3. 마무리

국내 웹하드 서비스를 통해서 배포되는 수 많은 동영상이나 프로그램 파일에 악성파일이 교묘하게 포함되어 있다는 점을 인식하고, 웹하드에 등록되어 있는 동영상 확장명이 대표적인 실행파일(EXE, COM, SCR)이거나 압축파일(ZIP, RAR, ALZ, EGG, 7Z)일 경우에는 각별한 주의가 필요하겠다. 특히, 성인용 동영상 파일에 상대적으로 악성파일이 다수 포함되어 있을 수 있다는 점과 nProtect Anti-Virus 제품을 통해서 정기적으로 시스템 검사를 수행하여 숨겨져 있는 악성파일을 제거하도록 하는 관심이 중요하겠다.

상기에서 공개한 웹하드 경로를 통한 3가지 악성파일 유포 사례는 극히 일부이며, 실제로는 매우 다양하고 폭 넓은 범위에서 악성파일이 유포되고 있다는 점을 명심하도록 하며, 아래와 같은 보안 관리 수칙을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 잉카인터넷(대응팀)에서는 위와 같은 악성파일에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비해 24시간 지속적인 대응체계를 유지하고 있다.

1. 개요

잉카인터넷 대응팀은 2012년 03월 14일 게시된 마이크로 소프트(MS)사의 긴급(Critical) 보안 업데이트 MS12-020 취약점과 관련한 악성도구를 일부 발견하였다. MS12-020 보안 업데이트는 원격 데스크톱 프로토콜에서 발견된 2가지 취약점을 해결하는 것이며, 악의적 공격자에 의해서 특수하게 조작된 RDP(Remote Desktop Protocol) 패킷 전송을 통해 원격 코드 실행이 가능한 심각한 취약점이다. 대부분의 Windows 운영체제는 초기설정 값으로 RDP 기능이 비활성화되어 있고, 이 조건의 시스템은 취약점 공격 대상에 포함되지는 않으나, 설정 변경에 따라서 언제든지 보안위협에 노출될 수 있으므로 필수적으로 최신 보안패치 설치를 즉시 권장하며, 자동전파 기능을 결합한 네트워크 웜으로 발전할 경우 파급력이 증대될 것으로 우려된다. 

다만, 악의적 공격자가 위에서 언급한 도구를 이용해서 RDP 취약점 공격을 수행할 때 최신 보안 업데이트(서비스팩 포함)가 설치되어 있거나, 다음과 같이 원격 데스크톱 연결 기능이 해제되어 있는 경우에는 취약점 공격으로 인한 피해를 직접적으로 입지는 않는다. 그러나 매우 심각한 보안 취약점이므로 무관심으로 일관하여 보안 사각지대를 방치(보안 불감증)하지 말고, 반드시 최신 보안 업데이트를 매달 정기적으로 설치(자동 업데이트 권장)하여 근본적인 문제 해결을 수행하는 노력이 필요하다.

원격 데스크톱 연결 기능이 활성화되어 있고, 최신 보안 업데이트가 설치되지 않은 취약한 컴퓨터의 IP 주소를 대입한 후, 공격 수행 버튼을 누르게 되면 해당 컴퓨터는 블루스크린(BSoD:Blue Screen of Death) 장애가 발생하고, 일정 시간 후 자동 재부팅이 진행된다. 이 과정에서 아래와 같이 시스템 종료 이벤트 추적기 등이 나오면서 부팅 과정 대기 상태가 유지될 수 있는데, 사용자가 수동으로 확인버튼을 눌러야만 정상 부팅이 진행될 수 있다. 따라서 관리가 소홀한 FTP 서버나 데이터 베이스 서버가 공격을 당하면 관리자가 장애 사항을 파악하기 전까지 한동안 서비스가 중단되는 예기치 못한 피해를 입을 수도 있다.

3. 피해 예방법

상기 취약점은 이미 2012년 03월 마이크로 소프트(MS)사 정기 보안 업데이트를 통해서 개선된 모듈을 제공하고 있다. 그러므로 Windows 운영체제 이용자들은 신속히 최신 보안 업데이트를 진행하여 관련 취약점을 모두 제거하여 혹시 모를 공격에 사전 예방 조치를 수행하여야 한다.

컴퓨터 사용에 있어서 보안 업데이트는 선택이 아닌 필수이며, 각종 새로운 악성파일을 사전에 충분히 예방할 수 있는 효과를 기대할 수 있고, 다음 내용을 참고하면 쉽게 업데이트 하는 방법을 습득할 수 있다.

쉽게 배우는 Microsoft Windows 보안 업데이트
☞ http://erteam.nprotect.com/8

더불어 악성파일에 감염되어 치료를 진행하는 것은 이미 사용자의 입장에서는 어느정도 감염 피해를 입은 후 조치하는 후속 절차 이다. 이와 같이 원하지 않는 피해 발생으로 부터 안전하기 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

2. 업데이트 내용

1. 개요

잉카인터넷 대응팀은 국내외 특정기관 및 기업들을 대상으로 하는 일명 지능형 지속 위협(APT:Advanced Persistent Threat)이라 부르는 표적형 공격 기법을 집중적으로 추적하고 있는 상황이다. 이 과정에서 2012년 03월 02일 국내에서 발생하였지만 아직 공식적으로 공개된 바 없는 실제 공격 사례의 정황을 다수 포착하였고, 근거자료를 기반으로 해당 수법을 장시간 다각적으로 면밀하게 조사를 수행하였다. 이에 잉카인터넷 대응팀은 공격자 입장의 관찰자 관점에서 어떻게 공격이 진행되었는지 업계 최초로 수집된 자료를 공개하고, 표적기반의 정교하고 은밀한 형태의 공격방식을 효과적으로 방어하기 위해서 어떠한 보안전략이 요구되고, 대응과제가 수립되어야 하는지 실제상황을 비교하여 제시해 보고자 한다.

■ 표적형 공격의 수행 단계

■ 지능형 지속 위협(APT) 공격의 레벨 정의

잉카인터넷 대응팀은 국내외 지능형 지속 위협(APT)의 사례를 다수 확보하고 조사하면서 위장된 이메일을 이용한 침투 수법 및 수준에 나름의 차이가 있다는 것을 발견하였으며, 이것을 기반으로 공격자 기반의 레벨을 구분하여 자체적으로 다음과 같이 수준(Level)을 정의하였다.

이 모든 내용은 이메일 악성파일 첨부와 본문 내용에 포함된 URL 링크 방식을 복합적으로 사용할 수 있기 때문에 악성파일 첨부 방식만으로 제한하여 규정하지는 않으며, 다국적 언어가 모두 사용될 수 있고 공격자의 중앙 관리 서버를 통해서 추가 명령 및 제어(C&C)를 통해서 언제든지 가변적인 변칙 공격도 가능할 수 있다.

각 레벨은 공격자가 사용하는 기술적 해석 방식이고, 대상자로 하여금 공격자 이메일의 신뢰도를 향상시키기 위해서 발신자 및 본문 내용의 일치성을 유지하는 경우 좀더 퀄리티 높은 공격이 수행되는 기반이 될 수 있게 된다. 쉽게 말해서 발신자의 이메일 도메인과 본문 내용이 매칭된다거나, 수신자와 관련되어 있는 도메인으로 발송되는 경우 공격 성공확률은 비례적으로 높아지게 마련이기 때문에 지능적인 공격자는 최종 표적 주변의 기업 또는 인물 탐색 및 유관 사이트의 공격을 우선 수행하는 경우가 많게 되고, 이는 연쇄적인 악성파일 감염 피해의 단초 역할을 하게 된다.

2. 국내 표적형 실제 공격 사례 공개

잉카인터넷 대응팀은 최근 특정 공격자가 국내외 주요 인터넷 업체들을 대상으로 은밀한 공격이 감행된 정황과 단서를 포착하여 지속적인 조사를 수행하고 있다. 이러한 보안위협 이슈와 관련하여 대부분의 공격 대상자들은 보안상 외부의 노출을 거부하는 것이 일반적이고, 악의적 공격에 얼마 만큼의 피해를 입었는지도 파악하기가 좀처럼 쉽지 않기 때문에 공식적으로 공개되는 경우는 거의 없다고 봐도 과언이 아니다. 그렇기 때문에 공격자로 하여금 지속적으로 악의적인 활동을 할 수 있게 해주는 원인을 제공하게 됨과 동시에 좀더 쉽게 자신의 공격 수법을 감출 수 있고, 베일에 모습을 가린채 끊임없이 공격을 할 수 있게 하는 근본적 요인으로 작용하게 된다.

이에 잉카인터넷 대응팀은 이러한 실제 표적공격의 실체를 직접 파악하고 공개하여 수 많은 기업과 기관들로 하여금 표적형 유사 보안위협을 조금이나마 예방하는데 도움이 되고자 한다. 또한, 이미 공격을 받은 기업들도 피해사실을 은폐하는데만 급급하지 말고, 신뢰할 수 있는 보안업체와 적극적으로 정보를 공유하고 외부의 전문가들로 부터 다양한 조언과 컨설팅 등을 제공받아 연쇄 피해를 끊을 수 있도록 하는 혁신적인 보안 마인드와 긍정적인 보안 협의체 도출 방안이 요구된다. 이를 통해서 지능형 지속 위협의 지속성을 끊고, 공격 수법을 충분히 공유하여 유사한 방식을 사전에 인지할 수 있는 능력을 고취시키는 노력이 절실하다.

■ 실제 타임라인으로 추적하는 총 11차에 걸친 국내 포함 글로벌 APT 공격 사례 공개  

이번에 공개하는 실제 공격 사례는 얼마전 공개했던 "국내 유명 기업 표적 공격(APT)형 수법 공개"의 악성파일과 동일인이 공격한 것으로 추정되고 있으며, 다양한 변종 공격을 작년 경부터 끊임없이 진행하고 있는 것으로 파악된다.

또한, 동일 공격자는 한컴오피스의 HWP 문서 취약점을 이용한 공격 방식 등도 사용되었던 것이 일부 확인된 상태이다. 

준비 : 2012년 03월 02일 금요일 오전 09시 51분 경 : 중국 이메일로 테스트 작업

공격자는 국내 특정 사용자의 계정을 명의 도용하여 구글메일(Gmail) 계정 체크 내용으로 교묘하게 위장된 침투용 이메일을 중국의 검색 포털 사이트인 Netease 사이트에서 제공 중인 도메인으로 발송한다. 물론, 사전 공격 시나리오에 따라 국내 특정 웹 사이트에 JAVA 취약점 파일과 최종 악성파일도 이미 설치가 완료된 상태이다. 그런데 여기서 이상한 점이 하나 있다.

공격자는 약 3분 간격으로 두차례 중국 특정 계정으로 이메일을 발송한다. 이 부분은 공격자가 침투용 APT 공격 이메일을 발송하기 이전에 자신의 계정으로 정상 작동 여부를 테스트한 것으로 추정되며, 예측 근거자료로 첫 번째 보낸 메일은 정상적인 구글 링크이지만, 두 번째 보낸 메일은 국내의 특정 웹 사이트를 해킹하여 취약점 파일을 등록한 웹 사이트로 연결되도록 구성되어 있다.

일본 계정으로는 오전 10시 19분경까지 22개의 특정 이메일 계정으로 공격을 감행했으며, 약 10건은 메일이 차단되어 반송되었다.

1. 윈도우 제품군 보안 업데이트 (최신 서비스팩 필수)

▣ http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ko

자동 업데이트를 통해서 매달 또는 긴급으로 출시되는 최신 업데이트를 자동으로 설치하도록 구성하는 것이 좋으며, 자동(권장)을 선택할 때는 시간을 초기값인 새벽 3시로 설정하여 사용하지 말고, 컴퓨터가 켜져 있을 가능성이 높은 시간대를 정하는 것이 중요하다.

최근의 악성파일들은 불특정 다수를 타깃으로 웹사이트 접속만을 통한 무차별 유포 감염 방식과 특정 대상을 정한 후 지능적으로 공격하는 표적 공격 등으로 구분된다. 이러한 보안 위협들은 대부분 사용자들이 보유하고 있는 보안취약점을 매개체로 악용하고 있다는 점에서 보안 안전성에 대한 맹신과 불감증은 악순환의 고리로 연결될 수 밖에 없는 상황이다.

결국 잠재적인 보안 위협을 사용자 스스로 해결하고자 하는 관심과 노력이 없다면 수 많은 악성파일로 부터 안전을 기대하기는 힘들고,  컴퓨터의 기초 보안 체력 약화로 직결될 것이다.

악성파일 제작과 유포를 통한 트랜드는 나날이 발전하고 범죄화, 지능화되고 있는 반면에 아직도 많은 사용자가 악성파일에 쉽게 노출되어 이른바 Zombie PC로 전락하고 있다. 중국 원나라의 장가구가 지은 산곡이라는 작품에서 유래된 장두노미(藏頭露尾)라는 말이 있다. 쫓기는 타조가 덤불 속에 머리는 감추었는데 꼬리는 드러내서 쩔쩔매는 모습을 뜻한다. 각종 최신 보안 위협으로 부터 머리만 감추고 전전긍긍하지 말고 스스로의 노력으로 이러한 문제를 해결하고자 한다면 충분히 가능할 것이다. @ERTEAM

■ CVE-2012-0754 정보
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0754

2. 유포 방식 및 증상

악성파일은 일본 국토지리원의 특정 이메일 사용자에게 다음과 같은 형식으로 발송되었으며, "地域デザイン学会の名簿.xls"라는 이름의 악성 첨부파일을 포함하고 있다. 발신자는 일본 동해(토우카이)대학 정치경제학부 경제학과 소속으로 소개되어 있으며, 지역 디자인 학회 명단 리스트를 전달하는 본문 내용을 가지고 있다.
 

※ 잉카인터넷(대응팀)에서는 위와 같은 악성파일에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비해 24시간 지속적인 대응체계를 유지하고 있다.