비해야 한다.

◇ 소셜 미디어를 이용한 공격 증가 - 소셜 미디어 플랫폼과 소셜 테크놀러지의 광범위한 채택과 더불어, 이러한 분야가 표적이 되고 있다. IBM X-Force는 소셜 미디어 사이트를 가장하는 피싱 이메일이 급격히 증가한 것을 관찰하였다. 공격이 더욱 정교해져 소셜 네트워크의 개인적 또는 업무에 대한 일상 정보가 공공기업 및 기업의 컴퓨팅 네트워크에 침투하기 위한 사전 정보 수집에 쓰이기 시작했다.

◇ 새로운 도전에 직면한 클라우드 컴퓨팅 - 클라우드 컴퓨팅은 도입이 가속화 되면서 2013년 말까지 급속히 성장할 것으로 예상된다. 2011년에는, 기업과 일반 고객들에게 피해를 끼친 클라우드 보안 공격이 많이 있었다. IT 보안담당자는 어느 워크로드가 제3자인 클라우드 제공자에게 보내지고, 어느 민감한 자료가 내부적으로 보관되어야 하는지를 신중히 고려해야 한다. 클라우드 보안은 클라우드 서비스 제공자 영역에서의 융통성과 기술 뿐만 아니라 고객 영역에 대한 진단도 요구된다.
 
IBM X-Force 보고서에서는, 기업이 현실적으로 클라우드 컴퓨팅 서비스에 대하여 행사할 수 있는 영향이 제한적이기 때문에, 클라우드에서 보안을 관리하기 위한 가장 효과적인 수단은 서비스 수준 합의서(SLAs)를 통하는 것이라고 특별히 강조한다. 따라서, 서비스 수준 합의서를 작성할 때에는 소유권, 접속 관리, 규제 및 종료에 대하여 신중한 고려가 이루어져야 한다. IBM X-Force 보고서는 클라우드 고객들이 클라우드 전개에 대한 포괄적인 관점을 갖고 전반적인 정보 보안에 대한 태도까지 충분히 고려할 것을 권장한다.

이와 관련 리얀 버그(Ryan Berg) IBM 클라우드 보안전략 연구원은 “클라우드 도입 형태에 따라 다르지만 대부분 사용자는 그들의 통제 밖에 있기 때문에 클라우드 서비스 보안에 대해 많은 사용자들이 걱정한다”며, “사용자들은 클라우드로 향하는 자료의 정보보안 요건에 초점을 맞추어야 하며, 실사를 통해 클라우드 제공자가 워크로드를 적절히 보호할 수 있는 능력을 갖고 있는지를 명확히 해야 한다”고 당부했다.

한편, ‘IBM X-Force 2011년 보안 동향 및 리스크 보고서’는 업계를 선도하는 IBM 보안 연구팀이 4,000개 이상의 IBM 고객사들로부터 수집한 취약점 공개 자료를 연구하고 하루 평균 130억 건의 공격에 대한 점검과 분석을 통해 작성된다. IBM X-Force 2011년 보안 동향 및 리스크 보고서 전문과 하이라이트 동영상은 IBM 사이트(www.ibm.com/security/xforce)에서 확인할 수 있다.
[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>