[출처] 안철수연구소 ASEC

스파이웨어를 보다 효과적으로 사용자 컴퓨터에 설치하기 위해 다양한 방법들이 등장하고 있다. 과거에는 기술적인 측면에서 여러 가지 방법이 시도 되었다면, 최근에는 UCC(User Created Contents)의 등장으로 인해 사회적 공학 기법이 자주 사용되고 있다.
국내의 경우 최근 이슈가 된 사건의 동영상 UCC인 것처럼 가장해서 블로그(Blog)에 등록하고 국내의 대표적인 검색 사이트 등에 등록되게 한 후, 이를 검색해서 찾아온 사용자를 대상으로 해당 동영상을 보려면 해당 페이지에서 제공하는 ActiveX 컨트롤을 설치 해야 한다는 허위 안내 문구를 보여주고 설치를 유도하는 방식이 주로 발견되고 있다.


[그림 2-1] 국내 동영상 UCC를 가장한 스파이웨어 배포 사이트

실제 예를 들어 살펴보면 [그림 2-1]에서 보는 바와 같이 분명 일반적인 블로그 형태를 띄고 있다. 하지만 [그림 2-1]의 HTML 원본([그림 2-2])을 살펴보면, 해당 사이트가 하나의 그림 파일로 이루어져 있으며, 다수의 스파이웨어를 ActiveX로 설치하는 코드가 삽입되어 있는 것을 확인할 수 있다.


[그림 2-2] 허위 동영상 UCC 배포 사이트의 HTML 원본

따라서 사용자는 동영상을 보기 위해 해당 사이트에서 설치를 유도하는 ActiveX 컨트롤을 설치하는 순간 원하지도 않은 다수의 스파이웨어를 설치하게 된다. 만약 사용자의 Internet Explorer의 보안 설정에서 모든 ActiveX를 사용자 동의 없이도 설치 가능하도록 설정되어 있는 경우는 해당 사이트를 방문하는 것 만으로도 스파이웨어의 설치가 이루어진다.
국외의 경우도 국내외 마찬가지로 이런 사례가 자주 발견되고 있다. 실제 사례를 살펴보면 [그림 2-3]과 같이 동영상을 음악만 나오게 인코딩(encording) 한 후 이를 보기 위해서는 특정 사이트에서 제공하는 코덱(codec) 을 설치해야 한다는 허위 안내 문구를 보여주고 사이트 방문 및 설치를 유도한다.


[그림 2-3] 해외 동영상 UCC를 가장한 스파이웨어 설치 유도 사이트

[그림 2-3]의 사이트를 통해 허위 코덱 프로그램을 다운로드 받아 실행하면 [그림 2-4]와 같이 정상적인 프로그램과 동일한 설치 화면을 볼 수 있다.


[그림 2-4] 허위 코덱 프로그램 설치시 약관 화면

하지만 이 프로그램은 코덱과는 전혀 상관 없는 다수의 스파이웨어 및 허위 안티 스파이웨어(Rogue Anti Spyware)를 사용자 동의 없이 설치하는 프로그램이다. 이렇게 설치된 스파이웨어는 [그림 2-5]와 같이 허위 보안 경고 창과 풍선 도움말을 지속적으로 보여주고, 허위 안티 스파이웨어 프로그램을 통한 결재 및 치료를 유도한다.


[그림 2-5] 허위 보안 안내문을 보여주는 스파이웨어

따라서 이런 피해를 입지 않기 위해서는 UCC 등을 볼 때 사용자의 각별한 주의가 필요하다.

▶ 보안 취약점을 사용한 국내 애드웨어 배포
보안 취약점을 사용해 스파이웨어를 배포하는 방법은 주로 외국에서 이루어졌다. 하지만 최근 국내 애드웨어도 이러한 기법을 사용하는 사례가 발견 되었다. 특히 이번은 최초인 동시에 MS06-014 취약점 코드를 ASCII 취약점을 이용하여 문자를 암호화 시켜 보안 제품의 진단 회피 기법을 적용한 것이 특징이다. 이 경우 사용자는 MS06-014 취약점에 대한 보안 패치가 적용되어 있지 않으면 특정 사이트를 방문하는 것 만으로도 애드웨어가 사용자의 동의 없이 설치되는 문제를 가져온다. 사용자가 어떠한 불편함을 겪든 상관 없이 돈만 벌면 된다는 모 업체의 그릇된 생각으로 인해 다수의 사용자들이 큰 피해를 입었다. 이런 피해를 예방 하기 위해서는 일반 사용자는 윈도우 보안 패치가 발표되면 즉시 업데이트를 적용해야 하며, 업체는 자사의 이익이 아닌 고객의 입장을 먼저 생각해야 한다.

Posted by 멋나미

'UCC' 열풍 타고 스며드는 '스파이웨어'
[머니투데이 / 성연광 기자 | 04/23 14:17]

동영상 프로그램 가장 살포…싸이 방문자 추적기 위장 사례도

대학생 김모군(20세)는 얼마전 황당한 일을 겪었다. 싸이월드 방문자를 추적해주는 프로그램을 배포한다는 사이트를 방문했다가 PC가 먹통이 돼버린 것.

개인이 만든 것으로 알려진 그 사이트는 '예전에 개발했던 싸이월드용 API를 개조한 싸이월드 방문자 추적기"라고 소개돼있다. 여기에 자신의 싸이월드 주소를 넣고 'API 실행' 버튼을 클릭하니 실행 중 '익스플로러 보안제한 때문에 에러가 발생했다"는 보안설정을 낮춰달라는 안내문구가 나왔다.

김군이 안내된 문구대로 따라했더니 10여개가 넘는 애드웨어와 허위 안티스파이웨어가 순식간에 자신의 PC에 깔려버렸던 것. 실은 누가 자신의 싸이월드에 다녀갔는지 궁금해하는 회원들의 심리를 이용해 애드웨어를 유포하는 배포업자에 당한 것이다.

최근 손수제작물(UCC) 열풍을 타고 사용자가 직접 만들어 배포하는 소프트웨어, 이른바 UCS(User Created Software)가 부각되면서 새로운 보안위협으로 대두되고 있다.

김모군이 피해를 당했던 '싸이월드 방문자 추적 프로그램'처럼 이용자들을 현혹시켜 PC의 '보안설정'을 낮춘 뒤 이를 이용해 스파이웨어, 애드웨어를 유포하는 사례가 크게 늘고 있는 것.

인터넷 익스플로러 등 웹브라우저의 보안설정을 낮추면 웹서핑시 '액티브 X'를 사용하는 사이트에 접속할 경우 모든 프로그램이 사용자 동의 없이 설치되기 때문에 상당히 위험하다. 즉, 원하지 않지만 웹페이지를 방문하는 것만으로 악성 프로그램들이 죄다 깔릴 수 있다는 것.

안철수연구소 박시준 연구원은 'UCC를 통해 유포되는 악성코드 예방법'이란 보고서를 통해 "검증되지 않은 소프트웨어는 가급적 사용을 자제해달라"며 "특히 인터넷 익스플로러의 설정정보를 변경하는 것은 자칫 심각한 보안위협에 빠질 수 있다"고 경고했다.

특히 '사용자 추적 프로그램'처럼 정상적이지 않은 서비스의 경우, 이같은 악성코드 유포에 이용됐을 가능성이 적지않은 관계로 정상적인 서비스를 이용해줄 것으로 당부했다.

이 보고서에 따르면, UCC가 급속도로 확산됨에 따라 이를 악용해 애드웨어나 악성코드를 사용자 동의없이 설치하는 사례가 실제 발견되고 있으며, 앞으로 이같은 움직임은 더욱 활발해질 것으로 전망했다.

유형별로 가장 대표적인 게 동영상 프로그램인 'MS 윈도미디어플레이어'의 스크립트 명령을 수행하는 기능을 악용한 악성코드 유포다.

윈도 미디어 플레이어 설치시 해당 옵션이 비활성화 상태돼 있는데, 이 기능이 활성화될 경우, 사용자는 인터넷 웹페이지에서 동영상을 보기만해도 애드웨어를 비롯한 악성코드 유포 사이트에 접속될 수 있다는 것. 이를 방지하기 위해선 윈도미디어플레이어 URL스크립트 명령 동작 업데이트를 설치하고, 윈도 업데이트를 통해 알려진 보안 취약점을 모두 패치할 것으로 권고했다.

허위 코덱(codec)도 주의해야한다. 일종의 사회공학적 기법을 사용해 누구나 관심을 가질만한 주제의 동영상을 소리만 또는 영상만 인코딩(용량이 큰 동영상 데이터를 작은 사이즈로 압축하는 과정)한 후 나오지 않는 소리 또는 영상을 보기위해서는 특정 사이트에서 배포하는 코덱을 설치해야한다고 안내한 뒤 프로그램 설치를 종용한다. 그러나 이렇게 받아진 프로그램은 동영상 재생과는 전혀 무관한 스파이웨어인 경우가 적지않다.

보안 취약점을 사용해 악용해 악성코드를 강제설치하는 방식도 늘고 있다. 안철수연구소는 UCC가 일반 사용자들이 콘텐츠를 만들고 공유할 수 있다는 점을 이용해 누구나 흥미를 가질 수 있는 콘텐츠를 작성하고 해당 콘텐츠에 보안 취약점을 사용해 애드웨어나 스파이웨어, 또는 바이러스를 설치하는 코드를 삽입할 가능성이 매우높다고 경고했다.

실제 얼마전 국내 애드웨어 제작사는 보안 취약점(MS06-014)를 이용해 자사의 애드웨어를 배포하는 사례가 발견되기도 했다. 이를 예방하기 위해선 정기적으로 윈도 보안업데이트를 수행하고, 가급적 자동 업데이트를 활성화할 것으로 당부했다.

박시준 연구원은 "내가 직접 콘텐츠를 손쉽게 다른 사람들과 공유할 수 있다는 점에서 UCC가 너무나도 매력적이지만 더욱 많은 보안위협에 노출되고 있다"며 "해당 서비스업체들도 업로드되는 콘텐츠로 인해 발생할 수 있는 위험 요소를 적극적으로 찾고 지속적인 모니터링을 실시해야한다"고 강조했다.

Posted by 멋나미
TAG UCC, 보안
UCC, 악성코드 유통도구 우려
디지털타임스 이홍석 기자 2007. 4.10
KISA 등 정보보호기관ㆍ업체 심각성 잇단 지적
보안패치ㆍ최신 백신 설치 등 철저한 대비 필요

최근 정보보호 기관 및 업체들이 사용자제작컨텐츠(UCC)가 새로운 악성코드 전파 수단으로 부각될 것으로 전망하고 나서 이에 대한 철저한 대비가 필요할 것으로 보인다.

한국정보보호진흥원(KISA)은 최근 발간한 `인터넷 침해사고 동향 및 분석월보` 의 월간 특집기사 `UCC 현황과 향후 보안위협' 을 통해 예상되는 UCC 해킹공격의 유형과 이에 대한 예방법에 대해 소개했다.

◇UCC 공유 트렌드를 교묘히 악용=KISA은 사용자들이 직접 제작한 동영상 및 이미지를 인터넷 상에서 공유하는 사례가 많아지고 있으며 이러한 UCC를 서비스 형태로 제공하는 사이트들도 매년 증가하고 있다면서 이에 따라 보안위협도 증가하고 있다고 설명했다. UCC가 누구라도 제작하여 배포할 수 있는데다 인터넷을 통해 다수의 이용자들에게 신속히 공유될 수 있다는 점에서 악성코드 삽입을 통한 공격이 쉽게 이뤄질 수 있는 위험성이 크다는 것이다. 특히 UCC의 대표 콘텐츠로 많이 공유되는 동영상ㆍ이미지ㆍ플래시 파일 등이 주요한 공격수단으로 악용될 것으로 KISA측은 전망했다.

KISA은 UCC를 악용한 공격 유형으로 △동영상에 URL스크립트를 삽입하는 기법, △동영상 플레이어 및 이미지 처리 취약점을 악용하는 기법, △플래시 액션스크립트 기능을 악용하는 기법 등을 소개했다. 특히 악성코드를 숨긴 사이트를 제작한 뒤 UCC를 통해 해당사이트로 접속을 유도하는 형태의 공격이 가장 많을 것으로 내다봤다.

최근에는 정보보호업계 전체가 UCC를 통한 악성코드 전파의 위험성에 대해 경고하고 있다. 국가정보원 국가사이버안전센터(NCSC)는 지난달 말 열린 사이버안전의 날 행사에서 UCC사이트에 악성코드를 심은 동영상 파일을 게시, 해당 동영상을 다운로드받은 사용자들의 PC에 침입, 기밀정보를 빼내 물리적 테러에 악용하는 원격제어 해킹을 시연했다. 또 안철수연구소와 뉴테크웨이브 등 정보보호업체들도 보고서를 통해 UCC가 악성코드 유통도구로 악용될 수 있다는 점을 지적하고 나섰다.

◇미디어 소프트웨어에 대한 낮은 패치율이 문제 키워=KISA와 NCSC측은 아직까지 국내에서 UCC를 악용한 공격이 보고된 사례는 없지만 해외에서는 악의적인 URL이 삽입돼 있는 동영상이 소셜네트워킹서비스 사이트 `마이스페이스' 와 동영상 사이트 `유튜브' 등을 통해 유포되는 피해가 발생하고 있는 만큼 국내라고 해서 더 이상 안전지대가 될 수 없다고 강조하고 있다.

KISA 인터넷침해사고대응지원센터 심원태 분석대응팀장은 "이미지나 동영상을 통한 악성코드 전파 기법 자체가 새로운 것은 아니지만 문제는 사용자 참여와 개방성을 강조하는 UCC의 속성" 이라면서 "해커들이 사용자들의 호기심을 유발할 수 있는 사회적 이슈나 콘텐츠를 악용해 공격할 경우 이에 대한 보안 위협은 예상보다 클 수 있다"고 지적했다.

KISA은 일반 사용자들이 미디어 소프트웨어들의 패치 적용 필요성에 대한 인식이 매우 낮다면서 UCC에 의한 해킹 피해 발생을 사전에 예방하기 위해 △운영체제(OS)ㆍ웹 브라우저ㆍ미디어플레이어 등의 최신 버전 및 패치 적용, △최신 백신제품 설치 및 실시간 감시 활성화, △신뢰성 없는 파일 열어보지 말 것 등을 당부했다.

이홍석기자 redstone@
Posted by 멋나미
인터넷 사용자의 최대 관심사인 되어버린 UCC(User Created Contents)에 대한 열풍은 이미 여러 곳에서 일어나고 있다. 예전에 소수의 우수한 정보 제공자가 제작한 컨텐츠를 공유하던 형태에서 불특정 다수의 사용자가 스스로 컨텐츠를 제작하여 공유하는 형태로 변하고 있는 것이다.

이미 안철수연구소에서는 "2007년도 10대 보안 트렌드 예측 "에 "UCC 경유한 악성코드 유포"라는 제목으로 UCC가 악성코드를 유포하는 매개체가 될 수 있다고 전망하였다. 이를 반영하듯 UCC를 다운로드 받을 수 있는 프로그램이라고 사용자를 속여 사용자의 실수를 유도하고 제작자가 유도한 대로 파일을 받아 실행할 경우 스파이웨어가 설치되는 웹사이트가 발견되었다.


[그림1] YouTube를 사칭한 사이트

사회공학적 기법으로 인지도가 높은 UCC 사이트와 유사한 가짜 사이트를 사용자에게 제공함으로써 사용자를 손쉽게 속여서 스파이웨어를 설치하게 할 수 있다. 이렇게 감염된 사용자 컴퓨터에 설치된 후 실행된 스파이웨어는 아래 [그림 2]와 같이 사용자를 불안하게 만들어 악성코드 제작자가 유도하는 데로 행동하게 만들기 위하여 사용자의 컴퓨터가 감염되었다는 문구를 삽입한 풍선 도움말을 출력시키거나 인터넷 익스플로러의 시작페이지를 변경한다. 이와 같이 스파이웨어 제작자는 스파이웨어를 감염시키기 위해 어려운 프로그래밍을 선택하는 대신 처음부터 끝까지 사회공학적 기법을 이용하여 배포하는 방법을 선택하였다.


[그림2] 스파이웨어에 감염되었다는 허위 메시지

[그림3] 스파이웨어에 감염되었다는 IE 시작페이지

얼마 전부터 스파이웨어는 코덱(Codec)을 사칭한 프로그램으로 유포하기도 하였으며, 이러한 사회공학적 기법은 오래 전부터 암호 해독 등 다양한 곳에서 악용되어 왔고, 보안 관련 업계에서는 이러한 사회공학적 기법에 대하여 사용자들의 주의를 당부하고 있지만, 너무나 쉽게 사용자들이 속고 있다.

또 다른 방법으로 스파이웨어를 유포하는 방법이 사용되고 있다. 일반적으로 컴퓨터는 데이터를 8개의 비트 단위로 처리되고, 가장 많이 사용되고 있는ASCII 문자열 코드는 128개의 가능한 문자조합을 제공하는 7비트 부호로 최상위 비트는 패리티 비트나 특정 문자로 사용된다.

HTML 문서를 작성할 때 문자열 코드(charset)를 US-ASCII로 설정할 경우 인터넷 익스플로러는 1바이트 중 7 비트만을 해석하고 최상위 비트는 무시한다. 따라서 최상위 비트를 1로 세팅하게 되면 인터넷 익스플로러는 아래 그림과 같이 사람이 인식할 수 없는 문자로 표시되지만 해석하여 실행되는 데는 아무런 문제가 발생되지 않는다.


[그림4] 인코딩된 문자열

[그림4]의 인코딩된 문자열을 디코딩 하기 위해서는 최상위 비트를 0으로 세팅하면 사람이 인식할 수 있는 문자열로 디코딩 할 수 있고, 그 결과 [그림5]와 같이 문자열을 확인할 수 있었다. 해당 HTML 페이지는 MS06-014 취약점을 이용하여 특정 URL의 실행파일을 다운로드하는 스파이웨어로 사용자 동의 없이 스파이웨어를 다운로드 하여 실행하여 사용자 PC는 감염된다.

이와 같이 ASCII 변조는 분석가의 분석을 까다롭게 만들 뿐 아니라 별도의 디코더 없이도 인터넷 익스플로러가 정상적으로 동작하여 악성코드 개발자들에게는 매력적인 방법으로 자주 사용될 것으로 보인다.


[그림5] 디코딩된 문자열

스파이웨어를 감염시키는 경로로 위에서 소개한 사회공학적 기법과 ASCII 취약점을 이용한 기법 이외에도 최근에는 웜(Worm)에 의해 스파이웨어가 다운로드 되기도 하여 스파이웨어 감염 경로는 보다 다양해지고 있는 현실이다.

출처 : 안철수연구소
http://kr.ahnlab.com/infoView.ahn?seq=9359&page_num=1&keyStr=&category=16
Posted by 멋나미