01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENT 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 랜섬웨어차단및악성코드유포지 / 경유지 URL 통계 02 전문가보안기고 금성 121 정부기반 AP

Similar documents
< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

SBR-100S User Manual

Microsoft PowerPoint - chap01-C언어개요.pptx

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

#WI DNS DDoS 공격악성코드분석

*2008년1월호진짜

ASEC REPORT VOL 년 3 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안

01 이스트시큐리티통계및분석 이스트시큐리티 보안동향보고서 No Copyright 2018 ESTsecurity Corp. All rights reserved.

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

Windows 8에서 BioStar 1 설치하기

Windows 10 General Announcement v1.0-KO

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

Secure Programming Lecture1 : Introduction

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

<41736D6C6F D20B9AEBCADBEE7BDC42E687770>

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

untitled

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉

메뉴얼41페이지-2

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

PowerPoint Template

Windows Server 2012

ActFax 4.31 Local Privilege Escalation Exploit

ASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서

유포지탐지동향

SIGIL 완벽입문

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

System Recovery 사용자 매뉴얼

5th-KOR-SANGFOR NGAF(CC)

ASEC REPORT VOL.76 April, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성

01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENT 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 랜섬웨어차단및악성코드유포지 / 경유지 URL 통계 02 전문가보안기고 새로운 KONNI 캠페인등

ASEC REPORT VOL.81 September, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC

ASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작

07_alman.hwp

ASEC Report VOL.53 May, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며

Microsoft Word - src.doc

1

01 이스트시큐리티통계및분석 이스트시큐리티 보안동향보고서 No

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

BEA_WebLogic.hwp

..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * A

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

Security Trend ASEC REPORT VOL.68 August, 2015

ASEC REPORT VOL.85 January, 2017 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성

Office 365, FastTrack 4 FastTrack. Tony Striefel FastTrack FastTrack

ìœ€íŁ´IP( _0219).xlsx

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENTS 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 허니팟 / 트래픽분석 02 전문가보안기고 악성메일로유포되는 GandCrab 2.1 랜섬웨어주의

Office 365 사용자 가이드

Install stm32cubemx and st-link utility

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

비디오 / 그래픽 아답터 네트워크 만약에 ArcGolbe를 사용하는 경우, 추가적인 디스크 공간 필요. ArcGlobe는 캐시파일을 생성하여 사용 24 비트 그래픽 가속기 Oepn GL 2.0 이상을 지원하는 비디오카드 최소 64 MB 이고 256 MB 이상을 메모리

ASEC REPORT VOL.71 November, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에

01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENTS 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 허니팟 / 트래픽분석 02 전문가보안기고 년 2 분기, 알약랜섬웨어공격행위차단건수 :

1. 개요 전세계적으로많은피해를일으키고있는랜섬웨어는 년 월국내에 광범위하게유포되기시작하여 년에급격하게증가하였다 랜섬웨어 는이용자의데이터 시스템파일 문서 이미지등 를암호화하는악성코드로 몸값 과소프트웨어 의합성어로시스템을잠그거나 데이터를암호화해사용할수없도록하고이를인질로금전

Operation-name: 악성행위의종류를말하며, Sending SMS Calling Sending sensitive information Converting data 로분류합니다. Operation-target: 악성행위의목표물을말하며, Premium-rate SM

PowerPoint Presentation

EQST Insight_201910

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환


목차 Part Ⅰ 3 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

Visual Studio online Limited preview 간략하게살펴보기

ASEC REPORT VOL.83 November, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

CODESYS 런타임 설치과정

01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENT 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 허니팟 / 트래픽분석 02 전문가보안기고 금성 121 그룹의최신 APT 캠페인 작전명로켓맨 게임

커알못의 커널 탐방기 이 세상의 모든 커알못을 위해서

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo

소규모 비즈니스를 위한 플레이북 여기서 다룰 내용은 다음과 같습니다. 1. YouTube 소개 2. YouTube에서 비즈니스를 위한 채널 만들기 3. 눈길을 끄는 동영상 만들기 4. 고객의 액션 유도하기 5. 비즈니스에 중요한 잠재고객에게 더 많이 도달하기

슬라이드 1

08_spam.hwp

1

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault

<4D F736F F D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

Security Trend ASEC Report VOL.56 August, 2014

게시판 스팸 실시간 차단 시스템

01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENTS 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 허니팟 / 트래픽분석 02 전문가보안기고 피고소환장통지서로사칭한 GandCrab 랜섬웨어유포주

View Licenses and Services (customer)

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

리눅스설치가이드 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2.

국가정보보호백서 제1장 정보환경 변화와 정보보호 정보통신기술은 우리에게 보다 나은 미래를 제공해주는 원동력이자 현대사회에서 없어서는 안 될 필수불가결한 사회기반으로 여겨지고 있다. 또한 정보통신기술은 경제 성장의 원천이 되고 있으 며 사회 시스템의 효율성을

라우터

2

Microsoft PowerPoint - 권장 사양

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENTS 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 허니팟 / 트래픽분석 02 전문가보안기고 년예상보안이슈 Top5 문서파일취약점공격과한국

Transcription:

01 이스트시큐리티통계및분석 이스트시큐리티 보안동향보고서 No.110 2018.11

01 이스트시큐리티통계및분석 No.110 2018.11 이스트시큐리티보안동향보고서 CONTENT 01 악성코드통계및분석 악성코드동향 01-05 알약악성코드탐지통계 랜섬웨어차단및악성코드유포지 / 경유지 URL 통계 02 전문가보안기고 06-18 금성 121 정부기반 APT 그룹, 코리안스워드 작전수행중 비너스락커랜섬웨어조직, 베리즈웹쉐어를통해갠드크랩국내다량유포 03 악성코드분석보고 19-38 개요 악성코드상세분석 결론 04 해외보안동향 39-54 영미권 중국 일본

이스트시큐리티보안동향보고서 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 랜섬웨어차단및악성코드유포지 / 경유지 URL 통계 1

01 악성코드통계및분석 1. 악성코드동향 GandCrab 랜섬웨어는 10 월말기준으로 5.0.5 변종까지등장했고, 해피바이러스, 배틀크루저등의 APT 공격및 KRBanker 파밍악성코드의등장, 그리고페이스북과구글플러스같은글로벌서비스에대한침해공격까지발생한 다사다난한 10 월이었습니다. 9월말들어, v5 가등장한 GandCrab 은그이후로도 10 월한달동안 v5.0.5 까지업데이트를지속적으로진행하고있습니다. 특히 10 월 26 일비트디펜더에서릴리즈한 GandCrab 랜섬웨어복호화툴이등장하자마자, GandCrab 랜섬웨어는바로해당복호화툴로복호화가불가능한 v5.0.5 버전으로업데이트하는긴밀한대응까지보여주고있습니다. 문서파일취약점을악용하여이메일첨부파일을통해스피어피싱을진행하는 해피바이러스 오퍼레이션이확인되기도 하였으며, 이미지난 3 월에있었던라자루스 (Lazarus) 공격그룹의 배틀크루저 오퍼레이션의변종이국내 유명변호사의이름을사칭한이메일과함께유포되기도하였습니다. 또한, 10 월중순이후부터유명걸그룹의음란동영상이있는것처럼사칭하여유명커뮤니티에관련페이지로이동할수있는게시글을올려사용자를피싱사이트로유도하는피싱공격이여러차례확인되었고국내유명사이버학습원에서 CK VIP exploit 을통해 KRBanker 악성코드를유포하는파밍공격정황이확인되기도하였습니다. 특히국내웹사이트를해킹하여해당사이트의정상스크립트파일내부에악성스크립트를삽입하여사이트방문자로하여금 Drive by Download 기법을통해악성코드를다운로드및실행시키는공격은 2017 년부터거의보이지않았는데, 이번 10 월에오래간만에등장하여향후추이를주목해야봐야할것같습니다. 국내뿐만아니라, 해외에서도구글이운영하는 SNS 인구글플러스의사용자 50 만명의개인정보가유출되기도하였는데, 구글은이번유출사고가발생한후일반사용자용구글플러스의서비스를 2019 년 8월에종료하기로결정하였습니다. 페이스북도페이스북플랫폼의제로데이취약점이악용되어 5천만사용자계정의비밀액세스토큰이탈취되었다고발표하기도했습니다. 랜섬웨어, 이메일첨부파일을활용한 APT 공격, 피싱, Drive by Download 공격을활용한파밍, 대규모유출사고까지정말다양한카테고리의다양한침해공격이있었습니다. 이렇게다양한공격이발생하는데도대체어떻게대비해야되는지막막하신가요? 사용자여러분들이취할수있는기본조치는 OS 와사용중인프로그램에대한최신패치그리고알약과같은신뢰할수있는백신을사용하는것입니다. 이스트시큐리티는현재 Threat Inside 이벤트를통해 시큐리티브리핑 을제공하고있습니다. 발빠른데일리악성코드이슈와보안소식을접하실수있는데해당서비스를활용해보시는것도조금더안전하게여러분의정보자산을보호할수있는방법중하나일것입니다. 2

01 악성코드통계및분석 2. 알약악성코드탐지통계 감염악성코드 TOP15 2018 년 10 월의감염악성코드 Top 15 리스트에서는지난 2018 년 8월부터꾸준히 1위를차지했던 Trojan.Agent.gen 이이번달 Top 15 리스트에서도 1위를차지했다. 9월에각각 2위와 3위를차지했던 Misc.HackTool.AutoKMS 와 Misc.HackTool.KMSActivator 도제자리를지켰다. 또한, 지난달 5 위를차지했었던 Misc.HackTool.KMSActivator 가 2 단계상승하여이번달 3 위를차지하였다. 전반적으로악성코드진단수치자체가지난 9 월과대비하여크게증가하는추세를보였다. 순위 등락 악성코드진단명 카테고리 합계 ( 감염자수 ) 1 - Trojan.Agent.gen Trojan 1,335,978 2 - Misc.HackTool.AutoKMS Trojan 861,837 3 - Misc.HackTool.KMSActivator Trojan 482,068 4 1 Trojan.HTML.Ramnit.A Trojan 429,294 5 1 Gen:Variant.Razy.107843 Trojan 342,522 6 2 Misc.Keygen Trojan 298,785 7 2 Win32.Neshta.A Virus 287,886 8 2 Adware.SearchSuite Adware 264,972 9 2 Trojan.LNK.Gen Trojan 230,529 10 4 Exploit.CVE-2010-2568.Gen Exploit 214,122 11 2 Worm.ACAD.Bursted.doc.B Worm 176,646 12 New Worm.Brontok-F Worm 172,666 13 2 Win32.Ramnit.N Virus 172,301 14 4 Misc.Riskware.BitCoinMiner Trojan 167,256 15 New Trojan.ShadowBrokers.A Trojan 156,053 * 자체수집, 신고된사용자의감염통계를합산하여산출한순위임 2018 년 10 월 01 일 ~ 2018 년 10 월 31 일 3

01 악성코드통계및분석 악성코드유형별비율 악성코드유형별비율에서트로이목마 (Trojan) 유형이가장많은 77% 를차지했으며바이러스 (Virus) 유형이 8% 로그 뒤를이었다. 웜 6% 취약점애드웨어 4% 5% 바이러스 8% 트로이목마 77% 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 취약점 (Exploit) 웜 (Worm) 기타 (Etc) 백도어 (Backdoor) 바이러스 (Virus) 하이재커 (Hijacker) 호스트파일 (Host) 카테고리별악성코드비율전월비교 10 월에는 9 월과비교하여트로이목마 (Trojan) 악성코드감염카테고리비율이 79% 에서 77% 로소폭감소하였다. 다른영역에서의감염카테고리비율은대동소이했으며웜 (Worm) 악성코드와취약점 (Exploit) 악성코드감염비율이 9 월에비해 10 월이 2 배가량높아졌다. 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 하이재커 (Hijacker) 웜 (Worm) 취약점 (Exploit) 바이러스 (Virus) 백도어 (Backdoor) 호스트파일 (Host) 기타 (Etc) 0% 0% 5% 5% 0% 0% 6% 3% 4% 2% 8% 7% 0% 0% 0% 4% 0% 0% 77% 79% 100% 100% 10 월 9 월 0% 20% 40% 60% 80% 100% 4

01 악성코드통계및분석 3. 랜섬웨어차단및악성코드유포지 / 경유지 URL 통계 9 월랜섬웨어차단통계 해당통계는통합백신알약공개용버전의 랜섬웨어차단 기능을통해수집한월간통계로써, DB 에의한시그니쳐 탐지횟수는통계에포함되지않는다. 10 월 1 일부터 10 월 31 일까지총 109,321 건의랜섬웨어공격시도가차단되었다. 주말과연휴를제외하면꾸준하게하루 4,000 여건이상의랜섬웨어공격차단이이뤄지고있다. 10 월랜섬웨어차단통계 5,000 4,500 4,000 3,500 3,000 2,500 2,000 1,500 1,000 500 0 1 2 3 4 5 6 7 8 9 101112131415161718192021222324252627282930 악성코드유포지 / 경유지 URL 통계 해당통계는 Threat Inside 에서수집한악성코드유포지 / 경유지 URL 에대한월간통계로, 10 월한달간총 15,113 건의악성코드유포지 / 경유지 URL 이확인되었다. 10월악성URL 유포지 / 경유지통계 12000 10000 8000 6000 4000 2000 0 유포지 경유지 유포지 경유지 5

이스트시큐리티보안동향보고서 02 전문가보안기고 1. 금성 121(Geumseong121) 정부기반 APT 그룹, ' 코리안스워드 (Operation Korean Sword) 작전 ' 수행중 2. 비너스락커랜섬웨어조직, 베리즈웹쉐어를통해갠드크랩국내다량유포 6

02 전문가보안기고 1. 금성 121(Geumseong121) 정부기반 APT 그룹, ' 코리안스워드 (Operation Korean Sword) 작전 ' 수행중 특정정부가배후에있는것으로알려져있는위협그룹중에 ' 금성 121(Geumseong121)' 조직은글로벌보안회사들이 다양한이름으로명명하고있습니다. 그중대표적그룹명을알파벳순으로나열하면 'APT37', 'Group123', 'RedEyes', 'ScarCruft' 등이있습니다. 지난 02 월이스트시큐리티사이버위협인텔리전스 (CTI) 전문조직인시큐리티대응센터 ( 이하 ESRC) 에서는이 위협그룹이카카오톡메신저로 'Flash Player Zero-day (CVE-2018-4878)' 취약점공격을수행한사례를소개한바 있으며, 그이후에도스피어피싱 (Spear Phishing) 을통해한국에집중표적공격을수행하고있다는것을확인했습니다. 그리고 07 월 ~08 월에는 ' 남북이산가족찾기전수조사 ' 내용으로 APT 공격을수행한사례와 ' 작전명로켓맨 (Operation Rocket Man)' 분석자료를공개한바있습니다. 물론, 아직공개되지않은실제침해사고사례들이다양하게존재합니다. 금성 121 APT ' 작전명코리안스워드 (Operation Korean Sword)' 공개하지않았던사례중한국의대북관련단체나활동가들을상대로다음과같은스피어피싱기반이수행되었고, 이 공격벡터는 08 월부터 09 월까지문서내용이동일하지만코드가달라진변종이연속적으로발견됩니다. 악성문서파일의타이틀은 '7 주신뢰와배려의커뮤니케이션 ' 이며이내용은여러보안전문가들이분석한자료를 공개한바있고, ' 중국보안업체 360 이블로그를통해분석자료 ' 를자세히공개한바있습니다. 7

02 전문가보안기고 [ 그림 1] 스피어피싱을통해유포된악성문서파일실행화면 ESRC 는 'TTPs [Tactics( 전술 ), Techniques( 기술 ), Procedures( 절차 )]' 분석을통해금성 121 APT 위협그룹이지속적으로 대남사이버작전을수행하고있는것을확인할수있었습니다. 해당위협그룹은한국의대북분야활동가들을주요타깃으로삼고있으며, 주로단체나개인을겨냥해감염된 컴퓨터의내부자료를은밀히탈취하는공통특징이존재합니다. 사이버전술적으로한국의기관이나기업에서많이사용하는 HWP 문서파일취약점이빈번히사용되며, DOC 문서의 매크로실행유도나 XLS 문서에플래시취약점을삽입하는기술을구사한바도있습니다. 8

02 전문가보안기고 APT 공격조직주체를파악하는데는공격벡터와페이로드기능을제대로분석하는것이매우중요하고, 조직에속한 공격자개개인별고유습관및특성지표를정의하고관리할필요가있습니다. 지난 08 월과 09 월에각각제작된 HWP 악성문서파일은최종수정시점만다르고, 동일한생성날짜와시간을가지고 있으며, 문서작성자나마지막저장자의데이터가 'gichang', 'User1' 코드로동일합니다. ESRC 는악성문서에서발견된 'gichang' 키워드와발음을활용해고려시대호위부대가무예로사용한기창 ( 깃발달린 창 ) 을활용해 ' 작전명코리안스워드 (Operation Korean Sword)' 로명명하였습니다. [ 그림 2] 동일한내용을담고있는악성문서파일의메타데이터비교화면 포스트스크립트 (EPS) 취약점코드를분석해보면, 공격패턴에서조금씩변화되는부분이존재합니다. 초기에는 시작프로그램경로에배치파일 (BAT) 명령어를추가해재부팅시자동실행되도록만들었습니다. copy /b "%appdata%\*.oju01" "%appdata%\winupdate148399843.pif" & "%appdata%\winupdate148399843.pif" & del /f "%appdata%\winupdate148399843.pif" 9

02 전문가보안기고 그다음변종코드에서는배치파일 (BAT) 을시작프로그램에바로등록하지않고, 비주얼베이직스크립트 (VBS) 를 시작프로그램경로에등록하고, 그다음에배치파일이로딩되도록전략을수정했습니다. Set WshShell = CreateObject("WScript.shell") WshShell.Run chr(34) & "%appdata%\upgradever49.bat" & chr(34), 0 Set WsheShell = Nothing VBS 파일의쉘명령에의해실행되는 BAT 파일은시작프로그램에있던 VBS 삭제코드가추가된점이다릅니다. copy /b "%appdata%\*.cog01" "%appdata%\winupdate75610890.pif" & "%appdata%\winupdate75610890.pif" & del /f "%appdata%\winupdate75610890.pif" & del /f "%appdata%\microsoft\windows\start Menu\Programs\StartUp\*.vbs" & del /f "%appdata%\*01" & del /f "%appdata%\*.bat" 10

02 전문가보안기고 [ 그림 3] HWP 악성문서에포함되어있는포스트스크립트실행과정화면 악성코드는보안제품의탐지를회피하기위한목적등으로 EXE 실행파일의 MZ 헤더코드를분리해서설치한후다시 결합하는절차를수행합니다. 11

02 전문가보안기고 생성되는 'Dhh01.oju01', 'Dee01.cog01' 파일에는 '4D', '5A' 2 바이트 (MZ) 만가지고있으며 'Dhh02.oju01', 'Dee02.cog01' 파일에나머지실행파일데이터를가지고있습니다. 그리고최종페이로드는더미다 (Themida) 암호화프로그램으로패킹되어있으며, 이파일은기존 ' 금성 121' 그룹이 사용하는대표적인 RAT 기능을수행하게됩니다. 2018 년 11 월, 다시돌아온 ' 작전명코리안스워드 (Operation Korean Sword)' ESRC 는 2018 년 11 월 16 일기존과동일한공격벡터를가진침해지표를발견했고, 이공격이지난 8 월부터있었던 작전명코리안스워드의연장선이라는것을확인했습니다. 이번에발견된것은 ' 기록부.hwp' 한글파일명으로발견되었으며, 실행되면손상된파일처럼알수없는내용이 보여지게되면서, EPS 취약점코드가실행됩니다. [ 그림 4] ' 기록부.hwp' 문서파일실행된화면 12

02 전문가보안기고 악성문서파일은 2018 년 11 월 16 일제작된것을확인할수있으며, 'BinData' 스트림에 'BIN0001.eps' 포스트 스크립트코드가포함된것을확인할수있습니다. [ 그림 5] 악성문서내부에포함된날짜와포스트스크립트 포스트스크립트는시작프로그램경로에 'MemCacheLog24.vbs' 스크립트를생성하고, 다음과같은내부명령에의해 'Cache51.bat' 배치파일을실행하게됩니다. Set WshShell = CreateObject("WScript.shell") WshShell.Run chr(34) & "%appdata%\cache51.bat" & chr(34), 0 Set WsheShell = Nothing 'Cache51.bat' 배치파일명령에는다음과같이 '*.hje01' 파일을 'MemoryOrder85584031.com' 바이너리파일로 합치고, 실행한후삭제하게됩니다. copy /b "%appdata%\*.hje01" "%appdata%\memoryorder85584031.com" & "%appdata%\memoryorder85584031.com" & del /f "%appdata%\memoryorder85584031.com" 13

02 전문가보안기고 [ 그림 6] 악성포스트스크립트실행코드순서및화면 마지막에생성되는 'MemoryOrder85584031.com' 페이로드는한국시간기준으로 '2018-11-15 00:47:51' 제작되었고, 내부에포함되어있는최종페이로드는 '2018-11-07 16:06:11' 제작되었습니다. 감염된페이로드는감염된시스템의정보를수집해 Yandex 토큰을이용해유출하게되며, 공격자의추가적인명령을 받게됩니다. 14

02 전문가보안기고 [ 그림 7] 정보가유출되는 C2 Yandex 서비스화면코드 HWP 문서파일에포함된포스트스크립트 (EPS) 취약점은한컴오피스제품을최신버전으로업데이트할경우고스트 스크립트엔진모듈이제거되어더이상위협에노출되지않습니다. 보안위협은업데이트를하지않은이용자를노리고있다는점을명심해야합니다. 보다추가적인내용들은 쓰렛인사이드 (Threat Inside) 를통해보다체계적인위협정보 (IoC) 와전문화된인텔리전스 리포트서비스를기업대상으로제공할예정입니다. 15

02 전문가보안기고 2. 비너스락커랜섬웨어조직, 베리즈 웹쉐어를통해갠드크랩국내다량유포 이스트시큐리티사이버위협인텔리전스 (CTI) 전문조직인시큐리티대응센터 ( 이하 ESRC) 는과거 비너스락커 (VenusLocker) 랜섬웨어를뿌렸던조직이지난 11 월 15 일입사지원서를사칭해 갠드크랩 (GandCrab) v5.0.4 랜섬웨어를한국에대량으로유포하고있는내용을공개한바있습니다. 동일한조직이지난주말부터한국에서개발된 'Berryz WebShare ( 베리즈웹쉐어 )' 파일공유서버를구축해또다른 갠드크랩 v5.0.4 변종을유포하고있어각별한주의가요망됩니다. [ 그림 1] 베리즈웹쉐어서버로유포중인갠드크랩랜섬웨어화면 ESRC 에서는해당위협조직이지난주이미해당서버를구축하고있다는사실을확인해, 지속적으로공격자를추적 감시하고있었습니다. 지난주에는 'Mongoose Web Server ( 몽구스웹서버 )' 기반으로랜섬웨어를유포하였는데, 17 일주말부터는 'Berryz WebShare( 베리즈웹쉐어 )' 서버를구축해유포에사용하고있는상태입니다. 16

02 전문가보안기고 [ 그림 2] 몽구스웹서버로갠드크랩랜섬웨어를유포했던화면 베리즈웹쉐어에는 2 개의파일이업로드되어있으며, 파일명은각각 ' 박혜윤 _ 이력서 (181119) 열심히하겠습니다.exe', ' 이미지무단사용관련내용확인 ( 박혜윤작가 ).exe' 다르게등록되어있습니다. 하지만두개의파일은이름만다른동일한갠드크랩랜섬웨어입니다. [ 그림 3] 이력서등으로위장하고, 워드파일로위장한갠드크랩랜섬웨어화면 비너스락커랜섬웨어를유포했던위협조직들이한국에집중적으로최신랜섬웨어를유포하고있어, 각별한주의가 필요한상태입니다. 이용자가해당파일에현혹되어실행할경우컴퓨터에보관되어있던문서, 동영상, 사진등대부분의데이터가 암호화되어사용이불가능해집니다. 17

02 전문가보안기고 [ 그림 4] 갠드크랩 v5.0.4 감염시생성되는랜섬노트화면 해당랜섬웨어에감염되면대부분의데이터파일이암호화되고, 기존확장자에 '.extsxcdshg' 내용이추가될수 있습니다. 그리고다수의경로에랜섬노트 'EXTSXCDSHG-DECRYPT.txt' 파일이생성됩니다. ESRC 에서는 19 일오전부터다수의랜섬웨어행위차단통계를기반으로갠드크랩변종의긴급패턴업데이트를 완료한상태이고, 알약 (ALYac) 랜섬웨어행위기반차단로직을통해감염활동을신속히차단할수있는상태입니다. 공격자는이메일첨부파일이나본문 URL 링크를통해지속적으로한국에변종랜섬웨어를유포하고있습니다. 유사한 위협이앞으로도지속될것으로전망되고있으므로, 인터넷이용자분들은각별히주의하시길바랍니다. 18

이스트시큐리티보안동향보고서 03 악성코드분석보고 개요 악성코드상세분석 결론 19

03 악성코드분석보고 [Trojan.Agent.544256] 악성코드분석보고서 1. 개요 최근사용자 PC 를감염시켜사용자정보를탈취하는 Infostealer 유형의악성코드가꾸준히발견되고있다. 이번에 발견된악성코드는분석시스템또는분석가를통한분석을회피하기위한기술들이다수적용되어있다. 감염 PC 의 분석환경구성여부를확인하여악성행위를수행할것인지결정하는것이특징이다. 이번보고서에서는해당악성코드에적용된기술들과악성행위에대해서상세하게알아보고자한다. 20

03 악성코드분석보고 2. 악성코드상세분석 2.1. 가상환경탐지및분석회피 공격자는악성코드분석시스템또는분석가를통한분석을방해하기위하여가상환경탐지, 안티디버깅등을 사용한다. 이를통해분석환경이탐지되면악성행위를수행하지않고종료한다. 1) 현재파일이름검색 현재실행되는파일명이다음과같을경우자가종료를수행한다. 이는악성코드분석중사용할수 있는파일명으로, 분석환경을판단하기위한방법중하나로보인다. sandbox, malware, sample, virus, self [ 표 1] 분석환경탐지파일명목록 2) 안티바이러스및분석툴검색 또한, 현재 PC 에서실행되고있는프로세스들을검색하여다음과같은프로세스가실행중인지확인한다. 이는분석환 경을판단하고안티바이러스제품으로부터탐지되는것을방지하기위함으로보인다. avastsvc.exe, aavastui.exe, avgsvc.exe, iavgui.exe, procexp64.exe, procmon64.eee, procmon.exe, ollydbg.exe, procexp.exe, windbg.exe [ 표 2] 안티바이러스및분석툴프로세스목록 3) 안티디버깅 부착된디버거존재유무를확인하기위해프로세스정보를담고있는 Process Environment Block 구조체의 BeingDebuged 값과 Native API 인 ZwqueryInformationProcess 반환값을확인한다. [ 그림 1] ProcessDebugObjectHandle 을이용한디버깅확인 21

03 악성코드분석보고 4) 가상환경탐지 프로세서종류를확인하는명령어인 CPUID 를이용하여현재시스템환경이가상에서실행되고있는지확인한다. 파라미터 (EAX) 값이 0x40000000 일때, 가상환경이라면 EBX, ECX, EDX 값을통해특정문자열을반환한다. [ 그림 1] CPUID 를이용한가상환경탐지 KVM Microsoft Hyper-V KVMKVMKVM\0\0\0" "Microsoft Hv" VMware VMwareVMware " Xen XenVMMXenVMM " Parallels VirtualBox prl hyperv" VBoxVBoxVBox [ 표 3] 가상머신별반환문자열 5) 코드난독화 코드내에실행되지않는코드를삽입하여디버거나디스어셈블러에서정상적으로번역하지못하게한다. [ 그림 3] 코드내에삽입된더미코드 22

03 악성코드분석보고 뿐만아니라, 함수포인터를통하여더미코드들과실제악성행위코드를함께호출시켜분석을방해한다. [ 그림 4] 함수호출코드 2.2. 정보탈취 분석환경이확인되지않을경우, 설치된파일과레지스트리등을사용하여사용자의정보를수집한다. 수집하는정보는 다음과같다. 탈취정보로컬 PC 정보 FTP 계정정보이메일 / 계정정보브라우저관련정보 상세내용 User Name, OS Version, 국적, 권한, MAC 주소등 ALFTP, BlazeFtp, LinasFTP, NovaFTP, FTPVoyager, wiseftp 등 Outlook / POP3 / IMAP / NNTP / HTTPMail / SMTP 등 Internet Explorer, Chrome, Firefox, Opera, Thunderbird, SeaMonkey 등 [ 표 4] 탈취항목 또한, PC 에등록된계정들을확인하고계정탈취를위해무작위대입식공격인브루트포싱공격을시작한다. 다음은 브루트포싱공격코드이다. 23

03 악성코드분석보고 [ 그림 5] 브루트포싱공격코드 다음은브루트포싱공격에사용되는비밀번호리스트이다. '1234567890', 'gfhjkm', 'ghbdtn', 'billgates', 'gates', 'mustdie', 'windows', 'hotdog', 'prayer', 'stella', 'cassie', 'kitten', 'danielle', 'jasper', 'hallo', '112233', 'saved', 'dexter', 'hardcore', 'angel1', '55555', 'chelsea', 'qwert', 'prince', 'blabla', 'red123', 'baby', '1q2w3e4r', 'john', 'jason', 'maxwell', 'sammy', 'fuckoff', 'scooby', 'emmanuel', 'nathan', 'loving', 'football1', 'ilovegod', 'jordan23', 'cocacola', '11111111', 'bubbles', '222222', 'microsoft', 'none', 'destiny', 'friend', 'church', 'mylove', 'david', 'onelove', 'maverick', 'testtest', 'green', 'dallas', 'mike', 'samuel', 'zxcvbnm', 'praise', 'wisdom', 'slayer', 'rotimi', 'adidas', 'foobar', 'creative', 'qwerty1', 'knight', 'genesis', 'viper', '1q2w3e', 'iloveyou!', 'benjamin', 'power', 'hockey', 'corvette', 'anthony', 'enter', 'bandit', 'spirit', 'thunder', 'digital', 'lucky', 'joseph', '7777', 'smokey', 'harley', 'looking', 'nintendo', 'shalom', 'hope', 'friends', 'google', 'merlin', 'admin', 'sparky', 'austin', 'passw0rd', 'chris', 'junior', 'chicken', '123abc', 'online', 'trinity', 'maggie', 'winner', 'george', 'startrek', '123321', '123qwe', 'london', 'victory', 'asdfasdf', 'james', 'banana', 'scooter', 'flower', 'cool', 'peaches', 'blink182', 'richard', 'john316', 'forum', 'taylor', 'diamond', 'compaq', 'samantha', 'dakota', 'eminem', 'hello1', 'biteme', 'mickey', 'soccer1', 'bailey', 'cookie', 'batman', 'peanut', 'guitar', 'rainbow', 'rachel', 'asdfgh', 'forever', 'robert', 'silver', 'canada', 'matthew', 'myspace1', 'blahblah', 'blessing', 'poop', 'hahaha', 'asshole', 'fuckyou1', 'gateway', 'muffin', '666666', 'nicole', 'iloveyou2', 'william', 'grace', 'secret', 'peace', 'michelle', 'apple', 'testing', 'orange', 'jasmine', 'justin', 'helpme', 'mustang', '11111', 'iloveyou1', 'pokemon', 'welcome', 'jessica', 'snoopy', 'mother', 'ginger', 'nothing', 'amanda', '654321', 'aaaaaa', 'pass', 'matrix', 'happy', 'qazwsx', 'hannah', 'single', 'jennifer', '1111', 'daniel', 'charlie', 'angels', 24

03 악성코드분석보고 'thomas', 'andrew', 'lovely', 'hunter', '7777777', 'pepper', 'heaven', 'buster', 'ashley', 'summer', 'faith', 'jordan', 'purple', '000000', 'starwars', 'baseball', 'blessed', 'fuckyou', 'joshua', 'internet', 'cheese', 'michael', 'superman', 'soccer', 'asdf', 'killer', 'freedom', 'whatever', '123123', 'jesus1', 'angel', 'football', 'tigger', 'princess', 'computer', 'master', 'sunshine', 'christ', '123456789', 'shadow', '1234567', 'iloveyou', '111111', 'trustno1', 'dragon', 'monkey', 'hello', 'password1', 'love', 'test', 'letmein', 'abc123', '1234', '12345678', 'jesus', '12345', 'qwerty', 'phpbb', 'password', '123456' [ 표 5] 브루트포싱에사용되는비밀번호목록 위과정을통해탈취된정보들은암호화하여공격자서버인 http://62.108.40.55/k5/gate.php 로전송된다. 하지만 현재는 C&C 서버가차단돼연결되지않는다. 다음은정보전송코드이다. [ 그림 6] C&C 정보전송코드 25

03 악성코드분석보고 2.3. 자가삭제 정보탈취기능을모두수행한뒤, [ 임의명 ].bat 형식의파일을생성한다. 해당파일은자가삭제기능을수행한다. 이는 감염 PC 로부터악성코드를삭제하여수집이어렵도록하기위함으로보인다. 다음은자가삭제코드이다. [ 그림 7] 자가삭제코드 26

03 악성코드분석보고 3. 결론 본악성코드는사용자정보를탈취하는것을주목적으로한다. 특히 FTP 나브라우저, 이메일관련프로그램에서민감한 사용자계정정보를탈취하기때문에 2 차피해가야기될수있어각별한주의가필요하다. 해당악성코드는로컬 PC 의사용자계정정보탈취를위해부르트포싱공격을사용한다. 이때사용되는비밀번호리스트는비교적간단한영어단어및숫자형식을가진다. 부르트포싱공격을예방하기위해서사용자들은영문대문자와숫자, 특수문자등을이용해복잡한조합의비밀번호를사용해야하며, 주기적으로비밀번호를변경해주는습관을가질필요가있다. 이러한악성코드에감염이되지않기위해서출처가불분명한이메일에있는링크혹은첨부파일에대해열람을삼가야 한다. 또한백신을최신업데이트상태로유지하며주기적인검사를실시하여야한다. 현재알약에서는 Trojan.Agent. 544256 로진단하고있다. 27

03 악성코드분석보고 [Trojan.Android. KRBanker] 악성코드분석보고서 1. 개요 스미싱과보이스피싱등을결합한형태로악성앱들이유포되고있다. 해당앱들은주로 1 금융관련앱을사칭하였으나최근에는국가기관, 2 금융사칭등으로다양한형태로나타나고있다. 기기및개인정보를탈취하고금융정보탈취를목적으로기기의통화상태를감시한다. 특히, 해당앱은분석을어렵게하기위해서중국 Qihoo 360 사의패킹기술을적용하였다. 본분석보고서에서는 Trojan.Android. KRBanker 를상세분석하고자한다. 28

03 악성코드분석보고 2. 악성코드상세분석 2.1. 패킹특징중국 Qihoo 360 사의패킹된앱은일반앱과는다른부분이존재한다. 앱의권한과컴포넌트관련정보를볼수있는매니페스트를보면일반안드로이드앱에서는볼수없는항목인 android:qihoo 부분이추가되어있는데이는디컴파일을방해한다. assets 폴더에는파일의무결성과동적패킹에관여하는.appkey, libjiagu.so 파일이포함되어있다. 또한, 아래 [ 그림 2] 를보면패키지명이 com.android.hellod3 이지만, 패킹된덱스코드에서는해당부분을찾을수없어정적분석으로는실제악성행위와관련된코드를볼수없다. [ 그림 1] 패킹된앱의구조 29

03 악성코드분석보고 [ 그림 2] 패킹전후덱스코드비교 2.2 안티디컴파일러앱디컴파일에흔히쓰이는 apktool 최신버전을통해서컴파일을시도하면매니페스트의 qihoo 와관련된요소를찾을수없다고하여에러를일으킨다. 앱의동적분석을위해서는매니페스트에 android:debuggable="true" 항목이필요한데이를방지한다. [ 그림 3] 컴파일실패 2.3 안티디버깅패킹앱의초기에는안티디버깅이포함되어있지않아서메모리에로드된덱스파일을실시간덤프를함으로써간단히패킹앱의분석이가능했다. 그러나최근패킹앱에는다양한안티디버깅기법이추가되었기때문에동적분석을통해서안티디버깅을우회한다음에서야메모리에로드된덱스파일덤프가가능하다. 2.3.1 dlactivity 확인 /system/linker 모듈내부에존재하는 dl_rtld_db_dlactivity 의값은디버깅되고있는지없는지를나타낸다. 30

03 악성코드분석보고 [ 그림 4] dlactivity 활용안티디버깅 2.3.2 TracerPid 확인 /proc/self/status 파일을확인해보면앱과관련된정보들이나타나있다. 그중에서 TracerPid 의값을통해서디버깅 여부를확인할수있다. 31

03 악성코드분석보고 [ 그림 5] TracerPid 활용안티디버깅 2.3.3 주소활성화여부확인 주소와포트를확인하여디버깅여부를확인한다. IDA 를통해서안드로이드원격디버깅이가능한데, IDA 의기본 디버깅주소와포트의활성화여부를확인하여디버깅여부를확인한다. [ 그림 6] 주소확인을통한안티디버깅 32

03 악성코드분석보고 2.3.4 특정문자확인 gdb, android_server 등의동적디버깅에사용되는도구들의명령어및메모리상의관련문자열확인을통해서 디버깅여부를확인한다. [ 그림 7] 명령어및메모리확인을통한안티디버깅 2.3.5 시간확인 코드실행중간중간에시간관련함수를추가하여해당코드의실행시간을계산하여디버깅여부를확인한다. [ 그림 8] 시간확인을통한안티디버깅 33

03 악성코드분석보고 2.3.6 덱스파일덤프안티디버깅을모두우회하면복호화된덱스파일은 libart.so 모듈에의해서메모리로로드되는데, 이때덱스파일이로드된메모리주소와덱스파일구조에기록되어있는덱스파일의크기를계산하여해당부분을덤프한다. 다음실제코드가담긴덱스코드를분석한다. [ 그림 9] 덱스파일덤프 34

03 악성코드분석보고 2.4 덱스파일분석 assets 폴더에는 image.zip 파일이있는데내부에는악성행위에사용되는가짜통화관련사진과악성앱을 구성하는여러개의사진등이있다. [ 그림 10] 악성앱에사용되는파일 기기의아이디와전화번호를탈취하여식별정보로사용한다. [ 그림 11] 기기정보탈취 35

03 악성코드분석보고 기기부팅시서비스를실행시켜지속적인악성행위를가능토록한다. [ 그림 12] 기기부팅시재실행 안드로이드정책에서는일정시간동안와이파이를사용하지않으면꺼지게되는데이를방지하여 C&C 와의지속적인 통신을가능토록한다. [ 그림 13] 지속적인와이파이연결 메시지를주기적으로감시하고탈취하여 C&C 서버로전송한다. [ 그림 14] 메시지탈취 주소록을주기적으로감시하고탈취하여 C&C 서버로전송한다. 36

03 악성코드분석보고 [ 그림 15] 주소록탈취 통화상태를확인하고특정번호를감시하여해커에게연결되도록하고사용자를속이기위해서가짜통화사진을 팝업한다. [ 그림 16] 통화탈취 C&C 서버는 lib 폴더의 libmasker.so 파일내부의함수호출을통해서불러온다. [ 그림 17] C&C 서버 37

03 악성코드분석보고 3. 결론 해당악성앱은금융권앱의아이콘과이름을사칭한다. 사용자의기기및개인정보를탈취하고전화상태를확인하여 특정번호를감시한다. 통화를종료하고해커에게전화를자동으로걸도록하여금융정보를탈취한다. 특히, 앱의 분석을어렵게하기위해서중국의 Qihoo 360 의패킹을적용했다. 따라서, 악성앱으로부터피해를최소화하기위해서는백신앱을통한주기적인검사가중요하다. 출처가불명확한 URL 과파일은실행하지않는것이기본이고공식마켓인구글플레이스토어를통해서확보한앱이라도백신앱을추가 설치하여주기적으로업데이트하고검사해야한다. 현재알약 M 에서는해당앱을 Trojan.Android.KRBanker 탐지명으로진단하고있다. 38

이스트시큐리티보안동향보고서 04 해외보안동향 영미권 중국 일본 39

04 해외보안동향 1. 영미권 해커가사용자컴퓨터감염에악용할수있는패치되지않은 MS Word 의취약점 발견 Unpatched MS Word Flaw Could Allow Hackers to Infect Your Computer 사이버보안연구원들이마이크로소프트오피스 2016 및이전버전에존재하는패치되지않은논리적결함을 발견했다. 이는공격자가문서파일내부에악성코드를내장시킬수있도록허용해사용자가그들의컴퓨터에서 악성코드를실행하도록속일수있다. Cymulate 의연구원들이발견한이버그는 Word 문서의 온라인비디오 기능을악용한다. 이는유튜브링크를사용해문서에비디오를삽입할수있는기능이다. 사용자가 MS Word 문서에온라인비디오링크를추가하면, 이온라인비디오기능은자동으로 HTML embed 스크립트를생성한다. 이스크립트는사용자가문서에포함된썸네일을클릭하면실행된다. 마이크로소프트는이문제를보안취약점으로인정하기를거부해, 연구원들은이취약점을발견한지 3 개월이지난후 이취약점에대한내용을공개하기로결정했다. 새로운 MS Word 공격은어떻게동작하나요? Word Doc 파일 (.docx) 는실제로미디어및설정파일이포함된 zip 패키지로쉽게오픈및편집이가능하다. 40

04 해외보안동향 연구원들에따르면 Word 가사용하는디폴트 XML 파일이자생성된임베디드비디오코드를포함하는 'document.xml 파일은수정이가능해비디오 iframe 코드를백그라운드에서실행될 HTML 또는 javascript 코드로 바꿔치기할수있다. 간단히말해, 공격자는이취약점을악용해실제유튜브비디오를인터넷익스플로러다운로드매니저에서실행되는 악성코드로변경할수있다는이야기다. xml 파일내부에서유튜브아이프레임코드를포함하는 embeddedhtml 파라미터 (WebVideoPr) 파라미터를찾는다. Document.xml 파일에변경사항을저장하고수정된 xml 파일을포함하여 docx 패키지를업데이트한후문서를 오픈한다. MS Word 에서이문서를오픈하는동안, 어떠한보안경고도나타나지않는다. 이취약점을증명해내기위해, 연구원들은 PoC 공격을만들었다. 이는악의적으로만들어진문서에내장된비디오를 사용자가클릭했을때아무것도다운받지않고, 어떠한보안경고도없는상태에서내장된실행파일을실행한다는 창이뜨는것을보여준다. 이공격을위해서는, 공격자가피해자에게파일을열고내장된비디오링크를클릭하도록속여야한다. 이버그는 MS 41

04 해외보안동향 오피스 productivity suite 2016 및구버전을사용하는사용자들에게모두영향을미친다. 연구원들은마이크로소프트에 3개월전이취약점을제보했지만, 회사는이를보안취약점으로인정하지않았다. 또한마이크로소프트는이문제를수정할계획이없는것으로보이며, 설계된대로 HTML 을적절히해석하고있습니다. 라고만밝혔다. 연구원들은기업담당자들에게 Document.xml 파일내에임베디드비디오태그인 embeddedhtml 를포함한 Word 문서를차단하기를권고했다. 또한최종사용자들은출처를알수없거나의심스러운이메일의첨부파일을오픈하지 말아야한다. [ 출처 ] https://thehackernews.com/2018/10/microsoft-office-online-video.html https://blog.cymulate.com/abusing-microsoft-office-online-video 42

04 해외보안동향 새로운 Intel CPU 취약점, 암호화된데이터를훔치기위해하이퍼스레딩악용해 New Intel CPU Flaw Exploits Hyper-Threading to Steal Encrypted Data 보안연구원팀이 Intel CPU 에서또다른사이드채널취약점을발견했다. 이취약점은공격자가동시멀티스레딩 기술이활성화된동일한 CPU 코어에서실행되는다른프로세스들에서패스워드, 암호화키와같은보호된중요한 데이터를스니핑할수있도록허용한다. PortSmash (CVE-2018-5407) 라명명된이취약점은 Meltdown, Spectre, TLBleed, Foreshadow 를포함해지난해 발견된다른위험한사이드채널취약점들중하나가되었다. 핀란드의 Tampere University of Technology 와쿠바의 Technical University of Havana 연구원팀이발견한이새로운사이드채널취약점은인텔의 SMT( 동시멀티스레딩 ) 구현인하이퍼스레딩기술에존재한다. 동시멀티스레딩 (Simultaneous MultiThreading SMT) 은성능을향상시키기위한기능이다. 이는프로세서의각물리적인코어를스레드라는가상코어로분할해각코어가두개의명령스트림을동시에실행할수있도록한다. SMT 는동일한물리적코어에서두개의스레드를두개의독립적인프로세스에서동시에실행해성능을높이고자한것으로, 한프로세스는또다른프로세스가무슨일을수행하는지에대해놀라울만큼많은양의정보를볼수있다. 따라서, 공격자가악성 PortSmash 프로세스를희생양프로세스와함께동일한 CPU 코어에서실행할경우, PortSmash 코드는각작업에소요되는정확한시간을측정함으로써다른프로세스가실행한작업을스누핑할수있게된다. OpenSSL 복호화키를훔치는 PortSmash 공격연구원들은 GitHub 에공개된 PoC 를이용해 OpenSSL ( 버전 1.1.0h 이하 ) 암호화라이브러리에서 PortSmash 공격을테스트했으며, OpenSSL 스레드 ( 희생양 ) 와동일한물리적코어에서악성프로세스 ( 익스플로잇 ) 을실행시켜성공적으로개인복호화키를훔쳐냈다. PortSmash 공격은현재까지 Intel 의 Kaby Lake 와 Skylake 프로세서에서만동작하는것으로확인되었지만, 연구원들은코드를약간만수정하면 AMD 를포함한다른 SMT 아키텍쳐에서도이공격이동작할것이라고추측했다. 올 8 월, TLBleed 와 ForeShadow 공격이공개되었을때 OpenBSD 의설립자이자 OpenSSH 프로젝트의리더인 Theo de Raadt 는사용자들에게모든 Intel BIOS 들의 SMT/ 하이퍼스레딩을비활성화하도록권고했다. 그는 SMT 는두 CPU 인스턴스간에리소스를공유하며, 공유된리소스는보안장치가부족하기근본적으로망가졌다고볼수 있습니다. 그리고더많은하드웨어버그들및아티팩트들이공개될것으로추측됩니다. SMT 가 Intel CPU 의추측실행과 상호작용하는방식으로인해, SMT 는향후문제의대부분을악화시킬것으로예상합니다. 고밝혔다. 43

04 해외보안동향 PortSmash 공격으로부터시스템을보호하는법연구원들은이새로운사이드채널취약점을 Intel 의보안팀에지난달초제보하였으나, 11 월 1일까지패치를제공하지않아 PoC 익스플로잇을공개하게됐다고밝혔다. 이팀은 PortSmash 공격에대한자세한보고서인 Port Contention for Fun and Profit 을조만간발표할것이라고도밝혔다. Intel 이보안패치를공개하기전까지 PortSmash 취약점을완화시키는가장간단한방법은 CPU 칩의 BIOS 에서 SMT/ 하이퍼스레딩을비활성화하는것이다. OpenSSL 사용자들은 OpenSSL 1.1.1 ( 또는 1.1.0i 이후 ) 버전으로 업그레이드하면된다. AMD 는 PortSmash 사이드채널공격이 AMD 의제품에어떤영향을미치는지조사중이다. [ 출처 ] https://thehackernews.com/2018/11/portsmash-intel-vulnerability.html https://seclists.org/oss-sec/2018/q4/123 44

04 해외보안동향 서비스형랜섬웨어로돌아온 Kraken 랜섬웨어 2.0 Kraken ransomware 2.0 is available through the RaaS model 악명높은 Kraken 랜섬웨어의제작자가악성코드의새로운버전을공개했으며, 다크웹에서 RaaS( 서비스형랜섬웨어 ) 배포프로그램을시작했다. 새로운 Kraken v2 버전은언더그라운드포럼에서광고되고있으며, 서비스형랜섬웨어 (RaaS) 모델을이용해제공된다. 단 50 불만으로도이협력프로그램에신뢰할수있는파트너로써참여가가능하며, 15 일마다 Kraken 랜섬웨어의개선된빌드를받을수있다. 협력자들은지불된랜섬머니의 80% 를받을수있으며, 운영자들은 24 시간지원서비스를제공한다. McAfee 는 Advanced Threat Research 팀과 Recorded Future 의 Insikt 그룹이협업한결과, Kraken 의제작자들이 Fallout 팀의익스플로잇에추가할것을요청했다는증거를발견했다. 이파트너쉽을통해 Kraken 은범죄자고객들을위한새로운악성코드배포방식을갖게되었습니다. 또한 Kraken 랜섬웨어와관련된사용자인 ThisWasKraken 이유료계정을가지고있다는사실도발견했습니다. 유료계정은언더그라운드포럼에서보기힘든편은아니지만, 보통랜섬웨어와같은서비스를제공하는악성코드개발자들은매우신뢰도가높은멤버들이며, 다른고레벨멤버들에게심사를받습니다. 유료계정을가진멤버는보통커뮤니티에서의신뢰도가매우낮습니다. 고밝혔다. Kraken Cryptor 는서비스형랜섬웨어 (RaaS) 협력프로그램이며사이버범죄언더그라운드에 2018 년 8 월 16 일처음 나타났다. 이는 ThisWasKraken 사용자를통해러시아어를사용하는사이버범죄자들의포럼에광고되었다. 9 월말, 보안연구원인 nao_sec 은 Fallout 익스플로잇키트 (GandCrab 랜섬웨어를배포한것과동일함 ) 가 Kraken 랜섬웨어를배포하기시작했다는것을발견했다. 피해자가랜섬머니를지불하면, 협력멤버들은이금액의 20% 를 RaaS 에보내어 ThisWasKraken 으로부터복호화키를받아피해자에게전달해주기만하면된다. 다른위협들과마찬가지로, Kraken Cryptor RaaS 는이전소비에트연합국가들중다수의피해자들은감염시키지 않는다. Recorded Future 는 실제공격에서발견된 Kraken 의최신샘플은시리아, 브라질, 이란의피해자들을감염시키지않습니다. 이로써 ThisWasKraken 이브라질, 이란과관계가있는것으로추측해볼수있으나, 정확하지는않습니다. 시리아가추가된이유는 GandCrab 랜섬웨어에감염된피해자들을도와달라는의미에서추가된것으로추측됩니다. 라고밝혔다. 45

04 해외보안동향 연구원들은이 RaaS 의운영자들이협력자들이 Kraken 샘플파일을안티바이러스서비스에등록하는것을허용하지 않으며, 구매한페이로드에대해서는환불하지않는다고밝혔다. 아래의지도는 Kraken 랜섬웨어의제작자가공개한피해자분포를보여준다. 이는 8 월부터이미전세계 620 명의피해자를감염시켰다. 하지만연구원들은실제캠페인은지난달부터시작한 것으로추측했다. 또한공격자들은이위협을 SuperAntiSpyware 웹사이트의보안솔루션으로위장했다고도밝혔다. 연구원들은사이버범죄언더그라운드에서 RaaS 와협력프로그램이많은범죄자들을양산하고있다는점을강조했다. [ 출처 ] https://securityaffairs.co/wordpress/77650/malware/kraken-ransomware-2-raas.html https://www.recordedfuture.com/kraken-cryptor-ransomware/ https://securingtomorrow.mcafee.com/mcafee-labs/fallout-exploit-kit-releases-the-kraken-ransomware-on-its-victims/ 46

04 해외보안동향 2. 중국 2018 년 10 월중국내랜섬웨어동향분석 감염데이터분석 10 월랜섬웨어감염데이터에대해분석해본결과, 10 월은 9월에비해감염치가소폭감소하였다. 10 월달에감소한원인은주로취약한비밀번호공격에취약한시스템들이감소해서라고추정하고있다. 하지만이러한위험헤직면해있는환경 ( 예를들어원격데스크탑기능, 공유폴더사용, mssql DB 서버, Tomcat 등 ) 은여전히취약한비밀번호공격에노출되어있다. 360 세이프데이터센터의데이터분석결과를보면 10 월 22 일한차례소규모랜섬웨어공격이발생했었다. 이소규모 공격은 GandCrab 랜섬웨어유포로발생한것으로, 주요유포경로는취약한비밀번호를사용하였다. 10 월랜섬웨어악성코드분석결과, GandCrab 패밀리가이전의 Crysis 및 GlobeImposter 패밀리의수치를넘어가장 많이유포된랜섬웨어가되었다. 주요원인을분석해본결과 1) GandCrab 랜섬웨어는블랙마켓에서판매중이며, Split mode(?) 를사용하며, 해당랜섬웨어를구매하는조직이비교적많다. 2) 해당랜섬웨어제작자가 GandCrab 랜섬웨어유포자커뮤니티를만들어랜섬웨어유포자를모집하고기술지원도진행한다. 또한접근할수있는문턱이다른랜섬웨어들보다낮다. 3) GandCrab 랜섬웨어가언급되는신문기사들이많아지고영향력이커짐 ( 예를들어최근시리아의어떤사람이 Twitter 상에서이미죽은자신의아들사진을이용하여도움을구하며 GandCrab 유포한사건등 ) 에따라일정범위에서 유명세 를탔다. 랜섬웨어에감염된시스템을보면 Windows7 이가장많은범위를차지하였다. 9 월과 10 월의감염시스템을비교해본결과, 10 월에서버감염율이상승하였다. 최근몇달동안서버감염비율이 높아지고있는데, 이는서버가공격가치가더높을뿐만아니라, 서버에탑재되어있는서비스들이더많고파급력이더 높기때문으로추정된다. 47

04 해외보안동향 랜섬웨어최신레포트이번달에 Crysis 패밀리와 GlobeImposter 패밀리의감염률이하락하였다. 하지만버전측면에서보았을때이두패밀리랜섬웨어들은끊임없이업데이트를진행하고있으며, 이에따라취약한비밀번호에대한조치는여전히중요하게여겨지고있다. 이번달는확장자를 XXXX 및 BETTA 로붙이는 Crysis 랜섬웨어, 또한확장자를 Help4444 및Crypted_bizarrio@pay4me_in 로변경하는 GlobeImposter 가발견되었다. 또한이번달에 RDP 를통해유포되는 GandCrab 랜섬웨어가 10 월 22 일가장활발히활동하였으며, 취약점을 악용하여유포되는 GandCrab 랜섬웨어의활동은 10 월 25 일가장활발하였다. 10 월 25 일가장정점을찍은주요원인은이전의랜섬웨어버전이이미복호화방법이발견되었기때문에, 랜섬웨어 제작자가해당일에새로운버전의랜섬웨어를공개하였기때문이다. 이전버전의 GandCrab 랜섬웨어감염자들은 360 복호화툴을이용하면 GandCrab 5.0.3 을포함한이전버전들을복호화할수있다. 또한 Satan 은이번달 10 월 15 일활동하기시작하였으며, 10 월 27 일그유포량이최대에달했다. 360 보안연구원은 satan 샘플에대해분석을진행한결과해당랜섬웨어의암호화는복호화할수있으며, 10 월 22 일에 Satan v4.2 에 대한복호화툴이이미나왔다. 이번달에또한새로운랜섬웨어인 sicck 가발견되었다. 해당랜섬웨어는사용자에게복호화댓가로 1 비트코인을 요구한다. 하지만이랜섬웨어가생성하는정보에는문제가있는데, 관리자권한에서만동작하며, 암호화가성공된 이후에만해당랜섬노트를볼수있다. Sick 랜섬웨어를분석할때사용자시스템내의파일들을암호화할때일부폴더에대해암호화를진행하지않고 건너뛰는것을확인하였다. 그중에는 360 관련폴더도있었으며, 이때문에해당랜섬웨어가중국에서제작된것으로 추측되고있다. 공격시스템분포도로보았을때공격대상이되는서버는주로 Windows server2003 이며, Windows 2008, Windows2012 가그뒤를이었습니다. 10 월과 9 월의약한취약점공격추이를본결과 RDP 공격양이증가하였으며, 9 월하루최대공격횟수가 400 만회였다면, 10 월에는하루최대공격횟수가 600 만 ~700 만회에달했다. Mysql 에대한공격은눈에띄게 줄어들었다. [ 출처 ] https://www.anquanke.com/post/id/163745 48

04 해외보안동향 Baidu, 중국기업최초로 Partnership on AI 회원이되었다 미국시간으로 10 월 16 일, Partnership on AI 는중국기업 Baidu 의회원가입을축하하며, 이번협력은 " 진정한글로벌 협력기구로나아가는첫발 " 이라고밝혔다. 바이두와 Partnership on AI 의회원들은 AI 연구표준과글로벌 AI 정책을 만드는데노력할것이다. Partnership on AI 는비영리기업으로 Facebok,Amazon,Google,IBM,MS 가연합하여만든조직이다. 이목적은 AI 가 인공지능의영향을보다잘이해할수있도록미래에 AI 가안전하고투명하며합리적으로개발될수있도록전세계의 다양한목소리를모으는것에두고있다. 이조직의규모가점점커짐에따라, 애플, Intel, 소니등 AI 영역의기업들이끊임없이합류하고있다. [ 출처 ] https://baijiahao.baidu.com/s?id=1612636778779029897&wfr=spider&for=pc 49

04 해외보안동향 3. 일본 인터넷에서도난피해를입은신용카드정보, 눈에띄는 부정트러블 에대한악용 인터넷상에서탈취당한신용카드정보가여행관련부정결제에악용당한케이스가많다며일본사이버범죄대책센터 (JC3) 가주의를권고했다. 피싱메일이나악성코드등을통해서부정으로취득한신용카드정보를이용하여항공권이나숙박시설, 테마파크의티켓등의구입에악용하는 부정트러블 이다수확인되고있다고해서주의를호소한것이다. 일본사이버범죄대책센터에따르면, 범행그룹은일본국내여행에대해정보가많은여행대리점을위장하여할인등을한다고선전하며일본방문을희망하는여행자를유인한다. 여행의신청자에대해서탈취한신용카드정보로결제하여여행을수배한다. 그때얻은예약정보를여행자에게전달하여정규예약을한것으로믿게만들어요금을속여서빼앗고있었다. 부정트러블 의흐름 ( 그림 :JC3) 여행자는부정한결제가이루어진것인지모르고여행을하고그뒤여행관련사업자나신용카드회사등에서 부정결제였다는사실이발각되었다고한다. 또여행중에문제가발각되면, 부정한결제로수배되어있었다는것을 모르고일본을방문한여행자사이에서트러블로발전할가능성도있다. 50

04 해외보안동향 이센터에서는인바운드가증가하는 2020 년도쿄올림픽 / 페럴림픽을목표로 부정트러블 이실태해명이나배제를위해관계자와의연계를강화한다. 또신용카드의탈취에주의를호소하는동시에여행수배를할경우에는신뢰할수있는정규사이트를이용하도록요구하고있다. [ 출처 ] https://japan.zdnet.com/article/35125010/ 51

04 해외보안동향 계정을영구히폐쇄 라고불안을부추기는가짜 Amazon Amzon 이라는기재도 피싱대책협의회는 Amazon 을노리는피싱메일이나돌고있다고해서주의를당부했다. 계정 정지 나 폐쇄 등을 구실로하여불안을부추겨서가짜사이트로유도하려고하고있었다. 이번공격에서는피싱대책협의회가파악하고있는것만해도 5종류의제목을이용한다고한다. 서비스를정지할수없게되거나보안상의리스크가있다는등의설명으로불안을부추기는내용으로, 일부에는제목에수신자의성명이나메일주소를기재하는케이스도있었다. 한편스펠을잘못썼는지필터링에대한대책인지는명확하지않으나제목에서 Amzon 이라는표기를이용하는공격도확인되고있다. 또메일의본문에는 24 시간이내에계정을확인하지않으면계정을영구히폐쇄하겠다고기재한것도있어링크를이용하여가짜로그인화면으로유도하고있었다. HTML 메일을이용함으로써유도처 URL 을은폐하고있으나적어도 7건의유도처가존재한다고한다. 유도처의도메인은 amazon, amazon, amazen 등의문자열을넣어서정규사이트를가장하려고하고있었다. 이협의회에서는유사한피싱공격에주의하도록권고하고있다. 보고를받은메일제목은다음과같다. 사용하시는 Amazon ID 가정지됩니다! 서비스번호 : 사용하시는 Amazon ID 가정지됩니다! [ 수신자의메일주소 ] Amzon 친애하는고객님, 보안리스크를위해고객님의계정은정지되어있습니다. Amzon 친애하는고객님 :[ 수신자성명 ], 계정에보안리스크가있습니다. [ 수신자성명 ] Amazon 계정의서드파티의로그인. 변경해주십시오. 52

04 해외보안동향 피싱메일의예 ( 화면 : 피싱대책협의회 ) [ 출처 ] http://www.security-next.com/099182 53

04 해외보안동향 일본등 14 개국의대학을노리는대규모공격 논문 DB 를가장한피싱으로 지적재산을표적으로 이란이관련된것으로보이는공격그룹 COBALT DICKENS 이일본을비롯하여여러국가의교육기관에대해서피싱공격을전개하고있다는사실이밝혀졌다. Secureworks 가대학의로그인페이지를가장하는피싱사이트를확인했다는사실을계기로공격에이용된 IP 주소에대해서조사한결과, 인증정보의탈취를목적으로한대규모공격캠페인이전개되고있다는사실이판명되었다. 문제의 IP 주소에서는 16 건의도메인을악용한다. 일본을비롯하여미국, 캐나다, 영국, 스위스, 터키, 이스라엘, 오스트레일리아, 중국등적어도 14 개국의 76 개대학, 300 개이상의위장사이트를설치하고있었다. 이회사에따르면표적이된일본국내대학은소수지만, 모두주로영어로작성되어있으며각대학에복수의 피싱사이트가설치되어있었다고한다. 공격대상이된지역의히트맵 ( 그림 :Secureworks) 이들피싱사이트에서는로그인페이지로보이게만들어계정정보를노리고있으며, 사기후에는피싱공격이었다는 것을눈치채지못하도록정규페이지로바뀌는시스템이었다. 일부는논문검색시스템등을위장하고취득한계정정보 등을이용하여지적재산등에접속하고있었던것으로보인다. 이들피싱사이트에대한유도경로는밝혀져있지않지만, 과거의공격경향으로살펴보면대학의라이브러리시스템 등을가장한피싱메일에의해유도되었을가능성이있다. 대학등학술기관에대한피싱공격의경우는메일시스템등을 가장하는수법도적지않지만, 이번캠페인에관해서는확인되지않고있다고한다. 54

04 해외보안동향 공격자는 2018 년 5 월부터 8 월에걸쳐서이들도메인을등록했다. 또 2018 년 5 월에등록한도메인에는타깃으로한 대학의서브메인의문자열등을포함하고있었다. 이번공격에대해서 Secureworks 는이용하는인프라나지적재산의 탈취를노리는수법등, 공격그룹 COBALT DICKENS 이과거에전개한공격과흡사하다고지적한다. 이그룹은이란정부와의관계가지적되고있어 2018 년 3월에는미사법성이관계자로보이는이란인 9명을고발하고있으나그후에도공격을계속하고있는것으로이회사는분석하고있다. 대학에서는최첨단연구를실시하여지적재산을보호하는한편, 보안대책에대한규제가엄격한금융기관이나헬스케어관련사업자에비해보안대책이안이하여공격대상이되고있다고지적하고있다. [ 출처 http://www.security-next.com/099256 55

( 주 ) 이스트시큐리티 ( 우 ) 06711 서울시서초구반포대로 3 이스트빌딩 02.583.4616 www.estsecurity.com 0