잉카인터넷 시큐리티대응센터 블로그

1. 국내 시중 인터넷 뱅킹용 악성파일 지능화 실제상황 잉카인터넷 대응팀은 국내 인터넷 뱅킹 사용자들을 표적으로 하는 새로운 변종 악성파일이 국내에서 서비스되고 있는 특정 웹하드 사이트의 수동설치파일을 변조하여 추가 유포 중인 정황을 포착하였고, 더불어 다양한 이상징후도 지속적으로 감지되고 있는 상황이다. 공식 확인된 바에 의하면 2012년 07월 16일 오전 09시 경 현재 새로운 변종이 추가로 포함된 채 유포가 진행중인 상태로 파악되었다. 공격자는 이미 다양한 방식으로 신규 악성파일을 불특정다수의 국내 이용자들에게 폭 넓게 전파시키기 위한 시도를 수행하고 있는 상태이고, 웹 해킹을 통한 정상프로그램 변조와 각종 보안취약점 등을 결합하는 등 공격수법이 점차 고도화되고 있다는 점에서 위험수위를 이미 한 ..

1. 개요잉카인터넷 대응팀은 2012년 04월 경 시간차를 이용한 스토킹 형태의 대만 APT 공격의 실체를 최초 공개한 바 있고, 관련된 정보를 지속적으로 추적 수집하고 있는 상황이다. 그런 가운데 최근 특정 항공사의 내용으로 교묘하게 조작하여 대만 행정조직을 표적으로 하는 새로운 APT 공격의 정황과 단서를 포착하였다. 특징적으로 공격자는 대만의 민간 항공사인 에바 항공(EVA AIR)과 또 다른 캐세이 패시픽 항공(Cathay Pacific AIR)사의 항공권 내용 등으로 위장하여 대만의 '행정원 농업위원회' 와 '행정원 위생서 국민건강국' 등의 내부 공직자를 표적삼아 연쇄적 공격을 시도했다. 공격에 사용된 악성파일은 항공권 영수증 내용처럼 파일명을 위장하고 있고, 아이콘을 폴더 모양으로 위장하여 사..

1. 개요 잉카인터넷 대응팀은 최근 애플(Apple)사의 Mac OS 와 마이크로소프트(Microsoft)사의 Windows OS 운영체제 사용자를 멀티로 겨냥한 지능형지속위협(APT) 공격 정황을 포착하였다. 그동안 보고되었던 표적공격의 경우 대부분 윈도우용 악성파일이 주를 이루었지만, 최근 맥용 악성파일이 APT 공격에 실제로 사용된 매우 이례적인 경우가 발견되었다. 이는 애플사의 맥북(에어/프로) 이용률이 증가하고 있다는 점과 감염 대상자가 맥 운영체제를 사용하고 있는 점을 공격자가 반영한 것으로 예측된다. 다시말해 표적형 공격자들도 맥사용자가 많아지고 있다는 점을 적극 고려하여 맥용 악성파일을 별도로 개발하고 있음을 증명하고 있다. 이처럼 새로운 맥용 악성파일이 은밀한 표적공격에 악용되고 있다는 ..

잉카인터넷 ISARC 대응팀은 2012년 상반기 중에 발생한 각종 주요 보안 이슈와 사례를 종합 분석하여 2012년 상반기 보안 이슈 결산 및 TOP10 보안 위협을 선정하였다. 2012년 상반기에도 2011년과 비슷한 보안 위협들이 다수 발생하였지만, 공격 트렌드에 있어서는 다소 고도화되고 지능적으로 발전된 양상을 보였다. 이번 보안 동향은 잉카인터넷 ISARC 대응팀을 통해 2012년 상반기에 출현하였던 대표적인 보안 위협들을 되짚어보고, 하반기에 출현 가능한 위협 요소들을 예측하여 사전에 대처할 수 있는 기초 자료로 활용하는데 그 취지가 있으며, 각 계 보안 의식 제고에 대한 공감대 형성을 이루는데 그 주 목적이 있다. 2012년 상반기 중에 발생한 주요 보안위협은 그 정도의 차이가 있을 뿐 예년과..

1. 개요 잉카인터넷 대응팀은 아직까지도 마이크로 소프트사(Microsoft)의 공식적인 보안패치(업데이트)가 제공중이지 않고 있는 이른바 Zero-Day Exploit 으로 악용 중인 CVE-2012-1889 취약점용 악성파일이 국내외로 유포 중인 것을 확인하였다. 마이크로 소프트에서는 XML 코어 서비스(Core Services)에 아직 알려지지 않은 Zero-Day 취약점이 발견되었음을 2012년 06월 12일에 보안 권고문 형태로 이미 공개한 상태이다. 해당 보안취약점은 공격자가 임의로 코드를 실행할 수 있는 코드 실행 취약점이며, XML 코어 서비스를 사용하고 있는 윈도우 운영체제와 오피스2003, 오피스2007 버전에서 악용될 수 있다. 마이크로 소프트사에서는 아직 공식 보안업데이트를 배포하지..

1. 개요 잉카인터넷 대응팀은 "비자(VISA) 신용카드와 관련된 내용으로 고객들을 현혹"시켜 악성파일에 감염되도록 유도하는 악의적 이메일이 해외에서 유포된 정황을 발견하였다. 이러한 이메일은 국제적으로 발송되는 것이 보편적이라는 점에서 국내 이용자들도 조심하는 것이 좋다. 대표적인 이메일 속임수 사기수법으로는 국제배송업체 운송장 내용이나 SNS 암호 변경 요청, 비행기 티켓 예매, 사진파일 첨부 등으로 위장한 사례가 많은 편이다. 금번 발견된 경우는 많은 이용자들이 사용하고 있는 신용카드와 관련된 민감한 부분을 사용하고 있다는 점에서 유사한 위협에 노출되어 예기치 못한 피해를 입지 않도록 각별한 관심과 주의가 요망된다. 또한, 이러한 악성 이메일은 불특정 다수에게 SPAM 메일처럼 다량으로 발송되는 경..

1. 개요 잉카인터넷 대응팀은 최근 국내 유명 포털사이트의 직원에게 구직(Job Application)내용으로 위장하고, 이력서(Resume) 파일처럼 보이도록 만든 표적 공격형 이메일을 발견하였다. 해당 이메일은 "My resume.doc" 라는 이름의 MS Word 파일이 첨부되어 있고, CVE-2012-0158 보안취약점을 이용해서 사용자 몰래 또 다른 악성파일을 은밀히 설치하도록 만들어져 있다. 이 방식은 전형적인 지능형지속위협(APT)의 1차 단계에 속하는 공격수법이며, 수신자가 보안 취약점에 노출될 경우 임의의 공격자는 해당 사용자의 컴퓨터 정보 수집을 통해서 2차적인 기업 내부 기밀 정보 접근 및 수집을 시도하게 된다. 보통 이러한 방식의 공격수법은 매우 단순하지만 일반인의 경우 자신이 악의..

1. 개요 잉카인터넷 대응팀은 마치 국내 유명 온라인 게임의 악의적 변칙 플레이 등에 이용되는 이른바 게임 핵툴(Game HackTool) 도구나 게임 동영상과 관련된 것처럼 조작하여 불특정 다수의 게임 이용자들을 현혹시킨 후 최신 악성파일에 감염되도록 유도하는 보안위협이 국내에서 다수 발생하고 있는 이상징후를 포착하였다. 이러한 형태의 보안위협이 최근 국내 온라인 게임 이용자들을 표적으로 은밀히 진행되고 있어 각별한 관심과 주의가 요망된다. 악성파일에 감염될 경우에는 악의적인 공격자에 의하여 원격제어 및 온라인 게임 계정 유출 등의 피해를 입을 수도 있고, 일명 좀비 피시(Zombie PC)가 되어 또 다른 컴퓨터에 피해를 가할 수 있는 DDoS 공격용 컴퓨터로 전락할 가능성도 있다는 점을 반드시 유념..

1. 개요 일명 "DNS Changer" 라는 이름을 가진 악성파일은 약 2007년 경부터 가짜 비디오 코덱처럼 위장하여 유포되었고, 전 세계에 약 420만대 이상의 컴퓨터를 감염시킨 것으로 알려져 있다. 이 악성파일에 감염되면 사용자의 1/2차 DNS(Domain Name System) 서비스를 임의로 변경하여, 감염된 사용자가 특정 웹 사이트로 접속을 시도할 때 악성파일 제작자들에 의해서 조작된 상업사이트로 강제 연결시키거나, 허위 보안제품(Fake Anti-Virus) 설치 유도, 개인정보 탈취 등을 통해서 수십에서 수백억원에 상당하는 불법 수익금을 부당하게 편취한 것으로 알려져 있다. 이에 미국 연방수사국(FBI)은 피의자 에스토니아 IT기업 Rove Digital 을 특정하였고, 그들을 검거하기..

1. 개 요 잉카인터넷 대응팀에서는 최근 중국의 비공식 안드로이드 마켓에서 스마트폰 기기 정보에 대한 수집 및 외부 유출을 시도하는 애플리케이션을 발견하였다. 해당 애플리케이션은 정상적으로 스마트폰에 대한 각종 정보를 수집하는 것으로 소개되고 있으나, 감염된 스마트폰이 루팅되어 있을 경우 루트 권한 획득을 통해 추가적인 애플리케이션 설치 및 수집된 정보를 외부로 유출하는 등 악의적인 동작을 수행하는 것으로 확인되었다. 애플리케이션이 루트 권한을 획득할 경우 상황에 따라 외부와 지속적인 통신을 시도하여 사용자 몰래 수많은 악성 동작을 취할 수 있으므로 스마트폰을 루팅하여 사용중인 사용자의 경우 각별한 주의가 필요하다. 2. 유포 경로 및 감염 증상 해당 악성파일은 아래의 그림과 같이 중국에서 서비스 되고 ..