피싱의경우‘haha. This you???? http://tr.im/****’라는이메시지를받았을때이주소를클릭하면트위터로그인페이지로연결되는데, 이는실제트위터페이지가아니라가짜페이지입니다. 여기에 ID와패스워드를입력하면웹페이지를표시할수없다는창이뜨는데, 실제로는입력한개인정보가그대로특정시스템으로전송됩니다.
또한스팸의경우발신자가불명확하며‘hi, i’m 24/female/ <중략> message me on my windows live messanger name Paris ****@hotmail.com’이라는내용입니다.
그리고 윈도우의 특정 레지스트리 키들을 생성하여 감염된 시스템이 자동 실행될 때 해당 악성코드가 다시 실행되도록 합니다. 자신의 코드를 덮어쓴 정상 프로세스인 Explorer.exe은 인터넷 익스플로러(Internet Explorer)를 백그라운드로 실행시켜 미국 서부에 위치한 특정 시스템으로 접속을 시도합니다.
해당 악성코드가 특정 시스템으로 접속하면 다음의 악의적인 기능들을 수행합니다.
사용자 키보드 입력 후킹
사용자 마우스 입력 후킹
메신저 사용자 정보 및 암호 후킹
클립보드 정보 후킹
특정 보안 제품 프로세스가 실행 중일 경우 강제 종료
가상 키보드 입력 후킹
원격 제어
V3 제품군은 이 악성코드를 Dropper/Bifrose.693626, Win-Trojan/Midgare.32256로 진단합니다.특정 시즌이 되면사람들의 관심사를 이용해 유포되는 악성코드가 어김없이 등장해 사용자를 현혹하니 주의하시기 바랍니다. Ahn
- 스마트폰, VoIP, SNS 겨냥 공격 가시화 - 클라우드, 가상화 등 신기술 악용 악성코드 급증 - DDoS 공격용 좀비 PC 확보 기법 지능화
안철수연구소가 2010년 새해에는 어떤 보안 위협이 이슈가 될지 12가지를 예측해 발표했습니다.
1. DDoS 공격용 좀비 PC 확보 기법 지능화
작년 7.7 DDoS 대란 때처럼 대량의 좀비 PC를 확보해 악의적 공격을 하는 사건이 올해도 지속될 것으로 전망됩니다. 공격자는 다수의 좀비 PC를 이용해 금전적 대가를 노린 악의적 DDoS 공격을 하거나 확보한 좀비 PC 자체를 가지고 협박해 금전을 갈취할 수 있습니다. 이를 위해 진단되지 않고 지속적으로 작동할 수 있는 악성코드를 원하기 때문에 최근 중앙명령(C&C; Command & Control) 서버와의 통신 채널, 셀프(Self) 업데이트, 공격을 위한 정보 능동적 생성 등 지능적인 기법이 등장하고 있습니다. 2010년에도 이런 양상은 계속될 것으로 예상됩니다.
2. 스마트폰 공격 위협 본격화
국내에도 본격적인 스마트폰 시대가 열려 PC에서 했던 일을 언제 어디서든 할 수 있게 됐습니다. 이는 기존 PC에서 발생한 보안 문제가 스마트폰에서도 발생할 수 있음을 의미합니다. 스마트폰의 종류와 플랫폼이 다양하므로 악성코드도 다양한 형태로 나타날 것으로 예상됩니다. 이미 해킹(Jail Break)된 아이폰의 개인 정보를 탈취하는 악성코드가 발생했습니다. 스마트폰을 대상으로 한 악성코드는 통화 기록이나 전화번호, 사진 등의 개인 정보를 탈취할 뿐 아니라, 스마트폰을 좀비 클라이언트로 만들어 DDoS 공격에 악용할 수도 있습니다. 비정상 트래픽을 유발해 비정상적인 과금을 유도하거나 불필요하게 배터리를 소진할 가능성도 있습니다.
3. 클라우드 및 가상화 기술 악용한 보안 위협 증가
IT 자원 활용의 효율화 때문에 주목 받는 클라우드 기술과 가상화 기술이 사이버 공격에 악용될 것으로 예측됩니다. 이를테면 클라우드 컴퓨팅을 이용해 여러 대의 C&C 서버를 준비해두고, 좀비 PC 안의 악성코드가 이 중 서비스가 가능한 C&C 서버로 찾아가는 방식입니다. 이때 여러 대의 C&C 서버를 구축하기 위해 공격자는 가상사설서버(Virtual Private Server)를 이용합니다. 이것을 이용하면 물리적으로는 1대이지만 가상으로 여러 대의 서버를 구축함으로써 봇넷(네트워크로 연결된 대량의 좀비 PC)을 효율적으로 관리할 수 있습니다. 이러한 클라우드, 가상화 기술은 ‘그린 IT’의 기반이기 때문에, ‘그린 IT’까지도 위협 대상이 될 것으로 예상됩니다.
4. 웹사이트와 스팸 메일이 결합한 위협 증가
새해에도 역시 웹사이트가 악성코드 전파의 주요 경로로 이용될 것으로 전망됩니다. 여전히 SQL 인젝션, XSS(크로스 사이트 스크립트), 사이트 취약점을 이용한 악성코드 삽입 등이 주로 사용될 것으로 보입니다. 2009년 하반기에 스팸 메일과 웹사이트가 결합된 보안 위협이 처음 발견됐는데, 2010년에는 이 형태가 증가할 것으로 예측됩니다. 공격자는 최초 이메일로 악의적인 웹사이트 주소를 보내 접속을 유도합니다. 사용자가 접속하면 웹브라우저 취약점 공격, 악성코드 설치, 취약점을 가진 문서 파일(PDF, Office 파일 등) 다운로드 등의 공격을 합니다. 현재 우리나라는 보안에 취약한 다수의 웹 서버가 별다른 방어책 없이 인터넷에 연결돼 있는 상태여서 피해는 올해도 증가할 것으로 보입니다.
5. SNS(소셜 네트워크 서비스)를 이용한 공격 확산
2010년에는 트위터, 페이스북 같은 SNS(Social Network Service)를 대상으로 한 해킹이 증가할 것으로 예상됩니다. 지난해 이미 트위터(twitter)에 짧은 주소 서비스를 통해 악성코드를 유포한 사례가 있었습니다. 스마트폰의 급속한 보급과 함께 다양한 SNS 애플리케이션이 등장함에 따라 개인 정보를 노린 해킹이 발생할 것으로 우려됩니다. 본인 확인이 어려운 점을 악용해 유명인을 사칭하거나 유명인의 SNS 계정을 탈취할 수도 있습니다. 또한, SNS 업체를 직접 겨냥한 해킹도 발생할 것으로 보입니다.
6. VoIP 보안 위협 등장
인터넷 전화인 VoIP(Voice over Internet Protocol)의 보급이 늘어남에 따라 그에 따른 보안 위협도 커져가고 있습니다. 특정 VoIP 서비스의 통화 내용을 유출하는 악성코드가 이미 발견됐습니다. 앞으로는 이 같은 도감청의 위협이 더욱 광범위해져 사생활을 침해하거나 기업 활동에 악영향을 줄 수 있습니다. 부정 사용으로 금전적 피해를 주거나, 무선 인터넷 공유기의 ID와 비밀번호를 가로채 악성코드 설치 및 개인정보 유출 등의 피해를 주는 일이 발생할 수도 있습니다. 또한 VoIP 서비스 업체를 DDoS 공격해 서비스 중단, 서비스의 데이터 위변조 등을 일으킬 가능성도 있습니다.
7. 메신저 피싱 급증
지난해 메신저 프로그램을 이용한 악성코드 유포 및 금전 요구 사기가 적지 않았고 편의성 때문에 올해도 지속적으로 확산될 것으로 보입니다. 인스턴트 메신저의 계정 정보는 악성코드를 이용해 쉽게 탈취할 수 있고, 메신저와 포털, SNS까지 동일한 계정을 쓸 경우 2차 피해로 이어질 가능성도 높습니다.
8. 악성코드의 자기 보호 기법 지능화
보안 소프트웨어가 접근하지 않는 영역에서 작동하거나 은폐 및 자기 보호 기법을 보유한 악성코드가 급증할 것으로 전망됩니다. 지난해 많은 피해를 낳은 콘피커(Conficker), 브레도랩(Bredolab), 팔레보(Palevo), 다오놀(Daonol) 등은 V3를 제외한 일부 백신을 비롯해 일반 응용 프로그램이 접근하지 않는 특정 메모리 영역에서 동작합니다. 따라서 감염된 파일을 삭제하는 것만으로는 치료가 끝나지 않습니다. 갈수록 악성코드가 감염시키는 대상 파일은 다양해지고 동작하는 위치는 컴퓨터 구조의 더 깊숙한 곳으로 내려가는 추세입니다. 따라서 진단/치료 기술은 더 복잡해지고 더 많은 시간과 노력이 투입될 것으로 전망됩니다.
9. 윈도우7 취약점 공격 증가
윈도우7이 작년 10월 발표된 직후 보안 취약점이 발견됐습니다. 윈도우7의 보안을 뚫기 위해 악성코드 제작자들은 새로운 기술로 공격할 것으로 보입니다. 이는 기존 주요 응용 프로그램인 MS 오피스, 어도비 PDF 등의 애플리케이션 취약점을 이용하는 악성코드 증가와 맥을 같이할 것으로 예상됩니다.
10. 사회 공학 기법의 정교화
마이클 잭슨 사망과 같은 사회적 이슈가 발생하면 소위 ‘사회 공학 기법’에 기반한 악성코드가 등장합니다. 앞으로는 페이스북과 트위터 등 SNS로 유포 경로가 다양해지고, 사용자가 악의적 목적을 인지하지 못하게 정밀해질 것으로 예측됩니다. 특히 최근 등장한, 인터넷 검색 최적화 기술인 SEO(Search Engine Optimization)를 악용해 검색 결과를 인위적으로 조작하는 기법이 많이 활용될 것으로 보입니다.
11. 가짜 백신 확산
악성코드에 감염되었다는 허위 문구를 띄워 비용 결제를 요구하는 가짜 백신이 올해도 확산될 것으로 보입니다. 현재 무료 백신이 개인 시장에 대량 제공되고 있지만, 일부 고객들은 이러한 가짜 백신에 현혹되어 허위 진단에 금전적인 비용을 지불하는 문제가 발생할 수 있습니다.
12. 온라인 게임 해킹 증가
올해도 온라인 게임 해킹이 꾸준히 증가하고, 특히 메모리 해킹과 오토플레이가 급증할 것으로 예상됩니다. RPG(역할 수행 게임)와 캐주얼 게임, 기능성 게임 등 온라인 게임 종류가 다양해짐에 따라 이를 겨냥한 해킹이 급증할 것으로 보입니다.
위에서 살펴본 바와 같이 스마트폰, 클라우드, 가상화, SNS 등 새로운 IT 환경의 등장은 사용자에게 편의성을 제공하지만, 악의적 해커에게는 더욱 손쉬운 방법으로 악성코드 유포, 해킹을 할 수 있는 토대가 됩니다. 사용 편의성과 함께 보안 측면을 함께 고려해 유의할 필요가 있습니다. Ahn
본 문서는 안철수연구소 시큐리티대응센터(이하 ASEC )에서 이번 DDoS 공격에 대해 분석 및 대응 결과를 토대로 작성한 내용으로, 이번 DDoS 공격에 제한된 내용임을 미리 밝혀둔다.
7월 7일 하루가 저물어 갈 즈음, 안철수연구소 ASEC으로 국내 특정 정부기관을 대상으로 한 분산서비스거부(이하 DDoS, Distributed Denial of Service) 정황이 포착되기 시작하였다.
현재까지 (7/7 18:00 ~ 7/10 18:00) 총 3차에 걸친 DDoS 공격이 감행되었고, 공격에 활용되었던 DDoS 좀비 PC(감염 PC)들은 “소프트웨어적 하드디스크 손상”이라는 자기파괴증상을 끝으로 생을 마감하도록 설계되었다.
[그림1] 시간대별 DDoS 공격대상 변경 흐름
이번 DDoS공격의 특징을 꼽는다면…
이번 공격에 이용된 악성코드는 마이둠 변종(Mydoom.88064, Mydoom.33764, Mydoom.45056.D)과, 또 다른 악성코드를 내려 받는 다운로더(Downloader.374651), 공격 대상 웹사이트 목록을 담은 파일(BinImage/Host), 네트워크 트래픽을 유발하는 다수의 에이전트(Agent.67072.DL, Agent.65536.VE) 등이 있다.
이들 악성코드가 설치된 PC는 이른바 ‘좀비 PC’가 되어 일제히 특정 웹사이트를 공격한 것이다.
[그림2] 안철수연구소 V3 제품군에서 진단하고 있는 DDoS
악성코드들의 연관성 분석도
지금까지 분석된 악성코드의 특징은 다음과 같다.
1) 악성코드 간 협업 모델화: 최근 보안 위협은 하나의 악성코드에 모든 공격코드를 탑재하지 않는 것이 특징이다. 이번 DDoS 공격의 어미와도 같은 역할을 하고 있는 msiexec1.exe (Win-Trojan/Downloader.374651), 그로부터 파생되는 많은 악성코드들의 유기적인 연결고리를 이해하지 않고서는 악성코드에 대한 효과적인 분석 및 대응이 점차 어려워지고 있다.
2) 스케줄링 기능 탑재: 악성코드 wmiconf.dll (Win-Trojan/Agent.67072.DL)이 공격대상, 공격시간대 등의 정보를 담고 있는 uregvs.nls(BinImage/Host)를 참조하여 DDoS 공격을 수행하도록 설계되어 있다. (자세한 내용은 ‘[그림] 시간대별 DDoS 공격대상 변경 흐름’을 참고)
3) 멀티 도메인에 대한 공격 방식: 과거 다수 좀비PC들이 하나의 특정 웹사이트를 공격하는 방식이 일반적이었으나, 이번 DDoS 공격은 하나의 PC에서도 수십 개의 웹 사이트를 공격하는 공격 방식이 이용되었다.
4) 소프트웨어적 하드디스크 손상 기능: 악성코드 wversion.exe(2nd)(Win-Trojan/Destroyer.37264)는 하드디스크의 물리적인 첫 시작 위치에 ‘Memory of the Independence Day’라는 문구를 이용해 치명적인 피해를 입힌다. 시스템의 MBR(Master Boot Recorder) 및 파티션 정보가 손상되어 정상적인 부팅이 되지 않는 증상을 유발한다. 추후 포렌식관점에서 좀비PC를 분석할 수 없도록 만들기 위한 조치라고도 볼 수 있다.
5) 중요 문서 및 파일들에 대한 손상 기능: 악성코드 wversion.exe(2nd) (Win-Trojan/Destroyer.37264)는 고정 드라이브에서 .doc, .docx, .wpd, .wpx, .wri, .xls, .xlsx, .mdb, .ppt, .pptx, .pdf, .accdb, .db 등의 확장자 파일을 찾아 손상시킨다.
내 PC가 감염여부 확인하는 방법은...
현재까지 나온 보안솔루션 중에, 가장 신속한 대응 수준을 유지하고 있는 것이 안철수연구소의 백신 제품이므로, 가장 최신의 V3로 점검하여 좀비PC로 활동여부를 점검하는 방안을 제안할 수 있다.
좀비PC로 활동하고 있다면, 일반적으로 상당량의 네트워크 트래픽을 발생하게 되어, PC가 느려지거나 인터넷 연결이 원활하게 이루어지지 않는 증상을 보이게 되므로, 예전과 달리 PC 사용에 어려움이 많다면 즉시 감염 여부를 의심하고 치료조치를 수행할 필요가 있다. 개인적인 조치가 어려울 경우, 우선 네트워크 선 분리 후 주변의 도움을 요청하는 방법도 있다.
또한, 좀비PC인 경우에도, 공격 비활성화 상태에서는 증상이 나타나지 않아 확인이 어렵게 때문에, 이 글을 보는 즉시, 좀비PC를 치료할 수 있는 백신을 최신으로 업데이트하여 치료해보는 것이 좋다.
[표1] 안철수연구소 V3 제품군에서 진단하고 있는 DDoS 악성코드들
이번 DDoS 공격의 끝은 어디인가
DDoS 공격에 참여한 모든 악성코드가 사라지는 그 날이 될 것이다. 따라서, 이번 DDoS 공격을 마무리 지을 수 있는 유일한 주체는 인터넷 상의 모든 PC 사용자임을 우리 스스로가 인식하고 행동해야 할 것이다.
1) 사용자 PC에 백신이 깔려있다면 최소한 좀비PC가 되는 것을 막을 수 있다.
2) 그리고 개인들이 지켜야 하는 보안 수칙을 실천하는 것이 중요하다.
- 백신을 설치했다면 실시간 감시와 엔진 자동 업데이트를 실행해야 한다.
- 또한 대부분의 악성코드는 윈도우 취약점을 악용하기 때문에 MS에서 정기적으로 발표하는 윈도우 패치를 반드시 업데이트해야 한다.
- 이밖에 신뢰할 수 없는 인터넷 사이트에서 액티브X를 설치하거나 파일을 다운로드 하는 것을 주의해야 하도록 한다.
우리나라 보안 수준은?
2008년 3월 코리안클릭이 조사한 결과에 따르면 국내 인터넷 사용자 중 백신을 설치하지 않은 사용자는 조사 대상자의 44.2%로 집계됐다. 또한 무료 백신 사용자는 36,6%, 불법 백신을 사용하는 사용자는 13.4%인 것으로 조사됐다.
정식 유료 백신을 사용하는 경우는 5.7%에 불과한 것으로 나타났다. 실제로 미국은 물론 일본만 해도 연간 백신시장 규모가 우리나라의 20배가 넘는 1조원에 이른다.
하지만 우리나라의 경우에는 1년에 3만~4만원의 개인용 백신프로그램 설치조차 비싸다고 외면하는 것이 현실이다. 더욱이 V3Lite와 같은 무료 백신이 있는데도 불구하고 설치하지 않고 있는 것이 더욱 안타깝다.
안철수연구소와 함께 안전한 세상 만들기
이번 일로 보안 경각심이 높아지는 것은 바람직한 일이다. 개인 PC에 보안시스템을 설치하지 않는 것이 이제 개인의 피해로 그치지 않는다는 것을 인식해야 한다.
자신의 부주의로 인해 PC 악성코드에 감염돼 자국의 주요 기관이나 또는 다른 국가의 주요 기관을 공격하는 사이버전쟁에 무기로 사용될 수 있다는 것을 알아야 한다. 막연한 공포나 의심은 경계하되, 정부나 믿을 수 있는 기관에서 발표하는 행동 수칙을 잘 지키는 데에서부터 모든 보안은 시작된다.
안철수연구소에서는 무료백신인 V3Lite와 유료백신 V3 365 클리닉 그리고 전용백신을 통해 사전 예방 및 치료 활동에 적극적으로 동참하길 권고한다.
백신만으로는 모든 악성코드에 대해 효과적으로 대응하기에는 어느 정도 한계가 있는 것도 사실이다. 따라서, 개인 사용자에게 기본적인 보안을 제공하기 위해 클라우드 보안서비스 개념으로 개발한 위험 사이트 사전 차단 서비스인 ‘사이트가드(AhnLab SiteGuard)’를 지난해 개발해 무료 제공하고 있다.
개인들은 악성코드로부터 PC는 V3 365 클리닉과 V3 Lite로, 인터넷 웹사이트 위험으로부터는 ‘사이트가드’가 안전을 지켜주어 2중 차단 시스템을 완비하게 된다.
또한, 클라우드 컴퓨팅 개념을 도입한 AhnLab Smart Defense 기술을 적용해 DDoS 공격에 이용되는 악성코드는 물론 알려지지 않은 악성코드에도 대처할 수 있도록 대응하고 있다. -------------------------------------------------------- 용어설명: 안철수연구소 ASEC(시큐리티대응센터, AhnLab Security Emergency response Center)은 최고의 악성코드 분석가 및 보안 전문가로 구성된 글로벌 대응조직으로 빠르고 정확한 정보와 엔진을 제공하고 있다. ASEC에서 제공하는 빠른 보안위협 정보를 ASEC 블로그(http://blog.ahnlab.com/asec)를 통해 확인할 수 있다.
김지훈 | 안철수연구소 시큐리티 분석가
안철수연구소의 시큐리티대응센터에서 취약점, 악성코드 및 네트워크 위협 분석을 담당하고 있다. 안철수연구소의 “안랩 칼럼니스트”뿐만 아니라, 다수의 보안 강연 및 컬럼니스트로 활동하고 있다. 일반인들이 쉽게 이해할 수 있도록 보안지식을 전파하는 "전문 보안교육전문가"가 되는 것이 그의 소박한 꿈이라고 한다.
연일 뉴스에 오르내리고 있는 소식이 있다. 바로 전세계를 공포에 떨게 하고 있는 신종 인플루엔자(H1N1) 확산이다. 멕시코에서 시작된 인플루엔자는 유전자 구성 때문에 처음에는 돼지 인플루엔자 바이러스로 오인 받았지만 새로운 형태의 인플루엔자 바이러스로 밝혀졌다. 덕분에 죄 없는 돼지만 호된 고생을 하였다. 5월12일 기준으로 5,251명의 감염자와 61명의 사망자(WHO 통계)가 발생했으며, 세계보건기구는 신종 인플루엔자의 경고단계를 5단계까지 높여 ‘세계적 대유행’을 경고했다. 1580년 대유행의 첫 기록 후, 지난 300년간 10회의 대유행이 발생하여 평균적으로 30년 이내마다 한번씩 발생하였다고 한다.
왜 보안 칼럼에 느닷없이 신종 인플루엔자야 라고 어리둥절해 하는 분도 계시겠지만, 생물학적의 바이러스를 보면 컴퓨터의 바이러스와 상당히 닮은 점이 많다. 가장 큰 차이라 하면 감염 대상에 있다. 인간 또는 컴퓨터냐 하는 점이다.
생물학적의 바이러스는 수백 배나 작고 구조도 단순하며 스스로를 복제할 수 없다. 손이나 입과 같이 신체적 접촉을 통해 전염되고, 복제를 위해선 인간의 몸이 필요하다. 건강한 사람의 몸 안으로 들어오면 수백만 개의 복사물을 혈류에 실어 몸 전체로 흘려 보내는데, 디지털관점에서 보면 그 복제를 위한 대상이 컴퓨터이며 빠르게 파일들을 감염시킨다. 이번 신종 인플루엔자가 더 두려움의 대상이 되는 까닭은 사람과 사람 사이에도 전염이 된다는 사실이 밝혀진 것이다. 컴퓨터와 컴퓨터도 네트워크를 통해 서로간 감염이 이뤄지고 확산이 된다.
바이러스 치료를 위해 항생제를 남용하다 보면 내성이 생겨 또 다른 바이러스 변종이 나타나듯이 컴퓨터에서도 백신 프로그램을 통해 치료를 하더라도 또 다른 변종이 계속 발생한다. 이 어찌 비슷하다고 아니 할 수 있겠는가? 과거 눈에 띄는 바이러스들
과거 인플루엔자의 사례를 뒤돌아 보면 1918년에 발생한 스페인독감은 세계적으로 5천만 명이 사망하였고, 1957년의 아시아 독감과 1968년의 홍콩독감은 사망자 1백만 명 이상의 결과를 초래하였다. 과거 인플루엔자의 대유행은 예측 불가능하였으며, 전세계로의 신속한 전파와 함께 막대한 경제적 손실을 가져왔다. 멕시코 외무에 의하면 신종 인플루엔자로 인해 국내총생산(GDP)의 1%가 감소할 것으로 예상된다고 밝혔다.
컴퓨터 관점으로 다시 돌아가 보자. 최초의 MS-DOS 바이러스는 1986년 브레인 바이러스이다. 이 시기에는 바이러스가 전파되기 위한 인터넷 환경이 조성되어 있지 않아 피해는 미미했다. 그러나 90년대 PC 통신시대에 접어들고 2000년대에는 초고속인터넷이 상용화되며, 2003년 네트워크를 통해 인플루엔자의 대유행과 같은 사건이 발생하였다. MSSQL 서버의 취약점을 이용하여 수 십분 안에 전세계에 감염이 확산된 슬래머 웜이었다. 10분만에 75,000대의 컴퓨터를 감염시켰다고 하니 생물학적 바이러스에 비하면 전염속도는 상상을 초월하는 시간이다.
이 후에도 블래스터, 웰치아, 세서, 콘피커 웜이 출현하여 큰 피해를 주었다. 생물학적 신종 바이러스는 예방 백신을 가지고 있지 않기 때문에 예방 백신을 만들기까지는 몇 개월의 시간이 소요된다.
하지만, 슬래머 웜 사례만 보면 이미 예방 백신은 나와있는 상태였다. 바로 보안패치라는 주사 한방이었으면 감염에서는 안전하였다. 생물학적 바이러스와 컴퓨터 바이러스의 큰 차이라 하면 생물학적 바이러스보다는 신종 또는 변형 바이러스에 보다 안전해 질 수 있다는 점이다. 그런 점에서 보면 한국은 자체적으로 백신 생산기술을 가지고 있으므로 이 얼마나 행복한 일인가. 두 바이러스 발생 시기가 비슷하다
이외 생물학적 바이러스 발생시기와 유사하게 컴퓨터에서도 바이러스가 나타나고 있다. 어떻게 보면 생물학적 바이러스가 컴퓨터라는 디지털 공간으로 들어온 것처럼 보인다. 2000년대부터 바이러스의 출현에 따라 사회적 관심을 이용한 컴퓨터 바이러스가 나돌았기 때문이다. [그림]은 두 종간에 나타난 시간을 기록한 것으로 생물학적 바이러스와 함께 컴퓨터 바이러스가 동반되고 있다.
최근의 신종 인플루엔자의 출현에 이어 이를 이용한 피싱 공격이 나타났고, 스팸메일 그리고 PDF 문서파일의 취약점을 이용한 방법까지 다양하게 출현하고 있다. 초반의 사회적 심리를 이용하기 위한 단순등장과는 달리 보다 많은 감염을 하기 위한 기술적 변화도 따라서 움직이고 있다. 참고로 여기서는 글의 표현상 컴퓨터의 모든 악성위협을 바이러스로 지칭하였다.
[그림] 시기별 인플루엔자와 컴퓨터 바이러스의 출현
그럼 우리 인간은 이러한 위험한 환경에 항상 노출되어 있어야 하는 것일까? 물론 그것은 아니다. 우리 몸에도 외부 침입자로부터 자신을 지키기 위한 방어체계가 있다. 피부, 뼈, 머리털, 눈꺼풀 그리고 중요한 면역체계가 이에 해당된다. 이물질인 바이러스가 몸 속에 들어오면, 즉시 우리의 면역시스템이 작동하여 몸을 보호한다.
마찬가지로 컴퓨터에도 이러한 면역체계를 갖추고 있다. 대표적으로 방화벽, 안티바이러스 프로그램 등이 해당된다. 악의적 바이러스가 컴퓨터에 들어오면 이것을 차단하기 위하여 면역체계가 동작한다. 더 간단한 방법은 랜선을 뽑아 네트워크를 분리하는 것이다. 반면 때로는 미처 예방을 하지 못해 신종 바이러스에 걸리기도 한다. 컴퓨터 바이러스 예방이 더 쉽다
예방 면에서는 생물학적 바이러스보다 한 수 우위에 있는 것임은 틀림없다. 또 예방 백신도 미리 접종할 수 있다. 사용하고 있는 운영체제 및 소프트웨어의 보안패치가 그렇고, 안전한 비밀번호의 사용, 공유폴더의 사용제한 등 다양한 예방 백신이 나와있는 것과 같다. 여러분의 컴퓨터가 신종 인플루엔자에 걸리기를 그대로 방치하겠는가? 지금 바로 보안패치를 수행하고 내 컴퓨터의 예방 백신 수준은 어떤지 점검해 보라. 이 작은 실천만으로도 안전해 질 수 있다는 사실에 여러분들은 놀랄지도 모를 것이다.
앞서 언급한 것과 같이 인플루엔자의 대유행기를 다시 되짚어 보면 1918년 이후 1957년에 대 유행이 일어났고 이후 10년 가량 뒤인 1968과 1977년에도 대 유행이 일어났다. 이후 30년이 지나도록 대유행이 일어나지 않아 이번 사태를 우려하고 있다.
이렇게 긴 인플루엔자의 대유행 역사와 달리 20세기 초 등장한 컴퓨터와 네트워크는 빠른 시간 안에 대유행기를 몇 번이나 지나쳤다 할 수 있다. 컴퓨터의 대중화와 인터넷의 확대는 이러한 컴퓨터 인플루엔자 대유행기를 생물학적 바이러스와는 비교할 수 없을 만큼 급속하게 증가될 수 있다. 앞으로 디지털 공간에서 바이러스와 인간과의 지리멸렬한 싸움은 계속 될 것이다. 어떻게 싸움이 마무리가 될 지는 개개인의 노력에 달린 것이다.@
정관진 | 안철수연구소 시큐리티 분석가
현 재 안철수연구소의 시큐리티대응센터에서 취약점, 악성코드 및 네트워크 위협 분석을 담당하고 있다. 안철수연구소의 “IT칼럼니스트”뿐만 아니라, 다수의 보안 강연 및 컬럼니스트로 활동하고 있다. 특히 오픈소스(Open Source)에 많은 관심을 가지고 있어 아파치 웹 서버의 정보를 제공하는 아파치사용자그룹(http://www.apache-kr.org) 사이트를 운영하고 있다.
피싱메일은 최근 발병한 인플루엔자 A(H1N1, 일명 돼지독감) 피싱메일(Swine Flu Phishing)과 같이 최근의 이슈 등을 이용하여 수신자의 관심을 끈다. 더불어 금융사기, 개인정보의 유출뿐만 아니라 악성코드의 실행에도 악용되는 등 여러 가지 기능을 탑재하는 형식으로 변화 하고 있다.
피싱메일은 특정인을 겨냥하여 작성되기도 하지만 스팸메일처럼 무작위로 작성, 발송될 수 있다. 본인과 관련 없는 곳에서 발송된 메일인 경우 스팸메일로 인지하여 읽지 않을 수 있지만 자신의 정보와 일치하는 수신자라면 관심을 갖게 된다.
‘안전하게 이메일을 확인하는 방법(1)_이메일 조작’를 통하여 메일에서 보여지는 ‘보내는 사람’과 ‘받는 사람’은 조작될 수 있음을 보았다. 이번에는 가짜 메일의 겉봉을 뜯고 내용물을 들여다 보도록 하자.
메일의 본문에는 여러 가지 글자와 그림이 포함되어 있다. 이러한 내용은 글 뿐만 아니라 각종 정보위치의 속성을 포함하고 있다. 또한 이러한 내용 작성에 주로 사용되는 html은 화면에 보여지는 내용과 실제 접속되는 페이지의 정보가 다를 수 있다.
이렇게 ‘보이는 것’과 ‘실제’가 다를 수 있는 인터넷기술의 취약점을 이용한 피싱메일을 받은 사용자가 메일이 지시하는 대로 행동할 경우 입을 수 있는 피해를 참치씨의 신용카드 정보유출 경우를 통하여 알아보도록 하자.
* 본편에 사용된 메일은 피싱기법을 표현하기 위한 간략한 예제임을 밝혀둔다. 실제 피싱은 매우 정교하게 만들어 질 수 있고 다양한 기능을 포함한다.
특징 1. 피해자의 관심유도 - 미끼를 던진다.
[그림2 피싱메일의 예]
중요한 회의시간 10분전 메일을 확인하던 참치씨는 주거래은행인 가두리은행으로부터 ‘가두리뱅크 이벤트! 고지서를 메일로 받으시면 결제 금액의 10%를 적립해 드립니다.’ 라는 메일을 발견했다. 신용카드 결제 금액의 10%라는 파격적인 조건에 잠시 의심을 했지만 ‘보내는 사람’이 ‘가두리뱅크’로 되어 있고 메일의 내용도 다른 은행과 같이 첨부파일로 되어 있어 이벤트에 참여하려고 첨부파일을 실행하였다.
하지만 이 피싱메일은 다음의 금융정보를 수집하기 위해 발송된 메일이었다. -주민등록번호, 신용카드번호, 유효기간, CVC 코드, 비밀번호
신용카드의 종류는 수집할 필요가 없다. 참치씨는 ‘가두리뱅크’를 사용하는 고객이기 때문에 이 메일에 관심을 갖는 것이며 너무 많은 정보를 요청하면 피싱메일로 의심할 수 있기 때문이다.
* 일반적인 금융정보관련 페이지는 메일을 통해 연결 되더라도 정상적인 로그인 과정을 추가로 요구하므로 이러한 과정이 없는 경우 주의 할 필요가 있다.
특징 2. 피해자의 행동유도 – 함정에 빠지게 한다.
[그림 3 고객정보 유출을 위해 만들어진 첨부파일 예]
다른 은행에서 발송되는 결제정보메일처럼 주민등록 번호를 입력하는 창이 먼저 나타나자 ‘참치’씨는 무심코 주민등록 번호를 입력하였다. 하지만 이 첨부파일은 아무 숫자나 13자리를 입력하면 열리도록 되어 있다. 주민등록번호를 입력하는 순간 피싱메일의 첨부 파일은 참치씨를 속이기 위한 기본 정보를 취득했으며 또한 동시에 hosts 파일을 조작하였다.
* 정상적인 금융정보관련 메일의 첨부파일은 주민등록번호의 일부만을 요청하므로 전체를 입력을 요구하는 경우 주의해야 한다.
[그림4 정상적인 고객정보 페이지와 첨부파일 실행후 연결된 위조된 고객정보 수정 페이지]
주민등록번호를 입력하고 실행을 누르자 가두리뱅크의 홈페이지의 추가 정보를 입력하는 페이지로 연결되자 참치씨는 조금이나 남아있던 의심을 버리게 되었다. 하지만 이 페이지는 진짜 가두리뱅크의 페이지가 아닌 피싱서버에 있는 조작된 페이지였다.
가두리뱅크의 홈페이지에 접속된 것으로 생각하고 위조된 페이지에 신용카드정보를 꼼꼼하게 입력한 참치씨는 마지막으로 ‘고지서를 메일로 받겠습니다’에 체크한 뒤 앞으로 벌어질 사고를 모른 채 결제금액의 10%가 적립되면 무엇을 살까 하는 행복한 꿈을 꾸면서 ‘완료’ 버튼을 누른다.
이제 피싱서버에는 다음과 같은 정보가 남겨졌다. 4100012312671001|201205|007|1212|카드번호16자리|유효기간|CVC코드|비밀번호4자리
* 일반적인 금융정보관련 페이지는 메일을 통해 연결 되더라도 정상적인 로그인 과정을 추가로 요구하므로 이러한 과정이 없는 경우 주의 할 필요가 있다.
특징 3. 피해자의 대응 방해 – 추가 범죄를 위한 시간을 번다.
1시간 뒤 회의시간 중 300만원이 결제되었다는 신용카드 결제 통보 문자 메시지를 받은 참치씨.
회의가 끝나고 PC에 앉아 가두리뱅크에 접속하였지만 로그인이 되지 않는다. 또한 홈페이지에 써져 있는 고객센터로 전화를 해봐도 통화 중 신호음만 들리고 있다. 어떤 일이 벌어진 것일까?
Hosts파일이 변조된 참치씨의 PC는 계속해서 피싱서버에 접속을 하기 때문이다. 이렇게 참치씨가 허둥대고 있는 동안 계속해서 결제통보 문자는 들어오고.. 순간 참치씨는 자신의 PC가 이상한 것으로 생각하고 동료의 PC를 통해 가두리은행의 홈페이지에 로그인 할 수 있었다. 하지만 이미 수백 만원의 신용카드거래가 결제 된 뒤였다.
이는 첨부파일의 실행을 누른 순간 첨부파일에 포함되어 있던 프로그램이 실행되어 참치씨 PC의 중요한 시스템 파일인 hosts 파일이 조작 되었기 때문이다. Hosts 파일에 입력된 순간 gaduribank.cox 로의 접속은 모두 조작된 서버로 가게 된다. 이제 참치씨는 가두리양식장의 물고기처럼 피싱서버 안에 갇히게 되었다.
[그림5 조작된 hosts 파일]
정상적인 가두리뱅크 주소: URL gaduribank.cox, IP 172.16.103.55 피해시스템의 Hosts 파일에 등록된 정보: URL gaduribank.cox, IP 192.168.136.1
* hosts 파일: DNS 서버를 통한 쿼리 정보보다 우선순위가 높은 시스템 파일로 신뢰성이 요구되는 접속 설정이나 네트워크환경에 따라 설정할 수 있는 파일이다. 기록된 도메인네임에 대한 IP매핑이 되며 해당 도메인에 대한 정보의 이동은 해당 IP 로 고정된다. 예를 들어 hosts 파일에 ‘127.0.0.1 www.google.co.kr ‘로 기록되어 있는 경우 www.google.co.kr 에 대한 통신은 모두 127.0.0.1로 가게 된다. 악성코드 중 hosts 파일을 조작하여 보안제품회사의 접속 못하도록 방해하여 적절한 조치를 받지 못하게 만드는 경우가 존재 한다.
* Windows 계열OS의 hosts 파일의 위치: C:\[WINDOWS설치위치]\system32\drivers\etc\hosts
* 사용자지정 hosts파일인 hosts.ics 파일을 만들어서 사용할 수도 있다. * loopback ip인 127.0.0.1로 등록된 경우 매핑된 도메인주소는 로컬시스템의 IP로 연결된다.
* DNS 정보의 교란/하이제킹을 통하여 변조된 정보취합 서버로의 접속을 유도하는 방식을 파밍(Pharming)이라고 한다.
꼼꼼하기로 유명한 참치씨였지만 교묘하게 조작된 피싱메일과 피싱서버로 인하여 수백 만원을 한 순간에 사기 당한 것이다.
* 사고접수를 통하여 결제를 취소할 수 있지만 피싱사기는 여러 가지 고객정보를 빼내갈 수 있으므로 계좌정보가 함께 유출된 경우 현금이 유출되는 피해를 함께 입을 수 있다.
* 인터넷을 통한 10만원 이상의 신용카드 결제시 공인인증서를 사용하도록 법적으로 규제되어 있다.
뉴스를 통해 우리는 피싱의 피해로 한 순간에 인생이 변하는 사고를 겪은 사람과 삶을 포기한 안타까운 소식이 들려 온다. 시도 때도 없이 걸려오는 광고전화와 스팸문자는 불편함을 겪게 하지만 피싱은 서로에 대한 불신을 야기하고 있다. 최근에는 각박한 생활 속에서 자주 볼 수 없는 친구들과 지인들과의 믿을 수 있는 공간이었던 메신저서비스 마저 피싱에 이용되어 대화할 때 서로에 신원 확인부터 하게 되는 상황이 되어 가고 있다.
얼마 전 인터넷 서비스 업체로부터 서비스 업그레이드를 하라는 전화를 받은 적이 있다. 4년간 사용하던 서비스였지만 통화할 일이 없는데 먼저 연락이 왔고 비용이 변경되니 결제정보를 확인하겠다는 이유만으로 상담원을 의심하게 되어 버렸다. 개선된 서비스를 체험 한 뒤 결정하겠다고 하고 장비교체를 위해 엔지니어가 직접 온 뒤에야 결제정보를 확인 및 동의 전화를 하였다. 서비스업체의 상담원의 하소연이 기억에 남는다. ‘요즘은 고객 유치와 서비스 업그레이드 권유가 어려워요. 보이스피싱으로 의심 받아 바로 끊어 버리거나 승인을 위해 고객정보 확인 하려고 하면 절대 알려주지 않으려는 고객이 부쩍 늘었어요.’
개인적인 경험이었지만 이러한 현상이 지속될 경우 지금까지 이루어진 전화, 인터넷고객서비스 모두를 의심하고 직접 찾아가서 거래를 해야만 하는 ‘서비스의 퇴보’가 발생하지 않을까 걱정이 된다.
피싱으로 인해 발생하는 개인의 금전적 피해도 문제지만 피싱으로 인해 점점 불신풍조가 만연하는 세상이 되어가고 있기에 우리 모두가 잠재적인 피해자이다.
안형봉 | 안철수연구소 엔진QA
안철수연구소의 시큐리티대응센터에서 엔진QA를 담당하며 병렬테스트시스템, 컨텐츠배포네트워크시스템(CDN) 개발을 진행하고 있다. 현재 "안랩 칼럼리스트"로 활동하며, 일반인들에게 보안 사건, 사고의 원인을 네트워크단에서 해석한다. 최악의 네트워크상태인 곳에서도 안정성과 속도가 유지되는 배포시스템을 설계하는 아키텍트가 되는 것이 목표로 하고 있다. 많은 실무 경험을 통해 학생들에게 보다 생생한 교육을 할 수 있는 날을 준비하고 있다.
20세기 인류최대의 발명품이라고 말할 수 있는 자동차는 우리 인간이 자유롭게 어디든지 이동할 수 있게 하였고 경제발전의 큰 밑거름이 되었다. 더불어 자동차는 우리에게 편리하고 윤택한 생활을 제공하였고 이로 인해, 이제 자동차 등록대수는 1천7백만 대에 도달하고 있다. 지금 우리가 말하는 정보화 시대에 자동차 대중화 시대가 찾아왔고 자동차 홍수시대가 된 것이다. 도로 곳곳에는 교통 표지판으로 넘쳐나고 있고 앞으로는 정보화 시대에 걸맞게 디지털화된 교통체계와 함께 다양한 디지털 장비들을 볼 수가 있을 것이다.
필자가 이전 칼럼인 ‘영화로 보는 보안’에서 영화 이글아이와 에너미 오브 스테이트를 보면 누군가에 의해 교통이 제어되고 디지털 사인보드가 원하는 대로 조정 당하는 내용이 나온다. 전자기기들이 네트워크에 연결되어 모든 것이 통제 당한다는 것이다. 바로 이번에 다루고자 하는 내용이 우리가 흔히 말하는 일상적인 컴퓨터와는 약간 동떨어져 보일 수 있는 도로교통 쪽으로 눈을 돌려보고자 한다.
[그림 1] 해킹된 도로표지판 - 출처: i-hacked.com
도로교통 표지판 안전한 것일까?
필자에게 펜을 들게 한 것은 2009년 1월말 미국의 텍사스주의 오스틴에서 일어난 교통표지판 해킹 사건 때문이다. 이른 아침 시간 교통표지판 중에 하나가 엉뚱하게도 “좀비가 앞에 있다” 라는 메시지로 변경된 것이다. 이러한 표지판의 임의적인 변경은 재미난 해프닝으로 끝날 수도 있지만 잘못된 사용으로 운전자에게는 큰 위험을 안겨다 줄 수도 있다. 이번 사건의 해킹과 관련해 자세한 내용은 공식적으로 언급되고 있지 않지만 i-hacked.com의 관련 내용을 보면 내부 안에 있는 제어장치를 통해서 메시지를 수정할 수가 있었던 것으로 추정된다. 이 제어 장치는 외부에서 접근할 수 없게 자물쇠로 채워져 있었고 자체적으로 패스워드를 이용한 보안 장치도 있었지만 기본 패스워드가 노출되어 있었다. 물리적인 보안이 자물쇠 하나였다고 하지만 제어장치의 사용이 보다 안전한 방법을 채택하고 있었다면 어땠을까 하는 아쉬움이 남는다.
그런데 이 사건이 발생한 지 일주일이 지나 비슷한 사건이 미국 인디애나주의 공사현장 주의 표지판에 “전방 공룡 출현 주의(Raptors Ahead Caution)” 라는 내용의 표지판이 나타나 또 한번 사람들을 놀라게 했다. 한 운전자는 표지판을 보고 당황했었다며 공룡이 이 길을 따라 뛰어오거나 하는 그런 일들이 상상되었다고 WRTV의 한 인터뷰에서 밝혔다. 또 다른 예로 네덜란드에서 제작된 것으로 추정되는 한 동영상은 고속도로의 속도 표지판을 50 에서 5로 바꾸거나 텍스트를 마음대로 변경하는 모습을 보여주었다. 이 동영상에 대한 진위여부에 대해서는 조작된 것이라는 말도 있다.
[그림 2] 고속도로의 제한 속도 변경 – 출처: 유튜브
한번 웃고 말 일일지도 모르지만 직접 운전을 하고 있는 도로에서 도로교통 표지판이 누군가에 의해 자유롭게 조작될 수 있는 것은 한 사람의 생명과도 직결될 수 있는 문제이기에 재미난 일만은 아니다. 여러분들이 운전을 하고 있다는 가정하에 제한속도가 70km 인 곳에서 120km까지 속도를 높인다거나 110km 으로 달리는 도로에서 갑자기 속도제한이 60km으로 바뀐다고 생각해 보면 이러한 가정들이 얼마나 위험을 초래할 수 있는지는 쉽게 공감할 수 있을 것이다. 사회전반의 중요 인프라가 컴퓨터에 의해 제어되고 관리되다 보니 얻을 수 있는 것도 많아졌으나 이로 인해 위험을 안아야 하는 경우가 생긴 것이다.
마지막으로 한 예를 더 들어 보이겠다. 보안과는 약간 거리감은 있지만 3월25일 아르헨티나의 수도 부에노스 아이레스에서 수백 개의 신호등이 일제히 노란 불을 깜빡였다고 한다. [출처:서울신문 나우뉴스] 순식간에 도시 절반의 교통이 완전히 마비되고 극심한 교통체증이 발생하였다. 누군가에 의한 해킹이었을까? 그러나 다행히도 영화 속의 현실은 아니었고 30년 된 컴퓨터 1대가 고장 나면서 발생한 문제라고 한다. 컴퓨터 1대가 도시절반의 교통을 마비시킨걸 보면 이러한 운영이 얼마나 중요한 것인지 새삼 다시 느끼게 될 것이다.
이제 보안은 사회전반에 걸쳐 필요한 것
이런 일들을 보면 영화 속의 일들이 현실에서 나타나지 않으리란 보장이 없다는 것을 알 수 있다. 세월이 흐르면서 기술은 급격히 발전하고 단지 우리가 상상하던 일들이 조금씩 현실로 나타나는걸 보면 말이다.
그렇다면 한국의 상황은 어떨까? 한국도 마찬가지로 이런 사고가 발생할 가능성을 충분히 갖고 있을 것이다. IT 강국답게 관련 인프라가 튼튼하기 때문이다. 이와 관련해 도로교통 전문가에게 문의를 해 보았으나 필자는 아직 이와 관련한 답변을 듣지 못했다. 혹시 이 글을 보고 있는 분들 중에 필자에게 도움을 줄 수 있는 분이 있다면 언제든지 환영한다.
마지막으로 한국에서 진행되고 있는 스마트 하이웨이(Smart Highway)를 살펴보고자 한다. 정부가 2017년까지 1천억 원을 투입해 개발하려는 지능형 고속도로로 주행중인 자동차 안에서 도로상황 등 각종 교통정보를 실시간으로 주고받으며 소음이나 교통체증을 줄여 시속 160Km로 주행할 수 있다고 한다. 여기에는 지금까지 우리가 누리고 있는 최첨단 IT 기술이 접목되는 만큼 미래에 꿈꾸던 그런 고속도로가 나올 것이다.
[그림 3] 스마트하이웨이 사업 전체구상도 - 출처: 한국도로공사
실제로 미국은 스마트 교통시스템을 구축하기 위해 300억 달러를 투자하기로 발표한 바 있다. IT 시스템을 접목시켜 '스마트'화 시키고 교통흐름을 최적으로 제어하여 교통 혼잡비용과 사고비용을 줄일 수 있게 되는 것이다. GPS 위치추적, 무선통신기술, CCTV 의 교통정보를 분석해 교통을 실시간으로 제어하는 기술이 사용될 것이다. 기존 전통 산업기반의 인프라가 점차 IT 라는 것과 융합이 되면서 접근성은 더욱 높여주고 있다. 이것이 뜻하는 것은 누군가가 접근할 수도 있다는 사실이다. 물론 그런 가능성은 최소화하기 위하여 다양한 준비를 하겠지만 단순히 기존 인프라와 같은 운영에 기반하여 위험성을 간과해서는 안 된다는 점이다. 필자의 기우일 수도 있지만 이 글이 한번 더 보안에 대해 생각하게 만드는 시간이 되었으면 하는 바램이다.
끝으로 이번 텍사스주의 오스틴에서 발생한 해킹 이슈와 관련하여 필자는 텍사스 주의 교통국 미디어 담당자인 Chris Lippincott를 통해 더 자세한 내막을 들어보려고 하였지만 알 수는 없었다. 다만 이번 사건과 관련하여 한국에도 조언을 부탁한 말에 그는 “운전자에게 중요한 정보를 전달하는 장비들은 안전하게 관리되어야 할 것이며, 이번 일은 텍사스에서 그러했듯이 한국에서도 똑같이 발생할 수 있다“ 라고 당부했다. 그의 말과 같이 한국뿐만 아니라 어느 나라에서든지 발생할 수 있다는 점을 잊지 않아야 한다. 한국에서는 이런 일이 생기지 않기를 바라며 이 글을 끝마친다.<Ahn>
정관진 | 안철수연구소 시큐리티 분석가
현 재 안철수연구소의 시큐리티대응센터에서 취약점, 악성코드 및 네트워크 위협 분석을 담당하고 있다. 안철수연구소의 “IT칼럼니스트”뿐만 아니라, 다수의 보안 강연 및 컬럼니스트로 활동하고 있다. 특히 오픈소스(Open Source)에 많은 관심을 가지고 있어 아파치 웹 서버의 정보를 제공하는 아파치사용자그룹(http://www.apache-kr.org) 사이트를 운영하고 있다.
안철수연구소는 개인정보 보호에 대한 법적 강화와 기업들의 정보보안 수준 향상을 위해 기존 컨설팅 서비스에 시큐리티대응센터(ASEC)와 보안관제(CERT)를 통합한 정보보안서비스를 국내외 출시하여, 서비스 중심의 통합보안 기업으로 자리매김해 나가겠다고 발표했습니다.
이를 위해 안철수연구소는 올 초부터 서비스사업본부 체제로 전환하여 보안 컨설팅/관제, CERT(침해사고대응) 등의 서비스를 총괄하는 조직으로 개편했습니다. 또한 안철수연구소가 강점으로 가지고 있는 악성코드 분석, 긴급대응 등의 시큐리티대응센터(ASEC)와 네트워크 보안 및 보안관제(CERT)를 통합하여 포렌직, 모의해킹 등 특화된 서비스로 해외 시장에도 진출한다는 계획을 가지고 있습다. 이에 힘입어 최근에는 공공기관과 대기업 등 주요 기관의 정보보안 컨설팅 사업을 잇달아 수주함으로써, 보안 컨설팅의 리더로 입지를 강화해 나가고 있습니다.
안철수연구소의 정보보안 컨설팅의 강점은 정보보호 및 컨설팅 경력 7~8년 이상의 고급 컨설턴트들을 가장 많이 보유하고 있으며, 이들의 다양한 경험과 축적된 노하우를 바탕으로 고객에게 맞춤형 컨설팅을 수행할 수 있다는 것 입니다. 또한 ‘한국소프트웨어기술대상’을 수상한 안철수연구소 고유의 컨설팅 방법론인 ASEM(AhnLab Security Engineering Methodology)을 통해 안전진단 컨설팅 방법론, 개인정보보호 컨설팅 방법론, 정보보호체계 설계 방법론 등 세부적인 방법론을 통해 보다 효과적인 컨설팅을 수행하고 있다는 것도 강점입니다.
안철수연구소 서비스사업본부 방인구 상무는 “지난해부터 개인 정보보호와 관련된 이슈들이 꾸준히 제기되어 왔고, 올해에는 법적인 근거도 강화될 예정이어서 많은 기업들이 정보보안 컨설팅에 대한 요구가 높다”며 “안철수연구소는 국내에서 유일하게 PC 통합보안에서부터 네트워크 보안, 인터넷 보안에 이르기까지 기반 기술과 개발 조직을 보유하고 있기 때문에, 이러한 기술들을 총 망라하는 특화된 종합 컨설팅 서비스를 수행함으로써 기업들의 정보보안 수준을 높여 안전한 비즈니스를 운영할 수 있도록 할 것”이라고 말했습니다.
안철수연구소가 최근 마이크로소프트사 MAPP(Microsoft Active Protection Program)의 파트너로 가입했습니다.
MAPP는 MS사가 자사 OS(운영체계)나 응응 소프트웨어의 보안 취약점에 대해 공식 패치 업데이트를 발표하기 전에 보안 소프트웨어 업체에 정보를 제공하는 프로그램입니다. MS사는 보안 패치 업데이트를 매월 둘째 수요일(한국 시간 기준)에 발표하는데, 이에 앞서 보안 취약점 정보를 제공함으로써 파트너가 사전에 충분한 대응력을 준비할 수 있도록 지원하는 것입니다. 이에 따라 MAPP 파트너는 제로 데이 공격(Zero-day Attacks)을 포함한 다양한 보안 위협에 대해 한층 신속하고 효율적인 대응력을 확보할 수 있게 되었습니다.
안철수연구소는 MAPP 가입으로 PC 및 서버용 통합보안 백신 제품인 V3 제품군은 물론 ‘트러스가드 UTM(AhnLab TrusGuard UTM)’을 비롯한 네트워크 보안 솔루션의 대응력을 한층 높일 수 있게 됐습니다. 즉, 해당 보안 취약점을 이용한 악성코드가 등장하기 전에 취약점 이용을 무력화하는 기술을 V3 제품군에 탑재함으로써 사전 대응을 할 수 있습니다. 또한 해당 취약점을 이용한 네트워크 공격 패킷에 대해서도 차단 기술을 UTM(통합위협관리솔루션)과 IPS(침입방지시스템) 솔루션에 탑재함으로써 한 발 앞선 대응력을 확보하게 됩니다. 이에 따라 고객은 PC부터 네트워크에 이르기까지 더욱 안전한 보안 대책을 제공받을 수 있습니다.
시큐리티대응센터 조시행 상무는 “보안 취약점을 이용하는 악성코드나 네트워크 공격이 갈수록 증가하고 있는 상황입니다. 이번 MAPP 가입으로 사전 대응력을 높임으로써 제품의 기술력을 더욱 강화할 수 있게 되었습니다. 앞으로도 사용자와 IT 환경의 안전을 위해 대응력과 기술력을 강화해나가겠다.”라고 강조했습니다.
안철수연구소는(대표 김홍선, www.ahnlab.com)는 설 연휴에도 신종 해킹이나 바이러스 등으로 인한 피해를 예방하고 안전한 연휴를 보낼 수 있도록 평상시와 다름 없이 24시간 비상 근무 체제를 가동한다.
안철수연구소 시큐리티대응센터(ASEC)와 침해사고대응센터(CERT)의 악성코드 모니터링 및 분석 연구원과 침해 사고 대응 전문가 30여 명이 상시 대응한다. 또한 상황의 심각성에 따라 단계별로 대응팀을 구성해 연휴 기간에 보안 사고가 발생하더라도 신속한 해결책을 제공할 예정이다.
한편 안철수연구소는 설 연휴 기간에 개인 사용자가 유의해야 할 ‘보안 수칙’을 발표했다. 최근 이메일, 메신저 등 다양한 유포 경로로 악성코드가 전파되고, 돈벌이를 목적으로 개인 정보를 빼내가는 국지적 공격이 점차 지능화하고 있어 이로 인한 피해를 예방할 수 있는 안전 수칙을 발표했다.
안철수연구소 시큐리티대응센터 조시행 상무는 “최근 운영체제나 응용 프로그램의 취약점을 노린 악성코드가 기승을 부리고 있으므로 개인 및 기업 PC에 보안 패치를 철저히 해야 한다. 아울러 백신과 같은 보안 소프트웨어를 설치하고, 항상 최신 버전으로 유지하는 한편 실시간 감시 기능을 켜두는 습관이 필요하다.”라고 강조했다. 아울러 “기업이나 공공기관 서버의 경우 DDoS(분산서비스거부) 공격이나 웹 취약점을 이용한 공격에 철저히 대비해야 한다.”라고 주의를 당부했다.
<안철수연구소가 권하는 보안 수칙>--------------------------
* PC 보안 10계명
1. 윈도 운영체계는 최신 보안 패치를 모두 적용한다.
2. 인터넷 로그인 계정의 패스워드를 자주 변경하고, 영문/숫자/특수문자 조합으로 6자리 이상으로 설정한다. 로그인 ID와 패스워드를 동일하게 설정하지 않는다.
3. 해킹, 바이러스, 스파이웨어 등을 종합적으로 막아주는 V3 등과 같은 통합 백신을 하나 정도는 설치해둔다. 설치 후 항상 최신 버전의 엔진으로 유지하고 부팅 후 보안 제품이 자동 업데이트되도록 하고 시스템 감시 기능이 항상 작동하도록 설정한다.
4. 웹사이트에 접속했을 때 악성코드나 스파이웨어가 자동으로 다운로드 되는 경우가 있으니 안철수연구소가 무료로 제공하는 위험사이트 차단 서비스 ‘사이트가드’(http://www.siteguard.co.kr/)를 이용해 예방한다.
5. 웹 서핑 때 '보안경고' 창이 뜰 경우에는 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의하는 '예'를 클릭한다. 잘 모르는 프로그램을 설치하겠다는 경고가 나오면 ‘예’ ‘아니오’ 중 어느 것도 선택하지 말고 창을 닫는다.
6. 이메일 확인 시 발신인이 불분명하거나 수상한 첨부 파일이 있는 것은 모두 삭제한다.
7. 메신저 프로그램 사용 시 메시지를 통해 URL이나 파일이 첨부되어 올 경우 함부로 클릭하거나 실행하지 않는다. 메시지를 보낸 이가 직접 보낸 것이 맞는지를 먼저 확인해본다.
8. P2P 프로그램 사용 시 파일을 다운로드할 때는 반드시 보안 제품으로 검사한 후 사용한다. 또한 트로이목마 등에 의해 지정하지 않은 폴더가 오픈되지 않도록 주의한다.
9. 정품 소프트웨어를 사용한다. 인터넷을 통해 불법 소프트웨어를 다운로드해 설치하는 경우 이를 통해 악성코드가 설치될 가능성이 높기 때문이다.
10. 중요한 자료를 주기적으로 백업해 두어 만일의 상황에 대비한다.
* 기업 및 공공기관 보안 수칙 10계명
1. 운영체제(OS)의 최신 보안 패치를 적용한다.
2. 최신 업데이트 현황 등 안티바이러스 대비 상황을 점검한다.
3. 방화벽 설정을 통해 불필요한 포트를 차단한다.
4. 서버에서 불필요한 사용자 계정 및 서비스를 제거한다.
5. 사용 중인 애플리케이션의 로깅 가동, 중요 파일에 대한 무결성 점검, 감사 기능 등을 설정해두고, 중요 서버의 보안 상태를 사전 점검한다.
6. 사용하지 않는 서버는 네트워크에서 분리해 외부의 침입으로부터 안전한 환경을 구축한다.
7. 연휴 동안 서비스하지 않는 시스템의 경우, UTM 등 네트워크 보안 장비에서 차단으로 정책을 변경해 둔다.
8. 신뢰할 수 있는 보안 관련 사이트를 방문해 최신 보안 정보를 수시로 확인한다.
9 중요 시스템의 데이터에 대한 사전 백업 시스템을 구축하고 사이버 공격 발생 시 대응 지침을 공유한다.
10. 보안 문제 발생 시에 대비해 비상 연락 체계를 구축한다. 보안관제 서비스를 받고 있는 경우는 해당 보안관제 업체의 24시간 상황실 연락망을 공유하고, 자체 보안관제 시스템을 운영하는 경우 자체 비상 연락망을 공유한다.
댓글을 달아 주세요
다음 뉴스에도 나왔더라구요^^
정말 고생하세요 ㅎㅎ
점점 지능화 되고 있어서 걱정입니다..
요시님을 여기서 뵙네요 ^^
안랩까페에서 활동량이 대단하신...
전 당하고 말았어요.ㅠ,ㅠ비밀번호 이메일로 오지도 않구
정말 않당할줄 알았는데..당했네요..
정말 어디서 위험이 닥칠지 모르는 세상이지요..