동향 리포트/년간 동향 리포트

[발표]2012년 상반기 보안 이슈 결산 및 TOP10 선정

TACHYON & ISARC 2012. 7. 2. 11:05

잉카인터넷 ISARC 대응팀은 2012년 상반기 중에 발생한 각종 주요 보안 이슈와 사례를 종합 분석하여 2012년 상반기 보안 이슈 결산 및 TOP10 보안 위협을 선정하였다. 2012년 상반기에도 2011년과 비슷한 보안 위협들이 다수 발생하였지만, 공격 트렌드에 있어서는 다소 고도화되고 지능적으로 발전된 양상을 보였다.

이번 보안 동향은 잉카인터넷 ISARC 대응팀을 통해 2012년 상반기에 출현하였던 대표적인 보안 위협들을 되짚어보고, 하반기에 출현 가능한 위협 요소들을 예측하여 사전에 대처할 수 있는 기초 자료로 활용하는데 그 취지가 있으며, 각 계 보안 의식 제고에 대한 공감대 형성을 이루는데 그 주 목적이 있다.


 

 

2012년 상반기 중에 발생한 주요 보안위협은 그 정도의 차이가 있을 뿐 예년과 거의 유사한 양상을 보였다.

온라인 게임계정 탈취 목적의 악성파일 기승

이 대표적이며, 불특정 다수를 상대로한 무차별 공격 형태가 아닌 이른바

표적공격 형태를 지칭하는 지능형지속위협(APT)이 본격적으로 가시화

되고 있다는 점,

안드로이드 운영체제 기반의 모바일 악성파일이 급격하게 증가

하였다는 것이 주목할 만한 이슈이다. 더불어

SNS 활성화 기반을 역이용한 악성파일

,

한컴 오피스의 HWP (Zero-Day)취약점을 이용한 국지적 공격이 눈에 띄게 증가

하고 있다는 부분도 특징 중에 하나이다. 또한,

국내 금융권을 대상으로 한 악성파일 다수 발견

,

북한 핵실험 및 핵안보정상회의 관련된 정치적 악성파일 등장

,

성인동영상 파일에 은밀하게 숨겨진 악성파일 증가

정상프로그램 변조를 통한 악성파일 유포기법

,

사회기반시설을 표적으로 하는 악성파일 등장

 등이 대표적이라 할 수 있다. 물론

사회공학기법을 이용하거나 Zero-Day 취약점을 이용한 공격은 공통분모

로 사용되고 있다.



01. 해커의 특명? 시스템  파일을 악성파일로 변조하여 온라인 게임 계정을 탈취하라!

약 2005년 경 즈음하여 당시 코리아닷컴 등 국내외 유명 웹 사이트들이 변조되어 각종 보안취약점에 노출된 악성파일(Exploit Code)이 유포되기 시작하였다. 이 때부터 인기있는 온라인 게임 사용자들의 계정 정보 탈취가 성행하기 시작하였다. 2012년 상반기 중에는 ws2help.dll, version.dll 등 각종 윈도우 운영체제의 정상 시스템파일을 변조(Patched/Forwarded) 또는 악성파일로 교체하여 일반인들이나 Anti-Virus 제품들이 치료하기 불편하게 방해하는 기법이 자주 등장하였다. 그렇지만 각 보안업체들은 해당 악성파일에 대한 기법을 신속히 분석하여 변종들에 대한 일괄진단(Generic Detection) 기능 등을 탑재하는 등 능동적으로 방어 시스템을 유지하고 있다. 

[주의]ws2help.dll 시스템 파일을 교체하는 악성파일 기승
http://erteam.nprotect.com/233

[주의]ws2help.dll 변장형 악성파일, 돌연변이로 재탄생?
http://erteam.nprotect.com/235

 

 


02. 스마트한 글로벌 해커! 당신의 조직을 표적으로 노리고 있다.

잉카인터넷 대응팀은 2012년 03월 02일 금요일 경 일본의 행정관청 중에 하나인 국토교통부 산하 국토지리원의 특정 사용자에게 CVE-2012-0754 보안 취약점을 이용한 악성파일을 은밀하게 조작하여 발송한 것을 발견하였다. 악성파일은 Adobe Flash Player 취약점 코드를 가진 엑셀(Excel) 문서파일을 첨부한 형식이며, 수신자가 보안 업데이트가 설치되지 않은 상태에서 해당 문서파일을 실행할 경우 악성파일에 감염되어 피해를 입게 되는 형태이다.

한국, 일본, 대만, 미국 등 다국적을 상대로 한 지능화된 표적 공격이 지속적으로 발견되고 있으나, 감염 사실을 인지하기 어렵고, 해당 기관이나 기업이 공식적인 피해 사실을 파악하여 공개하는 경우는 매우 희박하기 때문에 공격자로 하여금 꾸준한 공격 가능 환경을 제공하고 있는 상황이기도 하다. 

 

[주의]일본 국토교통부 산하 국토지리원 표적 공격형 악성파일 발견

http://erteam.nprotect.com/247

[주의]3월 10일 티벳(Tibet) 봉기 53주년 기념 표적형 공격 발견

http://erteam.nprotect.com/248

이와 같은 방식은 일명 지능형지속위협(APT:Advanced Persistent Threat)이라고 불려지고 있는데, 일반적으로 특정기업이나 기관의 중요인물을 표적으로 삼아 각종 보안취약점과 위장된 내용으로 사용자를 현혹하여 꾸준히 반복적으로 공격하는 형태를 의미한다.

 

 

또한, 국내의 특정 기관이나 기업을 상대로 한 표적 공격도 다수 발견되었다.

[정보]국내 유명 기업 표적 공격(APT)형 수법 공개

http://erteam.nprotect.com/249

[이슈]국내 겨냥 최신 APT 공격자 밀착추적 및 집중해부
http://erteam.nprotect.com/251

 


03. 안드로이드 기반 악성파일 국내 자료실에서 유포 최초 발견

잉카인터넷 대응팀은 2012년 01월 06일 국내 유명 공개자료실에서 개인정보 유출 시도형 안드로이드 기반 악성파일이 배포되고 있는 것을 국내 최초로 발견하여 공식적으로 발표하였다. 그 이전까지는 대체로 중국, 러시아, 일본 등의 블랙마켓 등에서 무단배포되는 안드로이드 악성파일들이 주류를 이루고 있었다는 점에서 잉카인터넷 대응팀의 최초 발견 사례는 국내에 상륙한 안드로이드 악성파일의 첫 번째 사례로 집계되었다. 또한, 일본 성인사이트에서 유포 중인 안드로이드 악성파일도 처음으로 보고하였는데, 얼마전 해당 제작자가 일본 경찰에 검거되었다는 외신이 전해지기도 한 바 있다.

 

잉카인터넷 대응팀은 지속적인 모니터링을 수행 중이며, 최근에도 국내 자료실 등을 통한 안드로이드 기반 악성파일이 심심찮게 발견되고 있기 때문에 스마트폰 보안에 대한 필요성 및 인식전환이 필요한 시기라고 할 수 있다.

아울러 nProtect Mobile for Android 제품에는 2012년 01월부터 06월까지 상반기 동안만 약 9,700여개의 새로운 안드로이드 기반 악성파일의 진단/치료 기능을 추가한 상태이다. 이는 2011년 한해 동안 업데이트된 약 4,000여개의 두배 이상으로 증가한 상태이다.

[주의]안드로이드 기반 악성파일 국내 자료실에서 배포

http://erteam.nprotect.com/239

[긴급]국내 각종 포털 및 커뮤니티에서 안드로이드 악성파일 유포 중

http://erteam.nprotect.com/259

[주의]일본 음란 사이트에서 배포 중인 안드로이드 악성파일 발견

http://erteam.nprotect.com/240

[주의]안드로이드 악성파일 실제 유포과정 최초 공개

http://erteam.nprotect.com/257

[주의]국내 포털 및 커뮤니티에서 안드로이드 악성파일 유포 여전

http://erteam.nprotect.com/277


04. 소셜네트워크서비스(SNS)를 이용한 끈질긴 유혹

전 세계적으로 트위터(Twitter), 페이스북(Facebook) 이용자가 꾸준히 증가 유지되고, 스마트폰 활성화 등과 연계되어 악성파일 유포자들은 이를 역이용한 유포수법을 비례적으로 끊질기게 악용하고 있다. 이를테면 트위터, 페이스북 친구요청 이메일로 사칭하여 악성파일에 감염되도록 유혹하기도 하며, 단축URL 주소 서비스를 이용해서 악의적인 웹 사이트로 연결을 유도하거나, 페이스북의 채팅창을 통해서 자동으로 악의적 URL 주소를 클릭하게 만들거나 하는 등 다각적인 수법이 유행처럼 악용되고 있다.

2012년 02월 24일 경 국내에도 페이스북 채팅창을 통해서 자동으로 전파되는 웜(Worm) 형태의 악성파일이 전파되어 많은 페이스북 사용자들이 악성파일에 감염되는 사고가 있었다.

[주의]페이스북 채팅창을 이용한 악성파일 유포 시도

http://erteam.nprotect.com/246

[긴급]조작된 링크드인 인맥과 맞춤형 악성파일 국내 유입

http://erteam.nprotect.com/281

 

 


05. 한글 사용자를 주요 위협대상으로 삼고 있는 HWP 문서 취약점

2012년 상반기 중에도 다수의 HWP 문서 취약점을 악용한 악성파일이 다수 발견되었다. 특히, 국내 유명 기업이나 정부기관, 정치권 등을 겨냥하는 지능형지속위협(APT) 공격에 특화화된 HWP 문서 취약점을 은밀하게 악용하고 있다는 점에서 세심한 주의와 입체적 보안강화가 절실히 요구되고 있는 실정이다.

HWP 문서를 사용하는 기업이나 기관의 경우 이러한 악성파일에 각별한 주의가 필요하다. 이는 단 한명의 부주의나 실수로 인하여 전사적 보안 위협으로 확대될 수 있다는 점과 사이버 범죄나 테러의 피해자로 전락할 수도 있다는 것을 반드시 명심해야 한다.

[주의]악성 HWP 문서파일 호기심 자극으로 당신을 노린다.

http://erteam.nprotect.com/272

[주의]한국정보보호학회 HWP 논문 투고 규정 탈을 쓴 APT 공격

http://erteam.nprotect.com/284

[긴급]HWP 문서 0-Day 취약점 이용한 APT 공격발생

http://erteam.nprotect.com/297

[긴급]북핵 해결 전략 내용으로 위장된 HWP 0-Day 공격 발견
http://erteam.nprotect.com/301

 


06. 당신의 인터넷 뱅킹 예금, 오늘도 안녕하십니까?

2012년 상반기는 보이스 피싱이 한 단계 진화한 문자(SMS) 피싱이 극성을 부렸으며, 이후 문자 피싱은 악성파일과 추가 결합한 형태로 또 다시 발전을 거듭하고 있다.

특히, 악성파일 배포에 해킹과 정상프로그램 변조 등 고도화된 기법이 복합적으로 사용되고 있다는 점에서 자신도 모르게 개인 금융정보 유출과 예금 인출 피해로 연결될 수 있다는 점을 유념해야 하는 상황이다.

 

 

대표적으로 "보안승급서비스"라는 점으로 사용자들을 유인하고. 계좌비밀번호나 주민번호. 보안카드 일련번호 등 인터넷 뱅킹에 필요한 대부분의 개인정보를 사용자 스스로 직접 입력하도록 요구하고 가로채기하는 수법이다.
 
[주의]인터넷뱅킹 보안승급서비스 사칭한 스마트폰 문자피싱

http://erteam.nprotect.com/258

2012년 06월 초에는 이러한 문자 피싱 방식에 악성파일 감염기법이 결합한 새로운 형태가 발견되었고, 국내 유수의 인터넷 뱅킹 서비스 사용자가 표적이 되기도 하였다.

[긴급]국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포

http://erteam.nprotect.com/293

 

 



07. 북한 핵실험 및 핵안보 정상회의와 관련된 정치적 악성파일 등장

북한의 광명성 3호 발사와 3차 핵실험 강행 위협 등 국제 안보 정세에 다소 위협적인 북한의 입장 표명과 관련하여 2012년 04월 경 해외에서 악성파일이 다수 유포된 것이 발견된 바 있다. 이는 국제적인 사회문제와 직결되고 있는 이슈를 이용해서 사용자의 관심을 역이용한 방식이라 할 수 있다.

이처럼 북한과 관련된 키워드나 특정 문구 등을 이용해서 사용자들의 호기심을 자극한 후 악성파일을 전파시키는 수법은 예전부터 꾸준히 사용되고 있으므로, 유사한 내용에 각별히 주의하는 노력이 필요하다.

 

[주의]북한 핵실험 및 광명성 3호 발사와 관련된 악성파일 발견

http://erteam.nprotect.com/263

[주의]2012년 런던 올림픽 내용의 보안 위협 등장

http://erteam.nprotect.com/262

[주의]핵안보정상회의 합의문으로 위장된 범국가적 표적공격(APT) 발견

http://erteam.nprotect.com/267

[주의]국가안보전략 내용의 도움말(HLP)파일로 위장된 APT 공격발견

http://erteam.nprotect.com/280

[긴급]북핵 해결 전략 내용으로 위장된 HWP 0-Day 공격 발견

http://erteam.nprotect.com/301


08. 성인동영상을 보면 악성파일은 덤으로!

웹하드 등에서 배포되는 일부 성인 음란 동영상에서 악성파일이 몰래 유포되고 있는 것이 다수 발견되고 있다. 실제 성인동영상이 재생될 때 악성파일이 감염되는 수법도 동원되고 있기 때문에 사용자는 자신이 악성파일에 노출된 것을 쉽게 인지하기 어려운 경우도 많다.

악성파일 유포자는 다운로드 증가를 유도하기 위해서 조회수가 상대적으로 많은 음란 성인동영상에 악성파일을 교묘하게 포함시켜 유포하고 있는 것이며, 사용자가 해당 대용량 파일을 다운로드하고 실행 시 성인용 동영상 파일이 별도로 생성되고 재생도 정상적으로 가능하도록 조작하여 만들어 두었다.

 

 

사용자로 하여금 신뢰할 수 있고 정상적인 동영상 파일처럼 보이도록 하기 위해서 실제 성인 동영상을 복합적으로 포함하고 있는 속임수 수법을 활용하고 있고, 일반 사용자의 경우 대용량의 파일에 악성파일이 포함되어 있을 것이라고는 아직 익숙하지 않다는 점에서 특별한 주의가 필요하다.

 

[주의]악성파일을 품은 섹스 동영상, 당신을 유혹한다.

http://erteam.nprotect.com/254

[주의]성인 동영상으로 위장한 악성파일 기승!

http://erteam.nprotect.com/268


09. 정상 프로그램은 악성파일 유포자들의 또 다른 먹이감?

웹 사이트에서 배포되는 정상 동영상 플레이어나 각종 애플리케이션을 불법적으로 해킹, 변조하여 악성파일을 배포하는 수법이 간간히 발견되고 있다. 그동안은 악성파일 자체를 정상파일처럼 보이도록 조작하는 방식이 주류를 이루었지만, 실제 정상 프로그램을 위변조하여 악성파일이 함께 설치하도록 조작하는 경우는 매우 드문 경우였다.

이처럼 정상적인 프로그램에 악성파일을 삽입하고 유포하는 경우 사용자들이 쉽게 인지하기 어렵다는 문제가 존재한다.

웹 사이트 운영자와 프로그램 개발자들은 자신의 프로그램이 설치될 때 무결성을 체크하도록 하거나 서버에 존재하는 파일이 위변조되지 않았는지 수시로 점검하는 노력이 중요하다.

 

 

[정보]톡플레이어 설치본과 특정 백신 제품으로 위장한 악성파일

http://erteam.nprotect.com/290

[긴급]국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포

http://erteam.nprotect.com/293

[긴급]국내 인터넷 뱅킹 표적용 악성파일 변종 지속 출현

http://erteam.nprotect.com/299


10. 플레임(Flame), 사회기반시설을 표적으로 삼는 악성파일 변종 보고

특정 국가의 사회기반시설(발전소, 교통 등)의 정상적인 사용을 방해하고 국가 내부 중요시설 정보를 은밀히 수집하기 위한 목적 등으로 개발된 Stuxnet, Duqu 의 또 다른 변종이 보고되어 국제적인 이슈가 되었다. 새롭게 발견 보고된 Flame 이라는 이름의 악성파일은 약 2년전인 2010년 이전부터 활동한 것으로 추정되고 있으며, 주로 중동지방이나 동유럽이 주된 감염 대상 지역으로 추정된다.

해당 악성파일은 컴퓨터 화면 기록 기능, 특정 대상 시스템에 대한 정보, 저장된 파일, 연락처 데이터, 컴퓨터 주변 대화내용 녹취 등 각종 기밀 정보를 탈취하도록 설계되어 있다.

뉴욕타임즈는 미국 정부가 이란의 핵시설을 무력화시키기 위해 사이버 공격을 진행할 것을 국방부에 주문했다는 사실을 보도해서 큰 반향을 일으킨 바 있다. 뉴욕타임즈에 따르면 미국과 이스라엘은 공동으로 "올림픽 게임" 이라는 프로젝트를 진행했으며, 스턱스텟(Stuxnet)은 프로젝트 중 나온 일부의 결과물이며, 양국은 이후에도 지속적으로 사이버 공격을 감행하기 위해 현재에도 프로젝트를 진행하고 있다고 보도했다.

 

 


[뉴욕타임즈]Obama Ordered Wave of Cyberattacks Against Iran
http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html?_r=1&pagewanted=all


■ 2012년 하반기 주요 보안 이슈 전망

2012년 하반기에도 어김없이 사회공학적 기법과 취약점 관련 악성파일이 기승을 부릴 것으로 추정된다. 보안에 대한 이슈나 관심이 높아지면서 좀 더 손쉽게 악성파일을 유포하기 위해 향후에도 변함없이 사회공학적 기법은 유용하며, 발표되지 않은 보안 취약점에 대한 Zero-Day 공격을 가미한 APT 등 취약점 관련 악성파일들도 사전 대응이 어려운 만큼 지속적으로 기승을 부릴 것이 분명하다.

이에 개인 및 단체, 기관, 기업 들의 담당자들은 각종 취약점에 대한 검토를 진행해야 하며, 이러한 위협에 대비하기 위한 메뉴얼을 수립하는 등 세부적인 보안의식 함양 노력이 필요하다. 특히, 내부 직원의 보안 교육을 강화하여, 외부로 부터의 은밀한 공격에 쉽게 노출되어 기업 내부의 중요 정보가 외부로 유출되는 사고가 발생되지 않도록 하는 준비가 요구된다.

안드로이드 기반 스마트 기기의 보급은 날로 늘어나며, SNS와 같은 서비스 역시 2012년에는 상반기보다 규모나 파급 효과가 커질 것으로 예상되므로 악의적 목적을 가지는 스마트 기기용 애플리케이션 등장 이외에도 SNS를 매개체로 한 악성파일 유포가 다양한 기법으로 출현 할 수 있을 것으로 예상된다.

더불어 상반기와 마찬가지로 사회적 이슈에 따른 악성파일 출현, 또한 현재도 동일한 제작자에 의한 것으로 추정되며, 매일 변종이 유포되고 있는 DDoS 공격, 유명 온라인 게임 계정 탈취를 위한 특정 악성파일 유포 기법 또한 지속적으로 출현 할 것으로 전망되고, 국가 기관이나 기업, 특정 인물들을 타깃으로 하는 APT 공격이 좀더 고도화 지능화되어 발생할 것으로 보인다.

사용자 및 관리자 스스로가 악성파일로 부터 안전할 수 있도록 아래와 같은 기본 보안 관리 수칙을 준수하도록 한다.

[보안 관리 수칙]

1. 사용중인 운영체제(OS)의 취약점을 보완하기 위한 각종 서비스팩과 보안패치의 최신 설치 생활화

2. P2P, 웹하드 사이트 등을 통한 불법적인 다운로드 행위 지양

3. Flash Player(SWF), Adobe Reader(PDF), MS Office, Hancom Office, JAVA 등 응용 프로그램 취약점을 보완하기 위한 보안패치의 생활화

4. 신뢰 할 수 있는 백신 제품 사용과 최신 엔진 및 패턴 버전 유지를 위한 업데이트 생활화

5. 수신처가 불분명한 메일의 열람이나 첨부파일에 대한 다운로드 지양

6. 인터넷 뱅킹 등 금융 거래를 이용하는 사용자가 각자 이용중인 서비스에 대한 정기적 비밀번호 변경 생활화