악성코드 동향 및 대응 방안

ASEC Unit.

안철수연구소

장 영 준

악성 코드 동향 및 대응 방안

목 차

악성 코드 흐름

악성 코드 동향

악성 코드 대응 방안

악성 코드 흐름

악성 코드의 진화

컴퓨터 사용량 증가, 네트워크 가속화

=> 악성 코드가 생존하기 위한 조건

1998년 최초의 활성웜(Active Worm), 웜의 전신이 되고 있음

기반환경에 따라 웜들이 사용하는 기법과 전파의 범위가 다름

악성 코드 종류의 다양화

주체

과거 : 피해자 <-> 가해자

현재 : 피해자 = 가해자

최근 악성 코드의 주요코드 : 확산

발생건수와

피해 규모

악성 코드

피해 유형

악성 코드

확산 유형

단위 악성 코드 당

확산 영역 확대

네트워크를 통한 급속한

확산이 피해의 기본 전제

확산 경로의 다양화

및 복합화

배경

KEY

POINT : 확산

악성 코드 라이프사이클

확산 및 시간을 중심으로 한 바이러스 라이프사이클

생성 급속

확산

초기

확산

급속

감소 잔존 소멸

상기 Flow는 최근에 주로 발견되는 악성 코드를 ‘확산’ 기준으로 분석한 것임.

특 징 확산을 저지하면, 피해 규모가 급격히 축소.

바이러스는 스스로 소멸되지 않음.

급속감소는 바이러스 백신업체의 대응에 기인.

최근 악성 코드의 위협 증가 요인

네트워크 발달 속도의 증가로 악성 코드의 확산력 증대

악성 코드의 피해자가 다른 시스템 감염과 공격으로 이어지

는 가해자로 이어짐

사용자(관리자)들의 보안의식 미비 - 윈도우 로그인 암호 null, 유추하기 쉬운 암호가 일반적

- 취약성 패치 파일에 대한 무관심

전산자원의 증가로 방치되는 시스템들의 증가

개인 사용자 시스템의 보안위협에 무방비(관리지식 부족)

악성 코드의 기술적 동향

취약성을 이용하여 수동적인 전파형태에서 능동적인 전파 및 감염 형태로 변화

(사용자가 의도하지 않아도 스스로 전파 및 감염)

- Slammer, Blaster, Welchia, IRCBot 등

특정 어플리케이션 사용자 증가로 인한 악성 코드의 증가

메신저 웜, P2P 웜

인터넷 웜과 트로이목마의 복합 형태 발생 및 공격 유형 급증

윈도우 관리목적 공유폴더 / 취약성을 이용한 악성 코드 증가 - 윈도우 로그인 암호 null, 유추하기 쉬운 암호

- 취약성 패치파일에 대한 사용자들의 무관심

신종 악성 코드 유형별 동향

트로이 목마 대폭증가 - 정보유출 및 DoS(Denial of Service) Agent 로 사용

인스턴트 메시징 프로그램 및 P2P 공유 프로그램 관련 웜 증가 - 관련 어플리케이션 사용자 증가

복합적인 위협증가 - 바이러스 + 웜 + 트로이목마(백도어) 또는

- 웜 + 트로이목마(백도어) 형태증가

윈도우 바이러스 감소 - 다른 악성코드보다 제작의 어려움

악성 IRC 관련 트로이목마 대폭 증가 - SdBot, Randex

자동화된 트로이 목마 설치 툴로 발전 (배치파일 -> 고급언어로 구현)

국산 스팸 메일러 등장

- SystEntry , NeoMailer

악성코드의 계속적인 발전

인터넷 시대, 웜의 위험성

Source:



특 징

악성 코드의 수적 증가

악성 IRC봇 급증

은폐형 악성 코드 증가

스파이 웨어 위협 증가

다양한 보안 취약점 이용

금전적 이득을 위한 악성 코드 제작 증가

악성 코드 동향 – 악성 코드 수적 증가

악성 코드 수적 증가

2005년 4월 까지 전 세계적으로 10만개 이상 발견 추정

최소 : 7 만개 이상

최대 : 15만개 이상

활동하는 악성 코드 수 3000 개 이상 추정

2개 지역 이상 활동 보고 : 413 개 (2005년 2월)

1개 지역 활동 보고 : 1911 개 (2005년 2월)

악성 코드 동향 – 악성 IRC봇 급증

Agobot 감염 PC

Internet

IRC Server

Bot Command Send

(DDoS, SyncFlooding, ...)

공격대상 PC

(RPC 취약점 존재)

(Weak Password 존재)

TCP/135, 445

Port Attack

IRC Connection

(TCP/6667~6670, 7000,8000)

TCP/135, 445 port Attack

TCP/135, 445

Port Attack

Destination IP Address Rules:

{Local_IP or Random C-class}.{1~255}

악성 IRC봇 특징

관리목적 공유 폴더의 암호 취약점 공격

알려진 윈도우의 취약점 공격

특정 IRC 서버 접속 후 오퍼(방장)의 명령 수행

(Trojan Horse + Backdoor + DDoS 공격 + SynFlooding Attack..)

특정 프로그램 실행 종료

특정 보안 프로그램 실행 불능 / 예방 기능 무력화 / 삭제

보안 프로그램 업데이트 기능 방해

특정 어플리케이션의 설치키 유출

네트워크 과다 트래픽 발생으로 인한 네트워크 다운

(지점 업무 및 생산 라인 가동 장애 / 중지)

완전 방역까지 많은 시간 소요


악성 IRCBot 변종 급증 원인

커뮤니티를 이용한 제작자간의 조직적 활동

스크립트 키드 활동

상호 경쟁, 소스 코드 및 제작 기술 공유

실행압축 프로그램들을 이용한 손쉬운 변형 제작

Windows NT 기반 시스템 확산

Windows 2000 Pro / Windows XP Pro

일반 사용자들의 시스템 관리 지식 부족

암호 관리 취약점 및 보안패치 미 적용


악성 코드 동향 – 은폐형 악성 코드 증가

진단 / 치료가 곤란한 악성 코드 증가

메모리 형태로만 존재

리모트 스레드 형태로 기생

커널 모드 백도어

커널 드라이버 를 이용한 네이티브 API 후킹 기법

웹브라우저와 함께 구동 (BHO 형태 : Browser Helper Object)

스텔스 기법 사용

다양한 Win32 API를 가로채서 자신의 존재를 숨김

악성 코드 동향 – 스파이 웨어 위협 증가

특 징

2004년 이후 피해 사례 급증

개인 이외에 업체에서 제작한 것으로 인한 피해도 다수 발생

예기치 않은 시스템 이상 동작 증상 등 많은 부작용 초래

사용자가 원치 않는 웹브라우저 시작 화면 고정

바탕화면의 아이콘 자동 생성

검색 키워드의 가로채기를 통한 특정사이트 연결

잦은 브라우저 실행 오류

인터넷 서핑 시 갑작스런 성인, 대출광고 팝업 및 자동 연결

알 수 없는 컴퓨터의 느려짐 등

문제 해결 곤란, 시스템 초기화 등 많은 부작용 초래

문제점

컴퓨터 바이러스나 웜과 같은 진단 구분 불명확

애드웨어, 키로거, 스파이웨어, 트랙웨어 등 새로운 영역 등장

보안 회사별 악성 코드 정의, 분석 내용 다름

진단 기준, 위험도 정의 애매

치 료

단순 파일, 레지스트리 삭제만으로 완전 치료 곤란

치료 후 증상 재발 또는 시스템 불안정 등의 부작용 발생

지나친 과금 위주의 정책으로 인한 사용자 불신

악성 코드 동향 – 스파이 웨어 위협 증가

악성 코드 동향 – 다양한 보안 취약점 이용

다양한 보안 취약점 이용

윈도우 95 출시 이후 OS에 대한 취약점 공격 증가

아웃룩을 활용한 이메일 바이러스

각종 어플리케이션 및 웹 브라우저의 보안 취약점

윈도우 XP 서비스팩 2의 보안 기능 무력화

베이글 웜 변형 – 윈도우 방화벽 기능 off

자피 웜 변형 – 레지스트리 값 변경으로 방화벽과

보안센터 기능 마비

악성 코드 동향 – 금전적 이득을 위한 악성 코드 제작 증가

금전적 이득을 위한 악성 코드

스팸 메일 발송

개인 시스템에 광고 프로그램(애드웨어) 설치

사용자 모르게 배너 광고 클릭

게임 계정/비밀번호 훔쳐냄

예) 소빅 웜, 베이글 웜 등을 통한 스팸 메일 발송

스미백 웜 - 성인 사이트 광고를 포함

리니지핵 트로이목마 - 리니지 게임 계정/비밀번호 훔쳐냄

악성 코드 동향 – 국내 현황

악성코드

발생건수

* 특히 2003년부터 악성코드 개수, 피해 규모 급증

피해 규모

악성 코드 동향 – 국내 신종 발견 수

2003, 2004년 월 신종(변형)악성코드 발견건수

85113 118

72 72 85 77

130 11693

123155

121

286 280

522

360

464 475 462

629

371

329

107

0

100

200

300

400

500

600

700

1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월

2003년

2004년

악성 코드 동향 – 국내 피해 현황

월 문의건수

2680 2234 2369 30874185

2993 2652

8290

15612

5339

13380

8840

55806641

5147 5633

22104 22209

15205

7284

3910 3199 26201007

0

5000

10000

15000

20000

25000

1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월

2003년

2004년

악성 코드 동향 – 2003년 vs. 2004년

2003년

2004년

1. 변종 급증

IRCBot 기반의 변종 다수 등장

웜 급증 / 바이러스 급감

공유폴더, P2P 프로그램 보안 허점 악용

보안 제품 기능 무력화

2. 전자메일 다량 발송 / 네트워크 부하 유발

3. OS 및 응용프로그램 보안 취약점 악용

4. 진단 / 치료가 어려운 종류 증가

5. 마이크로소프트사에 대한 지속적인 공격

6. 애드웨어 /스파이웨어 / 스팸 등의 증가로 인한 직/간접적인 피해 증가

악성 코드 동향 – 2004년의 특징

악성코드 명칭 신고

건수

1 Win32/Netsky.worm.29568 19,708

2 Win32/Dumaru.Worm.9234 11,074

3 Win32/Netsky.Worm.17424 6,571




공격자는 단 하나의 취약점만 알아도 된다.

방어자는 모든 위치를 방어해야 한다.

공격자는 아무 때나 공격할 수 있다.

1. 공격자 vs. 방어자

3. 보안 vs. 사용 편의성

보안 솔루션 / 시스템은 사용이 쉽지 않다.

복잡하고 강력한 암호는 기억하기 어렵다.

사용자는 간단 / 단순한 암호를 선호한다.

나도 보안이

필요한가?

2. 한 발 늦는 보안 조치

보안은 비즈니스적인 관점에서 중요도가 떨어지는 일이라고 생각한다.

방어자에게는 시간과 비용이 제한되어 있다.


악성 코드 대응 방안 - 대응이 어려운 이유 1


급증하는 보안 취약점 vs. (상대적으로) 느린 대응 속도

다양한 보안 취약점에 대한 대응 및 정보 수집 곤란

보안 패치 관리 곤란(패치 후 안정성 확보에 대한 의문)

근본적인 보안 취약점 대응을 위한 사용자의 더딘 대응 + 무관심

일반 사용자들의 보안 의식 향상 속도를 앞지르는 악성코드의 변신

다양한 확산 경로

전자메일, 보안취약점, 사내 네트워크, 어플리케이션, P2P, 메신저..

근본적인 100% 사전 차단 곤란 -> 피해 최소화를 위한 대안 필요

악성코드 종류의 확대

피싱, 키로거, 애드웨어, 스파이웨어, 트랙웨어, 각종 유해가능 프로그램..

백신(보안) 업계의 기본적인 대응 시간


정기적인 백업은 필수적이다.

신뢰할 수 없는 사이트는 이용하지 않는다.

의심가는 프로그램은 사용하지 않는다.

공용 PC(게임방 등) 사용시 아이디/암호는 저장을 자제한다.

암호는 다양하게 관리한다.

전자메일 첨부 파일은 기본적으로 바로 실행하지 않는다.

백신 프로그램 사용은 기본이다. 단, 항상 최신버전을 사용한다.

온라인상에서 개인정보 공개는 자제한다.

중요한 문서는 암호화해 놓는다.

보안 문제 발생시 사내 보안 체계를 준수한다.

악성 코드 대응 방안 – 대응 방법

급속한 확산 중인 악성 코드에 어떻게 대응 할 것인가.

어떠한 방법으로 급속 확산 중인 악성 코드를 차단할 것인가.

알려지지 않은 악성 코드를 어떻게 탐지 할 것인가

어떠한 행동 유형과 형태를 악성 코드로 판단 할 것인가

악성 코드 대응 방안 – 연구 과제

Conclusion

Thanks for your attention

Technology

악성코드 동향 및 대응 방안