2010년 상반기 보안 위협 동향과 주요 보안 위협

2010 상반기 보안 위협 동향과 주요 보안 위협

2010.09.14

㈜ 안철수연구소

ASEC (AhnLab Security Emergency response Center)

Anti-Virus Researcher, CISSP

장 영 준 선임 연구원

Copyright (C) AhnLab, Inc. 1988-2010. All rights reserved.2

목 차

1. 2010년 상반기 보안 위협 동향

2. 2010년 상반기 주요 보안 위협

1) 상반기 악성코드 감염 보고 동향

2) 상반기 악성코드 유형별 동향

3) 상반기 웹 사이트 보안 위협 동향

Copyright (C) AhnLab, Inc. 1988-2010. All rights reserved.

2010년 상반기 보안 위협 동향


1) 상반기 악성코드 감염 보고 동향

2010년 상반기 악성코드 감염 보고 건 수는 65,692,009건으로 2009년 하반기 대비 1,435,589건

증가.

2009년 12월에서 2010년 3월까지 하락세에 있었으나 4월부터 다시 증가 추세에 있음.

1. 2010년 상반기 보안 위협 동형

[월 별 악성코드 감염 보고 건수]


1) 상반기 악성코드 유형별 동향

2010년 상반기 감염 보고된 악성코드 유형은 트로이목마(Trojan Horse)가 2009년 대비 4.1%

증가한 43.3%, 그 다음으로 웜(Worm)이 11.7%, 애드웨어(Adware)가 10.4%를 차지함.

2010년 상반기 처음으로 발견된 신종 악성코드 역시 트로이목마가 63%으로 가장 많이 차지함.

그 다음으로 애드웨어가 16% 그리고 웜이 5%를 차지함.


[악성코드 유형별 분포] [신종 악성코드 유형별 분포]


3) 상반기 웹 사이트 보안 위협 동형

2010년 상반기 총 20,227개의 도메인들에서 악성코드가 발견되었으며 2009년 하반기 대비 571

개 증가

2010년 상반기 1,231,403개의 악성코드가 웹 사이트에서 발견되었으며 2009년 하반기 대비

256,768개 증가


[웹 사이트를 통해 유포된 악성코드 수치]


2010년 상반기 주요 보안 위협


보안 위협

모든 보안 위협의 기본은 사회 공학 기법

제로 데이 취약점은 타켓 공격의 수단

허위 백신의 고도화된 감염 기법

진단, 치료가 어렵도록 발전하는 악성코드

다중 감염 경로와 다중 감염 기법

본격적인 SNS 기반의 보안 위협 양산


다양화되는 스마트폰 보안 위협


1) 모든 보안 위협의 기본은 사회 공학 기법

사회 공학 기법은 현재 발생하는 모든 보안 위협에서 기본적으로 사용되고 있음.

타켓 공격을 위한 전자 메일은 수신인이 보안 위협에 대한 인식이 어렵도록 작성.

허위 백신은 감염된 PC의 사용자에게 한국어로 과장된 위협의 정보를 극대화 하여 전달.

동계 올림픽과 남아공 월드컵 등 사회적인 주요 이슈를 악용해 악성코드 유포.

[ 2월 해외 허위 백신의 한국어 사용] [ 6월 BC카드로 위장해 악성코드 유포]



2) 허위 백신의 고도화된 감염 기법

다른 악성코드에 의해 다운로드 되는 방식에서 직접적인 감염 방식으로 변화.

BlackHat SEO 기법으로 특정 단어 검색시 허위 백신을 설치하는 웹 페이지를 상위권 노출.

SNS 사이트를 중심으로 더 많은 사람들이 감염 될 수 있는 환경을 지속적으로 찾고 있음.

[ 5월 트위터 메일로 위장한 허위 백신][ 3월 BlackHat SEO 기법으로 악성코드 유포]



3) 진단, 치료가 어렵도록 발전하는 악성코드

기술적으로 진단 및 치료가 까다로운 형태의 악성코드가 지속적으로 발견.

정상 프로세스의 메모리 영역에서만 동작하는 지봇(Zbot) 및 브레도랩(Bredolab) 변형들 유포.

하드 디스크의 언파티션드(Unpartitioned) 영역에서 동작하는 TDL루트킷(TDLRootkit) 유포.

윈도우 시스템 관련 파일들을 패치하는 패쳐(Patcher) 변형들 유포.

뚜렷한 증상이 보이지 않아 PC 사용자들이 감염에 대해 쉽게 인식하기가 어려움.

[2월 세금 고지 메일로 위장한 Zbot 변형]


[3월 윈도우 시스템 파일을 패치하는 악성코드]


4) 제로 데이 취약점은 타켓 공격의 수단

2010년 상반기에 악용된 제로 데이 취약점은 총 5건으로 MS 3건, Adobe 2건.

그 중 타켓 공격에 악용된 제로데이 취약점은 2건으로 모두 MS 인터넷 익스플로러 관련 취약점.

제한 된 대상자를 공격하는 타켓 공격 시 보안 제품의 탐지가 어려운 제로 데이 취약점 악용.

2건의 제로 데이 취약점을 악용한 타켓 공격은 전자 메일 본문에 악의적인 웹 사이트 링크를 포함.

[3월 타켓 공격에 악용된 MS10-018 취약점]


[6월 윈도우 도움말 센터 취약점 악용]


5) 다중 감염 경로와 다중 감염 기법

악의적인 웹 사이트와 전자 메일의 결합 형태로 소프트웨어 취약점을 악용해 악성코드 유포

피싱 웹 사이트에서 악성코드를 유포하여 개인 정보 탈취 목적을 위한 2중 감염 수단을 활용

PC 사용자의 보안 위협 인식에 대한 악성코드 제작자의 대응 수단 변화.

[2월 피싱 웹 사이트에서 악성코드 유포] [2월 2중 감염 수단을 사용한 Zbot 변형]



6) 본격적인 SNS 기반의 보안 위협 양산

신뢰 할 수 있는 사람으로부터 전달 된 흥미로운 내용으로 위장한 사회 공학 기법 통해 빠른 확산.

140자 제한으로 인해 간략한 머리글에 대한 호기심으로 단축 URL 클릭.

단축 URL 사용으로 어떠한 웹 사이트로 연결 되는지 쉽게 판단하기 어려움.

2월과 3월에는 트위터에서 단축 URL을 이용해 악성코드 유포 및 피싱 웹 사이트 유도 사례 발견.

5월에는 SNS 웹 사이트를 악성코드 조정을 위한 C&C 시스템으로 악용하는 사례 발견.

[2월 트위터에서 피싱 웹 사이트 단축 URL 유포] [5월 트위터로 조정하는 봇넷 생성기]



7) 다양화되는 모바일 보안 위협

스마트폰 사용이 증가함과 동시에 모바일 보안 위협 역시 동반 증가.

2009년 아이폰 관련 악성코드에 이어 4월 국내에서 윈도우 모바일에 감염되는 악성코드인

트레드다이얼(TredDial)의 실제 감염 피해 사례 발생.

무단으로 국제전화를 발신하여 감염된 윈도우 모바일 사용자에게 과도한 국제전화 사용료 발생.

[4월 윈도우 모바일에 감염되는 트레드다이얼]




AhnLab, the AhnLab logo, and V3 are trademarks or registered trademarks of AhnLab, Inc.,in Korea and certain other countries. All other trademarks mentioned in this document are the property of their respective owners.

AhnLabThe Joy of Care-Free Your Internet World

Technology

2010년 상반기 보안 위협 동향과 주요 보안 위협