Embed Size (px)
Citation preview
ZERO DAY & APT
2014. 09
안랩 온라인 보안 매거진
2
3
8
1 5
2 0
2 1
2 3
2 7
3 0
3 1
월간
C O N T E N T S
S p O T l i g h T
AhnLab Security Summit 2014
급변하는 금융 환경, 보안 과제와 해결 방안은?
S p E C i a l R E p O R T
POS 시스템 보안 위협
POS 시스템도 해킹 안전지대 아니다
Z E R O d a y & a p T
APT 공격의 최대 위협 ‘제로데이 공격 해부’
p R O d u C T i S S u E
안랩 트러스와처, HP 아크사이트 제품군과 기술 연동 인증 획득
T h R E aT a N a ly S i S
급여 명세서로 가장한 랜섬웨어 주의!
T E C h R E p O R T
P2P AnALYSiS
2부_비트토렌트, 반드시 흔적은 남는다
i T & l i f E
주민번호 대체 ‘아이핀’과 ‘마이핀’이 뭔가요?
랜섬웨어 예방법과 데이터 복구 방법
a h N l a b N E w S
‘V3 모바일’ 사칭 악성 앱 유포...주의!
안랩, ‘V3 Lite’ 활용한 사회공헌 활동 전개
S TaT i S T i C S
2014년 7월 보안 통계 및 이슈
2014. 09
3
통합보안 기업 안랩이 지난 8월 28일 여의도 콘래드 호텔에서 국내 주요 금융권 49개사 CIO 및 보안 담당자 100여명을 대상으로 IT
보안•금융정보보호 체계 강화 방안을 제시하는 ‘안랩 시큐리티 서밋 2014’를 개최했다. 이번 세미나에서 안랩은 최신 금융 IT보안 강
화 사례와 고객 정보 유출, 타깃 공격 등 위협 요소와 내부 통제 등 관리적 보안 점검을 위한 기술적 해결 과제 및 보안 프레임워크를
통한 대응 전략을 소개했다. 또한 대형 금융 그룹의 통합 컨버전스 관제 구축 사례와 금융권의 망분리 환경 변화에 따른 네트워크 보
안 강화 전략 등 금융 기관이 직면하고 있는 최신 보안 위협 동향에 대한 실질적인 대응 방안을 공유해 참석자들의 큰 호응을 얻었다.
ahnlab Security Summit 2014 S p O T l i g h T
‘안랩 시큐리티 서밋 2014’ 개최
급변하는 금융 환경, 보안 과제와 해결 방안은?
올해 초 고객정보 유출 등 금융권에서 보안 사고가 잇따라 발생함에 따라 내부 통제 등 관리적 보안 점검 강화, iT보안 개선 등 금융권 iT 환경
이 급격히 변화되고 있다. 실질적인 보안 사고 방지를 위한 대응 전략과 효율적인 실행 방안이 그 어느 때보다 절실한 상황이다. 이것이 안랩
시큐리티 서밋 2014에 금융권 보안 관계자들의 이목이 집중된 이유다.
▲ ‘안랩 시큐리티 서밋 2014’에는 100여명의 금융 보안 관계자들이 참석해 성황을 이뤘다.
4
▲ 강석균 안랩 국내 사업 총괄 부문장
강석균 안랩 국내 사업 총괄 부문장은 환영사를 통해 “올해는 대규모 개인정보 유출 사고부터, 내부 통제, 규제 준수까지 특히 금융권 보안 담
당자들에게는 여러모로 다사다난했던 해”라며 올 한해 금융권 보안 담당자들의 어려움을 언급했다. 또한 나날이 고도화되는 보안 위협과 관련
해 보안 솔루션과 시스템을 갖추는 것도 필요하지만 결국 사전 예방이 가장 중요하다고 강조했다. 이를 위해서는 “먼저 적절한 내부 프로세스
를 갖추고 각각의 솔루션과 사람이 제 역할을 다 할 수 있어야 한다”며 “이번 안랩 시큐리티 서밋 2014는 다른 금융사의 실제 사례를 참고하
여 금융 보안 강화를 위한 실질적인 대응 전략을 수립할 수 있는 기회가 될 것”이라고 말했다.
보안의 ‘관점’을 바꿔야 실효성 있는 보안 체계 가능해
안랩은 ‘보안 프레임워크(Security Framework)’, ‘통합 보안 관제’, ‘네트워크 환경의 변화’, ‘망분리 환경에서의 지능형지속위협 APT(Advanced
Persistent Threats)’ 등 4가지 관점으로 금융권 보안 강화와 효과적인 컴플라이언스 대응에 접근했다.
보안 프레임워크 관점에서는 최광호 안랩 Si사업팀 팀장이 ‘보안 프
레임워크 개선에 관한 안랩 시큐리티 프레임워크 기반의 솔루션 맵’
을 주제로 발표했다. 그는 최근 보안 사고가 끊이지 않고 발생하는 원
인으로 ▲방대한 iT 환경 ▲알려진 공격 탐지 위주의 전통적인 대응
방식의 한계 ▲지나치게 많은 데이터와 로그의 홍수 속에서 ‘유의미
한 데이터’ 파악의 어려움 ▲조직 내 정상 사용자 또는 보안 관리자로
위장한 ▲공격의 고도화를 꼽았다. 이어 “내•외부에 상관없이 기업은
언제나 보안 침해 위협에 노출되어 있다”고 지적하고 “특히 최근의
정보 유출 사건은 고의든 실수든 내부에서 시작됐다. 따라서 내•외부
경계 구분 없이 위협 대응이 필요하다”고 강조했다. 그러면서도 보안
침해 사고를 완벽히 막는다는 것은 불가능하다고 언급했다. 그렇다고
보안 체계 구축이 무의미하다는 의미는 아니다. 개별 솔루션 기반의
단순한 보안 체계가 아니라 ‘피해를 최소화한다’는 관점에서 접근해야
실효성있는 보안 체계 구축이 가능하다는 의미다.
안랩은 ‘기업 전사 차원에서의 최적 보안 체계 및 위기 관리 체계 구
현’을 목표로 한다. 이를 통해 궁극적으로 보안 가시성의 확보가 가능하기 때문이다. 최광호 팀장은 이러한 ‘안랩 시큐리티 프레임워크(AhnLab
Security Framework)’에 실제 보안 솔루션을 매핑하여 제시하며 “안랩은 고객의 관점에서 고민하고 출발하여 적절한 아키텍처를 구축하고 그
에 적합한 솔루션을 제공하고 있다”고 말했다. 실제로 안랩은 자사 제품뿐만 아니라 파트너십을 통한 타사의 제품과 연계해 통합 보안 모델에
가장 정확한 오퍼링을 제공해오고 있다. “기초가 없고 설계가 없다면 보안은 결국 사상누각에 불가하다”고 강조한 최광호 팀장은 “안랩은 안전
한 정보보호 환경 구현이라는 건물을 위한 최고의 기초 공사를 해드릴 것”이라는 말로 참석자들의 큰 호응을 받았다.
최신 보안의 키워드는 ‘인텔리전스’
두 번째 세션에서는 이상구 안랩 서비스상품기획팀 부장이 ‘금융권 내•외부 통합관제 구축 전략과 주요 사례’라는 주제로 ‘빅데이터 기반의 통
합 보안 관리 플랫폼’을 제시했다. 이상구 부장은 대규모 개인정보 유출 사고 등 보안 침해 사고를 방지하기 위해서는 ▲내부 직원에 대한 통제
강화 ▲내부 규정 위반자에 대한 모니터링 강화 ▲이상 징후 탐지 강화가 필요하다고 강조했다. 이에 따라 보안 관제 또한 빅데이터 분석 플랫
폼을 기반으로 의심 행위를 검색하고 데이터간의 상관관계를 분석하여 의미 있는 데이터, 즉 또 다른 정보를 확보할 수 있어야 한다. 또한 이러
▲ 최광호 안랩 SI사업팀 팀장
5
한 보안 체계를 구축하고 효과적으로 운용하기 위해서는 기업의 업무
프로세스나 특성을 잘 알고 있는 조직 내부의 보안 담당자들의 역할
도 중요하지만 고도화된 보안 솔루션을 잘 이해하고 활용할 수 있는
전문가에 의한 룰셋을 적용하는 것이 필요하다.
이상구 부장은 “뛰어난 장인은 도구 탓을 하지 않지만 뛰어난 도구를
다루기 위해서는 그만큼 실력 있는 장인이 필요하다”는 말로 전문가
에 의한 컨버전스 관제의 중요성을 설명했다.
안랩의 보안 관제 서비스는 금융사를 위한 ‘내부 보안 통제 모델’과
관련해 고객의 상황에 따라 중앙에서 효과적으로 관리할 수 있는 방
법을 고민하는 것에서 시작한다. 즉, 고객사의 특성에 따라 발생 가능
한 위협 시나리오를 구현하고 분석하여 보안의 취약 지점(hole)을 파
악한다. 이를 토대로 보안 홀을 통해 발생한 위협을 어떻게 탐지하고
어떻게 대응할지 프로세스를 구축한다.
한편 이상구 부장은 담당자 개인의 능력을 기반으로 한 ‘기존 관제 방
식의 노동집약적인 관점’에서 ‘인텔리전스 관점’, 즉 고도화된 시스템
금융 서비스의 ‘속도’까지 고려한 차세대 네트워크 보안
오늘날 모든 서비스가 인터넷화되고 스마트폰, 태블릿PC 등 모빌리
티(Mobility)가 폭발적으로 증가하면서 이와 연결된 금융 서비스의
트래픽과 커넥션 또한 증가하고 있다. 2017년경에는 PC 환경에서 발
생했던 것의 몇 조 배에 달하는 트래픽이 발생할 것이라는 전망도 나
오고 있다. 한편 증권 거래 등 금융 서비스에 있어 서비스 처리지연
시간, 즉 레이턴시(Latency)는 비용 손실로 이어진다 해도 과언이 아
니다.
‘금융 인프라 환경 변화에 따른 능동적 네트워크 보안 전략’이라는 주
제로 발표에 나선 유명호 안랩 제품기획팀 팀장은 “다른 어떤 산업군
보다도 금융권에서는 대용량 트래픽과 급증하는 커넥션의 원활한 처
리를 통해 지연 시간을 최소화할 수 있는 네트워크 보안 솔루션이 필
요하다”고 말했다.
이와 관련해 안랩의 네트워크 보안 솔루션 트러스가드(AhnLab
TrusGuard)는 분산 처리가 가능한 아키텍처와 강력한 코어를 기반
으로 뛰어난 처리 성능을 제공하고 있으며, 여러 차례 타사 제품과의
과 체계적인 프로세스 기반의 관제로 변화하고 있다는 점을 지목했다. 특히 “나날이 고도화되는 다양한 보안 위협에 즉각적이고 효과적으로
대응하기 위해서는 사람이 관여하는 부분을 줄이고 자동화하는 것이 중요하다”고 말했다.
레이턴시 성능 비교 시 압도적인 성능을 선보인 바 있다. 한편 네트워크 환경이 다변화되면서 최근에는 64바이트 등 작은 패킷을 얼마나 빠르
게 처리할 수 있느냐가 방화벽의 관건이 되고 있다. 대용량 트래픽과 커넥션을 원활히 처리할 수 있도록 설계된 독자적인 소프트웨어를 탑재
한 트러스가드는 패킷의 사이즈와는 무관하게 차별적인 방화벽 처리 성능을 제공하고 있다. 즉, 레이턴시, CPU 처리 속도뿐만 아니라 CPS 처
리 성능 또한 경쟁사 대비 차별화된 모델이다.
그러나 트래픽 처리 성능 및 속도만으로는 차세대 네트워크 보안 솔루션으로 충분치 않다. 기업의 보안 위협은 예측하기 어려울 만큼 지능화,
고도화되고 있기 때문이다. 이메일, P2P, SnS 등 악성코드의 감염 경로도 다양해졌다. 교묘한 방식으로 기업 내부에 유입된 악성코드는 C&C
통신 등 네트워크 상에서 다양한 악성 행위를 하며 정보 유출은 물론 네트워크 운용을 저해한다. 이처럼 변화된 네트워크 환경 속에서 전통적
인 레거시 기반의 네트워크 보안 솔루션으로는 알려지지 않은 악성코드 등을 이용한 최신 보안 위협에 대응하기에는 한계가 있다. 유명호 팀
장은 “네트워크 보안의 성능 방해를 최소화하면서 고도화된 위협에 대한 대응 기능이 필요하다”고 설명했다. 트러스가드는 애플리케이션 컨트
롤 기능을 통해 감염 경로를 차단하고, 사용자 기반의 정책 설정 등 내부 정보 유출 방지를 위한 능동적인 보안을 제공한다. 또한 악성코드 유
포 사이트에 대한 안랩의 풍부한 DB를 기반으로 악성 사이트에 접속하는 것 자체를 차단함으로써 APT 등 잠재적인 위협의 발생 가능성을 최
소화하는 역할을 한다. 아울러 안랩이 보유하고 있는 APT 전용 솔루션과의 연동을 통해 더욱 효율적인 APT 대응을 제공할 수 있다.
한편 트러스가드는 지난 4월 세계적인 시장 조사 기관인 가트너(Gartner)가 선정하는 매직쿼드런트(Magic Quadrant)에서 유수의 글로벌 벤
더사들의 제품과 함께 엔터프라이즈 방화벽 부문에 국내 최초로 등재됐다. 이는 글로벌 수준의 기술력을 인정 받은 것으로, 그 의미가 크다.
▲ 이상구 안랩 서비스상품기획팀 부장
▲ 유명호 안랩 제품기획팀 팀장
6
망 연계 부분의 APT 대응, 선택이 아닌 필수!
지난해 9월 금융보안연구원이 발표한 ‘금융iT 보안 컴플라이언스 가
이드’에 따라 금융권의 망분리가 증가하고 있다. 인터넷 영역과 업무
영역을 구분하는 망분리는 인터넷을 통한 위협의 유입을 방지한다는
점에서 상당한 효과를 발휘할 것으로 기대된다. 그런데 망분리가 최
근 증가하고 있는 APT 공격도 막아낼 수 있을까? 이에 대해 오상언
안랩 서비스상품기획팀 차장은 우려를 표했다.
‘금융권 망분리, APT 공격으로부터 안전한가?’라는 주제로 발표한 오
상언 차장은 망연계 구간을 통해 악성코드가 유입될 수 있다고 경고했
다. 물론 기업들은 망연계 구간의 악성코드 대응을 위해 망연계 솔루션
과 백신(Anti-virus) 엔진을 연동하는 등의 조치를 취하고 있다. 그러나
이것만으로는 고도화된 악성코드 위협에 대응하는데 한계가 있다.
망연계 구간을 지나는 암호화 통신 및 암호화된 파일에 대해서는 대
응할 수 없기 때문이다. 또한 최근 문서 파일을 이용한 비실행형 악성
코드가 증가하고 있어 이에 대한 분석이 동반되지 않는 한 망연계 구
컴플라이언스의 목적은 ‘내부 정보 보호’
마지막으로 정진교 안랩 제품기획실 실장이 ‘금융 iT 보안 컴플라이
언스 이후의 정보보호 솔루션 구축 방안’에 대해 소개했다. 금융 iT
보안 컴플라이언스 가이드부터 개인정보보호법, 신용정보법에 이르
기까지 최근 금융권의 컴플라이언스는 나날이 복잡하고 까다로워지
고 있다. 그러나 이 모든 컴플라이언스의 목적은 하나다. 바로 내부의
핵심 정보를 보호한다는 것이다. 이러한 핵심 정보는 대부분 내부 직
원의 PC에 존재한다. 바로 이 지점에서 정보가 유출되는 것을 어떻게
탐지하고 막을 것인지가 금융 보안의 관건이다.
정진교 실장은 “안랩은 공격자 관점에서 위협 요소를 분석하고 능동
적인 방어 시나리오를 만들며 동시에 컴플라이언스가 형식적인 점검
이 아닌 실질적인 보안 효과를 발휘할 수 있도록 고객사에 최적화된
대응 체계와 제품, 서비스를 제공하고 있다”고 설명했다. 이어 가트너
의 조언을 인용해 “컴플라이언스는 체크리스트 점검 정도에서 만족
한다면 근본적인 리스크를 해결할 수 없다”며 “안랩은 고객의 근본적
인 리스크를 해결할 수 있도록 노력할 것이다”라고 말했다. 또한 “제
간은 악성코드 위협으로부터 자유롭지 못하다. 게다가 망분리 이전에 업무망 쪽에 존재하고 있던 악성코드와 감염이 의심되는 파일에 대해서
는 어떻게 대응할 것인가? 이에 최근 망분리 솔루션과 APT 대응 솔루션의 연동에 대한 관심이 늘고 있다는 설명이다.
오상언 차장은 “망연계 부분에 대한 고도화된 위협 대응 방안 적용은 선택이 아니라 필수다”라며 “또한 업무망에서는 파일 관점의 대응 방안
이 반드시 고려되어야 한다”고 강조했다. 망분리 환경에서의 업무망은 인터넷에 연결되지 않으므로 PC에 악성코드가 있다 하더라도 네트워크
통신이 이루어지지는 않는다. 그러나 아직 악성 행위를 하지 않았을 뿐 여전히 잠재적인 위협이라는 점은 분명하다. 또한 파일 자체가 암호화
되어 있는 경우, 망연계 구간을 통과해 업무망의 PC에 도달했을 때 암호화가 풀린다. 따라서 파일 관점에서 이를 파악하고 분석하여 대응하는
방법이 필요하다는 것. 특히 대부분의 업무 영역에는 주로 문서 파일이 많기 때문에 문서 파일을 통해 발생할 수 있는 위협에 대한 대응 방안
이 요구된다.
안랩의 APT 대응 솔루션 트러스와처는 ▲샌드박스를 통한 신•변종 악성코드 행위 분석 ▲MS 오피스 파일, PDF, 한글 등과 같은 문서형 악
성코드에 대한 동적 콘텐츠 분석 ▲PC와 같은 엔드포인트의 의심 파일에 대해 실행을 차단하고 분석하는 전용 에이전트 기반의 실행 보류
(execution holding) 기능 등 탐지부터 분석, 모니터링, 대응까지 연계된 통합적인 대응을 제공한다.
품뿐만 아니라 제품이 실질적으로 잘 운영될 수 있도록 하는 것이 중요하다”며 “안랩은 컨설팅 서비스부터 분석 서비스, 또 보안 침해가 발생
했을 때 원인과 피해 범위를 파악할 수 있는 포렌식 서비스 등 제품과 서비스를 함께 제공해 여타의 APT 대응 방안의 한계를 뛰어넘는 대응
전략을 제공할 것”이라고 강조했다.
이날 행사가 이른 오전부터 4시간여 동안 진행됐음에도 불구하고 100여명의 참석자 대부분이 끝까지 자리를 지켜 보안이 금융권의 화두임을
새삼 확인할 수 있었다. 이상국 안랩 마케팅실 실장은 “안랩의 시큐리티 프레임워크는 보안의 홀을 최소화할 수 있는 해답은 제품이 아니라 고
객에게 있다는 전제를 갖고 있다”라며 “새로운 보안 솔루션을 도입하는 것도 중요하지만 이번 행사를 통해 기존에 갖고 계신 보안 솔루션을 보
▲ 오상언 안랩 서비스상품기획팀 차장
▲ 정진교 안랩 제품기획실 실장
7
안 프레임워크에 맞춰 최적화하고 보안의 홀을 찾을 수 있는 인텔리전스를 가져가실 수 있기를 바란다”고 말했다. 또한 “안랩은 단순히 솔루션
만 전달하는 것이 아니라 보안에 대한 혜안을 전달하고자 한다”라며 “보안 담당자들의 인텔리전스 확보를 지원하기 위해 다양한 방안을 마련
할 것”이라고 전했다.
이와 관련해 안랩은 오는 10월 15일, 서울 코엑스 인터콘티넨탈 호텔에서 공공, 산업 전 분야의 보안 담당자들을 대상으로 통합 정보보안 컨퍼
런스 AhnLab iSF(integrated Security Fair) 2014를 개최할 예정이다.
8
최근 POS(Point of Sales, 판매시점관리) 시스템을 이용한 대규모 침해 사고가 국내외에서 잇따라 발생하고 있다. 국내에서는 지난
해 12월 POS 단말기 관리 업체의 서버를 해킹해 85개 가맹점의 POS 단말기에 저장된 신용카드 정보를 탈취, 이를 이용한 위조카드
로 1억원을 인출한 사건이 발생했다. 비슷한 시기에 미국에서도 대형 유통업체 타겟(Target)사의 오프라인 매장의 POS 시스템을 통
해 7,000만 건의 신용카드 정보가 유출되는 사고가 발생했다. 그 동안 보안 전문가들의 경고에도 불구하고 간과됐던 POS 시스템의
보안 위협이 대규모 보안 침해 사고로 현실화된 것이다.
이 글에서는 POS 시스템을 노리는 국내외 악성코드를 알아보고, 국내 POS 시스템 보안 침해 사례에 이용된 악성코드를 상세하게 살
펴본다.
pOS System hacking S p E C i a l R E p O R T
POS 시스템 보안 위협
POS 시스템도 해킹 안전지대 아니다
POS 시스템과 관련된 보안 침해 사고가 증가함에 따라 정부 및 기관
은 관련 규제를 강화하는 움직임을 보이고 있다. 금융감독원은 최근
POS 단말기에 소비자의 카드 정보를 저장할 수 없도록 하고 카드결
제 내역은 암호화하여 결제승인대행업체로 전송하도록 하는 등의 조
치를 발표했다. 지난해 말 발생한 타겟사의 POS 시스템 해킹으로 대
규모 개인정보 유출 사건을 경험한 미국에서는 주요 금융기관과 지방
은행, 신용조합을 중심으로 기존 마그네틱 방식의 신용카드에 반도체
칩을 추가 장착한 iC카드를 출시하는 한편, 가맹점의 POS 시스템 또
한 iC카드용으로 전환을 서두르고 있다. POS 시스템을 겨냥한 악성
코드가 마그네틱 카드의 데이터를 탈취한다는 점에 주목한 것이다.
일반적으로 금융거래에 사용되는 마그네틱 카드에 저장된 데이터
는 ‘iSO/iEC(international Organization for Standardization and
international Electrotechnical Commission) 7813’을 따르고 있다.
마그네틱 트랙(Magnetic tracks)은 트랙1~트랙3으로 이루어져 있으
며, 현재 트랙1과 트랙2를 사용하고 있다. 그 구조는 [그림 1]과 같다. [그림 1] 마그네틱 트랙1과 트랙2의 구조 (*출처: 위키피디아)
9
■ 트래커(Tracker)
2009년에 처음 발견된 악성코드로, POS 시스템을 노린 초기 악성코
드로 알려져 있다. 일반 응용 프로그램 개발 언어인 델파이(Delphi)
로 제작되었으며, 메모리에서 트랙1과 트랙2에 해당하는 신용카드
정보를 정규 표현식(Regular Expression)으로 찾아 Data.txt 등에 저
장한다.
■ 덱스터(Dexter)
2012년 12월 대규모 감염이 확인되었다. 사이버보안 업체 시큐러트
(Seculert)는 자사 블로그를 통해 신용카드 번호를 추출하는 덱스터
(Dexter)가 전세계에 유포되었다고 주장했다. 이에 따르면 한국에서
도 해당 악성코드 감염 보고가 있었다고 한다.
[그림 2] 2009년 - 2014년에 발견된 주요 악성코드
[그림 3] 신용카드 정보를 수집하여 Data.txt에 저장하는 트래커(Tracker)
[그림 4] 2012년 12월 전세계 덱스터 감염 현황 (*출처: Seculert 블로그)
신용카드 정보 유출을 목적으로 하는 악성코드는 마그네틱 리더기로
입력되는 값을 노리거나 메모리에서 트랙1이나 트랙2로 추정되는 내
용을 검색하는 기능을 포함하고 있다.
POS 시스템을 노린 악성코드
지난 7월 31일, 미국 국토안보부 산하 사이버 긴급 대응팀(US-CERT)
은 홈페이지를 통해 POS 시스템을 이용해 정보를 유출한 악성코드가
지난해 10월 발견된 뒤 여러 변종이 유포되고 있다고 밝혔다. 그러
나 POS 시스템을 노린 악성코드가 나타난 것은 훨씬 전부터다. 2009
년 트래커(Tracker)를 시작으로, 2013년부터 본격적으로 POS 시스템
을 노리는 다양한 악성코드가 발견되고 있다. 한국에서도 2014년 초,
POS 시스템을 노린 한국형 악성코드가 처음 발견되었다. 해당 악성
코드 제작자는 몇 달 후 검거되었다.
이 글에서는 [그림 2]와 같이 지난 2009년부터 2014년 8월까지 발견
된 주요 POS 시스템을 노린 악성코드에 대해 살펴본다.
덱스터 악성코드가 실행되면 iexplorer.exe에 악성코드가 삽입
(injection)되고 메모리에서 트랙1과 트랙2를 검색한다.
[그림 5] 덱스터(Dexter)의 신용카드 번호 추출 코드
■ v스키머(vSkimmer, 또는 Vskimm)
v스키머(vSkimmer) 또는 V스킴(Vskimm)이라고 불리는 악성코드는
2013년 3월 맥아피에서 처음 공개했다. 이 악성코드가 실행되면 메
모리 내에서 트랙 정보가 검색된다.
[그림 6] v스키머(vSkimmer 또는 Vskimm) 검색 문자열
해당 악성코드는 변형이 존재하며, 수집된 카드 번호를 http://www.
posterminalworld.la, mx3.ringtonetrip.com 등으로 전송한다.
[그림 7] v스키머 악성코드의 접속 주소
10
발견 당시 v스키머가 접속한 주소는 31.31.xxx.xx로, 해당 iP는 주기
적으로 다른 도메인 네임을 가졌다. 해당 iP는 랜섬웨어 등 다른 악성
코드의 통신에도 이용되었다. 즉, 해당 iP를 이용한 것이 동일인 혹은
동일 그룹의 소행이라면 신용카드 번호 수집 외에도 여러 금전적인
목적의 악의적인 행위를 하고 있었음을 추측할 수 있다.
[그림 8] 31.31.xxx.xx 의 다양한 도메인 네임
v스키머 악성코드의 특징은 감염 시스템이 인터넷에 연결되어 있지
않을 경우, 볼륨 이름이 ‘KARTOXA007’인 이동식 드라이브를 찾아
카드 번호를 dmpz.log에 저장하는 것이다. 이는 망이 분리되어 있는
POS 시스템에서 정보를 유출하기 위한 것으로 보인다.
[그림 9] 인터넷이 연결되지 않았을 경우 탈취한 정보를 USB 메모리에 저장
[그림 10] 알리나(Alina) 악성코드에서 나타나는 특징적인 문자열
[그림 11] 알리나 악성코드 변형의 메모리 검색 문자열
[그림 12] 국내에서 발견된 잭포스(Jackpos) 드롭퍼 실행 화면
■ 알리나(Alina)
2013년 5월 보안업체인 트러스트웨이브(Trustwave)가 자사 블로그
(스파이더 랩 블로그)를 통해 보고한 악성코드이다. [그림 10]과 같
이 알리나(Alina)라는 문자열과 버전 정보를 포함하고 있는 것이 특
징이다.
잭포스 악성코드는 여러 파일로 구성되어 있다. 이들 파일 중 일부는
Autoit으로 제작되어 있으며 [그림 13]과 같이 코드가 난독화되어 있다.
다른 악성코드와 마찬가지로 신용카드 번호를 찾는 문자열을 확인할
수 있으며, 관련 문자열은 악성코드 변형에 따라 다르다.
■ 잭포스(Jackpos)
2014년 2월 보안업체 인텔크롤러(intelCrawler)가 악성코드 잭포스
(Jackpos)에 관한 정보를 공개했다. 국내에서도 2013년 11월 해당
악성코드의 변형이 확인되었다. 국내에서 발견된 변형의 파일 이름
은 spread.exe였으며, 이 악성코드를 실행하면 ‘Hacking of network
started’ 등의 메시지가 나타난다.
11
[그림 13] Autoit으로 제작된 잭포스 악성코드의 난독화된 소스코드[그림 17] Mmon 악성코드에 포함된 문자열 ‘KAPTOXA’
[그림 14] 잭포스(Jackpos) 변형의 PDB 정보
[그림 18] 109.234.xxx.xxx의 다양한 도메인 네임
[그림 15] 프로세스 검색 중인 악성코드 Mmon
[그림 16] 악성코드 Mmon의 검색 결과가 저장된 output.txt
해당 악성코드의 PDB 정보에 hack, POS 등의 문자열이 포함되어 있
어 POS 시스템 해킹을 위해 제작되었음을 추측할 수 있다.
또 Mmon 악성코드는 109.234.xxx.xxx로 접속한다. 해당 iP의 도메
인을 확인해보면 [그림 18]과 같이 다양한 도메인 네임을 가지고 있다.
타겟사 공격에 사용된 악성코드 변형에 대한 보다 자세한 내용
은 월간 ‘안’ 2014년 4월호의 ‘미국 타겟사 개인정보 유출 악성코
드 분석’을 참고할 수 있다(http://download.ahnlab.com/kr/site/
magazineAhn/ahn_201404.pdf).
■ 츄바카(Chewbacca 또는 Fsyna)
악성코드 츄바카(Chewbacca 또는 Fsyna)는 2013년 12월 보안업체
카스퍼스키(Kaspersky)에서 최초로 공개하면서 알려졌다. 영화 ‘스타
워즈’의 등장 인물인 츄바카(Chewbacca)와 관련된 문자와 이미지가
포함되어 있어 붙은 이름이다.
츄바카 악성코드는 신용카드 정보를 유출하기 위해 키로깅과 메모리
스크래핑 기법을 사용한다. 우선 키로깅 기법을 이용해 [그림 19]와
같이 사용자가 입력하는 키 내용을 %temp% 폴더의 system.log에
저장한다.
Mmon 악성코드는 ‘KAPTOXA’와 같은 문자열을 포함하고 있는 것이
특징이다.
■ Mmon(BlackPOS, Kartoxa)
Mmon은 2011년부터 발견되었으며, 7,000만 건의 신용카드 정보가
유출된 미국 대형 유통업체인 타겟사 POS 시스템 해킹에 Mmon 변
형이 이용되어 유명해졌다. Mmon이 실행되면 [그림 15]와 같이 프
로세스를 검색해 신용카드 번호를 추출하고, 검색 결과는 [그림 16]
과 같이 output.txt에 저장된다.
12
국내에서 발견된 POS 시스템 악성코드
앞서 언급한 바와 같이 국내에서도 덱스터(Dexter), 잭포스(Jackpos)
등 해외에서 제작된 악성코드 감염이 확인된 바 있다. 그러나 국내
POS 시스템을 노리고 제작된 악성코드와 해킹 시도가 존재한다.
■ 상용 키로거(Keylogger)
2013년 5월 국내 모 대형 유통사의 POS 시스템에서 해킹으로 의심
되는 행위가 탐지되어 확인한 결과 상용 키로거가 발견되었다. POS
시스템 해킹을 목적으로 제작된 악성코드는 아니지만 상용 키로거 프
로그램을 이용한 POS 시스템 해킹 시도라는 점에서 눈여겨볼 필요가
있다.
[그림 19] %temp% 폴더에 키로깅 내용 보관
[그림 23] 국내 모 대형 유통사 POS 시스템에서 발견된 상용 키로거
[그림24] 생성 파일과 키로깅 내용을 담고 있는 데이터 파일
[그림 20] 츄바카 악성코드의 신용카드 정보 검색 문자열
[그림 21] Tor를 이용한 통신
[그림 22] 백오프(Backoff) 악성코드 내 버전 정보
또한 [그림 20]과 같이 메모리에서 신용카드 정보를 검색한다.
츄바카 악성코드의 특징은 추적을 피하기 위해 Tor를 이용해 통신한
다는 점이다.
해당 상용 키로거가 실행되면 키로거 프로그램이 생성되고 사용자가
입력하는 내용이 저장된다.
■ 백오프(Backoff)
지난 7월 31일, US-CERT는 홈페이지를 통해 POS 시스템을 감염시
켜 고객의 이름, 주소, 신용카드 번호 등의 정보를 유출하는 악성코드
를 백오프(Backoff)로 명명하고, 주의를 당부했다. 해당 악성코드는
US-CERT가 미국 내에서 발생했던 다수의 POS 시스템 침해 사고를
조사하던 중 발견된 것으로, 2013년 10월부터 2014년 6월까지 활동
했다고 US-CERT는 전했다.
US-CERT의 분석 보고서에 따르면 백오프 악성코드는 버전 1.4부
터 1.56까지 확인되었다. 그러나 안랩에서 관련 변형을 확인한 결과,
US-CERT 문서에는 언급되지 않은 1.56 wed와 1.57 nEWGRUP 버
전이 존재하는 것으로 확인됐다([그림 22]). 백오프 악성코드는 메모
리 내에서의 트랙 데이터 수집 및 키로깅 기능을 가지고 있다. ■ Ompos
2014년 초 국내 POS 시스템 해킹에 Ompos라는 악성코드가 이용
됐다. 이 악성코드는 2014년 1월초에 제작된 것으로 추정된다. 공
격자는 국내 POS 시스템 관리 업체의 서버를 해킹하고, 악성코드가
포함된 업데이트 파일을 이용해 POS 시스템을 감염시켰다. 이는 해
외 사례에서는 찾아보기 어려운 독특한 방식으로, 이를 간략히 도
식화하면 [그림 25]와 같다. 공격자는 사전에 모 POS 시스템의 자
동 업데이트 프로그램인 ***_AutoRun.exe를 악성코드가 포함된
***PosDemon.exe로 교체해 피해 업체의 POS 시스템이 해당 프로
그램을 다운로드함으로써 감염되는 방식이다. POS 시스템에 다운로
드된 ***PosDemon.exe가 실행되면 키로깅 기능이 있는 *Pos.exe
가 실행되고 ***PosDemon.exe는 정상 파일로 덮어 쓰여진다. 또한
*Pos.exe의 키로깅 기능을 통해 해당 POS 시스템에서 사용된 신용
카드 정보가 *Bank****로 시작되는 로그 파일에 저장된다.
13
[그림 25] Ompos 감염 방식
[그림 28] 난독화된 문자열
[그림 26] POS 시스템 업체의 업데이트 프로그램 실행 화면
[그림 27] 리스소 영역에 존재하는 정상 파일
[그림 29] 저장된 키로깅 내용
[그림 30] POS 시스템 관리 업체의 서버 구성
[그림 25]에 나타난 과정을 자세히 살펴보면, 우선 POS 시스템에는
POS 프로그램의 업데이트 기능을 수행하는 ***_AutoRun.exe가 존
재한다. POS 시스템이 실행되면 ***_AutoRun.exe가 POS 시스템 업
체 서버와 통신하여 업데이트 파일이 존재하는지 확인한다.
해당 악성코드에는 키로깅 기능이 있어 윈도 폴더의 *Bank****_년_
월_일.log 파일에 입력된 키의 내용이 저장된다.
변형에 따라 해당 악성코드는 211.234.xxx.xxx:8902나 211.43.xxx.
xxx:9501 등으로 통신한다.
한편 해킹된 서버는 별 다른 로그인 과정 없이도 웹 브라우저상에서
서버 파일 구성을 알 수 있다.
그 후 ***_AutoRun.exe는 악성코드가 포함된 ***PosDemon.exe를
매장의 POS 시스템에 다운로드 한다. 다운로드된 파일은 원본 파일
의 이름과 동일하며 리소스 영역에 정상 파일을 포함하고 있다.
***PosDemon.exe는 파일 리소스 영역에 존재하는 원래 파일로 덮
어 쓰여져 실행되기 때문에 사용자는 악성코드 감염 여부를 확인하기
어렵다. 또한 주요 문자열이 [그림 28]과 같이 난독화되어 있다.
14
iMAGE 디렉터리에는 매장의 POS 시스템에서 출력되는 메뉴, 매장
홍보 내용도 볼 수 있다. 심지어 개인 정보와 관련된 파일로 저장되어
있어 보다 철저한 시스템 관리가 필요하다.
장되는 지점이므로 반드시 보안에 대한 조치가 동반되어야 한다.
우선, POS 시스템의 로그인 암호를 복잡하게 설정하고 주기적으로
변경해야 한다. 또한 POS 시스템을 겨냥한 악성코드가 증가하고 있
는 만큼 지속적으로 POS 시스템이 운용되는 단말기에 보안 업데이트
를 적용하고 POS 시스템 운영에 필요하지 않은 서비스는 중지해야
한다. 아울러 POS 시스템의 당초 목적 이외의 용도로는 시스템을 이
용하지 않도록 유의해야 한다. 특히 웹 서핑을 통해 악성코드에 감염
될 가능성이 높기 때문에 주의가 필요하다.
이러한 기본적인 조치 외에도 전용 보안 프로그램을 설치하는 것
이 바람직하다. POS 시스템은 저사양 컴퓨터에서 운용되는 만큼 알
려진(또는 허용된) 프로그램만 실행할 수 있도록 하는 화이트리스트
(Whitelist) 기반의 제품을 도입하는 것이 상대적으로 효율적이며 안
전하다.
이 글을 마무리하는 시점에도 새로운 POS 시스템을 노린 악성코드와
피해 사례가 보고되고 있다. 금전적 이득을 노린 공격자들은 지속적
인 새로운 방법을 찾아내어 공격하고 있으며 POS 시스템도 결코 예
외가 아니라는 점을 반드시 명심해야 한다.
POS 시스템도 예외 없어…다각도의 보안 대책 필요
편의점이나 일반 매장 등에서 사용하는 POS 시스템은 대부분 저사양
컴퓨터에 관련 프로그램이 운용되는 형태다. 그러나 신용카드 번호
등 고객의 민감한 정보와 접촉하는 지점이자 이러한 정보가 1차로 저
[그림 31] 서버에서 찾을 수 있는 매장 내 POS 시스템의 이미지 정보
POS 시스템 및 자동화 기기용 전용 보안 솔루션
안랩 EPS, POS 시스템 노리는 악성코드 원천 봉쇄
최근 보안 위협이 고도화됨에 따라, PC나 서버, 스마트폰과 같은 일반 컴퓨팅 기기 외에 공장 생산라인이나 상점의 판매시점관리(POS) 단
말기, 금융자동화기기(ATM) 등에 대한 전방위적인 보안 위협이 가시화되고 있다.
안랩 EPS(Endpoint Protection System)는 제한된 환경 내에서 정해진 프로그램만 실행시
키는 화이트리스트 기반의 보안 솔루션으로 POS, ATM 등과 같은 자동화 기기의 보안 위협
을 효과적으로 차단할 수 있다.
이 제품은 화이트리스트 기반의 솔루션이기 때문에 기존 백신의 블랙리스트 방식 솔루션보다
미발견 변종 악성코드 등에 대한 사전 예방 기능을 제공한다. 또한 안랩 EPS는 저사양 시스템
에서 동작하기에 충분한 적은 리소스 점유율(5~10%미만)과 설치 용량을 가지고 있어 자동화
기기의 안정성을 유지하면서 빠르고 장애 없이 효과적으로 제품을 적용 및 운영할 수 있다.
안랩 EPS는 악성코드 실시간 검사 및 통제, ARP 스푸핑 공격 및 네트워크 공격 차단, 네트
워크 iP/Port 차단 등 악성코드 확산 및 방지를 위한 강력한 보안 기능을 제공한다. 특히, 매
체 제어와 USB 사용을 통한 매체 취약점 차단 등 시스템 운영과 중앙 통제 통합관리와 원격제어와 같은 기능을 통해 유지보수 측면에서 운
영의 편리성도 지원하고 있다. 더불어 이 제품은 불필요한 매체, 프로그램 자동실행, 과다 네트워크 등을 차단할 수 있어 관리자가 시스템
을 효과적으로 통제 및 운영할 수 있게 도와주며, 원격제어도 가능하다. 또 ATM이나 POS의 동일 네트워크 내에 EPS가 설치되지 않은 시
스템을 감지해 잠재적 위협 요소도 제거할 수 있다.
안랩 EPS는 금융권의 ATM 및 백화점•할인마트•편의점의 POS 등 다양한 산업군의 특화된 시스템에 적용할 수 있다.
1515
RTF 파일 처리 관련 원격코드 실행 취약점 CVE-2014-1761
Z E R O d a y & a p T
APT 공격의 최대 위협 ‘제로데이 공격 해부’
CVE-2014-1761
지난 3월 마이크로소프트사에서 개발한 마이크로소프트 워드(Microsoft Word 2010)에서 제로데이(Zero Day) 취약점이 발견되었
다. 이 취약점은 RTF 파일을 처리하는 과정에서 발생하는 원격코드 실행 취약점(CVE-2014-1761)이다. 마이크로소프트사는 4월 정
기 업데이트를 통해 이 취약점에 대한 ‘긴급’ 보안 업데이트를 제공했다. 그러나 이 취약점은 여전히 위협적이며, 공격자들에 의해
APT 공격에 악용되고 있다. 이 글에서는 CVE-2014-1761을 통해 취약점이 발생하는 원리와 공격자의 의도에 따라 어떻게 악성 행
위가 발생하는지에 대해 자세히 알아본다. 또한 안랩의 트러스와처가 제로데이 공격을 어떻게 효과적으로 대처할 수 있는지에 대해
서도 살펴보자.
개요
지난 3월 마이크로소프트 워드에서 제로데이 취약점이 공개되었다.
마이크로소프트 워드에서 메모리 변형(Memory corruption) 취약점
이 존재한 것. 이 취약점은 정교하게 조작된 RTF(Rich Text Format)
문서를 파싱하는 과정에서 힙(Heap)에 저장된 구조체를 부적절하게
사용할 때 발생한다.
CVE Reference
CVE-2014-1761
Ref1. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1761
취약점 발생 모듈
● name: WWLiB.DLL in Microsoft Office 2010
● Version: 14.0.7113.5001.
● Description: MS Word에서 RTF 문서를 파싱하는 모듈
취약점이 발생할 수 있는 프로그램
● Microsoft Word 2003
● Microsoft Word 2007
● Microsoft Word 2010
● Microsoft Word 2013
● Microsoft Word 2013 RT
● Microsoft Word Viewer
● Microsoft Office Web Apps 2010
● Microsoft Office Web Apps Server 2013
● Microsoft Office Compatibility Pack
● Microsoft Office for Mac 2011
● Microsoft Microsoft SharePoint Server Word Automation Services 2010
취약점이 발생하는 파라미터
listoverridecountn , lfolevel
취약점 발생 원인
이 취약점은 “Listoverridecountn”이 16(0x10)이상이고, “lfolevel”의
개수가 n보다 크면 힙 버퍼 오버플로우(heap buffer overflow)가 발생
한다. 이때 “Listoverridecountn”의 n은 반드시 0, 1 또는 9 값이 저
장되어야 한다. “Listoverridecountn”의 자세한 설명은 마이크로소프
트사에서 작성한 Ref2(http://www.microsoft.com/en-us/download/
details.aspx?id=10725)에 기술되어 있다.
예를 들어 “Listoverridecountn”의 n 값이 25일 경우 25*8byte 만큼
만 힙(Heap)에 쓸 수 있는 공간이 생성되지만, “lfolevel”의 개수가 25
를 넘어서면 다른 모듈에서 사용하는 구조체의 데이터에 값을 덮어쓰
게 되어 힙 오버플로우가 발생한다.
익스플로잇(Exploit) 동작 원리 상세 분석
지금부터 아래와 같은 샘플을 통해 악성 RTF 파일이 이용하는 취약점
동작원리에 대해서 상세 분석을 진행하겠다.
● 분석 대상 샘플 파일의 MD5: a2fe8f03adae711e1d3352ed97f616c7
[그림 1] RTF Control word인 Listoverridecount에 대한 마이크로소프트사의 설명
16
[그림 2] MSCOMCTL.OCX Version 6.01.9834 파일이 가상메모리에 로드 된 상태
[그림 6] listoverridecount N 값을 입력 받음
[그림 7] listoverridecount N 값이 16이상 확인
[그림 8] lfolevel 개수만큼 카운트를 증가시킴
[그림 9] RTF 정보의 구조체 포인터를 저장
[그림 10] lfolevel에 있는 값을 힙 공간에 기록
[그림 4] RTF 파일 내부의 취약점을 발생시키는 위치
[그림 5] RTF 메인 파서
[그림 3] wwlib.dll ver..14.0.7113.5001 모듈이 가상메모리 공간에 로드된 상태
데이터를 쓰는 메인 파서 주소(0x6549BAFF)로 이동한다.
[그림 7]과 같이 EAX에 힙 버퍼의 인덱스를 로드하고, 0x0F와 n(0x19)
를 And 연산하여 취약점이 발생하는 16(0x10) 보다 큰 값인 n(0x19)
이 입력되었다면 0x654A31DF 주소로 이동한다.
만약, n 값이 16(0x10) 이하이면 취약점이 발생하지 않는다.
악성 행위가 발생하는 시점인 아래 [그림 8]은 힙 오버플로우 취약점
을 발생시키는 단서가 되는 중요한 코드이기 때문에 CPU 레지스터
(Register) 값을 보면서 단계별로 기술하겠다.
[그림 9]의 0x654A31F9에서는 [EAX+80FC] 값을 EAX에 저장한다.
EAX 값은 파싱된 RTF 정보의 구조체 포인터를 저장하는 위치이고,
0x80FC는 오프셋(offset)을 의미한다.
[그림 10]과 같이 inC EDi를 증가시키며 루프를 돌면서 구조체 포인터
주소에 n*8byte 크기만큼 데이터를 힙에 기록한다. 이 부분에서 취
약점이 발생하는 이유는 “listoverridecountn” 값이 0x19로 입력되었
기 때문에 0x19 만큼의 공간만 할당해 두었는데 EDi의 개수가 0x19
보다 크기 때문에 할당된 영역을 벗어난 다른 모듈의 구조체를 덮어
쓰게 되기 때문이다. 인덱스(index) 값으로 사용되는 EDi의 개수는
“lfolevel”의 개수와 같다.
분석 환경
● OS: Windows 7
● MSCOMCTL.OCX (version 6.01.9834)
악성 샘플이 최초로 이동하는 주소와 공격에 이용되는 ROP 체인
(Chain)의 주소는 MSCOMCTL.OCX Version 6.01.9834에 맞추어
져 있기 때문에 Windows XP MSCOMCTL.OCX 에서는 악성 쉘코드
(Shellcode)가 동작 하지 않는다.
● Application: MS Word 2010
● wwlib.dll (version 14.0.7113.5001)
이 취약점은 MS Word 2010 version 14.0.7113.5001 이하 하위 버전에
서도 RTF를 파싱 하는 모듈에서 “lfolevel”를 카운트 하는 인덱스의 최
고 값을 검증하지 않기 때문에 힙 오버플로우가 발생하는 것을 확인
할 수 있다.
취약점 상세 분석
분석 대상 MD5 파일은 RTF 파일 내부에 “listoverridecount25”가 있
고, “lfolevel”의 개수가 25개 이상 존재한다.
“listoverridecount” 16(0x10) 이상이고, “lfolevel”의 개수가 16보다
크면 취약점이 발생하는 조건에 충족한다.
지금까지는 샘플 파일 자체에 대한 정적 분석 내용을 소개했다. 이제
부터 디어셈블리 과정을 통해 동적 분석 과정과 결과를 살펴보자.
● 취약점이 발생하는 모듈인 RTF 메인 파서
WWLiB.DLL Base Address: 0x64E60000
● RTF 메인 파서 시작 주소: BA(0x64E60000) + RVA(0x63BAFF) =
VA(0x6549BAFF)
[그림 6]과 같이 0x654918A2 주소에서 [EBP-0x2E04] 값 0x19(25)를
스택에 입력하고, 0x654918B4에서 힙(Heap) 공간에 0x19*8 크기의
[그림 11]에서 첫 번째 “lfolevel” 값이 null이기 때문에 [그림 10]
의 덤프(Dump) 영역에 아무런 데이터가 입력되지 않는다. 27번째
17
“lfolevel” 값부터는 힙 공간에 8byte 크기의 데이터를 입력한다. 이
부분에서 취약점이 발생하는데 “listoverridecountn”의 값이 25(0x19)
값만 할당된다. 그런데 27번째 “lfolevel” 데이터를 쓰는 공간에는 다
른 APi가 사용하는 구조체 포인터가 저장되어 있는 공간을 덮어쓰게
된다.
쉘코드가 성공적으로 실행된다.
본 문서에서 사용하는 MSCOMCTL.OCX 모듈의 버전은 Windows 7에
서 사용하는 버전 6.01.9834 이기 때문에 0x275A48E8 위치에서는 [그
림 17]과 같이 OPCode가 존재하여 악성 쉘코드가 성공적으로 실행된
다. 하지만 Windows XP에서는 wwlib.dll 모듈 내부의 취약점은 발생
은 성공하지만, MSCOMCTL.OCX 에서 공격자가 의도한 대로 OPCode
가 실행되지 않기 때문에 악성 행위는 발생하지 않는다.
[그림 12]와 같이 EDi 인덱스 값이 29번째(0x1D) 값이 되어 다른 APi
에서 정상적으로 사용하는 구조체 부분을 덮어쓰게 된다.
[그림 13]은 정상적인 구조체의 데이터가 존재하는 모습이다. [그림
12]의 0x654A3207 주소에서 함수가 실행되고 나면 [그림 14]와 같이
악성 행위를 하기 위해 조작된 데이터가 구조체 공간을 덮어쓰게 된다.
아래 [표 1]은 취약점이 발생하여 쉘코드를 성공적으로 실행할 수 있
도록 정교하게 만들어진 29번째 “lfolevel” 데이터를 보여주고 있다.
아래 조작된 데이터가 어떻게 [그림 15]의 0x02E617E0 공간에 공격자
가 의도한 주소인 0x275A48E8과 데이터를 입력했는지 알아보자.
아래 [그림 18]의 0x7B7B를 입력하기 위해서는 “levelstartat31611” 값
을 이용한다. 파라미터 31611을 HEX 값으로 변환하면 0x7B7B가 된다.
[그림 19]의 0xE8을 입력하기 위해서는 “levelnfcn232” 값을 이용한다.
파라미터 232를 HEX 값으로 변환하면 0xE8이 된다.
[그림 20]에서 0x48을 입력하기 위해서는 “levelnfcn1”, “levelnoresta
rt1” 값을 이용한다. 48을 bit로 표현하면 0100 1000으로 표
현되고, “levelnfcn1”의 값은 0x40(0100 0000) 값으로 쓰이고,
“levelnorestart1” 값은 0x8(0000 1000) 값으로 사용된다.
0x02E617E0 주소에 있는 0x034F0150 주소로 이동하면 [그림 15]와
같이 정교하게 조작된 공격자가 의도한 데이터가 입력되어 있는 것을
볼 수 있다. 아래와 같은 데이터가 입력되고 나면 0x034F0154 주소에
0xE8485A27이 입력 되고, 이를 리틀엔디언(Little-Endian)으로 변경
하면 0x275A48E8이 된다.
0x64E8C19C 주소에서 [ECX+4]의 값은 0x275A48E8이 되고 악성 쉘
코드의 시작 주소인 0x275A48E8 주소로 EiP가 이동한다.
0x275A48E8 주소는 MSCOMCTL.OCX 모듈의 내부 주소이다. 공격
자가 의도한 대로 쉘코드가 실행되려면 MSCOMCTL.OCX 모듈의
0x275A48E8 주소에는 [그림 17]과 같은 OPCode가 존재해야만 악성
[그림 21]에서 0x5A 0x27 0x89 0x64 0x58 0x27 0xEF 0xB8 0x58을 입
력하기 위해서는 “levelnumbers”의 컨트롤 워드 5A를 이용한다. 컨트
롤 워드인 0x5A가 입력되면 프로그램은 [그림 22]에 있는 0x27 0x89
0x64 0x58 0x27 0xEF 0xB8 0x58 데이터를 읽어 들여 힙 공간에 기록
한다.
[그림 11] RTF 파일 내부에 취약점을 발생시키는 부분
[그림 12] lfolevel의 0x1D 번째 값을 입력하는 부분
[그림 17] MACOMCTL.OCX 내부 주소인 0x275A48E8에 존재하는 OPCode
[표 1] MSCOMCTL 모듈 내부의 0x275A48E8로 EIP를 이동시키기 위해 정교하게 조작된 데이터
[그림 13] 힙 오버플로우 전 정상 구조체가 입력된 모습
[그림 15] lfolevel의 변수를 힙 오버플로우한 공간에 저장한 모습
[그림 16] MACOMCTL.OCX 내부 주소인 0x275A48E8로 이동하는 CALL
[그림 14] 힙 오버플로우 발생 후 정상 구조체를 의도한 값으로 덮어쓴 후의 모습
[그림 18] levelstartat31611 값이 0x7B7B로 저장
[그림 19] levelnfcn232 값이 0xE8로 저장
[그림 20] “levelnfcn1”, “levelnorestart1” 이 0x40으로 저장
18
[그림 21] levelnumbers의 값으로 0x27 0x89 0x64 0x58 0x27 0xEF 0xB8 0x58로 저장[그림 27] ROP를 이용하여 쉘코드가 실행할 공간 생성
[그림 28] 쉘코드 시작 부분
[그림 22] RTF 파일의 levelnumbers의 데이터
[그림 23] levelfollow39가 0x27로 저장
[그림 24] levelspace22873이 0x5959로 저장
[그림 25] levelindent23130이 0x5A5A로 저장
[그림 29] 쉘코드가 CreateFileA를 이용하여 ReportingEvents.log 정보 확인
[그림 30] ReportingEvents.log 파일 내용
[그림 31] 2014년 4월 8일 이후 업데이트 확인
[그림 32] 쉘코드 내부의 안티 후킹 코드
[그림 26] ROP 체인 값이 Stack에 저장됨
[그림 23]의 0x27을 입력하기 위해서는 “levelfollow39” 값을 이용한
다. 파라미터 39를 HEX 값으로 변환하면 0x27이 된다.
ROP 체인(Chain )은 쉘코드가 실행할 수 있는 공간을 만들고,
0x40000000 주소 영역에 쉘코드를 기록한다. 쉘코드 기록이 끝나면
EiP를 0x4000040 주소로 이동하여 본격적인 악성 행위를 시작한다.
[그림 28]의 쉘코드는 전형적인 쉘코드 시작 단계로 kernel32.dll 주소
를 가져오는 기능을 한다.
[그림 24]의 0x5959를 입력하기 위해서는 “levelspace22873” 값을 이
용한다. 파라미터 22873를 HEX 값으로 변환하면 0x5959가 된다.
[그림 25]의 0x5A5A를 입력하기 위해서는 “levelindent23130” 값을
이용한다. 파라미터 23130를 HEX 값으로 변환하면 0x5A5A가 된다.
“C:\Windows\SoftwareDistribution\ReportingEvents.log” 파일을 읽
어 온다. 최신 업데이트된 날짜가 특정 날짜 이후의 값을 갖고 있으면
악성 행위를 중단하고 프로세스를 종료한다.
ReportingEvents.log 파일을 읽어 최신 보안 패치 로그가 2014년 4월
8일 이후 값이 존재하면 악성 행위를 중단하고 프로세스를 종료한다.
쉘코드 내부에서 APi를 호출(Call)할 때마다 안티 디버깅 기능을 사용
하여 행위분석 자동화 툴을 우회하는 로직을 실행한다.
쉘코드가 동작할 공간을 만들기 위해서 Kernel32.dll.VirtualAlloc APi
를 이용하여 0x40000000 공간부터 0x100000 공간 만큼의 힙 공간을
실행 가능한 공간으로 생성한다.
쉘코드(ShellCode) 동작 분석
지금까지 취약점이 발생하는 원리와 정교하게 조작된 RTF 파라미터로
공격자가 의도한 주소로 이동하여 쉘코드를 실행하기 전까지의 과정을
상세하게 살펴 보았다.
취약점 공격이 성공적으로 완성되고 나면 쉘코드 내용은 샘플마다 바
뀔 수 있기 때문에 쉘코드 동작에 대한 상세한 분석은 지양하고 공격자
가 의도한 주소인 0x275A48E8로 이동하여 악성 행위를 하는 과정을
간략하게 살펴 보겠다.
MACOMCTL 모듈 내부에서 ROP 체인을 이용하여 쉘코드가 동작할 공
간을 생성한다.
19
PEB 구조체의 BOOLEAn BeingDebugged 멤버의 값을 확인하여 디버
깅을 당하고 있는지의 여부를 확인하여 디버깅하고 있다고 판단되면
프로세스를 종료한다.
디버깅 상태로 실행되면 pushFD가 제대로 실행되지 않아 프로그램이
정상 동작하지 않는다. 이것은 쉘코드에서 주로 쓰는 안티 디버깅 기법
이다. 이외에도 쉘코드 내부에 다른 여러 가지 안티 디버깅 기능들이
존재하지만 자세한 설명은 생략한다.
상기 안티 디버깅 기능들을 우회하면 쉘코드 디코딩 과정을 거쳐 최종
적으로 템프(temp) 디렉터리에 svchost.exe(md5: cf89602d6cd2327
bb7fa2627e5d46052) 파일을 드롭(Drop)한 후 실행하고, 정상 문서를
오픈하여 사용자를 속이는 로직을 실행한 후에 오피스 버전의 레지스
트리 값을 삭제하고 프로세스를 종료한다.
제로데이 취약점과 안랩 트러스와처
지금까지 제로데이 취약점(CVE-2014-1761)이 발생하는 원리와 공격자
의 의도에 따라 어떻게 악성 행위가 발생하는지에 대해 자세히 알아보
았다. 앞서 언급했듯이 이 취약점이 발견된 것은 지난 3월이며, 4월 MS
정기 보안업데이트에 패치가 발표되었다. 해당 애플리케이션 사용자는
한 달이라는 기간 동안 제로데이 공격의 위협에 무방비 상태로 노출된
것이다. 이렇듯 제로데이 취약점이 발견되면 보안 패치가 발표되기 전
까지 위험에 그대로 노출될 수밖에 없는 것일까.
제로데이 공격에 대응하기 위해서는 취약점이 발생하여 쉘코드를 실행
시키기 전에 이를 탐지함으로써 악의적인 행위를 차단해야 한다. 그러
나 일반적인 행위기반 탐지 기술로는 이러한 공격을 탐지하는데 한계
가 있다. 앞서 살펴본 바와 같이 최근의 고도화된 악성코드는 타깃 시
스템을 살핀 후 공격이 성공하기 어려운 조건이 확인되면 어떠한 행위
도 하지 않기 때문이다. APT와 같은 고도화된 공격에 대응하기 위해서
는 행위기반 탐지 기술 뿐만 아니라 최신 공격 동향에 최적화된 탐지
기술이 추가로 필요하다.
안랩의 APT 사전 대응 솔루션인 ‘안랩 트러스와처(영문명 AhnLab
MDS)’는 행위기반 탐지 기술뿐만 아니라 최근 증가하고 있는 문서
파일을 이용한 비실행형(non-PE) 파일 탐지에 최적화된 동적 콘텐츠
분석(DiCA: Dynamic intelligent Content Analysis) 기술이 적용되어
있다. 트러스와처의 DiCA 기술은 알려지지 않은 취약점이 익스플로
잇되어 악의적인 행위를 수행하기 위해 ROP 체인의 쉘코드가 동작하
도록 준비하는 시점([그림 26])에 이를 탐지하고 무력화시키는 ‘ROP
탐지(ROP Detector)’ 기능을 제공한다. 또한 악성 행위가 시작되는 시
점, 즉 EiP가 쉘코드가 위치한 지점으로 이동하는 순간([그림 28])에도
탐지가 가능해 악성 행위의 발현 여부와 상관없이 공격 시도를 억제
할 수 있다.
이 밖에도 조직 네트워크 영역에서 실시간으로 탐지된 신종 악성코드
를 삭제하는 기능은 물론, USB 또는 암호화 트래픽을 통해서 유입된
악성코드의 실행을 차단하고 분석하는 ‘실행 보류(execution holding)’
기능을 제공해 잠재적인 위협까지 사전 대응이 가능하다.
한편 안랩은 트러스와처에 취약점 발현 단계에서 이를 탐지하여 차단
할 수 있는 기술을 연내 적용할 예정이다. 이를 통해 제로데이 등 알려
지지 않은 완벽한 공격 차단 뿐만 아니라 공격에 대한 상세한 분석 정
보를 제공해 더욱 강력한 APT 대응이 가능할 것으로 기대되고 있다.
[그림 33] PEB 구조체의 BOOLEAN BeingDebugged 멤버의 값
[그림 34] 안티 디버깅 코드
[그림 35] CreateFileA API를 이용하여 svehost.exe 파일을 생성
[그림 36] 오피스에서 사용하는 레지스트리 삭제
2020
p R O d u C T i S S u E
APT(지능형지속 위협) 방어 솔루션 ‘안랩 트러스와처(AhnLab TrusWatcher, 해외제품명 AhnLab MDS)’가 보안정보 및 이벤트 관리(SiEM,
Security information and Event Management) 솔루션인 ‘HP 아크사이트(HP ArcSight) 제품군’과 기술적 연동이 가능함을 의미하는
‘CEF(Common Event Format) 인증’을 획득했다.
이번 인증으로, 안랩 트러스와처로 수집/분석한 보안위협 관련 정보(신종 악성코드 및 C&C 탐지 정보 등)를 별도의 연동작업 없이 아크사이트
제품군에서 통합 제공할 수 있게 됐다.
HP 아크사이트는 iT 인프라 전반의 보안 및 비보안 이벤트(데이터)를 수집, 분석 및 평가하여 신속하게 우선 순위를 지정하고 대응할 수 있도록
지원한다. 악성코드 등의 외부 위협, 데이터 침해 등과 같은 내부 위협, 애플리케이션 결함 및 설정 변경에 따른 위험, 감사 및 법규 준수(컴플라
이언스) 등 조직 내 모든 iT 활동에 대한 가시성을 확보함으로써 보다 빠르고 정확한 탐지와 신속한 대응을 가능하게 한다.
아크사이트를 사용하는 보안관리자는 트러스와처로부터 악성코드 정보, C&C(C2) 서버 정보, 위협 심각도 등 조직 내 유입된 보안 위협의 정보
를 한눈에 확인할 수 있다. 이를 통해 보안 위협 가시성 확보 및 위협 정도에 기반한 우선 대응 등이 가능해 나날이 고도화되는 사이버 공격에
효과적으로 대응할 수 있다. 이번 HP 아크사이트와의 연동 기능은 트러스와처 2.1.3 이후 버전부터 적용되어 있다.
안랩 트러스와처는 APT 방식의 보안 위협에 대응하기 위해 ▲샌드박스를 통한 신변종 악성코드 행위 분석과 시그니처, 평판, 파일간의 연관관
계, 접속 URL/iP의 위험도 등 다차원 행위기반 분석 ▲MS 오피스 파일, PDF, 한글(hwp) 등과 같은 문서형 악성코드를 행위 발생 여부와 무관
하게 분석 가능한 ‘동적 콘텐츠 분석(DiCA: Dynamic intelligent Content Analysis)’ ▲PC와 같은 엔드포인트의 전용 에이전트로 탐지된 신종
악성코드 실시간 삭제 및 유입된 악성코드의 실행을 차단하고 분석하는 ‘실행 보류(execution holding)’ 기능 등 행위기반 분석 및 콘텐츠 기반
분석, 전용 에이전트를 통한 엔드포인트 연계 대응을 제공한다.
권치중 안랩 대표는 “HP 아크사이트와의 기술적 연동으로 더욱 향상된 보안 시스템을 제공할 수 있게 된 것을 매우 의미있게 생각한다”며, “안
랩은 지속적으로 다양한 글로벌 iT기업들과 전략적 제휴를 맺어 보다 안전한 보안 산업 생태계(에코시스템)를 구축하는데 앞장서겠다”라고 말
했다.
ahnlab Truswatcher
안랩 트러스와처,
HP 아크사이트 제품군과 기술 연동 인증 획득
트러스와처의 위협 정보, HP 아크사이트에서 통합 관리 및 상관분석 제공
2121
랜섬웨어 악성코드 집중 분석
T h R E aT a N a ly S i S
급여 명세서로 가장한 랜섬웨어 주의
Ransomware
랜섬웨어(Ransomware)는 사용자의 중요한 자산을 볼모로 금전을 요구하는 악성 프로그램을 말한다. 랜섬웨어는 이미 오래 전부터
발견됐지만 점점 수법이 더욱 정교해지고 그 피해 사례도 늘어나고 있는 추세이다. 특히, 최근에 발견된 랜섬웨어는 인사나 급여 등
사용자의 관심을 유발하는 내용을 포함하고 있어 각별한 주의가 필요하다.
어느 날 급여 명세서를 첨부한 메일이 발송되었다. 사용자는 발신 메
일 주소와 메일 내용을 확인한 뒤, 첨부된 PDF 파일을 실행했다. 급
여 관련 내용이 기록된 PDF 파일이 보일 것을 기대했으나 PC는 아무
런 반응이 없었다. 얼마 지나지 않아 갑작스러운 인터넷 창과 메모장
이 자동 실행되었으며, 그 내용으로 ‘암호화된 파일을 해제하는 법’에
대한 문구들을 확인할 수 있었다. 사용자는 그 즉시 자신이 악성코드
를 실행했음을 알아차렸지만, 이미 사용자 PC 내의 모든 문서와 이미
지 파일 등은 암호화되어 실행되지 않는 상태가 되었다.
최근 사용자 PC 내 문서, 이미지 파일 등을 암호화시키는 랜섬웨어 악
성코드가 급여 명세서로 위장해 유포되고 있다. 실제 급여 명세서를
첨부한 메일로 사용자를 속이며, [그림 2]와 같이 PDF 파일 아이콘으
로 위장한 실행 파일 형태의 악성코드를 첨부하고 있다.
이 악성코드를 실행하게 되면 <C:\DOCUME~1\[사용자계정]\
LOCALS~1\Temp>경로에 “vccah.exe” 파일을 자가 복제 생성한다.
생성된 “vccah.exe” 악성코드는 원본 파일을 삭제한 뒤, C&C 서버로
추정되는 특정 주소에 접속하여 악성 행위에 필요한 파일을 추가로
다운로드한다.[그림 1] 급여 명세서로 가장한 이메일
[그림 2] 급여 명세서로 가장한 악성 파일
22
[그림 3] C&C에서 추가 악성코드 다운로드[그림 4] 암호화된 doc 파일 실행 시 오류 발생
[그림 5] 암호화된 txt 파일 실행 시 변조된 파일 내용
[그림 6] 암호화 복구를 위해 비트코인 결제 유도
[표 1] 파일 생성 정보
[표 2] 레지스트리 등록 정보
[표 3] 암호화 대상이 되는 파일 확장자
이후 “vccah.exe” 파일은 <C:\DOCUME~1\[사용자계정]\LOCALS~1
\Temp> 경로에 “ijgvr.exe”를 생성한 후 자신을 “숨김” 속성으로 설정
한다.
“ijgvr.exe” 파일은 아래 [표 1]과 같이 파일을 생성한다.
이 악성코드는 파일 암호화 이후, txt 파일과 html 파일을 생성하여
암호화 복구 가이드를 안내하고 있다. 또한, 복구 가이드를 안내하는
웹 페이지 접속 시 암호화 복구를 위하여 비트코인 결제를 요구하고
있다. 사용자가 암호화된 파일 복구를 위해 결제를 하더라도 해당 파
일 복구 가능성 여부는 불투명하다.
해당 악성코드는 자체 전파 기능은 없으나 이번 사례와 같이 메일, 메
신저, 게시판 등에서 다운로드되어 실행될 수 있다. 따라서 사용자는
반드시 출처가 불분명한 실행 파일(SCR, EXE 등)의 다운로드 및 실행
에 각별한 주의가 필요하다.
V3 제품에서는 이 악성코드를 ‘Trojan/Win32.FakePdf (2014.07.31.
03)’이라는 진단명으로 진단 및 치료하고 있다.
이후 아래 [표 2]와 같이 서비스 레지스트리에 등록하며, 시스템 복원
기능을 비활성화시킨다.
“a967396.exe” 파일에 의해 아래의 확장자 파일을 모두 암호화시키
며, 이후 악성코드 감염 내용에 대한 확인을 어렵게 하도록 암호화 작
업이 끝나면 앞서 생성되었던 파일들과 등록된 레지스트리값을 삭제
한다.
이번에 발견된 악성코드는 이전의 랜섬웨어 악성코드와는 다르게 파
일의 확장자를 유지한 채 암호화시킨다. 악성코드에 의해 암호화된 파
일 실행 시 아래 [그림 4], [그림 5]와 같이 doc 파일은 실행 오류, txt
파일은 내용이 변조된 것을 확인할 수 있다.
파일 생성
C:\a967396\a967396.exe
C:\DOCUME~1\[사용자계정]\Application Data\a967396.exe
\DOCUME~1\[사용자계정]\시작메뉴\프로그램\시작프로그램\a967396.exe
Key Value
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\a96739
"C:\a967396\a967396.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\a967396
"C:\DOCUME~1\[사용자계정]\Application Data\a967396.exe"
HKLM\SYSTEM\ControlSet001\Services\wscsvc\Start
0x4
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\DisableSR
0x1
*.xLSx, *.xLSM, *.xLS, *.xLK, *.DOCx,*.TxT, *.RTF, *.pST, *.ppT, *.ppS, *.pHp, *.pDF, *.pAS, *.ODC, *.MDb, *.KEY,
*.jpg, *.jpEg, *.pNg, *.DOC, *.pY
23
T E C h R E p O R T bitTorrent analysis
비트토렌트, 반드시 흔적은 남는다
2부_BitTorrent 공유 과정 실전 분석
최근 불법 파일 공유와 지적재산권 침해가 사회적 이슈가 되면서 ‘P2P’라는 용어가 자주 등장하고 있다. P2P(Peer-to-Peer)의 인터
넷을 통한 파일 공유 기술이나 뛰어난 성능과 빠른 속도의 장점이 파일의 불법 공유에 악용되는 사례가 증가하고 있다. 이에 월간 안
에서는 2회에 걸쳐 P2P 기술 중 가장 활발하게 이용되고 있는 비트토렌트(BitTorrent)에 대해 알아보고 있다.
이번 호에서는 비트토렌트의 핵심 구성 요소인 트래커(Tracker) 또는 피어(Peer)로부터 전달받은 피어에 대한 정보를 기반으로 어떤
과정을 통해 실제 파일의 Piece 데이터 송수신이 이루어지는지 살펴본다. 또한 비트토렌트를 이용한 파일 공유에 참여한 PC에 어떤
흔적이 남아있는지 알아본다.
<연재 목차>
1부_BitTorrent 기초 분석(2014년 8월 호)
2부_BitTorrent 공유 과정 실전 분석(이번 호)
파일의 공유에 참여하고자 하는 이들은 파일에 대한 토렌트(Torrent)
파일이나 마그넷 링크 주소를 이용하여 공유를 시도한다. 그리고 파
일 공유가 본격적으로 시작되기에 앞서 현재 해당 파일을 공유하고
있는 피어(Peer)들의 iP와 포트 번호(Port number) 정보를 트래커
(Tracker) 또는 일부 피어들로부터 전달받는다. 이렇게 전달받은 각
피어에 대한 정보를 이용해 어떻게 파일의 공유가 이루어지는지 상세
한 과정을 살펴보자.
비트토렌트 파일 공유 과정 분석
각 피어에 대한 정보를 이용해 실제 파일 공유가 이루어지기까지의
과정은 [그림 1]과 같이 크게 4단계로 구분할 수 있다.
1. BitTorrent Handshake
파일 공유에 참여하고자 하는 이들은 트래커 혹은 피어들로부터 전
달받은 다수의 피어 iP에 대해 기본적인 통신을 수행하기 위해 TCP
3-way Handshaking을 진행한다. 그리고 TCP 3-way Handshaking
과정을 통해 성공적으로 세션이 맺어진 피어들을 대상으로 BitTorrent
Handshake 메시지를 보낸다. BitTorrent Handshake 메시지는 비트
토렌트 프로토콜에서 제공하고 있는 메시지 타입 중 하나로, 메시지를
받는 상대방이 나와 파일을 공유할 의사가 있는지를 묻는 의미를 담
고 있다. BitTorrent Handshake 메시지 안에는 메시지를 보내는 이
의 피어 iD와 공유하고자 하는 파일 관련 정보에 대한 SHA1 값이 들
어있다.
만일 BitTorrent Handshake 메시지를 받은 상대방이 공유에 참
여할 의사가 있다면 파일 정보의 SHA1 값과 상대방의 피어 iD가
BitTorrent Handshake 메시지에 포함되어 나에게 전송된다. [그림 2]
와 [그림 3]은 2명의 피어가 서로 BitTorrent Handshake 메시지를 주
고받는 과정에서 발생한 패킷이다. 동일한 파일 정보의 SHA1에 대해
각자의 피어 iD가 포함된 BitTorrent Handshake 메시지를 주고 받는
것을 확인할 수 있다.
[그림 1] 비트토렌트를 이용한 파일 공유 과정
24
[그림 2] BitTorrent Handshake 메시지 패킷
[그림 3] BitTorrent Handshake 응답 메시지 패킷
[그림 4] Have, Piece 메시지가 포함된 비트토렌트 패킷
[그림 5] Request, Piece 메시지가 담긴 비트토렌트 패킷
[그림 6] TCP 프로토콜을 통한 Piece 데이터 전송
실제 공유 과정에서 발생하는 패킷을 분석하면 다수의 피어들이
BitTorrent Handshake 메시지가 담긴 패킷을 주고받는 것을 확인할
수 있다. 상대방이 마찬가지로 BitTorrent Handshake 메시지로 응답
하면 현재 공유에 참여하고 있는 중이라는 것을 유추할 수 있다. 만일
상대방이 BitTorrent Handshake 메시지에 응답하지 않는다면 일시
적으로 공유에 참여할 수 없는 상태이거나 또는 과거에 공유 과정에
참여했지만 현재는 공유에 참여하고 있지 않을 가능성이 높다.
BitTorrent Handshake 과정이 성공적으로 이루어지면 바로 다음 단
계로 이어진다.
2. 비트토렌트 메시지 1 - “Have, Piece”
BitTorrent Handshake 과정이 성공적으로 이루어져 서로 파일을 공
유할 의사가 있음이 확인되면 각 피어는 상대방에게 “Have, Piece”
메시지를 통해 자신들이 보유하고 있는 Piece에 대한 정보를 전송한
다. 원활한 파일 전송을 위해 일정한 크기로 쪼개진 조각인 Piece는
고유한 시퀀스 넘버를 갖는데, 비트토렌트 프로토콜 상에서는 이를
idx라 부른다. 각 피어들은 각자가 보유하고 있는 Piece들의 idx 값을
Have, Piece 메시지 속에 포함시켜 상대방에게 보냄으로써 현재 자신
이 어떤 Piece들을 보유하고 있는지 알린다.
4. Piece 데이터 송수신
Request, Piece 메시지를 받은 피어는 특별한 이유가 없는 한 요청
받은 Piece 데이터를 TCP 스트림(Stream) 형태로 전송한다.
PC에 남는 흔적 분석
지금까지 토렌트 파일이나 마그넷 링크를 실행해 공유가 진행되는 과
정에서 발생하는 패킷을 통해 각 피어의 정보 및 공유에 참여한 정도
피어들이 서로 Have, Piece 메시지를 주고 받는 이유는 현재 서로 필
요로 하는 Piece들을 상대방이 보유하고 있는지 확인하기 위함이다.
만일 현재 세션이 맺어진 2명의 공유자들이 각각 파일의 배포자가 아
닌 피어(Peer)로, 파일의 일부분들만 보유하고 있는 상태라고 가정해
보자. 그렇다면 2명의 공유자는 서로 보유하고 있는 파일의 Piece가
온전하지 못하기 때문에 Have, Piece 메시지를 주고받음으로써 자신
이 원하는 Piece를 상대방이 보유하고 있는지 확인한다. 만일 2명의
공유자 중 한 쪽이 시더(Seeder, 파일 게시자/배포자)일 경우, 시더는
자신이 시더임을 알리는 메시지를 보냄으로써 모든 Piece를 보유하고
있다는 것을 알린다. 이때 Have, Piece 메시지는 보내지 않는다.
이 단계에서 분석가들은 각 iP가 시더인지 피어인지 판단할 수 있으
며, 피어의 경우 어떤 Piece들을 보유하고 있는지 식별할 수 있다. 또
한 이를 통해 각각의 피어가 공유 파일의 전체 데이터 중 몇 %를 보유
하고 있는지 판단할 수 있다. 해외에서는 불법 공유 파일의 데이터 중
몇 % 이상이 PC에서 발견되었는지에 따라 범죄 여부가 갈리기도 한다.
3. 비트토렌트 메시지 2 - “Request, Piece”
Have, Piece 메시지를 주고받는 과정을 통해 내가 필요로 하는 Piece
를 상대방이 보유하고 있음이 확인되면 “Request, Piece” 메시지를
보내 해당 Piece를 요청한다. 마찬가지로 Request, Piece 메시지에
필요로 하는 Piece의 idx와 요청 데이터의 크기 정보를 포함시켜 전
송한다.
를 파악했다. 그러나 이것은 공유에 참여한 각 피어에 대한 정보를 수
집하기 위한 과정일 뿐이다. 실제로 각 피어가 공유에 참여했다는 것
을 입증하기 위해서는 iP를 기반으로 공유에 사용된 PC를 파악하고
해당 PC에서 공유된 파일 및 공유 관련 흔적을 발견할 수 있어야 한다.
이제 PC에서 사용자가 비트토렌트를 통해 특정 파일을 공유한 흔적을
찾는 방법을 알아볼 차례다. 이 글에서는 비트토렌트 클라이언트 프로
그램 중 유토렌트(uTorrent)를 이용해 파일 공유에 참여했을 때 PC에
어떤 흔적이 남을 수 있는지 알아본다.
1. 토렌트(Torrent) 파일
사용자가 유토렌트 프로그램을 이용해 토렌트 파일을 실행하면 [표 1]
과 같은 경로에 해당 토렌트 파일들이 저장된다.
[그림 7]은 윈도(Windows) 8 환경에서 %Userprofile%\AppData\
Roaming\uTorrent 경로에 접근한 경우이다. 유토렌트 프로그램과
관련된 다양한 설정 파일을 확인할 수 있으며 현재까지 실행된 토렌
트 파일들의 복사본을 확인할 수 있다. 각 토렌트 파일의 생성 시각(만
든 날짜)은 필자가 각각의 토렌트 파일을 최초로 실행했던 시각이다.
2. 레지스트리
사용자가 토렌트 파일을 실행하면 가장 최근에 실행한 토렌트 파일
10개에 대한 이름 정보가 바이너리 형태로 아래의 레지스트리 경로에
남는다.
[그림 8] ~ [그림 10]은 윈도 8 환경에서 위의 경로로 접근한 경우다.
최근에 실행된 토렌트 파일 10개에 대한 정보가 남아있음을 확인할
수 있다.
사용자가 유토렌트 프로그램을 이용해 토렌트 파일을 실행하면 [표 1]
의 경로에 토렌트 파일의 복사본이 생성된다. 따라서 위의 경로에 남
아있는 토렌트 파일을 분석함으로써 PC 소유자가 현재까지 어떤 토렌
트 파일을 실행하여 파일 공유에 참여했는지 확인할 수 있다. 설사 PC
소유자가 토렌트 파일을 실행한 뒤 원본 토렌트 파일을 삭제한다 하
더라도 위의 경로에는 여전히 토렌트 파일이 남아있을 가능성이 높다.
물론 PC 사용자가 위의 경로에 존재하는 토렌트 파일들까지 삭제했을
경우에는 흔적을 찾는 것이 조금 더 어려워진다.
이 밖에도 [표 1]의 경로에 존재하는 각 토렌트 파일의 생성 시각을 토
대로 토렌트 파일이 언제 실행되었는지 유추가 가능하다. 해당 경로에
토렌트 파일이 생성되는 시점이 바로 원본 토렌트 파일이 최초로 유
토렌트 프로그램에서 실행되면서 토렌트 파일의 복사본이 해당 경로
에 저장되는 시점이기 때문이다.
이때 각 데이터에 존재하는 값 이름(0~9)이 토렌트 파일이 실행된 순
서를 의미하는 것은 아니다. 새로운 토렌트 파일이 실행될 때마다 10
개의 토렌트 파일 목록 중 가장 오래 전에 실행한 토렌트 파일 데이터
를 새로 실행하는 토렌트 파일 데이터로 수정하는 방식으로 키의 갱
신이 발생하기 때문이다. 즉, 값 이름이 0인 데이터가 10개의 토렌트
파일 목록 중 가장 먼저 실행된 것이 아닐 수도 있다는 의미다. 비록
위의 레지스트리 경로에서 확인되는 정보로 각 토렌트 파일의 실행
순서를 파악하는 것은 어렵지만 특정 토렌트 파일이 실행되었음을 확
25
[그림 7] %Userprofile%\AppData\Roaming\uTorrent에 존재하는 파일들
[표 1] 유토렌트 프로그램의 토렌트 파일 저장 경로
OS 파일 경로
Windows XP %Userprofile%\Application Data\uTorrent
Windows 7, 8 %Userprofile%\AppData\Roaming\uTorrent
HKEY_USERS\<SiD>\Software\Microsoft\Windows\CurrentVersion\
Explorer\RecentDocs\.torrent
[그림 8] 토렌트 파일 정보가 저장된 경로
[그림 9] 토렌트 파일 정보의 바이너리 값 1
[그림 10] 토렌트 파일 정보의 바이너리 값 2
인하는 용도로는 활용할 수 있다.
3. 유토렌트 프로그램 자체 로그
유토렌트 프로그램은 ‘통계 정보’라는 기능을 통해 그 동안의 유토렌
트 프로그램 사용 기록에 대한 정보를 보여준다. 이 정보는 유토렌트
프로그램의 [메뉴-도움말-통계표시] 부분에서 확인할 수 있다.
[그림 12]는 유토렌트의 통계 정보(통계 표시)에서 제공되는 정보이다.
지난 31일 간의 전송량, 총 업로드량, 총 다운로드량, 총 실행시간, 추
가된 토렌트 파일의 수, 유토렌트 프로그램 실행 횟수, 유토렌트 프로
그램 마지막 실행 시각 등의 정보가 나타난다.
지금까지 2회에 걸쳐 대표적인 P2P 프로그램인 비트토렌트의 파일
공유 과정과 패킷을 통해 파일 공유에 참여한 사용자들의 정보를 확
인하는 방법을 알아보았다. 뛰어난 성능과 빠른 속도의 장점을 가진
P2P 기술이 지적재산권을 침해하는 불법 파일 공유에 악용되는 사례
가 증가하면서 직접적인 제재 방안에 대한 관심이 늘고 있다. 최근 주
로 사용되고 있는 P2P 프로그램인 비트토렌트 분석을 통해 다양한
P2P 기술의 부작용을 방지할 수 있는 방법에 대해 생각해 볼 수 있을
것이다.
26
[그림 11] 유토렌트 프로그램의 ‘통계 정보’ 기능
[그림 12] 유토렌트의 통계 정보(통계 표시)에서 제공되는 정보
2727
i T & l i f E
주민번호 대체 ‘아이핀’과 ‘마이핀’이 뭔가요?
8월 7일부터 개인정보보호법 개정안이 시행되면서 기업이나 기관에서는 근거법령 없이는 주민등록번호를 요구하거나 수집할 수 없
다. 이를 위반하면 3,000만원 이하의 과태료가, 주민등록번호가 유출되면 최대 5억원의 과징금이 부과된다.
이에 따라 정부는 개인에게 주민등록번호 대신 온라인에서는 본인확인 수단으로 ‘아이핀(I-PIN)’, 실생활인 오프라인에서는 ‘마이핀
(My-PIN)’사용을 권하고 있다. 그렇다면 아이핀과 마이핀을 어떻게 발급받고 어떤 용도로 쓰이는지 알아보자.
지난 1월 카드사 개인정보 유출 사건으로 주민번호 등 신용카드 번호, 집주소, 직장 정보 등이 유출된 회사원 이모야 씨. 신용카드는 탈퇴하고
집주소나 직장 정보도 다 바꿨지만 주민번호는 바꿀 수 없어 유출로 인한 피해는 없을까 한동안 걱정을 달고 살았다. 그러다 최근 주민번호 대
신 아이핀(i-Pin)을 사용할 수 있다는 언론 보도를 접했다. 아이핀? 일단 주민번호를 입력하지 않아도 된다는 생각에 아이핀을 써보겠다고 마
음 먹는다.
아이핀(i-Pin; internet Personal identification number)은 영문 뜻 그대로 인터넷에서 사용할 수 있는 개인 식별 번호다. 인터넷 회원가입 시
필수 입력 항목이었던 주민번호 대신 13자리 숫자로 조합된 아이핀을 사용하는 것이다. 아이핀의 13자리 번호를 외울 필요는 없다. 아이디와
비밀번호만 외우면 되며 모바일 앱으로 관리할 수 있다. 인터넷뿐만 아니라 상담이 필요한 ARS를 이용할 때도 아이핀을 사용하면 된다.
아이핀 발급 방법은 공공아이핀센터(www.gpin.go.kr), 서울신용평가정보(www.siren24.com), 나이스신용평가정보(www.idcheck.co.kr), 코
리아크레딧뷰로(www.ok-name.co.kr) 등의 발급기관(본인확인기관) 홈페이지나 네이버, 다음 등 아이핀이 도입된 웹사이트에서 신청하면 된
다. 아이핀 발급 신청을 위해서는 휴대전화나 공인인증서, 주민등록정보(본인과 세대주의 주민번호와 발급일자) 중 하나가 필요하다.
아이핀을 신청하면서 이모야 씨는 마이핀도 신청한다. 마이핀(My-Pin)은 오프라인, 즉 실생활에서 사용하는 개인 식별 번호로 온라인의 연장
으로 이해하면 된다. 개인정보 확인과 개인정보 유출 방지를 위해 사용되는 수단이다. 마이핀은 아이핀 발급 후 신청할 수 있지만 아이핀과 동
시에 할 수 있다. 거주지의 주민센터나 인터넷에서 신청하면 된다. 마이핀 역시 아이핀처럼 휴대전화나 공인인증서, 주민등록정보가 필요하다.
마이핀을 신청하면 신용카드 크기의 마이핀 카드가 발급된다. 발급 후에는 발급증이나 스마트폰 앱을 통해 번호가 제공되며 마이핀 사용 내역
을 휴대전화나 이메일로 알려주는 알리미 서비스도 제공된다.
마이핀은 백화점이나 마트에서 포인트 누적, 항공마일리지 적립 등의 서비스를 받기 위해 사용되는 멤버십카드를 신청할 때도 이용할 수 있다.
그렇다고 모든 실생활에서 사용할 수 있는 것은 아니다. 병원접수증, 보험가입서류처럼 법령상 다른 대체수단의 적용이 곤란한 경우에는 주민
번호를 사용해야 하며 자전거나 유모차 등을 대여할 때도 신분증 제시는 여전히 유효하다. 주민번호 수집이 아닌 본인 확인을 위해서다.
아이핀과 마이핀은 스마트폰의 앱에서도 관리할 수 있다. 구글 플레이나 앱스토어에서 ‘개인정보 지킴이’를 다운로드 받아 사용 내역 조회가
가능하다. 개인정보 지킴이 앱은 주민번호가 법령의 구체적인 근거에 따라 정당하게 처리될 수 있는 사례를 수집 주체, 수집대상, 수집목적별
로 구분해 간단한 메뉴로 구성돼 있다. 또 구체적인 법령 근거를 검색해 주민번호 수집의 합법성도 확인 가능하다. 법적 근거 없이 주민번호를
요구하면 국번 없이 118로 신고할 수 있다. 아이핀과 마이핀의 유효기간은 3년이며 연 3회 재발급 가능하며 정보가 유출됐을 경우에는 폐기하
고 재발급 받을 수 있다. 물론 의무적으로 사용해야 하는 것은 아니다.
한편, 개정된 ‘개인정보보호법’에 따르면 주민번호 수집이 가능한 경우는 병원•약국(의료법), 학교(초•중등교육법), 세금납부(소득세법), 부동산
거래(공인중개사의 업무 및 부동산거래신고에 관한 법률), 보험(보험업법), 금융거래(신용정보의 이용 및 보호에 관한 법률), 자격증 취득(국가
기술자격법), 근로계약(근로기준법) 등이다.
2828
i T & l i f E
랜섬웨어 예방법과 데이터 복구 방법
랜섬웨어는 PC에 저장된 데이터를 암호화한 후 복호화키를 대가로 금전을 요구하는 악성코드이다. 랜섬웨어 자체는 오래 전부터 발
견됐지만 최근 이러한 유형의 악성코드 유포가 급증하면서 피해가 발생하고 있다. 랜섬웨어에 대한 예방법과 랜섬웨어에 감염됐을
경우 암호화된 데이터를 복구할 수 있는 방법을 알아보자.
최근 발견되고 있는 랜섬웨어는 복잡한 암호화 기법을 사용하고 있어 복호화 키를 사용하지 않으면 파일을 원래대로 복원하는 것이 불가능한
경우가 많다. 복호화 키를 얻을 수 있는 유일한 방법은 해커에게 대가를 지불하는 것이다. 문제는 악성코드 유포 초기라면 해커와 연락이 닿아
손을 쓸 수 있지만 대부분은 짧은 시간 안에 차단되고 대가를 지불해도 복원해준다는 보장이 없다는 점이다.
따라서 랜섬웨어에 대한 예방 방법은 기본 보안 수칙을 생활화하는 것이다. PC의 모든 소프트웨어를 최신 상태로 유지하고 자동 업데이트 기
능을 활성화하며 주기적인 백신 검사와 백신을 업데이트한다. 대부분의 악성코드가 이메일이나 안전하지 않은 웹사이트를 통해 감염되는 만큼
랜섬웨어도 이와 무관하지 않다. 안전하지 않은 웹사이트에는 접속하지 않으며 스팸메일은 열지 말고 바로 삭제해야 한다. 이와 함께 중요한
파일은 외부 저장장치에 백업해둔다면 랜섬웨어에 감염되더라도 파일이 훼손되는 것은 막을 수 있다.
데이터 복구 프로그램으로 데이터 복원하기
랜섬웨어에 감염됐더라도 해커에게 대가를 지불하지 않고도 복원할 수 있는 방법이 있다. 악성코드가 하드디스크에 저장돼 있는 원본을 암호
화시키는 방식은 악성코드 변형에 따라 차이가 있다. 이중 암호화 과정에서 원본 데이터를 덮어쓰지 않고 암호화된 파일을 별도로 생성한 후
원본을 삭제하는 방식인 경우 원본 데이터의 흔적이 하드디스크에 남아있을 수 있다. 이 경우 데이터 복구 프로그램을 이용해 데이터를 복구
할 수 있다.
[그림 1]은 랜섬웨어 감염 과정에서 발생한 파일의 암호화 과정을 파일몬(filemon) 프로그램을 이용해 모니터링하고(좌) 감염된 시스템을 데이
터 복구 프로그램을 이용해 검사한 결과다. 암호화 과정에서 임시 파일을 생성했음을 짐작할 수 있고 복구 프로그램이 문서 형태의 파일을 찾
아낸 것을 확인할 수 있다(우). 실제 복구 프로그램이 복원한 파일을 오피스 프로그램으로 열었을 때 문제가 발생하지 않았다.
최근 발견되고 있는 랜섬웨어 변형은 [그림 1]과 같이 복구 프로그램을 이용해 데이터를 복구하는 경우가 많다. 혹시라도 랜섬웨어에 감염됐다
면 이와 같은 복구 방법을 사용해보는 것도 괜찮을 듯 하다.
복구 프로그램을 이용할 때 주의해야 할 점은 복구해야 할 데이터가 있는 하드디스크에 소프트웨어를 설치하거나 파일을 복사하는 등 디스크
에 데이터가 기록되는 행위는 피해야 한다. 파일 프로그램은 파일 삭제 후 하드디스크에 남아 있는 파일의 흔적을 재조합해주는 방식으로 지
워진 데이터를 복원해준다. 이때 새로운 데이터가 디스크에 기록되는 가정하에 이전 데이터가 저장된 영역에 데이터를 덮어쓸 가능성이 높기
[그림 1] 파일몬 프로그램을 통한 모니터링(좌), 복구 프로그램을 이용한 훼손된 데이터 복구 과정(우)
2929
때문에 이 경우 복원되지 않을 수도 있다.
따라서 복원 가능성을 높이려면 되도록 하드디스크를 사용하지 않아야 한다. 복원 과정에서는 반드시 하드디스크를 제거하고 다른 시스템에
저장한 후 복원 프로그램을 사용해야 한다. 중요한 데이터가 있는 경우 데이터 복구 전문 업체에 의뢰할 것을 권장한다.
사용자 파일 백업 및 복원 기능 이용하기
복구 프로그램 외에도 윈도 7 등의 운영체제에서 제공하는 ‘사용자 파일 백업 및 복원 기능’을 이용해 감염 전의 파일을 불러올 수 있다. 윈도
의 사용자 파일 백업 기능을 이용하면 악성코드에 감염되더라도 복원 지점을 설정해 두었거나 사용자 파일 백업을 해두었다면 그 시점으로 돌
아가 복구할 수 있다.
이때 사용자가 주의해야 할 점은 파일을 백업할 때 반드시 윈도가 설치된 로컬 디스크가 아닌, 다른 저장매체에 저장해야 백업이 가능하다. 로
컬 디스크는 백업 파일이 저장될 경로에 표시되지 않으며 로컬 디스크에서 백업할 파일이나 폴더를 사용자가 지정할 수 있다.
파일 복원을 진행하면 사용자가 백업 설정한 파일을 원본 파일에 덮어씌워 복원하거나 기존 경로 외에 다른 경로에 저장할 수 있다.
[그림 3]과 같이 지정된 경로에 백업했던 파일이 복원되고 정상적으로 실행되는 것을 확인할 수 있다.
[그림 2] 사용자 파일 백업(좌), 파일 복원(우)
[그림 3] 복원 후 파일
a h N l a b N E w S
30
‘V3 모바일’ 사칭 악성 앱 유포… 주의!
안랩의 V3 모바일 업데이트 메시지를 사칭한 악성 앱을 유포한 것
이 발견돼 주의가 필요하다.
안랩이 밝힌 V3 모바일 사칭 악성 앱은 공격자가 보안이 취약한 일
부 무선공유기(와이파이)의 DnS(Domain name System) 주소를
변경한다. 스마트폰 사용자가 해당 와이파이를 이용해 유명 포털
사이트에 접속하면 공격자는 V3 모바일 업데이트 메시지를 사칭해
악성 앱 다운로드를 유도한다.
안랩은 이와 같은 파밍(Pharming) 수법을 발견해 사용자의 각별한
주의를 당부했다. 파밍은 합법적인 사용자의 도메인을 탈취하거나
도메인 네임 시스템(DnS) 또는 프록시 서버의 주소를 변조함으로
써 사용자들로 하여금 진짜 사이트로 오인하여 접속하도록 유도하
는 공격 기법이다. 유도한 뒤에는 개인정보 탈취 및 추가 악성코드
다운로드 등의 행위를 한다.
가짜 사이트에는 V3 모바일의 업데이트 안내문을 사칭해 ‘새롭게 출
시된 V3모바일 3.0으로 내폰을 안전하게 지키자!! 설치후 재접속하십
시오(사칭 메시지)’라는 허위 메시지가 나와 사용자를 현혹시킨다.
사용자가 ‘확인’ 버튼을 누르면 악성 앱이 설치되고, 이후에는 문자
메시지, 주소록 등의 개인정보 유출, 악성 앱 추가 다운로드를 통한
금전 탈취 등 추가 피해가 발생할 수 있다.
안랩은 “V3 모바일 3.0은 출시되지 않은 제품이며, 이번 사칭 메시
지는 과거 ‘업데이트 사칭, 오류 해결 사칭 메시지’ 등의 파밍 메시
지에서 변경된 것”으로 추정하고 있다. 해당 사이트에서 다운로드
되는 악성 앱은 현재 V3 모바일을 통해 진단 및 삭제가 가능하다.
안랩, ‘V3 Lite’ 활용한 사회공헌 활동 전개
안랩이 자사의 개인 사용자용 무료백신인 ‘V3 Lite’의 알림창(토스
트 배너)을 활용해 장애 아동을 돕는 지원 캠페인을 진행하는 한편
소방방재청과 업무협약을 맺고 민방위 안내와 자연재해 정보를 제
공하는 등 꾸준히 사회공헌 활동을 전개하고 있다.
안랩은 지난 1월부터 4월까지 밀알복지재단(이사장 홍정길, www.
miral.org)과 손잡고, 장애아동 치료비 지원 캠페인을 2회 진행했
다. 이 캠페인에서 안랩은 V3 Lite의 알림창(그림 참조)을 무료로 제
공해, V3 Lite 사용자에게 장애아동의 사연과 치료비 및 수술비 후
원을 안내했다.
이 캠페인을 통해 모집한 정기 후원금은 도움이 필요한 장애 아동
들에게 지원됐다. 이중 한 아동은 모집된 수술비로 간 이식 수술을
받아 현재 위독한 고비를 넘기고 회복 중이며, 시각장애로 인한 심
리 불안 증상을 가지고 있는 아동은 현재 시각장애아동에게 필요한
감각통합치료를 지원받고 있다. 안랩은 밀알복지재단과 함께 9월부
터 3차 캠페인을 진행할 예정이다.
또한, 안랩은 지난 29일 소방방재청과 업무협약(MOU)를 맺고 V3
Lite 알림창을 통해 재난 정보를 제공하는 알림 서비스를 진행하고
있다. 안랩과 소방방재청은 사전 계획된 민방위 안내와 자연재해
정보 등을 제공하는 캠페인으로, 안전 정보를 빠르고 정확하게 알
리기 위해 노력하고 있다.
민성희 안랩 C&S 전략사업팀 팀장은 “안랩은 V3 Lite의 알림창을
적극 활용해 ‘끊임없는 연구개발로 함께 사는 사회에 기여한다’는
기업의 미션을 꾸준히 실천하고 있다. 앞으로도 꾸준히 사회에 기
여할 수 있는 방안을 찾을 예정이다”라고 말했다.
▲ V3 모바일 2.0에서 해당 악성 앱 실제 진단 화면
▲ ‘V3 Lite’ 나눔배너 이미지 (장애아동 후원 알림(위)과 소방방재청 알림(아래))
[간단하고 강력한 4가지 무선 공유기 관리자 주의 사항]
1. 공유기 ‘관리 페이지’의 접속 암호를 설정하고, 해당 비밀번호는 유추하기
어려운 ‘문자’+‘숫자’로 설정한다.
2. 원격 관리 접속기능을 사용하지 않는 경우, 비활성화로 설정한다.
3. 사용 중인 공유기의 패치 혹은 업데이트를 공유기 판매 기업 사이트에서 주
기적으로 확인하여 항상 최신 버전으로 유지한다.
4. 해당 공유기를 이용하는 기기가 정해져 있다면 등록한 MAC 주소만 연결이
가능하도록 설정한다.
31
보안 통계와 이슈 S T a T i S T i C S
PUP•트로이목마 강세는 여전
ASEC이 집계한 바에 따르면, 2014년 7월 한달 간 탐지된 악성코
드 수는 225만 7,733건으로 나타났다. 이는 전월 170만 5,345건
에 비해 55만 2,388건 증가한 수치다. 한편 7월에 수집된 악성코
드 샘플 수는 351만 9,765건으로 집계됐다.
[그림 1]에서 ‘탐지 건수’란 고객이 사용 중인 V3 등 안랩의 제품이
탐지한 악성코드의 수를 의미하며, ‘샘플 수집 수’는 안랩이 자체적
으로 수집한 전체 악성코드 샘플 수를 의미한다.
[그림 2]는 2014년 7월 한달 간 유포된 악성코드를 주요 유형별로
집계한 결과이다. 불필요한 프로그램인 PUP(Potentially Unwanted
Program)가 43.61%로 가장 높은 비중을 차지했고, 트로이목마
(Trojan) 계열의 악성코드가 29.81%, 애드웨어(Adware)가 5.88%로
그 뒤를 이었다.
2014년 7월 악성코드 유포지로 악용된 도메인은 1,718개, URL은 1
만 2,241개로 집계됐다. 또한 7월의 악성 도메인 및 URL 차단 건수
는 총 392만 8,542건이다. 악성 도메인 및 URL 차단 건수는 PC 등
시스템이 악성코드 유포지로 악용된 웹사이트에 접속하는 것을 차단
한 수이다.
안랩 시큐리티대응센터(ASEC)는 ASEC Report Vol.55를 통해 지난 2014년 7월의 보안 통계 및 이슈를 전했다. 7월의 주요 보안 이
슈를 살펴본다.
취약점 노린 사이트 악용… 변형까지
ASEC, 7월 악성코드 통계 및 보안이슈 발표
5,000,000
1,000,000
2,000,000
3,000,000
4,000,000
0
7월6월5월
1,705,345
2,257,733
1,710,087
2,88
4,76
7
2,61
1,55
3
3,51
9,76
5
2,69
7,23
4
[그림 1] 악성코드 추이
샘플 수집 수탐지 건수
[그림 2] 주요 악성코드 유형
Adware Downloader WormetcTrojanpUp
5.88%
12.15%
29.81%
43.61%4.4%
4.15%
32
2014년 7월 한달 간 탐지된 모바일 악성코드는 7만 4,678건으로 나
타났다.
이러한 웹 공격 툴킷에서 악성코드 배포를 위해 주로 사용하는 취약
점은 [표 1]과 같다.
취약점 구성은 지난 해와 비교하여 크게 변화되지 않고 있으며, 대부
분 과거에 이미 보고되어 업체로부터 정식패치(Patch)가 제공되고 있
는 취약점들이다. 따라서 해당 취약점에 대한 업데이트를 확인하여
반영하는 것만으로도 알려진 취약점 공격으로부터 시스템을 안전하
게 보호할 수 있다.
취약점을 통해 배포되는 악성코드는 주로 감염된 시스템의 일반적
인 정보 및 금융 정보를 탈취하거나 백도어(Backdoor) 설치 및 다양
한 악성 행위를 수행한다. 안랩은 이와 관련된 악성코드를 Trojan/
Win32.Zegost, Trojan/Win32.Banki 등과 같이 진단하고 V3를 통해
탐지 및 치료 기능을 제공하고 있다.
국내 침해 사이트에서 발견되는 웹 공격 툴킷들은 전체 프레임의 변
화는 크지 않아 보인다. 하지만 알려진 취약점뿐만 아니라 제로데이
취약점을 반영하고, 공격에 이용하는 스크립트 링크 및 배포되는 악
성코드를 주기적으로 다양하게 변형시키고 있다.
여름 휴가철에 이어 추석 연휴까지는 여행객이 증가하는 시기다. 여
여행사 사이트를 이용한 악성코드 배포 기승
국내 온라인 사이트들이 악성코드 배포를 위해 이용되고 있는 것은
많은 언론을 통해서 알려져 있다. 특히, 최근 휴가 시즌과 맞물려 유
명 여행사 사이트들도 침해 사이트로 탐지되고 있기 때문에 사용자들
의 각별한 주의가 요구된다.
10,000
20,000
30,000
50,000
5,000,000
40,000
4,000,000
3,000,000
2,000,000
1,000,000
07월
10,218
1,406
12,241
1,718
7,575
1,257
6월5월
2,147,161
1,776,498
3,928,542
악성 도메인/URL 차단 건수 악성코드 유포 URL 수악성코드 유포 도메인 수
[그림 3] 악성코드 유포 도메인/ URL 탐지 및 차단 건수
[그림 4] 모바일 악성코드 추이
50,000
100,000
150,000
250,000
200,000
0
7월
263,993
75,853 74,678
6월5월
[그림 6] 악성스크립트 삽입
[그림 7] “CK” 웹 공격 툴킷
[그림 8] CVE-2013-3897 인터넷 익스플로러 Use-After-Free 취약점
[그림 5] 침해된 여행사 온라인 사이트 (일부)
[표 1] 웹 공격 툴킷에서 주로 사용하는 취약점
대상 취약점 CVE 번호
Internet Explorer 6.0 CVE-2012-1889
Internet Explorer 7.0 CVE-2012-4969
Internet Explorer 8.0 CVE-2013-3897
jAVA (jRE)CVE-2013-0422 , CVE-2012-4681, CVE-
2011-3544
Flash player(SWF) CVE-2013-0634
33
LISP란?
자바스크립트와 같이 별도의 컴파일이 필요 없이 오토캐드가 있을 경우 실행이
가능한 스크립트 언어로, 반복 작업을 단순화시켜 생산성을 높여주는 용도로
많이 사용된다.
*.lsp : LiSP 언어로 만들어진 스크립트 파일
*.fas : *.lsp 파일을 바이너리 파일로 컴파일한 파일
acad.exe CREATE C:\DOCUME~1\ADMini~1\LOCALS~1\Temp\$VL~~001.vbs
acad.exe CREATE C:\WinDOWS\System32\!혹瓘샙筠齡暠\혹瓘샙筠齡暠.dxf
오토캐드 악성코드는 최근 이슈가 되고 있는 뱅키, 랜섬웨어 등과 같
은 악성코드에 비해 위험도가 낮은 편이다. 하지만 2003년경 악성코
드가 발견된 이후 현재까지 꾸준히 변형이 발견되고 있고 오토캐드가
기업에게 설계 도면 등 중요한 자산인 만큼 사용자 주의가 필요하다.
먼저 악성코드가 오토캐드를 어떤 방식으로 이용하는지 이해하기 위
해 과거에 발견된 샘플에서 간략한 행위 정보를 통해 살펴보자. [그림
9]에서 첫 번째 샘플 악성코드는 RAR을 이용해 SFX 실행 압축 형태
로 되어 있으며, 실행 시에는 C 드라이브 폴더에 Acad.fas, Acad.lsp,
acaddoc.fas, Acaddoc.lsp 파일과 도면 파일(*.dwg), 다수의 fas 파
일을 생성한다.
이때 악성코드는 같이 생성된 dwg 도면 파일을 실행시키고 만일
PC에 오토캐드가 설치되어 있지 않으면 ‘파일을 열 수 없다’는 에
러 메시지가 발생한다. 기본적으로 오토캐드는 acad.lsp, acad.fas,
acaddoc.lsp, acaddoc.fas 파일이 dwg 파일과 동일한 폴더에 있으
면 먼저 해당 파일들을 로드한다.
[그림 10]의 (좌)와 같이 악성 스크립트가 로드된 것을 확인할 수 있다.
위의 악성코드 샘플의 행위 정보에서 확인했듯이, 오토캐드 프로그램
이 현재 폴더에 있는 acad.lsp, acad.fas 파일 또는 {AutoCAD설치폴
더\Support} 폴더에 있는 mnl 파일을 먼저 로드하는 점을 이용하
여 자신의 코드를 실행한다.
실제로 감염된 사용자들의 PC에서 도면 파일(*.dwg)이 있는 폴더마
다 lsp 파일이 발견되는 경우도 이 때문이다. 첫 번째 살펴본 샘플에
비해 비교적 최근에 발견된 샘플은 위의 특징을 이용하여 [표 3]과 같
이 VBS 파일을 생성하고 감염된 PC의 도면 파일을 탈취한다.
로드된 acad.fas 악성 스크립트는 {AutoCAD설치폴더\Support} 폴
더 아래 16-Acad.sihanoukville.fas 파일명으로 자기 복제한다. 오토
캐드 프로그램을 실행하면 항상 로드되는 acad.mnl 파일 내에 [그림
11]과 같이 등록한다(acad.mnl 파일에 의해 악성코드가 로드된 화면
은 [그림 10] (우) 참조).
[그림 9] 악성코드 실행 시, 루트 드라이브에 생성되는 파일
[표 2] 생성되는 *.lsp와 *.fas에 대한 설명
[표 3] 생성되는 파일 정보
[그림 10] 오토캐드에 로드된 스크립트 파일 정보
[그림 11] acad.mnl 파일
[그림 12] 생성된 vbs 파일 정보
행 준비의 첫 번째 단계인 호텔, 항공권, 여행패키지 등의 정보 수집
을 위해 누구나 한번쯤은 인터넷 여행사 사이트를 방문한다. 이때 사
이트 검색 전 시스템에 최신 패치가 적용되어 있는지, 보안 제품의 실
시간 감지 기능은 켜져(On) 있는지 반드시 확인해보자. 또한 시스템
의 안전을 위해 기본적으로 알려진 취약점에 대한 보안 업데이트는
반드시 적용해야 한다.
오토캐드 확장 언어 노린 악성코드
오토캐드(AutoCAD)는 오토데스크(AutoDesk)사에서 개발한 캐드
프로그램으로, 캐드(CAD) 소프트웨어 업계의 표준이다. 국내에서도
인테리어, 기계설비, 자동차, 건축 등 다양한 분야에서 사용되고 있
다. 오토캐드는 자동화 또는 기능 확장을 위해 비주얼 베이직 언어,
LiSP(LiSt Processing)라는 스크립트 언어뿐 아니라 DLL 등을 지원한
다. 문제는 악성코드 제작자들이 이 점을 이용해 오토캐드 악성코드
를 제작한다는 것이다. 현재 이중에는 LiSP 스크립트 언어로 만든 형
태가 가장 많이 발견되고 있다.
일부 기업에서는 업무 효율을 위해 네트워크 폴더 또는 공유 폴더,
USB를 통해 도면 등을 공유한다. 악성 LiSP 스크립트에서 별도로 전
파 기능이 없더라도 오토캐드 구조 특성상, 악성 스크립트들은 전파
될 가능성이 있다. ASEC에서는 오토캐드 악성코드 감염 증상이 의심
되면 PC 내에 있는 *.lsp, *.mnl 파일을 수집하여 악성일 경우 엔진에
반영하고 있으며, 파일 수집 후 모든 드라이브 검사를 권하고 있다.
오토캐드 악성코드의 감염을 예방하려면 도면 파일을 열 때는 동일
폴더에 의심스러운 lsp 파일이 있는지 확인해야 한다. 최신 버전의 오
토캐드는 옵션에 따라 LiSP 프로그램이 로드되는 것을 제한할 수 있
으므로 가급적 최신 버전의 오토캐드 프로그램을 사용하는 것도 악성
코드 예방 방법이다.
V3 제품을 이용해 관련 악성코드를 진단 및 치료할 수 있다.
34
발행인 : 권치중
발행처 : 주식회사 안랩
경기도 성남시 분당구 판교역로 220
T. 031-722-8000 F. 031-722-8901
편집인 : 안랩 콘텐츠기획팀
디자인 : 안랩 UX디자인팀
© 2014 AhnLab, Inc. All rights reserved.
본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제, 복사, 검색 시스템
으로 저장 또는 전송될 수 없습니다. 안랩, 안랩 로고는 안랩의 등록상표입
니다. 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상
표일 수 있습니다. 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다.
경기도 성남시 분당구 판교역로 220
T. 031-722-8000 F. 031-722-8901
© 2014 AhnLab, inc. All rights reserved.
http://www.ahnlab.com
http://blog.ahnlab.com
http://twitter.com/ahnlab_man
