웬만한 보안 솔루션 다 설치했는데...왜 계속 뚫릴까?

AhnLab 보안in 2011/08/02 16:00
사용자 삽입 이미지


안녕하세요. 안랩인입니다. 마치 레이더 망을 교묘하게 피하는 스텔스 폭격기와 같이, 특정 회사, 개인, 그리고 데이터에 집중한 보안 위협에 우려가 많으실텐데요. 2011년 상반기에 발생한 금융권의 보안 침해 사고를 보면 이러한 경향을 확인할 수 있는데요. 최근 보안위협은 시스템을 우회하거나 보안 시스템에서 탐지하지 못하는 기법으로 은밀하게 이루어지면서, 과거에 비해 더욱 심각한 결과를 초래하고 있습니다.

이러한 공격에 대비하기 위해서는 각종IT 솔루션의 통합 관리와 철저한 보안 관리가 필요할텐데요.  
이 글에서 취약점 관리와 통합 모니터링의 중요성에 대해 이야기 하고자 합니다.


왜 취약점 관리가 필요할까요?

과거에 비해 많은 기업들이 IT 보안 부서와 IT 운영 부서를 분리하고, 각자 고유의 역할 및 책임을 부여하여 운영하고 있습니다. 이러한 경우 IT 보안 부서가 보안에 대한 정책, 절차 등을 수립하면 그 실행은 IT 운영 부서에서 담당하는 구조로 조직의 틀이 짜여지는 경우가 대부분입니다.

취약점 관리는 실질적인 IT 운영 절차 중 하나로 효율적인 절차의 수립을 통해 IT 운영 부서의 실질적인 취약점 제거 활동을 극대화 할 수 있어습니다. 결과적으로 기업의 IT 보안을 향상시키는 결과를 가져올 수 있는데요.

악성코드와 백신 소프트웨어의 경우, 과거에는 IT 보안 부서가 주도하는 업무였습니다. 하지만 이제는 IT 운영 부서에서 혹은 IT와 관련이 적은 부서에서 스스로 설치하고 주기적으로 업데이트를 실시하는 등 보편화가 되어 있는 것을 자주 볼 수 있는데요. 이처럼 최초 보안 위협에 대한 대응은 IT 보안 부서만의 역할이었으나, 위협의 인식 수준이 높아지면서 IT 보안 부서는 새로운 위협에 대응하는 업무를 수행하게 되었습니다.

사용자 삽입 이미지
시장조사 기관인 가트너(Gartner)의 발표에 따르면 “2015년까지 성공한 IT 시스템 공격의 80%는 잘 알려진 취약점을 악용하여 이루어지며, 이는 효율적인 보안 모니터링을 통해서 탐지할 수 있다”고 합니다.

서버, 네트워크, 데이터베이스, 애플리케이션에 존재하는 취약점을 발견하고 조치하면 보안성을 향상시키는 효과가 뛰어나고, 이와 더불어 주기적인 취약점 점검을 수행한 결과물을 타 IDS/IPS, 웹 애플리케이션 방화벽(Web Application Firewall) 등의 보안 솔루션과 상관분석을 통하여 보다 효율적인 모니터링을 수행할 수 있습니다.



효율적인 보안 모니터링을 위해 고려할 점!

사용자 삽입 이미지
 첫 번째, 위협의 대상이 되는 IT 자산에 대한 범위 설정 및 평가가 필요합니다. 인터넷을 통하여 비즈니스를 영위하는 기업은 서비스, 개발, 테스트, 내부 업무 등으로 다양한 IT 자산을 보유하고 있습니다. 이러한 기업들은 외부의 위협으로부터 보호되어야 할 대상 및 중요도를 산정하여 발견된 취약점 제거에 대한 우선 순위 및 절차를 정해야 한다.


두 번째, 취약점 점검 결과물에 대한 지속적인 활용이 필요합니다. 취약점 점검 결과가 일회성에 그치는 것이 아니라, 내용에 자산의 운영체제 정보, 서비스 정보, 취약점 정보가 포함되어 있어 IDS/IPS 등을 운영 중이라면, 보안 이벤트와 상관분석을 통하여 유효성을 검증하는데 요긴하게 활용 할 수 있습니다.

세 번째, 주기적인 취약점 점검입니다. 안타깝게도 국내에서 수행되는 취약점 점검은 일회성으로 그치거나, 주기적으로 수행되더라도 그 간격이 6개월 이상으로 지나치게 긴 경우가 대부분입니다. 대표적으로 마이크로소프트의 경우 매 달 보안 취약점에 대한 패치가 발표되는데 3개월 이상의 간격으로 취약점 점검을 수행하는 경우 산술적으로 2개월 동안은 위협에 노출되어 있는 상황이 발생합니다. 기업의 IT 운영 환경에 따라 다르겠지만, 운영 시스템의 특성을 파악하여 그 주기를 가능한 짧게 설정하는 것이 최신의 보안 취약점 정보 관리를 위해서 유리합니다.

  '취약점 관리'는 대상 시스템의 취약점을 발견하고, 제거, 검증에 국한하여 수행하는 IT보안 업무의 일부로 여겨져 왔습니다. 하지만 취약점 관리의 중요성을 인지하고, SIEM 솔루션의 상관분석 기능을 활용한 위협 이벤트 모니터링 유효성 검증 등으로 범위를 확장하여 활용하면 결과적으로 기업의 보안을 향상시킬 수 있는 유용한 방법이 될 것입니다. Ahn

* 보다 자세한 내용은 안철수연구소 홈페이지 에서 보실 수 있습니다.


안철수연구소 서비스기획팀 이성열 과장

Writer profile
세상에서 가장 안전한 이름,
안랩입니다.
2011/08/02 16:00 2011/08/02 16:00

문자메시지 과금시키는 안드로이드 악성 앱 주의!

AhnLab 보안in 2011/07/25 10:30

 안녕하세요. 안랩인입니다. 최근 안드로이드 온라인 동영상 스트리밍 플레이어로 위장하여, 사용자 모르게 SMS(문자메시지) 발송을 하여 과금 시키고, 친구 추천 기능을 통해 주변에 악성앱을 확산 시키는 안드로이드 악성코드가 새롭게 발견되어 주의를 요합니다. 

사용자 삽입 이미지사용자 삽입 이미지
▲ 안드로이드 온라인 동영상 스트리밍 플레이어

악성코드의 SMS 과금 및 휴대폰 정보 탈취 방법

 악성 앱이 설치되면, 온라인상의 동영상들을 볼 수 있는 뷰어가 나오면서, 동시에 하드코딩된 중국의 premium number (106***82) 로 메시지를 전송하여 별도의 과금을 시킵니다.

사용자 삽입 이미지

▲ 설치되면 중국 premium number로 메시지를 보냄

비슷한 악성코드의 경우 보통 해당 premium number 로 문자가 정상적으로 송신되면, 서비스 제공자로 부터 서비스등록에 관련된 안내메시지를 문자로 회신(feedback)받게 되어 있어 서비스 사용여부를 알 수 있습니다.  하지만,  이 악성앱은 영리하게도 회신되는 문자를 사용자가 볼 수 없게끔 필터링을 하여 실제 과금된 사실을을 전혀 알 수 없게 만들기 때문에 더욱 주의해야 합니다. 이 악성앱은 "10" 으로 시작되는 번호들로 전송되는 문자메시에 관해 필터링 하도록 설계되어 있습니다. 이외에 추가적으로 핸드폰의 Sim 카드 시리얼번호를 얻고, 특정 서버로 전송합니다.


악성코드 확산

이 악성앱은 감염된 폰에서 과금을 하는 것뿐만 아니라, 악성앱 자신을 광고(Self-advertising) 하는 기능도 포함되어 있습니다. 사용자는 좋은 앱 소개시켜준다는 의도로 추천링크를 전송했는데, 받는 사람에게 악성앱을 설치하게끔 유도한 꼴이 될 수 있습니다.  자기광고 기능은 아래와 같이 친구추천기능을 통해 e-mail , 또는 sms 로 악성앱을 다운 및 설치할 수 있는 링크를 전송하여 이루어집니다.

 

사용자 삽입 이미지사용자 삽입 이미지사용자 삽입 이미지


V3 mobile 제품 진단명


- 엔진버전
  2011.07.19.00

- 진단명
  Android-Trojan/SmsSend.AA
  Android-Trojan/SmsSend.AB


스마트폰이 악성코드 감염 예방 안전 수칙
최근 스마트폰을 통한 악성코드가 급증하는 추세인데요, '설마'하는 부주의함으로 피해자가 될 수 있습니다. 새로운 기술에 익숙해지는 만큼, 보안 의식의 습관화가 필요한 때입니다. 

 

1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.



* 더욱 자세한 내용은 안철수연구소 ASEC대응팀 블로그 에서 보실 수 있습니다. Ahn
Writer profile
세상에서 가장 안전한 이름,
안랩입니다.
2011/07/25 10:30 2011/07/25 10:30

보안, 불감증보다 염려증이 나은 이유

AhnLab 보안in 2011/06/21 06:00

매달 둘째주 수요일은 무슨날?

많은 사람들이 매달 둘째주 수요일 아침부터 분주하지 않을까 싶다(만약 그렇지 않다면 이제부터 바쁘게 보낼 필요가 있다).

이날은 바로 정기 윈도우 업데이트가 발표되는 날이기 때문이다. 필자도 출근 후 회사에서 사용하는 3대의 컴퓨터에 윈도우 보안 업데이트를 적용하고 이후 가상환경에 설치한 윈도우도 보안 업데이트를 진행한다.

사용자 삽입 이미지

대략 10번 이상 업데이트를 진행하므로 매달 둘째 주 수요일은 오전 시간을 업데이트로 다 보내고 있다. 이렇게 보안 업데이트에 신경 쓰는 이유는 보안업데이트를 적용하지 않으면 취약점을 이용한 악성코드 공격 받을 가능성이 높기 때문이다. 여기까지는 보안에 관심 있는 일반적인 사용자들도 하는 일이다.

보안사고, <가상화, 습관, 고민> 3단계로 예방 가능

백신업체에서 악성코드 분석하는 업무를 하다 보니 수많은 보안사고를 접하고 있다. 세상에 믿을게 없다는 지독한(?) 불신을 가지면서 스스로 보다 안전한 컴퓨터 환경을 위해 ‘가상화’, ‘습관’, ‘고민’의 도움을 받고 있다.

1단계. 가상화 - 내 PC내 가상화 프로그램 구축

재작년부터 ‘가상화’ 프로그램을 이용해 컴퓨터 안에 또 다른 컴퓨터 환경을 구축해 두었다. 가상환경은 ‘업무’, ‘인터넷 서핑’, ‘인터넷 뱅킹’, ‘웹하드’, ‘악성코드 분석’ 등으로 나눴다(이 글도 가상환경에서 작성 중이며 작성 문서는 네트워크 드라이브로 실제 시스템에 저장된다).

공격자 입장에서 보면 하나의 가상 환경 내 시스템을 장악할 수는 있어도 주요 정보가 있는 실제 컴퓨터나 다른 가상 컴퓨터를 또 장악해야 하므로 공격이 분명 더 어려워진다. 단, 여러 대의 가상환경을 돌릴 만큼 시스템 성능이 뒷받침 되어야 하므로 상대적으로 최신 시스템이 필요하다.

사용자 삽입 이미지

‘업무’ 환경은 회사 메일 확인과 문서 작업이 가능하게 해뒀고 인터넷 서핑 환경은 인터넷 서핑에필요한 플래쉬 플레이어와 PDF 뷰어 외에는 설치하지 않고 다른 프로그램은 필요할 때마다 설치하고 있다. 인터넷 서핑은 가상환경을 종료하면 이전 상태로 복원되도록 했다. 인터넷 뱅킹 역시 중요한 공인인증서가 보관되어 있으므로 별도로 구성해 두었고 최근 프로그램 업데이트를 통한(특히 웹하드) 악성코드 감염이 증가하고 있어 웹하드 역시 별도 환경으로 분리해 두었다.

실제 시스템에는 주요 악성코드 감염 경로인 문서 편집 프로그램, PDF 뷰어, 플래쉬 플레이어 등은 아예 설치 하지 않았다. 주요 자료는 실제 시스템에 보관해 혹시 가상환경 내 시스템이 악성코드에 감염되어도 접근할 수 없게 해 정보 유출 가능성을 최소화했다.

2단계. 습관 - 구축된 가상환경을 용도별로 사용하는 습관

가상환경 구축만큼 중요한 건 사용 ‘습관’이 아닐까 싶다. 가상화를 구축해도 정작 하나의 가상환경에서 회사 업무도 보면서 인터넷 서핑도 하고 문서 작업도 한다면 악성코드 감염 가능성이 그만큼 높아진다. 따라서, 가상환경을 용도별로 잘 분류해서 해당 용도에만 사용하는 습관이 가상환경 구축만큼 중요하다(사실 가장 좋은 방법은 용도별로 물리적으로 컴퓨터를 분리하고 별도의 인터넷 선을 사용하는 방법이지만 현실적으로 쉽지 않다). 처음에는 다소 불편하지만 회사 메일 확인 등을 하는 업무 가상환경에서는 특별한 경우가 아니면 인터넷 서핑을 하지 않으며 외부에서 받은(회사 직원이 보낸 메일이라도) 문서도 열어보지 않는다.

이들 가상 환경은 윈도우 업데이트 될 때마다 이전 환경으로 복원 후 보안 업데이트를 진행한다. 한달 사이에 악성코드나 외부 침입이 있더라도 생존 기간은 한달 정도가 된다. 제품을 구매할 때도 보안을 고려해 얼마 전 해외 출장을 준비 할 때 애플 맥북 에어를 구매했다. 이전에 사용하던 노트북보다 가볍고 무엇보다 악성코드나 해킹의 가능성이 윈도우보다는 낮기 때문이다(가능성이 낮다는 얘기지 불가능하지는 않다). 윈도우가 꼭 필요한 상황일때는 역시 가상화를 이용하면 된다.
사용자 삽입 이미지


3단계. 고민 - 용도별로 아이디를 다르게 구분하여 사용하도록 고민

공격자들도 사용자 시스템을 장악하기 위해 여러 가지 방안을 마련하므로 최신 공격 방식을 파악하고 좀 더 효과적인 대응 방안을 ‘고민’하고 있다. 시스템 보안뿐 아니라 암호 역시 마찬가지이다. 언론을 통해 어려운 암호를 사용해야 한다고 계속 보도되고 있지만 아무리 어려운 암호도 동일하게 사용한다면 해킹된 다른 사이트를 통해 수집한 아이디와 암호를 대입하는 방식으로 쉽게 뚫릴 수 있다. 필자는 일반, 포털, 금융, 쇼핑 등으로 나눠서 암호를 다르게 사용했다. 하지만, 해킹 위협이 계속 증가하면서 요즘은 자신만의 알고리즘을 만들어 사이트마다 다르게 적용을 시도 하고 있다. 이제는 다른 암호뿐 아니라 용도별로 아이디를 다르게 구분할 예정이다.

하지만, 이렇게 보안에 신경을 쓴다고 해도 공격자가 공격할 수 있는 허점은 물론 존재한다. 가상환경을 구성하는 중간에 악성코드에 감염된다면 악성코드를 포함한 상태로 이미지가 만들어져 완벽한 보안이라고 할 수 없다. 어떤 가상환경을 사용하는지 알 수 있다면 가상환경 프로그램 자체의 취약점을 이용해 가상환경을 벗어나 실제 시스템으로 접근할 수 있다. 암호 역시 사이트마다 다르게 만들어도 일정한 규칙이 있다 보니 1-2개의 암호만 알아 낸다면 다른 암호도 비교적 쉽게 추정할 수 있다. 암호 알고리즘을 더 어렵게 만들어야겠지만 정작 본인이 기억 못할 수 있고 잦은 암호 변경은 자주 방문하지 않는 사이트의 비밀번호를 모르는 상황을 야기한다.


가상공간 아니면 인터넷을 사용하지 않으려는 필자를 보면 지나치게 건강을 걱정하는 ‘건강염려증’처럼 지나친 걱정이 아닐까 싶지만 이 정도는 기본으로 해야 하는 시대가 왔다고 생각된다. 나하나 때문에 자신의 회사 보안이 뚫릴 수 있다고 생각한다면 이런 ‘보안염려증’이 ‘보안불감증’보다 낫다는 믿음을 가지고 있다. Ahn


차민석악성코드 분석가 필자의 다른 글 보기

안철수연구소에서 악성코드 분석 및 연구를 하고 있으며 “안랩 칼럼니스트”로 활동 중이다. ‘쿨캣’이라는 필명으로 더 알려져있으며, 보안 업무 외 정치, 경제, 사회, 역사, 상식 등에도 해박한 지식을 갖추고 싶어하는 화려하진 않지만 알찬 30대 미혼 청년이다.
Writer profile
세상에서 가장 안전한 이름,
안랩입니다.
2011/06/21 06:00 2011/06/21 06:00

스마트폰, 네 가지만 조심하면 스마트하게 쓴다!!

AhnLab 보안in 2010/11/25 06:00

“무지 비싼 장난감

“편리함”

“예쁜 전화기

“풀 터치폰

 

지인들에게스마트폰을 한마디로 표현하면?”이라는 질문을 한 결과 이 같은 대답들을 들을 수 있었습니다. 물론 틀린 말은 아닙니다. 하지만 정작 스마트폰이 컴퓨터라고 생각하는 사람은 잘 없는 것 같네요. 우리가 일반적으로 사용하는 컴퓨터와는 그 형태가 달라 인지하기 힘들지만, 스마트폰은 우리가 늘 사용하는 컴퓨터와 동일한 구조를 가지고 있거든요. 따라서 현재 컴퓨터에서 발생하는 다양한 보안 사고가 스마트폰에서도 발생할 수 있습니다.

또한 Wi-Fi, 3G, Wibro등등 다양한 통신 환경을 사용하므로, 언제 어디서나 인터넷에 연결될 수 있어 더욱  다양한 보안 위협에 놓여 있다고 볼 수 있습니다. 도대체 스마트폰만의 특징이 무엇이고, 보안 사고를 예방하기 위한 방법에는 어떤 것들이 있는지 알아둘 필요가 있겠지요?

 

스마트폰이란?

스마트폰의 산업 표준에 대한 정의는 아직 없지만 일반적으로 다음과 같은 특징들을 가지고 있습니다.

 

● 운영체제를 가지고 있다.

아이오에스(iOS), 안드로이드(Android), 심비안(Symbian)등이 그 예 입니다. 물론 이런 스마트폰의 운영체제에서 사용 가능한 애플리케이션을 개발하기 위한 개발툴킷(SDK-Standard Development Kit)도 제공하여 누구나 스마트폰 애플리페이션을 개발하고 또 배포할 수 있습니다.

 

● 버튼이 거의 없다.

일부 컴퓨터 키보드와 동일한 쿼티(QWERTY) 키를 가진 제품도 있지만, 대부분 풀터치 스크린을 가지고 있습니다. 이는 실행하는 애플리케이션에 따라 그 용도가 바뀌는 스마트폰의 특징 때문이지요. 웹브라우저 애플리케이션을 실행하면 웹브라우저가 되고, 네비게이션 애플리케이션을 실행하면 네비게이션이 됩니다. , 용도에 따라 입력 방법이나 형태가 바뀌어 다양한 용도로 사용할 수 있게 되는 것입니다.

 

● 다양한 통신 방법을 사용할 수 있다.

현재 대부분 3G통신과 Wi-Fi를 지원하고 있습니다. 따라서 일반적인 무선인터넷이라 불리는 Wi-Fi가 지원되는 환경에선 Wi-Fi를 이용할 수 있으며, 그렇지 않은 지역에서는 3G를 이용하여 데이터 통신을 할 수 있습니다. 따라서 출퇴근 시간 지하철 내에서도 웹서핑은 물론, 트위터(twitter)나 페이스북(facebook) 등 다양한 서비스를 사용할 수 있습니다.

 

이런 특징들로 인해 우리는 언제 어디서나 원하는 정보에 손쉽게 접근하고 활용할 수 있어 우리의 삶을 보다 스마트하게 만들어주고 있지요.

 

그렇다면 스마트폰을 사용함으로써 발생할 수 있는 문제점에는 어떤 것들이 있을까요?

넓게 보면 기존의 컴퓨터에서 발생했던 대부분의 보안 사고가 스마트폰에서도 발생할 수 있겠습니다. 하지만 아직까지는 스마트폰의 운영체제가 모바일 환경에 특화되다보니 개인용 컴퓨터보다는 그 위협이 적은 편 입니다. 반면, 수 많은 개인정보 및 사생활이 입력되고 처리되는 스마트폰이다보니 개인용 컴퓨터에서 발생했던 보안 위협과는 또 다른 보안 위협이 존재할 수 있습니다.  이런 보안 위협에는 어떤 것들이 있을까요?

 

- 사생활 및 개인정보 유출

대다수 스마트폰 사용자들은 스마트폰을 통해 일정관리, 메모, 인터넷 뱅킹, 이메일등의 기능을 사용하고 있으며 최근 유행하고 있는 소셜 네트워크 서비스(SNS-Social Network Service)를 사용하고 있습니다.

스마트폰은 자신 혼자만 사용하며, 입력이 조금 번거롭다는 이유로 보안상 중요한 로그인 정보를 자동으로 처리하게 저장해 두는 경우가 많습니다. 또한 소셜 네트워크 서비스를 통해 자신의 일상을 기록하는 사용자들 또한 기하 급수적으로 늘어나고 있지요. 하지만 이런 편리함 이면에는 사생활과 개인정보 유출이라는 부작용도 존재하고 있습니다.

사용자 삽입 이미지

[그림1]단편적인 개인정보들의 조합

[그림 1]과 같이 소셜 네트워크 서비스를 이용할 때, 그 당시에는 의미 없고 단편적인 일일지 모르지만 그런 정보들이 모이고 모이면 중요한 개인정보나 사생활 정보가 될 수 있으며, 또 이렇게 수집된 정보가 악용될 소지 또한 높습니다.

또 문제가 되는 것은 스마트폰 분실 입니다. 이전의 핸드폰은 분실되면 전화번호 정도만 유출되었지만, 스마트폰은 분실 시 저장된 대부분의 중요한 개인 정보들이 유출될 수 있으며, 이 정보들이 악용될 소지도 있습니다.

또한 소셜 네트워크 서비스와 같은 애플리케이션은 실행만 하면 자동 로그인이 되기 때문에, 인터넷상에서 내가 아닌 다른 사람이 내가 되는 상황이 발생할 수도 있지요. 이를 예방하기 위해서는 가급적 스마트폰에 자동 잠금암호 잠금을 활성화 시켜 놓는 것이 좋으며, 민감한 개인 정보들이 많을 경우에는 암호 입력 시도가 일정 횟수 이상 실패하면 스마트폰의 데이터를 자동으로 삭제하는 기능을 활성화 시켜 놓는 것도 도움이 됩니다.
무엇보다 중요한 건 스마트폰이 분실되지 않도록 잘 관리하는 것이 겠지요.

 

- 검증되지 않은 애플리케이션

스마트폰은 누구나 개발툴킷을 이용하여 애플리케이션을 개발하고 또 마켓을 통해 판매가 가능합니다. 따라서 우리는 다양한 스마트폰용 애플리케이션을 다운로드 받고 사용할 수 있습니다. 하지만 이런 애플리케이션 중에서 사용자 개인 정보를 외부로 유출하거나 유료 과금을 하게끔 하는 애플리케이션이 실제 발견되고 있습니다.

사용자 삽입 이미지

[그림2]V3 Mobile로 진단된 안드로이드 악성코드

이런 악성코드들은 애플리케이션 마켓에서는 게임이나 바탕화면 변경 애플리케이션으로 등록되어 있기 때문에 사용자들이 별 의심 없이 다운로드하고 설치하게 됩니다. 물론 애플리케이션 설치전에 해당 애플리케이션이 필요로 하는 기능들이 표시 되긴 하지만, 일반적인 사용자들이 그 정보를 보고 정상 애플리케이션인지 아니면 악성 애플리케이션인지 정확히 판단을 내리는 것은 사실상 불가능 합니다.

 

최근 보다 다양한 기능들을 사용하기 위해 아이폰의 경우 탈옥(JailBreak)’, 안드로이드폰의 경우 루팅(Rooting)’을 적용하여 사용하는 사용자들이 늘어나고 있습니다. 하지만 이렇게 탈옥이나 루팅이 된 스마트폰은 정상적으로 구매하지 않은 애플리케이션을 사용자가 임의로 설치할 수 있습니다. 따라서 정상 애플리케이션을 변조한 뒤 사용자에게 배포하는 경우 악성 여부를 확인할 방법이 없으며, 사용자가 제작한 어떤 애플리케이션이든 설치가 가능하기 때문에 악의적인 목적으로 만들어진 악성코드가 설치될 가능성이 매우 높아집니다.

 

따라서 이를 예방하기 위해서는 애플리케이션을 다운로드 받기 전에 해당 애플리케이션에 대한 사용자들의 평가글을 자세히 읽어보고, 큰 문제가 없다고 판단될 경우에만 다운로드하는 것이 좋습니다. 탈옥이나 루팅을 통해 다양한 기능과 편리함을 얻을 수는 있지만 보안이라는 중요한 부분을 잃게 되기 때문에, 전문적인 지식이 없는 경우 탈옥이나 루팅과 같이 스마트폰의 소프트웨어를 변조하는 행위를 하지 않는 것이 좋겠지요.

 

- 검증되지 않은 무선 네트워크 환경

스마트폰은 다양한 네트워크 환경을 지원합니다. 그 중 많이 사용하는 것이 바로 Wi-Fi 입니다. 3G와는 달리 일반적으로 과금이 되지 않으므로 다른 그 어떤 통신 방법보다 선호하는 통신 방식입니다. 실제 사람들이 많은 곳에서 비밀번호를 사용하지 않은 Wi-Fi AP(Access Point)를 개설해 놓으면 수 많은 사람들이 접속하는 것을 확인할 수 있습니다.

만약, 누군가가 악의적인 마음을 먹고 무료 Wi-Fi AP를 개설해 놓고는, 송수신되는 내역을 모두 확인한다면 어떻게 될까요? 우리가 스마트폰으로 주고 받는 모든 내역이 기록되어 아이디는 물론 패스워드까지 유출될 수 있습니다. 낯선 곳에 갔을 경우 그냥 Wi-Fi 네트워크에 접속하는 습관은 고쳐야 하며, 혹 불가피하게 사용해야 할 경우에는 민감한 개인정보 등은 입력하지 않아야 하겠습니다.

 

- 보안 취약점 공격

최근 스마트폰에서 잇따라 보안 취약점이 발견되고 있습니다. 최근 애플(Apple)사의 아이폰(iPhone)에서 내장된 사파리 웹브라우저를 사용, 어도비(Adobe)사의 문서파일(PDF)를 처리할 때 관리자 권한을 획득할 수 있는 보안 취약점이 발견된 바 있습니다. 실제 이 취약점을 활용하여 아이폰 탈옥(JailBreak)툴이 개발되고 공개 되기도 했었지요.

안드로이드(Android)폰의 경우도 특정 버전에서 웹 브라우저를 통해 관리자 권한을 획득하는 보안 취약점이 발견 되었습니다. 이런 취약점을 이용하면 단순히 웹브라우저를 통해 사이트에 접속하는 것만으로도 악성코드에 감염될 수 있지요.


스마트폰은 그 특성상 감염 시 전화번호, 통화목록, 문자 메시지, 메모, 일정과 같은 개인 정보는 물론 유료 전화나 스팸 문자 메시지 발송등등 실제 금전적 피해가 발생할 가능성이 있습니다. 이를 예방하기 위해서는 스마트폰 제작사에서 배포하는 최신 버전으로 업데이트 해야 합니다.


최근 트위터(Twitter)와 같은 서비스는 짧은 주소 링크를 주로 사용하는데 이런 짧은 주소 링크는 검증이 어려우므로 짧은 주소로 웹사이트에 접속하지 않는 것이 좋습니다. 또한 신뢰할만한 컴퓨터 보안 업체에서 제작한 스마트폰용 백신으로 주기적으로 검사해 악성코드의 유무를 확인해야 합니다.

 

스마트폰이 우리의 삶을 보다 스마트하게 만들어주고 있는 것은 분명합니다. 하지만 그 편리함 이면에는 개인정보 유출, 유료 과금과 같은 보안사고 위험도 함께 공존하고 있습니다. 우리가 집을 비울 때면 조금 번거롭기는 하지만 문단속을 하지요. 그리고 이제는 그 문단속이 큰 불편함으로 느끼지 못할 만큼 익숙해져 있으실 겁니다. 보안도 마찬가지 입니다. 처음엔 조금 불편하겠지만, 익숙해지면 그 불편함은 서서히 사라집니다. 지금부터라도 나의 소중한 개인 정보를 지키기 위해 작은 노력을 시작해보는 건 어떨까요?

박시준 악성코드 분석가

사용자 삽입 이미지

안철수연구소에서 악성코드 분석 업무를 담당하고 있으며안랩 칼럼니스트로 활동하고 있다. 다양한 분야에 대한 스키마를 쌓는 것을 좋아하며, 세상을 함께 살아가는 구성원으로서 다른 누군가에게 조금이라도 도움이 되었으면 하는 마음 가짐으로 오늘도 열심히 하루를 살아가려고 노력하고 있다.


이 글은 안랩닷컴 보안정보 / 보안포커스 / 전문가 칼럼

내 손안의 컴퓨터, 스마트폰 보안 사고 예방법!

에서도 보실 수 있습니다.

 

Writer profile
세상에서 가장 안전한 이름,
안랩입니다.
2010/11/25 06:00 2010/11/25 06:00

어도비 플래쉬 플레이어 제로데이 취약점 악용 악성코드

AhnLab 보안in 2010/10/29 17:47

북미시각으로 10 28일 일부 단체들을 대상으로 한 타켓 공격(Targeted Attack)에 어도비(Adobe) 플래쉬 플레이어(Flash Player)에 존재하는 알려지지 않은 제로 데이(Zero Day, 0-Day) 취약점이 악용된 사실이 알려졌다.

이번에 발견된 제로 데이 취약점에 대해 어도비에서도 CVE-2010-3654 보안 권고문 "Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat"을 게시하였으며, ASEC에서는 해당 제로 데이 취약점에 대해 자세한 분석을 진행 중에 있다.

현재까지 파악된 사항으로는 어도비 플래쉬 플레이어에 존재하는 authplay.dll 파일에 의한 코드 실행 취약점이며 해당 취약점에 노출되는 버전은 다음과 같다.

Adobe Flash Player 10.1.85.3

Adobe Flash Player 10.1.95.2

Adobe Reader 9.4 9.x 버전들

Adobe Acrobat 9.4 9.x 버전들

이번 어도비 플래쉬 플레이어에 존재하는 제로 데이 취약점은 타켓 공격에 악용되었으며 현재까지 알려진 타켓 공격으로 유포된 전자 메일 형식은 다음 이미지와 같다.

사용자 삽입 이미지
해당 전자 메일의 첨부 파일로 News Release.pdf(241,679 바이트)를 가지고 있으며 해당 PDF 파일은 다음 이미지와 같은 구조로 구성되어 있다.

사용자 삽입 이미지
타켓 공격 형태로 유포된 전자메일에 첨부된 취약한 PDF 파일 내부에는 어도비 플래쉬 플레이어 파일인 SWF 파일 2개와 생성되는 트로이목마 1개 그리고 아래 이미지와 동일한 어도비 플래쉬 플레이어의 제로 데이 취약점을 악용하는 쉘코드(Shellcode)가 포함되어 있다.

사용자 삽입 이미지
취약한 PDF 파일이 실행되면 다음 경로에 파일들이 생성되고 실행된다.

C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\~.exe (153,600 바이트)

C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\~temp.bat (131 바이트)


생성된 파일들 중 ~.exe (153,600 바이트)는 백도어 기능을 수행하는 트로이목마로서 실행이 되면 다음 파일들이 생성된다.

C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\nsunday.exe (153,600 바이트)

C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\nsunday.dll (27,649 바이트)


그리고 윈도우 레지스트리에 다음 키 값들을 생성하여 윈도우 시스템 부팅시에 자동 실행 되도록 하고 있다.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

nsunday = "C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\nsunday.exe -installkys"

생성된 nsunday.exe (153,600 바이트)가 다시 생성한 nsunday.dll (27,649 바이트)는 다음 이미지에서와 같이 파이어폭스(Firefox), 인터넷 익스플로러(Internet Explorer) 그리고 아웃룩(Outlook) 프로그램이 실행이 되면 아래 이미지에서와 같이 모듈(Module)로 동작하며 감염된 시스템에서 입력되는 키보드(Keyboard) 입력 값들을 모두 가로채게 된다.

사용자 삽입 이미지
가로챈 입력 값들을 미국에 위치한 시스템으로 HTTPS 프로토콜(Protocol)을 이용하여 전송하게 되며, 그 외에 다음의 악의적인 기능들을 수행하게 된다.

네트워크 프록시 서버(Proxy Server) 기능

컴퓨터명(ComputerName), 인터넷 설정(Internet Settings) 정보 유출

실행 중인 프로그램 정보 유출

시스템 강제 종료 및 재시작

이 번에 발견된 어도비 플래쉬 플레이어에 존재하는 제로 데이 취약점을 악용한 악성코드들은 V3 제품군에서 다음과 같이 진단한다.

 

PDF/Cve-2010-3654

Win-Trojan/Wisp.153600

Win-Trojan/Wisp.27649

 

어도비에서는 이 번 제로데이 취약점을 제거 할 수 있는 보안 패치를 플래쉬 플레이어는 11 9일 경 아크로뱃 리더는 11 15일 경에 배포 할 예정이라고 한다. 그리고 취약점이 존재하는 authplay.dll 파일을 삭제하거나 파일명을 변경하여 보안 패치가 배포 될 때까지 임시 방안을 조치할 것을 권장하고 있다.


Ahn

 

Writer profile
세상에서 가장 안전한 이름,
안랩입니다.
2010/10/29 17:47 2010/10/29 17:47

아이패드 가입자 11만명 해킹 왜 발생했나?

AhnLab 보안in 2010/06/10 16:04

미국 애플의 '아이패드'를 소유한 11만4천명의 이메일 주소가 해커들에 의해 유출된 것으로 확인됐다는 보도됐습니다. 이메일 주소 유출 피해자 중에는 백악관비서실장, 뉴욕시장, 상.하원의원 등 유명인사들도 다수 포함된 것으로 알려지고 있습니다.

미국 실리콘 밸리의 IT 전문 블로그 '밸리왜그'는 9일 '고츠 시큐리티'라고 불리는 해커단이 최근 미국 이동통신회사 AT & T의 아이패드 3G 서비스 가입자 확인 네트워트(ICC-IDS)에 침입해 이메일 주소를 얻었다고 밝히기도 했습니다.

밸리왜그가 공개한 유출 이메일 주소 리스트에는 람 이매뉴얼 백악관비서실장, 마이클 블룸버그 뉴욕시장, 재닛 로빈슨 뉴욕타임스 최고경영자(CEO), 연방 상.하원 의원, 국방부.국토안보부.법무부.항공우주국(NASA) 직원들이 포함돼 있다는 것입니다.

또 타임워너.비아콤(미디어그룹), 골드만삭스, JP 모건, 시티그룹, 모건 스탠리 등의 직원의 이메일 주소도 들어 있다고 합니다.

밸리왜그는 고츠 시큐리티가 이전에도 애플의 사파리와 모질라의 파이어폭스 등 웹브라우저의 취약성을 경고했다고 밝혔는데 이번 해킹으로 이 문제가 입증된 것입니다.

AT & T 측은 성명을 통해 데이터 침입이 있었음을 시인하고 피해를 본 고객들에게 사과했으나 애플은 아직 입장이나 공지를 하지 않았습니다. 

사용자 삽입 이미지

영국 일간 '가디언' 인터넷판은 10일 이번 사건으로 지난 4월 출시돼 두달 만에 전세계적으로 총 200만대 이상이 팔린 아이패드 판매에 영향을 줄 수 있다고 보도했습니다.

가디언은 해커들이 AT & T의 ICC-IDS 시스템에서 약점을 발견했다면 아이폰 3G나 3G 아이패드를 갖고 있는 미국내 모든 사람들의 이메일 주소가 해킹에 의해 도용될지 모른다고 언급했습니다.

밸리왜그는 IT 블로그인 기즈모도의 모회사 '고커 미디어'에 속해 있는데 기즈모도는 지난 4월 아이폰 4G가 공개되기 전 기본적인 사양을 입수해 폭로한 바 있습니다.

사용자 삽입 이미지

오늘 아이패드 사용자의 이메일 주소 유출에 대한 보도를 살펴봤습니다. 그런데 어떻게 이런 해킹이 일어난 것일까요?

해킹 과정을 추정해 요약하면 다음과 같습니다.

1) AT&T에서 서비스 하는 웹 스크립트에 취약점이 존재
2)
무작위로 USIM ID를 생성하여 해당 스크립트로 전송
3)
스크립트는 권한을 확인하지 않고 ID에 해당되는 메일 응답함
4)
응답된 메일을 수집함

more..

결국 AT&T가 웹서비스에 대한 보안을 신경쓰지 않고 개발하여 가입자정보가 유출되는 해킹이 발생한 사건이라는 것입니다.

애플 아이패드 자체의 취약점이 아닌 셈입니다. 그렇지만 애플 아이패드의 가입자 정보를 관리하는 통신사의 보안이 취약하면 언제라도 문제가 발생할 수 있다는 교훈을 주고 있습니다.

보안이 잘된 제품이라도 연관된 통신사나 협력사 그리고 아웃소싱 업체의 보안이 취약하면 사용자는 해킹을 당할 수 있는 구조라는 것입니다. 보안은 제조사와 서비스회사 그리고 개인 모두가 신경써야 할 중요한 문제라는 것을 알 수 있습니다.

웹사이트 보안전문가인 이창우 선임연구원은 "현재 웹서버를 비롯한 웹사이트의 취약점 공격이 급증하고 있다"고 전제하고 "인터넷 사이트 안전을 위한 사이트가드와 같은 보안서비스 등 철저한 대비가 필요하다"고 밝혔습니다.

Writer profile
세상에서 가장 안전한 이름,
안랩입니다.
2010/06/10 16:04 2010/06/10 16:04

남아공 월드컵을 악용한 악성코드 주의

AhnLab 뉴스 2010/05/14 10:39

사용자 삽입 이미지

최근 ‘ASEC(시큐리티대응센터) 리포트에서 발표한 최신 보안 이슈 동향에 따르면, 사용자의 재산과 금전을 노리는 악성코드 감염 4월 보고건수는 3월 악성코드 감염 보고건수 757만 여건에 비해 약 26% 증가한 1,030만 여건으로 나타났습니다. 또한, 월드컵 등을 앞두고 사회적으로 이슈가 되고 있는 사안을 이용해 다양한 악성코드 유포 시도가 증가할 것으로 예상되어 사용자들의 주의가 요망됩니다.

 

특히, 오는 6월 개최되는 2010 남아공 월드컵 관련 내용의 메일로 위장해 어도비 아크로벳 리더의 특정 이미지(TIFF) 파싱(Parsing, 구문분석) 관련 취약점을 악용하는 악성코드 유포 사례가 해외에서 보고 됐습니다. 악의적인 PDF 는 기존에 알려진 CVE-2010-0188 취약점을 악용합니다. 메일로 전송되었던 해당 악성코드는 취약한 어도비 아크로벳 리더에서 읽혀진 경우 TIFF 파일에 대한 잘못된 파싱과 이를 통하여 쉘코드(취약점을 이용해 특정 코드를 실행하게 할 때 사용되는 코드) 가 실행 되며, 이후 특정 폴더에 악성코드 파일을 생성하고 정보의 유출을 시도합니다. 최근에 연이은 PDF 보안 문제가 불거지고 있는 만큼 해당 응용 프로그램 사용자는 반드시 보안 업데이트를 해야 합니다.

 

또한, 안철수연구소를 비롯한 유명 보안업체에서는 올 한해 증가할 보안 위협으로, 인기검색어를악용하는 블랙햇 SEO(블랙햇 검색엔진 최적화, Blackhat Search Engine Optimization) 기법을 이용한 악성코드 유포 및 온라인 사기를 꼽고 있습니다. 사이버 범죄자들은 악성코드 유포지나 온라인 사기를 벌일 수 있는 웹 사이트를 제작한 후 검색 사이트에서 사용자가 히트율이 높은 단어나 주제에 대하여 검색했을 때 자신이 제작해둔 사이트를 상위로 노출시켜 악성코드를 유포하도록 하거나 온라인 신용카드 사기를 유도합니다. 주로 해외에서 자주 보고되었고 마이클잭슨, 김연아 동영상을 가장한 웹 사이트들이 블랙햇 SEO 기법을 통하여 알려진 사례가 있었다. 사용자들은 공식적이거나 신뢰할만한 웹 사이트를 방문하고, 안철수연구소의 무료 웹 보안서비스인 사이트가드(http://www.siteguard.co.kr/) 등을 이용해 안전한 웹 서핑을 하는 것도 도움이 됩니다.

 

이 외에도 얼마 전 국내에서 최초로 발견된 윈도우 모바일 계열 (5.0, 6.1, 6.5버전) 에서 임의로 특정 전화번호의 국제전화를 무단으로 발신하는 스마트폰 악성코드인 트레드다이얼(WinCE/TredDial.a, 일명 3D Antiterrorist)이메일 계정의 도메인 이름을 제목으로 하여 클릭을 유도하는 스팸메일을 통한 악성코드 유포, ▲국내 포털 업체가 제공하는 BGM 플레이어와 CafeOn으로 위장한 키로거를 설치하는 액티브X, ▲끊임 없는 가짜 백신 등이 주요 이슈로 꼽혔습니다. 자세한 사항은 저희의  ASEC 리포트를 참고 하시면 되겠습니다.

 

안철수연구소 조시행 상무는 "최근 월드컵 등의 세계적인 행사를 앞두고 이를 이용하는 악성코드 유포 시도가 보고되었고 이러한 기법은 앞으로도 계속 증가할 것으로 예상된다. 또한, 일반적인 소프트웨어의 취약점을 노리는 악성코드와 결합하는 등 지능화되고 있으며 이외에도 가짜 백신, 사용자 모르게 정보를 탈취하는 트로이목마 등 다양한 보안 위협이 갈수록 증가할 것이다. 사용자는 신뢰할 수 있는 보안 수칙을 잘 지키는 것이 중요하다.”라고 강조했습니다. <Ahn>

 

<보충자료>

 Windows Mobile 계열에서 동작하는 악성코드 국내발견

국내에서 윈도우 모바일 계열 (5.0, 6.1, 6.5버전) 에서 동작하는 스마트폰 악성코드인 WinCE/TredDial.a (일명 3D Antiterrorist)가 발견, 보고 되었습니다. 해당 악성코드는 게임 어플리케이션에 포함 되어 발견 되었다. 해당 악성코드의 실행 후 증상은 임의로 특정 전화번호의 국제전화를 무단으로 발신 하도록 되어 있었습니다. 이 경우 사용자에게 원치 않는 통신비가 과금 되는 상황이 발생 됩니다.

 

 스팸 메일을 통한 악성코드 유포

최근 이메일 계정의 도메인 이름을 제목으로 하여 클릭을 유도하는 스팸메일이 유포되고 있습니다. 예를 들어 사용하는 이메일 계정이 AAA@ahnlab.com 이라면 메일 제목은 "ahnlab.com account notification" 으로 스팸 메일이 들어옵니다. 해당 메일에는 첨부파일이 포함되어 있거나 혹은 URL 링크가 포함되어 있습니다. 이러한 메일에 첨부된 파일이나 URL 링크를 통해 받는 파일은 악성코드이므로 실행하지 않도록 주의해야 합니다.

 

 ActiveX를 통해 전파되는 악성코드

최근 국내 포털 업체의 BGM 플레이어와 CafeOn으로 위장하여 키보드의 입력 값을 훔치는 키로거(Keylogger)를 설치하는 악성 ActiveX가 발견되었습니다. 이번에 발견된 악성코드의 특징은 기존 악성코드들과는 다르게 파일에 대한 디지털 서명까지 포함되어 있었다는 점입니다. 신뢰되지 않은 사이트에서 ActiveX 설치를 요구한다면 주의를 해야 합니다.

 

 끊임 없는 가짜 백신

최근 가짜 백신은 과거와 달리 보안 취약점, 다른 애드웨어의 번들 또는 업데이트 프로그램을 사용, 웹 하드와 같은 인터넷 서비스의 제휴 프로그램으로 설치하는 사례가 부쩍 늘어나고 있습니다. 이렇게 설치된 가짜 백신의 경우 사용자 컴퓨터를 정상적으로 사용할 수 없도록 파일의 실행을 차단하거나, 바탕화면을 변경시켜 사용자의 불안감을 조성하고 허위 또는 과장된 진단 결과를 지속적으로 노출시켜 사용자의 유료 결제를 유도합니다. 이러한 피해를 막기 위해서는 새로운 프로그램을 설치하거나 서비스를 사용할 경우 무조건 ""를 눌러 진행하지 말고 추가로 설치되는 프로그램이 있는지 잘 살펴 보아야 하며 해당 프로그램이나 서비스가 나에게 정말 필요한 것인가를 다시 한번 살펴보고 진행하는 것이 중요합니다.

 

* PC 보안 10계명

 

1. 윈도 운영체계는 최신 보안 패치를 모두 적용한다. 

 

2. 인터넷 로그인 계정의 패스워드를 자주 변경하고, 영문/숫자/특수문자 조합으로 6자리 이상으로 설정한다. 로그인 ID와 패스워드를 동일하게 설정하지 않는다. 

 

3. 해킹, 바이러스, 스파이웨어 등을 종합적으로 막아주는 무료백신 ‘V3 Lite(www.V3Lite.com)’나 유료 토털 PC 케어 서비스 ‘V3 365 클리닉’ 등을 하나 정도는 설치해둔다. 설치 후 항상 최신 버전의 엔진으로 유지하고 부팅 후 보안 제품이 자동 업데이트되도록 하고 시스템 감시 기능이 항상 작동하도록 설정한다.

 

4. 웹사이트에 접속했을 때 악성코드나 스파이웨어가 다운로드되는 경우가 있으니 안철수연구소가 무료로 제공하는 ‘사이트가드’(www.siteguard.co.kr) 서비스를 이용해 예방한다.

 

5. 웹 서핑 때 '보안경고' 창이 뜰 경우에는 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의하는 ''를 클릭한다. 잘 모르는 프로그램을 설치하겠다는 경고가 나오면 ‘예’ ‘아니오’ 중 어느 것도 선택하지 말고 창을 닫는다.

 

6. 이메일 확인 시 발신인이 불분명하거나 수상한 첨부 파일이 있는 것은 모두 삭제한다.

 

7. 메신저 프로그램 사용 시 메시지를 통해 URL이나 파일이 첨부되어 올 경우 함부로 클릭하거나 실행하지 않는다. 메시지를 보낸 이가 직접 보낸 것이 맞는지를 먼저 확인해본다.

 

8. P2P 프로그램 사용 시 파일을 다운로드할 때는 반드시 보안 제품으로 검사한 후 사용한다. 또한 트로이목마 등에 의해 지정하지 않은 폴더가 오픈되지 않도록 주의한다.

 

9. 정품 소프트웨어를 사용한다. 인터넷을 통해 불법 소프트웨어를 다운로드해 설치하는 경우 이를 통해 악성코드가 설치될 가능성이 높기 때문이다.

 

10. 중요한 자료를 주기적으로 백업해 만일의 상황에 정보를 잃는 일에 대비한다.

 

 

Writer profile
세상에서 가장 안전한 이름,
안랩입니다.
2010/05/14 10:39 2010/05/14 10:39

제로데이 취약점 범죄 공격이 급증하는 이유

AhnLab 칼럼 2010/04/05 13:14

이번에는 최근 들어 급증하고 있는 제로데이 취약점 공격에 대해 살펴본다.
2-2. 제로데이(0-day) 취약점 공격

취약점은 악성코드들이 전파를 위해 사용하는 중요한 수단이기 때문에 취약점을 통한 악성코드 전파위협은 과거로부터 충분히 인식되어 왔다. 특히, 제로데이(0-day) 취약점은 예방과 방어책이 아직 존재하지 않기 때문에 공격자에게는 전파 성공률과 확산을 높이는 더할나위없이 좋은 환경을 제공한다.

올해에는 유난히 다수의 제로데이 취약점이 발표되었고, 이를 악용한 많은 악성코드 배포사례들도 보고되었다. 올해 MS사의 보안권고문(MS Security Advisory)을 통해 공식적으로 발표된 제로데이 취약점은 대략 20여개 정도이고, 이 외에 기타 애플리케이션에서도 다수의 제로데이 취약점들이 발표되었다.

다음은 (주)안철수연구소 ASEC 보안권고문을 통해 제공된 대표적인 제로데이 취약점들이다.

사용자 삽입 이미지

<표> 2009년 대표적인 제로데이 취약점

제로데이 취약점을 이용한 공격 방법은 크게 다음과 같이 분류해 볼 수 있다.


■ 직접 근접 시스템의 취약점을 검색하여 전파하는 방법 (ex. 컨피커웜-MS08-067)
■ 사회적 이슈와 결합된 사회공학적 기법(ex. 주요 파일기반 취약점)
■ 웹공격툴킷(Web Exploit Tookit)을 이용한 웹공격(ex. IE 취약점, ActiveX 취약점) 

특히, ActiveX, 인터넷익스플로러(IE), PDF 관련 제로데이 취약점들은 비교적 손쉽게 공격코드제작이 가능하고 사용자층도 방대하기 때문에, 짧은 시간에 다량의 악성코드를 배포하기 위해 매우 효과적이다.

2009년에 발생한 대표적인 제로데이 취약점 공격 사례를 살펴보자.

지난 7월 MS09-032 DirectShow MPEG2TuneRequest 제로데이 취약점은 취약점이 공개적으로 알려지지 않은 시점에서 중국으로부터 시작된 실제 웹 침해공격을 통해서 취약점이 파악된 사례이다. 당시 이미 중국에서 제작된 다수의 취약점 자동생성툴이 공공연하게 공유되기도 하였다.
 

사용자 삽입 이미지







<그림> MS09-032 DirectShow MPEG2TuneRequest 제로데이 취약점 자동생성툴

많은 국내 침해된 웹사이트에서도 해당 취약점과 연결된 공격 페이지들이 발견되었고,  취약점을 통해 루트킷, 트로잔 기능을 갖는 다수의 악성코드가 배포되었다.
사용자 삽입 이미지

<그림> 실제 국내 웹 침해사례

또한, 4월에 보고된 MS09-017 MS Office PowerPoint 코드 실행 취약점(KB969136)은 5월 정기패치(MS09-017)가 발표되기 전에 이미 해당 취약점을 이용한 악성코드가 배포되었고, 6월에는 “에어프랑스 447편 추락” 사건을 이용한 전자메일 전파로 더 큰 이슈가 되기도 하였다.

신규 취약점이 발견하면 제품벤더와의 공조를 통해 취약점을 보완할 수 있는 공식 보안패치가 제공한 이후 발견자의 필요에 의해 공격코드(PoC)를 공개하는 것이 원칙이다. 행여 공격코드(PoC)가 보안패치 제공 이전에 공개되더라도 실제 악용단계가 아닌 경우, 보안 전문가들도 이들 정보를 신속하게 수집, 제품에 적용함으로써 보안패치 제공전(0-day 상황)에도 사용자를 안전하게 보호할 수 있는 방안을 제시할 수 있었다.

그러나, 최근 공격자들의 성향이 금전적 목적으로 바뀌면서 발견한 취약점을 음성적으로 판매하거나 직접 취약점을 이용한 공격을 수행하는 쪽으로 전환되고 있다. 따라서, 얼마나 많은 취약점들이 언더그라운드에서 이용되고 있는지 정확히 알 수 없으며, 공격이 이용되기 전 사전예방을 위한 조치를 취하는 것도 점점 어려워져 가고 있다.

따라서, 많은 보안 전문가들도 취약점 정보에 대한 발빠른 수집과 대응 뿐만 아니라, 제로데이 취약점 자체의 의존성을 벗어나고자, 버퍼오버플로우, 힙스프레이(Heap-Spray) 기법과 같은 공통적 악성행위를 기반으로 탐지율을 높이는 방향으로 전환하고 있다.@

※  본 원고의 저작권은 한국인터넷진흥원(KISA)과 안철수연구소 시큐리티대응센터(ASEC)에 있습니다

         김지훈시큐리티 분석가

안철수연구소의 시큐리티대응센터에서 취약점, 악성코드 및 네트워크 위협 분석을 담당하고 있다. 안철수연구소의 “안랩 칼럼니스트”뿐만 아니라, 다수의 보안 강연 및 컬럼니스트로 활동하고 있다. 일반인들이 쉽게 이해할 수 있도록 보안지식을 전파하는 "전문 보안교육전문가"가 되는 것이 그의 소박한 꿈이라고 한다

위 글은 안랩닷컴  페이지에서도 제공됩니다.
안랩닷컴 보안정보 中 보안포커스 / 전문가 칼럼
틈새로 공격한다. 제로데이 취약점 공격
보안에 대한 더 많은 정보 안랩닷컴에서 찾으세요


Writer profile
세상에서 가장 안전한 이름,
안랩입니다.
2010/04/05 13:14 2010/04/05 13:14

안철수연구소 선정 2009년 10대 보안 위협

AhnLab 뉴스 2009/12/15 11:34

- 지능적 기법으로 진단 회피 등 갈수록 교묘해져
- 7.7 DDoS 대란, 웹 공격의 지능화
- 콘피커, 바이럿, 인덕 등 지능적 악성코드 기승

글로벌 통합보안 기업인 안철수연구소(대표 김홍선 www.ahnlab.com)는 15일 올 한 해 동안의 보안 위협의 주요 흐름을 분석해 ‘2009년 10대 보안 위협’을 발표했습니다. ▶7.7 DDoS 대란 및 DDoS 공격 유발 악성코드 다수 등장 ▶웹 공격의 지능화 ▶사회공학기법에 기반한 스팸봇(SpamBot)의 확산 ▶몸체 없는 악성코드 발생 ▶일반 애플리케이션의 제로데이(0-day) 취약점 지속 발견 ▶SNS(소셜 네트워크 서비스) 및 소셜 메시징 인프라 이용한 피싱 기승 ▶프로그래밍 도구 델파이 감염시키는 바이러스 등장 ▶콘피커 웜, 바이럿 바이러스 등 변종 기승 ▶가짜 백신 배포 방법의 지능화 ▶온라인 게임 해킹 툴 급증이 선정됐습니다.

1. 7.7 DDoS 대란 및 DDoS 공격 유발 악성코드 다수 등장

2003년에 발생한 1.25 대란 이후 최대 사이버 재난으로 기록될 ‘7.7 DDoS(Distributed Denial of Service; 분산서비스거부) 공격’이 발생했습니다. 이는 사전에 12개의 악성코드를 유포해 해당 악성코드가 설치된 다량의 좀비 PC를 이용해 국내외 주요 웹 사이트를 일주일 동안 DDoS 공격한 사건입니다. 여기에 사용된 악성코드는 마이둠 변종 3개와, 네트워크 트래픽을 유발하는 에이전트 6개, 공격 대상 웹사이트 목록을 담은 파일(BinImage/Host), 또 다른 악성코드를 내려받는 다운로더, 공격 후 하드 디스크를 손상하는 트로이목마로 총 12개입니다. 이후 이와 유사한 스케줄링 기능을 활용하여 예정된 시각에 특정 사이트를 공격하는 악성코드(Win-Trojan/SynAttack)나 DDoS 공격을 하도록 설계된 악성코드가 다수 등장했습니다.  

2. 웹 공격의 지능화

웹사이트 공격 기법이 교묘해져 공격 목표 서버로 바로 연결되지 않고 중간에 다른 서버를 거치거나, 정상 링크와 매우 흡사한 링크를 사용하는 등의 기법이 등장했습니다. 다양한 공격 툴을 쓰거나 난독화, 우회 등의 지능적인 방법을 사용하기도 합니다. 특히 2008년 매스 SQL 인젝션(Mass-SQL Injection) 공격으로 소수의 PC에서 다수의 웹사이트를 침해할 수 있게 된 후, 2009년에는 상반기부터 ‘검블러(Gumblar,Geno)’, ‘나인볼(Nine-Ball)’이라는 공격이 가시화했습니다. 하반기에는 이런 공격을 당한 웹사이트에서 다오놀(Win32/Daonol) 악성코드가 유포돼 피해 신고가 급증했습니다. 또한, 분석 및 추적을 방해하는 기법도 지능화했습니다. 이처럼 웹이 주요 공격 목표가 된 이유는 한 번의 공격으로 많은 좀비 PC를 확보할 수 있기 때문입니다. 웹 취약점이 단순히 한 사이트의 웹 침해 사고로 끝나지 않고 대량 공격의 기반으로 확대될 수 있기 때문에 철저한 관리가 중요합니다.

3. 사회공학기법에 기반한 스팸봇(SpamBot)의 확산

올해 기승을 부린 대표적인 스팸봇은 웨일닥(Waledac), 제트봇(ZBot), 브레도랩(Bredolab) 등입니다. 이들은 주로 국제적인 이슈들을 가장한 소식이나 허위 운송장 메일 같은 사회공학적인 기법을 이용해 유포됐습니다. 이들은 단순히 스팸 메일을 보내는 것에 그치지 않고 가짜 백신이나 악성코드를 설치하기도 합니다. 일부 스팸봇은 윈도우 시스템 파일을 감염시키고, 메모리 치료가 필요하거나 자기 보호 기능이 고도화한 형태가 부쩍 증가했습니다.

4. 몸체 없는 악성코드 발생

올해 발견된 콘피커(Conficker), 팔레보(Palevo), TDL루트킷(TDLRootkit) 같은 악성코드의 공통된 특징은 진단/치료가 매우 까다롭다는 것입니다. 이들은 일반 응용 프로그램이 접근하지 않는 특정 메모리 영역에 자리잡고 악의적인 동작을 합니다. 이런 악성코드는 파일을 진단/삭제하는 것으로는 완벽히 치료되지 않으므로 메모리를 치료해야 합니다. 이 밖에 사용되지 않는 디스크 영역에서 동작하는 악성코드도 등장했습니다다. 이처럼 파일 형태로 존재하지 않기 때문에 소위 ‘몸체 없는 악성코드’로 분류됩니다.

5. 일반 애플리케이션의 제로데이(0-day) 취약점 지속 발견

제로데이 취약점은 취약점은 발견됐는데 해당 소프트웨어 개발사의 공식 패치가 제공되기 전 상태에 있는 취약점을 말합니다. 예방과 방어책이 존재하지 않는 상태이기 때문에 다른 위협에 비해 더 큰 피해를 일으킵니다. 액티브X와 인터넷 익스플로러 제로데이 취약점은 과거부터 지속적으로 악용됐고, 최근에는 MS 오피스 제품군과 어도비 리더(PDF) 및 플래쉬 플레이어(flash) 등 대중적인 애플리케이션의 취약점을 이용해 악성코드를 배포합니다. 공격의 위협을 최소화하기 위해 이를 사전 탐지하는 보안 제품을 활용하는 것이 안전합니다.

6. SNS 및 소셜 메시징 인프라 이용한 피싱 기승

타인의 계정으로 메신저에 로그인해 지인인 척 대화 상대에게 금전을 요구하는 사기가 증가했습니다. 계정 노출은 악성코드를 통해 이루어집니다. 이 악성코드는 그림 파일이나 인터넷 주소를 대화 상대에게 보내 접속 시 계정을 입력하도록 합니다. 이와 같이 메신저나 트위터, 페이스북 같은 소셜 메시징 인프라나 SNS(소셜 네트워크 서비스)의 사용자 계정을 탈취해 대화 상대에게 사기를 치는 사건이 빈발했습니다.  

7. 프로그래밍 도구 델파이 감염시키는 바이러스 등장

인덕(Win32/Induc) 바이러스는 일반적인 실행 파일이 아닌 개발자들이 사용하는 프로그래밍 도구 ‘델파이’의 일부 파일을 감염시켜 이슈가 됐습니다. 이 바이러스는 델파이로 파일을 만들 때마다 해당 파일을 감염시킵니다. 따라서, 사용자가 보안 제품으로 치료하는 것은 한계가 있어 델파이 개발자가 개발 소스를 수정해 재배포해야 합니다. 한 외국 백신은 델파이로 개발한 파일을 모두 삭제하는 오진으로 큰 파장을 일으키기도 했습니다.

8. 콘피커 웜, 바이럿 바이러스 등 변종 기승

콘피커 웜(Win32/Conficker.worm)은 2008년 10월 말 첫 보고 이후 2009년 초부터 전세계로 급속 확산됐습니다. 취약점(MS08-067), USB 메모리, 네트워크 공유 폴더 등 다양한 전파 방법을 사용하기 때문에, 확산력이 뛰어납니다. USB 자동 실행(Autorun)과 자기 보호 수단을 가지고 있어서 치료가 쉽지 않습니다. 특히, MS08-067 취약점에 대한 보안 업데이트를 하지 않은 기업은 콘피커 웜의 변종 때문에 피해가 많았습니다. 한편, 2006년 발견된 바이럿(Win32/Virut) 바이러스는 메모리 치료를 하지 않으면 반복 감염되고, 보안 제품의 진단을 회피하는 변형이 지속적으로 제작돼 올해도 많은 피해를 주었습니다.  

9. 가짜 백신 배포 방법의 지능화

올해 들어 가짜 백신 배포 방법이 더욱 교묘해지고 지능화했습니다. 최근의 이슈로 사용자를 유인하고 동영상 재생 프로그램(코덱)이나 동영상 자체로 가장해 배포됩니다. 이들은 바탕화면을 변경하고 사용자가 바꿀 수 없게 만들거나, 컴퓨터의 보안 설정을 변경하거나 인터넷 익스플로러를 제외한 모든 프로세스를 동작할 수 없게 합니다.  

10. 온라인 게임 해킹 툴 급증

온라인 게임 해킹 툴은 비정상적인 방법으로 메모리, 게임 파일, 서버 등에 접근하여 데이터 등을 변조함으로써 게임 플레이를 불공정하게 이끄는 오토 플레이, 메모리 조작 등의 해킹 툴을 의미합니다. 2008년에 급증했던 해킹 툴의 증가 추세가 2009년 들어서도 꺾이지 않고 있습니다. 11월 현재까지 접수된 해킹 툴 건수(1910건)는 안철수연구소가 온라인 게임 해킹 통계를 집계한 2005년 이후 최대 수치이며, 2008년 한 해 동안 접수된 건수(506개)의 4배를 넘습니다.  

안철수연구소 시큐리티대응센터(ASEC) 조시행 상무는 "최근의 보안 위협은 마치 지능범과 같아서 보안 제품의 진단을 회피하는 고도의 기법을 사용한다. 갈수록 교묘해지는 공격 기법에 대응하기 위해 전문적이고 체계적인 보안 관리와 서비스가 중요하다.”라고 강조했습니다. Ahn

 

Writer profile
세상에서 가장 안전한 이름,
안랩입니다.
2009/12/15 11:34 2009/12/15 11:34

아파치 웹서버 DoS 공격 주의

AhnLab 보안in 2009/06/19 18:44
6월 18일 SANS에서 아파치 웹서버 HTTP DoS 툴에 대한 주의 권고가 있었습니다.( http://isc.sans.org/diary.html?storyid=6601) 아파치 웹서버는 국내외 가장 많이 사용(60% 내외)되는 웹서버라 자칫 확산 시 피해 우려가 있어 주의가 필요하여 권고문을 작성/안내합니다.
ASEC Advisory SA-2009-009 
최초 작성일 : 2009/06/19
마지막 개정 : 2009/06/19 17:00:00
위험 수준 : 위험



 ◈ 제목
불안전한 다중 HTTP 접속 요청에 의한 서비스거부 공격 주의

◈ 개요
최근 인터넷에 HTTP 프로토콜에 불안전한 요청을 통해 웹 서비스가 서비스거부(DoS)에 빠지는 공격도구가 공개되었다. 해당 도구를 이용한 공격방식은 과거에도 사용된 적이 있으며, 최근 이를 이용한 도구가 공개되며 악의적으로 이용될 가능성이 높아 사용자들의 주의가 요구된다.

◈ 공격유형
서비스거부공격

◈ 해당시스템
현재까지 알려진 영향을 받는 소프트웨어는 아래와 같다.

Apache 1.x
Apache 2.x
dhttpd
GoAhead WebServer
Squid

◈ 영향
공격자는 해당 도구를 이용하여 대상시스템의 웹 서버에 서비스거부 공격을 수행할 수 있다. 이로 인해 정상적인 웹 서비스 운영을 방해한다.

◈ 설명
이번 공격은 특정 소프트웨어의 취약점이 아니다. HTTP 프로토콜의 구조적인 부분을 이용한 공격으로서, 공격자가 웹 서버에 접속 요청을 할때 연결을 해지하지 않고 지속적으로 같은 요청을 반복해 연결세션을 생성한다. 웹 서버에서 정의된 한계만큼 세션이 접속되어 사용자는 더 이상 접속을 할 수 없게된다. 예를 들면, 공격자는 아래와 같은 정상적인 HTTP 요청을 수행한다.

GET / HTTP/1.1\r\n
Host: host\r\n
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0;) \r\n
Content-Length: 42\r\n

이때 서버는 연결을 오픈하고 기다리지만 공격자는 연결을 계속 유지하기 위하여 임의의 추가적인 헤더를 보내 연결을 해제하지 않는다. 이와같은 요청이 계속될 경우, 연결은 급격하게 증가되어 서비스거부 상태가 된다. 이 같은 방법은 오래전부터 알려져 있던 공격방법중의 하나였으나, 최근 아파치 DoS 공격 도구라는 이름으로 공개되어 이의 악의적 사용이 우려된다.

이 공격의 특징은 대량의 트래픽을 전달하지 않는다는 점이다. 일반적인 공격에 이용되는 DoS 방법은 대량의 트래픽을 전달하여 라우터 및 전체 네트워크에 까지 영향을 미치지만 이 공격은 아주 적은 트래픽으로도 HTTP 서버에 서비스거부 상태를 만들 수 있다. 그러므로, 트래픽이 크게 증가하지 않더라도 이 공격에 예의주시하여야 한다.

현재까지 이 공격이 와일드하게 이뤄지고 있다는 증거는 발견되지 않았다.

◈ 차단정보
이 공격은 취약점을 이용한 것이 아니라 HTTP 의 구조형식때문에 의한 것이므로, 차단은 제한적이다.
다만, 트러스가드(TrusGuard)는 해당 공격도구의 패턴 차단을 제공하고 있다.

◈ 해결책
이 공격의 피해를 최소화하기 위해서는 다음과 같은 방법을 고려할 수 있다. 단, 여기의 모든 방법들은 동일한 해결책이 될 수 없다. 현재 운영하고 있는 웹 서버의 구성과 네트워크 상황에 따라 달라지므로 위협을 최소화할 수 있는 방안을 논의하여 적용할 것을 권고한다. 잘못된 적용은 웹 서버 운영에 큰 문제를 가져올 수 있다.

1. 웹 서버의 Timeout 을 낮게 설정해 HTTP 요청 후 연결이 빨리 끊어지도록 할 수 있다.  기본적으로 아파치 웹 서버는 300 초의 Timeout 을 가지고 있다.

2. IPTable 등과 같은 방화벽을 통해 동시접속을 제한한다. 또는 로드밸런스 등이 영향을 최소화 시켜줄 수 있다.

3. 웹 서버의 지속적인 관찰이 필요하다.

4. 특정 IP 에서 공격이 이뤄지는 경우 해당 IP 를 차단하여 공격을 방어한다.

◈ 참고정보
[1] Apache HTTP DoS tool released
-------------------------------------------------------------------
NO WARRANTY
이 권고문은 ㈜안철수연구소의 ASEC에서 국내 인터넷 보안의 발전을 위하
여 발표하는 보안 권고문이다. ㈜안철수연구소는 이 권고문에 포함되어 있
는 내용 및 기타 어떠한 결과에 대해서도 보장을 하지 못하며, 책임을 지지 않는다.

ASEC Contact Information
Email:
asec@ahnlab.com
Copyright 2002-2009 ASEC(Ahnlab Security E-response Center).
All Rights Reserved.

 

Writer profile
세상에서 가장 안전한 이름,
안랩입니다.
2009/06/19 18:44 2009/06/19 18:44