ASEC Report

Transcription

1 1. 악성코드 DDoS 악성코드의공격으로인한사회적혼란 스파이웨어 V3를도용한가짜프로그램등장 시큐리티 7.7 DDoS 패킷분석 중국보안이슈 중국에서제작된제로데이 (Zero-Day) 취약점생성기 현금자동입출금기와악성코드 악성코드통계 스파이웨어통계 시큐리티통계 사이트가드통계... 40

2 I. 이달의보안이슈 1. 악성코드 DDoS 악성코드의공격으로인한사회적혼란 7월초우리나라는 DDoS (Distribute Denial of Service = 이하디도스 ) 공격으로인하여정부기관및인터넷뱅킹과같은공공인터넷웹서비스에정상적으로접근할수가없었다. 이러한공격은자신을유기적으로동작하며활동하는특정악성코드들에의해서발생하였다. 이밖에다른악성코드로는스팸메일을발송하는스팸봇트로이목마가여전히기승을부렸다. 또한어도비사의플래시플레이어와아크로벳리더각각제로데이취약점이발견, 보고되기도하였다. (1) DDoS 관련악성코드 7 월초우리나라와미국의공공웹서비스를대상으로하는 DDoS 공격이발생하였다. 이 러한공격은소위좀비 PC( 악성코드에감염된 PC) 라고불리는악성코드에감염된시스템들 이사용되었다. 다음은이번공격에사용된악성코드들의파일관계도이다. 2 [ 그림 1-1] DDoS 공격파일관계도 무엇보다도공격을수행한좀비 PC 는특정일이후디스크 0 부터특정크기만큼손상되 어부팅을못하게하는등공격자는치밀한준비를한것으로보인다. 또한공격 URL 과시 간, 타입등이담겨진파일은특정알고리즘에의해서다른곳으로부터다운로드되도록되

3 어있기도하였다. 이러한과정을보면공격자는오래전부터공격준비를해왔을것으로추정하고있다. 이번일과관련해서아직도많은시스템들은안티바이러스와같은최소한의보안프로그램도설치가되지않은것으로보인다. 안철수연구소경우개인사용자에게는 V3 Lite를무료로다운로드하여설치하도록할수있는데이번일이있은후에도설치된사용자로부터관련악성코드의감염보고를접수받을수있었다. 이번일을계기로많은교훈이있었다고생각되지만한편으로는컴퓨터를사용하는사용자들도안티바이러스제품과같은기본적인보안프로그램을사용할것을당부드린다. (2) 가짜백신과결합한스팸봇 3 스팸봇이여전히기승을부리는가운데이번에는가짜백신과결합하여함께발견, 보고되었다. 이번에보고된스팸봇역시커널모드쓰레드를시스템프로세스에생성후동작하도록되어있다. 특히가짜백신과함께발견되는사례가많아두악성코드는연관관계가있는것으로추정된다. 이두악성코드는허위 API를호출하는안티에뮬레이팅기법이동일하고파일시작부분에사용된안티디버깅기법두가지가 [Single Step Exception / INT 2E(SYSENTER)] 역시동일하다. 요즘문제가되고있는스팸봇은크게 3가지형태가있는데첫번째는 ndis.sys와같은윈도우시스템드라이버를감염시켜동작하는형태가있다. 두번째는독립적인드라이버형태가있다. 세번째로는 *.EXE 형태의파일이며이후동작은시스템쓰레드에커널모드쓰레드를생성하지않는다는것만빼고는동일하다. 스팸봇은아직어떤경로로감염되는지명확하지않다. 다만사회공학기법을이용한웹다운로드나 PDF 및 SWF 와같은취약점을이용할수도있다. 따라서웹에서는어떤위험이도사리고있을지모른다. 악성코드제작자들은사용자들이많이사용하는응용프로그램의취약점을노린다. 윈도우, 인터넷익스플로러, MS 오피스어도비플래쉬와아크로벳은많은사용자가사용하며잠재적으로위험에노출되어있다고해도과언이아니다. 안티바이러스설치보다중요한것은보안패치를꾸준히업데이트받는것이며, 이후보안제품으로인한있을지모른악성코드감염에대비해야한다. (3) 이번달제로데이취약점 제로데이취약점이란아직보안패치가존재하지않는취약점을말한다. 이번달경우 3 건의 제로데이취약점이보고되었으며, 해당취약점을이용하는악성코드도함께발견되기도하 였다. 다음과같다. - 마이크로소프트 MPEG2TuneRequest 제로데이취약점주의 - 마이크로소프트 OFFICE WEB Components(OWC) 제로데이취약점주의 - 어도비플래쉬플레이어및아크로벳리더코드실행제로데이취약점

4 취약점은일반적으로악성코드유포에사용되는데특히제로데이취약점은타켓공격에집중적으로사용된다. 이는아직보안패치가나오지않았기때문에사용자들은속수무책으로당할수밖에없게된다. 보안패치적용전사용자들이할수있는방법으로는각업체가공개한수동조치방법을최대한적용하며안티바이러스와같은보안제품으로취약점이존재하는악의적인파일을진단할수있도록해야한다. 4

5 2. 스파이웨어 V3 를도용한가짜프로그램등장 (1) 가짜백신그리고가짜 V3 컴퓨터를사용하는사람이라면누구나한번쯤은악성코드에감염된경험이있을것이다. 그런데이러한사람들중대다수는악성코드가나쁘다는정도만알고있을뿐, 자신이감염된악성코드가어떠한동작을수행하고어떠한증상이나타나는지, 그리고그치료방법은어떻게되는지알지못한다. 안철수연구소 ASEC에서는이러한고객들을위해악성코드분석정보를 AhnLab.com 홈페이지에서무료로제공하고있다. AhnLab.com에서제공하는악성코드분석정보에는바이러스, 스파이웨어, 유해 / 오해가능프로그램에대한정보가제공되며각각에대한증상및치료방법에대한정보가기록되어있다. 5 [ 그림 1-2] AhnLab.com 의 ASEC 분석정보페이지 최근국내의가짜백신들중에서 AhnLab.com의분석정보를자신들의진단데이터로도용하는것들도있어문제가되고있다. 악성코드분석정보에는악성코드가실행될경우생성하는파일및폴더, 레지스트리에상세한정보가포함되어있는데, 이를도용하여진단데이터로이용하고있는것이다. 흥미로운것은, 랜덤한파일 / 레지스트리이름정보까지그대로도용하고그들홈페이지의분석정보로게재하고있는것이다. 악성코드중에는파일이나레지스트리이름을랜덤한것으로생성하는경우가있는데, 이경우악성코드가실행될때마다다른이름과레지스트리정보를생성하기때문에중복이일어나는경우는거의없다. 즉, 같은악성코드의분석정보를두개의다른회사에서작성한다하더라도파일이름이나레지스트리에대한정보가같을수없다는뜻이된다. 이러한랜덤한값들을진단데이터로활용할경우,

6 당연히진단이되지않는다. [AhnLab.com 홈페이지악성코드분석정보 ] [ 폴더및파일 ] Win-Dropper/BeyondKeylog 가생성하는폴더및파일은다음과같다. %PFDIR%\Eiwnrfwaofjxosg\ ( 폴더 ) %PFDIR%\Eiwnrfwaofjxosg\help.chm %PFDIR%\Eiwnrfwaofjxosg\Log\ ( 폴더 ) %PFDIR%\Eiwnrfwaofjxosg\pgkypthyc.exe %PFDIR%\Eiwnrfwaofjxosg\unins000.dat %PFDIR%\Eiwnrfwaofjxosg\unins000.exe [ 레지스트리 ] Win-Dropper/BeyondKeylog 가생성하는레지스트리는다음과같다. HKCR\CLSID{28277BE1-769D-0A2A-9CCB-A359A2E717B8} HKLM\SOFTWARE\Microsoft\Windows\Current Version\Uninstall\Hsjd9wsdvm_is1 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\pgkypthyc [ 스캔 홈페이지분석정보 ] 6 Win-Dropper/BeyondKeylog Program Files Eiwnrfwaofjxosg\help.chm Program Files Eiwnrfwaofjxosg\Log\ Program Files Eiwnrfwaofjxosg\pgkypthyc.exe Program Files Eiwnrfwaofjxosg\unins000.dat Program Files Eiwnrfwaofjxosg\unins000.exe Program Files Eiwnrfwaofjxosg\ HKEY_CLASSES_ROOT HKCR\CLSID{28277BE1-769D-0A2A-9CCB-A359A2E717B8} HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows\Current Version\Uninstall\Hsjd9wsdvm_is1 HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows\CurrentVersion\Run\pgkypthyc [ 표 1-1] Win-Dropper/BeyondKeylog 분석정보비교

7 가짜백신들중에는분석정보를도용하는것에그치지않고안철수연구소제품의브랜드네 임까지도용하는것들도있다. 아래는 Spyzero 와 V3 제품의이름을도용한가짜백신들이 다. 7 [ 그림 1-3] 안철수연구소스파이제로 (SpyZero) 이름을도용한허위안티스파이웨어 [ 그림 1-4] 안철수연구소 V3 이름을도용한 V3 허위안티스파이웨어

8 AhnLab.com 홈페이지에공개되어있는악성코드분석정보는악성코드의위협으로부터노출되어있는모든사람들을위해공개된것이며, 안철수연구소 ASEC 연구원들의노고로만들어진지적재산이다. 이를도용하는것은엄연히저작권침해에해당한다. 가짜백신은사용자동의없이설치되어허위결과를표시하여결제를유도하고, 다른악성코드를설치하는등의사기행각을저지르는것도모자라이제는저작권침해까지하고있는것이다. 사용자는이러한가짜백신의피해를피하기위해, 믿을수있는업체에서제작또는배포되는보안프로그램만을설치하는주의가필요하다. (2) 사용자보안을위협하는무료프로그램들 요즘은꼭돈을주고프로그램을구매하지않더라도, 무료로배포되는프로그램을이용하여문서작성부터동영상편집까지다양한일들을할수가있다. 심지어는 OS(Operating System) 까지무료로배포되고있어, 유료프로그램을단하나도설치하지않고도컴퓨터로하는거의모든작업들을할수가있을정도다. 8 [ 그림 1-5] 다양하고유용한무료프로그램들 그런데이러한프로그램들은대체어떠한이유에서개발되고또이러한프로그램을개발한개발자나개발업체는어떻게수익을얻는것인지한번쯤은의문을가져봤을것이다. 개인이야다양한이유가있을수있겠지만, 기업은어떠할까? 자본주의사회에서의기업은철저하게영리추구가목적인집단이다. 그런데이들이아무런수익도없는무료프로그램을배포한다는것은이해가되지않는부분이다. 기업에서무료프로그램을배포하는이유로는많은

9 것들이있을수있겠지만, 사용자들로부터후원을받거나, 공익실현을통한브랜드가치상승을노리거나, 혹은광고노출을이용한간접이익을얻는것이다. 국내무료배포프로그램들의경우는, 상당수가광고노출을이용하여수익을얻는다. 그런데최근그방법에있어다소문제가많고, 프로그램이설치된사용자의시스템을보안위협으로노출시키고있어문제가되고있다. 무료프로그램이광고를통해수익을얻는방법에는크게두가지정도가있다. 첫번째방법은프로그램자체에광고를삽입하거나팝업광고를노출하여클릭을유도하는것이다. 프로그램개발자나개발업체는이때발생하는클릭에대해광고업체로부터수익을얻는다. 이방법은불법도박사이트나성인광고를노출하거나사용자를귀찮게하는것이외에사용자시스템에큰문제를야기하는경우는드물다. 두번째방법은무료프로그램이설치될때, 다른업체의광고프로그램을설치하여설치당수익을얻는것이다. 대개는다른광고프로그램을설치하기전에사용자약관을통해이를알리고적절하게사용자의동의를얻고설치되지만, 그렇지않은경우가상당수존재한다. 아래는다양한무료프로그램을제작하여배포하는 소프트의홈페이지다. 무료TV 프로그램부터시작하여동영상코덱까지상당히다양한프로그램들을제작하여배포하고있다. 겉으로보면상당히고마운업체로보이지만, 실상은그러하지가못하다. 9 [ 그림 1-6] 다양한무료프로그램을제공하는 소프트 소프트의무료프로그램들은설치된사용자의 PC 에스파이웨어 (Win- Downloader/ColorSoft B) 를시스템에설치하고, 설치된스파이웨어는시스템이재 부팅될때마다, 서버로부터다운로드받을애드웨어의목록을받아와서사용자몰래그것들

10 을설치한다. 소프트에서는단지다운로드목록을수정하는것만으로원하는어떠한프로그램도설치할수가있는것이다. 그것이설령악성코드라할지라도말이다. 게다가, 시스템에설치된 소프트의제품을제어판의 프로그램추가 / 제거 에서제거하여도 Win- Downloader/ColorSoft B 는제거되지않아, 계속해서다른애드웨어를다운로드하게되며, 시스템폴더에다른정상파일들과같이들어가있어, 일반사용자들이이를찾기는쉽지가않으며, 설치된사실조차알기가어렵다. 아래 [[ 표 1-2] 는이와유사한방법을사용하는 Win-Downloader/Sbrowser 의애 드웨어다운로드목록 ( 의내용이며, 붉은색으 로표기된부분이다운로드하여실행할파일의 URL 정보이다. <?xml version="1.0" encoding="euc-kr"?> <ORDER> <DEFAULT> <COUNT>0</COUNT> </DEFAULT> <UPDATE00> <TITLE> 인터넷검색도우미 ( 스폰서 )</TITLE> <VERSION> </VERSION> <SIZE>link</SIZE> 10 <RANDOM>100</RANDOM> <ENABLE>0</ENABLE> <REG> <HKEY>HKLM</HKEY> <KEY>software\duplicater</KEY> <VALUE>version</VALUE> </REG> <ROOT> <TYPE>SILENT</TYPE> <PATH> <DOWN/> <LINK/> <SILENT> /AFP/Install_sbrows.exe</SILENT> </PATH> </ROOT> <DESC> <URL>

11 </DESC> <COUNT> <USE>0</USE> <INSTALL>1</INSTALL> <URL/> </COUNT> </UPDATE00> </ORDER> [ 표1-2] 애드웨어다운로드목록 11 최근국내주요웹사이트가좀비 PC로부터 DDoS 공격을받아큰문제가되었다. 그런데이 DDoS를공격을발생하는악성코드가국내파일공유사이트의해킹을통해전파되었던것이라고한다. 이와마찬가지로 [[ 표1-2] 에서사용된서버가해킹당하여다운로드될파일을 DDoS 공격을수행하는좀비프로그램으로교체된다면, Win- Downloader/Sbrowser 에감염된 PC는모두좀비 PC가되어버리는것이다. 그리고굳이서버를해킹하지않더라도, 해커들은다양한해킹기법들을이용하여다운로드목록을변경하는것이가능하다. Win-Downloader/ColorSoft 나 Win-Downloader/Sbrowser 뿐만아니라, 국내대다수의애드웨어다운로더들이이와동일한문제점들을갖고있다. 그중에는목록을암호화하여관리하는경우도있으나, 이는극히일부에불과할뿐이어서사용자의시스템의보안에큰위협이된다. 현재로써는일반사용자가정상적인무료프로그램과스파이웨어를설치하는무료프로그램을구분하기는쉽지가않다. 따라서보안프로그램을설치하고실시간감시기능을항상켜놓는것이이와같은피해를막을수있는가장좋은방법이된다. 이와함께사용자도항상믿을수있는사이트에서배포되는무료프로그램만을사용하고, 신뢰할수있는제작사에서제작된것만을사용하는습관을길러야할것이다.

12 3. 시큐리티 7.7 DDoS 패킷분석 (1) 7.7 DDoS 공격패킷분석 국내주요웹사이트에대해 7월 7일 DDoS 공격이발생하였다. 이번 DDoS 공격패킷은무엇이발생하며, 주요방어책에대해서살펴보기로한다. 먼저 7.7 DDoS 공격은 TCP, UDP, ICMP 프로토콜을이용하여, 특정웹사이트들 ( 멀티도메인 ) 을공격하도록설계되었는데, 공격패킷들의주요특징은아래와같다. 감염 PC 에서극도의패킷을유발하지는않음. 초당 300 개이내의패킷으로데이터양이크지않음 HTTP 에임의의데이터를전송하는트래픽이가장많이전송되며, ICMP, UDP 도 10-15% 수준에서차지함 HTTP > ICMP > UDP 프로토콜순서로트래픽을많이발생시킴 HTTP 가약 70% 대, ICMP 가 12-20%, UDP는 6-8% 수준에서발생 평균전체발생시키는트래픽은초당약 / 초, 약 50-65K / 초 이중에문제가된것은역시 GET Flooding 공격을하는 HTTP 공격과랜덤데이터를 TCP 80 포트에전송하는공격이해당된다. 여기서 GET 요청을하는 HTTP 공격은초당약 20개, 12K의데이터전송 ( 출발지IP 위조없음 ) 하며, 랜덤데이터를전송하는공격은임의의 4-48byte 데이터를보내는패킷을초당약 43개, 3.6K의데이터전송 ( 출발지IP 위조 ) 하게된다. 12 다음그림들은악성코드가감염된컴퓨터에서 DDoS 공격을하는트래픽을묘사한것들이다.

13 13 [ 그림 1-7] 감염컴퓨터에서발생시키는 DDoS 트래픽

14 이번 DDoS 공격들에서문제가된것은대부분 TCP 80 HTTP 공격이었는데, 트래픽으로인 해국내웹사이트들이지연또는마비되는문제가발생을하게되었다. 그렇다면, 방어기법에는어떠한것들이존재하는지살펴보자. 악성코드에서 DDoS 공격은해당사이트에접속해서정상적인 HTTP 요청 (GET / HTTP/1.1) 을전달하거나, 랜덤데이터를 HTTP 서버에전송하게되는데, 이경우효과적인방어기법은 Source Tracking( 소스추적 ) 과 State Limit( 접속상태제한 ) 이란방법이있다. 다음은 PF(Packet Filter) 의 Source Tracking 예제이다. pass in on $ext_if proto tcp to $web_server \ port www keep state \ (max 200, source-track rule, max-src-nodes 100, max-src-states 3) Remote Source 의접속제한을최대 3 으로제한하면서소스트래킹 그이외부하를분산하기위해서방화벽다중화및 Web Cache Server 도입, 그리고 Load Balancing 등의방법이있다. 그러나, 엄청난트래픽의 DDoS 공격인경우는네트워크앞단에위치한라우터 (Router) 가트래픽을버티지못하여마비 (Hang) 될가능성이존재한다. (2) Adobe PDF & Flash Zero-day 취약점 14 지난 7월 23일해외특정사이트에서 Adobe 사의 PDF Acrobat Reader 와플래시플레이어의알려지지않은제로데이취약점이발견되었다. 해당취약점에영향을받는소프트웨어는아래와같다. Adobe Acrobat Adobe Reader version Adobe Flash Player version Adobe Flash Player version 해당취약점은공격자가특정코드를실행시킬수있는취약점들로, PDF 및 Flash 파일포맷의특정오브젝트를해석하는과정에서유효값검증을제대로하지않아발생한다. 해당취약점을이용하는방식은 Flash 파일을 PDF 파일에삽입하거나웹페이지를통해호스팅하는 2가지방법이이용된다. 아래그림은악의적인 flash 파일을특정웹페이지에삽입하여공격하는방식이다.

15 [ 그림 1-8] flash 파일을특정웹페이지에삽입하여공격하는방식 이러한파일포맷을공격하는방식은몇년전부터많이발생하며, 오피스, PDF, 플래쉬, 특정어플리케이션들이주요타겟이된다. Adobe 사에서는 7월 30일플래쉬관련취약점을제거하는보안패치 1 를발표하였는데, 인터넷사용에서 Flash 는필수임으로, 즉각적인패치가요망된다. (3) ISC Bind Dynamic Update Dos 15 7월말일부 ISC Bind(named) 9 버전에서특정조작된 Dynamic Update 쿼리를요청시에서비스거부취약점이발견되었다. Dynamic Update 설정이기본 (Default) 설정에서 Off 이긴하지만해당기능을해제하더라도영향을받기때문에매우치명적이다. ISC BIND는 DNS(Domain Name Service) 에대부분이용이됨으로, 해당취약점의영향이크다고볼수있다. DNS는 Internet의구조상근본이되는서비스임으로, 즉각적인보안패치가필요하다. Dynamic Update 기능은 BIND 8 버전이후로지원되며, Zone 파일의레코드를동적으로갱신할수있는기능인데, 일반적으로 Dynamic DNS 업체또는 Master와 Slave 사이의통신에서주로이용된다. Dynamic Update 요청은다음과같은구조를갖는다 Header Zone Prerequisite Update Additional Data 특히, 해당취약점은다음공격 Dynamic Update 요청처럼 prerequisite 섹션에 "ANY" type 레코드를갖고적어도하나이상의해당 FQDN 의 RRset 이존재하는경우에발생한다. 1

16 공격 Dynamic Update 요청 ;; HEADER SECTION ;; id = ;; qr = 0 opcode = UPDATE rcode = NOERROR ;; zocount = 0 prcount = 1 upcount = 0 adcount = 0 ;; ZONE SECTION (1 record) ;; example.com. IN SOA ;; PREREQUISITE SECTION (1 record) 0 IN ANY ; no data 해당공격이성공하는경우, BIND Daemon 이 Crash 되어도메인요청에대한정상적인서 비스를지원할수없게된다. 아래그림은실제공격시발생하는패킷의일부분이다. 16 [ 그림 1-9] 실제공격 Dynamic Update 요청 해당취약점으로공격시 Bind 데몬 named 가중지 (Denial Of Service) 됨으로 DNS 가마비 될가능성이있어매우위험하다. 보안패치는 ISC 홈페이지 ( 에서업데 이트하거나각 OS 벤더홈페이지를이용하여패치작업을수행할수도있다.

17 4. 중국보안이슈 중국에서제작된제로데이 (Zero-Day) 취약점생성기 (1) 중국라이징상반기보안위협동향보고서발표 7월 21일중국의보안업체인라이징 (Rising) 에서는 2009년상반기동안발생한보안위협동향들을정리한보고서를발표하였다. 이번에발표한보고서는 2009년상반기동안발생한다양한보안위협이슈들중에서악성코드의주된감염경로중하나인웹사이트를통한유포에대한중국내에서의정보가비교적상세하게기술되어있었다. 17 [ 그림 1 10] 2009 년상반기악성코드유포웹사이트수치 이번에발표된라이징의보고서에따르면 2009년상반기동안악성코드유포에악용된웹페이지는총 2.9억개이며이는매일평균 162만개의웹페이지에서악성코드가유포되고있는것으로분석하였다. 이를월별로나타낸그래프가 [ 그림 1-10] 과같으며악성코드의유포에악용된웹페이지가가장많았던 3월은총 7천 4백만개의웹사이트에서유포된것으로집계되었으나 2분기인 4월에접어들어서는그수치가급격하게줄어들기시작한것으로라이징에서분석하고있었다.

18 [ 그림 1-11] 2009 년상반기웹을통해유포된악성코드수치 ] 그리고악성코드유포에악용되는웹페이지로총 11.2 억회에걸쳐컴퓨터사용자들의접 속이이루어졌으며이는매일평균 622 만명이웹사이트를통한악성코드감염의위험에 노출되었던것으로집계되었다고한다. 18 [ 그림 1-12] 2009 년상반기악성코드 TOP 10 라이징에서집계한 2009년상반기악성코드 TOP 10은 [ 그림 1-12] 과같으며 1위에는 USB와같은외장형저장장치를통해전파되는 Autorun 웜이 1위를차지하였다고한다. 그리고그외운영체제나일반소프트웨어의취약점을악용하는악성코드형태가 3개가포함되어있었다. 그중에는최근제로데이 (Zero-Day) 취약점의위협이발생한어도비플래쉬플레이어 (Adobe Flash Player) 의취약점을악용한 SWF 파일형태 (Hack.Exploit.Swf.a) 와마이크로소프트윈도우운영체제의 MS 취약점을악용하는악성코드 (Worm.Win32.MS08-067와 Hack.Exploit.Win32.MS eu) 역시 2개가포함된점이특이사항으로볼수있다. 그외 2009년상반기에발생한보안위협중라이징에서는주요사항으로 2가지를꼽고있었다. 그중첫번째가, 7월 6일에발생한마이크로소프트윈도우 (Windows) 운영체제의 BDA 튜닝모델 MPEG2Tune 요청관련취약점을악용하는스크립

19 트악성코드유포를, 두번째로는 7 월 14 일에발생한마이크로소프트오피스에포함된웹 컴포넌트 (Web Components) 관련취약점을악용하는악성코드유포이다. (2) 중국 6 월웹사이트위, 변조보안사고동향 중국대륙의보안위협과사고를총괄하는 CNCERT/CC 에서 7 월 23 일, 6 월웹사이트위 변 조보안사고동향보고서를발표하였다. 19 [ 그림 1-13] 2009 년 6 월중국웹사이트위 변조통계 CNCERT/CC에서이번에발표한보고서에따르면중국대륙은 6월한달동안총 3455건의웹사이트위 변조사고가발생하였으나 5월과비교하여 399건이감소한수치라고한다. 그리고홍콩의경우 6월총 24건이발생하였으나 5월과비교하여 7건이증가한수치이며대만의경우지난 5월과비교하여 1건이감소한 3건이발생하였다고한다. 이번 6월에발생한특이사항으로는 gov.cn 도메인을가지는웹사이트에서총 161건의웹사이트위 변조사고가발생하였으며이수치는지난 5월과비교하여 130건이나급격하게증가한수치라고한다. (3) 바이킹바이러스제작자출소후보안업체근무희망 2007 년한국에서도많은감염피해가있었던 Viking 바이러스제작자인중국인 Li Jun 은남 은형기를마치고 Shenzhen 으로돌아가보안업체에근무할예정이라고한다. Dellboy 바 이러스로도알려진 Li Jun 은 2006 년에서 2007 년도해당바이러스제작으로총 10 만대가넘

20 는컴퓨터를감염으로인한피해를발생시켰으며해당바이러스의소스코드판매등을통해총 10,000 위엔 ( 한화약 180만원 ) 의금품을챙겼다고한다. 이러한혐의들로인해 Li Jun은 4년형을선고받고현재복역중에있으며약 1년 6개월정도의형기가남았다고한다. 최근중국언론들과의인터뷰를통해 Li Jun은남은형기를마친이후에는 Shenzhen으로돌아가컴퓨터보안업체에서근무하기를희망한다고하였다. 다른보안업체들과달리백신업체로도알려진안티바이러스 (Anti-Virus) 업계에서는관례적으로악성코드제작자또는제작이력이있는사람그리고악성코드만을전문적으로수집하는악성코드수집가를채용하지않는것이일반적이다. 이러한안티바이러스업계의관례적인면에서볼때 Li Jun이출소후어떤보안업체를직장으로가지게될지주목된다. (4) 중국에서제작된제로데이 (Zero-Day) 취약점생성기 7월에는 6일과 14일과두차례에걸쳐마이크로소프트 (Microsoft) 에서개발한소프트웨어에서알려지지않은제로데이 (Zero-Day) 취약점을악용한악성코드가발견되어많은주의를요구하였다. 이번에발견된취약점들은마이크로소프트오피스 (Office) 에포함된웹컴포넌트 (Web Components) 관련취약점과윈도우운영체제에포함된다이렉트쇼 (DirectShow) MPEG2TuneRequest 취약점이다. 20 [ 그림 1-14] MS 오피스웹컴포넌트취약점생성기 [ 그림 1-15] MPEG2TuneRequest 취약점생성기 이러한취약점과이를악용한악성코드가발견된이후중국언더그라운드에서는해당취약점을악용하는쉘코드 (Shellcode) 가급격하게공유되고있었으며이와동시 [ 그림 1-14] 와 [ 그림 1-15] 와해당취약점들을악용하는스크립트악성코드생성기들도발견되었다. 해당생성기들은사용자인터페이스등으로미루어한명또는하나의그룹에의해서제작되었을것으로추정되고있으며모두동일하게가운데텍스트박스에다른악성코드변형들을다운로드할수있는웹사이트주소를지정해주고 " 생성 " 버튼을클릭하면자동으로해당

21 취약점을악용하는 HTML 파일이생성된다. 중국언더그라운드에서위와같은자동화된형 태의툴이제작되었다는것을통해더많은보안위협들이대량으로양산될가능성이높을 것으로예측할수가있다. 21

22 II. ASEC 칼럼 현금자동입출금기와악성코드 현금자동입출금기 (Automated Teller Machine, ATM) 은직원을통하지않고컴퓨터를이용해직접금융거래를할수있도록고안된기기로현금자동입금지급기, 현금인출기, 자동화기기등으로도불린다. 현금자동입출금기외에도병원장비, 티켓발권시스템등우리주변에서쉽게볼수있는다양한자동화기기의운영체계는윈도우나리눅스를사용하는경우가많다. 보통윈도우 2000이나윈도우 XP가사용되므로윈도우악성코드가실행될수있고이들시스템이악성코드제작자의목표가될수있다. 하지만, 악성코드제작의도가금전적이득인된현재는현금자동입출금기가악성코드의목표가될수있다. 22 [ 그림 2-1] 윈도우를사용하는현금자동입출금기 2009년 3월 26일러시아일간니자비스마야가제타는은행현금자동입출금기에서고객예금을노리는새로운유형의악성코드가발견되었다고보도했다. 1 이후 4월, 5월에도이회사소프트웨어를사용하는현금자동입출금기에설치되어사용자정보를빼가는악성코드가발견된다. 2 V3에서 Win-Trojan/Skimer 시리즈로진단되며 Win-Trojan/Skimer.57344, Win- Trojan/Skimer.50176, Win-Trojan/Skimer.41984, Win-Trojan/Skimer.81920, Win- Trojan/Skimer 등여러변형이존재한다. 이들악성코드는다이볼드 (DieBold,

23 사의다이볼드아길스 91x(Diebold Agilis 91x) 1 를목표로제작되었다. 현금자동입출금기에설치되어사용자가삽입한카드정보 (magneticstripe data) 와카드비밀번호를프린트하거나파일로남긴다고한다. 수집된정보를이용해신용카드카드복제등에악용될수있다고한다. [ 그림 2-2] Diebold 사 Agilis 91x 가목표 현금자동입출금기외부에서명령을내릴수있다고한다. 23 [ 그림 2-3] 외부에서명령줄수있음 현금자동입출금기를노린악성코드도발견되어충격을주었지만한가지다행인점은이런악성코드가제작되기위해서는시스템을잘이해해야하며시스템을관리하는내부자가깊게관여해야한다. 즉, 내부자공모가없다면어려운일이다. 이일은외국에서발생했고국내에서사용되는현금자동입출금기는국내자체적으로제작된프로그램이라아직이런공격을피해갈수있지만국내에서도이런문제가발생할가능성은존재한다. 특히이번에발견된악성코드의경우제작일자가 2007년 6월 25일도있어제작된지 18개월만에발견된것으로추정된다. 악성코드가일부시스템에만설치되므로널리퍼져빨리발견되니다른악성코드와는달리늦게발견된것이다. 악성코드가자동화기기에감염될수있으므로이들시스템에도백신프로그램등의보안프로그램이필요하게되었다. 하지만, 현금자동입출금기의경우폐쇄망으로구성되며상대적으로사양이낮은경우가많다. 윈도우 2000 이전에현금자동입출금기에사용된것으로알려진윈도우 3.1은 2008년 11월 2일에공식단 1

24 종되었다고한다. 1 또, 단순백신프로그램뿐만아니라관리자의부주의나악의적인프로그램설치를막기위해정해진프로그램만실행되거나행동을할수있는보안프로그램의필요성도대두되었다. 현금자동입출금기를노린악성코드는단발성해프닝으로끝날수도있지만향후인터넷과연동되는다양한기기들에대한위험성을알려지는소중한기회라고여겨진다. 참고자료 [1] Automated Teller Machine (ATM) Malware Analysis Briefing ( [2] Data-sniffing trojans burrow into Eastern European ATMs (

25 III. 이달의통계 1. 악성코드통계 (1) 7 월악성코드통계 7 월순위 악성코드명 건수 비율 1 - Win-Trojan/Banker D % 2 3 Win-Trojan/Netmen B % 3 NEW Dropper/OnlineGameHack % 3 NEW Win-Trojan/Downloader % 5 NEW Win-Trojan/Agent % 5 NEW Win32/Mydoom.worm D % 7 NEW Win-Trojan/Agent AIK % 8 NEW Win-Trojan/Agent AVD % 8 NEW Win-Trojan/Agent DL % 8 NEW Win-Trojan/OnlineGameHack % 25 합계 % [ 표 3-1] 2009 년 7 월악성코드피해 Top 10 6월의 Top 10에서 1위인 Win-Trojan/Banker D는 7월에도순위변동없이 1위를고수했다. 대표진단명기준으로볼때 Win-Trojan/Banker계열의악성코드가 6월이전까지의악성코드피해 Top 10에랭크되지못했던것을감안하면 Win-Trojan/Banker가 6, 7월악성코드피해 Top 10에서 1위를차지했다는것이특이하다. 보통고객에게서접수된의심파일이 Win-Trojan/Banker로명명된경우는주로중 남미권고객들로부터샘플이접수된경우인데이는 V3제품이중 남미권에서시장점유율이높아지고있기때문인것으로판단된다. 악성코드의동향이금전적인목적을노린트로이목마류로이동하면서거의자취를감췄던 Win32/Mydoom.worm의변종이발견되면서 7월악성코드피해 Top 10에서 5위에랭크된것에주목할필요가있다. 이번에발견된 Win32/Mydoom.worm D는메일의첨부파일로확산시도하는것뿐만아니라외국및국내정부기관및포털, 보안업체등주요사이트에 DDoS( 분산서비스거부 ) 공격을수행하는악성코드들과도관련이있다. 6월의악성코드피해 Top 10에서는 Dropper를포함한 OnlineGameHack 계열의악성코드가 5종이나랭크되어있었지만 7월의경우 Win32/Mydoom.worm을비롯한 DDoS( 분산서비스거부 ) 공격관련악성코드들이고객들로부터다수접수되면서 OnlineGameHack 악성코드 2종만이각각 3위, 8위에랭크되었을뿐대부분악성코드피해 Top 10 순위권밖으로

26 밀려났다. 악성코드피해 Top 10을살펴보면매월신규또는변종악성코드로대체되고있는데이는백신벤더의신속한대응으로인해서악성코드의라이프사이클이짧아졌고악성코드자동생성기, 공개된악성코드소스활용등으로수많은신 변종악성코드들이제작되고있기때문이다. 그밖에 Win-Trojan/Netmen B 는 3 단계상승하여 2 위를차지했고 Win- Trojan/Bho 는 7 월에 Top 10 순위권밖으로밀려났다. 7 월순위 악성코드명 건수 비율 1 1 Win-Trojan/Agent % 2 1 Win-Trojan/OnlineGameHack % 3 NEW Win32/Virut % 4 1 Win-Trojan/Downloader % 5 5 Win-Trojan/Fakeav % 6 1 Dropper/OnlineGameHack % 7 NEW Win-Trojan/Magania % 8-7 Win-Trojan/Fraudload % 9-5 Win32/Autorun % 10 NEW Dropper/Agent 77 3 % 합계 2, % 26 [ 표 3-2] 월악성코드대표진단명 Top 10 [ 표 3-2] 는대표진단명을기준으로유사변형들을묶어통계를뽑은것으로개별악성코드 에대한피해현황을설명하고있는 [ 표 3-1] 보다좀더포괄적인악성코드감염현황을파 악하는데목적이있다. [ 표 3-2] 를요약하면아래와같이요약할수가있다. Win-Trojan/OnlineGameHack이 1단계상승으로 2위차지 Win-Trojan/Downloader이 1단계상승으로 4위차지 Dropper/OnlineGameHack이 1단계상승으로 6위를차지 Dropper/Agent가 10위로대표진단명 Top 10에신규진입 Win-Trojan/Magania가 7위로대표진단명 Top 10에신규진입 Win32/Virut가 3위로대표진단명 Top 10에신규진입 [ 표 3-2] 에서표기된악성코드들은 Internet Explorer 나 Acrobat Reader 같은응용프로그램 의취약점 (0-day 취약점 ) 이존재할경우악성스크립트와함께유포가되는특징을가지고

27 있다. 그리고대표진단명 Top 10 순위권안에는들지못했지만앞에서언급한응용프로 그램의취약성을공격하는악성스크립트는 V3 진단명기준으로 JS/Exploit, PDF/Exploit, SWF/Exploit, JS/MPEG2Exp 등이여러가지가있다. Autorun 웜은 7 월에 5 단계하락한 9 위를차지했지만여전히고객들로부터피해가꾸준히 접수되고있다. Autorun 웜에는특정보안프로그램들의파일을삭제하거나손상시켜서실 행을방해하는 AVKiller 기능을가지고있다. 사용자가처리하는것이어려울수도있다. Win32/Virut바이러스가 3위에랭크되면서새롭게 Top 10에진입했다. 보통바이러스의라이프사이클을고려해볼때소멸되지않고꾸준히변종이제작되어유포되는바이러스는극히드물다. 최근에 Win32/Virut.F로추가된변종 Win32/Virut바이러스의경우, 메모리에서프로세스에스레드 (Thread) 형태로자신의코드를주입및실행함으로써치료를어렵게만들고 Conficker(Kido) 웜과동일하게감염된시스템에서특정보안사이트로접속하는것을방해하는특징을가지고있다. ( 그림 3-1. 참고 ) 27 [ 그림 3-1] Win32/Virut.F 의보안사이트차단리스트 FakeAv는 7월에는 5단계상승하여 5위를차지하였다. FakeAv의경우주로동영상재생프로그램또는코덱파일로위장하고있거나메일본문에포함된링크를클릭할경우악성스크립트가다운로드및실행되면서 FakeAv를설치하는경우인데사회공학기법 ( 예를들면마이클잭슨사망등사회적으로큰이슈가될만한내용으로위장 ) 를사용하기때문에국내사용자들도의심없이링크를클릭하여감염되는피해사례가상당수보고되고있는실정이다. 최근들어 System Security 라불리는 FakeAv 가다수고객들로부터피해사례가접수되고 있다. 해당악성코드에감염되면윈도우의중요프로세스를제외한모든프로세스는종료하 는기능을가지고있다. wuauclt.exe / wscntfy.exe / winlogon.exe / wininit.exe / nvsvc.exe / lsm.exe / lsass.exe / iexplore.exe / system / svchost.exe / spoolsv.exe / smss.exe / slsvc.exe / services.exe / explorer.exe / ctfmon.exe / csrss.exe / alg.exe

28 아래그림은 FakeAv 가유포되는경우의한예이다. [ 그림 3-2] 메일을통해서확산되는 FakeAv 샘플의예 28 [ 그림 3-3] 2009 년 7 월악성코드유형별피해신고비율 [ 그림 3-3] 은 2009년 7월전체악성코드유형별피해신고건수를나타내고있는그래프이며트로이목마 > 바이러스, 드롭퍼 > 웜 > 스크립트 > 유해가능프로그램 > 기타순으로정리해볼수있다. 보통바이러스의경우 10% 를넘는경우가없었는데 Win32/Virut의변종이꾸준히발견되면서 7월에는 Trojan 다음에위치하고있다.

29 [ 그림 3-4] 2009 년 7 월악성코드유형별피해신고비율전월비교 29 위의 [ 그림 3-4] 는전월과비교한악성코드유형별피해신고를나타낸것이다. 트로이목마는전월대비 2.1% 정도감소하였으나여전히다른악성코드에비해서월등히높은점유율을보이고있으며스크립트, 웜, 유해가능프로그램역시소폭감소하였지만전체적인점유율은전월과거의비슷하다. 여기서도잘알수있듯이바이러스경우전월대비약 5배정도증가하였는데그원인은앞에서언급하였기때문에여기서는생략한다. [ 그림 3-5] 월별피해신고건수 ASEC Report 6 월호에포함된월별피해신고건수와는상이한수치인데이는고객에게좀더 정확하고자동화된정보를제공하기위해서통계산출방식을변경하였기때문이다.

30 신통계산출방식에따르면월별피해신고건수는 [ 그림 3-5] 처럼하락세를나타내고있지만현재사회적으로이슈가된악성코드의유포방법을살펴보면 OS에존재하는취약점보다는사용자들사이에서널리사용되는응용프로그램 (Internet Explorer, Acrobat Reader 등여러가지 ) 의취약점을공격하며이것이침해사고가발생한웹사이트와결합되면서파급효과가크다는것이다. 또한여기에사회공학기법, 메신저쪽지등사용자를유혹하는다양한방법이사용되고있다. 결론은현재사회적으로이슈가되고있는악성코드들로부터자신의시스템을안전하게지키기위해서는주기적인보안업데이트점검및설치, 백신엔진을최신으로유지하고주기적으로검사및치료, 의심스러운메일또는쪽지는열람하지않는등의기본적인보안수칙을지켜야한다. (2) 국내신종 ( 변형 ) 악성코드발견피해통계 7 월한달동안접수된신종 ( 변형 ) 악성코드의건수및유형은 [ 표 3-3] 과같다. 30 [ 표 3-3] 2009 년최근 3 개월간유형별신종 ( 변형 ) 악성코드발견현황 이번달부터통계기준을새롭게마련하여이전달과수치가다를수있으니이와같은점 을참고하여야한다. 이번달악성코드는전월대비 26% 감소하였다. 전체적으로모든악성코드유형에서감 소가있었으며, 원인은명확히설명하기어렵다. 많은감소수를보이는악성코드는다음과 같다. - Win-Trojan/Agent - Win-Trojan/Hupigon - Win-Trojan//Infostealer - Win-Trojan/Injector 위유형의악성코드는모두평범한형태의악성코드로대부분국지적으로발생했다고사라 지고다시증가하기도한다. 이외에도 Win-Trojan/Downlaoder 처럼독립실행되지않고 다른악성코드들과유기적으로결합되어있는악성코드역시악성코드의증가및감소에

31 있어서는뚜렷한영향을주지않는것들이대부분이다. 웜유형은대표적으로 Win32/Autorun.worm 유형이감소하였다. 그러나 Win- Trojan/Autorun 웜과의경계가모 호함으로인하여해당악성코드가감소했다고해서큰의미를두지는않는다. 다음은이번달악성코드유형을상세히분류하였다. [ 그림 3-6] 2009 년 07 월신종및변형악성코드유형 31 트로이목마유형은전월대비 20% 감소하였다. 위에서언급했듯이다수의악성코드유형에있어서감소가있었음을알수있었지만그원인에대해서는명확히알수는없었다. 반면전월보다증가한악성코드도있었는데가짜백신인 Win-Trojan/Fakeav와스팸메일러인 Win-Trojan/SpamBot은그변형이계속발견되었다. 이둘은연관관계가있을것으로추정되는데사용된안티에뮬레이팅기법이거의유사하며감염된시스템에서는동시에발견된사례가많았다. 드롭퍼유형도전월대비 26% 감소하였다. 스크립트유형은 14% 감소하였고, 대부분자바스크립트유형이많이감소하였다. 이번달발견, 보고된 DirectShow MPEG2TuneRequest 제로데이 (0-day) 취약점을이용하는악성스크립트는국내 외적으로발견, 보고가있었지만큰피해를불러오지는않았다. 웜유형은무려전월대비 62% 감소하였다. 대부분이 Autorun 웜관련이며이유형의악성코드의증 / 감추세는명확하지않다. 이동식디스크로자신을전파하도록하는방법은여전히악성코드제작자들에게폭넓게사용되고있다는반증정도이다. 취약점관련악성코드는기존에알려진 PDF 및 SWF 관련취약점을이용하는형태가일반적이였다. 오피스웹컨포넌트관련제로데이와어도비플래쉬관련제로데이등이보고되었으며이와함께악성코드도보고되었다. 다음은최근 3 개월간신종및변형악성코드분포이다.

32 [ 그림 3-7] 2009 년최근 3 개월간악성코드분포 트로이목마유형은최근 3 개월간발견추세가하락하고있다. 드롭퍼와웜유형은최근 3 개월간소폭상승하였지만 7 월에들어서는전체적으로하락했다. 다음은온라인게임의사 용자계정을탈취하는악성코드의추세를살펴보았다 년온라읶게임사용자계정탈취 악성코드추세 월 2 월 3 월 4 월 5 월 6 월 7 월 [ 그림 3-8] 온라인게임사용자계정탈취트로이목마현황 최근 3개월간해당악성코드역시감소하고있는것으로보인다. 국내에서발견되는유형은본보고서를통해서언급했듯이특정한 custom packer 로된유형이해당유형중에서 90% 를차지할정도로많다. V3 를비롯한일부안티바이러스업체에서도이러한유형을 Generic 하게진단하고있어 7월은특히더감소추세가확연한것으로생각된다.

33 최근 3 개월간악성코드분포 09/04 월 09/05 월 09/06 월 [ 그림 3-9] 2009 년최근 3 개월간악성코드분포 33 이번달트로이목마의상승세는주춤하였다. 반면드롭퍼와웜, 스크립트유형이증가하였다. Autorun 유형의악성코드가원인이명확하지않게증가한것도해당악성코드유형들이증가하는데한몫을하였다. 다음은온라인게임의사용자계정을탈취하는악성코드의추세를살펴보았다 년온라읶게임사용자계정탈취 악성코드추세 월 2 월 3 월 4 월 5 월 6 월 [ 그림 3-10] 온라인게임사용자계정탈취트로이목마현황

34 이번달해당악성코드는 54% 감소하였다. 이는올해들어가장낮은수치를보이고있다. 해당악성코드가급격히감소를보인것에대해서는명확하지않다. 다만스크립트악성코드유형중인터넷익스플로러취약점을이용한것이많지않았으며 Dropper 역시해당악성코드를 Drop 하는형태가많지않았다. 또한이유형의악성코드의경우이전에도언급했듯이특정한 custom packer 형태로만들어진것이가장많은보고가이루어진다. 해당유형은전체온라인게임악성코드의대부분을차지한다. 비록그수치가전월대비줄었다고해도해당악성코드는사용자로부터많은보고가들어오는형태로그수가줄었다고안심할수는없다. 34

35 2. 스파이웨어통계 (1) 7 월스파이웨어피해통계 순위 스파이웨어명 건수 비율 1 NEW Win-Downloader/ColorSoft B % 2 NEW Win-Adware/BHO.Greenpoint % 3 NEW Win-Adware/Greenpoint % 4 NEW Win-Adware/Greenpoint % 5 NEW Win-Spyware/DDOS.Independence % 6 NEW Win-Spyware/DDOS.Independence % 7 NEW Win-Adware/Rogue.HelpClear % 8 NEW Win-Downloader/LastLog % 9 NEW Win-Adware/WiseBar % 10-6 Win-Downloader/Rogue.HelpClear % 합계 % [ 표 3-4] 2009 년 7 월스파이웨어피해 Top [ 그림 3-11] 2009 년 7 월스파이웨어피해 Top 년 7월스파이웨어피해 Top10에서는다운로드컬러소프트 (Win- Downloader/ColorSoft B) 가가장많은피해를입힌것으로나타났다. 다운로드컬러소프트는국내소프트웨어업체에서제작하고무료로배포하는무료TV 청취프로그램에의해설치가된다. 특히다운로드컬러소프트의제작사는지난상반기많은피해신고가확인된아

36 이쇼우 (Win-Adware/IEShow) 를제작한업체와동일한업체로추정된다. 다운로더컬러소프트는사용자몰래업데이트서버에서프로그램목록을다운로드받아사용자의시스템에설치를하는기능을가지고있다. 컬러소프트에의해설치되는프로그램은사용자의인터넷검색정보를감시해특정키워드가검색될때주소표시줄에광고를노출하는키워드광고프로그램으로확인되었다. 2,3,4위에이름을올린그린포인트는적절한사용자동의없이사용자의시스템에설치되는리워드프로그램이다. 순위 대표진단명 건수 비율 1 1 Win-Downloader/Zlob % 2 7 Win-Dropper/Rogue.FakeAV % 3 NEW Win-Adware/BestLink 37 7 % 4 NEW Win-Adware/Greenpoint % 5 - Win-Adware/IEShow % 6 NEW Win-Downloader/ColorSoft % 7 NEW Win-Spyware/DDOS % 8-7 Win-Downloader/Rogue.FakeAV % 9 NEW Win-Spyware/PWS.OnlineGame % 10-7 Win-Adware/Asdfware 21 4 % 합계 % [ 표 3-5] 7 월대표진단명에의한스파이웨어피해 Top10 36 [ 표 3-5] 은변형을고려하지않은대표진단명을기준으로한피해건수이다. 6월에는총피해건수가 530건으로지난 6월의 3612에비해큰폭으로줄었다. 지난달에이어가장많은피해신고가접수된스파이웨어는다운로더즐롭 (Win-Downloader/Zlob) 이다. 다운로더즐롭의피해신고가큰폭으로감소했다. 즐롭은배포사이트에서실시간으로변형을한다. 지난 7월에는즐롭배포사이트가크게감소했으며, 이것은전체적인피해신고감소에큰영향을주었다 년 7 월유형별스파이웨어피해현황은 [ 표 3-6] 과같다. 구분 스파이 웨어류 애드 웨어 드롭퍼 다운 로더 다이 얼러 클리커 익스 플로잇 AppCare Joke 합계 5월 월 월 [ 표 3-6] 2009 년 7 월유형별스파이웨어피해건수 조금씩줄어들던스파이웨어와애드웨어의피해는큰폭으로증가한반면다운로더의피해

37 건수는지난달의 1/9 수준으로감소했다. 다운로더의피해건수가감소한것은외산가짜백 신을설치배포하는사이트가많이줄어든것이원인이다. (2) 7 월스파이웨어발견현황 7 월한달동안접수된신종 ( 변형 ) 스파이웨어발견건수는 [ 표 3-7], [ 그림 3-12] 와같다. 구분 스파이 웨어류 애드 웨어 드롭퍼 다운 로더 다이 얼러 클리커 익스 플로잇 AppCare Joke 합계 5월 월 월 [ 표 3-7] 2009 년 7 월유형별신종 ( 변형 ) 스파이웨어발견현황 37 [ 그림 3-12] 2009 년 7 월발견된스파이웨어프로그램비율 지난달다운로더의피해가신고의대부분을차지했던반면 7 월에는애드웨어에의한피해신 고가큰폭으로증가했다. 신고가접수된애드웨어는대부분국산프로그램으로국산애드웨 어의피해가다시증가하는것으로풀이할수있다.

38 3. 시큐리티통계 (1) 7 월마이크로소프트보안업데이트현황 마이크로소프트사로부터발표된이달보안업데이트는총 8 건으로긴급 (Critical) 4 건, 중요 (Important) 3 건, 보통 (Moderate) 1 건이다. 38 [ 그림 3-13] 7 월 MS 보안업데이트현황 위험도취약점 PoC 긴급 (MS09-028) Microsoft DirectShow 의취약점으로인한원격코드실행문제점유 [ 표 3-8] 2009 년 07 월주요 MS 보안업데이트 이달에는 7월초경에제로데이취약점으로알려진웹서버인 DirectX 의 MPEG2Tune의취약점을보완하는보안업데이트가포함되어있다. 현재 Internet Explorer 를이용하여해당취약점을통해악성코드가유포됨으로일반사용자들은반드시보안패치를하여야한다. 7월 13일경에발표된 Microsoft Office Web Component 에해당하는패치가아직발표되지않았는데, 해당취약점은악의적으로이용이가능함으로주의가필요하다.

39 (2) 2009 년 6 월웹침해사고및악성코드배포현황 [ 그림 3-14] 악성코드배포를위해침해된사이트수 / 배포지수 년 7월악성코드를위해침해된웹사이트의수와악성코드유포지의수는 67/15로 2009년 6월의 122/20과비교하여유포지의수는변화가없었지만침해지의수는큰폭으로감소하였다. 2009년웹공격코드의특징은 PDF나오피스또는플래쉬등의취약점을공격하는코드가많아졌다는것이다. PDF = new Array('AcroPDF.PDF', 'PDF.PdfCtrl'); for(i in PDF) { obj = new ActiveXObject(PDF[i]); [ 그림 3-15] 공격코드 [ 그림3-15] 의코드는다음과같은문서의취약점을공격한다. AcroPDF.PDF PDF.PdfCtrl ShockwaveFlash.ShockwaveFlash 이러한공격으로부터사용자의시스템을방어하기위해서는항상사용제품의보안상태를 최신으로유지하고, 최신상태의안티바이러스제품을사용해야한다.

40 4. 사이트가드통계 (1) 2009 년 7 월웹사이트보안요약 구분 건수 악성코드발견건수 219,383 악성코드유형 827 악성코드가발견된도메인 772 악성코드가발견된 URL 8,860 [ 표 3-9] 7 월웹사이트보안요약 웹사이트를통한사용자의피해를막기위해안철수연구소가제공하는인터넷보안무료 서비스인 사이트가드 1 의통계를기반으로본자료는작성되었다. [ 표 3-9] 는 2009 년 7 월한달동안웹사이트를통해발견된악성코드동향을요약해서보 여주고있다. 40 사이트가드의집계에따르면 7월한달동안악성코드는 827종 219,383건발견되었으며, 악성코드가발견된도메인은 781건, 악성코드가발견된 URL은 8,860건으로지난 6월의급격한증가와달리전반적으로감소하였다. 악성코드발견건수 219,383건은 6월 682,795건에비해 1/3 수준으로감소한수치이다. 이는 2009년 6월도메인수가엄청난수치였음을다시한번알수있었으며, 7월은지난 5월에비해약 20% 정도증가하였다. 세부내용을보면다음과같다. 1

41 (2) 악성코드월간통계 가 ) 악성코드발견건수 [ 그림 3-16] 월별악성코드발견건수 41 [ 그림 3-16] 은최근 3 개월인, 2009 년 5 월부터 2009 년 7 월까지의악성코드발견건수의추 이를나타내는그래프로 7 월악성코드발견건수는 219,383 건으로지난달에비해약 1/3 로감소하였다. 나 ) 악성코드유형 [ 그림 3-17] 월별악성코드유형 [ 그림 3-17] 은최근 3 개월간발견된악성코드의유형을나타내는그래프로 7 월에는 827 종

42 으로지난 6 월에비해다소감소하였다. 다 ) 악성코드가발견된도메인 [ 그림 3-18] 월별악성코드가발견된도메인 [ 그림 3-18] 은최근 3 개월간악성코드가발견된도메인수의변화추이를나타내는그래프 로 6 월악성코드가발견된도메인은 772 개로전월에비해감소하였다. 라 ) 악성코드가발견된 URL 42 [ 그림 3-19] 월별악성코드가발견된 URL [ 그림 3-19] 는최근 3 개월간악성코드가발견된 URL 수의변화추이를나타내는그래프로 7 월악성코드가발견된 URL 수는 8,860 개로전월에비해다소감소하였다.

43 (3) 유형별악성코드배포수 유형 건수 비율 Adware 84, % Trojan 81, % Downloader 7, % Win32/Virut 4, % Dropper 27, % AppCare 1, % Win-Clicker 3, % Spyware % Joke % 기타 8,859 4% 합계 219, % [ 표 3-10] 유형별악성코드배포수 43 [ 그림 3-20] 유형별악성코드분포 [ 표 3-10] 과 [ 그림 3-20] 은 7 월한달동안발견된악성코드를유형별로구분하여발견건 수와해당비율 (%) 를보여주고있다. 7 월한달동안총 219,383 개의악성코드가발견되었으며이중 Adware 류가 84,674 개로 6 월에이어서 1 위를고수하였다. Trojan 류는 81,474 개로 2 위를차지하였으며, 3 위는 Downloader 류가 7,666 개로 3 위를차지하였다.

44 (4) 악성코드배포순위 순위 악성코드명 건수 비율 1 2 Win-Trojan/Xema.variant % 2 5 Win-Adware/Shortcut.InlivePlayerActiveX % 3 NEW Win-Dropper/WiseBar % 4 2 Win-Adware/Shortcut.IconJoy % 5 NEW Win-Adware/Shortcut.INBEE.iomeet % 6 NEW Win-Trojan/StartPage % 7 NEW Win-Adware/BHO.HiMyCar % 8 NEW Win-Trojan/Shutdowner B % 9 NEW Win-Downloader/Rogue.PCPlus B % 10 NEW Win32/Parite % 합계 % [ 표 3-11] 유형별악성코드배포 Top 10 [ 표 3-11] 는 3월한달동안웹사이트에서사이트가드를통해확인된악성코드배포 Top 10을보여주고있다. Top 10에포함된악성코드들의총배포건수는 528,413건으로 6월한달총배포건수 682,795건의약 77% 에해당된다. [ 표3-11] 유형별악성코드배포 Top10 에서알수있듯이 Top10의대부분은 Adware류와 Trojan류가차지하였다. 44 특이한점은 7 월에는 Top 10 에신규로진입한악성코드가 7 건이나되었다. 6 월에 3 건이었 던것에비하면 7 월은많은변동이있었다는것을알수있다. 요컨대, 2009년 4월부터시작된악성코드의증가세는 6월에정점을찍고 7월에는감소하였다. 이는 7월에는급격한확산을보이는악성코드가 6월에비해서는적었던것이하나의이유로보인다. 하지만, 6월은특이할정도로악성코드의유포가급격한달이었으며, 7월은 6월에비해서는악성코드의확산이적을뿐이지지난 4월부터시작한악성코드유포의증가세는계속지속되고있다. 따라서, 기업보안관리자는사이트가드와같은웹보안서비스를이용하여자사의사이트에대한정기적인점검을통해고객의피해를방지하는최소한의노력이필요한시점이다.

45 ASEC REPORT 작성을위하여다음과같은분들께서수고하셨습니다 년 7 월호 편집장선임연구원허종오 집필진 선임연구원 정진성 선임연구원 차민석 선임연구원 이정형 선임연구원 심선영 선임연구원 허종오 주임연구원 장영준 주임연구원 강동현 주임연구원 안창용 주임연구원 김민성 주임연구원 주설우 감수상무조시행 45 참여연구원 ASEC 연구원분들 SiteGuard 연구원분들