IBM Security Systems 2015년 3월

IBM X-Force 보안 동향 및 위험 보고서

2015년 1분기

2014년 연말 데이터 및 지속적인 분석을 바탕으로

“설계 도구의 취약점”부터 악성코드 변종까지 심층 조명

2 IBM X-Force 보안 동향 및 위험 보고서(2015년 1분기)

목차

2 개요

4 2014년 보안 사고 결산

11 진화를 거듭하는 금융 악성코드 Citadel

14 Android 모바일 애플리케이션 개발자가 사용자를

위험에 빠뜨리고 있는가

17 근간의 변화: 2014년에 공개된 취약점

21 IBM 보안 연구소 X-Force 소개

22 도움 주신 분들

22 추가 정보

23 각주

개요

지난 일 년을 되짚어 본다면 2014년이 거대한 변화의 해로 기

억될 것은 분명합니다.

2014년 1월 초, 대기업과 중소기업 모두 소매업계에서 일어난

대형 보안 사고를 자세히 파악하고 분석하느라 애쓰면서 각자

의 보안 환경이 다음 공격을 견딜 것인지 자문하게 되었습니다.

X-Force 팀은 본격적인 봄이 시작되기도 전에 첫 번째 “설계

도구의 취약점”을 발견했습니다. 이 중대한 취약점은 표적 공

격에서 막강한 위력을 발휘했을 뿐 아니라 이 취약점 공개를

오랫동안 기억하게 할 만큼 근사한 브랜드 로고, 웹 사이트, 호

출 명칭(or Handle)까지 갖추고 있었습니다.

이와 같은 설계 도구의 취약점들이 여러 웹 사이트에서 오래 전

부터 사용해 온 기본 프레임워크에서 발견되었습니다. 2014년

의 Heartbleed, Shellshock, POODLE, 2015년의 Ghost, FREAK

까지 귀에 속속 들어오는 이름의 취약점이 계속해서 등장했습

니다. 이에 따라 작년에 발견된 수천 개의 취약점 중에서 유독

어떤 취약점이 공격적 마케팅, 홍보, 로고 디자인 등의 혜택을

누리는가라는 의문도 제기되었습니다.

2014년은 연이어 터지는 각종 데이터 유출 및 보안 사고 속에

서 많은 이들이 고전한 해였습니다. 연말을 맞이하면서 X-Force

팀은 이러한 공세가 잦아들기는커녕 더 크고 광범위하게 확산

될 것이고, Sony의 데이터 유출 사례에서 입증된 바와 같이 개

인 정보 보호가 더욱 중대한 문제로 대두할 것임을 알게 되었

습니다.

그렇다고 2014년에 데이터 유출 및 보안 사고에만 관심이 모

아졌던 것은 아닙니다. X-Force 팀은 사이버 범죄자들이 빠르

게 도입하여 사용하였던 잘 알려진 “기존” 악성코드의 새로운

활용에 대한 경계도 늦추지 않았습니다. Zeus 악성코드를 보강

한 Citadel 금융 악성코드는 서서히 은밀하게 새로운 변종으로

진화하여 이제는 그 공격 범위를 석유화학 업계의 판매자와 공

급자 그리고 비밀번호 관리 소프트웨어로 넓히고 있습니다.

IBM Security Systems 3

각종 데이터 유출, 보안 사고, 악성코드뿐 아니라 모바일 기기

의 취약점 공개도 중요한 관심사였습니다. 연구자들은 모바일

프레임워크를 면밀하게 조사하면서 결함을 찾아내고 모바일

애플리케이션 소프트웨어 개발자가 더 효과적으로 툴과 애플

리케이션을 업데이트할 수 있도록 돕고 있습니다. 지난 7월에

보고되어 해결되었던 Apache Cordova의 주요 취약점은 아직

패치 또는 업데이트가 이루어지지 않은 Android 애플리케이션

에 큰 위험 요소로 작용하고 있습니다. 그중 상당수가 고위험

군에 해당되는 금융 애플리케이션입니다.

놀랍게도 2014년 중반까지 IBM® X-Force®는 전반적인 취약

점 공개 건수가 감소하고 있다는 진단을 내리려 했습니다. 하지

만 지난 9월, CERT/CC(Computer Emergency Readiness Team-

Coordination Center)의 한 연구자가 Android 애플리케이션의

보안을 테스트하는 자동화 툴을 제작하여 발표하면서 모든 것

이 바뀌었습니다. 그는 이 툴을 사용하여 수천 개의 Android

애플리케이션에서 보안 문제를 찾아냈습니다. 이러한 취약점을

이용하면 해당 모바일 애플리케이션에 대한 MitM(Man-in-

the-Middle) 공격이 가능해집니다. 이 툴의 발표 덕분에 2014

년 연말 집계뿐 아니라 취약점 공개의 영역 전반에서 큰 변화

가 일어났습니다.

인터넷 보안 현황을 지속적으로 분석하고 향후 취약점 평가 방

식의 근본적인 변화 가능성에 대비하면서 손에 땀을 쥐게 하는

롤러코스터와 같던 2014년을 마무리했습니다.

4 IBM X-Force 보안 동향 및 위험 보고서(2015년 1분기)

2014년 보안 사고 결산 데이터 유출부터 랜섬웨어까지 IBM 연말 보안 사고 분석에서 드러난 핵심 사안을 살펴보겠습니다.

리 사용되는 인터넷 오픈 소스 라이브러리의 중대한

취약점을 노린 익스플로잇 공격, 전 세계적인 이슈가

된 개인 정보 보호 문제, 이목이 집중된 각종 데이터

유출 사고 등이 쏟아졌던 2014년은 의심할 여지 없이 보안 사

고의 거대한 폭풍이 몰아친 해였습니다. 더 면밀하게 살펴본다

면, 이는 과장된 모습일까요 아니면 다가올 일들에 대한 전조

일까요?

10억 개가 넘는 이메일, 신용카드 번호, 비밀번호, 각종 개인 식

별 정보(PII)가 유출되었다는 몇몇 추정을 받아들인다면, 지난

해 일어난 보안 사고의 영향권에 있을 가능성이 높아 보입니다.

할리우드부터 일반 홈인테리어 매장까지 휩쓸고 가는 보안 사

고의 여파는 우리의 일상 생활에 더욱 광범위한 영향을 미치고

있습니다.

그림 1을 보면, 10억 개 이상이라는 수치가 어느 정도의 규모

인지 인구 수에 대비하여 보여줍니다. 유출된 각 정보가 서로

다른 사용자에 관한 것이라고 단언할 수는 없지만, 인터넷 사

용 인구 중 상당수가 2014년의 보안 사고로 인해 어떤 식으로

든 피해를 입었을 것으로 보입니다.

규모만 보면 2014년에 유출된 정보의 전체 건수는 (8억 건이

유출되었던) 2013년 대비 약 25% 증가했습니다. 2014년 8월,

한 보안 업체는 대량의 인증 정보가 유출된 사실을 알아냈다고

밝혔습니다.1 하지만 이 발표의 자세한 내용이 완전히 확인되지

않은 상황이므로 이와 관련된 데이터는 이번 분석에 포함되지

않았습니다.

2014년 보안 사고의 주요 쟁점

대형 사건이 연이어 발생했지만, 이러한 각종 보안 사고는 크

게 ‘디지털 세계의 개인 정보 보호’, ‘기반 시스템의 균열’, ‘보안

원칙 미비’라는 3가지 주제로 분류할 수 있습니다.

디지털 세계의 개인 정보 보호

2013년 이후 정부의 디지털 커뮤니케이션 모니터링 및 인터넷

시대의 개인 정보 보호에 대한 우려가 더욱 증폭되었습니다.

커뮤니케이션 및 데이터 스토리지 서비스 업체들이 개인 정보

보호를 위해 합당한 보안 시스템을 갖추었다는 데는 어느 정도

믿음이 가지만, 2014년의 전반적인 상황은 일차적 진입 지점을

확실하게 지킨다 해도 공격자들은 또 다른 접근 방법을 모색한

다는 사실을 재확인시켜 주었습니다.

널

연도별 총 유출 건수 추정 인구 수 대비

중국 인구

인도 인구

유럽연합

(EU) 인구

미국 인구

14억

13억

12억

11억

10억

9억

8억

7억

6억

5억

4억

3억

2억

1억

그림 1. 연도별 총 유출 건수

(추정 인구 수 대비)

전례 없는

폭발적 증가

비정상적인 증가

(2013년 대비

25%)

2012년 2013년 2014년(현재까지)

IBM Security Systems 5

클라우드 서비스에 저장되었던 민감한 내용의 사진이 공개된

사건이 그 대표적인 예입니다.2 클라우드 서비스의 보안 자체에

는 근본적으로 결함이 없었지만, 보안 강도가 약한 비밀번호,

답을 쉽게 유추할 수 있는 보안 질문, 무차별 대입공격에 취약

한 보안 정책 때문에 데이터가 유출되었습니다. 첨단 기술 덕

분에 클라우드에 데이터를 쉽게 백업할 수 있게 되었지만, 그

와 함께 데이터의 저장 위치 및 잠재적 위험성에 대한 일반 사

용자의 무관심은 더욱 심각해지고 있습니다.

이와 유사하게 소셜 미디어 애플리케이션 사용자의 개인 사진

이 외부 서비스에 의해 유출되는 사건도 있었습니다.3 해당 애

플리케이션은 사용자 조회 후 곧 삭제되는 임시 이미지의 전송

기능을 구현했지만, 또 다른 외부 서비스에서 API(Application

Programming Interface)를 이용하여 해당 컨텐츠를 저장했다

가 나중에 볼 수 있게 했습니다. 이 서비스가 공격받으면서 사

용자 자신은 삭제했다고 생각한 컨텐츠가 공격자의 수중에 들

어갔습니다.

작년에 발생한 가장 대표적인 개인 정보 관련 사고 중 하나는

대량의 데이터가 유출되는 와중에 할리우드 메이저 스튜디오

(Sony) 관련자의 개인 이메일이 해킹된 사건입니다.4 여러 미디

어 사이트에서는 유명인과 영화 제작자의 사생활을 들추어내

면서 지적 재산 및 개인 간의 대화 내용을 여느 일상적 가십처

럼 다루기도 했습니다.

보안 사고의 여파는 온라인 활동에 국한되지 않았습니다. 소매

업계, 특히 미국 소매업계의 고객은 수많은 식당, 매장, 전자상

거래 웹 사이트에서 신용카드 번호가 유출되면서 큰 피해를 입

었습니다. 패스트푸드 체인부터 의류매장까지 신용카드 결제의

편리함 이면에는 결제 처리 시스템의 취약점이 숨어 있었고 많

은 이들이 위험에 노출되었습니다.

기반 시스템의 균열

인터넷에는 10억 개 이상의 고유한 웹 사이트가 있으며, 그 수

는 매일 늘고 있습니다. 그중 상당수가 동일한 운영 체제, 오픈

소스 라이브러리, 컨텐츠 관리 시스템(CMS) 소프트웨어를 이

용합니다.

2014년은 취약점 공개가 이러한 기반 시스템 중 여럿에 영향

을 미치면서 수많은 웹 사이트가 익스플로잇 공격을 당했다는

점에서 특별한 해였습니다.

CMS 소프트웨어의 취약점을 이용하여 수백만 개 사이트를 공

격하는 것처럼 지난 몇 년 새에 대중적인 플랫폼과 인기 서비스

가 공격의 표적이 되기 시작했습니다. 2014년에는 WordPress,

Joomla!, Drupal과 같이 가장 많이 쓰이는 CMS 플랫폼에서 핵

심 플랫폼 및 보편화된 플러그인의 중대한 취약점이 발견되었

습니다. phpBB, vBulletin과 같은 웹 포럼 소프트웨어에서도 공

격자가 웹 서버를 장악할 수 있게 해주는 중대한 취약점이 확

인되었습니다.

이러한 데이터 유출은 사용자 기밀 정보를 가지고 있지 않은

사이트에서도 문제가 됩니다. 유출된 데이터는 거의 모든 웹

사이트에서 악성코드를 침투시키는 데 쓰이거나 대규모 DDoS

(Distributed-Denial-Of-Service) 공격의 명령 및 제어 봇(bot)

역할을 할 수 있습니다. 또한 감염된 서버는 기밀 데이터를 빼

내거나 비즈니스 파트너, 고객, 공급업체를 공격하는 데 이용될

수도 있습니다.

또한 2014년에는 Microsoft Windows, Mac OS X, Linux 등 거

의 모든 일반 웹 플랫폼에서 암호화 기능을 담당하는 기본 라

이브러리가 극히 단순한 원격 익스플로잇 공격에도 취약하여

핵심 데이터가 유출될 수 있다는 사실이 밝혀졌습니다.

지난 4월, OpenSSL 라이브러리에서 2년 전부터 존재했던 버그

가 CVE-2014-0160 또는 “Heartbleed”라는 이름으로 처음 모습

을 드러내면서 원격 암호화 취약점이 처음 공개되었습니다.5 원

격 익스플로잇 공격이 가능한 이 취약점을 통해 서버 메모리에

서 사용자 로그인 기록, 개인 보안 인증서, 각종 기밀 데이터를

빼낼 수 있습니다. HTTPS 웹 서버만 피해를 입는 것이 아니라

SSL을 암호화에 사용하는 각종 기기와 애플리케이션도 위험에

노출될 가능성이 있습니다.

6 IBM X-Force 보안 동향 및 위험 보고서(2015년 1분기)

OpenSSL 취약점은 주로 UNIX 기반 웹 서버에 영향을 주지만,

Microsoft 서버 역시 암호 라이브러리의 원격 실행으로부터 안

전하지 않습니다. 이 운영 체제의 모든 데스크탑 및 서버 버전

에 영향을 주고 공격자의 원격 코드 실행을 가능하게 하는

Microsoft 보안 채널 패키지 취약점인 CVE-2014-6321에 대한

패치가 지난 11월에 발표되었습니다.

UNIX SSL 취약점을 해결할 패치가 필요한 상황에서 OS X에서

도 MitM 공격에 대한 취약점, 일명 “Goto Fail(CVE-2015-

1266)”이 발견되었습니다. 이 취약점으로 공용 무선 액세스 포

인트에서 SSL-암호화 웹 트래픽을 엿보거나 가로챌 수 있습니

다.6

같은 해에 발견된 이 세 가지 모두 심각한 취약점이지만, 그 밖

에도 수많은 웹 서버 및 엔드포인트에 영향을 주는 취약점들이

연이어 나타났습니다. 예를 들어, UNIX 배시 쉘(bash shell)의

Shellshock 버그 그룹(CVE-2014-6271, CVE-2014-6277, CVE-

2014-6278, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187)

은 취약한 서버에서 쉘 명령을 원격 실행하는 익스플로잇 공격

을 가능하게 합니다.7

암호화 시스템에 영향을 주는 또 다른 취약점 그룹으로 일명

POODLE(Padding Oracle On Downgraded Legacy Encryption)

공격이 있습니다(CVE-2014-3566, CVE-2014-8730). POODLE은

Heartbleed나 Shellshock과 같은 큰 피해를 주지는 않지만, 공

격자가 MitM 공격을 통해 몰래 보안 세션을 훔쳐볼 수 있게 됩

니다.

기억하기 쉬운 이름과 로고를 내세워 주목받는 설계 도구의 취

약점이 트렌드로 자리잡으면서 수많은 웹 사이트가 위험에 처

했습니다. 게다가 대개는 스크립트 및 자동 툴을 사용하여 손

쉽게 익스플로잇 공격이 가능했습니다.

보안 원칙 미비

오래 전부터 X-Force는 기본 보안 원칙을 준수하는 것이 보안

사고로부터 스스로를 지키거나 그 피해를 줄이는 효과적 방법

이라고 조언해 왔습니다. 2014년에도 이 사실에는 변함이 없었

습니다.

기본 보안 원칙의 중요성을 보여주는 대표적인 예 중 하나인

비밀번호 보안은 여전히 데이터 유출 사고에서 중대한 변수로

작용합니다. 예측 가능하고 보안 강도가 약한 비밀번호를 사용

하거나 각종 인터넷 사이트와 회사 시스템에서 동일한 비밀번

호를 사용한다면 공격자는 이처럼 관리가 부실한 인증서 정책

의 허점을 틈타 접근할 수 있습니다.

기존의 데이터 유출 사고를 통해 이미 수백만 개의 이메일 주

소 및 일반 텍스트 비밀번호가 수집된 상태이며, 이는 다른 사

이트에 접근하는 데 이용될 수 있습니다. 공격자는 이 데이터

를 토대로 자주 사용되는 비밀번호를 선별하기도 합니다. 여러

사이트에서 동일한 비밀번호를 사용한다면 무차별 대입공격을

통한 계정 탈취의 피해자가 될 수 있습니다. 일례로 한 유명 클

라우드 스토리지 서비스 업체에서 600만 개가 넘는 계정이 해

킹된 적이 있습니다.8 클라우드 스토리지 업체의 시스템은 공격

받지 않았지만, 공격자가 다른 곳에서 유출된 로그인 데이터,

악성코드, 키로거(keylogger), 피싱 기술을 활용하여 계정에 액

세스할 수 있었습니다.

초기 비밀번호를 그대로 사용하는 것도 여전히 문제가 됩니다.

지난해 소매업계에서 발생한 여러 데이터 유출 사고에서 공격

자는 합법적인 기술 지원으로 문제 해결에 사용되는 화면 공유

소프트웨어에 기본 비밀번호 또는 유출된 로그인 정보로 접속

한 다음 POS(Point-Of-Sale) 서버에 원격 액세스하는9 수법을

구사했습니다. 초기 계정 비밀번호 변경과 같은 기본적인 보안

수칙이 여전히 제대로 지켜지고 있지 않음을 보여준 사례입니

다.

공격 유형과 업종

X-Force는 매년 공격 유형과 업종을 기준으로 보안 사고를 샘

플링하여 추적해 왔습니다. 이 데이터를 종합적으로 분석하면

서 추세를 파악하는 것은 여전히 흥미로운 일입니다. 최신 자

료에 근거한 그림 2는 2014년에 공개된 보안 사고 건수를 보여

주고 있습니다.

IBM Security Systems 7

2014년 보안 사고 표본 조사 - 공격 유형별, 시간별, 영향별 상대적 영향은 유출된 데이터 및 경제적 피해와 관련된 공개된 정보에 근거하여 추정한 것임

1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월

공격 유형

XSS Heartbleed 물리적 액세스 무차별 대입 구성 오류 워터링 홀 피싱 SQLi DDoS 악성코드 미공개

원의 크기는 비용 측면에서 해당 기업에 미친 영향의 상대적 크기를 추정한 것임

그림 2. 2014년 보안 사고 표본 조사 - 공격 유형별, 시간별, 영향별

주요 공격 유형 주요 공격 대상 업종

무차별 대입 1.9%

구성 오류 3.4% 워터링 홀

4.2%

피싱

4.6%

Heartbleed 0.8%

XSS 0.8% 물리적 액세스

1.1%

컴퓨터 서비스

소비재

교육

에너지 및 유틸리티

금융 시장

정부

의료

산업재

보험

미디어 및 엔터테인먼트

비영리

소매

통신

여행 및 운송

도매 유통 및 서비스

악성코드 미공개

8 IBM X-Force 보안 동향 및 위험 보고서(2015년 1분기)

이전과 마찬가지로 미국에서 보고된 건수가 다른 나라보다 훨

씬 많습니다. 미국은 다른 나라보다 엄격한 정보공개법을 실시

하고 있으며 미국에서 호스팅되는 유명 웹 사이트가 많기 때문

일 것입니다. 한국 역시 2014년에 여러 차례 대형 사고가 발생

했고 인구 대비 피해의 규모도 컸습니다.

앞서 말했듯이 소매업 특히 미국의 소매업이 큰 타격을 받았습

니다. 2013년 말 Target 매장의 대규모 데이터 유출로 인해

7,000만 명 이상의 고객이 피해를 입은 것을 시작으로10 2014년

에도 연이은 사고로 수많은 미국 내 레스토랑 체인 및 소매 매

장이 영향을 받았습니다. 공격자들은 유사한 방법론을 한 해

동안 구사하고 스피어 피싱(Spear Phishing)과 같은 기술을 활

용하여 성공적으로 침투했습니다.

일단 접근에 성공한 다음에는 램 스크래핑(RAM-Scraping) 악

성코드를 카드 처리 시스템에 설치하여 암호화된 카드 데이터

가 일반 텍스트 형태로 서버 메모리를 통과할 때 이를 기록할

수 있었습니다. 이렇게 훔쳐낸 신용카드 데이터는 암시장에서

거래되었습니다.

일부 기업에서 이러한 공격 패턴의 확산에 대응하여 시스템 감

사를 실시한 결과, 악성코드가 짧으면 몇 주, 길면 몇 년까지 몰

래 실행되어 왔다는 것을 알게 되었습니다.

SQLi를 넘어선 악성코드 공격

거의 매주 발견된 소매업 POS 악성코드는 2014년에 이용된 대

표적인 공격 벡터 중 하나일 뿐입니다. X-Force는 지난 몇 년간

SQLi(SQL 인젝션) 공격이 웹 서버 및 애플리케이션에서 데이터

를 탈취하는 데 효과적인 수단임을 지적했습니다. 한때 보안

사고의 가장 큰 원인이 SQLi였습니다. 하지만 X-Force에서

2014년의 보안 사고 공격 유형의 규모를 분석한 바에 따르면

그 선두는 악성코드 및 DDoS 공격입니다.

2014년에도 널리 확산된 SQLi 취약점은 대규모 익스플로잇 공

격 및 데이터 유출 사고의 원인을 제공했습니다. 가장 대표적

인 예로, 공격자가 최소한의 노력으로 많은 표적을 공격하게

해주는 CMS 플랫폼 취약점이 있습니다. 폴란드의 한 증권거래

소는11 Joomla! CMS 플랫폼의 알려진 SQLi 취약점 때문에 공격

을 당한 것으로 알려졌으며, Drupal CMS의 한 중대한 SQLi 취

약점 때문에 (수백만은 아니더라도) 수십만 대의 서버가 위험

에 처했습니다.12 연말에는 호주의 한 여행자 보험 웹 사이트에

서 SQLi 취약점으로 인해 75만여 건의 데이터가 유출되었는데,

이는 호주 역사상 최대 규모의 사건 중 하나로 꼽힙니다.13

안전하지 않은 플러그인 때문에 CMS 플랫폼이 위험해지기도

합니다. X-Force는 CMS 플러그인이 대개 소규모 외부 개발 그

룹에 의해 만들어지며, 이들이 주어진 한정된 문제의 해결에만

집중할 뿐 알맞은 보안 보호 장치를 마련하지 않을 가능성을

지적한 바 있습니다. 널리 보급된 WordPress 슬라이더 플러그

인의 취약점 때문에 10만 개가 넘는 웹 사이트에서 악성

JavaScript가 삽입된 사례도 있습니다.14

2014년 보안 사고 국가별 표본 조사

미국

영국

캐나다

한국

프랑스

호주

독일

벨기에

폴란드

러시아

기타

그림 3. 2014년 보안 사고 국가별 표본 조사

IBM Security Systems 9

하나의 서버 및 데이터 센터를 표적으로 하는 트래픽이 급증하

면서 DDoS 공격 또한 지난 몇 년 새 각종 기사의 헤드라인을

장식하기 시작했습니다. 100Gbps 이상의 대역폭을 소비하는

DDoS 공격은 더 이상 드문 일이 아닙니다. 400Gbps 또는

500Gbps 규모의 공격도 일어납니다. 이와 같은 대규모 공격은

웹 사이트 하나를 장악할 뿐 아니라 대량의 트래픽 유포로 가

용 대역폭을 소진하면서 동일 데이터 센터에 운영하는 다른 사

이트에도 타격을 줄 수 있습니다.

최근 몇 년간 DDoS 공격은 공격 대상을 기만하고 속이는 전술

로도 활용되어 왔습니다. 미국에서는 동시에 전개된 강력한

DDoS 공격과 데이터 유출 공격으로 인해 막대한 지적 재산 손

실과 재정적 피해가 발생하여 한 소스 코드 호스팅 서비스 업

체가 문을 닫기도 했습니다.15 아일랜드의 한 웹 기반 이메일 서

비스 업체도 대규모 DDoS 및 데이터 유출 공격의 피해를 줄이

기 위해 얼마간 운영을 중단하여 고객들이 웹메일을 이용하지

못하는 일도 있었습니다.16

몇 년 전부터 DDoS 공격을 통해 웹 사이트를 폐쇄시키는 것이

정부에 저항하는 정치적 “핵티비즘(hacktivism)”의 수단으로 쓰

이기도 했습니다. 한 도시나 정당의 공식 웹 사이트를 중단시

키는 것이 비즈니스 또는 운영 측면에서 항상 확실한 효과를

가져오는 건 아니지만, 이러한 공격은 2014년에도 계속되었습

니다. 애리조나주에서는 DDoS 공격으로 공개 웹 사이트의 서

비스를 중단시켜17 순찰차량에서 원격으로 중요 정보를 이용하

지 못하는 사건이 있었는데, 이와 같이 커뮤니케이션을 차단하

는 방식은 그 파장이 커질 수 있습니다.

랜섬웨어가 증가한 해

2014년에는 DDoS 공격이 “랜섬웨어(Ransomware)”, 즉 강탈의

수단으로 쓰이는 경우도 수차례 있었습니다. 안정적으로 운영

되는 여러 웹 사이트18가 수백 달러부터 수천 달러까지의 대가

를 지불하지 않을 경우 DDoS 공격을 당할 것이라는 협박을 받

았습니다. 대다수는 그에 응하지 않았고, 결국 DDoS 공격 때문

에 가동 중단을 감수해야 했지만 공격자의 위협에 굴하지 않고

도 서비스를 복구할 수 있었습니다.

크립토 랜섬이란?

랜섬웨어는 데이터를 암호화하는 수법으로 시스템을 볼모로 삼고 데이

터 복구에 필요한 키를 내놓는 대신 “몸값(ransom)”을 요구합니다. 보

통은 사용자에게 보내는 메시지에 몸값 지불에 관한 지시가 들어 있습

니다. 대개는 기한이 정해져 있으며, 그 기한을 넘기면 금액이 커질 수

있습니다. 랜섬웨어는 공격자의 위험 부담을 줄이고자 주로 비트코인

과 같은 “마이크로 통화”로 지불하게 합니다. 암호화 작업에 다소 시간

이 소요되므로 초기에 보안 소프트웨어가 크립토 랜섬 공격을 탐지할

수 있습니다. 악성코드를 즉시 제거하면 피해를 줄일 수 있으나, 이미

암호화된 데이터를 복구하지 못하는 경우도 있습니다.

랜섬웨어의 위협으로부터 스스로를 지키려면 어떻게 해야 할까요? 운

영 체제를 정기적으로 백업하고 안티 바이러스 소프트웨어 및 패치를

최신 상태로 유지하는 것과 같은 간단한 방법도 있습니다. 더 자세히

알아보려면 US-CERT 크립토 랜섬웨어 경보를 참조하십시오.

개인 또는 기업을 표적으로 삼는 랜섬웨어는 2014년에 크게

늘어난 것으로 보입니다. 이 공격 유형은 다시 몇 가지 범주로

나눌 수 있는데, 하나는 이미 설명한 것처럼 DDoS 공격 또는

공개적 데이터 유출을 하지 않는 대가로 돈을 요구하는 것입니

다. 두 번째는 기업 및 개인 사용자를 대상으로 하는 크립토 랜

섬(Crypto-Ransom) 수법입니다. 공격자가 사용자의 데이터, 컴

퓨터, 모바일 기기 등을 암호화하여 사용자의 접근을 차단한

다음 잠금 해제 키를 얻으려면 주로 비트코인으로 대가를 지불

하도록 요구합니다. 크립토 랜섬 수법이 성공을 거두면서 이러

한 공격 유형이 증가하는 추세이며, 더 교묘하고 무력화하기

어려운 새로운 버전의 랜섬웨어 툴킷도 등장했습니다.

디트로이트 시19 역시 이러한 공격의 표적이 되었습니다. 공격

자들은 이 도시의 데이터베이스를 암호화한 다음 미화 80만 달

러 상당의 비트코인을 요구했습니다. 다행히 해당 데이터베이

스는 더 이상 필요하지 않은 것이어서 이 갈취 시도는 성공하

지 못 했습니다.

10 IBM X-Force 보안 동향 및 위험 보고서(2015년 1분기)

시스템을 일시적으로 오프라인화하거나 개인 정보와 금융 정

보를 빼내는 공격에서는 기본 시스템을 건드리지 않는 경우가

많습니다. 이와 달리 하드드라이브를 지우고 마스터 부트 레코

드(Master Boot Record)를 덮어쓰기하여 사용할 수 없게 만들

거나 제조 기업에서 사용하는 실제 시스템을 물리적으로 파괴

하는 식으로 영구적 손상을 가하는 공격도 있습니다.

지난해에도 이러한 사건이 수차례 발생했습니다. 가장 잘 알려

진 Sony 해킹에서는 와이퍼(Wiper) 악성코드를 사용하여 엔드

포인트 시스템을 무력화했습니다.20 독일에서는21 스피어 피싱

공격을 당한 제철소의 용광로 시스템이 큰 손상을 입기도 했습

니다. 한 대형 카지노의 Microsoft Active Directory 서버도 와

이퍼 악성코드22의 표적이 되었는데, 여기서는 이 악성코드가

해외 사이트까지 공략하는 데 걸림돌로 작용하여 공격 범위가

미국 내로 한정될 수 있었습니다.

2012년에 새롭게 등장한 이른바 “워터링 홀(Watering Hole)”은

특정 사용자 그룹을 표적으로 삼아 이들이 모이는 웹 사이트에

악성코드를 삽입하는 공격을 의미합니다. 2014년에도 새로운

워터링 홀 공격이 발생했는데, 그중 하나는 안보 및 군사 뉴스

웹 사이트 독자를 대상으로 했습니다.23 또 자동차, 항공, 제조

기업을 대상으로 하는 산업 전문 웹 사이트에서 악성코드 24가

연구진에 의해 발견되기도 했습니다.

악성광고(Malvertising)는 워터링 홀 공격과 유사합니다. 악성

광고는 감염된 광고 네트워크에서 합법적인 사이트의 광고에

악성코드를 삽입하는 방식의 익스플로잇 벡터입니다. 공격자는

이를 통해 웹 사이트 하나를 감염시키는 것보다 훨씬 광범위한

대상을 공략할 수 있습니다. 게다가 표적이 된 기업은 자체 서

버에서 엄격하게 보안을 유지하더라도 컨텐츠에 포함된 악성

광고를 본의 아니게 서비스하게 됩니다.

워터링 홀 및 악성광고는 공격자가 여러 브라우저 기반 취약점

을 이용하거나 Java, Adobe Flash 같은 플러그인을 겨냥하여

취약한 엔드포인트에 익스플로잇 킷을 배포하는 공격 방식입

니다.

결론

일반적 공격 유형은 해가 바뀌더라도 큰 변화가 없는 반면 기

본적인 구성 요소는 다각도로 활용될 소지가 있습니다. 2014년

의 보안 사고를 간추려 정리하자면, 쉬운 대상을 노리는 공격

(예: 알려진 취약점에 대한 스크립트 실행)과 유명 표적을 매우

정교하게 공략하는 지능적인 맞춤형 익스플로잇 공격이 혼재

되는 양상입니다.

공격의 수용력, 규모, 특성이 점점 발전하고 있는 만큼 X-Force

는 사용자가 해당 연도의 보안 사고를 심층적으로 파악하고 또

한 연대순으로 보안 사고의 발전 추이를 조명할 수 있도록

ISI(Interactive Security Incident, 대화식 보안 사고) 웹 사이트

를 마련했습니다. 이 사이트를 자주 방문하여 공개 출처를 통

해 확인된 최신 데이터 유출 및 보안 사고 소식을 확인하시기

바랍니다.

3년간의 보안 사고 분석을 보려면 2015년 1분기 X-Force 그래

픽 패키지를 다운로드하십시오.

X-Force ISI 웹 사이트:

ibm.com/security/xforce/xfisi/

IBM Security Systems 11

진화를 거듭하는 금융 악성코드 Citadel

끊임없이 변화하는 악성코드를 막을 수 있는 방법은 무엇일까요?

Citadel의 최신 변종과 이 악성코드가 금융 이외의 업종으로 공격 범위를 넓힌 방식을 살펴보겠습니다.

난 8년간 금융 악성코드는 다각적으로 큰 변화를 겪

었습니다. 여기에는 단순한 키로깅부터 기기 장악, 데

이터 및 인증 정보 수집이 가능한 전자동 크라임웨어

(Crimeware)까지 구사하면서 데이터를 훔치고 표적 기기에 악

성코드를 배포, 전달하고 악성코드 탐지 기술을 피하는 새로운

“보안 업데이트”를 도입하는 것도 포함됩니다.

최근에는 악성코드의 공격 대상 유형에서도 이러한 변화를 확

인할 수 있습니다. 기존에는 금융 악성코드의 여러 변종을 통

해 전자상거래 사이트, 항공사, 호텔, 의료 기관, 온라인게임회

사 등 비금융권 기관이 표적으로 선택되었지만, 이제는 그 범

위가 더 확대되었습니다. 인기 있는 금융 악성코드인 Citadel25

의 변종이 석유화학 업계의 판매사 및 공급사뿐 아니라 비밀번

호 관리 소프트웨어까지 공격 대상으로 삼고 있으며, 금융 데

이터보다는 기업의 중요 지적 재산을 노리는 것이 분명해 보입

니다.

아울러 표적 공격의 대부분이 RAT(Remote Access Tool, 원격

액세스 툴)와 특별히 설계된 악성코드를 이용한다는 점을 고려

하면, 다양한 유형의 기업을 공략하는 데 Citadel처럼 “전투력

이 검증된” 악성코드가 더욱 각광받을 것입니다.

Zeus의 진화: 초창기부터 대중화까지

금융 악성코드의 초창기에는 기능성 및 유용성 면에서 타의 추

종을 불허하는 악성코드가 있었는데, 바로 Zeus입니다. 코드

작성 없이 손쉽게 구성하고 여러 가지 방법으로 공격 대상의

인증 정보를 빼낼 수 있었던 이 악성코드는 단기간에 사이버

범죄자들의 주목을 받았습니다. 2009년 말에 Zeus v2가 나왔

지만, 불과 18개월 후 Zeus의 소스 코드가 한 언더그라운드 포

럼에서 공개되었습니다. 그로 인해 사이버 범죄자들은 각자 변

종을 개발할 수 있게 되었고 당연히 이 악성코드를 구입할 필

요가 없어졌습니다.

여러 언더그라운드 포럼에서 이 소스가 유출된 이유를 두고 공

론을 벌였습니다. 한가지 설은 Zeus 코드 개발자인 일명

Slavik26이 팀원들과의 불화 끝에 자신의 사업을 시작하면서 기

존 조직의 사업 기반을 무너뜨렸다는 것입니다. 이유야 어찌됐

듯 소스 코드 유출의 여파가 현실화되는 데는 오랜 시간이 걸

리지 않았습니다. 금새 단순한 악성코드(예: Ice IX)부터 대단히

복잡한 유형(예: GameOver Zeus)까지 새로운 Zeus 변종이 등

장했습니다. 게다가 다른 악성코드 그룹에서도 코드의 일부를

도용하여 VNC(Virtual Network Connection, 가상 네트워크 연

결)를 장악하는 Ramnit와 같은 특수 모듈을 구현하기도 했습니

다. Citadel은 그러한 변종 중 하나입니다. 2011년 말에 시장에

나온 이 악성코드는 몇 가지 특별한 기능을 선보였습니다.

점점 진화하는 Citadel

러시아 언더그라운드 포럼에서 첫선을 보인 Citadel은 Zeus의

“오리지널” 기능에 새로운 기술을 보강한, 사이버 범죄자를 위

한 첨단 툴이었습니다. 이 포럼의 최초 게시글에서는 구 버전

Zeus에 사용된 구성 파일과 HTML 인젝션이 Citadel과 연동된

다는 의미에서 이 악성코드를 “Zeus 호환형(Zeus compatible)”

이라고 소개했습니다. 당시 광고는 공격자가 Citadel을 이용하

면 감염된 기기 외부에서 쉘 명령을 실행할 수 있음을 강조했

습니다. 즉 공격자는 감염된 장치가 있는 네트워크를 매핑할

수 있으며, 따라서 금융 데이터 이상의 것을 노린 것임이 분명

합니다. 아울러 개발자가 러시아 및 우크라이나의 시스템은 공

격 대상에서 제외되기를 원했기 때문에 이 악성코드가 키릴 문

자 키보드 레이아웃에서는 실행되지 않는다고 밝혔습니다.

지

12 IBM X-Force 보안 동향 및 위험 보고서(2015년 1분기)

Citadel 구매자는 이러한 기능을 사용할 뿐 아니라 Citadel 팀

이 실시하는 투표에 참여하여 향후 버전 개발에 의견을 피력할

수 있었습니다. 이 투표에서 향후 버전에서 보고 싶은 기능을

선택할 수 있었습니다. 어떤 기능이 많은 표를 얻고 약간의 비

용이 지불되면 Citadel 팀은 이 기능을 개발하기 시작했습니

다.27

당시 사용자들이 요구했던 기능을 갖춘 Citadel의 새로운 변종

은 전 세계 금융 기관을 표적으로 삼았습니다. 이를테면 VNC

모듈은 공격자가 기기 ID 및 IP 평판 시스템을 무사히 통과하여

감염된 기기를 장악할 수 있게 했습니다. 다른 변종에는 화상

캡처 기능이 있어 공격자가 사용자 데스크탑을 지켜보면서 온

라인 뱅킹 애플리케이션 이용 시 사용자의 클릭 패턴을 파악할

수 있었습니다.

Citadel은 점점 진화를 거듭하여 v1.3.4.x, v1.3.5.x와 같은 새 버

전이 등장했습니다. 그리고 사기 컨텐츠를 자동으로 현지화하

는 등의 기능도 추가되었습니다.28 한 변종은 악성코드의 지속

성, 더 정확히 말하면 공격자가 감염된 기기를 제어할 수 있는

기능을 더욱 확장했습니다. Citadel에 내장된 VNC(VNCfox)도

사이버 범죄자들에게 더없이 유용한 툴로 자리잡았습니다.

그러나 Citadel 악성코드가 인기를 얻으면서 점점 많은 안티

바이러스 및 악성코드 차단 소프트웨어 개발자들이 이를 탐지

하고 제거하는 툴을 추가하기 시작했습니다. 이러한 문제를 해

결한 Citadel 변종이 하나 있습니다. 이 Citadel 변종의

“AutoCMD” 기능을 사용하면 감염된 기기에서 쉘 명령을 실행

할 수 있습니다. 일단 감염에 성공하면 그 기기에서 새로운 사

용자를 생성하고 이를 네이티브 Microsoft Windows RDP 그룹

에 추가합니다. 그러면 감염된 기기에서 악성코드를 제거하더

라도 Windows RDP를 이용한 백도어가 확보됩니다.

또 최근 IBM Security Trusteer® 연구진은 새로운 엔티티와 소

프트웨어에 대한 공격에 Citadel이 이용될 수 있음을 확인했습

니다.29 Citadel의 “일반적” 공격 대상은 은행, 신용 조합, 전자상

거래 등 금융 계통이었습니다. 그러나 새로 발견된 변종은 석

유화학 업계의 판매사 및 공급사는 물론 비밀번호 관리 소프트

웨어까지 공격합니다. 감염 및 데이터 유출 측면에서 Citadel의

검증된 감염 및 데이터 유출 능력 그리고 감염된 기기의 네트

워크를 이용하고 명령을 실행하며 감염된 기기와 새로운 공격

대상을 장악하는 기능을 고려하면, 이 악성코드는 사기 보조

도구에서 표적 공격에 기반한 사이버 범죄의 수단으로 진화 중

인 것으로 보입니다.

그림 1. “Citadel 스토어”의 기능 투표(출처: Brian Krebs)

IBM Security Systems 13

Citadel로부터 스스로를 지키는 방법

Citadel이 진화하고 공격 대상 및 방법에도 변화가 생김에 따라

일반 사용자와 기업도 이에 적응해야 합니다. 금융 기관이 이

러한 위협을 더 확실하게 차단하려면 엔드포인트 보호, 클라우

드 기반 악성코드 및 범죄 탐지 기능의 조합이 필요합니다. 기

업에서는 지능형 악성코드 차단 기능도 필요할 것입니다.

엔드포인트 보호 기술도 악성코드 감염에 대한 저항력을 높이

고 기존의 위협을 제거하는 데 효과적입니다. 클라우드 기반

탐지는 보호받지 못하는 기기에 있는 악성코드를 발견하는 데

도움이 됩니다. 또한 범죄 탐지 기술로 범죄자의 기기 또는 프

록시로 이용되는 피해자의 기기에서 기기의 계정 탈취 공격을

찾아낼 수 있습니다. 각 기업에서는 Java, Adobe, Microsoft와

같은 인기 소프트웨어를 악용하는 표적 공격과 감염 시도를 판

별할 수 있도록 지능형 악성코드 차단 솔루션을 도입하여 직원

들의 기기를 보호해야 합니다. 대기업이라면 표적 공격의 최종

단계인 데이터 유출 시도를 식별할 지능형 악성코드 차단 시스

템도 사용해야 합니다.

14 IBM X-Force 보안 동향 및 위험 보고서(2015년 1분기)

Android 모바일 애플리케이션 개발자가 사용자를 위험에

빠뜨리고 있는가?

모바일 애플리케이션의 취약점이 과거 어느 때보다도 심각합니다.

업계는 어떻게 대응하고 있으며 개발자가 어떤 사전 예방 조치를 취할 수 있는지 알아봅니다.

바일 개발 환경은 저마다의 프로그래밍 언어 및 개

발 프레임워크를 지닌 기기와 플랫폼이 다양하게 선

보이면서 더욱 분화되는 중입니다. 그에 따라 이 다

양한 플랫폼을 대상으로 애플리케이션을 개발하는 어려움이

더욱 커지고 있습니다.

따라서 하나의 코드베이스에서 크로스플랫폼 개발을 가능하게

해주는 프레임워크가 각광받으면서 애플리케이션 개발 커뮤니

티에서 인기를 더해가고 있습니다.

그러한 플랫폼 중 하나인 Apache Cordova(이전의 PhoneGap)

에서는 개발자가 HTML5를 단일 크로스플랫폼 개발 기술로

사용할 수 있습니다. AppBrain에 따르면,30 Cordova는 전체

Android 애플리케이션의 약 6%에서 사용됩니다. 게다가

Cordova는 비즈니스, 의료, 금융 등 공격자들이 주목하는 분야

에서 널리 사용되고 있습니다. 이 각각의 분야에서 전체 애플

리케이션의 12% 이상이 Cordova 기반입니다.

2014년 7월, IBM X-Force는 Android 버전의 Cordova에서 여

러 취약점을 발견했고 이를 비공개로 Apache Foundation에 전

달했습니다. 8월에 Cordova 개발 팀이 이 취약점을 수정하거

나 완화했고31 기술 보안 권고와 함께 이 취약점이 일반에게 공

개되었습니다. 또한 X-Force는 실제 익스플로잇 가능성의 측면

에서 취약점의 심각도를 조명하고자 완전한 원격 엔드-투-엔드

공격의 개발 및 실행 방법을 보여주는 POC(Proof Of Concept)

데모32를 기술 세부 사항과 함께 제공했습니다.

Android 버전 Cordova에서 어떤 취약점이 공개되었습니까?

Apache Cordova 크로스애플리케이션 스크립팅(CVE-2014-3500)

공격자는 이 취약점으로 Android 애플리케이션의 컨텍스트 내에서

JavaScript 코드를 실행하여 이 플랫폼의 샌드박스 보호 메커니즘을 무

력화할 수 있습니다. 이 취약점을 이용하여 애플리케이션의 쿠키 파일

과 같은 중요 정보를 빼낼 수 있습니다. 또한 피해자의 기기(로컬)에 상

주하는 악성코드를 통해 이 취약점을 실행하거나, 경우에 따라서는 원

격으로도 실행 가능합니다(예: 드라이브 바이 다운로드 공격).

비 HTTP URL에 대한 Cordova 화이트리스트 바이패스(CVE-2014-

3501), Android 인텐트 URI를 통해 다른 애플리케이션에 데이터

유출(CVE-2014-3502)

Android에서 제공하는 화이트리스팅 메커니즘은 제대로 구성된다면,

이론상으로는 공격자의 제어 하에 임의의 엔드포인트에 요청을 보내는

것이 차단됩니다. 이 2가지 취약점은 화이트리스팅 보안 기능을 우회

할 수 있는 메커니즘을 제공하므로, 공격자가 데이터를 유출하는 것이

가능해집니다. 이를테면 공격자가 이 바이패스 메커니즘과 위의 크로

스애플리케이션 스크립팅 취약점 익스플로잇을 접목시켜 데이터를 빼

낼 수도 있습니다.

일반 공개 시점에 X-Force는 여러 분야에서 사용되는 Cordova

기반의 Android 애플리케이션을 추적하기 시작했습니다. 초기

에는 조사 대상 애플리케이션 중 91%가 익스플로잇 공격이 가

능한 것으로 밝혀졌습니다.

모

IBM Security Systems 15

X-Force는 6개월간 이 애플리케이션을 계속 추적하여 개발자

들이 각자의 애플리케이션에 수정 코드를 얼마나 신속하게 적

용하는지 살펴봤습니다. 그 결과는 그림 4에 나와 있습니다.

2014년 10월, X-Force는 17개의 뱅킹 애플리케이션을 추적 대

상에 추가하여 이 고위험군의 개발자 반응을 조사하기 시작했

습니다.

주목할 점은 사용자의 안전에 필요한 노력을 기울이는 데 개발

자들이 무관심하다는 것입니다. 일반 애플리케이션 범주(특히

공격자가 노리는 정보를 다루지 않는 애플리케이션)의 개발자

라면 그럴 수도 있으나, 뱅킹 애플리케이션 개발자의 반응이라

면 놀랄 일입니다. 뱅킹 애플리케이션은 (온라인 송금 기능을

갖춘 것도 있으므로) 공격자에게 중요한 표적이 될 수도 있습

니다. 게다가 공격의 복잡성을 고려하면 은행에서 고객 보호에

즉시 나설 것으로 기대하게 됩니다. 그러나 2015년 1월 현재,

추적한 17개 뱅킹 애플리케이션 중 10개(59%)는 여전히 취약

한 상태입니다. 추적을 시작한 10월과 동일한 수치입니다!

2014년 10월 초, Google은 취약한 버전의 Cordova를 사용하는

애플리케이션 개발자에게 메시지를 보내3 취약하지 않은 버전

으로 조속히 업데이트하도록 요청하면서 그렇지 않으면 Google

Play에서 애플리케이션을 삭제할 수 있다고 밝혔습니다.

Google이 Cordova 개발자에게 보낸 메시지

“사용자를 감염 위험에 노출시키는 취약

점을 가진 애플리케이션은 ‘위험 제품’으

로 분류되어 Google Play에서 삭제될 수

도 있습니다.”

Cordova 취약점 공개에 대한

개발자의 반응 2014년 7월 15일부터 2015년 2월 2일까지

일반 공개:

Cordova 애플리

케이션의 91%가

익스플로잇 가능

Google의 개발자

공지: 약간 개선

취약 상태(%)

그림 4. 취약점 공개 후 개발자들의 반응

2014년 7월 15일부터 2015년 2월 2일까지

16 IBM X-Force 보안 동향 및 위험 보고서(2015년 1분기)

Google의 이런 메시지가 개발자에게 전달된 후 일반 애플리케

이션 범주에서 애플리케이션 업데이트가 다소 늘었음을 확인

했습니다. 그러나 뱅킹 애플리케이션 개발자들은 여전히 이 취

약점에 아무런 반응이 없는 듯 업데이트 상황에 변화가 없었습

니다.

이와 같이 업데이트가 이루어지지 않는 것은 우려할 일입니다.

사용자를 보호하기 위해 즉각적인 조치를 취하지 않는 것은,

잠재적 피해 비용을 고려하면, 합리화하기 어렵습니다. 궁극적

으로 사용자 데이터를 안전하게 지킬 것이라는 신뢰를 받는 애

플리케이션 개발자가 더 책임 있는 자세로, 더 적극적인 노력

을 기울여야 할 차례입니다.

조언

개발자는 사용자의 안전을 지키기 위해 적극적으로 나서야 합

니다. 여기에는 사용될 가능성이 있는 모든 써드파티 소프트웨

어에 대한 보안 업데이트를 지속적으로 파악하는 것도 포함됩

니다. 많은 써드파티 프로젝트에서 제공하는 메일링 리스트나

블로그를 이러한 용도로 활용할 수 있습니다. 개발자는 보안

수정 코드를 신속하게 구현하고 배포하는 프로세스도 마련해

야 합니다.

대기업이라면 PSIRT(Product Security Incident Response Team,

제품 보안 사고 대응 팀)를 가동하여 자사 제품의 전 범위에서

취약점을 추적하고 개발자에게 관련 사실을 알려 필요한 모든

조치를 취하게 해야 합니다.

업계는 써드파티 소프트웨어와 관련하여 애플리케이션을 최신

상태로 유지하기 위한 더 효과적인 메커니즘을 마련해야 합니

다. 개발자가 보안 패치에 대한 정보를 얻기는 쉽지만 여러 가

지 변수로 인해, 이를테면 API 변경, 수정된 버전의 빌드 프로

세스, 대규모의 개발 작업을 필요로 하거나 새로운 소프트웨어

버그의 원인이 될 기타 문제 때문에 신속하게 대응하기 어려울

수 있습니다. 이 각각의 변수에 따른 편익 분석으로 업데이트

가 이루어지지 않게 됩니다. 따라서 프레임워크에서 역호환성

을 보장하고, 가급적 빌드 프로세스 내에서 간소화된 업데이트

를 지원해야 합니다.

더 나아가 업계는 프레임워크와 애플리케이션 코드를 완전히

분리함으로써 써드파티 소프트웨어 업데이트를 개발자 업데이

트와 별개로 배포하는 것을 지원할 가능성에도 주목해야 합니

다. 이것이 가능하려면 각 프로젝트에서 역시 안정적이고 역호

환 가능한 API를 마련하고 제공된 업데이트가 애플리케이션 코

드를 손상시키지 않을 것임을 확실하게 보장해야 합니다.

IBM Security Systems 17

근간의 변화: 2014년에 공개된 취약점

이번 연말 취약점 분석에서는 자동화된 테스트 툴 하나로 취약점 공개의 양상이 어떻게 바뀔 수 있는가를

살펴봅니다.

BM X-Force는 1997년부터 보안 취약점의 일반 공개를 문

서화하고 있습니다. X-Force 연구진이 벤더의 소프트웨어

권고를 취합하고 보안 관련 메일링 리스트를 읽고 조치,

익스플로잇, 취약점 정보가 공개되는 수백 개의 취약점 웹 페

이지를 분석합니다. 이러한 조사 결과를 X-Force 데이터베이스

에 카탈로그화합니다. 현재 88,000개 이상의 고유한 취약점 정

보가 수록되어 있으며, 이는 IBM Security Network Protection

플랫폼의 기초가 됩니다.

X-Force 데이터베이스에 카탈로그화된 각 취약점은 고유한 XFID

(X-Force ID)로 식별됩니다. 신규 XFID는 CNA(CVE Numbering

Authorities)에서 신규 CVE 식별자를 생성할 때 적용하는 것과

동일한 컨텐츠 결정 절차에 따라 부여됩니다.34 X-Force는 공식

CVE 목록을 지속적으로 모니터링하고 새로운 취약점을 X-

Force 데이터베이스에 포함시킵니다. X-Force 데이터베이스는

공식 CVE 식별자 정보를 포함하지만, CVE 식별자가 없는 취약

점도 이 데이터베이스에 수록될 수 있습니다. 이 글을 쓰는 현

재, X-Force가 지금까지 수집한 취약점 중 20,000개는 공식

CVE 식별자가 없으며, 최근의 상황을 보면 이 카탈로그가 크게

늘어날 가능성이 있습니다.

공식 CVE 식별자가 없는 취약점의 예

취약점이 일반에 공개되고 몇 주, 몇 개월 또는 몇 년이 지난 후에 공식

CVE가 지정되는 경우가 많습니다. 대개는 대기업이 아닌 벤더 또는 보

안 연구자가 표준 공개 절차를 따르지 않고 취약점을 공개했기 때문입

니다. 연구자가 신규 CVE를 공식적으로 요청하지 않은 경우도 있습니다.

X-Force 데이터베이스에 수록되었지만 아직 CVE가 없는 취약점 중 몇

가지를 소개합니다. 향후 MITRE에서 이 취약점에 CVE를 부여할 가능

성도 있습니다. X-Force 데이터베이스 팀은 취약점을 기록하고 가급적

일찍 시그니처 보호를 제공하는 것을 중요하게 여기며, 이는 IBM

Security Network Protection 플랫폼의 보안 위협 사전 예방에도 반영

됩니다.

WinRAR 파일 이름 스푸핑

· XFID 공개 보고: 2014년 3월 23일

· IBM Security Network Protection 보호 제공: 2014년 5월 13일

MicroSCADA Wserver CreateProcess 원격 코드 실행

· XFID 공개 보고: 2013년 4월 5일

· IBM Security Network Protection 보호 제공: 2014년 7월 7일

MicroSCADA Wserver 원격 코드 실행

· XFID 공개 보고: 2013년 4월 5일

· IBM Security Network Protection 보호 제공: 2014년 7월 7일

NTP 서비스 거부(DoS)

· XFID 공개 보고: 2014년 8월 25일

· IBM Security Network Protection 보호 제공: 2014년 10월 13일

I

18 IBM X-Force 보안 동향 및 위험 보고서(2015년 1분기)

2014년의 취약점 공개

2014년은 X-Force에게 기록적인 해였습니다. 2,600여 개 벤더

에 영향을 주는 9,200개 이상의 신규 보안 취약점을 카탈로그

에 등록했습니다. 2013년 대비 9.8% 늘어난 것으로, X-Force의

18년 역사상 단일 연도 합계 중 최고 기록입니다. IBM X-Force

보안 동향 및 위험 보고서(2014년 3분기)에서는 취약점 공개

건수가 감소할 가능성을 기대하면서 연간 취약점 합계가 2011

년 이후 최초로 8,000개 미만이 될 수도 있다고 밝혔습니다. 그

러나 지난 9월, CERT/CC의 한 연구자가 Android 취약점에 대

한 획기적인 발표를 하면서 이 예측은 완전히 바뀌었습니다.35

이 연구자가 CERT/CC Vulnerability Note VU#582497을 통해

밝힌 취약점 유형은 수천 개의 Android 애플리케이션에 영향

을 미치는 것으로 SSL 인증서의 유효성 검사 오류를 일으킵니

다. 공격자는 이 취약점을 이용하여 해당 모바일 애플리케이션

에 대해 MitM 공격을 가할 수 있습니다. 공격을 받는 애플리케

이션의 유형에 따라 공격자가 코드를 실행하거나 기밀 정보(개

인 정보, 금융 정보, 기타 정보)를 취득하여 다른 공격에 활용할

가능성도 있습니다.

연도별 취약점 공개 증가 추이

1996년부터 2014년까지

여기에는 XFID가 부여된 약 9,200개의 취약점이 포함됩니다.

CERT/CC에서 공개한 Android 취약점까지 추가하면 합계는

크게 늘어납니다.

1996년부터 2006년까지 연간 취약점 공개 건수는 100개 미만에서

약 7,000개로 빠르게, 꾸준히 증가했습니다. 그 이후 2014년에

CERT/CC의 발표 시점까지는 증가 속도가 다소 줄었습니다.

1996년 ~ 2006년의

연평균증가율

2006년 ~ 2014년의

연평균증가율

(CERT/CC 발표 전)

그림 5. 연도별 취약점 공개 증가 추이, 1996년부터 2014년까지

IBM Security Systems 19

X-Force는 이 발표 내용과 취약한 애플리케이션을 분석하는 중

이며, 이 연구의 진전에 따라 이 취약한 애플리케이션에 대한

XFID를 생성할 것입니다. 이 분석이 마무리되면 2014년의 총

취약점 수는 30,000개 이상으로 보고될 수 있습니다. 그렇다면

이 합계가 한 해 동안 급증한 수치로 인정될 것인가 아니면

CERT/CC 발표에 쓰인 것과 같은 자동화 툴을 통해 더 많은 취

약점이 발견되고 공개되면서 새로운 표준으로 자리잡을 것인

가가 관건입니다.

그림 6에서는 VU#582497과 관련된 Android 애플리케이션 취

약점 공개 건수와 10대 대형 소프트웨어 벤더를 포함한 벤더에

서 발표한 공개 건수를 비교합니다. CERT/CC 공개가 연도 합계

의 약 15%를 차지하면서 최종 수치를 신기록에 올려놓았습니

다. 참고로 이 비율은 CVE ID가 있는 약 1,400개의 Android

SSL 취약점만 포함한 것이며, 앞서 언급한 CERT/CC 취약점 발

표에서 제시했고 현재 추적 중인 2만여 개의 취약점은 포함하

지 않았습니다.

범주별 취약점 공개 2014년 전체 공개 대비 비율

그림 6. 범주별 취약점 공개, 2014년 전체 공개 대비 비율

자동화 테스트 툴 하나의 위력

Will Dormann의 CERT/CC 기사, “Announcing CERT/CC Tapioca

for MITM Analysis”36에서는 CERT/CC의 한 연구자가 Android

애플리케이션의 보안을 테스트하는 데 적용한 방법을 설명합

니다. 그는 이 테스트를 자동화할 수 있는 툴을 개발했습니다.

CERT/CC는 Tapioca 툴을 웹 사이트에서 무료로 배포하고 있는

데, 가상 시스템 어플라이언스의 형태이며 MitM 테스트와 분

석을 수행하도록 미리 구성되어 있습니다. 개발자와 연구자는

Tapioca 패키지의 툴을 통해 사용자의 입력 작업 없이 Android

애플리케이션에 MitM 공격에 대한 취약점이 있는지 검사하고

그 결과를 분석할 수 있습니다.

CERT/CC의 분석에서는 먼저 Google Play Store의 애플리케이

션을 체계적으로 검사하고 동적으로 테스트하면서 어떤 애플

리케이션이 SSL 인증서의 유효성 검사를 제대로 수행하지 않

는지 확인합니다. 이 과정을 통해 개별 애플리케이션에서 (지금

까지) 수천 개의 MitM 공격 취약점이 발견되었습니다. 달리 말

하자면, 이 보고서는 동일한 근본적 취약점이 다양한 애플리케

이션에 영향을 주고 있음을 밝힙니다. 이는 다양한 애플리케이

션을 공격하는 각기 다른 방식이 수천 가지에 달한다는 의미가

아닙니다. 수많은 개발자가 각자의 애플리케이션을 업데이트해

야 하지만, 각자 처음부터 문제를 해결해야 하는 것이 아니라

이들 모두 동일한 로직을 변경해야 합니다. 또한 이러한 문제

유형을 추적하는 방식은 CVE 편집국에서 쟁점이 될 것이며, 새

로운 옵션이 나오는 동안 논의가 계속될 것으로 보입니다.

기타 공개

범주 10대 대형

벤더의 공개

CERT/CC

VU#582497

관련 공개

20 IBM X-Force 보안 동향 및 위험 보고서(2015년 1분기)

결론

요약하자면 CERT/CC에서 개발한 툴은 설령 보안 테스트를 하

더라도 수작업으로 진행했던 업계의 오랜 관행에서 벗어나 체

계화하고 자동화하는 첫걸음을 내디딜 수 있게 합니다. 지금까

지는 보안 연결을 위험하게 만들 수 있는 SSL/TLS 취약점 위주

로 테스트가 실시되었습니다. 이 툴은 또 다른 기능도 제공합

니다. 그렇다면 과연 다른 관계자들이 CERT/CC가 시작한 이 노

력에 동참할 것인가가 관건입니다.

만약 그렇게 된다면, 그 노력의 성과가 나오면서 취약점 공개

건수가 크게 증가할 것으로 보입니다. 일부 보고서에서는 특정

애플리케이션의 문제점을 지적하거나 전반적인 부실한 개발

관행(예: SSL 인증서 체인의 유효성 검사 생략)을 드러낼 것입

니다. 다수의 애플리케이션에서 사용하는 시스템 서비스 및 프

레임워크의 오류가 밝혀질 수도 있습니다. 하지만 다양한 "스

토어"에서 무수히 많은 애플리케이션이 취급되는 만큼 현재의

방식대로라면 각각의 시스템 또는 프레임워크 문제에서 수천

건의 개별 취약점 공개가 나올 수 있습니다.

사용자이자 업계 구성원으로서 다른 관계자들의 동참을 기대할

만합니다. 이러한 취약점 공개를 통해 더 우수한 평판과 자금력

을 가진 벤더가 출시 전에 애플리케이션을 테스트하기 위해 더

완성된 기술을 내놓을 수도 있습니다. 그러면 문제를 찾아내고

해결 방법을 알리고 애플리케이션 개발자에게 압력을 가해 더

면밀한 주의를 기울이게 함으로써 전반적인 보안 수준을 획기

적으로 높여 업계로서는 최상의 결과를 얻을 수 있습니다.

IBM Security Systems 21

IBM 보안 연구소 X-Force 소개

정교화된 위협은 모든 곳에 도사리고 있습니다.

IBM 전문가의 통찰력을 활용하여 위험을 최소화하십시오.

BM X-Force 연구 개발 팀은 취약점, 익스플로잇, 능동적

공격, 바이러스, 기타 악성코드, 스팸, 피싱, 악성 웹 컨텐츠

를 포함한 최신 보안 위협 동향을 연구 및 모니터링합니다.

IBM X-Force는 고객 및 대중에게 새롭게 나타난 치명적인 위

협에 대한 정보를 제공할 뿐만 아니라, IBM의 고객을 이러한

위협으로부터 보호하기 위한 보안 컨텐츠를 제공합니다.

IBM Security 관련 협업

IBM Security는 여러 브랜드를 통해 광범위한 보안 역량을 제

공합니다.

• IBM X-Force 연구 개발 팀은 광범위한 컴퓨터 보안 위협, 취

약점, 공격자가 이용하는 최신 동향 및 방법을 발견, 분석, 모

니터링 및 기록합니다. IBM 내부의 다른 그룹들은 이러한 풍

부한 데이터를 이용해 IBM 고객을 위한 보호 기술을 개발합

니다.

• IBM Security Trusteer 제품군은 종합적인 엔드포인트 사이

버 범죄 예방 플랫폼을 제공하여 금융 사기 및 데이터 유출

사고로부터 기업을 보호합니다. 수백 곳의 조직 및 수천만

명의 엔드 유저가 IBM Security 제품을 통해 웹 애플리케이

션, 컴퓨터 및 모바일 장치를 정교화된 악성코드, 피싱 공격

과 같은 온라인 위협으로부터 보호하고 있습니다.

• IBM X-Force 컨텐츠 보안 팀은 크롤링, 독립적 추적 및 IBM

Managed Security Services에서 제공하는 피드를 통해 독립

적으로 웹을 검색 및 분류합니다.

• IBM Managed Security Services 는 엔드포인트, 서버(웹 서

버 포함), 일반 네트워크 인프라를 노리는 익스플로잇 공격

을 감시합니다. 이 팀은 웹뿐 아니라 이메일, 인스턴트 메시

징과 같은 다른 경로를 통해 유포되는 각종 익스플로잇을 추

적합니다.

• IBM Professional Security Services는 전사적인 보안 평가,

설계, 구축 서비스를 제공하여 효과적인 정보 보안 솔루션을

구현할 수 있도록 지원합니다.

• IBM QRadar® Security Intelligence Platform은 SIEM(Security

Intelligence and Event Management), 로그 관리, 구성 관리,

취약점 평가 및 이상 항목 발견을 위한 통합 솔루션을 제공

합니다. 또한, 통합 대시보드와 실시간 분석 기능을 통해 사

람, 데이터, 애플리케이션, 인프라 전반의 보안 및 규정 준수

관련 위험을 조명합니다.

• IBM Security QRadar Incident Forensics은 기업의 보안 팀이

네트워크 활동을 모니터링하고 사용자의 활동을 정확하게

파악할 수 있도록 지원합니다. 패킷-캡처(PCAP) 파일의 메타

데이터와 페이로드 컨텐츠를 모두 색인화하여 세션을 완전

히 재구성하고 디지털로 형상화하고 의심스러운 컨텐츠를

집중 분석하고 시각화 기술을 활용하여 검색 기반의 데이터

탐색을 활성화합니다. QRadar Incident Forensics는 QRadar

Security Intelligence Platform과 손쉽게 통합하고 QRadar 단

일 콘솔 관리 인터페이스에서 액세스할 수 있습니다.

• IBM Security AppScan®은 취약점을 파악하고 보고서를 생

성하여 편리하고 지능적인 해결 방법을 조언함으로써 웹 및

모바일 애플리케이션의 보안 평가, 애플리케이션 보안 프로

그램 관리 강화, 규정 준수를 지원합니다. IBM HASM(Hosted

Application Security Management) 서비스는 프리프로덕션

및 프로덕션 환경 모두에서 AppScan을 사용하여 웹 애플리

케이션에 대한 동적 테스트를 수행하는 클라우드 기반 솔루

션입니다.

I

22 IBM X-Force 보안 동향 및 위험 보고서(2015년 1분기)

도움 주신 분들

IBM X-Force 보안 동향 및 위험 보고서는 IBM의 전사적인

협업을 통해 제작되었습니다. 본 보고서의 간행과 관련하여

관심을 가지고 공헌해 주신 다음 분들께 감사의 말씀을 드

립니다.

추가 정보

IBM X-Force에 대한 추가 정보를 확인하려면

ibm.com/security/xforce/를 방문해 주십시오.

도움 주신 분 직위

Brad Sherrill IBM X-Force Exchange & IBM X-Force Database 엔지니어링 매니저

Chris Poulin IBM X-Force 리서치 전략가

David Kaplan BM X-Force Advanced Research 애플리케이션 보안 리서치 전략가

Doug Franklin IBM X-Force Advanced Research 리서치 테크놀로지스트

Etay Maor IBM Security 수석 사기 방지 전략가

Jason Kravitz IBM Security Techline 전문가

Leslie Horacek IBM X-Force Threat Response 매니저

Pamela Cobb IBM X-Force & Threat Portfolio 전 세계 시장 부문 매니저

Roee Hay IBM X-Force Advanced Research 애플리케이션 보안 그룹 책임자

Scott Moore IBM X-Force 소프트웨어 개발자

IBM Security Systems 23

1 “Russia gang hacks 1.2 billion usernames and passwords,” BBC News Technology, 6 August 2014. http://www.bbc.com/news/technology-28654613

2 Natalie Kerris and Trudy Muller, “Apple Media Advisory: Update to Celebrity Photo Investigation,” Apple Press Info, Accessed 16 February 2015.

http://www.apple.com/pr/library/2014/09/02Apple-Media-Advisory.html

3 “Third-Party Applications and the Snapchat API,” Snapchat, 14 October 2014.

http://blog.snapchat.com/post/99998266095/third-party-applications-and-the-snapchat-api/

4 Dana Tamir, “Who Hacked Sony? New Report Raises More Questions About Scandalous Breach,” IBM Security Intelligence Blog, 5 February 2015.

http://securityintelligence.com/who-hacked-sony-new-report-raises-more-questions-about-scandalous-breach

5 Chris Poulin, “What to Do to Protect against Heartbleed OpenSSL Vulnerability,” IBM Security Intelligence Blog, 10 April 2014.

http://securityintelligence.com/heartbleed-openssl-vulnerability-what-to-do-protect

6 Paul Ducklin, “Anatomy of a ‘goto fail’ - Apple’s SSL bug explained, plus an unofficial patch for OS X,” Naked Security, 24 February 2014.

https://nakedsecurity.sophos.com/2014/02/24/anatomy-of-a-goto-fail-apples-ssl-bug-explained-plus-an-unofficial-patch/

7 Michelle Alvarez, “Revelations in data protection in the aftermath of shellshock,” Security Intelligence, 28 October 2014.

http://securityintelligence.com/revelations-in-data-protection-in-the-aftermath-of-shellshock/#.VNjLpGNTcog

8 Rose Troup Buchanan, “Dropbox passwords leak: Hundreds of accounts hacked after third-party security breach,” The Independent, 14 October 2014.

http://www.independent.co.uk/life-style/gadgets-and-tech/nearly-seven-million-dropbox-passwords-hacked-pictures-and-videos-leaked-in-latest-thirdparty-security-

breach-9792690.html

9 Lisa Vaas, “Carwash POS systems hacked, credit card data drained,” Naked Security, 25 June 2014.

https://nakedsecurity.sophos.com/2014/06/25/carwash-pos-systems-hacked-credit-card-data-drained

10 Chris Poulin, “What Retailers Need to Learn from the Target Breach to Protect against Similar Attacks,” IBM Security Intelligence Blog, 31 January 2014.

http://securityintelligence.com/target-breach-protect-against-similar-attacks-retailers

11 “Exchange hacked - stolen passwords and documents,” Niebezpiecznik, 23 October 2014.

http://niebezpiecznik.pl/post/gielda-papierow-wartosciowych-zhackowana/

12 Mark Stockley, “Millions of Drupal websites at risk from failure to patch,” Naked Security, 30 October 2014.

https://nakedsecurity.sophos.com/2014/10/30/millions-of-drupal-websites-at-risk-from-failure-to-patch/

13 Claire Reilly, “Aussie Travel Cover hack exposes details of 770,000 customers,” CNET, 20 January 2015.

http://www.cnet.com/au/news/aussie-travel-cover-hack-exposes-customer-details/

14 Kate Knibbs, “Report: Mysterious Russian Malware Is Infecting 100,000+ Wordpress Sites,” Gizmodo, 15 December 2015.

http://gizmodo.com/mysterious-russian-malware-is-infecting-over-100-000-wo-1671419522

15 Stephanie Mlot, “DDoS Attack Puts Code Spaces Out of Business,” PCMag, 19 June 2014. http://www.pcmag.com/article2/0,2817,2459765,00.asp

16 Adrian Weckler, “Eircom forced to shut email services after hacking breach,” Indpendent.ie, 5 January 2015.

http://www.independent.ie/business/technology/eircom-forced-to-shut-email-services-after-hacking-breach-30234537.html

17 Ionut Ilascu, “City of Phoenix Computers Under DDoS Attack,” Softpedia, 28 October 2014.

http://news.softpedia.com/news/City-of-Phoenix-Computers-Under-DDoS-Attack-463286.shtml

18 Lily Hay Newman, “Evernote and Feedly Are Recovering After Sustained Hacker Attacks,” Future Tense, 11 June 2014.

http://www.slate.com/blogs/future_tense/2014/06/11/evernote_and_feedly_were_down_because_of_a_ddos_attack.html

19 Ms. Smith, “Ransomware: City of Detroit didn’t pay, TN sheriff’s office did pay to decrypt,” Network World, 19 November 2014.

http://www.networkworld.com/article/2850052/microsoft-subnet/ransomware-city-of-detroit-didnt-pay-tn-sheriffs-office-did-pay-to-decrypt.html

20 Rick M. Robinson, “Wiper Malware Poses Destructive Threat,” Security Intelligence, 21 January 2015.

http://securityintelligence.com/wiper-malware-poses-destructive-threat/#.VNDlQmPVuhM

21 Pamela Cobb, “German Steel Mill Meltdown: Rising Stakes in the Internet of Things,” IBM Security Intelligence Blog, 14 January 2015.

http://securityintelligence.com/german-steel-mill-meltdown-rising-stakes-in-the-internet-of-things

22 Benjamin Elgin and Michael A. Riley, “Nuke Remark Stirred Hack on Sands Casinos That Foreshadowed Sony,” Bloomberg Business, 11 December 2014.

http://www.bloomberg.com/news/articles/2014-12-11/nuke-remark-stirred-hack-on-sands-casinos-that-foreshadowed-sony

23 Eset Research, “Sednit espionage group now using custom exploit kit,” welivesecurity, 8 October 2014.

http://www.welivesecurity.com/2014/10/08/sednit-espionage-group-now-using-custom-exploit-kit/

24 Jaime Blasco, “Scanbox: A Reconnaissance Framework Used with Watering Hole Attacks,” AlienVault, 28 August 2015.

https://www.alienvault.com/open-threat-exchange/blog/scanbox-a-reconnaissance-framework-used-on-watering-hole-attacks

25 Dana Tamir, “Massively Distributed Citadel Malware Targets Middle Eastern

Petrochemical Organizations,” IBM Security Intelligence Blog, 15 September

2014. http://securityintelligence.com/massively-distributed-citadel-malware-

targets-middle-eastern-petrochemical-organizations

26 Brian Krebs, “ZeuS Source Code for Sale. Got $100,000?” Krebs on Security,

February 2011.

http://krebsonsecurity.com/2011/02/zeus-source-code-for-sale-got-100000/

27 Brian Krebs, “‘Citadel’ Trojan Touts Trouble-Ticket System,” Krebs on Security,

23 January 2012.

http://krebsonsecurity.com/2012/01/citadel-trojan-touts-trouble-ticket-system/

28 Etay Maor, “Going Global: New Citadel Trojan Automatically Localizes Fraud

Content,” IBM Security Intelligence Blog, 30 June 2014.

http://securityintelligence.com/new-citadel-trojan-automatically-localizes-

fraud-content-global

29 Dana Tamir, “Cybercriminals Use Citadel to Compromise Password

Management and Authentication Solutions,” IBM Security Intelligence Blog, 19

November 2014.

http://securityintelligence.com/cybercriminals-use-citadel-compromise-

password-management-authentication-solutions

30 “PhoneGap / Apache Cordova,” AppBrain: Stats, Accessed 16 February 2015.

http://www.appbrain.com/stats/libraries/details/phonegap/phonegap-apache-

cordova

31 Marcel Kinard, “Apache Cordova Android 3.5.1,” Cordova, 4 August 2014.

http://cordova.apache.org/announcements/2014/08/04/android-351.html

32 Roee Hay, “Apache Cordova Vulnerability Discovered: 10% of Android

Banking Apps Potentially Vulnerable,” IBM Security Intelligence Blog, 5 August

2014.

http://securityintelligence.com/apache-cordova-phonegap-vulnerability-

android-banking-apps

33 “Cordova vulnerability,” Google Groups, October 2014. https://groups.

google.com/forum/#!topic/android-security-discuss/FC3bMzY83dc

34 “CVE Content Decisions Overview,” CVE, 27 October 2011.

https://cve.mitre.org/cve/editorial_policies/cd_overview.html

35 Will Dormann, “Vulnerability Note VU#582497: Multiple Android applications

fail to properly validate SSL certificates,” CERT, 8 December 2014.

https://www.kb.cert.org/vuls/id/582497

36 Will Dormann, “Announcing CERT Tapioca for MITM Analysis,” CERT, 21

August 2014. http://www.cert.org/blogs/certcc/post.cfm?EntryID=203

Please Recycle

© Copyright IBM Corporation 2015

IBM Security

Route 100

Somers, NY 10589

Produced in the United States of America

2015년 3월

IBM, IBM 로고, ibm.com, AppScan, QRadar, Trusteer 및 X-Force는 전세계 여러

국가에 등록된 International Business Machines Corp.의 상표입니다. 기타 제품

및 서비스 이름은 IBM 또는 타사의 상표입니다. 현재 IBM 상표 목록은 웹 "저작권

및 상표 정보"(ibm.com/legal/copytrade.shtml)에 있습니다.

Adobe는 미국 또는 기타 국가에서 사용되는 Adobe Systems Incorporated의 상

표 또는 등록상표입니다.

Linux는 미국 또는 기타 국가에서 사용되는 Linus Torvalds의 등록상표입니다.

Microsoft 및 Windows는 미국 또는 기타 국가에서 사용되는 Microsoft Corporation

의 상표입니다.

UNIX는 미국 및 기타 국가에서 사용되는 The Open Group의 등록상표입니다.

Java 및 모든 Java 기반 상표와 로고는 Oracle 및/또는 그 계열사의 상표 또는 등

록상표입니다.

이 문서는 최초 발행일을 기준으로 하며, 통지 없이 언제든지 변경될 수 있습니다.

IBM이 영업하는 모든 국가에서 모든 오퍼링이 제공되는 것은 아닙니다.

이 문서의 정보는 상품성, 특정 목적에의 적합성에 대한 보증 및 타인의 권리 비침

해에 대한 보증이나 조건을 포함하여(단, 이에 한하지 않음) 명시적이든 묵시적이

든 일체의 보증 없이 "현상태대로" 제공됩니다. IBM 제품에 대한 보증은 제품의

준거 계약 조항에 의거하여 제공됩니다.

법률과 규정을 준수하는지 확인해야 할 책임은 고객에게 있습니다. IBM은 법률

자문을 제공하지 않으며 IBM의 서비스나 제품을 통해 관련 법률이나 규정에 대한

고객의 준수 여부가 확인된다고 진술하거나 보증하지 않습니다. IBM이 제시하는

장래 방향 및 계획에 대한 모든 진술은 특별한 통지 없이 변경 또는 철회될 수 있

으며 단지 목표 및 대상을 제시하는 것입니다.

우수 보안 관리제도에 대한 설명: IT 시스템 보안은 귀사 내/외부로부터의 부적절

한 접근을 방지, 감지, 대응함으로써 시스템과 정보를 보호하는 일을 포함합니다.

부적절한 접근은 정보의 변경, 파괴 또는 유용을 초래하거나, 타 시스템에 대한 공

격을 포함한 귀사 시스템에 대한 피해나 오용을 초래할 수 있습니다. 어떠한 IT 시

스템이나 제품도 완벽하게 안전할 수 없으며, 단 하나의 제품이나 보안 조치만으

로는 부적절한 접근을 완벽하게 방지하는 데 효과적이지 않을 수 있습니다. IBM

시스템과 제품은 합법적이며 종합적인 보안 접근방법의 일부로서 고안되며, 이러

한 접근방법은 필연적으로 추가적인 실행절차를 수반하며 가장 효과적이기 위해

서는 다른 시스템, 제품 또는 서비스가 필요할 수도 있습니다. IBM은 시스템과 제

품이 임의의 당사자의 악의적 또는 불법적 행위로부터 영향을 받지 않는다는 것

을 보장하지는 않습니다.

WGL03073-USEN-00