[보고]2011년 주요 보안 이슈 정리 및 2012년 보안 이슈 전망

1. 개 요 

 

 

 

 

2011년에도 2010년과 비슷하게 다양한 보안 위협들이 발생하였다. 잉카인터넷 대응팀에서는 이러한 보안 위협들을 다시 한번 되짚어 보고자 한다. 2009년 7월 7일에 있었던 DDoS 의 후속 공격이 약 2년 만인 2011년 3월 3일부터 일부 지역에서 DDoS 공격 징후가 감지되었던 사건이 발생하여 급박하게 대응을 했던 기억들이 아직도 생생하다. 이렇게 금년에 발생한 주요 보안 이슈들에 대해서 정리해 보고, 이를 바탕으로 2012년에 발생 가능한 보안 이슈들에 대해서 전망해 보도록 한다.

 

연일 해킹 사고에 대한 문제로 그 어느 때 보다 정보 보안에 대한 관심이 크다. 과거의 해킹은 어떤 목적보다는 해커 자신의 수준을 과시하는 정도에 그쳤지만 지금의 해킹은 훨씬 진보되고 은밀하며, 금전적인 이득을 목표로 진행되고 있다. 잉카인터넷 대응팀은 얼마 남지 않은 2011년의 보안 이슈를 정리하고 다가오는 2012년의 보안 이슈를 전망해 보고자 한다. 

■ 다시 보는 2011년 주요 보안 이슈

1. 페이스북, 트위터 등 SNS 사용자를 겨냥한 속임수 증가

구글 단축주소를 이용해 유포중인 트위터 웜 해외 확산 주의
http://erteam.nprotect.com/111

페이스북(Facebook) 담벼락 자동 게시 앱(Application) 설치 주의
http://erteam.nprotect.com/147

페이스북(Facebook), 트위터(Twitter) 등 소셜네트워크서비스(SNS)의 사용자 층이 커지면서 이를 통한 위협도 꾸준히 비례적으로 지속되고 있다. 일반적으로 많이 이용되는 단축URL 주소 서비스를 악용하여 악성 파일을 유포시키는 웹 사이트로 연결을 유도하거나, 허위로 조작된 이메일 등을 통해서 친구 추가요청 내용이나 쪽지 전달처럼 위장하여 사용자로 하여금 악성 파일에 노출되도록 하는 방식이 유행되었다.

※ SNS(Social Network Service)란?

온라인 네트워크 공간을 통해서 불특정 타인과 각종 커뮤니티 교환 등 인맥관계를 형성 할 수 있는 서비스를 뜻한다.

아래의 화면은 마치 페이스북에서 보낸 것처럼 보여지지만, [View This Wall Post] 버튼을 클릭하면 실제로는 악성 파일을 유포하는 웹 사이트로 연결시키도록 조작된 악성 이메일이다.

 

 

위와 같은 SNS를 악성파일 제작자가 악용하는 이유는 우선

"많은 사람들이 이용한다는 점"

과

"신속한 정보 전파가능"

,

"Short URL 등 변형 주소 사용 가능"

, 또한 위 그림과 같이 첨부된 파일이나 링크 클릭을 유도하는

"사회 공학적 기법 사용이 용이"

하다는 것들을 뽑을 수 있다. 이용자들은 출처가 불분명한 메일이나 링크 등은 클릭하지 않는 등의 관심과 노력이 필요하다.

2. 2011년 3월 3일 국가적 DDoS 공격 징후 발생

2011년 3월 3일경 부터 국내 일부 웹 사이트들에서 분산 서비스 거부(DDoS) 공격 현상이 발생하여 잉카인터넷 대응팀에서는 긴급 경보를 발령하는 한편, 비상 근무 체제에 돌입하였다. DDoS 공격과 관련된 악성 파일들은 국내 주요 Anti-Virus 제품들의 업데이트를 방해하고 있었기 때문에 전용 백신을 별도로 개발하여 배포하기도 하였다.

2011년 3월 3일 국내 주요 웹 사이트 DDoS 공격 발생
http://erteam.nprotect.com/131

아래 화면은 DDoS 악성 파일에 감염될 경우 Anti-Virus 제품의 업데이트를 방해하기 위해서 호스트 파일을 변경한 모습이다.

 

 

당시에 공격 대상 웹 사이트들은 다음과 같이 국내 주요 국가기관, 금융, 포털, 보안과 관련된 웹 사이트들이 포함되어 있었다.

http://www.naver.com/  [네이버]
http://www.daum.net/  [다음]
http://www.auction.co.kr/ [옥션]
http://www.hangame.com/  [한게임]
http://www.dcinside.com/  [디시인사이드]
http://www.gmarket.co.kr/ [G마켓]
http://www.cwd.go.kr/  [청와대]
http://www.mofat.go.kr/  [외교통상부]
http://www.nis.go.kr/  [국가정보원]
http://www.unikorea.go.kr/ [통일부]
http://www.assembly.go.kr/ [대한민국 국회]
http://www.korea.go.kr/  [국가대표포털]
http://www.dapa.go.kr/  [방위사업청]
http://www.police.go.kr/  [사이버경찰청]
http://www.nts.go.kr/  [국세청]
http://www.customs.go.kr/ [관세청]
http://www.mnd.mil.kr/  [국방부]
http://www.jcs.mil.kr/  [합동참모본부]
http://www.army.mil.kr/  [육군]
http://www.airforce.mil.kr/ [공군]
http://www.navy.mil.kr/  [해군]
http://www.usfk.mil/  [주한미군]
http://www.dema.mil.kr/  [국방홍보원]
http://www.kunsan.af.mil/ [주한미공군]
http://www.kcc.go.kr/  [방송통신위원회]
http://www.mopas.go.kr/  [행정안전부]
http://www.kisa.or.kr/  [한국인터넷진흥원]
http://www.ahnlab.com/  [안철수연구소]
http://www.fsc.go.kr/  [금융위원회]
http://www.kbstar.com/  [국민은행]
http://www.wooribank.com/ [우리은행]
http://www.hanabank.com/  [하나은행]
http://www.keb.co.kr/  [외환은행]
http://www.shinhan.com/  [신한은행]
http://www.jeilbank.co.kr/ [제일저축은행]
http://www.nonghyup.com/  [농협]
http://www.kiwoom.com/  [키움증권]
http://www.daishin.co.kr/ [대신증권]
http://www.korail.com/  [한국철도공사]
http://www.khnp.co.kr/  [한국수력원자력]

 

3. 주말 기간 웹 하드 사이트 변조 후 Patched 악성파일 유포 기승

일반적인 악성 파일 유포자들은 시간에 관계없이 불특정 다수의 웹 사이트를 변조시켜 지속적으로 악성 파일을 유포하는데 사용하였는데, 2011년에는 사용자들이 많은 웹 하드 사이트를 타깃으로 악성 파일을 전파시켰으며, 특히 매주 금요일 저녁부터 토요일, 일요일에만 집중적으로 일시적으로 살포하는 국지적 유포 기법을 사용하였고, 이른바 치고 빠지는 전략을 구사하였다.

이에 따라 주말기간 동안에 웹 하드 사이트를 통해서 각종 동영상을 다운로드하여 감상할려는 이용자들의 감염 빈도가 높았을 것으로 추정되고, 보안 업체들도 휴일 보안 관제와 대응에 더 많은 인력을 투입하는 상황도 발생하였다.

더불어 일부 악성 파일의 경우 시스템 파일을 감염(Patched)시키는 과정에서 다양한 시스템 오작동을 발생시켜 사용자로 하여금 블루스크린(BSOD) 등의 심각한 피해 증상을 유발시키는 사례도 보고된 바 있다.

 

 

 

윈도우 시스템 파일을 교체하는 악성파일 변종 증가
http://erteam.nprotect.com/173

주말에 집중 유포하는 악성파일 감염시 부팅 장애 부작용 발생
http://erteam.nprotect.com/175

  

 

 

4. 파이넨셜 타깃용 제우스 봇넷 P2P 버전 출현

금융 사이트 이용자들을 주요 대상으로 하고 있는 대표적 악성 파일인 제우스(Zeus)와 스파이아이(Spyeye) 등의 공격이 끊임없이 진행되고 있는 과정에 글로벌 보안 기업들이 연합하여 Zeus Bot Net 이나 C&C 사이트 등을 차단하자 제우스 악성 파일이 P2P 버전으로 한단계 업그레이드 되었다.

 

이미지 출처 : abuse.ch

 

기존 제우스 변종들이 사용하던 도메인 생성 알고리즘에서 IP 주소목록을 내장해 P2P 방식으로 감염 컴퓨터에 새로운 악성 파일을 전달하는 방식이며, 감염된 컴퓨터에서 실행되는 제우스 버전을 원격으로 확인하여 필요 시 업데이트 버전으로 교체시킬 수 있다.

대표적인 글로벌 금융권 타깃용 악성파일인 제우스와 스파이아이 등이 이메일 첨부파일, SNS, 변조된 웹 사이트 등 다양한 유포 경로를 통해서 꾸준히 전파되고 있기 때문에 사용자들의 많은 관심과 주의가 요구된다.

5. 맥(Mac OS) 기반 가짜 백신 다수 등장

애플(Apple)사의 제품들이 국내외로 큰 인기를 얻게되자 맥(Mac OS) 사용자를 대상으로 하는 허위 보안 제품(Fake AV)이 다수 등장하였다. 대표적으로 MacDefender 라는  가짜 Anti-Virus 제품이 있으며, 실제 보안 제품처럼 교묘하게 위장하고 있다.

아래 화면은 실제 MacDefender 라는 이름으로 명명된 가짜 보안 제품이며, 사용자에게 존재하지 않는 내용이나 허위로 조작된 악성 파일 감염 내역을 보여주어, 불안감을 조성시킨 후 치료를 위한 과금 결제를 유도하여 금전적 이득을 챙기려는 방식을 사용한다.

 

 

 

Mac 기반 동작 FakeAV 출현 주의 필요
http://erteam.nprotect.com/159

6. 사회 기반 시설용 내부망 보안 위협 증가

외부 인터넷 망과 내부 인트라넷 망을 2중화로 분리하여 사용하는 국가 및 기간 산업 시설은 외부의 비인가 접근이 통제되는 것이 일반적이기 때문에 내부 망에 악성 파일이 전파되거나, 외부 망에 비하여 상대적으로 위협 요소의 가능성이 낮은 편이었지만 일부 편의성 등의 목적으로 외부 인터넷 망과 연결이 되어 있거나 내부 관리자의 보안 관리 소홀, USB 이동형 매체 드라이브의 무분별한 연결 등으로 인하여 악의적 공격자로 부터 절대적 안전 지대로 평가받지는 못하고 있다.

그중 널리 알려져 있는 Stuxnet 과 Duqu 등의 악성 파일들이 있으며, 사회 기반 시설 원격 제어 감시 시스템인 스카다(SCADA) 를 대상으로 하는 다양한 보안 위협 등이 발생하였다.

Pr0f 라는 ID를 사용하는 해커는 사람들이 스카다 보안 위협의 심각성을 알 필요가 있다며 ICS-CERT(산업제어시스템 침해대응팀)는 대응 속도가 느릴 뿐만 아니라 대응 능력도 부족하다고 지적한 바 있다.

 

 

7. 지능화, 고도화된 APT 이슈 부상

APT(Advanced Persistent Threat)라는 단어는 2010년에 들어 조금씩 이용되었고, 2011년에는 언론이나 보안 리포트 등을 통해서 매우 자주 접한 보안 용어 중에 하나일 것이다. 그러나 이 용어는 실제 보안 업계에서 최초 정의된 단어는 아니고, 2006년 경 미국 공군 사령부에서 미국방부 및 주요 정보 기관들과의 긴밀한 커뮤니케이션 등을 위해 "확인된 특정 보안 위협의 형태"를 지칭하는 의미로 사용되었다.

그러나 이 용어가 정보보호 분야에서 사용되면서는 미국 공군 사령부가 사용하였던 의미와는 좀 다르게 각 단어들의 사전적인 의미를 직접적으로 해석하면서 지능화된 지속적 위협으로 사용되고 있다.

최근의 보안 위협들이 매우 고도화되고 정교화되면서 기존의 산업 스파이 형태의 위협과도 구분되며, 조직적이나 규모면에서도 가치가 높은 데이터를 탈취하는 형태로 발전하고 있다는 점이 매우 다르다. 특히 매우 은밀하게 침입하고 지속적으로 공격을 유지하면서도 알려지지 않은 Zero-Day 취약점 등을 활용하는 등 기술적인 면에서도 위협 수준이 높아진 것을 의미하며, 이것은 표적 공격과는 차별된 부분이라 할 수 있다.

과거의 위협 형태에 비해 현저히 높아진 위험성을 내포한 APT 형태의 위협들에 이상적으로 대응하기 위해서는 보안 프로그램이나 장비들에만 의존하는 단일 계층(One Layer)의 보안 시스템으로는 완벽한 실효성을 거두기는 어려우므로, 다단계적인 (Defense in Depth) 보안 시스템 프로세스로 재편성하는 것이 필요하다. 

 

 

8. 안드로이드 기반 악성 파일 급격 증가

2011년 하반기로 진입하면서 부터 안드로이드(Android) 운영체제 기반의 악성 파일이 기하급수적으로 증가하고 있다. 아직까지는 대부분 중국, 러시아 등의 해외에서 제작된 것으로 추정되며 국내 이용자들에게 직접적인 위협으로 대두되고 있지는 않다.

하지만, 안드로이드 기반의 스마트 기기 이용자가 폭발적으로 증가하고 있는 사회적 환경과 맞물려 새로운 보안 위협 요소로 발전될 가능성이 높을 것으로 예상된다.

안드로이드 기반 모바일 악성 파일 집계 현황
http://erteam.nprotect.com/215

다양한 국가를 대상으로한 과금 유발 안드로이드 악성 앱
http://erteam.nprotect.com/213

Battery Doctor로 위장된 안드로이드 악성 앱 등장
http://erteam.nprotect.com/209

E-mail 계정, 비밀번호 탈취를 시도하는 안드로이드 악성 출현
http://erteam.nprotect.com/208

 

사용자 몰래 동작되는 안드로이드 악성 유포 증가 추세
http://erteam.nprotect.com/207

안드로이드용 Spyeye 악성 애플리케이션
http://erteam.nprotect.com/200

 

 

9. HWP 한글 워드 취약점 위협 강세

한글과 컴퓨터사의 워드프로세서 포맷인 HWP 파일의 취약점을 악용한 악성 파일 유포 사례가 다수 발견되었다. 대부분 한국의 특정 국가 기관이나 유명 인사들을 타깃으로 하는 공격에 주로 악용되고 있는 것으로 추정된다. 

한글(HWP) 취약점을 이용한 악성파일 지속 등장
http://erteam.nprotect.com/216

한글 내용을 포함하여 유포되어지는 악성 문서파일 발견
http://erteam.nprotect.com/201

한글 문서(HWP)취약점을 이용한 악성파일 발견
http://erteam.nprotect.com/176

HWP 문서 파일의 경우 아직까지도 많은 사용자들이 악성 파일을 설치하는 목적으로 악용되고 있다는 인식이 적기 때문에 공격자는 보안 패치가 제공되지 않는 Zero-Day 취약점을 이용해서 은밀한 APT 공격 등에도 다수 사용했을 수 있으며, 실행 시 정상적인 내용을 보여주기 때문에 문서 파일을 열어 본 사용자가 악성 파일에 노출되었다는 것을 쉽게 인지하지 못하는 경우가 많다.

아래 그림은 실제 HWP 취약점을 가진 파일이 실행될 때의 과정을 표현한 것이다.

 

 

 
10. BIOS, MBR 변조형 악성파일 다수 등장

악성 파일들은 자신이 좀더 오랜 시간 동안 사용자에게 발각되지 않고 감염활동을 유지할 수 있기를 원하기 때문에 다양한 기법들이 이용된다. 그 중에 대표적으로 은폐 기술을 사용하는 Rootkit 이 있는데, BIOS 와 MBR 등에 감염되는 형태도 다수 보고되었고, 특히 국내 온라인 게임 사용자들을 타깃으로 하는 악성 파일이 MBR 영역을 감염 시키는 형태로 발전되어 유포되기도 하였다.

BIOS(Basic Input Output System)

- 컴퓨터의 가장 기본적인 기능을 처리해 주는 프로그램들의 집합을 의미하며, 운영체제의 가장 하위에 속해 있다. BIOS는 입출력장치나 주변장치의 구동을 위한 루틴들의 집합체라고 할 수 있으며, 모든 소프트웨어는 BIOS의 계층을 기반으로 동작하게 된다.

MBR(Master Boot Record)

- 시스템 구동에 관련된 영역이며, 컴퓨터 구동 시 가장 먼저 하드 디스크의 MBR에 기록되어 있는 프로그램이 읽혀진다. 따라서 해당 영역이 손상되면 컴퓨터 구동이 어려울 수 있다.

 

 

 

 

BIOS, MBR 변조 시도 악성파일 출현
http://erteam.nprotect.com/204

 

BIOS, MBR이 변조되는 경우 위에서 설명했듯이 백신에 의한 완벽한 치료가 어렵다. 수동 복구 조치도 매우 번거로워 일반 사용자의 경우 복구에 어려움을 느낄 수 있다. 결국 이러한 악성파일로부터 안전한 PC사용을 위해서는 잉카인터넷에서 배포하는 MBR Guard 등 MBR 영역을 보호할 수 있는 사전 방역 프로그램 사용과 동시에 기본적인 보안 관리 수칙을 준수하는 것이 무엇보다 중요하다고 할 수 있다.

11. 기업용 정식 디지털 서명 유출 악성파일에 악용

파일의 무결성과 보안성을 유지하기 위해서 사용하는 디지털 인증서는 악성 파일들에 의해서 악용되는 사례가 많은 편이었지만 대부분이 조작된 허위 인증서 구조를 가지고 있었다. 그러나 대표적으로 스턱스넷과 같은 악성 파일들이 유효한 정식 디지털 서명을 사용함에 따라서 많은 Anti-Virus 제품들이 정상 파일로 구분하는데 더 이상 디지털 서명을 사용하고 있지 않는 계기도 되었다.

악성 파일들이 자신을 마치 정상적인 파일처럼 보이기 위해서 디지털 서명을 사용하는 것이 주된 목적이며, 그러기 위해서 정식 디지털 서명을 탈취하기 위해서 소프트웨어 개발자들의 컴퓨터까지 침입하는 사례도 증가하고 있는 것으로 보여진다.

아래 화면은 실제 유효한 디지털 서명을 사용한 악성 파일의 속성 정보이다.

 

 

12. 대형 포털, 기업, 게임사 해킹 개인 정보 유출 사고

금년에는 대형 포털 사이트와 인터넷 기업, 온라인 게임업체 등 다수에서 회원들의 개인 정보가 유출되는 사고가 발생하여 사회적으로 큰 문제가 되었으며, 유출된 개인 정보가 또 다른 보이스 피싱, 스팸 문자 등에 악용될 수 있어 다양한 대책 마련이 필요하다는 목소리가 나오고 있는 실정이다.

 

 

   
 

 

 

 

 

 

13. 정상 동영상 프로그램 변조를 통한 DDoS 시도

2009년 7월 7일 발생했던 DDoS 공격은 웹 하드 사이트를 해킹하여 업데이트 프로그램을 변조시킨 후 수 많은 사용자들에게 악성 파일이 업데이트 되도록 만든 익히 알려져 있지 않았던 악성 파일 유포 방식을 도입한 바 있다.

이러한 방식과 비슷하지만 웹 사이트 서버를 해킹하여 특정 프로그램의 설치파일에 악성 파일을 추가하는 방식이 최근 발견되었다. 정상적인 웹 사이트에서 정식 배포하는 프로그램에서도 외부의 불법 침입과 임의 조작에 의해서 악성 파일로 둔갑될 수 있다는 것을 증명한 실제 사례로 앞으로 이러한 유사 사례의 악성 파일 유포 기법이 다양한 방식으로 발전될 수도 있으므로, 기업의 관리자들은 웹 사이트의 관리와 프로그램 무결성 유지를 위해서 꾸준한 노력이 필요할 것으로 보인다.

동영상 재생 플레이어 변조를 통한 DDoS 악성파일 유포
http://erteam.nprotect.com/217

 

 

 

■ 2012년 주요 보안 이슈 전망

2012년에도 어김없이 ▶사회공학적 기법과 취약점 관련 악성파일이 기승을 부릴 것으로 추정된다. 보안에 대한 이슈나 관심이 높아지면서 좀 더 손쉽게 악성파일을 유포하기 위해 향후에도 변함없이 사회공학적 기법은 유용하며, ▶발표되지 않은 보안 취약점에 대한 Zero-Day 공격을 가미한 APT 등 취약점 관련 악성파일들도 사전 대응이 어려운 만큼 지속적으로 기승을 부릴 것이 분명하다.

이에 개인 및 단체, 기관, 기업 들의 담당자들은 각종 취약점에 대한 검토를 진행해야 하며, 이러한 위협에 대비하기 위한 메뉴얼을 수립하는 등 세부적인 보안의식 함양 노력이 필요하다. 특히, 내부 직원의 보안 교육을 강화하여, 외부로 부터의 은밀한 공격에 쉽게 노출되어 기업 내부의 중요 정보가 외부로 유출되는 사고가 발생되지 않도록 하는 준비가 요구된다.

▶안드로이드 기반 스마트 기기의 보급은 날로 늘어나며, SNS와 같은 서비스 역시 2012년에는 올해보다 규모나 파급 효과가 커질 것으로 예상되므로 악의적 목적을 가지는 스마트 기기용 애플리케이션 등장 이외에도 SNS를 매개체로 한 악성파일 유포가 다양한 기법으로 출현 할 수 있을 것으로 예상된다.

더불어 올해와 마찬가지로 ▶사회적 이슈에 따른 악성파일 출현, 또한 현재도 동일한 제작자에 의한 것으로 추정되며, 매일 변종이 유포되고 있는 ▶DDoS 공격, 유명 온라인 게임 계정 탈취를 위한 특정 악성파일 유포 기법 또한 지속적으로 출현 할 것으로 전망되고, 국가 기관이나 기업, 특정 인물들을 타깃으로 하는 APT 공격이 좀더 고도화 지능화되어 발생할 것으로 보인다.

2011년 주요 보안 이슈에서 정리하였던 사항 및 아래와 같은 보안 관리 수칙 등을 바탕으로 2012년에는 사용자 및 관리자 스스로가 악성파일로 부터 안전할 수 있도록 더욱더 주의를 기울여야 할 것으로 예상된다.

 

[보안 관리 수칙]

1. 사용중인 운영체제(OS)의 취약점을 보완하기 위한 각종 보안패치의 생활화

2. P2P 사이트 등을 통한 불법적인 다운로드 행위 지양

3. Flash Player(SWF), Adobe Reader(PDF), Office 등 응용 프로그램 취약점을 보완하기 위한 보안패치의 생활화

4. 신뢰 할 수 있는 백신 제품 사용과 최신 엔진 및 패턴 버전 유지를 위한 업데이트 생활화

5. 수신처가 불분명한 메일의 열람이나 첨부파일에 대한 다운로드 지양

6. 인터넷 뱅킹 등 금융 거래를 이용하는 사용자가 각자 이용중인 서비스에 대한 정기적 비밀번호 변경 생활화