Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다. 2010 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2010년 2월의악성코드감염보고는 Win32/Induc이 1 위를차지하고있으며, TextImage/Autorun 과 Win32/Parite 가각각 2위와 3위를차지하였다. 신규로 Top 20에진입한악성코드는총 9 건이다. 2010년 2월의감염보고건수는 Win-Trojan/Agent가총 669,159건으로 Top 20 중 12.6% 의비율로 1위를차지하고있으며, Win-Trojan/ OnlineGameHack 이 517,074건으로 2위, Win-Trojan/Downloader 이 478,916건으로 3위를차지하였다. 아래차트는고객으로부터감염이보고된악성코드유형별비율이다. [ 그림 1-1] 악성코드유형별감염보고비율 AhnLab Policy Center 4.0 세상에서가장안전한이름안철수연구소 01

2010 년 2 월의감염보고건수는악성코드유형별로감염보고건수비율 은트로잔 (TROJAN) 류가 40% 로가장많은비율을차지하고, 애드웨어 (ADWARE) 가 16.1%, 웜 (WORM) 이 10.6% 의비율을각각차지하고있다. 아래표는 2 월에신규로접수된악성코드중고객으로부터감염이보고 된악성코드 Top 20 이다. [ 그림 1-2] 악성코드유형별감염보고전월비교 악성코드유형별감염보고비율을전월과비교하면애드웨어, 웜, 드롭퍼 (DROPPER), 다운로더 (DOWNLOADER) 가전월에비해증가세를보이고있는반면스크립트 (SCRIPT), 트로잔, 바이러스 (VIRUS), 유해가능프로그램 (APPCARE) 은전월에비해감소한것을볼수있다. 스파이웨어 (SPYWARE) 계열들은전월수준을유지하였다. [ 표 1-3] 신종악성코드감염보고 Top 20 2월의신종악성코드감염보고의 Top 20은 Win-Adware/BHO.Wise- Bar.28262가 76,231 건으로전체 11.8 % 를차지하여 1위를차지하였으며, Win-Adware/Migame. 423928가 70,860건 2위를차지하였다. [ 그림 1-3] 악성코드월별감염보고건수 2 월의악성코드월별감염보고건수는 11,718,469 건으로 1 월의악성 코드월별감염보고건수 12,189,375 건비해 470,906 건이감소하였다. [ 그림 1-4] 신종악성코드유형별분포 2월의신종악성코드유형별분포는트로잔이 53% 로 1위를차지하였다. 그뒤를이어애드웨어가 19% 를각각차지하였다. 악성코드이슈 2월에는다양한유형의악성코드들이보고되었다. 정상시스템드라이버로파일을위장하는스팸메일러와이메일을통해변종을전파하는웜, 네트워크트래픽을증가시키며 BSOD를발생시키는악성코드와같이꾸 AhnLab V3 MSS 02 ASEC Report _ 2010. Vol.02

준한피해를일으키는악성코드부터, 동계올림픽시즌을맞아특정선수의경기동영상을가장하여가짜백신을설치하는악성코드와같이시대적흐름에편승하는악성코드가있었으며, 가짜백신과번들형태로설치되는애드웨어를이용하여금전적인이득을노리는악성코드까지어느때보다다양한악성코드들의왕성한활동을볼수있다. 시스템파일로위장한스팸메일러정상시스템드라이버파일로자신을위장하고동작하는 Win-Trojan/ Spamer. 791552 악성코드도발견되었는데이는커널스팸메일러로알려졌다. 그동안소강상태로보였던커널모드, 스팸메일러가재등장하였으며, 자신의진단이나치료를어렵게하는자기보호기능이있기때문에이를진단하고치료하는데어려움이있다. 세부적으로기능을살펴보면, 보고된커널모드스팸메일러 (Win-Trojan/Spamer. 7915) 는시스템드라이버파일명으로자신을위장한후메모리에로드된다. [ 그림 1-5] 변형취약점코드가사용하는메모리주소이후 Service.exe 에스레드를생성하여특정호스트에접속도하고스팸메일도발송한다. 드라이버형태인해당악성코드는자신을다른프로세스가읽지못하게하고시스템재부팅관련커널콜백루틴에자신을등록하여삭제하도록함으로써자신을찾아내기어렵게한다이처럼자기보호가된악성코드와커널스팸메일러는이번이처음은아니다. 자신을진단및치료하게어렵게하여존속성을보장받으려는악성코드의자기보호기법은고도화되고있기때문에오히려자신만을단지숨기려는은폐기법보다더욱진단 / 치료하는방법이까다로워지고있다. 허위유투브동영상을가장한동계올림픽관련악성코드특정선수의경기동영상을가장하여가짜백신을설치하는웹사이트가발견되었다. 이것은많은사용자들이특정조건으로검색시상위에노출하여해당사이트로유도한다. 대부분악성코드로감염을유도하거나허위사이트로유도한다. 앞으로이러한형태로악성코드설치나사용자정보를훔쳐나가는형태의악성코드가늘어날전망이다. [ 그림 1-6] 특정선수유투브동영상을위장한웹사이트 이메일을통해변종을전파하는 Prolaco 웜이메일을통한악성코드의전파는이미일반적인악성코드의한전파방법이되었다. 이메일을통해전파되는악성코드들은친구로부터축하카드를받았으니첨부파일을확인해보라는내용이나수신자에게택배가도착했으니첨부된송장의정보를확인하라는등일반적으로있을수있는사실을가장해사용자를속이는사회공학기법을사용하고있다. 그러나 2월초국내에서는구글메일로위장한 Prolaco 웜변종이발송하는메일을수신하였다는문의들이접수되고있다. 이변종은전자메일제목으로 Thank you from Google! 을사용하며메일본문에는구글로입사지원을해서고맙다는내용과함께구글이미지가사용되어져기존에발견되는이메일관련웜과는다르게구글처럼신뢰하는특정벤더에서보낸전자메일로위장한특이한사례였다. 메일에첨부된압축파일의압축을풀면 pdf문서를가장한실행파일이생성되는데, 아래와같이사용자들이 pdf문서를클릭하여실행되기위한전형적인악성코드의수법이다. document.pdf.exe (Windows 특성상사용자에게파일이보여질때, 중간에공란이보여지지않고, document.pdf 만이보여진다.) 전자메일을통한악성코드의감염을예방하기위해서는아래사항의안전수칙을지키는것이중요하다. 1) 알지못하는발신자로부터수신되는메일의경우, 가급적열지않고, 삭제한다. 2) 전자메일에파일이첨부되어있는경우, 바로실행하지않도록주의하고, 특정폴더에저장후최신엔진으로업데이트된백신제품을이용하여먼저검사를진행한후실행한다. 3) 전자메일에존재하는의심스런 URL링크는클릭하지않는다. 4) 악성코드의감염을예방하기위해서는시스템에설치된백신제품은항상최신엔진을유지하고실시간감시기를켜놓는다. 5) 악성코드의감염을예방하기위해서는백신의최신엔진유지와운영체제의최신보안패치설치뿐만아니라, 사용하는어플리케이션벤더에서제공하는취약점제거를위한보안패치를모두설치하도록한다. 네트워크트래픽을증가시키는 Win32/Bredola 2월에화제가되었던또다른이슈는 Win32/Bredolab류의악성코드로인한네트워크트래픽증가및 BSOD발생인데, 2월초부터현재까지여러기업고객과개인고객들로부터문의가접수되고있다. 이악성코드의특징은특정 sys파일이상당수의악성코드를지속적으로다운로드하여감염시스템에설치되며, 네트워크트래픽을증가시켜네트워크장애및시스템의자원을고갈시킨다. 뿐만아니라설치되는특정 sys파일에의해 BSOD가발생하기도하여시큐리티대응센터에서는현재전용백신배포와함께대응가이드를제작해서함께배포하고있다. ASEC대응팀블로 세상에서가장안전한이름안철수연구소 03

그 (http://core.ahnlab. com/120) 에서보다상세한정보와대응가이드를확인할수있습니다. 가짜백신피해증가가짜백신들로인한사용자들의피해가끊이질않고있다. 이들은적절한사용자동의를받지않고설치되어동작하며, 윈도우나웹브라우저사용시자동으로생성되는임시파일들을악성코드의심항목으로진단하고유료결제를통한치료를지속적으로유도한다. 이들은일정시간을간격으로시스템검사작업을수행하므로웹서핑만으로도생성되는임시파일을악성코드로진단하고치료하는작업을계속반복한다. 이는금전적인피해는물론이고불필요한검사와치료작업을반복해시스템성능을저하시키는주범이되고있다. 이들은악성코드분석을통한엔진업데이트가아닌, 다른컴퓨터보안회사에서제공하는바이러스 / 스파이웨어정보를무단으로도용해제품을제작한다. 그리고엔진이항상최신버전인것처럼사용자를속이기위해현재시스템의날짜를얻어와서엔진버전을표기하고있다. 또한이들업체는더높은수익을위해보통 3개이상의다른이름을가진가짜백신을동시에운영하고있다. 보안업체는사용자의컴퓨터를보안위협으로부터안전하게지켜주는것을주목적으로서비스를제공해야하지만이들업체는오로지돈벌이를위해가짜제품들을만들어내는사기꾼과도같다. 2. 시큐리티동향시큐리티통계 2월마이크로소프트보안업데이트현황마이크로소프트사로부터발표된이번달보안업데이트는총 13건으로보통 1건, 중요 7건, 긴급 5건이다. [ 그림 2-1] 공격대상기준별 MS 보안업데이트 [ 그림 1-7] 시스템날짜로엔진버전을속임즐겨찾기, 바로가기생성애드웨어의증가다수의인터넷즐겨찾기와인터넷바로가기를생성하는애드웨어가다시증가하고있다. 과거엔 ActiveX를이용해설치되는경우가많았지만최근에는주로애드웨어의번들로설치되고있다. 이러한애드웨어는방문객을유치했을경우발생하는수익에대해일정금액을방문객유치자에게돌려주는일종의리베이트로수익을가져갈수있다. 따라서사용자의편리함을위해사용되어야할인터넷즐겨찾기와바로가기를돈벌이를위해악용하는사례는앞으로도증가할것으로예상된다 [ 표 2-1] 2010년 2월주요 MS 보안업데이트이번달에는지난달에발표된 2건보다훨씬많은 13건의패치가발표되었다. 특히, MS10-006 SMB 클라이언트취약점, MS10-009 Windows TCP/IP 취약점, MS10-013 DirectShow 취약점은공격자로하여금원격에서원하는코드를실행할수있는취약점이기때문에주의가필요하다. 이러한취약점들은주로웹을이용하여배포가많이이루어짐으로, 신뢰되지않은웹사이트접속에유의해야하며, 백신설치와더불어보안패치를반드시업데이트해야안전한인터넷환경을사용할수있다. 악성코드침해웹사이트현황 [ 그림 2-2] 악성코드배포를위해침해된사이트 / 배포지수 [ 그림 1-8] 애드웨어에의해생성된즐겨찾기들 04 ASEC Report _ 2010. Vol.02

[ 그림 2-2] 는 2010년 02월악성코드침해사이트현황을나타낸그래프인데 2010년 1월보다월등히증가했음을알수가있고악성코드가유포될때사용했던취약점의동향은전월과비교했을때많은변화가있었다. 그에대한자세한원인은아래에서알아보겠다. - 인터넷 (Internet) - 로컬인트라넷 (Local Intranet) - 신뢰할수있는사이트 (Trusted Sites) - 제한된사이트 (Restricted Sites) 이중, 중요한파일이나악용소지가있는파일들은최소한의권한으로호출되도록제한된사이트 (Restricted Sites) 영역으로구별되어있다. 일반적인웹사이트들은인터넷영역 (Internet Zone) 이라하여일반적인권한을갖게되고, 사용자컴퓨터내에서의호출은로컬영역 (Local Machine Zone) 에포함된다. 다음과같은스크립트파일은, 시스템에서사용자의쿠키 (cookie) 가저 장되는위치 (Document and Settings\userid\Cookies) 에서열면제한 된사이트 (Restricted) 영역으로인식하여, 정상적으로실행되지않는다. [ 그림 2-3] 악성코드배포를위해사용된취약점 [ 그림 2-3] 은 2010 년 2 월한달동안침해사고가발생한웹사이트들에서 악성코드를유포하기위해서사용했던취약점들에대한통계인데이를 통해서몇가지사실을알수가있다. [ 그림 2-4] 스크립트내용 2010년 2월의경우 MS06-014취약점의공격건수는전월에비해서상당히큰폭으로감소했고최근에발견된 MS09-023, MS10-002그리고 PDF관련취약점에대한공격건수가큰폭으로상승했음을알수가있는데그원인은 2010년 2월의침해사고사이트 / 배포지의대부분이 Win-Trojan/Daonol 악성코드를배포하기위해서해당취약점들을빈번하게사용했기때문인것으로보인다. [ 그림 2-2/2-3] 을통해서말하고싶은것은단순히월별로어떤사이트가침해됐고, 어떤취약점이악성코드유포에많이사용되었는가가중요한것이아니라악성코드가유포하기위해서어떤대상들을타깃으로하는지를유심히살펴보고자신이사용하는프로그램들중악성코드가사용할수있는취약점들이존재하지않는지점검해볼필요가있다. [ 그림 2-5] 실행결과 : 제한된사이트영역그러나, URL 경로상에다음과같이 \\127.0.0.1\c$ 을추가하여접근할경우, InternetExplorer가이를인터넷 (Internet Zone) 영역으로인식하여스크립트를정상적으로호출할수있게된다. - file://127.0.0.1/ C$/example.dat 시큐리티이슈 Internet Explorer Information Disclosure 취약점 Black Hat DC 2010 에서 Microsoft Internet Explorer 에서 Security Zone 을우회할수있는취약점에대한발표가있었다. 해당취약점은오래전부터존재하고있었던것으로써발표당시, Internet Explorer 7,8의 Protected Mode가설정되어있는경우를제외한모든버전에해당되는문제였다. 공격자는해당취약점을이용하여웹페이지접근을통해사용자의로컬컴퓨터상에존재하는파일들의정보를획득하거나스크립트 (SCRIPT) 실행을통해임의의명령을수행할수있다. MS Internet Explorer는시스템의안전을위해다음과같은 Security Zone 모델을채택하고있다. [ 그림 2-6] 실행결과 : 인터넷영역해당공격이성공적으로이루어지기위해서는우선적으로원하는파일을로컬시스템상에올려야하며, 해당파일이 HTML 파일로해석되게할수있는방법을찾아야만한다. 사용자의로컬시스템상에악의적인동작을수행하는스크립트파일을올리는방법은웹서버에서 set-cookie 헤더를이용하는방법, url history를이용하는방법등의이미공개된다양한취약점이나우회방법을이 세상에서가장안전한이름안철수연구소 05

용할수있다. 만약, 공격자가악성코드를사용자의시스템에생성하는것 이성공하였다면다음과같은형태의코드를이용하여동작시킬수있다. 3. 웹보안동향 웹보안통계 웹사이트보안요약 [ 그림 2-7] 동적생성태그를이용한방법이러한점을이용하여공격자는사용자의시스템에서직접스크립트를실행시킬수있기때문에사용자의시스템의어떠한파일에도접근할수있는권한을갖게된다. 일반적인악성코드가웹페이지에삽입되는것과는달리 cookie, url 접근 history 파일및다양한경로를통해악성코드가실행될수있기때문에해당취약점을이용하는실제공격이발생한다면일반적인방식으로탐지하기가어려울수있다. 악성코드발견건수는 394,232 건이고, 악성코드유형은 1,042 건이며, 악성코드가발견된도메인은 975 건 [ 표 3-1] 웹사이트보안요약이며, 악성코드발견된 URL은 5,090 건이다. 2010년 2 월은 2010년 1월보다악성코드유형, 악성코드가발견된도메인, 악성코드발견된 URL 은다소감소하였으나, 악성코드발견건수는증가하였다. 월별악성코드발견건수 Twitter Direct Message Phishing Spam Twitter의 Direct Message 기능을피싱공격에사용하는스팸이발생하였다. 해당스팸은사용자에게 haha. This you???? http://tr.im/pyjh 라는메시지를전송하고, 사용자가메시지에포함된 URL을클릭하면가짜 Twitter 로그인페이지로이동하게한다. [ 그림 3-1] 월별악성코드발견건수 2010 년 2 월악성코드발견건수는전달의 201,360 건에비해 196 % 수 준인 394,232 건이다. 월별악성코드유형 [ 그림 2-7] DoS 공격시발생하는네트워크패킷 가짜 Twttier 로그인페이지의주소의형태가 twitter.login 으로시작하고있고, 로그인페이지는실제 Twitter 로그인페이지와육안으로식별할수없을정도로비슷하기때문에사용자는주의하지않는다면별다른의심없이로그인을시도할수있다. 자세한내용은웹보안이슈에서다루고자한다. [ 그림 3-2] 월별악성코드유형 2010 년 2 월악성코드유형은전달의 1,084 건에비해 96% 수준인 1,042 건이다. 06 ASEC Report _ 2010. Vol.02

월별악성코드가발견된도메인 [ 그림 3-3] 월별악성코드가발견된도메인 [ 그림 3-5] 악성코드유형별분포 2010 년 2 월악성코드가발견된도메인은전달의 983 건에비해 99% 수 준인 975 건이다. 월별악성코드가발견된 URL 악성코드유형별배포수에서트로잔 (TROJAN) 류가 118,964건으로전체의 30.2% 로 1위를차지하였으며, 애드웨어 (ADWARE) 류가 79,625건, 전체의 20.2% 로 2위를기록하였다. 악성코드배포 Top 10 [ 그림 3-4] 월별악성코드가발견된 URL 2010 년 2 월악성코드가발견된 URL 은전달의 6,106 건에비해 83% 수 준인 5,090 건이다. 악성코드유형별배포수 [ 표 3-3] 악성코드배포 Top 10 악성코드배포 Top 10에서 Win32/MyDoom.worm.32256이 73,308 건으로 1 위를차지하였으며, Top 10에 Win32/MyDoom.worm.32256등 5건이새로등장하였다. 웹보안이슈 트위터를이용한피싱사이트등장 [ 표 3-2] 악성코드유형별배포수 해외시각으로 2010년 2월 24일, 한블로그를통해유명소셜네트워크서비스 (Social Network Service) 웹사이트인트위터 (Twitter) 사용자간전송가능한다이렉트메시지 (Direct Messages) 로악의적인피싱 (Phishing) 웹사이트로연결되는링크가포함된것이발견되었다. 해당블로그에서는아래이미지와동일하게트위터에등록되어있는개인사용자들에게직접전달되는다이렉트메시지가전송되었다. 세상에서가장안전한이름안철수연구소 07

그러나실제전송되는네트워크패킷 (Network Packet) 을분석해보면아 래이미지에서와같이사용자계정과암호는그대로특정시스템으로전 송이되는것을확인할수가있었다. [ 그림 3-6] 다이렉트메시지 해당메시지에는일반적으로트위터사용자들이많이사용하는단축 URL(URL Shortening) 기법이적용된웹사이트링크가포함되어있었다. ASEC에서는다이렉트메시지로전달된해당단축 URL을분석한결과, 해당웹사이트링크를클릭하게되면아래이미지와같이허위로작성된트위터사용자로그인웹사이트로연결이된다. [ 그림 3-9] 패킷분석결과 해당트위터피싱웹사이트와사용자계정과암호가전송되는시스템은중국허베이 (Hebei) 에위치하고있어탈취된개인정보가중국으로전송된것을알수가있다. 이번트위터에서발생한단축 URL을통한피싱웹사이트연결은일부보안업체에서우려한바와같이소셜네트워크사이트 (Social Network Site) 들안에서단축 URL로인해피싱이나악의적인웹사이트로연결하여악성코드를유포하는등의보안위협이발생할수있다는것을증명한사례로볼수있다. 이렇게소셜네트워크사이트들에발생할수있는악의적인웹사이트접속으로인해피해가발생할수있음으로소셜네트워크사이트내부에서잘모르는사용자가전송한단축 URL은함부로클릭하지않는주의가필요하다. [ 그림 3-7] 로그인을유도하는피싱사이트 해당웹사이트를통해사용자계정과암호를실제로입력하게되면아래 이미지에서와같이웹페이지를표시할수없다는오류가발생하게된다. 따라서, 사이트가드 (SiteGuard) 와같은웹브라우저보안제품과백신을 시스템에설치하여사전에이러한보안위협으로인한피해를사전에예 방하는것이중요하다. [ 그림 3-8] 로그인시발생하는오류창 AhnLab SiteGuard Pro 08 ASEC Report _ 2010. Vol.02