세상에서 가장 안전한 이름, 안철수연구소

보안SW 선택기준은 보안회사의 신뢰성

조사결과 사용자들은 보안소프트웨어 구입 및 다운로드 시에 고려하는 요소로 보안회사의 신뢰성이 32%를 차지해 가장 높은 것으로 나타났고, 차단과 방역 성능은 14.3%, 주위의 평판이 12.7%를 차지해 뒤를 이었습니다.

보안제품 관련 정보는 포털 사이트(28.5%), 주변 지인(16.3%), 보안업체 홈페이지(13%) 순으로 나타났습니다. 또한, 악성코드 및 보안위협에 대한 관련 정보는 응답자의 28.5%가 포털 사이트에서 얻는 것으로 나타났고, 다음으로 전문가 커뮤니티 (15.4%), 인터넷 블로그/카페 (12.2%) 등으로 나타났습니다. 이는 작년 상반기에 비해 사용자가 전문가 커뮤니티, 인터넷 블로그 및 카페 등 정보탐색 채널이 전보다 다양해 지고 있음을 보여주고 있습니다.

사용자의 백신 및 보안제품 설치 계기는 예방목적으로 반드시 설치해야 하는 것이라서가 31.9%로 가장 높았으며, 보안위협에 대한 불안감이 27.9%, 사용하다 문제가 생겨서가 14.7%, 사용하던 제품을 습관적으로가 8.9%, 주변권유가 7.6%로 나타났습니다. 또한 사용자들이 보안제품 및 백신을 구입하는 경로로는 보안회사의 홈페이지가 66.2%를 차지해 SW 전문점(11.1%), 인터넷 쇼핑몰(10.4%)과 압도적인 차이를 보였습니다.

위의 두 가지 결과는 7.7 DDoS 사이버 대란, 대규모 개인정보유출 사태 등 사이버 보안 위협의 증대 속에서 개인들의 보안의식이 다소 높아지고 보안기업의 역할이 확대되고 있다고 해석 가능합니다.

보안회사의 인지도 조사에서는 안철수연구소가 비보조인지도(아무런 정보가 주어지지 않은 상태에서 조사) 80.3%를 보여 10% 미만의 여타회사와 큰 차이를 보였으며, 보안회사 선호도에서도 안철수연구소는 78.6%로 2% 미만의 기타 업체들과 큰 차이를 나타냈습니다.

국내 무료백신 선호도에서는 V3라이트(V3 Lite)가 53.1%를 차지해 단연1위로 나타났습니다. 또한, 안철수연구소는 하드웨어/소프트웨어 관리에 적합한 회사로 72.8%로 압도적인 지지를 받았는데 이는 개인용 PC 통합 백신 V3 365클리닉의 원격지원 서비스인 ‘PC 주치의’ 서비스 때문이라 할 수 있겠습니다. 원격 지원 서비스 이용의향 이유로는 A/S 기사가 따로 방문 하지 않아도 되서가 30.6%로 가장 높았으며, PC문제가 잘 해결 될 것 같아서가 26.3%, 편할것 같아서가 19.1%, 시간이 절약될 것 같아서가 18.4%로 그 뒤를 이었습니다.

안철수연구소는 이번 조사에서 75.9% 기업 존경지수를 보였는데 IT대표 기업들의 존경지수가 50%수준임을 감안하면 매우 높다고 볼 수 있습니다.

이번 조사는 인터넷 웹 조사를 통해 실시되었으며, 95% 신뢰수준에 표본오차는 ±3.57입니다. Ahn

무료백신 V3 Lite 사용자 1000만 돌파!

-자발적 설치로 정식 서비스 10개월 만에 이룬 성과

-순수 자체 기술, 실시간 긴급대응 체계로 신뢰 구축

-위험 사이트 차단 서비스 ‘사이트가드’ 700만 돌파
 

무료 백신 ‘V3 Lite’는 지난해 12월 정식 서비스 이후 약 10개월 만에 1000만 사용자를 확보 했습니다. 이는 사용자가 인식하지 못한 상태에서 설치하거나 인터넷 전용선 설치 때 강제 설치하는 등의 방식이 아닌 순수하게 사용자가 필요를 느껴 직접 설치하도록 하는 방식으로 이룬 성과여서 의미가 큽니다.

특히 ‘V3 Lite’는 전문성과 신뢰성을 갖춘 보안 전문 업체가 제공한다는 점에서 차별됩니다. 돈을 노리고 지역적 국지적으로 발생하는 최근 악성코드를 가장 잘 진단/치료하고, 24시간 365일 긴급 대응 서비스가 제공된다는 점에서 신뢰를 주고 있습니다. ‘V3 뉴 프레임워크’를 적용해 용량이 매우 가볍고 작동 속도가 빠르며, 실시간 검사/진단/치료는 물론 다른 무료 백신은 제공하지 않거나 불완전하게 제공하는 PC 최적화, 툴바 관리, 자체 보호 기능을 제공하는 것이 특징입니다.  

위험 사이트 차단 무료 보안 서비스인 ‘사이트가드’는 국내에서 처음 시도된 웹 보안 서비스로서 2008년 8월 서비스 개시 이후 최근 사용자 700만을 돌파했습니다.

‘사이트가드’는 위험한 인터넷 사이트를 경고 및 차단해 사용자의 PC와 개인 정보를 보호하는 신개념 클라우드 보안 서비스입니다.

해킹으로 악성 스크립트가 삽입된 웹사이트, 웹 애플리케이션의 취약점을 공격하는 웹사이트, 악성코드 유포 사이트와 사기/피싱 사이트의 접속을 사전에 차단합니다. 또한 포털 사이트에서 검색 시 1차 검색 결과 화면에 해당 링크의 위험 여부를 표시하고, 파일 다운로드 시 악성코드 유무를 검사해 감염된 파일을 삭제합니다.

‘V3 Lite’는 PC에 저장된 파일의 입출력 과정을 검사해 치료해주며, ‘사이트가드’는 악성코드가 유입되는 경로를 차단합니다. 따라서 ‘V3 Lite’와 ‘사이트가드’를 함께 사용하면 이중 보안 장치를 갖출 수 있습니다.

이 두 가지 무료 보안 서비스는 개인만 사용할 수 있으며 기업 및 공공기관, 단체, PC방 등은 유료로 라이선스 계약 후 사용할 수 있습니다. 안철수연구소는 유료 모델로 V3 365 클리닉(개인용), V3 Internet Security 8.0(기업용), V3 MSS(중소기업용), 사이트가드 프로(기업용)를 제공합니다.

인터넷사업본부장 임영선 상무는 “V3 Lite와 사이트가드는 20년 간 축적해온 자체 기술력과, 24시간 365일 지속되는 긴급대응 시스템으로 사용자의 신뢰를 얻고 있습니다. 고품질 무료 서비스를 제공하는 한편 프리미엄급 유료 서비스로 다양한 고객의 요구를 모두 충족하도록 노력할 것이다.”라고 강조했습니다.

한편, 안철수연구소는 최근 글로벌 표준의 무료 압축 프로그램인 V3 집(V3 Zip(www.V3Zip.com)을 개발, 개인 사용자에게 무료 제공하고 있습니다.

 100 퍼센트 완벽한 백신은 없다  

 

첫째, 어떤 백신 프로그램도 모든 악성코드를 진단하지 못한다. 백신 프로그램은 새롭게 발견된 악성코드의 고유 시그니처를 추가해서 진단/치료하는 프로그램이다.

신종 악성코드에는 취약하다는 단점에 유사 변형을 진단하는 특성진단(Generic detection) 및 의심스러운 코드를 진단하는 휴리스틱 진단(Heuristic detection) 등으로 알려지지 않은 악성코드를 진단할 수 있다.
 
하지만, 악성코드 제작자 역시 백신 프로그램으로 테스트하며 진단 회피 방안을 계속 마련하고 있으므로 이들 기술로도 완벽하지 않다.

둘째, 신종 악성코드에 대비하기 위해 꾸준한 업데이트가 필요하다. 백신 프로그램은 새로운 악성코드를 진단할 수 없기 때문에 꾸준한 업데이트가 필요하다.

1991년에는 일년에 4차례 업데이트가 이뤄졌다. 1996년에는 한 달에 한번 업데이트를 권했으며 1998년에는 매주 업데이트를 권했다. 하지만, 1999년에는 매일 업데이트를 진행한 업체가 등장했으며 2004년에는 매시간, 2008년에는 매 5-15분 업데이트 주기 제품이 등장했다.  

셋째, 악성코드 위협과 대응 시간에 격차가 존재한다. 악성코드 수가 증가함에 따라 백신 업체는 업데이트 주기를 단축하기 위해 노력하고 있다.

하지만, 현재와 같은 ‘접수’ –> ‘분석’ –> ‘시그니처 작성’ –> ‘테스트’ –> ‘배포’ 과정까지 빠르면 3시간 정도에서 늦으면 하루에서 며칠씩 걸릴 수 있다. 새로운 시그니처 작성 시간 동안 사용자의 컴퓨터는 신종 악성코드에 감염되어 피해를 당할 수 있다.

넷째, 정상 파일을 악성코드로 진단하는 오진이 발생할 수 있다. 잘 알려지지 않은 프로그램에서 시스템의 중요 파일을 악성코드로 오인해 삭제할 수 있다.

백신 업체에서는 오진을 줄이기 위해 노력하고 있지만 사용자들 역시 평소 잘 사용하던 프로그램이 악성코드로 진단되면 오진을 의심해 봐야 한다.

다섯째, 치료 후 감염 파일이나 시스템이 악성코드 감염 이전과 동일하지 않을 수 있다. 정상 파일에 바이러스가 감염되면 파일 내용 중 일부가 변하는데 감염 되기 전 데이터를 보관하지 않을 경우 치료 후에도 이전 값으로 동일하게 돌아가지 않을 수 있다.
또, 악성코드에 감염되면서 변경하거나 추가한 레지스트리나 파일 내용이 남아 있을 수 있다. 이런 특히 쓰레기 파일이 완전히 복원되지 않아 악성코드를 치료한 후에 에러 메시지가 뜨거나 파일이 정상적으로 실행되지 않을 수 있다.

백신 프로그램은 이렇게 몇 가지 한계가 있지만 초보자부터 파워 유저까지 악성코드에 감염된 시스템과 파일을 진단/치료하는데 큰 도움을 주는 프로그램이다.

다만, 백신 프로그램만 너무 맹신하는 것보다 백신 프로그램의 한계를 잘 이해하고 평소 보안 습관을 잘 지키는 것이 안전한 컴퓨터 사용을 위해 무엇보다 중요할 것이다.


글 : 악성코드 분석가 차민석

위 글은 안랩닷컴    페이지에서도 제공되고 있습니다.

보안에 대한 더 많은 정보 안랩닷컴"에서 찾으세요 :D

인터넷을 조금 더 편리하게 사용하기 위해 툴바(Tool Bar)를 설치해본 경험이 누구나 있을 것이다. 툴바의 검색란에 원하는 검색 키워드를 입력해주면 미리 지정된 온라인 검색 사이트에서 바로 검색되도록 해주는 기능, 정해진 마우스의 움직임에 따라 뒤로 가기, 앞으로 가기, 새로 고침, 창 닫기, 새 창/새 탭 열기 등의 기능을 편리하게 사용할 수 있는 마우스 액션 등이 대표적으로 툴바가 제공하는 기능들이다.

그러나, 이렇게 사용자에게 편의성을 제공해주는 이로운 툴바들이 있는 반면에, 오히려 사용자들을 불편하게 만드는 악의적인 목적의 툴바들도 웹 상에 많이 퍼져있다. 이러한 악의적인 툴바들은 다음과 같은 기능들을 갖는다.

게다가 이러한 악의적인 툴바들은, 언인스톨 기능이 아예 없거나, 사용자가 해당 툴바를 지우려고 해도 정상적으로 지워지지 않으며, 실행 중인 사실 자체를 숨겨가면서 계속 사용자들을 괴롭히기도 한다.

그렇다면 어떤 툴바를 사용하는 것이 좋을까?

인터넷 상에서 서비스되고 있는 수 많은 공유 사이트, P2P 사이트, 쇼핑몰 등을 찾아가보면, 서비스 이용을 원활하게 하기 위한 명분으로 각자의 툴바 설치를 권유하고 있는 것을 적지 않게 볼 수 있다. 이러한 여러 가지 인터넷 사이트들의 경우, 위에서 언급한 악의적인 기능의 파일들을 사용자가 인식하지 못하도록 교묘하게 숨겨서 툴바와 함께 설치하고 있지는 않는지 한번쯤은 의심해봐야 한다.

물론, 실제로 서비스 이용을 편리하게 도와주기 위한 정상적인 기능 만을 포함하고 있는 툴바들도 많지만, 악의적인 프로그램들의 경우, 백신 업체에서 악성 프로그램으로 진단하기 위한 ‘진단 근거’들을 피해가기 위해, 사용자 약관에서 눈에 잘 띄지 않는 부분에 설치 여부를 조그맣게 명시해두거나, 사용자 동의를 위한 체크 박스를 잘 보이지 않는 곳에 숨겨두는 등, 백신 업체의 진단을 피해가는 수법들이 다양해지고 있다.

위와 같은 사실들을 볼 때, 사용자는 자신이 이용하고 있는 사이트에서 배포되는 툴바 또는 프로그램들을 설치할 때, 번거롭더라도 한번쯤은 약관을 꼭 살펴보고, 함께 설치되는 프로그램으로 체크되어 있는 것들은 무엇이 있는지 꼼꼼하게 확인해주는 것이 안전하다.

또한 사용자가 필요에 따라 직접 툴바를 찾아서 설치하고 싶을 경우에는 대형 포털 사이트에서 제공하는 툴바, 또는 신뢰할 수 있는 소프트웨어 제작사에서 제공하는 툴바에 한해서 설치하는 것이 좋겠다.

원치 않는 툴바, 어떻게 확인하고, 어떻게 지울 수 있을까?

이런 악의적인 프로그램들의 경우 인터넷 브라우저와 함께 동작하는 경우가 대부분이기 때문에, 다음과 같은 방법을 통해 자신의 컴퓨터에 어떤 종류의 툴바, 기능, ActiveX 등이 설치되어 있는지 확인해볼 수 있다.

<Internet Explorer 7의 경우>

Internet Explorer 7 버전의 경우, 상단 메뉴의 ‘도구 -> 추가 기능 관리 -> 추가 기능 사용 또는 사용 안 함’ 을 차례로 선택하여 브라우저의 추가 기능들을 확인해볼 수 있다.

[그림 2 IE7의 추가 기능 관리 #1]

[그림 2]에서 보는 것처럼, 추가 기능 관리 창을 통해 사용자는 자신의 인터넷 브라우저에 어떤 기능들이 설치되어 있는지 확인할 수 있다. 가장 기본적으로는 ‘게시자’를 확인하여 내 컴퓨터에 설치된 기능들이 신뢰할 만한 회사에서 만든 프로그램인지 확인하는 것이 중요하다. 단순히 ‘게시자’만을 통해서 확인하기 어려울 경우에는 명시된 이름을 웹 상에서 검색해보는 것으로도 충분한 정보를 얻을 수 있을 것이다.

추가 기능 관리 창 상단의 풀다운 메뉴 선택을 통해 여러 가지 방식으로 설치된 기능들을 확인 할 수 있다. 사용을 원하지 않거나 필요가 없다고 생각되는 기능들의 경우, 간단히 해당 항목을 선택한 후 ‘사용 안 함’ 란에 표시해주면 해당 기능이 사용 해제가 된다. ActiveX 컨트롤의 경우에는 삭제하는 것도 가능하다.

<Internet Explorer 8의 경우>
 

Internet Explorer 8 버전의 경우, 상단 메뉴의 ‘도구 -> 추가 기능 관리’ 를 선택하면 브라우저의 추가 기능들을 확인해볼 수 있다.

Internet Explorer 8 버전도 7 버전과 마찬가지로, 게시자 및 이름 등을 통해 해당 기능들이 정상적이고, 이로운 기능들인지 열람해보는 것이 가능하며, 원하지 않는 기능의 경우 마우스 오른쪽 버튼을 클릭하여 ‘사용 안 함’을 클릭해주는 방식으로 해당 기능을 사용하지 않도록 설정하는 것이 가능하다.

[그림 6]에서 보는 것처럼, 왼쪽의 표시 메뉴 선택을 통해 현재 브라우저에 설치되어 있는 여러 종류의 기능들을 확인해볼 수 있다.

이렇게 손쉽게 인터넷 브라우저의 추가 기능 관리를 통해, 설치된 여러 가지 기능들을 사용 해제하고 삭제하는 것이 가능하지만, 한가지 조심해야 할 것은 악의적인 기능으로 확실하게 확인되지 않은 기능들에 대해 무분별하게 설정을 변경하게 되면, 기존에 정상적으로 이용하던 인터넷 뱅킹 또는 그 외 여러 가지 인터넷 서비스들에 장애가 생길 수도 있다는 점이다.

간단히 위와 같은 절차를 통해 삭제 또는 사용 해제를 하는 것이 가능한 툴바 및 프로그램들도 있지만, 글의 서두에서도 한번 언급했듯이 악성 프로그램들의 경우, 언인스톨이 매우 어렵거나, 아예 삭제 메뉴 자체가 보이지 않도록 되어 있는 경우가 많다.

이렇듯 설치되는 방식이 정상적이지 않고, 악의적인 기능을 하는 것이 명백한 툴바들의 경우, 여러 백신 업체에서 제공하는 백신 프로그램들을 통해 해당 파일들을 삭제하는 것이 가능하다.

안철수 연구소의 경우, V3 365 클리닉, V3 Lite, V3 인터넷 시큐리티 제품군 등을 통해 이러한 스파이웨어 및 애드웨어들에 대한 치료 기능을 제공하고 있다.

1. 인터넷 사용 중, ActiveX 또는 각종 프로그램들에 대한 설치 동의 창이 나타나는 경우, 나에게 꼭 필요한 것인지, 배포하는 곳이 신뢰할 만한 곳인지 항상 확인한다.

2. Windows Update 설정을 통해 항상 자동으로 최신의 MS 보안 업데이트 패치가 설치되도록 설정해둔다.

3. 백신 프로그램을 설치하여 최신 엔진으로 업데이트 되도록 하고, 실시간 감시가 항상 동작할 수 있도록 설정한다.

글: ASEC(시뮤리티대응센터) 윤병무

위 글은 안랩닷컴    페이지에서도 제공되고 있습니다.

보안에 대한 더 많은 정보 안랩닷컴"에서 찾으세요 :D

최근 악성코드, 해킹, DDoS(분산서비스 거부) 공격 등 각종 보안위협이 복합화되고 지능화되어 가는 가운데, 안철수연구소가 이러한 전방위 보안위협에 신속하고 정확하게 대응할 수 있는 신기술을 선보였습니다.

안철수연구소는 13일 김홍선 대표이사 등 경영진이 참석한 가운데 서울 프레스센터에서 ‘클라우드 보안 서비스 전략 기자발표회’를 열고, 차세대 클라우드 보안 서비스의 신기술 개발에 성공했다고 발표했습니다.

 ‘ACCESS(AhnLab Cloud Computing E-Security Service)’로 명명된 안철수연구소의 클라우드 보안 서비스는 기존 ASEC(시큐리티대응센터)의 악성코드 수집 및 분석 능력과 CERT(침해사고대응팀)의 위협 모니터링 및 대응 서비스를 지능형 기술로 받쳐주는 플랫폼입니다. 이 플랫폼은 기존의 각종 보안 관리 데이터베이스(DB)와 유기적으로 결합하여 악성코드 수집과 분석, 배포 과정을 혁신적으로 개선하며, 종합적인 대응 체제가 가능하게 됩니다.

김홍선 사장은 “최근 클라우드 컴퓨팅은 IT의 화제다. 그런데, 정보 보안이야말로 클라우드의 개념이 가장 필요로 하는 분야다. 왜냐하면 최근 위협은 글로벌하고 입체적으로 전개되고 있기 때문에, 이런 위협에 대해 실시간에 대응하고, 더 나아가 사전 예방하기 위해서는 위협의 분석과 대응이 클라우드에서 처리되는 것이 최선의 선택이다” 라며 안철수연구소가 클라우드 전략으로 방향을 선택한 배경에 대해 밝혔습니다.

ACCESS의 탄생 배경과 구조

지난 주 발생한 DDoS 복합 공격의 사례와 같이 최근 보안위협은 악성코드와 DDoS, 해킹 등을 복합적으로 활용한 형태로 전개됩니다. 특히 치밀한 계획으로 타겟 공격을 수행하기 때문에 항상 새로운 수법이 동원되며, 그런 점에서 범용으로 대처하는 제품이나 장비만으로는 이러한 신규 공격에 대처하는데 뚜렷한 한계가 노출되었습니다. 이에 보안전문기업인 안철수연구소는 2008년부터 궁극적인 대안으로 클라우드 아키텍처를 집중적으로 연구해 왔으며, 그 결과 ACCESS를 발표하게 된 것입니다.

 ACCESS의 핵심은 ‘종합위협 분석엔진’입니다. 여기에서는 위협의 근원이 되는 악성코드와 해킹 기법을 실시간으로 수집하여 실시간 탐지 및 치료는 물론 시그니처 DB를 다이나믹하게 생성합니다. 이 결과는 기존 ASEC과 CERT, 그리고 유관 전문 기관과의 업무와 실시간으로 연계되어, 기존의 프로세스의 정확성을 제고하고 시간을 크게 단축시키고 있습니다.

각 사용자와 제품에 맞게 서비스는 이 엔진을 중심으로 구성되는 서비스 프레임워크를  통해 진행되어, 각 사용자에 적합한 서비스와 제품으로 연계가 이루어집니다. 이를테면 개인 사용자를 위해서는 V3 365 클리닉, 보안전문가가 없는 중소기업을 위해서는 V3 MSS가 클라우드 서비스를 제공하고 있습니다. 한편 DDoS 방지를 포함한 네트워크 보안 장비인 트러스가드, PC 보안관리 시스템인 ‘폴리시센터(APC)’, 24시간 관제 시스템과도 실시간으로 클라우드 엔진의 분석 결과가 공유됨으로써 일관성있고 종합적인 대응 체계를 구성하게 됩니다.

실시간 악성코드 탐지/차단 서비스 ‘스마트 디펜스’

안철수연구소는 클라우드 아키텍처에 대한 틀과 방향을 완성한 후, 지난해 하반기부터 클라우드 컴퓨팅(Cloud Computing) 개념이 적용된 실시간 악성코드 탐지/차단 서비스인 ‘스마트 디펜스(AhnLab Smart Defense)’에 전력한 결과, 신기술 개발에 성공하여 현재 베타테스트 중에 있습니다.

'스마트 디펜스’는 세계적 수준의 획기적인 신개념의 탐지 기술입니다. 기존 방식이 악성코드 시그니처를 PC에서 처리해왔던 반면 스마트 디펜스의 경우 중앙 서버 관리 방식을 활용함으로써 전세계 악성코드에 대해 실시간 탐지가 가능합니다. 즉, 수천만 개의 유형별 파일 DNA (파일의 시그니처) 데이터베이스를 중앙 서버에서 관리하며, PC내 파일이 악성코드인지 여부를 실시간으로 확인해줍니다. 이 과정은 프로그램 정보, 평판 시스템, 행위(behavior) 기반, 파일간 관계(relation), 악성코드 배포 경로 등의 다양한 분석이 종합적으로 반영된 지능형 시스템으로 구성됩니다. 또한 파일의 악성 여부를 파악하기 위해 필요로 하는 많은 리소스를 서버에서 수행함으로써 기존에 한계가 있었던 각종 악성코드 대응에 대해 발생 즉시 대처가 가능합니다.

DDoS 의 근원적 차단 플랫폼 선 보여

한편 안철수연구소는 이번 DDoS 공격에 긴급하게 대비하기 위해, ACCESS와 스마트 디펜스 기술을 활용해서 세계 최초로 DDoS 공격을 근원적으로 차단할 수 있는 방안을 공개했습니다. 이 기술은 최근 DDoS 악성코드 뿐만 아니라 변종 악성코드 및 아직 알려지지 않은 신종 DDoS 악성코드도 실시간으로 탐지/차단할 수 있습니다. 즉, 특정 파일이 지정된 임계치 이상의 트래픽 발생과 이상 징후의 행위를 하면 모니터링 센터에서는 해당 파일의 이상 행위가 악성코드인지 여부를 정밀 판독해 실시간으로 업데이트해 DDoS의 확산과 피해를 사전에 방어할 수 있습니다.

또한 이러한 분석 정보는 DDoS 방지를 전담할 수 있는 트러스가드와 24시간 관제 서비스에도 정보를 실시간으로 공유해서, 효과적으로 서비스 중단의 위험을 근원적으로 막을 수 있습니다. 한 마디로 PC에서 다이나믹하게 수집된 악성코드 정보가 여러 차원에서 활용되어 DDoS의 근원적 차단에 기여하게 됩니다.

이미 안철수연구소는 지난 주 발생한 DDoS 공격에 대응하는 몇 일간의 밤샘 연구개발 과정에서 DDoS 악성코드에 대한 전용 탐지/차단 신기술을 별도 개발해 지난 10일 배포한 3차 전용백신에 처음으로 적용한 바 있습니다. 이는 ACCESS의 프레임워크와 스마트 디펜스라는 신기술 엔진을 기반으로, DDoS 공격에 포커스를 맞춘 서비스 프레임워크입니다.

안철수연구소는 ‘스마트 디펜스’ 기술을 통합백신 서비스인 V3 365 클리닉에 우선 이달 중 적용해 공식서비스할 예정이며 V3 제품군에 단계적으로 탑재할 계획입니다. DDoS 전용 신기술은 국내외에 특허 출원하는 한편 별도의 DDoS 전용 솔루션 개발 및 기존 제품 및 서비스 탑재 등에 박차를 가할 예정입니다.

또한 웹사이트 안전을 위해 클라우드 보안서비스 개념으로 개발한 위험 사이트 사전 차단 서비스인 ‘사이트가드(AhnLab SiteGuard)’를 개발해 서비스하고 있습니다. 따라서 개인들은 악성코드로부터 PC는 무료백신 V3 Lite로, 인터넷 웹사이트 위험으로부터는 ‘사이트가드’가 안전을 지켜주어 2중 차단 시스템을 완비하게 됩니다. 아울러 기업에도 사이트가드 프로와 V3 Internet Security 8.0을 공급하고 있습니다.

안철수연구소는 DDoS 대응 장비인 ‘트러스가드’와 24시간 관제 서비스 체제로 금번 DDoS에 성공적으로 대응했습니다. 이에 안철수연구소는 더욱 차별화되고 독보적인 보안컨텐츠를 기반으로 PC, 웹, 네트워크 등 모든 분야에 클라우드 보안 서비스 아키텍처를 적용해 나갈 계획입니다.

김홍선 사장은 “이번 DDoS 대란에서 입증되었듯이, 최근의 공격은 단순히 제품이나 장비로만 막을 수 없으며 보안관리와 서비스가 중요하다.”며 “악성코드와 DDoS 공격이 결합하는 등 보안위협이 복합화 지능화되고 있어 악성코드 분석력과 보안관제 서비스 등 전천후 통합보안 서비스가 필요하다. 무엇보다 보안은 선택이 아닌 필수이다”라고 강조했습니다.

이번 DDoS 공격으로 본 우리의 보안 실태 

본 문서는 안철수연구소 시큐리티대응센터(이하 ASEC )에서 이번 DDoS 공격에 대해 분석 및 대응 결과를 토대로 작성한 내용으로, 이번 DDoS 공격에 제한된 내용임을 미리 밝혀둔다.

7월 7일 하루가 저물어 갈 즈음, 안철수연구소 ASEC으로 국내 특정 정부기관을 대상으로 한 분산서비스거부(이하 DDoS, Distributed Denial of Service) 정황이 포착되기 시작하였다.

현재까지 (7/7 18:00 ~ 7/10 18:00) 총 3차에 걸친 DDoS 공격이 감행되었고, 공격에 활용되었던 DDoS 좀비 PC(감염 PC)들은 “소프트웨어적 하드디스크 손상”이라는 자기파괴증상을 끝으로 생을 마감하도록 설계되었다.

이번 DDoS공격의 특징을 꼽는다면…

이번 공격에 이용된 악성코드는 마이둠 변종(Mydoom.88064, Mydoom.33764, Mydoom.45056.D)과, 또 다른 악성코드를 내려 받는 다운로더(Downloader.374651), 공격 대상 웹사이트 목록을 담은 파일(BinImage/Host), 네트워크 트래픽을 유발하는 다수의 에이전트(Agent.67072.DL, Agent.65536.VE) 등이 있다.

이들 악성코드가 설치된 PC는 이른바 ‘좀비 PC’가 되어 일제히 특정 웹사이트를 공격한 것이다.

[그림2] 안철수연구소 V3 제품군에서 진단하고 있는 DDoS

악성코드들의 연관성 분석도

지금까지 분석된 악성코드의 특징은 다음과 같다.

내 PC가 감염여부 확인하는 방법은...

현재까지 나온 보안솔루션 중에, 가장 신속한 대응 수준을 유지하고 있는 것이 안철수연구소의 백신 제품이므로, 가장 최신의 V3로 점검하여 좀비PC로 활동여부를 점검하는 방안을 제안할 수 있다.

좀비PC로 활동하고 있다면, 일반적으로 상당량의 네트워크 트래픽을 발생하게 되어, PC가 느려지거나 인터넷 연결이 원활하게 이루어지지 않는 증상을 보이게 되므로, 예전과 달리 PC 사용에 어려움이 많다면 즉시 감염 여부를 의심하고 치료조치를 수행할 필요가 있다. 개인적인 조치가 어려울 경우, 우선 네트워크 선 분리 후 주변의 도움을 요청하는 방법도 있다.

또한, 좀비PC인 경우에도, 공격 비활성화 상태에서는 증상이 나타나지 않아 확인이 어렵게 때문에, 이 글을 보는 즉시, 좀비PC를 치료할 수 있는 백신을 최신으로 업데이트하여 치료해보는 것이 좋다.

이번 DDoS 공격의 끝은 어디인가

DDoS 공격에 참여한 모든 악성코드가 사라지는 그 날이 될 것이다. 따라서, 이번 DDoS 공격을 마무리 지을 수 있는 유일한 주체는 인터넷 상의 모든 PC 사용자임을 우리 스스로가 인식하고 행동해야 할 것이다.

우리나라 보안 수준은?

2008년 3월 코리안클릭이 조사한 결과에 따르면 국내 인터넷 사용자 중 백신을 설치하지 않은 사용자는 조사 대상자의 44.2%로 집계됐다. 또한 무료 백신 사용자는 36,6%, 불법 백신을 사용하는 사용자는 13.4%인 것으로 조사됐다.

정식 유료 백신을 사용하는 경우는 5.7%에 불과한 것으로 나타났다. 실제로 미국은 물론 일본만 해도 연간 백신시장 규모가 우리나라의 20배가 넘는 1조원에 이른다.

하지만 우리나라의 경우에는 1년에 3만~4만원의 개인용 백신프로그램 설치조차 비싸다고 외면하는 것이 현실이다. 더욱이 V3Lite와 같은 무료 백신이 있는데도 불구하고 설치하지 않고 있는 것이 더욱 안타깝다.


안철수연구소와 함께 안전한 세상 만들기

이번 일로 보안 경각심이 높아지는 것은 바람직한 일이다. 개인 PC에 보안시스템을 설치하지 않는 것이 이제 개인의 피해로 그치지 않는다는 것을 인식해야 한다.

자신의 부주의로 인해 PC 악성코드에 감염돼 자국의 주요 기관이나 또는 다른 국가의 주요 기관을 공격하는 사이버전쟁에 무기로 사용될 수 있다는 것을 알아야 한다. 막연한 공포나 의심은 경계하되, 정부나 믿을 수 있는 기관에서 발표하는 행동 수칙을 잘 지키는 데에서부터 모든 보안은 시작된다.

안철수연구소에서는 무료백신인 V3Lite와 유료백신 V3 365 클리닉 그리고 전용백신을 통해 사전 예방 및 치료 활동에 적극적으로 동참하길 권고한다.

백신만으로는 모든 악성코드에 대해 효과적으로 대응하기에는 어느 정도 한계가 있는 것도 사실이다. 따라서, 개인 사용자에게 기본적인 보안을 제공하기 위해 클라우드 보안서비스 개념으로 개발한 위험 사이트 사전 차단 서비스인 ‘사이트가드(AhnLab SiteGuard)’를 지난해 개발해 무료 제공하고 있다.

개인들은 악성코드로부터 PC는 V3 365 클리닉과 V3 Lite로, 인터넷 웹사이트 위험으로부터는 ‘사이트가드’가 안전을 지켜주어 2중 차단 시스템을 완비하게 된다.

또한,  클라우드 컴퓨팅 개념을 도입한 AhnLab Smart Defense 기술을 적용해 DDoS 공격에 이용되는 악성코드는 물론 알려지지 않은 악성코드에도 대처할 수 있도록 대응하고 있다.
--------------------------------------------------------
용어설명: 안철수연구소 ASEC(시큐리티대응센터, AhnLab Security Emergency response Center)은 최고의 악성코드 분석가 및 보안 전문가로 구성된 글로벌 대응조직으로 빠르고 정확한 정보와 엔진을 제공하고 있다. ASEC에서 제공하는 빠른 보안위협 정보를 ASEC 블로그(http://blog.ahnlab.com/asec)를 통해 확인할 수 있다.

김지훈 | 안철수연구소 시큐리티 분석가

안철수연구소의 시큐리티대응센터에서 취약점, 악성코드 및 네트워크 위협 분석을 담당하고 있다. 안철수연구소의 “안랩 칼럼니스트”뿐만 아니라, 다수의 보안 강연 및 컬럼니스트로 활동하고 있다. 일반인들이 쉽게 이해할 수 있도록 보안지식을 전파하는 "전문 보안교육전문가"가 되는 것이 그의 소박한 꿈이라고 한다.

 

위 글은 안랩닷컴    페이지에서도 제공되고 있습니다.

보안에 대한 더 많은 정보 안랩닷컴"에서 찾으세요 :D

안철수연구소는 1차 전용백신을 무료 제공한 데 이어 8일 저녁부터 안철수연구소를 비롯한 국내 웹사이트를 겨냥한 2차 DDoS 공격이 발생함에 따라 2차 전용백신을 개발해 9일 새벽 2시부터 무료 제공 중입니다.

이에 앞서, 안철수연구소는 2003년 1.25 인터넷 대란 이후 최고 수준의 전사 비상 대응 체제를 유지하고 일본 출장 중 급거 귀국한 김홍선 CEO를 중심으로 500여 전직원이 공익적 차원에서 국민적 안전을 위해 국가적 사이버 재난 사태에 총력을 기하고 있습니다. 

안철수연구소가 밤샘 분석 작업 끝에 악성코드를 해독한 결과 악성코드에 스케쥴러 기능이 설계돼 있음을 밝혔습니다. 이에 따르면, 기존 공격 대상 사이트 중 7개 사이트를 겨냥해 9일 18시부터 10일 18시까지 mail.naver.com, mail.daum.net, mail.paran.com, www.egov.go.kr, www.kbstar.com, www.chosun.com, www.auction.co.kr에 DDoS 공격을 하도록 코딩되어 있다고 합니다. 공격 대상과 시간은 변종 등에 의해 수시로 변경될 수 있습니다.

또한 8일 18시부터 9일 18시에는 www.mnd.go.kr, www.president.go.kr, www.ncsc.go.kr, mail.naver.com, mail.daum.net, mail.paran.com, www.auction.co.kr, www.ibk.co.kr, www.hanabank.com, www.wooribank.com, www.altools.co.kr, www.ahnlab.com, www.usfk.mil, www.egov.go.kr를 공격하도록 설계되어 있었습니다.

이는 7일에 발생한 공격 대상에서 변경된 것으로, 공격 대상 목록을 담은 파일(uregvs.nls)을 악성코드에서 자체 생성하는 것으로 추정되고 있습니다.

안철수연구소는 좀비 기능을 막기 위해 nls 파일을 차단하는 전용백신(http://kr.ahnlab.com/dwVaccineView.ahn?num=81&cPage=1)을 추가 개발해 개인은 물론 기업/기관에도 무료 제공 중입니다. 개인용 무료백신 ‘V3 LIte’(http://www.V3Lite.com)를 비롯해 ‘V3 365 클리닉’(http://v3clinic.ahnlab.com/v365/nbMain.ahn), V3 Internet Security 2007/7.0/8.0 등 V3 제품군 사용자는 사용 중인 제품의 최신 버전으로 진단/치료가 가능합니다.

현재 이번 DDoS 공격에 이용되는 악성코드를 완벽히 진단/치료하는 백신은 전세계에서 V3제품군이 유일합니다. 국가적 사이버 대란이 있을 때마다 앞장서 대책을 제시해온 안철수연구소는 이번에도 앞선 기술력과 긴급대응체제로 진화에 앞장서고 있는 것입니다. 안철수연구소는 변종 악성코드가 존재할 것으로 보고 변종 추적에 집중하고 있습니다.

안철수연구소 김홍선 대표는 “이번 DDoS 대란은 지속적으로 발생할 가능성이 높다. 공격 기지로 악용되는 개인 및 기업용 PC가 깨끗해져야 근본적으로 해결될 수 있다.”라며 “이번 사건으로 우리나라 정보보안 수준이 후진국 수준임이 드러났다. 개인은 물론 기업/기관 모두 정보보안의 중요성을 인식하는 계기가 되길 바란다.”라고 전했습니다.

한편 DDoS 공격을 받는 쪽에서는 트래픽을 적절히 분산하고 유해 패킷을 차단하는 등의 조치로 웹사이트 다운을 막을 수 있습니다. 웹사이트를 운영하는 기업/기관에서는 DDoS 차단 기능이 있는 네트워크 보안 솔루션이나 보안관제 서비스를 이용해 피해를 최소화하는 것이 중요합니다.

이번에 많은 웹사이트를 다운시킨 악성코드는 마이둠 변종(Mydoom.88064, Mydoom.33764, Mydoom.45056.D)과, 또 다른 악성코드를 내려받는 다운로더(Downloader.374651), 공격 대상 웹사이트 목록을 담은 파일(BinImage/Host), 네트워크 트래픽을 유발하는 다수의 에이전트(Agent.67072.DL, Agent.65536.VE, Agent.32768.AIK, Agent.24576.AVC, Agent.33841, Agent.24576.AVD)들입니다. 이들 악성코드가 설치된 PC는 이른바 ‘좀비 PC’가 되어 일제히 특정 웹사이트를 공격한 것입니다.

이 악성코드에 감염되면 PC내 일부 파일이 zip, zoo, arc, lzh, arj, gz, tgz 등의 확장자로 암호화되어 압축 저장됩니다. 또한 A~Z 드라이브의 물리적인 첫 시작 위치부터 ‘Memory of the Independence Day’라는 문자열이 저장돼 있어 정상적인 시스템의 MBR및 파티션 정보가 손상되는 증상이 발생합니다.

안철수연구소는 7일 저녁부터 국내외 웹사이트를 겨냥한 DDoS 공격이 발생함에 따라 ASEC(시큐리티대응센터)과 CERT(컴퓨터침해사고대응센터)를 비롯해 전사 비상 대응 체제를 가동하는 한편 DDoS공격을 유발하는 악성코드의 전용백신을 개발해 무료로 제공하고 있습니다.

이번에 많은 웹사이트를 다운시킨 악성코드는 마이둠 변종(Mydoom.88064, Mydoom.33764, Mydoom.45056.D)과, 또 다른 악성코드를 내려받는 다운로더(Downloader.374651), 공격 대상 웹사이트 목록을 담은 파일(BinImage/Host), 네트워크 트래픽을 유발하는 다수의 에이전트(Agent.67072.DL, Agent.65536.VE, Agent.32768.AIK, Agent.24576.AVC, Agent.33841, Agent.24576.AVD) 등입니다.

이들 악성코드가 설치된 PC는 이른바 ‘좀비 PC’가 되어 일제히 특정 웹사이트를 공격한 것입니다. 공격 대상은 청와대, 국방부, 옥션, 백악관, 야후 등 국내 13개, 해외 22개 사이트로 코딩되어 있으나, 공격자에 의해 변경/추가될 수 있습니다. 

안철수연구소는 이들 악성코드를 진단/치료할 수 있는 전용백신(http://kr.ahnlab.com/dwVaccineView.ahn?num=81&cPage=1)을 개발해 개인은 물론 기업/기관에도 무료로 제공하고 있습니다. 개인용 무료백신 ‘V3 LIte’(http://www.V3Lite.com)를 비롯해 ‘V3 365 클리닉’(http://v3clinic.ahnlab.com/v365/nbMain.ahn), V3 Internet Security 2007/7.0/8.0 등 V3 제품군 사용자는 사용 중인 제품의 최신 버전으로 진단/치료할 수 있습니다.

웹사이트를 운영하는 기업/기관에서는 DDoS 차단 기능이 있는 네트워크 보안 솔루션이나 보안관제 서비스를 이용해 피해를 최소화하는 것이 중요합니다.

최근 마이크로소프트 아웃룩 업데이트 메일로 위장한 악성코드가 국내 유입된 한편, 월드페이(WorldPay) 신용카드 결제 메일로 위장한 악성코드가 해외에서 발견돼 주의가 필요합니다.

 MS 아웃룩 업데이트 메일로 위장한 것은 이메일 제목은 아래와 같습니다.

등이며, 본문은 'MS 아웃룩 및 아웃룩 익스프레스의 업데이트를 위해 officexp-KB910721-FullFile-ENU.exe 파일을 실행하라'는 내용입니다. 

문제의 officexp-KB910721-FullFile-ENU.exe 파일은 ‘제트봇’ 변형(Win-Trojan/Zbot.81920.C)으로 특정 인터넷 사이트에서 다른 악성코드를 내려받는 다운로더의 기능이 있습니다.

따라서 사용자들은 피해를 막기 위한 방법은 아래와 같습니다.