세상에서 가장 안전한 이름, 안철수연구소

인터넷 뱅킹 보안 수칙

인터넷 뱅킹과 관련된 해킹 사고가 심심찮게 발생하고 있다. 얼마 전 중국 해커가 국내 은행에서 거액을 인출하는 사건이 발생했다. 이는 수십 명의 금융 정보를 알아내어 그들 계좌에서 수억 원이라는 거액을 훔쳤기 때문이다. 언론 보도에 따르면 이는 피해자들의 대부분이 계좌번호, 보안카드 번호 등 중요한 개임 금융정보를 스캔하여 이메일 계정이나 웹하드 등에 올려 놓았고 이를 해커가 해킹을 통해 빼간 것으로 나타났다.

한 방송사의 보도에는 보안 프로그램의 문제점을 지적하는 내용이 포함되어 있었다. 이는 키보드로 입력되는 정보를 스니핑하는 해킹 프로그램에 대해 키보드 보안 프로그램이 완벽하게 막아내지 못한다는 내용의 시연이 있었다. 시연에 사용된 키보드 스니퍼는 국내에서 꽤 유명한 보안 연구그룹에서 제작한 프로그램으로 보다 정확한 명칭은 키보드 포트 폴링을 통한 스니퍼 프로그램이다.

현재 안철수연구소에서 확인 한 바로는 국내 몇 보안 회사에서 제공하는 키보드보안 제품에는 키보드 포트 폴링 방식에 취약점을 가지고 있다. 반면 안랩의 AOS(안랩온라인시큐리티) 제품의 경우 키보드 포트 폴링에 대한 차단 기술기술에 대한 특허를 보유하고 있다. 해당 방송사에서 실시한 시연의 방식에 대한 문제점이 제기 되기도 하였다. 이는 시연 시 사용된 키보드 스니퍼 프로그램 설명 문서에서 프로그램의 한계를 명확히 하고 있다는 것이다.

안철수연구소는 홈페이지와 언론을 통해 수 차례 인터넷 뱅킹 사용 수칙을 발표한 적이 있다. 물론 그 내용에는 개인정보 저장에 관한 방법들이 포함되어 있었다. 그러고 보면 아직까지 보안에 관심이 상대적으로 적은 혹은 문제를 인식 못하는 사용자들이 많아 안타까운 마음이다.

다시 한번 인터넷 뱅킹 사용시 지켜야 할 보안 수칙을 알아본다.

글: ASEC 대응팀

위 글은 안랩닷컴    페이지에서도 제공되고 있습니다.

보안에 대한 더 많은 정보 안랩닷컴"에서 찾으세요 :D

 100 퍼센트 완벽한 백신은 없다  

 

첫째, 어떤 백신 프로그램도 모든 악성코드를 진단하지 못한다. 백신 프로그램은 새롭게 발견된 악성코드의 고유 시그니처를 추가해서 진단/치료하는 프로그램이다.

신종 악성코드에는 취약하다는 단점에 유사 변형을 진단하는 특성진단(Generic detection) 및 의심스러운 코드를 진단하는 휴리스틱 진단(Heuristic detection) 등으로 알려지지 않은 악성코드를 진단할 수 있다.
 
하지만, 악성코드 제작자 역시 백신 프로그램으로 테스트하며 진단 회피 방안을 계속 마련하고 있으므로 이들 기술로도 완벽하지 않다.

둘째, 신종 악성코드에 대비하기 위해 꾸준한 업데이트가 필요하다. 백신 프로그램은 새로운 악성코드를 진단할 수 없기 때문에 꾸준한 업데이트가 필요하다.

1991년에는 일년에 4차례 업데이트가 이뤄졌다. 1996년에는 한 달에 한번 업데이트를 권했으며 1998년에는 매주 업데이트를 권했다. 하지만, 1999년에는 매일 업데이트를 진행한 업체가 등장했으며 2004년에는 매시간, 2008년에는 매 5-15분 업데이트 주기 제품이 등장했다.  

셋째, 악성코드 위협과 대응 시간에 격차가 존재한다. 악성코드 수가 증가함에 따라 백신 업체는 업데이트 주기를 단축하기 위해 노력하고 있다.

하지만, 현재와 같은 ‘접수’ –> ‘분석’ –> ‘시그니처 작성’ –> ‘테스트’ –> ‘배포’ 과정까지 빠르면 3시간 정도에서 늦으면 하루에서 며칠씩 걸릴 수 있다. 새로운 시그니처 작성 시간 동안 사용자의 컴퓨터는 신종 악성코드에 감염되어 피해를 당할 수 있다.

넷째, 정상 파일을 악성코드로 진단하는 오진이 발생할 수 있다. 잘 알려지지 않은 프로그램에서 시스템의 중요 파일을 악성코드로 오인해 삭제할 수 있다.

백신 업체에서는 오진을 줄이기 위해 노력하고 있지만 사용자들 역시 평소 잘 사용하던 프로그램이 악성코드로 진단되면 오진을 의심해 봐야 한다.

다섯째, 치료 후 감염 파일이나 시스템이 악성코드 감염 이전과 동일하지 않을 수 있다. 정상 파일에 바이러스가 감염되면 파일 내용 중 일부가 변하는데 감염 되기 전 데이터를 보관하지 않을 경우 치료 후에도 이전 값으로 동일하게 돌아가지 않을 수 있다.
또, 악성코드에 감염되면서 변경하거나 추가한 레지스트리나 파일 내용이 남아 있을 수 있다. 이런 특히 쓰레기 파일이 완전히 복원되지 않아 악성코드를 치료한 후에 에러 메시지가 뜨거나 파일이 정상적으로 실행되지 않을 수 있다.

백신 프로그램은 이렇게 몇 가지 한계가 있지만 초보자부터 파워 유저까지 악성코드에 감염된 시스템과 파일을 진단/치료하는데 큰 도움을 주는 프로그램이다.

다만, 백신 프로그램만 너무 맹신하는 것보다 백신 프로그램의 한계를 잘 이해하고 평소 보안 습관을 잘 지키는 것이 안전한 컴퓨터 사용을 위해 무엇보다 중요할 것이다.


글 : 악성코드 분석가 차민석

위 글은 안랩닷컴    페이지에서도 제공되고 있습니다.

보안에 대한 더 많은 정보 안랩닷컴"에서 찾으세요 :D

- V3 전용 백신 무료 제공..국내외 백신 중 유일하게 진단/치료

- MS08-067 취약점, USB, 공유폴더 통해 전파..보안 패치, 통합백신 사용 등 필요

안철수연구소(대표 김홍선 www.ahnlab.com)는 이동식 디스크인 USB 등 다양한 경로로 전파돼 인터넷 장애를 유발하는 악성코드인 콘피커 웜 변형(Win32/Conficker.worm.173318)이 7일 오전부터 급속 확산되고 있다고 경고했다.  

안철수연구소는 전용 백신(http://kr.ahnlab.com/dwVaccineView.ahn?num=80&cPage=1)을 긴급 개발해 무료 제공 중이다. 현재 국내외 백신 대다수가 진단/치료를 못 하고 있는 가운데 안철수연구소의 전용 백신 V3Kill(V3conficker.exe)만이 정상적인 진단/치료를 할 수 있다. 또한 계속 변종이 만들어지고 있기 때문에 주의가 필요하며, 안철수연구소는 전용 백신을 지속적으로 업데이트할 예정이다.

콘피커.173318 웜은 MS사의 운영체제인 윈도의 MS08-067 취약점을 악용한 악성코드로 원형은 지난해 10월에 발견됐다. 콘피커.173318 웜에 감염되면 네트워크 트래픽에 과부하가 발생해 인터넷 속도가 느려진다. 보안 업체나 MS사 등의 웹사이트 접속이 안 되기도 한다. 또한 백신의 진단/치료를 회피하기 위해 컴퓨터의 실행 프로세스를 변경하며, 웜 파일이 삭제되지 않도록 보안 설정을 변경해 일부 백신의 진단/치료 기능을 무력화한다.

이 웜은 세 가지 경로로 전파되기 때문에 확산력이 매우 강하다. 즉, MS08-067 취약점이 있는 컴퓨터를 원격으로 찾아 감염시키고, USB와 특정 폴더(관리 목적의 공유 폴더)를 통해서도 전파된다. 콘피커.173318 웜은 특정 폴더에 자신을 복사하기 위해 11111, abc123, admin 등 다양한 패스워드를 대입해보고 사용자가 설정한 값과 일치하면 관리자 권한을 얻어 해당 폴더에 자신을 복사한다.  

사용자는 콘피커.173318 웜의 피해를 예방하기 위해서 MS08-067에 대한 보안 패치를 설치해야 한다. 또한 ‘V3 365 클리닉’ ‘V3 IS 2007 플래티넘’처럼 백신과 PC 방화벽이 통합된 보안 제품을 설치해 최신 버전으로 업데이트하고 실시간 감시 기능을 사용하는 것이 안전하다. PC 로그인 패스워드를 예상하기 어려운 복잡한 조합으로 설정해두고 네트워크 방화벽이나 PC 방화벽에서 445번 포트를 차단하는 것도 필요하다.

안철수연구소 시큐리티대응센터 조시행 상무는 “현재 MS08-067 취약점을 이용한 악성코드는 현재 20개가 넘게 발견되었다. 주로 인터넷 장애를 유발하므로 피해 범위가 광범위하다. PC 사용자 모두 보안 패치 설치와 보안 제품 사용 등을 생활화해야 피해를 막을 수 있다.”라고 강조했다.

최근 11월 한달 동안 네트워크 모니터링 시스템으로부터 탐지된 상위 Top 5 보안위협들은 다음과 같다.

10월 말 MS08-067 서버 서비스 취약점이 발표된 이후 네트워크를 통해 해당 취약점을 이용하는 악의적인 트래픽이 급격히 증가되는 것이 관찰되기 시작하였다. 최근 새로운 취약점이 발표되고 이를 공격에 이용하는 악성코드가 제작되는 시간이 점점 짧아지고 있어 어느 때보다도 사용자들의 신속한 최신 업데이트 설치가 필요할 때이다.

지금까지 상위를 차지하던 과거의 취약점들을 제치고 최근 발표된 MS08-067 서버 서비스 취약점이 상위에 올라왔으며, 이를 통하여 해당 취약점이 얼마나 빠른 속도로 확산되고 있는지를 추정해 볼 수 있게 한다.

특히, [그림 1-4]에서 보이는 바와 같이, 이번 달에는 TCP/445 포트가 전체 트래픽의 87%를 차지하였으며, 이 수치는 네트워크 모니터링을 시작한 이후 가장 큰 수치이다. 최근 발표된 MS08-067 서버 서비스 취약점이 TCP/139, TCP/445 포트를 사용하고 있으며 허니팟 내에 감염된 트래픽이 전파를 목적으로 또 다른 시스템을 스캐닝하는 과정에서 발생되기도 하였다. 네트워크 관리자들은 TCP/139, TCP/445 포트가 반드시 필요한지 여부를 확인하고, 불필요경우 방화벽과 같은 보안제품을 통해 차단할 필요가 있다.

MS08-067 서버 서비스 취약점의 추이를 모니터링하기 위해 TCP/445포트 상의 트래픽을 집중적으로 살펴본 결과, 10월 27일부터 TCP/445 포트 상의 트래픽이 급격히 증가하였고 11월 13일 이후로 트래픽이 감소하는 모습을 아래 [그림 1-5]에서 확인할 수 있다. 최신 보안업데이트와 보안제품들의 탐지기능 추가로 인하여 MS08-067 서버 서비스 취약점을 이용하는 악성코드가 점차 감소하고 있는 것으로 추정해 볼 수 있다.

공격 발생지별로 살펴본 한달 간의 국가별 현황을 살펴보면, 기존 달과 마찬가지로 한국(KR)을 비롯하여 미국(US), 일본(JP), 중국(CN), 홍콩(HK) 등의 국가들이 차례로 높은 비중을 차지 하였다.

[표 1-1] 국가별 공격 발생지 분포[1]

--------------------------------------------------------------------------------

[1] 이 표는 ㈜안철수연구소에서 운영 중인 허니넷으로 유입된 트래픽을 기준으로 한 것으로 전체적인 국가별 순위를 의미하는 것은 아니다.

[출처] 안철수연구소 ASEC리포트
 

- 검사 설정 개선으로 속도 향상, 컴퓨터 자원 효율 높여
- 기업 PC용 V3 차기 제품 내년 초 출시 예정

안철수연구소(대표 김홍선 www.ahnlab.com)는 12일 기업 PC용 통합보안 백신 제품인 ‘V3 Internet Security 7.0 Platinum(이하 ‘V3 IS 7.0 플래티넘’)’을 비롯한 기업, 개인용 V3 패키지 제품군 4종에 적용할 서비스팩1을 개발 완료해 12일부터 배포한다. 서비스팩1이 적용되는 제품은 기업용 ‘V3 IS 7.0 플래티넘’과 ‘V3 IS 7.0’, 개인용 ‘V3 IS 2007 플래티넘’과 ‘V3 IS 2007’이다.
 
이번 서비스팩1은 예약 검사 등의 설정을 개선해 검사 속도를 높이고 컴퓨터 자원의 효율을 높이는 데 초점을 맞추었으며, 운영체제의 시스템 파일을 보호하는 기능을 더욱 강화했다.
 
개선된 점은 첫째, 수동/예약 검사를 사용할 때 CPU 사용량을 조절할 수 있는 기능이 추가됐다. 사용자는 필요에 따라 높음(70%), 보통(50%), 낮음(40%)으로 CPU 사용량을 설정해 다른 작업에 부하를 주지 않고 검사를 할 수 있다. 둘째, 예약 검사 시 시스템이 과부하 상태여도 무리 없이 동작할 수 있도록 개선했다. 셋째, 사용자 환경(UI; User Interface)을 개선해 V3를 실행해 메인 UI가 화면에 표시되기까지의 시간을 50% 이상 단축했다. 이 같은 성능 개선에 따라 사용 편의성이 한층 높아지게 됐다.
 
서비스팩1을 설치하려면 V3 제품군의 [업데이트] 메뉴를 실행해 [환경설정]에서 ‘업데이트할 제품’항목에 ‘패치 파일’이 선택해 두면 자동으로 설치된다. 안철수연구소는 이번 서비스팩1 배포에 이어 기업용 제품의 차기 제품인 'V3 IS 8.0'을 내년 초에 출시할 예정이다.
 
한편, ‘V3 IS 7.0 플래티넘 엔터프라이즈’는 안철수연구소가 자체 기술력으로 개발한 세계 최고 수준의 기업용 통합보안 제품이다. 올해 6월 CC(Common Criteria; 국제공통평가기준)인증을 EAL4(Evaluation Assurance Level 4) 등급으로 획득했으며, 2007년 2월부터 현재까지 국제 인증인 체크마크를 획득해 글로벌 기술력을 공인 받고 있다. 국내뿐 아니라 일본, 동남아, 북미, 중남미, 유럽 등 전세계 시장에도 판매되고 있다.
 
이 제품의 주요 특징은 ▶바이러스, 웜, 트로이목마 등 각종 악성코드에서 스파이웨어, 해킹까지 방역 ▶정보 자산 보호 및 금융 사고 방지 ▶컴퓨터 최적화 기능을 통한 효율적 자원 관리 ▶편리한 부가 기능 제공 등이다. 각종 악성코드에 실시간으로 대응하는 한편, 비밀번호, 금융 정보 등 각종 개인 정보가 유출되지 않도록 막아주며 정보 도용 사고 방지 기능으로 금융 사고를 미연에 방지해준다. 또한 열어본 페이지 목록 등 인터넷 사용 시 생성된 각종 파일을 청소하고 메모리를 정리해 컴퓨터가 원활히 작동할 수 있는 최적의 환경을 만들어준다. 64비트, 윈도 비스타 등 변화하는 IT 환경에 최적화했으며, 사용자 중심의 UI(User Interface) 제공으로 관리 부담이 매우 적다. 최고 수준의 긴급 대응 조직인 시큐리티대응센터의 24시간 365일 지원으로 악성코드 및 보안 이슈 발생 시 신속하게 대응할 수 있다는 점도 강점이다.

지난해 11월경 안철수연구소의 새로운 백신 엔진인 TS엔진이 개발 완료되어, 12월부터 빛자루, V3 제품군, UTM 등 단계적으로 적용되어 왔습니다.
   
모든 제품에 안정적으로 안착되어, 그동안 바이러스, 스파이웨어, 트로이목마 등 각종 악성코드와 싸웠던 Flight엔진은 2월 16일자로 역사속으로 사라졌습니다.

기존 듀얼로 제공되어 왔던 엔진 배포 체계도 다시 예전으로 돌아왔습니다. 예전에는 Flight 엔진과 TS 엔진의 구분을 위해 한시적으로 TS 엔진 버전을 "Flight 엔진 버전 +10" 으로 유지하던 것을, Flight 엔진 서비스 종료에 따라 본래 버전으로 버전 체계로 돌아온 것이죠.

그동안 수고해준 Flight 엔진에게 박수를~~

TS엔진이란 무엇인가요?

TS 엔진’은 Total Security의 약자로 바이러스, 트로이목마 등 악성코드를 비롯한 스파이웨어, 피싱 등 다양한 보안 위협을 통합적으로 대응하기 위해 명명되었습니다. 아울러 신뢰와 안전(Trust & Safety), 기술과 신속성(Technical & Speedy )등 여러 가지 의미를 함축하고 있습니다.

TS엔진의 특징은 무엇인가요?

‘TS 엔진’은 ▲ 바이러스, 웜, 트로이목마, 해킹, 스팸 등이 복합된 최신 공격에 통합적인 대응 ▲ 압축/실행압축/임시 파일 등 다양한 대상에 대한 효율적인 검사 ▲ 여러 엔진이 통합 가능한 구조로 안티바이러스 엔진, 안티스파이웨어 엔진, IPS 엔진 등을 모듈화해서 PC부터 서버, 게이트웨이에까지 제품 용도에 맞게 적용할 수 있습니다.