• 아티클

Networking

Microsoft Security Intelligence Report(보안 정보 보고서)

Tim Rains

 

한 눈에 보기:

  • 소프트웨어 취약점 노출, 악용 및 맬웨어의 경향
  • 다양한 Windows 버전에 대한 위협의 영향
  • 전 세계에서 감염률이 가장 높은 지역 및 가장 낮은 지역

인터넷으로 연결된 수많은 컴퓨터 및 전 세계에서 사용량이 가장 많은 일부 온라인 서비스에서 수집한 데이터를 통해 Microsoft는 오늘날의 인터넷 사용자가 직면해 있는 보안 위협에 대해 독창적인 시각을 보유할 수 있게 되었습니다.

Microsoft는 SIR(보안 정보 보고서)을 통해 이러한 데이터를 연 2회에 걸쳐 공유하고 있습니다. MMPC(Microsoft® Malware Protection Center), MSRC(Microsoft Security Response Center), TwC(Trustworthy Computing) 그룹 및 수많은 다른 제품 그룹에서 이 보고서에 들어갈 의견을 제공합니다. SIR을 참조하면 소프트웨어 취약점 노출, 악성 소프트웨어, 스파이웨어나 애드웨어 같은 원치 않는 소프트웨어의 최신 경향을 심층적으로 살펴볼 수 있습니다. 또한 이 보고서에서는 위협 환경 내에서 다양한 버전의 Windows 운영 체제가 반응하는 양상 및 전 세계에서 맬웨어 또는 기타 침입형 소프트웨어의 감염률이 가장 높은 지역을 자세히 보여 줍니다. 최신 버전의 보고서에서는 2007년 상반기에 관찰된 경향을 중점적으로 다루고 있으며 소프트웨어 취약점 악용에 대한 단원이 새로 추가되었습니다. SIR은 인터넷 관련 위협에 대한 정보를 제공하는 것이 그 목적입니다. 컴퓨터 보안 업무를 담당하고 있거나 이 분야에 관심이 있는 사용자의 경우 SIR을 참조하면 많은 도움을 받을 수 있습니다.

최신 버전의 SIR을 보면, 모든 공급업체에서 제공하는 소프트웨어에서 점점 많은 취약점이 발견되고 있다는 사실을 알 수 있습니다. 실제로 2007년 상반기에만 3,400가지나 되는 소프트웨어 취약점이 새롭게 노출되었습니다. 하지만 이 엄청난 수치에도 불구하고 운영 체제에서 노출되는 취약점의 비율은 전반적으로 감소하고 있습니다.

여기에는 어떤 의미가 있을까요? 운영 체제의 보안은 그동안 꾸준히 개선되어 온 사항이므로 보안 조사 팀에서 응용 프로그램의 보안 문제 발견에 더 주력한 것일 수 있습니다. 또한 새 응용 프로그램의 출현 속도는 새 운영 체제의 출현 속도를 앞지르고 있으므로, 이와 같은 최근의 취약점 노출 문제는 응용 프로그램의 확산으로 인한 것일 수도 있습니다.

2006년에는 Microsoft 제품의 알려진 취약점 중 공개적으로 이용 가능한 공격 코드가 포함된 취약점은 29.3%에 달하였지만, 2007년 8월 1일 현재 이러한 공격 코드가 포함된 취약점은 20.9%뿐입니다. 취약점의 수는 계속 증가하고 있지만 공격 코드의 비율은 그대로이거나 오히려 조금 감소했습니다. 새로운 제품에서는 공격 코드를 쉽게 찾아볼 수 없습니다. Microsoft는 제품별 비교 작업을 수행한 결과, 새로운 버전의 제품일수록 기존 버전에 비해 위험에 덜 노출되어 있다는 사실을 알게 되었습니다. 평균적으로 취약점 공격 가능성은 제품 사용 주기에 따라 낮아지는데, 이는 곧 대부분의 제품의 경우 최신 버전일수록 공격 가능성이 낮아진다는 의미가 됩니다. 이러한 현상은 Windows 및 Microsoft Office System 제품에서 가장 두드러지게 나타납니다. 두 제품군 모두 최신 버전(Windows Server® 2003, Windows Vista®, Office 2003, 2007 Office system)일수록 전체 제품 사용 주기를 통틀어 취약점 수의 현저한 감소세를 보였습니다.

SIR은 악성 소프트웨어(맬웨어)의 추세를 파악하는 데 매우 유용합니다. 이러한 추세는 현재 사용자를 공격하는 데 이용되는 방법을 알 수 있는 지표입니다. 또한 Microsoft EHS(Exchange Hosted Services), Windows LiveWindows Live® OneCare와 Windows Live OneCare 보안 검사, Windows MSRT(악성 소프트웨어 제거 도구), Windows Defender를 비롯한 몇몇 주요 소스에서 제공하는 데이터를 참조하면 현재의 위협 환경을 보다 정확하게 파악할 수 있습니다.

사회 공학(Social Engineering) 기술이 맬웨어의 배포에 점점 더 많은 비중을 차지하고 있습니다. 사회 공학 기술을 이용한 공격은 대개 사용자가 보안 수단의 효용성을 떨어뜨리는 작업을 수행하도록 유도하여 그 효력을 발휘합니다. EHS의 데이터를 보면 2006년 상반기 동안 고전적인 전자 메일에서 기인한 가장 큰 단독 위협 요소는 고전적인 전자 메일 웜이었으며, 이는 전자 메일에서 발견된 맬웨어의 95%를 차지했습니다. 2006년 하반기가 시작될 무렵 이 수치는 49%로 떨어졌으며 2007년 상반기 내내 이 수준으로 유지되었습니다(그림 1 참조). 2006년 하반기에는 피싱 사기 및 악성 IFrame 공격이 전자 메일 맬웨어의 27%를 차지했으며 2007년 상반기에는 이 수치가 37%로 증가했습니다. 전자 메일을 통해 전달되는 Trojan Downloader는 2006년 하반기에 20%로 증가했다가 2007년 상반기에는 7%로 감소했습니다.

그림 1 2007년 상반기에 집계된 전자 메일 감염 요인 통계

그림 1** 2007년 상반기에 집계된 전자 메일 감염 요인 통계 **(더 크게 보려면 이미지를 클릭하십시오.)

Windows Live OneCare 및 Windows Live OneCare 보안 검사(safety.live.com)에서 수집한 원격 측정 데이터를 보면 2007년 상반기에 바이러스 감염률, 백도어, 암호 유출, 트로이 목마를 이용한 데이터 유출 건수가 증가했음을 알 수 있습니다.

MSRT는 고객 컴퓨터에 퍼져 있는 맬웨어를 찾아서 제거하도록 설계되었습니다. 이 도구는 주로 WU(Windows Update), MU(Microsoft Update) 및 AU(자동 업데이트)를 통해 중요 업데이트로 제공됩니다. 지난 2년 동안 전 세계 2,050만 대의 컴퓨터에서 MSRT를 사용하여 5,030만 개의 감염된 파일을 제거했습니다. 현재까지 MSRT가 실행된 횟수는 2007년 상반기에 실행된 19억 번을 포함하여 총 74억 번이 넘습니다.

MSRT는 Microsoft와 Microsoft 고객에게 데이터를 제공하는 중요한 소스입니다. MSRT에서 관찰된 감염률을 보면 이전 버전의 Windows 운영 체제에 비해 Windows Vista 및 Windows XP SP2 운영 체제의 감염률이 현저히 낮은 것을 알 수 있습니다(그림 2 참조). MSRT가 Windows Vista 컴퓨터에서 제거한 맬웨어는 Windows XP SP2 컴퓨터에 비해 60% 적은 수였고, 서비스 팩이 설치되지 않은 Windows XP 컴퓨터에 비해서는 91.5%나 적었습니다. 흥미롭게도 컴퓨터당 치료 횟수는 시간이 경과해도 일정했으며 감염된 컴퓨터당 평균 치료 횟수는 2.2회였습니다.

그림 2 2007년 상반기 MSRT를 통한 OS 버전별 맬웨어 제거 현황

그림 2** 2007년 상반기 MSRT를 통한 OS 버전별 맬웨어 제거 현황 **(더 크게 보려면 이미지를 클릭하십시오.)

MSRT 참조 결과, 일반적으로 선진국보다 개발 도상국에서 더 많은 맬웨어가 발견된 것을 알 수 있었습니다. 예를 들어 유럽에서 감염률이 가장 높은 국가는 알바니아와 터키였고 감염률이 가장 낮은 나라는 이탈리아와 핀란드였습니다. 아시아 태평양 지역에서는 몽골과 태국이 감염률이 가장 높았고 뉴질랜드와 일본은 감염률이 가장 낮았습니다. 미국은 아메리카 대륙에 있는 대부분의 다른 국가 및 지역에 비해 감염률이 낮았으며 감염률은 세계 평균 정도였습니다. 평균적으로 MSRT는 2007년 상반기 동안 216대의 모든 컴퓨터에서 맬웨어를 하나씩 제거한 셈이 됩니다.

Windows Defender는 Windows Vista, Windows XP 및 Windows Server 2003에서 실행됩니다. 2007년 상반기 동안 Windows Defender를 통해 약 5,070만 개의 원치 않는 소프트웨어가 발견되었으며 Windows XP SP2 컴퓨터에 비해 Windows Vista 컴퓨터에서 발견된 개수가 2.8배 적은 것으로 나타났습니다. 마찬가지로 Windows Vista 컴퓨터에서 발견된 원치 않는 소프트웨어의 수는 Windows Server 2003 컴퓨터에서 발견된 수의 절반에 불과했습니다.

여러분은 이제 이러한 통계 결과에 흥미로움을 느낌과 동시에, 이를 활용하여 시스템 환경을 보호할 수 있는 방법에 대해 알고 싶어질 것입니다. 최신 버전의 SIR에는 각 단원의 주요 내용이 요약되어 있으며 "Strategy, Mitigations, and Countermeasures(전략, 완화 방법 및 대응 수단)"가 제시되어 있습니다. 이 목록을 통해 보고서에 있는 각 단원의 핵심 내용을 빠르게 파악할 수 있습니다.

더 나아가 SIR에서 제공하는 데이터와 견해, 그리고 지침을 통해 끊임없이 변화하는 위협 환경에 비추어 현재의 보안 상태를 평가하고 개선할 수 있습니다. 조사 결과를 바탕으로 전략, 완화 방법 및 대응 수단을 제공하는 전체 보고서는 microsoft.com/sir에서 다운로드할 수 있습니다.

Tim RainsMMPC(Microsoft Malware Protection Center)의 제품 관리자로, Microsoft SIR(보안 정보 보고서)의 프로덕션을 관리합니다. SIR의 저자는 Jeff Jones(Microsoft Trustworthy Computing Group 관리자), Jeff Williams(MMPC 관리자), Mike Reavey(Microsoft Security Response Center의 그룹 관리자), Ziv Mador(MMPC의 수석 프로그램 관리자 겸 응답 조정자)입니다.

© 2008 Microsoft Corporation 및 CMP Media, LLC. All rights reserved. 이 문서의 전부 또는 일부를 무단으로 복제하는 행위는 금지됩니다..