악성코드와 분석 방안

이 자료 역시 2006년 11월 외부 보안 세미나에서 사용하였던 강연 자료 입니다. 이 자료를 사용하였던 보안 세미나가 정확하게 어떤 자리였는지는 기억이 나지 않습니다만, 경찰청에서 주관하여 진행하였던 보안 세미나로 기억 됩니다.

지금 인터넷으로 찾아보니 경찰청 주관으로 진행한 국제사이버범죄대응 심포지엄(ISCR) 2006에서 발표하였던 자료가 맞네요...

그 때를 곰곰히 생각해보니, 30분이라는 짧은 시간에 악성코드 개론에서 분석 사례까지 진행해야 했던 어려운 상황에다, 외국에서 초청된 보안 연구원 및 보안 기업 임원들과 함께하고 제법 많은 숫자의 청중들이 함께 했던 세미나였습니다.

그래서 그랬는지 평소와 달리 긴장감이 컸었는지, 저도 모르게 강연 마지막에 말이 조금 꼬이면서 엉뚱하게 버벅거리는 어이 없는 실수를 했었던 기억이 새록 새록 나는군요..

당시에 발표한 자료는 기존 외부 보안 세미나에서 발표했던 자료들의 내용과 큰 차이는 없습니다만, 실제 침해 사고에 사용되었던 악성코드를 실제 분석하는 과정과 결과를 도출하는 케이스 스터디 형식을 포함하고 있습니다.

그래서 전체 목차는 아래와 같이 크게 4개로 나누었으며, 마지막 악성코드 분석 사례에서는 Dropper/PcClient.47873를 분석하였습니다.

1. 악성코드와 동향
2. 악성코드 분석 프로세스
3. 악성코드 분석 유틸리티
4. 악성코드 분석 사례

그 당시 Dropper/PcClient.47873를 분석 대상으로 삼았던 이유는 실제 침해 사고에 사용되었던 샘플이었습니다.

거기다 당시에는 보기 드물게 드라이버 파일을 이용한 커널(Kernel) 모드 은폐, 스레드 인젝션(Thread Injection) 기능을 이용한 글로벌 후킹(Global Hooking)으로 키로깅(Keylogging) 기능 등을 수행하는 기밀 정보와 데이터 탈취를 목적으로 한 조금은 특별한 샘플이었기 때문입니다.

악성코드와 기업의 악성코드 대응

오늘 공유하는 자료는 2006년 11월 L 기업의 보안관제팀원들을 대상한 보안 세미나에서 강연한 자료 입니다. 당시 기억으로는 안랩 외에도 다른 기업들도 초청되어 다양한 보안 관련 주제들로 강연이 진행되었던 것 같습니다.

처음 초정을 제안 받고 난 후, 한 동안 보안을 주요 업무로 전담하시는 분들께 어떠한 정보를 드리는 것이 좋을지, 현업에서는 어떠한 부분을 고민하고 있을까로 이래 저래 말씀들도 듣고고민을 많이 했었습니다. 그래서 내린 결론은 저의 전문분야인 악성코드 현황과 대응 방안을 중심으로 강연을 진행하기로 결정 하였습니다.

그래서, 당시의 악성코드 상황과 기술적인 변화 그리고 기업 내부에서 악성코드 대응을 위한 보안 정책과 악성코드 감염이 의심되는 침해 사고 시스템 분석을 위해 안레포트(AhnReport)를 어떻게 활용하는 것인가를 다루었습니다.

이러한 내용들을 담고 있다보니 목차 역시 여기 맞게 다음과 같이 구성되어 있습니다.

1. 악성코드 유형별 최근 동향
2. 악성코드 기술적 동향
3. 주요 악성코드의 감염 기법
4. 기업 악성코드 대응
5. 향후 연구 과제
6. 참고 문헌

2006년 발표한 "악성코드와 웜" 강연 자료

2006년 9월에 ASEC 내부 세미나에서 발표한 자료 입니다. 지금은 이슈와 되고 있는 대부분의 보안 위협들이 백도어(Backdoor) 및 트로이목마(Trojan Horse)에 의해 발생하고 있지만, 이 당시 발생하는 보안 위협들 대부분이 웜(Worm)에 의해 발생하고 있던 시기 였습니다.

특히 일반 기업 내부망에서는 웜에 의해 발생하는 대량의 네트워크 패킷으로 인해 내부망 전체가 다운이 되거나, 정상적인 통신이 이루어지지 않는 문제들이 많았습니다. 그러다 보니 웜에 의해 발생하는 보안 위협 사례들에 대해 연구들이 많이 이루어지던 시기였습니다.

그러한 연구의 일환으로 진행되었습니다. 그래서 해당 발표 자료에서는 웜이란 무엇이며, 익스플로잇(Exploit)을 이용해 윈도우 시스템의 취약점을 악용하는 웜과 웜의 복사본이 첨부된 메일들을 대량으로 발송하는 메스 메일러(Mass-Mailer)의 특징들에 대해 다루고 있습니다.

악성코드와 분석 방안 그리고 시스템 복구

오늘 공개하는 자료는 2006년 5월에 2차에 걸쳐서 실제 고객사에서 악성코드 대응과 기술 지원을 담당하시는 부서분들을 모시고 진행된 보안 교육에 사용된 자료 입니다.

1차에 사용된 자료는 주로 악성코드에 대한 개략적인 이해와 분석 방법론 그리고 분석에 사용되는 공개용 유틸리티로 구성되어 있습니다.

전체적인 큰 흐름은 지난 번에 공유한 코코넛의 보안 관제 업무를 담당하시는 분들과 함께 진행되었던 강연과 비슷합니다.

하지만 실제 필드에서 감염이 의심되는 시스템을 점검하시는 기술지원 부서분들이라, 공개용 유틸리티로 시스템을 점검하는 것에 주된 포커스가 맞추어져 있습니다.

2차에 사용된 자료는 실제 악성코드의 형태별로 시스템 감염시에 발생할 수 있는 증상들과 특징들 정리하였습니다.

그리고 마지막 부분에서는 윈도우 시스템에 내장되어 있는 시스템 백업 및 복구 기능들을 이용하는 방안들을 정리 한 것입니다.

2006년 5월.. "악성코드 분석 도구"

2006년 5월 부서내 세미나에서 발표한 악성코드 분석 방법론과 악성코드 분석에 사용되는 공개용 유틸리티들을 정리한 내용입니다.

지금은 자동화되고 시스템화 된 부분이 많지만, 분석가 입장에서는 수작업, 메뉴얼적으로 분석을 할 때에 알아야하는 분석 방법론과 이에 사용하는 여러 분석 관련 유틸리티들을 정리한  내용입니다.

마지막 페이지에서는 악성코드 분석을 위해 참고하기 위한 서적들을 정리 해두었습니다.

참고 서적 리스트를 보다 보니 이 당시에 이런 저런 분석과 관련된 서적과 자료들을 많이 읽고 고민 했었던 것들이 생각나네요...

악성코드 개론....2006년도 4월 버전...

오늘 이야기하는 주제는 악성코드 개론으로, 2006년 4월 ASEC(시큐리티대응센터) 내부적으로 진행되었던 세미나에서 강연한 내용입니다.

아주 가볍게 보실 수 있는 내용이고 기술적으로 복잡하거나 어려운 내용들은 아니라서, 컴퓨터와 보안에 대해 지식이 없는 일반인들이라도 쉽게 보실 수 있는 내용입니다.

개략적인 목차는 악성코드 개론이라는 주제에 맞추어서 총 5가지 소주제로 나누어 1. 악성코드 정의, 2. 악성코드 분류, 3. 악성코드 연대기, 4. 악성코드 감염 경로와 5. 참고 서적 으로 분류되어 있습니다.

2006년도에 강연한 "악성코드와 분석 방법"

아마도 연구소 내부가 아니라 외부에서 악성코드 분석과 관련한 강연을 한 것은 2006년 3월이 처음으로 기억됩니다.

그 당시 안랩의 관계사로 있는 코코넛(지금은 합병이 되어 보안 관제 사업부로 존재합니다.)의 보안 관제 업무를 하시는 분들을 대상으로 악성코드가 무엇이고 악성코드를 분석하기 위해서는 어떠한 선수 지식이 필요하고 어떠한 방법론으로 분석을 하는지 강연을 했던 적이 있습니다.

업무적으로는 익숙한 프로세스와 지식들이었지만 이를 다시 하나의 자료로 만들어 강연을 해야 된다는 것이 쉽지는 않은데다, 3시간 정도라는 한정된 시간으로 악성코드 분석과 관련된 것을 모두 설명한다는 것 자체가 어렵다는 것을 잘 알고 있었습니다.

그래서 최대한 많은 부분들을 설명하되, 향후에도 자료를 보고 혼자서 학습을 할 수 있도록 도움을 드리고자 많들었던 기억이 많이 납니다.

목차는 크게 3가지로 나누어집니다.

첫 번째로 "악성코드 개요"로 악성코드 정의 및 형태적 분류들 그리고 특징들을 다룹니다. 그리고 두 번째로 "악성코드 분석"으로 악성코드 분석을 위해 필수적으로 알아야 되는 선수 지식들과 분석에 사용되는 공개용 유틸리티들 그리고 이를 적용한 분석 방법론을 설명합니다. 마지막으로 "맺음말"에서는 악성코드의 향후 발전 방향과 이에 대응하기 위한 연구과제들 그리고 악성코드 분석에 도움이 될만한 웹 사이트와 서적들을 포함하고 있습니다.

아래는 SlideShare에 공유한 그 당시 강연에 사용되었던 자료 입니다.

악성코드 동향 및 대응 방안

2002년 7월에 입사해서 처음으로 외부에 악성코드 분석이나 대응과 관련된 주제로 강연을 해본 것은 2004년 즈음으로 기억되는 서울지방경찰청 사이버수사대 입니다. 그 이후로 이와 유사한 강연이나 세미나가 있을 때 마다 참석을 했었던 적이 다수가 있습니다.

하지만 지금에 와서 찾아 보니 2004년도 처음으로 하였던 발표 자료는 저도 미처 보관을 하지 않고 있고 있더군요. 그나마 가지고 있는 가장 오래된 발표 자료는 2005년 6월 K 통신사 정보보안실 주관의 정보 보안 세미나였습니다.

아래 발표 자료는 그 당시에 사용하였던 발표 자료인데 대략 8년 정도 전의 상황이라 지금과는 많이 다르겠지만, 과거에는 이랬다 정도의 참고로 삼아 보시면 좋을 것 같습니다.

개략적인 내용은 악성코드가 어떻게 기술적으로 발전해왔고, 2005년 당시의 주요 악성코드들은 어떠한 것들이 있으며 이를 막기 위해서는 어떻게 해야 되는지를 다루고 있습니다.

Cybercrimes against the Korean online banking systems

이 발표 자료 역시 2013년 1월에 미국 L.A에서 진행된 11번째 ISOI(Internet Security Operation and Intelligence) 보안 컨퍼런스에서 발표한 자료 입니다.

주제는 2012년 10월에 작성한 원고인 "진화하는 온라인 뱅킹 위협"의 내용들을 간추려서 정리한 것으로, 지금도 이슈가 되고 있는 온라인 뱅킹에 사용되는 금융 정보들을 탈취하기 위한 악성코드들의 변천사와 특징들 그리고 유포 방식들에 대해 다루고 있습니다.

발표 당시 다른 해외 보안 업체 연구원들로부터 다양한 질문들을 많이 받았는데, 한국의 온라인 뱅킹 시스템과 미국 그리고 유럽과의 뱅킹 시스템의 근본적으로 다른 정책과 시스템 차이로 인한 것입니다.

특히 트렌드마이크로(TrendMicro)의 연구원들은 미국과 유럽 지역에서 많이 유포되는 제우스(Zeus)와 스파이아이(SpyEye) 등에 대해서는 익숙하지만 한국에서 발견되는 온라인 뱅킹 악성코드는 특히 하다면서 개별적으로 자료를 공유해달라는 요청을 하더군요.

아래는 그 당시 발표한 자료 입니다.

Internet Threats and Issues in Korea

2011년 11월 AVAR(Association of anti Virus Asia Researchers) 에서 처음으로 해외 보안 컨퍼런스에서 발표 한 이후에 영어로 발표를 하는 것에 자신감이 조금은 더 생겼습니다.

그러다 보니 이제는 다른 곳에서도 한 번 해보고 싶다는 생각에 2번째로 발표한 해외 보안 컨퍼런스는 2012년 4월 캐나다 몬트리올에서 열린 10번째 ISOI(Internet Security Operation and Intelligence)입니다.

여기 ISOI 보안 컨퍼런스는 멤버쉽으로 진행되는 컨퍼런스인 관계로 다른 일반적인 컨퍼런스 보다는 규모가 작고 많이 알려져 있지 않습니다. 하지만 북미와 유럽 지역의 주요 보안 업체와 보안 관련 담당자들 많이 참여를 하며, 외부에 공개되지 않은 다양한 보안 관련 주제들이 공유되고 이야기 됩니다.

그리고 여기에서 발표되는 내용들에 대해 다양한 관점에서 토론과 깊이 있는 대화가 많이 이루어져 처음에는 마치 대학 강의실에서 토론 수업이 진행되는 듯한 분위기에 압도되었습니다.

이러한 토론적인 분위기와 함께 영어로 대화를 해야 된다는 두려움이 커었지만, 파고다 원어민 회화 수업을 4개월 했던 용기로 그냥 무작정 질러 봤습니다. 그런데 의외로 컨퍼런스 위원회에서 긍정적으로 생각하고 받아 주더군요.

2012년 4월 캐나다 몬트리올에서 열린 11번째 ISOI 컨퍼런스에서의 주제는 "Internet Threats and Issues in Korea"로 2011년 한국을 중심으로 한 동북 아시아에서 발생하는 다양한 보안 위협들의 특징들을 발표하였습니다.

한국과 동북 아시아에 대한 정보가 부족한 업체들이 많다 보니 발표가 끝난 이후에는 다수의 질문들이 있었고, 세션이 끝난 이후에도 개인적으로 찾아와서 질문을 하고 협력 방안을 이야기 해보고 싶다는 업체들도 다수 있었습니다.

아래는 그 당시에 발표한 프리젠테이션 파일 입니다.

진화하는 DDoS 공격, 그 끝은 어디인가?

2012년 3월 즈음에 분석2팀의 정관진 책임님과 함께 작성한 원고가 "진화하는 DDoS 공격, 그 끝은 어디인가?" 입니다. 당시 해당 원고는 3.4 DDoS가 발생한지 1주년을 맞아서 DDoS(Distributed Denial of Service) 공격의 현재 상황과 향후에 발생 가능한 공격 형태들을 다루어보고자 작성하였습니다.

해당 원고에서 저는 현재의 DDoS 공격 현황과 언더그라운드에서 사용하는 DDoS 공격 툴들을 분석하는데 중심을 두었으며, 정관진 책임님께서는 네트워크과 패킷 관점에서 DDoS 공격 형태들을 분석하는데 중점을 두셨습니다.

원고는 3월에 작성 완료하였지만 내부 업무 사정으로 인해 5월로 조금 연기되어 안랩닷컴에 공개되었으며, 최초의 원고 내용에서 크게 벗어나지 않은 선에서 정리가 되었더군요.

+-------------------------------

우리는 한 번도 겪기 힘든 대형 DDoS(Distributed Denial-of-Service, 분산 서비스 거부) 공격을 두 차례나 겪었다. 대량의 네트워크 트래픽을 유발해 특정 웹 사이트들이 정상적인 동작을 하지 못하도록 마비시키는 DDoS 공격을 두 차례나 겪은 것은 다른 어느 국가에서도 찾아보기 힘든 보기 드문 사례다. 한편으로는, 이를 통해 우리는 DDoS 공격과 그에 따른 피해가 얼마나 심각하며 우리 생활에 어떠한 피해를 유발할 수 있는지를 몸소 체험하며 보안 인식을 한층 고취시킬 수 있었다. 이 글에서는 최근 국내?외에서 발생했던 DDoS 공격 양상과 특징, 네트워크 관점에서 주목해야 할 점들에 대해 살펴보겠다.

국내,외 주요 DDoS 공격의 특징

[표 1]은 2011년 하반기부터 2012년 현재까지 다른 나라에서 발생한 주요 DDoS 공격 사례들을 정리한 것이다.

[표 1] 2011~2012년 국외 주요 DDoS 공격 사례

국외에서 발생한 주요 DDoS 공격 사례들의 가장 큰 특징은 특정 목적 하에 공격 대상을 선정하고 DDoS 공격을 가한다는 점이다. 여기서 특정 목적이란 현재 인터넷에서 발생하는 사이버 범죄들의 금전적인 목적과는 확연히 다른 목적이다. 즉, 특정 단체의 정치적인 의견을 표현하기 위한 하나의 수단으로써 DDoS 공격을 행하고 있다는 것이다.

특히 어나니머스(Anonymous)의 DDoS 공격들은 2011년 11월부터 2012년 2월까지 이집트, 이스라엘, 브라질과 이탈리아 등 다수 국가의 정부기관 웹 사이트들을 대상으로 집중적으로 발생했다. 이 공격들은 금전적인 대가를 위한 것이 아니라 해당 해킹 그룹이 가지고 있는 정치적인 의견을 인터넷으로 표출하기 위한 것이었다.

[그림 1] 2011~2012년 국내 주요 DDoS 공격 사례

[그림 1]은 같은 기간 국내에서 발생한 주요 DDoS 사례들이다. 국내 사례들은 국외 사례들과는 조금 다른 목적을 갖고 있었음을 알 수 있다.

국내의 경우에는 정치적인 성격이 드러난 2011년 10월 선거관리위원회 웹 사이트 DDoS 공격 사례와 2012년 3월 여성가족부 웹 사이트 DDoS 공격 사례를 제외하고는 모두 금전적인 목적의 공격이었다.

DDoS 공격 기법 면에서도 차이가 있다. 국외에서 발생한 DDoS 공격 사례들 중 어나니머스에 의해 발생한 사례들은 대부분 [그림 2]와 같은 네트워크 트래픽 테스트 용도로 제작된 공개 유틸리티를 악용했다.

[그림 2] DDoS 공격에 사용된 네트워크 관련 공개 툴

그러나 국내에서는 [그림 3]과 같이 중국에서 DDoS 공격을 목적으로 제작된 악성코드 생성기를 이용한 사례가 많았다.

[그림 3] 중국에서 제작된 DDoS 공격을 위한 악성코드 생성기

특정 단체의 정치적인 의견을 피력하기 위한 DDoS 공격은 단체에 소속된 조직원들의 자발적인 참여로 이루어진다. 그러나 금전적인 목적의 DDoS 공격에서는 인원이 많지 않으므로 악성코드를 유포하여 감염된 다수의 시스템들을 악용하는 수법을 이용한다.
그렇다면, 국내 공격 사례에서 흔히 볼 수 있듯이, 악성코드에 감염된 다수의 시스템들을 악용하는 DDoS 공격를 네트워크 관점에서 살펴보자.

네트워크 관점에서 본 DDoS 공격

네트워크 관점에서 보면, DDoS 공격은 다수의 악성코드 감염 시스템을 통해 대량의 트래픽을 유발해 네트워크 대역폭을 소모시켜 정상적인 서비스를 할 수 없도록 만든다. 이 때 발생되는 트래픽은, 공격지의 서비스 종류에 따라 다르겠지만, 빠른 속도로 트래픽을 전달하거나 대량 패킷 데이터를 만들어내는 것이 보통이다.

국내에서 발생했던 두 차례의 예를 통해 네트워크 관점에서 DDoS 공격의 특징을 분석해보자.

[표 2] DDoS 공격 유형별 특징

3.4 DDoS 공격 시에는 HTTP, UDP, ICMP의 3가지 공격 유형이 발생되었는데, 패킷 분포 형태를 보면 HTTP가 가장 큰 비중을 차지하고 있다. 이것은 코드상 HTTP가 많이 발생할 수밖에 없는 구조로 공격 패킷이 생성돼 있었기 때문이다.

[그림 4] 3.4 DDoS 당시 사용된 공격 유형 비율

하지만, 이렇게 생성된 트래픽이 대량 트래픽을 생성하지는 않았다. 한 곳을 대상으로 공격하는 트래픽은 초당 25개 정도로, 패킷 크기는 [표 3]에서 보듯이 174바이트 정도였다.

[표 3] 악성코드 감염 시스템 수치별 공격 트래픽 유입 추정(공격 대상 1곳 기준)

이를 2009년 발생했던 7.7 DDoS 공격과 비교해보면 다음과 같다.

- 출발지 IP 위조 기능(IP Spoofing)을 포함하지 않음
- 7.7 DDoS 공격 때와 달리 패킷 전송에 Winpcap을 사용하지 않고, 윈도우의 기본 네트워크 소켓을 사용함
- 2차 공격 이후, 정부기관 1곳, 은행권 1곳 등 공격 대상을 2곳으로 한정
- 3차 공격 시 HTTP Flooding 공격으로만 시도하고 ICMP/UDP Flooding은 제외

3.4 DDoS와 마찬가지로 7.7 DDoS 때도 트래픽 비중은 그다지 크지 않았다. 공격 패킷의 헤더 정보와 페이로드(Payload)만 약간 달라졌을 뿐, 이용된 공격 형태가 비슷하고 트래픽의 비중이 크지 않았던 이유를 다음과 같이 추정할 수 있다.

첫째, 대처 능력을 사전에 판단해 보기 위함이다. 실제로 3.4 DDoS 발생 때에는 신속하게 대응해 피해를 최소화할 수 있었다.

둘째, 공격을 오랫동안 지속하기 위함이다. 사용자가 인지할 만큼 PC의 자원을 많이 사용하지 않으니 노출될 확률이 적어진다.

셋째, 사이버 공격으로 이용하기 위한 효과적인 공격 방법을 검증하기 위함이다. 사이버무기로서의 가능성을 알아보고자 시도한 검증 단계일 수도 있다.

3.4 DDoS는 그 목적이 뚜렷이 파악되지는 않았지만, 공격 대상들의 특징을 본다면 국외 사례들과 유사하다고 할 수 있다. 하지만 세부적인 공격 기법적인 측면에서 국내 DDoS 공격 사례들과 공통점이 있으면서도, 네트워크 패킷 관점에서는 차이를 보이는 특이한 사례다.

네트워크 디바이스를 노리는 DDoS 공격

앞서 국외에서 최근 발생한 DDoS 공격 사례들은 금전적인 목적보다는 특정 단체의 정치적인 의견을 알리기 위한 것이 많음을 살펴보았다. 공격 기법으로는 공개된 DDoS 공격 툴들을 이용하는 경우가 많다는 점도 알 수 있었다.

그러나 국내에서는 금전적인 목적을 위해 악성코드에 감염된 시스템들을 동원하는 사례가 많다는 것을 알 수 있었다.

그렇다면 앞으로 발생하게 될 DDoS 공격들은 어떠한 형태와 특징을 가지게 될까?
안드로이드(Android)와 아이폰(iPhone)으로 대표되는 스마트폰, 클라우드 서비스(Cloud Service) 등 여러 IT 기술적인 면들을 고려해본다면, 가까운 미래에 시스템들과 가정용 전자 제품들은 대부분 네트워크를 통해 인터넷으로 연결될 것이다. 네트워크로 연결되는 디바이스(Device)들이 증가하면, 각 디바이스들의 취약성을 악용한 DDoS 공격들도 증가할 것으로 예측할 수 있다.

[그림 5] 안드로이드 스마트폰에서 실행 가능한 DDoS 공격 툴

[그림 5]와 같이 어나니머스에 의해 안드로이드 스마트폰에서 동작하도록 제작된 DDoS 공격 툴을 보자. DDoS 툴이 스마트폰에서 동작 가능하다는 것은, 공격자가 스마트폰을 통해 시간과 장소에 제한을 받지 않고 언제든지 DDoS 공격을 가할 수 있다는 점을 의미하는 것이다. 즉, DDoS 공격을 목적으로 하는 악성코드가 스마트폰을 감염시켜 동작하도록 제작될 것이다. DDoS 공격의 목적 역시 인터넷을 통해 표출되는 여러 문화들의 다양성과 이해 관계들로 인해 더욱 복잡한 양상을 띨 것이다.

지금은 보안이라는 관점에서 네트워크로 연결되는 모든 디바이스들에 대한 통제와 관리를 심각하게 점검해야 할 시점이다. 이와 함께, 앞으로 발생할 다양한 목적의 DDoS 공격들에 대해 사회 제도적인 관점에서 어떻게 대처할 것인가도 진지하게 고민해봐야 할 것이다.