Symantec Intelligence

Size: px

Start display at page:

Download "Symantec Intelligence"

지환 채
7 years ago
Views:

1 시만텍 인텔리전스 시만텍 인텔리전스 리포트: 2012년 2월 북미의 유명 거래 조정 및 중재 기관을 사칭한 사회공학적 수법의 다형성 악성 코드 시만텍 인텔리전스 리포트 2월호가 발간되었습니다. 이 리포트는 시만텍 인텔리전스 팀에서 악성 코드, 스팸, 기타 잠재적 위험성이 있는 비즈니스 리스크를 모니터링하여 사이버 보안 위협과 동향을 진단한 최신 분석 자료를 제공합니다. 이 리포트에는 2012년 1월과 2월에 분석한 데이터가 포함되었습니다. 리포트 주요 내용 스팸 68.0%(1월 대비 1.0% 포인트 감소): 9페이지 피싱 이메일 358.1개 중 1개가 피싱 메일(1월 대비 0.01% 포인트 증가): 13페이지 악성 코드 이메일 274.0개 중 1개에 악성 코드 포함(1월 대비 0.03% 포인트 증가): 15페이지 악성 웹 사이트 1일 2,305개의 웹 사이트 차단(1월 대비 9.7% 증가): 17페이지 새로운 모습으로 재등장한 Better Business Bureau 사칭 사이버 공격: 2페이지 블로그 리뷰: 7페이지 기업과 사용자를 위한 베스트 프랙티스: 25페이지 서론 2월에도 스팸은 감소 추세를 이어가 글로벌 이메일 트래픽의 68.0%를 차지했습니다. 반면 악성 이메일 활동이 더욱 활발해지면서 이메일 274개 중 1개가 악성 이메일로 분류되어 차단되었습니다. 이와 같이 악성 코드 활동이 증가한 데는 2007년에 처음으로 보고되었던 유명 공공 기관 사칭 보안 공격도 원인으로 작용했습니다. 2007년처럼 2012년에도 기업들은 미국의 Better Business Bureau(BBB)에서 보낸 이메일로 위장한 공격의 표적이 되었습니다. 사회공학적 수법의 이메일에서는 해당 기업에 대한 불만 신고가 접수되었으며 자세한 사항은 첨부 파일을 참조하라고 안내합니다. 그러면서 실행 파일이 내장된 PDF 파일을 열도록 유도합니다. 2007년과 2012년의 사건 모두 유사한 사회공학적 수법이 사용되었지만, 최근의 공격은 훨씬 더 지능화된 기술, 이를테면 서버 사이드 폴리모피즘(server-side plymrphism) 기법을 구사하고 있습니다. 이달 초 팝스타, 휘트니 휴스턴이 비극적인 죽음을 맞이하면서 유명 인사 관련 뉴스와 시사적 이슈가 터지면 으레 그렇듯 또 한 차례의 악성 공격 돌풍을 예고했습니다. 최근 사례에서도 볼 수 있듯이 스패머와 사이버 범죄자는 각종 뉴스와 사건을 이용하여 이메일을 열어보도록 유도합니다. 이번에는 휘트니의 죽음을 둘러싼 정황을 더 자세히 알고 싶어하는 대중의 심리를 발빠르게 이용하여 몇몇 유명 소셜 네트워크에서 가짜 동영상 링크가 유포되기도 했습니다. 이 경우 사용자에게 동영상을 곧바로 제공하는 게 아니라 동영상을 보려면 소프트웨어를 업그레이드해야 한다는 메시지가 표시됩니다. 하지만 이렇게 설치되는 소프트웨어를 통해 악성 코드에 감염될 수 있습니다. 1/26페페페

1개 중 1개가 피싱 메일(1월 대비 0.01% 포인트 증가): 13페이지 악성 코드 이메일 274.0개 중 1개에 악성 코드 포함(1월 대비 0.03% 포인트 증가): 15페이지 악성 웹 사이트 1일 2,305개의 웹 사이트 차단(1월 대비 9.

2 사이버 범죄자들은 발렌타인데이를 앞둔 한 주 동안 특히 활발한 활동을 보였습니다. 이벤트용 장미에 관한 스팸 메시지의 양이 일일 평균 대비 최대 3.5배 증가했으며 2월 14일이 지나면서 주춤했다가 2월 16일에 다시 한 번 급증했는데 발렌타인데이를 언급하는 이메일의 양이 일일 평균 대비 약 6배에 달했습니다. 2012년 런던 올림픽이 다가오면서 올림픽과 관련된 스팸 메시지가 점차 증가하는 추세이지만 아직 큰 비중을 차지하지는 않았습니다. 2010년 FIFA 월드컵의 경험에 비추어 볼 때 개막일을 얼마 앞두지 않은 4월과 5월 무렵에 관련 스팸의 양이 크게 증가할 것으로 예상됩니다. 리포트 분석 새로운 모습으로 재등장한 Better Business Bureau 사칭 사이버 공격 최근 악성 코드가 증가한 데에는 2007년에 최초로 보고되었던 유명 공공 기관 사칭 보안 공격이 원인을 제공했습니다. 즉 미국의 Better Business Bureau(BBB)에서 기업의 중역에게 이메일을 보낸 것처럼 위장한 공격이었습니다. 2012년에도 그와 유사한 사건이 발생하면서 사용된 공격 전술에 다시 한 번 관심이 모아졌습니다. 2007년과 마찬가지로 이번에도 사회공학적 수법이 동원되었는데, 표적이 된 기업에 관한 불만 신고가 접수되었으며 자세한 사항은 첨부 파일에서 확인할 수 있다는 메시지가 포함되어 있습니다. 이 경우 첨부 파일은 주로 실행 파일이 내장된 PDF 파일이며 HTML 파일 첨부를 통해 감염된 웹 사이트에서 호스팅되는 악성 파일로 사용자를 연결하기도 합니다. 2007년과 2012년의 사건 모두 유사한 사회공학적 수법이 사용되었지만, 최근의 사례에서는 서버 사이드 폴리모피즘 기법과 같이 훨씬 더 지능적인 기술을 사용합니다. 2012년 1월에는 첫 번째로 본격적인 공격이 발생했는데, 전체 이메일 악성 코드의 약 7.3%를 차지했으며 이메일 295개 중 1개가 악성이었습니다. 이러한 공격은 외견상 피싱 이메일과 유사하지만 악성 코드를 호스팅하는 감염된 웹 사이트의 링크를 포함하고 있습니다. BBB 웹 사이트에서는 회원사들에게 이 공격에 대해 경고했으며 의심스러운 이메일이 있는 경우 전달해 달라고 요청했습니다. 공격자는 서버 사이드 폴리모피즘 기법을 이용하여 용도별로 고유한 악성 코드 변종을 생성할 수 있는데, 기존의 안티바이러스 보안 소프트웨어로는 이를 탐지하기 어렵습니다. 공격자의 웹 사이트에서 주로 PHP와 같은 스크립트를 사용하면서 순식간에 악성 코드를 생성해 냅니다. 이러한 공격은 그리스 신화에 등장하는 바다의 신, 프로테우스처럼 변신을 거듭하므로 시그니처 기반의 전통적인 방어 체계로는 밝혀내거나 탐지하기가 쉽지 않습니다. 이 리포트의 후반에서 다루겠지만, 클라우드 기반의 휴리스틱(heuristics) 기술은 지금까지 알려지지 않았던 새로운 보안 위협에 신속하게 대처할 수 있으므로 이러한 공격적인 다형성 악성 코드 변종(2월에 차단된 이메일 관련 악성 코드 중 41.1%를 차지)을 매우 효과적으로 탐지합니다. 서버 사이드 폴리모피즘 악성 코드는 꽤 오래 전부터 사용되어 왔습니다. 현재 이 공격 방식은 매우 적극적으로 활용되고 있는데 시만텍의.clud 이메일 서비스에서도 거의 매일 필터링되고 있습니다. 하지만 공격자는 변화무쌍한 공격 전술과 사회공학적 수법을 구사하면서 수신자를 속여 희생양으로 만들곤 합니다. 최근에는 FedEx, UPS, DHL, 2/26페페페

리포트 분석 새로운 모습으로 재등장한 Better Business Bureau 사칭 사이버 공격 최근 악성 코드가 증가한 데에는 2007년에 최초로 보고되었던 유명 공공 기관 사칭 보안 공격이 원인을 제공했습니다. 즉 미국의 Better Business Bureau(BBB)에서 기업의 중역에게 이메일을 보낸 것처럼 위장한 공격이었습니다.

3 American Airlines와 같은 유명 기업에서 보낸 이메일로 가장하는 스푸핑 공격이 발생하기도 했습니다. 2007년에 최초로 등장했던 수법이 새로운 모습으로 재등장하기도 했습니다. 바로 미국의 유명 B2B(Business-t-Business) 조정 및 중재 기관인 Better Business Bureau에서 발송한 것처럼 위장한 이메일을 사용한 것입니다. 이러한 공격에는 두 가지 방법이 사용되는 것으로 보입니다. 이메일에 악성 첨부 파일이 포함되어 있거나 첨부 파일에 들어 있는 URL이 악성 코드로 연결되는 것입니다. 그 작동 방식을 좀 더 자세히 살펴보겠습니다. 첫 번째 예는 악성 이메일이 HTML 첨부 형태로 악성 URL을 포함하는 경우입니다. 이는 피싱 이메일에 사용되는 일부 수법과 비슷하지만, 여기서는 피싱 웹 사이트로 연결되는 URL을 포함하는 게 아니라 HTML 파일에 들어 있는 URL이 암호화된 JavaScript를 가리키고 이 JavaScript가 사용자의 동의 없이 몰래 시스템에 악성 코드를 다운로드하고 실행합니다. 이 리포트를 작성하던 시점에는 한 차례의 공격으로 차단된 사례가 700건 이상이었는데, 이 경우 각 이메일은 서로 다른 클라이언트에게 전송되는 것이었으며 공격은 30분도 채 되지 않아 종료되었습니다. 아래의 그림 1에서는 그 예를 소개합니다. 그림 1: 악성 코드를 포함한 BBB 스푸핑 이메일의 예 3/26페페페

이메일에 악성 첨부 파일이 포함되어 있거나 첨부 파일에 들어 있는 URL이 악성 코드로 연결되는 것입니다. 그 작동 방식을 좀 더 자세히 살펴보겠습니다. 첫 번째 예는 악성 이메일이 HTML 첨부 형태로 악성 URL을 포함하는 경우입니다.

4 HTML 파일 첨부에는 안티바이러스의 탐지를 피하고자 고의적으로 위장한 JavaScript가 들어 있습니다. 그 예는 아래의 그림 2에서 확인할 수 있습니다. 그림 2: 위장 JavaScript 코드를 포함한 HTML 파일의 코드 조각 이 코드를 해독하면 숨겨진 HTML IFRAME 1 태그가 생성되는데, 이 태그는 아래의 그림 3에 표시된 대로 러시아에서 호스팅되는 원격 서버로 연결하는 데 사용됩니다. 그림 3: IFRAME이 숨겨져 있는 JavaScript 코드의 해독 이 웹 사이트에도 rbts.txt 파일이 포함되어 있는데, 이 파일은 검색 엔진 등의 웹 크롤러가 방문할 때 공격자의 코드가 색인화되지 않도록 합니다 /26페페페

대로 러시아에서 호스팅되는 원격 서버로 연결하는 데 사용됩니다. 그림 3: IFRAME이 숨겨져 있는 JavaScript 코드의 해독 이 웹 사이트에도 rbts.

5 숨겨진 IFRAME 태그에 들어 있는 URL은 PHP 스크립트를 가리키는데, 이 스크립트는 또 다른 암호화된 JavaScript 파일을 배포합니다. 이렇게 배포된 JavaScript 파일은 Phenix 익스플로잇 툴킷을 사용하여 최종 악성 PDF 파일을 페이로드 형태로 다운로드합니다. PDF 페이로드 분석 더 자세히 들여다보면 이 PDF 파일에는 XFA 개체 2 (PDF 파일의 내부 구조 중 일부)에 한층 더 복잡해진 JavaScript가 들어 있습니다. 그림 4에 표시된 대로 이 JavaScript는 2단계의 암호화를 포함합니다. 그림 4: PDF에 들어 있는 JavaScript 추출 2 5/26페페페

PDF 페이로드 분석 더 자세히 들여다보면 이 PDF 파일에는 XFA 개체 2 (PDF 파일의 내부 구조 중 일부)에 한층 더 복잡해진 JavaScript가 들어

6 아래의 그림 5는 1단계의 예로, 이 단계를 거쳐 2단계가 발생합니다. 2단계에는 실행 가능 셸 코드가 들어 있습니다(그림 6 참조). 그림 5의 추출된 셸 코드는 알려진 취약점, CVE : 원격 코드 실행 취약점에 대한 힙 오버플로우 익스플로잇을 수행하는 데 사용됩니다. 여기서 TIFF 이미지에 잘못된 값이 사용되면서 패치가 적용되지 않은 특정 유명 PDF 뷰어 애플리케이션의 TIFF 파서(LibTIFF)를 손상시킵니다. 그림 5: 해독된 JavaScript의 1단계 그림 6: 2단계 - 실행 가능 셸 코드 익스플로잇이 성공하면 러시아에서 호스팅되는 원격 서버에 연결되는데, 이 서버가 사용자의 허가 없이 가짜 안티바이러스 제품을 다운로드 및 설치하려고 시도합니다. 일반적으로 이 URL은 일시적으로만 사용 가능합니다. 앞서 언급한 대로, PDF 악성 코드가 이메일 원본에 직접 첨부되어 있는 비슷한 유형의 공격도 차단되었습니다. 이 공격에 대해서는 블로그 게시물 3 에서 자세히 다루고 있습니다 /26페페페

여기서 TIFF 이미지에 잘못된 값이 사용되면서 패치가 적용되지 않은 특정 유명 PDF 뷰어 애플리케이션의 TIFF 파서(LibTIFF)를 손상시킵니다.

7 블로그 리뷰 2월에 Symantec Cnnect 보안 블로그는 다양한 보안 관련 주제를 다루었습니다. t/security/blgs 그 중 몇 가지 예를 소개하면 다음과 같습니다. C&C 시스템에서 벗어나는 네트워크 아키텍처와 P2P(Peert-Peer) 모델 도입에 관해 설명한 바 있습니다. 이 새로운 변종은 P2P 통신을 이용하여 봇넷을 활성 상태로 유지하면서 정보를 수집합니다. 최신 업데이트에서는 C&C 서버에서 이 기능이 완전히 사라진 것처럼 보입니다. 과거에는 이 서버와 C&C가 제어 메시지를 주고받았지만 지금은 P2P 네트워크에서 제어 메시지를 다룹니다. 자세한 내용은 다음 사이트를 참조하십시오. Waledac 스팸이 2012년 러시아 대선을 혼탁하게 만드는가? 최근 봇넷의 변종인 Kelihs의 재출현에 관한 여러 리포트가 발표된 바 있습니다. 시만텍은 W32.Waledac.C를 사용하여 이러한 변종을 탐지합니다. Waledac은 시만텍이 오래전부터 감시해 온 보안 위협으로 수많은 블로그와 백서에도 등장했습니다. 과거에 Waledac은 감염된 시스템을 이용하여 스팸을 전송하는 스팸 봇넷으로 악명을 떨쳤습니다. 이러한 스팸 활동의 주 목적은 링크를 포함한 스팸 이메일을 통해 보안 위협이 저절로 전파되는 것이었습니다. 이 링크는 항상은 아니지만 주로 악성 웹 사이트에서 호스팅되는 Waledac 바이너리 파일을 가리킵니다. 변종인 W32.Waledac.C도 스팸 이메일을 보내지만 약간 변형됩니다. 자세한 내용은 다음 사이트를 참조하십시오. 다시 찾아온 2월 14일! 특별한 날이나 행사가 가까워지면 스팸도 증가하기 마련입니다. 시만텍 연구 팀이 확인한 바에 따르면, 발렌타인데이가 다가올수록 스팸의 양이 급증합니다. 보석, 식사권, 고가의 명품 등을 믿기 힘들 정도로 파격적인 할인가에 제공한다는 내용은 발렌타인 데이 관련 스팸의 단골 메뉴입니다. 그 밖에도 온라인 약국, 가짜 전자 카드, 상품권, 초콜릿, 꽃 등과 관련된 허위 프로모션도 자주 등장합니다. 이러한 허위 프로모션의 진짜 목적은 사용자의 개인 정보와 금융 정보를 갈취하는 것입니다. 자세한 내용은 다음 사이트를 참조하십시오. 휘트니 휴스턴에 대한 애도를 이용하는 악성 코드 팝의 여왕으로 칭송받던 전설적인 팝 가수, 휘트니 휴스턴의 죽음을 전 세계가 애도하고 있습니다. 스패머들은 악성 코드를 출시하면서 마치 이 우상에게 경의를 표하는 것 같습니다. 악성 이메일은 로스앤젤레스에서 열린 스타의 마지막 무대를 담은 동영상을 보여주면서 실행 가능한 바이너리도 다운로드합니다. 이 파일은 WS.Reputatin.1로, 시만텍 안티바이러스에 의해 탐지되었습니다. 이메일의 출처는 아일랜드였으며 표적은 포르투갈의 독자들이었습니다. 악성 파일은 하이재킹된 일본의 웹 사이트에서 호스팅되고 있습니다. 자세한 내용은 다음 사이트를 참조하십시오. Zeusbt/Spyeye P2P 업데이트, 막강해진 봇넷 지난해가 끝날 무렵에 병렬 Zeusbt/Spyeye 빌드에 관한 글을 블로그에 올리면서 봇넷에서 개선된 점, 즉 단순한 봇- 서버 사이드 폴리모피즘 기법의 Andrid 애플리케이션 서버 사이드 폴리모피즘 기법은 오래 전부터 전 세계의 Windws 시스템을 감염시키는 데 사용되어 왔습니다. 쉽게 설명하자면, 파일이 다운로드될 때마다 해당 파일의 고유한 버전이 생성되므로 기존의 시그니처 기반 기술로는 탐지하기가 쉽지 않습니다. 동일한 방법이 러시아 웹 7/26페페페

cm/cnnect/blgs/zeusbtspyeye-p2pupdated-frtifying-btnet Waledac 스팸이 2012년 러시아 대선을 혼탁하게 만드는가? 최근 봇넷의 변종인 Kelihs의 재출현에 관한 여러 리포트가 발표된 바 있습니다. 시만텍은 W32.Waledac.C를 사용하여 이러한 변종을 탐지합니다.

8 사이트에 호스팅되는 악성 Andrid 애플리케이션에도 사용됩니다. 시만텍은 Andrid.Opfake를 사용하여 이러한 변종을 모두 탐지합니다. Opfake를 호스팅하는 사이트의 링크나 버튼을 통해 인기 있는 Andrid 소프트웨어의 무료 버전으로 위장한 악성 패키지를 다운로드할 위험이 있습니다. 이 애플리케이션은 보안 위협이 다운로드될 때마다 몇 가지 스타일로 자동 변형됩니다. 자세한 내용은 다음 사이트를 참조하십시오. 8/26페페페

있습니다. 이 애플리케이션은 보안 위협이 다운로드될 때마다 몇 가지 스타일로 자동 변형됩니다. 자세한 내용은 다음 사이트를 참조하십시오.

9 글로벌 동향 및 컨텐트 분석 스팸, 피싱, 악성 코드 데이터는 Symantec Glbal Intelligence Netwrk, 5백만 개가 넘는 디코이 계정으로 구성된 Symantec Prbe Netwrk, Symantec.clud, 여러 시만텍 보안 기술을 포함하는 다양한 소스를 통해 캡처됩니다. 또한 Symantec.clud 고유의 지능형 기술 Skeptic 을 사용하여 정교한 신종 표적 위협을 탐지할 수 있습니다. 전 세계 86여 개국 1억 3천만 개 이상의 시스템에서 수집되는 악성 코드 데이터를 비롯하여 15곳의 데이터 센터에서 매일 처리되는 80억 개 이상의 이메일 메시지와 10억 개 이상의 웹 요청에서 데이터가 수집됩니다. 뿐만 아니라 시만텍 인텔리전스는 엔터프라이즈, 보안 벤더, 5천만 명 이상의 개인 사용자 등으로 구성된 광범위한 사기 방지 커뮤니티를 통해서도 피싱 정보를 수집합니다. 이러한 리소스는 시만텍 인텔리전스 애널리스트가 공격, 악성 코드 활동, 피싱, 스팸에 대한 새로운 동향을 식별, 분석하고 이에 대한 유용한 정보를 제공할 수 있도록 도와줍니다. 악의적인 공격이 발생하려고 하면 시만텍이 먼저 알아차리고 고객에게 영향이 미치지 않도록 공격을 차단합니다. 스팸 분석 2월에는 이메일 트래픽의 글로벌 스팸 비율이 68.0%로 1월보다 1.0% 포인트 감소했습니다(이메일 1.47개 중 1개). 2011년 하반기 이후에는 글로벌 스팸의 양이 점진적으로 감소하는 추세를 이어갔습니다. 9/26페페페

뿐만 아니라 시만텍 인텔리전스는 엔터프라이즈, 보안 벤더, 5천만 명 이상의 개인 사용자 등으로 구성된 광범위한 사기 방지 커뮤니티를 통해서도 피싱 정보를 수집합니다.

10 글로벌 스팸 비율이 증가한 가운데 2월에 가장 많은 스팸이 집중된 지역은 여전히 사우디아라비아였으며, 이 지역의 스팸 비율은 76.2%에 달했습니다. 미국은 스팸이 이메일의 68.9%를 차지했으며 캐나다는 68.5%였습니다. 영국의 스팸 비율은 68.6%였습니다. 이메일 트래픽에서 스팸이 차지하는 비율은 네덜란드가 70.0%, 독일이 67.9%, 덴마크가 68.8%, 호주가 68.3%를 기록했습니다. 스팸으로 차단된 이메일 비율은 홍콩이 67.9%, 싱가포르는 67.0%, 일본은 65.1%였습니다. 남아프리카는 68.8%를 기록했으며 브라질은 72.4%였습니다. 또한 자동차가 스팸 비율 70.9%로 70.6%의 스팸 비율을 기록한 교육 부문를 제치고 2월에 가장 많은 스팸이 발생한 산업 분야라는 불명예를 안게 되었습니다. 다른 산업의 스팸 비율을 살펴보면, 화학 및 제약 부문이 68.9%, IT 서비스 부문은 68.4%, 소매 68.6%, 공공 부문 68.5%, 금융 부문은 68.0%를 기록했습니다. 대기업(직원 2,500명 이상)의 스팸 비율이 68.9%인 것과 비교하여 중소기업(직원 1-250명)의 스팸 비율은 68.3%였습니다. 글로벌 스팸 카테고리 2월에 가장 많은 스팸이 발생한 카테고리는 성인/섹스/데이트 관련 카테고리로, 처음으로 제약 관련 스팸보다 많은 비율을 차지했습니다. 카테고리 이름 2012년 2월 2012년 1월 성인/섹스/데이트 43.0% 22.5% 제약 30.5% 38.0% 시계/보석 9.0% 27.5% 다이어트 4.5% 3.5% 알 수 없음/기타 2.5% 1.5% 소프트웨어 2.0% 0.5% 직업/채용 1.5% 0.5% 악성 코드 1.5% <0.5% 스캠/사기/ % 0.5% 원치 않는 뉴스레터 1.0% 2.5% 카지노/도박 1.0% 2.0% 피싱 1.0% <0.5% 학위/증서 0.5% 0.5% 10/26페페페

6%의 스팸 비율을 기록한 교육 부문를 제치고 2월에 가장 많은 스팸이 발생한 산업 분야라는 불명예를 안게 되었습니다. 다른 산업의 스팸 비율을 살펴보면, 화학 및 제약 부문이 68.9%, IT 서비스 부문은 68.4%, 소매 68.6%, 공공 부문 68.5%, 금융 부문은 68.0%를 기록했습니다. 대기업(직원 2,500명 이상)의 스팸 비율이 68.

11 최상위 도메인 이름 기준 스팸 URL 분포 아래의 표에서 알 수 있듯이, 2월에는.cm 및.inf 최상위 도메인에서 URL을 악용하는 스팸의 비율이 증가했습니다. TLD 2012년 2012년 2월 1월.cm 58.9% 57.8%.ru 8.0% 9.4%.inf 8.0% 6.9%.net 7.1% 해당 없음 평균 스팸 메시지 크기 2월에는 크기가 5KB 이하인 스팸 이메일의 비율이 약 3% 포인트 증가했습니다. 10KB를 초과하는 스팸 메시지의 비율도 증가했지만 그 증가폭은 절반에 불과했습니다(아래의 표 참조). 스팸 파일이 클수록 악성 첨부 파일을 포함한 악성 코드와 관련되어 있었으며, 위의 스팸 카테고리에서 확인할 수 있는 것처럼 증가하는 추세입니다. 메시지 크기 2012년 2월 2012년 1월 0Kb 5Kb 58.6% 55.7% 5Kb 10Kb 26.1% 30.5% >10Kb 15.2% 13.8% 11/26페페페

10KB를 초과하는 스팸 메시지의 비율도 증가했지만 그 증가폭은 절반에 불과했습니다(아래의 표 참조).

12 스팸 공격 벡터 악성 첨부 파일 또는 링크를 포함한 스팸의 비율은 지난 달 말에 크게 증가했습니다. 동기간의 상반기에는 대규모 스팸 공격이 두 차례에 그쳤습니다(아래의 차트 참조). 상대적으로 규모가 작은 공격의 빈도도 증가했습니다. 대부분 이러한 대규모 첨부 파일은 이전 4 시만텍 인텔리전스 리포트에서 논의한 일반 다변형 악성 코드 변종과 연관되어 있습니다. 2월에는 NDR(Nn-Delivery Reprt)이 생성된 스팸 이메일 수가 약간 증가했으며, 악성 코드 공격과 관련해서는 첨부 파일 스팸의 양상을 띠었습니다. 이는 수신자 이메일 주소가 올바르지 않거나 서비스 제공업체가 반송한 것입니다. 그러나 대부분의 스팸은 이보다 타겟화된 방식을 통해 NDR의 수를 최소화합니다. 위 차트에 표시된 대로 NDR 스팸은 주로 스팸 작전 중에 광범위한 사전 공격(Dictinary Attack)이 이루어진 경우 발생합니다. 즉, 스패머들은 데이터베이스의 이름과 성을 조합하여 무작위로 이메일 주소를 생성합니다. 이러한 방식의 공격이 저조한 것은 스패머가 반송을 최소화하기 위해 배포 목록 관리에 주력하고 있음을 의미합니다. 잘못된 수신자에게 전송되는 이메일의 양이 많아질수록 해당 IP 주소가 안티스팸 차단 목록에 포함될 가능성이 높아지기 때문입니다 /26페페페

이는 수신자 이메일 주소가 올바르지 않거나 서비스 제공업체가 반송한 것입니다. 그러나 대부분의 스팸은 이보다 타겟화된 방식을 통해 NDR의 수를 최소화합니다. 위 차트에 표시된 대로 NDR 스팸은 주로 스팸 작전 중에 광범위한 사전 공격(Dictinary Attack)이 이루어진 경우 발생합니다.

13 피싱 분석 2월에 글로벌 피싱 비율은 0.01% 포인트 증가했으며 이는 평균적으로 이메일 358.1개 중 1개(0.28%)가 어떤 형태로든 피싱 공격에 해당한다는 것을 나타냅니다. 2월에 가장 많은 피싱 공격의 표적이 된 국가는 네덜란드였으며, 이메일 152.8개 중 1개가 피싱으로 확인되었습니다. 미국과 캐나다는 각각 753.5개 중 1개, 427.9개 중 1개가 피싱 공격이었습니다. 독일은 700.9개 중 1개, 덴마크는 461.9개 중 1개였습니다. 호주는 이메일 499.9개 중 1개, 홍콩은 1,045개 중 1개, 일본은 4,762개 중 1개, 싱가포르는 689.9개 중 1개가 피싱 활동에 해당했습니다. 브라질은 이메일 863.9개 중 1개가 피싱으로 차단되었습니다. 2월에 피싱 공격을 가장 많이 받은 산업 분야는 역시 공공 기관이었으며, 이메일 84.1개 중 1개가 피싱 공격이었습니다. 다른 산업 분야를 살펴보면 화학 및 제약이 726.2개 중 1개, IT 서비스가 670.6개 중 1개, 소매가 523.7개 중 1개, 교육이 150.0개 중 1개, 금융이 328.6개 중 1개를 기록했습니다. 대기업(직원 2,500명 이상)을 대상으로 하는 피싱 공격이 이메일 361.9개 중 1개인 것과 비교하여 중소기업(직원 1-250명)은 이메일 265.7개 중 1개에 해당했습니다. 13/26페페페

9개 중 1개가 피싱 활동에 해당했습니다. 브라질은 이메일 863.9개 중 1개가 피싱으로 차단되었습니다. 2월에 피싱 공격을 가장 많이 받은 산업 분야는 역시 공공 기관이었으며, 이메일 84.1개 중 1개가 피싱 공격이었습니다. 다른 산업 분야를 살펴보면 화학 및 제약이 726.

14 피싱 웹 사이트 분석 전반적으로 피싱 웹 사이트 수는 지난달 대비 0.9% 감소했습니다. 자동 툴킷으로 생성된 피싱 웹 사이트 수는 약 0.7% 감소하여 전체 피싱 웹 사이트(유명 소셜 네트워킹 웹 사이트 및 소셜 네트워킹 앱에 대한 공격 포함)의 약 42.8%를 차지했습니다. 고유한 피싱 도메인의 수는 1.2% 증가했으며 도메인 이름 대신 IP 주소를 사용하는(예: 피싱 웹 사이트 수는 21.0% 증가했습니다. 피싱 웹 사이트를 호스팅하기 위해 합법적인 웹 사이트를 사용하는 비율은 모든 피싱 웹 사이트의 5.8%를 기록했는데 이는 지난달보다 2.0% 감소한 수치입니다. 비영어권 피싱 웹 사이트 수는 6.3% 감소했습니다. 2월에 비영어권 피싱 사이트에서 가장 많이 사용된 언어는 포르투갈어, 프랑스어, 이탈리아어, 스페인어였습니다. 피싱 웹 사이트의 지리적 위치 Phishing Web Sites Lcatins Cuntry February January United States 51.6% 25.9% Germany 6.2% 3.4% United Kingdm 3.5% 1.8% Brazil 3.3% 1.7% Canada 2.9% 1.4% France 2.8% 1.2% Netherlands 2.6% 1.2% Russia 2.6% 1.4% China 2.6% 1.3% Australia 1.2% 0.6% February /26페페페

비영어권 피싱 웹 사이트 수는 6.3% 감소했습니다. 2월에 비영어권 피싱 사이트에서 가장 많이 사용된 언어는 포르투갈어, 프랑스어, 이탈리아어, 스페인어였습니다. 피싱 웹 사이트의 지리적 위치 Phishing Web Sites Lcatins Cuntry February January United States 51.

15 피싱 배포 수법 피싱 공격 위장 기업(산업별) 악성 코드 분석 이메일 관련 위협 2월에는 글로벌 이메일 트래픽에서 이메일 관련 바이러스가 차지하는 글로벌 비율이 이메일 274.0개 중 1개였으며(0.37%) 이는 1월 대비 0.03% 포인트 증가한 것입니다. 2월에 발생한 이메일 관련 악성 코드 중 27.4%에 악성 웹 사이트 링크가 포함되어 있으며 이는 1월 대비 1.6% 포인트 감소한 것입니다. 15/26페페페

16 2월에 악성 이메일 활동의 비율이 가장 높은 지역은 룩셈부르크였으며, 이메일 63.9개 중 1개가 악성으로 식별되었습니다. 영국의 경우 이메일 154.5개 중 1개가 악성으로 식별되었고, 남아프리카공화국은 이메일 184.9개 중 1개가 악성으로 분류되어 차단되었습니다. 이메일 관련 악성 코드의 바이러스 비율을 살펴보면 미국이 436.5개 중 1개, 캐나다는 294.0개 중 1개를 기록했습니다. 독일은 369.2개 중 1개, 덴마크는 611.7개 중 1개였습니다. 호주는 이메일 387.6개 중 1개가 악성으로 밝혀졌습니다. 일본은 이 비율이 1,167개 중 1개이고 싱가포르는 452.8개 중 1개였습니다. 브라질은 이메일 534.7개 중 1개에 악의적인 컨텐트가 포함되어 있었습니다. 이메일 71.2개 중 1개가 악의적인 것으로 차단된 공공 부문은 2월에도 가장 많은 공격을 받은 산업 분야였습니다. 다른 산업 분야를 살펴보면 화학 및 제약이 328.5개 중 1개, IT 서비스가 405.4개 중 1개, 소매가 364.7개 중 1개, 교육이 124.1개 중 1개, 금융이 297.8개 중 1개를 기록했습니다. 대기업(직원 2500명 이상)을 대상으로 하는 악성 이메일 관련 공격이 이메일 261.7개 중 1개인 것과 비교하여 중소기업(직원 1-250명)은 이메일 262.5개 중 1개에 해당했습니다. 16/26페페페

일본은 이 비율이 1,167개 중 1개이고 싱가포르는 452.8개 중 1개였습니다. 브라질은 이메일 534.7개 중 1개에 악의적인 컨텐트가 포함되어 있었습니다. 이메일 71.2개 중 1개가 악의적인 것으로 차단된 공공 부문은 2월에도 가장 많은 공격을 받은 산업 분야였습니다.

17 자주 차단되는 이메일 관련 악성 코드 아래의 표는 2월에 가장 많이 차단된 이메일 관련 악성 코드를 보여줍니다. 대부분은 이메일을 통해 배포되는 악성 첨부 파일 또는 악의적인 하이퍼링크의 일반 변종과 연관되어 있습니다. 모든 이메일 관련 악성 코드 중 약 28.7%가 일반 탐지를 사용하여 식별 및 차단되었습니다. 이 리포트의 전반부에서 살펴봤던 공격을 포함하여 일반적으로 공격적인 다형성 악성 코드로 분류되는 악성 코드는 차단된 전체 이메일 관련 악성 코드의 41.1%를 차지했습니다. 악성 코드 이름 악성 코드 비율 Explit/SpfBBB 5.22% W32/Bredlab.gen!eml.j 4.62% Explit/Link-generic-ee % Trjan.Bredlab 3.37% Explit/LinkAliasPstcard % VBS/Generic 2.25% Explit/FakeAttach 2.10% Explit/Link % Packed.Generic % Trjan.Bredlab!eml-30e2 1.62% 2월에 가장 자주 차단된 악성 코드의 상위 10개 목록이 전체 이메일 관련 악성 코드의 약 29.9%를 차지했습니다. 웹 기반 악성 코드 보안 위협 2월에 시만텍 인텔리전스는 악성 코드 및 기타 잠재적으로 원치 않는 프로그램(스파이웨어, 애드웨어 포함)이 숨겨진 웹 사이트를 일일 평균 2,305개씩 식별했으며, 이는 1월 대비 9.7% 증가한 것입니다. 이 수치는 악의적인 컨텐트 배포 목적으로 감염되거나 생성되는 웹 사이트를 나타냅니다. 이 수치는 웹 기반 악성 코드가 장기간 유포되면서 잠재적인 확산 범위가 넓어지고 수명이 길어질수록 더 높아집니다. 웹 기반 악성 코드의 탐지가 증가하면서 차단되는 신규 웹 사이트의 수가 감소하고 신종 악성 코드의 비율이 증가하기 시작하지만 실제로 악성 코드가 증가한 웹 사이트 비율은 줄어듭니다. 심층 분석 결과 2월에 차단된 전체 악성 도메인의 31.5%가 새로 생성된 것이었으며, 이는 1월 대비 8.4% 포인트 감소한 수치입니다. 또한 2월에 차단된 전체 웹 기반 악성 코드의 13.0%가 새로 등장한 것으로, 1월 대비 2.2% 포인트 감소했습니다. 17/26페페페

Bredlab 3.37% Explit/LinkAliasPstcard-4733 3.05% VBS/Generic 2.25% Explit/FakeAttach 2.10% Explit/Link-5434 1.84% Packed.Generic.349 1.68% Trjan.Bredlab!eml-30e2 1.

18 위 차트는 2월 한 달 동안 매일 차단된 웹 기반 악성 코드 웹 사이트 수가 동일한 것과 달리 매일 차단된 신규 스파이웨어 및 애드웨어 웹 사이트 수가 증가한 것을 보여줍니다. 부적절한 사용으로 인한 웹 정책 리스크 시만텍 Web Security.clud에서 기업 고객에게 정책 기반 필터링을 가장 많이 적용한 카테고리는 "광고 및 팝업"이었으며 이는 2월에 차단된 웹 활동의 34.2%를 차지했습니다. 웹 기반 광고는 "악성 광고"로 사용될 수 있는 잠재적인 위험이 있습니다. 이러한 광고는 합법적이지만 온라인 광고 공급자나 유해하지 않은 웹 사이트에서 악성 코드를 제공하는 데 사용되는 배너를 통해 전달될 수 있습니다. 두 번째로 자주 차단된 트래픽 카테고리는 소셜 네트워킹이었으며, 차단된 전체 URL 기반 필터링 활동의 19.6%를 차지했습니다. 즉 차단된 웹 사이트 5개 중 약 1개가 이 카테고리에 해당했습니다. 대부분의 조직은 소셜 네트워킹 웹 사이트에 대한 액세스를 허용하지만 사용 패턴을 추적할 수 있도록 액세스 로깅을 사용하면서 경우에 따라 특정 시간에만 액세스를 허용하고 그 외의 시간에는 액세스를 차단하는 정책을 구현합니다. 흔히 이 정보는 소셜 네트워킹 남용으로 인해 생산성이 낮아진 경우 성능 관리 문제를 해결하는 데 사용됩니다. 2월에는 URL 기반 필터링 차단의 10.7%가 스트리밍 미디어 정책과 관련된 활동으로 인해 발생했습니다. 스트리밍 미디어는 대규모 스포츠 이벤트나 유명 국제 뉴스 서비스에서 점차 많이 사용되고 있습니다. 기업이 다른 용도로 사용하기 위해 대역폭 낭비를 최소화하고 있으므로 스트리밍 미디어 활동은 흔히 차단 수가 증가하는 결과를 가져옵니다. 스트리밍 미디어 활동에 따른 차단 비율은 차단된 웹 사이트 9개 중 1개에 해당합니다. 18/26페페페

이러한 광고는 합법적이지만 온라인 광고 공급자나 유해하지 않은 웹 사이트에서 악성 코드를 제공하는 데 사용되는 배너를 통해 전달될 수 있습니다. 두 번째로 자주 차단된 트래픽 카테고리는 소셜 네트워킹이었으며, 차단된 전체 URL 기반 필터링 활동의 19.6%를 차지했습니다. 즉 차단된 웹 사이트 5개 중 약 1개가 이 카테고리에 해당했습니다.

19 엔드포인트 보안 위협 일반적으로 엔드포인트는 방어와 분석 단계에서 최종 방어선 역할을 수행합니다. 하지만 USB 스토리지 장치 및 안전하지 않은 네트워크 연결을 통해 전파되는 공격의 경우 흔히 엔드포인트가 첫 번째 방어선이 될 수 있습니다. 이러한 엔드포인트에서 발견되는 보안 위협을 분석하면 기업 전반의 보안 위협, 특히 복합적인 공격과 모바일 사용자를 대상으로 하는 보안 위협의 특성을 보다 광범위하게 조명할 수 있습니다. 엔드포인트에 도달하는 공격은 게이트웨이 필터링과 같이 이미 구축되어 있는 다른 계층의 보호망을 피해왔을 가능성이 높습니다. 아래의 표는 지난달에 엔드포인트 장치를 표적으로 하는 악성 코드 중 가장 자주 차단된 항목을 보여줍니다. 여기에는 전 세계적으로 시만텍 기술의 보호를 받는 엔드포인트 장치의 데이터와 시만텍 Web Security.clud 또는 시만텍 AntiVirus.clud 등의 다른 보호 계층을 사용하고 있지 않은 클라이언트의 데이터가 해당됩니다. 악성 코드 이름 5 악성 코드 비율 WS.Trjan.H 28.05% W32.Sality.AE 4.38% W32.Dwnadup.B 3.53% W32.Ramnit.B!inf 3.43% W32.Ramnit!html 3.18% Trjan.Maljava 2.92% W32.Ramnit.B 2.80% Trjan.ADH % Trjan.Malscript!html 1.89% Trjan.ADH 1.49% 지난달 가장 자주 차단된 악성 코드는 WS.Trjan.H였습니다 6. WS.Trjan.H는 일반 클라우드 기반의 휴리스틱 탐지 기술로, 아직 미분류된 보안 위협의 특성을 보유한 파일을 찾아냅니다. 시만텍은 이러한 지능형 기술로 탐지된 파일을 위험한 것으로 간주하여 이러한 파일이 시스템에 액세스할 수 없도록 차단합니다. 2011년에 엔드포인트에서 가장 많이 차단된 악성 보안 위협은 W32.Sality.AE 7 및 W32.Ramnit 8 의 변종이었습니다. 2월에 엔드포인트에서 차단된 전체 악성 코드의 약 9.6%가 W32.Ramnit의 변종이었으며, W32.Sality의 모든 변종이 차지한 비율은 5.0%였습니다. 5 관련 보안 위협에 대한 자세한 내용은 다음을 참조하십시오 /26페페페

아래의 표는 지난달에 엔드포인트 장치를 표적으로 하는 악성 코드 중 가장 자주 차단된 항목을 보여줍니다. 여기에는 전 세계적으로 시만텍 기술의 보호를 받는 엔드포인트 장치의 데이터와 시만텍 Web Security.clud 또는 시만텍 Email AntiVirus.clud 등의 다른 보호 계층을 사용하고 있지 않은 클라이언트의 데이터가 해당됩니다.

20 Ramnit은 최근 주요 소셜 네트워킹 웹 사이트의 신원 도용 사고에서도 발견되었습니다. 보도에 따르면, 도용된 인증 정보의 상당수가 사용자의 프로필 페이지를 통해 악성 링크를 배포하는 데 이용되면서 여러 온라인 계정에 동일한 암호를 사용하는 사용자에게 더 큰 위험으로 작용하고 공격자에게는 기업 네트워크에 침투할 수 있는 발판을 제공한 셈이 되었습니다. 지난달 가장 많이 차단된 악성 코드의 약 17.1%가 일반 탐지 방법으로 식별 및 탐지되었습니다. 대부분의 신종 바이러스와 트로이 목마는 이전 버전을 기반으로 하며 코드를 복사하거나 변조하여 새로운 유형 또는 변종이 생성되었습니다. 흔히 이러한 변종은 툴킷을 사용하여 생성되므로 동일한 악성 코드에서 수십만 개의 변종이 생성될 수 있습니다. 일반적으로 각 변종을 올바르게 식별하고 차단하려면 고유한 시그니처가 필요하므로 이 방법은 시그니처 기반 탐지를 회피하는 전술로 널리 사용됩니다. 휴리스틱 분석, 일반 탐지와 같은 기술을 구현하면 동일한 악성 코드 계열에 속하는 여러 변종을 제대로 식별하고 차단할 뿐 아니라 일반 탐지 기술로 발견 가능한 특정 취약점을 악용하는 새로운 형태의 악성 코드도 찾아낼 수 있습니다. 20/26페페페

지난달 가장 많이 차단된 악성 코드의 약 17.1%가 일반 탐지 방법으로 식별 및 탐지되었습니다. 대부분의 신종 바이러스와 트로이 목마는 이전 버전을 기반으로 하며 코드를 복사하거나 변조하여 새로운 유형 또는 변종이 생성되었습니다.

21 기업을 위한 베스트 프랙티스 지침 1. 심층 방어 전략을 구사합니다. 이 전략은 특정 기술 또는 보호 방식에 존재하는 단일 지점 오류를 막기 위해 여러 방어 시스템을 활용하는 데 중점을 둡니다. 그러기 위해서는 네트워크 전반에 정기적으로 업데이트되는 방화벽, 게이트웨이 안티바이러스, 침입 탐지, 침입 차단 시스템, 웹 보안 게이트웨이 솔루션을 구축해야 합니다. 2. 네트워크 보안 위협, 취약점, 브랜드 오용을 감시합니다. 네트워크 침입, 전파 시도, 기타 의심스러운 트래픽 패턴이 있는지 감시하고 확인된 악성 호스트나 의심스러운 호스트와의 연결 시도를 찾아냅니다. 여러 벤더 플랫폼 전반에서 새로운 취약점과 보안 위협에 대한 알림을 수신하고 사전 예방적으로 해결합니다. 도메인 알림 기능과 가짜 사이트 보고 기능으로 브랜드 오용 사례를 추적합니다. 3. 엔드포인트의 안티바이러스만으로는 충분하지 않습니다. 시그니처 기반의 안티바이러스만으로는 최신 보안 위협과 웹 기반 공격 툴킷으로부터 엔드포인트를 확실하게 보호할 수 없습니다. 다음과 같은 추가적인 보호 계층을 포함하는 통합적인 엔드포인트 보안 제품을 구축하여 사용하십시오. 패치가 적용되지 않은 취약점이 악용되지 않도록 방지하고 사회 공학적 수법의 공격을 차단하며 엔드포인트를 노리는 악성 코드를 차단하는 엔드포인트 침입 차단 기술 위장 웹 기반 공격을 차단하는 브라우저 보호 기술 사전 예방 차원에서 미확인 보안 위협을 차단하는 클라우드 기반 악성 코드 방지 기술 애플리케이션과 웹 사이트의 리스크와 평판을 평가하여 빠르게 변이하는 악성 코드와 다변형 악성 코드를 차단하는 파일 및 웹 기반 평판 솔루션 애플리케이션과 악성 코드의 행동을 감시하고 악성 코드를 차단하는 행동 기반 차단 기능 애플리케이션과 브라우저 플러그인에서 허가받지 않은 악성 컨텐트의 다운로드를 차단하는 애플리케이션 제어 설정 USB 장치 유형의 사용을 차단하고 제어하는 장치 제어 설정 4. 암호화 기술로 중요한 데이터를 보호합니다. 중요 데이터를 암호화하는 보안 정책을 구현하고 시행하십시오. 중요한 데이터에 대한 액세스를 제한해야 합니다. 그러려면 데이터를 식별, 모니터링, 보호하는 DLP(데이터 손실 방지) 솔루션이 필요합니다. 이 솔루션은 데이터 보안 사고를 방지할 뿐 아니라 사내에서 잠재적 데이터 유출의 피해를 줄이는 데도 효과적입니다. 5. 데이터 손실 방지 기술로 데이터가 유출되지 않도록 방지합니다. DLP 솔루션을 구현하여 중요 데이터가 저장된 위치를 찾아내고 데이터 사용 현황을 모니터링하며 손실되지 않도록 보호하십시오. DLP를 구현함으로써 네트워크를 통해 외부로 반출되는 데이터의 흐름을 모니터링하고 외부 장치나 웹 사이트에 21/26페페페

22 중요 데이터를 복사하는 작업을 모니터링해야 합니다. DLP는 중요 데이터를 복사하거나 다운로드하는 의심스러운 행동을 밝혀내고 차단할 수 있도록 구성해야 합니다. 또한 DLP를 사용하여 네트워크 파일 시스템과 PC에서 기밀 데이터 자산이나 중요한 데이터 자산을 찾아내고 암호화 등 적합한 데이터 보호 기술을 적용함으로써 데이터 손실 위험을 최소화해야 합니다. 6. 이동식 미디어 정책을 구현합니다. 가능하다면 외부의 휴대용 하드 드라이브, 기타 이동식 미디어와 같이 허가받지 않은 장치의 사용을 제한하십시오. 이러한 장치는 의도적으로 또는 실수로 악성 코드를 유입하고 지적 재산을 유출하는 빌미를 제공할 수 있습니다. 외부 미디어 장치가 허용되는 경우에는 장치가 네트워크에 연결되는 즉시 자동으로 바이러스 검사를 실시하고 DLP 솔루션을 이용하여 암호화되지 않은 외부 스토리지 장치에 기밀 데이터가 복사되는지 감시하고 제한해야 합니다. 7. 자주 신속하게 보안 대응 조치를 업데이트합니다. 2010년에 시만텍이 발견한 악성 코드 변종이 2억 8,600만 개 이상입니다. 기업은 매일 수 차례는 아니더라도 1회 이상 보안 바이러스 및 침입 차단 정의를 업데이트해야 합니다. 8. 적극적으로 업데이트하고 패치를 적용합니다. 오래되고 안전하지 않은 브라우저, 애플리케이션, 브라우저 플러그인이 있으면 벤더가 제공하는 자동 업데이트 메커니즘을 통해 최신 버전으로 업데이트하고 패치를 적용하며 마이그레이션하십시오. 대부분의 소프트웨어 벤더는 소프트웨어 취약점 익스플로잇을 차단하기 위한 패치를 자주 발표합니다. 하지만 이러한 패치를 현장에 적용해야 비로소 안전합니다. 오래되고 안전하지 않은 구버전의 브라우저, 애플리케이션, 브라우저 플러그인이 포함된 전사적 표준 이미지를 구축하지 않도록 주의하십시오. 가급적 패치 적용을 자동화함으로써 전사적 환경을 취약점 없는 안전한 상태로 유지하십시오. 9. 효과적인 암호 정책을 적용합니다. 강력한 암호를 사용해야 합니다. 강력한 암호는 8-10자 이상이고 영숫자를 모두 포함해야 합니다. 사용자가 여러 웹 사이트에서 동일한 암호를 사용하지 않도록 하고 다른 사용자와 암호를 공유하는 것도 금지하십시오. 90일마다 1회 이상 정기적으로 암호를 변경해야 합니다. 암호를 기록해 두지 마십시오. 10. 이메일 첨부를 제한합니다..VBS,.BAT,.EXE,.PIF,.SCR 파일 등 주로 바이러스를 확산시키는 데 사용되는 첨부 파일이 있는 경우 이메일을 차단하거나 제거하도록 이메일 서버를 구성하십시오. 기업은 이메일 첨부가 허용되는.PDF에 대한 정책을 조사해야 합니다. 11. 감염 및 사고 대응 절차를 마련합니다. 보안 벤더의 연락처 정보를 확보하고 하나 이상의 시스템이 감염될 경우 어디에 연락하고 어떤 절차를 거쳐야 하는지 알아두십시오. 공격이 성공하거나 심각한 데이터 손실이 발생할 경우 손실되거나 손상된 데이터를 복원할 수 있도록 백업 복원 솔루션이 마련되어 있어야 합니다. 22/26페페페

23 웹 게이트웨이, 엔드포인트 보안 솔루션, 방화벽의 사후 감염 탐지 기능을 활용하여 감염된 시스템을 찾아냅니다. 감염된 시스템을 격리하여 사내에서 추가 감염이 발생하지 않도록 합니다. 악성 코드나 기타 보안 위협에서 네트워크 서비스의 취약점을 악용할 경우 패치가 적용될 때까지 서비스에 대한 액세스를 해제하거나 차단합니다. 감염된 시스템에 대해 사후 분석을 실시하고 신뢰할 수 있는 미디어를 사용하여 복원합니다. 12. 변화하는 보안 위협 환경에 대해 사용자 교육을 실시합니다. 확실하고 믿을 수 있는 출처에서 발송한 첨부 파일이 아니면 열지 마십시오. 인터넷 다운로드가 허용되는 경우 다운로드한 소프트웨어는 반드시 바이러스 검사를 실시한 후에 실행하십시오. 이메일이나 소셜 미디어 프로그램에 포함된 URL을 누를 때는 비록 믿을 수 있는 출처에서 발송되거나 친구가 보낸 경우라도 신중을 기하십시오. 단축 URL을 누를 때는 먼저 사용 가능한 툴과 플러그인을 통해 미리 보거나 펼쳐 보십시오. 사용자가 소셜 네트워킹 솔루션을 통해 정보를 제공할 경우 이러한 정보가 사용자 본인을 노리는 공격에 이용되거나 악성 URL 또는 첨부 파일을 열도록 유도하는 데 사용될 수 있으므로 주의해야 합니다. 검색 엔진 결과를 무조건 신뢰해서는 안 되며 특히 미디어에서 집중적으로 다루는 주제에 관해 검색할 때는 신뢰할 수 있는 출처의 결과만 누르십시오. 검색 결과에 웹 사이트의 평판을 표시하는 웹 브라우저 URL 평판 플러그인 솔루션을 구축하십시오. 소프트웨어 다운로드가 허용되는 경우 회사 공유 시스템만 이용하거나 벤더의 웹 사이트에서 직접 다운로드하십시오. 사용자가 URL을 누르거나 검색 엔진을 사용한 후에 "감염"되었다는 경고 메시지가 나타날 경우(가짜 안티바이러스 감염) Alt-F4, CTRL+W 또는 작업 관리자를 사용하여 브라우저를 닫거나 종료하도록 교육하십시오. 23/26페페페

24 개인 사용자를 위한 베스트 프랙티스 지침 1. 스스로를 보호하십시오. 악성 코드 및 기타 보안 위협을 가장 효과적으로 차단하려면 다음 기능이 포함된 최신 인터넷 보안 솔루션을 사용하십시오. 안티바이러스(파일 및 지능형 기술) 및 악성 코드 행동 예방 기능은 알려지지 않은 악성 위협이 실행되지 않도록 차단할 수 있습니다. 양방향 방화벽은 악성 코드가 시스템에서 실행되는 잠재적으로 취약한 애플리케이션과 서비스를 악용할 수 없도록 차단합니다. 침입 차단 기능은 웹 공격 툴킷, 패치가 없는 취약점, 소셜 엔지니어링 공격으로부터 보호합니다. 브라우저 보호 기술은 위장 웹 기반 공격을 차단합니다. 평판 기반 툴은 다운로드 전에 파일과 웹 사이트의 평판 및 신뢰도를 확인하고 검색 엔진을 통해 발견된 웹 사이트의 URL 평판 및 안전 등급을 확인합니다. 2. 최신 상태로 유지하십시오. 매시간은 아니더라도 매일 1회 이상 바이러스 정의 및 보안 컨텐트를 업데이트하십시오. 최신 바이러스 정의를 배포하면 새롭게 알려진 최신 바이러스 및 악성 코드로부터 시스템을 보호할 수 있습니다. 사용 가능한 경우 프로그램의 자동 업데이트 기능을 사용하여 운영 체제, 웹 브라우저, 브라우저 플러그인, 애플리케이션을 최신 버전으로 업데이트하십시오. 오래된 버전은 웹 기반 공격에 악용될 위험이 있습니다. 3. 다운로드, 웹 사이트 방문 시에 주의하십시오. 파일 공유 프로그램, 무료 다운로드, 프리웨어, 쉐어웨어 버전의 소프트웨어를 설치할 때 사용자를 속여 시스템이 감염된 것으로 착각하게 만드는 악성 코드 또는 애플리케이션이 자동으로 설치될 수 있습니다. 무료, 크랙 또는 불법 복제 버전의 소프트웨어를 다운로드하는 경우 악성 코드가 포함되어 있거나 시스템이 감염되었다고 속임으로써 악성 코드를 제거하기 위해 비용을 지불하도록 유도하는 사회 공학 공격이 포함되어 있을 수도 있습니다. 웹에서 방문하는 웹 사이트에 주의하십시오. 악성 코드는 주요 웹 사이트에서 제공될 가능성이 많지만 포르노, 도박, 훔친 소프트웨어를 공유하는 덜 알려진 사이트에서 손쉽게 제공될 수 있습니다. 최종 사용자가 EULA(최종 사용자 라이센스 계약)에 동의할 때나 그 이후에 일부 보안 위험 요소가 설치될 수 있으므로 EULA에 동의하기 전에 주의 깊게 읽고 모든 내용을 확인하십시오. 4. 효과적인 암호 정책을 사용하십시오. 문자와 숫자가 혼합된 암호를 사용하고 자주 변경하십시오. 사전에 있는 단어로 암호를 구성하면 안 됩니다. 여러 애플리케이션 또는 웹 사이트에 동일한 암호를 사용하지 마십시오. 복잡한 암호(대/소문자 및 구두점) 또는 암호 문구를 사용하십시오. 24/26페페페

25 5. 누르기 전에 한 번 더 생각하십시오. 이메일 첨부 파일이 믿을 만한 사람이 보낸 예상했던 파일이 아니라면 절대 열거나 실행하지 마십시오. 믿을 만한 사용자가 보낸 것이라도 일단 의심해야 합니다. 이메일이나 소셜 미디어 프로그램에 포함된 URL을 누를 때는 비록 믿을 수 있는 출처에서 발송되거나 친구가 보낸 경우라도 신중을 기하십시오. 단축 URL을 누를 때는 먼저 미리 보기와 플러그인을 통해 펼쳐 보십시오. 친구가 보낸 것일지라도 소셜 미디어 애플리케이션에서 재미 있는 제목이나 구문이 포함된 링크를 누르지 마십시오. URL을 누르면 결과적으로 "링크"되어 페이지의 다른 곳을 눌러도 모든 친구들에게 이 URL이 전송될 수 있습니다. 브라우저를 그냥 닫거나 종료하십시오. 검색 결과에 웹 사이트의 평판과 안전 등급을 표시하는 웹 브라우저 URL 평판 솔루션을 사용하십시오. 검색 엔진 결과를 무조건 신뢰해서는 안 되며 특히 미디어에서 집중적으로 다루는 주제에 관해 검색할 때는 신뢰할 수 있는 출처의 결과만 누르십시오. 미디어 플레이어, 문서 뷰어, 보안 업데이트를 설치하라고 요구하는 팝업 경고가 나타날 경우 신중해야 합니다. 해당 공급업체의 웹 사이트에서 직접 소프트웨어를 다운로드하십시오. 6. 개인 데이터를 보호하십시오. 개인 정보는 표적 공격 및 피싱 스캠과 같은 악의적인 활동에 사용하기 위해 수집될 수 있으므로 인터넷, 특히 소셜 네트워크를 통해 공개되는 개인 정보를 제한하십시오. 해당 정보에 대한 요청이 합법적이라는 것을 확인할 때까지는 어떠한 개인 또는 금융 기밀 정보도 공개하지 마십시오. 은행, 신용 카드, 신용 정보를 자주 검토하여 비정상적인 활동에 대한 정보를 얻으십시오. 도서관, 인터넷 카페 등의 공용 컴퓨터 또는 암호화되지 않은 Wi-Fi 연결을 통해 온라인 뱅킹 또는 쇼핑을 수행하지 마십시오. Wi-Fi 네트워크를 통해 이메일, 소셜 미디어, 공유 웹 사이트에 연결할 때 HTTPS를 사용하십시오. 사용 중인 애플리케이션과 웹 사이트의 설정 및 기본 설정을 확인하십시오. 시만텍 인텔리전스 소개 시만텍 인텔리전스는 보안 문제, 동향, 통계 정보를 전달하는 신뢰할 수 있는 데이터 및 분석 소스입니다. Symantec.clud 인텔리전스는 Symantec Glbal Intelligence Netwrk, 5백만 개가 넘는 디코이 계정으로 구성된 Symantec Prbe Netwrk, Symantec.clud, 그 밖의 여러 시만텍 보안 기술을 포함한 다양한 소스에서 수집한 데이터에 기초하여 글로벌 보안 위협에 대해 다양한 정보를 게시합니다. Symantec.clud의 독점 기술인 Skeptic 은 예측 분석을 통해 새롭고 지능적인 표적 공격 보안 위협을 탐지하면서 소기업부터 Frtune지 500대 기업까지 포함된 55,000여 개 기업, 1,100만여 명의 엔드유저를 보호합니다. 25/26페페페

26 시만텍 소개 시만텍은 보안, 스토리지 및 시스템 관리 솔루션을 제공하는 세계적 선두 기업으로, 기업 및 개인이 정보를 보호하고 관리할 수 있도록 지원합니다. 시만텍의 솔루션과 서비스는 다양한 위협으로부터 완벽하고 효율적인 보호를 제공하며 정보가 사용되거나 저장되는 장소에 상관없이 기업과 개인이 정보에 대한 확신을 가질 수 있도록 돕습니다. 보다 자세한 정보는 확인하실 수 있습니다. Cpyright 2012 Symantec Crpratin. All Rights Reserved. Symantec, Symantec 로고, Checkmark 로고는 미국 및 기타 국가에서 Symantec Crpratin 또는 그 자회사의 상표 또는 등록 상표입니다. 다른 이름은 해당 회사의 상표일 수 있습니다. 무보증. 본 문서의 정보는 "원본" 그대로의 상태로만 제공되며 시만텍은 정보의 정확성 및 활용에 관련하여 어떠한 보증도 제공하지 않습니다. 본 문서에 포함된 정보의 활용으로 인한 책임은 전적으로 사용자에게 있습니다. 본 문서에는 기술적인 문제, 기타 부정확한 내용 및 맞춤법 오류가 있을 수 있습니다. 시만텍은 언제든지 예고 없이 변경할 수 있습니다. Symantec Crpratin(주소: Stevens Creek Bulevard, Cupertin, CA 95014)의 명시적인 서면 허가 없이는 본 문서의 일부 또는 전부를 무단으로 복제할 수 없습니다. 26/26페페페

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

Android 용 Brother Image Viewer 설명서 버전 0 KOR 아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상표입니다. Android는