안철수연구소, 2011년 1분기에는 어떤 악성코드들이 출현했나?

2011.04.27

 

 안녕하세요. 안철수연구소 ASEC에서 2011년 3월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2011 Vol.15을 발간하였습니다. 이 번  Vol.15에서는 2011년 1분기를 마감하며 지난 1분기 동안 발생한 다양한 보안 위협들에 대해서도 같이 다루고 있는데요, 어떠한 악성코드 이슈들이 있었는지 살펴보겠습니다^ ^


■ 정교한 타깃 공격에 기반을 둔 APT 위협과 관련 보안 사고들

 

 

 특수 목적으로 정교하게 제작되는 APT 보안 위협들과 관련된 보안 사고가 상반기에만 두 차례나 발생하였습니다. 2011년 2월에 알려진 나이트 드래곤(Night Dragon) 보안 위협의 목적은 글로벌 에너지 업체들을 대상으로 해당 업체들이 가지고 있는 영업 비밀들을 탈취하는 것이었는데요, 해당 보안 사고에는 최소 1년 이상 정교하게 제작된 악성코드를 포함한 다양한 보안 위협들이 악용되었습니다.
3월에 알려진 EMC/RSA 보안 사업 본부에서 발생한 보안 사고는 3가지 공격 기법이 조합된 고도의 APT 보안 위협 형태입니다. 먼저 SNS 웹 사이트들에서 사전에 RSA 내부 임직원들의 개인 정보를 수집하고, 고도의 사회 공학 기법이 적용된 타깃 공격을 해당 임직원들에게 수행하였습니다.

마지막으로 어도비 플래시 플레이어에 존재하였던 제로 데이(Zero Day) 취약점을 악용하여 내부 RSA 내부 네트워크 침입을 위한 악성코드 감염을 수행하였다는 점이 특징이었습니다.

* 사회공학 기법: 시스템이 아닌 사람의 취약점을 공략하여 원하는 정보를 얻는 공격기법. 인터넷의 발달로 이메일, 인터넷 메신저, 트위터 등을 통해 사람에게 접근하는 채널이 다각화됨에 따라 지인으로 가장하여 원하는 정보를 얻어내는 공격방법
* 제로 데이 취약점  :보안 취약점이 발견되었을 때 그 문제의 존재 자체가 널리 공표되기도 전에 해당 취약점을 악용하여 이루어지는 보안 공격. 공격의 신속성을 의미하는 것으로, 일반적으로 컴퓨터에서 취약점이 발견되면 제작자나 개발자가 취약점을 보완하는 패치를 배포하고 사용자가 이를 내려받아 대처하는 것이 관례이나, 제로 데이 공격은 대응책이 공표되기도 전에 공격이 이루어지기 때문에 대처 방법이 없다.

이렇게 고도화되고 정교한 APT 보안 위협은 앞으로도 지속적으로 발생할 것으로 예측되는데요, 어느 때보다도 사회 공학 기법에 대응하기 위한 보안 인식 교육의 중요성이 강조됩니다~!

■ 다양한 언어를 지원하도록 제작되는 악성코드들

 2010년 국외에서 제작되는 허위 백신들이 비영어권 컴퓨터 사용자의 감염된 컴퓨터에 설치된 윈도 언어로 허위 감염 결과를 보여주는 사례가 있었습니다.

감염된 컴퓨터의 윈도 언어 정보를 이용하여 해당 문화권의 언어로 허위 정보들을 보여주는 사례는 금전적 목적으로 감염된 컴퓨터의 정상 사용을 방해하는 랜섬웨어(Ransomeware)에서도 발견되고 있습니다. 이는 해당 문화권의 언어로 허위 정보들을 제공하여 불법적인 금전 획득의 가능성을 더욱 높이기 위한 고도화된 사회 공학 기법으로 볼 수 있습니다.

이러한 다국적 언어를 지원하는 악성코드의 형태는 2011년 하반기에도 지속적으로 발견된 것으로 보입니다. 앞으로는 이러한 형태가 악성코드뿐만 아니라 피싱(Phishing)등의 다른 보안 위협들에도 적용될 것으로 예측되므로 각별한 주의가 필요합니다.

■ 클라우드에 기반을 둔 보안 제품을 공격하는 악성코드 출현!

 

 해가 갈수록 급속하게 증가하는 악성코드의 양적 그리고 질적 위협에 대응하기 위해 보안업체들은 새로운 대응 기술들을 만들어가고 있습니다. 이러한 대응 기술 중 하나로 클라우드(Cloud) 시스템들을 기반으로 일반 컴퓨터에서 적용하기 어려운 다양한 기술들이 포괄적으로 적용된 클라우드 백신(Cloud Anti-Virus)이 있는데요~.

 보안 업체들이 가지고 있던 기존의 대응 기술의 한계점을 극복한 클라우드 백신은 과연 획기적인 대응 기술의 발전을 보여주었으나, 이러한 대응 기술을 우회하거나 회피하기 위한 목적으로 제작된 악성코드가 2011년 1월에 발견되었다. 말 그대로 창과 방패의 겨룸이라고 볼 수 있습니다.

 클라우드 백신의 탐지를 우회하기 위한 목적으로 제작된 해당 악성코드는 감염된 컴퓨터의 진단 관련 정보가 네트워크로 전송된다는 점을 악용하여 네트워크 전송을 방해하고 있습니다. 앞으로는 비정상적인 파일 형태와 형식 등을 악용하여 클라우드 시스템들의 자원을 과다하게 소모하게 해 정상적인 서비스가 불가능해지도록 하는 서비스 거부(Denial of Service) 형태 등으로 클라우드 백신의 탐지를 우회하고자 하는 기법들이 등장할 것으로 예측됩니다.

 

■ 7.7 DDoS를 업그레이드한 3.4 DDoS 공격

 2009년 7월 7일 정부 기관 및 민간 기업들의 웹 사이트를 대상으로 발생하였던 분산 서비스 거부(DDoS: Distributed Denial of Service) 공격이 2011년 3월 4일 다시 발생하였지요? 2009년과 비교하여 공격 대상이 되는 웹 사이트가 40곳으로 증가하였으며, 백신 제품들의 업데이트로 인해 공격을 수행하는 악성코드가 진단되는 것을 회피하기 위해 업데이트 방해 기능도 포함되었습니다. 그리고 하드디스크 손상 대상이 되는 운영체제도 모든 윈도 버전들이 대상이 될 정도로 2009년과 비교하여 더욱 정교하고 치밀하게 제작되었는데요. 말그래도 지능화, 복잡화 되었습니다.

 

■ SNS를 이용한 악성코드의 다양한 형태로 증가

 

2010년이 소셜 네트워크 서비스(SNS: Social Network Service)가 악성코드를 포함한 보안 위협들의 새로운 전파 경로로 시작된 해였다면, 2011년 1분기에는 본격적인 보안 위협의 양산이 시작되는 해로 볼 수 있을 것 같습니다.
 

단축 URL의 악용으로 사전에 유해성을 검사해주는 보안 단축 URL이 개발되자, 1월에는 이러한 보안 단축 URL을 악용하여 허위 백신을 설치함으로써 악성코드의 감염을 시도하는 트위터(Twitter) 메시지들이 유포되기도 하였습니다. 2월에는 페이스북(Facebook) 담벼락으로 페이스북 이용자들의 개인 정보를 탈취하기 위한 목적의 악성코드를 내려받도록 유도하는 게시물들이 유포되었구요. 같은 달 페이스북 사용자 간의 채팅 메시지를 악용하여 허위 페이스북 웹 페이지로 접속을 유도하여 악성코드를 내려받도록 유도하는 기법도 발견되었다.

소셜 네트워크 서비스를 제공하는 시스템 내부와 외부 환경을 악용하는 보안 위협들은 앞으로도 지속적으로 증가할 것으로 예상되므로 소셜 네트워크 서비스 이용자의 각별한 주의가 필요하겠습니다.

■ 실제 백신으로 위장한 허위 백신들

 

▲ 과금 결제를 유도 하는 AVG백신을 위장한 허위 백신
 
지난 2010년에는 허위 백신들이 다양한 문화권에 존재하는 언어들을 사용함으로써 허위 백신의 감염 성공률을 높이는 수법을 많이 사용하였습니다. 이러한 허위 백신들의 감염 기법 고도화는 널리 알려진 정식 백신 제품의 사용자 인터페이스와 아이콘 등을 도용하여 컴퓨터에 감염된 허위 백신이 실제 백신 제품으로 오인하게 까지 제작되고 있습니다.

 2011년 1월 국외 유명 백신 제품인 AVG 백신의 사용자 인터페이스와 아이콘 등을 도용하여 감염된 컴퓨터 사용자들로 하여금 현재 동작하고 있는 백신이 실제 정식 백신으로 오인하도록 하여 금전적 이윤 추구의 성공 가능성을 더욱 높이고자 한 사례가 발견되었습니다. 이렇게 허위 백신이 실제 백신으로 위장한 사례가 발견된 만큼 앞으로도 허위 백신들은 실제 백신으로 오인하게 하는 다양한 기능들이 포함될 것으로 예측됩니다.

■ 본격적인 모바일 악성코드의 양산!

 2010년이 스마트폰을 대상으로 하는 악성코드들의 제작과 유포를 위한 실험적인 보안 위협들이 만들어진 해였다면, 2011년 1분기는 실제 스마트폰에서 다양한 개인 정보들을 탈취하기 위한 악성코드들의 본격적인 양산이 시작된 시기로 볼 수 있습니다.
 
 2월 감염된 안드로이드(Android) 스마트폰에서 개인정보를 탈취하기 위해 제작된 Adrd 와 Pjapps악성코드를 시작으로 하여 3월에는 구글(Google)에서 운영하는 정식 안드로이드 앱스토어가 아닌 제3의 앱스토어를 이용하여 통화 명세까지 탈취하기 위한 Adrd 변형도 발견되었습니다.  같은 3월, 구글에서 배포하는 안드로이드 보안 앱 형태로 위장한 BgService가 제 3의 앱스토어를 통해 유포되었던 사례도 있는데요.
 
 특히 안드로이드 앱이 가지는 구조적인 형태를 악용하여 정상 앱 내부에 악의적인 목적으로 제작된 파일을 강제로 삽입한 후 리패키징하는 방식이 매우 증가한 것으로 나타났습니다. 앞으로는 이러한 리패키징 형태의 안드로이드 악성코드가 더욱 증가할 것으로 예측됩니다.