1. 보안 위협 동향과 주요 보안 위협 특징

보안 위협 동향과 주요 보안 위협 특징

2010.2.18

㈜ 안철수연구소

ASEC (AhnLab Security Emergency response Center)

Anti-Virus Researcher, CISSP

장 영 준 주임 연구원

Copyright (C) AhnLab, Inc. 1988-2010. All rights reserved.

목 차

1. 2009년 보안 위협 동향

2. 2009년 주요 보안 위협 특징

3. 안철수연구소의 보안 위협 대응 시스템

Copyright (C) AhnLab, Inc. 1988-2010. All rights reserved.4

2009년간 감염 보고된 악성코드 유형에는 트로이 목마 형태가 39.2%로가 가장 많았으며,

다음으로 애드웨어 형태와 바이러스 형태가 11.7%로 뒤를 이음.

2009년 5월 ASEC의 위협 정보 수집 시스템 개발 이후 7월까지 증가세에서 3분기 일시적 소강 상태,

4분기 이후 다시 증가 추세를 보이고 있음.

[감염 악성코드 유형 - 전체] [월별 악성코드 감염 보고]


1) 악성코드 동향



2) 보안 취약점 동향

마이크로소프트사(MS)의 보안업데이트는 총 74건으로 2008년도 78건과 거의 비슷한 수준.

정식 업데이트 발표 전 위협을 알리는 보안 권고문(Security advisories)는 2008년에 비해 2배 이상 급증.

어도비(Adobe)의 아크로뱃 리더(Acrobat Reader) 취약점 증가 추세.

윈도우 운영체제의 취약점 보다는 마이크로소프트 오피스 및 아크로뱃 리더 등 전자 문서 취약점의 증가 추세

[2009년 MS 보안 업데이트 현황] [2009년 Adobe 보안 업데이트 현황]



3) 웹 사이트 보안 동향

2009년 악성코드 침해 웹사이트 현황은 6월/8월/9월/10월이 120건 이상으로 침해사이트가 가장 많았으며,

유포지가 20건 이상인 달은 1월/5월/6월 달로 가장 많음.

2009년 웹을 통해 배포되었던 악성 스크립트는 마이크로소프트와 어도비 등 다수 어플리케이션의 취약점을 악용.

2009년 웹 사이트에서 유포된 악성코드 발견 건수는 2,804,284건이며,

악성코드가 발견된 URL은 76,379건을 기록.

[2009년 악성코드 침해 웹 사이트 현황] [2009년 월별 웹 사이트 악성코드 발견 현황]



1) 정교해지는 사회 공학 기법의 보안 위협

사회 공학 기법 역시 국지적 공격의 특성을 위해 해당 국가의 언어나 문화를 기반화 하고 있음.

2010년 2월 발견된 해외 허위 백신과 2009년 11월 발견된 악성 메일이 한국어로 제작되었음.

타켓 공격과 접목되어 메일 수신인이 보안 위협에 대한 인식이 어렵도록 제작.

[해외 허위 백신의 한국어 사용] [한국어를 사용한 악성 메일]


2) 보안 위협의 소셜 네트워크 서비스와 접목

페이스북과 트위터 등 소셜 네트워크 서비스의 인프라를 악성코드 유포 경로로 사용.

사회 공학 기법과 접목되어 단기간에 많은 사람들이 보안 위협에 노출 되도록 제작.

다양한 메신저 서비스를 온라인 피싱과 같은 현금 갈취 사기 수법으로 악용

[온라인 메신저 악용한 피싱] [유튜브로 유포된 Koobface 웜]



3) 보안 위협의 자동화 된 대규모 양산

제로 데이 취약점이 발견되면 위협의 대량 양산을 위해 자동화 된 툴 개발, 이를 다시 고가에 매매

자동화 된 툴로 인해 취약점을 악용한 위협이 단기간에 급속하게 증가

웹 브라우저 취약점에서부터 전자 문서 어플리케이션 취약점까지 다양한 형태의 취약한 파일들을 자동으로 생성

취약점이 존재하는 웹 서버를 검색 엔진과 연동하여 자동으로 검색 및 공격하는 자동화 툴까지 개발

[MS10-002 취약점 생성기] [취약한 PDF와 SWF 생성기]



4) 대규모 위협을 양산하는 웹 사이트

2009년 5월 검블러, 6월 나인볼로 명명된 대규모 웹 사이들의 악성코드 유포에 웹 익스플로잇 툴킷 사용

2009년 10월 Daonol 트로이목마 사례와 같이 단기간 대량 감염을 위한 수단으로 웹 사이트를 악용

웹 익스플로잇 툴킷을 통해 사용자 시스템에 맞춤형 취약점으로 악성코드 감염 시도.

다양한 웹 브라우저 취약점 및 어도비 아크로뱃 리더 취약점이 공격에 사용됨

[허위 백신 유포를 위한 Papka 툴킷] [맞춤형 공격을 위한 My Poly Sploits]



5) 보안 위협을 위해 전자 메일과 웹 사이트의 결합

보안 제품의 우회를 위해 첨부 파일 대신 웹 사이트로 연결하는 링크만 본문에 존재.

전자 메일에서 연결되는 웹 사이트를 통해 다양한 취약점 악용으로 악성코드 감염 시도.

2009년 12월 CVE-2009-4324 취약한 PDF 파일의 타켓 공격 역시 웹 서버에서 트로이목마를 다운로드하는 형태.

2010년 1월 발생한 MS10-002 취약점을 악용한 타켓 공격 역시 웹 사이트 링크를 포함한 전자 메일로 유포.

[취약한 PDF과 웹 결합의 타켓 공격] [웹 사이트로 연결되는 전자 메일]



6) 파일 형태로 동작하지 않는 악성코드

악성코드 감염시 정상 프로세스의 메모리 영역에서만 또는 하드 디스크의 Unpartitioned 영역에서 동작

악성코드 파일만 삭제하는 것으로 치료되지 않으며 메모리 영역도 제거 해야 됨.

2008년 11월 Conficker 웜, 2009년 5월 Palevo 웜과 2009년 6월 Bredolab 트로이목마 그리고 2009년 11월

TDLRootkit 트로이목마가 대표적인 사례

[메모리 영역에 쓰여진 Bredolab] [TDLRootkit의 동작 원리]



7) 스마트폰으로 확장 된 보안 위협의 영역

노키아 심비안OS가 모바일 악성코드의 대부분을 이루며 배터리 방전과 대량 문자 발송 등의 단순 기능

아이폰으로 대표되는 스마트폰이 대중화되면서 2009년 11월 아이폰에 감염되는 Ikee 웜 발견.

스마트폰 자체를 공격하기 보다는 2010년 2월 스마트폰 복제를 위한 피싱 메일 유포

사회 공학 기법을 이용해 개인 정보를 탈취하는 어플리케이션 설치 유도 형태로 발전 예측.

[Ikee 웜 변경한 아이폰 바탕화면] [사회 공학 기법의 모바일 어플리케이션]



3. 안철수연구소의 보안 위협 대응 시스템


3. 안철수연구소 보안 위협 대응 시스템

1) 클라우드 서비스를 이용한 보안 위협 수집

ACCESS(AhnLab Cloud Computing E-Security Service)

클라우드 서비스를 기존 안철수연구소의 보안 위협 대응 시스템들과 연동

신속하고 빠르게 보안 위협 정보들을 수집하고 이를 다시 각각의 제품들이 서로 공유 하여 대응 할 수 있도록 구성


2) 보안 위협 수집에서 대응까지

3. 안철수연구소 보안 위협 대응 시스템

보안파트너(정부/해외)

개인 및 기업 고객

허니팟 및 웹몬

AMP 시스템 ARES 시스템

ASEC 악성코드 분석가

AMP (AhnLab Malicious code Processing system) : 보안 위협 정보 데이터 수집 및 1차 형태 자동 분류

ARES (AhnLab Researchers Environment System) : 보안 위협 데이터 자동 분석 및 분류 이후 대응 수단 생성



AhnLab, the AhnLab logo, and V3 are trademarks or registered trademarks of AhnLab, Inc.,in Korea and certain other countries. All other trademarks mentioned in this document are the property of their respective owners.

AhnLabThe Joy of Care-Free Your Internet World

ASEC Threat Research

http://blog.ahnlab.com/asec/

http://blog.ahnlab.com/asec/

1. 보안 위협 동향과 주요 보안 위협 특징

Technology