1. 개 요

얼마전 국내 유명 포털에서 운영되고 있는 인터넷 커뮤니티 사이트를 통해 안드로이드 악성 애플리케이션이 유포되고 있는 상황에 대한 글을 게재한 바 있다. 인터넷 커뮤니티 사이트에서는 단순히 가입 후 글 게재 및 파일 업로드 등의 활동이 얼마든지 가능하며, 이러한 점을 통해 악성 애플리케이션이 업로드될 경우 일반 사용들은 별다른 의심없이 악성 애플리케이션에 대한 다운로드 및 설치를 진행하여 감염될 수 있다.

2. 유포 과정 및 감염 증상

이러한 방법으로 유포되고 있는 악성 애플리케이션들은 악성 여부에 대한 정확한 확인이 이루어지지 않은 상태에서 일반 사용자들간에 공유가 이루어지는 경우가 대부분이다. 또한, 이와 같은 악성 애플리케이션들은 제작시 악의적인 목적으로 제작 되었다기 보다는 광고 등의 수익을 목적으로 특정 해외 업체에서 제공되는 "AD API(Advertise API)" 사용에 따라 의도치 않게 악성 애플리케이션으로 진단되는 경우가 보통이다.

이처럼 악성코드로 진단될 수 있는 AD API 가 적용되는 경우는 위와 같이 제작시 해당 코드를 추가하는 경우와 기존에 제작된 애플리케이션에 달빅코드 추가 및 변경을 통한 재패키징의 경우 두가지가 있다. 보통 해외에서 발견되고 있는 관련 악성 애플리케이션 또한 이와 같은 두가지 방법을 통해 제작 및 유포가 이루어지고 있으며, 이제 국내에서도 의도 되었든, 의도되지 않았든 공식 마켓이 아닌 루트를 통해서 이러한 악성 애플리케이션이 지속적으로 유포되고 있다.

아래의 그림은 국내 유명 포털에서 운영되고 있는 커뮤니티 사이트에서 실제로 악성 애플리케이션에 대한 다운로드를 진행하는 과정을 보여주고 있다.

위와 같은 악성 애플리케이션은 제작자에 의해 추가된 AD API에 의해 IMEI, 위치정보, 단말기 제조 업체 등의 정보를 수집하며, 수집된 정보의 외부 유출을 위해 아래와 같은 일부 코드를 사용하게 된다.

3. 예방 조치 방법

위와 같이 인터넷 커뮤니티 사이트 등을 통해 유포되는 악성 애플리케이션들은 일반 사용자의 경우 국내 유명 포털에서 운영되는 인터넷 커뮤니티 사이트에 대한 상대적인 보안 불감증으로 인해 별다른 의심 없이 다운로드하게 된다는 점에서 보안상 매우 위험하다고 할 수 있다. 이러한 악성 애플리케이션으로 부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 해당 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

1. 개 요

올해들어 안드로이드 악성 애플리케이션은 작년에 비해 본격적으로 지능적인 감염 증상 형태를 보이고 있다. 예년에는 단말기 기기 정보, SMS, 위치 정보 등에 대한 수집 및 유출이 마치 테스트 과정을 거치듯 단편적으로 이루어 졌다면, 올해 들어서는 이러한 악의적인 기능들이 통합되어 동작하거나, 실행 아이콘을 등록하지 않는 등 감염 후 증상에서 지능적인 동작 형태를 보이고 있는 것이다. 물론, 소위 이러한 악성 애플리케이션들이 모두 제작시 "악의적인 의도"를 가지고 만들어지는 것은 아니다.

정상적인 사용 용도로 만들어진 애플리케이션들이 악용될 수 있는 코드 혹은 기능이 삽입되어 있거나 권장하지 않는 프로그래밍 기법을 통해 제작될 경우 "악성 애플리케이션"으로 분류되기도 한다.

최근 국내 안드로이드 관련 커뮤니티 사이트(까페 등)에서 공유되고 있는 애플리케이션 중 "악성 애플리케이션"으로 분류되고 있는 경우가 점차 늘고 있으며, 보통 이러한 경우가 위에서 설명한 악성 진단 케이스이다. 제작 의도와 상관없이 개인 정보 등에 대한 수집 및 유출이 악성 판단의 근거가 될 수 있기 때문이다.

잉카인터넷 대응팀에서는 국내외를 가리지 않고 모든 보안 위협에 대비하기 위해 해외의 비공식 마켓을 포함하여 국내에서도 악성 애플리케이션에 대한 유포가 가능한 커뮤니티 사이트를 중심으로 관제 범위를 지속적으로 확장하고 있다.

2. nProtect Mobile for Android 업데이트 현황

아래의 그림은 2012년 1/4 분기 동안 국내외의 비공식 마켓 및 관련 커뮤니티 사이트 등을 중심으로 수집된 악성 의심 샘플의 nProtect Mobile for Android 제품 업데이트 반영 현황이다.

상기의 그림을 통해서 지속적으로 유포되고 있는 안드로이드 악성 애플리케이션의 현황에 대한 파악이 가능하며, 특히 특정 기간 및 이슈에 국한된 유포 범위가 아닌점으로 미루어보아 안드로이드 악성 애플리케이션에 대한 유포 범위가 전반적인 수준으로 자리잡고 있음이 확인 가능하다.

3. 마무리

최근 실행 아이콘을 생성하지 않아 애플리케이션의 동작 여부를 사용자가 인지하지 못하게 하는 형태의 안드로이드 악성 애플리케이션이 지속적으로 발견되고 있다. 이는 기존의 안드로이드 악성 애플리케이션과 뚜렷한 차이점으로 볼 수 있으며, 취약점 및 봇 개념 등과 결합된 형태의 악성 코드가 탑재되는 등 지능적인 감염 증상을 유발할 수 있어 점차 이러한 형태로 트랜드화된 안드로이드 악성 애플리케이션의 지속적인 유포 가능성을 추정해볼 수 있다.

때문에 이러한 악성 애플리케이션으로부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

1. 개요

잉카인터넷 대응팀은 대만의 행정원위생서(行政院衛生署)의 특정인을 표적으로 삼아 끈질기게 APT 반복공격을 시도하는 일부 정황을 포착하였다. 행정원위생서는 우리나라의 보건복지부와 역할이 비슷한 국가 행정조직으로 보건위생에 관한 업무를 담당하는 기관이다. 표적형 이메일 공격이 지속성을 유지하는 것이 일반적이지만 이번과 같이 특정인을 대상으로 짧은 기간에 매우 반복적이면서 시간차를 두고 다양한 형태로 공격 시도를 하는 형태가 확인된 것은 처음이다. 추정하기로 공격자는 자신이 원한 표적이 악성파일 감염에 쉽게 노출이 되지 않자 연쇄적으로 무한반복 공격을 감행하고 있는 것으로 보여진다. 



국내 겨냥 최신 APT 공격자 밀착추적 및 집중해부
☞ http://erteam.nprotect.com/251

국내 유명 기업 표적 공격(APT)형 수법 공개
☞ http://erteam.nprotect.com/249

일본 국토교통부 산하 국토지리원 표적 공격형 악성파일 발견
☞ http://erteam.nprotect.com/247

3월 10일 티벳(Tibet) 봉기 53주년 기념 표적형 공격 발견
☞ http://erteam.nprotect.com/248

※ CVE-2012-0158(MS12-027) 취약점은 최근 국내 유명 인터넷 기업을 표적으로 한 APT 공격용으로도 사용되었던 일부 정황이 확인된 상태이기도 하다.

2. 실제 공격 사례

지금 공개하는 사례는 잉카인터넷 대응팀의 악성파일 관리 및 추적 시스템에 의해서 확보된 내용을 기반으로 하며, 해외에서 수집된 데이터를 근거로 한다. 또한, 공개되지 않은 이메일 본문이 추가로 존재할 수 있다. 아울러 이 공격은 스팸 필터링을 통해서 공격이 성공하지 못하자 지속적으로 시도한 사례로 보여진다.

ⓐ 2012년 04월 13일 금요일 오후 05시 20분경 발송된 이메일

대만 전 민진당 총재의 군사기밀 유출의혹 등의 정치적 내용으로 유혹하여 첨부파일을 열어보도록 유도한 형태이다.

"蘇貞昌涉軍黑資料.doc" 첨부파일은 CVE-2010-3333(MS10-087) 보안 취약점을 이용한 DOC 악성파일을 첨부하고 있다. 2010년도의 MS Office 취약점을 이용하고 있어서 최신 보안 업데이트를 설치했다면 악성파일 감염을 사전에 충분히 예방할 수 있는 형태이다.

잉카인터넷 대응팀은 국내외 지능형지속위협(APT)공격에 대한 사례를 다수 확보하고 조사하면서 침투수법 및 수준에 나름의 차이가 있다는 것을 발견하였으며, 이것을 기반으로 공격자 기반의 레벨을 구분하여 자체적으로 APT 공격 수준(Level)을 정의 한 바 있는데, 이번 사례는 Level 02(중급) 단계에 해당된다.

■ 지능형 지속 위협(APT) 공격의 레벨 정의

이 모든 내용은 이메일 악성파일 첨부와 본문 내용에 포함된 URL 링크 방식을 복합적으로 사용할 수 있기 때문에 악성파일 첨부 방식만으로 제한하여 규정하지는 않으며, 다국적 언어가 모두 사용될 수 있고 공격자의 중앙 관리 서버를 통해서 추가 명령 및 제어(C&C)를 통해서 언제든지 가변적인 변칙 공격도 가능할 수 있다.


각 레벨은 공격자가 사용하는 기술적 해석 방식이고, 대상자로 하여금 공격자 이메일의 신뢰도를 향상시키기 위해서 발신자 및 본문 내용의 일치성을 유지하는 경우 좀더 퀄리티 높은 공격이 수행되는 기반이 될 수 있게 된다. 쉽게 말해서 발신자의 이메일 도메인과 본문 내용이 매칭된다거나, 수신자와 관련되어 있는 도메인으로 발송되는 경우 공격 성공확률은 비례적으로 높아지게 마련이기 때문에 지능적인 공격자는 최종 표적 주변의 기업 또는 인물 탐색 및 유관 사이트의 공격을 우선 수행하는 경우가 많게 되고, 이는 연쇄적인 악성파일 감염 피해의 단초 역할을 하게 된다.

ⓑ 2012년 04월 18일 수요일 오전 11시 21분경 발송된 이메일

두번 째로 발견된 이메일은 다음과 같이 또 다른 내용과 첨부파일을 가지고 있으며, 앞으로 공개되는 이메일 수신자도 모두 동일한 계정이다. 특징적인 것은 공격자가 2010년도 취약점에서 2012년도 최신 취약점으로 변경한 부분이다.

두번 째 발견된 공격용 이메일은 자녀 교육 보조비 내용으로 위장되어 있고, "子女教育補助費101新版.doc" 첨부파일은 CVE-2012-0158(MS12-027) 취약점을 이용하고 있다. CVE-2012-0158(MS12-027) 취약점은 최근들어 표적(APT) 공격에 급격하게 사용되고 있는 취약점이기도 하다.

ⓒ 2012년 04월 23일 월요일 오전 10시 46분경 발송된 이메일

세번 째로 발견된 이메일은 중화우정 주식유한공사(中華郵政 股份有限公司)에서 발송한 것처럼 위장하고 있으며, WebATM 내용과 이메일 온라인 전자 명세서 파일로 위장한 악성파일을 첨부하고 있다.

"Email線上電子對帳單.doc" 첨부파일도 CVE-2012-0158(MS12-027) 취약점을 동일하게 사용하고 있지만, 두번 째 발견되었던 "子女教育補助費101新版.doc" 파일에 비해서 상대적으로 유명 Anti-Virus 제품들이 탐지하지 않는 상태로 제작되었다.

ⓓ 2012년 04월 23일 월요일 오전 11시 08분경 발송된 이메일

네번 째로 발견된 이메일은 4월 23일에 2차적으로 보내진 메일로 십여 분 간격으로 연속 발송된 형태이다. 공격자는 몇 차례 공격이 실패를 하자 급박하게 연쇄 공격을 시작한 것으로 추정된다.
 

이메일 제목에는 프로젝트 진행 보고서로 위장되어 있고, "表1b_306.doc" 첨부파일도 CVE-2012-0158(MS12-027) 취약점을 이용하고 있다. 공격자는 CVE-2012-0158(MS12-027) 취약점용 DOC 악성파일을 생성하는 도구를 가지고 있는 것으로 보이며, 해당 도구를 통해서 지속적으로 변종을 제작하고 있는 것으로 추정된다.

ⓔ 2012년 04월 23일 월요일 오전 11시 47분경 발송된 이메일

다섯 번째로 발견된 이메일은 CAAPS 학회 내용으로 위장되어 있으며, DOC 파일과 PDF 파일 2개가 첨부되어 있다. "Final CAAAPS_CAll_for_paper_news_release.pdf" 파일은 정상적인 PDF 문서이고, "instruction of abstract format.doc" 첨부파일은 CVE-2012-0158(MS12-027) 취약점을 이용하고 있다.

ⓕ 2012년 04월 23일 월요일 오후 12시 40분경 발송된 이메일

약 1시간 후에 발송된 것으로 추정되는 여섯 번째 이메일은 동창회와 관련된 내용으로 위장하고 있으며, 또 다른 대만의 정부 기관(trts.dorts.gov.tw) 메일에서 발송된 것으로 설정되어 있다. "活動安排及部份同學通訊錄.doc" 첨부파일도 CVE-2012-0158(MS12-027) 취약점을 이용하고 있다.

ⓖ 2012년 04월 23일 월요일 오후 12시 45분경 발송된 이메일

약 5분 후에 발송된 추가 이메일은 자선 콘서트와 관련된 내용으로 위장하고 있으며, "崇她存摺.doc" 첨부파일도 CVE-2012-0158(MS12-027) 취약점을 이용하고 있다.

ⓗ 2012년 04월 25일 수요일 오전 09시 24분경 발송된 이메일

04월 25일 오전에 추가로 발송된 이메일은 전송 실패 내용처럼 위장되어 있다.

3. 마무리

최근 지능형 지속 위협(APT) 공격 형태가 눈에 띄게 급증하고 있다. 특히, CVE-2010-3333(MS10-087)과 CVE-2012-0158(MS12-027) 취약점을 이용한 악성 문서파일이 다수 발견되고 있어 각별한 주의가 필요하다. 이 취약점들은 모두 최신 마이크로 소프트 오피스(군) 업데이트를 통해서 완벽한 해결이 가능한 종류이다.

따라서 기업이나 기관에서는 반드시 최신 보안 업데이트를 설치하여 알려진 취약점에 노출되지 않도록 하는 사전 예방 노력이 중요하고, 이용자 스스로 첨부파일이 있는 이메일을 수신할 경우에는 발신자에게 해당 메일과 관련된 실제 발송 여부 등을 파악해 본다거나 가상 운영체제 등 안전한 곳에서 실행해 보는 것도 좋은 방법 중에 하나이다.

악성파일에 감염되어 치료를 진행하는 것은 이미 사용자의 입장에서는 어느정도 감염 피해를 입은 후 조치하는 후속 절차 이다. 이와 같이 원치 않는 피해 발생으로 부터 안전하기 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

1. 개요

잉카인터넷 대응팀은 컴퓨터에 자신도 모르게 설치되는 이른바 광고 목적의 프로그램들이 어떤 과정을 거쳐서 사용자 컴퓨터에 설치되는지 실제 사례를 통해서 그 전 과정을 공개해 보고자 한다. 인터넷 광고 기능 자체는 법적으로 정당한 행위에 속하지만, 악성 프로그램의 분류 중에는 Adware(Advertise+Software)라는 형태가 존재한다. 이는 비정상적인 절차를 통해서 유포되는 광고성 파일이거나 다른 프로그램처럼 위장하여 사용자를 속인 후 설치되는 경우가 대표적이라 할 수 있다. 또한 컴퓨터 이용자에게 심각한 불편을 초래하는 형태(인터넷 시작페이지 고정, 팝업 광고, 제휴 프로그램 설치)나 개인정보를 수집하여 외부에 유출을 시도하는 종류 등이 악성 광고 프로그램으로 분류될 수 있게 된다.


2. 악성 광고 프로그램의 정체

인터넷 기반의 광고성 프로그램들은 수 많은 컴퓨터 이용자들에게 설치를 하는게 가장 큰 관심사이자 목적이다. 그래야지만 광고라는 목적에 부합되는 비지니스 모델 서비스가 가능하고 부수적으로 "수익을 창출"할 수 있는 기반이 마련되기 때문이다.


이러한 형태의 프로그램이 지금까지 자주 사용한 방식으로는 ▶동영상 재생 프로그램이나 코덱처럼 위장하여 사용자 스스로 설치를 하도록 속이거나 ▶별개의 특정 프로그램 다운로더(Downloader)나 설치용(Installer/Setup) 파일처럼 아이콘이나 파일명을 사칭하는 경우가 대표적이라 할 수 있다.

그리고 최근까지 가장 유행하는 방식은 인기 검색 키워드와 관련된 내용의 파일처럼 교묘하게 위장한 후 "추가구성요소 설치 동의"라는 명목으로 제휴 프로그램을 다수 설치하는 방식인데, 특히 스크롤바 화면을 최소화하여 일부만 보이도록 하거나 단순한 내용만 노출시켜 사용자가 쉽게 인지하지 못하도록 구성된 형태라 할 수 있다.

▣ 악성 광고성 프로그램 유포 사례

아래 화면은 회원수가 100만명을 육박하는 아이패드 관련 커뮤니티 게시글에 덧글로 등록된 내용이다. 게시글과 연관된 아이패드 관련 내용으로 위장하고 있으며, 구글 단축 URL 주소를 이용해서 실제 주소를 보여지지 않도록 하고 있다.

아이패드 동영상 플레이어와 관련된 내용처럼 위장된 구글 단축 URL 주소를 클릭하게 되면 다음과 같이 "아이패드동영상플레이어.exe" 라는 실행파일이 다운로드 시도된다.

 

상기 방식에서는 아이패드 동영상 플레이어와 관련된 내용으로 위장하여 배포되고 있는데, 실제로 이 방식은 매우 다양한 파일처럼 위장되어 유포되는 형태이다. 특히, NPROTECT.EXE 와 같이 잉카인터넷의 모듈처럼 위장하여 유포된 사례도 발견된 바 있다. 아래 화면과 같이 동일한 방식으로 제작되어 유포 중인 것을 확인할 수 있다.

다운로드된 파일을 실행하게 되면 "압축풀기"라는 내용을 보여주면서 사용자의 클릭을 유도하게 된다. 이때 좌측 화면 아래쪽에 10 여개의 별도 추가 구성 요소 설치가 함께 진행된다. 보통 일반 사용자들의 경우 이런 내용을 자세히 확인하지 않고 설치하는 경우가 많다는 점을 악용한 것이고, 초기 설정값으로 모두 설치에 V 체크가 되어 있다는 점을 주의하여야 한다.

설치 후에는 아래 화면과 같이 "아이패드동영상플레이어.jpg" 라는 파일을 생성하여 마치 정상적인 파일처럼 보이도록 하지만, 단순한 이미지 파일로서 아이패드 동영상 플레이어는 아니다.


제휴 프로그램들은 모두 백그라운드로 사용자 몰래 설치되기 때문에 사용자는 설치 과정을 인지하기 어렵다. 더욱이 문제가 되는 부분이 있다. 추가 구성 요소로 설치되는 광고성 제휴 프로그램 중에는 사용자가 실행하지 않아도 스스로 작동되어 사용자 컴퓨터에 많은 문제가 있는 것처럼 과장된 내용을 보여준 후 해결하기 위한 버튼을 클릭 시, 유료 결제창을 보여주고 소액 과금을 유인하는 형태로 인해서 실제 금전적 피해를 호소하는 경우도 많은 상태이다.
 

PC속도저하요인으로 진단된 목록들을 보면 단순히 휴지통 파일과 단순 인터넷 임시파일들로서 정상적인 컴퓨터에 존재하는 것들을 유료로 결제를 요구하는 것으로 문제가 되는 부분이다. 부팅속도향상 부분에서는 "아이패드동영상플레이어.exe" 파일에 의해서 함께 설치된 다른 제휴 프로그램들을 탐지하고 있어 자신들이 설치한 파일을 자신들이 진단하는 모순적인 행위를 보이고 있다.

또한, 사용자의 별도 해지 요청이 없는 한 자동연장결제를 통해서 정기적으로 소액이 자동청구되는 피해를 입는 경우가 사회적인 문제가 되고 있다.

아울러 결제 화면을 저장하지 못하도록 하는 기능도 사용하고 있는데, 메시지 창에는 정보보호를 위해서 키보드 조작은 불가능합니다라고 언급하고 있지만, 이것은 인터넷 블로그 등에 해당 내용을 게시하지 못하게 하기 위한 목적으로 사용되고 있는 것으로 추정된다.

 
이렇듯 광고성 프로그램들은 마치 정상적인 사용자 동의와 약관을 명시하여 법적으로 전혀 문제가 없는 것처럼 보이지만, 실제로는 유포 과정에서 특정 프로그램으로 위장하고 있고 사용자들로 하여금 클릭을 유도하여 별도의 파일들을 동시에 설치하고 있다는 점과 특히, 백그라운드 기능을 이용하기 때문에 이용자들은 자신이 어떤 프로그램을 복수적으로 설치했는지 인지하기가 거의 불가능에 가깝다고 할 수 있다.

3. 마무리

위와같이 특정 프로그램처럼 위장하여 제휴 프로그램 동시 설치 기법을 이용하는 광고성 프로그램들은 이용자에게 지속적으로 불편함을 초래하고 있어 Adware 형태의 악성파일로 분류하여 nProtect 제품에서 진단/치료 기능을 제공하고 있다. 대부분의 광고업체들은 자신들의 프로그램이 정상적인 사용자 동의와 약관 등을 명시하고 있기 때문에 악성프로그램이 아니다라고 주장하는 경우가 많고, 내용 증명이나 사업방해 등을 명목으로 법적 항의를 하는 경우가 많지만, 잉카인터넷 대응팀은 유포 방식에 대한 근거(배포 방식 동영상 제작)자료를 기반으로 악성 광고프로그램 종류로 치료 기능을 고객들에게 제공하고 있다.

광고업체에서 접수된 항의에 문제시되는 유포 근거 동영상 등을 일부 공개하면 특정 제휴업체에서 독단적으로 불법 배포한 버전임을 동의하며, 해당 모듈은 배포를 모두 차단했으니 다시 진단을 제외해 달라고 요청해 오지만, 이들은 보통 암묵적으로 광고 기법을 공유하는 것으로 알려져 있고, Anti-Virus 제품들로 부터 자신의 모듈이 진단되지 않도록 꾸준히 확인하는 업무를 수행하고 있기도 하다.

1. 개 요

 

잉카인터넷 대응팀은 최근 해외에서 Bot 기능이 있는 것으로 화제가 되었던 악성파일을 분석하여 관련된 내용을 일부 공개하게 되었다. 이와 같은 안드로이드 악성 파일은 아직까지 국내에 정식 감염된 피해 사례는 보고된 바 없는 상태이다. 이번 악성파일은 공격자의 지능화된 무선 명령 및 지시에 따라 다양한 정보 유출 기능 등을 수행할 수 있는 이른바 좀비폰 역할이 가능한 종류로 한단계 진화된 형태로 볼 수 있다. 특히, 해당 악성파일은 "한국의 이동통신사망(APN)을 체크 시도"하는 기능이 있어 국내 사용자로 대상 범위를 확대하고자 하는 또 다른 시도가 아닌가 조심스럽게 추정되고 있어, 잉카인터넷 대응팀은 관련 정보 수집을 계속 진행 중이다.

 

국내 각종 포털 및 커뮤니티에서 안드로이드 악성파일 유포 중
☞ http://erteam.nprotect.com/259

안드로이드 악성파일 실제 유포과정 최초 공개
☞ http://erteam.nprotect.com/257

안드로이드 기반 악성파일 국내 자료실에서 배포
☞ http://erteam.nprotect.com/239

안드로이드 악성 앱 자동 탐지 & 분석 시스템 개발
☞ http://erteam.nprotect.com/227

2. 유포경로 및 감염 증상

현재 안드로이드 기반의 악성 애플리케이션들은 이전과 다르게 3rd party 마켓 등 각종 블랙마켓과 정식 구글마켓을 가리지 않고 유포가 이루어지고 있다. 오픈 지향성이 안드로이드의 매우 큰 강점이지만 이와 동시에 보안적인 측면에서 다소 위협이 된다는 것은 부인할 수 없는 사실이다.

다만, 구글정식 마켓을 통해 유포되는 악성 애플리케이션들은 블랙마켓 등과 다르게 대부분 제작 당시 악의적인 목적을 가지고 만들어졌다기 보다 다소 악의적인 용도로 사용될 소지가 있는 기능들이 포함되어 악성 애플리케이션으로 진단되고 있는 경우도 많다.

이번에 이슈가된 악성 애플리케이션의 경우는 중국의 비공식 안드로이드 마켓을 통해 유포가 이루어진 것으로 알려졌으며, 메인 아이콘을 구글 등의 정식 서비스 애플리케이션으로 위장한 만큼 제작초기부터 악의적인 목적으로 만들어진 실제적인 악성 애플리케이션이라고 볼 수 있다.

◈ 설치 단계

해당 악성 애플리케이션은 다운로드 후 설치시 아래의 그림과 같이 다양한 권한을 요구한다.

 

 

또한, 위에서 설명했듯이 해당 악성 애플리케이션은 아래의 그림과 같이 메인 아이콘을 구글의 것과 유사한 이미지를 도용해 정상 애플리케이션인것 처럼 위장하고 있으며, 설치 후 별도의 실행 아이콘은 존재하지 않는다. 해당 악성 애플리케이션의 설치 여부는 "환경설정" -> "응용프로그램" -> "응용프로그램 관리"에서 확인할 수 있다.

 

◈ 악성 기능 분석

해당 악성 애플리케이션은 위에서 설명한것과 동일하게 실행 아이콘이 없으므로 별도의 실행 명령 없이 내부적으로 백그라운드 상태에서 동작할 수 있는 리시버와 서비스 기능에 의존할 수 밖에 없다.

우선, 해당 악성 애플리케이션의 전체적인 악성 기능을 아래와 같이 몇가지로 요약해볼 수 있다.


전체적인 악성 기능에 대해 하나하나 살펴보도록 하겠다.

㉠ 좀비 폰(Bot) 기능 수행 및 사용자 몰래 수신되는 SMS 감시

전체 악성 기능에서 설명한 Bot 기능의 경우 아래의 일부 코드와 같이 특정 명령자에 의해 악성기능 동작 조건을 충족하는 SMS(악성 기능 수행 명령어 포함, "*" 로 시작되는 문자열의 SMS 체크)를 수신하게 되면 수행될 수 있다. 즉, 특정 SMS 수신을 통해서 좀비 폰 기능이 활성화 되는 것이다.

 

명령자에 의해 악성기능 동작 조건을 충족하는 SMS가 수신되면 위의 일부 코드가 수행되어 조건 체크 및 악성 기능 수행 후 해당 SMS는 사용자 몰래 삭제된다.

㉡ 단말기 등의 정보 수집

해당 악성파일은 아래의 일부 코드에 의해 IMEI, IMSI, 단말기 위치정보 등을 수집하게 된다.

또한, 수집되는 정보는 내부에 존재하는 Resource 등의 XML 파싱과 SMS 발송 등을 통해 외부로 유출 시도가 이루어진다.

㉢ 사용자 몰래 SMS 발송

해당 악성 애플리케이션은 수집된 정보 및 전달된 명령어의 수행 여부를 명령자에게 SMS형태로 전달하게 되는데 이때, 아래의 일부 코드가 수행된다.

위와 같은 코드를 사용하여 문자를 발송하게 되면 SMS 발신함 등에 기록이 남지 않기 때문에 일반 사용자들은 SMS 발송 여부를 확인하기 어렵다.

㉣ 통화내용 녹취

해당 악성 애플리케이션은 감염 후 리스너를 통해 통화 상태 변경에 대한 체크를 지속적으로 진행하며, 조건을 충족하게 되면 아래의 일부 코드를 통해 통화내용을 녹취해 .amr 형태의 파일로 저장하게 된다.

㉤ 화면 저장

해당 악성 애플리케이션은 악성 서비스 등록을 통해 아래의 일부 코드를 수행하여 지속적인 조건 체크 후 스크린샷 캡쳐 동작을 진행하며, 캡쳐파일은 .jpg 형태로 저장 된다.

㉥ 네트워크(APN) 설정 체크 

해당 악성 애플리케이션은 공격자의 의도대로 원활한 악성 기능 수행을 위해 네트워크(APN) 설정을 체크하게 되는데 통신망 사업자 정보 등을 체크 후 내부에 존재하는 XML 파일에서 각 통신망 사업자에 해당하는 APN(Access Point Name) 정보를 추출하여 아래의 일부 코드를 통해 설정을 확인하는 방식을 사용하고 있다.

 

이때, 파싱되는 XML파일을 살펴보면 아래의 그림과 같이 중국내 사용 가능한 APN 정보가 포함되어 있으며 web.sktelecom.com, ktfwing.com 등의 국내 APN 정보도 포함되어 있는 것을 확인할 수 있다.

 

㉦ 특정 프로세스 종료

해당 악성 애플리케이션은 구동중인 특정 애플리케이션에 대한 종료 기능을 수행할 수 있는데 이때 사용되는 코드는 아래의 그림과 같다.

다만, 위에서 사용된 프로세스 종료 관련 API는 안드로이드 SDK 2.1 이하 버전에서만 정상적으로 동작하므로 현재로서는 동작하지 않는것으로 볼 수 있다.

㉧ 재부팅 시도

해당 악성 애플리케이션은 기본적으로 재부팅이 이루어져야 완벽한 동작을 보장한다. 때문에 감염시 아래의 일부 코드를 통해 재부팅을 시도할 수 있는데 해당 악성 애플리케이션의 경우 재부팅과 관련된 "android.permission.REBOOT" 권한을 가지고 있지 않으며, 해당 기능은 루팅된 스마트폰에서만 정상 동작이 가능하다.

 

3. 예방 조치 방법

해당 악성 애플리케이션은 코드분석 완료 후 아래와 같은 국내 단말기 환경에서 실제 감염 및 명령 테스트 과정을 거쳤으나, 정상적인 동작이 확인되지는 않았다.

다만, 이와 같은 Bot 기능 기반의 악성 애플리케이션은 언제든지 악성파일 제작자에 의해 좀 더 다양한 악성 기능이 포함되어 제작 및 유포가 이루어질 수 있으며, 기능적인 측면으로 인해 일반 사용자의 경우 감염 여부에 대한 확인이 어렵다. 때문에 이러한 악성 애플리케이션으로 부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 해당 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

1. 개요

잉카인터넷 대응팀은 최근들어 국내 휴대폰 이용자들에게 인터넷 뱅킹 보안 승급(강화) 서비스를 사칭해서 개인 금융정보(주민번호, 이름, 계좌번호, 비밀번호, 보안카드 일련번호,  보안카드 비밀번호 등) 탈취 및 피싱 시도용 단문 문자 메시지(SMS)를 무차별적으로 배포하고 있는 것을 확인하였다. 이러한 가짜 인터넷 뱅킹 홈페이지에 자신의 실제 금융 정보를 입력할 경우 제 3자에 의해서 "실제 예금 인출 사고"를 입을 수 있다는 점에서 매우 각별한 주의가 필요하다. 또한, 거의 매일 가짜 웹 사이트가 만들어지고 있다는 점에서 사용자들은 아래 사례를 통해서 유사 사기성 수법에 속지 않도록 주의하여야 한다.


문자메시지 서비스를 이용해서 전파되는 이런 문자 피싱(SMS Phishing)수법은 기존의 보이스 피싱(Voice Phishing)과는 다르게 직접 전화통화를 하는 방식이 아니기 때문에 불특정 다수에게 짧은 시간동안 동시다발적으로 문자 사기 시도를 할 수 있다는 점에서 구별되며, 사용자의 중요 정보가 한꺼번에 동시 탈취될 수 있다는 특징 때문에 유출된 정보가 잠재적인 위협 요소로 꾸준히 작용될 것으로 우려된다. 

2. 사용자 정보 유출 시도 과정

우선 불특정 다수의 휴대폰 이용자들에게 다음과 같은 단문 문자 메시지(SMS)가 발송되고 있는데, 공격자는 이미 수 많은 사람들의 휴대폰 번호 등의 개인정보를 불법적으로 수집하고 도용하고 있는 것으로 추정된다.

대체적으로 국내 유명 금융권을 사칭한 내용으로 문자 메시지가 발송되는데, 국민은행, 우리은행, 농협 등 시중은행들의 인터넷 뱅킹 웹 사이트처럼 교묘하게 꾸며진 가짜 웹 사이트 URL 주소를 발송하고 있다.

ⓐ 문자 메시지 수신

아래 공개된 피싱 사이트들은 현재는 모두 접속이 차단된 상태이며, 지속적으로 새로운 곳이 만들어져 유포되고 있다.

문자 메시지에는 "ㅇㅇ은행입니다. 포털사이트 정보유출로 보안승급 후 이용해 주세요 ***bank.com" 과 같은 형태로 구성되며, 발신 전화번호 역시 실제 해당 은행의 콜센터 번호처럼 속이는 경우가 많다.


아울러 최근에는 인터넷 접속이 가능한 스마트폰 이용자가 많아진 점과 유명 인터넷 웹사이트 등을 통해서 유출된 개인정보(전화번호 등)가 이러한 문자 사기에 악용되고 있는 것으로 추정된다.

ⓑ 보안 승급 서비스 사이트로 연결

최근에 발견되는 것들은 대부분 포털 사이트 정보 유출로 인하여 보안승급 후 이용하라는 접속 유도 방식을 사용하는데, 보안 강화라는 문구를 사용하는 경우도 발견된 바 있다. 따라서 유사한 형태로 계속적으로 변경될 가능성도 높다.

문자 메시지로 받은 웹 사이트로 연결을 할 경우 다음과 같이 실제 인터넷 뱅킹 웹 사이트처럼 화면 전체가 교묘하게 제작되어 있다.

웹 사이트에는 마치 인터넷 뱅킹 고객을 위한 보안승급서비스 처럼 꾸며져 있지만 모두 조작된 가짜 화면이며, "보안승급바로가기" 버튼이나 "일부 메뉴" 등이 모두 사용자의 개인정보 입력을 유도하고 탈취 시도하는 허위 링크로 연결된다.

또한, 일부 메뉴나 카테고리를 클릭할 경우 "안전승급 하신 뒤 이용해 주세요.." 라는 팝업 창을 띄어 다른 기능은 모두 사용이 안되는 것처럼 만들어져 있다. 따라서 이용자는 어쩔 수 없이 보안승급서비스를 진행하도록 선택을 제한시키고 정보 탈취 시도용 웹 사이트로 연결을 유도시킨다.

ⓒ "보안승급바로가기"는 개인정보 유출의 시작

사용자가 "보안승급바로가기" 버튼을 클릭하게 되면 다음과 같이 개인정보를 위한 이용자 동의사항을 보여줌과 동시에 이용자의 실명과 주민등록번호를 입력하도록 유도한다. 

 

화면의 중앙 아래쪽에는 첫 번째 개인정보 입력을 요구하는 화면이 보여지고, 사용자로 하여금 이름(실명)과 주민등록번호를 입력하도록 유도하는 내용이 보여지고, 확인 버튼을 클릭할 경우 정보 유출과 함께 다음 페이지로 연결된다.

주민등록번호는 나름 체크 기능을 가지고 있어 잘못된 형식이 입력될 경우 다음과 같이 재입력을 요구하도록 만들어져 있기도 하다.

그렇지만 "주민"이 아닌 "주문등록번호"와 같이 허술하게 오타가 포함되어 있는 모습을 볼 수 있다.

 

ⓓ 중요 금융정보 본격 탈취 시도

실명 이름과 주민등록번호가 정상적으로 입력되면 피싱 웹 사이트는 다음과 같이 본격적으로 개인용 금융정보 탈취를 시도하게 되는데, 계좌번호/계좌비밀번호/보안카드일련번호/보안카드번호 등 인터넷 뱅킹에 사용되는 대부분의 정보를 입력하도록 요구한다.

또 다른 경우에는 OTP카드 사용자 여부를 체크하는 화면을 보여주기도 한다.
 

인터넷 뱅킹 서비스에서 어떠한 경우라도 보안카드의 모든 번호를 요구하는 경우는 절대 없으므로, 이렇게 개인의 중요한 정보를 모두 요구하는 경우는 100% 사기성으로 판단해도 무관하다.

만약 사용자가 이 내용을 모두 입력하고 확인버튼을 누르게 되면 해당 금융정보는 외부로 유출이 되고, 이러한 정보를 수집하는 공격자는 추후 불법적으로 공인인증서를 재발급 받거나 탈취하여 예금 인출을 시도할 수 있게 된다.

참고로 국민은행 이외에도 다른 금융권처럼 만들어진 경우도 이미 다수 보고된 바 있고, 마찬가지로 유사사례의 공통점은 모두 보안승급, 보안강화 서비스처럼 허위내용으로 사용자의 금융정보 입력을 과도하게 유도한다.

다시 이어서 확인 버튼을 클릭하게 되면 "처리가 완료되었다"는 간단한 메시지를 보여주는 경우도 있고, 다음과 같이 "완료되엿습니다", "배전의 노력을 다하겠습니다." 처럼 한글 맞춤법에 어긋난 안내 문구 화면이 출력되는 경우도 있다.
 

피싱 웹 사이트는 도메인을 추적해 본 결과 미국 IP소재로 확인되었으며, 중국쪽에서 호스팅된 것으로 추정된다. 지속적으로 도메인이 1년 단위 정도로 생성되는 것으로 보아, 공격자는 도메인 호스팅 서비스의 권한을 불법적으로 탈취하여 악용하고 있는 것이 아닌가 의심된다.

 

3. 마무리

그동안 전화사기(보이스 피싱)의 경우 주변의 많은 피싱 수법 사례 공개와 다양한 피해 예방 노력 등으로 어느정도 긍정적인 차단효과가 발휘되고 있다. 전화사기 성공율이 그 만큼 낮아졌기 때문에 공격자들은 끈질기게 다른 방식을 노리고 있는 것으로 추정된다. 따라서 인터넷 뱅킹 이용자들은 늘 방심하지 말고 각별한 주의를 기울이는 자세가 필요하다.

정상적인 인터넷 뱅킹 서비스에서는 보안카드의 모든 암호를 입력하도록 요구하는 경우가 없다는 것을 명심하고, 이러한 요구 페이지에 속지 않도록 유념해야 하며, 마치 심각한 내용처럼 포장된 문자메시지나 공지사항을 받을 경우 당황하지 말고 침착하고 신중하게 대처할 필요가 있겠다. 특히, 이렇게 개인정보를 다수 요구하는 의심사이트를 목격하게 되면 해당 은행사이트나 한국인터넷진흥원(KISA) 등에 신속하게 신고하고 SNS 등을 이용해서 주변에 널리 알리는 것도 좋은 방법 중에 하나이다.

1. 개요

잉카인터넷 대응팀은 이미 여러차례 안드로이드 기반의 악성파일이 해외에서 급격하게 증가하고 있다는 정보를 다수 공개한 바 있다. 또한 2012년 01월 06일에는 국내 유명 자료실을 통해서 안드로이드용 악성파일이 실제 국내 이용자에게도 배포된 사례를 공식적으로 발표했었다. 그러나 아직까지 안드로이드 스마트폰을 사용하는 국내 이용자들은 이러한 악성파일이 어떠한 과정을 통해서 배포되고 있는지 알기가 어렵기 때문에 "잉카인터넷 대응팀은 현재 이 시간 실제 유포 중인 악성파일의 전 과정을 최초로 공개"하게 되었으며, 이를 통해서 안드로이드 악성파일에 대한 보안경각심이 한층 제고되길 기대해 본다.

안드로이드 기반 악성파일 국내 자료실에서 배포
☞ http://erteam.nprotect.com/239

안드로이드 악성 앱 자동 탐지 & 분석 시스템 개발
☞ http://erteam.nprotect.com/227

잉카인터넷 안드로이드 악성파일 지속적 대응 체계 유지
☞ http://erteam.nprotect.com/237

2. 실제 유포 과정 공개

중국 및 러시아 등에는 안드로이드기반의 설치 파일(APK)을 자유롭게 공유하고 다운로드할 수 있는 커뮤니티형 웹 사이트들이 다양하게 존재하며, 매우 다양한 안드로이드 애플리케이션(앱)이 불특정 다수에게 공개되고 있다. 그렇다보니 정상적인 파일들 사이에 은밀하고 조용히 악성파일들이 몰래 숨겨져 있는 경우가 증가하고 있다.

잉카인터넷 대응팀은 2011년도에 안드로이드 기반 악성 앱 자동 탐지 및 분석 시스템을 자체 개발하여 운용 중에 있으며, 이를 통해서 다양한 안드로이드 악성파일 유포 현황을 실시간 모니터링하고, 새롭게 발견된 안드로이드 악성파일을 신속하게 nProtect Mobile for ANDROID 제품에 치료 기능을 수시로 업데이트하고 있다. 

▣ 실제 사례

다음은 실제 중국에서 운영중인 안드로이드 마켓의 일부 화면이며, 사용자들에게 인기가 많은 다양한 애플리케이션이 공개된 것을 확인할 수 있다. (악성파일의 직간접적인 유포지 공개를 엄격하게 제한하기 위해서 부분적으로 모자이크 처리를 하였다.)

 

 
대부분은 정상적인 안드로이드 프로그램이지만, 일부 악성파일이 아무런 제약없이 정상 애플리케이션과 함께 사용자의 다운로드를 기다린다.

사용자가 특정 앱을 선택하게 되면, 다음과 같이 별도의 다운로드 서비스를 제공하는 정상적인 인터넷 주소로 이동하게 된다.

해당 웹 페이지에 존재하는 QR(Quick Response) 코드를 이용해서 스마트폰에서 직접 다운로드 및 설치가 가능하며, 웹 페이지에 있는 다운로드 기능을 통해서도 컴퓨터에 쉽게 받을 수 있도록 구성되어 있다.

다운로드가 된 악성파일은 변종이 다수 존재하는 KungFu 종류로 확인되었으며, 다음과 같이 다양한 단말기 정보 등을 수집 시도한다.

수집된 단말기 및 개인정보는 해외의 특정 호스트로 사용자 몰래 전송을 시도하게 된다.

해당 악성파일은 nProtect Mobile for ANDROID 최신 버전에서 다음과 같이 무료로 진단/치료할 수 있다.

3. 마무리

현재 해외에서는 안드로이드 애플리케이션을 공유하는 커뮤니티와 블랙마켓 들이 매우 활발하게 운영되고 있고, 이러한 곳을 통해서 안드로이드용 악성파일이 꾸준히 은밀하게 유포되고 있다. 잉카인터넷 대응팀은 매주 수백종의 새로운 안드로이드 악성파일을 수집하고 신속하게 패턴 업데이트를 제공하고 있으므로, 사용자들은 최신으로 업데이트하여 정기적으로 검사를 수행하는 노력이 필요하다.

스마트폰 보안 위협으로부터 안전하기 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

1. 개요

잉카인터넷 대응팀은 국내 보안 분야에서는 처음으로 미국 샌프란시스코에 위치한 OPSWAT사의 멀티 엔진 스캔 솔루션에 nProtect Anti-Virus 서비스 탑재를 성공적으로 완료하였다. 해당 솔루션의 서비스명은 메타스캔 온라인(Metascan online)이며, 현재 글로벌 메이저급 Anti-Virus 제품들이 등록되어 있는 상태이다. 양사는 전략적 파트너십 체결과 함께 주문자 상표 부착생산(OEM) 판매 등에 대한 계약도 공식적으로 마무리한 상태이다. 이는 미국 현지의 주요 기업체 및 공공기관에 nProtect 서비스를 제공할 수 있는 계기가 마련된 것이며, 제품의 품질과 안정성 검증 절차도 통과하였다는 의미이기도 하다.


현재 전 세계적으로 지능형 지속위협(APT)과 더불어 대형 인터넷 기업 등을 표적으로 하는 다양한 보안위협이 끊임없이 증가하고 있고, 개인정보유출 피해 사례도 급증함에 따라 많은 기업 및 기관에서는 다양한 보안대응 시스템 마련에 그 어느 때보다 많은 관심을 가지고 있다. 금번 메타스캔 서비스를 통해서 잉카인터넷 대응팀은 미국 현지에서 발생하는 신종 악성파일 대응력을 한층 강화할 수 있게 되었고, 미국 보안시장 공략에도 한단계 더 박차를 가할 예정이다.

2. Metascan online 솔루션 소개

멀티 엔진 스캔 서비스가 필요한 이유는 전 세계 악성파일 제작자들이 고의적으로 특정 보안제품이 탐지하지 못하도록 우회를 노린 상태에서 악성파일의 코드를 변형화 시키고 있기 때문이며, 그에 따라 전 세계에 100% 완벽한 탐지율을 보여주는 Anti-Virus 제품은 존재하기 어렵다. 이 때문에 각기 다른 진단 기능을 보유한 멀티 엔진 스캔 서비스를 통해서 상호 보완적인 탐색 기능을 제공하는데 그 목적이 있다.

☞ http://www.metascan-online.com/about

미국의 메타스캔 온라인 솔루션은 이미 널리 알려져 있는 스페인의 바이러스토탈 서비스와 비슷한 방식의 무료 악성파일 진단 서비스인데, 몇몇 부분에서 차이점들이 있다.

OPSWAT Metascan online : http://www.metascan-online.com/

 
다음은 실제 악성파일을 검사한 결과 화면이다.

☞ http://www.metascan-online.com/results/14e4mkkulbqu66a4y24v5h3169xkpiqf

다음으로 메타스캔 온라인 제품의 특징으로는 기본적으로 악성파일 진단명 내역을 사용자에게 바로 보여주지는 않고, 악성 여부의 결과만 컬러로 구분된 둥근 점(마우스 접근시 진단명 표기)으로 표시해 준다. 그러나 해당 서비스에 탑재되어 있는 각 보안업체에는 새로운 악성파일 샘플과 진단내역을 이메일로 함께 제공해 주고 있으며, 특히, 메타스캔 온라인에서 자체 검증된 오진파일도 별도로 전달해 주고 있다.

3. 마무리

이번 파트너십으로 양사는 전략적 협력관계를 강화하는 한편 각사의 보안 인프라를 활용한 다양한 비즈니스 협력을 지속적으로 모색하고 전개해 나갈 계획이다.

OPSWAT사는 메타스캔 온라인 솔루션을 미국 현지 기업이나 공공기관을 대상으로 OEM 공급방식으로 사업범위를 확대할 예정이며, 2012년 02월 27일에 열렸던 세계 최대의 보안 컨퍼런스인 "RSA 2012" 에도 참가하여 메타스캔 온라인 시연도 진행한 바 있다.

☞ http://www.opswat.com/blog/videos-rsa-2012

1. 개요

잉카인터넷 대응팀은 국내외 특정기관 및 기업들을 대상으로 하는 일명 지능형 지속 위협(APT:Advanced Persistent Threat)이라 부르는 표적형 공격 기법을 집중적으로 추적하고 있는 상황이다. 이 과정에서 2012년 03월 02일 국내에서 발생하였지만 아직 공식적으로 공개된 바 없는 실제 공격 사례의 정황을 다수 포착하였고, 근거자료를 기반으로 해당 수법을 장시간 다각적으로 면밀하게 조사를 수행하였다. 이에 잉카인터넷 대응팀은 공격자 입장의 관찰자 관점에서 어떻게 공격이 진행되었는지 업계 최초로 수집된 자료를 공개하고, 표적기반의 정교하고 은밀한 형태의 공격방식을 효과적으로 방어하기 위해서 어떠한 보안전략이 요구되고, 대응과제가 수립되어야 하는지 실제상황을 비교하여 제시해 보고자 한다.

---

■ 표적형 공격이란?

현재 대표적인 표적공격으로 지능형 지속 위협(APT)을 언급하는 것이 일반화되었고, 원자력 발전소와 같은 중요 산업기반 시설, 국가 기관, 다양한 서비스 분야의 유명 인터넷 기업 등을 대상으로 은밀하게 접근하여 개인의 명의를 도용하거나, 중요한 내부 데이터 등을 탈취 시도하는 전반적인 보안 위협 과정을 의미한다. 

이러한 공격은 특정한 목표를 겨냥한다는 점에서 불특정 다수를 대상으로 하는 기존의 사이버 위협과는 구별되며, 표적으로 정해진 기관이나 기업 등의 조직원에 차별화된 방식으로 침투하고 장기간 잠복하면서 내부 기밀정보를 수집하고 유출하는 식으로 공격목표를 달성하기 때문에 피해자는 공격상황 자체를 파악하기 힘든 경향이 많고, 공격에 노출된 것을 인지하더라도 외부에 피해 사실을 공개하기 어려운 입장 때문에 잠재적인 보안 위협을 입을 가능성이 높다.

공격 기간은 공격자 계획에 따라서 차이가 있지만 대부분 다각적 공격루트를 활용한 후, 교두보 역할의 활동 거점을 마련한 후 치밀하게 계획된 연쇄 침투활동을 지속적으로 수행하게 된다. 

■ 표적형 공격의 수행 단계

■ 지능형 지속 위협(APT) 공격의 레벨 정의

잉카인터넷 대응팀은 국내외 지능형 지속 위협(APT)의 사례를 다수 확보하고 조사하면서 위장된 이메일을 이용한 침투 수법 및 수준에 나름의 차이가 있다는 것을 발견하였으며, 이것을 기반으로 공격자 기반의 레벨을 구분하여 자체적으로 다음과 같이 수준(Level)을 정의하였다.

이 모든 내용은 이메일 악성파일 첨부와 본문 내용에 포함된 URL 링크 방식을 복합적으로 사용할 수 있기 때문에 악성파일 첨부 방식만으로 제한하여 규정하지는 않으며, 다국적 언어가 모두 사용될 수 있고 공격자의 중앙 관리 서버를 통해서 추가 명령 및 제어(C&C)를 통해서 언제든지 가변적인 변칙 공격도 가능할 수 있다.

각 레벨은 공격자가 사용하는 기술적 해석 방식이고, 대상자로 하여금 공격자 이메일의 신뢰도를 향상시키기 위해서 발신자 및 본문 내용의 일치성을 유지하는 경우 좀더 퀄리티 높은 공격이 수행되는 기반이 될 수 있게 된다. 쉽게 말해서 발신자의 이메일 도메인과 본문 내용이 매칭된다거나, 수신자와 관련되어 있는 도메인으로 발송되는 경우 공격 성공확률은 비례적으로 높아지게 마련이기 때문에 지능적인 공격자는 최종 표적 주변의 기업 또는 인물 탐색 및 유관 사이트의 공격을 우선 수행하는 경우가 많게 되고, 이는 연쇄적인 악성파일 감염 피해의 단초 역할을 하게 된다.

2. 국내 표적형 실제 공격 사례 공개

잉카인터넷 대응팀은 최근 특정 공격자가 국내외 주요 인터넷 업체들을 대상으로 은밀한 공격이 감행된 정황과 단서를 포착하여 지속적인 조사를 수행하고 있다. 이러한 보안위협 이슈와 관련하여 대부분의 공격 대상자들은 보안상 외부의 노출을 거부하는 것이 일반적이고, 악의적 공격에 얼마 만큼의 피해를 입었는지도 파악하기가 좀처럼 쉽지 않기 때문에 공식적으로 공개되는 경우는 거의 없다고 봐도 과언이 아니다. 그렇기 때문에 공격자로 하여금 지속적으로 악의적인 활동을 할 수 있게 해주는 원인을 제공하게 됨과 동시에 좀더 쉽게 자신의 공격 수법을 감출 수 있고, 베일에 모습을 가린채 끊임없이 공격을 할 수 있게 하는 근본적 요인으로 작용하게 된다.

이에 잉카인터넷 대응팀은 이러한 실제 표적공격의 실체를 직접 파악하고 공개하여 수 많은 기업과 기관들로 하여금 표적형 유사 보안위협을 조금이나마 예방하는데 도움이 되고자 한다. 또한, 이미 공격을 받은 기업들도 피해사실을 은폐하는데만 급급하지 말고, 신뢰할 수 있는 보안업체와 적극적으로 정보를 공유하고 외부의 전문가들로 부터 다양한 조언과 컨설팅 등을 제공받아 연쇄 피해를 끊을 수 있도록 하는 혁신적인 보안 마인드와 긍정적인 보안 협의체 도출 방안이 요구된다. 이를 통해서 지능형 지속 위협의 지속성을 끊고, 공격 수법을 충분히 공유하여 유사한 방식을 사전에 인지할 수 있는 능력을 고취시키는 노력이 절실하다.

■ 실제 타임라인으로 추적하는 총 11차에 걸친 국내 포함 글로벌 APT 공격 사례 공개  

이번에 공개하는 실제 공격 사례는 얼마전 공개했던 "국내 유명 기업 표적 공격(APT)형 수법 공개"의 악성파일과 동일인이 공격한 것으로 추정되고 있으며, 다양한 변종 공격을 작년 경부터 끊임없이 진행하고 있는 것으로 파악된다.

또한, 동일 공격자는 한컴오피스의 HWP 문서 취약점을 이용한 공격 방식 등도 사용되었던 것이 일부 확인된 상태이다. 

준비 : 2012년 03월 02일 금요일 오전 09시 51분 경 : 중국 이메일로 테스트 작업

공격자는 국내 특정 사용자의 계정을 명의 도용하여 구글메일(Gmail) 계정 체크 내용으로 교묘하게 위장된 침투용 이메일을 중국의 검색 포털 사이트인 Netease 사이트에서 제공 중인 도메인으로 발송한다. 물론, 사전 공격 시나리오에 따라 국내 특정 웹 사이트에 JAVA 취약점 파일과 최종 악성파일도 이미 설치가 완료된 상태이다. 그런데 여기서 이상한 점이 하나 있다.

공격자는 약 3분 간격으로 두차례 중국 특정 계정으로 이메일을 발송한다. 이 부분은 공격자가 침투용 APT 공격 이메일을 발송하기 이전에 자신의 계정으로 정상 작동 여부를 테스트한 것으로 추정되며, 예측 근거자료로 첫 번째 보낸 메일은 정상적인 구글 링크이지만, 두 번째 보낸 메일은 국내의 특정 웹 사이트를 해킹하여 취약점 파일을 등록한 웹 사이트로 연결되도록 구성되어 있다.

 

 

01차 공격 : 2012년 03월 02일 금요일 오전 9시 56분 경 : A사 일본 사이트 (22개 표적)

공격자는 자신의 이메일로 수신된 두 가지 형식을 모두 확인 후에 일본의 특정 이메일 사용자들에게 1차 공격을 감행하게 되며, 이것은 국내 사용자의 계정을 도용하여 일본의 특정 사용자에게 공격을 개시한 시점이다.

공격 기법은 구글 계정 체크와 관련된 내용으로 단순 위장되어 있으며, 악성 파일을 (압축)첨부한 방식이 아니라 본문에 악의적인 링크를 포함시킨 후 클릭하도록 유도하는 수법이다. 첨부파일만 분석하고 필터링하는 Anti-APT 솔루션으로는 이러한 텍스트 기반의 공격 이메일이 오히려 잠재적인 보안 위협으로 대두될 수 있고, 사용자의 보안의식에 따라 무방비 상태에서 속수무책으로 악성파일에 감염될 우려가 높다.

공격에 사용되는 이메일은 구글 사용자로 하여금 최대한 신뢰성을 유지하기 위해서 실제 구글 계정 웹 사이트에서 사용되는 원본 코드를 복사하여 사용하였지만, 실제 링크 주소에는 JAVA 취약점과 함께 해킹된 국내 웹 사이트에 스크립트 파일로 위장되어 등록되어 있던 파일이 별도로 감염되도록 구성되어 있다. 따라서 잉카인터넷 대응팀 APT 레벨에서 정의한 "2단계(중급) 공격 기법"으로 분류된다. 

 

일본 계정으로는 오전 10시 19분경까지 22개의 특정 이메일 계정으로 공격을 감행했으며, 약 10건은 메일이 차단되어 반송되었다.

02차 공격 : 2012년 03월 02일 금요일 오전 10시 20분 경 : B사 한국 사이트 (7개 표적)

약 20 여분 동안의 특정 일본 사이트들로 1차 공격을 감행한 후 공격자는 다시 표적을 유명 한국 사이트 계정으로 변경한다. 이 것이 한국을 대상으로 한 본격적인 공격이 시작된 시점이며, 공격 방식은 동일한 포맷을 그대로 유지한다. 메일 포맷에는 변화가 없이 수신자 계정만 변경하는 방식이기 때문에 짧은 시간에 다수에게 침투용 이메일을 발송하는데는 큰 어려움이 없어 보인다.

B사 한국 사이트로는 약 3 분간 총 7건의 공격 이메일을 발송하는데, 대부분 회사 그룹 메일이 아닌 개인용 이메일 주소로 보여지며, 공격자는 이미 B사 한국 사이트의 내부 직원 이메일 주소를 다수 확보하고 있던 것으로 추정이 가능하다.

03차 공격 : 2012년 03월 02일 금요일 오전 10시 24분 경 : C사 한국 사이트 (27개 표적)

B사 한국 사이트 공격을 마무리한 후 공격자는 다시 또 다른 한국 C사 사이트 계정으로 침투용 이메일을 발송하게 된다. 3차 공격에서는 27개의 또 다른 한국 기업의 이메일 주소로 약 8 분간 공격을 수행한다. C사 한국 사이트의 경우 개인사용자 정보가 B사 한국 사이트도 보다 약 4배 정도 많은 사용자들을 표적으로 삼고 있으며, 코스피 시가총액 기준 회사 규모도 C사가 B사보다 크다.

04차 공격 : 2012년 03월 02일 금요일 오전 10시 47분 경 : D사 싱가포르 사이트 (11개+@ 표적)

4차 공격은 싱가포르의 특정 사이트로 공격을 수행하는데 총 11건의 이메일을 발송하지만, 이곳에는 다수의 그룹 메일 계정이 포함되어 있다. 일부 예를 든다면 business, hr, recruit, custservice 등의 공용 이메일 계정이 포함되어 있다는 점이다. 따라서 추가적인 사용자들에게 해당 이메일이 다수 전달되었을 가능성이 높다.

05차 공격 : 2012년 03월 02일 금요일 오전 10시 52분 경 : E사 대만 사이트 (16개+@ 표적)

5차 공격은 대만의 특정 사이트로 공격을 진행되었으며, 15명의 기업용 메일 계정과 1명의 Hotmail 계정으로 이메일을 발송한다. 이 회사에도 server1, ir 등 공용 그룹 메일이 다수 포함되어 있어 별도의 수신자가 존재할 것으로 추정된다. 이번 공격에서는 특이하게도 Hotmail 계정이 하나 포함되어 있는데, 시간상 정확으로 보아서는 5차 공격 범위에 포함되어 있는 표적일 것으로 예상하여 포함하였다.

06차 공격 : 2012년 03월 02일 금요일 오전 11시 03분 경 : F사 한국 사이트 (2개+@ 표적) + 08차 이후 4개 추가

6차 공격은 해외 사이트에서 다시 한국사이트로 변경되고, 2개의 F사 한국 사이트 이메일 주소로 발송되는데, 이곳은 모두 공용으로 사용되는 그룹 메일로만 전송되었다. 수신자 이메일 계정은 db***, sys*** (일부 생략)이며 이름상 데이터 베이스 및 시스템 연구 그룹과 관련된 공용 이메일 주소로 추정된다. 따라서 공격자는 해당 기업의 중요 데이터에 접근하고 수집하기 위한 목적을 가졌던 것으로 예상된다.

또한, 6차 공격지는 8차 공격 이후에 또 다시 4곳의 계정을 추가하여 공격을 수행한다.

 

07차 공격 : 2012년 03월 02일 금요일 오전 11시 04분 경 : G사 일본(한국) 사이트 (14개+@ 표적)

7차 공격은 한국 기업이면서 일본 지사(자회사)인 웹 사이트를 표적으로 삼고 있는데, 총 14개의 이메일 계정으로 공격을 수행한다. 이곳에도 recruit, sales 등 다수의 공용 그룹 메일 계정이 포함되어 있어, 다수의 대상자가 추가될 수 있을 것으로 예상된다.

08차 공격 : 2012년 03월 02일 금요일 오전 11시 09분 경 : H사 한국 사이트 (5개+@ 표적)

8차 공격부터는 7차 공격 대상이었던 일본 G사의 한국 본사 사이트를 표적으로 공격을 시작하며, 5개 모두 공용 그룹 메일 계정을 이용하였다. 특히, security*******, intranet******* (일부생략) 등 내부 보안 및 인트라넷 관리용을 대상으로 삼았는데, 이는 공격자가 해당 기업의 중요 기밀 자료가 있는 영역에 접근하고자 했던 시도로 추정된다.

8차 공격이 끝난 다음 공격자는 다시 6차 공격을 추가하여 진행하게 된다. 아마도 6차 공격이 다소 부족했던 것으로 생각했거나, 실수로 공격을 누락하여 재시도를 했었을 가능성이 있다. 아울러 이번 공격에서는 수신자에 cert, secu***(일부생략) 등 보안 업무용 그룹메일로도 공격을 수행하였는데, 아마도 해당 메일을 받은 보안팀에 의해서 내부 대응이 진행되었을 것으로 예상된다.

09차 공격 : 2012년 03월 02일 금요일 오전 11시 13분 경 : I사 한국 사이트 (1개+@ 표적)

9차 공격은 한국의 특정 I사이트 1곳으로만 공격을 수행하는데, 이곳 역시 보안 관련 부서의 공용 그룹 메일 계정으로 보여진다. 공격자는 보안팀을 먼저 감염시켜 다양한 정보를 수집하고자 했던 것으로 추정되는데, 대부분 보안팀을 우회하여 내부 정보에 접근하고자 한다는 보안 상식과 다르게 공격자는 대담하게 보안팀을 직접적으로 노렸다는 것이 특징이다. 다른 계정을 모두 배제하고 보안 그룹 딱 1곳만 공격한 것도 혹시나 있을 제 3자의 신고나 유사 문의를 최소화 하고자 했던 것으로 추정된다. 

이렇듯 기업의 보안팀이 오히려 표적 공격의 대상으로 지정될 수 있다는 것은 아직까지 많이 알려져 있지 않았던 부분이므로, 각 기업의 보안업무 담당자들은 최신 보안 트랜드를 숙지하여 이러한 보안 위협에 노출되지 않도록 각별한 주의를 해야 할 것으로 생각된다.

10차 공격 : 2012년 03월 02일 금요일 오전 11시 14분 경 : J사 한국 사이트 (1개+@ 표적)

10차 공격역시 9차와 동일하게 1곳의 사이트로만 공격을 수행하며, 공격 대상은 기술과 관련된 공용 그룹 메일이다. 10차까지 공격에서 한가지 짚고 넘어가야 할 부분이 있는데, 6차 공격지와 10차 공격지는 모두 9차 공격지로 사용된 기업에 인수된 자회사들이다.

따라서 공격자는 9차 공격에서 과감하게 보안팀 1곳만을 정면 돌파하고자 공격 대상의 표적으로 삼았지만, 우회적으로 자회사 계정은 측면 공격을 다수 수행한 것을 알 수 있다.

11차 공격 : 2012년 03월 02일 금요일 오전 11시 15분 경 : K사 한국 사이트 (23개+@ 표적)

마지막 11차 공격은 오전 11시 15분경 시작하여, 11시 23분경까지 23개의 주소로 공격을 수행하게 되며, CEO 지원팀용 그룹 메일을 포함해서 다수의 팀단위 공용 그룹으로 공격을 수행하였다. 공격자는 다수의 팀메일을 사용하였는데, 이것으로 보아 다른 과정을 통해서 이미 다양한 기업 내부 정보 수집을 성공한 것으로 추정된다.

11차 공격을 끝으로 공격자는 정오시간에 맞추어 점심 식사를 하러 갔던 것이 아닌가 의심이 되며, 이후에 추가적인 공격 내용은 계속해서 추적이 진행 중이다.

3. 마무리

표적공격은 보안 사각지대가 존재하는 기존의 인프라 기반의 보안구조에서 탈피하고, 휴먼 정보중심의 지속적인 보안교육, 관리감독, 모니터링 등이 삼위일체가 되어야 한다. 따라서 점차 지능적으로 급변하는 사이버 위협 환경변화에 따라 새로운 보안 접근 방식이 필요한 시점이라 할 수 있다. 기존 인프라 기반의 보안 태세와 더불어 표적공격형 보안전략을 수립하고 일회성이 아닌 꾸준한 관리와 연속성을 지닌 보안전략이 필요하다.

단계별 지능형 지속 위협(APT)에 능동적으로 대처하기 위해서 융복합적인 솔루션을 통한 대응시스템 마련이 필요하며, 무엇보다 안전을 위협하는 유해 패러다임 방어에 적합하고 보안 대응을 중심으로 내부에 은밀하게 상존하는 악의적 요소들을 발본색원하고자 하는 확고한 의지와 노력이 함께 수반되어야 한다.

고도화된 공격자는 지능형 지속 위협을 수행하기 위해서 사전에 충분한 모의 침투와 치밀한 가상 시나리오를 만들고 불시에 맞춤형 공격을 수행한다는 점에서 단순하면서도 복잡한 2중성의 특징을 가지고 있고, 기업의 보안 시스템을 자유자재로 무력화하고 내부 기밀 정보를 훔치고자 하는 구체적인 목적이 있기 때문에 보안장비에 의존하는 것은 풍전등화 신세가 될 수도 있음을 명심해야 한다.

1. 개요

잉카인터넷 대응팀은 국내 유명 인터넷 기업을 대상으로 2011년 경에 진행되었던 실제 표적 공격 기법을 확보하였으며, 이른바 지능형 지속 위협(APT:Advanced Persistent Threat)의 대표적인 사례라 할 수 있겠다. 이에 잉카인터넷 대응팀은 "다수의 기업 사용자들이 이러한 보안 위협에 속수무책으로 피해를 입지 않도록 유사 방식에 대한 경각심 고취 및 사전 대비를 위한 정보 제공 차원으로 공격 수법을 일부 공개"하게 되었다. 중요 기관이나 특정 기업 등을 대상으로 하는 지능형 지속 위협은 1차 표적에 노출된 소수의 내부 직원을 매개체로 만든 후 공격자로 하여금 회사 내부의 주요 기반시설 및 2차 네트워크 통로로 접근할 수 있는 직접적인 연결 고리로 작용하게 만들며, 순차적으로 접속 범위 및 권한 상승을 노린 후에 조직, 사람, 기술, 정보 등을 총망라하는 공급망 공격을 수행하게 된다. 

※ 지능형 지속 위협의 주요 목적

1) 경제적, 정치적 및 전략적 이득 등을 취하기 위하여 주요 기관 및 기업의 중요 정보를 탈취 시도한다.
2) 표적 대상의 내부 네트워크 환경 등을 파악하고 점령 유지하며, 언제든지 제어가 가능하도록 구축한다.
3) 지속적으로 자신의 활동을 은폐시켜, 상당기간 동안 내부 정보를 수집하고 모니터링 한다.
4) 2차 공격 대상지로 하여금 공격자의 연쇄 공격이 신뢰될 수 있도록 보이기 위한 매개체로 악용한다.


2. 국내 기업을 대상으로 한 공격 수법 사례

대부분의 APT 공격 방법은 일반적으로 웹 사이트 등에 공개되어 있거나 유추가 가능한 webmaster, job, support, help, cs, service, admin 등과 같은 이메일 계정(예:webmaster@website.com)으로 악성파일이 첨부된 이메일을 발송하면서 시작된다. 물론 이메일 뿐만 아니라 웹 사이트, 인스턴트 메신저, 응용프로그램 업데이트 모듈 변조 등의 수법들도 존재할 수 있는데, 불특정 다수를 원격제어가 가능한 악성파일에 감염시킨 후 특정 표적을 선별하는 방식을 채택할 수도 있다. 이러한 과정에서 사회공학기법이나 실제 공격 대상과 관련된 내용 등을 교묘하게 조합하여 이용하는 형태가 많으며 특히, 신뢰하는 사람이나 조직에서 보낸 것처럼 위장하기 위해서 허위로 계정을 만들어 내거나 실제 해킹에 성공한 유관 사용자의 계정을 도용하는 경우도 적지 않다.

다음 공개하는 화면은 실제 국내 유명 인터넷 기업의 그룹 메일 주소로 발송된 이메일 형식으로, 마치 이력서(Resume)를 보낸 것처럼 조작되어 있다. 이메일을 수신한 경우 십중팔구 첨부파일을 열어볼 가능성이 높고, 속수무책으로 악성파일에 감염될 수 있다. 

 

첨부되어 있는 "My_Resume.zip" 파일은 얼핏보기에 다음과 같이 압축 파일 내부에 My_Resume.doc 처럼 보이는 MS Word(DOC) 문서파일이 포함되어 있는 것 같지만, 실제로는 2중 확장명을 가진 실행파일(EXE) 이다.

더불어 2중 확장명을 최대한 숨기기 위해서 .doc 뒷 부분에 다수의 빈공백을 포함시킨 것도 특징이라 할 수 있다.

파일 확장명은 폴더 옵션의 고급 설정에 따라서 정해지는데, 일반적으로 초기 설정값은 "알려진 파일 형식의 파일 확장명 숨기기"가 활성화되어 있으며, 그렇기 때문에 사용자가 별도로 폴더 옵션을 변경하지 않았다면 악성파일의 확장명은 DOC 문서파일처럼 보여지게 된다.

 

추가로 유니코드(Unicode) 확장명의 변조를 통해서 실행파일 형태를 문서파일처럼 보이도록 조작한 후 국내 특정 기업을 공격했던 사례도 시사하는 바가 크다.


다시 본론으로 돌아와 사용자가 첨부된 ZIP 압축파일을 해제 후 문서파일(DOC)로 오인하고 실행하거나, 아니면 2중 확장명의 실행파일을 육안으로 확인했다고 하더라도 무의식적으로 첨부파일을 실행하게 되면 아래와 같이 악성파일로 인한 감염피해를 입게 된다. 이것은 MS Office Word 프로그램의 보안 취약점을 이용한 수법은 아니므로, 최신 보안 업데이트를 설치했다고 하더라도 사용자 스스로 악성파일을 실행하는 과정이다. 따라서 보안 패치만으로는 방어 자체가 불가능하다.

파일명에 빈공백이 다수 포함되어 있는 "My_Resume.doc                                     ..exe" 파일이 실행되면 가장 먼저 동일한 위치에 정상적인 문서파일인 "My_Resume.doc" 파일을 생성시키고 실행한다. 그리고 처음 실행되었던 2중 확장명의 EXE 파일은 삭제하기 때문에 사용자는 최종적으로 동일 경로에서 실제 DOC 문서만 보게 된다.

생성된 정상 문서파일은 실제 국내 특정인의 입사지원서이며, 이메일의 발신자 이름(김연미)과는 다르게 남성의 모습이 보여진다. 공격자는 이미 특정 국내 여성의 이메일을 해킹하여 명의를 도용하고 권한을 획득한 상태로 추정된다. 이는 수신자로 하여금 이메일의 신뢰도를 높이기 위해서 한국인의 메일계정과 이력서를 모두 탈취하여 악용한 것이며, 일부 특이한 점은 해당 입사지원서의 학력사항에 정보보호관리학과 출신이라는 점이다. (개인정보 보호차원에서 일부 내용은 모자이크 처리를 하였다.)

해당 문서파일이 보여진 이후에 2개의 악성파일이 사용자 몰래 설치되는데, 모두 임시폴더(Temp)에 생성된다.

ALZ_Console.exe 파일은 특정 호스트로 접속을 시도하지만, 현재는 모두 차단되어 정상적으로 연결되지 않고 있다.

tran.exe 파일은 Command Line Interface 기능을 가지고 있으며, 정보 수집 목적 등으로 사용되는 모듈이다.

공격자는 은밀하게 첩보 활동을 하기 위해서 프로그램 코드를 매우 간결하게 작성하였고, 이를 통해서 대부분의 Anti-Virus 제품들이 탐지하지 못하도록 작성하였다. 일반적인 악성파일이 사용하는 재부팅시 자동 시작 기능 등도 포함해 두지 않았는데, 이런 형태는 순차 공격에 있어서 침투조 목적으로 배포되는 스파이 모듈이며, 만약 수집된 정보 중에 공격자가 원하는 조건과 부합될 경우 또 다른 공격 명령을 수행하게 될 수 있다.

재부팅시 자동 실행 기능이 없을 경우 악성파일의 생존기간은 매우 짧아지는 단점이 있지만, 공격자는 침투모듈을 배포한 순간부터 정해진 기간동안만 특수 모니터링을 수행할 것이기 때문에 오히려 자신의 노출을 최소화, 은폐화시킬 수 있는 장점이 있다. 그것을 기반으로 특정 표적만을 선별하고 C&C 등을 통한 잠복기 활동도 복합적으로 수행할 수 있다.

3. 마무리

특정 (국가)기관이나 기업 등을 표적삼아 내부 직원의 컴퓨터를 악성파일에 감염시키는 보안 위협 사례는 외부에 쉽게 발견되거나 알려지기가 어렵다. 특히, 일반 사용자들의 경우 자신의 컴퓨터가 베일에 쌓여 있는 누군가에 의해서 실시간 모니터링되고 제어되고 있다는 것을 인지하기는 사실상 불가능에 가까울 정도이다.

그렇기 때문에 공격자들은 이러한 보안 위협을 통해서 중요한 기밀 자료 등을 탈취하거나, 금전적 이득 또는 사이버 범죄(테러) 등으로 사용되고 있다는 점을 간과해서는 안된다.

과거의 고전적인 해킹은 의도적으로 자신을 노출시켜 실력을 과시하거나, Website Deface 등을 통한 재미 목적 등이 있었지만 지금의 보안 위협들은 한 단계 진보되어 국가나 기업의 기밀자료를 유출하는 등 범죄집단의 성향을 띄고 있으며, 은밀하고 고도화된 공격 방식이 채택되어 있다는 점을 명심해야 한다.