안철수연구소에서, 2008년 보안 10대 이슈를 발표했습니다.


출처 : 안랩 블로그 http://blog.ahnlab.com/ahnlab/498


안철수연구소가 꼽은 2008년 10대 보안 위협 트렌드는 ▶개인 정보 유출 목적 악성코드 강세 ▶교묘한 방법으로 약관 동의 받는 스파이웨어 등장 ▶외산 가짜 백신 기승 ▶SQL 인젝션 등 웹 공격 극심 ▶어도비사 응용 프로그램 취약점 공격 극성 ▶MS사 소프트웨어 겨냥한 공격 지속 ▶ARP 스푸핑의 재등장 ▶개인 정보 유출의 2차 피해 발생 ▶악성코드의 고도화 ▶사회공학적 속임수의 지능화입니다.

(1) 개인 정보 유출 목적 트로이목마가 75% 차지

웹사이트 로그인 계정 정보나 온라인 게임 계정 정보, 시스템 정보 등의 개인 정보를 훔쳐내는 트로이목마가 전체 악성코드의 75% 를 차지할 만큼 많았으며 그 피해 또한 컸다. 이러한 악성코드는 지속적으로 PC를 공격하고, 거대한 봇넷(악성코드에 감염된 여러 컴퓨터가 연결된 네트워크)을 구성해 스팸 메일과 DDoS(분산서비스거부) 공격 등 사이버 범죄에 악용된다.

(2) 교묘한 방법으로 약관 동의 받는 스파이웨어 등장
올해 상반기 국내 스파이웨어 제작자가 무더기로 검거된 이후 한때 국산 스파이웨어 수가 주춤했다. 그러나 스파이웨어로 규정하기 어렵게 형식적으로 사용자 동의를 거치는 교묘한 방법으로 피해를 주고 있다. 즉, 사용자의 동의를 거치면 스파이웨어의 범위에 들지 않는다는 점과, 사용자가 약관을 꼼꼼하게 읽어보지 않는다는 점을 이용해 불공정 약관을 버젓이 명시해놓는 것이다.
실제로 이런 프로그램의 약관에는 ‘전자우편, 휴대전화 번호 등 개인 정보를 제3자에게 익명으로 제공하겠음’ ‘수신 거부를 해도 전자우편을 보낼 수 있음’ ‘검색 엔진이나 주소창에 적은 내용을 다른 곳으로 전송할 수 있음’ ‘법률에 근거한 피해가 발생해도 책임을 지지 않음’ ‘사용자 PC를 P2P 서비스의 중간 매개로 사용하겠음’ ‘상업적 용도의 프로그램이나 기타 프로그램을 필요에 따라 컴퓨터에 설치될 수 있으며 설치 전 사용자의 동의를 추가로 구하지 않고 이 내용은 사용자가 약관동의를 함으로써 갈음함’ 등의 내용이 들어있다. 눈 뜨고 피해를 당하는 황당한 일이 생길 수 있는 것이다.

(3) 외산 가짜 백신 기승
약 150개에 달하는 외산 가짜 백신이 기승을 부렸다. 최근 가짜 백신은 Antivirus XP 2008, Vista Antivirus 2008, WinX Security Center, WinXDefender, XP Protector 2009 등 마치 진짜 백신처럼 가장해 유포됐다. 초기의 가짜 백신은 단순히 결제를 유도하는 방식이었는데, 요즘은 자신을 은폐한 후 스팸 메일 등을 통해 전달되는 등 지능화하고 있다.
이런 가짜 백신이 설치되는 방법은 크게 두 가지가 있다. 첫째, 사용자가 특정 웹사이트에서 동영상을 보기 위해 ‘Play’ 버튼을 클릭하면 동영상 코덱이 없다며 파일을 다운로드하는데, 이때 가짜 백신을 다운로드하기 위한 인스톨 파일이 설치된다. 가짜 동영상 코덱이 설치되면 시스템의 보안 설정을 변경하거나 시스템이 감염되었다는 메시지 등 경고 창을 지속적으로 보여주고 결제를 유도한다. 가짜 동영상 코덱이 배포되는 웹사이트는 보통 해킹당한 서버나 악성코드의 배포를 목적으로 한다. 둘째, 사용자가 특정 웹사이트에 접속했을 때 악성코드를 진단하는 것처럼 속이고, 허위 결과를 보여주는 방법이다. 이때 어느 버튼이든 누르면 보안 경고 창이 뜨고, 사용자가 ‘실행’ 또는 ‘저장’을 누르면 가짜 백신이 설치된다.

(4) SQL 인젝션 등 웹 공격 극심
지난해에 이어 올해도 웹 공격이 극심했다. 웹사이트가 해킹되어 악성코드를 유포하거나 경유지로 이용된 수치는 올해 1~11월까지 3분기까지 3,310건으로 전년 동기 2,006건 대비 약 1.7배에 달했다. 특히 SQL 인젝션 기법이 많이 사용됐다. 이 기법은 데이터베이스 서버의 데이터를 손상할 뿐 아니라 웹 서버에 삽입된 스크립트를 통해서 사용자를 악의적인 사이트로 연결시킴으로써 악성코드를 다운로드한다.

(5) 어도비사 응용 프로그램 취약점 공격 극성
MS사 소프트웨어 못지않게 어도비사의 대중적인 응용 프로그램도 공격의 주 목표물이 되었다. 플래쉬 플레이어 프로그램의 취약점을 노린 스파이웨어는 인터넷 첫 페이지를 www.3929.cn으로 바꾸며, PDF 리더 프로그램의 보안 취약점을 악용한 공격은 파일이 오픈될 때 악성 스크립트를 실행해 가짜 백신, 트로이목마 등을 다운로드한다.

(6) MS사 소프트웨어 겨냥한 공격 지속
올해 동안 MS사가 발표한 보안 패치는 총 78건으로 작년 69건에 비해 약 13% 증가했다. 올해 주요 이슈가 되었던 취약점은 MS08-041, MS08-067, MS08-078이었다. MS08-041은 액세스 스냅샷 뷰어 프로그램에서 사용하는 액티브X의 취약점으로, 이 때문에 원격에서 악성코드가 실행되는 문제점이 있다. MS08-067은 악성코드가 원격으로 취약한 컴퓨터를 찾는 데 이용된다. 이를 이용한 악성코드가 11월까지 20여 개 발견됐으며, 이런 악성코드에 감염되면 웹브라우저 속도가 느려지거나, 웹사이트 접속이 안 되기도 하며 컴퓨터가 다운되기도 한다. MS08-078은 공격자가 원하는 임의의 코드를 실행할 수 있는 문제점으로 ‘제로 데이 공격’의 대상이 돼 위험성이 컸다.

(7) ARP 스푸핑의 재등장
2007년 상반기에 확산되어 많은 피해를 준 ARP(Address Resolution Protocol; 주소결정 프로토콜) 스푸핑이 6월부터 다시 발생해 큰 피해를 일으켰다. 이 공격은 같은 IP를 사용하는 모든 컴퓨터를 일시에 공격할 수 있다는 점에서 공격자에게 유리하다. ARP 스푸핑 공격을 당한 PC는 동일 IP 대역폭에 있는 모든 PC의 ARP 값을 변조한다. 이후 정상적인 PC가 인터넷 익스플로러로 웹사이트에 접속할 때, 감염된 PC를 먼저 거친 후 웹사이트에 접속하게 되며, 이때 악성코드를 내려받는다. 실제로 수많은 기업 네트워크가 마비되고, 악성코드의 피해를 입었다.

(8) 개인 정보 유출의 2차 피해 발생
올해는 국내 최대 온라인 쇼핑몰의 사용자 DB 유출 사고를 시작으로 대형 개인 정보 유출 사고가 잇달았다. 또한 국내 유명 포털의 메일 계정과 메신저 또는 쪽지함 등으로 악성코드 링크가 포함된 URL 또는 첨부 파일이 포함된 메일이 대량 발견됐다. 특히 이런 메일은 공공기관을 사칭하고 한글로 돼 있어 사용자가 첨부 파일이나 URL 을 클릭할 확률이 높았다. 또한 메신저의 경우 사용자의 계정을 훔쳐내도록 되어 있어서 훔쳐낸 계정이 다른 목적으로 사용될 위험성도 있다. 실제로 이렇게 유출된 개인 정보는 보이스 피싱, 스팸 메일 발송 등에 이용돼 많은 사용자가 2차 피해를 당하고 있는 것으로 추정된다.

(9) 악성코드의 고도화
올해는 은폐, 코드 가상화, 난독화, 실행 압축 등 자체 보호 기법이 일반화하는 추세를 보였다. 특히 카스부.B(Win32/Kashu.B) 바이러스 변형은 메모리 치료가 선행되지 않으면 재감염되며, 다형성 기법 등을 사용해 진단/치료하기가 매우 까다로웠다. 또한 윈도의 중요 시스템 파일을 패치한 후 악의적인 모듈이 실행되는 라이거(Win32/Liger), CIH 바이러스처럼 파일의 빈 공간에 자신을 기록해 감염 후 파일 사이즈가 증가하지 않는 후크.C(Win32/Huhk.C) 등이 대표적이다.

(10) 사회공학적 속임수의 지능화
사회적 이슈 및 관심사가 포함돼 있는 메일, 신뢰할 만한 사람이 발신인인 것처럼 가장해 특정 조직으로 발송하는 스피어 피싱 메일, 메신저로 지인인 척 가장해 개인 정보를 빼내는 사기 등 다양한 속임수가 등장해 사용자를 노리고 있다.




Posted by 멋나미

댓글을 달아 주세요

[출처] 안철수연구소 ASEC

스파이웨어를 보다 효과적으로 사용자 컴퓨터에 설치하기 위해 다양한 방법들이 등장하고 있다. 과거에는 기술적인 측면에서 여러 가지 방법이 시도 되었다면, 최근에는 UCC(User Created Contents)의 등장으로 인해 사회적 공학 기법이 자주 사용되고 있다.
국내의 경우 최근 이슈가 된 사건의 동영상 UCC인 것처럼 가장해서 블로그(Blog)에 등록하고 국내의 대표적인 검색 사이트 등에 등록되게 한 후, 이를 검색해서 찾아온 사용자를 대상으로 해당 동영상을 보려면 해당 페이지에서 제공하는 ActiveX 컨트롤을 설치 해야 한다는 허위 안내 문구를 보여주고 설치를 유도하는 방식이 주로 발견되고 있다.


[그림 2-1] 국내 동영상 UCC를 가장한 스파이웨어 배포 사이트

실제 예를 들어 살펴보면 [그림 2-1]에서 보는 바와 같이 분명 일반적인 블로그 형태를 띄고 있다. 하지만 [그림 2-1]의 HTML 원본([그림 2-2])을 살펴보면, 해당 사이트가 하나의 그림 파일로 이루어져 있으며, 다수의 스파이웨어를 ActiveX로 설치하는 코드가 삽입되어 있는 것을 확인할 수 있다.


[그림 2-2] 허위 동영상 UCC 배포 사이트의 HTML 원본

따라서 사용자는 동영상을 보기 위해 해당 사이트에서 설치를 유도하는 ActiveX 컨트롤을 설치하는 순간 원하지도 않은 다수의 스파이웨어를 설치하게 된다. 만약 사용자의 Internet Explorer의 보안 설정에서 모든 ActiveX를 사용자 동의 없이도 설치 가능하도록 설정되어 있는 경우는 해당 사이트를 방문하는 것 만으로도 스파이웨어의 설치가 이루어진다.
국외의 경우도 국내외 마찬가지로 이런 사례가 자주 발견되고 있다. 실제 사례를 살펴보면 [그림 2-3]과 같이 동영상을 음악만 나오게 인코딩(encording) 한 후 이를 보기 위해서는 특정 사이트에서 제공하는 코덱(codec) 을 설치해야 한다는 허위 안내 문구를 보여주고 사이트 방문 및 설치를 유도한다.


[그림 2-3] 해외 동영상 UCC를 가장한 스파이웨어 설치 유도 사이트

[그림 2-3]의 사이트를 통해 허위 코덱 프로그램을 다운로드 받아 실행하면 [그림 2-4]와 같이 정상적인 프로그램과 동일한 설치 화면을 볼 수 있다.


[그림 2-4] 허위 코덱 프로그램 설치시 약관 화면

하지만 이 프로그램은 코덱과는 전혀 상관 없는 다수의 스파이웨어 및 허위 안티 스파이웨어(Rogue Anti Spyware)를 사용자 동의 없이 설치하는 프로그램이다. 이렇게 설치된 스파이웨어는 [그림 2-5]와 같이 허위 보안 경고 창과 풍선 도움말을 지속적으로 보여주고, 허위 안티 스파이웨어 프로그램을 통한 결재 및 치료를 유도한다.


[그림 2-5] 허위 보안 안내문을 보여주는 스파이웨어

따라서 이런 피해를 입지 않기 위해서는 UCC 등을 볼 때 사용자의 각별한 주의가 필요하다.

▶ 보안 취약점을 사용한 국내 애드웨어 배포
보안 취약점을 사용해 스파이웨어를 배포하는 방법은 주로 외국에서 이루어졌다. 하지만 최근 국내 애드웨어도 이러한 기법을 사용하는 사례가 발견 되었다. 특히 이번은 최초인 동시에 MS06-014 취약점 코드를 ASCII 취약점을 이용하여 문자를 암호화 시켜 보안 제품의 진단 회피 기법을 적용한 것이 특징이다. 이 경우 사용자는 MS06-014 취약점에 대한 보안 패치가 적용되어 있지 않으면 특정 사이트를 방문하는 것 만으로도 애드웨어가 사용자의 동의 없이 설치되는 문제를 가져온다. 사용자가 어떠한 불편함을 겪든 상관 없이 돈만 벌면 된다는 모 업체의 그릇된 생각으로 인해 다수의 사용자들이 큰 피해를 입었다. 이런 피해를 예방 하기 위해서는 일반 사용자는 윈도우 보안 패치가 발표되면 즉시 업데이트를 적용해야 하며, 업체는 자사의 이익이 아닌 고객의 입장을 먼저 생각해야 한다.

Posted by 멋나미

댓글을 달아 주세요

인터넷 사용자의 최대 관심사인 되어버린 UCC(User Created Contents)에 대한 열풍은 이미 여러 곳에서 일어나고 있다. 예전에 소수의 우수한 정보 제공자가 제작한 컨텐츠를 공유하던 형태에서 불특정 다수의 사용자가 스스로 컨텐츠를 제작하여 공유하는 형태로 변하고 있는 것이다.

이미 안철수연구소에서는 "2007년도 10대 보안 트렌드 예측 "에 "UCC 경유한 악성코드 유포"라는 제목으로 UCC가 악성코드를 유포하는 매개체가 될 수 있다고 전망하였다. 이를 반영하듯 UCC를 다운로드 받을 수 있는 프로그램이라고 사용자를 속여 사용자의 실수를 유도하고 제작자가 유도한 대로 파일을 받아 실행할 경우 스파이웨어가 설치되는 웹사이트가 발견되었다.


[그림1] YouTube를 사칭한 사이트

사회공학적 기법으로 인지도가 높은 UCC 사이트와 유사한 가짜 사이트를 사용자에게 제공함으로써 사용자를 손쉽게 속여서 스파이웨어를 설치하게 할 수 있다. 이렇게 감염된 사용자 컴퓨터에 설치된 후 실행된 스파이웨어는 아래 [그림 2]와 같이 사용자를 불안하게 만들어 악성코드 제작자가 유도하는 데로 행동하게 만들기 위하여 사용자의 컴퓨터가 감염되었다는 문구를 삽입한 풍선 도움말을 출력시키거나 인터넷 익스플로러의 시작페이지를 변경한다. 이와 같이 스파이웨어 제작자는 스파이웨어를 감염시키기 위해 어려운 프로그래밍을 선택하는 대신 처음부터 끝까지 사회공학적 기법을 이용하여 배포하는 방법을 선택하였다.


[그림2] 스파이웨어에 감염되었다는 허위 메시지

[그림3] 스파이웨어에 감염되었다는 IE 시작페이지

얼마 전부터 스파이웨어는 코덱(Codec)을 사칭한 프로그램으로 유포하기도 하였으며, 이러한 사회공학적 기법은 오래 전부터 암호 해독 등 다양한 곳에서 악용되어 왔고, 보안 관련 업계에서는 이러한 사회공학적 기법에 대하여 사용자들의 주의를 당부하고 있지만, 너무나 쉽게 사용자들이 속고 있다.

또 다른 방법으로 스파이웨어를 유포하는 방법이 사용되고 있다. 일반적으로 컴퓨터는 데이터를 8개의 비트 단위로 처리되고, 가장 많이 사용되고 있는ASCII 문자열 코드는 128개의 가능한 문자조합을 제공하는 7비트 부호로 최상위 비트는 패리티 비트나 특정 문자로 사용된다.

HTML 문서를 작성할 때 문자열 코드(charset)를 US-ASCII로 설정할 경우 인터넷 익스플로러는 1바이트 중 7 비트만을 해석하고 최상위 비트는 무시한다. 따라서 최상위 비트를 1로 세팅하게 되면 인터넷 익스플로러는 아래 그림과 같이 사람이 인식할 수 없는 문자로 표시되지만 해석하여 실행되는 데는 아무런 문제가 발생되지 않는다.


[그림4] 인코딩된 문자열

[그림4]의 인코딩된 문자열을 디코딩 하기 위해서는 최상위 비트를 0으로 세팅하면 사람이 인식할 수 있는 문자열로 디코딩 할 수 있고, 그 결과 [그림5]와 같이 문자열을 확인할 수 있었다. 해당 HTML 페이지는 MS06-014 취약점을 이용하여 특정 URL의 실행파일을 다운로드하는 스파이웨어로 사용자 동의 없이 스파이웨어를 다운로드 하여 실행하여 사용자 PC는 감염된다.

이와 같이 ASCII 변조는 분석가의 분석을 까다롭게 만들 뿐 아니라 별도의 디코더 없이도 인터넷 익스플로러가 정상적으로 동작하여 악성코드 개발자들에게는 매력적인 방법으로 자주 사용될 것으로 보인다.


[그림5] 디코딩된 문자열

스파이웨어를 감염시키는 경로로 위에서 소개한 사회공학적 기법과 ASCII 취약점을 이용한 기법 이외에도 최근에는 웜(Worm)에 의해 스파이웨어가 다운로드 되기도 하여 스파이웨어 감염 경로는 보다 다양해지고 있는 현실이다.

출처 : 안철수연구소
http://kr.ahnlab.com/infoView.ahn?seq=9359&page_num=1&keyStr=&category=16
Posted by 멋나미

댓글을 달아 주세요