Ⅰ. 이달의 보안 동향 1. 악성코드 동향 아래 표는 악성코드의 주요 동향을 파악하기 위하여, 악성코드별 변종을 종합한 악성코드 대표진단명 감염보고 Top20이다. 악성코드 통계 2010년 10월 악성코드 통계현황은 다음과 같다. [표 1-2] 악성코드 대표진단명 감염

Ⅰ. 이달의 보안 동향 1. 악성코드 동향 아래 표는 악성코드의 주요 동향을 파악하기 위하여, 악성코드별 변종을 종합한 악성코드 대표진단명 감염보고 Top20이다. 악성코드 통계 2010년 10월 악성코드 통계현황은 다음과 같다. [표 1-2] 악성코드 대표진단명 감염보고 Top 20 2010년 10월의 감염보고 건수는 Win-Trojan/Agent가 총 856,917건 [표 1-1] 악성코드 감염보고 Top 20 으로 Top20중 14%의 비율로 1위를 차지하고 있으며, Win32/Parite이 820,974건으로 2위, Win-Trojan/Onlinegamehack이 672,577건으로 3 2010년 10월의 악성코드 감염 보고는 Win32/Parite이 1위를 차지하고 위를 차지 하였다. 있으며, TextImage/Autorun과 JS/Cve-2010-0806가 각각 2위와 3위 를 차지 하였다. 신규로 Top20에 진입한 악성코드는 총 9건이다. 아래 차트는 고객으로부터 감염이 보고된 악성코드 유형별 비율이다. [그림 1-1] 악성코드 유형별 감염보고 비율 AhnLab Policy Center 4.0 세상에서 가장 안전한 이름 안철수연구소 01

2010년 10 월의감염보고건수는악성코드유형별로감염보고건수비율은트로잔 (TROJAN) 류가 46.1% 로가장많은비율을차지하고, 웜 (WORM) 이 12.7%, 바이러스 (VIRUS) 가 12.1% 의비율을각각차지하고있다. 아래표는 10 월에신규로접수된악성코드중고객으로부터감염이보고 된악성코드 Top20 이다. [ 그림 1-2] 악성코드유형별감염보고전월비교 악성코드유형별감염보고비율을전월과비교하면, 트로잔, 웜, 바이러스, 드롭퍼 (DROPPER) 가전월에비해증가세를보이고있는반면스크립트 (SCRIPT), 애드웨어 (ADWARE), 애프케어 (APPCARE), 다운로더 (DOWNLOADER), 스파이웨어 (SPYWARE) 는전월에비해감소한것을볼수있다. [ 표 1-3] 신종악성코드감염보고 Top 20 10 월의신종악성코드감염보고의 Top 20 은 Win-Trojan/Agent.36864. BSD 가 127,643 건으로전체 17.2% 를차지하여 1 위를차지하였으며, JSP/Agent 가 120,419 건 2 위를차지하였다. [ 그림 1-3] 악성코드월별감염보고건수 10 월의악성코드월별감염보고건수는 11,735,344 건으로 9 월의악성코 드월별감염보고건수 12,133,061 건에비해 397,717 건이감소하였다. [ 그림 1-4] 신종악성코드유형별분포 10 월의신종악성코드유형별분포는트로잔이 76% 로 1 위를차지하였 다. 그뒤를이어애드웨어가 6%, 드롭퍼가 4% 를각각차지하였다. 악성코드이슈 스턱스넷 (Stuxnet) 웜의전용백신으로위장한악성코드등장 AhnLab V3 MSS 스턱스넷웜에대한소식이언론에알려지면서해당악성코드의파괴력 과잠재적인위협이연일매스컴을타고있다. 이에뒤질세라이를교묘히 02 ASEC Report _ 2010. Vol.10

이용한가짜전용백신형태의악성코드 (Win-Trojan/Deltree.75776.C) 가등장하였다. 해당악성코드는다음과같은아이콘을가지고있다. 그리고마이크로소프트 (Microsoft) 사에서제작한것처럼자신을위장하고있다. [ 그림1-5] 가짜 Stuxnet 웜전용백신아이콘악성코드가실행되면다음과같은내용을같고있는특정한배치파일을실행하여 C:\ 드라이브내파일을모조리삭제하도록한다. 따라서재부팅시정상적으로부팅이되지않을수있다. 메시지본문을 JPEG 로처리하는것은일반적으로안티스팸솔루션을회피하는목적으로종종사용된다. 첨부된파일은 Dropper/Malware.178176.AB 로진단된다. 실행이된경우루마니아를거쳐독일에위치한특정시스템으로부터가짜백신을다운로드하여설치하게된다. 일반적으로국내에서는영어로된제목과본문을갖는메일은거부감을갖게되는게일반적이다. 따라서이러한메일을받았을때첨부파일을실행해보는사람은많지않을것이라고추정할수있다. 하지만가짜백신을설치하여금적적인이익을노리는악성코드제작자들은이미가짜백신이라는검은시장이그들간의경쟁심화와함께포화상태에이르고있다라는것을느끼고있을지도모른다. 이들이스스로자멸을할지아니면온라인게임의사용자계정을탈취하는트로이목마처럼특정유형의형태만계속살아남을지아직은미지수이다. 그러나그들의치열한경쟁구도속에이미어설프지만한글로번역된가짜백신도나온만큼더욱더정교한형태의한글화된허위메일과가짜백신이우리에게피해를입힐지도모르는만큼출처가불분명한메일에는보다더주의를기울일필요가있다. 국내에감염보고가많았던패리티 (Parite) 와팔레보 (Palevo) [ 그림1-6] 가짜스턱스넷웜전용백신이수행하는배치명령스턱스넷웜에대한위협이알려지면서이를예방하거나감염된사실을확인하려는시도가증가하였다. 이러한틈을노리고가짜전용백신이나와오히려시스템에피해를주고있다. 우리가쉽게지나치는보안상식중하나는공식적으로안티바이러스업체에서는전용백신을메일에첨부하여고객에게대량으로발송하거나자신의홈페이지가아닌출처가불분명한웹사이트에업로드하지않는다는것이다. 따라서사용자들은전용백신을다운로드받기전반드시파일이업로드된위치가안티바이러스홈페이지인지그리고공신력이있거나믿을만한곳인지한번쯤확인하시길바란다. 이번달 10월초와중순 Win32/Parite 와 Win32/Palevo.worm.Gen 바이러스의감염보고건수가일시적으로급격히증가하였다. 특히 Parite 바이러스는이미발견보고가있은지 8년도넘은오래된 ( 파일감염형악성코드 ) 바이러스이다. 수집된감염된파일을확인해보니이바이러스에감염된파일을국산애드웨어에많이감염이되어있었다. 감염추이는다음과같다. 메일본문이이미지로제작된허위 USPS 운송메일유포 궁극적으로가짜백신설치를목적으로하는형태의허위 USPS(United States Postal Service) 운송메일로위장한악성코드가발견, 보고되었다. 기존에알려진 Oficla 악성코드변형은메일제목으로 USPS Delivery Problem NR[ 임의의숫자 ] 를가지고있으며메일본문에는 xxs664.jpg(27,692 바이트 ) 의 JPEG 파일로처리하여다음과같은형태를가지고있다. [ 그림1-7] 허위 USPS 운송메일로위장한악성코드의 JPEG 형태본문 [ 그림1-8] Win32/Parite 바이러스증가건수 2010년 10월15일에고점을기록하고하락추세에있다. Parite 바이러스는이전에도다른악성코드가감염되어발견되거나이와비슷하게애드웨어등에감염되어배포가된사례가있었다. 이번경우에도애드웨어에감염되어일시적으로배포가된사례로파악되었다. 고의성이없다면애드웨어업체는프로그램배포전감염사실을몰랐거나백신으로검사를해보지않은것으로추정해볼수있다. 글을작성하는현재감염건수는월초와크게다르지않는것으로파악되었다. 두번째는 Palevo 웜의급격한증가였다. 10월7일에는평소와다르게급격히증가한모습을그래프를통해서알수가있다. 세상에서가장안전한이름안철수연구소 03

아래의그림은 V3 Mobile 제품에서 Android-Trojan/SmsSend.B 진단명 으로진단된화면이다. [ 그림 1-9] Win32/Palevo.worm.Gen 증가건수 급격히증가한원인에대하여명확하지는않지만 Palevo 웜은 USB 형태의이동식디스크를통해서도전파가된다. 또한로컬드라이브에존재하는파일을삭제하여도 Explorer.exe 에삽입된악의적인스레드를제거하지않는다면지속적으로외부와통신하며 USB 삽입시복사본을감염시키고자신의다른변형을다운로드하여실행한다. 따라서추정해보면봇마스터가봇넷운영력을극대화하려고감염된기존시스템을통하여변형을유포하여일시적으로감염, 보고건수가증가한것으로추정된다. 안드로이드폰의성인동영상플레이어로위장한악성코드안드로이드OS로구동되는스마트폰에서, 어플리케이션설치시사용자에게 SMS 요금을과금시키는 PornoPlayer라는이름의악성코드가확인되었다. 해당어플리케이션은최신엔진으로업데이트된 V3 Mobile 제품에서 Android-Trojan/SmsSend.B 로진단 / 치료가능하다. 아래그림 1-10은해당악성코드가설치된화면이며, 설치된악성코드는성인동영상플레이어관련이름으로 WMP(Windows Media Player) 아이콘모양을띄고있다. [ 그림 1-10] WMP로위장한 PornoPlayer 위와같이성인동영상플레이어로위장하여설치되는악성코드는, 특정번호로 SMS 메시지를보내사용자에게요금을과금시키는기능을수행하게된다. [ 그림 1-11] PornoPlayer가진단된화면관련악성어플리케이션은 2010년 8월 10일 (Android-Trojan/Sms- Send) 에최초확인된이후로 9월 9일 (Android-Trojan/SmsSend) 과 10 월 14일 (Android-Trojan/SmsSend.B) 에추가로변종이발견되었다. 스마트폰사용자의사생활을침해하는스파이웨어스마트폰을대상으로통화내역, 문자송수신내역, 위치정보, 이메일내용등등민감한개인정보를외부로유출하는스파이웨어 (Spyware) 가해외에서개발되고판매되고있다. 이들스파이웨어는심비안 (Symbian/ Symbian9), 윈도우모바일 (Windows Mobile), 블랙베리 (BlackBerry), 아이폰 (iphone), 안드로이드 (Android) 등현재존재하는대부분의스마트폰에서사용할수있도록다양한플랫폼용버전을각각제작해서서비스하고있다. 이들스파이웨어가설치되면해당스마트폰의사용자의개인정보및사생활이모두스파이웨어제작업체로전송되고, 해당스파이웨어프로그램을구입한사용자는웹사이트에서접속해서관련내역을확인할수있다. 해외에선주로바람을피는남편과아내를감시하거나직원감시, 자녀보호. 스마트폰데이터자동백업등의목적으로서비스하고있다. 문제는해당스파이웨어가자신의스마트폰에설치된사실을모르고스마트폰을사용하는경우이다. 실제사용자가설치에동의하지않았음에도불구하고스파이웨어가설치되어동작하며개인의중요한정보는물론개인사생활내역을외부로유출시키는행위이므로이는불법적인행위에해당한다. 얼마전국내에서안드로이드폰용스파이웨어인 Android-Spyware/Mobilefonex가발견되었다. 이런스파이웨어가스마트폰에설치되면악성코드검사를통하지않고서는사용자가직접확인하기어려워감염사실을모른채개인정보가지속적으로유출될수있다. 또한국내에서도동일한목적으로해당스파이웨어를유포할수있으므로얼마든지피해자는발생할수있다. 따라서스마트폰전용백신을사용하여주기적으로악성코드감염여부를검사해보는것이좋다. 또 04 ASEC Report _ 2010. Vol.10

한, 탈옥(JailBreaking), 루팅(Rooting)과 같이 단말기 운영체제 소프트웨 악성코드 침해 웹사이트 현황 어를 변조하는 행위는 하지 않는 것이 바람직하다. 2. 시큐리티 동향 시큐리티 통계 10월 마이크로소프트 보안 업데이트 현황 마이크로소프트사로부터 발표된 이번 달 보안 업데이트는 총 16건이다. [그림 2-2] 월별 침해 사이트 통계 [그림 2-2]는 월별 악성코드 침해 사이트 현황을 나타낸 그래프로, 전월 에 비해 침해 사이트가 다소 감소하였다. 이번달에도 주로 ARP Spoofing 과 결합된 게임핵, 윈도우 정상 파일을 패치하는 게임핵 등이 침해 사이 트를 통해서 유포되었고 해당 악성코드 유포를 위해 MS10-018취약점 을 가장 많이 사용하였다. 보안 업데이트가 뭐죠? 라고 물어보는 무관심에서 벗어나 이제 PC [그림 2-1] 공격 대상 기준 별 MS 보안 업데이트 를 좀더 안전하고 편리하게 사용하기 위해서는 기본적으로 보안 업데이 트를 정기적으로 실시하고, 백신도 최신 엔진으로 업데이트와 함께 주기 적인 시스템 검사가 필요하다. 시큐리티 이슈 LNK 취약점(CVE-2010-2568) 이 번달 초 스턱스넷 악성코드가 국내외에서 큰 이슈가 되었다. 스턱스 넷 악성코드가 사용한 여러 취약점 중 LNK(CVE-2010-2568) 취약점에 대한 내용을 보고자 한다. LNK(CVE-2010-2568) 취약점을 이용하여 윈 도우 탐색기로 LNK Shortcut File(바로가기 파일)이 위치한 디렉터리를 열기만 하면 바로가기 파일이 자동으로 실행이 된다. [표 2-1] 2010년 8월 주요 MS 보안 업데이트 이번 달은 다수의 원격 취약점에 대한 업데이트를 포함하여, 시스템 6 [그림 2-3] 악성 Shortcut 파일의 구조 건, IE 2건, 오피스 2건, 어플리케이션 4건, 서버 2건에 대한 업데이트가 진행되었다. 세상에서 가장 안전한 이름 안철수연구소 05

LNK 취약점은바로가기파일의 idlcon의값이 0으로셋팅되어지면바로가기파일의 Path에나와있는 DLL파일을 Load하여실행된다. [ 그림 2-4] 악성 Shortcut 파일의실행모습 SHELL32!_imp_LoadLibraryW 함수를시작으로바로가기파일의 Path 에 DLL 파일을 Load 하여실행하게된다. [ 그림 2-5] USB 매체를이용한악성 Shortcut 파일의 Path MS10-018 취약점공격악성코드증가 2010년 3월 9일타켓공격 (Targeted Attack) 형태로악용되어제로데이 (Zero-Day, 0-Day) 취약점이었던마이크로소프트 (Microsoft) 의 MS10-018 인터넷익스플로러 (Internet Explorer) 누적보안업데이트 (980182) 를악용한악성코드가 10월 1일을기준으로한국에서다시증가하고있는것으로 ASEC에서파악하였다. 해당 MS10-018 취약점을제거할수있는보안패치는 3월 31일마이크로소프트에의해제공되고있으며웹브라우저취약점을악용하는악성코드감염수치가증가하고있다는것은한국내컴퓨터사용자들이방문하는다수의웹사이트들이 SQL 인젝션 (Injection) 과같은공격으로인해악성코드유포에악용되고있는것으로볼수있다. V3에서는 MS10-018 취약점을악용하는자바스크립트 (Java Script) 형태의악성코드를 JS/CVE-2010-0806으로진단하며 AMP(AhnLab Malicious code Processing system) 을통해집계된피해건수는아래그래프와동일하다. 일반적으로 USB 매체를이용하는바이러스는 autorun.inf를이용하였는데, 이번에는 LNK 취약점을이용한바로가기파일과악성코드를 USB 루트 (Root) 디렉터리에넣고사용자가윈도우탐색기로 USB 루트디렉터리를열면자동실행이되도록하여 USB 매체를통해전파하도록하였다. 9월 0-Day로발표된 LNK Shortcur File 취약점은여러악성코드로배포되고있으며, 현재는 Microsoft에서패치가이루어진상태다. Firefox 0-Day 취약점 (CVE-2010-3765) 노벨평화상웹사이트에서 Firefox에존재하는알려지지않은 0-Day 취약점을악용하여악성코드를유포한사고가발생하였다. [ 그림 2-6] Firefox 0-Day 취약점을이용한쉘코드부분 [ 그림 2-8] JS/CVE-2010-0806 10월 1일기준피해건수해당피해건수그래프를살펴보면 9월 28일약 14,000건으로급증하기시작하여 9월 29일과 9월 30일에는각각약 20,200건그리고약 19,000 건으로지속되고있다. 해외보안업체의동향들을살펴보아도 6월과 7 월부터해당 MS10-018 취약점을악용하는스크립트형태의악성코드가증가하고있음을알수있다. 웹브라우저의취약점을악용하는 JS/ CVE-2010-0806와같은악성코드는대부분이개인정보유출또는원격제어기능을포함하고있는다른악성코드들의다운로드에악용되는것이일반적인형태임으로해당스크립트악성코드에감염될경우에제 2, 3의악성코드들의감염피해가우려된다고할수있다. [ 그림 2-7] 쉘코드 (Shellcode) 를이용한실행명령 이번취약점은 Heap Spray 버퍼오버플로우의이용으로쉘코드를실행시 켜악의적인행동을하게한다. 현재는패치가이루어져 Firefox 3.6.12 또 는 Firefox 3.5.15 버전으로업데이트하면예방이가능하다. AhnLab V3 Internet Security 8.0 06 ASEC Report _ 2010. Vol.10

3. 웹보안동향 월별악성코드가발견된도메인 웹보안통계 월별악성코드보안요약 악성코드발견건수는 105,947건이고, 악성코드유형은 920건이며, 악성코드가발견된도메인은 794건이며, [ 표3-1] 웹사이트보안요약악성코드발견된 URL 은 3,404 건이다. 2010년 10월은 2010년 9월보다악성코드발견건수, 유형등모든수치가증가하였다. 월별악성코드발견건수 [ 그림 3-3] 월별악성코드가발견된도메인 2010 년 10 월악성코드가발견된도메인은전달의 693 건에비해 115% 수준인 794 건이다. 월별악성코드가발견된 URL [ 그림 3-1] 월별악성코드발견건수 2010 년 10 월악성코드발견건수는전달의 85,167 건에비해 124% 수 준인 105,947 건이다. 월별악성코드유형 [ 그림 3-4] 월별악성코드가발견된 URL 2010 년 10 월악성코드가발견된 URL 은전달의 2,637 건에비해 129% 수준인 3,404 건이다. 악성코드유형별배포수 [ 그림 3-2] 월별악성코드유형 2010 년 10 월악성코드유형은전달의 857 건에비해 107% 수준인 920 건이다. [ 표 3-2] 악성코드유형별배포수 세상에서가장안전한이름안철수연구소 07

1) 주요내용 Threat Agents( 공격자 ) : 자신의계정을소유하고있는사용자이거나타인의계정을훔치려는익명의외부공격자, 자신의행위를숨기려고하는내부사용자이다. Attack Vectors( 공격경로 ) : 공격자는사용자를위장하기위해인증이나세션관리의노출또는결함 ( 노출된계정, 패스워드혹은세션 ID) 를이용한다. [ 그림 3-5] 악성코드유형별배포수악성코드유형별배포수에서트로잔 (TROJAN) 류가 38,784건전체의 36.6% 로 1위를차지하였으며, 애드웨어 (ADWARE) 류가 24,738건으로전체의 23.3% 로 2위를차지하였다. 악성코드배포 Top 10 Security Weakness( 보안취약점 ) : 개발자들은습관적으로인증및세션관리체계를자주구축하지만올바르게구축하기는어려운것이현실이다. 그결과로그아웃, 패스워드관리, 타임아웃, 사용자정보기억, 비밀번호찾기질문, 계정업데이트등이러한습관적인체계구축은종종결함을갖고있다. 또각기다르게구현되기때문에결함을찾기란쉽지않다. Technical Impacts( 기술적영향 ) : 이결함은일부혹은모든계정에대한공격을허용한다. 성공하는즉시, 해당계정이할수있는모든것을할수있기때문에특별한권한이부여된계정은자주공격대상이된다. Business Impacts( 비즈니스영향 ) : 영향을받는데이터나어플리리케이션기능의비즈니스적가치를고려한다. 또한취약점의공개적노출에대한비즈니스영향을고려해야한다. 2) 공격시나리오예 [ 표 3-3] 악성코드배포 Top 10 악성코드배포 Top10에서 Win-Adware/Shortcut.InlivePlayerActiveX.234이 15,396건으로 1위를차지하였으며, Top10에 Win-Trojan/ Npkon.53248등 5건이새로등장하였다. 웹보안이슈 OWASP 2010 TOP 3 지난 Vol.06부터 OWASP 2010 Top10을하나씩자세히살펴보고있다. 그세번째시간으로 OWASP 2010 Top 3 취약한인증과세션관리 1 공격에대해알아보자. 먼저취약한인증과세션관리공격의주요사항은다음의그림을통해알수있다. URL Rewriting을지원하고 URL 상에세션 ID가포함된항공예약어플리케이션이있다고할때, 인증된사용자가친구에게항공권예약내용을알려주고자아래 URL 링크를 E-mail을통해보낸다면, 어떤일이발생할까? http://example.com/sale/saleitems;jsessionid=2p0oc2jdpxm0oqs NDLPSKHCJUN2JV?dest=Hawaii URL의전송한사용자는그의세션 ID가노출되게되며, 수신받은친구는이 URL 링크를이용해메일을발송한사용자의세션과신용카드넘버까지확인하여추가적인행위를할수있다. 3) 대응책취약한인증과세션관리에대한대응책으로는개발자들이다음과같은사항을준수하여야한다. 강력한인증및세션관리통제의단일체계를구축해야한다. [ 그림 3-6] 취약한인증과세션개괄 1. www.owasp.com, café.naver.com/securityplus OWASP 의어플리케이션보안검증표준 (ASVS) 항목의 V2( 인증 ) 와 V3( 세션관리 ) 에정의되어있는인증및세션관리요구사항을 모두충족시켜야한다. 08 ASEC Report _ 2010. Vol.10

개발자를위한간단한인터페이스를갖추어야한다. 특히, ESAPI 인증자와사용자 API를좋은예를삼아구축시참고하여야한다. 세션 ID를도용하는데사용될수있는 XSS 취약점을막기위해노력해야한다. [Reference] OWASP OWASP 인증 Cheat Sheet ESAPI 인증자 API ESAPI 사용자 API OWASP 개발가이드 : 인증챕터 OWASP 테스트가이드 : 인증챕터 External CWE 287 항목 : 부적절한인증 AhnLab V3Net for Windows Server 7.0 세상에서가장안전한이름안철수연구소 09