세상에서 가장 안전한 이름, 안철수연구소

기업의 사회적 책임이라는 것이 있다. 기업이 성장, 발전하게 되면 사회적 영향력이 커지고 이에 따라 사회의 일정 기능을 담당하게 되어 어느 정도 그 사회에 대한 책임이 부과되는데 이를 기업의 사회적 책임이라 정의하고 있다. 기업의 사회적 책임을 정의한 Caroll 교수에 의하면 이는 4가지로 구분된다고 한다. 경제적 책임, 법적 책임, 윤리적 책임, 자선적 책임이 바로 그것이다.

기업의 사회적 책임(SR:Social Responsibility)이 보안과 무슨 관련인가? 필자가 언급하고자 하는 것은 이제는 사회적 책임에 보안적 책임도 부여하여야 한다는 의견이다. 시간이 지나고 세월이 흐름에 따라 기업에 요구되는 사회적 책임의 범위도 달라져야 한다. 지금 세상을 뒤덮고 있는 인터넷은 우리 삶을 크게 바꾸어 놓고 있다. 이에 따라 비즈니스는 오프라인에서 온라인으로 이동하였다.

보안의 관점에서 본 사회적 책임의 범위

기업마다 제공하는 서비스와 범주에 따라서 보안의 범위가 달라지지만 기본적인 맥락은 같을 것이다. 바로 안전한 서비스이다.

개인정보 유출사례를 보자. 옥션은 1,081 만명의 개인정보가 유출되었고, 추가조사에서 700 만명의 정보가 더 유출된게 확인되었다. 엔씨소프트는 개인정보가 200만건이 유출되었고, 신세계백화점은 2,000만건, GS칼텍스 1,125만명으로 정보유출 피해는 크다. 잦은 유출사건은 이제 개인정보 보호의식마저도 무감각하게 하고 있다. 개인들은 서비스를 이용하기 위해 기업에 개인의 정보를 제공하였고, 분명 기업은 개인의 정보를 안전하게 보관할 의무가 있다. 이렇게 유출된 정보에 기업은 사과문을 공지하고 시간이 지나면 어느새 잊혀져 간다. 우리가 제공한 정보는 이제 어떻게 사용되어지고 있는지, 그리고 유출된 내 정보들은 어디로 흘러갔는지 알 수 없다. 기업의 사회적 책임에 보안범주가 들어가야 할 이유가 바로 여기에 있다.

고객은 방문한 사이트가 해킹에 의해 침해되었을 것이라 상상이나 했을까? 아니, 어디 이상한 곳을 방문한 것도 아니고 합법적인 사이트를 방문했다가 내 컴퓨터가 악성코드에 감염되었다는 사실이 당황스러울 것이다. 이러한 일이 소수에만 해당된다고 믿는가? 아니다. 해킹된 웹 페이지가 이 시간에도 많이 존재하고, 그러한 사실을 인지조차 못하고 있는 곳이 많다. 이름있는 큰 기업도 그런데, 하물며 보안을 생각치도 못하는 기업은 어떨까?

자, 마지막 예로 이건 어떨까? 소프트웨어를 만들어 판매하는 기업을 보자. 소프트웨어에 존재하는 취약점을 통해 원격의 공격자는 임의의 명령어를 수행할 수도 있다. 대표적인 운영체제 소프트웨어인 윈도우, 플래쉬, 브라우저 등 우리가 많이 사용하는 프로그램에도 취약점이 존재하고 있다. 고객은 비용을 지불하고 소프트웨어를 구매하며 이를 사용한다. 그러나 소프트웨어를 사용하는 것만으로도 내가 위험에 처해질 수 있다는 사실에 주목해야 한다. 기업은 단지 소프트웨어에 고객이 필요로 하는 기능만 구현한 것으로 책임을 다하는 것인가? 비용을 지불한 소프트웨어를 사용하다 개인정보가 유출되고, 악의적 용도로 나의 컴퓨터 자원이 이용되었다면 이건 또 어디에 하소연해야 하는 것일까? 이것도 사과문을 게시하고 조용히 잊혀져 가야 하는 걸까?

보안을 위한 사회적 책임을 다하고 있는가?

얼마 전 일본의 유명한 자동차 기업인 도요타는 큰 곤혹을 치렀다. 미국에서 생산된 도요타의 다수 제품이 부품결함으로 드러나면서 대규모 리콜에 들어간 것이다. 하지만, 처음에 도요타는 결함사실을 부인했고, 언론과 정부의 집중 조명에 사실로 들어나면서 리콜을 했다. 이것뿐만 아니라 미국내 수백 건의 결함사실을 접수 받았으나, 편법으로 이를 숨겨왔다는 사실도 드러나면서 기업의 가치는 크게 하락하였고, 천문학적인 비용도 들게 되었다. 중요한 점은 결함이 있음에도 결함사실을 숨겨왔다는 것이다. 소프트웨어도 마찬가지이다.

이러한 인식에는 개인의 의식에도 변화가 필요하다. 소프트웨어에 보안적 문제가 존재할 수 있다는 가능성을 인정하고, 패치를 제공하고, 사용자들이 빨리 적용할 수 있도록 적극적으로 알리는 이런 기업에 우리는 박수를 쳐주어야만 한다.

기업은 이제 '보안' 이라는 것을 단순히 고려해야 할 것으로서가 아니라, 기업의 사회적 책임 중 하나로 인식을 달리해야 한다.  필자가 말하는 보안적 책임은 단지 기업 시스템에 방화벽, 침입탐지시스템과 같은 보안 시스템을 설치하는 것만으로서 보안이 끝나지 않는다는 것이다. 지속적인 관심과 보안 트랜드의 변화에 민첩하게 대응해야 한다.

나는 말한다. '보안'은 이제 기업의 사회적 책임의 의무로서 그 책임을 다해야 할 것이라는 것을 말이다.<Ahn>

필자 주: 나는 이 글에서 기업의 이름을 숨기지 않았다. 이미 기사화를 통해 많이 알려진 사실이므로, A 기업, B 기업으로 표시하는 것은 의미가 없다고 생각한다. 여기서 해당 기업을 질책하고자 하는 것이 아니라 단지 사실의 한 예로서만 표기한 것이니 독자 여러분도 그렇게 받아들여주길 바란다.

2010년 3월 1일 한일 사이버 공격이 발생했다는 기사가 하나 떴다.  관련된 내용은 여러 블로그 를 통해서도 알려졌는데 짧게 요약하면 러시아 한인 유학생 구타 사망 사건과 벤쿠버 김연아 선수 금메달과 관련된 일본측 댓글 반응에 대한 응징(?) 차원에서 카페가 만들어졌고 공격을 진행했다. 2010년 3월 1일 오후 1시에 공격이 시작되었고 일본 2ch 측에서도 맞대응 했다. 이런 공격은 예전에도 종종 있었던 일이나 이번에는 언론을 통해 비교적 상세히 알려졌다. 이번 사건을 보면서 문득 몇 가지 생각이 들었다.

첫째, 공격 프로그램을 진단해야 하는가?

우리나라에서의 2ch 공격에는 단순 키보드 연타(?)뿐 아니라 공격 프로그램도 이용되었다.

백신업체 입장에서는 이런 공격 프로그램은 악성코드로 볼 수 있다. 하지만, 이런 프로그램을 백신에서 진단할 경우 애국심으로 똘똘 뭉친(?) 사람들에게는 국내 백신 회사가 어느 나라 편이냐는 항의가 들어오지 않을까?

둘째, 향후 사이버 공격이 커지지 않을까?

많은 사람들이 이번 일에 대해서 우려했다.  다행히 아직 한일 사이버 공격은 몇몇 인터넷 사용자들의 놀이 수준으로 보고 있다. 하지만, 세계 여러 나라에서 정치적, 민족적 감정으로 인터넷에서 충돌이 일어나고 있다. 2007년 4월 정치적 이유로 러시아 민족주의자들이 주도해 에스토니아 정부와 의회 등 주요 사이트를 3주간 공격했고  2010년에는 중국과 이란간 분쟁 이 발생했다. 한국, 중국, 일본은 과거 역사 문제가 복잡하게 얽혀있고 인터넷 망도 좋아 향후 분쟁이 발생할 때 문제가 커질 수 있다.

셋째, 글을 강하게 썼다가 네티즌들의 공격을 받는 것은 아닌가?

조금 엉뚱한 생각일 수 있지만 이번 일에 대해 강하게 비판할 경우 공격을 주도한 사람들에게 개인정보가 노출되는 일이 발생하지 않을까 하는 걱정도 들었다. 살면서 크게 나쁜 짓하고 살지 않았지만 필자는 얼굴을 알리고 활동하고 있는 데다가 누군가가 인터넷으로 나의 뒷조사를 한다는 것 자체가 유쾌한 일은 아니다. 필자뿐 아니라 가족 그리고 나와 관계된 사람이 언급되는 건 더 고통일 수 있을 것이다. 비판의 수위는 적절한 수준에서 자기 검열(?)을 하게 되겠지만 이런 점도 누군가에게는 표현의 자유에 대한 위축이 될 수 있지 않을까?

사건 이후 미국 연방경찰(FBI)에서 조사 한다는 얘기도 나돌았지만 몇 달이 지난 현재 어떻게 진행되었는지는 알 수 없다. 올해 처음 발생한 사건은 아니지만 언젠가부터 연례 행사처럼 이뤄지고 있는 한일 사이버 전이 한중일 간의 충돌로 커지는 게 아닐까 걱정되는 건 필자 뿐만이 아닐 것이다.

이제 곧 남아프리카 공화국에서 월드컵이 열린다. 필자도 축구를 좋아하는 대한민국 남자다 보니 월드컵에서의 대한민국 대표팀 경기가 기다려진다. 또한 월드컵을 준비하는 대표팀의 최근 성적이 워낙 좋아 원정 16강 달성 뿐만 아니라 더 좋은 성적도 낼 수 있을 것이라는 기대도 하게된다.

월드컵은 지구 최고의 스포츠 축제로서 전 세계인의 관심을 받는 대회이다. 월드컵이나 올림픽 등 대규모 스포츠 경기가 열릴 때마다 사이버 범죄가 급증하는 만큼 2010 남아공 월드컵은 사이버 범죄자들의 주요 타깃이 될 가능성이 높다. 지난 2008년 베이징 올림픽의 경우 개최 기간 동안 피싱 공격이 평소보다 66%나 증가했다고 한다. 그간 월드컵에서는 어떤 사이버 공격이 있었는지 알아보도록 하자.

월드컵에 관련된 사이트 공격

월드컵에서 우리와 한 조에서 만나는 아르헨티나의 경우는 월드컵 남미예선을 간신히 통과했었다. 그 당시 아르헨티나 대표팀에 대한 현지 팬들의 불만이 고조된 나머지 한 해커가 아르헨티나 대표팀 감독인 디에고 마라도나의 개인 홈페이지를 해킹하여 화제가 되었었다. 홈페이지 첫 페이지에 마라도나의 우스꽝스러운 캐리커쳐를 집어넣은 후 "Que rica coca, mierda" (코카인으로 가득 찬 멍청이)라는 구절을 집어넣어 마라도나를 풍자했다. 이는 자국 대표팀 경기 내용에 불만을 품은 네티즌에 의해 발생된 사건으로 보인다. 2008년 베이징올림픽 때에는 축구 준결승에서 아르헨티나에 패한 브라질 올림픽조직위원회의 웹사이트가 해킹 당한 적도 있다. 이때도 자국 국민에 의한 공격이라는 판단이다.

상대방 국가에 대한 공격도 흔한 일이라고 볼 수 있다. 우리나라의 경우도 상대국가 해커로 인해 여러 사이트들이 공격을 당했었다. 2009년에는 우리나라의 한 유명 건강식품 기업 사이트가 사우디의 월드컵 진출 좌절에 불만을 품은 해커에 의해 해킹을 당했다(이 때는 북한과 사우디아라비아가 2010 남아프리카공화국 월드컵 아시아 예선 최종전에서 비기면서 사우디아라비아가 월드컵 본선 진출을 실패했었던 때이다). 해당 사이트의 페이지에 사우디 축구 대표팀 선수의 사진과 한국인들에게 악의적인 메시지가 담긴 악성 페이지가 삽입되어서 한국인을 조롱하려는 것이 목표였던 것으로 보인다.

2008년에는 대한축구협회의 홈페이지가 중국인으로 추정되는 해커에게 해킹 당하는 봉변을 겪었다. 이 때는 한국이 월드컵 최종예선에서 UAE를 4-1로 크게 이긴 후였고, 중국은 월드컵 3차예선에서 조기 탈락한 상태였었다.

월드컵과 관련된 개인PC 공격

수 억 명의 축구팬들이 남아공 월드컵 기간에 경기관련 정보 검색을 위해 인터넷을 이용할 것이다. 이때 일부 웹사이트들은 가짜 웹사이트일 수 있으며 악성코드가 포함됐을 수 도 있다. 공격의 대상이 되지 않기 위해서는 모르는 사이트에 함부로 들어가지 말아야 하며 ‘사이트가드’ 류의 웹보안 프로그램을 설치하는 것이 가장 좋은 방어방법이 될 수 있다.

조심해야 할 악성코드도 있다. 지난 1998년 월드컵 경기에 처음 출현한 ‘월드컵 바이러스’ 는 4년 주기로 6월 이전에 출현했다. 해커들은 월드컵 경기 인기를 등에 업고 티켓 판매를 가장해 대량 메일을 발생시키는 등의 바이러스를 유포하고 있다. 백신의 실시간 감시기능을 항상 켜두고, 출처가 불분명한 e메일은 함부로 열지 말고, URL 링크 클릭을 함부로 하지 말아야 남아공 월드컵 바이러스 감염을 미리 막을 수 있으니 명심해두기를 바란다.

월드컵을 기다리며

2010 남아공 월드컵이 얼마 남지 않은 이 시점에서는 각국의 주요 사이트들은 사이버공격에 대비하는 움직임이 필요할 것으로 보인다. 월드컵 본선경기 결과에 따라 사이버 훌리건이 활개를 칠지 모르니 말이다. 그리고 개개인도 PC보안에 특별히 신경을 써야 할 기간으로 보인다. 대한민국 대표팀의 좋은 경기와 보안사고 없는 월드컵 기간을 기대해본다.Ahn

필자는 매주 토요일이면 미국 워싱턴 주의 형제실버대학에서 컴퓨터 강사(전산정보학과)로 나선다.
여기에서는 컴퓨터나 인터넷 사용에 서툰(- 몇몇은 꽤 실력이 있는), 나이든 어른들이 대부분이다. 이들이 살아온 인생 보따리는 등마다 한 짐씩인데, 젊을 때 시류의 난고를 겪으며 디지털이라고는 상상도 못하셨던 세대라 컴퓨터를 배우는 강의시간이면 긴장과 호기심에 가득한 눈길로 나를 쏘아보신다.

영어권의 미국 사람들은 대부분이 검색사이트로 구글(google.com)을 사용한다. 영어권일지라도 한국어에 익숙한 사람들은 네이버(naver.com), 야후(yahoo.com), 다음(daum.net)을 사용한다. 구글과 한국어권의 검색사이트들의 차이를 들라면, 구글은 검색 기능에 특화했고, 한국어권 검색사이트들은 검색은 물론 각종 관련 정보를 총동원해 그야말로 웹사이트의 ‘백화점’으로 운영한다는 점이다. 그래서 흔히 포털사이트(portal site)라고 하는데 이 포털의 의미는 ‘관문’, ‘정문’의 뜻으로, 집으로 표현하면 현관문인 셈이다. 그런데 현관문에 온갖 것들을 다 진열한다면......?!

각각의 검색․포털사이트에 들어가면 검색창을 통해서 보게 되는 ‘검색어 자동 완성 기능’을 예로 보자. 이 기능은 방문자가 검색 창에 첫 글자를 입력하는 즉시 여러 가지 관련 어구를 제시받는 상당히 편리한 옵션이다.

사람마다 필요로 하는 정보가 제각기 다르겠지만, 그 사람에 맞는 정보를 가능한 한 빨리, 정확하게 찾아주는 게 컴퓨터와 검색엔진의 인공지능이다. 예를 들어, 직업이 농부인 사람이 검색사이트에서 ‘배’를 기입했을 때와, 어부가 ‘배’를 검색했을 때 검색사이트는 그 사람의 특수성을 분별해 검색결과를 나타낸다. 이와 같이 방문자의 특수성을 고려하는 것은 그에게서 개인정보를 임의 또는 동의하에 수집해서 개인의 성향을 자료 분석(data mining)하고 그것으로써 서비스를 달리 할 수 있다.

한편, 일반적인 방문자들은 기본적으로 검색어 자동 완성 기능에 예시되는 문장들이 ‘현재, 가장 이슈가 되고, 많은 사람들이 찾아본 순서대로 제시될 것’이라는 기대가 있다. 그렇다면 각 검색사이트마다 일정한 단어나 물음에 대한 예시문장이 거의 비슷해야 할 것인데 실은 전혀 그렇지 않다. 이 결과로 추정해 볼 때, 각 검색사이트마다 예시 문장을 선정하는 기준이 다르다는 사실이다.

이처럼 이용자들의 기대치와 검색사이트 운영자 및 각 운영사 간의 선정 기준에 의한 결과치가 다른 것은 각 당사자의 ‘필요’(need)와 ‘목적’(purpose)의 차이 때문이다.

이용자는 자신에게 필요한 정보를 찾기 위해 검색사이트를 이용하고, 검색서비스제공자는 이용자가 필요로 하는(당장에 요구하는) 정보를 빨리 찾아 주는데 주안점을 두는 것이 원칙이다. 이러한 원칙에 따라 이용자가 검색한 정보를 서비스제공자가 빨리, 정확하게 찾아주려고 애쓰는 한편 그 대가, 즉 영리적으로 ‘이윤’을 고려하고 그러한 이윤으로 더 나은 서비스를 제공한다는 데에 이론(異論)이 없다.

그래서 이용자는 경우에 따라서 자신의 개인정보 기타 일정한 비용을 기꺼이 제공하고 그에 상응하는 서비스를 기대하고 서비스제공자는 양질의 서비스를 위해 이용자 또는 다른 사업자들에게서 일정한 수익을 고려한다. 그런데 서비스제공자가 정도를 지나쳐 혹시라도 이용자들의 방문 또는 그 개인정보를 볼모로 다른 사업자들에게서 이윤을 추구하는데 더 역점을 두는 것은 아닌지 하는 의구심이 크다.

영리를 추구하는 웹사이트의 생명은 방문자, 특히 회원이면서 충실한 고객의 방문과 그들의 (소비) 활동에 있다. 검색사이트가 검색 기능 제공이라는 본연의 목적을 벗어나 영리를 추구하는데 치중할수록 생명력은 길지 않다고 본다.

검색사이트의 진정한 가치는 이용자가 원하는 정보를 ‘빨리, 정확하게’ 제공하는데 있지, 그저 (유사하다는 이유로) 많은 정보와 상품들을 자의로 진열해 놓고 알아서 고르게 한다거나, 자신들의 이익에 유리한대로 선정․배치한 정보를 강권하는데 있지 않다.

검색사이트가 겉으로는 이용자를 위한 서비스라고 내세우고 속으로는 이윤에 급급해서 사업자들 유치에 치중해 결과적으로 그들만의 서비스로 전락하지 않았으면 하는 바람이 크다.<Ahn>

인터넷 주소의 수요는 점점 증가하는 반면 홈 네트워킹, 스마트폰의 활성화로 인해 인터넷 주소자원은 곧 고갈될 것이라고 한다. 이에 등장한 것이 IPv6, 이 IPv6가 무엇이며 기존의 IPv4와는 어떻게 다른지, 안철수연구소에서 네트워크 제품 기획을 담당하고 있는 유명호 차장에게 이에 관한 자세한 이야기를 들어보았다.

안철수연구소 제품기획팀 유명호 차장

IPv6란 무엇인가? IPv4와 어떤 점이 다른가?

IPv4는 컴퓨터 용어로 하면 32bit며 IP 주소가 255.255.1.10처럼 네자리로 되어 있으며 IPv6는 128비트로 2001:230:abcd:ffff:0000:0000:ffff:1111처럼 주소가 8자리가 되어 있다.
IPv4와 다른 점은 주소 갯수이다. IPv4는 약 43억개의 주소를 사용할 수 있는 반면 IPv6는 주소의 수가 거의 무한대이다.

또한 표현 정보가 많아진다는 것이다. PC 인증 정보, 패킷 무결성 정보, 암호화 정보 등을 다양하게 담을 수 있다. 

왜 IPv6가 중요한가?

인터넷 주소가 얼마 안 남아있다. IANA (Internet Assigned Numbers Authority, 인터넷 할당 번호 관리기관)에 의하면 약 7% 남았다고 한다. 원래는 약 2013년 즈음에 고갈될 것이라고 예상했었으나 최근 추세로 보면 2011년 9월 즈음 고갈될 것으로 예측된다. 스마트폰의 보급, 인도, 중국의 초고속 인터넷 보급, 그리고 FMC (Fixed Mobile Convergence, 유무선 모바일 통합) 서비스의 보급이 그 원인으로 보인다.

해외의 움직임은 어떤가?

선진국 중심으로 앞서가고 있다. 미국은 국방부나 연방정부를 중심으로, 일본이나 EU도 공공기관 중심으로 사용하고 있다. 이는 곧 라우터, 스위치, 보안 장비 등의 사업자들이 준비되어 있다는 뜻이며 바로 IPv6로 전환한다고 해도 무리가 없다는 의미이다. 이에 비하면 우리나라는 사업자, 정부 움직임이 외국보다 느린 감이 있다.

IPv6가 실행될 때 예상되는 문제점은 어떤 것들이 있나?

가장 큰 문제는 준비가 안됐다는 것이다. IPS(intrusion prevention system, 침입방지시스템), 네트워크 장비업자, 보안사업자 등이 준비가 안되면 IPv6 서버상에 문제가 발생하게 된다. IPv6를 지원한다 하더라도 IPv4에서 하던 서비스를 완벽하게 지원하지 못하면 문제가 된다.

또한 통신사업자들도 안정적인 IPv6 서비스가 가능해야 한다. 백본망이 일관성이 없고 안정적이지 않다면 곤란해진다. 투자비가 많이 든다는 것 또한 문제다. 순차적으로 교체될 것이고 정부에 지원 요청도 하고 있지만 상황이 녹록지 않다. 이는 곧 타이밍 문제로 연결된다. 신속히 IPv6로 교체하는 사업자에게 메리트를 주거나 보조금 지급, 세금 감면 등의 혜택을 줘야 할 것이라고 생각한다.

IPv6가 우리 생활에는 어떤 영향을 미치나?

IPv6의 장점은 주소자원이 무한하다는 것이다. 이를 이용해서 홈 네트워킹 서비스를 할 수 있다. 냉장고, 가스렌지, TV, 세탁기 모두가 IP를 가지게 되며 인터넷과 연결하여 원격 제어가 가능해진다.
모바일 산업도 발전할 것이다. 스마트폰 주소자원이 무리가 없으며 이 산업을 서포트하는 인프라 역할도 할 것이다.
사물통신 또한 발전할 것이다. 모든 사물들이 IP 주소를 갖게 되어 원격 통제를 하게 될 것이다.
다른 요인들도 있겠지만 결국 이것이 유비쿼터스의 기반 인프라가 될 것이며 관련 기술과 산업, 보안이 발전하는 등 연관 산업 파급 효과가 클 것으로 기대된다.

보안업체로서 IPv6 도입에 애로사항은 어떤 것이 있나?

보안이라는 것은 네트워크 장비나 방화벽보다 좀 더 난해한 분야라고 볼 수 있다. 네트워크 장비나 방화벽이 IPv6를 지원한다고 해도 IPv4와 같은 효과를 내는 것이 기술적으로 쉽지 않으나 가장 중요하다고 할 수 있다. 이러한 기술을 구현하게 되면 복잡도도 커지며 네트워크 장비보다 보안장비 지원이 더 어렵게 된다.

그렇다면 안철수연구소에서는 이에 대비해 어떤 일들을 하고 있나?

안철수연구소는 네트워크 통합 보안 제품인 트러스가드(TrusGuard)를 2008년부터 개발했으며 2009년에 IPv6 기능이 반영되었다. 1년여에 걸쳐 개발했으며 지금도 꾸준히 업그레이드되고 있다. 현재 트러스가드는 네트워크, 라우팅, 방어벽 등 여러 기능이 있으며 IPv4에서 IPv6 변환 기능도 가지고 있다. 이후에는 VPN과 IPS에도 IPv6 지원 기능을 확장할 것이다.

트러스가드가 특히 뛰어난 점이 있다면?

IPv4와 IPv6를 동시에 지원하는게 사실 어려운 일이다. 안철수연구소가 선도적인 업체이며 최근에서야 일부 업체들이 동시 지원을 하고 있기는 하다. 그러나 레퍼런스 사이트(실제 구축 운영 사례)가 있는 케이스는 안철수연구소가 유일하다. 실제 사이트에서 돌아가느냐가 무엇보다 중요하다. 안철수연구소는 IPv6 시범망 사업에 트러스가드가 도입되어서 작년 여름부터 일부 지자체에서 운영하고 있다.@

PDF(Portable Document Format) 취약점 (Exploit/PDF)

최근에는 문서 공유시 사용되는 문서파일 형식이 PDF (Portable Document Format) 파일로 일반화되어 가고 있다. 오피스 문서파일 형식인 워드(.doc), 엑셀(.xls) 파일을 그대로 공유하는 것 보다 PDF 파일로의 변환을 통해 원본 문서의 수정을 방지할 수 있다. 그러나, 문서를 읽고 공유하기 위해 사용하는 편리한 문서파일 형식으로 여겨졌던 PDF (Portable Document Format) 파일은 이제 또 하나의 강력한 악성코드가 되었다.

PDF를 통한 위협은 2007년 초기 스팸을 통한 공격으로부터 시작되어, 2008년 하반기부터 본격적으로 그 위협이 급증하였고, 2009년에는 비로소 MS워드파일을 능가하는 파일기반 공격의 대표가 되었다. 2007년부터 현재까지 대략 30개 이상의 PDF 취약점이 보고되었고, 실제 공격에 이용된 다음과 같은 주요 취약점들이 있다.

* 시기는 기준에 따라 다소 차이가 있을 수 있음.
<표> 대표적인 PDF 취약점들

기존의 악성코드와 마찬가지로 악성 PDF 파일 또한 다양한 경로를 통해 시스템으로 유입되고 있다.

■n 전자메일에 삽입된 링크를 클릭하거나 첨부파일을 오픈하는 경우
■n 메신저를 통해 공유된 파일을 오픈하거나 공유된 링크를 클릭하는 경우
■n 해킹된 웹사이트를 방문하여 공격코드가 호스팅된 사이트로 리다이렉션 되는 경우

악성 PDF 취약점을 원인별로 구분하면 크게 자바스크립트 엔진 상의 취약점과 기타 오브젝트들의 처리과정에서 발생하는 취약점으로 나눌 수 있다. 또한, 공격방식의 관점에서 보면, 사용자가 알지 못하는 사이에 다운로드되어 실행되는 Drive-by Download 방식과 사용자가 직접 클릭하도록 유도하는 사회공학적인 방법으로도 나눌 수 있다.

이러한 PDF 취약점들의 특징을 2009년에 이슈가 되었던 대표적 사례를 통해 살펴보자.

■n SwineFlue(신종플루의 초기명칭) QNA 문서 사건
■n 검블러(Gumblar), 나인볼(Nine-ball) 등의 대량 웹사이트 침해사건 

“SwineFlue QNA” PDF 파일은 급증하는 신종플루에 대한 궁금증을 악용하여, 겉으로는 Swine Flue에 관한 일반적인 컨텐츠를 담고 있는 것으로 보이나, 내부적으로 Adobe JBIG2 Stream Buffer Overflow(CVE-2009-0658) 취약점을 통해 또 다른 악성코드를 감염시킨 사례이다.

해당 공격 파일은 PDF 내부의 JBIG2 스트림을 처리하는 과정에서 발생하는 취약점을 이용하지만, 내부적으로 공격자의 쉘코드 실행을 돕기위해 힙스프레이기법(Heap-Spray)으로 제작된 자바스크립트도 내장하고 있다.
또한, 파일 취약점의 경우, 데이터를 숨길 수 있는 충분한 공간을 가지고 있기 때문에 다운로드 쉘코드와 달리 실행될 악성코드를 파일내부에 담고 있다가 드랍(Drop)하여 실행하는 사례가 많다.

일반적인 웹 공격은 다양한 취약점을 호스팅하고 있는 서버를 구축한 후, 정상적인 웹 사이트를 해킹하여 구축된 취약점 서버로 연결하는 방식을 사용한다. 2009년 상반기에 이슈가 되었던 “검블러(Gumblar)”, “나인볼(Nine-ball)” 등의 대량 웹사이트 침해사건은 웹공격 시나리오 중 대표적인 취약점으로 바로 PDF 자바스크립트 취약점 파일을 사용하였다.

<그림> 검블라 웹공격 시나리오

공격이 성공하여, 사용자 시스템으로 다운로드되는 PDF 파일에는 다음과 같이 악의적인 자바스크립트를 포함하고 있다.

■n PDF가 지원하는 인코딩 방법으로 문자열 난독화 (FlateDecode, )
■n PDF가 지원하는 특수문자 구별 코드 (#)를 사용한 문자열 난독화
■n 악성 자바스크립트 난독화 기법

그림> PDF 자바스크립트 취약점 우회방법의 진화

<그림> 악성 PDF 파일의 다양한 형태

또한, 내부에 악의적인 플래시파일을 삽입하거나 실행파일을 첨부하는 등의 형태도 발견된다. 앞으로도 PDF 기능이 점점 확장되면서, 악성 PDF 파일을 통한 위협은 점점 다양한 형태로 변화되고, PDF를 비롯한 각종 기반 소프트웨어들이 지속적으로 악성코드 못지 않은 위협적 존재가 될 가능성이 높다.@

컴퓨터는 다양한 하드웨어 부품으로 이루어져 있다. 그 위에 운영체제 및 다양한 소프트웨어들로 구성되어 운영되고 있다. 소프트웨어라는 것이 있기에 우리는 브라우저를 통해 인터넷을 할 수 있고, 동영상을 본다든지 그림을 그린다든지 하는 상상 이상의 많은 것들을 할 수 있다. 그만큼 하드웨어 위에 어떤 소프트웨어를 이용하느냐에 따라 사용방법은 크게 달라지게 된다. 자, 그렇다면 지금 여러분들의 컴퓨터에는 얼마나 많은 소프트웨어가 설치되어 있나? 그 중에는 돈을 지불하고 사용하는 상용 소프트웨어도 있을 것이고 무료로 사용하는 소프트웨어도 있을 것이다. 특히 무료로 사용하는 것이라고 하면 무엇보다도 눈이 가게 된다. 아무런 비용을 지불하지 않고 사용할 수 있으니 말이다. 지금 필자가 소개하고자 하는 것은 바로 우리들이 좋아하는 무료, 오픈소스 프로그램이다.

오픈소스란 무엇인가? 안전한 것일까?

그렇다면 오픈소스란 무엇인가? 이름 그대로 개발된 소프트웨어의 바이너리 프로그램 뿐만 아니라 소스코드까지도 공개하여 사용할 수 있도록 한 것이다. 이런 오픈소스의 장점은 자유롭게 사용할 수 있다는 점이다. 또한 사용자들의 선택의 폭을 넓혀주고 누구나 소스를 보고 사용할 수 있으므로 수 많은 사용자들에 의해 테스트를 거치면서 완성도가 더욱 높아진다. 이외에도 오픈소스의 장점은 많지만, 특히 보안적인 관점에서 보자면 오픈된 소스라 많은 사람들이 보게 되므로 더욱 안전한 소프트웨어가 될 수 있다는 점이다. 하지만 여기에 반문을 제기할 수 있다. 소스코드가 공개되어 있으니 취약점을 찾는 것은 더욱 쉬워 소프트웨어를 사용하는 사용자 또는 기업에게 더 큰 위협이 될 수 있다고 말이다.

여러분들의 생각은 어떤가? 무엇이 더 안전할 것이라고 생각하는가? 이렇게 생각해 보자. 소스코드가 공개되어 있는 경우라면 투명하게 누구나 코드를 보고 문제가 되는 부분을 찾고 공유할 수가 있다. 하지만, 상용 프로그램의 경우 사용자에게 전달되는 것은 단지 바이너리로 된 파일이다. 누군가에 의해 발견된 취약점이 있다고 하더라도 이것이 공유되지 않는다면 잠재적인 위협으로 남게 된다. 즉, 더 큰 위협이 될 수가 있다는 것이다. 오픈소스는 이와 반대로 소스코드가 공유되어 있으므로 취약점이 보고되면 취약점이 빠르게 해결되는 편이다.

코드공개로 위험이 많이 존재할 수는 있으나 문제점이 빨리 보고되고 업데이트 되다 보니 신뢰성, 안정성 면에서도 시간이 지나면 지날수록 높아진다. 그렇다고 상용프로그램이 좋지 않은 것만은 아니다. 사용자가 쉽게 사용할 수 있도록 디자인하고, 다양한 기능과 도움말 그리고 지원 등이 강점이다. 그리고 소스코드가 공개되어 있지 않으므로, 오픈소스보다 더욱 안전하다고 주장한다. 아무튼 소스코드의 공개와 비공개에 대해서는 여러분들의 판단에 맡기고자 한다.

오픈소스 보안 프로그램, 무엇이 있을까?

오픈소스 의미는 그만 설명하고 실제 여러분들에게 도움이 될 수 있는 보안 프로그램 몇 가지를 소개한다. 여기서 소개하는 프로그램 이외에도 많은 오픈소스 프로그램이 존재하지만, 전부 소개하다가는 1년 내내 프로그램 소개만 해도 이 글을 끝마칠 수 없을 것이다. 

1. TrueCrypt 를 이용한 디스크 암호화

TrueCrypt는 디스크 암호화 프로그램이다. 예를들어, 가상의 암호화된 디스크 이미지를 만들고 그 이미지를 실제 디스크 같이 마운트하여 사용할 수 있다. 또 전체 파티션 또는 USB 와 같은 스토리지 디바이스를 암호화 할 수 있다. 쉽게 예를 들어 설명하면, 회사에서 중요한 문서 데이터를 안전한 곳에 보관하고 싶다고 하자. 그런데 한 두개의 파일이 아니라 꽤 많은 데이터다. 이때 가상의 암호화된 디스크 이미지를 만들고 필요할 때 마다 연결하여 사용하면 된다. 연결을 하면 윈도우에서 H: 드라이브와 같이 하나의 드라이브로 인식되니 안전하게 보관할 파일을 넣고, 해당 이미지는 USB 로 복사해서 집에서도 확인할 수 있게 된다.

필자가 글로써 설명하는 것 보다 직접 프로그램을 실행해 보고 사용하면 이해가 훨씬 쉬울 것이다. TrueCrypt 는 http://www.truecrypt.org 에서 받을 수 있다.

실행하면 Create Volume 를 통해 이미지를 만들 수 있고, Standard TrueCrypt volume 를 선택하자. 저장될 파일 이미지를 선택하고, 암호화 알고리즘을 선택한다. 일단 기본적으로 프로그램에서 제시해 주는 방법을 선택하자. 그 후 이미지 파일의 크기를 정하고, 패스워드와 포맷 방식을 선택하면 끝이다. 앞서 지정한 위치에 암호화된 이미지 파일이 생성되어 있을 것이다. 아래 그림은 해당 이미지를 Q 드라이브로 마운트 하였고, 탐색기에서 Q 드라이브가 잡힌걸 볼 수 있다.

[그림] TrueCrypt 를 이용한 암호화된 디스크 이미지의 마운트

자, 이제 Q 드라이브로 넣는 데이터는 암호화 되어 저장이 될 것이다.

2. AxCrypt로 파일 암호화 하기

파일을 암호화 해야 되는 경우 이 프로그램을 이용해 보자. 실행파일은 아래의 사이트에서 받을 수 있다.

http://www.axantum.com/AxCrypt/Downloads.html

파일을 설치하고 나면, 암호화 할 파일을 탐색기에서 지정하여 암호화를 할 수 있다. 파일을 선택하고 우측 마우스를 클릭하면 AxCrypt 라는 메뉴를 볼 수 있고, Encrypt 를 선택하면 된다. Key-File 방식을 이용하게되면 좀더 안전한 방식으로 사용할 수 있지만, 키 교환과 같은 불편함이 따른다. 일단, 단순히 암호키를 이용하여 사용한다면 passphrase 에 패스워드를 넣어주고 OK 를 눌러주면 된다. 반대로 해독하기 위해서는 암호화된 파일에서 Decrypt 를 선택해 주고 패스워드를 넣어주기만 하면 된다. 하지만, 모든 사람이 이 프로그램을 사용하는 것은 아니다. 그러므로 상대편의 컴퓨터에 이 프로그램이 설치되어 있지 않으면 여간 불편한게 아니다. 이때 사용할 수 있는 방법이 Encrypt copy to .EXE 이다. Encrypt 와 같은 기능이면서 EXE 실행파일로 만들어준다. 즉, 누군가에게 전달할 중요한 파일이 있으면 EXE 파일로 암호화 해서 전달해주고 암호키는 따로 안전한 방법으로 알려주면 된다. 파일을 전달받은 사용자는 바로 파일을 실행하여 암호를 넣어주면 해당 내용을 볼 수 있게 된다.

[그림] AxCrypt 를 이용한 암호화

암호기능 뿐만 아니라 간단히 파일을 영구적으로 삭제해 줄 수 있는 기능도 제공한다. 메뉴에서 Shred and Delete를 이용하면 된다.

3. 파일 완전삭제 내가 맡는다 - Eraser

앞서 AxCrypt 에서 파일 영구삭제에 대해서 언급하였는데, 윈도우에서 파일을 지우게 되면 기본적으로 휴지통으로 들어가게 되어 나중에 복구를 할 수 있게 된다. 또, Shift 키를 누르고 지우면 휴지통에 안 들어가고 바로 지워져서 완전히 사라진다고 생각하나 그것은 잘못된 것이다. 파일을 특별한 방식으로 삭제하지 않는 한, 복구할 가능성은 남겨져 있다. 그럼 이 특별한 방식이라는 것은 무엇인가? 사실 특별한 방식이라고 하기 보다는 해당 데이터를 계속 덮어쓰기 하여 지우는 방식이다. 물론, 이 덮어씌우는 방법에는 다양한 알고리즘이 존재하며, 그 중에 하나를 선택하여 사용하면 된다.

다음의 경로에서 다운로드 받아 설치할 수 있다:

http://www.tolvanen.com/eraser/

설치한 후 윈도우 탐색기에서 지우고자 하는 파일이나 폴더에서 오른쪽을 클릭하면 'Eraser' 라는 메뉴를 볼 수 있다. 클릭하면 선택한 파일을 안전하게 지울 수 있다. 프로그램의 메뉴에서 셋팅을 선택해 보면 지우는 방식도 몇 가지가 있는데, 기본적으로 Gutmann 이 지정되어 있다. 이 방식은 컴퓨터에서 파일을 안전하게 지우는 알고리즘을 정의한 것으로 35개의 패턴을 사용한다. 지우는 알고리즘이 복잡할 수록 삭제하는 데도 많은 시간이 소요된다. 참고로 V3 에도 완전삭제 기능이 존재한다는 사실!

오픈소스 활용으로 나만의 안전한 작업공간 만들기

앞서 소개한 것과 같이 오픈소스 프로그램을 잘 활용하면 보다 안전한 나만의 작업공간을 만들 수 있을 것이다. 소스가 공개된 보안프로그램이라 보안이 걱정되는가? 그런 걱정은 잠시 미뤄두고 한번 사용해 보길 권한다. 전세계의 수많은 사용자들이 평가하고 개발을 하고 있다는 사실을 생각해 보면 오픈소스의 힘이 얼마나 대단한가? 여기에 소개한 프로그램은 전체 오픈소스에 아주 일부분에 불과하다. OpenOffice 와 같은 오피스 프로그램, 그래픽 프로그램인 GIMP 등 이 모든 것이 무료로 사용 가능하다. 오픈소스 프로그램을 찾기 위한 사이트를 하나 소개하자면 http://sourceforge.net/ 가 도움이 될 것이다.@

지난 2010년 4월 3일,  이 곳 시애틀의 이른 새벽에 유명 컴퓨터 매장 앞에 많은 사람들이 줄을 서서 기다렸다. 애플에서 출시한 '아이패드'(ipad)라는 컴퓨터를 사기 위해서다. 애플의 위력도 위력이지만 워싱턴 주 사람들의 IT에 대한 열정이 드러나는 장면이기도 하다.

필자가 유학생활로 시작해 7년여를 살고 있는 워싱턴 주는 미국에서 컴퓨터와 인터넷의 첨단을 달리는 곳이다. 곳곳에 즐비한 스타벅스 등의 커피숍에는 노트북을 들고 인터넷을 누비는 사람들이 대다수다. 특히 시애틀, 벨뷰, 타코마, 에버렛 지역(- 우리나라에서 각 ‘구(區, Ward)’에 해당)은 무선으로 인터넷을 연결하는 시스템 와이 파이(Wi-Fi) 네트워크의 미국 내 선두 주자로 오래 전부터 자리매김했다. 말 그대로 최고의 무선 인터넷을 즐길 수 있는 곳이 시애틀이고 워싱턴 주다.

이는 인텔 회사가 3년째 무선 인터넷을 사용하는 미국 내 1백여 개의 도시를 대상으로 실시한 최상의 무선 도시(Most Unwired Cities) 조사에 따른 결과에서 드러났다.¹⁾  (이에 따르면 ‘텍사스 오스틴 - 포틀랜드 - 워싱턴 주 밴쿠버’ 지역, ‘샌프란시스코 - 산 호제 - 오클랜드’ 지역 등이 무선 인터넷 환경의 대표적인 도시로 손꼽힌다. 그 외 Orange County, Denver, Austin/San Marcos, Atlanta, Minneapolis/St. Paul, Toledo, Raleigh/Durham/Chapel Hill 등이 10위권내에 드는 도시다.)

아무래도 앞선 기술의 정보통신을 기반으로 하다 보니 그만큼 명암도 짙을 수 밖에 없음을 십분 감안해 볼 때, 한국의 IT, 특히 인터넷과 관련한 환경에서 단연코 세계 선두 급의 우리나라도 어둠의 그림자가 그만큼 짙지 않을 수 없다. 신문과 방송에 등장하는 뉴스들에서 눈과 귀가 의심스러울 정도의 믿기 어려운 사이버범죄들이 이를 방증(傍證, supporting evidence)한다.

이러한 도시에서 나날을 살아간다고 치자. 범죄자가 자유롭게 범죄를 저지르기 쉬운 곳이라면 어느 누가 거기서 안락한 삶을 누릴 수 있을까!

해소책은 ‘보안’에 관한 대책을 세우고 의식을 강화하는 한편, 보안을 위한 적극적인 행동을 장려하는 것인데, 의외로 많은 사람들의 내면에는 ‘좋은 환경에서 누릴 수 있는 것 누리는 데에 치중할 뿐’, (정보기술의 발달 이면에서 발생하는) 무수한 사이버 역기능에 대해서는 자신의 문제가 아닌 양, 자신에게는 영향이 미치지 않을 것처럼 착각하며 살아간다는 점이다. 본인이 직접 당하기 전까지는 무심한 것이 지금의 사이버 시대를 살아가는 우리의 현실이다 보니 이 틈을 노려 사이버 범죄자들이 곳곳에서 버젓이 활개치며 어두운 미소를 짓는 게다.

먼저 각자 보안에 대한 ‘의식’을 강화할 필요가 있다.
위험한 환경이라는 인식이 커질수록 문단속과 왕래, 활동 등에서 주의를 기울이게 된다. 특히 청소년, 아동에게는 인터넷이 그들만의 세계, 마음껏 무언가를 할 수 있는 ‘무한 공간’이 아니라 ‘위험 공간’임을 자각케 해야 한다. 누군가와 메시지나 콘텐츠를 주고받는 과정에서 언제든지 피해를 입을 수 있으며, 단순히 상품에 눈이 어두워 개인정보를 임의로 제공해서는 안 되고, 나 외의 다른 사람의 정보를 사용하는 것도 주의해야 한다. 공적인 장소에서 컴퓨터나 인터넷 사용시 민감한 정보의 전송을 자제하고, 사적인 장소일지라도 불법침입의 긴장을 놓지 말아야 한다.  

다음으로 보안에 대한 적극적인 ‘행동’이다.
사이버시대를 살아가는 우리에게 인터넷이라는 공간은 오락과 유흥, 대화와 만남, 심지어 쇼핑, 뱅킹 등 우리의 일상을 고스란히 반영한다. 점점 현실과 사이버의 구별이 모호해진다. 현실에서 사이버를 누리고, 사이버에서 현실을 확장해 간다. 이 속에서 우리의 행동은 더 많아지고, 많아지는 만큼 위험 요소로의 접근도 쉬워진다. 그렇다고 곳곳에 사이버 경찰을 배치하고 감시할 수도 없는 일이다. 개인마다 보안대책을 솔선수범해야 하는 이유가 여기에 있다. 보안 프로그램을 설치하는 것은 물론이고 때마다 자신의 컴퓨터와 인터넷 활동을 점검해야 한다. 중요한 자료를 수시로 백업해 두고, ID · 패스워드 등을 (가족 · 연인 사이에서도) 공유해서는 안 되며, 인터넷에서 타인의 불법적인 행동을 묵인하거나 간과해서도 안된다.

이 세계는 ‘내가’ 나서서 가꾸고 지킬 때 비로소 ‘우리’라는 공동체로서 가치 있고 보람있게 살아갈 의미가 있는 것이다. 뒷짐 지고 누릴 것이 아니라 걷어붙이고 나설 때다.@

1)이 조사는 매년 1월 1일 ~ 4월 15일까지 실시하고, 무료로 사용할 수 있는 번호와 상업용 핫 스팟(Hot spot), 우편번호(ZIP) 코드별로 집에 와이파이 네트워크가 연결돼 있는 지 여부와 사용 빈도 등에 대한 것을 인구 분포별로 분석한다. 이 자료는 ‘미디어 한국’, 2005년 6월 10일자 34면 내용을 참조한 것임.

       IT 칼럼니스트 김연수

중앙대학교 법대와 대학원을 거쳐 정보통신부의 개인정보분쟁조정위원회(한국정보보호진흥원 KISA)에서 근무하였으며, 미국에 유학하여 워싱턴대학교 로스쿨을 마치고(- 정보통신과 지적재산 법제 기술 전공), 현재 미국 퍼시픽 신학대학원에서 IT와 디지털의 관점에서 신학(성서)과 법제도에 대한 뉴 패러다임을 연구 중. 주요 저서로는 『사이버범죄 총람』, 『개인정보보호』, 『사이버 역기능』이 있고, , <사이버 범죄 속의 교회>, <세계를 가슴에 품은 남자> 등을 집필하고 있음.

위 글은 안랩닷컴  페이지에서도 제공됩니다.
안랩닷컴 보안정보 中 보안포커스 / 전문가 칼럼
[김연수의 IT&보안 칼럼] 뒷짐 지고 누릴 때인가?
보안에 대한 더 많은 정보 안랩닷컴에서 찾으세요

소셜 네트워크 서비스 공격

정보의 공유, 소통의 문화. 21세기를 대표하는 키워드 중 하나이다. 수많은 사람들이 온라인 상에서 동시다발적으로 소통의 바다속에 뛰어들고 있는 것이다. 과거 메신저, 온라인 카페, 뉴스그룹 등으로 대변되는 소셜 네트워크 서비스(SNS, Social Network Service)의 3대 대표주자로는 페이스북(Facebook), 트위터(Twitter), 마이스페이스(Myspace)을 들 수 있다.

이러한 인맥 네트워크는 참여한 사용자들은 쉽게 서로를 신뢰하고 있어 사이트 내에서 오고가는 대화내용이나 실행파일들에 대한 보안경계심이 상대적으로 낮을 수 밖에 없다. 그만큼 인맥 네트워크 내에서의 공격 성공확률이 높기 때문에 피해 사용자의 인맥을 통해 공격을 빠르게 확산시킬 수 있어 대규모 공격 수행이 가능해진다. 따라서, 공격자들도 보다 더 많은 관심을 갖고 소셜 네트워크 서비스에 대해 꾸준히 연구하고 공격하고 있다.

서비스 거부 공격

2009년 8월 트위터 서비스가 오전(현지시간) 해커들의 공격을 받아 먹통이 됐다. 6일(미국 동부시간 기준) 이날 오전 11시 30분까지 최소 2시간 이상 트위터 서비스에 접속되지 않았는데, 트위터측은 DDoS(distributed denial-of-service; 분산 서비스 공격) 공격이 원인이었다고 밝혔다.

이에 따라 트위터를 사용하던 사람들은 사이트 상태를 알기 위해 페이스북에 대거 글을 올리기 시작했는데, 페이스북 역시 DDoS 공격으로 일부 서비스가 차단되기도 했다.

트위터/구글 뉴스그룹 이용 봇넷

최근에 발견된 SNS를 이용한 봇넷의 특징은 다음과 같다.

n ■ 트위터를 이용한 봇넷 C&C (2009.08)
        C&C 명령 전달 방식: RSS 활용, Base64 인코딩 처리되어 탐지가 어려움
n ■ 악성코드 유포 방식: TinyURL 활용, Base64 인코딩된 압축파일(ZIP)로 탐지가 어려움
n ■ 악성코드: 해외 은행 관련 정보유출 트로이목마 (Win-Trojan/Banc)
n ■ 구글 뉴스그룹를 이용한 봇넷 C&C (2009.09)
        C&C 명령 전달 방식: RC4 스트림암호화 후 Base64 인코딩 처리되어 탐지가 어려움

미국 시각 8월 13일 소셜 네트워크 서비스(Social Network Service)인 트위터(Twitter)를 이용하여 악성코드에 감염된 좀비(Zombie) 시스템들의 네트워크인 봇넷(Botnet)으로 조정 명령들을 송신하는 것이 발견되었다. 분석 당시 송신한 명령으로는 특정 도메인에서 다수의 특정 파일을 다운로드 하는 명령이 존재하였다. 트위터의 RSS 기능을 이용해 좀비 시스템에 다른 악성코드를 다운로드 하도록 하여 감염을 시도한 것으로 분석된다.

해당 파일들을 다운로드하여 확인한 결과 아래 이미지와 같은 Base64로 인코딩 되어 있는 ZIP압축 파일이었다 해당 파일들을 디코딩해서 압축을 풀면 UPX로 실행 압축되어 있는 gbpm.exe 파일이 생성 (V3: Win-Trojan/Banc)된다. 해당 악성코드가 실행되면 DLL 파일 1개를 생성해서 웹 브라우저인 인터넷 익스플로러(Internet Explorer)와 파이어폭스(Firefox)가 특정 금융 관련 웹 사이트에 접속이 이루어지면 사용자가 입력하는 키보드 입력 값을 후킹하는 기능을 수행한다.

<그림> 트위터(Twitter)를 이용한 봇넷

또한, 9월 11일 구글(Google)의 그룹(Group) 서비스를 이용하여 특정 명령을 수신하는 악성코드가 발견되었다. 이번에 발견된 Grups 트로이목마(Win-Trojan/Grups)는 DLL 파일로 비주얼(Visual) C++ MFC(Microsoft Foundation Class library)로 제작되었으며 실행 압축은 되어있지 않다. 그리고 Rundll32.exe 를 이용해 자신을 실행하도록 되어 있다.

해당 악성코드는 중국에서 제작된 것으로 추정되는 특정 뉴스그룹(Newsgroup)에 접속하여 해당 그룹에서 게시한 RC4 스트림으로 암호화한 후 Base64로 인코딩한 게시물을 읽어들여 공격자가 지정한 특정 명령을 수신하여 실행하도록 되어 있다.

사회공학적 기법

이메일을 통한 악성코드 유포, 피싱 등 기존의 사회공학적 공격 기법이 소셜 네트워크 서비스에도 그대로 적용되고 있다.

6월 17일 해외에서 발견되었던 소셜 네트워크 서비스(SNS, Social Network Service)로 유명한 트위터(Twitter)의 초대 메일로 위장한 악성코드가 9월 28일 오전 국내에서 다시 발견되었다.

<그림> 트위터(Twitter)의 초대 메일로 위장한 악성코드

위와 같은 전자 메일을 통해서 전파되며 해당 전자 메일에는 Invitation Card.zip 이라는 파일이 첨부되어 있다. 해당 첨부 파일의 압축을 풀면 attachment.chm<다수의 공백>.exe 또는 attachment.pdf<다수의 공백>.exe 라는 351,232 바이트 크기의 파일이 생성된다. 해당 악성코드가 실행이 되면 외부에 존재하는 시스템에서 또 다른 악성코드인 Virut 바이러스를 다운로드 한 후 실행하여 시스템에 존재하는 정상 파일들의 감염을 시도한다.

또한, 2009년 10월 27일부터 현재까지 대표적인 소셜 네트워크 서비스(Social Network Service)인 페이스북(Facebook)과 마이스페이스(MySpace)를 사칭하는 악성 이메일이 지속적으로 유포 중에 있다.@

<그림> 페이스북(Facebook)의 계정관리 메일로 위장한 악성코드

※  본 원고의 저작권은 한국인터넷진흥원(KISA)과 안철수연구소 시큐리티대응센터(ASEC)에 있습니다.

DDoS 공격 형식은 크게 네트워크 부하를 크게 주어 공격 대상 뿐만 아니라, 공격자 - 피해자 사이의 네트워크 경로 전체 중 대역폭(Bandwidth)이 충분히 확보되지 않는 구간을 시작으로 점차 전 구간이 서비스 불능 상태에 이르게 되는 방식과 공격자 – 피해시스템 사이의 공격 경로에는 큰 영향을 주지 않으면서도 원하는 타겟 서비스 만을 서비스 불능 상태에 이르게 만드는 방식이 있다. 후자의 경우, 좀비PC가 충분히 확보되지 않은 상황에서 효과적으로 피해시스템을 공격할 수 있는 방식이므로 최근에 많이 선호되고 있다고 할 수 있다.

<그림> DDoS 공격 형식
 

DDoS 공격은 공격 대상을 상대로 상업활동 등 금전적인 행동 자체를 마비시킬 수 있는 가장 강력한 수단이다. 현존하는 보안 솔루션으로는 DDoS 공격을 완벽하게 방어한다는 것이 현실적으로 어렵고, 대기업 수준의 큰 업체가 아닌 경우라면 DDoS 전용장비 등 보안솔루션 도입 자체가 어렵기 때문에 DDoS 공격에 속수무책으로 당할 수 밖에 없다.

따라서, 앞으로도 DDoS 공격을 이용한 금전적 이윤 추구 목적의 사이버 범죄 행위는 당분간 지속될 것으로 보인다.

<그림> DDoS 공격 사례 및 동향

시간대별 공격 스케쥴 적용

7.7 DDoS 인터넷대란을 통해 DDoS 공격의 시간대별 공격 스케쥴링 기법이 확인된 이후, 유사한 방식을 채용한 DDoS 공격이 또 한차례 감지되어 실제 피해를 준 사례가 확인된 바 있다. 해당 공격의 피해 시스템은 주로 인터넷도박과 관련된 사행성 업체였던 점이 특이할 만한 사항이라 하겠다. 이 또한, 상업행위를 수행하는 업체를 대상으로 DDoS 공격을 협박의 미끼로 삼아, 금전적인 이윤 추구를 노리는 조직적인 범죄 행위가 수반된 경우라 할 수 있다.

DDoS 에이전트: 악성코드(Win-Trojan/SynAttack)

• 전체적인 동작원리는 서비스로 등록된 후, 공격에 필요한 정보를 원격 컨트롤 서버로부터 동적으로 받아와서 SYN Flooding 공격을 수행하는 악성코드이다.

• 감염 PC1대당, 평균 초당 34K pps, 초당 2.1M bytes의 상당한 트래픽을 유발시켜 네트워크 망에 상당한 부담을 주고 있는 것이 특징이다.@

 <지난 7.7 디도스 대란에서 경험했듯이 국가적 차원에서 정부와 민간의 효과적인 디도시 대응체제를 구축하는 일은 물론 사용자에게 신뢰할 수 있는 인터넷 환경을 위한 기업의 투자도 필요한 시점이다.>

※  본 원고의 저작권은 한국인터넷진흥원(KISA)과 안철수연구소 시큐리티대응센터(ASEC)에 있습니다.