[논문]악성코드 유포 사이트 특성 분석 및 대응방안 연구

김홍석; 김인석

doi:10.13089/jkiisc.2019.29.1.93

악성코드 유포 사이트 특성 분석 및 대응방안 연구
A Study on Characteristic Analysis and Countermeasure of Malicious Web Site 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.29 no.1, 2019년, pp.93 - 103

김홍석 (고려대학교 정보보호대학원) , 김인석 (고려대학교 정보보호대학원)

초록
AI-Helper

최근 드라이브 바이 다운로드 공격 기반의 웹사이트를 통한 랜섬웨어 악성코드 유포로 인해 웹사이트 서비스 마비, 일반 이용자 PC 파일 손상 등의 피해가 발생하고 있다. 따라서 악성코드 경유지 및 유포지 사이트의 현황과 추이 파악을 통해 악성코드 유포의 공격 대상 웹사이트 업종, 유포 시간, 악용되는 어플리케이션 종류, 유포되는 악성 코드 유형에 대한 특성을 분석하는 것은 공격자의 공격활동을 예측하고 대응이 가능하다는 점에서 의미가 크다. 본 논문에서는 국내 343만개의 웹사이트를 대상으로 악성코드 유포여부를 점검하여 탐지된 악성코드 경유지 사이트, 익스플로잇 사이트, 악성코드 유포지 사이트별로 어떠한 특징들이 나타나는지를 도출하고, 이에 대한 대응방안을 고찰하고자 한다.

Abstract ▼ AI-Helper

Recently, malicious code distribution of ransomware through a web site based on a drive-by-download attack has resulted in service disruptions to the web site and damage to PC files for end users. Therefore, analyzing the characteristics of the target web site industry, distribution time, application type, and type of malicious code that is being exploited can predict and respond to the attacker's attack activities by analyzing the status and trend of malicious code sites. In this paper, we will examine the distribution of malicious codes to 3.43 million websites in Korea to draw out the characteristics of each detected landing site, exploit site, and distribution site, and discuss countermeasures.

주제어

표/그림 (16)

그림 Fig. 1. Landing Site Detect Count (2018)
그림 Fig. 2. Distribution Site Detect Count (2018)
그림 Fig. 3. Drive by Download Attack
그림 Fig. 4. Architecture of Malicious Web Site Detect
표 Table 1. Malicious Web Site Detect Count(URL)
그림 Fig. 5. Re-Infected Landing Site Count (Domain)
그림 Fig. 6. Landing Site Average Measure Time
그림 Fig. 7. Landing Site Industrial ClassificationTOP10
그림 Fig. 8. Landing Site Day Classification
그림 Fig. 9. Landing Site Time Classification
그림 Fig. 10. Exploit Site Vulnerability
그림 Fig. 11. Exploit Site Application Vulnerability
그림 Fig. 12. Malware Type Classification
그림 Fig. 13. Malware Network Communication NationTOP10
표 Table 2. Infected PC Calculation
표 Table 3. Loss Cost Calculation

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

악성코드 경유지 사이트는 악성코드 유포지까지 연결되어지는 최초 접속 사이트이기 때문에 신속한 탐지와 함께 조치 대응이 필요하다. 그렇다면 악성코드 경유지 사이트를 통해 악성코드를 유포하는 것이 얼마나 많은 피해손실을 발생시키는지 알아보고자 한다.
악성코드 유포 사이트로 인한 피해손실이 큰 만큼 악성코드 유포 사이트에 대한 대응이 필요하다. 본 논문에서는 각 구간별 악성코드 경유지 사이트, 익스 플로잇 사이트, 악성코드 유포지 사이트로 나누어 앞서 도출한 악성코드 유포현황과 특징을 근거로 대응 방안을 고찰하고자 한다.
본 논문에서는 국내 343만개의 웹사이트를 대상으로 악성코드 유포여부를 점검하여 탐지된 악성코드 경유지 사이트, 익스플로잇 사이트, 악성코드 유포지 사이트별로 특징들을 알아보고 이에 대한 대응방안을 고찰하고자 한다.
본 연구에서는 국내 343만개 웹사이트를 대상으로 정적 분석 및 동적 분석을 통해 2014년 1월부터 2018년 6월까지 탐지된 결과를 기반으로 악성코드 경유지 사이트, 익스플로잇 사이트, 악성코드 유포지 사이트로 구분하여 각 구간별로 어떤 현황이 나타나는지 분석해 보았다. 악성코드 경유지 사이트에서는 탐지된 경유지 사이트 도메인에 대해 평균 17.
PC정보를 탈취하기 위한 것은 이용자들이 사용하고 있는 PC 환경을 파악하기 위한 것이다. 이용자 PC에 어떠한 어플리케이션이 설치되어져 있는지 파악하여 익스플로잇 사이트에서 악용할 취약점 공격코드를 선별하기 위한 용도와 이용자 PC에 설치된 악 성코드가 이용자가 잘 인지하지 못하도록 하거나 백신에 탐지되지 않도록 하기 위해 PC 환경을 파악하여 추후 악성코드를 제작할 때 반영하기 위한 목적으로 볼 수 있다.

제안 방법

따라서, 웹서버 내에 서버 사이드의 언어 파일이 아닌 이용자 PC에서 실행 가능한 PE (Portable Executable) 파일이 존재하는지를 점검해 보면 된다. PE 파일에는 실행계열(EXE, SC R), 라이브러리 계열(DLL, OCX, CPL, DRV), 드라이버 계열(SYS, VXD)이 있으며, 여기에 해당하는 확장자 파일이 웹서버 내에 존재하는지를 자동화된 스크립트를 작성하여 주기적으로 1시간 또는 1일 단위로 점검하는 방법을 제안한다.
둘째, 익스플로잇 사이트의 경우, 공격자는 웹 익스플로잇툴킷을 사용하여 취약점 공격코드를 파일로 생성하여 익스플로잇 사이트의 웹서버에 업로드 하므로, 웹사이트 관리자는 운영하는 웹서버 내의 디렉토리 또는 파일이 신규로 추가 생성 되었는지 확인해보는 것이 중요하다. 그러므로 해킹되기 이전에 정상적으로 운영 중인 웹서버의 디렉토리 및 파일에 대해 해시(Hash)값을 추출하여 주기적으로 1시간 또는 1일 단위로 비교 검증함으로써 위변조 유무를 확인하는 방법을 제안한다. 셋째, 악성코드 유포지 사이트의 경우, 악성코드 경유지 사이트나 익스플로잇 사이트와는 달리 최종적인 악성코드 샘플을 다운로드 하기 위한 사이트로 악용되는 곳이다.
동적 분석은 윈도우의 가상화 환경에 파일생성․ 수정․삭제, 레지스트리 생성․수정․삭제, 네트워크 행위를 후킹(hooking)하여 모니터링 할 수 있도록 구축하였으며, 자바, 어도비 플래시 플레이어, 실버 라이트가 설치된 상태에서 웹브라우저(internet explorer)로 점검 도메인을 방문하였을 때 가상화 PC에 자동으로 악성코드가 다운로드 되는지를 확인 하였다.
악성사이트 시그니처는 구글의 세이프 브라우징 및 마이크로소프트 윈도우 인터넷 익스플로러의 스마트스크린 필터에 적용되는 악성사이트 정보를 구글 및 마이크로소프트로부터 각각 제공받아 적용하였다. 또한 동적 분석을 통해 탐지된 악성사이트 정보를 정적 분석의 시그니처로 활용하였다.
본 논문에서는 [8]논문에서 분류한 대분류 10개 와는 달리 랭키닷컴 사이트의 카테고리 분류를 기반으로 좀 더 세분화하여 대분류 23개, 중분류 210개, 소분류 1,255개의 업종으로 구분하였으며, 탐지된 악성코드 경유지 사이트에 대해 소분류에 해당하는 업종을 매핑 함으로써, 대분류로만 업종을 분류하였을 때보다 명확히 어떠한 웹사이트들을 대상으로 악성코 드 경유지로 악용되고 있는지가 한눈에 파악되었다.
본 논문에서는 국내 343만개 웹사이트를 대상으로 2014년 1월부터 2018년 6월까지 악성코드 유포 여부를 한국인터넷진흥원의 악성코드 탐지 시스템을 통해 정적 분석과 동적 분석으로 탐지된 결과를 이용하였고, 악성코드 경유지 사이트, 익스플로잇 사이 트, 악성코드 유포지 사이트로 구분하여 각 사이트별 탐지 현황에 따라 어떤 특징들이 나타나는지 분석하였다.
악성코드 감염률과 악성코드 경유지 사이트에 대한 일평균 접속자수를 산정하기 위해, 마이크로소프 트 인텔리전스 보고서와 랭키닷컴 사이트의 일평균 방문자수의 정보를 활용하여 Table 2.와 같이 악성 코드 감염 PC 수를 산정하였다. 2017년 1분기 Mi crosoft Security Intelligence Report(Volum e 22)에 따르면, 한국의 악성코드 평균 감염률을 9.
웹 기반 악성코드 유포공격의 특성 분석[9] 논문에서는 악용된 취약점 공격코드, 타깃 대상에 대해서만 제시하였으나, 본 논문에서는 익스플로잇 사이트에서 악성코드를 감염시키기 위한 취약점 공격코드들이 얼마나 사용되고 있는지와 2014년부터 2018년까지 계속 악용되고 있는 취약점 공격코드들을 분석하 였다.
웹 크롤러를 통해 웹사이트 소스코드를 다운로드 하여 소스코드 내에 외부 웹사이트나 외부 스크립트 를 호출하는 HTML 태그(iframe, script, link) 및 자바 스크립트 태그를 파싱하여 25,221개의 악성 사이트 시그니처(블랙리스트)와 비교하였으며, 웹사이트 점검 시 메인 페이지뿐만 아니라 하위 페이지에 대한 최대 깊이 4뎁스까지 설정하여 매일 4회 점검 하였다. 하위 페이지의 최대 깊이 설정을 한 것은 웹 사이트 점거 시 HTML 태그 및 자바 스크립트 태그를 파싱하여 링크를 추적하는 것이 무한 루프화 되 는 것을 방지하기 위함이며, 하위 페이지 깊이가 4 뎁스까지 미치지 못하는 웹사이트는 구축되어진 깊이 만큼만 점검하고 그 다음의 웹사이트로 이동하여 점검하게 된다.

대상 데이터

악성사이트 시그니처는 구글의 세이프 브라우징 및 마이크로소프트 윈도우 인터넷 익스플로러의 스마트스크린 필터에 적용되는 악성사이트 정보를 구글 및 마이크로소프트로부터 각각 제공받아 적용하였다. 또한 동적 분석을 통해 탐지된 악성사이트 정보를 정적 분석의 시그니처로 활용하였다.
웹사이트를 점검하기 위해 343만개에 대한 시드(seed) 도메인에 대해서는 한국인터넷진흥원이 보유하고 있는 ccTLD(.kr) 및 한글 도메인(.한국) 2,2 84,821개와 베리사인(VeriSign)으로부터 제공받은 전 세계 gTLD(generic Top Level Domain) 도메인(.com, .net, .name 등) 160,110,213개 중 국내 소재 IP인 도메인 1,149,708개를 추출하여 점검하였다.
익스플로잇 사이트에서는 2014년 1월부터 2018 년 6월까지 총 34개의 취약점 공격코드가 사용되었다. 매년 평균 2,715개의 익스플로잇 사이트가 발생 되는 것으로 파악되었으며, 악성코드 샘플 1개를 유포하기 위해 익스플로잇 사이트는 평균 4개가 사용 되는 것으로 나타났다.

성능/효과

의 경우, 2014년부터 2018년 6월까지 탐지된 익스플로잇 사이트에 대한 취약점 공격코드들을 분석한 결과, 총 34개의 취약점들이 사용되었음을 알 수 있었으며, 이런 취약점들은 단독으로 사용되기 보다는 악성코드 감염 성공률을 높이기 위해 취 약점을 복합적으로 사용하였다. Table 1.에서 본 것처럼 악성코드 샘플 1개를 유포하기 위해 익스플로잇 사이트는 평균적으로 4개가 악용되었으며, 34개의 취약점을 복합적으로 사용하여 매년 평균 2,715개의 익스플로잇 사이트를 발생시킨 것으로 확인되었다.
3%가 재악용되고 있었으며, 탐지 이후에 조치하는데까지 356시간(14일)이 소요되었다. 공격자로부터 가장 많이 타깃이 된 업종은 피부과(건강/의학) 부문으로 19%로 파악되었다. 일주일 중 월요일이 감염이 높은 요일이었으며, 시간대로는 18시～21시경이 가장 위험한 시간대로 분석되었다.
악성코드가 외부 도메인 또는 IP에 대해 가장 많이 네트워크 통신이 발생한 국가는 미국으로 60%로 가장 높게 나타났다. 그 이외에도 홍콩 13%, 한국 9%, 중국 7% 순으로 나타났으며, 한국 도 명령제어 서버와의 네트워크 통신의 발생이 미국을 제외한다면 높은 비율을 차지하고 있는 것으로 파악되었다.
와 같다. 금융정보 탈취 악성코드가 55%로 가장 많았으며, 그 이외에도 드롭퍼 7%, 원격제어 7%, 파밍 6% 순으로 나타났다.
둘째, 점검 방식에서도 동적 분석만을 사용하여 탐지하는 것보다는 정적 분석과 혼용하여 하위 페이지까지 깊이 있게 점검하는 것이 탐지율이 높은 것으로 파악되었다.
악성코드 경유지 사이트는 악성코드 유포에 최초로 이용자가 접속되는 구간이기 때문에 악성코드 경유지 사이트에 대한 탐지 및 조치 대응이 중요하다고 할 수 있다. 따라서 2014년 1월부터 2018년 6월까지 악성코드 경유지 사이트에 대한 손실비용을 산정한 결과 총 13억 5천만원의 피해손실 비용이 발생한 것을 파악할 수 있었다.
7%)로 제시하여 악성코드 감염은 주말에 더 자주 발생할 것이라는 가설을 기각하고 있으나, 본 논문에서의 요일별 통계의 경우, 일요일의 경우도 평일과 유사하게 높은 비율을 점유하고 있으며, 주말인 토요일과 일요일을 합하였을 경우, 30%에 육박한다. 따라서 사례기반 악성코드 유포 사이트 특성 분석 논문에서 제시한 주말에 악성코드 감염이 자주 발생하지 않는다는 것과는 상반되는 것을 알 수 있다.
매년 평균 2,715개의 익스플로잇 사이트가 발생 되는 것으로 파악되었으며, 악성코드 샘플 1개를 유포하기 위해 익스플로잇 사이트는 평균 4개가 사용 되는 것으로 나타났다. 또한, 취약점 공격 코드에 대해 어플리케이션별로 분류한 결과 자바(java)관련 취약점이 45%로 가장 많이 악용되었다.
익스플로잇 사이트에서는 2014년 1월부터 2018 년 6월까지 총 34개의 취약점 공격코드가 사용되었다. 매년 평균 2,715개의 익스플로잇 사이트가 발생 되는 것으로 파악되었으며, 악성코드 샘플 1개를 유포하기 위해 익스플로잇 사이트는 평균 4개가 사용 되는 것으로 나타났다. 또한, 취약점 공격 코드에 대해 어플리케이션별로 분류한 결과 자바(java)관련 취약점이 45%로 가장 많이 악용되었다.
그러므로 해킹되기 이전에 정상적으로 운영 중인 웹서버의 디렉토리 및 파일에 대해 해시(Hash)값을 추출하여 주기적으로 1시간 또는 1일 단위로 비교 검증함으로써 위변조 유무를 확인하는 방법을 제안한다. 셋째, 악성코드 유포지 사이트의 경우, 악성코드 경유지 사이트나 익스플로잇 사이트와는 달리 최종적인 악성코드 샘플을 다운로드 하기 위한 사이트로 악용되는 곳이다. 따라서, 웹서버 내에 서버 사이드의 언어 파일이 아닌 이용자 PC에서 실행 가능한 PE (Portable Executable) 파일이 존재하는지를 점검해 보면 된다.
악성코드 유포지 사이트에서 악성코드 유형으로 금융정보 탈취 악성코드가 55%로 가장 많았으며, 그 이외에도 드롭퍼 7%, 원격제어 7%, 파밍 6% 순으로 나타났다. 악성코드 기능이 동작할 때 미국이 외부의 명령제어 서버와의 네트워크 통신이 가장 빈 번히 발생하는 것으로 확인되었다.
악성코드 유포지 사이트에서 악성코드 유형으로 금융정보 탈취 악성코드가 55%로 가장 많았으며, 그 이외에도 드롭퍼 7%, 원격제어 7%, 파밍 6% 순으로 나타났다. 악성코드 기능이 동작할 때 미국이 외부의 명령제어 서버와의 네트워크 통신이 가장 빈 번히 발생하는 것으로 확인되었다.
9%가 재악용 되어 가장 높게 나타났으며, 그 이후에는 점차 감소하였다. 전체 5년간 평균을 산정하였을 때에는 탐지된 경유지 사이트 도메인에 대해 17.3%가 재악용된 것으로 파악되었다.
와 같이 18시부터 21시 사이에 악성코드 경유지 사이트가 가장 많이 탐지되었다. 즉, 토요일에서 월요일까지 18시부터 21시 사이에 악성코드 경유지 사이트로 악용이 많이 되고 있는 결과가 도출되었다.
본 논문에서 악성코드 재악용 비율이 낮게 측정되는 이유는 탐지된 악성코드 경유지 사이트에 대한 빠른 조치 대응 여부에 달려 있다. 탐지된 모든 악성코드 경유지 사이트에 대해 웹사이트 관리자에게 메일 및 유선으로 연락하여 악성코드 유포 사실에 대한 정황을 인지시켜 주고 조치하도록 요청한 결과, 웹사이트 관리자는 악성코드 경유지 사이트에 삽입된 악성 스크립트를 삭제 및 근본적인 웹 취약점까지 제거함으로써 공격자의 재악용 빈도가 줄어든다는 것이다.

후속연구

본 논문에서는 국내 343만개 웹사이트의 도메인에 대해 이름순으로 순차대로 점검을 하였지만, 향후에는 머신러닝 기술을 도입하여 악성코드 경유지 사이트, 익스플로잇 사이트, 악성코드 유포지 사이트에 대해 기존에 탐지된 이력이 있거나 신규 생성된 도메인 및 악성으로 의심되는 도메인에 대해 점검 우선순위를 자동 조정하여 모니터링 하는 방안을 지속적으로 연구할 예정이다.
현재에도 드라이브 바이 다운로드 기반의 웹사이트 악성코드 유포는 계속 되고 있으며, 신규 취약점을 악용하거나 신규 및 변종의 악성코드가 유포됨에 따라 이를 탐지하고 모니터링하는 기술에 대한 연구가 꾸준히 진행되어야 할 것이다.

질의응답

핵심어	질문	논문에서 추출한 답변
	정적 분석의 정의는 무엇인가?	정적 분석은 동시에 많은 웹사이트를 점검하기 위해 병렬구조의 멀티쓰레드 방식으로 웹 크롤러가 실행된다.
	악성코드가 유포되는 경로는 어떠한 것들이 있는가?	악성코드를 유포하는 경로는 웹사이트, 전자메일, SNS, 이동형 저장장치 등 다양하게 존재한다. 그중에서도 웹사이트를 통한 악성코드 유포는 인터넷의 사용이 급격히 증가하면서부터 큰 위협으로 나타나고 있다.
	악성코드 경유지 사이트 중 의료 관련 웹사이트에 대해 주의해야 하는 이유는 무엇인가?	첫째, 악성코드 경유지 사이트 중 가장 많이 타깃이 되고 있는 의료 부문의 웹사이트에 대해 각별히 신경 써야 한다. 의료 관련 웹사이트의 경우 민감한 환자정보와 의료정보가 기록․보관되어 있어, 해킹을 통한 의료정보 탈취는 인명사고로도 이어질 수 있으며, 심각한 사생활 침해까지 발생할 수 있어 높은 보안성이 요구된다. 의료정보가 중요한 만큼 정보보호 관리체계를 도입 및 운영하기 위한 노력이 필요함에 따라 2016년 6월 2일부터 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 의해 세입이 1천500억 이상인 의료법상 상급종합병원은 정보보호관리체계(ISMS) 인증을 받도록 의무화하고 있다.

참고문헌 (12)

Korea Internet & Security Agency, "Internet Statistics Information System," https://isis.kisa.or.kr/statistics/?pageId020201
Korea Internet & Security Agency, "2018 Malicious Site Detect Trend Report," https://www.boho.or.kr/data/reportView.do?bulletin_writing_sequence27428&queryStringcGFnZT0xJnNvcnRfY29kZT0mc2VhcmNoX3NvcnQ9dGl0bGVfbmFtZSZzZWFyY2hfd29yZD0
Korea Internet & Security Agency, "WannaCry Analysis Special Report," https://www.boho.or.kr/data/reportView.do?bulletin_writing_sequence26747
Yoo Donghyun, "Web Crawler Design for Collection of Malwares Distributed for Drive by download Attacks," Master's thesis, Soonchunhyang University, 2017
Byung-Ik Kim and Joo-Hyung Oh and Chae-tae Im and Hyun-Chul Jung, "Suspicious Malicious We Site Detection with Strength Analysis of a Javascript Obfuscation," KR Patent, KR101060639B1, 2011
Korea Internet & Security Agency, "Study on Spreading Pattern Analysis Method of Malicious code Hidden in Hongpage," KISA-WP-2010-0037, 2010
Han Young-Il and Lee Tae-Jin and Park Hea-Ryong, "Structural and characteristic analysis of malware network," Proceedings of Symposium of the Korean Institute of communications and Information Sciences, pp. 1000-1002, 2014
Noh MyoungSun, "A Case-based Characterization of Malware Spreading Sites", Doctor's thesis, Chonnam National University, 2016
Yu Dae-Hun and Kim. Ji-Sang and Jo. Hye-Seon and Park. Hae-Ryong, "Characteristics Analysis of Malicious Code spread attack based on Web," The Journal of The Korean Institute of Communication Sciences, 31(5), pp. 15-19, 2014
Microsoft, "Microsoft Security Intelligence Report," http://download.microsoft.com/download/F/C/4/FC41DE26-E641-4A20-AE5B-E38A28368433/Security_Intelligence_Report_Volume_22.pdf
News1Korea, "Last judgment of personal information leakage case by credit card 3 company 100 thousand won in total per person," http://news1.kr/articles/?2731638
Chosunbiz, "law, Homeplus, and personal information leakage customers," http://news.chosun.com/site/data/html_dir/2018/01/18/2018011801507.html

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증