2011년보안이슈와2012년보안위협예측

2012. 04. 26

장영준선임연구원

Senior Advanced Threat Researcher, CISSP

ASEC (AhnLab Security Emergency response Center)

Contents01 2011년보안위협통계

1) 2011년악성코드감염보고

2) 2011년웹사이트보안위협

3) 2011년감염악성코드유형별분포

4) 2011년보안취약점형태

Contents02 2011년주요보안이슈

1) 기업겨냥APT 공격증가

2) 스마트폰용악성코드급증

3) 디도스및SQL 인젝션등웹서버공격일반화

4) 웹애플리케이션취약점악용한악성코드지속유포

5) 악성코드자기보호기술지능화

6) 전자서명악용한악성코드증가

7) 일반애플리케이션취약점공격증가

8) 산업/국가기간시설공격시도증가

9) 금전적목적의온라인게임해킹급증

10) 사회공학기법, 고도의심리전으로발전

Contents03 2012년보안위협예측

1) APT 공격경로지능화

2) PC 악성코드수준의스마트폰악성코드등장

3) SNS 통한보안위협증가

4) 애플리케이션취약점공격국지화

5) 특정국가산업/기관시스템공격시도증가

6) 가상화및클라우드환경공격본격화

7) 스마트TV 등네트워크로연결되는시스템에대한공격증가

01 2011년보안위협통계

01. 2011년악성코드감염보고

• 2011년악성코드총감염보고건수는 1억 7747만 3697건

• 2010년 1억 4609만 7262건대비 3137만 6435건증가

• OnlineGameHack 트로이목마변형들이 10,770,803건감염보고로최다

• Patched.CR 트로이목마가 757,876건감염보고로신종악성코드중최다

2011년월별악성코드감염보고건수

02. 2011년악성코드감염유형별분포

• 2011년감염보고유형은트로이목마42.1%, 스크립트 17.4%, 웜 11.6% 순서로높은비율을차지

• 2011년신종악성코드유형역시트로이목마 62%로가장많으며,애드웨어 16%, 드로퍼 7% 차지

• 스크립트악성코드는웹브라우저취약점을악용하는자바스크립트형태가다수로

최종적으로온라인게임관련악성코드감염시도

2011년악성코드유형별감염보고비율 2011년신종악성코드유형별분포

03. 2011년보안취약점형태

2011년공격대상기준별MS 보안업데이트

• 2011년 MS 보안패치는총 99건으로전년과비슷한수준

• 제로데이취약점은과거처럼악성코드의급속한확산보다는 Targeted Attack 및 APT 공격에서은밀하게악용

• 공격에악용되는기존및제로데이취약점은 MS보다어도비가다수

• MS에서발견된제로데이취약점 MS11-087은 Duqu 악성코드가악용

04. 2011년웹사이트보안위협

2011년월별악성코드가발견된URL

• 2011년취약한웹사이트에서유포된악성코드유형은총 8,846종

• 2011년악성코드를유포한취약한웹사이트 URL은총 49,196건

• 악성코드유포웹사이트 URL은 2010년 47,491 건대비 4% 증가로비슷한수준

• 악성코드유포웹사이트 URL 증가로하반기들어악성코드감염보고수치가상승곡선을보임

02 2011년주요보안이슈

01. 기업겨냥 APT 공격증가

• 2011년은 APT 공격으로인해다수의기업보안사고발생

• 해외에서 Shady RAT와 EMC/RSA 등의침해사고발생

• 국내는농협전산망, SK 커뮤니케이션즈와넥슨침해사고발생

• 공통적으로 APT 공격으로인해기업내부기밀정보와고객정보유출

EMC/RSA APT 공격흐름도

02. 스마트폰용악성코드급증

• 안드로이드스마트폰감염을노리는악성코드의급격한증가

• 안드로이드악성코드대부분 Premium Call/SMS로금전획득을위해제작

• 3rd Party Market과 QR 코드악용등의다양한방식으로유포시도

2011년분기별안드로이드악성코드발견수치

03. 디도스및 SQL 인젝션등웹서버공격일반화

• 웹서버들을대상으로한다양한공격들이지속적으로발생

• DDoS 공격들은국, 내외에서다양한목적과대상으로발생

• 해외는 Visa, Master, 홍콩증권거래소와 CIA 웹페이지를대상으로발생

• 국내는한국내정부및금융기관웹사이트대상의 3.4 DDoS 공격발생

• SQL 인젝션과크로스사이트스크립팅공격기법들의자동화로일반화

3.4 DDoS 공격타임라인

Visa와 Master 공격한DDoS 공격툴

04. 웹애플리케이션취약점악용한악성코드지속유포

• 웹브라우저와웹애플리케이션취약점들을악용한공격증가

• 웹애플리케이션취약점악용은금전획득을위한악성코드유포목적

• 해외의경우온라인뱅킹정보탈취를위한 Zeus와 SpyEye유포

• 국내의경우온라인게임사용자정보탈취를위한트로이목마유포

인터넷익스플로러MS11-050

취약점악용스크립트어도비플래쉬플레이어CVE-2011-2110

취약점악용

05. 악성코드자기보호기술지능화

• 보안제품의탐지회피를위한악성코드의기술적발전가속화

• 중국에서제작된 AVKill트로이목마는 MBR 감염의 Bootkit 으로발전

• 정상윈도우시스템파일을위, 변조하는 Patched 트로이목마는보안제품에서탐지및치료를

더욱어렵도록제작

• Mac OS에감염되는허위백신과 64비트 OS 감염악성코드도증가

국내에서발견된Bootkit 악성코드실행구조

06. 전자서명을악용한악성코드증가

• 정상전자서명을도용하여정상파일로위장한악성코드증가

• 정부기관, IT 업체와금융기업등의전자서명을도용한악성코드발견

• 금융정보탈취를위한 Zeus와개인정보탈취를위한트로이목마까지다양한형태의

악성코드에서전자서명도용

• 악성코드의전자서명도용은보안제품의탐지를우회하기위한목적

보안업체전자서명을도용한Zeus 악성코드

07. 일반애플리케이션취약점공격증가

• 일반애플리케이션에존재하는취약점을악용한악성코드유포증가

• Adobe Reader, Microsoft Office와아래한글등전자문서취약점악용

• 특히 Adobe 제품군에서발견된 Zero Day 취약점들은 APT 공격에악용

• 일반애플리케이션취약점은사회공학기법과결합으로전자메일, SNS와웹사이트등으로

공격이가능

MS07-014 워드취약점악용악성코드 CVE-2010-2883 취약점악용PDF

08. 산업/국가기간시설공격시도증가

• Stuxnet 제작그룹에서제작한 Duqu는산업/국가시설정보수집목적

• 스프링필드상수도, Mitsubishi와노르웨이석유및방산업체공격시도

• 현재까지정보수집또는공격시도만발견되지만향후심각한피해우려

미국스프링필드상수도제어시스템관련도

이미지 출처 - http://utilityii.com/scada/llinois-water-utility-scada-system-hacked-pump-doesnt-live-to-talk-about-it

09. 사회공학기법, 고도의심리전으로발전

• 다양한사회적인이슈를사회공학기법으로악성코드유포증가

• 일본대지진재해, 오사마빈라덴과스티브잡스등유명인사망을악용

• 유포경로면에서 SNS 활성화로인해보안위협유포경로로악용증가

오사마빈라덴사망악용한페이스북 트위터로유포된악성코드

03 2012년 보안위협예측

EMC/RSA APT 공격에사용된전자메일

01. APT 공격경로지능화

• 2012년에도 APT 공격으로인해다수의기업보안사고발생예상

• 지역적소프트웨어취약점과스마트폰악성코드등다양한형태의공격방식들이예상

02. PC 악성코드수준의스마트폰악성코드등장

허위안드로이드마켓 유틸리티로위장한안드로이드악성코드유포웹사이트

• 2012년은과거 PC 악성코드에서사용하는감염기법들이스마트폰에도활용될것으로예상

• 루트권한탈취, 은폐기법과모바일웹브라우저취약점악용등다양한감염기법들이

사용될것으로예상

03. SNS 통한보안위협증가

맥악성코드유포를위한SNS SNS로특정이슈를악용해악성코드유포

• SNS 사용자증가로피싱, 악성코드등다양한보안위협이 SNS로유포

• SNS에서단축 URL 활용빈도가높아짐에따라보안위협발생빈도증가

• 2012년은 APT 공격이나스마트폰악성코드유포등에 SNS 악용이예상

04. 애플리케이션취약점공격국지화

• 2011 년은운영체제와같은범용적애플리케이션취약점악용은감소

• 특정지역에서만사용되는애플리케이션의취약점악용사례증가

• 한국의경우아래한글과곰플레이어등의취약점악용사례발생

• 2012년은지역적특성을가진애플리케이션취약점악용사례증가예상

아래한글에존재하는취약점을악용한악성코드감염

05. 특정국가산업/기관시스템공격시도증가

스턱스넷악성코드의감염과동작원리

• 금전, 종교, 정치목적으로특정국가산업/기관시스템공격시도예상

• 사용자부주의로내부네트워크로보안위협이유입되거나특수목적시스템용

소프트웨어들의취약점악용을예상

06. 가상화및클라우드환경공격본격화

아마존S3 클라우드서비스를악용한스파이아이C&C서버

• 2011년가상화기술을기반으로클라우드서비스제공기업이증가

• 물리적으로단일시스템이지만가상화로다수의 C&C 서버구축은대규모악성코드유포및제

어가능

• 2012년가상화와클라우드서비스의본격화로이를악용한다양한보안위협발생예상

07. 스마트 TV등네트워크로연결되는시스템에대한공격증가

네트워크연결가능한스마트TV

• 스마트폰과태블릿등네트워크연결가능한휴대기기의급속한증가

• 백색가전,자동차및의료기기등임베디드소프트웨어사용증가

• 2012년가상화와클라우드서비스의본격화로이를악용한다양한보안위협발생예상

• 취약한임베디드시스템들의네트워크연결은외부해킹이나서비스거부공격에

노출될가능성이높음

Thank you.

ASEC Threat Research & Response Blog - http://asec.ahnlab.com/