상세 컨텐츠

본문 제목

2010년 국내서 발견된 주요 악성코드 총정리

STORY

by ESTsoft 2010. 12. 22. 08:55

본문

2010년에는 사회이슈에 편승 뿐만 아니라, 관리자나 PC사용자들을 직접적으로 노린 '사회공학(Social Engineering) 기법'의 악성코드 출현이 많았습니다.

사회공학 [social engineering, 社會工學]

컴퓨터 보안에서 인간 상호 작용의 깊은 신뢰를 바탕으로 사람들을 속여 정상 보안 절차를 깨트리기 위한 비기술적 침입 수단. 우선 통신망 보안 정보에 접근 권한이 있는 담당자와 신뢰를 쌓고 전화나 이메일을 통해 그들의 약점과 도움을 이용하는 것이다. 상대방의 자만심이나 권한을 이용하는 것, 정보의 가치를 몰라서 보안을 소홀히 하는 무능에 의존하는 것과 도청 등이 일반적인 사회 공학적 기술이다. 이 수단을 이용하여 시스템 접근 코드와 비밀번호를 알아내 시스템에 침입하는 것으로 물리적, 네트워크 및 시스템 보안에 못지 않게 인간적 보안이 중요하다.
-출처 : 네이버 용어사전

2010년 사회공학기법을 기반으로 주로 발견된 악성코드를 월별로 정리해봤습니다.


1월

1월에는 MS아웃룩(Outlook) 제품의 보안 업그레이드를 가장하여 악성코드 메일이 국내에 유포되었습니다.
저희 회사의 스팸 필터링 서버에서도 약 300통 이상의 메일을 수신받았는데, 다른 국내 기업에서도 이와 비슷하거나 더 많은 메일을 받았을 것으로 예상이 됩니다.

S.SPY.Zbot.mg(알약 진단명) 악성코드는 윈도우 방화벽 중지, 추가 악성코드 다운로드, 신용카드 번호나인터넷 뱅킹 계정 같은 금융 정보들을 유출하는 특징을 가지고 있습니다.

<회사 IT관리자를 위장해 아웃룩(OWA) 보안 업그레이드를 권고하는 스팸메일>

<위의 스팸메일의 링크를 클릭하면 악성코드를 다운로드 받는 피싱 페이지가 나타남>


2월

2월에는 해외에서 구글의 채용, 트위터 초대장, Hallmark 전자 카드 도착 메일, Hi5 친구맺기 등을 위장하여 발송된 악성코드 이메일이 국내에서 발견되기도 하였습니다.

<해외 소셜네트워크 기업등 유명 업체를 사칭해 발송된 스팸메일>



4월

4월에는 인터넷 포털 다음(Daum)의 ActiveX 파일을 위장하여 악성 ActiveX를 설치하게 하여 PC 사용자의 ID/PW를 일본에 위치한 서버로 유출한 사례가 발견되기도 하였습니다.

<가짜 ActiveX 설치화면(좌측)과 다음에서 정식으로 설치하는 배경음악 ActiveX 파일(우측)>

<암호화 처리 후 일본으로 유출되는 로그인 정보(system.ini) 파일>

<유출되는 서버의 국가별 IP추적 결과>



5월

벤쿠버 동계 올림픽 때에는 올림픽이라는 사회적 이슈와 피겨 스케이트 김연아 선수의 인기를 이용하여 가짜 백신을 유포한 적이 있습니다.가짜 백신을 설치하도록 유도하기 위해 트위터 공식 홈페이지, 유튜브(YouTube) 사진, 동계 올림픽 메달 순위
집계 현황 게시물들로  위장하였고, 국내보다는 해외 PC의 감염이 많았습니다.

<구글에서 Yu-na Kim + Photos, Twitter, Official Website, Skate America, Pictures, Youtube
등의 제목으로 된 검색 결과를 클릭하면 가짜 백신사이트로 연결>

<검색 결과를 클릭했을 때 나타나는 가짜 백신 화면들>



7월

7월에는 우리나라에서 제작된 것으로 보여지는 국내 카드사(BC카드)의 명세서를 위장하여 악성코드 이메일이 유포되었고, 악성코드는 윈도우 시작시 악성코드를 실행하도록 레지스트리 추가와 추가적인 악성코드나 명령을 다운로드 받을 수 있게 합니다. 악성코드에 감염된 경우 즉각적으로 나타나는 피해 증상들이 없었지만 악성코드 제작자의 의도는 7.7 DDoS 처럼 다량의 국내 좀비 PC들을 확보하기 위해 유명 카드사를 사칭하여 사회공학 기법의 악성코드 이메일을 발송하지 않았나 추측되고 있습니다.

<비씨카드 이용대금 명세서로 가장한 악성코드 이메일>



9월

9월에는 한국의 대표적인 여자 골프선수인 박세리, 미쉘위 등을 교육한 세계적인골프 강사 데이비드 레드베터(David Leadbetter)의 골프 클리닉으로 위장하여 악성코드 메일이 발송되었고, 메일에 첨부된 PDF 파일을 열었을 때 당시 Adobe Acrobat의 제로데이 취약점으로 인하여 PC에 악성코드가 설치되었습니다.

<어도비 아크로뱃(Adobe Acrobat) 제로데이 취약점(CVE-2010-2833)을 악용한
데이비드 레드베터(David Leadbetter) 골프 클리닉 악성코드 이메일>



11월

11월에는 국내에서 지방경찰청 사이버범죄 수사로 위장한 악성코드 이메일이 다량으로 유포되었고, 가짜 참고인 요구서 내용을 담고 있습니다. 이메일이 첨부된 악성코드는 사설 스포츠 도박 광고를 보여주도록 개발되어 있으며, 추가적인 악성코드를 다운로드 할 수 있도록 제작되었습니다. 대구지방경찰청과 본청에서는 경찰청 사칭 이메일 때문에 수 많은 항의성 민원 전화를 받았습니다.

<지방경찰청 사이버범죄 수사대를 위장한 악성코드 이메일 내용>

<해당 지방 경찰청에서 공지한 주의 공지문>

이외에도 서울에서 개최된 G-20 정상회의와 노벨평화상 이슈를 노린 악성코드 이메일이 유포되었고, 연평도 포격 사건과 관련하여 검색 엔진에서 “Korea” 키워드 검색 결과를 클릭하면 가짜 백신이 설치되는 사례가 11월에 연이어 나타났습니다.

<가짜 결과창에 링크되어있는 악성코드 설치파일>
<DOC파일로 위장한 악성코드 실행시 화면에 출력되는 내용>

<노벨평화상 초청장으로 위장한 악성 이메일>


악성코드 제작자들이 사회공학 기법을 자주 사용하는 이유

최근 PC 사용자들이 스팸 메일의 범람으로 인하여 대부분 출처가 불분명한 이메일들은 바로 읽지 않고 삭제하는 습관을 가지게 되었으며, 이러한 습관들 때문에 악성코드 제작자들은 호기심을 갖게 만드는 주제나 사회적 이슈(사회공학 기법 추가)로 위장해 PC 사용자들이 메일을 열어보게 만들면 악성코드에 감염시킬 수 있는 확률을 높일 수 있게 됩니다.

이렇게 사회공학은 OS나 애플리케이션 S/W의 취약점 이용하는 것이 아닌 인간의 취약점을 직접적으로 노립니다.
사회공학으로 인한 직접적인 피해는 PC에 악성코드가 설치되고, 대부분 악성코드 제작자의 명령을 받기 위해 대기하는 사실상의 좀비 PC나 ID/패스워드 계정 유출, 금융 거래 정보 유출 등이 발생할 수 있습니다.

실제로 올해 사회공학 악성코드와 관련하여 저희가 보도자료와 보안 공지로 notify 해드린 대부분의 악성코드들이 이러한 피해들을 유발시킬 수 있습니다.


사회공학 악성코드로부터 피해를 예방하는 방법

1. 출처가 불명한 이메일이나, 파일은 바로 삭제하기
최근에는 PDF, DOC 같은 문서 파일을 통해서도 악성코드 설치될 수 있습니다. 악성코드 중에서는 메일 본문 내용에 취약점을 이용하는 악성 스크립트를 첨부하여 읽는 즉시 감염될 수도 있습니다.

2. 최신 버전의 백신 및 실시간 감시 사용
실시간 감시는 파일 및 악성 스크립트로 인한 감염을 어느 정도 예방할 수 있습니다.

3. 정기적인 보안 업데이트 설치

4. SNS 단축URL클릭시 주의요구
최근 SNS(트위터, 페이스북 등)에서 최종적으로 연결되는 URL 주소를 알기 어려운 단축 URL와 사회공학적 메시지를 추가하여,(ex: 연예인 미공개 누드 유출이나 사회적 이슈, 속보 내용 등) 클릭했을 시 악성코드에 감염되게 만들 수 있으므로
SNS 단축 URL 클릭 시 주의가 요구됩니다.



-Written by YK-





관련글 더보기

댓글 영역