CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안

Size: px

Start display at page:

Download "CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안"

채영 묵
5 years ago
Views:

1 ASEC REPORT 2013 ANNUAL REPORT

2 CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴 ( 에서확인하실수있습니다 년보안동향분석 악성코드동향 년악성코드동향 년모바일악성코드동향 년보안동향 년웹보안동향 년주요보안이슈 11 - (1) 대규모 APT 보안사고 동시다발적피해 - (2) 치밀한 APT 공격그룹 국제적규모 - (3) 스미싱모바일악성코드 폭발적증가 - (4) 관리자계정정보를직접노리는악성코드변형확산 - (5) 국지화되는소프트웨어취약점악용사례증가 - (6) 인터넷뱅킹악성코드 금전피해확대 - (7) 랜섬웨어 (Ransomware) 의고도화

3 ASEC REPORT 48 MALICIOUS CODE TREND 년보안동향분석 01. 악성코드통계 2013년악성코드, 6049만 6654건 ASEC 이집계한바에따르면 2013 년감염이보고된악성코드는전체 6049 만 6654 건인것으로조 사됐다. 이가운데가장많이보고된악성코드는 Win-Trojan/Patched.kg 였으며, Textimage/Autorun 과 Als/Bursted 가그뒤를이었다. 또한총 10 건의악성코드가최다 20 건목록에이름을추가했다 ([ 표 1-1]). 표 년악성코드감염보고최다 20건 순위 등락 악성코드명 건수 비율 1 NEW Win-Trojan/Patched.kg 1,010, % 2 3 Textimage/Autorun 593, % 3 15 Als/Bursted 378, % 4 11 Trojan/Win32.onlinegamehack 372, % 5 NEW Win-Trojan/Wgames.Gen 305,620 6 % 6 11 RIPPER 272, % 7 5 Trojan/Win32.agent 252,907 5 % 8 NEW Trojan/Win32.urelas 188, % 9 NEW BinImage/Host 175, % 10 NEW Win32/Autorun.worm F 170, % 11 7 JS/Agent 167, % ASD.PREVENTION 164, % Trojan/Win32.Gen 163, % 14 NEW Win-Trojan/Onlinegamehack140.Gen 141, % Trojan/Win32.adh 139, % 16 NEW Win-Trojan/Malpacked5.Gen 130, % 17 NEW Win-Trojan/Asd.variant 126, % 18 2 JS/Iframe 108, % 19 NEW Win32/Virut.f 104, % 20 NEW Win-Trojan/Agent , % TOTAL 5,071, %

4 ASEC REPORT 48 MALICIOUS CODE TREND 4 악성코드대표진단명감염보고최다 20 [ 표 1-2] 는악성코드대표진단명중가장많이보고된 20 건을추린것이다 년에는 Trojan/Win32 가 총 211 만 7519 건으로가장많았다. Win-Trojan/Patched 가 110 만 3596 건으로그뒤를이었는데새롭게 이름을올린악성코드라는점에서눈에띈다. 그다음으로 Win-Trojan/Agent 가 85 만 5646 건을기록했다. 표 년대표진단명감염보고최다 20건 순위 등락 악성코드명 건수 비율 1 Trojan/Win32 2,117, % 2 NEW Win-Trojan/Patched 1,103, % 3 1 Win-Trojan/Agent 855, % 4 6 Textimage/Autorun 593, % 5 6 Win-Trojan/Onlinegamehack 432, % 6 NEW Als/Bursted 378, % 7 Win-Trojan/Downloader 352,516 4 % 8 6 Win32/Conficker 312, % 9 NEW Win-Trojan/Wgames 305, % 10 9 Win32/Autorun.worm 292, % 11 8 Adware/Win32 285, % 12 NEW RIPPER 272, % 13 3 Win32/Virut 267,520 3 % 14 4 Win32/Kido 236, % Malware/Win32 192, % 16 NEW BinImage/Host 175,374 2 % 17 9 JS/Agent 167, % ASD 164, % Downloader/Win32 158, % 20 NEW Win-Trojan/Avkiller 146, % TOTAL 8,813, % 2013년최다신종악성코드 [ 표 1-3] 은 2013 년신규로보고접수된악성코드중최다 20 건이다 년신종악성코드는 Win- Trojan/Rootkit 이 3 만 4781 건으로전체의 18.4% 를차지, Win-Trojan/ Patched C 가 2 만 6849 건으로뒤를이었다. 표 년신종악성코드최다 20건 순위 악성코드명 건수 비율 1 Win-Trojan/Rootkit , % 2 Win-Trojan/Patched C 26, % 3 JS/Donxref 25, % 4 Win-Trojan/Avkiller , % 5 Win-Trojan/Agent LE 12, % 6 JAVA/Cve , % 7 Win-Trojan/Onlinegamehack , % 8 Java/Cve , % 9 Win-Trojan/Guntior , % 10 Win-Trojan/Onlinegamehack , % 11 Win-Trojan/Onlinegamehack AG 3, % 11 Win-Trojan/Onlinegamehack O 3, % 13 Win-Trojan/Avkiller , % 14 Win-Trojan/Agent JS 3, % 15 Win-Trojan/Patchedmidimap , % 16 Win-Trojan/Avkiller , % 17 Win-Dropper/Anyad , % 18 Win-Trojan/Onlinegamehack BF 2, % 19 Win-Trojan/Agent , % 20 Win-Trojan/Onlinegamehack K 2, % TOTAL 189, %

5 ASEC REPORT 48 MALICIOUS CODE TREND 년도트로이목마가최다 [ 그림 1-1] 은 2013 년안랩고객으로부터감염이보고된악성코드의유형별비율을집계한결과다. 트로이목마가 54.4% 로가장높았고웜 6.5%, 스크립트가 5.9% 로집계됐다. 그림 년악성코드유형별비율 신종악성코드유형별분포 2013 년신종악성코드를유형별로보면트로이목마가 78% 로가장많았고, 애드웨어가 6%, 드롭퍼 가 6% 였다. 그림 년신종악성코드유형별분포도

6 ASEC REPORT 48 MALICIOUS CODE TREND 년보안동향분석 02. 모바일악성코드통계 2013년월별모바일악성코드접수량 [ 그림2-1] 은 2013년한해동안접수된모바일악성코드중 V3 모바일에진단이추가된악성앱의접수량추이다. ASEC이집계한바에따르면, 2013년 1년간총 132만 6139건이악성앱으로진단됐다. 이중상반기에 67만 3599건, 하반기에 65만 2540건이추가로진단됐다. 그림 년월별모바일악성코드접수량 250, , , , , , , , ,000 66,743 65,733 82,833 98,246 97,499 85,681 83,174 50, 년유형별모바일악성코드 [ 그림 2-2] 는지난해접수된모바일악성코드의유형별비율이다. 상반기까지는사용자의정보를유출하거나사용자모르게과금을발생시키는유형의트로이목마가가장많이발견됐다. 그리고지난한해동안앱이실행되지않은상태에서도광고를노출해사용자의불편을일으키는 PUP유형이가장많이발견된것으로확인됐다. 그림 년접수된모바일악성코드유형

7 ASEC REPORT 48 MALICIOUS CODE TREND 년상위 10 개모바일악성앱 [ 표2-1] 은각각 2013년상반기와하반기에접수된모바일악성앱중접수량이가장많았던상위 10 개의진단명이다. 2013년상반기와마찬가지로 FakeInst, Opfake의변형이꾸준히가장많이발견되고있으며익스플로이트킷이 10위권내에서사라지고새로운유형의 PUP가 Top 10에포함됐다. 표 년접수량이많은상위 10 개모바일악성앱 2013 상반기 2013 하반기순위진단명건수비율진단명건수비율 1 Android-Trojan/FakeInst 158,663 24% 2 Android-PUP/Airpush 90,218 13% 3 Android-Trojan/Opfake 49,309 7% 4 Android-PUP/Kuguo 33,730 5% 5 Android-PUP/Wapsx 32,890 5% 6 Android-Exploit/Rootor 28,000 4% 7 Android-PUP/Plankton 23,329 3% 8 Android-PUP/Leadbolt 22,028 3% 9 Android-PUP/Admogo 18,842 3% 10 Android-Trojan/GinMaster 18,214 3% Android-Trojan/FakeInst 303,077 23% Android-PUP/Airpush 184,820 14% Android-Trojan/Opfake 108,463 8% Android-PUP/Kuguo 82,482 6% Android-PUP/Wapsx 60,061 5% Android-PUP/Adwo 36,626 3% Android-PUP/Plankton 36,392 3% Android-PUP/Admogo 35,377 3% Android-Trojan/GinMaster 34,092 3% Android-PUP/Dowgin 31,809 2% 2013 년스미싱앱유형 30 종발견 [ 표 2-2] 는국내사용자를대상으로한스미싱앱유형이다. 2013년한해동안발견된스미싱앱은총 30종으로확인됐다. 표 년스미싱앱유형 1 Android-Trojan/Chest 11 Android-Trojan/Pbstealer 21 Android-Trojan/Smsmon 2 Android-Trojan/ SMSstealer 12 Android-Spyware/Ketor 22 Android-Trojan/ KrSmsBomber 3 Android-Trojan/Bankun 13 Android-Trojan/PNStealer 23 Android-Trojan/BulkSms 4 Android-Downloader/ Bankun 14 Android-Dropper/Bankun 24 Android-Trojan/Hecept 5 Android-Trojan/Meteor 15 Android-Trojan/Gsbot 25 Android-Trojan/Banko 6 Android-Spyware/ PhoneSpy 16 Android-Trojan/ OTPstealer 26 Android-Trojan/Lanjie 7 Android-Spyware/ MsgIntercept 17 Android-Spyware/Litch 27 Android-Trojan/PayProc 8 Android-Spyware/Langya 18 Android-Trojan/Yaps 28 Android-Trojan/Yan 9 Android-Spyware/ Tmphone 19 Android-Spyware/ BarSmish 29 Android-Trojan/SMSLemo 10 Android-Trojan/KorTalk 20 Android-Trojan/RoseFlash 30 Android-Downloader/ SMSstealer

8 ASEC REPORT 48 MALICIOUS CODE TREND 년스미싱악성앱월별접수건수추이 [ 그림2-3] 은스미싱악성앱변형의월별접수건수추이를나타낸것이다. 상반기꾸준히접수되던스미싱앱은 9월최고점에달했으나 4분기에는그수가조금씩감소한것으로나타났다. 10월까지는새로운유형의악성앱이지속적으로증가했으며 12월에는 17종의악성앱이배포되었다. 상반기는 Android-Trojan/Chest와 Android-Trojan/SMSstealer의변형이가장많이확인됐으나하반기부터 Android-Trojan/Bankun과 Android-Trojan/Meteor을포함한다양한유형의악성앱이나타나고있다. 표 2-3 스미싱악성앱의월별접수건수추이 2013 년스미싱악성코드유형별접수량 [ 그림 2-4] 는 2013년한해동안국내스마트폰사용자를대상으로전파된스미싱악성코드의유형별접수량을나타낸것이다. 가장많은변형이확인된악성앱은상반기부터가장많이배포됐던 Android- Trojan/Chest(29%), Android-Trojan/SMSstealer(27%) 다. 이앱들은초기소액결제인증문자를가로채는기능만포함하고있었으나점차기능을확대해스마트폰에저장된인증서정보를유출하고사용자의은행정보를유출하는기능을포함하는변형악성앱도확인됐다. 하반기이후많이접수된 Android- Trojan/Metor(8%), Android-Downloader/Bankun(7%), Android-Trojan/Bankun(6%) 은기존설치된은행앱을삭제하고계좌정보와비밀번호를유출하는기능을가진가짜은행앱을다운로드하는형태다. 상반기소액결재인증문자를외부로유출해금전적인이득을취하는유형의악성앱이대부분이었다. 하반기부터는스마트폰에저장된공인인증서와은행계좌정보유출을통해금전적인이득을취하는유형의새로운악성앱이등장하고있으며, 기존의악성앱도이러한기능을추가하고있다. 그림 2-4 스미싱악성코드의유형별접수량 Android-Trojan/Chest 29% Android-Trojan/SMSstealer 27% Android-Downloader/Bankun 7% Android-Trojan/ Bankun 6% Android-Trojan/Meteor 6% Android-Spyware/PhoneSpy 5% Android-Spyware/MsgIntercept 4% Android-Spyware/Langya 4% Android-Spyware/Tmphone 2% Android-Trojan/KorTalk 2% Android-Trojan/Pbstealer 1% Android-Spyware/Ketor 1% Android-Trojan/PNStealer 1% Android-Dropper/Bankun 1% Android-Trojan/Gsbot 1% Android-Trojan/OTPstealer 1%

9 ASEC REPORT 48 SECURITY TREND 년보안동향분석 03. 보안통계 2013년연간마이크로소프트보안업데이트현황 2013 년한해동안마이크로소프트사는총 105 건의보안업데이트를발표했다. 한해동안발표된 보안패치중윈도시스템상의취약점을해결하는패치가 43% 로가장큰비중을차지했다. 또 2012 년에비해보안업데이트수도증가했다. 전체적으로보안업데이트의분류비율은크게달라지지않 았지만, 인터넷익스플로러와오피스상의보안업데이트횟수가크게증가했다. 이를통해인터넷 익스플로러와오피스취약점을통한위협이크게증가했음을알수있다. 이러한취약점을이용한보 안위협의피해를막기위해서는적극적인보안업데이트적용이반드시필요하다. APPLICATION 11% SERVER 11% IE 14% SYSTEM 43% OFFICE 21% 그림 3-1 공격대상기준별 MS 보안업데이트분류

10 ASEC REPORT 48 WEB SECURITY TREND 년보안동향분석 04. 웹보안통계 웹사이트악성코드동향 안랩의웹브라우저보안서비스인사이트가드 (SiteGuard) 를활용한웹사이트보안통계자료에의 하면, 2013 년악성코드발견건수는 9 만 702 건이고악성코드유형은 2872 건이며악성코드가발견 된도메인은 1982 개, 악성코드가발견된 URL 은 7414 건으로집계됐다. 표 년웹사이트악성코드현황 악성코드발견건수 243, , % 악성코드유형 5,249 2,872 악성코드가발견된도메인 3,455 1,982 악성코드가발견된 URL 26,952 7,414 월별악성코드발견건수 2013 년악성코드발견건수는 9 만 702 건이다. 그림 년악성코드발견건수 40,000 36,414 30,000 20,000 14,242 15,350 10, , , ,928 ADWARE TROJAN DOWNLOADER WIN32/VIRUT DROPPER APPCARE SPYWARE JOKE ETC

11 ASEC REPORT 년보안동향분석 년주요보안이슈 (1) 대규모 APT 보안사고 동시다발적피해 2013년 3월 20일금융사와방송사를대상으로한대규모공격 ( 안랩진단명 Trojan /Win32(64).XwDoor), 석달뒤인 6월 25일정부와공공기관에대한 DDoS 공격 ( 안랩진단명 Trojan/Win32(64).Ddkr) 은사회적으로큰파장을일으킨보안사고였다. 이공격들은좀비 PC를이용했던지난 2009년 7 7 DDoS나 2011년 3 4 DDoS와는달리, APT 유형의공격이국내기반시설에동시다발적으로피해를준사례로꼽힌다. 이전에는불특정다수에대한무차별적인악성코드유포형태가많았다. 하지만최근에는특정프로그램의업데이트기능취약점, 웹취약점, 스피어피싱이메일, 혹은장시간분석을통한내부인프라공격등의기법이활용되고있다. 특히 2013년 6월 25일공격은 3월 20일공격이후취해진민관합동조사단과보안업체의조치에대응하여 MBR 삭제및 MBR 코드수정, 5.3MB에서 524KB로데이터영역삭제간격의축소, 계정암호변경등분석과복구가어렵도록단기간내악성코드를업그레이드하는기민함을보여주었다. 이같은 APT와안티포렌식 (Anti Forensic) 혼합공격기법의사용에따라, 2013년은디지털포렌식 (Digital Forensic) 기법과포렌식준비도 (Forensics readiness) 의필요성이어느때보다증대된한해였다. 다수에동시침투 3) 안티포렌식기능적용, MBR 코드패치와메모리에로드된뒤삭제되는기능을갖는악성코드를제작해보안프로그램의진단치료시생존율높임 4) 기업에서주로사용하는 AD(Active Directory) 서버를공격해도메인간이동, 기업내 PC 복구를위해자체제작한복구 CD의비활성화처리가되지않은마스터계정과암호, 키로거, 패스더해시 (Pass The Hash) 공격기법등을이용하여탈취된인증을통해내부자원에자유롭게접근및작업수행 5) 공격을통해획득한인증서를즉각적으로다른기업공격에사용및공격그룹별로다른악성코드사용 6) 피해기업의대응에즉각적인반응 ( 주요악성코드의기능변경, 침해대상변경, 재작성된스피어피싱메일을통한침해대상확대 ) 7) 공격대상의내부메일, 유출정보독해및위조할수있는한국어에능통한인력활용이와같은 APT 공격기법을사용하는국제적사이버산업스파이그룹은공격목적에따라국가, 군사기관이나범죄집단의지원을받고있는것으로추정되며다국어에대한처리가가능한인력으로구성되어있다. 풍부한자본과체계적인공격조구성, 기술력을바탕으로여러국가의고급정보를유출하는것뿐만아니라유출된인증서, 침해된서버를이용하여지속적인국내외공격을수행하고있다. (3) 스미싱모바일악성코드 폭발적증가 (2) 치밀한 APT 공격그룹 국제적규모 2013년국내 APT 공격은특정국가와기관의지원을받아국내국방기술이나제조관련기업의첨단기술유출을목적으로하는것과, 게임소스및인프라구축기술유출을목적으로하는활동이활발했다. 국내에서활동중인 APT 공격그룹은다음과같은특징을보였다. 1) 외부업데이트서버또는서드파티제품을통한내부네트워크침투 2) 특정산업군에서업무상필요한웹사이트를수정하여, 해당사이트로접속 2012년 30여건에불과했던스미싱악성코드는 2013년에는 11월까지 4868건이확인됐다. 초기에는소액결제인증문자를유출하는기능으로시작했으나최근에는스마트폰에설치된은행앱의종류를식별하고설치된은행앱을악성앱으로교체하는파밍형태가많이발견되고있다. 또보이스피싱과결합한악성앱도확인됐다. 정부와보안업체들은다양한방법을통해스미싱악성코드의피해를예방하기위해노력하고있으나, 스미싱악성코드는여전히발견되고있으며스마트폰사용자의금전피해도계속해서늘어나고있다. 할때악성코드에감염되는워터링홀 (Watering-Hole) 기법을사용하여기업

12 ASEC REPORT (4) 관리자계정정보를직접노리는악성코드변형확산 2013년초부터발견된특정사이트들의관리자계정정보탈취악성코드의변형이 IE(Internet Explorer) 제로데이취약점 (CVE ) 을이용해급속히국내에유포됐다. 해당보안취약점에대한패치가 10월에발표됐으나상당히많은시스템이감염된것으로추정되고있다. 확인된바로는, 국내특정 CDN(Contents Delivery Network) 업체를통해운영중인일부웹사이트들이악성코드배포지로악용됐다. 악성코드는취약점셀코드부터백신무력화증상이나타나는데, 이후다운로드되는악성코드에도같은기능이있는데감염된시스템에설치된보안프로그램을무장해제한다. 변형에따라탈취하려는관리자계정의웹사이트목록은다르지만, 2013년 10월에마지막으로확인된변형은무려 95곳의웹사이트관리자계정을노렸다. 여기에는언론사와기업들이다수포함돼있었다. 탈취된계정을이용해서버를장악하면기업내부에침투하거나민감한정보를훔쳐낼수도있으며, 해당웹사이트를악성코드유포지나경유지로도사용할수있다. 이악성코드는 DDoS 증상도유발하는것으로확인됐다. 내부에존재하는관리자계정탈취웹사이트와별도의특정도메인들 (2013년 10 월발견변형기준 19곳 ) 에대해차례로파일다운로드및실행기능을수행했다. 그러나실제파일이존재하지않는경우가대부분이었고웹서버에부하를발생시키는 DDoS 증상을일으키기도했다. (5) 국지화되는소프트웨어취약점악용사례증가악성코드는교회, 학교, 관공서, 호텔, 택배, 웹하드등일상생활에서손쉽게접근하는다수의국내웹사이트에서더욱기승을부렸다. 특히어도비의플래시플레이어 (Flash Player) 보다오라클의자바와마이크로소프트의인터넷익스플로러 (IE) 취약점을이용하는공격사례가더많았다. 자바는주요제품군에비해상대적으로보안업데이트가소홀할수있기때문에웹공격툴킷 (Web Exploit Toolkit) 같은경우버전별자바취약점들을골고루활용하고있다. 또한 IE상의 Use- After-Free( 할당된메모리해제후사용 ) 취약점은 MS의보안업데이트속에서매월빠지지않고등장할정도로꾸준히보고되는취약점이다. 이와같은유형인 CVE 취약점은제로데이취약점으로등장, 대표적인웹공격툴킷 Chinese Kit(CK) 에포함돼지금도활발하게이용되고있다. 이러한웹을통한글로벌제품군을대상으로하는공격사례외에도몇년전부터는국내소프트웨어의취약점을악용하는사례가점차증가하고있다. 국내의대표적인문서작성소프트웨어인아래아한글에서보고되는취약점수가눈에띄게증가했고, 스프레드시트프로 그램인한셀에서도 2013년 6월처음으로유사공격형태가발견됐다. (6) 인터넷뱅킹악성코드금전피해확대 2013년 6월발견된온라인게임핵 (OnlineGameHack) 악성코드에서기존에없었던국내인터넷뱅킹사이트에대한정보유출기능이확인됐다. 국내감염자가많은온라인게임핵악성코드에인터넷뱅킹정보유출기능이추가됨으로써금전적인피해규모는클수밖에없었다. 이악성코드에서사용한각인터넷뱅킹사이트별보안모듈무력화및이체정보변조의기능은기존의인터넷뱅킹악성코드에서볼수없었던새로운기법이다. 보안모듈무력화는각인터넷뱅킹사이트에서사용하는보안모듈중인증서패스워드및이체정보암호화를담당하는부분을무력화하는것으로메모리상의특정코드에대한패치를통해이뤄진다. 이악성코드의최초발견이후공격대상보안모듈도지속적으로추가됐다. 보안모듈이업데이트될때마다변경된코드패턴에맞춰악성코드도변경됐다. 이체정보변조는 2013년 9월부터새롭게추가된기능이다. 정상적인계좌이체과정중에이체계좌번호와이체금액을수정해공격자에게이체되도록했다. 이러한공격을위해악성코드는인터넷뱅킹사이트별로사용하는고유한자바스크립트패턴정보를갖고있으며, 이중이체에필요한정보를변조, 공격을시도한다. 이러한이체정보변조공격은은행두곳에서만제한적으로이뤄졌다. 이같은새로운공격방식은인터넷뱅킹시지정 PC 및 OTP를사용할때도피해를줄수있다. 또한, 피해를막기위해서는뱅킹사이트별로다양한보안업체의모듈들에대한업데이트가필요한데, 이러한점에서피해예방이쉽지않다. 두가지형태의공격에대한예방을위해서인터넷뱅킹사용자는비정상적으로은행거래가종료 ( 강제로그아웃 ) 된경우, 인증서를갱신하거나금융기관을통해해당계좌에대한거래중지를요청하고악성코드감염여부를확인하는것이필요하다. 또한, 이체후에는반드시이체내용확인을통해잘못된계좌로이체가됐는지점검해야한다. (7) 랜섬웨어 (Ransomware) 의고도화국내에서는아직큰문제가되지않았지만, 여러나라에서랜섬웨어 (Ransomware) 피해가발생하고있다. 랜섬웨어는시스템부팅시암호를요구하거나파일을암호화해시스템을정상적으로사용하지못

13 ASEC REPORT 하게하고금전을요구하는악성코드종류이다. 랜섬웨어의시초는 1989년으로거슬러올라간다. 1989년 12월 8일부터 12일까지 PC 사이보그사 (PC Cyborg Corporation) 의에이즈정보 (AIDS Information) 디스켓이영국, 유럽, 아프리카, 오스트레일리아등으로보내졌다. 이프로그램은에이즈 (AIDS, 후천성면역결핍증 ) 에대해다루고있다고주장하지만실제로는하드디스크의루트디렉터리정보를암호화하는트로이목마였다. 대표적인최신랜섬웨어는 2005년러시아에서발견된 Gpcode이다. 당시랜섬웨어의상당수는간단한암호화기법을이용해악성코드분석으로복구도구를만들수있었다. 2013년하반기사용자사진, 동영상, 문서등을암호화하는크립토락커 (Cryptolocker) 가여러나라에서피해를일으켰다. 감염되는순간암호를해제할수있는키를서버에생성하고암호해제를위한금전을요구한다. 달러, 유로, 비트코인류의가상화폐등다양한방식으로지불할수있다. 특정시간에돈을입금하지않거나사용자가악성코드제거를시도하면서버에생성한키를파괴해복구하지못하도록만든다. 국내에서는 2011년중앙아시아지역에서제작된랜섬웨어를번역기를이용해만든조잡한한국어판이발견된바있지만, 현재까지대규모피해는확인되지않고있다. 그러나다른나라에서는시스템을사용하지못하게하고협박하는방식이널리이용되고있다. 국내외악성코드제작자와범죄조직에서국내사용자를대상으로한한국형랜섬웨어가등장할가능성을배제할수없다.

14 ASEC REPORT CONTRIBUTORS 집필진 선임연구원 박종석 선임연구원 강동현 선임연구원 이도현 연구원 이영욱 연구원 강민철 참여연구원 ASEC 연구원 편집 안랩콘텐츠기획팀 디자인 안랩 UX 디자인팀 발행처 주식회사안랩경기도성남시분당구삼평동 673 ( 경기도성남시분당구판교역로 220) T F 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다 AhnLab, Inc. All rights reserved.

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.