잉카인터넷 시큐리티대응센터 블로그

1. 개 요 잉카인터넷 대응팀은 최근 해외에서 Bot 기능이 있는 것으로 화제가 되었던 악성파일을 분석하여 관련된 내용을 일부 공개하게 되었다. 이와 같은 안드로이드 악성 파일은 아직까지 국내에 정식 감염된 피해 사례는 보고된 바 없는 상태이다. 이번 악성파일은 공격자의 지능화된 무선 명령 및 지시에 따라 다양한 정보 유출 기능 등을 수행할 수 있는 이른바 좀비폰 역할이 가능한 종류로 한단계 진화된 형태로 볼 수 있다. 특히, 해당 악성파일은 "한국의 이동통신사망(APN)을 체크 시도"하는 기능이 있어 국내 사용자로 대상 범위를 확대하고자 하는 또 다른 시도가 아닌가 조심스럽게 추정되고 있어, 잉카인터넷 대응팀은 관련 정보 수집을 계속 진행 중이다. - 한국 이동통신사의 APN 이용, 국내를 겨냥용 안드..

1. 개요 잉카인터넷 대응팀은 2012년 03월 26일부터 27일까지 서울에서 진행되었던 서울 핵안보정상회의 관련하여 유엔 웹 사이트 등에 등록되어 있는 정상 합의문을 위장한 악성파일이 해외의 4개국에서 공통적으로 보고된 것을 확인하였다. 국제적 행사내용의 합의문을 악용한 부분과 3개국 이상에서 동시다발적으로 발견된 것을 미루어보아 다국적 국가 기관을 상대로 한 표적 공격(APT)에 사용된 악성파일로 추정되고 있다. 특히, 이 문서는 실제 국제연합(UN:United Nations) 웹 사이트에 정상적인 문서가 등록되어 있고, 이 문서파일에 악성파일을 몰래 심어서 악용했다는 점에서 범국가적 공격형 악성파일로 사용되었을 것으로 우려되고 있다. 새뮤얼 라크리어 미국 태평양 사령관은 북한이 3차 핵실험을 시도할..

1. 개요 잉카인터넷 대응팀은 최근 일명 제우스봇(Zeus Bot/Zbot)으로 불리어지는 악성파일 변종이 전신송금(Wire Transfer) 취소 이메일처럼 위장하여 해외에서 유포된 것을 발견하였다. 인터넷 금융권을 표적으로 하는 Zeus 와 Spyeye 등은 국제적으로 꾸준히 발견되고 있으며, 대표적인 사이버 범죄형 악성파일로 분류되는 종류이다. 특히, 이번에 발견된 악성파일은 사용자로 하여금 정상적인 PDF 문서 파일처럼 보이도록 하기 위해서 유니코드 확장자 위변조 취약성을 이용하고 있다. 따라서 육안상으로는 EXE 파일로 식별하기 어려울 수 있으며, PDF 문서로 오인하여 악성파일을 직접 실행하지 않도록 각별히 주의하여야 한다. - 금융권 사용자 표적형 악성파일 제우스 & 스파이아이 봇 꾸준히 유..

1. 개요 잉카인터넷 대응팀은 인디아 타임스 등 인도 매체 등을 통해서 시험발사가 임박한 것으로 알려지고 있는 인도의 첫 대륙간 탄도미사일(ICBM:Intercontinental Ballistic Missile)인 아그니 5호(Agni-V)와 관련된 워드(Word) 문서처럼 위장한 악성파일이 인도에서 유포된 것을 발견하였다. 특히, 인도 국방연구개발기구(DRDO) 에서 작성된 공식문서처럼 파일명을 위장하고 있어, 은밀한 표적공격형(APT)에 사용된 악성파일이 아닌가 조심스럽게 추정되고 있다. 아그니 5호는 약 5,500Km 사정거리를 가지고 있고, 핵탄두를 탑재할 수 있으며, 고정밀 위성항법장치(GPS)를 갖추는 등 미국의 첨단 미사일 수준에 근접한 것으로 알려져 있다. 아그니(Agni)는 "불의 신"을..

1. 개 요 최근 북한은 광명성 3호(은하 3호) 발사 예정 발표와 더불어 정상적인 발사를 방해할 경우 3차 핵실험까지 강행하겠다는 등 국제 안보 정세에 다소 위협적인 입장 표명을 계속하고 있다. 잉카인터넷 대응팀은 북한의 광명성 3호 및 핵실험과 관련된 악성파일이 해외에서 다수 유포된 것을 발견한 상태이다. 악성파일들은 북한의 광명성 3호 및 핵실험과 관련된 문서 파일처럼 각각 위장하고 있으며, 몇몇 보안 취약점을 통해서 별도의 악성파일을 추가 감염시키는 기능을 수행한다. 북한 광명성 3호 발사 예정이 국내를 포함해서 국제적인 사회 문제와 직결되고 있다는 점에서 이용자들은 유사 악성파일 위협에 각별히 주의해야 할 것으로 보여진다. 김정일 사망 관련 허위 정보 클릭 유도 및 악성파일 전파 중 ☞ http..

1. 개요 잉카인터넷 대응팀은 2012년 07월 27일부터 시작되는 제 30회 런던 올림픽과 관련된 다양한 보안 위협이 등장하고 있는 것을 확인하였다. 보통 사이버 범죄자들은 전 세계적으로 유명한 이벤트나 행사들이 있을 경우 관련된 내용처럼 교묘하게 사칭하거나 위장된 내용으로 새로운 악성파일 유포에 적극적으로 활용을 하는 편이다. 특히, 올림픽과 같이 전 세계인의 관심과 이목이 집중되는 큰 대회의 경우에는 개최되기 이전부터 입장권 당첨이나 특별한 이벤트 내용처럼 속여 사용자를 현혹하는 경우가 많으므로, 각별한 주의가 필요하다. 2. 보안 위협 사례 2012년 04월 03일 해외에서는 런던 올림픽 티켓과 관련된 내용처럼 위장된 스팸성 이메일이 발견된 바 있으며, 또한 CVE-2010-3333 MS 오피스 ..

1. 개요 잉카인터넷 대응팀은 글로벌 보안 위협 모니터링을 진행하던 도중에 해외 온라인 호텔 예약서비스로 유명한 Booking.com 에서 발송한 예약 승인 이메일처럼 사칭한 악의적 내용이 해외에서 전파된 것을 발견하였다. 이러한 방식의 악성파일 유포 수법은 사용자가 많이 사용하는 인터넷 서비스처럼 교묘하게 위장하여, 사용자로 하여금 첨부된 악성파일을 스스로 실행하도록 유도하는 사회공학기법 중에 하나이다. 온라인 예약 서비스를 수시로 이용하는 경우에는 이러한 악성파일이 존재한다는 점도 명심하여, 악성파일 감염 예방에 참고를 하는 것이 좋겠다. 이메일을 이용한 악성파일 유포 수법은 보통 표적공격에 은밀히 사용되기도 하지만, 불특정 다수를 노린 악성파일 전파에도 오랜 기간 사용되고 있는 방식이다. 사회적으로..

1. 개요 잉카인터넷 대응팀은 국내 유명 포털 2곳에서 운영중인 몇몇 인터넷 커뮤니티 사이트에서 "악의적인 기능을 가진 안드로이드용 애플리케이션(앱)이 무분별하게 배포"되고 있는 것을 다수 발견하였다. 잉카인터넷은 이미 2012년 01월 06일에도 국내 유명 자료실을 통해서 안드로이드 기반 악성파일이 유포된 것을 국내 최초로 공식 보고한 바 있다. 현재 유포 중인 악성파일들은 회원수가 약 100만명에 육박하는 대형 커뮤니티도 포함되어 있으며, 악성파일이 포함된 게시글의 조회수가 수천회 이상되고 있어, 다수의 감염자가 존재할 것으로 우려된다. 특정 포털 사이트에서는 커뮤니티 게시판에 첨부되어 있는 파일을 다운로드 시도할 때 악성파일 여부를 체크하는 기능을 제공하고 있는데, 현재 유포 중인 악성 안드로이드 ..

1. 개요 잉카인터넷 대응팀은 이미 여러차례 안드로이드 기반의 악성파일이 해외에서 급격하게 증가하고 있다는 정보를 다수 공개한 바 있다. 또한 2012년 01월 06일에는 국내 유명 자료실을 통해서 안드로이드용 악성파일이 실제 국내 이용자에게도 배포된 사례를 공식적으로 발표했었다. 그러나 아직까지 안드로이드 스마트폰을 사용하는 국내 이용자들은 이러한 악성파일이 어떠한 과정을 통해서 배포되고 있는지 알기가 어렵기 때문에 "잉카인터넷 대응팀은 현재 이 시간 실제 유포 중인 악성파일의 전 과정을 최초로 공개"하게 되었으며, 이를 통해서 안드로이드 악성파일에 대한 보안경각심이 한층 제고되길 기대해 본다. 안드로이드 기반 악성파일 국내 자료실에서 배포 ☞ http://erteam.nprotect.com/239 안..

1. 개요 잉카인터넷 대응팀은 nProtect 고유 브랜드와 유사한 이름의 국내 특정 프로그램이 일명 Virut 이라는 진단명을 가진 파일 바이러스에 감염된 상태로 장기간 무단 방치되고 있는 것을 확인하였다. 해당 프로그램은 개인정보 무단유출에 대한 보호 기능을 제공하는 형태로 서비스되고 있고, 제품 홈페이지에 삭제프로그램도 제공하고 있으나, 해당 파일에도 바이러스가 감염되어 있어 각별한 주의가 필요하다. 고의적이든 실수이든 결국 보안프로그램 스스로가 컴퓨터 바이러스를 배포하는 상황이기 때문에 보안 관리가 총체적으로 부실한 상태로 보여진다. 수년 전부터 국내 유수의 웹 사이트들에 대한 다수의 해킹사고로 다량의 고객정보가 빈번히 유출된 바 있고, 무분별한 자료 보관과 과도한 개인정보 수집 등으로 다양한 부..