ASEC Report

Transcription

1 ASEC Report 12 월 ASEC Report I. 이달의보안이슈... 2 (1) 악성코드 IE 제로데이취약점과쿠폰을가장한악성코드... 2 (2) 스파이웨어 애드웨어의새로운시도... 5 (3) 시큐리티 MS IE XML 제로데이취약점... 9 (4) 네트워크모니터링현황 MS 취약점공격트래픽 (5) 중국보안이슈 광범위하게판매되는악성코드생성기 II. 연간보안이슈 (1) 2008년 10대이슈및 2009년전망 (2) 악성코드연간동향 (3) 스파이웨어연간동향 (4) 시큐리티연간동향 (5) 일본 4분기및연간악성코드동향 (6) 중국 4분기및연간악성코드동향 (7) 세계연간동향 III. 이달의통계 (1) 악성코드통계 악성코드증가추세 (2) 스파이웨어통계 무료소프트웨어설치시주의필요 (3) 시큐리티통계 IE 긴급패치 안철수연구소의시큐리티대응센터 (AhnLab Security Emergency response Center) 는악성코드및보안위협으로부터고객을안전하게지키기위하여바이러스분석및보안전문가들로구성되어있는조직이다. 안철수연구소의시큐리티대응센터에서는국내인터넷보안과관련하여보다다양한정보를고객에게제공하기위하여악성코드와시큐리티의종합된정보를매월요약하여리포트형태로제공하고있다.

2 I. 이달의보안이슈 (1) 악성코드 IE 제로데이취약점과쿠폰을가장한악성코드 MS 취약점을이용한 Win32/Conficker.worm이 10월말보고된후, 12월초에는인터넷익스플로러에대한제로데이취약점이발견, 보고되었고, 이를악용한악성코드가제작되었다. 최근에는상대적으로인터넷익스플로러와비교하여안전하다고여겨졌던, 파이어폭스웹브라우저에도동작하는악성코드가발견되었다. 또한사용자들에게쿠폰을나눠주는것처럼속여악성코드를설치하는사례도이번달에발견되었다. 인터넷익스플로러제로데이취약점 12월초인터넷익스플로러에대한제로데이취약점이알려졌다. 이는모든버전의인터넷익스플로러에해당이되어큰문제가되었다. 또한 MS 의긴급패치가나오기전에도이를악용한악성코드와제작도구가만들어졌다. 이취약점을악용하는악성 HTML 코드는인터넷익스플로러에서데이터바인딩객체배열을생성하도록하고, 일부를해제한다음, 이전에해제된객체를참조하도록한다. 이취약점유형은유효하지않은포인터를참조하기전에공격자가힙메모리의데이터를제어할수있기때문에공격이가능하다. V3 는 JS/Mult 라는진단명으로해당악성코드를진단하고있다. 파이어폭스웹브라우저를노린악성코드 인터넷익스플로러보다는비교적안전하다고알려진파이어폭스웹브라우저만을노린악성 코드 1 가발견, 보고되었다. 악성코드는파이어폭스의설치정보를이용하며자신을플러그인 으로위장하여실행되고, 플러그인파일명은 npbasic.dll 이다. [ 그림 1-1] 악성코드실행후파이어폭스내설치정보 1 V3는 Win-Trojan/Changehost.22115로진단 2

3 해당악성코드는사용자가파이어폭스를실행할때마다함께실행되어악성코드에하드코딩 된다음과같은사이트 ( 주로은행권으로추정 ) 에대한계정정보를훔쳐낸다. [ 그림 1-2] 파이어폭스를대상으로한악성코드가훔쳐내는뱅킹사이트 DNSChanger 류악성코드 Win-Trojan/DNSChanger는오래전에발견된형태의악성코드이지만, 12월에발견된변형은은폐기법및자기보호기능이강화되었다. 일반적으로해당유형의악성코드는사용자시스템의 DNS 주소를특정한곳으로변경하여, 광고성팝업, 배너, 피싱또는파밍등을통하여사용자의정보를탈취하거나, 다른악성코드를감염시키고, 악성 DHCP(Dynamic Host Configuration Protocol) 서버를생성하여허위 DHCP 패킷을보내기도한다. 또한감염후자신을커널레벨에서은폐하고, 파일을액세스하지못하도록하는등변형에따라서는기존파일 I/O를무시하는형태의은폐기법을사용하여자신이오랫동안생존할수있게하는등점점지능적인형태로발전하고있다. 3

4 연말연시관련악성코드 세계적인경제불황에콜라및햄버거의쿠폰으로위장한악성코드가유행하면서국내에서도발견되었다. 해당악성코드 (Win32/Ceein.worm) 는다음과같은첨부파일을포함하여메일로전파되었다. - coupon.zip, promotion.zip, postcard.zip [ 그림 1-3] Win32/Ceein.worm 웜이보낸메시지 ( 출처 wordpress.com) 실행된후로컬시스템에서메일주소를수집하며자체메일발송기능이있어수집된메일 주소로자신의복사본을전송한다. 또한해당악성코드는백도어모듈을설치하여시스템정 보유출및제어등에악용될수있다. 4

5 (2) 스파이웨어 애드웨어의새로운시도 새로운방법으로광고를노출하기시작한애드웨어 애드웨어는소프트웨어자체에광고를포함하거나광고와함께묶여서배포되는프로그램을말한다. 이러한광고는프로그래머가소프트웨어를개발하면서개발비용을광고를통해충당할목적으로주로사용된다. 이렇듯모든애드웨어가악성코드는아니지만, 광고를강제적으로사용자 PC에띄워서불편함을유발하거나, 개인정보침해를야기하는경우, 악성으로분류하여스파이웨어제거프로그램에서진단한다. 이러한악성애드웨어는주로쇼핑, 포르노, 도박사이트의광고페이지를노출하거나강제로연결을시킨다. 기존의악성애드웨어의경우인터넷익스플로러에광고를시각적으로노출했으나, 최근에접수된애드웨어중에는인터넷익스플로러를실행할경우스피커를통해광고로추정되는중국어가나온다. 안철수연구소로접수된의심파일을확인결과증상을유발하는애드웨어는작업관리자 (taskmgr.exe) 와유사한파일명 (taskmagr.exe) 으로동작하며 iframe을인터넷익스플로러에삽입하는형식으로광고를노출하는애드웨어로확인되었다. iframe을통해광고를노출하는것은기존의광고방법과유사한형태지만 iframe 설정값을변경하여화면에는노출되지않고음성파일을전송해인터넷익스플로러에서음성파일이실행되도록한것이다. PC 에저장된중요한정보를탈취하는스파이웨어 공무원을대상으로한이메일을통한해킹이문제가되었다 1. 전달된이메일의첨부파일을실행하면내부의문서를외부로유출하는스파이웨어를이용한것으로지난달국외에서신고된샘플을분석한결과스파이웨어제작자는개인의 PC들에저장된많은정보들을노리고있었던것으로분석되었다. 키생성기형식으로배포되는것이확인된코드소프트 (Win- Spyware/PWS.CodeSoft ) 는사용자가자신에게필요한키생성기를찾아실행할때 PC에감염이된다. 코드소프트 (Win-Spyware/PWS.CodeSoft ) 가실행되면실행된 PC에설치된모든 MS 관련소프트웨어의시리얼과자동로그인이설정된각종메신저의계정및패스워드, 파이어폭스를사용하는경우자동로그인을위해저장된웹사이트의주소계정정보를 컴퓨터이름.log 파일에저장한후 [ 그림 1-4] 와같이특정 ftp사이트로전송한다

6 [ 그림 1-4] 감염 PC 에서수집한 log 를 ftp 를이용하여서버로전송 실제해당스파이웨어를분석하여사용되는 ftp 계정과패스워드를추출하여확인한결과 [ 그림 1-5] 와같이많은 PC 에서성공한것을확인할수있었다. [ 그림 1-5] ftp 서버에저장된감염 PC 의정보파일들 아이러니하게도코드소프트 (Win-Spyware/PWS.CodeSoft ) 를배포한해커는무료 로소프트웨어의키를얻으려하는사용자를노린다. 어떤소프트웨어의키가필요한 PC 사 용자가인터넷검색을통해자신이필요로하는키생성기를다운받아실행하는순간, 해커는 사용자의 PC 에저장된수많은계정과패스워드는물론이고이미설치된소프트웨어의 CD 6

7 key 까지훔쳐가버리는것이다. [ 그림 3-6] ftp 서버에저장된정보파일의내용 이러한유형의위협은오래전부터지적되어온보안의위협중하나이지만, 이러한프로그램의경우프로그램을실행시킨사람이원하는기능을포함하고있는경우자신의 PC에저장된어떤정보가외부로유출되는것을알기어렵다. 그러나, 코드소프트 (Win- Spyware/PWS.CodeSoft ) 의경우실제키생성기의기능이없는상태에서사용자를속였기때문에 안철수연구소로신고가접수되었으며, 악성코드분석환경에서외부로정보를유출하는기능이그대로분석되었다. 그러나, 개인사용자가사용하는 PC에서그사용자가원하는기능 ( 예를들어키생성등 ) 을제공하면서동시에 PC에저장된정보를외부로전송한다면그프로그램을사용한사람은스파이웨어의기능에만족하고, 다른이에게추천하는일도있을수있다. 빠른속도로변형을생산하는스파이웨어패밀리의지속적증가 2008 년 6 월 ASEC Report 에서는빠른속도로변형을생산하는스파이웨어에대해다루었으 며, 즐롭 1 (Win-Spyware/Zlob) 을예로들었다. 즐롭의경우동일한배포사이트를통해지속 적으로배포되며, 하루에도수많은변형샘플을배포하는대표적인스파이웨어이다. 이런유형의스파이웨어의경우기존시그니처기반의백신프로그램에서는모두다른시그 니처를작성해야하기때문에변형에대한대응이어렵다.(2008 년 7 월 ASEC Report 참고 ) 1 즐롭 (Win-Spyware/Zlob) 은동영상재생을위한코덱을가장해배포되고있으며, PC에감염되면허위감염메시지출력해사용자로하여금가짜백신을설치하도록유도하는악성코드다. 7

8 최근즐롭 (Zlob) 을제외하고도씨피유에스에이치 (Win-Dropper/Cpush), 티디에스에스 (Win- Spyware/TDSS) 와같은스파이웨어가즐롭 (Win-Spywar/Zlob) 의뒤를이어동일한수법으 로변형을배포하고있으며. 동일한사이트에서변형을배포하는방법은지속 / 확산되고있다. 8

9 (3) 시큐리티 MS IE XML 제로데이취약점 MS IE XML 취약점 지난 12월 10일어느보안업체직원의실수로마이크로소프트사로전달되기위한인터넷익스플로러취약점정보가블로그에포스팅되었다. 이렇게외부로알려진인터넷익스플로러취약점은거의모든익스플로러에적용되는아주심각한것으로써, 다음과같은형태의 XML 데이터를처리하는과정에서발생한다. 이러한비정상적인 XML 태그는인터넷익스플로러가메모리를정상적으로비우지못하게함으로써원래호출되어야할함수대신임의의메모리주소번지를호출하게만들수있다. 단지, 위와같은코드가포함된웹페이지에접근하는것만으로도사용자들은피해를입을수있기때문에아주심각한취약점이라할수있다. 이러한위험도가높은취약점들은악성코드제작자에게매우유용한무기로사용된다. 실제로취약점이발표된후, 해당취약점을이용하는악성코드가접수되었으며, 국내외크고작은웹사이트들에도해당취약점을이용하는악성코드들이삽입된사례가확인되었다. 또한, 대량 SQL Injection 공격으로통해삽입된악의적인 URL에서도해당취약점을이용하는악성코드를내포되어있는것이발견되기도하였다. [ 그림 1-7] MS 취약점을이용한실제악성코드 9

10 문제의심각성을인지한다수의보안업체들은임시방편으로사용할수있는비공식패치를발표하기도하고, 해당공격코드를진단하거나알려진악성 URL들을차단하는등의위협확산을위한노력을기울이기도하였다. 마이크로소프트사에서 12월 18일에제공한긴급보안업데이트 (Out-of-Band) 를적용하기전까지많은사용자들이일주일이넘는기간동안 3rd party 업체에서제공하는패치를사용하거나익스플로러가아닌다른브라우저를사용하는방법으로웹서비스를이용할수밖에없었다. 하지만, 대부분의사용자들은이러한취약점의심각성을인지하지못하였기때문에윈도우업데이트가제공되기전까지평소와마찬가지로인터넷익스플로러를사용하였고, 이에따라보고되지않은수많은피해자가발생하였을것으로예상된다. 게다가, 패치가공개된후에도적용하지않은채로인터넷익스플로러를사용하고있는사용자들이무수히많고, 해당취약점을이용하는악성코드의공격도증가되어지속적인피해가발생되고있을것으로추정된다. SQL Server 취약점 마이크로소프트사는 SQL Server 2000과 2005의일부버전에원격에서코드를실행할수있는취약점이존재한다고발표하였다. 해당취약점은원격혹은로컬에서인증된사용자의권한으로확장프로시저인 sp_replwritetovarbin에존재하는힙오버플로우를이용하여임의의코드를실행할수있다. 현재 (2009년 1월초 ) 까지는공식적인보안업데이트가발표되지않았고, 블로그와보안권고문을통해 sp_replwritetovarbin 확장저장프로시저의권한설정을통한해당취약점제거를권고하고있다 해당취약점을이용한공격이성공하려면인증된사용자의권한이필요하지만웹서비스처럼사용자의입력을처리하는경우 SQL Injection 등의기법과함께사용된다면인증없이도공격이성공할수있다. 아직까지는해당취약점을이용한실제공격이나피해사례가보고되고있지는않지만조속한보안패치가제공되어야할것이다. PS3 를이용한 SSL 공격 이번독일에서열린컨퍼런스 CCC 에서는소니에서만든게임기인 PS3 를이용한 SSL 공격 성공에대한내용이발표되었다. 발표내용은 SSL 자체의문제점이아니라인증서의유효성 을검사할때사용되는 MD5 의문제점을이용한것이다. 발표자는인증서를발급해주는인 증기관에서사용하는인증서의 MD5 의충돌값을찾기위해 [ 그림 1-8] 과같이 200 대의 PS3 를연결하여사용하여충돌이일어나는 MD5 값을찾아정상적인인증기관의인증서처 럼위조한뒤악용시킬인증서를발급하여 SSL 에사용하였다. 이렇게만들어진가짜인증서 는사용자로하여금아무런의심없이위조된사이트에접근하도록만들수있다. 이러한문 제는인증기관에서 MD5 대신안전한해쉬알고리즘 (SHA1 등 ) 을사용함으로써어렵지않 10

11 게해결할수있다. 하지만, 이번발표는 MD5와같은안전하지못한보안장치를사용하는서비스를실제로공략가능함을직접보여줬음에의미가있다. 특히, PS3가아니라악성코드유포나 DDoS 공격에사용되는봇넷이이러한공격에사용될수있기때문에보다안전한보안장치를개발하고사용하는것이필요하다. [ 그림 1-8] SSL 공격에사용된 PS3 11

12 (4) 네트워크모니터링현황 MS 취약점공격트래픽 12 월에 안철수연구소에서운영중인네트워크모니터링시스템의로그를분석하여추출된 Top 5 보안위협은아래 [ 그림 1-9] 와같다. 3% 2% 2% 9% MS Microsoft Windows NETAPI Stack Overflow Inbound - Suspicious MS SQL Slammer worm LSASS_exploit MS DCOM2 RPC Exploit 84% MS Lsasrv.dll RPC Exploit [ 그림 1-9] 상위 TOP5 위협탐지이벤트 지난 10월말 MS 서버서비스취약점이발표된이후, 해당취약점공격으로분석된트래픽이급격히증가하여, 지난 11월 2위를차지하였으나이번달에는가장최상위이벤트로랭크되었다. 최근새로운취약점이발표되면, 그에따른악성코드가제작되는시간이점점짧아지고있어해당취약점을이용하는공격트래픽또한급격히증가되는현상을확인할수있다. [ 그림 1-10] 의포트별공격트래픽탐지부분에서도 MS 서버서비스취약점과관련된 TCP/139, TCP/445 포트가큰비중을차지하였다. 특히, TCP/445 포트는직접적인공격트래픽외에도사전공격에발생되는트래픽을포함하여 87% 라는네트워크모니터링시작이후가장큰수치를나타내기도하였다. 네트워크관리자는사용자시스템의패치권고를비롯하여방화벽과같은보안솔루션을통해해당 TCP/139, TCP/445 포트에대한설정을강화할필요가있다. 12

13 4%1% 1% 7% 87% TCP/445 TCP/80 TCP/139 UDP/2048 UDP/769 [ 그림 1-10] 상위 TOP 5 포트 국가별공격발생지현황 1 을살펴보면, 한국 (KR), 말레이시아 (MY), 홍콩 (HK), 일본 (JP), 오스트레일리아 (AU), 중국 (CN) 등의국가들이차례로높은비중을차지하였다. 국내로부터발생되는트래픽급증현상및주요국가외에말레이시아와같은제 3국으로부터발생되는트래픽이증가되는점이특이하다 KR MY HK JP AU CN PH ID TH MU [ 그림 1-11] 국가별공격탐지통계 1 해당결과는 안철수연구소에서운영중인네트워크모니터링시스템의모니터링결과로전체를대표하지는않는다. 13

14 (5) 중국보안이슈 광범위하게판매되는악성코드생성기 인터넷익스플로러 0-Day 취약점을악용한악성코드의발생 12월 10일새벽 1시경, 중국으로부터인터넷익스플로러 7에대한패치가제공되지않은제로데이취약점인 MS 포인터참조메모리손상취약점 이알려졌다. 이와거의동시에중국과대만을비롯하여유럽등전세계적으로해당취약점을공격하는악성코드 1 가급속하게유포되기시작하였다. [ 그림 1-12] MS 취약점을악용하는스크립트악성코드생성기 해당보안취약점을악용한악성코드가발생한몇시간뒤에는중국언더그라운드웹사이트들에서는이미 [ 그림 1-12] 와같이해당취약점을악용하여다른악성코드를다운로드할수있도록설정이가능한 JS/Mult 악성코드생성기가공유되기시작하였고, 몇몇언더그라운드웹사이트에서는해당악성코드생성기를판매하기도하였다. 외국의특정보안업체의정보에따르면해당취약점은지난 10월에언더그라운드에알려지기시작하여실제미화 15,000 달러에거래되었다는보고가있었던것으로미루어공개적으로알려지기전에더욱은밀하게악용되었을가능성이높을것으로분석된다. 상용으로판매중인다양한기능의다운로더생성기 12 월들어중국언더그라운드웹사이트들에서는스크립트악성코드를생성하는웰쉘 (WebShell) 과다른악성코드를다운로드하는기능을가진다운로더 (Downloader) 형태의악 성코드생성기가많이발견되었다. 1 V3 진단명 : JS/Mult 14

15 [ 그림 1-13] 상용으로판매되는다운로더생성기 여러웹사이트중에서도특히전문적인프로그래머를고용하여판매하고있는것으로추정되는웹사이트에서발견된 [ 그림 1-13] 과같은다운로더생성기 1 는다양한보안프로그램을우회할수있는기능을포함하고있어중국내블랙마켓의심각성을여실히보여주었다. 해당다운로더생성기는구매자가다운로드할악성코드리스트가존재하는텍스트파일의웹사이트주소만지정해주고추가할악의적인기능들만선택하면새로운악성코드가생성되었다. 해당다운로더생성기가가지고있는악의적인기능들은다음과같다. 1. 다운로더의은폐기능 2. 윈도우방화벽의기능강제종료기능 3. 네트워크내부의공유폴더를통한전파 4. 알려진보안제품및시스템분석툴강제종료기능 5. 다른다운로더악성코드의강제삭제 6. 안전모드부팅방해 7. 안전360( 중국내에서널리사용되는무료백신 ) 강제종료기능 1 해당다운로더생성기로생성한악성코드는 V3 에서휘피곤변형 (Win- Trojan/Hupigon.Gen) 으로진단및치료가능하다. 15

16 [ 그림 1-14] 다양한악성코드생성기를판매하고있는웹사이트 이러한다양한악의적인기능을가지고있는다운로더생성기를판매하고있는웹사이트에서는해당다운로더생성기외에도 MS 취약점을공격하는스크립트악성코드생성기와웹쉘 (WebShell) 생성기등다양한악성코드생성기등이한화약 54,000원에서 252,000 원사이에판매되고있었다. 그리고구매자에게중국의 QQ 메신저를통해서기술지원을하고있다고광고중이었다. 이렇게중국내블랙마켓에서판매되고있는악성코드생성기들은기술적인지식이없더라도다른시스템을충분히공격할수있어금전을목적으로한악성코드의양산을부추기고있는것으로분석된다. 16

17 II. 연간보안이슈 2008년 1월부터 12월까지의악성코드 / 스파이웨어동향을분석한결과올 1년간새로발견된악성코드 ( 바이러스, 웜, 트로이목마의통칭 ) 는 17,652개로전년동기대비약 2.9배로증가했으며, 스파이웨어는 6,815개가새로발견돼지난해동기대비약 2.9배로증가했다. 이런폭증세의주요원인은악성코드자동제작툴이인터넷상에공개되어일반인들도쉽게입수해악성코드를제작할수있기때문인것으로분석된다. 월 트로이목마드롭퍼 웜 스크립트파일기타 소계 스파이웨어 총계 1월 1, , ,976 2월 ,145 3월 , ,443 4월 1, , ,841 5월 , ,467 6월 1, , ,706 7월 1, , ,378 8월 1, , ,188 9월 , ,818 10월 , ,035 11월 1, , ,413 12월 , ,057 합계 13,048 1, , ,652 6,815 24,467 [ 표 2-1] 2008년신종악성코드발견건수 (1) 2008 년 10 대이슈및 2009 년전망 올한해악성코드동향은중국발해킹과악성코드로인한피해가극심하고국지적인특성 이매우뚜렷하다고정리할수있다. 폭증하고있는악성코드 몇해전부터폭증하는추세를보이고있는악성코드수가올해도폭증세를이어가고있다. 이러한현상의주요원인으로는악성코드자동제작도구를일반인들도쉽게입수할수있을 정도로일반화되어이를이용하여너무나도쉽게악성코드를제작할수있는환경이구축된 것으로추정된다. 특히웹사이트로그인계정정보나시스템정보와같은개인정보를훔쳐 17

18 내는트로이목마유형의악성코드는전체악성코드 75% 를차지할만큼많았으며그피해또한컸다. 이러한악성코드들이지속적으로 PC를공격하고, 감염된 PC에의해서거대한봇넷을구성하여스팸과 DDoS 공격에지속적으로사용되고있고, 이를사이버범죄에악용하고있는현상이지속되고있다. 악성화 / 교묘화로발달하고있는스파이웨어 2008년상반기국내스파이웨어제작사에대한경찰의대대적인수사로국내허위안티-스파이웨어프로그램제작자가서울경찰청사이버수사대에무더기로검거되는사건이있었다. 이를계기로한때국내제작스파이웨어수가주춤하는것으로보였으나, 악성화와교묘화하는방법으로스파이웨어가발달하고있다. 설치과정에서교묘하게형식적으로나마사용자동의를받는형태로스파이웨어기준을살짝벗어나는형태가많이제작되고있고, 이들은주로무료게임, 무료소프트웨어설치과정에서번들형태로설치된다. 또한 2008년 1월발견된스파이웨어하이드프록 (Win-Spyware/HideProc) 은악성다운로더의프로세스를숨기는기능을수행하여많은피해를입혔으며, 스파이웨어의삭제를방해하는루트킷 (Rootkit) 드라이버를설치하는스파이웨어가많이발견되었다. 이외에도다운로더 Kwsearch(Win-Downloader/Kwsearch) 는 EXECryptor와같은프로텍터로실행압축하여분석도구실행을방해하고역분석 (Reverse-Engineering) 을어렵게하는등의특징이있으며, 2008년 12월까지도꾸준한피해를입히고있다. 외산가짜백신으로인한피해 해외에서제작된스파이웨어는성인사이트, 스팸메일을통해국내에유입되어많은피해를 입혔다. 스파이웨어즐롭 (Win-Spyware/Zlob) 의경우성인사이트나선정적인이미지가포함 된스팸메일을이용하여가짜동영상코덱설치를유도한다. 이외에도상용프로그램의크 랙또는키젠 (Keygen) 프로그램으로위장하여설치되거나, 응용프로그램의취약점을이용하 여설치되기도한다. 즐롭에감염되면클리커훼이크얼럿 (Win-Clicker/FakeAlert), 스파이웨 어크립터 (Win-Spyware/Crypter) 등이 2 차감염될수있으며허위안티 - 스파이웨어프로 그램을설치하고스팸메일을대량발송하여또다른사용자에게피해를입힐수도있다. 특히가짜백신 AntiVirusXP2008(Win-Adware/Rogue.AntiVirusXP2008, Win- Trojan/Fakeav) 에감염되면바탕화면이허위경고메시지가포함된이미지로변경되며, AntiVirusXP2008 과함께설치된블루스크린을흉내낸화면보호기로인하여사용자는시스 템에오류가있는것으로착각하기쉽다. 이와함께디스플레이설정을변경하여사용자가 바탕화면과화면보호기를변경할수없도록한다. AntiVirusXP2008 은변형이다양하며랜덤 한경로명을사용하여설치하기때문에안티 - 바이러스프로그램과같은보안프로그램에서 18

19 진단이어려운특징이있으며, 제거한경우에도다른악성코드에의해재감염되는경우가많 다. MASS SQL Injection 을비롯하여활발한웹공격 웹서핑을즐겨하는사용자라면최근웹페이지를여는순간백신프로그램의경고창이실행되는사례를자주경험하였을것이다. 이는웹페이지속에삽입된악의적인스크립트를탐지해내어차단하는것으로지난 1월부터본격적으로시작된중국발대량웹페이지변조공격으로인하여최근까지도국내외많은사이트들이피해를입고있다. SQL Injection으로인하여데이터베이스데이터손상을유발하였을뿐만아니라웹서버에삽입된스크립트를통해서사용자를악의적인사이트로연결시킴으로써최근발표된 Flash Player 취약점및기타 ActiveX 취약점 Exploit을통해또다른 2차공격을수행하고있다. 또한그이외에도웹사이트에존재하는다수의취약점을이용하여해당웹사이트를해킹하고악성코드의유포지혹은경유지로악용하는사고가지속적으로발생하고있다. 3 rd party 어플리케이션취약점에대한공격 올해다수의마이크로소프트사의취약점들이발표되었음에도불구하고, 최근발생하고있는보안사고의상당부분이대중적으로사용되고있는 3 rd party 어플리케이션상에서발견된취약점들을이용한공격으로파악되고있다. Adobe 플래쉬플레이어취약점을악용하여홈페이지를 으로고정하는스파이웨어및, Adobe Reader 취약점을악용하여 PDF 파일속자바스크립트기능으로파일이오픈될때, 악성스크립트를실행해서 ARP 스푸핑공격, 악성스파이웨어 Antivirusxp2008 등을비롯한각종다운로더및트로잔파일들을다운로드하여실행하는공격들이다수발생하였다. 끊임없이나오는 MS 보안패치와이를악용한공격 2008년한해동안 MS에서발표된보안패치는총 78건으로작년 69건에비하여 13% 가량증가하였다. 일반적으로 MS의정기보안패치는매월두번째화요일에제공되는데, 연말에크게이슈가되었던 MS08-078과 MS08-067이상황의긴급성으로인하여긴급패치로제공되었다. 올해주요하게이슈가되었던취약점으로는 (MS08-041) Microsoft Access Snapshot Viewer에서사용하는 ActiveX 컨트롤의취약점으로인한원격코드실행문제점, (MS08-067) 서버서비스의취약점으로인한원격코드실행문제점, (MS08-078) Internet Explorer 보안업데이트 (IE7 제로데이취약점 ) 을꼽을수있다. 19

20 ARP 스푸핑의재등장 올상반기에다시등장한 ARP 스푸핑공격은과거중국발웹해킹에의한악성코드전파의새로운패러다임을제공하였다. 즉, 수동적인웹접속으로는감염대상을많이확보할수는없지만, ARP 스푸핑공격을활용하여인트라넷의모든시스템을공격대상으로삼았다. 이러한 ARP 스푸핑공격으로인하여수많은기업의네트워크가마비되고, 악성코드로인하여피해를입었다. 유출된개인정보악용 올초국내최대온라인쇼핑몰에서의사용자 DB 유출사건을시작으로, 국내유명포털의메일계정, 메신저, 쪽지함등에서악성코드링크가포함된 URL과악성첨부파일을포함한메일이대량발견되었다. 특히이런메일들은공공기관을사칭하는한글로된메일내용을포함하고있었기때문에사용자들이첨부파일이나 URL을클릭할확률이더욱더높았다. 또한메신저의경우사용자의계정을훔쳐내도록되어있어서훔쳐낸계정이다른목적으로사용될위험성도예상해볼수있다. 이처럼이제는국내사용자들만을노리는스피어피싱성격의메일과악성코드의기승이활발해지지않을까예상된다. 악성코드의고도화와사라지지않는바이러스 올해초파일이나레지스트리에는자신의흔적을남기지않으며대신과거부트바이러스처럼물리적인디스크영역에자신의코드를숨겨놓고동작하는 MBR Rootkit이발견되었다. 이처럼악성코드에대한은폐, 코드가상화, 난독화, 실행압축등자체보호기능적용이일반화되고있다. 실행파일을감염시키는전통적인파일감염바이러스도여전히피해가꾸준하다. 특히 Win32/Kashu.B 바이러스변형이꾸준히발견되었는데, 이들변형은메모리치료가선행되지않으면재감염되며시작실행시점불명확기법과다형성기법등을사용하여진단과치료가매우까다로웠다. 또한바이러스는아니지만윈도우의중요한시스템파일을패치한후악의적인모듈이실행되도록한 Win32/Liger, CIH 바이러스처럼파일의빈공간에자신을기록하여감염후파일사이즈가증가하지않는 Win32/Huhk.C 도발견, 보고되었다. 사회공학적트릭을이용한공격 사회적관심사항이포함되어있는메일, 특정조직에대하여신뢰할만한사람이발신인인 것처럼가장한스피어피싱메일, 메신저를통한지인으로가장한대화를통한개인정보유 출하는다양한 scam 등일반인을속이기위한트릭이꾸준히다양화되어지속적으로사용 자를노리고있다. 20

21 악성코드는 2009 년에도폭발적으로증가할것으로보인다. 이에따라 2008 년도악성코드 동향을위와같이정리하면서여기서예측가능한 2009 년악성코드흐름을예상해보았다. 전통적인바이러스의피해는꾸준할것으로전망 악성코드발생이국지적인경향이뚜렷한가운데 2008년에도실행파일을감염시키는 Win32/Virut 바이러스변형들과 Win32/Kashu.B(Win32/Sality 변형 ) 가큰피해를발생시켰다. Win32/Virut 바이러스경우는 2007년도에도꾸준히변형이발견되고피해를지속적으로입혔다. 따라서신규바이러스에의한피해도예상해볼수있지만이바이러스들에감염된파일이여전히인터넷공간을떠돌고있기때문에보안제품사용에신경쓰지않는사용자들에게는잠재적으로계속위협이될수가있다. 자기보호고도화를통한악성코드의생존성의극대화 악성코드의자기보호는이미몇번언급된적이있었다. 그러나 2008년초알려진 MBRRootkit과은폐형스팸메일러들 (Runtime3, Siberia2 등 ) 을확인해보면자기보호의고도화가얼마나앞서있는지알수가있다. 악성코드는자신이발각되지않고안티바이러스제품으로부터생존시간을늘려야만더많은악성행위를할수있다. 따라서자기보호고도화기법은잘알려진은폐기법부터보안프로그램무력화, 가상머신탐지, 분석을방해할목적의코드난독화, 시그니처및 Generic 진단탐지회피등이포괄적으로사용되거나특정악성코드들에게는집중될가능성이높다. 봇넷 (BotNet) 역동적인활동 2008년상반기에 Win32/Zhelatin.worm이극성을부렸다. 이웜은대표적인 P2P 봇넷을구성하는악성코드이다. 봇넷은크게 4가지카테고리로분류한다. IRC, HTTP, P2P, 그리고독자적인프로토콜을이용하는 CS (Client & Server) 봇들이존재한다. IRC 봇넷은거의쇠퇴하고있고, 국내의경우에는중국산악성코드들의영향으로 CS 봇들이기승을부리고있다. 봇넷의가장큰위협은스팸메일과 DDoS 공격을꼽을수가있는데이러한위협은내년에도꾸준할것으로보인다. 그러한가장큰이유는다양한공격도구가중국내사이버블랙마켓에서거래되고그시장은점점커지고있기때문이다. 비단중국내문제를떠나서이러한도구들은점점일반사용자들을공격자로만들어준다는데있어서문제가되고있다. 이러한도구의판매는, 사용자들쉽게자극하고사이버범죄에끌어드린다는점에서 2차적인문제를안고있다. 21

22 스피어피싱및스팸성사기메일등증가 봇넷과관련이깊은위협중가장많은비중을차지하는것이바로스피어피싱과스팸성사기메일이다. 스피어피싱은특정단체나인물을노리고보내는메일로서악성코드가첨부되어있거나악성코드가올려진사이트로방문을유도한다. 스팸성사기메일도이와유사하다. 메일에악성코드를첨부하는전통적인방식은거의사용되지않고있으며메일본문에링크를걸어악의적인사이트로유도한다. 대부분의사용자들은이러한공격에쉽게당한다. 이러한메일의증가는봇넷의활동이왕성해지면더욱더극에달할것으로보인다. 국내 SNS 및대형포털메일계정사용자를노리는악성코드 올해초대형쇼핑몰의개인정보유출로인하여더욱더개인정보의보호의중요성이대두되었다. 작년초부터서서히선보이기시작한국내유명메신저와포털의메일사용자를노리는악성코드는계속진화할것으로보인다. 특히국내의경우영어로작성된스피어피싱이나스팸성사기메일에대하여국내사용자들은영어에대한거부감으로일반적으로열어보지않기때문에감염률이낮다. 그러나사용자들을그럴듯하게속이기위하여한글로작성된메일내첨부파일이나링크를통하여클릭을유도할것으로보인다. 또한국내유명메신저의경우계정을탈취하는사례가발생했었기때문에, 탈취된계정이메신저의로그온뿐만아니라관련 SNS까지동일하게악용된다면, 유출된개인정보를통해악의적인스팸, 광고성댓글및방명록작성은물론이고메신저에등록된리스트들을목표로하는실제사기사건과같은피해가발생할가능성이매우높다. 가상재산및정보를노리는악성코드 온라인뱅킹과온라인게임그리고 SNS 를통하여사이버세상에는자신이만들어놓은무형의자산과정보들이산재해있다. 이러한무형의자산중일부는현금화될수있기때문에온라인게임의사용자계정을탈취하는악성코드가계속기승을부릴것으로보고있다. 나아가단지온라인게임내에국한되지않고 SNS를이용한자산정보와무형의지적가치들도훼손될가능성이높다. 따라서이것을안전하게보호하는서비스또는새로운형태의제품이나올가능성이높다. 취약점, 취약점, 취약점 올해문서파일 (MS 오피스문서와 PDF 취약점, HWP 취약점 ) 에대한취약점이극심할정도 로위협이되었다. 여기에플래쉬파일취약점도한몫거들어웹상에서쉽게표현되는이미 지파일에대한취약점도큰이슈가되었다. 과거와달리윈도우 OS 자체를공격하는취약 점은그다지큰효과를발휘하지못한다. 그만큼윈도우자체를공격하는것이어려워지고 22

23 있다. 그러나문서파일과플래쉬파일그리고이미지파일에대한취약점으로인한피해가극심하였던만큼향후에도웹브라우저관련취약점과문서및이미지파일에대한취약점은끊임없이보고되고, 이로인한피해가발생할것으로예상된다. 그러한이유는이러한파일들이스피어피싱및스팸성사기메일에적절히이용되고있기때문이다. 한편응용프로그램들에대한취약점들도꾸준히보고될가능성이높지만사용자수를많이확보하지못한응용프로그램의취약점이라면그다지효과적인공격목적으로사용되기는어렵다고전망된다. 포터블및이종기기에대한공격과악성코드출현은보합 or 진보 아이폰과오픈플랫폼스마트폰인구글폰의경우컨버전스기기들의복잡성으로인한취약점이나이를비정상적으로사용하는해킹등이선보이고있다. 구글폰의경우아직국내시판되고있지않지만여기에사용되는오픈플랫폼자체가보안에취약할수가있다. 아이폰의경우이미다양한해킹방법을통하여점점기기내부에접근하고있으며아이폰용프로그램을제작할수있는 SDK가배포되고있기때문에악성코드도얼마든지제작할수있는단계에와있다고볼수있다. 스마트폰에사용된대표적 OS인심비안의경우지금은인증제도를도입하여심비안의인증을받은응용프로그램만사용하도록하여급증하던심비안용악성코드를주춤하게만들었다. 기기의복잡성과컨버전스그리고오픈플랫폼등이점점해킹과취약점이존재할수있는가능성을열어두고있기때문에시간이문제일뿐악성코드출현의길은이미열려있다. 23

24 (2) 악성코드연간동향 올해한국의악성코드동향은중국발해킹과악성코드로인한피해가극심하고국지적인 특성이매우뚜렷하였다. 이러한특징은중국산악성코드가국내유입되어피해를입히고있 는지난 3~4 년동안비슷한양상을보이고있고, 앞으로도계속될것으로전망된다. 대부분의악성코드가그대상을일반적인엔드포인트 ( 개인 PC) 에집중하고있고, 무엇보다도 취약점및악성코드제작도구그리고배포자동화로인하여악성코드들변형제작에소요되 는시간은점점짧아지고있고, 이에따라악성코드의수가폭발적으로증가하고있다. 악성코드피해 TOP 년 2008 년 순위악성코드명건수순위악성코드명건수 1 Win-Trojan/Xema.variant Dropper/OnlineGameHack Win32/Virut Win-Trojan/Downloader FS Win32/IRCBot.worm.variant Win-Trojan/Agent Z Dropper/QQPass B Win-Trojan/Noupdate Dropper/QQPass D Dropper/OnLineGameHack Dropper/OnlineGameHack Dropper/OnLineGameHack Win-Trojan/KorGameHack BR Dropper/OnLineGameHack Win-Trojan/KorGameHack AI Win-Trojan/KorGameHack D Win-Trojan/KorGameHack FO Win-Trojan/OnlineGameHack Win-Trojan/KorGameHack Win32/IRCBot.worm.variant Win-Trojan/Downloader I Win-Trojan/OnlineGameHack B Dropper/OnlineGameHack Dropper/OnlineGameHack Win-Trojan/OnlineGameHack I Win-Trojan/OnlineGameHack Win-Trojan/Downloader D Dropper/OnLineGameHack Win-Trojan/KorGameHack BM Win-Trojan/KorGameHack Win-Trojan/KorGameHack Win-Trojan/OnlineGameHack P Win-Trojan/KorGameHack Win-Trojan/Downloader BH Dropper/OnlineGameHack Dropper/OnLineGameHack Win-Trojan/KorGameHack EI Win-Trojan/KorGameHack Win-Trojan/KorGameHack Win-Trojan/Hidd [ 표 2-2] 2007/2008 피해악성코드 Top 20 24

25 2005년 2006년의 TOP 20의대부분을웜이차지하였던것과는전혀다르게게임핵을비롯하여트로이목마류가 2007, 2008년의 TOP 20의대부분을차지하였다. 다만 2008년은 2007년과는또다르게 Win32/Virut 바이러스에대한피해신고건수가 TOP 20에서제외되었다는차이가있으는데, 이는백신업체들의 Virut 바이러스치료기능강화와전용백신제공등이 Virut 바이러스의피해신고가감소하는데큰영향을미친것으로보인다. 그리고 2007 년과마찬가지로 2008년도 TOP 20의순위권에랭크된대부분의악성코드유형이온라인게임핵이이고, 4위에랭크된 Win-Trojan/Noupdate.36864는특정백신제품의웹페이지가인터넷익스플로러에의해서오픈되었을때이를종료하게하는증상을갖는악성코드로 2008년 3월을기점으로매우많은피해신고가접수되었었다. 악성코드유형에따른분석 다음은안철수연구소가 2008 년엔진에반영한악성코드유형에대한분포이다. 스크립트 10% 파일 0% 2008년신종및변형악성코드유형매크로유해가능 0% 1% 트로이목마 웜 5% 드롭퍼 10% 드롭퍼웜스크립트 파일 매크로 트로이목마 유해가능 74% [ 그림 2-1] 2008 년신종및변형악성코드유형 2008 년악성코드는전년대비폭발적으로증가하였다. 매년증가하는추세인데올해는작년 대비 3 배가까이증가하였다. 특히웹사이트로그인계정정보나시스템정보와같은사용 자들의정보를훔쳐내는유형과다운로더, Agent 등과같은트로이목마유형의악성코드가 전체악성코드의 74% 를차지할만큼많았으며, 그피해또한매우심각하였다. 특히악성코 드가지속적으로엔드포인트단을공격하고, 감염에의해서확보된시스템들을네트워크로묶 고이를조정하여하나의거대한봇넷을구성하여스팸과 DDoS 공격에지속적으로사용하 고있는현상은이전과동일하게계속되고있다. 25

26 다음 [ 그림 2-2] 는 2007, 2008 년악성코드를유형별로분류를한것이다 / 2008 신종및변형악성코드유형별비교 년 2008 년 트로이목마드롭퍼스크립트웜파일유해가능매크로비윈도우 [ 그림 2-2] 2007, 2008 년신종및변형악성코드유형별비교 중국발악성코드영향으로웹애플리케이션에대한공격이거세지고그에따른여파로트 로이목마, 드롭퍼, 스크립트유형의악성코드들이작년과다르게많은수가보고가되었다. 2008년말쯤에국외의악의적인유명호스팅업체의서비스가중지되면서스팸메일이일시적으로줄었다는보고가있었는데, 이처럼악성코드에감염된엔드포인트뿐만아니라악의적인호스팅업체들이앞다투어검은돈을얻기위해서사이버범죄와밀착되고있다. 이와맞물려악성코드고도화역시지속적으로발전하고있다. 올해초파일이나레지스트리에는자신의흔적을남기지않으며, 과거부트바이러스처럼, 물리적인디스크영역에자신의코드를숨겨놓고동작하는 MBR Rootkit이 PoC 형태가아닌인터넷상에서처음발견되기도하였다. 취약점을이용하는악성코드역시더욱기승을부렸는데, 특히대중적으로많이사용되는 PDF 문서파일취약점과플래쉬파일 (SWF) 취약점을이용한악성코드가폭발적으로쏟아져나왔다. 일반적으로잘알려진오피스문서류는물론이고윈도우서버서비스취약점과연말에알려 진 IE7 0-Day 가큰피해를가져오기도하였다. 특히나중국및러시아등으로부터는취약점 26

27 을이용한악성코드제작툴킷과취약점공격툴킷등이이미오래전부터제작, 판매되고 있었으며, 이는일반사용자들에게도호기심을자극하여사이버범죄의나락으로이끌고있 다. 몇년전부터한국을강타하고있는중국발웹해킹역시위와같은취약점등을이용하여끊임없는공격이시도되고있으며, 많은인터넷사용자들이지뢰밭이되어버린국내인터넷환경에조심해야하는상황이되었다. 특히 ARP 스푸핑공격을포함하고있는악성코드로인하여많은수의기업네트워크가마비가되기도하였으며, 많은악성코드들이특정게임만을노리는것이아니라국내대형포털의메일계정정보나메신저계정정보등을타겟으로하는현상이두드러졌다. 이와같은공격은내년에는더욱더기승을부릴것으로예상된다. 다음 [ 그림 2-3] 은중국발악성코드의영향으로국내발견트로이목마중가장많은변형 과비율을차지하는온라인게임의사용자계정을훔쳐내는악성코드를전년도와비교해보 았다. 2007, 2008 년신종및변형온라인게임핵트로이목마현황 년 2008년 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 [ 그림 2-3] 2007, 2008 년신종및변형온라인게임핵트로이목마발견수 SWF 관련취약점이극심할때인 6 월에해당악성코드가폭발적으로증가하는현상을보였 는데, 이는취약점과악성코드유포가밀착되어있는것을여실히보여주는사례라고할수 있다. 한편자기보호고도화악성코드는 2007 년에이미충분히예상을한형태였는데, 위에서언 27

28 급한 MBR Rootkit을비롯하여일반적인안티루트킷기술을회피하는형태가 2008년에일부악성코드에서선보였으나비교적쉽게분석, 진단기술을개발할수있었다. 그리고은폐와같은자기보호이외에도코드가상화, 난독화, 실행압축등은악성코드제작에꾸준히사용되었다. 다음은 2008 년에있었던대표적인악성코드이슈들이다. 전통적인바이러스의피해발생여전 취약점이포함된악의적인스크립트파일과온라인게임의사용자계정을훔쳐내는악성코드가여전히기승을부리고있는가운데실행파일을감염시키는전통적인파일감염바이러스도여전히피해가꾸준한것으로보인다. 특히 Win32/Kashu.B 바이러스는꾸준히변형이발견되었는데, 메모리치료가선행되지않으면재감염되며, 시작실행시점불명확기법과다형성기법등을사용하여진단과치료가매우까다로웠다. 또한바이러스는아니지만윈도우의중요한시스템파일을패치한후악의적인모듈이실행되도록한 Win32/Liger 도있었다. 이외에도 CIH 바이러스처럼파일의빈공간에자신을기록하여감염후파일사이즈가증가하지않는 Win32/Huhk.C 도발견, 보고되었다. 봇넷 (BotNet) 활동과스피어피싱및스팸성사기메일의증가 봇넷은감염된시스템에서악의적인일련의행동을수행하는악성코드로구성된일련의네트워크를말한다. 이러한봇넷들은 P2P 또는 HTTP, IRC 프로토콜을이용하면서감염된시스템들을제어한다. 다양한변형을가지고있는 Win32/Zhelatin.worm 등에감염된경우봇넷에연결되어악의적인용도에사용되었다. 또한올 3분기가장기승을부린 Win- Trojan/Fakeav( 일명 antivirusxp2008) 는다양한경로로감염되는데, 일반적으로외국의유명연예인을사칭하는스팸성사기메일을통하여주로감염이이루어졌다. 이처럼봇넷의활동력증가로인하여악성코드를설치를통한금전적인이익을얻으려는형태가일반화되어가고있다. 스피어피싱은조직내신뢰할만한대상인것처럼속여서아이디와비밀번호를알아내도록가짜사이트로유도하거나, 악성코드설치를목적으로가짜사이트의방문을유도또는취약점이담긴문서파일을보내어실행을요구하는등의일종의피싱공격이다. 국내대형포털메일계정에유포된악성코드 올초국내온라인쇼핑몰에대한사용자 DB 유출사건을시작으로국내유명포털의메일 계정과메신저또는쪽지함등으로악성코드가포스팅된 URL 또는첨부파일이포함된메 일이대량발견되었다. 이렇게국내포털사용자를노린악성코드는이전까지사례가없었 다. 특히이들은공공기관을사칭하는한글로된메일내용을가지고있기때문에사용자들이 28

29 더욱더첨부파일이나 URL을클릭할확률이높았다. 또한메신저의경우사용자의계정을훔쳐내도록되어있어서훔쳐낸계정이다른목적으로사용될위험성도예상해볼수도있었다. 이처럼이제는국내사용자들만을노리는스피어피싱성격의메일과악성코드의기승이활발해지지않을까예상된다. 올림픽과중국내사회적인이슈를다룬악성코드 티벳독립시위관련하여이를지지하거나또한중국의무력진압에반대하는등의내용을다룬악성코드가종종발견되었다. 또한북경올림픽도악성코드제작자들의중요한소재거리였다. 이러한성향은핵티비즘과는다르고단지사회공학적기법을이용하여악성코드를설치후제작자들의소기의이익을달성하는데그목적이있다. 중국발 SWF 취약점과 ARP 스푸핑 올상반기에있었던 SWF 취약점과 ARP 스푸핑공격은과거중국발웹해킹에의한악성코드전파의새로운패러다임을제공하였다. 즉, 수동적인웹접속으로는감염대상을많이확보할수는없지만 ARP 스푸핑공격으로인한인트라넷의모든시스템을공격대상으로삼았다. 나아가 SWF 취약점은대표적인어플리케이션취약점이라할수있고웹과밀접한관련이있어그피해는극심하였다. 무엇보다도이러한어플리케이션취약점과 ARP 스푸핑공격그리고자동화로인한공격도구및악성코드대량양산은더욱더많은이들을사이버범죄자로만들고있다. 또한불보듯뻔한이러한현실을제대로인지하지못하고강건너불구경하는보안불감증에걸린관리자및사용자들에게는크리스마스의악몽과같은현실로다가올것으로예상되므로부단한주의가필요하다. 대중적인애플리케이션의취약점들 PDF 관련취약점, SWF 파일취약점, 윈도우서버서비스취약점, IE 0-Day 등은올한해를흔들어놓았던대표적인취약점이다. 특히해당취약점은많은사용자들이쉽게접할수있었기때문에그피해가더욱컸다. 또한중국발악성코드와맞물려수많은웹페이지가공격당했으며, 이로인한악성코드의수는올 6월폭발적으로증가하기도하였다. 29

30 (3) 스파이웨어연간동향 2008 년신종및변형스파이웨어발견현황 년 2007년 [ 그림 2-4] 2007 년, 2008 년신종및변형스파이웨어증감비교 2008년신종및변형스파이웨어발견현황에서가장주목할점은양적인증가이다. 2008년에는애드웨어, 스파이웨어가안티-스파이웨어, 안티-바이러스와같은보안프로그램의탐지를피하기위한다양한방법을동원하였으며, 2008년초기에는주로탐지회피를위한루트킷 (Rootkit) 을사용하였고, 루트킷과함께 2008년중순부터는보안프로그램의탐지를회피하기위한방법으로변형을양산하기시작하였다. 대표적으로스파이웨어즐롭 (Win- Spyware/Zlob), 스파이웨어크립터 (Win-Spyware/Crypter) 그리고안티바이러스XP(Win- Adware/Rogue.AntiVirusXP2008) 등이다양한변형으로많은피해를입혔다. 신종및변형스파이웨어발견건수가 2008년에급격히증가한반면, 스파이웨어로인한피해동향은 2007년과비슷한양상을보였다. 신종및변형발견건수는증가하였으나이들변형스파이웨어에대한모니터링과제너릭진단법의개발로피해가확산되지않은것으로풀이된다 년과 2008 년피해동향이수치상으로는비슷하지만구체적인피해내용은차이가있다 년하반기부터많은피해를입힌국내제작애드웨어및다운로더는 2007 년개정된정 부의스파이웨어기준과 2008 년초경찰의대대적인수사로 2008 년상반기에는크게줄어 들었다. 그러나 2008 년중반부터스팸메일과성인사이트를중심으로확산되는스파이웨어 즐롭변형의양산으로현재까지많은피해를입히고있다 년과비교하여중국에서제 작된온라인게임계정유출목적의스파이웨어는 2008 년들어피해가다소감소하였다. 30

31 스파이웨어로인한주요이슈를월별로정리하면아래 [ 표 2-3] 과같다. 주요이슈 1월 국내제작스파이웨어피해급증 2월 스파이웨어즐롭변형배포시작 3월 국내제작스파이웨어에루트킷 (Rootkit) 드라이버사용증가 4월 해외제작허위안티-스파이웨어 ( 가짜백신 ) 피해가증가하기시작 5월 스팸메일, 성인사이트중심으로스파이웨어즐롭확산시작 6월 허위안티-스파이웨어, 스파이웨어즐롭등다수의변형배포 7월 가짜백신안티바이러스XP2008(Win-Adware/Rogue.AntiVirusXP2008) 피해증가 8월 가짜백신변형피해증가 9월 불법인터넷도박사이트방문을유도하는애드웨어증가 10월 스팸메일러피해증가, 가짜백신 (Fakeav) 전용백신배포 11월 가짜백신피해감소 12월 국내제작애드웨어배포방식의변화 [ 표 2-3] 2008년월별스파이웨어주요이슈 국내허위안티 - 스파이웨어제작자적발과국내제작스파이웨어감소 2005년경등장하기시작한국내제작스파이웨어는 2008년초까지많은사용자에게직, 간접적인피해를입혔으며, 특히허위안티-스파이웨어프로그램은게시판이나블로그등의불특정웹사이트에서 ActiveX 방식으로사용자동의없이설치되어, 허위과장된검사결과를보여주거나, 정상파일을진단하여사용자를속이는방법으로금전적인피해를입히기도하였다. 2007년 12월정부에서발표한강화된 스파이웨어기준 과 2008년상반기경찰의대대적인수사로국내허위안티-스파이웨어프로그램제작자가서울경찰청사이버수사대에무더기로검거되는사건이있었다. 이러한영향으로국내제작스파이웨어의발견과피해가 2008년들어전년도에비하여감소하는양상을보였다. 하지만설치과정에서사용자동의를받는적립금제공 ( 리워드 ) 형태의애드웨어는현재도많은피해를입히고있으며이들은주로무료게임, 무료소프트웨어설치과정에서번들형태로설치된다. 비록형식상사용자동의 1 를받는다고하나소프트웨어사용약관이허술하거나사용자에게불합리한부분이있어주의해야한다. 향후이런방식으로설치되는스파이웨어는더욱증가할것으로예상되지만, 허술한제도와규정으로인하여이러한유형의스파이웨어를진단하기어려운상황이기때문에사용자들의많은피해가예상된다. 1 ASEC report 2008년 11월호컬럼참조 31

32 스파이웨어의악성화 국내제작스파이웨어가 2008년들어감소한반면악성화되는경향이뚜렷하였다. 2008년 1월에발견된스파이웨어하이드프록 (Win-Spyware/HideProc) 은악성다운로더의프로세스를숨기는기능을수행하여많은피해를입혔으며, 스파이웨어의삭제를방해하는루트킷 (Rootkit) 드라이버를설치하는스파이웨어가많이발견되었다. 이외에도다운로더 Kwsearch(Win-Downloader/Kwsearch) 는 EXECryptor와같은프로텍터로실행압축하여분석도구실행을방해하고역분석 (Reverse-Engineering) 을어렵게하는등의특징이있으며, 2008년 12월까지도꾸준한피해를입히고있다. 스파이웨어 Zlob 변형의확산, 외산스파이웨어의증가 해외에서제작된스파이웨어가증가하여많은피해를입혔다. 이러한스파이웨어들은성인사이트, 스팸메일을통해국내에유입되어많은피해를입혔다. 스파이웨어즐롭 (Win- Spyware/Zlob) 의경우성인사이트나선정적인이미지가포함된스팸메일을이용하여가짜동영상코덱설치를유도한다. 이외에도상용프로그램의크랙또는키젠 (Keygen) 프로그램으로위장하여설치되거나, 응용프로그램의취약점을이용하여설치되기도한다. 즐롭에감염되면클리커훼이크얼럿 (Win-Clicker/FakeAlert), 스파이웨어크립터 (Win- Spyware/Crypter) 등이 2차감염될수있으며허위안티-스파이웨어프로그램을설치하고스팸메일을대량발송하여또다른사용자에게피해를입힐수도있다. AntiVirusXP 2008, 훼이크 AV 가짜백신 ( 허위안티-스파이웨어프로그램 ) AntiVirusXP2008(Win- Adware/Rogue.AntiVirusXP2008, Win-Trojan/Fakeav) 은 2008년에발견된가장많은피해를입힌허위안티-스파이웨어프로그램이다. AntiVirusXP2008에감염되면바탕화면이허위경고메시지가포함된이미지로변경되며, AntiVirusXP2008과함께설치된블루스크린을흉내낸화면보호기로인하여사용자는시스템에오류가있는것으로착각하기쉽다. 이와함께디스플레이설정을변경하여사용자가바탕화면과화면보호기를변경할수없도록한다. AntiVirusXP2008은변형이다양하며랜덤한경로명을사용하여설치하기때문에안티-바이러스프로그램과같은보안프로그램에서진단이어려운특징이있으며, 제거한경우에도다른악성코드에의해재감염되는경우가많았다. AntiVirusXP2008 이외에도스파이웨어즐롭이나클리커훼이크얼럿에의해감염되는다른여러허위안티-스파이웨어프로그램이발견되어많은피해를입혔다. 32

33 (4) 시큐리티연간동향 2008 년에는 MS 에서발표한보안패치가전년도에비하여 13% 가량늘어난 78 건이발표되 었다. 또한 MS 취약점뿐만아니라대중적인 3 rd party 어플리케이션의취약점이다수발견되 어공격에악용되었다. 대중성이높은특정애플리케이션취약점을악용하는공격사례증가 올해다수의윈도우시스템관련취약점이발표되었음에도불구하고대중적으로사용되는특정애플리케이션의취약점이공격대상으로집중되는현상을보이고있다. 이에해당하는가장대표적인사례가 Adobe Flash Player DefineSceneAndFrameLabelData 취약점을이용하는중국발공격이다. 해당 Adobe Flash Player 취약점은 Scene와 Frame 레이블정보를담고있는 DefineSceneAndFrameLabelData TAG 중 SceneCount 값에대한올바르지못한유효성검사로인하여발생하였으며, 아래 [ 그림 2-5] 와같은시나리오로악성코드를유포하는공격이발생하였다. [ 그림 2-5] SWF 파일을이용하는공격시나리오 11월에는인터넷익스플로러의시작페이지가 으로고정되며, 각종광고삽입, 툴바설치, 팝업광고노출등의피해사례를호소하는고객들의신고가급증하기시작하였다. 해당피해의원인은상반기에발표되어많은피해사례를입혔던 Adobe 플래쉬플레이어 (SWF) 취약점을이용하여배포된악성코드로밝혀졌다. 해당취약점은이미제품벤더에의해서문제를해결하는보안패치가발표되었음에도불구하고, 다수의사용자들이해당보안패치를적용하지않았기때문에발생하였다. 33

34 플래쉬파일을사용하는웹서버가증가하면서대부분의사용자시스템에플래쉬플레이어가설치되어있는환경에서웹공격과연계하여손쉽게공격이성공을거두고있다. 또한, 최근이슈가되고있는 ARP 스푸핑악성코드를 flash 파일을이용해서다운로드하는사례도보고되고있다. 진화와다양성으로지속력을잃지않는웹사이트공격 올초부터시작된대량중국발웹사이트공격이지속되고있다. 대표적인구글검색엔진을통해공격대상을수집하고, 취약한웹서버와연계된데이터베이스의모든테이블에공격자가원하는악의적인스크립트를삽입할수있도록설계된자동 SQL Injection 툴을통해이루어진대량의 SQL Injection 방식을비롯하여, 뒤이어발표된 Adobe 플래쉬플레이어 (Flash Player) DefineSceneAndFrameLabelData 취약점은최근까지도웹사이트에삽입되는주요공격방식으로애용되고있다. 또한, MS-Access 스냅샷뷰어 (Snapshot Viewer) 취약점 1 은지난 7월말처음공격 Exploit 공개되었고, 10여일이지난다음달 8월 MS 정기보안업데이트를통해패치가공개되었다. 취약점이공개된직후바로해당 Exploit을이용한웹침해사례가실제로발견될정도로새로운취약점을통한웹공격방식의적용이매우빠르다는점을짐작할수있다. 최근에는악의적인 PDF 파일을자동으로생성해주는툴킷 (Tool Kit) 도개발되어, 악의적인 PDF 파일이삽입된침해사이트의수가크게증가한것으로추정된다. 다시발견된마이크로소프트서버서비스취약점으로인한피해확산 지난 10월에는마이크로소프트사로부터이례적인긴급보안업데이트 (Out-of-Band) 가발표되었다. 이는 MS 취약점 2 이후, RPC 기반네트워크를통한파일인쇄지원및명명된파이프공유를제공하는서버서비스에서또다시치명적인제로데이 (0-day) 취약점인 MS 서버서비스취약점 3 이발견되었기때문이다. 해당취약점은서버서비스에서사용하는 NetprPathCanonicalize 함수에전달된조작된파라미터를파싱하는과정에서발생하는버퍼오버플로우취약점이다. MS 취약점은기본적으로 TCP 139/445 포트상의악의적인메시지전달을통해서공격을수행하기때문에디폴트방화벽설정및패치를적용하는방법으로그내포된위험성에비해확산가능성을낮출수있을것으로예상하였다. 그러나, 해당취약점으로인한국내 / 외피해고객신고가증가하고네트워크모니터링시스템을통해탐지되는공격네트워크트래픽량이급증하는등빠르게피해가확산되기시작하였다. 또한, 웹상에서는중국에서제작된다수의자동화된 MS 취약점자동제작툴들이공유되기도하였다. 악의적인공격메시지에포함된다양한

35 쉘코드 (ShellCode) 를통해서각종트로이목마및또다른취약한시스템을공격하기위한 악성코드 1 등이다운로드되어시스템에피해를가하게된다. IE7 제로데이 (0-day) 취약점 IE7 제로데이취약점은 DATASRC 속성을갖는 HTML 태그처리를담당하는함수인 mshtml!cxfer::transferfromsrc에서발생하는메모리오류취약점으로, Windows XP, Windows 2003 Server, Windows Vista 등의다양한운영체제에서인터넷익스플로러 7 버전을사용하는사용자에게영향을줄수있는것으로밝혀졌다. 이미해당취약점은공개되기이전부터자동화된툴을통해서조용히확산되기시작한것으로알려졌고, 다양한취약점공격코드 (PoC) 가공개된이후에도한동안마이크로소프트사로부터업데이트가발표되지않았기때문에집계되지않은피해사례는엄청날것으로예상된다. 알려진공격코드는기존의웹취약점공격기술과동일하게쉘코드를내장한힙스프레이 (Heap Spray) 기술을취약점에결합하는방식으로이루어졌고, 쉘코드실행시각종게임핵을포함하여다양한악성코드들을다운로드받아실행한다. 보안업체들은마이크로소프트사로부터의보안업데이트가발표되기전까지취약점공격스크립트진단및악의적인배포지 URL들을차단하는방식으로발빠르게대응하였고, 12월셋째주에 MS사에서긴급보안업데이트 (Out-of-Band) 가제공되었다. DNS 캐쉬포이즌공격 우리는과거 1.25 대란을겪으면서 DNS 서버의기능이현재의인터넷환경에얼마나큰영향을미쳤는지확실히경험한바있다. 지난 2008년 7월어쩌면 1.25 대란과견줄수있을정도의확산위협을내포한 DNS 캐쉬포이즌 (DNS Cache Poisoning) 취약점이발표되었고뒤를이어이를이용한실제공격 Exploit 코드들이다수공개되었다. DNS 캐쉬포이즌공격은공격자가 DNS 서버간의통신중간에서올바른 DNS 응답대신잘못된 DNS 응답메시지를끼워넣음으로써, DNS 서버의캐쉬에잘못된정보를삽입하는공격이다. 한번의공격성공으로인하여, 해당서버로부터 DNS 정보를획득하는다수의클라이언트 PC들이잘못된정보를응답받게되고, 악의적인사이트유도를통해서개인정보가로채기, 악성코드및거짓정보유포등의다양한악의적인행위를허용할수있었다. 실제로지난 7월 29일미국의대형 ISP(Internet Service Provider) 인 AT&T사의 DNS 서버가공격을받은것으로알려졌다. 이미제품벤더로부터해당취약점에대한패치방안이발표되었으나, 소스포트와 Transaction ID가유추가능하다는랜덤성 (randomness) 문제는여전히해결되지않은문제로남아있기때문에, 도메인정보에대한신뢰성유지를위해지속적인노력이필요할것이다. 1 Win-Trojan/Gimmiv, Win32/Conficker.worm 35

36 무선네크워크해킹을통한인터넷금융사고발생 최근무선 AP 기능을포함하는유무선공유기가보급됨으로써누구나손쉽게무선네트워크를구축하고사용할있게되었으나편리함에앞서과연무선네트워크이얼마나안전한가에대한고려도잊지말아야할것이다. 무선네트워크에대한취약성은지난 5월에발생한국내은행이잇따라무선랜해킹사고를당한사례를통해잘알수있다. 해당사건의주범들은은행외부주차장에차량을이용하여은행내부에설치된무선 AP의신호를수집하여획득된정보를통해수차례에걸친내부통신망침투시도를하는과정에서검거되었다. 무선은물리적인매체가필요치않아신호가수신되는모든곳이해킹의위험지대라고할수있다. 보안을강화하기위해 WEP, WPA, MAC 인증등의보안기법을적용시킬수있으나 MAC 인증방식은 AP, 무선랜카드정보를수집함으로써손쉽게우회가능하며, WEP 방식역시 WEP으로암호화된패킷을다량으로수집하면사용된 KEY 값을알아낼수있는심각한취약점이존재한다. WEP 보다안전하다는 WPA 방식또한알려진공격툴을통해서다량의패킷수집을통하여복호화가가능한취약점이존재한다. 최근무선인터넷활성화로인하여카페나각종공공장소에구축된무선 AP나주거밀집지역에서쉽게발견할수있는보안기능이없는무선공유기들은공격자의흔적을감추기위해해킹의경유지로이용되기도한다. 이외에도공개되거나인증이취약한 AP에접속하여해당네트워크에 ARP 스푸핑등의기법을이용하여스팸이나악성코드를유포는사례도있다. 따라서, 안전한무선네트워크환경을위해서는강화된암호화, 인증기능을설정하고무엇보다도, 중요한정보의경우되도록유선네트워크을사용하는것을권장한다. 36

37 2008 년웹사이트모니터링동향 2008 년탐지된침해지 / 유포지의수는 2827/624 로서약 4.5 개의침해지가한개의유포지로 연결되어있음을확인할수있다 년의웹을이용한악성코드의배포방법은크게두가지로나눌수있다. 브라우저취약점을이용한배포 : 가장최근에문제가되었던 MS 취약점을공격하는코드가이에해당한다. 가장영향력이큰취약점으로발표가되는즉시배포에사용된다. 브라우저내에존재하는취약점이기때문에특별한제품을사용하지않아도보앆패치가적용되지않은제품을사용하거나 Anti Virus 제품을사용하지않으면악성코드에감염될우려가있다. 써드파티제품을이용한악성코드의배포 : ActiveX나 Flash 등의취약점을공격하는코드가이에해당한다. ActiveX 제품의경우제품이대중화된정도에따라그영향력이달라진다. 예를들어, Microsoft, yahoo, real media 등대형벤더의경우, 취약점공격코드가취약점발표이후배포되었을뿐아니라, 웹공격코드생성도구에도사용되는등그영향력이매우컸다. 특히, 플래시취약점의경우국내피해자가동시다발적으로생기기도하였다. 37

38 (5) 일본 4 분기및연간악성코드동향 일본 4 분기동향 2008 년 4 분기일본에서는오토런 (Win32/Autorun) 류의악성코드의피해가급증하였고, 윈도 우 OS 의보안취약점을이용해서전파되는컨피커 (Win32/Conficker.worm) 웜의피해가다 수발견되었다. [ 그림 2-6] USB 감염형악성코드검출현황 ( 자료출처 : 일본 IPA) 위의 [ 그림 2-6] 은일본 IPA( 에서 2008 년 11 월발표한악성코드피 해현황보고서의내용중 USB 로전파되는악성코드탐지현황을보여준다. 9 월이후 USB 를이용한악성코드의탐지량이급격하게증가하고있는것을알수있다. 일본트랜드마이크로사 ( 에서발표한악성코드피해보고서에서도오토런악성코드의피해증가현황을확인할수있다. 보고서에의하면 2008년 3분기악성코드피해는 631건이었으나 4분기의경우 1,722건으로전분기에비해세배가까이증가한것으로나타났다. 아래의 [ 그림 2-7] 는매월보고된오토런악성코드의피해현황을집계한것으로 9월부터피해가급격하게증가한것을알수있다. 38

39 [ 그림 2-7] 일본트랜드마이크로사의오토런피해현황보고 오토런악성코드가전세계적으로유행하기시작한것은오래전부터이지만일본의경우올해상반기까지메일이나웹사이트상의스크립트등의전파경로를통한감염피해가주로발생했다. 그러나최근일본에서피해가급증하는오토런악성코드가자체전파기능을가지고있는것을고려해보았을때, USB 메모리와같은이동식저장매체를통한악성코드전파가일본에서도보안을위협하는주요요인이되고있는것으로보인다 일본 IPA에서발표한악성코드피해통계에의하면 2008년 4분기일본에서가장많은피해가발생한악성코드는넷스카이 (Win32/Netsky.worm) 웜이다. [ 그림2-8] 은 4분기에발생한악성코드피해통계를집계한것이다. 넷스카이웜의감염피해가매우높게발생하고있는것을알수있다. [ 그림 2-8] 2008 년 4 분기악성코드피해통계 ( 자료출처 : 일본 IPA) 39

40 넷스카이웜이외에도마이둠웜 (Win32/Mydoom.worm) 등이메일웜의감염피해가여전히많이발생하고있는것을알수있다. 그러나오토런이나바이럿 (Win32/Virut) 등메일이아닌다른매체 ( 전파수단 ) 를이용한악성코드의피해가증가하고있고이러한추세는앞으로도계속될것으로보인다. 아래의 [ 그림 2-9] 는 IPA 에서집계한월별악성코드탐지통계이다. [ 그림 2-9] 악성코드탐지통계 ( 자료출처 : 일본 IPA) 10월이후넷스카이웜의활동량이많이감소한것을볼수있다. 통계에서주목해야할점은오토런의활동량이급증한것으로, 실제고객에미치는피해가증가하였을뿐만아니라전파되는개체수또한매우많은것을알수있다. 이러한증가현상이이후로도계속될것인지관심을가지고추이를지켜볼필요가있다. 아래의 [ 표 2-4] 는일본트랜드마이크로사에서발표한월별악성코드피해통계이다. 오토 런악성코드의감염피해가가장많은것을알수있다 년 10 월 2008 년 11 월 2008 년 12 월 악성코드명 피해량 악성코드명 피해량 악성코드명 피해량 MAL_OTORUN 471 MAL_OTORUN 611 MAL_OTORUN 640 BKDR_AGENT 78 MAL_HIFRM 89 WORM_DOWNAD 123 MAL_HIFRM 78 TROJ_GAMETHIEF 76 BKDR_AGENT 79 TROJ_DLOADER 56 TSPY_ONLINEG 67 MAL_HIFRM 68 TSPY_ONLINEG 52 JS_IFRAME 65 TSPY_ONLINEG 65 WORM_AUTORUN 46 BKDR_AGENT 64 JS_IFRAME 63 40

41 TROJ_VUNDO 43 WORM_DOWNAD 60 ADW_BJCFD 55 TROJ_FAKEAV 42 TROJ_VUNDO 55 TROJ_DROPPER 36 TROJ_GAMETHIEF 39 TROJ_DLOADER 44 TROJ_DLOADER 32 JS_IFRAME 25 WORM_AUTORUN 44 TROJ_GAMETHIEF 27 [ 표 2-4] 일본트랜드마이크로월별감염피해통계 위의표에서주목할부분은컨피커웜 (WORM_DOWNAD) 의피해가 10월최초발견된이후 12월에피해가급증한것이다. 컨피커웜은윈도우 OS의 MS 보안취약점을이용하여전파되는악성코드로서 2008년 10월경취약점이발표된이후몇가지유형의취약점을이용한악성코드가발견되고있다. 보안패치를하지않은시스템의경우원격에서직접감염시킬수있는취약점의특성을고려했을때이러한유형의악성코드들에의한피해는일본에서도계속증가할것으로보인다 년일본악성코드동향 2008년일본악성코드동향에서가장이슈가된것은오토런악성코드의피해가급격하게증가한것이라고할수있을것이다. 오토런악성코드는올한해전세계적으로많이유행한악성코드이지만일본의경우이러한유형의악성코드로인한피해가미약한편이었다. 그러나하반기이후악성코드의활동이급격하게증가하였고이러한상황은내년에도계속될전망이다. 아래의 [ 그림 2-10] 에서볼수있는것처럼전통적인이메일웜의피해가올해도지속적으로발생한것이눈에띤다. 한국을비롯하여대부분의지역에서이메일웜으로인한피해가거의없는상태이지만, 일본의경우에는점진적인감소추세를보이고있기는하지만, 아직까지도이로인한피해가매우많이발생하고있다. [ 그림 2-10] 2008 년악성코드피해현황 ( 자료출처 : IPA) 41

42 바이럿바이러스의피해가지속적으로발생하고있다. 바이럿의경우주로공유폴더나 P2P 프로그램을이용한파일공유등으로인해감염되는데, 악성코드자체가가지고있는전파기능이미약함에도불구하고많은피해가발생하고있는것으로미루어보아해당악성코드로인한피해는당분간지속될것으로보인다. 온라인게임계정탈취를위한악성코드의피해가지속적으로발생한것또한올한해동안일본에서이슈가되었다. [ 표 2-5] 는일본트랜드마이크로사에서발표한 2008년도인터넷위협리포트의내용중악성코드감염피해현황통계이다. TSPY_ONLINEG나 TROJ_LINEAGE와같은온라인게임계정을탈취하기위한게임핵의피해건수가작년에비해급격하게늘어난것을알수있다. 순위 악성코드명 유형 피해건수 전년순위 1위 MAL_OTORUN 기타 2870 NEW 2위 BKDR_AGENT 백도어 818 1위 3위 JS_IFRAME Java Script 596 NEW 4위 MAL_HIFRM 기타 456 NEW 5위 TROJ_GAMETHIEF 트로이목마 411 NEW 6위 TSPY_ONLINEG 트로이목마 333 권외 7위 TROJ_VUNDO 트로이목마 268 2위 8위 TROJ_LINEAGE 트로이목마 264 권외 9위 TROJ_RENOS 트로이목마 226 권외 10위 TROJ_CABAT 트로이목마 187 NEW [ 표 2-5] 2008년트랜드마이크로피해현황 ( 자료출처 : 일본트랜드마이크로 ) 피해통계순위에등록된다른악성코드들중에서도온라인게임계정을유출하는기능을 포함하고있는악성코드들이많이존재하는것으로미루어보아게임핵으로인한실제피해 는통계로집계된수치를훨씬상회할것으로추정해볼수있을것이다. 마지막으로허위안티스파이웨어에의한피해가일본에서도다수발생하여사회적인이슈가되었다. AntiVirusXP2008과같은허위안티스파이웨어의경우 2008년하반기전세계적으로많은피해가발생하였는데, 일본또한이러한프로그램으로인한피해가다수발생하였고외산프로그램뿐만아니라일본에서제작된것들또한많은감염피해를유발한것으로보인다. 42

43 (6) 중국 4 분기및연간악성코드동향 2008 년 4 분기중국악성코드동향 2008년의마지막 4분기중국동향은기존악성코드 TOP 10 1 에포함되어있던악성코드들이순위에서밀려나고새로운악성코드들이새롭게 TOP 10에포함되는현상을보이고있다. 그러나순위에밀려나는변화의크기가한계단정도의극히미비한수준이나분포면에서본다면비교적큰변화가있었다. 순위 AhnLab V3 진단명 분포 1 Win-Trojan/Obfuscated 75.09% 2 Win-Trojan/Agent 3.60% 2 Win-Trojan/OnlineGameHack 3.60% 4 Win-Trojan/Downloader 2.08% 5 Win-Trojan/Krap 1.48% 6 Dropper/Agent 0.96% 7 Win-Trojan/Autorun 0.96% 8 Dropper/Kgen 0.89% 9 Dropper/OnlineGameHack 0.85% 9 Win-Trojan/Hupigon 0.85% [ 표 2-6] 2008년 4분기 안철수연구소중국법인악성코드 TOP 10 지난 3분기에새롭게 TOP 10에포함되었던악성코드가이번 4분기의 TOP 10에 4 종류가포함되어있지만모두 5위미만의하위권을차지하였다. 1위를차지한 Obfuscated 트로이목마의경우 2분기에 6위를차지하고있었고 3분기에는순위에서밀려나 TOP 10에포함되어있지않았었으나, 이번 4분기에서는 75% 의절대다수를차지하였다. 그리고, Krap 트로이목마, Autorun 트로이목마그리고 OnlineGameHack 트로이목마는 2008년한해동안모두순위에포함되지못하다가이번분기들어처음으로 TOP 10에포함되었다. 3 분기와달리특이한사항은 Obfuscated 트로이목마가전체분포면에서 75% 를차지하고 TOP 10에포함된다른악성코드들은분포면에서극히미비한점유량을가지고있다는점이다. Obfuscated 트로이목마가어떠한특정트로이목마의종류를나타내기보다는악성코드의실행파일이특이한실행압축또는특이한암호화가되었을경우에분류한진단명인 1 중국악성코드동향은 안철수연구소의중국법인에서수집된악성코드를기반으로분석된결과이다. 43

44 것을감안한다면이번분기에서중국에서발견된악성코드들은기존에알려진악성코드보 다는새롭게파일형태를변경하여안티바이러스소프트웨어의진단우회를위한시도를 하고있는것들이많은것으로추정된다 년중국악성코드동향 2008 년에는비교적많았던제로데이 (0-Day) 공격과 SQL 인젝션을통한악성코드의대규 모유포등지속적으로새로운보안사고들이발생하였다. 순위 AhnLab V3 진단명 1 Win-Trojan/Swizzor 2 Win-Trojan/OnlineGameHack 3 Win-Trojan/Obfuscated 4 Win-Trojan/Hupigon 5 Win-Trojan/Agent 6 Win-Trojan/Polycrypt 7 Win-Trojan/Downloader 8 Win-Trojan/KorGameHack 9 Win-Trojan/Dialer 10 Win-Trojan/Klone [ 표 2-7] 2008년 AhnLab China 악성코드 TOP 10 [ 표 2-7] 은 2008 년한해동안중국에서발생한악성코드들을종합하여순위별로정렬한것 으로, 2008 년한해동안중국에서가장많이접수된악성코드는 Swizzor 트로이목마로서 1 분기와 4 분기에는순위에포함되지못하였으나 2 분기에압도적으로많이발견되었다. 2 위와 8 위에는온라인게임사용자정보를외부로유출하는 OnlineGameHack 트로이목마와 KorGameHack 트로이목마가차지하고있다. OnlineGameHack 트로이목마의경우에는 2008 년한해계속해서순위에포함될정도로중국내에서많은접수가이루어진반면 KorGameHack 트로이목마의경우에는 1 분기에잠시순위에포함된이후에는포함되지못 하였다. 상반기에는분석의지연과안티바이러스소프트웨어의진단을회피할목적으로실 행파일의형태가암호화된 Polycrypt 트로이목마가많았고, 하반기에는 Obfuscated 트로이 목마와같이특이한실행압축형태가많이발견되었다. 중국의경우에는전통적으로원격제 어형태의트로이목마가많이제작되고유포되고있는것을 4 위를차지한 Hupigon 을통해 서잘알수가있다. 특히 Hupigon 트로이목마의경우에는매년마다순위에포함이될정 도로많은변형들이제작되고유포되고있으며최근에는중국언더그라운드에서안티바이 러스소프트웨어를우회하는상용으로제작된별도의 VIP 버전까지제작되고있는실정이다. 44

45 2008 년에중국에서발생하였던주요이슈를살펴보면아래와같다. 취약한웹사이트공격 2008 년에는국내를비롯하여중국에서도취약한웹사이트에대한공격이많이발생하였다. 특히중국발 SQL 인젝션공격이활발히이루어져전세계적으로많은보안이슈들을만들었 다. 이러한배경에는러시아등의동구권에서제작된웹익스플로잇툴킷인 MPack과 FirePack 등이한몫하였으나, 이러한툴킷들역시 2008년 5월에는모두중국어로번역되어중국언더그라운드에서유포되고있어웹을통한악성코드유포가더욱쉬워지게되었다. 특히많은문제를야기한 SQL 인젝션공격의경우에는 2008년 4월경에중국언더그라운드에서다양한형태의 SQL 인젝션공격툴들이제작되고유포되어 SQL 젝션공격에대한기술적인지식이충분하지않더라도손쉽게취약한웹서버들을공격할수있게되어많은문제를야기시켰다. 중국내사회적인문제를이용한보안위협 중국내의여러사회문제로인해다양한악성코드와분산서비스거부공격등이다수발생하였는데, 그중에서도가장많이이슈화된것은중국북경에서의올림픽개최와티벳의독립운동시위였다. 특히미국 CNN의티벳독립운동과관련된뉴스가방송되고난뒤, 중국내에서는 CNN의보도가편파적이라는이유로 4월에는대규모의분산서비스거부공격이 CNN 웹사이트를대상으로발생하게되었다. 특히이러한공격의배경이사회적인이슈라는점에서새로운위협이다양한목적을가질수있다는점을잘보여주었다. 자동화된공격툴들로인한보안위협의증가 2008 년에는다양한소프트웨어에대한취약점이많이발견되었고, 이를악용한새로운공격 방법이등장하는방식으로자동화된공격툴이다수제작되었다. 특히중국의경우이러한과 정에소요되는시간이거의제로데이공격수준으로알려져있다. Adobe 사의플래쉬취약점이 2008 년 5 월에알려지면서취약점을공격하는 SWF 파일이대 규모로발견이되었는데, 이러한배경에는바로자동화된생성기가있어짧은시간에다량의 변형들이대규모로양산이되었다 년 6 월에는 2007 년극심한피해를입혔던 ARP 스 푸핑트로이목마를자동으로생성해주는생성기가다시발견되었을뿐만아니라 2008 년 11 월에는 10 월에알려진 MS 서버서비스의취약점으로인한원격코드실행문제점 45

46 (958644) 취약점을자동으로공격하는툴까지발견되었다. 그리고 2008년 12월에는인터넷익스플로러에존재하는 MS 포인터참조메모리손상취약점 이알려진지하루를넘기지않고바로해당취약점을공격하는스크립트악성코드생성기들이중국언더그라운드에유포되고있었다. 이러한점은특정취약점이공개되면중국언더그라운드에서는해당취약점을자동으로공 격하는툴이나악성코드생성기가제작될가능성이높으며, 이는바로대규모의공격으로이 어진다는것을잘보여준사례라고할수있다. 규모가커지고있는중국의사이버블랙마켓 비교적최근에들어서알려진중국의사이버블랙마켓은러시아의블랙마켓과다르게온라인게임과관련된아이템유출을통한금전획득이가장큰비중을차지하였다. 그러나, 이러한공격대상이온라인게임아이템에서온라인게임계정을생성할수있는개인정보를노리는방향으로발전하였으며, 이러한현상은 2008년 5월에알려진중국연변에위치한웹사이트를통해서잘알수가있었다. 특히해당웹사이트에서는개인정보에대한구체적인금액이제시되어있을뿐만이아니라온라인게임업체의데이터베이스를해킹할수있는해커를고용한다는게시물까지게시되어청부해킹까지공공연히이루어지고있다는것을알수가있었다. 이렇게개인정보를사고파는거래뿐만이아니라기업의웹사이트를대상으로분산서비스거부공격을통해금전적인대가를받아내기위해중국인해커를고용하는사례가알려졌다. 그리고특정목적의공격을위해서다양한공격툴들이사용되었는데이러한공격툴들의대부분이중국의사이버블랙마켓에서일정한금액만주어지면얼마든지구할수가있는것으로밝혀졌다. 이러한사례들을통해서중국의사이버블랙마켓은개인정보거래를바탕으로시작이되었지만지금에와서는금전적인대가를받는분산서비스거부공격을비롯하여올바르지못한목적에사용하기위해주문제작되는악성코드생성기와공격툴들까지그범위를확장해나가고있는것을알수가있다. 46

47 (7) 세계연간동향 이통계는각국에존재하는주요백신업체에서밝힌정보를바탕으로했기때문에해당업체에는신고되지않은악성코드, 해당업체에진단하지못하는샘플혹은집계방법에따라실제사용자에게피해를입히고있는실제결과와는다소다를수있다. 2008년에는단순히고객신고나유입메일통계가아닌자사제품으로진단되는결과를집계내는방식으로바꾸면서실제사용자감염상황을파악할수있게되는업체가증가했으며년간통계를찾을수없는회사도존재한다. 악성코드가대량제작되고단시간에퍼지는양상을보여연간통계의미가퇴색된것도원인으로보인다. 루마니아비트디펜더의통계에따르면 2008년악성코드통계에서쿠키를제외하면애드웨어나취약점을이용하는악성코드들이순위를차지했다. 주로웹사이트방문을통해서전파되는트로이목마로주요악성코드전파경로가웹사이트방문이되면서넷스카이웜, 나이젬웜변형같이메일로전파되는악성코드가순위에서사라진것으로보인다. 트렌드사의통계에따르면악성코드순위에는 USB 플래쉬메모리등으로전파되는오토런 웜 (Autorun worm) 이주요순위를차지하고있다. 대륙별, 국가별로도 USB 플래쉬메모리를 통해전파되는악성코드가순위에있었다. 메일로전파되는악성코드에대한통계는사용자감염과는다소다른과거악성코드가여전 히활동중임을알수있다. 슬로바키아에셋 (Eset) 사의 2008년통계에따르면 1위는자피웜 (Win32/Zafi.B worm) 이다. 1 2위는 2007년 3위였던넷스카이웜변형, 3위, 5위는스트레이션웜이차지하고있다. 여전히메일로전파되는웜들이다수존재함을알수있다. 에셋사의통계는기본적으로메일을통해서파악되며체코의포털사이트인 Seznam ( 의메일을모니터링하고있기때문에체코내에서활동하거나유입되는악성코드의통계로볼수있다. 아이슬랜드프리스크소프트웨어 (Frisk Software) 에따르면지난 1년간 1위는압도적으로휴리스틱진단 (Heuristic detection) 으로특정악성코드는아니었다. 따라서실제악성코드순위에서 1위는나이젬웜변형 (Kapser, Mywife 등 ) 이며 2위는넷스카이, 마이둠, 마이톱등의메일로전파되는악성코드들이다 년세계의악성코드동향을보면 2007 년과마찬가지로특정악성코드가광범위하게퍼

48 지진않았다. 이는악성코드제작동기가실력과시에서금전적이득목적으로변화하면서발생하는것으로더이상악성코드제작자는무작위로빠른시간에널리퍼뜨리는것이아니라한정되게목표를정해은밀하게퍼뜨리고제거에대비해새로운변형으로교체하는형태로바뀌고있다. 이에판다시큐리티 2008년통계에따르면악성코드중 77.49% 가트로이목마, 16.28% 가애드웨어로이들유형이가장큰것을알수있다. 웜은 2.74% 이며바이러스는기타통계로집계되었다. 악성코드전파경로도메일을통한전파방법보다웹브라우저취약점과 USB 플래쉬메모리등을통한전파방법이보편화되고있다. 2007년핀란드 F-시큐어 (F-Secure) 사는 2007년까지발견된악성코드는 50만개라고밝혔고 2008년에도계속증가할것이라고예상했다. 2008년스페인판다시큐리티는하루에 2만 2천개의새로운악성코드를접수받았다고했다. 다른업체도이와비슷하며계산해보면 2008년한해동안전세계적으로악성코드는 800만개이상새롭게발견된것으로보인다. 불행히도 2009년에도문제는더심각해져천만개시대가올지도모른다.. 48

49 III. 이달의통계 (1) 악성코드통계 악성코드증가추세 12 월순위 악성코드명 건수 비율 1 new Win-Trojan/Agent % 2 new Win-Trojan/Agent.8192.PF % 3 new Win-Trojan/OnlineGameHack % 4 new Win-Trojan/Downloader LA % 5 new Dropper/Changer % 5 new Win-Trojan/Downloader GK % 7 new Win-Trojan/OnlineGameHack % 8 new Win-Trojan/Agent FK % 9 new Win-Trojan/Agent % 9 new Win-Trojan/OnlineGameHack % 합계 325 [ 표 3-1] 2008년 12월악성코드피해 Top 10 [ 표 3-1] 은 2008년 12월에피해접수가많이된 Top 10 악성코드들로이들악성코드들로인한총피해건수는 325건으로한달접수된총피해건수 (4,042건) 의 8.04% 에해당하며, 지난 10월 270건 (10.0%), 11월 227건 (7.4%) 과비교하면크게차이가없다. 전반적으로 Win-Trojan/Downloader와 Win-Trojan/OnlineGameHack류는크게다르지않지만 1위에랭크된 Win-Trojan/Agent.67678의피해건접수가다소많았기때문에 Top 10의전체합계가소폭상승하였다. 2007년 12월에이메일로대량확산되었던 Win32/Zhelatin.worm류의악성코드로인한신고신고가 5건으로예상외로적어 Top 10에포함되지않았다. 이를바탕으로추정해보면, 이메일을통한악성코드유포방식이더이상효력을발휘하지못하고있다고판단된다. 이는예전과같이메일을여는것만으로도악성코드가실행되는취약점이없고, 전반적으로의심스럽거나잘알지못하는영문메일에대한위험성을인터넷사용자들이인지하게된것으로보인다. 49

50 12 월순위 대표진단명 건수 % 1 Win-Trojan/Agent % 2 Win-Trojan/OnlineGameHack % 2 Dropper/OnlineGameHack % 4 Win-Trojan/Downloader % 5 Dropper/Agent % 6 Win32/Autorun.worm % 7 Win-Trojan/Xema.variant % 7 Win-Trojan/Sadenav % 9 Win-Trojan/Zlob % 10 JS/Exploit % 합계 2,647 [ 표 3-2] 2008년 12월악성코드대표진단명 Top 10 [ 표 3-2] 는 2008년 12월악성코드의대표진단명을기준으로대표진단명 Top 10 유형별피해순위를나타내고있다. 유형별 Top 10에포함된악성코드총피해건수는 2,647으로 11 월의 2,299건에비해 15% 가량증가하였으며, 한달간접수된총피해건수 (4,042) 의 65.5% 이다. 12 월대표진단명의상위에랭크된대표진단명의비율은다음 [ 그림 3-1] 과같다. 주요대표진단명비율 Dropper/OnlineGameHack Win-Trojan/Downloader 11.5% 8.2% 6.4% 11.4% 14.2% 13.6% 12 월 11 월 10 월 Win-Trojan/OnlineGameHack Win-Trojan/Agent 22.0% 26.5% 22.2% 31.60% 33.4% 30.3% [ 그림 3-1] 2008 년 10 월 ~ 12 월주요대표진단명비율 50

51 월별피해신고건수 월별피해통계 10,000 8,000 8,948 7, 년 2008 년 6,000 4,000 2,000-5,609 5,797 3,254 1,617 2,057 1,558 1,111 1,264 6,634 6,213 6,454 5,352 4,265 3,536 3,789 3,658 4,042 3,396 2,995 2,321 1,775 1,305 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 [ 그림 3-2] 2007, 2008 년월별피해신고건수 [ 그림 3-2] 는월별피해신고건수를나타내는그래프로 12 월에는 4,042 건의피해신고가접 수되었다 년과비교하면 4 분기에접수된피해신고가상대적으로적은편이지만 2008 년 4 분기들어서지속적으로피해신고가증가추세에있다. 2008년 12월유형별피해신고현황 6% 1% 15% 트로이목마 스크립트 8% 70% 드로퍼웜유해가능프로그램바이러스 [ 그림 3-3] 2008 년 12 월악성코드유형별피해신고건수 [ 그림 3-3] 은 2008 년 12 월전체악성코드유형별피해신고건수를나타내고있는그래프 이다. Top 10 의유형과마찬가지로전체피해신고유형에서도트로이목마비율이 11 월의 51

52 77% 에비하여 70% 로하락하였지만, 피해신고유형의절대다수를차지하고있다. 드로퍼가지난달보다 3% 증가하였는데, 이는중국에서제작되고있는악성코드유포툴이거의대부분드로퍼를웹사이트에삽입시키기때문에나타나는현상으로보이며, 이러한드로퍼로인한피해는 2009년에도지속될것으로예상된다 년 12 월유형별신고현황 4%2% 11% 17% 66% 트로이목마스크립트드로퍼웜유해가능프로그램바이러스 [ 그림 3-4] 2008 년 12 월피해신고된악성코드의유형별현황 [ 그림 3-4] 는 12월한달간접수된유형별신고건수로 [ 그림 3-3] 의유형별피해신고건수와마찬가지로트로이목마가 66% 로높은비율을차지하고있다. 나머지스크립트 11%, 웜 4%, 유해가능프로그램이 2% 를차지하고있으며, 드로퍼의증가율이 11월 12.8% 에서 4.2% 상승한 17% 를기록하고있다. 그리고 12월은 IE 취약점을이용한스크립트류의악성코드로인하여 11월에접수된 126건에비해 229건으로 81.7% 증가하였다. 5,000 4,000 3,000 2,000 1,000-2, 년월별피해신고악성코드종류 3,927 3,571 3,255 2,566 2,440 2,068 2,215 1,984 1,418 1,582 1,364 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 [ 그림 3-5] 2008 년월별피해신고악성코드종류 52

53 [ 그림 3-5] 는 2008 년월별로피해신고가되는악성코드의종류를나타낸그래프이다. 월별 로신고되는 [ 그림 3-2] 의월별피해신고건수와마찬가지로 10 월부터악성코드종류가점 차증가하고있는것으로나타났다. 악성코드의유형이점차 Rootkit 과같이은폐형악성코드로발전함에따라고객의피해신고 건수뿐만아니라악성코드의종류도지속적으로증가할것으로예상된다. 53

54 국내신종 ( 변형 ) 악성코드발견피해통계 12 월한달동안접수된신종 ( 변형 ) 악성코드의건수및유형은 [ 표 3-3] 과같다. 웜 트로이 드롭퍼 스크립트 파일 매크로 부트 부트 / 파일 유해가능 비윈도우 합계 10 월 월 월 [ 표 3-3] 2008년최근 3개월간유형별신종 ( 변형 ) 악성코드발견현황 이번달은전월대비 37% 가량의증가하여올해들어가장많은신종및변형악성코드가보고되었다. 전체적으로모든유형의악성코드가증가하였으며, 이는올 6월달각종취약점들로인하여 Drive by Downloads 1 형태의악성코드가급증했던 6월과비교하여도소폭증가한것이다. 이와같이신종및변종악성코드가증가한원인을찾아보면아래와같다. - 국내를향한중국발해킹과악성코드유포를위한중간경유지로여젂히많은국내시스템들이악용되고있다는점. - 악성코드제작도구의자동화와더불어도구를판매하고공유하면서일반사용자들도범죄에끌어들이려고한다는점 - 악성코드제작과유포등이지능적이고젂문화된집단에서계속만들어지고있는것으로추정됨 이와같은상황이계속될것으로예상되기때문에악성코드의수는앞으로도증가할것으로 보인다. 다음은이번달악성코드유형을상세히분류하였다. 1 ( 웹브라우저와같은응용프로그램의취약점을이용하여사용자의별도의행동없이다운로드되어자동실행되는악성코드형태 ) 54

55 12 월신종 ( 변형 ) 악성코드유형 1% 0% 0% 0% 0% 17% 12% 3% 1% 0% 66% 트로이목마드롭퍼스크립트웜 (AutoRun) 유해가능웜 (IRC) 웜 ( 메일 ) 웜 (Exploit) 파일 ( 바이러스 ) 웜 (SNS) 웜 (MSN) [ 그림 3-5] 2008 년 12 월신종및변형악성코드유형 트로이목마유형은전월대비 23% 증가하였다. 특히온라인게임의사용자계정정보를탈취하는형태도급격히증가하였다. 이번달특징적인트로이목마로 DNS 서버주소를특정주소로변경하는 Win-Trojan/DNSChanger가국내에 12월초갑자기증가하였다. DNS 주소를변경하는형태의트로이목마는이전에도존재하였던형태였으나, 갑자기국내에서다수의고객으로부터신고되었고, 이후발견된변형들에서은폐기법과자기보호기능을포함하고있는것으로분석되었다. 이는일반사용자는물론시스템을잘아는전문가들도해당악성코드를처리하는데쉽지않았을것으로생각된다. 드롭퍼유형은당연히온라인게임트로이목마를설치하는형태가가장많은수를차지하였다. 이러한드롭퍼의실행후증상은기존과크게다르지는않았지만, 특이한점이라면일부안티바이러스제품에서사용하는진단방법중파일의실행압축여부또는파일내특정문자열을찾아서검사하는진단방법을회피할목적으로실행압축이안된형태가많이발견되고있다. 스크립트유형은 Drive by Download 형태의악성코드를실행하기위한목적으로제작되어수많은변형이발견되었다. 대부분의스크립트악성코드는크게 VBS 웜유형과웹브라우저의취약점을가진 Exploit 형태로구분된다고해도과언이아니며, 특히 12월초에는인터넷익스플로러에대한 XML 관련제로데이취약점이알려져관련스크립트악성코드가다수보고되었다. 55

56 유해가능프로그램유형에서는주로취약점점검및패킷스니핑도구류가주로발견되고있으며, 웜유형으로는일반적인유형이외에 MS08-067( 서버서비스취약점 ) 취약점을이용하여전파되는 Win32/Conficker.worm 변형이 12월중다수의변형이보고되었다. 파일바이러스유형에서는잘알려진 Win32/Dellboy 변형바이러스가보고되었다. 다음은최근 3 개월간악성코드분포이다. 최근 3 개월간악성코드분포 월 11 월 12 월 [ 그림 3-6] 2008 년최근 3 개월간악성코드분포 최근 3 개월간악성코드는꾸준히상승을하고있는것을알수가있다. 정확한원인을알수 는없지만이는웹애플리케이션공격의증가에따라기인한것으로보이고, 주로사용되는 공격으로다음과같은것이있다. - Cross-site Scripting - SQL Injection - Drive-by Downloads 다음은트로이목마및드롭퍼의전체비중에서상당한비율을차지하는온라인게임의사 용자계정을탈취하는트로이목마의추세를살펴보았다. 56

57 년온라인게임사용자계정탈취악성코드추세 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 [ 그림 3-7] 온라인게임사용자계정탈취트로이목마현황 2008년하반기에이러한유형의트로이목마가 60% 이상급증하고있다. 새로운유형의등장이나, 진단하기어렵거나또는진단되지않는유형이나온것도아니다. 추정되는원인은악성코드제작에사용되는도구가다수제작되고있고, 이러한도구들을이용하여일반인들도악성코드제작이가능한환경이구축된것과대상이되는온라인게임이초창기에는국산온라인게임만을노리는형태에서근래에는국내에소개되지않은대만및중국산온라인게임들도대상으로하기때문으로분석된다. 57

58 (2) 스파이웨어통계 무료소프트웨어설치시주의필요 순위 스파이웨어명 건수 비율 1 New Win-Downloader/Gaongil % 2 New Win-Adware/BHO.PointGuide % 3 New Win-Downloader/Kwsearch % 4 4 Win-Adware/PointGuide % 5 New Win-Spyware/StartPage.Zhaoy % 6 New Win-Adware/PointGuide % 7 New Win-Downloader/PlgEvent % 8 New Win-Adware/JUser % 9 New Win-Spyware/Flux % 10 1 Win-Adware/BHO.PointGuide % 합계 85 [ 표 3-4] 2008년 12월스파이웨어피해 Top 년 12월스파이웨어피해상위 Top10의대부분은애드웨어포인트가이드 (Win- Adware/BHO.PointGuide) 를비롯한국내에서제작된스파이웨어가대부분이다. 애드웨어포인트가이드는팝업광고에포함된 ActiveX로배포되는리워드 ( 적립금 ) 제공프로그램으로지난 11월에최초발견되어지난달에이어 12월에도많은피해를입혔다. 일반적으로설치와배포에 ActiveX를이용하는스파이웨어는피해규모가크고단기간에집중되는경향을보이는데애드웨어포인트가이드또한이러한특징을잘보여준다. 2007년말에개정된정부의스파이웨어기준에따라불특정웹사이트에서 ActiveX를이용하여배포되는프로그램을스파이웨어로분류함에따라최근에는국내에서제작되는스파이웨어의대부분은무료게임, 음악프로그램의번들로설치된다. 설치과정에서형식적인사용자동의를받지만프로그램설명이충분하지않으며, 소프트웨어사용약관에포함되지않은동작을하는경우가많으므로인터넷에서흔히접할수있는무료소프트웨어를설치할때는주의가필요하다. 순위 대표진단명 건수 비율 1 Win-Downloader/Zlob % 2 Win-Adware/CashBack 91 13% 3 Win-Spyware/Crypter 70 10% 4 Win-Spyware/Zlob 62 9% 5 Win-Dropper/Zlob 59 9% 6 Win-Adware/Kwsearch 52 8% 7 Win-Downloader/Kwsearch 24 4% 8 Win-Dropper/AdRotator 24 4% 58

59 9 Win-Adware/BHO.PointGuide 22 3% 10 Win-Adware/PointGuide 21 3% % [ 표 3-5] 12월대표진단명에의한스파이웨어피해 Top10 [ 표 3-5] 는변형을고려하지않은대표진단명에의한피해자료이다. 대표진단명에의한스파이웨어피해상위 Top10은전체피해신고건수 1,372건의약절반인 685건을차지하며, 그중에서도약 40% 가량이성인사이트에서코덱으로위장하여배포되는스파이웨어즐롭 (Win-Spyware/Zlob) 변형으로스파이웨어즐롭의피해가지속적으로발생하고있는것을확인할수있다. 2위의애드웨어캐쉬백 (Win-Adware/CashBack) 은국내에서제작되어지난 2008년 6월발견되었으며, 현재까지꾸준하게변형이발견되고있으며, 애드웨어포인트가이드또한많은피해를입혔다 년 12 월유형별스파이웨어피해현황은 [ 표 3-6] 과같다. 스파이 애드웨 드롭퍼 다운로 다이얼 클리커 익스플 AppCare Joke 합계 웨어류 어 더 러 로잇 10월 월 월 [ 표 3-6] 2008년 12월유형별스파이웨어피해건수 [ 표 3-6] 은 2008 년 12 월유형별스파이웨어피해현황이다. 11 월까지증가세를이어오던 스파이웨어피해신고건수가 12 월에는다소감소하였다. 12 월한달동안접수된신종 ( 변형 ) 스파이웨어발견건수는 [ 표 3-7] 과같다. 스파이 애드웨 드롭퍼 다운로 다이얼 클리커 익스플 AppCare Joke 합계 웨어류 어 더 러 로잇 10월 월 월 [ 표 3-7] 2008년 12월유형별신종 ( 변형 ) 스파이웨어발견현황 [ 표 3-7] 은 2008년 12월발견된신종및변형스파이웨어통계를보여준다. 12월스파이웨어피해신고건수는감소하였으나변형스파이웨어모니터링강화에따라신종및변형스파이웨어의수는지난달보다다소증가하였다. 피해신고와마찬가지로신종및변형애드웨어가많이발견되었다. 59

60 (3) 시큐리티통계 IE 긴급패치 2008년 12월에마이크로소프트사에서발표한보안업데이트는총 9건으로긴급 (Critical) 7 건, 중요 (Important) 2건이다. 그중에서도인터넷익스플로러 7에서발생하는 XML 제로데이취약점이큰이슈가되었고, 이에해당하는 MS 긴급보안업데이트 (Out-of-Band) 가발표되기도하였다. 최근 MS SQL 서버상에서코드실행취약점이추가로보고되었고, 해당취약점과 MD5 관련이슈에해당하는 2건의마이크로소프트보안권고문 (Security Advisories) 이발표되었다. 특히, MS SQL 서버상의취약점은해당취약점을악용할수있는공격코드 (PoC) 가웹을통해공개되었음에도불구하고, 아직까지이에대한보안패치가발표되지않은제로데이취약점으로남아있다. 2008년을마감하는 12월에유난히제로데이공격에대한이슈가끊이지않고있어어느때보다도취약점보안에대한중요성을생각하게하는달이다. 사용자시스템을보호하기위한많은좋은솔루션들이제공되고있으나, 일차적으로정기적인보안업데이트의생활화가사용자 PC를가장안전하게보호할수있는최상의방법이될것이다. 위험도취약점 PoC 긴급 (MS08-078) Internet Explorer 누적보안업데이트 유 긴급 (MS08-076) Windows Media Components의취약점으로인한원격코드실행문제점 유 긴급 (MS08-070)Visual Basic 6.0 런타임확장파일 (ActiveX 컨트롤 ) 의취약점으로인한원격코드실행문제점 유 [ 표 3-8] 2008 년 12 월발표된주요 MS 보안패치 60

61 2008 년 12 월웹침해사고현황 침해지 유포지 년2008년2008년2008년2008년2008년2008년2008년2008년2008년2008년2008년 1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월 [ 그림 3-8] 악성코드배포를위해침해된사이트수 / 배포지수 2008년 12월의웹사이트경유지 / 유포지수는 109/32로지난달의 182/35에비해늘어났다. 이달에는 MS 취약점을이용한배포가현저하게줄었으며, MS Microsoft Access Snapshot Viewer 취약점을이용해악성코드배포를시도한사례가종종발견되고있다. 이번달도다른달과크게다른점이없었으나, 한가지주목할점으로한때제로데이로악명을떨쳤던 MS XML 취약점을이용한악성코드의배포가탐지된점을들수있다. MS 취약점의경우, 그심각성이언론에대대적으로보도된것과는달리그영향력이예상보다작았다. 109개의침해지중단지 7개만이 MS 취약점을이용해배포되었다. 하지만, 써드파티의제품이아니라마이크로소프트제품의취약점이라는점과브라우저취약점이라는점들을고려하면그영향은무시할수가없다. 따라서, 사용자들은항상브라우저와관계된모든어플리케이션의보안업데이트를꼼꼼히챙겨야한다. [ 그림 3-9] MS 취약점공격코드일부 61