안랩 ASEC에서 2012년 6월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.30을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 6월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

악성코드, 당신의 계좌를 노린다

이메일로 시도되는 APT 공격 주의

문서 파일을 이용한 끊임없는 악성코드 유포

아래아한글 제로데이 취약점을 악용한 악성코드 - 1

아래아한글 제로데이 취약점을 악용한 악성코드 - 2

알려진 한글 취약점을 악용한 악성코드 유포

안랩 사칭한 광고 스팸 메일 주의

정부 기관에서 발송된 메일로 위장한 스팸 메일

FedEx Post Office 메일로 위장한 악성 스팸 메일

변형된 형태의 XML 코어 서비스 취약점 (CVE-2012-1889) 악용


2) 모바일 악성코드 이슈

zsone 안드로이드 악성코드 변종 발견

스마트폰 사진을 변조하는 악성코드

스마트폰 앱 이용할 땐 항상 주의하세요


3) 보안 이슈

IE 동일한 ID 속성 원격 코드 실행 취약점(CVE-2012-1875)

XML 코어 서비스의 취약점으로 인한 원격 코드 실행 문제점 (CVE-2012-1889)

XML 코어 서비스 취약점(CVE-2012-1889) 악용 증가


4) 2012년 상반기 보안 위협 동향

정보 유출 목적의 APT(Advanced Persistent Threat) 공격 증가

개인정보 탈취용 악성코드 지속

애플리케이션 취약점을 이용한 악성코드 기능

모바일 악성코드 유포 경로 다양화

PC와 모바일 동시 겨냥한 피싱 사이트 등장


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.30 발간


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

안랩 ASEC에서 2012년 5월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.29을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 5월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

이력서로 위장한 악성코드

LinkedIn 스팸 메일을 위장한 악성코드 유포

DHL운송 메일로 위장한 악성코드

런던 올림픽 개최를 이용한 악성코드

ws2help.dll 파일을 패치하는 온라인게임핵 변종 악성코드

AV Kill 기능을 가진 온라인게임핵 악성코드

플래시 플레이어의 제로데이 취약점(CVE-2012-0779)을 이용하는 악성코드

Python으로 제작된 맥 악성코드

프로그램 설치 화면 놓치지 마세요

어린이날에도 쉬지 않는 악성코드 제작자


2) 모바일 악성코드 이슈

안드로이드 Notcompatible 악성코드 발견

어도비 플래시 플레이어로 위장한 안드로이드 악성 앱

허위 안드로이드 모바일 백신 유포

허위 유명 안드로이드 앱 배포 웹 사이트

Talking Tom Cat 사이트로 위장한 앱 사이트를 통해 유포되는 악성코드


3) 보안 이슈

어도비 플래시 플레이어 CVE-2012-0779 취약점 발견

'LOIC' 툴을 이용한 DDoS 공격 주의!


4) 웹 보안 이슈

꾸준히 발견되는 농협 피싱 사이트


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.29 발간


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

DNS Changer는 2005년경 해외에서 처음 발견된 악성코드로 2011년 제작자가 체포되기 전까지 다양한 변형들이 유포되어 감염 피해를 유발했다.


이 악성코드의 특징은 감염된 시스템의 네트워크 설정 중 dns 서버 IP를 제작자가 운영하는 것으로 변경하는 것이다. DNS 서버의 IP를 변조하는 것은 DNS Changer 이외에도 다른 여러 악성코드들이나 파밍과 같은 사기 수법 등 다양한 형태의 공격 방식에서 사용되고 있다. DNS 서버의 IP를 제작자가 의도한 것으로 변경하면 웹 브라우저를 이용해 정상 웹 사이트의 도메인에 접속할 때 제작자가 의도한 사이트로 접속을 하도록 쉽게 조작할 수 있다. 이 경우 악성코드를 제거하더라도 사용자가 dns가 변경된 것을 인지 하지 못하는 경우 이로 인해 다시 감염이 될 가능성이 높기 때문에 지속적인 피해를 당할 가능성이 높다.

 

DNS Changer의 경우에도 감염 시 웹브라우저를 이용해 정상적인 사이트에 접속할 때 악성코드를 감염시키는 페이지로 접속 하도록 변경하여 2차 감염의 피해를 유발한다. 더구나 이 악성코드는 제작자가 감염된 시스템을 좀비PC화하여 다양한 용도로 사용하기 위해 제작되었기 때문에 감염된 시스템은 PC 사용자 정보의 유출뿐 아니라 다른 시스템을 공격하는 등 여러 가지 문제를 유발했을 가능성이 높다.

 

DNS Changer Working Group( http://www.dcwg.org )의 자료에 의하면 이 악성코드에 감염이 된 시스템은 대부분 미국과 유럽에 위치하고 있고 약 30-40만대 정도의 시스템이 현재 감염이 된 상태로 보인다.

 

[그림1] DNS Changer 감염 현황

 

감염 피해 현황에 대한 정보는 DCWG에서 제공하는 감염된 시스템의 Unique IP 로 추정해볼 수 있다.

  • DNS Changer 감염 Unique IP 현황

       - http://www.dcwg.org/updated-dns-changer-data-daily-count-of-unique-ip-addresses/

 

다만 감염된 시스템들이 모두 항상 켜져 있는 것은 아닐 것이므로 이 수치는 대략적인 것이고 실제로는 더 많은 시스템들이 감염이 되어있을 것으로 보인다.

 

다행스러운 것은 현재는 제작자가 검거되었기 때문에 봇넷은 더 이상 동작하지 않을 가능성이 높다는 것이다. 그렇다고 해도 이 악성코드의 변형이 매우 많고 다양한 기능들이 아직 동작하고 있을 것이므로 여전히 이 악성코드 감염으로 인한 피해의 가능성은 남아있는 상황이다.

 

그 중 가장 큰 문제가 되는 것이 변경된 DNS 서버 주소로 인한 것이다. FBI에서는 악성코드 제작자가 운영하던 DNS 서버를 7월 9일 정지시킬 예정인데 감염되어 DNS 서버의 주소가 변경된 경우 DNS 서버를 사용할 수 없게 되므로 도메인을 이용한 웹 사이트 접속 등의 통신이 불가능하게 된다.
개인 PC 뿐 아니라 도메인을 이용해 서버간 통신을 하는 경우에도 DNS 서버를 사용할 수 없게 되므로 인해 대상 서버의 IP 주소를 찾지 못해 서비스에 장애가 발생할 가능성이 있다. 특히 웹서버와 같은 도메인을 많이 사용하는 시스템들은 주의가 필요하다.

 

정부의 발표에 따르면 국내에서 DNS Changer의 감염 수치가 미비한 수준이라 이 악성코드에 의한 영향이 많지는 않을 것이라고 하고 DCWG에서 발표한 감염 피해 현황에도 국내의 감염 피해가 많은 것 같지는 않지만 장애 예방 차원의 점검을 해볼 필요는 있다.

 

가장 문제가 될 소지가 있는 통신 장애에 대비해 자신이 사용하고 있는 시스템이 감염되었는지 간단하게 확인을 해볼 필요가 있는데 이를 위해서는 DNS 서버의 주소가 아래의 악성 서버로 변경되어 있는지 조사를 해보면 된다.

 

DNS Changer의 악성 DNS 서버 목록 
 시작 IP  마지막 IP  CIDR
 85.255.112.0  85.255.127.255  85.255.112.0/20
 67.210.0.0  67.210.15.255  67.210.0.0/20
 93.188.160.0  93.188.167.255  93.188.160.0/21
 77.67.83.0  77.67.83.255  77.67.83.0/24
 213.109.64.0  213.109.79.255  213.109.64.0/20
 64.28.176.0  64.28.191.255  64.28.176.0/20

[표1] DNS Changer가 운영하는 악성 DNS 목록

 

기업 사용자는 내부 서버들의 네트워크 설정 정보를 점검하는 것이 좋겠지만 환경이 되지 않는 경우 위의 주소로 dns 쿼리 등 통신을 하는 시스템이 있는지 방화벽 등 네트워크 장비를 모니터링 해보는 것을 권장한다.

 

개인 사용자는 아래 사이트에 접속을 하는 것만으로도 위 표에 나온 DNS 서버를 사용하고 있는지 체크를 해주므로 접속을 해볼 것을 권장한다.

  • DNS Changer 감염여부 점검하기

      - http://www.dns-ok.us/

[그림2] DNS Changer 감염여부 체크하기


또한 보호나라에서 DNS Changer와 관련해 발표한 정보를 참고하면 피해 예방에 도움이 될 수 있다.

  • 보호나라의 DNS Changer 정보보기

      - http://www.boho.or.kr/kor/notice/noticeView.jsp?p_bulletin_writing_sequence=960

  • 보호나라에서 제공하는 DNS Changer 전용백신

      - http://download.boho.or.kr/vacc_care/vacc_board_view_frame.jsp?vac_id=VAC20120613002

 

마지막으로 악성코드에 대한 이해를 돕기 위해 미국 FBI에서 발표한 내용을 참고해볼만 하다.

 - http://www.fbi.gov/news/stories/2011/november/malware_110911/DNS-changer-malware.pdf

 

DNS Changer가 다양한 변형이 있고 감염 시 여러 악성코드들을 설치하기 때문에 위에 감염이 의심되는 경우 위에 제시한 여러 가지 내용 중 DNS 주소를 체크하는 것과 전용백신을 이용한 검사는 병행을 하는 것을 권장한다. 다만 이 악성코드의 경우 5년 가까운 오랜 기간 동안 변형이 유포되었기 때문에 전용백신이라고 해도 미진단되는 변형이 있을 가능성이 있다. 따라서 사용하고 있는 백신이 있다면 최신 엔진으로 업데이트 후 추가로 검사를 해보는 것이 좋다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by AhnLab_ASEC

안랩 ASEC에서 2012년 4월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.28을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 4월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

악성 DOC 문서를 첨부한 스피어 피싱 메일

북한 광명성 3호 발사 및 핵 실험을 주제로 한 악성코드

4.11 총선 이슈에 발견된 악성코드

런던 올림픽 개최를 이용한 악성코드

핵 안보 정상회담 PDF 문서로 위장한 악성코드

사회공학 기법을 이용하여 유포되는 악성 HWP 파일

국내 주요 금융기관 피싱 사이트 다수 발견

페이스북을 통해 유포되는 보안 제품 무력화 악성코드

보안 제품의 업데이트를 방해하는 Host 파일 변경 악성코드 주의

보안 제품 동작을 방해하는 온라인 게임핵 변종

Mac OS를 대상으로 하는 보안 위협의 증가

윈도우, Mac OS를 동시에 감염시키는 악성코드

자바, MS 오피스 취약점을 이용하여 유포되는 Mac OS X 악성코드

티베트 NGO를 타깃으로 하는 Mac 악성코드

낚시 포털 사이트를 통해 유포되는 온라인게임 계정 탈취 악성코드

스턱스넷 변형으로 알려진 듀큐 악성코드의 변형

스파이아이 공격 대상 기업들의 업종과 국가 분석


2) 모바일 악성코드 이슈

Another fake Angry birds


3) 악성코드 분석 특집

불필요한 옵션 사용으로 발생할 수 있는 스마트폰 보안 위협과 대응


4) 보안 이슈

윈도우 공용 컨트롤 취약점(CVE-2012-0158)을 악용하는 문서


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.28 발간


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
안철수연구소 ASEC에서 2012년 2월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.26을 발간하였다. 

 
이 번에 발간된 ASEC 리포트는 2012년 2월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.

1) 악성코드 이슈
 PC에 존재하는 모든 문서 파일을 탈취하는 악성코드
누군가 나를 지켜보고 있다? 웹캠으로 도촬하는 악성코드
가짜 KB국민은행 피싱 사이트 주의
스마트폰의 문자 메시지로 전달되는 단축 URL
특정 기관을 목표로 발송되는 발신인 불명의 이메일 주의
시리아 반정부군을 감시하기 위한 악성코드 유포
변형된 MS12-004 취약점 악용 스크립트 발견
MS11-073 워드 취약점을 이용하는 타깃 공격 발생
어도비 플래시 취약점 이용한 문서 파일 발견
wshtcpip.dll 파일을 변경하는 온라인게임핵 발견
윈도우 비스타, 윈도우 7을 대상으로 하는 온라인게임핵 악성코드 발견

2) 모바일 악성코드 이슈
안드로이드 애플리케이션에 포함된 윈도우 악성코드

3) 보안 이슈
국내 동영상 플레이어 프로그램의 취약점
아래아한글 스크립트 실행 취약

4) 악성코드 분석 특집
내가 설치한 앱이 악성코드라고?

 
안철수연구소 ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 

ASEC 보안 위협 동향 리포트 2011 Vol.26 발간
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
안철수연구소 ASEC에서 2012년 1월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2011 Vol.25을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2012년 1월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.

MS12-004 윈도우 미디어 취약점을 악용한 악성코드 유포
스페이스와 탭을 이용한 자바스크립트 난독화 소스 출현
보안 제품의 업데이트를 방해하는 Hosts 파일 변경 악성코드 주의
내 하드디스크가 타버린다고? 불안심리를 자극하는 Hoax 악성코드
단축 URL을 이용해 트위터로 유포 중인 피싱 웹사이트
악성코드 버그로 인한 “응용 프로그램 초기화 오류”와 BSOD(Hard Disk) 발생
MADDEN NFL 12 로 위장한 악성 애플리케이션
일본 성인사이트에서 유포되는 악성 애플리케이
Hash Collision 공격을 통한 웹 서버 서비스 거부 공격(DoS)
HP LaserJet  펌웨어 관련 치명적 보안 취약점 발견

이 외에 악성코드 분석 특집으로 "모바일 악성코드 동향"을 포함하고 있다.
 

안철수연구소 ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다 

ASEC 보안 위협 동향 리포트 2011 Vol.25
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
안철수연구소 ASEC에서 2011년 12월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2011 Vol.24을 발간하였다. 

그리고 이번 호에서는 2011년 주요 보안 위협 이슈와 함게 2012년에 예상되는 보안 위협도 같이 포함되어 있다.


이 번에 발간된 ASEC 리포트는 2011년 12월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.

김정일 위원장 사망을 이용한 애드웨어 유포

김정일 위원장 사망을 악용한 악성 전자 문서 파일 유포
국내 연예인 사생활 동영상으로 위장한 악성코드 유포
2012년 버전으로 위장한 허위 클라우드 백신
악성코드를 위한 안티바이러스 체크 웹 사이트
아크로뱃 제로데이 취약점을 악용한 타깃 공격
여러 가지 취약점을 이용한 제우스봇 전파 메일 발견
구글 안드로이드 마켓에 업로드된 악성 애플리케이션


안철수연구소 ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다 

ASEC 보안 위협 동향 리포트 2011 Vol.24 발간 
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

- 앱, OS 취약점 노린 악성코드 대량 유포, 좀비폰 본격 등장 예상 
- 스마트폰 전용 백신, 공식 마켓 활용 등 사용자 주의 당부

글로벌 보안 기업인 안철수연구소[대표 김홍선, www.ahnlab.com, 약칭 ‘안랩’]는 5일 2011년에 발생했던 주요 스마트폰 악성코드 트렌드와 2012년에 예상되는 스마트폰 보안 위협을 발표했다.
 
이에 따르면 2011년의 주요 이슈는 ▶과금형 악성코드 폭발적 증가 ▶유명 어플리케이션으로 위장한 악성코드 ▶사생활 침해형 애플리케이션 증가 ▶ 온라인뱅킹정보 노리는 악성코드 발생 등을 꼽았다.
 
또한, 2012년 한 해 예상되는 주요 스마트폰 보안이슈는 ▶ 애플리케이션, OS 취약점 등을 이용한 악성코드 대량 유포 가능성 ▶커널을 공격하는 루트킷 기능의 발전 ▶ 좀비폰 및 봇넷 본격적 활성화 ▶국내를 겨냥하는 모바일 악성코드 등장 등이다.
 
2012년 예상 스마트폰 보안 위협
 
1] 애플리케이션, 운영체제 취약점 등을 이용한 악성코드 대량 유포 가능성
 
현재 윈도우 PC 기반 악성코드 배포 방식 중 가장 유행하는 것은, 웹사이트 변조를 통해 악성코드를 심어 관련 취약점이 패치 되지않은 다수의 사용자에게 악성코드를 유포하는 것이다. 이와 동일하게 스마트폰 사용자가 증가하고, 자연스럽게 이를 통해 인터넷 웹페이지를 보는 경우가 증가함에 따라 해커의 타깃이 될 가능성이 높다. 모바일 환경에서도 PC와 마찬가지로 모바일용 웹어플리케이션의 취약점을 이용해 다수의 사용자에게 한꺼번에 악성코드를 유포한다면 매우 위험해질 수 있다. 소셜네트워크서비스[SNS], 이메일 애플리케이션 등도 취약점이 발견된다면 역시 악용될 수 있다.
 
2] 스마트폰 커널을 공격하는 루트킷 기능의 발전
 
안드로이드의 루팅[rooting]이나, 아이폰의 해킹[hacking]은 애플리케이션의 취약점을 이용하는 것이다. 운영체계의 가장 중요한 핵심인 ‘커널’의 모든 것을 조작할 수 있는 일명 슈퍼유저[super user]의 권한을 취득하게 해준다. 수퍼유저 권한 획득은 일반적 사용자에게 스마트폰의 기능 중 다양한 이유로 제한된 부분을 임의로 조작할 수 있게 해준다. 반면, 악의적인 사용자나 어플리케이션이 이 방법을 악용한다면 치명적일 수 있다. 예를 들어, 시스템 자체를 삭제해서 스마트폰을 영원히 쓸 수 없게 만든다거나, 절대 삭제할 수 없는 악성 애플리케이션을 몰래 실행시킨다거나 하는 것이다. 모바일 악성코드가 증가할수록 이와 같은 스마트폰의 커널을 공격하는 발전된 기술이 유포될 가능성이 높다.
 
3] 좀비 스마트폰 본격적 활성화
 
스마트폰에 악성코드를 대량으로 유포하는 방식이 발전한다면, 좀비PC와 마찬가지로 ‘좀비스마트폰’이 활성화할 가능성이 높다. 7.7 이나 3.4 디도스 공격과 같은 사태가 스마트폰 감염으로 발생하지 않으리라는 보장은 없는 것이다. 올해 안드로이드 플랫폼에서도 스마트폰을 좀비화시키는 봇[bot]에 감염된 ‘좀비 스마트폰’의 네트워크인 ‘봇넷[botnet]을 구성하려는 시도를 보인 악성코드가 중국의 써드파티 마켓에서 발견되었지만, 제한적인 마켓에서만 유포됐기 때문에 피해는 크지 않았다. [http://asec.ahnlab.com/299 참고]
 
4] 국내를 겨냥하는 스마트폰 악성코드 등장
 
2011년에는 다양한 스마트폰 악성코드가 발생한 한 해였지만, 대부분의 악성코드가 유럽, 러시아, 중국 지역을 겨냥하여 만들어져 국내에서의 모바일 악성코드 피해는 크지 않았다. 그러나 한국의 스마트폰 사용률이 매우 높은 편이라는 것을 고려할 때, 악성코드 제작자의 주목을 받을 소지가 다분하다. 국내의 스파이웨어 방지법을 교묘히 피해 제작되는 애드웨어성 악성코드나, 각종 온라인게임계정 또는 민감한 개인정보를 탈취하는 류의 악성코드가 국내의 모바일 환경에 맞게 새롭게 등장할 수 있다.
 
2011년 주요 스마트폰 악성코드 트렌드

1] 과금형 악성코드 폭발적 증가

2011년을 대표하는 안드로이드 악성코드로는 과금형 악성코드를 꼽을 수 있다. 과금형 악성코드는 안드로이드 플랫폼이 전화나 문자기능이 포함된 스마트폰 운영체제[OS]라는 점을 악용한 예이다. 대부분 문자 과금 방식[premium call, 송신자에게 추가요금이 발생하는 번호 서비스]을 주로 이용한다. 즉, 악성코드 감염 시 추가 과금을 발생시키는 특정 번호로 사용자 몰래 문자를 보내 피해자에겐 금전적 피해를 주는 동시에 공격자에겐 직접 수익을 발생시킨다. 가장 최근에 발견된 과금 악성코드는 Android-Trojan/Pavelsms [http://asec.ahnlab.com/751 참고]로, 해외에선 ‘ruFraud’라는 이름으로 알려져 있다. 이 악성코드는 감염 시 스마트폰의 가입국가를 파악하고 유럽 내 스마트폰일 경우 각 국가에 맞는 프리미엄 문자를 보내는 것이 특징이다.
 
2] 유명 어플리케이션으로 가장한 위장형 악성코드
 
구글서치[Google Search], 구글플러스[Google+], 앵그리버드[Angry bird], 오페라[Opera], 스카이프[Skype] 등 사용자층이 많은 유명 어플리케이션으로 위장해 악성코드를 배포한 사례도 있다. 이런 위장형 악성코드는 주로 정식마켓이 아닌 사설마켓[써드파티마켓]을 통해 배포되었다. 또한 실제 정상 애플리케이션과 아이콘, 애플리케이션 이름이 완전히 동일하여 사용자가 쉽게 구분하기 어렵다. 다른 위장형 악성코드로는 정상 어플리케이션과 완전히 동일하게 동작하게끔 하면서 추가적으로 악성코드를 삽입하여 재배포 시키는 리패키징[repackaging]형 악성코드가 있다. [http://asec.ahnlab.com/258 참고]
 
3] 사생활 침해 형 어플리케이션 증가
 
스마트폰은 통화 및 문자 송수신, 카메라, GPS 기능 등으로 인해 PC보다 좀더 생활에 밀착된 민감한 정보들을 가지고 있다. 이러한 정보들이 유출될 시에는 심각한 사생활 침해가 된다. 예를 들어 진단명 ‘Android-Spyware/Nicky’와 같은 악성코드는 GPS를 통해 수집된 사용자 위치정보, 문자 송수신, 전화 송수신 내역뿐만 아니라 음성녹음 기능을 악용해 사용자의 통화내용까지도 훔쳐가는 기능을 내장하고 있어서 큰 충격을 주었다. [http://asec.ahnlab.com/320, http://core.ahnlab.com/290 참고] 2011년뿐 아니라 앞으로도 이러한 디지털 스토커[digital stalker]형 악성코드가 지속적으로 증가할 전망이다.
 
4] 온라인뱅킹정보 노리는 악성코드 발생
 
온라인뱅킹 정보를 갈취하는 것으로 유명한 Zeus 악성코드가 다양한 모바일 환경에서도 동작하도록 제작되어 유포된 것이 발견되었다. Zitmo[Zeus In The Mobile] 로 불리는 이 악성코드는 심비안, 블랙베리를 거쳐 최근엔 안드로이드 플랫폼까지 진화했다. 안드로이드의 Zitmo 악성코드는 해외의 뱅킹 보안 업체의 제품을 위장해 실행되었다. 온라인 뱅킹에 접속할 때 일회용 비밀번호[OPT]와 문자인증 등 두 가지의 인증요소로 본인임을 확인하는 이중인증[two-factor] 방식을 깨기 위해 문자 수신내역까지 감청하는 등의 치밀함을 보여준 것이 특징이다.
 
안철수연구소 시큐리티대응센터 이호웅 센터장은 "아직 국내에는 구체적 피해가 발생하지 않았지만 스마트폰 악성코드는 안드로이드를 중심으로 폭발적으로 증가하고 있다. 이는 스마트폰의 확산, 공격자의 직접수익 경로 확보 등의 이유로 2012년에도 증가세가 이어질 것으로 예상된다”라며, “사용자는 스마트폰 루팅이나 탈옥, 사설 마켓 이용 등을 자제하고, 애플리케이션을 다운받을 때 평판정보 확인, V3 모바일과 같은 스마트폰 전용 백신의 설치 및 최신 버전 유지 등의 주의를 기울이는 것이 좋다” 고 강조했다.
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

- APT 공격 경로 지능화, PC 악성코드 수준의 스마트폰 악성코드 등장 
- 애플리케이션 취약점 공격 국지화, 가상화/클라우드 환경 및 스마트TV도 공격 타깃

글로벌 보안 기업인 안철수연구소[대표 김홍선, www.ahnlab.com, 약칭 ‘안랩’]는 2일 ‘2012년 예상 7대 보안 위협 트렌드’를 발표했다. 이에 따르면 올 한 해 예상되는 주요 이슈는 ▶APT 공격 경로 지능화 ▶PC 악성코드 수준의 스마트폰 악성코드 등장 ▶SNS 통한 보안 위협 증가 ▶애플리케이션 취약점 공격 국지화 ▶특정 국가 산업/기관 시스템 공격 시도 증가 ▶가상화 및 클라우드 환경 공격 본격화 ▶네트워크로 연결되는 시스템에 대한 공격 증가 등이다.

 
1] APT 공격 경로 지능화
 
기업과 기관을 겨냥한 APT 공격이 2012년에도 지속적으로 이어지는 한편, 공격 경로가 지능화할 것으로 예상된다. 이제껏 주된 공격 방식은 타깃 기업/기관의 특정 구성원에게 업무 메일로 위장하는 것이다. 즉, SNS[소셜 네트워크 서비스] 등에서 이메일을 손쉽게 수집해 신뢰할 수 있는 사람으로 위장해 취약점이 포함된 문서를 첨부하거나, 취약점이 존재하는 웹 사이트 주소를 본문에 삽입해 악성코드를 감염시키는 것이다. 널리 사용되는 소프트웨어의 업데이트 관련 파일을 변조한 경우도 있었다. 앞으로는 조직 내부로 반입하기 쉬운 스마트폰이나 보안 관리가 어려운 기술지원 업체의 장비나 소프트웨어 등을 이용한 내부 침입도 발생할 것으로 예측된다.
 
2] PC 악성코드 수준의 스마트폰 악성코드 등장
 
스마트폰, 특히 안드로이드 겨냥 악성코드는 2010년에 악성코드 제작/유포의 가능성을 점쳐 보는 수준이었다면, 2011년에는 금전적 이득을 취할 수 있는 방법을 찾아 대량 제작된 시기였다. 2012년에는 감염의 효율을 높이기 위해 과거 PC용 악성코드에 사용된 기법이 본격적으로 활용될 것으로 예측된다. 즉, 스마트폰 내부에서 자신을 숨기는 은폐 기법과, 모바일 운영체제에 존재하는 취약점을 악용한 루트 권한 탈취 등이 있을 수 있다. 그리고, 사회공학기법을 악용해 웹사이트에서 악성코드 다운로드를 유도하거나, 모바일 웹 브라우저에 존재하는 취약점으로 인해 악성코드가 자동 감염되게 하는 기법도 등장할 것으로 예측된다. 스마트폰에 설치된 인터넷 뱅킹 및 온라인 쇼핑 관련 앱에서 금융/신용카드 정보를 탈취하는 기법도 나올 것으로 예측된다.
 
3] SNS 통한 보안 위협 증가
 
SNS가 정보를 전세계인 빠르게 공유하는 창구인 만큼 악용 사례도 급증하고 있다. 단축 URL이 전체 주소가 다 보이지 않는다는 점을 악용해 악성코드 유포 사이트나 피싱 사이트를 단축 URL로 유포하는 경우가 있었다. 2012년에는 단축 URL 악용 사례가 더 증가하는 한편, SNS가 APT[Advanced Persistent Threat] 공격의 경유지로 이용될 가능성도 있다.
 
4] 애플리케이션 취약점 공격 국지화

2011년에는 운영체제 같은 범용적 애플리케이션의 취약점을 공격하는 경우는 줄어든 반면, 특정 지역에서만 사용되는 애플리케이션의 취약점을 악용한 사례는 증가했다. 아래아한글을 비롯해 동영상 재생 소프트웨어, P2P 및 웹하드 프로그램의 취약점을 악용한 악성코드 유포가 대표적이다. 취약점을 가진 파일을 이메일로 전송하거나 웹 사이트 접속 시 자동으로 악성코드를 감염시키는 방식으로 유포된다. 이런 추세는 2012년에도 이어지는 한편, 애플리케이션 취약점이 APT 공격 등 다양한 보안 위협에 악용되리라 예측된다.
 
5] 특정 국가 산업/기관 시스템 공격 시도 증가

금전적 이익이나 정치적, 종교적 이유로 특정 국가의 산업/기관 시스템을 공격하는 시도가 더욱 증가할 것이다. 이런 공격에 직간접적으로 국가 기관이 개입돼 국가 간 사이버 전쟁으로 확대될 수도 있다. 사용자 부주의로 내부 시스템이 인터넷이나 외부 시스템에 연결되어 있을 때 이를 통해 공격이 들어올 수 있다. 또한 국가 산업/기관 시스템용 특정 소프트웨어의 취약점을 이용해 공격이 이루어질 것으로 예측된다.
 
6] 가상화 및 클라우드 환경 공격 본격화

최근 가상화 기술을 기반으로 클라우드 서비스 등을 사업 모델을 삼는 기업이 증가하고 있다. 그러나 가상화와 클라우드 서비스는 자원 활용의 극대화라는 장점이 있지만, 악용될 경우는 또 하나의 보안 위협이 될 수 있다. 실제로 2011년에 대표적인 가상화 제품의 보안 취약점이 다수 발견됐으며, 실제 금융 정보 탈취를 위한 스파이아이[SpyEye] 악성코드가 아마존 클라우드 서비스를 악용해 배포되기도 했다. 2012년에는 가상화 및 클라우드 서비스의 본격화에 맞추어 다양한 공격이 시도될 것으로 예상된다.
 
7] 스마트 TV 등 네트워크로 연결되는 시스템에 대한 공격 증가  

스마트폰, 스마트 TV를 비롯해 네트워크에 연결되는 임베디드 소프트웨어가 탑재된 기기에 대한 보안 위협이 증가할 것으로 예측된다. 특히 교체 주기가 비교적 길고 실생활과 밀접한 가전 제품은 지속적인 공격에 노출될 가능성이 높다. 실제로 인터넷 접속이 가능한 DVD 리코더를 악용한 공격이 일본에서 있었고, 한 보안 컨퍼런스에서는 닌텐도DS 단말기에 리눅스를 설치해 외부에서 특정 시스템을 제어하는 것을 시연하기도 했다. 단순 반복 작업만을 담당했던 임베디드 시스템이 네트워크에 연결됨에 따라 해킹 또는 디도스 공격의 타깃이 될 가능성이 점차 높아지고 있다.
 
이 밖에 정치적/사회적 목적을 이루고자 시스템을 해킹하거나 디도스 공격을 시도하는 행위인 핵티비즘[Hacktivism] 활동이 2012년에 특히나 많이 발생할 것으로 예측된다. 우리나라의 대선과 총선, 미국과 러시아의 대선 등 전세계적 이슈가 많기 때문이다.

안철수연구소 시큐리티대응센터 이호웅 센터장은 "IT 기기나 인터넷 환경이 발전할수록 보안 위협의 기술이나 확산 경로도 복잡다단해진다. 새로운 기기를 개발하거나 인프라를 구축할 때 보안을 함께 고려하는 것이 중요하다. 또한 개인이나 기업/기관은 정보보안을 일상 생활 및 업무로 인식할 필요가 있다.”라고 강조했다.
 
<참고> 안철수연구소 선정 ‘2011년 예상 7대 보안 위협 트렌드’
▶SNS 활용한 다양한 공격 범용화
▶디도스[DDoS] 공격 지능화
▶사회 기반 시설 겨냥한 타깃형 공격 증가
▶금전 노린 스마트폰 위협 증가
▶무선 인터넷 취약점 노린 위협 등장
▶클라우드, 가상화 기술 이용한 보안 위협 등장
▶제로 데이 공격 기법 고도화 
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

- 기업 겨냥 APT 공격, 사회 기간 시설 공격 증가 
- 웹 서버 공격, 웹 애플리케이션 취약점 악용 등 인터넷 위협 심화 
- 자기 보호 기술 지능화, 전자서명 위조로 정상 파일로 둔갑 

글로벌 보안 기업인 안철수연구소[대표 김홍선, www.ahnlab.com, 약칭 ‘안랩’]는 23일 올 한 해 동안의 보안 위협의 주요 흐름을 분석해 ‘2011년 10대 보안 위협 트렌드’를 발표했다. 이에 따르면 올 한 해를 주요 이슈는 ▲ APT 공격 형태의 증가로 인한 기업 보안 사고의 증가 ▲기업 겨냥 APT 공격 증가 ▲스마트폰용 악성코드 급증 ▲디도스 및 SQL 인젝션 등 웹 서버 공격 일반화 ▲웹 애플리케이션 취약점 악용한 악성코드 지속 유포 ▲악성코드 자기 보호 기술 지능화 ▲전자서명 악용한 악성코드 증가 ▲일반 애플리케이션 취약점 증가 ▲산업/국가 기간 시설 공격 시도 증가 ▲금전적 목적의 온라인 게임 해킹 급증 ▲사회공학기법, 고도의 심리전으로 발전 등이었다.

 
1] 기업 겨냥 APT 공격 증가
 
APT[Advance Persistent Threat] 공격은 특정 목적으로 목표한 기업이나 단체들만을 대상으로 지속적인 공격하는 것이 특징이다. 이는 구글, 어도비, 주니퍼, 야후 등 34개 업체를 공격한 ‘오로라’, 이란 원자력 발전소 작동을 방해한 ‘스턱스넷’, 카자흐스탄, 그리스, 대만, 미국에 위치한 글로벌 오일/가스/석유화학 업체를 대상으로 한 ‘나이트 드래곤’ 등이 대표적이다. 이 같은 공격은 기업/기관을 겨냥해 해외에서 지속적으로 발생했다. 국내에서도 금융권과 인터넷 기업을 노린 APT 공격이 잇달아 발생해 대규모 정보 유출 사고가 일어났다.
 
2] 스마트폰용 악성코드 급증
 
모바일 사용자 증가에 맞춰 악성코드 또한 급증했으며, 시장 점유율이 가장 높은 안드로이드를 타깃으로 한 악성코드가 가장 많이 발견되었다. 주요 원인은 첫째, 통화 및 SMS에 대한 송신자 과금 결제 방식인 프리미엄 콜[Premium Call/SMS]이라는 수익 모델의 등장이다. 실제 2011년 발견된 안드로이드 악성코드의 약 45%가 이러한 형태이다. 둘째, 제조사가 관리하지 않는 ‘써드 파티 마켓’의 활성화 때문이다. 셋째, 모바일 기기에는 중요한 개인 정보가 많이 담긴 만큼 이를 노리는 악성코드도 급증하는 추세이다.
 
3] 디도스 및 SQL 인젝션 등 웹 서버 공격 일반화
 
올해도 대표적 인터넷 프로토콜인 HTTP 기반 웹 서버에 대한 공격이 지속적으로 증가했다. SQL 인젝션[SQL Injection], 크로스 사이트 스크립팅[XSS, Cross Site Scripting]과 아이프레임[IFRAME]이 대표적이다. 그리고 이러한 공격을 위한 자동화 도구가 양산돼 일반인도 손쉽게 해킹을 하게 되었다. 또한 디도스 공격은 웹 서비스를 정상적으로 이용하지 못 하게 하는 대표적 공격이 되었다. 실제로 디도스 공격 중 90% 이상이 웹 서버를 대상으로 한다. 2011년에 발생한 대표적인 디도스 공격의 타깃은 해외의 경우 비자, 마스터, 페이팔, CIA, 소니 플레이스테이션 네트워크, 워드프레스, 그리고 홍콩 증권거래소 등이다. 우리나라의 경우 3.4 디도스 공격이 대표적이다. 이는 2009년 7.7 디도스 대란에 비하면 그 피해와 여파는 크지 않았지만, 다시 한번 디도스에 대한 경각심을 일깨워준 사건이었다.
 
4] 웹 애플리케이션 취약점 악용한 악성코드 지속 유포
 
사용자가 가장 많이 사용하는 웹 애플리케이션인 인터넷 익스플로러, 파이어폭스, 어도비 플래쉬 플레이어에 존재하는 취약점을 악용한 악성코드가 지속적으로 유포됐다. 이러한 악성코드의 주된 목적은 탈취한 정보를 판매해 금전을 확보하는 것이다. 해외의 경우 불특정 사용자에게 스팸 메일 등으로 유포되는 제우스[Zeus]와 스파이아이[SpyEye] 악성코드를 이용한 온라인 뱅킹 정보 탈취가 많았다. 반면 국내는 특정 온라인 게임의 사용자 정보를 노리는 악성코드가 다수를 차지한다.
 
5] 악성코드 자기 보호 기술 지능화
 
백신의 진단 기법이 고도화함에 따라 이를 우회하거나 회피하기 위한 자기 보호 기법도 지능화했다. 이러한 지능화는 악성코드 제작 기술의 확산으로 더욱 가속화하는 상황이다. 자기 보호 기법의 유형 중 가장 진보한 것은 MBR[Master Boot Record] 영역을 감염시키는 것이다. 또한 윈도우 시스템 파일 중 일부를 수정/교체해 동작하는 악성코드는 진단을 회피하고 백신이 원본 파일을 찾기 어렵게 한다.
 
6] 전자 서명 악용한 악성코드 증가
 
특정 파일이 특정 업체에서 개발한 정상 파일임을 증명하는 데 쓰이는 전자서명[Digital Signature]이 악성코드에 악용된 사례가 증가했다. 즉, 악성코드가 해당 전자서명을 한 기업이 개발한 정상 파일로 둔갑하는 것이다. 이는 백신의 진단을 우회하기 위한 것으로 보인다. 기간망 마비를 노리는 스턱스넷, 온라인 금융 정보를 탈취하는 제우스가 대표적이다. 말레이시아에서는 정부의 전자서명을 악용한 악성코드가 발견됐으며, 국내에서도 일부 소프트웨어 업체와 포털 업체의 전자서명이 악성코드에 사용된 것으로 알려졌다.
 
7] 일반 애플리케이션 취약점 공격 증가
 
운영체제나 웹브라우저가 아닌 일반 애플리케이션[소프트웨어]에 존재하는 취약점을 악용한 공격이 강세를 띠었다. 어도비 플래쉬 플레이어[SWF], 어도비 아크로뱃 리더[PDF], MS 오피스에 존재하는 취약점이 많이 악용됐다. 2011년 하반기에는 아래아한글[HWP]의 취약점을 악용한 공격도 발견됐다. 특히, 어도비 플래쉬 플레이어 제로데이 취약점은 미국 IT 보안 업체인 EMC/RSA와 일본 방위산업체인 미쓰비시에서 발생한 APT 공격에도 악용된 것으로 알려졌다. 일반 애플리케이션 취약점을 이용한 악성코드는 흥미를 유발하는 콘텐츠와 결합돼 이메일과 SNS 등으로 유포된다. 사용자가 운영체제나 웹브라우저의 취약점에 비해 보안 패치 설치를 소홀히 하기 때문에 공격 성공률이 높다. 따라서 일반 애플리케이션 취약점은 이후에도 지속적으로 악용될 것으로 예상된다.
 
8] 산업/국가 기간 시설 공격 시도 증가

과거 악성코드의 공격 대상은 주로 개인이나 기업이었지만 최근에는 산업 및 국가 기간 시설로 확대되는 추세이다. 즉, 교통, 통신, 에너지, 유통 시설 등 기업과 사회의 생산 활동에 필요한 기초 시설을 공격하는 것이다. 실제로 스턱스넷 제작자가 만든 것으로 추정되는 두큐[Duqu]가 여러 나라에서 발견됐으며, 일본과 노르웨이 석유 및 방위 산업체 해킹, 미국 일리노이주 상수도 시스템의 해킹 논란 등이 이슈가 됐다. 이런 위협의 피해는 아직 공격 시도나 정보 유출 정도에 그치지만 관련 시스템의 제어권이 외부 공격자에게 넘어간다면 큰 피해가 발생할 수 있다는 점에서 심각한 문제다.
 
9] 금전적 목적의 온라인 게임 해킹 급증
 
2011년 11월까지 수집된 온라인 게임 해킹 툴은 총 6138개로 2010년 한 해 전체 수치인 4268건을 훨씬 앞질렀다. 아이템 거래 시장이 커짐에 따라 금전을 목적으로 하는 해킹이 더욱 급증했다.
 
10] 사회공학기법, 고도의 심리전으로 발전
 
일본 대지진을 비롯해 오사마 빈 라덴, 스티브 잡스, 김정일 등 유명인의 사망 등 사회적으로 큰 화제가 된 사건을 사회공학기법으로 악용해 유포한 악성코드가 줄을 이었다. 과거에는 이메일에 첨부되는 파일이 실행 파일[EXE]이나 압축 파일[ZIP]이었으나, 올해는 취약점이 포함된 MS 오피스나 어도비 리더[PDF] 파일을 이용한 사례가 다수 발견됐다. SNS 활성화로 과거에 비해 확산 속도가 더욱 빨라진 것도 특징이다.
 
안철수연구소 시큐리티대응센터 이호웅 센터장은 "장기간에 걸쳐 지능적인 공격을 하는 APT와, 사회 기간 시설을 겨냥한 공격의 위험성이 점차 현실화하는 상황이다. 사이버 위협이 사회 전체를 마비시킬 수 있음에 대비해 더욱 전문적이고 입체적인 대응을 해나가야 한다.”라고 강조했다.
 
<참고> 안철수연구소 선정 ‘2010년 10대 보안 위협 트렌드’
 
▶사회 기반 시설 노린 스턱스넷, 사이버 전쟁의 서막
▶스마트폰 보안 위협의 현실화
▶정보의 허브 SNS, 악성코드의 허브로 악용
▶디도스 공격용 악성코드의 변종 등장
▶국제적 이슈 악용한 사회공학 기법 만연
▶악성코드 배포 방식의 지능화
▶제로데이 취약점, 악성코드가 한 발 먼저 악용
▶개인 정보 노출의 2차 피해, 돈 노린 피싱의 다양화
▶금전 노린 악성코드에 ‘한류’ 열풍
▶온라인 게임 해킹 툴 급증
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원