F O C U S 3 홈페이지를통한악성코드유포및대응방안 FOCUS 고민석 *, 김홍석 **, 이용준 ***, 박정환 **** 최근홈페이지, 웹하드등을해킹하여악성코드를은닉시킴으로써, 접속하는이용자PC를악성코드에감염시키는피해가증가하고있다. 홈페이지, 웹하드는이용자접속이많아

F O C U S 3 홈페이지를통한악성코드유포및대응방안 고민석 *, 김홍석 **, 이용준 ***, 박정환 **** 최근홈페이지, 웹하드등을해킹하여악성코드를은닉시킴으로써, 접속하는이용자PC를악성코드에감염시키는피해가증가하고있다. 홈페이지, 웹하드는이용자접속이많아악성코드유포가용이하다는점때문에해커는최대한많은접속자를악성코드에감염시켜금융정보를탈취하거나, APT공격의전단계로써정보수집을목적으로한다. 본고에서는최근홈페이지를통한악성코드유포로인한문제점과이에대한기술적대응방안을제시하고자한다. Ⅰ. 서론 Ⅱ. 홈페이지를통한악성코드유포공격유형 1. 홈페이지은닉악성코드유포 2. 웹하드전용프로그램위 변조악성코드유포 Ⅲ. 홈페이지유포악성코드탐지기술 1. 홈페이지유포악성코드탐지 2. 웹하드전용프로그램위 변조탐지 Ⅳ. 최근홈페이지유포악성코드유포동향분석 1. 홈페이지악성코드유포동향 2. 웹하드악성코드유포동향 Ⅴ. 홈페이지유포악성코드유형분석및대응방안 1. 홈페이지유포악성코드목적 2. 홈페이지유포악성코드대응방안 **** 한국인터넷진흥원침해사고탐지팀선임연구원 (mskorea@kisa.or.kr) **** 한국인터넷진흥원침해사고탐지팀선임연구원 (milleniumkhs@kisa.or.kr) **** 한국인터넷진흥원침해사고탐지팀책임연구원 (yjlee@kisa.or.kr) **** 한국인터넷진흥원침해사고탐지팀팀장 (pjh@kisa.or.kr) 41

Ⅰ. 서론 최근국내인터넷이용자수는 4천만명이넘는것으로집계되었다. 인터넷이용자수가증가함에따라서홈페이지를통한악성코드가증가하고있는실정이다. 홈페이지통한악성코드유포공격은취약점이있는이용자PC 환경으로홈페이지접속시취약점에따라서웹프로그램에숨겨진악성스크립트가실행되면서악성코드에감염시킨다. 특히웹하드전용프로그램이경우는웹하드서비스전산망을해킹한후전용프로그램을위 변조시켜악성코드를유포하여, 전용프로그램업데이트를실행한모든이용자는정상적인전용프로그램으로인지하고자동적으로악성코드에감염되는피해를드러냈다. 이에본고에서는홈페이지를통한악성코드유포현황을분석하고, 악성코드를탐지하는기법및분석사례를기초하여최근유포동향과대응방안을조망해보기로한다. Ⅱ. 홈페이지를통한악성코드유포공격유형 1. 홈페이지은닉악성코드유포 기존해킹공격은저장매체, 이메일, 전산망등해킹을통해악성코드유포를하였으나, 최근에는이용자접속이많은홈페이지통한악성코드유포가주된유포경로로써악용되고있다. 홈페이지통한악성코드유포공격은취약점이있는이용자PC 환경으로홈페이지접속시취약점에따라서웹프로그램에숨겨진악성스크립트가실행되면서악성코드에감염시키는방식이다. [ 그림 1] 동향보고서와같이, 홈페이지악성코드유포를위해악용되는취약점은운영체제, 응용프로그램등취약점을악용하여비정상적으로우회하는것으로자바어플리케이션, 문서편집기 ( 한글, 워드 ), 문서뷰어 ( 어도비아크로벳 ), 인터넷브라우져, 플래쉬플레이어, 동영상플레이어등이대표적이다. 이러한 PC환경취약점을악용하여악성스크립트실행시켜악성코드에감염시키는공격기법을 DBD(Drive By Download) 공격기법 1 이라고한다. [ 그림 2] 와같이 DBD 공격은해 1 해커가홈페이지를해킹한후, 취약점에따른공격코드가있는악성스크립트를은닉시키고, 취약한 PC 환경의이용자가접 42 INTERNET & SECURITY August 2014

(: ) P F 플 시 Java <Cisco, 악성스크립트취약점동향 ( 13 년 )> <FireEye, 악성스크립트취약점동향 ( 13 년 )> [ 그림 1] 글로벌보안기업악성스크립트취약점동향보고 [ 그림 2] DBD(Drive By Download) 공격기법 커가이용자접속이많은홈페이지를해킹한후, 악성스크립트를삽입시킴으로써변조된홈페이지에접속한이용자는스스로인지하지못한채악성코드에감염되게된다. [ 그림 3] 과같이, 특정홈페이지에이용자가접속하게되면취약점에따른공격코드가숨겨진악성스크립트 (javascript.js) 가실행되면서, 이용자PC에파밍형악성코드 (kara.exe) 에감염되도록한다. 감염된이용자PC의공인인증서유출및호스트파일이변조시켜검색창에서위조금융사이트를노출시켜, 금전적피해를발생시킨다. 속할경우이용자동의없이접속한 PC 에악성코드가다운로드되어설치되는공격기법 3 홈페이지를통한악성코드유포및대응방안 43

< 취약점공격코드가은닉된악성스크립트 > < 파밍형악성코드감염된 PC 의변조된검색창 > [ 그림 3] 홈페이지유포파밍형악성코드감염사례 < 정 금융사이트 > < 사기금융사이트 > < 개인정보 유 > < 금융정보 유 > [ 그림 4] 파밍형악성코드감염이후금융정보탈취과정 [ 그림 4] 와같이금융기관을사칭하는홈페이지는정상홈페이지와구분이되지않아, 파 밍형악성코드에감염된이용자는구분이힘들게되어, 개인정보및금융정보를입력하는유 도창을통해금융거래에필요한추가적인금융정보를탈취하는데악용된다. 44 INTERNET & SECURITY August 2014

2. 웹하드전용프로그램위 변조악성코드유포 웹하드전용프로그램은공유된컨텐츠를제공받기위해서는이용자가필수적으로설치하 는프로그램으로써, 해커가웹하드전산망을해킹하여전용프로그램을위 변조시킨피해사례가발생하였다. 이렇게위 변조된전용프로그램에는악성코드가삽입되어있으며, 전용프로그램업데이트를실행한모든이용자는정상적인전용프로그램으로인지하고자동적으로악성코드에감염된다. 이용자 PC환경이보안패치, 백신등의보안조치가완벽하더라도위 변조된전용프로그램을업데이트한경우무조건악성코드에감염되고, 감염된 PC는디도스공격에악용되는등추가적인피해가발생하였다. 이용 웹하드. 정 정 정 홈페이지 [ 그림 5] 13 년 6 25 사이버공격시웹하드전용프로그램위 변조사례 [ 그림 5] 는 13 년 6 25 사이버공격의사례로써, 이용자접속이많은웹하드전용프로그램 을해킹하여위 변조함으로써, 전용프로그램업데이트이용자에게악성코드를감염시키고, 국가기관 DNS 서버에디도스공격을일으키는데악용된사례이다. 3 홈페이지를통한악성코드유포및대응방안 45

Ⅲ. 홈페이지유포악성코드탐지기술 1. 홈페이지유포악성코드탐지 홈페이지유포악성코드를탐지하는방식으로는정적분석방식과동적분석방식으로나누어진다. 정적분석은점검대상홈페이지웹프로그램을크롤러를통해수집하여, 해당소스내에악성링크가있는지를검색하는방식이다. 이때탐지패턴으로악성링크가사용되며, 악성링크는국내 외를통해공유 수집하여분석한악성코드유포지또는악성스크립트문자열로써탐지가가능하다. 정적분석방식인기등록된탐지패턴으로점검하기때문에속도가빠르지만, 등록되지않은신종악성코드는탐지하지못하는한계가있다. 대부분의해커는기존에사용하는악성코드를일부바꾸어서지속적으로배포하는특성이있기때문에많은악성코드를수집하고탐지패턴으로만드는것이중요하다. [ 그림 6] 과같이 KISA는국내 250만개홈페이지를대상으로웹프로그램내악성링크가은닉되어있는지를탐지하고, 악성코드를수집 분석하여국내인터넷이용자가해당명령제어서버 (C&C) 에접속되지않도록차단하며, 악성링크가은닉된홈페이지운영자에게삭제요청등의기술지원을실시하고있다. 홈페이지 (25 ) [ 그림 6] KISA, 250 만개국내홈페이지정적분석방식 46 INTERNET & SECURITY August 2014

악성코드가은닉된홈페이지를동적분석하는방식으로는이용자 PC 환경을가상화환경으 로구성하고다양한취약점을노출시켜, 홈페이지를접속함으로써비정상적인레지스트리 변경, 악성코드다운로드, 명령제어서버접속등악성행위를분석하는탐지기법이다. 동적기 법은 PC이용자환경에대한행위분석이라고도하며, 탐지패턴을이용하지않기때문에신종악성코드탐지가가능하나상대적으로분석속도가느린특징을가진다. [ 그림 7] 과같이 KISA는웹하드, 쇼핑몰등이용자접속이많은국내 50만개홈페이지를대상으로동적분석을점검하고있으며이를통해신종악성코드를탐지하여명령제어서버 (C&C) 신속차단등후속조치를수행하고있다. [ 그림 7] KISA, 국내 50 만개주요홈페이지동적분석방식 2. 웹하드전용프로그램위 변조탐지 웹하드전용프로그램위 변조를통한악성코드유포의경우, 업데이트한이용자 PC 전체가악성코드에감염되기때문에실시간적인위 변조여부탐지가중요하다. [ 그림 8] 과같이웹하드전용프로그램위 변조탐지를위해서웹하드관리자는업데이트하기전에 KISA 의탐지시스템에등록을한후전용프로그램을배포한다. 점검시스템은실시간으로이용자 PC에배포되는전용프로그램과등록된전용프로그램의해쉬값을비교함으로써위 변조를신속히탐지할수있다. 3 홈페이지를통한악성코드유포및대응방안 47

웹하드 이용 [ 그림 8] KISA, 웹하드전용프로그램위 변조탐지방식 Ⅳ. 최근홈페이지유포악성코드유포동향분석 1. 홈페이지악성코드유포동향 < 표 1> 도표를보면 KISA 탐지한 14.7월까지홈페이지악성코드유포현황을보면총 6,916건으로악성코드경유지 2 5,540건, 유포지 3 1,376건으로나타났다. 탐지건수가높은 1월, 7월은웹호스팅업체를대상으로대량악성코드유포, 금융탈취형악성코드유포로탐지건수가높게나타났다. < 표 2> 에서보듯이, 악성코드유포지 1,376건에삽입된악성스크립트를분석을통해공격툴킷으로자동화된악성스크립트를생성하여은닉시킨건수가 757건으로 55% 를차지하는것으로나타났다. 대표적인공격툴킷은 Gongda( 중국 ), CKVip( 중국 ), Redkit( 러시아 ), BlackHole( 러시아 ) 순으로분석되었다. 이러한특징은해커가무차별적으로취약점악성코드를홈페이지에은닉시키기위해자동화된툴을활용하는특징을보이고있다. 중국, 러시 2 홈페이지방문자를유포지로자동연결하여악성코드를간접유포하는홈페이지 3 홈페이지방문자에게악성코드를직접유포하는홈페이지 48 INTERNET & SECURITY August 2014

< 표 1> 2014 홈페이지유포악성코드탐지현황 구분 1 월 2 월 3 월 4 월 5 월 6 월 7 월합계 경유지 1,203 600 799 573 418 671 1,276 5,540 유포지 244 190 283 204 177 117 161 1,376 1,500 1,203 1,276 1,000 600 7 573 671 500 244 1 0 283 204 418 177 117 161 0 1 월 2 월 3 월 4 월 5 월 6 월 7 월 유지 유포지 < 표 2> 유포지에악용된공격툴킷 구분 1월 2월 3월 4월 5월 6월 7월 합계 Gongda( 중국 ) 117 65 118 67 29 23 1 420 CK Vip( 중국 ) 26 25 52 52 30 14 63 262 RedKit( 러시아 ) 10 5 4 4 18 5 2 48 BlackHole( 러시아 ) 4 9 2 4 6-2 27 합계 157 104 176 127 83 42 68 757 200 180 160 140 500 400 420 120 100 80 300 262 60 40 200 20 0 1월 2월 3월 4월 5월 6월 7월 100 48 27 Gongda CKVip BlackHole RedKit 0 on da CK ip edki Black ole 3 홈페이지를통한악성코드유포및대응방안 49

아에서주로제작된공격툴킷은자바, 플레시플레이어, 인터넷익스플로러등다양한취약점악성스크립트를손쉽게생성할수있어그피해가증가하고있다. < 표 3> 과같이, 악성코드유포지에삽입된악성스크립트분석을통해악용된취약점은 Java Applet 취약점, 4 Adobe Flash Player 취약점, 5 MS XML 취약점, 6 MS IE 취약점 7 순으로나타났다. 특히글로벌보안기업의동향보고서와유사하게 Java 애플릿취약점은전체취약점의 59% 로가장높게확인되었다. MS 관련취약점의경우는 14.4월윈도우 XP의기술지원종료를선언하였으나국내는윈도우XP 점유율이 24.82% 8 차지하고있으며, MS IE 11이하버전사용률이 IE 8(21.56%), IE 9(9.06%), IE 10(6.26%) 9 으로이러한취약점패치뿐아니라운영체제, 어플리케이션업그레이드가필요하다. < 표 3> 유포지에악용된취약점 구분 1월 2월 3월 4월 5월 6월 7월 합계 Java Applet 264 246 352 248 158 106 96 1,470 Adobe Flash Player 69 66 97 93 59 36 97 517 MS XML 57 61 97 93 59 36 102 505 MS IE 54 49 74 62 39 25 48 351 직접다운로드 6 24 11 13 11 11 17 93 합계 450 446 631 509 326 214 360 2,936 400 350 300 250 200 150 50 0 1 2 3 4 5 6 7 IE 취약점 6 S 취약점 7ava 취약점 5 Flash Player 취약점 25 로드 3 ava 취약점 5 직접다운로드 MSXML Adove Flash Player MSIE Java Applet 4 Java Applet 취약점 : 웹페이지에서실행되는자바프로그램취약점 5 Adobe Flash Player 취약점 : 웹브라우저에서비디오, 애니메이션등을실행시키는어플리케이션취약점 6 MS XML 취약점 : MS IE( 웹브라우저 ) 에서사용되는 XML 개발언어해석도구취약점 7 MS IE 취약점 : MS IE( 웹브라우저 ) 취약점 8 http://marketshare.hitslink.com/operating System 9 http://marketshare.hitslink.com/browsers 50 INTERNET & SECURITY August 2014

< 표 4> 와같이, 홈페이지에유포된악성코드분석을보면, 금융정보유출, 파밍형악성코 드, 원격제어, 드룹퍼, PC 정보유출순으로나타나고있다. 전자금융사기를목적으로하는 금융정보유출, 파밍형악성코드는전체악성코드 497 건중에 280 건으로 63% 를차지하고 있다. < 표 4> 유포지에악용된취약점 구분 1월 2월 3월 4월 5월 6월 7월 합계 금융정보유출 11 25 42 51 30 24 31 214 파밍형악성코드 19 18 20 - - - 9 66 원격제어 3 7 7 10 9 11 16 63 드롭퍼 22 8 7 7-2 1 47 개인정보유출 2 9 9 8 5 1 5 39 기타 3 14 11 12 14 2 12 68 합계 60 81 96 88 58 40 74 497 120 100 80 60 40 개인정보유 드 기 14 금융정보유 50 20 0 1 2 3 4 5 6 7 금융정보유출 파밍형악성코드 원격제어 드롭퍼 개인정보유출 기타 원격 13 파밍형악성코드 13 2. 웹하드악성코드유포동향 이용자방문이높은웹하드의경우주말기간에콘텐츠공유목적으로접속한이용자를대상으로악성코드를유포하는경우가많았으며, 웹하드웹사이트뿐아니라전용프로그램위 변조를통해직접적으로악성코드를유포하는등의피해를보이고있다. 웹하드이용자도이러한피해를인지하고웹하드에접속하는경우에보안패치, 백신등안전한조치가필요함을 3 홈페이지를통한악성코드유포및대응방안 51

인지해야한다. < 표 5> 웹하드웹사이트 전용프로그램악성코드유포현황 구분 1월 2월 3월 4월 5월 6월 7월 합계 웹사이트 22 22 40 15 33 4 11 147 전용프로그램 2 3 5 Ⅴ. 홈페이지유포악성코드유형분석및대응방안 1. 홈페이지유포악성코드목적 홈페이지를통해악성코드를유포하는해커의목적은금융정보탈취, 워터링홀공격 ( 특정타겟 ) 이주된목적으로나타나고있으며, 효율적으로악성코드를유포하기위해서이용자방문이많은홈페이지, 사회적이슈관련홈페이지, 웹호스팅서버를대상으로하는공격의특징을나타내었다. 1) 금융정보탈취용악성코드유포최근다양한금융정보탈취용악성코드가진화하여유포되고있다. 14.7월까지 KISA에서홈페이지를통한금융정보유출형악성코드는전체악성코드 497건중에 280건으로 56% 를차지하고있다. 금융정보유출형악성코드는호스트파일변조하는파밍형악성코드, 공인인증서탈취목적으로하여, 추가적인금융관련정보를수집을통해전자사기를주목적으로하는것으로타나났다. 2) 워터링홀 ( 특정타겟 ) 공격워터링홀공격은홈페이지에접속하는특정사회적그룹을대상으로악성코드를유포하는것으로 14년에는의료인관련협회, 노동조합등을대상으로하는악성코드유포가탐지되었다. 이러한공격의경우는특정사회적그룹에대한추가적인 APT공격등을목적으로하기때문에이에대한보안이필요하다. 52 INTERNET & SECURITY August 2014

3) 이용자가방문이많은홈페이지 해커입장에서는이용자방문이많은홈페이지에악성코드를유포해야최대한많은이용 자를감염시킬수있는효율성을가지고있다. 14.7 월까지일기예보 (1 월 ), 유명블로그 (2 월 ), 광고이벤트 (3 월 ), 유명블로그 (4 월 ), 유명온라인서점 (5 월 ), 배너광고 (6 월 ), 언론사 (7 월 ) 등으 로언론, 광고, 쇼핑몰등으로이용자방문이높은홈페이지를타켓으로하는공격이많았다. 4) 사회적이슈관련악성코드유포 14년에 6.4 지방선거관련한후보자홈페이지 (6월), 유명여행사홈페이지 (7~8월), 교황방문관련기독교홈페이지 (8월) 등으로사회적이슈에따라서이용자방문이많은홈페이지에대한악성코드유포도변화하는것으로분석되었다. 5) 웹호스팅해커가개별홈페이지에대한공격에서웹호스팅서버를직접공격하는변화가있었다. 이러한원인은웹호스팅서비스특성상서버에복수의홈페이지을운영하고있기때문에, 해킹에성공하면해당서버의전체홈페이지에악성코드유포가가능하기때문이다. < 표 6> 과같이유포기간이단기간에비해해당웹호스팅서버홈페이지가대량으로악성코드유포하는것을확인할수있다. < 표 6> 웹호스팅통한악성코드유포사례 웹호스팅업체 유포기간 악성코드탐지 ( 건 ) H사 2014.7.8~7.9(2일 ) 551 S사 2014.7.18(1일 ) 156 N사 2014.3.3(1일 ) 100 B사 2014.2.25~2.27(3일 ) 87 A사 2014.6.24(1일 ) 79 2. 대응방안 홈페이지를통한악성코드유포에효율적으로대응하기위해서는홈페이지운영자는웹보 3 홈페이지를통한악성코드유포및대응방안 53

안인식제고, 웹보안기술도입, 홈페이지보호조치이행등이필요하다. 또한이용자는홈페 이지를통한악성코드의심각성을인지하고스스로보안조치등을하여전반적인홈페이지를 통한악성코드대응이요구된다. 1) 웹보안인식제고해커에의해웹서버를장악된홈페이지운영자는피해자이기도하지만, 방문하는이용자에게악성코드를유포하는가해자가되기도한다. 따라서기본적으로운영하는홈페이지에접속하는이용자를보호하기위해서는기본적인보안패치, 백신등의보호조치등의의무를지켜야한다. 또한소프트웨어개발자부터사전에웹취약점을제거하기위해지속적인노력이필요하다는것을인지해야한다. 따라서웹보안은비용이아니라물리적시설물처럼최소한투자가필요하다는인식으로의전환이필요하다. 2) 웹보안기술도입홈페이지를대상으로하는악성코드는점자지능화되고있기때문에, 홈페이지운영자스스로웹취약점점검등을정기적으로수행하여사전에해커에의한공격을방지해야하며, 웹방화벽등과같은웹보안도구를설치하여악성코드유포를정기적으로점검해야한다. 만약홈페이지운영기관에보안인력이없다면외부보안전문업체를통해서라도반드시정기적인점검및지속적인피드백이필요하다. 3) 홈페이지보호조치이행최근홈페이지를통한악성코드를탐지하고삭제조치및재발방지를위한요청에도불구하고지속적으로무응답이거나악성코드유포가재발하는사례가있다. 최소한홈페이지운영기관은외부로부터탐지된악성코드를신속하게삭제하기위해지원을아끼지말아야하며, 재발방지를위한해킹사고분석, 웹보안보호조치등을제공해야한다. 4) 이용자보안조치악성코드가숨겨진홈페이지에접속하더라도보안패치, 백신등이보안조치를하는경우는악성코드감염이되지않을수있다. 또한이용자가인식하는것보다웹하드, 쇼핑몰등이용자접속이많은홈페이지를통한악성코드가심각하며이를통해서금융정보탈취, 특정 54 INTERNET & SECURITY August 2014

그룹에대한타겟공격등의시도가지속되고있기때문에이용자스스로최소한의보호조치 등을취해야한다. 지금까지최근홈페이지를통한악성코드유포동향및대응방안에대하여살펴보았다. 최근의분석사례를보면향후금전적이익을위한금융탈취용공격과특정그룹을타겟으로하는워터홀공격이더욱거세질것으로예측된다. 또한홈페이지를통한신종악성코드를신속히발견할수있는탐지기술개발과국내외기관들의협력체계를마련하여악성코드확산방지, 사용자의보안의식고취와웹보안서비스강화가필요한시점이다. 참고문헌 시만텍. 2013년공격킷및악성웹사이트에관한보고서 시스코 (2014). 2014 연례보안보고서 안랩. 2014년상반기보안동향 트랜드마이크로 (2014). 시한폭탄기능을탑재한 RAT PlugX, C&C 설정다운로드에드롭박스악용 한국은행 (2014). 공보 2014-8-10호 2014년 2/4분기국내인터넷뱅킹서비스이용현황 KISA (2013). Cyber Security Issue 10월동향 KISA (2014). 대규모악성코드유포동향분석 KISA (2014). 최근사이버공격동향정보공유세미나 3 홈페이지를통한악성코드유포및대응방안 55