1. 2009년 상반기 보안 위협 동향

2009년 상반기 보안 위협 동향

2009.10.20

㈜ 안철수연구소

ASEC (AhnLab Security Emergency response Center)

Anti-Virus Researcher, CISSP

장 영 준 주임 연구원

Copyright (C) AhnLab, Inc. 1988-2009. All rights reserved.

목 차

1. 악성 코드의 위협

2. 2009년 상반기 보안 위협 동향

3. 악성 코드의 보안 위협 사례

4. 사이버 블랙 마켓과 보안 위협

5. 보안 위협에 대한 대응 방안



Copyright (C) AhnLab, Inc. 1988-2009. All rights reserved.4

Ⅰ. 악성코드 개요

제작자가 의도적으로 사용자에게 피해를 주고자 만든 모든

악의적인 목적을 가진 프로그램 및 매크로, 스크립트 등

컴퓨터상에서 작동하는 모든 실행 가능한 형태


1) 악성 코드의 정의


자기 자신 혹은 자신의 변형을 복제

감염 대상 반드시 존재

시스템 및 데이터 자체에 대한 피해

사용자 작업 지연 혹은 방해

바이러스

자기 복제 능력 없고 정상 프로그램 위장

특정 조건 및 배포자의 의도에 따라 동작

개인 정보 유출, 감염 대상 원격 조정

주요 해킹 툴 유포 방법

트로이 목마

네트워크를 통한 자기 복제

매우 빠른 시간 안에 피해 확산

E-Mail, Messenger, P2P등 다양한 감염경로

Trojan과 악의적인 기능은 유사

웜

Spyware (사용자 정보 수집)

Adware (광고목적 제작)

Hoax (심리적 위협/불안 조장)

Joke (재미 및 흥미 위주로 제작)

기타

특성종류 주요 목적

피해 가능성

자기복제

감염대상 대책

바이러스 데이터 손실/삭제, 손상 O O O 치료( 복원, 복구)

웜 급속 확산 O O X 삭제 (차단-개인 방화벽)

트로이 목마 데이터 손실/유출 O X X 삭제

유해가능

프로그램사용 불편, 심리적 거부 △ X X 삭제 (수동 or 툴)


2) 악성 코드의 분류


~ 1995 1996 ~ 2000 2001 ~2005 2006 ~

느린 감염호기심, 자기과시

빠른 감염호기심, 자기과시

Zero-Day 공격금젂적인 목적

• Files Virus• Boot Virus

• Macro Virus• Script Virus

• Worm• Spyware• Spam• Phishing• BotNet• Rootkit

LANInternet Internet

범죄화금젂적 목적/조직적

Targeted 공격

쉽고 빠른 변형 제작

•Trojans

•사회 공학 기법

•복잡성, 고도화

•배포 방법 다양화

WEB, P2P, USBMulti-Media 서비스


3) 악성 코드 위협의 변화


OS 취약한 보안 설정 및 홖경

OS와 일반 프로그램의 취약점

이동형 저장 장치

P2P 프로그램

파일 다운로드

젂자 메일

인스턴트 메시징 프로그램

웹 사이트 방문

ComputerSystem


4) 악성 코드 주요 감염 경로

7

http://images.google.co.kr/imgres?imgurl=http://www.kenneyjacob.com/wp-content/uploads/2007/10/p2p.gif&imgrefurl=http://www.kenneyjacob.com/2007/10/26/p2p-also-part-of-web-20/&usg=__oVcQUs5HHTOB8_iyLlG_4XbbfCQ=&h=434&w=867&sz=27&hl=ko&start=33&um=1&tbnid=nnAIMPKex6iidM:&tbnh=73&tbnw=145&prev=/images?q=P2P&ndsp=21&complete=1&hl=ko&lr=&sa=N&start=21&um=1&newwindow=1



5) 악성 코드의 심리적 공격

8


보안위협

공격 기법

• 조직적, 복합적 공격

• 제로데이 공격 가속화

공격 대상

• 국지적 공격

• 공격 대상 타겟팅

공격 목적

• 금전적 이득

• 사이버 블랙 마켓

• 악성코드 급격한 증가

1. 악성코드의 위협

6) 악성 코드의 제작 형태 변화

9




1) 상반기 악성 코드 발견 수치


11


2) 상반기 악성 코드 유형별 분포

2. 2009년 1분기 보안 위협 동향

12

- 개인 정보 유출을 목적으로 하는 트로이목마 형태가 대부분

- 2009년 상반기에는 스팸 메일을 발송하는 스팸봇(SpamBot) 형태 증가


3) 월별 애드웨어 및 스파이웨어 피해


13

- PC Antispware 2010과 같은 허위 백신의 감염이 지속적으로 증가 추세


4) 월별 악성코드 유포 웹 사이트


14

- 일본 검블러(Gumblar) 사례와 같이 웹 익스플로잇 툴킷(Web Exploit Toolkit) 등을이용한 악성코드 유포가 증가 추세


5) 취약점 공격에 악용 되는 소프트웨어


15

- 전자 문서 중 어도비(Adobe) PDF 파일의 취약점악용 사례가 지속적으로 증가 추세




감염 국가 중 한국 5위

전세계적으로 190만대 감염 [Conficker 웜 감염 경로]

1. 컨피커 웜 (Conficker.worm)

• 다양한 감염 경로를 활용

• MS09-087 취약점, 네트워크 공유 폴더, USB 자동 실행

• 최초 USB를 통한 내부 네트워크 감염 사례가 많았음

• 보안 제품과 중요 윈도우 서비스 무력화 기능

• 보안 사이트 접속 방해

• 자기 보호로 인하여 진단 및 치료 어려움


17


2. 웹 사이트 이용 악성코드 유포

• 웹 활용도가 높아짐에 따라, 웹 기반 공격도 계속 증가 추세

• 웹 응용 프로그램의 제로 데이 공격

• 자동화된 웹 공격 도구로 쉽게 악용 가능

• 취약한 웹 서버 자동 공격 툴

• 취약점 공격도구 및 악성코드 생성기

• 개인 정보 유출 형태 트로이 목마 유포에 악용

[웹 사이트를 이용한 악성코드 유포] [취약한 웹 서버 자동 공격 툴]


18


3. 전자 메일 이용 악성코드 유포

• 전자 메일을 이용한 악성코드 유포

• 악성코드 유포지 URL, 혹은 악성코드 첨부 형태

• 사회 공학적 기법 악용 사회적 이슈를 주제로 다룸

• 발렌 타인 데이 카드 위장 (1/29, 2/10)

• 로이터 통신 위장 (3/17)

• 에어 프랑스 447편의 추락 (6/18)

• 허위 아웃룩 업데이트 메일 위장 (6/24)

• 마이클 잭슨 사망 악용 (6/26)


19

[전자 메일에 첨부 또는 링크 형태로 유포]


4. Targeted Attack

(전자메일 + 전자 문서 취약점)

• 사회 공학적 기법 이용, 특정 단체의 일부 구성원들에게만 전자 메일 유포

• 공격자는 이미 공격대상에 대해 파악

• 관공서 등을 사칭하여 신뢰 할 수 있는 인물로 위장

• 제로 데이 취약점과 정보 유출 트로이목마의 연계

• 전자 문서 프로그램 (MS 오피스와 Adobe PDF 등)의 제로 데이 취약점을

주로 악용

• 취약한 전자 문서 파일 통해 키로깅 및 원격제어 형태의 트로이목마에

자동 감염으로 개인 정보 유출

[허위 보안 업데이트 메일 위장] [허위 고소장 메일로 위장]


20


5. 메신저 악용

• 국내, 외 유명 메신저를 통한 전파

• 그림 파일인 것처럼 위장하여 사용자 속임

• 악성코드 유포 URL을 버디리스트로 메시지 및 쪽지 발송

• 탈취한 계정 정보를 이용하여 지인 사칭 후 버디 리스트의 사람들로부터

금품 요구 등 사기 증가

• 보이스 피싱과 같이 메신저 사기 행위 주의 요구됨

• 최근 메신저 업체에서는 금전 요구 시 경고 문구 출력

[메신저 이용, 계정정보 탈취를 위한 피싱 사이트로 유도] [메신저 이용 사기]


21


6. 봇넷 & DDoS 공격

• 좀비 컴퓨터를 망가트리진 않음

• 잠복 기간에는 특별한 증상 없음

• DDoS 공격, 정보 유출, 스팸, 취약성 스캔, 악성코드 유포

• IRC에서 HTTP, P2P 방식의 봇넷 형성 봇 제어서버 (C&C)에 대한 추적과차단에 대한 어려움

• 통신 프로토콜을 암호화 또는 자체 통신 프로토콜을 이용 봇넷 탐지를어렵게 함

* 분산서비스거부 공격이란?(Distributed Denial of Service, DDoS)

인터넷 상에 수많은 PC들에 악의적인 공격용 프로그램을 무작위로 분산 설치하여, 특정한 날짜,주기 또는 해커의 신호를 통해 특정,불특정 목적지를 향해 다량의 패킷을 전송.

다량의 패킷을 전송 받는 시스템 또는 경로상의네트워크 장비가 이상 동작을 일으키거나, 대역폭을 고갈 시켜 문제를 일으키는 행위

[UTM을 통한 BotNet/DDoS 공격 방어]


22





1) 사이버 블랙 마켓의 구조

24

- 사이버 블랙 마켓인터넷을 통해 악성 코드, 보안 취약점, 공격 코드, 개인 신용 정보 등을현금으로 거래 가능한 곳


2) 중국의 사이버 블랙 마켓


[개인 정보와 온라인 게임 아이템 불법 거래] [개인 정보 탈취 악성 코드 생성기]

25


3) 탈취한 개인 정보의 불법 거래 및 사용

[개인 정보의 불법 사용][개인 정보 불법 거래]


26


4) 다양한 보안 위협들의 불법 거래

[서비스 거부 공격 대행]

[청부 해킹을 수행할 해커 모집]

[해킹 툴의 불법 거래]


27


5) 러시아의 사이버 블랙 마켓

[러시아의 사이버 블랙 마켓]

[러시아 사이버 블랙 마켓의 거래 품목]


28


6) 러시아 사이버 마피아

[러시아 사이버 마피아 조직도]


29


7) 다양한 보안 위협들의 불법 거래

[악성 봇넷 불법 거래] [소프트웨어 취약점의 불법 거래]


30



8) 개인 신용카드 정보 판매

[개인 정보와 신용 카드 정보를 판매]




안철수연구소 “정보 보안 수칙 10계명” - I

윈도우 운영체제의 로그인 패스워드 설정윈도우 최신 보안 패치 적용 및 자동 업데이트 설정

통합 백신 보안 제품 설치, 항상 최신 버전의 엔진 유지자동 업데이트 및 실시간 시스템 감시 기능 설정정기적인 수동검사 (예약검사) 수행

신뢰할 수 있는 보안 관련 사이트를 방문해 최신 보안 정보 수시 확인ASEC Threat Research 블로그


33

http://blog.ahnlab.com/asec

http://blog.ahnlab.com/asec


안철수연구소 “정보 보안 수칙 10계명”- II

웹 서핑 시 액티브X '보안경고' 창이 뜰 경우 신뢰할 수 있는기관의 서명이 있는 경우에만 프로그램 설치에 동의하는'예'를 클릭.

신뢰할 수 있는 웹 사이트에서 제공하는 프로그램만 설치인터넷에서 다운로드 받은 파일은 항상 백신 검사

안철수연구소의 '사이트가드(SiteGuard)' 서비스


34


안철수연구소 “정보 보안 수칙 10계명”- III

출처가 불분명한 전자 메일은 무조건 삭제

메신저 프로그램 사용시 메시지를 통해 URL이나 파일이 첨부되어 올 경우 함부로 클릭하거나 실행하지 않고, 메시지를 보낸 이가 직접 보낸 것이 맞는지를 먼저 확인

전자 메일 및 메신저를 통해 수신된 첨부 파일은 항상 백신 검사 수행


35


http://kr.ahnlab.com/b2b/common/checklist/02.html

http://kr.ahnlab.com/b2b/common/checklist/01.html

http://kr.ahnlab.com/info/common/checklist.html


36



AhnLab, the AhnLab logo, and V3 are trademarks or registered trademarks of AhnLab, Inc.,in Korea and certain other countries. All other trademarks mentioned in this document are the property of their respective owners.

AhnLabThe Joy of Care-Free Your Internet World

Technology

1. 2009년 상반기 보안 위협 동향