ASEC REPORT VOL 년 4 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안

ASEC REPORT VOL.89 2017 년 4 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며, 주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 더많은정보는안랩닷컴 (www. ahnlab.com) 에서확인하실수있습니다. 2017 년 4 분기보안동향 Table of Contents 보안이슈 SECURITY ISSUE 표적형공격? 중앙관리소프트웨어를 수비 하라 04 연간위협동향 ANNUAL REPORT 2017 년보안위협결산 2018 년보안위협전망 11 ASEC REPORT Vol.89 Security Trend 2

보안이슈 SECURITY ISSUE 표적형공격? 중앙관리소프트웨어를 수비 하라

보안이슈 표적형공격? 중앙관리 Security Issue 소프트웨어를 수비 하라 지난해전세계를두려움에떨게했던랜섬웨어만큼이나보안담당자들을긴장하게만들었던것은바로소프트웨어의취약점을이용한보안위협이었다. 특히기업이나기관에서내부시스템에공통의정책을적용하거나특정파일을배포하기위해사용하는중앙관리소프트웨어는지속적으로표적형공격을노리는공격자들의타깃이되어왔다. 관리서버와에이전트로구성되어있는중앙관리소프트웨어의특성상공격자는악성코드를다수의사용자에게빠르고손쉽게감염시킬수있기때문이다. 안랩시큐리티대응센터 (AhnLab Security Emergency-response Center, 이하 ASEC) 는실제국내공 격사례를중심으로중앙관리소프트웨어를통한악성코드배포현황및공격동향을분석했다. 중앙관리소프트웨어를통한악성코드배포중앙관리소프트웨어는기업이나기관에서내부시스템에공통의정책을적용하거나특정파일을배포하기위해사용되는프로그램으로주로자산관리, 보고서생성, 소프트웨어배포, 원격제어등의기능을수행한다. 중앙관리형태로운영되는소프트웨어로는대표적으로네트워크접근제어 (NAC), 백신, 자산관리, 패치관리 (PMS) 등이있다. 그림 1-1 중앙관리소프트웨어구성 ASEC REPORT Vol.89 Security Trend 4

중앙관리소프트웨어는 [ 그림 1-1] 과같이관리서버와에이전트가설치된클라이언트형태로구성되어있다. 관리서버는하위의 PC들을관리하기위한시스템으로관리자가관리페이지를통해서버에연결된 PC로파일이나정책을전송할수있다. 에이전트가설치된클라이언트는관리서버로부터전달받은파일을처리하고명령을수행한다. 공격자는이러한서버와에이전트의구성을악용하여관리서버의기능중파일배포기능을통해악성코드를배포한다. 공격방식 중앙관리소프트웨어를이용한공격은크게관리서버계정을이용한공격과클라이언트에설치된에 이전트의취약점을이용한공격으로나눌수있다. 관리서버계정을이용한공격중앙관리소프트웨어를사용하면관리서버를통해연결된 PC에보안정책을적용하거나실행파일을배포할수있으며, 에이전트원격제어도가능하다. 공격자는관리페이지의로그인정보를해킹하여파일을배포하는과정에서정상파일대신악성파일을배포하도록변조한다. 서버로부터악성파일을다운받은클라이언트시스템은악성코드에감염된다. 또한관리서버는백신프로그램이나보안업데이트파일을외부서버로부터내려받아내부에배포하 는역할을하는데, 이때공격자가외부업데이트서버에업로드된파일을악성파일로변조하여악성코 드가포함된파일이내부로배포되도록한다. 에이전트취약점을이용한공격클라이언트에설치된각각의에이전트는관리서버에서보내는명령을전달받아수행한다. 명령수행뿐만아니라관리서버에서배포한파일을실행하기도한다. 따라서에이전트에는서버에서내리는명령이적합한명령인지, 배포되는파일에문제가없는지유효성을검사하는기능이포함되어있는데, 공 ASEC REPORT Vol.89 Security Trend 5

격자는이와같은관리소프트웨어의알고리즘을미리파악하여관리서버인것처럼위장해에이전트 로명령을전달한다. 국내공격사례 국내에서확인된중앙관리소프트웨어를악용한공격중에이전트의취약점을이용해악성코드를배 포한공격사례들을면밀히살펴보자. 공격사례 01. 관리소프트웨어 A 2015 년 11월, 국내에서관리시스템 A의취약점을공격하는악성코드가최초로발견됐다. 해당악성코드가실행되면지정된 IP로악성코드가포함된파일이에이전트에게전송되는데, 관리소프트웨어 A 취약점공격에이용된파일은 **pscan.exe 다. 발견시기 내용 2015년 11월 16일 [FILE_REMOTE_EXEC] 로시작하는명령으로 **PScan.exe 실행 2015년 11월 24일 IP, Port 인자로받아 **PScan.exe 파일전송 2016년 4월 4일 IP 만인자로받고 (Port 번호고정 ) **PScan.exe 파일전송 표 1-1 관리소프트웨어 A 취약점을이용한공격타임라인 이후해당파일을전달받은에이전트에서 **pscan.exe 파일이실행되면클라이언트 PC 는악성코드 에감염된다. 관리소프트웨어 A 취약점을이용한공격은 [ 표 1-1] 과같이 2015 년 11 월부터 2016 년상 반기까지발견됐다. 그림 1-2 원격실행명령어 ASEC REPORT Vol.89 Security Trend 6

공격사례 02. 관리소프트웨어 B 관리소프트웨어 B의취약점을이용한공격역시 2015년부터발견됐다. 해당공격은다양한공격양상을보였으며, 공격에사용된파일또한 nc.exe, nt.exe, n5lic.exe, nc5rt2.exe, Bin.exe 등다수의파일이확인됐다. 또한 vs1.vbs, winrm.vbs 등의이름으로생성되는 VB 스크립트파일을다운로드한다. 관리소프트웨어 B 취약점공격에이용된악성코드는해마다새로운변형으로발견되었다. 2015 년에 발견된변형은서버 IP, 대상 IP, 다운로드주소, 원격실행파일경로를인자로받아 winrm.vbs 파일 을생성한다. 그림 1-3 2015 년에발견된관리소프트웨어 B 공격도구 2016 년에발견된변형은앞서발견된 2015 년변형에서사용된인자이외에추가로포트번호를받아 winrm.vbs 파일을생성한다. 그림 1-4 2016 년에발견된관리소프트웨어 B 공격도구 가장최근발견된 2017 년에제작된관리소프트웨어 B 의공격도구는 [ 그림 1-5] 와같이대상 IP, 다 운로드주소, 원격실행파일경로를인자로받아 vs1.vbs 파일을생성한다. 그림 1-5 2017 년에발견된관리소프트웨어 B 공격도구 ASEC REPORT Vol.89 Security Trend 7

생성된 VBS 스크립트파일은인자로입력받은주소에서파일을다운로드한다. 다운로드된파일은윈도우실행파일형태인데파일의첫 5 바이트가존재하지않아실행되지않는다. 이때스크립트내부에포함된코드가해당 5 바이트부분을복구하여윈도우실행파일로변환한뒤악성코드를실행시킨다. [ 그림 1-6] 은스크립트내부에포함된복구관련코드다. 그림 1-6 생성된스크립트코드 공격사례 03. 관리소프트웨어 C 관리시스템 C 의취약점을이용한공격은 2016 년 9 월최초로발견되었으며, 해당공격에사용된악 성코드는파일전송및실행등을수행한다. 관리소프트웨어 C 의공격도구는 [ 그림 1-7] 과같다. 그림 1-7 관리소프트웨어 C 공격도구 ASEC REPORT Vol.89 Security Trend 8

결론중앙관리소프트웨어의파일배포기능을악용한표적형공격을예방하려면우선적으로관리서버에대한정책을점검할필요가있다. 관리서버는정해진시스템에서만접근이가능하도록통제해야하며, 서버의관리자계정또한로그인정보를시스템에저장하지않고주기적으로변경하도록해야한다. 관리서버에서발생한이벤트로그는항상철저한확인을통해비정상적인파일이내부로배포되지않았는지점검해야한다. 중앙관리서버를이용한공격방식이외에클라이언트에설치된에이전트취약점을이용한공격 방식또한평소에미리예방해야한다. 중앙관리소프트웨어에서사용하는포트번호가스캐닝되 고있는지발생여부를확인하고주기적으로모니터링해야한다. 공격자는이전보다훨씬다양하고고도화된방법으로국내기업과기관의내부시스템에침투를시도하고있다. 관리편의를위해사용하는중앙관리소프트웨어는언제든내부를공격할수있는양날의검이라는점을유념하고, 기업외부와내부를연결하는접점뿐만아니라중앙관리소프트웨어와같이내부에서사용중인프로그램또는서비스에대해서도지속적으로검증하고관리하는노력이필요하다. ASEC REPORT Vol.89 Security Trend 9

연간위협동향 ANNUAL REPORT 2017 년보안위협결산 2018 년보안위협전망

연간위협동향 Annual Report 2017 년보안위협결산 1. 랜섬웨어패러다임의변화 : 규모, 감염경로, 세대교체 국내외를막론하고 2017 년보안의화두는단연랜섬웨어였다. 2017 년에발견된랜섬웨어공격의특징 은크게광범위한피해규모, 감염경로의변화, 활동중단및신종등장등으로요약할수있다. 피해규모면에서전세계 150 여개국 30 만대이상의시스템을감염시킨워너크라이 ( 일명워너크립터 ) 부터유럽 15 개국으로확산된배드래빗 ( 일명디스크코더 ) 까지그야말로역대급랜섬웨어가등장했다. 이제랜섬웨어는지역이나기업또는기관을넘어동시다발적으로광범위한피해를양산하고있다. 감염경로면에서는웹응용프로그램의취약점을이용한감염은감소한반면록키 (Locky) 랜섬웨어와같이이메일을통한감염이폭발적으로증가했다. 또한윈도우시스템자체의취약점을이용한워너크라이와페트야 (Petya) 랜섬웨어는단순금전목적이아닌시스템자체를손상시키는목적으로제작된것으로밝혀졌는데, 시스템파괴를목적으로한랜섬웨어의등장은또다른패러다임의변화로볼수있다. 2017 년초부터국내외를막론하고가장많은감염을야기했던케르베르 (Cerber) 랜섬웨어가 9 월말 이후자취를감추었다. 그러나케르베르의공백을메우기라도하려는듯메그니베르 (Magniber) 랜 섬웨어가나타났다. 이랜섬웨어는한글윈도우에서만실행되는것이특징이다. ASEC REPORT Vol.89 Security Trend 11

2. 정상적인경로를이용한대범함, 공급망공격 2017년에는공급망을이용한, 이른바 공급망공격 (Supply Chain Attack) 이지속적으로등장했다. 공급망공격이란기업또는기관에서사용하는솔루션의공급망을해킹해악성코드를유입시키는공격이다. 주로공격자가정상프로그램의업데이트서버를해킹해악성코드를삽입, 통상적인프로그램업데이트과정에서악성코드에감염되게하거나프로그램개발업체를해킹해소스코드빌드 배포등프로그램제작단계에악성코드를삽입한다. 기업이나기관이외부에서유입되는파일에대해서는경계하지만, 내부에서기존에사용하고있는프로그램과관련된파일에대해서는상대적으로느슨하게관리한다는점을노린것이다. 소프트웨어제조사를통한공격외에도유지보수업체등지원업체를통한공격또한넓은의미에서공급망공격에포함된다. 3. 가상화폐관련보안위협등장 2017년한해동안비트코인 (Bitcoin, BTC) 을비롯해이더리움 (Ethereum), 모네로 (Monero, XMR) 등가상화폐 (Virtual Currency, 또는암호화폐 Crypto Currency) 시장이뜨겁게달아올랐다. 2017 년 1월초 1BTC 당 1백만원대였던비트코인은 11월말기준, 9백만원대를돌파했다. 비트코인과이더리움과같은주요가상화폐는대개컴퓨터시스템에서 채굴 (mining) 을통해획득할수있다. 그러나가상화폐의금전적가치가급상승함에따라최근몰래다른사람의 PC를이용하여가상화폐를채굴하는 채굴 ( 마이너, miner) 악성코드 가다수발견되고있다. 윈도우업데이트파일로위장하거나압축파일형태로정상파일과함께유포되는등유포방식또한다양하다. 가상화폐시장규모가커지면서국내외가상화폐거래소를직접적으로공격하는사건도잇따라발생 하고있다. 가상화폐거래소를노린공격은가상화폐탈취, 거래소회원계정정보탈취, 거래소사이 ASEC REPORT Vol.89 Security Trend 12

트에대한 DDoS 공격등으로요약할수있다. 4. 익스플로잇킷의숨고르기, 취약점공격은다변화 2016년까지만해도대부분의보안위협은 웹 을통한공격에서시작됐다. 그러나 2017년들어익스플로잇킷의활동이축소되면서웹기반공격의존재감이상대적으로약해진분위기다. 또한 2017 년에특정취약점이독식하기보다는새롭게알려진다양한유형의취약점이골고루활용되는양상을보였다. 국내에서는정치적 사회적이슈와맞물린취약점공격이빈번했다. 2017년초중국과의정치적관계가악화되었을당시아파치스트러츠 (Apache Struts2) 취약점 (CVE-2017-5638) 을이용한중국발공격이발생했다. 또 2017년에확인된다수의 MS오피스문서프로그램취약점 (CVE-2017-0199, CVE-2017-8759, CVE-2017-8570, CVE-2017-11826) 은북한핵, 평창동계올림픽등의이슈를이용한표적형공격및랜섬웨어유포에활용되었다. 한편, 워너크라이랜섬웨어와함께일명 이터널블루 (EternalBlue) 라는이름의취약점 (CVE-2017-0144) 이유명세를탔다. 윈도우운영체제의 SMB( 공유폴더 ) 취약점으로, 시스템에유입된랜섬웨어 가이취약점을통해전파돼내부시스템을추가로감염시키는방식이라는점에서크게주목받았다. 5. 모바일위협의고도화 가속화 : 스미싱과사칭앱지속적으로증가해온모바일위협은 2017년들어더욱고도화 가속화되는양상을보였다. 기존에는스팸메시지에첨부한링크를통해악성앱을다운로드하도록유도하는방식이주를이뤘지만, 2017 년에는보이스피싱과연계한방식이등장했다. 사회공학기법을이용해공격대상과전화통화를진행하며악성앱을설치하도록유도했다. 이렇게 설치된악성앱은스마트폰에저장된민감한개인정보를유출하고전화및문자메시지의수 발신 ASEC REPORT Vol.89 Security Trend 13

을차단하는등의악의적인행위를수행한다. 또한, 구글공식앱스토어인구글플레이 (Google Play) 에유명앱으로위장한 사칭앱 이지속적으 로나타나고있다. 이들사칭앱은잘알려진공식앱의아이콘과매우유사한아이콘으로위장하고 앱이름에특수문자를살짝추가하거나라벨을변경해사용자를속여설치를유도한다. ASEC REPORT Vol.89 Security Trend 14

연간위협동향 Annual Report 2018 년보안위협전망 1. 사이버범죄의서비스화 : 플랫폼기반의보 안위협맞춤생산 랜섬웨어위협이본격화된것은 2016 년이라면, CaaS 2017년은랜섬웨어가극적으로변화한해라할수있다. 대규모피해를야기한랜섬웨어가등장한것은물론수많은변종이과거와는비교할수없는속도로연달아나타났다. 이러한극적변화의가장큰동력은랜섬웨어제작및유포서비스 (Ransomware-as-a-Service, 이하 RaaS) 이다. RaaS 가사이버암시장에안정적으로자리잡으면서전문적인 IT 지식없이도비교적쉽게랜섬웨어 공격을할수있게됐으며, 하루가멀다하고신 변종랜섬웨어가쏟아져나오는실정이다. 이제는 RaaS 를넘어 사이버범죄의서비스화 (Crime-as-a-Service, 이하 CaaS) 가현실화되고있다. CaaS 의가장큰특징은사이버범죄조직이마치기업과같이개발, 판매, 유통, 그리고마케팅까지 세분화된형태를갖추고있다는것으로, 사이버범죄의대중화를가져올플랫폼이라해도과언이아 니다. 2018 년에는이러한기업형사이버범죄조직의증가로, CaaS 가활성화 본격화되면서신 변 ASEC REPORT Vol.89 Security Trend 15

종랜섬웨어뿐만아니라보안이취약한가상화폐 ( 암호화폐 ) 거래소공격등금전을노린공격이더욱 증가할것으로보인다. 2. 타깃공격의새로운트렌드 공급망공격 의증가지난해여러차례성공한바있는공급망공격 (Supply Chain Attack) 이 2018년에도계속될전망이다. 공급망공격은기업이나기관에서사용하는제품또는서비스의공급과정에악성코드를유입시키는방식이다. 대부분의기업및기관이이메일이나웹사이트등외부에서유입되는파일에대해서는민감하게대응하지만기존에사용하고있던프로그램및관련파일에대해서는신뢰하기쉽다는점을노린것이다. 공격자입장에서는다양한보안체계를갖추고있는기업이나기관을직접공격하는것보다공격대상이신뢰하는대상을이용하는우회적인방법이더수월할수있다. 게다가이를통해공격대상의내부로침입해네트워크상의시스템까지장악할수도있기때문에더큰효과를얻을수있다. 따라서기업및기관에서도내부에서사용중인프로그램에대해지속적으로관리하는노력이필요하다. 3. 문서파일을이용한공격의고도화와파일리스공격수년전부터.exe와같은실행 (PE) 파일형태의악성코드외에워드, 엑셀등 MS 오피스문서나한글파일과같은비실행 (non-pe) 파일을이용한악성코드가지속적으로늘어나고있다. 백신등보안솔루션의탐지를피하기위한공격자들의노력이다. 비실행파일을이용한공격은올해더욱고도화될것으로전망된다. ASEC REPORT Vol.89 Security Trend 16

지금까지는주로악성비주얼베이직 (Visual Basic) 매크로코드를삽입한형태였던반면, 최근 XML 내코드실행, DDE 기능또는문서내개체삽입등을이용해악성코드를실행하는방식이늘어나고있다. 최종적으로악성행위를수행하는파일또한기존과같이시스템에존재하는형태보다는프로세스메모리에인젝션되어동작하는파일리스 (Fileless) 방식이증가할것으로예상된다. 4. 공격대상플랫폼 디바이스의다변화 2018년에는윈도우뿐만아니라리눅스, 맥OS, 그리고안드로이드운영체제를노리는악성코드가지속적으로증가할전망이다. 여전히윈도우에비해상대적으로악성코드위협이적은운영체제라고할수있지만, 리눅스시스템에서동작하는악성코드의숫자뿐만아니라종류도증가하고있다. 이는곧리눅스나안드로이드운영체제를사용하는스마트디바이스, IoT 기기또한보안위협에노출될수있다는의미다. 지난해안랩시큐리티대응센터가탐지한리눅스악성코드중하나인미라이 (Linux/Mirai) 악성코드는대표적인 IoT 기기관련악성코드다. 웨어러블디바이스등대부분의 IoT 기기는상대적으로보안이취약하고관리가잘이루어지지않는 다. 모바일기기뿐만아니라인터넷연결이가능한웨어러블디바이스, 가정용 IoT 기기등의보안위 협대응방안을모색해야하는시점이다. ASEC REPORT Vol.89 Security Trend 17

5. 모바일악성코드유포경로의다각화 2018년에는모바일악성코드유포경로가더욱다각화될것으로전망된다. 나날이증가하는모바일악성코드에의한피해를최소화하기위한기업및기관의노력으로최근스마트폰사용자의보안인식등이강화되고있다. 이에따라공격자들은모바일환경에침입하기위한다양한공격방식을꾸준히개발하고있다. 특히최근에는주요공식마켓에악성앱을등록하기위해 OS 제공업체의보안검사기법을우회하는방식도지속적으로등장하고있다. 이러한추세는 2018 년에도이어져스미싱, 악성이메일, 유명앱사칭등기존방식과더불어안드로 이드공식앱마켓에악성코드를포함한앱을직접등록하는등다양한방식으로모바일악성코드를 유포하는경로를확대할것으로보인다. ASEC REPORT Vol.89 Security Trend 18