안랩에서는 4월 2일 "인터넷뱅킹 정보탈취 악성코드 스파이아이 트렌드 발표"라는 보도자료를 배포하고, 금전적인 목적으로 인터넷 뱅킹 정보를 탈취하는 악성코드인 스파이아이(SpyEye)에 대해 경고하였다.

스파이아이는 2010년 11월 ASEC에서 분석 및 연구한 결과에서 처럼 툴킷(Toolkit)을 통해 악성코드를 제작할 때 악성코드 제작자에 의해 어떠한 웹 사이트들 사용자 정보들을 탈취 할 것인지를 설정 파일을 통해 구성 할 수 있게 되어 있다.

ASEC에서는 2012년 1분기 동안 확보한 스파이아이 악성코드 샘플들을 대상으로 스파이아이가 어떠한 기업들의 사용자 계정 정보와 암호를 탈취를 노리는지 자세한 분석을 진행 하였다.

일반적으로 스파이아이는 악성코드가 첨부된 이메일 또는 취약한 웹 사이트 등을 통해 유포되고 있음으로 백신을 사용하지 않거나 최신 엔진으로 업데이트하지 않는 사용자와 취약점이 존재하는 윈도우 운영체제 사용자들의 감염이 비교적 높은 편이다.

ASEC에서 스파이아이 악성코드가 생성하는 암호화 되어 있는 설정 파일을 분석 한 결과로는 악성코드 제작자의 공격 대상이 되는 웹 사이트를 보유한 기업들의 지리적 위치는 아래 이미지와 같이 독일, 미국 그리고 캐나다 순서로 금융업이 발달한 국가들에 집중 되어 있었다.

그리고 해당 공격 대상이 되는 웹 사이트를 보유한 기업들의 업종별로 분류한 이미지는 아래와 같이 온라인 뱅킹을 지원하는 기업들에 대부분이 집중 되어 있으며 그 외에 전자 결제 서비스, 금융 투자 등의 순서로 구성되어 있다.

한 가지 특이한 사실로는 스파이아이 제작자의 공격 대상이 되는 웹 사이트들 중에는 온라인 항공권 구매 서비스를 지원하는 항공사도 포함되어 있다는 점이다.

ASEC에서 운영하는 패킷 센터(Packet Center)의 구성 시스템인 SpyEYE C&C Tracking 시스템을 통해 분석한 스파이아이가 탈취한 사용자 계정 정보와 암호를 전송하는 C&C(Command and Control) 서버가 위치해 있는 국가는 아래 이미지의 녹색 부분과 같다.



C&C 서버가 위치해 있는 국가는 대부분 미국에 집중 되어 있으며 그 외에 러시아와 우크라이나 순서로 집중 되어 있어, C&C 서버 대부분이 해킹된 시스템 또는 관리가 소흘한 시스템에 의해 설치되는 것으로 분석하고 있다.

다행스럽게도 스파이아이 제작자가 탈취를 노리는 웹사이트들에는 한국 금융 기업들이 포함되어 있지 않다. 이는 과거 몇 년전부터 진행되었던 보안 위협들의 국지화에 따른 현상으로 해석 할 수 있다. 그러나 외국 금융 기관과 온라인 뱅킹을 통해 거래를 하는 사용자들은 스파이아이 악성코드 감염에 따른 피해에 대해 많은 주의를 기울일 필요가 있다.


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

- 앱, OS 취약점 노린 악성코드 대량 유포, 좀비폰 본격 등장 예상 
- 스마트폰 전용 백신, 공식 마켓 활용 등 사용자 주의 당부

글로벌 보안 기업인 안철수연구소[대표 김홍선, www.ahnlab.com, 약칭 ‘안랩’]는 5일 2011년에 발생했던 주요 스마트폰 악성코드 트렌드와 2012년에 예상되는 스마트폰 보안 위협을 발표했다.
 
이에 따르면 2011년의 주요 이슈는 ▶과금형 악성코드 폭발적 증가 ▶유명 어플리케이션으로 위장한 악성코드 ▶사생활 침해형 애플리케이션 증가 ▶ 온라인뱅킹정보 노리는 악성코드 발생 등을 꼽았다.
 
또한, 2012년 한 해 예상되는 주요 스마트폰 보안이슈는 ▶ 애플리케이션, OS 취약점 등을 이용한 악성코드 대량 유포 가능성 ▶커널을 공격하는 루트킷 기능의 발전 ▶ 좀비폰 및 봇넷 본격적 활성화 ▶국내를 겨냥하는 모바일 악성코드 등장 등이다.
 
2012년 예상 스마트폰 보안 위협
 
1] 애플리케이션, 운영체제 취약점 등을 이용한 악성코드 대량 유포 가능성
 
현재 윈도우 PC 기반 악성코드 배포 방식 중 가장 유행하는 것은, 웹사이트 변조를 통해 악성코드를 심어 관련 취약점이 패치 되지않은 다수의 사용자에게 악성코드를 유포하는 것이다. 이와 동일하게 스마트폰 사용자가 증가하고, 자연스럽게 이를 통해 인터넷 웹페이지를 보는 경우가 증가함에 따라 해커의 타깃이 될 가능성이 높다. 모바일 환경에서도 PC와 마찬가지로 모바일용 웹어플리케이션의 취약점을 이용해 다수의 사용자에게 한꺼번에 악성코드를 유포한다면 매우 위험해질 수 있다. 소셜네트워크서비스[SNS], 이메일 애플리케이션 등도 취약점이 발견된다면 역시 악용될 수 있다.
 
2] 스마트폰 커널을 공격하는 루트킷 기능의 발전
 
안드로이드의 루팅[rooting]이나, 아이폰의 해킹[hacking]은 애플리케이션의 취약점을 이용하는 것이다. 운영체계의 가장 중요한 핵심인 ‘커널’의 모든 것을 조작할 수 있는 일명 슈퍼유저[super user]의 권한을 취득하게 해준다. 수퍼유저 권한 획득은 일반적 사용자에게 스마트폰의 기능 중 다양한 이유로 제한된 부분을 임의로 조작할 수 있게 해준다. 반면, 악의적인 사용자나 어플리케이션이 이 방법을 악용한다면 치명적일 수 있다. 예를 들어, 시스템 자체를 삭제해서 스마트폰을 영원히 쓸 수 없게 만든다거나, 절대 삭제할 수 없는 악성 애플리케이션을 몰래 실행시킨다거나 하는 것이다. 모바일 악성코드가 증가할수록 이와 같은 스마트폰의 커널을 공격하는 발전된 기술이 유포될 가능성이 높다.
 
3] 좀비 스마트폰 본격적 활성화
 
스마트폰에 악성코드를 대량으로 유포하는 방식이 발전한다면, 좀비PC와 마찬가지로 ‘좀비스마트폰’이 활성화할 가능성이 높다. 7.7 이나 3.4 디도스 공격과 같은 사태가 스마트폰 감염으로 발생하지 않으리라는 보장은 없는 것이다. 올해 안드로이드 플랫폼에서도 스마트폰을 좀비화시키는 봇[bot]에 감염된 ‘좀비 스마트폰’의 네트워크인 ‘봇넷[botnet]을 구성하려는 시도를 보인 악성코드가 중국의 써드파티 마켓에서 발견되었지만, 제한적인 마켓에서만 유포됐기 때문에 피해는 크지 않았다. [http://asec.ahnlab.com/299 참고]
 
4] 국내를 겨냥하는 스마트폰 악성코드 등장
 
2011년에는 다양한 스마트폰 악성코드가 발생한 한 해였지만, 대부분의 악성코드가 유럽, 러시아, 중국 지역을 겨냥하여 만들어져 국내에서의 모바일 악성코드 피해는 크지 않았다. 그러나 한국의 스마트폰 사용률이 매우 높은 편이라는 것을 고려할 때, 악성코드 제작자의 주목을 받을 소지가 다분하다. 국내의 스파이웨어 방지법을 교묘히 피해 제작되는 애드웨어성 악성코드나, 각종 온라인게임계정 또는 민감한 개인정보를 탈취하는 류의 악성코드가 국내의 모바일 환경에 맞게 새롭게 등장할 수 있다.
 
2011년 주요 스마트폰 악성코드 트렌드

1] 과금형 악성코드 폭발적 증가

2011년을 대표하는 안드로이드 악성코드로는 과금형 악성코드를 꼽을 수 있다. 과금형 악성코드는 안드로이드 플랫폼이 전화나 문자기능이 포함된 스마트폰 운영체제[OS]라는 점을 악용한 예이다. 대부분 문자 과금 방식[premium call, 송신자에게 추가요금이 발생하는 번호 서비스]을 주로 이용한다. 즉, 악성코드 감염 시 추가 과금을 발생시키는 특정 번호로 사용자 몰래 문자를 보내 피해자에겐 금전적 피해를 주는 동시에 공격자에겐 직접 수익을 발생시킨다. 가장 최근에 발견된 과금 악성코드는 Android-Trojan/Pavelsms [http://asec.ahnlab.com/751 참고]로, 해외에선 ‘ruFraud’라는 이름으로 알려져 있다. 이 악성코드는 감염 시 스마트폰의 가입국가를 파악하고 유럽 내 스마트폰일 경우 각 국가에 맞는 프리미엄 문자를 보내는 것이 특징이다.
 
2] 유명 어플리케이션으로 가장한 위장형 악성코드
 
구글서치[Google Search], 구글플러스[Google+], 앵그리버드[Angry bird], 오페라[Opera], 스카이프[Skype] 등 사용자층이 많은 유명 어플리케이션으로 위장해 악성코드를 배포한 사례도 있다. 이런 위장형 악성코드는 주로 정식마켓이 아닌 사설마켓[써드파티마켓]을 통해 배포되었다. 또한 실제 정상 애플리케이션과 아이콘, 애플리케이션 이름이 완전히 동일하여 사용자가 쉽게 구분하기 어렵다. 다른 위장형 악성코드로는 정상 어플리케이션과 완전히 동일하게 동작하게끔 하면서 추가적으로 악성코드를 삽입하여 재배포 시키는 리패키징[repackaging]형 악성코드가 있다. [http://asec.ahnlab.com/258 참고]
 
3] 사생활 침해 형 어플리케이션 증가
 
스마트폰은 통화 및 문자 송수신, 카메라, GPS 기능 등으로 인해 PC보다 좀더 생활에 밀착된 민감한 정보들을 가지고 있다. 이러한 정보들이 유출될 시에는 심각한 사생활 침해가 된다. 예를 들어 진단명 ‘Android-Spyware/Nicky’와 같은 악성코드는 GPS를 통해 수집된 사용자 위치정보, 문자 송수신, 전화 송수신 내역뿐만 아니라 음성녹음 기능을 악용해 사용자의 통화내용까지도 훔쳐가는 기능을 내장하고 있어서 큰 충격을 주었다. [http://asec.ahnlab.com/320, http://core.ahnlab.com/290 참고] 2011년뿐 아니라 앞으로도 이러한 디지털 스토커[digital stalker]형 악성코드가 지속적으로 증가할 전망이다.
 
4] 온라인뱅킹정보 노리는 악성코드 발생
 
온라인뱅킹 정보를 갈취하는 것으로 유명한 Zeus 악성코드가 다양한 모바일 환경에서도 동작하도록 제작되어 유포된 것이 발견되었다. Zitmo[Zeus In The Mobile] 로 불리는 이 악성코드는 심비안, 블랙베리를 거쳐 최근엔 안드로이드 플랫폼까지 진화했다. 안드로이드의 Zitmo 악성코드는 해외의 뱅킹 보안 업체의 제품을 위장해 실행되었다. 온라인 뱅킹에 접속할 때 일회용 비밀번호[OPT]와 문자인증 등 두 가지의 인증요소로 본인임을 확인하는 이중인증[two-factor] 방식을 깨기 위해 문자 수신내역까지 감청하는 등의 치밀함을 보여준 것이 특징이다.
 
안철수연구소 시큐리티대응센터 이호웅 센터장은 "아직 국내에는 구체적 피해가 발생하지 않았지만 스마트폰 악성코드는 안드로이드를 중심으로 폭발적으로 증가하고 있다. 이는 스마트폰의 확산, 공격자의 직접수익 경로 확보 등의 이유로 2012년에도 증가세가 이어질 것으로 예상된다”라며, “사용자는 스마트폰 루팅이나 탈옥, 사설 마켓 이용 등을 자제하고, 애플리케이션을 다운받을 때 평판정보 확인, V3 모바일과 같은 스마트폰 전용 백신의 설치 및 최신 버전 유지 등의 주의를 기울이는 것이 좋다” 고 강조했다.
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

- APT 공격 경로 지능화, PC 악성코드 수준의 스마트폰 악성코드 등장 
- 애플리케이션 취약점 공격 국지화, 가상화/클라우드 환경 및 스마트TV도 공격 타깃

글로벌 보안 기업인 안철수연구소[대표 김홍선, www.ahnlab.com, 약칭 ‘안랩’]는 2일 ‘2012년 예상 7대 보안 위협 트렌드’를 발표했다. 이에 따르면 올 한 해 예상되는 주요 이슈는 ▶APT 공격 경로 지능화 ▶PC 악성코드 수준의 스마트폰 악성코드 등장 ▶SNS 통한 보안 위협 증가 ▶애플리케이션 취약점 공격 국지화 ▶특정 국가 산업/기관 시스템 공격 시도 증가 ▶가상화 및 클라우드 환경 공격 본격화 ▶네트워크로 연결되는 시스템에 대한 공격 증가 등이다.

 
1] APT 공격 경로 지능화
 
기업과 기관을 겨냥한 APT 공격이 2012년에도 지속적으로 이어지는 한편, 공격 경로가 지능화할 것으로 예상된다. 이제껏 주된 공격 방식은 타깃 기업/기관의 특정 구성원에게 업무 메일로 위장하는 것이다. 즉, SNS[소셜 네트워크 서비스] 등에서 이메일을 손쉽게 수집해 신뢰할 수 있는 사람으로 위장해 취약점이 포함된 문서를 첨부하거나, 취약점이 존재하는 웹 사이트 주소를 본문에 삽입해 악성코드를 감염시키는 것이다. 널리 사용되는 소프트웨어의 업데이트 관련 파일을 변조한 경우도 있었다. 앞으로는 조직 내부로 반입하기 쉬운 스마트폰이나 보안 관리가 어려운 기술지원 업체의 장비나 소프트웨어 등을 이용한 내부 침입도 발생할 것으로 예측된다.
 
2] PC 악성코드 수준의 스마트폰 악성코드 등장
 
스마트폰, 특히 안드로이드 겨냥 악성코드는 2010년에 악성코드 제작/유포의 가능성을 점쳐 보는 수준이었다면, 2011년에는 금전적 이득을 취할 수 있는 방법을 찾아 대량 제작된 시기였다. 2012년에는 감염의 효율을 높이기 위해 과거 PC용 악성코드에 사용된 기법이 본격적으로 활용될 것으로 예측된다. 즉, 스마트폰 내부에서 자신을 숨기는 은폐 기법과, 모바일 운영체제에 존재하는 취약점을 악용한 루트 권한 탈취 등이 있을 수 있다. 그리고, 사회공학기법을 악용해 웹사이트에서 악성코드 다운로드를 유도하거나, 모바일 웹 브라우저에 존재하는 취약점으로 인해 악성코드가 자동 감염되게 하는 기법도 등장할 것으로 예측된다. 스마트폰에 설치된 인터넷 뱅킹 및 온라인 쇼핑 관련 앱에서 금융/신용카드 정보를 탈취하는 기법도 나올 것으로 예측된다.
 
3] SNS 통한 보안 위협 증가
 
SNS가 정보를 전세계인 빠르게 공유하는 창구인 만큼 악용 사례도 급증하고 있다. 단축 URL이 전체 주소가 다 보이지 않는다는 점을 악용해 악성코드 유포 사이트나 피싱 사이트를 단축 URL로 유포하는 경우가 있었다. 2012년에는 단축 URL 악용 사례가 더 증가하는 한편, SNS가 APT[Advanced Persistent Threat] 공격의 경유지로 이용될 가능성도 있다.
 
4] 애플리케이션 취약점 공격 국지화

2011년에는 운영체제 같은 범용적 애플리케이션의 취약점을 공격하는 경우는 줄어든 반면, 특정 지역에서만 사용되는 애플리케이션의 취약점을 악용한 사례는 증가했다. 아래아한글을 비롯해 동영상 재생 소프트웨어, P2P 및 웹하드 프로그램의 취약점을 악용한 악성코드 유포가 대표적이다. 취약점을 가진 파일을 이메일로 전송하거나 웹 사이트 접속 시 자동으로 악성코드를 감염시키는 방식으로 유포된다. 이런 추세는 2012년에도 이어지는 한편, 애플리케이션 취약점이 APT 공격 등 다양한 보안 위협에 악용되리라 예측된다.
 
5] 특정 국가 산업/기관 시스템 공격 시도 증가

금전적 이익이나 정치적, 종교적 이유로 특정 국가의 산업/기관 시스템을 공격하는 시도가 더욱 증가할 것이다. 이런 공격에 직간접적으로 국가 기관이 개입돼 국가 간 사이버 전쟁으로 확대될 수도 있다. 사용자 부주의로 내부 시스템이 인터넷이나 외부 시스템에 연결되어 있을 때 이를 통해 공격이 들어올 수 있다. 또한 국가 산업/기관 시스템용 특정 소프트웨어의 취약점을 이용해 공격이 이루어질 것으로 예측된다.
 
6] 가상화 및 클라우드 환경 공격 본격화

최근 가상화 기술을 기반으로 클라우드 서비스 등을 사업 모델을 삼는 기업이 증가하고 있다. 그러나 가상화와 클라우드 서비스는 자원 활용의 극대화라는 장점이 있지만, 악용될 경우는 또 하나의 보안 위협이 될 수 있다. 실제로 2011년에 대표적인 가상화 제품의 보안 취약점이 다수 발견됐으며, 실제 금융 정보 탈취를 위한 스파이아이[SpyEye] 악성코드가 아마존 클라우드 서비스를 악용해 배포되기도 했다. 2012년에는 가상화 및 클라우드 서비스의 본격화에 맞추어 다양한 공격이 시도될 것으로 예상된다.
 
7] 스마트 TV 등 네트워크로 연결되는 시스템에 대한 공격 증가  

스마트폰, 스마트 TV를 비롯해 네트워크에 연결되는 임베디드 소프트웨어가 탑재된 기기에 대한 보안 위협이 증가할 것으로 예측된다. 특히 교체 주기가 비교적 길고 실생활과 밀접한 가전 제품은 지속적인 공격에 노출될 가능성이 높다. 실제로 인터넷 접속이 가능한 DVD 리코더를 악용한 공격이 일본에서 있었고, 한 보안 컨퍼런스에서는 닌텐도DS 단말기에 리눅스를 설치해 외부에서 특정 시스템을 제어하는 것을 시연하기도 했다. 단순 반복 작업만을 담당했던 임베디드 시스템이 네트워크에 연결됨에 따라 해킹 또는 디도스 공격의 타깃이 될 가능성이 점차 높아지고 있다.
 
이 밖에 정치적/사회적 목적을 이루고자 시스템을 해킹하거나 디도스 공격을 시도하는 행위인 핵티비즘[Hacktivism] 활동이 2012년에 특히나 많이 발생할 것으로 예측된다. 우리나라의 대선과 총선, 미국과 러시아의 대선 등 전세계적 이슈가 많기 때문이다.

안철수연구소 시큐리티대응센터 이호웅 센터장은 "IT 기기나 인터넷 환경이 발전할수록 보안 위협의 기술이나 확산 경로도 복잡다단해진다. 새로운 기기를 개발하거나 인프라를 구축할 때 보안을 함께 고려하는 것이 중요하다. 또한 개인이나 기업/기관은 정보보안을 일상 생활 및 업무로 인식할 필요가 있다.”라고 강조했다.
 
<참고> 안철수연구소 선정 ‘2011년 예상 7대 보안 위협 트렌드’
▶SNS 활용한 다양한 공격 범용화
▶디도스[DDoS] 공격 지능화
▶사회 기반 시설 겨냥한 타깃형 공격 증가
▶금전 노린 스마트폰 위협 증가
▶무선 인터넷 취약점 노린 위협 등장
▶클라우드, 가상화 기술 이용한 보안 위협 등장
▶제로 데이 공격 기법 고도화 
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원