월간 CONTENTS 3 EXPERT COLUMN 영화 감기 의충고, 최초감염자를찾아라! 5 SPECIAL REPORT 2016 상반기위협동향및하반기전망 2016 년상반기키워드는랜섬웨어 표적공격! 하반기는? 8 PRODUCT ISSUE AhnLab MD

Size: px

Start display at page:

Download "월간 CONTENTS 3 EXPERT COLUMN 영화 감기 의충고, 최초감염자를찾아라! 5 SPECIAL REPORT 2016 상반기위협동향및하반기전망 2016 년상반기키워드는랜섬웨어 표적공격! 하반기는? 8 PRODUCT ISSUE AhnLab MD"

현식 장
5 years ago
Views:

1 안랩온라인보안매거진 Threat Landscape

2 월간 CONTENTS 3 EXPERT COLUMN 영화 감기 의충고, 최초감염자를찾아라! 5 SPECIAL REPORT 2016 상반기위협동향및하반기전망 2016 년상반기키워드는랜섬웨어 표적공격! 하반기는? 8 PRODUCT ISSUE AhnLab MDS 출시 안랩, MDS 으로하이엔드시장공략나선다 10 HOT ISSUE 안랩안티랜섬웨어툴, 이것 이궁금하다 13 THREAT ANALYSIS 진화하는록키랜섬웨어 15 IT & LIFE 스마트폰에도다이어트가필요해! 17 STATISTICS 2016 년 6 월보안통계및이슈 19 AHNLAB NEWS 차세대방화벽 트러스가드 (TrusGuard) GS 인증획득 안랩, 2016 년상반기연결기준매출 610 억 영업이익 38 억 2

EXPERT COLUMN 영화 감기 영화 감기 의충고, 최초감염자를찾아라! 사상최악의바이러스가대한민국을덮친다! 지난 2013년 8월개봉한영화 감기 의메인포스터에등장하는카피다. 이영화는지난 2015년메르스사태가발생하면서재조명되기도했다. 최근 3년전에봤던이영화의포스터를우연히마주치게됐다. 그리고는직업병덕분에 (?) 엉뚱한생각을하고말았다.

3 EXPERT COLUMN 영화 감기 영화 감기 의충고, 최초감염자를찾아라! 사상최악의바이러스가대한민국을덮친다! 지난 2013년 8월개봉한영화 감기 의메인포스터에등장하는카피다. 이영화는지난 2015년메르스사태가발생하면서재조명되기도했다. 최근 3년전에봤던이영화의포스터를우연히마주치게됐다. 그리고는직업병덕분에 (?) 엉뚱한생각을하고말았다. 이영화카피에서단어몇개만바꿔도 IT 관련기사제목으로쓸수있겠는데? 사상최악의랜섬웨어가한국을덮치다! 알다시피 IT 보안용어중에는의학용어를차용한표현들이많다. 바이러스, 격리, 최초감염자 (Patient Zero) 등이바로여기에해당된다. 국내에서는악성코드치료프로그램을안티바이러스 (Anti-virus) 나안티멀웨어 (Anti-malware) 대신이해하기쉬운 백신 이라고부르고, 이와함께 치료 라는표현을사용하고있다. 이렇다보니의학관련영화를볼때면묘하게낯익은용어들때문에이런저런엉뚱한상상으로이어진다. 이글에서는영화 감기 와묘하게닮은최근의보안위협트렌드를이야기하고자한다. 본론으로들어가기에앞서영화의줄거리부터간단히되짚어보자. 2013년은홍콩발조류독감이화두가되던시기였다. 마침이영화는홍콩에서코리안드림을꿈꾸는외국인노동자들이컨테이너박스에몸을싣고한국으로밀입국하는장면부터시작한다. 그들중감기에걸린사람이섞여있었고, 한국으로오는도중이것이엄청난바이러스형독감으로변이된다. 결국이들이한국에도착했을때에는단한명만을제외하고모두죽게된다. 그러나진짜문제는살아남은이한사람이연신기침을하며길거리를돌아다니면서발생한다. 변이된바이러스를온동네로퍼뜨리게된것이다. 정부의안일한대응까지한몫거들면서결국이치명적인바이러스에수많은사람들이희생된다. 이영화는이런저런우여곡절끝에항체를발견하고백신을개발하여대응한다는내용으로끝을맺는다. 기존체계를우회하여침투영화초반에밀입국브로커로보이는한선원이출항전밀입국자들의최종인원점검을하는장면이나온다. 아픈사람이있는지묻는선원에게다들아프지않다고답하는데, 감기에걸린환자마저자신이감기에걸린것을숨긴다. 선원은별다른의심없이인원점검을마친다. 영화 감기 포스터 (* 출처 : 영화 감기 공식블로그 ) 이것만으로벌써감이오는사람들도있을것이다. 인원점검을하는선원은시그니처매칭방식으로탐지하는기존의보안솔루션으로비유할수있다. 단순한독감바이러스에감염된밀입국자는바로각종보안솔루션의탐지를우회해내부침입에성공한악성코드로볼수있다. 3

4 영화 감기 밀입국브로커선원 단순독감바이러스에감염된밀입국자 IT 보안위협 단순시그니처매칭방식의기존보안솔루션 드롭퍼 (Dropper) 와같은형태로내부침입에성공한악성코드 단순시그니처매칭방식의기존보안솔루션들은신 변종악성코드나알려지지않은방식으로침입하는공격에대해방어하기어렵다. 내부침입에성공한후치명적인악성코드로업그레이드! 단순한독감바이러스에감염된밀입국자를싣고있는컨테이너박스는일종의배양소역할을한다. 한국으로밀항하는동안, 그속에서독감바이러스는치명적인바이러스로변이하게된다. 이것은내부침입에성공한단순한형태의악성코드가시스템내에서공격자서버 (C&C Server: Command & Control Server) 와암호화통신을하면서치명적인악성코드로업그레이드되는것과매우유사하다. 최근급증하고있는랜섬웨어는 C&C 통신을통해공개키 (Public Key) 를다운받은후감염된 PC 내에있는파일을암호화한다. 악성코드가 C&C 통신시사용하는암호화된패킷은별도의트래픽복호화솔루션이없다면검사가불가능하다. 영화 감기 감기에걸린밀입국자를태운컨테이너 밀폐된컨테이너에서변이된바이러스 IT 보안위협 암호화된트래픽 암호화통신을통해업그레이드된악성코드 대응하려면 최초감염자 부터찾아라! 치명적인바이러스가확산되면서심각한피해가발생하자백신개발이시급한문제로대두된다. 백신개발에필요한항체를확보하려면먼저유의미한샘플을채취해야한다. 영화에서는군 관이힘을합하여밀입국한최초감염자 (Patient Zero) 를필사적으로찾아나선다. 이것은보안업체에서악성코드샘플을수집하여시그니처를제작하고, 백신등보안솔루션에반영하여대응하는프로세스와동일하다. 여기에서주목해야할부분은최초감염자 (Patient Zero) 또는첫번째희생자 (First Victim) 로, 이는 IT 보안에서큰의미를지닌다. 첫번째희생자, 즉최초감염된 PC를확보해야만샘플을채취할수있으며, 채취된샘플을보안업체로전달해야보안업체가시그니처를제작해사용자들에게배포함으로써위협에대응할수있기때문이다. 이것이현재의일반적인보안대응체계다. 그러나랜섬웨어등최근의보안위협은일반적인체계만으로대응하기어렵다. 랜섬웨어는 PC에침입하자마자파일을암호화하는데, 일단암호화된파일은거의복구가불가능하다. 즉, 이제는첫번째희생자 (First Victim) 도포기해서는안되는상황이된것이다. 최신보안위협, 첫번째희생자를포기해야만하는가신 변종이잇따라등장하고있는랜섬웨어는점차지능형위협 (Advanced Persistent Threat, APT) 형태로변모하고있다. 이러한지능형랜섬웨어에대한최선의대응책은 예방 과 선제적인방어 다. 따라서기존의보안솔루션으로는신 변종악성코드및랜섬웨어에대응하기어려운부분을해소하기위해네트워크샌드박스 (Network Sandbox) 기반으로탐지하고분석할수있는솔루션이필요하다. 이와함께첫번째희생자의피해를막기위해엔드포인트 (endpoint) 와연계할수있는대응책도반드시필요하다. 4

5 SPECIAL REPORT Reviews & Predictions 2016 상반기위협동향및하반기전망 2016 년상반기키워드는랜섬웨어 표적공격! 하반기는? 2016년상반기에는 2015년전망대로랜섬웨어의종류와양이기하급수적으로증가하여수많은피해를발생시켰다. 표적공격및적대적공격자들에의한사회기반시설대상공격도끊이지않았다. 또한익스플로잇킷 (Exploit kit, EK) 에멀버타이징 (Malvertising) 수법이결합되면서, 불특정다수를대상으로하는대규모악성코드감염에적극활용되고있다. 모바일쪽으로는루트권한을악용하는악성앱이 2015년하반기대비 400% 증가하는양상을보였다. 하반기에는상반기에이어랜섬웨어위협과사회기반시설을노린사이버테러, 표적공격등이지속될전망이다. 또한블랙마켓에기반한악성코드서비스 (Malware-as-a-Service) 의활성화로인해향후사이버공격의범위와스펙트럼이점점다양해질것이며, 핀테크서비스에대한모바일보안위협이나타날것으로예측된다. 이글에서는안랩의글로벌보안대응조직인 ASEC(AhnLab Security Emergency response Center) 전문가들이선정한 2016년상반기보안위협 Top 5와하반기전망 Top 5를각각소개한다 상반기위협 Top 5 01 랜섬웨어의기하급수적인증가상반기에는랜섬웨어의종류와양이기하급수적으로증가했고, 수많은피해를발생시켰다. 고유한개성을지닌랜섬웨어가다양하게발견되었고, RaaS(Ransomware-as-a-Service) 의등장이이들의유포를활성화시키는역할을한것으로보인다. 또한, 활발하게활동하던테슬라크립트 (TeslaCrypt) 가갑자기활동을종료하자마자크립트엑스엑스엑스 (CryptXXX) 가국내유명커뮤니티사이트를통해유포되면서큰피해를가져왔다. 그외에도 MBR(Master Boot Record) 을암호화하는페트야 (PETYA), 의료기관을노리는삼삼 (SamSam), 인질파일을한시간에하나씩삭제하는직쏘 (JigSaw), 음성으로랜섬웨어감염사실을알려주는서버 ( 혹은케르베르, CERBER), 스팸메일로전세계를휩쓴록키 (Locky), USB 를통해전파되는지크립토 (ZCryptor) 등이상반기를대표한다. 플래시 (Flash), 실버라이트 (Silverlight) 등의소프트웨어취약점을악용하는익스플로잇킷을통한유포가증가세를보이고있다. 이는사용자도모르게감염시키는드라이브바이다운로드 (Drive-by-download) 를통해감염성공률을높이고최대한의수익을추구하기때문인것으로판단된다. 국가와지역을가리지않고전세계에서동시다발적으로발견되는것또한맥락을같이한다. 국내에서는테슬라크립트, 록키, 서버, 크립트엑스엑스엑스등의감염빈도가두드러졌다. 안랩을포함한보안업체들은랜섬웨어차단을위한진단을강화하고, 사전에탐지하고차단할수있는기능을추가하면서지속적인대응을이어가고있다. 02 은밀하고끊임없이지속되는표적공격의위협표적공격은공격대상이한정되어있고은밀하게진행되어사전에알아내는것이상당히어렵다. 그러나표적공격의위협은현재에도계속되고있다. 올해초북한의 4차핵실험이후정부부처와국가기관을사칭한메일이발견됐다. 곧이어보안업체의인증서가유출되었고, DRM 솔루션을변조한악성코드가유포된사례도있었다. 또한국내항공사와군수업체가해킹되어내부정보가유출되었고, 군관련홈페이지가해킹되어서비스가중지된사례도있었다. 해외에서도표적공격의위협은지속되었다. 우크라이나정전사태는발전소를공격한블랙에 5

6 너지 (Black Energy) 악성코드로인한것이고, 주요국가의금융과보험서비스를주요목표로하는레이튼트봇 (LatentBot) 공격도발견되었다. 폰스톰 (Pawn Storm) 또는소퍼시 (Sofacy) 로알려진조직이미국외교부, 민주당등을공격했다. 표적공격은공격조직의범죄수익이목표일수있지만정치, 군사, 경제, 외교등의갈등상황에서우위를점하기위한목적인경우도있다. 표적공격을위해서는공격대상을선별하고, 선별된대상에대한정보를사전에파악하는것이중요하다. 최근트위터 (Twitter), 텀블러 (Tumblr), 링크드인 (LinkedIn), 마이스페이스 (MySpace), 깃허브 (GitHub) 등의계정정보가대량으로유출되었는데, 이러한개인정보유출사고는공격자들이공격대상을물색하거나사전정보를수집하기에아주좋은기회가될수있으므로지속적인주의가요구된다. 03 사회기반시설에대한다양한공격발생사회기반시설에대한공격은주로적대적공격자들에의해시도되고있다. 2015년 12월발생한우크라이나정전과 2016년 2월방글라데시중앙은행의 1천억원도난은사이버공격으로밝혀졌다. 특히방글라데시중앙은행건은국제은행간통신협회 (SWIFT) 시스템에대한공격으로, 베트남과필리핀, 우크라이나등에서도 SWIFT 시스템에대한공격이발견되었다. 이러한전력과금융시스템에대한공격을비교해봤을때, 올초국내에서발생한교통안내시스템해킹은장난에가까울정도다. 그리고철도시스템같은교통시설과상수도, 댐등을노린공격시도도있었다. 국가기반시설시스템은일반적으로보안이잘되어있으리라믿고있는경우가많다. 그러나올해발생한여러사건들과독일원자력발전소에서구형악성코드가뒤늦게발견된점등을보면보안허점은항상존재한다는것을알수있다. 국가기반시설은사회적영향이크고나아가국민의안전과도밀접한관련이있기때문에, 국가는편의성과인프라의안정성, 그리고보안성에대한적절한균형을찾는것이필요하다. 04 멀버타이징 과 웹익스플로잇킷 의양날개를달다익스플로잇킷이랜섬웨어시장활성화에따라대량감염을위한수단으로적극활용되면서다양한익스플로잇킷 (EK) 이등장했다. 2016년상반기까지위세를떨치던앵글러 (Angler) EK와뉴클리어 (Nuclear) EK의활동은종료되었으나매그니튜드 (Magnitude) EK, 뉴트리노 (Neutrino) EK, 리그 (RIG) EK, 썬다운 (Sundown) EK 등다양한 EK의활발하게활동하고있다. 또한 EK를통한악성코드의유포에멀버타이징수법이결합되었다. 멀버타이징은애드웨어 (Adware) 의네트워크또는사이트의광고배너를활용하며, 특히광고업체의서버를통해제공되는광고배너를통해 EK의다단계리다이렉션 (Redirection) 을악용한다. 이러한점으로인해불특정다수를대상으로하는대규모감염을발생시키고, 유포지를찾더라도차단하기어려운상황이증가하고있다. 상반기취약점을통해배포되는악성코드상당수는금전적이윤을추구하는랜섬웨어와파밍 (Pharming) 으로양분화된양상을보였지만, 랜섬웨어의전세계적인유포로인해파밍은큰주목을받지못했다. 랜섬웨어는가상화폐인비트코인을노리면서유럽을중심으로활동하고있고, 파밍은동아시아를중심으로계좌정보를탈취하며실제화폐를탈취하는특징을보이고있다. 05 루팅시도및루트권한을악용하는악성앱증가 2016년상반기에는루트권한을악용하는악성앱들이많이발견됐다. 악성앱들이루트권한을이용하는이유는사용자가앱이설치되는것을인지할수없게하고, 보안프로그램의탐지와삭제를어렵게하기위함이다. 이렇게설치되는악성앱들은루트권한을이용해개인정보탈취, 광고노출, 사용자가원치않는앱을설치하는등의악성행위를한다. 2016년수집된루팅악성앱의수를보면 2015년하반기대비약 400% 증가한수치로, 급격히증가하는양상을보이고있다. 최근에발견된갓리스 (Godless) 악성앱은안드로이드운영체제 5.1 버전 (Lollipop) 이하에서루트권한을탈취하기위해여러개의취약점을악용하는것으로확인됐다. 이와같은루트권한획득을노리는악성앱들은대부분중국에서만들어졌다. 앱설치와광고노출을통해얻는수익이주목적인것으로추정되며, 앞으로도꾸준히증가할것으로예상된다 하반기위협전망 Top 5 01 블랙마켓에기반한악성코드서비스 (Malware-as-a-Service) 활성화토르 (TOR) 를통한익명화와다크웹사용이간편해지면서사이버블랙마켓을통해악성코드서비스 (Malware-as-a-Service, 이하 MaaS) 가활성화되고있다. 이는공급자 (Vendor) 가사용자가필요한것을서비스화 (as-a-service) 하는특징에따라, MaaS를통해사이버공격에활용되는다양한서비스들을제공하는것을의미한다. MaaS가활성화됨에따라서비스제공자간의경쟁도심화되어, 사이버공격에필요한요소들의가격이점차낮아지고기능과종류가다양해지고있다. MaaS에서는공격의핵심이되는악성코드를주문 제작하는것은물론이고유포에필요한제로데이취약점, 난독화서비스, 익스플로잇킷, 스팸네트워크까지유료로사용할수있다. 사이버공격이가능하도록필요한요소들을사모으기만하면되는것이흡사대형마트에서물건을고르는것과유사하다. MaaS 형태의블랙마켓은사이버공격인프라의유지보수에서발생하는기술적인문제점과사이버공격을기획하고실행하기위해필요한전문지식을모두위탁하는형태를취하는데, 이러한특징은공격자가되기위한진입장벽이낮아졌다는것을알려준다. 이러한이유로 2016년 6

7 상반기에스팸과익스플로잇킷을통한악성코드유포가급증했고, 랜섬웨어가그대표적인사례에속한다. MaaS를통해공격에필요한요소들을여러형태로접목가능하므로앞으로발생할사이버공격의범위와스펙트럼이점점다양해질것으로보이며, 디도스, 랜섬웨어, 금융악성코드와같은기존의위협은물론이고, 내부자위협, 개인 / 기업정보유출, 표적공격등에많이악용될것으로예측된다. 02 사회기반시설을노리는사이버테러의위협지속사회기반시설에대한공격은일반해킹보다성공하기어렵고, 금융기관해킹외에는금전적이익도생기지않는다. 그렇지만성공할경우사회적혼란과자신들의선전효과를극대화할수있다. 특히사회기반시설에대한사이버테러는일반적인테러나군사적공격에비해추적과보복이어렵기때문에테러단체의테러행위또는국가단위에서적성국공격을위해많이시도된다. 금전적이득보다종교적, 정치적갈등에서공격의동기를찾을수있다. 종교적, 정치적갈등은쉽게해결되기어렵기때문에사회기반시설에대한공격은앞으로도계속될것으로예상된다. 대부분의사회기반시설은인터넷에직접적으로연결하지않은망분리상태로운영되고있는것으로알려져있다. 그러나여전히인터넷에연결된시스템이존재하고, 시스템을운용하는사용자입장에서불편함을이유로보안정책을어기는경우도많다. 공격자들은이러한취약점을찾아내기위해다양한방식으로사회기반시설에대한공격을진행할것으로예상된다. 충분하지못한사전예방과대응은큰피해를발생시킬수있기때문에, 공격을무력화하거나피해를최소화하기위해충분하고꾸준한사전예방과대응을해야한다. 03 랜섬웨어위협의증가로인한지속적인피해증대랜섬웨어위협은상반기와유사한양상을보이며, 더욱많아질것으로보인다. 테슬라크립트, 뉴클리어 (Nuclear) EK, 앵글러 (Angler) EK가상반기에활동을종료하고, 록키를유포하는네커스 (Nercus) 봇넷이잠시주춤했다. 그러나최근들어네커스봇넷이록키와서버유포를재개했고, 활동을종료한앵글러 (Angler) EK의자리는뉴트리노 (Neutrino) EK가빠르게대체하고있다. RaaS(Ransomware-as-a-Service) 가활성화되고랜섬웨어가거대한시장을형성함에따라, 지금보다더욱다양한랜섬웨어가출현할것으로예상된다. MBR 뿐아니라시스템의다른영역으로암호화대상을확대할수있으며, 의료기관을노린삼삼 (SamSam) 과같이제조업을포함한다른산업분야로공격대상을확대할가능성도배제할수없다. 최근에는제로데이취약점을악용한멀버타이징기법을통해대규모유포를하는만큼, 이미알려진랜섬웨어라도더욱광범위하게활동하며피해를발생시킬수있다. 최근브렉시트 (Brexit) 사태로인해비트코인의가격이급등한만큼, 비트코인을요구하는랜섬웨어의활동이더욱활발해질것으로보인다. 특히보안업체들의적극적인대응을우회하기위한다양한기능들을추가적으로도입할것으로예상된다. 04 내부에서신뢰하는공용소프트웨어를이용한표적공격그동안국내에서발견된표적공격사례들을살펴보면, 공격에사용된악성코드들은주로중앙관리솔루션과웹, 이메일등을통해유포되는방식을보였다. 그러나앞으로는내부에서사용하는공용소프트웨어를통한유포로범위가확장될것으로예상된다. 2016년초발생한보안업체와전사적자원관리 (ERP) 업체의디지털서명도용사건은공격자가탈취한인증서로서명된악성프로그램을제작하였고, 보안업체의 DRM(Digital Rights Management) 솔루션변조사건은내부에서사용하는보안프로그램을악용하여공격한것이다. 기업내부에서공용으로사용하는소프트웨어와운영서버로공격범위를한정하여유포함으로써장기간잠복할수있었다. 일반적으로내부배포서버와이를통해관리하는공용소프트웨어는내부망을통해서관리되기때문에, 사용자들이별다른의심을하지않는신뢰구간으로여겨져왔다. 이와같이유출된인증서로인해변조된공용소프트웨어를내부배포서버를통해배포하는방식으로네트워크의신뢰구간을이용하여공격하면, 관리자와사용자들의의심을사지않고다수의시스템을장악할수있기때문에발견이힘들고그피해도클수밖에없다. 앞으로이러한공용소프트웨어의신뢰구간을이용한공격방식이점차증가할것으로예상되기때문에꾸준한주의가요구된다. 05 핀테크서비스에대한모바일보안위협등장핀테크서비스가늘어남에따라관련금융정보를노리는악성앱들이등장할것으로보인다. 2014년말, 핀테크가화두가되고다양한모바일간편결제서비스가소개되었다. 최근에는단말제조사에서서비스하는모바일간편결제와애플리케이션을이용한간편결제서비스들이폭넓게사용되고있다. 이러한결제서비스를악용하여금전적이득을취하려는악성앱들이등장할가능성이있다. 과거에도모바일소액결제를노리는악성앱들이있었고, 지금도모바일뱅킹애플리케이션으로사칭하여개인금융정보를탈취하는악성앱들이계속해서나타나고있다. 간편결제등핀테크서비스가사회전반으로확대된만큼관련위협이나타날것으로보인다. 7

8 PRODUCT ISSUE AhnLab MDS AhnLab MDS 출시 안랩, MDS 으로하이엔드시장공략나선다 안랩이오는 8월 9일, 지능형위협대응전용보안솔루션인 AhnLab MDS의라인업강화를위해 MDS 을출시한다. AhnLab MDS 10000은대용량트래픽처리성능이요구되는네트워크환경에최적화되어설계된하이엔드장비로, 기존라인업과함께다양한고객사환경에더욱효율적으로적용할수있게됐다. 특히뛰어난분석성능과트래픽처리성능으로복잡하고광범위한네트워크를구성하고있는대기업, 그룹사, 중앙부처나트래픽에민감한금융사의보안요구사항을만족시킬전망이다. 또다수의장비대신단일장비를이용해다수의에이전트관리까지가능해운영편의성과효율성측면에서중견기업의보안관리자에게도반가운소식이될것으로보인다. AhnLab MDS( 이하 MDS) 는지능형위협 (Advanced Persistent Threats, APT) 대응솔루션으로, 기업내부로유입되는파일을네트워크단에서수집및탐지하고샌드박스를기반으로신종악성코드및익스플로잇에대해정적및동적분석을수행한다. 행위분석과독자적인동적콘텐트분석 (Dynamic Intelligent Content Analysis, DICA) 기술을이용해악의적인행위의발생여부나종류에관계없이악성코드를정확하게분석해랜섬웨어는물론제로데이공격, 샌드박스분석을우회하는악성코드까지탐지한다. 이번 MDS 모델출시로 MDS의강력한분석성능이더욱주목받게됐다. 뛰어난 VM 분석성능, 대용량처리기업환경에따라하루평균수천 ~ 수만개의파일이네트워크상에서생성및이동하기때문에샌드박스 ( 가상머신 ) 기반의동적분석성능이기업의지능형위협대응력을좌우한다고해도과언이아니다. 안랩자체테스트결과, MDS 10000은일일최대 20만건이상의파일에대한가상머신 (Virtual Machine, 이하 VM) 동적분석이가능하다. 또한하나의장비에서다중미러링이가능해웹, 이메일, 망연계구간, 파일서버등다양한탐지구간에서대용량처리가가능하다. 올인원형태로이용가능, 가성비뛰어나기존 MDS 6000 모델에이어 MDS 10000에서도이메일격리 (MTA: Mail Transfer Agent) 기능을이용할수있다. 이메일격리란의심스러운이메일을탐지하여분석과동시에격리하는기능으로, 스피어피싱을이용한지능적인공격뿐만아니라이메일첨부파일형태로유입되는신 변종랜섬웨어에도효과적으로대응할수있다. MTA 라이선스적용방식으로솔루션도입이편리하며, MDS 또는 MDS 6000 모델에서이용할수있다. 고객사환경에따라고성능분석장비인 MDS 10000을올인원 (all-in-one) 형태로이용할수있다. 즉, MDS 장비하나로탐지및분석부터모니터링, 에이전트관리까지가능하기때문에다수의장비도입및운영에어려움을겪는중견기업에서도가성비대비뛰어난도입효과를얻을수있다. 8

9 에이전트격리, 최신 OS 지원등기능업그레이드까지안랩은하이엔드급장비출시와함께 MDS의기능도업그레이드했다. 우선 에이전트격리 기능을추가했다. PC 등특정한에이전트에위험또는의심스러운정황이발견될경우해당에이전트의네트워크연결을차단함으로써위협의내부확산을방지하는기능이다. 해당에이전트가안전한것으로판단되면네트워크연결을허용할수있다. 사용자의거부감을최소화하고시스템리소스영향을최소화하기위해 MDS 에이전트를 V3 제품과통합에이전트형태로지원한다. 기존에는 V3 엔드포인트시큐리티9.0(V3 Endpoint Security) 이용시에만통합에이전트가제공됐지만이번업그레이드를통해 V3 인터넷시큐리티 9.0(V3 Internet Security) 이용고객도 MDS 통합에이전트를이용할수있게됐다. 안랩은또한랜섬웨어를비롯해지속적으로고도화되는공격에종합적으로대응하는동시에고객의운영부담은최소화하기위해타보안솔루션과의연동을지원한다. 방화벽, 스팸차단솔루션, SSL 복호화솔루션등과의연동을통해기존인프라에영향없이다양한경로로유입되는지능형보안위협에실시간으로대응하는강력한보안체계를제공한다는전략이다. 이밖에도 VM 환경에윈도우 10(Windows 10) 을지원하는등최신 IT 환경에서의위협탐지력을차별화했다. 안랩은플랫폼안정화등을통해기존 MDS 라인업의성능및기능도지속적으로강화할예정이다. 이상국안랩 EP사업기획실실장은 하이엔드장비인 MDS 출시로대규모시장뿐만아니라보안운용과비용의효율화를꾀하는중견기업까지시장을확대할수있게됐다 며 지속적인기능및성능강화를통해고객의비용절감과안정적인비즈니스운영에기여할것이다 라고말했다. 9

10 HOT ISSUE Anti-Ransomware 안랩안티랜섬웨어툴, 이것 이궁금하다 안랩은최근강력한랜섬웨어대응및사용자의피해방지를위해 안랩안티랜섬웨어툴 (AhnLab Anti-Ransomware Tool) 을개발, 홈페이지를통해무료로배포하고있다. 랜섬웨어의피해는날로심각해지고있는반면, 지금까지의랜섬웨어대응은보안업데이트적용이나데이터백업등다소소극적이었던터라안랩안티랜섬웨어툴베타버전이사용자들의환영을받고있다. 안랩안티랜섬웨어툴은특히연일등장하는신 변종랜섬웨어대응에큰효과를발휘할전망이다. 안랩안티랜섬웨어툴이무엇인지, 다른안티랜섬웨어프로그램과무엇이다른지 Q&A로알기쉽게정리했다. [ 그림 1] 안랩안티랜섬웨어툴 (Beta) 웹사이트 Q1. 안랩안티랜섬웨어툴은무엇인가? 안랩안티랜섬웨어툴 (AhnLab Anti-Ransomware Tool) 은랜섬웨어대응전용프로그램으로, 안랩은보다신속하게신 변종랜섬웨어에대응하여사용자피해를최소화하기위해베타버전을무료로제공하고있다. 랜섬웨어로의심되는파일및프로세스를별도의가상환경에격리하여검사및차단함으로써사용자의 PC를보호한다. Q2. 안랩안티랜섬웨어툴이다른안티랜섬웨어프로그램들과다른점은무엇인가? 안랩안티랜섬웨어툴은클라우드진단과가상환경기술을이용해알려진랜섬웨어와신 변종랜섬웨어를신속하고효율적으로진단및차단한다. 안랩안티랜섬웨어툴은이메일 ( 웹메일 ) 및인터넷브라우저를통해, 또는취약한웹사이트방문이나광고배너클릭을통해새로운파일이사용자의 PC에다운로드되어실행될때의심스러운파일을검사한다. 이때효율적인랜섬웨어진단을위해먼저 ASD 클라우드로랜섬웨어여부를진단한다. ASD 클라우드진단에서도확인되지않은파일은 PC에설정된별도의가상환경에격리하여검사한다. 해당파일이랜섬웨어이더라도검사하는동안 PC의다른영역에영향을미치지않는다. 가상환경에서는해당파일을실행하여행위기반모니터링기술로신 변종랜섬웨어까지탐지한다. 안랩안티랜섬웨어툴이사용하는가상환경은사용자 PC의다른영역과는완전히격리된별도의공간이기때문에이가상환경에서실행되는랜섬웨어는 PC의데이터를손상시키지않는다. 안랩안티랜섬웨어툴은 [ 표 1] 과같이실행파일 (.exe/.dll) 을비롯해 zip, js, ps1, vbs, vbe 등최근랜섬웨어들이자주이용하는다양한형식으로위장한의심스러운파일을검사한다. 10

검사대상실행파일 (exe, dll) zip 파일 /zip 파일내부에존재하는실행파일이나스크립트파일 (.js,.ps1,.vbs,.vbe) 상세내용인터넷브라우저 / 웹메일을통해다운로드된실행파일사용자가인터넷브라우저 / 웹메일에서다운로드한 zip 파일및 zip 파일내부에존재하는실행파일이나스크립트파일 [ 표 1] 안랩안티랜섬웨어툴의검사대상 Q3.

따라서가상환경외의사용자환경에존재하는파일들은랜섬웨어에영향을받지않는다. 랜섬웨어가생성하는레지스트리런 (Run) 키설정이나시작프로그램폴더에생성하는파일들도가상환경에만생성되기때문에 PC가재부팅되더라도랜섬웨어의피해를입지않는다. 일반적인가상화기술은시스템리소스를많이사용하지만, 안랩안티랜섬웨어툴은독자적인가상화기술을적용해시스템리소스사용을최소화했다.

11 검사대상실행파일 (exe, dll) zip 파일 /zip 파일내부에존재하는실행파일이나스크립트파일 (.js,.ps1,.vbs,.vbe) 상세내용인터넷브라우저 / 웹메일을통해다운로드된실행파일사용자가인터넷브라우저 / 웹메일에서다운로드한 zip 파일및 zip 파일내부에존재하는실행파일이나스크립트파일 [ 표 1] 안랩안티랜섬웨어툴의검사대상 Q3. 왜가상환경에랜섬웨어를격리해야하나? 바로진단할수는없나? 안랩안티랜섬웨어툴이가상환경을통한격리기능을적용한이유는랜섬웨어라는악성코드의특성때문이다. 랜섬웨어가실행되면 PC 내의파일들이암호화되면서피해가발생한다. 안랩안티랜섬웨어툴은사용자 PC로유입된새로운파일이실행되는시점부터격리된가상환경으로전환해파일을실행한다. 따라서가상환경외의사용자환경에존재하는파일들은랜섬웨어에영향을받지않는다. 랜섬웨어가생성하는레지스트리런 (Run) 키설정이나시작프로그램폴더에생성하는파일들도가상환경에만생성되기때문에 PC가재부팅되더라도랜섬웨어의피해를입지않는다. 일반적인가상화기술은시스템리소스를많이사용하지만, 안랩안티랜섬웨어툴은독자적인가상화기술을적용해시스템리소스사용을최소화했다. 또한웹브라우저를통해 PC로새로유입되는파일또는프로세스만을검사함으로써시스템리소스사용을최소화한다. Q4. 안랩안티랜섬웨어툴설치이후 PC 상에나타나는것이없는데? 안랩안티랜섬웨어툴설치시아래 [ 그림 2] 와같은화면이나타난다. 그러나설치후사용자가일반적인작업이나웹서핑등을할때는오른쪽하단에트레이아이콘 ([ 그림 2] 의 2) 으로존재한다. 사용자의불편을최소화하기위한조치이다. [ 그림 2] 안랩안티랜섬웨어툴설치화면 이후인터넷또는이메일 ( 웹메일 ) 등을통해다운로드되는파일들을모니터링하고있다가사용자가파일을열거나실행하는순간가상환경으로격리하여검사를수행한다. 이때 [ 그림 3] 의왼쪽과같이파일을검사중이라는알림창이나타난다. 해당파일이랜섬웨어로진단되면 [ 그림 3] 의오른쪽의이미지와같은알림창이나타난다. [ 그림 3] 안랩안티랜섬웨어툴알림창 11

12 Q5. MBR을파괴하는랜섬웨어도대응할수있나? 안랩안티랜섬웨어툴은의심스러운파일이 PC에설치되면해당파일을별도의가상환경에격리하기때문에 PC에위협이되는행위, 즉 MBR 파괴나시스템재부팅, 시스템강제종료등을차단한다. 특히 2016년 7월출시일기준, 무료로제공되는안티랜섬웨어프로그램중 MBR 보호기능을제공하는프로그램은안랩안티랜섬웨어툴이유일하다. * MBR(Master Boot Record): PC 하드디스크의첫번째영역으로, 운영체제 (OS) 를동작하는데필요한정보들이저장되어있다. MBR 영역이파괴되면 PC를이용할수없게되는등치명적인피해가발생한다. Q6. 안랩안티랜섬웨어툴은어떻게이용할수있나? 안랩안티랜섬웨어툴 (Beta) 은안랩홈페이지랜섬웨어보안센터에서무료로다운로드할수있다 ( 안랩안티랜섬웨어툴 설치하기 ). 설치시주의할점은, 설치후메인화면에서기능이 On 상태인지반드시확인해야한다는것이다 ([ 그림 2] 의 1). Off 로되어있을경우작동하지않기때문이다. Q7. 안랩안티랜섬웨어툴을설치하면 V3 없이도랜섬웨어대응이가능한가? 안랩안티랜섬웨어툴은랜섬웨어대응전용프로그램으로, 랜섬웨어로의심되는파일만검사및진단한다. 따라서랜섬웨어이외의스파이웨어, PUP(Potentially Unwanted Program), 트로이목마등수많은악성코드에대해서는탐지및대응이불가능하다. 또한 V3는알려진랜섬웨어에대해탐지하는즉시치료도가능하다. 따라서 V3와함께안랩안티랜섬웨어툴을사용하면급격히증가하고있는신 변종랜섬웨어에대한보다적극적이며효율적인멀티레이어드대응 (Multi-Layered Detect and Response) 이가능하다. 현재베타버전으로제공되는안랩안티랜섬웨어툴은개인, 기업구분없이누구나이용할수있다. 안랩은앞으로도안티랜섬웨어툴의성능을강화하고안정화를위해지속적으로업데이트할예정이다. 아울러 V3 및안랩 MDS 등자사제품의랜섬웨어대응력을지속적으로강화하고있다. 12

THREAT ANALYSIS Locky Ransomware 록키랜섬웨어상세분석 진화하는록키랜섬웨어 록키 (Locky) 랜섬웨어는 2016년 2월처음발견된이후심각한피해를입히며이슈가됐다. 발견당시암호화된파일의확장자뒤에 locky를붙이는것으로알려졌지만, 최근확장자를 zepto로변경하는록키랜섬웨어가발견됐다.

네커스봇넷이 2016년 6월 1일이후활동을중단하면서드라이덱스와록키랜섬웨어도잠시주춤했으나, 6월마지막주부터네커스봇넷이활동을재개하면서록키랜섬웨어의유포도다시활발해지고있는상황이다. 이실행파일이바로록키랜섬웨어다. 파일이실행되면서사용자도모르는사이에암호화를진행한다.

이는사용자가의심하지않고무심코첨부파일을열어볼확률이높다는점을노린것으로, 사용자의각별한주의가필요하다. [ 그림 2] 록키랜섬웨어감염바탕화면 암호화가완료되면 [ 그림 3] 에서보듯확장자에 locky를추가하는것이아니라, zepto를추가한것을확인할수있다.

13 THREAT ANALYSIS Locky Ransomware 록키랜섬웨어상세분석 진화하는록키랜섬웨어 록키 (Locky) 랜섬웨어는 2016년 2월처음발견된이후심각한피해를입히며이슈가됐다. 발견당시암호화된파일의확장자뒤에 locky를붙이는것으로알려졌지만, 최근확장자를 zepto로변경하는록키랜섬웨어가발견됐다. 뿐만아니라문서파일로유포하던것에서나아가스크립트파일로유포하기시작했다. 이글에서는지속적으로진화하며사용자들을위협하는록키랜섬웨어에대해살펴본다. 록키랜섬웨어는드라이덱스 (Dridex) 로알려진해외금융관련악성코드를배포했던그룹의네커스봇넷 (Necurs Botnet) 을통해배포되는것으로알려져있다. 네커스봇넷이 2016년 6월 1일이후활동을중단하면서드라이덱스와록키랜섬웨어도잠시주춤했으나, 6월마지막주부터네커스봇넷이활동을재개하면서록키랜섬웨어의유포도다시활발해지고있는상황이다. 이실행파일이바로록키랜섬웨어다. 파일이실행되면서사용자도모르는사이에암호화를진행한다. 암호화가완료되면감염사실을알리기위해 [ 그림 2] 와같이갑자기바탕화면이바뀌고, 바탕화면에생성된 html 파일과 png 파일이실행되면서결제를요구한다. 이번에발견한 zepto 변경사례도기존처럼 docm 파일을첨부해유포하고있다. 특히 [ 그림 1] 과같이메일의송신자 ( 보낸사람 ) 정보를조작해수신자 ( 받는사람 ) 주소와동일하게표시한것을확인할수있다. 이는사용자가의심하지않고무심코첨부파일을열어볼확률이높다는점을노린것으로, 사용자의각별한주의가필요하다. [ 그림 2] 록키랜섬웨어감염바탕화면 암호화가완료되면 [ 그림 3] 에서보듯확장자에 locky를추가하는것이아니라, zepto를추가한것을확인할수있다. 특히파일명도변경되는것을확인할수있는데, 앞에 - 를제외한 16진수 16글자가감염된시스템마다부여되는 ID 값이다. 또 _ 숫자 _HELP_instructions. html 과같은형태로안내파일을생성하며, 파일명의숫자는폴더별로생성되면서값이증가한다. [ 그림 1] 록키랜섬웨어를다운로드하는스팸메일 첨부된 docm 파일내부에는록키랜섬웨어를다운로드해감염시키는매크로스크립트가포함되어있다. 해당파일을실행하면사용자가모르게다음경로에실행파일이다운로드된다음실행된다. C:\Documents and Settings\User\Local Settings\Temp\filarmon.exe [ 표 1] 실행파일의생성경로및정보 [ 그림 3] 랜섬웨어감염전 ( 위 ) 과후 ( 아래 ) 13

이록키랜섬웨어는특정외부서버와통신하는데, 주로감염된시스템의정보를전송해제작자가추후에식별할수있도록하거나, 이미감염된시스템을암호화대상에서제외하기위한목적으로보인다. V3 제품에서는해당랜섬웨어를다음과같은진단명으로탐지하고있다. <V3 제품군의진단명 > Trojan/Win32.Locky (2016.07.

exe [ 표 2] 실행파일의생성경로및정보 이후감염된시스템의드라이브정보를검색하여파일암호화를진행한다. 다양한스크립트파일형태로유포확장자를 zepto로변경하는록키랜섬웨어는문서형태가아닌스크립트파일형태로도유포되고있다.

이전에는유포지에서다운로드한파일이윈도우실행파일 (PE 파일구조 ) 인것을바로확인할수있었다. 이실행파일이바로랜섬웨어로, 다운로드된후바로실행되어암호화를진행했다. 그러나최근에는 [ 그림 4] 와같이윈도우실행파일이아닌인코딩 (Encoding) 된파일이다운로드되어어떤파일인지바로확인할수없다.

[ 그림 4] 인코딩된다운로드파일정보 하지만스팸메일을통해유포된이난독화파일을복호화하면이전과다른점을발견하게된다. [ 그림 5] 와같이유포지로부터파일을다운로드한다음추가로디코딩하여실행파일을재생성하여실행한다는점이다. 백신제품으로록키랜섬웨어를진단하고치료할수는있다.

14 이록키랜섬웨어는특정외부서버와통신하는데, 주로감염된시스템의정보를전송해제작자가추후에식별할수있도록하거나, 이미감염된시스템을암호화대상에서제외하기위한목적으로보인다. V3 제품에서는해당랜섬웨어를다음과같은진단명으로탐지하고있다. <V3 제품군의진단명 > Trojan/Win32.Locky ( ) W97M/Downloader ( ) 이때생성된실행파일이랜섬웨어로, 문서형태로유포되는록키랜섬웨어와동작이유사하다. %Temp% 경로에생성되어실행된후 C&C 서버와통신한다. %Temp%ZpWB2gsZ9prv7SMD.exe [ 표 2] 실행파일의생성경로및정보 이후감염된시스템의드라이브정보를검색하여파일암호화를진행한다. 다양한스크립트파일형태로유포확장자를 zepto로변경하는록키랜섬웨어는문서형태가아닌스크립트파일형태로도유포되고있다. 스팸메일의첨부파일을통해유포되는스크립트파일형태는자바스크립트 (JavaScript, 이하 JS) 및윈도우스크립트파일 (Windows Script File, 이하 WSF) 이다. [ 그림 6] 감염후암호화된파일들 유포된 JS 및 WSF는공격자의유포지로부터랜섬웨어를다운로드하여실행한다. 이전에는유포지에서다운로드한파일이윈도우실행파일 (PE 파일구조 ) 인것을바로확인할수있었다. 이실행파일이바로랜섬웨어로, 다운로드된후바로실행되어암호화를진행했다. 그러나최근에는 [ 그림 4] 와같이윈도우실행파일이아닌인코딩 (Encoding) 된파일이다운로드되어어떤파일인지바로확인할수없다. [ 그림 7] 감염안내메시지 록키랜섬웨어초기에는실행파일로유포됐으나, 최근에는실행파일을다운로드하는스크립트로유포하는경우가많다. 스크립트는작성이나변경이용이하여다수의파일을짧은시간안에생성할수있기때문에수많은랜섬웨어다운로더스크립트들이발견되고있다. [ 그림 4] 인코딩된다운로드파일정보 하지만스팸메일을통해유포된이난독화파일을복호화하면이전과다른점을발견하게된다. [ 그림 5] 와같이유포지로부터파일을다운로드한다음추가로디코딩하여실행파일을재생성하여실행한다는점이다. 백신제품으로록키랜섬웨어를진단하고치료할수는있다. 하지만별도의복구툴이없기때문에암호화된파일을복구할수있는방법이없다. 이러한경우백업된파일을복원하는방법이최선이다. 따라서백업을생활화해야하며, 랜섬웨어감염을예방하기위해사용중인백신을최신엔진으로업데이트하고의심스러운메일의첨부파일은실행하지않는것이가장중요하다. V3 제품에서는해당랜섬웨어를다음과같은진단명으로탐지하고있다. <V3 제품군의진단명 > JS/Obfus.S82( ) BinImage/Lockyenc ( ) Trojan/Win32.Locky ( ) [ 그림 5] 복호화한 JS 파일내용의일부 14

IT & LIFE 스마트폰에도다이어트가필요해! 저장공간이부족합니다 스마트폰으로동영상을찍으려고하는데, 이런! 또저장공간이부족하다. 임시방편으로사진을지우고앱도정리해보지만저장공간이없어카메라가작동하지않는일이또다시발생한다. 이처럼만성적인 스마트폰저장공간부족 현상을겪는사람이라면사진몇장, 앱한두개를지워서해결할수있는문제가아니다.

15 IT & LIFE 스마트폰에도다이어트가필요해! 저장공간이부족합니다 스마트폰으로동영상을찍으려고하는데, 이런! 또저장공간이부족하다. 임시방편으로사진을지우고앱도정리해보지만저장공간이없어카메라가작동하지않는일이또다시발생한다. 이처럼만성적인 스마트폰저장공간부족 현상을겪는사람이라면사진몇장, 앱한두개를지워서해결할수있는문제가아니다. 스마트폰여기저기에쌓여있는불필요한앱과파일을지우고사진과동영상을정리하는대대적인다이어트가필요하다. 한결가벼워진스마트폰은당분간저장공간부족으로인한스트레스로부터해방시켜줄것이다. 안드로이드스마트폰이용자라면먼저내스마트폰의저장공간부터확인해보자. 앱스 설정 저장공간 을차례로클릭하면사용중인저장공간과사용가능한저장공간을확인할수있다. 저장공간이충분하지않다면지금바로아래에서소개하는방법을실행해보자. 1. 카카오톡미디어파일삭제지인들과카카오톡을통해주고받은사진과동영상이스마트폰용량을차지하는데큰몫을한다는사실을알고있는가? 카카오톡을삭제하고다시설치하는방법도있지만지우고싶지않은메시지도있어서선뜻망설여진다. 이런경우 미디어파일삭제기능 을이용하면간단하게스마트폰의용량을늘릴수있다. 대화창을선별해파일삭제가가능하다는점또한유용하다. 방법은간단하다. 카카오톡대화창상단에서 더보기 메뉴를클릭한뒤, 톡게시판의톱니바퀴모양의 설정 을누르면채팅방정보가나온다. 여기서맨아래의 미디어파일모두삭제 를누르고 확인 을클릭하면저장된사진, 동영상, 음성메시지등의파일이삭제된다. 한채팅창의미디어파일만삭제했을뿐인데 2.61GB가확보됐다. 사진과동영상을자주주고받는사람이라면더욱유용한기능이니꼭활용해보자. [ 그림 1] 카카오톡대화창내미디어파일삭제방법 15

2. 사진및동영상정리하기사진과동영상파일은스마트폰저장공간의상당부분을차지한다. 대부분의사람들이찍은사진과동영상을쌓아두고보기만할뿐정리하려고하지않는점이문제! 하지만사진과동영상관리만제대로해도스마트폰저장공간부족을걱정할필요가없어진다. 이를관리하는효율적인방법중하나는클라우드서비스를활용하는것이다. 사진등파일정리에유용한클라우드서비스에는구글포토, 네이버클라우드, 드롭박스등이있다.

[ 그림 2] 구글포토에사진백업하는방법 구글포토사용법을살펴보자. 구글포토앱을실행한뒤좌측상단의 더보기 설정 백업및동기화설정 을클릭한다. 업로드크기 를무제한으로이용하려면원본모드가아닌고화질모드를선택해야한다. 모바일데이터백업은와이파이가아닌상태에서백업을할지여부를선택하는메뉴로무제한요금제를사용하는게아니라면비활성화로해두면된다.

16 2. 사진및동영상정리하기사진과동영상파일은스마트폰저장공간의상당부분을차지한다. 대부분의사람들이찍은사진과동영상을쌓아두고보기만할뿐정리하려고하지않는점이문제! 하지만사진과동영상관리만제대로해도스마트폰저장공간부족을걱정할필요가없어진다. 이를관리하는효율적인방법중하나는클라우드서비스를활용하는것이다. 사진등파일정리에유용한클라우드서비스에는구글포토, 네이버클라우드, 드롭박스등이있다. 특히구글포토의경우사진백업을무제한으로지원하고있으니참고하자 ( 물론원본파일이아니라, 사진의경우 75MB, 동영상의경우 10GB라는제약이있다 ). 약간의설정과백업을위한추가적인시간이들어가는건사실이지만외장메모리를사는비용발생없이도파일을관리할수있다는건큰장점이다. 사진은클라우드에옮기고폰안에있는사진은과감하게삭제하길권한다. [ 그림 2] 구글포토에사진백업하는방법 구글포토사용법을살펴보자. 구글포토앱을실행한뒤좌측상단의 더보기 설정 백업및동기화설정 을클릭한다. 업로드크기 를무제한으로이용하려면원본모드가아닌고화질모드를선택해야한다. 모바일데이터백업은와이파이가아닌상태에서백업을할지여부를선택하는메뉴로무제한요금제를사용하는게아니라면비활성화로해두면된다. 배터리에대한압박이있다면충전중에만백업하는옵션을선택하는것이좋다. 기기저장용량확보 메뉴는구글포토에업로드되어백업된스마트폰기기내사진을지우는메뉴로, 세팅이완료된뒤에실행하면된다. 컴퓨터뿐아니라스마트폰의주기적인파일의백업은보안상의이유나휴대폰분실등을대비해서도매우유용하다는점을잊지말자. 3. 불필요한앱지우기호기심에다운받았지만지금은사용하지않는앱이앱서랍어딘가에남아있다. 이벤트에참여하려고다운받았던앱도저장공간만차지한채그대로다. 이런앱을정리하면스마트폰이한결가벼워진다. 스마트폰바탕화면에서 앱스 설정 애플리케이션 애플리케이션관리자 를클릭한뒤삭제하고자하는앱을선택한뒤, 캐시삭제 데이터삭제 삭제 를차례로누르면앱삭제가완료된다. 안랩시큐리티레터에서소개한 < 불필요한앱을삭제하는 완벽한 방법 > 을참고하면앱을삭제하는자세한방법을확인할수있다. [ 그림 3] 불필요한앱삭제방법 ( 안드로이드 ) 16

17 STATISTICS 보안통계와이슈 안랩, 6 월악성코드통계및보안이슈발표 크로스플랫폼 (Cross-Platform) 애드웨어주의 안랩시큐리티대응센터 ( 이하 ASEC) 는최근 ASEC Report Vol.78 을통해지난 2016 년 6 월의보안통계및이슈를전했다. 지난 6 월 의주요보안이슈를살펴본다. ASEC이집계한바에따르면, 2016년 6월한달간탐지된악성코드수는 1,046만 7,643건으로나타났다. 이는전월 1,212만 9,597건에비해 166만 1,954건감소한수치다. 한편 6월에수집된악성코드샘플수는 302만 2,206건이다. 40,000,000 30,000, % 1.1% 6.96% 24.49% 41.52% 25.62% 20,000,000 10,000,000 11,564,967 12,129,597 10,467,643 PUP etc Trojan Worm Adware Downloader [ 그림 2] 2016 년 6 월주요악성코드유형 6,000,000 5,000,000 4,000,000 3,000,000 2,000,000 지난 6월한달간탐지된모바일악성코드는 32만 1,654건으로집계됐다. 700, ,000 1,000,000 3,245,837 4 월 2,957,212 5 월 3,022,206 6 월 500, , ,654 [ 그림 1] 악성코드추이 (2016 년 4 월 ~2016 년 6 월 ) 탐지건수 샘플수집수 300, , , ,702 [ 그림 2] 는 2016년 6월한달간유포된악성코드를주요유형별로집계한결과이다. 불필요한프로그램인 PUP(Potentially Unwanted Program) 가 41.52% 로가장높은비중을차지했고, 트로이목마 (Trojan) 계열의악성코드가 24.49%, 웜 (Worm) 이 6.96% 의비율로그뒤를이었다. 100, 월 5월 [ 그림 3] 모바일악성코드추이 (2016년 4월 ~ 2016년 6월 ) 6 월 17

또한지난 6월악성코드유포지로악용된도메인은 340개, URL은 1,682개로집계됐다. 6월의악성도메인및 URL 차단건수는총 503 만 1,326건이다. 9,000,000 이번에발견된맥 (Mac) OS X용피릿애드웨어도다양한유틸리티프로그램에포함되어유포된것으로추정된다.

8,000,000 7,000,000 6,000,000 6,373,536 6,109,635 5,000,000 5,031,326 4,000,000 40,000 [ 그림 6] 피릿애드웨어문자열에포함된윈도우레지스트리키값 30,000 한편이악성코드는기존윈도우용피릿애드웨어와마찬가지로시스 20,000 템의프록시설정변경을시도한다.

0 4월 5월 6월 악성도메인 /URL 차단건수 악성코드유포도메인수 악성코드유포 URL 수 [ 그림 4] 악성코드유포도메인 /URL 탐지및차단건수 (2016년 4월 ~ 2016년 6월 ) 맥 (Mac) 운영체제도노리는크로스플랫폼애드웨어최근 ARM 아키텍처기반프로세서를비롯해 ios, 안드로이드 (Android) 등다양한운영체제를사용하는추세에따라운영체제,

18 또한지난 6월악성코드유포지로악용된도메인은 340개, URL은 1,682개로집계됐다. 6월의악성도메인및 URL 차단건수는총 503 만 1,326건이다. 9,000,000 이번에발견된맥 (Mac) OS X용피릿애드웨어도다양한유틸리티프로그램에포함되어유포된것으로추정된다. 이애드웨어에포함된문자열을확인한결과, 맥 OS X에서실행되는애드웨어임에도불구하고 [ 그림 6] 과같이윈도우레지스트리키 (Windows Registry Key) 값을포함하고있다. 8,000,000 7,000,000 6,000,000 6,373,536 6,109,635 5,000,000 5,031,326 4,000,000 40,000 [ 그림 6] 피릿애드웨어문자열에포함된윈도우레지스트리키값 30,000 한편이악성코드는기존윈도우용피릿애드웨어와마찬가지로시스 20,000 템의프록시설정변경을시도한다. 그러나시스템내의 http 트래픽 10, , , ,682 을라우팅하기위해 http 프록시 (proxy) 서버를 9882 포트로실행하는등기존피릿애드웨어와차이를보인다. 0 4월 5월 6월 악성도메인 /URL 차단건수 악성코드유포도메인수 악성코드유포 URL 수 [ 그림 4] 악성코드유포도메인 /URL 탐지및차단건수 (2016년 4월 ~ 2016년 6월 ) 맥 (Mac) 운영체제도노리는크로스플랫폼애드웨어최근 ARM 아키텍처기반프로세서를비롯해 ios, 안드로이드 (Android) 등다양한운영체제를사용하는추세에따라운영체제, 즉플랫폼에관계없이동작하는크로스플랫폼 (Cross-Platform) 소프트웨어가다수개발되고있다. 최근에는애드웨어 (Adware) 까지크로스플랫폼형태로등장했다. 크로스플랫폼프레임워크를이용해제작된피릿 (Pirrit) 애드웨어가해외보안업체를통해알려졌다. 기존의피릿애드웨어는윈도우 (Windows) 운영체제에서동작하며, 2014년처음발견된후지속적으로나타나고있다. 다양한프로그램에포함되어함께설치되며, 웹브라우저의프록시설정을변경하고사용자가웹서핑을할때 [ 그림 5] 와같이광고팝업창을보여준다. 최근다양한디바이스와운영체제를이용하는사용자들이늘어나면서보안의범위또한넓어지고있다. 여전히맥 (Mac) OS가윈도우 (Windows) OS에비해안전하다는인식이남아있다. 그러나최근발견되는맥악성코드를살펴보면윈도우악성코드에비해유포수만적을뿐, 기능과방식모두유사하다. 또한오픈소스와크로스플랫폼개발프레임워크가발전함에따라윈도우외의다른플랫폼을노리는악성코드수가점점증가하고있는추세다. 따라서윈도우 OS 외에맥등다른 OS를사용하는경우에도프로그램설치시, 또는스팸메일에포함된첨부파일실행시악성코드감염에대한주의가필요하다. V3 제품에서는해당악성코드를다음과같은진단명으로탐지하고있다. <V3 제품군의진단명 > OSX64-ADWARE/DLNOW ( ) OSX64-ADWARE/PIRRIT ( ) [ 그림 5] 윈도우기반의피릿 (Pirrit) 애드웨어 (* 출처 : Microsoft.com) 18

19 AHNLAB NEWS 차세대방화벽 트러스가드 (TrusGuard) GS 인증획득 차세대방화벽 안랩트러스가드 (TrusGuard) 가한국정보통신기술협회 (TTA) 의 GS(Good Software) 인증을획득했다. 안랩트러스가드 는고성능하드웨어와이에최적화된전용소프트웨어를탑재한제품으로, ISO 국제표준을기준으로정부가부여하는 GS 인증을통해해당소프트웨어의기능성과우수성을인정받았다. 국내외시장요구사항이반영된고객중심제품인 안랩트러스가드 는 고도화된애플리케이션컨트롤 (Application Control) 사용자 ID 기반정책설정 관리 정교한 IPS 데이터유출방지 (Data Loss Prevention, DLP) 암호화된트래픽가시성확보 (SSL Inspection) 등차세대방화벽기능고도화에중점을뒀다. 또한 시큐리티인텔리전스 (Security Intelligence) 를기반으로잠재적인보안위협이될수있는 악성코드유포 URL에대한접속 이나 APT 공격에악용되는 C&C 서버와의통신, 알려지지않은실행파일의내부유입 등을탐지및차단한다. 특히지능형위협대응솔루션 안랩 MDS(Malware Defense System) 와연동시, 내부로유입되는파일중알려지지않은파일과악성의심 URL에대한동적분석이가능해보다체계적인위협대응이가능하다. 고광수안랩네트워크사업부상무는 공신력있는기관으로부터 GS 인증을획득함으로써트러스가드의성능및품질의우수성을다시한번확인받았다 며 앞으로도기술력을기반으로고객에게더높은보안의가치를제공할것 이라고밝혔다. 안랩트러스가드 안랩, 2016 년상반기연결기준매출 610 억 영업이익 38 억 안랩은올해상반기까지연결기준매출액 610억원, 영업이익 38억원을기록 ( 별도기준매출액 : 597억원, 영업이익 : 35억원 ) 했다고잠정실적을공시했다. 이는전년상반기대비매출액은 38억원, 영업이익은 18억원증가한것이다 ( 별도기준매출액 36억원, 영업이익 13억원각각증가 ). 2016년 2분기의연결기준매출액은 335억원, 영업이익은 25억원 ( 별도기준매출액 : 328억원, 영업이익 : 23억원 ) 을기록했다. 2분기기준으로전년동기대비매출액 23억원, 영업이익 6억원이각각증가했다 ( 별도기준매출액 : 24억원, 영업이익 : 5억원각각증가 ). 이와관련해안랩은 제품및서비스의전반적인매출성장으로상반기매출액과영업이익모두전년대비성장세를기록했다. IT수요가증가하는하반기에도성장세를이어가기위해노력할것 이라고말했다. 2016/2015 년상반기실적비교 (* 연결기준, 단위 : 백만원 ) 구분 2016년상반기 2015년상반기 매출액 60,964 57,172 영업이익 3,777 2, /2015 년 2 분기실적비교 (* 연결기준, 단위 : 백만원 ) 구분 2016년 2분기 2015년 2분기 매출액 33,472 31,140 영업이익 2,456 1,837 19

20 발행인 : 권치중발행처 : 주식회사안랩경기도성남시분당구판교역로 220 T F 편집인 : 안랩콘텐츠기획팀디자인 : 안랩디자인팀 2016 AhnLab, Inc. All rights reserved. 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다.

ASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작

Security Trend ASEC REPORT VOL.80 August, 2016 ASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,