I. 주요현황 FOCUS 1. PC 악성코드동향 한국인터넷진흥원인터넷침해사고대응통계월보 ( 13.1 월호 ) 에따르면당월한달간신고접수된악성코드감염피해신고건수는총 2,557 건으로전월 2,462 건대비 3.9% 증가한것으로집계되었다. 지난해연간피해신고된주요악성코드로는,

Size: px

Start display at page:

Download "I. 주요현황 FOCUS 1. PC 악성코드동향 한국인터넷진흥원인터넷침해사고대응통계월보 ( 13.1 월호 ) 에따르면당월한달간신고접수된악성코드감염피해신고건수는총 2,557 건으로전월 2,462 건대비 3.9% 증가한것으로집계되었다. 지난해연간피해신고된주요악성코드로는,"

지윤 방
5 years ago
Views:

1 FOCUS 1 금융소비자를위협하는악성코드위협사례분석 심재홍 인터넷이용자를겨냥한악성코드의위협은 IT 서비스와더불어진화해가고있다. 특히, 지난해중순을지나는시점부터악성코드를통한개인의금융정보유출시도사례가다수발생하고있어인터넷침해사고의주요동향으로주목을받고있다. 해커들은짧은시간내최상의성과를얻기위해시스템및사람의취약한부분을활용하여공격을감행하기위해많은노력을들이고있다. 본고에서는개인금융정보를유출하기위해악성코드가활용한기법을주요사례위주로설명하고이를기반으로가능한대응방법을제안하고자한다. Ⅰ. 주요현황 1. PC 악성코드동향 2. 스마트폰악성앱동향 3. 피싱및파밍현황 4. 피해사례 Ⅱ. 금융정보탈취악성코드사례 1. 스마트폰뱅킹이용자를겨냥한공인인증서유출악성앱 2. 국내인터넷뱅킹서비스에대한대대적인악성코드공격 3. 호스트파일변조를이용한금융파밍공격악성코드 4. 분산서비스거부공격과결합된이용한금융파밍공격 5. 시스템파괴기능과결합된이용한금융파밍공격 6. 금융권 SQL 데이터베이스를손상시키는해외악성코드사례 Ⅲ. 향후전망및대응방안 년금융정보해킹공격전망 2. 금융피해악성코드예방과결론 한국인터넷진흥원코드분석팀책임연구원 (jhsim@kisa.or.kr) 6 Internet & Security Focus 월호

2 I. 주요현황 FOCUS 1. PC 악성코드동향 한국인터넷진흥원인터넷침해사고대응통계월보 ( 13.1 월호 ) 에따르면당월한달간신고접수된악성코드감염피해신고건수는총 2,557 건으로전월 2,462 건대비 3.9% 증가한것으로집계되었다. 지난해연간피해신고된주요악성코드로는, 특정게임사이트에접속하면키보드입력값을유출해게임계정을탈취하는 Online Game Hack 이가장많았고, DDoS 공격등에이용되는 Agent 유형이그뒤를이었다. 이러한추세는올해 1월까지도지속되었던것으로분석되었다. 그밖에추가적인악성코드를다운로드받는다운로더유형, 공격자가원격에서제어하고백도어역할이가능한봇유형등이상위에올랐으며, 백신프로그램의실행이나업데이트를방해하는 AVKiller 유형과트로이목마형태의 Urelas 악성코드도다수신고되었다. [ 그림 1] 악성코드신고건수추이 출처 : KISA 인터넷침해사고대응통계 1 월호 또한, KISA 코드분석팀에서지난해부터현재까지수집된 PC 악성코드들을행위별로분류한결과게임계정유출의경우가전체 31% 로다수를차지하는등일관된결과가조사되었다. 또한, 同기간의데이터를분석한결과웹사이트를통해이용자에게전파된경우가전체의 30% 로대부분을차지하고있어웹사이트가여전히인터넷이용자에게위협요인이되고있으며지속적인예방적차원의관리가필요하다. Internet & Security Focus 월호 7

3 주요악성유형 분포 게임계정탈취 289 건 (31%) 다운로더 222 건 (24%) DDos 124 건 (13%) 원격제어 121 건 (13%) 피싱 파밍 57 건 (6%) [ 그림 2] 악성코드주요행위별분류 주요전파경로 분포 웹사이트 286 건 (30%) IE 취약점 25 건 (3%) PDF 파일 7건 (1%) 한글파일 16 건 (2%) MS 문서 10 건 (1%) Adobe 취약점 8건 (1%) [ 그림 3] 악성코드주요전파경로별분류 주 : 위표에언급된수치는 3,693 개악성코드에대한자체분석결과로타기관및업체의내용과다를수있음 출처 : KISA 수집 PC 악성코드분석동향 ( 12.1 ~ 13.3) 기업및조직에서는대체적으로위협이되는웹사이트접속을차단하는등의보안통제를적용하고있으나내부인이자의로열람하는악성문서및알려지지않은위험한웹사이트에대해서는통제를가할방법이없다. 따라서, 위전파경로에따른분류결과에서도알수있듯이기업및조직의중요한기밀을다루는곳에서는악성웹사이트와 첨부파일을통해전파되는사회공학적공격에대한대응을심화할필요가있다. 2. 스마트폰악성앱동향 과거모바일악성코드는주로 Symbian( 심비안 ) 운영체제에서주로발생했던것으로알려져 있었다. 이로인해국내이동통신서비스는모바일악성코드에비교적안전한것으로 8 Internet & Security Focus 월호

4 인식되어져왔었다. 하지만, 국내 외안드로이드폰이용이폭발적으로증가하면서모바일악성코드의공격대상에도변화가일어났다. 국내최초의모바일악성코드는지난 2010 년윈도우모바일운영체제를탑재한스마트폰에서국제전화를무단으로발신하여과금피해를유발시키는악성코드 ( WinCE/Terdial, ) 였다. 이후, 안드로이드운영체제가탑재된스마트폰과이를지원하기위한온라인앱마켓이활성화되면서스마트폰이봇물을이루기시작했다. 최근해외보안업체에서는현재까지전세계적으로모바일악성코드가약 37,000 종수준이라고보고하고있다. 국내에서는 2012 년안드로이드악성앱 (InfoStealer, ) 이최초로발생한이후꾸준히증가추세를이어오고있다. 특히, 지난해 10월에발생한국내정부부처를사칭한악성앱이구글마켓을통해유포되면서부터악성앱은본격적으로초미의관심사로대두되었다. 이들악성앱의주요특징은수신된문자메시지를탈취하여해커에게전송하도록설계되어있으며해커는이러한문자로전달되는정보를가로채어소액결제사기라는 2차공격 (Smishing) 에악용할수있다 년 1월부터올해 3월까지스마트폰악성앱에대한분석결과를종합해본결과지난해 1월 1건의악성앱이발생한데반해금년도 1월에는 55건이발생하여 55 배수준으로폭증하였다. FOCUS 악성앱발생건수 ( 당월기준 ) 시기 발행 1건 3건 8건 55건 207 건 악성앱행위유형 구분 소액결제 금융피싱 DDos 현황 223 (85%) 21 (8%) 18 (7%) [ 그림 4] 악성앱발생추이주 : 위표에언급된수치는 3,693 개악성코드에대한자체분석결과로타기관및업체의내용과다를수있음수집된악성앱분석결과소액결제인증번호를탈취하는악성앱이전체의 85% 를차지하였으며인증서등금융정보를유출시키는유형은약 8% 수준으로조사되었다. 대부분의악성앱 (255 건 ) 은문자메시지에포함된단축 URL을통해사용자가설치하도록유도하는전형적인사회공학적공격기법을차용하고있다. 또한, 이중 7건은정식구글앱마켓을통해유포된바있어앱마켓의검증체계에대한문제점으로지적되고있다. 해커는문자메시지내용을주로구글 삼성 국민연금 Internet & Security Focus 월호 9

5 등이용자가신뢰성있는기관또는아웃백, 피자헛등요식업체에서발송한무료쿠폰으로가장함으로써공격성공률을향상시키려고하는의도가엿보였다. 향후에도해커는최소한의노력으로최대한의효과를얻기위해지속적으로스팸메시지에포함된단축 URL 을이용할것으로판단된다. 이는스마트폰악성코드를전파할수있는수단이취약점보다는사회공학적공격기법을이용하는것이수월함에기인하고있다고할수있다. 이렇듯스마트폰악성앱이최근급증하게된이유는여러요인에의해분류될수있다. 첫째, PC 환경에서도사회공학적공격이성공할수있지만다년간의보안인식제고와백신의영향으로악성코드감염전탐지및제거가용이해지고있어해커들은스마트폰으로관심을돌린것으로보인다. 둘째, 현재스마트폰백신이용이활성화되어있지않아악성앱을다운로드하더라도실제피해가유발되기전에탐지하는것이어려운점도있다. 셋째, 소액결제탈취공격은건당 30만원이하수준이지만금융정보를확보하는경우상당한수준의금전적이득을일시에취득가능한것도해커에게는메리트로작용했던것으로보인다. 마지막으로정상앱을변조하여유포하는방식은여전히유효할것으로판단되는데이는개인으로부터금전적인이득을취하기위한해커로서는새로운악성앱을만드는수고보다기존앱을변조하는쉬운방법을택하는것이효과적일것이라고판단할수있다. 3. 피싱및파밍현황 피싱 (Phishing) 과파밍 (Pharming) 은근본적으로사용자를속이는행위가뒷받침되어있다. 피싱은 또는메신저등을이용하여사용자에게가짜정보를전달하고이를통해악성코드감염또는정보를유출시키는행위이지만파밍은이미악성코드에감염된후사용자 PC의호스트파일이임의로변조되고이를인지하지못한채해커가꾸며놓은곳으로강제유도되는특징이있다. 최근이로인해가짜금융사이트를정상사이트로오인해, 보안카드및비밀번호등개인의중요한정보를해커에게전달하는등의금융소비자침해사고가자주발생하고있다. 한국인터넷진흥원인터넷침해사고대응통계 1월호에따르면지난해 12월한달간국내기관을사칭한피싱사이트차단건수는전월대비 19.5% 감소한 277 건이지만, 연간추이로살펴보면 6,944 건으로전년대비 275.6% 증가했던것으로집계되었다. 더불어, 2011 년에는정부기관이나공공기관을사칭한피싱사이트가많이발견되었으나, 2012 년에는금융기관을사칭한피싱사이트가크게증가하였다. 10 Internet & Security Focus 월호

지난 2007 년에도이미은행권, 포털등기업들에서는피싱 파밍공격에대한예방대책을내놓은바있다.

금융감독원 3월 4일보도자료에따르면, 금융분야에대한피싱 파밍공격은 2011 년도부터본격적으로발생하기시작하였으며, 2012

특히, 보안승급등을이유로개인정보및금융거래정보입력을유도하는금융기관사칭피싱사이트가급증한것으로금융감독원에서는언급하고있다.

6 [ 피싱 ] 사이트 FOCUS [ 정상 ] 사이트 [ 그림 5] 피싱및파밍악성코드공격개요도파밍기법은최근발생한악성코드에서찾을수있는주요특징은아니다. 지난 2007 년에도이미은행권, 포털등기업들에서는피싱 파밍공격에대한예방대책을내놓은바있다. 또한, 당시악성코드중에는국내유명포털사의로그인화면을피싱사이트로유도시켜가입자정보를유출시키는사례도있었다. 금융감독원 3월 4일보도자료에따르면, 금융분야에대한피싱 파밍공격은 2011 년도부터본격적으로발생하기시작하였으며, 2012 년들어대폭증가한것으로언급하고있다. 특히, 보안승급등을이유로개인정보및금융거래정보입력을유도하는금융기관사칭피싱사이트가급증한것으로금융감독원에서는언급하고있다. 이는최근발생한일련의대규모개인정보유출사고로인해인터넷이용자들이정보에대한관심이커진것에기인하는것으로판단된다. < 표 1> 피싱 파밍사고발생현황및피해금액 구분 12.11~ ~ 13.2 합계 발생건수 ( 건 ) 건 피해금액 ( 억원 ) 출처 : 금융감독원보도자료 보이스피싱 ( 파밍 ) 합동경보발령! (3.4) Internet & Security Focus 월호 11

7 < 표 2> 피싱사이트차단현황 ( 단위 : 건 ) 사칭기관 05~ 합계 금융기관 ,242 4,323 공공기관 15 1,775 2,702 4,492 공공기관 22 1,849 6,944 8,815 주 : 월 ~ 13.2 월중약 323 건의피싱 파밍사고가발생했으며이로인한피해금액은 20.6 억원수준 ( 금융감독원 ) 출처 : 금융감독원보도자료 보이스피싱 ( 파밍 ) 합동경보발령! (3.4) 3. 피해사례 [ 사례 1] 서울시관악구에거주하는장모씨 ( 여, 40 대초반, 주부 ) 는 일오후 10 시경본인이사용하는컴퓨터로인터넷포털사이트 ( 다음 ) 검색을통하여 S은행에접속하였으나동은행을가장한피싱사이트로접속이되었고, 인터넷뱅킹에필요한정보를입력하는팝업창이나타나개인정보 ( 주민등록번호등 ) 및금융거래정보 ( 계좌번호, 계좌비밀번호, 보안카드번호전체등 ) 를입력하였는데, 사기범이피해자가입력한정보를이용하여 일저녁 8시경피해자명의의공인인증서를재발급받아인터넷뱅킹으로피해자의 S은행계좌에서 2,000 만원을이체하여편취출처 : 금융감독원보도자료 보이스피싱 ( 파밍 ) 합동경보발령! (3.4) [ 사례 2] 경기도군포시에거주하는이모씨 ( 여, 30대중반, 공무원 ) 는 일오후 8시경본인이사용하는컴퓨터로인터넷주소즐겨찾기를이용하여 N은행의인터넷뱅킹주소로접속하였으나동은행을가장한피싱사이트로접속이되었고, 인터넷뱅킹에필요한정보를입력하는팝업창이나타나개인정보 ( 주민등록번호등 ) 및금융거래정보 ( 계좌번호, 계좌비밀번호, 보안카드번호전체등 ) 를입력하였는데, 사기범이피해자가입력한정보를이용하여 일새벽 1시경피해자명의의공인인증서를재발급받아인터넷뱅킹으로피해자의 N은행계좌에서 5,000 만원을이체하여편취 출처 : 금융감독원보도자료 보이스피싱 ( 파밍 ) 합동경보발령! (3.4) 위사례에서알수있듯이최근피싱 파밍악성코드로인해인터넷이용자에게어떠한 피해가파급되는지실체를잘보여주고있다. 최근이러한피해사례가지속적으로증가함에 따라금융위 경찰청 금감원 3 개기관은지능화되고있는보이스피싱수법에적극대응하고 12 Internet & Security Focus 월호

8 피해확산을조기에차단및예방하기위해공동경보발령및전파 홍보제도 ( 합동경보제 ) 를 2012 년 12 월에도입하여운영중에있다. FOCUS Ⅱ. 금융정보탈취악성코드사례 1. 스마트폰뱅킹이용자를겨냥한공인인증서유출악성앱 2013 년 3월 10일, 국민연금미납금을사칭하여전파되는악성앱이 KISA 118 센터를통해접수되었다. 해당악성앱은이전에발생해온소액결제탈취악성앱들과는달리스마트폰에저장된공인인증서와사진및메모정보를통째로압축하여원격지로유출시키는악성행위를포함하고있었다. 해당악성앱은스마트폰이동식저장장치에있는공인인증서 (NPKI), 사진 (DCIM), 메모 (SMEMO) 폴더를접근하여압축시키고이를원격지로전송한다. 이는일부스마트폰이용자들중에는공인인증서와함께보안카드를이미지로저장해놓고기억하기어려운 ID/PASS 정보를메모에기록해놓는점을악용하는것으로추정된다. 또한, 감염된스마트폰에서수신및저장된문자메시지를탈취하는행위도파악되어부수적으로소액결제를노리는것으로분석되었다. 2. 국내인터넷뱅킹서비스에대한대대적인악성코드공격 지난 2011 년 8월하순에국내 18개인터넷뱅킹서비스를겨냥한악성코드가유포되었다. 해당악성코드는이용자가인터넷뱅킹서비스를이용하려고할때활성화되는공인인증서로그인화면을위조하여사용자의인증서패스워드를비롯한계좌이체에필요한계좌번호, 이체비밀번호를수집하였다. 또한, 감염 PC에 Poison Ivy 라는백도어프로그램을심어놓아수집된금융정보를유출시키는방법을취했다. 이번금융정보탈취악성코드는총 18종이발견되었다. 악성코드제작시점은동년 7월 17일로파악되었으며공격대상은행사별로악성코드명칭이부여되었다. 해당악성코드들은인터넷뱅킹이용시윈도우화면이생성되는지모니터링한후생성된윈도우의이름, 클래스명을 Internet & Security Focus 월호 13

$이렇게입력된인증서패스워드는 %WINDOW%\banklog\ 은행명.log 에저장되고이후원격제어악성코드를이용해유출해가는것으로파악되었다. 또한, 농협인터넷뱅킹사이트접속시페이지내에아래와같은스크립트삽입되어있어 Web Injection 공격이수행되었던것으로추정되었다.$ 하지만해당사이트가당해 8월초변경되어 Injection 된스크립트는동작하지않을것으로보인다. <br><script defer src='http://www.ooooo.com/cleanup/admin/webpage/security.

하지만해당사이트가당해 8월초변경되어 Injection 된스크립트는동작하지않을것으로보인다. <br><script defer src='http://www.ooooo.com/cleanup/admin/webpage/security.

9 [ 그림 6] 국민연금콜센터사칭악성앱원문메시지 압축파일을암호화채널을통해원격지로전송 [ 그림 7] 국민연금콜센터사칭악성앱주요악성행위 비교하여공인인증서화면인경우패스워드입력컨트롤위에가짜암호입력상자를표시하도록조작한다. 이런경우, 사용자가입력했던텍스트상자는 키보드보안프로그램 에의해보호되지않는다. 이렇게입력된인증서패스워드는 %WINDOW%\banklog\ 은행명.log 에저장되고이후원격제어악성코드를이용해유출해가는것으로파악되었다. 또한, 농협인터넷뱅킹사이트접속시페이지내에아래와같은스크립트삽입되어있어 Web Injection 공격이수행되었던것으로추정되었다. 하지만해당사이트가당해 8월초변경되어 Injection 된스크립트는동작하지않을것으로보인다. <br><script defer src=' 위스크립트는패스워드를입력하는컨트롤의텍스트내용을변경하고사용자로하여금 변경된컨트롤에계좌정보등을입력하도록유도했을것으로파악되었다. 결국, 사용자가 입력한금융정보는아래와같은형식으로경유지에전달되었을가능성이있다. 계좌번호 "&bankpass=" 패스워드 1"&rolerank=" 패스워드 2( 이체비밀번호 )"&secopass="******" 14 Internet & Security Focus 월호

$해당악성코드는감염된 PC의윈도우즈디렉터리에 2개의실행파일을생성시키는 Dropper 기능을가지고있으며각각파밍공격을수행하는것과호스트파일을변조시키는악성행위를나타내고있다. 또한, 호스트파일을변조할때사용할명령조종지의 IP 주소가기록되어있는설정파일도생성된다. 1 %WINDOWS%\CretClient.$ $exe 2 %WINDOWS%\HDSetup36exe 3 %WINDOWS%\config.in [ 그림 10] 악성코드에의해생성되는추가파일들 추가로생성되는악성코드의행위순서상으로재배치해보면, 우선 HDSetup36.exe 에의해감염PC 의호스트파일이변조되고, 이후 CretClient.exe 에의해수집된공인인증서관련정보가원격지로유출되게된다.$

10 [ 그림 8] 감염상태인증서암호입력 [ 그림 9] 생성된공인인증서암호로그 3. 호스트파일변조를이용한금융파밍공격악성코드 지난해중순, 공인인증서와계좌비밀번호를탈취하는악성코드가발견되었다. 해당악성코드는호스트파일을변조시킴으로써사용자가국내주요금융기관접속시정상사이트와다른도메인으로접속을유도하는악성행위를보였다. 해당악성코드는감염된 PC의윈도우즈디렉터리에 2개의실행파일을생성시키는 Dropper 기능을가지고있으며각각파밍공격을수행하는것과호스트파일을변조시키는악성행위를나타내고있다. 또한, 호스트파일을변조할때사용할명령조종지의 IP 주소가기록되어있는설정파일도생성된다. 1 %WINDOWS%\CretClient.exe 2 %WINDOWS%\HDSetup36exe 3 %WINDOWS%\config.in [ 그림 10] 악성코드에의해생성되는추가파일들 추가로생성되는악성코드의행위순서상으로재배치해보면, 우선 HDSetup36.exe 에의해감염PC 의호스트파일이변조되고, 이후 CretClient.exe 에의해수집된공인인증서관련정보가원격지로유출되게된다. 다음은각각의악성행위에대한분석결과이다. HDSetup36.exe 는감염 PC 내원본호스트파일을삭제한후명령어를이용하여호스트파일을변조시킨다. 만일, 생성된 config.ini 파일이없는경우악성코드는 Error 로명령조종지 IP 주소를대체하게된다. 이런경우, 해커가의도한파밍공격은발생하지않게된다. 또한, 악성코드가재부팅후에도자동으로실행되도록만들기위해윈도우즈의레지스트리데이터를변조한다. Internet & Security Focus 월호 15

11 [ 그림 11] 호스트파일변조전 후 CretClient.exe 는사용자의입력을가로채어공인인증서및인증서비밀번호와감염PC 의현재날짜를명령조종지로전송한다. 분석결과명령조종지의 IP주소는악성코드내에하드코딩 (HardCoding) 되어있었다. [ 그림 12] 명령조종지로전송되는공인인증서관련정보 4. 분산서비스거부공격모듈이포함된금융파밍공격 지난해 12월중순에발견된금융파밍악성코드에서는분산서비스거부공격을수행하는코드블럭이발견되었다. 실제해당악성코드로인한공격발생사례가보고되지않았으나다른공격모듈이포함되어있다는점은주목할만하다. 악성코드에서파악된분산서비스거부공격루틴은 GET Flooding 공격을수행하는것으로 [ 그림 13] 금융파밍악성코드에포함된 DDoS 공격모듈 (GET Flooding) 16 Internet & Security Focus 월호

다음그림과같다. 더불어, 국내주요은행접속을피싱사이트로유도시키기위한호스트파일변조행위도 아래와같이발견되었다. FOCUS [ 그림 14] 호스트파일변조를통한피싱공격 5. 시스템파괴기능과결합된이용한금융파밍공격 지난해 12월말, 국내유명보안업체의블로그에게시된금융파밍악성코드에서시스템손상기능이발견되어세간에주목을끌었다.

12 다음그림과같다. 더불어, 국내주요은행접속을피싱사이트로유도시키기위한호스트파일변조행위도 아래와같이발견되었다. FOCUS [ 그림 14] 호스트파일변조를통한피싱공격 5. 시스템파괴기능과결합된이용한금융파밍공격 지난해 12월말, 국내유명보안업체의블로그에게시된금융파밍악성코드에서시스템손상기능이발견되어세간에주목을끌었다. 해당악성코드는본래의목적대로사용자가금융사이트에접속시피싱사이트로접속을유도하고특정날짜이후인경우시스템폴더내에있는모든파일들을삭제하도록설계되어있었다. 먼저윈도우즈시스템디렉터리에숨김 (HIDDEN) 속성으로된 1개의하위디렉터리를생성한후 2개의실행파일을추가로만든다. 프로세스모니터링도구에서보면 winlogon.exe 와계산기프로그램이실행중인것처럼위장하고있으나실제로는악성코드가동작하고있어악성행위를은폐하려고했던시도로파악되었다. 1 C:\WINDOWS\system32\muis\tempblogs.\tempblogs..\ C:\WINDOWS\system32\muis\tempblogs.\tempblogs..\csrsses.exe 3 C:\WINDOWS\system32\muis\tempblogs.\tempblogs..\winlogones.exe [ 그림 15] 생성되는파일및악성행위은폐시도 이후, 인터넷이용자가국내일부금융사이트를접속하려고할때해커가구성해놓은피싱 사이트로접속되도록유도한다. 주목할점은기존의호스트파일을변조시키는방식이아닌 특정윈도우즈 API(SendMessage) 를이용하였다. Internet & Security Focus 월호 17

[ 그림 17] 정상으로보여지는인터넷익스플로러주소이와같이 SendMessage 함수를이용하면인터넷익스플로러에대한 Code Injection 또는호스트파일변조라는별도의과정을필요로하지않는다.

13 [ 그림 16] 인터넷익스플로러의 URL 주소를강제로변경해당파밍악성코드의공격방식은인터넷뱅킹접속시 SendMessage 함수를호출하여인터넷익스플로러의주소창의 URL 정보를피싱사이트 URL로변경시킨다. 그리고, 피싱사이트에접속되면또다시 SendMessage 함수를호출하여인터넷익스플로러의주소창에정상 URL 이보여지도록조작한다. [ 그림 17] 정상으로보여지는인터넷익스플로러주소이와같이 SendMessage 함수를이용하면인터넷익스플로러에대한 Code Injection 또는호스트파일변조라는별도의과정을필요로하지않는다. 더불어, 특정날짜이후가되면배치파일을생성하여윈도우즈시스템디렉터리내에있는모든파일을삭제하고백신프로그램이존재하면강제로종료시키도록구성되어있다. [ 그림 18] 시스템폴더삭제배치파일생성및동작날짜 18 Internet & Security Focus 월호

6. 금융권 SQL 데이터베이스를손상시키는해외악성코드사례중동지역에서발생하는악성코드는 2010 년 Stuxnet 이발생한이후, 세간의주목을받고있다. 이들이주목받는이유는특정국가의기밀정보를유출시키기위해전문화된조직에서제작한것으로추정되어지고있기때문이다.

14 6. 금융권 SQL 데이터베이스를손상시키는해외악성코드사례중동지역에서발생하는악성코드는 2010 년 Stuxnet 이발생한이후, 세간의주목을받고있다. 이들이주목받는이유는특정국가의기밀정보를유출시키기위해전문화된조직에서제작한것으로추정되어지고있기때문이다. 이번에설명할금융권악성코드는앞서설명했던금융정보유출보다는금융정보를파괴하여사회혼란을유발시킬목적으로제작되었으며이란에서발견된악성코드이다. 해당악성코드는이동식디스크와네트워크공유폴더를통해다른시스템으로전파하도록구성되어있다. 다른악성코드와같이윈도우즈시스템폴더에자기자신을복사하고재부팅후자동실행을위해 Registry 값을변조시킨다. 악성코드분석결과윈도우즈의 GetDriveTypeA API 를이용하여시스템에존재하는모든논리드라이브를검색한다. 검색된드라이브에는 CopyFileA 라는 API 를이용하여악성코드자신을복사한다. 이때복사되는악성코드파일명은 maliran.exe, amin.exe, shahd.exe 등중동지역에서사용하는이름으로변경된다. FOCUS [ 그림 19] 논리드라이브검색및악성코드복사 해당악성코드의네트워크공유폴더를이용한전파는약간복잡한방식을이용하였다. 우선 net view 라는윈도우즈명령어를이용하여감염시스템주변네트워크를검색한다. 해당검색 결과가저장될수있도록하기위해 PIPE 를생성시키고 StartupInfo 를 PIPE 와연결시켜놓았다. Internet & Security Focus 월호 19

[ 그림 20] 데이터베이스의특정정보를삭제또는업데이트이번악성코드의주요한특징중하나는 SQL 데이터베이스관련프로세스를강제로종료시키고 SQL 데이터베이스관리자계정정보를수집한다. 마지막으로데이터베이스를조작하여특정레코드를삭제또는업데이트하는악성행위를수행한다. 데이터베이스관리자계정정보는데이터베이스로그인폼을생성시켜이용자로하여금정보를입력하도록유도하는방법을취했다.

15 [ 그림 20] 데이터베이스의특정정보를삭제또는업데이트이번악성코드의주요한특징중하나는 SQL 데이터베이스관련프로세스를강제로종료시키고 SQL 데이터베이스관리자계정정보를수집한다. 마지막으로데이터베이스를조작하여특정레코드를삭제또는업데이트하는악성행위를수행한다. 데이터베이스관리자계정정보는데이터베이스로그인폼을생성시켜이용자로하여금정보를입력하도록유도하는방법을취했다. 이번악성코드가금융정보를파괴함으로써혼란을유발시킬목적으로제작되었다는점은데이터베이스의특정정보를파괴하는것에서유추할수있다. 위 [ 그림 20] 에서볼수있듯이 hesabjari 는경상수지를 pasandaz 는예금을 asnad 는금융채를의미하는중동지방의단어들이다. 즉, 경상수지, 금융채및예금과같이국가차원에서관리될만한정보들이이번악성코드의공격대상인것이다. Ⅲ. 향후전망및대응방안 년금융정보해킹공격전망 위 [ 그림 21] 은인터넷침해사고를유발시킨악성코드에대한연대기를보여주고있다. 해외보안업체시만텍의 2012 년노턴사이버범죄보고서 에따르면 연간 5억 5,600 만명, 하루에 150 만명, 초당 18명피해, 인터넷이용성인은평생 2/3 가피해, 전년 46% 피해, 전세계적으로사이버범죄금전피해는 1,100 억달러, 피해자별평균손실은 197 달러, 모바일이용자의 31% 가스팸수신 및 인터넷이용성인 10명중 1명모바일사이버범죄경험 으로전세계적으로피해가발생하고있는것으로조사되었다. 단편적인사례의나열만으로앞으로의금융정보에대한공격동향을전망하는것은다소무리가있을수있다. 하지만, 이들악성코드제작기법에좀더발전된난독화및암호화기법이적용될것으로예상된다. 20 Internet & Security Focus 월호

[ 그림 21] 주요인터넷침해사고연대기지난해 10월부터금년도 3월까지자체분석한약 400 여종의스마트폰악성앱은주로정부 공공기관, 유명브랜드, 금융기관, 모바일백신및이동통신사등으로사칭하여유포된것으로조사되었다. 또한, 1장의 PC 악성코드동향에서도알수있듯이웹사이트를통한악성코드전파가전체의 30% 를차지하여주요한유포수단이라는것도짐작할수있다.

16 [ 그림 21] 주요인터넷침해사고연대기지난해 10월부터금년도 3월까지자체분석한약 400 여종의스마트폰악성앱은주로정부 공공기관, 유명브랜드, 금융기관, 모바일백신및이동통신사등으로사칭하여유포된것으로조사되었다. 또한, 1장의 PC 악성코드동향에서도알수있듯이웹사이트를통한악성코드전파가전체의 30% 를차지하여주요한유포수단이라는것도짐작할수있다. 결국, 앞으로도금융정보유출악성코드및악성앱들은사람을매개로하는유포방식이지속될것으로예상된다. 최근까지발생한악성앱들에대한분석결과를살펴보면내부코드가매우유사하고그출현주기도유사한것을알수있었다. 다시설명하면, 지난해정부기관 ( 방송통신위원회 ) 사칭악성앱이출현하고약 1달정도는그와유사한형태의악성앱이지속적으로출현하였다. 이후, 분산서비스거부공격모듈이첨가된악성앱들이짧은기간동안발생하였으며이후원격지주소가암호화된악성앱들이발견되었다. 이는당시이슈가되었던악성코드및악성앱의기술적인부분을스크립트키드또는툴키드들이모방했다고유추할수있으며동일인물의소행이라고가정한다면이용자로부터중요한정보를탈취하기위해지속적으로자신의능력을키우고있다고할수있다. Internet & Security Focus 월호 21

17 2. 금융피해악성코드예방과결론 우리나라정부를비롯한금융당국에서도이러한금융정보를노리는해킹에대하여관심을 가지고있으며대응정책을연이어제시하고있는상황이다. [ 표 3] 스마트폰이용자 10대안전수칙 ( 한국인터넷진흥원, 2010 년 2월 ) 1 의심스러운애플리케이션다운로드하지않기 2 신뢰할수없는사이트방문하지않기 3 발신인이불명확하거나의심스러운메시지및메일삭제하기 4 비밀번호설정기능을이용하고정기적으로비밀번호변경하기 5 블루투스기능등무선인터페이스는사용시에만켜놓기 6 이상증상이지속될경우악성코드감염여부확인하기 7 다운로드한파일은바이러스유무를검사한후사용하기 8 PC에도백신프로그램을설치하고정기적으로바이러스검사하기 9 스마트폰플랫폼의구조를임의로변경하지않기 10 운영체제및백신프로그램을항상최신버전으로업데이트하기 주 : 출처 : 한국인터넷진흥원보호나라홈페이지 [ 표 4] 보이스피싱및파밍피해주의 1 개인정보를절대알려주지말것 2 보안카드번호요구에유의할것 3 금융회사의보안강화서비스에반드시가입할것 4 출처가불분명한파일다운로드나이메일클릭금지 5 금융회사는온라인을통해보안승급등을요구하지않음 6 피해발생시경찰청 (112) 또는금융회사에즉시지급정지요청 주 : 각항목별세부내용은금융감독원홈페이지보도자료게시판에서확인할수있음 출처 : 금융감독원 3 월 4 일자언론보도 ( 보이스피싱 ( 파밍 ) 합동경보발령 ) 자료 위 [ 표 3][ 표 4] 와같이 ( 舊 ) 방송통신위원회와금융감독원에서는스마트폰악성코드로인한국내모바일서비스환경의교란을우려하여이용자들에게올바른스마트폰이용에관한수칙을제시한바있다. 스마트폰또는 PC 이용자입장에서는의심스럽거나신뢰할수없는사이트를방문하지않고 P2P 등비정상적인경로를통해입수한프로그램은설치하지않는것은개인보안에있어가장 22 Internet & Security Focus 월호

18 중요하다. 또한, 정부에서는인터넷에서유통되는악성코드제작기법, 도구등의거래에대한감시활동강화와앱마켓사업자중심으로등록되는앱에대한검증체계를개선하여최소한정식마켓을통한악성앱유포는차단할수있도록해야할것이다. 특히, 인터넷으로금융서비스를자주이용하는사용자들에게는각금융회사에서피싱방지를위해제공하는개인화이미지등기술적보호수단과전자금융사기예방서비스에가입할것을권장하는바이며, 공공기관및금융기관등어느곳에서도금융거래시보안카드또는비밀번호를요구하지않는다는것을인지하고있어야한다. 이와더불어, 금융서비스를제공하는사업자는금번 3.20 사이버공격을교훈삼아비교적안전한영역으로인식되어왔던내부망시스템들에대한보안통제체제를재차점검해야할것이다. 경찰이 24시간치안을위해노력하더라도범죄를완전히소탕할수없는것과같이인터넷침해사고또한완벽한예방은불가능하다. 어떠한분야를막론하고악성코드또는악성앱은서비스이용자에게분명히해로운존재이다. 하지만, 창과방패의싸움이라고표현되는보안의속성상완벽한솔루션을제시하기는불가능하다고생각한다. 결국, 이용자에대한보안인식제고강화가모든보안솔루션을뒷받침하고있어야기대했던효과를볼수있을것이다. FOCUS 참고문헌 한국인터넷진흥원 2013 년 4월인터넷침해사고대응통계한국인터넷진흥원보호나라스마트폰이용자 10대안전수칙금융감독원 3월 4일자보도자료 보이스피싱 ( 파밍 ) 합동경보발령! 금융감독원 5월 27일자금융감독정보 2013 년 21호 McAfee Threats Report: Fourth Quarter 2012, Feb, 25, 2013 Microsoft Security Intelligence Report Volume 14 Internet & Security Focus 월호 23

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.