MS Office CVE-2017-11826 취약점 보안패치 권고




1. 개요 


최근, 한 보안 회사에 의해 메모리 손상 취약점을 악용하는 제로 데이 취약점이 발견되었다. 제로 데이 취약점이란 소프트웨어의 취약한 곳을 발견하여 패치가 이루어지지 않는 시점에 공격하는 것을 뜻한다.


해당 취약점은 2017년 10월 10일에 공개되었으며 DOCX 문서가 포함된 RTF 문서의 Office Open XML 파서에서 메모리 손상 취약점이 발생하여 임의의 코드를 실행할 수 있어 사용자들의 최신 보안 패치가 필요하다.


이번 보고서에서는 ‘CVE-2017-11826’ 취약점에 대해서 알아보고자 한다. 


[그림 1] 취약점 공개 내용[그림 1] 취약점 공개 내용





2. 취약점 번호 : CVE-2017-11826


2-1. 버전 정보


영향 받는 버전

l  Microsoft Word Automation Services 0

l  Microsoft Word 2016 (64-bit edition) 0

l  Microsoft Word 2016 (32-bit edition) 0

l  Microsoft Word 2013 Service Pack 1 (64-bit editions)

l  Microsoft Word 2013 Service Pack 1 (32-bit editions)

l  Microsoft Word 2013 RT Service Pack 1 0

l  Microsoft Word 2010 Service Pack 2 (64-bit editions) 0

l  Microsoft Word 2010 Service Pack 2 (32-bit editions) 0

l  Microsoft Word 2007 SP3

l  Microsoft SharePoint Enterprise Server 2016 0

l  Microsoft Office Word Viewer 0

l  Microsoft Office Web Apps Server 2013 SP1

l  Microsoft Office Web Apps Server 2010 Service Pack 2

l  Microsoft Office Online Server 2016 0

l  Microsoft Office Compatibility Pack SP3

 





3. DDE 기능


3-1. DEP 우회

첫번째 Object는 CLASSID = “D5DE8D20-5BB8-11D1-A1E3-00A0C90F2731” 를 이용하여 “C:\Windows\system32\msvbvm60.dll” 을 로드 한다. 이는 해당 DLL을 통하여 ASLR과 DEP를 우회하기 위한 목적으로 사용된다.


[그림 2] ‘msvbvm60.dll’ 로드[그림 2] ‘msvbvm60.dll’ 로드


[그림 2] ‘msvbvm60.dll’ 로드[그림 2] ‘msvbvm60.dll’ 로드



3-2. 힙 스프레이

두번째 Object는 ActiveX.bin 기법을 이용하여 힙 스프레이를 하는 docx 파일이다. 해당 docx 파일 내부의 문서파일 형태의 activeX1.bin 파일을 메모리에 적제하도록 한다. 이 과정은 힙 스프레이를 통하여 특정 주소로 이동하기 위해 활용된다. 


[그림 3] 힙 스프레이[그림 3] 힙 스프레이



3-3. 메모리 손상

세 번째 Object는 실제 메모리 손상 취약점을 일으키는 역할을 하는 docx 파일이다.


본문 내용 중 아래 [그림 4] 와 같이 시작 태그 <w:font> 와 종료 태그 <o:idmap/> 를 다르게 사용함으로써 OOXML 파서에서 “유형 혼동”을 유발하도록 만든다.


[그림 4] 태그 오류[그림 4] 태그 오류


유형 혼동이 발생되는 태그 내의 폰트 명에 비정상적인 값이 들어가 있으며, 해당 값은 UTF-8에서 Unicode로 변환되면서, E8 A3 AC E0 A2 88 -> EC 88 88 08로 변환 된다


[그림 5] 주소 변환[그림 5] 주소 변환


변환 된 값은 힙 스프레이를 통하여 적재 된 activeX1.bin파일 내의 메모리 주소에 접근하여 특정 값을 읽어온다.


전달받은 값은 ASLR이 우회되어 Base Image Address에 로드 된 msvbvm60.dll의 특정 주소로 점프 한 후 ROP(Return Oriented Programming)를 이용하여 DEP를 우회 한다.


[그림 6] DEP 우회[그림 6] DEP 우회


그리고 msvbvm60.dll IMPORT 테이블의 특정 API 주소를 호출하여 실행 권한을 획득하도록 만든 뒤 악성 ShellCode를 실행한다. ShellCode가 실행되면 하기의 경로에 추가적으로 DLL 파일을 드롭 한다.

 

‘C:\Users\사용자계정\AppData\Roaming\Microsoft\Word\Startup\..wll’


[그림 7] DLL 파일 드롭[그림 7] DLL 파일 드롭


해당 폴더에 파일이 존재 한다면 Add-in 기능으로 word 파일을 실행 시 [그림 7]에서 드롭 된 DLL 파일을 함께 로드 하여 실행된다. 실행 된 DLL파일은 사용자 PC정보를 수집하여 공격자 서버로 전송하며 또한 추가적으로 악성코드 다운로드를 시도하는 것으로 확인된다.


[그림 8] 로드 된 드롭 파일[그림 8] 로드 된 드롭 파일


악성코드 동작 이외에도, 다음과 같이 미얀마어로 작성 되어진 문서 파일을 확인할 수 있다.


[그림 9] 미얀마어로 작성되어 있는 문서 내용[그림 9] 미얀마어로 작성되어 있는 문서 내용


 




4. 결 론


이번 보고서에서 알아 본 'CVE-2017-11826' 취약점은 일반적으로 많은 사용자들이 사용하고 있는 MS Office의 취약점을 악용 하였기 때문에 사용자 입장에서 악성코드를 인지하기 쉽지 않을 것으로 보여진다. 물론 이에 대한 해결책으로 MS에서 제공하는 최신 보안 패치가 제공되고 있지만 업데이트를 하지 않은 사용자 같은 경우 사용자 정보 탈취 뿐만 아니라 추가 피해로 이어질 수 있기 때문에 출처가 불분명한 링크나 첨부된 파일을 함부로 열어 보아서는 안되며 조속히 보안패치를 할 것을 권고한다. 

아래 링크에 접속하면 해당 취약점에 대한 윈도우 보안 업데이트를 진행할 수 있다.

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11826






저작자 표시 비영리 변경 금지
신고
Posted by nProtect

PC 부팅을 막는 MBR 악성코드



1. 개요


하드디스크의 MBR(Master Boot Record ; 마스터부트레코드) 영역을 파괴하여 PC 부팅을 못 하게 만드는 MBR 악성코드가 성행하기 시작했다. MBR 영역을 파괴하는 악성코드는 이전 한수원 해킹 사건, 3.20 사이버 테러, 6.25 사이버테러 등에서 국내 주요기관을 마비시킨 이력이 있다. 


MBR이란 파티션 된 저장장치(하드 디스크, 이동식 저장장치, USB메모리 등)의 가장 앞 부분에 쓰여있는, 저장장치 이용 시 반드시 필요한 정보이다. MBR에는 PC 부팅에 반드시 필요한 여러 정보(파티션정보, 부트로더 정보 등)이 손상되면 저장장치를 읽을 수 없게 되어 대표적으로 PC 부팅 실패 등 여러 이상이 발생한다.


이에 잉카인터넷 시큐리티 대응센터(ISARC)는 해당 악성코드에 감염되면 MBR영역이 어떻게 변하는 지에 대해 분석 하였으며, 잉카인터넷 안티 바이러스 제품 nProtect Anti-Virus/Spyware V4.0 (nProtect AVS V4.0)의 MBR 보호 기능을 소개하고자 한다.





2. MBR 악성코드 감염


아래 그림은 PC에 장착된 하드디스크에 직접 접근하여 저장된 데이터를 확인한 모습이다. 하드디스크의 시작부분(0번 섹터, 512 byte)에 MBR이 저장된 모습을 확인할 수 있다. 0번 섹터의 마지막 2바이트에 55 AA를 확인할 수 있는데, 이것은 이 MBR이 정상이라는 표식(시그니처)으로, 이 부분이 손상되면 정상적인 MBR이 저장되어 있더라도 손상된 것으로 간주한다.




[그림] 감염 전 정상 MBR





MBR 악성코드 중 하나인 KillDisk3.exe 에 감염된 후 동일 하드디스크를 확인해 보면 아래와 같이 MBR의 모든 데이터가 0으로 채워진 것을 확인할 수 있다. 물론 마지막 55 AA 시그니처 또한 손상되어, 이 하드디스크로는 더 이상 부팅을 할 수 없게 된다.




[그림] 감염 후 MBR




[그림] 부팅 실패





3. MBR 보호


아래는 동일 PC 동일 환경에 잉카인터넷 백신 nProtect AVS V4.0을 설치한 상태로 진행한 테스트 화면이다. [2. MBR 악성코드 감염]과 동일한 환경에서 같은 악성코드를 실행했다. 그 결과 nProtect AVS V4.0의 MBR 보호 기능이 동작하며 MBR 파괴 행위를 막고 해당 영역을 보호한 것을 확인 할 수 있다.


따라서 알려지지 않은 악성코드(백신이 감지하지 못한 악성코드)에 감염되더라도 MBR 파괴 행위를 방지하여 최소 MBR영역의 파괴를 막을 수 있는 것이다.

 



[그림] MBR 보호 기능 작동




[그림] 보호된 MBR





잉카인터넷은 2011년 북한 발 MBR 파괴 공격, 3.20, 6.25 사이버테러 사태 시 PC의 MBR영역을 보호기능을 제공하는 nProtect MBR Guard를 제작 및 배포한 이력이 있다. nProtect MBR Guard의 MBR 보호 기능은 잉카인터넷 백신 AVS V4.0에 기본 탑재되어 있어, 부가적 프로그램 설치 없이 백신 프로그램 nProtect AVS 제품만으로도 MBR보호 동작을 수행할 수 있다.


nProtect AVS는 MBR영역 뿐만 아니라 볼륨영역을 함께 보호 할 수 있어 KillMBR 계열의 악성코드 위협으로부터 PC를 안전하게 지킬 수 있다. 해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.

 


  

[그림] nProtect Anti-Virus/Spyware V4.0 악성코드 검사 화면




[그림] nProtect Anti-Virus/Spyware V3.0 악성코드 검사 화면


※ nProtect AVS V4.0 베타버전을 사용하고 싶은 사용자는 http://avs4.nprotect.com/에 접속하면 제품 설치본과 소개서를 다운받을 수 있다.


저작자 표시 비영리 변경 금지
신고
Posted by nProtect
1. 차별화된 보안 취약점을 결합한 워터링 홀 공격

북한의 사이버 침투공격이 갈수록 노골적이면서 과감해지고 있어 각별한 주의가 필요한 상황이며, 이들은 다양한 공격방식을 동원해 주기적으로 새로운 악성파일 유포에 집중하고 있다.

북한 사이버공격은 휴전이 아닌 현재 진행형 위협
http://erteam.nprotect.com/474

6.25 사이버전, 국내 주요 사이트 해킹 공격 받는 중
http://erteam.nprotect.com/429


6.25 사이버전, 신문사, PC방 프로그램 업데이터 모듈공격 최초공개
http://erteam.nprotect.com/427

7.7 DDoS 공습 1주년에 즈음한 과거로의 시간 여행
http://erteam.nprotect.com/1


대표적으로 이메일에 HWP 등 문서파일 취약점을 첨부시키는 스피어 피싱(Spear Phishing)은 매우 고전적인 수법이지만 오랜 기간 자주 활용되고 있고, 이용자가 많은 웹하드 서비스의 정상모듈을 악성으로 몰래 바꿔치기 한 후 자동으로 업데이트되도록 한 방식은 단기간 DDoS 공격용 좀비PC 양산에 활용된다.

각종 웹 기반 보안취약점을 결합시킨 워터링 홀(Watering Hole) 방식은 필터링 콜백 맞춤 공격에 빈번하게 사용되며, 기관이나 기업내부에서 보안 및 업무 목적으로 사용하는 전용 솔루션의 파일 배포기능을 악용한 공격은 내부망 정보 수집 및 데이터 파괴 등 테러적인 사이버 전술에 특화화되어 있다.

특히 주목해야 할 점은 한국에서 주로 이용하는 특정 응용 프로그램의 차별화된 Exploit 공격코드를 맞춤형태로 개발해 공격에 활용하고 있어 매우 은밀하고 조용한 물밑 공격이 진행되고 있다는 점을 명심해야 한다. 

2. 장기간의 잠복 및 침투·정찰·첩보 

2014년 07월 07일은 지난 2009년 7월 4일 미국 독립기념일에 미국쪽 웹사이트 공격을 시작으로 7월 7일 유수의 한국 웹 사이트를 대상으로 분산서비스거부 공격이 일어난 이른바 7.7 DDoS 5주년이 되는 날이었다.

그런데 7월 7일 늦은 오후부터 7월 8일 양일간 국내 특정 웹 사이트들을 통해서 북한에서 제작된 악성파일 다수가 은밀히 유포 중인 정황이 포착되었고, 아무래도 상징적인 의미가 있는 기간이기 때문에 잉카인터넷 시큐리티대응센터(ISARC)에서는 해당 악성파일과 유포지에 대한 정보를 유관 기관에 신속하게 공유하여 민관 합동대응을 진행하였다.

소리전자 : http://www.soriaudio.com/
개드립 : http://www.dogdrip.net/
에펨코리아 : http://www.fmkorea.net/

http://www.sdgfaith.com/files/theme/temo/lib.vbs (WinXP)

http://www.sdgfaith.com/files/theme/temo/lib7.vbs (Win7)
ㄴhttp://www.sdgfaith.com/files/theme/temo/last.gif

http://www.sdgfaith.com/files/env/image/title.gif

http://www.sdgfaith.com/files/env/image/dark.php
ㄴhttp://www.sdgfaith.com/files/env/image/dark.gif

http://soriaudio.com
ㄴhttp://www.sdgfaith.com/files/env/image/jpg/Init.js
 ㄴhttp://www.sdgfaith.com/files/env/image/jpg/MAProject.swf
  ㄴhttp://www.sdgfaith.com/files/env/image/jpg/first.gif
  ㄴhttp://www.sdgfaith.com/files/env/image/jpg/last.gif
    ㄴhttp://www.peace4rc.org/common/lang/us.lang.php
      ㄴhttp://www.sdgfaith.com/files/env/image/folder.php
        ㄴhttp://www.sdgfaith.com/files/env/image/folder.gif
          ㄴhttp://www.luna930812.com/xe/images/nei_00.jpg

http://catwoman.pe.kr/xe/modules/checkip/tpl/vbs/first.gif
http://catwoman.pe.kr/xe/modules/checkip/tpl/vbs/last.gif
ㄴhttp://www.peace4rc.org/common/lang/us.lang.php
ㄴhttp://0u24.com/xe/common/lang/title.php

http://pomdoll.com/bbs/head.gif
ㄴhttp://happygage.com/bbs/images/left.gif



일부 조사된 바에 의하면 작년 특정 언론 및 금융사에서 발생한 전산망 마비(3.20 사이버테러) 공격과 국제해킹그룹 (하이)어나니머스를 사칭하여 청와대 및 언론사 웹 사이트를 변조하고, 특정 기업내부의 데이터 파괴 등을 수행(6.25 사이버戰)한 악성파일의 변종인 것도 부분적으로 검증된 상태이다.

악성파일은 감염자 정보를 명령제어(C&C)서버로 전송하고, 추가 명령을 통해 또 다른 악성파일에 감염된다.

 
해당 악성파일의 유포지 이력과 타임라인을 조사하던 과정 중 공격자들은 이미 몇년 전에 마스터 서버의 권한을 다수 확보하여 몰래 운영 중이었던 것으로 보이고, 2014년 상반기 부터 본격적인 명령제어 서버로 재가동했던 것으로 추정된다.

이번에 이용된 공격기법은 웹 기반 취약점을 다수 이용했다는 점인데, 특이하게도 한국 맞춤형 취약점과 어도비 플래시 플레이어 취약점(CVE-2014-0515)이 활용되었다.

최근들어 Drive-by Download 공격에 이미 보고되어 취약점이 해결된 플래시 플레이어 취약점(CVE-2014-0515)이 자주 발견되고 있으므로, 이용자들은 항시 최신 버전으로 업데이트를 설치 유지하고, 자동업데이트 기능을 활성화해 두는 노력이 필요하다.



플래시 플레이어 취약점 이외에 국내 서비스 기반의 제품들이 공격에 대거 포함되었는데, H 그룹웨어 ActiveX 취약점, F 문서보안(DRM) ActiveX 취약점, K 온라인결제 ActiveX 취약점 등이다.

악성파일들은 대부분 국내 제로보드나 케이보드 등 공개용 게시판을 이용하는 웹 사이트에서 발견되었는데, 이것을 미루어 보아 국내 게시판 취약점을 이용해 거점을 다수 확보하고 있는 것으로 추정된다.


해당 취약점들은 국내 기관이나 기업들 내부에서 주로 많이 이용하는 제품들에 포함되고, ActiveX 컨트롤 취약점을 통해서 특정 조직에 대한 감염 필터링 콜백 등을 통해서 표적공격이 가능할 수 있다.

이처럼 단순히 불특정 다수를 감염시켜 아무 구분없이 무작위 정보를 통합적으로 수집하는 것을 넘어 특수 조건에 따른 감염범위를 제한적으로 설정하고 대상에 따라 체계적인 정찰 및 정보수집 활동을 한다. 

3. TOR 프록시 프로토콜과 데이터 통신 프로토콜

이번 공격에 이용된 악성파일은 분석을 지연 또는 방해시키기 위해서 정상적인 리소스를 포함시키거나 Anti-VM 기능 등을 통해 일반적인 분석 실행환경에서 작동하지 않도록 만들었다.

또한, 악성파일의 원격지 통신위치를 은폐하기 위해서 토르(Tor) 프로토콜을 이용했고, C&C 서버 등과 통신할 때 암호화된 명령을 통해서 전달받는다.



감염된 컴퓨터와 정보를 주고 받을 때 사용하는 URI 신호체계도 기존 유사 악성파일들이 사용하는 방식과 거의 동일하다.

아울러 당시 악성파일을 유포했던 웹 사이트는 갑작스런 접속 트래픽의 증가로 인해서 일시적으로 차단되기도 했었으나, 얼마 시점 후 다시 변종 악성파일이 유포되기도 했다.


 
이처럼 북한의 사이버공격은 매우 은밀하고 조용히 오랜기간 진행되고 있고, 다양한 기법을 동원하고 있다. 스피어 피싱과 워터링 홀 같은 경우는 다양한 보안취약점이 활용되고 있으므로, 사용중인 응용 프로그램은 항시 최신버전으로 업데이트를 유지하는 것이 중요하다.

웹 사이트 관리자들은 공개 게시판의 취약점을 제거하고, 웹 서버에 웹쉘 등의 악의적인 코드 존재 여부를 정기적으로 점검하고, 서비스 중인 모듈의 무결성 및 보안강화에 지속적인 관심과 노력이 필요하다.
 


저작자 표시
신고
Posted by nProtect

잉카인터넷 ISARC 대응팀은 2013년 국내에서 발생한 각종 주요 보안이슈와 키워드별 사례를 종합 분석하여 2014년 발생 가능한 보안위협 예측자료를 다음과 같이 발표한다. 2013년은 2012년과 비슷한 유형의 보안 위협들이 다수 발생하였다. 다만, 3.20 사이버테러와 6.25 사이버전으로 규정된 북한의 공격이 연이어 발생하여 심각한 보안위협으로 대두되었다. 그외 각종 사이버범죄는 고도화되고 지능적인 양상을 보였다.


이번 보안 전망자료는 잉카인터넷 ISARC 대응팀이 2013년 등장하였던 대표적인 보안 위협들을 되짚어보고, 2014년에 출현 가능한 위협 요소들을 사전에 예측하여 대처할 수 있는 기초자료로 활용하는데 그 취지가 있으며, 각 계 보안의식 제고와 공감대 형성을 이루는데 그 목적이 있다. 아울러 널리 알려지지 않은 보안사각지대를 조명해 보고 각종 보안 불감증 해소에 조금이나마 도움이 되기를 바란다.



2013년 국내에서 발생한 주요 보안위협은 정도의 차이가 있을 뿐 예년과 거의 유사한 양상을 보였다. 다만, 금융사와 언론사를 공격한 3.20 사이버테러와 청와대 등 국가기관과 언론사 등을 공격한 6.25 사이버전이 연이어 발생하면서 북한의 사이버공격이 갈수록 매우 과감해지고 있다는 것을 여실히 보여주었다. 그외 Drive By Download 수법으로 온라인 게임계정 탈취 목적의 악성파일과 인터넷 뱅킹 이용자를 노린 파밍기반의 사이버범죄형 악성파일이 부쩍 기승을 부렸고, 실제 계좌 예금탈취 피해 등이 다수 보고된 바 있다. 안드로이드 스마트폰 이용자를 노린 스미싱을 통해서 소액결제사기와 스마트뱅킹용 악성파일도 급증하였다. 표적공격 형태를 지칭하는 지능형지속위협도 본격적으로 가시화 되었고, HWP, CELL 등의 한컴오피스 취약점을 이용한 한국 맞춤형 문서파일 표적공격이 기승을 부렸다. 고전적인 사회공학기법을 이용하거나 Zero-Day 취약점을 이용한 공격은 공통분모로 꾸준히 사용되고 있다.


■ 잉카인터넷 ISARC 대응팀 2014년 보안 위협 전망

01. 북한의 사이버공격 정교화와 가속화

2013년은 한국의 보안위협 기록 역사상 최초로 "사이버전(戰)"이라는 군사용어 표현이 실제로 이용되었다. 과거 북한의 공식적인 사이버공격 기록으로는 2009년 7.7 DDoS 사이버테러가 대표적이고, 그 이후에도 여러차례 발생한 바 있다. 특히, 2013년은 3.20 사이버공격과 6.25 사이버전 등 그 위험수위가 점차 높아졌고, 공격수법과 파괴범위도 꾸준히 증가하고 있는 추세이다. 이에 따라 북한의 2014년 사이버공격은 갈수록 노골적이며, 과감해 질 것으로 예측된다. 특히, 은밀하게 활동하는 인터넷 기반의 정찰 및 침투활동을 극대화할 것이고, 국가기관 및 주요 산업시설 등을 대상으로 정교하고 지능화된 정보수집 활동을 펼칠 것으로 전망된다. 따라서 사이버 안보에 대한 더 많은 관심과 투자가 필요하겠다.

02. 전자금융사기와 사이버범죄의 산업화

2012년 말부터 2013년 상반기 까지는 안드로이드 스마트폰 이용자를 대상으로 한 문자사기 이른바 스미싱(Smishing)이 급격한 사회문제로 대두되었다. 한국의 스마트폰 소액결제시스템의 허점을 교묘하게 파고들어 안드로이드 악성앱(APK)이 이용자 단말기에 설치되게 한 후 승인문자를 갈취하여 불법적으로 소액결제를 이용한 신종 범죄수법이었다. 피해자에 따라 최대 30만원 상당의 스마트폰 요금이 과금되어 여러가지 부작용이 발생하였다. 그외에 인터넷 뱅킹용 악성파일(KRBanker)이 Drive By Download 방식으로 보안취약점이 존재하는 불특정다수의 이용자에게 감염되어 hosts 파일을 변조하거나 메모리 코드를 변조하는 등의 수법으로 진화하여 꽤 많은 피해를 발생시켰다. 2014년은 인터넷 뱅킹을 노린 사이버범죄와 더불어 스마트 뱅킹용 안드로이드 악성앱이 기술적으로 발전하고 유포범위도 넓어질 것으로 예상된다. 따라서 이용자들은 보유하고 있는 보안카드의 전체번호는 어떤 곳이든 절대로 동시입력하지 않도록 하여야 하고, 과도하게 요구하는 금융정보에는 절대로 응하지 않도록 유념해야 한다.

03. 대표적 3대 보안취약점 DBD 공격의 지속화

약 2005년 경부터 국내 온라인 게임 이용자들의 계정과 아이템을 탈취하여 금전적 이득을 취하기 위한 악성파일이 기승을 부리고 있다. 이는 국내 유수의 웹 사이트를 대상으로 각종 취약점 자동화 공격도구를 통해 해킹한 후 다양한 Exploit Code 등을 삽입한다. 이른바 Drive By Download (다운로드에 의한 구동) 방식으로 보안이 허술한 이용자들에게 변종 악성파일들을 꾸준하게 유포하고 있는 실정이다. 보통 공격자들은 많은 사람들이 널리 이용 중인 ⓐ Microsoft OS 및 Application ⓑ Adobe 사의 Flash Player 와 PDF Reader ⓒ Oracle 사의 JAVA 등, 상기 3대 대표 프로그램들의 취약점을 집중공략 하고 있다. 2014년은 사이버 범죄자들이 더 많은 금전적 이득을 얻기 위해 Drive By Download 공격에 활용할 수 있는 최신 공격기법과 Zero-Day 취약점 구매에 열을 올릴 것으로 예상되며, 각종 해킹산업 투자에 집중할 것으로 전망된다. 따라서 이용자들은 최신 보안업데이트를 소홀히 하지 않도록 하고,  보안에 대한 많은 관심과 경각심을 가지고 기본적인 개인수칙 준수를 명심하여야 한다.
 
04. 문서형 악성파일의 은밀한 표적공격의 고도화

지능적 한국 맞춤형 공격에 활용되고 있는 HWP 악성파일 등 각종 문서파일(DOC, XLS, PPT, PDF, CELL)의 취약점 공격이 두드러질 것으로 예상된다. 보안이 취약한 불특정 다수의 웹 사이트 접속자를 노린 Drive By Download 방식과는 다르게 국지적 대상 또는 특정 요인에 대한 표적공격으로 활용도가 높은 상태이기 때문에 2014년은 한컴오피스 문서파일 취약점 공격이 여전히 증가추세를 보일 것으로 예상된다. 따라서 해당 프로그램 이용자들은 반드시 최신 보안업데이트를 설치하여 만일에 하나 발생할 수 있는 보안위협에 노출되지 않도록 적극적인 보안개선 노력을 하여야 하고, 이메일 등으로 수신되는 의심스러운 문서파일은 단순 호기심에 함부로 열람하지 않도록 하는 보안습관이 필요하다.

05. 신종 모바일 사이버범죄 등장과 스마트기기 타깃 다각화

스미싱 등을 통해서 전파된 안드로이드 기반의 악성파일을 통해서 한국내 스마트폰 이용자를 겨냥한 모바일 결제 및 전자금융 범죄가 더욱 더 기승을 부릴 것으로 전망되며, 다양한 수법의 변칙적 모바일 보안위협이 현실화 될 것으로 예측된다. 휴대폰 소액결제사기와 더불어 모바일 스마트뱅킹 사기, 유명 게임앱이나 모바일 메신저 등을 상대로 한 개인정보 탈취, 모바일 피싱사기, 사생활 침해를 통한 협박 범죄 등이 새로운 유형으로 발전하고 각종 스마트기기에 대한 신종범죄 출현 가능성이 높다. 따라서 안드로이드 스마트폰 이용자들은 문자메시지(SMS/MMS)로 수신되는 URL 주소를 함부로 클릭하지 않도록 하고, 무료로 배포 중인 "뭐야 이 문자" 등 스미싱 원천 차단 솔루션을 설치하여 사전에 방어할 수 있는 노력이 절실하다. 또한, 보안카드나 일회성 암호 생성기(OTP) 등 물리적 보안장지치의 정보는 절대로 외부에 쉽게 노출되지 않도록 하여야 한다. 혹시라도 보안카드의 모든 일련번호를 동시에 요구하는 화면을 접하게 될 경우 100% 전자금융사기라는 점을 잊지 말아야 한다.

 06. 좀비 스마트폰 사이버테러에 본격화

그동안 스마트폰의 보안위협은 대체로 사이버범죄 형태를 띄고 있었고, 전형적인 금전 수익형 범죄기반 모델이었다. 그러나 일반 해커가 아닌 사이버테러 성향의 집단에서 안드로이드 악성앱을 통해 얼마든지 단말기를 조작할 수 있기 때문에 주의와 대비가 필요하다. 문자 메시지 탈취 및 주소록 탈취, 위치추적, 원격제어, 단말기 파괴 등이 가능하다는 학습을 마친 상태로 보이기 때문에 언제든지 공격수법을 변화시킬 수 있다. 따라서 사이버범죄 단계에서 사이버테러 영역으로 공격방향과 수준이 발전될 수 있고, 동시다발적으로 안드로이드 스마트폰이 먹통이 되거나 과도한 트래픽 발생으로 이동통신사의 기지국 등에 예기치 못한 부작용 등의 위협 시나리오 예측이 가능하다. 또는 안드로이드 단말기를 통한 무선 DDoS 공격 출현과 다량의 문자메시지 발송을 통한 과금 및 트래픽 공격도 예상할 수 있다.

07. 변칙적 광고성 프로그램의 증가와 복잡화

마치 정상적인 프로그램처럼 둔갑하여 각종 포털사이트 및 블로그를 통해서 변칙적으로 광고 프로그램(Adware)를 배포하는 비정상적 인터넷 마케팅이 꾸준히 증가할 것으로 보여진다. 이용자들은 가급적 신뢰할 수 있는 유명 공식 자료실이나 프로그램 개발사 등의 웹 사이트에서 설치프로그램을 받아서 사용하여야 한다. 이러한 Adware 프로그램 중에는 자체적인 버그나 과도하게 결제를 요구하는 창을 수시로 띄어 이용자에게 큰 불편을 끼치는 경우가 많다. 더불어 정상적인 광고사업을 수행하는 건전한 인터넷 기업들에게도 그 피해를 고스란히 던져주고 있다. 또한, 여타 악성파일 제작자들이 보안관리가 허술한 해당 광고서버를 해킹하여 Adware 프로그램과 함께 또 다른 악성파일을 복합적으로 배포하는 사례가 발견된 바 있기 때문에 유사공격에 대한 증가가 우려된다.

08. 업데이트 프로그램 변조를 통한 악성파일 지능화

과거 7.7 DDoS 공격부터 최근 6.26 사이버전까지 정상적인 소프트웨어의 업데이트 모듈을 바꿔치기하는 치밀한 공격수법이 다양한 방식으로 이용된 바 있다. 웹하드 서비스 기반의 프로그램을 변조하여 악성파일을 배포한다거나 특정 기업내부에서 사용하는 보안솔루션의 업데이트 프로그램을 통해서 악성파일을 배포한 바 있다. 이런 방식은 일반적인 웹 기반 모니터링 과정으로는 쉽게 이상징후를 포착하기 어렵기 때문에 교묘한 악성파일 유포에 활용될 수 있다. PC 기반의 프로그램 뿐만 아니라 안드로이드 등 모바일 프로그램의 업데이트를 통해서도 언제든지 악성파일이 유입될 수 있기 때문에 2014년에도 다각적인 보안위협으로 시도될 가능성이 높아 보인다.



저작자 표시
신고
Posted by nProtect
1. 국가기관 및 언론 사이트 등 동시다발적 공격

2013년 06월 25일 오전 10시경 전후로 청와대와 국무조정실 등의 웹 사이트가 해킹되었고, 당시에 시스템 긴급 점검 안내 페이지가 출력되었다. 이에 잉카인터넷은 nProtect 시큐리티 보안경보를 [위험]으로 상향조정하고 비상근무태세를 유지하고 있는 상태이다.

 

 



2. 해킹된 청와대 홈페이지 화면에는 다음과 같은 내용들이 포함되어 있다. (일부 모자이크 처리)

 




Hacked by Anonymous
민주와 통일을 지향하는 #어나니머스코리아
통일대통령 김정은장군님 만세!

공격은 계속될껏이다.
우리를 기다리라.
우리를 맞이하라.



공격 당시 다음 웹사이트가 접속장애가 발생했다.

국방부, 국정원 등 다수의 정부기관
새누리당 각 지역시당



청와대 홈페이지 변조를 통해서 알려진 공개자료 링크라는 곳에는 실제로 특정인들의 정보가 포함되어 있는 상태이다.


청와대 홈페이지 해킹한 자들은 YouTube 사이트에 동영상까지 올려두었다.






분산서비스거부(DDoS) 공격용에 사용된 것으로 의심되는 악성파일은 국내 특정 파일공유(웹하드) 사이트 2곳의 설치프로그램 변조를 통해서 유포된 것으로 확인되었다.

■ A 웹하드 업체



악성파일은 정상적인 웹하드 셋업파일을 변조하여 설치 시 악성파일이 함께 설치하도록 압축(SFX RAR)되어 있다. 내부에는 ***Diskup.exe 라는 이름의 악성파일이 포함되어 있다.


악성파일은 한국시간으로 2013년 06월 24일 오후 08시:04분 경(24/06/2013 11:04:46 UTC)에 만들어져 있다.


웹하드 설치프로그램으로 위장하여 숨겨져 있는 악성파일이 실행되면, 국내의 고시원 및 자취생 커뮤니티 사이트에 숨겨져 있는 c.jpg 파일이 다운로드되어 설치된다. 이 파일은 그림파일처럼 위장하고 있지만, 실제로는 실행가능한 EXE 악성파일이다. 더불어 해당 사이트에는 또 다른 악성파일도 숨겨져 있다.

c.jpg 파일은 임시폴더(Temp)에 ~***disk.exe 라는 파일로 생성되고 실행된다. 그 이후에 감염 시스템에 실행되어 있는 프로세스 파일 중에 하나의 파일명을 선정하여 악성파일의 복사본을 생성하며, Identities 하위의 폴더명도 감염될 때마다 랜덤하게 다르게 생성된다. 실행 후에 ~***disk.exe 파일은 배치파일 명령을 통해서 스스로 삭제된다.


C:\Documents and Settings\[사용자계정]\Application Data\Identities\{489181c0-a73e-11de-9470-806d6172696f}

config.ini
svchost.exe (파일명 변수)
explorer.exe (파일명 변수) / 악용된 정상 Tor 파일


Tor 방식을 이용해서 탐지우회 등을 적용한 부분이 특징이다.

C:\Documents and Settings\[사용자계정]\Application Data\tor 폴더를 생성하고, 각종 설정파일을 등록한다.



■ B 웹하드 업체


두번째 웹하드 사이트에서도 설치프로그램이 변조되어 악성파일이 포함되어 유포되었다.


웹하드 설치 프로그램에 은밀하게 숨겨져 있는 악성파일이 실행되면 국내의 고시원 및 자취생 커뮤니티 사이트에 숨겨져 있는 d.jpg 파일이 다운로드되어 설치되고 A 웹하드 업체에서 설치된 악성파일과 동일한 방식으로 기능이 수행된다.



2013년 06월 25일 오전 6시경 제작된 악성파일도 발견되었는데, 이 악성파일은 감염시 특정 조건에 따라 시스템폴더에 oleschedsvc.dll (생성될 때마다 파일명 랜덤), wuauieop.exe 등을 생성한다.
 
이 악성파일은 기존 웹하드 설치프로그램을 통해서 유포되었던 것으로 추정되며, 다음과 같은 절차를 통해서 감염이 진행되며, 감염전에 먼저 OpenFileMappingA API 함수를 호출하여 "Global\MicrosoftUpgradeObject9.6.4" 값이 존재하는지 비교를 통해서 감염여부를 체크한다.

SimDisk_setup.exe -> Simdiskup.exe -> c.jpg(~simdisk.exe) -> sermgr.exe -> ~DR(숫자).tmp -> ~DL(숫자).tmp -> ole(윈도우 시스템 서비스명).dll -> wuauieop.exe


c.jpg 파일의 경우 그림파일로 위장하고 있지만 실제로는 exe 실행형 악성파일이다.

윈도우 OS가 32비트인 경우에는 임시폴더(Temp)에 "~DR(숫자).tmp" 파일을 생성하고, 실행한다. 그리고 동일 경로에 생성된 "~DL(숫자).tmp" 파일은 ole(윈도우 시스템 서비스명).dll 파일로 자신을 복사하고 실행한다.



ole(윈도우 시스템 서비스명).dll 파일은 특정 웹 사이트로 접속하여 추가파일을 다운로드 시도한다.

 

상기 웹메일 서비스는 지난 3.20 사이버 테러 때와 5.31 사이버공격용 악성파일들이 사용하던 방식과 일치하는 수법이다. 2013년 5월 31일 발견되었던 악성파일은 3.20 변종 악성파일로 분류되어 잉카인터넷과 이스트소프트가 연합대응을 진행한 바 있다.

더보기

아래는 2013년 05월 31일에 접속을 시도했던 웹메일 서비스의 사이트 화면으로 이번에 악성파일이 C&C 통신하는데 사용한 구성과 일치하는 것을 알 수 있다.


만약 파일 접속이 성공하게 되면 윈도우 하위의 임시폴더(Temp)에 "~MR(숫자).tmp 파일로 다운로드한다. 분석시 "ct.jpg" 파일이 다운로드 되었다.


ole(윈도우 시스템 서비스명).dll 파일은 자신이 보유하고 있는 고유 인자값 "BM6W" 와 공격명령(06월 25일 오전 10시 이후) 시간을 비교한다. [ConvertStringSecurityDescriptorToSecurityDescriptorA]


감염된 시스템의 날짜와 공격명령 조건이 일치할 경우 시스템 폴더에 "wuauieop.exe" 악성파일을 생성시키고, 실행하게 된다. 본격적인 DDoS 공격 명령을 스케줄에 따라서 수행하게 되는 것이다.

악성파일은 다량의 패킷 쿼리를 대전 정부통합전산센터(*.gcc.go.kr) 서버로 전송하여 DNS 서버의 리소스를 소모시켜, 결과적으로 정부기관의 웹 사이트에 과부하를 일으키는 일종의 DNS DDoS 공격 기법이라 할 수 있다.


공격 IP 대상은 [152.99.1.10:53], [152.99.200.6:53] 로 UDP Port 53 번을 이용해서 DNS 상위 루트서버에 질의응답을 무작위로 발송하게 되고, 임의로 생성되는 도메인은 문자열이 최대 28자까지 허용하여 gcc.go.kr 서버에 과부하가 발생하게 된다.

- ns.gcc.go.kr [152.99.1.10]
- ns2.gcc.go.kr [152.99.200.6]

특정 도메인에 대한 개별 서비스거부(DoS)공격을 수행하는 것 보다는 정부기관의 DNS 서버를 공격해서 공격효과를 극대화하기 위해서 사용된 지능화된 공격수법이라 할 수 있고, ANY Query 패킷을 전송함과 동시에 NS와 NS2에 질의를 함께 요청함에 따라 과부하 발생을 최대한 유도하였다.


DNS 서버의 부하증가를 시키기 위해서 일반적인 DNS Query 크기보다 상대적으로 큰 1300~1500 Bytes 값으로 Query 를 보내게 된다.

 
악성파일들은 다수의 변종들이 발견되고 있으며, nProtect Anti-Virus 제품에서는 대표진단명인 Trojan/W32.KRDDoS 탐지명으로 치료기능이 지속적으로 추가 중이다.

 




어나니머스에서는 웹기반의 DDoS 공격방식을 공개하였다. 이용자들이 단순히 웹사이트 접속만으로 북한의 특정사이트를 자동으로 공격하는 방식이다.


이 공격명령 스크립트에서 TARGET 사이트만 변경되면 특정 사이트에 대한 지속적인 공격이 가능하기 때문에 악용될 우려가 있다.


실제 일간베스트저장소 사이트를 통해서 청와대, 국정원, 새누리당 등을 공격하는 코드가 삽입되었던 것으로 확인됐고, 그외로 고시생 기숙사 관련 커뮤니티인 하방 사이트에도 악성 스크립트가 삽입되어 있었다.

그러나 하방 사이트의 경우 실제 웹하드 사이트에서 유포된 악성파일이 추가로 접속하는 C&C서버이고, 일반적으로 접속자가 많지 않은 편이기 때문에 공격자가 테스트 목적으로 등록했던 것으로 보여진다. 


일간 베스트는 6월 25일 오후 6시 30분경부터 모든 게시물이 "Hacked by anonymous_kor,anonsj, anonymous" 라는 내용으로 도배되었고, 어나니머스 코리아는 트위터를 통해서 "일베가 해킹당했다. 그러나 어나니머스는 하지 않았다" 라는 글을 올린 바 있다.

 


마치 어나니머스 소속의 트위터처럼 보여지는 hack********** 라는 사람이 일베를 탱고다운 시키겠다고 글을 올렸는데, 그 트위터 계정은 기존 Hacktivist(@anonymous_kor)와는 다른 계정이므로 오해해서는 안된다.

 


공격에 이용된 악성 스크립트 방식은 코드에 설정된 공격 대상 서버에 다량의 HTTP GET 요청을 통해서 악의적인 과부하 트래픽을 유발시키게 된다. 0.25[ms] 간격으로 공격을 수행하게 된다. makeHttpRequest Function 부분에서 실제 공격 URL 내용을 구성해 HTTP GET REQUEST 트래픽을 유발시킨다.

http://(공격 URL)?proc=(현재시간)&modules=(현재시간)
http://(공격 URL)?proc=(현재시간)&code=AnonymousID(현재시간)


어나니머스가 공개한 북한의 웹 사이트 공격하는 방식으로 국내 주요 정부기관 사이트가 동시에 공격을 받았다. 겉으로 보기에는 어나니머스가 국내 웹 사이트를 공격하고 있는 것처럼 보여질 수 있다. 그러나 이것은 공개된 공격전술을 상대방이 역이용하여 정치적으로 우호적인 웹 사이트에 심리전술을 교묘하게 가미한 지능적인 사이버전이라 할 수 있다. 


TARGET 사이트는 계속해서 변경되고 있다.



2013년 06월 25일 기점으로 어나니머스 코리아 SNS 등을 통해서 북한의 조선중앙통신(kcna.kp), 노동신문(rodong.rep.kr), 평양방송(gnu.rep.kr), 고려항공(airkoryo.com.kp), 벗(friend.com.kp), 평양상업대학(business-school-pyongyang.org), 평양대학(pust.kr), 조선체육기금(ksf.com.kp), 조선의소리(vok.rep.kp), 노소텍(nosotek.com), 여명민족화해협의회(ryomyong.com), 류경(ryugyongclip.com), 아리랑(alirang.org) 등이 마비되었다고 알려졌다.


또한, 어나니머스는 북한내 개인정보를 포함한 기밀문서를 일부 공개했는데, 이곳에는 북한 고위직 실무자 13명의 이름, 생년월일, 전화번호, 주소, 소속 등이 표기되어 있다. 그외의 정보들은 위키리크스를 통해서 공개한다고 한다.


한국의 경우 청와대와 국무조정실, 국정원 등 다수의 정부기관, 조선일보, 대구일보와 매일신문 기사송고시스템, 새누리당 지역 시도당 등의 일부 웹 사이트가 DDoS 공격을 받았다.

국제 해킹그룹 어나니머스는 며칠 전부터 2013년 06월 25일 12시 전후로 대대적인 북한 웹 사이트 공격을 사전예고한 바 있다. 그런 가운데 북한 웹 사이트 공격예정 시간보다 이른 06월 25일 10시 전후로 한국의 주요 정부기관 등의 웹 사이트가 선제공격을 받았다. 이처럼 예고된 북한 웹 사이트 공격은 단방향 사이버공격에서 양방향 사이버전쟁으로 촉발되고 있는 상황이다.

계속해서 수집된 악성파일과 공격 수법들에 대한 종합적인 분석이 진행되고 있는 상황이지만, 현재까지 파악된 정황으로는 어나니머스의 북한 사이트 공격과 북한내 고위직 인물들의 정보공개에 대한 보복성으로 한국내 주요 정부기관을 공격한 것으로 보이며, 이것은 사이버테러를 넘어 6.25 사이버전의 형태를 띄고 있다.

앞서 설명한 바와 같이 2013년 6월 25일 발생한 남북 웹 사이트의 침해사고는 사이버전(Cyber War)의 신호탄이라 말할 수 있고, 다양한 사이버 군사전술 및 전략이 동원되고 있다.

ⓐ 기습 전술

먼저 어나니머스가 사전예고한 2013년 06월 25일 오후12시 공격시간대 이전인 오전 10시 경 청와대 웹 사이트가 해킹되었고, 정부주요기관의 개인신상정보가 다량 노출되었다. 어나니머스 공격보다 선제공격을 감행하였다.

ⓑ 위장 전술

해킹된 청와대 홈페이지에는 "Hacked by Anonymous" 등 마치 어나니머스가 해킹한 것처럼 위장하였고, 시스템 파괴 및 해킹시 어나니머스 내용처럼 사칭하고 있다.

ⓒ 교란 전술

보수성향의 웹 사이트로 알려져 있는 일간베스트(일베) 웹 사이트는 6월 25일 오후 6시 30분경부터 모든 게시물이 "Hacked by anonymous_kor,anonsj, anonymous" 라는 내용으로 도배되었다.

 기만 전술

해킹된 청와대 홈페이지에는 "공격은 계속될껏이다. 우리를 기다리라. 우리를 맞이하라. 통일대통령 김정은장군님 만세!" 등 위기감을 조성하는 등 위협을 노골적으로 표현하였다. 또한, YouTube 동영상 사이트에 청와대 해킹 관련 동영상을 등록하였다.

 인해 전술

이용자가 많은 웹하드의 설치 및 업데이트 프로그램 변조를 통해서 짧은기간에 많은 좀비군단을 만들어서 정부기관의 웹 사이트를 공격할 수 있는 교두보 및 전초기지를 확보하였다.

 정보 전술

어나니머스가 SNS 등을 통해서 공개한 웹 사이트 기반의 Script DDoS 공격정보를 획득하여 동일하게 맞불작전에 활용하였고, 정부기관의 개인신상 정보를 고의적으로 공개하였다.

 심리 전술

일간베스트(일베)를 해킹하여 접속자로 하여금 청와대, 국정원, 새누리당 등의 웹 사이트를 공격하도록 하고, 그것이 마치 어나니머스가 사용하는 방식과 동일하다는 것을 은근슬쩍 퍼지도록 만든다.

 은폐 전술

DDoS 공격에 이용된 악성파일은 웹하드 설치프로그램에 은밀하게 숨겨져 있고, 분석 및 추적을 방해하기 위해서 대표적인 상용 패킹 프로그램인 Themida 로 실행압축을 하거나, Tor 통신을 통해서 안정성 및 익명성이 보장되는 분산된 프록시 네트워크를 이용한다.

ⓖ 파괴 전술

MBR 등 하드디스크를 파괴하거나 중요한 개인 데이터를 유출, 파괴시킨다. 특히, 파괴된 자료의 복원을 어렵게 하기 위해서 암호화 압축을 한 후 삭제한다거나, 파일의 내부 자료를 변경 한 후 삭제하는 기법이 이용된다. 실제로 언론사 뉴스 송고시스템을 마비시키는 등 파괴적인 동작이 보고된 바 있다.



2013년 06월 26일 주한 미군관련 사이트가 해킹되어서 메인페이지가 변경되었고, 미군관련 개인 신상정보가 다수 공개되었다.


2013년 06월 26일 오전 추가 공개됨

일부 악성파일의 경우 파괴기능을 이용해서 사용자 컴퓨터에 존재하는 파일의 코드를 변경하고 삭제하여, 복구를 어렵게 만들수 있다.

악성파일 전파에 악용되었던 심디스크와 송사리 사이트는 프로그램 설치본에서 악성파일을 제거하고 공지를 등록한 상태이다.





※ 6.25 Cyber War 파괴전술 수행 중!
 


6.25 사이버전과 관련하여 시스템을 파괴시키는 악성파일들이 발견되고 있다. 일부 언론사 등을 상대로 시스템 파괴 기능명령을 수행하고 있어 각별한 주의가 필요하다.

이번에 발견되는 악성파일은 7.7 DDoS, 3.3(4) DDoS, 3.20 금융 및 언론사 사이버테러 때와 마찬가지로 시스템의 중요한 파일들을 삭제한다. 또한, 하드디스크(HDD)의 마스터부트섹터(MBR)를 공격하는 기능도 기존과 동일하다.


시스템 파괴 기능이 동작하면 변종에 따라 바탕화면을 임의로 변경하거나 드라이브에 존재하는 모든 파일들을 삭제시도하기 때문에 갑자기 프로그램이 실행되지 않고 재부팅될 수 있다. 

아래 화면은 변경되는 바탕화면 이미지(desktop_image001.bmp)들이다.



악성파일은 사용자 계정 하위의 임시폴더(Temp) 경로에 임의의 이름을 가진 tmp.bat 파일을 생성하고 실행하는데, 이 파일 내부에는 어나니머스를 의미하는 anon 이라는 문자가 포함되어 있고, NET USER 명령을 이용하여 "highanon2013" 이라고 사용자 계정의 암호를 변경시도한다. 생성되는 파일명은 매번 가변적으로 만들어진다.

 


사용자 계정의 암호를 변경하는 BAT 파일은 일반적으로 이용되는 윈도우 시스템 계정들을 제외하고 생성하게 된다.

- NetworkService
- LocalService
- All Users
- Default Public
- Default User


계정을 변경하고 스스로 삭제하게 되는 BAT 파일도 삭제될 때 다음과 같이 임의의 값으로 파괴되고 삭제된다.



다음 화면은 악성파일에 의해서 시스템에 존재하는 파일들의 이름이 변경되는 화면이다.


파일명을 변경하고 삭제하여, 정상적으로 복원하더라도 어떤 파일인지 구분하기가 어려워 사용이 어렵다.


또한, 악성파일은 하드디스크의 마스터부트섹터 영역(MBR)을 파괴시도하기 때문에 nProtect MBR Guard 를 설치해 두면 MBR 파괴를 사전에 탐지하고 방어할 수 있다. 그러나 파일들도 동시에 삭제되기 때문에 악성파일을 탐지할 수 있는 nProtect AVS3.0 제품 등을 동시에 사용하는 것이 좋다.

[nProtect MBR Guard]
http://pds.nprotect.com/upload_file/pds_vaccine/nPMBRGuardSetup.exe




파괴동작을 수행할 경우에는 다음과 같은 확장자의 파일을 확인하며, 기존과 다르게 특정 언론기업을 의미하는 ".nms" 확장명과 웹 프로그램용으로 사용하는 ".do" 확장자가 포함되어 있는 것이 특징이다.

아래의 확장자를 가진 조건에 파일이름 문자가 8자리 범위안에 확장자가 3자리(DOS 8.3 파일명 규칙)일 경우 즉시 파일을 삭제시도한다. 대부분 실행파일(PE 구조)들이 여기에 포함된다.

*.sys
*.ocx
*.dll
*.exe

다음의 확장자를 가진 파일의 경우 파일의 맨 뒷부분에 0x80 값을 덧붙이고, 처음부터 특정 위치까지 임의의 특정코드를 덮어쓰기하여 복구를 어렵게 방해한다. 그리고 알파벳과 숫자조합에서 파일명만큼 랜덤한 문자로 파일명을 변경 후 삭제한다.

*.nms
*.png
*.jpeg
*.jpg
*.gif
*.bmp
*.mp4
*.wmv
*.mpeg
*.flv
*.mpg
*.avi
*.php3
*.php
*.do
*.jsp
*.asp
*.aspx
*.htm
*.html



청와대 홈페이지는 2013년 06월 28일 현재 아래와 같은 공지를 보여주고 있다.

 


추가로 발견된 악성파일에 의해서 시스템 파괴기능의 악성파일이 특정 사이트에서 다운로드되어 유입된 정황이 확인되었다.

해당 파일이 실행되면 가장 먼저 GetSystemDirectoryA API 함수를 이용하여 시스템 경로 하위에 "icfg" 이름의 폴더존재 여부와 속성을 확인 후 존재하지 않을 경우 "icfg" 이름의 폴더를 생성한다. 그 다음 국내 특정 호스트로 접속하여 08.gif 파일이 존재할 경우 다운로드하여 "icfg" 폴더에 "logo.gif" 이름으로 저장한다.


이후에 특정 호스트로부터 services.exe, lsass.exe 파일이 "icfg" 폴더에 생성되고 실행된다.



"services.exe" 파일은 실행시 OpenMutexA API 함수를 통해서 자신의 감염여부를 우선 체크하고, "RPCSECURITY_1358234201_56878293" 값이 존재하지 않을 경우 해당 Mutex 를 생성하고 실행된다.


ResourceType 에 "IMG" 이름의 "1013", "1014" 2개의 리소스를 포함하고 있으며, 각각 특정 네트워크의 IP 대역대 및 계정정보 등이 XOR 로직으로 암호화되어 있다.


XOR KEY 0x78 로 복호화가 완료되면 "1013" 리소스에는 특정 컴퓨터 및 네트워크 IP대역의 고유한 계정정보 등이 존재하며 "1014" 리소스에는 바탕화면 변경 및 각종 파일과 MBR 파괴기능의 악성파일이 존재한다.


"1014" 리소스에 숨겨져 있는 파괴기능을 보유한 악성파일은 윈도우 하위 임시폴더에 TMP(임의).nms 파일로 생성시킨다. TMP(임의).tmp 파일은 0바이트로 생성된다. 시스템 하위폴더에는 "wlandlg.nms" 파일을 생성하고 내부에는 "DCOMEventLaunch" 등과 같은 이벤트를 기록한다.


암호화되어 있던 리소스 "1013" 코드에 포함되어 있던 네트워크 설정값을 이용해서 임의 접속을 시도하고, 단순계정 정보의 사전대입법 등을 이용한다.

 


공유 네트워크에 연결된 컴퓨터 중에 단순한 암호를 사용하는 컴퓨터가 존재하는 경우를 확인하기 위해서 암호 사전대입공격 기법을 활용하거나 생성되는 파괴기능의 악성파일명이 다양하게 설치되어, 자신을 숨기기 위한 목적으로 하드코딩된 악성파일명을 선택적으로 선정한다.


공유 네트워크로 파괴기능의 악성파일을 전파시키기 위해서 TCP 139/445 포트를 통해 지속적인 네트워크 스캐닝을 진행하고 이 때문에 컴퓨터에 다소 부하가 발생하게 된다.


공유 네트워크의 접근이 가능할 경우 시스템 경로를 공유폴더로 설정하기 위해서 NET SHARE 명령을 이용하게 된다.


보안이 상대적으로 취약한 네트워크 공유폴더 설정이 성공하면, CopyFileA API 함수를 통해서 파괴기능의 악성파일을 복사시도하고, GetFileTime API 함수를 통해서 계산기(calc.exe) 파일의 생성시간으로 악성파일을 설치하여, 최근에 생성되지 않은 파일처럼 자신을 은폐시킨다. 그 이후에 NET SHARE shared$ /delete 파라미터를 이용해서 공유폴더를 제거하여 유입흔적을 지운다.


공유 네트워크에 생성되는 악성파일은 총 10가지(recdiscm.exe, taskhosts.exe, taskchg.exe, rdpshellex.exe, mobsynclm.exe, comon32.exe, diskpartmg.exe, dpnsvr32.exe, expandmn.exe, hwrcompsvc.exe)의 파일명 중 하나로 정해져 실행을 하게 되는데, 앞서 악성파일 숙주가 생성한 시스템 하위 경로의 "icfg" 폴더와 "lsass.exe" 파일 존재를 확인하고 존재할 경우 종료하고 없는 경우 실행된다.

"icfg" 하위 경로에 "lsass.exe" 이름의 악성파일이 존재한다는 것은 이미 네트워크에 악성파일을 전파시키는 Spread PC 로 활동을 하고 있었기 때문에 악성파일은 이 조건을 가장 우선적으로 체크하게 되는 것이다. 악성파일의 파괴기능은 이렇게 내부 공유 네트워크를 통해서 전파되는 과정을 거치며, 다양한 Case 조건에 따라 동작을 한다. 또한, 개별 인자선언에 따라 감염된 컴퓨터의 정보를 수집하거나 일부 윈도우 서비스 종료, 관리자 권한 설정, 바탕화면 이미지 설정 등의 명령을 수행하게 된다.

더불어 4,636 (0x121C) 바이트의 "i18n.nms" 파일이 존재하는지 크기를 비교하고, 내부에 암호화되어 저장되어 있는 실행시간 정보와 MBR 파괴 및 암호 변경 등의 정보를 비교하는데 사용한다.

"lsass.exe" 파일은 실행시 (임의파일명).tmp.bat 파일을 생성하고 실행하여 감염된 컴퓨터의 계정 암호를 "highanon2013" 으로 변경하여 기존사용자가 로그인하지 못하게 방해한다.



해킹된 피해 컴퓨터는 로그인 암호가 변경되었기 때문에 "hinganon2013" 으로만 로그인이 가능하고, 공격자는 자신만이 감염 컴퓨터에 접근할 수 있도록 조치하는 기법을 악성파일 변종마다 다양하게 사용했다.


윈도우 임시폴더(Temp) 경로에 "_dbg_log.nms", "_dbg_log_(PID).nms" 형식의 파일을 생성하고, 각종 컴퓨터 정보를 저장한다
.

 


"_dbg_log.nms" 파일에는 개별적으로 실행된 프로세스별(PID) 디버그(Debug) 로그를 종합하여 기록하며, "AccessNetMgr" 서비스로 자신을 등록한다. 또한, 시작시간 및 각종 명령어의 로그를 기록해서 악성파일 전파서버로 활용하기 위한 준비과정으로 추정된다.


악성 파일은 AccessNetMgr" 이라는 이름의 서비스로 자신을 등록하며, 설명에는 마치 모바일 브로드밴드 관련 내용추럼 위장하고 있다.

This service manages mobile broadband (GSM & CDMA) data card/embedded module adapters and connections by auto-configuring the networks. It is strongly recommended that this service be kept running for best user experience of mobile broadband devices.


시스템 폴더에는 "ibmcenter.nms" 이름의 설정파일을 생성한다.


"lsass.exe" 파일도 내부적으로 MBR 파괴명령을 수행할 수 있도록 기능을 가지고 있다.


6월 25일 청와대 홈페이지가 해킹을 당한 오전 9시 전후로 티브로드, 아름방송, 제주방송, 이데일리TV, 한국정책방송 KTV 보도정보시스템이 해킹으로 뚫렸다고 일부 언론사를 통해서 공식 보도화 되었다. 더불어 매일신문과 대구일보 등 대구지역 신문사 2곳의 기사작성 송고시스템도 알 수 없는 장애가 발생하였던 것으로 언론을 통해서 알려졌다. 

[ZDNet Korea]
http://www.zdnet.co.kr/news/news_view.asp?artice_id=20130625183656&type=xml

[전자신문]
http://www.etnews.com/news/computing/security/2788510_1477.html 

일부에선 영상이 삭제되는 피해를 입었다고 알려졌으며, 이데일리TV 관계자는 오전에 갑작스럽게 내부 컴퓨터 화면에 어나니머스를 상징하는 바탕화면이 뜨고, 시스템이 불통됐다고 밝혔다. 티브로드는 종합유선방송사업자(System Operator)의 지역뉴스를 만드는 보도시스템 서버가 해킹을 당했다고 한다.

아름방송의 경우 2013년 07월 03일 현재까지도 웹 사이트가 정상적으로 운영되지 못하고 있는 상황이다.

 


잉카인터넷 대응팀은 2013년 06월 25일 오전 6시경에 제작된 악성파일이 어떤 과정을 통해서 특정 신문사의 내부에 전파되었고, MBR 및 데이터를 파괴했는지 프로파일링과 타임라인을 통해서 확인된 내용을 최초로 전격 공개한다. 신문사에 따라 공격에 이용된 일부 악성파일은 2013년 03월 초에 제작된 경우도 존재하고 데이터 파괴 기능용은 2013년 06월 25일 제작된 것이 존재한다. 


다양한 신문사가 공통적으로 사용하는 집배신 프로그램(기사를 올리고 고치는 내부 인트라넷)이 악성파일 전파 매개체로 이용되었다.

특정 악성파일의 코드분석에 의해 공식 확인된 바에 의하면
신문사 내부적으로 활용하는 보도제작 및 관리 프로그램의 업데이트 기능을 해킹하고 변조하여 네트워크에 은밀하게 전파시켰던 것으로 파악되었고, 2009년 7.7 DDoS 때 부터 최근 3.20 사이버테러까지 Updater 프로그램을 공격통로로 동일하게 사용하고 있다.

http://desk.non****.com/data/UPDATER/UpdateRoot/ProgramInstall/**Updater/**updater.exe
http://desk.ida***.com/data/UPDATER/UpdateRoot/ProgramInstall/**Updater/**updater.exe
http://nsx.her****.com/data/UPDATER/UpdateRoot/ProgramInstall/**Updater/**updater.exe


업데이트 프로그램에 악성파일을 교묘하게 추가하고, 별도의 다운로드 기능 등을 추가하였다. 이렇게 업데이트 프로그램이 변조되면 이용자가 새로운 패치작업을 하는 과정에 악성파일에 노출되게 되며, 신문사나 환경에 따라 악성파일은 맞춤형으로 제작되었다.



우선 금번 신문사 내부 프로그램의 업데이트 기능을 위변조하여 악성파일을 설치했던 기능설명에 앞서 국내에서 발생했던 다수의 사건들과 어떤 부분에서 유사한지 먼저 정리해 보고자 한다.

2009년 07월 04일(미국 독립기념일)부터 발생한 7.7 DDoS 공격과 2011년 03월 03일부터 발생한 3.3(4) DDoS 공격 등은 특정 웹하드 업체들이 사용하는 다운로드 프로그램을 변조하여 업데이트 시 악성파일에 노출되도록 이용하였고, MBR 파괴 등을 삭제하는 공격적 기능도 함께 수행하였다.


2011년 04월 12일 발생한 농협 전산망에 대한 대규모 마비사태도 서버 유지보수를 담당하고 있는 외주업체 직원 한국IBM 한모씨가 2010년 09월 04일 경 특정 웹하드를 통해서 악성파일에 감염되면서 최대 7개월 가량 최고위 관리자 암호 등 전산망 관리를 위한 각종 정보가 탈취되고, 도청 프로그램이 설치되었던 것으로 밝혀진 바 있다.

2013년 03월 20일 발생한 방송사와 금융기관에 대한 사이버테러는 북한이 적어도 8개월 전부터 치밀하게 준비해 감행한 것이라는 것을 정부에서 공식발표한 바 있고, 악성파일은 기업내부에서 사용하는 특정 보안기업의 중앙관리서버와 업데이트 기능 등을 통해서 내부 사용자들에게 전파된 사례가 공개된 바 있다.

2013년 05월 31일 감지된 3.20 변종 악성파일의 경우는 특정 보안제품의 업데이트 모듈을 통해서 은밀하게 전파 중이던 정황이 이스트소프트에 의해서 최초 포착되었고, 잉카인터넷 대응팀과 연합으로 공조대응하여 조기에 차단조치함으로써, 추가적인 피해가 발생하는 것을 미연에 방지할 수 있었다.

상기 사례를 비추어 일련의 과정을 종합적으로 비교해 보면 공통적으로 Drive By Download 방식을 사용하지 않는 다는 점이다. 그들은 파일 공유 사이트(웹하드) 등에서 사용하는 정상 프로그램을 고의적으로 변조하거나 특정 보안솔루션의 서비스를 교묘하고 치밀하게 악용하고 있다. 이런 수법은 각종 보안 취약점을 이용해서 불특정 다수가 방문하는 웹 사이트를 통해서 전파시키는 악성파일 감염방식과는 크게 구분된다. 따라서, 웹 사이트 방문만을 통해서 전파되는 악성파일이나 해킹 여부만을 집중관제하는 방식으로는 사전 탐지자체가 불가능에 가깝고, 매우 은밀하고 조용하게 특정조직들을 상대로 공격이 감행되고 있다는 것이다.

2013년 06월 25일부터 발생하고 있는 6.25 사이버전도 같은 맥락에서 중요한 공통점이 확인되었고, 그것은 바로 일부 신문사에서 사용하는 특정 프로그램의 업데이트 기능을 악용하여 악성파일 전파에 역이용되었다는 점이다. 대표적인 사례를 공개하면 아래와 같다.


먼저 해당 악성파일은 MutexName 값을 "HighAnon_Teras1" 이라고 생성하여 중복적으로 악성파일이 실행되지 않도록 만든다. HighAnon 이라는 문자열은 앞서 여러차례 언급한 바와 같이 6.25 사이버전용 악성파일과 해킹사고에서 꾸준히 사용되고 있는 문자열이다. 일종의 작전명(Operation)이라 볼 수 있고, Teras 는 사전적인 의미가 경사지 따위를 층층으로 깎은 대지 또는 베란다라는 명사로 사용되는데, 마치 테라스에서 공격지를 관제하고 지령을 내린다는 의미로 명명된 것으로 보인다.



C&C 서버인 210.127.39.29 호스트로 접속을 시도하지만 현재는 정상적으로 통신하지 않고, 다양한 Multi C&C 가 존재한다.


악성파일은 내부에 4개의 리소스를 가지고 있고, "150" 항목의 리소스에는 특정 프로그램의 업데이트 설정값이 포함되어 있다. 이 데이터와 FindResourceExA API 함수를 통해서 특정 신문사의 서버경로에 존재하는 정상프로그램을 악성파일로 교체하는 작업을 수행하게 된다.



파일에 포함되어 있는 리소스는 High Anon 의 약자인 HA 라는 문자열과 영문 숫자 등이 임의로 조합되고, 사용자 계정 하위의 임시폴더(Temp)에 tmp 확장자명으로 생성한다.



tmp 파일 중 일부는 악성파일이 실행된 시스템 하위의 "icfg" 경로에 nms 라는 확장자명으로 일부 파일을 생성한다. 파일은 "bex.nms", "dex.nms", "xl.nms" 등이다.



"dex.nms" 파일은 해당 신문사의 서버에 변조되어 등록된 다운로더 기능의 악성파일이며,  2013년 06월 25일 오전 6시 경에 제작되었다.


"xl.nms" 파일은 모듈 업데이트에 사용되는 XML 파일이며, 특별히 Hash 무결성 체크 등의 기능이 없고, 데이터 베이스 암호화 등에 대한 보안기능이 전혀 적용되어 있지 않아 상대적으로 쉽게 변조가 가능한 상태이다.


상기와 같이 정상적인 프로그램의 모듈 업데이트 기능과 내용을 위변조하여 특정 신문사 내부의 네트워크에 다수의 악성파일을 전파시키는 용도로 사용하였다. 특히, 감염된 컴퓨터의 모든 드라이브에 존재하는 데이터 및 MBR 파괴의 기능이 작동하여 수 많은 데이터가 유실되는 피해가 발생하게 된다.

잉카인터넷 대응팀은 2013년 06월 25일부터 1주일 넘게 지속적인 악성파일 추적 및 역학조사를 수행하고 있으며, 아직까지도 알려지지 않은 악성파일이 다수 존재할 것으로 보고 있다.

2009년 7.7 DDoS 대란 때부터 7.1 사이버 전까지 사이버공격을 일삼는 조직들은 보안 모니터링을 우회하고, 특정 기업 및 조직에 대한 전문화된 정찰 및 침투, 정보수집과 공격 등을 반복적으로 수행하고 있다는 점을 필히 명심하여야 한다. 더불어 각종 정상 프로그램의 업데이트 기능을 악용하는 공통점이 있다는 점에 주목하고, 보안성 강화에 다양한 투자와 관심이 요구되어진다. 또한, Drive By Download 기법을 통해서 불특정 다수에게 전파되는 온라인 게임 및 금융정보 탈취형태의 사이버범죄형 악성파일 종류와는 공격기법과 목적이 크게 다르다는 것을 잊지 말아야 한다. 




동일조직이 개발한 것으로 의심되는 악성파일 중 일부 파일이 게임방 클라이언트 관리(업데이트) 프로그램을 통해서도 전파된 정황이 포착되었다. 현재 해당 관리 프로그램은 다운로드가 중단된 상태이다. 공격자들은 PC방 컴퓨터들을 상대로 지능적인 공격을 수행하기도 하였다. 이번에도 동일하게 업데이트 기능을 악용한 사례이다.

http://www.game******.co.kr/pds/Client_setup.exe


해당 프로그램의 개발사는 2013년 07월 04일부터 설치파일 다운로드를 중단한 상태이고, 다음과 같은 공지를 안내하고 있다.


PC방 관리용 설치프로그램에는 수정한 날짜가 2013년 06월 14일 오전 8시 44분으로 지정된 "Setuplnit.exe" 파일이 포함되어 있다.


"Setuplnint.exe" 파일은 마치 셋업용 초기화 기능처럼 보이도록 파일명이 명명되어 있으며, 2013년 06월 14일 오전 8시 42분에 제작되었다.


여기서 정상 PC방 관리프로그램의 모듈을 악성파일로 변조하는 시점은 매우 지능적이라 할 수 있다. 대부분의 PC방 업체들은 효율적인 컴퓨터 관리목적으로 특정시점을 지정하여 재부팅시 자동으로 초기화하거나 복원되도록 복구시점을 별도로 지정해서 사용한다. 복구지점 안에 포함만 되면 악성파일의 생존력은 극대화되고 장기간 잠복 및 침투활동을 연속으로 이어갈 수 있고, 상황에 따라 자동복원되는 불사조 좀비군단으로 활용할 수 있기 때문이다.

실제 해당 PC방 업체는 2013년 06월 13일 오전 10시에 프로그램 업데이트를 공지하였고, 해당 프로그램은 06월 14일에 악의적으로 변조되었기 때문에 많은 PC방 업체들이 게임관리용 클라이언트 프로그램 교체 작업시점 및 복구지점 범위에 포함되었을 가능성이 높다. 이는 매우 지능적으로 PC방 내부 관리체계를 잘 알고 있었다는 반증이며, 적절한 업데이트 타이밍을 노렸다는 점이 주목된다.


악성파일에 감염된 채 복원시점을 지정한 경우에는 문제가 없는 최신버전으로 반드시 교체하여야 한다. 해당 프로그램 개발사에 의하면 2013년 07월 08일부터 제공할 예정이라고 공지한 상태이다.



저작자 표시
신고
Posted by nProtect
1. 국내 인터넷 뱅킹 이용자를 노린 피싱


잉카인터넷 대응팀은 최근들어 국내 휴대폰 이용자들에게 인터넷 뱅킹 보안 승급(강화) 서비스를 사칭해서 개인 금융정보(주민번호, 이름, 계좌번호, 비밀번호, 보안카드 일련번호,  보안카드 비밀번호 등) 탈취 및 피싱 시도용 단문 문자 메시지(SMS)를 무차별적으로 배포하고 있는 것을 확인하였다. 이러한 가짜 인터넷 뱅킹 홈페이지에 자신의 실제 금융 정보를 입력할 경우 제 3자에 의해서 "실제 예금 인출 사고"를 입을 수 있다는 점에서 매우 각별한 주의가 필요하다. 또한, 거의 매일 가짜 웹 사이트가 만들어지고 있다는 점에서 사용자들은 아래 사례를 통해서 유사 사기성 수법에 속지 않도록 주의하여야 한다.



문자메시지 서비스를 이용해서 전파되는 이런 문자 피싱(SMS Phishing)수법은 기존의 보이스 피싱(Voice Phishing)과는 다르게 직접 전화통화를 하는 방식이 아니기 때문에 불특정 다수에게 짧은 시간동안 동시다발적으로 문자 사기 시도를 할 수 있다는 점에서 구별되며, 사용자의 중요 정보가 한꺼번에 동시 탈취될 수 있다는 특징 때문에 유출된 정보가 잠재적인 위협 요소로 꾸준히 작용될 것으로 우려된다. 

[칼럼]특명! 사이버 은행강도로부터 당신의 금융자산을 보호하라.
http://erteam.nprotect.com/374

[주의]금융자산예방서비스 사칭! 믿는도끼에 발등 찍힌다.
http://erteam.nprotect.com/373

[주의]무료 동영상에 숨겨진 검은 그림자, 당신의 예금을 노린다.
http://erteam.nprotect.com/371

[위험]전자금융사기용 악성파일(KRBanker) 시스템 파괴 기능 탑재
http://erteam.nprotect.com/370

[긴급]KRBanker 새로운 변종 애플 아이콘으로 위장!
http://erteam.nprotect.com/366

[주의]KRBanker 변종 시티은행 피싱 목록 추가!
http://erteam.nprotect.com/365

[긴급]KRBanker 전자금융사기용 허위 예방 서비스로 사용자 유혹
http://erteam.nprotect.com/347

[정보]보안승급 사칭 전자금융사기 기승, 사이버 금융범죄와의 전쟁
http://erteam.nprotect.com/344

[칼럼]국내 인터넷 뱅킹 보안위협 절대 남의 일이 아니다!
http://erteam.nprotect.com/341

[주의]국내 인터넷 뱅킹용 악성파일 BHO 기능 겨냥
http://erteam.nprotect.com/340

[주의]인터넷 뱅킹 보안강화(승급) 서비스는 전자금융사기의 덫
http://erteam.nprotect.com/339

[긴급]국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포
http://erteam.nprotect.com/293

2. 사용자 정보 유출 시도 과정

우선 불특정 다수의 휴대폰 이용자들에게 다음과 같은 단문 문자 메시지(SMS)가 발송되고 있는데, 공격자는 이미 수 많은 사람들의 휴대폰 번호 등의 개인정보를 불법적으로 수집하고 도용하고 있는 것으로 추정된다.

대체적으로 국내 유명 금융권을 사칭한 내용으로 문자 메시지가 발송되는데, 국민은행, 우리은행, 농협 등 시중은행들의 인터넷 뱅킹 웹 사이트처럼 교묘하게 꾸며진 가짜 웹 사이트 URL 주소를 발송하고 있다.

ⓐ 문자 메시지 수신

아래 공개된 피싱 사이트들은 현재는 모두 접속이 차단된 상태이며, 지속적으로 새로운 곳이 만들어져 유포되고 있다.



문자 메시지에는 "ㅇㅇ은행입니다. 포털사이트 정보유출로 보안승급 후 이용해 주세요 ***bank.com" 과 같은 형태로 구성되며, 발신 전화번호 역시 실제 해당 은행의 콜센터 번호처럼 속이는 경우가 많다.

또한, 가짜 웹 사이트는 금융권과 한국인터넷진흥원(KISA) 등 유관기관을 통해서 신속하게 차단이 이뤄지고 있지만, 하루가 멀다하고 계속해서 새로운 가짜 웹사이트가 등장하고 있기 때문에 유사한 형태의 공격 수법이 지속적으로 이용될 것으로 보여진다. 최근 몇 년까지는 전화 사기라는 일명 "보이스 피싱" 형태가 사회적인 문제로 대두된 바 있었는데, 많은 계도와 홍보 그리고 ATM 기기의 음성 안내 등 다양한 홍보에 따라서 이번과 같은 새로운 방식으로 피싱 기법이 진화하고 있는 것으로 추정된다.

아울러 최근에는 인터넷 접속이 가능한 스마트폰 이용자가 많아진 점과 유명 인터넷 웹사이트 등을 통해서 유출된 개인정보(전화번호 등)가 이러한 문자 사기에 악용되고 있는 것으로 추정된다.

ⓑ 보안 승급 서비스 사이트로 연결

최근에 발견되는 것들은 대부분 포털 사이트 정보 유출로 인하여 보안승급 후 이용하라는 접속 유도 방식을 사용하는데, 보안 강화라는 문구를 사용하는 경우도 발견된 바 있다. 따라서 유사한 형태로 계속적으로 변경될 가능성도 높다.

문자 메시지로 받은 웹 사이트로 연결을 할 경우 다음과 같이 실제 인터넷 뱅킹 웹 사이트처럼 화면 전체가 교묘하게 제작되어 있다.


웹 사이트에는 마치 인터넷 뱅킹 고객을 위한 보안승급서비스 처럼 꾸며져 있지만 모두 조작된 가짜 화면이며, "보안승급바로가기" 버튼이나 "일부 메뉴" 등이 모두 사용자의 개인정보 입력을 유도하고 탈취 시도하는 허위 링크로 연결된다.

또한, 일부 메뉴나 카테고리를 클릭할 경우 "안전승급 하신 뒤 이용해 주세요.." 라는 팝업 창을 띄어 다른 기능은 모두 사용이 안되는 것처럼 만들어져 있다. 따라서 이용자는 어쩔 수 없이 보안승급서비스를 진행하도록 선택을 제한시키고 정보 탈취 시도용 웹 사이트로 연결을 유도시킨다.


ⓒ "보안승급바로가기"는 개인정보 유출의 시작

사용자가 "보안승급바로가기" 버튼을 클릭하게 되면 다음과 같이 개인정보를 위한 이용자 동의사항을 보여줌과 동시에 이용자의 실명과 주민등록번호를 입력하도록 유도한다. 

 


화면의 중앙 아래쪽에는 첫 번째 개인정보 입력을 요구하는 화면이 보여지고, 사용자로 하여금 이름(실명)과 주민등록번호를 입력하도록 유도하는 내용이 보여지고, 확인 버튼을 클릭할 경우 정보 유출과 함께 다음 페이지로 연결된다.


주민등록번호는 나름 체크 기능을 가지고 있어 잘못된 형식이 입력될 경우 다음과 같이 재입력을 요구하도록 만들어져 있기도 하다.

그렇지만 "주민"이 아닌 "주문등록번호"와 같이 허술하게 오타가 포함되어 있는 모습을 볼 수 있다.

 


ⓓ 중요 금융정보 본격 탈취 시도

실명 이름과 주민등록번호가 정상적으로 입력되면 피싱 웹 사이트는 다음과 같이 본격적으로 개인용 금융정보 탈취를 시도하게 되는데, 계좌번호/계좌비밀번호/보안카드일련번호/보안카드번호 등 인터넷 뱅킹에 사용되는 대부분의 정보를 입력하도록 요구한다.

또 다른 경우에는 OTP카드 사용자 여부를 체크하는 화면을 보여주기도 한다.
 


인터넷 뱅킹 서비스에서 어떠한 경우라도 보안카드의 모든 번호를 요구하는 경우는 절대 없으므로, 이렇게 개인의 중요한 정보를 모두 요구하는 경우는 100% 사기성으로 판단해도 무관하다.


만약 사용자가 이 내용을 모두 입력하고 확인버튼을 누르게 되면 해당 금융정보는 외부로 유출이 되고, 이러한 정보를 수집하는 공격자는 추후 불법적으로 공인인증서를 재발급 받거나 탈취하여 예금 인출을 시도할 수 있게 된다.

참고로 국민은행 이외에도 다른 금융권처럼 만들어진 경우도 이미 다수 보고된 바 있고, 마찬가지로 유사사례의 공통점은 모두 보안승급, 보안강화 서비스처럼 허위내용으로 사용자의 금융정보 입력을 과도하게 유도한다.



다시 이어서 확인 버튼을 클릭하게 되면 "처리가 완료되었다"는 간단한 메시지를 보여주는 경우도 있고, 다음과 같이 "완료되엿습니다", "배전의 노력을 다하겠습니다." 처럼 한글 맞춤법에 어긋난 안내 문구 화면이 출력되는 경우도 있다.
 


피싱 웹 사이트는 도메인을 추적해 본 결과 미국 IP소재로 확인되었으며, 중국쪽에서 호스팅된 것으로 추정된다. 지속적으로 도메인이 1년 단위 정도로 생성되는 것으로 보아, 공격자는 도메인 호스팅 서비스의 권한을 불법적으로 탈취하여 악용하고 있는 것이 아닌가 의심된다.

 


3. 마무리

그동안 전화사기(보이스 피싱)의 경우 주변의 많은 피싱 수법 사례 공개와 다양한 피해 예방 노력 등으로 어느정도 긍정적인 차단효과가 발휘되고 있다. 전화사기 성공율이 그 만큼 낮아졌기 때문에 공격자들은 끈질기게 다른 방식을 노리고 있는 것으로 추정된다. 따라서 인터넷 뱅킹 이용자들은 늘 방심하지 말고 각별한 주의를 기울이는 자세가 필요하다.

정상적인 인터넷 뱅킹 서비스에서는 보안카드의 모든 암호를 입력하도록 요구하는 경우가 없다는 것을 명심하고, 이러한 요구 페이지에 속지 않도록 유념해야 하며, 마치 심각한 내용처럼 포장된 문자메시지나 공지사항을 받을 경우 당황하지 말고 침착하고 신중하게 대처할 필요가 있겠다. 특히, 이렇게 개인정보를 다수 요구하는 의심사이트를 목격하게 되면 해당 은행사이트나 한국인터넷진흥원(KISA) 등에 신속하게 신고하고 SNS 등을 이용해서 주변에 널리 알리는 것도 좋은 방법 중에 하나이다.


저작자 표시
신고
Posted by nProtect

■ 변화무쌍한 국내 인터넷 뱅킹 위협의 실체추적 : 잉카인터넷 대응팀은 국내 인터넷 뱅킹 이용자들의 예금탈취를 전문적으로 노리고 있는 이른바 KRBanker 악성파일들이 지속적으로 급증하고 있어 각별한 주의가 필요하다는 보안권고를 여러차례 공지하고 강조한 바 있다. 현재 이 시간에도 전자금융사기용 악성파일(KRBanker)은 변종이 꾸준히 발견되고 있고, 활개를 치고 있는 만큼 개인 금융 보안의식이 그 어느때보다 절실히 필요한 시기이다. 잉카인터넷 대응팀은 이에 대한 긴급조치로 국내 금융 보안위협에 대한 적신호를 자체 발령하고 보안 사각지대와 전자금융사기에 대한 상시 집중 모니터링을 수행하고 있다.

한국을 겨냥한 파이넨셜 악성파일 제작자들은 조직적으로 다수가 운영되고 있는 것으로 추정되며, 변신의 귀재인 카멜레온 마냥 변종들을 끊임없이 양산하여 유포시키고 있다. 2012년 6월 경 국내 언론사를 통해서 『중국 현지에서는 국내 인터넷 뱅킹용 피싱사이트를 전문적으로 제작해서 공급하는 범죄조직이 존재』한다는 취재내용이 보도된 바 있었고, IP주소를 추적해 본 결과 중국 지린성에서 활동하고 있는 것으로 밝혀진 바 있다. 또한, 약 200만원의 비용만 지불하면 누구나 쉽게 피싱사이트를 쉽게 구매할 수 있고, 인터넷에 이와 관련된 홍보성 광고글이 암암리에 게재되고 있기도 하다.

한국인터넷진흥원(KISA)에 따르면 국내 기관을 사칭한 피싱사이트 발견건수가 2006년부터 2010년까지는 총 20건에 불과했지만, 2011년 1,849건으로 증가했고, 2012년 1분기에만 1,218건으로 급증하는 등 폭발적인 증가세를 보이고 있다. 이런 증가추세의 배후에는 전문적인 피싱사이트 제작업자들이 연관되어 있을 가능성이 매우 높다. 이런 근본적인 환경적 연결고리를 제거하지 못한다면 2013년에도 피싱사이트와 악성파일은 수치적 증가와 더불어 기술적 진화가 가속화될 것으로 전망되고 우려된다.

■ 전자금융자산의 최종방어선 보안카드를 숨겨라 : 보안카드는 그 이름처럼 보안이 주된 역할이다. 자신의 전자 금융예금을 안전하게 보호하기 위해서 보안카드는 예금 이체와 인출 등의 주요 승인절차에 활용된다. 그 만큼 보안카드는 말 그대로 보안이 철저하게 중시되어야 한다. 정상 금융권에서는 어떠한 경우에도 보안카드의 전체 비밀번호를 한꺼번에 요구하지 않는다. 만약 전자금융 서비스 이용자가 금융 피싱 사이트에 현혹되어 보안카드의 전체번호를 모두 입력했다면, 그 순간 물리적 보안카드는 유명무실한 비보안카드로 한순간에 전락하게 된다.

지금 이 시간에도 KRBanker 악성파일과 스마트폰 SMS 등 다양한 매개체를 통한 전자금융 피싱시도는 현재 진행형이다. 전자금융사기 범죄조직들은 피싱사이트를 활용해 보안카드의 전체 비밀번호를 확보하기 위해 끊임없이 불법적 해킹과 피싱시도를 진행하고 있다. 이용자들이 느끼기에 진짜보다 더 진짜에 가깝게 보이도록 정교하게 피싱사이트를 제작해서 금융서비스 이용자들을 유혹하는 경우가 급증하고 있고, 실제 피해사례도 속속 보고되고 있다는 점을 명심하고 또 명심해야 한다. 한순간의 보안불감증이 돌이킬 수 없는 금전적 피해로 이어질 수 있다는 점 절대 잊어서는 안될 것이다.

근래 변화하는 전자금융사기형태를 보면 악성파일(KRBanker)을 통한 피싱사이트 연결이 대표적이라 할 수 있다. 피싱사이트는 이용자의 심리를 이용해 주요 개인 금융정보 편취와 공인인증서(NPKI)탈취 등을 손쉽게 수행한다. 보통은 【보안승급서비스】【보안강화서비스】【전자금융사기 예방서비스】【금융자산 예방서비스】등의 문구로 사용자를 현혹하고 유인한다. 보통 과거에는 해킹용 원격제어 프로그램을 감염시켜 사용자가 편의상 스캔하여 보관해 둔 보안카드 전체 이미지를 훔쳐내는 수법을 이용하는 경우가 있었다. 반면 최근에는 피싱사이트를 통해서 사용자 스스로 보안카드의 전체 비밀번호를 입력하도록 유혹한다는 점에서 이용자 스스로의 보안의식이 정말로 중요한 시점이다.

■ 제안! 금융 보안위협 스마트하게 합동 방어하자 : 일명 금융전화사기라는 용어로 널리 알려져 있는 이른바 보이스피싱은 과거 많은 피해자가 속출하면서 사회적인 문제로 여러차례 대두된 바 있다. 그에 따라 공중파 등 다양한 매체를 통해 피해 주의보가 거듭 발령된 바 있다. 금융권에서도 적극적인 사전 홍보와 실제 피해사례를 통한 예방법 안내 등 다각적인 노력을 통하여 전국민 모두가 보이스피싱의 수법을 인지하고 자각하여 스스로 예방할 수 있게 하는 시스템적 효과를 거두었다. 특히, ATM 기기 등에서 전화통화를 하면서 계좌이체 등을 진행할 경우 각별한 주의가 필요할 수 있도록 음성과 문구 등을 서비스 절차에 포함시켜 보이스피싱의 피해를 예방하고 최소화할 수 있도록 체계를 개편하였다.

전화금융사기(보이스피싱)처럼 많은 사용자가 전자금융사기 수법도 스스로 인지하고 예방할 수 있다면 그 만큼 이상적일 수는 없을 것이다. 그러나 전자금융사기 범죄조직들도 점차 지능화되고 있다는 점을 절대 잊어서는 안된다. 개인금융 정보 뿐만 아니라 보안카드의 전체 비밀번호가 완벽하게 보호된다면 자신의 소중한 금융자산이 불법적으로 외부로 유출되는 대형 금융사고는 미연에 예방할 수 있다. 개인별 보안의식도 중요하지만, 서비스적인 보안시스템도 필요하다. 만약 가능하다면 국내 각 금융사에서 새로 발급되는 보안카드 전면에 인터넷 뱅킹 이용시 보안카드의 모든 비밀번호를 절대 입력하지 않도록 특별한 권고 및 주의안내 문구를 식별하기 좋은 방식으로 디자인하고 삽입하는 것도 한가지 좋은 방법이 되지 않을까 제안해 본다.
@잉카인터넷 대응팀장 문종현

[참고자료]

[주의]금융자산예방서비스 사칭! 믿는도끼에 발등 찍힌다.
http://erteam.nprotect.com/373

[주의]무료 동영상에 숨겨진 검은 그림자, 당신의 예금을 노린다.
http://erteam.nprotect.com/371

[위험]전자금융사기용 악성파일(KRBanker) 시스템 파괴 기능 탑재
http://erteam.nprotect.com/370

[긴급]KRBanker 새로운 변종 애플 아이콘으로 위장!
http://erteam.nprotect.com/366

[주의]KRBanker 변종 시티은행 피싱 목록 추가!
http://erteam.nprotect.com/365

[긴급]KRBanker 전자금융사기용 허위 예방 서비스로 사용자 유혹
http://erteam.nprotect.com/347

[정보]보안승급 사칭 전자금융사기 기승, 사이버 금융범죄와의 전쟁
http://erteam.nprotect.com/344

[칼럼]국내 인터넷 뱅킹 보안위협 절대 남의 일이 아니다!
http://erteam.nprotect.com/341

[주의]국내 인터넷 뱅킹용 악성파일 BHO 기능 겨냥
http://erteam.nprotect.com/340

[주의]인터넷 뱅킹 보안강화(승급) 서비스는 전자금융사기의 덫
http://erteam.nprotect.com/339
저작자 표시
신고
Posted by nProtect
2012년 한 해 동안 수 많은 보안위협과 사고가 발생하였다. 해를 거듭할 수록 다양하고 새로운 기법의 보안위협이 지속적으로 발생하고 있다. 잉카인터넷 대응팀에서는 이러한 보안 위협들을 다시 한번 되짚어 보고, 내년에 발생가능한 보안이슈을 예견해 보고자 한다. 이는 과거에 발생했던 보안위협들을 기초로 앞으로 발생 가능한 보안위협을 전망하고, 그에 따른 사전대응 방안을 마련하는데 기초자료로 활용하는데 그 주 목적이 있다. 이에 잉카인터넷 대응팀에서는 다음과 같이 2012년 10대 주요 보안위협 이슈를 선정하여 발표한다.
 
대표적인 2012년 10대 보안 키워드로는『▶안드로이드 위협 본격상륙 ▶표적공격 기승 ▶전자금융사기 활개 ▶성인동영상 악성파일 기승 ▶온라인 게임계정 탈취 봇물 ▶사회공학기법 꼼수 ▶SNS 악성파일 매개체 ▶정상프로그램 위변조 ▶사이버 협박범 랜섬웨어 ▶사이버무기 창궐』등이 있다.



01. 안드로이드 보안위협 폭발적 증가와 국내상륙 공식발견

안드로이드 기반의 스마트폰 이용자가 기하급수적으로 증가함에 따라 안드로이드 이용자를 겨냥한 보안위협도 비례적으로 증가추세를 보이고 있다. 2012년은 외산 안드로이드 악성앱 변종들이 폭발적으로 증가한 한해이다. 한편 잉카인터넷 대응팀에서는 2012년 01월 06일 국내 대표포털 사이트의 공식자료실에서 개인정보 유출형 안드로이드 악성앱이 배포된 사실을 국내최초로 발견하였고, 약 41명의 이용자가 다운로드 한 것을 확인하였다. 이것은 안드로이드 악성앱이 국내에 상륙한 첫 번째 사례로 공식집계된 바 있고, 국내도 모바일 보안위협의 안전지대가 아니라는 점이 다시금 확인되었다.

특히, 4/4분기에는 국내 이동통신사 이용자를 직접적으로 정조준한 한국형 안드로이드 보안위협이 현실화되었다. 안드로이드 기반의 스마트폰 이용자들을 표적으로 마치 "스팸차단 프로그램", "이용요금 명세서", "요금과다청구 환급금조회" 등의 내용으로 사칭하여 악성앱(KRSpammer)을 설치하도록 시도하였다. 이는 본격적인 한국형 안드로이드 보안위협의 신호탄이라 할 수 있으며, 일부 변종은 잉카인터넷 대응팀에서 최초로 보고하였다.

[참고자료]
안드로이드 기반 악성파일 국내 자료실에서 배포 (2012년 01월 06일)
http://erteam.nprotect.com/239

통신비 환급금 조회로 위장한 안드로이드 악성파일 국내 전파 (2012년 11월 26일)
http://erteam.nprotect.com/361



02. 보안 사각지대를 노린 정교하고 지능화된 표적공격 지속
 
국내외 주요 기업과 기관 등을 겨냥한 표적공격은 지속적으로 이어졌다. 특히, 한국의 특정 기업 및 기관에 대한 다양하고 국지적인 공격시도 정황이 수 차례 포착되었고, 해당 발견시점 당시 보안취약점이 제거되지 않은 Zero-Day 공격기법도 꾸준히 발견되었다. Zero-Day 취약점 공격은 그 어원이 의미하는 것처럼 신속히 보안취약점이 해결되지 않는 이상 은밀하고 지능화된 보안위협으로 작용된다. 이 때문에 이용자들은 공격에 쉽게 노출될 가능성이 높고, 이용자 입장에서는 사전차단의 어려움이 존재한다.

특히, 국내 이용자들이 주로 이용하는 한컴 문서파일(HWP) 취약점을 이용한 악성파일들이 2012년 한해 동안만 백여개 가깝게 연이어 발견되었다. 이는 앞서 언급한 국지적 표적화 공격에 앞 다퉈 사용되는 등 문서파일의 취약점을 악용하여 마치 정상적인 공식문서로 위장한 표적공격에 유행처럼 사용되었다.

[참고자료]
국내 겨냥 최신 APT 공격자 밀착추적 및 집중해부 (2012년 03월 13일)
http://erteam.nprotect.com/251

새로운 HWP Zero-Day 취약점 악성파일 등장 (2012년 11월 26일)
http://erteam.nprotect.com/360



03. 국내 인터넷뱅킹 예금탈취 목적의 전자금융사기 본격화

국내에서 서비스 중인 대표적인 인터넷 뱅킹 이용자들의 예금탈취를 직접적으로 노린 악성파일(KRBanker)이 다양한 형태로 제작 유포되었고, 웹 사이트 해킹과 결합되는 등 갈수록 고도화되고 있다. 초기에는 특정 인터넷 방송의 동영상 재생 프로그램을 고의적으로 위변조하여 배포된 바 있고, 웹 하드 사이트의 설치파일에 악성파일을 은밀하게 포함시키는 경우도 존재했다. 이후에는 토렌트 등 이용자들이 많은 P2P 파일처럼 위장하는 등 짧은 시간에 많은 이용자들을 감염시키기 위한 다양한 공격시도가 이어졌다.

그 다음으로 국내 유수의 불특정 웹 사이트들을 변조하여, 각종 보안취약점(Exploit)과 결합된 형태로 꾸준히 진화되었으며, 안타깝지만 현재 이 시점까지도 인터넷 뱅킹용 악성파일(KRBanker) 변종들이 끊임없이 전파되고 감염자가 발생하고 있는 상황이다. 전자금융사기 사이버 범죄자들 대부분 실제 존재하지 않는 인터넷 뱅킹 "보안강화(승급)서비스"라는 명목으로 악성파일 감염자들의 공인인증서(NPKI)와 개인정보 탈취를 시도하고 있고, 실제 금융서비스에서는 절대로 요구하지 않는 보안카드 전체번호와 금융 계좌정보 등을 과도하게 입력하도록 유혹하고 있다. 최근에는 "보안강화(승급)서비스"가 모두 전자금융사기라는 내용이 많이 알려지자, 악성파일 제작자들은 "전자금융사기 예방서비스" 라는 새로운 문구로 이용자들을 의도적으로 현혹시키고 있다.

[참고자료]
국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포 (2012년 06월 11일)
http://erteam.nprotect.com/293

보안강화서비스 이제는 전자금융사기 예방 서비스로 둔갑 (2012년 11월 28일)
http://erteam.nprotect.com/362




04. 성인동영상에 숨은 사이버 범죄자들의 은밀한 유혹

일종의 파일공유 서비스인 이른바 웹하드 사이트는 국내에서 다양한 종류가 서비스되고 있고, 유용한 최신자료 등을 쉽고 빠르게 검색하고 구할 수 있다는 장점에 많은 사람들이 가입하여 활동하고 있다. 보통의 사이버 범죄자들은 짧은시간에 많은 사람들에게 신규 악성파일을 폭 넓게 감염시키는 것에 주된 관심과 목적을 가지고 있기 때문에 웹하드 서비스를 매개체로 한 악성파일 유포수법도 꾸준히 발견되고 있다.

보통의 웹하드 사이트는 유료 가입자를 대상으로 서비스를 운용하고 있고, 새로운 데이터가 실시간으로 다량 등록되고 있기 때문에 보안위협 모니터링이 쉽지 않은 영역이다. 악성파일 제작자들은 다운로드(감염자) 증가를 유도하기 위해서 조회수가 많은 성인 동영상에 악성파일을 몰래 숨겨 배포하는 경우가 많다. 성인 동영상으로 위장된 형태는 파일크기가 대용량 이라는 점과 실제 동영상 파일이 재생될 때 악성파일이 별도로 생성된다는 특징 때문에 사전에 탐지하기란 더욱 더 쉽지 않다. 그 때문인지 악성파일 제작자들은 실제 성인동영상에 악성파일을 복합적으로 포함하고 교묘하게 유포시키는 행위를 멈추지 않고 있다.

[참고자료]
악성파일을 품은 섹스 동영상, 당신을 유혹한다. (2012년 03월 21일)
http://erteam.nprotect.com/254

대용량 성인동영상으로 둔갑한 Fusion 악성파일 당신을 노린다. (2012년 08월 06일)
http://erteam.nprotect.com/317




05. 온라인 게임 계정 탈취 악성파일 여전히 봇물

지난 2005년 경부터 국내의 유명 웹 사이트들이 활발히 해킹당하면서, 온라인 게임 계정 탈취를 목적으로 한 악성파일들이 끊임없이 발견되고 있다. 국내에서 발생하고 있는 대다수의 보안위협에서 온라인 게임 계정 탈취용 악성파일을 배제하고 보안 트렌드를 언급하기 어려울 정도로 수년 간 대표 사이버 범죄로 악명을 떨치고 있다. 2012년에도 온라인 게임 계정 탈취기능의 악성파일은 여전히 기승을 부리고 있고, 변종도 꾸준히 양산되고 있는 실정이다.

이와 관련된 악성파일들은 다양성을 띄고 점차 지능화 및 고도화되고 있고, 특징적으로 윈도우 운영체제의 주요 시스템 파일 등을 교체 또는 변조하는 수법(Patched)을 널리 활용하고 있다. 잉카인터넷에서는 이러한 변종들을 포괄적으로 대응할 수 있도록 Generic Detection 기능을 nProtect Anti-Malware 제품에 탑재하여 신고가 접수되지 않은 유사한 변종도 신속하게 사전탐지(Trojan/W32.Forwarded.Gen)하고 치료할 수 있는 기능을 제공하고 있으며, 이 악성파일은 잉카인터넷 자체 감염통계에서 대체로 상위에 랭크되고 있다.

[참고자료]
ws2help.dll 변장형 악성파일, 돌연변이로 재탄생 (2012년 01월 04일)
http://erteam.nprotect.com/235




06. 사람들의 심리와 사회적, 정치적 관심사를 이용한 악성파일의 꼼수

아주 오래전부터 악성파일은 시대적 흐름과 유행에 매우 민감하게 반응하고 있다. 사회적으로 이슈가 되는 내용이나 수 많은 사람들에게 큰 관심을 끌고 있는 키워드 등을 사칭해서 악성파일을 제작하고 유포하면 좀더 많은 사람들을 쉽게 속이고 현혹시킬 수 있기 때문이다. 이처럼 사람들의 심리를 교묘하게 이용한 이른바 사회공학기법의 악성파일 전파 사례가 다수 보고되었다.

2012년에는 온라인 호텔 예약서비스와 인터넷 유명 물류 배송서비스 조회내용, 전자 청구서 내용 등으로 위장한 악성파일이 다수 발견되었고, 런던 올림픽과 관련된 내용으로 둔갑한 사례도 발견된 바 있다. 더불어 롬니 미대선 후보, 북한 핵실험 및 광명성 3호 발사, 핵안보 정상회의와 관련된 정치적 악성파일 등이 보고되어 긴급 대응이 진행되었다.

[참고자료]
온라인 호텔 예약으로 사칭한 악성파일 해외 발견 (2012년 04월 09일)
http://erteam.nprotect.com/260

북한 핵실험 및 광명성 3호 발사와 관련된 악성파일 발견 (2012년 04월 12일)
http://erteam.nprotect.com/263




07. SNS 악성파일 매개체로 남용 주의

전 세계적으로 트위터(Twitter), 페이스북(Facebook), 링크드인(Linkedin)과 같은 소셜네트워크서비스(SNS) 이용자들이 꾸준히 증가되고, 스마트폰 활성화 등과 연계되어 악성파일 유포자들은 이를 역이용한 유포수법을 비례적으로 끊질기게 이용하고 있다. 이를테면, 트위터나 페이스북 친구요청 이메일로 사하여 악성파일에 감염되도록 유혹하거나, 단축 URL 주소 서비스를 이용해서 악의적인 웹 사이트로 연결을 유도하는 경우도 존재한다. 더불어 페이스북 채팅창을 통해서 자동으로 악의적 URL 주소를 클릭하게 만들거나 하는 등 다각적인 수법이 유행처럼 악용되고 있다.

2012년 02월 24일 경 국내에도 페이스북 채팅창을 통해서 자동으로 전파되는 웜(Worm)형태의 악성파일이 유입되어 많은 페이스북 사용자들이 악성파일에 감염되는 사고가 발생한 바 있다.

[참고자료]
페이스북 채팅창을 이용한 악성파일 유포 시도 (2012년 02월 24일)
http://erteam.nprotect.com/246

조작된 링크드인 인맥과 맞춤형 악성파일 국내 유입 (2012년 05월 15일)
http://erteam.nprotect.com/281




08. 정상 프로그램은 악성파일 유포자들의 또 다른 먹이감

웹 사이트에서 정식 배포되는 정상 동영상 플레이어나 각종 애플리케이션을 불법적으로 해킹, 변조하여 악성파일을 배포하는 수법이 간간히 발견되었다. 그 동안은 악성파일 자체를 정상파일처럼 보이도록 조작하는 수법이 주로 이용되었지만, 실제 정상 프로그램을 위변조하여 악성파일이 함께 설치되도록 조작하는 경우는 보기 드문 경우였다.

이처럼 정상적인 프로그램에 악성파일을 삽입하고 유포하는 경우 사용자들이 쉽게 인지하기 어렵다는 문제가 존재한다. 웹 사이트 운영자와 프로그램 개발자들은 자신의 프로그램이 설치될 때 무결성을 체크하도록 하거나 서버에 존재하는 파일이 위변조되지 않았는지 수시로 점검하는 노력이 필요하다.

[참고자료]
톡플레이어 설치본과 특정 백신 제품으로 위장한 악성파일 (2012년 06월 04일)
http://erteam.nprotect.com/290

국내 인터넷 뱅킹 표적용 악성파일 변종 지속 출현 (2012년 06월 18일)
http://erteam.nprotect.com/299




09. 사이버 협박범, 랜섬웨어 피해 증가

랜섬웨어(Ransomware)란 사이버 범죄자들이 컴퓨터의 운영체제나 특정 파일들을 암호화하여 사용자가 정상적으로 사용하지 못하게 만든 후 이를 볼모로 현금이나 부당한 요구를 하는 악성파일들을 의미한다. 초기에는 특정 문서파일들을 암호화하는 형태가 많은 비중을 차지하였으나 최근에는 운영체제 자체를 정상적으로 부팅하지 못하게 하는 경우가 많아지고 있다.

특히, 경찰청·저작권 협회와 같은 기관처럼 위장한 문구 등을 이용해서 "당신의 컴퓨터에서 불법 행위가 감지됐고, 법을 위반함에 따라 운영체제를 잠근다."라는 일종의 허위 문구를 출력해서 벌금 요구 등의 명목으로 현금을 요구하는 형태가 해외 각지에서 다수 보고되고 있는 실정이다. 국내에서도 외산 랜섬웨어에 감염되어 피해를 호소하는 사례가 조금씩 보고된 바 있어 사전에 관련 악성파일에 감염되지 않도록 각별한 주의가 필요하다.

[참고자료]
디아블로3 파일로 변장한 랜섬웨어형 악성파일 등장 (2012년 05월 29일)
http://erteam.nprotect.com/285




10. 플레임(Flame), 국가기반시설을 노린 사이버무기 창궐

특정 국가의 사회기반시설(발전소, 교통 등)의 정상적인 사용을 방해하고 국가 내부 중요시설 정보를 은밀히 수집하기 위한 목적 등으로 개발된 Stuxnet, Duqu 의 또 다른 변종이 보고되어 국제적인 이슈가 되었다. 새롭게 발견 보고된 Flame 이라는 이름의 악성파일은 약 2년전인 2010년 이전부터 활동한 것으로 추정되고 있으며, 주로 중동지방이나 동유럽이 주된 감염 대상 지역으로 추정된다.

해당 악성파일은 컴퓨터 화면 기록 기능, 특정 대상 시스템에 대한 정보, 저장된 파일, 연락처 데이터, 컴퓨터 주변 대화내용 녹취 등 각종 기밀 정보를 탈취하도록 설계되어 있다.

뉴욕타임즈는 미국 정부가 이란의 핵시설을 무력화시키기 위해 사이버 공격을 진행할 것을 국방부에 주문했다는 사실을 보도해서 큰 반향을 일으킨 바 있다. 뉴욕타임즈에 따르면 미국과 이스라엘은 공동으로 "올림픽 게임" 이라는 프로젝트를 진행했으며, 스턱스넷(Stuxnet)은 프로젝트 중 나온 일부의 결과물이며, 양국은 이후에도 지속적으로 사이버 공격을 감행하기 위해 현재에도 프로젝트를 진행하고 있다고 보도했다.

[참고자료]
Obama Ordered Wave of Cyberattacks Against Iran (2012년 06월 01일)
http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html?_r=2&pagewanted=all

저작자 표시
신고
Posted by nProtect
1. 부적절한 인터넷 광고, 불편한 진실과 현실

다년 간 무수히 많은 인터넷 이용자들에게 호기심 유발이나 인기검색 키워드 등으로 현혹하여 배포과정 상에 문제를 가지고 있고, 유해가능한 광고성 프로그램(Adware)을 무단 배포하는 수법이 나날이 심화되고 있는 실정이다.  아직도 수 많은 인터넷 이용자들이 잠재적으로 원하지 않는 프로그램(PUP:Potentially Unwanted Program)에 순간의 부주의로 반강제 노출되어 많은 불편함을 호소하고 있고, 피해도 꾸준히 속출하고 있는 상황이다.

이에 근본적인 대안과 철저한 근절대책이 요구되고 있는 시점이다. 이 때문에 대부분의 보안업체들이 Adware 종류를 악성으로 분류하고 치료기능을 제공하고 있지만, 금전적 수익을 높이기 위한 광고업체들은 육안상으로 잘 보이지 않게 사용자 동의 및 약관을 포함하는 등 법망을 교묘히 우회시도하고 유포수법도 나날이 지능화되고 있다.

[칼럼]불순한 변칙 광고프로그램 유해성 판단여부 하나도 애매하지 않다.
http://erteam.nprotect.com/346

[안내]유해 가능한 변칙 광고프로그램 감염 예방하기 십계명
http://erteam.nprotect.com/350

[뉴스]당신의 PC, 깨끗합니까? (KBS 취재파일 4321)
http://news.kbs.co.kr/news/NewsView.do?SEARCH_NEWS_CODE=2639387

[뉴스]애드웨어로 전파된 신종 메모리 해킹 일당 검거 (SBS 8시뉴스)
http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1002198339
[기고]무분별한 애드웨어, 팝업·팝다운광고에 대한 대응책은? (법률사무소 민후 김경환 변호사)
http://www.ddaily.co.kr/news/news_view.php?uid=96994

[뉴스]나도 몰래 깔리 몹쓸 '애드웨어' 이젠 가만 안둬 (김희정 새누리당 의원실)
http://www.etnews.com/news/contents/internet/2677425_1488.html?mc=d_002_00001

ㅁ김희정 의원은 “광고 프로그램뿐만 아니라 개인정보 보안 프로그램, 불량 백신 등 제휴·스폰서 프로그램을 설치할 때 이용자 동의여부 표시가 가려져 있거나 이용약관을 알아보기 어려운 형태로 제시해 이용자 불편을 초래하는 일이 많다”며 법안 제출 이유를 밝혔다. 이를 위반해 사용자 컴퓨터에 중대한 장애를 초래하면 1년 이하의 징역 또는 1000만원 이하 벌금에 처한다.

[뉴스]새누리 김희정 의원 “애드웨어 무단설치시 처벌 강화해야”
☞ 
http://www.ddaily.co.kr/news/article.html?no=97543

[뉴스]애드웨어 무단설치 처벌 강화된다
☞ 
http://www.zdnet.co.kr/news/news_view.asp?artice_id=20121115103646&type=det

[뉴스]무단설치 백신·애드웨어, 처벌 강화법안 발의
☞ 
http://www.eto.co.kr/news/outview.asp?Code=20121115152844197&ts=115452

[뉴스]지긋지긋한 애드웨어, 처벌 강화한다 (inews24)
http://news.inews24.com/php/news_view.php?g_serial=704965&g_menu=020100&rrf=nv

[긴급]애드웨어 끼워팔기식의 메모리해킹 기법의 악성파일 급증
☞ http://erteam.nprotect.com/461

따라서 보안업체들은 유해성 판단을 위한 불법 유포경로와 근거자료(동영상 촬영 등) 확보에 부단한 시간과 인력을 투입하고 있는 상태이지만, 유포업체는 스스로 합법적 서비스라는 점을 강조하고 내세우면서 보안업체가 근거자료를 보관하고 있지 않다고 보일 경우 탐지예외 요청 및 내용증명 등 법적 항의서안들을 끈질기게 발송하여 보안업체들로 하여금 정상적인 업무를 방해하고 오히려 불필요한 업무에 많은 시간이 투입되고 자원이 소모되도록 유도하고 있어 큰 문제점으로 대두되고 있다.

방송통신위원회, 한국인터넷진흥원 등 주요 정부기관과 대검찰청, 경찰청 등 수사기관에서도 보안업체와 협력하여 부적절한 인터넷 광고업체에 대한 조사를 진행하고 있다. 그러나 대부분의 광고업자들은 이러한 것이 불법행위로 간주되고 법적으로 구속될 수 있다는 점을 인지하지 못하는 경우가 많다. 아래 내용은 2012년 07월 12일에 언론을 통해서 발표된 비정상적인 방식 등으로 광고프로그램을 유포하여 부당이익을 챙긴 적발사례이며, 광고수수료를 챙긴 일당은 경찰 수사에 의해서 체포 및 구속수감되었다.

[2012-07-12 광고수수료를 챙긴 일당이 경찰에 적발된 언론 보도자료]
악성 프로그램 유포해 PC 270만 대 감염
http://www.ytn.co.kr/_ln/0115_201207121537138266 

 

다음은 2012년 08월 22일 검찰 첨단범죄수사대에 적발된 불법 광고업체에 대한 내용으로 제휴 파트너사 등을 통해서 비정상적으로 배포한 광고프로그램 업체 관계자 6명과 업체 3곳을 기소하고, 수사를 확대할 방침이라는 내용의 보도자료이다. 

[2012-08-22 네이버 광고 바꿔치기한 일당 검찰에 기소된 언론 보도자료]
검찰, 해킹 프로그램으로 네이버 광고 바꿔치기한 일당 기소
http://www.asiatoday.co.kr/news/view.asp?seq=686395

'인터넷 낚시 광고' 24억 챙긴 업체 적발
http://www.ytn.co.kr/_ln/0103_201208221819506573


[2012-10-11 광고프로그램을 이용한 검색 키워드 가로채기 SBS 언론자료]
[단독] "여기 아닌데?"…황당한 소셜커머스 경쟁
http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1001426974

티몬 검색하니 쿠팡이...“어라? 이상하네“
http://www.zdnet.co.kr/news/news_view.asp?artice_id=20121011184305&type=xml

경쟁사 검색때 함께 뜨는 ‘얌체광고’ 또 법정行
http://www.fnnews.com/view?ra=Sent0601m_View&corp=fnnews&arcid=201210150100119140007237&cDateYear=2012&cDateMonth=10&cDateDay=15

티켓몬스터 "'쿠팡', 악성 광고 소프트웨어로 '티몬' 고객 유입"
http://news1.kr/articles/848780

티켓몬스터 측은 "쿠팡이 이들 불법마케팅을 적극 사용한 것이 밝혀지면 부정경쟁방지법 2조 1항을 어긴 것이며 영업방해죄에 해당된다. 정보통신망법 위반 행위의 교사 및 공범행위 등으로도 책임을 물을 수 있다"고 밝혔다.

"이들 불법 마케팅 업체들은 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 48조 2항 '누구든지 정당한 사유없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손·멸실·변경·위조하거나 그 운용을 방해할 수 있는 프로그램(이하 "악성프로그램"이라 한다)을 전달 또는 유포하여서는 아니 된다'를 위반한 것으로 5년 이하의 징역 또는 5000만원 이하의 벌금에 처해지게 된다"고 설명했다.

티몬 측은 "방송통신위원회는 이런 문제를 본질적으로 해결할 수 있도록 악성 프로그램 유포 방지를 위한 제도를 마련해야 할 것"이라며 "광고주들도 강도높은 처벌을 해야만 근절될 것으로 보인다"고 밝혔다.



2. 유해 광고프로그램 실태와 불법적 행위의 근원

인터넷 광고프로그램은 그 본질과 기능만으로는 절대 불법이나 유해가능 프로그램으로 분류할 수 없지만, 인터넷 광고노출 및 매출 수익금을 분배하고 고수익 창출을 목적으로하는 스폰서나 인터넷 제휴 파트너 업체들의 부적절하고 무분별한 배포과정에서 유해성 부작용이 발생하게 된다. 이것은 짧은 시간에 수 많은 이용자에게 해당 광고프로그램을 노출시키고 설치시켜야 수익률이 비례적으로 증가할 수 있는 광고 사업구조의 특성 때문이며, 정상적인 광고업체와는 별개로 제휴업체들을 통해서 비정상적인 유포행위가 아무 거리낌없이 꾸준히 자행되고 있는 문제점을 안고 있는 것이다.

이런 연장선에서 불법적인 과정을 통해서 무차별적으로 배포되는 광고프로그램은 설치율이 높아지고, 결과적으로 수익이 높아짐에 따라 주 광고업체와 배포를 담당하는 제휴업체는 서로 암묵적으로 편의를 봐주거나 금전관계로 친밀하게 결탁되어 있는 것도 사실이다. 하지만 주 광고업체는 보안프로그램이 자신의 프로그램을 탐지하고 저지하면 일부 극소수 제휴업체의 불법적 행위로 간주되기 때문에 그 업체에게 경고 및 제재를 주기 위해서 유포처 및 탐지 근거자료를 공개요구하지만, 그 자료를 공유해 줄 경우 그곳만 제거하고 다른 곳을 통해서 은밀히 유포를 지속하는 경우가 다반사이다. 이에 잉카인터넷은 현재 유포처 및 탐지 근거자료를 관계자 외 비공개를 원칙으로 하고 있다. 이는 추후 정식 법적대응 및 불법적 행위의 근거자료와 수사기관에 제시하는 증거자료로 활용된다.

또한, 일부 제휴 및 파트너사의 불법적 단독행위가 있을 수 있으므로, 광고수익 손해에 대한 책임을 묻기 위해서는 각 제휴 배포사마다 다른 모듈을 제공하거나 배포지 추적이 가능하도록 구분코드를 삽입하여 제작하도록 하며, 사후관리 및 계약상 손해배상에 대한 책임의식을 가지도록 계약서상에 이를 구체적으로 명시하여야 하는 관리적 책임을 가지고 있다. 일부 파트너사들의 비정상적인 배포를 관리하지 않았다면 이는 광고업체의 관리적측면에서 업무상 과실에 해당될 수 있다. 

특히, 일각에서는 이런 배포용 프로그램을 아웃소싱 형태로 제작하고 배포해 주는 서비스까지 유료화로 운영하며, 해당 광고업체는 자신들의 이런 프로그램 배포사업 자체가 정당하고 합법적이라는 근거를 제시하기 위해서 대부분 정상적 절차와 비정상적인 방식의 배포를 동시에 사용하여, 정상적인 서비스를 진행하고 있다는 점을 부각시켜, 비정상적인 서비스는 일부의 잘못된 부분이라는 주장을 펼치게 된다. 그러나 비정상적으로 배포된 그 사실 하나만으로 악성파일 배포에 대한 법적책임을 묻게 될 수 있다는 점을 간과해서는 안되며, 최근 경찰과 검찰에 이런 형태로 적발된 사례가 보고되었다.

보안업체는 비정상적으로 배포된 근거만으로 Adware 진단정책에 포함한다.

정상적인 배포를 동시에 진행했다는 이유로 비정상적인 배포 모듈을 예외처리로 분류하고 적용하지는 않는다. 비정상적인 광고업체들은 거의 모두 정상적인 사이트를 함께 운영하며 마치 정상적인 사업범위로 활용하고 있기 때문이며, 정식 사이트에서 공식배포도 하고 있으므로 정상배포를 하고 있다는 이유만으로 비정상적인 모듈을 진단 예외정책에 모두 적용하지 않는것이 기본원칙이다. 


 

 
3. 합법과 불법을 자유자재로 이동하는 능력자?

초기 단계의 유해가능 광고 프로그램(Adware)들은 방문자수를 높이기 위한 광고목적의 [시작페이지 고정]이나 운영체제 바탕화면 또는 즐겨찾기 목록에 [바로가기 아이콘]을 생성하는 등 악의적인 의도 보다는 순수한 광고방식에 널리 활용되었다. 그러나 점차 시간이 지남에 따라 사용자 정보를 불법 수집하거나 정상적인 배포방식과 동의 절차없이 설치되는 등 악의적으로 변질되기 시작했고, 광고수익금의 이익에 치중한 나머지 합법과 불법의 경계를 자유자재로 넘나드는 불균형이 초래되기 시작하였다.

이렇듯 정상적인 광고프로그램이 본래의 배포과정에서 어긋나고, 일정한 기준이나 한도를 넘어 남용 수위가 높아지면서 보안업체들의 대응범위도 넓어졌다. 거기에 사용자가 인지하지 못한 상태에서 비상식적으로 동의시킨 매월 소액 자동결제 서비스나 허위 또는 불량한 유료 서비스를 통해서 사용자에게 금전적 피해 부담을 입히는 경우가 종종 발견되여 경찰 등 수사기관에 의해서 검거되는 해결사례도 다수 있었지만, 보안업체와 일부 부적절한 광고업체간의 유해성 공방은 지금까지도 현재 진행형이다.

이런 유해성 공방은 현 법률상 인터넷 광고의 유해성 및 가능범위를 확실하게 규정할 수 있는 법적근거와 기준이 모호하고, 광고업체들은 법적인 문제점을 피하기 위해서 다양한 우회기법을 활용하고 있는 점을 지적할 수 있다. 아울러 실제 재판에서 무죄판결 판례와 이미 고수익을 통한 재력을 보유한 경우 전문 변호인단을 앞세워 자신들의 정당성을 주장하기도 한다.

4. 부도덕한 애드웨어 주의보! 관심을 미끼로 낚시질을 한다.

2012년 04월 24일에 "[정보]나도 모르게 설치된 그것이 알고 싶다." 라는 Adware 관련 포스트를 대응팀 공식블로그에 게시한 바 있다. 이처럼 악의적인 광고성 프로그램들은 일반 사용자들이 어떤 과정을 통해서 설치되었는지 스스로 인지하지 못하고 있는 것이 안타깝지만 현실이다. 부적절한 인터넷 광고업체들은 불특정 다수의 이용자들을 표적으로 삼고 있으며, 시종일관 더 많은 사용자들에게 자신의 광고프로그램을 설치시키기 위한 혼신의 노력을 다하고 있다.

보통 인터넷 광고프로그램 개발사들은 정상적인 법인체와 웹 사이트를 구축하여 합법적으로 운영하고, 해당 웹사이트를 통해서 광고프로그램 소개와 배포 등을 서비스한다. 그러나 일반 사용자가 해당 광고업체의 웹 사이트를 직접 방문하고, 광고 프로그램을 자신의 선택과 의지로 설치할 확률은 거의 0%에 가깝다고 해도 과언이 아니다.

그렇다보니 광고업체는 인터넷 배포방식에 대한 다양한 방식을 검토하고 도입시도하게 되는데, 대형 포털 사이트 등과 공식적인 광고계약을 체결하고 정상적인 절차로 프로그램을 배포할 경우 적정한 규모의 광고비용이 책정되어 사용되어야 하지만 도덕성을 무시하고 오직 수익에만 급급한 부도덕적인 업체들의 경우 인터넷 사용자들이 최대한 인지하지 못하게 조작한 수법을 도입하여 Adware 파일이 사용자몰래 광범위하게 설치되도록 유인하고 있다. 이는 결국 합법적 절차를 거친 정상적인 광고프로그램 개발사에게까지 직간접적인 손해를 끼치고, 정당한 광고사업을 방해하는 단초역할을 하게 된다.

[2012-04-20 광고프로그램을 통한 구인구직 채용 웹 사이트간 불공정 마케팅 논란]
잡코리아-사람인, ‘불공정 마케팅’ 공방 가열
http://www.etoday.co.kr/news/section/newsview.php?TM=news&SM=2306&idxno=574391

{일부 발췌}
잡코리아는 사람인이 다량의 악성 애드웨어(adware)를 배포해 자사의 영업을 방해한데 대해 20일 형사 고발했다고 밝혔다. 애드웨어는 영화나 게임, 만화 등을 다운로드 서비스 하는 파일공유 사이트의 프로그램 설치 시 함께 랜덤으로 자동 설치되며 자신이 의도하지 않은 정보에 노출되는 피해를 입을 수 있다.

잡코리아 관계자는 “지난달 말 고객센터로 포털사이트 검색창에 잡코리아를 입력해도 사람인 사이트가 대신 뜨는 현상에 대한 피해가 접수됐다”며 “시스템을 점검한 결과 네이버 등 포털사이트에 잡코리아를 검색을 할 경우 사람인 사이트가 자동적으로 팝업 되도록 다량의 애드웨어가 배포되고 있는 게 확인됐다”고 밝혔다.

5. 프로그램 다운로더의 주목적? 사용자 몰래 Adware 설치!

먼저 유명 게임이나 유무료 프로그램, 실시간으로 이슈가 되고 있는 인기 검색 키워드나 파일 등으로 사칭하여 사용자의 검색유입을 유도하고 개인 블로그나 포털 카페 게시글, 덧글 등을 통해서 파일 다운로드를 유인한다.


URL 링크를 클릭하게 되면 다음과 같이 파일이 다운로드된다.

 

 


보통 이런 프로그램의 경우 제휴목록이나 동의 및 약관이 일부 포함되어 있지만, 화면 하단이나 모서리에 작게 등록하여 육안상 잘 보이지 않도록 구성하고 글자색도 회색 등 배경화면과 거의 유사한 색을 사용한다. 또한, 스크롤바를 통해서 설치 목록이 극히 일부만 보여지도록 만들어 다수의 프로그램이 동시에 설치되는 것을 숨긴다. 이처럼 일반 사용자가 제휴프로그램 설치 과정을 즉각 인지하고 선택을 해제할 확률은 매우 낮아지게 된다. 따라서 광고업체들은 정상적인 동의와 약관 등을 명시하였기 때문에 자신들은 법적으로 전혀 문제가 되지 않는다고 황당한 주장을 하고 있는 것이다. 이것이 바로 일종의 법망을 우회하기 위한 찌질한 수법 중에 하나이다.

 


수개월 동안 유행처럼 가장 많이 사용되는 수법은 특정 프로그램 다운로더(Downloader)나 실행기(Launcher)처럼 보이도록 만든 후 해당 프로그램을 설치해 주는 목적으로 제휴프로그램을 함께 설치하게 만드는 형태이고, 대표적인 프로그램 화면들은 다음과 같다. 이런 종류의 프로그램들은 사용자가 원하는 프로그램을 제공하는 것이 아니고, 특정 광고프로그램들을 대거 설치하는데 그 주목적이 있다. 그리고 대부분 프로그램 다운로드 기능은 관련된 이미지만 보여주는 등 빛좋은 개살구이거나 허울 뿐이며, 기능 자체가 무용지물이다.

 


6. 국산 Adware 근절 대책의 핵심, 광고 제휴프로그램에 대한 규제 강화

가끔 주변에 있는 지인들로부터 듣게 되는 질문이 하나 있다. 홍수처럼 쏟아지는 수 많은 광고프로그램 중에서 정상과 악성을 구분하는 구체적인 근거 기준이 과연 무엇인가에 대한 것인데, 그 질문에 서슴지 않고 이렇게 답한다. "유포과정 및 설치방식에 대한 정당성과 사용자 입장에서의 잠재적 피해가능성 여부"

Adware 프로그램들은 대다수가 도덕성이 결여되어 있고, 최종목적은 반드시 금전적 수익과 결부되기 때문에 정당한 배포와 설치방식과는 절대로 부합할 수 없는 조건을 갖추고 있다. 따라서 이러한 문제를 근본적으로 해결하기 위해서는 사용자 입장을 최우선적으로 고려하여 ▲유해가능 배포과정 및 설치방식에 대한 가이드와 기준안이 마련되어야 하고, ▲형식적인 사용자 동의절차나 약관 보여주기 방식이 개발사와 배포사를 법적 분쟁으로부터 안전하게 보호해 주는 범위에 포함되지 않도록 강력히 규제해야 한다.


 


또한, ▲별도의 제휴 또는 파트너 프로그램을 함께 배포하는 경우 사용자에게 모두 보여지고, 직접 선택해야지만 설치가 진행될 수 있도록 부가 프로그램 설치에 대한 규제를 강화하고, 설치되는 셋업화면이 백그라운드가 아니라 사용자에게 모두 육안으로 확인될 수 있도록 하며, 언제든지 제거할 수 있는 언인스톨 기능을 포함해야 한다.

7. 잉카인터넷 Anti-Virus 엔진에 Adware 치료 기능 추가

그동안 잉카인터넷에서는 내부 정책적으로 nProtect Anti-Virus 엔진과 Anti-Spyware 엔진을 분리 운용하였고, Adware 종류의 탐지 및 치료 패턴은 Anti-Spyware 엔진에서 전문적으로 담당하여 서비스를 제공하였다. 일부 제품의 경우 서비스모델과 정책에 따라 Anti-Virus 엔진만 사용하는 경우가 있는데, 근래들어 국산 Adware 프로그램이 급증하고 있는 실정을 반영하고, 근절대책의 핵심 일환으로 2012년 08월 08일부터는 nProtect Anti-Virus 엔진에서도 국산 Adware 들을 탐지하고 치료할 수 있도록 대응조치를 강화한 상태이다. 이에따라 유포방식 및 설치과정에 보안상 문제가 될 수 있다고 판단되는 국산 광고프로그램들은 지속적으로 모니터링하고 수집하여 신속하게 대응할 수 있도록 운영할 예정이다. @잉카인터넷 ISARC


저작자 표시
신고
Posted by nProtect

1. 개 요


최근 해외 보안 업체를 통해 지하철 요금 지불과 관련하여 결제카드의 리셋 기능을 지원하는 애플리케이션에 대한 정보가 공개된 바 있다. 해당 애플리케이션은 NFC 기능을 통해 결제카드에 대한 리셋 기능을 수행하며, 실제로 해외 지하철역에서 선불요금이 만료된 결제 카드에 대한 리셋 시연을 보이는 영상까지 공개되어 있다. 물론 국내에서 정상적인 동작을 기대하기는 어렵고 해당 애플리케이션이 악성이 아닌 POC(개념증명)를 위해 준비되었다는 점에서 약간의 거리는 있겠지만 날로 확산되어 가고있는 안드로이드 보안 위협에 대한 사용자들의 인식 전환을 위해서는 한번쯤 짚고 넘어가 볼 수 있는 문제일 수 있다.

※ 실제 시연 동영상

http://vimeo.com/49664045

※ NFC[Near Field Communication]

10cm 이내의 가까운 거리에서 다양한 무선 데이터를 주고받는 통신 기술

2. 유포 및 동작 설명

해당 애플리케이션은 아래의 그림과 같이 구글 정식 마켓을 통해 다운로드가 가능하다.


해당 애플리케이션을 다운로드하여 설치하면 아래의 그림과 같이 NFC제어 관련 권한을 요구하는 화면이 출력된다.


아래의 그림은 전체 권한 선언을 포함한 AndroidManifest.xml 파일의 일부 내용이다.


해당 애플리케이션은 위 그림에서 확인이 가능하듯 Android SDK 2.3.3 이상 버전에서 정상적인 동작이 가능하다. 또한, Main 액티비티외에 추가적으로 탭형식으로 구성된 2개의 액티비티가 존재하고 있음을 확인할 수 있으며, 별도의 리시버나 서비스는 등록되어 있지 않다.

해당 애플리케이션은 Manifest에 정의된 내용으로 미루어 보아 아래의 일부 코드와 같이 NFC 기능 동작을 위한 Action이 추가된 필터를 제외하고는 특별한 동작을 수행하지 않음을 확인할 수 있다.


위와 같은 설정 등을 전제로 해당 애플리케이션이 실행되면 아래의 그림과 같이 TabActivity로 구성된 메인화면을 볼 수 있다.


지하철 패스 카운트(총 10번 사용가능)가 모두 소진된 카드를 해당 애플리케이션을 통해 스캔하게 되면 아래의 일부 코드 등을 통해 다시 총 10번이 사용가능하도록 지하철 패스 카운트를 리셋하게 된다.


해당 애플리케이션의 이러한 리셋 기능은 Tag ID를 얻어 MifareUltralight API를 통한 입출력 기능 등으로 구현되어 있으며, 위에서 언급한 시연 동영상 처럼 실제 해외 지하철역에서 사용 가능한것으로 확인되고 있다.

3. 마무리

해외 보안 업체 등을 통해 안드로이드 보안 위협과 관련하여 위와 같은 POC개념의 애플리케이션들이 지속적으로 보고되고 있다. 그만큼 악용가능한 범위가 넓다는 반증일 수 있다. 실제적으로 유비쿼터스화 되고 있는 실생활에서 스마트폰을 이용해 모든 제어가 가능해지고 있는 만큼 개인 스마트폰의 보안 위협에 대한 제고는 반드시 이루어져야하나, 일반적으로 사용자들의 스마트폰에 대한 보안 인식은 아직까지 이에 미치지 못하고 있는 실정이다.

좀 더 편하고 좀 더 즐거운 생활을 가능하게 해주는 스마트 기능이 좀 더 불편하고 좀 더 안전하지 못한 상황을 초래하지 않게 하기 위해서는 아래와 같은 기본적인 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(대응팀)에서는 위와 같은 보안 위협에 대비하여 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.


저작자 표시
신고
Posted by nProtect