<4D6963726F736F667420576F7264202D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

목차 Part Ⅰ. 2 월의 악성코드 통계 1. 악성코드 통계... 2 (1) 감염 악성코드 Top 15... 2 (2) 카테고리별 악성코드 유형... 3 (3) 카테고리별 악성코드 비율 전월 비교... 3 (4) 월별 피해 신고 추이... 4 (5) 월별 악성코드 DB 등록 추이... 4 2. 악성코드 이슈 분석 악성코드 종합 선물셋트 Bredolab Worm... 5 3. 허니팟/트래픽 분석... 9 (1) 상위 Top 10 포트... 9 (2) 상위 Top 5 포트 월별 추이... 9 (3) 악성 트래픽 유입 추이...10 4. 스팸메일 분석...11 (1) 일별 스팸 및 바이러스 통계 현황...11 (2) 월별 통계 현황...11 (3) 스팸 메일 내의 악성코드 현황...12 Part Ⅱ. 2 월의 보안 이슈 돋보기 1. 2 월의 보안 이슈...13 2. 2 월의 취약점 이슈...16 페이지 1

Part Ⅰ 2월의 악성코드 통계 1. 악성코드 통계 (1) 감염 악성코드 Top 15 순위 악성코드 진단명 카테고리 [2010년 2월 1일 ~ 2010년 2월 28일] 합계 (감염자수) 1 - A.ADV.Admoke Adware 64,295 2 - V.DWN.el.39xxxx Trojan 54,003 3 - S.SPY.Lineag-GLG Spyware 41,282 4 New V.DWN.lovgp Trojan 28,417 5 1 V.DWN.VB.paran Trojan 27,415 6 New Backdoor.Generic.260638 Backdoor 21,359 7 - V.WOM.Conficker Worm 20,551 8 New V.DWN.Agent.294912 Trojan 18,844 9 1 H.HJK.SearchPack Hijacker 17,182 10 1 S.SPY.OnlineGames-H Spyware 14,950 11 New Trojan.Generic.3054255 Trojan 14,948 12 New Trojan.Generic.3206386 Trojan 13,907 13 New Trojan.Generic.3008623 Trojan 13,406 14 1 Win32.Virtob.6.Gen Virus 12,609 15 New Backdoor.Generic.269487 Backdoor 11,848 자체수집, 신고된 사용자의 감염통계를 합산하여 산출한 순위임 감염 악성코드 Top 15는 사용자 PC에서 탐지된 악성코드를 기반으로 산출한 통계이다. 1월의 감염 악성코드 TOP 15는 A.ADV.Admoke이 64,295건으로 TOP 15 중 1위를 차지하였으 며, V.DWN.el.39xxxx이 54,003건으로 2위, S.SPY.Lineag-GLG이 44.282건으로 3위를 차지하였다. 2월 특이사항은 국내에서 제작된 리워드 프로그램에 의한 피해가 날이 갈수록 늘어나고 있는 점이다. 이러한 리워드 프로그램들은 번들로 설치되 보안 제품에서 진단하지 못하는 경우가 많으므로 프로그램 설치 시 옵션 목록을 꼼꼼히 살펴보고 불필요한 프로그램은 설치하지 않는 것이 좋다. 페이지 2

(2) 카테고리별 악성코드 유형 바이러스(Virus) 3% 하이재커 (Hijacker) 백도어 5% (Backdoor) 9% 웜(Worm) 5% 스파이웨어 (Adware) 15% 애드웨어 (Adware) 17% 트로이 목마 (Trojan) 46% 애드웨어(Adware) 트로이 목마 (Trojan) 스파이웨어 (Spyware) 웜(Worm) 하이재커(Hijacker) 바이러스 (Virus) 백도어(Backdoor) 악성코드 유형별 비율은 트로이 목마(Trojan)가 46%로 가장 많은 비율을 차지하고, 애드 웨어(Adware)가 17%, 스파이웨어(Spyware)가 15%의 비율을 각각 차지하고 있다. 이번에 46%의 가장 높은 비율을 차지한 트로이목마(Trojan)는 보안이 취약한 웹 사이트에 서 유포된 경우가 많이 발견되었다. (3) 카테고리별 악성코드 비율 전월 비교 하이재커(Hijacker) 트로이 목마 (Trojan) 취약점(Exploit) 웜(Worm) 애드웨어(Adware) 스파이웨어 (Spyware) 백도어(Backdoor) 바이러스 (Virus) 7.02% 4.58% 0.00% 0.00% 5.05% 5.48% 20.61% 17.14% 15.14% 14.99% 2.98% 8.85% 3.40% 3.36% 45.81% 45.58% 1월 2월 0% 20% 40% 60% 80% 100% 카테고리별 악성코드 비율을 전월과 비교하면, 백도어(Backdoor)가 약 6% 증가하였으며, 애드웨어(Adware)는 약 3% 감소하였다. 그 동안 애드웨어(Adware)에 집중되던 악성코드 비율이 점차 감소하고, 웜(Worm), 백도어(Backdoor)등 다양한 악성코드들이 증가하였다. 페이지 3

(4) 월별 피해 신고 추이 [2009년 3월 ~ 2010년 2월] 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월 1월 2월 알약 사용자의 신고를 합산에서 산출한 결과임 월별 피해 신고추이는 알약 사용자의 신고를 합산해서 산출한 결과로써, 월별 신고 건수를 나타내는 그래프이다. 2월의 경우 전달보다 신고 건수가 감소했으며 설연휴 등으로 인한 변수 로 인해 나타난 것으로 보여진다. (5) 월별 악성코드 DB 등록 추이 [2009년 03월 ~ 2010년 2월] 200903 200904 200905 200906 200907 200908 200909 200910 200911 200912 201001 201002 Adware Spyware Hijacker KeyLogger Exploit RAT Trojan Worm Backdoor Downloader Dropper Misc 페이지 4

Part Ⅰ 2월의 악성코드 통계 2. 악성코드 이슈 분석 악성코드 종합 선물셋트 Bredolab Worm 지난 2월 9일부터 스팸메일 발송, 네트워크 트래픽 증가, CPU 리소스 고갈로 인해 정상적인 PC 사용이 불가능하다는 신고가 크게 증가했다. 문제의 PC를 분석한 결과 원인은 변종 브래도랩 웜(Bredolab Worm)으로 밝혀졌다. 브래도랩 웜(Bredolab Worm)은 지난 2009년 6월에 처음 발생되어 현재까지 유행하고 있는 악성코드로, 제우스봇(ZeusBot)과 같이 봇넷(Bot Net) 에이전트와 친밀한(?) 관계를 유지하는 것으로 알려져 있다. 또한, 이번에 발생 된 브래도랩 웜(Bredolab Worm)은 봇넷(Bot Net) 기능을 기반으로 멀티 다운로더(Multi-Downloader) 역할을 수행 한 것으로 확인되었다. 감염 된 PC에서는 스팸메일 발송, TCP 445 Port를 이용한 네트워크 트래픽(Traffic) 과다 발생, CPU Resource 고갈로 인한 정상적인 PC 사용이 불가능하다. 이외에도 정상 드라이버파일 변조, 보안 서비스 사용중지 및 보안 관련 웹사이트 접속불가, 블루스크린(BSOD) 현상 발생, 안전모드 레지스트리 삭제로 심각할 경우 시스템의 하드 디스크 포맷(HDD Format) 및 OS 재설치까지 고려해야 하는 최악의 상황이 발생하게 된다. 현재 브래도랩 웜(Bredolab Worm)의 최초 유포 경로는 확인되지 않았으나, Zbot과의 연결 관계로 미루어보아 FakeAntiVirus 설치, 스팸메일, USB 이동식디스크, P2P와 같은 경로로 확산된 것으로 판단되고 있다. Bredolab Worm 악성코드 분석 <그림 : Bredolab Worm 악성코드의 실행 흐름> 페이지 5

Wnzip32.exe (V.WOM.SillyFDC-CJ) 이번 Bredolab Worm 의 시작점이 되는 파일이며, USB 같은 이동식 디스크와 P2P 공유폴더로 전파되는 것으로 판단된다. 1) wnzip32.exe 파일이 실행되면 최상위 루트에 RECYCLER\{Random CLSID}폴더를 생성하며 자신의 복사본을 생성 후, 부팅 시 자동실행을 위해 Winlogon 레지스트에 TaskMan 값을 생성시킨다. 2) 이동식디스크를 체크하여 이동식디스크에 Autorun.inf 파일을 생성시킨다. 3) 특정 서버로부터 3 개의 악성파일을 다운로드 후 실행시킨다. http://174.120.***.***/pr3xy.exe (V.WOM.Kolab.ea) http://babo****.com/r64winnt.exe (V.TRJ.Pakes.may) http://ahlebo****.com/loaderadv563.exe (V.DWN.Bredolab.18432) 4) P2P 와 MSN 의 설치 유무를 확인하여 설치 된 P2P 공유폴더와 MSN 을 이용해 추가적인 전파를 시도한다. pr3xy.exe (V.WOM.Kolab.ea) 1) pr3xy.exe 파일이 실행되면 최상위 루트에 RECYCLER\ RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 폴더를 생성하며 자신의 복사본을 생성 후, 부팅 시 자동실행을 위해 Winlogon 레지스트에 12CFG214-K641-12SF-N85P 값을 생성시킨다. 2) 이동식디스크를 체크하여 이동식디스크에 Autorun.inf 파일을 생성시킨다. 3) 성인용품, 비아그라, 약품 에 대한 스팸메일을 발송한다. 스팸메일 제목 Vicodin,Percocet,Valium,Codine,Many MoreMedications that you Need Pills from Canadian Pharmacy! 스팸 메일이 연결시키는 URL (상세 URL 주소는 제외하였습니다.) http://xxurxxcsmedsxx.co http://xxiqxxquaxx.com <그림 : 스팸메일이 연결해주는 약물 판매 사이트> 페이지 6

r64winnt.exe (V.TRJ.Pakes.may) 1) r64winnt.exe 파일이 실행되면, %SYSTEM%폴더와 %PROFILE% 폴더에 reader_s.exe 파일을 생성시킨다. 2) 파일생성이 완료되면, 윈도우 재부팅시 자동시작을 위해 레지스트리를 수정한다. <그림 : HLM과 HCU의 RUN 레지스트리 수정> 3) reader_s.exe 파일의 프로세스 생성시, 정상적인 svchost.exe 프로세스를 자식 프로세스로 생성해 메모리변조를 시도한다. 4) 변조 된 svchost.exe 프로세스는 대량의 스팸메일을 발송한다. 대량의 스팸 메일 발송으로 인해 네트웍(Network) 속도가 저하될 수 있다. <그림 : 변조 된 svchost.exe 프로세스의 스팸메일 발송화면> loaderadv563.exe (V.DWN.Bredolab.18432) 1) loaderadv563.exe 는 특정 서버로 접속하여 악성파일을 다운로드 하는 역할을 한다. <그림 : 악성파일을 다운로드 할 URL 리스트> 페이지 7

2) 다운로드 되는 파일들은 고정적이지 않으며, 어느 시점을 기준으로 변화하는 것으로 판단된다. 또한 이번 다운로드 방식에 특이점은 특정 User Agent 를 사용해야 다운로드가 가능하다는 점이다 User Agent : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)ver52 3) loaderadv563 다운로드 파일들의 기능 loaderadv563.exe 파일로 인해 다운로드 된 파일들은 아래와 같은 기능을 수행한다. 프로세스를 숨겨 동작하는 백도어(V.BKD.Cakl) 서비스를 숨겨 스팸메일을 발송(V.BKD.Rustock.C) 호스트 파일 변조 인터넷 접속시도로 인한 네트워크 트래픽 유발과 CPU 사용량을 증가시켜 PC 사용을 어렵게함.(V.DWN.Agent.kl) Windows 보안센터의 방화벽, 자동업데이트, 바이러스백신 모두 수정하여 사용자 PC 의 보안레벨을 낮춘다. 사용자 PC 의 개인정보 유출(S.SPY.Pasmu.gen) 윈도우 취약점을 이용한 전파(V.BKD.IRCBot.MDS) 이번 브레도랩 웜(Bredolab Worm)은 감염시작과 동시에 많은 악성코드들을 추가 다운로드 하고, PC 장애를 유발해 정상적인 PC 사용이 어렵게 된다. 또한, 감염된 PC를 예전의 상태로 복구하는 것이 매우 까다롭다. 이미 한번 감염된 PC는 반복적인 다운로드에 의해 많은 변종들이 발생되므로 PC 사용자 는 브레도랩 웜의 감염을 사전에 예방하는 것이 매우 중요하다고 할 수 있다. 마지막으로 기업 보안 담당자와 개인사용자는 아래의 7가지 보안권고사항을 항시 준수해 브레도랩 웜(Bredolab Worm)과 타 악성코드를 감염 전에 예방할 수 있도록 노력해야 한다. (1) 취약점을 이용한 악성코드의 감염을 예방하기 위해 윈도우 서비스팩과 보안패치를 최신으로 설치한다. (2) 보안제품의 실시간 감시가 되어있는지, 엔진 업데이트가 최신인지 확인하며 정기적 으로 검사한다. (3) 이메일을 보낸 사람이 불분명하거나 수상한 첨부파일, 수상한 URL이 있을 시 열지 말고 바로 삭제한다. (4) 불법 소프트웨어는 악성코드에 감염된 상태로 복사될 수 있으므로 컴퓨터 소프트 웨어는 꼭 정품을 사용한다. (5) 윈도우 공유폴더의 사용을 자제하고, 로그인 암호를 추측하기 어렵게 복잡하게 설정 하고 정기적으로 변경한다. (6) 이동식 디스크(USB)의 자동실행기능을 꺼두고, 사용 전 반드시 보안제품으로 검사 후 사용한다. 페이지 8

Part Ⅰ 2월의 악성코드 통계 3. 허니팟/트래픽 분석 (1) 상위 Top 10 포트 TCP 1433 2% TCP 135 97% TCP 21 1% 135 TCP 1433 TCP 21 TCP 110 TCP 4899 TCP 2967 TCP 161 UDP 3306 TCP 10000 TCP 6111 UDP 2월에는 전달에 비해 TCP 135 트래픽이 10% 이상 증가 했으며, TCP 1433(SQL) 관련 포트 트래픽은 6%, TCP 21(FTP)는 3%정도 감소하였다. 주로 TCP 135번의 트래픽은 악성 봇넷(Botnet)에 참여하는 좀비 PC에서 추가 감염 PC를 확 보하기 위한 목적이며, 윈도우의 최신 보안 패치 설치, 특수문자와 영문자, 숫자들을 조합한 정교한 비밀번호와 방화벽 사용으로 악성 트래픽으로부터 PC를 안전하게 보호할 수 있다. (2) 상위 Top 5 포트 월별 추이 [2009년 12월 ~ 2010년 2월] 160000 140000 120000 100000 80000 60000 40000 20000 135 1433 21 110 3306 0 2009-12 2010-01 2010-02 페이지 9

1 월에 비해 새로운 포트나 트래픽(Traffic)이 증가하지는 않았으나 135 포트 같은 경우 작년 12 월부터 지속적으로 증가하는 경향을 나타내고 있다. 135 번 트래픽은 주로 윈도우 기본 서비스 취약점을 노리는 패킷(Packet)들이며 PC 사용자가 보안패치 설치를 소홀히 한 경우 악성 트래픽에 의해 좀비 PC 가 될 수 있다. 그 외의 포트들은 사전공격 대입 방법을 통한 계정 탈취를 노린다. (3) 악성 트래픽 유입 추이 [2009년 8월 ~ 2010년 02월] 180000 160000 140000 120000 100000 80000 60000 40000 20000 0 2009-08 2009-09 2009-10 2009-11 2009-12 2010-01 2010-02 2월의 악성 트래픽 유입 추이는 12월에 감소 추이를 보이다 1월부터 다시 증가세로 돌아서 그 추세가 지속되고 있는 상황이다. 특히, 허니팟에 유입된 트래픽을 분석해본 결과 국내발 트래픽의 경우 TCP 135 포트를 이용 하는 경우가 많았지만 해외발 트래픽인 경우 TCP 1433을 이용한 유해 트래픽이 가장 많았다. 페이지 10

Part Ⅰ 2월의 악성코드 통계 3. 스팸 메일 분석 (1) 일별 스팸 및 바이러스 통계 현황 60,000 50,000 40,000 30,000 20,000 바이러스 스팸 10,000 0 2010-02-01 2010-02-03 2010-02-05 2010-02-07 2010-02-09 2010-02-11 2010-02-13 2010-02-15 2010-02-17 2010-02-19 2010-02-21 2010-02-23 2010-02-25 2010-02-27 일별 스팸 및 바이러스 통계 현황 그래프는 하루에 수신된 악성코드 첨부, 스팸메일의 개수 를 나타낸 그래프이다. 2월의 경우 밴쿠버 올림픽 기간(2월 13일~3월 1일) 동안 전반적으로 스팸메일 발송이 늘어났다는 것을 알 수 있다. (2) 월별 통계 현황 1,800,000 1,600,000 1,400,000 바이러스, 3.2% 바이러스, 3.2% [2009년 9월 ~ 2010년 2월] 1,200,000 1,000,000 800,000 600,000 400,000 바이러스, 4.4% 바이러스, 2.9% 스팸 86.7 스팸 84.6 스팸 92.0 바이러스, 5% 스팸 70.9 스팸 91.9 바이러스. 3.4% 스팸 88.6 바이러스 스팸 정상 200,000 0 10.2 10.8 4.6 23.9 4.7 7.9 9월 10월 11월 12월 1월 2월 페이지 11

월별 통계 현황은 악성코드 첨부 및 스팸메일이 전체메일에서 차지하는 비율을 나타내는 그래프이다. 1월 새해 첫 연휴를 노린 악성코드의 공격으로 인해 급증되었던 스팸메일 개수가 2월에는 많이 줄어든 것을 확인할 수 있다. 전체 메일 중 정상 메일이 7.9%를 차지하며, 스팸 메일은 가장 많은 88.6%, 바이러스 메일 은 3.4%를 차지하였다. 1월에 비해 스팸메일이 약 3% 감소하였으며, 그에 반해 정상 메일 이 약 3% 증가하였다. (3) 스팸 메일 내의 악성코드 현황 [2010년 2월 1일 ~ 2010년 2월 28일]ff 순위 악성코드 진단명 메일수[개] 비율[%] 1 W32/Virut-T 14,442 40.43% 2 W32/Mytob-H 4,971 13.92% 3 Mal/ZipMal-B 4,812 13.47% 4 VPS-090709-DDoS-2 3,661 10253% 5 W32/Mytob-C 2,292 6.42% 6 Troj/CryptBx-ZP 1,084 3.03% 7 W32/MyDoom-BZ 765 2.14% 8 W32/MyDoom-Gen 622 1.74% 9 W32/Sality-I 504 1.41% 10 Troj/BredoZp-S 277 0.78% 스팸 메일 내의 악성코드 현황은 1월 바이러스 메일에서 발견된 악성코드 중 Top 10을 뽑은 그래프이다. 현재 W32/Virut-T이 40.43%로 1위를 차지하였다. 2위는 13.92%를 차지한 W32/MyDoom-H, 3위는 13.47%를 차지한 Mal/ZipMal-B이다. 특히, 2월달에는 브레도랩 웜(Bredolab Worm)에서 발생된 스팸 메일들이 새롭게 Top 10에 진 입하였으며 전파를 위한 메일 발송이 매우 활발했음을 알 수 있다. 페이지 12

Part Ⅱ 2월의 이슈 돋보기 1. 2월의 보안 이슈 2월에는 대한민국 SW 기업 경쟁력 대상에서 보호/보안 SW 부문 최우수상 수상, 이스트 소프트 미주 법인 설립, 설 명절을 앞두고 브레도랩 악성코드 확산, 밴쿠버 올림픽과 김연 아의 인기를 틈탄 가짜 백신 유포 기승, SNS 서비스를 통한 기업 해킹 전년 대비 70% 이 상 증가 소식 등 다양한 보안 이슈들이 많았습니다. 제9회 대한민국 SW 기업경쟁력 대상 보호/보안 SW 부문 최우수상 수상! 지난 2월 24일에 한국소프트웨어산업협회 주최로 열린 제9회 대한민국 SW 기업경쟁력 대상 시상식에서 알약 2.0이 보호/보안 SW 부문 최우수상과 경영자상을 수상하였습니다. 이번 수상은 1800만이 사용 중인 국내 대표 무료백신 알약 과 트리플 엔진을 탑재하고 방화벽, 취약점 관리 등의 보안기능을 강화한 알약 2.0에 대해 긍정적인 반응을 보내주신 덕분에 이번 수상의 영예을 안을 수 있었습니다. 이스트소프트는 지속적인 신제품 개발 및 신사업 진출을 통해 미래성장 동력을 확보하고 동시에 국내 연구개발 기반을 바탕으로 해외시장을 지속적으로 확대해 글로벌 소프트웨 어 기업 으로 성장해 나간다는 계획을 갖고 있습니다. 사용자 여러분의 사랑으로 좋은 결 실을 맺게 된 저희 이스트소프트는 앞으로도 최선을 다해 고객님께 보답할 수 있는 회사 가 되겠습니다. 이스트소프트 미주 법인 설립으로 알툴즈 제품의 미국 공략 박차 알약을 비롯한 알툴즈 제품과 카발(CABAL) 게임을 미국 시장에 알리고, 성장시키기 위 한 이스트소프트 미주 법인이 최근 새롭게 설립되었습니다.. 이번에 설립된 미주 법인은 2003년부터 해외마케팅 전담 인력을 배치하고 다양한 시장 조사와 영문 제품 출시 등 오랜 기간 미국 시장 진출을 위해 준비한 노력의 결과로서 앞으로 이스트소프트가 글로벌 소프트웨어로 성장하기 위한 전략적 거점이 될 것입니다. 페이지 13

밴쿠버 올림픽과 김연아의 인기를 틈탄 가짜 백신 유포 기승 이번 밴쿠버 동계올림픽에서 대한민국은 역대 5위라는 최고의 성적을 거둔 가운데 동 계 스포츠의 신흥 강국으로 떠올랐습니다. 그 중 피겨스케이팅의 김연아 선수의 경기 장면은 전 세계를 감동시키기에 충분했으며 많은 국민들이 손에 땀을 쥐며 경기 장면을 지켜봤습니다. 하지만 그 순간 악성코드 제작자들은 동계 올림픽 기간 내내 가짜 백신 유포에 열을 올 렸으며, 올림픽 메달 순위 사이트, 김연아 선수의 트위터, 유튜브(Youtube) 동영상 등으 로 위장해 해외의 많은 PC 사용자들을 낚았(?)습니다. 설 명절을 앞두고 악성코드 종합선물셋트 Bredolab 악성코드 확산 설 명절을 몇 일 앞두고 매일 지속적인 변종을 내놓았던 브레도랩(Bredolab) 악성코드 가 추가적인 악성코드를 다량으로 PC에 다운로드 해 네트워크 속도 감소, CPU 부하 등 여러 직접적인 피해를 끼쳤습니다. 특히, 브레도랩에 감염된 PC를 예전의 정상 상태로 복구하는 것이 매우 까다롭고 이미 한번 감염된 PC는 반복적인 다운로드에 의해 많은 변종들이 발생되 철저한 사전 예방 만이 매우 중요합니다. <Bredolab 악성코드가 발송하는 스팸메일 연결 사이트와 실행 흐름 설명> 페이지 14

방송통신위원회 스마트폰 10대 안전 수칙 발표 스마트폰은 사실상의 내부적 구조가 PC와 비슷하고 악성코드 감염 및 보안 위협 또한 상당수 존재하는 것이 현실입니다. 이에 따라 방송통신위원회에서는 급증하는 스마트폰 사용자들에 대한 보안 위협을 대 비하기 위한 목적으로 스마트폰 10대 안전 수칙을 발표했습니다. <방송통신위원회의 스마트폰 10대 안전 수칙> 1 의심스러운 애플리케이션 다운로드하지 않기 2 신뢰할 수 없는 사이트 방문하지 않기 3 발신인이 불명확하거나 의심스러운 메시지 및 메일 삭제하기 4 비밀번호 설정 기능을 이용하고 정기적으로 비밀번호 변경하기 5 블루투스 기능 등 무선 인터페이스는 사용시에만 켜놓기 6 이상증상이 지속될 경우 악성코드 감염여부 확인하기 7 다운로드한 파일은 바이러스 유무를 검사한 후 사용하기 8 PC에도 백신프로그램을 설치하고 정기적으로 바이러스 검사하기 9 스마트폰 플랫폼의 구조를 임의로 변경하지 않기 10 운영체제 및 백신프로그램을 항상 최신 버전으로 업데이트 하기 윈도우2000, XP 서비스팩 2 버전의 보안패치 공급 종료 마이크로소프트의 윈도우 2000과 XP 서비스팩 2(Service Pack 2) 제품에 대한 연장 기술지원(Extended Support Phase)이 2010년 7월 13일에 모두 종료됩니다. 연장 기술 지원이 종료되면 앞으로의 윈도우 보안 패치가 제공되지 않으므로 지금부터 최신 윈도 우 업그레이드 준비를 계획해야 합니다. 윈도우 2000 사용자의 경우 서비스팩 4 이후로 제공되는 추가 서비스팩이 없으며, 윈도우 XP 서비스팩 3, 비스타, 윈도우 7 버전으로 업그레이드해야 합니다. 윈도우 XP 서비스팩 2 이하 버전의 PC 사용자는 무료로 제공되는 서비스팩 3 파일을 설치하면 2014년까지 추가적인 기술지원을 받으실 수 있습니다. SNS 서비스를 통한 기업 해킹 전년 대비 70% 이상 증가 트위터, 페이스북 같은 SNS 서비스를 통한 기업 해킹이 크게 증가하고 있다는 통계가 발표되었습니다. 영국의 소포스(Sophos)에서 세계 기업체 500여개를 대상으로 설문조사 를 실시한 결과 SNS을 통해 기업이 해킹을 당한 사례가 전년 대비 70% 이상 늘어났으 며, 피싱이나 악성코드 공격은 지난해에 비해 10% 가량 증가한 것으로 나타났습니다. 페이지 15

Part Ⅱ 2월의 이슈 돋보기 2. 2월의 취약점 이슈 Microsoft 2월 정기 보안 업데이트 SMB Client 취약점으로 인한 원격코드실행 문제, TCP/IP 취약점으로 인한 원격코드실행 문제, 윈도우즈 커널 취약점으로 인한 권한 상승 문제. Kerberos 취약점으로 인한 서비스 거부 문제 해결 등을 포함한 12월 정기 보안 업데이트를 발표하였습니다. <해당 제품> Microsoft Office XP (MS10-003 취약점) Microsoft Office XP/2003 (MS10-004 취약점) Microsoft Office 2004 for Mac (MS10-003, MS10-004 취약점) Microsoft Windows 2000/XP/2003 (MS10-005, MS10-007, MS10-011 취약점) Microsoft Windows 2000/XP/2003/Vista/2008/7 (MS10-006, 008, 012, 013, 015 취약점) Microsoft Windows Vista/2008 (MS10-009 취약점) Microsoft Windows 2003/2008 (MS10-104 취약점) Microsoft Windows 2008 Server (MS10-010 취약점) <취약점 목록> MS10-006(978251) : SMB 클라이언트의 취약점으로 인한 원격 코드 실행 문제점 MS10-007(975713) : Windows 셸 처리기의 취약점으로 인한 원격 코드 실행 문제점 MS10-008(978262) : ActiveX 킬(Kill) 비트 누적 보안 업데이트 MS10-009(974145) : Windows TCP/IP의 취약점으로 인한 원격 코드 실행 문제점 MS10-013(979935) : Microsoft DirectShow의 취약점으로 인한 원격 코드 실행 문제점 MS10-003(978214) : Microsoft Office(MSO)의 취약점으로 인한 원격 코드 실행 문제점 MS10-004(975416) : Microsoft Office PowerPoint의 취약점으로 인한 원격 코드 실행 MS10-010(977894) : Windows Server 2008 Hyper-V의 취약점으로 인한 서비스 거부 MS10-011(978037) : Windows Client/Server Run-time Subsystem의 취약점으로 인한 권한 상승 문제점 MS10-012(971468) : SMB 서버의 취약점으로 인한 원격 코드 실행 문제점 MS10-014(977290) : Kerberos의 취약점으로 인한 서비스 거부 문제점 MS10-015(977165) : Windows 커널의 취약점으로 인한 권한 상승 문제점 MS10-005(978706) : Microsoft Paint의 취약점으로 인한 원격 코드 실행 문제점 <해결책> Windows Update를 수행하거나 Microsoft 보안 공지 요약 사이트에서 해당 취약점들의 개별적인 패치 파일을 다운로드 받을 수 있습니다. 한글 : http://www.microsoft.com/korea/technet/security/bulletin/ms10-feb.mspx 영문 : http://www.microsoft.com/technet/security/bulletin/ms10-feb.mspx 페이지 16

Adobe Flash Player, Acrobat 보안 업데이트 Adobe 사의 플래시(Flash)와 아크로뱃(Acrobat) 제품에서 인가되지 않은 크로스 도메인 요청(Cross-domain)을 허가하는 보안 취약점 및 서비스 거부 취약점이 발표되어 보안 업 데이트 설치를 권고합니다. <해당 제품> Adobe Flash Player 10.0.42.34 이하 버전 Adobe Acrobat 9.3 이하 버전 Adobe Air 1.5.3.9120 이하 버전 <해결책> - Adobe Flash Player와 Acrobat를 최신버전으로 업그레이드 합니다. Flash : http://get.adobe.com/kr/flashplayer/ Air : http://get.adobe.com/kr/air/ Acrobat : http://get.adobe.com/kr/reader/ <관련 홈페이지> http://www.adobe.com/support/security/bulletins/apsb10-06.html http://www.adobe.com/support/security/bulletins/apsb10-07.html Internet Explorer 신규 취약점을 통한 정보유출 취약점 Internet Explorer 5~8 버전에서 악의적인 컨텐츠를 통해 브라우저의 Security Zone을 우 회한 후 IE 사용자의 파일을 유출하거나 원격코드를 실행할 수 있는 취약점이 발견되었 습니다. 현재 이 취약점은 Internet Explorer의 패치가 발표되지 않은 제로데이(Zeroday) 상태이며, 본 취약점을 이용해 악성코드를 유포할 가능성이 높으므로 PC 사용자들의 주 의가 필요합니다. <해당 제품> 아래의 IE가 설치된 모든 윈도우 시스템 (64bit CPU 환경 포함) Microsoft Internet Explorer 5.01~8 <임시 해결책> 1) Internet Explorer의 네트워크 프로토콜 잠금(Network Protocol Lockdown)을 설정합 니다. 네트워크 프로토콜 잠금(Network Protocol Lockdown)은 file:// 프로토콜을 사 용하는 스크립트나 ActiveX 컨트롤이 인터넷 영역 에서 실행되지 않도록 제한하는 역할을 수행합니다. 2) Microsoft 홈페이지(http://support.microsoft.com/kb/980088)에서 네트워크 프로토콜 잠금 사용 Fix it 50365를 설치합니다. 페이지 17

Contact us 이스트소프트 알약긴급대응팀 Tel : 02-881-2364 E-mail : help@alyac.co.kr :알약사이트 : www.alyac.co.kr 페이지 18