• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

1~2년새 가장 기승을 부린 악성코드 유형은? 2014.12.22

대부분 ‘Drive-by Download’ 기법으로 웹에서 전파

KISA, 악성URL탐지 및 악성코드 수집기술 개발...상용화 단계

[보안뉴스 김태형] 지난해 금전적 목적의 악성코드가 기승을 부렸으며, 특히 금융정보를 탈취하는 악성코드가 크게 증가한 것으로 파악됐다. 이러한 악성코드는 대부분이 ‘Drive-by Download’ 기법으로 웹사이트에서 전파된 것으로 조사됐다.

▲ 지난해 금전적 목적의 악성코드가 기승을 부렸으며, 특히 금융정보를 탈취하는 악성코드가 크게 증가했다.

‘2014 국가정보보호 백서’의 악성코드 동향에 따르면, 2013년에는 공격자의 공격목적에 따라 악성코드 유형이 더욱 명확히 나뉘었고, 금전적 목적을 가진 악성코드가 크게 기승을 부렸다.


정치적 목적의 3.20 사이버테러와 6.25 사이버공격 등에 이용된 악성코드는 PC나 서버시스템을 대상으로 데이터 삭제 및 시스템 파괴, DDoS 공격 등을 유발했는데, 공격대상 기관의 업데이트 서버나 취약한 홈페이지 등을 통해 내부 시스템을 감염시키고 잠복해 있다가 타이머 기능에 의해 특정 시간에 데이터를 삭제하거나 디도스 공격을 감행했다.


또 아래한글, 어도비 아크로뱃 등 문서 프로그램의 취약점을 악용해 악성코드가 포함된 문서파일을 이메일로 송부해 감염시키는 유포 형태도 성행했다. 한글 문서형 악성코드의 경우, 기존에는 특정 서버를 명령제어(C&C)서버로 활용했지만, 지난 2013년에는 이메일을 명령제어로 활용해 명령전달, 정보수집, 추가 악성코드 유포 등을 수행하는 사례가 증가했다.


악성코드 내에 이메일 계정 2개를 저장해 두고, 첫 번째 계정으로 이메일 서비스에 로그인 후 메일함에 저장되어 있는 원격 프로그램의 다운로드 및 감염 PC에서 수집된 원격접속정보를 메일함을 통해 두 번째 이메일 주소로 발송하면 해커는 최종적으로 두 번째 이메일에 수신된 메일을 열람해 감염 PC의 원격접속정보를 수집하고 원격접속을 이용한 공격을 수행할 수 있는 것이다.


금전적 목적의 악성코드들은 게임계정정보, 개인정보나 금융정보 유출을 노린 경우가 많았는데, 기존 게임계정 탈취로 게임머니를 노리던 형태는 주춤한 반면 금융기관의 보안모듈 변조, 피싱·파밍 등을 통해 금융정보를 탈취하는 악성코드가 크게 증가했다.


특히 국내 이용자가 많은 안드로이드 기반의 스마트폰을 타깃으로 하는 악성앱은 2012년 17건에서 2013년 2,283건으로 크게 증가했으며, 사회공학적 기법과 결합한 스미싱 공격으로 이어지며 연간 57억원 이상의 금전적 피해를 야기했다.


하반기로 갈수록 은행 앱을 가장해 사용자가 보안카드번호를 모두 입력하거나 보안카드 사진을 찍도록 유도하는 형태, PC용 피싱사이트에 QR코드를 통해 악성앱을 다운로드받도록 유도하는 형태 등 더욱 지능적으로 진화하고 있다.


이러한 악성코드 대부분은 Drive-by Download 기법으로 웹사이트에서 전파되는 것으로 파악됐다. 한국인터넷진흥원(KISA) 정보보호기술개발팀 박해룡 팀장은 “국내 웹사이트 대상 1,000건 검색 중 3.1건에서 Drive-by Download 이력을 탐지했다. 악성코드 유포지 분포 현황 분석결과 한국에 46%의 유포지가 존재한다”고 설명했다.


특히, 올해에는 JAVA, IE, Flash 제로데이 취약점이 다량 발견되어 심각한 피해가 우려되고 있다. 특히 최근 JAVA 제로데이 취약성이 다량 발견되어 미국 정부는 2012년 6월에 JAVA 사용 금지를 권고하기도 했다. 국내에서도 JAVA, IE 제로데이취약점을 악용한 공격시도가 발견됐다.


이에 박해룡 팀장은 “제로데이 취약점은 신속한 조치가 불가능하며 APT 등 공격수단으로 악용되어 큰 피해가 발생한다”면서 “KISA에서는 이러한 악성 URL 탐지 및 악성코드 수집을 위해 △대규모 웹사이트 고속방문 기술, △악성여부 고속 동시 판별기술 △취약점 URL 추출기술 등을 개발했다”고 설명했다.


대규모 웹사이트 고속방문 기술은 다중 브라우저 및 멀티프레임을 이용한 고속방문 기능과 Tree 기법점검을 이용한 다중 사이트 내의 악성사이트 고속 추적 기능을 구현했다.


또 악성여부 고속 동시 판별 기술은 상관 분석을 통해 악성사이트 고속판별 기술을 구현해 파일생성과 생성된 파일의 프로세스 및 레지스트리 등록 연관성 등의 상관분석을 통해 정확한 감염시도를 파악한다.


그리고 취약점 URL 추출 기술은 URL 접속통제 기법을 이용한 취약점 공격코드 URL 추출기술을 구현해 URL의 순차적 차단 후, 재접속 및 익스플로잇(Exploit) 발생 여부 확인을 통해 공격 URL을 추출한다.


박 팀장은 “이 기술은 보안전문 기업에 기술이전을 통해 바로 상용화 가능하다. 상용화된다면 획기적으로 악성코드를 줄일 수는 없겠지만 우선적으로 악성코드 감염을 줄일 수 있다. 특히, 신종 악성코드에 대해서는 행위기반의 탐지와 수집을 통해 기업이나 기관의 내부로 악성코드가 침투하는 것을 차단할 수 있다”고 말했다.

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>