태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

"단 일주일 동안 최대 규모의 공인인증서 탈취 확인 (확인된 인증서만 6,947건)"

*2014년 5월 8일 오후에 제공된 기사전문입니다.

취약한 웹서비스를 통해 접속만 해도 감염되는 악성코드에 의해 단 1주일간 탈취된 PC용 공인인증서 유출이 2013년 PC와 모바일을 모두 합친 규모와 동일수준의 대규모 유출 사례가 확인 되었다. 또한 PC용 공인인증서만을 대상으로 한 사례이므로 전년도 PC용 공인인증서 유출 확인 이슈인 777건에 비해 1주일 동안 확인된 유출 건수만 6,947건으로, 단순 수치상으로도 최대 규모 유출이 직접 확인된 상황이다. 본 사안은 한국 인터넷상에서의, 웹을 통한 악성코드 대량 유포를 관찰하고 있는 빛스캔의 추적에 의해 유출 확인이 되었으며, 2014년 4월 25일부터 5월 2일까지 단 일주일간 국내 사용자들을 대상으로 악성코드 감염 이후 광범위하게 금융정보를 탈취한 정황을 확인한 첫 사례라 할 수 있다.

"2014년 2월 10일 노웅래 의원이 한국인터넷진흥원(KISA)으로부터 제출 받은 '최근 3년간 공인노웅래 의원이 10일 한국인터넷진흥원(KISA)으로부터 제출받은 '최근 3년간 공인인증서 유출 사고 분석'  자료를 보면 2012년 8건이었던 공인인증서 유출 사고가 2013년 말 7633건으로 늘어났다. 이는 전년에 비해 954배 증가한 것이다.

안드로이드 운영체제를 이용하는 스마트폰이 특히 공인인증서 해킹에 취약했다. 지난해 발생한 공인인증서 유출 사고의 90%인 6856건이 안드로이드 스마트폰에서 발생했다. 개인용컴퓨터(PC)를 통한 공인인증서 유출 사고가 지난해 777건 발생한 것과 비교하면 9배가량 높은 수치다. 그렇다고 PC도 공인인증서 유출 안전지대가 아니다. PC용 공인인증서 유출 사고는 2012년 8건에서 지난해 777건으로 100배가량 늘었다.

금융기관이나 공공기관을 가장해 전화나 e메일로 금융정보를 빼가는 피싱(Phishing), 소액결제를 유도하는 스미싱(Smishing) 범죄가 늘고 고도화되면서 공인인증서 유출 건수도 증가한 것으로 보인다.

기사참고: http://media.daum.net/economic/finance/newsview?newsid=20140210214912110"

 

 

일반적으로 파밍 악성코드 감염은 이메일이나 불법파일 다운로드에 의해 감염되어 발생된다고 알려져 있으나, 실제로는 웹을 통해서 더 심각한 금융정보 탈취 피해가 발생되고 있다는 것을 증명한다.

2014년 2월의 언론보도에 언급된 "최근 3년간의 공인인증서 유출 사고 분석" 자료에 언급된 내용에서 나오듯이 일년 전체가 아닌 단 1주일간 악성코드 감염 사례로도 지난해 유.무선을 합친 공인인증서 유출 사례건수와 동일한 상황이며, 모든 공인인증서가 PC용 공인인증서라는 측면에서 보면 2013년 피해 건수인 777건의 거의 10배에 달하는 대규모 피해가 1주일간에 발생된 것이 확인된 최대규모 유출 사례이다.

 

공격자들이 공인인증서를 탈취하여 보관하는 곳은 미국의 호스팅 서버에 위치하고 있었으며, 감염된 좀비 PC들을 대량으로 조정하기 위한 별도도구들도 운영을 하고 있는 것을 직접 확인 할 수 있었다. Host 파일의 내용을 변경해서 파밍 사이트로 연결 시키는 피해가 일반적인데 이번 사례에서 확인된 대량 관리 도구의 경우는 최대 5만대 가량의 PC를 조정할 수 있도록 제작 되어 있었다. 즉 동시에 대규모 감염PC들에 대한 Host 파일 변경과 PC에 대한 제어를 할 수 있도록 설정된 것이 확인 된 상황이다. 실제 피해와 일상적으로 발생되는 악성코드 감염이 알려진 것보다 휠씬 더 대규모 단위로 움직이고 있음을 추측 하게 하는 부분이다.

 

*2014년 4월 5주차 – 한국 인터넷 위협분석 –전문분석으로 제공된 문서에서 발췌

< 최대 5만대 이상을 관리하도록 설정된 대규모 Host 파일 변경 용도의 관리도구 화면>

 

공격자 서버의 접속로그를 통해서 살펴보면, 미국에 있는 호스팅 서비스 임에도 불구하고 한국내의 IP들이 상당부분을 차지하고 있음을 볼 수 있다. 즉 공격자들은 한국 인터넷 환경만을 대상으로 한 전문적인 공격을 실행하고 있고, 또한 금융정보 탈취를 위해 전문 도구들까지 제작하여 활용하는 상태임을 알 수 있다.

 

< C&C 서버의 특정일자 웹로그 분석 결과 >

 

한국 인터넷 환경을 위협하는 공격자들은 금융 정보 탈취를 위해 인증서를 탈취하고, 이후 차단에 대비하여 대규모로 정보를 변경하는 관리도구들까지 이용하는 실체가 처음 확인된 사례로서 일반적인 공격의 순서는 다음과 같다.

 

  1. 다수의 웹서비스를 통해 접속만으로도 악성코드에 감염되도록 설정
  2. 모든 접속자들은 취약한 Java ,IE , Flash 버전 사용시에 즉시 감염됨
  3. PC 내에 존재하는 공인인증서 파일을 암호 압축하여 관리서버로 전달
  4. 감염된 PC들은 별도의 좀비PC 관리 프로그램으로 관리함.

 

공격자 서버에 탈취된 대규모 금융정보들은 확인된 인증서만 6,947건이다. 유출된 공인인증서는 모두 한국인터넷진흥원(KISA)에 전달되어, 공인인증기관을 통해 신속히 가입자에게 유출 사실을 알리고 인증서 폐기 등의 조치를 완료한 상태이며, 금융정보를 탈취하는 해커의 서버(C&C)도 차단 조치 하여 추가 피해자가 발생되지 않도록 대응된 상황이다.

 

그러나 악성파일의 변형은 지속해서 생성이 되고, 매번 보안도구들의 탐지를 우회하고 있는 형태라서, 앞으로도 금융정보 탈취를 비롯한 다양한 문제들은 계속될 것으로 보인다.

 

< 공격자 서버에서 발견된 – 공인인증서 탈취 내역 – 디렉토리마다 압축파일로 존재>

 

현재 금융정보 탈취 유형이 한국 인터넷 사용자들을 대상으로 하는 공격자들 중에서 일부이고, 단 1주일간 감염으로도 사상 최대치의 인증서를 탈취하는 것이 확인된 사안이라는 점에서, 심각성은 매우 높다. 웹서비스 방문만으로도 감염되는 악성코드의 심각성은 단 1주일간의 악성코드 감염으로 지난해 전체의 수 십배에 달하는 인증서 유출이 확인된다는 것은 한국 인터넷의 위기 상황이 계속 되고 있다는 것을 의미한다. 단순한 홍보와 계도활동을 넘어서 웹을 통한 악성코드 유포에 대해 적극적인 예방과 피해 감소를 위한 적극적인 노력이 필요하다 할 수 있다.

 

금융정보 탈취 유형에 대해서도 단순히 사용자의 주의 촉구만으로는 현재 문제는 해결되기가 어려우며, 전체 환경 개선을 위해 각 서비스 제공자들의 강력한 노력들이 결합 되어야 문제는 해결 될 수 있을 것이다.

 

악성코드 감염 범위를 줄이기 위해, 국내 인터넷 서비스의 취약성을 개선해야 함은 물론이고 대량 유포에 이용되는 통로들을 빠르게 확인하고 차단함으로써 피해를 줄일 수 있도록 노력해야 현재의 위험들을 줄일 수 있을 것으로 본다.

 

지금 이 순간에도 또 다른 금융정보 탈취 및 좀비PC 확보를 위한 악성코드 유포들은 한국 인터넷 사용자들을 대상으로 계속 발생 되고 있다.

 

이번에 발견된 금융정보 탈취형 악성코드는 정보공유가 완료된 상황이다. 따라서 현재 보호나라에서 배포하고 있는 전용백신을 이용하거나, 시중 유무료 백신을 통해 치료가 가능하다.

* "공인인증서 유출 악성코드 주의하세요"  - KISA의 대응방안 참고하세요.

http://media.daum.net/digital/internet/newsview?newsid=20140508163007289

인증서를 PC나 인터넷 상에 보관하는 경우, 해킹을 통해 빼가기 쉽기 때문에 해커들의 표적이 되기 쉬우므로, 특수문자 포함 등 안전한 비밀번호 사용이 필요하며, 공인인증서 유출 방지 기능이 있는 보안토큰 등 안전한 저장장치에 보관하여 사용하는 것이 보다 안전한 방안이 될 수 있다. 그러나 근본적으로 악성코드 감염을 예방 하여야 하나, 일반 사용자 측면에서는 백신 이외에는 대책이 없는 상황이다.

감염을 예방하기 위해서는 Java, Flash, IE의 업데이트를 최신으로 유지한 상태가 되어야 그나마 감염을 줄일 수 있을 것이다. 근본적으로는 웹을 통한 대규모 악성코드 감염을 관찰하고, 조기에 대응 할 수 있도록 서비스 사업자 및 기업, 기관들의 각별한 노력이 필요함을 이번 최대 규모의 인증서 유출 확인 사례에서 확인 할 수 있다.

 

 


 

현재 빛스캔㈜는 국내 180만개의 웹서비스와 해외 주요 30만개의 웹서비스에 대해 대량 악성코드 유포를 관찰하고 있으며, 3년 이상의 누적된 데이터와 탐지 기술력을 바탕으로 악성코드 유포와 통로, 감염된 PC를 조정하는 C&C 정보까지 분석을 하고 있다. 최근에는 웹서비스를 통한 모바일 악성코드 감염도 관찰이 되는 상태이다.

매주 수요일 정보제공 서비스를 통해 한 주간의 한국 인터넷 위협동향을 전달하고 있다.

문의 info@bitscan.co.kr , 페이지 www.facebook.com/bitscan

신고
Posted by 바다란