자바 취약점 제로데이 공격 감소

파이어아이가 2014년 보안 위협 동향에 대한 15가지 예측을 발표했다.

이는 각종 보안 위협이 발생했던 2013년을 마무리하면서 2014년 새로운 보안 위협의 트렌드와 변화를 예측한 것으로 파이어아이의 전문 엔지니어와 연구 팀이 보유한 풍부한 보안 데이터와 인사이트를 바탕으로 작성됐다.

이번 2014년 보안 위협 예측에서 파이어아이는 자바(Java) 애플리케이션의 취약점을 이용한 공격은 줄어들 것이며 웹 브라우저 기반의 공격이 증가할 것으로 전망했다.

APT 공격에 사용되는 악성 코드를 제작·배포 하는 세력 및 행위는 점차 규모가 확산 될 것이며 새로운 모바일 멀웨어의 급부상으로 2014년의 위협 동향은 보다 복잡해 질 것으로 예상했다.

파이어아이가 발표한 2014년 보안 위협 예측의 주요 내용은 다음과 같다

1. 보다 정교한 공격의 증가 = 정교한 위협 행위자들은 네트워크 장비들의 식별이나 속성 파악을 어렵게 만들기 위해 기존의 대중적으로 사용된 크라임웨어(Crimeware: 범죄행위에 사용 되는 악성 코드) 툴 뒤에서 계속해 잠복할 것으로 보인다.

2. 도난 되거나 유효한 인증서를 사용하는 공격 바이너리의 증가 = 이러한 인증서 사용을 통해 악성코드가 합법적인 실행 파일인 것처럼 가장함으로써 전통적인 안티바이러스(AV)를 우회하는 공격이 증가할 것으로 예상된다.

3. 모바일 악성코드에 의한 위협 동향의 복잡화 = 모바일 악성코드는 위협 동향을 더욱 복잡하게 만들 것이다. 예를 들어 SMS 를 통한 인증이 요구되는 시스템에 접근 하는 경우 공격자는 모바일과 데스크톱을 동시에 공격 하는 혼합된 공격 양상을 나타낼 것이다. 사이버 공격자들은 클릭이 되는 곳마다 기회를 노리기 때문에 이 같은 모바일 기기에 대한 공격에 지속적으로 집중할 것으로 보인다.

4. 자바 제로데이 취약점 공격 감소 = 자바 애플리케이션의 취약점을 이용한 제로데이 공격은 감소할 것으로 예상된다. 자바 익스플로잇(Exploit)은 개발이 비교적 용이함에도 불구하고 2013년 2월 이후 새로운 자바 제로데이 익스플로잇 공격이 출시되는 빈도가 급감했다. 그 이유는 아마도 자바 1.7에서의 보안 경고창이 원인일 수 있으며 혹은 화이트 해커인 보안 연구가들로부터 관심이 증가했기 때문일 수 있다. 또 다른 가능성은 너무 소수의 사람들만이 보안에 취약한 자바 버전을 사용하고 있어 익스플로잇 제작자들이 계속해서 더 많은 버그를 찾기가 어렵기 때문이다.

5. 브라우저 기반의 취약점 증가 = 브라우저 기반의 취약점은 보다 흔해질 수 있다. 공격자는 점차 브라우저상의 ASLR(address space layout randomization: 특정 프로세스사 사용하는 메모리 주소를 무작위로 부여함으로써 익스플로잇 공격을 방어하기 위한 기법)를 우회하고 있다. 새롭게 발견되는 자바 및 고전적인 인풋-파싱(Input-parsing) 취약점을 통한 공격은 둔화될 것으로 보이는 반면 브라우저의 제로데이 취약점을 포함한 공격들은 증가할 것으로 보인다.

6. CnC 통신을 은폐하기 위한 여러 기술 적용 = 악성코드 제작자는 명령 및 제어(CnC) 통신을 은폐하기 위한 기술을 채택할 것이다. 악성코드 제작자는 트래픽을 전달하고 탐지를 우회하기 위해 터널링 및 릴레이 기술을 악용할 것이다. 이러한 변화는 네트워크 기반의 보안 장비를 우회하기 위함이다.

7. 워터링 홀 및 소셜 미디어를 통한 표적 공격이 스피어피싱 공격 대체 = 워터링 홀 공격 및 소셜미디어릍 통한 표적 공격이 이메일을 통한 스피어피싱 공격을 점차 대체할 것이다. 워터링 홀과 소셜 미디어 네트워크는 공격 대상이 쉽게 방심 하게 만들기 때문에 최소한의 노력만으로 공격 대상을 덫에 걸리게 할 수 있다.

8. BIOS 내장 되거나 펌웨어 업데이트를 통한 악성 코드 증가 = 보다 많은 악성코드가 제품 제조 과정에 포함돼 확산될 것이다. BIOS(기본 입출력 시스템)에 내장돼 있거나 펌웨어 업데이트를 통해 많은 악성 코드들이 활동하게 될 것으로 예상된다.

9. 어도비 플래시의 '클릭 투 플레이' 기능으로 인해 새로운 '힙 스프레이' 공격 출현 = 어도비 플래시가 클릭 투 플레이(click-to-play) 기능을 사용함에 따라 새로운 힙 스프레이(Heap Spray: 모리 할당의 취약점을 이용한 익스플로잇) 공격이 부상할 것이다. 클릭 투 플레이 기능은 악의적인 플래시 콘텐츠를 잠정적으로 실행하기 위해 사용자의 상호 작용을 요구하기 때문에 명시적 승인 없이 실행하는 플러그인 기반의 콘텐츠를 막는데 사용된다. 최근 몇 개월 동안 플래시의 취약성을 이용한 힙 프레이 공격이 발생됐다. 그러나 어도비가 MS 워드 문서의 클릭 투 플레이 기능을 실행했기 때문에 이러한 공격은 더 이상 유효하지 않았다. 예를 들어 가장 최신의 제로데이 공격인 docx/tiff 취약점 역시 이러한 이유로 플래시를 사용하지 않았다.

10. 자동화된 샌드박스 분석 시스템을 우회하기 위한 기법 등장 = 공격자들은 자동화된 샌드박스 분석 시스템을 우회하기 위해 재부팅시 동작하거나 마우스 클릭후 동작, 응용프로그램 종료 등 여러 방법을 연구할 것이다. 대표적인 예로 한국과 일본에서 발견된 것과 유사하게 특정 시간에만 동작 하는 악성코드를 들 수 있다. 공격자들은 샌드박스 시스템을 우회하는데 주력하고 있으며 이를 통해 악성코드는 보다 획기적으로 강력해질 것이다.

11. 공격의 마지막 단계로 공격 대상 시스템 OS를 파괴하는 크라임웨어의 증가 = 더 많은 크라임웨어가 공격의 마지막 단계로서 표적인 된 시스템의 운영체제(OS)를 파괴할 것이다. 최근 유럽 당국은 사이버 범죄단체를 잡는데 성공적이었지만 운영체제를 삭제하는 제우스(Zeus)의 새로운 기능은 사이버 공격자들이 공격에 대한 어떠한 증거도 삭제하고 실형을 피할 수 있도록 한다.

12. APT 공격의 배후에 존재하는 사이버 무기 판매상 증가 = APT 공격의 배후에 악성 코드 생산 및 배포에 대한 일련의 활동을 총괄하는 사이버 무기 판매상(Digital quartermasters)이 증가할 것으로 예상된다. 지난 5월 파이어아이가 탐지한 APT 캠페인인 Sunshop의 배후에 있는 무기 판매상은 시작에 불과하다고 볼 수 있다. 악성코드를 산업화하고 규모의 경제를 생성하기 위해 그들의 개발 및 실행 계획 운영을 중앙에서 통제하는 위협 행위가 증가할 것이다.

13. 공격 대상 기관 간의 상호 협조 증가 = 전세계 공격 대상 기관간의 협력이 증가함에 따라 각각의 공격에 대한 상호 연관성을 확인 할 수 있으며 이를 통해 사이버 범죄 집단이 식별되고 범죄 행위가 종료될 수 있다.

14. 사이버 범죄의 집중화 = 사이버 범죄자는 점차 일반 데이터보다 가치 있는 세부 정보에 대해 인식하게 될 것이며 결과적으로 더 많은 공격자들이 고 부가가치의 데이터에 집중할 것이다.

15. 지능형 악성코드 탐지에 소요되는 시간 증가 = 지능형 악성코드 탐지에 소요되는 시간이 지금보다 증가할 것으로 예상된다. 버라이존 데이터 침해 조사 보고서, 포네몬 연구소 등 시장 조사기관에 따르면 침해 탐지를 위해 약 80~100일이 소요되며 복구는 약 120~150일이 소요된다. 위협 행위들이 장기간 공격 대상 조직 내 잠복하는 기술과 더불어 더욱 정교화되면서 탐지에 소요되는 시간은 증가할 것으로 보이며 복구 시간은 빨라질 것으로 예상된다.