세상에서 가장 안전한 이름, 안철수연구소

글로벌 통합보안 기업인 안철수연구소(대표 김홍선, www.ahnlab.com)는 지금까지 온라인 다운로드 방식으로만 제공되던 개인용 종합 PC 관리 서비스인 'V3 365 클리닉 PC주치의' (http://v3clinic.ahnlab.com/v3clinic/site/service/jspbuy_doctor.do)패키지를 전국 49개 홈플러스 매장에서 판매합니다. 이에 따라 PC사용에 친숙하지 않은 사용자들도 손쉽게 통합 백신을 설치하고 원격으로 PC 관리 서비스를 받을 수 있게 됐습니다.

국내에서는 처음으로 할인점에서 직접 판매되는 보안 소프트웨어인 이번 제품은 1회 구입으로 1년간 안철수연구소 보안 전문가들이 보안관련 문제뿐만 아니라 윈도우 운영체제(OS), 프로그램 오류 등 전반적인 PC 점검 및 문제 해결을 도와주는 PC주치의 서비스를 무제한으로 사용할 수 있습니다.

이를 통해 더욱 신뢰할 수 있는 PC 관리가 가능해 학생들은 물론 보안 및 PC활용 취약계층이었던 주부 및 장년 계층의 전체적인 수준을 제고 한다는데 의미가 있습니다. 또한, 가장 존경받는 기업인으로 손꼽히는 안철수 박사 (현 카이스트 석좌교수)가 패키지 모델로 나서 더욱 주목을 받고 있습니다. 이는 모든 연령대의 사용자들에게 친근하게 다가가는 동시에, 전 세대를 아우르는 보안의 생활화를 유도한다는 의미가 있습니다.

이번 패키지는 개인용 통합 보안 서비스인 ‘V3 365 클리닉 스탠다드’ (http://www.ahnlab.com/kr/site/product/productView.do?prodSeq=15&svccode=aa1001&contentscode=219)와 보안 전문가의 PC 원격지원 서비스인 ‘PC주치의’ (http://v3clinic.ahnlab.com/v3clinic/site/remote/jspserviceNotice.do)를 하나로 묶은 것으로 3대의 PC까지 동시 설치 및 사용이 가능합니다. 이는 22년의 V3 기술 노하우와 신뢰를 바탕으로 통합 백신과 방화벽 등의 보안 기능은 물론, PC 사용과 관련된 모든 문제를 끝까지 책임지고 해결하는 새로운 개념의 종합 PC관리 서비스입니다.

이번 제품은 홈플러스 영등포점, 잠실실, 강동점, 월드컵점, 야탑점 등 전국 각 지역 49개 매장에서 구매가능하며, 판매 기념 캠페인으로 9월 12일까지 정가대비 약 30% 할인된 49,500원에 특가로 제공하고, 모든 구매고객에게 5,000원의 홈플러스 상품권도 함께 증정합니다. 또한 모든 제품에 안철수 박사의 사진과 메시지가 담긴 엽서 6종이 포함되어 있습니다.

안철수연구소는 출시와 함께 트위터, 블로그, 웹사이트 상에서 다채로운 사은 행사를 개최합니다. V3 365 클리닉 PC주치의 이벤트페이지 (http://v3clinic.ahnlab.com/v3clinic/site/event/jsp2010_0701.do)에서 제품사진과 함께 사연을 올리는 블로그 이벤트를 진행해 1등에게 PC주치의 평생이용권을 증정하고, 이 외에도 총 150명에게 홈플러스 상품권을 증정한다. 또한, 기업 공식 트위터(@AhnLab_man)에서는 매장에서 제품 사진을 찍어 보내는 인증샷 보내기 이벤트를 진행해 총 9주간 매주 30명에게 기프티콘을 증정합니다.

한편, 안철수 박사가 제품 패키지의 모델로 등장한 것은 1996년 ‘V3 PRO 95’ 이후 처음입니다. <Ahn>

- 전용백신 배포..악성코드 치료해야 근본적 해결

글로벌 통합보안 기업인 안철수연구소(대표 김홍선 www.ahnlab.com)는 7일 저녁 지난해 DDoS 공격 대상이었던 웹사이트 중 일부에 공격이 재발한 것은 작년에 치료되지 않은 좀비 PC에서 발생한 것이라고 밝혔다.

작년 분석 당시 컴퓨터 날짜 기준 2009년 7월 10일 0시 이후에 하드 디스크가 손상되는데, 이때 조건(닷넷 프레임 미설치 상태 등)이 맞지 않아 손상되지 않은 PC이거나 이후에 감염된 PC가 공격을 한 것으로 추정된다. 그러나 그 수는 많지 않은 것으로 보인다.

8일과 9일에도 지난해와 같은 공격이 발생할 가능성이 있으므로 각 개인 및 기업의 PC 사용자는 백신으로 진단/치료해야 한다. 안철수연구소는 8일 01시경부터 DDoS 공격을 유발하는 악성코드의 전용백신(www.ahnlab.com)을 개발해 개인은 물론 기업/기관에도 무료 제공 중이다. 이 전용백신은 지난해에 발견된 파일 11개 중 변형된 파일(wmiconf.dl)에 대한 진단/치료 기능이 추가된 것이다.

전용백신 외에도 개인용 무료백신 ‘V3 LIte’(http://www.V3Lite.com)를 비롯해 유료 보안 서비스인 ‘V3 365 클리닉’(http://v3clinic.ahnlab.com/v365/nbMain.ahn), V3 Internet Security 2007/7.0/8.0 등 V3 제품군 사용자는 사용 중인 제품의 최신 버전으로 진단/치료할 수 있다.

한편, DDoS공격을 유발하는 악성코드는 총 11개의 파일이 유기적으로 작동한다. DDoS공격으로 네트워크 트래픽을 유발하는 다수의 에이전트(Agent.67072.DL, Agent.65536.VE, Agent.32768.AIK, Agent.24576.AVC, Agent.33841, Agent.24576.AVD)와 마이둠 변종(Mydoom.88064, Mydoom.33764, Mydoom.45056.D, 또 다른 악성코드를 내려받는 다운로더(Downloader.374651), 공격 대상 웹사이트 목록을 담은 파일(BinImage/Host)들이다.

안철수연구소 조시행 상무는 “사용자의 PC가 DDoS 공격에 악용되지 않게 하려면 평소 보안 수칙을 실천하는 것이 중요하다. 운영체제의 보안 패치를 최신으로 유지하고, 백신 프로그램을 설치해 항상 최신 버전으로 유지하고 실시간 검사 기능을 켜두어야 한다. 또한 이메일, 메신저의 첨부 파일이나 링크 URL을 함부로 열지 말고, P2P 사이트에서 파일을 내려받을 때 백신으로 검사하는 습관이 필요하다.”라고 강조했다.

또한 웹사이트를 운영하는 기업/기관에서는 DDoS 차단 기능이 있는 네트워크 보안 솔루션이나 보안관제 서비스를 이용해 피해를 최소화하는 것이 중요하다.

<좀비 PC 예방 대책 10계명>

DDoS 공격에 이용되는 악성코드에 감염되지 않으려면 PC 사용자는 다음의 보안 수칙을 지켜야 한다.

. 윈도 운영체계는 최신 보안 패치를 모두 적용한다. 
. 인터넷 로그인 계정의 패스워드를 자주 변경하고, 영문/숫자/특수문자 조합으로 6자리 이상으로 설정한다. 로그인 ID와 패스워드를 동일하게 설정하지 않는다. 
. 웹 서핑 때 액티브X '보안경고' 창이 뜰 경우에는 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의하는 '예'를 클릭한다. 잘 모르는 프로그램을 설치하겠다는 경고가 나오면 ‘예’ ‘아니오’ 중 어느 것도 선택하지 말고 창을 닫는다.
. 이메일 확인 시 발신인이 불분명하거나 수상한 첨부 파일이 있는 것은 모두 삭제한다.
. 메신저 프로그램 사용 시 메시지를 통해 URL이나 파일이 첨부되어 올 경우 함부로 클릭하거나 실행하지 않는다. 메시지를 보낸 이가 직접 보낸 것이 맞는지를 먼저 확인해본다.
. PtoP 프로그램 사용 시 파일을 다운로드할 때는 반드시 보안 제품으로 검사한 후 사용한다. 또한 트로이목마 등에 의해 지정하지 않은 폴더가 오픈되지 않도록 주의한다.
. 정품 소프트웨어를 사용한다. 인터넷을 통해 불법 소프트웨어를 다운로드해 설치하는 경우 이를 통해 악성코드가 설치될 가능성이 높기 때문이다.
. 외부 침입자가 나의 시스템을 불법적으로 사용하지 못하도록 공유 권한은 '읽기'로 설정해 놓고 사용한 후에는 공유를 해제한다. 
. 안철수연구소의 V3 제품군을 설치하면 모든 악성코드를 예방/진단/치료할 수 있다. 네트워크로 드나드는 사용자 시스템의 모든 트래픽 현황을 한눈에 볼 수 있어 웜 등 비정상적인 트래픽을 유발하는 악성코드의 접근 상태를 확인하여 신속하게 차단할 수 있다.
. 보안 제품은 설치 후 항상 최신 버전의 엔진으로 유지하고 부팅 후 보안 제품이 자동 업데이트되도록 하고 시스템 감시 기능이 항상 작동하도록 설정한다. <Ahn>

-방화벽 기준 최대 30G급 성능 제공
-V3 연동으로 NAC 기능 제공..웹 통한 악성코드 유입 차단
-IPv6 시대 한발 앞서 대비..실제 네트워크 적용
-DDoS 공격 방어 기능 갖춘 통합보안 장비

‘트러스가드’는 고성능 방화벽/VPN 전용 솔루션 기반 위에 통합보안 기술력과 24시간 365일 실시간 예방/대응 서비스가 유기적으로 결합된 고품질 네트워크 보안 솔루션이다. 국제 특허 출원한, 자체 개발 DDoS(분산서비스거부) 공격 방어 전용 엔진을 탑재해 다양한 유형의 DDoS 공격에 효과적으로 대응한다. 따라서 통합보안 기능과 DDoS 방어 기능을 동시에 원하는 기업/기관에서 효용성 있게 사용할 수 있다.

이번에 출시한 ‘트러스가드 2.0’의 강점은 성능과 기능이 대폭 향상돼 10G급 제품인 ‘트러스가드 10000’의 경우 방화벽 기준 최대 30G 대의 네트워크 패킷을 처리할 수 있다는 것이다. 또한 V3, 악성코드 유포 사이트 DB(용어설명) 등 기존 독보적 기술과 연동해 시너지 효과를 극대화했다. 실제 네트워크에 적용 가능한 수준의 IPv6 기능과 안정성을 갖춘 점도 향후 IPv6 시대에 한발 앞서 대비한다는 차원에서 특징적이다.
 

‘트러스가드 2.0’의 성능 향상은 안철수연구소가 독자 개발한 멀티 코어 플랫폼 최적화 아키텍처인 ‘A-TEAM’(AhnLab TrusGuard Technology of Enhanced Algorithm for Multi-core platform)을 기반으로 이룬 성과이다. 즉, ‘트러스가드 2.0’은 멀티 코어 프로세서(용어설명) 전용 하드웨어를 기반으로 최대 수십 개 코어까지 확장이 가능하며, 패킷의 병목 현상을 일으키는 요소를 제거해 높은 성능을 제공한다. 또한 고속 패킷 처리 루트와 일반 패킷 처리 루트를 이원화해 처리 속도가 빠르다. 특히, 방화벽과 VPN 성능이 크게 향상돼 10G급 제품인 ‘트러스가드 10000’은 방화벽 기준 최대 30G 대의 패킷을 처리할 수 있다. 이로써 기존 10G 중심의 방화벽 시장에 적지 않은 파장을 일으킬 것으로 전망된다.

또한 ‘트러스가드 2.0’은 V3와 연동성을 높여 NAC(네트워크 접근제어) 기능의 사용성이 한층 높아졌다. 즉, 기업 내 각 PC의 V3 설치 여부 및 업데이트 상태에 따라 네트워크 접속을 제어할 수 있다. 또한 악성코드에 감염된 PC가 전체 네트워크로 악성코드를 전파하려 할 때 악성 트래픽을 선별 차단하고, PC에 설치된 V3를 실시간 자동 업데이트해 치료를 유도한다. 이에 따라 기업/기관은 고가의 추가 솔루션 도입 없이 내부 PC의 악성코드 감염/확산을 효과적으로 차단할 수 있다. 또한 감염된 PC를 전체 네트워크에서 격리하지 않고 악성 트래픽만 선별 차단함으로써 업무 효율을 높일 수 있다.

또한 ‘트러스가드 2.0’은 악성코드 유포 사이트 DB와 연동해 내부 PC의 위험 사이트 접속을 제어함으로써 웹을 경유한 악성코드 유입을 사전 차단한다. 올해 상반기에만 2만여 개 웹사이트에서 123만여 개의 악성코드가 발견돼 웹사이트 접속 제어가 중요한 상황에서 ‘트러스가드 2.0’은 타 제품이 제공할 수 없는 강력한 기능을 제공한다.

아울러 ‘트러스가드 2.0’은 실제 네트워크에 적용 가능한 수준의 IPv6 기능과 안정성을 제공한다. 올해 초 서울시청, 영등포구청 등에서 시범망을 구축한 데 이어 지난 6월 TTA 인증을 획득함으로써 IPv6 기능 범위의 다양성과 IPv6 핵심 기술의 완성도를 인정받은 바 있다.

안철수연구소 김홍선 대표는 “트러스가드 2.0은 급증하는 네트워크 트래픽과 다변화하는 보안 위협 유형에 효과적으로 대응할 최적의 솔루션이다. 특히 기존 핵심 기술인 V3와 악성코드 유포 사이트 DB와 연동돼 다른 제품과 차별되는 정교하고 전방위적인 해법을 제시한다. 안철수연구소는 독보적인 원천 기술과 긴급 대응 체제, 서비스 역량으로 네트워크 보안 시장을 주도해나갈 것이다.”라고 강조했다.

<용어 설명>---------------------------------------

*멀티 코어 프로세서(Multi-core Processor) :

2개 이상의 코어를 탑재하여 만든 프로세서. 중앙 처리 장치[CPU]가 2개 이상 들어간 것과 마찬가지이기 때문에 멀티 코어 프로세서를 지원하는 프로그램으로 작업할 때, 싱글 코어 프로세서에 비해서 빠른 작업을 할 수 있다. 동영상의 인코딩, 포토샵 작업, 높은 사양의 게임 등을 할 때 유용하다.

* 악성코드 유포 사이트 DB :

악성코드 유포 사이트 DB는 안철수연구소의 독보적 위험 웹사이트 차단 서비스로서 1000만 사용자를 확보한 ‘사이트가드’에서 수집한 것이다. 이번에 ‘트러스가드 2.0’에도 연동되어 보안 기능이 한층 강해졌다. <Ahn>

- 네트워크 공격 중 DDoS가 35%로 가장 비중 높아

- 악성코드 탐지/차단 약 6570만 건, 2009년 하반기 대비 2.2% 증가

- 스마트폰, SNS 이용 악성코드 유포 지능화

- 컨설팅-제품-서비스로 보안 위협에 전방위 입체적 대응

안철수연구소는 1일 7.7 DDoS 대란 1주년에 앞서 올해 상반기 DDoS 공격을 비롯한 보안 위협 동향을 진단하고 대응 전략을 발표했습니다.

 

<2010년 상반기 보안 위협 동향>

 

안철수연구소가 올해 상반기 네트워크 보안 위협 및 공격 동향을 분석한 결과에 따르면 DDoS(디도스) 공격이 35.4%로 가장 많고 그 다음이 웹사이트 취약점 공격(34.8%)이었습니다. DDoS 공격의 양상은 ▲공격 기법의 진화 ▲공격 범위의 확대 ▲대범한 범죄화 ▲사이버 암시장 형성에 따른 대중화를 들 수 있습니다..

 

공격 양상은 무작위의 불특정 대상 공격은 감소하고, 특정 타깃을 겨냥한 공격이 증가한 것으로 나타났다. 공격 목표가 성인 채팅 사이트, 중소규모 업체(꽃배달, 펜션 예약 등), 아이템 거래 사이트에서 주요 포털 및 게임, 쇼핑몰, 금융기관, 공공기관 등으로 바뀌었다. 공격의 목적의 경우 금전을 노린다는 점은 여전하지만, 개인 능력을 과시하려는 데서 경쟁사 공격 및 청부 공격(사이버 조폭), 정치적/문화적 목적으로 바뀐 것이 특징입니다. 또한 대량의 좀비 PC를 이용한 공격이 지속되는 가운데 자발적으로 공격에 참여하는 경우가 늘어난 것도 주목할 점입니다.

 

한편, 2010년 상반기의 악성코드 동향을 분석한 결과 악성코드 탐지 및 차단 건수는 약 6570만 건에 달해 2009년 하반기 대비 144만 건(2.2%)이 증가했습니다(그림1). 이 중 유형 별로는 트로이목마가 43.3%로 가장 많고, 웜(11.7%)과 스파이웨어(10.4%)가 뒤를 이었다. 또한 20,227개 웹사이트에서 123만여 개의 악성코드가 발견돼 2009년 하반기 대비 각각 571개, 26만여 개가 증가해 웹사이트의 취약성을 단적으로 보여주었습니다(그림2).

 

<2010년 상반기 악성코드 7대 이슈>

 

또한 안철수연구소는 2010년 상반기의 악성코드 7대 이슈로 ▲사회공학기법의 범용화 ▲가짜 백신 감염 기법 고도화 ▲진단/치료 회피 기법 지능화 ▲제로데이 취약점의 타깃 공격 악용 증가 ▲감염 경로/기법의 다중화 ▲SNS 기반 보안 위협 본격화 ▲스마트폰 보안 위협 첫 등장 등을 선정했습니다.

 

▲사회공학기법의 범용화

신뢰할 수 있는 사람이 보낸 흥미로운 내용으로 위장하는 사회공학기법이 범용화하는 추세입니다. 동계 올림픽과 남아공 월드컵 등 사회 이슈를 악용하거나 구글, 페이스북, 트위터 등 유명 회사나 서비스를 사칭해 경계심 없이 악성코드 관련 메시지를 열어보도록 유도하는 방법이 모든 보안 위협의 기본이 되었습니다.

 

▲가짜 백신 감염 기법 고도화

가짜 백신의 감염 기법이 전에는 다른 악성코드에 의해 다운로드되는 방식이었으나 최근 들어 직접 감염되는 방식으로 바뀌고 있습니다. 특정 단어 검색 시 가짜 백신이 존재하는 웹페이지를 상단에 노출해 접속을 유도하는 것이 대표적인 방법입니다.

 

▲진단/치료 회피 기법 지능화

정상 프로세스의 메모리 영역, 하드 디스크의 언파티션드(Unpartitioned) 영역에서 동작해 진단/치료가 어려운 악성코드가 다수 등장했습니다. 또한 윈도우 시스템 관련 파일을 패치하는 등 뚜렷한 증상이 보이지 않아 사용자가 감염 사실을 인식하기 어려운 악성코드도 등장하고 있습니다.

 

▲제로데이 취약점의 타깃 공격 악용 증가

올 상반기에 악성코드에 악용된 제로데이 취약점은 5건이며, 그 중 MS 인터넷 익스플로러 관련 취약점 2건이 타깃 공격에 악용됐습니다. 타깃 공격은 특정 대상을 공격하는 것으로, 공격자는 성공률을 높이기 위해 공식 패치가 나오지 않아 탐지가 어려운 제로데이 취약점을 악용하는 것입니다.

 

▲감염 경로/기법의 다중화

악성 웹사이트와 이메일의 결합, 피싱 사이트에서 악성코드까지 유포하는 등 다중적인 방법이 등장하고 있습니다.  

 

▲SNS 기반 보안 위협 본격화

트위터에서 단축 URL을 이용해 악성코드 유포 및 피싱 웹사이트로 유도하거나 SNS(소셜 네트워크 서비스)를 악성코드 조종을 위한 C&C 시스템으로 악용하는 사례가 발견됐습니다.

 

▲스마트폰 보안 위협 첫 등장

윈도우 모바일에 감염되는 악성코드인 ‘트레드다이얼(TredDial)’의 실제 감염 사례가 국내에서 처음 발생했습니다. 무단으로 국제전화를 발신해 비용을 발생시키는 증상으로 실제 피해는 없었으나 이후 유사 사례를 예고했다는 의미가 있습니다.

 

<안철수연구소 대응 전략>

 

안철수연구소는 DDoS 공격을 비롯해 더욱 지능화 복합화한 보안 위협에 ‘ACCESS(AhnLab Cloud Computing E-Security Service)’ 전략으로 전방위 입체적인 대응을 합니다. ‘ACCESS’는 ASEC(시큐리티대응센터)의 악성코드 수집 및 분석 능력과 CERT(침해사고대응팀)의 위협 모니터링 및 대응 서비스를 지능형 기술로 받쳐주는 플랫폼입니다. 각종 보안 관리 데이터베이스(DB)와 유기적으로 결합해 위협의 근원인 악성코드와 해킹 기법을 실시간 수집/탐지/치료함은 물론 악성코드 시그니처 DB를 다이나믹하게 생성합니다. 이 결과는 ASEC과 CERT, 안철수연구소 제품 및 서비스, 유관 전문 기관과 실시간 연계되어 신속하고 정확하게 일관된 종합 대응을 할 수 있습니다(그림3).

 

또한 보안 위협은 지능화를 거듭하기 때문에 그에 효과적으로 대응하려면 ‘제품’뿐 아니라 ‘운영’이 중요합니다. 이에 따라 안철수연구소는 컨설팅부터 제품, 보안관제 서비스에 이르기까지 종합적인 대책을 제공합니다. 특히 DDoS의 경우 기존 DDoS 대응 장비가 단순히 장비 차원의 방어에만 초점이 맞춰져 있던 것과 달리 사전 컨설팅, 모의 공격 대응 훈련, 보안 관제 등 3단계 서비스로 전방위적인 DDoS 대응 프로세스를 제공합니다. 안철수연구소 DDoS 전용 장비인 트러스가드 DPX(TrusGuard DPX)는 다단계 필터 구조와 정밀한 자동 학습으로 오탐이 적고 방어 기능이 탁월한 것이 강점입니다. 현존 대부분의 DDoS 공격을 차단하며, HTTP에 특화한 애플리케이션 DDoS 공격 유형과 신규 공격 유형에도 신속히 대응합니다.

 

안철수연구소 김홍선 대표는 “7.7 DDoS 대란 1주년을 앞두고 전반적인 보안 대책을 총체적으로 점검하는 계기가 되었으면 한다. 보안의 목적은 안전하게 관리되어 신뢰받을 수 있는 플랫폼을 만드는 데 있다. 어느 한 쪽만 잘해서는 되지 않고 정부기관, 기업, 개인이 같이 이루어가야 한다.”라며 “항상 현장에 적용되고 실천되어야 하는, 선택이 아닌 필수 사항이며, IT 담당자뿐 아니라 사용자 모두가 책임져야 하고 최고책임자의 관심과 투자가 필요하다.”라고 강조했습니다.

 

<그림1> 2009년 하반기, 2010년 상반기 월별 악성코드 탐지/차단 보고 건수

 

<그림2> 2009년 하반기, 2010년 상반기 웹 사이트를 통해 유포된 악성코드 수치

<그림3> 안철수연구소 ACCESS(AhnLab Cloud Computing E-Security Service) 전략

국내외 특정 정부기관을 대상으로 한 분산서비스거부(이하 DDoS, Distributed Denial of Service) 정황이 포착되었다. 총 3차(7/7 18:00 ~ 7/10 18:00)에 걸친 DDoS 공격이 감행되었고, 공격에 활용되었던 DDoS 좀비 PC(감염 PC)들은 “소프트웨어적 하드디스크 손상”이라는 자기파괴증상을 끝으로 생을 마감하도록 설계되었다.

7.7 DDoS 인터넷 대란을 유발한 악성코드의 특징은 다음과 같다.

• 악성코드 간 협업 모델화: 최근 보안 위협은 하나의 악성코드에 모든 공격코드를 탑재하지 않는 것이 특징이다. 이번 DDoS 공격의 어미와도 같은 역할을 하고 있는 msiexec1.exe (Win-Trojan/Downloader.374651), 그로부터 파생되는 많은 악성코드들의 유기적인 연결고리를 이해하지 않고서는 악성코드에 대한 효과적인 분석 및 대응이 점차 어려워지고 있다.
• 시간대별 공격 스케줄링 기능 탑재: 악성코드 wmiconf.dll (Win-Trojan/Agent.67072.DL)이 공격대상, 공격시간대 등의 정보를 담고 있는 uregvs.nls(BinImage/Host)를 참조하여 DDoS 공격을 수행하도록 설계되어 있다.
   
  
• 멀티 도메인에 대한 공격 방식: 과거 다수 좀비PC들이 하나의 특정 웹사이트를 공격하는 방식이 일반적이었으나, 이번 DDoS 공격은 하나의 PC에서도 수십 개의 웹 사이트를 공격하는 공격 방식이 이용되었다.
• 소프트웨어적 하드디스크 손상 기능: 악성코드 wversion.exe(2nd)(Win-Trojan/Destroyer.37264)는 하드디스크의 물리적인 첫 시작 위치에 ‘Memory of the Independence Day’라는 문구를 이용해 치명적인 피해를 입힌다. 시스템의 MBR(Master Boot Recorder) 및 파티션 정보가 손상되어 정상적인 부팅이 되지 않는 증상을 유발한다. 추후 포렌식관점에서 좀비PC를 분석할 수 없도록 만들기 위한 조치라고도 볼 수 있다.
• 중요 문서 및 파일들에 대한 손상 기능: 악성코드 wversion.exe(2nd) (Win-Trojan/Destroyer.37264)는 고정 드라이브에서 .doc,  .docx, .wpd, .wpx, .wri, .xls, .xlsx, .mdb, .ppt, .pptx, .pdf, .accdb, .db 등의 확장자 파일을 찾아 손상시킨다.

이번 공격에 이용된 악성코드는 공격 대상 웹사이트 목록을 담은 파일(BinImage/Host), 네트워크 트래픽을 유발하는 다수의 에이전트(Agent.67072.DL, Agent.65536.VE) 등이 있다. 이들 악성코드가 설치된 PC는 이른바 ‘좀비 PC’가 되어 일제히 특정 웹사이트를 공격하였다.

7.7 DDoS 공격의 네트워크 특징

TCP, UDP, ICMP 등 다양한 프로토콜을 이용하여, 특정 웹사이트들(멀티 도메인)을 공격하도록 설계 되었는데, 공격 패킷들의 주요 특징은 아래와 같다.

• 감염 PC 에서 극도의 패킷을 유발하지는 않음. 초당 300 개 이내의 패킷으로 데이터 양이 크지 않음
• HTTP 에 임의의 데이터를 전송하는 트래픽이 가장 많이 전송되며, ICMP, UDP 도10-15% 수준에서 차지함 
• HTTP > ICMP > UDP 프로토콜 순서로 트래픽을 많이 발생시킴
• HTTP 가 약 70% 대, ICMP 가 12-20%, UDP는 6-8% 수준에서 발생
• 평균 전체 발생시키는 트래픽은 초당 약 260-300/초, 약 50-65K /초

이 중에 문제가 된 것은 역시 GET Flooding 공격을 하는 HTTP 공격과 랜덤 데이터를 TCP 80 포트에 전송하는 공격이 해당된다. 여기서 GET 요청을 하는 HTTP 공격은 초당 약 20개, 12K의 데이터 전송 (출발지IP 위조 없음)하며, 랜덤 데이터를 전송하는 공격은 임의의 4-48byte 데이터를 보내는 패킷을 초당 약 43개, 3.6K의 데이터 전송 (출발지IP 위조)하게 된다. 

이번 DDoS 공격들에서 문제가 된 것은 대부분 TCP 80 HTTP 공격이었는데, 트래픽으로 인해 국내 웹사이트들이 지연 또는 마비되는 문제가 발생을 하게 되었다.

DDoS 공격, 우리에게 주는 교훈

이번 일로 보안 경각심이 높아지는 것은 바람직한 일이다. 개인 PC에 보안시스템을 설치하지 않았거나 보안에 취약하도록 그대로 두는 것이 이제 개인의 피해로 그치지 않는다는 것을 인식하게 되었다. 자신의 부주의로 인해 PC 악성코드에 감염돼 자국의 주요 기관이나 또는 다른 국가의 주요 기관을 공격하는 사이버전쟁에 무기로 사용될 수 있다는 것을 알아야 한다. 막연한 공포나 의심은 경계하되, 정부나 믿을 수 있는 기관에서 발표하는 행동 수칙을 잘 지키는 데에서부터 모든 보안은 시작된다.

개인 및 기업 스스로 새로운 보안 위협에 대해 충분한 위기대처 능력을 갖추기 위해 필요한 각 구성원(보안책임자, 보안실무자, 임직원)의 역할에 대해 함께 생각해 보자.

보안 책임자

1) 전문보안인력을 강화하자.

필자는 고객사의 보안사고 발생시, 신속한 대응을 위해 고객사를 직접 방문하기도 한다. 대게 보안팀 총 구성원은 10명 미만으로 고객사가 보유하고 있는 IT자산의 규모에 비해 그리 여유롭지 않은 편이며, 소수정예 보안팀원들의 열정과 노고에도 불구하고 대규모 IT환경에서 발생하는 침해사고의 불길은 쉽게 잡히지 않아 안타까운 경험을 많이 하게 된다. 단순히 전문보안 인력의 수만 늘리는 것이 능사는 아닐 것이다. 보호해야 할 IT자산에 맞는 적절한 규모의 전문보안 인력과 함께, 그들이 전문보안 인력으로써 충분한 전문기술을 배양할 수 있도록 하는 교육 프로그램 지원 등이 함께 동반되어야 할 것이다.

2) 보안인프라 투자를 확대하자

상당수의 고객은 F/W, IPS, VPN, 백신 등 기업 네트워크 보호를 위해 필요한 전통적인 보안솔루션을 오래 전부터 운영해오고 있을 것이다. 우리가 운영하고 있는 보안솔루션들이 급변하는 IT 환경 속에서 복잡해지고 고도화된 다양한 보안위협들을 지금 현재에도 적절히 커버할 수 있는 지 한번 생각해볼 필요가 있다. 상황에 따라서는 추가적인 보안솔루션의 투자, 트렌드에 맞는 보안위협 대응을 위해 가장 현실에 맞는 보안솔루션으로의 교체도 지속적으로 검토할 필요가 있다. 현재의 보안인프라로 충분한 대응이 어려워 침해사고가 빈번히 발생하고, 그로 인해 투입되는 손실비용이 오히려 크다면 현재의 보안인프라에 대한 재고가 필요할 수도 있다.

3) 보안 협력업체와의 긴밀한 협조체계를 구축하자

이제 보안은 어느 특정 집단의 소유물이 더 이상 아니다. 슈퍼맨과 같은 존재가 모든 보안위협을 해결할 수 있는 시대는 끝났다. 우리는 이번 7.7인터넷대란을 통해, 혹은 다른 보안사고들의 경험을 통해 IT환경에 포함된 모든 구성원들이 긴밀하게 움직일 때만이 신속하고 효과적인 위기대처가 가능하다는 것을 다시금 깨닫게 되었다. 관계기관 및 보안 협력업체와의 긴밀한 협조 체계를 통해 기업 내에서 발생하는 침해사고의 확산을 조기에 차단하고, 새로운 위협에 대한 사전예방 활동을 강화시켜 나갈 수 있도록 훈련되는 것이 필요하다.

보안 실무자

1) 보안정보 수집 채널을 확보하자

하루에도 수많은 새로운 보안위협이 발생하고, 때로는 기업 내 침해사고로 연결되어 큰 피해를 주기도 한다. 정보는 크게 실시간 정보 모니터링과 정기적인 동향 분석으로 나누어 볼 수 있다. 안철수연구소 ASEC에서는 실시간 보안위협 정보에 대해 보안실무자의 니즈를 반영하여 ‘AhnLab Threat Research’ 보안블로그를 운영중에 있고, AhnLab Proactive Threat Report를 통해 침해사고 예방 활동을 지원하고 있으며, 오래전부터 정기적인 동향 정보를 담고 있는 ASEC Report 제공을 통해 보안실무자의 보안정보 수집에 도움을 주고 있다. 이 밖에도 KISA, NCSC에서 제공하는 보안정보 및 보안포털 보안뉴스 웹사이트를 꾸준히 방문하여 보안위협 흐름을 놓치지 않는 것이 중요하다.

2) 회사의 보안위협에 대해 정확하게 이해하자

기업보안담당자는 회사의 중요 정보 자산을 노리는 보안위협에 대해 올바른 이해가 필요하다. 그래야만 위협별 대응전략이 도출될 수 있고, 그에 맞는 적절한 보안솔루션을 도입을 통해 위기관리 능력을 유지할 수 있는 것이다. 보안위협에 대한 분석 방법으로는 보안위협 이벤트 모니터링을 강화할 것을 권고한다. 다량의 이벤트들을 분석하고, 이벤트들 간의 연관관계 분석을 통해 위협 침투경로, 전파방법, 확산도, 침해 영향 등을 파악하는 일은 결코 쉬운 일은 아닐 것이다. 때로는 침입탐지시스템(IDS)나 통합보안관제(ESM)의 수많은 이벤트들에 스스로 백기 투항하지 않고 인내와 끈기를 갖고 보안위협을 정확히 이해하는 것이 위기대처 능력을 갖추는 유일한 방법이다.

3) 위기대처 능력을 강화시켜 나가자

기업보안담당자는 항시 모의훈련 및 다양한 실무 경험 노하우를 바탕으로, 오늘의 부족함을 개선해나가고 임직원 누구나 손쉽게 대처할 수 있도록 대응매뉴얼을 작성/배포함으로써 앞으로 다가 올 새로운 위협에는 더 나은 위기대처 능력을 보여줄 수 있어야 한다.

4) 임직원 보안교육에 앞장서자

보안실무자는 슈퍼맨이 아니다. 예전처럼 실무자 몇 명이 기업의 모든 IT인프라를 책임질 수는 없는 노릇이다. 따라서, 모든 임직원이 기업의 보안수준을 향상시키는 데 일조할 수 있도록 참여를 독려하고, 보안교육 등 다양한 활동을 통해 임직원이 충분한 보안 지식을 숙지할 수 있도록 더 노력해야 한다. 필자도 오래전부터 인터넷 지면이나, 외부 교육 지원에 적극적으로 참여하여 IT사용자 개개인과 소통하는 시간을 점차 늘려나가고 있다. 임직원 스스로 본인의 PC를 악성코드나 외부 공격으로부터 보호해낼 수 있다면, 그 자체만으로도 기업의 IT보안 수준은 충분히 향상될 수 있고, 보안담당자들도 당면과제에 매달려 하루를 소진하기 보다는 조금 더 여유롭게 회사 보안인프라의 미래 구상을 위해 행복한 고민을 할 수 있게 될 것이다.

임직원

1) 회사의 보안지침을 충실히 따르자

2) 보안을 생활화하자

회사의 보안과 나를 따로 떨어트려 생각해서는 안된다. 나 하나로 인해 기업 네트워크가 마비되고, 더 나아가서는 대국가 차원의 인터넷 마비를 초래할 수 있음을 잊지 말아야 한다. 사실 개인이 감염된 자기PC를 스스로 치료하는 것이 쉬운 일은 아니다. 때문에, 개인은 PC감염 후 사후대응 보다는 사전예방 활동을 강화하여 PC가 감염되지 않도록 보안수준을 유지해주는 것이 가장 중요하다.

※  본 원고의 저작권은 한국인터넷진흥원(KISA)과 안철수연구소 시큐리티대응센터(ASEC)에 있습니다.

- 비씨카드 명세서로 위장, 액티브X 설치 시 악성코드 감염

- 감염 시 스팸 메일 발송, DDoS 공격

안철수연구소는 최근 ‘비씨카드 이용대금 명세서’로 위장한 악성코드가 이메일로 국내에서 확산 중이라고 발표습니다.

이 악성코드는 ‘우리은행 BC카드 2010년06월20일 이용 대금명세서입니다?’라는 제목의 스팸 메일 형태로 유포됩니다. 명세서의 '이용대금 명세서 보기'를 클릭하면 액티브X를 설치하라고 합니다. 액티브X 설치를 시도하면 특정 웹사이트에 접속해 악성코드인 BA10.dll 파일과 BA10.exe 파일을 다운로드합니다. 이 파일들을 V3 제품군에서는 메일파인더(Win-Trojan/Mailfinder.192000, Win-Trojan/Mailfinder.367104)라고 진단합니다.

BA10.exe 파일은 C&C 서버로부터 스팸 메일에 관련된 콘텐츠 및 정보를 전달받아서 스팸 메일을 발송합니다. XML 형태로 메일 콘텐츠 및 C&C 서버 주소 및 공격 정보를 내려받아 명령을 수행하는 것입니다.

악성코드에 감염되면 같은 내용의 스팸 메일을 발송하며, 일부는 DDoS 공격을 하는 것으로 분석됐습니다. 현재 확인된 공격 대상은 네이버의 만화, 영화, 뮤직, 포토(갤러리), 메인, 메일 페이지입니다.

이 악성코드는 지난달 발견된 ‘남아공 월드컵 직접 볼 수 있다’란 제목의 이메일로 유포된 악성코드의 변형입니다. 이메일 본문에는 한글로 ‘첨부파일을 클릭하면 티켓을 드립니다’라며 첨부 파일(ticket.exe) 클릭을 유도했습니다. 이 첨부 파일을 실행하면 NZ01.exe, NZ01.cfg, favorite.exe 등의 파일이 생성됩니다.

이 악성코드의 피해를 막으려면 해당 제목의 이메일을 바로 삭제하는 것이 좋으며 메일을 열었을 경우 액티브X를 설치하지 말아야 합니다. 웹 보안 서비스인 ‘사이트가드’(개인용)와 ‘사이트가드 프로’(기업용)가 설치된 PC는 악성코드가 존재하는 웹사이트로의 접속이 차단되므로 안전합니다. 또한 ‘V3 365 클리닉’과 무료 백신 ‘V3 Lite’(개인용), ‘V3 IS 8.0’과 ‘V3 Net 7.0’(기업용) 등으로 악성코드 감염을 예방/치료할 수 있습니다. 네트워크에 ‘트러스가드’가 설치된 기업/기관도 조직 내 PC가 위험 웹사이트에 접속하는 것을 방지할 수 있습니다. <Ahn>

- 기존 기술 한계 극복, 최신 DDoS 공격에 효과적 대응
- 클라우드 보안 ‘ACCESS’ 전략의 핵심

안철수연구소의 ‘클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버’ 기술이 특허를 획득했습니다.

이 특허 기술은 안철수연구소가 지난해 7월에 발표한 클라우드 보안 서비스 전략인 ‘액세스(ACCESS; AhnLab Cloud Computing E-Security Service)’를 구현하는 핵심 기술입니다. 신종 악성코드 대응 기술인 ‘스마트 디펜스(AhnLab Smart Defense)’에 구현되어 V3에 적용되며 2월 중 출시 예정인 DDoS 전용 장비인 ‘트러스가드 DPX’와 연동되어 입체적인 DDoS 공격 방어가 가능합니다. (보충 자료 1, 2 참고)

이 특허 기술은 클라우드 컴퓨팅 환경에서 서버에 연결된 복수의 클라이언트를 이용해 DDoS 공격을 탐지 및 차단하는 기술입니다. 이는 종전 DDoS 공격 탐지/차단 기술의 한계를 극복해 더욱 효과적으로 DDoS 공격을 탐지/차단해줍니다.

종전 DDoS 공격 탐지/차단 기술은 DDoS 고유의 공격 패턴을 탐지해 차단하거나, 정상 네트워크 트래픽 유형과 유사한 형태의 공격에 대해서는 네트워크나 서버 단에서 트래픽을 제한해 서버의 유효성을 보장하는 방법을 사용합니다. 그러나, 네트워크 게이트웨이에서의 차단 방법은 신종 DDoS 공격 유형에 대한 사전 방어가 제한적이고, 정상 사용자의 트래픽까지 차단하는 오탐의 우려가 있습니다. .

안철수연구소의 특허 기술은 이런 문제점을 해결하기 위해 클라이언트에서 실행 중인 프로그램의 파일 DNA와 네트워크 트래픽 정보 간의 상관관계를 분석하여 공격자 좀비PC에서 DDoS 공격을 탐지/차단합니다.

이에 따라 네트워크 게이트웨이에서는 판별하기 어려운 새로운 유형의 DDoS 공격 발생 현황과 공격 트래픽을 유발하는 악성코드를 정확하게 탐지할 수 있습니다. 또한, 서버와 클라이언트 간 협력으로 피해자 서버 또는 네트워크 게이트웨이가 아닌 공격자 클라이언트에서 DDoS 공격을 탐지/방어함으로써 DDoS 공격에 원천적으로 대응할 수 있습니다.

한편, 특허 기술과 함께 연동되어 DDoS 공격에 입체적으로 대응할 ‘트러스가드 DPX’는 DDoS 공격 대응을 위한 안철수연구소의 모든 서비스 역량이 집결된 솔루션으로서 오탐율이 낮은 것이 특징입니다.

<보충 자료>------------------------------------

1. ACCESS 전략

‘ACCESS(AhnLab Cloud Computing E-Security Service)’는 기존 ASEC(시큐리티대응센터)의 악성코드 수집 및 분석 능력과 CERT(침해사고대응팀)의 위협 모니터링 및 대응 서비스를 지능형 기술로 받쳐주는 플랫폼이다. 이 플랫폼은 기존의 각종 보안 관리 데이터베이스(DB)와 유기적으로 결합하여 악성코드 수집과 분석, 배포 과정을 혁신적으로 개선하며, 종합적인 대응 체제를 가능하게 한다.

ACCESS의 핵심은 ‘종합 위협 분석 엔진’이다. 여기에서는 위협의 근원이 되는 악성코드와 해킹 기법을 실시간으로 수집하여 실시간 탐지 및 치료는 물론 시그니처 DB를 다이나믹하게 생성한다. 이 결과는 기존 ASEC과 CERT, 그리고 유관 전문 기관과의 업무와 실시간으로 연계되어, 기존의 프로세스의 정확성을 높이고 시간을 크게 단축시킨다.

각 사용자와 제품에 맞게 서비스는 이 엔진을 중심으로 구성되는 서비스 프레임워크를 통해 진행되어, 각 사용자에 적합한 서비스와 제품으로 연계가 이루어진다. 개인 사용자에게는 V3 365 클리닉이, 중소기업에는 V3 MSS가 클라우드 서비스를 제공한다. 한편 네트워크 보안 장비인 트러스가드, PC 보안관리 시스템인 ‘폴리시센터(APC)’, 24시간 관제 시스템과도 실시간으로 클라우드 엔진의 분석 결과가 공유됨으로써 일관성있고 종합적인 대응 체계를 구성하게 된다.

<그림> 안철수연구소 ACCESS(AhnLab Cloud Computing E-Security Service) 전략

2. 스마트 디펜스 기술

‘스마트 디펜스’는 클라우드 컴퓨팅 개념이 적용된 혁신적인 기술로서 수많은 악성코드의 데이터를 모두 PC에 다운로드해 처리하던 방식에서 획기적으로 진일보한 기술이다. 수천만 개의 유형별 파일 DNA(파일의 시그니처) 데이터베이스를 중앙 서버에서 관리하며, PC 내 파일이 악성코드인지를 실시간으로 확인해준다. 이 기술의 적용으로 안철수연구소는 V3 제품군 및 트러스가드 등 보안 제품의 진단율과 검사 속도를 한층 높이고, 엔진 업데이트 이전의 위협을 원천 차단하고 있다. 또한 사전 진단 및 사후 치료까지 더욱 안전한 컴퓨팅 환경을 보장하고 있다.

<그림> ‘스마트 디펜스’ 작동 방법

 Ahn

- 스마트폰, VoIP, SNS 겨냥 공격 가시화
- 클라우드, 가상화 등 신기술 악용 악성코드 급증
- DDoS 공격용 좀비 PC 확보 기법 지능화

안철수연구소가 2010년 새해에는 어떤 보안 위협이 이슈가 될지 12가지를 예측해 발표했습니다.

1. DDoS 공격용 좀비 PC 확보 기법 지능화

작년 7.7 DDoS 대란 때처럼 대량의 좀비 PC를 확보해 악의적 공격을 하는 사건이 올해도 지속될 것으로 전망됩니다. 공격자는 다수의 좀비 PC를 이용해 금전적 대가를 노린 악의적 DDoS 공격을 하거나 확보한 좀비 PC 자체를 가지고 협박해 금전을 갈취할 수 있습니다. 이를 위해 진단되지 않고 지속적으로 작동할 수 있는 악성코드를 원하기 때문에 최근 중앙명령(C&C; Command & Control) 서버와의 통신 채널, 셀프(Self) 업데이트, 공격을 위한 정보 능동적 생성 등 지능적인 기법이 등장하고 있습니다. 2010년에도 이런 양상은 계속될 것으로 예상됩니다.

2. 스마트폰 공격 위협 본격화

국내에도 본격적인 스마트폰 시대가 열려 PC에서 했던 일을 언제 어디서든 할 수 있게 됐습니다. 이는 기존 PC에서 발생한 보안 문제가 스마트폰에서도 발생할 수 있음을 의미합니다. 스마트폰의 종류와 플랫폼이 다양하므로 악성코드도 다양한 형태로 나타날 것으로 예상됩니다. 이미 해킹(Jail Break)된 아이폰의 개인 정보를 탈취하는 악성코드가 발생했습니다. 스마트폰을 대상으로 한 악성코드는 통화 기록이나 전화번호, 사진 등의 개인 정보를 탈취할 뿐 아니라, 스마트폰을 좀비 클라이언트로 만들어 DDoS 공격에 악용할 수도 있습니다. 비정상 트래픽을 유발해 비정상적인 과금을 유도하거나 불필요하게 배터리를 소진할 가능성도 있습니다.
 

IT 자원 활용의 효율화 때문에 주목 받는 클라우드 기술과 가상화 기술이 사이버 공격에 악용될 것으로 예측됩니다. 이를테면 클라우드 컴퓨팅을 이용해 여러 대의 C&C 서버를 준비해두고, 좀비 PC 안의 악성코드가 이 중 서비스가 가능한 C&C 서버로 찾아가는 방식입니다. 이때 여러 대의 C&C 서버를 구축하기 위해 공격자는 가상사설서버(Virtual Private Server)를 이용합니다. 이것을 이용하면 물리적으로는 1대이지만 가상으로 여러 대의 서버를 구축함으로써 봇넷(네트워크로 연결된 대량의 좀비 PC)을 효율적으로 관리할 수 있습니다. 이러한 클라우드, 가상화 기술은 ‘그린 IT’의 기반이기 때문에, ‘그린 IT’까지도 위협 대상이 될 것으로 예상됩니다.
 
4. 웹사이트와 스팸 메일이 결합한 위협 증가

새해에도 역시 웹사이트가 악성코드 전파의 주요 경로로 이용될 것으로 전망됩니다. 여전히 SQL 인젝션, XSS(크로스 사이트 스크립트), 사이트 취약점을 이용한 악성코드 삽입 등이 주로 사용될 것으로 보입니다. 2009년 하반기에 스팸 메일과 웹사이트가 결합된 보안 위협이 처음 발견됐는데, 2010년에는 이 형태가 증가할 것으로 예측됩니다. 공격자는 최초 이메일로 악의적인 웹사이트 주소를 보내 접속을 유도합니다. 사용자가 접속하면 웹브라우저 취약점 공격, 악성코드 설치, 취약점을 가진 문서 파일(PDF, Office 파일 등) 다운로드 등의 공격을 합니다. 현재 우리나라는 보안에 취약한 다수의 웹 서버가 별다른 방어책 없이 인터넷에 연결돼 있는 상태여서 피해는 올해도 증가할 것으로 보입니다.  

5. SNS(소셜 네트워크 서비스)를 이용한 공격 확산

2010년에는 트위터, 페이스북 같은 SNS(Social Network Service)를 대상으로 한 해킹이 증가할 것으로 예상됩니다. 지난해 이미 트위터(twitter)에 짧은 주소 서비스를 통해 악성코드를 유포한 사례가 있었습니다. 스마트폰의 급속한 보급과 함께 다양한 SNS 애플리케이션이 등장함에 따라 개인 정보를 노린 해킹이 발생할 것으로 우려됩니다. 본인 확인이 어려운 점을 악용해 유명인을 사칭하거나 유명인의 SNS 계정을 탈취할 수도 있습니다. 또한, SNS 업체를 직접 겨냥한 해킹도 발생할 것으로 보입니다.

인터넷 전화인 VoIP(Voice over Internet Protocol)의 보급이 늘어남에 따라 그에 따른 보안 위협도 커져가고 있습니다. 특정 VoIP 서비스의 통화 내용을 유출하는 악성코드가 이미 발견됐습니다. 앞으로는 이 같은 도감청의 위협이 더욱 광범위해져 사생활을 침해하거나 기업 활동에 악영향을 줄 수 있습니다. 부정 사용으로 금전적 피해를 주거나, 무선 인터넷 공유기의 ID와 비밀번호를 가로채 악성코드 설치 및 개인정보 유출 등의 피해를 주는 일이 발생할 수도 있습니다. 또한 VoIP 서비스 업체를 DDoS 공격해 서비스 중단, 서비스의 데이터 위변조 등을 일으킬 가능성도 있습니다.  

지난해 메신저 프로그램을 이용한 악성코드 유포 및 금전 요구 사기가 적지 않았고 편의성 때문에 올해도 지속적으로 확산될 것으로 보입니다. 인스턴트 메신저의 계정 정보는 악성코드를 이용해 쉽게 탈취할 수 있고, 메신저와 포털, SNS까지 동일한 계정을 쓸 경우 2차 피해로 이어질 가능성도 높습니다.  

8. 악성코드의 자기 보호 기법 지능화

보안 소프트웨어가 접근하지 않는 영역에서 작동하거나 은폐 및 자기 보호 기법을 보유한 악성코드가 급증할 것으로 전망됩니다. 지난해 많은 피해를 낳은 콘피커(Conficker), 브레도랩(Bredolab), 팔레보(Palevo), 다오놀(Daonol) 등은 V3를 제외한 일부 백신을 비롯해 일반 응용 프로그램이 접근하지 않는 특정 메모리 영역에서 동작합니다. 따라서 감염된 파일을 삭제하는 것만으로는 치료가 끝나지 않습니다. 갈수록 악성코드가 감염시키는 대상 파일은 다양해지고 동작하는 위치는 컴퓨터 구조의 더 깊숙한 곳으로 내려가는 추세입니다. 따라서 진단/치료 기술은 더 복잡해지고 더 많은 시간과 노력이 투입될 것으로 전망됩니다.  

9. 윈도우7 취약점 공격 증가

윈도우7이 작년 10월 발표된 직후 보안 취약점이 발견됐습니다. 윈도우7의 보안을 뚫기 위해 악성코드 제작자들은 새로운 기술로 공격할 것으로 보입니다. 이는 기존 주요 응용 프로그램인 MS 오피스, 어도비 PDF 등의 애플리케이션 취약점을 이용하는 악성코드 증가와 맥을 같이할 것으로 예상됩니다. 

10. 사회 공학 기법의 정교화

마이클 잭슨 사망과 같은 사회적 이슈가 발생하면 소위 ‘사회 공학 기법’에 기반한 악성코드가 등장합니다. 앞으로는 페이스북과 트위터 등 SNS로 유포 경로가 다양해지고, 사용자가 악의적 목적을 인지하지 못하게 정밀해질 것으로 예측됩니다. 특히 최근 등장한, 인터넷 검색 최적화 기술인 SEO(Search Engine Optimization)를 악용해 검색 결과를 인위적으로 조작하는 기법이 많이 활용될 것으로 보입니다.

 11. 가짜 백신 확산

악성코드에 감염되었다는 허위 문구를 띄워 비용 결제를 요구하는 가짜 백신이 올해도 확산될 것으로 보입니다. 현재 무료 백신이 개인 시장에 대량 제공되고 있지만, 일부 고객들은 이러한 가짜 백신에 현혹되어 허위 진단에 금전적인 비용을 지불하는 문제가 발생할 수 있습니다.  

12. 온라인 게임 해킹 증가

올해도 온라인 게임 해킹이 꾸준히 증가하고, 특히 메모리 해킹과 오토플레이가 급증할 것으로 예상됩니다. RPG(역할 수행 게임)와 캐주얼 게임, 기능성 게임 등 온라인 게임 종류가 다양해짐에 따라 이를 겨냥한 해킹이 급증할 것으로 보입니다.    

위에서 살펴본 바와 같이 스마트폰, 클라우드, 가상화, SNS 등 새로운 IT 환경의 등장은 사용자에게 편의성을 제공하지만, 악의적 해커에게는 더욱 손쉬운 방법으로 악성코드 유포, 해킹을 할 수 있는 토대가 됩니다. 사용 편의성과 함께 보안 측면을 함께 고려해 유의할 필요가 있습니다. Ahn