ASEC Report

Transcription

1 1. 악성코드 메신저관련악성코드와테러뉴스를위장한월덱 (Waledac) 변형 스파이웨어 애드웨어들간의전쟁 (AdWars) 시큐리티 컨피커 (Conficker) 웜의세번째공격 네트워크모니터링현황- MS 취약점의위험성지속 중국보안이슈 해외기관을공격하는 GhostNet 발견 악성코드의국지성 악성코드통계 스파이웨어통계 시큐리티통계 사이트가드통계 악성코드 1분기이슈 스파이웨어 1분기이슈 시큐리티 1분기이슈 중국 1분기악성코드동향 읷본 1분기악성코드동향 세계 1분기악성코드동향... 64

2 I. 이달의보안이슈 1. 악성코드 메신저관련악성코드와테러뉴스를위장한월덱 (Waledac) 변형 국내에많은사용자를가진국산메신저프로그램을이용하여자신을전파하는악성코드변형이발견, 보고되었다. 메신저는메일과달리실시간으로수신자의응답이가능하므로빠르게확산되는특징이있어주의가요구되었다. 1, 2월맹위를떨친 Conficker 는세번째변형이 3월초발견, 보고되었다. 이전변형과달리백신프로그램 ( 안티바이러스 ) 과같은특정프로세스의동작을방해하는증상을가지고있었다. 또한그동안변형이많이보고된월덱 (Waledac) 의경우테러뉴스를위장한형태로메일로전파되어매스컴등에서이슈가되기도하였다. (1) 메신저관련악성코드 Win-Trojan/Natice 라고명명된이악성코드는작년부터변형이조금씩보고되고있다. 국 내에많은사용자들이사용하는유명메신저를통해서다양한방법으로전파되는특징이있 다. 예를들어일반적으로사용자가속기쉽도록그림파일인것처럼위장을하기도하고또 는대범하게직접다운로드링크를버디리스트로메시지를보내기도한다. 2 또한해당악성코드는자신의진단을방해할목적으로국내에잘알려진백신프로그램 ( 안티 바이러스 ) 관련파일및프로세스, 서비스등을동작하지못하도록방해하는증상을갖는또 다른악성코드를설치하기도한다. 이렇듯올한해지금까지외산메신저나관련서비스의계정을노리는악성코드가유행했었다면앞으로는국내 SNS 와메신저프로그램의사용자계정을노리는형태가증가할것으로예상한다. 특히훔쳐낸계정으로는마치지인으로위장하여버디리스트로부터금전을요구하는형태와같은사기를칠수있기때문에보이스피싱뿐만아니라메신저로유사한형태의행위에도주의가요구된다. (2) 컨피커 (Conficker) 웜의세번째변형발견및보고 3월초컨피커 (Conficker) 웜의또다른변형소식이감지되었으며국내에도곧유입되었다. 특히이번변형의경우안티바이러스및윈도우보안패치와같은특정프로세스에대한강제종료기능과 2009년 4월 1일특정한알고리즘에의한도메인을생성후이중 500개에대하여랜덤하게접속하여특정한파일을다운로드하는증상이파악되었다. 이중특정

3 프로세스의목록은다음과같다. [ 그림 1-1] 컨피커 (Conficker) 웜에취약한시스템및안전한시스템 이처럼컨피커 (Conficker) 웜의세번째변형은자신을보호하고사용자가패치파일을실행하지못하도록방해를하고있다. 컨피커 (Conficker) 웜은다음의 [ 그림 1-2] 와같은형태로전파되므로최신보안패치와강력한윈도우공유폴더암호그리고최신엔진의안티바이러스와같은보안제품만을기본적으로지킨다면별다른대책이없이도안전한컴퓨팅환경을보장받을수가있다. 3 [ 그림 1-2] 컨피커 (Conficker) 웜에취약한시스템및안전한시스템 (3) 테러뉴스를가장한월덱 (Waledac) 웜변형 각국도시에테러가발생한것처럼로이터통신사뉴스로위장하여잘알려진 Win32/Waledac.worm 변형이발견, 보고가되었다. 메일에서 GeoIP ( 지역별 IP) 를사용하여 메일을읽은사용자의 IP 를기반으로지역별도시명으로보여주는데다음과같다.

4 [ 그림 1-3] 테러뉴스로가장한월덱 (Waledac) 웜관련메일 동영상을보기위해서마치 Flash Player 를다운받도록위장하는데월덱 (Waledac) 웜변형이므로주의가요구되었다. 전세계적으로테러의위협이높은가운데악성코드제작자들은이처럼신뢰할만한통신사의뉴스로위장하고특히 GeoIP 를사용하여마치메일을읽은사용자의지역에테러가발생한것처럼속이는등날로사용자로부터악성코드를실행하도록유도하고지능적으로변모해가고있다. 4

5 2. 스파이웨어 애드웨어들간의전쟁 (AdWars) 내집안방에서모르는이들이서로싸움을벌이면서방안의가구와집기들을부숴버린다면 집주인인나는어떤기분이들까? 최근국내애드웨어간의싸움으로인해애꿎은사용자 들이피해를입고있어문제가되고있다. 물론여기서의싸움은주먹이오가는싸움은아니다. 국내온라인전자상거래가활성화되면 서리워드프로그램과키워드프로그램의수익성이좋아지자많은업체들이서로사용자의 PC 에설치되어동작하고자싸움을벌이고있는것이다. 5 [ 그림 1-4] 수많은리워드 / 키워드서비스 리워드 / 키워드프로그램은사용자가입력한웹사이트의주소를가로채어자신의제휴마케팅코드가삽입된다른주소로변경하고변경된주소를해당제휴마케팅사이트또는인터넷쇼핑몰에전달하는식으로동작한다. 이렇게함으로써애드웨어제작업체는제휴마케팅사이트로부터일정의수수료를챙길수있게된다. 그런데만약사용자의 PC에리워드 / 키워드프로그램이여러개가설치되어있다면어떻게될까? 리워드 / 키워드프로그램이두개가설치되어있던, 열개가설치되어있던간에, 결국사용자에게보여지는웹사이트는하나일수밖에없다. 따라서단하나의프로그램만이수수료를챙길수있는것이다. 바로이러한이유때문에리워드 / 키워드프로그램들간의전쟁은불가피하다. 최근 Win-Adware/IEShow 가감염된 PC 에서일부프로그램들이정상적으로동작하지않는

6 다는고객신고가다수접수되었다. 문제를확인해보니 Win-Adware/IEShow 가시스템을감 시하여다른리워드 / 키워드프로그램이동작하지못하도록하고있었다. 그런데문제는애드 웨어뿐만아니라정상프로그램마저실행이차단되는것이었다. [ 그림 1-5] 시스템에등록되어있는 BHO [ 그림 1-6] BHO 에연결된 DLL 대부분의리워드 / 키워드프로그램은 IE(Internet Explorer) 에 ToolBar나 BHO(Browser Helper Object) 로등록되어동작한다. Win-Adware/IEShow는바로이점을악용하여다른프로그램의동작을차단한다. 먼저 [1-5] 과같이시스템에등록된 BHO를확인하고, 자신이갖고있는 CLSID(White List) 와비교하여 White List에없는 BHO는모두차단한다. 그리고차단한 BHO와연결된 DLL 파일의경로를알아내어그폴더하위에서실행되는모든프로세스까지차단하도록동작한다. 6 만약 [ 그림 1-6] 의 {5C255C8A-E604-49b4-9D CECB} CLSID가 White List에등록되어있지않다면 C:\Program Files\Windows Live\Messenger 아래에서실행되는모든프로세스는동작하지않게되어사용자는 MSN 메신저를사용할수없는결과를초래할수있다. BHO로등록되어동작하는프로그램중에는 Adobe PDF Reader Link Helper, SnagIt Toolbar Loader, Java Plug-In SSV Helper 등과같이리워드 / 키워드프로그램이아닌것들도다수가존재하는데만약이러한프로그램들이 Win-Adware/IEShow에서관리되는 White List에포함되어있지않다면실행이안되는문제가발생한다. 실제, 다수의고객 PC 에서이러한문제로인하여일부프로그램의실행이불가한것을확인하였으며 Win- Adware/IEShow를완전히제거한후문제는해결되었다.

7 과거의경우에도리워드 / 키워드프로그램이경쟁사제품의동작을방해하는경우는종종발견되었으나대개는지정된 Black List만차단하는식이었기에다른정상프로그램에미치는피해는거의없었다. 그러나 Win-Adware/IEShow와같이 White List에등록된것만허용하는식은모든정상프로그램에대한목록을갖고있을수는없기에대단히위험한방법이며사용자에게큰불편을초래할수있다. 7 [ 그림 1-7] 무료프로그램업데이트와같이설치되는애드웨어 리워드 / 키워드프로그램과같은애드웨어들은지난 2월 ASEC Report 스파이웨어보안이슈 에서소개한바와같이주로무료프로그램의번들형태로설치가된다. Win- Adware/IEShow도이와마찬가지로인터넷에서 TV방송을무료로볼수있도록해주는프로그램을통해번들로설치가된다. 더욱이 3월들어 Win-Adware/IEShow로인한피해가급증한탓은 WBC와같은스포츠경기가평일낮시간에중계됨에따라인터넷실시간 TV 시청프로그램에대한수요가급증하였기때문으로보고있다. Win-Adware/IEShow와같은프로그램이설치되는것을막기위해서는무료프로그램과같이검증되지않은프로그램을설치하기전에어떠한것들이설치되는지면밀히확인해보는사용자의주의가반드시필요하겠다.

8 3. 시큐리티 컨피커 (Conficker) 웜의세번째공격 (1) 일반어플리케이션취약점정보 2009년 3월언더그라운드보안그룹및연구자에의해발표된취약점공격코드 1 의개수는총 69개이며, 취약점원인별로분류하면 [ 그림 1-8] 그래프와같다. 이들취약점중 50% 이상이메모리오버플로우오류로인한코드실행취약점이다. 몇년전부터널리알려진메모리오버플로우의문제점은현재까지도어플리케이션취약점의대부분을차지하고있다. 이는어플리케이션개발단계에서보안감사가아직도부족하다는것을의미하며해당과정에서의검증절차가보다철저해져야한다는것을의미한다. 또한, 메모리오버플로우취약점관련어플리케이션중대부분이 NullSoft Winamp 등과같이멀티미디어개체의재생과관련된프로그램으로서, 최근이러한멀티미디어관련애플리케이션의활용도가높아짐에따라사용자들은이들어플리케이션들이항상최신버전을유지하도록해야한다. 메모리 36% 58% 오버플로우 권한상승 기타 8 6% [ 그림 1-8] 어플리케이션취약점분류 30% 멀티미디어재생 70% 기타 [ 그림 1-9] 메모리오버플로우어플리케이션 1 기준 :

9 (2) 컨피커 (Conficker) 웜의세번째공격 이미일천만대이상의 PC가감염된것으로알려진컨피커 (Conficker) 웜의세번째변형 (Conficker.C) 이 2009년 3월 4일발견되었다. 이웜은내부구조분석상 4월 1일만우절을기점으로다수의동적생성도메인으로부터악성코드를다운받는형태로구현되어있는것으로파악되었고, 많은업체들이이웜의피해를최소화하기위해지속적으로모니터링을수행하였다. 현재 4월 1일만우절이지났음에도불구하고, 해당웜으로인한우려했던큰피해는없는것으로추정되고있다. Conficker.C 는두번째변형인 Conficker.B 와대략 15% 의유사성을띠고있으며, 크게다 음과같은부분으로나눌수있다. 9 [ 그림 1-10] Conficker.B VS Conficker.C ( 가 ) 레지스트리및파일생성컨피커 (Conficker) 웜이실행되면, DLL을임의의이름으로 system32 폴더에복사한후레지스트리를수정하여감염된 PC가부팅을할때해당 DLL 파일을 netsvsc.exe 프로세스나, svchost.exe 프로세스에인젝션할수있도록한다. ( 나 ) Anti-virus 등보안제품강제종료 Anti-Virus 제품이해당웜을탐지하고시스템을보호하는것을막기위해다음과같은호스트의 DNS 정보를조작한다. 그리고운영체제가자동으로업데이트를못하도록변경하며, 호스트에서실행되고있는프로세스를주기적으로감시하고프로세스의이름에특정한문자열이포함되어있으면컨피커 (Conficker) 웜을제거하기위한것프로세스라고간주하여해당프로세스를강제종료한다. 또한운영체제의방화벽을동작불능상태로만든다. symantec avira hauri safety.live sunbelt avgate hacksoft rootkit spyware avast hackerwatch securecomputing spamhaus arcabit grisoft ahnlab

10 [ 표 1-1] DNS 조작에사용되는호스트들 이름 Autoruns Avenger Confick downad 용도악성코드제거툴 Anti virus / 방화벽컨피커 (Conficker) 웜제거프로그램컨피커 (Conficker) 웜제거프로그램 [ 표 1-2] 프로그램강제종료에사용되는문자열들 ( 다 ) P2P(Peer to Peer) 컨피커 (Conficker) 웜은페이로드를전송하기위해클라이언트와서버로동작할수있도록제작되었다. 이웜은 2개의 UDP 포트와 2개의 TCP 포트를사용한다. 컨피커 (Conficker) 웜은페이로드를주고받고다운로드받은페이로드를검증하는것이외에 UDP 스캔을통해서해당 P2P 네트워크를검색한다. 10

11 4. 네트워크모니터링현황 - MS 취약점의위험성지속 네트워크모니터링현황은 3월호부터정확한추세분석을위해분기별로제공하는것으로변경하였다. 그첫번째로올해 1분기동안네트워크모니터링시스템으로부터탐지된트래픽현황에대해정리해보고자한다. 아래 [ 그림 1-11] 과같이 1분기에는 MS 서버서비스취약점에대한탐지이벤트가압도적 1위를차지하고있다. 해당트래픽의대부분은지난 2008년 10월말보고되어지속적으로확산되고있는컨피커 (Conficker) 웜으로부터발생되는트래픽으로추정된다. 11 [ 그림 1-11] 주요탐지이벤트현황 TOP 5 (1 분기 ) 이미해당취약점에대한마이크로소프트사로부터의보안업데이트가배포되었음에도불구 하고컨피커 (Conficker) 웜의네트워크공유폴더, USB 를통한다양한확산방식으로인하여 그피해가쉽게감소되지않고있다. 앞서언급된주요탐지이벤트들을살펴보면대부분의이벤트들이 TCP/445 포트를사용하는마이크로소프트사의취약점들로서, 과거에도 TCP/445 포트의트래픽양은지속적으로최상위공격포트를차지하였다. 최근 MS 취약점트래픽이더해져 TCP/445 포트및 TCP/139 포트의트래픽양이현저하게증가하는추세를보이고있다.

12 [ 그림 1-12 ] 상위 TOP 5 포트 (1 분기 ) 따라서, 네트워크관리자는사용자시스템의패치를권고하고방화벽과같은보안솔루션을 통해해당 TCP/139, TCP/445 포트에대한설정을강화할필요가있다. 네트워크모니터링시스템의지역성을고려하여국가별공격발생지현황을살펴보면, 한국 (KR), 말레이시아 (MY), 홍콩 (HK), 오스트레일리아 (AU), 일본 (JP), 중국 (CN) 등의국가들이차례로높은비중을차지하였다. 작년에상위권을차지하였던미국 (US), 일본 (JP) 이이번분기에는많이감소하였고, 말레이시아 (MY) 같은제 3국으로부터발생되는트래픽이증가하였다. 12 [ 그림 1-13] 공격국가별순위및비율 (1 분기 )

13 5. 중국보안이슈 해외기관을공격하는 GhostNet 발견 (1) 해외정부기관들을공격한것으로알려진중국의 GhostNet 3월 28일해외주요언론들은캐나다에서보고된하나의보고서로인해많은기사들이동시에제공되었다. 해당보고서는 Information Warfare Monitor라는캐나다토론토에위치한연구단체에서발표한 Tracking GhostNet: Investigating a Cyber Espionage Network 였으며해당보고서의주요요지는중국에의해서동남아시아를비롯한유럽등의주요정부기관및대사관의 Ghost 라는트로이목마에감염되어주요기밀정보들이외부로유출되었다는것이다. 13 [ 그림 1-14] Ghost 트로이목마에감염된국가기관위치 ( 출처 : New York Times)] 해당보고서에서는 Ghost 트로이목마에감염된시스템들은원격서버에의해서악성봇과같이네트워크를형성하고있었으며해당연구소에서조사한바에따르면총 93개국에위치한 986개의 IP들이감염되어 GhostNet을형성하고있었다고한다. 이와더불어서일부보안업체에서는 Ghost 트로이목마를제작한중국언더그라운드웹사이트와함께해당트로이목마를악용하는방법을소개한동영상까지공개를하였으나현재는모두폐쇄되었다. 이러한상황에서일부중국언더그라운드해킹팀에서는해당 GhostNet 을운영하거나이용 한악성코드제작자가누구인지를추적하는기현상까지발생하고있었다.

14 [ 그림 1-15] GhostNet 과관련된것으로추정되는중국인신상 ( 출처 : 중국언더그라운드웹사이트 ) 현재까지추적된 GhostNet 운영자는한두명에의해서운영된것이아니라하나의팀에의해서운영되었던것으로밝혀졌으며그중한명으로추정되는중국인남성의신상이 [ 그림 1-15] 와같이밝혀졌다. 해당중국인남성은 27세로사천성성도시에거주하고있는것으로밝혀졌으나현재까지실제혐의가있는지는확인되지않고있다. (2) 검색엔진을이용한취약한웹사이트검색툴 이번 3 월중국언더그라운드에서는이제까지알려진취약한웹사이트를통한 SQL 인젝션 공격을검색엔진과연동을통해보다쉽게찾아내는툴이발견되었다. 14 [ 그림 1-16] 검색엔진을이용한취약한웹사이트검색 이번에발견된검색툴은 [ 그림 1-16] 과같이미리정의된여러개의 SQL 인젝션구문을 공격자가지정하면자동으로검색엔진과연결이되면서취약한웹사이트검색이이루어지 게된다. 해당검색툴을이용해취약한웹사이트들이검색이되면동일한구문으로다른

15 SQL 인젝션공격툴을이용해손쉽게시스템의관리자권한을획득할수있게된다. 이렇게더욱손쉽게 SQL 인젝션공격을수행할수있는툴이발견되었다는것은중국언더그라운드에서는더욱자동화되고대량의공격이취약한웹사이트들을대상으로언제든지이루어질수있음을보여주는사례라고할수있다. 15

16 II. ASEC 칼럼 악성코드의국지성 2009년현재세계적으로하루에약 2-3만개의새로운악성코드가출몰하는것으로추정된다. 1년이면 730만개 ~ 1,095만개가되는엄청난수의악성코드인데이악성코드가모두사용자들에게위협이될까? 특별히위험가능성이높은악성코드는없을까? 이글에서는악성코드의국지성에대해서알아보겠다. (1) 국지성논쟁 1980년대말컴퓨터바이러스가처음등장하면서일부바이러스는세계로퍼져나갔다. 이에우리나라에도다양한국가에서제작된바이러스가유입된다. 하지만, 바이러스중여러지역으로퍼져나간바이러스보다는특정지역에만잠깐퍼졌다가사라졌거나연구목적으로작성되어일반에퍼지지않은악성코드들이많았다. 90% 이상이이런샘플들로흔히동물원 (Inthe-zoo) 샘플이라고부른다. 1996년 1월와일드리스트를보면 37명의리포터보고중 AntiCMOS.A나 AntiEXE.A 등의바이러스는무려 30 명에근접하는보고가있음을알수있다. 많은지역에서보고가있는악성코드는플로피디스크로확산되는부트바이러스들로이때만해도바이러스의주요감염경로중하나가플로피디스크였다. 16 [ 그림 2-1] 1996 년 1 월와일드리스트

17 이런국지성의붕괴는인터넷사용의확산으로발생한다. 인터넷사용자가급격히증가하기시작한 1990년대말부터악성코드제작자들은인터넷을악성코드배포에활용하기시작한다. 이에악성코드는지구한편에서제작되어반대쪽으로가는데몇초면가능하게된다. 주로뉴스그룹, 메일을통해확산되던악성코드들로상당수악성코드가다수의지역에서발견되게된다. 2001년 12월와일드리스트를보면메일로전파되는악성코드는세계여러지역에서보고되는것을알수있다. 그야말로악성코드에국경이사라진것이다. 17 [ 그림 2-2] 2001 년 12 월와일드리스트결과 하지만, 최근악성코드가예전처럼널리퍼지는경우는줄어들게된다. 와일드리스트를참 고해도악성코드가다수의지역에서보고되는경우는드물어졌다 년 2 월와일드리스 트를보면최대로많은지역에서발견된악성코드가고작 6 곳이다.

18 [ 그림 2-3] 2009 년 2 월와일드리스트 18 악성코드에게는인터넷이라는훌륭한전파방법이있고인터넷에연결된컴퓨터는더많아 졌는데왜이전보다널리퍼지는악성코드는줄어들었을까? (2) 악성코드의국지화원인 2004 년부터점진적으로시작된악성코드의국지성향이현재뚜렷해졌는데이는다음과같 은원인이존재한다. 첫째, 악성코드제작목적의변화 2003년이후악성코드제작목적은실력과시나호기심이아닌금전적이득으로목적이뚜렷해진다. 초기악성코드를이용한돈벌기는스팸메일발송과 DDoS 공격을통한협박후금품탈취였다. 이후애드웨어 (Adware) 를통한광고로돈을벌수있음에눈을뜨지만광고는필연적으로사용언어와연관이된다. 즉, 한국지역에광고하려면한국어로광고가노출되어야지영어나중국어, 일본어로노출되어봐야효과가없다. 이에지역적특색에따른

19 금전적이득방안을모색하기시작한다. 악성코드제작자들은온라인게임이활성화된국가에서는사이버머니 (Cyber Money) 나게임아이템이금전적으로거래되고있음을파악해한국산온라인게임이인기를끌고있는아시아지역은온라인게임계정탈취악성코드가유행하게된다. 상대적으로다른나라에비해인터넷뱅킹을통한금전적이득은힘들기때문이다. 상대적으로인터넷뱅킹보안이허술한남미에서는자체적으로제작되는대부분의악성코드가인터넷뱅킹을목표로제작된다. 이렇게악성코드들이국가혹은지역에맞게맞춤형으로제작되고있다. 둘째, 악성코드유형의변화 2000년이전만해도악성코드의상당수가다른파일을감염시키는바이러스나웜이었다. 하지만, 현재악성코드중자체전파기능이없는트로이목마류가 70% 를차지하며여기에광고목적으로제작되는애드웨어를포함하면전체악성코드의약 70-80% 가자체전파기능이없는악성코드들이차지하고있다. 자체전파기능이없는트로이목마는한번배포이후에는다른시스템을재감염되는가능성이낮다. 셋째, 악성코드배포방식의변화 19 과거악성코드전파방법은메일, 네트워크가대부분이었다. 하지만, 최근악성코드배포방법은웹사이트를해킹한후취약점을공격하는코드를삽입후사용자가해당웹사이트를방문할때악성코드가설치하는방법이많이사용되고있다. 웹사이트를통한공격역시필연적으로언어에종속된다. 사용자들이자신이사용하는언어로작성된웹사이트에방문할가능성이높다. 넷째, 환경의변화 공격을위해시스템을감염시킬경우과거보다시스템이나네트워크환경이좋아져서몇 천대에서몇만대혹은심지어몇백대만으로도소규모웹사이트공격이가능해져굳이많 은시스템을감염시킬필요가없다. 오진 (False Positives) 은줄여서 FP로표현하거나 False Alarm 과같은표현도사용하며사전적의미로는 긍정오류, 양성오류 로해석되며흔히 오진, 오탐 으로부른다. 보안프로그램에서오진은정상을비정상이라고식별하는것으로스팸검사에서는정상이메일을스팸으로잘못식별하는것, 백신프로그램에서는정상프로그램을악성코드로잘못식별하는것이다.

20 (3) 국지성경향 맥아피에서 2008 년 2 월발표한 McAfee Sage(Security Vision from McAfee Avert Labs Vol 2 Issue 1) 에보면인터넷으로묶여있어도국가별로조금씩다른악성코드양상을 볼수알수있다.1 일본은자국 P2P(Peer to Peer) 서비스인위니 (Winny) 를통해전파되는악성코드가유행하고있다. 중국은 QQ 메신저라는자체메신저가전체메신저사용의 96% 이상을차지하고있어 QQ 메신저계정을탈취하는트로이목마가유행하고있다. 또한각종해킹연구등이활발하게이뤄지고있다. 20 [ 그림 2-4] 중국의메신저점유율 러시아는각종악성코드가제작되고판매되고있으며브라질등을포함한남미에서는인터넷뱅킹계정탈취트로이목마가극성이다. 특히최근남미의인터넷뱅킹계정탈취트로이목마는악성코드제작자들이협력해다국적으로실행될수있게개선되기도했다고한다. 남미는포르투갈어를사용하는브라질을제외하고스페인어를사용하는데악성코드가접속하는사용하는언어를인식해필요한언어를보여준다고한다. 자료에서한국은빠져있지만한국은온라인게임계정탈취트로이목마등의중국에서제작 된악성코드가유행하고있는특징이있다. 1

21 (4) 지역샘플문제 백신프로그램이지역샘플에약한가하는이슈가있다. 빠르게전파되는악성코드의경우글로벌업체뿐아니라로컬업체들도샘플을빨리입수 할수있다. 하지만, 해당지역정보를빨리입수하지못하면특정지역에서만문제가되는 악성코드의경우빠르게대처하기힘들수도있다. 예를들어실제보다과장되긴했지만흔히 2090 바이러스로알려진에임봇 (Win32/AimBot.worm.15872) 의경우우리나라에발견된게 2009년 2월 9일이며 2월 10일부터감염보고가증가했다. 하지만, 2월 10일당시이악성코드를진단하는백신제품은 10 여개뿐이었으며다음날인 2월 11일에 18개, 2월 12일에도 40개제품중절반인 21개정도였다. 악성코드샘플자체는여러경로로백신업체로전달되었지만수많은악성코드가접수되어처리가늦어진것으로보인다. 특히이악성코드는한국에서만짧은시간에퍼졌다가사라진것으로보인다. 반대로특정지역에서짧은시간에확산되고사라지는샘플의경우국내에는모르고지나칠수도있다. 이에백신업체는각국의정보를수집하기위해노력하고있다. 21 (5) 결론 악성코드는계속변화하고있다. 도스바이러스는윈도우가등장하면서사라졌으며폭발적으로증가하던매크로바이러스나메일로전파되던대량메일전파악성코드수가미미할정도로줄어버렸다. 현재는국지화와다량의악성코드를계속짧게치고빠지는공격이대체적이지만언제까지이와같은추세로유지될지는알수없다. 환경변화에따라악성코드는언제든변모할수있다. 예를들어인터넷뱅킹을통해다른국가은행에도자금이체가가능해지고방식이동일하다면악성코드제작자는다시특정지역에특화된악성코드가아닌세계를상대로한악성코드전파방안을모색할것이다. 악성코드제작자들은지역성에맞게악성코드를계속개선하고있다. 초보적단계이지만 IP 를확인해메일내용에해당지역의지명이들어가는등의형태로사용자들의호기심을이용하거나다국어를지원하는형태도존재한다. 국내사용자를목표로제작되는악성코드역시국내에서많이사용되는메신저를목표로하고국내에서많이접속하는웹사이트를해킹하기위해노력하고있다. 이런악성코드의국지성이장기적인현상일지일시적현상일지는계속지켜봐야할것으로 보인다.

22 III. 이달의통계 1. 악성코드통계 ( 가 ) 3 월악성코드피해통계 순위 악성코드명 건수 비율 1 new Win-Trojan/Backdoor % 2 new Win32/Autorun.worm % 2 new Win32/Spammer.worm % 4 new Win-Trojan/Downloader H % 5 new Win32/Autorun.worm % 6 new Win-Trojan/Agent IG 4 8.7% 7 new Win-Trojan/Bagle D 4 8.7% 7 new Win-Trojan/Webdor % 9 new Dropper/Agent % 10 new Dropper/Agent J 3 6.5% 합계 % 22 [ 표 3-1] 2009 년 2 월악성코드피해 Top 10 순위 악성코드명 건수 비율 1 new Dropper/Agent % 1 new Dropper/OnlineGameHack % 1 new Win-Trojan/Agent B % 1 new Win-Trojan/Autorun E % 2 new Win-AppCare/HackTool % 3 new Win32/IRCBot.worm AI 7 9.1% 3 new Win-Adware/Elog % 3 new Win-AppCare/Agent.8704.B 7 9.1% 4 new Dropper/OnlineGameHack % 4 new Win-Downloader/Rogue.XPPoliceAntivirus % 합계 % [ 표 3-2] 2009년 3월악성코드피해 Top 10

23 [ 표 3-1] 은 2009 년 2 월악성코드피해 Top 10 이며, [ 표 3-2] 는 2009 년 3 월악성코드로 인한피해 Top 10 을나타낸것이다. 3월 Top 10에서특이할만한것은 Top 10 중 Win-AppCare( 이하유해가능프로그램 ) 가 Top 10의 2자리를차지한것이다. 이중 Win-AppCare/HackTool.13531은단독으로동작이불가한유해가능프로그램이며, Dropper/OnlineGameHack E와 Dropper/OnlineGameHack B에서생성및실행되며, Arp Spoofing을수행할수있는자체명령을가지고있다. Zx0000.exe -idx 0 -ip port 80 -insert "<iframe src='xx' width=0 height=0>" Zx0000.exe -idx 0 -ip , spoofmode 3 -postfix ".exe,.rar,.zip" -hackurl -filename test.exe Zx0000.exe -idx 0 -ip port 80 -hacksite , -insert "just for fun<noframes>" [ 참고 3-1] Win-AppCare/HackTool 에내장된명령어예시 23 Win-AppCare/Agent.8704.B는치료이슈가있는악성코드로서익스플로러 (explorer.exe) 프로세스에악성코드원본을핸들로등록하여실행시킨다. 핸들이오픈되는경우핸들을끊거나핸들로등록시킨선행프로세스를종료해야완전한치료가가능하다. 치료방법은 V3치료옵션에서쉘코드종료후치료로변경하여수동검사하면완전히삭제되며, 두번째는 V3 로수동검사하여악성코드치료선택창이자동으로열릴때치료후재부팅을선택하여치료하면완전한치료가가능하다. [ 그림 3-1] Win-AppCare/Agent.8704.B 가익스플로러프로세스에인젝션된경우

24 특이한악성코드로 Win-Downloader/Rogue.XPPoliceAntivirus.52230를 Top10에확인할수있다. 해당악성코드는가짜백신프로그램인페이크안티바이러스 (FakeAV) 변종이다. 또한한동안잠잠하던 Win32/IRCBot.worm의 Top 10 진출도눈에띈다. 간과해선안될것은각종 Trojan만이정보유출과연관되는것이아니다. 특정 IRC 서버의채널에접속하여오퍼 ( 방장 ) 가내리는명령에따라다양한악의적인기능이수행될수있으므로 Win32/IRCBot.worm 또한다양한정보유출과연관성을가질수있다. 아래의그림과표는변형악성코드를묶어서대표진단명을기준으로통계를뽑은것이며, 개별악성코드통계보다전체적인악성코드통계양상을알수있다. 이는많은변형의출현및빠른악성코드엔진대응으로개별악성코드생명주기가짧아져서이를보강하기위해참고로작성한것이다. 4% 3% 2% Win-Trojan/Downloader 3% Win-Trojan/Agent 5% Win-Trojan/OnlineGameHack 7% 32% Win-Downloader/Rogue.XPPoliceAntivirus Dropper/OnlineGameHack 24 11% Dropper/Agent Win-Trojan/Zbot 14% 19% Win-Trojan/Fakeav Win-Downloader/Rogue.FakeAV Win32/IRCBot.worm [ 그림 3-2] 2009 년 3 월악성코드대표진단명 Top 10

25 순위 악성코드명 건수 비율 1 4 Win-Trojan/Downloader % 2 1 Win-Trojan/Agent % 3 2 Win-Trojan/OnlineGameHack % 4 new Win-Downloader/Rogue.XPPoliceAntivirus % 5 4 Dropper/OnlineGameHack % 6 5 Dropper/Agent % 7 - Win-Trojan/Zbot % 8 9 Win-Trojan/Fakeav % 9 new Win-Downloader/Rogue.FakeAV % 10 new Win32/IRCBot.worm % 합계 2, % [ 표 3-3] 월악성코드대표진단명 Top 10 [ 그림 3-2] 과 [ 표 3-3] 은 월악성코드의대표진단명을기준으로유형별피해순위 Top 10 을나타내고있다. 25 3월악성코드대표진단명 Top 10을살펴보면지난달과마찬가지로 OnlineGameHack이많은비율 (3위와 5위에링크되어있으며, 그비율의합은 20.8%) 을차지하고있다. 두드러진변화는 1월에순위에진입하여 2월에 6위까지올랐던오토런 (Autorun) 웜은 3월 Top10 순위에서사라졌다. 이는보안패치설치및백신의최신엔진업데이트, USB Guard 설치등일반사용자보안의식발전결과로보여진다. 가짜백신프로그램인페이크안티바이러스 (FakeAV) 는 9위에서한단계올라 8위로상승했으며, 또다른변종가짜백신프로그램인페이크안티바이러스 (Win-Downloader/Rogue.XPPoliceAntivirus) 도새로진입하여 4위를차지했다. 가짜백신프로그램은사용자가설치및검사하지않았음에도허위로진단하여마치시스템에많은악성코드를진단한것처럼보여주어온라인결제를유도하는금전적인목적이있다. 3월악성코드 Top10 에진입한 Win32/IRCBot.worm은대표진단명 Top10에서도확인할수있다. 이런 Win32/IRCBot.worm를사전에방지하기위해서는최신보안패치와함께관리계정의비밀번호를영문, 숫자, 특수문자의조합하여웜의침입을막는노력이필요하다. 아래의 [ 그림 3-3] 은 2009년 3월전체악성코드유형별피해신고건수를나타내고있는그래프이다. 트로이목마프로그램은 77% 로다른악성코드보다월등히많은비율을차지하고있으며, 드롭퍼와웜이각각 9% 와 8% 를차지하고있으며, 그뒤를이어스크립트 3%, 유해가능프로그램이 3% 를차지하고있다. 저번달과동일하게바이러스는 0.1% 로극히낮

26 은비율을유지하고있다. 8% 3% 0% 3% 9% 트로이목마스크립트드로퍼웜유해가능프로그램바이러스 77% [ 그림 3-3] 2009 년 3 월악성코드유형별피해신고비율 3 월 2 월 바이러스유해가능프로그램웜드롭퍼드로퍼스크립트트로이목마 0.10% 0.2% 3.10% 1.7% 7.70% 11.8% 9.00% 9.5% 3.50% 4.1% 76.60% 72.7% 26 [ 그림 3-4] 2009 년 3 월악성코드유형별피해신고비율전월비교 위의 [ 그림 3-4] 은전월과비교한악성코드유형별피해신고를나타낸것이다. 증가한것은트로이목마의경우전월과비교하여 3.9% 가늘어났으며, 웜은 8.8% 로전월에비해 4.1% 가줄어들었다. 드롭퍼는 9% 로전월에비해소폭감소하였으며, 스크립트, 유해가능프로그램과바이러스는약간의수치차이는있겠으나전월과많은차이가없었다.

27 5,000 4,000 3,000 2,996 3,559 4,114 2,000 1,000-1 월 2 월 3 월 [ 그림 3-5] 월별피해신고건수 27 [ 그림 3-5] 는월별피해신고건수를나타내는그래프로작년 12월에서 1월에는중국춘절의영향으로중국발악성코드가다소감소하였다가춘절연휴가끝난 2월에피해가증가하다가 IRCBOT 및가짜백신프로그램의배포가활발해짐에따라 3월에도계속늘어나고있다. 사전에방지하기위해서는최신보안패치와함께관리계정의비밀번호를영문, 숫자, 특수문자의조합하여시스템취약점을보완하고가짜백신프로그램등의설치를막기위해신뢰할수없는메일은가급적읽지말고삭제해야한다. (1) 국내신종 ( 변형 ) 악성코드발견피해통계 3 월한달동안접수된신종 ( 변형 ) 악성코드의건수및유형은 [ 표 3-4] 과같다. 월 트로이목마 드롭퍼 스크립트 웜 파일 유해가능 합계 01 월 월 월 [ 표 3-4] 2009년최근 3개월간유형별신종 ( 변형 ) 악성코드발견현황 이번달악성코드유형은전월대비 17% 감소하였다. 대부분의악성코드유형에서감소가 있었다. 위분류에는표시되지않았지만지난 2 월중 PDF Zero-Day 취약점발견의영향 과이전에알려진 PDF 취약점을이용한형태의악의적인 PDF 관련샘플의접수는소폭증

28 가하였다. 트로이목마유형의경우지난달증가했지만이번달은 18% 감소가있었다. 대부분 Agent, Downloader, FakeAV 등이많이감소하였다. 드롭퍼유형도소폭감소하였고스크립트유형의경우취약점을이용한형태는감소한반면에오토런 (Autorun) 증상을갖는스크립트유형은늘어난편이다. 웜유형은 1, 2월달컨피커 (Conficker) 웜변형으로인해증가하다가 3월에는감소하는추세이다. 이렇듯악성코드는전체적으로감소했지만그원인을뚜렷하게추정하기는어렵다. 다만컨피커 (Conficker) 웜변형과 PDF 취약점을이용한악성코드그리고온라인게임의사용자계정을훔쳐내는악성코드는끊임없이변형이발견및피해를많이입혔다. 또한트로이목마유형중스팸메일러증상을가지며자신을숨기며은밀하게동작하는은폐및자기보호악성코드의피해는늘어나고있다. 이와같은악성코드는아직특정악성코드들만해당되고그수는아직많지는않다. 그러나감염된경우진단 / 치료하기가복잡하고어렵기때문에그피해는상상을초월한다. 따라서단지적은수가보고되었다고해서이러한악성코드로부터안전하다고생각하는것은금물이다. 다음은이번달악성코드유형을상세히분류하였다. 28 트로이목마드롭퍼스크립트웜 (AutoRun) 웜 ( 메읷 ) 웜 (IRC) 취약점 ( 문서 ) 유해가능웜 (Exploit) 웜 (SNS) 웜 (P2P) 웜 ( 메신저 ) 파읷 ( 바이러스 ) 1.4% 0.4% 0.4% 0.2% 0.1% 2.4% 1.6% 2.6% 4.3% 1.2% 0.1% 12.7% 72.7% [ 그림 3-6] 2009 년 03 월신종및변형악성코드유형

29 트로이목마유형은전월대비 18% 감소하였다. 위에서언급했듯이지난달에큰폭으로 상승했던다음과같은유형의트로이목마가감소하였다. - Win-Trojan/Agent - Win-Trojan/Downloader - Win-Trojan/FakeAV 반면지난달감소했던온라인게임의사용자계정을훔쳐내는악성코드유형은 25% 가량증가하였다. 증가원인역시뚜렷하지않다. 그러나샘플외형의특징은크게 2가지로나누어볼수있다. 첫번째는백신프로그램에의한진단을회피할목적 ( 더정확히는안티에뮬레이팅기법 ) 을가진특정형태의실행압축형태와두번째는실행압축이안되거나잘알려진공개도구를이용하여실행압축된형태라는것이다. 이모두진단을회피할목적으로사용되었다. 29 드롭퍼유형은 9% 정도감소하였다. 드롭퍼역시 Agent, Downloader가감소하였고온라인게임관련드롭퍼는소폭증가하였다. 스크립트유형은전월대비 47% 감소하였다. 인터넷익스플로러취약점관련코드를갖는악의적인스크립트유형은감소의영향이컸다. 반면 VBS로만들어진웜유형은소폭증가하였고관련피해문의도늘어나는추세이다. 웜유형은 1, 2월컨피커 (Conficker) 웜변형이급속히발견되었다가백신프로그램업체를비롯한보안업체등의대응으로꾸준히감소추세를보였다. 그러나 3월초컨피커 (Conficker) 웜에대한 3번째변형이나타나기시작했고글을작성하는현재까지도관련변형이속속보고가되고있다. 컨피커 (Conficker) 웜이사용한 MS 취약점의영향인지는몰라도 IRCBot 웜유형은지난달만큼의발견, 보고는아니지만근래들어서작년과비교하여발견건수가늘어난편이다. 유해가능프로그램으로는프록시류, 취약점도구류등이주로보고되었으며바이러스유형은 2월과마찬가지고 Win32/Virut 바이러스변형이계속적으로보고되었다. 이바이러스의경우안티바이러스진단을회피할목적으로계속적인변형이나오고있어한동안은변형이꾸준히보고될것으로전망된다. 다음은최근 3 개월간신종및변형악성코드분포이다.

30 /01 월 09/02 월 09/03 월 [ 그림 3-7] 2009 년최근 3 개월간악성코드분포 지난달과마찬가지로취약점을이용한악성코드외에는전체적으로감소했으며트로이목마의경우 1월과비슷한수치로보고되었다. 특히취약점이포함된악의적으로만들어진문서류가늘어나는원인으로는대부분윈도우및인터넷익스플로러보안외에는무관심한편이며또한특정인또는기관등을타켓으로공격하는스피어피싱에서주로취약점이포함된문서를메일로보내어사용자로하여금오픈하도록유도하는형태등에주로사용되기때문에관련악성코드증가하는추세이다. 30 다음은온라인게임의사용자계정을탈취하는악성코드의추세를살펴보았다.

31 월 2 월 3 월 [ 그림 3-8] 온라인게임사용자계정탈취트로이목마현황 31 관련악성코드는전월대비 25% 가량상승하였다. 샘플이증가한원인은명확하지는않다. 보통취약점을포함하는스크립트유형등이증가하면관련샘플도증가하는편이지만이번달의경우스크립트유형의악성코드는감소한반면해당트로이목마와드롭퍼는소폭증가하였다.

32 2. 스파이웨어통계 (1) 3 월스파이웨어피해통계 순위 스파이웨어명 건수 비율 1 New Win-Downloader/Rogue.FakeAV % 2 New Win-Downloader/Rogue.FakeAV % 3 New Win-Downloader/Loa % 4 New Win-Adware/Elog % 5 New Win-Downloader/FakeAV % 6 New Win-Dropper/IETimber % 7 New Win-Downloader/Zlob B 5 9% 8 New Win-Adware/IEShow % 9 New Win-Adware/IEShow B 5 7% 10 New Win-Adware/Rogue.AntiVirus % 합계 % [ 표 3-5] 2009년 3월스파이웨어피해 Top % 8% 5% Win-Downloader/Rogue.FakeAV Win-Downloader/Rogue.FakeAV % Win-Downloader/Loa Win-Adware/Elog % 15% Win-Downloader/FakeAV Win-Dropper/IETimber % 9% 11% 11% Win-Downloader/Zlob B Win-Adware/IEShow Win-Adware/IEShow B Win-Adware/Rogue.AntiVirus [ 그림 3-9] 2009 년 3 월스파이웨어피해 Top 년 3월스파이웨어피해 Top 10에서는지난 2월에비해국산스파이웨어의피해가감소한것으로나타난반면허위백신을설치하는다운로더페이크안티바이러스 (Win- Downloader/Rogue.FakeAV) 의피해신고가증가했다. 다운로더페이크안티바이러스는해

33 킹된사이트의게시판이나다른다운로더에의해감염된다. 특히크립터 (Win- Spyware/Crypter) 에의해설치가되거나월덱 (Win-Spyware/weldac) 이설치유도를할때다운로드받아진다. 다운로더페이크안티바이러스의경우동일한다운로드경로에서계속해서변형을생성하기때문에수많은변형이발견되고있다. 1월부터계속해서스파이웨어피해 Top 10에등록되는아이쇼유 (Win-Adware/IEShow) 의경우피해건수는줄었으나 3월에도꾸준히피해를입히는것으로확인되었다. 아이쇼우의경우리워드프로그램에의해설치되어다른프로그램의정상적인동작을방해하는기능이추가되었다. 순위 대표진단명 건수 비율 1 Win-Downloader/Rogue.FakeAV 95 23% 2 Win-Spyware/Crypter 94 23% 3 Win-Adware/IEShow 86 21% 4 Win-Spyware/PWS.OnlineGame 42 10% 5 Win-Dropper/PWS.OnlineGame 23 6% 6 Win-Adware/Elog 19 5% 7 Win-Spyware/TDSS 15 4% 8 Win-Downloader/Zlob 13 3% 33 9 Win-Spyware/Agent 13 3% 10 Win-Spyware/Xema 11 3% 합계 % [ 표 3-6] 3 월대표진단명에의한스파이웨어피해 Top10 [ 표 3-6] 은변형을고려하지않은대표진단명을기준으로한피해건수이다. 지난 2월대표진단명에의한피해건수 1위에올랐던아이쇼우는 3위로두계단하락했지만여전히 86건이라는많은피해건수를기록하고있다. 2009년 3월에가장피해를입히는다운로더로그페이크안티바이러스는동일한배포사이트에서지속적으로변형을생산하기때문에앞으로도많은변형이발생할것으로예상된다 년 3 월유형별스파이웨어피해현황은 [ 표 3-7] 과같다. 구분 스파이 웨어류 애드 웨어 드롭퍼 다운 로더 다이 얼러 클리커 익스 플로잇 AppCare Joke 합계 1월 월 월 [ 표 3-7] 2009년 3월유형별스파이웨어피해건수

34 2009년 3월의경우지난 1,2월에비해전반적으로피해건수가다소준것으로나타난반면익스플로잇의경우 4건의피해신고가확인되었다. 피해신고가접수된익스플로잇의경우국내모항공사의웹사이트가변조되어아이프레임 (iframe) 을삽입해악성코드를배포하는스크립트로확인되었다. (2) 3 월스파이웨어발견현황 3 월한달동안접수된신종 ( 변형 ) 스파이웨어발견건수는 [ 표 3-8], [ 그림 3-10] 와같다. 구분 스파이 웨어류 애드 웨어 드롭퍼 다운 로더 다이 얼러 클리커 익스 플로잇 AppCare Joke 합계 1월 월 월 [ 표 3-8] 2009년 3월유형별신종 ( 변형 ) 스파이웨어발견현황 0% 3% 0% 0% 0% 34 30% 11% 28% 28% 스파이웨어류애드웨어드롭퍼다운로더다이얼러클리커익스플로잇 AppCare 조크 [ 그림 3-10] 2009 년 3 월발견된스파이웨어프로그램비율 3월에는전반적으로피해건수가줄어든것으로확인되고있으며, 특히애드웨어와다운로더의비율이많이줄어들었다. 신종 ( 변형 ) 다운로더의피해건수가줄어든것은많은변형을배포하는다운로더페이크안티바이러스의신고는증가했으나, 실제코드가대부분유사해 V3에서는동일한진단명으로진단되어변형으로카운트가되지않는경우가많아졌기때문이다.

35 3. 시큐리티통계 (1) 3 월마이크로소프트보안업데이트현황 마이크로소프트사는 3 월에긴급 (Critical) 2 건, 중요 (Important) 1 건으로구성된총 3 건의보 안업데이트를발표하였다. 35 [ 그림 3-11] 2009 년 3 월 MS 보안업데이트현황 위험도 취약점 PoC 긴급 (MS09-006) Windows 커널의취약점으로인한원격코드실행문제점 무 긴급 (MS09-007) SChannel의취약점으로인한스푸핑허용문제점 무 중요 (MS09-008) DNS 및 WINS 서버의취약점으로인한스푸핑허용문제점 무 [ 표 3-9] 2009년 03월주요 MS 보안업데이트 지난달과마찬가지로이달에도 MS사로부터배포된보안업데이트는그수가많지않았다. 또한, 모든취약점들이공개된공격코드 (Exploit) 가보고되지않았기때문에해당취약점악용을통한피해사례는드물것으로예상된다. 그러나, 웹상에서는여전히 MS 취약점등이간간히탐지되고있고, MS08-067을악용하는웜또한현재까지도피해를입히고있는상황이다. 최근에는 MS 취약점외에도 PDF 파일과같이써드파티애플리케이션취약점을악용하는사례가급증하고있으므로, MS 보안패치를비롯한써드파티애플리케이션보안패치적용에도주의를기울여야할것이다.

36 (2) 2009 년 3 월웹침해사고및악성코드배포현황 [ 그림 3-12] 악성코드배포를위해침해된사이트수 / 배포지수 2009년 3월악성코드를위해침해된웹사이트의수와악성코드유포지의수는 54/16로 2009년 2월보다약간수치가증가하였다. 2009년 2월 InternetExplorer 와관련된 MS 취약점의공격코드가발표가되었지만공격코드기법의특성상대중화되지는못하고있다. 이번 3월에 InternetExplorer와관련된취약점은발표되지않아앞으로도과거발표된취약점이지속적으로공격에이용될것으로추정된다. 웹은가장대중화된플랫폼으로계속해서공격대상이되고있다. 따라서, 사용자는보안제품을항상최신버전으로유지하고, 백신프로그램을설치하여사용자시스템을보호할수있어야한다. 36

37 4. 사이트가드통계 (1) 2009 년 3 월웹사이트보안요약 구분 건수 악성코드발견건수 70,312 악성코드유형 599 악성코드가발견된도메읶 657 악성코드가발견된 URL 4,325 [ 표 3-10] 1 월웹사이트보안요약 웹사이트를통한사용자의피해를막기위해안철수연구소가제공하는인터넷보안무료 서비스인 사이트가드 1 의통계를기반으로본자료는작성되었다. 37 [ 표 3-10] 은 2009 년 3 월한달동안웹사이트를통해발견된악성코드동향을요약해서보 여주고있다. 사이트가드의집계에따르면 3월한달동안악성코드는 599종 70,312건발견되었으며, 악성코드유형은 599건, 악성코드가발견된도메인은 657건, 악성코드가발견된 URL은 4,325건으로전반적으로지난 2009년 12월부터보였던증가세에서급반전하여악성코드발견건수를기준으로 63% 정도감소하였다. 이는신종악성코드감소와사이트가드와같은웹사이트무료서비스정착, 백신프로그램의탐지력증가등과같은다양한보안서비스의강화로인한것으로보이나, 중국춘절의여파가미치지않는 4월까지의통계를보아야하락세여부를판단할수있을것으로보인다, 세부내용을보면다음과같다. 1

38 (2) 악성코드월간통계 가 ) 악성코드발견건수 250, , , , , ,000 50, ,729 69,964 70, 월 12 월 2009 년 1 월 2009 년 2 월 2009 년 3 월 [ 그림 3-13] 월별악성코드발견건수 [ 그림 3-13] 는최근 5개월인, 2008년 11월부터 2009년 3월까지의악성코드발견건수의추이를나타내는그래프로 3월악성코드발견건수는 70,312건으로지난달에비해약 63% 의감소세를보였다. 나 ) 악성코드유형 38 1, 월 12 월 2009 년 1 월 2009 년 2 월 2009 년 3 월 [ 그림 3-14] 월별악성코드유형 [ 그림 3-14] 는최근 5 개월간발견된악성코드의유형을나타내는그래프로역시지난 2 월 의 857 종에이어 3 월에 599 종이발견되어급속한감소를보였다.

39 다 ) 악성코드가발견된도메인 1, 월 12 월 2009 년 1 월 2009 년 2 월 2009 년 3 월 [ 그림 3-15] 월별악성코드가발견된도메인 [ 그림 3-15] 는최근 5 개월간악성코드가발견된도메인수의변화추이를나타내는그래프 로 3 월악성코드가발견된도메인은 657 개로전월에비해약 30% 가감소하였다. 라 ) 악성코드가발견된 URL 39 12,000 10,000 10,135 8,000 6,000 6,494 4,000 4,613 4,134 4,325 2, 월 12 월 2009 년 1 월 2009 년 2 월 2009 년 3 월 [ 그림 3-16] 월별악성코드가발견된 URL [ 그림 3-16] 은최근 5 개월간악성코드가발견된 URL 수의변화추이를나타내는그래프로 3 월악성코드가발견된 URL 수는 4,325 개로전월에비해 58% 가감소하였다.

40 (3) 유형별악성코드배포수 유형 건수 비율 Downloader 31, % Adware 17, % Trojan 7, % AppCare 6, % Dropper 2, % Joke % Win32/Virut % Spyware % Win-Clicker % 기타 3, % 합계 70, % [ 표 3-11] 유형별악성코드배포수 40 [ 그림 3-17] 유형별악성코드분포 [ 표 3-11] 과 [ 그림 3-17] 은 3 월한달동안발견된악성코드를유형별로구분하여발견건 수와해당비율 (%) 를보여주고있다. 3월한달동안총 70,312개의악성코드가발견되었으며이중 Downloader류가 31,283개로부동의 1위였던 Adware류 (17,358개) 를밀어내고 1위를차지하였다. 3위는 Trojan류가 7,188개로 3위를차지하였다. 사이트가드의전체악성코드개수는급격히감소하였으나, Downloader류는큰차이가없는것을보면, 웹을이용한 Downloader의배포하고애드웨어와 Trojan을다시다운로드하는전파방식이현재는악성코드배포방식의정석을차지하고있는것으로보인다.

41 (3) 악성코드배포순위 순위 악성코드명 건수 비율 1 - Win-Downloader/NavigateAssister ,712 56% 2 1 Win-Adware/Onclub ,349 16% 3 1 Win-Trojan/Xema.variant 2,878 5% 4 new Win-Adware/Shortcut.InlivePlayerActiveX.234 2,620 5% 5 1 Win-AppCare/WinKeyfinder ,460 5% 6 1 Win-AppCare/WinKeygen ,334 4% 7 3 Packed/Upack 1,198 2% 8 - Dropper/Agent G 1,107 2% 9 7 Win-Adware/Shortcut.IconJoy ,018 2% 10 new Win-Adware/Shortcut.FreeBacon % 합계 52, % [ 표 3-12] 유형별악성코드배포 Top [ 표 3-12] 는 3월한달동안웹사이트에서사이트가드를통해확인된악성코드배포 Top 10을보여주고있다. Top 10에포함된악성코드들의총배포건수는 52,658건으로 3월한달총배포건수 70,312건의약 75% 에해당되며, 지난달의 67% 보다증가하였다. 원인은급격한악성코드감소에도불구하고지난달에이어 1위를차지한 Win- Downloader/NavigateAssister 는지난달과큰변화가없었기때문이다. 특이한점은 2월에는 Top 10에신규로진입한악성코드가 5건인반면에 3월에는 2건밖에되지않을정도로큰변화가없었다는점이다. 이는전체악성코드의신종발견수가줄어들고기존 Top 10에진입한악성코드들이활발한활동은하고있는것이주요원인으로보인다. 요컨대, 지난달과달리악성코드증가세에반전하여급격한감소를보인 3월이었다. 이는신종악성코드발견수가감소하고, 전체적으로다양한보안프로그램의기능강화로인해악성코드감소가이루어진것으로보이나, 3월의감소가 2009년간지속될지여부는 4월의결과를보아야어느정도판단이가능할것으로보인다.

42 IV. 분기별보안이슈 1. 악성코드 1 분기이슈 (1) 1 분기악성코드동향 구분 악성코드명 건수 비율 1 Win-Trojan/Agent % 2 Win-Trojan/SpamMailer % 3 Dropper/Agent % 3 Dropper/OnlineGameHack % 3 Win-Trojan/Agent B 9 7.2% 3 Win-Trojan/Autorun E 9 7.2% 3 Win-Trojan/Backdoor % 4 Win-AppCare/HackTool % 4 Win-Trojan/Buzus % 4 Win-Trojan/Fakealert B 8 6.4% 5 Win32/IRCBot.worm AI 7 5.6% 42 5 Win-Adware/Elog % 5 Win-AppCare/Agent.8704.B 7 5.6% 6 Dropper/Autorun % 6 Dropper/OnlineGameHack % 합계 % [ 표 4-1] 2009년 1분기악성코드피해 Top 15 악성코드피해 Top 15 의대부분은트로이목마가자리를차지하면서압도적인비율을보이고있다. 특히게임핵이강세이며 15 위에서당당히 3 자리를차지하였다. 가짜백신프로그램인페이크안티바이러스 (Win-Trojan/Fakealert B) 도순위에보이며, 3 월에주춤하던오토런의경우 1 분기결산통계에서오토런드롭퍼와함께 15 위에서 2 자리를차지하고있다. [ 그림 4-1] 과표는변형악성코드를묶어서대표진단명기준으로통계를뽑은것이며, 개별악성코드통계보다전체적인악성코드통계양상을알수있다. 이는많은변형의출현및빠른악성코드엔진대응으로개별악성코드생명주기가짧아져서이를보강하기위해참고로작성한것이다.

43 1% 3% 4% 2% 1% 2% 3% 1% 1% 25% Win-Trojan/Agent Win-Trojan/Downloader Win-Trojan/OnlineGameHack Dropper/OnlineGameHack 5% 5% Dropper/Agent Win-Trojan/Zlob Win- 7% Downloader/Rogue.XPPoliceAntivirus Win32/Conficker.worm 20% Win32/Autorun.worm Win-Trojan/Fakeav 20% Win-Trojan/Xema.variant Win-Downloader/Rogue.FakeAV Win32/IRCBot.worm [ 그림 4-1] 2009 년 1 분기악성코드대표진단명 Top 구분 악성코드명 건수 비율 1 Win-Trojan/Agent % 2 Win-Trojan/Downloader % 3 Win-Trojan/OnlineGameHack % 4 Dropper/OnlineGameHack % 5 Dropper/Agent % 6 Win-Trojan/Zlob % 7 Win-Downloader/Rogue.XPPoliceAntivirus % 8 Win32/Conficker.worm % 9 Win32/Autorun.worm % 10 Win-Trojan/Fakeav % 11 Win-Trojan/Xema.variant % 12 Win-Downloader/Rogue.FakeAV % 13 Win32/IRCBot.worm % 13 Win-Trojan/Waledac % 14 Win-Trojan/Fraudload % 합계 % [ 표 4-2] 분기악성코드대표진단명 Top 15

44 [ 그림 4-1] 과 [ 표 4-2] 은 분기악성코드의대표진단명을기준으로유형별피해순 위 Top 10 을나타내고있다. 1분기악성코드대표진단명 Top 10을살펴보면 OnlineGameHack이많은비율 (3위와 4위에올라있으며, 그비율의합은 26.7%) 을차지하고있다. 1월에순위에진입하여 2월에 6 위까지올랐던오토런 (Autorun) 웜은 3월에 Top10순위에서사라졌으나 1분기전체통계에서다시그위상을볼수있다. 이외 1월까지 Top10순위를차지하다가 Top10순위에서사라졌던컨피커 (Conficker) 웜도당당히 8위를차지하였다. 가짜백신프로그램인페이크안티바이러스 (FakeAV) 는 9위에서한단계올라 8위로상승했으며, 또다른변종가짜백신프로그램인페이크안티바이러스 (Win-Trojan/FakeAV, Win-Downloader/Rogue.XPPoliceAntivirus, Win-Downloader/Rogue.FakeAV) 도여러변형들이함께순위에속하였다. 가짜백신프로그램은사용자가설치및검사하지않았음에도허위로진단하여마치시스템에많은악성코드를진단한것처럼보여주어온라인결제를유도하는금전적인목적을가지고있다. 아래 [ 그림 4-2] 는 2009년 1분기전체악성코드유형별피해신고건수를나타내고있는그래프이다. 트로이목마프로그램은 73% 로다른악성코드보다월등히많은비율을차지하고있으며, 드롭퍼와웜이각각 12% 와 9% 를차지하고있으며, 그뒤를이어스크립트 5%, 유해가능프로그램이 1% 를차지하고있다. 비율에거의변동없이바이러스는 0.1% 로극히낮은비율을유지하고있다. 44 9% 1% 12% 5% 73% 트로이목마스크립트드로퍼웜유해가능프로그램바이러스 [ 그림 4-2] 2009 년 1 분기악성코드유형별피해신고현황

45 바이러스유해가능프로그램웜드로퍼스크립트트로이목마 1월 2월 3월 0.2% 0.60% 0.10% 1.7% 1.60% 3.10% 11.8% 7.70% 8.80% 9.5% 11.80% 9.00% 4.1% 4.70% 3.50% 72.7% 72.60% 76.60% [ 그림 4-3] 2009 년 1 분기악성코드유형별피해신고비율전월비교 45 위의 [ 그림 4-3] 은 1분기접수된악성코드유형별피해신고를비교하여나타낸것이다. 트로이목마의경우 1월 2월에비율차이없다가 3월에 3.9% 가늘어났으며, 웜은 1월부터소폭으로계속감소하는추세이다. 드롭퍼는 2월에소폭상승하였다가 3월에다시소폭떨어져 1월의비율을유지하였다. 스크립트, 유해가능프로그램과바이러스는약간의수치차이는있겠으나전월과많은차이가없었다 년 2009 년 0 1 월 2 월 3 월 [ 그림 4-4] 년 1 분기대비피해신고건수비교 [ 그림 4-4] 는작년 2 월및올해 1 월은각각피해신고건수가상대적으로주춤했는데이유 는중국의춘절인작년 2 월올해 1 월에는악성코드제작자들도고향을찾아잠시휴식을취 했기때문이라고판단된다. 그이후로다시상승하는것을볼수있다.

46 (2) 1 분기신종및변형악성코드주요이슈 ( 가 ) 신종및변형악성코드 1 분기동향 1분기악성코드의주요이슈는 취약점 이란키워드로정의된다고하겠다. 작년에알려진서버서비스취약점 (MS08-067) 을악용한컨피커 (Conficker) 웜과변형이 1분기내내피해를주었고백신프로그램업체와같은보안업계를괴롭혔다. 또한해당취약점을이용한다른악성코드도국내에서피해를일으키기도하였다. 이외에도취약점관련해서 PDF 및엑셀, 파워포인트관련제로데이취약점등이알려졌다. 이와같은문서파일에대한취약점은곧잘 spear phishing 스피어피싱 로이용된다. 문서파일에대한제로데이공격이늘어나는원인으로는많은사용자들이윈도우와같은 OS 및웹브라우저에대한취약점만을알고대응하는경우가많다. 많은사용자들이사용하며, 많은공격을받고있는 MS 오피스계열의경우불법사용자의경우최신보안패치를받을수없을뿐더러 문서파일에악성코드가묻어있을까? 라는의구심조차하지않기때문에많은사용자들이의심없이메일및웹링크된문서파일을오픈하고는한다. 악성코드제작자들은이런점을노리고취약점을찾고이를응용한악성코드 ( 악의적인문서 ) 를제작하는것이다. 트로이목마중중국발관련악성코드중상당수를차지하고있는온라인게임의사용자계정정보를탈취하는유형은작년동기와진단정책의차이로 1:1 로비교하기에는무리가있지만굳이비교를해보면 17% 정도감소가있었다. 2008년 12월안철수연구소는진단정책의일환으로해당악성코드가많이사용하는특정실행압축에대해서진단하기로한후부터해당악성코드는수는조금씩낮게 1분기내보고가되었다. 해당유형의악성코드의경우진단을회피할목적으로오히려실행압축을하지않거나또는안티에뮬레이션코드가포함된형태로양분되는경향을보여주고있다. 46 바이러스유형의경우바이럿 (Win32/Virut) 바이러스변형과카슈 (Win32/Kashu.B) 바이러스변형이보고되었다. 이중바이럿 (Win32/Virut) 바이러스변형은 2월에는자신의코드를대폭변경하고이후지속적으로변형이출몰하여많은피해를입혔다. 웜유형의경우위에서언급한컨피커 (Win32/Conficker.worm) 의영향으로전체적으로는수치가증가했지만이웜을제외했을경우별다른특이점은없다. 다만월덱 (Win32/Waledac.worm) 이라고명명된악성코드가주요사회및정치적인이슈등을이용하여자신을전파시키는데사용하였다. 해당악성코드는 2008년까지맹위를떨치던젤라틴 (Win32/Zhelatin.worm) 유형과전파방법과코드등이비슷하여해당악성코드제작자 ( 들 ) 가새로운형태로그들만의봇넷 (Botnet) 을운영하고있을것으로유추해본다. 이외에도 DNS 를조작하여가짜백신의설치를유도하거나이러한자신을진단, 치료하기 어렵도록하는자기보호가고도화된악성코드들도눈에띄게증가하였다. 특히일부커널 스팸메일러의경우자신을종료하지못하도록시스템프로세스에커널쓰레드를만들어두

47 고동작하는등점점고도화되는자기보호기법이사용되고있음을알수가있었다. 또한국 내사용자들을노리는메신저관련악성코드변형들도자주출몰하여피해도컸다. 다음은 2009 년 1 분기신종및변형에대한악성코드유형별분포도이다. 파읷 0.2% 스크립트 4.5% 웜 9.5% 유해가능 1.0% 문서 ( 취약점, 매 크로등 ) 0.7% 트로이목마드롭퍼스크립트 드롭퍼 11.4% 웜 파읷 트로이목마 유해가능 72.6% 문서 ( 취약점, 매크로등 ) 47 [ 그림 4-5] 2009 년 1 분기신종및변형악성코드분포 여전히트로이목마유형이가장많은비율을보이고있다. 웜유형의경우 2008 년전체를 통틀어 5% 비율을차지하고있는반면에올해 1 분기는무려 9.5% 이다. 이는컨피커 (Conficker) 웜변형의폭발적인증가에기인한다. 올해 ( 그전까지는트로이목마및드롭퍼유형으로 ) 처음악성코드유형에추가한취약점이존재하는문서파일에대한악성코드비율은 1% 도안되지만이러한악성코드가일반사용자들보다는스피어피싱형태로특정인및단체를노리고유포되므로감염되었을경우그로인한피해및신뢰도하락은상상을초월하므로비율이작다고간과해서는안된다. 다음은작년동기와비교한신종및변형악성코드수를비교한것이다.

48 년 2009 년 월 2 월 3 월 [ 그림 4-6] 2008, 2009 년 1 분기신종및변형악성코드발견수 위 [ 그림 4-6] 에서도알수있듯이 2009년은전년동기대비무려 69% 정도의증가율을보이고있다. 중국발악성코드유입으로영향을많이받는국내의경우올해 2월, 특이하게전년동월과비교해서더많은수가발견된것으로나타났다. 보통중국의최대명절인춘절이포함되어있는 1월또는 2월의경우악성코드전월보다적은수가보고되었지만올해는달랐다. 이와같은정확한원인은알수가없지만시기상으로올해춘절의경우양력으로는 1월 25일부터 31일까지였기때문에 2월의경우해당되지않아악성코드가이런시기적인요인에영향을받지않았을수있다. 48 다음은안철수연구소가정리한 1 분기악성코드관련주요이슈이다. ( 나 ) 컨피커 (Conficker) 웜변형의폭발적증가와피해그리고아류작출현 MS 취약점을이용한컨피커 (Conficker) 웜변형이새롭게발견, 보고되었다. 특히 자신을전파하는방법이다양해졌다. 다음과같다. - 이동식저장디스크를이용한전파방법 - 취약한관리목적공유폴더를이용한전파방법 - MS 취약점을이용한전파방법 [ 참고 4-1] Win32/Conficker.worm 전파방법 또한악성코드자신의코드가매번다른형태가발견되었고진단과치료를어렵게하기위

49 해서자신을원격파일핸들로특정프로세스에오픈해두었고나아가 NTFS 파일시스템인 경우파일의보안속성을설정하여관리자권한이라도액세스권한을빼앗아버렸다. 또한 DNS 쿼리관련함수를조작하여백신프로그램업체와같은특정도메인에대한접근을차단하기도하였다. 또다른변형의경우실행중인프로세스에서문자열을비교하여백신프로그램및윈도우보안패치와관련이있는경우프로세스를종료하는증상도추가되었다. 컨피커 (Conficker) 웜의경우근래들어보기드문윈도우취약점을이용하는매우악의적인형태의악성코드로기억될것으로보인다. MS 취약점을이용해서전파되는또다른악성코드도보고되었는데그것은일명 2090바이러스라고알려졌다. 안철수연구소는에임봇 (Win32/AimBot.worm) 으로명명진단 / 치료를하고있다. 악성코드가실행되면시스템날짜를 2090년으로변경하기때문에이악성코드가일반사용자에게는 2090바이러스라고먼저알려졌다. 49 악성코드는자신을윈도우부팅시마다실행되도록하기위해서특정레지스트리키값을이용하는데이때버그로추정되는현상으로윈도우로그인진입시무한재부팅현상을일으킬수있다. 또한일부시스템에서는악성코드에서생성되는드라이버로인하여 BSOD 를발생하는등여러가지 Side-effect로인하여더욱유명세를치뤘다. ( 다 ) 월덱 (Waledac) 과사회적인이슈들 월덱 (Win32/Waledac.worm) 은이스라엘의가자지구침공및발렌타인데이, 오바마당선 그리고테러와관련한뉴스등잘알려진사회적이슈를이용하여메일로유포되었다. 보통 감염방식은메일내특정링크를통하여사용자를특정웹페이지로유도한다. 해당웹페이지에접속을하면페이지의내용에맞는특정실행파일의다운로드활성창이나타난다. 파일을실행한경우변형에따라서특이하게로컬드라이브에는자신의복사본을생성하지않는다. 또한내부적 (SSL 이용 ) 으로는특정웹서버로접속하려고시도하며악성코드바이너리내부에는 RSA 인증관련블록이존재하는것으로추정하건데이러한내용들은여타의 P2P 웜처럼감염된다른시스템과암호화된통신을위해서사용되어질것으로도보인다. 월덱 (Win32/Waledac.worm) 은젤라틴 (Win32/Zhelatin.worm) 처럼사회적인이슈를가지고자신을전파하는데이용하는면에서는유사하지만실행후증상이나자신의암호화된코드를풀어내기위한방법은젤라틴 (Zhelatin) 과비교하면다른형태를가지고있다. 그러나이악성코드역시조직적으로만들어지고유포되는것으로보여젤라틴 (Zhelatin) 처럼올한해

50 많은변형이만들어져피해를줄가능성이높아보인다. ( 라 ) 바이럿 (Win32/Virut) 바이러스변형발견및보고 1분기바이러스이슈중당연바이럿 (Win32/Virut) 바이러스변형을빼놓을수가없다. 안철수연구소는새로운변형을 Win32/Virut.E, F 형으로각각명명하고, 진단, 치료를하고있다. 이바이러스의변형의기준은 EPO (Entry-Point Obscuring - 시작실행시점불명확화 ) 형태인경우에는 C, E 형으로분류하고 Entry Point 내특정크기만큼바이러스코드로덮어쓴형태를 D, F 형으로분류하고있다. 이번에발견된 E, F 형경우기존의진단방식을회피하고있는형태로기본적인형태는달라지지않았다. 해당바이러스는치료를위해서는메모리치료가반드시선행되어야한다. E, F 형발견이후에도진단을회피하는변형이계속발견되었다. ( 마 ) 취약점을이용하는악성코드들 ( 제로데이공격포함 ) 이번분기내역시취약점을이용하여자신을실행하는악성코드유형이많이발견및보고되었다. 대표적으로 IE7 취약점 (MS09-002) 을이용하는악성코드가발견, 보고되었다. 해당취약점을이용한악성코드는 HTML/Exploit-XMLhttpd로진단하고있다. 일반적으로메일및메시저의웹링크나문서내링크를첨부하는형태로악의적인웹사이트로유도를할수가있다. 50 어도비 PDF 문서에서제로데이취약점이발견, 보고도되었다. 어도비리더와어도비아크로뱃 9.0 및이하모든버전에서 JBIG2 이미지스트림을로딩하는도중버퍼오버플로우를발생한다고알려져있다. 그리고많은사용자들이사용하는 MS 오피스엑셀및파워포인트에서도제로데이취약점이알려졌고이를이용한악성코드가출현하여주의가요구되었다.

51 2. 스파이웨어 1 분기이슈 (1) 스파이웨어 1 분기동향 년 2009 년 0 1 월 2 월 3 월 [ 그림 4-7] 2009 년 1/4 분기스파이웨어피해및신종발견건수 51 [ 그림 4-7] 은 2009년 1월 ~ 3월동안의스파이웨어피해신고건수및신종및변형스파이웨어발견건수를표시하는그래프이다. 스파이웨어피해신고건수는증가해 2009년 2월까지는증가했으나 3월에는크게감소했다. 신종및변형스파이웨어발견건수역시동일한양상을보이고있다. 스파이웨어피해신고건수는 2월에 1500건으로증가추세를보이다 3 월 795건으로주춤하고있다. 이것은 2008년같은시기 (1월 2083건, 2월 1061건, 3월 910건 ) 보다피해건수가다소줄어든것이다. 순위 대표진단명 건수 비율 1 Win-Downloader/Rogue.FakeAV % 2 Win-Spyware/Crypter % 3 Win-Downloader/Rogue.XPPoliceAntivirus % 4 Win-Downloader/Zlob % 5 Win-Adware/IEShow 211 8% 6 Win-Spyware/PWS.OnlineGame 128 5% 7 Win-Downloader/Rogue.FakeAV % 8 Win-Downloader/Rogue.SystemSecurity 62 2% 9 Win-Dropper/PWS.OnlineGame 54 2% 10 Win-Spyware/Zlob 51 2% 합계 % [ 표 4-3] 2009년 1/4분기스파이웨어피해 TOP10 ( 대표진단명 )

52 [ 표 4-3] 은변형을고려하지않은대표진단명으로집계한스파이웨어피해 Top 10이다. 외산가짜백신을설치하는페이크안티바이러스 (Win-Downloader/Rogue.FakeAV) 가가장많은피해를입히고있으며, 2008년중반부터급격하게많은변형을배출해낸엑스피안티바이러스 (Win-Downloader/Rogue.XPAntivirus2008) 의변형인엑스피폴리스안티바이러스 (Win-Downloader/Rogue.XPPoliceAntivirus) 와시스템시큐리티 (Win-Downloader/Rogue.SystemSecutiry) 도피해순위 Top 10에포함되어외산가짜백신이지속적으로피해를입히고있음을알수있다. 피해 Top 10의 5위아이쇼우 (Win-Adware/IEShow) 는피해순위 Top 10에포함된유일한국산스파이웨어다. 아이쇼우는지난 2008년 12월최초보고된이후매우빠르게변형을배포해지난 2월피해신고및신종및변형스파이웨어발견건수를증가의원인이되었다. (2) 국내, 국외스파이웨어발견현황 구분 국내 국외 1월 월 월 계 [ 표 4-4] 2009 년 1/4 분기국내및해외신종및변형스파이웨어발견건수 52 [ 표 4-4] 는 2009년 1/4분기국내, 국외신종및변형스파이웨어발견비율을보여준다. 국내제작스파이웨어의피해는 2월에가장높은수치를기록하였으며 1월과 3월에는유사한수치를보여준다. 국내제작스파이웨어의경우대부분고전오락프로그램이나웹하드등의번들형식으로설치가되며설치과정에서사용자의동의를받고있기때문에 V3나스파이제로에진단추가되지않아피해건수가감소하는추세가유지되고있었다. 그러나, 지난 2월에는사용자의동의를받고설치된프로그램의업데이트프로그램을통해다운로드되어다른프로그램의운영을방해하는스파이웨어의변형이다수발견되어피해건수가 50% 이상급격히증가했다. 외산가짜백신설치를유도하는것으로잘알려진즐롭 (Win-Spyware/Zlob, Win- Downloader/Zlob), 크립터 (Win-Spyware/Crypter), 다운로더페이크AV(Win-Download- er/fakeav) 에의한피해신고가 2009년에도꾸준히접수되어 1/4분기해외신종및변형은모두 1812건으로확인되었다. 가짜백신설치를유도하는이러한외산스파이웨어류의경우지속적으로변형을생산해내고있으며변형배포주기또한점점빨라지고있어외산스파이웨어류의신종및변형은꾸준히증가할것으로보인다.

53 (3) 가짜백신배포방법의다양화 2009년 1/4분기에는국산가짜백신에의한피해신고가크게감소한반면외산가짜백신과이를설치하는여러가지스파이웨어의피해신고가크게증가했다. 외산가짜백신의경우음란사이트나불법소프트웨어사용을위해필요한키생성프로그램을가장해설치를유도하거나유명사이트를변조해사이트방문시 OS의취약점을이용해설치가되도록하는것이대부분이었다. 그러나최근에는메일의첨부파일로전파되는 e-card와같은악성코드에의해서도설치가되고있다. 또유튜브와같은동영상사이트에서튜토리얼을제공해해당사이트를직접방문하게하거나토렌트 (torrent) 공유파일을이용해설치를유도하고있다. 가짜백신을통해수익을추구하기위해서는최대한많은 PC에설치가되어야하기때문에가짜백신은더욱다양한방법으로변형배포를할것으로예상된다. 53 [ 그림 4-8] 가짜백신을배포하는방법 (4) 국내제작스파이웨어의배포의지능화 2007년말정부에서발표한새로운스파이웨어기준에의해사용자동의없이 ActiveX로설치되는프로그램에대한기준이강화되어국내스파이웨어의피해가점차줄어들고있다. 그러나다수의리워드 ( 적립금제공 ) 프로그램, 키워드광고프로그램들이설치과정에서사용자의동의를받고있지만사용자는동의사실을모른채설치되어사용자의불편을야기하는경우가많이증가하고있다. 일부리워드프로그램의경우자신이허용하는프로그램만을실행할수있도록하는기능이포함되어있어인터넷뱅킹이나특정기업에서사용하는내부프로그램의사용이불가능한사례도보고되었다.

54 [ 그림 4-9] 리워드프로그램이설치하는허용가능프로그램리스트파일 file0=2in5qef5wllyufpaythqwllyufpacgjqwllyufpayejawvhqwlpkafpzwfbawmw= >> ithinkakfrdma.dll file3=kwdikoiykaeoifpzwfbawmxzckhoebja8eg= >> WindowsLiveLogin.dll file9=cvpzwfbawmwwmihgirja4gjyaa== >> SearchPot.dll file14=kwagiieombja8eg= >> WiseBar.dll file12=qvdampaiqrgy8diwmojawvhqwlpkafpzwfbawmw= >> GoogleToolbar.dll 54 [ 그림 4-10] 리스트파일에인코딩되어저장된허용가능프로그램목록 이런프로그램들은 2008년고전오락사이트의게임과함께설치가되었으며, 2009년에는웹하드프로그램의번들로도많이설치가되고있다. 2007년무조건배포에서시작한국산스파이웨어는이제번들이라는이름으로새롭게배포되고있다. 번들형식으로프로그램을배포하는경우는설치시사용자의동의를받기때문에백신프로그램에서진단이어렵기때문에무료프로그램을설치할경우 번들프로그램이포함되어있는가, 번들프로그램의기능은무엇인가 를먼저확인한후프로그램을설치해야한다.

55 3. 시큐리티 1 분기이슈 (1) 2009 년 1 분기마이크로소프트보안업데이트현황 2009년 1분기마이크로소프트사로부터발표된보안업데이트는총 8건으로각각긴급 (Critical) 4건, 중요 (Important) 4건으로구성되어있다. 작년에비해올해초에는보안업데이트수가아직까지많지않으며, 발표된취약점들또한대부분공격코드가공개되지않고비교적공격에활용되기어려운취약점들이다. 따라서, 인터넷익스플로러취약점을제외하고는실제로공격에악용된사례를발견하기는쉽지않다. 55 [ 그림 4-11] 2008 년 1 분기보안업데이트현황 (2) 컨피커 (Conficker) 웜의지속적확산 2008년 10월말첫보고이후, 2009년초를떠들썩하게했던컨피커 (Conficker) 웜의명성은아직도여전하다. 초기변형인 A, B형에이어가장최근에는 4월 1일만우절을기점으로동적생성 5만개의도메인을통해악성코드를확산시킬것으로예상되었던변형 C, D형까지발견되었다. 많은보안전문가들및업체들의우려와는달리아직까지는변형으로인한큰피해사항이보고된바가없다. 컨피커 (Conficker) 웜은초기 MS 서버서비스취약점을이용하여확산하는것으로알려져있었기때문에전문가들은사용자들에게시스템에해당패치를적용하도록권고하는것에주력하였다. 그러나, 이외에도네트워크공유폴더와 USB 자동실행 (Autorun) 을통한

56 확산으로인하여지난 1, 2월국내에서도지속적으로많은피해사례를야기하였다. 컨피커 (Conficker) 웜은이외에도안티바이러스제품종료, 특정프로세스의종료, 운영체제의방화벽기능해제, DNS 정보조작등의자기보호기능을가지고있다. 이러한다양한확산방법과자기보호기능등은컨피커 (Conficker) 웜을대처하는많은보안전문가들및업체들을매우당혹스럽게만들었다. 아직까지도컨피커 (Conficker) 웜으로부터공격은완전히사라지지않았기때문에사용자및관리자들은최신보안업데이트적용, 취약한네트워크공유해제및각종보안제품의최신버전유지등을통해웜으로부터의위협을최소화해야할것이다. (3) MS 제품에이어 Adobe 제품을노리는공격 마이크로소프트사의오피스제품군과더불어최근가장대중적인활용도가높은제품으로어도비 (Adobe) 사의 Acrobat Reader 를들수있다. 이처럼대중적인인기는공격자들에게는위협을확산시킬수있는아주좋은매개체가될수있다는것을의미하기도한다. 지난달 PDF 파일속 JBIG2 Stream 관련버퍼오버플로우취약점으로인한제로데이 (0- day) 공격이큰피해를입힌것으로보고되었고, 최근또다른취약점보고로인하여 Adobe사로부터 3월보안업데이트가발표되기도하였다. 이외에도과거다음과같은대표적인 Acrobat Reader 관련취약점들이있었고최근해당취약점들을이용하는악성 PDF 파일을배포하는 URL들이다수발견되고있다 Adobe Acrobat Reader util.printf() JavaScript Function Stack Overflow Exploit(CVE ) - Adobe Multiple Products JavaScript collect info Method Buffer Overflow(CVE ) 과거하나의취약점을공략하도록제작되었던것과달리최근에발견된악의적인 PDF파일들은다음과같이각버전에따라적절한취약점이실행되도록다수의취약점 (uitl.printf 와 Collab.collect Info 취약점 ) 을한꺼번에탑재하는형태로제작되었다. 파일속스크립트는압축을해제하면바로확인할수있는스크립트구조를갖는경우도있지만, 압축을해제후진단하는진단엔진들이개발되면서이를우회하기위해또다시스크립트난독화 (Obfuscate) 방법을사용하는경우가많아졌다. 아직까지가장최근에보고된 geticon() 취약점이탑재된악성 PDF파일은보고되지않았으나, 과거의취약점들처럼해당취약점또한악성 PDF파일이곧탑재될것으로예상된다 (4) 인터넷익스플로러 (IE) 7 을노리는공격

57 작년까지많은인터넷익스플로러취약점들이중국발웹공격에이용되었으나올해에는인터넷익스플로러취약점을이용한공격은비교적잠잠한것으로보인다. 그러나, 작년말발표된 MS 인터넷익스플로러 7 제로데이 (0-day) 취약점에이어올해발표된 MS Cloned Object 취약점또한인터넷익스플로러 7 에서발견되었다. 그수는많지않으나최근신고되는악성 URL 배포사이트를살펴보면, 해당인터넷익스플로러 7 취약점들은초기에공개된공격코드 (PoC) 와큰변형없이스크립트난독화만을적용하여배포하는것으로보인다. 따라서, 초기해당취약점진단엔진을배포한다수의보안제품의최신버전을유지하는것만으로또다른확산가능성은없을것으로예상된다. 최근마이크로소프트사로부터인터넷익스플로러 8가발표되었으나아직까지는사용자대부분이낮은버전을사용할것으로예상되기때문에근본적으로해당취약점에대한마이크로소프트사의보안업데이트를적용하는것이우선되어야할것이다. 57

58 4. 중국 1 분기악성코드동향 2009 년의첫분기중국의악성코드동향은단 3 종류를제외하고는모두새로운악성코드가 순위에포함될정도로큰폭의변화를가져왔다. 어떠한변화를가져왔는지안철수연구소의 중국시큐리티대응센터 (ASEC) 의악성코드동향을살펴보도록하자. 순위 순위변화 AhnLab V3 진단명 비율 1 New Win-Trojan/Vundo 20.98% 2 1 Win-Trojan/Obfuscated 15.77% 3 2 Win-Trojan/Downloader 7.92% 4 New Win-Trojan/Agent 7.44% 5 New Win-Trojan/Swizzor 2.96% 6 New Dropper/Agent 2.44% 7 New Win-Trojan/Dialer 2.04% 8 New Win-Trojan/Xema 2.00% 9 7 Win-Trojan/OnlineGameHack 1.88% 10 New Win-Trojan/Banker 1.72% 58 [ 표 4-5] 2009 년 1 분기 AhnLab China 악성코드 TOP 10 [ 표 4-5] 은 2009년 1분기동안안철수연구소의중국시큐리티대응센터 (ASEC) 으로접수된악성코드 TOP 10이다. 이표를보면먼저 2008년 4분기전체악성코드분포에서 75.09% 를차지하면서절대적인분포를확보하고있던 Obfuscated 트로이목마가 60% 가량의분포를손실해이번 2009년 1분기에는 15.77% 로 2위로한계단순위하락하였다. Obfuscated 트로이목마가 2위로하락한자리에는 Vundo 트로이목마가 20.98% 의분포를가지면서이번분기에처음으로순위에진입함과동시에 1위를차지하였다. Vundo 트로이목마는인터넷익스플로러에 BHO(Browser Helper Object) 등록되어광고성웹페이지로연결시켜주는기능을수행하는트로이목마이다. 이외에도 Vundo 트로이목마를포함한총 7 개의악성코드가이번 1분기에새롭게순위에포함이되었다. 전반적으로새로운악성코드가 TOP 10에진입함에도불구하고 Downloader 트로이목마는유일하게지난 4분기에이어상승세로보이고있다. 이러한점은중국내에서단순하게웹사이트에서다른악성코드를다운로드하는기능을가진악성코드또는악성코드중에서다른악성코드를다시인터넷을통해다운로드하는기능을가진악성코드가증가세에있는것으로분석할수가있다. 그러나한국에서도아직까지비교적높은감염신고가따르는 OnlineGameHack 트로이목마가 7계단이나하락한 9위를차지하였다는점은온라인게임관

59 련악성코드제작의감소인지아니면일시적인현상으로인한것인지는다음 2분기의동향을연계하여분석해볼필요가있을것이다. 그리고이번 1분기의또다른특이사항으로는지난 4분기의경우 Obfuscated 트로이목마가전체에서 75.09% 의분포를차지하면서절대다수를가져갔으나이번 2009년 1분기에는악성코드 TOP 10의전체분포가 53.86% 를차지하고있다. 일시적으로특정악성코드에대한편중이사라진것인지아니면다양한악성코드의분포가시작될전망인지는다음 2분기에서도계속지켜보아야할것이다. 59

60 5. 일본 1 분기악성코드동향 2009년 1분기일본에서는 2008년 3분기부터확산되기시작한오토런 (Autorun) 악성코드로인한피해가여전히많이발생하였다. 윈도우실행파일을감염시키는바이럿Virut) 변형과윈도우 OS의취약점을이용하여전파되는컨피커 (Conficker) 웜도많은피해를유발한것으로보인다. 아래의 [ 그림 4-12] 은일본트랜드마이크로사에서발표하는월간보고서의내용중오토런 악성코드의월별피해현황을집계한것이다 년 9 월이후급격하게증가한오토런악 성코드가여전히많은피해를주고있는것을알수있다. 60 [ 그림 4-12] 오토런악성코드의감염피해현황 ( 자료출처 : 일본트랜드마이크로사 1) 오토런악성코드가최초발견하기시작한것은오래전의일이지만과거에는 USB 메모리나외장 HDD와같은외부저장매체의사용자가많지않은관계로이를이용하는악성코드또한많지않았다. 그러나최근에는저장매체가가지고있는편의성때문에 PC를사용하는대부분의사용자들에게서널리이용되고있고이를이용한악성코드또한급격하게증가하고있는추세이다. 올해에들어직접적인피해수치가점점줄어들고는있지만최근제작되는악성코드들의추세가대부분기본적으로오토런기능을가지고있고볼때이러한유형의악성코드들은올해도많은피해를입힐것으로예상된다. 아래의 [ 그림 4-13] 은닥터웹에서발간한 2009년 2월월간보고서중악성코드감염피해관련내용이다. 바이럿의피해가많은것을볼수있다. 이러한통계보고는 IPA 등다른보안업체들의정기보고서에서도비슷한양상을보이고있다. 악성코드자체에확산기능이없이단순하게실행파일을감염시키는악성코드임에도불구하고이와같이많은피해를유발시키는것은해당악성코드의강력한면모를가늠하게한다. 1

61 [ 그림 4-13] 2009 년 2 월악성코드피해현황 ( 자료출처 : 닥터웹 1 ) 61 바이럿의경우처음발견된이후몇년의시간이지났음에도불구하고현재까지다양한변형이제작되어많은감염피해가발생하고있는데금년 2월부터는변형의수가이전에비해많이증가하고있고보안프로그램에서쉽게치료를하지못하도록기능이복잡화되면서일본의 PC사용자들의피해도증가하고있는것으로보인다. 컨피커 (Conficker) 웜은 2008년 12월발견된네트워크를이용해전파되는웜이다. 컨피커 (Conficker) 웜이최초로발견된이후현재까지다양한변형이제작되어배포되고이로인해전세계적으로많은피해가발생하고있는것으로보고되고있으며이러한상황은일본도크게비슷한것으로보인다. [ 그림 4-14] TCP 445 포트트래픽현황 1

62 [ 그림 4-14] 은일본의 IPA에서발간한네트워크모니터링통계중 TCP 445포트를이용한트래픽정보이다. 2009년 1월부터해당포트를이용한트래픽이점점늘어나고있고 2월중순이후급격하게늘어난것을볼수있다. IPA의보고서에는트래픽증가에대한정확한원인이파악되지않은상태라고하지만최근발생한컨피커 (Conficker) 웜변형이공격을위해 445 포트를이용한대량의트래픽을유발시키는것으로미루어보아해당악성코드가영향을미쳤을가능성이높다고봐야할것이다. 일본 IPA 에서발표한악성코드피해통계에의하면 2009 년 1 분기에가장많은감염피해를 유발한악성코드는넷스카이 (Win32/Netsky.worm) 웜인것으로밝혀졌다. 아래의 [ 그림 4-15] 는 2009 년 1 분기에발생한악성코드피해통계를집계한것이다. 62 [ 그림 4-15] 2009 년 1 분기악성코드피해통계 ( 자료출처 : 일본 IPA 1 ) [ 그림 4-15] 에서볼수있는것처럼넷스카이웜이다른악성코드들에비해현저하게많은감염피해를발생시키고있는것을알수있다. 넷스카이웜이외에도여러이메일웜들로인한피해가많이나타나고있는것을볼수있는데이러한현상은이전과크게다르지않다. 이메일웜이외에는오토런류의악성코드와바이럿, 그리고컨피커 (W32/Downad) 웜에의한피해가다수발생한것을볼수있다. 아래의 [ 표 4-6] 은일본트랜드마이크로사에서발표한월별악성코드피해통계이다 년 1 월 2009 년 2 월 2009 년 3 월 악성코드명 피해량 악성코드명 피해량 악성코드명 피해량 MAL_OTORUN 484 MAL_OTORUN 484 MAL_OTORUN 354 WORM_DOWNAD 251 WORM_DOWNAD 170 WORM_DOWNAD 129 BKDR_AGENT 67 TSPY_ONLINEG 106 TROJ_VUNDO 66 BKDR_TDSS 48 TROJ_VUNDO 78 JS_IFRAME

63 MAL_HIFRM 44 MAL_HIFRM 77 TSPY_ONLINEG 61 TROJ_DLOADER 43 BKDR_AGENT 66 BKDR_AGENT 47 TROJ_VUNDO 40 JS_IFRAME 48 BKDR_TDSS 45 JS_IFRAME 38 TROJ_GAMETHIEF 22 MAL_HIFRM 38 TSPY_ONLINEG 36 TROJ_DLOADER 21 WORM_AUTORUN 35 WORM_AUTORUN 28 WORM_AUTORUN 18 TROJ_FAKEAV 19 [ 표 4-6] 일본트랜드마이크로월별감염피해통계 ( 자료출처 : 일본트랜드마이크로 1 ) 오토런과컨피커웜의감염피해가다른악성코드에비해현저하게높은것을볼수있다. 오토런악성코드의감염피해수치는전월에비해하락한상태이나컨피커웜의경우 1월과 2월에급격하게증가한것을볼수있는데네트워크트래픽을다량으로유발하는악성코드의특성상실제로일본에서많은피해를유발했을것으로생각된다. 이외에주목할만한점은스파이웨어의일종인티디에스에스 (BKDR_TDSS) 의피해가많이발생한것을들수있다. 해당악성코드는인터넷에동영상코덱과같은프로그램으로위장한즐럽 (Win-Spyware/Zlob) 변형에의해설치되는스파이웨어로써설치된악성코드를보호하는루트킷이함께설치되어보안제품에서정상적인치료를불가능하게하는기능을가지고있어감염시피해가지속되는경우가많으므로주의가필요하다

64 6. 세계 1 분기악성코드동향 판다시큐리티에따르면 2008년매일 2만 2천개의새로운악성코드가발견되었다고한다 년 1분기가지난현재매일 2만개 ~ 3만개의신종악성코드가발견되고있는것으로추정하고있다. 하지만, 연말에이수치가어떻게변할지모른다. 여전히악성코드제작자들은특정지역에단기적으로여러변형을끝없이뿌리는전략을취하고있어다소지루한상황이다. 여러백신업체발표자료를통해 2009년 1분기세계동향을정리해보겠다. 2009년은컨피커 (Conficker) 웜의공습으로시작되었다. 컨피커 (Conficker) 웜은 2008년11 월윈도우취약점 (MS08-067) 을이용해전파되어짧은시간에세계로전파되었다. 판다시큐리티에따르면 200만대의검사된시스템중 6% 인 11만 5천대가컨피커에감염되어있었다고한다. 2 IBM 인터넷시큐리티시스템 (Internet Security Systems) 사업부는 4월 2일 24시간동안 2백만개의컴퓨터를스캔한결과모니터한 IP 주소들의 4 % 가컨피커 (Conficker) 웜에감염되었음을확인했다고한다. 3 컨피커 (Conficker) 웜은몇년간세계적으로널리퍼진악성코드가드문상황에서전세계적인감염이발생할수있음을보여줬다. 루마니아비트디펜더의통계에따르면 1위는오토런웜 (Trojan.Autorun.AFY) 이며브론톡웜변형 (Win32.Brontok.AO@mm, Win32.Brontok.Q@mm) 이 2위, 6위, 9위, 10위를차지하고있다. 브론톡웜변형이이렇게높은순위에있는것은다소의아하며루마니아에서브론톡웜감염이많은지는확인하지못했다. 64 러시아카스퍼스키랩에따르면 1위는컨피커 (Conficker) 웜 (Net-Worm.Win32.Kido.ih) 이차지했다. 카스퍼스키랩의통계는 카스퍼스키2009 제품에서실제감염통계를수집한결과이다. 상위권에존재하는악성코드는 AutoIt으로작성된웜 (3위, 13위, 16 위, 20위 ) 등이포함되어있다. 스페인판다시큐리티자료에따르면 1 위는 Spyware/Virtumonde 이며 3 위, 4 위, 6 위가모두 애드웨어이다. 대만트렌드사의통계에따르면악성코드순위에는 USB 플래쉬메모리등으로전파되는오 토런웜 (Autorun worm) 이주요순위를차지하고있다. 대륙별, 국가별로도 USB 플래쉬메모 리를통해전파되는악성코드가순위에있었다

65 스페인판다시큐리티 2009년 1분기동향자료에따르면 1 악성코드중트로이목마가 73.82% 를차지하고있으며스파이웨어가 13.15%, 애드웨어가 8.83% 를차지하고있다. 이들을모두합치면 95.8% 가자체전파기능이없는형태이다. 하지만, 카스퍼스키랩의통계에는자체전파기능이있는악성코드가 50% 로다소높다. 2 [ 그림 4-16] 판다시큐리티에서밝힌악성코드유형 ( 출처 : 판다시큐리티 ) 65 영국의메시지랩에따르면 개메일중 1 개가악성코드라고한다 개메일중 1 개가피싱메일로피싱보다더메일을이용한악성코드전파방법이적음을알수있다. [ 그림 4-17] 메일을통한악성코드배포의감소 ( 출처 : 메시지랩 ) 하지만, 악의적인웹사이트는매일 2,797 개가차단되어 197.2% 라는증가를보이고있어웹 사이트를통한악성코드전파가일반화되었음을알수있다

66 전체적으로보면 2009년 1분기는보기드물게컨피커 (Conficker) 웜이세계적으로확산되었으며메일을통한악성코드전파는갈수록줄어들고웹사이트해킹후웹브라우저취약점을이용하는코드를삽입해악성코드를배포하는방식과 USB 플래쉬메모리디스크같은이동형저장매체를통한악성코드가극성을부렸다. 66

67 ASEC REPORT 작성을위하여다음과같은분들께서수고하셨습니다 년 3 월호 편집장선임연구원허종오 집필진 선임연구원 김소헌 선임연구원 정진성 선임연구원 차민석 선임연구원 조성준 선임연구원 심선영 주임연구원 장영준 주임연구원 강동현 주임연구원 이재호 주임연구원 김민성 주임연구원 주설우 67 감수상무조시행 참여연구원 ASEC 연구원분들 SiteGuard 연구원분들