ASEC Report

Transcription

1 1. 악성코드 사회적이슈를이용한악성코드 스파이웨어 정상적읶컴퓨터사용을방해하는스파이웨어 시큐리티 TV는사랑을싣고 ~, 메읷은취약점을싣고 ~ 네트워크모니터링현황 중국보안이슈 TrueFind 성공기 악성코드통계 스파이웨어통계 시큐리티통계 사이트가드통계 악성코드상반기이슈 스파이웨어상반기이슈 시큐리티상반기이슈 중국 2분기악성코드동향 읷본 2분기악성코드동향 세계 2분기악성코드동향... 69

2 I. 이달의보안이슈 1. 악성코드 사회적이슈를이용한악성코드 이번달은유난히도사회적이슈를이용하여자신을실행하도록유도하는형태의악성코드가많았다. 그만큼사회적인이슈가많았던한달이기도하였다. 특히미국의유명팝가수의죽음을이용하여전파된악성코드와프랑스의여객기추락사고소식을이용한악성코드전파방식이과거에도있었지만사람이라면호기심에한번쯤클릭할만한소지를가진형태가많았다. 이번달에는이처럼사회공학기법을이용하거나거짓정보로위장되어전파되는악성코드에대해서다루어본다. (1) Microsoft 사의보안패치로가장한악성코드 마이크로소프트사를가장하여악성코드를전파하는건매우오래된방법중하나이다. 대부분보안업데이트를가장하고메일본문내링크파일을다운로드받도록유도한다. 잘알려진사실중하나는보안업데이트를위해서메일내링크를통해파일을다운로드받도록유도하지않는게정설이다. 따라서마이크로소프트사가발송한이와같은메일을받았다면악의적인스팸성피싱메일로의심해볼수가있다. 이번달국내에서확인된경우크게두가지이다. 윈도우보안업데이트와아웃룩에대한보안업데이트관련이그것이다. 다음과같다. 2 [ 그림 1-1] 허위보안업데이트메일 1

3 메일본문내링크를클릭하면악성코드를다운로드받도록되어있다. 다운로드된악성코드는 Win-Trojan/Buzus라고불리며 MS 관련취약점을이용하여자신을전파시키기도한다. 다음내용은아웃룩관련보안업데이트를가장한내용이다. 메일의형태는조금씩다르게유포되었다. 메일본문내링크를클릭하면 Win-Trojan/Zbot 변형이다운로드된다. 3 [ 그림 1-2] 허위보안업데이트메일 2 악성코드가실행되면다음의폴더에자신의복사본을생성한다. 생성한파일의사이즈는일 정하지않으며복사본을만들때마다파일의끝부분에쓰레기데이터를붙여서자신의크기 를매번다르게한다. C:\ 윈도우시스템폴더 \sdra64.exe Winlogon.exe 에 Zbot 트로이목마자신을원격파일핸들로오픈시키며 NTDLL.DLL 에서 익스포트하고있는 NtQueryDirectoryFile 함수를후킹하여자신을은폐한다. 다음의폴더를생성한후파일을생성하는데암호화된데이터를저장할것으로보이며해 당폴더역시위와같은방법으로은폐시켜서보이지않게해둔다. C:\ 윈도우시스템폴더 \lowsec\local.ds C:\ 윈도우시스템폴더 \lowsec\user.ds C:\ 윈도우시스템폴더 \lowsec\user.ds.lll 이후악성코드는웹브라우저와통신관련특정윈도우함수를후킹하여특정문자열이포함

4 된경우데이터를가로챈후위파일들에암호화하여저장해둔다. 이후해당파일은특정호 스트로보내어진다. 이렇듯 Win-Trojan/Zbot 은보안업데이트를가장한메일형태로유포 되며사용자정보를유출하는증상을가지고있다. 다음은프랑스여객기추락사고소식을가장하여악성코드가유포된메일이다. 메일본문내 링크를이용해서다운로드될수있는악성코드는 Win-Trojan/Banker 류이다. 주로남미와 같은국외지역의인터넷뱅킹사용자정보를유출하는증상을가지고있다. 4 [ 그림 1-3] 프랑스여객기사고관련악성코드메일 이처럼전통적인악성코드전파방법중하나인사회공학기법은시간이지날수록정교해지고있다. 대부분사용자들이이러한거짓정보에속지말라는보안교육을받아도고도화되는피싱성격의악성코드관련메일은매우그럴듯하게위장되어있기때문에사용자들은당하기쉽다. 근래의메일로전파되는웜은메일내첨부파일로존재하지않으며이처럼링크를통해서다운로드를시도하여사용자로하여금실행을유도하는경우가일반적이다. 따라서과거에는메일에실행가능한 ( 또는문서파일 ) 첨부파일은위험하다는보안의식외에도본문내링크가올바른주소를갖는지여부와실행파일및문서파일을다운로드하도록유도하지는않는지조심스럽게접근할필요가있다.

5 2. 스파이웨어 정상적인컴퓨터사용을방해하는스파이웨어 (1) 프로그램실행을방해하는스파이웨어 최근해외에서제작되고서비스되고있는가짜백신중정상적인프로그램의실행을차단해컴퓨터사용을방해하는사례가지속적으로보고되고있다. 이들가짜백신은 Chrome.exe, Opera.exe, IExplore.exe 와같이널리사용되는웹브라우저의실행파일명이아닌다른이름을가진프로그램을실행했을경우 WARNING! Application cannot be executed. The file [ 프로그램실행파일명 ] is infected. Please activate your antivirus software. 라는풍선도움말을보여주고해당프로그램의실행을차단시킨다. 따라서사용자는컴퓨터로웹서핑이외에는어떠한작업도할수없게된다. [ 그림 1-4] 윈도우계산기실행시차단 5 또한풍선도움말을클릭했을경우가짜백신이실행되며허위진단결과를보여주고유료결제를통한치료를권유한다. 이전엔단순히풍선도움말을통해컴퓨터에스파이웨어에감염되었다는메시지만출력했지만최근엔컴퓨터가실제로감염된것처럼보이기위해프로그램의실행을강제로차단하는방식이사용되고있다. 이렇게가짜백신은사용자의유료결제를유도하기위해더욱더진화된방식을사용할것으로보인다. (2) 피싱사이트로검색을유도하는스파이웨어 윈도우의호스트파일을변조하고웹브라우저의시작페이지를변경하여키워드광고를통해금전적수익을노리는스파이웨어가발견되었다. 이스파이웨어는그림과같이유명검색을모방했다. 접속된주소를자세히보면정상적인주소는 인반면, 변조된주소는 이다. 1차도메인주소는동일하고 2차도메인주소만다르기때문에사용자는별의심없이해당검색사이트를이용하게된다. 하지만해당사이트는정상적인검색사이트가아닌피싱사이트이다. 이는윈도우에서영문으로구성된도메인 (domain) 주소를숫자로구성된아이피 (IP) 주소로변환할때로컬컴퓨터에서해당정보를찾아보고존재하지않으면도메인네임시스템 (DNS Domain Name System) 에질의를하는방식으로구성되어있다. 따라서로컬컴퓨터에존재하는도메인주소와아이피주소에관련된정보를변경하면쉽게피싱사이트로접속을유도할수있다.

6 [ 그림 1-5] 스파이웨어에의해변조된검색엔진 (2 차도메인변조 ) 처음접속시보여지는페이지는동일하지만검색키워드를입력하고검색해보면정상적인사이트와피싱사이트의페이지레이아웃이다른것을알수있다. 정상적인사이트에서검색시는오른쪽에 Sponsored Links 라는제목하에구글에서직접제공하는광고가표시되지만피싱사이트에서검색시상단과오른쪽 2곳에 Ads by Google 이라는제목하에광고가표시된다. 이는구글에서일반인을대상으로광고수익을낼수있게제공하는 AdSense라는서비스이다. 6 [ 그림 1-6] 검색결과다른레이아웃을보여줌 즉, 검색시보여지는광고를스파이웨어제작업체의광고로변경하여광고료를가로채는방식으로수익을가져가는형태이다. 이스파이웨어는웹브라우저의시작페이지를피싱사이트로계속변경하므로사용자는설정하고자하는시작페이지를설정할수없어불편함을초래한다. 이렇게스파이웨어는점점더교묘한방법을사용하여사용자가인지할수없게동작하는형태로변화하고있다.

7 3. 시큐리티 TV 는사랑을싣고 ~, 메일은취약점을싣고 ~ (1) 대량웹공격다시시작되나 작년한해 Mass SQL-Injection 기법으로웹공격에집중되었던관심이 2009년상반기시스템취약점 (MS08-067) 을이용하는 Conficker 웜의등장으로웹공격보다는다시시스템취약점쪽으로방향을전환하는것처럼보였다. 그러나, 얼마전부터대량웹침해사고에대한조심스러운추측들이제기되면서, 드디어 Gumblar(Geno), Beladen, Nine-ball 이라는이름으로그실체가드러내기시작하였다. 최근이러한웹공격은기존의웹공격시나리오와크게다르지는않다. 다만, 과거 Mass SQL-Injection 공격이최초의악의적인스크립트를삽입하는방법과같은획기적인변화로주목을받았다면, 최근웹공격들에서는다음과같은특징들에주목하고있다. 우선, 해당공격들은웹공격코드 (Exploit) 가심어져있는최종도메인으로부터그명칭이유래되었는데, 바로이러한최종목적지를구축하기위해 LuckySploit, UniquePack, YES EXPLOIT SYSTEM 과같은다양한웹공격툴킷이사용되었다는점이다. 툴킷들은가장최신의취약점들을담고있을뿐아니라, 서버 / 클라이언트간의키교환을통한동적페이지생성및진보된난독화등으로훨씬더강하게무장되었다. 7 [ 그림 1-7] 웹공격코드 (Exploit) 툴킷 다음으로공격방식에있어서사용자및분석가의눈을피하거나분석을방해하기위한노력들이점점발전되고있다는점이다. 이번 Nine-ball의경우, 사용자를최종목적지까지유도하기위해다단계 Re-direction 방식을사용하였으며, 접속시마다공격코드가존재하는최종목적도메인이달라지거나중복접속자를구별하여악의적인목적지를숨기는등의우회방법을사용하였다. 또한, 많은웹사이트들은자신의사이트에유입되는트래픽을분석하기위해 Google의웹분석도구인 Google Analytics 를웹사이트에삽입해두는경우가많은데, Beladen의경우에는다음과같이정상적인구글분석 (Google Analytics) URL과매우흡사한도메인을이용하여사용자및분석가들의눈을빗겨나는센스를발휘하기도했다. [ 정상 ] hxxp:// utm.gif

8 [ 악성 ] hxxp://googleanalytlcs.net/ utmj.js 이처럼웹공격기법들은과거특정대상만을노렸던수동적인방법에서벗어나보다지능화되고자동화된방법으로활동하고있고, 자의든타의든하루에도수백곳의웹사이트를방문하게되는우리들에게더이상어느웹사이트도 100% 안전지대라장담하지못하게만들었다. 그러나, 우리가기억할것은아무리지능적이고다양한방법을이용하여사용자를공격코드 (Exploit) 사이트로도달하게한다고할지라도최종적으로사용자시스템을공격하기위해서는반드시시스템에존재하는취약점을이용할수밖에없다는것이다. 많은보안전문가들이가장기초적인보안수칙으로보안업데이트적용을강조하는것도바로이런이유때문이다. 따라서, 사용자들은제품벤더로부터제공되는보안업데이트를항상적용하고, 다양한보안제품이최신버전으로유지되도록노력해야할것이다. (2) TV 는사랑을싣고 ~, 메일은취약점을싣고 ~ "TV는사랑을싣고 ~", " 메일은취약점을싣고 ~" 앞서언급한공격이사용자시스템을공격하기위해웹이라는중간매체를이용하였다면, 이번에는메일에실어보낸취약점을통해사용자시스템을공격하는사례에대한이야기를하고자한다. 과거메일을통해전파되는악성코드가 "Love~", "Bank~" 등의일상적인키워드를포함하여사람들의클릭을이끌어냈다면, 최근에는실시간으로발생하는전세계적핫이슈를그제목으로삼아서보다공격성공률을향상시켰다. 실제로최근들어발생하는전세계적이슈들에는어김없이 0-day( 제로데이 ) 취약점및가장최신취약점들과결합된사회공학적공격이뒤따랐다. 지난 4월, 아직까지도그피해가감소되지않은 " 신종인플루엔자 "( 초기 : Swine Flu) 의확산소식이전파되기시작하면서사람들에대한관심도높아졌고, 인터넷상에서도감염경로및예방방법등에대한글들이쏟아지기시작했다. 이중, Swine Flu 에관한 QNA 형식을담고있다는 PDF(Adobe Acrobat Reader) 파일이메일을통해전파되기시작했고, 이파일속에는 2009년 2월 0-day 취약점으로알려진 Acrobat Reader JBIG2 취약점 (CVE ) 을이용하여악의적인파일 (Win-Trojan/Pwstealer B) 을드랍 (Drop) 할수있는코드가내포되어있었다. 8

9 [ 그림 1 8] PDF 파일실행시파일드랍 (Dropper) 후실행 9 이달에는 에어프랑스 447편의추락 사건과관련된사진을담고있다는메일이퍼지기시작하였고, 이메일속에첨부되었던 PPT 파일 (MS PowerPoint) 또한지난 4월 0-day 취약점으로알려진 MS MS 파워포인트코드실행취약점 (CVE ) 을이용하는악의적인파일이었다. [ 그림 1-9] 전자메일에첨부된 Dropper/Exploit-PPT ( 출처 : 트렌드마이크로 )] 가장최근의예로는 " 마이클잭슨사망 " 동영상처럼조작된이미지를클릭함으로써악성코드 를배포하는사례도발견되었다. 비단, 이러한사회공학적공격기법은메일뿐만아니라대 중성을갖는메신저, 트위터및동영상클릭을통한전파등다방면에서사용자를노리고있

10 다. 또한, 앞서언급된예들이대부분영문으로작성되어있다고해서해외사례라고만여겨 질수있지만, 국내에서도국내핫이슈를기반으로한악의적인 PDF 파일이전파된사례가 있다. " 덮어놓고사다보면거지꼴을못면한다 " 어느광고의카피처럼, 수없이날라오는메일이나링크등을주의없이클릭하다가는공격자의희생양을면치못할지도모른다. 이러한위협으로부터안전하기위해서는무엇보다중요한것이사용자의보안의식이겠지만, 안전을도와주는보안제품을활용하는현명한센스도필요할때이다. 10

11 4. 네트워크모니터링현황 2분기의네트워크현황은 1분기와크게다르지않다. 이번분기에는특별히네트워크를이용한대량의공격이나타나지않았고, 지속적으로발견되고있는 MS 서버서비스취약점에대한탐지가 1분기에이어 2분기에도절반이넘는수치로상위를차지하고있다. 다만, 1분기에약 76% 수준에서 60% 대로떨어졌다. 이취약점은전세계적으로큰피해를준컨피커 (Conficker) 웜에서사용되면서트래픽이크게증가한것으로, 컨피커에대한치료와예방이작용되면서트래픽수치가줄어든것으로추정된다. [ 그림 1-10] 주요탐지이벤트현황 TOP 5 (2 분기 ) 11 주요탐지이벤트를보면윈도우시스템과관련된취약점들로구성되어있다. 이렇게윈도우취약점이상위를차지하고있는이유는, 공격이효과적으로이뤄지긴위해서는많은사용자군이필요하고바로운영체제로윈도우가가장많이사용되고있기때문이다. 아래그림은상위 TOP5 포트를나타낸것으로 TCP/445가 80% 를차지하고있다. 이외 TCP/80 번을제외한 TCP/139, TCP/135, UDP/137 은 TCP/445 와마찬가지로윈도우의 NetBios 와관련한포트이다. [ 그림 1-11] 상위 TOP 5 포트 (2 분기 ) 주로 NetBios 와관련한트래픽이크게나타나고있으므로, 기업들은외부네트워크와

12 TCP/445,TCP/139 등을통해서통신을할필요가없다면방화벽을통해해당포트를차단 할것을권고한다. [ 그림 1-12] 공격국가별순위및비율 (2 분기 ) 이외공격이탐지되고있는주요국가를살펴보면한국 (KR), 말레이시아 (MY), 홍콩 (HK), 오 스트레일리아 (AU), 일본 (JP), 중국 (CN) 등의국가들이차례로높은비중을차지하였다. 이 수치는 1 분기와크게달라지지않았다. 12

13 5. 중국보안이슈 (1) 정치적인목적으로이용되는중국의유해사이트차단소프트웨어 6월 14일국내외언론을통해유해사이트차단소프트웨어인그린댐유스에스코트 (Green Dam Youth Escort) 소프트웨어가중국정부에의해정치적인목적으로활용되고있다는기사들이공개되었다. 해당기사들에서는해당소프트웨어가중국정부에의해각급학교와중국내에서판매되는모든컴퓨터에의무적으로설치하도록하고있다고한다. 그러나문제는해당소프트웨어가명목상유해사이트차단소프트웨어지만실질적으로반국가적인웹사이트접속차단과시스템감시의목적으로이용되고있다는것이다. 그린댐유스에스코트소프트웨어를설치하면바탕화면에방패모양의아이콘이생성되며 해당아이콘을클릭하게되면 [ 그림 1-13] 와같이사용자인터페이스화면이나타난다. 13 [ 그림 1-13] 그린댐유스에스코트 (Green Dam Youth Escort) 사용자인터페이스 설치가완료된이후 1번의시스템재부팅이이루어지면해당소프트웨어가자동실행되어시스템감시기능을수행하게된다. 시스템감시기능이실행되면시스템에서발생하는모든활동들이기록되며 [ 그림1-14] 와같이해당시스템의웹브라우저를통해접속한웹사이트의모든주소들이기록되게된다.

14 [ 그림 1-14] 접속한웹사이트주소기록 그리고접속한모든웹사이트의주소기록외에도 [ 그림 1-15] 와같이 3 분단위로해당시 스템의모니터화면을캡처하여사용자가어떠한행위를하였는지모두기록되게된다. 14 [ 그림 1 15] 3 분단위로시스템의화면을자동으로캡처 이러한기능들의수행을통해그린댐유스에스코트소프트웨어는시스템에서이루어지는 웹사이트접속및사용자의활동중에서발생할수도있는불법적인행위들을감시할수 있게된다.

15 [ 그림 1-16] 어떠한형태의유해사이트를차단할것인지사용설정 이번에문제가된유해웹사이트차단기능은 [ 그림 1-16] 와같이크게 5 형태의웹사이 트접속차단을수행하게되어있다. 15 1) 성인 / 음란웹사이트 2) ( 엄중 ) 성인 / 음란웹사이트 3) 폭력적온라인게임 4) 동성애 5) 불법활동 / 독극물 기본설정으로는위 5가지형태에포함되는유해웹사이트들의접속을차단하게되어있으며사용자의선택에따라해당항목들을조절할수있게되어있다. 이러한유해웹사이트에대한접속차단방식은아래 [ 그림1-17] 과같이유해단어가포함되어있는데이터파일을통해검색어비교방식을이용하고있다. [ 그림 1-17] 차단할유해단어가기록되어있는데이터파일들 해당데이터파일은인코딩되어있어사용자가쉽게열어보거나조작할수없도록되어 있으며주기적으로특정시스템을통해서업데이트가이루어지는것으로보여진다.

16 [ 그림 1-18] 차단할유해단어에반중국정부및법륜공관련단어가포함 해당인코딩되어있는데이터파일중하나인 xwordl.dat 파일을디코딩해보면유해웹사이트와관련된유해단어가포함되어있는것으로 [ 그림1-18] 과같이볼수있으나이중에는 중국철혈당 및 법륜공제자 와같이중국정부에서지정한반국가적인단어들역시포함되어있는것을알수있다. 이러한방식으로중국정부에서는반국가적인단어들이포함되어있는유해웹사이트의접속을해당소프트웨어를이용하여차단하고자시도한것으로보여진다. 그러나해외컴퓨터관련업체들에서는이러한방식을이용하여그린댐유스에스코트소프트웨어를정치적인목적으로활용하고자하는것에반대를하고있다. 그리고현재취약점관련사이트에서는해당소프트웨어에서버퍼오버런취약점이존재하며만약다수의시스템에설치될경우악성코드등의악의적인목적으로해당시스템들이악용될수도있다고분석하고있다. (2) 중국에서발견된알려지지않은윈도우커널취약점 6월 11일을즈음하여중국언더그라운드웹사이트들에서윈도우시스템에알려지지않은커널취약점이존재하는것으로파악하였으며이를이용한 PoC 파일도제작한것으로공개하였다. 이번에발견된취약점은윈도우 XP SP2에존재하는것으로알려져있으며기타사항들에대해서는일체공개된것이없다. 16 [ 그림 1-19] 윈도우시스템의권한상승관련부분 해당취약점은윈도우시스템의커널에존재하는권한상승관련취약점으로제작된 PoC 파일은다음과같이동작하는것으로분석되었다.

17 1. Csrss.exe의메모리영역접근을위해 Debug 권한으로 OpenProcess를진행한다. 2. Csrss.exe의새로운메모리를영역을이용하여 Win32k.sys에서비스호출을한다. 3. 해당서비스호출에의해서 Win32k.sys의 win32k!ntuserconsolecontrol 에서 0x804D800C 메모리 4바이트를 NULL로채운다. 현재해당윈도우시스템의알려지지않은커널취약점에대해마이크로소프트에서는자세 한조사가진행중에있다고한다. (3) 중국 CNCERT/CC 의 2009 년 5 월웹사이트위 / 변조보안사고동향 중국대륙의보안위협과사고를총괄하는 CNCERT/CC 에서 6 월 17 일, 2009 년 5 월웹사 이트위 / 변조보안사고동향보고서를 CNCERT/CC 웹사이트를통해서발표하였다. 이번에발표한웹사이트위 / 변조보안사고동향보고서를살펴보면 5 월한달동안중국 대륙내에서총 3854 건의웹사이트위 / 변조가발생하였으며이수치는지난 4 월과비교하 여 629 건이증가한수치라고한다. 17 [ 그림 1-20] CNCERT/CC 에서발표한 5 월웹사이트위 / 변조사고현황 그러나홍콩과대만의경우에는각각 3 건과 7 건이감소하여 17 건과 4 건이발생하였다고한 다. (4) 중국정부에의한사이버머니의현금유통금지 6월 30일국내언론을통해중국정부에서온라인게임등인터넷에서통용되는사이버머니에대하여현금으로교환행위일체를금지한다고발표하였다고한다. 이러한소식은중국상무부 (Ministry of Commerce the People's Republic of China) 웹사이트를통해서도아래와같이사이버머니의현금거래금지와관련한내용을확인할수있었다.

18 [ 그림 1-21] 중국상무부웹사이트에게시된사이버머니현금거래금지관련기사 이번에발표된내용들을정리하면사이버머니에대해중국정부에서는 "PC게임에사용되는선지불카드 " 의개념으로정의하고이와관련하여현금으로거래를전면적으로금지하는조항을중국지방행정부에공문형식으로전달하였다고한다. 그리고사이버머니의거래는온라인상의사이버재화또는서비스구매로만제한하며실질적인금전거래에대해서는금지를하며사이버머니를통한도박과이를이용한미성년자의사용도처벌대상이된다고한다. 이러한정책이배포된것은중국정부에서사이버머니로인한실물경제가받게되는악영 향력을최소화함과동시에사이버머니로인해발생하는다양한불법적인활동에대응하 기위한것으로볼수있을것이다. 18

19 II. ASEC 칼럼 TrueFind 성공기 두명의개발자가고객의컴퓨터를분석하고있다. A: 아무리찾아봐도우리프로그램의문제로컴퓨터가오동작하는것같지는않은데 B: 내가봐도그래. 혹시악성프로그램이동작해서그런건아닐까? A: 조금전에실행중인프로그램이나의심스러운파일이존재하는지살펴보았는데그런건없어보였어. B: 요즘에는프로그램이나파일이실행되어도보이지않는루트킷같은프로그램이있다고들었어. 혹시, 이컴퓨터에도그런프로그램이실행중이지않을까? A: 그럼안철수연구소의 TrueFind 를다운로드받아서실행해봐야겠다. B: 어? 숨겨진파일이 2 개나있고이를실행한프로세스까지숨겨져있었구나. 이것때문에 컴퓨터가이유없이느리고오동작했던거구나. 19 A: 이파일들을안철수연구소에신고하려면 아! 여기신고버튼만누르면되네. B: 역시잘찾고빠르고편하구나. 안철수연구소 TrueFind 최고야! (1) 은폐와의전쟁. 그시작은 은폐악성프로그램의시작은의외로오래되었다. 과거호스트, 터미널방식으로시스템을사용하던시절에시스템관리자 (root) 의계정을탈취하기위해서만들어진작은악성프로그램들이최초의은폐형악성프로그램이며, passwd, ls, rm, tar 와같이기존운영체제의프로그램명과동일하게하여운영자가구분하기어렵게만드는방식이었다. 이러한프로그램을시스템관리자 (root) 의정보를획득하는프로그램이라는의미에서이름이루트킷 (rootkit) 으로명명되었다. 이후은폐형악성프로그램들을지칭하는대명사가되기도하였다. 당시의은폐기법은관리자의작은착각을이용하는단순한방법이었으나, 점점은폐악성프로그램들도진화를하여, 이제는응용프로그램에서그존재를알수없는것은물론이거니와백신이나전문은폐진단툴까지도자신을찾아내기어렵게만들고있다. 은폐되는대상도파일을시작으로프로세스, 레지스트리그리고네트워크사용정보까지확대시켰으며, 구현방법도과거단순히유저모드실행파일로만들던방법에서이제는커널모드드라이버를사용하는고수준의구현방법을사용하고있다. 이러한은폐형악성프로그램에

20 대해안철수연구소는 2004년 5월 Agobot에대해최초의진단 / 치료기술을만들었다. AgoBot은 Win32 API 의파일, 프로세스열거함수를후킹하여자신의정보를숨기는악성프로그램으로써현재의기술로보았을때는초보적인기법이사용되었으나당시로는충격적인기법이었다. 이악성프로그램에대해우리는메모리엔진을사용하여후킹된함수를복구하는기술을개발하여이를국내최초로진단 / 치료하였고이러한사실이언론에기사화되기도하였다. 이후 AgoBot의변종을비롯하여 Delf, Padodor, HackDefender 등지속적으로자신을은폐시키는악성프로그램들이빈번히출현하였다. 그수가많아짐에따라메모리엔진을사용하여은폐악성프로그램이후킹한 WIN32 API 를복구하는방식에는한계가오기시작하였다. 특히, 커널모드드라이버를사용하여프로세스를은폐시키는 HackDefender가출현한상황에서사용자모드에서동작하는메모리엔진만으로는대응을할수없는상황까지이르게되었다. (2) 매의눈 HawkEye 를만들다 은폐형악성프로그램을건건히진단하고치료하는방법에는한계가오기시작했다. 매건마다악성프로그램을분석해야했으며, 이에대한진단과치료기술을개발하기위해다시연구를하는등많은노력이필요했으며, 그만큼대응시간도오래걸리게되었다. 대응시간이길어지는것은곧고객의피해로이어지기때문에항상긴급하게진행되었고개발자와대응인력그리고결과를손꼽아기다리는고객까지모두가많이힘들어하였다. 그당시급박한상황을알려주는애피소드가하나있는데, 잦은대응으로인한피곤함때문에모처럼아무일없기를바라며일찍퇴근한날이었다. 저녁으로집에서라면을끓여먹으려고면을막냄비에넣은상황이었는데회사에서호출전화가걸려왔다. 고객사의수십대컴퓨터에은폐형악성프로그램이감염되었으니빨리진단 / 치료프로그램을제공해야하는상황이었다. 2시간이걸려집에왔으나너무급한나머지그대로불을끄고다시회사로 2시간이걸려복귀하였는데, 대응을마치고새벽에집에돌아와보니라면의면발이너무불어서냄비뚜껑이들려있을정도였었다. 저녁을못먹었으니배고픔에몇가닥먹기는하였으나정말눈물이앞을가리고, 은폐형악성프로그램에대한원한이맺히기까지하였다. 당시 F사의 B 프로그램이무료로배포되기시작하였는데, 특정악성프로그램을찾아내는것이아니라숨겨진파일과프로세스를찾아내어이를사용자에게알려주는프로그램이었다. 당시의은폐형악성프로그램을잘찾아주었고, 실행속도도빠르며프로그램의크기도작아우리의대응및분석가들도이프로그램을사용할만큼인기가좋았었다. 우리한테는 F 사의 B 프로그램과같은기술이필요했다. 매번악성프로그램에대응하는것에는분명한한계가있으므로시간이걸리더라도근본적으로은폐된프로그램을진단 / 치료할수있는이러한기술이절실히필요했기에이어서바로프로젝트를개시하였다. 그프로젝트는 TrueFind의전신인 HawkEye 프로젝트로써, 새의눈중에가장시력이좋은매의눈을프로젝트명으로정한것이다. 어떤프로그램보다도은폐된악성프로그램을잘찾아내라는 20

21 의미로짓게되었다. HawkEye는은폐된프로세스와모듈을찾아내는데그목표를두었다. 당시, 은폐형악성프로그램은주로자신의프로세스와타프로세스에 Injection 한 DLL 모듈을은폐하는행위를주로하였으며이러한행위를타겟으로한것이었다. 또한, 당시출현하기시작한 DKOM 과같이커널모드에서시도하는프로세스은폐에도대응할수있도록커널모드드라이버로구현을하였다. 이때가 2005년 10월로써이후다른중요한일들로인해중간중간프로젝트가중단되며우여곡절끝에 2006년 5월에은폐프로세스진단기능이완성되었다. 이은폐프로세스진단기능은당시타사의프로세스진단기능에비해은폐프로세스를더욱잘진단하였으며, 은폐된모듈까지진단하도록되어있어서그성능이월등히좋았다. 특히, 커널모드형악성프로그램에대응하도록개발하여현재까지도최신의은폐형악성프로그램진단 / 치료에사용되고있다. 전용백신에적용하여좋은효과를보았으며, 고객대응에도활용하고싶다는요구에따라 AhnReport에도적용하여프로세스목록에의심스러운은폐프로세스와은폐모듈이존재하는지정보를알려주었다. 이지면을통해당시검증되지도않았던은폐프로세스진단기능을 AhnReport에흔쾌히적용해주신이현성책임님께감사드린다. 21 (3) 세종대왕과함께한진정한은폐진단 / 치료기술. TrueFind HawkEye의성공에이어서우리는더중요한은폐된파일과레지스트리를찾아낼수있는기술을개발할준비를시작하였다. 특히이번기술은대상이은폐된파일과은폐레지스트리이므로 V3 의수동검사에서사용하는것을기본목표로정했기때문에안정성을갖추면서도높은진단률과빠른속도를갖는게중요했다. 성공가능성이높지않았기때문에프로젝트를시작하기전에기술검토를먼저시작하였는데원하는조건을모두만족하는것은너무불가능해보였다. 당시타사에서무료로배포하는툴에적용된기술들을우선검토한결과은폐파일진단 / 치료만을예로들자면, 파일시스템에직접접근하여정보를획득하는방법을채택하고있었다. 이방식은높은진단률을가졌지만파일시스템에직접접근함으로써안정성이낮았고속도가느렸다. 다른기술들역시안정성이높으면속도가느리거나진단률이떨어졌다. 타사의기술들이참고는되었으나우리가원하던기술들은아니었다. 우리가목표로하는기술은결국독자적으로연구해서개발해야했는데타사들이사용한방식이외에는더좋은방법이떠오르지않았다. 이당시고민거리가있으면여의도공원의세종대왕동상을찾아가대왕님을바라보며속으로해결방법을물어보는기괴한습관이생겼는데, 마땅한방법이떠오르지않았던당시매일매일야근시간이면대왕님과대화를하는위험한 (?) 상황에까지이르게되었다. 그날도대왕님과답없는대화를마치고공원을나올때였는데문득떠오르는생각이있었다. 은폐악성프로

22 그램이자신의정보를숨기는방식은자신의파일명이파일목록에포함되어있을경우해당목록에서자신의파일명정보만을제거하는방식인데, 만일악성프로그램이파일목록에서자신의파일명정보를찾지못한다면역시나은폐를하지못할것이라는것이다. 그렇다면전달되는파일시스템에서응용프로그램으로전달되는정보를우리가암호화하여응용프로그램에전달되는중간에는은폐형악성프로그램이정보를알아채지못하도록하고, 응용프로그램에전달되기직전에다시복호화한다면우리는은폐형악성프로그램을찾아낼수있을것같았다. 바로프로토타입핑을하여만들어본결과너무나그성능이만족스러웠다. 일반 WIN32 API 로파일시스템의파일목록을구하는속도와거의차이가없었으며, 타사와달리파일명을암호화하는방식이므로위험하게파일시스템에접근하지않아서안정성이매우높았다. 또한, 진단률역시가장최고의진단률을보였던 G 프로그램에비해약 90% 정도의수준이었으므로이정도면최초개발수준으로는무척좋은수준이었다. 이후은폐된파일의목록을구하는것뿐만아니라역으로암호화된파일명을사용하여은폐된파일을제어하는방법등다양하고도우리가독자적으로개발한진단 / 치료기술들에대한기술검토가진행되었으며좋은결과가예상되었다. 2007년 10월. TrueFind의첫삽이떠졌다. 앞서검토된기술결과를다양한제품에서사용할수있도록 SDK 로제공할수있도록설계되었으며, 은폐된파일뿐만아니라타사에서는제공하지않았던은폐레지스트리진단과은폐네트워크포트기능까지제공되도록하였다. TrueFind 프로젝트는 2008년 6월 30일. 장장 8개월에걸쳐프로젝트가완료되었다. 22 프로젝트기간에새롭게등장한 MBR Rootkit에대해중간산출물을전용백신으로제공하여세계두번째 MBR Rootkit을진단 / 치료하는전용백신을공개하기도하였으며, 가상실행기술을이용한최신은폐프로그램의진단 / 치료, 원격핸들제어기능등프로젝트기간동안신규개발된기술들을계속추가함으로써더욱강력한진단 / 치료률을제공할수있게하였다. 시작은늦었으나 HawkEye, TrueFind 프로젝트를통해우리는타사에비해앞선은폐프로세스, 파일, 레지스트리, MBR 및네트워크포트진단기능까지은폐에관한한모든범위의악성프로그램을진단하고치료할수있는기술을갖출수있게된것이다. 이제 TrueFind를이용한다면더이상은폐형악성프로그램은은폐형이아닌일반악성프로그램이될뿐이다. (4) 기술은제품으로 안철수연구소에는오늘도많은기술들이연구되지만실제로제품에반영되는기술은그수가많지않다. 기술자체가실험적이기도하지만안정성을갖추지못한다면제품에반영되어실제사용되기에는많은위험이따르기때문이다. TrueFind는최초설계시부터안정성을우선으로두고설계되었기때문에프로젝트완료시에바로제품적용을시도하였다. 최

23 초적용제품은 V3 IS 8.0 으로써, 신제품답게강력한진단 / 치료기술을갖추어야했으며, TrueFind 가이를지원하기에는안성맞춤이었다. V3 IS 8.0 에는프로세스검사, 시작프로그램검사, 파일검사등에각각은폐프로세스, 은폐레지스트리, 은폐파일기능이포함되어그동안전용백신으로만진단 / 치료할수있었던최신의은폐및자기보호악성프로그램을별도의프로그램없지자체적으로진단 / 치료할수있도록되었다. 또한, V3 IS 7.0 에도적용을시작함으로써이제자사의주요제품들은타사에비해더욱강력한진단 / 치료능력을갖추게되었다. (5) 모두에게도움을주기위해 년도이미 F 사는 B 프로그램을무료로제공하여 F 사의백신프로그램을모르는사용자도 B 프로그램은잘알고있는상황이었다. 이뿐만아니라많은주요보안회사들은무료로자신들의은폐진단 / 치료툴을배포하고있었다. 무료로툴을제공하는것은사용자에게도움을주기도하지만, 그회사의기술력을광고하는효과도있으므로많은회사들이무료은폐진단 / 치료툴을제공하는것이었다. 우리는독자적인은폐진단 / 치료툴이없었다. 사용자에게배포하는툴은물론이거니와분석및고객지원에사용할은폐진단 / 치료툴도없는상황으로써시급히툴이필요한상황이었다. 다행히기술이준비되었으므로툴을바로기획하였다. 이작업은기반기술팀의파일파트 4명과네트워크파트 1명이참여하여 IQ 프로젝트로진행을시작했다. 김성현책임이기획과리더역할을, 고항훈선임과김경현선임이은폐진단 / 치료기술의적용을담당하고, 김현철주임이성능시험을, 황두환주임이 User Interface 개발을담당하였다. 정식프로젝트가아닌 IQ 로진행되는일인만큼모두가참여할시간이부족했다. 특히, 진행기간이연말과연초였기에원래업무가무척많은상황에서진행되어개발속도가더디고부담이많이되는상황이었다. 또한, 작은툴을생각했었으나다양한요구에의해단순한진단, 리포트뿐만아니라진단된파일의수집및검사와업데이트알림까지준백신급의프로그램으로만들어지게되었다. 더욱문제는기반기술팀의특징답게기술은잘만들수있으나 User Interface 개발과는거리가멀었는데, 다행히멀티플레이어인황두환주임이아주멋있게 User Interface를개발해주었다. 객관적이지는않지만필자의생각으로는지금까지의은폐진단 / 치료툴중가장편하고멋진화면을보여주는툴이라생각한다. 마침내 2009년 6월자사최초의공개툴 TrueFind가완성되었고, 현재는 IQ 심사를진행중이다. 7월중에고객에게자사의베타사이트를통해배포를될수있도록준비를하고있다. 이프로그램은훌륭한팀웍이만들어낸프로그램이다. 모두가바쁜상황에서도다른사람들에게도움을주기위해없는시간도만들정도로희생을하며적극적으로참여하였으며, 기존보다나은툴을만들기위해서지속적인아이디어회의를통해방법을도출하고적용을시도하였다. 그결과로써타사의은폐진단 / 치료툴보다도빠르고, 사용하기편하며다른툴에는없는기능인진단된결과를네트워크를통해악성유무까지확인할수있는

24 (AhnLab Smart Defense 연동 ) 기능까지포함된유용한툴이만들어지게된것이다. 앞으로이번배포뿐만아니라지속적으로최신의은폐형악성프로그램에대응될수있도록업그레이드될것이며, 사용자의요구사항도적극반영하여사용하기편리한프로그램으로만들어나갈것이다. 국내뿐만아니라세계에서도가장많이사용되는은폐진단툴이될때까지모두가계속노력할것이다. (6) 마치며 자사의독창적인기술로써타사대비높은진단률과안정성그리고빠른속도를갖는기술과바로사용할수있는툴이갖추어진것만으로도 TrueFind가목표했던바중하나는이루어냈다고생각한다. 하지만. 다른하나의목표가있다. 그목표는모사이트의은폐진단성능벤치마크를기준으로 TrueFind를평가하여 10개의은폐진단프로그램중 1등을차지하는것이다. 현재는약 3위정도의위치이다. 목표하는바를이루기위해 TrueFind 기술과툴은계속업그레이드될것이고, 우리는계속노력할것이다. 24

25 III. 이달의통계 1. 악성코드통계 (1) 6 월악성코드통계 순위 악성코드명 건수 비율 1 new Win-AppCare/Keylogger % 2 new Win-Trojan/Agent.9728.OI % 3 new Win-Trojan/Downloader OD % 4 new Dropper/Agent % 4 new Win-AppCare/HackTool % 4 new Win-Trojan/Downloader % 5 new Dropper/OnlineGameHack % 5 new Dropper/OnlineGameHack % 5 new Win-Trojan/Agent KL 9 8.3% 5 new Dropper/OnlineGameHack % 25 합계 % [ 표 3-1] 2009 년 5 월악성코드피해 Top 10 순위 악성코드명 건수 비율 1 new Win-Trojan/Bho % 2 new Win-Trojan/OnlineGameHack GX % 2 new Win-Trojan/OnlineGameHack DO % 3 new Dropper/OnlineGameHack B 8 9.8% 3 new Win-Trojan/OnlineGameHack DM 8 9.8% 3 new Win-Trojan/OnlineGameHack DE 8 9.8% 4 new Win-Trojan/Downloader CK 7 8.5% 5 new Win-Trojan/Agent L 6 7.3% 5 4 Win-Trojan/Bho % 5 new Win-Trojan/Downloader B 6 7.3% 합계 % [ 표 3-2] 2009년 6월악성코드피해 Top 10 [ 표 3-1] 은 2009 년 5 월악성코드피해 Top 10 이며, [ 표 3-2] 는 2009 년 6 월악성코드로

26 인한피해 Top 10 을나타낸것이다. 이번달에는네이트온메신저를통해유포되는악성코드가 Top10에무려 5개나상위에랭크되었다. 2위부터 3위에해당하는 OnlineGameHack으로써파일명은 hf0214.dll, hf0214.exe, hf0215.dll, hf0215.exe 형태를취하고있다. 해당악성코드에감염되면 dll파일이실행중인모든프로세스들에강제로주입되어특정온라인게임의사용자계정을탈취한뒤특정메일주소로전송하는악의적인기능을수행한다. 보통메신저를통해유포되는악성코드의경우로그인정보가유출되면서자동으로메신저에로그인되며등록된친구에게말을걸어 사진.scr 형태의악성파일을전송하거나해당악성코드를다운로드받을 URL을전송하게된다. scr파일은 2개의악성코드와 1개의그림파일 (jpg) 파일이실행압축된형태이며이번달의경우게임핵류가주류를이루고있으나다운로드등을통해서 AVKiller 및 Bot, 루트킷등이설치되기도한다. 사회공학기법을이용한네이트온, MSN등메신저를통해유포되는악성코드는매월끊임없이변종이나타나므로백신업데이트및사용자의주의가필요하다. 아래의표와그림은대표진단명을기준으로변형들을묶어통계를뽑은것이다. 개별악성코드통계보다전체적인악성코드감염양상을알수있다. 이는많은변형의출현및빠른악성코드엔진대응으로개별악성코드생명주기가짧아져서이를보강하기위해참고로작성된것이다. 26 순위 악성코드명 건수 비율 1 7 Win-Trojan/Fraudload % 2 1 Win-Trojan/Agent % 3 2 Win-Trojan/OnlineGameHack % 4 New Win32/Autorun.worm % 5 1 Win-Trojan/Downloader % 6 1 Dropper/OnlineGameHack % 7 New JS/Gumblar % 8 6 Win-Trojan/FakeAV % 9 4 Dropper/Fraudrop % 10 new Win-Trojan/Fraudpack % 합계 2, % [ 표 3-3] 월악성코드대표진단명 Top 10

27 3% 3% 3% 3% 4% 7% 9% 12% 41% Win-Trojan/Fraudload Win-Trojan/Agent Win-Trojan/OnlineGameHack Win32/Autorun.worm Win-Trojan/Downloader Dropper/OnlineGameHack JS/Gumblar Win-Trojan/FakeAV Dropper/Fraudrop Win-Trojan/Fraudpack 15% [ 그림 3-1] 2009 년 6 월악성코드대표진단명 Top 10 [ 표 3-3] 과 [ 그림 3-1] 은 2009 년 6 월악성코드의대표진단명을기준으로유형별피해 순위 Top 10 을나타내고있다. 27 6월악성코드대표진단명 Top 10을살펴보면지난달강세에이어 FakeAV, Fraudrop, Fraudload, Fakealert 등으로불리는허위안티스파이웨어류가 1위를포함한전체의 50.2% 를차지하였다. 올초부터허위안티스파이웨어가강세를보이며꾸준히증가하고있는추세이므로각별히주의가필요하다. OnlineGameHack은여전히강세를보이며전체약 15.8% 의비율을차지하고있다. 또한, 웹사이트해킹후악의적인코드은닉 ( 인코딩된 Java Script) 후사용자접근시특정사이트로유도하여 Adobe Acrobat, Flash Player 취약점등을통해유포되는 Gumblar 가새로이추가되었다. 이를예방하기위해서는업데이트를통한각각의보안취약점에대한패치및최신엔진백신업데이트가무엇보다도필요하다. 아래의 [ 그림 3-2] 는 2009년 6월전체악성코드유형별피해신고건수를나타내고있는그래프이다. 트로이목마프로그램은 70.3% 로다른악성코드보다월등히많은비율을차지하고있으며, 드롭퍼와웜이각각 10.5% 와 10.2%, 그뒤를이어스크립트 7.0%, 유해가능프로그램이 1.5% 를차지하고있다. 저번달과동일하게바이러스는 0.5% 로극히낮은비율을유지하고있다.

28 10% 1% 1% 10% 7% 71% 트로이목마스크립트드로퍼웜유해가능프로그램바이러스 [ 그림 3-2] 2009 년 6 월악성코드유형별피해신고비율 5 월 6 월 바이러스유해가능프로그램웜드로퍼스크립트 0.50% 0.20% 1.50% 1.10% 10.20% 5.40% 10.50% 15.60% 7.00% 3.40% 28 트로이목마 70.30% 74.30% [ 그림 3-3] 2009 년 6 월악성코드유형별피해신고비율전월비교 위의 [ 그림 3-3] 은전월과비교한악성코드유형별피해신고를나타낸것이다. 트로이목마가전월과비교하여 4% 로다소감소하였으나여전히전체 70% 이상의점유율을가지고있었으며, 드로퍼는전월대비 5.1% 로소폭감소하였다. 증가한것은웜의경우전월과비교하여 4.8% 가증가하였으며, 스크립트의경우 3.6% 로증가하였다. 유해가능프로그램과바이러스는약간의수치차이는있겠으나전월과많은차이가없었다.

29 5,000 4,500 4,000 4,114 4,673 3,500 3,000 2,500 2,000 1,500 1, ,258 3,392-3 월 4 월 5 월 6 월 [ 그림 3-4] 월별피해신고건수 29 [ 그림 3-4] 는월별피해신고건수를나타내는그래프로 4월부터감소추세였으나 6월에전월대비 1281건 ( 약 37%) 이나증가하였다. 이동형저장장치를통해전파되는악성코드가꾸준히증가되고사회적이슈를통한스팸메일이다량유포될가능성을배제할수없기에전용진단함수와사전대응에좀더주의를기울여야할것으로보인다. 악성코드의유형이점차은폐형악성코드및최신취약점을이용하는악성코드가늘어남에따라피해를막기위해서는최신보안패치와함께관리계정의비밀번호를영문, 숫자, 특수문자의조합하여시스템취약점을보완하고최신버전의백신프로그램으로주기적으로검사하는습관이필요하다. (2) 국내신종 ( 변형 ) 악성코드발견피해통계 6 월한달동안접수된신종 ( 변형 ) 악성코드의건수및유형은 [ 표 1] 과같다. 월 트로이목마 드롭퍼 스크립트 웜 파일 유해가능 합계 04 월 월 월 [ 표 3-4] 2009 년최근 3 개월간유형별신종 ( 변형 ) 악성코드발견현황 이번달신종및변형악성코드는전월대비 11% 증가하였다. 웜유형의증가율이높았으 며드롭퍼와스크립트유형도증가율이큰폭으로상승하였다. 웜유형은이동식디스크등 에자신을복제하는형태인 Autorun 유형가장많이보고되었다. 스크립트유형역시 VBS

30 로만들어진 Autorun 형태가많이보고되었다. 지난달많은수가보고되고국내에서도피해문의가있었던 P2P 웜인 Win32/Palevo.worm은커널스팸봇 (Win-Trojan/Rustock 변형들 ) 을설치하는악성코드로확인이되었다. 메일내링크나취약한특정웹페이지방문시웹브라우저의보안취약점등을이용하여감염될수있다. PDF 문서파일의취약점을이용한악성코드도지난달과비슷한수준으로보고되었다. MS 오피스취약점과관련하여이전보다많은사용자가보안의취약성에대하여인식이많이개선되었다고생각된다. 그러나 PDF 문서에대한보안취약점은많은사용자들이인지하지못하고있는게현실이다. 기본적으로자신이사용하는 PDF 문서뷰어프로그램을항상최신으로업데이트하는것이중요하다. 다음은이번달악성코드유형을상세히분류하였다. 6 월신종 ( 변형 ) 악성코드유형 트로이목마드롭퍼스크립트웜 (AutoRun) 웜 ( 메읷 ) 웜 (IRC) 유해가능웜 (Exploit) 1.7% 취약점 ( 문서 ) 웜 (SNS) 웜 (P2P) 파읷 ( 바이러스 ) 0.8% 1.5% 1.2% 0.5% 0.9% 0.5% 8.2% 0.1% 10.4% % 63.9% [ 그림 3-5] 2009 년 06 월신종및변형악성코드유형 이번달트로이목마유형은전월대비 5% 감소하였다. 온라인게임의사용자계정을탈취하는형태의악성코드역시전월대비감소율이높았다. 6월한달동안국내사용자로부터다수보고가있었던악성코드는주로커널스팸봇을다운로드하는 Dropper와이와연관된악성코드들이다. 이악성코드는 5월한달내내에도피해문의가많았는데 6월까지이어지는경향을보이고있다. 이러한이유는 Dropper가다운로드되는호스트가여전히접속이가능하다. 또한안티바이러스진단을피하기위하여다운로드될때마다자신의코드가변경된다. 그리고악성코드의감염경로가메일내링크및취약한웹페이지와웹브라우저사용등으로유입될수있는경로가많기때문에피해가다소증가하는것으로보인다. 해당악성코드에대한대응으로안철수연구소는 Dropper 를 Generic 하게진단하도록엔진

31 에추가했고스팸을발송하며자기보호기능을가지고있는커널모듈에대해서도 Generic 하게진단하도록조치하였다. 또한이러한기능이모두포함되고효과적으로악성코드를제거할수있는 Win-Trojan/Rustock.Gen 전용백신을제작하여홈페이지를통하여배포하고있다. 스크립트유형은전월대비 98% 정도의증가율을보였다. 대부분이 VBS (VBScript) 로만들어진 VBS 스크립트악성코드유형이주류를이루었다. 그중에서도 Autorun 관련증상을갖도록만들어진악성코드가많았다. 즉, 이동식디스크에대하여자신을복제하도록하는이러한악성코드는실행파일형태뿐만아니라 VBScript로도만들어질수있다. 이번달관련악성코드들 ( 스크립트와웜유형 ) 이증가한이유에대해서는명확하지않다. 그러나악성코드의전파방법으로자리잡은 Autorun 유형은그다지놀랄만한일은아니다. 31 웜유형은전월대비 140% 증가하였으며대부분 Autorun 관련증상을갖는유형이많았다. Autorun 유형은트로이목마유형에서도나타나는데솔직히웜인지트로이목마에대한명확한구분은어렵다. 보통악성코드에중복되는증상이발생하면분석가나업체의진단명기준에따라서웜또는트로이목마처럼어떤악성코드유형으로분류된다. 일반적으로트로이목마는정보유출과파괴적인증상이더가까우므로이럴경우웜보다는트로이목마로분류된다. 서두에서도언급했듯이 Win32/Palevo.worm은커널스팸봇을설치하기위한드롭퍼형태로확인되었다. 그리고취약점을이용하는 Win32/Conficker.worm 변형이이번달다수보고되었는데대부분이 Conficker.C 형으로불리어지는변형이였다. 이외에도 IRCBot.worm과 SNS 관련웜도눈에띄었다. 취약점관련문서류는여전히 PDF 관련한사례가많았다. MS Office 관련취약점을사용하는형태도보고되었는지최근에는본보고서를통해서자주언급했듯이 PDF 문서에대한취약점을이용한악성코드감염사례가많았다. 바이러스유형은기존에알려진 Win32/Kashu.B와 Win32/Virut 변형이자주출몰하였다. 대부분안티바이러스진단을피하도록함으로써진단을회피하는형태였는데이러한변형은거의매달발견되고있다. 다음은최근 3개월간신종및변형악성코드분포이다.

32 최근 3 개월간악성코드분포 09/04 월 09/05 월 09/06 월 [ 그림 3-6] 2009 년최근 3 개월간악성코드분포 이번달트로이목마의상승세는주춤하였다. 반면드롭퍼와웜, 스크립트유형이증가하였다. Autorun 유형의악성코드가원인이명확하지않게증가한것도해당악성코드유형들이증가하는데한몫을하였다. 다음은온라인게임의사용자계정을탈취하는악성코드의추세를살펴보았다 년온라읶게임사용자계정탈취 악성코드추세 월 2 월 3 월 4 월 5 월 6 월 [ 그림 3-7] 온라인게임사용자계정탈취트로이목마현황

33 이번달해당악성코드는 54% 감소하였다. 이는올해들어가장낮은수치를보이고있다. 해당악성코드가급격히감소를보인것에대해서는명확하지않다. 다만스크립트악성코드유형중인터넷익스플로러취약점을이용한것이많지않았으며 Dropper 역시해당악성코드를 Drop 하는형태가많지않았다. 또한이유형의악성코드의경우이전에도언급했듯이특정한 custom packer 형태로만들어진것이가장많은보고가이루어진다. 해당유형은전체온라인게임악성코드의대부분을차지한다. 비록그수치가전월대비줄었다고해도해당악성코드는사용자로부터많은보고가들어오는형태로그수가줄었다고안심할수는없다. 33

34 2. 스파이웨어통계 (1) 6 월스파이웨어피해통계 순위 스파이웨어명 건수 비율 1 New Win-Downloader/Upt % 2 New Win-Downloader/Rogue.FakeAV % 3 New Win-Downloader/NeoPoint % 4 New Win-Adware/Asdfware % 5 New Win-Adware/Upt % 6 New Win-Adware/Rogue.HelpClear % 7 New Win-Downloader/Asdfware % 8 New Win-Downloader/Give2Sms % 9 New Win-Downloader/KorAdware B 10 7% 10 New Win-Downloader/Asdfware % 합계 % [ 표 3-5] 2009년 6월스파이웨어피해 Top % 7% 14% Win-Downloader/Upt Win-Downloader/Rogue.FakeAV % 7% 14% Win-Downloader/NeoPoint Win-Adware/Asdfware Win-Adware/Upt Win-Adware/Rogue.HelpClear % 13% Win-Downloader/Asdfware Win-Downloader/Give2Sms % 12% Win-Downloader/KorAdware B Win-Downloader/Asdfware [ 그림 3-8] 2009 년 6 월스파이웨어피해 Top 년 6월스파이웨어피해 Top10에서는 Win-Downloader/FakeAV를제외한모든스파이웨어가국내에서제작된것으로확인되었다. 특히 Win-Downloader/NeoPoint는리워드프로그램으로, 적절한이용자동의없이시스템에설치되는것이확인되어, 진단추가된경우다. 분석결과다운로드네오포인트는적절한사용자동의없이설치되면서여러가지애드웨

35 어와가짜백신을설치했다. Win-Downloader/Upt, Win-Adware/Rogue.HelpClear가함께설치되는애드웨어다. Win-Downloader/NeoPoint가설치하는많은애드웨어가피해 Top10 에등록된것으로미루어국내제작스파이웨어는종류가다양하지는않지만국내에서의파급력은높은것으로볼수있다. 순위 대표진단명 건수 비율 1 Win-Downloader/Rogue.FakeAV % 2 Win-Downloader/Zlob % 3 Win-Downloader/FakeAlert.RogueAnti 41 1% 4 Win-Adware/IEShow 34 1% 5 Win-Downloader/Rogue.HelpClear 29 1% 6 Win-Dropper/Rogue.FakeAV 25 1% 7 Win-Adware/Asdfware 21 1% 8 Win-Downloader/Asdfware 20 1% 9 Win-Downloader/NeoPoint 19 1% 10 Win-Downloader/Upt 19 1% 합계 % [ 표 3-6] 6월대표진단명에의한스파이웨어피해 Top10 35 [ 표 3-6] 은변형을고려하지않은대표진단명을기준으로한피해건수이다. 6월에는총피해건수가 3612건으로지난 5월의 2775건보다 900건이상증가했다. 이것은실시간으로변형을생산하는외산가짜백신설치프로그램인 Win-Downloader/Rogue.FakeAV의접수건수가증가했기때문이다. 5월최초로진단추가된국산리워드프로그램인 Win- Downloader/NeoPoint의피해신고 Top 10에포함되어있으며, Win-Adware/IEShow의경우꾸준히발견되고있다. 2009년 6월유형별스파이웨어피해현황은 [ 표 3-7] 과같다. 스파이 애드 다운 다이 익스 구분 드롭퍼 클리커 AppCare Joke 합계 웨어류 웨어 로더 얼러 플로잇 4월 월 월 [ 표 3-7] 2009년 6월유형별스파이웨어피해건수 드로퍼와스파이웨어의피해가 4 월부터조금씩줄고있다. 국산애드웨어의증가로인해애드 웨어의피해는소폭증가했으며, 다운로더로인한피해는지난달에이어큰폭으로상승해

36 전반적인피해건수를높이는것이확인되었다. (2) 6 월스파이웨어발견현황 6 월한달동안접수된신종 ( 변형 ) 스파이웨어발견건수는 [ 표 3-8], [ 그림 3-9] 와같다. 스파이 애드 다운 다이 익스 구분 드롭퍼 클리커 AppCare Joke 합계 웨어류 웨어 로더 얼러 플로잇 4월 월 월 [ 표 3-8] 2009년 6월유형별신종 ( 변형 ) 스파이웨어발견현황 0% 2% 4% 2% 92% 스파이웨어류애드웨어드롭퍼다운로더다이얼러클리커익스플로잇 AppCare 조크 36 [ 그림 3-9] 2009 년 6 월발견된스파이웨어프로그램비율 가짜백신을설치하는다운로더신고가계속해서증가하고있다. 전체신종 ( 변형 ) 발견건수에서차지하는비율도가장높다. 외산다운로드는지속적으로변형을생산하기때문에변종이다양하다. 애드웨어의경우신종및변형은줄어들고있다. 하지만피해신고는증가한것으로미루어동일한애드웨어가많은 PC에피해를입히는것을알수있다.

37 3. 시큐리티통계 (1) 6 월마이크로소프트보안업데이트현황 마이크로소프트사로부터발표된이달보안업데이트는총 10 건으로긴급 (Critical) 1 건, 중요 (Important) 3 건, 보통 (Moderate) 1 건이다. 37 [ 그림 3-10] 6 월 MS 보안업데이트현황 위험도취약점 PoC 긴급 (MS09-020) IIS( 인터넷정보서비스 ) 의취약점으로인한권한상승문제점유 [ 표 3-9] 2009 년 06 월주요 MS 보안업데이트 이달에는 5월중순경제로데이취약점으로알려진웹서버 IIS(Internet Information Services) WebDAV 취약점을보완하는보안업데이트가포함되어있다. 아직까지해당취약점피해사례는보고된바가없으나서버관리자들은반드시해당패치를적용하여야한다. 그러나, MS DirectShow 제로데이취약점에대한보안패치는이달에제공되지않았다. 이달에도 1개의추가적인취약점에대한보안권고문이공개되어주의를요한다.

38 (2) 2009 년 6 월웹침해사고및악성코드배포현황 [ 그림 3-11] 악성코드배포를위해침해된사이트수 / 배포지수 2009년 6월악성코드를위해침해된웹사이트의수와악성코드유포지의수는 122/20로 2009년 5월과비교하여유포지의수는변화가없었지만침해지의수는큰폭으로증가하였다. 이와같은추세는계속될것으로보인다. 2009년 6월에는기존악성코드와는다른형태의악성코드가발견되었다. 과거의악성코드는실행파일을배포지로부터다운로드하고실행하는형태였다면새롭게발견되는코드는페이지의유입경로를확인하여그것을배포자의서버로전송하는구조로되어있다. 38 [ 그림 3-12] 악성코드 1 [ 그림 3-12] 의악성코드는안티바이러스프로그램의진단을피하기위해부호화되어있으 며이것을해제하면다음과같은코드가보인다. [ 그림 3-13] 악성코드 2 사용자가이와같은코드가들어있는웹페이지를브라우저에서실행하면사용자의해당사이트로의유입경로가공격자에게전송된다. 이러한공격으로부터사용자의시스템을방어하기위해서는항상사용제품의보안상태를최신으로유지하고, 최신상태의안티바이러스제품을사용해야한다.

39 4. 사이트가드통계 (1) 2009 년 6 월웹사이트보안요약 구분 건수 악성코드발견건수 682,795 악성코드유형 945 악성코드가발견된도메읶 1,062 악성코드가발견된 URL 10,787 [ 표 3-10] 6 월웹사이트보안요약 웹사이트를통한사용자의피해를막기위해안철수연구소가제공하는인터넷보안무료 서비스인 사이트가드 1 의통계를기반으로본자료는작성되었다. [ 표 3-10] 은 2009 년 6 월한달동안웹사이트를통해발견된악성코드동향을요약해서보 여주고있다. 39 사이트가드의집계에따르면 6월한달동안악성코드는 945종 682,795건발견되었으며, 악성코드가발견된도메인은 1,062건, 악성코드가발견된 URL은 10,787건으로전반적으로지난 4월부터보였던증가세가 6월에들어서는급격한증가를보였다. 악성코드발견건수 682,795건은 5월 176,614건에비해 286% 정도나증가한수치이다. 이는 2009년 4월부터증가세로돌아서악성코드발견건수가 6월에급격한증가세를보인것을의미하며, 이러한원인에대해서는아래내용을통해확인하고자한다. 세부내용을보면다음과같다. 1

40 (2) 악성코드월간통계 가 ) 악성코드발견건수 800, , , , , , ,433 70, , , 년 1 월 2009 년 2 월 2009 년 3 월 2009 년 4 월 2009 년 5 월 2009 년 6 월 [ 그림 3-14] 월별악성코드발견건수 [ 그림 3-14] 는최근 6 개월인, 2009 년 1 월부터 2009 년 6 월까지의악성코드발견건수의추 이를나타내는그래프로 6 월악성코드발견건수는 682,795 건으로지난달에비해약 286% 의급격한증가세를보였다. 나 ) 악성코드유형 40 1, 년 1 월 2009 년 2 월 2009 년 3 월 2009 년 4 월 2009 년 5 월 2009 년 6 월 [ 그림 3-15] 월별악성코드유형 [ 그림 3-15] 는최근 6 개월간발견된악성코드의유형을나타내는그래프로역시지난 5 월 의 822 종에이어 6 월에 945 종으로증가하였다.

41 다 ) 악성코드가발견된도메인 1,200 1, , 년 1 월 2009 년 2 월 2009 년 3 월 2009 년 4 월 2009 년 5 월 2009 년 6 월 [ 그림 3-16] 월별악성코드가발견된도메인 [ 그림 3-16] 는최근 6 개월간악성코드가발견된도메인수의변화추이를나타내는그래프 로 6 월악성코드가발견된도메인은 1,062 개로전월에비해약 64% 증가하였다. 라 ) 악성코드가발견된 URL 41 12,000 10,000 8,000 6,000 6,494 10,135 7,748 10,078 10,787 4,000 4,325 2, 년 1 월 2009 년 2 월 2009 년 3 월 2009 년 4 월 2009 년 5 월 2009 년 6 월 [ 그림 3-17] 월별악성코드가발견된 URL [ 그림 3-17] 은최근 6 개월간악성코드가발견된 URL 수의변화추이를나타내는그래프로 6 월악성코드가발견된 URL 수는 10,787 개로전월에비해 7% 가증가하였다.

42 (3) 유형별악성코드배포수 유형 건수 비율 Adware 256, % Trojan 241, % Downloader 9, % Win32/Virut 7, % Dropper 5, % AppCare 2, % Win-Clicker 1, % Spyware % Joke % 기타 157, % 합계 682, % [ 표 3-11] 유형별악성코드배포수 42 [ 그림 3-18] 유형별악성코드분포 [ 표 3-11] 과 [ 그림 3-18] 은 6 월한달동안발견된악성코드를유형별로구분하여발견건 수와해당비율 (%) 를보여주고있다. 6월한달동안총 682,795개의악성코드가발견되었으며이중 Adware류가 256,685개로 5 월에이어서 1위를고수하였다. Trojan류는 241,029개로 2위를차지하였으며, 3위는 Downloader류가 9,434개로 3위를차지하였다. 특이한점은 5월과달리 Adware류와 Trojan류의급격한증가이다. 이러한급격한증가는국내 Adware류의확산과웹을이용한 Trojan류의배포의증가와맞추어사이트가드의사용자수가증가함에따라통계에대한모집단이증가한것이주요원인으로보인다.

43 (4) 악성코드배포순위 순위 악성코드명 건수 비율 1 new Win-Adware/GSidebar ,491 26% 2 new Win-Trojan/Geral F 104,103 20% 3 3 Win-Trojan/Xema.variant 86,730 16% 4 new ACAD/Bursted 48,769 9% 5 new ALS/Bursted 40,712 8% 6 3 Win-Adware/Shortcut.IconJoy ,544 7% 7 new Win-Adware/Shortcut.InlivePlayerActiveX ,867 6% 8 new Win32/Traxg.worm ,016 3% 9 new Win-Adware/UtilPack ,676 3% 10 new Win32/Shlnom 10,505 2% 합계 528, % [ 표 3-12] 유형별악성코드배포 Top [ 표 3-12] 는 3월한달동안웹사이트에서사이트가드를통해확인된악성코드배포 Top 10을보여주고있다. Top 10에포함된악성코드들의총배포건수는 528,413건으로 6월한달총배포건수 682,795건의약 77% 에해당된다. [ 표3-11] 유형별악성코드배포수 에서알수있듯이 Top10의대부분은 Adware류와 Trojan류가차지하였다. 특이한점은 6 월에는 Top 10 에신규로진입한악성코드가 3 건인반면에 6 월에는 8 건이나 되었다. 이는전체악성코드의신종발견수가증가하고있으며, 이는전체악성코드수의증 가의한원인인것으로보인다. 요컨대, 2009년 4월부터증가세로돌아서악성코드수는 6월에급격한증가를이루었다. 이는다양한악성코드의출현과함께사이트가드모집단의증가가주요원인으로보인다. 웹을이용한악성코드의전파는기본적인방식이되었으며, 이를통해제 2차, 제 3차의공격을위한악성코드의배포를위한주요방법으로사용되고있다. 따라서, 사이트관리자및기업보안담당자는자신이관리하는웹사이트에대한상시점검및추가적인보안대책을수립할필요성이있다. 만약준비하지않는다면 DDoS공격이나해킹을위한악성코드의유로지로자신의사이트를제공하는크나큰실수를일으켜자신과함께회사에큰피해를입힐수있으니, 이점에대한관리자의주의가필요하겠다.

44 IV. 분기별보안이슈 1. 악성코드상반기이슈 (1) 상반기악성코드통계 TOP15 악성코드명 건수 % 1 Win-Trojan/Bho % 2 Win-Trojan/Bho % 3 Win-Trojan/Agent HR % 3 Win-Trojan/Agent % 4 Win-Trojan/Rimecud % 5 Win-AppCare/Keylogger % 6 Win-Trojan/Agent.9728.OI % 6 Win-Trojan/Downloader OD % 6 Win-Trojan/Downloader HL % 6 Win-Trojan/Downloader LV % 6 Win-Trojan/Agent IX % 6 Win-Trojan/SpamMailer % 7 Win-Trojan/Xema % 44 7 Win-Trojan/SpamMailer % 7 Win-Trojan/OnlineGameHack CX 9 5.4% 합계 % [ 표 4-1] 2009 년상반기악성코드피해 Top 15 [ 표 4-1] 은상반기악성코드유형별피해순위 Top 15 을나타내고있다. 15 위에등극한악성코드는트로이목마가압도적인비율을보이고있다. 트로이목마중에서도다운로더가강세이며 15 위에서당당히 3 자리에링크되었다. 드롭퍼는순위에들지못했지만아래대표진단명에볼수있듯이드롭퍼가감소된것은아니다. 근래드롭퍼나다운로더가기승을부리며 IE 를통해다수의악성코드를다운로드받아시스템에서악의적인기능을수행한다. 아래의그림과표는변형악성코드를묶어서대표진단명기준으로통계를뽑은것이며, 개별악성코드통계보다전체적인악성코드통계양상을알수있다. 이는많은변형의출현및빠른악성코드엔진대응으로개별악성코드생명주기가짧아져서이를보강하기위해참고로작성한것이다.

45 2% 2% 1%1%1% Win-Trojan/Agent 4% 4% 26% Win-Trojan/OnlineGameHack Win-Trojan/Downloader 4% Dropper/Agent Dropper/OnlineGameHack 4% Win-Trojan/Downloader Win-Trojan/Fakeav 6% Win-Downloader/Rogue.XPPoliceAntivirus Win-Trojan/Fraudload Win-Trojan/Zlob 7% 17% Win-Trojan/Kryptik Win32/Autorun.worm Win-Downloader/Rogue.FakeAV 8% Win-Trojan/Waledac Win32/IRCBot.worm 13% [ 그림 4-1] 2009 년상반기악성코드대표진단명 Top 15 TOP15 악성코드명 건수 % 1 Win-Trojan/Agent 3, % 2 Win-Trojan/OnlineGameHack 2, % 3 Win-Trojan/Downloader 1, % 4 Dropper/Agent 1, % 5 Dropper/OnlineGameHack % 45 6 Win-Trojan/Downloader % 7 Win-Trojan/FakeAV % 8 Win-Downloader/Rogue.XPPoliceAntivirus % 9 Win-Trojan/Fraudload % 10 Win-Trojan/Zlob % 11 Win-Trojan/Kryptik % 12 Win32/Autorun.worm % 13 Win-Downloader/Rogue.FakeAV % 14 Win-Trojan/Waledac % 14 Win32/IRCBot.worm % 합계 12, % [ 표 4-2] 2009 년상반기악성코드대표진단명 Top 15 [ 그림 4-1] 과 [ 표 4-2] 은 분기악성코드의대표진단명을기준으로유형별피해순위 Top 15 을나타내고있다.

46 상반기악성코드대표진단명 Top 15을살펴보면 Online -GameHack이많은비율 (2위와 5 위에링크되어있으며, 그비율의합은 24.2%) 을차지하고있다. 1월에순위에진입하여 2 월에 6위까지올랐던오토런웜은 4, 5월에 Top10순위에서사라졌으나 6월에 4위로재등극하며상반기전체통계에서도다시그위상을볼수있다. 가짜백신프로그램인페이크안티바이러스 (FakeAV) 는무려 5개 (7위 ~11위와 13위 ) 나 Top15에진입되어있다. 근래도 AVKill기능과더불어다수의정상프로세스를실행을막고, 특정프로세스만이실행되는등악의적인기능이추가된또다른변종이다수보고되고있다. 가짜백신프로그램은사용자가설치및검사하지않았음에도허위로진단하여마치시스템에많은악성코드를진단한것처럼보여주어온라인결제를유도하여금전적인목적을가지고있다. 아래의 [ 그림4-2] 는 2009년상반기전체악성코드유형별피해신고건수를나타내고있는그래프이다. 트로이목마프로그램은 74% 로다른악성코드보다월등히많은비율을차지하고있으며, 드롭퍼와웜이각각 11% 와 8% 를차지하고있으며, 그뒤를이어스크립트 5%, 유해가능프로그램이 2% 를차지하고있다. 비율에거의변동없이바이러스는 0.4% 로극히낮은비율을유지하고있다. 8% 2% 5% 11% 74% 트로이목마스크립트드로퍼웜유해가능프로그램바이러스 46 [ 그림 4-2] 2009 년상반기악성코드유형별피해신고비율

47 바이러스유해가능프로그램웜드로퍼스크립트트로이목마 1월 2월 3월 4월 5월 6월 0.50% 0.20% 0.70% 0.10% 0.60% 0.20% 1.50% 1.10% 1.10% 3.10% 1.60% 1.70% 10.20% 5.40% 6.90% 7.70% 8.80% 11.80% 10.50% 15.60% 8.30% 9.00% 11.80% 9.50% 7.00% 3.40% 3.40% 3.50% 4.70% 4.10% 70.30% 74.30% 79.50% 76.60% 72.60% 72.70% [ 그림 4-3] 2009 년상반기악성코드유형별피해신고비율전월비교 47 위의 [ 그림4-3] 은상반기접수된악성코드유형별피해신고를비교하여나타낸것이다. 트로이목마의경우 1월 2월에비율차이없다가 3, 4월에 80% 까지상승하였다. 6월에다소감소되었지만여전히전체악성코드의 70% 이상을점유하고있다. 웜은 1월부터소폭으로계속감소하는추세이다가 6월에다시 10% 를넘기며 1월의비율을유지하였다. 드로퍼는 5 월에상승하였다가 6월에다시소폭떨어져 10% 대의비율을유지하였다. 스크립트, 유해가능프로그램과바이러스는약간의수치차이는있겠으나전월과많은차이가없었다. 10,000 9,000 8,948 8,000 7,650 7,000 6,000 5,000 4,000 3,000 2,996 3,559 3,254 5,609 5,797 4,114 3,258 3,392 6,634 4, 년 2009 년 2,000 1,000-1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 [ 그림 4-4] 2009 년상반기대비피해신고건수비교

48 [ 그림4-4] 는전년대비피해신고건수를비교하여나타낸것이다. 전년에비해악성코드피해신고건수는확연히줄어든것이보이나이동형저장장치를통해전파되는악성코드가꾸준히증가되고사회적이슈를통한스팸메일이다량유포될가능성을배제할수없기에전용진단함수와사전대응에좀더주의를기울여야할것으로보인다. 악성코드의유형이점차은폐형악성코드및최신취약점을이용하는악성코드가늘어남에따라피해를막기위해서는최신보안패치와함께관리계정의비밀번호를영문, 숫자, 특수문자의조합하여시스템취약점을보완하고최신버전의백신프로그램으로주기적으로검사하는습관이필요하다. 또한가짜백신프로그램등의설치를막기위해신뢰할수없는메일은가급적읽지말고삭제해야한다. (2) 신종및변형악성코드 1 분기동향 상반기국내악성코드는 취약점 을이용한 Win32/Conficker.worm( 이하컨피커웜 ) 에대대적인공습을받았다. 이는세계적인현상으로해당악성코드는 4월까지도연일매스컴을오르내리며사용자들에게커다란피해를주었다. 오래전부터 취약점 을이용한악성코드유포나감염방법은악성코드제작자들에게즐겨사용하는방법이라새로울것은없다. 다만이러한취약점에대한공격의흐름이응용프로그램으로변화를하고있다는것이다. 쉽게말해 MS 윈도우나 MS 오피스가과거에표적이되었다. 근래에는플래쉬파일이나 PDF 문서처럼대중적으로인기가높은응용프로그램의취약점을파고들어동작하는악성코드가많아지고있으며앞으로도늘어날것으로예상되기때문이다. 48 인터넷문서의표준이된 PDF 문서의경우올상반기다양한취약점에노출되었다. 또한이미작년에알려진취약점을이용한형태도꾸준히발견되는등올상반기그동안취약점이많이발견된 MS 오피스문서보다그비율이높아져가고있다. PDF 문서의경우인터넷문서의표준으로자리를잡았다. 이를볼수있는뷰어프로그램의경우무료로설치가가능하다는점과문서에대한보호가가능하다는점에서많은사용자를확보하고있다. 또한취약한문서파일은메일을통해서타켓공격에주로많이이용되는데이런형태를 spear phishing 스피어피싱 이라고불리운다. 이러한타켓공격은상반기에도기승을부렸지만해마다증가하고있는것으로파악된다. 주로공공기관이나주요기업체그리고온라인게임업체처럼일반사용자들보다는보다신뢰할수있는정보를가지고있거나서비스를방해하기위한목적등으로주로이루어진다. 특히타켓공격에사용된악성코드는진단되지않도록평범할정도로정상프로그램이나모듈과차이가없다. 따라서발견하기어렵고악성코드는장기간생존할수있으며그피해는예측하기어려울정도로심각해질수있다. 국, 내외적으로스팸메일러가기승을부렸다. 스팸메일러의피해는어제, 오늘의일은아니

49 다. 근래의스팸메일러는커널단에서자기보호를하며잘못된시작위치를갖는악의적인쓰레드를윈도우주요프로세스에인젝션하여동작한다. 이경우진단및치료하기매우어려우며사용자들은악의적인행위에대하여의심스러운파일이나프로세스를찾을수가없게된다. 이러한점은악성코드의자기보호기능의고도화가얼마나진화하고있는지알수있다. 또한안티바이러스의진단을회피하기위하여파일이다운로드될때마다 Server-Side Polymorphism 을이용하여매번다른변형을배포되도록한다. 바이러스유형은 Win32/Virut ( 이하바이럿 ) 변형이계속적으로발견, 보고되었다. 바이럿바이러스는다른악성코드와도함께발견되곤하였다. 예를들어커널스팸봇이다운로드될때바이럿바이러스에감염된파일이함께다운로드되곤하였다. 이처럼바이럿바이러스는여러경로를통해서확산되고있음을알수가있었다. 이외에도 Win32/Kashu.B 변형이발견, 보고되었다. 바이럿과카슈.B 바이러스모두메모리진단 / 치료가선행되는등진단및치료하기어려운바이러스가상반기에활동이두드러졌다. 또한올해국내에서제작되어진것으로추정되는 X97M/Ecsys 엑셀매크로바이러스가광범위하게퍼져있는것으로도확인되었다. 매크로바이러스는보통스스로전파되는코드가없는만큼광범위한확산은이례적이며요즘은매우드문일이다. 다음은 2009 년상반기신종및변형에대한악성코드유형별분포도이다 년상반기신종 ( 변형 ) 악성코드유형 트로이목마드롭퍼스크립트웜 (AutoRun) 웜 (Exploit) 웜 ( 메읷 ) 웜 (IRC) 유해가능취약점 ( 문서 ) 웜 (SNS) 웜 (P2P) 파읷 ( 바이러스 ) 매크로 ( 엑셀 ) 1.1% 0.8% 0.4% 0.4% 1.6% 0.2% 1.8% 2.0% 3.5% 0.0% 4.2% 10.7% 73.6% [ 그림 4-5] 2009 년상반기신종및변형악성코드비율 트로이목마유형은올상반기에도강세를나타내고있으며웜유형의경우작년동기의경 우 6% 대였으나올상반기는 9% 대를소폭상승하였다. 웜유형의악성코드가과거와달리

50 약세이지만서두에있었듯이윈도우취약점을이용하여전파하는컨피커웜과이동식디스 크에자신의복사본을생성하는 Autorun 웜유형이상반기에증가하면서전년동기대비 소폭상승하였다. 다음은작년동기와비교한신종및변형악성코드수를비교한것이다 , 2009 년상반기악성코드발견수 년 2009 년 0 상반기 [ 그림 4-6] 2008, 2009 년상반기신종및변형악성코드수 50 올해전년동기대비신종및변형악성코드는 56% 증가하였다. 트로이목마, 드롭퍼, 웜 유형이작년동기대비늘었다. 일반적으로트로이목마의독주만이예상되었지만올상반기 에는컨피커웜등으로인하여웜유형도작년동기대비증가하였다. 다음은안철수연구소가정리한상반기악성코드관련주요이슈이다. Win32/Conficker.worm 피해급증과유사악성코드출현 MS 취약점을이용한 Conficker 웜변형은올상반기다수의변형들이새롭게발견, 보고되었다. 특히올초부터는자신을전파하는방법이다양해졌다. 다음과같다. - 이동식저장디스크를이용한전파방법 - 취약한관리목적공유폴더를이용한전파방법 - MS 취약점을이용한전파방법 [ 참고 4-1] Win32/Conficker.worm 전파방법 일반적으로다음과같이최신보안패치, 유추하기어려운윈도우암호, 그리고최신엔진으

51 로업데이트된안티바이러스와같은보안제품을사용한다면근본적인예방및보호가가 능하다. [ 그림 4-7] Conficker 웜에취약한시스템및안전한시스템 51 컨피커웜은진단과치료를어렵게하기위해서자신을원격파일핸들로특정프로세스에오픈해두었고나아가 NTFS 파일시스템인경우파일의보안속성을설정하여관리자권한이라도액세스권한을빼앗아버렸다. 또다른자기보호기능은특정문자열이포함된프로세스의실행을방해하는증상을갖기도하였다. 또한 DNS 쿼리관련함수를조작하여안티바이러스업체와같은특정도메인에대한접근을차단하기도하였다. 이런경우엔진업데이트그리고해당홈페이지등에접속할수없으므로감염된경우대응할수있는시간을최대한늦추도록하였다. MS 취약점을이용해서전파되는또다른악성코드도보고되었는데그것은일명 2090 바이러스라고알려졌다. 안철수연구소는 Win32/AimBot.worm으로명명진단 / 치료를하고있다. 악성코드가실행되면시스템날짜를 2090년으로변경하는데서이악성코드가일반사용자에게 2090 바이러스라고먼저알려졌다. 악성코드는자신을윈도우부팅시마다실행되도록하기위해서특정레지스트리키값을이용하는데이때버그로추정되는현상으로윈도우로그인진입시무한재부팅현상을일으킬수있다. 또한일부시스템에서는악성코드에서생성되는드라이버로인하여 BSOD를발생하는등여러가지부작용으로인하여더욱유명세를치렀다. 사회적인이슈를이용해서유포된 Win32/Waledac.worm Waledac 웜은잘알려진 P2P 웜이다. 올상반기해당악성코드는매우다양한국제및정치적인이슈를가지고자신을전파하는데이용하였다. 이렇게하는이유는사용자로하여그메일본문내링크를클릭하기유도하기위해서이다. 사회적인이슈를이용하는면에서는유사하지만실행후증상이나자신의암호화된코드를풀어내기위한방법은 Win32/Zhelatin.worm과비교하면다른형태를가지고있다. 그러나이악성코드역시조직적으로만들어지고유포되는것으로보여져 Win32/Zhelatin.worm 처럼꾸준히변형이발견될가능성많다.

52 지속적인변형으로위협하고있는 Win32/Virut 바이러스 안철수연구소는새로운변형을 Win32/Virut.E, F형으로각각명명하고, 진단, 치료를하고있다. 이바이러스의변형의기준은 EPO (Entry-Point Obscuring - 시작실행시점불명확화 ) 형태인경우에는 C, E 형으로분류하고 Entry Point 내특정크기만큼바이러스코드로덮어쓴형태를 D, F 형으로분류하고있다. 이번에발견된 E, F 형경우기존의진단방식을회피하고있는형태로기본적인형태는달라지지않았다. 해당바이러스는치료를위해서는메모리치료가반드시선행되어야하는데이번변형의경우도자신이 Winlogon.exe 프로세스에만들어내는쓰레드의코드가변형된형태였기때문에해당치료법역시업데이트되었다. E, F 형발견이후에도진단을회피하는변형이계속발견되기도하였다. 특히바이럿바이러스는커널스팸봇으로알려진다른악성코드와함께유포되고있는것으로도확인되었다. 응용프로그램의취약점을이용하는악성코드들 상반기에어도비 PDF 문서에서제로데이취약점이올상반기다수발견, 보고되었다. 어도비리더와어도비아크로뱃 9.0 및이하모든버전에서 JBIG2 이미지스트림을로딩하는도중버퍼오버플로우를발생한다고알려져있다. 알려진취약점형태로는자바스크립트를이용한쉘코드를힙스프레이기법을사용한형태이다. 올상반기 MS 오피스파워포인트관련취약점도있었다. 악용한취약점은조작된파워포인트파일을파싱하는과정에서발생한다. 이는메모리상에서삭제된오프젝트 (Object) 를다시참조함으로인해유효하지않은메모리참조가발생하는메모리오류로인한코드실행취약점이다. 근래들어타켓팅공격등에문서파일취약점을이용한악성코드감염사례가많아지고있다. 이외에도불특정다수를감염시키기위해서웹상에서취약점이있는 PDF 문서를업로드해두고악성코드사용자를유인하는형태가있기도하다. 이처럼문서파일의취약점과위협에많은사용자들이모르거나대수롭지않게여기는경우가많으므로지속적으로위협에대하여경고및주의를할필요가있다. 52 국산메신저관련악성코드 Win-Trojan/Natice( 이하나티스 ) 라고명명된이악성코드는작년부터변형이조금씩보고되고있다. 국내많은사용자들이사용하는유명메신저를통해서다양한방법으로전파되는특징이있다. 예를들어일반적으로사용자가속기쉽도록그림파일인것처럼위장을하기도하고또는직접다운로드링크를버디리스트로메시지및쪽지를보내기도한다. 또한해당악성코드는자신의진단을방해할목적으로국내에잘알려진안티바이러스프로그램관련파일및프로세스, 서비스등을동작하지못하도록방해하는증상을갖기도한다. 이렇듯안철수연구소는올한해는지금까지는외산메신저나관련서비스의계정을노리는악성

53 코드가보고되었다면앞으로는국내 SNS 와메신저프로그램의사용자계정을노리는형태가증가할것으로보인다. 특히훔쳐낸계정으로는지인으로위장하여버디리스트의사람들로부터금전을요구하는형태와같은사기를칠수있기때문에보이스피싱처럼메신저로도유사한형태의사기행위에도주의가요구된다. 스팸메일의대표적인원인 - 커널스팸봇 커널스팸봇은 Win-Trojan/Rustock( 이하러스톡트로이목마 ) 처럼커널모듈로존재하며윈도우주요시스템프로세스에자신의쓰레드를생성하여동작하는형태를말한다. 주로불법적인약광고를담고있는스팸메일을외부로발송한다. 해당악성코드의감염경로는다양한것으로추정된다. 메일본문내악의적인웹사이트로의링크클릭및보안이취약한웹사이트방문으로인할것이크다고본다. 일반적으로웹브라우저의취약점등으로자동다운로드및실행되는형태로감염되는것이일반적으로보여지고있다. 다음은최근스팸봇의주요증상이다. 53 [ 그림 4-8] 커널스팸봇실행후주요증상 Load.exe 드롭퍼가실행되면윈도우주요프로세스에쓰레드를인젝션한다. 이후특정호스트로부터 SYS 파일이암호화되어포함된파일을다운로드해온다. 해당파일은 RARSFX 형태로압축이풀어지면 Install.exe 가실행되어진다. 해당파일에는커널모듈인 SYS 파일이암호화되어존재한다. 메모리에로드가된 SYS 는일반적으로 Services.exe 에다수의쓰레드를만들고외부로메일을발송한다. 이와같이동작하는커널스팸봇은이전부터존재해왔었다. 그러나올상반기국내고객사및개인사용자로부터유사증상문의가급격히증가하기시작하였다. 단지스팸메일을보내는데그치지않고백도어기능을수행할수도있다. 또한고도화된자기보호기능으로진단및치료가매우어렵다.

54 국산엑셀매크로바이러스 X97M/Ecsys 국산매크로바이러스가자취를감춘지매우오래되었다. 간혹외산매크로바이러스가발견되는경우는있었지만광범위하게확산되지는않았다. X97M/Ecsys는국내에서제작되어졌거나또는한글언어를사용하는환경에서제작되어졌다. 5월초처음발견, 보고되었으며국내에는광범위하게확산되었다. 바이러스가포함된복사본인 ECSYSTEM.XLS 파일을엑셀의사용자정의서식폴더에생성한다. 이후엑셀을실행할때마다해당파일을읽어들어감염되지않는다른문서파일을감염시킨다. 비주얼베이직편집기로자신을보려고하면자신의코드를삭제하는스텔스기법을가지고있다. 또한감염외증상으로는오후 4시44분44초가되면특정폴더내파일을삭제하는것처럼조크성메시지박스를출력하고끝으로다음과같은메시지를출력한다. [ 그림 4-9] X97M/Ecsys 가출력하는메시지 감염이외의증상은특정시간대메시지출력이외에는없다. 매크로바이러스특성상자신의코드를외부로전파시키는것도없다. 다만바이러스라감염되지않는다른엑셀문서파일을감염시킬수가있다. 이처럼국내에서광범위하게확산된것을보면사용자간문서공유가활발한것으로짐작할수가있다. 54

55 2. 스파이웨어상반기이슈 (1) 2009 년상반기신종및변형스파이웨어발견현황 스파이 애드 다운 다이 익스 구분 드롭퍼 클리커 AppCare Joke 합계 웨어류 웨어 로더 얼러 플로잇 1월 월 월 월 , ,367 5월 , ,093 6월 , ,998 합계 1, , ,596 [ 표4-3] 2009년상반기신종및변형스파이웨어발견건수 월 2 월 3 월 4 월 5 월 6 월 [ 그림 4-10] 2009 년상반기신종및변형스파이웨어발견건수그래프 2009년상반기신종및변형스파이웨어발견은 1월이 748건으로 3월에는 538건으로가장적게발견되고이후급격하게증가하는모습을보이고있다. 상반기중가장적은스파이웨어가발견된 3월과가장많은스파이웨어가발견된 6월은 5배가넘는차이를보이고있다. 신종스파이웨어에서가장많은비중을차지하는것은다운로더이다. 표 1에서확인할수있듯이 4월부터는신종 / 변종다운로더가급격하게증가했다. 그림 1] 은신종 / 변종다운로더의증가로인해 4월부터신종 / 변형스파이웨어가급격하게증가하는것을보여준다. 많은유형을차지하는다운로더중대부분을차지하는것은외산가짜백신을설치하는것으로알려진 Win-Downloader/Rogue.FakeAV이다. Win-Downloader/Rogue.FakeAV는특정인터넷사

56 이트를통해서배포가된다. 이스파이웨어는실시간으로변형을생성하기때문에수많은변형이보고되고있다. 가짜백신을통한수익창출을위해조직화된악성코드제작자가수많은가짜백신다운로더의변형을제작 / 배포하고있다. 배포방법또한악성코드를이용하거나메일, 사회공학적기법을이용해배포사이트로이동하는등많은방법을이용하는것이확인되었다. 다운로더페이크에이브이의변형증가로인한신종 / 변종스파이웨어의증가는하반기에도지속될것으로보인다. (2) 2009 년상반기스파이웨어피해현황 구분 스파이 웨어류 애드 웨어 드롭퍼 다운 로더 다이 얼러 클리커 익스 플로잇 AppCare Joke 합계 1월 ,233 2월 ,500 3월 월 , ,830 5월 , ,021 6월 , ,124 합계 1,555 1, , ,503 [ 표 4-4] 2009 년상반기유형별스파이웨어피해현황 년 2009 년 0 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 [ 그림 4-11] 2008 년, 2009 년스파이웨어피해현황비교 [ 그림4-11] 는 2008년, 2009년스파이웨어피해현황의비교그래프이다. 2009년 4월부터다운로더계열의스파이웨어피해의급증으로상반기총 13,000건이넘는피해신고가접수되었다. 이것은지난한해피해신고를모두합친것보다많은수치이다. 이외의기간에도전년도와비교하여동일기간피해신고건수가증가한것을확인할수있다.

57 순위 대표진단명 건수 비율 1 Win-Downloader/Rogue.FakeAV 6,893 63% 2 Win-Downloader/Zlob 1,458 13% 3 Win-Downloader/FakeAlert.RogueAnti 824 7% 4 Win-Spyware/Crypter 576 5% 5 Win-Downloader/Rogue.SystemSecurity 338 3% 6 Win-Adware/IEShow 319 3% 7 Win-Downloader/Rogue.XPPoliceAntiVirus 273 2% 8 Win-Spyware/PWS.OnlineGame 156 1% 9 Win-Spyware/Agent 83 1% 10 Win-Adware/BestLink 76 1% 합계 10, % [ 표 4-5] 2009년상반기대표진단명스파이웨어피해 Top10 57 [ 표4-5] 은변형을고려하지않은대표진단명에의한스파이웨어피해 Top 10을나타낸다. 전체파일신고의 63% 에해당하며가장많은피해가접수된스파이웨어는 Win- Downloader/Rogue.FakeAV이다. 또진단명에의해나타나는대부분의경우가외산가짜백신설치를유도하는것으로알려진 Win-Downloader/Zlob, Win-Spyware/Crypter나직접적으로가짜백신을설치하는 Win-Downloader/Rogue.SystemSecurity로확인되어가짜백신을이용해금전적이득을취하는다운로더가많은피해를입힌것을알수있다. 국내제작스파이웨어로는 2009년초에자신을제외한다른프로그램의실행을방해하고, 수많은애드웨어에서내부모듈로사용된 Win-Adware/IEShow와 Win-Adware/BestLink가 Top10에포함되었다.

58 (3) 2009 년상반기스파이웨어주요이슈 가짜백신배포방법및감염증상의진화 안티스파이2009(Antispy2009) 와같은이름으로많은피해를입힌가짜백신의배포방법이다양화되고있다. 음란사이트나불법소프트웨어사용을위해필요한키생성프로그램을가장해설치를유도하거나유명사이트를변조해사이트방문시 OS의취약점을이용해설치가되도록하는방식에서메일의첨부파일로전파되는 e-card와같은악성코드에의해서도설치가되고있다. 또유튜브와같은동영상사이트에서튜토리얼을제공해해당사이트를직접방문하게하거나토렌트 (torrent) 공유파일을이용해설치를유도하고있다. 이렇게설치된가짜백신은 2008년에는바탕화면을변경하고사용자가바탕화면의설정을수동으로변경할수없게만들거나, 시스템의보안설정을변경하는동작이주를이루었다. 2009년에는익스플로러와인터넷익스플로러를제외한모든프로세스를동작할수없게하는가짜백신까지보고되었다. 후자에감염될경우사용자는컴퓨터를이용해아무작업도할수없다. 가짜백신이인터넷익스플로러의실행을가능하게한이유는결재페이지가문제없이노출될수있기위한의도로보인다. 애드웨어의악성화 애드웨어는광고를노출하고수익을올리는소프트웨어를말한다. 리워드프로그램이나, 키워드광고프로그램이애드웨어에해당된다. 리워드 / 키워드프로그램은사용자가입력한웹사이트의주소를가로채어자신의제휴마케팅코드가삽입된다른주소로변경하고변경된주소를해당제휴마케팅사이트또는인터넷쇼핑몰에전달하는식으로동작한다. 이렇게함으로써애드웨어제작업체는제휴마케팅사이트로부터일정의수수료를챙길수있게된다. 리워드 / 키워드프로그램이두개가설치되어있던, 열개가설치되어있던간에, 결국사용자에게보여지는웹사이트는하나일수밖에없다. 이것은단하나의프로그램만이수수료를챙길수있다는말로바꾸어말할수있다. 이러한이유는리워드 / 키워드프로그램들간의경쟁을불가피하게만든다. 2008년말에등장한애드웨어아이이쇼우 (Win- Adware/IEShow) 의경우시스템을감시하여다른리워드 / 키워드프로그램을동작하지않게하려는의도를가지고제작된프로그램이다. 애드웨어아이이쇼우는정상프로그램마저실행이차단하는오류를범하기도했다. 애드웨어가난립하는한제작사간의경쟁은점점치열해질수밖에없다. 이들의경쟁속에서애드웨어는점점악성화될수있다. 컴퓨터사용자가뜻하지않는피해를입을가능성은점점높아지고있다. 58 즐롭 (Zlob) 방식으로배포되는국내애드웨어발견 즐롭 (Zlob) 은코덱형식을가장하여배포되는스파이웨어다. 즐롭을실행하면여러가지가짜

59 백신과스파이웨어가설치된다. 이들은사람들의관심을끌만한동영상으로사용자의접속을유도한후감상을시도할때코덱설치메시지를보여주며악성프로그램의설치를유도한다. 지금까지이러한 Zlob 들은대부분해외에서발견되었으며국내에서는거의이용되지않았다. 국산애드웨어는대부분 ActiveX 를통해배포했으나, 배포방법에대한기준이생긴이후로번들형식으로배포되고있다. 최근많은관심을끄는이슈를통해사용자를유인하고동영상재생을위한코덱이나동영상자체를가장해배포되는국산즐롭의발견은국내애드웨어배포방법이점점다양해지고있다는것을말한다. 피싱사이트로검색을유도하는스파이웨어등장 59 윈도우의호스트파일을변조하고웹브라우저의시작페이지를변경하여키워드광고를통해금전적수익을노리는스파이웨어가발견되었다. 이스파이웨어는유명검색엔진인구글의피싱사이트를제작하고, 호스트파일변조를통해사용자의방문을유도한다. 최초접속시보여지는페이지는정상페이지와동일하지만검색을실행할경우나타나는사이트는정상적인사이트와다르다. 정상적인사이트에서는스폰서링크와같은구글의일반적인광고가나타나지만피싱사이트를통할경우구글애드센스 1 가나타나는형태다. 이스파이웨어는웹브라우저의시작페이지를피싱사이트로계속변경하므로사용자는설정하고자하는시작페이지를설정할수없어불편함을초래한다. 이렇게스파이웨어는점점더교묘한방법을사용하여사용자가인지할수없는형태로진화하고있다. 1 구글애드센스 (

60 3. 시큐리티상반기이슈 (1) 2009 년상반기마이크로소프트보안업데이트현황 2009년상반기마이크로소프트사로부터발표된보안업데이트는총 27건으로각각긴급 (Critical) 17건, 중요 (Important) 19건, 보통 (Moderate) 6건으로구성되어있다. 이수는과거평균적으로반기동안발표된보안업데이트수에비하면그리많지않은숫자이다. 그래프상에는시스템취약점이큰비중을차지하였으나, 실제로악용된취약점들은기존과마찬가지로오피스 (Office), 인터넷익스플로러 (IE) 관련취약점들이다수이다. 60 [ 그림 4-12] 공격대상기준별 MS 보안업데이트분류 (2) 상반기핵심키워드, 컨피커 (Confiker) 웜 2009년상반기보안업계최고의키워드는 컨피커 (Conficker) 웜이다. 이를보여주듯굵직한다수의보안업체로부터전용치료제품이배포되었고, 각블로그및홈페이지를통해컨피커웜에대한이슈가지속적으로다루어졌다. 무한지속될것같던컨피커웜의확산도 2 분기를맞으면서어느정도진정기에접어드는듯보인다. 컨피커웜은 2008년 10월첫보고이후, A~D 형에이어마지막 E형까지변형되었고, 새로운변형이발견될때마다다양한감염경로및특징들로새롭게무장되어많은보안전문가들을긴장시켰다. 컨피커웜은대표적인 MS 서버서비스취약점을통한확산방법외에도네트워크공유폴더, USB 자동실행 (Autorun), P2P 등의다양한감염경로를가지며, 안티바이러스제품종료, 특정프로세스의종료, 운영체제의방화벽기능해제, DNS 정보조작등의자기보호기능도갖추고있다. 이번컨피커웜은취약점외에도다양한감염경로를사용하기때문에전문가들이항상강조하는보안수칙취약점업데이트만으로는안전에있어서 2% 부족한면을보여준

61 대표적인예라고할수있다. 따라서, 앞으로출현할보다발전된웜으로부터안전을지키는 방법은기본적인보안업데이트와더불어다양한보안제품들을적극활용하는종합적인대 책이수립돼야할것이다. (3) 제로데이 (0-day) 취약점, 바로공격으로이어지다 61 상반기동안에는많은제로데이취약점들이발표되었고, 해당취약점들을실제악용하는공격사례들도활발히그뒤를이었다. 제로데이취약점의단골손님으로알려진오피스취약은상반기에도강세를보였다. 대표적으로지난 4월에발표된 MS 파워포인트 (PowerPoint) PPT 제로데이취약점은타겟공격으로처음그실체를들어냈고, 뒤이어 6월에는 에어프랑스 447편추락 이슈를이용하여악의적인메일을전파하는사회공학적공격에이용되었다. 해당취약점은발표된당월 (4월) 정기패치가아닌다음달 5월정기패치에서 MS09-017로발표되었다. 6월초에도새로운제로데이취약점인 MS DirectShow QuickTime 취약점이발표되었고, 실제해킹된웹사이트들에서악용되어온라인게임트로이목마를유포하는사례로보고되었다. 그러나, 해당취약점또한당월 (6월) 정기패치에는포함되지않아아직까지도여전히제로데이취약점으로남아있다. 이러한제로데이취약점은비단 MS 제품군들뿐만아니라대중성이높은써드파티 (3rd - Party) 애플리케이션에서도발견된다. 올해 2월에발견된 Adobe Acrobat Reader JBIG2 코드실행취약점이그대표적인예이다. 해당취약점은전세계적으로엄청난이슈가되고있는 Swine Flue( 신종플루 ) 사건을악용한사회공학적기법과결합되면서그명성을떨치게되었다. 그외에도, MS Excel 취약점, IIS WebDAV 취약점, MS SQL 취약점등등상반기동안다양하고많은제로데이취약점들이발표되었다. 제로데이취약점은공식적인제품벤더의패치가제공되지않기때문에, 사용자의주의와함께이를사전에최대한탐지하도록적용된다른보안제품들의도움을받는것이효과적이다. 지금도지구어느곳에알려지지않은제로데이취약점이우리를노리고있을지모르기때문에항상최신버전의보안제품들을유지하도록노력해야할것이다. (4) 웹공격, 다시고개를드나?? 상반기동안집중되어있던 컨피커 (Conficker) 웜에대한관심이최근웹공격쪽으로이동하는것처럼보인다. 과거 Mass SQL-Injection 공격은악의적인스크립트삽입의획기적인변화로주목을받았고, 최근웹침해사고는그최종목적지에관심이더집중되는것같다. 웹공격들의명명또한이를반영하듯최종적으로도달하는도메인이름을빌어 Gumblar(Geno), Beladen, Nine-ball 등으로불린다. 전형적인웹공격은정상적인사이트를해킹한후, 공격자가사전에취약점공격코드 (Exploit) 를올려놓은최종목적지서버로링크된 URL을삽입하는방법으로이루어진다. 최근공격도전형적인웹공격과유사하며, 단지최종목적지에도달하기위해다중리다이렉션 (Re-Direction) 을거치도록하여복잡성을높이거나, 사용자나분석가의눈을교묘히피하기위해정상링크와매우흡사한링크를

62 사용하는등의우회방법을사용한다. 또한, 공격용으로제작된최종목적지서버에는이전보다다방면에서지능화된웹툴킷 ( LuckySploit, UniquePack, YES EXPLOIT SYSTEM ) 등을올려놓는다. 이러한웹공격들은앞서최종도메인을빌어불리고있으나, 다양한툴킷, 난독화기법, 우회방법으로결합되어단순히한가지특징으로분류하기는어렵다. 또한, 최근공격이새로운공격이아니라과거부터지속되어온공격의발전된잔재일수도있다. 그러나, 최근유사한악성도메인을갖는다수의웹침해사건들이발생하고있기때문에많은보안전문가들이이에대해주의깊게모니터링하고있다. 62

63 4. 중국 2 분기악성코드동향 (1) 2009 년 2 분기중국악성코드동향 2009년 4월에서 6월까지 2분기동안중국대륙에서발생한악성코드동향을살펴보면전반적인현상유지수준으로진행되는것으로분석된다. 현상유지상황이발생하는것으로분석하는원인은 2009년 1분기동안발생하여악성코드 TOP 10 순위에포함되었던대부분의악성코드들이순위의변화없이그대로현상유지를이어가고있기때문이다. 그리고특정악성코드들만이순위상승이나하락이발생하였고새로이순위포함된악성코드역시지난 1분기에비해많은감소가있었기때문이다. 순위변화 순위 AhnLab V3 진단명 분포 - 1 Win-Trojan/Vundo 18.21% 2 2 Win-Trojan/Agent 9.57% - 3 Win-Trojan/Downloader 8.79% 6 3 Win-Trojan/OnlineGameHack 8.79% - 5 Win-Trojan/Swizzor 5.96% 1 6 Win-Trojan/Dialer 3.92% Dropper/Agent 3.61% 2 8 Win-Trojan/Banker 3.13% New 9 Win-Trojan/Seimon 2.51% New 10 Win-Trojan/FakeAV 2.04% [ 표 4-6] 2009 년 2 분기 AhnLab China 악성코드 TOP 10 위 [ 표4-6] 은 2009년 2분기동안중국상해에위치한안철수연구소중국법인으로접수된악성코드들의수치를기준으로하여순위를기록한악성코드 TOP 10이다. 우선순위의변화를살펴보면 TOP 10에포함된악성코드중에서지난 1분기에비교해순위상승이있었던악성코드는총 4건이다. 순위의상승이있었던악성코드로는 2 계단상승이있은 Agent 트로이목마, 무려 6 계단이상승한 OnlineGameHack 트로이목마그리고 1계단과 2계단각각상승한 Dialer 트로이목마와 Banker 트로이목마를들수가있다. 그중에서도가장많은순위상승이있었던 OnlineGameHack 트로이목마의경우지난 1분기에서는 2008년 4분기에비해 7계단이나하락하며감소추세를보였었다. 그러나이번 2분기에는다시 6계단이나상승하였다는것은중국대륙내에서 OnlineGameHack 트로이목마가일시적으로감소활동이있었다가다시활발한감염활동이발생하고있는것으로해석할수있을것이다. 그리고순위가하락하거나이번분기에처음으로새로이악성코드 TOP 10에포함된악성코드로는 1계단순위하락한드로퍼 Agent가있으며새로이포함된악성코드로는 Seimon 트로이목마

64 와 FakeAV 트로이목마가있다. 이중에서는 FakeAV 트로이목마의경우에는 2008년전세계적으로문제가되었던허위안티바이러스소프트웨어형태로컴퓨터사용자로하여금사용하는시스템이악성코드에감염되었으니치료를하려면금전결제를하라는허위메시지를보여주는악성코드형태이다. 이러한악성코드가순위에새로포함되었다는것은중국대륙내에서도이러한금전을요구하는허위소프트웨어의증가를예측해볼수도있다. 악성코드분포면에서는 1분기와비교해서소폭상승한추세이다. 우선악성코드 TOP 10에포함되어있는악성코드의전체분포는 66.56% 로서지난분기의 65.15% 에서 1.4% 정도가소폭상승하였다. 그러나 1분기에이어서 2분기에역시순위상으로 1위를차지하고있는 Vundo 트로이목마의경우에는전체적인분포면에서는 20.98% 에서 18.21% 로감소한것으로나타났다. 이러한통계적인수치적인면을통해서이번 2분기를분석해보면일시적인감소에있던중국대륙내의악성코드활동이 2분기에있어서특정악성코드에서만감염증가가있고전반적인상황의유지로해석을할수있다. 64

65 5. 일본 2 분기악성코드동향 2009년 2분기일본악성코드동향과관련한중요사건은지속적으로피해를유발하고있는오토런 (Win32/Autorun) 악성코드와컨피커 (Win32/Conficker.worm) 웜의급격한확산, 마지막으로일본내다수의웹사이트해킹사고발생과이과정에서제노 (Win-Trojan/Geno) 트로이목마에많은감염피해가발생한것을들수있다. 오토런류의악성코드는 USB 등외부저장매체를이용하여전파되는악성코드의일종으로최근에는자체전파기능뿐아니라다른악성코드를설치하는인스톨러로이용되는등많은악성코드들이 USB를최초감염매체로이용하고있다. IPA의정보보안위협에대한의식조사1 중 USB 메모리이용실태조사에의하면조사대상의 71.6% 가과거 USB 메모리를사용했거나현재사용하고있다고한다. 그리고이중 USB 보안대책을세우고있는경우는 67% 정도이나자동실행방지옵션을막거나백신프로그램을이용하는등실질적으로피해예방을위한적극적인대처를하고있는경우는각각 20% 정도로미약한수준이다. 65 [ 그림 4-13] 일본의 USB 보안대책적용현황 < 자료출처 : 일본 IPA> 감염예방을위해실행하고있는예방법의다수를차지하고있는것은사용자가주의하는것인데이러한방법은어느정도효과는있겠지만 USB의이용목적이필요한데이터를원하는시스템에신속하게이동하기위한것이므로감염예방을위한좀더강력한대책을강구하는것이좋을것으로생각된다. 아래의 [ 표 4-7] 은일본트랜드마이크로사에서발표한 2009 년상반기일본악성코드피해보 고서의내용중악성코드피해현황을집계한것으로일본에서오토런악성코드피해의심 각성을알수있게해준다. 1

66 순위 악성코드명 유형 피해현황 이전순위 1 위 MAL_OTORUN 기타 위 2 위 WORM_DOWNAD 웜 993 신규 3 위 BKDR_AGENT 백도어 위 4 위 TROJ_VUNDO 트로이목마 위 5 위 TSPY_ONLINEG 트로이목마 위 6 위 TROJ_SEEKWEL 트로이목마 300 신규 7 위 JS_IFRAME 스크립트 위 8 위 MAL_HIFRM 기타 위 9 위 BKDR_TDSS 백도어 149 신규 10 위 TROJ_DLOADER 트로이목마 136 권외 [ 표 4-7] 2009 년상반기일본악성코드피해통계 < 출처 : 일본트랜드마이크로 > 위통계에서한가지더주목해야할것은컨피커웜 (WORM_DOWNAD) 의피해가급격하게증가하고있는것이다. 이악성코드는윈도우 OS의보안취약점을이용하여작년 12월부터확산되기시작한웜으로최초악성코드발견이후다양한변형들이계속제작되고있다. 초기버전의컨피커웜은네트워크를통한단순감염을반복하였으나최근에는파일다운로드기능이추가되는등다양한형태로변화하고있으며이러한추세는당분간계속될것으로보여 OS 패치등근본적인대책마련이필요하다. 66 (1) 악성코드피해현황 IPA에서발표하는월별악성코드피해현황보고서에의하면넷스카이 (Win32/Netsky.worm) 웜이 2009년 2분기에가장많은감염피해를유발한악성코드로밝혀졌다. 아래의 [ 그림4] 는 2009년 4월부터 6월까지발생한악성코드피해통계를취합한자료로넷스카이웜의피해가많은양을차지하고있고이외에도마이둠과같은이메일웜들이많은피해를유발하고있는것을알수있다. [ 그림 4-14] 2009 년 2 분기악성코드피해통계 ( 자료출처 : 일본 IPA)

67 이메일웜이외에는오토런류의악성코드나컨피커웜과같은악성코드의감염피해가많이발생하고있고바이럿 (Win32/Virut) 또한지속적으로많은피해를유발하고있다. 윈도우 OS의실행파일을감염시키는바이럿바이러스의경우최근에도다양한변형이발견되고있고악성코드제작자의실수로다른악성코드가감염된상태에서유포되는경우도있으므로주의가필요하다. 아래의 [ 표 4-8] 는일본트랜드마이크로사에서발표한월별악성코드피해현황을취합한것 으로오토런악성코드의피해가가장많이발생하고있는것을알수있다 년 4 월 2009 년 5 월 2009 년 6 월 악성코드명 피해 악성코드명 피해 악성코드명 피해 MAL_OTORUN 337 MAL_OTORUN 413 MAL_OTORUN 412 WORM_DOWNAD 184 TROJ_SEEKWEL 186 TROJ_SEEKWEL 114 BKDR_AGENT 128 WORM_DOWNAD 157 BKDR_AGENT 106 TROJ_VUNDO 78 BKDR_AGENT 68 WORM_DOWNAD 102 TROJ_GENOME 53 TSPY_ONLINEG 48 TSPY_ONLINEG 48 JS_IFRAME 44 TROJ_VUNDO 46 TROJ_DLOADER MAL_HIFRM 36 JS_IFRAME 38 WORM_AUTORUN 30 TSPY_ONLINEG 22 MAL_HIFRM 35 JS_IFRAME 28 BKDR_TDSS 18 TROJ_SMALL 25 MAL_HIFRM 26 SPYWARE_TRAK_QUICK 17 TROJ_DLOADER 17 MAL_OLGM 25 [ 표 4-8] 일본트랜드마이크로월별감염피해통계 ( 자료출처 : 일본트랜드마이크로 ) 자료에서주목할점은컨피커 (WORM_DOWNAD) 웜의피해량이점점감소하고있는것으로특이 6월들어전월에비해급격하게감소했는데 1분기에비해변형의개체수가줄어든것이이러한현상이나타난원인으로생각된다. 시크웰 (TROJ_SEEKWEL) 트로이목마가 5월부터급격히늘어난것또한주목할점이다. 이악성코드는 5월일본에서발생한대량사이트공격으로인해삽입된스크립트가실행되었을때설치되는제노 (Win32/Geno) 악성코드로일본에서크게이슈가되었다. 제노악성코드는보안이취약한웹사이트에난독화된스크립트를삽입하여패치가되어있지않은시스템에서이러한웹사이트를방문시어도비사제품의취약점을이용한공격코드를이용하여악성코드를다운로드하고설치하는형태로전파되는악성코드이다. 일본에서다수의웹사이트에대한공격이발생한것은 5월 18일경이지만그이전부터일부사이트에서비슷한악성코드가발견되어왔던것으로파악되고있다. 이러한 IE나 PDF의보안취약점을이용한악성코드전파방식은다른나라에서는이미일반화되어있는공격형태이지만일본의경우처럼다수의사이트를대상으로대량으로유포된사례는많지않다. 제노악성코드로인한피해가 6월에들어서도다수발생하고있는상태인

68 것으로보아이러한웹사이트에대한공격이여전히발생하고있을가능성이있으므로웹 사이트관리자나 PC 사용자모두의주의가필요하다. 68

69 6. 세계 2 분기악성코드동향 2009년 2분기에도여전히하루에매일 2만개 - 3만개의신종악성코드가발견된것으로추정된다. 2009년 2분기에도컨피커 (Conficker) 웜이세계적으로확산되었으며웹사이트해킹후웹브라우저취약점을이용하는코드를삽입해악성코드를배포하는방식과 USB 플래쉬메모리디스크같은이동형저장매체를통한악성코드가극성을부렸다. 취약점을이용한악성코드의경우 PDF 파일을이용한공격방식이증가했다. 트위터 (twitter.com) 등의소셜네트워크서비스 (Social Network Service) 이유행하면서이들사이트를노린크로스사이트스크립트 (cross-site scripting) 를이용하는웜도등장했다. 2008년 11월처음등장하고 2009년초에광범위하게퍼진컨피커 (Conficker) 웜의공격이계속되었다. 컨피커 (Conficker) 웜은윈도우취약점 (MS08-067) 을이용해전파되어짧은시간에세계로전파되었다. 컨피커 (Conficker) 웜은몇년간세계적으로널리퍼진악성코드가드문상황에서전세계적인감염이발생할수있음을보여줬다. 특히 4월 1일컨피터웜변형의활동일이라많은보안연구원들과언론에서관심을가졌지만다행히별다른일이없으며끝이났다. 69 루마니아비트디펜더의통계에따르면쿠키등을제외하고진단상위권은오토런웜이생성 하는 INF 인 Trojan.AutorunINF.Gen 이며광고클릭커트로이목마인 Trojan.Clicker.CM 이 다. 러시아카스퍼스키랩에따르면 1위는컨피커 (Conficker) 웜 (Net-Worm.Win32.Kido.ih) 이차지했다. 카스퍼스키랩의통계는카스퍼스키제품에서실제감염통계를수집한결과이다. 상위권에존재하는악성코드는샐리티바이러스 (Virus.Win32.Sality.aa), 오토런웜 (Worm.Win32.AutoRun.dui, Worm.Win32.AutoRun.rxx), AutoIt으로작성된웜등이차지하고있다. 해킹후악성코드를배포하는웹사이트모니터링의경우 1위는일본에서제노바이러스 (Geno virus) 등으로알려졌던 Trojan-Downloader.JS.Gumblar.a였다. 이스크립트는일본뿐만아니라유럽등에서발견되었다. 1 대만트렌드사의통계에따르면악성코드순위에는 USB 플래쉬메모리등으로전파되는오 토런웜 (Autorun worm) 이주요순위를차지하고있다. 대륙별, 국가별로도 USB 플래쉬메모 리를통해전파되는악성코드가순위에있었다. 영국의메시지랩에따르면 개메일중 1 개가악성코드라고한다 개메일중 1 개가피싱메일로피싱보다메일을이용한악성코드전파방법이적음을알수있다. 1

70 [ 그림 4-15] 메일을통한악성코드배포의감소 ( 출처 : 메시지랩 ) 하지만, 악의적인웹사이트는매일 1,919 개가차단되어 5 월이후 67.0% 가증가를보였다고 한다. 팸메일을통한배포되고스팸메일러와관련이있는 Cutwail 의한국내감염비율이 1 위로보고되었다. 이로인해 2 분기에한국에서 Cutwail, Rustock 등이많이보고되었다. 70