왜 백신은 다른 진단명을 가질까 ? ‘Kido’, ‘Conficker’, ‘Downadup’, ‘DOWNAD’는 V3에서 Win32/Conficker.worm.173318 로 진단하는 샘플의 다른 백신 제품의 진단명이다. 악성코드명으로 보면 같은 이름에도 접두어나 변형이 각 업체마다 제각각이라 통일성을 찾기 힘들다. 악성코드 진단명은 왜 회사마다 다르며 통일방안은 없을까?
제각각인 악성코드 진단명 각 백신에서 사용하는 악성코드 진단명이 다른건 업체별로 고유의 악성코드 진단명명법이 있기 때문이다. 크게 악성코드 진단명은 악성코드에 대한 특징을 나타내는 접두어, 악성코드 이름, 변형으로 나뉠 수 있다. 접두어는 회사별로 표시 방식이 다르며 악성코드 진단명은 해당 악성코드를 분석한 분석가가 결정하며 분석가가 다를 경우에 진단명이 달라질 수 있다. 변형은 해당 업체에서 처리되는 순서대로 부여된다.
진단명 통일 시도 악성코드 진단명 통일은 1991년 한차례 이뤄졌다. CARO (Computer Antivirus Researchers Organization) 멤버들이 컴퓨터 바이러스 이름안(computer virus naming scheme)를 만든다. 일부 업체는 이 기준에 따랐지만 새롭게 등장하는 다양한 악성코드를 표현할 수 없는 문제가 발생했고 닉 피츠제랄드(Nick FitzGerald)는 2002년 AVAR 컨퍼런스에서 새로운 진단명안을 마련한다. 마이크로소프트, F-시큐어 등의 업체에서 이 안과 유사한 방식으로 진단명을 짓고 있다.
진단명 통일의 어려움
진단명 통일에는 다음과 같은 어려움이 존재한다.
첫째, 각 회사마다 고유의 명명법이 존재한다. 현재 각 백신업체는 고유의 명명법이 존재하며 공통 진단명을 이용하기 위해서는 표준안이 만들어지고 이 표준안을 모든 업체가 따라야 한다. 하지만, 현실적으로 각 업체는 자신들의 방식을 유지하고 개선하려하고 있다.
둘째, 동시에 발견된 악성코드는 진단명이 다를 수 있다. 명명법 표준안이 만들어져도 결정적인 악성코드 이름이 달라지면 소용 없다. 하지만, 새로운 악성코드가 여러 업체에서 동시에 접수되었을 때 다른 회사가 어떤 진단명을 사용하는지 참고할 수 없다면 제각각인 이름이 정해질 수 있다.
셋째, 한번 정해진 이름을 바꾸기 어렵다. 악성코드 진단명이 한번 정해지면 제품에 반영되고 홈페이지 정보로 올라간다. 필요에 따라 언론에 보도자료로 배포되기도 한다. 한번 정해진 악성코드 이름이 언론을 통해 알려진 경우 혼란이 커져 더더욱 변경하기 힘들다.
넷째, 악성코드가 너무 많이 발견되고 있다. 진단명이 동일해도 하위에 붙는 변형 정보가 달라질 수 있는데 가장 큰 이유는 변형 정보를통일하기 어려울 만큼 현재 악성코드가 너무 많이 발견되고 있다. 따라서, 진단명까지 통일해도 어떤 업체에서는 Foo.C 라고 명명하고 다른 업체에서는 Foo.F라고 지을 수 있다. 어렵지만 가야할 길 대다수의 사용자들은 악성코드명에 크게 관심을 가지지 않는다. 하지만, 악성코드 진단명에 관심을 가지거나 같은 회사에서 여러 백신 프로그램을 사용할 경우 같은 악성코드를 다르게 불러 혼란이 발생할 수 있다. 악성코드 진단명 통일안은 계속 시도되고 있지만 쉽지 않는 것도 현실이다.
악성코드 분석가 차민석
안철수연구소에서 악성코드 분석 및 연구를 하고 있으며 “안랩 칼럼니스트”로 활동 중이다. ‘쿨캣’이라는 필명으로 더 알려져있으며, 보안 업무 외 정치, 경제, 사회, 역사, 상식 등에도 해박한 지식을 갖추고 싶어하는 화려하진 않지만 알찬 30대 미혼 청년이다.
요즘 인터넷을 이용하는 집이라면 누구나 정체 모를 프로그램들이 하나, 둘 정도는 설치되어 있을 것이다. 이런 프로그램들은 어느 날 갑자기 눈에 들어오게 되는데, 사용자들은 당연히 ‘도대체 언제 설치된 것일까?’, ‘나는 웹 서핑 밖에 안 하는데?’라는 궁금증을 갖게 된다. 동영상(?)을 즐겨보는 남동생을 의심해보기도 하고, ‘바이러스가 설치된 것이 아닌가?’ 하고 컴퓨터를 잘하는 컴퓨터 공학과 친구(T –T why?)에게 문의하기도 한다.
지금까지의 경험 상 이런 프로그램들은 대부분 바이러스/웜 종류가 아닌 애드웨어 종류가 많다. 특히, 금전적인 이윤을 목적으로 배포되는 ‘리워드’ 및 ‘안티 멀웨어’, 그리고 ‘검색어 서비스’ 프로그램이 가장 많았다.
그럼 이런 프로그램들은 사용자에게 해로움을 입히는 것일까? 아니다. 누군가 “왜?” 라고 질문한다면, “그렇다면 무슨 피해를 입으셨습니까?” 라고 반문하고 싶다. 본인도 모르게 설치되고, 그냥 둬도 별 탈 없이 컴퓨터를 이용 할 수 있으니까 말이다.
‘애드웨어’는 누구나 피해를 체감 가능하고, 나쁜 프로그램이라는 것에 공감대를 갖고 있는 ‘바이러스/웜’과는 차원이 다르다. 이들은 주로 법의 테두리 내에서 그 빈틈을 노려 이익을 취하려고 하기 때문에 모든 사기가 그렇듯이 매우 교묘하다. 간단히 사례를 들면 다음과 같다.
국내 가짜 백신의 경우 한때 ‘거짓 진단 결과’를 갖고 사용자를 현혹하기도 하고, ‘자기가 설치한 프로그램을 진단하던 경우’ 도 있었다. 이런 행위는 초등학생이 보더라도 악성 행위인 것이 명백하다. 하지만, 국내 ‘스파이웨어 진단 기준 및 사례’가 발표된 이후로 이들도 지속적인 변화를 거쳤고, 최근에는 ‘의도된 오진’을 통해서 사용자들을 현혹하기 시작했다.
[그림 1] 국내 가짜 백신의 의도적인 오진 행위
[그림 1]의 사례에서 볼 수 있듯이 어느 시스템에나 있을 법한 레지스트리 정보를 진단하고 ‘보안 경고창’을 보여주어 사용자의 결제를 유도한다. 역시 사기다.
그러나 이런 경우 업체에서 “우리측 실수이다. 오진은 누구라도 가능하지 않느냐?” 라고 반문할 수 있기 때문에 법적 제재를 받을 수 없다. 현행 법규가 보다 강화되지 않는 이상 이러한 행위는 지속될 것이다.
또 다른 사례로 리워드 프로그램의 경우는 [그림 2]와 같이 쇼핑몰에서 구매하는 금액의 일부를 적립하여 돌려준다고 하는데, 실제 돌려 받는 사람은 희박하다. 이들은 사용자의 돈을 직접적으로 뺏어가는 방식은 아니고, 사용자의 검색 결과를 변조하여 쇼핑몰을 자기네 업체를 통해서 우회 접속되도록 한다. 이 경우 쇼핑몰에서 해당 업체에 일부 수익금을 전달한다.
사용자의 적립금 또한 일정 시일을 지나서도 찾아가지 않는 경우, 프로그램 언인스톨이 발생한 경우 등 여러가지 경우에 업체의 이익으로 돌아간다. 사용자의 직접적인 피해를 입히지는 않지만, 사용자 몰래 부당 이득을 취하고 있는 것이다. 이러한 장점 때문에 동종 업체들은 서로의 제품을 제거하거나 비활성화 하는 과열 경쟁 행위를 하기도 한다.
[그림 2] 쇼핑몰 접속 시 뜨는 적립 창
간단히 살펴본 것과 같이 애드웨어 업체들은 ‘위법’ 이라고 하기에는 어려운 교묘한 방법으로 부당한 이익을 취하고 있다. 쉽게 돈을 벌 수 있기 때문에 많은 업체들이 여기에 뛰어들고 있고, 보다 많은 피해자를 확보하기 위해서 프로그램의 배포 방식 또한 다양화되고 있다.
그럼 이런 프로그램들은 도대체 어떤 경로로 설치가 되고, 왜 사용자들은 알아차리지 못하는 것일까? ‘최근 이들이 배포되는 방식’에 대해서 살펴보고 ‘어떻게 하면 피할 수 있는지’ 알아보자.
과거 애드웨어가 한창 활기를 보이던 시기엔 ActiveX 를 통해 배포되는 것들이 대부분이었다. 그러나 AS(Anti-Spyware, 이하 AS)업체들이 활성화되고, 국내 스파이웨어 진단 기준이 정립되면서 ActiveX 에 의한 배포는 대부분 제약을 받게 되었고, 애드웨어 제작 업체들은 새로운 배포 방식을 찾아나서기 시작했다.
인스톨 프로그램에 포함된 번들을 통해 설치되는 경우 ‘다음’ 만 누르다가는 큰(작은) 코 다침
[그림 3] P2P 프로그램을 통해 설치되는 번들
그 중에 가장 일반적으로 이용되는 방식이 바로 ‘번들 설치’ 방식이다. 번들이란 IT에서 상용 제품을 구매할 때에 무료로 제공해주는 소프트웨어를 의미한다. 예를 들어 노트북을 구매할 경우 운영체제(OS)를 포함해 오피스 프로그램, AV(Anti-Virus, 이하 AV)제품 등 유용한 소프트웨어들을 함께 번들로 제공한다.
원래의 의미는 이처럼 사용자에게 ‘유용한’ 프로그램들을 서비스로 제공하는 것이었으나, 애드웨어 제작 업체들은 이를 악용하여 자사 프로그램들을 번들로 배포하기 시작했다. 그 한 예를 아래의 [그림 3]과 같이 P2P 프로그램의 설치 과정에서 제공되는 번들을 통해 확인 할 수 있다.
위에서 제공되는 번들을 살펴보면, AS 프로그램과 보안 패치 프로그램, IE(인터넷 익스플로러, 이하 IE) 검색어 서비스 2종, 그리고 웹툰 감상 프로그램으로 이루어져 있다. 이러한 번들은 비록 P2P의 기능과 관련성이 거의 없지만, 제품명만 갖고서는 그 기능을 정확히 인식할 수 없기 때문에 다수의 사용자들은 별 생각없이 ‘동의함’ 버튼을 누르게 된다.
파일 다운로드 프로그램을 통해 몰래 설치되는 경우 ‘세상에 공짜란 없다’는 진리다
이와 유사한 방식으로 [그림 4]와 같이 웹 자료실의 다운로드 프로그램이 번들을 설치하는 경우도 있다.
[그림 4] 자료실의 다운로더 프로그램에서의 번들 설치
이 경우는 사용자가 당연히 다운로드 기능만 있다고 생각을 하게 되기 때문에 번들이 함께 설치되는지 인식을 하기도 어렵고, 매번 다운로더가 뜰 때마다 번들 설치를 강요받기 때문에 ‘그냥 설치하고 말지’ 하는 생각을 갖게 만든다.
무료 게임 사이트의 게임 런쳐를 통해 몰래 설치되는 경우 잠깐 즐기려고 치르는 대가치고는…
이 밖의 유사 방식으로는 게임 런쳐를 통한 번들 설치가 있다. 아래의 [그림 5]에 나오는 화면은 국내의 유명 무료 게임 사이트에서 사용자에게 제공하는 ‘게임 정보 페이지’이다.
[그림 5] 무료 게임 사이트에서의 게임 런쳐 설치
위 그림을 보면 게임 시작을 위해서 ‘게임 실행 ActiveX를 실행’ 또는 ‘수동 게임 런쳐 설치’를 유도하고 있다. 런쳐를 설치한 이후 게임을 설치할 때 아래와 같은 창을 만날 수 있다.
[그림 6] 게임 런쳐 프로그램
[그림 6]에 나오는 설치 목록을 보면 단순 게임을 하나 실행 하는데 번들만 무려 7개(자사 번들 2개 제외)를 설치하려 하고 있다. 위의 P2P의 사례와 같이 본래의 기능(여기에선 게임)과는 전혀 무관한 프로그램들이 대부분이다. 더구나 위의 설치 창을 매 게임을 실행할 때마다 띄우기 때문에 귀찮은 사용자들이나 잘 모르는 사용자들은 그냥 설치하게 된다.
대부분은 그냥 "다음", "다음", "다음" 이시지요.
백신에서 이에 대한 대응책은 없는지요?
비용 문제긴 하겠지만 잘 알려진 덤으로 깔리는 스파이웨어는 설치 초기부터 경고를 해주는 것도 좋을 것 같습니다.
....
아, 그에 대한 문의가 쇄도할 수도 있겠네요. - -;
다른 사람의 SMS 메시지를 온라인으로 도청 할 수 있는 프로그램을 제공한다는 메일로 위장하여 확산을 시도하는 웨일덱(Waledac)웜 변형이 4월 16일부터 해외의 일부 지역에서 피해를 입히고 있다는 사례가 보고되고 있습니다.
웨일덱(Waledac)웜 변형은 이메일로 전파되며 메일의 제목은 아래와 같습니다.
Are you sure in your partner's faithfulness? We will teach you to be the master of making love art Now, It's possible to read other people's SMS Are you ready to know the truth? Can your love life be re-ignited? Do you want to test your partner? Now, you can read any SMS messages from any moblile phones Keep a spy eye on your Girlfriends' mobile Have more fun and pleasure in your intimate life. What's Your Hall of Shame. Keep a spy eye on your Girlfriend's mobile Just type the phone numeber and read SMS
본문의 내용에는 ‘You can download new program for reading sms <웹 사이트 링크>’ ‘Read his message <웹 사이트 링크>’ 등이 포함되어 있습니다. 본문의 웹사이트 주소를 클릭하면 30일 간 무료로 다른 사람들의 SMS 메시지를 도청할 수 있는 프로그램을 제공한다는 페이지가 뜨며, sms.exe, trial.exe, smstrap.exe, freetrial.exe, smsreader.exe 중 하나가 다운로드되는데, 이는 웨일덱 웜 파일입니다.
다른 사람들의 SMS 메시지를 도청할 수 있는 프로그램을 제공한다는 페이지
이 웜을 실행하면 Waledac 웜 변형이 실행 될 경우 다음 레지스트리 키를 생성하여 윈도우 시스템의 부팅시 마다 자동 실행되도록 설정되고, PC에 저장된 메일 주소가 외부로 유출되거나 약품 광고 스팸 메일이 발송됩니다.
즉, avi , mov, wmv, mp3, wave, wav, wma, ogg, vob, png, jpg, jpeg, gif, bmp, exe, dll, ocx, clas, msi, zip, 7z, rar, jar, gz, hxw , hxh, hxn, hxd 등의 확장자를 가진 파일을 하드 디스크에서 검색해 메일 주소를 수집하여 외부 특정 IP(인터넷 프로토콜)로 전송을 시도합니다. 또한 수집된 주소로 스팸 메일이 발송이 되는데, 스팸 메일에 존재하는 웹사이트 주소를 클릭하면 남성용 약품 판매 사이트로 연결됩니다.
남성용 약품 판매 사이트
웨일덱 웜은 이스라엘의 가자 지구 침공, 발렌타인 데이, 오바마 대통령 당선, 테러 관련 뉴스 등 잘 알려진 사회적 이슈를 이용하는 것이 특징입니다. 웨일덱웜 및 변형은 V3 제품 군의 2009.04.17.02 엔진에서Win32/Waledac.worm.419840.F 등으로 진단 및 치료 가능하며 다른 변형들은 Win32/Waledac.worm 등으로 진단 및 치료 가능합니다.
국내의 유명 생명보험 회사의 전산 담당직원으로부터 연락을 받았었다. 사내에서 컴퓨터가 이상해졌다라는 문의가 갑자기 늘었다는
것이었다. 특이하게도 해당 PC에서는 안철수연구소의 웹사이트로 접속이 안 된다는 것이었다. 자사 직원들이 바이러스에 감염된
것으로 느끼고 안철수연구소로 인터넷 접속을 하려고 있는데 그것마저도 안 된다고 하소연을 한 것이었다.
이것은 작년 말부터 최근까지도 맹위를 떨치고 있는 컨피커(Conficker)라는 웜(Worm) 때문에 발생한
문제였다. 이 웜에 감염된 PC는 마이크로 소프트(MS)를 포함해서 보안업체 웹 페이지로 접속을 할 수 없게 만들어서 백신을
통한 치료를 못하게 만든다. 이처럼 악성코드들이 진단과 치료하기를 까따롭게 만드는 형태로 발전하고 있고 해당 웜의 변종이
계속적으로 출현하고 있어서 치료에도 굉장히 어려운 점이 많은 상황이다. 최근에는 마이크로 소프트가 컨피커 웜을 만들어낸 사람을
체포할 수 있는 결정적인 정보를 준 제보자에게 25만 달러의 사례금을 준다고도 밝혔다.
컨피커 웜과 함께 2090 바이러스로도 아주 시끄러웠었다. 게다가 이것들의 변종(2070 바이러스)도 지속적으로 출몰하고 있어서 백신업체들이 더 큰 문제들로 골머리를 앓게 되었다.
변종 바이러스는 무엇?
아주 예전에는 잡지 등에 바이러스 소스가 공개되면서 변종바이러스에 전파에 기여(?)를 한적도 있었다. 최근에는
인터넷 상으로 바이러스 소스가 공개되면서 수 많은 변종을 만들어 내기도 하고 있다. 또는 기존의 바이러스를 분석, 수정해 만들어
내기도 하는데 상당 수의 바이러스가 독창적인 것이 아니라 내부 수치를 약간 수정한 변종으로 판단된다. 또한 생성기 툴들이
공공연하게 퍼지면서 바이러스 제작과 배포를 용이하게 만들었다.
전문가가 아닌 사람도 변종 바이러스를 만들 수 있나?
기존에는 바이러스를 제작하기 위해서 컴퓨터 내부를 깊숙하게 알고 있어야만 했다. 하지만 바이러스 제작자들은 매크로라는 기능을 이용해 좀더 쉽게 바이러스를 제작하고 변종 또한 쉽게 만들 수 있게 되었다.
매크로란 정해진 명령어들을 조합해 새로운 하나의 명령어로 만들어서 실행시키는 방법을 말한다. 이를 이용하면 아주
단순한 기능이 미리 정의된 여러 명령어를 조합해 유용한 기능의 새로운 명령어를 만들고, 하나의 프로그램과 유사한 형태도 만들어낼
수 있다.
매크로 바이러스는 대개 오피스 프로그램의 매크로 기능을 통해서 동작이 되므로 그에 맞는 예방방법도 있다. 아래는
'MS오피스 엑셀 2007' 에서 매크로 바이러스를 예방 할 수 있는 방법이다. 오피스 프로그램에 보안설정이 있다는 것이
재미있지 않은가?
1. 상단 오피스 아이콘을 선택한다. 2. 'Excel 옵션' 을 선택한다. 3. 왼쪽 메뉴의 '보안 센터'를 선택한다 4. '보안 센터 설정...' 버튼을 누른다. 5. 왼쪽 메뉴의 '매크로 설정'를 선택한다 6. '모든 매크로 제외' 중 둘 중 하나를 선택하고 '확인' 버튼을 누른다.
변종 바이러스의 이름은?
만약 같은 바이러스인데 변종으로 판명된 경우 안철수연구소에서는 바이러스 이름 뒤에 숫자 또는 영문자 알파벳으로
사용하는 경우가 있다. 숫자 표시는 바이러스 코드의 크기를 바이트(byte)로 표시하는 것이고, 알파벳 표시는 변종이 발견되는
순서에 따라서 B부터 순차적으로 이름을 붙여나가는 것이다. 이것은 백신업체에서 임의로 정하는 것이므로 백신업체마다 또는 국가에
따라 다를 수 있다. 백신에서도 변종 바이러스는 제대로 치료하지 못한다고 하던데…
이 말은 맞기도 하고 틀리기도 한 얘기라고 볼 수 있다. 근래의 패턴을 보게 되면 바이러스가 나오게 되면 곧바로
백신에 의해서 진단 및 치료가 되게 될 것이다. 바이러스 제작자는 자신의 바이러스가 백신에 의해 진단되는 것을 보고, 기존의
바이러스 코드를 살짝 고쳐서 변종들을 다시 배포를 한다. 이때 기존 제작자 외에 다른 그룹의 사람들까지 합세를 하게 되면 변종
바이러스가 엄청나게 퍼질 수 있게 되는 것이다. 그래서 변종 바이러스의 종류가 많고 빠른 속도로 퍼지게 되고 있을 때 백신에서
그 대응이 늦어진다면 바이러스 진단 및 치료를 못한다는 얘기가 나오는 것이다.
보안업체의 대응능력 차이는 보유하고 있는 바이러스 검사기술에서도 구분을 할 수 있을 것 같다. 바이러스 검사 방식
중 대표적인 것이 시그니쳐(파일 고유값) 검사 방식인데 이 방식으로는 변종을 제때에 잡아내기 힘들 수 있다. 이런 경우는
프로그램 동작방식을 분석해서 감지하는 방법인 행위기반 탐지 기법을 사용하는데 이것은 알려지지 않은 위협 요소로부터 사전에 방어를
함으로서 변종 바이러스에 빠른 대처를 할 수 있다. 하지만 이 진단 방식은 오진 가능성이 높다는 단점이 있어서 백신회사에서는
정밀하게 검사할 수 있는 기술을 갖춰야 한다.
위에서 말한 정밀한 검사기술만큼이나 중요한 것이 보안업체의 빠른
대처능력일 것이다. 보안업체는 365일 24시간 긴급 분석, 대응체계 등을 갖출 필요가 있다. 물론 국내외의 유력 보안업체들은
이미 이런 대응 시스템을 갖추고 있으므로 백신 이용자는 검사능력과 대응능력이 좋은 백신업체의 제품을 사용하라고 추천하고 싶다.
변종 바이러스를 막는 방법은?
변종 바이러스도 기존의 바이러스 또는 스파이웨어에 대한 대응방안과 다를 것이 없다. 컴퓨터 보안수칙을 잘 지키는 것 만이 가장 안전한 길이라고 할 수 있다. 아래는 필자의 회사인 안철수연구소에서 귀가 따갑도록 말하고 있는 보안수칙이다. “꺼진 불도 다시 보자” 라는 유명한 말처럼 시대를 초월해서도 지켜져야 하는 수칙이 있는 것 같다.
l윈도 운영체계는 최신 보안 패치를 모두 적용한다.
l인터넷 로그인 계정의 패스워드를 자주 변경하고, 영문/숫자/특수문자 조합으로 6자리 이상으로 설정한다. 로그인 ID와 PW를 동일하게 설정하지 않는다.
l해킹, 바이러스, 스파이웨어 등을 종합적으로 막아주는 통합보안 제품을 하나 정도는 설치해둔다. 설치 후 항상 최신 버전의 엔진으로 유지하고 부팅 후 보안 제품이 자동 업데이트되도록 하고 시스템 감시 기능이 항상 작동하도록 설정한다.
l웹 서핑 때 '보안경고' 창이 뜰 경우에는 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의하는 '예'를 클릭한다. 잘 모르는 프로그램을 설치하겠다는 경고가 나오면 ‘예’ ‘아니오’ 중 어느 것도 선택하지 말고 창을 닫는다.
l이메일 확인 시 발신인이 불분명하거나 수상한 첨부 파일이 있는 것은 모두 삭제한다.
l메신저 프로그램 사용 시 메시지를 통해 URL이나 파일이 첨부되어 올 경우에는 메시지를 보낸 이가 직접 보낸 것이 맞는지를 먼저 확인하고 실행한다.
lP2P 프로그램이나 인터넷으로 파일을 다운로드 할 때에는 반드시 보안 제품으로 검사한 후 사용한다. 또한 트로이목마 등에 의해 지정하지 않은 폴더가 오픈 되지 않도록 주의한다.
l정품 소프트웨어를 사용한다. 인터넷을 통해 불법 소프트웨어를 다운로드 해 설치하는 경우 이를 통해 악성코드가 설치될 가능성이 높다.
l중요한 자료를 주기적으로 백업해 만일의 상황에 정보를 잃는 일에 대비한다.
이연조 | 안철수연구소 프로그래머
안철수연구소에서 인터넷뱅킹 보안 제품을 개발하고 있으며, 현재 “IT 칼럼니스트”로 활동 중이다. 책(Book)과 공(Ball)과 겜(Game)을 좋아하는 영원한 신혼남으로, 밝고 건전한 사회를 만들기 위해서 항상 웃고 다니고 있는 중이다.
2009
년 2월 10일 이른바 2090 바이러스로 인터넷은 뜨거웠다. 시스템 날짜를 2090년으로 변경 하는 악성코드가 퍼지고 이에 발
빠르게 인터넷을 통한 정보 공유는 좋았지만 거기에 과장된 내용이나 잘못된 내용도 함께 퍼졌다. 또 다소 과장된 내용이 일부
언론으로 보도되면서 사람들이 지나치게 겁을 먹거나 혼란을 겪게 된다. 이 글에서는 2090 바이러스를 통해 악성코드와 관련된
정보 전파의 명암을 알아보겠다.
웜의 특징
안철수연구소에서 Win32/AimBot.15872
로 명명한 웜은 Virus.Win32.PureMorph!IK, Win32:PureMorph,
Trojan/W32.Agent.15872.AY, V.WOM.AIMBOT.CC, Trojan/Win32.Crypt.15872.B
등의 다른 진단명도 가지며 흔히 ‘2090 바이러스’ 혹은 ‘2090년 바이러스’로 불린다. 감염된 시스템은 윈도우 시스템
날짜를 2090년으로 변경되고 일부 시스템에서 블루스크린이나 컴퓨터 로그인과 동시에 로그오프 되는 현상이 발생한다.
정보 전파 과정
인터넷을 검색해보면 2009년 2월 9일 오전부터 2090 바이러스에 대한 언급이 등장한다. 시스템 년도가
2090년 1월 1일 오전 10시로 변경되는데 어떤 바이러스냐는 내용이었다. 인터넷을 통해 내용이 빠르게 전파되기 시작한 건
2월 10일 오전으로 이미 전날 국내 백신 업체에서 대부분 엔진 차원에서 대응은 끝난 상태였다.
누리꾼들은 인터넷에 수작업으로 해결하는 방법도 올리기도 했지만 일부 사용자들에 의해 ‘포맷해도 제거되지 않는다’,
‘시스템을 직접 공격한다’ 등의 내용이 올려졌다. 이 내용이 2월 10일 오전부터 ‘걸리며 PC 사망’, ‘PC다운 되는’,
‘치료 불능’ 등의 다소 자극적인 제목과 포맷해도 사라지지 않는다는 사용자들이 잘못 올린 내용이 기사화되었다. 또한 다소 과장된
기사는 라디오 방송 등으로 알려지면서 사용자들의 공포가 극대화 되었다. 백신 업체에서도 상세 분석을 통해 2009년 2월 10일
보도자료가 나왔고 사용자들 사이에서도 2090 바이러스와 관련해서 과장된 게 아니냐는 우려가 나왔다. 하지만, 소문은 계속
확산되어 밤 10시경에는 한 포털 실시간 검색어 1위에 오르는 기염(?)을 토하기도 한다. 이후 안철수연구소 등 백신업체에서
전용 백신이 나오고 웜이 접속하는 주소도 차단되면서 공격자의 명령을 수행하지 못해 악성코드 전파도 한계에 이르고 관련 내용도
진정되었다.
2월 11일부터 2090 바이러스의 피해가 크지 않았으며 부정확한 내용이 증상에 대해 과장하고 불안 심리를 조장했다는 기사가 등장한다.
잘못 알려진 내용들
이 웜과 관련된 대표적 과장 혹은 잘못된 정보는 다음과 같다.
- 롬 바이오스(ROM-BIOS)나 CMOS에 상주해 포맷해도 치료되지 않으며 시스템을 직접 공격한다. - 감염되면 치료 방법이 없다. - 변형이 10개가 넘는다. - 보안취약점을 이용하며 마이크로소프트사에서 보안 업데이트를 준비 중에 있다.
첫째, 롬 바이오스(ROM-BIOS)나 CMOS에 상주해 포맷해도 치료되지 않으며 시스템을 직접 공격한다.
가장 많은 사용자들이 오해한 부분으로 실제 사용자들이 웜에 감염되고 시스템을 포맷 후 다시 감염되는 일이 발생해
발생했다. 이는 이 웜의 전파 경로를 알면 오해가 풀린다. 이 웜은 인터넷, 이동식 디스크 등으로 전파된다. 따라서, 감염되어
포맷 후 윈도우를 설치하거나 설치 후 취약점이 해결되지 않은 채로 인터넷에 접속만 되어 있어도 다시 감염되거나 이동식 디스크를
사용할 경우 재 감염될 수 있다. 이 때문에 포맷해도 치료되지 않는다는 소문이 돈 것으로 보인다. 또 포맷해도 사라지지 않으니
그 원인으로 롬 바이오스나 CMOS에 감염된 게 아닐까 하는 추측 성 내용이 사실로 알려진 것으로 보인다.
변종이 10개가 넘는다는 얘기의 정확한 출처는 알 수 없지만 치료가 되지 않는 원인을 새로운 변형의 등장으로
오해해서 발생했거나 다른 Win32/AimBot.worm 변형을 오해 한 것으로 보인다. 2009년 2월 16일 현재까지 추가
변형은 2월 13일 발견된 Win32/AimBot.worm.15872.B이 전부이다. 계속 변형이 등장해도 윈도우 업데이트가
되어 있으면 예방이 가능하며 백신에도 곧 추가될 것이다.
넷째, 마이크로소프트사에서 보안 업데이트를 준비 중이다.
웜이 처음 등장했을 때 자세한 전파 경로가 알려지지 않아 일부 사용자들이 미공개 취약점을 이용한 게 아니냐는 추정과
그럼 마이크로소프트사에서 핫 픽스가 나올지도 모른다는 얘기가 돌았다. 또 초기에 콘피커
웜(Win32/Conficker.worm)과 혼돈되어 일부 사용자들은 콘피커 웜 전용 백신을 치료 프로그램이라고 올려 두기도
했다. 이후 웜의 전파 경로가 이미 2008년에 보안 업데이트가 나온 MS08-067 등으로 밝혀진다.
결론
과거에도 새로운 악성코드가 등장하면 과장되거나 잘못된 내용이 종종 나왔다. 이번 2090 바이러스도 그 연장으로 볼
수 있다. 백신 업체로 접수된 실제 피해는 미미했지만 2090 바이러스가 얼마나 퍼졌고 감염되었는지는 아무도 정확히 알 수는
없다. 많은 사용자들이 감염되고 포맷 후 윈도우를 다시 설치했을 가능성도 있다. 하지만, 확산보다 소문이 더 빨랐을지도 모르고
특히 ‘포맷해도 치료되지 않는다’, ‘시스템에 직접 문제를 일으킨다’ 등의 잘못된 정보는 웜의 확산 속도보다 공포감을 배로 한
건 부정할 수 없을 것이다.
하지만, 누리꾼들이 전용 백신이 등장하기 전 치료 방법 등을 공유한 점, 인터넷을 통해 너무 과장된
게 아니냐는 자성의 목소리 등은 인터넷을 통한 정보 공유의 긍정적인 면으로 보인다. 향후에도 유사한 악성코드 확산이 발생할 때
지나치게 과장된 듯한 내용은 퍼 나르기 전에 한번쯤 의심하고 보안 업체 등 신뢰할 수 있는 곳에서 공식 확인된 내용인지 살펴보는
습관이 필요할 것으로 보인다. 물론 최신 버전의 윈도우 업데이트와 최신 백신 프로그램을 적용하고 올바른 보안 습관을 가지는 건
더욱 중요한 일이다.
이 웜에 감염되면 윈도 시스템 날짜가 2090년 1월 1일로 바뀌고, 일부 시스템(서비스팩3)에서는 컴퓨터 로그인과 동시에 로그오프가 되는 현상이 발생합니다. 또한 윈도 시스템 폴더에 랜덤한 7자리 숫자 파일을, Temp 폴더에 랜덤한 5자리 숫자의 sys 파일을 생성하기도 합니다. 감염 후에는 포르노사이트 등 특정 사이트로 접속 후 대기합니다.
이 웜은 윈도우 서버 서비스 관련 취약점(MS08-067)또는 오래전에 알려진 RPC DCOM (MS03-039) 취약점을 이용하였으며, 스스로 전파하는 기능은 없고 특정 호스트에 접속후 공격자의 명령에 의해서만 취약점을 이용하여 전파 되는 것으로 추정됩니다. USB의 autorun.inf 파일을 이용하기 때문에 만약 감염된 USB를 컴퓨터에 꽂으면 자동으로 감염되기도 합니다. 또한 네트워크로도 확산, 기업·기관 등에 피해가 확산될 우려가 있습니다.
- 스마트폰, IPTV, VoIP 겨냥 공격 가시화 - 메신저, SNS, 메일 계정 탈취 악성코드 급증 - 봇넷 기반 국지성 공격, 취약점 제로 데이 공격 증가
안철수연구소(대표 김홍선 www.ahnlab.com)는 15일 ‘2009년 7대 보안 이슈 예측’ 자료를 발표했다. 이에 따르면 2009년에는 ▶IPTV, VoIP 겨냥한 공격 가시화 ▶스마트폰용 악성코드 이슈화 ▶메신저, SNS, 메일 계정 탈취 악성코드 급증 ▶봇넷 기반 국지성 공격 증가 ▶취약점을 이용한 제로 데이 공격 증가 ▶웹 해킹 통한 악성코드 유포 기승 ▶악성코드의 자기보호 기법 지능화 등의 위험이 예상된다.
1) IPTV, VoIP 겨냥한 공격 가시화
IPTV와 VoIP(IP텔레포니)가 대중적으로 보급됨에 따라 이를 겨냥한 공격이 본격화할 것으로 전망된다. IPTV의 경우 셋톱 박스에 악성코드가 감염돼 작동이 안 되거나 서버가 DDoS 공격으로 다운되는 일이 발생할 수 있다. 또한 인증 오류로 인가받지 않은 콘텐츠 사용이 허용되는 문제도 발생할 것으로 보인다. VoIP의 경우 DDoS 공격으로 서비스가 중단되거나 서비스의 데이터가 위변조될 가능성이 있다.
2) 스마트폰용 악성코드 이슈화
스마트폰 사용자가 증가함에 따라 스마트폰 OS에서 동작하는 악성코드의 피해가 현실화할 것으로 전망된다. 심비안, 윈도 모바일 등의 OS에서 작동하는 악성코드는 이미 나와 있으며, 아이폰과 구글폰의 경우 취약점을 이용하거나 비정상적 작동을 유발하는 해킹 등이 등장했다. 구글폰의 경우 오픈 플랫폼 자체가 보안에 취약할 수 있다. 아이폰의 경우 이미 다양한 해킹 방법이 등장했으며, 아이폰용 프로그램을 제작할 수 있는 SDK(Software Developer's Kit; 소프트웨어 개발 도구)가 배포돼 악성코드가 만들어질 가능성이 높아지고 있다.
3) 메신저, SNS, 메일 계정 탈취 악성코드 급증
작년에 몇 차례 메신저와 포털 메일의 로그인 계정을 빼내는 악성코드가 등장했고, 올해 급증할 것으로 보인다. 이런 악성코드는 스피어 피싱이나 스팸성 사기 메일로 유포되는데, 작년까지는 영어 메일이 대부분이었으나 올해는 한글 메일로 사용자를 더욱 쉽게 현혹할 것으로 보인다. 메신저와 포털, SNS까지 동일한 계정이 적용되는 환경에서는 스팸, 광고성 댓글 및 방명록 작성은 물론 메신저 대화 상대를 노린 사기 범죄가 발생할 가능성이 높다.
4) 봇넷 기반 국지성 공격 증가
봇넷(BotNet)이란 악성코드에 감염된 여러 컴퓨터가 연결된 네트워크를 말한다. 이런 네트워크를 기반으로 DDoS(분산서비스거부) 공격과 스피어 피싱(Sphere Phishing) 메일, 스팸성 사기 메일이 기승을 부릴 것으로 전망된다. DDoS 공격은 지난해 게임 아이템 거래 사이트, 금융권 사이트를 겨냥해 빈발했으며, 공격을 멈추는 대가로 돈을 요구하는 범죄에 이용됐다. 스피어 피싱은 특정 조직이나 인물을 겨냥해 신뢰할 만한 대상인 것처럼 속여서 메일을 보내는 공격이다. ID와 비밀번호를 입력하거나 악성코드를 다운로드하도록 가짜 사이트로 유도하거나 취약점이 담긴 문서 파일을 보내 정보를 빼낸다. 이런 일련의 공격은 PC 단위에서 보안을 철저히 하지 않으면 대규모 공격의 진원지로 악용될 수 있다는 것을 의미한다.
5) 취약점을 이용한 제로 데이 공격 증가
취약점 발견과 이에 대한 공격의 시차가 거의 없는 제로 데이 공격이 더욱 활발해질 것으로 예상된다. 2008년 하반기에 MS08-067과 MS08-078 취약점을 이용한 제로 데이 공격이 큰 파장을 일으킨 바 있다. 특히 MS사의 OS나 응용 프로그램 외에 플래쉬 플레이어 등 대중적인 소프트웨어의 취약점도 공격의 목표물이 될 것으로 전망된다. 취약점을 공격하는 악성코드가 자동화한 공격 도구에 탑재돼 누구나 쉽게 사용할 수 있일도 계속 증가할 것이다.
6) 웹 해킹 통한 악성코드 유포 기승
웹 취약점을 이용한 웹 해킹과, 해킹된 웹사이트를 통한 악성코드 유포는 2009년에도 매우 큰 위협이 될 것으로 예측된다. 현재 우리나라는 보안에 취약한 다수의 웹 서버가 별다른 방어책 없이 인터넷에 연결돼 있는 상태이다. 웹 서버의 보안성은 시간이 지나도 높아질 것 같지 않아 피해는 올해도 증가할 것으로 보인다.
7) 악성코드의 자기보호 기법 지능화
악성코드는 발각되지 않고 가능한 한 오래 생존하고자 자기 보호 기법을 고도화하고 있다. 2008년 초에 알려진 MBR 루트킷과 런타임, 시베리아2 등의 웜이 대표적이다. 올해도 은폐 기법을 비롯해 보안 프로그램 무력화, 가상 머신 탐지, 분석을 방해할 목적의 코드 난독화, 탐지 회피 등을 사용한 악성코드가 다수 등장할 것으로 예측된다.
안철수연구소 ASEC(시큐리티대응센터) 조시행 상무는 “새로운 IT 환경이 등장해 대중화하는 시점에는 해커의 공격 타깃이 되는 때이다. 특히 네트워크, 인터넷으로 PC나 모바일 기기가 연결된 환경에서는 감염자가 피해자이자 동시에 공격자가 될 수 있으므로 보안에 대한 각별한 주의가 필요하다.”라고 강조했다.
D동료 : 선임님은 실력이 대단하시죠. 인자하고 편해서 친근감이 있어요. 그래서 권위적이지 않고 좋아요. (옆에서 "다 듣고 있어~"하며 업무를 진행하시던 심선영 선임님 헤헤헤 ^^)
-----------------------------------------
보리 :우선, 회사 내 ASEC팀에서 무슨 일을 하고 계신가요?
심선영 선임연구원 : 네트워크 보안 관련된 모든 일을 하고 있어요. 특히 분석 장비 관련, 즉, UTM이나 IPS, TG 관련 일을 하죠. 그 외에도 V3 내 네트워크 개인 방화벽 기능을 지원해요. 아, 여기서 '지원'한다는 것은 즉 컨텐츠를 제공한다는 거에요. 시큐리티 이슈에 대한 웜(Worm) 등을 분석하고 그 탐지 패턴을 만들어서 우리 안철수연구소 제품들에 업데이트 하는데, 그러한 컨텐츠 제공을 말하는 거랍니다.
보리 : 저는 이공계 전공자가 아니라 그런지, 이해하기 좀 어렵네요 ㅠㅠ 쉽게 좀 말씀해 주세요 ^^
심선영 선임연구원 : 쉽게 말해서 네트워크 상에 웜(Worm)이 발생하면 그것을 분석해서 대응하고, 우리 제품군에 업데이트 하는 일을 하는 거에요.
보리 : 아, 네 (^^ - 보안의 각 일은 인문계인 저로서는 어려운 정석을 푸는 것 같은 ㅠㅠ)
-----------------------------------------
보리 : 대학 때 전공은 어떻게 되세요?
심선영 선임연구원 : 저 때는 '컴퓨터정보통신공학부'였는데, 요즘은 그 과가 전자정보통신학부로 많이 바뀌었더라구요.
-----------------------------------------
보리 : 분석가가 되신 동기 및 계기는 무엇인가요?
심선영 선임연구원 : 원래 네트워크하고 임베디드 소프트웨어를 개발하려고 했었죠. 그런데 대학교 때 논문을 쓸 때, 보안에 개인적인 관심이 있었서 보안 관련 논문을 썼어요.
사실 네트워크를 하느냐, 보안을 하느냐가 문제였는데 둘 중 하나를 고르다 보니 '보안'이 멋잇어 보이고 희소성이 있잖아요.
특히 그 당시에 영화 <네트(Net)> 를 봤는데 여 주인공인 산드라 블록이 해커 역할이더군요. ^^ 여성으로서 '분석가'가 되는 것이 멋있고 희소성이 있는 것 같이 느껴졌어요. 특히 여성으로서는 더욱 희소성이 있겠죠. 그런데 사실 실무를 하다보니 영화같이 분석이 눈깜빡할 사이에 이루어지지는 않더군요 (하하)
-----------------------------------------
보리 : 안철수연구소에 들어오신 계기는 무엇인가요?
심선영 선임연구원 : 진로 결정시 5개 보안 회사들을 고려 했었어요. 시큐어 네트웍스라는 회사 아세요? 거기서 일하다가 국내 최대 정보보안 업체인 안철수연구소에 경력자로 들어오게 되었죠.
-----------------------------------------
보리 : 여기 안랩에서 일하신지는 얼마나 되셨어요?
심선영 선임연구원 : 3년이요.
-----------------------------------------
보리 : 팀에서 유일한 여자 분석가신데, 남자 팀원들 사이에서 홍일점으로 겪는 고충사항이 있으세요?
심선영 선임연구원 : 음.. 불편함은 없는 것 같구요. 여자와 남자의 조금 다른 게 있다면, 바로 관심사가 다르다는 점이죠. 예를 들어서 남자 팀원들이 전부이다 보니 점심 시간에 점심 메뉴를 정하면 모두 국밥 같은것만 먹으러 가고싶어하죠 ㅋㅋ 근데 여자들은 왜 수다 좋아하고, 커피 좋아하고 그러잖아요 ^^ 그런 점들 빼고는 없어요 ^^
사실 남자들이 많은 팀에서 분석가로서 일을 하다 보면, 스스로의 중성화가 필요해요. 새침하면 누가 같이 일을 하고 어떻게 동료애가 생기겠어요. 스스로의 중성화가 필요한 거죠. 사실 여기 와서 이미 오래 전에 많이 '남성화'되었어요. (하하) 가끔 제가 스커트를 입고 회사에 오면, 동료들이 성 정체성을 잃어가고 있냐며 농담을 하죠. (ㅋㅋ)
-----------------------------------------
보리 : 여성 분석가로서의 장점이 있을까요?
심선영 선임연구원 : 바로 '꼼꼼함'이에요. 분석가는 꼼꼼함이 필요하거든요. 여자들이 남자들보다 좀더 꼼꼼한 면이 있잖아요. 바로 그 '꼼꼼함'이 장점이 되는 것 같아요.
-----------------------------------------
보리 : 분석가로서 겪는 힘들었던 점은 무엇이었나요?
심선영 선임연구원 : 사실 여성이든 남성이든 그 문제를 떠나서, 이 분석 실무 자체가 몇년 딱 배우고 할 수 있는 일이 아니에요. 매일 악성코드가 수없이 변종이 나타나고 있고, 저희도 저희 스스로 공부를 게을리 할 수가 없어요. 매일 새로운 것들이 수없이 등장하기 때문이죠.
예를 들어서, 어느 날 갑자기 이전에 없던 PDF파일과 관련된 악성코드가 등장하면 PDF 파일의 속성과 포맷을 알아야 그 분석을 할 수 있죠. 그런데 PDF에 대해서 아무 것도 모른다고 가정해 보세요. 어떻게 분석을 할 수 있겠어요. 그러니 저희 분석가들은 매일매일 최신 트렌드를 익혀야 하고 항상 새로운 것들을 공부해야 일할 수 있답니다. 악성코드들이 신종으로 다량 출현하는 만큼, 저희들도 스스로의 공부를 계속 업데이트 해야 해요.
아, 또 힘든 점이 생각났어요. 지인 또는 고객이 제가 분석가라는 이유만으로 PC에 관한 모든 질문들을 저에게 하는데요. 예를 들어 PC가 갑자기 안 켜진다거나 하는 하드웨어적인 질문들도 하시지요. 그런데 분석가라고 컴퓨터에 대해서 다 알겠어요? 제가 모르는 증상까지도 물어보면서 그 대답을 못하면 모른다고 뭐라고 그러고 ㅠㅠ (회사 내 이런 개발자 분들을 많이 본 저, 보리, 로서는 참 안쓰러운 마음이 들었답니다 ^^)
또 있어요. 고객들이 패킷을 보내서 분석을 많이 하는데, 패킷이 엄청 양이 많은 게 가끔 있는데, 몇천개를 열어보는 것만으로도 시간이 굉장히 걸리거든요. 파일 여는 데만 10분, 20분 걸리는데, 그걸 열고 분석해야 하는데 고객들이 왜 더 시간을 단축해서 분석하지 못하느냐고 불평하시거든요. 파일을 열고, 분석하고, 신종 악성코드와 같이 저희 도 모르는 파일 포맷, 속성이 있을 때는 저희도 공부를 해서 분석해야 하는데요.
계속 신종 악성코드가 매일매일 출현하고 있고, 중국발 해킹으로 수없이 악성코드 및 보안 트렌드도 변화하고 있으니 저희로서도 마음은 빨리 분석하고 싶지만, 엄청난 파일을 여는 데에도 시간이 많이 걸린다는 걸 알아주시고. 분석하기 위해 많이 노력하고 있는데 조금 시간이 걸린다는 것도 고객분들께서 부디 이해해 주셨으면 해요. (선임님의 그 표정에서 '간절함'이 담뿍 묻어 나왔다)
-----------------------------------------
보리 : 그렇다면 분석가로서 느끼는 보람이 있으신가요?
심선영 선임연구원 : 가장 먼저 남들이 인식조차 못하고 있는 보안의 중요성을 깨달을 수 있죠. 또한 누구보다 먼저 보안 이슈 및 보안 정보를 알 수 있어 좋아요.
또, 내 손으로 직접 악성코드를 분석해서 제품에 적용해서 여러 사람들, 여러 고객들의 보안을 책임지고 그들에게 도움이 된다는 자부심도 있죠.
-----------------------------------------
보리 : 업무하시다가 재미있었던 에피소드가 있으신가요?
심선영 선임연구원님 : 분석 업무이다 보니 위험성이 있는 악성코드를 직접 다루어야 하잖아요. 악성코드 분석을 하다가 URL을 잘못 눌러서 야한 성인 사이트로 자동 유도된 적이 있어요. 제가 여자니까 더 민망해 죽는 줄 알았죠. (하하) 그런데 동료 팀원들이 다 남자이다보니 그 당시 제 모니터를 보고 제가 일부러 그런 사이트에 간 것으로 오해도 하고, 놀리기도 하고... (ㅋㅋㅋㅋㅋ)
-----------------------------------------
보리 : 여성 분석가로서 선임연구원님이 생각하시는 여성파워에 대한 생각이 궁금해요.
심선영 선임연구원 : 요즘 관련 학부에 여자들이 얼마나 있는지는 잘 모르겠네요. 그런데 일반인들은 '분석가'에 대해서는 잘 몰라요. 그에 반해 개발자 또는 엔지니어에 대해서는 잘 알려져 있죠.
이쪽 분석 관련 스펙을 가진 사람들이 많이 없는데, 특히 여자 분석가들은 더 없어요. 아마 어렵다고 생각해서 분석 업무에 지원하지 않는 것일 수도 있고. 보안 취약점을 분석하려면 어떤 최신 장비와 최신 소프트웨어들에 대해서 잘 알아야 하는데, 여자들은 아무래도 새로운 기계에 대한 관심도가 떨어지기 때문에 여자 분석가들이 더 적은 것 같기도 해요. 혹은 분석가로 일하려면, 밤샘 작업이 많아요. 고객을 만나 직접 분석 샘플을 채취하러 외부에 나가는 일도 있구요.
보리 : 네.. 그러면 아무래도 밤샘 작업같은 건 여성들의 몸, 호르몬 등에 좋지 않으므로 여성 분석가들은 적을 수밖에 없겠군요.
심선영 선임연구원 : 그쵸. 분석 업무는 3교대로 이루어지는데 여성은 밤샘 작업에서도 빼줘요. 몸이 안 좋으니까요. 여자는 육체적 제약이 있고, 나이 제한도 있는 것 같아요. 아무래도 나이가 들면서 체력적으로 힘드니까요. 또 결혼하면 가정 문제도 있고. 가끔 장비도 날라야 하는데 그것도 문제고.
보리 : 네.. 그럼 미래 여성 분석가들을 위한 조언을 해 주시겠어요?
심선영 선임연구원 : 여성 후배들에게는 어렵지만 해볼만한 매력있는 일이라는 말도 하고 싶네요.. 아까 말씀드린 불편한 점들 때문에 때로는 여성이 불리하다는 생각을 가질 수도 있지만 분명히 여성 특유의 꼼꼼함 등의 강점이 있고, 단점을 보강할 수 없다면 대신 강점을 키워서 자신만의 특화된 분야로 승부를 걸 수도 있다고 봅니다. 하하하.. 저도 그럴려고 노력하고 있는데.. 아직 잘 되지는 않지만...
이 분석가라는 직업에서 제가 생각하기에 가장 필요한 것은 "인내심"과 "재치"라고 생각하는데 취약점 분석이나 악성코드 샘플 분석은 한번에 먼가 째려만 봐도 문제가 튀어나오는 것이 아니라 수많은 노가다성 시행착오를 거친 결과이기 때문에 결과를 얻기까지 이를 참아내는 "인내심"이 무엇보다도 필요합니다. 또한, 보안이라는 분야는 매우 다양한 지식과 경험을 요구하지만, 풍부한 지식과 경험이 있다 할지라도 다르게 생각하는 적절한 "재치" 하나가 어려운 문제를 쉽게 풀 수 있는 키를 제공하는 경우가 많습니다. ^^*
막연히 어렵게만 생각되는 분야지만 희소성이 있어서 보다 가치있는 사람으로 인정받을 수 있는 기회도 주어지는 분야이기에 많은 여성분들이 도전해봤으면 하는 바램이 듭니다.
- MS08-067 취약점, USB, 공유폴더 통해 전파..보안 패치, 통합백신 사용 등 필요
안철수연구소(대표 김홍선 www.ahnlab.com)는 이동식 디스크인 USB 등 다양한 경로로 전파돼 인터넷 장애를 유발하는 악성코드인 콘피커 웜 변형(Win32/Conficker.worm.173318)이 7일 오전부터 급속 확산되고 있다고 경고했다.
안철수연구소는 전용 백신(http://kr.ahnlab.com/dwVaccineView.ahn?num=80&cPage=1)을 긴급 개발해 무료 제공 중이다. 현재 국내외 백신 대다수가 진단/치료를 못 하고 있는 가운데 안철수연구소의 전용 백신 V3Kill(V3conficker.exe)만이 정상적인 진단/치료를 할 수 있다. 또한 계속 변종이 만들어지고 있기 때문에 주의가 필요하며, 안철수연구소는 전용 백신을 지속적으로 업데이트할 예정이다.
콘피커.173318 웜은 MS사의 운영체제인 윈도의 MS08-067 취약점을 악용한 악성코드로 원형은 지난해 10월에 발견됐다. 콘피커.173318 웜에 감염되면 네트워크 트래픽에 과부하가 발생해 인터넷 속도가 느려진다. 보안 업체나 MS사 등의 웹사이트 접속이 안 되기도 한다. 또한 백신의 진단/치료를 회피하기 위해 컴퓨터의 실행 프로세스를 변경하며, 웜 파일이 삭제되지 않도록 보안 설정을 변경해 일부 백신의 진단/치료 기능을 무력화한다.
이 웜은 세 가지 경로로 전파되기 때문에 확산력이 매우 강하다. 즉, MS08-067 취약점이 있는 컴퓨터를 원격으로 찾아 감염시키고, USB와 특정 폴더(관리 목적의 공유 폴더)를 통해서도 전파된다. 콘피커.173318 웜은 특정 폴더에 자신을 복사하기 위해 11111, abc123, admin 등 다양한 패스워드를 대입해보고 사용자가 설정한 값과 일치하면 관리자 권한을 얻어 해당 폴더에 자신을 복사한다.
사용자는 콘피커.173318 웜의 피해를 예방하기 위해서 MS08-067에 대한 보안 패치를 설치해야 한다. 또한 ‘V3 365 클리닉’ ‘V3 IS 2007 플래티넘’처럼 백신과 PC 방화벽이 통합된 보안 제품을 설치해 최신 버전으로 업데이트하고 실시간 감시 기능을 사용하는 것이 안전하다. PC 로그인 패스워드를 예상하기 어려운 복잡한 조합으로 설정해두고 네트워크 방화벽이나 PC 방화벽에서 445번 포트를 차단하는 것도 필요하다.
안철수연구소 시큐리티대응센터 조시행 상무는 “현재 MS08-067 취약점을 이용한 악성코드는 현재 20개가 넘게 발견되었다. 주로 인터넷 장애를 유발하므로 피해 범위가 광범위하다. PC 사용자 모두 보안 패치 설치와 보안 제품 사용 등을 생활화해야 피해를 막을 수 있다.”라고 강조했다.
페이지에서도 제공되고 있습니다. 
댓글을 달아 주세요
악성코드 명이 통일된다고 해서 이점이 많이 있는것인가요?
또한 단점은 뭐가 있을지 궁금합니다^^;;
통일된다면 시간과 노력이 많이 통일 될 수 있겠죠. 예를 들어 감기를 누구는 치통이라고 부르고, 누구는 골절이라고 부른다면 얼마나 많은 혼선이 있겠어요 ㅎㅎ 호환성의 관점에서 보면 쉬울 듯 합니다. 좋은하루 되세요~
뭐.. 진단명 그리 관심 가질 필요 있나요.. 사용자 입장에선 치료가 됬나 안됬나가 더 중요하죠 뭐..
네 ㅎㅎ 그말씀도 맞는 말씀입니다. 하지만 더 빨리 치료해서 사용자님들의 불편함을 덜어드리기 위한 방안 중 하나라고 봐주시면 감사하겠습니다. 좋은하루 되세요~