I. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여악성코드별변종을 종합한악성코드대표진단명감염보고 Top20 이다. 2010 년 12 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2010년 12월의악성코드감염보고는 JS/Agent이 1위를차지하고있으며, TextImage/Autorun과 Win32/Induc가각각 2위와 3위로그뒤를이었다. 신규로 Top20에진입한악성코드는총 8건이다. 2010년 12월의감염보고건수는 JS/Agent가총 1,468,166건으로 Top20중 14.2% 를차지하여 1위에올랐으며, TextImage/Autorun이 1,445,194건으로 2위, Win-Trojan/Onlinegamehack이 1,300,333건으로 3위를차지하였다. 아래차트는고객으로부터감염이보고된악성코드유형별비율이다. [ 그림 1-1] 악성코드유형별감염보고비율 AhnLab Policy Center 4.0 세상에서가장안전한이름안철수연구소 01
2010년 12 월의감염보고건수중악성코드를유형별로살펴보면, 감염보고건수비율은트로잔 (TROJAN) 류가 37.8% 로가장많은비율을차지하였으며, 웜 (WORM) 이 17.1%, 스크립트 (SCRIPT) 가 15.8% 의비율을각각차지하고있다. 아래표는 12 월에신규로접수된악성코드중고객으로부터감염이보고 된악성코드 Top20 이다. [ 그림 1-2] 악성코드유형별감염보고전월비교 악성코드유형별감염보고비율을전월과비교하면, 웜, 스크립트, 애드웨어 (ADWARE) 가전월에비해증가세를보이고있는반면트로잔, 바이러스 (VIRUS), 드롭퍼 (DROPPER), 애프케어 (APPCARE) 는전월에비해감소한것을볼수있다. 다운로더 (DOWNLOADER), 스파이웨어 (SPYWARE) 계열들은전월수준을유지하였다. [ 표 1-3] 신종악성코드감염보고 Top 20 12월의신종악성코드감염보고의 Top 20은 Win-Trojan/Adload.381952.B가 46,029건으로전체 9.7% 를차지하여 1위를차지하였으며, Win-Trojan/Winsoft.110592.DI가 41,511건 2위를차지하였다. [ 그림 1-3] 악성코드월별감염보고건수 12 월의악성코드월별감염보고건수는 18,404,101 건으로, 11 월의악 성코드월별감염보고건수 13,263,544 건에비해 5,140,557 건이증가 하였다. [ 그림 1-4] 신종악성코드유형별분포 12 월의신종악성코드유형별분포는트로잔이 75% 로 1 위를차지하였 다. 그뒤를이어애드웨어가 18%, 웜이 3% 를각각점유하였다. 악성코드이슈 Master Boot Record 를변경하는랜섬웨어 (Ransomware) AhnLab V3 MSS 랜섬웨어는말그대로시스템또는시스템내부에문서파일과같은데이터파일을대상으로암호화한후금전을요구하는악성코드를말한다. 이악성코드는데이터파일들을암호화한다든가, 화면보호기암호를설정하여사용자들이정상적으로시스템을이용하지못하도록한다. 특히데이터파일들이암호화가된경우중요한문서나소스코드등에접근 02 ASEC Report _ 2010. Vol.12
할수가없어큰불편을초래할수있다. 이번에알려진 Win-Trojan/ Seftad.49664 트로이목마는 Master Boot Record ( 이하 MBR) 에메시지와암호를설정하여부팅시입력을요구하도록한다. 감염되면다음과같은메시지가부팅시마다출력된다. 이러한가짜시스템점검도구는이전에도비슷한사례가알려졌었지만앞으로는이와유사한형태의가짜응용프로그램이더욱활개를칠가능성이높다. 따라서인터넷에서프로그램을다운로드하여설치할때는반드시여러사용자들이사용하여평판이검증된프로그램또는유명프로그램개발사에서제공하는프로그램을사용하는것이바람직하다. 잡지기사로위장한악성코드유포 [ 그림1-5] Win-Trojan/Seftad.49664 감염후부팅모습따라서올바른암호를입력하지않으면윈도우로부팅을할수가없다. 한편해당악성코드가하드디스크를암호화한다고알려지기도하였는데이것은악성코드제작자가거짓으로퍼뜨린것으로드러났다. 실제로는조작된 MBR 을분석해보면정상 MBR 을 0x4h 번섹터에백업을해두고있고이를복원하면정상적으로부팅이가능하기때문이다. 또한하드디스크도암호화되어있지않았음을확인할수있었다. 메신저로자극적인메시지와함께 URL을전파, URL 클릭시잡지기사로위장된웹페이지를통한악성코드유포가확인되었다. 동작방식은탈취된메신저계정을통해주변지인들에게 URL이포함된메시지가전달되며, 해당 URL 클릭시아래그림과같이특정잡지회사의기사페이지를그대로가져와사용자로하여금관심을끌게한다. 그리고해당기사내용에관심있는사용자들로하여금내용하단에삽입된 다운로드더보기 링크를통해악성코드를유포하게된다. [ 그림 1-6] 백업된정상 MBR 의위치 이밖에도랜섬웨어가취약한 PDF 파일에첨부되어이메일로유포된형태도보고되었다. 취약한 PDF 파일은실행되면프랑스에위치한특정시스템에서기존에알려진제우스 (Zeus) 악성코드인 Zbot 변종을다운로드하게된다. 다운로드된 Zbot 이실행되면러시아에위치한특정호스트로부터랜섬웨어를다운로드받아이를실행한다. 이후다음과같은프로그램의확장자에대하여암호화를한다. 대상이되는파일들은마이크로소프트 (Microsoft) 의오피스 (Office) 제품군인워드 (Word), 엑셀 (Excel) 그리고파워포인트 (PowerPoint) 파일들과텍스트 (Text) 파일, 그리고이미지 (BMP, JPG) 파일등이다. 가짜시스템점검유틸리티의등장국외에서보고된가짜시스템점검유틸리티는가짜백신과유사한사용자유도방식을취한다. 시스템을점검하여문제점이있는것처럼사용자를속여서프로그램의등록요구및금전적인결제를유도한다. [ 그림 1-8] 악성코드다운로드유도링크 해당링크클릭시, 아래그림과같이다운로드창이출력되며, 압축파일 내의파일 (PhotoALL.exe) 을실행하게되는경우악성코드 (Win-Trojan/ Agent.55296.JV) 에감염되게된다. [ 그림 1-7] 가짜시스템점검유틸리티구매요구화면 세상에서가장안전한이름안철수연구소 03
Internet Explorer 누적보안업데이트에포함된패치중하나는지난 11 월 4일알려진 Internet Explorer Zero-day 취약점을제거하는것으로, 해당취약점은국내에서도지속적으로악용되고있기때문에빠른패치를권고하는바이다. 악성코드침해웹사이트현황 [ 그림 1-9] 악성코드다운로드유도창 이는 Windows 폴더옵션중에서 알려진파일형식의파일확장명숨기기 가기본적으로설정되어있어압축해제된파일의파일명만 ( 옵션해제시 :PhotoALL.exe 옵션적용시 :PhotoALL로확장자가보이지않음 ) 보고추가적인사진을보기위해파일을실행한사용자는악성코드에감염되는것이다. 이와같이점점더다양한방법이결합된사회공학 (Social Engineering) 기법의경우유포과정이시스템의취약점이아닌, 사용자들의관심및신뢰를이용하는방법을사용하므로더욱주의가필요하다고할수있겠다. 위통계는월별악성코드침해사이트현황을나타낸그래프로, 전월에 비해다소감소하였다. [ 그림 2-2] 월별침해사이트통계 2. 시큐리티동향시큐리티통계 12월마이크로소프트보안업데이트현황마이크로소프트사로부터발표된이번달보안업데이트는 17건이다. 시큐리티이슈 Internet Explorer 제로데이취약점이번달에도 Internet Explorer와관련된제로데이취약점이공개되었다. 해당취약점은 Internet Explorer 버전 8 에서공격자로하여금원하는코드를실행할수있도록해주는것으로, 사용자는웹서핑만으로도피해를입을수있는원격취약점이다. [ 그림 2-3] 최초에공개된 DoS 공격코드 [ 그림 2-1] 공격대상기준별 MS 보안업데이트 [ 표 2-1] 2010 년 12 월주요 MS 보안업데이트 원래이취약점은브라우저가 CSS를파싱하는과정에서정상적으로예외처리를하지못하여잘못된연산을수행하는것으로, 많은사람들의노력을통하여임의의코드를실행할수있는취약점이수정되어사용자의브라우저를비정상적으로종료시키는 DoS 공격만가능하게되었다. 하지만이번에공개된방법은최근의 IE 패치인 MS10-071를우회할수있을뿐만아니라원하는코드까지실행할수있다. 이번달에는지난달과달리 17 건이나되는패치가발표되었다. 대부 분시스템 / 응용프로그램에관련된내용들이많았다. 특히 MS10-090 04 ASEC Report _ 2010. Vol.12
[ 그림 2-6] 배너광고에삽입된악성스크립트 유포된악성코드는 ARP Spoofing과도관련이있으며, Internet Explorer 에 MS10-002, MS10-018 취약점이존재하면온라인게임핵악성코드에감염된다. 하지만불행중다행인것은 ARP Spoofing을발생하는악성코드는이번유포에서는빠져있었다는것이다. [ 그림 2-4] 이번에공개된원격코드실행이가능한공격코드 ( 일부 ) 이미해당취약점을공격할수있는코드는공격코드공유사이트와 Metasploit와같은도구들에포함되어서손쉽게공격이발생할수있지만아직까지이문제를해결할수있는패치가제공되지않고있기때문에큰피해가발생할가능성이있다. 3. 웹보안동향 [ 그림 2-7] MS10-018 취약점을이용하는악성스크립트 웹보안통계 웹사이트보안요약 [ 그림 2-5] 인터넷에공개된공격테스트동영상 배너광고를통한악성코드유포 악성코드발견건수는 41,313건이고, 악성코드유형은 819건이며, 악성코드가발견된도메인은 883건, 악성 [ 표 3-1] 웹사이트보안요약코드가발견된 URL은 2,778 건이다. 2010년 12월은같은해 11월보다악성코드발견건수, 악성코드유형, 악성코드가발견된 URL은다소감소하였으나, 악성코드가발견된도메인은증가하였다. 월별악성코드발견건수 최근악성코드유포가잠잠했던사이트들이 12월, 그것도주말에집중적으로악성코드를유포하고있음이탐지되었다. 해당사이트들에대해서연관성분석을해본결과특정배너광고업체에서제공하는배너광고들을사용하고있음을발견하였다. 즉특정배너광고업체의사이트가해킹되어악성스크립트가배너에삽입되었고, 이업체에서제공하는배너를사용하는모든사이트들은본의아니게악성코드를유포하게되었다. 허니팟에서탐지되었을당시의로그를분석한결과아래 URL에서제공하는배너광고에특정악성스크립트가삽입되어있음을확인할수있었다. http://ad2.******.com:8080/js.***/****i/bottom@right?pgid=scr_fvoice12 [ 그림 3-1] 월별악성코드발견건수 세상에서가장안전한이름안철수연구소 05
월별악성코드유형 악성코드유형별배포수 [ 그림 3-2] 월별악성코드유형 [ 표 3-2] 악성코드유형별배포수 월별악성코드가발견된도메인 [ 그림 3-5] 악성코드유형별배포수 [ 그림 3-3] 월별악성코드가발견된도메인 악성코드배포 Top 10 월별악성코드가발견된 URL [ 그림 3-4] 월별악성코드가발견된 URL 2010 년 12 월악성코드가발견된 URL 은전달의 3,202 건에비해 98% 수 준인 3,122 건이다. [ 표 3-3] 악성코드배포 Top 10 악성코드배포 Top10에서 Win-Adware/Shortcut.InlivePlayerActiveX.234가 12,677건으로 1위를차지하였으며, Top10에 Win-Joke/ Stressreducer.1286147등 7건이새로등장하였다. 웹보안이슈 imm32.dll을패치하는온라인게임핵악성코드, 다수의사이트에서유포게임정보커뮤니티사이트에서 imm32.dll을패치하는온라인게임핵악성코드가유포되는일이자주발생하고있다. 특히 12월 17 ~ 18일, 이 06 ASEC Report _ 2010. Vol.12
틀간기존의게임사이트를포함한다수의사이트에서 imm32.dll을패치하는온라인게임핵악성코드가유포된사례가발견되어해당사이트들에대해서조사해본결과상당수의사이트에서제로보드 4를사용중임을알수가있었다. 여기서제로보드 4에대한취약점은언급하지않으며제로보드제작자는제로보드 XE를설치해서사용하기를권장하고있다. * 제로보드 4에대한공지사항 : http://www.xpressengine.com/18338409 이번에다수의사이트에삽입된 iframe 태그는아래와같다. [ 그림 3-9] 난독화해제된후코드 [ 그림 3-6] 제로보드 4를사용하는특정사이트의웹페이지에삽입된 iframe 태그 http://h.****price.com/css/x.htm은 Internet Explorer에 MS10-018 취약점이존재하면 imm32.dll을패치하는악성코드를다운로드및실행하는악성스크립트이며 x.htm이실행되면 http://h.****price.com/css/ help.exe를실행한다. 이번의경우사이트자체에취약점이존재하여해킹된후악성스크립트가유포된것이아니라모두외부에서제공받아사용중인콘텐츠에서문제가발생한것이다. 대개관리자들은사이트자체보안만잘되면된다고생각할수있지만요즘은외부에서제공받은콘텐츠를사용하여웹사이트를구성하는경우가흔하며이로인하여예기치못한곳에서보안사고가발생할수있다. 외부에서제공받은컨텐츠까지보안검수를하는것은어려울수도있지만웹사이트를관리하는책임자로서반드시보안검수를해볼필요가있다. 또한제로보드제작자사이트에접속해보면공지사항에서 제로보드 4에대해서는보안상취약성으로인해서더이상배포를하지않는다 라고밝히고있고기존의사용하던제로보드 4를제로보드 XpressEngine 또는다른보드로이전할것을권고하고있다. * 제로보드 4 에대한공지사항 : http://www.xpressengine.com/18338409 [ 그림 3-7] x.htm 이사용한 MS10-018 취약점 특정업체에서제공하는웹로그분석기스크립트를사용하는경우배너광고를통한악성코드유포의경우와유사한사례로서배너광고가아닌특정업체에서제작한웹로그분석기스크립트에악성스크립트가삽입되어해당스크립트를링크한모든사이트에서 ARP Spoofing과관련된악성코드를유포한사례가있었다. http://sc1.******rd.com/new/****script.js http://sc1.******rd.com/new/****analysis.js 위두 js파일의하단에는아래그림에서보는것과같이난독화된스크립트가삽입되어있었다. [ 그림 3-8] JS 파일에삽입된난독화된코드 난독화를해제해보면특정사이트에서 Internet Explorer 취약점을사용 한악성스크립트를다운로드하게된다. AhnLab V3 Internet Security 8.0 세상에서가장안전한이름안철수연구소 07
II. 2010 년보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위해악성코드별변종을종 합한악성코드대표진단명감염보고 Top20 이다. 2010 년악성코드통계현황은다음과같다. [ 표 4-2] 2010 년악성코드대표진단명감염보고 Top 20 [ 표 4-1] 2010년악성코드감염보고 Top 20 2010년악성코드감염보고를살펴보면 TextImage/Autorun이 1위를차지하고있으며, Win32/Induc과 JS/Agent가각각 2위와 3위를차지하였다. 신규로 Top20에진입한악성코드는총 7건이다. 2010년사용자피해를주도한악성코드들의대표진단명을보면 Win- Trojan/Onlinegamehack이총보고건수 9,404,556건으로전체의 13.8% 로 1위를차지하였다. 그뒤를 Win-Trojan/Agent가 9,041,023건으로 13.3%, Win-Trojan/Downloader이 6,551,149건으로 9.6% 를차지하여 2위와 3위에올랐다. 아래차트는 2010년동안고객으로부터감염이보고된악성코드유형별비율이다. [ 그림 4-1] 2010 년악성코드유형별감염보고비율 AhnLab V3Net for Windows Server 7.0 08 ASEC Report _ 2010. Vol.12
악성코드유형별로감염보고건수비율은 TROJAN 류가 44.2% 로가장 많은비율을차지하고있으며, 다음으로 WORM 가 12.8%, SCRIPT 가 10.5% 의비율을차지하고있다. [ 그림 4-3] 2010 년신종악성코드유형별분포 2010 년의신종악성코드유형별분포는 TROJAN 이 62% 로 1 위를차지 하였다. 그뒤를이어 ADWARE 가 15%, DROPPER 이 6% 를차지하였다. [ 그림 4-2] 악성코드연간감염보고건수 2010년의악성코드감염보고건수는 146,097,262건으로, 2009년의악성코드감염보고건수 67,411,740건에비해 78,685,522건이증가하였다. 아래표는 2010년에신규로접수된악성코드중고객으로부터감염이보고된악성코드 Top20이다. 악성코드이슈사회기반시설을노리는스턱스넷 (Stuxnet) 등장, 사이버전쟁의현실화? 올해의대표적인타깃공격으로전세계를긴장시킨스턱스넷 (Stuxnet) 웜은언론을통해일반사용자들에게도많이알려졌다. 해당악성코드는우리가일상적으로사용하고있는교통, 전기, 수도, 발전소와같은사회기반시설에서이용되는특정산업엔지니어링통제시스템 SCADA(Supervisory Control And Data Acquisition) 를타깃으로삼았다. 이로써우리의사회기반시설자체가실질적인공격의대상이될수있다는것을확인하게된셈이다. 스턱스넷웜은제로데이취약점을이용하여최초감염된이후다양한경로를통하여시설의폐쇄망에서운영되는자동화제어장치인 PCS(Process Control System) 를감염시켜오작동을유발한다. 스턱스넷웜은최신의해킹기술의결합체로서복잡성과치밀함및정교함으로무장하고있다. 무엇보다주목해야할것은이란원전시설피해에서확인할수있듯이실제로문제를발생시키고있다는점이다. 또한의도적으로이란원전을노린것이아니냐는의혹이제기되면서스턱스넷의출현은사실상 사이버전쟁의서막 을알리는계기가되었다. 특히, 지금까지이러한기반시설의시스템들은단절된폐쇄망에서운영되는만큼안전한것으로간주되었으나스턱스넷은이제이러한시스템들마저도반드시보안영역에포함되어야한다는인식을갖게한중요한사건이되었다. 스마트폰보안위협, 실질적인위험으로거듭나 [ 표 4-3] 신종악성코드감염보고 Top 20 2010년의신종악성코드감염보고의 Top 20은 JS/Cve-2010-0806 가 627,268건으로전체 12.4% 로 1위를차지하였으며, Win-Trojan/Securisk가 504,248건으로 2위를차지하였다. 올한해의 IT 화두는단연 스마트폰 이라고해도과언이아니다. 2010년한해동안다양한스마트폰이출시되었으며스마트폰사용자또한기하급수적으로늘어났다. 이와더불어스마트폰의보안위협또한빠르게증가하고있다. 특히 2010년에는배경화면변경, 동영상플레이어, 유명게임, 고전게임등과같이사용자들이주로이용하는애플리케이션인것처럼위장해애플리케이션마켓을통해배포되는악성코드들이다수발견되었다. 이들악성코드는스마트폰기기와사용자의중요정보를외부로유출하거나유료문자나전화를이용한불법과금의형 세상에서가장안전한이름안철수연구소 09
태로금전적인피해까지입혔다. 또한스마트폰운영체제및스마트폰용웹브라우저등에서잇따라취약점이발견되었으며이런취약점을이용하여관리자권한을획득하는툴등이공개되어이를악용한보안사고가발생할가능성이더욱높아지고있다. 또한스마트폰내부의중요한개인정보를유출하고사생활을감시할수있는상용스파이웨어도제작및판매되고있다. 상용스파이웨어는일반사용자들이자신의스마트폰에서스파이웨어의설치여부를확인하기어렵기때문에지속적으로피해를입을수있다. ( 참고 - 2010년한해발견된스마트폰용악성코드 : Android-Spyware/ Ewalls, Android-Trojan/SmsSend, Android-Spyware/Snake, Android- Spyware/SMSReplicator, Android-Spyware/Mobilefonex) 정보의허브 SNS, 악성코드의허브로악용돼트위터 (twitter) 와페이스북 (facebook) 등으로대표되는소셜네트워크서비스 (Social Network Service, 이하 SNS) 의사용자가전세계적으로급속하게증가했다. 그러나이른바 정보의허브 의역할까지하고있는 SNS가다양한형태의보안위협을양산하는역기능도나타나게되었다. 이러한 SNS의보안위협들로는트위터, 링크드인또는페이스북시스템에서발송하는이메일로위장하여악성코드유포를시도하는악의적인스팸메일에서부터트위터내부에서전송되는다이렉트메시지 (DM, Direct Message) 에단축 URL은원본URL의모양을인지하기어렵다없다는단점을이용하여피싱웹사이트로연결하는사례등이발견되었다. 또한 2010년에는트위터를봇넷으로조정하기위한 C&C 서버로사용하는사례도발견되었다. 페이스북역시내부시스템의채팅창, 또는쪽지등을통해악성코드를다운로드하는웹사이트로유도하는단축 URL 을전송하는사례와페이스북내부에서허위사실을유포하여페이스북자체에설치되는앱 (App) 형태의애드웨어와스파이웨어도발견되었다. 이외에도국내에서제작된 SNS 중하나인미투데이에서해당서비스를 C&C 서버로사용하는악성코드들이유포된사례가발견되었다. 이처럼다양한형태의 SNS 플랫폼을악용하여다양한보안위협들이양산되었다는점에서 2010년은 SNS 플랫폼이다양한보안위협들을유포하기위해본격적으로악용되기시작하였던한해로볼수있다. 제 2의 DDoS 대란유발할수있는 DDoS 공격용악성코드다수전파 2010년에도좀비 PC를이용한국내, 외의크고작은 DDoS 공격들이지속되었다. 또한다수의기업과개인사용자들로부터과도한트래픽발생을호소하는신고도빈번하였다. 좀비 PC를만들어내는대표적악성코드인팔레보 (Win32/Palevo.worm) 웜은 2009년초부터본격적인활동을시작했고 2010년에는보다다양한변종으로크게확산되었다. 팔레보웜은감염시 C&C( 명령서버 ) 서버로부터공격명령을받아또다른좀비 PC 를위해자신을전파하거나혹은원격지의타켓시스템에 TCP/UDP 플러딩 (Flooding) 공격을수행한다. 또한시스템감염시대량의스팸메일 (spam) 을발송하는것으로잘알려진브레도랩 (Win32/Bredolab) 도각 종소셜네트워크서비스 (SNS) 나입사이력서등과같은사회공학적방법과결합되어다수의변종을전파하였다. 이처럼 2010년한해에는지난 2009년 7.7DDoS대란당시와마찬가지로 DDoS 공격을위한악성코드들의변종들이다수등장하였다. 국제적인이슈악용한사회공학기법만연 2010년에는사회공학기법에이용될만한사회적이슈가많았기때문에이를악용한악성코드의유포사례가많이등장하였다. 특히 SEO(Search Engine Optimization, 검색엔진최적화 ) 기법이이메일, 파일공유사이트등의악성코드유포방법과결합되어피해가확산되었다. 일례로아이티지진, 동계올림픽, 김연아등의사회적이슈가된키워드를통해 SEO 기법과결합한가짜 ( 허위 ) 백신유포가확인되었다. 또한남아공월드컵을앞두고는이를이용한악성코드유포사례도발견되었으며, 이후한글로작성된이메일을통해국내사용자를타깃으로하는위협도발견되었다. 아울러국내특정금융사의이메일카드명세서로위장한형태의악성코드유포사례가발견되었다. 해당악성코드는키보드보안프로그램으로위장하여 ActiveX 형태로설치를유도한후, 국내특정포털사이트에대한 DDoS(Distributed Denial of Service) 공격을목적으로유포되기도하였다. 이와유사한방법으로국내온라인쇼핑몰을사칭하여악성코드설치를유도하는메일도발견되었다. 2010년하반기에는 G20, 노벨평화상시상식관련악성코드가보고되었다. 특히국내에서는경찰청의특정인을사칭하여사용자로하여금악성코드가링크된본문을클릭하도록유도하는사례도발견되었다. 한편광저우아시안게임을사칭한파일명으로사용자를속이는악성코드도확인되었다. 해당악성코드는실행시사용자를속이기위해아시안게임관련이름의문서파일 (PDF) 을생성하여사용자에게보여준다. 이러한악성코드에감염되면해당컴퓨터의이름과운영제제정보, IP 주소정보등을포함한사용자정보를특정웹사이트로전송하게된다. 이와같이 2010년은다양한사회공학기법이결합된형태로사회적이슈를통한악성코드유포가많았던한해였다. 특히이전과달리국내사용자를목적으로하는사회공학기반의공격이크게증가하였다. 따라서사용자들의보안의식및생활화가더욱요구되고있다. 작은틈도노린다! 악성코드배포방식의정교화 2007년중순에이어또다시 2010년 8월말부터 ARP 스푸핑 (Spoofing) 공격기능을이용한악성코드가발견되었다. 해당악성코드는사용자계정정보 ( 온라인게임 ) 를탈취하는악성코드를설치하려는목적으로 ARP 스푸핑공격기능을이용하였다. 이로인해감염된시스템으로부터동일네트워크상의다른시스템에악성코드가전파되기때문에빠르게확산되었으며, 지금까지도개인사용자뿐만아니라기업및기관에서도상당한피해가발생하고있다. 한편보안시스템 ( 스팸필터링 ) 의탐지를우회하기위해메일본문내용을이미지로처리한허위 DHL, UPS 및 FedEx 운송메일에첨부된악성코드유포가다수있었다. 또한정상윈도우업 10 ASEC Report _ 2010. Vol.12
데이트프로그램이나플래시플레이어업데이트웹사이트와유사하게제작되어일반사용자의입장에서는허위사실여부를파악하기어렵게하여악성코드를설치하는사례가있었다. 이밖에도동영상웹사이트인유튜브 (YouTube) 발송메일로위장해서악성코드가유포된사례가있었으며페이스북 (facebook), 마이스페이스 (myspace) 와같은 SNS의쪽지기능을이용해악성코드유포 URL이전파되는경우도있었다. 특히국내에서는대구경찰청사이버수사대참고인출석요구서메일을통한악성코드와국내유명포털사이트의디지털서명인증서를도용한 ActiveX 형태로설치되는악성코드, 카드요금명세서및쇼핑몰발송메일로위장한악성코드등이유포되었다. 이러한일련의사례들을통해 2010년에는악성코드배포방식이이전보다훨씬정교하고고도화되었다고볼수있다. 제로데이 (Zero-day) 취약점공격, 지속적인증가추세다수의보안사건들을경험하면서일반사용자들의보안의식이높아졌고, 보안업데이트또한가장기본적으로수행해야할보안수칙이되었다. 그럼에도불구하고보안업데이트만으로는안전하다고할수없다. 바로제로데이취약점때문이다. 2010년은수적인면에서나다양성의면에서도제로데이취약점에주목할만하다. 2009년에이어어도비리더 (Adobe Reader), 플래시플레이어 (Flash Player) 와같은어도비 (Adobe) 사제품군의제로데이취약점이눈에띄게급증했다. 일례로일주일사이에 2개의취약점이연속으로보고된사례도있어주목을끌었던바있다. 또한여전히웹공격의매개체로활발하게이용되고있는인터넷익스플로러 (Internet Explorer) 에서도다수의제로데이취약점이보고되었다. 이러한제로데이취약점들은과거에는취약점공개사이트등을통해사전에알려지는경우가일반적이었으나최근에는실제각종악성코드를통해이미이용되었거나침해사고들을통해뒤늦게확보되는경우가많아그위험성이더욱높아지고있다. 현재보안전문가및관련업체들도제로데이취약점으로인한피해를최소화하기위해보다근본적인방어책모색을위한노력이활발히수행되고있다. 진짜와똑같은 짝퉁백신 기승 2010년한해도다양한가짜백신변종이발견되었으며그방법또한다양화되었다. 윈도우업데이트프로그램과어도비 (Adobe) 사의플래시 (Flash) 업데이트등으로위장하여배포되는가짜백신, 동영상공유사이트인유튜브 (Youtube) 인것으로위장해허위사이트를만들어놓고동영상을보기위한코덱을설치하라고유도하는가짜백신, 유명보안업체의백신을사칭하고똑같이제작된가짜백신, 미국유명우편업체 USPS 등을사칭해사용자들이의심없이열어보는이메일을통해배포되는가짜백신, 사용중인윈도우와동일한언어로동작하여사용자가의심하지않도록제작된가짜백신, 설치되면웹브라우저와가짜백신을제외한모든프로그램의실행을차단하고치료를위해결제를요구하는가짜백신등보다많은사용자들의설치나유료결제를유도하기위해다양한감염기법을적용한가짜백신들이발견되었다. 백신회피하는악성코드대거출현지난 2009년에대중적으로알려졌던 TDL3 루트킷은 2010년들어더욱발전하였다. 특히최근에는 64비트 (Bit) 윈도우운영체제에서도완벽하게동작하는악성코드로또한번세상에알려지게되었다. 일반적으로보안프로그램이접근하지않는디스크영역에자신을암호화하여저장하고부팅시점부터동작하도록되어있는이악성코드가최근에는 64비트윈도우환경에서도동작이가능한변형이발견된것이다. 32비트와 64비트환경을구분하여감염시키는이번변형의특징은 64비트윈도우의경우인증된커널드라이버만로드하도록하는보호시스템인 패치가드 를우회하여동작한다. 32비트환경에서는 MBR(Master Boot Recode) 을변조하여자신을부팅시점부터동작하도록하며중요한코드대부분은디스크에서사용되지않는부분에저장을해둔다. 이후커널모드은폐기법을사용하며자신을숨기고계속적인변형을만들어내, 안티바이러스제품에서의진단과치료를어렵게하고있다. 이와함께올해진단, 치료가어려웠던악성코드로는 Win-Trojan/KrapRootkit 으로명명된악성코드가있다. 커널모드의 IO Code를후킹하여은폐행위를시도하며, 자신이진단되거나삭제되지않도록자기보호기능을갖는악성코드로잘알려졌다. 끝으로 2009년부터메모리진단 / 치료를하지않으면계속적으로피해를발생시켜심각한문제를일으킨, 소위 몸체가없는악성코드 로알려진팔레보 (Palevo) 웜과지봇 (ZBot) 트로이목마역시 2010년한해도기승을부렸다. 이들악성코드는메모리치료를완벽히하지않으면악의적인증상이지속되기때문에파일만진단하여제거한경우악의적인증상이재발생한다는문의가많았다. 이처럼 2010년에는악성코드진단및치료를어렵게하는기법을사용하는악성코드들이많이등장하였다. 개인정보노출에따른피싱의다양화 고급화금전적인목적의피싱은이제우리주위에서쉽게발생할수있는사회적인문제로대두되었다. 대표적으로금융기관으로위장하여개인금융정보를입력하도록유도하는피싱메일을비롯해전화를이용하여금전갈취를시도하는보이스피싱 (Voice Phishing), 또는온라인메신저를악용하여금전갈취를시도하는메신저피싱 (Messenger Phishing) 까지다양한형태로변화및발전을해왔다. 또한피싱웹사이트와관련해, 실제웹사이트와구분이어려울정도로정교한제작을몇번의간단한클릭만으로도할수있는툴킷 (Toolkit) 들이블랙마켓 (Black Marcket) 에서거래되고있는실정이다. 특히 2010년에는소셜네트워크서비스 (SNS) 의활성화로인해개인정보들이다양한형태로인터넷에존재하게됨에따라보이스피싱이나피싱메일제작시위협의대상이되는인물들의개인정보를일정수준이상포함하는상태가되었다. 이러한발전된형태의피싱으로인해일반인들은피싱의위협에쉽게노출된다. 따라서 2010년은금전적인목적으로생산되는피싱공격은그형태가다양한형태들로응용되고기법면에서고급화되었던한해라고볼수있다. 세상에서가장안전한이름안철수연구소 11
스파이웨어에도 메이드인코리아 열풍 2010 년악성코드유포에사용된침해사이트현황 2009년까지만해도한국에서제작된스파이웨어들은그변종이외국에서제작된스파이웨어에비해극히적었다. 이는제작자가직접변종을생성했고, 보안제품의진단을회피하기위한노력을거의하지않았기때문이다. 하지만 2010년에발견된한국산스파이웨어들은다양한방법을통해변종을생성했다. 또한보안제품의진단을회피하거나진단되는시간을최대한지연시켜수익을극대화하기위한시도를보였다. 손에꼽을수있을정도로만변종이발견되었던이전과는달리 2010년에는하루에도몇천개의스파이웨어변형이발견되었으며그만큼많은사용자들이스파이웨어에감염되었다. [ 그림 5-2] 2010 년침해사이트통계 2. 시큐리티동향 시큐리티통계 2010 년마이크로소프트보안업데이트현황 위통계는 2010년한해 Active Honeypot에서탐지한악성코드를유포한탐지했던침해사이트들에대한통계를나타낸것으로월평균 305개의국내외사이트에서악성코드유포가탐지되었다. 시큐리티이슈 SNS 시스템의공격대상증가 [ 그림 5-1] 2010년 3분기보안업데이트현황올해마이크로소프트사 (MS) 로부터배포된보안업데이트는총 103건으로 2009년작년 74건보다 30건가량증가한수치이다. 이러한증가수치는마이크로소프트 Advisory 및제로데이공격으로인하여늘어난것으로보인다. 특히시스템관련취약점들이많이나타났으며, 마이크로소프트사의 Internet Explorer, 오피스뿐만아니라 Adobe 사의 PDF 및 SWF 취약점등의애플리케이션취약점들도꾸준히발생하였다. 이러한추세는일반사용자들이많이사용하는애플리케이션이공격대상이되는것으로, 해당애플리케이션을사용하는사용자의주의가요구된다. 또한윈도우 7의사용자가늘어남으로인하여점차적으로윈도우 7을대상으로하는취약점들도늘어나는추세다. 2010년상반기에는트위터 (Twitter) 의 Direct Message 기능을피싱공격에사용하는스팸이발생하였다. 해당스팸은사용자에게 haha. This you???? http://tr.im/pyjh 라는메시지를전송하고, 사용자가메시지에포함된 URL을클릭하면가짜 Twitter 로그인페이지로이동하게한다. 여기에서수집된아이디와비밀번호는또다시스팸공격에활용되어, 해당사용자의 follower들에게위와동일한방식으로메시지를전달하게된다. 이와같은공격이가능한원인중의하나는트위터의글자수제한이라는특성때문에사용되는 짧은 URL 서비스에있다. 사용자가직접해당링크를클릭하여이동하기전까지는해당 URL의원래주소를알수없기때문이다. 또한트위터를이용한봇넷공격도발생하였다. 이는사회공학적인방법을이용한것으로전송한파일또는 URL주소를사용자가클릭하도록유도하여봇넷에감염시키는방식이사용되었다. 앞으로도이와비슷한유형의 SNS 공격들이더욱많이발생할것으로예상된다. Adobe Reader & Flash Player 제로데이취약점 2010년에도 Adobe사의대표제품군인 Adobe Reader 관련새로운제로데이취약점 ( 일명, PDF 취약점 ) 이발표되었다. 이러한 PDF 취약점공격은입사이력서나유명보안업체의업데이트권고와같은다양한컨텐츠를수반하는위장된메일형태나웹을통해사용자를위협하고있다. 특히, 새롭게보고된 Adobe Acrobat and Reader authplay.dll 코드실행 (CVE-2010-1297,APSA10-01) 취약점은기존의직접적인 Adobe Reader 상에서발생되는취약점과는달리애플리케이션내부에탑재되어있는외부처리엔진상의오류로인하여연쇄적취약점이발생한사례라고볼수있다. 이와유사한사례는작년과올해 1분기에도존재하였 12 ASEC Report _ 2010. Vol.12
다. 해당취약점은 Adobe Flash Player 10.0.45.2 이하에존재하는 flash 파싱엔진 (authplay.dll) 으로인하여발생되었다. 최근이처럼복잡한애플리케이션간의상호호환성은취약점의연쇄적발생이라는또다른보안위협을유발하기도한다는점에주목해야하며반드시해당소프트웨어의업데이트가필요하다. pdf및 swf 파일의공격은 2011년에도꾸준히나타날것으로보여진다. 자동화된웹애플리케이션취약점을이용한유닉스 / 리눅스 IRCBot 전파최근국내네트워크망에자동화된웹애플리케이션취약점을이용한유닉스 / 리눅스 IRCBot 유포공격이많이증가하고있다. 일반적으로이러한공격은외국또는국내의해킹된서버상에서자동화된툴또는스크립트가동작하여불특정국내웹서버등을공격하는방식이주로이용된다. 현재까지크게알려진공격은 PHP XML RPC 라이브러리코드실행취약점 (CVE-2005-1921) 및 CMS 웹애플리케이션으로알려진 e107 BB- Code PHP 코드실행취약점, tomcat 실행취약점을이용하는것등이발견되었다. 만약웹서버가취약한버전의웹애플리케이션등을이용하고있으면유닉스 / 리눅스 IRCBot 에감염되며, 또한다른시스템들을공격할수있다. 유닉스 / 리눅스 IRCBot 코드에는명령어실행및포트스캔, 그리고 DDoS 공격 (tcp/udp flooding, http flooding) 등을할수있는코드가내장되어있으므로주의가필요하다. 해당공격은비단 PHP XML RPC, e107, tomcat등의취약점뿐만아니라다른웹애플리케이션프로그램등의코드실행취약점들을이용하거나새로발견되는취약점들을이용할수있기때문에시스템감염전파가능성이높다고볼수있다. 이러한공격을방지 / 탐지하려면먼저웹애플리케이션프로그램들의보안패치가필요하며네트워크보안장비인 IPS/IDS 사용을고려해볼수있다. DLL Hijacking 취약점최근취약점공유사이트에서는 DLL Hijacking 관련취약점에관한공격코드들이무수히등록되고있다. 해당취약점은애플리케이션이 DLL을로딩하는과정에서발생한다. 일반적으로 DLL을호출할때사용되는함수인 LoadLibrary() 와 LoadLibraryEx() 함수를사용하면서절대경로를지정하지않았을경우, 다음과같은순서에따라해당디렉토리들을순차적으로검색하여명시된 DLL을찾는다. 1. 프로그램이실행된디렉토리 2. 시스템디렉토리 3. 16비트시스템디렉토리 4. 윈도우디렉토리 5. 현재작업중인디렉토리 (CWD) 6. 환경변수에등록되어있는디렉토리들만약명시된 DLL과동일한이름의 DLL이보다높은검색순서에해당하는디렉토리에존재한다면, 원래실행되어야하는 DLL 대신다른경로에있는 DLL이실행될것이다. 공격자는이점을악용하여자신이원하는 DLL을실행할수있게된다. 해당취약점은 DLL 메커니즘자체에대한 문제도있기때문에관련패치가나온다하더라도, 완벽한해결을위해서는애플리케이션차원에서의대응도필요하다. Internet Explorer 취약점을이용한공격활발 2010년한해동안Active Honeypot에서침해사이트들과유포된악성코드를탐지, 분석한결과악성코드들이클라이언트 PC를감염시키기위해서 Internet Explorer에존재하는취약점을가장많이사용했는데그원인에대한해답을아래브라우저점유율을통해서찾을수가있었다. [ 그림5-3] 2010년브라우저점유율 ( 붉은색 : 국내, 파란색 : 세계 ) 위브라우저의점유율을보면, 해외의경우 Firefox가약 23%, MSIE(Microsoft Internet Explorer) 가약 57% 의점유율을보이고있는반면에국내의경우, MSIE가약 96% 정도로타브라우저와는비교할수없을정도로높은점유율을보이고있는데이는국내사이트의대부분이아직도 MSIE에최적화되어있기때문에국내침해사이트를통해서유포되는악성코드들의대부분이 MSIE에존재하는취약점을사용할수밖에없는이유인것으로판단된다. - 참고사이트 : 국내브라우저점유율 : http://trend.logger.co.kr/trendforward.tsp 세계브라우저점유율 : http://marketshare.hitslink.com/browser-marketshare.aspx?qprid=0 올한해 Internet Explorer에서발견된취약점들중에실제악성코드유포에가장많이사용되었던취약점에대해간단하게살펴보면아래와같다. MS10-002(CVE-2010-0249): http://www.microsoft.com/korea/technet/ security/bulletin/ms10-002.mspx MS10-018(CVE-2010-0806): http://www.microsoft.com/korea/technet/ security/bulletin/ms10-018.mspx MS10-090(CVE-2010-3962): http://www.microsoft.com/korea/technet/ security/bulletin/ms10-090.mspx 특히 MS10-090은 12월 14일에패치가릴리즈되기전까지는 0-Day 취약점이었으며실제국내일부사이트에서해당취약점을사용한악성코드유포사례도 Active Honeypot에서일부탐지되었다. 위긴급한취약 세상에서가장안전한이름안철수연구소 13
점 3 개에대한 V3 진단통계를살펴보면아래와같다. 월별악성코드발견건수 [ 그림 5-4] 긴급취약점 3 개에대한 V3 진단건수 [ 그림 6-1] 2010 년월별악성코드발견건수 위통계를보면 MS10-018에대한진단건수가 8월부터점차증가하기시작하여 10월의경우전월에비해 2배이상증가했음을알수있는데이는해당월에해킹된국내다수의웹사이트를통해서 MS10-018취약점을이용한악성코드가유포되었기때문인것으로보인다. 그리고다른취약점도꾸준히진단건수가집계되고있지만 MS10-018의진단건수가월등히높았기때문에위통계에서는진단건수가미비한것처럼보이는것이다. 예를들면, MS10-090의경우 11, 12월에약 9,000건의 V3 진단건수를기록하였다. ( 참고로위통계는중복건수포함될수있다.) 2010 년악성코드발견건수는전년도의 3,029,102 건에비해 57% 수준 인 1,737,946 건이다. 월별악성코드유형 3. 웹보안동향 웹보안통계 웹사이트보안요약 2010년악성코드발견건수는 1,737,946 건이고, 악성코드유형은 11,064건이며, 악성 [ 표 6-1] 2010년웹사이트보안요약코드가발견된도메인은 10,528건, 악성코드가발견된 URL은 47,491건이다. 본자료는안철수연구소의웹보안제품인 SiteGuard의 2010년자료를바탕으로산출한통계정보이다. [ 그림 6-2] 2010년월별악성코드유형 2010년악성코드유형은전년도의 11,162건에비해 99% 수준인 11,064건이다. 월별악성코드가발견된도메인 [ 그림 6-3] 2010 년월별악성코드가발견된도메인 14 ASEC Report _ 2010. Vol.12
2010 년악성코드가발견된도메인은전년도의 9,336 건에비해 113% 수 준인 10,528 건이다. 25.8% 로 2 위를차지하였다. 악성코드배포 Top 10 월별악성코드가발견된 URL [ 표 6-3] 2010 년악성코드배포 Top 10 [ 그림 6-4] 2010년월별악성코드가발견된 URL 2010년악성코드가발견된 URL은전년도의 93,588건에비해 51% 수준인 47,491건이다. 악성코드유형별배포수 [ 표 6-2] 2010년악성코드유형별배포수 악성코드배포 Top10에서 Win-Adware/Shortcut.InlivePlayerActiveX.234 가 267,427건으로 1위를, Win32/Induc이 93,928건으로 2위를기록하였다. 웹보안이슈트위터를이용한피싱사이트등장해외시각으로 2010년 2월 24일, 한블로그를통해유명소셜네트워크서비스 (Social Network Service) 웹사이트인트위터 (Twitter) 의다이렉트메시지 (Direct Messages) 에악의적인피싱웹사이트로연결되는링크가포함된것이발견되었다. 해당메시지에는일반적으로트위터사용자들이많이사용하는단축 URL(URL Shortening) 기법이적용된웹사이트링크가포함되어있었다. ASEC에서는다이렉트메시지로전달된해당단축 URL을분석한결과, 해당웹사이트링크를클릭하면트위터사용자로그인정보를탈취하기위한피싱사이트로연결이되었다. 해당트위터피싱웹사이트와사용자계정과암호가전송되는시스템은중국허베이 (Hebei) 에위치하고있어탈취된개인정보가중국으로전송된것을알수있었다. 3월에도트위터의단축 URL을이용한악성코드유포사이트가발견되었으며, 앞으로트위터의단축 URL에대한사용자의각별한주의가필요하다. SNS 의쪽지기능을통해전파되는악성코드 [ 그림 6-5] 2010 년악성코드유형별배포 악성코드유형별배포수에서 ADWARE 류가 656,704 건으로전체의 37.8% 로 1 위를차지하였으며, TROJAN 류가 449,162 건으로전체의 2010년 9월에는페이스북 (facebook), 마이스페이스 (myspace) 와같은 SNS의쪽지기능을이용해악성코드를유포시키는 Kooface 변종이발견되었다. Kooface는페이스북과마이스페이스에서제공하는쪽지기능을이용하여악성코드를포함한악의적인 URL을유포하는방식으로확산되는것을확인되었다. 쪽지기능에서악성 URL을클릭할경우에는유튜브 (youtube) 등의서비스로위장된사기성페이지에접속하게되며, flash player를설치하라는내용의메세지창을보게된다. 사용자가이메세지창을클릭하게되면사용자의시스템에악성코드가설치된다. 해당악성 세상에서가장안전한이름안철수연구소 15
코드가설치되면, 페이스북의로그인정보나신용카드정보와같이사용자의민감한정보를탈취하거나, 시스템을좀비 PC로만들어 p2p 기반의 Botnet에접속하여마스터의명령을수행하게한다. 또한, 악성코드가설치된 PC에서추가적인악성코드를다운로드하고, 다량의네트워크트래픽을발생하여시스템의네트워크가용성을저하시키는것으로확인되었다. 그외에도탈취한 SNS 서버스들의로그인정보는또다른악성코드전파시이용된다. 트위터웹사이트의크로스사이트스크립팅 (XSS) 취약점악용 2010년9월 7일오후해외보안업체에서유명소셜네트워크서비스 (Social Network Service) 웹사이트인트위터 (twitter) 에서 XSS(Cross- Site Scripting) 취약점을발견되었다. XSS 취약점은총 2개의웹사이트를이용하였으며각각의해당웹사이트들에서는서로다른스크립트악성코드를실행하도록구성되어있었다. XSS 취약점을악용하는스크립트악성코드는트위터사용자의시스템에존재하는쿠키 (Cookie) 파일들을특정시스템으로전송하는역할을수행하도록되어있다. 그러나해당스크립트악성코드를분석할당시에는해당스크립트악성코드를유포한웹사이트에접속되지않았으며트위터보안팀에서는이미해당취약점을더이상악용하지못하도록웹사이트를수정하였다고한다. 도메인명정책변경으로인한피싱발생 2010년부터도메인명에영어가아닌제3의외국문자를사용하는것이허용되었으며, 각국가에서다국어를사용하게되면서발생할수있는여러보안취약점중피싱과관련한보안문제가제기되었다. 실제단어는다르나눈으로보기엔똑같은형태로구현이가능하기때문에이러한문제점을이용한피싱사이트가생길수있다.( 예, 영문자 paypal 이러시아어로실제단어는 raural 이됨 ) 위와같은피싱사이트를예방하기위해서는이전까지는자신이접속한사이트에대한도메인명에대해서주의를기울이는등의예방법이있었지만, 이제는단순주의만으로는이러한피싱사이트를확인하는것은불가능해졌다고볼수있다. facebook 패스워드를리셋한다는스팸메일 4월에발생한이슈로인터넷상에서인기를끌고있는 facebook의계정과비밀번호 150만개를 2.5센트라는가격으로판매한다는내용의사건에대해 facebook에서강력한대응방침을밝힌적이있다. 그후 facebook에서고객의안전을위해 facebook 비밀번호를변경한다는허위사실을유포하는스팸메일에악성코드를첨부하여발송하는사건이있었다. 스팸메일에첨부된파일은Microsoft Office Word 파일의아이콘을사용하여메일수신자가악성코드를자연스럽게실행하도록위장하고있다. 해당파일은현재 V3제품군에서 Win-Trojan/Bredolab.48640.B 진단명으로진단및치료가가능하다. McAfee 오진사고소식으로위장해구글검색결과로허위백신유포해외시각으로 4월 21일미국보안업체인맥아피 (McAfee) 에서정상윈도우 (Win dows) 시스템파일인 svchost.exe를 W32/Wecorl.a 악성코드로잘못진단하는오진 (False Positive) 사고가발생했다. 이러한맥아피의오진사고를이용하여구글 (Google) 검색엔진에서검색순위를상위로조정하여악성코드를유포하는웹사이트로컴퓨터사용자들을유도하는블랙햇 (BlackHat) SEO(Search Engine Optimization) 기법을통해허위백신의유포를시도한사례가발견되었다. 이때구글검색엔진을통해유포된허위백신은이번맥아피의오진사고와관련된단어들을검색하게될경우에악성코드를유포하는웹사이트를검색첫번째페이지로배치하여컴퓨터사용자들의방문을유도하였다. AhnLab Online Security 2.0 16 ASEC Report _ 2010. Vol.12
III. 해외보안동향 1. 중국 4 분기악성코드동향 2010 년중국보안위협동향정리 2010년한해동안중국대륙에서발생한보안위협이슈들을정리해보면중국정부는여러방면으로중국내에서생산되는다양한보안위협들을제거하기위해많은노력을기울이고있지만, 여전히그노력에비해보안위협들은지속적으로나타나고있는실정이다. 2010년 1월 22 일 ASEC에서는 1월 15일발생한마이크로소프트 (Microsoft) 인터넷익스플로러 (Internet Explorer) 의알려지지않은취약점을악용한공격이발생한것을알리고이에대한상세한분석을진행하였다. 또한실제공격이활성화되고있으므로마이크로소프트에서는해당취약점을제거할수있는보안패치 MS10-002를긴급배포하여해당취약점으로인한피해확산을막고자하였다. ASEC이해당취약점을악용하는보안위협들에대한추가적인정보수집및분석을진행하던중, 중국언더그라운드웹사이트들에서 1월 20일경 MS10-002 취약점을악용하는스크립트악성코드를자동으로생성하는공격툴이제작, 유포중인것을확인하였다. [ 그림 7-2] MS10-002 생성기에의해생성된스크립트악성코드이번에발견된자동화툴에서생성된악의적인스크립트는기존에발견된것들과비교하여아래그림과같이버퍼 (Buffer) 주소가 0x0c0d0c0d 에서 0x0a0a0a0a 로변경되었다. [ 그림 7-3] 변경된버퍼주소 아래그림과같이제작된쉘코드 (Shellcode) 역시특정파일을다운로드할수있는기능과함께스크립트가함수단위로더정교하게정리되었으며인터넷익스플로러로로딩되었는지를검사하는루틴과함께보안제품의진단을우회하기위해난독화가추가된점이특징적이다. [ 그림 7-1] 중국에서발견된 MS10-002 취약점악용스크립트생성기 해당 MS10-002 취약점을악용하는자동화툴들은위그림과같이가운데박스부분에악성코드가위치할웹사이트주소만지정해주면아래그림과같이자동으로해당취약점을악용하는스크립트파일을생성하도록되어있다. [ 그림 7-4] 쉘코드로분기하게되는코드이렇게자동으로취약점을악용하는스크립트악성코드생성툴들은 2009년 7월에발견된중국산 MPEG2TuneRequest 취약점악용툴의사례가있었던것처럼중국언더그라운드에더많이존재할것으로추정된다. 그러므로마이크로소프트의인터넷익스플로러사용자는마이크로소프트에서제공하는긴급보안패치인 MS10-002를즉시설치하여추가적인다른보안위협들로인한피해를예방하기바란다. 세상에서가장안전한이름안철수연구소 17
중국에서금전적인목적으로판매되고있는트로이목마들다시국내언론을통해중국발해킹으로인한개인정보유출사고가기사화되고있으며, 특히금전적인대가를위한해킹이가장큰문제가되고있다. ASEC에서는금전적인해킹과악성코드제작이성행하고있는중국언더그라운드를조사하던중트로이목마제작과함께분산서비스거부공격 (DDoS) 도구를판매하는웹사이트를파악하였다. [ 그림 7-6] 중국내에서급격히증가중인 MS10-018 취약점을악용한공격 라이징사는인터넷익스플로러의 MS10-018 취약점을악용하는공격이 3월부터 4월 7일까지총 1,839 만회가발생하였으며 4월 7일하루에만중국내부에서 310 만건이발견된것으로밝혔다. 그러나중국내부시스템들의 50% 정도만보안패치를설치한것으로분석하고있다. 해당취약점에대한보안패치는 3월 31일마이크로소프트를통해배포되었으므로윈도우업데이트를통해즉시설치하는것이중요하다. 2. 일본 4 분기악성코드동향 [ 그림 7-5] 금전적인목적으로판매되고있는중국의트로이목마판매웹사이트 2010년일본에서는해커의공격으로악의적인스크립트가삽입된웹사이트로인해사용자의피해가지속되고있다. 사용자가프로그램에대한정확한정보를알지못하는상태에서결재를하도록요구하는 FakeAV 와같은허위백신이나원클릭과같은갈취프로그램의확산또한일본에서사회적인문제가되고있고윈도우 OS의보안취약점을공격하는컨피커웜과오토런악성코드또한많은피해를유발한것으로보인다. 이번에파악된중국웹사이트는위그림과같이트로이목마와분산서비스거부공격도구를판매하고있었으며, 한국인구매자들을위해해당도구들의기능에대해상세히설명한한글웹페이지를제공하고있었다. 해당웹사이트에서판매되고있는트로이목마도구의경우 1만 6천원에서 12만 8천원에거래되고있으며분산서비스거부공격도구는 19 만 2천원에서 32만원에판매되고있었다. 이러한악성코드나공격도구들의판매로인한새로운보안위협이지속적으로양산되고있으므로제도적으로이러한행위를차단하여야할것이다. 해킹된웹사이트를통한악성스크립트유포증가일반적인서비스를제공하는웹사이트를해킹하여악의적인스크립트를삽입, 악성스크립트를유포하는형태의공격이몇년전부터다수의국가에서유행하고있다. 일본에서는이러한유형의악성스크립트를간부라 (JS_GUMBLAR) 라고칭하며한해동안일본역시이러한형태의공격이빈번하게발생하여이슈가되었다. MS10-018 취약점, 중국 1,800만웹사이트에서악용 4월 8일중국보안업체인라이징 (Rising) 사는 3월 11일에알려진마이크로소프트 (Microsoft) 인터넷익스플로러 (Internet Explorer) 취약점인 MS10-018 취약점을악용하는웹사이트가 4월로접어들면서급격히증가하고있다고밝혔다. AhnLab Trusguard 18 ASEC Report _ 2010. Vol.12
아래의표는일본트랜드마이크로사에서발간한연간리포트의내용중 악성코드피해보고현황을집계한것으로자바스크립트유형의악성코드 가탐지된것이다수를차지하고있다. 보안제품의탐지를우회하기위한기법들이지속적으로추가되는추세 이다. 오토런악성코드또한여러유형의악성코드에서자기복제를위한 주요기법으로여전히많이이용되고있다. 아래의그림은일본 IPA 에서발표한분기별악성코드피해현황을정리 한그래프이다. [ 표 8-1] 악성코드피해정보현황 < 자료출처 : 트랜드마이크로 1 > 최근에는악성코드제작자들이보안제품을회피하기위해원형스크립트를알아볼수없도록난독화하거나가짜백신유형의악성코드유포와같이최종공격을수행하는서버에도달하기위해여러사이트들을거쳐가게하는등공격형태가점점지능화되고있다. 아래의그림은 2009 년 9월부터 1년동안 IPA가집계한웹사이트의보안취약점유형을분류한자료이다. [ 그림8-2] 악성코드별검출건수추이 < 자료출처 : 일본 IPA 1 > 위의그림에서보면넷스카이 (W32/Netsky) 웜이나마이둠 (W32/Mydoom) 웜과같은이메일웜에의한피해가여전히많이발생하고있고이메일웜이외에도오토런 (W32/Autorun) 악성코드와바이럿 (W32/ Virut), 컨피커 (W32/Downad) 웜의피해가많은것을볼수있다. 다른악성코드들이대부분감소되어가는추세임에도불구하고오토런악성코드와컨피커웜의경우올해들어일본에서급격하게피해건수가많이상승했는데이는 2010년한해동안악성코드개체수가급격하게늘어난점이영향을미친것으로추정되며이러한현상은내년에도계속유지될것으로보인다. 불법갈취프로그램으로인한피해증가 [ 그림8-1] 웹사이트취약점발견현황 < 자료출처 : 일본 IPA 2 > 크로스사이트스크립트취약점과 SQL 인젝션취약점에노출된웹사이트가다수를차지하며, 2010년들어 SQL 인젝션공격에노출된비율이급격하게증가된것을볼수있다. 이러한웹사이트들은악의적인스크립트가삽입되었을가능성이높다. 이러한공격에의한인터넷사용자의피해예방을위해서보안업체뿐만아니라솔루션개발업체, 웹서비스제공업체등다양한서비스제공자들은정보보호의관점에서완성도가높은서비스를제공해야할것이다. 일본에서는부당청구피해사례가 2009년하반기이후급격하게증가했으며현재까지도많은피해가발생하고있다. 아래의 [ 그림7-3] 은일본 IPA에서발표한 2010년 3분기보안위협동향보고서의내용중부당청구와관련된상담건수를월단위로집계한자료이다. 컨피커웜 (W32/Downad) 과오토런 (W32/Autorun) 악성코드의지속적 인피해발생 2008 년말발견된초기의컨피커웜은 OS 의보안취약점을공격하여자 기복제를하는악성코드였으나최근에는다른악성코드를유포하거나 [ 그림 8-3] 부당청구관련상담건수추이 ( 자료출처 : 일본 IPA 2 ) 1.http://jp.trendmicro.com/jp/threat/security_news/monthlyreport/article/20101217082311.html 2. http://www.ipa.go.jp/about/press/pdf/101020press2.pdf 1.http://www.ipa.go.jp/security/txt/2010/documents/2010q3-v.pdf 2. http://www.ipa.go.jp/security/txt/2010/10outline.html 세상에서가장안전한이름안철수연구소 19
위의그림에서와같이불법적인갈취에의한피해가올한해동안매우높은수준으로유지되고있음을볼수있다. 이는보이스피싱이나오프라인고지서와같은기존의갈취행위에대한피해뿐만아니라최근일본에서많이유포되고있는가짜백신과허위청구서프로그램의배포가늘어났기때문으로보인다. 올해에는일본에서제작된가짜백신프로그램들이유포되는등갈취방식이다양해지고있고이로인한피해또한내년에도지속될것으로예상된다. 3. 세계 3 분기악성코드동향 전반적으로 2010년세계악성코드동향은 2009년과큰차이는없었다. 2009년세계악성코드주요동향을정리하면컨피커 (Win32/Conficker) 웜의세계적확산과악성코드의지역화, 소셜네트워킹 (Social Networking) 사이트를이용한악성코드배포로정리할수있다. 2010년에는기존동향에스마트폰과보안위협확장이추가되었다. 컨피커 (Win32/Conficker) 웜은 2008년 11월발견된후 2010년까지도주요악성코드감염통계에서상위권을차지하고있다. 컨피커 (Win32/ Conficker) 웜이외에세계적으로널리확산된악성코드는찾기힘들며여전히대부분의악성코드는다수의변형이특정지역에국한되어소규모로보고되고있다. 악성코드의지역화가나타나면서세계적인악성코드통계는큰의미가없어졌다. 주요보안업체악성코드통계를보면컨피커 (Win32/Conficker) 웜, 브레도랩 (Bredolab), 오토런 (Autorun) 웜, 바이럿 (Virut) 바이러스, 샐리티 (Sality) 바이러스, 허위보안프로그램, 제우스 (Zeus) 봇등이여러나라에서보고되었다. 정다수에게전파된다는점은일반적인웜과동일하지만자신이목표하는시스템에서원하는행동을수행하고최종공격목표는산업관리시스템인 SCADA인점이다르다. 비록악성코드감염수는많지않지만스턱스넷 (Stuxnet) 웜은 2009년부터활동했으며소설이나영화에나등장하는악성코드를이용한산업통제시스템 (Industrial control system) 공격이가능함을증명했다는점에서향후악성코드에의한사회적혼란이현실화될수있음을일깨워줬다. 악성코드제작및배포가단순히금전적이득을넘어서정치적이유로도발생할수있다는점에서예전부터논의된국가간사이버전, 핵티비즘등에대한논의가다시일었다. 미국외교문서를공개해파장을일으킨위키리크스와관련해서도위키리크스를지지하는세력과반대하는세력간에공격이이뤄졌다. 2011년에는지난몇년동안꾸준히언급된금전적이득을목적으로하는악성코드제작과함께정치적이유등으로정보수집및정보파괴현상이얼마나잦아질지지켜볼필요가있다. 여러국가에서이들사이버갱단에대한소탕이계속이뤄질것으로예상되며이를위해국가적협력방안이더욱강화되어야할것이다. 악성코드배포방식은여전히홈페이지해킹후취약점을이용하여코드를삽입, 사용자가웹사이트방문시감염되는방식과 USB메모리를통한전파가주를이뤘다. 이외메일을통한배포도여전했으며페이스북 (Facebook), 마이스페이스 (Myspace), 트위터 (Twitter) 등의소셜네트워킹을이용한전파도계속되고있다. 주요이슈가발생할때마다이슈와관련된내용으로가장한악성코드나허위보안프로그램을배포하는사례도 2009년과동일했다. 2010년에새롭게부각된악성코드이슈는안드로이드계열스마트폰악성코드가조금씩등장하고있다는점과단순히금전적이득목적외에악성코드제작목적의변화, 대상의확장을들수있다. 스마트폰보안위협은 2009년부터꾸준히논의되었지만 2010년에는특정플랫폼에한정된악성코드가등장했다. 현재스마트폰은여러제품이경쟁을하고있어시장점유율에따라악성코드양상도달라질것으로예상된다. 금전적이득목적외에정치적목적으로제작된것으로추정되는사건으로는대표적으로 2010년초구글등에대한타겟공격인이른바오로라 (Aurora) 작전이중국정부가개입되었다는의혹으로국가간외교분쟁양상도보였다. 여름에발견된스턱스넷 (Stuxnet) 웜이가져온파장은더강렬했다. 일반 적으로타겟공격은특정인을공격하였지만스턱스넷 (Stuxnet) 웜은불특 AhnLab V3 Zip 20 ASEC Report _ 2010. Vol.12
IV. 2011 년보안위협예측 지금까지 2010년도의보안통계를통해주요보안이슈들을알아보았다. 이번장은 2011년도에사회적이슈가될수있는 9대보안위협에대해서알아보자. 소셜네트워크서비스를활용한다양한공격기법범용화 2011년은 SNS(SNS, Social Network Service) 플랫폼을타깃으로하는악성코드가심각한위협으로발전하는한해가될것으로예측된다. 즉 2010년이 SNS가악성코드의플랫폼으로악용되기시작한원년이라면, 2011년은이를악용한보안위협이다양한형태로활성화될것으로보인다. 우선, 소셜네트워크내부의검색결과를조작하는보안위협들이발생할것으로예측된다. 검색결과를조작하는보안위협은이미검색엔진의알고리즘을악용한형태로나타났다. 그러나소셜네트워크내부에서는친구또는유명인의웹페이지를찾기위해검색을하는과정에서허위로작성된소셜웹페이지로접속을유도하는피싱 (Phishing) 및악성코드유포를시도하는사례가발생할수도있다. 다양한소셜네트워크들사이로공유되는데이터의위, 변조가발생할것으로보인다. 현재다양한플랫폼의소셜네트워크가서비스되고있음으로소셜네트워크간의개인정보나데이터들이공유및전송되고있다. 이러한대표적인형태로트위터로작성한메시지를페이스북, 또는링크드인 (Linkedin) 으로공유하는것등이있다. 또국내의경우에는개인블로그에서작성한글을국내에서서비스하는소셜네트워크들로공유할수도있다. 이렇게데이터를전송하는과정에서중간자공격 (MITM, Man in the Middle) 과유사한형태로소셜네트워크로전송되는블로그의주소를피싱또는악성코드유포하는웹사이트로변경하여전달할수도있다. 또는트위터에서작성한메시지를페이스북으로전송하는과정에악의적인웹사이트로접속하는링크를삽입하는공격도예상해볼수있다. 금전적목적을위한스마트폰위협의증가생활의편리함을제공하는스마트폰의사용이 2010년들어급격히증가하면서그만큼많은보안위협에노출될가능성도증가했다. 실제로 2010년에는스마트폰에서동작하는악성코드가증가했다. 이들악성코드는단말기정보및개인정보유출, 유료문자메시지발송및사용자몰래전화걸기등을통한부당과금등의악의적인기능을가지고있었다. 또한스마트폰의웹브라우저에서보안취약점이발견되었으며이를활용하여시스템의최고권한을갖게하는, 이른바탈옥 (JailBreak) 에이용되는루팅 (Rooting) 툴이제작되었다. 따라서이런보안취약점을악용한보안사고가 2011년당면하게될문제로떠오르고있다, 특히 2010 년에는스마트폰악성코드들이본격적으로등장한해였다면, 2011년에는이러한악성코드들이본격적으로금전적인목적을가지고활발히활 동할것으로보이며, 특히인터넷과의연결편의성과함께쇼설네트워크접근성을이용한다양한금전적목적을노린피싱공격이증가할것으로예측된다. 그이유로는스마트폰은화면이작기때문에스마트폰의웹브라우저로접속시웹사이트의주소전체를보기가어렵다. 따라서웹사이트의주소가긴문자열로나타날경우사용자들은앞부분만인지하여정상적인웹페이지로판단하기쉽다. 그러나실제로는정상적인웹페이지의주소와유사하게꾸민악의적인페이지로들어가게되는경우가발생할수있다. 또는웹사이트주소입력창이나버튼을이중으로구성하여피싱사이트에접속했음을인지하기어렵게하는기법도사용할수있기때문이다. 클라우드서비스를악용한보안위협 2011년에는지난해본격적으로기반을마련하기시작한클라우드기술과가상화기술이사이버공격에악용될것으로예측된다. 예를들어클라우드컴퓨팅을이용해여러대의 C&C 서버를준비해놓고좀비 PC 안의악성코드가이중서비스가가능한 C&C 서버로찾아가도록하는방식이다. 이때여러대의 C&C 서버를구축하기위해공격자는가상사설서버 (Virtual Private Server) 를이용하게된다. 이것을이용하면물리적으로는 1대이지만가상으로여러대의서버를구축함으로써봇넷 ( 네트워크로연결된대량의좀비 PC) 을효율적으로관리할수있다. 또한, 이미구축해놓은클라우드컴퓨팅환경을해킹하여해당자원을자유롭게사용한다면, 그위험성은상상을초월할정도이다. 한편이러한클라우드, 가상화기술은전력소모량및불필요한 IT 자산을최소화함으로써녹색성장을이끄는 그린 IT 의기반이기때문에 그린 IT 까지도위협대상이될것으로예상된다. 악성코드와취약점의다양한플랫폼으로확대스마트폰, 태블릿 PC(Tablet PC) 등과같이개인이사용하는단말기가증가하고있으며다양화되고있다. 2011년에는이러한흐름에맞춰악성코드의배포방법또한다양화될것으로보인다. PC와마찬가지로스마트폰이나태블릿 PC의운영체제를비롯해웹브라우저에서도보안취약점이발견되고있으며, 이러한보안취약점을사용하여악성코드가배포될수있다. 특히스마트폰은 PC와연결하여외장디스크등으로사용이가능하기때문에스마트폰이악성코드를배포하는또하나의채널이될가능성이높다. 또한, 취약점발견의목적이개인기술발전과명성에서금전적인목적으로변화되면서 2010년에도공개되지않은취약점들이음성적으로거래, 또는실제공격에이용되었다. 이러한추세는 2011년에도계속될것으로보이며이로인한피해사례또한꾸준히증가할것으로보인다. 과거에는주요시스템에만국한되는공격성향을보이던것이최 세상에서가장안전한이름안철수연구소 21
근에는손쉽고빠르게공격에활용할수있는다양한플랫폼과애플리케이션으로꾸준히확대되고있다. 특히 2010년에는스마트폰사용증가로스마트폰의권한상승이나루트권한획득등과관련해과거 PC 환경에서보고되었던취약점들이사용되기도하였다. 이에 2011년에는스마트폰시장의확대와관심이가속화되면서알려지지않은제로데이취약점들로인한위협이본격적으로발생할것으로예상된다. 최근이러한제로데이취약점들의활발한공격에대응하기위해관련업체들은신속한보안업데이트제공뿐만아니라가상화기술과같은다양한기술과의접목을통해보다적극적인대응방안을모색하고자하는움직임을보이고있다. 2011년에는이러한움직임이보다본격화될것으로보이며, 이를노리는또다른취약점공격이추가적으로발생하는등여전히뚫는자와막는자의싸움이지속될것으로예상된다. 무선인터넷취약점노린위협최근스마트폰열풍으로주요 ISP(Internet Service Provider) 를중심으로무료무선 AP(Access Point) 가전국적으로확산되고있다. 이들 ISP 업체들은무료서비스제공을위해기본적으로사용자식별및인증을최소한으로하고있다. 또한무선 AP와단말기 ( 스마트폰, 태블릿 PC, 노트북등 ) 사이의기본적인데이터통신은평문으로송수신되고있다. 무선은유선과달리공기를통해전파되는것이기때문에도청, 스니핑에기본적으로취약점을가지고있다. 더나아가무선 AP의안정성을확인할수없기때문에불법AP 등이존재하여보안위협이증가할수있다. 또한, 최근기업들이스마트워크 (Smart Work) 를구축하기위한방안으로모바일오피스를구축하는상황에서는무선 AP의사용이활발해질것이며, 이로인해개인정보뿐아니라, 기업정보까지무선을통해송수신되는시대가도래하였다. 따라서, 2010년에급격히증가한무선 AP에는공격자들이 AP와단말기간의정보를수집하기쉬운취약점이존재하기때문에아주좋은먹잇감이될수있는만큼보안사고의위험이도사리고있다. 따라서무선 AP와단말기간의데이터를암호화하기위한수단이필요하며, 단말기사용자의식별, 인증, 책임추적성강화를위한조치가필요할것으로보인다. 소프트웨어보안기술을우회하는기법의등장 2010년한해동안수많은제로데이 (Zero-day) 취약점들이보고되었다. 주로인터넷익스플로러, 어도비 PDF, SWF 등으로, 이러한응용프로그램의제로데이취약점소식은어제오늘의일이아니다. 응용프로그램사용자가많아지고표준화되어갈수록공격자들이해당응용프로그램의취약점을발견할확률도높아진다. 다행인것은이러한프로그램들의제작업체들이점점보안에신경을쓰고있다는것이다. 일례로 2007년마이크로소프트사에의해서소개된 보호모드 라불리는보호기술이있다. 이보호기술은비스타, 또는윈도우 7의경우, 인터넷익스플로러, MS 오피스, 구글크롬, 그리고어도비의새로운어도비리더 (Adobe Reader) X에적용된다. 보호모드 란샌드박싱 (Sandboxing) 기술과프로세스신뢰도등급을이용하는방식이다. 보호모드로응용프로그램이동작중 일때는낮은신뢰도등급이책정된다. 이때낮은등급의응용프로그램은자신보다높은등급이할수있는권한 ( 쓰기, 삭제, 실행 ) 을가질수없다. 때문에보호모드로응용프로그램이실행중이라면악성코드의감염을차단하게된다. 그러나최근에는인터넷익스플로러를이용하여보호모드를우회하는방법이알려지기도했다. 이러한공격의궁극적인목적은드라이브바이다운로드 (Drive by Download) 형태의악성코드에감염시키는것이다. 따라서 2011년에는보호모드동작을우회하는다양한공격방법이선보여질것으로예상되며, 그러한공격방식은즉각적으로악성코드제작등에이용될것으로보인다. 악성코드의진단회피를위한잠복능력지능화악성코드의자기보호고도화는몇년전에비해놀랄만큼발전했다. 예를들어 TDL루트킷 (Rootkit) 은자신을드러내지않고활동하기위해디스크와직접통신하는커널드라이버를수정하여더욱시스템깊숙이파고든다. 이외에도정상적인컴파일러로만든파일처럼보이지만악의적인코드를숨겨둔형태를비롯해실행압축과암호화는기본이고여기에서더나아가공통된특징을찾을수없도록변형된악의적인실행파일등이거의매일쏟아지다시피하고있다. 악성코드제작자들은사용자를속이면서실행을유도하기위해동일한악성증상을갖는악성코드의실행파일을사용자들이잘알고있는아이콘의모습으로위장해지속적으로배포하고있다. 이경우일반사용자들은아이콘만보고서는쉽게악의적인실행파일인지판단하지못하기때문에해당악성코드는감염된시스템에보다오랫동안존재할수있다. 이같은악성코드의외형적특징은 1~2년전부터두드러지게나타나기시작했다. 특히이러한악성코드들은사용자들에게보여지는외형적인측면에서는비슷하게생각되지만, 실제로는전혀다른점이많이발견되기때문에진단의어려움이발생하고있다. 하지만불규칙적인실행파일가운데에서도공통적인특징을추출하여악성여부를판단하는기술도발전하고있다. 이러한상황속에서 2011년에도안티바이러스의진단, 치료를회피하려는악성코드의자기보호기법은더욱교묘해지고이를통한새로운위협도지속적으로등장할것으로예측된다. 사회기반시설과특정대상을목적으로하는타깃형공격증가예상 2010년에이슈가되었던이란원자력발전소시설을운용하는 SCADA 시스템에대한 Stunxnet 악성코드공격과같이사회기반시설을공격하는타깃형공격이증가할것으로예측된다. 또한, 최근에는특정대상을타깃으로하는사회공학공격이뚜렷한증가를보이고있다. 2010년악성코드의유포사례를살펴보면대부분특정사용자층을타깃으로하여공격하는방식을취하고있다. 예를들면, 국내이용자들을타깃으로한특정금융사의카드명세서로위장한이메일, 그리고온라인쇼핑몰로위장한피싱공격등이다. 2011년에도아시안컵, 대구세계육상선수권대회와같은국제적행사가개최될예정이며, 이러한사회적이슈가공격에이용될수있을것이다. 점점더교묘해지는사회공학기법과결합하여보다정밀한타깃을대상으로하는공격형태가나타날것이며, 이에따라앞으로도지속적인위협증가에대한주의가필요할것으로보인다. 22 ASEC Report _ 2010. Vol.12
사라지지않는 DDoS 공격 2009년도 7.7 DDoS 대란이후, 여러악성코드가혼합된공격방식과치밀한계획을통해정교화된공격방식의 DDoS 공격이증가하고있다. 그피해는 7.7 DDoS에비해낮은수준이지만, DDoS 공격능력을가진악성코드는다양하게증가하였다. 특히, 최근에폭발적인인기를얻고있는소셜네트워크서비스 (Social Network Service) 를이용해좀비 PC를확보하는방식이유행하고있으며, 이로인해짧은시간에 DDoS 공격인프라를구축할수있는위협이증가하고있다. 따라서, 2011년도에는기존 DDoS 공격용악성코드들의지속적인변종이나올것으로보이며, 그와함께소셜네트워크서비스와결합한 DDoS 공격이활발해질것으로보인다. 특히, 소셜네트워크서비스는최근의소셜커머스 (Social Commerce) 등과같이금전적거래를목적으로하는상용서비스의접속장애가발생할경우금전적인피해가발생하므로범죄집단의타깃형 DDoS 공격대상이될수있다는점에주의해야한다. AhnLab SiteGuard Pro & Security Center 세상에서가장안전한이름안철수연구소 23