ASEC Report

Transcription

1 1. 악성코드 Geno 혹은 Gumblar 악성코드이슈 스파이웨어 리워드프로그램제작자의기소및 Clicker 이슈 시큐리티 IIS의 WebDAV 취약점주의요망 중국보안이슈 사이버머니갈취범징역형및취약한 PDF 생성기 구름속백신?! 안랩스마트디펜스 악성코드 스파이웨어 시큐리티 사이트가드... 40

2 I. 이달의보안이슈 1. 악성코드 Geno 혹은 Gumblar 악성코드이슈 이번달은취약한웹사이트방문시또는특정포털에대하여검색시악의적인사이트로유도하거나악성코드를설치하는일명 Geno 혹은 Gumblar라는악성코드가큰피해를일으켰다. 특히기사화가되면서국내외적으로많은보도가있었다. 또한지난 2월부터증가하기시작한 P2P 웜인 Win32/Palevo.worm도눈에띄었으며 Mac용악성코드도 BotNet을구축하여활동한다는소식도들려왔다. (1) Geno 혹은 Gumblar 악성코드피해와 Daonol 트로이목마분석 먼저 Geno라는이름은일반적으로안티바이러스업체의진단명이아니다. Geno라고유래가된것은일본의컴퓨터판매사이트인 Geno라는업체에서지난 4월 4일경홈페이지를통해서악성코드가알려지면서매스컴에보도가되었다. 이후 Gumblar라고알려지기도하였다. 외국에서는주로 Gumblar라고많이불리어지고있다. Gumblar라는이름역시악의적인스크립트에명시된 gumblar.cn 혹은 martuz.cn에서유래되었다. 해당악성코드는일반적인대규모웹사이트공격 (SQL 인젝션과같은 ) 의파생물로보인다. 또한이것은가장일반적인악성코드전파방식으로사용되고있는 Drive-by download 형태의악성코드라할수있다. 즉, 취약점이존재하는웹브라우저나응용프로그램을통하여사용자의의지와상관없이다운로드및실행된다. 2 악성코드는 PDF와 SWF 취약점으로감염될수있다. 이번달 PDF 취약점이증가한이유도해당악성코드일정부분원인이있다고추정해볼수있다. 취약한 PDF 문서가실행되면최종적으로 Win-Trojan/Daonol이라는악성코드를설치한다. Dropper 형태의 EXE 파일을다운로드및실행하며내부에있는 DLL 파일을설치하고웹사이트로그인정보등사용자개인정보를탈취한다. 악성코드레지스트리에등록후이후부팅시마다동작하도록해둔다. 증상에대한분석정보는다음과같다.

3 [ 파일생성 ] 랜덤한길이와이름을갖는 DLL 모듈을 EXE 파일이실행한위치와동일위치에생성 ( 예 : xltrr.rfs) [ 파일수정 ] 시스템폴더에존재하는정상적인 "sqlsodbc.chm" 파일을손상시킨다. - C:\WINDOWS\system32\sqlsodbc.chm 해당파일은나중에네트워크트래픽정보및 FTP 사용자계정에대한정보를유출시내용을임시저장하는데이터파일로활용된다. [ 레지스트리등록 ] 아래의레지스트리값 ("aux") 에자신이드랍한 DLL 모듈의패스정보를추가한다. 3 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32] "aux"="?:\..\xltrr.rfs" 만약 "aux" 가기존에존재할경우, 아래와같이숫자를추가하여새롭게생성한다. - "aux1", "aux2"... "aux:"... [DLL 에서수행하는작업 ] (1) 특정프로세스강제종료 - 자신을로드한프로세스의확장자가 ".com" 인경우강제종료 (2) 6개 API에대한후킹아래의 API에대한주소값을얻은후, 시작 5바이트를 JMP코드로삽입하여 DLL모듈의특정함수로분기하도록한다. - kernel32.createprocessw - ws2_32.wsasend - ws2_32.wsarecv - ws2_32.connect - ws2_32.send - ws2_32.recv (2-1) 후킹한 "kernel32.createprocessw" API 호출시수행하는작업 A. 아래의문자열이존재하는프로세스실행시, DLL 자신을손상시킴 (1024 bytes의 NULL데이터 )

4 - "gmer" - "le38" B. 아래의문자열이존재하는프로세스실행시, 강제종료함. -.com -.bat -.reg - cmd - reged (2-2) 후킹한네트워크관련 API 5 개를호출시수행하는작업 A. 전송하는데이터에 "USER", "PASS" 라는내용이존재할경우, 해당값을유출함. (FTP 사용자계정정보유출 ) B. 접속을시도하는사이트중아래의문자열존재시접속을차단함 (1) - DaonolFix - miekiemoes bleepingcomputer mbam mcafee - clamav - prevx 4 C. 접속을시도하는사이트중아래의문자열존재시접속을차단함 (2) - Adob - AVG - AVPU - CAUp - COMO (3) 아래의파일들에대한삭제여부체크하여재생성하는기능 - DLL 파일 - sqlsodbc.chm DLL 모듈내부의 Thread 중하나가위의두파일에대해계속적으로 CreateFileA -> CloseHandle 을반복하여삭제시재생성하는기능을갖는다.

5 2. 스파이웨어 리워드프로그램제작자의기소및 Clicker 이슈 (1) 리워드프로그램제작자의기소 지난 5월인터넷쇼핑몰방문경로를조작해 40여억원의부당이득을챙긴제휴마케팅업체의대표등이적발되어불구속기소되었다. 이들은주로무료프로그램의번들형식으로설치되는리워드프로그램으로 1년이넘는기간동안 5천여만대에자신들의프로그램을설치한뒤이용자의쇼핑몰방문경로정보를변조하는방법으로인터넷광고수수료를부당지급받았다고한다. 특히한업체는수억원의이익을올리고도고작 1만 2천원만환급해줬다는점을미루어그들이주장하는사용자의동의가얼마나형식적이었는지를보여준다. 5 [ 그림 1-1] 수많은리워드프로그램제작사홈페이지 (2) 온라인쇼핑몰의트래픽을소진시키는 Clicker 분산서비스거부공격 (DDOS) 는엄청난분량의데이터를하나의서버에만집중적으로전송함으로써특정서버의정상적인기능을방해하는것을말한다. 지난 2월중국의특정사이트를공격하기위한스파이웨어가확인된후국내에서도국내특정온라인쇼핑몰로많은트래픽을발생시켜정상적인서비스를방해하는 Win-Clicker/DDos.36864가발견되었다. 특정사이트를공격하는프로그램은주로대상사이트의서비스불능으로이득을노릴수있는개인이나집단에서범죄집단에사주해서비스를하는방법이다. 가장최근의예로는지난 3월국내모증권사를겨냥해금전을요구한후목적달성을못하자직접적인공격을한사건이있었다. DDOS 툴을제작해악성코드와함께설치한후온라인쇼핑몰을공격한다면소규모

6 업체로써는그방어가쉽지않을것으로보인다. (3) 교묘해지는애드웨어 애드웨어는그목적인광고역할을충분히수행하기위해이용자에게들키지않고오랫동안설치된상태를유지하려는특징이있다. 최근에는애드웨어가노출하는광고는더욱더진짜같고일부언론사에서배포하는기사에포함된광고가오히려애드웨어와같은경우가많이확인되고있다. [ 그림 1-2] 애드웨어가노출하는광고 6 [ 그림 1-2] 는국산 Zlob이설치하는애드웨어중하나인애드웨어소프트사이드 (Win- Adware/SoftSide.77824) 에의해노출되는광고이다. 이애드웨어는사용자의키보드입력을감시해사용자가포털사이트로접속하는경우각포털사이트의색상과동일한색상을사용해너무튀지않는방법으로광고를노출시켜애드웨어가이용자가애드웨어설치사실을인지할수없게하고있다. 애드웨어가정상적인광고와유사하게표현하려는노력과는달리정상적인광고는애드웨어가노출한것과다를바없이사용되고있다. 최근한포털사가메인페이지에서기사를선택하는경우포털사의뉴스검색페이지가아닌뉴스제공언론사의기사페이지를노출하고있다. 이렇게연결된언론사사이트는포털과비슷하거나더많은광고를노출하고있는데일부언론사의경우광고가기사마저덮고있어애드웨어가노출하는광고같은느낌을주기도한다.

7 7 [ 그림 1-3] 기사를덮고있는언론사의광고 [ 그림 1-3] 은다양한방법을이용하여광고를노출하고있는언론사의기사들이다. 이렇게 무분별한광고노출은분명이들업체가수익을위해노력한결과일것이다. 그러나이런자 유로운광고의노출이이용자가스파이웨어의설치사실을인지하는데어려움이될수있다. 이용자의 PC 에적절한사용자동의없이스파이웨어가설치되는경우사용자가그사실을 빨리인지하지못한다면스파이웨어제작자는지속적인수익을올리게될것이다. 스파이웨 어가노출하는광고와각종사이트의광고의구분이점점어려워지고있는상황에서이용자

8 의인지없이방치된스파이웨어로인한문제는광고노출로인한이용자의불편함뿐만아니라여러애드웨어가동시에동작하는경우발생할수있는오작동문제로인한시스템성능을저하시켜사용자의인터넷이용습관과같은개인적인정보마저도외부로노출될수있기때문에위험하다. 인터넷언론이용자는무료로사용하는정보에대한대가로광고노출을인정하고있으며, 언론사이트는이점을십분활용해다양한방법으로광고를노출하고있다. 이런광고의다양성이애드웨어제작자가이용자에게들키지않고수익을올릴수있는손쉬운길을제공하고있는것이다. 8

9 3. 시큐리티 IIS 의 WebDAV 취약점주의요망 (1) IIS 의 WebDAV 취약점발견, 빠른패치필요 5월중순마이크로소프트사에서는긴급패치를발표하였다. 인터넷웹서버로많이사용하고있는 IIS(Internet Information Services) 에서 WebDAV를사용할경우에발생하는것이다. 이취약점을이용하여인증을우회할수있어, 접근제한이된페이지에접근이가능하고임의의파일업로드또한가능해진다. WebDAV(Web-based Distributed Authoring and Versioning) 는 HTTP 프로토콜의확장판으로원격의웹서버를통해협업하여파일을수정하거나관리할수있는기능등을제공한다. 이번취약점은 IIS 웹서버의 WebDAV 플러그인에서발생하는취약점으로웹서버로전달 된 URL 상에존재하는유니코드를정확히처리하지못해발생하는것이다. 9 영향을받는소프트웨어는아래와같다. - Microsoft Internet Information Services Microsoft Internet Information Services Microsoft Internet Information Services 6.0 WebDAV를사용하지않으면근본적으로이기능을사용하지않는것이보안적인면에선권장한다. IIS 5.X 의경우는다음과같은방법을통해 WebDAV의사용을중지할수있다. 1. 레지스트리에디터실행 (Regedit32.exe) 2. 다음경로의레지스트리를찾음 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\P arameters 3. Edit 메뉴에서 Add Value를하여다음의키값을생성키이름 : DisableWebDAV 데이터타입 : DWORD 데이터값 : 1 4. IIS 를재시작. (IIS 재시작전까지는반영되지않음 ) 이번취약점은제로데이공격으로패치발표이전에취약점이공개되었다. 물론취약점발표 후마이크로소프트사에서도보안패치를발표한만큼, IIS 를운영하는사용자라면보안패 치를적용하거나 WebDAV 를사용하지않을것을권고한다.

10 (2) DirectShow 의원격코드실행취약점등장. 5월에 WebDAV 제로데이취약점이공개되며마이크로소프트사에서는급하게패치를내놓았다. 그런데 5월말에또다시 MS 사에서는보안권고문을발표했다. 이취약점은 DirectX 에존재하는것으로조작된퀵타임미디어파일을오픈하는경우임의의코드가실행될수있다. 영향을받는제품은아래와같다 Microsoft DirectX 7.0 Microsoft DirectX 8.1 Microsoft DirectX 9.0 이문서가작성되는시점까지공식적인보안패치는나오지않았다. 임시적으로이러한위협으로부터보호되기위해서는알수없는출처로부터의퀵타임파일은오픈하지말고, 다음과같은방법을통해해당라이브러리를제외시킬수있다. 단, 이것은해당라이브러리와관련한동영상재생에문제를줄수있으므로필요에따라판단해야한다. Regsvr32.exe -u %WINDIR%\system32\quartz.dll (3) 신종인플루엔자사회공학적기법이용증가 - 도메인증가, 악성코드배포 10 과거조류인플루엔자에이어멕시코에서시작된신종인플루엔자에감염된많은사람이나타나며, 전세계적으로큰위협이되고있다. 우리나라에서도 20여명이넘는감염자가확인이되었고, 이웃나라인일본은이보다훨씬많은감염자가나왔다. 이렇게사회적이슈가발생하면이를악용한사례가컴퓨터네트워크세상으로까지들어오고있다. 악성코드, 스팸, 피싱등이해당된다. 이분위기에따라 Swine, Mexican, H1N1 키워드를포함한새로운도메인이우후죽순으로등록되고있는것으로나타났다. 1천여개가넘는도메인이존재하는걸로알려져있다. 더불어신종인플루엔자의현상황을악용하여취약점을이용한 PDF 문서도확산되고있어주의가필요하다. 다음그림은 Adobe Acrobat Reader JBIG2 취약점을이용하여실행된모습으로, The Association of Tibetan journalists Press Release.pdf 라는이름으로파일이배포되었다.

11 [ 그림 1-4] PDF 파일의내용 신종인플루엔자내용이담겨있다. [ 그림 1-5] PDF 파일을오픈한후실행된또다른프로세스 11

12 4. 중국보안이슈 사이버머니갈취범징역형및취약한 PDF 생성기 (1) 중국정부의사이버머니갈취범에대한징역형선고 5월 26일중국국영언론기관인신화통신을통해온라인게임에서사용되는사이버머니와게임아이템을절도한혐의로 4명이구속되는사건이발생하였다. 이번에발생한사이버머니와게임아이템절도는기존에알려진온라인게임의사용자정보를유출하는악성코드를이용한것이아니라직접적으로피해자를협박해서갈취하였다는점으로인해더욱충격을주고있다. 피의자는친구 3명과공모하여인터넷카페에서온라인게임을즐기고있는청소년들을대상으로협박과폭력을사용하여구속되기전까지총 10만위엔 ( 한화약 1천 8백만원 ) 상당의온라인게임에서사용되는사이버머니와아이템들을갈취한혐의로구속되었다. 현재피의자와공범 3명모두중국정부에의해벌금형을선고받았으며이중 1명은주동적인범죄혐의가인정되어구속 3년형의징역을선고받았다. 이번구속사건으로인해중국정부는 2월전국인민대표회의를통해개정된컴퓨터범죄관련형법을이용해즉각적인형법적용의태도를보여준사례라고할수있다. 그리고이와더불어사이버범죄가온라인상에서만발생하는것이아니라오프라인세상에서도발생할수있다는점을보여준사례라고할수있다. (2) 중국언더그라운드에서제작된취약한 PDF 생성기 12 현재전세계적으로취약한 PDF 파일이나마이크로소프트의오피스문서를악용해악성코드감염을시도하는타겟공격 (Target Attack) 이증가하는추세를보이고있어이러한문서관련어플리케이션사용에대한많은주의가요구되고있는실정이다. 이러한상황에서이번 5 월중국언더그라운드에서는취약한 PDF을생성할수있는생성기가발견되었으며많은중국인들에의해악의적인용도로활용되고있는것으로추정된다. 이번에발견된취약한 PDF 생성기는지난 3월에제작되어이미컴퓨터보안및해킹과관련된중국언더그라운드웹사이트에공개적으로제공되고있었다.

13 [ 그림 1-6] 취약한 PDF 파일생성기 13 해당생성기는정상적인 PDF 파일과공격자가지정한악성코드를결합시켜어도비아크로벳리더 (Adobe Acrobat Reader) 에존재하는자바스크립트매소드 (JavaScript Method) 에존재하는원격파일실행취약점을이용해공격자의악성코드를실행시킬수있는취약한 PDF 파일을생성할수있도록해준다. 해당생성기를통해생성된취약한 PDF 파일이실행되면표면적으로는정상적인 PDF 파일이실행되지만컴퓨터시스템에는사용자몰래백그라운드프로세스로공격자가지정한악성코드를실행하게된다. 중국언더그라운드에서제작되는다양한취약한 PDF 파일및오피스문서생성기들은타겟공격이증가할수있게만드는원인중하나로볼수있다. 그리고이러한취약한문서파일에의해발생되는타겟공격을근본적으로예방하기위해서는결국해당어플리케이션에대해보안패치를충실히적용하여야만할것이다. (3) 중국팬톰시큐리티팀 (Ph4ntom Security Team) 의웹진발간 5월초중국언더그라운드보안연구팀인팬톰시큐리티팀에서세번째보안웹진을발표하였다. 팬톰시큐리티팀은중국내에서주기적으로시스템및네트워크보안과관련된연구결과들을정리하여웹진형태로발표하는것으로널리알려져있는팀중하나이다. 해당팀의연구결과물을통해서현재중국언더그라운드에서는어떠한공격기법에대해서많은관심을가지는지살펴볼수있는계기로삼을수있다.

14 [ 그림 1-7] 중국언더그라운드시큐리티그룹 Ph4ntom 의보안웹진 이번발표된웹진은다음과같은시스템보안과관련된내용들을담고있었다 Day 취약점검출과익스플로잇 (Exploit) 공개 2. 리눅스커널에대한인라인후킹 (Inline Hook) 기법 3. 자바스크립트를이용한크로스사이트스크립트 (Cross Site Script) 공격기법 4. 크로스사이트스크립트를통한윈도우시스템권한획득기법 5. PHP 어플리케이션을통한취약점공격기법 6. 웹어플리케이션의보안전략 14 이번에발표된주제들역시대부분이웹어플리케이션과크로스사이트스크립트공격기법에대한기술적내용들이많았다. 이러한웹어플리케이션과관련된공격기법에대한연구가활발하다는점은결국중국언더그라운드에서도역시웹서버와웹사이트에대한공격에많은관심이있으며실제로도이러한공격형태가많이증가할수도있다는사례로볼수있다. 그리고지난 MS 취약점인인터넷익스플로러의초기화되지않은메모리손상취약점 (CVE ) 이중국의한보안연구팀의실수로인해중국언더그라운드에알려지게되어악의적인공격사례가다수발생하였다. 이러한점으로인해많은사람들이사용하는어플리케이션에대한 0-Day 취약점검출및익스플로잇 (Exploit) 공개등과관련된사항은신중하게다루어져야된다는글은 중국언더그라운드에서취약점발견을통해악의적인공격에활용하기보다는건전한보안연구를중시하자 라는새로운방향제시라고도볼수있다.

15 II. ASEC 칼럼 구름속백신?! 안랩스마트디펜스 2009 년 6 월 1 일안철수연구소는클라우드컴퓨팅개념의악성코드대응기술인안랩스마 트디펜스 (AhnLab Smart Defense) 의베타테스트를시작했다. 이글에서는클라우드컴퓨 팅개념과이를백신에어떻게접목시키는가와이기술의장단점에대해서알아보았다.. (1) 클라우드컴퓨팅 위키백과에따르면클라우드컴퓨팅 (Cloud Computing) 이란 인터넷기반 ( 클라우드 ) 의컴퓨팅기술을의미한다. 라고되어있다. 1 또다른자료에따르면 대용량데이터베이스를인터넷가상공간에서분산처리하고이데이터를데스크톱 PC 등다양한단말기에서불러오거나가공할수있게하는환경이라고한다 백신업계에서인더클라우드 (In-the-cloud) 로불리는이기술은악성코드유무를기존클라이언트가아닌서버에서판단해준다. 검사엔진및시그니처가클라이언트가아닌외부에서이뤄지는것으로주요기능이사용자가볼수없는구름속에서이뤄진다고생각하면된다. 일부업체에서는집단지성 (Collective Intelligence) 개념을이용하기도한다. Collective Intelligence은집단지성, 집단지능, 집단정보수집등으로번역되고있으며 다수의개체들이서로협력하거나경쟁을통하여얻게된지적능력의결과로얻어진집단적능력을일컫는용어 로정의된다. (2) 악성코드현황과백신업체의대응 연구자나업체에따라전체악성코드수는다르지만분명한건악성코드는 2004 년을기점으 로급격히증가하고있다. 1 %BB%B4%ED%93%A8%ED%8C%85 2

16 [ 그림 2-1] 시만텍에서밝힌신종악성코드수 16 [ 그림 2-2] 판다시큐리티에서밝힌접수악성코드수

17 [ 그림 2-3] 맥아피에서밝힌악성코드수 년 6월현재하루에 2-3만개씩악성코드가발견되고샘플접수 분석- 시그니처업데이트 테스트 배포까지빨라도 3시간정도소요되는현실상단순시그니처진단법으로는한계가있으며제네릭진단법 (Generic Detection), 휴리스틱진단법 (Heuristic Detection) 도어느정도악성코드수가수집되고이를분석해진단기능을추가하므로역시시간이걸린다. 이런대응시간문제뿐아니라악성코드증가만큼악성코드의지문을담고있는백신프로그램의시그니처파일도비대해지고있다. 악성코드수명은짧은대신악성코드제작자들은새로운변형악성코드를바로제작해새로운버전으로대체하고있다. 또한과거사용자들을놀라게하기위해제작된악성코드는파괴적인활동, 특정적인증상등으로사용자가쉽게알아차릴수있었지만최근의악성코드는특정목표를정해수백명 수천명단위의적은시스템에배포되고사용자가알아차릴수없게루트킷등을이용해은밀하게활동하는경우가많다. 이런악성코드변화에판다시큐리티는악성코드를다루는백신업계의변화를다음과같이 정리하고있다. ( 가 ) 첫번째세대 : 안티바이러스 시그니처진단기반의안티바이러스제품이탄생했다. 다형성, 도스에서윈도우악성코드, 매크로, 스크립트등에대한대처가추가된다. 악성코드수가증가하면서변형들에대해진 단하는제네릭검사법 (Generic detection) 과휴리스틱검사법 (Heuristic detection) 이추가된

18 다. ( 나 ) 두번째세대 : 안티멀웨어 2000 년이후애드웨어와사용자가원하지않는프로그램같은기존악성코드와는또다른 유형이등장했다. 고객들의요구와안티스파이웨어제품이나오면서안티바이러스제품은 통합적인안티멀웨어제품으로발견하기시작했다. ( 다 ) 세번째세대 : 사전대응 (Proactive) 악성코드수가증가하면서시그니처기반의진단법으로는대처에한계가있어사전대응개념이도입되었다. 크게 행동분석 (behavioral analysis) 과 행동차단 (behavioral blocking) 으로나뉜다. 행동분석은실행되는프로그램을감시하면서위험한행동에대해사용자동의를받는다. 행동차단은워드, 파워포인트, 엑셀, 엑세스, 아크로뱃리더, 윈도우미디어플레이어등과같은프로그램에서발생하는익스플로잇코드가실행되는걸차단하는역할을한다. 행위기반에기초한특정행동차단은초기컴퓨터바이러스가등장했을때도존재했지만사용자가일일이판단해야하는단점이있어사용자의판단을최소화하는약간의시그니처개념도포함되어야한다. 이외사전대응을위해서는언패킹, 루트킷진단등의기술도필요로한다. 사전대응을통해시중에퍼진약 80% 의악성코드를차단할수있다는통계도있다. 하지만, 행위기반의사전대응방식은사용자의판단이상당부분개입되어야하므로제품을사용하는절대다수인컴퓨터지식이부족한일반인에게적용하기에는무리가따른다. 18 ( 라 ) 네번째세대 : 집단지성 (Collective Intelligence) 대부분의사용자들이보안에대해서잘모르기때문에사용자에게허용여부를물어봄으로 초보자가이용하는데한계가있다. 이에비해집단지성은사용자시스템에에이전트를설치 해생성되는파일정보를수집해수집된정보를바탕으로허용여부를판단한다. 기존의악성코드샘플을보내고분석하고시그니처를업데이트하는데시간이오래걸리는데이런문제를해결하기위해집단지성을이용하면 자동수집 (Automated malware collection) -> 자동분류 (Automated malware classification) -> 자동제거 (Automated malware remediation) 를자동으로할수있다. 판다시큐리티는 2007년이시스템을이용해 94.4% 의악성코드를처리했다고한다.

19 클라우드백신도이런집단지성으로볼수있다. 집단지성은개별시스템에는별도의시그니처가필요없으며사용자시스템에서파일의지 문 ( 해쉬값 ) 만얻어중앙서버로전달하고접수받지못한파일은중앙으로보내면자동적으 로분류가된다. 이런집단지성을사용하기위해서는몇가지제한된조건이필요하다. - 서비스제공업체에서정상파일 / 악성파일에대해데이터베이스화해야함 - 새로운악성코드가집단지성에이전트가설치된시스템에유입되어야함 - 형태가변하지않는악성코드로한정 ( 바이러스형태는진단이어려움 ) - 자동분석및처리가가능한샘플 (3) 클라우드백신 백신업계의클라우드백신시도는 2007 년으로거슬러올라간다. 현재까지클라우드기술을 이용하는제품이나기술은시만텍, 맥아피, 트렌드, F- 시큐어, 판다시큐리티로총 5 개사였다. 19 널리알려진판다시큐리티는집단지성에이전트를 400만개의센서를설치해두었으며이시스템은수백만개의악성코드뿐아니라정상파일에대한정보도담고있다고한다. 판다시큐리티는액티브스캔 2.0( 구나노스캔 ) 에해당기술을접목시켰다. 이후 2009년 5월판다시큐리티는자사의클라우드백신베타버전을출시한다. [ 그림 2-4] 판다클라우드백신제품

20 안철수연구소는 2009 년 6 월 1 일세계에서 6 번째로클라우드기술을이용한백신프로그램 을공개한다. 20 [ 그림 2-5] 안랩스마트디펜스 안랩스마트디펜스가시스템에존재하는파일에서고유의 DNA 를수집해안랩스마트디펜 스센터로보내검사결과를받는다. 안랩스마트디펜스센터가구름역할을한다. [ 그림 2-6] AhnLab Smart Defense 구상도 새로운파일의경우안랩스마트디펜스센터로전송되고파일을자동분석해악성으로판 단되면즉각반영해다른사용자의시스템은보호받게된다.

21 [ 그림 2-7] AhnLab Smart Defense Center (4) 클라우드백신의장단점 클라우드백신의장점은다음과같다. ( 가 ) 첫째, 진단율향상 21 악성코드뿐아니라정상파일도미리데이터베이스화하며시그니처기반뿐아니라다양한 진단방식을적용할수있어기존기존시그니처기반의제품보다향상된진단율을볼수 있다. 안철수연구소에서도자체테스트결과 20% 정도의진단율향상효과가있었다. ( 나 ) 둘째, PC 리소스점유율감소및검사속도향상 시그니처기반의백신프로그램은설치된시스템에모든정보를가지고있어많은시스템자원을소모한다. 또한, 하나의파일에대해서모든시그니처와비교해야하므로진단속도도느리다. 하지만, 클라우드백신의경우주요정보는서버에보관되며단지파일 DNA 정보만보내면되므로적은시스템자원을사용하고진단속도가빠르다. ( 다 ) 셋째, 업데이트관리이슈해결 클라이언트에는별도의시그니처업데이트가필요없이서버에서시그니처작업이진행되면 모든시스템에일괄적용되므로클라이언트에서별도의시그니처업데이트작업이필요없 다. ( 라 ) 넷째, 보다빠른대응

22 많은클라우드백신은알려지지않은파일을수집하는기능이있다. 이전에사용자가의심스 러운샘플을찾아신고해야하는번거로움없이샘플처리가이뤄져보다빠른대응을할 수있다. 반면클라우드백신의단점도존재한다. ( 가 ) 첫째, 네트워크단절시이용불가 클라우드백신은네트워크가반드시연결되어있어야한다. 폐쇄망의경우사용이제한적인 데이경우폐쇄망을연결하는컴퓨터에서버를두면해결되지만네트워크연결이아예단 절된시스템에서는이용할수없다. ( 나 ) 둘째, 서비스방해 악성코드가클라우드백신이서비스로통신하는것만방해해도진단을방해할수있다. 단, 이경우악성코드가시스템에감염되어있어야하는가정이필요하다. 감염시보안프로그램을방해하는기능은클라이언트에설치되는제품에서도발생하는문제이다. 네트워크패킷위변조를방지하기위해네트워크패킷위변조검증작업이필요하다. 22 ( 다 ) 셋째, 미진단악성코드존재 현재나와있는클라우드백신은대체로파일에서고유의값을추출해전송한다. 따라서, 파일을감염시키는바이러스나다형성악성코드의경우이런고유값을쉽게얻을수없어악성판단이어렵다. 하지만, 현재존재하는악성코드의 80-90% 가형태가일정한트로이목마로클라우드백신이기존제품의대체가아닌약점보완측면에서볼필요가있다. ( 라 ) 넷째, 오진문제 중앙서버에는해당업체에서수집한정상파일정보와악성코드정보를가지고있으며사용자에게받은정보를이파일에서추출한정보와비교하고새로운파일은자동분석으로분류된다. 분류방법은각사의고유의방식으로이뤄지지만정상파일이악성코드로분류되거나반대로악성코드인데정상파일로분류되어있을수있다. 또클라우드백신의경우시그니처기반제품보다악성판정이대체로느슨한편이라오진확률이높다. 이외네트워크패킷내용이해독당하면허위보안프로그램에서역으로이용할수있으며

23 많은시스템이사용할경우서버에과부하가발생할수있다. (5) 향후전망 클라우드백신은장단점이모두존재하며기존클라이언트제품을전부교체하기는어려울것으로보인다. 하지만, 이들기술의적용으로시그니처기반제품과의상호보완및사전대응측면에서큰역할을할것으로기대된다. 하지만, 클라우드백신에대한회의적인시각도존재한다. 2009년바이러스블루틴컨퍼런스 (Virus Bulletin Conference) 에서는클라우드백신이해결책이아니라는발표가있을예정이다. 1 주요내용은사전대응 (proactive) 이아니며대응시간을좀더단축한것에불과하며진단율이올라간다고해도오진이증가하는문제점을지적할예정이다. 클라우드백신의미래는현재진행중이다

24 III. 이달의통계 1. 악성코드 (1) 5 월악성코드통계 순위 악성코드명 건수 비율 1 new Win-AppCare/Keylogger % 2 new Win-Trojan/Agent.9728.OI % 2 new Win-Trojan/Downloader OD % 3 new Dropper/Agent % 4 2 Win-AppCare/HackTool % 4 new Win-Trojan/Downloader % 4 new Dropper/OnlineGameHack % 4 new Dropper/OnlineGameHack % 4 new Win-Trojan/Agent KL 7 8.6% 4 new Dropper/OnlineGameHack % 합계 % 24 [ 표 3-1] 2009 년 4 월악성코드피해 Top 10 순위 악성코드명 건수 비율 1 new Win-Trojan/Bho % 2 new Win-Trojan/Agent HR % 3 new Win-Trojan/Rimecud % 4 new Win-Trojan/Downloader HL % 4 new Win-Trojan/Downloader LV % 4 new Win-Trojan/Agent IX % 5 new Win-Trojan/Xema % 5 new Win-Trojan/SpamMailer % 5 new Win-Trojan/OnlineGameHack CX 9 8.3% 5 new Win-Trojan/Downloader % 합계 % [ 표 3-2] 2009년 5월악성코드피해 Top 10

25 [ 표 3-1] 은 2009 년 4 월악성코드피해 Top 10 이며, [ 표 3-2] 는 2009 년 5 월악성코드로 인한피해 Top 10 을나타낸것이다. 지난달과비교하여두드러진차이점은트로이목마가 Top 10을모두차지했다는점이다. 또한악성코드활동주기가짧아짐에따라전월과동일한진단명은 Top 10에확인되지않는다. 특히, 4월에는드롭퍼가 4개나 Top 10에포함되어있었으나 5월에는드롭퍼가순위에들지못했다. 하지만아래대표진단명에볼수있듯이드롭퍼가감소된것은아니다. 근래드롭퍼나다운로더가기승을부리며 IE를통해다수의악성코드를다운로드받아시스템에서악의적인기능을수행한다. 그중, Win-Trojan/Rimecud 의경우근래악성코드가주로이용하는윈도우휴지통인 Recycler폴더에악성코드를생성해두고자동시작되도록서비스에등록시킨뒤 IE를통해다수의악성코드를다운로드받아실행시켜최종적으로 Malware Doctor 라는허위안티스파이웨어를설치함으로써사용자들을유혹해결제로까지유도해금전적인목적을취하고있다. 25 아래의표와그림은대표진단명을기준으로변형들을묶어통계를뽑은것이다. 개별악성코드통계보다전체적인악성코드감염양상을알수있다. 이는많은변형의출현및빠른악성코드엔진대응으로개별악성코드생명주기가짧아져서이를보강하기위해참고작성된것이다. 순위 악성코드명 건수 비율 1 2 Win-Trojan/OnlineGameHack % 2 3 Win-Trojan/Fakeav % 3 2 Win-Trojan/Agent % 4 2 Win-Trojan/Downloader % 5 5 Dropper/Fraudrop % 6 3 Dropper/Agent % 7 - Dropper/OnlineGameHack % 8 6 Win-Trojan/Fraudload % 9 new Win-Trojan/Magania % 10 new Win-Trojan/Fakealert % 합계 2, % [ 표 3-3] 월악성코드대표진단명 Top 10

26 5% 3% 3% 23% 7% 7% 7% 9% 19% Win-Trojan/OnlineGameHack Win-Trojan/Fakeav Win-Trojan/Agent Win-Trojan/Downloader Dropper/Fraudrop Dropper/Agent Dropper/OnlineGameHack Win-Trojan/Fraudload Win-Trojan/Magania Win-Trojan/Fakealert 17% [ 그림 3-1] 2009 년 5 월악성코드대표진단명 Top 10 [ 표 3-3] 과 [ 그림 3-1] 은 2009 년 5 월악성코드의대표진단명을기준으로유형별피해 순위 Top 10 을나타내고있다. 5월악성코드대표진단명 Top 10을살펴보면 OnlineGameHack이여전히강세를보이며전체약 33.3%(1위, 7위와 9위 ) 의비율을차지하고있다. Downloader의경우 2단계상승된 4위를기록하였으며, 지난달강세에이어 FakeAV, Fraudrop, Fraudload, Fakealert 등으로불리는허위안티스파이웨어류가전체의 33.7% 를차지하였다. 지난달 (46.9%) 에비해다소감소된수치이나여전히다양한변종이발생되므로사용자주의가필요하다. 이를예방하기위해서는게시판, 자료실, 등의심되는파일은가급적실행하지말고감염되었다하더라도허위안티스파이웨어임을인지하여백신프로그램을이용한진단 / 치료및 [ 바이러스신고센터 ] 로신고하여피해를줄일수있다. 26 아래의 [ 그림 3-2] 는 2009년 5월전체악성코드유형별피해신고건수를나타내고있는그래프이다. 트로이목마프로그램은 74.3% 로다른악성코드보다월등히많은비율을차지하고있으며, 드롭퍼와웜이각각 15.6% 와 5.4%, 그뒤를이어스크립트 3.4%, 유해가능프로그램이 1.1% 를차지하고있다. 저번달과동일하게바이러스는 0.2% 로극히낮은비율을유지하고있다.

27 5% 1%0% 16% 3% 트로이목마스크립트드로퍼웜유해가능프로그램바이러스 75% [ 그림 3-2] 2009 년 5 월악성코드유형별피해신고비율 27 바이러스 유해가능프로그램 웜 0.20% 0.70% 1.10% 1.10% 5.40% 6.90% 4 월 5 월 드로퍼 스크립트 15.60% 8.30% 3.40% 3.40% 트로이목마 74.30% 79.50% [ 그림 3-3] 2009 년 5 월악성코드유형별피해신고비율전월비교 위의 [ 그림 3-3] 은전월과비교한악성코드유형별피해신고를나타낸것이다. 증가한것은드롭퍼의경우전월과비교하여 15.6% 가증가하였으며, 트로이목마는 74.3% 로전월에비해 5.2% 가다소줄어들었다. 웜은 5.4% 로전월에비해소폭감소하였으며, 스크립트, 유해가능프로그램과바이러스는약간의수치차이는있겠으나전월과많은차이가없었다.

28 4,500 4,000 4,114 3,500 3,000 3,559 3,258 3,392 2,500 2,000 계열 1 1,500 1, 월 3 월 4 월 5 월 [ 그림 3-4] 월별피해신고건수 [ 그림 3-4] 는월별피해신고건수를나타내는그래프로 2월부터피해가증가하였으나 4월부터엔진에반영된샘플수가전달에비해약 2배정도증가됨에따라사전대응이높았던것으로추정된다. 참고로, 5월에반영된엔진은 4월대비웜은 4,441개에서 4,140개로감소, 트로이목마는 98,990개에서 105,878개로증가하였다. 28 악성코드의유형이점차은폐형악성코드및최신취약점을이용하는악성코드가늘어남에 따라피해를막기위해서는최신보안패치와함께최신버전의백신프로그램으로주기적으 로검사하는습관이필요하다. (2) 국내신종 ( 변형 ) 악성코드발견피해통계 5 월한달동안접수된신종 ( 변형 ) 악성코드의건수및유형은 [ 표 3-4] 과같다. 월 트로이목마 드롭퍼 스크립트 웜 파일 유해가능 합계 03 월 월 월 [ 표 3-4] 2009년최근 3개월간유형별신종 ( 변형 ) 악성코드발견현황

29 이번달발견, 보고된신종및변형악성코드는전월대비큰차이는보이지않는다. 다만트로이목마와 PDF 취약점을이용하는악의적인 PDF 문서가다수보고되었다. 특히온라인게임의사용자계정을탈취하는형태의악성코드가전월대비큰폭으로상승하였다. 반면보통해당악성코드가발견되면동반상승하였던스크립트유형은오히려전월대비 37% 감소하였다. 웜유형또한전월대비 25% 감소하였다. 그러나올 2월부터발견되기시작한 P2P 웜인 Win32/Palevo.worm이새롭게발견되어 P2P 웜유형의상승을이끌었다. 다음은이번달악성코드유형을상세히분류하였다. 트로이목마드롭퍼스크립트웜 (AutoRun) 웜 ( 메읷 ) 웜 (IRC) 취약점 ( 문서 ) 유해가능 웜 (Exploit) 웜 (SNS) 웜 (P2P) 파읷 ( 바이러스 ) 1.2% 1.4% 0.0% 1.1% 1.3% 1.2% 0.1% 0.8% 2.0% 2.6% 9.5% % [ 그림 3-5] 2009 년 05 월신종및변형악성코드유형 이번달트로이목마유형의특징은우선온라인게임의사용자계정정보를탈취하는형태의악성코드가큰폭으로상승한것이다. 그리고지난달과마찬가지로커널스팸메일러인 Win-Trojan/Rustock 변형이사용자들로부터자주보고되는등기승을부렸다. 또한올해부터지속적으로변형이보고되었던 Win-Trojan/Bagle 경우도그수는작지만사용자들로부터다수보고가되어피해문의가끊이지않았다. 드롭퍼유형은소폭증가하였지만그영향은미비하다. 역시온라인게임의사용자계정정보를탈취하는형태가소폭증가했으며그수는작지만국산메신저로전파되는악성코드변형이보고되었다. 해당악성코드는 RARSFX 형태로되어있고실행후압축이풀리면서온라인게임의사용자계정정보를탈취하는악성코드를설치한다. 올해들어자주보고되고있는국산메신저를통해서전파되는악성코드는앞으로도악성코드전파및메신저피싱등

30 에주의가요구될만큼사용자들의주의를기울일필요가있다. 스크립트유형은 37% 감소하였는데그이유는명확하지않다. 일반적으로온라인게임관련악성코드가증가하면반대로상승하는경향이강했지만최근들어서는그논리가무색할만큼다른양상을보이고있다. 현재대부분의악성코드유입경로가취약한웹브라우저를이용하여악의적인웹사이트나취약한웹사이트를방문하면감염될정도로메일을제치고대표적인악성코드감염경로가되어버렸다. 마치웹은지뢰밭이란표현이사용될만큼현재웹은그다지안전하지못한공간이되어버렸다. 불행중다행이라면악성코드감염에매우오래전에알려진취약점이가장많이사용되며최근취약점은비교적잘사용되지못한것을알수있다. 그러나악성코드제작자들은여러가지취약점을복합적으로사용하거나오래된취약점과신규취약점역시복합적으로사용하기때문에다양한방법으로사용자시스템을공격하려고한다. 웜유형은전월대비 25% 감소하였다. 특징으로는취약점을이용하여전파되는 Win32/C onficker ( 이하컨피커웜 ) 웜변형이전월과다르게단지 1건만보고되었다. 컨피커웜이더이상왕성한활동을하지않지만가끔기존변형중에서 Generic 진단을피하는형태가보고되었을뿐새로운변형이보고되지않았다. 반면 Win32/Palevo.worm라고명명된 P2P 웜은지난 3월부터조금씩보고되기시작하더니이번달은전체악성코드 1.2% 를차지할만큼다수보고되었다. 해당웜은휴지통폴더에자신을복사하며이동식디스크에도자신을복사하며잘알려진 P2P 프로그램의공유폴더에자신의복사본을생성한다. 30 취약점유형의악성코드의경우이번달 PDF와 SWF 취약점을악용한형태가주를이룬다. 이둘파일의취약점은모두기존에알려진형태이다. 알려진취약점을이용하는악의적인문서가자주보고되고있다면아직까지도보안패치를적용하지않는사용자들이많이있다라는것을보여준다. 다음은최근 3개월간취약점이포함된문서의현황이다 월 4 월 5 월 악성코드수 [ 그림 3-6] 2009 년최근 3 개월간취약점문서현황

31 전월의경우 3월대비적은수가발견되었지만이번달경우다시 3월대비정도로상승하였다. 작년말부터 PDF 취약을이용한악성코드가증가하고있으므로이러한추세는앞으로도이어질전망이다. 참고로 PDF 취약점의경우내부에자바스크립트가포함되어있으며 PDF 뷰어의기능에서자바스크립트를자동으로실행되도록하는기능이기본값이므로이옵션만비활성화함으로써취약한문서내악성코드의실행을막을수있는임시방편이있기도하다. 그러나근본적으로는취약점을패치하는것이며웹, 메일, 메신저등으로받은문서파일에대해서는주의를기울여야한다. 다음은최근 3 개월간신종및변형악성코드분포이다 /03 월 09/04 월 09/05 월 [ 그림 3-7] 2009 년최근 3 개월간악성코드분포 이번달경우최근 3개월간을통틀어가장많은악성코드가보고되었다. 트로이목마와드롭퍼그리고취약점관련문서파일이전월대비소폭증가하였다. 웜유형은전월대비감소하였으나특정 P2P 웜이다수발견되기도하였다. 스크립트유형은줄었지만이와연관이깊은온라인게임의사용자계정정보를탈취하는악성코드의경우전월대비증가함을알수있었다. 트로이목마유형중에서는스팸메일러가일반사용자들에게큰피해를주었으며대부분다수의악성코드를설치하여다른악성코드들과중복감염되어있는형태로발견되었다. 실행파일을감염시키는바이러스의경우기존의 Win32/Kashu.B와 Win32/Virut.F 변형이보고되었다.

32 다음은온라인게임의사용자계정을탈취하는악성코드의추세를살펴보았다 월 2 월 3 월 4 월 5 월 [ 그림 3-8] 온라인게임사용자계정탈취트로이목마현황 이번달해당악성코드는전월대비 80% 가까운증가율을보이고있다. 이악성코드가급격히증가한원인에대해서는명확하지않다. 분명한것은해당악성코드의외형과내형은지금까지의형태와별반다르지않다는것이다. 어떠한경로로사용자로부터많은수가보고되었는지에대한의문은남는다. 웹이외에는메신저를통한감염이라던가일부악성코드의경우자체업데이트및다운로드기능을이용하기도한다. 따라서다른온라인게임핵을설치하면서시스템에다수의악성코드가감염된경우도예상해볼수있겠다. 32

33 2. 스파이웨어 (1) 5 월스파이웨어통계 순위 스파이웨어명 건수 비율 1 New Win-Downloader/Elog % 2 New Win-Downloader/KorAdware B 10 14% 3 New Win-Downloader/Rogue.FakeAV % 4 New Win-Adware/LastLog B 7 10% 5 New Win-Adware/Helq % 6 New Win-Spyware/Xema C 6 8% 7 New Win-Downloader/Rogue.FakeAV % 8 New Win- Dropper/Rogue.SystemSecurity B 5 7% 9 New Win-Downloader/Rogue.FakeAV % 10 New Win-Downloader/Rogue.FakeAV % 합계 % 33 [ 표 3-5] 2009 년 5 월스파이웨어피해 Top 10 7% 7% 7% Win-Downloader/Elog % Win-Downloader/KorAdware B Win-Downloader/Rogue.FakeAV Win-Adware/LastLog B 8% 13% Win-Adware/Helq Win-Spyware/Xema C 8% 8% 10% 14% Win-Downloader/Rogue.FakeAV Win-Dropper/Rogue.SystemSecurity B Win-Downloader/Rogue.FakeAV Win-Downloader/Rogue.FakeAV [ 그림 3-9] 2009 년 5 월스파이웨어피해 Top 년 5 월스파이웨어피해 Top 10 에서는다운로더이로그 (Win-Downloader/Elog), 다운 로더코애드웨어 (Win-Downloader/KorAdware) 와같은국산애드웨어로인한피해가증가

34 한것으로나타났다. 다운로더코애드웨어의최초전파방법은정확하게밝혀지지않았으나, 사용자의정상적인동의없이번들프로그램을함께설치하는국산무료소프트웨어설치시함께설치되는것으로추정된다. 다운로더코애드웨어가사용자의시스템에설치되면, 웹사이트에서설치목록을다운로드받아시스템에설치할수있기때문에많은종류의애드웨어가설치될수있다. 이렇게설치되는애드웨어는수시로사용자의키워드를감시해관련광고를노출하거나대형포털사이트의광고와유사한방법으로광고를노출한다. 이러한광고로인해사용자의불편이증가할수있으며, 인터넷익스플로러의비정상종료등의문제점이발생할수있다. 순위 대표진단명 건수 비율 1 Win-Downloader/Rogue.FakeAV % 2 Win-Downloader/FakeAlert.RogueAnti % 3 Win-Downloader/Rogue.SystemSecurity 206 7% 4 Win-Spyware/Crypter 47 2% 5 Win-Spyware/Xema 21 1% 6 Win-Adware/BestLink 18 1% 7 Win-Adware/IEShow 17 1% 8 Win-Adware/Rogue.FakeAV 16 1% 9 Win-Downloader/KorAdware 15 1% Win-Downloader/Elog 12 0% 합계 % [ 표 3-6] 5 월대표진단명에의한스파이웨어피해 Top 10 [ 표 3-6] 은변형을고려하지않은대표진단명을기준으로한피해건수이다. 5월역시지난 4월과유사하게 1648건의피해신고가접수된다운로드로그페이크에이브이 (Win- Downloader/Rogue.FakeAV) 가가장많이접수되었다. 가짜백신설치를유도하는페이크에이브이의변형은하루에서수백건이생성되고있으며, 이러한추세는당분간지속될것으로보인다. 6, 7, 9, 10위로등록된애드웨어는모두국산애드웨어로대표진단명을기준으로한피해건수에서도국산애드웨어피해의증가를확인할수있다 년 5 월유형별스파이웨어피해현황은 [ 표 3-7] 과같다. 구분 스파이 웨어류 애드 웨어 드롭퍼 다운 로더 다이 얼러 클리커 익스 플로잇 AppCare Joke 합계 3 월 월

35 5 월 [ 표 3-7] 2009 년 5 월유형별스파이웨어피해건수 2009 년 5 월역시다운로더의피해가전월에이어가장많은피해를입힌것으로나타났으 며, 전월비 600 건이상증가했다. 가짜백신을배포하는사이트에서사이트주소와타임스탬 프등을이용해 MD5 를변경하는다운로더의피해증가는당분간계속될것으로보인다. (2) 5 월스파이웨어발견현황 5 월한달동안접수된신종 ( 변형 ) 스파이웨어발견건수는 [ 표 3-8], [ 그림 3-10] 과같다. 구분 스파이 웨어류 애드 웨어 드롭퍼 다운 로더 다이 얼러 클리커 익스 플로잇 AppCare Joke 합계 3월 월 월 [ 표 3-8] 2009년 5월유형별신종 ( 변형 ) 스파이웨어발견현황 35 0% 4% 6% 3% 스파이웨어류애드웨어드롭퍼다운로더다이얼러클리커 87% 익스플로잇 AppCare 조크 [ 그림 3-10] 2009 년 5 월발견된스파이웨어프로그램비율 지난 4월에이어 5월에도가짜백신을설치하는다운로더신고가계속되고있으며, 전체신종 ( 변형 ) 발견건수에서차지하는비율도가장높다. 이러한외산다운로더의경우하나의배포사이트에서도수많은변형을배포하는경우가너무나도많기때문에신종및변종의수가절대적으로많다.

36 스파이웨어류의경우지난 3, 4 월에비해대폭감소했다. 그러나, 애드웨어의경우 5 월 에는국내에서제작되어광고를노출하는애드웨어의피해신고가큰폭으로증가했다. 36

37 3. 시큐리티 (1) 5 월마이크로소프트보안업데이트현황 마이크로소프트사는 5 월에긴급 (Critical) 1 건의보안업데이트를발표하였다. [ 그림 3-11] 5 월 MS 보안업데이트현황 37 위험도취약점 PoC 긴급 (MS09-017) Microsoft Office Powerpoint 의취약점으로인한원격코드실행문 제점 [ 표 3-9] 2009 년 05 월주요 MS 보안업데이트 유 이번 5월은다른달과달리상당히적은패치가나왔다. 마이크로소프트사에서는 MS 패치 1건만을내놓았는데, 파워포인트의취약점을해결한패치이다. 임의로조작된파워포인트파일을오픈할경우명령어가실행될수있어위험하다. 이취약점은 0-day 취약점인만큼주의가필요하고, 이전부터오피스의취약점을이용한악성코드가계속발견되고있는점을비춰봤을때파워포인트를사용하는사용자라면꼭패치를적용할것을권고한다. 이외 5월중순경웹서버인 IIS(Internet Information Services) 의 WebDAV 취약점이보고되었는데, 이것또한제로데이취약점으로취약점에대한세부정보가먼저공개되어있어주의를기울여야한다. WebDAV 취약점에대한자세한이야기는 ASEC리포트이번호 (5월호) 의이달의보안이슈 - 시큐리티부분을참고하길바란다.

38 (2) 2009 년 5 월웹침해사고및악성코드배포현황 [ 그림 3-12] 악성코드배포를위해침해된사이트수 / 배포지수 2009년 5월악성코드를위해침해된웹사이트의수와악성코드유포지의수는 62/21로 2009년 4월과비교하여침해지는감소하였고유포지는증가하였다. 특별히브라우저와관련된어플리케이션의취약점발표가없었던것을감안하면이와같은추세는계속될것으로보인다. 웹을이용하여배포되는악성코드는갈수록그패턴이지능화되고있다. 또한힙스프레이기법을통해브라우저의리소스를소비하게하는여러개의취약점을동시에공격하는등공격의정도가갈수록심해지고있다. 다음그림은특정공격페이지의시작페이지이다. 38 [ 그림 3-13] 시작페이지 이페이지에접속하면브라우저는다음과같은취약점공격코드가담긴파일을추가로다운 로드하며취약점공격코드가실행된다. 이러한파일역시다음과같이암호화되어있다.

39 [ 그림 3-14] 암호화된페이지 이공격코드는힙스프레이기법을사용하여사용자시스템의자원을낭비하게하여공격 이성공하지않더라도과도한자원을사용하여사용자에게큰불편을미친다. 39 [ 그림 3-15] 다운로드받는파일 따라서사용자가이러한공격코드로부터피해를방지하기위해항상보안패치의상태를최 신으로유지하고, 안티바이러스프로그램을사용하여혹시나모를악성코드의피해로부터 자신의시스템을보호해야한다.

40 4. 사이트가드 (1) 2009 년 5 월웹사이트보안요약 구분 건수 악성코드발견건수 176,614 악성코드유형 822 악성코드가발견된도메읶 646 악성코드가발견된 URL 10,078 [ 표 3-10] 1 월웹사이트보안요약 웹사이트를통한사용자의피해를막기위해안철수연구소가제공하는인터넷보안무료 서비스인 사이트가드 1 의통계를기반으로본자료는작성되었다. [ 표 3-10] 은 2009 년 5 월한달동안웹사이트를통해발견된악성코드동향을요약해서보 여주고있다. 40 사이트가드의집계에따르면 5월한달동안악성코드는 176,614건발견되었으며, 악성코드유형은 822종, 악성코드가발견된도메인은 646건, 악성코드가발견된 URL은 10,078건으로전반적으로증가세를보였다. 이는전반적으로악성코드의위협이증가한것보다는사이트가드의악성코드검증 / 갱신서버의알고리즘이개선되어전체적으로악성코드에대한탐지기능이강화되었기때문이다. 세부내용을보면다음과같다. 1

41 (2) 악성코드월간통계 가 ) 악성코드발견건수 250, , , ,000 50, , , , ,207 69,964 70,312 22,729 11월 12월 2009년 1월 2009년 2월 2009년 3월 2009년 4월 2009년 5월 [ 그림 3-16] 월별악성코드발견건수 41 [ 그림 3-16] 는최근 7개월간 (2008년 11월부터 2009년 5월까지 ) 의악성코드발견건수의추이를나타내는그래프로 5월악성코드발견건수는 176,614건으로지난달에비해약 58% 의급격한증가세를보였다. 나 ) 악성코드유형 1, 월 12 월 2009 년 1 월 2009 년 2 월 2009 년 3 월 2009 년 4 월 2009 년 5 월 [ 그림 3-17] 월별악성코드유형 [ 그림 3-17] 는최근 7개월간발견된악성코드의유형을나타내는그래프로역시지난달의 902건에비해약 9% 가감소한 822건으로확인되었다. 이는웹상에서전파되는악성코드들이유형의큰변화없이기존의 Trojan류악성코드위주로확산되는동향이반영된것이다.

42 다 ) 악성코드가발견된도메인 1, 월 12 월 2009 년 1 월 2009 년 2 월 2009 년 3 월 2009 년 4 월 2009 년 5 월 [ 그림 3-18] 월별악성코드가발견된도메인 [ 그림 3-18] 는최근 7 개월간악성코드가발견된도메인수의변화추이를나타내는그래프 로 5 월악성코드가발견된도메인은 646 개로전월에비해약 19% 감소하였다. 라 ) 악성코드가발견된 URL 12,000 10,000 10,135 10, ,000 6,000 4,000 4,613 4,134 6,494 4,325 7,748 2, 월 12 월 2009 년 1 월 2009 년 2 월 2009 년 3 월 2009 년 4 월 2009 년 5 월 [ 그림 3-19] 월별악성코드가발견된 URL [ 그림 3-19] 은최근 7개월간악성코드가발견된 URL 수의변화추이를나타내는그래프로 5월악성코드가발견된 URL 수는 10,078개로전월에비해 30% 증가하였다. 이는사이트가드의악성코드검증 / 갱신서버의알고리즘중에서악성코드가발견된 URL의존재여부를검증하는 Parser 기능이강화되어 URL의탐지기능이강화되었기때문이다.

43 (3) 유형별악성코드배포수 유형 건수 비율 Adware 37, % Trojan 30, % Dropper 23, % AppCare 13, % Downloader 8, % Win32/Virut 5, % Joke 5, % Spyware 1, % Win-Clicker % 기타 50, % 합계 176, % 43 60,000 50,000 40,000 30,000 20,000 10, ,704 30,382 23,622 13,667 8,517 5,774 5,144 1, ,674 [ 표 3-11] 유형별악성코드배포수

44 기타, 28.7% Adware, 21.3% Win-Clicker, 0.03% Spyware, 0.6% Trojan, 17.2% Joke, 2.9% Win32/Virut, 3.3% Downloader, AppCare, 7.7% 4.8% Dropper, 13.4% [ 그림 3-20] 유형별악성코드분포 [ 표 3-11] 과 [ 그림 3-20] 은 5 월한달동안발견된악성코드를유형별로구분하여발견건 수와해당비율 (%) 를보여주고있다. 5월한달동안총 176,614개의악성코드가발견되었으며이중 Adware류가 37,704개로지난달 2위에서 1위로한단계상승하였다. 뒤를이어 Trojan류가 30,382개로 2위를차지하였다. 그다음으로는 Dropper류가 23,622개로 3위를차지하였다. 상위 1~4위까지는지난달과변화없이 Trojan류, Adware류, AppCare류, Dropper류등이계속적으로상위권을차지하고있으며, 이러한변화는지난 1/4분기부터지속되는트렌드로써, 인터넷사용자의개인정보및금융정보를탈취 / 사용하기위해제작된악성코드들이웹상에자리를잡은것이이유이며, 앞으로도이러한트렌드는유지될것으로보인다. 44 (4) 악성코드배포순위 순위 악성코드명 건수 비율 1 new JS/Exception.Exploit % 2 new Win-Adware/GSidebar % 3 new Win-Dropper/BoomWhale % 4 new TextImage/Viking % 5 1 Win-Trojan/Xema.variant % 6 2 Win-AppCare/WinKeygen %

45 7 1 Win-Joke/Stressreducer % 8 3 Win-AppCare/WinKeyfinder % 9 2 Packed/Upack % 10 new Dropper/Agent G % 합계 119, % [ 표 3-12] 유형별악성코드배포 Top 10 [ 표 3-12] 는 5월한달동안웹사이트에서사이트가드를통해확인된악성코드배포 Top 10을보여주고있다. Top 10에포함된악성코드들의총배포건수는 119,125건으로 5월한달총배포건수 176,614건의약 67% 에해당되며, 지난달의 60% 보다증가하였다. 특이한점은지금까지 Top10에등장한적이없는악성코드가 1위부터 4위까지를차지한점이다. 특히사용자동의를구하지않고실행되는 Java Script나 ActiveX Component를진단하는 JS/Exception.Exploit과애드웨어인 Win-Adware/GSidebar 가전체 Top10의 53% 를차지한다는것이다. 이는지금까지상대적으로탐지가어려웠던 URL에있었던악성코드들이사이트가드의알고리즘개선으로탐지가되면서자연스럽게해당악성코드들이 Top10 에진입한것으로보인다. 45 요컨대, 이번달역시전반적인악성코드의증가세가지속된한달이었다. 앞으로는사이트 가드의지속적인기능개선과방학기간으로인한 Script Kids 들의활동력증가와맞물려, 악 성코드의증가추세는지속될것으로보인다.

46 ASEC REPORT 작성을위하여다음과같은분들께서수고하셨습니다 년 5 월호 편집장선임연구원허종오 집필진 선임연구원 정관진 선임연구원 차민석 선임연구원 정진성 선임연구원 허종오 주임연구원 장영준 주임연구원 강동현 주임연구원 임채영 주임연구원 김민성 감수상무조시행 46 참여연구원 ASEC 연구원분들 SiteGuard 연구원분들