■  잉카인터넷 2009년 상반기 악성코드 동향 보고서

이번 동향 보고서는 잉카인터넷 시큐리티 대응센터(ISARC)에서 2009년 상반기에 출현하였던 대표적인 악성코드들의 발생 동향을 되짚어보고, 차후 분기별 보안 위협에 대한 전망과 하반기에 출현 가능한 위협 요소를 예측하여 사전에 대처할 수 있는 기초 자료로 활용하는데 그 취지가 있으며, 각 계 보안 의식 제고에 대한 공감대 형성을 이루는데 그 주 목적이 있다.

① 온라인 게임 계정 탈취 목적의 웹 해킹 여전히 기승

유명 온라인 게임 사용자들의 개인 정보(아이디, 암호 등)를 불법적으로 탈취한 후 해당 정보를 도용하여 금전적인 수익을 챙기는 사이버 범죄가 끊이지 않고 있으며, 이 과정에서 발생하는 다량의 웹 사이트 불법 변조(Exploit Code 삽입)와 게임 계정 탈취 기능(Password Stealer)을 가진 악성코드 유포가 연일 기승을 부리고 있다. 

특히, 신종 악성코드 유포를 국지적으로 좀더 쉽고 빨리 진행하기 위한 방식이 다각적으로 시도되었는데, 그 중 2009년 상반기에는 네이트온(Nate On) 메신저와 쪽지 등을 통한 한국적 공격 방식이 활발히 도입되어 지속적으로 사용되고 있는 것이 특징이라 말할 수 있고, 이동식 저장 매체를 통한 감염기법(Autorun.inf)도 꾸준히 성행하고 있다.



② MS08-067 취약점을 이용한 Kido(Conficker) 웜의 다변화

Kido(Conficker) 네트워크 웜의 변종이 지속적으로 발견되어 개인 및 기업에 많은 피해를 입혔으며, 특히 다양한 방식을 통한 전파방식을 사용함으로써, 재감염되는 사례가 속출하는 양상을 보이기도 하였다.

※ 전파방식

- 이동식 저장 매체의 자동 삽입 실행 기법과 난독화된 Autorun.inf 파일을 이용한 전파
- 취약한 단순 암호 사전 대입법을 통한 전파
- MS08-067 취약점을 통한 전파 등

이 웜의 근본적인 차단을 위해서는 마이크로 소프트사의 보안 업데이트가 중요하다.

http://www.microsoft.com/korea/technet/security/bulletin/ms08-067.mspx



③ 사회공학적 기법의 악성코드 수시 등장

오바마 미국 대통령과 관련된 허위 웹 페이지를 이용하거나, 연말연시 새해 축하 카드, 발렌타인 데이 카드, 허위 테러 공격 뉴스, SMS Spy 등을 이용하는 등 사회적으로 이슈화되고 있거나 관심이 있는 내용들을 통해서 변종 Iksmas(Waledac) 웜을 지속적으로 유포하는 사례가 발견되었다.

http://www.nprotect.com/v6/contents/index.php?mode=inca_sc_view&no=63
http://www.nprotect.com/v6/contents/index.php?mode=inca_sc_view&no=62
http://www.nprotect.com/v6/contents/index.php?mode=inca_sc_view&no=58
http://www.nprotect.com/v6/contents/index.php?mode=inca_sc_view&no=54
http://www.nprotect.com/v6/contents/index.php?mode=inca_sc_view&no=52

인터넷 사용자들을 현혹시켜 악성코드에 노출되도록 만든 후 감염된 사용자들의 컴퓨터를 Bot Net 등으로 활용하고, Zombie PC를 경유지로 하여 비아그라 제품 판매 등의 광고성 SPAM 메일을 보내는데 악용하는 사례가 다수 발견되었다.

악성코드 유포를 통해서 불특정 다수에게 특정 광고 메일을 보낼 수 있도록 만들고, 이를 통해서 발생된 수익금을 모으기 위한 지능화된 사이버 범죄의 한 형태라 말할 수 있다.



최근에는 마이클 잭슨의 사망 동영상 이라는 내용으로 사용자들을 현혹하여 악성코드에 감염되도록 유도하는 형태도 다수 발견되고 있다.

http://www.nprotect.com/v6/contents/index.php?mode=inca_sc_view&no=65

④ Adobe Reader, PowerPoint 등 Zero-Day취약점 공격 보고

보안 패치가 발표되지 않은 새로운 취약점을 이용한 원격코드 실행 기법이 등장하여 Adobe Reader 와 PowerPoint 프로그램을 이용하고 있는 사용자들에게 새로운 위협 요소로 작용하였다.

근래에는 PDF, SWF, Office 파일의 취약점을 악용한 Exploit Code 공격이 활발히 사용되고 있기 때문에 Windows 운영체제의 보안패치 뿐만 아니라, 주요 응용 프로그램의 보안패치도 꾸준히 설치해 주어야 한다.



⑤ 시스템 날짜를 2090년으로 변경하는 악성코드 이슈

MS08-067 취약점을 이용하여 확산한 악성코드로 감염시 시스템 날짜를 2090년으로 변경하는 증상 때문에 일명 "2090 바이러스"라는 이름으로 이슈화 되었다.

확인되지 않은 일부 게시글 등을 통해서 "포맷을 하여도 제거되지 않는 등"의 위협적인 기능을 가지고 있는 것처럼 과장 해석되어 언론화되는 문제도 있었는데, 이러한 악성코드가 출현할 경우 전문 보안업체의 신뢰할 수 있는 분석자료를 통해서 알려지도록 하는 필요성도 대두되기도 하였다.



⑥ Virut 바이러스 변종 피해 증가

EXE, SCR 등의 실행파일을 감염시키는 Virut 바이러스 변종이 지속적으로 발견 보고되고 있으며, 최근에는 mIRC 명령을 통해서 허위 Anti-Virus 제품 유포 등을 하는 행동도 포착된 바 있다.

Virut (변종) 바이러스를 제작하고 유포한 사람 역시 감염된 사용자들로 하여금 불법적으로 돈을 벌기 위한 목적을 가지고 있었다는 것을 증명한 사례라 할 수 있다.

⑦ 허위 Anti-Virus 제품 다수 등장

허위로 악성코드 진단 화면이나 경고창을 띄어 사용자들에게 유료 결재를 유도하는 형태의 Fake AV 제품류가 다수 발견되었다.

이러한 종류의 가짜 프로그램들은 보안 업계의 전반적인 신뢰도에도 악영향을 끼치고 있으며, 사용자들의 보안 경각심 저하와 악성코드에 대한 민감도를 감소시키는 주된 요인으로 작용되고 있다.


 
※ 마무리

이처럼 2009년 상반기의 악성코드 동향은 공격 형태가 점차 지능화되고 있으며, 불특정 다수와 특정 대상을 겨냥한 국지성 공격이 함께 증가하고 있기 때문에 전문 보안 업체의 역할은 더욱 더 중요한 시점이며, 앞으로도 전문적이고 체계적인 대응조직을 통한 신속하고 정확한 보안 서비스가 필요로 하고 있다.

[잉카인터넷 시큐리티 대응센터 / 대응팀 / 문종현 팀장]

출처 : http://www.nprotect.com/v6/contents/index.php?mode=inca_sc_view&no=66