Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top20 이다 년 6 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1

Size: px

Start display at page:

Download "Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top20 이다 년 6 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1"

아라 장곡
5 years ago
Views:

6월의악성코드감염보고는 TextImage/Autorun 이 1위를차지하고있으며, Win32/Induc과

2010년 6월의감염보고건수는 Win-Trojan/Agent 가총 987,098건으로 Top20 중 15.

3 Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top20 이다 년 6 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 년 6월의악성코드감염보고는 TextImage/Autorun 이 1위를차지하고있으며, Win32/Induc과 Win-Trojan/Overtls 가각각 2위와 3위를차지하였다. 신규로 Top20 에진입한악성코드는총 5건이다. 2010년 6월의감염보고건수는 Win-Trojan/Agent 가총 987,098건으로 Top20 중 15.6% 의비율로 1위를차지하고있으며, Win-Trojan/ Onlinegamehack이 694,532 건으로 2위, Win-Trojan/Downloader 가 519,743건으로 3위를차지하였다. 아래차트는고객으로부터감염이보고된악성코드유형별비율이다. [ 그림 1-1] 악성코드유형별감염보고비율 AhnLab Policy Center 4.0 세상에서가장안전한이름안철수연구소 01

2010 년 6 월의감염보고건수는악성코드유형별로감염보고건수비율은 트로잔 (TROJAN) 류가 48.9% 로가장많은비율을차지하고, 웜 (WORM) 가 12.5%, 애드웨어 (ADWARE) 가 8.5% 의비율을각각차지하고있다.

[ 그림 1-2] 악성코드유형별감염보고전월비교 악성코드유형별감염보고비율을전월과비교하면, 트로잔, 웜, 애드웨어, 다운로더 (DOWNLOADER), 스파이웨어 (SPYWARE) 가전월에비해증가세를보이고있는반면바이러스 (VIRUS), 스크립트 (SCRIPT),

167312가 97,038건으로전체 10.1% 를차지하여 1위를차지하였으며, Win-Trojan/Inject.1588224가 93,837건 2위를차지하였다.

4 2010 년 6 월의감염보고건수는악성코드유형별로감염보고건수비율은 트로잔 (TROJAN) 류가 48.9% 로가장많은비율을차지하고, 웜 (WORM) 가 12.5%, 애드웨어 (ADWARE) 가 8.5% 의비율을각각차지하고있다. 아래표는 6 월에신규로접수된악성코드중고객으로부터감염이보고 된악성코드 Top20 이다. [ 그림 1-2] 악성코드유형별감염보고전월비교 악성코드유형별감염보고비율을전월과비교하면, 트로잔, 웜, 애드웨어, 다운로더 (DOWNLOADER), 스파이웨어 (SPYWARE) 가전월에비해증가세를보이고있는반면바이러스 (VIRUS), 스크립트 (SCRIPT), 드롭퍼 (DROPPER), 애프케어 (APPCARE) 는전월에비해감소한것을볼수있다. [ 표 1-3] 신종악성코드감염보고 Top 20 6월의신종악성코드감염보고의 Top 20은 Win-Adware/Rogue. PrivacyScan 가 97,038건으로전체 10.1% 를차지하여 1위를차지하였으며, Win-Trojan/Inject 가 93,837건 2위를차지하였다. [ 그림 1-3] 악성코드월별감염보고건수 6 월의악성코드월별감염보고건수는 12,367,045 건으로 5 월의악성코 드월별감염보고건수 11,537,351 건에비해 829,694 건이증가하였다. [ 그림 1-4] 신종악성코드유형별분포 6 월의신종악성코드유형별분포는트로잔이 69% 로 1 위를차지하였 다. 그뒤를이어애드웨어가 15%, 다운로더가 6% 를각각차지하였다. 악성코드이슈 어도비 PDF, SWF 취약점관련 AhnLab V3 MSS 이번에알려진취약점은 PDF 자체의취약점이라기보다는 PDF 내부에 포함 SWF 파일에기인한다. 이것과비슷한취약점은 Adobe Acrobat 02 ASEC Report _ Vol.06

Reader Flash Player Remote Code Execution(CVE-2009-1862) 으로보고된적이있었다. 악의적인 PDF 는다음과같은형태를가지 고있다. [ 그림 1-5] 악의적인 PDF 문서의구조 암호화된 EXE 파일은실행후특정호스트로부터파일을다운로드및실행한다.

사용자및관리자들은이러한추세를인지하여자신및기업이사용하고있는해당프로그램에대해관심있는업데이트가필요하다. 메일을이용한형태의악성코드 [ 그림1-7] 5월에발견된악성코드가첨부된메일형태이번달에발견된형태는특정금융사의이메일카드명세서로위장되었다.

[ 그림 1-8] 6 월에발견된악성코드가첨부된메일형태 그리고다음과같은특정키보드보안프로그램을설치하도록유도하는 데이는허위로, 실제로는키보드보안프로그램이아니다.

또한 *.exe 확장자와같은실행가능한파일이아닌스크립트를이용한형태의스팸성메일에주의를기울여야한다. 또다른형태로는국내사용자를노린것으로특정카드사의요금명세서를가장한형태이다. 이와비슷하게 5월중순에는다음과같은형태로실행가능한첨부파일이포함된형태로발견되기도하였다.

5 Reader Flash Player Remote Code Execution(CVE ) 으로보고된적이있었다. 악의적인 PDF 는다음과같은형태를가지 고있다. [ 그림 1-5] 악의적인 PDF 문서의구조 암호화된 EXE 파일은실행후특정호스트로부터파일을다운로드및실행한다. 여기서생성된 DLL 파일은시스템정상파일인 qmgr.dll을자신으로변경하고동작한다. 동작후악의적인증상으로는시스템정보와서비스및응용프로그램설치정보를특정호스트로전송한다. PDF 와 SWF 취약점이일반화된요즘해당프로그램에대한보안업데이트가시급하다. 사용자및관리자들은이러한추세를인지하여자신및기업이사용하고있는해당프로그램에대해관심있는업데이트가필요하다. 메일을이용한형태의악성코드 [ 그림1-7] 5월에발견된악성코드가첨부된메일형태이번달에발견된형태는특정금융사의이메일카드명세서로위장되었다. 아래빨간박스의이용대금명세서보기를클릭하면실제해당카드사가아닌공격자가설정한호스트로이동한다. 6 월중순, 메일에 *.html 형태의파일이첨부된스팸성메일이지속적으 로유포되었다. 해당메일은다음과같은형태로되어있었으며메일제 목과본문내용은변경되어지속적으로유포되었다. [ 그림 1-8] 6 월에발견된악성코드가첨부된메일형태 그리고다음과같은특정키보드보안프로그램을설치하도록유도하는 데이는허위로, 실제로는키보드보안프로그램이아니다. [ 그림 1-9] 허위키보드보안프로그램설치를유도 [ 그림1-6] 스팸성메일형태첨부된파일을클릭하면특정웹사이트로이동하며최종적으로성인약품광고사이트로이동한다. 일부변형에서는악성코드를다운로드하는웹페이지도알려졌으나확인은되지않았다. 이처럼윌드컵시즌에이를이용한허위메일이기승을부릴가능성이높다. 또한 *.exe 확장자와같은실행가능한파일이아닌스크립트를이용한형태의스팸성메일에주의를기울여야한다. 또다른형태로는국내사용자를노린것으로특정카드사의요금명세서를가장한형태이다. 이와비슷하게 5월중순에는다음과같은형태로실행가능한첨부파일이포함된형태로발견되기도하였다. 이번에발견된금융사사칭메일은 5월에발견된형태의다른변형으로추정된다. 형태는각각다음과같다. 실제로는다음과같은파일을설치한다. [ 그림1-10] 실제설치되는악성코드해당파일이설치및실행되면특정서버로부터똑같은형태의메일을받아와발송한다. 이처럼 5월에는월드컵관련및특정가수등과관련된내용을발송했었다. 6월에발견된경우에는금융사의신용카드명세서를확인하는내용을보내게되는데이는서버로부터메일내용과주소를받아와보내게된다. 즉, 감염된시스템은악의적인메일을보내는시스템이되고또한특정포탈에대하여분산서비스공격 (DDoS) 를하도록설정되어있기때문에다른시스템과서비스에피해를주는공격도구로 세상에서가장안전한이름안철수연구소 03

변모한다. 최근들어메일을이용한악성코드전파가기승을부리고있다. 메일은전통적으로악성코드전파에즐겨사용되었다. 최근의추세라면국내의경우점차정교한한글메시지가포함된형태가늘어날것으로전망되므로메일내첨부된파일및링크클릭시반드시주의를기울이고기본적으로안티바이러스제품설치및악의적인웹사이트여부를판별해줄수있는평판서비스및제품을함께이용하는것이좋다.

[ 그림 1-13] RAR 압축파일로암호가걸려있으나아래와같이암호를유추할수있는경우 기존에는 1, 2번과같이단순히 EXE 파일혹은압축파일형태로전송했으나최근 V3제품의ASD 엔진에서의빠른대응및제품의압축파일까지검사하는기능에의해선방하고있는형태이다.

최근다운로드받는악성코드형태가많이변화되고있는데현재까지발견된형태는아래와같다. 1. RAR 압축파일로전달하여압축을해제하면아래와같은폴더아이콘으로폴더를가장한 EXE 파일형태 최근아래와같은제목으로스팸메일에악성 URL의링크를삽입하여접속을유도하여악성코드를감염시키는사례가확인이되었다. Amazon.

6 변모한다. 최근들어메일을이용한악성코드전파가기승을부리고있다. 메일은전통적으로악성코드전파에즐겨사용되었다. 최근의추세라면국내의경우점차정교한한글메시지가포함된형태가늘어날것으로전망되므로메일내첨부된파일및링크클릭시반드시주의를기울이고기본적으로안티바이러스제품설치및악의적인웹사이트여부를판별해줄수있는평판서비스및제품을함께이용하는것이좋다. 해당파일이설치및실행되면특정서버로부터똑같은형태의메일을받아와발송한다. 네이트온을통해유포되는악성코드 네이트온을통해유포되는악성코드가많이확산되고있다. 네이트온을 통해유포되는악성코드는주로쪽지나대화창을통해전달이되며유포 형태는아래그림과같다. [ 그림 1-13] RAR 압축파일로암호가걸려있으나아래와같이암호를유추할수있는경우 기존에는 1, 2번과같이단순히 EXE 파일혹은압축파일형태로전송했으나최근 V3제품의ASD 엔진에서의빠른대응및제품의압축파일까지검사하는기능에의해선방하고있는형태이다. 하지만이런점을감안하여최근악성코드제작자가 vbs 같은스크립트형태의파일로유포하여실시간감시를우회하거나압축파일에암호를걸어압축파일검사를우회하는형태가발견되었으니주의가필요하다. 스팸메일을통해유포되는악성코드의형태 [ 그림 1-11] 네이트온악성코드유포형태네이트온악성코드는쪽지나대화창을통해 URL이전달되며해당 URL로접속시악성코드파일을다운로드받게된다. 최근다운로드받는악성코드형태가많이변화되고있는데현재까지발견된형태는아래와같다. 1. RAR 압축파일로전달하여압축을해제하면아래와같은폴더아이콘으로폴더를가장한 EXE 파일형태 최근아래와같은제목으로스팸메일에악성 URL의링크를삽입하여접속을유도하여악성코드를감염시키는사례가확인이되었다. Amazon.com: Get Ready for Cyber Monday Deals * 이메일주소 * has sent you a birthday ecard. FaceBook message: intense sex therapy Reset your Facebook password Reset your Twitter password FIFA World Cup South Africa... bad news * 도메인명 * account notification 위제목외에도다수의제목이존재하며해당메일에포함된 html 파일 혹은링크를클릭할경우악성코드를유포하는사이트및성인약품광고 사이트로자동접속되게된다. [ 그림 1-12] 폴더아이콘을위장한악성코드 2. EXE 파일로악성코드를바로전달하는경우 3. RAR 압축파일로전달하여압축을해제하면 vbs 파일이나오는경우 4. RAR 압축파일이나암호가걸려있으며아래그림과같이암호를유추할수있는경우 AhnLab V3 Internet Security ASEC Report _ Vol.06

[ 그림 1-14] html 파일혹은링크를클릭하였을경우나타나는성인약품광고사이트 악성코드를유포하는사이트는현재확인된바로는 MDAC (MS06-014), JAVA(CVE-2010-0886), Adobe Acrobat

[ 그림 1-16] 윈도우운영체제업데이트를가장한가짜백신설치프로그램 [ 그림 1-16] 에서알수있듯실제윈도우운영체제업데이트와동일한형태를가지고있으므로컴퓨터에대한전문적인지식이없는일반적인사용자들은의심없이가짜백신을설치하게된다.

한국에서도동일하게윈도우업데이트를가장해윈도우부팅시마다애 드웨어를추가로설치하는사례가발견되었었다.

사회공학적기법을이용한악성코드배포최근 Antimalware Doctor이라는가짜백신을윈도우운영체제업데이트를가장해서설치하는사례가발견되었다.

7 [ 그림 1-14] html 파일혹은링크를클릭하였을경우나타나는성인약품광고사이트 악성코드를유포하는사이트는현재확인된바로는 MDAC (MS06-014), JAVA(CVE ), Adobe Acrobat Reader취약점을이용하여악성코드를다운로드및실행을하게된다. 설치되는악성코드는아래와같은허위백신이며설치가될경우치료를위해결제를요구하거나스팸메일이발송되는증상이발생한다. [ 그림 1-16] 윈도우운영체제업데이트를가장한가짜백신설치프로그램 [ 그림 1-16] 에서알수있듯실제윈도우운영체제업데이트와동일한형태를가지고있으므로컴퓨터에대한전문적인지식이없는일반적인사용자들은의심없이가짜백신을설치하게된다. 이때설치된 Antimalware Doctor 역시윈도우보안센터와비슷한형태로구성되어있어윈도우운영체제에서제공되는보안기능으로착각할수있다. 따라서사용자는허위 / 과장진단된결과로유료결제를유도한다. 한국에서도동일하게윈도우업데이트를가장해윈도우부팅시마다애 드웨어를추가로설치하는사례가발견되었었다. [ 그림 1-15] 설치되는허위백신 예방방법은우선무엇보다중요한것은발신자가불분명한메일은열람하지않는것이첫째이며, 둘째는 Adobe Acrobat Reader나 JRE 같은주요어플리케이션에대한보안패치및윈도우운영체제의보안패치를하는것이다. 사회공학적기법을이용한악성코드배포최근 Antimalware Doctor이라는가짜백신을윈도우운영체제업데이트를가장해서설치하는사례가발견되었다. [ 그림 1-17] 윈도우업데이트를가장한애드웨어설치프로그램하나의애드웨어가설치되면그애드웨어가윈도우업데이트형식의다운로드프로그램을실행하고또다른애드웨어를다운로드받아설치한다. 특히해당업데이트를취소하는버튼이없으므로사용자는무조건해당애드웨어를설치할수밖에없다. 즉, 사용자는원하지않는애드웨어를지속적으로다운로드받고설치하게되어결국컴퓨터를정상적으로사용할수없게된다. 이렇듯누구나신뢰하는윈도우업데이트프로그램으로가장해악성코드를배포하는일종의사회공학적기법이적용되었으며앞으로도더욱더정교한사회공학적기법이적용될것으로예상된다. 사용자들은프로그램을설치하기전에보다신중하게해당프로그램을살펴볼필요가있다. 세상에서가장안전한이름안철수연구소 05

8 2. 시큐리티동향시큐리티통계 6월마이크로소프트보안업데이트현황마이크로소프트사로부터발표된이번달보안업데이트는총 10건이다. [ 그림 2-3] 악성코드배포를위해사용된취약점 [ 그림 2-3] 은월별침해사고가발생한웹사이트들에서악성코드를유포하기위해서사용했던취약점들에대한통계로, 전월과동일하게MS06-014취약점을사용한악성코드유포가가장많았고그뒤를 MS 취약점을사용한악성코드유포사례가뒤를잇고있다. [ 그림 2-1] 공격대상기준별 MS 보안업데이트 이번달침해사이트를통해서유포되었던악성코드의유형을정리해보 면 Daonol, GameHack 그리고 Pached 순이었다. [ 표 2-1] 2010 년 6 월주요 MS 보안업데이트 이달에는지난달 MS 보안권고문을통해알려진 SharePoint 제로데이취약점에대한보안업데이트 (MS10-039) 가포함되어있다. 한편, 발표된보안업데이들은대부분오피스, IIS( 인터넷정보서비스 ), IE( 인터넷익스플러 ) 와같이범용적으로사용되는어플리케이션관련취약점들이많았다. 그러나, 아직까지실제로해당취약점들을이용한공격은보고되고있지않다. 악성코드침해웹사이트현황 [ 그림 2-2] 악성코드배포를위해침해된사이트 / 배포지수 [ 그림 2-2] 는월별악성코드침해사이트현황을나타낸그래프로, 침해사이트는 월이후로감소세를보이고있지만실제악성코드를유포하는유포사이트의경우전월과비슷한수준을유지하고있다. [ 그림 2-4] 유포된악성코드의유형시큐리티이슈 Adobe Reader & Flash Player 제로데이취약점 (CVE ) 이달 6월 5일 ( 해외시각 ) 에는새로운 Adobe Acrobat Reader (PDF) 취약점이보고되었다. 해당취약점은 2009년 07월에보고되었던 Adobe Acrobat Reader, Acrobat and Flash Player Remote Code Execution(CVE , APSA09-03) 취약점과유사하게흥미로운특징을가지고있다. 해당취약점또한직접적인 Adobe Acrobat Reader상의취약점이라기보다는 Adobe Flash Player 이하에존재하는취약점이동일한엔진 (authplay.dll) 을탑재하고있는 Adobe Acrobat Reader에영향을주는형태이다. 실제악성 PDF 파일의내부를살펴보면, 다음과같이직접적인취약점을내포하고있는압축된 Flash 파일 (SWF 파일 ) 이포함되어있다. 06 ASEC Report _ Vol.06

또한, 공격자는 HCP 프로토콜요청에대해서사용자가인지하지못하 도록 ASX HtmlView 에서 IFRAME 을호출하는방식으로사용하고있다. [ 그림 2-5] SWF 파일을내포하는 PDF 실제로해당취약점은다수의단계를거쳐서발생하게되고, 크로스사이트스크립트 (XSS) 취약점을통해서실행되는자바스크립트코드는시스템상에또다른악성코드 (Dropper/Selite.

$[ 그림 2-6] Heap-Spray 자바스크립트 ( 쉘코드내포 ) 내포된 Flash 파일은 PDF 실행과함께취약점을발생시키고코드의흐름을공격자가원하는쉘코드로점프시킨다. 쉘코드는내부에포함되어있는스트림을디코딩하여또다른악성코드 ( C:\-.exe -Win-Trojan/ Downloader.32256.DF) 를드롭하여실행하도록제작되어있다.$ 이미 Adobe사는문제가해결된 Adobe Flash Player 10.1.53.64 버전을릴리즈한상태이고, Adobe Acrobat Reader에대한보안패치도 6월 29 일로예고되고있으므로사용자들의빠른업데이트를권고한다.

이미 Adobe사는문제가해결된 Adobe Flash Player 10.1.53.64 버전을릴리즈한상태이고, Adobe Acrobat Reader에대한보안패치도 6월 29 일로예고되고있으므로사용자들의빠른업데이트를권고한다.

9 또한, 공격자는 HCP 프로토콜요청에대해서사용자가인지하지못하 도록 ASX HtmlView 에서 IFRAME 을호출하는방식으로사용하고있다. [ 그림 2-5] SWF 파일을내포하는 PDF 실제로해당취약점은다수의단계를거쳐서발생하게되고, 크로스사이트스크립트 (XSS) 취약점을통해서실행되는자바스크립트코드는시스템상에또다른악성코드 (Dropper/Selite ) 를드롭하도록이용되고있다. 또한, PDF 파일내부에는공격자가원하는명령을실행하기위해 Heap 공간에쉘코드를채우는악의적인자바스크립트가압축형태로포함되어있다. 이번에발견된쉘코드는 ROP(Return Oriented Exploitation) 라는기존의사용되던방식과는다소다른형태의쉘코드가이용되었다. [ 그림 2-8] XSS 자바스크립트 해당취약점에대한아주활발한공격사례는보고되고있지않으나, 현재 MS 사에서는해당취약점에대한정식보안업데이트를배포하고있지 않기때문에여전히제로데이취약점악용가능성이남아있다. [ 그림 2-6] Heap-Spray 자바스크립트 ( 쉘코드내포 ) 내포된 Flash 파일은 PDF 실행과함께취약점을발생시키고코드의흐름을공격자가원하는쉘코드로점프시킨다. 쉘코드는내부에포함되어있는스트림을디코딩하여또다른악성코드 ( C:\-.exe -Win-Trojan/ Downloader DF) 를드롭하여실행하도록제작되어있다. 이미 Adobe사는문제가해결된 Adobe Flash Player 버전을릴리즈한상태이고, Adobe Acrobat Reader에대한보안패치도 6월 29 일로예고되고있으므로사용자들의빠른업데이트를권고한다. 침해사이트 Case Study: 방송사악성코드유포사례기존의취약점을이용한악성코드유포사례는특이한점이없었지만 [ 그림 2-3] 에서도볼수있었듯이이번달은 MS 취약점을사용한악성코드유포사례가국내사이트에서상당수발견되었다. 그중에침해사고가발생한방송사사이트를통해서 MS10-018취약점을사용하여악성코드가유포되었던건에대해서간단하게정리해보았다. 악성코드유포가유포되었던방송사의사이트구조를간단하게나타내자면아래와같다. MS 윈도우도움말및지원센터 (helpctr.exe) 제로데이취약점 (CVE ) MS사에서는 06월 11일 ( 한국시각 ) 에윈도우도움말및지원센터취약점에대한보안권고문을게시하였다. 이후, 6월 15일 ( 한국시간 ) 에는실제해외에서해당제로데이취약점을악용하는사례가보고되었다. 해당취약점은단순한오버플로우취약점이아니라, 윈도우도움말및지원센터 (helpctr.exe) 가 HCP 프로토콜을처리하는과정에서의오류로인해 Whitelist Bypass 문제와내부에서사용되는 html 파일의크로스사이트스크립트 (XSS) 취약점이결합된형태이다. [ 그림 2-9] 악성코드를유포했던방송사의사이트구조 [ 그림 2-7] 취약점스크립트 세상에서가장안전한이름안철수연구소 07

하위사이트들은메인사이트에서필요한콘텐트들을링크하는방식으 로구성되어있었고, 이번경우메인사이트의특정웹페이지에악성코 드링크가삽입되어있어모든하위사이트에영향을받게되어있었다. 월별악성코드유형 http://tri.*****.co.kr/(***** 기술연구소 ) L http://www.*****.co.kr/menu_js/displayobject.

10 하위사이트들은메인사이트에서필요한콘텐트들을링크하는방식으 로구성되어있었고, 이번경우메인사이트의특정웹페이지에악성코 드링크가삽입되어있어모든하위사이트에영향을받게되어있었다. 월별악성코드유형 기술연구소 ) L L L L (CVE , MS10-018) L [ 그림 3-2] 월별악성코드유형 3. 웹보안동향 웹보안통계웹사이트보안요약악성코드발견건수는 173,283건이고, 악성코드유형은 897건이며, 악성코드가발견된도메인은 818건이며, 악성코드발견된 URL은 3,738 건이다. [ 표 3-1] 웹사이트보안요약 2010년 6월은 2010년 5월보다악성코드유형, 악성코드가발견된도메인, 악성코드발견된 URL 은다소감소하였으나, 악성코드발견건수는증가하였다. 월별악성코드발견건수 2010년 6월악성코드유형은전달의 930건에비해 96% 수준인 897 건이다. 월별악성코드가발견된도메인 [ 그림 3-3] 월별악성코드가발견된도메인 2010년 6월악성코드가발견된도메인은전달의 1,084건에비해 75% 수준인 818건이다. 월별악성코드가발견된 URL [ 그림 3-1] 월별악성코드발견건수 [ 그림 3-4] 월별악성코드가발견된 URL 2010 년 6 월악성코드발견건수는전달의 142,613 건에비해 122% 수 준인 173,283 건이다 년 6 월악성코드가발견된 URL 은전달의 4,950 건에비해 76% 수 준인 3,738 건이다. 08 ASEC Report _ Vol.06

악성코드유형별배포수 웹보안이슈 OWASP Top10 2010 [ 표 3-2] 악성코드유형별배포수 OWASP(Open Web Application Security Project) 1 에서는매년웹어플리케이션환경에서가장중요한위협 10 2 가지를선정하여발표하고있다.

위험 - SQL, OS, LDAP 인젝션과같은인젝션결함은신뢰할수없는데이터가명령어나질의어의일부분으로써인터프리터에보내질때발생한다. - 공격자의악의적인데이터는예기치않은명령실행이나권한없는데이터에접근하도록인터프리터를속일수있다. [ 그림 3-5] 악성코드유형별배포수악성코드유형별배포수에서애드웨어 (ADWARE) 류가 106,614건전체의 61.

11 악성코드유형별배포수 웹보안이슈 OWASP Top [ 표 3-2] 악성코드유형별배포수 OWASP(Open Web Application Security Project) 1 에서는매년웹어플리케이션환경에서가장중요한위협 10 2 가지를선정하여발표하고있다. 이를통해웹어플리케이션보안의취약점을인식하고, 예방함으로써관련공격으로인한피해를줄이고자하는목적을가지고있다. 이번 ASEC 리포트 Vol.6에서는최근에발표된 OWASP Top 10을통해우리에게다가온웹어플리케이션위험과예방방법에대해서알아보자. 1. 인젝션가. 위험 - SQL, OS, LDAP 인젝션과같은인젝션결함은신뢰할수없는데이터가명령어나질의어의일부분으로써인터프리터에보내질때발생한다. - 공격자의악의적인데이터는예기치않은명령실행이나권한없는데이터에접근하도록인터프리터를속일수있다. [ 그림 3-5] 악성코드유형별배포수악성코드유형별배포수에서애드웨어 (ADWARE) 류가 106,614건전체의 61.5% 로 1위를차지하였으며, 트로잔 (TROJAN) 류가 31,006건으로전체의 17.9% 로 2위를차지하였다. 악성코드배포 Top 10 나. 예방법 - 인젝션을방지하려면신뢰할수없는데이터를명령어와질의로부터항상분리해야한다. 2. 크로스사이트스크립팅 (XSS) 가. 위험 - XSS 결함은적절한확인이나제한없이어플리케이션이신뢰할수없는데이터를갖고, 그것을웹브라우저에보낼때발생한다. - XSS는공격자가피해자의브라우저내에서스크립트의실행을허용함으로써, 사용자의세션을탈취하거나, 웹사이트를변조하거나, 악의적인사이트로사용자를리다이렉트할수있다. 나. 예방법 - XSS 를방지하려면활성브라우저콘텐츠와신뢰할수없는데이터를 항상분리해야한다. [ 표 3-3] 악성코드배포 Top 10 악성코드배포 Top10에서 Win-Adware/Woowa.28672이 22,496건으로 1위를차지하였으며, Top10 에 Win-Adware/Woowa 등 5건이새로등장하였다. 3. 취약한인증과세션관리가. 위험 - 인증과세션관리와연관된어플리케이션기능은종종올바로구현되지않는다. 그결과, 공격자로하여금다른사용자의신분으로가장할수있도록패스워드, 키, 세션토큰체계를위태롭게하거나, 구현된다른결함들을악용할수있도록허용한다. 1. 기업 / 기관이신뢰할수있는어플리케이션을개발, 구입, 유지할수있도록어플리케이션보 안툴, 표준, 연구결과등을공개적으로제안하는커뮤니티 ( 2. Security Plus 한글번역참고 ( 세상에서가장안전한이름안철수연구소 09

12 나. 예방법 - 개발자들은아래와같은권장사항을준수하여야한다.. 강력한인증및세션관리통제의단일체계를유지해야한다.. 세션 ID를도용하는데사용될수있는 XSS 취약점을막기위해노력해야한다. 4. 안전하지않은직접객체참조가. 위험 - 직접객체참조는파일, 디렉토리, 데이터베이스키와같이내부적으로구현된객체에대해개발자가참조를노출할때발생한다. - 접근통제에의한확인이나다른보호가없다면, 공격자는이참조를권한없는데이터에접근하기위해조작할수있다. 나. 예방법 - 사용자혹은세션당간접객체참조를이용한다. - 신뢰할수없는소스로부터직접객체참조가사용되면, 각각의사용에대해요청한객체가사용자에게접근이허용되었는지확인하기위해서반드시접근통제확인을포함해야만한다. 5. 크로스사이트요청변조 (CSRF) 나. 예방법 - 적절히보호되는또다른환경구축을쉽고빠르게만들수있는반복가능한보안강화프로세스는개발, 품질보증, 생산환경모두에서동일하게구성되어야한다. - 모든새로운소프트웨어업데이트와패치를각각의배치환경에서시기적절하게배포와최신수준을유지하기위한프로세스가있어야한다. 7. 안전하지않은암호저장가. 위험 - 많은웹어플리케이션들이적절한암호나해쉬를갖고신용카드번호, 주민등록번호, 그리고인증신뢰정보와같은민감한데이터를적절히보호하지않는다. - 공격자는자격도난, 신용카드사기, 또는다른범죄를저지르기위해적절하지못하게보호된데이터를훔치거나조작할수있다. 나. 예방법 - 민감한데이터를보호하려고하는위협 ( 예, 내부자또는외부사용자의공격 ) 을고려해야한다. - 위협으로부터방어하기위한방법으로, 모든민감한데이터가암호화하였음을확실히해야한다. 가. 위험 - CSRF 공격은로그온된피해자의브라우저가취약한웹어플리케이션에피해자의세션쿠키와어떤다른자동으로포함된인증정보를갖고변조된 HTTP 요청을보내도록강제한다. - 이것은공격자가피해자의브라우저로하여금취약한어플리케이션이피해자로부터의정당한요청이라고착각하게만드는요청들을생성하도록강제하는것을허용한다. 8. URL 접근제한실패가. 위험 - 많은웹어플리케이션들이보호된링크나버튼을표현하기전에 URL 접근권한을확인하다. 그러나, 어플리케이션은이페이지들이접근될때마다유사한접근통제확인이필요하다 - 공격자는감춰진페이지에접근하기위해 URL을변조할수있다. 나. 예방법 - CSRF를예방하는방법은각각의 HTTP 요청 URL이나 Body 내에예측할수없는토큰을포함하는것이다. 생성된토큰은최소한사용자세션별로반드시고유값을사용하되각각의요청마다고유할수도있다. 나. 예방법 - 허가되지않은 URL 접근을방지하기위해각각의페이지에적절한인증및접근제어를요구하는접근방식의선택이요구된다. 어플리케이션코드외부의하나또는여러컴포넌트에서이러한보호를제공한다. 6. 보안상잘못된구성 9. 불충분한전송계층보호 가. 위험 - 훌륭한보안은어플리케이션, 프레임워크, 어플리케이션서버, 웹서버, 데이터베이스서버와플랫폼에대해보안구성이제대로정의되고적용되도록용구한다. - 대부분이보안을기본적으로탑재하지않기때문에이모든설정은정의되고, 구현되고, 유지되어야한다. 이것은어플리케이션에서사용되는모든코드라이브러리를포함하여모든소프트웨어가최신의상태를유지하는것을포함한다. 가. 위험 - 어플리케이션은종종민감한네트워크트래픽의인증, 암호화, 그리고비밀성과무결성을보호하는데실패한다. - 실패할때에는대체로약한알고리즘을사용하거나, 만료또는유효하지않은인증서를사용하거나또는그것을올바로사용하지않을때이다. 10 ASEC Report _ Vol.06

나. 예방법 - 모든민감한페이지는 SSL을요구하라. 이페이지에대한 non-ssl 요청은 SSL페이지로리다이렉트되어야한다. - 모든민감한쿠키는 secure 플래그를설정하라. - 단지강력한알고리즘 (FIPS 140-2 호환 ) 만을지원하는 SSL 공급업체를구성하라. 10. 검증되지않은리다이렉트와포워드 가.

13 나. 예방법 - 모든민감한페이지는 SSL을요구하라. 이페이지에대한 non-ssl 요청은 SSL페이지로리다이렉트되어야한다. - 모든민감한쿠키는 secure 플래그를설정하라. - 단지강력한알고리즘 (FIPS 호환 ) 만을지원하는 SSL 공급업체를구성하라. 10. 검증되지않은리다이렉트와포워드 가. 위험 - 웹어플리케이션은종종사용자들을다른페이지로리다이렉트하거나포워드한다. 그러나, 목적페이지를결정하기위해신뢰되지않는데이터를사용한다. - 적절한확인이없다면, 공격자는피해자를피싱사이트나악의적인사이트로리다이렉트할수있고, 포워드를권한없는페이지의접근을위해사용할수있다. 나. 예방법 - 단순히리다이렉트와포워드의사용을피해야한다. - 만약사용한다면, 목적지를계산하는사용자파라미터를포함하지마라. - 목적파라미터를피할수없다면, 제공된값이유효한지, 그사용자에게허용된것인지를확실히하라. 지금까지 OWASP 에서발표한웹어플리케이션보안위험및예방법에 대해서간략하게알아보았다. 향후각위험별로자세한내용을통해좀 더상세한내용을전할예정이다. AhnLab V3Net for Windows Server 7.0 세상에서가장안전한이름안철수연구소 11

II. 2 분기보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top20 이다.

[ 표 4-2] 악성코드대표진단명감염보고 2 분기 Top 20 [ 표 4-1] 악성코드감염보고 2 분기 Top 20 2010년 2분기악성코드감염보고는 TextImage/Autorun 이

2010년 2분기사용자피해를주도한악성코드들의대표진단명을보면 Win-Trojan/Agent 가총보고건수 2,305,201건으로전체의 13.7% 를차지하여 1위를차지하였다.

14 II. 2 분기보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top20 이다 년 2 분기악성코드통계현황은다음과같다. [ 표 4-2] 악성코드대표진단명감염보고 2 분기 Top 20 [ 표 4-1] 악성코드감염보고 2 분기 Top 년 2분기악성코드감염보고는 TextImage/Autorun 이 1위를차지하고있으며, Win32/Induc과 JS/Agent가각각 2위와 3위를차지하였다. 신규로 Top20 에진입한악성코드는총 6건이다. 2010년 2분기사용자피해를주도한악성코드들의대표진단명을보면 Win-Trojan/Agent 가총보고건수 2,305,201건으로전체의 13.7% 를차지하여 1위를차지하였다. 그뒤를 Win-Trojan/Onlinegamehack 이 2,228,361건으로 13.2%, Win-Trojan/Downloader 가 1,685,830건으로 10% 를차지하여 2위와 3위를차지하였다. 아래차트는 2010 년 2 분기동안고객으로부터감염이보고된악성코드 유형별비율이다. AhnLab SiteGuard Pro & Security Center [ 그림 4-1] 악성코드유형별 2 분기감염보고비율 12 ASEC Report _ Vol.06

2010년 2분기의신종악성코드유형별분포는트로잔이 49% 로 1위를차지하였다. 그뒤를이어웜이 11%, 애드웨어 (ADWARE) 가 8% 를각각차지하였다. 악성코드이슈 2010년 2분기를결산해보면 2분기에있었던사회적인이슈들을이용한공격들이주로발견되었다.

15 악성코드유형별로감염보고건수비율은트로잔 (TROJAN) 류가 46.7% 로 가장많은비율을차지하고있으며, 다음으로웜 (WORM) 이 12.8%, 스크 립트 (SCRIPT) 가 8.6% 의비율을각각차지하고있다. [ 그림 4-2] 악성코드 2 분기감염보고건수 [ 그림 4-3] 신종악성코드분기유형별분포 2010년 2분기의악성코드 2분기감염보고건수는 34,205,361건으로 2010년 1분기의악성코드 2분기감염보고건수 31,486,648건에비해 2,718,713건이증가하였다. 아래표는 2010년 2분기에신규로접수된악성코드중고객으로부터감염이보고된악성코드 Top20 이다. 2010년 2분기의신종악성코드유형별분포는트로잔이 49% 로 1위를차지하였다. 그뒤를이어웜이 11%, 애드웨어 (ADWARE) 가 8% 를각각차지하였다. 악성코드이슈 2010년 2분기를결산해보면 2분기에있었던사회적인이슈들을이용한공격들이주로발견되었다. 남아공월드컵과관련악성코드가발견되거나, 스마트폰의확산에따른 Windows Mobile 계열의악성코드, 트위터열풍에따른트위터봇넷등이주요이슈로볼수있다. 남아공월드컵을이용한악의적인 PDF 문서 4월에는 Adobe Acrobat Reader의잘못된 TIFF 이미지파싱관련취약점을이용한악성코드유포사례가국외에서발견, 보고되었다. 여기에사용된주제는 2010 남아공월드컵관련내용으로위장되어있었다. 악의적인 PDF 는기존에알려진 CVE 취약점을가지고있었다. 메일로전송되었던해당악성코드는취약한 Adobe Acrobat Reader 에서읽혀진경우 TIFF 파일에대한잘못된파싱과이를통하여쉘코드가실행되며, 이후특정폴더에악성코드파일을생성하고정보의유출을시도할것으로보인다. [ 표 4-3] 신종악성코드감염보고 Top 년 2분기의신종악성코드감염보고의 Top 20은 Win-Trojan/ Overtls 가 466,906건으로전체 7% 를차지하여 1위를차지하였으며, Win-Adware/Rogue.PrivacyScan 가 97,038건 2위를차지하였다. Windows Mobile 계열에서동작하는악성코드국내발견주의보 4월에는국내에서윈도우모바일계열 (5.0, 6.1, 6.5버전 ) 에서동작하는스마트폰악성코드인 WinCE/TredDial.a ( 일명 3D Antiterrorist) 가발견, 보고되었다. 해당악성코드는게임어플리케이션에포함되어발견되었다. 해당악성코드의실행후증상은임의로특정전화번호의국제전화를무단으로발신하도록되어있었다. 이경우사용자에게원치않는통신비가과금되는상황이발생된다. 이용된게임명은 3D Antiterrorist 이며다음과같은 antiterrorist3d.cab 파일명을가지고있다. 실행시에는 Program Files 폴더에 reg.exe가설치되며, 시스템폴더에 smart 32.exe라는이름으로해당파일을복사한다. 또한해외 Premium-rate number에국제전화를시도하여국제전화과금을발생시킨다. 세상에서가장안전한이름안철수연구소 13

트위터봇넷악성코드 5월에는트위터의대중화를틈타트위터를이용하여악성코드를제어하는악성코드가알려졌다. 지금까지 SNS 관련악성코드는사용자계정이나버디계정에스팸성메시지를달거나악성코드가업로드된사이트로유도하는게일반적이었다. 그러나해당악성코드는먼저사용자계정이나이미훔쳐낸계정에악성코드제어관련내용을트윗한후악성코드가이를읽어들인후악의적인행동을취한다.

문서파일에포함된악성코드주의 5월에는메일을통해유포되는악성코드중 DOC 혹은 RTF 등의확장자의문서를이용한악성코드유포사례가확인되었다. 문서파일에첨부된파일을실행하면문서내부에특정아이콘이나타나며클릭을유도하게된다. 만일, 클릭을하게되면경고창이나타나며 [ 확인 ] 버튼을누를경우문서내부에포함된악성코드가실행이된다.

올해 2분기침해사고사이트를통해서유포되었던악성코드를살펴보면 1분기와유사한형태로 Daonol이가장많았고 OnlineGame- Hack, AutoRun, Virus등이그뒤를따랐다. 2. 시큐리티동향 시큐리티통계 2010 년도 2 분기마이크로소프트보안업데이트현황 2010 년 2 분기에마이크로소프트사는지난해상반기보다다소증가된 총 40 건의보안업데이트를발표하였다.

16 트위터봇넷악성코드 5월에는트위터의대중화를틈타트위터를이용하여악성코드를제어하는악성코드가알려졌다. 지금까지 SNS 관련악성코드는사용자계정이나버디계정에스팸성메시지를달거나악성코드가업로드된사이트로유도하는게일반적이었다. 그러나해당악성코드는먼저사용자계정이나이미훔쳐낸계정에악성코드제어관련내용을트윗한후악성코드가이를읽어들인후악의적인행동을취한다. 일반적인봇넷의차단방법은봇넷이이용하는서버에대한차단을통해서근본적으로봇넷이활성화될수없게한다. 그러나트위터와같은상용서비스를이용한다면, 일반적인차단방법을사용할수없어공격자는자유롭게명령을내보낼수있게되므로이러한상용서비스를악용하는봇넷사례가증가할것으로예상된다. 문서파일에포함된악성코드주의 5월에는메일을통해유포되는악성코드중 DOC 혹은 RTF 등의확장자의문서를이용한악성코드유포사례가확인되었다. 문서파일에첨부된파일을실행하면문서내부에특정아이콘이나타나며클릭을유도하게된다. 만일, 클릭을하게되면경고창이나타나며 [ 확인 ] 버튼을누를경우문서내부에포함된악성코드가실행이된다. 최근악성코드유포기법이점점다양해지며발전되고있어이러한발신인이불분명한메일을통해첨부되는문서나기타첨부파일은되도록이면실행하지않는것을권장한다. 악성코드침해웹사이트현황 [ 그림 5-2] 악성코드배포를위해침해된사이트 / 배포지수 [ 그림 5-2] 는분기별악성코드침해및유포사이트현황을나타낸그래프로, 올해 2 분기는 1분기에비해약 2배이상악성코드유포행위가탐지되었다. 올해 2분기침해사고사이트를통해서유포되었던악성코드를살펴보면 1분기와유사한형태로 Daonol이가장많았고 OnlineGame- Hack, AutoRun, Virus등이그뒤를따랐다. 2. 시큐리티동향 시큐리티통계 2010 년도 2 분기마이크로소프트보안업데이트현황 2010 년 2 분기에마이크로소프트사는지난해상반기보다다소증가된 총 40 건의보안업데이트를발표하였다. [ 그림 5-3] 악성코드배포를위해사용된취약점 [ 그림 5-3] 은분기별침해사고가발생한웹사이트들에서악성코드를유포하기위해서사용했던취약점들에대한그래프로, 개별취약점별로살펴보면 2분기에도여전히 MS06-014취약점을사용한공격이많았고 MS09-032취약점을사용한악성코드유포는 1분기에비해급감했지만그대신 MS10-002취약점을사용한악성코드유포는 1분기에비해약 2배정도증가했다. 그리고최근에발견된 MS10-018을사용한악성코드유포는 Mass SQL Injection공격에이용되면서국내많은사이트들에이용되기도했다. [ 그림 5-1] 2010 년 2 분기보안업데이트현황 AhnLab Online Security ASEC Report _ Vol.06

국내카드사이용대금명세서로위장한악성코드등장 [ 그림 5-4] MS10-018취약점이사용된침해사이트시큐리티이슈 Adobe Reader & Flash Player 제로데이취약점지난 2분기에도 Adobe사의대표제품군인 Adobe Acrobat Reader관련새로운제로데이 (0-day) 취약점 ( 일명, PDF 취약점 ) 이발표되었다.

dll 코드실행 (CVE-2010-1297,APSA10-01) 취약점은기존의직접적인 Adobe Acrobat Reader 상에서발생되는취약점과는달리, 어플리케이션내부에탑재되어있는외부처리엔진상의오류로인하여연쇄적취약점이발생한사례라고볼수있다. 이와유사한사례는작년과올해 1분기에도존재하였다. 해당취약점은 Adobe Flash Player 10.0.45.

17 국내카드사이용대금명세서로위장한악성코드등장 [ 그림 5-4] MS10-018취약점이사용된침해사이트시큐리티이슈 Adobe Reader & Flash Player 제로데이취약점지난 2분기에도 Adobe사의대표제품군인 Adobe Acrobat Reader관련새로운제로데이 (0-day) 취약점 ( 일명, PDF 취약점 ) 이발표되었다. 이러한 PDF 취약점공격은입사이력서나유명보안업체의업데이트권고와같은다양한컨텐츠를수반하는위장된메일형태나웹을통해사용자를위협하고있다. 특히, 새롭게보고된 Adobe Acrobat and Reader authplay.dll 코드실행 (CVE ,APSA10-01) 취약점은기존의직접적인 Adobe Acrobat Reader 상에서발생되는취약점과는달리, 어플리케이션내부에탑재되어있는외부처리엔진상의오류로인하여연쇄적취약점이발생한사례라고볼수있다. 이와유사한사례는작년과올해 1분기에도존재하였다. 해당취약점은 Adobe Flash Player 이하에존재하는 flash 파싱엔진 (authplay.dll) 으로인하여발생되었고, 최근이처럼복잡한어플리케이션간의상호호환성은취약점의연쇄적발생이라는또다른보안위협을유발하기도한다는점에주목해야할것이다. 매력적인공격매체로자리잡은트위터최근가장유명한소셜네트워크서비스 (SNS) 인트위터는공격자들에게도아주매력있는공격매체가되고있다. 작년에이미트위터서비스를공격자의명령서버 (C&C) 로이용하는사례가보고된바있고, 상반기에는보다손쉽게명령서버를구축하여활용할수있는 TwitterNet Builder 라는자동화툴이발견되었다. 악용가능한트위터계정정보를입력하고클릭한번으로새로운좀비프로그램 (Bot) 이생산되고, 이를통해 DDoS 공격을비롯한다양한공격을수행할수있다. 또한, 2분기에는단축 URL을악용한스팸메일유포나간접적으로트위터사용자암호리셋메일및팔로잉 (Following) 요청메일을위장한악성코드배포사례들도보고되었다. 이처럼트위터의사용계층이두터워지고, 그활용범위도개인및기업의마케팅, 홍보등으로확장되면서트위터를활용한공격방식도보다다양하고활발해질것으로예상된다. 우리는과거종이우편시대에서전자메일을통해각종명세서를전달받아처리하는시대를살고있다. 하지만, 최근스팸발송기능을갖는악성코드의활발한활동으로, 메일함속의모든메일들을온전하게믿을수없는게현실이다. 2분기에는국내유명카드사의이용대금명세서를위장한스팸메일이발견되었고, 이를통해배포되는악성코드에서유명국내포털사이트로의트래픽이발견되어큰관심이되기도하였다. 공격에이용된스팸메일은보안카드명세서에서정상적인보안프로그램을설치하는기능을이용하여악성코드를대신설치하도록제작되어있다. 실제설치되는악성코드는공격자의명령서버 (C&C) 로부터 XML형태의공격명령을전달받고, 이명령속에서한글로된카드이용대금명세서메일본체도발견되었다. 이러한서버 / 클라이언트구조의공격은공격자가자유롭게공격명령을변경할수있기때문에언제든지좀비프로그램으로변신하여또다른 DDoS 공격을수행할수있는위험성을갖고있다. 윈도우도움말센터제로데이취약점지난 1분기에이어 2분기에도새로운제로데이취약점들이보고되었다. 가장최근에발표된제로데이취약점인윈도우도움말센터 (Windows Help and Support Center) 취약점 (CVE ) 은윈도우도움말센터 (helpctr.exe) 를통해hcp 프로토콜을처리하는과정에서발생하는디자인상의오류와관련 html 페이지상의크로스사이트스크립트 (XSS) 취약점이결합되어발생한다. 실제공격에서는사용자에게프로토콜사용에대한접근을알리지않도록 ASX HtmlView를이용한우회방법이사용되고 XSS취약점을통해공격자가원하는코드를배치파일로만들어실행하는형태가많이보고되고있다. 아직까지해당제로데이취약점을해결하기위한제품벤더 (MS) 로부터의정식패치가배포되지않았기때문에임시적으로 MS사가제공하는 Hotfix를사용하는것도방법이될수있다. 3. 웹보안동향웹보안통계 웹사이트보안요약 2010년 2분기악성코드발견건수는 426,941 건이고, 악성코드유형은 2,753건이며, 악성코드가발견된도메인 [ 표 6-1] 웹사이트보안요약은 2,930건이며, 악성코드발견된 URL은 12,586건이다. 본자료는안철수연구소의웹보안제품인 SiteGuard의 2010년 2분기자료를바탕으로산출한통계정보이다. 세상에서가장안전한이름안철수연구소 15

18 2 분기악성코드발견건수 2 분기악성코드가발견된 URL [ 그림 6-1] 2 분기악성코드발견건수 [ 그림 6-4] 2 분기악성코드가발견된 URL 2010 년 2 분기악성코드발견건수는전분기의 798,502 건에비해 53% 수준인 426,941 건이다 년 2 분기악성코드가발견된 URL 은전분기의 12,214 건에비해 103% 수준인 12,586 건이다. 2 분기악성코드유형 악성코드유형별배포수 [ 그림 6-2] 2 분기악성코드유형 [ 표 6-2] 악성코드유형별배포수 2010 년 2 분기악성코드유형은전분기의 1,783 건에비해 154% 수준 인 2,753 건이다. 2 분기악성코드가발견된도메인 [ 그림 6-5] 악성코드유형별배포수 [ 그림 6-3] 2 분기악성코드가발견된도메인 악성코드유형별배포수에서애드웨어 (ADWARE) 류가 260,330 건전체 의 61% 로 1 위를차지하였으며, 트로잔 (TROJAN) 류가 55,837 건으로전 체의 13.1% 로 2 위를차지하였다 년 2 분기악성코드가발견된도메인은전분기의 2,917 건과비슷한 수준인 2,930 건이다. 16 ASEC Report _ Vol.06

악성코드배포 Top 10 [ 표 6-3] 악성코드배포 Top 10 구글그룹스 (Google Groups) 와스팸메일이결합된악성코드 5월에발생한이슈로상호정보를교환하고싶은사람들간에가상의그룹을만들고게시판을통해공지사항, 파일등을손쉽게그룹원들에게전파할수있는구글클라우드컴퓨팅서비스중하나인구글그룹스 (Goolge Groups) 를통해스패머 (Spammer)

해당파일을실행할경우악성코드가설치된다. 악성코드배포 Top10 에서 Win-Adware/Shortcut.InlivePlayerActiveX.234 이 63,563 건으로 1 위를 Win-Adware/Woowa.28672 이 26,514 건 2 위를 기록하였다.

19 악성코드배포 Top 10 [ 표 6-3] 악성코드배포 Top 10 구글그룹스 (Google Groups) 와스팸메일이결합된악성코드 5월에발생한이슈로상호정보를교환하고싶은사람들간에가상의그룹을만들고게시판을통해공지사항, 파일등을손쉽게그룹원들에게전파할수있는구글클라우드컴퓨팅서비스중하나인구글그룹스 (Goolge Groups) 를통해스패머 (Spammer) 들이스팸메일에악성코드를첨부하여전파하는데활용하는사례가발견되었다. 이스팸메일이기존스팸메일과다른점은구글그룹스를통해악성코드를전파하는것이다. 스팸메일본문에서 를클릭하면구글그룹스로이동하여, Zip파일로압축된파일을다운로드할수있다. 압축파일을풀면설치파일을가장한실행파일아이콘이나타나며. 해당파일을실행할경우악성코드가설치된다. 악성코드배포 Top10 에서 Win-Adware/Shortcut.InlivePlayerActiveX.234 이 63,563 건으로 1 위를 Win-Adware/Woowa 이 26,514 건 2 위를 기록하였다. 웹보안이슈 2010년 2분기웹보안이슈를결산해보면, 구글그룹스와스팸메일이결합된악성코드가나타났으며, 사회공학적방법을이용한 facebook 패스워드리셋과관련한스팸메일과맥아피오진사고를위장한허위백신유포등의이슈가있었다. Face Book 패스워드리셋한다는스팸메일 4월에발생한이슈로인터넷상에서인기를끌고있는 facebook의계정과비밀번호 150만개를 2.5센트라는가격으로판매한다는내용의사건에대해 facebook에서강력한대응방침을밝히고난후, facebook에서고객의안전을위해 facebook 비밀번호를변경한다는허위사실을유포하는스팸메일에악성코드를첨부하여발송하는사건이있었다. 스팸메일에첨부된파일은Microsoft Office Word 파일의아이콘을사용하여메일수신자가악성코드를자연스럽게실행하도록위장하고있다. 해당파일은현재 V3제품군에서 Win-Trojan/Bredolab B 진단명으로진단및치료가가능하다. 맥아피오진사고소식으로위장해구글검색결과로허위백신유포 해외시각으로 4월 21일미국보안업체인맥아피 (McAfee) 에서정상윈도우 (Win dows) 시스템파일인 svchost.exe를 W32/Wecorl.a 악성코드로잘못진단하는오진 (False Positive) 사고가발생하였다. 이러한맥아피의오진사고를이용하여구글 (Google) 검색엔진에서검색순위를상위로조정하여악성코드를유포하는웹사이트로컴퓨터사용자들을유도하는블랙햇 (BlackHat) SEO(Search Engine Optimization) 기법을통해허위백신의유포를시도한사례가발견되었다. 이번에구글검색엔진을통해유포된허위백신은이번맥아피의오진사고와관련된단어들을검색하게될경우에악성코드를유포하는웹사이트를검색첫번째페이지로위치하여컴퓨터사용자들의방문을유도하였다. AhnLab V3 Zip 세상에서가장안전한이름안철수연구소 17

III. 해외보안동향 1. 중국 2분기악성코드동향중국지앙민 6월보안위협동향분석발표 7월 7일중국보안업체인지앙민 (JiangMin) 에서는중국에서 6월한달동안발생한다양한보안위협들을정리하여중국 CNET 江民发布 6 月病毒与网络安全信息报告 을통해발표하였다.

1) 5월대비전체악성코드수치의 4% 감소 2) 트로이목마가전체악성코드의 70% 차지 3) 마이크로소프트 (Microsoft) 의인터넷익스플로러 (Internet Explorer) 취약점인 MS10-018 악용증가지앙민에서발표한 6월한달동안중국에서발견한악성코드의수치는아래이미지와같다.

그리고 6월한달동안가장많이악용된취약점으로는 3월 9일알려진마이크로소프트의인터넷익스플로러 (Internet Explorer) 취약점인 MS10-018의악용을꼽고있다. 해당취약점은 4월 8일중국보안업체인라이징 (Rising) 에서도역시급격한악용이발생하고있음을중국언론을통해알린바가있다.

20 III. 해외보안동향 1. 중국 2분기악성코드동향중국지앙민 6월보안위협동향분석발표 7월 7일중국보안업체인지앙민 (JiangMin) 에서는중국에서 6월한달동안발생한다양한보안위협들을정리하여중국 CNET 江民发布 6 月病毒与网络安全信息报告 을통해발표하였다. 이번지앙민을통해발표된중국의 6월보안위협동향의전체적인특징을요약하면다음과같이정리할수있다. 1) 5월대비전체악성코드수치의 4% 감소 2) 트로이목마가전체악성코드의 70% 차지 3) 마이크로소프트 (Microsoft) 의인터넷익스플로러 (Internet Explorer) 취약점인 MS 악용증가지앙민에서발표한 6월한달동안중국에서발견한악성코드의수치는아래이미지와같다. [ 그림 7-2] 지앙민집계 2010년 6월악성코드형태별분류이렇게트로이목마가전체의 70% 를차지한다는점을통해중국역시한국을비롯한전세계적으로비슷한추세를그리고있는것을잘알수있다. 그리고 6월한달동안가장많이악용된취약점으로는 3월 9일알려진마이크로소프트의인터넷익스플로러 (Internet Explorer) 취약점인 MS10-018의악용을꼽고있다. 해당취약점은 4월 8일중국보안업체인라이징 (Rising) 에서도역시급격한악용이발생하고있음을중국언론을통해알린바가있다. [ 그림 7-1] 지앙민집계 2010 년 1 월에서 6 월까지악성코드감염통계 지앙민에서는 4월과 5월에는증가세를보였지만 6월에이르러서는 5월대비 5% 정도감소한수치를보였다고하나 2010년 2분기인 4월에서 6 월까지의전체적인악성코드의발견수치가 1분기와비교하여서는완만한상승선을그리고있는것을알수가있다. 그리고전체악성코드분포도에있어서트로이목마가약 70%, 웜이 16% 그리고백도어가약 8% 순서로차지하고있는것을아래이미지를통해잘알수가있다. [ 그림7-3] 라이징집계 MS 취약점을악용한공격통계당시라이징에서는위와같은이미지를통해공격이최초알려진 3월에서부터같이 4월 7일까지총 1839 만회가발생하였으며 4월 7일하루동안에만중국내부에서 310 만건이발견한것으로밝혔다. 이외에지앙민에서는 6월한달동안높은감염율을보였던악성코드 TOP 5로다음을선정하고있다. Checker/Autorun Worm/Kido.aeb Checker/HideFolder 18 ASEC Report _ Vol.06

VBS/Fineboy.a Exploit.CVE-2010-0806 를유발하고있는것을볼수있다. TOP 5에선정된악성코드를보면취약점을악용하는형태의악성코드인 Kido(Win32/Conficker.worm) 과 MS10-018(JS/CVE-2010-0806) 포함되어있는것으로미루어중국내에서아직윈도우보안패치가적용되지않은시스템이다수존재하는것을알수있다.

일본 2 분기악성코드동향 2010년 2분기에일본에서발생한주요보안이슈는악성스크립트가삽입된웹사이트로인한사용자피해가증가하고있는것과컨피커웜 (Win32/ Conficker.worm) 에의한감염피해가지속적으로발생하고있는것을들수있다. 가짜백신 (Win-Trojan/FakeAV) 과같은악성코드에의한피해또한올초부터일본에서지속적인피해를유발하고있는것으로보인다.

컨피커웜의감염피해가이전부터지속적으로유포되고있는전통적인이메일웜에견줄수있을정도로많이유포되고있는것을볼수있다. 최근발견되는악성코드중 OS 의보안취약점을원격에서공격하여자신을복제하는웜의기능을하는악성코드가많지않음을고려했을때컨피커웜의감염피해가이와같이지속적으로발생하고있는것은이악성코드의강력한전파력을짐작할수있게해준다.

21 VBS/Fineboy.a Exploit.CVE 를유발하고있는것을볼수있다. TOP 5에선정된악성코드를보면취약점을악용하는형태의악성코드인 Kido(Win32/Conficker.worm) 과 MS10-018(JS/CVE ) 포함되어있는것으로미루어중국내에서아직윈도우보안패치가적용되지않은시스템이다수존재하는것을알수있다. 그리고외장형장치드라이버인 USB를통해전파되는 Checker/Autorun 가포함된점역시한국과유사하게 Autorun 웜의감염율이비교적높은것을잘알수있다. [ 그림 8-1] 2 분기악성코드감염피해현황 < 자료출처 : 일본 IPA> 2. 일본 2 분기악성코드동향 2010년 2분기에일본에서발생한주요보안이슈는악성스크립트가삽입된웹사이트로인한사용자피해가증가하고있는것과컨피커웜 (Win32/ Conficker.worm) 에의한감염피해가지속적으로발생하고있는것을들수있다. 가짜백신 (Win-Trojan/FakeAV) 과같은악성코드에의한피해또한올초부터일본에서지속적인피해를유발하고있는것으로보인다. 웹사이트의불법적인변조로인한악성코드유포는이미전세계적으로발생하고있는문제이고일본에서도작년부터이러한유형의공격이많이발생하고있는상황이다. 아래의 [ 표8-1] 은일본트랜드마이크로에서발표한 2010년상반기악성코드피해현황을집계한것이다. 위그림은일본 IPA에서발표하는보안리포트의내용중 2분기악성코드감염피해현황을집계한자료이다. 컨피커웜의감염피해가이전부터지속적으로유포되고있는전통적인이메일웜에견줄수있을정도로많이유포되고있는것을볼수있다. 최근발견되는악성코드중 OS 의보안취약점을원격에서공격하여자신을복제하는웜의기능을하는악성코드가많지않음을고려했을때컨피커웜의감염피해가이와같이지속적으로발생하고있는것은이악성코드의강력한전파력을짐작할수있게해준다. 가짜백신으로인한피해는올해초부터일본에서크게이슈가되고있는상황이다. 아래의 [ 그림8-2] 은일본 IPA에서발표한월간보고서의내용중가짜백신감염피해상담현황을집계한자료로올초부터가짜백신으로인한피해가급격하게늘어난것을알수있다. [ 표 8-1] 2010 년상반기악성코드피해현황 < 자료출처 : 일본트렌드마이크로사 1 > 표의내용에서주목해야할점은온로드 (JS_ONLOAD) 나검블러 (JS_ GUMBLAR) 와같은스크립트형태의악성코드에의한피해가다수를차지하고있는것이다. 이악성코드들은대부분보안이취약한홈페이지에불법으로삽입되거나공격자가게시판등에악의적인목적으로업로드를하는방식으로전파된다. 이러한악성스크립트들은사용자의 PC에실행되더라도악성코드자체로인한피해는미약하지만트로이목마와같은또다른악성코드를감염시키는것을목적으로하는경우가대부분이고이로인한 2차감염의가능성이높으므로주의가필요하다. 오토런악성코드와컨피커웜 (WORM_DOWNAD) 또한여전히많은피해 [ 그림 8-3] 2분기가짜백신피해상담건수 < 자료출처 : 일본 IPA 21 > 이러한가짜백신은스팸메일이나웹사이트등매우다양한경로를통해유포되고여러형태의변형이제작되고있는상황이므로 PC 사용자가감염되기전백신프로그램과같은보안소프트웨어에서이러한악성코드를신속하게차단하는것은현실적인어려움이있다. 따라서 PC 사용자는주기적인 OS의보안패치뿐아니라스팸메일의첨부파일을실행해보는것과같이사용자의실수로인한감염을예방하기위해각별한주의가필요하다 세상에서가장안전한이름안철수연구소 19

22 3. 세계 2 분기악성코드동향 2010년 2분기는 1분기와동일하게허위백신프로그램의극성, 타겟공격, Adobe Acrobat Reader에대한제로데이 (0-day) 취약점공격, 이슈검색어를이용한악성코드배포증가특징을가지고있다. 비트디펜더 (BitDefender) 에따르면 1 쿠키 (Cookie) 이외에오토런웜 (Autorun worm) 이생성하는 autorun.inf 와 PDF 파일취약점을이용한악성코드, 컨피커웜 (Conficker worm) 이높은순위를차지하고있다. 이셋 (Eset) 은글로벌위협리포트 (Global threat report) 2 를통해현재널리퍼져있는악성코드는컨피커이며오토런웜에의해만들어지는 autorun.inf 파일, 온라인게임계정탈취트로이목마가상위권에올려져있다. 포티넷 (Fortinet) 통계에따르면 3 6월은실제취약점공격코드를포함한주소로유도하는리다이텍트 (Redirect) 스크립트가 1위를차지하고있으며상위권에새스피스 (Sasfis) 봇넷 4 이차지하고있다. 5월에는허위보안프로그램의일종인페이크얼럿 (Fakealert), 오토런웜등이차지하고있다. 5 카스퍼스키연구소 5월통계에따르면 6 컨피커웜 (Conficker worm) 이여전히 1위, 3위, 4위를달리고있다. 또한샐리티바이러스 (Sality virus) 와바이럿바이러스 (Virut virus) 도여전히높은순위를차지하고있다. 스마트폰과 OSX 악성코드도조금씩등장하고있다. 한가지흥미로운점은스마트폰악성코드의경우중국게임및 codecpack에포함되었는데정상적인프로그램제작과정에해커가침투해악성코드를심어둔것으로보인다. 6월 18일발표된 OSX 에는 OSX/Pinhead.B(HellRTS) 에대한보호기능이추가되었다. 81 아직스마트폰과 OSX 악성코드가큰위협은아니지만계속관심을가져야할것이다. 악성코드배포방식은여전히해킹된웹사이트로웹브라우저취약점을이용해전파된다. 하지만, 검색엔진최적화 (SEO, Search Engine Optimization) 를이용한방식도널리이용되고있다. 악성코드배포자들은이슈되는검색어를파악해악성코드를포함한웹사이트를검색결과상위에노출시켜사용자가검색결과를클릭하여악성코드유포사이트로연결되게한다. 이외여러백신통계를통해 USB 플래쉬드라이브 (USB flash drive) 를통한악성코드전파방식도높은것을알수있다. 이외현재는널리이용되지않지만정상소프트웨어에악의적인코드를몰래삽입하는방식도눈길을끌었다. 오픈소스 IRC 서버인언리얼IRCd(UnrealIRCd) 에백도어가포함되어있는사실이확인되었다 년 11월부터백도어기능이포함되어있었던것으로확인되었다 June_2010.pdf malware_prevention_update_in_mac_os_x_10_6_4.html 20 ASEC Report _ Vol.06

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B 월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10