페이지 | 2

목차

Part Ⅰ 1 월의 악성코드 통계 ...................................................................................................... 3

1. 악성코드 통계 .................................................................................................................................................................... 3

(1) 감염 악성코드 Top 15 ............................................................................................................................................ 3

(2) 카테고리별 악성코드 유형 .................................................................................................................................... 4

(3) 카테고리별 악성코드 비율 전월 비교 ............................................................................................................. 4

(4) 월별 피해 신고 추이 ............................................................................................................................................... 5

(5) 월별 악성코드 DB 등록 추이 .............................................................................................................................. 5

2. 악성코드 이슈 분석 – “CVE-2012-4792” .............................................................................................................. 6

(1) 개요 .................................................................................................................................................................................. 6

(2) 행위 분석....................................................................................................................................................................... 7

(3) 결론 ............................................................................................................................................................................... 11

3. 허니팟/트래픽 분석 ...................................................................................................................................................... 12

(1) 상위 Top 10 포트 .................................................................................................................................................. 12

(2) 상위 Top 5 포트 월별 추이 .............................................................................................................................. 12

(3) 악성 트래픽 유입 추이 ........................................................................................................................................ 13

4. 스팸 메일 분석 ............................................................................................................................................................... 14

(1) 일별 스팸 및 바이러스 통계 현황 ................................................................................................................. 14

(2) 월별 통계 현황 ........................................................................................................................................................ 14

(3) 스팸 메일 내의 악성코드 현황........................................................................................................................ 15

Part Ⅱ 보안 이슈 돋보기 .......................................................................................................... 16

1. 1 월의 보안 이슈 ............................................................................................................................................................ 16

2. 1 월의 취약점 이슈 ....................................................................................................................................................... 18

페이지 | 3

Part Ⅰ 1월의 악성코드 통계

1. 악성코드 통계

(1) 감염 악성코드 Top 15

[2013년 01월 01일 ~ 2013년 01월 31일]

순위 악성코드 진단명 카테고리 합계

(감염자수)

1 ↑2 Gen:Variant.Kazy.125570 Etc 4,418

2 ↓1 Spyware.OnlineGames.wsxp Spyware 4,216

3 New Trojan.Dropper.OnlineGames.wsxp Trojan 2,491

4 New Trojan.Generic.8520126 Trojan 2,415

5 New Gen:Variant.Symmi.6190 Etc 2,171

6 ↑2 Hosts.gms.ahnlab.com Host 1,810

7 ↑8 Trojan.Downloader.86016 Trojan 1,755

8 New Variant.Kazy.125570 Etc 1,691

9 New Gen:Trojan.Heur.PT.mmZ@aqbKtik Trojan 1,683

10 ↑3 Trojan.JS.Agent.HFM Trojan 1,610

11 New Gen:Trojan.Heur.GM.000C0200A0 Trojan 1,558

12 New Gen:Trojan.Heur.DP.omGfaWAMtudG Trojan 1,496

13 New Gen:Trojan.Heur.PT.mqZ@auDWbWo Trojan 1,490

14 New Gen:Trojan.Heur.PT.mqZ@auNWpHp Trojan 1,460

15 New Trojan.Generic.5663343 Trojan 1,370

※ 자체 수집, 신고된 사용자의 감염통계를 합산하여 산출한 순위임

감염 악성코드 Top 15는 사용자 PC에서 탐지된 악성코드를 기반으로 산출한 통계입니다.

1월의 감염 악성코드 TOP 15에서는 지난달 3위를 차지했던 Gen:Variant.Kazy.125570이 새롭게 1

위를 차지하면서 지난 9월부터 4달 연속으로 1위를 차지했던 온라인게임 계정탈취 악성코드인

Spyware.OnlineGames.wsxp를 2위로 밀어냈습니다. Gen:Variant.Kazy.125570의 경우 윈도우 시스템

파일인 ws2help.dll을 감염시키고 추가적인 정보탈취를 하는 악성코드를 다운로드하고 실행하는

악성코드입니다. 새롭게 3위를 차지한 Trojan.Dropper.OnlineGames.wsxp는 게임계정탈취 악성코드

를 드롭시키는 악성코드입니다. 1,2,3위 모두 온라인게임계정탈취를 노리는 악성코드와 관련이 있

는 악성코드이며 이들은 게임계정탈취뿐만 아니라 온라인금융결제 정보 탈취도 함께 노릴 수 있

다는 점에서 주의해야 합니다.

페이지 | 4

(2) 카테고리별 악성코드 유형

악성코드 유형별 비율에서 트로이목마(Trojan) 유형이 가장 많은 55%를 차지했으며, 기타(ETC)

유형이 26%로 2위를 차지했습니다. 스파이웨어(Spyware) 유형의 경우 13%로 3위의 점유율을

보였습니다.

(3) 카테고리별 악성코드 비율 전월 비교

1월에는 지난 12월과 비교하여 트로이목마(Trojan) 유형의 악성코드 비중이 대폭 증가하였습니다.

기타(ETC)유형의 악성코드는 1% 상승하였으며 호스트파일(Host) 감염 악성코드는 지난달과 유사

한 수치를 보였습니다.

트로이목마

(Trojan)

55%

스파이웨어

(Spyware)

13%

기타 (Etc)

26%

호스트파일

(Host)

6% 트로이목마 (Trojan)

스파이웨어 (Spyware)

애드웨어 (Adware)

취약점 (Exploit)

웜 (Worm)

기타 (Etc)

백도어 (Backdoor)

바이러스 (Virus)

하이재커 (Hijacker)

호스트파일 (Host)

26%

6%

0%

0%

0%

0%

0%

0%

13%

55%

25%

6%

0%

0%

0%

5%

0%

7%

17%

40%

0% 20% 40% 60% 80% 100%

기타(Etc)

호스트파일(Host)

백도어(Backdoor)

바이러스 (Virus)

취약점(Exploit)

웜 (Worm)

하이재커(Hijacker)

애드웨어(Adware)

스파이웨어 (Spyware)

트로이 목마 (Trojan)

12월

1월

페이지 | 5

(4) 월별 피해 신고 추이

[2012년 02월 ~ 2013년 01월]

※ 알약 사용자의 신고를 합산에서 산출한 결과임

월별 피해 신고추이는 알약 사용자의 신고를 합산해서 산출한 결과로써, 월별 신고 건수를 나타

내는 그래프입니다. 알약 2.0의 신고기능에 의해 접수된 피해 문의 신고는 1월은 12월에 비해 약

간의 상승폭을 보였습니다. 가장 많이 신고된 것은 역시 백신실행방해&계정탈취 악성코드였습니

다.

(5) 월별 악성코드 DB 등록 추이

[2012년 02월 ~ 2013년 01월]

2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월 1월

201202 201203 201204 201205 201206 201207 201208 201209 201210 201211 201212 201301

Adware Spyware Hijacker KeyLogger

Exploit RAT Trojan Worm

Backdoor Downloader Dropper Misc

페이지 | 6

Part Ⅰ 12월의 악성코드 통계

2. 악성코드 이슈 분석 – “CVE-2012-4792”

(1) 개요

Internet Explore(이하 IE) 6, 7, 8 버전에서 원격 코드 실행 취약점이 발견 되었다. 해당 취

약점은 할당이 해제 되거나 혹은 제대로 할당 되지 않은 메모리 개체에 IE가 Access 하

는 방식에 존재하는 취약점이다.

Figure 1. 순서도

분석 대상은 ShellCode를 동작시키기 위해 Heap Spary Code가 포함 된 “swf” 파일을

사용 했으며 악성파일을 다운로드 하고 동작시킨다.

페이지 | 7

(2) 행위 분석

① Helps.html

해당 “html”이 로드 되게 되면 “news.html”, “today.swf” 등의 파일을 동작시킨다.

Figure 2. 언어 체크

IE의 버전과 사용 언어를 체크한다. 중국어, 영어, 대만어, 일본어, 러시아어, 한국어 일 경

우에만 동작 하도록 되어 있다.

Figure 3. 다른 파일 로드

“xsainfo.jpg” 파일을 다운로드 하며 CallBack 함수로 [Figure 3] 과 같은 구문을 동작 시켜

다른 악성 파일들을 호출한다.

페이지 | 8

② news.html

해당 파일은 Encoding 된 “robots.txt” 파일을 Decoding 하고 동작시킨다.

Figure 4. “robots.txt” 디코딩

Decoding 된 “robots.txt” 은 [Figure 5]와 같다.

Figure 5. 디코딩 된 “robots.txt”

페이지 | 9

③ today.swf

“Helps.html”에 의해 로드 되는 해당 파일은 버전 및 언어별로 ShellCode와 Heap Spray

Code를 가지고 있다.

Figure 6. today.swf 내용

“Heap Spary Overflow”를 이용해 쉘코드를 삽입하고 동작시키며 쉘코드는 Encoding 되어

있는 “Xasinfo.jpg” 를 Decoding 하고 %TEMP% 폴더에 “flowertep.jpg” 파일로 생성한다.

④ flowertep.jpg

“Xasinfo.jpg” 는 “0x83” 으로 Xor Encoding(0x00제외) 되어 있는 상태며 Decoding 된 이

후에는 “flowertep.jpg” 로 생성 된다.

Figure 7. (좌)Xasinfo.jpg (우)flowertep.jpg

페이지 | 10

디코딩 된 파일은 “jpg”가 아닌 “dll”(PE) 파일 이며 동작하게 되면 악성파일을 생성시키고

동작시킨다.

Figure 8. 파일 생성

자신의 리소스 중 일부를 TEMP 폴더의 ”shiape.exe” 파일로 생성하고 동작 시킨다.

Figure 9. thumbs.db 실행

“shiape.exe” 파일 또한 “thumbs.db” 파일을 생성 하고 “rundll32.exe”로 “CryptServiceMain”

함수를 호출 하며 자신은 곧바로 삭제 한다.

Figure 10. 특정 호스트 접속 시도

“thumbs.db” 는 특정 호스트에 접속을 시도 하지만 분석 시점엔 정상적인 통신이 이루어

지지 않았다. POST 로 파일을 업로드 하거나 다운로드 할 수 있는 코드를 포함하고 있다.

페이지 | 11

Figure 11. cmd 명령어 실행

이 외에도 cmd 명령어를 실행 하는 코드를 가지고 있으며 파일을 생성하고 실행하는 동

작을 할 것으로 추정된다.

(3) 결론

취약점에 대한 정식 보안 업데이트가 공개 되었으므로 아래의 링크를 참조해 IE의 패치를

설치하여야 한다. 아울러 많은 경우, 구 버전의 소프트웨어는 더 많은 보안상의 위험을 포

함하고 있으므로 가급적 최신버전의 브라우저를 사용하는 것이 좋다.

http://technet.microsoft.com/security/advisory/2794220

http://technet.microsoft.com/en-us/security/bulletin/MS13-008

페이지 | 12

Part Ⅰ 1월의 악성코드 통계

3. 허니팟/트래픽 분석

(1) 상위 Top 10 포트

(2) 상위 Top 5 포트 월별 추이

[2012년 11월 ~ 2013년 01월]

3306

60%

25

20%

1433

7%

3389

6%

23

4%

4899

1% 3306

25

1433

3389

23

4899

808

5900

22

6666

3306 1433 21 25 3389

2012년 11월

2012년 12월

2013년 1월

페이지 | 13

(3) 악성 트래픽 유입 추이

[2012년 08월 ~ 2013년 01월]

2012년 8월 2012년 9월 2012년 10월 2012년 11월 2012년 12월 2013년 1월

페이지 | 14

Part Ⅰ 1월의 악성코드 통계

4. 스팸 메일 분석

(1) 일별 스팸 및 바이러스 통계 현황

일별 스팸 및 바이러스 통계 현황 그래프는 하루에 유입되는 바이러스 및 스팸 메일의 개수를 나

타내는 그래프입니다. 1월의 경우 12월에 비해 바이러스가 포함된 메일 통계수치는 약 4% 가량

감소하였는데, 수집된 스팸 메일의 통계수치가 12월에 비해 약 2배 가까이 대폭 증가하였는데, 연

초에 유입량이 크게 증가한 것으로 보아 연말연시를 노린 스팸이 많았음을 알 수 있습니다.

(2) 월별 통계 현황

[2012년 08월 ~ 2013년 01월]

월별 통계 현황은 전체 악성메일 중 단순 스팸메일과 악성코드 첨부메일의 각 비율을 나타내는

그래프입니다. 1월에는 스팸 메일이 99.4%, 바이러스첨부 메일이 0.6%의 비율로 수신된 것으로

확인되었습니다.

0

50,000

100,000

150,000

200,000

250,000

300,000

350,000

400,0002013-1

-1

2013-1

-3

2013-1

-5

2013-1

-7

2013-1

-9

2013-1

-11

2013-1

-13

2013-1

-15

2013-1

-17

2013-1

-19

2013-1

-21

2013-1

-23

2013-1

-25

2013-1

-27

2013-1

-29

2013-1

-31

바이러스

스팸

97.0 97.4 96.6 97.0

98.9

99.4

3.0% 2.6% 3.4%

3.0%

1.1%

0.6%

0

200,000

400,000

600,000

800,000

1,000,000

1,200,000

1,400,000

8월 9월 10월 11월 12월 1월

바이러스

스팸

페이지 | 15

(3) 스팸 메일 내의 악성코드 현황

[2013년 01월 01일 ~ 2013년 01월 31일]ff

순위 악성코드 진단명 메일수[개] 비율[%]

1 W32/Mytob-C 2,206 30.58%

2 Mal/ZipMal-B 777 10.77%

3 W32/MyDoom-H 672 9.32%

4 W32/MyDoom-N 663 9.19%

5 W32/Virut-T 213 2.95%

6 W32/Netsky-P 109 1.51%

7 W32/Mytob-G 75 1.04%

8 Troj/Invo-Zip 65 0.90%

8 W32/Bagle-CF 65 0.90%

10 Troj/ZipMal-AW 64 0.89%

스팸 메일 내의 악성코드 현황은 1월 한달 동안 수신된 메일에서 발견된 악성코드 중 Top 10을

뽑은 그래프입니다. 현재 W32/Mytob-C가 30.58%의 비율로 9달 연속으로 1위를 차지하고 있으며,

지난달에 2위를 차지했던 Mal/ZipMal-B도 10.77%의 비율로 2위 자리를 지켰습니다. 3위 역시 지

난달에 이어 W32.MyDoom-H가 차지하였습니다.

특별히 새로 급상승한 악성코드는 보이지 않았으며, 12월 통계와 그 비율 정도만 다를 뿐 전체적

인 순위는 유사한 형태를 보였습니다. 1월의 전체 메일량이 12월에 비해 대폭 증가했음에도 불구

하고 12월에 전체적으로 증가했던 스팸메일 내의 악성코드가 1월 들어서는 다소 감소하였습니다.

페이지 | 16

Part Ⅱ 보안 이슈 돋보기

1. 1월의 보안 이슈

파밍이 금융보안의 이슈로 떠오르고 있는 가운데 농협이 파밍예방 서비스를 선보였습니다.

그 외에 신종 SMS피싱 주의보, 멀웨어 '붉은10월' 발견, 중국 스마트폰 100만대에서 '봇넷

'악성코드 발견, 모바일 무료쿠폰 메세지 요금폭탄 주의보 건 등이 1월의 이슈가 되었습니

다.

• 농협, 파밍 예방 '나만의 은행주소 서비스' 개발

최근 파밍 피해가 늘어나고 있는 가운데, NH농협은행이 이러한 파밍을 예방하기 위하여 '

나만의 은행주소 서비스'를 개발하였습니다. '나만의 운행주고 서비스'는 고객이 인터넷뱅

킹 주소를 직접 만들어 사용하는 것으로, 고객 한명을 위한 개인별 인터넷뱅킹 주소를 제

공하는 서비스입니다. 이렇게 나만의 은행주소로 인터넷 뱅킹에 접속할 경우 악성코드를

이용한 파밍 시도가 원천 차단됩니다.

• "25만원 결제 완료"... 신종 SMS피싱 주의보

한국전화결제산업협회(이하 전결협)는 소액결제가 됬다고 허위로 문자메세지를 보내는 방

식의 신종 피싱이 발생하고 있어 주의를 요한다고 하였습니니다. 이러한 피싱사기는 휴대

폰 결제가 됐다는 허위 문자메세지를 무작위로 발송한 후, 결제한 적이 없는 이용자들이

문의전화를 하면 상담원이 결제를 취소해 주겠다며 이용자의 휴대폰에 보내진 SMS승인번

호를 물어보고 이를 이용하여 휴대폰 소액결제를 하는 방법입니다. 현재 이러한 피싱을

막는 방법은 사용자의 세심한 주의만이 최선입니다.'

• EU "구글, 반독점 위반"...미FTC와 정반대

유럽연합이 구글에 반독점법 위반소지가 있다며 시정명령을 내렸습니다. 이는 미국 연방

거래위원회(FTC)가 같은 사안을 두고 '무혐의'결론을 내렸던 것과는 대조적으로, 구글이 검

색결과에 자사 서비스를 먼저 보여주거나 부각시키는 것은 반독점법에 위반되는 행위로

검색결과 제시 방법을 바꿀것을 요구하였습니다. 만약 구글이 이 같은 권고를 받아들이지

않은 결루 막대한 벌금을 물게 됩니다.

• 멀웨어 '붉은10월' 발견

카스퍼스키랩은 정부인사 등 주요기관을 노린 멀웨어 붉은10월이 5년째 활동하고 있다고

발표하였습니다. 이 '붉은10월'은 '로크라'라고도 불리며, 주로 동유럽 기관과 중앙아시아

국가들을 노린 공격을 감행해 왔다고 하였습니다. 또한 이 멀웨어는 주로 이메일을 통하

여 '스피어피싱'공격을 감행하며, 주로 정부 고위관료, 유명인 등 특정인을 노려 정보를 탈

취합니다. 카스퍼스키랩은 '붉은10월이 모바일 기기, 컴퓨터 시스템, 네트워크 장비 등에서

정보를 수집해 왔으며, 여전히 활동 중'이라고 하였습니다.

페이지 | 17

• 중국 스마트폰 100만대에서 '봇넷'악성코드 발견

중국에서 100만여대가 봇넷 악성코드에 감염되었다고 신화통신이 발표하였습니다. 이 악

성코드는 주로 서드파티마켓을 통하여 배포됩니다. 중국 보안회사 킹소프트 두바는 지난

해 불분명한 앱장터에서 다운로드한 앱 가운데 7000개 이상이 트로이목마 바이러스에 감

염되었다고 밝혔으며, 트로이목마바이러스는 사용자들의 스마트폰에서 지속적으로 활동하

면서 봇넷의 성장을 돕고있다고 추정하였습니다.

• 모바일 무료쿠폰 메세지 요금폭탄 주의보

최근 스마트폰에 무료쿠폰이 도착했다는 문자를 클릭했다가 휴대폰 요금이 25-30만원 청

구됬다는 소비자들의 피해가 늘어나고 있습니다. 주로 해커들이 햄버거, 치킨, 아이스크림

등 외식상훔의 무료쿠폰을 가장하여 특정 URL이 포함된 문자메세지를 소비자에게 발송하

고, 이 URL을 소비자가 클릭하면 악성코드가 휴대폰에 설치됩니다. 이 악성코드는 인증번

호를 가로채 소액결제를 하며, 주로 사이버머니를 구입한 후 되팔아 현금화합니다.

• CCTV로 ATM 비밀번호 훔쳐볼수도...

최근 CCTV가 네트워크카메라로 대체되면서 보안에 허점이 생겼습니다. 초창기 CCTV는 말

그대로 폐쇄회로 TV여서 카메라와 관제시설이 건축 내부에서 동축 케이블로 연결 되 외

부에서는 접근이 불가능 했습니다. 하지만 네트워크 카메라는 인터넷망으로 연결되어 있

으며, CCTV를 관리하는 인터넷 사이트만 뚫으면 손쉽게 원하는 영상을 훔쳐볼 수 있습니

다. 이는 범죄에 악용될 가능성이 매우 높으며, 이제는 어떻게 하면 더 철저하게 보안을

유지해야 할지 고민할 때입니다.

• 구글, 300만달러 걸고 크롬OS 해킹대회

구글이 오는 3월 캐나다 벤쿠버에서 크롬OS해킹대회를 열 계획이라고 보도하였습니다. 구

글 해킹대회는 이전과 달리 크롬 OS에 초점을 맞췄으며, 포상금의 액수 또한 늘렸습니다.

구글은 해킹대회를 통하여 크롬 OS의 보안 취약점을 찾을 계획이며, 이는 크롬 OS의 보

안 강화기능에 대한 의지를 나타내기도 합니다.

• 자바 보안 취약점 가시화, 국내도 위험

오라클이 홈페이지 구축에 널리 사용되고 있는 프로그래밍 언어 자바에 대한 보안취약점

을 개선한 '자바7 업데이트 11'을 공개했으나 이에 대한 경고가 지속되고 있습니다. 미국

국토안보부가 자바의 위험성을 경고하며 사용자들에게 당분간 이를 사용하지 말도록 권고

하고 있으며, 애플도 맥OS X운영체제에서 자바7 플러그인을 사용하지 말도록 조치하고 있

는 실정입니다. 국내에서도 홈페이지를 구축하기 위하여 자바가 사용되고 있으며, 자바 없

이는 웹서버 구축이 어려운 상태로 한국도 이러한 자바의 보안취약점에 대한 공격에서 자

유롭지 못한 상황입니다.

페이지 | 18

2. 1월의 취약점 이슈

• Microsoft 1월 정기 보안 업데이트

Windows 인쇄 스풀러 구성 요소의 취약점으로 인한 원격 코드 실행 문제, Microsoft XML

Core Services의 취약점으로 인한 원격 코드 실행 문제, System Center Operations

Manager의 취약점으로 인한 권한 상승 문제, .NET Framework의 취약점으로 인한 권한 상

승 문제 해결 등을 포함한 Microsoft 1월 정기 보안 업데이트가 발표되었습니다.

<해당 제품>

• Windows XP

• Windows Vista

• Windows 7

• Windows 8

• Windows Server 2003

• Windows Server 2008

• Windows Server 2008 R2

• Windows Server 2012

Windows 인쇄 스풀러 구성 요소의 취약점으로 인한 원격 코드 실행 문제점(2769369)

이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점 1건을 해결합니다.

이 취약점으로 인해 인쇄 서버에서 특수하게 조작된 인쇄 요청을 받을 경우 원격 코드가

실행될 수 있습니다. 최선의 방화벽 구성 방법과 표준 기본 방화벽 구성을 이용하면 기업

경계 외부에서 들어오는 공격으로부터 네트워크를 보호할 수 있습니다. 인터넷과 직접 연

결되는 시스템의 경우 필요한 포트만 최소한으로 열어 두는 것이 안전합니다.

Microsoft XML Core Services의 취약점으로 인한 원격 코드 실행 문제점(2756145)

이 보안 업데이트는 비공개적으로 보고된 Microsoft XML Core Services의 취약점 2건을

해결합니다. 이 취약점들은 모두 사용자가 Internet Explorer를 사용하여 특수하게 조작된

웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있습니다. 공격자는 강제로 사용자가

이러한 웹 사이트를 방문하도록 만들 수 없습니다. 대신 공격자는 사용자가 전자 메일 메

시지 또는 인스턴트 메신저 메시지의 링크를 클릭하여 공격자의 웹 사이트를 방문하도록

유도하는 것이 일반적입니다.

System Center Operations Manager의 취약점으로 인한 권한 상승 문제점(2748552)

이 보안 업데이트는 비공개적으로 보고된 Microsoft System Center Operations Manager의

취약점 2건을 해결합니다. 이 취약점으로 인해 사용자가 특수하게 조작된 URL을 통해 영

향을 받는 웹 사이트를 방문할 경우 권한 상승이 허용될 수 있습니다. 공격자는 강제로

사용자가 이러한 웹 사이트를 방문하도록 만들 수 없습니다. 대신 공격자는 사용자가 전

자 메일 메시지 또는 인스턴트 메신저 메시지의 링크를 클릭하여 영향을 받는 웹 사이트

페이지 | 19

를 방문하도록 유도하는 것이 일반적입니다.

.NET Framework의 취약점으로 인한 권한 상승 문제점(2769324)

이 보안 업데이트는 .NET Framework에서 발견되어 비공개적으로 보고된 취약점4건을 해

결합니다. 이 중 가장 심각한 취약점은 사용자가 XAML 브라우저 응용 프로그램(XBAP)을

실행하는 웹 브라우저에서 특수하게 조작된 웹 페이지를 보는 경우 유발되는 권한 상승입

니다. 이 취약점은 CAS(코드 액세스 보안) 제한을 우회하기 위해 Windows .NET 응용 프

로그램에서 사용될 수도 있습니다. 이러한 취약점을 성공적으로 악용한 공격자는 로그온

한 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된

계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

Windows 커널 모드 드라이버의 취약점으로 인한 권한 상승 문제점 (2778930)

이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점 1건을 해결합니다.

이 취약점으로 인해 공격자가 특수하게 조작된 응용 프로그램을 사용할 경우 권한 상승이

허용될 수 있습니다.

Microsoft Windows의 취약점으로 인한 보안 기능 우회 (2785220)

이 보안 업데이트는 Microsoft Windows의 SSL 및 TLS 구현에서 비공개적으로 보고된 취

약점을 해결합니다. 이 취약점으로 인해 공격자가 암호화된 웹 트래픽 핸드셰이크를 가로

챌 경우 보안 기능을 우회할 수 있습니다.

Open Data 프로토콜의 취약점으로 인한 서비스 거부 (2769327)

이 보안 업데이트는 OData(Open Data) 프로토콜의 비공개적으로 보고된 취약점을 해결합

니다. 이 취약점으로 인해 인증되지 않은 공격자가 특수하게 조작된 HTTP 요청을 영향을

받는 사이트에 전송할 경우 서비스 거부가 발생할 수 있습니다. 최선의 방화벽 구성 방법

과 표준 기본 방화벽 구성을 이용하면 기업 경계 외부에서 들어오는 공격으로부터 네트워

크를 보호할 수 있습니다. 인터넷과 연결되는 시스템의 경우, 필요한 포트만 최소한으로

열어 두는 것이 안전합니다.

<해결방법>

Windows Update를 수행하거나 Microsoft 보안 공지 요약 사이트에서 해당 취약점들의 개

별적인 패치 파일을 다운로드 받을 수 있습니다.

한글 : http://technet.microsoft.com/ko-kr/security/bulletin/ms13-jan

영문 : http://technet.microsoft.com/en-us/security/bulletin/ms13-jan

페이지 | 20

• Adobe Flash Player 취약점 보안 업데이트 권고

Adobe社는 Adobe Flash Player에 발생하는 취약점을 해결한 보안 업데이트를 발표했습니

다. 공격자는 취약점을 이용하여 시스템을 멈추거나 시스템의 제어권한을 획득할 수 있으

므로 제품을 최신버전으로 업데이트 하시기 바랍니다.

- 코드실행으로 이어질 수 있는 버퍼오버플로우 취약점 (CVE-2013-0630)

<해당 제품>

• Adobe Flash Player 11.5.502.135 및 이전 버전

<해결 방법>

• 윈도우, Mac, 리눅스 환경의 Adobe Flash Player 사용자

Adobe Flash Player Download Center(http://get.adobe.com/kr/flashplayer)에 방문하여

Adobe Flash Player 최신 버전을 설치하거나, 자동 업데이트를 이용하여 업그레이드

• 윈도우8 버전에서 동작하는 인터넷익스플로러10 버전 사용자

윈도우 자동업데이트 적용

• 안드로이드 환경의 Adobe Flash Player 사용자

Adobe Flash Player가 설치된 안드로이드 폰에서 ‘구글 플레이 스토어’ 접속 → 메뉴 선택

→ 내 애플리케이션 선택 → Adobe Flash Player 안드로이드 최신 버전으로 업데이트 하

거나 자동업데이트를 허용하여 업그레이드

• 구글 크롬브라우저 사용자

크롬브라우저 자동업데이트 적용

• 윈도우, Mac 환경의 Adobe AIR 사용자

Adobe AIR Download Center(http://get.adobe.com/kr/air)에 방문하여 Adobe AIR 최신 버

전을 설치하거나, 자동 업데이트를 이용하여 업그레이드

• Adobe AIR SDK 사용자

(http://www.adobe.com/devnet/air/air-sdk-download.html)에 방문하여 Adobe AIR SDK 최

신 버전을 설치

• 안드로이드 환경의 Adobe AIR 사용자

Adobe AIR가 설치된 안드로이드 폰에서 ‘구글 플레이 스토어’ 접속 → 메뉴 선택 → 내

애플리케이션 선택 → Adobe AIR 안드로이드 최신

페이지 | 21

<참고사이트>

http://www.adobe.com/support/security/bulletins/apsb13-01.html

• Adobe Reader/Acrobat 신규 취약점 보안업데이트 권고

Adobe社는 Adobe Reader와 Acrobat에 영향을 주는 취약점을 해결한 보안 업데이트를 발

표했습니다. 낮은 버전의 Adobe Reader/Acrobat 사용자는 악성코드 감염에 취약할 수 있

으므로 해결방안에 따라 최신버전으로 업데이트 하시기 바랍니다.

-임의코드 실행으로 이어질 수 있는 메모리 손상 취약점 (CVE-2012-1530, CVE-2013-0601,

CVE-2013-0605, CVE-2013-0616, CVE-2013-0619, CVE-2013-0620, CVE-2013-0623)

-임의코드 실행으로 이어질 수 있는 ‘use-after-free’ 취약점(CVE-2013-0602)

-임의코드 실행으로 이어질 수 있는 힙오버플로우 취약점(CVE-2013-0603, CVE-2013-0604)

-임의코드 실행으로 이어질 수 있는 스텍오버플로우 취약점(CVE-2013-0610, CVE-2013-

0626)

-임의코드 실행으로 이어질 수 있는 버퍼오버플로우 취약점(CVE-2013-0606, CVE-2013-

0612, CVE-2013-0615, CVE-2013-0617, CVE-2013-0621)

-임의코드 실행으로 이어질 수 있는 정수형오버플로우 취약점(CVE-2013-0609, CVE-2013-

0613)

-설계 오류로 인해 임의코드 실행으로 이어질 수 있는 취약점(CVE-2013-0607, CVE-2013-

0608, CVE-2013-0611, CVE-2013-0614, CVE-2013-0618)

-보안기능을 우회할 수 있는 취약점(CVE-2013-0622, CVE-2013-0624)

<해당 제품>

• 윈도우, Mac 환경에서 동작하는 Adobe Reader/Acrobat 11 (11.0.0) 및 이하 버전

• 윈도우, Mac 환경에서 동작하는 Adobe Reader/Acrobat 10 (10.1.4) 및 이하 버전

• 윈도우, Mac 환경에서 동작하는 Adobe Reader/Acrobat 9 (9.5.2) 및 이하 버전

• 리눅스 환경에서 동작하는 Adobe Reader 9 (9.5.1) 및 이하 버전

<해결 방법>

• Adobe Reader 사용자

Adobe Download Center(http://get.adobe.com/kr/reader/otherversions)를 방문하여 최신

버전을 설치하거나 [메뉴]→[도움말]→[업데이트확인]을 이용하여 업그레이드

• Adobe Acrobat 사용자

아래의 Adobe Download Center를 방문하여 최신 버전을 설치하거나 [메뉴]→[도움

말]→[업데이트확인]을 이용하여 업그레이드

• 윈도우 환경에서 동작하는 Adobe Acrobat Standard/Pro 사용자

http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

페이지 | 22

• 윈도우 환경에서 동작하는 Adobe Acrobat Pro Extended 사용자

http://www.adobe.com/support/downloads/product.jsp?product=158&platform=Windows

• 윈도우 환경에서 동작하는 Adobe Acrobat 3D 사용자

http://www.adobe.com/support/downloads/product.jsp?product=112&platform=Windows

• Mac 환경에서 동작하는 Adobe Acrobat Pro 사용자

http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh

<참고사이트>

http://www.adobe.com/support/security/bulletins/apsb13-02.html

• 삼성 Kies 프로그램 원격코드 실행 취약점 보안 업데이트 권고

삼성전자 스마트폰 관리용 PC 프로그램인 삼성 Kies에서 원격코드 실행이 가능한 취약점

이 발견되었습니다. 취약한 버전의 사용자는 특수하게 제작된 웹페이지를 열람하게 될 경

우, 원격코드 실행 취약점으로 인해 악성코드 감염 등의 사고가 발생할 수 있으므로 해결

방안에 따라 최신버전으로 업데이트 하시기 바랍니다.

<해당 제품>

Samsung Kies 2.5.0.12114_1 및 이전 버전

<해결 방법>

기존 삼성 Kies 사용자는 업데이트가 적용된 상위 버전(2.5.1.12123_2_7 이후)으로 업그레

이드

- 삼성 Kies 실행 시 자동으로 최신 업데이트 실행가능

신규 삼성 Kies 사용자는 업데이트가 적용된 상위 버전으로 설치

<참고사이트>

http://www.samsung.com/sec/support/pcApplication/KIES

• Oracle Java 7 신규 취약점 주의 권고

오라클社의 Java 7에서 원격코드 실행이 가능한 취약점이 발견되었습니다 Java가 설치된

시스템의 사용자는 특수하게 제작된 웹사이트 방문 시, 악성코드 감염 등의 피해를 입을

수 있습니다. 해당 취약점을 악용한 공격 코드가 유포되고 있어, 사용자 주의가 특히 요구

됩니다.

페이지 | 23

<해당 제품>

Oracle Java 7 update 10 및 이전버전

<해결 방법>

영향을 받는 버전의 Java 사용자는 Java 7 update 11 버전으로 업데이트 하시기 바랍니다.

- Java SE JDK 7 사용자는 Java 7 update 11 버전을 다운로드 받아 설치

- Java SE를 브라우저를 통해 실행시키는 사용자는 최신 JRE 7을 다운로드 받아 설치하거

나, 윈도우즈 OS 사용자는 Java 자동업데이트 기능을 이용하여 최신 버전으로 업데이트

<참고사이트>

http://www.kb.cert.org/vuls/id/625617

http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html

http://www.oracle.com/technetwork/java/javase/downloads/index.html

http://java.com/ko

http://www.java.com/en/download/help/java_update.xml

• IE 원격코드 실행 취약점 관련 MS 비정기 긴급 보안업데이트 권고

Internet Explorer에서 취약점으로 인한 권한상승 문제가 발생했습니다.

공격자가 영향 받는 시스템에 대해 완전한 권한을 획득할 수 있습니다.

사용자가 영향받는 버전의 Internet Explorer를 사용하여 특수하게 조작된 웹 페이지를 열

람할 경우, 원격코드 실행될 수 있는 취약점 존재

- 영향받는 버전의 Internet Explorer사용자는 단순 웹페이지 방문만으로 악성코드에 감염

될 수 있으므로 해결방안에 따라 보안업데이트 권고

※ 해당 취약점의 경우 실제 악용사례가 다수 발생하고 있어, 사용자의 적극적인 패치를

요함

관련취약점 :

- Internet Explorer Use After Free Vulnerability - CVE-2012-4792

<해당 제품>

• Internet Explorer 6

• Internet Explorer 7

• Internet Explorer 8

<해결 방법>

해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용하시기 바랍니다.

http://technet.microsoft.com/en-us/security/bulletin/MS13-008

페이지 | 24

Contact us…

㈜이스트소프트 알약대응팀

Tel : 02-3470-2999

E-mail : help@alyac.co.kr

:알약 홈페이지 : www.alyac.co.kr