1. 악성코드 파워포읶트제로데이관련취약점과또다른 Conficker 웜변형... 2 2. 스파이웨어 Zlob 방식으로배포되는국내애드웨어... 6 3. 시큐리티 PPT 0 day 취약점 (CVE-2009-0556)... 12 4. 중국보안이슈 중국의정보보안관련법... 16 Ineternet Explorer 8.0 의편리함과보안위협... 18 1. 악성코드... 26 2. 스파이웨어... 36 3. 시큐리티... 39 4. 사이트가드... 42
I. 이달의보안이슈 1. 악성코드 파워포인트제로데이관련취약점과또다른 Conficker 웜변형 문서파일의취약점은곧잘악성코드제작에이용되는데이번달초 MS 파워포인트의제로데이취약점이알려지고이를이용한악성코드가국외에서보고되었다. 또한 Conficker 변형이또다시보고되었다. 이번변형은가짜백신을설치하고이전변형인 Conficker.B 형을설치한다. 지난달에도보고된 Waledac 웜변형이이번에는 SMS 문자메시지를훔쳐볼수있는내용을담는메일형태로광범위하게퍼졌다. 이외에도서버서비스취약점을사용하는 Buzus 트로이목마가국내에서다수보고되었으며국외의유명 SNS인 Twitter 관련웜이보고되기도하였다. (1) MS 파워포인트제로데이취약점 Dropper/Exploit-PPT가악용한취약점은조작된파워포인트파일을파싱하는과정에서발생하며이는메모리상에서삭제된오브젝트 (Object) 를다시참조함으로인해유효하지않은메모리참조가발생하는메모리오류로인한코드실행취약점이다. 악의적으로제작된파워포인트문서들을오픈하면다음과같은슬라이드중하나가보여지게된다. 2 [ 그림 1-1] 파워포인트제로데이취약점관련문서슬라이드중일부 위와같이취약점이포함된문서파일을이용한공격은대부분메일을통하여첨부파일로전 달되므로의심스러운문서파일종류는절대로실행하지말아야한다. 이처럼취약점이포함 된문서파일을이용하여메일을보내어공격하는형태를스피어피싱이라고불리며일반사
용자들을노리기보다는기업또는공공기관처럼신뢰있는기관을공격하여주요한정보를 탈취하려는목적이강하기때문에주의가요구된다. (2) MS08-067 관련취약점을이용하는 Win-Trojan/Buzus Win-Trojan/Buzus 는유저모드은폐기법을이용하면서자신의프로세스를숨기며동작하는악성코드이다. 해당트로이목마는다수의국내사용자로부터보고되었다. 트로이목마가실행되면자신을 \Windows\System 폴더에 1sass.exe 자신의복사본을생성한다. 그리고특정호스트로자신을접속하며서버서비스취약점 (MS08-067) 을이용하여자신을전파하려고한다. 트로이목마자체는실행압축된형태이므로코드가바로보이지않으며실행을위해서자신을특정메모리영역에할당을받은뒤이곳에원래의코드를풀어내고실행하게된다. 3 [ 그림 1-2] Win-Trojan/Buzus 가사용하는서버서비스 Exploit 코드부분 또한트로이목마는이동식디스크에자신의복사본과 Autorun을생성해둔다. 따라서감염된이동식디스크를감염되지않는곳이나외부의네트워크와접근이되지않는폐쇄망에연결된시스템에디스크를연결하는경우이와같은환경에서도해당악성코드감염이발생하게된다.
(3) 변형또다른 Conficker 웜변형출현 Conficker 웜또다른변형이발견, 보고되었다. 이번에는 EXE 형태로직접실행가능한형태이다. 이번변형은아직광범위하게전파된것은아닌것으로추정된다. 실행되면가짜백신을설치하며 Conficker.B로알려진변형을레지스트리에숨겨둔다. 이와같은방법은특정레지스트리키를생성한후그내용에암호화된 Conficker.B를데이터로써두는방법이다. 특정조건이되면해당파일이복호화되어실행될것으로추정된다. 새로운 Conficker는취약점으로전파는물론 P2P 형태로자신을전파하거나명령을제어할수있는것으로알려져있다. (4) SMS Spy 메일로위장한 Waledac 웜관련 Win32/Waledac.worm 의또다른변형이발견, 보고되었다. Waledac 웜은지난달특정도 시에테러가발생했다는뉴스로가장하여전파되기도하였다. 이번에는 SMS 를온라인에 서해킹할수있는프로그램을제공하는것처럼사용자를특정웹페이지로유도한다. 4 [ 그림 1-3] SMS Spy 메일로위장한 Waledac 관련메일
[ 그림 1-4] SMS Spy 메일로위장한 Waledac 관련메일 5 웹페이지내 DownloadFreeTrial 링크를클릭하면 Waledac 웜파일을다운로드하는창이보여진다. Waledac 웜은지금까지국제적인이슈나기념일등과관련된내용을가진메일로광범위하게전파되고있다. 또한 Server-Side Polymorphism 기법을이용하여매번다른변형을배포하고있어안티바이러스진단을피하도록하고있기도하다. 이후 Waledac 웜은다른국제및사회적인이슈등으로가장하여스팸성메일로전파될소지가많은만큼이와같은거짓정보에현혹되어서는안된다.
2. 스파이웨어 Zlob 방식으로배포되는국내애드웨어 Zlob 이라고하면코덱형식을가장하여배포되는악성프로그램으로, 실행하면다수의애드웨어또는스파이웨어를설치하는특징을가지고있다. 이들은사람들의관심을끌만한동영상으로사용자의접속을유도한후감상을시도할때코덱설치메시지를보여주며악성프로그램의설치를유도한다. 이러한사회공학적인방식에속아사용자들은악성프로그램들을스스로설치하게된다. 지금까지이러한 Zlob 들은대부분해외에서발견되었으며국내에서는거의이용되지않았는데, 이것은국산애드웨어의배포역사와밀접한관련이있다. 국산애드웨어배포방식은과거에 ActiveX 를통한배포가주를이루다가보안업체의진단이많아지자번들설치로넘어가는단계에있다. 이런시점에국산 Zlob 이나타난것은시사하는바가크다고할수있다. 현재활성화되어있는국산 Zlob 배포지는그리수가많지않으며, 블로그형태와홈페이지형태가확인되었다. 블로그를이용한형태는포털사이트의주요검색키워드관련영상을이용하거나코덱팩을위장하여다운로드를유도한다. 그와달리홈페이지를이용한방식은사이트특성에맞춰음악감상사이트의경우 MP3 다운로드를위장하고, 동영상감상사이트의경우코덱을위장한다. 구체적으로살펴보면아래와같다. 6 블로그의경우는매기사마다사용자의관심을끌만한컨텐츠를제공한다. 그중에특히유용한프로그램의다운로드를제공하는경우가일반적이다. 예를들면아래의 [ 그림 1-5] 은축구선수박지성의인기를이용한것으로경기시청을원하는국내팬들을대상으로하고있다. [ 그림 1-5] 인터넷 TV 로위장한국내 Zlob 위에서제공하는파일을실행하면아래와같은사용자이용동의창을확인할수있다.
[ 그림 1-6] 국산 Zlob 설치시사용자동의창 7 사용자가자세히확인하지않고동의버튼을누를경우실시간 TV 시청프로그램과는전혀 관련없는다수의리워드 ( 적립금 ), 키워드프로그램이설치된다. 이와는달리사람들의관심을끄는무료동영상을위장하여애드웨어의설치를유도하는방 법도이용된다. 예를들면아래와같이유명무료동영상의이미지를긁어와서설치프로그 램과연결시켜놓는경우도있다.
[ 그림 1-7] 웹동영상창으로위장한다운로드링크 8 위의이미지는동영상플레이어를위장하고있지만, 실제로는이미지이다. 이미지와연결된 다운로드링크는웹브라우저의상태바에서확인할수있다. 블로그와달리웹사이트는하나의컨텐츠성격을갖고있다. 그때문에어떻게보면단순해보일수도있으나, 예를들면, MP3 공유사이트의경우음악정보들을위장하여애드웨어를배포하며, 동영상감상사이트의경우코덱을위장하여애드웨어의설치를유도한다. 예를들면, [ 그림 1-8] 를보면국내가요들의 MP3를다운로드할수있도록서비스를제공하는것으로보인다. 그러나실제모든음악링크들은동일한애드웨어설치프로그램을다운로드하도록연결되어있다.
[ 그림 1-8] MP3 감상사이트로위장한 Zlob 배포지 9 페이지소스를보면아래와같다. [ 그림 1-9] 의인기차트의맨위에있는음악링크를누를 경우함수 locationok() 가호출되며파라미터로선택된음악제목이전달된다. [ 그림 1-9] 노래제목을누를시활성화되는스크립트 함수 locationok() 에서는 [ 그림 1-10] 과같이전달된음악과무관하게함수 BigPopup() 이호출된다. [ 그림 1-10] 어떤제목을클릭해도 BigPopup 호출 함수 BigPopup() 은 [ 그림 1-11] 에서볼수있듯이다운로드 URL 을창으로 Open 한다.
[ 그림 1-11] 다운로드링크를 Open 함 다운로드 URL 은아래의 [ 그림 1-12] 과같이애드웨어의설치프로그램이연결되어있다. [ 그림 1-12] mp3frm 에있는다운로드링크 10 실제로마우스클릭시아래의 [ 그림 1-13] 와같은다운로드창을확인할수있다. [ 그림 1-13] 국산 Zlob 다운로드창 이와유사하게동영상감상의경우아래의 [ 그림 1-14] 과같은홈페이지구성을갖고있다.
앞서살펴본 MP3 공유사이트와동일하게영상클릭시애드웨어설치프로그램의다운로 드창을보여준다. 다만코덱을설치하도록유도한다는점에서차이가있다. [ 그림 1-14] 동영상감상사이트로위장한 Zlob 배포지 11
3. 시큐리티 PPT 0 day 취약점 (CVE-2009-0556) MS Office는이번달에도많은보안패치가나올만큼최근이슈가되고있다. 안철수연구소가 ASEC 보안권고문을통해이미사용자에게주의를알렸으나, 아직보안패치가나오지않았으며악성코드에이용되는 PowerPoint 0 day 취약점에대해상세히알아보자. (1) CVE-2009-0556 PPT 0 day 취약점 PowerPoint PPT 파일은다음스트림들로구성되어있다. Current User - 해당프리젠테이션을마지막으로연사용자의이름이저장된다. PowerPoint Document - PowerPoint 프리젠테이션에대한모든정보가저장된다. Pictures( 선택사항 ) - 그림관련데이터가저장된다.( 메타파읷, PNG, JPG 등 ) Summary Information 및 DocumentSummaryInformation( 선택사항 ) - 문서에관한통계가저장된다. PowerPoint Document 스트림에는프리젠테이션정보가포함되어있으며, 다음과같은공 통구조를가진일련의레코드로구성된다. 12 [ 그림 1-15] 레코드공통구조 atom 과 container 라는두종류의레코드가존재한다. atom 은실제정보를저장하는파일과같고, container 는다른디렉토리와파일을포함하는 디렉토리와같다. TextHeaderAtom(3999) - 동일한텍스트에속한일련의 atom 중가장앞에위치한다. [ 그림 1-16] 레코드공통구조
OutlineTextRefAtom(3998) - 슬라이드내에서해당문서에이미포함된텍스트를나타내는 데사용된다. [ 그림 1-17] 레코드공통구조 PowerPoint는 container 내에서 TextHeaderAtom을만나면해당텍스트를위한임시개체를할당한다. 다음 atom들은일반적으로이텍스트개체의콘텐츠를수정하는데사용된다. PowerPoint는 OutlineTextRefAtom를만나면, 참조되는텍스트개체가이미내부데이터구조내어딘가에존재한다고가정하고임시텍스트개체에대해할당된메모리를해제한다. 만일이두이벤트가동일 container 내에서발생되면, PowerPoint 는동일 container 내의 나머지 atom 들을처리할때이미해제된임시텍스트개체를사용하려고시도하게되고, 결 국메모리손상이발생하게된다. 13 아래예제는위취약한방법으로실행되는 PowerPoint 의파일포맷을분석한내용이다. [ 그림 1-18] Power Point 파일포맷 MSOClientTextbox container 의길이는 (40 00 00 00) 으로 64 바이트이고, 그안에
TextHeaderAtom (9F 0F) 3999 와 OutlineTextRefAtom (9E 0F) 3998 이포함되어있어취 약한부분을가진 PowerPoint 파일이라고할수있다. 아래와같이취약한부분을통해다른메모리위치에서쉘코드가실행되는것을확인할수 있다. 0:000> t eax=0089bac4 ebx=00000000 ecx=0089e640 edx=0089ebd4 esi=001336cc edi=00000000 eip=300501cd esp=001335ec ebp=00133680 iopl=0 nv up ei pl nz na po nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00200202 PowerPoint+0x501cd: 300501cd ff501c call dword ptr [eax+1ch] ds:0023:0089bae0=0089bb54 악의적읶쉘코드분기부분 0:000> t eax=0089bac4 ebx=00000000 ecx=0089e640 edx=0089ebd4 esi=001336cc edi=00000000 eip=0089bb54 esp=001335e8 ebp=00133680 iopl=0 nv up ei pl nz na po nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00200202 <Unloaded_ed20.dll>+0x89bb53: 0089bb54 0d00000000 or eax,0 14 0089bb54 0d00000000 or eax,0 0089bb59 0000 add byte ptr [eax],al 0089bb5b 0000 add byte ptr [eax],al 0089bb5d 0000 add byte ptr [eax],al 0089bb5f 0000 add byte ptr [eax],al 0089bb61 0000 add byte ptr [eax],al 0089bb63 0000 add byte ptr [eax],al 0089bb65 0018 add byte ptr [eax],bl 0089bb67 00c0 add al,al 0089bb69 0000 add byte ptr [eax],al 0089bb6b 00c0 add al,al 0089bb6d 90 nop 0089bb6e 90 nop 0089bb6f 90 nop 0089bb70 eb2b jmp <Unloaded_ed20.dll>+0x89bb9c (0089bb9d)
0089bb72 33c0 xor eax,eax 0089bb74 50 push eax 0089bb75 648920 mov dword ptr fs:[eax],esp 0089bb78 33ff xor edi,edi 0089bb7a 81c700100000 add edi,offset <Unloaded_ed20.dll>+0xfff (00001000) 0089bb80 b8d0cf11e0 mov eax,0e011cfd0h 0089bb85 3b07 cmp eax,dword ptr [edi] 0089bb87 75f1 jne <Unloaded_ed20.dll>+0x89bb79 (0089bb7a) 0089bb89 40 inc eax 0089bb8a 3b87000a0000 cmp eax,dword ptr <Unloaded_ed20.dll>+0x9ff (00000a00)[edi] 0089bb90 75e8 jne <Unloaded_ed20.dll>+0x89bb79 (0089bb7a) 0089bb92 81c7000a0000 add edi,offset <Unloaded_ed20.dll>+0x9ff (00000a00) 0089bb98 83c704 add edi,4 0089bb9b ffe7 jmp edi 0089bb9d e8d0ffffff call <Unloaded_ed20.dll>+0x89bb71 (0089bb72) 15 위코드를통해, 취약점을이용하는쉘코드부분을 PowerPoint 파일에서도확인할수있다. [ 그림 1-19] 쉘코드 원격의공격자가대상사용자로하여금동일 container 내에 TextHeaderAtom 다음에 OutlineTextRefAtom 이따라오도록조작된프리젠테이션파일을열도록유도하는방법으로 이취약성을공격할수있을것이다. 공격에성공하면, 공격자가현재로그인된사용자의보안컨텍스트에서임의의코드를실행 할수있다.
4. 중국보안이슈 중국의정보보안관련법 강화된중국의정보보안관련형법 2009 년 2 월중국에서는제 11 회중화인민공화국전국인민대표회의상무의원회의가개최되 었다. 전국인민대표회의는한국으로비교하자면현재시행되고있는법령을현실에맞게개 정하기위해국회의원들이모여법령을개정하기위한회의라고할수있다. 16 [ 그림 1-20] 개정된중화인민공화국형법수정건 7 호 이번에개정된법령은중화인민공화국주석령으로한국과비교하자면대통령령정도볼수있다. 개정된법령은모두 2월 28일자로시행되며총 15건에대한형법이개정되었다. 이중에는해외상품에대한밀수관련처벌사항과유가증권을통한증시조작그리고세금포탈등과관련된형법들이개정되었다. 이중에서도정보보안을다루는보안업체에서관심을가져야할수정된형법은바로 9조에표기한정보시스템보호관련형법이다. 아래는이번에개정된정보시스템보호관련형법전문을정리하면다음과같다. 9 조, 형법제 285 조에근거하여 2 차와 3 차개정안에다음의사항들을추가한다. 반국가규정에근거해서, 컴퓨터시스템또는기타기술수단을이용하여침입 ( 해킹 ) 을하거나, 컴퓨터시스템에저장한데이터또는전송되는데이터를획득또는가로채거나컴퓨터시스템을불법제어할경우, 상황의심각성에따라 3년이하의징역또는구금에처하며이와동시에벌금도부과된다. 상황이특수하게심각할경우, 3년이상 7년이하의징역또는
구금에처하며이와동시에벌금도부과된다. 전문적으로침입 ( 해킹 ) 하기위해불법으로컴퓨터시스템의프로그램또는도구 ( 유틸리티 ) 를제어및제공하거나명백하게알려진타인의컴퓨터시스템에대해범죄의목적으로침입 ( 해킹 ) 및제어하거나프로그램및유틸리티를제공할경우상황의심각성에따라법령에대한불이행으로간주하고처벌한다. 이번형법개정안에포함된정보시스템보호관련형법을본다면전반적으로불법적인해킹과악성코드유포및소스코드거래에대해정국정부의엄격한법령적용을하겠다는의지로볼수있다. 그러나이번형법의개정으로인해중국발해킹이감소할지는조금더시간을두고지켜볼필요가있을것이다. 17
II. ASEC 칼럼 Ineternet Explorer 8.0 의편리함과보안위협 지난 3 월 IE8(Internet Explorer 8.0) 이정식출시되었다. 과거 7.0 버전에비해많은기능 들이추가되고성능도좋아졌다는평가를받고있어, 타브라우저들과의경쟁에서여전히우 위를고수할것으로전망된다. 그러나보안적인측면에서바라본다면 IE8에서도여전히많은문제점들이남아있고, 사용자편의를위해제공되는기능들이스파이웨어에의해악용될가능성이있어우려가된다. 이글에서는 IE8에서새로이추가된기능들과그기능들이앞으로의스파이웨어에의해어떻게악용될수있는지, 그리고여전히남아있는 IE의보안헛점을알아보도록한다. 1. IE8 에새로이추가된기능들 18 (1) 더쉽고빠르게 바로연결 (Accelerator) 브라우징도중, 웹페이지의단어를번역하거나그단어로검색을하고자할때, 과거 IE7이하의버전에서는상당히많은작업을거쳐야만했다. 이제는 IE8의 ' 바로연결 ' 기능을이용하면보다손쉽고빠른작업처리가가능해졌다. [ 그림 2-1] 바로연결 (Accelerator) 단순히내가원하는특정단어나문자열을드래그하여선택하였을때나타난 ' 바로연결 ' 아
이콘을클릭하면지도검색, 번역, 쇼핑몰검색등의다양한서비스를간편하게이용할수 있다. 비주얼검색 (Visual Search) 검색창에특정단어를입력하면그와관련한연관검색어를보여주는기능은이미많은사용자들에게익숙해져있을것이다. 그런데 ' 비주얼검색 ' 은이보다한단계더나아가단어를입력하는즉시관련정보를제시해주어검색에낭비되는많은시간이절약될수있다. 19 [ 그림 2-2] 비주얼검색 (Visual Search) ' 비주얼검색 ' 은단순히문자만보여주는데서그치지않고이미지까지표시해주기때문에 보다상세한정보를얻을수있다. 웹조각 (Web Slice) 인터넷쇼핑몰을이용해본사람이라면누구나주문한상품이어디쯤배송되었는지확인하기위해몇번이고배송정보페이지를확인한경험이있을것이다. 또자신의블로그나홈페이지에달린댓글을확인하기위해매번그페이지를열어야하는번거로움을한번쯤은겪었을것이다. ' 웹조각 ' 기능을이용하면이렇게귀찮았던작업을간편하게해결할수있다.
[ 그림 2-3] 웹조각 (Web Slice) 웹페이지상의특정영역을 ' 웹조각 ' 으로등록하면그페이지의내용이바뀔때마다브라 우저에서알려준다. (2) 안전한보안 InPrivate InPrivate' 기능을이용하면사용자의인터넷검색기록, 임시인터넷파일, 양식데이터, 쿠 키및사용자이름 / 암호기록이브라우저에의해남지않아은밀한웹서핑이가능해진다. 20 [ 그림 2-4] InPrivate
SmartScreen 인터넷을사용하다보면자신도모르게악성코드가삽입되었거나악의적인목적으로제작된사이트에접속하게되는경우가허다하다. SmartScreen 기능을사용하면이러한위협으로부터보다안전해질수있다. 21 [ 그림 2-5] SmartScreen 2. 그러나, 독이될수있는기능들 ' 더쉽고빠르게 ' 라는슬로건처럼 IE8에서는인터넷을사용하는데편리한기능이많이추가되었다. 그러나이러한기능들이과연편하기만할까? 기우일지는모르겠으나아마도이러한기능을악용하는애드웨어들이앞으로많이출현하지않을까하는걱정이앞선다. 특히 ' 바로연결 ' 과 ' 웹조각 ' 기능은수많은애드웨어제작자들이군침을흘릴만한기능이아닐수없다. 과거 IE 를타깃으로하는애드웨어들은주로주소표시줄, 즐겨찾기, 표준단추등을이용하 여광고를표시하거나자신의웹사이트로의방문을유도하는형태로동작하였다. 그러나이 제 IE8 부터는 ' 바로연결 ', ' 웹조각 ', ' 비주얼검색 ' 이라는먹잇감이더늘게된것이다. 바로연결 2006년이후한국에는엄청난 ' 툴바 ' 열풍이불었고그열기는지금도계속이어져오고있다. 그열기가한창일때는 PC 한대에여러개의툴바가동시에설치되어 [[ 그림 2-6] 화면의절반을채운툴바
] 과같이 IE 화면의절반을툴바로가득채울정도였다. [ 그림 2-6] 화면의절반을채운툴바 22 ' 바로연결 ' 도툴바와마찬가지로애드웨어들의치열한다툼의자리가될것으로예상된다. ' 바로연결 ' 을선택하면화면전체세로길이와맞먹을정도로수많은연결메뉴가나타나고 사용자는어떤서비스를선택해야할지몰라난감하게될지도모른다. 웹조각과거많은애드웨어들이광고를보여주기위한방법으로 ' 팝업창 ' 을많이이용하였다. 매시간마다혹은매초마다주기적으로뜨는 ' 팝업창 ' 은사용자들을무척이나괴롭혀왔다. 애드웨어의입장에서 ' 웹조각 ' 기능은새로운창으로뜨는지그렇지않은지의차이일뿐, ' 팝업창 ' 과별반다를것이없다. 그러나현재사용자가보고있는브라우저안에서보여주는광고이기에 ' 팝업창 ' 보다더효과적인광고방법이될것이다.
[ 그림 2-7] 애드웨어에의해등록된웹조각예제 23 8.0 이전의 IE에서새로운창을띄우지않고광고를보여주기위해서는 BHO를이용하여웹페이지안에광고를삽입하는방법을이용하였는데, 이방법은복잡한기술을이용해야했다. 그러나 ' 웹조각 ' 기능은그럴필요없이비교적간단한방법으로등록되어 IE 상단에표시되기때문에더할나위없이좋은광고수단이된다. 아마도애드웨어제작자들이가장좋아하게될기능으로예상된다. 비주얼검색검색서비스공급자로포르노검색사이트가등록된다면어떻게될까? 이기능역시과거주소표시줄과마찬가지로수많은애드웨어들이서로기본검색서비스공급자로등록되기위해치열한전쟁을벌일전쟁터가될것이다.
[ 그림 2-8] 성인광고가표시되는비주얼검색 3. 여전히문제가되는 ActiveX 와 BHO IE8 이성능이나사용자편의면에서는많은개선이이루어진것으로인정할수있겠으나보 안과관련한부분에서만큼은합격점을주기가어렵다. 특히 ActiveX 와 BHO 에관련해서는 이전버전과같이개선된부분이없어아쉬움이크다. 24 ActiveX와 BHO는 IE에서플러그인형태로등록되어막강한기능을제공해준다. 우리가여느웹사이트에서흔히볼수있는 Flash 역시 ActiveX로 IE에등록되어동작한다. 이밖에도보안프로그램, 웹하드디스크등수많은프로그램들이 ActiveX나 BHO의형태로등록되어사용자에게많은편의를제공한다. 그런데이런 ActiveX나 BHO는매우강력한만큼그에따른위험이뒤따른다. 일단 IE에설치된 ActiveX나 BHO는시스템에설치된여느프로그램과다름없이무엇이든다할수있기때문이다. 프로그래머가나쁜마음을먹는다면악성코드를다운로드하여실행할수도있고, 심지어는그자체가악성코드가되어시스템을망가뜨릴수도있다. 실제로 BHO는 2008년한해동안 V3에진단추가되는스파이웨어중 4.8% 나될만큼그비중이크다. 하지만, IE8에서이전버전과비교해 ActiveX나 BHO와관련해보안상나아진부분이사실상없다고봐도무관하다. 여전히이로인한위협이남아있는것이다. IE8 에서피싱필터기능을보다개선한 'SmartScreen' 기능을내놓았으나, 전적으로
Microsoft에등록된데이터베이스에의존하는것이기에등록되지않은사이트에접속하거나그사이트로부터악성코드를다운로드받을경우엔효과를보지못한다. 게다가 'SmartScreen' 기능은단지접속만차단하는것이기에 ActiveX나 BHO가내부적으로어떤동작을하든그것을차단할수는없다. 바로연결 과 웹조각 그리고 비주얼검색 모두매우유용한기능임에는틀림없다. 하지 만그유용한만큼애드웨어에노출될위협은커졌다. ActiveX 와 BHO 역시막강한부가기 능을제공하지만그만큼악성코드로부터내시스템이위험해질수있다. 4. 편리함 VS 보안 이러한경우처럼가끔우리는무언가를얻기위해다른어떤하나를포기해야만하는경우가있다. 보안과편리함의관계가바로그러한관계일것이다. 집안의중요한물건을안전하게지키기위해서는겹겹이자물쇠를채우는방법이있다. 그러나매번집을들어설때마다수많은자물쇠를하나하나풀어야하는번거로움이생긴다. 25 vs [ 그림 2-9] 편리함 VS 보안 그러나 IE8 에서편리함과보안모두이전버전보다는많은개선이이루어진것임은틀림없 다. 그렇지만향상된편리함에비해, 보안에있어서는갈수록커져만가는위협들로부터사 용자를지키기에그진보가미약하다고느껴진다. 물론 IE가다른브라우저들에비해유독보안에취약하거나한것은결코아니다. 또한, 다른브라우저라고해서많은보안위협으로부터안전한것은아니다. 다만 IE는가장많은사람들이사용하는브라우저이기에항상악성코드의주요타깃이될수밖에없는것이다. 다음버전에서는브라우저시장의강자답게편리함과보안, 이두마리토끼를모두잡을수있기를기대해본다.
III. 이달의통계 1. 악성코드 (1) 4 월악성코드통계 순위 악성코드명 건수 비율 1 new Dropper/Agent.170797 9 11.7% 1 new Dropper/OnlineGameHack.173857 9 11.7% 1 new Win-Trojan/Agent.1470464.B 9 11.7% 1 new Win-Trojan/Autorun.86016.E 9 11.7% 2 new Win-AppCare/HackTool.13531 8 10.4% 3 new Win32/IRCBot.worm.126976.AI 7 9.1% 3 new Win-Adware/Elog.365568 7 9.1% 3 new Win-AppCare/Agent.8704.B 7 9.1% 4 new Dropper/OnlineGameHack.174326 6 7.8% 4 new Win-Downloader/Rogue.XPPoliceAntivirus.52230 6 7.8% 합계 77 100.0% 26 [ 표 3-1] 2009 년 3 월악성코드피해 Top 10 순위 악성코드명 건수 비율 1 new Win-AppCare/Keylogger.205824 11 13.6% 2 new Win-Trojan/Agent.9728.OI 10 12.3% 2 new Win-Trojan/Downloader.23552.OD 10 12.3% 3 new Dropper/Agent.172913 8 9.9% 4 2 Win-AppCare/HackTool.13531 7 8.6% 4 new Win-Trojan/Downloader.97416 7 8.6% 4 new Dropper/OnlineGameHack.173553 7 8.6% 4 new Dropper/OnlineGameHack.172748 7 8.6% 4 new Win-Trojan/Agent.11264.KL 7 8.6% 4 new Dropper/OnlineGameHack.171819 7 8.6% 합계 81 100.0% [ 표 3-2] 2009년 4월악성코드피해 Top 10
[ 표 3-1] 은 2009 년 3 월악성코드피해 Top 10 이며, [ 표 3-2] 는 2009 년 4 월악성코드로 인한피해 Top 10 을나타낸것이다. 4월에이슈가된악성코드로는 Win-Trojan/Downloader.97416 을들수있다. 해당악성코드가실행되면서생성되는파일이 Autorun 웜, OnlineGameHack, AVKiller등다양한악의적인기능을수행한다. Autorun 웜기능으로인하여 USB저장장치를많이사용하는국내에서는매우확산도가컸으며, AVKiller 기능으로인해엔진업데이트가이뤄진다고하더라도 V3가실행되지않는증상으로인해불만을호소하는고객의문의가다수접수되었다. 또한일부시스템의경우스마트업데이트파일이손상되어업데이트조차진행되지않아부득이감염된시스템의경우전용백신과함께제품을재설치해야하는번거로움을겪을수밖에없었다. 나날이악성코드는발전하고있다. 안티바이러스의진단을회피하는기법과함께안티바이러스제품을무력화시키는악성코드에대항하기위해서는진단율향상과더불어자체보호기능을강화시켜나가야할것이다. 아래의표와그림은대표진단명을기준으로변형들을묶어통계를뽑은것이다. 근래악성코 드의활동주기가짧아짐 - 악성코드제작자와진단율향상등에의해 - 에따라변형을다룬 악성코드에대한통계보다대표진단명을통해서전체적인악성코드감염양상을알수있다. 27 순위 악성코드명 건수 비율 1 1 Win-Trojan/Agent 445 19.0% 2 new Win-Trojan/Fraudload 379 16.2% 3 - Win-Trojan/OnlineGameHack 352 15.0% 4 new Win-Trojan/Kryptik 285 12.2% 5 3 Win-Trojan/Fakeav 282 12.0% 6 5 Win-Trojan/Downloader 212 9.0% 7 2 Dropper/OnlineGameHack 152 6.5% 8 new Win-Trojan/Vundo 101 4.3% 9 3 Dropper/Agent 84 3.6% 10 new Dropper/Fraudrop 51 2.2% 합계 2,343 100.0% [ 표 3-3] 2009 4 월악성코드대표진단명 Top 10
4 월악성코드 TOP 10( 대표진단명기준 ) 4% 4% 2% 20% 9% 12% 6% 16% Win-Trojan/Agent Win-Trojan/Fraudload Win-Trojan/OnlineGameHack Win-Trojan/Kryptik Win-Trojan/Fakeav Win-Trojan/Downloader Dropper/OnlineGameHack Win-Trojan/Vundo Dropper/Agent Dropper/Fraudrop 12% 15% [ 그림 3-1] 2009 년 4 월악성코드대표진단명 Top 10 [ 표 3-3] 과 [ 그림 3-1] 은 2009 4 월악성코드의대표진단명을기준으로유형별피해순위 Top 10 을나타내고있다. 4월악성코드대표진단명 Top 10을살펴보면 OnlineGameHack이여전히강세를보이며전체약 21.5%(3위와 7위 ) 의비율을차지하고있다. 그러나 4월대표진단명에서눈여겨볼만한사항은 FakeAV, Zlob, Vundo, Kryptik, Fraud등으로불리우는허위안티스파이웨어류이다. 28 그동안하위권에머물렀던허위안티스파이웨어류가 4월에는전체약 46.9% 라는엄청난비율을차지하고있다. 이러한허위안티스파이웨어류에감염되면유사류의악성코드를다수다운로드하는특징이있으며, 사용자가설치및검사하지않았음에도감염되었다는 Alert을띄워주고허위로진단하여마치시스템이많은악성코드가감염된것처럼보여준다. 이에사용자들을유혹해온라인결제로까지유도하여금전적인목적을취하고있다. 이를예방하기위해서는게시판, 자료실, E-mail등의심되는파일은가급적실행하지말고감염되었다하더라도허위안티스파이웨어임을인지하여백신프로그램을이용한진단 / 치료및 [ 바이러스신고센터 ] 로신고하여피해를줄일수있다. 아래의 [ 그림 3-2] 는 2009년 4월전체악성코드유형별피해신고건수를나타내고있는그래프이다. 트로이목마프로그램은 80% 로다른악성코드보다월등히많은비율을차지하고있으며, 드롭퍼와웜이각각 8% 와 7% 를차지하고있으며, 그뒤를이어스크립트 3%, 유해가능프로그램이 1% 를차지하고있다. 저번달과동일하게바이러스는 0.7% 로극히낮은
비율을유지하고있다. 4 월유형별피해신고현황 7% 1%1% 8% 3% 트로이목마스크립트드로퍼웜유해가능프로그램바이러스 80% [ 그림 3-2] 2009 년 4 월악성코드유형별피해신고비율 29 3 월 4 월 바이러스유해가능프로그램웜드로퍼스크립트 0.70% 0.1% 1.10% 3.1% 6.90% 7.7% 8.30% 9.0% 3.40% 3.5% 트로이목마 79.50% 76.6% [ 그림 3-3] 2009 년월악성코드유형별피해신고비율전월비교 위의 [ 그림 3-3] 은전월과비교한악성코드유형별피해신고를나타낸것이다. 증가한것은트로이목마의경우전월과비교하여 2.9% 가늘어났으며, 웜은 6.9% 로전월에비해 0.8% 가줄어들었다. 드롭퍼도 8.3% 로전월에비해소폭감소하였으며, 스크립트, 유해가능프로그램과바이러스는약간의수치차이는있겠으나전월과많은차이가없었다.
[ 그림 3-4] 월별피해신고건수 30 [ 그림 3-4] 는월별피해신고건수를나타내는그래프로 2월부터피해가증가하였으나 4월에는전달에비해엔진에반영된샘플수가전달에비해약 2배정도증가함에따라사전대응이높았던것으로추정된다. 참고로, 4월에반영된엔진은 3월대비트로이목마는 55,133개에서 98,990개로, 웜은 2,115개에서 4,441개로, 트로이목마는 55,133에서 98,990개로증가하였다. 그러나, 엔진진단률향상만으로는시스템을안전하게보호할순없다. 악성코드의유형이점차은폐형악성코드및최신취약점을이용하는악성코드가늘어남에따라피해를막기위해서는최신보안패치와함께최신버전의백신프로그램으로주기적으로검사하는습관이필요하다.
(2) 국내신종 ( 변형 ) 악성코드발견피해통계 4 월한달동안접수된신종 ( 변형 ) 악성코드의건수및유형은 [ 표 3-4] 과같다. 월 트로이목마 드롭퍼 스크립트 웜 파일 유해가능 합계 02 월 1691 261 105 166 11 22 2256 03 월 1385 237 80 151 1 14 1868 04 월 1700 202 92 190 1 24 2209 [ 표 3-4] 2009년최근 3개월간유형별신종 ( 변형 ) 악성코드발견현황 31 이번달악성코드전월대비 18% 증가하였다. 이는올해들어두번째로많은악성코드가보고되었다. 특히트로이목마와웜유형이증가하였는데트로이목마는전월대비 25% 증가하였고웜은 26% 증가하였다. 이두가지유형의악성코드가증가한원인은명확하지는않다. 보통트로이목마의증가에연관이있는드롭퍼의경우오히려그수가소폭감소하였다. 웜유형에서는 IRCBot 웜이최근 3개월간많은수가보고되고있는데이유역시명확하지않다. 작년말과올해 1월의경우작년과비슷한수치를보이고있는데최근 3개월간은부쩍증가하였다. 서버서비스취약점인 MS08-067 과어느정도연관성도배제할수는없다고생각된다. 다음은최근 Win32/IRCBot.worm에대한통계이다. 60 40 20 0 08 년 12 월 1 월 2 월 3 월 4 월 발견수 [ 그림 3-5] 2009 년최근 5 개월간 Win32/IRCBot.worm 현황 이외에도 Win-Trojan/Buzus라고불리는악성코드도동일취약점을이용하여자신을전파하는데사용되고있다. 서버서비스취약점이원격코드실행이가능한취약점이므로 Win- Trojan/Conficker를비롯해서다수의악성코드에서사용되고있음을알수있다. 다음은이번달악성코드유형을상세히분류하였다.
트로이목마드롭퍼스크립트웜 (AutoRun) 웜 ( 메읷 ) 웜 (IRC) 취약점 ( 문서 ) 유해가능 웜 (Exploit) 웜 (SNS) 웜 (P2P) 파읷 ( 바이러스 ) 2.3% 2.2% 0.4% 1.1% 1.9% 0.6% 0.1% 0.0% 4.2% 1.5% 9.1% 76.6% [ 그림 3-6] 2009 년 04 월신종및변형악성코드유형 트로이목마유형은전월대비 23% 증가하였다. 그러나많은감염보고가있는온라인게임 의사용자계정을탈취하는형태는전월대비 11% 감소하였다. 증가추세를보인트로이목 32 마는다음과같다. Win-Trojan/Downloader Win-Trojan/Vundo Win-Trojan/Rustock Win-Trojan/Downloader( 이하다운로더트로이목마 ) 는진단명그대로다른악성코드를특정호스트로부터다운로드및설치하는형태를말한다. 과거와달리현대의다운로더트로이목마는정상시스템프로세스에리모트쓰레드를생성하거나정상시스템파일을실행후메모리로드된이미지를자신과교체하여방화벽과 HIPS(Host Intrusion Prevention System) 로부터우회기법을사용하는등지능적으로발전하고있는추세이다. Win-Trojan/Vundo( 이하번도트로이목마 ) 는스팸메일형태로전파되기도하며외산가짜백신과도관련이있다. 번도트로이목마의경우치료가어려운데이는시스템프로세스에인젝션되어있기때문이다. 따라서동작중에는깔끔한치료가어렵고대부분재부팅후삭제하거나 BootTimeScan 기능을이용하여치료될수있다. Win-Trojan/Rustock( 이하러스톡트로이목마 ) 는잘알려진은폐형스팸메일러이다. 진단 / 치료하기가까다롭고다수의다른악성코드를설치하여시스템을
복구하기어려운상태로만들어둔다. 해당트로이목마는정상적인 NDIS.SYS나 Beep.SYS의메모리이미지를자신으로교체하거나자신이직접 NDIS.SYS 역할을하면서스팸메일을발송한다. 또한별도의 SYS 형태로도동작하는형태도있는만큼변형이다양하고유사한악성코드가많다. 시스템프로세스에커널모드쓰레드를만들어자기보호를하는변형도존재하는데역시진단 / 치료가까다롭다. 이처럼최근발견되고있는악성코드는진단을회피할목적으로도자신을매번다른형태로변형시키지만일단감염되면진단하거나제거하는데어려움에겪게만들기도한다. 매우간단하지만잘지켜지지않는메일및메신저특정웹사이트내의심스러운링크나첨부파일은실행하지않는것만지켜도위해서언급한교활하고지능적인악성코드는예방하는데충분한도움이된다. 드롭퍼유형은전월대비 15% 정도감소하였다. 일반적으로트로이목마와드롭퍼유형이동시에증가하는게일반적인데이번달은달랐다. 드롭퍼유형역시온라인게임의사용자계정정보를탈취하는형태의악성코드영향을많이받게된다. 전체의 40% 넘는형태가온라인게임관련악성코드이기때문이다. 따라서이번달드롭퍼유형이감소하는어느정도영향이있었던것으로추정된다. 33 스크립트형태는전월과비교하여큰차이를보이지않았다. 웜유형은전월대비 26% 증가했다. 위에서언급했듯이악성 IRCBot 웜유형도증가했고 Win32/Waledac.worm 처럼메일로전파되는유형도증가했다. 또한국외의 SNS(Social Networking Site) 를노리는웜형태의악성코드눈에띄게보고가되었다. 취약점관련악의적인문서파일의경우 PDF 관련취약점이전월에이어서다수보고가되고있다. 대부분작년에알려진오래된취약점을이용하는형태가많았다. 따라서 PDF 리더기가업데이트가되었거나 JavaScript를사용하지않도록옵션을변경했다면악의적인문서를오픈하여도별다른문제가되지않는다. PDF와같이인터넷상에표준이되어버린문서의경우많은사용자들이이용하므로그만큼많이노출되어있기때문에앞으로도취약점이계속보고될확률이높으며악성코드제작자들에게악용될소지가많다. 문서파일을이용하여악성코드를설치하는형태는사용자들이문서파일과같은데이터파일에악성코드가포함될수있다는것자체에의구심을갖는경우가많다. 그리고윈도우와같은 OS 및웹브라우저에대한보안업데이트만신경을쓰고관련프로그램의보안업데이트에소홀히할수밖에없다는게문제이다. 간단히라도요즘 PDF 관련뷰어들은자동업데이트기능을제공하므로이를이용하여최신버전으로유지만하더라도이러한악의적인 PDF 를이용한공격에최소한의예방은될수있다.
다음은최근 3 개월간신종및변형악성코드분포이다. 1800 1600 1400 1200 1000 800 600 400 200 0 09/02 월 09/03 월 09/04 월 [ 그림 3-7] 2009 년최근 3 개월간악성코드분포 34 트로이목마유형과웜유형은최근 3개월사이가장많은보고가있었다. 실행파일을감염시키는바이러스는새롭게보고된형태가국내에서는없었지만 Win32/Virut 바이러스변형이전월처럼계속적인변형이나왔다. 드롭퍼유형의악성코드는최근 3개월사이에는하락하는추세를보이고있다. 앞서말했듯이드롭퍼유형역시상당수가온라인게임의사용자계정을탈취하는형태가 40% 넘게차지하므로해당악성코드가감소하면그에따라서변화하므로기복이있는편이다. 유해가능및스크립트유형의악성코드는큰변화는없는편이다. 취약점을이용하는형태는비교적최근에알려진 PDF 관련취약점을이용하는형태와작년에보고된취약점이혼재되어있는형태가보고되었다. 다음은온라인게임의사용자계정을탈취하는악성코드의추세를살펴보았다.
450 400 398 350 300 250 268 334 298 200 150 100 50 0 1 월 2 월 3 월 4 월 [ 그림 3-8] 온라인게임사용자계정탈취트로이목마현황 35 해당악성코드는전월대비 11% 감소하였다. 해당악성코드유형역시전월과비교하여감 소이외에큰영향을보이고있지않다. 대부분이국산및외산온라인게임의사용자계정 을노리고있으며, 감염후다른악성코드를설치하는등이전과크게다르지않았다.
2. 스파이웨어 (1) 4월스파이웨어피해현황순위 스파이웨어명 건수 비율 1 New Win-Spyware/Crypter.87552.L 15 15% 2 New Win-Spyware/Crypter.87552.K 13 13% 3 New Win-Spyware/Crypter.87552.G 12 12% 4 New Win-Spyware/Crypter.87552.H 12 12% 5 New Win-Downloader/Rogue.SystemSecurity.103972.C 11 11% 6 New Win-Spyware/Crypter.51200.C 10 10% 7 New Win-Downloader/Rogue.FakeAV.103460 8 8% 8 New Win-Dropper/Cpush.125916 7 7% 9 New Win-Adware/PointKing.328192 7 7% 10 New Win-Adware/PointKing.228352 7 7% 합계 102 100% [ 표 3-5] 2009 년 4 월스파이웨어피해 Top 10 36 Win-Spyware/Crypter.87552.L 7% 7% 15% Win-Spyware/Crypter.87552.K Win-Spyware/Crypter.87552.G 8% 7% 10% 11% 12% 13% 12% Win-Spyware/Crypter.87552.H Win-Downloader/Rogue.SystemSecurity.103972.C Win-Spyware/Crypter.51200.C Win-Downloader/Rogue.FakeAV.103460 Win-Dropper/Cpush.125916 Win-Adware/PointKing.328192 Win-Adware/PointKing.228352 [ 그림 3-9] 2009 년 4 월스파이웨어피해 Top 10 2009년 4월스파이웨어피해 Top 10에서는스파이웨어크립터 (Win-Spyware/Crypter) 로인한피해가증가한것으로나타났다. 허위감염메시지를노출해외산가짜백신설치를유도하거나인터넷익스플로러에광고를노출하는스파이웨어크립터는꾸준히피해 TOP 10 에나타나고있다. 국내애드웨어의경우자신의정상적인동작을보장하기위해다른프로
그램의동작을방해하는경우가계속해서보고되고있다. 4월피해리스트에등록된리워드프로그램인애드웨어포인트킹 (Win-Adware/PointKing) 은국산애드웨어로설치과정에서다른 BHO를삭제하는기능이있다. BHO가삭제된다면브라우저확장기능을사용해동작하는그룹웨어와같은프로그램의정상적인실행이불가능하다. 순위 대표진단명 건수 비율 1 Win-Downloader/Rogue.FakeAV 2018 82% 2 Win-Spyware/Crypter 149 6% 3 Win-Downloader/Rogue.SystemSecurity 70 3% 4 Win-Adware/IEShow 57 2% 5 Win-Clicker/FakeAV 41 2% 6 Win-Adware/BestLink 28 1% 7 Win-Adware/PointKing 26 1% 8 Win-Dropper/Zlob 24 1% 9 Win-Spyware/Xema 20 1% 10 Win-Spyware/Agent 19 1% 합계 2452 100% 37 [ 표 3-6] 4 월대표진단명에의한스파이웨어피해 Top 10 [ 표 3-6] 은변형을고려하지않은대표진단명을기준으로한피해건수이다. 4월에는 2018 건의피해신고가접수된다운로드로그페이크에이브이 (Win-Downloader/Rogue.FakeAV) 가피해가가장많이접수된것으로확인되었다. 다운로드로그페이크에이브이는스파이웨어크립터에감염되는경우나타나는광고사이트를통해배포되고있다. 배포사이트에서다운로더페이크에이브이가다운로드될경우파일의하단에사이트주소와타임스탬프를추가해 MD5를다르게하고있다. 이런이유로수없이많은프로그램을배포하는것처럼보인다. 그러나, 다운로더페이크에이브이에의해설치되는가짜백신은다운로드페이크에이브이에보다다양하지않다. 지난 2월부터꾸준히감염신고가되는아이쇼우 (Win-Adware/IEShow) 도계속해서변형을생성하며대표진단명에의한스파이웨어피해 Top 10에꾸준히이름을등록하고있다. 2009년 4월유형별스파이웨어피해현황은 [ 표 3-7] 과같다. 스파이 애드 다운 다이 익스 구분 드롭퍼 클리커 AppCare Joke 합계 웨어류 웨어 로더 얼러 플로잇 2월 421 521 151 355 2 48 0 0 0 1500 3월 243 248 105 185 2 8 4 0 0 795
4월 275 230 104 2171 0 47 3 0 0 2830 [ 표 3-7] 2009년 4월유형별스파이웨어피해건수 2009년 4월에는스파이웨어다운로더의피해가 2171건으로전월비 2000건이상증가해전체피해수치가크게증가했다. 다운로더의피해수치가증가한것은한가짜백신을배포하는사이트에서사이트주소와타임스탬프등을이용해 MD5를변경하는변형다운로더의신고접수가증가했기때문이다. (2) 4 월스파이웨어발견현황 4 월한달동안접수된신종 ( 변형 ) 스파이웨어발견건수는 [ 표 3-8], [ 그림 3-10] 와같다. 구분 스파이 웨어류 애드 웨어 드롭퍼 다운 로더 다이 얼러 클리커 익스 플로잇 AppCare Joke 합계 2월 238 233 92 258 2 28 1 0 0 852 3월 184 139 60 143 2 6 4 0 0 538 4월 199 120 68 1948 0 30 2 0 0 2367 [ 표 3-8] 2009년 4월유형별신종 ( 변형 ) 스파이웨어발견현황 0% 1% 0% 0% 0% 9% 5% 3% 스파이웨어류애드웨어 38 드롭퍼 다운로더 다이얼러 클리커 익스플로잇 82% AppCare 조크 [ 그림 3-10] 2009 년 4 월발견된스파이웨어프로그램비율 4월에는가짜백신을설치하는다운로더신고의증가로인해다운로더의비율이높았다. 크립터, 즐롭에의해설치되는외산가짜백신다운로더의배포방법은당분간동일할것으로예상된다. 시스템경고나갑작스런팝업창에의해백신설치사이트가나타난다면해당사이트에서설치되는프로그램은가짜백신으로의심해야한다.
3. 시큐리티 (1) 4 월마이크로소프트보안업데이트현황 마이크로소프트사는 4 월에긴급 (Critical) 5 건, 중요 (Important) 2 건, 보통 (Moderato) 1 건으로 구성된총 8 건의보안업데이트를발표하였다. 39 [ 그림 3-11] 2009 년 4 월 MS 보안업데이트현황 위험도 취약점 PoC 긴급 (MS09-009) Microsoft Office Excel의취약점으로인한원격코드실행문제점 유 긴급 (MS09-011) Microsoft DirectShow의취약점으로인한원격코드실행문제점 유 긴급 (MS09-014) Internet Explorer 누적보안업데이트 유 [ 표 3-9] 2009년 03월주요 MS 보안업데이트 이번달에는지난달에비해 2배이상증가한비교적많은수의보안업데이트가발표되었다. 그러나, 일부취약점들에대한공격코드가공개되었으나아직까지실제해당취약점들에대한피해는보고된바가없다. 특히, MS09-009 Office Excel 취약점보안업데이트는지난 2월에공개된 Excel 0-day 취약점에관한업데이트로, 해당취약점을이용하는악의적인파일이실제로보고되었으나공개된지 10여일후인정기보안업데이트를통해패치가발표되었다. 지난 4월초에공개된 Office PowerPoint 0-day 취약점또한 4월보안업데이트에포함되지않았으며, 이미취
약점정보가공개된지한달이넘은현재까지 MS 사로부터발표된보안업데이트가존재하 지않는다. 따라서, 사용자들은신뢰되지않은 Office 파일을열어보는과정에서각별히주 의를기울여야할것이다. (2) 2009 년 4 월웹침해사고및악성코드배포현황 40 [ 그림 3-12] 악성코드배포를위해침해된사이트수 / 배포지수 2009년 4월악성코드를위해침해된웹사이트의수와악성코드유포지의수는 69/13로 2009년 3월의 54/16 에비해소폭증가했다. 특별히브라우저와관련된어플리케이션의취약점발표가없었던것을감안하면이와같은추세는계속될것으로보인다. 웹을이용하여배포되는악성코드는갈수록그패턴이지능화되고있다. 특히사용자에게악성코드가노출되는것을방지하기위해사회공학적기법이사용되는등다양한기법이사용되고있다. [ 그림 3-13] 는 4월에발견된악성코드의예시이다. [ 그림 3-13] 악성코드예시
이코드는악성스크립트코드를먼저실행한후 document.write 함수를사용해웹페이지의단순텍스트 ( 이코드에서는 No web site is configured at this address ) 로바꾸어사용자를속이는코드이다. 따라서사용자는이러한메시지가서버쪽의오류를나타내는메시지라고생각하여실제로악성코드가실행되었다고생각하지못한다. 사용자가이페이지가게시된웹서버에접속하면사용자는브라우저에서다음과같은화면을보게된다 [ 그림 3-14] 웹서버접속하면 실제로소스코드를확인해도역시내용은같다. 41 [ 그림 3-15] 소스코드 이렇든다양한악성코드가인터넷에게시되어있으므로웹을사용하는사용자들은이러한 위협에항상노출되어있다. 따라서사용자들은자신의시스템을보호하기위해항상보안패 치를적용하고제품의상태를최신으로유지하는노력을아까지말아야한다.
4. 사이트가드 (1) 2009 년 4 월웹사이트보안요약 구분 건수 악성코드발견건수 103,207 악성코드유형 902 악성코드가발견된도메읶 790 악성코드가발견된 URL 7,748 [ 표 3-10] 1 월웹사이트보안요약 웹사이트를통한사용자의피해를막기위해안철수연구소가제공하는인터넷보안무료 서비스인 사이트가드 1 의통계를기반으로본자료는작성되었다. [ 표 3-10] 은 2009 년 4 월한달동안웹사이트를통해발견된악성코드동향을요약해서보 여주고있다. 42 사이트가드의집계에따르면 4월한달동안악성코드는 902종 103,207건발견되었으며, 악성코드유형은 902건, 악성코드가발견된도메인은 790건, 악성코드가발견된 URL은 7,748건으로전반적으로증가세를보였다. 이는지난달의감소세가일시적인현상이였음을의미하는것으로판단된다. 이번달은신종악성코드의증가와함께중국춘절의여파가사라진것이악성코드발견건수, 악성코드가발견된 URL 등이다시증가세로돌아선주요원인으로보인다. 세부내용을보면다음과같다. 1 www.siteguard.co.kr
(2) 악성코드월간통계 250,000 가 ) 악성코드발견건수 200,000 192,433 150,000 100,000 50,000 0 22,729 69,964 138,505 70,312 103,207 11 월 12 월 2009 년 1 월 2009 년 2 월 2009 년 3 월 2009 년 4 월 [ 그림 3-16] 월별악성코드발견건수 [ 그림 3-16] 는최근 6 개월인, 2008 년 11 월부터 2009 년 4 월까지의악성코드발견건수의 추이를나타내는그래프로 4 월악성코드발견건수는 103,207 건으로지난달에비해약 32% 의증가세를보였다. 43 나 ) 악성코드유형 1,000 800 600 400 445 576 731 857 599 902 200 0 11 월 12 월 2009 년 1 월 2009 년 2 월 2009 년 3 월 2009 년 4 월 [ 그림 3-17] 월별악성코드유형 [ 그림 3-17] 는최근 6 개월간발견된악성코드의유형을나타내는그래프로역시지난달 599 건으로잠시증가세가주춤하였으나, 4 월에 902 건으로급속한증가세를보였다. 이는지 난달에비해 34% 증가한수치이다.
다 ) 악성코드가발견된도메인 1,000 800 600 400 477 566 790 933 657 790 200 0 11 월 12 월 2009 년 1 월 2009 년 2 월 2009 년 3 월 2009 년 4 월 [ 그림 3-18] 월별악성코드가발견된도메인 [ 그림 3-18] 는최근 6 개월간악성코드가발견된도메인수의변화추이를나타내는그래프 로 4 월악성코드가발견된도메인은 790 개로전월에비해약 17% 증가하였다. 15,000 라 ) 악성코드가발견된 URL 10,000 10,135 44 5,000 4,613 4,134 6,494 4,325 7,748 0 11 월 12 월 2009 년 1 월 2009 년 2 월 2009 년 3 월 2009 년 4 월 [ 그림 3-19] 월별악성코드가발견된 URL [ 그림 3-19] 은최근 6 개월간악성코드가발견된 URL 수의변화추이를나타내는그래프로 4 월악성코드가발견된 URL 수는 7,748 개로전월에비해 44% 증가하였다.
(3) 유형별악성코드배포수 유형 건수 비율 Trojan 27,073 26.2% Adware 18,522 17.9% AppCare 16,352 15.8% Dropper 11,729 11.4% Downloader 8,906 8.6% Joke 4,847 4.7% Win32/Virut 3,619 3.5% Spyware 982 1.0% Win-Clicker 754 0.7% 기타 10,429 10.1% 합계 103,213 100% 45 30,000 25,000 20,000 15,000 10,000 5,000 0 27,073 18,522 8,906 16,352 11,729 3,619 4,847 982 754 10,429 [ 표 3-11] 유형별악성코드배포수
Win-Clicker, 0.7% Spyware, 1.0% Joke, 4.7% Win32/Virut, 3.5% Dropper, 11.4% 기타, 10.1% Adware, 17.9% Downloader, 8.6% Trojan, 26.2% AppCare, 15.8% [ 그림 3-20] 유형별악성코드분포 [ 표 3-11] 과 [ 그림 3-20] 은 4 월한달동안발견된악성코드를유형별로구분하여발견건 수와해당비율 (%) 를보여주고있다. 4월한달동안총 103,213개의악성코드가발견되었으며이중 Trojan류가 27,073개로지난달잠시 1위에올랐던 Downloader류 (8,906개) 를멀리밀어내고 1위를차지하였다. 2위는 2 월까지 1위였던 Adware류가 18,522개로 2위를차지하였다. 그다음으로는 AppCare류가 Dropper류 (11,729개) 를 4위로한계단밀어내고 16,352개로 3위를차지하였다. 상위 1~4 위까지는기존과큰변화없이 Trojan류, Adware류, AppCare류, Dropper류등이계속적으로상위권을차지하고있다. 이는금전적목적으로특정기능을수행하기위한악성코드들이다수생성되어주요배포지로웹사이트를이용함에따른필연적인결과임을알수있다 46 (3) 악성코드배포순위 순위 악성코드명 건수 비율 1 1 Win-Adware/Onclub.446464 10642 17% 2 new Win-Trojan/Bho.270336.D 8879 14% 3 2 Win-Downloader/NavigateAssister.282624 7520 12% 4 2 Win-AppCare/WinKeygen.94208 5753 9% 5 - Win-AppCare/WinKeyfinder.542720 5616 9% 6 3 Win-Trojan/Xema.variant 5505 9%
7 - Packed/Upack 5445 9% 8 new Win-Joke/Stressreducer.1286147 4560 7% 9 - Win-Adware/Shortcut.IconJoy.642048 4034 7% 10 new Dropper/Xorer.142535 3700 6% 합계 61,654 100% [ 표 3-12] 유형별악성코드배포 Top 10 [ 표 3-12] 는 4월한달동안웹사이트에서사이트가드를통해확인된악성코드배포 Top 10을보여주고있다. Top 10에포함된악성코드들의총배포건수는 61,654건으로 4월한달총배포건수 103,213건의약 60% 에해당되며, 지난달의 75% 보다감소하였다. 원인은다양한신종악성코드들이출몰함에따른악성코드의분포가다양해진것이주요원인으로분석된다. 요컨대, 지난달의악성코드의증가세가주춤한현상은일시적인현상이었으며, 춘절의여파가사라지고다양한악성코드들의발견에따라서, 다시웹사이트를통한악성코드침해건수가증가추세로돌아선 4월이었다. 앞으로 5월, 6월에는방학으로인한 Script Kids들이돌아오는시기로, 당분간웹사이트침해건수는증가할것으로예상된다. 47
ASEC REPORT 작성을위하여다음과같은분들께서수고하셨습니다. 2009 년 4 월호 편집장선임연구원허종오 집필진 선임연구원 정진성 선임연구원 심선영 선임연구원 허종오 주임연구원 장영준 주임연구원 강동현 주임연구원 이재호 주임연구원 임채영 주임연구원 김민성 주임연구원 주설우 감수 상 무 조시행 48 참여연구원 ASEC 연구원분들 SiteGuard 연구원분들