웃음 넘치는 하루^^

최근 사용자 PC에 있는 문서 파일과 이미지 파일들을 암호화하고, 파일 복구의 대가로 금전을 요구하는 랜섬웨어에 의한 감염 사례가 증가하고 있다. 초기 랜섬웨어는 주로 이메일의 첨부 파일을 이용해 유포되었지만 최근에는 보안이 취약한 웹사이트를 통한 드라이브바이다운로드(Drive-by-download) 방식을 통한 유포도 증가하고 있다. 이러한 웹사이트를 방문한 사용자들은 자신도 모르는 사이에 랜섬웨어에 감염되어 피해를 입게 된다. 이 글에서는 드라이브바이다운로드 등 랜섬웨어에 감염되는 주요 경로를 알아본다.

1. 취약한 웹사이트를 통한 악성코드 감염

공격자가 드라이브바이다운로드 방식을 이용해 웹 사이트를 통해 악성코드를 유포하는 과정은 대략 다음과 같다.

1. 공격자는 보안이 취약한 웹사이트에 악성 스크립트를 삽입한다.

[그림 1] 악성 스크립트 삽입

2. 사용자가 해당 웹사이트 접속하면 악성 스크립트가 동작한다.

3. 악성 스크립트는 사용자 PC에 설치 된 프로그램의 버전을 확인하여 취약점이 존재하는지 살핀다. 주로 자바, 인터넷익스플로러, 플래시플레이어 등의 프로그램 취약점이 자주 악용된다.

[그림 2] 자주 악용되는 프로그램 예시 (왼쪽부터 JAVA, IE, Flash Player)

4. 사용자가 사용하는 프로그램이 취약한 버전일 경우 취약점을 유발시키는 코드를 실행한다.

5. 4번과 같은 과정을 통해 악성코드를 다운로드(Dropper)하고 실행하여 사용자의 PC를 감염시킨다.

드라이브바이다운로드 방식은 랜섬웨어 뿐만 아니라 예전부터 온라인게임핵 악성코드나 파밍 악성코드 유포에도 사용되었던 방식이다. 동일한 과정을 통해 사용자 PC에 접근하되 최종적으로 사용자 PC에 다운로드되는 악성코드가 랜섬웨어이냐 파밍 악성코드이냐의 차이일 뿐이다.

2. 취약한 프로그램을 이용한 악성코드 감염

그렇다면 온라인게임핵 악성코드나 파밍 악성코드를 겪었음에도 불구하고 유사한 방식으로 유포되고 있는 랜섬웨어를 피할 수 없는 것일까? 가장 큰 원인은 바로 ‘취약한 애플리케이션의 사용’이다.

위에서 살펴본 바와 같이 보안이 취약한 웹사이트에 숨어있던 악성코드가 사용자 PC에 다운로드되면 사용자가 취약한 프로그램을 이용하고 있을 경우 이를 이용해 악성코드 감염을 비롯해 악의적인 행위를 수행한다.

안랩이 최근 3개월간 랜섬웨어의 변형 및 감염 PC 현황을 조사한 결과, 여전히 취약한 프로그램을 사용하는 사용자들이 많다는 것이 확인되었다. 공격자들은 주로 인터넷 익스플로러(Internet Explorer, IE)나 Java, 플래시플레이어(Flash Player)와 같은 프로그램의 취약점을 이용하고 있다. 윈도우 보안 업데이트를 비롯한 주요 프로그램의 최신 버전 업데이트 적용이 강조되는 이유다.

또한 취약한 웹사이트 이용도 문제다. 특히 일부 소규모 쇼핑몰 사이트나 커뮤니티 사이트 등은 보안에 취약한 경우가 많아 악성코드 유포에 자주 악용되고 있다. 실제로 지난 4월에 대규모 랜섬웨어 감염 피해가 발생했던 사고 역시 유명 커뮤니티 사이트를 통해 다수의 사용자들이 감염되었다. 특히 다음과 같은 사이트의 경우 보안 관리가 미흡한 경우가 대부분이므로 이용을 자제하는 것이 바람직하다.

– 토렌트 관련 사이트

– 음란물 관련 사이트

– 무료 게임 사이트 등

3. 이메일 첨부 파일을 통한 악성코드 감염

이메일 첨부 파일 확인 시에도 주의가 필요하다. 낯선 이메일 또는 의심스러운 메일임에도 불구하고 발신자나 제목, 내용 등을 확인하지 않고 첨부 파일부터 클릭하고 보는 사용자들이 여전히 많다. 출처를 알 수 없거나 이상한 제목의 이메일은 가급적 즉시 삭제하는 것이 바람직하다. 특히 낯익은 발신자가 보낸 첨부 파일이라도 바로 실행하는 것이 아니라 일단 PC에 저장 후 백신으로 검사하는 습관을 갖는 것이 좋다.

이와 함께 랜섬웨어 피해를 예방하기 위해서는 평소 중요한 데이터를 백업해두는 것이 바람직하다. 또한 회사에서 사용하는 업무용 PC는 가급적 업무 목적 외에는 사용하지 않는 노력이 필요하다.

한편 안랩은 ‘랜섬웨어 보안센터’ 웹사이트를 개설하고 최신 랜섬웨어 정보를 비롯해 랜섬웨어 예방을 위한 보안 수칙과 이를 쉽게 수행할 수 있는 가이드를 제공하고 있다.

출처 : AhnLab

계속해서 변종이 등장한다고 하네요.. 바이러스에 감염되지 않게 늘 대비하여야 하겠습니다.

여름휴가 시즌이 성큼 다가왔습니다. 이번 여름휴가는 어디로 가야 할지 고민이지만, 마음은 벌써 휴가지에 가 있을 것 같네요. 그러나 즐거운 여행이 되려면 챙겨야 할 것이 있으니 바로 스마트폰과 각종 디지털 기기입니다. 여름휴가 기간 중 혹시라도 발생할지 모르는 보안사고 피해를 최소화하기 위한 보안 수칙을 알아보도록 합시다.

먼저 개인 사용자들은 여행 시 스마트폰이나 모바일 기기 등을 분실하지 않도록 주의해야 합니다. 사람이 붐비는 곳에서는 특히 조심 또 조심해야 하겠죠. 그리고 휴가지에서 앱이나 프로그램을 설치할 때도 공식마켓에서 내려받되 평판 정보 등 안전한지 살펴야 합니다. 또 변조된 무선공유기로 피해를 볼 수 있으므로 와이파이 접속을 자제하는 것이 좋습니다.

휴가 관련 내용 사칭 메시지, 장비 도난 주의
휴가철에 공격자들은 휴가철 이벤트, 항공권, 호텔 숙박 예약 내용 등을 사칭한 SMS(문자메시지), 트위터나 페이스북 같은 SNS(소셜 네트워크 서비스) 메시지, 이메일 등으로 악성코드를 유포할 가능성이 있습니다. 따라서 자극적이거나 출처가 불분명한 메일, 문자메시지 및 SNS에 첨부된 파일이나 링크는 가급적 실행하지 않는 것이 안전합니다. 휴가철에는 스마트폰/태블릿, 노트북 등 개인 기기의 도난 및 분실에 대비해 개인 기기에 특수문자를 포함한 8자리 이상의 비밀번호로 잠금 설정하고, 중요한 자료는 휴가 가기 전 백업하는 것이 좋습니다. 
 
PC/모바일 백신, SW업데이트 필수, 새로운 앱 설치 시 주의
휴가지에서 급히 필요한 앱이나 프로그램을 설치할 때가 있습니다. 따라서 공식마켓이나 프로그램의 출처나 평판을 잘 확인하는 등의 보안 수칙을 지켜야 합니다.  악성코드 감염에 대비해 PC와 스마트폰에 백신 프로그램을 설치하고 자동업데이트 및 실시간 감시 기능을 실행해야 합니다. 또한, OS(운영체제) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 오피스 소프트웨어 등에 보안 패치를 적용하는 것이 좋습니다. 
 
무선 와이파이 접속 자제로 파밍 예방
휴가지에서는 낯선 와이파이에 접속하는 경우가 많습니다. 최근 변조된 무선 공유기의 와이파이로 접속하면 사용자가 정상 포털이나 금융기관 등의 사이트에 방문만 해도 파밍 사이트로 연결해 금융정보를 탈취하는 사례가 발견되고 있어 주의가 필요합니다. 특히 휴가지에서는 확인되지 않은 와이파이 접속을 가급적 피하는 것이 좋습니다. 

출처 : AhnLab

휴가기간이 점점 가까워지네요.. 즐거운 휴가기간에 보이스피싱 등으로 좋지 않은 일이 생기지 않도록 미리미리 잘 준비해야 할 것 같아요.

'어느새 메일함이 꽉 찼다. 하루에도 수십 통씩 쏟아지는 메일들을 일일이 지우는 것도 일이다. 한참을 지우다보니 눈에 확 들어오는 제목의 메일을 발견했다. 고민된다. 클릭해볼까?'
 

잠깐, 메일을 클릭하기 전에 한 번 더 의심해 보자. 최근의 악성코드는 사람들의 호기심을 파고들기 때문이다!

악성 메일들은 자극적이고 호기심을 유발하는 제목으로 사용자들의 클릭을 유도한다. 또한 자세한 내용을 확인하기 위해서는 첨부 파일을 다운로드하거나, 본문에 삽입된 URL을 클릭해야 한다고 쓰여 있다. 이때 다운로드되는 첨부 파일에는 악성코드가, 연결되는 웹 페이지에는 악성 스크립트가 삽입돼 있다. 

이런 보안 위협들을 사회공학적 기법이라 부른다. 시스템이 아닌 사용자 심리의 허점을 공략하여 악성코드를 유포해 시스템 장애, 개인정보 유출 등의 피해를 입힌다. 또한 APT(Advanced Persistent Threat, 지능형 타깃 위협) 공격 수법으로 활용되어 회사 및 기관의 내부 정보를 빼내는 데 사용된다.    

 
그렇다면 이러한 피해를 예방하기 위해서는 어떻게 해야 할까?

안전한 이메일 이용 가이드

1. 출처가 불분명하거나 의심스러운 제목의 메일은 열어 보지 않는다.

발신자 항목은 조작이 가능하기 때문에 발신자만으로 메일을 신뢰하는 것은 위험하다.

2. 전달받기로 한 파일 외에는 첨부 파일을 열어 보지 않는다.

부득이한 경우 백신의 실시간 감시를 켠 후 다운로드하여 검사한다. 악성코드 제작자는 사회공학 기법을 이용하여 사용자의 지인으로 위장할 수 있다는 사실을 명심하자.

3. 메일에 존재하는 의심스런 URL은 클릭하지 않는다.

악성 스크립트가 삽입된 웹 페이지에 연결되면 악성코드에 감염될 가능성이 크다.

4. URL을 클릭하여 연결된 로그인 페이지나 개인정보 입력 페이지에 정보를 입력하지 않는다.

악성코드 제작자가 수집된 개인정보를 악의적인 목적으로 이용할 수 있다.

5. Active X 설치를 요구할 경우 반드시 보안 경고 메시지를 검토한 후 설치한다.
이메일 청구서와 같이 오픈 시 Active X 설치를 요구할 경우 반드시 게시자의 전자 서명을 확인한 후 설치한다. 하지만 의심스러울 경우 설치하지 않는다. 

6. 백신 및 응용 프로그램은 주기적으로 업데이트하여 항상 최신 버전을 유지한다.

사용자가 보안 업데이트를 게을리하면 시스템 취약점을 통해 악성코드에 감염될 위험성이 커진다. 지속적인 보안 업데이트를 통해 시스템에 존재하는 취약점을 없애서 보안 위협으로부터 멀어지도록 하자.

출처 : 안랩

컴퓨터를 사용하다보면 많은 이메일을 받게 되고 그 중에 위에서 설명한 스팸메일이 올 경우도 많습니다. 이메일 확인시 꼭 이런 스팸메일들을 확인하시고 악성코드에 감염되지 않도록 주의를 기울여야 하겠습니다.