월간 CONTENTS 3 EXPERT COLUMN 디지털포렌식과영화 소스코드 6 HOT ISSUE 개인정보보호자율점검, 핵심은? 8 SPECIAL REPORT 잔혹한악의화신, 랜섬웨어집중분석 1부 _ 랜섬웨어, 알아야막을수있다 2부 _ 이상적인 vs.

Transcription

1 안랩온라인보안매거진 Ransomware

2 월간 CONTENTS 3 EXPERT COLUMN 디지털포렌식과영화 소스코드 6 HOT ISSUE 개인정보보호자율점검, 핵심은? 8 SPECIAL REPORT 잔혹한악의화신, 랜섬웨어집중분석 1부 _ 랜섬웨어, 알아야막을수있다 2부 _ 이상적인 vs. 현실적인랜섬웨어대응방안 21 ANALYST REPORT 2015 Frost & Sullivan South Korea APT 기술혁신상 한국의 APT 솔루션시장과 AhnLab MDS 23 THREAT ANALYSIS 안드로이드악성코드드로이드잭 (DroidJack) 상세분석 유럽발모바일악성코드 드로이드잭 주의보 26 IT & LIFE 인터넷은잊지않는다? 잊혀질권리 를찾다 27 STATISTICS 2015 년 10 월보안통계및이슈 29 AHNLAB NEWS 안랩, 랜섬웨어보안센터 웹사이트개설 V3, OPSWAT 골드인증 획득 2

3 EXPERT COLUMN Source Code 디지털포렌식과영화 소스코드 과거에접속해미래를구하라 2011년에개봉한제이크질렌할주연의영화 소스코드 는최첨단기밀시스템으로과거에접속해대형테러를막는다는독특한설정의 SF 액션블록버스터이다. 영화속에서미래를바꾸는시공간이동프로그램을지칭하는소스코드는사실컴퓨터소프트웨어와관련된용어이다. 일반적으로통용되는소스코드는디지털기기의소프트웨어내용을프로그래밍언어로나타낸설계도라는의미이다. 필자가이영화를선택한이유는컴퓨터소프트웨어용어를사용했기때문이아니라과거로돌아가서증거를확인하는과정이보안의디지털포렌식과닮아있기때문이다. 디지털포렌식 (Digital Forensics) 이란디지털정보를저장하는모든단말기의정보 ( 증거 ) 를복구하고분석하는과학수사기법의일종이다. 영화소스코드는시카고외곽에서유니언역으로향하는통근열차가폭발하여탑승객이전원사망하는사건에서부터시작된다. 주인공콜터스티븐스대위는이사건의폭발물과범인을찾기위해폭탄이터진시점부터 8분전시간의사건현장에투입된다. 그를사건현장으로보내주는시스템이바로 소스코드 인데, 희생자중한명의기억속에서마치그현장에있는것처럼행동하면서폭탄을찾고범인을잡는데애쓰게된다. 그리고 8분이지나면폭탄은시카고유니언역에진입하면서폭발하게되고, 폭탄과범인을찾을때까지다시 8분전으로되돌아가게된다. 폭탄이숨겨져있을장소를수색하고의심스러운사람들을한명씩조사하면서, 어리둥절해하는일행까지챙겨야하는주인공은매우바쁜 8분의시간을반복적으로보내게된다. 소스코드는보안이슈가발생했을때현장에투입되어디지털증거를수집하고, 이를분석해내면서악의적인침입의흔적과활동들을파악하여어떠한침해사고가발생했는지타임라인을완성해가는디지털포렌식의과정과동일하다. 영화에서콜터대위는폭탄을제작, 운반, 설치할수있는범인을찾아야하기에의심스러운행동과배경을근거로범인을특정해보지만, 번번히실패하게되는데, 결국폭탄을설치한장소를찾아내고, 그곳을출입한사람들과다양한가능성등을종합하여범인을잡게된다. 디지털포렌식도위와같은방법들을거치면서타임라인을완성하게되는데, 의심스러운접속, 패킷, 로그인흔적, 시간대, 사용자, 접근목록, 외부통신및다운로드등의정보를종합하여해킹하고자하는목표물과방법을찾아가는활동이라고할수있다. 그리고영화소스코드에서이프로그램을가동하는최종목적은열차폭발사건을되돌리기위해서가아니라범인이계획하고있는 2차공격 3

4 을막기위해서이다. 디지털포렌식도마찬가지이다. 디지털포렌식은침해사고의피해를최소화하기위해투입되지만궁극적인목적은기업이가지고있는취약점이 2차, 3차피해로이어지지않게예방하는관점으로봐야한다. 영화속소스코드프로그램책임자의 과거를바꾸는것이아니라미래를바꾸는거죠 라는대사처럼. 주인공에게주어진 8분의시간, 사건을해결하고나서자신이들어와있는소스코드를꺼달라고부탁을하는데, 자신이있는시공간은영원히남아있을것인가? 마치사후세계에대한질문을남기는것같은여운도있는영화이다. 컴퓨터를꺼도남아있는기억속에서영원히살아갈수있을것인가? 영화의마지막장면에 살아있는시간이단 8분뿐이라면, 지금무엇을하겠어요? 라는주인공의질문에여러분각자의대답을생각해보는시간을갖기를바라며이글을마친다. 4

5 HOT ISSUE Health Privacy 개인정보보호자율점검, 핵심은? 현재병 의원을비롯해동네약국까지약 8천 4백여요양기관에서 개인정보보호자율점검 이뜨거운감자가되고있다. 건강보험심사평가원 ( 이하심평원 ) 과약사협회등관련기관들의적극적인안내에도불구하고일선의료기관에서는행정업무만가중되어어려움을겪고있다는불만이일고있다. 최대 50여개에달하는점검항목수도만만치않을뿐더러용어자체도이해하기어려워대규모병원이아닌다음에야엄두조차나지않는다는것. 게다가요양기관개인정보보호자율점검을하지않을경우법적처벌등의불이익은없다면서도개인정보보호가일정기준에미치지못한업체에대해서는심평원의방문실사가예고되어있어있어관련업계의부담이이만저만이아니다. 월간 안 에서는요양기관개인정보자율점검은무엇이며, 현실적인대응방안에는어떤것이있는지알아본다. 요양기관개인정보보호자율점검 이란민감한개인정보를처리하는모든요양기관을대상으로개인정보관리실태를점검하고개인정보보호법에위배되는부분에대해스스로보완해나갈수있도록유도하는제도이다. 자율점검대상은보건기관및조산소를제외한약 8만 4천여개의병 의원및한의원, 약국등대부분의요양기관이해당된다. 행정자치부 ( 이하행자부 ) 는지난 2013년 12월약 300만건의의료정보가유출된사건을계기로의료기관의개인정보실태조사를예고했으나보건복지부 ( 이하복지부 ) 의요청에따라 3년간의유예기간을두고 요양기관개인정보보호자율점검 을실시하기로한발물러섰다. 복지부는의료기관의자발적인개인정보보호체계마련을위해개인정보보호자율점검교육을추진하기로했으며, 심평원이이를대리하고있다. 자율점검에참여하지않을경우현장점검의대상이되며, 이때개인정보유출등개인정보보호법위반사항이적발될경우행정처분으로이어질수있다. 개인정보보호자율점검, 그내용은? 행자부의강제가아니더라도개인정보보호에대한사회적책임이강조되고있어요양기관업계에서도개인정보대책마련이필요하다는데이견이있을리없다. 그러나점검항목의수도많고용어자체도낯설어개인정보보호자율점검서비스신청부터쉽지않다는의견이대부분이다. 자율점검서비스신청시기입해야하는필수항목만해도개인정보취급자수, 개인정보처리시스템수, ( 개인정보 ) 정보주체수, 위탁기관수, 개인정보보호관련예산등의용어가등장한다. [ 그림 1] 자율점검신청및점검내역등록화면 * 출처 : 심평원, 개인정보보호자율점검서비스교육자료 5

6 자율점검체크리스트의필수항목은 3 개분야, 18 개영역, 25 개항목으로나뉘어있다. 세부항목은요양기관에따라다소의차이가있는데, 병원 59 개, 치과및한의원 55 개, 약국은 44 개항목이다. 그나마약국에대해서는최근유형별 조건별로점검항목이달라져 5 인미만의소 형약국은 23 개항목만점검하게됐다. 분야영역법적근거점검항목 개인정보의수집 이용 제 15 조 온 오프라인회원가입시동의는받고있는가? 각종게시판, 기타개인정보수집시동의받고있는가? 1. 개인정보의처리 ( 수집 / 이용 / 제공 ) 개인정보의수집제한제 16조목적에필요한최소한의개인정보수집하고있는가? 제 17조제3자에게개인정보제공및목적외이용시정보주체의별도동의는개인정보의제공 ( 제 18조 ) 받고있는가? 개인정보의이용 / 제공제한 제 18 조 개인정보제공시제공목적범위내이용, 안전조치실시, 목적달성 후파기등을요청하고있는가? 개인정보의파기 제 21 조 보유기관경과, 처리목적 ( 제공받은경우제공받은목적 ) 달성후 지체없이개인정보는파기하고관리대장을작성하여관리하고있는가? 민감정보의처리제한 제 24 조 고유식별정보의수집및제공시개인정보수집동의와별도로구분 하여동의받는가? 2. 개인정보의 처리제한 업무위탁에따른개인정보의 처리제한 제 26 조위탁계약시문서 ( 계약서 ) 에의한계약을하였는가? 개인정보취급자에대한감독 제 28 조 개인정보취급자에대한보안서약서는징구하였는가? 개인정보취급자및일반직원에대한정기적인교육은실시하였는가? 내부관리계획수립 내부관리계획을수립하고필수사항을포함하고있는가? 접근권한관리및접근통제안전한비밀번호작성규칙을적용하고있는가? 3. 개인정보의 안전한관리 개인정보암호화 개인정보암호화계획을수립하여시행하고있는가? 접속기록보관 제 29조안전조치의무 취급자의접속기록을최소 6개월이상보관하여관리하고있는가? 개보안프로그램설치운영 개인정보처리시스템에백신프로그램등최신의보안프로그램을설치 하여관리하고있는가? 개인정보의제공보안프로그램을정기적 ( 일 1 회이상 ) 으로업데이트하는가? [ 표 1] 개인정보보호자율점검체크리스트일부 * 출처 : 심평원, 개인정보보호자율점검서비스교육자료 심평원이진행하는개인정보보호자율점검신청은지난 11월 14일연장마감됐다. 심평원에따르면약 7만 5천개의요양기관이자율점검에참여했는데, 이는전체요양기관의 88% 에달하는숫자다. 자율점검에참여한요양기관은현장점검대상에서제외되기때문에한고비는넘길수있게됐다. 문제는그다음이다. 개인정보점검후미비한부분에대한보안책을마련하고이를이행했음을증명할준비를해야하기때문이다. 개인정보보호자율점검은 1단계, 남은과제는? 요양기관은올해말까지자율점검, 즉자가점검을완료해야하며, 이후 2016년 4월까지보호조치가부족한부분을보완하는이행점검을완료해야한다. 냉정하게따지자면자율점검은행자부의현장조사를통해개인정보보호법위반사항이적발되는것을피하기위한일종의미봉책이라할수있다. 결국일선요양기관으로서는개인정보보호법준수를위한기술적 관리적보호조치의마련및실행이라는과제가남는다. 개인정보보법에서요구하는보호조치를수행하지않았을경우개인정보유출사고가발생하면최하 1천만원에서최고 5억원의과태료가부과된다. 대형병원또는기업형약국에서는개인정보보호컨설팅을받거나개인정보유출방지솔루션, 업무용 PC의보안점검솔루션등전반적인개인정보관련솔루션도입을고려하고있다. 그러나중소규모의병 의원이나약국에서는관리조치를수행하기위해무엇이필요하고어떻게해야할지막막할뿐만아니라당장관련예산을마련하기도쉽지않은일이다. 6

7 이와관련해요양기관관련협회에서는 접수증이나처방전폐기를위한문서파쇄기도입 V3 등백신소프트웨어사용 PC 로그인비밀번호설정 윈도우방화벽설정등을준비하라고안내하기도했다. 일정규모이상의요양기관이라면개인정보유출방지솔루션을도입해개인정보파일암호화부터개인정보유출차단, 개인정보파일에대한접근기록등을관리하는방안도고려해볼수있다. 또 내PC지키미 등의제품을통해평소업무용 PC의로그인비밀번호설정상태나방화벽사용여부, 백신업데이트및 OS 등주요프로그램의보안패치적용여부등을확인및조치도가능하다. 당장예산이마땅치않은소규모기관이라도백신프로그램은기본적으로도입해야한다. 기업용백신프로그램인 V3 인터넷시큐리티 9.0(V3 Internet Security 9.0) 은악성코드탐치 치료뿐만아니라 파일완전삭제 등다양한기능을제공하기때문에개인정보파일삭제등에활용할수있다. 또는중소기업용통합 PC 보안솔루션인 V3 MSS를통해각업무용 PC의보안상태를수시로점검하고관리현황에대한자료도마련할수있다. 7

8 SPECIAL REPORT Ransomware 잔혹한악의화신, 랜섬웨어집중분석 1 부 _ 랜섬웨어, 알아야막을수있다 최근국내에서랜섬웨어로인한피해가급증하고있다. 신 변종랜섬웨어가지속적으로발견되고있으며, 기업뿐만아니라개인사용자들에게까지피해가확산되고있다. 특히, 악성코드제작자들에게금전적인이득을취할수있는방법으로여겨지면서광범위한대상을향한무차별적인공격이진행되고있다. 이에월간 안 에서는 1부와 2부에걸쳐국내에피해를주고있는랜섬웨어의현황과분석정보, 대응방안에대해살펴보았다. 1 부 _ 랜섬웨어, 알아야막을수있다 2 부 _ 이상적인 vs. 현실적인랜섬웨어대응방안 랜섬웨어란랜섬웨어는 2005년신종보안위협으로처음보도됨으로써국내에알려졌다. 당시랜섬웨어는러시아와동유럽국가에한정되어있었으나인터넷의발달과유포방식이다양해지면서전세계로퍼져나가고있다. 랜섬웨어는특정파일들을암호화하고, 이를복원하기위해서는결제가필요하다는경고문과그절차를안내한다. 이렇게암호화된파일을인질로삼아몸값을요구하는악성코드를랜섬웨어 (Ransomware) 라고통칭하고있다. 공격자는파일의암호를풀어주는대가로금전을보낼것을요구하는데페이팔과같은온라인결제서비스나비트코인과같은온라인가상화폐를요구하기도한다. 다양한방법을통해불특정다수를대상으로할수있다는점과감염 PC의데이터복구를위해대가를지불하는피해자가많은점이높은수익성을보장한다. 따라서수년간공격수법도진화를거듭하였으며, 꾸준히새로운변종이등장하고있어사용자의각별한주의가필요하다. 랜섬웨어가증가하는이유 2015년 4월국내유명인터넷커뮤니티사이트를통해랜섬웨어의일종인크립토락커가유포되었다. 그리고 10월, 또한번의랜섬웨어대량감염피해가발생했다. 지난 4월과는달리 11월까지한달이넘도록다양한랜섬웨어변형발견과감염 PC 수가증가하고있는실정이다. 이러한원인을안랩은크게 2가지로보고있다. 첫번째, 무엇보다도위협적인것은유포지를제대로파악할수없어그피해가커지고있다는점이다. 유포지를파악하면, 관련기관의협조를얻어유포지접속을차단할수있다. 또한그정보를보안업체와공유하여각업체들의대응방법으로활용할수있다. 그러나유포지를파악하려면감염된 PC를분석하는방법이제일정확하지만현실적으로는쉽지않은일이다. 그렇지만해외보안업체의분석내용과안랩스마트디펜스 (AhnLab Smart Defense) 의정보를확인한결과유포방법에대하여조금씩밝혀지고있다. 두번째이유는, 앞서설명한유포지를제대로파악할수없도록악성코드제작자들이 멀버타이징 (Malvertising) 이라는교묘한수법을사용하기때문이다. 이는멀웨어 (Malware) 와광고 (Advertising) 의줄임말로, 광고또는애드웨어의정상적인네트워크를이용하여악성코드를감염시키는방법이다. 불특정다수를대상으로감염시킬수있고, 유포지를찾거나차단하기어렵게만든다. 이러한공격뒤에는 익스플로잇킷 (Exploit Kit) 이라는도구가있으며, 최근공격에는 매그니튜드 (Magnitude) EK 가주로사용되고있다. 보통애드웨어는백그라운드로실행되며사용자의웹관련정보를동의또는동의받지않고받고수집 변경하는것을목적으로한다. 또한특정웹사이트를광고목적으로웹브라우저를자동실행하여보여주기도한다. 정상적인웹사이트라면이런자동실행이문제가되지않을수도있다. 하지만보안이취약한웹브라우저또는플래시플레이어 (Flash Player), 아크로뱃리더 (Acrobat Reader), 실버라이트 (Silverlight), 자바 (Java) 가설치된경우라면상황이다르다. 자신의의도와상관없이애드웨어가보여주는웹사이트또는거기에연동된배너광고등에앞서열거한웹플러그인애플리케이션의취약점을이용한악성코드가존재해감염이될수있다. 심지어는악성코드제작자가애드웨어의설치파일, 업데이트서버등에악성코드를숨기거나업로드하여감염시킬수도있다. 8

9 랜섬웨어, 국내에얼마나피해를입혔나랜섬웨어가증가하는원인에대하여안랩에수집된데이터를바탕으로분석작업을진행했다. 이데이터는최근국내에서가장많이발견되는주요랜섬웨어 3종에대한자료이다. 참고로타사가복호화툴을제공하는랜섬웨어류는국내의경우탐지보고가거의없는실정이다. - Trojan/Win32.Cryptolocker - Trojan/Win32.CryptoWall - Trojan/Win32.Teslacrypt [ 그림 1] 은주요랜섬웨어 3종에대한각각의증가수를보여주고있다. 이들랜섬웨어는 9월대비 10월에대폭증가했다. 11월의경우에는 10 월보다는다소주춤할것으로예상된다. 참고로 11월의데이터는이글을작성하는 11월 18일까지의수치임을밝혀둔다. 그러나 [ 그림 2] 와같이랜섬웨어가탐지된 PC 수는발견된랜섬웨어수에비해서증가했다는것을알수있다 월 10 월 11 월 Cryptolocker CryptoWall Teslacrypt [ 그림 1] 주요랜섬웨어 3 종의수집수 ( ~ ) 특히, 10월에는주요랜섬웨어 3종가운데암호화된파일명의확장자를 CCC로변경하는테슬라크립트 (Teslacrypt) 랜섬웨어의변형증가가눈에띈다. 이랜섬웨어는내부적으로버전을가지고있는데, 10월까지는 2.1 버전을유지하였고최근에는 2.2 버전으로업데이트되었다. 또한 2.2 버전에서는윈도우에서제공한시동복구모드등을사용하지못하도록하는증상이추가되었다. [ 그림 2] 는탐지 PC Top 10을기준으로집계한주요랜섬웨어 3종의유형별탐지 PC 수이다. 이자료를살펴보면각월별로어떤랜섬웨어가국내사용자들에게가장많은피해를입히고있는지를알수있다. 10월에는테슬라크립트가수집수도많았고, 탐지 PC 수도많아서가장큰영향을끼친것으로드러났다. 11월에수집된랜섬웨어수는테슬라크립트가가장많았으나실질적으로는크립토락커 (Cryptolocker) 가탐지된 PC 수가큰폭으로증가한것을확인할수있다. 한편크립토월 (CryptoWall) 의수집수는증가하고있으나, 탐지된 PC 수는현재까지는적은편이다 월 10 월 11 월 Trojan/Win32.Cryptolocker Trojan/Win32.CryptoWall Trojan/Win32.Teslacrypt [ 그림 2] 주요랜섬웨어 3 종의월별누적탐지 PC 수 ( 탐지 PC Top 10 기준, ~ ) [ 그림 1] 과 [ 그림 2] 에서알수있듯이전반적인랜섬웨어의수가증가하는것도문제지만무엇보다심각한것은특정랜섬웨어의탐지사례가 점점더증가하고있다는것이다. 다시말해, 특정한랜섬웨어가많은수의 PC 에서탐지되고있다. 이러한원인으로는해당랜섬웨어가위에서 언급한 멀버타이징 기법을사용했기때문인것으로보인다. 9

10 주요랜섬웨어 3 종이탐지된 PC 의증가추세는 [ 그림 3] 과같다. 이수치는피해가발생하기이전에진단된것과실제감염이후진단된것을 합한수치이다. 따라서파일암호화에의한실제피해로이어진사례는이보다적을수있다 월 10 월 11 월 [ 그림 3] 주요랜섬웨어 3 종의월별탐지 PC 추이 ( ~ ) 주요랜섬웨어 3 종이탐지된 PC 수가 10 월말부터급격히증가하기시작했다. 10 월부터증가한랜섬웨어수집수와탐지 PC 증가로볼때, 복 호화대가로돈을지불한사용자가증가하였거나국내사용자 PC 에설치된멀버타이징애드웨어가이용됐을가능성이높았다고볼수있다 시 01 시 02 시 03 시 04 시 05 시 06 시 07 시 08 시 09 시 10 시 11 시 12 시 13 시 14 시 15 시 16 시 17 시 18 시 19 시 20 시 21 시 24 시 23 시 [ 그림 4] 주요랜섬웨어 3 종발견시간 ( ~ ) 이외에도기업과개인사용자중개인 PC의탐지비율이높았으며, 랜섬웨어가가장많이보고되는시간으로는오전 8시 ~9시, 오후 4시 ~ 6 시, 밤 10시 ~0시인것으로나타났다. 랜섬웨어가탐지된 PC의운영체제가운데 Windows 7이압도적 (82%) 으로많았고그뒤를이어서 Windows XP 와 Windows 8.1이많았다. 최근출시된 Windows 10에서의탐지건수는 1% 인것으로집계됐다. 앞서언급한애플리케이션의취약점은최신버전의 Windows와상관없이동작한다. 따라서최신버전의 Windows를사용하고있다고해서안심해서는안되며, 각애플리케이션의최신패치를반드시적용해야한다. 10

11 랜섬웨어, 어떤방법으로감염시키나 1. 스팸메일스팸메일을통해악성코드를유포하는방식은예전부터꾸준히사용되고있다. 사람의성격, 호기심이라는취약점을이용하는사회공학적기법으로인해수신된메일이스팸메일인지구별되지않을정도로정교한경우가대부분이지만, 자세히살펴보면이상한부분을발견할수있다. 모르는사람에게서메일이오거나, 알고있는사람이라할지라도해당내용과연관이없는경우도있기때문이다. 특히첨부파일이있을경우에는항상주의해야한다. 스팸메일은 exe, scr 확장자를가진실행파일들을첨부하는경우가대부분이다. < 스팸메일을이용한랜섬웨어유포사례 > Microsoft( 이하 MS) 의마지막 Windows OS가될 Windows 10이출시된지며칠이지나지않아 Windows 10 업데이트파일로위장한랜섬웨어가메일로유포되었다. [ 그림 5] 악성코드가첨부된메일본문 * 출처 : Cisco Blogs 공격자는발신인, 본문내용과더불어 악성코드스캔후이상없다 는마지막문장을첨부하여, 수신자가해당메일을읽은뒤에의심없이첨 부파일을다운로드및실행하도록유도하였다 ([ 그림 5]). 심지어메일내첨부된악성파일의아이콘이아래 [ 그림 6] 과같이 Windows 로고를 표시해, 평소보안의식이강한사용자가아니라면분명거부감없이해당파일로마우스포인터를옮길정도로치밀하게만들었다. [ 그림 6] Windows 10 아이콘으로위장한악성코드 2. 다운로드실행 (Drive-by-Download) 사용자가다운로드실행방식으로유포되는악성코드에감염되지않으려면사용중인각종애플리케이션을최신버전으로유지하는것뿐이다. 익스플로잇킷이주로악용하는애플리케이션으로는플래시플레이어, 아크로뱃리더, 인터넷익스플로러, 실버라이트, 자바등이있으며, 해당애플리케이션제작업체에서는취약점이발견되면패치를배포하기때문에즉각적인업데이트가필요하다. 앞서설명한 멀버타이징 도결국취약점을이용하여악성코드를감염시킨다. 다운로드실행방식을요약하면다음과같다. 1 보안에취약한사이트에스크립트형태로, 악성코드나악성코드를다운할수있는 URL을삽입한다. 2 보안에취약한시스템을사용하는사용자가취약한사이트에접속한다. 3 보안취약점으로인해악성코드가실행되며, 이때악성코드는사용자가인지하지못하는범위에서실행된다. < 다운로드실행방식을이용한랜섬웨어유포사례 > 2015년 4월전국을떠들썩하게만든국내유명커뮤니티사이트를통해유포된크립토락커가다운로드실행방식을이용한대표적인사례이다. 해당사건은애플리케이션취약점을악용한전형적인사례로, 악성코드를사이트의광고배너에심어놓고사용자가웹사이트에접속하면 IE와플래시의취약점을통해실행중인프로세스에주입 (Injection) 하게된다. 이과정은사용자가인지할수없도록조용히 (stealth) 이루어지는데, 이런방식을다운로드실행 (Drive-by-Download) 이라고부른다. 11

12 주요랜섬웨어, 어떤특징을가지고있나 1. 크립토락커 (CryptoLocker) 2015년 4월국내의유명커뮤니티사이트에서발견된크립토락커는지난 2013년 9월에처음보고되었다. 크립토락커에감염되면암호화된파일들을복원하기위해한화약 438,900원의비트코인을요구한다. 피해자들이쉽게비용을지급할수있도록결제방법을상세하게설명하고있으며, 실제복원이가능함을증명하기위해암호화된파일중 1개의파일을무료로복호화해준다. 이를통해악성코드제작자는중요한파일을암호화하여사용자에게금전을유도하고있다. 크립토락커가실행이되면자가복제및자동실행을위한등록을하며, 이후정상 explorer.exe 프로세스를실행하고 C&C 서버통신및파일을암호화하는주요기능을포함한 PE(Portable Executable) 파일을인젝션해동작한다. 다음은크립토락커의세부적인행위이다. 1 자동실행실행시 %WINDOWS% 폴더에자가복제를수행하며다음과같은레지스트리키에등록한다. - HKCU\Software\Microsoft\Windows\CurrentVersion\Run\< 랜덤명 > 해당키에실행파일을등록하면시스템을재부팅할때마다자동으로실행이되는데, 이경우사용자가직접파일을찾아삭제하지않은상태에서감염된 PC의사용자가금액을지불하고파일을복구했다고하더라도재감염될가능성이높다. 2 네트워크접속네트워크통신상태를확인하기위해 에접속한다. 접속이원활하게이루어진다면 C&C 서버에접속하여사용자 PC의정보를전달한다. 최초접속후에는특정 IP 대역에따른.txt 와.html 파일을받아오는데 IP 대역을확인하는이유는감염또는제외대상국가를결정하기위해서이다. 해당파일들은암호화한파일이있는모든폴더에생성되며시스템이감염되었다는메시지와파일을정상적으로복원하기위해비트코인을사용한결제방법이설명되어있다. 접속하는주소는파일마다달라진다. [ 그림 7] DECRYPT_INSTRUCTIONS.html( 왼쪽 ) 과 DECRYPT_INSTRUCTIONS.txt( 오른쪽 ) 3 볼륨섀도우카피삭제아래명령을실행해서볼륨섀도우카피를삭제하는데이렇게되면 Windows 운영체제에서제공하는파일백업및복원기능을정상적으로사용할수없다. vssadmin.exe Delete Shadows /All /Quiet 4 파일암호화랜섬웨어의가장특징적인기능으로사용자의중요파일들을암호화하는데아래에리스트되어있는확장자를가진파일과폴더는대상에서제외된다. 그리고이동식드라이브와네트워크드라이브에있는파일도암호화대상이되며암호화가완료된파일에는확장자뒤에.encrypted 문자열이붙게된다. [ 그림 8] 파일암호화 12

13 제외대상확장자.chm,.ini,.tmp,.log,.url,.lnk,.cmd,.bat,.scr,.msi,.sys,.dll,.exe,.avi,.wav,.mp3,.gif,.ico,.png,.bmp,.txt,.html 제외대상폴더 %Program Files%0 %ProgramW6432% C:\WINDOWS C:\Documents and Settings\ 사용자계정 \Application Data C:\Documents and Settings\ 사용자계정 \Local Settings\Application Data C:\Documents and Settings\All Users\Application Data C:\Documents and Settings\ 사용자계정 \Cookies C:\Documents and Settings\ 사용자계정 \Local Settings\History C:\Documents and Settings\ 사용자계정 \Local Settings\Temporary Internet Files 2. 크립토월 (CryptoWall) 크립토월은 2013년에등장하였고 RSA Key로파일을암호화한다. 가장많이발견되고있는크립토월은 3.0 버전이다. 2015년 10월말사이버위협연합 (Cyber Threat Alliance) 이발행한보고서에따르면크립토월 3.0 랜섬웨어의제작주체는전세계적으로 3.25 억달러의수익을올렸을것으로추산된다. 또한 2015년 11월초에는새로운버전의 4.0 크립토월이발견되었다. 그립토월 3.0과 4.0의차이는아래 [ 표 1] 과같다. 크립토락커와마찬가지로크립토월역시실행이되면자가복제및자동실행을위한등록을하며, 이후정상프로세스 ( explorer.exe 및 svchost.exe ) 를실행하고 C&C 서버통신및파일을암호화하는주요기능을포함한 PE 파일을인젝션해동작한다. ver. 3.0 ver. 4.0 감염파일명복호화및결제안내파일명복호화및결제안내파일경로 [ 표 1] 크립토월 3.0과 4.0의비교 원본파일명과동일 ( 랜덤확장자붙은뒤원본이름으로재복사 ) HELP_DECRYPT 모든폴더 랜덤파일명. 랜덤확장자 HELP_YOUR_FILES.PNG 만모든폴더생성 3. 테슬라크립트 (TeslaCrypt) 테슬라크립트는최근국내에서가장많은감염을발생시킨것으로확인되는랜섬웨어중하나이다. 테슬라크립트는올해 2~3월경국내에처음등장하였는데, 감염후사용자에게노출하는메시지에서말하는 RSA로암호화한다 는말과다르게 AES Key를사용하여암호화한다. 테슬라크립트의감염후메시지는초창기에크립토락커 (CryptoLocker) 의메시지를차용하기도하였으며, 테슬라크립트 2.0 이후에는크립토월의감염후메시지 (html 파일 ) 를그대로사용하고있는것으로확인된다. 이에테슬라크립트감염시사용자들은크립토월에감염된것으로착각하는경우가많으며, 해외에서는이를테슬라크립트가크립토월로 위장 (disguise) 하고있다고표현하기도한다. [ 그림 9] 테슬라크립트복호화및결제유도안내파일 ( 크립토월버전문자열만제거됨 ) 13

14 또한, 최근확인되는테슬라크립트는암호화후확장자를.ccc 로설정하면서국내에서는 CCC 랜섬웨어로악명을떨치고있다. [ 그림 10] CCC 랜섬웨어 구글검색결과 올해초와최근유행하고있는테슬라크립트의차이는다음과같다. 1 감염후암호화된파일명 [ 그림 11] 올해초 ( 왼쪽 ) 및최근테슬라크립트 ( 오른쪽 ) 2 감염후, 복호화및결제안내파일 올해초 최근 HELP_TO_DECRYPT_YOUR_FILES.BMP HELP_TO_DECRYPT_YOUR_FILES.TXT HOWTO_RECOVER_FILE_.TXT HOWTO_RECOVER_FILE_.HTML HOWTO_RECOVER_FILE_[ 랜덤문자열 ].BMP 또는 HOWTO_RESTORE_FILES.HTM HOWTO_RESTORE_FILES.TXT HOWTO_RESTORE_FILES.BMP [ 표 2] 올해초 ( 왼쪽 ) 및최근테슬라크립트 ( 오른쪽 ) 의복호화및결제안내파일명 [ 그림 12] 올해초 ( 왼쪽 ) 및최근테슬라크립트 ( 오른쪽 ) 14

15 3 파일생성 올해초 최근 CSIDL_APPDATA (%APPDATA%) 랜덤이름.EXE ( 자가복제 ) HELP.HTML LOG.HTML ( 감염된파일들목록정보 ) KEY.DAT ( 파일복호화에사용되는 KEY 파일 ) 랜덤이름.EXE ( 자가복제 ) CSIDL_DESKTOPDIR ( 바탕화면 ) CRYPTOLOCKER.LNK ( 자가복제파일의바로가기 ) 복호화및결제안내파일 (2. 항목 ) 복호화및결제안내파일 (2. 항목 ) [ 표 3] 올해초 ( 왼쪽 ) 및최근테슬라크립트 ( 오른쪽 ) 의파일생성 4 레지스트리설정 자동실행 올해초 HKCU\SOFTWARE\MICROSOFT \WINDOWS\CURRENTVERSION\RUN 값 : CRYPTO13 값데이터 : 자가복제경로 최근 HKCU\SOFTWARE\MICROSOFT\WINDOWS \ CURRENTVERSION\RUN 값 : QEWR2342 값데이터 : 자가복제경로 네트워크드라이브에서 관리자권한으로 파일실행및접근 HKLM\SOFTWARE\MICROSOFT\WINDOWS \CURRENTVERSION\POLICIES\SYSTEM 값 : ENABLELINKEDCONNECTIONS 값데이터 : 0X1 [ 표 4] 올해초 ( 왼쪽 ) 및최근테슬라크립트 ( 오른쪽 ) 의레지스트리설정 제외대상폴더 %Windows% %Program Files% %Application Data% 최근 3개월간의랜섬웨어의변형발견및탐지 PC 현황을보았을때여전히취약한웹응용애플리케이션을사용하는사용자가많다라는것을알수있었다. 또한진단을위한다양한방법을우회하고있는변종랜섬웨어를분석한결과와탐지 PC 수의증가를볼때, 랜섬웨어제작자역시한국을노리는것이분명하다. 안랩은랜섬웨어보안센터를홈페이지에게시하고랜섬웨어에대한정확한정보를제공하고있다. 또한랜섬웨어피해예방을위한 7대보안수칙을발표하였는데, 반드시수행하는것이안전하다. 여기에하나를더추가한다면바로 멀버타이징 기법에악용될수도있는애드웨어를설치하지않는것이다. 이러한애드웨어는웹서핑을하다보면귀찮을정도로자주나오는팝업에한번이라도 YES 를눌러설치될수도있다. 특히다음웹사이트에서는더욱주의를해야한다. 토렌트관련사이트 크랙관련사이트 음란물관련사이트 무료게임사이트위사이트에서유혹에못이겨애드웨어를설치하지않는것도중요하고, 설치가되어있다면백신프로그램을이용한제거또는애드웨어가제공하는삭제 (Uninstall) 기능을이용하여삭제하도록해야한다. 참고로백신프로그램이의심스러운애드웨어를무조건진단할수없는한계가존재한다. 애드웨어제작사입장에서는악의적인공격자에의해서해당서비스에무단으로삽입된취약점이고특정시간대에만변조되는경우라면근거를찾아내기어렵고, 이에따른적절한조치를취하는것도시간이소요된다. 무엇이설치되었는지알수없다면, V3에포함된안리포트 (AhnReport) 를실행하여관련정보를안랩에보내어분석결과를받아보는것도좋다. 15

16 SPECIAL REPORT Ransomware 잔혹한악의화신, 랜섬웨어집중분석 2 부 _ 이상적인 vs. 현실적인랜섬웨어대응방안 최근국내에서랜섬웨어로인한피해가급증하고있다. 신 변종랜섬웨어가지속적으로발견되고있으며, 기업뿐만아니라개인사용자들에게까지피해가확산되고있다. 특히, 악성코드제작자들에게금전적인이득을취할수있는방법으로여겨지면서광범위한대상을향한무차별적인공격이진행되고있다. 이에월간 안 에서는 1부와 2부에걸쳐국내에피해를주고있는랜섬웨어의현황과분석정보, 대응방안에대해살펴보았다. 1 부 _ 랜섬웨어, 알아야막을수있다 2 부 _ 이상적인 vs. 현실적인랜섬웨어대응방안 진화중인랜섬웨어최근언론기사를보면영화에서나접했을법한 인질극 이우리주변에서발생하고있는것을어렵지않게확인할수있다. 다름아닌 랜섬웨어 란신종사이버범죄다. 현재테슬라크립트 (Teslacrypt), 크립토월 (CryptoWall), 티어랙 (Teerac) 등감염방식및세부동작기능에따라다양한이름으로명명된랜섬웨어가전파되고있다. 랜섬웨어류악성코드의핵심적인특징은 컴퓨터이용자 ( 피해자 ) 에게가치있을만한문서, 이미지와같은컴퓨터내주요파일을무단으로암호화한후에돈을요구하는명백한범죄양상 을스스로드러내고있다는점이다. [ 그림 1] 랜섬웨어공격프로세스 이러한랜섬웨어는최근 1~2년사이에파일무단암호화와결제유도라는직접적인피해사례들이보고되면서일반대중에게알려졌지만, 악성코드역사에서는 파일암호화 기능을보유한 트로이목마 종류의악성코드로꾸준히명맥을이어왔다. 또한, 악성코드감염을통해서 금품요구 라는직접적인해킹의목적을노출시키는측면에서는 가짜백신 또는 화면잠금바이러스 와같은스케어웨어 (scareware) 류악성코드의진화된형태라고볼수있다. 스케어웨어란겉보기에는합법적으로판매되는보안프로그램과유사하지만실제로는보안기능이없이오직금전적인이득을목적으로하는소프트웨어를말한다. 물론최근의유포되는랜섬웨어는금전요구불응시에 암호화된파일 을원상복구할수있는방법이없다는측면에서피해자개인또는업무적으로치명적인피해를입힐수있는악질적인형태의악성코드라고볼수있다. 16

17 가짜백신 (fake AV) 화면잠금바이러스파일암호화랜섬웨어 악성코드감염여부 금전요구여부 금전요구불응시피해범위 지속적인팝업창등컴퓨터이용불편 시스템화면잠금또는부팅방지 파일, 이미지등암호화 금전요구불응시 사후조치가능성 기능 ( 간단 ) 해당프로그램삭제 AV엔진최신업데이트후치료 기능 ( 복잡하지만가능 ) 안전모드부팅 시스템복구 부팅가능 USB로전용백신치료 불가능 암호화키복구불가능 알려진복구 key 제한적 [ 표 1] 가짜백신 vs. 화면잠금바이러스 vs. 랜섬웨어비교 다른듯비슷한 랜섬웨어 와 지능형악성코드 최신백신프로그램등과같은엔드포인트레벨의보안솔루션은행위기반탐지또는보안취약점을이용하는익스플로잇차단과같은보다능동적인형태의진단기술을적용함으로써 한번의피해가치명적인손상을초래하는랜섬웨어 감염에대응하고있다. 하지만, 랜섬웨어악성코드를제작하는해커들역시발전하는보안기술을회피하기위한노력을멈추지않고있다. 그결과다양한신 변종랜섬웨어악성코드가지속적으로 파일암호화 라는인질을이용해 사이버금품갈취 사건을일으키고있다. 이처럼기술적으로보완했음에도불구하고엔드포인트보안솔루션이 진화하는랜섬웨어 에효과적으로대응하지못하는이유는랜섬웨어도소위지능형위협공격과같은 지능형악성코드 에서사용되는다양한보안솔루션우회공격기법을사용하기때문이다. 지능형악성코드 와비교해서랜섬웨어는불특정다수에게최대한많이유포되어감염을유도하는형태로공격이이뤄지고있다. 또한, 감염이후에가급적 감염사실 을최대한오랫동안들키지않고장기적으로잠복하는 지능형악성코드 와달리랜섬웨어는파일암호화등을위한최소한의사전작업이후에는스스로자신을노출시켜서제한된시간내에빨리금전결제를유도하는적극성을띤다. 물론감염과정및금전결제과정에서랜섬웨어제작자가노출되는것을방지하기위해서 HTTPS 암호화트래픽및토르 (Tor) 등의네트워크기술과함께비트코인 (bitcoin) 이라는전자화폐를사용한다. [ 그림 2] 지능형악성코드 vs. 랜섬웨어 패치와백업만이최선일까이글을읽고있는독자가운데기술적또는관리적보안담당자가많을것이다. 최근랜섬웨어공격은백신프로그램을우회하기위해서다양한신 변종악성코드를활용하는지능형위협공격의양상을띠고있고, 랜섬웨어란것이근본적으로예방하는것은불가능하니어떻게사전에잘막을것이아니라어떻게피해를최소화할까라는 수동적인대응전략 을수립할수밖에없다고많은분들이아쉬움을얘기한다. 물론일부보안벤더들은백신프로그램과같은보안솔루션을통해서랜섬웨어를근본적으로차단할수있는것처럼고객을호도하기도하지만실제모든보안벤더들이동일하게강조하고있는유일한 랜섬웨어피해예방을위한보안수칙 은 중요자료백업 과 보안패치 이다. 17

18 [ 그림 3] 일반적인랜섬웨어대응프로세스 즉, 백업과패치 를효과적으로잘통제하고관리할수있다면아무리 실시간대응 이부족하더라도 사전예방 단계에서랜섬웨어감염자체를최소화할수있다. 설사랜섬웨어감염이이뤄졌다하더라도 사후복구 단계에서 백업된파일을복구 하여정상적인업무를유지할수있게된다. 하지만, 암호화된파일을복구했다고해서보안담당자로서모든상황이종료되었다고안심할수있을까? 랜섬웨어동작과정에서해커는단순히문서등파일암호화하고비트코인이결제되기만을기다릴것인가? 비트코인결제에응한피해자에게해커는단순히 복호화키 만전달하고끝낼것인가? 누구나쉽게정답을유추할수있듯이답변은 아니오 이다. 랜섬웨어에한번감염된특정피해자또는해당피해자가사용하는컴퓨터는 랜섬웨어악성코드제작한해커 에게는아주매력적인 잠재적인인질 (ransom) 피해자 로관리될수있다. 이상적인 vs. 현실적인랜섬웨어 실시간대응 방안그렇다면 백업, 패치, 백신업데이트및컴퓨터사용주의 등과같은 랜섬웨어관련보안수칙 준수를유도하는일외에보안담당자로서선택할수있는기술적인통제방안은무엇이있을까? 특히, 랜섬웨어감염발생자체를최소화할수있는 실시간대응 관점에서의방안은무엇이있을까? 해당방안은실제적용가능한현실적인방안인지알아보도록하자. 우선랜섬웨어를실시간으로대응할수있는 이상적인기술적대응방안 을살펴보자. 최초의랜섬웨어유입은이메일의첨부파일또는본문내 URL 링크를통해서들어오거나다양한경로도특정 URL을직접클릭하도록유도하는경우가대부분이다. 이과정에서는의심스런이메일첨부파일의실행을차단하거나의심 URL을차단하는기술적인방안이필요하다. 만약이과정에서적절한차단이이뤄지지못했다면의도된악성코드가네트워크를통해서유입이될것이다. 이시점에서는 악성코드전용샌드박스 등을이용해서네트워크레벨에서최대한신속하게악성여부를판단해서차단하는기술이필요하다. 이후에는실제랜섬웨어관련악성코드가엔드포인트시스템에직접감염되면서일련의운영체제레벨의의심행위들이발생하게되는데, 이상적인보안솔루션이라면반복적인파일검색, 다량의파일암호화등의행위를악성으로진단하고실시간차단까지자동으로수행해야한다. [ 그림 4] 이상적인랜섬웨어감염방지프로세스 하지만이와같은 이상적인랜섬웨어실시간대응 기술방안이적용된보안솔루션은아직까지존재하지않는다. 즉, 의심 URL 또는의심파일을실시간으로분석하고네트워크레벨에서실시간으로차단할수있는보안솔루션은없으며, 엔드포인트레벨에서의정상적인파일검색및암호화행위등과랜섬웨어에의한의심스런행위를명확하게구분하고그과정에서암호화가발생하지않도록실시간으로차단하는대응기술이적용된보안솔루션은아직까지존재하지않는다. 물론, 이론적으로접근할수있는시도는가능할수있지만, 보안인력이대응가능한적정한건수의오탐지이벤트를발생하는 실무 IT 운영환경에실제적용가능한보안제품 은파악된바없다는것이필자의견해이다. 18

19 만약완벽하지는않지만의심스런 URL 을실시간으로차단할수있고, 랜섬웨어로의심할수있는파일을실행시키지않은상태에서, 가상의 분석환경에서상세한분석한후에그결과에따라서실행여부를결정할수있다면, 그리고이러한과정을최대한자동화할수있다면보안담 당자로서충분히고려해볼만한 현실적인기술적통제방안 이아닐까? [ 그림 5] 랜섬웨어에대한이상적인대응 vs. 현실적인대응 모든 지능형위협대응솔루션 에서가능한시나리오인가? 앞에서언급한랜섬웨어에대한 현실적인실시간대응프로세스 가샌드박스를이용하는모든 지능형위협대응솔루션 에서구현가능하다고생각하면큰오산이다. 안랩 MDS는초기의제품기획단계에서부터 엔드포인드레벨의실시간대응 필요성을반영하여 2011년기준 샌드박스기반지능형위협대응솔루션 중에서글로벌최초로 MDS 에이전트 라는경량의전용에이전트를제공하고있다. 또한, 진화하는보안위협트렌드및고객의실제 APT 대응사례를반영한실행보류 (Execution Holding) 기능을추가적용하여 (2013년), 알려지지않은위협에대한탐지 에그치고있는경쟁사제품들과달리 탐지된알려지지않은위협에대해서는자동화된사전차단 이라는차별화된경쟁력을제공하고있다. [ 그림 6] AhnLab MDS 실행보류 (Execution Holding) 기능 또한, 점차고도화되는랜섬웨어는네트워크레벨의샌드박스기반보안제품을회피하기위해서기능이세분화된모듈화된다수의악성코드를통해서구성되며이러한과정에서네트워크상의보안솔루션탐지를회피하기위해암호화통신을사용한다. 이를위해서는 SSL 프록시또는복호화 (decryption) 전용장비와같은고가의보안솔루션을추가구축할수있다. 하지만표준 SSL 인증서방식을따르는않는비표준화암호화프로토콜을이용하는경우에는해당암호화트래픽을복호화하지못하는제약이존재한다. 안랩 MDS의실행보류기능은엔드포인트레벨에서트래픽복화화및파일재조합이완료된상태에서작동하게되므로이러한암호화트래픽환경에서도제약없이작동이가능하다. 19

20 [ 그림 7] AhnLab MDS 의암호화트래픽에대한실행보류기능동작프로세스 샌드박스기반 지능형위협대응솔루션 이랜섬웨어라는특정악성코드종류만을탐지 분석 대응하기위해서기획및개발된보안솔루션은아니다. 즉, 진화하는랜섬웨어에대해서 100% 완벽하게대응할수없는것은앞으로어떠한보안솔루션이새로운컨셉으로개발된다하더라도동일할것이다. 랜섬웨어의잠재위협을피해자개인의문제가아닌조직으로확장시켜본다면, 랜섬웨어피해자 가소속된기업 기관은 패치 취약점관리에대한부실한관리 또는 인터넷 이메일사용보안수칙과같은보안정책의현행화가미흡 하다는약점에간접적으로노출될수있다. 더나아가향후해당기업 기관에대한 지능형위협공격 으로이어질가능성이높다고볼수있다. 이것은유리창이깨진차가방치되는등환경이열악한곳에서는그렇지않은곳보다범죄가더욱빈번하게발생한다는깨진유리창이론 (Broken Window Theory) 이적용될수있다. 즉 랜섬웨어피해발생 지능형타킷공격대상으로확대 까지이어질수있는개연성이충분하다는점을한번쯤고려해봐야한다. 우리에게중요한것은지금현재가용한기술테두리안에서 최대효과를제공할수있는최선의방안 을고민하고선택하는것이다. < 참고자료 > 안랩, ' 가짜백신, 어떻게설치되고얼마나유해할까?' 한국IDG, ' 랜섬웨어로부터 PC 지키기 '(2014/01/21) US-CERT, Crypto Ransomware KISA, 한글버전랜섬웨어 ' 크립토락커 ' 확산주의당부 Trend Micro, Ransomware Definition McAfee,Defeat Ransomware:Ensure Your Data Is Not Taken Hostage Symantec, Ransomware:A Growing Menace 20

21 ANALYST REPORT Frost & Sullivan 2015 Frost & Sullivan South Korea APT 기술혁신상 한국의 APT 솔루션시장과 AhnLab MDS Frost & Sullivan의글로벌리서치플랫폼 Frost & Sullivan은글로벌리서치분야에서 50년이상의경험을가지고있으며 1,800명의애널리스트와컨설턴트가전세계 300여개산업분야에서 250,000여개기업들을모니터링하고있다. Frost & Sullivan의리서치철학은 CEO의 360 Degree Perspective (360도관점 ) 에기반하고있으며 TEAM Research 기법의핵심이다. 이런독특한기법을통해 Frost & Sullivan은세계최고기업들이성장, 혁신, 리더십을관리하는방법을확인할수있다. 이위협으로부터보호하기위해최신보안솔루션으로눈을돌리고있다. 또한, 기관들도보안시스템을교묘히회피하는공격때문에다중보안플랫폼아키텍처를기본적으로고려하고있다. 2011년한국에서대기업을대상으로발생한정교한공격으로사이버위협에대한경각심이증가했다. 그에따라기관들은사이버공격으로부터핵심기반시설과네트워크를보호할수있는최신보안솔루션의필요성을깨닫게되었다. Best Practices 리서치의결과를기반으로 Frost & Sullivan은 2015 Frost & Sullivan South Korea APT 솔루션기술혁신상 을안랩에수여하게되었다. 한국의 APT 솔루션시장에대한개요한국의 APT 솔루션시장은초기단계이며매우세분화되어있다. 많은업체들이다양한솔루션을제공하면서시장을주도하고있으며, 사이버위협이점점대두되고있기때문에광범위한마케팅활동을통해제품과솔루션을적극적으로홍보하고있다. 정교한표적공격의증가로한국을비롯한아태지역의위협상황이변했다. 특히, 매우민감한데이터를보유하고있는기업들은제로데 [ 그림 ] 한국의 APT 솔루션시장규모 * 출처 : Frost & Sullivan 21

22 Frost & Sullivan은한국의 APT 솔루션시장이 2014년부터 2019년까지연평균 42.3% 성장할것으로예상하고있다. 많은한국기업들은 on-premise 형태의 APT 솔루션을도입할것으로예상된다. 한국정부에서 2015년 9월에클라우드컴퓨팅발전및이용자보호에관한법률을시행함으로써한국내클라우드형태의 APT 솔루션도계속성장할것이다. 또한, 안정적으로서비스를제공할수있도록정부에서는정보보안기준을수립하여클라우드기반서비스를촉진할예정이다. APT 솔루션에대한수요는위협에대한인식의증가로정부와비즈니스및금융서비스산업 (BFSI) 분야에서증가할것으로예상된다. Best Practice Award 분석 2015 Frost & Sullivan South Korea 'APT 기술혁신상 ' 은혁신적인기술을개발한안랩이수상했다. 안랩은한국에서보안분야의선두업체로서, 기업과기업간거래 (B2B), 기업과소비자간거래 (B2C) 에서다양한보안제품과서비스를제공하고있다. 안랩은 MDS(Malware Defense System) 를출시하여 APT 시장에서매우뛰어난실적을거두었다. 안랩 MDS는 APT 공격을차단하는혁신적인시스템으로, 한국에서그성능을널리인정받았다. 대부분의샌드박스기반의 APT 솔루션은파일을안전한가상환경에서실행하여악성코드를정확히분석하는방식으로, 지금까지는북미 업체들이주도했다. 그러나, 안랩은 APT 공격을방어하기위해기존의샌드박싱기법과함께더욱강력한접근법을개발하여새로운경쟁업체로부상했다. 안랩 MDS는정적분석과동적분석의하이브리드기술을사용하여어셈블리레벨에서자동화된분석기법으로악성코드를정확히진단한다. 이기술은 SSL을통한암호화된트래픽, USB 드라이브또는신뢰할수있는내부네트워크등다양한방법으로엔드포인트로침투하는악성코드나변종악성코드를차단하고분석할수있다. 또한, 특허를받은안랩의 DICA( 동적콘텐츠분석 ) 기술은비실행 (Non-PE) 파일을상세분석하여악성코드가동작하기전에 MDS가미리악성쉘코드를진단하도록해준다. MDS는 ASD(AhnLab Smart Defense) 와연계되어더욱강력한보안을제공한다. 이 ASD는수백만개의센서와악성코드방지클라이언트를포함한네트워크를통해매일백만개의파일을분석해새로발견된위협을업데이트해준다. MDS 제품의뛰어난효율성덕분에안랩은 APT 시장점유율로한국 2 위, 아태지역 10위를차지하는기염을토했다. MDS의편리한사용성, 명확한공격벡터인지, 정확한진단은아태지역의 IT 보안전문가들로부터격찬을받았다. 오탐률이높은다른 APT 솔루션을안랩 MDS가대체하고있는것만으로도탐지력이얼마나우수한지잘알수있다. 안랩은뛰어난 APT 솔루션을개발하여한국의다른업체들과차별화하였다. 안랩은최신 MDS 라인업에다수의알고리즘을추가하여네트워크로유입되는악성코드와다양한공격벡터를분석하고위협을차단하며, 적합한조치까지도가능한토털솔루션을제공한다. Charles Lim Senior Industry Analyst, Frost & Sullivan 22

23 THREAT ANALYSIS DroidJack 안드로이드악성코드드로이드잭 (DroidJack) 상세분석 유럽발모바일악성코드 드로이드잭 주의보 지난 10월말, 영국경찰이 28세의남자를 컴퓨터관련법규위반혐의 로체포했다. BBC의보도에따르면체포된남성은 드로이드잭 (DroidJack) 이라는모바일악성코드를구입한것으로알려졌다. 또한독일및스위스에서도전격가택수색을통해드로이드잭악성코드를 구입 또는 사용 한혐의로 10여명이체포되었다. 이는모두사이버범죄방지를위한독일, 프랑스, 영국, 벨기에, 스위스, 미국의국제공조인 드로이드잭작전 (DroidJack Operation) 의일환으로, 눈길을끄는부분은지금까지와는달리해킹툴을제작및판매한사람이아니라해킹툴을 구매 한사람을체포했다는점이다. 해킹툴제작자를추적하기가쉽지않기때문이기도하고, 해킹툴구매자를체포함으로써이를이용한악성앱제작을차단하겠다는의지로풀이된다. 이글에서는악성앱제작에이용되는모바일악성코드인드로이드잭의주요기능과유포방식에대해알아본다. 드로이드잭 (DroidJack) 은안드로이드기반의스마트폰을노리는 RAT(Remote Access Trojan) 류의악성코드로, 스마트폰의데이터트래픽모니터링, 통화감청, 카메라의정보및중요데이터탈취등의악의적인행위를한다. 드로이드잭은온라인상에서 210달러 ( 또는 190유로 ) 정도에거래되고있으며, 구매시다음과같은사용자정보를요구한다. [ 그림 1] 드로이드잭 v2.6 기능및가격 드로이드잭은 APK 빌드가가능하며감염된스마트폰의정보를탈취하고모니터링할수있는기능이내장되어있다. 드로이드잭의주요기능을살펴보면다음과같다. [ 드로이드잭주요기능 ] apk 파일빌더 스마트폰에저장된파일탈취 스마트폰으로파일전송 스마트폰의 SMS 탈취 스마트폰에서 SMS 보내기 통화내역탈취 주소록탈취 스마트폰의마이크를이용하여도청및녹음 스마트폰인터넷방문기록및북마크정보탈취 위치정보탈취 스마트폰의앱실행, 실행중인앱정보탈취 IMEI, MAC, 통신사정보탈취및루팅여부확인등 23

24 감염된스마트폰의모니터링을위해드로이드잭은 [ 그림 2] 와같은콘솔화면을제공하고있다. 이를통해감염된스마트폰의통화내역을기록하거나위치추적, SMS 내역확인, 브라우저의방문정보탈취등다양한악의적인행위를수행할수있다. [ 그림 5] 악성앱설치아이콘 ( 왼쪽 ) 과설치및실행후아이콘이사라진화면 ( 오른쪽 ) [ 그림 2] 드로이드잭 v2.6 빌더및모니터링콘솔 안드로이드스마트폰을노리는악성앱은주로구글 (Google) 이나유틸리티, 유명게임등의아이콘으로위장하여제작되기때문에사용자가별다른의심없이설치하는경우가많다. 드로이드잭역시다양한앱으로위장하여유포되고있는데, 안랩에서파악하고있는대표적인드로이드잭앱의아이콘은 [ 그림 3] 과같다 ( 테스트를위해제작된앱도일부포함되어있다 ). 드로이드잭을이용한악성앱제작및유포우려 드로이드잭작전 (DroidJack Operation) 은독일, 프랑스, 영국, 벨기에, 스위스등을중심으로한유럽사법부와유럽경찰 (Europol), 그리고미국이사이버범죄척결을위해적극적으로협력한사례라는점외에도사이버암시장에대한새로운접근방식이라는것에의미가있다. 드로이드잭작전은해킹툴판매자가아닌구매자를체포함으로써단순흥미로라도해킹툴을구매해악성앱을제작하려는이들을일벌백계하는한편악성코드제작자의자금줄을약화시키겠다는전략이다. 해킹툴판매를근간으로하고있는사이버암시장에서판매자가아닌구매자를통제함으로써사이버암시장의악순환을끊어놓을수있을지귀추가주목된다. [ 그림 3] 유명앱으로위장한드로이드잭악성앱 [ 그림 6] 드로이드잭작전을통한영국인검거 * 출처 : BBC News 위의드로이드잭악성앱중유명게임인 Agar.io 의아이콘으로위장한드로이드잭악성앱을살펴보자. [ 그림 4] 드로이드잭악성앱의권한요구 [ 그림 4] 는 Agar.io로위장한악성앱을설치한화면이다. 해당악성앱은설치과정을통해악의적인행위에필요한여러권한을획득한다. 설치가완료된후실행되면자기자신의아이콘을제거함으로써사용자가악성앱의설치여부를알아차리지못하도록한다. 드로이드잭사례에서볼수있듯, 최근악성앱은사용자에게익숙한유명앱으로위장하여설치되어스마트폰에저장된중요한정보를탈취하거나스마트폰의기능을악용하는형태다. 드물긴하지만공식마켓에도악성앱이등록되는경우도있어더욱사용자들의주의가필요하다. 공식앱을통해앱을설치하되해당앱의평판정보를꼼꼼히확인하고이용하는것이바람직하다. 스마트폰으로전송되는문자메시지에포함된 URL을통해악성앱이설치되는경우도있어확인되지않은발송자로부터전달된 URL을클릭하거나앱을설치하지않도록유의해야한다. 이와함께 V3 Mobile이나 안랩안전한문자 등모바일백신앱또는스미싱탐지앱을이용해평소모바일악성코드를방지하는습관이필요하다. 한편 V3 Mobile은드로이드잭악성코드를아래와같은진단명으로탐지하고있다. <V3 Mobile 제품진단명 > Android-Trojan/Sandrorat 24

25 IT & LIFE Smart Home and Security 인터넷은잊지않는다? 잊혀질권리 를찾다 A군은얼마전친구소개로 B양을만났다. 평소자신의이상형에가까운데다대화도잘통해서앞으로도좋은관계를유지하고싶다. 어떻게하면그녀의마음에들수있을까고민하던 A군은 B양에대해자세히알아보기로했다. 바로 구글링 으로말이다. 그녀의명함에있던메일주소를토대로검색창에아이디를검색하자 1초만에그녀에관한별의별정보들이검색되어정렬됐다. 그녀가가입한카페에쓴글, 인터넷쇼핑몰에올린문의글, 활동했던동호회, 그녀의친구가올렸던사진까지말이다. A군은갑자기자신의행동이그녀의뒤를캐는것같아불쾌해져인터넷창을닫아버렸다. 구글링 (Googling) 이란인터넷검색사이트구글 (Google) 에서정보를검색하는행위를말한다. 구글의정확하고뛰어난검색력덕분에 구글링한다 는말은어느새일반명사화됐다. 하지만구글링으로찾을수있는정보가매우방대하다는점에서개인의신상정보노출등의문제도발생한다. 신상털기 가대표적인예다. 특정인의이름, 아이디등으로그사람과관련된인터넷정보를낱낱이찾아낼수있기때문이다. 그사람이스스로공개하지않은정보까지도말이다. 이같이인터넷상에노출된개인정보는단순한신상털기를넘어사이버범죄등에악용될수있다는점에서적절한관리가필요하다. 디지털공간에서의정보는지우지않으면사라지지않기때문이다. 이에자신도모르게노출된개인정보를찾아삭제하는방법을알아봤다. 일단자신의개인정보가인터넷상에얼마나노출돼있는지먼저확인할필요가있다. 방법은간단하다. 구글등의사이트에자신의아이디, 이름, 주민등록번호, 휴대폰번호, 집전화번호등의개인정보넣어스스로를구글링해보는것이다. 자신의신상을털어보면자신의어떤정보가얼마나노출돼있는지파악할수있다. 지금은활동하지않아탈퇴한카페에썼던글부터친구가올려둔 10년전사진, 쇼핑몰에올렸던문의글까지정말생각지도못했던글과, 사진, 동영상들을마주하게될것이다. 자신이직접쓰지않은자료가검색되는경우도있다. 학원, 웹하드, 쇼핑몰등의보안이취약한사이트를통해노출된정보말이다. [ 그림 1] 구글에아이디를검색해나온결과 25

26 구글에서검색된개인정보삭제하는법이렇게노출된개인정보중상당수는스스로노출한경우가많다. 그러므로이런글은해당사이트를클릭해본인이작성한글을지우면쉽게해결된다. 글의원본은삭제됐으나검색을통해노출되는정보등직접삭제하기어려운경우도있는데이럴때는구글에콘텐츠삭제요청을할수있다. 아래의사이트를클릭한뒤구글계정으로로그인한다음개인정보가있는게시글의 URL을복사해붙여넣으면 1주일안에결과를알수있다. 원본을삭제하지않더라도구글을통해검색되지않게요청하는것만으로도개인정보의유출위험을상당부분막을수있다. 구글콘텐츠삭제요청 : 탈퇴한카페의게시물을삭제하는법지금은활동하지않거나탈퇴한카페의글도삭제할수있다. 현재는활동하지않는카페에자신에관한글이나개인정보가남아있을수있으니확인해보도록하자. 일단네이버의경우, 네이버에로그인한뒤카페홈에서 내카페관리 를클릭한다. 탈퇴카페 와 글관리 를차례로누른다음삭제하고자하는글을선택하고오른쪽의삭제버튼을클릭한다. [ 그림 2] 탈퇴한네이버카페글지우는방법 다음카페도비슷한기능을지원한다. 먼저다음에로그인한다. 그다음카페메인으로이동해 내카페, 내가쓴글 을차례로클릭한뒤글이 나댓글을보고싶은카페를선택하면하단에해당카페의글혹은댓글리스트가보여진다. 삭제하고싶은댓글을체크박스로선택한뒤 삭 제 를누르면해당댓글이삭제된다. [ 그림 3] 다음카페에서글이나댓글지우는방법 무분별한개인정보노출을막기위해서는아래의내용을참고하는것이좋다. 1. 인터넷이용시사이트마다다른아이디를쓴다. 사이트마다다른아이디를사용하면자신의글이노출될가능성이줄어든다. 한가지아이디만을사용해여러커뮤니티에서활동하면개인정보유출시자신의생각이나행동이모두알려져타격이클수있다. 2. 이메일주소는함부로적지않는다. 많은사람들이아이디는다르게써도이메일은거의하나만쓰기때문에이메일은좋은신상털기의수단이될수있다. 자신의이메일은꼭필요할때만적도록한다. 3. 내신상은내가턴다. 여러사람들이이용하는신상털기방법을자신에게도한번시도해본다. 자신의신상을털어보면그만큼취약한부분을알수있다. 취약한부분은보안해대비해야한다. 온라인상의개인정보를삭제요구할수있는권리 를뜻하는 Right to be forgotten 의바른우리말표현은 잊힐권리 이지만, 이글에서는뉴스등에서많이 사용되어일반적으로익숙한표현인 잊혀질권리 로표기하였습니다. 26

27 STATISTICS 보안통계와이슈 안랩, 10 월악성코드통계및보안이슈발표 업그레이드 된우체국사칭메일유포중 안랩시큐리티대응센터 (ASEC) 는 ASEC Report Vol.70 을통해지난 2015 년 10 월의보안통계및이슈를전했다. 10 월의주요보안 이슈를살펴본다. ASEC이집계한바에따르면, 2015년 10월한달간탐지된악성코드수는 1,374만 1,322건으로나타났다. 이는전월 1,520만 4,993건에비해 146만 3,671건감소한수치다. 한편 10월에수집된악성코드샘플수는 617만 9,297건이다. 40,000,000 30,000, % 1.75% 1.93% 5.57% 77.00% 13.58% 20,000,000 10,000,000 17,869,127 15,204,993 13,741,322 PUP Trojan etc Worm Adware Downloader [ 그림 2] 2015 년 10 월주요악성코드유형 6,000,000 5,000,000 4,000,000 지난 10월한달간탐지된모바일악성코드는 68만 9,063건으로집계됐다. 689, , ,092 3,000, ,000 2,000,000 1,000,000 6,437,437 7,311,086 6,179, , , , 월 09 월 탐지건수 10 월 샘플수집수 100,000 [ 그림 1] 악성코드추이 (2015 년 8 월 ~ 2015 년 10 월 ) 50,000 [ 그림 2] 는 2015년 10월한달간유포된악성코드를주요유형별로집계한결과이다. 불필요한프로그램인 PUP(Potentially Unwanted Program) 가 77% 로가장높은비중을차지했고, 트로이목마 (Trojan) 계열의악성코드가 13.58%, 웜 (Worm) 이 1.93% 의비율로그뒤를이었다. 0 08월 09월 [ 그림 3] 모바일악성코드추이 (2015년 8월 ~ 2015년 10월 ) 10 월 27

28 또한지난 10월악성코드유포지로악용된도메인은 1,535개, URL은 1만 282개로집계됐다. 10월의악성도메인및 URL 차단건수는총 399만 1,443건이다. 9,000,000 만일사용자가이메일의첨부파일을실행하면 랜덤문자열.exe 파일이 <C:\Documents and Settings\[ 사용자계정 ]\Application Data\ 랜덤문자열 \> 경로에자신을복제한다. 또한시스템시작시자동실행되도록하기위해레지스트리에등록한다 (HKCU\ Software\Microsoft\Windows\CurrentVersion\Run\). 8,000,000 7,000,000 6,000,000 5,000,000 4,000,000 4,943,679 4,127,520 3,991,443 40,000 [ 그림 6] 시스템내실행되는프로그램및입력되는문자열값저장 30,000 해당악성코드는시스템권환을획득한후사용자가실행하는프 20,000 10, ,691 1,239 08월 10,457 1,258 09월 10,282 1,535 10월 로그램및키보드입력값을탈취하여 <C:\Documents and Settings\[ 사용자계정 ]\Application Data\dclogs\> 경로에 Y( 년 ) M( 월 ) D( 일 ) H( 시간 ).dc 라는로그를저장한다. 또한특정 IP로접속을시도하는데, 해당서버와통신이이루어지면감염된시스템에서수집한정보를 AES 암호화후전송하는것으로보인다. 이를통해 C&C 서버로부터추가악성코드를다운받거나 RAT류악성코 악성도메인 /URL 차단건수 악성코드유포도메인수 악성코드유포 URL 수 드를이용해공격자가감염된시스템을원격제어할수도있다. [ 그림 4] 악성코드유포도메인 /URL 탐지및차단건수 (2015년 8월 ~ 2015년 10월 ) 한글화 된우체국사칭피싱메일등장스팸메일은여전히효과적인악성코드유포수단이다. 물론그간다수의보안침해사례와보안업계의적극적인행보로사용자들의보안의식이높아진것은사실이다. 그러자공격자들은사람들의호기심이나일상생활에관련이있을법한내용으로사용자들을유도하는사회공학적기법을이용하고있다. 특히이번에발견된우체국사칭이메일은최근의스팸메일과달리영문이아닌한국어로작성되어, 스팸공격이나날이고도화되고있음을짐작케한다. [ 그림 5] 는최근발견된 인터넷우체국 을사칭하는스팸메일이다. 소포의배송주소가잘못되어있으니확인하라 는내용으로사용자들을유도하여악성코드다운로드를시도한다. 메일내에우체국로고를사용하고있을뿐만아니라어색한문장이기는하지만한국어로작성되어사용자의관심을유도하고있다. 이피싱메일에첨부된악성코드는사용자의키보드입력값을탈취하고사용하고있는프로그램의정보를외부로전송하는것으로확인됐다. 이메일을통한악성코드유포는매우고전적인수법이기는하지만사라지지않고지속적으로발생하는것만보아도여전히유효한수법임이틀림없다. 게다가나날이지능화되고있으며, 이번사례처럼특정지역의사용자를노리는 맞춤형스팸 으로진화하고있다. 아직은어설픈 (?) 한국어지만보이스피싱의진화처럼조만간정확한한국어스팸으로진화할지도모를일이다. 따라서사용자들은이메일이용시아래와같이 이메일보안기본수칙 준수에더욱주의를기울여야겠다. 아울러백신사용및최신엔진버전유지, 윈도우및각종응용프로그램의최신보안패치적용등기본적인부분도잊지말아야한다. 한편 V3 제품에서는해당악성코드를아래와같은진단명으로탐지한다. <V3 제품군의진단명 > Win-Trojan/FCN ( ) [ 그림 5] 한글로작성된우체국사칭이메일 28

29 AHNLAB NEWS 안랩, 랜섬웨어보안센터 웹사이트개설 안랩이지난 11월 13일, 랜섬웨어에대한올바른정보전달과피해확산방지를위해 랜섬웨어보안센터 ( securityinfo/ransomware/index.do#cont2) 웹사이트를개설했다. 안랩랜섬웨어보안센터 에서는 최근랜섬웨어동향및분석정보 특정랜섬웨어에감염된파일복구툴 피해예방수칙등개인및기업사용자가랜섬웨어를이해하고피해를줄일수있도록유용한정보를제공하고있다. 웹사이트를개설한 11월 13일부터 20일까지방문자수가약 2만 4천여명 ( 누적포함 ) 에달하는등안랩랜섬웨어보안센터웹사이트에대한관심이뜨겁다. 안랩 ASEC 대응팀박태환팀장은 " 올해들어국내에서도랜섬웨어피해가지속적으로발견되고있다 " 며 " 국내고객의피해예방을위해안랩은랜섬웨어보안센터웹사이트를통해랜섬웨어변종등에대한최신정보와대응방안을신속하게공유할계획이다 " 라고말했다. 안랩은랜섬웨어에대한이해를높이기위해랜섬웨어의정의, 동작원리및감염사례, 랜섬웨어악성코드비교, 상세분석결과등랜섬웨어에대한다양한분석정보를제공한다. 또한국내에서가장피해가심한일부랜섬웨어와관련해서는복구툴도제공하고있다. 단, 복구툴의경우모든 PC 및모든랜섬웨어에해당되는것은아니며, 특정한조건이맞는환경에서만복구툴의이용이가능하다. V3, OPSWAT 골드인증 획득 획득했다는것은시스코, 주니퍼네트웍스, F5네트웍스, 시트릭스 (CITRIX) 등글로벌네트워크보안장비업체들의네트워크접근제어 (NAC), 네트워크접근보호 (NAP), 가상사설망 (VPN) 솔루션등에대해높은수준의호환및관리가가능하다는것을의미한다. 안랩의기업용통합 PC 보안솔루션 V3 인터넷시큐리티 9.0 (V3 Internet Security 9.0, 이하, V3 IS 9.0) 이미국보안기술업체 OPSWAT( 이실시한안티멀웨어 (Anti- Malware), 방화벽 (Firewall) 부문테스트에서골드 (Gold) 인증을획득했다. V3 IS 9.0은안티멀웨어부문에서전체시스템검사시간, 실시간감시상태여부등모든평가항목기준을충족했다. 또한방화벽부문에서도악성응용프로그램테스트및방화벽설정기능등의기준을모두충족해인증등급중가장높은골드인증을획득했다. OPSWAT 인증은독립보안소프트웨어와네트워크보안장비간호환성수준을인증하는것이다. V3 IS 9.0이 OPSWAT 골드인증을 안랩이호웅연구소장은 다양한 IT시스템환경하에서안정적인보안성을제공하는것은보안의핵심중하나 라며, 이번인증으로 V3 IS 9.0이다양한네트워크보안환경에서도최고수준의호환성을갖춘것으로입증됐다 고소감을밝혔다. V3 IS 9.0은클라우드기술이적용된위협분석시스템인 안랩스마트디펜스 (AhnLab Smart Defense) 기반의강력한악성코드탐지기능과 행위기반진단 과 평판기반진단 등을제공하는다차원분석플랫폼을탑재해뛰어난악성코드대응력을제공한다. 또한, 엔진크기와검사시 PC의시스템부담을대폭감소시키고, 검사속도는빨라졌다. V3 IS 9.0은기존제품인 V3 IS 8.0 대비한층업그레이드된제품으로, 2014년 9월부터꾸준히 AV-TEST 인증을획득하고있다. 29

30 발행인 : 권치중발행처 : 주식회사안랩경기도성남시분당구판교역로 220 T F 편집인 : 안랩콘텐츠기획팀디자인 : 안랩디자인팀 2015 AhnLab, Inc. All rights reserved. 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다.

31 경기도성남시분당구판교역로 220 T F AhnLab, Inc. All rights reserved.