2 0 1 1 . 0 8

SPECIAL REPORT

SNS 보안 위협으로부터

기업은 자유로울 수 있는가?

안철수연구소 보안 매거진

C O N T E N T S

C E O C O L U M N

잡스·게이츠·저커버그가 대학서 배운 것

S P E C I A L R E P O R T

SNS 보안 위협으로부터 기업은 자유로울 수 있는가?

H O T I S S U E

모바일 위협, PC 위협과 닮았다?

T H R E A T A N A L Y S I S

보안 위협, 대담한 범죄 경향이 뚜렷해졌다

T E C H R E P O R T

웬만한 보안 솔루션 다 설치했는데...왜 계속 뚫리나?

C A S E S T U D Y

무료 SW로 포렌식에 도전 해볼까

A H N L A B N E W S

안철수연구소, 사업다각화‘성공했다’

P R O D U C T I S S U E

- 핵쉴드, 게임 중 메모리 조작‘No!’- IT 보안 위험 관리의 새 이름‘세피니티 3.0’

S T A T I S T I C S

2011년 6월 및 2분기 악성코드 관련 주요 통계

A H N L A B ' S T W I T T E R

What's Happening?

0 3

0 4

1 0

1 5

1 8

2 1

2 9

3 0

3 2

3 5

월 간 안

2 0 1 1 . 0 8

세 상 에 서 가 장 안 전 한 이 름

안 철 수 연 구 소

3

CEO COlumn 교육의 본질

잡스ㆍ게이츠ㆍ저커버그가 대학서 배운 것이 글은 중앙일보 [경제 view &]에 실린 김홍선 대표의 칼럼입니다.

1980년대 중반 미국 유학 시절 얘기다. 컴퓨터 작업으로 거의 밤을

새우고 이른 새벽에 학생 라운지에 들어섰다. 중년의 건장한 남자가

혼자 콜라를 마시며 쉬고 있었다. 당시에는 흔치 않았던 무선 호출기

를 차고 있었다. 학생은 아닌 것 같았고, 교수 명단에도 없는 얼굴이

었다. 누구일까?

답을 찾는 데는 오래 걸리지 않았다. 그 대학이 자랑하는 전산시

스템을 총괄 관리하는 책임자였다. 컴퓨터를 네트워크로 연결해 최적

의 환경을 제공하는 그의 역량이 워낙 뛰어나 학교는 물론 컴퓨터 업

계에서도 유명한 인물이었다.

그의 명성을 말해주는 일화가 있다. 당시 중형 컴퓨터 업계의 선

두였던 디지털이큅먼트(DEC)는 출시 직전의 제품을 그 대학에 기부

했다. 그러면 그는 뛰어난 성능과 넉넉한 저장공간을 가진 새 컴퓨터

를 학생과 교수들에게 무료로 제공했다. 학생들은 과제나 기타 용도

로 컴퓨터를 자유롭게 이용했다.

출시 전 제품에는 한 가지 문제가 있었다. 안정성 부족이다. 소위

버그(bug)를 만나는 경우가 많았다. 많은 학생이 다양한 형태로 컴퓨

터를 돌리는 과정에서 각종 문제점이 발견됐다. 하지만 수정을 거듭

하면서 한 학기가 지나면 제품은 훌륭한 완성품으로 탈바꿈했다. 이

는 제작사가 컴퓨터를 무료 제공한 목적이기도 했다. 학생들을 상대

로 베타 테스트를 한 것이다. 당시만 해도 고성능 컴퓨터는 귀했다. 개

인적으로 구입한다는 것은 거의 불가능했다. 이런 상황에서 무료 제공

된 컴퓨터는 연구와 교육을 위한 풍요로운 환경을 제공했다. 제작사와

대학의 이 같은 ‘윈윈’ 전략의 중심에 그의 관리 능력과 실력이 있었다.

학생들 사이에 “교수는 없어도 되지만 그가 없으면 학교가 돌아가지

않는다”는 말이 회자될 정도로 그의 존재 가치는 컸다.

그가 구축한 우수한 환경 덕분에 컴퓨터를 주제로 자유로운 토론

과 학습의 문화가 형성됐다. 그러한 커뮤니티를 중심으로 소프트웨어

프로그래밍을 실전처럼 훈련할 수 있는 교육 환경이 마련됐다. 이는

강의실에서 이루어지는 이론 교육과는 또 다른 형태의 커다란 교육의

축이 됐다. 얼마 전에 이 대학을 다시 방문할 기회가 있었다. 20년이

지나 장비는 바뀌었지만 당시의 실용적 교육 프로그램의 정신은 여전

히 진화하고 있었다.

교육의 측면에서 유연한 사고와 다양한 경험은 매우 중요하다. 정

보기술(IT)의 발달로 단순 지식은 인터넷에서 쉽게 구할 수 있는 세상

이 됐지만 한계는 분명하다. 이러한 환경에서 교육의 가장 중요한 역

할은 인간의 잠재 역량을 끄집어내고 스스로 사고하는 능력을 기르는

것이다. 경영학자 게리 해멀은 ‘미래의 경영’에서 인간의 능력 중 지성

과 근면이 기업의 성공에 공헌하는 비중은 각각 15%와 5%에 불과하

다고 설명했다. 우리가 교육을 통해 얻는 지식이 이 정도밖에 중요하

지 않다는 사실은 가히 충격적이다. 심지어 복종의 공헌도는 0%다. 해

멀이 꼽은 나머지 80% 역량은 열정, 창의성, 추진력이다.

스티브 잡스, 빌 게이츠, 마이클 델, 마크 저커버그는 세 가지 역량

을 겸비한 대표적 모델이다. 이들은 세계적 기업의 CEO이면서 대학

중퇴라는 공통점이 있다. 물론 이들의 경우만 가지고 대학 교육의 실

효성 여부를 논할 수는 없다. 중도 하차했지만 그들은 짧은 대학 시절

에 결정적 동인을 찾았다. 대학 친구들을 대상으로 만든 페이스북은

세계적 서비스가 됐고, 청강에서 얻은 아이디어를 기초로 다양한 서

체(font)를 구현한 애플 컴퓨터가 탄생했다.

요컨대 교육의 의미는 졸업장이나 외형적 스펙보다 내재적 역량

을 끄집어내는 데서 찾아야 한다. 특히 개인의 역량 발휘가 기업이나

국가 차원에서 절실한 시대다. 이를 위해 다양한 관점에서 교육을 바

라볼 필요가 있다. 실질적으로 체험할 수 있는 자발적 커뮤니티, 다양

한 실험 프로젝트가 가능한 환경, 생각을 훈련하는 활발한 토론 문화

는 기본이다.

얼마 전 ‘반값 등록금’ 논의를 계기로 대학 교육이 다시 도마에

올랐다. 하지만 이 같은 교육 환경과 다양성과 자유로움, 지적 훈련

과 같은 교육 본질에 대한 논의는 보이지 않는다. 현재 드러난 문제

를 개선하는 것도 중요하다. 하지만 어떤 교육이 우리에게 필요한가

를 진지하게 고민하는 것이, 장기적으로 더 나은 사회를 만드는 출발

점이 될 것이다.

안철수연구소 김홍선 대표

4

spECial rEpOrt SNS 보안 위협

SNS 보안 위협으로부터 기업은 자유로울 수 있는가?

보안 위협은 현재의 IT 트렌드와 사회적인 이슈에 민감하게 반응한다. 이러한 경향을 살펴봤을 때 악성

코드 제작자들에게 현재 가장 매력적인 먹잇감은 단연 SNS(Social Network Service)이다. SNS에서

발생하는 보안 위협의 특징과 실제 사례를 살펴보자.

소셜 네트워크 서비스로 인한 사회적 관계의 변화

최근 한국인터넷진흥원(이하 KISA)에서는 ‘2011년 상반기 스마트폰

(Smartphone) 이용 실태 조사’라는 흥미로운 보고서를 발표했다. 이

보고서는 전국 만 12세에서 29세 사이의 스마트폰 사용자 4천 명을

대상으로 스마트폰 활용 실태를 조사한 것으로 국내에 보급된 지 얼마

되지 않은 스마트폰이 우리 일상 생활에 얼마나 밀접하게 활용되고 있

는지를 잘 보여주고 있었다.

또한 이 보고서에는 최근 몇 년 사이 급속하게 사용자가 증가하고

있는 소셜 네트워크 서비스(Social Network Service, 이하 SNS) 관

련 통계도 포함되어 있었다. 스마트폰 사용자의 87.1%가 SNS를 이

용한 경험이 있으며, 이용 빈도는 커뮤니티, 마이크로 블로그, 미니홈

피 순서로 그 활용 빈도가 높다는 것을 알 수 있다.

스마트폰으로 SNS를 이용한 경험이 있는 사용자들은 일일 평균

1.9시간을 SNS 이용에 소비하고 있다. 그리고 전체의 42.3%가 하루

1시간 이상 소셜 네트워크 서비스를 이용하였으며, 그 중 24.3%는 하

루 2시간 이상 소셜 네트워크 서비스를 이용하는데 보내고 있었다.

그리고 SNS를 이용하는 목적에 있어서도 커뮤니케이션, 정보 습

득 및 교류, 그리고 친교 및 교제라는 측면이 가장 높아 오프라인의 일

상 생활을 통해 형성된 인간 관계를 다시 온라인의 소셜 네트워크 서

비스를 통해 연결하고 확장해가는 형태를 보이는 것을 알 수가 있다.

소셜 네트워크 서비스에서의 보안 위협

72.7

커뮤니티

87.1

SNS

66.4

마이크로블로그

59.4

미니홈피

56.3

프로필 기반서비스

50.6

블로그

24.3%

42.3%

1.9HRS

2시간 이상

일평균 이용시간

42.3%하루 1시간 이상 SNS 이용자

18.0%1-2시간

17.9%10-30분

16.5%30분-1시간

16.3%5분 이내

7.0%5-10분

63.9커뮤니케이션

정보습득/교류 62.6친교/교제 57.7오락/여가 36.2

개인홍보 4.8

학업/업무 8.2

개인일상 정리/공유 27.2

[그림 1] 스마트폰을 이용한 SNS 이용 경험 출처: KISA '2011년 상반기 스마트폰 이용 실태 조사'

[그림 2] 스마트폰을 이용한 SNS 이용 시간 출처: KISA '2011년 상반기 스마트폰 이용 실태 조사'

[그림 3] 스마트폰을 이용한 SNS 이용 목적 출처: KISA '2011년 상반기 스마트폰 이용 실태 조사'

5

소셜 네트워크 서비스에서 발생한 보안 위협들의 특징

1. SNS와 사회 공학(Social Engineering) 기법

트위터(Twitter) 및 페이스북(Facebook)과 같이 최근 몇 년 사이 사용

자가 급격하게 증가하고 있는 SNS는 모두 기본적으로 오프라인에서

형성된 인간 관계를 온라인에서도 이어갈 수 있도록 도와 주고 있다.

그리고 이 모든 SNS의 핵심적인 목적과 기능들은 해당 서비스에 가

입한 사용자가 오프라인에서 이미 가지고 있는 인간 관계를 바탕으로

서로 신뢰 관계의 사람들을 연결해주거나 공통의 관심사가 있는 사용

자들간의 연결을 통해 새로운 인간 관계를 형성할 수 있도록 하고 있

다. 이렇게 형성된 인간 관계를 바탕으로 서로간의 일상 생활 소식과

생활 중에 알게 된 다양한 흥미로운 정보 및 소식들을 공유 할 수 있도

록 하고 있다. 그러므로 결국 모든 SNS에 있어 핵심적인 키워드는 사

람과 인간 관계라고 볼 수 있다.

그러나 정보 보호(Information Security) 분야에서는 모든 보안

취약점들 중에서 가장 취약한 부분은 사람이며 언제라도 보안 위협에

노출될 가능성이 가장 높은 것으로 지적하고 있다. 이러한 관점에서

바라본다면 SNS 사용자들은 보안 위협에 노출될 가능성이 높다. 실

제 SNS에서 발생하고 있는 보안 위협 사례들을 분석해보면 그 근간

에는 모두 사람을 해킹(Hacking)한다는 사회 공학(Social Engineer-

ing) 기법이 차지하고 있다.

소셜 네트워크 서비스에서 사회 공학 기법들이 쉽게 악용하고 있

는 방식은 사용자들이 쉽게 흥미를 가질 수 있는 주제들이나 이미 형

성된 인간 관계 속에서 신뢰할 수 있는 사람들이 보낸 메시지들로 사

칭하거나 위장하고 있다. 따라서 인간 관계가 핵심 목적인 SNS 사용

자들은 상대적으로 보안 위협에 쉽게 노출될 수 밖에 없다.

2. 단축 URL(URL Shortening)의 편리성과 위험성

SNS의 발달은 이를 더욱 편리하게 사용하기 위해 파생된 다른 유용

한 서비스들도 많이 제공되고 있다. 이러한 대표적인 사례로 스마트

폰에 설치되는 다양한 소셜 네트워크 서비스들을 지원해주고 있는 앱

(App)들을 예로 들 수 있으나, 가장 대표적인 서비스로 볼 수 있는 것

은 단축 URL(URL Shortening) 서비스이다.

트위터의 경우 140자라는 제한된 메시지의 길이로 인해 인터넷

에 존재하는 다양한 흥미로운 정보들을 가지고 있는 길다란 웹 페이지

의 URL을 쉽게 전달하기가 어렵다. 그러나 단축 URL은 미리 정의된

짧은 형식의 URL을 이용하여 길다란 웹 페이지의 URL을 대체함으로

써 제한된 길이의 메시지 내에서도 충분히 길다란 웹 페이지의 URL

을 공유하거나 전달할 수 있는 편리성을 제공하고 있다.

그러나 이러한 편리성을 가진 단축 URL은 길다란 웹 페이지의

URL을 짧은 URL로 대체함으로써 사용자의 입장에서는 대체된 단

축 URL이 실제 어떠한 웹 페이지로 연결될 지 쉽게 예측하고 확인하

기가 어렵게 된다.

이러한 문제로 인해 실제 소셜 네트워크 서비스에서 전달되는 메

시지들에 포함된 단축 URL들 중에는 피싱(Phishing)이나 악성코드

유포를 위한 웹 사이트들로 연결하는 단축 URL들이 다수 존재하고

있다.

글로벌 보안 업체인 시만텍(Symantec)은 ‘Symantec Internet

Security Threat Report Trends for 2010’를 통해 2010년 4분기 동

안 SNS 사용자들을 대상으로 한 악의적인 URL 중에서 65%가 단축

URL 형태를 가지고 있는 것으로 밝히고 있다.

이로 인해 결국 단축 URL은 그 편리성과는 반대로 악의적인 목

적으로 활용 시에는 SNS 사용자들로 하여금 보안 위협에 쉽게 노출

되는 위험성도 동반하고 있다.

65.5%SHORTENED URLs

Malicious URLs targeting social networing users over a three-month period in 2010Source: Symantec Corporation

35.0%URLs

URLs

SNS 이미지악용

내부 시스템환경 악용

사용자생태계 악용

다른 보안 위협에서 악용

[그림 4] 트위터 메시지에 포함된 단축 URL로 연결된 웹 페이지

[그림 5] SNS 사용자를 대상으로 한 악의적인 URL 출처: 시만텍

[그림 6] 소셜 네트워크 서비스에서 발생하는 보안 위협의 특징

소셜 네트워크 서비스에서 발생한 보안 위협들의 특징

앞서 살펴본 것과 같이 SNS에서 발생하는 보안 위협들은 사용자들이

흥미를 가질 수 있는 주제로 위장하는 사회 공학 기법에 그 근간을 두

고 악의적인 목적으로 제작된 웹 사이트로 연결하는 단축 URL을 활

용하여 제작되고 있다. 실제 SNS에서 발생한 보안 위협 사례들을 분

석해보면 공통적으로 4가지의 커다란 특징적인 형태를 가지고 있다

는 것을 알 수 있다.

6

1. 내부 시스템 환경 악용

SNS에서 발생하는 보안 위협 중 내부 시스템 환경을 악용하는 형태

들은 SNS 내부에 이미 정의되어 있는 기본적인 규칙(Rule)들을 악용

하는 형태들이다.

이러한 형태들은 트위터의 경우 사용자들 사이에 서로가 팔로어

(Follower)와 팔로잉(Following)의 관계가 성립되어야지만 다이렉트

메시지(Direct Message)라는 다른 사용자들이 볼 수 없는 비밀 쪽지

를 발송할 수 있다. 이러한 기본적인 규칙을 악용하여 피싱이나 악성

코드를 유포하는 악의적인 웹 사이트들을 다른 트위터 사용자들이 인

지하지 못하도록 은밀하게 전송이 가능하다.

2. 사용자 생태계 악용

현재 서비스 되고 있는 트위터 및 페이스북(Facebook)과 같은 유명

해외 소셜 네트워크 서비스의 경우에는 해당 서비스들을 이용하기 위

한 가입 절차가 국내와 비교하여 비교적 간단하게 메일 주소와 암호

입력만으로도 바로 사용이 가능하다.

다. 그리고 사용자들은 개인 프로필에서도 역시 자신이 일하는 기업

을 공개하며 기업 홍보를 돕고 있다.

이러한 소셜 네트워크 서비스의 생태계로 인해 사용자의 활동이

나 기업의 활동에 대한 정보 수집이나 오프라인 범죄 등을 위한 사전

정보 수집 도구로서 SNS가 악용되고 있다.

이러한 간편한 가입 절차로 인해 악의적인 목적으로도 다수의 허

위 사용자 계정들을 생성하여 SNS 사용자들에게 흥미로운 정보로 위

장한 다양한 형태의 보안 위협들을 유포할 수가 있다. 특히 한국의 경

우에는 트위터에서 ‘맞팔’이라고 하여 먼저 팔로잉을 해준 사용자에

대한 답례로 같이 팔로잉을 하는 독특한 형태의 문화로 인해 악의적

인 목적으로 생성된 허위 트위터 계정들로 인해 쉽게 보안 위협에 노

출될 수 있다.

3. SNS 이미지 악용

최근 몇 년 사이 SNS 사용자가 증가함으로써 각종 언론을 통해 트위

터나 페이스북 사용자들이 아니더라도 많은 사람들이 해당 서비스들

이 어떠한 것인지 알고 있다. 이러한 SNS의 브랜드(Brand)와 이미

지 가치가 상승함에 따라 이를 악용하여 트위터나 페이스북에서 발

송한 이메일 등으로 위장한 피싱 메일이나 악성코드가 첨부된 메일

이 유포되었다.

4. 다른 보안 위협에서 악용

SNS 사용자들이 지속적으로 증가함으로 인해 기업의 입장에서는 마

케팅이나 홍보를 위한 도구로도 소셜 네트워크 서비스가 이용되고 있

[그림 7] 사용자 이름과 이메일 주소만 입력하면 가입이 가능한 페이스북[그림 8] 허위 백신 유포을 위해 생성된 허위 트위터 계정

[그림 9] 금전 거래를 통해 트위터 팔로어를 늘려준다는 웹 사이트

소셜 네트워크 서비스에서 발생한 보안 위협 사례들

앞서 SNS에서 발생하고 있는 보안 위협들의 분석을 통해 4가지 커다

란 특징들을 살펴보았다. 현재 발생하고 있는 보안 위협들은 전세계

적으로 사용자가 비교적 많은 트위터와 페이스북을 중심으로 발생하

고 있다. 해당 서비스들에서 발생한 보안 위협들에 대해 구체적인 사

례들을 통해 살펴보도록 하자.

1. 트위터에서 금전 거래되는 팔로어 및 악의적인 트위터 계정

2010년 3월에는 유럽에서 허위 백신을 유포하기 위한 목적으로 다수

의 허위 계정들이 생성된 것이 발견되었다. 생성된 허위 계정들은 [그

림 8]과 같이 다수를 이루고 있으며, 해당 허위 계정들에 의해 트위터

내부로 유포된 메시지들은 사용자들이 흥미를 가질 만한 주제와 함께

허위 백신을 설치하도록 유도하는 악의적인 웹 페이지로 연결되는 단

축 URL들이 포함되어 있었다.

그리고 2010년 7월에는 해외에서 생성된 트위터 계정을 통해 금

전적인 대가를 지불하면 [그림 9]와 같이 금전적인 대가에 따라 특

정 수치만큼의 트위터 팔로어를 늘려준다는 광고 웹 사이트가 발견

되었다.

7

2. 트위터 DM(Direct Message)으로 피싱(Phishing) 웹 사이트

링크 전달

2010년 2월에는 트위터에서 상호 팔로잉이 되어 있는 사용자들에게

피싱 웹 사이트로 연결하는 단축 URL이 포함된 다이렉트 메시지가

유포되었다. 유포된 다이렉트 메시지에는 [그림 10]과 같이 사용자

로 하여금 호기심을 유발하게 하는 메시지와 함께 단축 URL이 포함

되어 있었다.

다이렉트 메시지에 포함되어 있는 단축 URL을 클릭하게 될 경우

에는 [그림 11]과 같이 허위로 제작된 트위터 로그인 웹 사이트로 연결

되며, 해당 웹 페이지를 통해 수집된 트위터 사용자 정보들은 모두 중

국에 위치한 특정 서버로 전송되었다.

이러한 트위터를 이용한 허위 사실 유포는 국내에서도 역시 유명

영화배우를 사칭한 허위 트위터 계정을 통해 새로운 영화와 관련한 허

위 내용들을 유포한 사례가 존재한다.

4. 페이스북과 트위터로 위장한 악성코드 및 성인 약품

광고 스팸 메일 발송

2009년 9월에는 트위터에서 사용자가 발송한 친구 초대 메일로 위장

하여 악성코드 감염을 시도한 사례가 발견되었다. 또한 2010년 6월에

는 트위터에서 발송한 사용자 계정에 대한 암호 변경 안내 메일로 위

장하여 악성코드 감염을 시도한 사례가 나타났다.

그리고 2010년 5월에는 [그림 14]와 같이 트위터에서 발송한 메

일로 위장하여 성인 약품 광고를 위한 웹 사이트로 연결을 유도한 스

팸(Spam) 메일도 발견되었다.

2009년 10월과 2011년 1월에는 페이스북에서 발송한 것으로 위

장한 사용자 정보 업데이트 안내 메일과 사용자 암호 변경 안내 메

일로 위장한 메일에 악성코드가 첨부되어 유포된 것이 발견되었다.

그리고 2010년 11월에는 다양한 피싱 웹 페이지를 간편하게

생성이 가능한 피싱 툴킷(Toolkit)에서도 페이스북과 마이스페이스

(MySpace)와 같은 SNS의 로그인 웹 페이지가 생성 가능한 것이 발

견되었다.

3. 트위터를 이용한 허위 사실 유포

2009년 6월에는 팝가수 브리트니 스피어스(Britney Spears)의 트위

터 계정이 해킹되어 브리트니 스피어스가 사망하였다는 허위 사실이

유포되었다

[그림 10] 트위터 다이렉트 메시지로 전달된 피싱 웹 사이트

[그림 13] 브리트니 스피어스의 계정으로 유포된 허위 사망 소식 출처: Sophos

[그림 14] 트위터에서 발송한 메일로 위장한 성인 약품 광고를 위한 스팸 메일

[그림 15] 페이스북 사용자 암호 변경 메일로 위장한 악성코드 유포

[그림 11] 허위 트위터 로그인 페이지

[그림 12] 다양한 피싱 웹 페이지 생성을 위한 피싱 툴킷

8

5. 트위터를 이용해 악의적인 봇넷 구성과 조정

2009년 8월과 2010년 5월, 그리고 8월에는 트위터로 조정이 가능

한 악성코드인 트윗봇(TwitBot) 생성기가 발견되었으며, 국내에서도

P2P(Peer to Peer) 프로그램을 통해 유용한 유틸리티로 위장하여 공

유되고 있는 트윗봇 악성코드가 발견되었다.

7. 페이스북 담벼락과 채팅 메시지로 악성코드 유포

2010년 11월과 12월에는 페이스북 사용자들 사이에서 사용이 가능

한 채팅 창을 통해 악성코드를 다운로드하는 악의적인 웹 사이트가 유

포되었다. 그리고 2011년 2월에는 페이스북 사용자들의 담벼락에 악

성코드를 다운로드 하도록 유도하는 악의적인 웹 사이트가 특정 게시

물에 포함되어 유포되었다.

8. 소셜 네트워크 서비스를 전파 경로로 악용하는 악성코드

2011년 6월에는 다양한 소셜 네트워크 서비스를 전파 경로로 악용하

는 악성코드가 발견되었다. 해당 악성코드는 사용자가 많은 트위터

와 페이스북 외에도 다른 소셜 네트워크 서비스들인 러시아에서 많

이 이용되는 브 칸탁제(Vkontakte), 미국에서 이용되는 베보(Bebo)

와 프렌드스터(Friendster)로도 동시에 악성코드 유포를 시도한 특징

이 존재한다.

[그림 16] 트위터를 이용해 봇넷(Botnet) 구성 및 조정

[그림 18] 페이스북 담벼락에 게시된 악성코드를 다운로드하는 웹 사이트

[그림 19] 빈 라덴 사망 소식을 이용한 허위 백신 유포 시도

[그림 17] EMC/RSA에서 발생한 APT 형태의 보안 위협 출처: EMC/RSA

악성코드 제작자는 [그림 16]과와 같이 트윗봇 생성기를 통해 악

성코드를 생성한 후 취약한 웹 사이트 또는 P2P 프로그램 등에서 동

영상 파일이나 유용한 프로그램 등으로 위장하여 유포한다. 이렇게

유포된 해당 악성코드에 감염된 시스템들은 악성코드 제작자가 악

성코드 생성 당시에 지정해둔 특정 트위터 계정의 웹 페이지로 접속

을 시도하여 접속이 성공하게 될 경우 악성코드 제작자에 의해 생성

되어 있는 트위터 메시지들을 명령으로 수신하여 특정 시스템에 대한

DDoS(Distributed Denial-of-Service) 공격 등을 수행할 수가 있다.

6. APT(Advance Persistent Threat) 형태의 위협에서

정보 수집 수단으로 트위터 활용

2011년 3월 해외 보안 업체인 EMC/RSA에서 발생한 기업 기밀 탈취

를 목적으로 한 APT 형태의 보안 사고가 발생하였다. 해당 보안 사고

에서 공격자는 타깃 공격(Targeted Attack)을 위해 사전에 장시간 동

안 해당 업체에 근무하는 임직원들의 트위터를 모니터링하며 공격 대

상 선정과 유효하게 적용될 사회 공학 기법 개발을 위한 목적으로 관

련자 개인 정보를 수집하였다.

2011년 5월에는 미국 정부에 의해 테러 조직인 알카에다의 지도

자인 오사마 빈 라덴(Osama Bin Laden)이 사망하였다는 소식이 국

내외 언론을 통해 공개된 이후, 페이스북에는 [그림 19]와 같이 빈 라

덴 사망 동영상으로 위장한 허위 백신 유포 시도 사례가 발견되었다.

9

특히 기업에 있어서는 소셜 네트워크 서비스의 활용이 기업 마케

팅과 이미지 제고에 많은 도움을 줄 수도 있지만 사내 임직원들의 잘

못된 소셜 네트워크 서비스의 이용은 기업 네트워크로 심각한 피해를

유발할 수 있는 악성코드의 유입 접점이 될 수도 있다. 이와 함께 APT

위협 형태의 기업 기밀 유출이라는 심각한 보안 사고까지 유발할 수

있는 부작용이 발생할 수 있다는 점을 반드시 인식할 필요가 있다.

그러므로 기업에서는 기업 보안 정책에 있어 소셜 네트워크 서비

스를 어떠한 방식으로 통제를 할 것인지에 대한 진지한 고민이 필요하

다. 기업 임직원들의 경우에는 과도한 개인 정보와 기업 활동 정보의

공개는 자신 뿐만 아니라 기업에 있어서도 심각한 보안 사고로 직결될

수 있다는 점을 분명히 인지하여야만 한다.

[그림 20] 트위터와 페이스북으로 동시에 전파되는 악성코드의 코드 중 일부

맺음말

소셜 네트워크 서비스를 통해 우리는 매일 사회적으로 좋은 관계를

유지하고 있는 많은 사람들의 좋은 이야기들을 전해 듣거나 나 자신

이 겪는 다양한 세상사는 이야기들을 전하는 즐거움을 느끼고 있다.

그러나 그 이면에는 다양한 보안 위협들도 같이 포함이 되어 있어

많은 주의가 필요하다는 것을 소셜 네트워크 서비스에서 발생한 다양

한 보안 위협 사례들을 통해 쉽게 알 수 있다.

10

HOt issuE Mobile Security Threats

모바일 위협, PC 위협과 닮았다?

방송통신위원회(이하 방통위) 조사 결과, 올 상반기 국내 스마트폰 가

입자수가 1,500만 명을 돌파했다. 이와 더불어 최근 스마트폰에서 동

작하는 모바일 악성코드도 급속도로 증가하고 있으며, 그 동작 방법

또한 날이 갈수록 지능화되고 있다. 다행히 아직까지 국내에서는 피

해 사례가 보고되고 있지 않지만 그렇다고 안심하고 있을 수 만은 없

는 상황이다.

그런데 흥미로운 점은 모바일 악성코드, 모바일 위협의 변화 양상

이 어딘가 낯설지 않다는 것이다. 모바일 위협의 형태는 지금까지 우

리가 경험해왔던 PC 환경에서의 보안 위협과 닮았다. 다만 위협 양상

이 좀 더 빠르게 진화하고 있다는 점이 다를 뿐이다.

단순 사용자 정보 유출에서 불법 과금 유발로 이어져

PC 환경에서와 마찬가지로 모바일 환경에서도 위협은 악성코드에서

시작된다. 지난해 한국인터넷진흥원(이하 KISA)에서 발표한 ‘2010년

국가정보보호백서’에 따르면 지난해 상반기 발견된 전 세계 모바일 악

성코드는 520여 종에 이른다. 그러나 최근 안철수연구소에서 조사한

바에 따르면, [그림 1]과 같이 모바일 악성코드의 수는 올 들어 더욱 급

격하게 증가하고 있다. 이와 관련해 맥아피(McAfee)는 전 세계 모바

일 악성코드가 전년 대비 46%나 증가했다고 주장했다.

이 같은 모바일 악성코드 중에서도 특히 안드로이드(Android) 기

반 악성코드가 급증하고 있다. 지난 2010년 하반기부터 본격적으로

모바일 위협의 유형과 진화

“당일 무방문/무보증 3천만 원까지 대출해 드립니다.”

방송통신위원회 조사 결과, 휴대전화를 이용하는 직장인들은 대출 광고 문자를 비롯한 다양한 종류의

스팸 문자를 하루 평균 6~7통씩 받고 있는 것으로 나타났다. 이와 더불어 보이스 피싱 또한 나날이 교

묘해져 여전히 통신 기기를 악용한 사회적인 문제가 되고 있다. 그러나 이러한 스팸 문자나 보이스 피싱

의 경우 이용자가 반응을 하지 않는다면 직접적인 피해가 발생하지는 않는다. 그러나 이것은 어디까지

나 피쳐폰 환경에서의 성가신 문제일 뿐이다. 스마트폰 환경에서의 위협은 여기에서 한 단계 더 나아갈

것으로 보인다. 머지않아 국내 스마트폰 이용자들도 다음과 같은 항목이 들어간 휴대전화 요금 이용고

지서를 받게 될지도 모르겠다.

프리미엄 콜 문자 전송요금: 168,320원($160)

발견되기 시작한 안드로이드용 악성코드는 올해 들어 급격하게 증가

하고 있는 추세다. 이는 드로이드 마켓(Android Market)이 앱(App,

Application)을 자유롭게 올릴 수 있는 개방형이기 때문에 악성코드

제작자들도 악성코드를 올리기 쉬운 탓이다. 여기에 안드로이드폰 이

용자 수가 증가하고 있어 안드로이드폰을 노리는 위협 또한 증가하는

것은 어찌 보면 당연하다 할 것이다. 현재 전세계적으로 1억 3천 500

만개의 안드로이드폰이 이용되는 것으로 알려져 있다.

2010-08 2011-01 2011-07

[그림 1] 최근 모바일 악성코드 증가 추세

11

안드로이드용 악성코드의 예를 들면 우선, 지난 2010년 8월경

발견된 모바일 악성코드가 있다. 이 악성코드는 [그림 2]와 같이 월페

이퍼 애플리케이션(Wall Paper Application), 즉 스마트폰의 배경화

면 꾸미기 앱에 삽입되어 있었다. 해당 모바일 악성코드는 앱의 본래

목적에 따른 구동과는 무관한 USIM번호, IMEI(International Mobile

Equipment Identity)번호, IMSI(International Mobile Subscriber

Identity)번호를 비롯한 단말기 정보와 전화번호 등 가입자 정보를 수

집하고 사용자 동의 없이 사용자의 위치 정보를 외부 네트워크로 전

달하는 행위를 하였다.

또한 가장 대표적인 모바일 악성코드로는 지난 3월 발견된 ‘드로

이드 드림(DroidDream)’을 빼놓을 수 없다. 드로이드 드림은 기존 정

상 앱에 악성코드를 심어 리패키징하여 유포하는 형태로, 가장 널리

이용되는 모바일 악성코드 유포 방식이다.

정상적인 앱을 감염시킨 드로이드 드림은 사용자 단말기 고유번

호와 시리얼 넘버 등을 무단으로 수집하는 것으로 파악됐다. 문제는

이 악성코드가 서드파티마켓(Third Party Market)이 아니라 안드로

이드 마켓에서 유통되는 앱을 이용하였다는 점이다. 이에 구글은 급

히 해당 앱을 마켓에서 퇴출해 다운받을 수 없게 했지만 3개월 뒤인

지난 6월, 또 다시 드로이드 드림이 나타나 안드로이드 앱과 앱 마켓

에 대한 보안 우려를 가중시켰다.

이후 모바일 위협은 정상적인 애플리케이션에 악성코드를 삽입

하던 단계에서 곧바로 정상적인 애플리케이션인 것처럼 위장한 악

성 애플리케이션의 형태로 진화했다. 동시에 금전적인 이득을 노리는

목적을 띠기 시작했다. 일례로, 역시 지난 2010년 8월에 처음 발견된

PornoPlayer가 있다. 이 앱은 성인 동영상 플레이어로 위장하여 특정

번호로 문자, 즉 SMS(Short Message Service)를 발송하여 요금을

과금시키는 것으로 알려졌는데, 이후 꾸준히 변형이 발견돼 보안 관

계자들의 관심을 끌었다.

난독화된 악성 앱으로 급속도로 발전

최근에는 온라인 동영상 스트리밍 플레이어(online video streaming

player)로 위장한 악성 앱이 발견되었다. Ku6.com이라는 이름의 이

앱이 설치되면 온라인상의 동영상들을 볼 수 있는 뷰어가 나타남과 동

시에 하드코딩된 중국의 특정 전화번호(premium number 106***82)

로 사용자 몰래 문자 메시지를 보내 약 $6의 요금을 결제하는 행위를

하였다. 이 악성 앱에 감염된 스마트폰의 사용자는 자신도 모르는 사

이에 금전적 피해를 입게 되는 것이다.

이때 이용된 전화번호는 중국 내에서 특정 서비스에 대한 과금을

목적으로 하는 프리미엄 번호 서비스로, 해당 번호로 문자가 발송되면

그 번호를 사용하는 특정인, 또는 특정 업체에 일정액이 지불되는 형

식이다. 우리나라의 ARS 서비스와 유사한 형태로 이해할 수 있다. 이

서비스는 SMS가 정상적으로 발송되면 해당 서비스 업체로부터 서비

스 등록에 관련된 안내메시지가 문자로 회신(feedback)되어 사용자

는 서비스 사용 여부를 알 수 있게 된다. 그러나 해당 악성 앱은 회신되

는 문자를 사용자가 볼 수 없게끔 필터링하여 실제 과금된 사실을 사

용자가 전혀 알 수 없게 만드는 교묘함까지 갖추고 있다.

Ku6.com 앱은 감염된 휴대전화에 원치 않는 과금을 하는 것 외에

도 악성앱 스스로를 광고(self-advertising)하는 기능도 갖고 있는 것

이 특징적이다. 이 앱의 ‘친구추천’ 기능을 통해 이메일, 또는 SMS로

관련 링크를 추천하면 지인으로 하여금 악성 앱을 설치하게끔 유도하

게 되는 것이다. 이 밖에도 해당 앱은 휴대전화의 SIM 카드 시리얼 넘

버를 특정 서버로 전송하는 행위도 하였다.

게다가 이 앱은 기존의 악성 앱에서 한 단계 더 진화한 형태였다.

내부적으로 문자열을 암호화하여 분석을 어렵게 하는 난독화된 형태

였기 때문이다. 이렇게 난독화된 애플리케이션을 정상적인 애플리케

이션과 함께 리패키징하여 서드파티마켓(Third Party Market)에 등

록해 사용자로 하여금 다운로드 및 설치를 하게 한다. 사용자가 다운

로드 한 애플리케이션은 정상적으로 동작하는 것처럼 보이지만 내부

적으로는 악성코드를 내려 받아 설치하는 등 공격자의 의도에 따라 다

양한 기능을 수행한다.

[그림 2] 모바일 악성코드가 삽입된 월페이퍼 애플리케이션

[그림 3] 허위 동영상 플레이어로 위장한 악성 앱

12

그러나 해당 문자 수신번호는 중국의 서비스 번호이기 때문에

국내에서 해당 앱을 이용했다 하더라도 추가 과금은 발생하지 않고

SMS 요금만 발생하는 것으로 알려졌다.

좀비 PC에 이어 좀비폰 등장하나

PC 환경의 위협과 모바일 환경의 위협의 또 다른 공통점은 바로 슈퍼

유저(Super User) 권한 탈취를 노린다는 점이다. 스마트폰의 슈퍼 유

저 권한 탈취는 스마트폰 루팅을 통해 이루어진다. 루팅(Rooting)이

란 안드로이드폰의 운영체제를 해킹해 안드로이드 운영체제가 지원

하지 않는 기능을 추가하거나 기본적으로 제공된 기능을 삭제할 수 있

는 슈퍼 유저로서의 사용 권한을 갖는 것이다. 이에 스마트폰 이용자

들의 일부는 자의적으로 루팅을 하기도 하지만, 루팅을 할 경우 스마

트폰의 오작동을 야기할 가능성이 있다. 또한 악의적인 공격자에 의

해 강제로 루팅되어 슈퍼 유저의 권한을 탈취당한 스마트폰은 이른바

‘좀비폰’이 되어 원격으로 제어된다.

바로 이러한 루팅을 사용자가 원치 않음에도 강제적으로 수행하

는 악성코드를 탑재한 악성 앱이 지난 3월 발견되었다. 단, 해당 앱에

는 드로이드 드림을 제작한 이들이 사용하는 zhash라는 루팅 관련 코

드가 삽입되어 있었을 뿐, 실제 루팅을 하는 코드는 확인되지 않았다.

그러나 향후 애플리케이션 업그레이드 등을 통해 얼마든지 루팅 코드

를 실행시킬 가능성이 제기되었다.

그리고 그 가능성은 얼마 지나지 않아 구체화되었다. 바로 지난 6

월, 안드로이드폰을 강제 루팅하여 권한을 탈취하는 ‘드로이드 쿵후

(DroidKungFu)’라는 이름의 악성코드가 나타난 것이다. 이 악성코드

는 기존의 드로이드 드림과 유사한 패턴을 갖고 있지만 좀 더 정교한

코드와 복잡한 기능을 수행함으로써 모바일 악성코드가 계속해서 진

화하고 있음을 증명하였다.

드로이드 쿵후는 정상 앱에 리패키징한 형태로 중국 내 일부 앱

마켓(App Market) 등을 통해 유포된 것으로 알려졌다. 드로이드 쿵

후는 설치되면 스마트폰의 다양한 정보를 수집하여 특정 서버로 전

송한다. 또한 정보 수집 후 스마트폰에 루팅을 시도하는데, 이때 이용

되는 익스플로이트 코드는 드로이드 드림에서 사용되었던 코드와 동

일한 것으로 나타났다. 안철수연구소 시큐리티대응센터(이하 ASEC)

는 안드로이드 2.2 이하의 버전에서는 해당 익스플로이트에 노출될

수 있다고 전했다.

드로이드 쿵후는 루팅이 성공하면 또 다른 악성 앱을 설치하는데,

이 악성 앱은 또 다시 정상 앱처럼 위장한다. 바로 이 앱이 감염된 스

마트폰을 원격 통제하는 기능을 수행한다. 한편 해당 악성 앱은 구글

의 ‘구글 서치(Google Search)’ 앱으로 위장하는 것으로 알려졌는데,

앱의 이름이 ‘Google SSearch’로 되어있어 사용자가 조금만 주의를

기울이면 육안으로도 구분이 가능하다. [그림 4]는 이 앱의 외형과 앱

에 사용되는 C&C(Command & Control) 목록이다.

허위 모바일 백신까지 나타나

PC 환경에서의 위협과 꼭 닮은 모바일 위협의 하나로 등장한 것이 바

로 허위 모바일 백신이다.

지난 3월, 구글이 안드로이드 마켓 내의 악성 애플리케이션을 제

거하기 위해 배포한 ‘안드로이드 모바일 시큐리티 툴(Android Market

Security Tool)’의 외형과 매우 흡사한 모습으로 리패키징된 악성 애

플리케이션이 중국의 써드파티마켓에서 발견되었다. 이 앱은 SMS

컨트롤, 네트워크 통신, 외장디스크 접근 등을 하기 위해 본래의 정

상 앱이 요구하는 것과는 다른 권한을 요구한다. 이와 관련해 ASEC

은 블로그를 통해 “해당 앱의 패키지 구조를 비교해 보면 사용자의 문

자메시지, 전화통화내역을 가로채는 목적의 구조가 추가되어 있다”

고 설명했다. 이 밖에도 최근에는 해외 보안업체 카스퍼스키(Kasper-

sky)의 모바일 백신으로 위장한 악성 앱이 발견된 바 있다.

이 밖에도 유명한 게임 앱 등에 리패키징된 모바일 악성코드도 지

속적으로 발견되고 있다. 일례로 지난 6월에는 중국 QQ 게임을 리패

키징한 안드로이드 악성 앱이 발견되었다. 이 앱의 특징은 설치되면

추가로 악성 앱을 설치하는 것으로, 추가 악성 앱이 설치되어도 아이

콘이 생성되지 않는다. 즉, 백그라운드에서 동작하는 것으로, 부팅 시

에 자동으로 실행되어 동작하는 것으로 알려졌다.

한편 이러한 악성 앱과 관련해 ASEC 이정신 연구원은 “안드로

이드 악성 앱의 경우 인기 있는 앱과 동일한 앱인것처럼 속여 설치하

게끔 유도하는 경우가 대다수”라며 “앞으로도 이 같은 추세가 이어질

것”이라고 전했다.

[그림 4] Google SSearch 앱의 외형과 C&C 목록

execuHomepage : 지정된 홈페이지를 연다.

execInstall : 지정된 url의 안드로이드 패키지(앱) 파일을 다운받고 설치한다.

execStartApp : 지정된 안드로이드 앱을 실행시킨다.

execOpenUrl : 지정된 url을 연다.

execDelete : 지정된 파일을 삭제한다.

[그림 5] 정상 모바일 백신(좌)과 허위 모바일 백신(우)

13

한편 사용자들은 이미 PC 환경에서의 다양한 위협을 경험한 바

있다. 따라서 보안에 조금만 관심이 있는 사용자라면 이렇게 문제가

있는 애플리케이션을 설치하지 않을 가능성이 매우 높다. 또한 기본적

으로 안드로이드 운영체제에서 애플리케이션을 설치하려면 우선 사

용자에게 실행 권한에 관해 알려주고 사용자가 이에 동의해야만 설치

가 된다. 게다가 안드로이드 애플리케이션은 프로그램의 소스 레벨까

지 분석이 용이하여 쉽게 악성코드 유무를 판별할 수 있다.

때문에 공격자들은 이를 회피하기 위해 다양한 방법을 시도하고

있다. 특히 보안 제품의 분석 및 탐지를 어렵게 하기 위해 실행 프로그

램을 압축해서 탑재하는 등 리패킹을 응용한 다양한 방법이 시도되고

있다. 특히 최근에는 안드로이드 단말기의 취약점을 이용하여 사용 권

한을 숨긴 채 다른 악성코드를 몰래 설치하는 방법도 널리 이용되고

있다. 이 경우 사용 권한이 숨겨져 있기 때문에 사용자는 별다른 의심

없이 해당 악성코드를 설치하고 실행하게 된다. 해당 악성코드를 살

펴보면 내부 리소스 폴더에 [그림 6]과 같이 보안 취약점을 사용하는

실행 파일과 추가로 설치할 악성코드를 가지고 있는 것을 알 수 있다.

아이폰도 안심은 금물,

스마트한 유저가 스마트폰을 지킨다

지금까지 안드로이드 기반 스마트폰과 관련된 위협을 중심으로 모바

일 환경의 위협 형태를 살펴보았다. 그러나 모바일 위협은 개방형 앱

마켓을 운영하는 안드로이드폰에만 존재하는 것은 아니다.

얼마 전까지만 해도 아이폰의 앱스토어(AppStore)는 안드로이드

마켓에 비해 폐쇄적으로 운영되고 있어 보안 위험성이 적다고 평가되

었다. 그러나 최근 독일 연방정보보안청(BSI)이 이에 반박하고 나섰

다. BSI는 아이폰과 아이패드, 아이팟 터치 운영체계인 iOS의 심각한

보안 결함 때문에 감염된 PDF 파일을 활용한 외부 침입에 사용자의

개인정보가 노출될 수 있다고 주장했다. 실제로 지난해 PDF 파일이

일부 아이폰을 감염시킨 바 있다. 또한 최근에는 아이폰용 iOS 4.1 탈

옥 툴을 가장한 악성코드가 등장하기도 했다.

이에 앞서 사용자들이 자의적으로 탈옥한 아이폰의 경우, 애플 앱

스토어 외에서 검증되지 않은 애플리케이션을 다운받을 수 있기 때문

에 악성코드 감염의 위험이 높다. 동시에 일각에서는 이미 35만 개에

달하며 앞으로도 꾸준히 증가하는 앱들을 애플이 완벽하게 검증해내

는 것은 물리적으로 무리가 있다고 지적했다.

현재 애플리케이션의 수는 이미 엄청나게 늘어난 것에 반해 이들

앱의 유해성 유무 판단은 쉽지 않다. 따라서 사용자들의 각별한 주의

가 요망된다. 특히 출처가 명확하지 않은 애플리케이션은 다운로드 및

설치를 자제해야 하며, 새로운 애플리케이션을 다운로드하여 설치할

때는 다른 사용자들의 평가를 충분히 읽어보고 설치하는 것이 바람직

하다. 또한 PC와 마찬가지로 스마트폰에서도 신뢰할 수 없는 사이트

방문이나 메일은 열람을 자제하는 것이 좋다.

그러나 최근 방통위와 KISA에서 발표한 ‘제3차 스마트폰 이용실

태 조사’의 결과에 따르면 국내 스마트폰의 이용자들의 경우, 앱을 다

운받을 때 참고해야 할 개인정보 처리 방침에 대해 관심도가 낮은 것

으로 나타났다. 이용자의 63.2%는 앱스토어를 통해 모바일 앱을 다

운로드할 때 개인정보 수집/이용/제공에 관한 약관을 접한 경험은 있

지만 ‘항상 읽음’은 7.7%에 불과했다. ‘때때로 읽음’ 또한 24.5%에 불

과해 스마트폰 이용자 세 명 중 한 명만이 개인정보 취급방침에 관심

을 갖는 것으로 조사됐다.

[그림 7] 애플리케이션의 행위 기반 기술이 적용된 V3 Mobile

[그림 6] 내부 리소스 폴더에 가지고 있는 악의적인 목적의 파일들

정상적인 앱 조작부터 단말기 취약점 악용까지 다양

앞서 언급한 사례를 중심으로 안드로이드 기반 스마트폰에서 설치

시 주의를 기울여야 하는 악성 애플리케이션들을 정리해보면 [표 1]

과 같다.

[표 1] 악성 모바일 애플리케이션

악성 애플리케이션 위협 행위

주소록에 저장된 번호로 SMS 전송

특정 서버로 아래와 같은 사용자 정보 유출 시도

전화번호 / IMEI 번호 / 이름

아래와 같은 사용자의 행위 정보 저장

통화 목록 / 문자 / 웹사이트 방문 기록

위 정보 외에도 다수의 정보를 로그로 남기거나 서버로 전송

설치시 악의적인 ELF파일을 생성 후

악성 앱 설치를 시도: 백그라운드로 동작함

아래와 같은 행위를 함

연락처 정보 읽기 및 데이터 생성 / 휴대전화 상태 및 ID 읽기 /

전화번호 자동 연결, SMS 메시지 보내기 / SD카드 콘텐츠 수정, 삭제

강제 루팅 후 권한을 탈취하여 좀비화시킴

스마트폰의 다양한 정보들을 수집하여 특정 서버로 전송

이후 루팅을 시도하여 성공하면 다른 악성 앱 설치 시도: 구글의

'Google SSearch' 앱으로 위장

설치된 악성 'Google SSearch'는 서비스 형태로 시스템 권한을 상

속 받아 동작하며, 사용자 폰을 원격통제(좀비화)하는 기능 수행

14

한편 모바일 위협이 급증하고 있는 것은 사실이지만, 아직까지 해

외에서의 사례일 뿐 국내에서 피해 상황이 보고된 바는 없다. 이와 관

련해 안철수연구소 모바일 플랫폼팀 이성근 책임연구원은 “위협을 과

대 포장하여 불안심리를 조장해서는 안 된다”고 우려했다. 그러나 위

협의 존재를 미리 알아두고 대비해서 나쁠 것은 없을 것이다. 특히 다

음과 같은 기본적인 모바일 보안 수칙을 준수한다면 편리하고 스마

트한 모바일 환경을 더욱 안전하게 이용할 수 있을 것으로 기대된다.

또한 이 조사에 따르면 스마트폰의 이용자 대부분은 위치정보 수

집에 관대한 것으로 나타났다. 위치기반서비스(Location based Ser-

vice, 이하 LBS) 이용 경험자의 52.3%가 LBS 이용시 ‘위치정보수집

안내’를 받은 경험이 있는 것으로 조사됐다. 문제는 이들 중 별다른 의

심 없이 이에 동의한 경우가 68.1%에 이른다는 점이다.

이러한 조사 결과를 바탕으로 추론할 수 있는 것은 사용자들이 스

마트폰 앱을 이용할 때 권한 제공에 대해 무관심하다는 점이다. 이러

한 태도는 원치 않은 개인정보 유출은 물론 실질적인 피해까지 유발

할 수 있다. 이에 안철수연구소는 스마트폰 전용 보안 제품 ‘V3 모바

일(V3 Mobile)’에 ‘이동통신 단말 및 이를 이용한 행위기반 악성코드

진단 방법’이라는 신기술을 적용했다.

이는 스마트폰에서 특정 애플리케이션의 행위에 기반해 의심스

러운 실행파일을 진단하여 사용자에게 경고하는 기술로, 진단명 목

록에 기반한 일반적인 시그니처 진단방식보다 진화한 방식이다. 이

기술이 적용된 V3 모바일은 애플리케이션 설치시 자동으로 해당 애

플리케이션이 요구하는 권한 정보를 분석해 시그니처 기반의 모바

일 백신의 약점으로 지적되었던 신종 악성코드 대응 속도 이슈와 더

불어 스마트폰의 메모리 점유율 증가 및 배터리 소모 문제를 해소한

다. 해당 기술은 현재 국내특허를 획득한 데 이어 최근 PCT 국제 특

허에 출원된 상태다.

스마트폰 이용 보안 수칙

[ 1 ] 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드

시 악성코드 검사를 한다.

[ 2 ] 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린

평판 정보를 먼저 확인한다.

[ 3 ] 브라우저나 애플리케이션으로 인터넷에 연결하게 되는 이메일이나 문

자 메시지에 포함된 URL은 신중하게 클릭한다.

[ 4 ] 백신의 패치 여부를 확인하여 최신 백신 엔진을 유지한다.

[ 5 ] 스마트폰의 잠금 기능(암호 설정)을 이용해 다른 사용자의 접근을 막는

다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.

[ 6 ] 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.

[ 7 ] 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.

15

tHrEat analYsis Security Trend Top 10

보안 위협, 대담한 범죄 경향이 뚜렷해졌다

1. 기업들을 대상으로 한 악의적인 해킹 시도 증가

2011년 상반기에는 기업을 대상으로 한 악의적인 해킹 시도가 증가

했다. 글로벌 에너지 업체의 기밀 정보를 탈취하려는 나이트드래곤

(Night Dragon) 위협, EMC/RSA에서 발생한 OTP(One Time Pass-

word) 관련 기업 기밀 위협 등이 대표적이다.

국내에서도 현대캐피탈과 농협을 대상으로 한 악의적인 해킹이

언론을 통해 알려져 사회적인 큰 문제가 제기되었다. 이러한 기업 대

상의 해킹 시도는 그 피해가 과거에 비해 매우 크다. 또한 금전적인

댓가 이외에도 자신들의 주장을 관철시키기 위해 해킹을 시도하는

핵티비즘(Hacktivism)적인 성격으로까지 다양화되고 있다는 것이 특

징이다.

2. 더욱 대담해진 온라인 뱅킹 해킹

온라인 뱅킹(Online Banking) 중에 전송되는 금융 정보를 탈취하는

악성코드는 올해도 지속적으로 발견되고 있다. 이는 단순한 악성코드

제작 형태 중 하나라기 보다는 금전을 목적으로 한 심각한 사이버 범

죄의 형태로 발전하고 있다.

국내의 경우 3월 온라인 뱅킹을 지원하는 농협 웹 사이트와 동일

하게 만들어진 피싱 웹 사이트가 발견되었다. 해당 피싱 웹 사이트는

실제 웹 사이트와 유사한 명칭의 도메인을 사용하였으며, 로그인 시

에는 온라인 뱅킹에 필요한 대부분의 정보를 입력하도록 유도하고 있

다. 그리고 5월 온라인 뱅킹을 지원하는 국내 대부분의 은행 웹 사이

트들을 대상으로 한 뱅커(Banker) 트로이목마가 발견되었다. 뱅커는

온라인 뱅킹 시에 사용되는 금융 정보들을 외부로 유출하여 탈취한 금

융 정보를 악용할 목적으로 제작되었다.

2011년 상반기 10대 보안 위협 트렌드

안철수연구소가 ‘2011년 상반기 10대 보안 위협 트렌드’를 발표했다. 올해 상반기 주요 이슈는 기업 대

상 악의적 해킹 시도 증가ㆍ더욱 대담해진 온라인 뱅킹 해킹ㆍ모바일 악성코드 기승ㆍSNS로 유포되는

악성코드 급증ㆍ진짜 백신으로 위장한 가짜 백신 등장ㆍ윈도우 시스템 파일을 패치하는 악성코드 증

가ㆍ악성코드 첨부 메일 증가ㆍ웹 애플리케이션 취약점 악용한 악성코드 증가ㆍ맥 OS 겨냥한 악성코

드 본격화ㆍ온라인 게임 해킹 툴 기법 지능화 등이다. 각 이슈에 대해 자세히 살펴보자.

그 외에 해외에서는 2010년에도 많은 금융 보안 사고를 유발하

였던 제우스(Zeus) 트로이목마 변형들의 제작이 가능한 소스코드가

5월 유출되었다.

악성코드 제작이 이제 온라인 게임에서 사용하는 아이템 탈취를

통해 현금화하는 방식에서 탈피하여 실질적인 금전 탈취가 가능한 온

라인 뱅킹을 대상으로 제작되는 사이버 범죄의 성격을 띠고 있다. 따

라서 온라인 뱅킹을 자주 이용하는 PC에서는 좀더 세밀한 보안 설정

과 관리가 필요하다. 또한 온라인 뱅킹에 사용되는 암호는 주기적으로

변경함과 동시에 공인 인증서 관리에 특별한 주의를 기울여야 한다.

3. 모바일 악성코드의 급격한 증가

올해 상반기 안드로이드(Android)용 악성코드가 급증했다.

3월에는 사용자 모르게 강제로 루트(Root) 권한을 획득하는 루

팅(Rooting)을 수행하는 Zft, 5월에는 사용자의 통화목록과 문자 내

역 그리고 웹 사이트 방문 기록 등을 탈취하는 키드로거(KidLogger)

가 발견되었다. 그리고 6월에는 악성코드 제작자에 의해 안드로이드

스마트폰을 원격에서 제어할 수 있는 드로이드쿵후(DroidKungFu)

도 발견되었다.

이 밖에 탈옥(Jail Break)한 아이폰(iPhone)과 아이패드(iPad)에

설치되어 사용자의 키보드 입력을 가로채는 기능을 수행하는 상용 키

로거(Keylogger) 앱(App)도 나타났다.

올해 상반기부터 급격하게 발견되기 시작한 안드로이드 모바일

악성코드는 감염 기법과 동작 방식이 점차 PC용 악성코드와 유사해

져 향후 더 심각한 보안 위협이 될 것으로 예측된다.

16

4. 고도화된 사회 공학 기법으로 소셜 네트워크에서

악성코드 유포

올해부터 본격적으로 SNS(소셜 네트워크 서비스)가 악성코드 유포

경로로 악용되기 시작했다. 많은 사람의 주목을 끌어야 하는 만큼 당

연히 사회적 이슈를 이용한 사회공학기법(Social Engineering)이 사

용됐다. 일본 대지진 관련 기사나 빈 라덴 사망 관련 동영상을 위장한

사례가 대표적이다.

인적 네트워크를 구축하기 위해 많은 사람들이 이용하는 소셜 네

트워크 서비스는 근본적인 구조가 사람들의 신뢰에 있다는 점으로 인

해 사회공학기법을 악용한 악성코드와 피싱(Phishing) 같은 보안 위

협들에 쉽게 노출될 수 있다. 따라서 소셜 네트워크 서비스로 전달되

는 새로운 사회적인 이슈들이 보안 위협일 수도 있다는 보안 인식이

필요하다.

5. 정상 백신으로 위장한 허위 백신 기승

올해 상반기에도 허위 감염 결과를 보여주고 금전 결제 또는 금융 정

보 탈취를 노리는 허위 백신들을 설치하는 악성코드는 지속적으로 유

포되었다. 특히, 그 감염 기법과 형태 역시 과거와 다른 새로운 감염

방식들을 이용하고 있다.

1월 해외 유명 백신 중 하나인 AVG와 동일한 사용자 인터페이스

와 아이콘을 그대로 도용한 허위 백신이 발견되었다. 또한 4월에는 비

트디펜더(BitDefender)의 사용자 인터페이스와 아이콘을 그대로 도

용한 허위 백신이 나타났다.

유포 방식에 있어서도 검색 엔진에서 특정 단어로 검색한 이미지

파일을 클릭하게 될 경우 허위 백신을 설치하는 웹 사이트로 접속을

유도하는 새로운 방식의 블랙햇 SEO 기법을 사용했다. 허위 백신들

은 이 기법을 이용해 최대한 많은 PC들을 감염시키고, 정상 백신의 사

용자 인터페이스를 도용함으로써 PC 사용자들에게 허위 진단 결과를

신뢰할 수 있는 정보임으로 오인하도록 유도했다.

6. 윈도우 시스템 파일을 패치하는 악성코드 증가

2011년 상반기에 유포된 악성코드 중 윈도우 운영체제에 존재하는

정상 시스템 파일을 악의적 목적으로 패치(Patch)하거나 변경하는 악

성코드가 급증했다. 윈도우 시스템 파일(imm32.dll, ksuser.dll, midi-

map.dll, comres.dll 등)을 패치하여 다른 악성코드를 감염시키거나

특정 온라인 게임의 사용자 정보를 탈취하는 악성코드가 다수 발견됐

다. 일부 악성코드는 윈도우 시스템 파일뿐 아니라 백신이 사용하는

파일을 삭제 또는 변조하거나 윈도우 서비스를 강제 종료하는 등 보안

제품의 작동을 방해하기도 한다. 이런 유형은 악성코드를 삭제할 경우

시스템 자체를 손상시키므로, 백신의 진단/치료를 어렵게 하려는 목적

으로 제작되었다고 볼 수 있다.

7. 악성코드를 첨부하여 악의적인 목적으로 유포된 메일 증가

악성코드를 첨부한 메일의 유포가 올해 2분기를 기점으로 다시 증

가했다. 페이스북에서 발송하는 메일로 위장한 사례, UPS나 페덱스

(FedEx)와 같은 택배 운송 업체의 메일로 위장한 사례가 대표적이다.

인터넷 쇼핑몰 주문 확인, 신용카드 한도 초과 안내 메일로 위장한 사

례도 발견됐다.

이렇게 유포되는 악성코드들 대부분이 해외에서 제작된 허위 백

신들을 감염시키기 위해 목적으로 유포되고 있다. 특히 상반기에 발

견된 악성코드가 첨부된 악의적인 메일들의 형태는 인터넷의 발달로

인해 많은 사람들이 이용하는 온라인 서비스와 관련된 메일들로 위장

한 점을 특징으로 볼 수가 있다.

8. 웹 애플리케이션 취약점을 악용한 악성코드 유포 증가

2011년 상반기 악성코드에 의해 악용되었던 취약점들 대부분이 웹

서비스를 이용하기 위해 사용되는 애플리케이션들과 관련되어 있다.

이로 인해 단 기간에 많은 PC들이 악성코드에 감염될 수 있었으며,

특히 2분기에는 보안 패치가 제공되기 전에 발견된 제로 데이(Zero

Day) 취약점들 모두가 어도비(Adobe)에서 개발한 플래시 플레이어

(Flash Player)에서 발견되었다.

1분기 악성코드에 의해 악용되었던 취약점들은 1월 인터넷 익

스플로러(Internet Explorer)의 MS11-003, 2월 윈도우 운영체제와

관련된 MS11-006 취약점과 3월 어도비 플래시 플레이어 취약점인

CVE-2011-0609이 발견되었다.

그러나 2분기에 접어들면서 3월에 발견되었던 어도비 플래시 플

레이어 CVE-2011-0609 취약점이 4월에는 PDF 형태로 다시 발견되

었으며, 다시 4월에는 어도비 플래시 플레이어의 새로운 CVE-2011-

0611 취약점이 발견되고 PDF 형태로도 악용되었다. 그리고 6월에

는 또 다른 어도비 플래시 플레이어의 CVE-2011-2110 취약점과 함

께 인터넷 익스플로러의 MS11-050 취약점이 악성코드 유포에 악용

되었다.

2011년 상반기에는 어도비 플래시 플레이어에 존재하는 취약점

들이 특히나 많이 악용되었으며, 해당 취약점들의 악용은 결국 온라

인 게임의 사용자 정보를 탈취하는 악성코드들과 함께 윈도우 시스템

파일들을 패치하는 악성코드의 증가라는 악순환을 만들어내고 있다.

그러므로 마이크로소프트(Microsoft)에서 제공하는 보안 패치 외

에도 어도비에서 제공하는 보안 패치들에도 관심을 가지고 주기적으

로 설치하는 것만이 악성코드 감염을 예방 할 수 있는 근본적인 대응

책이라고 할 수 있다.

17

9. 맥 운영체제를 감염 대상으로 하는 악성코드 증가

현재 발견되고 있는 대부분의 악성코드들이 마이크로소프트에서 개

발한 윈도우 운영체제에서 감염되도록 제작되어 있다. 그러나 아이폰

과 아이패드 사용자들이 늘어나면서 맥(Mac) 운영체제를 감염대상으

로 하는 악성코드도 동반해서 증가하고 있다.

5월, 맥 운영체제를 감염 대상으로 허위 백신을 설치하는 악성

코드인 맥디펜더(MacDefender)가 다수 발견되었다. 특히 해당 악성

코드들은 소셜 네트워크 서비스 중 하나인 트위터를 통해 맥 운영체

제 사용자들이 관심을 가질만한 내용으로 위장해 유포되었으며, 윈도

우 운영체제에 감염되는 허위 백신들과 동일하게 시스템 전체를 검

사하는 듯한 허위 내용과 함께 허위 감염 결과를 보여주는 방식을 가

지고 있다.

맥 운영체제에서 동작하는 악성코드 변형들의 유포가 증가하고

있으므로 애플에서 제공하는 보안 패치의 주기적 설치와 함께 맥 운영

체제 사용자 역시 악성코드 감염으로부터 주의를 기울일 필요가 있다.

10. 온라인 게임 해킹 툴 기법 지능화

온라인 게임 해킹 분야에 있어서는 비정상적인 방법으로 메모리, 게

임 파일, 서버 등에 접근하여 데이터 등을 변조함으로써 게임 플레이

를 불공정하게 이끄는 새로운 방식이 많이 적용되는 추세이다. 메모

리 조작은 코드 조작에서 데이터 메모리 조작으로, 오토플레이는 키

보드/마우스 관련 함수를 이용하는 방식에서 게임의 특정 기능을 수행

하는 함수를 직접 호출해 오토플레이를 구현하는 방식으로 변화했다.

한편, 온라인 게임 해킹 툴은 작년 상반기에 1,068개가 발견된

데 비해 올해 상반기에는 총 4050개로 약 300% 늘어났다. 해킹 유

형 별로는 메모리 조작이 2,575개로 비중이 가장 높고 오토플레이는

1,274개로 집계됐다.

18

tECH rEpOrt 통합 모니터링

웬만한 보안 솔루션 다 설치했는데... 왜 계속 뚫리나?

오늘날의 보안 위협은 은밀하게 이루어지면서 과거에 비해 더욱 심각한 결과를 초래하고 있다. 2011

년 상반기에 발생한 금융권의 보안 침해 사고를 보면 이러한 경향을 확인할 수 있다. 마치 레이더 망을

교묘하게 피하는 스텔스 폭격기와 같이 보안 시스템을 우회하거나 보안 시스템에서 탐지하지 못하는

기법으로 불특정 다수가 아닌 특정 회사, 개인, 그리고 데이터에 집중했다. 이러한 공격에 대비하기 위

해서는 보안 솔루션과 각종 IT 솔루션의 통합 관리가 반드시 수반되어야 한다. 이 글에서는 취약점 관

리와 통합 모니터링의 중요성에 대해 이야기하고자 한다.

왜 취약점 관리가 필요한가

전형적인 침해 기법은 공격 대상에 존재하는 여러 보안 취약점을 복합

적으로 악용하여 이루어진다. 이러한 침해 기법에 대항하기 위해서는

좀더 견고한 방어 체계 구축이 요구된다. 이는 하나의 보안 솔루션의

도입으로 충족되는 것이 아니라 기업이 운영하는 서버, 네트워크, 애

플리케이션에 존재하는 보안 취약점에 대한 관리가 필수적으로 동반

되어야 한다. 이와 함께 보안 시스템의 효율적인 조합과 향상된 모니

터링 기법을 통해서만이 가능해진다.

과거에 비해 많은 기업들이 IT 보안 부서와 IT 운영 부서를 분리

하고 각자 고유의 역할 및 책임을 부여하여 운영하고 있다. 이러한 경

우 IT 보안 부서가 보안에 대한 정책, 절차 등을 수립하면 그 실행은

IT 운영 부서에서 담당하는 구조로 조직의 틀이 짜여지는 경우가 대

부분이다.

이 글에서 이야기 하고자 하는 취약점 관리는 실질적인 IT 운영 절

차 중 하나로 IT 보안 부서의 효율적인 절차의 수립은 IT 운영 부서의

실질적인 취약점 제거 활동을 극대화할 수 있어, 결과적으로 기업의

IT 보안을 향상시키는 결과를 가져올 수 있다. 또한 IT 보안 부서와 운

영 부서의 협업을 강조하는 이유는 시간에 따른 보안 위협에 대한 인

식 수준 향상에 있다. 예를 들어 악성코드와 백신 소프트웨어의 경우,

과거에는 IT 보안 부서가 주도하는 업무였다. 하지만 이제는 IT 운영

부서에서 혹은 IT와 관련이 적은 부서에서 스스로 설치하고 주기적으

로 업데이트를 실시하는 등 보편화가 되어 있는 것을 자주 볼 수 있다.

이처럼 최초 보안 위협에 대한 대응이 IT 보안 부서만의 역할이었

으나, 위협의 대중화되고 인식 수준이 높아지면서 IT 보안 부서는 새

로운 위협에 대응하는 업무를 수행해야 한다.

취약점 관리를 이용한 위협 모니터링 향상

시장조사 기관인 가트너(Gartner)의 발표에 따르면 “2015년까지

성공한 IT 시스템 공격의 80%는 잘 알려진 취약점을 악용하여 이루어

지며, 이는 효율적인 보안 모니터링을 통해서 탐지할 수 있다”고 한다.

취약점 관리에 대한 이점을 살펴보면, 서버, 네트워크, 데이터베

이스, 애플리케이션에 존재하는 취약점을 발견하고 조치하여 보안성

을 향상시키는 효과가 뛰어나다. 이와 더불어 주기적인 취약점 점검을

수행한 결과물을 타 IDS/IPS, 웹 애플리케이션 방화벽(Web Applica-

tion Firewall) 등의 보안 솔루션과 상관분석을 통하여 보다 효율적인

모니터링을 수행할 수 있다.

그렇다면 효율적인 보안 모니터링을 위해 고려해야 할 점은 무

엇일까.

첫 번째, 위협의 대상이 되는 IT 자산에 대한 범위 설정 및 평가이다.

인터넷을 통하여 비즈니스를 영위하는 기업은 서비스, 개발, 테스

트, 내부 업무 등으로 다양한 IT 자산을 보유하고 있다. 이러한 기업들

은 외부의 위협으로부터 보호되어야 할 대상 및 중요도를 산정하여 발

견된 취약점 제거에 대한 우선 순위 및 절차를 정해야 한다.

두 번째, 취약점 점검 결과물에 대한 활용성이다.

취약점 점검을 주기적으로 수행하는 기업은 점점 증가하고 있으

나 취약점 점검 결과물을 취약점 조치를 위해 일회용으로 참고만 하

는 경우를 흔히 볼 수 있다. 취약점 점검 결과에는 보호되어야 하는 자

산의 운영체제 정보, 서비스 정보, 취약점 정보가 포함되어 있어 IDS/

IPS 등을 운영 중이라면 보안 이벤트와 상관분석을 통하여 유효성을

검증하는데 요긴하게 활용될 수 있다.

19

세 번째, 주기적인 취약점 점검이다.

안타깝게도 국내에서 수행되는 취약점 점검은 일회성으로 그치

거나, 주기적으로 수행되더라도 그 간격이 6개월 이상으로 지나치게

긴 경우가 대부분이다.

대표적으로 마이크로소프트의 경우 매달 보안 취약점에 대한 패

치가 발표되는데 3개월 이상의 간격으로 취약점 점검을 수행하는 경

우 산술적으로 2개월 동안은 위협에 노출되어 있는 상황이 발생한다.

기업의 IT 운영 환경에 따라 다르겠지만, 운영 시스템의 특성을 파악

하여 그 주기를 가능한 짧게 설정하는 것이 최신의 보안 취약점 정보

관리를 위해서 유리하다.

또한 미국의 한 기관에서 실시한 설문결과에 따르면, 응답자의

73%가 IDS/IPS 보안 시스템을 운영하면서 외부의 침입 시도를 모니

터링하고 있다고 답변했다. 하지만 신기하게도 거의 비슷한 숫자에 이

르는 71%의 사용자가 침해 경험을 가지고 있다고 응답했다.

이 두 가지 통계는 기업들이 IDS/IPS 도입 후 모니터링의 효율성,

특히 취약점 정보를 활용한 통합 모니터링을 제대로 하지 않고 있다는

점을 보여주는 단적인 사례이다.

취약점 관리 시스템과 IDS/IPS 솔루션의 상관분석을 통한 모니

터링은 두 가지 방향에서 접근해야 한다.

취약점 정보의 정형화

일반적으로 취약점 관리 솔루션은 업체마다 독자적인 형식으로 정보

를 저장하는데 공통적으로 아래의 정보들은 포함하고 있다.

[표 1] 취약점 관리 솔루션의 분류 및 특징

점검 대상 IP 주소: 취약점 점검 대상이 되는 시스템의 IP 주소로 이 항

목은 IDS/IPS 솔루션 이벤트의 목적지 주소와 매핑되어 활용된다.

열려진 포트(Port): 점검 대상 시스템에 외부 통신을 위해서 열려진 포

트의 번호이다.

취약점 식별 기호: 취약점 관리 솔루션마다 업체에서 취약점 정보 관리

를 위해서 부여한 기호이다.

참조 기호: 취약점 식별기호와 함께 취약점 관리를 위해서 부여된 기호

이며, 주로 외부에서 참조할 수 있는 기호이다. 가장 많이 사용하는 기

초는 CVE(Common Vulnerabilities and Exposure)와 BID(Bugtrack ID)

등이 있다.

목적지 IP 주소: 공격의 대상이 되는 시스템의 IP정보이며 취약점 관리

솔루션에서는 점검 대상 IP주소와 매칭된다.

목적지 포트: 공격의 대상이 되는 시스템에 존재하는 네트워크 포트 정

보이며 취약점 관리 솔루션에서는 열려진 포트 정보와 매칭된다.

탐지 패턴 식별 기호: IDS/IPS 솔루션 제조사에서 탐지 패턴의 관리를

위해서 부여한 식별 기호이다

시스템 데이터베이스 애플리케이션

대상 개인PC, 서버, 네트워크 장치 등

공개용/상용 데이터베이스 웹 기반 애플리케이션

점검내역

패치여부취약한 서비스

취약한 패스워드설정 오류

데이터베이스 패치환경설정 웹 애플리케이션 취약점

한계 데이터베이스, 애플리케이션 취약점

애플리케이션을 경유한 공격에 대한 점검에 한계

(SQL Injection)

개발 단계에서 발견되지 않는 경우 취약점 제거에

오랜 시간이 소요됨

취약점 관리 솔루션의 분류 및 특징

취약점 관리 솔루션은 특성에 따라서 3가지로 분류되며, 각 분류마다

점검 가능한 범위 및 그에 따른 한계가 분명하다.

과거의 취약점 관리 솔루션 시장은 개인 PC 및 서버 시스템을 중

심으로 형성되었다. 하지만 현재는 내부정보, 개인정보에 대한 중요성

으로 데이터베이스 취약점 관리 솔루션으로, 또 인터넷을 통한 비즈니

스의 활성화 및 이에 따른 위협의 증가로 인해 웹 애플리케이션 취약

점 관리 솔루션으로까지 확장되었다.

아울러 얼마 전까지만 해도 취약점 관리 솔루션은 시스템, 데이터

베이스, 웹 애플리케이션으로 분리되어 있었으나, 통합된 취약점 관

리에 대한 요구 등으로 인해 하나의 솔루션에 세 가지 영역을 포함하

여 출시되는 경향을 보이고 있다.

실제 취약점 점검을 실행한 결과를 보면 많은 부분이 보안 패치

미설치, 사용하지 않는 취약한 서비스의 실행, 설정 오류와 관련된 사

항들이다. 또한 많은 취약점들이 시스템의 가용성, 애플리케이션 의

존성 및 QA 테스트 등의 이유로 바로 제거되지 않고 위협에 노출되

어있는 현실이다.

취약점 관리 솔루션과 IPS 시스템의 효율적인 모니터링을 위한

방안을 살펴보기 전에 미국 통신회사 버라이즌의 데이터 침해 보고서

를 살펴보자. 이 보고서에 따르면, “2010년 900건 이상의 데이터 침

해 시도가 있었으며, 이중 90%에 해당하는 시도는 로그 기록에 남

아있었으나, 5%만이 모니터링 시스템에 의해서 실시간 통지되었다”

고 한다.

IDS/IPS 보안 솔루션들의 특징은 위협에 대한 탐지 및 경고 발송

이 실시간으로 이루어지는 것이다. 하지만 취약점 관리 솔루션들은 취

약점에 대한 실시간 점검보다는 기업에서 정한 일정에 따라서 점검을

수행하고 그 결과를 저장하는 방식으로 진행된다. 그러므로 점검 주

기가 길어지면 점검 데이터의 정확도가 떨어지며 그에 따라 위협 탐지

효율성이 시간이 지날수록 낮아지게 된다. 따라서 취약점 관리 솔루

션의 취약점 정보를 위협 모니터링에 활용하기 위해서는 주기적으로

취약점 점검을 수행하여 IT자산의 취약점 정보를 최신의 것으로 유지

하는 것이 무엇보다 중요하다.

IDS/IPS 솔루션에서 위협을 탐지하여 실시간으로 전송하는 이벤

트 정보 중 취약점 정보와 매칭할 수 있는 정보는 아래와 같다.

20

취약점 점검 솔루션과 IDS/IPS 보안 솔루션 이벤트 상관분석을

위해서는 취약점 식별기호화 IDS/IPS 솔루션 이벤트의 탐지 패턴 식

별기호를 상호 매핑하는 과정이 필요하다. 하지만 취약점 식별 기호

와 탐지 패턴 식별 기호는 솔루션 제조사마다 다른 형식으로 부여하므

로 다수의 솔루션에 대한 상관분석을 위해서는 다수의 솔루션에서 지

원하는 참조 기호를 활용하는 것이 유리하다. 대표적인 참조 기호로는

CVE(Common Vulnerabilities and Exposure)를 예로 들 수 있다.

CVE는 MITRE, NIST(미국표준기술연구소, National Institute

of Standards and Technology)를 중심으로 보안 취약점을 체계적인

관리를 위해서 구축한 보안 취약점 식별자 체계이다. 대부분의 보안

솔루션들은 독자적인 취약점/탐지 패턴 식별기호와 함께 이기종 시스

템 연동을 목적으로 CVE 참조 식별자를 제공한다.

통합 모니터링을 위해서 기업에서 가장 많이 도입하는 솔루션

은 SIEM(Security Information and Event Management)이다. 이들

SIEM 솔루션은 보안 시스템, 취약점 관리 시스템, 서버 시스템, 네트

워크 시스템으로부터 이벤트를 수신하고 상관분석을 통해서 침해시

도를 실시간 탐지하고 침해 사고를 관리하는 기능을 수행한다.

SIEM 솔루션은 각종 보안 솔루션, 서버, 네트워크 장치로부터 받

은 각종 이벤트를 분석하기 위해서 상관분석(Correlation) 기능을 구

현하고 있다. 상관분석 방식 중 규칙기반 상관분석은 대부분의 SIEM

솔루션이 기본적으로 제공하는 방식으로 취약점 정보와 IDS/IPS 솔

루션에서 전송한 위협 이벤트 간의 유효성 검증을 수행하여 공격의 오

탐을 줄이는 동시에 효율적으로 공격을 탐지하는데 활용된다.

대부분의 SIEM 솔루션은 자체적으로 작성한 상관분석 규칙을 제

공하며 사용자는 제공한 상관분석 규칙을 수정하거나 사용자 환경에

필요한 규칙을 작성할 수 있다.

취약점 점검 데이터에는 보호하고자 하는 자산 목록, 운영체제,

서비스 정보, 운영중인 애플리케이션 정보, 취약점 정보가 포함되어

있어 IDS/IPS에서 전송하는 이벤트의 목적지 IP, 목적지 포트, 애플

리케이션 정보, CVE, MS, BID 등의 취약점 식별 기호 등을 활용하

는 경우 IDS/IPS 오탐 이벤트를 제거하여 효율적인 이벤트 모니터링

이 가능하다.

취약점 관리는 대상 시스템의 취약점 발견, 제거, 검증에 국한되

어 수행하는 IT 보안 업무의 일부로 여겨졌다. 하지만 취약점 관리의

중요성, SIEM 솔루션의 상관분석 기능을 활용한 위협 이벤트 모니터

링 유효성 검증 등으로 그 활용 범위를 넓힐 수 있다.SIEM 솔루션의 주요 기능

외부 위협 발견

사용자 모니터링

서버 시스템, 데이터 베이스 리소스 모니터링

사용자 행위 감시

21

CasE stuDY Digital Forensic

무료 SW로 포렌식에 도전 해볼까

이 글은 테스트 목적으로 분석할 수 있는 작은 파일 시스템 파일을 만

드는 방법을 소개하며, 만들어진 파일 시스템을 마운트할 수 있는 포

렌식 도구를 설명하고자 한다. 또한 상용 소프트웨어가 아닌 오픈 소

스를 사용하여 파일을 복구(내보내기)할 수 있는 방법을 함께 알아

본다.

※ 본 문서에서는 삭제된 파일의 복구가 아닌 이미지에서 파일을 ‘복구(내보

내기)’하는 기능을 살펴본다.

지금부터 본격적으로 이미지 제작과 이미지 마운트, 파일 복구(내보

내기)에 대한 것을 알아보자.

오픈 소스를 이용한 파일 복구 방법

이번 호에서는 포렌식 과정 중에서 용의자 PC의 디스크 이미지에서 파일을 복구(내보내기)하는 방법을 알아보자.

일반적으로 수사권이 있는 포렌식을 진행할 경우, 용의자 PC의 디스크에서 이미지 생성 작업을 진행하게 된다. 여

기서 이미지 생성 작업이란 PC에 설치되어 있는 물리 디스크를 PC로부터 떼어내어 같은 크기나 그보다 큰 디스크

로 사본을 제작하거나 이미지 파일로 저장하는 것을 말한다. 그리고 분석가들은 이 이미지 파일로 포렌식을 수행

하는 것이다. 이때 분석가는 디스크 분석을 위해 많은 도구를 사용하게 된다. 그 중 가장 두드러지게 사용하는 도구

가 이미지 마운트 도구들이다.

이 마운트 도구들은 생성된 디스크/볼륨 이미지에서 디렉터리 구조를 그래픽 또는 텍스트 구문으로 보여준다. 또,

일반적으로 사용자가 접근하지 못하는 시스템 파일들에 접근할 수 있는 기능을 가지고 있다. 따라서 분석가가 원

하는 검색과 삭제된 데이터를 복구할 수 있도록 지원하여, 분석 시간을 효율적으로 사용할 수 있도록 도와준다.

Ⅰ. 가상 볼륨 제작

(1) 실습을 목적으로 볼륨을 제작하여 임의적으로 파일을 넣어서 가

상의 테스트 볼륨을 제작하는 방법을 설명한다.

(2) 테스트 환경

A. 우분투(Ubuntu) 11.04

(3) 사용된 애플리케이션

A. DD

B. mkfs.ntfs (sudo apt-get install ntfsprogs)

C. losetup

D. mount/unmount

E. sleuth kit(sudo apt-get install sleuth kit)

F. find

Ⅱ. 이미지 마운트

(1) 제작된 가상 볼륨을 마운트가 가능한 포렌식 도구를 사용하여 마

운트 해보며, 어떠한 도구들이 존재하는지 확인한다.

(2) 테스트 환경

A. 우분투(Ubuntu) 11.04

B. 윈도우(Windows) 7

(3) 사용된 애플리케이션

A. Encase

B. X-way forensics

C. Winhex

D. FTK(Forensic Tool Kit)

E. Autospy (Linux용)

F. Mount Image Pro

Ⅲ. 마운트된 볼륨에서 오픈 소스로 파일 복구하기

(1) 값비싼 포렌식 도구가 아닌 오픈 소스로 제공되는 도구들을 살펴

보며, 파일 내보내기(export) 기능을 자동화 방식과 수동 방식으로 알

아본다.

(2) 테스트 환경

A. 우분투(Ubuntu) 11.04

(3) 사용된 애플리케이션

A. Autospy

B. DD/ Sleuth kit

22

Ⅰ. 가상 볼륨(volume) 제작

이 단계에서는 크기가 작은 파일시스템 파일을 제작한다. 제작된 파일

시스템은 작은 크기로 제작되므로 마운트하거나 분석할 때 지연되는

시간을 최소화할 수 있다. 또한 테스트를 진행할 수 있다.

아래 내용을 차례대로 진행하여 크기가 작은 파일시스템 파일을

제작해보자.

1. 0으로 채워진 파일 만들기

데이터를 0으로 채울 수 있도록 우분투(Ubuntu)에서는 /dev/zero라

는 가상파일을 제공한다. 해당 가상 파일과 dd 명령어를 사용하면, 작

은 사이즈의 데이터 파일을 생성할 수 있다. 참고로, 실제 디스크 이

미지는 크기가 매우 커서 테스트 목적으로 진행하기에는 무리가 있다

는 점을 밝혀둔다.

파일은 꼭 0으로 채워야 하는 것은 아니다. 다만 사용되는 0명령

어를 사용할 경우, 빠르게 제작이 가능하다. 또한 데이터를 확인할 때

가독성이 좋은 편이다.

작은 사이즈의 볼륨 파일을 만들기 위해서 우분투(Ubuntu) OS

를 사용하였으며, dd 명령어와 제로(zero)라는 가상 파일을 이용하

여 0으로 채워진 10MB파일을 생성한다. 사용된 명령어 내용은 아

래와 같다.

명령어: dd if=/dev/zero of=OUTPUT bs="byte per sector" count="bs 개수"

2. NTFS 파일 시스템 파일 만들기

NTFS 파일 시스템 파일을 만들기 위해서는 dd 명령어로 만든 파일

을 디바이스로 인식시켜야 한다. 해당 파일을 디바이스로 인식하기 위

해서는 루프백 디바이스를 사용하며, 사용하는 방법은 아래와 같다.

2-1. 루프백(loop back) 디바이스 확인

루프백 디바이스를 확인하기 위해 losetup을 사용하며, -a 옵션을 이

용하여 현재 사용되고 있는 루프백 디바이스 정보를 확인한다. [그림

3]에서 사용된 명령어 결과, 디바이스가 확인되지 않는 이유는 아직

마운트되어 있는 루프백 디바이스가 존재하지 않기 때문이다.

사용된 명령어는 아래와 같다.

명령어: losetup -a

(-a 옵션은 사용 중인 디바이스 내역을 모두 보여주는 옵션이다.)

2-2. 사용 가능한 루프백 디바이스 확인

루프백 디바이스를 사용할 수 있는 디바이스 명과 경로를 확인하기 위

해, losetup 명령어와 -f을 사용한다. 해당 명령어의 결과를 확인한 후,

사용할 디바이스를 지정할 수 있다.

명령어: losetup -f

(-f 옵션은 사용 중이지 않은 디바이스 내역을 찾아주는 옵션이다.)

2-3. 0으로 채워진 파일 디바이스로 인식 시키기

실습에서 사용할 파일시스템은 NTFS이다. 파일이 NTFS 파일 시스

템으로 포맷(Format)되기 위해 2-1에서 생성한 파일을 디바이스로

인식시켜야 한다. 이때 인식시키기 위해서는 2-2에서 확인한 루프백

디바이스(사용 가능한 루프백 디바이스)를 사용한다.

파일을 디바이스로 인식시키는 명령어는 아래와 같다.

명령어: losetup 사용 가능한_디바이스 파일

이때, 사용 가능한(비어 있는) 루프백 디바이스는 /dev/loop0이다.

2-1에서 만든 파일이 루프백 디바이스로 인식되어 있는지 확인하기

위해 2-1에서 사용한 명령어를 사용하여 루프백 디바이스를 확인한다.

이때, NTFS_file.dd는 임의로 생성한 볼륨(volume)이라는 폴더에 존

재한다.

[그림 1] 가상의 10MB 파일 생성

[그림 3] 현재의 루프백 디바이스(loopback device) 정보

[그림 4] 사용 가능한 루프백 디바이스(loopback device) 정보

[그림 5] 파일을 디바이스(device)로 인식시키기

[그림 6] 현재의 루프백 디바이스(loopback device) 정보

[그림 2] dd 명령어 매뉴얼 정보

가상 볼륨 제작1

이미지 마운트2

File Export3

root@ubuntu:/volume# dd if=/dev/zero of=NTFS_file.dd bs=1046 count=1000010000+0 records in10000+0 records out10460000 bytes (10 MB) copied, 0.0410133 s, 255 MB/sroot@ubuntu:/volume#

root@ubuntu:/volume# losetup –aroot@ubuntu:/volume#

root@ubuntu:/volume# losetup –f/dev/loop0root@ubuntu:/volume#

root@ubuntu:/volume# losetup /dev/loop0 NTFS_file.ddroot@ubuntu:/volume#

root@ubuntu:/volume# losetup –a/dev/loop0: [0801]:655551 (/volume/NTFS_file.dd)root@ubuntu:/volume#

NAME dd - convert and copy a file

DESCRIPTION Copy a file, converting and formatting according to the operands.

23

이때 fsstat 명령어가 없을 경우, sleuthkit을 설치하여 사용하면 된다.

(sudo apt-get install sleuth kit)

2-4. 루프백 디바이스를 NTFS로 포맷(Format)

루프백 디바이스를 포맷하기 위해 mkfs.ntfs를 사용했다. 명령어는

다음과 같다.

명령어 : mkfs.ntfs 디바이스

단, mkfs.ntfs 명령어가 없을 경우, “sudo apt-get install ntfsprogs”

를 사용하면 된다.

포맷된 파일 정보를 확인하면 NTFS로 이루어진 파일인 것을 확

인할 수 있다.

[그림 7] 우분투에서 루프백 디바이스(loopback device)를 NTFS로 포맷

[그림 8] NTFS로 포맷된 파일 정보

root@ubuntu:/volume# mkfs.ntfs /dev/loop0The partition start sector was not specified for /dev/loop0 and it could not be obtained automatically. It has been set to 0.The number of sectors per track was not specified for /dev/loop0 and it could not be obtained automatically. It has been set to 0.The number of heads was not specified for /dev/loop0 and it could not be obtained automatically. It has been set to 0.Cluster size has been automatically set to 4096 bytes.To boot from a device, Windows needs the 'partition start sector', the 'sec-tors per track' and the 'number of heads' to be set.

Windows will not be able to boot from this device.Initializing device with zeroes: 100% - Done.Creating NTFS volume structures.mkntfs completed successfully. Have a nice day.root@ubuntu:/volume#

root@ubuntu:/# file /volume/NTFS_file.dd/volume/NTFS_file.dd: x86 boot sector, code offset 0x52, OEM-ID "NTFS ", sectors/cluster 8, reserved sectors 0, Media descriptor 0xf8, dos < 4.0 BootSector (0x80)root@ubuntu:/#

3. 루프백 디바이스 마운트(Mount)

지금까지 선행된 작업으로 만들어진 루프백 디바이스를 -t 옵션을 사

용하여, NTFS로 마운트하고, df 명령어로 마운트된 정보를 확인한다.

4. 테스트 이미지 만들기

마운트 된 경로에 2개의 폴더, 1개의 jpg파일, 1개의 실행파일(exe파

일)을 만들거나 복사한다. 해당 파일들은 추후 복구(내보내기)에 사용

되므로 같은 파일이 아니라도 실습에 사용할 파일을 구성하도록 한다.

이에 따라 구성된 파일 리스트는 다음과 같다.

디바이스 정보를 자세하게 보기 위해 fsstat명령어를 사용한다. 해당

명령어로 확인되는 정보는 시스템 파일에 대한 것이나 클러스터의 크

기 등이 있다.

[그림 9] 루프백 디바이스 마운트

[그림 10] fsstat 명령어로 마운트 정보 확인

[그림 11] 실습을 위하여 이미지에 파일 생성하기

root@ubuntu:/# mount -t ntfs /dev/loop0 /NTFS/

root@ubuntu:/# df

Filesystem 1K-blocks Used Available Use% Mounted on

/dev/sda1 20125340 2952128 16150904 16% /

none 247392 620 246772 1% /dev

none 254000 332 253668 1% /dev/shm

none 254000 120 253880 1% /var/run

none 254000 0 254000 0% /var/lock

/dev/loop0 10212 2500 7712 25% /NTFS

root@ubuntu:/# fsstat /dev/loop0

FILE SYSTEM INFORMATION

--------------------------------------------

File System Type: NTFS

Volume Serial Number: 592810AD58CD27E0

OEM Name: NTFS

Version: Windows XP

METADATA INFORMATION

--------------------------------------------

First Cluster of MFT: 4

First Cluster of MFT Mirror: 1276

Size of MFT Entries: 1024 bytes

Size of Index Records: 4096 bytes

Range: 0 - 27

Root Directory: 5

CONTENT INFORMATION

--------------------------------------------

Sector Size: 512

Cluster Size: 4096

Total Cluster Range: 0 - 2552

Total Sector Range: 0 - 20427

$AttrDef Attribute Values:

$STANDARD_INFORMATION (16) Size: 48-72 Flags: Resident

$ATTRIBUTE_LIST (32) Size: No Limit Flags: Non-resident

$FILE_NAME (48) Size: 68-578 Flags: Resident,Index

$OBJECT_ID (64) Size: 0-256 Flags: Resident

$SECURITY_DESCRIPTOR (80) Size: No Limit Flags: Non-resident

$VOLUME_NAME (96) Size: 2-256 Flags: Resident

$VOLUME_INFORMATION (112) Size: 12-12 Flags: Resident

$DATA (128) Size: No Limit Flags:

$INDEX_ROOT (144) Size: No Limit Flags: Resident

$INDEX_ALLOCATION (160) Size: No Limit Flags: Non-resident

$BITMAP (176) Size: No Limit Flags: Non-resident

$REPARSE_POINT (192) Size: 0-16384 Flags: Non-resident

$EA_INFORMATION (208) Size: 8-8 Flags: Resident

$EA (224) Size: 0-65536 Flags:

$LOGGED_UTILITY_STREAM (256) Size: 0-65536 Flags: Non-resident

root@ubuntu:/#

root@ubuntu:/NTFS# find ./

./

./Ahnlab

./Ahnlab/ahn.jpg

./A_First

./A_First/FIRST.jpg

./A_First/nc.exe

root@ubuntu:/NTFS#

24

4-1. RAW 이미지 파일 만들기

NTFS RAW 이미지를 만들기 위해, 위에서 생성한 loop0 디바이스를

이미징한다. 명령어 결과로 처음에 제작했던 10M 크기의 파일이 만

들어진다. 명령어 내용은 다음과 같다.

명령어: dd if="루프백 디바이스" of=OUTPUT

이미징된 파일을 file 명령어로 확인하면 NTFS 파일시스템인 것을 확

인할 수 있다.

이렇게 만들어진 파일을 cat으로 읽어 들여 hex값으로 확인하면,

NTFS라는 구문과 offset 00001fc에서 0x55aa는 값이 존재하는 것

을 알 수 있다. 이 값을 통해 해당 파일이 NTFS파일 시스템이라는 것

을 한번 더 확인할 수 있게 된다.

이때 hex값이 실제 0부터 시작하여 0x1ff는 0x200의 값이라고 볼

수 있다. 0x200은 10진수로 512라는 값이며, 해당 값은 하나의 섹터

(Sector) 값과 일치한다.

[그림 12] Raw image 만들기

[그림 13] 만들어진 이미지 파일 정보 확인

[표 1] 실습에서 사용되는 포렌식(Forensic) 도구 소개

root@ubuntu:/volume# dd if=/dev/loop0 of=test_NTFS.dd20429+0 records in20429+0 records out10459648 bytes (10 MB) copied, 2.47365 s, 4.2 MB/sroot@ubuntu:/volume# lsNTFS_file.dd test_NTFS.ddroot@ubuntu:/volume#

root@ubuntu:/volume# file test_NTFS.ddtest_NTFS.dd: x86 boot sector, code offset 0x52, OEM-ID "NTFS ", sectors/cluster 8, reserved sectors 0, Media descriptor 0xf8, dos < 4.0 BootSector (0x80)root@ubuntu:/volume#

[그림 14] NTFS 파일 정보

Ⅱ. 이미지 마운트(Mount)

가상 볼륨 제작1

이미지 마운트2

File Export3

‘가상볼륨제작’에서 살펴본 바와 같이 이미지 파일은 루프백 디바이스

를 사용해서 파일들을 리스팅(listing)하거나, 확인할 수 있다. 하지만

전문적인 포렌식 도구를 사용하면 시스템 파일 등을 함께 확인할 수

있으며, 분석에 도움을 주는 여러 기능을 사용할 수 있다.

이번 섹션에서는 Raw 이미지 파일을 마운트하여 분석할 수 있는

소프트웨어를 알아보자.

Raw 이미지를 마운트할 때, 사용된 소프트웨어 목록은 다음과 같다.

위의 소프트웨어는 ‘가상볼륨제작’에서 만든 NTFS 파일을 실제로 마

운트하여 실습을 진행했다. 참고로, 이 가운데 Autopsy를 제외한 나

머지 도구는 모두 윈도우에서 동작한다.

이름 지원하는 파일시스템 및 이미지 비고

EncaseFAT,NTFS,HFS,HFS+,UFS,SUN,Solaris,EXT2,Palm,CDFS,UDF,I

SO9660 등

상용www.guidancesoftware.com

X-way forensics

FAT12/16/32, TFAT, exFAT, NTFS, Ext2/3/4, Next3, CDFS, UDF, HFS,

HFS+, ReiserFS, Reiser4, UFS, UFS2

상용 www.x-ways.net

WinhexFAT12/16/32, exFAT, NTFS, Ext2/3/4, Next3, CDFS, UDF

상용www.x-ways.net

FTK(Forensic Tool kit)

FAT, FAT32, NTFS, EXT2, EXT3, ReiserFS, HFS, HFS Plus, ISO9660,

Ghost, VMware VMK

상용accessdata.com

Autopsy (Linux 용)NTFS, FAT, HFS+, Ext2, Ext3, UFS1,

and UFS2무료

www.sleuthkit.org

Mount Image Pro

EnCase .E01, .L01 | AccessData FTK .E01, .AD1 | Unix/Linux DD and RAW images | Forensic File Format .AFF | SMART | ISO (CD and DVD images) | VMWare | ProDiscover |

Microsoft VHD | Apple DMG

상용www.getdata.com/

1. 엔케이스(Encase)

엔케이스는 가디언스 소프트웨어(Guidance software)에서 제공하는

포렌식 도구이다. 이 도구는 디지털 미디어를 분석하는데 사용되며,

법정에서 디지털 증거를 증명하기 위해 사용되기도 한다. 엔케이스는

윈도우/맥OS/리눅스 등의 각종 파일 시스템을 지원하여, 디지털 미디

어를 분석할 때 사용하기 편하도록 지원한다.

25

아래 [그림 15]는 ‘가상볼륨제작’에서 만든 Raw 이미지를 확인한 것

이다.

[그림 15] 엔케이스로 이미지 마운트

[그림17] 윈헥스(Winhex)로 이미지 마운트

[그림 18] FTK로 이미지 마운트[그림 16] X-way-Forensics으로 이미지 마운트

2. X-way forensics

X-웨이 포렌식(X-way forensics)은 윈도우에서 동작하는 포렌식 도

구이다. 이 도구는 각종 파일 시스템을 지원한다. X-웨이 포렌식도 역

시 다른 이미지 분석 도구와 마찬가지로 삭제된 내역을 확인하거나

복구하는 기능을 포함하고 있다. 특히, 헥스 에디트(Hex edit) 기능

이 뛰어나다.

[그림 16]은 분석으로 사용된 이미지이다. (제작된 이미지로 확인

한 이미지가 아니다.)

3. 윈헥스(WinHex)

윈헥스는 X-웨이 소프트웨어 테크놀로지(X-Ways Software Tech-

nology)에서 제공하는 16진법의 에디터(hexadecimal editor)이다.

이 도구는 컴퓨터 포렌식과 데이터 복구 등에 사용되며, 다양한 파

일 시스템을 지원한다. 또 프로세스 및 동적 라이브러리 등을 확인할

때도 사용되며, 악성코드 분석과 파일 포맷 분석에도 자주 사용된다.

[그림 17]은 ‘가상볼륨제작’에서 만든 Raw 이미지를 확인한 것

이다.

4. FTK

FTK(Forensic Tool Kit)은 액세스 데이터(Access data)에서 제공하

는 포렌식 도구이다. 이 도구는 다양한 파일 시스템을 지원하며, 오라

클 DB를 사용한다. 오라클 DB를 사용함으로써, 빠른 인덱싱을 지원

하게 된다. 인덱싱이 끝난 후에는 빠른 검색 결과를 분석가에게 제공

한다. 또한 패스워드 크랙이나 암호를 복호화하는 기능이 포함되어 있

으며, 디스크에 존재하는 문자열을 바탕으로 패스워드 사전을 제공하

기도 한다. 이러한 기능은 분석가가 분석을 진행할 때, 패스워드나 복

호화 과정을 어려움 없이 극복할 수 있도록 도와준다.

[그림 18은]은 ‘가상볼륨제작’에서 만든 RAW 이미지를 확인한

것이다.

5. 오텁시(Autopsy)

오텁시(Autopsy)는 슬루쓰 킷(Sleuth Kit)에 있는 도구로 웹 브라우저

를 통해, 파일시스템을 볼 수 있게 도와준다. 이 도구는 오픈 소스이며,

누구나 사용이 가능하다. 현재 윈도우용과 유닉스 계열에서 지원하고

있다. 지원하는 파일 시스템은 NTFA, FAT, UFS1/2, Ext2/3 등이다.

[그림 19]는 ‘가상볼륨제작’에서 만든 Raw 이미지를 확인한 것이다.

26

[그림 19] Autopsy로 이미지 마운트

[그림 20] 마운트 이미지 프로(Mount Image Pro)로 이미지 마운트

[그림 22] Aotopsy로 마운트한 이미지 확인

[그림 23] Aotopsy로 마운트한 이미지 확인에서 디렉터리 리스팅[그림 21] 마운트 이미지 프로(Mount Image Pro)로 이미지 마운트

6. 마운트 이미지 프로(Mount Image Pro)

마운트 이미지 프로는 겟 데이터(Get Data)에서 제공하고 있으며, 다

양한 파일 시스템을 지원한다. 해당 도구는 유료이지만, 테스트할 수

있는 기간을 14일 정도 제공하고 있다. 이 도구는 MD5 해쉬 값으로

무결성을 입증한다.

일반 포렌식 도구들은 디스크 이미지를 열면, 해당 소프트웨어에

서만 디스크를 확인할 수 있다. 하지만, 마운트 이미지 프로는 실제 윈

도우에 마운트되어 실제 볼륨/디스크로 인식된다. 따라서 분석가는 인

식된 볼륨/디스크를 검색하거나 증거를 찾을 수 있다.

[그림 20]은 ‘가상볼륨제작’에서 만든 RAW 이미지를 확인한 것

이다.

만약 오텁시(autopsy) 명령어가 없을 경우에는 오텁시를 설치하여 사

용하면 된다. (sudo apt-get install autopsy) 이 도구를 다운로드 받을

수 있는 url은 다음과 같다.

http://www.sleuthkit.org/autopsy/download.php

A_First라는 폴더로 이동하면, “../, ./, FISRT.JPG, nc.exe” 라는

파일(Objects)을 확인할 수 있다.

Ⅲ. Mount된 volume에서 오픈 소스로 파일 복구하기

가상 볼륨 제작1

이미지 마운트2

File Export3

포렌식 도구들을 구매할 경우, 비교적 다른 소프트웨어보다 비용이 많

이 발생한다. 이러한 부분을 해소하기 위해, 이 글에서는 오픈 소스로

파일을 복구하는 방법을 소개한다. 여기서 사용하게 될 도구는 앞서

살펴본 오텁시(Autopsy)와 DD라는 도구이다.

1. 오텁시(Autopsy)

가상 볼륨 제작’에서 만든 로우 이미지(Raw Image)를 바탕으로 데이

터를 복구하기 위해 오텁시를 사용했다. 먼저 Case명과 그 외 분석가

이름을 기입한다. 이후 이미지를 열면 [그림 22]와 같이 NTFS 파일시

스템을 확인할 수 있다. 이번에 데이터를 복구할 파일이 /A_First/라는

폴더에 존재하므로 A_First라는 폴더로 이동한다.

27

[그림 24] Aotopsy로 마운트한 이미지에서 파일 내보내기

[그림 26] JPG 시그너처 확인

해당 파일들 중에서 FIRST.jpg를 볼륨 이미지에서 내보내는 작

업을 진행한다. 해당 작업을 진행하기 전, 보고서(Report) 기능으로

해당 데이터의 내용을 웹 브라우저로 확인이 가능하다. 또한 ‘Export

Contents’ 기능을 사용하여 선택된 데이터를 내보낼 수 있다. 그 결과,

‘A FIRST’라는 문구의 그림 파일인 것을 확인할 수 있다.

ahn.jpg파일이 어떤 파일인지 확인하기 위해 icat을 사용하여,

hex코드와 문자열을 동시에 확인했다. 해당 파일은 jpg 시그니처를

이루고 있는 것을 알 수 있었다.

jpg 시그니처: 시작 값이ffd8이고 마지막 값이 ffd9

명령어: icat test_NTFS.dd metadata(inode) | xxd

jpg 시그니처 확인 후 해당 데이터의 정보를 확인한다. 이때 데이

터 정보를 확인하기 위해 istat 명령어가 사용되었다. 명령어 결과에

서 $DATA는 데이터의 사이즈 정보와 저장된 클러스터(cluster) 개

수를 표시해준다. 이 정보는 볼륨 이미지에서 데이터를 내보내기 할

때 사용된다.

1. DD & Sleuth kit

위 ‘오텁시(Autopsy)’에서 사용한 로우(Raw) 이미지를 스루쓰 킷

(Sleuth kit)을 사용하여 파일 내보내기를 진행한다. 스루쓰 킷은 커맨

드 라인(Command line)을 제공하는 포렌식 분석 도구이다. 해당 킷

에서는 다양한 실행 파일이 존재하며, 기능도 다양하다.

여기서는 스루쓰 킷을 사용하여, 볼륨 이미지에서 파일을 내보내

는 작업에 대해 알아보자. 먼저 fls명령어를 사용하여 파일 시스템을

디렉터리 구조로 확인해 본다.

명령어 결과, 칼럼(column)값이 d/d인 것은 디렉터리라는 것을

확인할 수 있었다. 각 디렉터리를 확인한 후에 ahn.jpg파일이 존재한

다는 것을 알 수 있었다.

명령어 : fls -f ntfs -p 볼륨_이미지 metadata(inode)

[그림 25] fls 명령어로 디렉터리 리스팅 [그림 27] istat 명령어로 JPG파일 정보 확인

root@ubuntu:/volume# fls -f ntfs test_ntFs.dd -p

r/r 4-128-1: $AttrDef

r/r 8-128-2: $BadClus

r/r 8-128-1: $BadClus:$Bad

r/r 6-128-1: $Bitmap

r/r 7-128-1: $Boot

d/d 11-144-2: $Extend

r/r 2-128-1: $LogFile

r/r 0-128-1: $MFT

r/r 1-128-1: $MFTMirr

r/r 9-128-2: $Secure:$SDS

r/r 9-144-3: $Secure:$SDH

r/r 9-144-4: $Secure:$SII

r/r 10-128-1: $UpCase

r/r 3-128-3: $Volume

d/d 64-144-2: Ahnlab

d/d 65-144-2: A_First

d/d 69: $OrphanFiles

root@ubuntu:/volume# fls -f ntfs -p test_ntFs.dd 64-144-2

r/r 66-128-2: ahn.jpg

root@ubuntu:/volume# fls -f ntfs -p test_ntFs.dd 65-144-2

r/r 67-128-2: FIRST.jpg

r/r 68-128-2: nc.exe

root@ubuntu:/volume#

root@ubuntu:/volume# istat test_ntFs.dd 66-128-2

MFT Entry Header Values:

Entry: 66 Sequence: 1

$LogFile Sequence Number: 0

Allocated File

Links: 1

$STANDARD_INFORMATION Attribute Values:

Flags: Archive

Owner ID: 0

Security ID: 0 ()

Created: Tue Jul 5 19:27:04 2011

File Modified: Tue Jul 5 19:27:04 2011

MFT Modified: Tue Jul 5 19:27:04 2011

Accessed: Tue Jul 5 19:28:20 2011

$FILE_NAME Attribute Values:

Flags: Archive

Name: ahn.jpg

Parent MFT Entry: 64 Sequence: 1

Allocated Size: 0 Actual Size: 0

Created: Tue Jul 5 19:27:04 2011

File Modified: Tue Jul 5 19:27:04 2011

MFT Modified: Tue Jul 5 19:27:04 2011

Accessed: Tue Jul 5 19:27:04 2011

Attributes:

Type: $STANDARD_INFORMATION (16-0) Name: N/A Resident size: 48

Type: $FILE_NAME (48-3) Name: N/A Resident size: 80

Type: $SECURITY_DESCRIPTOR (80-1) Name: N/A Resident size: 80

type: $Data (128-2) name: $Data non-resident size: 11170 init_size: 11170

425 426 427

root@ubuntu:/volume#

root@ubuntu:/volume# icat test_ntFs.dd 66-128-2 | xxd | more

28

[그림 30] dd 명령어로 내보내진 파일 확인

$DATA의 내용을 확인한 결과 해당 데이터는 425, 426, 427 총

3개의 클러스터를 사용하는 것을 확인했다. 볼륨 이미지에서 425까

지 이동한 후에 3개의 클러스터를 자르면, 해당 파일을 확인할 수 있

다. 위 내용을 바탕으로 아래의 명령어를 수행했다.

아래 명령어에서는 b를 클러스터 크기만큼 입력하고 카운트

(count)를 3개(425, 426, 427 이렇게 3개이므로)로 입력했다.

명령어 결과, 아래와 같이 “Ahn안철수연구소”라는 문구가 있는

그림 파일을 얻을 수 있었다.

[그림 28] dd 명령어 정보

명령어 : dd if=INPUT of=OUTPUT bs=”Byte per Sector”

skip=”이미지에서 이동할 거리” count=”bs에 주어진 값과

count에 입력된 값을 곱한 만큼 잘라낸다”

[그림 29] dd 명령어로 JPG파일 내보내기

root@ubuntu:/volume# dd if=test_NTFS.dd of=ahnlab.jpg bs=4096 skip=425 count=3

3+0 records in

3+0 records out

12288 bytes (12 kB) copied, 0.000346528 s, 35.5 MB/s

root@ubuntu:/volume#

29

aHnlaB nEWs Business Record

안철수연구소, 사업다각화 ‘성공했다’

안철수연구소가 올해 상반기 매출액 433억 원, 영

업이익 71억 원을 각각 기록했다.

이번 상반기 매출액과 영업이익은 전년 동기 대비 각각 45.1%,

92.1% 대폭 증가한 실적이다. 2분기 실적만 비교해도, 전년 동기대비

매출액과 영업이익이 각각 49.5%와 84.8%로 큰 폭으로 증가했다. 이

처럼 매출액과 영업이익이 크게 증가한 것은 지난해 연구개발 역량에

집중한 결과 신기술을 바탕으로 차세대 보안제품 및 신규 보안서비스

등에서 새로운 성장동력을 확보한 결과로 분석된다.

이번 안철수연구소의 상반기 실적 고성장세를 주도한 견인차는

네트워크 보안사업이었다. 통합보안장비 ‘트러스가드(TrusGuard)’

등 네트워크 보안사업의 경우는 전년 동기 대비 300% 이상 대폭 성

장을 기록함으로써 이미 전년도 매출을 초과 달성한 데 이어 네트워크

보안시장 1위를 넘보는 강자로 등장했다.

또한 상반기 최대 보안사업이자 국내 최초의 전국 단위 망분리 프

로젝트였던 우정사업본부 망분리 사업을 수주했다. 이는 향후 2,000

억 원 이상 예상되는 공공 및 금융권 망분리 시장을 선점했다는 점에

서 그 의미가 크다.

이와 함께 세계적으로 앞선 첨단 기술을 적용한 산업용 보안솔루

션 ‘트러스라인(TrusLine)’의 경우 삼성, LG 등 글로벌 대기업의 다수

생산시설에 이미 공급돼 시장을 선도했다. 해외 공장 사업장에서도 큰

관심을 보이고 있어 해외 진출도 가시화될 것으로 전망된다. 안철수연

구소는 ‘트러스라인’의 기술력과 제품력이 검증된 만큼 제조업 생산라

인은 물론 화학, 의료, 철강, 자동차, 에너지 등 여러 주요 기간 생산시

설로 공급을 확대할 계획이다.

아울러, 지난 3ㆍ4 DDoS 대란 사례와 같은 사이버재난 위협에

대응하기 위한 좀비PC 차단 솔루션 ‘트러스와처(TrusWatcher)’도 상

반기 최대규모였던 교육과학부 사업 수주에 성공해 이 시장의 교두보

를 확보했다. 한편, 올해 최대 보안컨설팅 프로젝트였던 농협 컨설팅

을 수주한 것도 안철수연구소의 종합적 서비스 대응력이 높은 평가를

받은 결과이다. 이 같은 시장 움직임은 디도스 공격의 증가와 금융기

관 보안사고가 잇달아 발생해 신뢰할 수 있는 안철수연구소의 종합보

안 서비스 역량과 위상이 더욱 강화되면서 비즈니스에도 긍정적 영향

으로 나타난 것으로 분석된다.

이처럼 안철수연구소는 통합보안위협관리장비, DDoS 보안장비

등을 비롯한 ‘트러스가드’ 네트워크 보안사업의 고성장, 첨단 생산라

인 전용 보안서비스 ‘트러스라인’, HW/SW 통합형 망분리 가상화 솔

루션 ‘트러스존(TrusZone)’, 좀비PC 방지 솔루션 ‘트러스와처’ 등 신

규 전략 보안제품의 교두보 확보, 보안컨설팅 및 보안관제 보안서비

스 사업 활성화 등 여러 보안사업 분야에서 고른 성장세를 나타냈다.

또한 기존 V3 백신도 여전히 성장세를 이어가는 국내 1위 보안제품으

로서 안철수연구소의 캐시카우(Cash Cow) 역할을 톡톡히 하고 있다.

상반기 매출 433억 원ㆍ영업이익 71억 원

안철수연구소 분기별 실적

1,6472,187

1,737

2,9013,311

3,800

단위: 백만원

매출액

영업이익

14,590

1Q2010

15,311

2Q2010

16,103

3Q2010

23,772

4Q2010

20,494

1Q2011

22,897

2Q2011

2010년 1분기부터 2011년 2분기까지의 실적 변화

30

prODuCt issuE HackShield

핵쉴드, 게임 중 메모리 조작 ‘No!’

핵쉴드 탑재 신기술, 국내 특허 획득

안철수연구소는 최근 온라인게임 전용 보안 제품인 ‘핵쉴드(AhnLab

HackShield)’에 탑재하고 있는 신기술인 ‘메모리 조작유무를 감지하

는 방법 및 이를 이용한 장치’가 국내특허를 획득했다고 발표했다.

이번 특허 기술은 데이터 전송 시 오류를 체크하는 CRC(Cyclic

Redundancy Check, 순환중복검사)코드를 이용해 특정 실행파일이

메모리에서 작동할 때 코드 조작 여부를 파악하는 기술로, 보다 신속

하고 정확하게 메모리 조작 여부를 판단할 수 있다. 이 기술을 적용한

핵쉴드는 지속적으로 증가하고 있는 온라인게임 해킹에 빠르고 효과

적으로 대응할 수 있다.

온라인게임이 전세계적으로 인기를 끌면서 자신의 레벨 상승이

나 불법 아이템획득, 금전거래 등 공정한 게임 진행을 저해할 목적으

로 하는 해킹시도도 전세계적으로 꾸준히 증가하고 있다. 특히 이 중

가장 많은 비중을 차지하고 있는 메모리 조작은 실행파일이 동작하는

게임 메모리 상에 위치한 코드를 수정하여 게임의 원래 동작방식과 다

르게 동작하도록 하는 해킹 방식으로, 게임 도중에도 지속적으로 변

경이 가능해 많은 피해가 발생하고 있다.

현재 핵쉴드에 적용 중인 이번 특허 신기술은 데이터를 전송할 때

전송된 데이터에 오류가 있는지를 확인하기 위해 사용되는 CRC 방

식을 이용해 메모리조작 유무를 검사한다. 게임에 사용되는 특정 실행

파일(.exe 및 .dll 등)에 대한 원본 CRC값을 생성하고, 이 파일이 실행

되어 게임 메모리 상에 반영된 이후 주기적으로 CRC 값을 생성해 서

로 비교하여 일치 여부에 따라 메모리조작 유무를 판단하는 방식이다.

이번 기술을 통해 메모리 상에 지정된 파일이 반영된 이후 즉각

적으로 조작여부를 파악할 수 있기 때문에 신속한 메모리 보호가 가

능하며, 파일의 핵심적인 코드영역만을 크기 별로 나누어 검사함으로

써 시스템 성능 저하를 최소화하는 동시에 빠르고 정확한 검사를 수

행할 수 있다.

한편, ‘핵쉴드’는 정부 지정 ‘차세대 세계일류상품’으로서 특허 기

술을 기반으로 오토 마우스, 메모리 해킹, 스피드핵 등 다양한 해킹 및

속임수를 방지함으로써 게임 이용자의 공정한 게임 이용을 돕는 온라

인 게임보안 전용 솔루션이다. 국내외 온라인 게임 보안 솔루션 중 최

다 특허 기술을 보유했으며, 일본ㆍ인도네시아ㆍ브라질ㆍ미국ㆍ유

럽 등 국내외 200여 게임에 탑재되어 전세계에 공급 중이다.

안랩, 온라인 게임 해킹방지 기술 특허 획득

CRC (Cyclic Redundancy Check)

순환 중복 검사, CRC(cyclic redundancy check)는 네트워크 등을 통하여 데이터를 전송할 때 전송된 데이터에 오류가 있는지를 확인하기 위한 체크 값

을 결정하는 방식을 말한다. 데이터를 전송하기 전에 주어진 데이터의 값에 따라 CRC 값을 계산하여 데이터에 붙여 전송하고, 데이터 전송이 끝난 후 받

은 데이터의 값으로 다시 CRC 값을 계산하게 된다. 이어서 두 값을 비교하고, 이 두 값이 다르면 데이터 전송 과정에서 잡음 등에 의해 오류가 덧붙여 전

송된 것임을 알 수 있다.

안철수연구소 핵쉴드

31

prODuCt issuE Sefinity 3.0

IT 보안 위험 관리의 새 이름 ‘세피니티 3.0’

보안 솔루션 모니터링, IT 자산 취약점 관리, 위협

대응까지 종합적 서비스

안철수연구소는 7월 IT 보안 위협에 효과적으로 대응할 수 있는 차세

대 보안관제 서비스 ‘세피니티 3.0’[AhnLab Sefinity 3.0]을 출시했다.

‘세피니티 3.0’은 종전의 보안 솔루션 모니터링 중심 서비스에서

벗어나 보안 위협의 공격 대상이 되는 자산 정보 관리와 취약점 관리

영역까지 확장한 IT 보안 위험 관리 서비스’이다. 이는 여타 보안관제

서비스와 달리 실제 기술로 구현한 첫 사례이다.

즉, 세피니티 3.0 서비스는 기업의 네트워크 영역을 주기적으로

스캔하여 내/외부 공격의 대상이 되는 시스템 자산을 진단 식별한 후

ㆍ네트워크 내 취약점 정보를 모니터링 및 수집하여ㆍ이를 보안 솔루

션의 위협 이벤트와 정밀 상관 분석한다. 이로써 기업은 공격 대상 시

스템 자산 및 취약점 정보를 바탕으로 보안 위협에 효과적으로 대응해

자사의 보안 수준을 높일 수 있게 된다.

안철수연구소는 기존 IDS/IPS(침입탐지시스템/침입방지시스

템), UTM(통합위협관리시스템), 웹 애플리케이션 방화벽 이용 고객

사에 우선적으로 ‘세피니티 3.0’의 자산 및 취약점 관리 서비스를 추

가 제공할 계획이다. 기업 고객은 기본 월 1회 주기적으로 수행되는

자산/취약점 점검 서비스를 통해 자사의 IT 자산의 현황 및 취약점 현

황을 주기적으로 관리할 수 있다. 이에 따라 IDS/IPS, 웹 애플리케이

션 방화벽을 우회하는 공격을 방어함으로써 보안성을 강화할 수 있다.

안철수연구소는 중소규모 서비스 고객을 중심으로 단계적으로

서비스를 제공하고, 향후 일본에서도 출시해 보안관제 서비스의 글로

벌 사업을 적극 추진할 예정이다.

한편, 안철수연구소는 국내 최초로 보안관제 서비스를 선보인 선

두 기업으로서 금융, 제조, 인터넷 업계 등 다양한 환경의 수백 개 기

업 고객의 보안을 책임지고 운영해온 노하우와 기술력을 보유했다. 보

안 장비의 로그를 분석하는 일반적인 수준을 넘어 실시간 위협 정보를

토대로 보안관리 서비스를 제공한다. 이는 안철수연구소의 미래지향

적 ACCESS[AhnLab Cloud Computing E-Security Service] 체계

를 기반으로 한다. 아울러 악성코드 긴급 대응 조직인 ASEC[시큐리

티대응센터], CERT[침해사고대응센터]와 긴밀히 협조해 24시간 365

일 해킹과 악성코드 대응 등의 보안 위협을 실시간 예방/차단한다.

안철수연구소 보안서비스본부장 임영선 상무는 “안철수연구소는

1999년 국내외 보안 업계 최초로 보안관제 서비스를 공급한 이래 10

년 이상 안정적이고 신뢰도 높은 서비스를 제공하고 있다. 500여 원격

관제 고객사에서 검증된 축적된 기술력과 역량, 긴급 대응 체제로 파

견 관제 서비스도 적극 제공해나갈 계획이다”라고 강조했다.

차세대 보안관제 서비스‘세피니티 3.0’출시

안철수연구소 보안 관제 센터

32

statistiCs 2011년 6월 및 2분기 악성코드 통계

올 2분기, 트로이목마류 감염이 전체 43.7%

6월, 전월 대비 드롭퍼↑, 트로이목마↓

우선 지난 6월의 악성코드 감염보고 건수는 14,176,633건으로, 전

달 14,499,855건에 비해 323,222건이 감소하였다. 그 중에서도 감

염 보고된 악성코드 비율을 살펴보면 여전히 Textimage/Autorun이

1위를 차지하고 있으며 JS/Swflash와 JS/Redirect가 각각 2위와 3

위를 차지하였다.

악성코드 유형별 감염보고 비율을 전월과 비교하면 스크립트, 웜,

애드웨어(ADWARE), 드롭퍼(DROPPER), 바이러스(VIRUS), 다운

로더(DOWNLOADER)가 전월에 비해 증가세를 보이고 있는 반면

트로이목마(TROJAN), 스파이웨어(SPYWARE)는 전월에 비해 감

소한 것을 볼 수 있다. 애프케어(APPCARE) 계열들은 전월 수준을

유지하였다.

그러나 지난 6월의 감염보고 건수를 악성코드 유형별로 살펴보

면 트로이목마(Trojan)류가 35.6%로 가장 많은 비율을 차지하였으

며, 스크립트(SCRIPT)가 20.5%, 웜(WORM)이 13.3%로 각각 그

뒤를 이었다.

순위 등락 악성코드명 건수 비율

1 - textimage/autorun 769,481 20.1 %

2 nEW Js/swflash 471,178 12.3 %

3 - Js/redirect 448,794 11.7 %

4 ▲ 10 JS/Agent 288,339 7.5 %

5 nEW Swf/Agent 179,748 4.7 %

6 ▲ 1 Win32/Induc 169,286 4.4 %

7 nEW Html/Agent 162,166 4.2 %

8 nEW Html/Shellcode 132,246 3.5 %

9 nEW Swf/Cve-2011-0609 129,213 3.4 %

10 nEW Html/Flasher 127,948 3.3 %

11 ▼ 1 Win32/Palevo1.worm.Gen 127,260 3.3 %

12 nEW Win-Adware/Yint.1006080 114,618 3.0 %

13 ▼ 1 Win32/Conficker.worm.Gen 113,078 3.0 %

14 ▲ 1 Win32/Olala.worm 101,676 2.7 %

15 ▲ 1 Win32/Virut.f 92,780 2.4 %

16 ▲ 4 Dropper/Onlinegamehack5.Gen 80,659 2.1 %

17 nEW Win-Trojan/Onlinegamehack.274432.R 80,527 2.1 %

18 nEW Win32/Flystudio.worm.Gen 79,927 2.1 %

19 ▼ 8 JS/Cve-2010-0806 79,174 2.1 %

20 NEW Swf/Exploit 78,314 2.0 %

total 3,826,412 100 %

[표 1] 2011년 6월 악성코드 감염보고 Top 20

35.6%TROJAN TROJAN

SCRIPTWORMADWAREVIRUSDROPPERDOWNLOADERAPPCARESPYWAREETC

35.6%20.5%13.3%8.0%5.1%5.3%1.5%0.5%0.5%9.7%

20.5%SCRIPT

13.3%WORM

8.0%ADWARE

ADWARE+2.7% 8%

5.3% SCRIPT+4.1% 20.5%

16.4%

WORM+0.3% 13.3%

13.0%

ETC-0.1% 9.7%

9.8%

TROJAN-8.1% 35.6%

43.7%

DOWNLOADER+0.5% 1.5%

1.0%

DROPPER+0.4% 5.3%

4.9%

VIRUS+0.3% 5.1%

4.8%

APPCARE- 0.5%

0.5% SPYWARE-0.1% 0.5%

0.6%

CLICKER- 0%

0%

EXPLOIT- 0%

0%

[그림 1] 2011년 6월 악성코드 유형별 감염보고 비율

[그림 2] 2011년 6월 악성코드 유형별 감염보고 전월 비교

안철수연구소 시큐리티대응센터(ASEC)는 최근 ASEC Report Vol.18을 통해 지난 6월 악성코드 통계

및 이슈와 더불어 2011년 2분기 악성코드 동향을 전했다.

33

6월의 악성코드 이슈

1. SNS로 전파되는 맥 OS X 대상의 허위 백신

5월 15일 국외에서 애플(Apple)사의 맥(Mac) OS X를 감염시키는 허

위 백신인 맥 디펜더(Mac Defender)가 유명 소셜 네트워크(Social

Network)를 통해 전파되는 것이 발견되었다. [그림 3]과 같이 트위터

(Twitter)를 이용하여 맥 운영체제 사용자들을 대상으로 게임을 소개

하는 내용으로 위장한 메시지가 발송됐다.

메시지 본문에 단축 URL(URL Shortening)을 첨부하여 악의적

인 웹 사이트로 접속을 유도한다.사파리(Safari) 웹 브라우저를 사용

하는 맥 운영체제 사용자가 해당 단축 URL을 클릭하게 되면 특정 웹

사이트로 연결된다. 해당 웹 페이지는 기존 윈도 운영체제를 감염 대

상으로 하였던 허위 백신과 마찬가지로 시스템 전체를 검사하는 것처

럼 속인 뒤, 허위 진단 결과를 보여준다. 이어 맥 운영체제에서 실행되

는 특정 파일을 내려받도록 유도하여 허위 백신의 감염을 시도한다.

이에 애플(Apple)사는 맥 운영체제 사용자를 대상으로 유포된 허위

백신의 진단 및 탐지를 위해 보안 업데이트 'About Security Update

2011-003'을 배포하였다.

2. 허위 맥도날드 메일로 유포된 악성코드

맥도날드에서 발송하는 메일로 위장해 유포를 시도한 악성코드는 그

변형이 현재까지도 지속적으로 발견되고 있어 사용자의 각별한 주의

가 요구된다. 이 허위 맥도날드 메일은 무료 시식이 가능한 초대권이

첨부되었다며 사용자들의 첨부 파일 클릭을 유도한다. 생성된 파일은

[그림 4]와 같이 마이크로소프트 오피스 워드(Microsoft Office Word)

파일과 동일한 아이콘을 가지고 있다. 맥도날드에서 발송한 메일로 위

장한 악성코드는 지속적인 변형들이 발견되고 있다.

2011년 2분기 악성코드 동향

지난 2분기 악성코드 감염 보고를 살펴보면 Textimage/Autorun

이 역시 1위를 차지하고 있으며, JS/Redirect와 JS/Agent가 각각 2

위와 3위를 차지하였다. [표 2]는 2011년 2분기 악성코드 감염보고

Top 20으로, 이 중 지난 분기 대비 새롭게 Top 20에 진입한 악성코

드는 총 7건이다.

지난 2분기 악성코드의 동향은 악성코드별 변종을 종합한 [표 3]

의 2011년 2분기 악성코드 대표진단명 감염보고 Top 20을 통해 파

악할 수 있다. 이에 따르면 Win-Trojan/Onlinegamehack이 총 보고

건수 3,952,884건으로 전체의 16%로 1위를 차지하고 있어 지난 2

분기 동안 주된 사용자 피해를 야기했음을 알 수 있다. 그 다음으로

는 Textimage/Autorun이 2,748,919건으로 11.1%, Win-Trojan/

Downloader가 2,380,410건으로 9.7%를 차지하여 각각 2위와 3위

에 올랐다.

[그림 3] 게임을 소개하는 내용으로 위장한 트위터 메시지

[그림 4] 맥도날드 무료 시식 초대권으로 위장한 파일

순위 등락 악성코드명 건수 비율

1 - textimage/autorun 2,748,503 25.3 %

2 ▲ 17 Js/redirect 1,279,942 11.8 %

3 - Js/agent 819,564 7.5 %

4 nEW Win-Trojan/Overtls27.Gen 717,230 6.6 %

5 ▼ 3 Win32/Induc 582,032 5.4 %

6 nEW JS/Swflash 471,178 4.3 %

7 nEW Swf/Downloader 471,157 4.3 %

8 ▲ 3 Win32/Palevo1.worm.Gen 412,263 3.8 %

9 nEW Win-Trojan/Winsoft.78981.CIB 410,061 3.8 %

10 ▲ 2 Win32/Conficker.worm.Gen 346,072 3.2 %

11 ▼ 4 JS/Exploit 322,724 3.0 %

12 ▲ 1 Win32/Olala.worm 311,431 2.9 %

13 ▲ 7 Win32/Virut.f 277,572 2.6 %

14 ▲ 3 JS/Downloader 273,247 2.5 %

15 ▼ 7 Win32/Parite 261,891 2.4 %

16 ▼ 6 JS/Cve-2010-0806 247,285 2.3 %

17 nEW Win32/Flystudio.worm.Gen 245,535 2.3 %

18 nEW Als/Pasdoc 232,616 2.1 %

19 nEW Win-Trojan/Downloader.156565 224,634 2.1 %

20 ▼ 5 VBS/Solow.Gen 224,007 2.1 %

total 10,878,944 100 %

순위 등락 악성코드명 건수 비율

1 - Win-trojan/Onlinegamehack 3,952,884 16.0 %

2 - textimage/autorun 2,748,919 11.1 %

3 - Win-trojan/Downloader 2,380,410 9.7 %

4 ▲ 1 Win-Trojan/Winsoft 2,320,400 9.4 %

5 ▼ 1 Win-Trojan/Agent 1,989,893 8.1 %

6 nEW JS/Redirect 1,279,942 5.2 %

7 ▲ 1 Win32/Conficker 1,148,246 4.7 %

8 ▼ 1 Win32/Autorun.worm 1,111,769 4.5 %

9 ▲ 1 Win32/Virut 930,167 3.8 %

10 nEW Dropper/Malware 887,162 3.6 %

11 ▲ 4 JS/Agent 819,565 3.3 %

12 ▲ 1 Win32/Kido 728,155 3.0 %

13 nEW Win-Trojan/Overtls27 717,230 2.9 %

14 ▼ 1 Win-Adware/Koradware 597,972 2.4 %

15 ▼ 5 Win32/Induc 582,417 2.4 %

16 - Dropper/Onlinegamehack 555,317 2.3 %

17 ▲ 1 Win32/Palevo 490,828 2.0 %

18 ▲ 1 VBS/Solow 478,935 1.9 %

19 nEW JS/Swflash 471,178 1.9 %

20 nEW Swf/Downloader 471,159 1.9 %

total 24,662,548 100 %

[표 2] 2011년 2분기 악성코드 감염보고 Top 20

[표 3] 2011년 2분기 악성코드 대표진단명 감염보고 Top 20

34

[그림 5]의 지난 2분기 악성코드 유형별 감염보고건수 비율을 살

펴보면 트로이목마류가 43.7%로 가장 많은 비율을 차지하고 있으

며, 다음으로 스크립트가 15.6%, 웜이 12.8%의 비율을 각각 차지

하고 있다.

또한 2분기에 발견된 신종 악성코드 역시 [그림 6]과 같이 트로이

목마류가 44%의 비율로 가장 많았다. 그 뒤를 이어 스크립트가 18%,

웜이 10% 비율을 보였다. 그러나 2분기에 감염이 보고된 신종 악성코

드는 TextImage/Autorun으로, 총 2,745,002건의 감염이 보고돼 전

체 26.1%의 비율로 1위를 차지하였다.

한편 ASEC Report Vol.18은 올 2분기 국내 악성코드 이슈로

모바일 악성코드의 증가 및 지능화를 꼽았다. 또한 해외의 2분기 악

성코드 동향으로는 일본의 지속적인 컨피커 웜 피해 발생을 비롯해

맥 OSX를 노리는 악성코드의 증가 등을 전했다. 더 자세한 내용은

ASEC Report 홈페이지(http://www.ahnlab.com/kr/site/securi-

tycenter/asec/asecReportView.do?groupCode=VNI001)에서 확

인할 수 있다.

VIRUSDOWNLOADERSPYWAREAPPCAREETC

4.8%1.2%0.6%0.5%9.7%

43.7%TROJAN

15.6%SCRIPT

12.8%WORM

6.0%ADWARE

5.1%DROPPER

EXPLOITSPYWAREAPPACREDOWNLOADERETC

1%1%1%1%10%

44% TROJAN18% SCRIPT

10% WORM7% ADWARE5% VIRUS5% DROPPER

[그림 5] 2011년 2분기 악성코드 유형별 감염보고 비율

[그림 6] 2011년 2분기 악성코드 유형별 감염보고 비율

35

WHat's HappEninG On aHnlaB's tWittErs

안철수연구소@AhnLab_man

asEC AhnLab Security Emergency response Center@ASEC_TFT

개인정보보호 Personal Information Consulting@AhnLabPIC

김홍선 CEO@hongsunkim

CErt Computer Emergency Response Team@AhnLab_CERT

안철수연구소 트위터

보안경보

CErt@AhnLab_CERT온라인 동영상 스트리밍 플레이어로 위장하여 SMS 발송으

로 과금을 일으키는 안드로이드 악성코드가 발견되어 주의

가 필요합니다. V3 Mobile 제품군에서 진단, 치료가 가능하

며 자세한 내용은http://t.co/mPpeliT 를 참고해 주세요~

2011-07-20

CErt@AhnLab_CERT안드로이드 게임 ‘FastRacing’으로 위장하여, 사용자 폰

의 SMS 발신/수신 내역을 감시하고, 특정 서버로 민감한 정

보를 전송하는 GoldDream 악성코드가 발견되었습니다. 자

세한 내용은 http://t.co/uBtJ33O 참고해 주세요~

2011-07-07

CErt@AhnLab_CERT최근 들어 실제 백신 프로그램으로 위장한 가짜 백신 프로그

램이 성행하고 있어 이용자들의 피해가 우려되고 있습니다.

http://t.co/faxOBcQ

2011-07-18

asEC@ASEC_TFT13일 새벽에 발견된 온라인 게임 안내 메일로 위장한 악성

코드는 해외에서 제작된 허위 백신 감염을 시도합니다. 자

세한 정보는 ASEC 블로그 http://ow.ly/5D9AL 참고하세요

#krsec

2011-07-13asEC@ASEC_TFT13일 2가지 형태의 악성코드가 첨부된 스팸 메일이 유포 중

에 있습니다. 잘 알지 못하는 사람이 보낸 메일에 첨부된 파

일들을 주의하세요 #krsec

2011-07-13

asEC@ASEC_TFT블루스크린을 유발하였던 ws2help.dll을 변경하는 온라인 게

임 관련 사용자 정보를 탈취하는 악성코드에 대한 분석 정

보가 ASEC 블로그 http://ow.ly/5zAyO 에 게시되었습니다.

#krsec

2011-07-08

asEC@ASEC_TFT어도비 플래시 플레이어의 CVE-2011-2110 취약점을 악용

한 악성코드 유포가 다시 증가하고 있습니다. ASEC 블로그

http://ow.ly/5w39v 참고하셔서 주의하세요. #krsec

2011-07-04

안랩소식

안철수연구소@AhnLab_man김홍선대표가 7.7 디도스 2주년을 맞아 사이버위협을 조명

한 CNN의 뉴스에 등장했습니다 http://ow.ly/5LvOR

2011-07-23안철수연구소@AhnLab_man소셜게임 선두주자 노리타운스튜디오에서 해피아이돌을 확!

바꿨습니다 :) http://t.co/jNy8Shp 해피아이돌 시즌2!

2011-07-12

개인정보보호@AhnLabPICAhnLabPIC Personal information

"카카오톡 PC버전 나왔어요”… 알고 보니 돈 빼

가는 ‘피싱’ ht tp://news.donga.com/Society/

New/3/03/20110710/38697983/1 [동아일보]

2011-07-11

36

WHat's HappEninG On aHnlaB's tWittErs

읽을거리

안철수연구소@AhnLab_man[보안세미나중계] 은행 선택 시 보안 등급도 판단 기준 되어

야 http://ow.ly/5JAPG 2011 금융보안 그랜드 콘퍼런스의

내용입니다

2011-07-21

안철수연구소@AhnLab_man안철수가 제시하는 우리 사회 양극화의 해법 http://

ow.ly/5KvAc

2011-07-22

안철수연구소@AhnLab_man올 여름 볼 만한 공포영화보다 재미있는 해킹영화 10선

http://ow.ly/5CYTW 악성 해커는 언제나 망합니다 : )

2011-07-13

안철수연구소@AhnLab_man피싱 범죄, 상상 초월 국경 초월 충격 실태 ht tp://

ow.ly/5zlaB 저희 대학생기자가 직접 국제 피싱에 피해자인

척 잠입취재(?)한 생생실화!

2011-07-08

안철수연구소@AhnLab_man한류의 중심 문광부 사이버 보안 현장 가보니 http://

ow.ly/5HBvx 정말 좋은 시설이었어요~

2011-07-19

안철수연구소@AhnLab_man김홍선 안랩, '아메바 경영'으로 벤처정신 계승할 것 http://

ow.ly/5ytXl

2011-07-07안철수연구소@AhnLab_man오늘은 2009년 7.7 디도스 대란 2주년이네요. 7.7 디도스 2

주년, 숨은 공신을 만나다 http://ow.ly/5yqEA 다행히 아직

큰 이상은 감지되고 있지 않습니다.

2011-07-07

안철수연구소@AhnLab_man매경이코노미에서 선정한 `한국의 경영구루`에 안철수교수가

1위로 뽑혔습니다 http://ow.ly/5ypGA

2011-07-07

김홍선 CEO@hongsunkim"안철수연구소, 데이터 품질 관리의 중요성을 인지하고 전사

차원 DA 구축을 성공적으로 추진한 스마트 경영의 모범 사

례로 비투엔컨설팅 리더쉽 어워드 수상" http://bit.ly/nqlPGS

감사합니다!

2011-07-08

김홍선 CEO@hongsunkim"아시아로 확산되는 진정한 모바일 혁명" [에릭슈미트 구글

회장] - '아시아는 오랫동안 모바일 인터넷기술의 혁신 주자'

http://bit.ly/oYj9MA 카카오톡, 어썸노트 만드는 한국개발자

들에게 기회인 개방형구조

2011-07-23

김홍선 CEO@hongsunkim"임재범 콘서트 후 IT 스토리텔링 스친 이유" - 오랜만에 블

로그 포스팅했습니다. http://bit.ly/oAUH4I 주말에 작성했는

데 망설이다가 오늘 아침에 올렸습니다.

2011-07-13

김홍선 CEO@hongsunkim중소기업의 어려움을 얘기하면 "기술 개발해서 경쟁력을 높

이라"는 얘기들을 하지요. 맞는 얘기입니다만, 중소기업이 처

한 환경을 직접 한번 보셨으면 합니다. 어느 정도 제품을 제

값 쳐주고 인정해주어야 돈 아껴서 투자하지요

2011-07-05

김홍선 CEO@hongsunkim[KOREA REPORT] 글로벌 기업으로 '우뚝', 안철수연구소의

경영 전략 [동영상] http://bit.ly/rikL05 CNBC 인터뷰 내용입

니다. 참조하십시오.

2011-07-07

CErt@AhnLab_CERT세피니티 3.0에서는 자산 정보 관리와 취약점 관리영역이

추가되었습니다. RT @AhnLab_man: 점점 중요해지는 보안

관제, 보안위협에 효과적으로 대응할 수 있는 차세대 보안관

제 서비스 ‘세피니티 3.0’출시http://ow.ly/5xtLh

2011-07-06

발행인 : 김홍선

발행처 : 안철수연구소

서울시 영등포구 여의도동 12 CCMM빌딩 6층 T. 02-2186-6000 F. 02-2186-6100

편집인 : 안철수연구소 마케팅실

디자인 : 안철수연구소 UX디자인팀

Copyright (C) AhnLab, Inc. 2011 All rights reserved.

본 간행물의 어떤 부분도 안철수연구소의 서면 동의 없이 복제, 복사, 검색

시스템으로 저장 또는 전송될 수 없습니다. 안랩, 안랩로고는 안철수연구소

의 등록상표입니다. 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표

또는 등록 상표일 수 있습니다. 본 문서에 수록된 정보는 고지없이 변경될

수 있습니다.