Content
전문가의 관점: 예방이 곧 치료
바이러스 위협이 감소되고는 있는 반면 피싱 및 트로이 목마의 위험은 증가하고 있습니다. McAfee 보안 컨텐트 부서장인 Monty Ijzerman은 보안 연구자로 구성된 엘리트 팀의 일원으로 서버 위협을 식별하고 평가합니다. 위협의 진화 및 기업이 예방을 통해 혼합형 위협에서 스스로를 효과적으로 보호할 수 있는 방법에 대해 Ijzerman이 그의 고견을 공유합니다.
보안 스포트라이트: 임박한 웜, 트로이목마 및 바이러스 등의 네트워크 및 호스트 공격 및 침해는 무엇입니까?
Monty Ijzerman: 바이러스는 줄어들었지만, 피싱, 트로이목마 및 멀웨어가 증가하고 있습니다. APWG(Anti-Phishing Working Group)에 따르면 피싱 사이트는 2004년 7월에서 12월 사이에 24% 성장하였고, 2004년 12월에 보고된 활성화된 피싱 사이트는 1,700개가 넘습니다.
지난 1년간 한 가지 유형 이상의 침해를 사용한 혼합형 위협이 증가해 왔습니다. 과거에 멀웨어는 전자우편을 통해 전송되어 사용자가 첨부 파일을 열 때 시작되었습니다. 이제 멀웨어는 하나 이상의 취약성을 이용합니다. 시스템이 취약성 A에 대해 보호되어 있는 경우에 멀웨어는 취약성 B와 C로 시도합니다.
예를 들면 최초 대상이 기업 전자우편 서버일 경우 전자우편 서버가 손상되면 공격이 계속됩니다. 공격자는 방어선에 접근할 방법을 모색한 다음, 방어선에 도착하면 여러 가지 유형의 공격을 수행하는 시스템인 bot(원격 제어 가능 도구)을 설치합니다. 따라서 공격자는 전자우편 서버에서 시작하여 데스크탑으로, 다시 웹 서버로 이동할 수 있습니다. 기업에의 영향은 보안이 혼합형 공격을 처리할 수 있어야 한다는 것입니다.
보안 스포트라이트: 2005년에 또 다른 주요 제로데이 공격이 등장하겠습니까?
Ijzerman: 지난 3~4년간 한 가지 취약성을 사용하는 하나의 웜이 해마다 전세계적으로 확산되었습니다. 아마도 올해에도 하나 이상의 공격이 있을 것입니다.
이러한 웜이 발견되면 Microsoft가 내재된 취약성을 찾아내어 패치를 제공합니다. 그러나 이들 패치를 적용하지 않으면 이러한 웜은 매우 쉽게 확산될 수 있습니다.
보안 스포트라이트: 좀 나아질까요?
Ijzerman: 2004년 하반기에는 바이러스에 대한 고객들의 보호가 개선되어 왔습니다. IT 기관은 Microsoft의 패치 배포 일정에 내부 프로세스를 동기화함으로써 Microsoft 패치의 적용을 개선하고 있습니다.
진화하는 위협
보안 스포트라이트: 오늘날의 보안 위협은 어떻게 바뀌고 있습니까? 어떤 유형의 공격이 가장 일반적입니까?
Ijzerman: 스파이웨어, 애드웨어 및 피싱이 주를 차지합니다. 피싱에 대한 보호를 위해서는 위험을 방지하기 위한 좋은 도구를 갖추는 것은 물론, 사용자들에게 유해 가능성이 있는 프로그램의 위험을 가르칠 필요가 있습니다. 이들 사기 중 일부는 매우 정교합니다. 보안에 대해 잘 아는 사용자도 우연히 원치 않는 프로그램을 다운로드하거나 사기에 속을 수 있습니다.
공격의 유형 또한 바뀌고 있습니다. 오늘날 대부분의 공격은
WAV와 같은 미디어 파일이나 GIF와 같은 이미지 파일에서 발견됩니다. 최근에 Windows Media Player에서 재생 목록을 다운로드한 경우에 공격인 경우가 있었습니다. 다행히도 McAfee® VirusScan® 8.0i
는 이미지 또는 미디어 파일에 숨겨진 멀웨어로부터 데스크탑을 보호합니다.
이미지 또는 미디어 파일의 공격은 메모리 오버플로를 시도합니다. 버퍼 오버플로의 경우 데이터가 메모리의 다른 공간에 쓰여지게 되므로, 공격자가 성공하면 악성 코드가 실행됩니다. McAfee Entercept®는 호스트 시스템 및 서버가 버퍼 오버플로의 결과로 악성 프로그램을 실행하는 것을 방지하며 제로데이 공격의 경우에도 이를 탐지합니다.
보안 스포트라이트: 공격을 만들거나 배포하는 사람들은 누구입니까? 웜 저작자는 애드웨어 및 스파이웨어의 저작자와 동일 인물입니까?
Ijzerman: Sasser 및 Blaster 웜 저작자만 잡혔습니다. 대부분의 바이러스 저작자들은 아직 신원이 밝혀지지 않았습니다. 조직적인 사이버 범죄에 대한 보고는 거의 없습니다. 스파이웨어 및 애드웨어 저작자들은 좀 더 금전적인 동기를 갖고 있습니다.
그들은 스파이웨어 및 애드웨어를 사용하여 원하든 원치 않든 데스크탑에 소프트웨어를 설치합니다. 이는 유해 가능성이 있는 프로그램입니다. 가끔 갑자기 팝업창이 나타나 "소프트웨어를 설치하시겠습니까?"라고 묻는 경우가 있습니다. 실수로 "확인"을 누르면 그 소프트웨어의 설치에 동의한다는 의미가 됩니다. 이것은 불법이 아닙니다.
다른 스파이웨어 및 애드웨어 회사들은 몰래 소프트웨어를 설치합니다. Microsoft Internet Explorer의 취약성과 결합하여 시스템으로 소프트웨어를 이동하는 속임수가 있습니다. 동의를 하지 않은 경우에는 스파이웨어가 됩니다. 스파이웨어는 팝업 광고처럼 무해할 수도 있고, 신용 카드 번호를 수집하는 경우에는 유해할 수도 있습니다.
보호를 위해서는 McAfee AntiSpyware와 같은 안티스파이웨어 소프트웨어를 실행해야 합니다. McAfee AntiSpyware는 신원 도용에 사용되는 키 로거, 원격 제어 프로그램 및 브라우저 하이잭커와 같은 응용 프로그램을 감지 및 제거합니다. 또한 귀찮은 팝업 광고를 시작하고 시스템 리소스를 낭비하는 애드웨어 프로그램을 중지합니다.
투과성의 방어선
보안 스포트라이트: 다층적 보안이 이러한 공격에 대해 충분하겠습니까? 기업 네트워크 방어선의 개념이 그 의미를 상실함에 따라 정보 자산 보호가 어떻게 달라집니까?
Ijzerman: 10년 전과 같은 기업 네트워크 방어선은 더 이상 존재하지 않습니다. 사람들이 랩탑을 집이나 공항 키오스크에 연결했다가 회사로 다시 갖고 오면 방어선이 붕괴될 수 있습니다. 이는 방화벽과 안티바이러스 솔루션에만 의존하는 것보다 다층적 보안 시스템이 더욱 중요해졌음을 의미합니다.
공격 차단에 의한 보호가 가장 중요합니다. McAfee IntruShield®와 같은 네트워크 침입 방지 시스템 또는 McAfee Entercept와 같은 호스트 침입 방지 시스템을 사용해 공격 차단을 실행할 수 있습니다. 기업이 IntruShield를 사용하는 경우에는 악성 트래픽은 네트워크에서 차단됩니다. 공격이 네트워크를 지나 서버에서 무언가 하려고 하거나 공격이 로컬에서 시작되면 Entercept는 공격을 차단합니다.
기업 IT 부서는 시스템의 취약성을 검색해야 합니다. IT 관리자는 네트워크와 서버 및 데스크탑이 실행하는 응용 프로그램에 대해 잘 알아야 합니다. 시스템이 패치가 되도록 해야 합니다. McAfee Foundstone은 이를 위한 최고의 솔루션 중 하나입니다. Foundstone은 IT 관리자가 지속적으로 값진 기업 자산을 평가하고 능동적으로 보호할 수 있도록 하며, 한정된 자원을 가장 중요한 것을 보호하는 데 중점을 두도록 합니다.
기업은 컴퓨터에 대한 사용 정책을 강력하게 실행해야 합니다. 인터넷 서핑 중에 직원이 안전하도록 합니다. McAfee에서는 직원이 은밀한 웹 사이트에 가면 기업 정책이 이를 차단합니다. 직원은 기업 시스템에 소프트웨어를 설치할 수도 없습니다.
기업은 또한 문제가 발생하면 이를 안전하고 구조적으로 제거할 수 있도록 사고 대응 프로세스를 필요로 합니다.
보안 스포트라이트: 기업이 네트워크와 시스템을 보호하기 위해서는 어떤 시스템을 채택할 수 있겠습니까?
Ijzerman: 최고의 전략은 다층적 보안을 갖추고 공격이 일어나면 차단하는 것입니다. 안티바이러스와 안티스파이웨어 소프트웨어에서 네트워크 및 호스트 침입 방지 시스템까지를 총괄하는 보안 솔루션을 제공하는 공급업체를 선택하도록 합니다. 수많은 서로 다른 공급업체의 제품을 사용하면서 보안을 확신하기는 어렵습니다.
자료
