- MS 공식 보안 패치 미발표..해외서 확산 국내서도 주의 필요 - 컴퓨터 원격제어, 개인정보 유출..최신 V3 제품군으로 예방/치료
최근 해외에서 MS 인터넷 익스플로러(Internet Explorer)의 보안 취약점을 노린 제로 데이(Zero-day) 악성코드가 해외에서 유포 중입니다. 11일 오전 현재 국내에는 아직 유입되지 않았으나 주의가 필요한 상태입니다. 이에 따라 안철수연구소는 V3 제품군을 긴급 업데이트했습니다. 이번 취약점은 익스플로러의 'iepeers.dll' 모듈이 작동하는 과정에서 발생하는 것이며, 이를 악용한 악성코드는 특정 웹사이트 링크 주소를 포함한 이메일로 특정 대상에게 유포됐습니다. 해당 취약점에 영향을 받는 것은 인터넷 익스플로러 6, 7이며 8은 영향을 받지 않습니다. 악성코드가 실행되면 미국에 위치한 컴퓨터에서 다른 악성코드인 엠드롭(Mdrop.42496), 코스무(Cosmu.32768.E)가 다운로드됩니다. 이후 파이어폭스(firefox.exe), 아웃룩(outlook.exe), 인터넷 익스플로러(iexplore.exe)가 실행되면 사용자가 입력하는 키보드 정보를 가로챕니다. 또한 원격 제어, 파일 업로드 및 다운로드, 시스템 재부팅, 프로세스 실행 및 종료 등의 악의적인 행위를 합니다. 이 악성코드의 피해를 막으려면 수신인이 불명확한 이메일 수신 시 본문에 포함된 웹사이트 링크를 함부로 클릭하지 말고, 인터넷 익스플로러를 버전 8로 업그레이드하는 것이 좋습니다. 개인 사용자는 PC주치의 보안 서비스인 V3 365 클리닉과 무료 백신 V3 Lite를, 기업 내 PC 사용자는 V3 IS 8.0과 V3 Net 7.0을 사용함으로써 악성코드 감염을 예방/치료할 수 있습니다. V3가 진단하는 악성코드 이름은 JS/CVE-2010-0806, Win-Trojan/Cosmu.32768.E, Win-Trojan/Mdrop.42496, Win-Trojan/Wisp.42496, Win-Trojan/Wisp.32768입니다. 안철수연구소 시큐리티대응센터(ASEC) 조시행 상무는 "개인 정보를 가로채기 위한 타깃 공격의 전형이다. 이메일이나 메신저, 마이크로 블로그 서비스(트위터) 등으로 들어오는 링크 주소난 첨부 파일을 함부로 열지 말고 보안 프로그램을 항상 최신 버전으로 유지하는 한편 실시간 감시 기능을 사용하는 것이 안전하다.”라고 강조했습니다.Ahn
그리고 윈도우의 특정 레지스트리 키들을 생성하여 감염된 시스템이 자동 실행될 때 해당 악성코드가 다시 실행되도록 합니다. 자신의 코드를 덮어쓴 정상 프로세스인 Explorer.exe은 인터넷 익스플로러(Internet Explorer)를 백그라운드로 실행시켜 미국 서부에 위치한 특정 시스템으로 접속을 시도합니다.
해당 악성코드가 특정 시스템으로 접속하면 다음의 악의적인 기능들을 수행합니다.
사용자 키보드 입력 후킹
사용자 마우스 입력 후킹
메신저 사용자 정보 및 암호 후킹
클립보드 정보 후킹
특정 보안 제품 프로세스가 실행 중일 경우 강제 종료
가상 키보드 입력 후킹
원격 제어
V3 제품군은 이 악성코드를 Dropper/Bifrose.693626, Win-Trojan/Midgare.32256로 진단합니다.특정 시즌이 되면사람들의 관심사를 이용해 유포되는 악성코드가 어김없이 등장해 사용자를 현혹하니 주의하시기 바랍니다. Ahn
안철수연구소는 설 연휴에도 신종 해킹이나 바이러스 등으로 인해 발생할 고객의 피해를 예방하고 안전한 연휴를 보낼 수 있도록 평상시와 다름 없이 24시간 비상 근무 체제를 가동합니다. 시큐리티대응센터(ASEC)와 침해사고대응센터(CERT)의 악성코드 모니터링 및 분석 연구원과 침해 사고 대응 전문가 수십 명이 상시 대응합니다또한 상황의 심각성에 따라 단계별로 대응팀을 구성해 연휴 기간에 보안 사고가 발생하더라도 신속한 해결책을 제공할 예정입니다.
한편 안철수연구소는 설 연휴 기간에 개인 사용자가 유의해야 할 ‘보안 수칙’을 발표했습니다. 최근 이메일, 메신저 등 다양한 유포 경로로 악성코드가 전파되고, 돈을 목적으로 개인 정보를 빼내가는 국지적 공격이 점차 지능화하고 있어 이로 인한 피해를 예방할 수 있는 안전 수칙입니다.
최근 운영체제나 응용 프로그램의 취약점을 노린 악성코드가 기승을 부리고 있으므로 개인 및 기업 PC에 보안 패치를 철저히 해야 합니다. 아울러 백신과 PC방화벽이 통합된 보안 소프트웨어를 설치하고, 항상 최신 버전으로 유지하는 한편 실시간 감시 기능을 켜두는 습관이 필수입니다. 또한 기업이나 공공기관 서버의 경우 DDoS 공격이나 웹 취약점을 이용한 공격에 철저히 대비해야 합니다.
<안철수연구소가 권하는 보안 수칙>--------------------------
* PC 보안 10계명
1. 윈도 운영체계는 최신 보안 패치를 모두 적용한다.
2. 인터넷 로그인 계정의 패스워드를 자주 변경하고, 영문/숫자/특수문자 조합으로 6자리 이상으로 설정한다. 로그인 ID와 패스워드를 동일하게 설정하지 않는다.
3. 해킹, 바이러스, 스파이웨어 등을 종합적으로 막아주는 무료백신 ‘V3 Lite(www.V3Lite.com)’나 유료 토털 PC 케어 서비스 ‘V3 365 클리닉’ 등을 하나 정도는 설치해둔다. 설치 후 항상 최신 버전의 엔진으로 유지하고 부팅 후 보안 제품이 자동 업데이트되도록 하고 시스템 감시 기능이 항상 작동하도록 설정한다.
4. 웹사이트에 접속했을 때 악성코드나 스파이웨어가 다운로드되는 경우가 있으니 안철수연구소가 무료로 제공하는 ‘사이트가드’(www.siteguard.co.kr) 서비스를 이용해 예방한다.
5. 웹 서핑 때 '보안경고' 창이 뜰 경우에는 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의하는 '예'를 클릭한다. 잘 모르는 프로그램을 설치하겠다는 경고가 나오면 ‘예’ ‘아니오’ 중 어느 것도 선택하지 말고 창을 닫는다.
6. 이메일 확인 시 발신인이 불분명하거나 수상한 첨부 파일이 있는 것은 모두 삭제한다.
7. 메신저 프로그램 사용 시 메시지를 통해 URL이나 파일이 첨부되어 올 경우 함부로 클릭하거나 실행하지 않는다. 메시지를 보낸 이가 직접 보낸 것이 맞는지를 먼저 확인해본다.
8. P2P 프로그램 사용 시 파일을 다운로드할 때는 반드시 보안 제품으로 검사한 후 사용한다. 또한 트로이목마 등에 의해 지정하지 않은 폴더가 오픈되지 않도록 주의한다.
9. 정품 소프트웨어를 사용한다. 인터넷을 통해 불법 소프트웨어를 다운로드해 설치하는 경우 이를 통해 악성코드가 설치될 가능성이 높기 때문이다.
10. 중요한 자료를 주기적으로 백업해 만일의 상황에 정보를 잃는 일에 대비한다.
* 기업 보안 수칙 10계명
1. 운영체제(OS)의 최신 보안 패치를 적용한다.
2. 최신 업데이트 현황 등 안티바이러스 대비 상황을 점검한다.
3. 방화벽 설정을 통해 불필요한 포트를 차단한다.
4. 서버에서 불필요한 사용자 계정 및 서비스를 제거한다.
5. 사용 중인 애플리케이션의 로깅 가동, 중요 파일에 대한 무결성 점검, 감사 기능 등을 설정해두고, 중요 서버의 보안 상태를 사전 점검한다.
6. 사용하지 않는 서버는 네트워크에서 분리해 외부의 침입으로부터 안전한 환경을 구축한다.
7. 연휴 동안 서비스하지 않는 시스템의 경우, 네트워크 보안 장비에서 ‘차단’으로 정책을 변경해 둔다.
8. 신뢰할 수 있는 보안 관련 사이트를 방문해 최신 보안 정보를 수시로 확인한다.
9. 중요 시스템의 데이터에 대한 사전 백업 시스템을 구축하고 사이버 테러 발생 시 대응 지침을 공유한다.
10. 보안 문제 발생 시에 대비해 비상 연락 체계를 구축한다. 보안관제 서비스를 받고 있는 경우는 해당 보안관제 업체의 24시간 상황실 연락망을 공유하고 자체 보안관제 시스템을 운영하는 경우 자체 비상 연락망을 공유한다. Ahn
- 스마트폰, VoIP, SNS 겨냥 공격 가시화 - 클라우드, 가상화 등 신기술 악용 악성코드 급증 - DDoS 공격용 좀비 PC 확보 기법 지능화
안철수연구소가 2010년 새해에는 어떤 보안 위협이 이슈가 될지 12가지를 예측해 발표했습니다.
1. DDoS 공격용 좀비 PC 확보 기법 지능화
작년 7.7 DDoS 대란 때처럼 대량의 좀비 PC를 확보해 악의적 공격을 하는 사건이 올해도 지속될 것으로 전망됩니다. 공격자는 다수의 좀비 PC를 이용해 금전적 대가를 노린 악의적 DDoS 공격을 하거나 확보한 좀비 PC 자체를 가지고 협박해 금전을 갈취할 수 있습니다. 이를 위해 진단되지 않고 지속적으로 작동할 수 있는 악성코드를 원하기 때문에 최근 중앙명령(C&C; Command & Control) 서버와의 통신 채널, 셀프(Self) 업데이트, 공격을 위한 정보 능동적 생성 등 지능적인 기법이 등장하고 있습니다. 2010년에도 이런 양상은 계속될 것으로 예상됩니다.
2. 스마트폰 공격 위협 본격화
국내에도 본격적인 스마트폰 시대가 열려 PC에서 했던 일을 언제 어디서든 할 수 있게 됐습니다. 이는 기존 PC에서 발생한 보안 문제가 스마트폰에서도 발생할 수 있음을 의미합니다. 스마트폰의 종류와 플랫폼이 다양하므로 악성코드도 다양한 형태로 나타날 것으로 예상됩니다. 이미 해킹(Jail Break)된 아이폰의 개인 정보를 탈취하는 악성코드가 발생했습니다. 스마트폰을 대상으로 한 악성코드는 통화 기록이나 전화번호, 사진 등의 개인 정보를 탈취할 뿐 아니라, 스마트폰을 좀비 클라이언트로 만들어 DDoS 공격에 악용할 수도 있습니다. 비정상 트래픽을 유발해 비정상적인 과금을 유도하거나 불필요하게 배터리를 소진할 가능성도 있습니다.
3. 클라우드 및 가상화 기술 악용한 보안 위협 증가
IT 자원 활용의 효율화 때문에 주목 받는 클라우드 기술과 가상화 기술이 사이버 공격에 악용될 것으로 예측됩니다. 이를테면 클라우드 컴퓨팅을 이용해 여러 대의 C&C 서버를 준비해두고, 좀비 PC 안의 악성코드가 이 중 서비스가 가능한 C&C 서버로 찾아가는 방식입니다. 이때 여러 대의 C&C 서버를 구축하기 위해 공격자는 가상사설서버(Virtual Private Server)를 이용합니다. 이것을 이용하면 물리적으로는 1대이지만 가상으로 여러 대의 서버를 구축함으로써 봇넷(네트워크로 연결된 대량의 좀비 PC)을 효율적으로 관리할 수 있습니다. 이러한 클라우드, 가상화 기술은 ‘그린 IT’의 기반이기 때문에, ‘그린 IT’까지도 위협 대상이 될 것으로 예상됩니다.
4. 웹사이트와 스팸 메일이 결합한 위협 증가
새해에도 역시 웹사이트가 악성코드 전파의 주요 경로로 이용될 것으로 전망됩니다. 여전히 SQL 인젝션, XSS(크로스 사이트 스크립트), 사이트 취약점을 이용한 악성코드 삽입 등이 주로 사용될 것으로 보입니다. 2009년 하반기에 스팸 메일과 웹사이트가 결합된 보안 위협이 처음 발견됐는데, 2010년에는 이 형태가 증가할 것으로 예측됩니다. 공격자는 최초 이메일로 악의적인 웹사이트 주소를 보내 접속을 유도합니다. 사용자가 접속하면 웹브라우저 취약점 공격, 악성코드 설치, 취약점을 가진 문서 파일(PDF, Office 파일 등) 다운로드 등의 공격을 합니다. 현재 우리나라는 보안에 취약한 다수의 웹 서버가 별다른 방어책 없이 인터넷에 연결돼 있는 상태여서 피해는 올해도 증가할 것으로 보입니다.
5. SNS(소셜 네트워크 서비스)를 이용한 공격 확산
2010년에는 트위터, 페이스북 같은 SNS(Social Network Service)를 대상으로 한 해킹이 증가할 것으로 예상됩니다. 지난해 이미 트위터(twitter)에 짧은 주소 서비스를 통해 악성코드를 유포한 사례가 있었습니다. 스마트폰의 급속한 보급과 함께 다양한 SNS 애플리케이션이 등장함에 따라 개인 정보를 노린 해킹이 발생할 것으로 우려됩니다. 본인 확인이 어려운 점을 악용해 유명인을 사칭하거나 유명인의 SNS 계정을 탈취할 수도 있습니다. 또한, SNS 업체를 직접 겨냥한 해킹도 발생할 것으로 보입니다.
6. VoIP 보안 위협 등장
인터넷 전화인 VoIP(Voice over Internet Protocol)의 보급이 늘어남에 따라 그에 따른 보안 위협도 커져가고 있습니다. 특정 VoIP 서비스의 통화 내용을 유출하는 악성코드가 이미 발견됐습니다. 앞으로는 이 같은 도감청의 위협이 더욱 광범위해져 사생활을 침해하거나 기업 활동에 악영향을 줄 수 있습니다. 부정 사용으로 금전적 피해를 주거나, 무선 인터넷 공유기의 ID와 비밀번호를 가로채 악성코드 설치 및 개인정보 유출 등의 피해를 주는 일이 발생할 수도 있습니다. 또한 VoIP 서비스 업체를 DDoS 공격해 서비스 중단, 서비스의 데이터 위변조 등을 일으킬 가능성도 있습니다.
7. 메신저 피싱 급증
지난해 메신저 프로그램을 이용한 악성코드 유포 및 금전 요구 사기가 적지 않았고 편의성 때문에 올해도 지속적으로 확산될 것으로 보입니다. 인스턴트 메신저의 계정 정보는 악성코드를 이용해 쉽게 탈취할 수 있고, 메신저와 포털, SNS까지 동일한 계정을 쓸 경우 2차 피해로 이어질 가능성도 높습니다.
8. 악성코드의 자기 보호 기법 지능화
보안 소프트웨어가 접근하지 않는 영역에서 작동하거나 은폐 및 자기 보호 기법을 보유한 악성코드가 급증할 것으로 전망됩니다. 지난해 많은 피해를 낳은 콘피커(Conficker), 브레도랩(Bredolab), 팔레보(Palevo), 다오놀(Daonol) 등은 V3를 제외한 일부 백신을 비롯해 일반 응용 프로그램이 접근하지 않는 특정 메모리 영역에서 동작합니다. 따라서 감염된 파일을 삭제하는 것만으로는 치료가 끝나지 않습니다. 갈수록 악성코드가 감염시키는 대상 파일은 다양해지고 동작하는 위치는 컴퓨터 구조의 더 깊숙한 곳으로 내려가는 추세입니다. 따라서 진단/치료 기술은 더 복잡해지고 더 많은 시간과 노력이 투입될 것으로 전망됩니다.
9. 윈도우7 취약점 공격 증가
윈도우7이 작년 10월 발표된 직후 보안 취약점이 발견됐습니다. 윈도우7의 보안을 뚫기 위해 악성코드 제작자들은 새로운 기술로 공격할 것으로 보입니다. 이는 기존 주요 응용 프로그램인 MS 오피스, 어도비 PDF 등의 애플리케이션 취약점을 이용하는 악성코드 증가와 맥을 같이할 것으로 예상됩니다.
10. 사회 공학 기법의 정교화
마이클 잭슨 사망과 같은 사회적 이슈가 발생하면 소위 ‘사회 공학 기법’에 기반한 악성코드가 등장합니다. 앞으로는 페이스북과 트위터 등 SNS로 유포 경로가 다양해지고, 사용자가 악의적 목적을 인지하지 못하게 정밀해질 것으로 예측됩니다. 특히 최근 등장한, 인터넷 검색 최적화 기술인 SEO(Search Engine Optimization)를 악용해 검색 결과를 인위적으로 조작하는 기법이 많이 활용될 것으로 보입니다.
11. 가짜 백신 확산
악성코드에 감염되었다는 허위 문구를 띄워 비용 결제를 요구하는 가짜 백신이 올해도 확산될 것으로 보입니다. 현재 무료 백신이 개인 시장에 대량 제공되고 있지만, 일부 고객들은 이러한 가짜 백신에 현혹되어 허위 진단에 금전적인 비용을 지불하는 문제가 발생할 수 있습니다.
12. 온라인 게임 해킹 증가
올해도 온라인 게임 해킹이 꾸준히 증가하고, 특히 메모리 해킹과 오토플레이가 급증할 것으로 예상됩니다. RPG(역할 수행 게임)와 캐주얼 게임, 기능성 게임 등 온라인 게임 종류가 다양해짐에 따라 이를 겨냥한 해킹이 급증할 것으로 보입니다.
위에서 살펴본 바와 같이 스마트폰, 클라우드, 가상화, SNS 등 새로운 IT 환경의 등장은 사용자에게 편의성을 제공하지만, 악의적 해커에게는 더욱 손쉬운 방법으로 악성코드 유포, 해킹을 할 수 있는 토대가 됩니다. 사용 편의성과 함께 보안 측면을 함께 고려해 유의할 필요가 있습니다. Ahn
- 스마트폰, 클라우드, 소셜네트워크, 보안의 IT 패러다임 변화에 적극 대응키로 - 통합 보안과 맞춤형 보안서비스 기반의 다각적인 보안 솔루션 제시로 시장 선도 - 소프트웨어 사업으로의 확장과 소프트웨어 리더십 발휘로 일자리 창출에 기여
안철수연구소가 올해를 ‘향후 3~5년 동안 비약적인 도약과 성장의 발판을 마련하는 해’로 선언하고 ‘선택과 집중’을 경영 키워드로 공격적 경영을 펼칠 계획이라고 7일 공식 발표했습니다.
김홍선 안철수연구소 대표는 “사업 모델을 기존 정보보안 위주에서 소프트웨어 산업으로 확장해 이미 보유한 역량과 콘텐츠를 자산화하고 사업화하는 데 주력할 계획이다. 향후 5년 간 IT의 키워드가 스마트폰, 클라우드, 소셜네트워크, 정보보안이다. 안철수연구소는 이 모든 분야에서 핵심 기술과 역량을 지속적으로 축적해 왔다.”고 전제한 뒤 “지금이야말로 안철수연구소가 도약을 위한 과감한 승부수를 던질 때”라고 포부를 피력했습니다.
이에 따라, 기존 사업 측면에서는 지난 2년 간 재설계를 통해 다시 태어난 전 보안제품을 시장에 정착시키고, 각 시장별 맞춤형 제품 및 서비스로 다각적인 보안 솔루션을 제시할 계획입니다. 즉, 글로벌 사업은 온라인 뱅킹 솔루션 ‘안랩 온라인 시큐리티(AhnLab Online Security, AOS)'와 '시큐어 브라우저(SecureBrowser)’, 온라인 게임 보안솔루션 ‘핵쉴드(HackShield)'를 핵심 전략 제품으로 하여, 원격 보안관제 서비스와 보안관제센터(SOC)를 해외 사업의 주요 동력으로 삼을 계획입니다.
또한 신제품으로 생산라인 및 POS(Point of sales)용 보안 솔루션, 가상화 기반의 정보 유출 방지 솔루션과 논리적 망 분리 솔루션, 스마트폰 보안 솔루션 등을 모두 출시할 예정입니다. 인터넷 사이트 위험방지 보안서비스인 ‘사이트가드 프로(SiteGuard Pro)’와 중소기업용 클라우드 백신 서비스 ‘V3 MSS’ 등 보안 SaaS(Security as a Service) 사업도 강화할 예정입니다.
또한 제품의 서비스화에 주력할 계획입니다. 즉, 세계적인 경쟁력을 갖춘 CERT(침해사고대응센터)와 ASEC(시큐리티대응센터)의 유기적 통합을 통한 전방위 긴급대응 시스템과, 안철수연구소의 클라우드 서비스 체계인 ACCESS(AhnLab Cloud Computing E-Security Service)가 충분히 자리잡았다고 판단하고, V3를 비롯한 네트워크 보안장비 ‘트러스가드(TrusGuard)’, 온라인 보안서비스 AOS와 같은 제품을 서비스와 연동시킬 예정입니다. 또한 사이트가드 기술을 응용한 웹서버 보안관제 서비스도 개발해 웹사이트 변조를 실시간 모니터링할 수 있도록 할 계획입니다. 따라서, 지능적 입체적으로 공격하는 보안 위협으로부터 실시간 대응할 수 있도록 제품의 다양한 서비스화에 박차를 가할 예정입니다.
특히, 김홍선 대표는 “최근 하드웨어 기반, 대기업 위주의 산업 구조가 한계를 드러내고 있고, 혁신적 마인드를 갖춘 소프트웨어 벤처의 생태계가 필요한 상황이다. 그러나, 불행히도 소프트웨어 사업의 노하우를 갖춘 기업이 얼마 남지 않았다.”라고 우리나라 경제 산업구조 상황을 설명한 뒤 “다행히 스마트폰, 클라우드의 도입은 소프트웨어의 불씨를 살릴 수 있는 큰 패러다임 변화다. 벤처 정신과 연구개발 인프라, 정보보안 핵심 기술을 보유한 안철수연구소는 시대적 소명감을 느낀다. 이에 소프트웨어 사업의 리더십을 발휘할 것이며, 혁신적인 소프트웨어 육성으로 양질의 일자리가 많이 창출될 것으로 확신한다.”라고 밝혔습니다.
이를 위해 안철수연구소와 시너지를 창출할 수 있는 기업에 대한 M&A(인수합병)에 적극 나서는 한편 사내 벤처 육성에도 전력키로 했습니다. 특히 스마트폰, 소셜네트워크, 클라우드를 아우르는 분야에서 창의적이고 혁신적인 아이디어와 사업 모델 발굴에 집중력을 발휘할 예정입니다. 현재 사내 벤처인 고슴도치플러스팀의 경우 오픈 소셜 분야에서 이미 괄목할 만한 리더십을 입증한 바 있으며, 2010년에는 의미 있는 실적을 거둘 것으로 기대돼 적극 투자에 나설 계획입니다.
안철수연구소는 올해의 목표를 달성하고 글로벌 기업의 비전을 달성하기 위해 최근 조직개편을 통해 임원진을 강화했습니다. 조동수 전무를 총괄 사업 부문장 및 글로벌사업본부장을 겸임하게 하는 한편, 고광수 보안사업부장을 상무보로 승진, 신임 보안사업본부장을 맡도록 했습니다. 조동수 전무는 보안사업본부, 서비스사업본부, 글로벌사업본부를 총괄, 사업본부 간 시너지를 강화하고 역량을 집중할 계획입니다. 한편 다른 조직의 경우 조시행 상무는 연구개발 총괄을, 김기인 상무는 경영지원실을, 임영선 상무는 인터넷사업본부와 기술지원본부를, 서비스사업본부는 방인구 상무가 맡습니다.
지난 1~2년간, 안철수연구소는 V3의 경량화를 비롯해 기존 제품을 재설계하고, 보안관제 서비스의 사업 방향을 정립했습니다. 또한 온라인 게임 보안 솔루션 ‘핵쉴드(HackShield)’, 네트워크 보안 어플라이언스 ‘트러스가드’, 보안관제 서비스 등 잠재적 성장 엔진을 집중 육성하여 글로벌 상품과 서비스로 만들기 시작했습니다. 영업 조직을 안정화하고 채널을 정리하는 한편, 기술지원 체계를 정립하기도 했습니다.
김홍선 대표는 “2010년은 안철수연구소가 창립 15주년을 맞고, 2011년 판교사옥 시대를 준비하는 중요한 해”라며 “지난해 이룬 조직 안정화, 정보보안의 리더로서 고객과 시장의 거는 기대에 힘입어 앞으로는 눈으로 확인할 수 있는 확실한 성장에 주력하겠다. 창의적 기업문화를 조성하는 한편 지속적 성장, 시장 리더십, 효율성 증대를 바탕으로 세계로 도약하는 발판이 되는 해가 되도록 하겠다.”라고 강조했습니다. Ahn
악성코드는 1988년부터 본격적으로 세계적인 문제가 되었다. 당시 컴퓨터 보급으로 관련 범죄가 증가한 일부 국가를 제외한 대부분의 나라에는 관련 법률이 없어 윤리적인 문제로 치부되었다. 하지만, 이후 여러 나라에서 악성코드와 관련된 법이 제정되었다. 국내 악성코드 관련 법률 및 다른 나라 현황에 대해 알아보자.
poem23.com/attach/1/491a577a2fc35E1.jpg
대한민국의 악성코드 관련 법률
악성코드와 해킹 등과 관련된 법률은 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’, ‘전기통신사업법’, ‘정보통신기반보호법’, ‘통신비밀보호법’ 등 특별법에 사이버범죄에 관한 조항을 신설하여 법적 규제가 가능하도록 하고 있다.
이중 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’이 대표적이며 1997년과 2001년에 시행된 개정 형법에서는 해킹 및 바이러스 관련 사이버범죄에 대응할 수 있는 규정들을 신설, 개정하여 처벌이 가능하도록 되었다. 법률을 위반한자는 5년 이하의 징역 또는 5천 만원 이하의 벌금에 처해진다.
‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 중 악성코드와 관련된 주용 내용은 다음과 같다.
제48조 (정보통신망 침해행위 등의 금지)
① 누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다.
② 누구든지 정당한 사유 없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손ㆍ멸실ㆍ변경ㆍ위조하거나 그 운용을 방해할 수 있는 프로그램(이하 "악성프로그램"이라 한다)을 전달 또는 유포하여서는 아니 된다.
③ 누구든지 정보통신망의 안정적 운영을 방해할 목적으로 대량의 신호 또는 데이터를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 정보통신망에 장애가 발생하게 하여서는 아니 된다.
제71조 (벌칙) 다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다.
9. 제48조제2항을 위반하여 악성프로그램을 전달 또는 유포한 자
10. 제48조제3항을 위반하여 정보통신망에 장애가 발생하게 한 자
[전문개정 2008.6.13]
국내에서는 1998년에 바이러스 제작 그룹 멤버와 바이러스 배포자들이 경찰에 검거되면서 국내 바이러스 제작자들은 급속히 감소했다. 장난으로 시작한 바이러스를 제작 및 배포가 죄가 된다는 걸 사람들이 인식하기 시작한 것이다. 하지만, 현행법으로 처벌이 어려운 해외 악성코드, 악성코드 제작으로 벌어들이는 벌금 5천 이상의 금전적 이익, 국내법을 교묘하게 빠져나가는 애드웨어 등으로 악성코드로 인한 피해는 줄어들지 않고 있다.
각국의 악성코드 관련 법률
대부분의 국가는 악성코드 배포를 처벌하고 있으며 일부 국가는 악성코드 제작을 제재하는 경우도 있다. 캐나다의 경우 바이러스 제작은 불법이 아니지만 러시아의 경우 악성코드를 제작만 해도 벌금형에 처해진다고 한다. 한편 일부 국가에서는 최근까지도 악성코드 제작 및 배포에 대한 법률이 없는 경우도 있었다. 예를 들어 2000년 필리핀에서 제작한 러브레터 바이러스(VBS/Love_Letter virus)의 경우 당시 필리핀에는 악성코드 제작 및 배포에 대한 법률이 없어 제작자는 무죄로 풀려났다. 중국의 경우 2000년에 제정된 관련 법이 있으며 2007년 2월 델보이 바이러스(일명 판다 바이러스) 제작자 일당 검거되었다. 이후 증가하는 다양한 사이버 범죄로 2009년에 강화된 법이 개정된다. 이로 이전에는 거의 합법화해 있던 악성코드, 해킹 등이 지하로 잠적하게 된다.
법률의 한계점
사회적 변화 후 법이 재정되는 한계상 빠르게 변화하는 사이버 범죄를 법이 따라가지 못하고 있다. 예를 들어 2003년부터 본격적으로 문제가 되기 시작한 애드웨어 문제가 있다. 현행 법률로는 사용자 동의 하에 설치되는 광고 기능을 가지는 애드웨어가 악성코드로 분류되지 않는다. 대부분의 사용자가 약관을 제대로 읽지 않으므로 이들 프로그램으로부터 사용자 불편과 불만은 계속 증가하고 있지만 현행 법률로 제재하는 데는 한계가 있다. 이외 다른 나라에서 제작되고 배포되는 악성코드에 대한 수사 및 처벌도 한계가 있다. 국내에서 발생하는 악성코드의 대부분이 주변국에서 제작되어 배포되므로 악성코드 제작자 및 배포자 검거는 국가간 공조도 필요하다.
참고자료
[1] 정보통신윤리위원회, 2004 심의자료집 [2] 국가법령정보센터 (http://www.law.go.kr) [3] Stefano Toria, “The Italian way to virus prevention”, Virus Bulletin Conference, September 1993 [4] David Black, ‘Virus threats from the Canadian perspective’, Virus Bulletin Conference, September 1999 [5] Meiring de Villiers, ‘Computer viruses and the law legal liability for inadvertent virus transmission’, Virus Bulletin Conference, September 2002 Ahn
악성코드 분석가 차민석 안철수연구소에서 악성코드 분석 및 연구를 하고 있으며 “안랩 칼럼니스트”로 활동 중이다. ‘쿨캣’이라는 필명으로 더 알려져있으며, 보안 업무 외 정치, 경제, 사회, 역사, 상식 등에도 해박한 지식을 갖추고 싶어하는 화려하진 않지만 알찬 30대 미혼 청년이다.
새해 첫 연휴 기간에 개인 및 기업 사용자가 유의해야 할 ‘보안 수칙’을 안내합니다. 이메일, 메신저 등 다양한 유포 경로로 악성코드가 전파되고, 돈벌이를 목적으로 개인 정보를 빼내가는 국지적 공격이 점차 지능화하고 있어 이로 인한 피해를 예방할 수 있는 안전 수칙입니다.
한편, 안철수연구소는 연말연시 연휴에도 신종 해킹이나 바이러스 등으로 인한 피해를 예방하고 안전한 연휴를 보낼 수 있도록 평상시와 다름 없이 24시간 비상 근무 체제를 가동합니다.
안철수연구소 시큐리티대응센터(ASEC)와 침해사고대응센터(CERT)의 악성코드 모니터링 및 분석 연구원과 침해 사고 대응 전문가 30여 명이 상시 대응합니다. 또한 상황의 심각성에 따라 단계별로 대응팀을 구성해 연휴 기간에 보안 사고가 발생하더라도 신속한 해결책을 제공할 예정입니다.
연휴 기간에 신종 악성코드나 오진 사례, 가짜 백신 등이 발견되면 사용자는 안철수연구소의 웹사이트 내 바이러스 신고센터, 오진신고센터, 가짜백신 신고센터 나 이메일(v3sos@ahnlab.com)로 신고하면 됩니다. * PC 보안 수칙 10계명 1. 윈도 운영체계는 최신 보안 패치를 모두 적용한다. 2. 인터넷 로그인 계정의 패스워드를 자주 변경하고, 영문/숫자/특수문자 조합으로 6자리 이상으로 설정한다. 로그인 ID와 패스워드를 동일하게 설정하지 않는다. 3. 해킹, 바이러스, 스파이웨어 등을 종합적으로 막아주는 V3 같은 통합보안 제품을 하나 정도는 설치해둔다. 설치 후 항상 최신 버전의 엔진으로 유지하고 부팅 후 보안 제품이 자동 업데이트되도록 하고 시스템 감시 기능이 항상 작동하도록 설정한다. 4. 웹사이트에 접속했을 때 악성코드나 스파이웨어가 다운로드되는 경우가 있으니 안철수연구소가 무료로 제공하는 ‘사이트가드’(http://www.siteguard.co.kr) 서비스를 이용해 예방한다. 5. 웹 서핑 때 '보안경고' 창이 뜰 경우에는 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의하는 '예'를 클릭한다. 잘 모르는 프로그램을 설치하겠다는 경고가 나오면 ‘예’ ‘아니오’ 중 어느 것도 선택하지 말고 창을 닫는다. 6. 이메일 확인 시 발신인이 불분명하거나 수상한 첨부 파일이 있는 것은 모두 삭제한다. 7. 메신저 프로그램 사용 시 메시지를 통해 URL이나 파일이 첨부되어 올 경우 함부로 클릭하거나 실행하지 않는다. 메시지를 보낸 이가 직접 보낸 것이 맞는지를 먼저 확인해본다. 8. PtoP 프로그램 사용 시 파일을 다운로드할 때는 반드시 보안 제품으로 검사한 후 사용한다. 또한 트로이목마 등에 의해 지정하지 않은 폴더가 오픈되지 않도록 주의한다. 9. 정품 소프트웨어를 사용한다. 인터넷을 통해 불법 소프트웨어를 다운로드해 설치하는 경우 이를 통해 악성코드가 설치될 가능성이 높기 때문이다. 10. 중요한 자료를 주기적으로 백업해 만일의 상황에 정보를 잃는 일에 대비한다.
* 기업 보안 수칙 10계명
1. 운영체제(OS)의 최신 보안 패치를 적용한다. 2. 안티바이러스 대비 상황을 점검한다. 3. 방화벽 설정을 통해 불필요한 포트를 차단한다. 4. 서버에서 불필요한 사용자 계정 및 서비스를 제거한다. 5. 사용 중인 애플리케이션의 로깅 가동, 중요 파일에 대한 무결성 점검, 감사 기능 등을 설정해두고, 중요 서버의 보안 상태를 사전 점검한다. 6. 사용하지 않는 서버의 네트워크를 분리하고 침입차단시스템, 침입탐지시스템 등의 보안 솔루션의 감시 기능을 설정한다. 7. 개인 사용자의 아이디와 패스워드를 점검한다. 8. 신뢰할 수 있는 보안 관련 사이트를 방문해 최신 보안 정보를 수시로 확인한다. 9 중요 시스템의 데이터에 대한 사전 백업 시스템을 구축하고 사이버 테러 발생 시 대응 지침을 공유한다. 10. 보안 문제 발생 시에 대비해 비상 연락 체계를 구축한다. 보안관제 서비스를 받고 있는 경우는 해당 보안관제 업체의 24시간 상황실 연락망을 공유하고 자체 보안관제 시스템을 운영하는 경우 자체 비상 연락망을 공유한다. Ahn
안철수연구소V3 제품군이 최근 대전 정부통합전산센터, 경찰청의 PC와 서버에 구축되었습니다.
정부통합전산센터와 경찰청 프로젝트는 사이버 테러로부터 중앙 부처의 IT 인프라를 안전하게 보호하기 위한 것으로 하반기 주요 공공 프로젝트에 속합니다. 따라서 보안 업체 간 경쟁이 치열했습니다.
안철수연구소는 기술 평가, CC인증 및 특허 보유, 회사의 안정성 및 신뢰도, ASEC(시큐리티대응센터)와 CERT(침해사고대응센터)의 24시간 365일 제공되는 안정적인 긴급 대응력 등이 높은 평가를 받아 타사 대비 높은 가격임에도 사업을 수주했습니다.
안철수연구소는 대전 정부통합전산센터에 윈도우 서버용 통합백신 ‘V3Net’과 중앙관리 솔루션 ‘안랩 폴리시센터’를 구축했습니다. 또한 경찰청에는 PC용 통합백신 ‘V3 Internet Security 8.0’과 윈도우 서버용 통합백신 ‘V3Net’,‘안랩 폴리시센터’를 구축했습니다.
대전 정부통합전산센터의 경우 약 700대에 달하는 윈도우 서버를 통합 관리하는 대형 서버용 백신 구축 사업입니다. 이는 새로운 침해 유형의 사이버 공격에 대비해 보안 체계를 대폭 강화한다는 방침을 발표한 시점이어서 더욱 의미가 큽니다. 안철수연구소는 약 700 대 서버에 대한 교체 설치를 하는 과정에서 한 대의 서버도 서비스 중단 없이 안정적으로 구축 작업을 완료했습니다.
또한 경찰청의 경우 회사의 안정성, 신뢰도, 특허 분야에 대한 높은 평가를 받아 타사 대비 높은 금액으로 수주했습니다. 기존 대형 사이트에서 확보한 노하우와 기술력을 바탕으로 단 8일 간 전국 수만 대의 경찰청 PC에 V3 제품군을 교체 설치했습니다.
최근의 잇단 대형 프로젝트 수주는 V3 제품군이 CC인증을 획득해 높은 보안성을 갖춘 데다 다수의 보안 전문가들이 포진한 24시간 365일 긴급 대응 시스템이 안정적인 서비스를 제공하기 때문이라고 할 수 있습니다.앞으로도 보안 소프트웨어는 물론 네트워크 보안 장비, 컨설팅 및 관제 서비스 등 종합적인 대책으로 국가 IT 정보보안에 일조하겠습니다. Ahn
- 지능적 기법으로 진단 회피 등 갈수록 교묘해져 - 7.7 DDoS 대란, 웹 공격의 지능화 - 콘피커, 바이럿, 인덕 등 지능적 악성코드 기승
글로벌 통합보안 기업인 안철수연구소(대표 김홍선 www.ahnlab.com)는 15일 올 한 해 동안의 보안 위협의 주요 흐름을 분석해 ‘2009년 10대 보안 위협’을 발표했습니다. ▶7.7 DDoS 대란 및 DDoS 공격 유발 악성코드 다수 등장 ▶웹 공격의 지능화 ▶사회공학기법에 기반한 스팸봇(SpamBot)의 확산 ▶몸체 없는 악성코드 발생 ▶일반 애플리케이션의 제로데이(0-day) 취약점 지속 발견 ▶SNS(소셜 네트워크 서비스) 및 소셜 메시징 인프라 이용한 피싱 기승 ▶프로그래밍 도구 델파이 감염시키는 바이러스 등장 ▶콘피커 웜, 바이럿 바이러스 등 변종 기승 ▶가짜 백신 배포 방법의 지능화 ▶온라인 게임 해킹 툴 급증이 선정됐습니다.
1. 7.7 DDoS 대란 및 DDoS 공격 유발 악성코드 다수 등장
2003년에 발생한 1.25 대란 이후 최대 사이버 재난으로 기록될 ‘7.7 DDoS(Distributed Denial of Service; 분산서비스거부) 공격’이 발생했습니다. 이는 사전에 12개의 악성코드를 유포해 해당 악성코드가 설치된 다량의 좀비 PC를 이용해 국내외 주요 웹 사이트를 일주일 동안 DDoS 공격한 사건입니다. 여기에 사용된 악성코드는 마이둠 변종 3개와, 네트워크 트래픽을 유발하는 에이전트 6개, 공격 대상 웹사이트 목록을 담은 파일(BinImage/Host), 또 다른 악성코드를 내려받는 다운로더, 공격 후 하드 디스크를 손상하는 트로이목마로 총 12개입니다. 이후 이와 유사한 스케줄링 기능을 활용하여 예정된 시각에 특정 사이트를 공격하는 악성코드(Win-Trojan/SynAttack)나 DDoS 공격을 하도록 설계된 악성코드가 다수 등장했습니다.
2. 웹 공격의 지능화
웹사이트 공격 기법이 교묘해져 공격 목표 서버로 바로 연결되지 않고 중간에 다른 서버를 거치거나, 정상 링크와 매우 흡사한 링크를 사용하는 등의 기법이 등장했습니다. 다양한 공격 툴을 쓰거나 난독화, 우회 등의 지능적인 방법을 사용하기도 합니다. 특히 2008년 매스 SQL 인젝션(Mass-SQL Injection) 공격으로 소수의 PC에서 다수의 웹사이트를 침해할 수 있게 된 후, 2009년에는 상반기부터 ‘검블러(Gumblar,Geno)’, ‘나인볼(Nine-Ball)’이라는 공격이 가시화했습니다. 하반기에는 이런 공격을 당한 웹사이트에서 다오놀(Win32/Daonol) 악성코드가 유포돼 피해 신고가 급증했습니다. 또한, 분석 및 추적을 방해하는 기법도 지능화했습니다. 이처럼 웹이 주요 공격 목표가 된 이유는 한 번의 공격으로 많은 좀비 PC를 확보할 수 있기 때문입니다. 웹 취약점이 단순히 한 사이트의 웹 침해 사고로 끝나지 않고 대량 공격의 기반으로 확대될 수 있기 때문에 철저한 관리가 중요합니다.
3. 사회공학기법에 기반한 스팸봇(SpamBot)의 확산
올해 기승을 부린 대표적인 스팸봇은 웨일닥(Waledac), 제트봇(ZBot), 브레도랩(Bredolab) 등입니다. 이들은 주로 국제적인 이슈들을 가장한 소식이나 허위 운송장 메일 같은 사회공학적인 기법을 이용해 유포됐습니다. 이들은 단순히 스팸 메일을 보내는 것에 그치지 않고 가짜 백신이나 악성코드를 설치하기도 합니다. 일부 스팸봇은 윈도우 시스템 파일을 감염시키고, 메모리 치료가 필요하거나 자기 보호 기능이 고도화한 형태가 부쩍 증가했습니다.
4. 몸체 없는 악성코드 발생
올해 발견된 콘피커(Conficker), 팔레보(Palevo), TDL루트킷(TDLRootkit) 같은 악성코드의 공통된 특징은 진단/치료가 매우 까다롭다는 것입니다. 이들은 일반 응용 프로그램이 접근하지 않는 특정 메모리 영역에 자리잡고 악의적인 동작을 합니다. 이런 악성코드는 파일을 진단/삭제하는 것으로는 완벽히 치료되지 않으므로 메모리를 치료해야 합니다. 이 밖에 사용되지 않는 디스크 영역에서 동작하는 악성코드도 등장했습니다다. 이처럼 파일 형태로 존재하지 않기 때문에 소위 ‘몸체 없는 악성코드’로 분류됩니다.
5. 일반 애플리케이션의 제로데이(0-day) 취약점 지속 발견
제로데이 취약점은 취약점은 발견됐는데 해당 소프트웨어 개발사의 공식 패치가 제공되기 전 상태에 있는 취약점을 말합니다. 예방과 방어책이 존재하지 않는 상태이기 때문에 다른 위협에 비해 더 큰 피해를 일으킵니다. 액티브X와 인터넷 익스플로러 제로데이 취약점은 과거부터 지속적으로 악용됐고, 최근에는 MS 오피스 제품군과 어도비 리더(PDF) 및 플래쉬 플레이어(flash) 등 대중적인 애플리케이션의 취약점을 이용해 악성코드를 배포합니다. 공격의 위협을 최소화하기 위해 이를 사전 탐지하는 보안 제품을 활용하는 것이 안전합니다.
6. SNS 및 소셜 메시징 인프라 이용한 피싱 기승
타인의 계정으로 메신저에 로그인해 지인인 척 대화 상대에게 금전을 요구하는 사기가 증가했습니다. 계정 노출은 악성코드를 통해 이루어집니다. 이 악성코드는 그림 파일이나 인터넷 주소를 대화 상대에게 보내 접속 시 계정을 입력하도록 합니다. 이와 같이 메신저나 트위터, 페이스북 같은 소셜 메시징 인프라나 SNS(소셜 네트워크 서비스)의 사용자 계정을 탈취해 대화 상대에게 사기를 치는 사건이 빈발했습니다.
7. 프로그래밍 도구 델파이 감염시키는 바이러스 등장
인덕(Win32/Induc) 바이러스는 일반적인 실행 파일이 아닌 개발자들이 사용하는 프로그래밍 도구 ‘델파이’의 일부 파일을 감염시켜 이슈가 됐습니다. 이 바이러스는 델파이로 파일을 만들 때마다 해당 파일을 감염시킵니다. 따라서, 사용자가 보안 제품으로 치료하는 것은 한계가 있어 델파이 개발자가 개발 소스를 수정해 재배포해야 합니다. 한 외국 백신은 델파이로 개발한 파일을 모두 삭제하는 오진으로 큰 파장을 일으키기도 했습니다.
8. 콘피커 웜, 바이럿 바이러스 등 변종 기승
콘피커 웜(Win32/Conficker.worm)은 2008년 10월 말 첫 보고 이후 2009년 초부터 전세계로 급속 확산됐습니다. 취약점(MS08-067), USB 메모리, 네트워크 공유 폴더 등 다양한 전파 방법을 사용하기 때문에, 확산력이 뛰어납니다. USB 자동 실행(Autorun)과 자기 보호 수단을 가지고 있어서 치료가 쉽지 않습니다. 특히, MS08-067 취약점에 대한 보안 업데이트를 하지 않은 기업은 콘피커 웜의 변종 때문에 피해가 많았습니다. 한편, 2006년 발견된 바이럿(Win32/Virut) 바이러스는 메모리 치료를 하지 않으면 반복 감염되고, 보안 제품의 진단을 회피하는 변형이 지속적으로 제작돼 올해도 많은 피해를 주었습니다.
9. 가짜 백신 배포 방법의 지능화
올해 들어 가짜 백신 배포 방법이 더욱 교묘해지고 지능화했습니다. 최근의 이슈로 사용자를 유인하고 동영상 재생 프로그램(코덱)이나 동영상 자체로 가장해 배포됩니다. 이들은 바탕화면을 변경하고 사용자가 바꿀 수 없게 만들거나, 컴퓨터의 보안 설정을 변경하거나 인터넷 익스플로러를 제외한 모든 프로세스를 동작할 수 없게 합니다.
10. 온라인 게임 해킹 툴 급증
온라인 게임 해킹 툴은 비정상적인 방법으로 메모리, 게임 파일, 서버 등에 접근하여 데이터 등을 변조함으로써 게임 플레이를 불공정하게 이끄는 오토 플레이, 메모리 조작 등의 해킹 툴을 의미합니다. 2008년에 급증했던 해킹 툴의 증가 추세가 2009년 들어서도 꺾이지 않고 있습니다. 11월 현재까지 접수된 해킹 툴 건수(1910건)는 안철수연구소가 온라인 게임 해킹 통계를 집계한 2005년 이후 최대 수치이며, 2008년 한 해 동안 접수된 건수(506개)의 4배를 넘습니다.
안철수연구소 시큐리티대응센터(ASEC) 조시행 상무는 "최근의 보안 위협은 마치 지능범과 같아서 보안 제품의 진단을 회피하는 고도의 기법을 사용한다. 갈수록 교묘해지는 공격 기법에 대응하기 위해 전문적이고 체계적인 보안 관리와 서비스가 중요하다.”라고 강조했습니다. Ahn
댓글을 달아 주세요
조심하고 또 조심^^
조심 조심해야죠^^
V3 Internet Security 2010 을 주세요~!!
V3 365 클리닉 2.0 으로 넘어가서 2007 의 장기 이용자 혜택이 날아가 버렸음.. ㅡㅜ
해당 부서에 고귀한 의견을 전달해 보도록 하겠습니다.
기존에 사용하시던 분들은 아쉬움이 있을 것 같습니다.
이제 봄이 오는 소리가 들리는데 환절기 건강 조심하세요.
좋은 글 감사합니다. ^^
역시 인터넷 익스플로러 8 쓰는 것이 좋은데,
우리나라 기업 사이트가 대부분 아직도 웹표준화가 안된 사이트가 많고 그래서... 덜덜...
웹표준화가 이루어지면 좋겠습니다.
관심가져 주셔 고맙습니다.