< DC1A4BAB8BAB8C8A3C4C1BCB3C6C3B4BABDBAB7B9C5CD D32C8A3292E687770>

Transcription

1 SECurity CONsulting Newsletter SECON 정보보호해외뉴스 해외보안이슈 2 [ 보고서 ] Finjan 이달의악성페이지 2월 24 [ 보고서 ] 맥아피 Sage 이슈 3 39

2 SECON 정보보호해외뉴스 해외보안이슈 트렌드마이크로바이러스정보사이트해킹당해 ( 출처 : * 트렌드마이크로사이트가 3월 12일해킹당해사이트방문객들의 PC에맬웨어를인스톨했다. 트렌드마이크로는공격세부사항을아직공개하지않았지만, 소포스는이공격이 SQL 인젝션공격으로보고있고, 맥아피는자바스크립트공격코드를레퍼런스하는스크립트인젝션공격으로, 지난며칠사이 20,000개의페이지를감염시킨대규모공격의일부로보고있다. 시만텍은이공격을직접적으로언급하지는않았지만, 최근들어시만텍허니팟이알려진오래된취약점을타겟으로하는다수의공격을탐지했다고주의를요했다. 불가리아보안컨설턴트단초단체브는 1주일전부터웹사이트의검색 cache를조작된 iframe으로바꾸어방문객을맬웨어를인스톨하는사이트로리다이렉트시키는공격이시작되어감염된페이지는현재확인된것만도 401,000개이상이라고밝혔다. 다음은트렌드마이크로는 3월 12일자사일본어사이트에게시된내용이다 : 트렌드마이크로사이트의바이러스정보를제공하는웹페이지일부가 3월 9일 21시경부터변조되었습니다. 트렌드마이크로는이사실을확인후 3월 12일 11시 30분부터바이러스정보페이지를폐쇄했습니다. (3월 13일 8시 30분부터공개를재개했습니다 ) 이시간동안해당페이지에접속했거나 URL을복사해접속한경우바이러스에감염되었을우려가있습니다. 해당페이지에접속했을때다운로드되었을가능성이있는바이러스는 JS_DLOADER.TZE로, 이바이러스는 3월 10일패턴파일에업데이트되었기때문에트렌드마이크로최신제품을사용하는고객은 PC 바이러스스캔기능을통해탐지 / 삭제가가능합니다. 해당페이지에접속하신분은사용하고있는바이러스백신이나트렌드마이크로가제공하는온라인스캔을이용하셔서패턴파일최신판을업데이트하신후바이러스스캔을해주시기바랍니다. 트렌드마이크로웹페이지를이용하시는고객님들께큰폐를끼친점깊이사과드립니다

3 향후이러한일이발생하지않도록관리에노력하겠습니다. 해커들 - 대규모 IFRAME 공격런치 ( 출처 : 402&source=NLT_PM&nlid=8 해커들이수천수백개의웹페이지에 IFRAME 리다이렉트코드를심어사이트방문객들을맬웨어호스팅사이트로보내고있다고 3월 13일보안연구원들이말했다. 1주일전부터시작된이공격은수그러들기미를보이지않는다고불가리아보안컨설턴트단초단체브는 3월 12일그의블로그를통해전했다. 단초브는이그룹이공격을계속하고있으며, 유명사이트들이이공격의타겟이되고있다고말했다. 단체브는 20개사이트중 401,000개의페이지에 IFRAME이삽입되었다고밝혔다. 이사이트중에는노스캐롤라이나주립대학교도서관, 미국노인행정국의메디캐어프로그램, 해적소프트웨어와기타콘텐트를호스팅하는빗토런드사이트들도포함되어있다. 단체브는리다이렉트에사용되는 100개이상의위조닷INFO 도메인을식별했다고말했다. 시만텍보안대응팀선임연구소장벤그린바움은이공격이사이트를직접적으로침입하는대신, 사이트의검색결과 cache를이용했다고말했다. 해커들은 IFRAME 코드를사이트의저장된검색결과에추가해, 방문객이검색툴을사용하면 IFRAME 코드에의해다른웹사이트로리다이렉트된다. 이사이트는사용자에게새로운코덱을인스톨하라는메시지를보여준다. 코덱을인스톨하면 Zlob 트로이의새로운변종이액티브X 오브젝트를통해인스톨된다. 이가짜코덱은 DNS 설정을변경하는하이재커로, 사용자의모든 DNS 쿼리를 x.29 혹은 x.121로재전송한다. 러시아 RNB가대규모파밍공격을위해네트워크가감염된호스트로부터모든 DNS 쿼리를받는것으로보인다고단체브는말했다. 합법적인사이트의최근검색결과를포이즈닝하는기법은새로운기법이지만, 이것을막는방법은많다고그린바움은말했다. 사용자가가짜코덱을인스톨하지않으면피해를입지않는다. 웹사이트운영자는모든사용자입력을삭제하거나이전검색을 cache하지않도록하는것을포함한조치를취할수있다

4 그러나단체브는이공격이단기간내에소멸되지는않을것으로보고있다. 해커들-8,700개이상의 FTP 서버계정 DB 입수 ( 출처 : 2월 27일, Finjan이유저네임, 패스워드, 서버주소등의 FTP 계정정보를포함한 8,700개이상의데이터베이스가해커손에넘어갔다고발표했다. 이데이터를이용하면서버에침입하고, 방문객들을감염시키는데사용되는크라임웨어를자동으로삽입할수있다. 이계정중에는미국정부기관은물론, 텔레콤, 미디어, 온라인리테일, IT 등광범위한포춘글로벌기업들과 Alexa.com이선정하는전세계 Top 100 랭킹도메인도포함되어있다. Finjan은보고서를통해전세계합법적인기업 FTP 정보를훔쳐악용하고거래하는목적으로제작된새로운어플리케이션에관한상세한내용을공개했다. 이어플리케이션은침입당한 FTP 서버계정의국가별분류, 침입당한서버의구글페이지랭킹별분류기능을제공한다. 이정보를이용하면 FTP 로그인정보를다른사이버범죄자들에게되팔거나더욱위험한공격을체계화할수있다. 이거래용어플리케이션은 FTP 로그인정보를관리해침입당한서버의웹페이지에 Iframe을자동으로삽입하는기능도제공한다. Finjan에의하면, NeoSploit 2라는이름의이툴킷은 Software-as-a-Service 비즈니스모델을사용하기때문에크라임웨어의확대우려가심각하다고한다. " 이새로운거래어플리케이션을이용하면사이버범죄자들은 FTP 크레딘셜에접속을획득하는문제를즉각해결할수있어합법적인웹사이트와방문객모두를감염시킬수있습니다. 이모든것들은버튼하나만누르면쉽게할수있습니다." Finjan CTO Yuval Ben-Itzhak은말했다. Finjan은현재유출된 FTP 계정데이터를공개하지않고, 유출여부를개별적으로문의하면확인해주는서비스를 NeoSploit 버전 2와어플리케이션은 Finjan의실시간감시테크놀로지가수행하는사용자웹트래픽진단과정에서탐지되었다. 공격세부사항은 2월 27일릴리스된 Finjan의 " 이달의악성페이지 " 최신보고서를통해릴리스되었다. 윈도우즈 PC 해킹툴공개 - 패스워드불필요 ( 출처 : /03/04/ html)

5 뉴질랜드의한보안컨설턴트가 3월 4일, 패스워드없이윈도우즈컴퓨터를단몇초만에여는툴을릴리스했다. 마이크로소프트는아직패치를개발하지않은상태다. 임뮤니티보안컨설턴트아담보일루가릴리스한이툴을이용하면 PC나랩탑의파이어와이어포트에케이블을꽂고커맨드를실행하는것만으로윈도우즈머신의잠금을해제하거나, 패스워드없이로그인할수있다. 보일루는지난 2006년도에럭스콘보안컨퍼런스에서이툴로 XP 컴퓨터를해킹하는시연을한바있다. 당시이툴을릴리스하지는않았지만, 몇년이지난현재까지도마이크로소프트는여전히이이슈를해결하지않고있어자신의웹사이트에이툴을릴리스하기로결정했다고한다. 이툴을사용하려면리눅스기반컴퓨터를이용해타겟머신의파이어와이어포트에접속해야한다. 접속하면머신을속여컴퓨터메모리에읽기 / 쓰기접속을할수있다. 이툴은메모리에접속한후메모리에저장된윈도우즈패스워드보호코드를변경해패스워드보호기능을사용하지못하게만든다. 오래된데스크탑컴퓨터에는파이어와이어포트가없지만, 최근판매되는최신모델 PC와대부분랩탑들은파이어와이어포트를포함하고있다. 소포스테크놀로지소장폴덕클린은, 파이어와이어포트를사용해컴퓨터메모리에접속하는것은실제로파이어와이어가제공하는기능이기때문에. 전통적인의미의취약점이나버그가아니라고말했다. 하지만미사용시파이어포트를 disable하고, 다른사람이컴퓨터에물리적으로접근하게할때주의해야한다고덕클린은말했다. 이툴은 에서다운받을수있다. 메모리트릭 - PC 암호화무력화시켜 ( 출처 : 파일시스템암호화를사용하면컴퓨터나랩탑을분실 / 도난당해도데이터가유출되지않는다고믿었다면다시생각해볼필요가있다. 스크린세이버나수면모드, 정전모드로잠겨있는랩탑에물리적으로접근할수있다면암호화를사용하더라도보호할수없다는연구결과가발표되었다.

6 소위 휘발성메모리 라불리는 PC 메모리에저장된데이터는 PC를끄고나서불과몇초동안만유지되는것으로알려져있었다. 하지만보안연구원들은 2월 21일발표된보고서를통해, 메모리에저장된데이터는 PC를끄고나서도몇분동안유지되기때문에, 암호키를포함한데이터를복구할수있다고발표했다. 이테크닉을이용하면, 암호화를직접적으로공격하지않고도컴퓨터램에저장된콘텐트에접속할수있다. 이테크닉은애플의 FileVault, 윈도우즈비스타에포함된 BirLocker 드라이브암호화, 오픈소스인 TrueCrypt, 리눅스커널 2.6 이상에서사용되는 dm-crypt에적용된다고한다. " 컴퓨터파워를끄면휘발성메모리정보가사라진다고널리알려져있지만, 사실은그렇지않다는것을발견했습니다." 프린스턴대학교에드워드펠톤교수는 BBC 월드서비스의디지털플래닛프로그램에서이렇게말했다. 휘발성메모리는 RAM에서컴퓨터를켤때프로그램과데이터를임시로저장하는데사용된다. 디스크암호화는중요한정보를보호하기위해기업과정부기관에서주로사용된다. " 디스크암호화가동작하는원리는암호화키를비밀로유지하는데있습니다." 펠톤교수는말했다. 개인정보를저장한수많은랩탑이분실되거나도난당하면서최근암호화는큰화제가되었다. 암호화된파일들에접속하는데필요한암호화키는 PC를꺼도랩탑메모리에수초에서수분동안남아있다는것을발견했습니다. 수초에서수분은이론상으로, 해커나공격자가메모리칩에서데이터를복구하는데충분한시간이다. " 랩탑을잠시꺼두었거나, 수면모드나최대절전모드로놓은상태에서누군가가랩탑에접근할때는주의해야합니다. 펠톤교수는말했다. 랩탑은수면모드나절전모드에서실행되지는않지만정보는 RAM에여전히저장되어빠르게복구할수있다. " 랩탑의파워를끈뒤파워를재공급하면중요한암호화키를포함한메모리콘텐트에접속할수있습니다.", " 운영시스템은수면모드에서데이터를보호하려고합니다. 하지만파워를끄고나서다시공급해주면이보호가제거되기때문에, 공격자는메모리에바로접근할수있습니다. 펠톤교수는말했다.

7 펠톤교수와그의팀은, 랩탑의온도를낮추는경우, 메모리칩의데이터보존시간이증가한다는것도발견했다. " 랩탑의온도를낮추면메모리에상주하는정보의유지시간은 10분이나그이상유지될수있습니다." 예를들어, 정상적인환경에서는메모리에남아있는정보가약 15초동안유지되지만, 약 50도로식혀진랩탑은정보를 10분이상유지할수있다. 펠톤교수는컴퓨터를보호하는가장좋은방법은컴퓨터를완전히끈뒤다른곳에가기전, 물리적보안이침입당하지않도록몇분동안기다리는것이라고말했다. 암호화된파일시스템을사용하는컴퓨터도마찬가지로, 사용하지않을때는컴퓨터를끄고램콘텐트가사라질때까지몇분동안기다려야한다. 다른옵션으로는, PGP 디스크같은암호화볼륨을사용하고, 사용후즉각언마운트하는방법이있다. " 스크린세이버에도안전하지못합니다." 뉴질랜드오클랜드대학교컴퓨터사이언스교수피터쿳맨은말했다. " 만일정말로보안이걱정이된다면 PC를꺼야합니다." " 이취약점들을개선하기는쉽지않을것으로보입니다." 연구원들은말했다. 소프트웨어를간단히변경하는것만으로는효과가없을것입니다. 하드웨어변경은가능하겠지만시간과비용이듭니다. 오늘날트러스티드컴퓨팅테크놀로지는이미메모리에저장된키들은보호할수없기때문에거의도움이되지않을것입니다. 이위협은랩탑에서가장높습니다. 랩탑디스크암호화는알려진것처럼안전하지못합니다. " 이연구는암호화의가치에의문을갖게합니다. 암호화제품들은시간을두고이문제점을해결해새로운방식으로정보를보호해야할것입니다. 펠톤교수는말했다. 이같은내용은새로운것이아니다. 1996년구트맨의논문이후암호화키는메모리에저장되었을때취약하다는사실이오랫동안알려져왔다. 2년후아디샤미어와닉코반소메렌이하드드라이브를스캔해암호화키를식별하는기법에관한추가적인연구를발표한바있다. 중국해커들 - 안전한사이트는없다 ( 출처 : * CNN에중국해커비공개인터뷰기사가소개되었다. 어렵게성사된오프라인인터뷰에서중국해커들은중국정부로부터보수를받고미국방부를비롯한전세계주요사이트를해킹하고있다고

8 주장했지만, 이주장이사실인지여부를확인할방법은없다고기사는강조하고있다. 이들의근거지는중국의썰렁한아파트다. 이들의나이는 20세전후로, 천진해보이지만, 미국방부를포함, 전세계적으로가장중요한기밀을다루는사이트들을해킹했다고주장하는하드-코어해커들이다. 이중국해커들의리더는네트워크에는사이버침입을허용하는취약점이항상존재한다고말한다. 이들은중국정부로부터비밀리에보수를받을때도있다고말한다. - 중국정부는이런주장을전면부인한바있다. 100% 안전한웹사이트는없습니다. 보안레벨이높은웹사이트에도취약점은항상존재합니다. 그룹리더샤오첸은말한다. " 샤오첸 " 은그의온라인이름이다. 샤오첸과그의동료 2명은신원을공개하기를원치않는다. 이 3명은서방전문가들이 중국사이버부대 라고부르는부대소속으로, 전세계정부사이트와개인웹사이트에공격을런치하고있다고한다. 젊고, 깡마르고, 창백한얼굴로컴퓨터앞에서너무자주밤을새는전형적인해커의모습을한이들중한명은자신이중국인민해방군전직컴퓨터오퍼레이터였다고말한다. 다른해커는마케팅을전공했고, 샤오첸은독학한프로그래머라고한다. " 먼저공격하고싶은웹사이트에관해서알아야합니다. 그사이트가어떤프로그램으로제작되었는지말입니다." 샤오첸은말한다. " 자신을알고적을알면백전불태 " 라는속담이있습니다." CNN은이해커들의웹사이트를공개하지않기로결정했다. 샤오첸은이사이트가운영된지 3년이넘었고, 회원이 10,000명이라고말했다. 이사이트는해킹관련툴과기사, 뉴스, 플래시튜토리얼을제공하고있다. 미국정부와포춘 500 기업들에사이버보안자문을제공하는 idefense 시큐리티인텔리전스전문가들에의하면, 이그룹이운영하는사이트는광범위한중국해킹커뮤니티에서중요한사이트인것같다고한다. 해커들과인터뷰를주선하는데는몇주일이걸렸다. 마침내승낙받은 CNN은상하이남부중국해군의주요항구인중국저우산섬으로약속장소를정했다.

9 이아파트는시멘트바닥으로가구가거의없었다. 있는것이라고는최신컴퓨터 3대뿐이었다. 이들은이들이해킹했다는웹사이트이름을말하기를꺼렸다. 그러다가마침내샤오첸은자신의다른동료 2명이미국방부사이트를해킹해정보를다운로드받았다고말했다 ( 어떤정보를다운받았는지는말하지않았다 ). CNN은그의주장이사실인지확인할길이없었다. " 해킹한동료들은그정보를공개하지않을것입니다. 극비정보입니다." 이번주미국방부는미국, 독일, 영국, 프랑스컴퓨터네트워크가 2007년도에다중공격을받았으며그중다수공격이중국에서비롯되었다고말했다. 지난주미워싱턴의회청문회에서는미국정부의사이버주도권이기대에훨씬못미친다는지적도있었다. " 우리가오늘여기있는이유는더많은것들을해야만하기때문입니다." 미국국토보안부소장로버트자미슨은말했다. " 현상황에서국가시스템을방어하는것은주요과제입니다." 미국정부는중국군이나중국정부가네트워크를해킹했다는주장을직접적으로탓하는데신중을기했다. 그러나동아시아보안방위보데이비스세드니는 " 이공격은만일사이버전쟁을수행하는경우필요한요소들로구성되어있습니다." 라고말한바있다. 베이징은이같은의혹들을부인하면서미국정부에증거를제공할것을요구했다. " 만일증거가있다면제공해야할것입니다. 증거를제시하면이문제에협조할수있습니다." 진강중국외무부대변인은이번주정기브리핑을통해이렇게말했다. 샤오첸은미국방부공격후그의동료들이중국정부로부터돈을받았다고말했다. CNN은그말이사실인지확인할길이없었다. 중국정부는그같은주장을강력히부인했다. " 중국정부는그런일을하지않습니다." 진강중국외무부대변인은말했다. 그러나만일샤오첸의말이사실이라면그의동료들은프리랜서로공격을수행한것으로보인다. 즉중국정부가주도하지는않았지만돈을받고일한셈이다. " 이해커그룹은제생각에는중국정부기관소속은아닌것같습니다." 인텔리전스리서치분석센터제임스멀베논은말했다. 그들은중국정부통치하에서는쓸모가있습니다., 공격을중국내에서수행하지만

10 않는다면중국정부는이젊은해커들을너그럽게용서합니다. 중국 - 중국해커관련 CNN 보도부정 ( 출처 : 중국정부가해커들을고용해미국정부웹사이트를공격하게했다는한중국해커의말을인용한 CNN 기사는사실이아니라고말했다고베이징신문이 3월 11일보도했다. CNN은 3월 7일, 중국정부가중국해커여러명을고용해미국방부를포함, 전세계적으로가장기밀에속하는사이트들을공격하도록했다는기사를보도했다. CNN 기사에의하면, CNN이인터뷰한중국해커샤오첸은 그들은미국방부웹사이트를해킹해정보를다운로드받고그런후중국정부로부터비밀리에돈을받았습니다. 라고말했다고한다. 중국인민일보계열사글로벌타임즈는, 문제의중국해커샤오첸은중국져지앙에근거지를둔웹사이트 Hacker4.com 공동설립자로, CNN 저널리스트와이야기를나눈적이없다고말했다고보도했다. 글로벌타임즈에의하면, 이사이트는해커공격을막는팁, 운영시스템의루프홀, 사용자들에게바이러스를어떻게복구하는지를가르치는사이트라고한다. "CNN 기사전체는사실무근입니다.", 아마도 CNN은특정한목적으로기사를쓴것같습니다. 글로벌타임즈는샤오첸이글로벌타임즈와의인터뷰에서이렇게말했다고보도했다. 샤오에의하면, CNN 저널리스트는샤오에게단지그의웹사이트를소개하고싶다며 20통이상의메일을보냈다고한다. 하지만막상인터뷰가시작되자저널리스트는샤오첸이미국방부웹사이트에접속한적이있는지, 중국정부로부터돈을받았는지여부를계속해서질문했고, 샤오는그런질문에는대답을하지않았다고글로벌타임즈는보도했다. " 저는해외웹사이트에접속한적도없고, 공격한적도없습니다." 샤오는말했다. 미국방부는 3월 4일, 중국군사보고서를통해, 중국해커들이항상미정부웹사이트를공격한다고주장했다. 글로벌타임즈는시만텍의말을인용, 대부분해커들은미국에있으며중국도피해국중하나였다고보도했다.

11 해커 - 외국어능력필수 ( 출처 : 컴퓨터바이러스제작자구함. 만다린어나러시아어, 포르투갈어에능숙해야할것. 악성코드제작자들이특정국가를타겟으로하는공격을런치하는데도움이되는외국어구사능력을가진프로그래머들을원하는사례가증가함에따라, 이런류의해커구인광고들이언더그라운드채널에등장하고있다고맥아피가 2월 21일릴리스한보고서를통해발표했다. 해커들이문법이맞는웹페이지나스팸이메일을원하는이유는바이러스를다운로드하거나신용카드번호등의개인정보를입력하게하는데있어아주중요하기때문이다. 현지어를이용하면일본의 P2P 네트워크어플리케이션, 중국의온라인게임사이트, 브라질은행등특정국가에서인기가높은소프트웨어와사이트에대한공격을더욱효율적으로수행할수있고, 해킹규제법이느슨한국가들로공격을제한할수도있다. 2007년도스팸중영문으로작성된스팸은 67% 에불과하며, 이것은비영어권국가의초고속인터넷사용이일반화됨에따라, 비영어권국가를타겟으로하는공격으로얻는이익이증가하고있다는것을보여준다고보고서는지적했다. 현지언어를이용한공격은새로운것은아니지만, 인터넷공격의범죄적재원으로자금이유입됨에따라해커들은타겟에사용할미끼를다방면으로모색하고있다. " 해커들은프로페셔널리즘과비즈니스를이해하고있는것같습니다." 맥아피보안리서치 & 커뮤니케이션매니저데이비드마쿠스는말했다. " 해커들은맬웨어를사업적으로이용해맬웨어비즈니스를글로벌하게구축할방안을모색하고있습니다." 마쿠스는해커구인광고는대부분스팸과웹사이트를디자인하는바이러스제작자를찾는경우와, 악성프로그램을다른언어를이용해거래하려는경우 2가지라고말했다. 해커들은영문스팸작성에능숙해, 불과몇년전만해도 75% 였던영문스팸의오타와기타에러가오늘날은 10% 에불과하다고마쿠스는말했다. 맬웨어제작자들-맬웨어테스트툴개발중 ( 출처 :

12 사이버범죄자들과맬웨어제작자들이맬웨어를배포하기전테스트하는방법을모색중이다. 이같은사실은 PandaLabs가맬웨어를분석 / 탐지하는과정에서발견한것으로, 사이버범죄자들은현재각종포럼과사이트를통해유명보안기업의보안제품들의스캔기능을모방한툴들을개발하고있다고한다. 이툴은새로제작된맬웨어를런치하기전, 보안제품에탐지되는지여부를철저히체크하는기능을제공한다. PandaLabs 테크니컬디렉터루이스코론은이툴이 Hispasec사의합법적인바이러스토탈툴과아주유사하다고말했다. " 이툴은샘플을전송하지않고파일을스캔하는바이러스토탈의 'do not distribute the sample' 옵션기능과유사한기능을제공하고있습니다." 이런툴들의등장은, 보안경고로헤드라인을장식하지않고조용히목적을달성하려는신종맬웨어트렌드를의미한다고코론스는말했다. 비록 1-2개보안제품에서탐지된다해도, 다른보안제품에서는탐지되지않기때문에, 탐지되지않는보안제품사용자모두를감염시킬수있습니다. 코론스는말했다. 아랍에미레이트은행들 - 전직해커고용러시 ( 출처 : 아랍에미레이트두바이은행들이은행정보보안시스템을강화하기위해전직해커들을고용하고있다. 유나이티드아랍에미레이트데이터웨어하우스 PM IT 컨설턴트아델와합아하메드모스타파에의하면, 두바이은행들은잠재적인보안위협에한발짝앞서기기위해해커들을채용하고있다고한다. " 대부분대형기관들이전직해커들을고용하고있습니다." 그는두바이기업및기관의해킹사고 60% 가전직직원들에의한것이라고말했다. " 대부분해커들은금융기관을해킹하기를좋아합니다. 가장수입이되는타겟이기때문입니다. 경제가성장함에따라이런행위는증가할것입니다." 새로운컴퓨터바이러스들이두바이기업들을위협하고있다. 좀비와봇넷은인터넷을사용하는기업들이직면한가장최근위협으로, 트렌드마이크로에의하면, 중동지역도

13 예외는아니라고한다. 중동지역인터넷사용은지난 7년동안 920% 증가했다. 이는전세계평균증가율 265.6% 를훨씬웃도는수치로, 인터넷사용이증가함에따라사이버범죄도증가했다. 컬트데드카우 - 구글을이용한취약점스캐너릴리스 ( erability-scanner--/news/110087) cdc( 컬트오브더데드카우 ) 해커그룹이웹상의취약점과개인정보를검색하는툴을발표했다. Goolag라는이름의이툴은구글검색쿼리를사용한스캐너로, 취약한웹어플리케이션, 링크, 백도어, 부주의로인해인터넷에올려진민감한정보를포함한문서등을스캔하는기능을갖고있다. 이런류의구글해킹은이미널리알려져있다. 한예로, 조니라는익명의한해커는그의웹사이트 ihackstuff를통해구글해킹트릭들을발표한바있다. cdc가릴리스한이툴은기술적지식이없는해커도사용할수있는자동화툴이라는점에서다르다. cdc는 10년전백도어프로그램인백오리피스발표로열렬한찬사를받은바있다. 백오리피스는네트워크를경유해리모트로컴퓨터를제어하는것을가능하게했다. 백오리피스발표는당시전세계를떠들썩하게했던획기적인사건으로, 윈도우즈 PC를원격지에서완전히제어하는것이얼마나쉬운지를증명했다. 개인, 기업, 심지어정부기관도점점더많은것들을웹에올리고있지만보안에신경을쓰지않고있다고 cdc 대변인옥스블러드러핀은말했다. 모든사람이자신의웹사이트에서취약점을체크해적절한조치를취할수있도록하는것이이툴제작의목적이라고 cdc는말했다. Goolag 스캔은용량이작은프로그램으로, " 취약한서버 ", " 민감한온라인쇼핑정보 ", " 흥미있는정보를포함하는파일 " 등미리설정된구글검색쿼리약 1,500개를제공한다. 검색을자신의서버로제한하거나, 최상위도메인전체로확장할수도있다. 한가지주의할점은, 이툴을너무많이사용하면구글에의해아이피주소를차단할수있다는것이다. [ 블랙햇 DC 2008] Gecko - 건물접속시스템침투 ( 출처 :

14 바이오메트릭이나비접속스마트카드의물리적접속시스템의보안에제동이걸렸다. 2월 21일, 블랙햇 DC 2008 컨퍼런스에서한연구원이이시스템을해킹하는것이얼마나쉬운지를시연했다. 영국보안연구원잭프랑켄은 Gecko라는이름의자신이제작한디바이스를이용해시연을했다. PIC 칩과회로로제작된이디바이스를리더나스캐너의접합부분에접속하면사용자의인증데이터를가로챌수있어, 사용자의엔트리크레딘셜을복제하거나훔칠수있다고프랑켄은말했다. Gecko를이용하면대부분리더기들이엑세스컨트롤시스템커뮤니케이션에사용하는 Wiegand 프로토콜를공격할수있다. 데이터커뮤니케이션에는플레인텍스트가사용되기때문에가로채기가쉽다고그는말했다. ( 프랑켄에의하면, 플라스틱커버플레이트를벗기고 Gecko를연결하면대부분리더기들을크랙할수있다고한다 ) 프랑켄이시연한 Gecko는버전 1로, 스캔한사용자의크레딘셜을캡처 / 기록 / 리플레이 / disable하는기능을제공한다. 시연에서한지원자가나와자신의엑세스카드를 Gecko로스캔했다. 프랑켄의동료연구원아담로리는지원자의엑세스카드코드를자신의카드로전송했다. 로리는지원자와자신의카드를사용하지못하게만드는시연도보였다. Gecko 버전 2는플래시메모리의다중아이디저장기능, 버전 3은근접식 (Proximity) 카드를사용하지않는바이오메트릭스캐너를속이는블루투스인터페이스, 버전 4는 GSM 인터페이스로원격지에서공격자가문을열수있는기능이포함될것이라고프랑켄은말했다. [ 블랙햇 DC 2008] 닌자 해커의진실 ( 출처 : 피싱사이트는아인슈타인을능가하는두뇌를가진 닌자 해커들이생성하는것일까? 아니면언론매체의부풀려진보도가그렇게만든것일까? 2명의보안연구원들이그내막을샅샅이공개했다. 보안연구원니테시단자니와빌리라이오스는블랙햇컨퍼런스에서가진 Bad Sushi: 피셔들을그들만의게임에서격퇴하기 " 라는제목의프레젠테이션을통해, 피셔들이뛰어난

15 코더들로구성된복잡한갱단이아니라남의것을카피하고때로는남의코드를훔치기도하는형편없는코더들이라고주장했다. 연구원들은블랙리스트로알려진피싱사이트를차단하는안티피싱제품에대한불만을토로했다. 일부합법적인서버가침입당해블랙리스트상에오를수있고, 연구원들이블랙리스트를통해침입당한서버를볼수있기때문이다. 연구원들은블랙리스트상에여러번오른서버들중하나를추적했다. 이서버는잘못된설정으로인해침입당해각종피싱사이트를호스팅하는데사용되고있었다. 공격당한웹서버사이트를인증된사이트처럼보이는피싱사이트로전환시키는것은대단한기술이필요한일일까? 연구원들은온라인상에서키트를발견했다. 이키트를해킹당한서버에인스톨하면뱅크오브어메리카, 시티뱅크, PayPal의이미지와양식을비롯한기타유명사이트를복제해피싱사이트를쉽게만들수있었다. 이키트는실력이뛰어난코더가제작한것일까? 키트에사용된코드를상세하게체크한결과, 1개의키트를여러차례복제했다는것을발견했다. 그중에는심지어, 키트사용자를속이는것들도있었다. 이키트는방문객이피싱피싱사이트에접속할적마다방문객의개인데이터를피싱사이트관리자에게만보내는것이아니라, 키트제작자에게도전송되도록제작된것이었다. 이렇게해서입수한사용자개인정보로피셔들은무엇을할까? 연구원들은구글검색을이용해개인데이터를거래하는사이트들을찾아냈다. 이사이트들에서는유럽과아시아사용자데이터에비해미국과영국사용자아이디가더욱많이판매되고있었다 ( 연구원들은그이유를알아낼수없었다 ) 연구원들은 ATM Skimming 포럼과사이트도발견했다. Skimming은 ATM 리더기와키패드를물리적으로사용해계좌번호와 PIN을캡처하는행위로, ATM 거래가완료되어도사용자는자신의계좌가해킹당했다는것을시간이지날때까지깨닫지못한다. 단자니와라이오스는사이트관리자들은사이트보안을강화해피싱키트가루트를획득하지못하도록해야하고, 이중보안인증 (Two-factor Authentication) 이나 Persistent 쿠키를사용하면, 많은금융피싱사이트로부터방어할수있을것이라고말했다. [ 블랙햇 DC 2008] 셀폰도청 ( 출처 :

16 ellular.html?feed=rss_popstories) 조용히개인셀폰대화를도청하는것은더이상스파이나 FBI 만의하이테크트릭이아니다. 2명의사이버보안연구원들덕분에, 조만간이웃의셀폰도쉽게도청할수있게될것같다. 2월 20일, 미워싱턴 DC에서개최된블랙햇보안컨퍼런스에서데이비드헐튼과스티브뮐러는 AT&T, Cingular, T-모바일을포함한주요셀폰서비스제공업체들이사용하는 GSM 셀폰신호도청방지에사용되는암호화를크랙하는새로운테크닉을시연했다. 약 1,000 달러상당의컴퓨터스토리지와프로세싱장비로구성된이기기를무선통신수신기와함께사용하면수마일밖에서셀폰통화내용을녹음해 30분이내로디코딩할수있다. 고성능컴퓨터어플리케이션벤더피코사의디렉터피코와모바일보안벤더셀크립트연구원뮐러는이암호해독기법을무료로공개할계획이라고밝혔다. 이들은오는 3월, 30초만에크랙할수있는 GSM 암호화크랙프리미엄버전도시판할것이라고말했다. 이프리미엄버전은 200,000달러에서 500,000 달러사이에판매될예정이다. 이혁신적인스파이테크닉의고객은누가될까? 전파테크놀로지관련기업에판매할예정이며, 수사기관이나범죄자들에게직접판매하지는않을것이라고헐튼과밀러는말했다. 이테크놀로지가전세계셀폰사용자들의프라이버시를침해할수있지않느냐는질문에대해뮐러는, 해킹할수있는테크놀로지를개발한것이아니라, 해킹할수있는취약점들에대한주의를환기시킨뿐이라고대답했다. 뮐러는 GSM 암호화가 1998년초실제로크랙 ( 이론적으로 ) 된적이있다고말했다. 이제까지도청은돈이많은도청자들만의전유물이었지만, 단돈 1,000 달러로개발한테크닉을공개하면모바일캐리어들이그동안외면해온문제점들에대한관심을불러일으킬수있을것이라고뮐러는말했다. 정부나수백만달러를가진사람들이여러분의통화를도청할수있습니다. 이웃이라고하지말란법이있습니까? 뮐러는말했다. BT 카운터패인수석테크놀로지오피서이자암호화전문가브루스슈나이어는, 이새로운테크닉이그동안 GSM 보안취약점을부정해온수많은모바일캐리어에경종을울릴것이라고말했다. " 훌륭한테크닉이지만새로운것은아닙니다." 그는말한다. 이알고리즘이취약하다는지적이수년동안제기되었지만모바일업계는이공격이이론상으로만가능하다는주장만되풀이했습니다. 이제, 이공격은이론이아닌현실이되었습니다.

17 전세계 700개 GSM 캐리어를대표하는 GSMA 협회는이문제에관해말해달라는요청에응답하지않았다. 이익스플로잇은 GSM에만적용되고경쟁사베리존과스프린트넥스텔등이사용하는 CDMA에는적용되지않지만, 그렇다고해서 CDMA가덜위험하다는것은아니라고뮐러는말했다. GSM 암호해독을먼저한이유는 GSM이전세계적으로많이사용되기때문이라고뮐러는말했다. 미국외지역에서 CDMA 가입자는소수에불과하다. 그렇다면헐튼과뮐러는자신들의전화통화가도청되지않는다는것을어떻게보장할까? 뮐러는한참석자의질문에웃으며말했다. " 저희는전화를사용하지않습니다." [ 블랙햇 DC 2008] 물리적접촉없이신용카드훔치기 ( 출처 : 신용카드뒷면의마그네틱스트립에무엇이있는지궁금해본적이있는지? 2월 20일블랙햇 DC 2008 컨퍼런스에서 RFID 전문가아담로리는자신이제작한툴 Chapy로스마트칩을사용하는신용카드마그넷스트랩을해킹해마그네틱스트랩에포함된콘텐트를읽는시연을보였다. 아담로리는빌딩출입증, 애완동물아이디태그, 여권을비롯, 모든 RFID를해킹하는툴세트인 Rfidiot으로잘알려져있다. 로리는테스트를자원한한관객의지갑에든아메리칸익스프레스카드를꺼내지않은상태에서카드콘텐트를읽었다. 시연장모니터스크린에는카드상의이름, 계정번호, 만료일등의카드콘텐트가선명하게디스플레이되었다. Chapy는파이선으로제작한스크립트로, 카드리더를이용해신용카드에저장된데이터를스캔할수있다. 스캔한계좌번호, 만료일, 카드소유자이름등의계정아이디정보로신용카드를손쉽게복제할수있다고로리는말했다. " 제신용카드에무엇이있는지궁금했습니다." 이툴은현재 PCSC 기반테크놀로지를사용하는카드에만적용된다. 로리는 RFID가어떻게악용될수있는지를설명했다. 공격자는다른사람과접촉하지않고도 RFID를사용하는신용카드를스치면서콘텐트를스니핑할수있다. 인간의신체에삽입된 RFID 칩, 건물출입증, 전세계 45개국이상에서사용되는새로운여권도마찬가지다.

18 아메리칸익스프레스에의하면, 로리가스크린에디스플레이한카드번호는카드에인쇄된계정번호가아니라 alias 번호라고한다. 아메리칸익스플레스카드는다중보안메커니즘을사용하기때문에 Alias 번호만가지고는온라인거래를할수없다고아메리칸익스프레스대변인몰리파우스는말했다. 로리는 RFID 태그가삽입된칩을회원의팔뚝에임플란트해, 클럽출입이나음료수값지불에사용하도록하고있는스페인해변의한나이트클럽을예로들었다. 지갑을휴대하고다니지않아도난당할염려가없다는장점이있지만, 칩을임플란트한회원의팔목을스캔해아이디를알아내현금카드처럼사용할수도있다고주의를요했다. 로리는삽입된 RFID 태그를변경하는것도얼마나쉬운지보여주었다. 로리는인간이사용하는 RFID 태크의코드를동물식별에사용되는코드로변경해사람을동물로식별하게만드는시연도보였다. 로리는 RFIDiot 웹사이트를통해이스크립트를무료로공개했다. 이사이트는 RFID 태그와카드를읽고쓰는하드웨어도판매하고있다. 이메일오타 - 유출위협유발 ( 출처 : 기업이나정치관련단체들은도메인을등록할때웹사이트방문객들을보호하기위해서만이아니라중요한정보가이메일을통해서유출되는것을막기위해서도오타도메인등록에도더욱신경을써야한다고한보안전문가가말했다. 2월 20일블랙햇 DC 2008 컨퍼런스에서시만텍보안연구소올리버프리드리히이사는오타도메인이경쟁사고객에게자사제품을광고하거나선거기간동안특정후보지원자들에게라이벌후보를홍보하는수단으로등록되고있다고말했다. 프리드리하는미국의한방위업체의오타도메인을조사한결과, 하나는중국, 하나는인도에서등록되었다고말했다. 인도에서등록된도메인은웹서버나메일서버가없었지만, 중국에서등록된도메인은이메일을받도록메일서버가설정되어있었다. " 이회사로이메일을보낼때메일주소를잘못입력하면이사기도메인소유자가받게됩니다. 프리드리히는연구를위해미대통령선거주요후보자들의도메인과유사한 124 개의오타

19 도메인을등록했다. 이오타도메인으로발송된이메일을집계한결과, 24시간동안 12개의각각다른아이피주소로부터 1,121건의접속시도가있었다. 프레드리히는이메일을읽지않고메세지를보낸사람에게되돌려보내주소를잘못입력했다고알렸다고말했다. 오타도메인네임으로설정된이메일서버를이용하면오타이메일주소로발송된중요한메일을받는것은물론, 오타이메일주소로사용자를안심시키는메일을발송하는타겟이메일공격이가능하다고프레드리히는말했다. 안티-봇넷제품투자러시 ( 출처 : iencies/) 기존보안기업및신흥기업들이안티-봇넷제품개발에박차를가하고있다. 하지만일부분석가들은이새로운시장의등장이현존하는안티-맬웨어제품의부족함을의미한다고지적한다. 봇넷에감염된컴퓨터가크게증가함에따라, 벤처캐피탈리스트들은현재백도어, 트로이, 키로거, 스틸스루트킷을제거하는테크놀로지개발에전력을다하고있다. 종업원 9명의노바실드사는악성봇넷활동을실시간으로식별할수있는 Specification-기반모니터링제품을개발중이다. 이회사는미국립과학재단의지원을포함, 5백만달러의자금을지원받았다. 현재베타서비스중인노바실드테크놀로지는현존하는안티바이러스및안티맬웨어와개별적으로사용되어데스크탑및네트워크보안의또다른레이어를제공한다. 이러한현상은테크놀로지기업들로서는새로운기회이자위협입니다. 노바실드수석사이언티스트소메시자는말했다. 기존의시그니처-기반테크놀로지로는봇넷관련맬웨어위협을보호할수없습니다. 앞을내다보고, 봇넷방어에주력해야합니다. 봇넷공격이조직된글로벌범죄의주요허브로등장했다. 봇넷에감염당한컴퓨터의대역폭은스팸발송, DoS 공격, 기타악성활동에사용된다. 미조지아기술연구소에서파생된댐발라, 세쿼이아캐피탈로부터자금을지원받은파이어아이, 행위기반보안소프트웨어를판매하는사나시큐리티, PC 툴즈소프트웨어도기존의안티-맬웨어의부족함을보충하는데주력하고있다. 시만텍, 트렌드마이크로를포함한대형안티바이러스사들도안티-봇넷유틸리티들을개별적으로판매하고있다. 트렌드마이크로는트로이와기타봇넷방어관련솔루션들이개별적인제품으로분류되어야한다고주장하고있다.

20 양키그룹분석가앤드류자퀴스는이같은분류가바람직하지못하다고지적한다. 보안제품들이모든위협을탐지하지못한다는것은좋은현상이아닙니다. 안티봇넷이필요한이유는기존의안티바이러스제품들의보호기능이그만큼부족하기때문입니다. 기업들로서는안티-맬웨어보호에돈을이미지불하고있는데봇넷보호에이중으로돈을지불해야만하는정당성을찾기가어렵습니다. 그는말했다. 안티-봇넷제품들이침입탐지를할수있기때문에개별적인방어로간주하고돈을내야한다고반박할수도있겠지만이반박역시무리가있습니다. Verdasys 부사장댄기어는, 전통적인안티바이러스테크놀로지들은한계에도달해복잡한바이러스의빠른속도를따라잡을수없다고말했다. 안티-바이러스제품들은오늘날보다더좋아질수있다고생각하지않습니다. 문제는안티바이러스가실패하면성공적인공격은되돌리기어렵다는데있습니다. 기어는말했다. 이것이안티-봇넷툴이등장한이유라고댐발라부사장트립콕스는말했다. 댐발라는클라우드내 (in-the-cloud) 모니터링콤포넌트를사용해침입당한머신과하이재킹당한머신들에지시를전달하는커맨드앤컨트롤센터의커뮤니케이션을식별하고분리하는제품을판매하고있다. 바이러스나스파이웨어만보안을위협하던시절은지나갔습니다. 콕스는말했다. 이제안티-바이러스보호에만의존할수는없습니다. 사업을한다면다중보안툴을사용해야합니다. 30분마다업데이트되는봇이있습니다. 시그니처-기반데스크탑안티-맬웨어는여기에효율적으로대처하지못합니다. 댐발라, 노바실드, 벤처캐피탈기업들은안티-봇넷솔루션개발에돈을쏟아붓고있다. 이것은시장의원리다. SNMP - 새로운 XSS 공격에사용 ( 출처 : SNMP 를사용한새로운 Pervasive XSS 공격이발견되었다. 웹사이트를통해악성코드를 echo한뒤사용자브라우저에로딩되는 XSS는웹어플리케이션의가장일반적인취약점중하나다. ProCheckUp 연구원들은최근 SNMP를이용해 Persistent XSS 공격을생성하는새로운유형의공격벡터를발견했다. Persistent

21 XSS는악성코드가일정기간동안웹사이트에저장되고, 이페이지를보는모든사용자를감염시킬수있기때문에 XSS 공격보다강력하다. SNMP를이용하면, 공격자는디바이스의파라메터를변경해 Persistent XSS 공격을런치할수있다. ProCheckUp은가정, 소호, ISP에서널리사용되는 ZyXEL의프레스티지라우터제품을연구하는과정에서 SNMP-XSS 취약점과다른취약점들을발견했다고말했다. " 이것은완전히새로운공격으로다른벤더들의많은다른어플리케이션에도영향을줄것으로생각됩니다." ProCheckUp 보안컨설턴트아드리안파스토어는말했다. 파스토어는보고서를통해, 이공격의 proof-of-concept를설명했다. " 보고서에포함된 proof-of-concept 자바스크립트코드를이용하면어드민패스워드를빼내공격자의사이트로전송하는피싱공격을수행할수있습니다." XSS 전문가 RSnake(SecTheory CEO 로버트한센 ) 은 SNMP를사용해 XSS 공격을런치하는것은흥미로운접근임에틀림없다고말했다. "XSS 공격을수행하기위해많은익스플로잇들이로그인변수를사용하기때문에이것을새로운기법이라고말하기는어렵지만, SNMP가사용되었다는것을들은적은이번이처음입니다." 그는많은해커들이 SNMPwalk를사용하지만, 웹어플리케이션해킹에는거의사용되지않는다고말했다. " 크레딘셜정보를가져오거나출력을로그하도록웹사이트를설정해야하기때문에이런공격을자동화하는것은거의불가능할것입니다. 따라서이공격이대규모로사용될가능성은적습니다. 하지만그동안보았던기존의공격에비해아주흥미로운기법입니다." 공격자는 SNMP "write" 오퍼레이션을실행해악성 HTML이나자바스크립트코드를 "system.sysname.0," 등의파라메터를경유해삽입할수있다고파스토어는말했다. ProCheckUp은이밖에도 ZyXEL 제품에서인터넷을경유한리모트 war-driving, 권한상승, SNMP "read" "write" 취약점, 크레딘셜노출취약점, 인증취약점을발견했다. 러시아-맬웨어생산국가 1위 ( 출처 : 러시아가중국을제치고스파이웨어및맬웨어최다생산국으로등장했다. 보안소프트웨어벤더 PC Tools 는 2 월 15 일릴리스한보고서를통해러시아발맬웨어가전체

22 맬웨어의 27.9%, 중국이 26.5% 였다고밝혔다. 이전조사에서 2위였던미국은 10% 미만으로 3위를차지했다. 러시아는스팸메일의온상으로도잘알려져있다. PC Tools는맬웨어를전파하는범죄집단 RBN이소멸되었음에도러시아발맬웨어가여전히줄어들지않았음을지적했다. PC Tools 맬웨어분석가세르게이셰브첸토는, RBN이소멸되자다른맬웨어배포자들이그자리를채우고있어, 러시아에서비롯되는바이러스와스파이웨어가그어느때보다증가하고있다고말했다. 세르게이는 RBN을추적하는것이 RBN의빈자리를채운소규모맬웨어조직들을추적하는것보다훨씬쉬었다고말했다. " 현재러시아맬웨어호스팅서비스광고에말레이시아나중국, 파나마, 싱가폴, 타이, 터키, 인도서버가사용되고있습니다. 맬웨어국가별 Top 10 은다음과같다 : 1. 러시아 (27.89%) 2. 중국 (26.52%) 3. 미국 (9.98%) 4. 브라질 (6.77%) 5. 우크라이나 (5.45%) 6. 영국 (5.34%) 7. 프랑스 (3.81%) 8. 독일 (2.41%) 9. 스웨덴 (1.6%) 10. 스페인 (1.37%) 스패머들-웹메일 CAPTCHA 공격으로더많은스팸발송 ( 출처 : e/107739/) 스패머들이유명웹메일계정을생성할때거쳐야하는테스트를통과하는방법을알아내면서유명웹메일을통해발송되는스팸메일이크게증가하고있다. MessageLabs가릴리스한 2008년 2월인텔리전스보고서에의하면, 전체스팸의 4.6% 가야후, 핫메일, 지메일등의웹메일을이용해발송되었다고한다. 그중야후는전체웹메일스팸의 88.7% 로가장많았고. 지메일은 2008년 1월 1.3% 에서 2월 2.6% 로증가했다.

23 웹메일스팸트래픽이증가하는이유는스패머들이 CAPTCHA 테스트를통과하는방법을알아냈기때문인것으로전문가들은추정하고있다. MessageLabs 안티-스팸테크놀로지스트맷서전은, 현재스패머들이 CAPTCHA 테스트를이해하고읽을수있는인공지능소프트웨어를제작해사용하고있다고말했다. 서전은지메일과핫메일의 CAPTCHA 인증툴은야후보다공격하기어렵기때문에, 일부스패머들은사람을고용해수작업으로 CAPTCHA 테스트를통과해신규메일계정을생성하고있다고말했다. 웹센스는스패머들이지메일 CAPTCHA 알고리즘자동공격에부분적으로성공하고있다고밝힌바있다. Zone-H 사이트개설 6주년맞이해 ( 출처 : Zone-H.org가처음으로인터넷에등장한지 6년이지났다. Zone-H는 6주년을맞이해자사홈페이지에다음과같은내용의글을게시했다 : 6년전 Zone-H 사이트를개설한이유는당시인터넷에서무슨일이일어나는지를알리는데미러아카이브가큰역할을했고, Safemode, Attrition, Alldas 등당시유명한미러아카이브사이트들이하나둘사라지고있었기때문이었다. Alldas는당시가장큰미러아카이브로 125,000여개의미러를데이터베이스에저장하고있었다. 오늘날 Zone-H의웹페이지변조미러데이터베이스는약 2,600,000건에이른다. Zone-H는대형웹페이지변조아카이브를운영하면서, 컴퓨터보안트렌드를이해하고, 앞으로발생할것들을예측할수있었다. 예를들어 Zone-H는다음을예측했고그예측은모두맞아떨어졌다. - 해킹은웹어플리케이션으로이동할것이다. - 윈도우즈와리눅스의싸움은시간낭비가될것이다. - 정치적인동기로인한사건이흔해질것이다. - 이슬람관련해킹이증가할것이다. - 브라질해커들은웹페이지변조무대에서퇴장하고더욱위험한사이버범죄 ( 스패머, 스캐머, 카더 ) 로전환하게될것이다.

24 - 인터넷은심리작전으로사용될것이다. - 제3세대모바일폰에대한최악의위협은바이러스가아니라어플리케이션레벨에서비롯될것이다. - 중국의사이버산업스파이행위가증가할것이다. - 국가를마비시킬정도의대규모사이버전이발생할것이다. - 하드웨어에임베드된스파이웨어가등장할것이다. 위내용은유명보안컨퍼런스아카이브나 Zone-H 뉴스아카이브에서찾아볼수있다. Zone-H가당시다른누구도이야기하지않았던것들을말했다는것을알수있을것이다. Zone-H를운영함으로써좋은점은이처럼앞으로발생할것들을직 / 간접적으로예측할수있다는것이다. 그렇다면나쁜점은무엇일까? Zone-H를싫어하는사람들의가장많이비판하는것은 Zone-H가문제점의근거지라는것이다. Zone-H가없다면웹페이지변조도없을것이라고이들은주장하고있다. 하지만 Zone-H는최초의미러웹사이트가아니다. 미러웹사이트는 Zone-H 이전에도있었고, 이후에도있었다. 하지만 Zone-H가사회성이나인격이부족한많은웹페이지변조자들에의해이용되고있는것은사실이다. 그래서 Zone-H는웹페이지변조미러링을계속해야할것인가에관해서여러분들의의견을듣고싶다. 미러잉아카이브를계속할지아니면그만둘지는여러분의의견을충분히수렴한후결정을내릴것이다. [ 보고서 ] Finjan: 이달의악성페이지 2 월보고서 ( 출처 : 1. 소개이보고서는최신보안위협업데이트로, 위협이어떻게생성되고, 어떤기법이사용되고, 어떤영향을미치는지에관한정보를제공한다. 지난몇개월동안크라임웨어제작자들은더욱많은시스템을감염시키기다양한기법을사용해왔다. 새로운악성사이트생성은놀라운속도로진행되고있다. 악성사이트는다중크라임웨어와기타맬웨어호스팅에사용되고있다. Finjan은최근릴리스한 2007년도하반기위협보고서를통해, 51% 의악성콘텐트가합법적인웹사이트에서비롯되었다고밝힌바있다. 2008년도

25 초에접어들면서이상황은더욱악화되고있다. 크라임웨어툴킷사용이증가하고있다. 이툴킷은수많은웹사이트를효과적으로쉽게감염시키고있다. 크라임웨어틀킷은업데이트메커니즘도제공하고있다. 이보고서는이크라임웨어툴킷중하나인 NeoSploit 버전 2를상세히다룬다. Finjan 연구원들은 NeoSploit 최신버전을호스팅하는서버를조사면서서버를관리하는다양한백엔드스크립들을발견했다. 그중에는전세계합법적인기업에서사용되는 FTP 계정로그인정보를악용하고거래하는용도로제작된툴도있었다. 이툴이제공하는 FTP 서버계정정보중 8,700개이상은훔친것으로, 전세계유명기관과기업에서사용되는유효한사용자네임과패스워드를포함하고있었다. 2. 공격기법이조사는의심스러운 URL을분석하는 URL 분석서비스의알림으로시작되었다. Finjan의바이탈시큐리티웹어플라이언스가악성으로분류한이 URL에관한조사는다음과같이수행되었다 :

26 이웹 URL은 meoryprof.info(me-or-you-profit) 로, Finjan 연구원들은제한된조사과정에서공격자의서버사이드콤포넌트정보일부를입수할수있었고, 분석결과다음과같이 2가지흥미로운사실을발견했다 : 1) 악성서버백엔드에서은밀한정보거래를하는스탠드얼론어플리케이션이발견되었다. 2) 공격에사용된기법은다중 " 사용자 "( 공격자 ) 를지원하고 SaaS (Software as a Service) 모델을사용하고있었다. 2.1 정보거래마켓이공격서버백엔드에서거의알아볼수없는스탠드얼론어플리케이션이발견되었다. 이어플리케이션은훔친 FTP 계정로그인정보를악용하고거래하는데사용되고있었다. 이어플리케이션은 FTP 계정로그인정보관리툴로, FTP 계정웹페이지에접속해 iframe 태그를자동으로삽입할수있는기능을제공하고, FTP 계정의가치를국가별, 구글페이지랭킹별로평가하는거래인터페이스를사용하고있었다. 이어플리케이션에서 8,700개이상의해킹당한 FTP 계정로그인정보 ( 유저네임, 패스워드, 서버주소 ) 를발견했다. 해킹당한계정중에는정부기관, 금융서비스, 테크놀로지유명기업, 심지어유명보안벤더의계정도포함되어있었다. 도표 1은도메인랭킹별로분류된해킹당한 FTP 계정통계로, 도메인랭킹은 Alexa.com의분류에의거했다. 도메인랭킹 도메인수 0-100위 ~ 위 ~ ,000위 ~50 10,000위-5,000위 ~130 50,000위-10,000위 ~300 10,000위-100,000위 ~550 10,000위이하순위도메인 나머지 ( 도표 1 - 해킹당한 FTP 계정부분적통계 ) 해킹당한 FTP 계정국가별분류는다음과같다 :

27 국가 해킹당한 FTP 숫자 미국 2621 러시아 1247 호주 392 아시아 / 태평양지역 354 우크라이나 236 체코 108 폴란드 84 독일 80 영국 78 캐나다 70 네델란드 61 헝가리 45 ( 도표 2 - 국가별분류 ) 이어플리케이션은사용하기쉬운인터페이스를제공한다. 아래는시스템에로그인하면나타나는화면으로, 어플리케이션기능을소개하는내용을포함하고있다.

28 ( 그림 3 - Iframer 운영파레메터 ) 메인페이지의옵션은다음과같다 : - 훔친계정파일을 import - 훔친계정을텍스트파일로 export - 판매자용스크립트모음 이옵션은국가별 / 랭킹별계정접속기능을제공한다. 요청을보내면선택한계정은데이터베이스에서삭제되고다시사용할수없게된다. 3 개의체크박스는다음기능을제공한다 : - 훔친 FTP 서버의웹디렉토리검색 - 선택한 FTP 서버인덱스웹페이지에 iframe 업로드

29 - FTP 서버디렉토리로파일 ( 어떤파일이든지가능 ) 업로드 ( 그림 4 - Iframer 크레딘셜관리자 ) 2.2 크라임웨어 - SaaS화오늘날사이버범죄는금전적이득을위한조직화된범죄를비롯해오프라인세상의범죄를거의모든면에서모방하고있다. 크라임웨어툴킷제작자들은 SaaS (Software as a Service) 비즈니스모델을채택하고있다. 최신버전의 NeoSploit은타겟사용자의국적에맞는버전의트로이를제공하도록설정하는기능을제공한다. ( 그림 5 - NeoSploit 매뉴얼일부. 국가별로다른서비스로설정하는방법을설명하고있다 )

30 ( 그림 6. 그림 5 의내용을자동번역기를사용해영문으로비공식번역한것임 ) NeoSploit은 " 고객 " 지원프로그램으로, 각각의사용자가개인계정과관리자계정에접속할수있는인터페이스를제공한다. ( 그림 7 - NeoSploit 관리로그인화면 ) NeoSploit 은 admin.cgi 어플리케이션을사용한다.

31 로그인하면볼수있는통계보고서페이지는공격벡터통계세부정보를제공한다. 아래는로그인된사용자가볼수있는정보다 ( 관리자로로그인하면모든사용자를볼수있다 ): - 이프로세스를사용중인 "active 사용자 " ( 관리자만볼수있음 ) - 특정사용자의악성코드에접속한잠재적인피해자숫자 - 피해자머신에성공적으로설치된크라임웨어트로이숫자 - 크라임웨어트로이가공격자제어에응답한회수 ( 그림 8-NeoSploit 관리자스크린통계페이지 ) 위페이지는다음과같이각종통계정보를포함하고있다.

32 ( 그림 9- 그림 8 의통계데이터 ) 각각의사용자에게는개별적으로사용할수있는 URL 패키지가부여된다. 이패키지는다운로드가능한실제익스플로잇코드와크라임웨어위치를포함한다. 유저네임 ( 이예제의경우 user136 ) 을클릭하면다음스크린이나타난다. ( 그림 10- user136 의패키지 )

33 이링크과감춰진 iframe 을웹사이트에삽입해악성코드기능을이용한다. 아래그림의 R(Referrer) 링크를클릭하면 user136 사용자가감염시킨웹사이트리스트가나타난다. ( 그림 11-user136 referrer 웹사이트 ) 다음은 referrer 웹사이트와공격서버 iframe 의예다.

34 ( 그림 12-referre 웹사이트샘플 ) 악성코드를 refer하는감염당한웹사이트는사이트의유명도가높을수록더많은사용자를감염시킬수있다. 더많은사용자감염은더많은수익으로연결된다 년 2 월 12 일자로작성된이통계내용은다음과같다. - 활동사용자수 : 약 200명 - 감염당한합법적인웹사이트 : 약 1,500개 ( 고유호스트 ) - 리다이렉터사이트 : 약 20개 * 악성코드에감염된합법적인사이트가더많지만이통계에서는로그인되지않았다는것을의미한다. - 감염당한웹사이트 Alexa.com 랭킹별분류. 1~1,000: 2.5%. 1,000~5,000: 4%. 5,000~10,000: 3% "C"(country) 를클릭하면악성링크로감염시킨국가별통계를볼수있다. 아래리스트는 user136 이감염시킨국가별통계다.

35 ( 그림 13- user136 의국가별통계 ) 2.3 기타공격조사하는동안흥미로운피드백을받았다. Finjan 시큐어브라우징은아래사이트를악성으로표시했다.

36 ( 그림 14-Finjan 시큐러브라우징이미국정부웹사이트의악성코드를표시하고있다 ) 아래그림의붉은색으로표시된부분은이사이트의악성코드소스코드다. ( 그림 15- 악성소스코드를포함하고있는정부웹사이트 )

37 위그림에서붉은색으로표시된 obfuscated 코드는푸른색으로표시된 iframe 를 load 한다. de-obfuscated 코드는미국에서호스팅하는악성웹사이트레퍼런스를포함한다. ( 그림 16-De-obfuscated 코드 ) 아래는전체세션을캡처하는스니퍼로그일부다. ( 그림 17- 스니퍼로그일부 ) 웹사이트가로딩되는동안알려지지않은 URL들이눈에익은포맷 (in.cgi?p=230) 으로다운로드되고있음을볼수있다.

38 ( 그림 18- 로그인스크린 ) 같은처리방식 (modus operandi) 을사용하고있음을볼수있다. 탐지를피하기위해동일한툴킷과리퍼러가사용되었다. 합법적인정부웹사이트를방문하는것이안전하다고생각한사용자들은범죄산업의최신웹공격에감염되었다. 3. 요약이보고서는크라임웨어툴킷의공격벡터예제와분석을다루고있다. 보고서에서밝혔듯이. 사이버범죄자들의타겟은특정기관에한정되지않는다. 가능한많은데이터를빼내재빠르게현금화할수있는모든사용자가그들의타겟이다. 서버공격은안심한방문객들을공격에노출시키는쪽으로진행되고있다. 해킹당한 FTP 계정정보는이계정을직접사용해기업의다른계정과리소스접속에사용되는대신, 감염된사이트생성, 계정정보되팔기등에주로사용되었다. 많은유명사이트들이어느날갑자기맬웨어를제공하는이유를알수있다. 다이너믹코드 obfuscation, 안티포렌식이베시브테크닉, AJAX 백그라운드오퍼레이션을비롯한웹보안관련된현재의모든테크닉은웹보안에영향을미치고있다. 4. 결론오늘날동적인웹환경에서악성도메인네임이나 URL 리스트를유지하는것만으로는악성콘텐트를추적하는것이점점힘들어지고있다. 기업은이런악성웹위협으로부터사용자를보호하기위해각웹콘텐트를 URL, 구문, 외관과상관없이각각의웹콘텐트를분석하는실시간조사테크놀로지를도입해야한다. 악성코드패턴화와시그니처생성, 알려진악성사이트분류는오늘날동적이고이베시브한웹위협에서적절한보호를제공하기에충분하지못하다. 복잡한악성코드를탐지하는가장중요한방법은코드의의도가무엇인지, 그것이그의도를실행하기전에실시간으로이해하는테크놀로지를사용하는것이다.

39 [ 보고서 ] 맥아피 Sage 이슈 3 ( 출처 : * 2월 21일맥아피어버트랩이 Sage 보고서이슈 3을릴리스했다. 이슈 3은맬웨어와보안위협의현지화트렌드를주제로, 일본, 중국, 러시아, 독일, 브라질의현지위협을각각다루고있다. 하나의인터넷, 많은세상종전에는보안위협이한국가에서발생하면다른지역으로전파되기까지몇주일이걸렸다. 하지만 2002년에서 2004년사이발생한클레즈, 버그비어, SQL슬래머, 블래스터, 소빅, 나치, 마이둠, 넷스카이, 비글등의위협은불과몇분에서몇시간사이에지구를한바퀴돌았다. 맬웨어가극도로맹위를떨치던이기간동안, 새로운트렌드가시작되었다. 봇, 패스워드스틸러, 기타맬웨어들이경계할만한수위로등장하기시작했다. 맬웨어는바이러스와는달리전세계적인규모로발생하지는않았다. 맬웨어제작자들은넷스카이프나세서웜등대형바이러스제작자들과는달리, 세상의이목을끄는것에는관심이없었기때문이다. 지난 3년동안특정국가를타겟으로하는공격이증가한가장큰이유는글로벌초고속인터넷의폭발적인성장이다. 하루종일초고속인터넷에접속된컴퓨터대역폭을실시간공격에사용할수있다는것은공격자로서지나치기어려운유혹이다. 하지만초고속인터넷사용비율은국가별로차이가있다. 한국은거의 90%, 미국은약 50%, 개발도상국은아주적은편이다. 셀폰사용의폭발적인증가 ( 매년 20% 증가. 2010년에는약 30억명이상이사용할것으로예상된다 ), 온라인뱅킹, 온라인게임, 전자상거래등새로운테크놀로지는국가별로차이를보인다. 예를들어, 모바일테크놀로지는아시아, 온라인뱅킹은브라질, 온라인게임은중국의노동산업으로자리잡고있다. 이보고서는특정국가사용자를타겟으로한현지화공격을국가별로다룬다. 1. 일본 : 맬웨어 - P2P 를통해전파 다른국가와마찬가지로일본도봇네트워크, 패스워드스틸러, 익스플로잇, Mass Mailer를비롯한많은보안위협에직면하고있다. 이섹션은일본만타겟으로하는맬웨어를다룬다. 네트워크위협위니는일본에서가장인기가좋은 P2P 네트워크어플리케이션으로, 심각한정보유출을유발

40 하고저작권법위반을조장하는맬웨어로악명이높다. 위니관련된사고가일본에서연일보도됨에따라위니는일본에서사회적이슈로떠올랐고, P2P 어플리케이션사용을두고찬반논쟁이붙었다. 위니위니는 2002년동경대학교컴퓨터엔지니어링연구조교카네코에의해개발되었다. 카네코가위니를개발한목적은효율적인파일공유와익명커뮤니케이션제공에있었다. 하지만위니는그익명성으로인해불법디지털콘텐트를주고받는완벽한툴로, 일본에서가장인기가좋은무료어플리케이션중하나가되었다. 한조사에의하면, 2006년 12월부터 2007년 1월까지위니를사용한사람은 290, ,000명이었다. 2004년카네코는저작권법위반을선동한혐의로교토경찰에체포되었다. 2006년 12월그는유죄선고를받고 150만엔벌금형에처해졌다. 그의상소는현재계류중이다. P2P 네트워크많은사람들이위니를사용함에따라 P2P 사용자를타겟으로한맬웨어가증가했다. 위니를통해가장많이전파된맬웨어는 W32/Antinny.worm으로, 이웜은사용자머신의파일을네트워크공유를통해노출했다. 최근이웜의변종이 Share 등의 P2P 네트워크를경유해전파되고있다. Del-500은사용자머신에서사진, 오디오, 영화파일등, 잠재적인모든해적파일을삭제하는트로이로, 그림 1처럼, 위니를사용하는사람을비웃는이미지를보여주는변종도등장했다. ( 그림 1: 표시된일본어번역은다음과같다 : " 비록카네코는유죄판결을받았지만, 당신은여전히위니를사용하고있습니다. 난그런사람들이정말싫습니다.")

41 데이터유출파일을노출하는맬웨어는개인사용자의파일을 P2P 네트워크상의다른사용자에게노출한다. 지난 4년간일본에서이데이터유출에관한많은사건들이보도되었다. 그림 2는한일본어웹사이트가집계한위니관련해미디어에보도된사고건수로, 이숫자는 2006년도에크게증가했다. ( 그림 2: P2P 맬웨어를통해언론에보도된데이터노출숫자. 2005년에서 2006년사이에 6배이상증가했다 ) 다음은 P2P 를통해유출된주요데이터사고목록이다. 날짜 피해자 유출된데이터 2005년 12월 핵전자시설파트너사 3,000개의파일 2006년 2월 일본해상자위대 일본해상자위대함선, 승무원명부, 암호표, 랜덤번호목록 일본법무성 형을살고있는범죄자들의개인정보를포함한 10,000개의파일 3 월오카야마경찰피해자와용의자 1,500 명의개인정보

42 일본협동은행 고객 13,619명데이터 4월 신문사 회원 65,690명데이터 5월 일본육상자위대 Land-to-Sea 미사일관련문서 텔레커뮤니케이션기업 고객 8,900 명데이터와 1,800 개의회사파일 6월 케이블 TV사 고객 15,400명데이터 11월 병원 환자 264,700명데이터 2007년 2월 도쿄경찰 성범죄피해자데이터를포함한 1,000건의수사관련문서 6월 야마나시경찰 610개의수사파일 시바현학교교사 학생 269명데이터 8월 호텔 고객 19,700명데이터 언론의보도는보안유출의심각성을알리는데일조했지만, 피해자에게부정적이니영향을주었다. 한예로, 일본해상자위대파일유출사건이보도되기전에는하루평균 14명미만의사용자들이이파일을다운로드받았지만, 2006년 2월 22일이사건이언론에보도되고나자이파일을다운로드하는사용자수가 2월 23일 627명, 2월 24일 1,188명으로늘었고, 3월 2일까지 3,433명의사용자가이파일을다운로드받았다. 적절한보안보호를사용하지않는 PC로유출된파일을다운로드받은사용자는맬웨어에쉽게감염되었다. 이문제로직장에서징계를당하거나해고당한사람도있었고, 이로인해한사용자가자살을하기도했다. P2P를통해유출된개인적인사진, 영화, 이메일메시지등이많은사람들의호기심의대상이되었다. 정부조치일부위니사건은정치적외교적문제로까지비화되었다. 일본자위대자료가잇달아유출되자일본수상은정부부서에재발을방지할것을지시했다. 2006년내각장관은사람들에더이상위니를사용해서는안된다고발표했다. 아이기스해군전투시스템정보가일본해군청직원의부인컴퓨터를통해서유출되는사건은동맹국들을놀라게했고, 일본자위대의정보관리보안취약점은긴급한사안이되었다. 2007년 8월, 언론들은이데이터유출사고로인해미국이아이기스구축함의기밀부품을일본자위대에공급하는것을일시적으로중단했다고보도했다. 동기

43 이맬웨어는사용자컴퓨터상의파일을노출하거나삭제만하기때문에, 돈벌이를목적으로제작한것이아님을알수있다. 제작자가자신의이름을날리기위해제작했다고보기에는너무도간단한프로그램으로, 아마도저작권규정을침해하는 P2P 사용자들을응징하기위해서제작했을것이라는추측도있었지만, W32/Antinny 변종중에는일본컴퓨터소프트웨어저작권연맹사이트에 DoS 공격을시도하는것들도있었다. 이사이트는소프트웨어저작권을보호하는사이트로, 맬웨어제작자들의동기는확실치않다. 단순히호기심으로제작했다는설이가장유력하다. 대책연구에의하면, 약 30% 의 P2P 사용자들이직장에서 P2P를사용했다고한다. 이사건후많은기업들은직원들이개인컴퓨터를사무실에가져오는것을금지하고있다. 개인컴퓨터를직장에서사용하는것을막는가장효과적인솔루션은직원들에게충분한컴퓨터를제공하는것이다. 일본국무성은 2006년도에 40억엔의예산으로직원용컴퓨터를 56,000대구입했다. 많은기업들은직원들의컴퓨터를모니터링하고 P2P 어플리케이션을포함, 허가받지않은소프트웨어설치를막아주는툴을도입했다. 타겟공격기업과정부를대상으로한타겟공격도발생했다. 이공격은로컬어플리케이션에존재하는취약점을익스플로잇하는첨부파일을이메일로발송하는방법으로수행되었다. Ichitaro 일본에서맬웨어공격을가장많이받는어플리케이션은이치타로다. 이치타로는공공기관에서특히인기가높은워드프로세서로, 악성목적으로작성된이치타로문서를패치하지않은어플리케이션으로열면문서에임베드된트로이가실행된다. 이맬웨어는해가없는이치타로문서파일도열기때문에사용자는아무런의심스러운행동도알아채지못한다. 이치타로를타겟으로한제로데이공격이 2006년 2건, 2007년에 2건발생했다. 4건의공격모두백도어트로이를이용했다. 이백도어들은사용자머신을제어하고키보드입력을모니터링해기업과정부로부터정보를빼내는목적으로제작된것들이었다. 무료툴과오피스무료파일압축툴 Lhaca와 Ihaz 제로데이익스플로잇공격이최근등장했다. 이툴들은상용어플리케이션으로일본내에서인기가좋지않기때문에공격자들은감염숫자에상관하지않은것으로보인다. 공격자들은익스플로잇할수만있다면어떤툴이든타겟으로한다. 마이크로소프트도타겟공격의대상이되었다. 제목과본문이일본어로작성된이메일, 일본어파일네임의첨부파일과텍스트가등장했다. 일본어로작성된이메일도더이상맬웨어로부터안전하지못하다.

44 마이크로소프트워드아이콘모양의실행파일도사용되었다. 이파일은파일네임에스페이스를길게포함시켰다. 사용자가이워드파일을열면트로이가실행되어해가없는파일을열었다. 공격전파악성목적으로제작된문서를이용한공격은다른유형의맬웨어만큼이나널리전파되지않았다. 일본 JP/CERT에의하면, 일본기업의 6.5% 가비즈니스파트너가발송한것으로가장한첨부파일이포함된이메일을받았으며, 이중맬웨어를포함한워드문서를첨부파일로받은기업은 8개였다고한다. 25% 의기업이스푸핑된메시지를받았는지확실히모르겠다고대답했다. 이스푸핑메시지는누가발송하는것일까? 봇넷네트워크에의해전송된것으로추정되지만실제근원지를추적하는것은쉽지않다. 한트로이의경우, 사용자를속이기위해일본어워드문서를열었지만, SimSim이라불리는중국어폰트를사용했다. 일본인은이폰트를사용하지않기때문에이문서가중국버전의워드로생성되었음을알수있다. 트로이맥아피어버트랩은지난 2년동안일본고객들로부터 40개이상의식별된타겟공격샘플을접수했다. 이트로이중에는악성목적으로제작된 OLE 문서나가짜워드파일도있었다. 결론위니를비롯한 P2P에대한위협의증가는일본사용자들에게보안경각심을일깨워주었지만, 일부일본기업들은 P2P 네트워크로부터데이터유출을막기위해임시방편만사용하고있다. 일본기업과정부는 P2P 위협을근절하는확실한정책을구축해현재의위험에대처할필요가있다. 2. 중국 중국의급속한성장은전세계정치와경제에영향을주고있다. 2006년도중국 GDP는지난 11년동안최고치인 10.7% 로성장했다. 중국은불과 1년만에영국을제치고전세계 4위경제대국으로등장했다. 이엄청난성장과변화속에서중국의인터넷위협판도도급격히변하고있다. 맬웨어도예외는아니다. 급속한인터넷성장 2007년도중국온라인사용자는 1억 3,700만명으로, 아시아국 전체인터넷사용자의

45 37% 였다. 중국인터넷포털소후닷컴 CEO 찰스장은이현상을다음과같이설명했다. 중국인터넷사용자들이인터넷상에서보내는시간은매주 20억시간으로, 미국에비해 15배길다. 그이유는규제로인해중국에서자유로운출판물이부족하기때문이다. 2006년 9월중국사법부는외국뉴스에이전시들이중국국영신화통신을통해뉴스를보도할때지켜야할새로운법규를통과시켰다. 중국의인터넷인구는지난 5년간 509% 라는폭발적인증가를보였다. 이와는대조적으로같은기간전세계인터넷인구는 200%, 미국인터넷사용자는 121% 증가했다. 로컬인터넷어플리케이션붐인터넷붐의시대에있어서콘텐트도사용자구미에맞게현지화되었다. 온라인게임온라인게임사용자는중국인터넷사용자의 1/4를차지한다. 2007년 4월기준, 중국온라인게임사용자의 33% 가 19세에서 22세사이의연령층이었다. 온라인게임중독은순식간에중국을강타했고, 이에중국정부는게임시간을제한하는시스템을도입했다. 일정연령이하의사용자는하루 3시간이상온라인게임을하면포인트를잃게되고, 하루 5시간이상인경우모든포인트를잃게된다. 오늘날전세계온라인게임사용자수는약 3,100만명으로, 온라인게임사업은새로운국면을맞게되었다. 가상아이템가상아이템이나가상골드를실제돈과거래하는 RMT( 리얼머니트레이드 ) 가게임사용자들을중심으로급속히전파되고있다. 중국온라인게임의인기는 RMT 마켓을탄생시켰다. 전문가들은 RMT 마켓의가치를미화약 9억달러상당으로추정한다. 중국최고경매포털사이트타오바오닷컴에서중국어키워드 "Gold" 나 "World of Warcraft" 로검색하면, 32,891건의검색결과가나온다. 이중 " 파워레벨서비스 " 와 "World of Warcraft" 검색결과는 19,982개다. 경매사이트의판매자중에는, 게임내머니, 아이템, 마법주문등을얻기위해밤낮을가리지않고온라인게임을전문적으로하는 " 골드파머 " 도포함되어있다. 게임머니와가상아이템을벌기위해수백명의젊은이들을고용하는경우도있다. 이들은매달 250달러를받고일한다. 가상아이템을중국및해외에공급하는전문적인중국게이머들의숫자는약 10만명이상으로추정된다. 인스턴트메시징 RMT는온라인게임에만국한되지않는다. 중국의인스턴트메시징은인스턴트메시지이상의기능을제공한다. 중국의인스턴트메시지기업인텐센트는전화서비스, 엔터타인먼트, 이메일, 게임, 리모트지원. 가상오락서비스를제공한다. 텐센트는가상오락사용료로가상

46 QQ 코인 (1유안, 미화 0.13 달러 ) 통화제도를도입했다. QQ 통화는블랙마켓에서실제통화로거래되어돈세탁수단에사용되고있으며, QQ 계정의 RMT와 QQ 코인을이용한돈벌이도가능하다. 심지어온라인카지노와음란물사이트에서도 QQ 코인이통용되어, 중국당국은 QQ 코인의악용에바짝경계하고있다. 중국미디어가실시한설문조사에의하면사용자의 70% 가 QQ 계정을도난당한적이있다고한다. 텐센트는사용자무료보안교육과서비스를자사웹사이트를통해제공하고있다. ( 그림 1: 텐센트 QQ 는 2007 년도중국인터넷메세징시장을제압했다 ) 익명지불대부분중국사용자들은신용카드나개인 PC를온라인지불수단으로사용하지않는다. 많은중국게이머들은선불카드를지불수단으로선호한다. 이선불카드는인터넷카페에서만아니라온라인구매와온라인도박에도사용된다. 선불카드는등록할필요가없기때문에익명거래가가능하다. 사이버범죄자들은훔친온라인은행계정이나신용카드번호로선불카드를구입해온라인상에서판매한다. 사이버범죄자들은선불카드번호를훔치기위해선불카드네트워크에도침입한다. 선불카드의익명성과인기로인해사이버범죄거래추적은더욱힘들어졌다. 중국의맬웨어현황가상아이템거래는수백만달러의사업이되었고, 골드파머들은저임금의노동자를고용해수익을높이고있다. 이들이단기간에고수익을올리기위해맬웨어를사용하는것은너무도당연한일이다. 중국도메인이호스팅하는맬웨어대다수는패스워드스틸러다. 패스워드는처음에는 QQ, World of Warcraft, 리니지등의주요게임을타겟으로했지만오늘날은수익이되는모든 RMT를타겟으로한다.

47 ( 도표 2: 중국시장의패스워드스틸러는 2007 년도에크게증가했다 ) 게임패스워드스틸러는 2006년 10월피크를이루었고이트렌드는 2007년도에도계속되었다. 초기의 PWS QQPass, PWS WoW, PWS-리니지용트로이타겟공격에이어, 현재는각종온라인게임과커뮤니티를타겟으로하는 PWS-OnLineGames, PWS-MMORPG가등장했다. W32/Fujacks 같은다중벡터웜과웹익스플로잇을사용한사이버범죄도계속증가하고있다. " 사이버범죄자들은반드시숙련된해커일필요는없다. 그들은수요와공급이라는전통적인시장의법칙에따른다." 조직화된범죄중국맬웨어와더불어대규모인터넷커뮤니티, RMT 마켓은중국사이버범죄증가를더욱부추긴다. 실질적인수입과연결되기때문이다. 중국 CNCERT/CC는최근릴리스한보고서를통해, 2007년도하반기동안피싱과악성코드호스팅에사용되었던중국웹사이트는 2006년도한해동안사용되었던숫자보다더많았다고밝혔다. 맥아피사이트어드바이저툴이 2007년탐지한바에의하면, 중국에서등록된모든웹사이트의 0.2% 가익스플로잇을호스팅하고있었다. 이숫자는글로벌평균의 2배이상이다. 이사이트들은.org.cn,.gov.cn,.com.cn,.net.cn, 도메인을주로사용했다. 이사이트들다수는범죄자들이악성코드를호스팅하기위해하이재킹당한합법적인사이트로, 합법적인사이트로알고안심하고찾아온사용자들을감염시킬수있었다. 더욱놀라운것은 Exploit-AniFile.c 같은제로데이익스플로잇이널리사용되고있다는것이었다. W32/Fujacks 등의파일을감염시키는웜과 man-in-the-middle, NetSniff 등의주소레졸루션프로토콜포이즈닝위협이널리전파되고있다.

48 사이버범죄자들은반드시숙련된해커일필요는없다. 그들은수요와공급이라는전통적인시장의법칙에따른다. 2007년 2월, 중국신화통신은중국절강성에근거지를둔 50명의일당이리준 (W32/Fujacks 제작자 ) 과그의일당들이훔친사용자계정과가상통화를판매하는것을도왔다고보도했다. 전하는바에의하면이들은피싱과애드웨어를릴리스하는갱단의일원이라고한다. 하지만이들중컴퓨터전문가는한명도없었다. 이중한명은레스토랑주방장이었다. 조직화된사이버범죄체인에서는각종툴은맡은역할을한다. 패치되지않은취약점을타겟으로하는익스플로잇은공격자에게엔트리를제공한다. 봇과백도어는커맨드앤컨트롤과패스워드스틸러, 스파이웨어에기밀혹은이익이되는데이터를제공한다. BackDoor-AWQ.b(Gray Pigeon) 은 2003년부터웹사이트상에서 " 리모트관리툴 " 이라는이름으로판매된백도어로, 1년사용료 100엔 ( 미화 13달러 ) 을지불한사용자들에게루트킷이나커맨드앤컨트롤, 키로깅등의기능업데이트를제공했다. W32/Fujacks 제작자가체포되자이사이트는 2007년 3월사이트소유자에의해폐쇄되었다. 보안분석가들은이그룹이언더그라운드로근거지를옮겨더욱추적하기가힘들어지지않을지우려하고있다. ( 그림 3: 중국의해커생태계 )

49 재능 vs. 실업자지난 2007년도에는베이징에서만도대학졸업자 200,000명중 43% 만이직장을구했다. 지방은구직난이더욱심각한편이다. 중국의골드파머들은대부분지방출신으로, 12시간교대로근무한다. 이들은매달 250달러의급여를받는데중국의급여수준을고려할때상당히높은액수다. 2005년컴퓨터스쿨을졸업한뒤직장을구하지못해돈에쪼들리는 25세의리준은맬웨어제작기술을터득해 W32/QQPass.worm과 W32/Lewor에이어악명높은 W32/Fujacks.worm 을제작했다. 그는 W32/Fujacks.worm 소스코드를 120명에게판매해미화 13,000 달러이상의수입을얻었다. 이도시일인당연간소득이미화약 3,000 달러라는점을고려할때큰액수다. 이런일을하는사람중에는더욱낮은연령대도있다. Hackbase.com은회원수 10,000명이상의중국에서가장큰해킹교육웹사이트하나다. 자사이트 hackerbase.net은유료해킹서비스를공개적으로제공하고있다. 정부정책 2007년 9월, 중국법원은리준에게 4년형을선고했다. 이런처벌이중국정부정책이맬웨어를이용한사이버범죄를막을수있을까? 재판기간동안리준의변호사는항주의한 IT 기업 CTO가리준에게보낸편지를증거로제출했다. 이 CTO는리준에게연봉 133,000 달러이상을줄테니와서일해달라고제안했다. 이기업말고도연봉을 133,000 달러이상주겠다고제안한기업이 10군데더있었다고말했다. 2007년체포이후에도중국의웜전파는줄어들지않았다. ( 도표 4: 패스워드스틸러는다른맬웨어에비해빠른속도로증가하고있다 ) 중국은최근엄청난변화의물결에휩싸여있다. 그중특히인터넷보안관련테크놀로지는중국정부정책이나기업, 전통적인문화가따라잡을수없을정도로빠른속도로진행되고

50 있다. 중국최대은행인공상은행 (ICBC) 은인터넷뱅킹거래액이 2005년 1/4분기에만미화 226억달러였다고보고했다. 2000년도한해동안의인터넷뱅킹거래액은총 20억달러였다. 2005년중국은행업감독관리위원회 (CBRC) 는지난 2000년도에통과되었던정책으로는인터넷뱅킹관련추가적인위험을규제할수없다고밝혔다. 2006년중국은행감독위원회 (CBRC) 는가상세계의새로운위협을다루는전자은행안전평가지침을공식발표했다. QQ 통화가등장한지 5년이지났다. QQ 통화가돈세탁이나기타용도로악용되는것을우려한중국정부는 QQ 통화유통규제에나섰다. 전문가들은 QQ 통화가중국인민폐유안의가치를위협할지경에이르렀다고말한다. 전망중국보안위협은중국의문화, 정치, 경제적영향을받는다. 중국의발전과변화에따라이에맞는규제와제어가탄생했다. 인터넷의인기와높은실업률, 큰재능풀 (Talent Pool) 은맬웨어제작을부추기는환경을조성했다. 중국의현재상황은이해커들을돈벌이를목적으로하는사이버범죄자가되게만드는쪽으로진행되고있다. 하지만, 리준을비롯한사이버범죄자에대한처벌은중국정부가사이버범죄를심각하게여기고있다는것을보여준다. 중국정부와중국어플리케이션은사이버범죄방지를위한새로운방안을도입하고있다. 적절한보안기준을개발해사용자들을보호하는것만이중국시장을지속적으로성장하게하는방편이될것이다. 3. 러시아 : 경제는마피아가아니다 러시아발해킹의배후에마피아와러시아연방보안부 (FSB) 가있다고생각하는사람들이많다. 과연사실일까? 이질문에대한대답은이보고서에나와있다. 하지만결론을내리기전맬웨어개발과그배후주요세력의역사를짚어볼필요가있다. 이보고서는러시아사법기관의성과와실패, 러시아의현행법규들을짚어보고, 블랙마켓에서어떤것들이거래되는지, 맬웨어를구매하면무엇을할수있는지, 맬웨어개발자, 관련툴, 제공하는기능들을다루고, 앞으로어떻게진화할것인지를전망해본다. 맬웨어개발의간략한역사소비에트연방국가들은전통적으로인문과학보다는기술과실용에중점을둔교육을제공하고있다. 그렇기때문에러시아와구소련에서는수학과컴퓨팅, 프로그래밍으로무장한뛰어난기술을지닌젊은이들이많다. 하지만상대적으로낮은급여, 높은실직률, 네트워크

51 컴퓨터의광범위한보급으로인해, 뛰어난기술의러시아젊은이들은맬웨어개발에관심을갖게되었다. 게다가다른많은국가에서해커는똑똑한사람으로알려져있기때문에맬웨어제작자들은특별한후광을입는다. 과거러시아프로그래머들은많은복잡한바이러스를제작했다. 이중가장주목을받은것중하나는 io.sys 파일복제로디스크를감염시키는새로운테크닉을사용한 Zaraza 바이러스 (3APA3A 라고도불림 ) 였다. 이바이러스로인해안티-바이러스엔진은재디자인되어야했다. 또다른바이러스로, Z0mbie가제작한 W32/Zmist를들수있다. 이기생바이러스는파일들을디컴파일하고리어셈블한다. 이기술은가장탐지하기어렵다는데보안연구원들은의견을같이한다. 최근몇년간금전적인이득을취하는목적의맬웨어가증가했다. 스팸과스팸툴도마찬가지로, 예를들어봇넷은스팸배포에널리사용된다. 러시아에는합법적인목적의 Low-Level 스킬을제공하는사이트들이많다. 대표적인사이트로 Top-Notech 취약점리서치정보를제공하는 복제-보호테크놀로지정보를제공하는 소프트웨어분석툴킷 IDApro ( 는리버스엔지니어링관련 1급프로그램이다. 소프트웨어프로텍터 AsPack과 AsProtect ( 는상용소프트웨어패키지로널리사용된다. 그레이사이트로인 이사이트들이제공하는기술을이용하면맬웨어를쉽게개발할수있다. 컴퓨터범죄에투자하면아주많은이득을볼수있다는사실이수많은러시아젊은이들과경험없는사람들의구미를당기고있다. 이젊은프로그래머들이범죄자가되는것을막기위한대책은무엇일까? 이분야관련한법적인규제는다음과같다. 현행법규러시아에서최초로컴퓨터범죄관련법규가제정된것은 1996년이다. 2001년 11월일부수정된이법규는다음조항을포함한다 ( 공식적번역은아님 ). # 272) 컴퓨터데이터에허가받지않고접속해분실, 차단, 수정, 복제, 혹은컴퓨터, 시스템이나네트워크운영에피해를주는행위. #273) 고의적으로컴퓨터프로그램을생성하거나현존하는프로그램을변경해분실, 차단,

52 수정, 복제혹은컴퓨터, 시스템이나네트워크운영, 관련된프로그램이나컴퓨터미디어에피해를주는행위. #274) 컴퓨터나시스템, 네트워크에접속해시스템, 네트워크의정상적인운영을방해해분실, 차단, 수정, 복제, 컴퓨터시스템이나네트워크에큰피해를주는행위. 이법규를위반한사람은소액의벌금형이나사회봉사명령을받고, 심각한결과를가져오는범죄 ( 혹은조직그룹의범죄 ) 를저지른경우는 4-7년형에처해진다. 2006년러시아의회는개인데이터보호법안 ( 와데이터보호 ( 를시행했다. 데이터보호법은개인적으로식별가능한정보를열람하려면허가를받아야한다는내용을포함하고있다. 2006년 7월, 러시아의회는광고배포시 opt-in을포함시키는법안을통과시켰다. 이법규로인해러시아의스팸은일시적으로감소했지만, 4개월이지나자스팸은정상적인이메일트래픽의 80% 인평상시비율로되돌아갔다. ( 이처럼러시아가개인데이터를보호하기위한법규제정에적극적이며, 쟁점이되는영역을다루고있다는것을알수있다. 하지만맬웨어방지에과연효과가있을까? 러시아법규의성과와실패법이엄격한이유는사람들이복종하지않기때문이라는러시아속담이있다. 이법규들이실제로어떻게적용되는지를상세히살펴볼필요가있다. 하이-테크놀로지범죄관련법규는늘상하이-테크놀로지범죄의속도를따라잡지못하게마련이다. 하지만러시아컴퓨터범죄관련법은상당히포괄적으로, 이법안이최초로시행되었을당시, 동법안제정자들은스팸의개념을포함시키는것을생각하지못한상태였음에도불구하고, 이법에의거해한스패머가기소된바있다. ( 허가받지않고컴퓨터시스템을수정한한해커역시 #2737 조항에의거해기소되었다 ( 이해커는약 4,000개의맬웨어다운로드를제공하는웹사이트를운영한죄목과함께기소되었다. 국제적인컴퓨터범죄관련한사례로는, 러시아모스크바에서 530 마일떨어진사라토프지방

53 법원은 3명의러시아해커들에게각각 3,700달러의벌금과 8년형을선고했다. 이해커들은해외인터넷기업들로부터 4백만달러를강탈하려고했다. 해외웹서버에대한공격이널리발생하고있다. 이공격은서버에침입해맬웨어 ( 혹은맬웨어악성링크 ) 를심는목적으로수행된다. 여러국가를타겟으로한웹서버공격의근원지를추적한결과러시아세인트피츠버그에서등록된한네트워크라는것이발견되었다. 컴퓨터관련범죄는국경을초월한다. 범죄자들도마찬가지다. 범죄자들은현지법에의거해처벌받는다. 2007년 8월, 미국언론은미국재벌들을타겟으로한아이디절도사건을보도했다. 이그룹의주모자는 24세의러시아해커로, 그는그가입수한미국재벌들의개인아이디정보를 7백만달러의금과교환하겠다는함정수사에속았다. 그는이금을가질러러시아에서뉴욕행비행기를탔고. 결국뉴욕에서체포되었다. ( 2007년 7월, 엄청난수의이탈리아웹서버들이감염되었다. 감염에는러시아익스플로잇패키지 MPack이사용되었다. 이런공격에대처하려면사법기관, 수사기관, ISP 사이의긴밀한국제수사공조가필요하지만현실적으로지극히어려운일이다. 수사기관이직면한또다른심각한문제점은컴퓨터범죄리소스발견과기구에대한예산부족이다 ( 이것은전세계수사기관들이직면한문제점이기도하다.) 정부수사기관이기대하는만큼컴퓨터범죄를소탕하지못하자비영리 / 비행정단체와국제기구들이팔을걷고나섰다. 컴퓨터범죄연구센터는우크라이나, 러시아연방, 카자흐스탄등을비롯한구소비에트국가들의컴퓨터범죄법규관련된세부적인내용을다루는문서를제공한다. 2002년, 비행정단체 ISP 오픈포럼은공평한네트워크사용규정 ( 을제정했다. 이규정은스패머가인터넷에접속하지못하도록하는 ISP MTU-인텔관련된법원의판결을확인하는전례로채택되었다. 2005년 7월, 러시아최대스팸발송자바르단쿠시니르가피살당한사건이발생했다. 언론은이사건을대대적으로보도했다. 그가스팸발송으로인해피살되었으리라는추측은 2005년 8월범인이구류되면서단순강도사건임이밝혀졌다. 블랙마켓가격리스트

54 ( 그림 1: 맬웨어를판매하는이사이트는방문객설문조사를통해피드백도받고있다 ) 맞춤형맬웨어주문제작은어려운일이아니다. 이런서비스를광고하는전문적인웹사이트도있고, 맬웨어제작요청을게시하는포럼도있다. 시장은구매자와판매자에의해형성된다. 그림 1의사이트방문객설문조사에서은행구좌, 로그, PayPal, 이베이등에관심이있는지를묻는질문에 149명중 67% 가관심있다고대답했다. 이사이트는아래와같은서비스를제공하고있다 : - 봇 - 브루터 ( 무작위대입공격크랙툴로추정됨 ) - 플러더 - 그래버 - 감염파일 ( 바이러스와웜 ) - 키로거 - 스니퍼 - 스팸소프트웨어 - Sploit( 익스플로잇데모와취약점 ) - 트로이 금융관련맬웨어

55 ( 그림 2: 맬웨어쇼핑리스트 ) 이사이트에서판매되는툴들은다음을포함한다. - PG 유니버셜그래버 ( 파워그래버버전 1.8): 마이크로소프트인터넷익스플로러및호환가능한브라우저지원, 스스로인스톨되고인스톨흔적을삭제, 방화벽우회, 탐지가되지않음, POST 후즉각로그발송, 외부파일로드, 봇업데이트, 선택된사이트차단, 몇차례재시작후스스로파괴되도록설정가능, URL 암호화 - 그래버툴킷 : " 초보카더를위한모든것 " - 빌더, 키생성기, 관리페이지를통한통계제공 - 그래버고스트버전 2.0: 검색엔진이돌려주는 URL이나, 특정키워드사용시검색엔진이돌려주는 URL 변경 봇과빌더

56 ( 그림 3. 판매되는봇들 ) 이사이트는다음과같은봇들을판매하고있다. - WDLX 버전 1.1: 빌더에서지정하는 URL을사용하는다운로더포함. 스스로인스톨된후인터넷에접속될때까지대기. 구매자가지정한시간이되면프로그램을실행하고모든활동흔적을삭제함. - Xloader: 방화벽을속이고, php-스크립팅을통해세부통계를제공. - 멀티쓰레드 DDoS: 유닉스, 리눅스, * 닉스계열운영시스템용다중기능멀티쓰레드봇 봇들의가격 ( 미화 ) 은다음과같다. - DDoS 기능을포함한봇빌더 : 250 달러 - 봇빌드 : 35 달러 - 봇 : 25 달러 - 다운로더 (5K-6K 사이즈 ):10달러 - 폼그래버 : 350 달러 - 키로거 : 달러 - 웹머니트로이 / 빌더 : 60 달러 맞춤형맬웨어

57 ( 그림 4. 판매되는익스플로잇들 ) 이광고는각종포럼에게시되었으며, 다음과같은서비스를제공한다 : - 웹사이트와포럼침입 : 50 달러 - mail.ru와 yandex.ru 메일해킹 : 45 달러 - 다량의트로이와스파이프로그램 : 100 달러 - 스팸배포 : 70 달러 스팸관련서비스

58 ( 그림 5. 구매할수있는스팸서비스 ) 이사이트는스팸서비스를제공하는사이트로, 스팸발송용이메일주소를다음과같이판매하고있다 : - 기업메일주소 400,000개 : 55 달러 - 개인메일주소 1,800,000개 : 100 달러 - 세인트피츠버그기업메일주소 90,000개메일 : 30 달러 - 우크라이나개인메일주소 450,000개 : 50 달러 - 러시아개인메일주소 6,000,000개 : 150 달러 메일주소 4,000,000개 : 200 달러 이서비스는 WebMoney 로지불하는경우할인을해준다. 에스토니아 DDoS 공격 2007년 4월에서 5월사이, 다수의에스토니아의정부웹사이트를타겟으로한 DDoS 공격이발생했다. 수사관들은이공격이에스토니아가러시아 2차대전참전기념동상을탈린시에서지방으로옮기기로한결정에대한반발로인해발생한것으로보고있다. 동상이전은탈린시를공포로몰아넣었다. 1명이살해되었고, 유럽승전기념일인 5월 9일이다가오면서 DDoS 공격이시작되었다. 이공격은며칠동안계속되었다. 에스토니아의주요웹사이트다수가이기간동안접속이되지않았다. 보안전문가들은, 이공격이처음에는개인그룹이시작한것으로, 애국심으로인해확산된것으로보고있다. 이공격관련한보다상세한기술적내용은 에서볼수있다. 러시아와에스토니아의상호비난에도불구하고, 이공격배후가러시아정부라는어떤증거도발견되지않은것으로보인다. 결론컴퓨터맬웨어가생성되는이유는무엇일까? 널리보급된인터넷접속, 상대적으로가난한사용자, 훌륭한컴퓨터실력, 이 3가지를갖춘국가는문제점에봉착한다. 중국, 러시아, 브라질, 우크라이나를예로들수있다. 전망러시아정부의사이버범죄관련법강화, 경제발전, 낮은실업률, 더욱강력해진처벌규정등으로인해러시아맬웨어는점차감소하고있다. 기타소비에트국가나중국도마찬가지현상을보이고있다. 최근맬웨어숫자트렌드를보면, 전세계모든지역에서증가하고있음을알수있다. 러시아맬웨어가동구권맬웨어에비해감소된다해도당분간은주시해야

59 할것이다. 맬웨어는즉각감소하지는않을것으로보인다. 상당히수지가맞고위험이적은편인컴퓨터범죄는기술적인문제만이아니라사회경제적문제다. 컴퓨터범죄의빈번한발생으로인해상황은좋아진다기보다는더악화될것이다. 장기적으로, 인터넷사용에전세계적인조치 ( 예를들어인터넷아이디카드를의무적으로사용하는등의 ) 가취해질것으로본다. 4. 독일 : 맬웨어, 언어를익히다! 독일과유럽전역의보안위협은 1990년을기준으로북미지역의위협과다른양상을보이고있다. 그주된이유는다양한언어때문이다. EU에만도 23개의공식언어가사용되고있다. 언어장벽은오랫동안대부분의맬웨어와기타공격성공에방해요소로작용했다. 언어가장벽이되는이유는운영시스템이사용하는언어별로파일시스템경로가다르기때문이다. 맬웨어는파일을어디에위치시키고, 어디서정보를찾을지를판단하기위해하드-코드경로를사용하는경우가많다. 상용소프트웨어중에는언어문제로인해전체기능이올바르게작동하지않는경우가아직도있다. 마이크로소프트워드매크로바이러스는넘기힘든언어장벽을최초로알게해준새로운차원의맬웨어였다. 최초의매크로바이러스는공격에실패했고, 그이후발견된다른매크로바이러스들도대부분문제점을포함했다. 현지화된버전의워드는기능도현지화되어있기때문이다. 예를들어, 바이러스가 FilePrint 기능을공격을시도하면독일어버전의워드는 DateiDrunken을, 프랑스버전워드는 FichierImprimer를공격했다. 이에맬웨어제작자들은독일워드, 프랑스워드, 스페인어워드등을타겟으로한바이러스와현지언어로번역하는기능을가진매크로바이러스를제작했다. 이것들은유럽에서성공을거두었다. 그다음등장한것이 Mailer와 Mass Mailer다. 이메일을생성해다른사람들에게발송하는이바이러스는소셜엔지니어링을이용한최초의맬웨어였다. ( 여기서말하는소셜엔지니어링이란메일을받는사람으로하여금이메일과첨부파일을열어볼가치가있다고생각하게만드는것을의미한다 ). 오늘날공격자들은 Mailer가처음등장하던당시공격자들이직면했던문제점과같은문제점 ( 어떻게하면받는사람을안심시켜첨부파일을열도록유도할수있을것인가 ) 에직면해있다. 메일본문을받는사람이사용하는언어로작성하는것은좋은방법이다. 텍스트를전혀사용하지않거나, 조금만사용하는것도좋은방법이다. 친구나직장에서보낸것으로위장, 아주중요한것이니첨부파일을열어보라는내용의긴영문메일은독일에서는전혀효과가없었다.

60 메일본문에어떤텍스트도사용하지않는경우도있었다. 그중에는비주얼베이직스크립트를사용해누구든간단한 Mass Mailer를생성할수있는바이러스툴킷 VBSWG로생성한것들도있었다. 아래메일은첨부파일네임만영문으로작성되어있어언어장벽의영향을적게받는다. ( 그림 1: 첨부파일을열게하는데중요한역할을하는소셜엔지니어링 ) 윈도우즈익스플로러는알려진파일확장자를보이지않게하도록디폴트로설정되어있기때문에, 맬웨어파일명 AnnaKournikova.jpg.vbs는 AnnaKournikova.jpg로보여사용자로하여금그림파일로착각하게만든다. 이메일텍스트에현지언어를사용하는위협은타지역에서도발생했지만, 유럽의한지역에서만성공했고다른지역에서는영향을미치지못했다. 이위협은특정지역에만집중되기때문에보안연구원들은조사하는데애를먹는다. 유럽현지에바이러스연구소가있는경우큰도움이되었다. 이메일메시지를이용한봇넷비즈니스, 데이터를빼내는트로이목마, 피싱사기는금전적수익을올려주기때문에점점고도로발달하고있다. 초기의이메일본문은서투른독일어로작성되어바벨피시로번역한영어나러시아어로보였다. 오늘날이메일텍스트는완벽한독일어를구사해최근사건을인용하고, 사람들이원하는내용을담고있다. 2006년도피파월드컵기간동안독일축구팬들은티켓구매에곤란을겪었다. 이것을이용해월드컵티켓을구매할수있는정보로가장한이메일첨부파일이등장했다. 독일정부가음악과비디오불법공유를막기위해 "BundesTrojaner" 를사용하는

61 컴퓨터를온라인상에서색출하는안을발표한적이있다. 이것을이용해다음과같은이메일이등장했다. ( 그림 2: 독일어텍스트내용은다음과같다 : " 귀하는타인과불법으로파일을공유하였기때문에귀하의아이피주소가로그되었습니다. 귀하의컴퓨터는 BundesTrojaner를이용해검색되었고증거가확보되어귀하는형사소송을당하게될것입니다. 첨부파일은귀하의컴퓨터에서수행된온라인검색내용을포함하고있습니다.") 이메일은독일에서악명높은 Downloader-AAP 공격의한예로, 이맬웨어는.de로끝나는이메일주소를가진사용자들에게전송되었다. 이메일텍스트는독일어로작성되었다. 수개월간매주각각다른내용의메일본문과다른변종의다운로드를첨부한스팸이발송되었다. 이다운로더는패스워드를빼내는트로이를인스톨했다.

62 변호사, 도이치텔레콤, 이베이, TV나라디오를소유한사람으로부터시청 / 청취료를수금하는 GEZ을비롯, 잘알려진독일기업으로부터발송된청구서로위장한이메일이발송되었다. 이공격은받는사람의관심사를포착했다. Downloader-AAP 는공포감을이용했다. 당시파일공유와관련된법적인문제점이독일에서큰이슈였다는점을이용해저작권으로보호된파일을파일공유네트워크로부터다운로드해서적발되었고아이피주소가로그되었다는내용으로겁을주고있다. 모든스팸메일은첨부파일에관한정보를제공한다. 청구서를위장한 Rechnung.pdf.exe 파일은시스템설정에따라 PDF 확장자만보인다. 안전한 PDF 파일로알고클릭한사용자는악성실행파일 Downloader-AAp를실행시켰다. 이메시지는많은사람들에게겁을주어다시생각할겨를도없이클릭하도록했다. 이공격은다른국가에서는효과가없었다. 독일에집중된공격공격자들이한국가만공격하는이유는무엇일까? Downloader-AAP는암호화된 URL이포함된텍스트파일을다운로드한다. 이파일은이 URL에서호스팅되는암호해독파일을다운로드한다. 이파일은금융기관을주대상으로중요한계정정보를빼내는트로이 Spy-Agent.ba로, 홈뱅킹접속을하이재킹하고사용자정보와전송인증번호 (TAN) 를빼냈다. 이트로이는기업별로기능이최적화되어가정사용자가은행사이트에접속할때은행별로다른방식을사용해커뮤니케이션을가로챘다. 2007년 9월 12일국제피셔그룹이검거되었다. 독일 BKA는 10명을체포하고여러대의컴퓨터와기타증거들을확보했다고발표했다. BKA의보도자료에의하면이그룹은 Downloader-AAP가첨부된피싱이메일을전세계에발송했다고한다. 하지만이그룹이검거되었음에도불구하고 Downloader-AAp는사라지지않았다. 일주일이지나자 Spy-Agent.ba를포함한피싱메일이유사한방식으로발송되었다. 금융기관을타겟으로하는트로이는독일만의골칫거리가아니다. 이트로이는유럽의다른국가에서도발생했고브라질에서도큰위협이다. 다른국가에비해독일사용자는피싱으로인한피해를덜입었다. 그이유는언어장벽때문만은아니다. 독일사용자들은은행보안에신경을쓰고, 온라인뱅킹등의새로운테크놀로지에적용하는것을상당히머뭇거리는편이다. 사용자들이온라인뱅킹사용을꺼림에따라독일은행들은타인의은행계정을알아내기더욱힘든보안체계를구축했다.

63 현재독일온라인뱅킹은로그인시계좌이름과 PIN만묻지않고, 전송할적마다 TAN도입력해야한다. TAN은사용자에게서류로발송된다. 사용자들은전송할적마다사용하지않은 TAN을입력해야한다. 이강력한보안으로인해범죄자들은다른국가로타겟을돌렸다. TAN 피싱 : 사용자머신에저장된 TAN 리스트를빼내는트로이가등장했다. TAN을빼내기위한피싱도등장했다.

64 ( 그림 3: 이피싱은많은신상정보와 10개의사용하지않은 TAN을입력할것을요구하고있다 ) 최근몇달동안독일은행을공격하고, 사용자브라우저를후킹하고가짜온라인뱅킹사이트를위장해에러메세지로 TAN을빼내는트로이들이발견되었다. 이트로이들은특정웹사이트에서판매되고있다. 이트로이의기능과효과를보여주는비디오도온라인상에릴리스되었다. 독일온라인뱅킹은더욱많은공격을받게될것으로보인다. W32/Sopber@MM은독일, 호주, 스위스에서많은주목을받은 Mass Mailer로, 최초로변종이발견된것은 2003년, 가장최근은 2007년 3월이다. W32/Sober는다른많은 Mass Mailer들과마찬가지로로컬시스템에저장된이메일주소를이용해사용자들에게최상위도메인별로다른언어의이메일을보낸다.

65 ( 그림 4. 메일주소의최상위도메인을읽은다음어떤언어로보낼것인지를결정한다 ) W32/Sober.p@MM은월드컵축구경기티켓에당첨되었다는내용의메일을독일사용자들에게발송했다. ( 그림 5: 이메시지는축구티켓을구할수있다는내용을포함하고있다 ) 월드컵사기메일에첨부된파일은 winzipped-text_data.txt.pif로, 아무런텍스트도포함하지않은웜카피다. 이웜은적절한타이밍을이용했다. 월드컵경기관람권을신청한많은독일인들이추첨결과통보메일을기다릴때발송되었다. 메일본문에는독일어로실제국제축구연맹주소와전화번호도기재되어있었다. 이공격은국제축구연맹사무소에 DDoS 공격을유발하는결과를가져왔다. 이웜을받은많은사용자들이이전화번호로전화를걸어세부내용을문의했기때문이다.

66 영어사용자의경우 W32/Sober 는다른내용의이메일을전송했다. ( 그림 6: W32/Sober 의영어메시지 ) 관심끌기현지화된맬웨어의다른예로 Zunker 트로이를들수있다. Zunker도스팸이메일이나악성사이트링크를발송해사용자를감염시키는패스워드스틸러트로이다. Zunker는사용자의아이피주소를체크한뒤인터넷상의다른서버에접속해사용자국적에맞는스팸본문내용을가져와사용자이름으로발송한다. Zunker는사용자가보내는이메일에텍스트일부를삽입한다. 그러기위해 Zunker는공격한머신에 Layered Service Provider를인스톨해사용자가이메일을보낼때마다텍스트를바꾸고악성링크를추가한다. 받는사람은보낸사람을알기때문에메시지와링크를신뢰한다. Zunker는 ICQ, AOL, 야후인스턴트메시지에도이링크를삽입한다. Zunker는아이피주소를체크해서예를들어, 아이피주소가이탈리아인경우이탈리아어본문과링크를삽입한다. 스웨덴아이피주소의경우는스웨덴어본문과링크를삽입한다. ( 그림 7: Zunker 트로이는각종언어로메시지를현지화할수있어많은국가사용자들이

67 속기쉽다 ) 그림 7은 Zunker 피해자의국적별현황과스팸전파경로다. 한웹인터페이스로트로이를제어하고발송할메시지를설정할수있다. 감염된웹서버현지화된맬웨어를배포하는다른방식은웹서버를경유하는것이다. 악성파일을호스팅하는서버는파일요청을받으면먼저접속한시스템의아이피번호를체크해현지화된파일을전송한다. 즉, 아이피주소에따라미국이나영국사용자들은영문버전트로이를받고, 독일이나오스트리아사용자들은독일어버전을받는다. 감염된서버들은안티-바이러스벤더들이모니터링하기힘들다. 왜냐면모든맬웨어변종을받으려면각각다른아이피주소에서각종요청을같은 URL로보낼필요가있기때문이다. 현지화된파일을서비스하는또다른방식은브라우저가서버에보내는요청을보내는것이다. ( 그림 8: 트로이는 Accept-Language 라인으로클라이언트요청의국적을체크한뒤그에맞는현지언어를선택한다 ) 그림 8의경우, 사용자는독일 (de) 사용자로, 윈도우즈 2000 인터넷익스플로러를사용한다는것을알수있다.. 결론많은공격자들은공격에성공하려면국가별특성을고려해야한다는것을잘알고있다. 이같은트렌드는독일의사례에서증명되었다. 앞으로도현지화된공격트렌드는계속될것이다. 피싱공격은점점더복잡해지고탐지하기어려워질것이다. 5. 브라질 : 은행사기 컴퓨터범죄는전세계경제에큰영향을주고있다. 사이버범죄유형은국가별로크게다르다. PWS-Banker라불리는트로이공격이수년간브라질에서계속되고있다. PWS는

68 패스워드스틸러를의미한다. 이맬웨어는은행계정패스워드를주요타겟으로한다. 이트로이는수년간피싱메일을통해사용자에게가짜로그인페이지를보여주는등수천명의브라질과해외사용자들을감염시켰다. 피싱메일에는태풍이나항공기추락등의재해가발생했을때도움을청하는내용도사용되었다. 브라질사이버범죄자들은금융기관공격을선호한다. 브라질은행연합회 (Febraban) 는 2005년도한해동안발생한가상사기손해액이미화약 1억 6,500만달러라고발표했다. 이섹션은브라질은행시스템과패스워드스틸러, 사이버범죄를소탕하기위한브라질경찰의노력에관한내용을다룬다. 온라인뱅킹현황브라질은행연합회 (Febraban) 에의하면, 브라질은행들은새로운사기 / 해킹시나리오를우려하고있지만, 사용자들이온라인뱅킹의편리함에익숙해졌기때문에온라인뱅킹사용이전의상태로되돌아갈수없다는것을알고있다. 그렇기때문에, 브라질은행들은온라인뱅킹보안강화에대거투자해 2003년도에는 23억달러, 2006년에는 33억달러를투자했다. 그결과브라질은오늘날전세계적으로가장효율적이고안전한온라인뱅킹시스템을갖추게되었다. 거의모든인터넷뱅킹사이트는 HTTPS를사용하고, 2개의 PIN ( 하나는시스템로그인용, 다른하나는오퍼레이션확인용 ) 을사용한다. "paper token" 과 OTP(1회용패스워들 ) 토큰을사용해다른보안레벨을제공하는은행도있다. PWS-Banker는브라질온라인뱅킹을타겟으로하는맬웨어로, 이맬웨어공격을이해하려면먼저브라질인터넷뱅킹시스템원리를이해할필요가있다. 브라질온라인뱅킹로그인은다음과같은과정을거친다. - 사용자는 HTTP 은행사이트로간다. - 사용자는지점과계좌번호를입력한다. - 사용자는 HTTPS 사이트로리다이렉트된다 - 사용자는인터넷 PIN( 혹은 token 넘버 ) 를입력한다. - 사용자는송금등의전송을시작한다. - 사용자는은행 PIN/token 넘버를확인을위해입력한다. PWS-Banker 원리온라인사기가증가한요인중하나는사용자에게보내는메시지가종전과달리많이

69 개선 되었다는점이다. 피싱메시지는부적절한언어, 틀린철자와문법을포함하던종전에비해크게달라졌다. 피셔들은합법적으로보이는문구, 고화질이미지를사용해사용자를속인다. 신뢰받는기업에서사용하는텍스트와거의완벽하게닮은텍스트도사용한다. 공격툴은온라인언더그라운드마켓에서쉽게구할수있어, 기술적지식이없는초보도온라인사기에동참할수있다. 다음은브라질에서피싱에널리사용되는주제다. - 브라질의잘알려진온라인쇼핑몰에서발송한것으로위장한주문확인메일 - 가짜축하카드 - 가짜음란물 / 비디오 - 가짜세금계산소프트웨어 - 가짜선거보고서 - 가짜자동차 / 항공기사고사진 피싱이메일에는 PWS-Banker.dldr을다운로드하는링크가포함되어있다. PWSBankers.dldr 은 PWS-Banker 다운로더로, 사용자의의심을피하기위해용량도약 45KB 이하로아주작다. 이작은어플리케이션은빠르게 PWSBanker를다운로드한다. PWSBanker의용량은 1-4MB로백그라운드로다운로드된다. PWS-Banker는인스톨후해커에게이메일을백그라운드로전송해감염시키는데성공했음을알린다. 해커에게전송되는정보는다음과같다. - 컴퓨터이름 : MACHINE-SVR - 컴퓨터사용자 : Administrator - 아이피 : 날짜 : 9/6/2007 시간 : 7:19:03 AM - 윈도우즈 : 마이크로소프트윈도우즈 XP ( 버전 5.1) - 맥어드레스 : 00-0C-29-3C-C7-A1 - IE-버전 : 6.0IE-Version: 윈도우즈키 : xxxxx-xxxxx-xxxxx-xxxxx-xxxxx PWS-Banker는메모리에상주하면서사용자가방문하는웹사이트를모니터링한다. 이맬웨어는보통 5-8개의은행을타겟으로한다. 사용자가이은행의 URL 요청을하면이은행사이트를위장한가짜창을보여준다. 브라질의대부분은행들은로그인시계좌번호, 지점번호, 인터넷 PIN 을묻는다. 이트로이는

70 은행 PIN, 신용카드번호, 인증코드, 만료일등의추가정보를묻는다. 사용자가정보를입력하면이트로이는에러메시지를보여주고사용자를진짜은행사이트로리다이렉트하고, 사용자가입력한정보를해커에게이메일로전송한다. - 계정네임 - 계좌번호 - 인터넷 PIN - 은행 PIN - 패스워드 - 계정소유자이름 - 신용카드번호 - 신용카드 PIN -신용카드날짜 - 신용카드만료일 - 아버지이름 ( 확실한인증용 ) ( 그림 1: 진짜은행의온라인스크린. 진짜은행사이트는유저네임과인터넷 PIN 만묻는다.) ( 그림 2: PWS-Banker 트로이가사용하는가짜로그인화면. 사용자에게지점번호, 계정번호, PIN을묻고있다 )

71 PWS-Bank의빠른업데이트 2007년 6월, 브라질중앙은행 (Banco do Brasil) 은사이트디자인을전면개편했다. 브라질중앙은행 (Banco do Brasil) 은브라질에서가장타겟이되는은행중하나로, 이은행의웹디자인카피는대부분 PWS-Banker 가짜은행데이터베이스에포함되어있다. 브라질중앙은행이사이트를개편한지불과며칠사이에이개편한웹사이트카피가 PWS-Banker 소스에업데이트되었다. 날짜가맞는다면불과 5일만에제작한것이다. ( 그림 3: 브라질경찰이 2005년도에검거한맬웨어제작자전체숫자는 2005년이전 4년동안검거된숫자보다많았다. 검거율은 2006년도에도계속해서증가했다 ) 2007년 7월에서 9월사이브라질경찰은 100명에가까운은행계정패스워드스틸러를체포했다. 결론피싱과패스워드를빼내는트로이공격이증가함에도불구하고브라질온라인뱅킹의보안수준은상당히높은편이다. 가장좋은방법은이메일과웹브라우징사용에관한정책을구축하고, 효과적인보안소프트웨어를사용해사용자들이스팸, 스파이웨어, 악성사이트로가지못하도록차단해야한다. 이메일의합법성여부가의심된다면보낸쪽으로전화를걸어사실여부를확인한다. 금융기관과경찰, 보안소프트웨어벤더, 최종사용자교육으로인해, 브라질에서온라인뱅킹을노리는대규모범죄적행위는현재감소하고있다.

72 본뉴스레터내용의무단전재를금합니다. 기사의가공또는인용시한국정보보호진흥원 Security Consulting Newsletter 출처를밝혀주시기바랍니다. 뉴스레터의온라인구독, 주소변경신청및의견제시등은 를이용해주시기바랍니다. SECON 뉴스레터이전호는 KISA 홈페이지 ( 를통해다운받으실수있습니다.