지난해 SW 온라인 불법복제 피해액 최저치 불법 소프트웨어로 인한 악성코드 감염율 30% 넘어
2013-04-22 PC사랑
지난해 소프트웨어 온라인 불법복제 피해가 6년만에 최저치를 기록했다. 하지만 여전히 불법 소프트웨어로 인한 피해금액이 전세계적으로 1천 140억 달러에 육박하고 있으며, 악성코드에 감염되면 사이버 범죄로 이어질 가능성도 높아 안전한 정품 소프트웨어 사용에 대한 요구가 증가하고 있다. 갈수록 시스템이 복잡하고 다양해지고 있어, 과거와 같이 불법소프트웨어에 대해 안일한 생각을 하게 되면 향후 커다란 위험 요소로 떠오르게 될 것으로 보인다.
서민규 ksspd@naver.com
서민규 ksspd@naver.com
[표1. 연도별 온라인 불법복제 추이]
이와 함께 불법 소프트웨어를 사용하면 악성 코드로 인해 피해를 볼 확률이30%를 넘어서고 있다. 최근 IDC가 조사한 ‘불법 및 해적 소프트웨어의 위험성’ 조사 결과에 따르면, 불법 소프트웨어를 통해 예상치 못한 악성코드에 감염될 확률이 소비자용에서는 33%, 비즈니스용에서는 30%에 달하는 것으로 나타났다.
불법소프트웨어 악성코드, 소비자·기업모두 위험 노출
올 한 해 동안 악성코드가 야기하는 사이버 공격을 처리하기 위해 기업이 소모해야 할 비용은 전세계적으로 1천 140억 달러로 예상된다. 또한 아시아태평양 지역에서는 이런 비용이 390억 달러에 달할 것으로 추정된다. 데이터 손실로 인한 비용까지 고려하면 1천 290억 달러에 이를 것으로 예측되어 많은 피해가 예상된다. 이런 감염으로 인해 일반 소비자들이 입게 될 피해를 인증, 수리, 복구하기 위해 드는 시간은 세계적으로 15억 시간, 피해 규모는 220억달러에 이를 것으로 보인다.
불법 소프트웨어는 45%가 인터넷에서 다운로드 되고 있다. 이 중에서 스파이웨어를 포함한 78%는 웹사이트나 P2P 네트워크에서 다운로드 됐고 36%는 트로이목마 및 애드웨어를 포함하고 있다.
이렇게 위장된 악성 코드들을 통해 사이버 범죄자들이 피해자의 개인 정보나 금융 정보를 빼내가거나 원격으로 감염된 컴퓨터의 마이크나 비디오 카메라를 조정해 피해자의 사생활을 엿볼 가능성도 있다. 이러한 사이버 범죄의 위협을 막고 자신을 보호하기 위해서는 컴퓨터를 구매할 때 정품 소프트웨어를 꼭 확인하는 것이 최선의 방법이 된다.
전문가들은 최근 불법 소프트웨어를 접한 소비자와 기업들에게 잠재 위험이 발생할 수 있다는 점이 명백해졌다는 점에서 우려를 나타내고 있다. 일부 사람들이 돈을 절약하고자 불법 소프트웨어를 선택하지만 감염되어 있는 악성코드로 인해 기업이나 일반 컴퓨터 사용자들 모두에게 금전적으로나 정신적인 부담을 유발할 수 있다는 것이다. 과거와 같이 1인 PC나 시스템이 단순했던 환경에서는 불법 소프트웨어가 통용됐지만, 갈수록 시스템이 복잡해지고 다각화되면서 신종 바이러스에 노출될 위험이 갈수록 커져가고 있는 것이다.
<악성 코드가 포함되어 있는 다운로드 프로그램 및 CD 비율>
기업용 컴퓨터에도 사용자가 업무 환경에 안전하지 않은 소프트웨어를 설치할 위험성이 있다. 아시아태평양 지역 56%의 IT 관리자가 위험성에 대해 인지하고 있으며 근로자 중 74%는 기업 소유 컴퓨터에 개인 소프트웨어를 설치했고, 이 중에서 12% 만이 문제 없는 것으로 파악되고 있다. IT 관리자 66%는 사용자가 설치한 소프트웨어가 기업의 보안 위협을 증대시킨다고 말하고 있다.
스마트폰 소액결제 악성코드 변종 급증 경고
소액결제 인증 SMS 탈취해 사용자 몰래 결제
스마트폰 소액결제를 노린 안드로이드 악성코드 ‘체스트(chest)’의 변종이 급증하고 그로 인한 피해도 증가해 사용자의 주의가 필요하다. 지난해 10월부터 피해를 일으키고 있는 안드로이드 악성코드 ‘체스트(chest)’ 의 변종이 올해 들어 급증했다. 작년 10월~12월 동안 14종이 발견됐지만 올해 들어서는 1월부터 3월 7일 현재까지 225종이 발견돼 16배나 늘어난 수치다. ‘체스트’ 변종의 배포 방식은 종전과 동일하지만, 소스 코드가 일부 추가/ 변경된 것이 특징이다. 커피, 외식, 영화 등 다양한 유명 브랜드를 사칭한 무료쿠폰 안내와 URL을 문자로 보내 사용자를 현혹한다.
사용자가 무심코 URL을 클릭해 해당 페이지에서 애플리케이션(이하 앱)을 설치하면 본인도 모르게 소액결제가 이루어져 금전 피해를 보게 된다. 악성코드 제작자는 사전에 입수한 정보를 토대로 SMS(악성 앱 설치 유도 메시지) 수신자(타깃)를 웹 화면에서 관리 및 모니터링 한다. 악성코드 제작자는 공격 대상을 정하고 ‘어플 설치하면 카페라떼+치즈케익이 공짜’ 등 사용자를 현혹하는 내용과 URL을 문자 메시지로 보낸다. 사용자가 단축 URL을 클릭해 앱을 설치하면 유명 커피 전문점을 사칭한 아이콘이 생성되고 서비스에 등록된다.사용자가 악성 앱을 실행하면 ‘사용자 급증으로 시스템 과부화로 잠시후에 다시 이용 바랍니다’라는 메시지가 뜬다. 이는 피해자를 속이기 위한 허위 메시지이다. 악성 앱이 실행되면 통신사 정보와 스마트폰 번호가 악성코드 제작자에게 전송된다. 악성코드 제작자는 정보를 확보한 후 즉시 소액결제를 시도하고 이때 수신된 인증번호를 사용자 몰래 가로채서 금전을 탈취한다.
<체스트 동작개요>
기존 악성코드는 대부분 불특정 다수를 대상으로 하고 개인정보 탈취가 주 목적이었다. 하지만 ‘체스트(chest)’는 과거 발생한 대량의 개인정보유출 사고를 통해 유출된 개인정보 중 주민번호와 전화번호를 이용해 특정한 공격 대상을 정한다는 점에서 기존 악성코드보다 진보된 형태라고 할 수 있다. 특히, 소액결제를 할 때에는 반드시 필요한 인증번호 문자 메시지가 사용자 몰래 직접 악성코드 제작자에게 전달되도록 설계되어 피해 사실을 당장 알기 어렵고, 사용자는 청구서가 나온 후에야 피해를 확인할 수 있다는 점, 대부분의 사용자가 핸드폰 사용 내역서를 꼼꼼히 살펴보지 않는다는 점에서 이후 유사한 피해가 추가로 발생할 우려가 높다. 국내 휴대폰 소액결제 서비스 한도 금액이 일인 당 매월 30만원으로 제한되어 있지만 현재 시장 규모가 2조8000억 원에 이르는 것을 감안하면 전체 피해액은 높을 수 있다. 이와 관련해서 안랩 관계자는 “사용자는 문자로 전송된 URL을 클릭할 때나 해당 페이지에서 요구하는 앱 설치에 주의해야 하며, 서드파티 마켓은 물론 구글 공식 마켓이라도 안심하지 말고 평판을 읽어본 후 설치하고, 새로운 앱은 1주일 이상 여유를 두고 평판을 지켜본 후 설치하는 등 신중함이 필요하다”고 말했다. 무엇보다 수시로 스마트폰 전용 백신으로 점검을 해보는 습관이 필요한 때이다.
한국오키시스템즈(이하 오키)가 프린트플릿의 통합출력관리 서비스(MPS, Managed Print Services)프로그램을 도입해 서비스를 제공한다. 프린트플릿 MPS는 기업 내 모든 출력 기기의 통합적 관리 및 비즈니스 프로세스 개선을 지원하며, 기업의 비즈니스 목적에 따라 최적의 오피스 환경을 구축할 수 있도록 출력기기 도입에서부터 운용, 유지 보수까지 체계적인 출력기기 관리를 제공한다. 오키 제품은 물론 타사의 사무기기와도 호환되는 프린트플릿 MPS를 통해 고객들은 기업내 설치된 프린터, 복사기, 팩스, 스캐너 등 모든 출력기기를 동시에 원격 관리할 수 있다. 디바이스 뷰(Device View) 기능을 이용해 등록된 출력기기에 대한 전반적인 정보 및 기기별 사용량 등 현재 상태를 한눈에 파악할 수 있고, 소모품 재고 현황 확인 및 추가 주문이 가능하다. 장치에 이상이 있거나 문제 발생 시에는 알람(Alert) 기능을 통해 바로 파악할 수 있으며, 맵(Maps) 기능을 이용해 사무실 도면상에서 출력기기의 위치를 확인할 수 있다.
샤코시스템은 자체 개발한 IT보안인증사무국의 검증필 암호모듈인 이지크립트(EGCrypt) V1.0을 탑재한 ‘이지스아이(EGIS-i)’를 출시했다. 보안솔루션 ‘이지스아이(EGIS-i)’는 사내에서 유통되는 문서, 도면 데이터에 대한 원천 암호화를 통해 사내 정보의 외부 유출을 방지하는 보안 솔루션이며 대기업을 포함한 유망 중소기업에서 꼭 필요한 제품이다. 특히 신제품은 내부정보 유출방지 솔루션으로 도면보안 분야의 뛰어난 품질과 성능으로 신규, SMB, 윈백(Win Back) 고객이 늘고 있어 사업 전망도 밝다. 이외에도 샤코시스템은 출도 보안 솔루션인 플롯매니저2(PlotManager2), 외부DRM 제품인 이지피디에프(EGPDF), IT보안인증사무국의 암호모듈 검증필 받은 이지크립트 (EGCrypt), 통합 이미지 뷰어(EGViewer) 등의 제품을 개발 및 판매하고 있으며, 시장의 요구로 솔루션의 종류도 다양화하고 있다.
IDC, 불법 소프트웨어 위험성 조사 발표
마이크로소프트가 시장조사기관 IDC에 의뢰해 실시한 ‘불법 및 해적 소프트웨어의 위험성’ 조사 결과에 따르면, 불법 소프트웨어를 통해 악성코드에 감염될 확률이 소비자용에서는 33%, 비즈니스용에서는 30%에 달하는 것으로 나타났다. IDC는 이번 조사를 진행하기 위해 270개의 웹사이트 및 P2P 네트워크, 108개의 소프트웨어 다운로드, 114개 CD 혹은 DVD를 분석했다. 또한 영국, 미국, 중국, 인도, 멕시코, 러시아 등을 포함한 세계 각국의 2077명의 일반 소비자와 258명의 IT관리자와 CIO들도 조사 대상에 포함됐다. 조사 결과 불법 소프트웨어는 45%가 인터넷에서 다운로드 되는 것으로 밝혀졌다. 이 중 스파이웨어를 포함한 78%는 웹사이트나 P2P 네트워크에서 다운로드 됐고 36%는 트로이목마 및 애드웨어를 포함하고 있었다. 이렇게 위장된 악성 코드들을 통해 사이버 범죄자들이 피해자의 개인 정보나 금융 정보를 빼내가거나 사생활을 엿볼 가능성도 있다. 이러한 사이버 범죄의 위협을 막고 자신을 보호하기 위해서는 컴퓨터를 구매할 때 정품 소프트웨어를 꼭 확인하는 것이 최선의 방법이다.