TrendLabsSM 3Q 2013 보안 보고서

보이지 않는 웹(Invisible web)의 출현

TREND MICRO | TrendLabs 3Q 2013 보안 보고서

목차

1 | 사이버범죄:

체포, 뱅킹 트로잔, 사이트 감염 및 정교해진 멀웨어 기술,

6 | 모바일:

모바일 멀웨어 및 고위험 앱: 1백만 달성

10 | 디지털 라이프 보안 문제:

개인 정보 보호 및 데이터 도용: 새로운 “정체성(Identity) 위기”

12 | 익스플로잇 및 취약점:

여전히 기승을 부리는 Java 취약점

13 | 표적 공격:

항공 데이터를 표적으로 하는 Sykipot

15 | 부록

TREND MICRO | TrendLabs 3Q 2013 보안 보고서

이 외에도 EXPIRO의 Styx Exploit Kit 활용 및 MEV

ADE 멀웨어의 The Onion Router (TOR) 네트 워크의

활용 등과 같이 멀웨어의 활동이 한층 정교해졌음이 확

인되었습니다.

모바일 세상에서는 우리가 예측한 바와 같이 악성 고위

험 안드로이드 앱의 수가 1억 개를 넘어섰습니다. 이러한

위험 앱의 대부분은 인기 앱의 가짜 버전 또는 트로잔

버전으로 위장하고 있었습니다.

이번 분기에도 제로데이 익스플로잇이 다수 발견되었고

Internet Explorer®와 Java 보안 문제가 여전히 컴퓨

터를 위험에 노출시키고 있었습니다. 표적 공격과 관련

된 스피어 피싱 전자메일의 주 목적은 여전히 문서 익스

플로잇이었지만 Sykipot 멀웨어군이 개선되면서 지금은

민간 항공 관련 정보를 표적으로 하고 있습니다.

최근 몇 개월 동안 사이버 범죄에 관한 많은 기사들이

자주 올라오고 있습니다. 이번 분기, 온라인 위협에 대한

대중들의 관심을 유발시켰던 여러 사건들 중에는 불법

디지털 통화 시스템인 Liberty Reserve의 기소 및 폐쇄

와 온라인 암시장인 Silk Road의 구속 사건도 포함되었

습니다.1 지난 10월 블랙홀 익스플로잇 키트 제작자가

체포되면서 사이버 범죄는 우리가 쉽게 접할 수 있는 하

나의 비즈니스로 자리잡고 있음이 입증되었습니다.2

이번 분기에도 사이버 범죄자들의 기법은 더욱 교묘해

졌습니다. 미국과 일본을 포함한 여러 국가들의 온라인

뱅킹 멀웨어 감염율이 증가하였고 감염된 사이트의 규모

도 대폭 증가한 것을 알 수 있었습니다.

BKDR_FIDOBOT에 대한 조사 자료에서는 하루 평균

17,000개 이상의 도메인들이 백도어 공격을 받고 있는

것으로 나타났습니다.

소개

1 | 사이버범죄

사이버범죄

체포, 뱅킹 트로잔, 사이트 감염 및 정교해진 멀웨어 기술

Trend Micro™ Smart Protection Network™ 가 차단한 위협의 수

트렌드마이크로는 이번 분기에 초당 평균 2,797건의 위협으로부터 고객을 보호하였습니다.

9월8월7월

0

1B

2B

3B

4B

5B

6B

7B

8B

초당 차단된 위협의 수

차단된 전체 위협의 수

차단된 악성 파일의 수

차단된 악성 URL의 수

차단된 스팸 발송 IP 주소의 수

6.4B

495M574M

6.5B

414M606M

6.2B

7.5B 7.5B7.2B

392M586M

2,876 2,8172,697

TREND MICRO | TrendLabs 3Q 2013 보안 보고서

활용하는 것으로 밝혀졌습니다. 10월 초 “Paunch”라고

알려진 블랙홀 익스플로잇 킷 제작자가 체포되면서 이

기사가 헤드라인을 장식하였습니다.3 경찰 당국의 이러

한 성과는 인터넷 사용자들이 미처 알지 못했던 사이버

범죄의 감추어진 요소들을 인식할 수 있는 계기가 되었

습니다.4

경찰당국은 현재의 위협 상황에 영향을 미치는 두드러진

성과를 올렸습니다. Liberty Reserve가 체포되면서

사이버 범죄자들은 대체 통화를 모색하기 위해 고군분투

해야 했습니다. 이들은 범죄 행위를 위해 Bitcoins을

활용하는 등의 다른 대안책에 의존해야 했습니다. 악명

높은 Silk Road의 체포로 인해 사이버 범죄가 불법

사이트 네트워크를 감추기 위해 딥웹(Deep Web)을

2 | 사이버범죄

상위 멀웨어

DOWNAD/Conficker는 3분기 연속 상위권을 차지하였고 애드웨어가 그 뒤를 잇고 있습니다.

100,000 1,000 100 10 1

WORM_DOWNAD.AD

ADW_BPROTECT

ADW_BHO

345K

246K

238K

TREND MICRO | TrendLabs 3Q 2013 보안 보고서

/Conficker 감염 건수는 509,000건이었던 지난 분기

보다 345,000건이나 줄어들었는데 이는 Windows®

XP에 대한 지원 만기일이 도래하면서 많은 사용자들이

운영체제를 업그레이드했기 때문인 것으로 보입니다.

DOWNAD/Conficker는 이번 분기에도 가장 많이 사용

된 멀웨어였습니다. 가짜 소프트웨어가 포함된 애드웨어

는 꾸준히 인터넷 사용자에게 피해를 입히고 있습니다.

가장 많이 발견된 멀웨어였음에도 불구하고 DOWNAD

3 | 사이버범죄

고객별 상위 멀웨어

사용자들이 애드웨어를 다운로드 받는 가장 큰 이유는 가짜 무료 소프트웨어에 포함된 경우가 많기 때문이었습니다. 반면 기업 및 중소기업들은 주로 DOWNAD/Conficker에 감염되는 경우가 가장 많았습니다.

뱅킹 트로잔의 급격한 증가

온라인 뱅킹 멀웨어 감염률

이번 분기에 탐지된 온라인 뱅킹 멀웨어의 수는 200,000건 이상이었으며 이는 2002년 이후 가장 높은 기록입니다.

ENTERPRISE SMB CONSUMER

NAME VOLUME NAME VOLUME NAME VOLUME

WORM_DOWNAD.AD 205K WORM_DOWNAD.AD 33K ADW_BHO 158K

ADW_BPROTECT 28K HKTL_PASSVIEW 7K ADW_BPROTECT 138K

PE_SALITY.RL 17K TROJ_FAKEAV.BMC 5K TROJ_FAKEAV.BMC 87K

Q4Q3Q2Q10

50K

100K

150K

200K

250K

2013

2012

131K113K

110K

146K132K

202K

125K

TREND MICRO | TrendLabs 3Q 2013 보안 보고서

전 세계에 널리 퍼지고 있었습니다. 이 멀웨어에 감염된

컴퓨터의 수는 200,000건을 넘어섰으며 2002년 이후

가장 높은 감염률을 보였습니다.

이번 분기에는 온라인 뱅킹 멀웨어의 수가 큰 폭으로

증가하였습니다. 뱅킹 멀웨어는 더 이상 유럽 및 미국과

같은 특정 지역에서만 집중적으로 발생되는 것이 아니라

4 | 사이버범죄

상위 온라인 뱅킹 피해 국가

국가 비율

미국 23%

브라질 16%

일본 12%

인도 6%

호주 3%

프랑스 3%

독일 2%

베트남 2%

대만 2%

멕시코 2%

기타 29%

미국 및 브라질은 이번 분기에도 온라인 뱅킹 멀웨어로 인한 피해가 가장 큰 국가였습니다. 지난해 5위였던 일본은 Citadel 멀웨어 감염률 증가로 인해 이번에는 3위로 올라섰습니다.

감염된 사이트 활용

사용자가 감염된 사이트를 방문하게 되는 경로

감염된 사이트 1로 전송된 데이터를 이용하여 전자메일 템플릿을 제작합니다

피해자가 스팸 서버가 발송한 스팸 데이터*를 받은 후 감염된 사이트1로 이를 전송합니다.

사용자는 감염된 사이트2로 이동하는 링크가 삽입된 스팸을 수신합니다*

* 스팸 데이터에는 백업 전자메일 서버의 URL, 발신자 이름, 수신자 주소 및 전자메일 템플릿이 포함되어 있습니다.

TREND MICRO | TrendLabs 3Q 2013 보안 보고서

온라인 뱅킹 멀웨어 감염률에 가장 큰 기여를 한 것은

ZeuS/ZBOT 트로잔이었습니다. ZeuS/ZBOT 변종은

이번 분기에 스팸을 통해 가장 많이 유포된 멀웨어였습

니다. 새로운 ZBOT 변종이 출현하였고 특히 KINS

멀웨어는 안티 디버깅 및 안티 분석 루틴 기능을 갖추고

있었습니다.

한편, 일본에서는 Citadel 변종이 지속적으로 유포되었

으며 이들은 금융 기관이나 Yahoo!® Japan 및 Gmail

과 같은 여러 웹 메일 서비스를 표적으로 하였습니다.5

은 범죄 활동을 은폐하기 위해 감염된 사이트를 활용하

는 기법을 주로 사용합니다.6

사이버범죄자들은 공격 활동의 자취를 감추고 멀웨어,

스팸 템플릿 및 리디렉션 도구를 호스팅하기 위해 감염

된 사이트를 이용하곤 합니다. Stealrat과 같은 스팸봇

5 | 사이버범죄

정교해진 멀웨어 기법과 숨겨진 네트워크

유명 온라인 뱅킹 크라임웨어가 발견된 시점

2006 2007 2009 20112010 2013

ZeuS Gozi

Carberp와

SpyEye

Cridex,Shylock,Tatanga,

Ice IX,와

Citadel

Tinba,Zitmo,

와Spitmo KINS

이번 분기에는 2006년 ZeuS 툴킷의 부활이라는 헤드라인과 함께 뱅킹 멀웨어가 다시 활개치기 시작한 것을 볼 수 있었습니다.

TREND MICRO | TrendLabs 3Q 2013 보안 보고서

사이트에 대한 대대적인 접속을 유도하는 MEVADE

멀웨어가 탐지되었는데10 이는 TOR 사용자 수의 증가로

인한 것이었습니다.11 TOR를 통해 사이버 범죄자들은

자신의 C&C(명령 및 제어) 서버를 효과적 으로 감출 수

있었으며 사실상 TOR에 감추어진 서비스는 근절시키기

가 불가능했습니다. MEVADE 멀웨어 또한 Adobe®

Flash® Player 업데이트로 가장한 다운로더를 통해

특정 애드웨어 변종과 함께 유포되고 있습니다.12

이번 분기에 주목할만한 또 다른 멀웨어는 EXPIRO

였습니다.8 이 멀웨어는 2010년에 처음 발견되었고

파일을 감염시키는 것으로 알려져 있습니다. 하지만

이번 분기에 새로 발견된 변종들은 FTP 자격 증명을

도용하였습니다. 지난 7월 공격에 사용된 EXPIRO

변종들 역시 Styx Exploit Kit을 이용하여 유포되었

습니다.9

8월 중순에는 TOR 구성요소를 다운로드하여 특정

공격하는 데 사용되었습니다.7 감염된 사이트의 대부분

은 미국에서 호스팅되는 개인 또는 중소기업 소유의

사이트였습니다.

BKDR_FIDOBOT을 조사하면서 손상된 사이트의 규모

가 매우 방대한 것을 알 수 있었습니다. 이 백도어는

Joomla!™ 또는 WordPress에서 운영되는 사이트를

표적으로 하였고 하루에 17,000개 이상의 도메인을

6 | 모바일

모바일

모바일 멀웨어 및 고위험 앱: 1백만 달성

악성 및 고위험군 앱의 수는 7월부터 8월까지 꾸준히 증가 추세를 보이다가 9월에는

1백만 건에 도달하였습니다.

안드로이드 위협 증가량

0

.5M

1M 820KJUL

851KAUG 1M

SEP

상위 위협 유포 유형

0

20%

40%

60%

PREMIUMSERVICE ABUSER

ADWARE DATA STEALER REMOTECONTROLLER

MALICIOUSDOWNLOADER

HACKINGTOOL

55%

27%22% 12%

9%2%

지난 분기와 마찬가지로 이번 분기에도 전체 모바일 위협의 절반 이상이 프리미엄 서비스 어뷰저였지만 모바일 애드웨어의 수도 증가추세를 보이면서 2위를 차지하였습니다.

TREND MICRO | TrendLabs 3Q 2013 보안 보고서

2013년이 다 가기도 전에 안드로이드 플랫폼을 표적

으로 하는 악성 및 고위험 앱의 수가 1백만 건에 도달했

습니다. 이들 중 80%는 프리미엄 서비스 어뷰저들이

제작한 악성 앱이었습니다. 프리미엄 서비스 어뷰저들은

특정 번호와 프리미엄 서비스에 등록한 사용자들에게

무단으로 텍스트 메시지를 전송하는 것으로 알려져 있습

니다. 이러한 유형의 악성 앱은 특히 러시아에서 널리

사용되고 있는데 “표준” 앱 스토어가 부족한 것이 주된

이유입니다.13

나머지 20%는 사용자들에게 “애드웨어”라는 광고를

공격적으로 유포하는 앱을 포함하여 고위험군으로

간주되는 앱들이었습니다. 애드웨어에 감염되면 기기

정보가 도용될 수 있습니다.

7 | 모바일

상위 안드로이드 멀웨어군

모바일 보안 위협을 야기시키는교차 플랫폼 위협

OPFAKE

FAKEINST

GOYEAR

GINMASTER

JIFAKE

MSEG

ADPANDA

ADTGPTT

BOXER

SMSREG

Others

27%

24%

10%

7%

6%

4%

3%

3%

2%

2%

12%

1.

2.

3.

4.

5.

6.

7.

8.

9.

10.

TREND MICRO | TrendLabs 3Q 2013 보안 보고서

또 다른 교차 플랫폼 문제는 모바일 기기용으로 특별히

고안된 피싱 사이트의 증가였습니다. 올해 1월부터 9

월까지 우리가 수집한 데이터에 의하면 지난 해 동일한

기간에 비해 피싱 사이트의 수가 53% 증가한 것으로

나타났습니다. 이번 분기에는 사이트의 42%가 은행 및

금융 기관을 스푸핑하였습니다.15

악성 앱이 야기시키는 위험 외에도 모바일 기기들은

플랫폼을 초월하며 활동하는 위협에도 노출되었습니다.

여기에는 모바일 기기에서 클릭할 때 프리미엄 서비스를

악용하는 사이트로 안내하는 링크가 포함된 가짜 Whats

App 전자메일이 포함됩니다.14 이번이 멀티 플랫폼 위협

들이 모바일 기기를 표적으로 한 첫 번째 사례는 아니지

만 이번 경우 공격자는 블랙햇 검색 엔진 최적화(SEO)

또는 소셜 미디어 남용과 같은 다소 “직접적인” 방식에

의존하기 보다는 감염 매개체로써 스팸을 사용하였습

니다.

8 | 모바일

취약점 및 익스플로잇 복합형 모바일 보안 문제

사용자들이 악성 및 고위험 앱을 접하는 장소

악성 및 고위험 앱의 27%가 앱 스토어에서 제공되고 있지만 악성 사이트와 같은 다른 소스에서도 발견되었습니다. 이 통계는 2010년 8월부터 2013년 9월까지 조사한 전체 악성 앱 숫자의 42%만 반영된 것입니다.

SITES

80%APP STORES

27%OTHERS

1%

TREND MICRO | TrendLabs 3Q 2013 보안 보고서

지난 7월, 블랙햇(Black Hat) 사이버 보안 컨퍼런스는

모바일 보안과 관련된 사항들도 부가적으로 다루었습

니다. 일례로, 공격자들이 디지털 키를 확보할 수 있도록

허용하는 SIM 카드 결함이 발견되었습니다. 또한

컨퍼런스에서는 조지아 공과대학의 연구원들이 공격자

들이 최신 iOS 버전을 구동하는 기기에서 악성 명령을

실행할 수 있도록 허용하는 악성 충전기를 제작하여

검증해 보였습니다.17

지난 분기에 “마스터 키” 취약점이 발견되면서 악성 코드

로 합법적인 앱을 업데이트하여 거의 모든 안드로이 드

기기에 영향을 미칠 수 있는 사이버 범죄자들의 신종

수법이 공개되었습니다. 이번 분기에도 여전히 이 취약

점을 악용하여 널리 알려진 온라인 뱅킹 앱의 트로잔

버전이 대량 유포되었습니다.16

9 | 모바일

사용자의 SD 카드 데이터에 액세스할 수 있음96%

데이터 삭제

사용자의 메시지를 읽을 수 있음92%

메시지 모니터링

사용자 위치를 추적할 수 있음14%

위치 추적

연락처 목록에 액세스할 수 있음48%

연락처 조회

사전 작성된 메시지를 전송할 수 있음86%

스팸 메시지 전송

프리미엄 서비스 어뷰저가 하는 일

모바일 기기가 프리미엄 서비스 어뷰저에 감염되면 정보 도용과 같은 위협에 취약해지며 이번 분기에 가장 많이 탐지된 유형의 모바일 위협이었습니다. 2012년 11월부터 2013년 5월 동안 진행된 조사 자료에 따르면 프리미엄 서비스 어뷰저는 다양한

방식으로 기기에 영향을 미칠 수 있는 것으로 나타났습니다.

TREND MICRO | TrendLabs 3Q 2013 보안 보고서

10 | 디지털 라이프

디지털 라이프

개인 정보 보호 및 데이터 도용: 새로운 “정체성(Identity) 위기”

Apple 관련 피싱 사이트 증가량

6K

5K

4K

3K

2K

1K

0

JAN FEB MAR APR MAY JUN JUL AUG SEP

2,500

1,900

4,100

1,800

5,800

300100500

300

Apple 관련 피싱 사이트는 5월에 절정을 이루었고 그 이후로도 계속 발견되고 있습니다.

지난 5월 이러한 피싱 사이트가 급격히 증가한 것은 iOS

7 출시에 관한 소문을 포함하여 지난 몇 달 동안 최신

Apple 제품 및 개발을 요구하는 사용자들의 높은 관심

으로 인한 것이었습니다. iPhone 5c에 관한 소문이

무성했던 7월과 8월에도 또 다시 피싱 사이트가 급증한

것을 볼 수 있으며 지난 9월에는 개인식별정보(PII)를

도용하기 위한 낚시글로써 신규 출시된 iPhone 모델을

언급한 스팸이 발견되기도 하였습니다.19

소셜 미디어 및 개인 정보와 관련된 최근의 사건들 및

위협들로 인해 새로운 유형의 “정체성(identity) 위기”로

알려진 데이터 보안에 대한 문제들이 다시 수면 위로

떠오르게 되었습니다. 인터넷 사용자들은 자신의 개인

정보가 사이버 범죄자들에게 유출되지 않도록 방지하고

이를 관리해야 하는 어려움에 늘 봉착해 있습니다.

개인 정보 도용을 시도하는 많은 위협들 중에서도 피싱

스캠은 Apple 관련 피싱 사이트의 급격한 증가에 힘입어

이번 분기에 주목할만한 활동을 전개하였습니다.18

TREND MICRO | TrendLabs 3Q 2013 보안 보고서

11 | 디지털 라이프

악명 높은 소셜 엔지니어링 낚시글

여름 개봉 영화PLANTS vs.ZOMBIES

WHATSAA APP로얄 베이비

ENDER’S GAME

아이폰 5s 및 5c

오바마케어

TREND MICRO | TrendLabs 3Q 2013 보안 보고서

되었습니다. 이 멀웨어가 설치되면 페이스북, 구글

플러스, 트위터와 같은 소설 미디어 자격 증명을 도용할

수 있게 됩니다.22 이번 분기에는 설문조사 스캠으로

안내하는 것이 아니라 페이스북과 트위터에 대한 해킹

툴을 호스팅하는 사이트로 팔로워를 유인하는 가짜

트위터 계정이 다수 발견되었습니다.23

보안 허점도 많았지만 온라인 계정 관리를 위한 개발

노력도 이루어졌습니다. 일례로, PIN 코드보다 더

간편하게 휴대 전화 잠금을 해제할 수 있는 보안 수단인

터치 ID 지문 센서가 iPhone 5s에 도입되었습니다.24

사용자의 온라인 계정을 보호하기 위한 Apple의 노력은

높이 살만 하지만 이것이 만병통치약을 될 수 없으며

보안을 위한 가장 중요한 요소는 사용자의 행동입니다.

모바일 뱅킹 사용자들도 이와 유사한 소셜 엔지니어링

기법을 이용하는 공격을 모면하지 못했습니다. 널리 알

려진 금융 기관을 모방하여 로그인 자격 증명, 전자메일

주소 및 정부에서 발급한 ID와 같은 중요한 데이터를

수집하는 피싱 사이트도 발견되었습니다.20

소셜 미디어에 대한 보안 위협도 계속 이어졌으며 그

중에서도 가장 주목할만한 것은 다양한 디지털 삶을

영위하는 사용자들을 이용하는 위협입니다. “무료 팔로

워” 스캠은 사이버범죄자들이 구매자들을 대상으로 가짜

팔로워, “좋아요” 및 리트윗을 통해 얼마나 쉽게 돈을 벌

수 있는 지를 보여주었습니다.21

소셜 미디어를 표적으로 하는 위협들은 “무료 팔로워”

스캠만이 아니었으며 가짜 비디오 플레이어 업데이트를

가장한 멀웨어도 여러 소셜 네트워킹 사이트에서 발견

12 | 익스플로잇과 취약점

익스플로잇과 취약점

여전히 기승을 부리는 Java 취약점

RESEARCHER BACKEND DATABASE

MALICIOUS SITE B

MALICIOUS SITE A

URL A 탐색 1 데이터베이스에 IP 주소가 있는지 확인

2

데이터베이스에 IP 주소가 없는 경우

*Attackers keep a list of IP addressesthey believe researchers use and

block access from these.

3사이트 로딩4

URL B 탐색 5 데이터베이스에 IP 주소가 있는지 확인

6

데이터베이스에 IP 주소가 있는 경우

7사이트 로딩하지 않음

8

익스플로잇이 보안을 피하는 방법

TREND MICRO | TrendLabs 3Q 2013 보안 보고서

9월, 패치가 발표된 화요일로부터 일주일 후, 최신 버전

에도 영향을 미치는 제로데이 Internet Explorer 익스

플로잇이 발견되었고,27 Microsoft는 그 즉시 이 문제를

해결하기 위한 픽스를 발표하였습니다.

Apache Struts에 대한 조사 자료에 의하면 기존의

취약점들도 여전히 사이버 범죄의 주요 표적이 되고 있

는 것으로 나타났습니다.28 이번 조사에서는 Apache

Struts 기존 버전의 결함이 공개된 지 단 3일 만에

버그를 악용할 수 있는 자동 툴이 중국 지하 조직에 의해

제작된 것을 확인하였습니다.

연초에 여러 건의 제로 데이 사건이 발생한 이후 Java

취약점은 여전히 중요한 보안 문제로 남아있습니다.

이번 분기에는 Neutrino Exploit Kit에 Java 6 취약점

익스플로잇이 포함되었습니다.25, 26 오라클이 이 버전에

대한 지원을 중단했기 때문에 최근 발견된 버그를 비롯

하여 보안 업데이트와 픽스를 더 이상 받을 수 없습니다.

게다가 오라클은 최근 발견된 31개 가량의 취약점에 대해

패치를 지원할 계획이 없다고 발표하였습니다.

13 | 표적 공격

표적 공격

항공 데이터를 표적으로 하는 Sykipot

TREND MICRO | TrendLabs 3Q 2013 보안 보고서

기존의 패치된 취약점이 사용된 것을 확인할 수 있었습

니다. 대대적인 공격을 받은 취약점은 “CVE-2012-

0158”라고 명명된 MSCOMCTL.OCX RCE 취약점

이었으며 이는 지난 해 4월 초에 Microsoft가 MS12-

027를 통해 해결하였습니다.30

한편, 최신 Apache Struts 버전이 발표된 후 이 소프트

웨어의 이전 버전에서 발견된 취약점을 악용하는 자동

툴이 지하 시장에서 판매되고 있는 것을 확인하였습니

다. 이 외에도 아시아 지역에서 이러한 버그를 악용하는

몇 가지 표적 공격도 확인하였습니다.

.PKZIP와 .MIME 파일들은 스피어 피싱을 통해 대상을

공격하는데 가장 널리 사용되는 파일 유형의 위협이었

습니다. 문서나 스프레드시트와 같은 일반적인 파일

유형들도 표적 네트워크에 침입하는데 사용되었습니다.

표적 공격 캠페인은 여전히 정부, 대조직 및 대기업과

같은 다양한 대상을 표적으로 하였고 공격자들은 주로

대상으로부터 데이터를 빼내거나 도용하는 것을 목적으

로 합니다. 최근에는 약간 수정된 형태의 캠페인이 선보

였는데 바로 Sykipot이었습니다.

Sykipot 캠페인은 2007년 처음 발견되었습니다. 이는

주로 이동통신, 컴퓨터, 정부 및 항공 우주와 같은 산업

들을 표적으로 했었으며 지금까지도 활동하고 있습니

다.29 하지만 최근에는 업데이트된 식별자, 드라이브

바이(drive-by) 익스플로잇 및 동적 링크 라이브러리

(DLL)/프로세스 삽입을 이용하는 등 캠페인에 변화가

생긴 것을 확인하였습니다. 이 캠페인은 민간 항공 정보

도 표적으로 하고 있습니다.

표적 공격을 모니터링하는 과정에서 스피어 피싱 공격에

14 | 표적 공격

스피어 피싱 전자메일에 사용된 파일 유형

0 10% 20% 30% 40% 50%

7월

8월

9월

MIME

PKZIP

RAR

RTF

PPS/PPT

DOC

EXE/DLL

XLS

ZIP

PDF

TREND MICRO | TrendLabs 3Q 2013 보안 보고서

대기업들은 표적 공격으로부터 피하기 위해 네트워크

보안을 강화해야 합니다.

이번 분기의 주된 표적은 정부 기관이었으며 그 다음이

이동 통신 및 IT/소프트웨어 회사들이었습니다.

15 | 부록

부록

상위 스팸 언어

영어

중국어

일본어

독일어

러시아어

포르투갈어

스페인어

프랑스어

아이슬란드어

터키어

기타

89.39%

2.49%

1.88%

0.95%

0.70%

0.24%

0.16%

0.08%

0.07%

0.05%

3.99%

1.

2.

3.

4.

5.

6.

7.

8.

9.

10.

상위 스팸 발송 국가

미국

아르헨티나

이탈리아

스페인

인도

대만

콜롬비아

페루

멕시코

독일

기타

9.16%

6.71%

6.69%

6.45%

6.16%

4.31%

4.26%

3.97%

3.82%

3.27%

45.20%

1.

2.

3.

4.

5.

6.

7.

8.

9.

10.

영어는 전 세계적으로 가장 널리 사용되고 있기 때문에 여전히 스패머들이 가장 선호하는 언어입니다.

상위 스패밍 언어와 마찬가지로 스팸을 가장 많이 발송하는 국가도 미국이었습니다. 아르헨티나, 스페인, 콜롬비아, 멕시코, 페루와 같은 라틴 아메리카 국가들도 여전히 상위 10개국에 포함되었습니다.

TREND MICRO | TrendLabs 3Q 2013 보안 보고서

16 | 부록

차단된 주요 악성 도메인

봇넷에 접속한 컴퓨터 수(월 단위)

JULY

AUGUST

SEPTEMBER

2M0 4M 6M 8M 10M 12M 14M

13.9M

12.7M

10.7M

봇넷 접속 컴퓨터 수가 7월에 증가하다가 8월에는 다소 주춤하더니 9월에는 다시 증가세를 보였습니다

도메인 이유

ads.alpha00001.com 유명 웹 브라우저를 하이재킹하여 사용자를 광고 사이트 및 가짜 사이트로 유도

trafficconverter.biz DOWNAD/Conficker와 같은 웜을 호스팅 및 유포

http :// adsgangsta . com 익스플로잇 킷 활동과 관련 있음

http :// www . ody . cc BKDR_HPGN.B-CN을 호스팅하는 사이트와 관련 있음

az7t8.com 이용자가 많은 사이트 공격에 가담

ckstatic.com 이용자가 많은 사이트 공격에 가담

announce.opensharing.org 해킹 소프트웨어 호스팅 및 P2P에 사용

promos.fling.com 성인 즉석만남 사이트를 통한 조미 네트워크 유포에 가담.

http :// labambaka . com 멀웨어 호스팅 및 유포, 스패밍과 관련 있음

international-spcsz.ru 멀웨어 호스팅 및 유포, 스패밍과 관련 있음

이번 분기의 상위 악성 도메인들은 웹 브라우저를 하이재킹하여 사용자를 가짜 광고 사이트로 유도하는 사이트를 호스팅하고 있었으며 이로 인해 이번 분기에 애드웨어가 크게 증가하는 원인이 되었습니다.

TREND MICRO | TrendLabs 3Q 2013 보안 보고서

17 | 부록

악성 URL이 가장 많이 탐지된 국가

국가 점유율

1 미국 24%

2 네델란드 3%

3 중국 3%

4 독일 3%

5 프랑스 3%

6 대한민국 2%

7 영국 2%

8 러시아 1%

9 일본 1%

10 캐나다 1%

기타 57%

지난 분기와 마찬가지로 악성 URL을 가장 많이 호스팅하는 국가는 미국이었습니다.

악성 URL에 대한 액세스가 가장 많은 국가

국가 점유율

1 미국 35%

2 일본 14%

3 중국 7%

4 인도 4%

5 대만 4%

6 대한민국 4%

7 독일 3%

8 호주 3%

9 러시아 2%

10 영국 2%

기타 22%

악성 URL에 액세스하는 사용자가 가장 많은 국가는 미국이었습니다.

TREND MICRO | TrendLabs 3Q 2013 보안 보고서

18 | 부록

봇넷에 접속한 횟수가 가장 많은 국가들

국가 점유율

1 미국 25%

2 말레이시아 19%

3 포르투갈 4%

4 러시아 4%

5 캐나다 4%

6 대한민국 4%

7 벨기에 3%

8 콜롬비아 2%

9 독일 2%

10 네델란드 2%

기타 31%

악성 안드로이드 앱의 다운로드 횟수가 가장 높은 국가

1

23

5

6

7

9

104

8

13%

10%

9%

7%

5%

4%

4%

4%

3%

3%

우크라이나

미얀마(버마)

리비아

나이지리아

베트남

러시아

아르헨티나

안티쿠아바부다

캐나다

인도

1.

2.

3.

4.

5.

6.

7.

8.

9.

10.

우크라이나는 순위 밖으로 밀려난 아랍에미리트를 제치고 악성 앱을 가장 많이 다운로드받은 국가가 되었습니다. 이는 동유럽 국가에서의 스마트폰 인기가 상승했기 때문입니다. 나이지리아와 아르헨티나의 모바일 성장도 이들

국가의 순위 진입에 원인이 되었습니다. 순위는 국가 별로 검사한 전체 앱들 중에서 “악성”으로 분류된 앱의 비율을 기반으로 하였습니다. 이 순위는 최소 10,000건 이상의 앱 검사를 실시간 국가에 대해서만 적용되었습니다.

이번 분기에는 봇넷에 접속한 횟수가 가장 많은 국가로 미국이 선정되었습니다. 정치적 긴장감이가라 앉으면서 말레이시아는 2위로 하락하였습니다

TREND MICRO | TrendLabs 3Q 2013 보안 보고서

19 | 부록

앱 사용으로 인한 개인 정보 노출 위험이 가장 높은 국가

1

2

3

5

67

9

104 8

26%

20%

11%

10%

9%

7%

7%

7%

7%

6%

카자흐스탄

우간다

우크라이나

인도

아르헨티나

필리핀

안티쿠아바부타

태국

캐나다

미얀마(버마)

1.

2.

3.

4.

5.

6.

7.

8.

9.

10.

이번 분기에는 순위에 새롭게 진입한 카자흐스탄, 우간다 및 우크라이나가 개인 정보 노출이 가장 높은 국가 순위의 상위권을 차지하였는데 이들 국가의 스마트폰 사용자 수의 증가에서 기인한 것으로 볼 수 있습니다. 순위는 국가 별로 검사한 전체 앱들 중에서 “개인정보 위험군”으로 분류된 앱의 비율을 기반으로 하였습니다. 이 순위는 최소 10,000건 이상의 앱 검사를 실시간

국가에 대해서만 적용되었습니다.

TREND MICRO | TrendLabs 3Q 2013 보안 보고서

20 | 참조문서

참조문서

1. Trend Micro Incorporated. (2013년 7월 16일). TrendLabs 보안 인텔리전스 블로그. “Liberty Reserve의 몰락—다음은?” 최종 수정일 2013년 10월 29일http://blog.trendmicro.com/trendlabs-security-intelligence/post-liberty-reserve-shutdown-whats-next/ .

2. Charlie Osborne. (2013년 10월 9일). ZDNet. “블랙홀 멀웨어 툴킷 제작자 ‘Paunch’ 체포.” 최종 수정일 2013년 10월 29일http://www.zdnet.com/blackhole-malware-toolkit-creator-paunch-arrested-7000021740/.

3. Merianne Polintan. (2013년 9월 16일). TrendLabs 보안 인텔리전스 블로그. “8월에 스팸을 통해 가장 많이 유포된 멀웨어: ZeuS/ZBOT.” 최종 수정일 2013년 10월 29일, http://blog.trendmicro.com/trendlabs-security-intelligence/zeuszbot-most-distributed-malware-by-spam-in-august/.

4. Gelo Abendan. (2013년 8월 20일). TrendLabs 보안 인텔리전스 블로그. “KINS는 ZeuS의 계보를 이을 수 있을 것인가?” 최종 수정일 2013년 10월 29일, http://blog.trendmicro.com/trendlabs-security-intelligence/can-kins-be-the-next-zeus/.

5. Trend Micro Incorporated. (2013년 9월 2일). TrendLabs 보안 인텔리전스 블로그. “Citadel의 부활, 그리고 표적이 된 일본 사용자들.” 최종 수정일 2013년 10월29일, http://blog.trendmicro.com/trendlabs-security-intelligence/citadel-makes-a-comeback-targets-japan-users/ .

6. Jessa De La Torre. (2013년 8월 5일). TrendLabs 보안 인텔리전스 블로그. “자신의 웹사이트가 Stealrat Botnet에 감염되었는지 여부를 알 수 있는 방법.” 최종 수정일, 2013년 10월 29일, http://blog.trendmicro.com/trendlabs-security-intelligence/how-to-check-if-your-website-is-part-of-the-stealrat-botnet/.

7. Philippe Lin. (2013년 9월 5일). TrendLabs 보안 인텔리전스 블로그. “봇넷의 지속적인 공격에 노출되고 있는 Joomla! 및 WordPress 사이트.” 최종 수정일 2013년 10월 29일, http://blog.trendmicro.com/trendlabs-security-intelligence/joomla-and-wordpress-sites-under-constant-attack-from-botnets/.

8. Rhena Inocencio. (2013년 7월15일). TrendLabs 보안 인텔리전스 블로그. “미국을 강타한 파일 인펙터, EXPIRO, FTP 자격 증명 도용.” 최종 수정일 2013년 10월 29일, .

9. Trend Micro Incorporated. (2013년 7월 19일). TrendLabs 보안 인텔리전스 블로그. “EXPIRO 파일 인펙터에 대한 세부 정보.” 최종 수정일 2013년 10월 29일, .

10. Feike Hacquebord. (2013년 9월 5일). TrendLabs 보안 인텔리전스 블로그. “불가사의한 MEVADE 멀웨어.” 최종 수정일 2013년 10월 29일, http://blog.trendmicro.com/trendlabs-security-intelligence/the-mysterious-mevade-malware/.

11. Roger Dingledine. (2013년 8월 27일). Tor Project. “지난 주 더욱 증가한 TOR 사용자” 최종 수정일 2013년 10월29일, https://lists.torproject.org/pipermail/tor-talk/2013-August/029582.html.

12. Roddell Santos. (2013년 9월 6일). TrendLabs 보안 인텔리전스 블로그. “MEVADE 변종과 함께 유포되는 애드웨어, 일본과 미국을 강타.” 최종 수정일 2013년 10월29일, http://blog.trendmicro.com/trendlabs-security-intelligence/us-taiwan-most-affected-by-mevade-malware/.

13. Rowena Diocton. (2013년 9월17일). TrendLabs 보안 인텔리전스 블로그. “Connecting the Dots: 가짜 앱, 러시아 그리고 모바일 웹.” 최종 수정일 2013년 10월29일, http://blog.trendmicro.com/trendlabs-security-intelligence/connecting-the-dots-fake-apps-russia-and-the-mobile-web/ .

14. Peter Yan. (2013년 9월13일). TrendLabs 보안 인텔리전스 블로그. “멀티 플랫폼 모바일 위협을 야기시키는 스팸.” 최종 수정일, 2013년 10월 29일, http://blog.trendmicro.com/trendlabs-security-intelligence/spam-leads-to-multi-platform-mobile-threat/.

15. Trend Micro Incorporated. (2013).월간 모바일 리뷰. “모바일 뱅킹 위협 살펴보기.”최종 수정일 2013년 10월29일, http://about-threats.trendmicro.com/us/mobile/monthly-mobile-review/2013-08-mobile-banking-threats.

16. Peter Yan. (2013년 8월 2일). TrendLabs 보안 인텔리전스 블로그. “뱅킹 앱 트로잔에 사용된 마스터 키 안드로이드 취약점.” 최종 수정일 2013년 10월 29일, http://blog.trendmicro.com/trendlabs-security-intelligence/master-key-android-vulnerability-used-to-trojanize-banking-app/.

17. Gelo Abendan. (2013년 8월 8일). TrendLabs 보안 인텔리전스 블로그. “취약점 악용: 모바일 위협의 다른 측면.” 최종 수정일 2013년 10월 29일, http://blog.trendmicro.com/trendlabs-security-intelligence/exploiting-vulnerabilities-the-other-side-of-mobile-threats/

18. Paul Pajares. (2013년 10월 1일). TrendLabs 보안 인텔리전스 블로그. “피싱 공격의 주요 표적이 된 Apple.” 최종 수정일 2013년 10월 29일, http://blog.trendmicro.com/trendlabs-security-intelligence/apple-spikes-as-phishing-target/.

19. Merianne Polintan. (2013년 9월 10일). TrendLabs 보안 인텔리전스 블로그. “iPhone 5s 출시일에 도착한 피싱 메일.” 최종 수정일 2013년 10월 29일, http://blog.trendmicro.com/trendlabs-security-intelligence/iphone-5s-phishing-mail-arrives-in-time-for-launch/ .

TREND MICRO | TrendLabs 3Q 2013 보안 보고서

21 | 참조문서

20. Arabelle Ebora. (2013년 8월 13일). TrendLabs 보안 인텔리전스 블로그. “정보 ID를 요구하는 모바일 피싱 공격.” 최종 수정일 2013년 10월 29일, http://blog.trendmicro.com/trendlabs-security-intelligence/mobile-phishing-attack-asks-for-users-government-ids/.

21. Karla Agregado. (2013년 8월 1일). TrendLabs 보안 인텔리전스 블로그. “From Fame to Shame: Busting the ‘Free Followers’ Myth in Social Media.” 최종 수정일 2013년 10월 29일, http://blog.trendmicro.com/trendlabs-security-intelligence/from-fame-to-shame-busting-the-free-followers-myth-in-social-media/.

22. Don Ladrones. (2013년 7월 30일). TrendLabs 보안 인텔리전스 블로그. “브라우저 애드온을 통해 소셜 미디어 계정을 하이잭킹하는 멀웨어.” 최종 수정일 2013년 10월 29일, http://blog.trendmicro.com/trendlabs-security-intelligence/malware-hijacks-social-media-accounts-via-browser-add-ons/.

23. Jonathan Leopando. (2013년 10월 20일). TrendLabs 보안 인텔리전스 블로그. “여전히 악의적 해커들에 의해 악용되는 트위터.” 최종 수정일 2013년 10월 29일, http://blog.trendmicro.com/trendlabs-security-intelligence/twitter-still-being-used-by-shady-hackers/.

24. Paul Oliveria. (2013년 9월 17일). TrendLabs 보안 인텔리전스 블로그. “지문 검사, 암호 및 온라인 계정 관리.” 최종 수정일 2013년 10월 29일, .

25. Gelo Abendan. (2013년 8월 27일). TrendLabs 보안 인텔리전스 블로그. “Java 6 제로데이 익스플로잇으로 인해 최신 버전의 Java로 이전해야 하는사용자들” 최종 수정일 2013년 http://blog.trendmicro.com/trendlabs-security-intelligence/java-6-zero-day-exploit-pushes-users-to-shift-to-latest-java-version/.

26. Anthony Melgarejo. (2013년 3월 12일). TrendLabs 보안 인텔리전스 블로그. “Neutrino에 포함된 새로운 익스플로잇 킷.” 최종 수정일 2013년 10월 29일, http://blog.trendmicro.com/trendlabs-security-intelligence/a-new-exploit-kit-in-neutrino/.

27. Pavan Thorat. (2013년 9월 18일). TrendLabs 보안 인텔리전스 블로그. “표적 공격에 적극 이용되고 있는 새로운 IE 제로데이.” 최종 수정일 2013년 10월 29일, http://blog.trendmicro.com/trendlabs-security-intelligence/new-ie-zero-day-is-actively-exploited-in-targeted-attacks/ .

28. Noriyaki Hayashi. (2013년 8월 14일). TrendLabs 보안 인텔리전스 블로그. “Apache Struts 취약점을 악용하는 툴을 개발한 중국 범죄단.” 최종 수정일 2013년 10월 29일, http://blog.trendmicro.com/trendlabs-security-intelligence/chinese-underground-creates-tool-exploiting-apache-struts-vulnerability/.

29. Darin Dutcher. (2013년 9월 4일). TrendLabs 보안 인텔리전스 블로그. “미국 민간 항공 부문 정보를 표적으로 하는 Sykipot.” 최종 수정일 2013년 10월29일, http://blog.trendmicro.com/trendlabs-security-intelligence/sykipot-now-targeting-us-civil-aviation-sector-information/.

30. Trend Micro Incorporated. (2012년) Threat Encyclopedia. “MSCOMCTL.OCX RCE 취약점 (CVE-2012-0158).” 최종 수정일 2013년 10월 29일, http://about-threats.trendmicro.com/us/vulnerability/2580/mscomctlocx%20rce%20vulnerability%20cve20120158.

TREND MICRO | TrendLabs 3Q 2013 보안 보고서

TREND MICRO LEGAL DISCLAIMER

The information provided herein is for general information and educational purposes only. It is not intended and should not be construed to constitute legal advice. The information contained herein may not be applicable to all situations and may not reflect the most current situation. Nothing contained herein should be relied on or acted upon without the benefit of legal advice based on the particular facts and circumstances presented and nothing herein should be construed otherwise. Trend Micro reserves the right to modify the contents of this document at any time without prior notice.

Translations of any material into other languages are intended solely as a convenience. Translation accuracy is not guaranteed nor implied. If any questions arise related to the accuracy of a translation, please refer to the original language official version of the document. Any discrepancies or differences created in the translation are not binding and have no legal effect for compliance or enforcement purposes.

Although Trend Micro uses reasonable efforts to include accurate and up-to-date information herein, Trend Micro makes no warranties or representations of any kind as to its accuracy, currency, or completeness. You agree that access to and use of and reliance on this document and the content thereof is at your own risk. Trend Micro disclaims all warranties of any kind, express or implied. Neither Trend Micro nor any party involved in creating, producing, or delivering this document shall be liable for any consequence, loss, or damage, including direct, indirect, special, consequential, loss of business profits, or special damages, whatsoever arising out of access to, use of, or inability to use, or in connection with the use of this document, or any errors or omissions in the content thereof. Use of this information constitutes acceptance for use in an “as is” condition.

Trend Micro Incorporated, a global leader in security software and solutions, strives to make the world safe for exchanging digital information. For more information, visit www.trendmicro.com.

©2013 by Trend Micro, Incorporated. All rights reserved. Trend Micro and the Trend Micro t-ball logo are trademarks or registered trademarks of Trend Micro, Incorporated. All other product or company names may be trademarks or registered trademarks of their owners.

Created by:

Global Technical Support & R&D Center of TREND MICRO