• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

악성코드의 은신·유포처, 구글 코드 보안대책 찾아라! 2012.12.31

암호화 통신 통해 우회하는 APT 공격 증가...구글 코드 악용 대표적 

공인인증서 설치된 웹사이트 통해 악성코드 ‘드롭퍼’ 유포 포착! 


[보안뉴스=문일준 빛스캔 대표이사] 최근 신용카드의 간편화된 결제를 돕기 위한 ISP 인증 방식을 이용한 해킹이 발생해 충격을 준 바 있다. 이는 키로거 등으로 PC의 신용카드 관련 정보가 해커에게 넘겨져 이를 게임이나 아이템 경매사이트를 통해 현금화하는 방식으로 추정된다.


이러한 공격방식을 세분화해서 살펴보면 먼저 사용자가 많이 방문하는 취약한 웹사이트에 악성코드를 감염할 수 있게 하는 링크를 삽입해 사용자의 1차적인 감염을 유도한다. 그러한 후에 2차적으로 실제 악성코드를 PC에 다운로드해 설치하고 이 악성코드가 신용카드와 같은 개인정보를 빼내가도록 한다.


이러한 최신 공격을 방어하기 위해 APT, 디도스 또는 좀비PC 관련 솔루션에서는 가상머신을 활용하여 파일 생성·삭제, 서비스 추가, 프로세스 실행 등 감염된 PC 내의 활동을 모니터링하고 그 이후 발생하는 네트워크 연결까지도 추적한다.


특히, 네트워크 연결의 경우 C&C 봇넷(Botnet)을 찾고, 이를 바탕으로 봇넷을 분석할 수 있는 중요한 데이터가 될 수 있다.


이와 관련해 최근 주목할만한 부분이 네트워크로 연결하는 정보가 평문 즉 HTTP가 아닌 암호화(HTTPS)로 변화하는 추세가 증가하고 있다는 점이다. HTTPS의 경우 서버 인증서(SSL 인증서)를 인증기관에서 발급받거나 사용자가 직접 인증서를 만들 수 있다.


다만, 사용자가 만든 사설 인증서의 경우 웹브라우저에서 경고창이 뜨기 때문에 드라이브 바이 다운로드(Drive-by-Download) 환경에서는 사용하기가 어렵다. 즉, 공격자가 정식으로 발급받은 공인인증서를 사용해야 하는데, 이를 위해서는 금전과 시간이 소요되고, 무엇보다 공격자의 정보가 노출될 수 있기 때문이다.


이로 인해 공격자는 기존에 공인인증서가 설치된 웹사이트를 통해 악성코드를 유포하는 방향으로 전환하고 있는데, 최근에 인기를 끌고 있는 웹사이트가 바로 구글 코드(Google Code)이다. 구글 코드는 여러 개발자들이 소스코드, 프로그램 등을 서로 공유할 수 있게 해주는 공간이다.


공격자는 구글 코드 도메인의 하위에 최종 악성코드 파일을 저장해 두고 활용하고 있는데, 이는 앞서 언급한 바와 같이 보안장비를 우회하거나 탐지가 어렵도록 하기 위한 목적으로 활용된다. 공격자의 입장에서는 보다 안전하고 높은 공격 성공률을 위한 목적으로 구글 코드 웹 서버를 활용한 것으로 추정된다. 물론, 구글 코드는 HTTPS로 안전하게 브라우저와 웹서버 간의 통신을 보호한다.

2012년11월 16일, 구글 코드 사이트를 통하여 최종악성파일을 다운받을 수 있는 통로 포착

2012년 12월 15일, 구글 코드 사이트를 통하여 최종악성파일을 다운받을 수 있는 통로 포착


빛스캔과 KAIST 정보보호대학원이 공동으로 발간하는 고급 보안정보 구독서비스의 2012년 9월 1주차 보고서에 구글 코드를 통한 유포가 최초로 보고됐으며, 그 이후 11월 6일, 12월 15일에도 유사한 상황이 계속 이어지고 있어 개발자 및 사용자들의 각별한 주의가 필요하다.


해당 악성파일의 분석결과 드롭퍼(Dropper)로 확인됐다. 드롭퍼는 PC에 설치되면 정상파일처럼 상주하고 있다가, Windows, Adobe Flash, Java 등의 취약점을 확인하고, 내부 보안 프로그램의 설치여부를 확인한 후, 다른 추가적인 악성행위를 유발하는 악성코드들을 연속적으로 설치하는 기능을 가지고 있다. 공격방식은 중국에서 제작된 공다(GangDa) 팩으로 파악되고 있으며 이를 통한 감염률은 약 60%에 이를 정도다.


이러한 공격을 예방하기 위해서는 개개인이 PC 보안에 충실해야 한다. 정품 윈도우 사용, 서비스팩 및 보안패치 적용, Adobe Flash/Acrobat, 자바(JAVA)와 같은 서드파티 애플리케이션에 대한 최신 패치를 꾸준히 적용해야 악성코드에 대한 감염을 줄일 수 있는 것이다.


보다 중요한 것은 구글 코드에 대한 적극적인 보안대책이다. 구글은 최근 VirusTotal 인수로 인해 바이너리에 대한 충분한 데이터베이스가 구축되고 있을 것으로 보인다. 구글은 적어도 구글 코드에서만큼은 이 데이터베이스를 활용하여 악성코드 여부를 진단하여 구글 코드를 통해 악성코드가 유포되는 행위를 미연에 방지할 수 있도록 힘써야 할 것으로 본다.


이렇듯 구글 코드를 악용한 악성코드 유포실태를 연이어 포착한 바 있는 빛스캔은 국내 120만개의 웹서비스와 해외 10만여 개의 웹서비스를 모니터링하며 악성코드 유포에 이용되는 악성링크를 추적하고 있다. 특히, 전 세계 가운데서도 공격이 매우 극심한 국내 상황에 특화된 기술과 역량을 통해 국내 인터넷 보안환경 개선에 만전을 기하고 있으며, 매주 수요일 한주간의 한국 인터넷 위협현황에 대한 정보를 제공하고 있다. 이와 관련된 자세한 문의는 메일(info@bitscan.co.kr)로 하면 된다.

[글_문 일 준 빛스캔 대표이사(moonslab@bitscan.co.kr)]

 


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>