11월 중순, 웹브라우저의 시작페이지가 “www.3929.cn”으로 고정된다는 신고가 다수의 고객으로부터 다량 접수되었다. 시작페이지 고정의 원인은 BHO(Browser Helper Object)로 설치된 중국산 애드웨어로 인한 것이었다.
[그림 1-1] 3929.cn으로 고정된 시작페이지
이 애드웨어는 해킹된 웹사이트에 삽입되어 있는 Adobe Flash Player의 SWF 취약점을 이용하는 악성 스크립트에 의해 사용자의 PC에 설치되는데, 국내 유명 웹사이트를 포함한 다수의 웹사이트가 해킹되어 애드웨어의 악성코드 유포 경로로 이용되어 국내 고객의 피해 수준은 심각하였으며, ㈜안철수연구소에서는 보안 위협등급을 3단계로 상향 조정하여 대응하였다.
그런데 이번 사건의 SWF 취약점은 사고 발생 이전에 이미 패치가 존재하였으며, 사용자가 미리 Adobe Flash Player의 업데이트만 실시하였다면 충분히 예방할 수 있는 사고였다.
국산 보안 제품을 제거하는 국산 애드웨어 - Win-Adware/NeSearch
바이러스나 웜, 트로이목마 등의 악성코드가 보안제품의 실행을 중지시키거나 삭제하는 경우는 많이 발견되고 있다. 이러한 악성코드의 대부분은 외국에서 제작된 것들이고, 보안제품의 실행을 중지시킨 뒤 시스템에 큰 문제를 일으키거나 게임의 계정정보를 탈취한다. 그런데 최근 국내에서 제작된 리워드 프로그램이 이와 같이 동작하는 것이 발견되었다. 진단명이 Win-Adware/NeSearch인 애드웨어는 다른 애드웨어의 번들 형태로 사용자의 적절한 동의 절차 없이 설치되어, Internet Explorer의 주소표시줄에 입력되는 키워드를 감시하고, 키워드와 관련한 광고를 노출하며, 쇼핑몰 등에 접속시 제휴마케팅 코드를 삽입하여 구매 수익의 일부를 얻는 리워드 프로그램이다.
Win-Adware/NeSearch는 국내 보안제품이 자신을 사용자의 시스템에서 제거하는 것을 막기 위하여 사용자 동의 없이 ㈜안철수연구소의 V3를 비롯한 국내 주요 백신들의 프로세스를 중지시키고 제거하려는 시도를 한다. 물론 V3의 경우 자체 보호 기능이 탑재되어 있기 때문에 해당 애드웨어의 의도와는 달리 중지되거나 제거되지 않는다. 그러나 일부 자체 보호 기능이 미비한 보안 제품의 경우, 이 애드웨어의 의도대로 사용자의 PC에서 보안제품이 중지 혹은 제거되며, 이렇게 될 경우 사용자의 PC가 악성코드로부터의 보안위협에 그대로 노출되기 때문에 매우 심각한 문제를 야기할 수 있다.
지속적으로 Win-Adware/NeSearch에 대하여 모니터링한 결과, 더 이상 배포되지 않고 있는 것으로 추정되며 V3나 스파이제로를 통해 전부 진단 치료가 가능하다. 그러나 앞으로 이와 같은 악성 프로그램이 계속해서 나올 것으로 예상되며 보안업체뿐만 아니라 사용자의 각별한 주의가 요구된다.
적절하지 못한 사용자 동의로 설치된 프로그램으로 인한 피해 증가
PC에 특정 프로그램이 설치되어 불편을 야기하게 될 경우, 해결법을 찾기 위해 인터넷 검색을 해보면 동일한 피해로 인한 사용자의 불만 글을 쉽게 찾아볼 수 있다. 최근에는 리워드 프로그램의 설치로 인한 피해와 이에 대한 해결 방안들이 많이 보고된다.
리워드 프로그램은 사용자가 제휴 쇼핑몰에서 물건을 구매하는 경우 추가 적립금을 지급해 주는 하나의 비즈니스 모델로서 사용자에게 많은 이득을 줄 것 같지만, 엄밀하게 따져보면 사용자에게 주는 혜택은 전혀 없이 해당 프로그램 배포자만이 이득을 보는 경우가 대부분이다.
대부분의 리워드 프로그램이 설치되어 불편을 겪고 있는 PC 사용자들이 자신이 모르는 사이 프로그램이 설치되었다고 주장한다. 반면 리워드 프로그램 제작사는 합법적으로 자신의 프로그램을 배포한다고 말하고 있다. 이 이유는 리워드 프로그램이 불법이라고 단정할 수 없는 방법으로 사용자가 쉽게 인지하지 못하는 방법으로 배포되고 있기 때문이다. 리워드 프로그램과 문제점이 발생하는 원인에 대해서는 ‘ASEC Report 11월 첫번째 컬럼’에서 자세히 소개한다.
- 검사 설정 개선으로 속도 향상, 컴퓨터 자원 효율 높여 - 기업 PC용 V3 차기 제품 내년 초 출시 예정
안철수연구소(대표 김홍선 www.ahnlab.com)는 12일 기업 PC용 통합보안 백신 제품인 ‘V3 Internet Security 7.0 Platinum(이하 ‘V3 IS 7.0 플래티넘’)’을 비롯한 기업, 개인용 V3 패키지 제품군 4종에 적용할 서비스팩1을 개발 완료해 12일부터 배포한다. 서비스팩1이 적용되는 제품은 기업용 ‘V3 IS 7.0 플래티넘’과 ‘V3 IS 7.0’, 개인용 ‘V3 IS 2007 플래티넘’과 ‘V3 IS 2007’이다.
이번 서비스팩1은 예약 검사 등의 설정을 개선해 검사 속도를 높이고 컴퓨터 자원의 효율을 높이는 데 초점을 맞추었으며, 운영체제의 시스템 파일을 보호하는 기능을 더욱 강화했다.
개선된 점은 첫째, 수동/예약 검사를 사용할 때 CPU 사용량을 조절할 수 있는 기능이 추가됐다. 사용자는 필요에 따라 높음(70%), 보통(50%), 낮음(40%)으로 CPU 사용량을 설정해 다른 작업에 부하를 주지 않고 검사를 할 수 있다. 둘째, 예약 검사 시 시스템이 과부하 상태여도 무리 없이 동작할 수 있도록 개선했다. 셋째, 사용자 환경(UI; User Interface)을 개선해 V3를 실행해 메인 UI가 화면에 표시되기까지의 시간을 50% 이상 단축했다. 이 같은 성능 개선에 따라 사용 편의성이 한층 높아지게 됐다.
서비스팩1을 설치하려면 V3 제품군의 [업데이트] 메뉴를 실행해 [환경설정]에서 ‘업데이트할 제품’항목에 ‘패치 파일’이 선택해 두면 자동으로 설치된다. 안철수연구소는 이번 서비스팩1 배포에 이어 기업용 제품의 차기 제품인 'V3 IS 8.0'을 내년 초에 출시할 예정이다.
한편, ‘V3 IS 7.0 플래티넘 엔터프라이즈’는 안철수연구소가 자체 기술력으로 개발한 세계 최고 수준의 기업용 통합보안 제품이다. 올해 6월 CC(Common Criteria; 국제공통평가기준)인증을 EAL4(Evaluation Assurance Level 4) 등급으로 획득했으며, 2007년 2월부터 현재까지 국제 인증인 체크마크를 획득해 글로벌 기술력을 공인 받고 있다. 국내뿐 아니라 일본, 동남아, 북미, 중남미, 유럽 등 전세계 시장에도 판매되고 있다.
이 제품의 주요 특징은 ▶바이러스, 웜, 트로이목마 등 각종 악성코드에서 스파이웨어, 해킹까지 방역 ▶정보 자산 보호 및 금융 사고 방지 ▶컴퓨터 최적화 기능을 통한 효율적 자원 관리 ▶편리한 부가 기능 제공 등이다. 각종 악성코드에 실시간으로 대응하는 한편, 비밀번호, 금융 정보 등 각종 개인 정보가 유출되지 않도록 막아주며 정보 도용 사고 방지 기능으로 금융 사고를 미연에 방지해준다. 또한 열어본 페이지 목록 등 인터넷 사용 시 생성된 각종 파일을 청소하고 메모리를 정리해 컴퓨터가 원활히 작동할 수 있는 최적의 환경을 만들어준다. 64비트, 윈도 비스타 등 변화하는 IT 환경에 최적화했으며, 사용자 중심의 UI(User Interface) 제공으로 관리 부담이 매우 적다. 최고 수준의 긴급 대응 조직인 시큐리티대응센터의 24시간 365일 지원으로 악성코드 및 보안 이슈 발생 시 신속하게 대응할 수 있다는 점도 강점이다.
지난 8월 한 달 동안 네트워크 모니터링 시스템으로부터 탐지된 상위 Top 5 보안위협들은 다음과 같다. 익스플로잇 공격이 주를 이루었던 7월과 달리, 데이터베이스의 관리자 권한을 얻어내기 위한 패스워드 대입 시도 탐지 회수가 3위로 랭크되었다.
순위
취약점 명
비율
1
MS05-027 Vulnerability in Server Message Block Vulnerability
70%
2
MS03-039 Microsoft SQL Server Vulnerability
9%
3
MS-SQL SA brute force login attempt
8%
4
MS04-11 Local Security Authority Subsystem Service(LSASS) Vulnerability
7%
5
MS03-026 Buffer Overrun In RPC Interface Vulnerability
6%
네트워크 공격 취약점 순위
상위 5개의 공격 모두 공개된지 3년 이상 지났지만 아직도 많은 수의 호스트가 이와 같은 취약점의 공격대상이 되고 있다. 이는 여전히 취약점이 패치가 되지 않은 시스템이 많다는 것을 의미하며, 이와 같은 공격 위협을 방어하기 위해서는 시스템의 올바른 패치가 필요하다.
다음으로 주요 탐지 포트들을 통한 동향을 살펴보면, 지난달에 이어 NetBIOS와 관련한 TCP/445, TCP/139, TCP/135 포트가 상위 랭크를 차지하였으며 해당 취약점은 MS03-026, MS04-011, MS06-040과 같다. 특이한 점은 80포트를 이용한 트래픽이 엄청 나게 증가한 것으로 악성코드 감염 후 재차 다른 악성코드의 전송을 요청하는 다운로더에 의한 것으로 추정된다. SQL 취약점이 사용하는 TCP/1433 포트는 큰 수치로 3위에 랭크 되었으며, 또한 악성코드를 다운로드하기 위해 이용되는 TFTP 서비스로 인하여 UDP/69 포트에 대한 트래픽이 주요 공격 포트에 랭크 되었다.
공격에 이용된 포트 별 분포
공격 발생지 별 국가현황을 살펴보면, 한국은 여전히 1위를 차지하고 미국이 3위에서 2위로 한단계 올라섰다. 한국은 많은 공격을 받고 악성코드에 감염 되면서, 재차 공격을 시도하고 그로 인해 공격 발생지 국가에서 상위를 차지하는 것으로 추정된다. 중국이 14위로 10위권 내에 랭크 되지 못하였고 11위에서 14위로 순위가 내려갔으나, 주의 깊게 지켜 보아야 할 국가일 것이다.
공격 국가별 순위 및 비율
DNS 의 Cache Poisoning 취약점에 따른 네트워크 현황
다음 그래프는 7월 24일 공격 코드가 공개된 DNS 캐시 오염에 관한 위협 정도를 알아보기 위해 지난 한 달간 UDP/53번 포트의 트래픽양을 조사한 것이다. 갑자기 트래픽양이 증가한 날이 있었지만 양의 증가형태가 지속적이지는 않다. 따라서 이러한 증가가 공격의 형태라고는 단정하기 어렵다. 하지만 이 취약점은 DNS를 이용하기 때문에 이러한 큰 파장을 일으킬 수 있고 따라서 항상 동향에 주목해야 한다.
