잉카인터넷 시큐리티대응센터 블로그

1. 개요 잉카인터넷 대응팀은 국내외 특정기관 및 기업들을 대상으로 하는 일명 지능형 지속 위협(APT:Advanced Persistent Threat)이라 부르는 표적형 공격 기법을 집중적으로 추적하고 있는 상황이다. 이 과정에서 2012년 03월 02일 국내에서 발생하였지만 아직 공식적으로 공개된 바 없는 실제 공격 사례의 정황을 다수 포착하였고, 근거자료를 기반으로 해당 수법을 장시간 다각적으로 면밀하게 조사를 수행하였다. 이에 잉카인터넷 대응팀은 공격자 입장의 관찰자 관점에서 어떻게 공격이 진행되었는지 업계 최초로 수집된 자료를 공개하고, 표적기반의 정교하고 은밀한 형태의 공격방식을 효과적으로 방어하기 위해서 어떠한 보안전략이 요구되고, 대응과제가 수립되어야 하는지 실제상황을 비교하여 제시해 보고..

1. 개요 잉카인터넷 대응팀은 국내 유명 인터넷 기업을 대상으로 2011년 경에 진행되었던 실제 표적 공격 기법을 확보하였으며, 이른바 지능형 지속 위협(APT:Advanced Persistent Threat)의 대표적인 사례라 할 수 있겠다. 이에 잉카인터넷 대응팀은 "다수의 기업 사용자들이 이러한 보안 위협에 속수무책으로 피해를 입지 않도록 유사 방식에 대한 경각심 고취 및 사전 대비를 위한 정보 제공 차원으로 공격 수법을 일부 공개"하게 되었다. 중요 기관이나 특정 기업 등을 대상으로 하는 지능형 지속 위협은 1차 표적에 노출된 소수의 내부 직원을 매개체로 만든 후 공격자로 하여금 회사 내부의 주요 기반시설 및 2차 네트워크 통로로 접근할 수 있는 직접적인 연결 고리로 작용하게 만들며, 순차적으로 ..

1. 개요 잉카인터넷 대응팀에서는 2012년 3월 10일인 티벳(Tibet) 봉기 53주년을 기념해서 이와 관련된 악성파일이 은밀하게 유포 중인 것을 발견하였다. 티벳은 1949년 중국에 침략 당한 이후 정치적, 종교적 이유로 약 120만명이 사망하고, 6,000개 이상의 사원이 파괴당한 것으로 알려져 있다. 이후 1959년 3월 10일 약 30만명의 티벳인들이 평화시위를 벌이면서 시작된 티벳 봉기는 중국 인민해방군의 무력 진압으로 인해 약 8만명의 티벳인들이 사망한 것으로 추산되었고, 이를 추모하기 위해서 매년 3월 10일을 티벳 봉기의 날로 선정하여 전 세계에서 기자회견 및 퍼레이드, 기념식 등을 펼치고 있다. 이 기간 티벳 봉기 기념일과 관련된 보안 위협이 가중될 수 있으므로, 관련된 내용을 참고하..

1. 개요 잉카인터넷 대응팀은 지난 2012년 3월 2일 금요일 경 일본의 행정관청 중에 하나인 국토교통부 산하 국토지리원의 특정 사용자에게 CVE-2012-0754 취약점의 악성파일이 은밀하게 발송된 것을 발견하였다. 악성파일의 유포 방식은 Adobe Flash Player 취약점 코드를 가진 엑셀(Excel)파일을 첨부한 형식이며, 만약 사용자가 보안이 취약한 상태에서 해당 문서파일을 실행할 경우 또 다른 악성파일에 감염되는 피해를 입게 된다. 국가기관에 소속된 사람을 표적으로 한 이러한 공격은 매우 은밀하며, 최신 보안 취약점을 이용하고 있기 때문에 각별한 주의가 필요하다. 최근 CVE-2012-0754 취약점을 이용한 악성 문서파일이 다수 발견되고 있어, 사용자들은 문서파일을 열 때 악성여부를 의..

1. 개 요 최근 가장 널리 사용되고 있는 SNS(Social Network Service)서비스의 채팅창을 통해 악성파일에 대한 유포 시도가 발견되어 사용자들의 각별한 주의가 요망되고 있다. 악성파일 유포 방법으로는 채팅창에 특정 파일의 다운로드가 가능한 URL을 뿌리는 등 사회공학적 기법이 사용되었으며, 해당 URL은 단축 변환 주소로 이루어져 있어 일반 사용자들의 경우 쉽게 현혹되어 클릭을 통한 감염이 이루어질 수 있다. 2. 유포 경로 및 감염 증상 현재 해당 악성파일은 아래의 그림과 같은 페이스북의 체팅창을 통해 주로 유포가 이루어지고 있으며, 유포되는 악성파일에 감염될 경우 해당 PC에서 특정 SNS 서비스를 이용하게 되면 친구로 등록된 지인들에게 무작위로 악성 URL을 채팅형태로 배포하게 된..

1. 개요 2012년 01월 마이크로 소프트 정기 보안 업데이트로 제공된 MS12-004(CVE-2012-0003) 취약점을 이용하는 악성파일이 발견되었다. 해당 보안 취약점은 2012년 01월 10일 IBM Security System X-Force Research의 Shane Garrett 가 마이크로 소프트사 측에 최초 보고한 내용으로 알려져 알려져 있으며, 마이크로 소프트사의 윈도우 미디어 플레이어용 멀티미디어 라이브러리인 winmm.dll 파일에 존재하는 원격 코드 실행 취약점이다. 이미 보안 취약점이 해결된 업데이트 모듈이 공식적으로 배포 중에 있으므로, "윈도우 최신 보안 업데이트를 수행"하여 사전 예방하고, 이를 악용한 악성파일에 노출되어 또 다른 피해를 입지 않도록 각별한 주의가 필요한 ..

1. 개 요 2012년 01월 14일 잉카인터넷 대응팀에서는 국내 이용자를 대상으로 유포된 악성파일이 윈도우OS 의 시스템 파일 중 하나인 version.dll 파일을 악성파일로 교묘하게 바꿔치기 하는 형태를 발견되었다. 이러한 악성파일은 기존에도 다양한 형태로 존재한 바 있는데, 가장 최근까지 ws2help.dll 파일을 악성파일로 교체(Patched)하는 형태가 성행하고 있는 상황이다. 파일명이 변경된 여러 정상 시스템 파일은 악성파일에 의해서 부팅시 정상 실행되는데 만약 중간에 실행 명령이 정상적으로 전달되지 않으면 "무한 재부팅 시도 장애"가 발생할 피해 우려가 존재한다. 특히, 이러한 형태의 악성파일은 주말 기간 집중되어 국내 유명 웹 사이트 경유지를 통해서 다량 전파 중이며, 다양한 보안 취약..

1. 개 요 최근 국내 유명 공개자료실을 통해 안드로이드용 악성 애플리케이션이 유포된 사례가 발견되어 크게 이슈가된 바 있다. 국내에서 공식적으로 악성 애플리케이션이 유포된 첫번째 공식 사례였다. 그런 와중에 잉카인터넷 시큐리티대응센터 대응팀에서는 2012년 01월 10일 일본 사용자를 타깃으로 유포중인 악성 애플리케이션을 발견하여 국내 사용자를 대상으로 유사 사고 방지를 위해 관련 내용을 공유하고자 한다. 해당 악성 애플리케이션은 얼마전 국내에서 발견된 악성 애플리케이션과 유사한 감염 증상을 보이고 있다. 잉카인터넷 보안 관제 중 일본 안드로이드 사용자를 대상으로 제작된 첫 번째 악성파일 공식 발견 사례로 집계되었다. 비록, 애플리케이션 구동 위해 악의적 목적을 가지지 않고 이루어지는 단순 정보 수집단..

1. 개요 잉카인터넷 시큐리티 대응센터 대응팀에서는 2012년 01월 06일 국내 유명 공개자료실에서 개인 정보 유출 시도형 안드로이드용 악성파일이 배포되고 있는 것을 발견하였다. 이번에 보고된 안드로이드 앱은 2012년 새해를 축하하는 내용의 라이브 배경화면으로 구글 정식 마켓 및 국내 자료실을 통해서 배포되고 있는 것으로 확인되었다. 특히, 국내 자료실에서는 약 41명이 다운로드를 한 것으로 확인되었으며, 잉카인터넷 보안 이슈 대응 기록 중 안드로이드 악성파일이 국내에 상륙한 공식적인 첫 번째 사례로 집계 되었다. ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 해당 안드로이드 앱은 현재 공식 안드로이드 마켓에서도 배포가 진행 중이며..

1. 개요 잉카인터넷 시큐리티 대응센터 대응팀에서는 2012년 01월 06일 국내의 많은 이용자들의 이메일로 허위 악성파일 보안 정보가 급속히 퍼지고 있는 것을 확인하였다. 이러한 정보는 실제 존재하지 않거나, 과장된 내용 등으로 사용자로 하여금 마치 치명적인 악성파일이 전파 중이거나, 공신력이 있는 기관 및 보안회사에서 경고한 것처럼 위장하고 있다. 일반적으로 가짜(허위) 바이러스 정보라는 종류로 구분되며 "Hoax" 라는 명칭으로 사용된다. 이메일, 메신저, SNS 등으로 이러한 내용을 수신하게 되면 다른 사람에게 또 다시 전파를 하지 않도록 하며, 신뢰할 수 있는 보안 업체에 정확한 사실 확인을 하는 것이 필요하다. ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━..