Newsletter2013.12.24 08:42

 

 

안랩(대표 권치중)은 2013년 한 해 동안 발생한 보안 위협의 주요 흐름을 분석해 ‘2013년 7대 보안 위협 이슈’를 18일 발표했다.

안랩이 발표한 올 한 해 주요 보안 이슈는 ▲보안 위협의 고도화 및 대규모화 ▲국제적 APT 공격그룹의 국내 진출 현실화 ▲스미싱 모바일 악성코드의 폭발적 증가 ▲관리자 계정정보를 직접 노리는 악성코드 변형 확산 ▲국지화되는 소프트웨어 취약점 악용 ▲진화하는 인터넷 뱅킹 악성코드 ▲랜섬웨어 고도화 등이다.

 

1. 보안 위협의 고도화 및 대규모화

2013년에는 대규모 보안 위협이 두 차례나 발생하는 등 보안위협이 고도화 및 대규모화 되는 경향을 보였다. 3월 20일, 금융/방송사를 대상으로 발생한 대규모 보안사고와 6월 25일에 발생한 정부, 공공기관에 대한 하드디스크 파괴와 디도스(DDoS, 분산서비스거부)공격을 병행한 보안 위협은 단순 좀비 PC를 사용한 2009년 7.7 디도스, 2011년 3.4 디도스와 달리 APT(Advanced Persistent Attack, 지능형 지속 공격)공격이 국내 기반 시설에 동시다발적 피해를 준 사례였다.

특히, 이전의 불특정 다수에 대한 무차별적인 악성코드의 유포와 달리, 특정 프로그램의 업데이트 기능 취약점, 웹 취약점, 스피어피싱 이메일(특정 표적에 최적화된 내용의 악성 메일) 등을 이용하고, 내부 침투 이후 장기간 분석으로 각 피해 사의 내부 인프라를 이용한 공격을 수행했다. 또한, 분석 및 복구가 어렵게 단기간 내 악성코드를 업그레이드하는 등 공격과정에서 지능적인 모습을 보였다.

 

2. 국제적 APT 공격그룹의 국내 진출 현실화

2013년에는 국제 APT 공격그룹의 국내활동이 활발한 해였다. 국내 국방기술과 제조 관련 기업의 첨단기술 유출을 목적으로 하는 공격그룹과 2011년부터 지속적으로 게임머니 상승과 게임 인프라 구축 기술 유출을 목적으로 하는 공격 그룹 등의 활동이 보고 됐다.

국내에서 활동이 보고된 APT 공격그룹은 다양한 공격 방법과 치밀한 침투 시나리오, 표적 별로 특화된 악성코드를 사용하는 특징을 보여주었다. 이와 같은 고도화된 공격 기법을 사용하는 국제적 사이버 산업스파이 그룹은 공격 목적에 따라 국가/군사 기관과 범죄 집단의 지원을 받고 있는 것으로 추정되며, 다국어에 대한 처리가 가능한 인력으로 구성된 것으로 보인다. 풍부한 자본과 체계적인 공격조 구성, 기술력을 바탕으로 여러 국가의 고급 정보를 유출하는 시도가 국내에서도 발생해 APT 공격이 현실화되는 단면이 나타났다.

 

3. 스미싱 모바일 악성코드의 폭발적 증가

지난해 30여 건에 불과했던 스미싱 악성코드는 2013년에는 11월까지만 4천 6백여 건이 확인되었다. 초기에는 소액결제 시 인증 문자를 유출하는 기능으로 시작했으나 최근에는 스마트폰에 설치된 은행 앱의 종류를 식별하고 설치된 은행 앱을 악성 앱으로 교체해 사용자가 스스로 금융정보를 입력하도록 유도하는 파밍 형태가 많이 발견되고 있다. 최근에는 보이스피싱으로 악성 앱 설치를 유도하는 결합 형태도 확인되었다.

정부와 보안 업체들은 다양한 방법을 통해 스미싱 악성코드의 피해를 예방하기 위해 노력하고 있으나, 스미싱 악성코드 코드는 꾸준히 발견되고 있으며 스마트폰 사용자의 금전 피해도 계속해서 늘어나고 있다. 사용자의 악성앱 설치를 유도하기 위한 스미싱 문구도 특수 시즌 활용, 기관사칭, 관혼상제, 사회적 이슈, 불안감 조성 등 사람들의 호기심을 자극하는 사회공학적 기법과 최근에는 기 유출된 개인정보를 조합하는 등 다양한 형태로 빠르게 진화하고 있는 추세다.

 

4. 관리자 계정정보를 직접 노리는 악성코드 변형 확산

올해 초부터 발견된 ‘관리자 계정정보 유출 악성코드’의 변형이 인터넷 익스플로러(IE) 제로데이 취약점(CVE-2013-3897)을 이용해 올 여름에는 급속히 국내에 유포되는 등 관리자 계정을 직접 노린 보안위협이 오래 지속됐다.

특히 IE 취약점을 이용한 경우, 사용자가 해당 취약점이 존재하는 IE를 사용하는PC로 악성코드를 유포하는 웹사이트에 접속하기만 해도 감염되는 방식이다. 탈취된 계정을 이용하여 서버를 장악하면 기업 내부에 침투 또는 민감한 정보를 훔쳐낼 수도 있으며 해당 웹 사이트를 악성코드 유포지나 경유지로도 사용될 수 있다.

이 악성코드는 주요 계정 정보 유출, 기업 내부 침입, 디도스 등 다양한 목적으로 악용이 가능해 이용자 피해 방지를 위해 한국인터넷진흥원(KISA), 네이버, 안랩이 공동 대응을 진행하기도 했다.

 

5. 국지화되는 소프트웨어 취약점 악용

올 한 해에도 교회, 학교, 관공서, 호텔, 택배 및 웹하드 등 우리가 손쉽게 접근하는 다수의 국내 온라인 사이트들이 악성코드 배포처로 이용되었는데, 이는 인터넷 이용 시 필요한 상용 소프트웨어의 취약점을 해커들이 지속적으로 이용하는 경향이 지속되었기 때문이다. 특히, 프로그래밍 언어의 일종인 언어인 자바(Java)와 마이크로소프트(MS)사의 인터넷 익스플로러(IE), 플래시파일 재생 도구인 플래시 플레이어(Flash Player)와 같은 프로그램의 취약점을 이용하는 공격사례가 다수 발견 되었다.

이와 함께, 몇 년 전부터는 국내에서 많이 사용하는 문서 편집 프로그램과 같은 로컬 소프트웨어의 취약점을 악용하는 사례도 점차 증가세에 있다. 국내에서도 다양한 애플리케이션을 이용하는 공격이 활발하게 지속하고 있기 때문에 사용자들은 백신 업데이트, 보안패치 설치 등 각별한 주의가 필요하다.

 

6. 진화하는 인터넷 뱅킹 악성코드

전자금융사기수법은 피싱, 파밍, 보이스 피싱, 스미싱, 메모리 해킹 등 PC/모바일을 가리지 않고 매우 다양해졌다. 특히, 올해 6월과 9월에 발견된 온라인 게임핵 악성코드(온라임 게임계정 탈취 기능)에서 기존에 없었던 국내 인터넷 뱅킹 사이트 대한 정보유출 기능이 확인되었다. 해당 악성코드에서 사용한 각 뱅킹 사이트 별 ‘메모리 해킹을 통한 보안모듈 무력화’ 및 ‘이체정보 변조’의 기능은 기존의 뱅킹 악성코드에서 볼 수 없었던 새로운 기법으로, 진화하고 있는 인터넷뱅킹 악성코드의 트렌드를 보였다.

‘메모리 해킹을 통한 보안모듈 무력화’ 악성코드는 사용자가 금융거래를 위해 금융기관 사이트 방문 시 보안을 위해 자동으로 구동되는 키보드 보안솔루션, 공인인증서 등 보안모듈의 메모리를 해킹(수정)하여 정상 작동 과정에서 정보를 유출한다. 해당 악성코드의 최초 발견 이후 무력화를 시도하는 보안모듈도 지속해서 추가되었으며, 보안모듈 업데이트마다 악성코드도 변경되는 치밀함을 보였다.

9월에 발견된 ‘이체정보 변조’ 악성코드는 기존 메모리 해킹(수정)방식에, 인터넷뱅킹 거래 시에 공격자가 원하는 특정 은행 계좌번호와 이체 금액으로 변경하는 기능이 더해졌다. 사용자가 인터넷뱅킹을 시작할 때만 동작해 금융정보 유출을 하는 것은 물론이고, 사용자가 특정 은행에서 금전을 이체할 때 1)받는 사람의 계좌번호를 공격자의 계좌번호로 몰래 바꾸고, 2)사용자의 계좌 잔액을 파악(공격자가 설정한 기준금액에 맞거나 더 많을 시)한 후 이체하는 금액도 사용자 몰래 수정한다.

2가지 형태의 공격에 대한 예방을 위해서 인터넷 뱅킹 사용자는 비정상적으로 은행거래가 종료(강제 로그아웃)된 경우, 인증서를 갱신하거나 금융기관을 통해 해당 계좌에 대한 거래중지를 요청하고 악성코드 감염 여부를 확인하는 것이 필요하다. 또한, 이체작업 후에는 반드시 이체내용을 확인하여 잘못된 계좌로의 이체가 이루어 졌는지 점검해야 한다.

 

7. 랜섬웨어 고도화

전 세계 여러 나라에서 랜섬웨어(Ransomeware) 피해가 발생하고 있는 가운데, 국내에서도 고도화된 랜섬웨어가 발견되는 등 랜섬웨어가 새로운 보안 위협으로 등장했다. 랜섬웨어는 PC 부팅 시 암호를 요구하거나 PC 내 파일을 암호화해 시스템을 정상적으로 사용하지 못하게 하고 돈을 요구하는 악성코드의 종류이다.

2013년 하반기에 사용자 사진, 동영상, 문서 등을 암호화하는 크립토락커(cryptolocker)가 여러 나라에서 피해를 줬다. 감염되는 순간 암호해제를 할 수 있는 키를 서버에 생성하고 암호 해제를 위해서 돈을 요구한다. 달러, 유로 등을 비롯해 최근 논의가 활발한 비트코인으로도 결제를 요구했다. 특정 시간에 돈을 입금하지 않거나 사용자가 악성코드 제거를 시도하면 서버에 생성한 키를 파괴해 복구를 못 하게 하는 등 결제와 악성행위 측면에서 고도화되고 있는 모습을 보였다.

국내에는 대규모 피해는 확인되지 않고 있지만, 세계적으로 가짜 백신 프로그램으로 결제를 요구하는 방식보다 시스템을 사용하지 못하게 하고 협박하는 방식이 널리 퍼지는 추세다.

안랩 시큐리티대응센터 이호웅 센터장은 “올해 보안위협의 트렌드는 악성코드의 고도화와 피해대상 및 대규모화, 금전을 노린 조직범죄화로 요약할 수 있다. 이런 상황에서 보안은 어느 한 주체의 책임이나 의무가 아니다. 더욱 강력한 사이버 보안을 위해 개인, 기업, 기관 모두 다각적이고 입체적인 대응을 해나가야 한다”라고 강조했다.
 

 

<ITDaily>

저작자 표시
신고
Posted by 엠플 (주)엠플

AhnLab V3 Internet Security가 8.0에서 9.0으로 업그레이드 되어 9.0에 대해 새로운 기능을 리뷰합니다.

 

 

1.  AhnLab V3 Internet Security 9.0( V3 IS 9.0) AhnLab V3 Internet Security 8.0( V3 IS 8.0) 기능 무엇인가?

V3 IS 9.0 시그니 안티바이 솔루션 달리, · 악성코드까 진단하 방역 가능 특징입 니. 알려지 악성코드 발견되 조치 클라우 탐지(ASD) 니라, 진단, 기반 진 신기술 적용 있습니다.

 

2. V3 IS 9.0 스마 기능인?

스마 검사 티바이러 원인 파일 입출 최소화, fastway 기술 재검사 최소화 Incremental Scan 기술 적용 고유 기술입니다.

, 윈도우 파일 대해 안전하다 판단 검사 생략하고, 경되 대상 해서 생략하 방법입. 검사 사용하 월등 향상됩니.

 

3. 진단 무엇인가?

진단 다양하 체적 방법으 악성 대응하 기술입니다.

파일 실행 작동 , 행위 반으 악성코드진단

취약 업데이 100 악의 강력 기능 제공니다.

, 정상적모니 여부 판단합니. 알려지 네트워크 방어하 위해, 알려지 프로토 드라이 차단 트래 IP 스푸핑 Mac 스푸 ARP 스푸 기능 제공합니다.

이밖 제공하 같습니.

- 시스 파일 변경/ 이름 변경하 진단

- , 취약점 PE 생성

- 브라우 취약점으 PE 운로/ 브라우저 약점 프로세 실행

- 인젝

 

4. 인가요?

'평 기본적으 평판 낮은(= 않은) 프로 제하 활용됩. 만들 분명, 출처 확실, 사용 없습니.

차단 파일() , 사용 , , 제작 분석, 정합. 프로 트리 처리하 때문 습니다.

 

5. 클라우 인가요?

클라우 라우 기반 그램 실행 단하 입니. 여기 실시 , , 파일 사용 사용 , 행위, 자들 건수 종합 됩니다. 수준 , (), 높음 있습.

- : 10 이내, 100 이하, 3 이상 차단

- (): 20 , 사용 500 , 1 이상 차단

- : 30 이내, 800 이하, 0 이상 차단

 

6. 클라우 설정 무엇인가?

클라우 ASD 데이터이스 정보 기반 파일 입니. 단하 , 사용 설정성코드 설정 니다. 보통, 높 음 단계 됩니.

- : 코드 능성 요소 차단

- (): 악성코 가능 경우 차단

- : 코드 경우 차단

 

7. 클라우 기능 엇인가요?

클라우 분석 기능 PC AhnLab Smart Defense Center Database 악성/ 파일 분류 새로 파일이 행위 유발 비실 파일 AhnLab Smart Defense Center 전송하 동으 분석 사용 시간으 알려주 파일 진단율 니다.

 

8. 클라우 옵션 ON/OFF 무엇인가?

클라우 분석 옵션 ON 선택 경우, 사용자 PC 발견 알려지 않은(unknown) 파일 클라우 분 석 시스템으 보내 결과 제품 실시 반영됩니. 반면, OFF 택하 사용자 PC unknown 파일 서버 결과 실시 반영되 않습.

 

9. 클라우 요청 결과 어떻 확인 있나요?

클라우 서버 요청 파일 결과 정보 다음 있습니다.

< 방법>

V3 HOME> 고급화면>Active Defense> 클라우 선택하 목록 확인니다.

 

10. 하단 나오 안전 프로그 인가?

안전 프로그 7 사용 PC 실행 로그램들 분석 정상, 악성, 미확정으 구분하 안전도를 평가하 기준입. 안전 로그 사용도 7 PC 프로 미확정으 분류 프로그 사 용 여부 바탕으 산정 점수입니.

안전 프로그 사용도 0~100 사이 점수 표시하 정상 아니거 미확 프로그 실행 100 만점을 기준으 점수 차감하 합니다. 따라서, 사용 PC 프로그 사용도 PC 사용 안전 도 구분하 척도 있습니.

: 안전 점수 100~80 사이 경우입니. : 안전 점수 79~60 경우입니. : 안전 점수 60 미만 경우입니.

 

11. 하단 나오 안전 사이 사용도 무엇인가?

안전 사이 사용도 7 사용자 접속 사이트 분석하 정상, 악성, 미확 구분하 안전도 평가기준입니. 안전 사이 7 사용자 사이트 미확정으 분류 사이 여부 바탕으 점수입니다.

안전 사이 사용도 0~100 사이 표시 아니거 미확 사이트 접속 100 만점 준으 점수 차감하 계산니다. 따라, 사용 PC 사이 사용도 점수 PC 사용 안전도를 구분하 척도 활용 있습니다.

: 안전 점수 100~80 사이 경우입니. : 안전 점수 79~60 경우입. : 안전 점수 60 미만 경우입니.

 

12. 안전 프로그 사이 방문도 주의 상태입니까?

상태 등급 위해서 합니까?

위험 프로그 사이트 대부 진단 삭제되으나, 치료 내역 할 수 로그 이트 상태 안전 우입니. 등급 높이 위해서 적 인 PC 이트악성코 감염예방하고, 사이트 클라 분석 의심 상황 최소화해 .

참고 100 가까울수 PC 안전 이지 반드 100 아니어 문제 아닙니.

 

13. 웹 보안에 사용 사이트 신뢰/ 축약 주소(: ahnlab.com) 입력했 주소(: www.ahnlab.com) 입력했 방식 달라?

입력하 주소 신뢰/차단 가능니다. 원하 /뒤에(중간 ) * 입력하 해 당 도메 주소 신뢰/ 있습니다.

) (O) http://*.ahnlab.com

       (O) http://www.ahnlab.com/*

     (O) http://*.ahnlab.com/*

      (X) http://www.ahnlab.com/ad*.htm*

 

14. 웹사이 사이 있나?

New V3 기능 추가됐습. 사이트 파일 다운드하 사이트, 사용자 지정 사이트접근차단하기능입니다. 사이트접속차단, 페이지가 나타납니. 이트 사이트 사이트, 회사 단체에 금지사이트 등록하 사이 접속으 문제 예방 있습니다.

- 사이 차단: 보안 제공하 사이 기능 사용하려 선택해 . 사이홈페이 변조 사용자 사이트 접속했 악성코드 다운로드하 유형 사이트 말하 ASD 클라우 서버 수집 주소 기준으 판단니다.

- 사이 차단: 사이트 사용자 속이 사기 Anti-Phishing Working Group 데이터베이스 바탕으 단합니. 사이트 사이 차단 택해 합니다.

- 사용 사이 관리: 사용 사이 관리 V3 사용자 신뢰하거 접속 차단 사이 목록 추가 능입니. 사용 사용하려 선택해 합니다.

 

15. 액티 디펜(Active Defense)기능 인가요?

액티 디펜스(Active Defense) 사용 PC 내에 발생 프로그램 정보 문제 소지 파일터링의심스러 세스 정보, 프로그 상세 정보 공함으로 사용자 동적 대응 가능하 기능입니.

사용자 액티 디펜스(Active Defense) 메뉴 프로세스, 생성 파일, 프로그 행위 상세정보 확인하 있으 클라 분석 요청 확인 있습니다.

 

16. PC 관리, 메뉴 어디 나요?

메뉴 V3 Home 확인 .

 

17. (Home) 표시되 업데이 검사 표시 분까지인가?

1 미만 뒤로 검사 이뤄 시간 숫자 표기니다.

 

18. PUS(Potentially Unwanted Site, 불필요 이트) 기능 인가요?

PUS 기능 사용 필요 , 사용자에 편함 야기하 프로그램(PUP: Potentially Unwanted Program) 유포 웹사이트 차단 입니다.

* PUP 형식적으 사용 설치되지 사용 불편 야기하 프로램으로, 악성코드 마찬가지로 변 존재하 유포 수많 웹사이트 .

V3 Home 불필요 이트(PUS) 기능 체크하 됩니다.

저작자 표시
신고
Posted by 엠플 (주)엠플