홈페이지를 통한 - kisa · 시 취약점에 따라서 웹프로그램에 숨겨진 악성...

FOC

US

41

FOC

US

**** 한국인터넷진흥원 침해사고탐지팀 선임연구원([email protected])

**** 한국인터넷진흥원 침해사고탐지팀 선임연구원([email protected])

**** 한국인터넷진흥원 침해사고탐지팀 책임연구원([email protected])

**** 한국인터넷진흥원 침해사고탐지팀 팀장([email protected])

홈페이지를 통한 악성코드 유포 및 대응방안

FO

CU

S

3

고민석*, 김홍석**, 이용준***, 박정환****

최근 홈페이지, 웹하드 등을 해킹하여 악성코드를 은닉시킴으로써, 접속하는 이용자PC를

악성코드에 감염시키는 피해가 증가하고 있다. 홈페이지, 웹하드는 이용자 접속이 많아 악성코

드 유포가 용이하다는 점 때문에 해커는 최대한 많은 접속자를 악성코드에 감염시켜 금융정보를

탈취하거나, APT공격의 전단계로써 정보수집을 목적으로 한다. 본고에서는 최근 홈페이지를

통한 악성코드 유포로 인한 문제점과 이에 대한 기술적 대응방안을 제시하고자 한다.

Ⅰ. 서론

Ⅱ. 홈페이지를 통한 악성코드 유포 공격유형

1. 홈페이지 은닉 악성코드 유포

2. 웹하드 전용프로그램 위·변조 악성코드 유포

Ⅲ. 홈페이지 유포 악성코드 탐지기술

1. 홈페이지 유포 악성코드 탐지

2. 웹하드 전용프로그램 위·변조 탐지

Ⅳ. 최근 홈페이지 유포 악성코드 유포 동향분석

1. 홈페이지 악성코드 유포 동향

2. 웹하드 악성코드 유포 동향

Ⅴ. 홈페이지 유포 악성코드 유형 분석 및 대응방안

1. 홈페이지 유포 악성코드 목적

2. 홈페이지 유포 악성코드 대응 방안

42 INTERNET & SECURITY FOCUS August 2014

Ⅰ. 서론

최근 국내 인터넷 이용자수는 4천만명이 넘는 것으로 집계되었다. 인터넷 이용자 수가 증

가함에 따라서 홈페이지를 통한 악성코드가 증가하고 있는 실정이다. 홈페이지 통한 악성코

드 유포 공격은 취약점이 있는 이용자PC 환경으로 홈페이지 접속 시 취약점에 따라서 웹프

로그램에 숨겨진 악성 스크립트가 실행되면서 악성코드에 감염시킨다. 특히 웹하드 전용프로

그램이 경우는 웹하드 서비스 전산망을 해킹 한 후 전용프로그램을 위·변조시켜 악성코드를

유포하여, 전용프로그램 업데이트를 실행한 모든 이용자는 정상적인 전용프로그램으로 인지

하고 자동적으로 악성코드에 감염되는 피해를 드러냈다. 이에 본고에서는 홈페이지를 통한

악성코드 유포 현황을 분석하고, 악성코드를 탐지하는 기법 및 분석 사례를 기초하여 최근

유포동향과 대응방안을 조망해 보기로 한다.

Ⅱ. 홈페이지를 통한 악성코드 유포 공격유형

1. 홈페이지 은닉 악성코드 유포

기존 해킹공격은 저장매체, 이메일, 전산망 등 해킹을 통해 악성코드 유포를 하였으나, 최

근에는 이용자 접속이 많은 홈페이지 통한 악성코드 유포가 주된 유포 경로로써 악용되고 있

다. 홈페이지 통한 악성코드 유포 공격은 취약점이 있는 이용자PC 환경으로 홈페이지 접속

시 취약점에 따라서 웹프로그램에 숨겨진 악성 스크립트가 실행되면서 악성코드에 감염시키

는 방식이다. [그림 1] 동향 보고서와 같이, 홈페이지 악성코드 유포를 위해 악용되는 취약점

은 운영체제, 응용프로그램 등 취약점을 악용하여 비정상적으로 우회하는 것으로 자바 어플

리케이션, 문서편집기(한글, 워드), 문서뷰어(어도비 아크로벳), 인터넷 브라우져, 플래쉬 플

레이어, 동영상 플레이어 등이 대표적이다.

이러한 PC환경 취약점을 악용하여 악성 스크립트 실행 시켜 악성코드에 감염시키는 공격

기법을 DBD(Drive By Download) 공격기법１ 이라고 한다. [그림 2]와 같이 DBD 공격은 해

１ 해커가홈페이지를해킹한후,취약점에따른공격코드가있는악성스크립트를은닉시키고,취약한PC환경의이용자가접

FOC

US

FOCUS 3 홈페이지를통한악성코드유포및대응방안 43

커가 이용자 접속이 많은 홈페이지를 해킹한 후, 악성 스크립트를 삽입시킴으로써 변조된 홈

페이지에 접속한 이용자는 스스로 인지하지 못한 채 악성코드에 감염되게 된다.

[그림 3]과 같이, 특정 홈페이지에 이용자가 접속하게 되면 취약점에 따른 공격코드가 숨

겨진 악성 스크립트(javascript.js)가 실행되면서, 이용자PC에 파밍형 악성코드(kara.exe)에

감염되도록 한다. 감염된 이용자PC의 공인인증서 유출 및 호스트 파일이 변조시켜 검색 창

에서 위조 금융사이트를 노출시켜, 금전적 피해를 발생시킨다.

속할경우이용자동의없이접속한PC에악성코드가다운로드되어설치되는공격기법

1%Microsoft PowerPoint

2%Microsoft Word

3%Adobe Reader

3%Microsoft Excel

91%Java 보안 침해

1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월

(단위: %)

PDF 플래시 Java

16

14

12

10

8

6

4

2

0

<Cisco, 악성 스크립트 취약점 동향(’13년)> <FireEye, 악성 스크립트 취약점 동향(’13년)>

[그림 1] 글로벌 보안기업 악성 스크립트 취약점 동향보고

2. 사용자가 홈페이지 방문 시 사용자 PC에 악성코드 자동 설치

1. 홈페이지를 해킹하여 악성스크립트 삽입

3. 금융정보, 개인정보 등 유출해커 사용자

[그림 2] DBD(Drive By Download) 공격기법


[그림 4]와 같이 금융기관을 사칭하는 홈페이지는 정상 홈페이지와 구분이 되지 않아, 파

밍형 악성코드에 감염된 이용자는 구분이 힘들게 되어, 개인정보 및 금융정보를 입력하는 유

도창을 통해 금융거래에 필요한 추가적인 금융정보를 탈취하는데 악용된다.

<취약점 공격코드가 은닉된 악성 스크립트> <파밍형 악성코드 감염된 PC의 변조된 검색창>

[그림 3] 홈페이지 유포 파밍형 악성코드 감염 사례

<정상 금융사이트> <사기 금융사이트>

<개인정보 입력 유도> <금융정보 입력 유도>

[그림 4] 파밍형 악성코드 감염 이후 금융정보 탈취 과정

FOC

US


2. 웹하드 전용프로그램 위·변조 악성코드 유포

웹하드 전용프로그램은 공유된 컨텐츠를 제공받기 위해서는 이용자가 필수적으로 설치하

는 프로그램으로써, 해커가 웹하드 전산망을 해킹하여 전용프로그램을 위·변조 시킨 피해

사례가 발생하였다. 이렇게 위·변조된 전용프로그램에는 악성코드가 삽입되어 있으며, 전용

프로그램 업데이트를 실행한 모든 이용자는 정상적인 전용프로그램으로 인지하고 자동적으

로 악성코드에 감염된다. 이용자 PC환경이 보안패치, 백신 등의 보안조치가 완벽하더라도

위·변조된 전용프로그램을 업데이트한 경우 무조건 악성코드에 감염되고, 감염된 PC는 디

도스공격에 악용되는 등 추가적인 피해가 발생하였다.

[그림 5]는 ’13년 6·25사이버공격의 사례로써, 이용자 접속이 많은 웹하드 전용프로그램

을 해킹하여 위·변조함으로써, 전용프로그램 업데이트 이용자에게 악성코드를 감염시키고,

국가기관 DNS 서버에 디도스 공격을 일으키는데 악용된 사례이다.

2. 사용자가 홈페이지 방문 시 사용자 PC에 악성코드 자동 설치

1. 홈페이지를 해킹하여 악성스크립트 삽입

3. 정부기관 타켓 DNS DDoS 공격

해커웹하드

정부기관DNS 서버

정부기관 홈페이지

이용자

[그림 5] ’13년 6·25 사이버공격 시 웹하드 전용프로그램 위·변조 사례


Ⅲ. 홈페이지 유포 악성코드 탐지기술

1. 홈페이지 유포 악성코드 탐지

홈페이지 유포 악성코드를 탐지하는 방식으로는 정적분석 방식과 동적분석 방식으로 나누

어 진다. 정적분석은 점검대상 홈페이지 웹프로그램을 크롤러를 통해 수집하여, 해당 소스내

에 악성링크가 있는지를 검색하는 방식이다. 이때 탐지패턴으로 악성링크가 사용되며, 악성

링크는 국내·외를 통해 공유·수집하여 분석한 악성코드 유포지 또는 악성 스크립트 문자열

로써 탐지가 가능하다. 정적분석 방식인 기 등록된 탐지패턴으로 점검하기 때문에 속도가 빠

르지만, 등록되지 않은 신종 악성코드는 탐지하지 못하는 한계가 있다. 대부분의 해커는 기

존에 사용하는 악성코드를 일부 바꾸어서 지속적으로 배포하는 특성이 있기 때문에 많은 악

성코드를 수집하고 탐지패턴으로 만드는 것이 중요하다.

[그림 6]과 같이 KISA는 국내 250만 개 홈페이지를 대상으로 웹프로그램 내 악성링크가

은닉되어 있는지를 탐지하고, 악성코드를 수집·분석하여 국내 인터넷 이용자가 해당 명령

제어서버(C&C)에 접속되지 않도록 차단하며, 악성링크가 은닉된 홈페이지 운영자에게 삭제

요청 등의 기술지원을 실시하고 있다.

차단조치(해외)

인터넷망

삭제조치(국내)

홈페이지악성코드 탐지

삭제조치 및 기술지원악성코드 탐지

•악성코드 삭제조치(국내)

•홈페이지 차단조치(국외)

•국내 홈페이지(250만 개)

•악성코드 은닉여부 탐지(매일)

국내 홈페이지정적분석 시스템

•홈페이지 운영자에게

•전화, 공문을 통한 조치요청

국내 홈페이지(250만 개)KISA

[그림 6] KISA, 250만 개 국내 홈페이지 정적분석 방식

FOC

US


악성코드가 은닉된 홈페이지를 동적분석하는 방식으로는 이용자 PC환경을 가상화 환경으

로 구성하고 다양한 취약점을 노출시켜, 홈페이지를 접속함으로써 비정상적인 레지스트리

변경, 악성코드 다운로드, 명령제어서버 접속 등 악성행위를 분석하는 탐지기법이다. 동적기

법은 PC이용자 환경에 대한 행위분석이라고도 하며, 탐지패턴을 이용하지 않기 때문에 신종

악성코드 탐지가 가능하나 상대적으로 분석속도가 느린 특징을 가진다.

[그림 7]과 같이 KISA는 웹하드, 쇼핑몰 등 이용자 접속이 많은 국내 50만 개 홈페이지를

대상으로 동적분석을 점검하고 있으며 이를 통해 신종 악성코드를 탐지하여 명령제어서버

(C&C) 신속차단 등 후속조치를 수행하고 있다.

2. 웹하드 전용프로그램 위·변조 탐지

웹하드 전용프로그램 위·변조를 통한 악성코드 유포의 경우, 업데이트한 이용자 PC 전체

가 악성코드에 감염되기 때문에 실시간적인 위·변조 여부 탐지가 중요하다. [그림 8]과 같

이 웹하드 전용프로그램 위·변조 탐지를 위해서 웹하드 관리자는 업데이트 하기 전에 KISA

의 탐지 시스템에 등록을 한 후 전용프로그램을 배포한다. 점검시스템은 실시간으로 이용자

PC에 배포되는 전용프로그램과 등록된 전용프로그램의 해쉬값을 비교함으로써 위·변조를

신속히 탐지할 수 있다.

악성코드 탐지 및 조치

웹하드 쇼핑몰

학교 병원

주요 홈페이지악성코드 동적분석 시스템

주요 홈페이지(50만 개)

KISA

점검대상 홈페이지 접속 후

악성코드 동적분석

[그림 7] KISA, 국내 50만 개 주요 홈페이지 동적분석 방식


Ⅳ. 최근 홈페이지 유포 악성코드 유포 동향분석

1. 홈페이지 악성코드 유포 동향

<표 1> 도표를 보면 KISA 탐지한 ’14.7월까지 홈페이지 악성코드 유포현황을 보면 총

6,916건으로 악성코드 경유지２ 5,540건, 유포지３ 1,376건으로 나타났다. 탐지건수가 높은

1월, 7월은 웹호스팅업체를 대상으로 대량 악성코드 유포, 금융 탈취형 악성코드 유포로 탐

지 건수가 높게 나타났다.

<표 2>에서 보듯이, 악성코드 유포지 1,376건에 삽입된 악성 스크립트를 분석을 통해 공격

툴킷으로 자동화된 악성 스크립트를 생성하여 은닉시킨 건수가 757건으로 55%를 차지하는

것으로 나타났다. 대표적인 공격 툴킷은 Gongda(중국), CKVip(중국), Redkit(러시아),

BlackHole(러시아) 순으로 분석되었다. 이러한 특징은 해커가 무차별적으로 취약점 악성코

드를 홈페이지에 은닉시키기 위해 자동화된 툴을 활용하는 특징을 보이고 있다. 중국, 러시

２ 홈페이지방문자를유포지로자동연결하여악성코드를간접유포하는홈페이지

３ 홈페이지방문자에게악성코드를직접유포하는홈페이지

탐지시스템

웹하드 관리자

웹하드

해커

KISA 이용자

배포 서버

웹하드 전용프로그램등록서버

③위·변조여부 탐지(해쉬값)

① 웹하드 배포S/W 이용자 배포 전 등록

② 웹하드 배포S/W이용자 배포

[그림 8] KISA, 웹하드 전용프로그램 위·변조 탐지 방식

FOC

US


<표 1> 2014 홈페이지 유포 악성코드 탐지 현황

구 분 1월 2월 3월 4월 5월 6월 7월 합계

경유지 1,203 600 799 573 418 671 1,276 5,540

유포지 244 190 283 204 177 117 161 1,376

1월 2월 3월 4월 5월 6월 7월

1,203

244 190283

204177 117 161

600

799

573

418

671

1,276

경유지 유포지

1,500

1,000

500

0

<표 2> 유포지에 악용된 공격 툴킷


Gongda(중국) 117 65 118 67 29 23 1 420

CKVip(중국) 26 25 52 52 30 14 63 262

RedKit(러시아) 10 5 4 4 18 5 2 48

BlackHole(러시아) 4 9 2 4 6 - 2 27

합계 157 104 176 127 83 42 68 757

| | | | | | |

200 -

180 -

160 -

140 -

120 -

100 -

80 -

60 -

40 -

20 -

0 -

1월 2월 3월 4월 5월 6월 7월

Gongda GongdaCKVip CKVipBlackHole BlackHoleRedKit RedKit

420

262

4827

500

400

300

200

100

0


아에서 주로 제작된 공격 툴킷은 자바, 플레시 플레이어, 인터넷 익스플로러 등 다양한 취약

점 악성 스크립트를 손쉽게 생성할 수 있어 그 피해가 증가하고 있다.

<표 3>과 같이, 악성코드 유포지에 삽입된 악성 스크립트 분석을 통해 악용된 취약점은

Java Applet 취약점,４ Adobe Flash Player 취약점,５ MS XML 취약점,６ MS IE 취약점７ 순

으로 나타났다. 특히 글로벌 보안기업의 동향보고서와 유사하게 Java 애플릿 취약점은 전체

취약점의 59%로 가장 높게 확인 되었다. MS 관련 취약점의 경우는 ‘14.4월 윈도우 XP의 기

술지원 종료를 선언하였으나 국내는 윈도우XP 점유율이 24.82%８ 차지하고 있으며, MS IE

11이하 버전 사용률이 IE 8(21.56%), IE 9(9.06%), IE 10(6.26%)９으로 이러한 취약점 패치

뿐 아니라 운영체제, 어플리케이션 업그레이드가 필요하다.

<표 3> 유포지에 악용된 취약점


JavaApplet 264 246 352 248 158 106 96 1,470

AdobeFlashPlayer 69 66 97 93 59 36 97 517

MSXML 57 61 97 93 59 36 102 505

MSIE 54 49 74 62 39 25 48 351

직접다운로드 6 24 11 13 11 11 17 93

합계 450 446 631 509 326 214 360 2,936

| | | | | | |

400 -

350 -

300 -

250 -

200 -

150 -

50 -

0 -

1 2 3 4 5 6 7

직접다운로드 MSXML Adove Flash Player MSIE Java Applet

Java 애플릿

취약점 59%

Java 애플릿

취약점 59%

Flash Player

취약점 25%

MS XML

취약점 7%

IE 취약점 6% 직접다운로드 3%

４ JavaApplet취약점:웹페이지에서실행되는자바프로그램취약점

５ AdobeFlashPlayer취약점:웹브라우저에서비디오,애니메이션등을실행시키는어플리케이션취약점

６ MSXML취약점:MSIE(웹브라우저)에서사용되는XML개발언어해석도구취약점

７ MSIE취약점:MSIE(웹브라우저)취약점

８ http://marketshare.hitslink.com/OperatingSystem

９ http://marketshare.hitslink.com/Browsers

FOC

US


<표 4>와 같이, 홈페이지에 유포된 악성코드 분석을 보면, 금융정보 유출, 파밍형 악성코

드, 원격제어, 드룹퍼, PC정보 유출 순으로 나타나고 있다. 전자 금융사기를 목적으로 하는

금융정보 유출, 파밍형 악성코드는 전체 악성코드 497건 중에 280건으로 63%를 차지하고

있다.

<표 4> 유포지에 악용된 취약점


금융정보유출 11 25 42 51 30 24 31 214

파밍형악성코드 19 18 20 - - - 9 66

원격제어 3 7 7 10 9 11 16 63

드롭퍼 22 8 7 7 - 2 1 47

개인정보유출 2 9 9 8 5 1 5 39

기타 3 14 11 12 14 2 12 68

합계 60 81 96 88 58 40 74 497

| | | | | | |

120 -

100 -

80 -

60 -

40 -

20 -

0 -

1 2 3 4 5 6 7

금융정보 유출 파밍형 악성코드 원격제어

드롭퍼 개인정보 유출 기타

금융정보 유출

50%

파밍형

악성코드

13%

원격제어

13%

드롭퍼

9%

개인정보

유출 9%

기타 14%

2. 웹하드 악성코드 유포 동향

이용자 방문이 높은 웹하드의 경우 주말기간에 콘텐츠 공유 목적으로 접속한 이용자를 대

상으로 악성코드를 유포하는 경우가 많았으며, 웹하드 웹사이트 뿐 아니라 전용프로그램 위·

변조를 통해 직접적으로 악성코드를 유포하는 등의 피해를 보이고 있다. 웹하드 이용자도 이

러한 피해를 인지하고 웹하드에 접속하는 경우에 보안패치, 백신 등 안전한 조치가 필요함을


인지해야 한다.

<표 5> 웹하드 웹사이트·전용프로그램 악성코드 유포현황


웹사이트 22 22 40 15 33 4 11 147

전용프로그램 2 3 5

Ⅴ. 홈페이지 유포 악성코드 유형 분석 및 대응방안

1. 홈페이지 유포 악성코드 목적

홈페이지를 통해 악성코드를 유포하는 해커의 목적은 금융정보 탈취, 워터링홀 공격(특정

타겟)이 주된 목적으로 나타나고 있으며, 효율적으로 악성코드를 유포하기 위해서 이용자 방

문이 많은 홈페이지, 사회적 이슈 관련 홈페이지, 웹호스팅 서버를 대상으로 하는 공격의 특

징을 나타내었다.

1) 금융정보 탈취용 악성코드 유포

최근 다양한 금융정보 탈취용 악성코드가 진화하여 유포되고 있다. ’14.7월까지 KISA에서

홈페이지를 통한 금융정보 유출형 악성코드는 전체 악성코드 497건 중에 280건으로 56%를

차지하고 있다. 금융정보 유출형 악성코드는 호스트 파일 변조하는 파밍형 악성코드, 공인인

증서 탈취 목적으로 하여, 추가적인 금융관련 정보를 수집을 통해 전자 사기를 주 목적으로

하는 것으로 타나났다.

2) 워터링홀(특정 타겟) 공격

워터링홀 공격은 홈페이지에 접속하는 특정 사회적 그룹을 대상으로 악성코드를 유포하는

것으로 ’14년에는 의료인 관련 협회, 노동조합 등을 대상으로 하는 악성코드 유포가 탐지되었

다. 이러한 공격의 경우는 특정 사회적 그룹에 대한 추가적인 APT공격 등을 목적으로 하기

때문에 이에 대한 보안이 필요하다.

FOC

US


3) 이용자가 방문이 많은 홈페이지

해커 입장에서는 이용자 방문이 많은 홈페이지에 악성코드를 유포해야 최대한 많은 이용

자를 감염시킬 수 있는 효율성을 가지고 있다. ’14.7월 까지 일기예보(1월), 유명 블로그(2월),

광고 이벤트(3월), 유명 블로그(4월), 유명 온라인서점(5월), 배너광고(6월), 언론사(7월) 등으

로 언론, 광고, 쇼핑몰 등으로 이용자 방문이 높은 홈페이지를 타켓으로 하는 공격이 많았다.

4) 사회적 이슈 관련 악성코드 유포

’14년에 6.4 지방선거 관련한 후보자 홈페이지(6월), 유명 여행사 홈페이지(7~8월), 교황

방문 관련 기독교 홈페이지(8월) 등으로 사회적 이슈에 따라서 이용자 방문이 많은 홈페이지

에 대한 악성코드 유포도 변화하는 것으로 분석되었다.

5) 웹호스팅

해커가 개별 홈페이지에 대한 공격에서 웹호스팅 서버를 직접 공격하는 변화가 있었다. 이

러한 원인은 웹호스팅 서비스 특성상 서버에 복수의 홈페이지을 운영하고 있기 때문에, 해킹

에 성공하면 해당 서버의 전체 홈페이지에 악성코드 유포가 가능하기 때문이다. <표 6>과 같

이 유포기간이 단기간에 비해 해당 웹호스팅 서버 홈페이지가 대량으로 악성코드 유포하는

것을 확인할 수 있다.

<표 6> 웹호스팅 통한 악성코드 유포사례

웹호스팅 업체 유포기간 악성코드 탐지(건)

H사 2014.7.8~7.9(2일) 551

S사 2014.7.18(1일) 156

N사 2014.3.3(1일) 100

B사 2014.2.25~2.27(3일) 87

A사 2014.6.24(1일) 79

2. 대응 방안

홈페이지를 통한 악성코드 유포에 효율적으로 대응하기 위해서는 홈페이지 운영자는 웹보


안 인식제고, 웹보안 기술 도입, 홈페이지 보호조치 이행 등이 필요하다. 또한 이용자는 홈페

이지를 통한 악성코드의 심각성을 인지하고 스스로 보안조치 등을 하여 전반적인 홈페이지를

통한 악성코드 대응이 요구된다.

1) 웹보안 인식 제고

해커에 의해 웹서버를 장악된 홈페이지 운영자는 피해자 이기도 하지만, 방문하는 이용자

에게 악성코드를 유포하는 가해자가 되기도 한다. 따라서 기본적으로 운영하는 홈페이지에

접속하는 이용자를 보호하기 위해서는 기본적인 보안패치, 백신 등의 보호조치 등의 의무를

지켜야 한다. 또한 소프트웨어 개발자부터 사전에 웹취약점을 제거하기 위해 지속적인 노력

이 필요하다는 것을 인지해야 한다. 따라서 웹보안은 비용이 아니라 물리적 시설물 처럼 최소

한 투자가 필요하다는 인식으로의 전환이 필요하다.

2) 웹보안 기술 도입

홈페이지를 대상으로 하는 악성코드는 점자 지능화되고 있기 때문에, 홈페이지 운영자 스

스로 웹취약점 점검 등을 정기적으로 수행하여 사전에 해커에 의한 공격을 방지해야 하며,

웹방화벽 등과 같은 웹보안도구를 설치하여 악성코드 유포를 정기적으로 점검해야 한다. 만

약 홈페이지 운영기관에 보안인력이 없다면 외부 보안전문업체를 통해서라도 반드시 정기적

인 점검 및 지속적인 피드백이 필요하다.

3) 홈페이지 보호조치 이행

최근 홈페이지를 통한 악성코드를 탐지하고 삭제조치 및 재발방지를 위한 요청에도 불구

하고 지속적으로 무응답이거나 악성코드 유포가 재발하는 사례가 있다. 최소한 홈페이지 운

영기관은 외부로부터 탐지된 악성코드를 신속하게 삭제하기 위해 지원을 아끼지 말아야 하

며, 재발방지를 위한 해킹사고 분석, 웹보안 보호조치 등을 제공해야 한다.

4) 이용자 보안조치

악성코드가 숨겨진 홈페이지에 접속하더라도 보안패치, 백신 등이 보안조치를 하는 경우

는 악성코드 감염이 되지 않을 수 있다. 또한 이용자가 인식하는 것보다 웹하드, 쇼핑몰 등

이용자 접속이 많은 홈페이지를 통한 악성코드가 심각하며 이를 통해서 금융정보 탈취, 특정

FOC

US


그룹에 대한 타겟공격 등의 시도가 지속되고 있기 때문에 이용자 스스로 최소한의 보호조치

등을 취해야 한다.

지금까지 최근 홈페이지를 통한 악성코드 유포 동향 및 대응방안에 대하여 살펴보았다. 최

근의 분석사례를 보면 향후 금전적 이익을 위한 금융탈취용 공격과 특정 그룹을 타겟으로하

는 워터홀공격이 더욱 거세질 것으로 예측된다. 또한 홈페이지를 통한 신종 악성코드를 신속

히 발견할 수 있는 탐지기술 개발과 국내외 기관들의 협력체계를 마련하여 악성코드 확산 방

지, 사용자의 보안의식 고취와 웹보안서비스 강화가 필요한 시점이다.

참고문헌

시만텍. “2013년 공격 킷 및 악성 웹 사이트에 관한 보고서”

시스코 (2014). “2014 연례 보안 보고서”

안랩. “2014년 상반기 보안 동향”

트랜드마이크로 (2014). “시한폭탄 기능을 탑재한 RAT PlugX, C&C 설정 다운로드에 드롭박스 악용”

한국은행 (2014). “공보 2014-8-10호 2014년 2/4분기 국내 인터넷뱅킹서비스 이용현황”

KISA (2013). “Cyber Security Issue 10월 동향”

KISA (2014). “대규모 악성코드 유포 동향 분석”

KISA (2014). 최근 사이버공격 동향 정보공유 세미나

홈페이지를 통한 - kisa · 시 취약점에 따라서 웹프로그램에 숨겨진 악성...

Documents