2015 Threat Reviews & Predictions

2015. 08

안랩 온라인 보안 매거진

2

3

4

8

1 1

1 4

1 7

1 8

1 9

월간

C O N T E N T S

E X P E R T C O L U M N

다시 생각해보는 악성코드와 윤리

S P O T L I G H T

RSA Conference Asia Pacific & Japan 2015

안랩, 동남아 보안시장의 전진기지 싱가포르를 가다

S P E C I A L R E P O R T

2015 상반기 위협 동향 및 하반기 전망

2015년 보안 이슈를 관통하는 ‘Top 5 + 5’

H O T I S S U E

새로운 Windows 10, 무엇이 달라지나?

T H R E AT A N A LY S I S

전세계 인터넷 뱅킹을 위협하는 ‘다이어(Dyre)’

I T & L I F E

지금은 ‘포노 사피엔스’ 시대!

A H N L A B N E W S

안랩, ‘2015 개도국 정보통신방송전문가’ 기업 방문 진행

유명 유틸리티로 위장한 스마트폰 랜섬웨어, 주의!

S TAT I S T I C S

2015년 6월 보안 통계 및 이슈

2015. 08

3

다시 생각해보는 악성코드와 윤리

E X P E R T C O L U M N Security & Ethics

2015년 6월 12일 북한 IP로 접속하는 악성코드가 발견되어 언론에 크게 기사화되었다. 하지만 확인 결과 악성코드 분석을 위해 교육용으로

작성된 악성코드가 악성코드 검사 서비스에 업로드 되어 발생한 오해였다. 예전에도 교육 과정의 일부로 실제 악성코드를 만들었던 사례는 있

었다. 2002년 한일 월드컵 즈음에 모 대학교에서 악성코드를 제작해 백신 회사에서 이를 진단하게 하는 과제를 낸 적이 있었다. 이에 백신 업

체로 엄청난 수의 한국산 악성코드가 접수되었고, 이후 해당 대학 과제임을 확인하고 과제 중단을 요청한 바 있다.

악성코드 제작과 관련해 다양한 윤리가 존재한다. 우선 백신 업체는 원칙적으로 연구 목적으로도 악성코드 제작을 금지하고 있다. 백신 프로그

램과 업체에게 중요한 것은 신뢰로, 백신 업체에서 악성코드를 제작하는 것은 고객과의 신뢰를 어기는 것으로 여겨 엄격히 금지하고 있다. 그

리고 악성코드를 제작한 경험이 있는 사람은 채용하지 않는다.

그러나 악성코드 문제가 심각해짐에 따라 과거 악성코드에 크게 관심이 없던 해커나 보안 관련 일을 하는 사람들도 악성코드에 관심을 갖기

시작했고 이와 함께 윤리적 시각도 변하게 되었다. 연구나 교육 목적으로 악성코드를 제작하는 것은 괜찮다는 것이다. 일부에서는 악성코드를

직접 제작해 원리를 파악하면 쉽게 이해되고 더 잘 막을 수 있다고 생각한다. 보안 업체에 입사하기 위해 악성코드를 제작해봤다는 학생의 언

론 인터뷰도 있었다. 사실 전통적인 백신 업체를 제외한 다른 보안 솔루션 업체에서는 악성코드 제작을 심각하게 생각하지 않는 경향이 있다.

지금도 일부 보안 업체 홈페이지에는 악성코드 제작 연구 항목이 있거나 내부 교육 내용 중에 악성코드 제작이 포함되어 있다. 우리나라에서

는 악성코드 ‘배포’가 불법이지만 몇몇 국가의 경우 악성코드 ‘제작’만으로도 처벌을 받을 수 있다.

심지어 이탈리아 해킹팀 같이 악성코드를 제작하고 판매해 돈을 버는 업체도 등장하고 있다. 개인적으로 이런 업체를 보안 업체로 볼 수 있는

가 하는 의문이 든다. 물론 이런 업체들도 나름의 윤리 기준을 가지고 있겠지만 기존 보안 업체들보다 훨씬 느슨할 수 밖에 없다.

연구용, 교육용 악성코드 제작은 윤리적인 부분이라 무엇이 옳고 틀리다고 말하기 어렵다. 시대가 변하면서 가장 보수적인 백신 업체들의 악성

코드에 대한 윤리도 조금씩 변하고 있다. 요즘은 연구 목적의 악성코드 테스트는 일부 용인되고 있다. 과거에는 악성코드 중 바이러스가 대부

분이었는데 요즘은 취약점 공격 코드나 트로이목마가 주를 이루다 보니 연구용으로 취약점을 공격하는 형태는 어느 정도 용인되고 있다. 하지

만 여전히 자기 전파 기능을 가진 바이러스나 웜에 대해서는 엄격한 편이다. 자기 전파 기능이 있는 악성코드는 제어하기도 힘들고 자칫하면

돌이킬 수 없는 사태가 발생할 수 있기 때문이다.

시대가 변해 악성코드 제작과 관련된 윤리도 조금씩 변화하고 있다. 하지만, 여전히 악성코드는 적절하게 관리하지 않으면 위험하기 때문에 관

련 지식이 있는 사람들이 다뤄야 한다. 영화를 보면 과학 기술에 집착해 윤리관을 잃고 실험을 해 파국으로 향하는 내용을 종종 볼 수 있다. 악

성코드를 통해서도 그런 문제가 발생할 수 있기 때문에 관련 업체나 직원들은 윤리에 대해 다시 생각해볼 때이다.

4

RSAConference Asia Pacific & Japan 2015

글로벌 보안 콘퍼런스 ‘RSAConference Asia Pacific & Japan 2015(이하 RASC APAC 2015)’가 지난 7월 22일부터 24일까지 3일

동안 싱가포르 마리나 베이 샌즈(Marina Bay Sands)에서 개최되었다.

이번 행사에는 전세계 60여개의 보안 업체들이 참가해 다양한 기술과 제품을 소개했다. 또한 3일 동안 각 업체와 관련 분야 전문가

들이 세션 주제 발표를 통해 글로벌 보안 트렌드와 아시아 지역을 타깃으로 하는 보안 위협에 대한 심층적인 내용을 공유했다.

올해로 독립 50주년 맞는 싱가포르. 크고 작은 이벤트로 축제의 분위기로 휩싸인 싱가포르에서 펼쳐진 보안 업체들의 축제 RSAC

APAC 2015에서의 안랩 활약상을 소개한다.

안랩, 동남아 보안시장의 전진기지

싱가포르를 가다

RSAConference APAC 2015S P O T L I G H T

면적 697㎢의 동남아시아에 있는 섬으로 이루어진 도시 국가. 그러나 1인당 국내총생산(GDP)은 5만 3,604달러(2015년 기준)로 전세계 국가

순위 7위이며, 홍콩•일본•한국을 뛰어넘은 아시아 1위 국가가 싱가포르다. 싱가포르는 외국 기업이 활동하기 좋은 경제 구조로 인해 많은 다

국적 기업이 진출해 있다. 이러한 이유로 글로벌 보안 업체들도 싱가포르를 거점으로 말레이시아, 인도네시아, 베트남, 대만 등 동남아 보안 시

장 공략에 나서고 있다.

5

지난 7월 22일 전세계 보안 관계자들이 ‘RSAC APAC 2015’ 참석을 위해 싱가포르 마리나 베이 샌즈를 찾았다. 이번 행사는 주제는 ‘변화: 오늘

날의 보안 인식에 대한 도전(CHANGE: Challenge today’s security thinking)’으로 안전한 디지털 미래를 위한 혁신적이며 새로운 접근 방식이

필요하다는 메시지를 전달했다.

아미트 요란(Amit Yoran) RSA시큐리티 CEO는 기조 연설에서 “우리는 암흑에 갇혀있다. 기존의 기술과 낡은 사고 방식으로는 현재의 비즈니스

를 유지할 수 없다”며 보안에 대한 인식의 변화를 강조했다.

RSAC APAC 2015에서는 ▲클라우드 및 데이터 보안(Cloud and Data Security) ▲사이버 수사 및 법 집행(Cyber Investigation and Law

Enforcement) ▲거버넌스와 리스크 관리(Governance and Risk Management) ▲모바일 보안(Mobile Security) ▲보안 인프라(Security

Infrastructure) 등 7개 트랙으로 구분하여 총 70여 개의 세션 발표가 진행되었다. 특히, 24일에는 ‘테러리스트의 아들(The Terrorist’s Son)’의

저자인 소설가 자크 이브라힘(Zak Ebrahim)이 주제 발표와 저자 사인회를 열어 관람객들의 뜨거운 호응을 받았다.

6

RSAC APAC 2015에는 글로벌 보안 업체와 현지 파트너 등 60여 개사 참여했다. 지역적인 특성상 파트너 비즈니스의 비중이 높은 만큼 현지 파

트너사가 각기 다른 글로벌 보안 업체의 제품을 소개하는 모습도 보였다. 이외에도 글로벌 보안 행사에서 쉽게 볼 수 없었던 일본 보안업체들이

대거 참여했으며, 중국 IT 거물인 알리바바(Alibaba)가 모바일 보안 솔루션 ‘알리바바 오픈 플랫폼’을 선보여 시선을 끌었다.

올해로 RSAC APAC 2015에 두 번째 참가한 안랩은 지능형 보안 위협 대응 솔루션인 안랩 MDS와 특수 목적 시스템 전용 보안 솔루션 안랩 EPS

를 소개했다. 이 두 제품은 글로벌 고객을 겨냥한 안랩의 전략 제품으로서 대만, 베트남, 중국 등지에 수출되어 글로벌 레퍼런스를 확보하고 있

다. 안랩 MDS는 ‘탐지-분석-모니터링-대응’ 프로세스에 기반하여 지능형 위협에 대한 가시성과 실질적인 대응 체계를 제공한다. 또한 안랩

EPS는 시스템의 안정적 운용에 대한 민감도가 높고 정해진 프로그램만 사용하는 특수목적시스템 및 제어용 시스템 등에 최적화된 전용 보안 솔

루션이다.

행사기간 내내 싱가포르, 말레이시아, 대만, 홍콩 등 아시아 전역에서 참가한 고객들과 싱가포르에 지사를 두고 있는 가트너, 프로스트앤설리반

의 애널리스트들이 안랩 부스를 찾았다. 이들은 안랩과 안랩의 기술력, 제품 경쟁력, 그리고 동남아시아에서의 비즈니스 플랜에 대해 질문했다.

또한 제조업이 활발한 동남아시아의 산업적 특성을 반영하듯 특수 목적 시스템 전용 보안 시스템인 안랩 EPS에 대한 고객 문의가 이어졌다.

7

안랩은 이번 행사에 현지 파트너사인 시스텍스(Systex)와 함께 참가했다. 1997년 설립된 시스텍스는 대만, 싱가포르, 중국, 홍콩 등지 48개의

지사와 3천명의 직원을 보유한 IT 서비스 업체. 안랩과 시스텍스는 행사 기간 중 별도로 고객을 초청해 소규모 세미나를 진행하고 동남아시아

고객의 특성에 맞는 보안 이슈와 대응 솔루션을 제시했다.

행사 마지막날인 24일에는 안랩 싱가포르 사무소의 테크니컬 디렉터인 카밀 주맷(Kamil Jumat)이 샌즈 그랜드 볼룸에 마련된 데모씨어터

(Demo Theatre)에서 안랩 MDS의 독자적인 기술을 소개했다. 이 브리핑에서는 행위기반 탐지에 의존하는 기존의 대응 방식과 달리 독자적인

동적 콘텐트 분석 기술로 악성 행위의 발생 여부와 상관없이 알려지지 않은 위협을 사전에 진단하는 방안을 데모 시연과 함께 소개해 많은 관심

을 받았다.

안랩은 지난 2014년 2월 안랩 싱가포르 사무소를 설립했으며, 현지 IT 서비스 업체들과의 파트너 체계를 확대하고 있다. 또한 동남아시아 지역

에서의 브랜드 인지도 확대를 위해 컨퍼런스와 세미나 참가 등 적극적인 마케팅 활동을 펼치고 있으며, 파트너 대상의 제품 교육과 세미나도 강

화하고 있다. 안랩은 이들 파트너와 함께 싱가포르, 대만, 말레이시아, 인도네시아 등 동남아시아 보안 시장 공략을 본격화할 방침이다.

S P E C I A L R E P O R T Reviews & Predictions

2015 상반기 위협 동향 및 하반기 전망

2015년 상반기에는 대규모 개인정보 유출 사건이나 전산망 마비 사태 등은 발생하지 않았다. 그러나 그 동안 보안 전문가들이 예측

했던 위협들이 구체적인 사실과 사건으로 증명되었다는 점을 주목해야 한다. 이전까지 국내에는 큰 영향을 미치지 않았던 랜섬웨어

가 본격적인 활동을 시작했다. 또한 2014년 연말에 시작된 한국수력원자력(이하 한수원) 정보유출 사건부터 현재 이슈의 중심에 있

는 해킹팀 사건까지. 한수원 사건은 대표적인 지능형 지속 위협 APT(Advanced Persistent Threat) 공격 사례이며, 해킹팀 사건은

‘제로데이 취약점’이 고가의 사이버 공격 무기로 거래되는 블랙마켓의 실상을 그대로 드러냈다.

하반기에는 스마트폰 이용자 증가와 모바일 비즈니스 활성화에 따라 모바일을 겨냥한 위협이 더욱 증가할 것으로 전망된다. 또한 응

용 프로그램의 취약점을 악용한 제로데이 공격이 더욱 거세질 것으로 예측되고 있다.

이 글에서는 안랩의 글로벌 보안 대응조직인 ASEC(AhnLab Security Emergency response Center) 전문가들이 선정한 2015년 상

반기 보안 이슈 결산 Top 5와 하반기 보안 이슈 전망 Top 5를 각각 소개한다.

2015년 보안 이슈를 관통하는 ‘Top 5 + 5’

8

2015 상반기 위협 Top 5

01국내를 강타한

‘랜섬웨어’

02지속적인

금융사기

위협 증가

2015년 4월 국내 커뮤니티 사이트의 배너 링크를 통해 크게 퍼진 크립토락커(CryptoLocker) 랜섬웨어는 상반기 가

장 큰 이슈였다. 크립토락커는 2013년에 처음 발견되었으며, 2014년에는 해외에서 가장 이슈가 되었던 악성코드

중 하나이다.

해당 랜섬웨어는 주로 이메일을 통해 유포되는데, 국내 사례에서도 볼 수 있듯이 배너 등의 취약한 웹페이지를 이용

하기도 한다. 랜섬웨어는 특정 파일들을 암호화하고, 이를 복원하기 위해서는 결제가 필요하다는 경고문과 그 절차

를 안내한다. 이렇게 암호화된 파일을 인질로 삼아 몸값을 요구하는 악성코드를 랜섬웨어(Ransomware)라고 통칭하

고 있다. 국내에서 유포되는 랜섬웨어 가운데에서는 크립토락커류가 가장 유명하며, 최근에는 컴퓨터 게임 파일들을

대상으로 한 ‘테슬라크립트(TeslaCypt)’, 파일을 암호화하는 것이 아니라 인코딩을 하는 ‘나부커(Nabucur)’, 이메일을

통해 유포되며 국내에서 꾸준히 발견되는 ‘크립토월(CryptoWall)’ 등이 기승을 부리고 있다.

테슬라크립트와 나부커의 경우에는 백신 등으로 파일 복원이 가능하지만 다른 랜섬웨어류는 복원 키 값을 얻지 못하

면 복원할 방법이 없기 때문에 사용자들의 각별한 주의가 필요하다.

한편, 아직 국내에서는 모바일을 대상으로 하는 랜섬웨어가 발견되지는 않았다. 하지만 해외에서는 단말기의 사용을

제한하고 사용자에게 금전을 요구하는 방식의 모바일 랜섬웨어가 발견되고 있으며 계속 증가하고 있는 추세이다.

올 상반기에는 금융정보를 겨냥한 공격이 국내외에서 화제가 되었다. 해외에서는 금융 기업을 목표로 한 다이어

(Dyre) 공격이 유행했다. 다이어 공격은 스팸메일에 악성코드 ‘어파트레 다운로더(Downloader.Upatre)’를 첨부하

고, 파일을 실행할 경우 감염된 시스템의 개인 및 금융 정보를 탈취한다. 2014년부터 발견되었으며, 계속해서 증가

하는 추세이다. 국내에서는 파밍(Pharming) 공격이라고 불리는 뱅키(Banki)류 악성코드의 위협이 있다. 보안 취약

점을 이용한 드라이브 바이 다운로드(Drive-By-Download) 공격부터 불필요한 프로그램(Potentially Unwanted

Program)의 업데이트 모듈을 변조하는 방법까지 공격 방식이 다양해지고 있다.

이러한 뱅키류 악성코드는 안티바이러스(Anti-Virus, 이하 AV) 솔루션 탐지를 회피하기 위해 특정 응용프로그램에서

원격코드를 실행하는(DLL Planting) 기법을 이용하거나 시스템 파일에 악성 파일을 삽입(Injection)하는 등 점점 변

화하고 있다.

99

03다양한 형태로

진화하고 있는

악성 메일의

유포 확산

01악성코드,

모바일

결제 서비스로

‘시선 돌리나’

02모바일 겨냥한

랜섬웨어

현실화?

04공유기 및

홈 네트워크

제품에 대한

공격 증가

05응용프로그램

취약점 증가

의심스러운 메일에 첨부된 파일의 실행을 자제하도록 권고하고 있지만, 메일을 통한 악성코드 감염은 꾸준히 발견되

고 있다. 고전적 수법인 국제 운송업체, 금융기업에서 보낸 메일로 위장한 악성코드가 다수의 사용자에게 유포되어

악성코드 감염 사례가 증가했다. 메르스(MERS), 안심전환대출과 같은 사회적 이슈를 이용해 사용자의 이목을 끄는

메일도 발견됐다. 상반기에 메일로 유포된 악성코드는 대부분 랜섬웨어, 백도어, 다운로더류의 악성코드로, 파일 암

호화 및 금융 정보 탈취로 사용자에게 큰 피해를 입혔다.

한편 특정 인물이나 집단을 겨냥한 표적형 악성 메일 ‘스피어 피싱’이 더욱 정교하고 고도화된 형태로 등장하고 있어

사용자의 세심한 주의가 필요하다.

핀테크가 활성화 되면서 전자결제 플랫폼이 PC에서 모바일로 옮겨가고 있다. 스마트폰이 신용카드의 역할을 대신

하는 만큼, 모바일 보안의 중요성이 커질 것으로 예상된다. 현재 해외에서 사용되는 핀테크들을 살펴보면 과거 애플

페이에서 중복결제와 도용사고가 발생하였고, 중국의 유명 결제 플랫폼인 알리페이에서도 취약점이 발견된 바 있다.

국내에서도 삼성, 네이버, 카카오 등 핀테크 서비스가 속속 등장하고 있다. 아직까지 국내 핀테크 서비스에 대한 악성

코드나 취약점은 발견된 바 없지만, 악성코드 제작자들이 금전적 이익을 쫓는 만큼 공격 대상이 될 가능성이 매우 높

다. 보안 위협에 대한 핀테크 업체들의 고민이 필요할 것으로 예상된다.

스마트폰 이용자가 늘어나고 많은 개인정보와 데이터가 저장된 만큼 스마트폰도 랜섬웨어 공격자들에게 매력적인

대상이다. 해외에서는 다양한 종류의 안드로이드 랜섬웨어가 등장하고 있고 피해 사례도 늘어나고 있다. 현재 안드

로이드 스마트폰을 대상으로 하는 모바일 랜섬웨어는 주로 정상적인 단말기 이용이 불가능하게 하는 방식이나 데이

터를 암호화하는 방식을 사용하고 있다.

이러한 모바일 랜섬웨어는 주로 러시아, 유럽, 북미 등을 대상으로 하고 달러, 비트코인, 루블화 등의 화폐를 요구한

해킹 그룹인 리자드 스쿼드(Lizard Squad)가 지난 2014년 11월과 12월 마이크로소프트 엑스박스 라이브(Xbox

Live)와 소니 플레이스테이션 네트워크(Sony PlayStation Network)에 디도스 공격을 가했다. 이들은 인터넷 공유

기에 악성코드를 감염시켜 공격한 것으로 알려졌다. 인터넷 공유기뿐 아니라 IP 카메라(베이비 모니터), CCTV 등의

취약점이 발견되고 있으며, 이들에 대한 공격도 증가하고 있다. 국내에서도 인터넷 공유기의 보안 취약점을 이용해

DNS 주소를 변경, 사용자가 유명 사이트로 접속할 때 가짜 웹 사이트로 유도하거나 악성코드를 배포하는 일이 꾸준

히 발생하고 있다. 제조 업체에서는 취약점이 해결된 최신 펌웨어를 제공하고 있지만 대부분의 사용자들이 펌웨어

업데이트의 중요성을 간과하거나 업데이트 방법을 알지 못해 그대로 사용하는 경우가 많다. 앞으로 인터넷에 연결된

이러한 기기들에 대한 공격은 더욱 증가할 것으로 예상된다.

한편 모바일에서는 접속한 기기의 운영체제가 안드로이드일 경우, 크롬 등을 사칭하며 새 버전으로 업데이트 하라는

문구를 띄워 악성 앱 설치를 유도한다. 상반기에는 이러한 형태의 악성 앱이 다수 발견되었으며, 설치된 악성 앱은

사용자의 개인정보와 금융정보를 탈취한다.

2014년 4월, 암호화 라이브러리 OpenSSL 취약점인 하트브리드(HeartBleed, CVE-2014-0160)가 공개된 이후로

범용적으로 사용되는 프로토콜에 대한 취약점이 줄줄이 공개되었다. 2014년 9월에는 배쉬(Bash) 쉘에 대한 취약

점 쉘쇼크(Shellshock, CVE-2014-6271)가, 2014년 10월에는 SSL 3.0 프로토콜에 대한 푸들(Poodle, CVE-2014-

3566) 취약점이 발표되었다. 쉘쇼크 취약점은 여전히 악성코드 다운로드 및 실행에 이용되고 있어 보안에 큰 위협

요소이다.

올해 상반기에도 이러한 응용프로그램에 대한 취약점이 연이어 공개되었다. 새해부터 리눅스 glibc 라이브러리 함

수의 버퍼오버플로우 취약점인 고스트(Ghost, CVE-2015-0235)가 공개되었고, 3월에는 SSL 프로토콜 관련 프릭 취

약점(Freak, CVE-2015-0204)이 보고되었다. 4월에 공개된 HTTP.sys 원격 코드 실행 취약점(MS15-034, CVE-2015-

1635)은 간단한 HTTP 프로토콜 레인지(Range) 헤더 조작으로 공격이 가능해 많은 공격 시도가 보고되고 있다.

위에서 나열한 응용프로그램 취약점은 대부분 서버 단에 존재하여, 긴급 패치 작업이 많은 보안/서버 관리자에게 근

심거리가 되고 있다. 하반기에도 이러한 응용프로그램 취약점들이 공개될 것으로 예상되므로 긴급 패치 프로세스 정

비가 필요하다.

2015 하반기 위협 전망 Top 5

1010

다. 국내에서는 그 동안 ‘뱅쿤’ 이라는 금전을 목적으로 하는 악성 앱이 유행하였는데, 금전을 목적으로 하는 모바일

랜섬웨어도 국내 사용자를 대상으로 등장할 가능성이 크다. 특히, 유명 보안 백신 앱을 사칭하거나 금융 앱을 사칭

하며 스미싱을 통해 전파될 수 있다. 또한 해외처럼 음란물을 이용한 전파도 충분히 가능하다. 기존 방법과 유사하게

단말기 사용 제한 및 암호화 등의 방법을 사용하여 추적이 어려운 방식으로 금전을 요구할 것으로 보인다.

03악성코드

지역화 및 확장

04표적 공격

(APT)의

정교화

05점점 거세지는

응용 프로그램

취약점

악용 공격

악성코드의 지역화는 지난 10년간 꾸준히 지속되고 있다. 5월 일본에서 발생한 개인정보 유출에 이용된 악성코드는

철저히 일본인에 맞게 제작된 대표적인 예이다. 한편 일부 악성코드 제작자들은 수익을 늘리기 위해 공격 지역을 확장

하고 있다. 국내 인터넷 뱅킹 사용자를 노리던 악성코드 제작자들이 일본 지역으로도 확장하고 있고, 주로 유럽 지역

인터넷 뱅킹 사용자를 노리던 다이어(Dyre)는 아시아 지역 은행을 공격 대상에 추가하더니 올해 봄부터는 국내 은행

도 공격 대상에 포함시켰다. 주로 미국, 유럽 지역을 목표로 하던 랜섬웨어도 한국어와 일본어로 확장했다. 악성코드

의 지역화는 철저한 현지화 전략과 함께 수익을 극대화하기 위해 지역과 언어를 확대하는 방향으로 변모하고 있다.

APT 등 표적 공격은 국가 간 사이버 첩보와 기업 간 산업 스파이 행위와 관련해 지속적으로 진화할 것으로 예상된

다. 미연방인사관리처(OPM), 독일 연방의회 해킹 등의 사건을 통해 특정 주체가 후원하는 표적 공격의 가능성이 계

속 제기되고 있다. 이런 공격의 경우 상용 및 오픈소스 소프트웨어의 제로데이 취약점을 바탕으로 제작된 맞춤형 악

성코드가 사용될 확률이 높다. 이런 맞춤형 악성코드 기반 공격은 AV벤더 카스퍼스키를 대상으로 한 듀큐(Duqu)

2.0 공격이나 해킹팀 데이터 유출 사고의 경우처럼 보안전문가 그룹 및 기업도 방어에 어려움을 겪을 만큼 고도화된

공격이므로, 특정 기관이나 기업이 표적이 될 경우에는 큰 피해를 입을 것으로 예측된다.

최근 일어나는 보안 사건들에서 빠질 수 없는 키워드는 단연 ‘취약점(Vulnerability)’이다.

특히, 제로데이 취약점은 용어 자체에도 발견부터 해결책(패치)이 나오기 전까지의 위험성과 긴박함을 담고 있으며,

실제로 이 기간에 해당 취약점을 통한 수많은 보안 사건들이 일어나고 있다. 그 동안 대표적인 응용 프로그램인 오라

클의 자바(Java) 취약점을 이용한 공격이 활발했다면, 지난해 하반기부터 올 상반기까지는 어도비의 플래시 플레이

어(Flash Player) 취약점들이 그 명성을 이어가고 있다.

올 상반기 이슈가 되었던 국내 커뮤니티를 통한 랜섬웨어 유포 사건에 이용된 취약점(CVE-2014-0515)을 비롯해, 가

장 최근에는 이탈리아 업체 ‘해킹팀’ 정보노출 공격에 이용된 것으로 알려진 취약점(CVE-2015-5119), 그리고 해당

업체가 사용하는 것으로 알려진 다수의 제로데이 취약점이 세상 밖으로 모습을 드러냈다. 과거 제로데이 기간이 짧

았던 것에 비해 최근 공격들은 사건이 발생하기 전까지는 쉽게 알려지지 않기 때문에 그 사용 시간을 가늠하기 힘든

실정이다.

올 하반기에도 어도비 플래시 플레이어와 같은 응용 프로그램 취약점을 이용한 크고 작은 보안 사건들은 지속될 것

으로 예상되며, 피해를 최소화할 수 있도록 전문가의 노력과 사용자의 각별한 주의가 더욱 요구된다.

11

안랩, V3 제품군 등 주요 제품의 Windows 10 지원 준비 마쳐

새로운 Windows 10, 무엇이 달라지나?

H O T I S S U E Windows 10

11

지난 7월 29일, 마이크로소프트(Microsoft, 이하 MS)가 새로운 운영체제(Operation System, 이하 OS) Windows 10을 전세계 동시

출시했다. Windows 10은 여러 면에서 ‘파격적’이다. ‘무료 업그레이드’라는 공격적인 마케팅 전략을 필두로 2개의 인터넷 브라우저 탑

재, 생체인식 기술이 적용된 ‘Windows Hello’, 음성 기반 디지털 개인 비서 ‘코타나(Cortana3)’ PC 버전 등 이전의 Windows OS에서

는 볼 수 없었던 사용자 중심적인 다양한 기능으로 매력을 어필하고 있다. 이에 국내에서도 Windows 10 환경으로 이동하는 것을 고

려하는 기업이 늘고 있다. 문제는 현재 사용 중인 응용 프로그램들을 Windows 10 환경에서도 정상적으로 이용할 수 있는지의 여부다.

이와 관련해 안랩은 이미 지난 7월, V3 제품군을 비롯해 자사 주요 제품의 Windows 10 지원 작업을 마치고 새로운 OS 환경에서도

기업의 비즈니스 환경을 보호할 준비 태세를 갖췄다. Windows 10의 새로운 기능과 함께 이 새로운 환경에서 즉시 이용할 수 있는

안랩의 제품에는 무엇이 있는지 알아본다.

MS는 Windows 10이 ‘가장 개인화된 Windows’라고 자평한다.

Windows 10은 무엇이 다른지, 특히 사용자 중심적인 기능에는 어떤

것이 있는지 살펴보자.

2개의 인터넷 브라우저, IE 그리고 Edge

Windows 10은 인터넷 브라우저가 2개다. 이것이 기존 Windows와

가장 큰 차이점이다. 별도의 설치 작업 없이 Windows 10에서 기존 브

라우저인 인터넷 익스플로러(Internet Explorer, 이하 IE) 11과 함께

새로운 브라우저인 엣지(Edge)를 동시에 사용할 수 있다. Windows

10의 기본 브라우저는 ‘엣지’이지만 IE11을 기본 브라우저로 설정하여

사용할 수 있다.

엣지(Edge)는 Windows 10 개발 단계에서 ‘스파르탄(Project Spar-

tan)’이라는 코드명으로 불렸던 인터넷 브라우저로, 웹 표준과 상호 운

용성을 최우선으로 설계되어 가볍고 빨라진 것이 특징이다. MS에 따르

면 사용자들은 엣지를 통해 웹 페이지에서 직접 메모를 쓰고 다른 사

람들과 공유할 수 있으며, 온라인에서 관심 있는 기사를 저장했다가 나

중에 다시 읽을 수도 있다.

한편 한국인터넷진흥원(KISA)은 Windows 10으로 업그레이드 전에

평소 방문하는 사이트의 엣지 브라우저 지원 일정을 사전에 확인해둘

것을 권장하고 있다. 현재 일부 웹사이트에서는 엣지 브라우저를 지원

▲ 새로운 인터넷 브라우저 ‘엣지(Edge)’

1212

하지 않기 때문이다. 물론 엣지와 함께 제공되는 IE 11 브라우저를 이

용하는 방법도 있다. 다만, Windows 10에 탑재된 IE 11도 인터넷 뱅

킹 사이트 등 일부 사이트에서 호환성 문제가 있을 수 있다.

‘시작’ 메뉴의 귀환

일각에서는 MS가 컴퓨터 운영체제 점유율 시장에서 고비를 맞은 결

정적인 이유로 Windows 8에서 적용된, 이른바 ‘모던UI’를 꼽는다. 태

블릿 PC와 달리 터치스크린이 아닌 마우스와 키보드로 조작해야 하는

일반 데스크톱PC 및 노트북 환경에는 MS의 미래지향적(?) UI가 오히

려 사용자들의 불만을 가져왔다는 것이다. 특히 ‘시작’ 버튼이 사라진

것에 대해 사용자들의 혼란과 불만이 커졌다.

‘이전 운영체제에 대한 반성’이라고 평가 받는 Windows 10은 ‘시작’

버튼과 메뉴를 그리워하는 사용자와 ‘모던UI’를 원하는 사용자 모두를

위한 운영체제로 거듭났다. ‘사용자 환경 분리’를 통해 데스크톱PC와

노트북 사용자는 시작 메뉴가 제공되는 ‘데스크톱UI’로, 태블릿PC와

스마트폰 사용자는 ‘모던UI’로 Windows 10 환경을 이용할 수 있다.

Windows 10의 시작 메뉴는 애플리케이션, 재생 목록 등 다양한 콘텐

츠를 사용자 지정으로 고정할 수 있어 자주 사용하는 프로그램을 빠르

고 간편하게 이용할 수 있다. 또한 쇼케이스 타이틀을 사용하면 애플

리케이션을 먼저 열지 않고 바로 콘텐츠로 이동할 수 있다.

내 얼굴이 ‘암호’가 된다? - Windows HelloMS에 따르면 Windows 10은 사용자의 얼굴을 인식하고 동공, 지문

등을 인식해 등록된 사용자가 아니면 PC와 태블릿, 스마트폰의 이용

을 제한한다. 생체인식 보안 기술이 적용된 ‘Windows Hello’ 기능 덕

분에 사용자들은 더 이상 기억하기 어려운 복잡한 암호를 사용할 필요

가 없다. 또한 특정 동작, 예를 들어 윙크나 손짓 등도 로그인 암호로

지정할 수 있다.

단, ‘Windows Hello’를 이용하려면 사용하는 기기에 안면 인식이나

홍채 감지, 또는 윈도우 바이오매트릭 프레임워크(Window Biometric

Framework)를 지원하는 지문 판독기용의 특수한 적외선 카메라가

탑재되어 있어야 한다.

이 외의 다양한 Windows 10 기능과 한글 버전 지원 여부, 또 무료 업

그레이드를 이용할 수 있는 사용자 및 시스템 사양에 관한 자세한 내

용은 마이크로소프트 홈페이지(http://www.microsoft.com/ko-kr/

windows/features)에서 확인할 수 있다.

새로운 OS 환경에서도 ‘안랩’

MS는 홈페이지를 통해 Windows 10 업그레이드 시 특정 응용 프로

그램의 경우 호환성을 검사하게 되며 일부 응용 프로그램이 업그레이

드 작업을 방해할 수 있다고 설명하고 있다. 상용 응용 프로그램뿐만

아니라 백신(Anti-Virus) 프로그램 등 보안 프로그램의 Windows 10

환경 지원 여부를 사전에 확인해야 한다는 의미다.

이와 관련해 안랩은 이미 V3 제품군을 비롯해 자사 주요 제품의

Windows 10 지원 준비를 마쳤다. 업무용 PC의 Windows 10 업그

레이드를 고려하고 있는 기업이라면 V3 Internet Security 9.0, V3

Endpoint Security 9.0을 비롯해 안랩 패치 매니지먼트, 안랩 내PC지

개인 비서 Cortana, 한국에서는 아직…

Windows 10의 새로운 기능 중 이미 많이 알려진 것은 ‘코타나

(Cortana3)’이다. MS가 ‘진정한 개인 비서’라며 자신감을 내보이는 코

타나는 PC 버전에서도 제공되며 Windows 10에 대한 도움말 제공부

터 파일이나 이메일 검색, 음악 재생, 응용 프로그램 작동, 설정 변경

등에 도움을 준다. 사용자의 관심사와 친분 관계 등을 파악하여 주도

적으로 사용자를 돕는다는 컨셉으로, 애플의 시리(Siri)와 차별화를 꾀

하고 있다.

그러나 안타깝게도 국내 이용자들은 당분간 코타나를 만날 수 없을 전

망이다. 2015년 7월 29일 출시된 Windows 10 한글 버전에는 코타나

가 탑재되지 않았으며 미국, 영국, 중국, 프랑스, 이탈리아, 독일, 스페

인에 제공되는 Windows 10에서만 이용할 수 있다.

▲ Windows 10 시작 메뉴

▲ 생체인식 기술이 적용된 Windows Hello

▲ 디지털 개인 비서 코타나(Cortana3)

1313

키미 등 안랩의 주요 제품을 새로운 OS 환경에서도 이용할 수 있다.

단, MS가 권고한 바와 같이 Windows 10으로 업그레이드를 진행하

기에 앞서 사용 중인 안랩 제품을 반드시 최신 버전으로 업데이트해야

한다. 최신 버전으로 업데이트 하지 않은 상태에서 Windows 10으로

업그레이드할 경우, 일부 제품의 기능이 정상적으로 동작하지 않을 수

있기 때문이다.

Windows 10을 지원하는 안랩 제품 및 각 제품별 버전은 [표 1]과 같다.

지능형 지속 위협 APT(Advanced Persistent Threat) 대응 솔루션인

AhnLab MDS의 에이전트는 연내 Windows 10을 지원할 예정이다.

한편 개인용 제품인 V3 365 Clinic과 V3 Lite 역시 최신 엔진 버전을

적용하면 Windows 10 환경에서 이용 가능하다. 보다 자세한 안랩 제

품 및 버전별 Windows 10 지원 내용은 안랩 홈페이지(http://www.

ahnlab.com/kr/site/download/info/windows.do)를 통해 확인할

수 있다.

*이미지 출처: 마이크로소프트 홈페이지 www.microsoft.com/ko-kr

제품명 지원 여부 및 제품 버전

1 V3 Endpoint Security 9.0 O

2 V3 Internet Security 9.0 O

3 V3 MSS O

4

AhnLab Policy Center 에이전트

- AhnLab Policy Center 4.0

- AhnLab Policy Center 4.6

- AhnLab Policy Center Appliance

패치 버전 4.0.17

패치 버전 4.5.15

패치 버전 4.6.1

패치 버전 4.6.2

패치 버전 4.6.3

5 AhnLab Patch Management O

6 AhnLab Privacy Management O

7 AhnLab Privacy Management Suite O

8 AhnLab 내PC지키미 O

9 AhnLab Online Security 2.0 O

10 AhnLab Safe Transaction O

[표 1] 안랩 제품 Windows 10 지원 현황

14

전세계 인터넷 뱅킹을 위협하는

‘다이어(Dyre)’

T H R E AT A N A LY S I S Dyre

지난해 전세계 1천여 개의 은행 및 기업 시스템을 노리는 다이어(Dyre) 악성코드가 해외에서 발견됐다. 그리고 올해 초, 국내 은행

을 공격 대상으로 포함하고 있는 다이어 악성코드가 발견돼 국내 주요 은행들이 긴장하고 있다. 다이어는 어파트레(Upatre) 악성코드

가 다운로드하는 인터넷 뱅킹 정보 탈취형 악성코드로, 현재 가장 악명 높은 뱅킹 악성코드이다. 주로 이메일 첨부 파일 등을 통해 유

포되고 있으며, 첨부 파일을 실행한 사용자를 가짜 웹 페이지로 유도해 정보 유출 등을 시도한다. 이때 인터넷 익스플로러(Internet

Explorer, 이하 IE), 크롬, 파이어폭스 등 브라우저를 가리지 않고 이용하고 있어 피해가 확산될 우려가 높다. 이 글에서는 국내 은행을

노린 다이어 악성코드의 구조와 동작 방식, 주요 기능 등을 상세히 알아본다.

다이어 악성코드는 이메일의 첨부 파일 형태로 유포되어 사용자 시스

템을 감염시킨다. 감염된 PC에서 사용자가 은행 사이트로 접속을 시

도할 때 해당 은행의 주소가 악성코드 내부에 공격자가 명시해둔 은

행 URL 리스트에 포함되어 있으면 다이어 악성코드가 동작하여 계좌

정보 탈취, 키로깅 등의 악의적인 행위를 수행한다. 다이어 악성코드

가 수행하는 주요 악성 행위를 요약하면 다음과 같다.

다이어 구조 및 상세 동작

[그림 1]은 다이어 악성코드의 동작 과정이다. 다이어는 어파트레에

의해 다운로드되는 파일로, 인젝터(Injector), 인젝티드 Dll(시스템 프

로세스, 브라우저) 등으로 구성되어 있다.

1. 인젝터(Injector)

최초로 실행된 다이어는 시스템의 리소스 영역에서 PE 파일을 복호화

하여 메모리의 섹션 이미지를 교체한다. 이후 다시 리소스 영역에서

PE 파일을 복호화하여 현재 실행되고 있는 시스템 프로세스에 인젝션

(injection)한다.

[그림 1] 악성코드 동작 과정

- C&C 서버와 I2P 통신

- 시스템 종료

- 브라우저 정보 탈취

- 뱅킹 정보 탈취

- 키로깅

- 사용자 정보 탈취

- TV 및 VNC 모듈을 이용한 백도어 기능 등

15

시스템 프로세스에 인젝션된 PE 파일은 스레드(thread)로 동작하며

C&C 연결을 시도한다. 이후 C&C를 통해 명령을 받아 악의적인 기능

을 수행하며, 특히 온라인 뱅킹 정보 탈취를 위한 브라우저 코드 패치

를 시도한다.

[그림 4] 다이어 악성코드 내부에 존재하는 C&C 주소

[그림 5] IE 브라우저 후킹 코드 패치

[그림 6] 브라우저별 후킹 패치 함수 호출

[그림 3] 다이어 악성코드의 공격 대상 OS 버전

다이어 악성코드는 가상머신(Virtual Machine, 이하 VM) 기반 탐지를

우회하기 위해 다음과 같은 내용을 확인한다.

또한 원격 접속을 하기 위해 RDP 기능을 이용해 관련 레지스트리를

추가 또는 수정한다.

3. 브라우저(Browser) - Injected Dll

다이어 악성코드는 가짜 사이트로 사용자를 유도할 때 IE, 크롬, 파이

어폭스 등 주요 브라우저를 이용한다. 이 글에서는 IE 브라우저를 중

심으로 살펴본다.

2. 시스템 프로세스(System Process) - Injected Dll

시스템 프로세스인 인젝티드 Dll(Injected Dll)의 메인 함수는 다음과

같은 동작을 수행한다.

① 뮤텍스(Mutex) 확인 및 생성: 고유한 뮤텍스를 생성하여 악성코드

가 동작하고 있는지 확인

② 운영체제(이하 OS) 버전 정보 확인

③ 로그(설정)파일 읽기/쓰기

인젝티드 Dll이 확인하는 OS에는 [그림 3]과 같이 Windows 8.1이 포

함되어 있다.

인젝티드 Dll은 아래와 같이 총 3개의 주소 및 서버에 대한 인터넷 연

결을 확인한다. 만일 연결에 실패하면 C&C 서버와의 통신을 시도하지

않는다.

브라우저 인젝티드 Dll은 [그림 6]과 같이 브라우저별 후킹 패치 함수

를 호출한다. 후킹 함수를 이용해 웹 브라우저를 통해 송•수신되는

뱅킹 정보를 탈취한다.

IE, 파이어폭스, 크롬 등 브라우저별 후킹 함수는 [표 1]과 같다.

인터넷 연결에 성공하면 [그림 4]와 같이 파일 내부로부터 가져온 인

코딩 데이터를 복호화하여 C&C 주소를 얻는다. C&C 서버와 통신할

때는 커맨드에 따라 POST 및 GET 방식을 사용한다.

<인젝티드 Dll의 인터넷 연결 확인 대상>

- google.com

- microsoft.com

- STUN(Session Traversal Utilities for NAT) 서버

[그림 2] 복호화 루틴

<Anti-VM 루틴>

- 프로세서 개수 체크

- 시스템의 전원 상태 체크

16

[그림 7] 은행 접속 시도 및 C&C 접속 확인

[그림 8] 다이어 악성코드 공격 대상 은행 및 리다이렉션 피싱 페이지

[표 1] 브라우저별 후킹 함수다이어 악성코드는 금융 정보 및 관련 정보 탈취, 금전 탈취 등을 목

적으로 한다. 지난 2014년 말부터 활발하게 유포되고 있으며, 내부 코

드의 흐름 자체는 크게 변화가 없지만 외형은 끊임없이 변화하고 있

어 지속적인 피해가 우려되고 있다.

한편 안랩 V3 제품군에서는 다이어 악성코드를 아래와 같은 진단명으

로 탐지하고 있다.

<V3 제품군 진단명>

- Win-Trojan/MDA.D709

- Trojan/Win32.Dyre

- Trojan/Win32.Dyzap

이후 [그림 7]과 같이 은행 사이트 접속을 시도하고 C&C 접속 여부를

확인한다. 또한 GetMessageW()와 PeekMessageW() 함수에 패치

된 코드를 통해 키로깅을 수행한다.

공격 대상 지속적으로 증가 중

[그림 8]은 다이어 악성코드의 공격 대상인 은행 리스트와 리다이렉션

되는 가짜 사이트 페이지다. 지난 4월 안랩의 분석 당시 약 500개 은

행이 리스트에 포함되어 있었다. 특히 지난 2월 국내 은행 2곳이 추가

된 흔적이 발견되는 등 공격 대상이 지속적으로 늘어날 것으로 추정

된다.

<참고 자료>

http://www.secureworks.com/cyber-threat-intelligence/threats/dyre-banking-trojan/

https://blog.korelogic.com/blog/2014/05/27/malware_callback

F5SOC Dyre Malware Analysis Report November 2014.pdf

Network_insights_of_Dyre_and_Dridex_Trojan_bankers.pdf

http://www.trendmicro.com/vinfo/us/threat-encyclopedia/web-attack/3139/the-dire-implications-of-dyreza

http://stopmalvertising.com/malware-reports/introduction-to-dyreza-the-banker-that-bypasses-ssl.html

https://portal.sec.ibm.com/mss/html/en_US/support_resources/pdf/Dyre_Wolf_MSS_Threat_Report.pdf

http://nextpage.com/threatinsight/posts/dyreza-takes-stock.php

F5SOC - Dyre Internals.pdf

브라우저명 함수명 모듈명

인터넷

익스플로러(IE)

CreateProcessInternalW kernel32.dll

LoadLibraryExW KERNELBASE.dll

GetMessageW USER32.dll

PeekMessageW USER32.dll

ICSecureSocket::Send_Fsm WININET.dll

ICSecureSocket::Receive_Fsm WININET.dll

파이어폭스

PR_Read nss3.dll

PR_Write nss3.dll

PR_Close nss3.dll

GetMessageW USER32.dll

PeekMessageW USER32.dll

크롬

LoadLibraryExW kernel32.dll

GetMessageW USER32.dll

PeekMessageW USER32.dll

ssl_write chrome.dll

ssl_read chrome.dll

ssl_close chrome.dll

17

상 가장 빠르게 팔린 기계라는 평가를 받고 있다. 전세계 성인 인구의 절반이 스마트폰을 사용하고 있으며 그 수치는 2020년 80%에 달할 것

으로 전망된다. 집중도 또한 뛰어나다. 스마트폰 사용자의 80%는 아침에 일어난 후 15분 이내에 스마트폰으로 문자나 뉴스를 확인하고, 중요

한 순간에도 스마트폰을 손에서 내려놓지 않는다.

우리나라의 상황도 크게 다르지 않다. 55세 이상(47%)을 제외한 18세 이상 전체 연령대에서 10명 중 9명 이상이 스마트폰을 사용하고 있다.

25세 이상 35세 미만은 거의 모든 사람(99%)이 스마트폰을 갖고 있다. 우리나라의 지난해 1인당 스마트폰 사용 시간은 하루 1시간 16분으로

2011년 21분, 2012년 46분, 2013년 1시간 6분에 이어 꾸준히 증가하고 있다.

스마트폰은 우리의 삶을 풍부하게 하고 사회를 변화시킨다는 점에서 긍정적인 평가가 많다. 스마트폰은 시공간의 제약을 뛰어넘어 정보가 공

유되는 사회를 가능케 했다. 이 때문에 권력자들이 여론을 감시하는 역기능보다는 사회의 부조리를 고발하고 여론을 확산해 민주주의에 기여

한다는 의미에서 순기능이 더 크다는 게 이코노미스트의 분석이다.

하지만 포노 사피엔스는 역설적으로 스마트폰 없이는 살기 힘든 시대가 됐음을 의미하기도 한다. 포노 사피엔스에 ‘세대’라는 단어가 덧붙어

‘스마트폰 없이 생각하거나 살아가는 것을 힘들어하는 세대’라는 뜻풀이가 나오는 이유다.

스마트폰에 대한 의존도가 높아지면서 스마트폰이 없으면 불안감을 느끼는 ‘노모포비아’ 증세를 호소하는 사람들도 점점 늘고 있다. 노모포비

아란 ‘노 모바일폰 포비아(No mobile-phone phobia)’의 줄임말로, 스마트폰 등 휴대전화가 없을 때 초조해하거나 불안함을 느끼는 증상을 일

컫는 말이다. 노모포비아의 대표적인 증상은 권태, 외로움, 불안함이며 하루 세 시간 이상 휴대폰을 사용하는 사람들은 노모포비아에 걸릴 가

능성이 높다.

그럼에도 불구하고 앞으로 스마트폰이 가져올 혁명적인 변화는 기대해볼 만하다. 이코노미스트는 “스마트폰은 이제 막 세상을 바꾸려 하고 있

다”며 “아직 본격적인 변화는 시작도 하지 않았다”고 분석했다. ‘포노 사피엔스’ 시대, 스마트폰이 바꿀 세상은 우리가 상상하는 것 이상이 될

것이다.

영국 경제 주간지 이코노미스트는 지난 2월 ‘스마트폰의 행성(Planet

of the phones)’이라는 제목의 기사를 통해 “세상이 스마트폰 없이는

살기 어려운 시대가 됐다”면서 ‘포노 사피엔스(Phono sapiens)’를 언

급했다.

포노 사피엔스란 ‘지혜가 있는 전화기’라는 뜻으로, ‘지혜가 있는 인

간’이라는 의미의 ‘호모 사피엔스’에 빗댄 말이다. 인간이 오스트랄로

피테쿠스-호모 에렉투스-호모 사피엔스의 진화 과정을 거쳤듯이 휴

대전화도 진화하고 있다는 의미다.

집적회로(Integrated Circuit)의 발전으로 기기는 소형화되었고, 데이

터 전송 비용이 낮아지면서 오늘날의 스마트폰 시대가 가능해진 것

이다. 인간이 달에 착륙한 1969년의 슈퍼 컴퓨터보다 뛰어난 연산

능력을 갖고 있는 스마트폰은, 시간을 계량한 장치인 시계나 마차에

엔진을 단 자동차가 인류에 엄청난 영향을 미쳤듯이 인류의 삶을 변

화시키고 있다.

스마트폰이 세상에 나온 지 8년이 지난 지금, 스마트폰은 인류 역사

I T & L I F E

지금은 ‘포노 사피엔스’ 시대!

“이것이 모든 것을 바꿀 것이다.”

스티브 잡스는 2007년 아이폰을 세상에 내놓으면서 이렇게 말했다. 그는 아이폰이 이끌 스마트폰 혁명이 인류에 어떤 영향을 미칠 것

인지 예견했던 것 같다. 손바닥만한 크기의 스마트폰은 말 그대로 세상을 뒤집어 놓았다. 우리의 라이프스타일뿐 아니라 인간관계와

산업을 포함해 사회 전반을 바꿔 놓은 것이다.

▲ 이코노미스트 표지 (*출처: www.economist.com)

1818

A H N L A B N E W S

안랩(대표 권치중, www.ahnlab.com)은 최근 미래창조과학부가 진

행하는 ‘정보통신방송 전문가 초청연수(사이버침해대응)’의 일환으

로, 개발도상국의 정부부처 및 공공기관 소속 정보보호 담당자 20여

명을 초청해 기업 견학 프로그램을 진행했다.

이번 견학에서 안랩은 개발도상국 환경에서 적용 가능한 사이버침

해대응센터 모델을 제시하고 의견을 나누는 시간을 가졌다. 또한, 안

랩의 통합보안관제센터(SOC, Security Operation Center) 등의 시

설을 방문해 참가자들의 호응을 얻었다.

한편 ‘정보통신방송 전문가 초청 연수’는 미래창조과학부의 국내 정

보보호분야 글로벌 진출과 개발도상국 지원하기 위한 프로그램이

다. 아시아•중남미•아프리카 등 개발도상국의 정보통신분야 관계

자들을 초청해 우리나라 사이버보안 법•제도•정책을 소개하고, 정

부기관 및 기업 견학 진행, 한국의 사이버 범죄 수사사례 공유와 국

제협력 방안 등에 대한 논의가 주목적이다.

안랩은 최근 안드로이드 스마트폰 사용자의 데이터를 인질로 삼아

금전을 요구하는 ‘스마트폰 랜섬웨어’가 발견되어 사용자의 주의가

필요하다고 밝혔다.

안랩에 따르면 공격자는 ‘어도비 플래시 플레이어’를 사칭한 악성

앱을 제작하고 사용자에게 유포했다. 사용자가 해당 앱 설치를 완

료하면 랜섬웨어에 감염된다. 해당 악성 앱은 설치 과정에서 사용

자에게 과도한 권한 및 관리자 활성화를 추가로 요구한다. 해당 랜

섬웨어에 감염되면, 사용자의 스마트폰은 ‘100달러를 5일 안에 입

금하라’는 내용의 문구가 담긴 감염 화면으로 바뀌고, 다른 화면으

로 전환하는 등의 조작이 불가능해진다. 동시에 사용자 몰래 스마

트폰의 버전, 모델명, 사용 국가 등의 정보가 공격자에게 자동으로

전송된다.

안랩은 해당 악성코드를 발견한 즉시 분석 정보를 KISA에 공유했

으며, V3를 이용해 해당 악성코드를 진단할 수 있도록 조치했다. 박

태환 ASEC대응팀 팀장은 “스마트폰에 중요 정보를 저장해 두는 사

용자가 늘어남에 따라, 이를 노린 랜섬웨어가 지속적으로 발견되고

있다”며 “공격자의 요구에 따라 대가를 지불해도 파일이 복구된다

는 보장이 없어, 사용자 스스로 예방 수칙을 실행하는 것이 중요하

다”고 말했다.

한편 해당 랜섬웨어에 감염된 경우라면, 스마트폰에서 ‘안전 모드

(단말기 제조사 별로 상이)’로 부팅한 후 ‘[설정] – [기기 관리자(휴

대폰 관리자)]’ 메뉴에서 랜섬웨어를 포함하고 있는 악성 앱의 비활

성화에 체크한다. 이후 애플리케이션 목록에서 해당 앱을 제거하면

된다.

안랩, ‘2015 개도국 정보통신방송전문가’

기업 방문 진행

▲ 안랩을 방문한 개발도상국 정보통신분야 담당자들은 SOC 등 안랩의 시설 및

기술에 많은 관심을 보였다.

유명 유틸리티로 위장한

스마트폰 랜섬웨어, 주의!

▲ 스마트폰 랜섬웨어 감염 화면

19

보안 통계와 이슈 S T A T I S T I C S

ASEC이 집계한 바에 따르면 2015년 6월 한 달간 탐지된 악성코드

수는 1,605만 3,772건이다. 이는 전월 1,814만 4,414건에 비해 209

만 642건 감소한 수치다. 한편 6월에 수집된 악성코드 샘플 수는

596만 7,561건이다.

[그림 1]의 ‘탐지 건수’란 고객이 사용 중인 V3 등 안랩의 제품이 탐

지한 악성코드의 수를 의미하며, ‘샘플 수집 수’는 안랩이 자체적으로

수집한 전체 악성코드 샘플 수를 의미한다.

[그림 2]는 2015년 6월 한 달간 유포된 악성코드를 주요 유형별로

집계한 결과이다. 불필요한 프로그램인 PUP(Potentially Unwanted

Program)가 52.27%로 가장 높은 비중을 차지했고, 트로이목마

(Trojan) 계열의 악성코드가 38.16%, 애드웨어(Adware)가 3.55%로

그 뒤를 이었다.

지난 6월 악성코드 유포지로 악용된 도메인은 1,459개, URL은 1만

3,047개로 집계됐다. 또한 6월의 악성 도메인 및 URL 차단 건수는

총 403만 7,996건이다. 악성 도메인 및 URL 차단 건수는 PC 등 시스

템이 악성코드 유포지로 악용된 웹사이트의 접속을 차단한 수이다.

안랩 시큐리티대응센터(ASEC)는 ASEC Report Vol.66를 통해 지난 2015년 6월의 보안 통계 및 이슈를 전했다. 6월의 주요 보안 이

슈를 살펴본다.

‘메르스’ 이용한 사회공학 기법 공격 등장

ASEC, 6월 악성코드 통계 및 보안 이슈 발표

[그림 1] 악성코드 추이(2015년 4월 ~ 2015년 6월)

샘플 수집 수탐지 건수

[그림 2] 2015년 6월 주요 악성코드 유형

Worm DownloaderAdwareetcTrojanPUP

5,000,000

6,000,000

10,000,000

20,000,000

30,000,000

40,000,000

1,000,000

2,000,000

3,000,000

4,000,000

06월05월04월

18,144,41416,053,772

19,126,002

4,83

2,46

4

5,96

7,56

1

3,94

0,48

8

3.55%

4.38%

38.16%

52.27%1.47%

0.17%

20

또한 지난 6월 한 달간 탐지된 모바일 악성코드는 27만 7,313건으로

집계됐다.

[그림 4] 모바일 악성코드 추이(2015년 4월 ~ 2015년 6월)

‘메르스’ 이용한 악성코드 유포

사회적 불안과 경제 전반에 심각한 타격을 야기했던 ‘중동호흡기증후

군(Middle East Respiratory Syndrome, MERS)’을 이용한 사회공학

적인 기법의 악성코드가 발견됐다. 해당 악성코드는 [그림 5]와 같이

‘중동호흡기증후군 관리지침 3-2판.docx.lnk’라는 이름으로, ‘윈도우

바로가기’ 파일 형식을 하고 있다.

해당 파일의 등록 정보를 확인해 보면 아래 [그림 6]과 같이 정상 파

일 ‘mshta.exe’을 이용하여 ‘http://ll.********.com/link/index.php’

라는 사이트로 접속한다.

이어 아래의 사이트로부터 사용자에게 보여주기 위한 정상 doc 파일

과 악성 jpg 파일을 다운로드한 후 실행한다.

사용자에게 보여지는 정상 문서 파일 “중동호흡기증후군 관리지침

3-2판.docx”의 내용은 [그림 7]과 같다.

악성 도메인/URL 차단 건수 악성코드 유포 URL 수악성코드 유포 도메인 수

[그림 3] 악성코드 유포 도메인/URL 탐지 및 차단 건수(2015년 4월 ~ 2015년 6월)

[그림 5] 메르스를 이용한 악성 파일

[그림 6] 악성 파일의 등록 정보

[그림 7] 사용자에게 보여지는 문서 파일 내용

10,000

20,000

30,000

8,000,000

9,000,000

40,000

7,000,000

6,000,000

5,000,000

4,000,000

006월

13,04713,887

19,704

1,4591,5041,548

05월04월

4,037,996

5,724,598

5,191,767

50,000

100,000

150,000

250,000

300,000

200,000

0

06월05월04월

153,307

277,313

155,466

http://ll.*********.com/link/중동호흡기증후군 관리지침 3-2판.docx

http://ll. *********.com/link/ahnupdat.jpg

21

또한 아래와 같은 코드가 실행되어 악성 jpg 파일을 ’%TEMP%’ 경로

에 ‘SportLove.jpg’라는 파일 이름으로 저장한다.

이렇게 ‘svchost.exe’를 통해 제작된 악성코드는 인터넷 익스플로러

(IE)를 실행하여 공격자가 설정해둔 서버로부터 특정 파일의 다운로

드를 시도한다. 다운로드에 성공하면 해당 파일에 포함되어 있는 설

정 값을 읽어 들인 후 악의적인 행위를 수행하는 것으로 보인다.

사회공학기법은 시스템의 취약점이 아닌 사람들간의 기본적인 신뢰

를 바탕으로 사람을 속이는 공격기법을 통칭하는 것으로, 시스템의

취약점이 아닌 불안과 흥미에 취약한 사람의 마음을 이용한 공격이

다. 특히 메르스 사태와 같이 사람들의 불안 심리를 자극하는 경우가

많아 이러한 공격의 피해를 최소화하기 위해서는 사용자들의 각별한

주의가 필요하다.

한편 V3 제품군은 해당 악성코드를 아래와 같은 진단명으로 탐지하

고 있다.

<V3 제품군의 진단명>

Win-Trojan/Builder.1779200 (2015.06.09.03)

VBS/Downloader (2015.06.09.03)

HTML/Downloader (2015.06.09.03)

JPEG/Dropper (2015.06.09.03)

ASEC Report Vol.66은 이 밖에도 사용자 PC의 레지스트리에 숨어서

실행되는 ‘은닉형 악성코드’와 수동으로 삭제하기 어렵게 제작된 PUP

등에 대해 다루고 있다.

악성 파일인 ‘SportLove.jpg’를 실행하면 [그림 8]과 같은 이미지를

보여주기 때문에 사용자는 해당 파일을 정상적인 그림 파일로 생각하

기 쉽다.

[그림 9]는 ‘SportLove.jpg’의 파일 구조로, 내부에 악성코드를 갖고

있음을 알 수 있다. 이 악성코드 영역에는 [그림 10]과 같이 PC에 생

성할 악성코드 파일명과 암호화된 악성코드가 존재한다.

[그림 10]의 ‘svchost.exe’ 파일은 다운로드 기능을 가진 파일로, 악

성코드를 제작하기 위한 도구이다.

[그림 9] SportLove.jpg의 파일 구조

[그림 8] SportLove.jpg 실행 시 나타나는 이미지

[그림 10] 악성코드 영역에 존재하는 파일명

[그림 11] svchost.exe의 기능

FolderName = WshSysEnv.Item("TEMP")

filename=FolderName+"\"+"SportLove.jpg"

이하 생략

발행인 : 권치중

발행처 : 주식회사 안랩

경기도 성남시 분당구 판교역로 220

T. 031-722-8000 F. 031-722-8901

편집인 : 안랩 콘텐츠기획팀

디자인 : 안랩 디자인팀

© 2015 AhnLab, Inc. All rights reserved.

본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제, 복사, 검색 시스템

으로 저장 또는 전송될 수 없습니다. 안랩, 안랩 로고는 안랩의 등록상표입

니다. 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상

표일 수 있습니다. 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다.

경기도 성남시 분당구 판교역로 220

T. 031-722-8000 F. 031-722-8901

© 2015 AhnLab, Inc. All rights reserved.

http://www.ahnlab.com

http://blog.ahnlab.com

http://twitter.com/ahnlab_man