잉카인터넷 시큐리티대응센터 블로그

1. 국내 인터넷뱅킹 이용자를 겨냥한 보안위협 기승잉카인터넷 대응팀은 국내 시중은행의 전자금융정보를 집중적으로 공략하고 있는 사이버범죄 조직에 대한 추적을 꾸준히 추진하고 있고, 거의 매일 새롭게 제작된 악성파일 유포지와 샘플들을 수집하여 금융보안 강화체계를 상시유지하고 있다. 그런 가운데 금융전문 사이버범죄 조직들은 유출된 개인정보를 남용하여 불특정다수의 스마트폰 이용자들에게 SMS 금융피싱 문구를 끈질기게 무단 배포함과 동시에 악성파일과 호스트파일 변조기법을 통한 피싱, 파밍공격도 동시다발적으로 확대하고 있는 상황이다. 최근 수개월 사이에 전자금융 사기형태의 보안위협이 눈에 띄게 급증하고 있다는 점과 나날이 정교화, 다양화되고 있다는 점도 반드시 유념하여야 한다. 이용자들은 이미 알려져 있는 주요 보..

1. 개요 잉카인터넷 대응팀은 2012년 08월 31일 국내 인터넷뱅킹 사용자들을 노린 또 다른 악성파일이 국내 다수의 웹 사이트가 해킹되어 중개지로 악용된 채 유포 중인 정황을 포착하였다. 이번에 새롭게 유포 중인 악성파일은 중국에서 개발되어 최근 다양한 악성파일 유포에 널리 사용되고 있는 "JSXX 0.44 VIP" 자바스크립트 난독화 Exploit 코드와 접목을 시작했으며, JAVA 취약점과 Flash 취약점 등을 꾸준히 이용하고 있는 상태이다. 특히, 이번에는 인터넷뱅킹용 악성파일을 배포하기 이전 시점에 사전침투용 악성파일을 지능적으로 먼저 투입시켜 국내에 사용자가 가장 많은 알약(ALYac)과 V3Lite 무료 백신제품들의 정상적인 업데이트 방해 등을 우선시도한다. 이는 본격적인 인터넷뱅킹용 악..

1. 개요 잉카인터넷 대응팀은 최근 며칠동안 페이스북(Facebook)에서 발송한 이메일처럼 교묘하게 조작되어 전파 중인 악성파일을 다수 발견하였다. 페이스북은 2004년에 개설한 미국의 대표적인 글로벌 소셜 네트워킹 서비스(SNS)로 컴퓨터나 모바일로 주변 인맥들과 실시간으로 정보와 사진 등을 공유할 수 있는 기능을 제공한다. 현재까지도 가장 성공한 소셜 네트워크 서비스 중 하나로 2011년 09월 기준 전 세계 약 8억명 이상의 액티브 유저가 활동하고 있는 것으로 추산되고 있다. 이와 같이 많은 사용자들을 보유한 서비스이기 때문에 그 만큼 더 많은 보안위협에 꾸준히 표적이 되고 있는 것도 사실이다. 따라서 페이스북 사용자들은 이런 보안정보를 충분히 숙지하고 유사한 형태의 이메일을 수신할 경우 첨부파일..

1. 개요 국내 인터넷뱅킹 이용자들을 겨냥한 악성파일이 기존보다 한단계 진일보한 형태로 다변화를 시도하고 있다. 이번에 새롭게 발견된 형태는 최근까지 악용되고 있는 호스트(hosts)파일 조작기법을 사용하지 않고, 독립적으로 악성파일 자체가 은행사이트의 도메인을 감지하여 조작된 가짜 은행(피싱)사이트로 연결을 시도하는 수법을 사용하고있다. 따라서 악성파일에 감염된 사용자가 정상적인 인터넷뱅킹 사이트에 접속을 하여도 조작된 가짜 도메인으로 접속을 가로채기 때문에 도메인 주소를 유심히 살펴보지 않을 경우 조작된 웹 사이트에 현혹되어, 예기치 못한 피해를 입을 수 있다. 사이버 범죄자들이 국내 인터넷뱅킹 사이트를 모방하여 만든 피싱사이트에는 실제로는 존재하지 않는 일명 [보안승급서비스]라는 이름으로 금융거래시..

1. 개 요 최근 해외에서 SMS Zombie로 일컬어지는 악성 애플리케이션이 발견되어 화제가 되고 있다. 악성 애플리케이션에 대한 스마트폰 보안 위협의 민감성이 약화되고 있는 시점에 중국에서는 약 50만대 가량의 단말기가 해당 악성 애플리케이션에 감염된것으로 추산되고 있으며, 이에 따른 막대한 금전적 손실이 있을것으로 예상되고 있다. 물론 해당 악성 애플리케이션은 중국의 안드로이드 OS기반 스마트폰 사용자만을 대상으로 동작하고 있는 만큼 국내에서 별다른 피해는 발생하지 않을 것으로 예상된다. 다만, 해외에서는 이미 금전적 이득을 목적으로 이러한 악성 애플리케이션의 실제 유포 및 감염 동작이 이루어지고 있다는 점에서 상당히 주목할만 하다고 할 수 있다. 2. 유포 및 감염 동작 해당 악성 애플리케이션은 ..

1. 개요 잉카인터넷 대응팀은 국내 불특정 다수의 인터넷 이용자를 겨냥하여 다양한 수법으로 금융정보 및 예금탈취 목적의 악성파일이 끊임없이 기승을 부리고 있어 주의 경보를 발령하고, 이상징후에 대한 예의주시 및 휴일포함 상시 집중관제와 긴급대응을 진행 중에 있다. 현재 악성파일은 변종이 지속적으로 유포되고 있는 상황이며, 감염될 경우 국내 인터넷 뱅킹 사이트 접속시 교묘하게 제작된 허위 사이트로 접속되고, 실제로는 존재하지 않는 보안승급서비스를 보여주고, 공인인증서(NPKI)유출과 금융 개인정보 입력을 유도하여 국내 시중은행 사용자들의 계좌정보를 탈취시도한다. 이렇게 유출된 개인금융 정보는 악의적 해커들에 의해서 불법적 금융계좌 접근으로 시도되고, [경우에 따라서 예금인출 피해로 확대]될 수 있다. 금번..

1. 개요 잉카인터넷 대응팀은 Adobe Flash Player 프로그램에 존재하는 최신 보안취약점을 이용한 악성파일이 해외에서 다수 유포되고 있는 정황을 포착하였다. 해당 취약점을 이용한 악성파일은 2012년 08월 13일 경부터 발견되고 있으며, Adobe Systems사에서는 2012년 08월 14일 CVE-2012-1535 취약점에 대한 보안 권고문을 공개한 상태이다. 공격자는 마치 정상적인 MS Word DOC 문서파일처럼 교묘히 위장하여 변종 악성파일을 제작하여 유포하고 있는 상황이므로, 최신 보안업데이트 설치가 무엇보다 중요한 상태이다. 아울러 플래시 플레이어 취약점의 경우 매우 자주 발생하고 있으므로, 수시로 제공되는 최신 업데이트를 반드시 설치하는 보안습관이 중요하다. [보안 권고문] S..

1. 개요 잉카인터넷 대응팀은 2012년 08월 02일 목요일 국내 특정분야의 정책을 통합조정하는 정부부처의 내부 공직자를 정조준하고 HWP 문서파일 취약점을 이용해서 은밀하게 표적공격을 감행된 지능형지속위협(APT) 정황을 포착하였다. 국가 정책을 담당하는 중앙행정기관의 내부 직원을 겨냥했다는 점에서 국가 내부 정보수집을 목적으로 한 표적형 공격의 일환으로 추정하고 있다. 공격자는 [한글문서(HWP) 파일의 취약점을 이용]하였으며, "일일 주요외신 보도동향 보고"라는 내용을 포함하고 있다. 또한, 발신자는 이메일 제목과 내용 등에 한글을 직접 사용하였고, 보낸 사람 부분에도 한글로 "최 강"이라는 발신자명과 hotmail.com 계정을 이용하였다. 아울러 잉카인터넷 대응팀은 금년 4월 경에 보고했었던 ..

1. 개요 잉카인터넷 대응팀은 국내 인터넷뱅킹 사용자를 표적으로 하는 악성파일 유포 모니터링을 실시간으로 유지하고 있으며, 현재 이 시간 새로운 변종이 유포시도 중인 정황을 포착하여 "긴급 대응"이 진행되었다. 특히, 이번에는 기존의 은행권외에 기업은행, 우체국, 새마을금고, 하나은행 등이 신규로 공격 사이트로 추가되었다. 또한, 공격자는 유포파일명을 CretClient.exe 에서 adobe_update.exe 으로 변경하였고, HDSetup.exe 에서 ncsoft.exe 이름으로 변경하였다. 기존에 공식적으로 공개하지는 않았지만 악성파일 제작자는 국내 특정 금융권 보안프로그램처럼 아이콘을 위장한 변종을 제작한 적이 있었고, 국내 게임사 또는 Kaspersky 보안업체 등과 관련된 내용으로 위장을 꾸..

1. 개요 잉카인터넷 대응팀은 글로벌 지능형지속위협(APT) 보안관제를 진행 하던 중 중국 포털 사이트에서 제공하는 웹메일 계정을 이용해서 "주중 프랑스 대사관 공직자를 표적으로 한 악성파일 공격 정황을 포착"하였다. 공격자는 마이크로소프트사 오피스용 엑셀(Excel) 문서파일에 악성파일을 몰래 숨겨서 사용하였으며, 특징적으로 악성 엑셀문서를 정상적으로 열기 위해서는 고유암호를 입력해야만 한다. 암호를 완벽하게 입력해야만 악의적인 기능을 수행하기 때문에 암호를 모르는 사람은 해당 악성파일의 보안위협에 노출될 가능성은 없으며, 암호를 알지 못한 상태에서는 악성파일 코드분석에도 직접적인 방해요인으로 작용할 수 있다. 이처럼 표적형 공격에 사용되는 악의적 문서파일에 특정 암호가 설정되어 사용되는 경우가 종종 ..