ASEC Report - PDF 무료 다운로드

ASEC Report 11 월 ASEC Report 2008. 12. I. ASEC Monthly Trend & Issue... 2 (1) 악성코드 윈도우시스템파일을바꿔치기하는악성코드... 2 (2) 스파이웨어 3929.cn으로홈페이지를고정하는스파이웨어... 4 (3) 시큐리티 PDF 취약점... 7 (4) 네트워크모니터링현황 MS08-067 공격트래픽... 10 (5) 중국보안이슈 11월중국보안이슈... 13 II. ASEC 컬럼... 16 (1) 리워드프로그램은과연사용자를위한프로그램인가?... 16 (2) 인터넷도박이일반인을유혹하는방법... 26 (3) 다시강조해야하는 MS08-067 취약점패치... 31 III. ASEC 월간통계... 34 (1) 악성코드통계 트로이목마류증가세... 34 (2) 스파이웨어통계 루트킷스파이웨어... 42 (3) 시큐리티통계 - 11월시큐리티통계... 45 안철수연구소의시큐리티대응센터 (AhnLab Security Emergency response Center) 는악성코드및보안위협으로부터고객을안전하게지키기위하여바이러스분석및보안전문가들로구성되어있는조직이다. 이리포트는 안철수연구소의 ASEC에서국내인터넷보안과관련하여보다다양한정보를고객에게제공하기위하여악성코드와시큐리티의종합된정보를매월요약하여리포트형태로제공하고있다.

I. ASEC Monthly Trend & Issue (1) 악성코드 윈도우시스템파일을바꿔치기하는악성코드 ASEC report 10월호에서언급된바와같이 10월말에 MS08-067 취약점이보고되었고, zero-day attack 수준으로이를악용한악성코드가바로발견 / 보고되어이슈가되었다. 11월중에도해당취약점을이용한악성코드가다시발견되어이슈가되었고, 해당취약점을이용하는악성코드가지속적으로발견될것으로예상된다. 그리고, 미국의새대통령이당선이되면서해당뉴스거리를이용한악성코드도여러변형이보고가되었고, 국내에서는윈도우시스템파일을악성코드로바꿔치기하여정상적인윈도우기능을사용하지못하도록불편을초래하는악성코드의피해도신고되었다. 미국최초의흑인대통령관련악성코드 미국최초의흑인대통령이당선되면서이와관련된뉴스를이용하는악성코드가반짝강세 를보였다. 메일로주로전파된악성코드는주로다음과같은메일제목또는메일본문을 가지고있다. 2008 USA Government Official Web Site. Barack Obama can lost President's Chair. McCain has reached an agreement with the Obama lawyers that makes Obama resignation effective November 11. McCain Lawmakers Impeach Obama McCain Lawyer Impeach Obama! McCain video report 10 November 해당악성코드는이메일웜이아니므로자체전파력은가지고있지않았지만, 메일내에특정호스트로유도하는링크가삽입이되어있었고, 해당링크에서는플래시플레이어새로운버전을가장한파일을다운로드하도록유도하였는데, 해당파일이악성코드였다. 해당파일의대표적인악성코드진단명은다음과같다. - Win-Trojan/Papras.31232.B - Win-Trojan/Raitex.60928 - Win-Trojan/Agent.8192.BP 2

해당악성코드들은자신의파일과프로세스를숨기면서은밀하게작동하면서특정응용프 로그램들의사용자정보를가로채서외부의특정호스트로전송한다. 국제적인뉴스나문제들을가지고악성코드전파에이용되도록하는방법은매우고전적이 다. 그러나대부분의사용자들의호기심을자극하는이런내용을클릭하는순간악성코드로 부터자유롭지못하게된다. 시스템파일을바꿔치기하는악성코드 정상적인윈도우시스템파일을악성코드자신으로바꿔치기하는형태의악성코드의피해문의가증가하고있는추세이다. 특히이번달에는윈도우정상시스템파일인 rpcss.dll 파일을악성코드자신으로바꿔치기하는형태가자주보고되었다. V3에서는해당악성코드를 Win-Trojan/RpcssPatch.Gen으로 Generic하게진단하고있어변형에대한대응력을강화하였다. 해당악성코드에감염되면, 해당악성코드는윈도우파일보호기능을잠시무력화시키고윈도우시스템폴더와 dllcache 폴더에존재하는 rpcss.dll 파일을삭제하고원본은 spcss.dll 또는 srpcss.dll로변경한다. 해당 RPC 관련파일이악성코드로변경되면일반적으로파일복사, 이동및클립보드내데이터붙여넣기와같은작업을수행하지못하게되므로컴퓨터사용에불편이초래된다. 이러한악성코드들이사용하는방법을살펴보면크게다음과같다. - 파읷의읷부또는젂부를수정또는바꿔치기하는경우 - 파읷은변조하지않고메모리에로드된모듈을악성코드로바꿔치기하는경우 파일을변경하는경우쉽게진단이가능하지만메모리에로드된모듈을바꿔치기하는경우 에는일반사용자들은물론파워유저라도감염여부를쉽게확인하기어렵다. 따라서이와 같이시스템파일을변경하는증상을갖는악성코드에대한주의가필요하다. 3

(2) 스파이웨어 3929.cn 으로홈페이지를고정하는스파이웨어 Adobe Flash Player 의 SWF 취약점을이용하여설치되는애드웨어기승 11 월중순, 웹브라우저의시작페이지가 www.3929.cn 으로고정된다는신고가다수의고객 으로부터다량접수되었다. 시작페이지고정의원인은 BHO(Browser Helper Object) 로설치 된중국산애드웨어로인한것이었다. [ 그림 1-1] 3929.cn 으로고정된시작페이지 이애드웨어는해킹된웹사이트에삽입되어있는 Adobe Flash Player의 SWF 취약점을이용하는악성스크립트에의해사용자의 PC에설치되는데, 국내유명웹사이트를포함한다수의웹사이트가해킹되어애드웨어의악성코드유포경로로이용되어국내고객의피해수준은심각하였으며, 안철수연구소에서는보안위협등급을 3단계로상향조정하여대응하였다. 그런데이번사건의 SWF 취약점은사고발생이전에이미패치가존재하였으며, 사용자가 미리 Adobe Flash Player 의업데이트만실시하였다면충분히예방할수있는사고였다. 4

국산보안제품을제거하는국산애드웨어 - Win-Adware/NeSearch 바이러스나웜, 트로이목마등의악성코드가보안제품의실행을중지시키거나삭제하는경우는많이발견되고있다. 이러한악성코드의대부분은외국에서제작된것들이고, 보안제품의실행을중지시킨뒤시스템에큰문제를일으키거나게임의계정정보를탈취한다. 그런데최근국내에서제작된리워드프로그램이이와같이동작하는것이발견되었다. 진단명이 Win-Adware/NeSearch인애드웨어는다른애드웨어의번들형태로사용자의적절한동의절차없이설치되어, Internet Explorer의주소표시줄에입력되는키워드를감시하고, 키워드와관련한광고를노출하며, 쇼핑몰등에접속시제휴마케팅코드를삽입하여구매수익의일부를얻는리워드프로그램이다. Win-Adware/NeSearch는국내보안제품이자신을사용자의시스템에서제거하는것을막기위하여사용자동의없이 안철수연구소의 V3를비롯한국내주요백신들의프로세스를중지시키고제거하려는시도를한다. 물론 V3의경우자체보호기능이탑재되어있기때문에해당애드웨어의의도와는달리중지되거나제거되지않는다. 그러나일부자체보호기능이미비한보안제품의경우, 이애드웨어의의도대로사용자의 PC에서보안제품이중지혹은제거되며, 이렇게될경우사용자의 PC가악성코드로부터의보안위협에그대로노출되기때문에매우심각한문제를야기할수있다. 지속적으로 Win-Adware/NeSearch에대하여모니터링한결과, 더이상배포되지않고있는것으로추정되며 V3나스파이제로를통해전부진단치료가가능하다. 그러나앞으로이와같은악성프로그램이계속해서나올것으로예상되며보안업체뿐만아니라사용자의각별한주의가요구된다. 적절하지못한사용자동의로설치된프로그램으로인한피해증가 PC 에특정프로그램이설치되어불편을야기하게될경우, 해결법을찾기위해인터넷검색 을해보면동일한피해로인한사용자의불만글을쉽게찾아볼수있다. 최근에는리워드 프로그램의설치로인한피해와이에대한해결방안들이많이보고된다. 리워드프로그램은사용자가제휴쇼핑몰에서물건을구매하는경우추가적립금을지급해주는하나의비즈니스모델로서사용자에게많은이득을줄것같지만, 엄밀하게따져보면사용자에게주는혜택은전혀없이해당프로그램배포자만이이득을보는경우가대부분이다. 대부분의리워드프로그램이설치되어불편을겪고있는 PC 사용자들이자신이모르는사이 프로그램이설치되었다고주장한다. 반면리워드프로그램제작사는합법적으로자신의프로 5

그램을배포한다고말하고있다. 이이유는리워드프로그램이불법이라고단정할수없는방법으로사용자가쉽게인지하지못하는방법으로배포되고있기때문이다. 리워드프로그램과문제점이발생하는원인에대해서는 ASEC Report 11월첫번째컬럼 에서자세히소개한다. 6

(3) 시큐리티 PDF 취약점 지난 10월 MS08-067 서버서비스취약점이공개된후, 이를악용한사례가지속적으로보고되고있다. 원격에서공격이가능한유형의취약점은악성코드에서취약한시스템을찾는데애용되고있으며, 이러한유형에는대표적으로 DCOM, LSASS 취약점등이있다. 이에대한근본적인대응책은사용자들이자신의윈도우시스템에보안업데이트를철저하게하는것이다. 방화벽, 안티바이러스제품과같은보안제품에만의존할것이아니라주기적인보안업데이트, 강력한패스워드사용, 공유폴더사용하지않기등의기본적인수칙만지켜준다면보다안전한인터넷사용이가능할것이다. 더불어, MS 관련취약점뿐만아니라시스템에설치된다른소프트웨어의취약점은없는지도살펴보아야한다. 이번에알려진어도비 (Adobe) 사의 PDF Reader 프로그램의취약점을이용한공격이써드파티소프트웨어위협의좋은예라고할수있을것이다. 보안 이라는것은언뜻보면해야할것도많아귀찮은일이될수도있겠지만이작은노력이컴퓨터를안전하게지킬수있는최선의길이다. PDF 취약점을이용한문서자주발견 전자문서로유명한어도비사의 PDF Reader에서또다른취약점이공개되어사용자들의주의가요구된다. 이번취약점뿐만아니라이전에도몇차례관련취약점들이공개되어악의적으로이용되었는데, 이렇게어도비사의취약점이주목받는이유는전세계적으로 PDF (Portable Document Format) 라는포맷이공용화되었고사용자층이매우두텁기때문이다. 최근에공개된취약점은 PDF 파일에삽입되어실행되는자바스크립트코드중 util.printf() 처리과정에서입력값이제대로검증되지않아발생하는스택오버플로우 (Stack Overflow) 취약점이다. 조작된 PDF 파일을사용자가열어보는순간, 해당취약점을이용하여악의적인코드가실행될수있으며사용자권한을획득할수도있다. 해당취약점에영향을받는소프트웨어는 8.1.2 버전이며, 8.1.3 과 9 버전은영향을받지않는다. 해당취약점을좀더자세히살펴보면, 숫자나날짜를포맷형태로출력하고파싱하는기능에 서발생한것으로다음과같이 Utils 오브젝트에서지원하는 printf 메소드에넘겨지는인자 값이체크되지않아발생하는것이다. Util.printf( %.2f, value) 공격자가 PDF 문서에취약점을발생시킬수있는 Util.printf 를내포한 JavaScript 코드를 삽입함으로써악용할수있게된다. 취약점은 EScript.api 에서발생되는것으로실제코드 7

를보면아래와같다. 238A3A37. 57 PUSH EDI ; 전달될바이트 238A3A38. 6A 20 PUSH 20 238A3A3A. 56 PUSH ESI ; 스택오버플로우의발생지 238A3A3B. E8 4634F6FF CALL <JMP.&MSVCR80.memset> ; 버퍼오버플로우발생 취약점공개와함께이를이용할수있는공격코드 (PoC) 가이미공개되어있으므로, 이를악용할가능성은더욱높아진상태이다. 따라서, PDF 문서사용자는해당취약점에해당하는업데이트를반드시확인하고출처를알수없는 PDF 파일을열어보지않아야한다. 만약, 업데이트가힘든사용자라면 PDF Reader 옵션중자바스크립트기능을해제하는설정을 Enable 하여스크립트코드의실행을막는것도하나의방법이될수있다. 윈도우비스타 TCP/IP 스택취약점존재 최근윈도우비스타에서임의의코드를실행할수있는취약점이오스트리아의한연구자에의해발견되었다. 이번취약점은비스타의네트워크입 / 출력서브시스템에서발견된것이며특정요청이 iphlpapi.dll에전달되면버퍼오버플로우가발생되어커널메모리를망가뜨리고이로인해블루스크린이나타날수있다고보고하였다. 해당취약점은현재주로사용되고있는 Windows XP 시스템에는영향이없는것으로알려져있다현재마이크로소프트사와이번문제를해결하기위한작업을진행하고있으며다음번윈도우비스타서비스팩에포함될것이라고한다. 이글을쓰는시점에서비스타서비스팩 2 번째베타버전이공개되었다. 비즈니스를위협하는보안문제 비즈니스와 IT 인프라의의존성이높아지면서보안에대한관심또한나날이높아지고있다. 이것은우리가즐겨이용하고있는대중교통만보아도알수있다. 버스와지하철의요금처리, 티켓구매, 버스도착안내이모든것이 IT 인프라에의존하여운영되고있다. 어느날이런시스템이단지몇킬로바이트의악성코드에의해감염되어혼란을줄수있다는우려가현실로나타나고있다. 이런일이일어나서도안되겠고, 일어나지않도록철저한준비를하고있겠지만, 복잡한 IT 환경에서이런가능성은언제나존재한다. 최근 11 월 18 일 ( 화 ) 에런던의몇개의병원에서악성코드가감염되어몇일동안시스템이 다운되는사태가실제로발생했다. St Bartholomew s(barts), Whitechapel 의로얄런던병원 그리고 Bethnal Green 의 London Chest 병원에서마이톱 (Mytob) 웜에감염되었다. 감염으 로인하여병원의시스템에장애가발생하여, 최첨단 IT 기술을활용할수없게되어의사들 8

은손으로기록을하였고, 앰블런스는임시적으로근처병원으로이동하여야만했다. 병원 운영상긴급한수술의취소등과같은큰문제점은야기시키지않았으나일부작업은연기 되거나스케쥴이재조정된것으로알려져있다. 이번사건은고의적으로병원을대상으로공격이이뤄진것이아닌것으로알려져있으며, 악성코드로인해환자의개인정보유출등은없었고단순한감염사고로추정된다. 하지만, 며칠동안병원은과거로의회귀를경험하였고업무전반에불편함을끼쳤을것이다. 만약더욱악의적인악성코드였다면보다큰피해를입혔을수도있고, 더나아가환자의생명과직결되는기계에도영향을줄수있었을지도모른다. 이번병원의사례와같이이것이여러분들의비즈니스에도영향을줄수있다고생각되거나 IT 인프라에의존적이라면단순히하나의이야기거리로넘겨서는안될것이다. 지금당신의사업에이런일이발생할수있다는가정하에 차선의선택 (Plan B) 를준비해놓아야할것이다. [ 그림 1-2] 문제가발생한병원의공지사항 9

(4) 네트워크모니터링현황 MS08-067 공격트래픽 최근 11 월한달동안네트워크모니터링시스템으로부터탐지된상위 Top 5 보안위협들은 다음과같다. [ 그림 1-3] 상위 TOP 5 위협탐지이벤트 10월말 MS08-067 서버서비스취약점이발표된이후네트워크를통해해당취약점을이용하는악의적인트래픽이급격히증가되는것이관찰되기시작하였다. 최근새로운취약점이발표되고이를공격에이용하는악성코드가제작되는시간이점점짧아지고있어어느때보다도사용자들의신속한최신업데이트설치가필요할때이다. 지금까지상위를차지하던과거의취약점들을제치고최근발표된 MS08-067 서버서비스 취약점이상위에올라왔으며, 이를통하여해당취약점이얼마나빠른속도로확산되고있는 지를추정해볼수있게한다. 특히, [ 그림 1-4] 에서보이는바와같이, 이번달에는 TCP/445 포트가전체트래픽의 87% 를차지하였으며, 이수치는네트워크모니터링을시작한이후가장큰수치이다. 최근발표된 MS08-067 서버서비스취약점이 TCP/139, TCP/445 포트를사용하고있으며허니팟내에감염된트래픽이전파를목적으로또다른시스템을스캐닝하는과정에서발생되기도하였다. 네트워크관리자들은 TCP/139, TCP/445 포트가반드시필요한지여부를확인하고, 불필요경우방화벽과같은보안제품을통해차단할필요가있다. 10

[ 그림 1-4] 상위 TOP 5 포트 MS08-067 서버서비스취약점의추이를모니터링하기위해 TCP/445포트상의트래픽을집중적으로살펴본결과, 10월 27일부터 TCP/445 포트상의트래픽이급격히증가하였고 11월 13일이후로트래픽이감소하는모습을아래 [ 그림 1-5] 에서확인할수있다. 최신보안업데이트와보안제품들의탐지기능추가로인하여 MS08-067 서버서비스취약점을이용하는악성코드가점차감소하고있는것으로추정해볼수있다. [ 그림 1-5] TCP/445 포트상의트래픽추이 공격발생지별로살펴본한달간의국가별현황을살펴보면, 기존달과마찬가지로한국 (KR) 을비롯하여미국 (US), 일본 (JP), 중국 (CN), 홍콩 (HK) 등의국가들이차례로높은비중을차 지하였다. 11

상위 10개국가 백분율 (%) 상위 10개국가 백분율 (%) KR 43 MY 3 US 14 AU 3 JP 13 IN 2 CN 12 TW 2 HK 6 ZA 2 [ 표 1-1] 국가별공격발생지분포 1 1 이표는 안철수연구소에서운영중인허니넷으로유입된트래픽을기준으로한것으로전체적인국가별순위를의미하는것은아니다. 12

(5) 중국보안이슈 11 월중국보안이슈 MS08-067 취약점을이용하는공격툴의활성화 MS08-067 취약점이중국언더그라운드에알려지면서지난 11월한달사이 ASEC으로 5 종이넘는서로다른형태로해당취약점을악용하는툴들이확보되었다. 이번에확보된툴들은모두스캐너형태의공격툴로서공격을진행하는 GUI 파일과 MS08-067 취약점을공격하는파일그리고네트워크대역을스캐닝하는파일 1개이렇게총 3개로구성되어있는것이일반적인형태였다. [ 그림 1-6] MS08-067 취약점공격툴 해당스캐너형태의공격툴들은특정 IP 대역을지정한후에다른악성코드를다운로드할수있는주소를지정한후실행하도록되어있었다. 그리고기존에알려진 MS08-067 익스플로잇 (Exploit) 의 PoC 파일을실행압축하거나암호화하여재활용하고있는형태일뿐새로운익스플로잇코드는발견되지는않았다. [ 그림 1-7] MS08-067 취약점을공격하는익스플로잇전송 13

해당공격툴들을실행하게되면 [ 그림 1-7] 과같은 MS08-067 취약점을공격하는쉘코드와함께다른악성코드를다운로드할수있는주소를동반한 4134 바이트크기의패킷을설정한네트워크대역으로전송하게되어있다. 해당익스플로잇패킷을통해서보안패치가적용되지않은시스템은공격패킷내부의공격자가설정한주소의다른악성코드를다운로드한후실행하게된다. 현재까지 MS08-067 취약점을공격하는악성코드는 10월말에발견된 Win-Trojan/Gimmiv와 11월말에발견된 Win32/Conficker.worm이있다. 그러나더욱우려스러운점은최근에발견된일부악성 IRCBot에서해당취약점을이용하여시스템을공격하고있는것으로알려져있다. 이러한윈도우시스템의취약점을공격하는악성코드에대응하기위해서는사용하는운영체제의최신보안패치를적용하고공격익스플로잇패킷을방어할수있는방화벽기능이포함된통합보안제품을사용하여야한다. 통합화된다양한기능의웹쉘 (WebShell) 생성기 최근들어다시 asp 또는 php 형태의다양한웹쉘들이 ASEC 으로접수되기시작하여중국 언더그라운드웹사이트를조사한결과 [ 그림 1-8] 과같은다양한기능을수행할수있는 웹쉘 (WebShell) 생성기가발견되었다. [ 그림 1-8] 중국언더그라운드에서제작된웹쉘 (WebShell) 생성기 웹쉘은일반적으로 asp 와 php 그리고 jsp 와같이다양한형태의스크립트파일들로서웹서 버에서관리자권한을획득한후다양한쉘명령 (Shell Command) 을통하여파일업로드와 내부자료유출등의기능을수행하도록제작된악의적인스크립트파일들을이야기한다. 이번에발견된웹쉘생성기는비교적널리알려진 ASP shell 의경우총 11 개의다른형태의 변형들을제작할수있으며, PHP Shell 의경우 10 개의다른형태의변형들을제작할수있 도록되어있다. 그리고기본적으로제공되는창에서해당스크립트들을편집할수있도록구 14

성되어있으며, 보안제품의탐지를우회할수있도록스크립트난독화기능등이제공되어 웹쉘과스크립트파일제작에대한지식이없더라도다양한형태의웹쉘을제작할수있도 록되어있다. 이러한다양한악의적인기능을수행하는웹쉘의공격으로부터피해를예방하기위해서는 웹서버에존재하는보안취약점들을제거하고웹에제공되는게시판에는불필요한파일업 로드및쓰기권한을제거하도록한다. 15

II. ASEC 컬럼 (1) 리워드프로그램은과연사용자를위한프로그램인가? 리워드 (Reward) 는고객이물건을구매하거나서비스를이용할때다양한보상을통해고객의충성도를높이는마케팅전략이다. 일반적으로 캐시백, 포인트 등의이름으로실생활에서자주접할수있다. 최근인터넷상에서도 리워드, 적립, 캐시백 등의단어를포함하고, 다양한제휴쇼핑몰을이용할경우추가현금적립을해준다는리워드프로그램의수가급격히증가하고있다. 리워드프로그램은클라이언트에설치되는소프트웨어로인터넷쇼핑몰과제휴를맺고리워드프로그램을사용하는고객이제휴쇼핑몰에서상품을구입할경우에발생하는수수료를수익모델로하고있다. 리워드프로그램은수수료수익중일부를전자포인트형태로자신의서버에적립해주며여러제휴사에서각자제공하는포인트와는별도의포인트를관리할수있게해준다. 또한적립된포인트가약관에서명시한금액이넘는경우현금으로사용자에게환원하는서비스를제공한다. [ 그림 2-1] 수많은리워드프로그램제작사홈페이지 16

인터넷리워드비즈니스모델 인터넷쇼핑소비자의입장에서볼때, 많은소비자들이인터넷쇼핑몰을이용해상품을구입하고있으며, 좀더유리한조건에서구매하기위해가격비교사이트에서제품을검색하는수고도마다하지않는다. 여러사이트중가장저렴한제품을찾고자하는알뜰한구매자에게추가적립금을제공하고, 많은사이트의적립금을한번에관리할수있는기능을제공하는리워드프로그램은구매자에게진정유용한프로그램일것이다. 인터넷쇼핑사업자의경우보다많은매출을달성하기위해서는더많은고객의방문을유도해야만한다. 쇼핑몰의주소를인터넷주소창에직접입력하고필요한물건을구매하는소비자도있지만가격비교나인터넷검색등다른방법을활용하는경우도많다. 가격비교사이트나, 인터넷포털사이트에서제품에대한정보를검색하는것은잠재적인고객일확률이높아지기때문에인터넷쇼핑업체에게검색고객의확보는필수적이라할수있다. 더많은고객확보를위해서많은인터넷쇼핑몰들은인터넷포털사이트나가격비교사이트와제휴를맺고자사의제품정보와가격정보를보다많이노출함으로써고객의방문을유도하고있다. 더많은고객을확보해야하는인터넷쇼핑몰에게리워드프로그램은인터넷포털사이트나가격비교사이트와동일한고객확보경로라할수있다. 이렇듯리워드프로그램은많은고객을확보해야만하는인터넷쇼핑몰과알뜰한쇼핑을하 려는구매자간의필요성이상호충족하기에발생한훌륭한인터넷비즈니스모델이라할 수있다. 리워드프로그램의문제점 구매자와판매자모두에게좋은비즈니스모델로자리잡아야할리워드프로그램은현재인터넷을통한프로그램배포와관련된규정의부재로인해서비스사업자의불법은아니지만잘못된수익창출형태와우후죽순생겨나는여러업체간의부정경쟁을통해많은문제를양산하고있다. 1. 부정수익창출리워드프로그램은고객의동의 1 를받고시스템에설치되어동작하는클라이얶트프로그램이다. 클라이얶트프로그램은 PC에설치되어동작하는프로그램을의미하며설치된 PC에서발생하는이벤트를통제할수있다. 읷부리워드프로그램의경우 PC에서제휴쇼핑몰을거쳐온라읶쇼핑몰로젂해지는트래픽을조작하여제휴마케 1 여기서언급하는 동의 는정상적인프로그램설치과정에서발생하는일반적으로알려있는동의형태가아닐수도있다. 17

팅윤리에혼띾을초래하고있다.( 디지털타임즈 2008.11.16: 리워드사이트 유통질서 흐릮다 1 ) [ 그림 2-2] 쇼핑몰 - 제휴사간수익흐름 ( 출처 : 디지털타임즈 2008.11.16) 2. 부적절한프로그램배포방식과부적절한동의제작사에서리워드프로그램을제작하는목적은수익의창출이다. 리워드프로그램을통해수익을창출하기위해서는보다많은 PC에자싞이제작한프로그램을설치해야한다. 잘알려지지않은홈페이지를통해서프로그램을배포하는것은한계가있기때문에리워드프로그램은유명사이트의툴바나 P2P프로그램, 고젂게임 2 등사용자가많이찾는프로그램의번들 ( 끼워넣기 ) 형식으로설치가되고있다. 최근무료로서비스하는고젂게임프로그램들의경우서비스를이용하기위해설치해야하는프로그램과는젂혀무관한프로그램을번들형식으로설치하는경우가많이늘고있다. 이러한방식으로프로그램이설치되는경우함께프로그램의목적을사용자가잘읶지할수없으며, 설치되는프로그램의경우모든프로그램은각각에대하여동의를구해야만한다. 3 그러나이렇게설치되는프로그램은읷반적으로정상적읶패키지프로그램을설치할때와는다른방법으로동의를얻고있다. 1 기사원문 http://www.dt.co.kr/contents.html?article_no=2008111702010151727002 2 고전게임은, 개인에따라기준은다르지만, 주로짧게는 5년 ~ 길게는 20여년전의어렸을때자신혹은많은사람들이즐겨했던게임을일컫는다. 3 스파이웨어사례집 http://www.boho.or.kr/infor_data/spyware2007.pdf 18

[ 그림 2-3] 다수의번들을설치하는고전게임홈페이지 아래는최근리워드프로그램설치를위해가장많이이용되는오락실게임사이트를 통한번들프로그램설치에대해서확읶해보았다. [ 그림 2-4] 고전게임사용자동의형식 [ 그림 2-4] 는읶터넷을통해손쉽게구할수있는고젂게임설치프로그램을실행했 19

을때사용자의동의를구하기위해화면에보여지는동의창이다. [ 그림 2-4] 왼쪽의경우특정웹사이트를시작페이지로설정하고리워드프로그램을설치하는기능에대한동의를구한다. 시작페이지는고젂게임홈페이지를예상할수있으나, 실제는키워드검색사이트로시작페이지를고정하는것이다. 리워드프로그램설치의경우오락프로그램과젂혀무관한다른프로그램이며, 다른프로그램을설치하기위해서리워드프로그램에대한약관을출력하고동의를구해야한다. 그러나, 해당동의창의경우하나의텍스트박스에서마우스포읶터를 쇼핑리워드 프로그램설치 에올리면약관이변홖되어마치쇼핑리워드프로그램의정상적읶동의까지받는것으로속읶다. [ 그림 2-4] 오른쪽의경우또다른동의방식을사용한다. 고젂게임을설치하기위해프로그램을실행하면, 읶터넷주소변홖프로그램, 즐겨찾기등록, 읶터넷검색도우미, 리워드프로그램, 명의도용차단프로그램등 7개의프로그램이번들 ( 끼워넣기 ) 형식으로설치된다. 다수의번들프로그램을포함하는동의창의목록아래에표시된각프로그램목록을더블클릭하는경우약관이표시된웹사이트를표시해동의창을확읶할수있게하였다. 추억에잠겨고젂게임을즐기기위해프로그램을설치하는사이젂혀무관한리워드프로그램이설치되었다. 이경우고젂게임을설치한사용자는리워드프로그램의설치에대해동의를했으나리워드프로그램의홗용에필요한최소한의정보읶포읶트적립이가능한제휴사와각제휴사에대한적립비율등을잘이해하고설치를했다고할수없다. 또한리워드프로그램설치의원천적읶기능읶보상의관점에서리워드프로그램제작사에는제품을설치한사용자에대한최소한의싞상정보가없기때문에설치된 PC에서제휴쇼핑몰로구매가발생하더라도적립금을저장할계정정보를가지지않는다. 이것은고객에게보상을하겠다는리워드프로그램의존재이유에의문을가지게하는동시에구매를통해발생한수수료수익이정당하다고볼수없다. 3. 비윤리적읶경쟁을통한사용자피해많은업체에서리워드프로그램을제작에참여하고있으며, 하나의업체에서두개이상의제품을배포하는등그수적증가가아주빠르다. 이렇듯많은프로그램이존재하고, 번들등다양한방법으로배포하는특성상하나의 PC에여러개의리워드프로그램이설치되어있을수있다. 이경우쇼핑몰에제휴사정보를젂달하는과정에서문제가발생할수있으며, 다수의리워드프로그램이서로충돌을읷으켜시스템에문제를읷으킬수도있다. 이러한문제점을해결하기위해리워드프로 20

그램들은여러가지자기방어체계를가지고있다. [ 그림 2-5] 레지스트리설정을변경해다른프로그램의 ActiveX 설치를방해 읷부리워드프로그램은자싞의정상동작을위하여다른리워드프로그램의실행을종료하고프로그램의읷부를삭제하거나, 경쟁프로그램의설치를방해하는기능을포함하기도한다. [ 그림 2-5] 는 Win-Downloader/PointGuide.205312가설치되면서윈도우레지스트리에 CLSID를등록해 PC에다른리워드프로그램이설치되는것을방해하는것이다. 이경우 CLSID목록은웹사이트에저장되어있으며, 프로그램업데이트를통해변경이가능한것을확읶할수있었다. 시스템에설치되어실행중읶프로그램이정상적으로삭제되지않고읷부프로그램만삭제된다면시스템의운영에도문제가발생할수있으며, 삭제된프로그램이사용자가사용하는프로그램읶경우사용자는영문도모르고시스템가용성에손상을받는다. 또한읷부만삭제된프로그램은쓰레기파읷로젂락해디스크의공갂만차지할수도있다. 4. 리워드프로그램은스파이웨어가아니다? 2007년 ( 구 ) 정보통싞부에서는스파이웨어기준앆과, 각기준에대한사례 1 를 [ 표 2-1] 과같이정의하였다. 이기준에따르면적젃한사용자의동의없이다른프로그램이다른프로그램의실행을방해하거나삭제하는등의행위를하는프로그램을스파이웨어로규정하고있다. 이기준앆에서는사용자동의에큰비중을두고정상프로그램과스파이웨어를구분하고있다. 따라서리워드프로그램의경우적젃한사용자의동의를받지않았을때만스파이웨어로분류할수있는것이다. 1 http://www.boho.or.kr/infor_data/spyware2007.pdf 21

ActiveX 보앆경고창만을이용한설치는동의로간주하지않으나, 해당웹사이트의서비스를이용하기위해그사이트를방문때만실행되는프로그램은예외로합니다. 1 ActiveX 보앆경고창만을이용한설치는동의로갂주하지않으나, 해당웹사이트의서비스를이용하기위해그사이트를방문때만실행되는프로그램은예외로함 2 이용자의동의없이또는이용자를속여설치되어 ( 설치되는과정포함 ) 정상프로그램또는시스템의운영을방해, 중지또는삭제하는행위 3 이용자의동의없이또는이용자를속여설치되어 ( 설치되는과정포함 ) 정상프로그램또는시스템의설치를방해하는행위 4 이용자의동의없이또는이용자를속여설치되어 ( 설치되는과정포함 ) 정상프로그램외의프로그램을추가적으로설치하게하는행위 5 이용자의동의없이또는이용자를속여설치되어 ( 설치되는과정포함 ) 이용자가프로그램을제거하거나종료시켜도당해프로그램 ( 당해프로그램의변종도포함 ) 이제거되거나종료되지않는행위 6 이용자의동의없이또는이용자를속여설치되어 ( 설치되는과정포함 ) 키보드입력내용, 화면표시내용또는시스템정보를수집, 젂송하는행위 ( 다만, 정보통싞서비스제공자가이용자의개읶정보를수집하는경우는정보통싞망이용촉짂및정보보호등에관한법률제50조의5의규정을적용한다 ) [ 표 2-1] 스파이웨어기준안 사용자동의에따라정상프로그램과스파이웨어가구분되는현재기준에따라서비록사용자가자싞의 PC에설치되는프로그램의기능과성격을정확하게읶지하지못하더라도형식적읶동의과정만갖춘다면문제가없는상황으로리워드프로그램은사용자에게거부감없이동의를구하기위해계속해서짂화하고있다. 소프트웨어이용약관모두읽어야한다! 약관 1 이란계약의당사자가다수의상대편과계약을체결하기위하여일정한형식에의하여미리마련한계약의내용을의미한다. 일반적으로현재유통되는소프트웨어프로그램설치시에도소프트웨어이용약관을접할수있다. 그러나, 인터넷을통해프로그램을설치할경우복잡한약관을주의깊게읽는사람은많지않다. 사용자가불편을느껴프로그램을 ASEC으로접수하더라도그프로그램의설치시점에서사용자동의과정이존재한다면, 특별한추가사유가없는이상스파이웨어로분류하기어렵다. 비록약관의내용과동의과정이납득하기어렵지만동의여부를중요하게여기는스파이웨어분류기준으로는사용자가조심할수밖에없다. 스파이웨어의동작을수행하는프로그램도약관에행위를기술한다면그방법과는관계없이동의과정을거친프로그램은스파이웨 1 http://terms.naver.com/item.nhn?dirid=108&docid=7750 22

어분류를할수없다는약점이있기때문이다. 이것이각개별사용자스스로가소프트웨 어이용약관을자세히읽어야하는까닭이다. 약관내용 사용자의시스템에임의의프로그램을설치 할수있으며설치전동의를추가로구하지 스파이웨어특징 사용자동의없이다른스파이웨어를설치하며사용자 는설치된스파이웨어의수량종류를알수없다. 않고, 이약관에동의를함으로써갈음함 사용자의읶터넷사용기록과같은개읶정보 를제 3 자에게제공함 사용자의시스템보앆설정을변경함 키워드검색시선호도조사및홗용 접속페이지리다이렉트 웹브라우저의설정변경 싞뢰할수있는사이트로등록 읶터넷사용시보여지는내용을조작함 검색결과조작 광고삽입 타사광고제거 / 교체 프로그램설치로읶해발생할수있는어떠 시스템의오동작에의한손상이발생한경우책임회피 한문제에대해서도책임지지않음 자동업데이트기능, 자동복구기능제공 프로그램의임의제거가어려울수있다. ( 프로그램제거 시재설치문제발생 ) [ 표 2-2] 문제가될수있는소프트웨어이용약관유형 문제가될수있는소프트웨어이용약관사례 리워드프로그램의약관중사용자에게불편을끼칠가능성이있는사례는아래와같다. *** ( 리워드프로그램 ) 제?? 조. 손해배상및책임 1. *** 는무상배포되는 *** 프로그램의사용과관렦하여사용자또는제 3자에게발생하는어떠한형태의손해에대하여도배상을하지않습니다. 시스템이나사용자개읶정보유출등과관렦하여발생가능한어떤문제도책임지지않겠다는의미로해석가능하다. 제?? 조. 개읶정보및읶터넷사용정보수집과그홗용 5. 자동업데이트에서는사용자의컴퓨터에피해를끼치는컴퓨터바이러스등의악성프로그램이아닌, 상업적용도의프로그램이나기타 *** 가서비스향상을위해필요하다고판단되는프로그램들을필요에따라임의의파읷이사용자의컴퓨터에설치될수있으며, 설치젂사용자의동의를추가로구하지않고이내용은사용자가약관동의를함으로써갈음합니다. 23

사용자는자싞의 PC 에어떤프로그램이설치되어동작하는지알수없다. 6. 사용자는 *** 를이용해서읶터넷이용중타사의상업적내용들을제거할수있습니다., 이경우해당읶터넷서비스업체와의모든문제는사용자의권리와책임으로하며, *** 의상업적내용은제거되지않을수있습니다. 시스템에설치된다른애드웨어의동작을방해하거나, 웹페이지에표시되는광고내용을조작할수있으며, 이로읶해발생하는모든책임은사용자에게있다. 9. *** 설치시자동으로사용자의읶터넷브라우저의설정중 *** 서비스관렦 URL을싞뢰할수있는사이트로추가하며, 변경된설정은사용자가읶터넷옵션에서다시변경할수있습니다. 이경우 *** 서비스가정상적으로동작하지않을수있습니다. 사용자시스템의보앆설정을변경하는행위로약관에포함되지않았다면스파이웨어의행위에해당. 해당사이트가싞뢰할수있는사이트로추가될경우해당사이트에서배포되는모든 ActiveX 컨트롤이경고없이실행될수있다. 10. *** 는사용자가컴퓨터에서입력한키워드를검색및결과표시를위해서사용자의컴퓨터이외로젂송할수있으며, *** 는이키워드를상업적목적으로사용하거나제3자에게익명으로제공할수있습니다. 사용자의읶터넷사용기록을외부로젂송하는행위로스파이웨어행위로의심할수있다. ### 툴바 ( 리워드프로그램 ) 5. 자동업데이트에서는사용자의 PC에피해를끼치는컴퓨터바이러스등의악성프로그램이아닌, 상업적용도의프로그램이나기타 ### 와회사가서비스향상을위해필요하다고판단되는프로그램들을필요에따라임의의파읷이사용자의컴퓨터에설치될수있으며, 설치젂사용자의동의를추가로구하지않고이내용은사용자가약관동의를함으로써갈음합니다. 6. 사용자는 ### 툴바를이용해서읶터넷이용중타사의상업적내용들을제거할수있습니다. 단, 이경우해당읶터넷서비스업체와의모든문제는사용자의권리와책임으로하며, 대출 ### 와회사의상업적내용은제거되지않을수있습니다. 8. ### 툴바는사용자가검색엔짂이나주소창등에서검색어를입력하여나타나는결과와연관되는제3자의상업적내용을사용자의 PC에젂송할수있습니다. 9. 회사는사용자의 PC를다른사용자들의사용편의를위해서 P2P서비스의중갂매개로서사용할수있습니다. 10. ### 툴바설치시자동으로사용자브라우저의스크립트오류메시지를보지않음으로변경하며, 변경된설정은사용자가읶터넷옵션에서다시변경할수있습니다. 24

이경우사용자가변경한설정에의해서스크립트오류메세지가나타날수있습니다. 11. ### 툴바는사용자가 PC에서입력한키워드를검색및결과표시를위해서사용자의 PC 이외로젂송할수있으며, ### 와회사는이키워드를상업적목적으로사용하거나제3자에게익명으로제공할수있습니다. 위와같이사용자에게불리한약관이있는줄모르고프로그램을설치하게되면예기치못 한불편에직면할수있다. 약관의경우일방당사자의의견이강하게반영되기때문에, 상대방다수에게불이익을줄우려가있는 ' 불공정약관 1 ' 은규제대상이되어야한다. 약관의불공정여부는공정거래위원회에서 ' 약관의규제에관한법률 ' 에의거해심사하며, 고객에대하여부당하게불리한조항등불공정약관은무효로할수있으나이것은계약당사자가스스로부당함을인지하고조정을요청해야하는문제를가지고있다. 수많은소프트웨어제품이홍수처럼쏟아져나오고있는지금사용자가스스로사용하는모든프로그램의약관을읽고공정성여부를판별해대응한다는것은현실적으로어렵다. 관련기관및백신소프트웨어제작업체에서는이러한문제를인식하고, 사용자에게피해를주는행위를정당화하는소프트웨어이용약관이개선될수있도록노력을해야한다. 더불어법적재제장치가마련될때까지피해자로방치될가능성이큰 PC 사용자들은프로그램을내려받을때약관을살피는주의를기울여야한다. 1 http://terms.naver.com/item.nhn?dirid=701&docid=3317 25

(2) 인터넷도박이일반인을유혹하는방법 최근유명연예인이인터넷도박을통해거액을잃고공무원이인터넷도박으로생긴빚때문에몇십억에달하는공금을횡령하는등인터넷도박에관련된언론보도가계속되고있다. 이들인터넷도박이어떠한경로를통해사람들을유혹하고피해자로만드는지보다자세히살펴보고그문제점을알아보자. 스파이웨어 (spyware) 를통한설치 인터넷도박사이트로유도하기위한스파이웨어들은자체업데이트기능을가지고있으며생성하는인터넷바로가기에대해암호화된정보를특정서버로부터받아와다양한사행성사이트에대한인터넷바로가기를생성해일반적인보안제품에의한사전예방을어렵게한다. 또한임의의이름으로자동시작프로그램으로등록되어생성된인터넷바로가기아이콘을삭제하더라도언제든지다시생성될수있으며그내용또한매번달라진다. [ 그림 2-6] 암호화된내역을송수신하는스파이웨어 실제최근에이슈가되었던스파이웨어중에는자양강장제로위장해메신저를통해지인에 게전파되는형식으로감염되었다. 26

[ 그림 2-7] 메신저를통해지인에게전송받은프로그램 지인에게전송받은프로그램을실행하면아래 [ 그림 2-8] 과같은그림이나온다. 하지만 실제로는스파이웨어를설치하고바탕화면에인터넷도박사이트바로가기아이콘과원격 제어프로그램을설치한다. [ 그림 2-8] 메신저로전송된스파이웨어를실행했을때화면 이와같이사용자동의없이사용자동의없이설치되는스파이웨어는인터넷바로가기 (Shortcut) 를생성해사행성게임사이트로접속을유도한다. [ 그림 2-9] 스파이웨어에의해생성된사행성게임인터넷바로가기아이콘들 27

블로그 (Blog) 를이용한도박사이트홍보 인터넷의정보공유기능을악용한사례로인터넷도박사이트를홍보하기위해블로그를개설하고특정시간을단위로홍보글을예약작성해지속적으로등록하는방법을사용한다. 또한검색엔진을통해검색을용이하게하기위해인터넷도박과관련된단어수백개를본문에포함시켜해당단어를통해검색시해당홍보글이검색되어노출될수있게작성한다. [ 그림 2-10] 30 분단위로예약작성되어자동으로등록된인터넷도박사이트홍보글들 또한 [ 그림 2-11] 과같이블로그의댓글과트랙백기능을악용하여인터넷도박사이트홍보글을작성하는경우도지속적으로발견되고있다. 블로그운영자가일일이확인하고삭제하지않으면계속방치되어지속적인피해를가져올수있다는문제점이있다. 또한해당블로그운영자는본의아니게자신의블로그에서인터넷도박사이트를홍보하는피해자인동시에가해자가될수있다. 28

[ 그림 2-11] 블로그댓글과트랙백기능을악용한인터넷도박홍보글 스팸메일, 휴대폰 SMS 서비스를이용한도박사이트홍보 휴대폰단문자서비스 (SMS) 또는스팸메일 (Spam mail) 을사용해불특정다수에게인터넷도박사이트광고를전송한다. 스팸으로필터링대상이될수있는단어들사이에임의의특수문자를추가하는등의방식으로스팸으로분류되지않도록다양한회피방법을사용한다. 따라서효과적인차단이어렵고불특정다수를대상으로하므로누구나피해자가될수있다. [ 그림 2-12] 스팸메일을이용한인터넷도박사이트홍보 29

[ 그림 2-13] 인터넷도박사이트를광고하는 SMS 최근인터넷도박과관련해크게이슈화된뉴스를나열하면다음과같다. - 야구선수 억대도박 정확포착 : 프로야구선수들약 10여명이읶터넷도박사이트에서약 10억원의판돈으로 바카라 게임을한것으로알려졌음 - 읶터넷도박개발자 이용자들은냄비속에던져짂개구리 : 개읶들은게임을하면 따는것 과 잃는것 두가지만생각하지만수고비명목으로사업자에게수수료를뜯기고있으며매장당수익이하루평균 2000만 ~3000만원정도되며이들사업자들이조직폭력배와연관된것으로보임 - 읶터넷도박에빠져 26억원횡령공무원붙잡혀 : 모공무원이읶터넷도박에빠져약 26억원을횡령하고해외로도피했다자짂입국함 - 읶터넷도박 130명수사 XXX씨도박판돈 16억 : 1억원이상의판돈으로읶터넷도박을한 130명에대해수사를짂행한다는내용이며, 유명연예읶의경우약 16억원의판돈으로읶터넷도박을했음 인터넷도박은이렇게다양한경로로사용자를유혹하고있어그피해자가될가능성이더욱더높아지고있다. 또한인터넷이되는컴퓨터만있으면쉽게접근할수있어집에서도간단하게도박을할수있다. 호기심에서한번이라도인터넷도박사이트에접근하게되면누구나피해자가될수있다. 도박은확률상일반인이게임에서이길확률이매우적다. 또한인터넷도박의경우게임을할때마다일정비율의수수료를받기때문에게임을하면할수록돈을잃을수밖에없는구조를가지고있다. 무엇보다이런인터넷도박사이트는국내에선불법이며인터넷도박의특성상게임과관련된자료가모두전산상기록으로남는다. 따라서한순간호기심으로즐긴인터넷도박으로인해본의아니게범법자로남을수있다. 30

(3) 다시강조해야하는 MS08-067 취약점패치 11 월 22 일, ASEC 팀으로 A 라는고객의신고가접수되었다. 웹브라우저속도가느려졌고, 사이트접속이안됩니다! 당시이슈가되고있었던웹브라우저시작페이지의중국사이트고정문제와는전혀다른신고가접수된것이다. 우리는재빨리고객의 PC에서접수된 AhnReport의실행중인프로세스와로드된모듈정보를확인하였으나어느하나도의심스런파일은찾을수가없었다. 하지만고객PC의네트워크연결상태를확인해보니아래와같이 TCP 445포트를스캔하고있는것을볼수있었다. [ 그림 2-14] 해당시스템의 netstat 실행결과 의심스런패킷을어떤프로세스가생성하고있는지확인하기위해서고객이보내온 AhnReport 의네트워크연결정보를살펴보았다. 31

[ 그림 2-15] A 고객 PC 의 AhnReport 네트워크연결정보 [ 그림 2-15] 와같이 AhnReport에저장된고객의네트워크연결정보를확인하면그내용이 [ 그림 2-14] 와다른이유는 netstat로캡쳐한시점과 AhnReport가생성된시점이다른것으로판단되었다. 하지만다행스럽게도 TCP 445포트를스캔하고있는 svchost.exe 프로세스를찾을수있었고, svchost.exe 프로세스를사용하여패킷을뿌리고있는서비스를찾아보니 [ 그림 2-16] 과같이랜덤한서비스명으로등록된항목을발견했다. [ 그림 2-16] A 고객 PC 의 AhnReport 서비스정보 마지막으로서비스항목에등록된 qgywetzeu 라는키값으로레지스트리에등록된파일을 수집하여긴급엔진을내보낼수있었다. 하지만긴급엔진이제작되는동안에또다른 B 고 객으로부터 윈도우로그인후 5 분안에컴퓨터가다운됩니다! 라는신고가접수되었다. B 고객께서보내주신 AhnReport에서도네트워크연결상태가 A 고객과유사하여아래 [ 그림 2-17] 과같이서비스명으로등록된파일을수집하였으며, 수집된파일은분석결과 MS08-067 취약점을이용하여제작된웜으로네트워크를통해자체전파가가능하며, 이로인해네트워크트래픽이증가할수있으며, 인터넷사용속도가현저히느려질수있다. 위에서수집한두파일은모두동일한악성코드로 V3 엔진에 Win32/Conficker.worm.62976 으로진단값이반영되었다. 32

[ 그림 2-17] 또다른고객 PC 의안리포트서비스정보 MS08-067 취약점은 2 년전에발표된서버서비스취약점 MS06-040 을비롯하여악성코드에 서지속적으로사용하고있는 LSASS 취약점 (MS04-011), DCOM 취약점 (MS03-026, MS03-029) 과같은범주에포함될정도로악성코드에서활용도가매우높다. 이러한취약점정보는해외보안사이트등에서공개된 POC를기반으로악성코드제작에활용되면서더욱더쉽게악성코드를제작할수있는환경이마련되고있다. 또한 MS08-067 취약점을이용한웜과같이네트워크를통한직접적인감염방법이아니더라도최근중국에서제작된 MS08-067취약점을이용한악성코드자동제작툴의유포로급속도로확산될수있으며, 스팸메일이나다운로더등과같이다양한방법으로전파되어감염될수있음으로사용자는마이크로소프트의최신보안패치를반드시설치하여사고를미연에방지하도록하여야한다. 33

III. ASEC 월간통계 (1) 악성코드통계 트로이목마류증가세 Top 10 피해통계 11 월순위 악성코드명 건수 % 1 new Win-Trojan/OnlineGameHack.863748 50 18.5% 2 new Win-Trojan/Agent.76800.BP 46 17.0% 2 new Win32/Mydoom.worm.371712 25 9.3% 4 new Win-Trojan/Agent.61440.ML 23 8.5% 5 new Win-Trojan/Agent.75264.BA 22 8.1% 6 new Win-Trojan/OnlineGameHack.27136.BT 22 8.1% 7 new Win-Trojan/DlLooee.61440 21 7.8% 7 new Dropper/OnlineGameHack.20992 21 7.8% 9 new Win-Trojan/Downloader.98304.AR 21 7.8% 10 new Win-Trojan/Fakealert.21504.E 19 7.0% 합계 270 100.0% [ 표 3-1] 2008년 11월악성코드피해 Top 10 [ 표 3-1] 은 2008 년 11 월악성코드로인한피해 Top 10 에랭크된악성코드들로이들악성 코드들로인한총피해건수는 270 건으로한달접수된총피해건수 (3,658 건 ) 의 7.4% 에해 당하며, 지난 10 월 227 건 (7.6%) 보다줄어든것으로나타났다. 10월의 Top 10은모두트로이목마류였으나, 11월에는 Win32/Mydoom.worm.371712와 Dropper/OnlineGameHack.20992이순위권에들었다, 게임핵류의악성코드 3개가 Top 10 에포함되었으며, 일반적으로게임핵류의악성코드는대부분변조된웹사이트를통해유포되고있다는것을감안하면, 많은사이트가변조되었거나방문자수가많은사이트가변조되었다고볼수있다. 또한, 3위를차지한 Win32/Mydoom.worm.371712는 11월 10일경에고객으로부터이메일로확산되고있다는신고로접수된악성코드로메일의주소와제목은아래와같다. 메일주소 : postcards@hallmark.com 메일제목 : You've received A Hallmark E-Card! 34

해당메일에첨부된 PDF 파일로가장한실행파일 (EXE) 인 POSTCARD.PDF 를클릭하게되면 악성코드자체에내장된 SMTP 엔진을이용하여스팸메일을발송하는악성코드이다. 11 월순위 대표진단명 건수 % 1 Win-Trojan/Agent 768 33.4% 2 Win-Trojan/OnlineGameHack 610 26.5% 2 Win-Trojan/Downloader 327 14.2% 4 Dropper/OnlineGameHack 189 8.2% 5 Dropper/Agent 106 4.6% 6 Win32/Autorun.worm 81 3.5% 7 Win-Trojan/Zlob 64 2.8% 7 Win-Trojan/Krap 57 2.5% 9 Win-Trojan/Autorun 50 2.2% 10 Win-Trojan/Bagle 47 2.0% 합계 2,299 100.0% [ 표 3-2] 대표진단명기준 Top 10 [ 표 3-2] 는 2008 년 11 월악성코드의대표진단명을기준으로대표진단명 Top 10 유형별피 해순위를나타내고있다. 유형별 Top 10 에포함된악성코드총피해건수는 2,299 건으로 11 월한달접수된총피해건수 (3,658) 의 62.8% 를차지하고있다. 11 월대표진단명의건수는 10 월 1,265 건에비해 181.7% 가증가하였으나 1, 2, 3, 4 위에랭 크된대표진단명의비율이지난 10 월과비교하여아래 [ 그림 3-1] 과같이아주흡사하다. 8.2% Dropper/OnlineGameHack 11월 10월 6.4% Win-Trojan/Downloader 14.2% 13.6% Win-Trojan/OnlineGameHack Win-Trojan/Agent 26.5% 22.2% 33.4% 30.3% [ 그림 3-1] 2008 년 10 월, 11 월주요대표진단명비율 35

국내에서발견되는대부분의악성코드들은온라인게임핵과관련된드롭퍼와다운로더이며, 이러한악성코드들은국내에서개발된온라인게임의계정및패스워드를탈취하기위한기능을가지고있다. 이러한추세는국내온라인게임산업이발전할수록지속적으로증가할것으로예상된다. 1위와 2위에랭크된 Win-Trojan/OnlineGameHack.863748과 Win- Trojan/Agent.76800.BP를제외한대부분의악성코드들이 9%, 8%, 7% 로비슷한분포를보여주고있다. 11월은특정악성코드에집중적인피해는발생하지않고있으나, 오래간만에메일로유포되는매스메일러인 Win32/Mydoom.worm.371712과같은악성코드에의한피해신고가많이접수되었다. 월별피해신고건수 10,000 9,000 8,000 7,000 6,000 8,948 5,609 7,650 6,634 6,213 6,454 2007년 2008년 5,000 4,000 3,000 3,254 5,797 3,536 4,265 3,789 3,396 5,352 3,658 2,995 2,000 1,000 2,057 1,558 1,111 1,617 1,264 2,321 1,775 1,305-1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 [ 그림 3-2] 2007, 2008 년월별피해신고건수 [ 그림 3-2] 는월별피해신고건수를나타내는그래프로 11월은전체 3,658건의피해신고가접수되었다. 크리스마스및 2009년새해가다가오면서 Marry X-mas!, Happy new year! 과같은스팸메일이계속증가하게될것으로예상되며, 이와함께첨부되는악성코드에의한감염으로피해신고가증가할것으로보인다. 따라서 12월은발신자가불분명한사람으로부터수신된메일은단호히삭제하여피해를미연에방지해야할것이다. 36

6% 12% 2008년 11월유형별피해싞고현황 4% 1% 트로이목마스크립트드로퍼웜유해가능프로그램바이러스 77% [ 그림 3-3] 악성코드유형별피해신고건수 [ 그림 3-3] 은 2008 년 11 월전체악성코드유형별피해신고비율을나타내고있는그래프로 서, 여전히트로이목마가차지하는비율은 77% 로높은비중을차지하고있으며, 올해상반 기에걸쳐꾸준히증가하고있는드로퍼가지난달보다 1% 증가하였다. 그리고 2008년상반기부터트로이목마중대부분의다운로더들은실행될경우생성되는악성코드가수십개의또다른악성코드를다운로드하고있는데, 이러한다운로더가다운받는악성코드가게임핵과같은트로이목마류에그치지않고점차그종류가다양해지고있다. 그중에서 11월을떠들석하게만든인터넷시작페이지를중국사이트 (3929.cn) 로고정시키는악성코드가대표적이라고할수있는데, 이악성코드는다운로더에의해다운되는루트킷류의악성코드와함께동작하였으며윈도우정상파일을변경하고, 악성코드그자신이정상파일인것처럼실행되었다. 또한, 11월은이러한복합적인기능을가진악성코드가실행되면서발생시키는트래픽으로인하여많은피해신고가접수되기도하였다. 이러한다운로더들은다운받을악성코드 URL정보를빠르게변경하여네트워크장비의탐지를우회하는방법을사용하며점차지능화되고있다. 따라서이러한다운로더를사전에차단하기위한좀더많은노력이필요한시점이다. 37

13% 2008 년 11 월유형별싞고현황 3%1% 트로이목마 8% 스크립트 드로퍼 75% 웜 유해가능프로그램 바이러스 [ 그림 3-4] 피해신고된악성코드의유형별현황 [ 그림 3-4] 는 11월한달간접수된유형별신고건수로 [ 그림 3-3] 의유형별피해신고건수와마찬가지로트로이목마가 75% 로여전히높은비율을차지하고있다. 나머지스크립트 8%, 드로퍼 13%, 웜 3%, 유해가능프로그램이 1% 를차지하고있으며여전히바이러스는전체비율에서 1% 도안되는비율을차지하고있다. 4,500 4,000 3,927 3,500 3,000 3,255 3,571 2,500 2,000 2,059 2,215 2,566 1,984 2,440 1,500 1,418 1582 1,000 1,364 500-1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 [ 그림 3-5] 2008 년월별피해신고악성코드종류 [ 그림 3-5] 는 2008 년월별로피해신고가되는악성코드의종류를나타낸그래프이다. 월별 로신고되는 [ 그림 3-2] 의월별피해신고건수와마찬가지로 10 월에비해악성코드종류도 10% 가량증가한것으로나타났다. 38

국내신종 ( 변형 ) 악성코드발견피해통계 11 월한달동안접수된신종 ( 변형 ) 악성코드의건수및유형은 [ 표 3-3] 과같다. 웜 트로이 드롭퍼 스크립트 파읷 매크로 부트 부트 / 파읷 유해가능 비윈도우 합계 09 월 64 867 97 91 2 0 0 0 13 0 1134 10 월 58 899 130 145 3 0 0 0 16 0 1251 11 월 57 1162 197 151 19 0 0 0 6 0 1592 [ 표 3-3] 2008년최근 3개월간유형별신종 ( 변형 ) 악성코드발견현황 지난달에이어서신종및변형악성코드수가다시증가하고있는추세이다. 이번달은전 월대비 27% 정도증가하였다. 특히트로이목마와드롭퍼류가크게상승하였다. 또한실행 파일을감염시키는바이러스들도증가하였다. 트로이목마유형은전월대비 29% 가량증가하였고, 드롭퍼유형은 52% 증가하였다. 특히온라인게임의사용자계정을탈취하는형태의악성코드가다시증가를하기시작하여, 해당유형의악성코드의트로이목마와드롭퍼유형이전월대비증가하여전체적으로악성코드증가에영향을주었다. 웜유형중에서는 AutoRun 웜이가장많은비중을차지하고있으며, 외산안티바이러스업체 의블로그에서도해당유형의악성코드가증가하고있다는글이포스팅되었는데이는어제 오늘의일이아니다. [ 그림 3-6] 에서지난 4개월간의해당유형의악성코드의추세를보면 11월에감소한것으로나오지만, 이는해당진단명으로분류된것으로기준으로했기때문이고, 일반적인트로이목마에서도같은기법으로자신을실행하도록하는형태나 autorun 관련진단함수에서사전에진단되어접수되지않은관련유형의악성코드를감안하면이보다훨씬많은관련유형의악성코드가제작되고있다.. 39

200 150 178 100 50 0 70 112 110 8 월 9 월 10 월 11 월 [ 그림 3-6] AutoRun 관련악성코드추세 파일바이러스중에서는 Win32/Dzan.E, Win32/Golem, Win32/Vimes.B 가주로사용자들로 부터보고가되었다. 이외의바이러스는주로국외의사용자로부터감염신고가접수되어엔 진에반영되었다. 다음 [ 그림 3-7] 은최근 3 개월간악성코드분포이다. 1400 1200 1000 800 600 9 월 10 월 11 월 400 200 0 [ 그림 3-7] 최근 3 개월간악성코드분포 트로이목마와드롭퍼유형은전월대비큰폭으로상승하였으나, 올여름맹위를떨쳤던가짜백신또는그와관련된악성코드는 35건으로전월과큰차이를보이지는않았다. 그러나 Win-Trojan/Zlob 이라고알려진악성코드는 46건이발견되어전월대비 30% 증가를하였으며, 애드웨어또는스파이웨어그리고가짜백신등을다운로드하여설치하는등다양한악성코드또는스파이웨어를시스템에설치하는역할을한다. 40

다음은트로이목마및드롭퍼의전체비중에서상당한비율을차지하는온라인게임의사 용자계정을탈취하는트로이목마의추세를살펴보았다. 1200 1000 2008 년온라읶게임사용자계정탈취악성코드추세 1048 800 778 600 544 639 400 200 289 255 353 314 187 210 336 0 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 [ 그림 3-8] 온라인게임사용자계정탈취트로이목마현황 해당트로이목마는전월대비 60% 가량증가하면서전월에이어서상승세를유지하고있다. 특히한동한잠잠했던특정실행압축형태의변형이또다시발생하면서부터변형의수가증가하고있다. 대부분이트로이목마의유형이대량다운로드형태가많기때문에변형의수는한동안증가할것으로추정된다. 41

(2) 스파이웨어통계 루트킷스파이웨어 순위 스파이웨어명 건수 비율 1 1 Win-Spyware/Agent.6144.O 32 22% 2 New Win-Spyware/PWS.Matory.27136 19 13% 3 New Win-Spyware/PWS.OnlineGame.14848 16 11% 4 New Win-Spyware/PWS.WOW.16896.K 15 10% 5 New Win-Downloader/RogueAnti.5120.B 12 8% 6 New Win-Spyware/Agent.12800.K 12 8% 7 New Win-Spyware/Agent.16384.P 11 7% 8 New Win-Adware/PointGuide.207872 11 7% 9 New Win-Adware/BHO.PointGuide.323072 10 7% 10 New Win-Adware/Casino.98304 10 7% 합계 148 100% [ 표 3-4] 2008년 11월스파이웨어피해 Top 10 스파이웨어에이전트 (Win-Spyware/Agent.6144.O) 는허위안티-스파이웨어설치를목적으로만들어진루트킷이사용하는모듈로 11월가장많은피해를입힌스파이웨어이다. 허위안티-스파이웨어프로그램에대한모니터링및진단강화로피해가 10월이후감소하긴했지만이와관련된루트킷등은현재도많은피해를입히고있는것으로생각된다. 스파이웨어피해 Top10의 2위 ~ 4위에는중국에서제작된온라인게임계정유출목적의스파이웨어가랭크되어있다. 이들온라인게임계정유출스파이웨어는 IE취약점을공격하는형태로현재도널리전파되고있다. 스파이웨어피해 7위와 8위에올라있는애드웨어포인트가이드 (Win-Adware/PointGuide) 는무료자료실, 게임사이트에서사용자동의없이 ActiveX로설치된다. 포인트가이드와같은적립금제공애드웨어는감염된사용자가미리지정된쇼핑몰웹사이트를이용하는경우사용자의의도와관계없이적립금서비스를제공하며, 찾아가지않는적립금을주수익원으로한다. 사생활침해뿐만아니라검증되지않은프로그램에의한시스템오류, 악성코드감염의원인이될수있으므로인터넷에서제공되는무료서비스, 무료게임, 무료자료실등을이용할때는부가적으로설치되는프로그램이없는지꼼꼼히확인하는것이필요하다. 42

순위 대표진단명 건수 비율 1 Win-Downloader/Zlob 226 34% 2 Win-Spyware/Agent 78 12% 3 Win-Spyware/Crypter 64 10% 4 Win-Spyware/Zlob 59 9% 5 Win-Dropper/Zlob 53 8% 6 Win-Adware/Kwsearch 45 7% 7 Win-Adware/CashBack 42 6% 8 Win-Spyware/PWS.OnLineGame 36 5% 9 Win-Downloader/Kwsearch 35 5% 10 Win-Clicker/FakeAlert 29 4% 597 100% [ 표 3-5] 11월대표진단명에의한스파이웨어피해 Top10 [ 표 3-5] 는변형을고려하지않은대표진단명에의한피해자료이다. 11 월에도여전히스파 이웨어즐롭 (Zlob) 계열의피해가많았다. 10 월과비교하여약간의순위변화는있으나피해 양상은유사하다. 2008 년 11 월유형별스파이웨어피해현황은 [ 표 3-6] 과같다. 스파이 애드웨 드롭퍼 다운로 다이얼 클리커 익스플 AppCare Joke 합계 웨어류 어 더 러 로잇 9월 418 170 179 275 0 77 0 2 5 1126 10월 274 235 139 452 0 40 0 2 0 1142 11월 417 342 191 492 0 39 0 5 0 1486 [ 표 3-6] 2008년 11월유형별스파이웨어피해건수 10월에감소하였던스파이웨어류의피해가증가하였는데, 중국에서제작된온라인게임계정유출스파이웨어에의한것으로풀이된다. 캐쉬백 (Win-Adware/CashBack), 포인트가이드 (Win-Adware/PointGuide) 등의적립금제공애드웨어의영향으로애드웨어의피해신고도 100건가량증가하였다. 11 월스파이웨어발견현황 11 월한달동안접수된신종 ( 변형 ) 스파이웨어발견건수는 [ 표 3-7] 과같다. 43

스파이 애드웨 드롭퍼 다운로 다이얼 클리커 익스플 AppCare Joke 합계 웨어류 어 더 러 로잇 9월 244 108 112 188 0 30 0 1 1 684 10월 180 138 90 345 0 29 0 2 0 784 11월 194 165 120 314 0 26 0 2 0 821 [ 표 3-7] 2008년 11월유형별신종 ( 변형 ) 스파이웨어발견현황 전체적으로 10 월과비슷한양상을보이고있으며전체발견건수는소폭증가하였다. 2008 년하반기에접어들면서신종및변형스파이웨어발견건수가계속증가하고있고당분간 증가세는계속유지될것으로예상된다. 44

(3) 시큐리티통계 - 11 월시큐리티통계 2008년 12월에마이크로소프트사로부터발표된보안업데이트는총 2건으로긴급 (Critical) 1건, 중요 (Important) 1건이다. 우연의일치인지모르지만마이크로그소프트사의보안업데이트에서는재미있는나름의비공식적인법칙을찾아볼수있다. 아래그래프에서보듯이 2 달을주기로그숫자의변화가일정하여지난달업데이트수가많았다면이달에는그수가매우감소하는규칙을갖는다. 이달에발표된 MS08-069 MS XML Core 취약점 1 은 ActiveX 취약점을이용하여악의적인스크립트를로딩할수있는취약점으로서웹공격에또다시이용될수있는충분한가능성을갖고있다. 이미공격코드가공개되었으므로웹공격으로부터안전성확보를위해해당패치에대한빠른적용이필요할것이다. [ 그림 3-9] 최근 1 년간 MS 취약점건수 위험도 취약점 PoC 긴급 (MS08-069) Microsoft XML Core Services 의취약점으로읶한원격코드실행문제점 유 중요 (MS08-068) SMB 의취약점으로읶한원격코드실행문제점 무 [ 표 3-8] 2008년 11월발표된주요 MS 보안패치 1 http://www.microsoft.com/technet/security/bulletin/ms08-069.mspx 45

2008 년 11 월웹침해사고현황 500 400 61 61 침해지 유포지 57 300 200 100 52 125 61 192 63 122 71 272 410 389 329 57 39 256 238 39 134 48 35 194 182 0 2007년2008년2008년2008년2008년2008년2008년2008년2008년2008년2008년2008년 12월 1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 [ 그림 3-10] 악성코드배포를위해침해된사이트수 / 배포지수 2008년 11월의웹사이트경유지 / 유포지수는 182/35로지난달의 194/48과비교하여큰차이가없다. 또한, 11월의발견취약점관련동향에도지난달과큰차이가없다. MS07-017 취약점을이용한배포가현저하게줄었으며, MS08-041 Microsoft Access Snapshot Viewer 취약점을이용해악성코드배포를시도한사례가종종발견되고있다. 46