금융정보 탈취 악성코드·DDoS 공격용 봇넷·APT 공격 기승  

KAIST 사이버보안연구센터, 2012 악성코드 동향분석 보고서 발간  

[보안뉴스 김태형] 최근 금융정보 탈취나 DDoS 공격용 봇넷, 그리고 APT 공격 등의 보안 위협이 기승을 부리고 있다.

이러한 악성코드의 피해를 예방하기 위해서는 관련 취약점에 대한 보안 업데이트를 필수적으로 수행해야 하며, 불분명한 이메일을 차단하는 등 보안관리에 만전을 기해야 한다.

특히, 지난해부터 최근까지 기승을 부린 이러한 악성코드 주요 트렌드를 보면, △금융정보 탈취 위한 악성코드의 급증 및 대형 은행사이트를 사칭한 피싱의 증가 △DDoS 공격을 수행하는 봇넷의 진화 △취약점 공격 툴을 이용한 악성코드 유포의 자동화 △APT 형태의 복합 공격 악성코드 기승 △보안취약점에 노출되게 하는 게임 계정정보 탈취 목적의 악성코드 기승 등이다.

이 같은 내용은 KAIST 사이버보안연구센터가 발간한 ‘2012 악성코드 동향분석 보고서’를 통해 밝혀졌다.  

금융정보 탈취 악성코드 급증 및 대형은형 사이트 사칭 피싱 증가

다양한 악성코드 이슈 중 다른 해에 비해 특이한 점은 금융정보를 탈취하려는 악성코드와 침해사고가 많이 발견됐다는 점이다.

지난해 주기적으로 이슈가 되었던 대형은행들에 대한 피싱 사고가 있었으며 이런 피싱 사이트의 효과를 극대화하기 위해 악성코드를 이용하고 있다. 이때 사용되는 악성코드는 금전적 이익을 위해 공인인증서와 같은 개인 금융정보를 탈취하기도 한다.

이러한 공격기법은 사실 오래전부터 매년 몇 차례 발생하고 있지만 최근의 경우와 같이 다양한 여러 형태로 동시에 발생한 적은 없었으며, 이는 지난해부터 증가하고 있다.

이전까지 우리나라는 외국보다 인터넷 금융정보 유출 관련 악성코드 사건 사례가 적었으며, 인터넷 금융 청정지역으로 볼 수도 있었다. 하지만 지난해 동향을 보면 우리나라도 더 이상 금융정보 노출에 대해서 안전하지 않으며 최신 악성코드의 유포방식을 이용해 동시다발적으로 사용자를 감염시키고 있다.

DDoS 공격을 수행하는 봇넷 진화

지난해에는 DDoS 공격 방식도 다양한 변화가 있었다. 2011년에는 DoS 공격 툴로만 존재했던 Slow PostAttack과 같은 공격이 악성 봇 기능 내부에 탑재되거나 러시아 정부 사이트에 DDoS 공격을 수행했던 Russkill Bot의 변종인 DirtJumper Bot은 2011년 Ver.4까지 발표된 이후 2012년 Ver.5와 변종인 Pandora Bot이 발표됐다.

이처럼 강력한 DDoS 기능에 백신이나 보안 프로그램을 우회하는 코드가 추가로 개발되어 진단이나 탐지가 어렵게 되어 있다.

올해 DDoS를 수행하는 악성 봇의 특징은 HTTP 서비스를 표적으로 개발됐다는 점이다. 특히 정상적인 패킷과 구분이 힘든 Get Flooding 공격 방식을 채택하거나 다량의 패킷을 발생케 하기보다는 네트워크 세션 자원을 고갈시키는 등의 지능적인 공격방식을 이용하고 있다.

이와 같은 공격을 차단하고 탐지하기 위해서는 DDoS 전문 탐지 장비를 도입하거나 해당 DDoS 공격 발생 시 성격에 맞게 HTTP 서비스와 보안장비를 설정해주는 노력이 필요할 것으로 보인다.

취약점 생성툴을 이용한 악성코드 유포의 자동화

최근 국내에서 발견된는 악성코드 유포 및 실행시키는 취약점 코드가 들어있는 스크립트의 경우 대부분 자동화툴에 의해 생성된 악성 스크립트 형식을 가지고 있다. 이는 점점 악성코드를 제작 유포함에 있어 조직적이며, 기업 형태로 변해가고 있음을 증명한다.

이러한 자동화 툴의 경우 다년간 라이센스 형태로 판매되고 있으며 이렇게 판매된 툴들은 신규 취약점이 발표될 때마다 추가되는 형태로 업데이트가 진행된다. 최근 시만텍도 이러한 자동화 툴을 이용해 악성코드 유포에 이용하는 것을 경고했으며 국내에서 유포되는 악성코드의 대부분은 이러한 자동화 툴에 의해 유포되고 있다.

현재 국내에서 가장 많이 발견되는 자동화 툴의 형태는 3가지로 미국이나 유럽에서 많이 사용되는 BlackHole Exploit Kit과 중국에서 제작된 것으로 알려진 Kaixin Exploit Kit, 그리고 Gondad Exploit Kit 등이다.

이러한 자동화 툴은 GUI 웹서비스 환경으로 제공되기 때문에 취약점 분석이나 개발에 대한 지식이 없더라도 쉽게 제작할 수 있는 장점이 있어 이를 사용하는 악성코드 유포를 위한 해커들이 점점 늘어날 것으로 예상된다.

APT 형태의 복합 악성코드 기승

올해 취약점을 통해 유포된 악성코드를 살펴보면 APT공격에 많이 이용되는 RAT이나 봇 에이전트들이 다수 확인되고 있다. 이와 같은 형태의 악성코드들은 아래와 같은 공통점이 있다.

1. 일반적으로 많이 사용되는 정상 어플리케이션의 위장(곰플레이어, 알약, 알집, 한글)

2. 악성코드 내부에 정보 수집을 위한 다양한 기능을 내장함(원격화면, 키로깅, 파일전송)

3. 다양한 취약점을 이용해 전파함(오피스, 워드, IE, JAVA, PDF, 플래시)

4. 정보를 유출하려는 C&C에 최대한 은폐함(Sock5, 프록시, DDNS 서비스, VPS 서비스 이용)

5. 추가적인 악성코드를 C&C 서버의 명령에 따라 다운로드 설치함

이와 같은 공격의 원인은 △APT공격이 여러 분야에서 타깃이 되고 있고 △악성코드 유포시 공격대상 사용자를 분별하고 대상이 된 사용자는 APT 형태로 공격 시도 △C&C서버의 중간 경유지 혹은 내부정보 유출을 위한 중간 경유지 확보를 위해 APT로 전파 등으로 해석할 수 있다.

보안 취약점에 노출되게 하는 계정정보 탈취 악성코드 기승

매년 게임정보를 탈취하는 악성코드가 나왔었지만 2012년은 그 어느 해보다 더 많은 변종과 유포가 있었다. 그 원인은 블리자드사의 디아블로3의 발표와 MS 윈도우 제품군에 발견된 2가지 제로데이 취약점 MIDI, XML 등을 원인으로 들 수 있다.

특히, 지난해 게임 계정정보를 탈취하는 악성코드가 기존과 변화된 점은 게임 계정정보 뿐만 아니라 상품권 정보와 같은 금융 정보도 수집하고 있다는 것이다. 이런 상품권 정보는 판매와 동시에 바로 현금화가 쉬워 더 주의가 요망된다.

중요한 것은 이러한 게임계정 탈취 악성코드에 의해 또 다른 악성코드에 감염될 수 있으며 이러한 문제로 더 큰 피해가 발생한다. 특히, 최근 게임계정 탈취 악성코드는 백신 프로세스를 무력화하거나 백신의 패턴 업데이트를 방해하기 때문에 감염된 이후 사용자가 감염 사실을 확인하기도 어렵고, 게임계정 탈취 악성코드에 의해 또 다른 악성코드가 설치될 때 막기가 어려워 보다 철저한 대비가 필요하다.  

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>