Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 2009 년 12 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 년 12월의악성코드감염보고는 Win32/Induc과 TextIma

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 2009 년 12 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2009년 12월의악성코드감염보고는 Win32/Induc과 TextImage/Autorun이 1,2위를차지하고있으며, 신규로 Top 20에진입한악성코드는총 7건이다. 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을종합한악성코드대표진단명별감염보고 Top 20이다. 2009년 12월의악성코드감염보고건수는최근 3개월간계속 1위를차지하고있던 Win32/Induc 보다약 4.2% 가량많이보고된 Win-Trojan/ Agent가총 865,9215건으로 1위를차지하였다. 그뒤를 Win32/Induc 이 610,137건, Win-Trojan/OnlineGameHack 이 567,858건으로각각 2 위와 3위를차지하였다. 상위그룹을유지하는온라인게임관련사용자정보취득목적의악성코드에대한주의와더불어눈에띄지않지만항상중위권을유지하고있는파일감염형바이러스인 Win32/Virut과윈도보안취약점을이용하여전파되는 Win32/Conficker, USB 드라이브를통해전파되는 Win32/Autorun.worm에대해서도주의하여 PC를사용하는자세가필요하다. 아래차트는고객으로부터감염이보고된악성코드유형별비율이다. [ 그림 1-1] 악성코드유형별감염보고비율 AhnLab Policy Center 4.0 세상에서가장안전한이름안철수연구소 01

악성코드유형별로감염보고건수비율은트로잔 (Trojan) 류가 43.8% 로가장많은비율을차지하고있으며, 다음으로애드웨어 (Adware) 류가 14.6%, 웜 (Worm) 과바이러스 (Virus) 가각각 9.6% 와 9.2% 를차지하고있다. 아래표는 12 월에신규로접수된악성코드중고객으로부터감염이보고 된악성코드 Top 20 이다. [ 그림 1-2] 악성코드유형별감염보고전월비교 악성코드유형별감염보고비율을전월과비교하면, 트로잔와애드웨어 는전월에비해 5% 와 1.9% 감소하였고, 바이러스와웜은전월에비해 2.6% 와 1.2% 증가하였다. [ 표 1-3] 신종악성코드감염보고 Top 20 12월의신종악성코드감염보고의 Top 20은 85,309건으로전체 9.3% 를차지한 Win-Trojan/Downloader.40960.NI 가 1위를, Win-Trojan/ Agent.291328.M이 1위보다 886건낮은 84,423건, 9.2% 로근소한차이로 2위를차지하였다. [ 그림 1-3] 악성코드월별감염보고건수 12 월의악성코드월별감염보고건수는 12,961,806 건으로지난 3 개 월간꾸준한증가세를보이고있으며 9 월의 10,080,838 건에비해 28%(2,880,968 건 ) 증가하였다. [ 그림 1-4] 신종악성코드유형별분포 12 월의신종악성코드유형별분포는트로잔이 55% 로 1 위, 애드웨어, 다 운로더, 웜이각각 27%, 7%, 5% 로 2, 3, 4 위를차지하였다. 악성코드이슈 AhnLab V3 MSS 이번달도어김없이연말연시분위기를노린악성코드가출현하였다. 그러나이전처럼급격히유포된사례는아닌것으로보고되었다. Win32/ Ackantta.worm 변형으로알려진이악성코드는크리스마스카드로위장되어있고메일에첨부파일로악성코드가첨부되어있다. 어도비 PDF와 02 ASEC Report _ 2009. Vol.12

관련해서제로데이취약점이새롭게알려졌고이외에도중국에서주로보고된바이러스 Piloyd가 11월말발견, 보고되었다. 이바이러스는오래전에알려진 Viking 바이러스와유사하다. 후위형바이러스로 PE 파일마지막에 tc 라는바이러스섹션을추가한다. 다오놀 (Win-Trojan/Daonol) 의안티바이러스우회 11월에이어서변형이자주보고되었던다오놀이안티바이러스 SW의진단을어떻게회피했는지간단히정리를해본다. 다오놀은문서를작성하는 1월초현재안철수연구소의악성코드통계에서 10위를차지할정도로여전히다수의감염보고가있는악성코드이다. 지금도다양한변형이생성, 배포되고있음을알수가있다. 국산애드웨어의대량출현 12월은다른달에비해국내에서제작된애드웨어가다수보고되었다. 사용자의적절한동의없이설치된애드웨어서치가이드 (Win-Adware/ SearchGuide) 는인터넷웹브라우저의주소입력창의키워드입력결과를가로채사용자가원하지않는검색결과를보여준다. 따라서정상적인웹서핑을방해하고사용자의불편함을초래한다. 애드웨어라스트로그 (Win-Adware/Lastlog) 와애드웨어코애드웨어 (Win-Adware/KorAdware) 는윈도우시작프로그램에등록되어부팅시마다자동실행된다. 특히정상적인프로그램의프로세스이름과유사한이름으로실행되어일반적인사용자가악성유무를판단하기어렵게한다. 또한제어서버에서명령을받아와실행하는데그중대표적인기능은사용자동의없이다른애드웨어를다운로드받아실행한다. 따라서해당애드웨어를제거하지않으면사용자의 PC에는설치하지도않은다수의애드웨어가지속적으로추가설치될수있다. 국산가짜백신의재등장 [ 그림 1-5] 안철수연구소의악성코드통계 Top 10 中 (2009.12.28 ~ 2010.01.04) 다오놀은자신의진단을회피하기위하여 1 바이트암호화루틴을추가 하였다. 한동안뜸했던국산가짜백신이최근다시이슈가되고있다. 이들은다른애드웨어에의해사용자의동의없이다운로드되고설치되어동작하며허위, 과장진단결과를보여주며지속적으로유료결제할것을유도한다. 실제이런가짜백신에감염되면매우짧은시간을주기로계속유료결제팝업창을실행시켜정상적으로컴퓨터를사용할수없게만든다. [ 그림 1-6] 다오놀변형의암호화루틴 이렇게하여자신의코드를암호화하여진단하지못하도록우회하였다. [ 그림 1-8] 국산가짜백신결제창 [ 그림 1-7] 복호화된다오놀변형의본체다오놀과같이대다수악성코드는안티바이러스 Generic 진단을회피하기위해서다양한방법을사용하는데이러한암호화루틴을추가하는것은일반적인사례이다. 이런가짜백신은주로무료웹하드서비스, 무료게임사이트등을이용할때설치하는 ActiveX 컨트롤러나다른애드웨어의번들로설치되는경우가많다. 그렇지않은경우도있지만대다수의국산가짜백신의경우법망을교묘히빠져나가는경우가많아사용자들의각별한주의가필요하다. 세상에서가장안전한이름안철수연구소 03

2. 시큐리티동향시큐리티통계 12월마이크로소프트보안업데이트현황마이크로소프트사로부터발표된이번달보안업데이트는총 6건으로긴급 (Critical) 3건, 중요 (Important) 3건이다. PoC가있거나, 사용자에게많은피해를줄수있는주요보안업데이트는 3건으로다음과같다. 2009년 12월악성코드를위해침해된웹사이트의수와악성코드유포지의수는 30/9 로 2009년 11월의 96/11와비교하여침해지는 66건줄었으며, 유포지는 2건더줄었다. 악성코드를배포하기사용되는취약점은새로운것이아니라, 오래된취약점이꾸준하게사용되고있으며, MDAC(Microsoft Data Access Components) 기능의취약점을사용한 Win32/Daonol 악성코드가악의적인스크립트를통해퍼지고있다. 시큐리티이슈 새로운 Adobe Acrobat Reader(PDF) 제로데이취약점등장올해는본격적으로공격의대상이 MS 제품군으로부터 Third-Party 제품군으로이동하는듯보인다. 대표적으로, Adobe사의 Acrobat Reader(PDF), Flash Player(SWF) 제로데이취약점들이지속적으로보고되었고, 이달에도또한건의새로운 Acrobat Reader 제로데이취약점을이용하는악성파일이등장하였다. [ 그림 1-9] 공격대상기준별 MS 보안업데이트 [ 표 1-4] 2009 년 12 월주요 MS 보안업데이트 이번달에는지난달과마찬가지로총 6건의보안패치가발표되었다. 이중, 대부분의취약점은공격에쉽게활용할수없는시스템관련취약점들이기때문에악용가능성이크지는않을것으로예상된다. 그러나, MS09-72 Internet Explorer 누적보안업데이트는지난 11월말에보고된인터넷익스플로러스타일오브젝트 (IE Style Object) 취약점에대한보안업데이트가포함되어있으니반드시해당업데이트적용을권고한다. 악성코드침해웹사이트현황 [ 그림 1-11] PDF 파일속악성자바스크립트이번제로데이취약점또한기존에발표된다수의 PDF 취약점과유사하게자바스크립트처리엔진상의결함을이용하는것으로, 직접적으로는멀티미디어관련라이브러리파일인 Multimedia.api 상에서발생한다. 실제발견된악성 PDF 파일 (PDF/CVE-2009-4324) 은실행과함께내부에가지고있던악성코드 (PE) 를파일명 AdobeUpdate.exe(Win- Trojan/Downloader.172032.AH) 로드랍 (Drop) 하여실행하고, 외부서버와의통신을통해개인정보유출이라는악의적인행위를수행하도록설계되어있다. 제품벤더인 Adobe사는정식보안업데이트를 2010년 1 월 12일에배포하는것으로예고하고있어서, 이공백기간동안에는자바스크립트기능을해제하여취약점피해를방지하는것이좋을것같다. 앞서발표된다수의 PDF 취약점들과마찬가지로, 이번제로데이취약점또한손쉽게웹을통해악성코드배포에악용될수있기때문에사용자들의주의가요구된다. 온라인쇼핑구매자를노리는웹공격 [ 그림 1-10] 악성코드배포를위해침해된사이트수 / 배포지수 올해에는다수의해외언론과보안업체로부터 SQL Injection 공격으로대 규모의웹사이트가침해당했다는기사가종종보도되었다. 이는비단, 해외만의이야기가아니라이제는국내에서도웹서핑하는것이두려 04 ASEC Report _ 2009. Vol.12

울정도로너무나손쉽게침해된사이트를발견할수있다. 비영리목적의웹사이트또는소규모단체뿐만아니라최근에는다수의온라인쇼핑몰등에서도 검블라 (Gumblar) 라는이름으로잘알려진웹침해흔적이발견되고있다. 악성코드발견건수는 224,818건이고, 악성코드유형은 1,385건이며, 악성코드가발견된도메인은 698건이며, 악성코드발견된 URL은 3,841건이다. 12월에는악성코드발견건수, 악성코드유형, 도메인, URL 수가 11 월이전의통계치수준으로회복되었다. 이는시스템증설로인한통계수집기간감소로인한통계치가하락한 11월과달리 12월에는전체통계수집기간이충분하였기때문이다. 또한 12월과동일한기간으로통계치가수집된 10월과비교하여악성코드발견건수는소폭증가하였으나, 악성코드가발견된 URL은 10월의 6,801건에비해 56% 수준으로감소하였다. 이러한통계는특정 URL이장기간에걸쳐악성코드배포처로사용되는것이악성코드의발견건수는증가하지만, URL수는감소하는특이한현상의주요원인으로보인다. 월별악성코드발견건수 [ 그림 1-12] 악성스크립트 검블라공격은초기 Adobe 제품군의취약점인악성 PDF, 플래시 (SWF) 파일을이용하는것으로알려졌으나그외에도최근에는다음과같은다 양한취약점 Exploit 등을이용하고있다. - MS09-043 MS OWC(Office Web Components) Spreadsheet - - ActiveX 취약점 - MS09-002 MS IE 초기화되지않은메모리오류취약점 - MS09-032 MS IE Video ActiveX 코드실행취약점 - MS06-014 MS IE MDAC 원격코드실행취약점 [ 그림 1-13] 월별악성코드발견건수 이전에는사용자들의접속이많은메인페이지침해가많았으나, 최근에는하위레벨의상품보기페이지등에도침해의흔적들이발견되고있다. 점차온라인쇼핑족들이늘어가는추세이기때문에사용자들의피해는앞으로더욱클것으로예상된다. 2009 년 12 월악성코드발견건수는전달의 146,300 건에비해 154% 수 준인 224,818 건이다. 월별악성코드유형 따라서, 사용자들은공신된사이트에접속한다할지라도항상보안제품 을온 (ON) 상태로설정하고보안업데이트를최신으로유지하여, 안전한 환경에서쇼핑을즐기는것이좋을것이다. 3. 웹보안동향 웹보안통계 웹사이트보안요약 [ 그림 1-14] 월별악성코드유형 2009 년 12 월악성코드유형은전달의 944 건에비해 146% 수준인 1,385 건이다. [ 표 1-5] 웹사이트보안요약 세상에서가장안전한이름안철수연구소 05

월별악성코드가발견된도메인 [ 그림 1-15] 월별악성코드가발견된도메인 2009년 12월악성코드가발견된도메인은전달의 676건에비해 103% 수준인 698건이다. 월별악성코드가발견된 URL [ 표 1-7] 웹사이트보안요약악성코드유형별배포수에서애드웨어 (Adware) 류가 114,765건전체의 51% 로 1위를차지하였으며, 트로잔 (Trojan) 류가 31,850건전체의 14.2% 로 2위를차지하였다. 악성코드배포 Top 10 [ 그림 1-16] 월별악성코드가발견된 URL 2009년 12월악성코드가발견된 URL은전달의 4,341건에비해 88% 수준인 3,841건이다. 악성코드유형별배포수 [ 표 1-7] 악성코드배포 Top 10 악성코드배포 Top 10에서 Win-Adware/Shortcut.InlivePlayerActiveX.234가지난달과같이 60,084건으로 1위를차지하였으며, Top 10 에 Win-Downloader/Shoppingtoc.578344 등 2건이새로등장하였다. 웹보안이슈 페이스북 (Facebook) 사이트를가장한피싱 [ 표 1-6] 월별유형별배포수 피싱이란신뢰성있는유명한포털이나금융사이트로위장하여이메일에위장된사이트의 URL을삽입하여해당사이트로사용자를유도하는사회공학적공격방법이다. 최근에는미국의유명한 SNS 사이트인페이스북으로위장한사이트를개설한후이메일을배포하여접속을유도하는피싱사이트가발견되었다. 이사이트는 [ 그림 1-17], [ 그림 1-18] 와같이사용자의페이스북 ID, PW와개인정보를수집할목적으로개설되었으며, 개인정보를입력한후에는 [ 그림 1-19] 과같이원래페이스북페이지로이동하여사용자가자신의개인정보가누출된것을인지못하도록치밀하게구성된피싱사이트이다. 06 ASEC Report _ 2009. Vol.12

[ 그림 1-17] 아무정보나입력하여도로그인되는 ID, PW 입력창 [ 그림 1-18] 아무정보나입력하여도로그인되는 ID, PW 입력창 [ 그림 1-19] 원래페이스북로그인화면으로이동 이러한피싱사이트로인한피해를예방하기위해서는 [ 그림 1-20] 과같 이안철수연구소서제공하는웹보안제품인 SiteGuard 를통한피싱사이 트접근을차단하여야한다. [ 그림 1-20] SiteGuard 에서피싱사이트접근차단 세상에서가장안전한이름안철수연구소 07

Ⅱ. 연간보안이슈 1. 악성코드동향 2009년도연간통계는기존고객피해신고를기반으로하는통계방식에서실제고객감염보고건수와안철수연구소에서독자적으로개발한보안위협종합정보시스템인 AMP 를이용하여산출한통계로변경하였다. 본시스템이본격적으로가동된것은 2009년 6월부터이다. 따라서, 본장에서사용되는통계는 2009년 6월부터 12월까지산출된통계임을알린다. 있을것이다. 그외에 Win32/Virut,Win32/Virut.B, Win32/Parite와같은파일감염형바이러스와 JS/Shellcode와같은보안이취약한웹페이지를통해사용자 PC에설치되는스크립트들, VBS/Agent, VBS/Autorun 과같이 USB드라이브를통해전파되는악성코드들이 2009년주요악성코드들에속하였다. 이들의위협은향후에도계속피해를일으키는위협으로자리할수있으니새로운위협에대한대처와더불어항상관심있게지켜보고능동적으로대처해야할것이다. 2009 년을되돌아보며한해동안발견된악성코드통계현황은다음과 같다. 악성코드통계 [ 표 2-2] 악성코드대표진단명감염보고연간 Top 20 [ 표 2-1] 악성코드감염보고 Top 20 2009년한해는 3/4분기에등장한 Win32/Induc의발견과조치에그리많은시간이소요되지않았음에도불구하고 4,048,115건으로전체 26.9% 를점유하여 1위를차지하였다. 이는특정프로그램의개발환경이감염될경우얼마나치명적인결과를가져올수있는지를보여주는좋은예가되는것으로, 프로그램개발자의보안에대한관심을고취시킴과동시에향후유사한사례에대한대처법을학습한사례로기억될것이다. 또한이러한문제가프로그램개발자들에게는중요사례로남는것과는별도로일반 PC사용자가체감하게되는불편이거의없어 4개월이지난지금까지도발견되고있다는점은프로그램개발자나이를배포하는기업들의정직하고신속한대처가절실함을보여주는것이라고해석할수도 2009년의사용자피해를주도한악성코드들의대표진단명을보면 Win- Trojan/Agent 가총보고건수 5,482,144 건으로전체의 17.1% 를차지하여 1위에자리하였다. 그뒤를 Win32/Induc가 4,048,315건으로 12.6%, Win-Trojan/OnlineGameHack 이 3,765,123건으로 11.7% 를차지하여 2위와 3위에자리하였다. 아래차트는 2009년한해동안고객으로부터감염이보고된악성코드유형별비율이다. AhnLab V3 Internet Security 8.0 08 ASEC Report _ 2009. Vol.12

아래표는 2009 년신규로접수된악성코드중고객으로부터감염이보 고된악성코드 Top 20 이다. [ 그림 2-1] 악성코드유형별연간감염보고비율 악성코드유형별로감염보고건수비율은트로잔 (Trojan) 류가 39.2% 로가장많은비율을차지하고하고있으며, 다음으로바이러스 (Virus) 와애드웨어 (Adware) 류가동일하게 11.7%, 그뒤를웜 (Worm) 과스크립트 (Script), 기타악성코드가 9.9%, 8.4%, 7.4% 를차지하고있다. 트로잔류가 70% 이상을차지하던과거에비해비율이분산된것은다양한악성코드의등장과함께사용자들의 PC이용환경이보다더심각한보안위협수준으로진행되고있음을의미한다고볼수있다. 스마트폰의등장과같은새로운 IT기기, 신기술들이사용자의환경을편리하고윤택하게하는것이상으로개인정보유출이나금융사고등에대한위협이더증가하는만큼보안에대한관심과적극적인대처가절실하다. [ 표 2-3] 신종악성코드감염보고연간 Top 20 감염보고건수로본다면 2009년의가장큰비중을차지하는것은 Win32/Induc이다. 무려4,048,115건으로절반에가까운 48.7% 의비율로 1위를차지하였다. Win32/Induc를제외하고본다면파일감염형바이러스의대표주자인 Win32/Virut와 Win32/Parite가 1,2위를차지한것이나다름없다. 사용자정보수집을목적으로하는 Trojan 류나 USB 드라이브를통해전파되는 VBS/Solow.Gen류, 2009년 1월과 2월에왕성하게움직였던 Win32/Conficker.worm 과 Win32/Kido.worm 등도연간 Top 20의순위권에랭크되었다. [ 그림 2-2] 악성코드월별감염보고건수 PC이용시간이상대적으로늘어나는 7월과 11, 12월의감염보고건수가그외시기에비해높은것은학생들의방학이주요이유이다. 도표상큰차이를보이고는있지만하반기의경우 8백만에서 1천3백만정도의악성코드감염보고가이뤄지고있으니 PC사용환경을관리하는기업내부서나담당자의보안에대한관심과적극적인대처, PC를직접사용하는사용자들의백신설치및자동최신엔진업데이트, 실시간감시기능켜두기등의다소간단하면서도중요한습관이필요하다. [ 그림2-2] 에서 1~5월까지감염보고건수가 0건으로나오는이유는 2009년도에정확한피해집계를위해 6월부터통계방식을변경하였기때문에, 기존의통계치가존재하지않기때문이다. 올해 6월부터본격적으로가동한안철수연구소의보안위협종합정보시스템인 AMP 를통해내년에는 2009년도와 2010년도의비교데이터및각종향상된통계정보를볼수있을것으로기대한다. [ 그림 2-3] 신종악성코드연간유형별분포 2009년에는트로잔이 42% 로 1위를차지하였고, 그뒤를애드웨어류가 16% 로 2위, 바이러스가 12% 로 3위를차지하였다. 2009년한해에도트로잔과애드웨어가절반이넘는 58% 를차지하였다는것은그래도여전히사용자들의 PC사용방해목적보다는사용자들을속여금전적이익을 세상에서가장안전한이름안철수연구소 09

취하려는움직임이많았다고해석할수있을것이다. 점점지능화, 고도화되어가는악성코드들로인하여피해를입는사용자들이더이상늘어나지않도록 PC사용자들의보안에대한관심과적극적인대처가필요하다. 악성코드이슈 2009년은그어느해보다도 취약점 을이용하는악성코드에의한피해가많았던한해로기억된다. 교묘해지는애드웨어 / 스파이웨어 (Spyware) 올해발견된애드웨어인 Win-Adware/Softside.77824 는웹브라우저의주소표시줄에입력된내용을가로채국내유명포탈사이트에접속하는경우각포털사이트의색상과동일한색상을사용해마치포탈사이트의메뉴인것처럼웹페이지를변조하는형태로광고를노출한다. 취약점을이용한악성코드 2008년 10월에알려진 MS08-064 취약점을이용한 Win32/Conficker. worm은 2009년 4월까지도변형을통하여맹위를떨쳤다. 그이후에별다른변형이보고되지는않았지만일반적으로 Conficker.B형으로불리어지는변형이계속적으로취약한시스템을감염시켜지속적으로피해를주었다. 한편취약점을이용한악성코드로대표되는것은 Adobe Flash 파일 (*.SWF 확장자 ) 과 PDF 문서 (*.PDF 확장자 ) 에대한취약점을이용한악성코드이다. 해당취약점들은그동안일반인들에게도잘알려진윈도우 OS나 MS 오피스문서들에대한취약점이아니었다. SWF파일과 PDF는이미인터넷환경에서표준이되어버린파일이므로많은사용자들이사용하고있기때문에그만큼위협에노출되어있다. 따라서악성코드제작자들이공격할수있는기회가많아졌고이는악성코드대량확산에기여하였다. 은폐기법과자기보호기능으로고도화된악성코드 스팸봇 (Spambot) 또한기승을부렸다. 2009년에발견된스팸봇은은폐기법과자기보호가고도화되었다는점이특징이다. 또한시스템파일을감염시켜존재하기때문에진단과치료가더욱더힘들어졌다. 스팸메일러들은감염후다른악성코드를설치하기도했는데주로가짜백신을다운로드하여금전적인피해를입히기도하였다. 은폐기법과자기보호고도화와관련하여올한해특이한악성코드가많았다. TDSS와 TDL3 로불리어지는해당악성코드가그렇다. 특히 TDL3 또는 TDL Rootkit이라고불리어지는악성코드의경우파일상으로존재하지않았다. 이악성코드는부트바이러스나 MBR Rootkit 처럼사용하지않는디스크영역에자신의코드를숨겨두고활동한다. 일반적으로이영역은확인할수없기때문에악성코드는찾기가더힘들어졌다. 즐롭 (Zlob) 방식으로배포되는국내애드웨어해외에서악성코드배포에자주사용되던동영상재생코덱을사칭한국내애드웨어다운로더가발견되었다. 이들은사람들의관심을끌만한동영상으로사용자의접속을유도한후감상을시도할때코덱설치메시지를보여주며애드웨어다운로더의설치및실행을유도한다. 악성코드배포에사회공학적해킹을접목시켜사용자스스로악성코드를다운로드받아서설치하게끔유도하는방식이다. 이는정부시책과컴퓨터보안업계의노력으로 ActiveX를통한애드웨어의설치가어렵게되어배포형태가발전된것이다. [ 그림 2-4] 정상적인웹페이지를변조해교묘하게광고를삽입하는애드웨어또한범용적으로사용되는윈도우시스템 DLL파일과동일한이름으로스파이웨어를제작하고인터넷웹브라우저폴더에설치해정상 DLL이아닌스파이웨어 DLL이로드되게한스파이웨어가발견되었다. 이렇게하면해당스파이웨어는윈도우시작프로그램에등록하지않고웹브라우저를실행하는것만으로도실행되므로정상적인방법으로는이를발견하기매우어렵다. 진화하는가짜백신해외에서제작된가짜백신중정상적인프로그램의실행을차단해컴퓨터사용을방해하는사례가꾸준히발견되었다. 이들은범용적인웹브라우저, 윈도우시스템프로세스이름을제외한다른프로세스가실행되면이를차단하고풍선도움말을이용해 WARNING! Application cannot be executed. The file [ 프로그램실행파일명 ] is infected. Please activate your antivirus software. 라는가짜메시지를보여주고가짜백 10 ASEC Report _ 2009. Vol.12

신을실행시켜유료결제후사용할것을유도한다. 이전에는단순히풍선도움말을통해컴퓨터가감염되었다는허위메시지만보여줬지만, 유료결제율을높이기위해실제정상적인컴퓨터사용을방해하는형태로발전되었다. 이렇듯가짜백신은사용자의유료결제를유도하기위해더욱더다양한방식으로발전하고있다. 용자들이 Windows 7 으로전환할것으로예상되기때문에새로운운영체 제에대한변화에도주목해야할것으로보인다. 악성코드침해웹사이트현황 [ 그림 2-5] 정상프로그램차단메시지 또한최근국내에서큰문제가되었던 7.7 DDoS 사건을이용한가짜백신이발견되었다. 제품이름을 DDoS Cleaner로마치 DDoS를효과적으로예방해주는제품인것으로위장한형태이다. 실제해당제품은성능이검증되지않았으며 DDOS에관련되어어떠한예방기능을수행하지못한다. 또한국산애드웨어다운로더에의해사용자동의없이설치되어동작해피해사용자가많았다. 2. 시큐리티동향시큐리티통계 2009 년마이크로소프트보안업데이트현황 [ 그림 2-7] 악성코드침해웹사이트현황 2009년의악성코드침해웹사이트를현황을종합적으로보면 6월 /8월/9 월 /10월이 120건이상으로침해사이트가가장많았으며, 유포지는 20건이상인달이 1월 /5월/6월달이가장많았다. 일반적인인터넷사용자들이가장많이사용하는곳이웹서비스이며, 공격자는이를통해현재도많은악성코드를웹을통해배포하고있다는것을알수가있다. 2009년도에웹을통해배포되는악성스크립트를보면, 하나의취약점을통한악의적인스크립트가아닌다수의취약점을이용하고있다. 특히 2009년도에는무차별적인공격보다도분석가를회피하기위해특정한환경에서만악성코드가동작하거나, 프로그램버전을확인및웹브라우저를체크하는등다양한우회방법을통해많은확산을보였다. 시큐리티이슈 대량웹침해사고 [ 그림 2-6] 2009년 MS 보안업데이트현황올해마이크로소프트사 (MS) 로부터배포된보안업데이트는총 74건으로 2008년도 78건에비하여조금줄었으나거의비슷한수준이라고볼수있다. 그러나, 정식업데이트발표전위협을알리는보안권고문 (Security advisories) 의횟수를비교해보면, 작년에비해 2배이상급증한것을알수있다. 이는올해제로데이취약점이다수쏟아져나왔고, 이를대응하기위해마이크로소프트사도바쁜한해를보냈음을알려주고있다. 올해에는 MS사가새로운운영체제 Windows 7을발표하였고, 이미 Windows 7과관련된취약점들도발견되었다. 내년에는본격적으로기존의많은사 2008년대량 SQL Injection 공격으로대규모의웹침해사고가능성이현실화된이후, 2009년에는 검블러 (Gumblar,Geno), 나인볼 (Nine- Ball) 이라는이름으로공격이본격화되었다. 하반기에는이들공격을통해침해된사이트로부터악성코드 ( 대표 : Win32/Daonol) 가유포되어, 국내사용자들의피해신고도급증하기시작하고있다. 초기에는해외언론이나보안업체로부터발표되는기사를통해서대규모의웹침해사고위협이알려지기시작하였으나, 하반기에는국내에서도본격적으로웹침해사고의흔적들이속속발견되고있다. 특히, 온라인쇼핑몰상품보기정보등에서 검블러 공격에이용된악성스크립트나링크들이많이발견되고있다. 이러한웹공격은과거단순히특정웹사이트의서비스를방해하기위한목적이아니라, 손쉽게대량의좀비 PC를확보하고이를거래하여돈을챙기기위한목적이강해졌다. 따라서, 보다체계적이고지능화되어있어탐지나분석이더더욱어려워지고있다. 이러한웹공격은손쉽게한번의공격으로다수의좀비 PC를확보할수있는아주매력적인매체이기때문에, 2010년에도웹을통한악성코드배포는꾸준히증가할것으로예상된다. 세상에서가장안전한이름안철수연구소 11

제로데이취약점증가앞서 MS사로부터발표된보안권고문 (Security advisories) 의횟수를통해서도알수있듯이올해에는 MS 제품군을포함하여기타애플리케이션까지다양한영역에서제로데이취약점들이쏟아져나왔고, 이를악용한악성코드배포사례가보고되었다. 제로데이취약점은예방과방어책발표전이기때문에공격자에게는피해규모를늘리거나악성코드전파속도를높이는측면에서아주매력적인존재가된다. 특히, 웹을통한다수의 ActiveX 컨트롤취약점이나인터넷익스플로러 (IE) 취약점들은과거부터꾸준히악용되어왔으나, 최근에는 Adobe Reader(PDF), Flash Player(flash) 등대중성이높은애플리케이션취약점을이용하여웹이나사회공학적인방법으로악성코드를배포하는사례가눈에띄게늘고있다. 최근제로데이취약점들은벤더를통해공식적으로발표되기이전부터음성적으로거래되고, 자동화된생성툴 (Exploit Toolkit) 등을통해빠르게공격에활용되고있다. 따라서, 사용자들은벤더로부터공식적인패치가제공되기전에도공격의위협을최소화하기위한방안으로권고되는임시조치방법이나제로데이취약점을사전에탐지하는보안제품들을적절히선정하여잘활용하는것이효과적일것이다. 3. 웹보안동향웹보안통계 웹사이트보안요약 [ 표 2-4] 웹사이트보안요약 2009년도연간악성코드발견건수는 3,029,102건이고, 악성코드유형은 3,526건이며, 악성코드가발견된도메인은 9,336건이며, 악성코드발견된 URL은 76,379건이다. 본자료는안철수연구소의웹보안제품인 SiteGuard의 2009년자료를바탕으로산출한통계정보이다. 월별악성코드발견건수 좀비 PC 를이용한분산서비스거부 (DDoS) 공격 올해의 Hot 이슈를뽑는다면악성코드동향쪽에서도언급한 7.7DDoS 공격일것이다. 단연국내보안역사상큰사건으로기록될이공격은좀비 PC를이용한분산서비스거부공격이다. 이번공격은기존의단발성공격에익숙해져있던우리들에게스케쥴링기능을이용하여공격대상과시간을설정하고자체업데이트까지수행하는등최근의공격수준이얼마나체계화되고지능화되었는지를잘보여주었다. 사건이후, 보안업계를비롯하여국가, 기관, 사용자들까지보안의식도성장하였고, 이에대한다방면에서의노력들도계속되고있어전화위복의기회가된것도사실이다. 그러나, 이후에도 7.7 DDoS 사건과유사하게스케쥴링기능을활용하여특정사이트를공격하거나 C&C( 원격제어서버 ) 로부터 DDoS 명령을전달받아수행하는등의 DDoS 기능을갖는다수의악성코드들이꾸준히발견되고있다. 이제는직접적인공격을수행하거나금전적대가를받고공격을대행하거나아예확보된좀비 PC를일정금액으로거래하는등좀비 PC 자체가돈이될수있다는개념이성립되었다. 따라서, 공격자들의좀비 PC 확보를위한노력은꾸준히지속될것으로예상된다. 또한, 공격자체의기능뿐만아니라확보된좀비 PC를안전하게유지하기위한기능과진단및탐지를우회하기다양한기술들도지속적으로진화될것으로보인다. [ 그림 2-8] 월별악성코드발견건수 2009년악성코드발견건수는 2009년 1분기에소폭증가하다 2분기인 6월에 682,795건으로급격한증가치를보였다. 이후악성코드발견건수는 20만 ~30만건을기록하고있다. 월별악성코드유형 [ 그림 2-9] 월별악성코드유형 2009 년악성코드월별악성코드유형은큰변화없이지소적으로증가하 여 2009 년 12 월에 1,385 건으로가장많은악성코드유형을기록하였다. 12 ASEC Report _ 2009. Vol.12

월별악성코드가발견된도메인 [ 그림 2-12] 월별유형별배포수 [ 그림 2-10] 월별악성코드가발견된도메인 2009년월별악성코드가발견된도메인은가장많은악성코드가발견된 6월에 1,062건으로가장많은수치를기록한이후로 600건 ~800건을기록하고있다. 2009년악성코드유형별배포수에서애드웨어 (Adware) 류가 1,185,024 건으로전체의 39.1% 로 1위를차지하였으며, 트로잔 (Trojan) 류가 648,870건전체의 21.4% 로 2위를차지하였다. 악성코드배포 Top 10 월별악성코드가발견된 URL [ 그림 2-11] 월별악성코드가발견된 URL 2009년월별악성코드발견된 URL은 2009년 1분기에증가하다 2분기이후지속적인감소세를보이고있다. 악성코드유형별배포수 [ 표 2-6] 악성코드배포 Top 10 악성코드배포 Top 10에서 Win-Adware/Shortcut.InlivePlayerActiveX.234가 393,830건으로 1위를차지하였으며, Win32/Induc이 270,446건 18.3% 로 2위를기록하였다. 웹보안이슈 웹플랫폼을이용한악성코드유포방식급증 [ 표 2-5] 월별유형별배포수 2009년도는웹플랫폼을이용하여악성코드를유포하는방식이어느때보다많은피해를일으킨한해였다. 악성코드유포방식이급증한이유는현재우리가많이사용하는플랫폼이무엇이냐에답이있다. 2000년대에들어서면서웹이홈페이지위주의홍보사이트에서실제업무에사용할수있는사무자원으로변경되었다. 특히 Web 2.0이주창한 플랫폼으로서의웹 이라는모토 (motto) 와함께대다수의어플리케이션 (Application) 이웹을기반으로하고있다. EP(Enterprise Portal) 이라는그룹웨어, EIP(Enterprise Information Portal), KMS(Knowledge Management System) 이대표적인웹기반의사무지원어플리케이션이라고볼수있다. 이외에도우리가접하는대부분의어플리케이션은웹과뗄래야뗄수없는관계를유지하고있다. 따라서, 웹의활용도가높아짐에따라, 웹기 세상에서가장안전한이름안철수연구소 13

반공격도계속증가하는추세이다. 이러한웹공격이계속증가하는이유는이외에도웹서버공격을위한도구들이많이준비되어있기때문이다. [ 그림 2-13] 과같이웹서버자동공격툴을이용하면취약한서버에대한악성코드삽입등을쉽게할수있다. [ 그림 2-14] Outlook 업데이트를안내하는피싱메일 [ 그림 2-13] 취약한웹서버자동공격툴 이러한위협에대한대응방법은무분별한 SNS 사이트가입을자제하여, 개인정보유출이되지않도록사용자의주의가가장중요하며, 포털사이트등은개인정보보호법에입각하여개인의중요한정보가누설되거나유추되지않도록각별한조치가필요하다. 또한불필요한이메일에대해서는스팸차단및삭제와같은개인사용자의기본적인보안조치가병행되어야한다. 이러한공격에대처할수있는방법은, 웹서버관리자는취약점에대한지속적인패치관리가필요하며, 보안업체에주기적인취약점점검, 침투테스트를의뢰하여알려진보안위협에대한조치가먼저선행되어야한다. 그이후에는웹사이트개발에도 UI(User Interface) 만중점적으로고려할것이아니라설계부터보안성에대한검토를통해취약점을최소화하는것이필요하겠다. SNS( 소셜네트워크서비스 ) 인프라를이용한피싱기승앞에서 플랫폼으로서의웹 이라는개념확산을통해웹이악성코드의대표적인유포방법이되고있다는설명이있었다. 플랫폼으로서의웹 에서대표적으로활용성이높은것이 SNS(Social Network Service) 이다. SNS는공통관심사를가진사람들이가상공간에서상호정보교환및인맥을쌓는서비스로, 대표적인사례로국내에는싸이월드, 포털사이트의카페등이있으며, 해외에는트위터, 페이스북등이있다. 이러한 SNS의기반은웹이다. 즉웹플랫폼위에서상호정보공유및파일교환, 의견게시등의활동을하며, 지인들과의유대감을돈독히하고새로운인맥을형성할수있다. 특히 2009년도에는 SNS 인프라를이용하여지인들에게금전을요구하거나, SNS 사용자계정을탈취해사기를치는사건이많이발생하였다. 또한 [ 그림 2-14] 와같이허위이메일을발송하여악성코드를유포하는사이트로유도하여사용자개인정보를빼내는피싱위협이증가하였다. AhnLab SiteGuard Pro 14 ASEC Report _ 2009. Vol.12

III. 해외보안동향 1. 중국 4 분기악성코드동향 2009년한해동안중국에서는보안위협및보안정책과관련한많은변화들이있었다. 특히중국정보에서는자국에서양산되는많은보안위협들에대해효과적인대응을위해제도적인장치마련등많은노력을기울였다. 그러나아직까지도중국의언더그라운드에서는보안위협들의양산이멈추고있지않으며이문제들은금전적인이윤과맞물려사이버범죄역시지속적으로양산되고있다. 이러한상황에서 2009년한해동안중국에서발생하였던다양한보안이슈들을되짚어보도록하자. 중국정부의정보보호관련정책강화 2009년 2월중국에서는제 11회중화인민공화국전국인민대표회의상무의원회의가개최되었다. 이번에개정된법령은모두 2월 28일자로시행되었으며총 15건에대한형법이개정되었다. 이중에서수정된형법 9조인정보시스템보호관련형법에는다음의문구가추가되었다. 시에사이버머니로인해발생하는불법적인활동들에대응하기위한방안으로볼수있을것이다. 하지만, 이러한중국정부의정책적인부분이긍정적인면만있는것은아니었다. 2009년 6월에는중국정부에서개발한유해사이트차단소프트웨어인그린댐유스에스코드 (Green Dam Youth Escort) 소프트웨어가중국정부에의해정치적인목적으로활용되고있다는기사들이공개되며많은파장이있었다. 해당소프트웨어는중국정부에의해서각급학교와중국내에서판매되는모든컴퓨터에의무설치를하도록시도하였다. 그러나해당소프트웨어가명목적으로는유해사이트차단소프트웨어지만실질적으로반국가적인웹사이트접속차단과시스템감시의목적으로이용되고있다는것으로알려졌다. 반국가규정에근거해서, 컴퓨터시스템또는기타기술수단을이용하여침입 ( 해킹 ) 을하거나, 컴퓨터시스템에저장한데이터또는전송되는데이터를획득또는가로채거나컴퓨터시스템을불법제어할경우, 상황의심각성에따라 3 년이하의징역또는구금에처하며이와동시에벌금도부과된다. 상황이특수하게심각할경우, 3 년이상 7 년이하의징역또는구금에처하며이와동시에벌금도부과된다. 전문적으로침입 ( 해킹 ) 하기위해불법으로컴퓨터시스템의프로그램또는도구 ( 유틸리티 ) 를제어및제공하거나명백하게알려진타인의컴퓨터시스템에대해범죄의목적으로침입 ( 해킹 ) 및제어하거나프로그램및유틸리티를제공할경우상황의심각성에따라법령에대한불이행으로간주하고처벌할수있다. 이번개정안에포함된정보시스템보호관련형법을보면전반적으로불 법적인해킹과악성코드유포및소스코드거래에대해정국정부가엄 격한법령적용을하겠다는의지를볼수있다. 2009 년 2 월새로운정보 시스템보호관련형법이발표된이후 2009 년 6 월에는중국정부에서온 라인게임등인터넷에서통용되는사이버머니에대해전면적으로현금 교환행위일체를금지한다는발표가있었다. 발표된내용들중사이버 머니에대해중국정부에서는 PC 게임에사용되는선지불카드 의개 념으로정의하며현금거래를전면적으로금지하는조항이포함된공문 을중국지방행정부에전달하였다. 그리고사이버머니의거래는온라인 상의사이버재화또는서비스구매로만제한하며실질적인금전거래에 대해금지하며사이버머니를통한도박과이를이용한미성년자의사용 도처벌대상이된다고한다. 사이버머니유통금지조항은중국정부에 서사이버머니로인한실물경제가받게되는영향력을최소화함과동 [ 그림 3-1] 그린댐유스에스코드 (Green Dam Youth Escort) 사용자인터페이스실제해당프로그램이가지고있는유해검색어로지정된유해단어들중에는 [ 그림 3-2] 와같이 중국철혈당 및 법륜공제자 와같이중국정부에서지정한반국가적인단어들역시포함되어있었다. [ 그림 3-2] 차단할유해단어에반중국정부및법륜공관련단어가포함중국정부에서는유해웹사이트에반국가적인단어들을포함하여해당소프트웨어를이용하여반국가적인웹사이트접속을차단하고자시도하였으나, 해외컴퓨터관련업체에서정치적인목적으로활용되는것에대한반대로인해이러한정책은무산되었다. 세상에서가장안전한이름안철수연구소 15

보안위협양산에대한중국정부의처벌강화 2009년 2월과 6월정국정부는정보보호관련정책을강화한이후이와관련하여온라인상에서발생하는다양한온라인사기와절도등에대한강력한처벌을적용하였다. 그대표적인사항으로 2월중국에서는가짜경품웹사이트를통해경품당첨에따른배송료의명목등으로개인들로부터 10만위엔 ( 한화약 2,900만원 ) 을갈취한일당 4명의구속사건이보도되었다. 구속된가짜경품웹사이트사기단일당은 2008년 4월중국대륙에서유명한물품거래사이트인알리바바 (www.alibaba.com) 와유사한가짜웹사이트를만든뒤진짜알리바바웹사이트에물품을공개한판매자들에게휴대전화로알리바바웹사이트의직원임을사칭하여 3만 8천위엔 ( 한화약 1,100만원 ) 의현금과소니에서제공하는최신노트북을주는경품에당첨되었다라고속인뒤해당경품의배송에따른경비를입금하라는거짓안내를하였다. 이러한수법으로약 400명의사람들로부터약 10만위엔 ( 한화약 2,900만원 ) 에달하는금액을갈취한혐의로구속되었다. 그리고 2009년 5월에는온라인게임에서사용되는사이버머니와게임아이템을절도한혐의로 4명이구속되는사건이발생하였다. 해당사건은피의자가친구 3명과공모하여인터넷카페에서온라인게임을즐기고있는청소년들을대상으로하여협박과폭력을사용하여구속되기전까지총 10만위엔 ( 한화약 1천 8백만원 ) 상당의온라인게임사이버머니와온라인게임아이템을갈취한혐의로구속되었다. 이번구속사건은중국정부가 2월전국인민대표회의를통해개정된컴퓨터범죄관련형법에대해비교적단호한태도를보여준사례중하나라고할수있다. 변화하지않는보안인식과계속되는중국의보안위협양산중국정부의다양한정보보호관련정책및처벌들이시행되고있으나이러한정책적인변화에도불구하고중국언더그라운드와일반중국국민들의보안인식에대한변화는크게변화가이루어지지않은것으로보여진다. 2009년 5월에는전세계적으로취약한 PDF 파일을악용해악성코드감염을시도하는타켓공격 (Target Attack) 이증가하는추세속에서중국언더그라운드에서는취약한 PDF을생성할수있는생성기가발견되었다. 그리고 2009년 7월에는마이크로소프트 (Microsoft) 에서개발한소프트웨어에서알려지지않은제로데이취약점을악용하는악성코드를자동으로생성하는툴들이발견되었다. [ 그림 3-4] MPEG2TuneRequest 취약점생성기이러한새로운취약점과이를악용한악성코드가발견된이후예년과다름없이중국언더그라운드에서는해당취약점을악용하는쉘코드 (Shellcode) 가급격하게유포되었으며이와동시에 [ 그림 3-3] 과 [ 그림 3-4] 와같은해당취약점들을악용하는악성코드자동생성기들이발견되었다. 이러한점들은중국언더그라운드에서더많은보안위협들을자동으로대량양산할수있다는것을보여준사례라고할수있다. 그리고 2009 년 7월에는 2007년한국에서도많은감염피해가있었던 Viking 바이러스제작자인중국인 Li Jun은남은형기를마치고 Shenzhen으로돌아가보안업체에근무할예정이라고발표하여큰파장이있었다. Dellboy 바이러스로도알려진 Viking 바이러스의제작자인중국인 Li Jun은 2006년에서 2007년도해당바이러스제작으로총 10만대가넘는컴퓨터를감염으로인한피해를발생시켰으며해당바이러스의소스코드판매등을통해총 10,000 위엔 ( 한화약 180만원 ) 의금품을챙겼다고한다. 이러한혐의들로인해 Li Jun은 4년형을선고받고구속되었다. 이와관련하여과연악성코드제작으로구속된전과가있는사람을직원으로채용하여고객의민감한정보들을보호할수있는가에대해대부분의많은보안업체들은긍정적인시선으로바라보지않고있다. 이러한잘못된도덕적관념은일부중국국민들의문제만아닌것으로보여진다. 2009년 8월에는중국언론등을통해아직도중국사회에서는컴퓨터해킹기술을통해금전적인이득만을노리는잘못된컴퓨터보안기술교육들이이루어지고있는것으로알려졌다. 중국언론을통해알려진해커를양성한다는사설보안기술교육과정들대부분이취약한컴퓨터시스템에대한공격기법과기술들만가르치고있으며이를배우는학생들역시이를악용하고있다고한다. 해당언론과인터뷰를진행한한교육생은보안기술교육을배우는학생들의목적대부분이다른사람들의컴퓨터를몰래훔쳐보기위해서거나컴퓨터해킹실력을과시하기위해그리고다른사람들의개인정보를금전적인목적으로도용하기위해서라고밝히고있다. 이러한기사를통해아직일부중국국민들의보안인식은중국정부의정책적인부분과차이가있으며보안기술을공격의차원이아니라정보와시스템보호라는목적에부합되는긍정적인인식이자리잡아야할것이다. [ 그림 3-3] MS 오피스웹컴포넌트취약점생성기 16 ASEC Report _ 2009. Vol.12

2. 일본 4 분기악성코드동향 2009년한해일본에서발생했던악성코드관련주요이슈는크게오토런 (Autorun) 악성코드의감염피해가지속되고있는것과콘피커 (Conficker) 웜이급속하게확산되어현재까지많은피해를유발하고있는것을들수있다. 스파이웨어 (Spyware) 나애드웨어 (Adware), 허위안티스파이웨어등부정한방법으로금전을갈취하는행위에의한사용자의피해가점점증가하고있는것과제로데이취약점등웹사이트를통한악성코드유포가지속적으로발생하고있는것또한일본에서많은이슈가되었다. 오토런 (Autorun) 악성코드변형으로인한피해증가오토런악성코드는 USB와같은외부저장매체가삽입될때실행파일을자동으로실행시키는 aurorun.inf 파일이가지고있는논리적인보안결함을이용하는악성코드이다. 아래의표는일본트랜드마이크로사에서발표한 2009년악성코드피해통계이다. 오토런 (MAL_OTORUN) 악성코드로인한감염피해가많이발생하고있고전년도대비피해량또한급격하게늘어난것을알수있다. [ 그림 3-5] 2009년콘피커웜피해현황 ( 자료출처일본트렌드마이크로, 일본 IPA) 위의그래프는일본트랜드마이크로사와일본 IPA에서발행한악성코드피해통계중콘피커웜에의한월별피해현황을집계한것이다. 악성코드의발생초기에많은피해가발생했고현재도피해가지속되고있는것을볼수있다. OS의보안취약점을공격하는악성코드의경우상대적으로오랜기간동안변형이유포되는현상으로미루어보아콘피커웜또한오랜기간동안감염피해를유발할것으로보인다. 불법갈취프로그램으로인한피해증가국내의경우피싱이나파밍, 보이스피싱과같은금전갈취행위로인한피해가최근 1-2년전부터발생하기시작하여사회적인문제가되고있으나일본의경우몇년전부터다양한온 / 오프라인매체를이용한금전갈취행위가성행하고있는상황이다. [ 표 3-1] 일본트랜드마이크로사의인터넷위협연간리포트 - 2009 년도 1 이러한유형의악성코드들은최근유포되는악성코드들의대부분이오토 런기능을가지고있을정도로일반화된전파기법이되고있는데이러한 상황은일본의경우도크게다르지않은것으로보이고앞으로도이러한 악성코드들에의한피해는당분간지속될것으로보인다. 콘피커웜의확산 콘피커웜은 2008 년 11 월경최초로발견된악성코드로윈도우 OS 의보 안취약점을이용하여자신을복제하는기능을가진악성코드이다. 이악 성코드의초기버전은보안이취약한시스템을공격하여단순복제를반 복하는기능을가지고있었으나최근발견되는악성코드들은인터넷에 서악성코드를다운로드하여설치하는등부가적인기능들이점점추가 되고있는상황이다. 1. http:// jp. trendmicro. com/ jp/ threat / security_ news/ monthlyrepor t / article/20091216084357.html [ 그림 3-6] 2009년콘피커웜피해현황 ( 자료출처일본트렌드마이크로, 일본 IPA 1 ) 위의 [ 그림 3-6] 는일본의 IPA에서발표한부정청구관련상담건수의월별추이를집계한것으로상담건수가전년도에비해많이증가한것을알수있다. 이와같은증가의직접적인원인은온라인매체를악용하는경우가이전에비해많이늘어나고있기때문으로보인다. 불과 2-3년전까지만해도이러한형태의갈취행위는주로전화나엽서, 고지서와같은오프라인매체를이용하는케이스가많았으나최근에는인터넷으로제공되는유료서비스를무료인것처럼속여서가입하도록유도하거나허위안티스파이웨어를설치해결재를유도하는등수법이다양화되고있다. 이러한유형의사기로인한피해가점점증가하는현재의추세로미루어보아내년에는올해보다더많은피해자가발생할것으로예상된다. 1. http://www.ipa.go.jp/security/topics/alert20080909.html 세상에서가장안전한이름안철수연구소 17

보안취약점을이용한악성코드유포보안취약점이있는웹사이트가악성코드유포지로악용되는것은전세계적인추세이고이러한상황은일본에서도크게다르지않다. 올해에는어도비사의소프트웨어취약점과관련된제로데이공격이빈번하게발생했고일본에서도이로인한피해가많이발생한것으로보인다. 이러한현상은위의 [ 표 3-1] 의악성코드피해통계자료중 JS_IFRAME과 MAL_HIFRM 같은스크립트악성코드에의한피해가많이발생한것에서도쉽게확인해볼수있다. 특히올 5월에는악성스크립트를삽입하는공격에의해일본사이트들이다수피해를당해문제가되었는데일본 Cert에서는 5월 19일이러한악성코드유포사이트에의한피해를예방하기위한보안권고문 1 을배포하였다. 일반적인악성코드동향은유사하지만악성코드의지역화는뚜렷하다. 마이크로소프트보안정보보고서 7호 1 에잘나타난다. 중국은사용자동의없이설치된프로그램, 브라질은은행계좌탈취트로이목마, 스페인과대한민국은웜 (Worm) 과비밀번호탈취 ( 주로게임 ) 와관련한악성코드감염이높음을알수있다. 3. 세계 4 분기악성코드동향 2009 년세계악성코드주요동향을정리하면콘피커웜 (Win32/Conficker.worm) 의세계적확산과악성코드지역화, 메일을통한유사스팸 메일러배포, 소셜네트워킹 (Social Netw-orking) 사이트를이용한악성 코드공격으로정리된다. 2008 년 11 월발견된콘피커웜은 2009 년 1 월부터전세계로확산되었 다. 현재까지도주요악성코드감염통계에서상위권을차지하고있다. 마 이크로소프트에서발표한악성코드감염현황 2 을보면미국, 브라질, 대 한민국, 중국, 독일, 프랑스, 영국, 스페인, 일본등의국가의악성코드감 염이높음을알수있다. 대부분의나라가컴퓨터사용자가많으며그만 큼보안에신경쓰지않는사람들도많기때문으로예상된다. [ 그림 3-7] 국가별악성코드감염현황 ( 출처 : 마이크로소프트 ) 1. http://www.jpcert.or.jp/at/2009/at090010.txt 2. http://blogs.technet.com/mmpc/archive/2009/12/16/surveying-the-hamweq-agethreat-reports-for-msrt-december.aspx [ 그림 3-8] 국가별악성코드감염동향 ( 출처 : 마이크로소프트 ) 각보안업체악성코드통계를보면콘피커웜, 브레도랩 (Bredolab), 오 토런 (Autorun) 웜, 바이럿 (Virut) 바이러스, 샐리티 (Sality) 바이러스, 인덕 (Induc) 바이러스가 2009 년에유행했음을알수있다. 캐나다포티넷의 악성코드발표에따르면 2 1 위는브레도랩트로이목마이다. 이트로이목 마는스팸메일을통해세계적으로뿌려졌으며, 감염된시스템은스팸메 일을발송하거나허위백신프로그램이설치된다. 이외 Z 봇 (Zbot), 스팸 봇 (Spambot), 커트와일 (Cutwail) 등도메일로확산되었다. 슬로바키아이 셋 (Eset) 통계에따르면 3 1 위는콘피커웜이다. 2 위는오토런웜이만드는 autorun.inf 파일, 3 위는온라인게임계정탈취트로이목마, 7 위는 HOST 파일을변경하는 Qhost 이다. 이셋통계는개별적인변형이아닌유사변 형은함께통계를내고있어악성코드의전체적인흐름을알수있다. 러 시아카스퍼스키랩의통계에따르면 4 1-3 위는콘피커웜이며 4 위는바이 러스인샐리티이다. 이외바이럿바이러스 (Win32/Virut virus) 변형이 9 위, 인덕바이러스 (Win32/Induc virus) 가 10 위를차지하고있다. 악성코드배포방식은여전히홈페이지를해킹후취약점을이용해전파 하는방식이주를이뤘지만일부스팸메일발송악성코드가메일을통해 꾸준히배포되었다. 이외페이스북 (Facebook), 마이스페이스 (Myspace), 트위터 (Twitter) 등의소셜네트워킹을이용해전파되는형태도등장한다. 쿠브페이스웜 (Win32/Koobface.worm) 이대표적이다. 이외주요이슈가 뜰때마다이슈와관련된내용으로가장해서악성코드나허위보안프로 그램을배포하는사례가증가한다. 많은악성코드가분산서비스거부공 격 (DDoS) 기능을가지면서세계각지에서공격이발생했다. 특히 2009 년 7 월초발생한한국과미국정부사이트에대한공격은배후에북한 1. http://www.microsoft.com/downloads/details.aspx?displaylang=ko&familyid=03 7f3771-330e-4457-a52c-5b085dc0a4cd 2. http://www.fortiguard.com/reports/roundup_december_2009.html 3.http://www.eset.com/threat-center/threat_trends/Global_Threat_Trends_ November_2009.pdf 4. http://www.viruslist.com/en/analysis?pubid=204792092 18 ASEC Report _ 2009. Vol.12

이있지않느냐는의혹을남겼다. 기존악성코드는윈도우악성코드가대부분이었다. 하지만, 2009년에는매킨토시 OSX 위협증가와스마트폰이대중화되면서 2009년 11월아이폰에서활동하는악성코드가발견되었다. 또한, 2009년상반기동유럽지역에서은행자동화기기 (ATM) 에악성코드가발견되었으며, 2010년에는악성코드제작자들이금전적이득을위해더욱집중할것으로보인다. 세상에서가장안전한이름안철수연구소 19

IV. 2010 년보안위협예측 지금까지 2009년도의보안통계를통해주요보안이슈들을알아보았다. 이번장은 2010년도에사회적이슈가될수있는 12대보안위협에대해서알아보자. DDoS 공격용좀비 PC 확보기법지능화작년 7.7 DDoS 대란때처럼대량의좀비 PC를확보해악의적공격을하는사건이올해도지속될것으로전망된다. 공격자는다수의좀비 PC를이용해금전적대가를바라고 DDoS 공격을하거나확보한좀비 PC 자체를가지고거래한다. 이를위해진단되지않고지속적으로작동할수있는악성코드를원하기때문에최근 C&C(Command & Control) 서버와의통신채널, 셀프 (Self) 업데이트, 공격을위한정보능동적생성등지능적인기법이등장하고있다. 2010년에도이런양상은계속될것으로예상된다. 스마트폰공격위협본격화국내에도본격적인스마트폰시대가열려 PC에서했던일을언제어디서든할수있게됐다. 이는기존 PC에서발생한보안문제가스마트폰에서도발생할수있음을의미한다. 스마트폰의종류와플랫폼이다양하므로악성코드도다양한형태로나타날것으로예상되며, 이미 Jail Break된아이폰에개인정보를탈취하는악성코드가발생했다. 스마트폰을대상으로한악성코드는통화기록이나전화번호, 사진등의개인정보를탈취할뿐아니라, 스마트폰을좀비클라이언트로만들어 DDoS 공격에악용할수도있다. 비정상트래픽을유발해비정상적인과금을유도하거나불필요하게배터리를소진할가능성도있다. 클라우드, 가상화기술악용한보안위협증가 IT 자원활용의효율화때문에주목받는클라우드기술과가상화기술이사이버공격에악용될것으로예측된다. 이를테면클라우드컴퓨팅을이용해여러대의 C&C 서버를준비해두고, 좀비 PC 안의악성코드가이중서비스가가능한 C&C 서버로찾아가는방식이다. 이때여러대의 C&C 서버를구축하기위해공격자는가상사설서버 (Virtual Private Server) 를이용한다. 이것을이용하면물리적으로는 1대이지만가상으로여러대의서버를구축함으로써봇넷 ( 네트워크로연결된대량의좀비 PC) 을효율적으로관리할수있다. 이러한클라우드, 가상화기술은 그린 IT 의기반이기때문에, 그린 IT 까지도위협대상이될것으로예상된다. 웹사이트와스팸메일이결합한위협증가새해에도역시웹사이트가악성코드전파의주요경로로이용될것으로전망된다. 여전히 SQL Injection, XSS( 크로스사이트스크립트 ), 사이트 취약점을이용한악성코드삽입등이주로사용될것으로보인다. 2009 년하반기에스팸메일과웹사이트가결합된보안위협이처음발견됐는데, 2010년에는이형태가증가할것으로예측된다. 공격자는최초이메일로악의적인웹사이트주소를보내접속을유도한다. 사용자가접속하면웹브라우저취약점공격, 악성코드설치, 취약점을가진문서파일 (PDF, Office 파일등 ) 다운로드등의공격을한다. 현재우리나라는보안에취약한다수의웹서버가별다른방어책없이인터넷에연결되어있는상태여서피해는올해도증가할것으로보인다. SNS를이용한공격확산 2010년에는트위터, 페이스북같은 SNS를대상으로한해킹이증가할것으로예상된다. 지난해이미트위터에짧은주소서비스를통해악성코드를유포한사례가있었다. 스마트폰의급속한보급과함께다양한 SNS 애플리케이션이등장함에따라개인정보를노린해킹이발생할것으로우려된다. 본인확인이어려운점을악용해유명인을사칭하거나유명인의 SNS 계정을탈취할수도있다. 또한, SNS 업체를직접겨냥한해킹도발생할것으로보인다. VoIP 보안위협등장 VoIP(Voice over Internet Protocol) 의보급이늘어남에따라그에따른보안위협도커져가고있다. 특정 VoIP 서비스의통화내용을유출하는악성코드가이미발견됐다. 앞으로는이같은도감청의위협이더욱광범위해져사생활을침해하거나기업활동에악영향을줄수있다. 부정사용으로금전적피해를주거나, 무선인터넷공유기의 ID와비밀번호를가로채악성코드설치및개인정보유출등의피해를주는일이발생할수도있다. 또한 VoIP 서비스업체를 DDoS 공격해서비스중단, 서비스의데이터위변조등을일으킬가능성도있다. 메신저피싱급증지난해메신저프로그램을이용한악성코드유포및금전요구사기가적지않았고편의성때문에올해도지속적으로확산될것으로보인다. 인스턴트메신저의계정정보는악성코드를이용해쉽게탈취할수있고, 메신저와포털, SNS까지동일한계정을쓸경우 2차피해로이어질가능성도높다. 악성코드의자기보호기법지능화보안소프트웨어가접근하지않는영역에서작동하거나은폐및자기보호기법을보유한악성코드가급증할것으로전망된다. 지난해많은피해를낳은콘피커 (Conficker), 브레도랩 (Bredolab), 팔레보 (Palevo), 다오 20 ASEC Report _ 2009. Vol.12

놀 (Daonol) 등은 V3를제외한일부백신을비롯해일반응용프로그램이접근하지않는특정메모리영역에서동작한다. 따라서감염된파일을삭제하는것만으로는치료가끝나지않는다. 갈수록악성코드가감염시키는대상파일은다양해지고동작하는위치는컴퓨터구조의더깊숙한곳으로내려가는추세이다. 따라서진단 / 치료기술은더복잡해지고더많은시간과노력이투입될것으로전망된다. 윈도우7 취약점공격증가윈도우7이작년 10월발표된직후보안취약점이발견됐다. 윈도우7의보안을뚫기위해악성코드제작자들은새로운기술로공격할것으로보인다. 이는기존주요응용프로그램인 MS 오피스, 어도비 PDF 등의애플리케이션취약점을이용하는악성코드증가와맥을같이할것으로예상된다. 사회공학기법의정교화마이클잭슨사망과같은사회적이슈가발생하면소위 사회공학기법 에기반한악성코드가등장한다. 앞으로는페이스북과트위터등 SNS로유포경로가다양해지고, 사용자가악의적목적을인지하지못하게정밀해질것으로예측된다. 특히최근등장한, 인터넷검색엔진의검색결과를인위적으로조작하는기술인 SEO(Search Engine Optimization) 가더많이활용될것으로보인다. 가짜백신확산악성코드에감염되었다는허위문구를띄워비용결제를요구하는가짜백신이올해도확산될것으로보인다. 현재무료백신이개인시장에대량제공되고있지만, 일부고객들은이러한가짜백신에현혹되어허위진단에금전적인비용을지불하는문제가발생할수있다. 온라인게임해킹증가올해도온라인게임해킹이꾸준히증가하고, 특히메모리해킹과오토플레이가급증할것으로예상된다. RPG( 역할수행게임 ) 와캐주얼게임, 기능성게임등온라인게임종류가다양해짐에따라이를겨냥한해킹이급증할것으로보인다. 세상에서가장안전한이름안철수연구소 21