동향 리포트/년간 동향 리포트

[발표]키워드로 돌아보는 2012년 10대 보안위협 선정 [잉카인터넷]

TACHYON & ISARC 2012. 12. 3. 10:51
2012년 한 해 동안 수 많은 보안위협과 사고가 발생하였다. 해를 거듭할 수록 다양하고 새로운 기법의 보안위협이 지속적으로 발생하고 있다. 잉카인터넷 대응팀에서는 이러한 보안 위협들을 다시 한번 되짚어 보고, 내년에 발생가능한 보안이슈을 예견해 보고자 한다. 이는 과거에 발생했던 보안위협들을 기초로 앞으로 발생 가능한 보안위협을 전망하고, 그에 따른 사전대응 방안을 마련하는데 기초자료로 활용하는데 그 주 목적이 있다. 이에 잉카인터넷 대응팀에서는 다음과 같이 2012년 10대 주요 보안위협 이슈를 선정하여 발표한다.

 
대표적인 2012년 10대 보안 키워드로는『▶안드로이드 위협 본격상륙 ▶표적공격 기승 ▶전자금융사기 활개 ▶성인동영상 악성파일 기승 ▶온라인 게임계정 탈취 봇물 ▶사회공학기법 꼼수 ▶SNS 악성파일 매개체 ▶정상프로그램 위변조 ▶사이버 협박범 랜섬웨어 ▶사이버무기 창궐』등이 있다.


01. 안드로이드 보안위협 폭발적 증가와 국내상륙 공식발견

안드로이드 기반의 스마트폰 이용자가 기하급수적으로 증가함에 따라 안드로이드 이용자를 겨냥한 보안위협도 비례적으로 증가추세를 보이고 있다. 2012년은 외산 안드로이드 악성앱 변종들이 폭발적으로 증가한 한해이다. 한편 잉카인터넷 대응팀에서는 2012년 01월 06일 국내 대표포털 사이트의 공식자료실에서 개인정보 유출형 안드로이드 악성앱이 배포된 사실을 국내최초로 발견하였고, 약 41명의 이용자가 다운로드 한 것을 확인하였다. 이것은 안드로이드 악성앱이 국내에 상륙한 첫 번째 사례로 공식집계된 바 있고, 국내도 모바일 보안위협의 안전지대가 아니라는 점이 다시금 확인되었다.

특히, 4/4분기에는 국내 이동통신사 이용자를 직접적으로 정조준한 한국형 안드로이드 보안위협이 현실화되었다. 안드로이드 기반의 스마트폰 이용자들을 표적으로 마치 "스팸차단 프로그램", "이용요금 명세서", "요금과다청구 환급금조회" 등의 내용으로 사칭하여 악성앱(KRSpammer)을 설치하도록 시도하였다. 이는 본격적인 한국형 안드로이드 보안위협의 신호탄이라 할 수 있으며, 일부 변종은 잉카인터넷 대응팀에서 최초로 보고하였다.

[참고자료]
안드로이드 기반 악성파일 국내 자료실에서 배포 (2012년 01월 06일)

http://erteam.nprotect.com/239

통신비 환급금 조회로 위장한 안드로이드 악성파일 국내 전파 (2012년 11월 26일)

http://erteam.nprotect.com/361

02. 보안 사각지대를 노린 정교하고 지능화된 표적공격 지속
 
국내외 주요 기업과 기관 등을 겨냥한 표적공격은 지속적으로 이어졌다. 특히, 한국의 특정 기업 및 기관에 대한 다양하고 국지적인 공격시도 정황이 수 차례 포착되었고, 해당 발견시점 당시 보안취약점이 제거되지 않은 Zero-Day 공격기법도 꾸준히 발견되었다. Zero-Day 취약점 공격은 그 어원이 의미하는 것처럼 신속히 보안취약점이 해결되지 않는 이상 은밀하고 지능화된 보안위협으로 작용된다. 이 때문에 이용자들은 공격에 쉽게 노출될 가능성이 높고, 이용자 입장에서는 사전차단의 어려움이 존재한다.

특히, 국내 이용자들이 주로 이용하는 한컴 문서파일(HWP) 취약점을 이용한 악성파일들이 2012년 한해 동안만 백여개 가깝게 연이어 발견되었다. 이는 앞서 언급한 국지적 표적화 공격에 앞 다퉈 사용되는 등 문서파일의 취약점을 악용하여 마치 정상적인 공식문서로 위장한 표적공격에 유행처럼 사용되었다.

[참고자료]
국내 겨냥 최신 APT 공격자 밀착추적 및 집중해부 (2012년 03월 13일)
http://erteam.nprotect.com/251

새로운 HWP Zero-Day 취약점 악성파일 등장 (2012년 11월 26일)
http://erteam.nprotect.com/360



03. 국내 인터넷뱅킹 예금탈취 목적의 전자금융사기 본격화

국내에서 서비스 중인 대표적인 인터넷 뱅킹 이용자들의 예금탈취를 직접적으로 노린 악성파일(KRBanker)이 다양한 형태로 제작 유포되었고, 웹 사이트 해킹과 결합되는 등 갈수록 고도화되고 있다. 초기에는 특정 인터넷 방송의 동영상 재생 프로그램을 고의적으로 위변조하여 배포된 바 있고, 웹 하드 사이트의 설치파일에 악성파일을 은밀하게 포함시키는 경우도 존재했다. 이후에는 토렌트 등 이용자들이 많은 P2P 파일처럼 위장하는 등 짧은 시간에 많은 이용자들을 감염시키기 위한 다양한 공격시도가 이어졌다.

그 다음으로 국내 유수의 불특정 웹 사이트들을 변조하여, 각종 보안취약점(Exploit)과 결합된 형태로 꾸준히 진화되었으며, 안타깝지만 현재 이 시점까지도 인터넷 뱅킹용 악성파일(KRBanker) 변종들이 끊임없이 전파되고 감염자가 발생하고 있는 상황이다. 전자금융사기 사이버 범죄자들 대부분 실제 존재하지 않는 인터넷 뱅킹 "보안강화(승급)서비스"라는 명목으로 악성파일 감염자들의 공인인증서(NPKI)와 개인정보 탈취를 시도하고 있고, 실제 금융서비스에서는 절대로 요구하지 않는 보안카드 전체번호와 금융 계좌정보 등을 과도하게 입력하도록 유혹하고 있다. 최근에는 "보안강화(승급)서비스"가 모두 전자금융사기라는 내용이 많이 알려지자, 악성파일 제작자들은 "전자금융사기 예방서비스" 라는 새로운 문구로 이용자들을 의도적으로 현혹시키고 있다.

[참고자료]
국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포 (2012년 06월 11일)
http://erteam.nprotect.com/293

보안강화서비스 이제는 전자금융사기 예방 서비스로 둔갑 (2012년 11월 28일)
http://erteam.nprotect.com/362




04. 성인동영상에 숨은 사이버 범죄자들의 은밀한 유혹

일종의 파일공유 서비스인 이른바 웹하드 사이트는 국내에서 다양한 종류가 서비스되고 있고, 유용한 최신자료 등을 쉽고 빠르게 검색하고 구할 수 있다는 장점에 많은 사람들이 가입하여 활동하고 있다. 보통의 사이버 범죄자들은 짧은시간에 많은 사람들에게 신규 악성파일을 폭 넓게 감염시키는 것에 주된 관심과 목적을 가지고 있기 때문에 웹하드 서비스를 매개체로 한 악성파일 유포수법도 꾸준히 발견되고 있다.

보통의 웹하드 사이트는 유료 가입자를 대상으로 서비스를 운용하고 있고, 새로운 데이터가 실시간으로 다량 등록되고 있기 때문에 보안위협 모니터링이 쉽지 않은 영역이다. 악성파일 제작자들은 다운로드(감염자) 증가를 유도하기 위해서 조회수가 많은 성인 동영상에 악성파일을 몰래 숨겨 배포하는 경우가 많다. 성인 동영상으로 위장된 형태는 파일크기가 대용량 이라는 점과 실제 동영상 파일이 재생될 때 악성파일이 별도로 생성된다는 특징 때문에 사전에 탐지하기란 더욱 더 쉽지 않다. 그 때문인지 악성파일 제작자들은 실제 성인동영상에 악성파일을 복합적으로 포함하고 교묘하게 유포시키는 행위를 멈추지 않고 있다.

[참고자료]
악성파일을 품은 섹스 동영상, 당신을 유혹한다. (2012년 03월 21일)
http://erteam.nprotect.com/254

대용량 성인동영상으로 둔갑한 Fusion 악성파일 당신을 노린다. (2012년 08월 06일)
http://erteam.nprotect.com/317




05. 온라인 게임 계정 탈취 악성파일 여전히 봇물

지난 2005년 경부터 국내의 유명 웹 사이트들이 활발히 해킹당하면서, 온라인 게임 계정 탈취를 목적으로 한 악성파일들이 끊임없이 발견되고 있다. 국내에서 발생하고 있는 대다수의 보안위협에서 온라인 게임 계정 탈취용 악성파일을 배제하고 보안 트렌드를 언급하기 어려울 정도로 수년 간 대표 사이버 범죄로 악명을 떨치고 있다. 2012년에도 온라인 게임 계정 탈취기능의 악성파일은 여전히 기승을 부리고 있고, 변종도 꾸준히 양산되고 있는 실정이다.

이와 관련된 악성파일들은 다양성을 띄고 점차 지능화 및 고도화되고 있고, 특징적으로 윈도우 운영체제의 주요 시스템 파일 등을 교체 또는 변조하는 수법(Patched)을 널리 활용하고 있다. 잉카인터넷에서는 이러한 변종들을 포괄적으로 대응할 수 있도록 Generic Detection 기능을 nProtect Anti-Malware 제품에 탑재하여 신고가 접수되지 않은 유사한 변종도 신속하게 사전탐지(Trojan/W32.Forwarded.Gen)하고 치료할 수 있는 기능을 제공하고 있으며, 이 악성파일은 잉카인터넷 자체 감염통계에서 대체로 상위에 랭크되고 있다.

[참고자료]
ws2help.dll 변장형 악성파일, 돌연변이로 재탄생 (2012년 01월 04일)
http://erteam.nprotect.com/235




06. 사람들의 심리와 사회적, 정치적 관심사를 이용한 악성파일의 꼼수

아주 오래전부터 악성파일은 시대적 흐름과 유행에 매우 민감하게 반응하고 있다. 사회적으로 이슈가 되는 내용이나 수 많은 사람들에게 큰 관심을 끌고 있는 키워드 등을 사칭해서 악성파일을 제작하고 유포하면 좀더 많은 사람들을 쉽게 속이고 현혹시킬 수 있기 때문이다. 이처럼 사람들의 심리를 교묘하게 이용한 이른바 사회공학기법의 악성파일 전파 사례가 다수 보고되었다.

2012년에는 온라인 호텔 예약서비스와 인터넷 유명 물류 배송서비스 조회내용, 전자 청구서 내용 등으로 위장한 악성파일이 다수 발견되었고, 런던 올림픽과 관련된 내용으로 둔갑한 사례도 발견된 바 있다. 더불어 롬니 미대선 후보, 북한 핵실험 및 광명성 3호 발사, 핵안보 정상회의와 관련된 정치적 악성파일 등이 보고되어 긴급 대응이 진행되었다.

[참고자료]
온라인 호텔 예약으로 사칭한 악성파일 해외 발견 (2012년 04월 09일)
http://erteam.nprotect.com/260

북한 핵실험 및 광명성 3호 발사와 관련된 악성파일 발견 (2012년 04월 12일)
http://erteam.nprotect.com/263




07. SNS 악성파일 매개체로 남용 주의

전 세계적으로 트위터(Twitter), 페이스북(Facebook), 링크드인(Linkedin)과 같은 소셜네트워크서비스(SNS) 이용자들이 꾸준히 증가되고, 스마트폰 활성화 등과 연계되어 악성파일 유포자들은 이를 역이용한 유포수법을 비례적으로 끊질기게 이용하고 있다. 이를테면, 트위터나 페이스북 친구요청 이메일로 사하여 악성파일에 감염되도록 유혹하거나, 단축 URL 주소 서비스를 이용해서 악의적인 웹 사이트로 연결을 유도하는 경우도 존재한다. 더불어 페이스북 채팅창을 통해서 자동으로 악의적 URL 주소를 클릭하게 만들거나 하는 등 다각적인 수법이 유행처럼 악용되고 있다.

2012년 02월 24일 경 국내에도 페이스북 채팅창을 통해서 자동으로 전파되는 웜(Worm)형태의 악성파일이 유입되어 많은 페이스북 사용자들이 악성파일에 감염되는 사고가 발생한 바 있다.

[참고자료]
페이스북 채팅창을 이용한 악성파일 유포 시도 (2012년 02월 24일)
http://erteam.nprotect.com/246

조작된 링크드인 인맥과 맞춤형 악성파일 국내 유입 (2012년 05월 15일)
http://erteam.nprotect.com/281




08. 정상 프로그램은 악성파일 유포자들의 또 다른 먹이감

웹 사이트에서 정식 배포되는 정상 동영상 플레이어나 각종 애플리케이션을 불법적으로 해킹, 변조하여 악성파일을 배포하는 수법이 간간히 발견되었다. 그 동안은 악성파일 자체를 정상파일처럼 보이도록 조작하는 수법이 주로 이용되었지만, 실제 정상 프로그램을 위변조하여 악성파일이 함께 설치되도록 조작하는 경우는 보기 드문 경우였다.

이처럼 정상적인 프로그램에 악성파일을 삽입하고 유포하는 경우 사용자들이 쉽게 인지하기 어렵다는 문제가 존재한다. 웹 사이트 운영자와 프로그램 개발자들은 자신의 프로그램이 설치될 때 무결성을 체크하도록 하거나 서버에 존재하는 파일이 위변조되지 않았는지 수시로 점검하는 노력이 필요하다.

[참고자료]
톡플레이어 설치본과 특정 백신 제품으로 위장한 악성파일 (2012년 06월 04일)
http://erteam.nprotect.com/290

국내 인터넷 뱅킹 표적용 악성파일 변종 지속 출현 (2012년 06월 18일)
http://erteam.nprotect.com/299




09. 사이버 협박범, 랜섬웨어 피해 증가

랜섬웨어(Ransomware)란 사이버 범죄자들이 컴퓨터의 운영체제나 특정 파일들을 암호화하여 사용자가 정상적으로 사용하지 못하게 만든 후 이를 볼모로 현금이나 부당한 요구를 하는 악성파일들을 의미한다. 초기에는 특정 문서파일들을 암호화하는 형태가 많은 비중을 차지하였으나 최근에는 운영체제 자체를 정상적으로 부팅하지 못하게 하는 경우가 많아지고 있다.

특히, 경찰청·저작권 협회와 같은 기관처럼 위장한 문구 등을 이용해서 "당신의 컴퓨터에서 불법 행위가 감지됐고, 법을 위반함에 따라 운영체제를 잠근다."라는 일종의 허위 문구를 출력해서 벌금 요구 등의 명목으로 현금을 요구하는 형태가 해외 각지에서 다수 보고되고 있는 실정이다. 국내에서도 외산 랜섬웨어에 감염되어 피해를 호소하는 사례가 조금씩 보고된 바 있어 사전에 관련 악성파일에 감염되지 않도록 각별한 주의가 필요하다.

[참고자료]
디아블로3 파일로 변장한 랜섬웨어형 악성파일 등장 (2012년 05월 29일)
http://erteam.nprotect.com/285




10. 플레임(Flame), 국가기반시설을 노린 사이버무기 창궐

특정 국가의 사회기반시설(발전소, 교통 등)의 정상적인 사용을 방해하고 국가 내부 중요시설 정보를 은밀히 수집하기 위한 목적 등으로 개발된 Stuxnet, Duqu 의 또 다른 변종이 보고되어 국제적인 이슈가 되었다. 새롭게 발견 보고된 Flame 이라는 이름의 악성파일은 약 2년전인 2010년 이전부터 활동한 것으로 추정되고 있으며, 주로 중동지방이나 동유럽이 주된 감염 대상 지역으로 추정된다.

해당 악성파일은 컴퓨터 화면 기록 기능, 특정 대상 시스템에 대한 정보, 저장된 파일, 연락처 데이터, 컴퓨터 주변 대화내용 녹취 등 각종 기밀 정보를 탈취하도록 설계되어 있다.

뉴욕타임즈는 미국 정부가 이란의 핵시설을 무력화시키기 위해 사이버 공격을 진행할 것을 국방부에 주문했다는 사실을 보도해서 큰 반향을 일으킨 바 있다. 뉴욕타임즈에 따르면 미국과 이스라엘은 공동으로 "올림픽 게임" 이라는 프로젝트를 진행했으며, 스턱스넷(Stuxnet)은 프로젝트 중 나온 일부의 결과물이며, 양국은 이후에도 지속적으로 사이버 공격을 감행하기 위해 현재에도 프로젝트를 진행하고 있다고 보도했다.

[참고자료]
Obama Ordered Wave of Cyberattacks Against Iran (2012년 06월 01일)
http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html?_r=2&pagewanted=all