세상에서 가장 안전한 이름, 안철수연구소

최근 미국에서 100달러로 애인의 이메일을 해킹해준다는 업체가 성업 중이라는 기사가 보도되었다. 심지어 이들은 버젓이 광고까지 한다고 한다. 얼마 전 국내에서도 ‘바람난 배우자나 변심한 애인의 이메일을 해킹해주겠다’고 인터넷에 광고를 올린 뒤 의뢰인들로부터 30만원~100만원의 수수료를 입금 받고 곧바로 연락을 끊어버리는 사기꾼이 경찰에 잡히기도 했었다.

이메일 해킹사고의 원인은 개인정보 유출이다.

이메일 해킹사고는 인터넷으로 서비스하는 업체의 보안에 구멍이 생겨서 정보가 유출되는 경우와 사용자의 보안의식 부족으로 개인정보가 유출되는 경우 두 가지로 구분할 수 있다.

첫 번째는 예전에 발생했던 모 정유사의 개인정보 노출, 온라인 경매사이트의 개인정보 노출사고 같이 기업 내에서 관리하는 고객정보가 노출이 된 경우이다. 이 경우는 사용자의 주민등록번호, 아이디, 패스워드 등 개인정보가 고스란히 유출이 되었기 때문에 그 정보를 획득한 사람이 획득한 아이디와 패스워드를 가지고 웹 메일에 접속을 시도하는 것이다. 이 경우 대부분 웹 메일서비스로도 같은 계정정보로 접속이 될 가능성이 높다. 하지만 이 부분은 개인사용자로서는 사전예방을 할 수 있는 방법이 없고, 소송 등 사후조치를 취하는 것 외에는 방법이 없다. 그러므로 이 글에서는 해당 부분의 이야기는 하지 않으려고 한다.

두 번째는 사용자의 보안의식 부족으로 발생한 경우이다. 이 경우는 개인 스스로 보안의식을 높이고 안전하게 PC를 사용할 수 있는 방법을 익힌다면, 이메일 해킹의 피해를 입는 사고를 막을 수 있으므로 필자는 이 부분에 초점을 맞춰서 이야기를 진행하려고 한다.

개인사용자로서 이메일 해킹 사고를 막으려면 어떻게 하면 될까?

- 백신 프로그램을 반드시 사용하자.
사용하는 PC에 백신을 반드시 설치하고 최신 엔진으로 업데이트 되도록 유지해야 한다. 특히 PC방 같은 공용PC에서는 이 사항이 더욱 중요하다. 설치된 백신 프로그램이 키보드 입력 값을 몰래 훔쳐가는 키로거(KeyLogger)를 최대한 막아줄 것이기 때문이다.

- 불법이나 편법을 유도하는 프로그램을 사용하지 말자.
예전에 필자가 유료 웹하드를 무료로 사용하게 해준다는 프로그램을 테스트 삼아 돌려본 적이 있었다. 그 프로그램은 기존의 무료계정으로 로그인을 하면 해당 웹하드 서비스를 유료사용자인 것처럼 사용할 수 있게 해준다는 것이었다. 실제로 무료계정으로 로그인을 해보니 예상했던 것처럼 유료계정으로 동작한다는 것은 거짓이었고, 접속했던 계정정보를 외부의 서버로 유출하는 행위를 확인할 수 있었다. 이처럼 불법이나 편법을 유도하는 이런 류의 프로그램은 그 프로그램을 설치한 자신의 PC를 공격대상으로 삼는 경우가 많으므로 절대로 설치하지 않도록 한다.

- 로그인후 로그아웃을 꼭 하자.
사용자가 웹메일 사이트에 로그인을 하고 메일서비스의 사용이 끝난 후 로그아웃을 하지 않는 경우를 종종 볼 수 있다. 이처럼 로그아웃을 하지 않은 상태일 경우, 다른 사람이 기존에 떠 있는 웹 브라우저로 해당 사이트에 접속하면 로그인 상태가 그대로 유지되기 때문에 상대방의 이메일을 그대로 볼 수 있다. 그러므로 인터넷 상에서 로그인이 필요한 서비스를 사용한 후에는 로그아웃을 빼먹지 않도록 주의가 필요하다.

참고로, Internet Explorer 7 또는 8 버전, FireFox, Chrome 등의 최신 브라우저는 탭 기능을 기본으로 하기 때문에 더욱 조심을 해야 한다. 이런 탭 브라우징 기능을 가진 웹브라우저 경우는 로그아웃을 하지 않고 탭을 닫을 경우, 그 후에 새 탭을 열고 해당 사이트를 들어가면 로그인한 상태가 되기 때문이다.

- PC방 등 불특정 다수가 사용하는 PC에서는 로그인을 최대한 삼가 하자.
PC방 같이 여러 사람이 사용하는 PC는 해커들이 공격대상으로 삼기에 아주 좋은 장소이다(필자가 해커라면 PC방을 선택하겠다. ^^). 이런 장소에 있는 PC에서 웹사이트 로그인을 해야만 할 때에는 보안로그인(보안접속)과 키보드보안 프로그램을 실행시켜두고 로그인을 하도록 해야 한다. 이렇게 해야 해킹툴이 본인의 계정정보를 탈취하지 못할 것이기 때문이다. 다만 아쉬운 점은, 인터넷 뱅킹 같은 금융사이트는 보안프로그램이 필수로 동작되도록 하고 있으나, 일반 웹 사이트는 사용자 선택에 의해 동작을 하던지 연동조차 되어 있는 않는 사이트도 많다는 것이다.

보안로그인(보안접속)은?
로그인시 아이디 및 비밀번호를 암호화시켜 전송함으로써, 아이디와 비밀번호가 인터넷 연결 중간에 가로채어진다고 하더라도 안전하게 보호될 수 있다. 다만 사용자의 키 입력 값에 대한 보호기능은 동작하지 않는다.

키보드 보안프로그램은?
사용자가 입력한 키입력 값을 빼내어 가는 키로거(KeyLogger)가 키입력 값을 알아내지 못하도록 막아주는 보안 프로그램이다. 인터넷 뱅킹을 사용할 때 필수적으로 동작이 되고 있는 프로그램이다.

- 이메일 계정의 비밀번호는 다른 사이트와 다르게 하는 것도 좋은 방법이다.
인터넷 웹메일에는 지인들과 주고받은 메일 이외에도 개인자료 등이 보관되어 있는 경우가 많다. 그러므로 혹시라도 내가 사용하는 다른 웹 서비스의 계정이 유출되더라도 웹메일의 비밀번호를 다르게 해두면 2차 피해를 막을 수 있을 것이다.

최초의 스팸이메일 vs. 최초의 안티스팸솔루션 

 

스팸의 정의

스팸 이메일은 저비용, 고효과로 인해 현재까지도 가장 강력한 마케팅 수단이자 악성코드 유포 경로로 이용되고 있다. 그래서인지 도무지 줄어들지 않고 늘어만 가는 스팸 이메일들로 인해 우리는 하루에도 수십번 투덜거릴 때가 있다. 우리는 스팸을 햄 통조림 상표로도 익히 알고 있다.

왜 ‘스팸’ 이란 단어가 이메일 시장에서도 사용된 것일까?

 

인터넷 상에서 '스팸'은 간단하게 말해, 원하지 않거나 쓸모없는 정보를 의미한다. 이메일 발신자가 자신과 아무런 관계가 없는 수신자에게 발송하는 전자우편을 스팸 이메일이라 하며 쓰레기와 다름 없다는 의미에서 '정크메일'(Junk mail)로 불리기도 한다.

본래 'Spam(스팸)'은 117년 전통의 우리 가정 식단을 책임지고 있는 Hormel Foods사의 돼지고기 햄 통조림 상표이다. (http://www.hormelfoods.com/brands/spam/).


이 회사가 1937년 명명한 SPAM제품을 광고하기 위해서 얼마나 무차별적으로 광고를 진행했는지 소비자들은 이 회사의 제품 광고를 공해로 인식하게 되었다. 그 결과, 오늘날 불필요한 광고성 이메일을 '스팸 이메일'이라 부르게 되었다는 것이 일반적으로 잘 알려진 이야기.

• Hormel used the name SPAM in 1937 following a competition to find a better name for its “Spiced Ham” product. Unsolicited commercial e-mail is thought to have been called spam after a Monty Python sketch involving a restaurant that sold Hormel’s meat with every dish.

하지만, 1970년대초 영국 BBC 방송의 인기 코미디 프로그램이였던 Monty Python's Flying Circus 시리즈의 ‘spam’이란 단막극에서 유래되었다는 재미난 이야기도 있다. 이 극은 '스팸'의 지긋지긋함을 적나라하게 표현한 것으로 유명하다. 극 속에 등장하는 한 식당의 모든 메뉴에는 스팸이 항상 포함되어 있어, 메뉴를 소개하는 여종원의 입에서 ‘스팸’이란 단어가 떠나질 않는다. 물론 모든 배우들의 입에서도 연신 ‘스팸 스팸 스팸’. 온통 머리가 ‘스팸’으로 가득차게 된다.

• "예. 달걀과 베이컨이 있습니다, 달걀 소시지와 베이컨도 있고요. 달걀과 스팸, 달걀 베이컨과 스팸, 달걀베이턴 소시지와 스팸, 스팸베이컨 소시지와 스팸, 스팸달걀 스팸 스팸 베이컨과 스팸, 스팸 소시지 스팸 스팸 베이컨 스팸 토마토와 스팸..." [출처: Yutube, Monty Python – Spam -http://www.youtube.com/watch?v=anwy2MPT5RE]

 

스팸 이메일량으로 본 안티스팸 솔루션의 중요성

이메일 주소의 노출 정도에 따라, 이메일주소가 호스팅되고 있는 도메인의 유명세에 따라 약간씩은 달라질 것이다. 스팸네이션에 따르면, 하루당 수신되고 있는 평균 스팸량은 2007년 기준, 하루에 1000통 이상의 스팸이메일을 수신한다고 하니, 이 얼마나 많은 양인가?

                                   [출처: http://spamnation.info/stats/]

또 다른 통계, 스팸콥의 통계를 보면 더 놀랄 것이다. 초당 30~40건이라니… 스팸 이메일의 홍수 속에 헤어나지 못한다니 답답한 노릇이 아닐 수 없다.

                                                             
 





                   [출처: http://spamcop.net/spamgraph.shtml?spamyear]

하루 업무 중, 스팸 이메일을 지우는 데 늘여야 할 노력이 상당한 수준임을 간접적으로 느낄 수 있을 것이다. 이런 이유로, 효율적인 안티스팸 솔루션을 기업에서 도입하는 것이 얼마나 큰 생산성을 제공하고 있는지 우리는 충분히 깨닫게 된다.

최초의 스팸 이메일은?

1978년 Gary Theurk (Digital Equipment Corporation, 이하 DEC, 마케터)가 APRPANet 이용자들에게, 새로운 제품인 DEC-20과 TOPS-20 OS를 홍보하기 위해 ARPANet 상의 DEC 시스템으로부터 SNDMSG 프로그램를 이용하여 전송한 스팸 이메일이 최초로 알려져 있다. 이 스팸 이메일은 600개의 이메일 주소에 전송되었다. 메일 헤더 상의의 수신자 목록만 족히 9쪽을 넘는 규모로 모든 수신자를 수작업으로 입력하였다고 하니 그 노력만큼은 인정해주고 싶다.

• 1978 – An e-mail spam is sent to 600 addresses

 

   



                                   [그림: 최초의 스팸 이메일]

1994년 Canter와 Siegel 두 변호사가 USENET의 6000여 개의 뉴스그룹에 이민자 복권(immigration lottery) 서비스를 홍보하기 위해 스팸성 글을 게시하였다. 뉴스그룹 사용자들은 이러한 행위를 “spam”으로 부르기 시작하였고, 이 때문에 최초의 스팸 이메일은 1994년 이란 주장을 펴기도 한다.

• 1994 – First large-scale spam sent to 6000 newsgroups, reaching millions of people

최초의 안티스팸 솔루션은?

필자에게는 최초의 안티스팸 솔루션은 무엇이고, 그 솔루션의 구성이 못내 궁금해지기 시작하였다. 앞서 스팸네이션의 통계에서 볼 수 있듯이, 스팸 이메일 또한 2000년도부터 급격한 증가 추세를 보이기 시작한다. 그렇다면 안티스팸 시장은 언제부터 형성되기 시작한 것일까.

• Spamblaster (1997) - world's first client-side anti-spam software

 



             [출처: Michael Amorose]

1996년 당시, Apple 사에서 일하고 있던 Douglas Turner와 Michael Amorose는 스팸 이메일을 효과적으로 차단할 수 있는 솔루션 개발에 대한 아이디어를 내기 시작한다. Goo Software 라는 회사를 설립하고 본격적인 개발에 착수하여 7개월 만에 spamblaster 라는 클라이언트 기반의 안티스팸 솔루션을 출시하기에 이른다.

spamblasterTM, 개발자, 그리고 그들의 이야기는 아래의 URL에 보다 자세한 내용을 확인할 수 있다.

• A Brief History of Anti-Spam, http://www.michaelamorose.com/history_of_anti_spam/index.htm
 

[그림] spamblasterTM 설정 화면. BlackList 기반의 차단 기능을 갖고 있음을 알 수 있다.

당시에는 현재의 Intel CPU를 채용하고 있는 Windows OS보다는 Mac 유저 층이 훨씬 활발하게 활동하던 시대임을 알 수 있다. 스팸 이메일도 Apple 제품 마케팅 홍보 메일이 많았고, 안티스팸 솔루션도 맥(Mac)용 인 것을 보면…

1997년 안티스팸 시장의 문을 연 spamblasterTM 제품에 대한 릴리즈 광고는 MacWeek 매거진에서 찾을 수 있다.

 






                     [출처: Michael Amorose]

[그림] 1997년 9월 15일 당시, spamblaster 출시 기사. 당시 가격으로 $40 임을 알 수 있다.

• SpamCop vs. SpamHaus (1998)

현재에도 잘 알려진 안티스팸 솔루션의 양대 산맥이 있다. SpamCop와 SpamHaus는 잘 알려진 RBL (Realtime-BlackList) 기반의 차단 방식을 채용하고 있다. 스팸메일 소스로 입증된 IP 실시간 데이터베이스로 관리된다. SpamCop과 SpamHaus 두 기관 모두 1998년 설립되어 현재까지도 서비스되고 있다.

SpamCop(http://www.spamcop.net/)은 1998년 Julian Haight에 의해 설립되었다. 이후 2003년 11월 24일 이메일 보안 회사로 유명한 IronPort Systems에 의해 인수되었고, 그 후 3년 뒤인 2007년 1월 4일 Cisco Systems의 IronPort사 인수를 통해 SpamCop은 Cisco 사의 이메일 보안의 한 축을 담당하기에 이른다.

SpamHaus(http://www.spamhaus.org/) 역시 1998년 Steve Linford에 의해 설립되었다. 블랙리스트의 원형을 제공한 것으로도 잘 알려진 SpamHaus는 스팸머들에게 갖은 고소 협박을 받기도 한다. 이는 악성코드 제작자가 백신 프로그램이 자신의 정상적인(?) 악성코드를 진단하고 있다고 백신사에게 으름장을 놓는 요즘의 모습과 너무도 유사하다. 이 엄청난 동질감이 그들의 고초를 충분히 헤아릴 수 있게 해주고 있었다.

이 같은 선임자들의 끊임없는 노력들이 있었기에, 지금 우리는 스팸 천국에서도 일정 수준 이상의 안정적인 인터넷 생활을 영위할 수 있는 것이 아닐까 한다. 지금은 많은 안티스팸 솔루션 단에서 상당량의 스팸 이메일들이 자체 필터링되고 있어 우리의 이메일 함으로 전송되지 않고 있다.

[보안TIP] 이메일 공격을 예방하는 행동지침:

최근에는 이메일에 포함된 URL Link, 혹은 첨부파일이 악의적인 용도로 활용되고 있다. URL Link는 스팸/피싱/악성코드 유포 사이트로 리다이렉팅 되거나, 첨부파일 클릭시 악성코드에 감염될 위험에 처할 수 있게 되므로, 아래의 행동 지침을 반드시 숙지하여 사고를 미연에 예방하는 자세가 무엇보다 중요하다.

• 안티스팸 솔루션 도입을 통해 유입을 최소화한다.
• 신뢰되지 않는 이메일은 즉시 삭제한다. 삭제한 경우라도, 재요청하여 재수신할 수 있다.
• 첨부파일은 좀 더 조심스럽게 다룬다. 저장후 최신 업데이트된 백신을 통해  진단 후  안정성이 보장된 경우에만 열어보도록 한다.
• 의심스런 URL 링크는 클릭하지 않는다.
• 혹시 모를 악성코드의 유입/실행을 방지하기 위해 최소한 운영체제 및 보안프로그램은 항상 최신으로 유지하여야 한다.

 

Writer profile

세상에서 가장 안전한 이름,
안철수연구소입니다.

8월 7일 17시경 한국과 해외 일부 지역에서 6월 24일 발견되었던 허위 UPS 운송 전자 메일로 위장한 악성코드가 다시 발견되었습니다.

이번에 발견된 악성코드는 다음과 같은 전자 메일 형식을 가지고 있으며 UPSNR_1738627d.zip(27,554 바이트)가 첨부 되어 있습니다.

첨부되어 있는 zip 압축 파일을 압축을 풀면 다음 이지미와 같이 엑셀 아이콘 모양의 UPSNR_1738627d.exe(39,936 바이트) 파일이 생성 됩니다.

현재 ASEC에서 파악한 바로는 해당 전자 메일과 유사한 형태의 다른 변형들이 존재함으로 위와 같은 전자 메일을 수신할 경우에는 삭제하는 것이 좋습니다.

현재 V3 제품군에서는 해당 악성코드와 일부 변형들을 다음과 같이 진단하고 있습니다.

 그리고 이러한 전자 메일을 통한 악성코드의 감염을 예방하기 위해서는 다음의 사항들을 숙지하는 것이 중요합니다.

 

사람은 경제, 사회 생활을 해나가며 예측할 수 없는 사고로 인하여 끊임없는 위협을 받고 있다. 교통사고, 화재, 자연재해부터 시작해 질병, 암과 같은 의학적인 것까지 너무나 많은 위험이 존재하고 있다. 이러한 위험에 대비하기 위하여 현대사회에는 ‘보험(Insurance)’ 이라는 것이 있다. 보험은 사고 발생으로 인하여 경제적인 부담을 완화 시켜주어 급작스러운 상황에서 경제적 부분만큼에서는 대비를 할 수 있다. 우리는 이러한 보험에 일정한 비용을 부담하여 80세, 100세 또는 평생을 보장 받게 된다.

디지털 사회로의 전환과 이에 대한 준비

아마 대부분은 한 개 이상의 보험을 갖고 있을 것이다. 각 보험의 목적은 다를 수 있지만 추구하는 바는 무엇인가에 대해서 보장을 받는 것이다. 필자가 보험이야기를 꺼낸 것은 이런 의료비 보험에는 한 두개씩 준비를 하고 있지만, 정작 디지털 사회로 변해가고 있는 이 시점에서는 디지털 자산에 대한 보험은 준비되고 있지 않다는 점 때문이다.

여기서 말하는 보험 상품은 여러분들 스스로가 준비하는 보험의 의미다. 이젠 일상이 되어버린 컴퓨터, 인터넷. 우리는 이제 많은 일들을 컴퓨터를 통해 처리를 하고, 매일 접하게 되는 도구가 되어 버렸다. 하지만, 컴퓨터를 끊임없이 위협하고 있는 것들은 수없이 많다.

'보안' 의 중요성은 항상 얘기되고 있지만, 보안은 그 한순간 얘기되고 지나치는 경우가 많다. 특히 많은 경우 자신이 사용하는 컴퓨터가 사용 목적만을 이루면 되기 때문에 은폐되어 숨어 있는 악성코드라면 더욱 사용자 스스로가 인지하기 힘든 경우가 많다. 컴퓨터가 느려졌다면 하드웨어 탓을 하기도 하고, 인터넷이 느려지면 그저 인터넷 속도가 느린 경우로 단정한다. 디지털사회로의 진입을 하고 있지만, 이것에 대한 인지만 하고 있지 준비는 아직도 느린것 같다.

디지털 자산 위협 증가

디지털 자산의 위협은 매년 그 위협이 증가하고 있다. 2003년1월25일의 인터넷 대란 사태가 보여준 것은 단지 위협의 일부분이다. 2006년 Computer Economics Inc 가 발표한 보고서에 의하면 전세계적으로 악성코드로 인한 피해는 133억 달러라고 한다. 이 피해는 더욱 어마어마한 수치로 증가할 것이다. 사람이 소유하고 있는 물리적 자산 이외에 이제는 디지털자산의 비율이 점차 크게 증가할 것이기 때문이다. 주변을 둘러보기만 해도 그 이유는 쉽게 알 수있다. 모바일환경 비율이 점차 증대되고 있고, 한개씩은 가지고 다니는 USB 디스크, 여기에 한대 이상의 컴퓨터, 웹 하드, 웹 메일등 개인이 소유하고 있는 디지털자산은 너무나 늘어나고 있다.

하지만, 이에 대한 대비책은 어떠한가? 미래의 불안함, 노후대비를 위하여 보험을 가입하지만 우리의 디지털자산을 보호하기 위한 대책은 크게 달라지고 있지 않다. 지금 현실의 보험뿐만 아니라 디지털보험을 마련해야 한다. 이 디지털 보험은 보험사에서 판매하는 보험을 뜻하는 것이 아니다. 바로 여러분 스스로가 직접 만들어 낼 수 있는 DIY(Do It Yourself) 이다. 어떤 것들이 만들어 질 수 있는가. 여러분들이 자기집을 보호하기 위해 디지털 도어락을 설치하고, 방범창을 달고, 소화기를 구비하는 것과 같이 스스로 자산을 보호하기 위하여 쉽게 할 수 있는 일들이다. 예를 들면,

- 컴퓨터를 외부의 위협으로부터 지키기 위한 방화벽
- 그리고 예방백신, 치료제와도 같은 안티 바이러스/스파이웨어 프로그램
- 자산에 혹시 있을지 모르는 불상사를 대비하기 위한 데이터 백업 정책 및 프로그램
- 자가적으로 수행하는 운영체제 보안 설정
- 보건소에서 무료로 접종해 주는 것과 같이 사전 예방 차원에서 배포되는 보안 패치 프로그램 설치

묻지도 따지지도 않는 디지털보험 

지금 여러분들의 보험에 디지털보험을 추가하는 것은 간단한 일이다. 그것도 보험과 같이 많은 비용을 지불하는 것이 아니라 적은 비용 또는 무료로 보험을 마련할 수 있으니까 말이다. 미래의 먼 훗날에는 지금의 보험설계사들이 디지털자산을 위해 설계를 하러 다니는 시절은 나타나지 않을까 재밌는 생각을 떠올린다.

"고객님 지금 사용하시는 디스크는 보존 기간이 20년이므로 이 보험에 가입하면 20년 후에 디스크를 새롭게 재 갱신해 오랫동안 안전하게 사용하실 수 있도록 해 드리고요, 5년마다 최첨단 원격진료서비스를 통해 컴퓨터 몸 구석구석 건강검진을 해 드립니다. 더불어, 특정 바이러스에 걸렸을 시는 진단금으로 100만원을 바로 지급해 드립니다."

자, 지금 여러분들의 디지털보험을 새롭게 재 갱신할 시기입니다. 나이가 어릴때 빨리 가입할 수록 유리한거 아시죠? 디지털 보험도 마찬가지입니다. 컴퓨터가 건강할때 빨리 가입하세요. 디지털보험은 묻지도 따지지도 않습니다.@

정관진 | 안철수연구소 시큐리티 분석가

현 재 안철수연구소의 시큐리티대응센터에서 취약점, 악성코드 및 네트워크 위협 분석을 담당하고 있다. 안철수연구소의 “IT칼럼니스트”뿐만 아니라, 다수의 보안 강연 및 컬럼니스트로 활동하고 있다. 특히 오픈소스(Open Source)에 많은 관심을 가지고 있어 아파치 웹 서버의 정보를 제공하는 아파치사용자그룹(http://www.apache-kr.org) 사이트를 운영하고 있다.

위 글은 안랩닷컴    페이지에서도 제공되고 있습니다.

보안에 대한 더 많은 정보 안랩닷컴"에서 찾으세요 :D

좀비PC가 되었다는 것은 로봇 프로그램의 일종인 악성 봇(Bot)에 감염된 PC를 말한다.

악성 봇(Bot) 이란?

기존의 바이러스나 웜 등과는 구분이 되는 ‘Bot’은 로봇(RoBot)의 의미로, 해커 혹은 봇 유포자가 원격지에서 봇에 감염된 시스템을 조정할 수 있는 악성 프로그램이다.  그래서 악성 봇은 일반 PC를 해커가 마음대로 조정할 수 있도록 만드는 로봇 프로그램이라고 규정할 수 있다.

일단 현재 내PC에 어떤 프로그램이 실행 중인지를 알아보는 방법이 있다. 윈도우 태스크바에 마우스 오른쪽 버튼을 클릭하고 작업관리자를 실행시키고 프로세스 탭 클릭해보면, 실행중인 프로세스 목록을 볼 수 있다.

여기서 내가 알지 못하는 프로그램이 PC자원(CPU, 메모리, …)을 과도하게 사용할 경우에 의심을 해 볼 수 있을 것이고 해당 프로그램을 종료시킬 수도 있다. 이 방법은 PC가 비정상적인 경우에 조치할 수 있는 간단한 방법 중에 하나로서 제법 유용한 방법이다. 하지만 이것만으로는 내 PC가 좀비PC가 되었는지를 파악하기는 사실상 어렵다.

일반 PC사용자로서 간단하게 좀비PC 여부를 알아내는 방법은, 한국정보보호진흥원(KISA)에서 제공하는 서비스를 이용하는 것이 될 것이다. 이 서비스는 보호나라 웹사이트(www.boho.or.kr)에서 제공하고 있으므로 이 사이트로 접속하면 확인할 수 있다.

또한 백신소프트웨어를 설치해서 검사를 해보는 방법도 역시 좋은 방법이다.

좀비PC가 되면 DDoS 공격자로 바뀐다고 하던데?

좀비PC가 될 경우, DDoS 공격뿐만 아니라 불법 프로그램 유포, 스팸메일 발송, 개인정보 유출, 애드웨어 및 스파이웨어 설치 등에 악용된다

<그림> 악성봇으로 인해 좀비PC가 되는 과정 : 출처 행정안전부

이 중에서 DDoS 공격이 최근 들어 더욱 심각해지고 있는 추세이다. 최근 한국정보보호진흥원(KISA)의 `인터넷침해사고 동향 및 분석 월보'에 따르면 해커들의 동향을 파악하기 위한 허니넷에 유입된 봇 감염 IP 수가 지난해 12월 하루 평균 20만 건 이하에서 올해 3월에는 하루 평균 40만 건으로 증가했다고 한다. DDoS 공격이 이처럼 늘고 있는 것은 DDoS 공격 프로그램이 손쉽게 구할 수 있고, 그것을 통해 초보 해커들의 공격이 쉬워졌기 때문이다. 기업측에서는 안티 DDoS 솔루션 구매 등 기업보안 강화를 해야겠지만, 결국 이 DDoS공격을 막는 가장 좋은 방법은 개인PC의 보안강화를 통해 좀비PC가 되지 않도록 예방하는 것이다.

DDoS(Distributed Denial of Service) 공격이란?

여러 개의 호스트에서 IP망을 통해 특정 서버에 다량의 트래픽을 보내는 방식으로 공격을 하고자 하는 서버를 다운시키거나 네트워크를 마비시켜 서비스를 중단시킨다.

좀비PC가 되지 않도록 예방방법은?

좀비PC를 만들어버리는 봇도 악성코드의 일종이다. 외출 후에 손만 잘 씻어도 대부분의 질병을 예방할 수 있듯이, 아래의 정보보호 실천수칙도 철저히 지킨다면 자신의 PC가 좀비PC로 감염되지 않는 최선의 예방책이 될 것이다.

정보보호 실천수칙
1. 운영체제 보안패치 최신으로 유지하기
2. 바이러스 백신 프로그램 사용하기
3. 이메일 또는 메신저의 첨부파일 함부로 열지 말 것
4. 신뢰할 수 있는 웹사이트에서 제공하는 ActiveX 프로그램 설치하기
5. P2P 사이트에서 파일을 내려 받았을 때 백신으로 검사하기

관련글 : 내 PC가 좀비PC가 된다면

이연조 | 안철수연구소 프로그래머

안철수연구소에서 인터넷뱅킹 보안 제품을 개발하고 있으며, 현재 “안랩 칼럼니스트”로 활동 중이다. 책(Book)과 공(Ball)과 겜(Game)을 좋아하는 영원한 신혼남으로, 밝고 건전한 사회를 만들기 위해서 항상 웃고 다니고 있는 중이다.

 

인터넷의 편리함 속에 숨어들어온 위험, 피싱에 대하여 알아보도록 하자.

피싱메일은 최근 발병한 인플루엔자 A(H1N1, 일명 돼지독감) 피싱메일(Swine Flu Phishing)과 같이 최근의 이슈 등을 이용하여 수신자의 관심을 끈다. 더불어 금융사기, 개인정보의 유출뿐만 아니라 악성코드의 실행에도 악용되는 등 여러 가지 기능을 탑재하는 형식으로 변화 하고 있다.

피싱메일은 특정인을 겨냥하여 작성되기도 하지만 스팸메일처럼 무작위로 작성, 발송될 수 있다. 본인과 관련 없는 곳에서 발송된 메일인 경우 스팸메일로 인지하여 읽지 않을 수 있지만 자신의 정보와 일치하는 수신자라면 관심을 갖게 된다.

[그림1: 개인정보 채집 또는 악성코드가 포함된 인플루엔자 A(H1A1 일명 돼지독감) 피싱메일의 예 / 출처 US-CERT, http://www.us-cert.gov/current/#swine_flu_phishing_attacks_and

‘안전하게 이메일을 확인하는 방법(1)_이메일 조작’를 통하여 메일에서 보여지는 ‘보내는 사람’과 ‘받는 사람’은 조작될 수 있음을 보았다. 이번에는 가짜 메일의 겉봉을 뜯고 내용물을 들여다 보도록 하자.

메일의 본문에는 여러 가지 글자와 그림이 포함되어 있다. 이러한 내용은 글 뿐만 아니라 각종 정보위치의 속성을 포함하고 있다. 또한 이러한 내용 작성에 주로 사용되는 html은 화면에 보여지는 내용과 실제 접속되는 페이지의 정보가 다를 수 있다.

이렇게 ‘보이는 것’과 ‘실제’가 다를 수 있는 인터넷기술의 취약점을 이용한 피싱메일을 받은 사용자가 메일이 지시하는 대로 행동할 경우 입을 수 있는 피해를 참치씨의 신용카드 정보유출 경우를 통하여 알아보도록 하자.

* 본편에 사용된 메일은 피싱기법을 표현하기 위한 간략한 예제임을 밝혀둔다. 실제 피싱은 매우 정교하게 만들어 질 수 있고 다양한 기능을 포함한다.

특징 1. 피해자의 관심유도 - 미끼를 던진다.

[그림2 피싱메일의 예]

중요한 회의시간 10분전 메일을 확인하던 참치씨는 주거래은행인 가두리은행으로부터 ‘가두리뱅크 이벤트! 고지서를 메일로 받으시면 결제 금액의 10%를 적립해 드립니다.’ 라는 메일을 발견했다. 신용카드 결제 금액의 10%라는 파격적인 조건에 잠시 의심을 했지만 ‘보내는 사람’이 ‘가두리뱅크’로 되어 있고 메일의 내용도 다른 은행과 같이 첨부파일로 되어 있어 이벤트에 참여하려고 첨부파일을 실행하였다.

하지만 이 피싱메일은 다음의 금융정보를 수집하기 위해 발송된 메일이었다.
-주민등록번호, 신용카드번호, 유효기간, CVC 코드, 비밀번호

신용카드의 종류는 수집할 필요가 없다. 참치씨는 ‘가두리뱅크’를 사용하는 고객이기 때문에 이 메일에 관심을 갖는 것이며 너무 많은 정보를 요청하면 피싱메일로 의심할 수 있기 때문이다.

* 일반적인 금융정보관련 페이지는 메일을 통해 연결 되더라도 정상적인 로그인 과정을 추가로 요구하므로 이러한 과정이 없는 경우 주의 할 필요가 있다.

특징 2. 피해자의 행동유도 – 함정에 빠지게 한다.

[그림 3 고객정보 유출을 위해 만들어진 첨부파일 예]

다른 은행에서 발송되는 결제정보메일처럼 주민등록 번호를 입력하는 창이 먼저 나타나자 ‘참치’씨는 무심코 주민등록 번호를 입력하였다. 하지만 이 첨부파일은 아무 숫자나 13자리를 입력하면 열리도록 되어 있다. 주민등록번호를 입력하는 순간 피싱메일의 첨부 파일은 참치씨를 속이기 위한 기본 정보를 취득했으며 또한 동시에 hosts 파일을 조작하였다.

* 정상적인 금융정보관련 메일의 첨부파일은 주민등록번호의 일부만을 요청하므로 전체를 입력을 요구하는 경우 주의해야 한다.

[그림4 정상적인 고객정보 페이지와 첨부파일 실행후 연결된 위조된 고객정보 수정 페이지]

주민등록번호를 입력하고 실행을 누르자 가두리뱅크의 홈페이지의 추가 정보를 입력하는 페이지로 연결되자 참치씨는 조금이나 남아있던 의심을 버리게 되었다. 하지만 이 페이지는 진짜 가두리뱅크의 페이지가 아닌 피싱서버에 있는 조작된 페이지였다.

가두리뱅크의 홈페이지에 접속된 것으로 생각하고 위조된 페이지에 신용카드정보를 꼼꼼하게 입력한 참치씨는 마지막으로 ‘고지서를 메일로 받겠습니다’에 체크한 뒤 앞으로 벌어질 사고를 모른 채 결제금액의 10%가 적립되면 무엇을 살까 하는 행복한 꿈을 꾸면서 ‘완료’ 버튼을 누른다.

이제 피싱서버에는 다음과 같은 정보가 남겨졌다.
4100012312671001|201205|007|1212|카드번호16자리|유효기간|CVC코드|비밀번호4자리

* 일반적인 금융정보관련 페이지는 메일을 통해 연결 되더라도 정상적인 로그인 과정을 추가로 요구하므로 이러한 과정이 없는 경우 주의 할 필요가 있다.

특징 3. 피해자의 대응 방해 – 추가 범죄를 위한 시간을 번다.

1시간 뒤 회의시간 중 300만원이 결제되었다는 신용카드 결제 통보 문자 메시지를 받은 참치씨.

회의가 끝나고 PC에 앉아 가두리뱅크에 접속하였지만 로그인이 되지 않는다. 또한 홈페이지에 써져 있는 고객센터로 전화를 해봐도 통화 중 신호음만 들리고 있다. 어떤 일이 벌어진 것일까?

Hosts파일이 변조된 참치씨의 PC는 계속해서 피싱서버에 접속을 하기 때문이다. 이렇게 참치씨가 허둥대고 있는 동안 계속해서 결제통보 문자는 들어오고.. 순간 참치씨는 자신의 PC가 이상한 것으로 생각하고 동료의 PC를 통해 가두리은행의 홈페이지에 로그인 할 수 있었다. 하지만 이미 수백 만원의 신용카드거래가 결제 된 뒤였다.

이는 첨부파일의 실행을 누른 순간 첨부파일에 포함되어 있던 프로그램이 실행되어 참치씨 PC의 중요한 시스템 파일인 hosts 파일이 조작 되었기 때문이다. Hosts 파일에 입력된 순간 gaduribank.cox 로의 접속은 모두 조작된 서버로 가게 된다. 이제 참치씨는 가두리양식장의 물고기처럼 피싱서버 안에 갇히게 되었다.

[그림5 조작된 hosts 파일]

정상적인 가두리뱅크 주소:  URL gaduribank.cox, IP 172.16.103.55
피해시스템의 Hosts 파일에 등록된 정보: URL gaduribank.cox, IP 192.168.136.1

*  hosts 파일: DNS 서버를 통한 쿼리 정보보다 우선순위가 높은 시스템 파일로 신뢰성이 요구되는 접속 설정이나 네트워크환경에 따라 설정할 수 있는 파일이다. 기록된 도메인네임에 대한 IP매핑이 되며 해당 도메인에 대한 정보의 이동은 해당 IP 로 고정된다. 예를 들어 hosts 파일에 ‘127.0.0.1  www.google.co.kr ‘로 기록되어 있는 경우 www.google.co.kr 에 대한 통신은 모두 127.0.0.1로 가게 된다.
악성코드 중 hosts 파일을 조작하여 보안제품회사의 접속 못하도록 방해하여 적절한 조치를 받지 못하게 만드는 경우가 존재 한다.

* Windows 계열OS의 hosts 파일의 위치: C:\[WINDOWS설치위치]\system32\drivers\etc\hosts

* 사용자지정 hosts파일인 hosts.ics 파일을 만들어서 사용할 수도 있다.
* loopback ip인 127.0.0.1로 등록된 경우 매핑된 도메인주소는 로컬시스템의 IP로 연결된다.

* DNS 정보의 교란/하이제킹을 통하여 변조된 정보취합 서버로의 접속을 유도하는 방식을 파밍(Pharming)이라고 한다.

꼼꼼하기로 유명한 참치씨였지만 교묘하게 조작된 피싱메일과 피싱서버로 인하여 수백 만원을 한 순간에 사기 당한 것이다.

* 사고접수를 통하여 결제를 취소할 수 있지만 피싱사기는 여러 가지 고객정보를 빼내갈 수 있으므로 계좌정보가 함께 유출된 경우 현금이 유출되는 피해를 함께 입을 수 있다.

* 인터넷을 통한 10만원 이상의 신용카드 결제시 공인인증서를 사용하도록 법적으로 규제되어 있다.

뉴스를 통해 우리는 피싱의 피해로 한 순간에 인생이 변하는 사고를 겪은 사람과 삶을 포기한 안타까운 소식이 들려 온다. 시도 때도 없이 걸려오는 광고전화와 스팸문자는 불편함을 겪게 하지만 피싱은 서로에 대한 불신을 야기하고 있다. 최근에는 각박한 생활 속에서 자주 볼 수 없는 친구들과 지인들과의 믿을 수 있는 공간이었던 메신저서비스 마저 피싱에 이용되어 대화할 때 서로에 신원 확인부터 하게 되는 상황이 되어 가고 있다.

얼마 전 인터넷 서비스 업체로부터 서비스 업그레이드를 하라는 전화를 받은 적이 있다. 4년간 사용하던 서비스였지만 통화할 일이 없는데 먼저 연락이 왔고 비용이 변경되니 결제정보를 확인하겠다는 이유만으로 상담원을 의심하게 되어 버렸다. 개선된 서비스를 체험 한 뒤 결정하겠다고 하고 장비교체를 위해 엔지니어가 직접 온 뒤에야 결제정보를 확인 및 동의 전화를 하였다. 서비스업체의 상담원의 하소연이 기억에 남는다. ‘요즘은 고객 유치와 서비스 업그레이드 권유가 어려워요. 보이스피싱으로 의심 받아 바로 끊어 버리거나 승인을 위해 고객정보 확인 하려고 하면 절대 알려주지 않으려는 고객이 부쩍 늘었어요.’

개인적인 경험이었지만 이러한 현상이 지속될 경우 지금까지 이루어진 전화, 인터넷고객서비스 모두를 의심하고 직접 찾아가서 거래를 해야만 하는 ‘서비스의 퇴보’가 발생하지 않을까 걱정이 된다.

피싱으로 인해 발생하는 개인의 금전적 피해도 문제지만 피싱으로 인해 점점 불신풍조가 만연하는 세상이 되어가고 있기에 우리 모두가 잠재적인 피해자이다.

안형봉 | 안철수연구소 엔진QA

안철수연구소의 시큐리티대응센터에서 엔진QA를 담당하며 병렬테스트시스템, 컨텐츠배포네트워크시스템(CDN) 개발을 진행하고 있다. 현재 "안랩 칼럼리스트"로 활동하며, 일반인들에게 보안 사건, 사고의 원인을 네트워크단에서 해석한다. 최악의 네트워크상태인 곳에서도 안정성과 속도가 유지되는 배포시스템을 설계하는 아키텍트가 되는 것이 목표로 하고 있다. 많은 실무 경험을 통해 학생들에게 보다 생생한 교육을 할 수 있는 날을 준비하고 있다.

다른 사람의 SMS 메시지를 온라인으로 도청 할 수 있는 프로그램을 제공한다는 메일로 위장하여 확산을 시도하는 웨일덱(Waledac)웜 변형이 4월 16일부터 해외의 일부 지역에서 피해를 입히고 있다는 사례가 보고되고 있습니다.


웨일덱(Waledac)웜 변형은 이메일로 전파되며 메일의 제목은 아래와 같습니다.

본문의 내용에는  ‘You can download new program for reading sms <웹 사이트 링크>’ ‘Read his message <웹 사이트 링크>’ 등이 포함되어 있습니다. 본문의 웹사이트 주소를 클릭하면 30일 간 무료로 다른 사람들의 SMS 메시지를 도청할 수 있는 프로그램을 제공한다는 페이지가 뜨며,  sms.exe, trial.exe, smstrap.exe, freetrial.exe, smsreader.exe 중 하나가 다운로드되는데, 이는 웨일덱 웜 파일입니다.
 

이 웜을 실행하면 Waledac 웜 변형이 실행 될 경우 다음 레지스트리 키를 생성하여 윈도우 시스템의 부팅시 마다 자동 실행되도록 설정되고, PC에 저장된 메일 주소가 외부로 유출되거나 약품 광고 스팸 메일이 발송됩니다.

즉, avi , mov, wmv, mp3, wave, wav, wma, ogg, vob, png, jpg, jpeg, gif, bmp, exe, dll, ocx, clas, msi, zip, 7z, rar, jar, gz, hxw , hxh, hxn, hxd 등의 확장자를 가진 파일을 하드 디스크에서 검색해 메일 주소를 수집하여 외부 특정 IP(인터넷 프로토콜)로 전송을 시도합니다. 또한 수집된 주소로 스팸 메일이 발송이 되는데, 스팸 메일에 존재하는 웹사이트 주소를 클릭하면 남성용 약품 판매 사이트로 연결됩니다.

웨일덱 웜은 이스라엘의 가자 지구 침공, 발렌타인 데이, 오바마 대통령 당선, 테러 관련 뉴스 등 잘 알려진 사회적 이슈를 이용하는 것이 특징입니다. 웨일덱웜 및 변형은  V3 제품 군의 2009.04.17.02 엔진에서Win32/Waledac.worm.419840.F 등으로 진단 및 치료 가능하며 다른 변형들은 Win32/Waledac.worm 등으로 진단 및 치료 가능합니다.

스팸 메일, 그 끝없는 진화에 대하여

“~~님, 주문하신 상품이 잘 접수되었습니다.”, “~~에서 귀하의 신용정보를 확인했습니다.“, “~~님에게 상품권이 도착했습니다.”, “~~님의 보험이 만기일이 다가옵니다.” 이러한 메일을 누구나 한번쯤은 받아보았을 것이다. 우리가 흔히 스팸 메일이라고 부르는 것들 중의 하나이다.

사전에서 스팸(Spam)이라는 단어를 찾아보면 “미국의 호멜사에서 만든 돼지고기 통조림 이름” 또는 “통신이나 인터넷을 통해 무차별적으로 대량 살포되는 광고성 전자메일”이라는 두 가지 뜻이 나온다. 우리가 흔히 먹는 스팸 통조림과 스팸 메일은 어떤 관련이 있는 것일까?

스팸 통조림을 살펴보면 다음과 같은 재미있는 사실을 발견하게 된다.

우리가 흔히 접하는 스팸 통조림은 1937년 한 미국의 회사에서 처음 생산되었다. 이러한 돼지고기 통조림의 이름이 왜 스팸 메일의 어원이 되었을까? 스팸에 사용하는 고기가 아마도 낮은 품질의 고기가 사용돼서 그럴 것이다. 심지어 쓰레기 같은 고기라고 표현하는 이들도 있다. 이러한 이유로 해서 정보로써 아무런 가치도 없이 바로 쓰레기통으로 들어가는 메일들을 스팸 메일이라고 부르게 된 것으로 추측된다.

스팸 메일의 진화를 살펴보기 전에, 먼저 스팸 통조림의 진화를 한번 살펴보자. 최근 들어서 건강을 많이 걱정하는 소비자들이 스팸 통조림을 많이 먹지 않게 되자, 스팸 통조림도 고객의 관심을 끌기 위해 변신을 시도하여 다양한 형태의 변형된 상품을 생산하게 되었다. 지방과 칼로리를 줄인 Spam Lite, 나트륨의 양을 줄인 Spam less Sodium 등. 또한, 최근의 어린이들의 입맛에 맞게 여러 가지 변형시킨 제품들을 다양하게 생산하고 있다.

효과적인 마케팅 수단에서 외면받기까지

그러면, 스팸 메일은 어떤가? 스팸 메일도 끊임 없이 진화하고 있다. 과거에는 광고 메일이 스팸으로 분류되지 않았다. 스팸 메일이 우리 생활에 지장을 초래할 만큼 많지 않은 시절에는 유용한 마케팅 수단으로 사용되었으며 소비자들도 새로운 정보를 받고 가끔 경품도 받을 수 있는 좋은 도구로 활용된 적도 있다.

그러나, 시간이 지나면서 모든 사람들이 메일을 광고나 마케팅에 이용하고, 심지어는 이러한 수단을 통해 금전적인 이득을 노리거나 개인의 정보를 빼앗아 가는 행위에 이용되면서 좋은 기능을 활용하고자 하는 수단까지도 빼앗아 버리게 된다. 그러면서 차차 광고성 메일이 스팸으로 분류되기 시작하고 사람들로부터 외면을 받게 되어 확인도 하지 않고 바로 쓰레기통으로 직행하게 된다.

내가 처음 직장 생활을 시작했던 시절, 우리 회사에서 신비로라는 포털을 처음 만들었는데 홍보를 위해서 전자 메일을 많이 활용했었다. 각종 이벤트 안내를 메일로 보내면, 많은 고객들이 문제를 풀거나 설문에 응답을 해왔고, 그에 대한 보답으로 경품을 받는 경우도 자주 있었다. 지금처럼 인터넷이 일반화되지 않은 시절이었기 때문에 당첨 확률이 꽤 높았던 것으로 기억한다.

지금은 너무나 많은 회사들이 전자 메일을 광고나 마케팅 수단으로 활용하고 있고, 사용자도 그 때와는 비교도 할 수 없을 만큼 많아 졌기 때문에, 좋은 정보를 구분하기도 힘들고 더구나, 경품에 당첨될 확률은 로또 만큼이나 어려워 귀찮은 쓰레기로 밖에 여겨지지 않는 것이 현실이다.

요즘 아파트 입구의 우체통을 보면 각종 학습지 광고나 대출 광고 전단지가 수 없이 널려 있는 것을 쉽게 볼 수가 있다. 전자메일에만 스팸이 있는 것이 아니고, 이러한 광고 전단도 스팸이다. 대부분의 사람들은 이러한 전단지를 보지도 않고 쓰레기통에 넣을 것이다. 그러면, 왜 사람들은 아무도 보지 않는 스팸 메일을 돈을 들여 제작하고, 학생들의 노동력을 착취하면서 전단지 배포를 하는 것일까? 아마도 99명이 전단지를 보지 않고 버리는 반면, 한 명이라도 보는 사람이 있을 것이고 그 때 얻을 수 있는 수익이 스팸을 제작하는데 사용된 비용보다 많기 때문일 것이다.

산넘고 물건너 고객에게 도달하기

전자메일을 활용한 스팸도 마찬가지일 것이다. 대부분의 스팸 메일은 스팸 필터나 각종 보안제품을 통해서 걸러지지만, 그것을 뚫고 고객에게 도달하는 것도 있을 것이고, 더욱 문제가 되는 것은 아직도 이러한 스팸 메일 의 위험성을 인식하지 못하고 아무런 보안제품도 사용하지 않는 사람들이 있기 때문에 쉽게 고객에게 전달되는 경우도 많이 있을 것이다.
또한, 스팸을 발송하는 사람들도 나날이 기술이 늘어서 스팸필터링에 걸리지 않도록 각종 수단을 개발해 내고 있다. (관련글: 안전하게 이메일을 확인하는 방법(1)_이메일 조작) 

스팸 메일들도 스팸으로 분류되지 않고 무사히 고객의 손에 도달하기 위해서 끊임 없는 노력을 하고 있다. 이제는 과거와 같이 개인이 주의를 기울여서 스팸 메일을 구분하고 열어보지 않기를 바라는 것은 거의 불가능 하다. 다양한 형태의 각종 보안 제품들이 스팸으로부터 보호하기 위한 기능을 탑재하고 있으며, 수많은 개발자들이 스팸을 분류하기 위해 지금도 노력하고 있다.

요즘의 스팸 메일은 제목에서부터 메일 수신자가 스팸을 인식하지 못하고, 반드시 메일을 열어 보도록 기발한 아이디어를 동원하고 있다. 과거와 같이 불특정 다수를 대상으로 하는 무차별 메일이 아니고 특정한 사람을 대상으로 정교하게 제작된 메일을 보내기 때문에 받는 사람이 스팸 메일  여부를 알아내기란 쉬운 일이 아니다.

예를 들어, 회사를 다니는 사람들을 대상으로 요즘 같이 경제가 어려운 시기에 “인사팀에서 알립니다”란 메일을 보냈을 때 이것을 스팸 메일 로 생각하고 열어보지 않을 사람은 많지 않을 것이다. 인터넷 쇼핑을 자주 이용하는 사람들을 대상으로는 “주문하신 상품이 품절입니다.”란 메일을 보냈을 경우 실제 인터넷 쇼핑을 이용하는 사람일 경우 한번쯤 메일을 열어보게 된다. 스팸 메일을 발송하는 사람은 각종 정보를 이용해서 메일 수신자의 직업이나 인터넷 이용 습관 등에 관한 정보를 가지고 있기 때문에 이러한 타겟 메일을 쉽게 만들 수 있다.

우리가 아무 생각 없이 각종 인터넷 사이트에 회원 가입을 하면서 제공하는 정보들이 이러한 마케팅에 사용되고 있는 것이다. 물론, 불법으로 개인정보가 유출되는 경우도 있지만, 우리가 알지 못하는 사이에 스스로 정보를 제공하게 되는 경우도 많이 있다.

개인정보가 돈이 되는 시대

세상에 공짜는 없다. 예를 들어, 방송국에서 지나간 방송을 인터넷 사이트에서 보기 위해서는 비용을 지불해야 한다. 비용을 지불하기를 꺼리는 소비자를 대상으로 스폰서 회사에 정보를 제공할 경우 무료로 방송을 볼 수 있도록 해준다. 겉으로는 무료이지만, 스폰서 회사에서 사용자 대신 비용을 지불하고 정보를 사가는 것이다. 소비자가 모르는 사이에 자신의 정보를 제공하게 되는 것이다. (물론 정보제공에 동의한다는 확인을 거치기는 하지만, 이것을 자세히 보는 고객은 드물다.) 이러한 형태의 정보 제공은 우리 주변에 부지기수로 많이 존재한다. 자신도 모르게 제공된 정보가 언제 어디에서 사용되는지 아무도 모르는 시대가 된 것이다.

이러한 현실에서 스팸 메일 이의 피해에 노출되지 않기 위해서 사용자들이 주의를 하는 것만으로 해결이 될까?

전자 메일을 열어 보기 전에는 반드시 안전한 메일인지 확인하는 습관이 무엇보다도 중요하겠지만, 더 중요한 것은 보안 제품을 설치하고 항상 최신의 엔진으로 업데이트하는 것이 더욱 더 중요하다. 이제는 개인의 노력이나 주의만으로는 안될 만큼 스팸 메일은 이미 진화했다는 것을 인식해야 한다. 요즘의 스팸 메일은 메일을 열었을 경우 단순히 필요 없는 정보를 보게 되어 시간을 낭비하는 것뿐만 아니라, 개인 PC에 각종 악성 프로그램을 설치하기도 하고 심지어 개인정보를 빼앗아 가는 경우도 있기 때문에 스팸 메일이 단순히 귀찮은 존재에서 우리에게 위협을 가하는 존재로 변해가고 있는 것이다.

그렇다면, 미래의 스팸 메일은 어떻게 진화할까? 개인을 대상으로 특화된 메일을 보내는 기술이 더 발달될 것이다. 예를 들어, 어떤 사람이 인터넷 쇼핑몰에서 디카를 사려고 검색을 하게 되면, 이 정보를 활용한 메일을 보내서 사용자의 관심을 끌 수가 있다. 또한, 병원 진료 기록과 같은 개인 사생활 정보가 유출될 경우 이 정보를 활용한 메일을 보낼 경우 사용자는 진짜 메일인지 스팸 메일인지 구분하기가 점점 어려워질 것이다.

따라서, 스팸 메일은 우리가 원치 않는 광고성 메일을 전달 받는다거나, 단순한 정보의 제공 차원이 아닌 개인 정보의 유출과 같은 심각한 결과를 초래할 수 있기 때문에 사용자는 메일을 열기 전에 항상 주의를 기울여야 할 뿐만 아니라, 보안제품의 사용을 생활화 해서 위험으로부터 우리 자신을 보호해야 한다.

다음에는 스팸 메일을 통해서 전파되는 피싱과 파밍에 대해 알아보도록 한다.<Ahn>


글 : 소프트웨어연구실 전성학 실장

다양한 이메일 조작 방법과 확인 요령(상)

보안시스템을 무력화하는 가장 효과적인 방법 중의 하나인 이메일에 대하여 알아보도록 하자.

편리하고 빠른 커뮤니케이션의 수단으로 사용되는 이메일은 편리하긴 하지만 대신 보안 문제를 자주 일으킨다. 보안이 강화된 시스템 환경에서도 이메일과 관련된 보안사고가 빈번하게 발생하는 이유는 왜일까?

이는 편지, 소포와 같은 개인메시지 전달 시스템이 주는 아는 사람이 보냈을 것이라고 하는 무의식적 안도감에서 비롯된다. 또한 문제가 생기더라도 메시지를 타인에게 보이고 싶어하지 않기 때문이기도 하다.

메일시스템에 대한 방역 및 악의적 목적의 메일 송신을 차단하는 기법들은 많이 나와있지만 보안시스템이 갖는 치명적인 부작용인 오탐과 미탐에서 자유로울 수 없는 것이 현실이다.

*오탐(false positive): 보안제품에서 정상을 비정상으로 인식함을 의미
*미탐(false negative): 보안제품에서 비정상을 정상으로 인식함을 의미

이번 글에서는 악성코드, 피싱, 스팸 등 이메일의 부작용 등을 알아보고 이를 통하여 이메일을 열기 전 악성 이메일을 판단하고 피해갈 수 있는 방법에 대해 2회에 걸쳐 알아본다.

먼저 메일은 어떻게 작성되고 배달되는지 간략한 예를 통해서 보도록 하자.

[그림1. 명령을 통한 메일 발송법 및 수신된 메일의 예]

메일은 위와 같은 command 명령을 통하여도 발송할 수 있으며 보내는 사람, 받는 사람, 내용물, 우편소인(header)으로 편지와 유사하게 구성됨을 알 수 있다. (명령: telnet [mail server address] [port])

* 메일의 전송에는 메일서버간의 제어명령과 사용자의 메일데이터 부분으로 구분된다.

위 그림에서와 같이 간단한 명령만으로도 메일을 보낼 수 있기 때문에 스패머는 MTA 프로그램을 만들어서 메일을 다량의 메일을 발송할 수 있고 악성코드도 내부코드에 MTA 동작기능을 첨가하여 웜메일 등을 발송할 수 있다.

또한 보내는 사람의 주소, 받는 사람의 주소는 웹크롤러 등을 통하여 손쉽게 수집이 가능하며 대량의 메일 발송에 사용되거나 악성코드에 감염된 시스템의 경우 침해시스템 내에 존재하는 e-mail등의 주소를 수집하여 감염된 메일발송에 이용된다.

*메일제작명령(송신)을 대신하는 프로그램/메일서버를 MTA(Mail Transfer Agent)라고 한다.
스패머는 Mass Mailer라 불리는 MTA를 사용하여 대량의 메일을 보내며 정상적인 광고메일, DM 발송도 이러한 프로그램을 사용한다.

*웹메일서비스, 아웃룩과 같이 메일을 읽고 쓰는데 사용되는 프로그램을 MUA(Mail User Agent)라고 한다.

조작되는 메일의 부분에 따라 어떤 악의적 메일이 되는지 알아보자.

Case 1. 보내는 사람의 조작: 피싱, 스팸 ,악성코드 이메일
Case 2. 받는 사람의 조작: 스팸메일, DoS메일
Case 3. 제목, 내용의 조작: 스팸메일, 피싱메일, 악성코드 이메일
Case 4. 첨부파일 조작: 악성코드 이메일
Case5. 메일헤더 조작: 역추적방해 메일

이번 편에서는 메일의 기본이 되는 Case 1과 Case 2를 먼저 알아보도록 하겠다.

Case 1. 보내는 사람(mail from)의 조작

메일을 읽다 보면 보내는 사람이 친구 이름의 도용 또는 심지어 본인의 이름과 계정으로 들어오는 메일을 보고 황당하게 느껴지는 경우가 종종 있다. 이러한 메일들의 특징은 보내는 사람 부분을 쉽게 조작할 수 있기 때문이며 보내는 사람이 아는 계정인 경우 의심을 적게 한다는 점을 악용하는 경우이다.

그러면 어떻게 보내는 사람이 조작될 수 있을까?

[그림2. 보내는 사람의 조작부분]

위의 그림에 흰색으로 표시된 ‘mail from’(*From 1)은 메일서버가 전달받는 명령으로 수신된 메일에 표기되는 ‘보내는 사람’과 일치해야 한다. 하지만 우측과 같이 메일을 볼 때 표기되는 부분은 아래의 ‘From:’(*From 2)에 기재된 내용으로 메일의 헤더를 보지 않고는 판단하기 어렵게 된다. 이에 따라 발신자 ’포스트잇’ postit@spammerl.cox(*From 1)이 보낸 메일은 ‘유성펜’이라는 받는 사람에게는 친근한 ‘지우개’로 표기되며 회신주소 역시 eraser@stationery.cox(*From 2)으로 변조된 상태로 사용자를 속이게 된다.

이는 메일발송의 구조가 header를 구성하는 송/수신 관련 명령과 mail의 내용부분(위 그림에서의 data 명령 뒷부분)이 분리되어 있기 때문에 발생하게 된다.

(* From 1은 서버가 인식하는 데이터, *From 2는 사용자에게 보여주는 데이터가 된다.)

이는 편지의 겉봉투에 써진 주소와 실제 내용물에 써진 사람은 다를 수 있다는 것과 같다고 볼 수 있다.

 

[그림 3. 메일의 헤더보기]

위 예제에서 볼수 있듯, ‘보내는 사람’을 신뢰하기 어려운 경우 다음과 같이 메일의 헤더를 확인할 수 있다.

확인할 부분:
- ‘Received: from’의 주소가 신뢰할 수 있는 주소인지 확인 한다.
- ‘x-mail-from’의 주소가 자신이 알고 있는 e-mail 주소인지 여부 및 회송이 가능한지 확인 한다.

*그림 3에서 보내는 사람은 spammer.cox(*From 1,From 2)에서 발송하고 있으며 stationery.cox의 이메일 계정(From 3)에서 보낸 것으로 조작되어 있다.

또한 개인메일방역, 스팸 차단프로그램을 사용하도록 하며 웹메일에 접속하여 읽는 경우 주의를 기울여야 한다.

*이러한 경우를 차단하기 위하여 메일서버에는 실제 존재하는 계정인지 체크하는 방식 또는 [ID]@[domain] 중 [domain]의 IP 주소와 메일서버에 접속한 세션의 주소가 일치하는지 체크하는 reverse lookup 기법 등이 있다.

Case 2. 받는 사람(rcpt to)의 조작

다량의 웜메일 또는 스팸메일이 유입 될 때는 특정회사 전체에 들어오게 되는 경우가 많이 있다. 또한 받는 사람을 자세히 보면 일련의 규칙을 가지고 있는 것을 본적이 있을 것 이다. 주로 스팸메일에서 사용되는 방식으로 특정 도메인의 주소에 무작위로 생성된 ‘받는 사람’ID를 붙이는 방식으로 다음과 유사한 방식으로 전달되게 된다.
 

[그림4. 다중 수신자 및 ‘받는사람’의 조작]

위 그림에서 보면 ‘받는 사람’ 명령 부분에 세 명에게 보내는 명령(rcpt to)이 사용되었고 메일에도 세 명의 규칙적인 수신자가 표기 되었다. 이러한 무작위로 생성된 ID는 생성시 원하는 ID가 이미 존재하는 경우 생일, 좋아하는 숫자 등을 붙여서 생성하는 부분을 응용한 부분도 있다.

또한 한 통의 메일로도 대수의 ‘받는 사람’을 생성할 수 있으므로 메일시스템의 부하를 유발하는 DoS메일 공격에도 악용될 수 있다.

이렇게 되어 어머니로 가장한 스패머는 삼형제 모두에게 메일을 보낼 수 있게 되었다.

확인할 부분:
-그룹메일이 아닌 경우 함께 받는 수신자가 정상인지 확인한다.
-수신자가 다수일 경우 a01@x.com, a02@x.com, a03@x.com과 같이 임의로 생성된 경우인지 확인한다.

* 이러한 경우를 차단하기 위하여 메일서버에는 특정 IP에서 한번에 규정치 이상의 메일이 전달되게 되면 차단하는 방법으로 차단하는 기법을 사용한다. 또한 메일 header의 rcpt to가 규정치 이상인 경우도 검출하는 방법을 사용한다.

* rcpt to는 PIPELINE 명령을 제공하는 경우 쉽게 악용되며 각각의 rcpt to를 체크하여 다른 도메인으로 발송하여야 하는 ‘받는사람’ 계정이 존재하는 경우 relay deny를 시키는 방법이 존재한다.

다음 편에서는 나머지 케이스를 실제 전달되는 메일서버(SMTP/POP3)의 내부 동작을 통하여 알아보도록 하겠다.@

안형봉 | 안철수연구소 엔진QA

안철수연구소의 시큐리티대응센터에서 엔진QA를 담당하며 병렬테스트시스템, 컨텐츠배포네트워크시스템(CDN) 개발을 진행하고 있다. 현재 "안랩 칼럼리스트"로 활동하며, 일반인들에게 보안 사건, 사고의 원인을 네트워크단에서 해석한다. 최악의 네트워크상태인 곳에서도 안정성과 속도가 유지되는 배포시스템을 설계하는 아키텍트가 되는 것이 목표로 하고 있다. 많은 실무 경험을 통해 학생들에게 보다 생생한 교육을 할 수 있는 날을 준비하고 있다.

국내의 유명 생명보험 회사의 전산 담당직원으로부터 연락을 받았었다. 사내에서 컴퓨터가 이상해졌다라는 문의가 갑자기 늘었다는 것이었다. 특이하게도 해당 PC에서는 안철수연구소의 웹사이트로 접속이 안 된다는 것이었다. 자사 직원들이 바이러스에 감염된 것으로 느끼고 안철수연구소로 인터넷 접속을 하려고 있는데 그것마저도 안 된다고 하소연을 한 것이었다.

이것은 작년 말부터 최근까지도 맹위를 떨치고 있는 컨피커(Conficker)라는 웜(Worm) 때문에 발생한 문제였다. 이 웜에 감염된 PC는 마이크로 소프트(MS)를 포함해서 보안업체 웹 페이지로 접속을 할 수 없게 만들어서 백신을 통한 치료를 못하게 만든다. 이처럼 악성코드들이 진단과 치료하기를 까따롭게 만드는 형태로 발전하고 있고 해당 웜의 변종이 계속적으로 출현하고 있어서 치료에도 굉장히 어려운 점이 많은 상황이다. 최근에는 마이크로 소프트가 컨피커 웜을 만들어낸 사람을 체포할 수 있는 결정적인 정보를 준 제보자에게 25만 달러의 사례금을 준다고도 밝혔다.

컨피커 웜과 함께 2090 바이러스로도 아주 시끄러웠었다. 게다가 이것들의 변종(2070 바이러스)도 지속적으로 출몰하고 있어서 백신업체들이 더 큰 문제들로 골머리를 앓게 되었다.

변종 바이러스는 무엇?

아주 예전에는 잡지 등에 바이러스 소스가 공개되면서 변종바이러스에 전파에 기여(?)를 한적도 있었다. 최근에는 인터넷 상으로 바이러스 소스가 공개되면서 수 많은 변종을 만들어 내기도 하고 있다. 또는 기존의 바이러스를 분석, 수정해 만들어 내기도 하는데 상당 수의 바이러스가 독창적인 것이 아니라 내부 수치를 약간 수정한 변종으로 판단된다. 또한 생성기 툴들이 공공연하게 퍼지면서 바이러스 제작과 배포를 용이하게 만들었다.

전문가가 아닌 사람도 변종 바이러스를 만들 수 있나?

기존에는 바이러스를 제작하기 위해서 컴퓨터 내부를 깊숙하게 알고 있어야만 했다. 하지만 바이러스 제작자들은 매크로라는 기능을 이용해 좀더 쉽게 바이러스를 제작하고 변종 또한 쉽게 만들 수 있게 되었다.

매크로란 정해진 명령어들을 조합해 새로운 하나의 명령어로 만들어서 실행시키는 방법을 말한다. 이를 이용하면 아주 단순한 기능이 미리 정의된 여러 명령어를 조합해 유용한 기능의 새로운 명령어를 만들고, 하나의 프로그램과 유사한 형태도 만들어낼 수 있다.

매크로 바이러스는 대개 오피스 프로그램의 매크로 기능을 통해서 동작이 되므로 그에 맞는 예방방법도 있다. 아래는 'MS오피스 엑셀 2007' 에서 매크로 바이러스를 예방 할 수 있는 방법이다. 오피스 프로그램에 보안설정이 있다는 것이 재미있지 않은가?

1. 상단 오피스 아이콘을 선택한다.
2. 'Excel 옵션' 을 선택한다.
3. 왼쪽 메뉴의 '보안 센터'를 선택한다
4. '보안 센터 설정...' 버튼을 누른다.
5. 왼쪽 메뉴의 '매크로 설정'를 선택한다
6. '모든 매크로 제외' 중 둘 중 하나를 선택하고 '확인' 버튼을 누른다.

변종 바이러스의 이름은?

만약 같은 바이러스인데 변종으로 판명된 경우 안철수연구소에서는 바이러스 이름 뒤에 숫자 또는 영문자 알파벳으로 사용하는 경우가 있다. 숫자 표시는 바이러스 코드의 크기를 바이트(byte)로 표시하는 것이고, 알파벳 표시는 변종이 발견되는 순서에 따라서 B부터 순차적으로 이름을 붙여나가는 것이다. 이것은 백신업체에서 임의로 정하는 것이므로 백신업체마다 또는 국가에 따라 다를 수 있다.

백신에서도 변종 바이러스는 제대로 치료하지 못한다고 하던데…

이 말은 맞기도 하고 틀리기도 한 얘기라고 볼 수 있다. 근래의 패턴을 보게 되면 바이러스가 나오게 되면 곧바로 백신에 의해서 진단 및 치료가 되게 될 것이다. 바이러스 제작자는 자신의 바이러스가 백신에 의해 진단되는 것을 보고, 기존의 바이러스 코드를 살짝 고쳐서 변종들을 다시 배포를 한다. 이때 기존 제작자 외에 다른 그룹의 사람들까지 합세를 하게 되면 변종 바이러스가 엄청나게 퍼질 수 있게 되는 것이다. 그래서 변종 바이러스의 종류가 많고 빠른 속도로 퍼지게 되고 있을 때 백신에서 그 대응이 늦어진다면 바이러스 진단 및 치료를 못한다는 얘기가 나오는 것이다.

보안업체의 대응능력 차이는 보유하고 있는 바이러스 검사기술에서도 구분을 할 수 있을 것 같다. 바이러스 검사 방식 중 대표적인 것이 시그니쳐(파일 고유값) 검사 방식인데 이 방식으로는 변종을 제때에 잡아내기 힘들 수 있다. 이런 경우는 프로그램 동작방식을 분석해서 감지하는 방법인 행위기반 탐지 기법을 사용하는데 이것은 알려지지 않은 위협 요소로부터 사전에 방어를 함으로서 변종 바이러스에 빠른 대처를 할 수 있다. 하지만 이 진단 방식은 오진 가능성이 높다는 단점이 있어서 백신회사에서는 정밀하게 검사할 수 있는 기술을 갖춰야 한다.

위에서 말한 정밀한 검사기술만큼이나 중요한 것이 보안업체의 빠른 대처능력일 것이다.  보안업체는 365일 24시간 긴급 분석, 대응체계 등을 갖출 필요가 있다. 물론 국내외의 유력 보안업체들은 이미 이런 대응 시스템을 갖추고 있으므로 백신 이용자는 검사능력과 대응능력이 좋은 백신업체의 제품을 사용하라고 추천하고 싶다.

변종 바이러스를 막는 방법은?

변종 바이러스도 기존의 바이러스 또는 스파이웨어에 대한 대응방안과 다를 것이 없다. 컴퓨터 보안수칙을 잘 지키는 것 만이 가장 안전한 길이라고 할 수 있다. 아래는 필자의 회사인 안철수연구소에서 귀가 따갑도록 말하고 있는 보안수칙이다. “꺼진 불도 다시 보자” 라는 유명한 말처럼 시대를 초월해서도 지켜져야 하는 수칙이 있는 것 같다.

 

l  윈도 운영체계는 최신 보안 패치를 모두 적용한다. l  인터넷 로그인 계정의 패스워드를 자주 변경하고, 영문/숫자/특수문자 조합으로 6자리 이상으로 설정한다. 로그인 ID와 PW를 동일하게 설정하지 않는다. l  해킹, 바이러스, 스파이웨어 등을 종합적으로 막아주는 통합보안 제품을 하나 정도는 설치해둔다. 설치 후 항상 최신 버전의 엔진으로 유지하고 부팅 후 보안 제품이 자동 업데이트되도록 하고 시스템 감시 기능이 항상 작동하도록 설정한다. l  웹 서핑 때 '보안경고' 창이 뜰 경우에는 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의하는 '예'를 클릭한다. 잘 모르는 프로그램을 설치하겠다는 경고가 나오면 ‘예’ ‘아니오’ 중 어느 것도 선택하지 말고 창을 닫는다. l  이메일 확인 시 발신인이 불분명하거나 수상한 첨부 파일이 있는 것은 모두 삭제한다. l  메신저 프로그램 사용 시 메시지를 통해 URL이나 파일이 첨부되어 올 경우에는 메시지를 보낸 이가 직접 보낸 것이 맞는지를 먼저 확인하고 실행한다. l  P2P 프로그램이나 인터넷으로 파일을 다운로드 할 때에는 반드시 보안 제품으로 검사한 후 사용한다. 또한 트로이목마 등에 의해 지정하지 않은 폴더가 오픈 되지 않도록 주의한다. l  정품 소프트웨어를 사용한다. 인터넷을 통해 불법 소프트웨어를 다운로드 해 설치하는 경우 이를 통해 악성코드가 설치될 가능성이 높다. l  중요한 자료를 주기적으로 백업해 만일의 상황에 정보를 잃는 일에 대비한다.