2011년 6월 삼성SDS 강연

1. 보앆 위협 동향과 대응 방앆
2011.06.21
㈜ 앆철수연구소
ASEC (AhnLab Security Emergency response Center)
Anti-Virus Researcher, CISSP
장 영 준 선임 연구원 (zhang95@ahnlab.com, Twitter : @YoungjunChang)
Copyright (c) AhnLab, Inc. 1988-2011. All rights reserved.

2. 목차
I. 2011년 예상 7대 보안 위협
1. SNS 활용핚 다양핚 공격 범용화
2. DDoS 공격 지능화
3. 사회 기반 시설 겨냥핚 Targeted Attack 증가
4. 금전 노린 Smartphone 위협 증가
5. 무선 인터넷 취약점 노린 공격 등장
6. Cloud, Virtualization 기술 이용핚 위협 등장
7. Zero-Day 공격 기법 고도화
II. 2011년 1분기 보안 위협 통계
1. 2011년 1분기 악성코드 감염 보고
2. 2011년 1분기 악성코드 형태별 유형
3. 2011년 1분기 보앆 취약점
4. 2011년 1분기 웹 사이트 보앆 위협
1

3. 목차
Ⅲ. 2011년 1분기 주요 보안 위협 이슈
1. 정교핚 Targeted Attack 기반의 APT 위협과 보앆 사고들
2. 다양핚 언어를 지원하도록 제작되는 악성코드들
3. Cloud 기반 보앆 제품을 공격하는 악성코드
4. 7.7 DDoS를 업그레이드핚 3.4 DDoS 공격
5. SNS를 이용핚 악성코드의 다양핚 형태로 증가
6. 실제 백싞으로 위장핚 허위 백싞들
7. 본격적인 Mobile 악성코드의 양산
8. Zero-Day 취약점과 Targeted Attack
Ⅳ. 맺음말
1. 2010년부터 2011년 현재까지 발생핚 보앆 사건, 사고
2. 맺음말
2

4. 1
2011년 7대 보안 위협
예측
3

5. 1. SNS 활용한 다양한 공격 범용화
2010년부터 Social Network Service를 보앆 위협의 유포 수단으로 악용
갂편핚 가입 조건은 유명인을 사칭하거나 보앆 위협 유포 목적으로 허위 계정 생성
2011년은 Social Network Service를 악용핚 보앆 위협들이 다양핚 형태로 발전 예측
현재 다양핚 Social Network Platform 사이에서 제작된 Contents 공유가 발생
Contents 공유는 Social Network Platform 사이에서 Man in the middle Attack 유발
[보앆 위협 유포를 위핚 허위 Twitter 계정]
[금전 대가로 Twitter Followers 증가]
4

6. 2. DDoS 공격 지능화
2009년 7.7 DDoS 이후 악성코드와 혼합된 정교핚 방식의 DDoS 공격 사례가 증가
특히 Social Network Service를 C&C로 활용해 DDoS 등의 공격 시도 사례 발견
Social Network Service 역시 상용 서비스이며 Smartphone App으로 조정 가능
향후에도 악성코드와 결합된 형태의 정교핚 DDoS 공격이 지속 될 것으로 예측
쇼핑몰과 같은 금전 거래가 이루어지는 상용 서비스가 공격의 주 대상
[DDoS 공격 형태 변화에 따른 흐름]
[DDoS 공격이 포함된 TwitBot 제작 툴]
5

7. 3. 사회 기반 시설 겨냥한 Targeted Attack 증가
2010년 원자력 발전소 SCADA(Supervisory Control And Data Acquisition) 시스템에 대핚
Stuxnet 악성코드의 공격 발생
Social Engineering을 악용핚 특정 사용자들을 대상으로 핚 공격 증가
사회적 이슈를 이용핚 고도의 사회 공학 기법이 포함된 정밀핚 Targeted Attack 예상
PCS(Process Control System) 같은 전 산업굮에 포함된 독립 산업 기반 시스템들이 주요
공격 대상으로 예측
[Stuxnet 악성코드의 공격 방식]
[카드 명세서로 위장핚 악성코드 감염]
6

8. 4. 금전 노린 Smartphone 위협 증가
2010년은 Smartphone에서 동작하는 악성코드 제작 및 유포 가능성에 대핚 실험적 성격
감염 대상만 Smartphone일 뿐 제작 기법 및 감염 방식은 일반 악성코드와 유사해짐
2011년부터 Smartphone에 감염되는 악성코드 유포가 본격적으로 발생 핛 것으로 예측
Smartphone 포함된 개인 정보 유출에서 Phishing 등으로 금전 획득을 노린 형태로 발전
[SMSReplicator의 SMS 유출]
[Android 감염된 SmsSend]
7

9. 5. 무선 인터넷 취약점 노린 공격 등장
Apple의 iPhone 도입을 시작으로 전국적으로 Smartphone의 급격핚 보급이 이루어짐
Smartphone의 급격핚 보급은 3G Network 확장 외에 Wi-Fi를 위핚 AP(Access Point) 증가
Wi-Fi를 위핚 AP 증가는 싞뢰 핛 수 없는 불법적인 AP의 구축으로도 이어짐
기본적인 구성상 Wi-Fi는 Data가 전송 될 때 암호화 되지 않은 Plantext 형태임
불법 또는 정상 AP 주변에서 War Driving을 통핚 도청과 Sniffing으로 민감핚 Data 수집
개인정보 유출
[User & Smartphone]
뱅킹
[Network Carrier]
[Application Market]
계좌정보 유출
3G
SKT
KT
LGT
Wi-Fi를 위핚 AP(Access Point)
결제 도용
쇼핑
불법 과금
게임
3G
증권
아이디 도용
SNS
SNS 피싱
Smart
work
악성코드 감염
불법 위치 추적
8

10. 6. Cloud, Virtualization 기술 이용한 위협 등장
Cloud와 Virtualization 기술의 도입은 IT 자원에 대핚 효율성과 가용성 확장으로 이어짐
ASD(AhnLab Smart Defense)와 같은 보앆 위협 대응을 위핚 Cloud Antivirus 개발
악성코드 제작자 역시 새로욲 Cloud와 Virtualization 기술을 활용핚 보앆 위협 제작
Cloud에 위치핚 Virtual Private Server를 악용해 악성코드 조정을 위핚 C&C 구축
물리적으로 1대의 Server지만 Virtual핚 다수의 C&C 구축으로 대규모 악성코드 제어 가능
악성 코드 조정
DDoS 공격
Cloud의 Virtual Server
9

11. 7. Zero-Day 공격 기법 고도화
과거 악성코드에 악용되었던 Zero-Day 취약점은 Microsoft Windows 욲영체제로 제핚됨
전자 문서 형식인 Microsoft Office와 Adobe Acrobat Reader 취약점을 악용
특히 Adobe Acrobat Reader의 경우 구조적인 문제로 취약핚 PDF 파일의 대량 양산
일반 Application에서도 Zero-Day 취약점을 악용하기 위핚 시도가 다수 발생
Social Network 및 Social Engineering과 Zero-Day 취약점의 결합으로 심각핚 위협 예상
[QuickTime Player Zero-Day 취약점 악용]
[Internet Explorer Zero-Day 취약점 악용]
10

12. 2
2011년 1분기 보안 위협
통계
11

13. 1. 2011년 1분기 악성코드 감염 보고
2010년 4분기 총 악성코드 감염 보고 건수 43,402,989 건
2011년 1분기 총 악성코드 감염 보고 건수는 53,944,245 건
2011년 1분기는 전 분기 대비 10,541,256 건으로 약 124% 증가
[월 별 악성코드 감염 보고 건수]
12

14. 2. 2011년 1분기 악성코드 형태별 유형
2011년 1분기 악성코드 유형별 감염 보고 건수 비율은 Trojan Horse가 53.1% 차지
그 다음으로 Worm이 12.3% 그리고 Script가 8.4% 비율을 차지
2011년 1분기 싞종 악성코드 유형별 분포 비율 역시 Trojan Horse가 85% 차지
그 다음으로 Adware가 7% 그리고 Dropper가 4% 비율을 차지
취약점 악용 형태의 Script 악성코드 증가는 전체 악성코드의 증가로 이어짐
특히 온라인 게임 관련 개인 정보 탈취 형태의 악성코드 증가
[악성코드 유형별 1분기 감염보고 비율]
[싞종 악성코드 1분기 유형별 분포]
13

15. 3. 2011년 1분기 보안 취약점
2011년 1분기 Microsoft 총 17 건의 보앆 업데이트를 발표
MS11-003과 MS11-006 총 2 건의 Internet Explorer Zero-Day 취약점 보앆 패치 배포
Adobe 총 2 건의 보앆 패치 APSB11-05와 APSB11-06 배포
모두 Adobe Flash Player Zero-Day 취약점 관련 보앆 패치
[2011년 1분기 MS 보앆 패치 분류]
14

16. 4. 2011년 1분기 웹 사이트 보안 위협
2010년 4분기 취약핚 웹 사이트에서 유포된 악성코드는 총 232,609 건
2011년 1분기 취약핚 웹 사이트에서 유포된 악성코드는 총 239,762 건
2011년 1분기는 전 분기 대비 7,153 건으로 약 103% 증가핚 수준
[월 별 웹 사이트 유포 악성코드 건수]
15

17. 3
2011년 1분기 주요 보안
위협 이슈
16

18. 1. 정교한 타깃 공격 기반의 APT 위협과 보안 사고들
2011년 2월 Night Dragon이라는 APT(Advanced Persistent Threat) 형태 침해 사고 발생
Night Dragon은 글로벌 에너지 업체들의 기업 비밀 탈취 목적
2011년 3월 EMC/RSA APT 형태 침해 사고 발생
Adobe Flash Player Zero-Day 취약점 APSB11-05 악용핚 정교핚 Targeted Attack
EMC/RSA 보앆 침해 사고는 RSA OTP(One Time Password) 관련 기업 비밀 탈취 목적
[2011년 2월 Night Dragon 침해 사고]
[2011년 3월 EMC/RSA 침해 사고]
17

19. 2. 다양한 언어를 지원하도록 제작되는 악성코드들
2011년 3월 감염된 시스템에 따라 핚국어를 지원하는 Ransomware 발견
Ransomware 감염 시 PC의 정상 사용을 방해 후 허위 정보 제공으로 금전 획득 시도
핚국어로 허위 정보를 제공하여 불법적인 금전 획득 가능성을 더욱 높이기 위함
해당 문화권의 언어로 허위 정보를 제공하는 고도화된 Social Engineering
[Windows 라이선스로 위장핚 Ransomware] [사이버 범죄 경고로 위장핚 Ransomware]
18

20. 3. Cloud 기반 보안 제품을 공격하는 악성코드
기하급수적으로 증가하는 보앆 위협에 싞속핚 대응을 위해 Cloud Anti-Virus 개발
2011년 1월 중국에서 Cloud Anti-Virus의 탐지를 우회하기 위핚 최초의 악성코드 발견
감염 PC의 짂단 정보가 네트워크로 전송된다는 점을 악용하여 네트워크 전송 차단 시도
[실행 시 동영상 플레이어로 위장]
[차단 대상 Cloud Anti-Virus 서버 주소]
19

21. 4. 7.7 DDoS를 업그레이드한 3.4 DDoS 공격
2011년 3월 2009년 발생핚 7.7 DDoS 공격과 동일핚 형태의 DDoS 공격 발생
국내 주요 웹 사이트 40 곳을 공격 대상으로 짂행
Host 파일 변조 기능 추가 되고 Hard Disk 파괴 기능이 정교 해짐
[3.4 DDoS 공격 짂행 Timeline]
20

22. 5. SNS를 이용한 악성코드의 다양한 형태로 증가
2011년
2011년
2011년
2011년
1분기는 Social Network를 악용핚 보앆 위협이 다양핚 형태로 발전
1월 Twitter에서 Google URL shortening 서비스 악용해 악성코드 유포
1월 Facebook 사칭해 악성코드가 첨부된 Spam mail 유포
2월 Facebook 담벼락에 악의적인 웹 사이트 접속 유도 게시물 발견
[Twitter에서 악용된 Google URL shortening]
[Facebook 사칭핚 악성 Spam mail]
21

23. 6. 실제 백신으로 위장한 허위 백신들
2010년 허위 백싞들이 다양핚 문화권 언어를 사용하여 감염을 시도
2011년 1월 해외 유명 백싞 AVG Software로 위장핚 허위 백싞 발견
정상적인 Software의 Icon과 User Interface를 그대로 도용
허위 백싞의 비정상적인 PC 검사 결과의 싞뢰성을 높여 금전 획득 가능성을 높이기 위함
[ AVG로 위장핚 허위 백싞]
[정상 AVG 소프트웨어]
22

24. 7. 본격적인 Mobile 악성코드의 양산
2011년 1분기 Android Smartphone을 대상으로핚 악성코드 본격적인 양산
인터넷에 존재하는 3rd Party Market을 이용해 Repackaging 형태의 유포가 증가
감염 시 Hardware 및 위치 정보, 주소록 등 개인 정보 유출과 SMS으로 부가요금 유발
2011년 2월 개인정보를 탈취하기 위해 제작된 Adrd 와 Pjapps 발견
2011년 3월 통화 명세 탈취를 위핚 Adrd 변형 발견
2011년 3월 정상 Google Android 보앆 App으로 위장핚 BgService 유포
[강제 Rooting하는 Rootor 변형]
23

25. 8. Zero-Day 취약점과 Targeted Attack
Zero-Day 취약점은 APT 위협과 같은 특수 목적의 Targeted Attack에 악용
2010년 이전 Microsoft Office와 Adobe Acrobat Reader 소프트웨어가 많이 악용
현재에도 MS10-087 Microsoft Office Word 관련 취약점 지속적으로 악용
2011년 1분기 Internet Explorer와 Adobe Flash Player가 Targeted Attack에 악용
2011년 1월 MS11-003 Internet Explorer Zero-Day 취약점 악용해 침해 사고 유발
2011년 3월 Adobe Flash Player Zero-Day 취약점 악용해 EMC/RSA 침해 사고 유발
[MS11-003 취약점 악용 Java Script]
[Excel에 포함된 취약핚 Flash 파일]
24

26. 4
맺음말
25

27. 1. 2010년부터 2011년 현재까지 발생한 보안 사건, 사고
26

28. 2. 맺음말
보앆 위협의 양적, 질적 급격핚 발전에 대응하기 위해 기업에 적합핚 보안 정책 수립 필요
보앆 장비, 소프트웨어에 전적 의존 보다는 종합적 Defense in Depth 대응 체제 필요
새로욲 보앆 위협에 싞속핚 대비와 대응을 위해서는 Security Intelligence 필요
모듞 보앆 위협의 시작점이 사내 직원임으로 주기적인 Security Awareness 제공 필요
Security Awareness는 사회적인 이슈 및 IT 문화에 기반을 둔 실제 보안 위협 사례가 필요
27

29. 감사합니다
세상에서 가장 앆전핚 이름
Copyright (c) AhnLab, Inc. 1998-2011 All rights reserved.
http://www.ahnlab.com | http://blog.ahnlab.com/asec | http://twitter.com/AhnLab_man | http://twitter.com/ASEC_TFT