2007년에 엄청난 악성코드가 발견된다. 집계 방법이나 업체 통계에 따라 다르지만 2006년까지 발견된 악성코드가 약 23만개 정도로 추정되는데 2007년에만 50만개 이상 발견되어 지난 20년간 발견된 모든 악성코드보다 2007년 한해 발견된 악성코드가 많은 것으로 보고되고 있다.
악성코드 배포 방법도 웹사이트 해킹 후 악성코드를 숨겨두고 사용자가 해당 웹사이트를 접속할 때 설치되도록 하는 방법이 대세를 이룬다. 이동 저장 매체(Removable Storage Media)인 USB 플래쉬메모리, 외장형 하드디스크 등이 널리 사용되면서 이를 통해 전파하는 악성코드도 증가한다.
악성코드 제작이 금전적 목적으로 바뀌면서 사이버 블랙 마켓을 통해 악성코드 소스나 알려지지 않은 취약점이 고가에 거래 되기도 한다. 악성코드의 은폐 기법도 고도화되며 애플리케이션 취약점 공격도 다양화 된다.
1월 윈도우 비스타(Windows Vista)가 출시된다. 윈도우 비스타는 향상된 보안 기능으로 더 이상 백신 프로그램이 필요 없을 수 있다고도 얘기되었지만 윈도우 비스타의 보안 기능 무력화에 대한 악성코드 연구도 활발하게 진행된다. 윈도우 비스타용 악성코드 제작이 드문 건 기존 악성코드 중 상당수가 윈도우 비스타에서 문제 없이 실행되는 것 뿐 아니라 윈도우 비스타의 더딘 보급으로 악성코드 제작자들이 윈도우 비스타에서만 활동하는 악성코드 제작에 큰 흥미를 못 느낀 점도 영향이 있는 것으로 보인다.
미국 40세 여교사인 줄리 아메로(Julie Amero)가 수업 시간 7학년(한국의 중 1) 학생들에게 포르노 사이트가 노출된 걸 방치했다는 혐의로 재판을 받았다. 그녀는 어린이를 타락 시킨 사람, 컴퓨터나 모니터 전원도 못 끄는 바보, 교육 위원회의 희생양이라는 논쟁이 있었다. 2007년 3월 2일 유죄 판결을 받았지만 여교사는 애드웨어(스파이웨어)가 설치되어 발생한 일이라고 주장했고 실제 시스템에서 성인 광고를 띄우는 애드웨어가 발견되었다고 한다. 결국 이 사건은 여름에 무죄로 최종 판결 났다. 성인 광고를 노출하는 애드웨어가 어떤 영향을 끼칠 수 있는지 보여주는 사건이라고 할 수 있다.
2월 독일에서 범죄자들의 혐의 증거를 찾기 위해 키로거 등의 프로그램을 이용하는 안이 정부에서 시작된다. 이미 2001년 미국 FBI는 범죄자들의 컴퓨터에 키로거 등의 프로그램을 설치해 증거를 수집하려는 마법 등불 (Magic Lantern) 프로젝트가 진행된 바 있다. 이에 미국 정부와 연관되는 해당 국가 보안 업체들은 수사 목적의 해당 프로그램 진단을 제외하기로 결정했었다.
하지만, 이해관계가 다른 업체에서는 악성코드나 유해가능 프로그램과 구별이 되지 않으므로 계속 진단하는 정책을 취하기로 했다. 이미 경찰 등 국가기관에서 증거 수집을 위해 백도어, 키로거 기능이 있는 프로그램을 이용할 수 있는 법률이 스웨덴, 네덜란드, 덴마크, 미국에서 통과된다. 정부에서 특정 목적으로 제작하는 이런 류의 프로그램을 진단해야 하는가 하는 문제를 업계에 고민을 안겨 주고 있다.
악성코드 제작자들에게 법적 제재는 계속되는데 네덜란드 법정에서 900 억 통 이상의 스팸 메일을 발송한 스패머에게 97,000 달러의 벌금형을 선고하고 미국 로스엔젤레스 법정은 마이스페이스(MySpace)를 통해 웜을 전파시킨 사미 캄카르(Samy Kamkar)에게 집행유예 3년 형과 90일의 사회 봉사 명령을 내린다.
중국에서도 2월 12일 판다 바이러스 또는 델보이 바이러스(Win32/Dellboy virus)로 알려진 바이러스의 제작자 일당이 검거 되었다. 이들은 모두 8명으로 그 중 바이러스 제작과 관계가 깊은 사람은 당시 25세의 중국 호북성 무한시(WuHan City)에 사는 ‘리준’이다. 바이러스에 감염된 파일의 끝 부분에 ‘WhBoy’ 이 추가되는데 이는 무한시에 사는 소년을 뜻하고 있는 것으로 알려졌다. 그는 2003년부터 악성코드를 제작했고 일부는 소스를 팔아서 돈을 벌기도 하였으며 약 100여명에서 판매했다고 알려졌다.
3월 미국 하원의회에서 안티 스파이웨어와 관련된 세 번째 법률이 의결되었다. 제안된 스파이액트(Spy Act, Securely Protect Yourself Against Cyber Trespass Act)는 정보 수집, 모니터링, 광고 기능, 웹 브라우저 수정 등에는 법률이 정한 바에 따라야 한다는 내용이며 이를 위한할 경우 300만 달러의 벌금에 처하게 된다. 하지만, 2004년, 2005년 관련 법률이 하원에서 통과되었지만 미국 상원의회에서 통과하지 못했다.
3월말 새로운 제로데이(Zero-day) 공격인 ANI 파일 취약점(Animated Cursor Handling)을 악용한 악성코드 유포가 발생한다. 2006년에도 WMF 제로데이 취약점이 이용되었다. WMF 파일 취약점, ANI 파일 취약점과 같은 그래픽 랜더링 취약점을 공격하는 악의적인 파일들은 그 사이즈가 작고 메일, 웹사이트, 메신저 등 다양한 경로로 공격이 가능하다. 애플리케이션취약점을 이용한 시도는 계속되어 7월 10일에는 플래시 플레이어가 가지는 취약점과 8월에 새로운 WMF(Windows Meta File) 관련 취약점이 발표된다.
4월 아이팟(iPod) 리눅스에서 활동하는 팟로소 바이러스(Podloso virus)가 발견된다. 애플사의 아이팟은 전 세계적으로 1천 만대 이상 팔린 제품으로 사용자들이 리눅스를 제작해 배포했으며 이 새로운 플랫폼에 활동하는 악성코드가 제작된 것이다. 전형적인 개념 증명 바이러스(proof of concept virus)로 실제 보고되지 않았고 실제로 퍼질 가능성이 낮다.
5월 18일 시만텍 노턴 안티 바이러스 제품에서 중국어 윈도우 XP 서비스 팩2 파일인 netapp32.dll과 lasass.exe를 Backdoor.Haxdoor로 오진했다.
5월 중순 오픈오피스(OpenOffice)에서 활동하는 악성코드가 발견된다. 하지만, 배드버니 (BadBunny)는 버그가 존재가 제대로 실행되지 않는다.
5월 15일, 16일 아이스랜드(Iceland) 레이캬비크(Reykjavik)에서 국제 안티바이러스 테스팅 워크숍(International Antivirus Testing Workshop)이 열린다. 백신 프로그램에 대한 테스트가 이뤄지고 있지만 공정성 등을 위해 논의가 있었다. 이 아이디어는 11월 한국에서 열린 AVAR에서 테스트기구를 만들자는 논의로 2008년 초 스페인에서 첫 모임을 가진 후 테스트 표준화 방안을 위한 AMTSO(http://www.amtso.org)를 설립한다.
과거 180솔루션(180 Solutions)로 알려진 애드웨어 제작 업체인 장고(Zango)사가 스파이웨어 닥터(Spyware Doctor) 제작사인 피씨 툴즈(PC Tools)와 컴퓨터 보안 회사인 카스퍼스키 연구소(Kaspersky Lab)의 보안 제품이 자사의 소프트웨어를 진단 및 제거 한다는 이유로 소송을 제기했다. 이후 카스퍼스키 연구소가 승소했으며 장고 사는 피씨 툴즈 사에 제기한 소송을 취하했다. 판결의 주요 요지는 보안 회사는 사용자가 잠재적으로 원하지 않은 소프트웨어나 위험성이 있는 소프트웨어에 대해 확인할 수 있게 할 의무가 있으며, 사용자가 자신의 컴퓨터에서 허용할 소프트웨어를 직접 선택할 수 있게 해야 한다는 것이다.
6월 중순 이탈리아와 러시아 웹사이트를 대상으로 대규모 공격이 발생했다. 이미 한국 등 아시아에서는 많이 발생했지만 유럽에서 발생해 눈길을 끌었다. 이들 국가를 시작으로 전 유럽으로 퍼져나갔으며 이탈리안 잡(Italian Job)으로 불리는 이 공격 뒤에는 다양한 공격 익스플로잇(Exploit)을 포함하는 ‘종합선물세트’, ‘맥가이버칼’ 이라 평을 받는 엠팩(MPack)이란 취약점 공격 도구가 사용되었다. 이 취약점 공격 도구는 금전적으로 거래되었다.
10월 애플 매킨토시의 새로운 운영체제인 OS X 레오파드(Leopard)가 출시 되고 매킨토시 사용자가 증가하면서 매킨토시 제품의 보안 위협도 커진다. 11월 14일 애플 컴퓨터사는 맥 OS X 및 관련 응용 프로그램 취약점 41 개에 대한 패치를 발표했으며 OS X 악성코드도 조금씩 증가한다.
악성코드 제작자들의 패커 사용과 자체 제작 패커 사용이 증가하면서 안티 바이러스 제품들이 패커 자체를 진단하기 시작한다. 하지만, 패커는 정상 프로그램에서도 사용될 수 있으므로 오진의 가능성이 있다.
안철수연구소(대표 김홍선, www.ahnlab.com)은 올 한해 온라인 게임 보안 동향 및 이슈에 대해 분석한 결과를 발표했다.
이번 분석 결과에 따르면, 올해 들어 개별 특정 온라인 게임을 대상으로 한 전용 해킹 툴 급증, 메모리 해킹의 증가, 오토플레이 제작 업체 수 증가, 도우미 해킹 툴의 등장 등 갈수록 지능화함에 따라 이에 대한 대책이 시급한 것으로 나타났다.
지난해 온라인 게임 해킹 툴이 대폭 감소됐지만, 올해에는 지난해보다 두배 이상 증가한 506건으로 나타났다(표1 참조). 특히 범용적으로 사용할 수 있는 해킹 둘 보다는 특정 게임을 대상으로 고도의 기술력이 접목된 전용 해킹 툴이 급속도로 증가했다. 앞으로도 특정 게임을 대상으로 한 해킹과 함께 해킹 툴 제작도 늘어 음성적인 해킹 산업의 규모도 늘어날 것으로 예상된다.
또한 중국, 미국 등을 중심으로 메모리 해킹이 가장 많이 발견됐다(표2 참조). 단순하게 메모리의 코드나 데이터를 조작하는 행위를 넘어 게임 내 함수를 직접 호출하며 사용자의 게임을 무력화시키는 기법도 발견됐다. 특히 메모리 상의 특정 데이터를 조작하는 메모리 해킹 툴의 변종들이 많이 등장하면서 감소하던 공용 해킹 툴이 지난해 보다 증가추세로 나타났다. 이러한 공용 해킹 툴은 대부분 무료로 웹사이트 검색으로 쉽게 찾을 수 있기 때문에, 해킹을 처음 시도하거나 해킹에 대한 호기심이 있는초보 해커들이 많이 사용하고 있다. 공용 해킹 툴의 증가는 일반 게임 유저들 사이에서도 해킹 행위가 점차적으로확산되고 있다는 우려를 낳고 있다.
무엇보다 국내에서는 오토플레이(Auto-Play)가 화두였다. 오토플레이는 사용자가 입력하는 키보드나 마우스의 움직임을 대신해 자동으로 게임을 할 수 있도록 한 프로그램이다. 오토플레이는 해킹 툴 제작의 상업화를 대변하는 대표적인 해킹 툴로 제작 업체수가 꾸준히 늘어나고 있다. 오토플레이는 웹사이트를 통해 소프트웨어 및 USB로 된 제품을 판매하고 있으며, 거래 가격도 상승하고 있는 추세다. 특히 올해에 대작 게임들이 새롭게 서비스 되면서 오토플레이의 수가 증가했다. 이에 따라 정부에서도 게임법 개정을 검토 중에 있으며, 게임관련 협회 및 기업에서도 오토플레이 근절을 위한 적극 대응에 나서고 있다.
한편, 올해 발견된 온라인 게임 해킹 툴의 특징 중 하나로 도우미 해킹 툴의 등장을 들 수 있다. 도우미 해킹 툴은 직접적으로 해킹 행위를 하지 않지만, 해킹 툴과 함께 사용하여 해킹 툴의 동작을 도와주는 역할을 하는 프로그램이다. 도우미 해킹 툴은 약 20여 건이 발견됐다.
안철수연구소 핵쉴드사업팀 신호철 팀장은 “나날이 지능화되고 있는 온라인 게임 해킹 툴을 막기 위해서는 게임회사들도 온라인게임 전용 최신 보안 프로그램의 탑재 및 지속적인 보안위협 모니터링 강화 등과 같은 상시 대책을 통해 보다 안전한 게임 환경 구현이 필요하며, 특히 게임 이용자들도 오토플레이 등 해킹 툴 사용을 금지해 공정하고 안전한 게임 환경을 만들어 나가야 한다”고 말했다.
- 리버스 엔지니어링 콘테스트 1일부터 15일간 열려 - 리버싱, 악성코드 분석, 네트워크 패킷 분석 등 최고 정보보안 전문가 선발 - 우승자에게 POC 2008 발표 및 최고 영예의 상징 ‘드림 백’ 수여
국내에선 처음으로 전세계 해커들이 최고 분석 기술을 가리는 이색 해킹대회가 열린다.
글로벌 통합보안 기업 안철수연구소(대표 김홍선 www.ahnlab.com)는 국내 최초로 정보보안 분야의 다양한 분석 기술력을 평가하는 제 1회 '해커스 드림 (Hacker's Dream) 2008' 리버스 엔지니어링 국제 콘테스트를 1일부터 15일까지 개최한다고 밝혔다.
'해커스 드림2008'은 국제 해킹/보안 컨퍼런스인 'POC(Power of Community) 2008'의 가장 큰 행사 중 하나로, 기존 공격과 방어로 이루어지는 해킹대회와는 달리 바이러스 및 스파이웨어 등 악성코드 분석, 리버싱, 네트워크 패킷 분석, 악성 스크립트 분석 등 종합적인 분석 능력을 겨루는 것이 특징이다. 안철수연구소는 각 분야의 전문가들로 조직위원회를 구성하여 문제 출제에서부터 심사까지 대회를 진행한다.
특히, 이번 '해커스 드림 2008'은 정보보안 전문가로서 순수한 해커정신을 바탕으로 자신들의 실력을 겨루고 물질적 보상 보다는 최고의 명예를 중시한 것이 특징이다
심사는 안철수연구소 보안전문가와 POC2008 주최자로 구성된 전문 심사위원들이 분석 보고서를 기준으로 평가할 예정이다. 평가 항목은 새로운 기술 접목 또는 색다른 방식으로 문제를 푸는 창의성, 분석 능력 및 분석 기술에 대한 이해도, 여러 형태의 문제를 얼마나 빨리 정확하게 많이 풀었는지에 대한 정확성, 결과 보고서의 체계성 및 명료성, 표현 능력 등을 종합 평가하여 최종 우승자 1명을 선정할 예정이다. 최종 우승자에게는 상패와 함께 국제 해킹/보안 컨퍼런스 'POC2008'에서 해당 분석 기술 발표 기회가 주어진다. 또한 최고 명예의 상징으로 전세계 해커들의 우상이 되는 꿈을 담는 의미에서 특별 제작한 ‘드림 백(Dream Bag)’을 부상으로 수여한다.
안철수연구소 시큐리티대응센터 조시행 상무는 "해커스 드림은 기존의 공격방어 위주의 해킹대회와는 달리, 정보보호 분야에서 종합적인 분석 기술력을 겨루는 대회이다. 이번 대회가 점점 지능화, 조직화 되고 있는 보안 위협에 대한 대응 능력을 향상시킬 수 있는 저변을 마련하는데 기여할 것" 이라고 말했다.
한편, 국제 해킹/보안 컨퍼런스인 'POC2008'(http://www.powerofcommunity.net/home.html)은 단 순한 보안 정책 토론이나 형식적인 이론 토론에서 벗어나 실전 해킹 및 실전 보안을 다루는 순수 비영리 컨퍼런스로, 2006년 처음 개최됐다. 11월 13 ~ 14일 이틀간 서울 양재동 서울교육문화회관에서 열리는 'POC2008'에는 미국, 러시아, 중국, 독일, 한국 등 전세계 내로라하는 해커들이 국내외 아직 공개되지 않은 보안 취약점에 대해 발표를 할 예정이다.
- 차세대 통합보안 엔진 ‘TS 엔진’ 적용 V3 제품으로 최초 획득 ...서버용 통합보안 솔루션 V3 Net 7.0 신제품으로 첫 인증 -윈도 서버 2008 기반 최초 테스트...주요 외산 백신 다수 탈락 -아시아 설립 보안 업체 중 최다 총 8회 ‘VB 100’ 인증 획득
글로벌 통합보안 기업인 안철수연구소(대표 김홍선 www.ahnlab.com)는 윈도 서버용 통합보안 솔루션인 V3 Net 7.0(V3 Net for Windows Server 7.0)이 최근 국제 안티바이러스 평가 공인 기관인 바이러스 불러틴(www.virusbtn.com)에서 실시한 국제 인증 백신 테스트에서 단 1개의 오진 없이 100% 진단율로 ‘VB 100% 어워드’를 획득했다고 30일 발표했다.
이번에 ‘VB 100% 어워드’를 획득한 V3 Net 7.0은 지난 6월에 출시된 신제품으로 V3 제품군 가운데 처음으로 통합보안 엔진인 ‘TS(Total Security) 엔진’이 탑재됐다. 차세대 ‘TS 엔진’을 탑재한 보안 제품이 국제 기관에서 기술력을 공인받은 것은 이번이 처음이다. ‘TS 엔진’은 20년 간 축적된 안철수연구소의 독보적 핵심 기술로서 기존 엔진에 비해 엔진 업데이트 과정에서 CPU 점유율이 약 4분의 1로 크게 줄었고, 검사 속도도 30% 이상 대폭 향상됐다(보충 자료 참고).
또한 이번 ‘VB 100% 어워드’는 최초로 윈도 서버 2008 환경에서 테스트를 했으며, 국내에 엔진을 공급하고 있는 외산 업체는 탈락했거나 참가하지 않은 상태에서 거둔 성과여서 의미가 크다.
‘VB 100% 어워드’는 신뢰성과 공정성 있는 컴퓨터 테스트 환경에서 전세계에 널리 퍼져 있는 바이러스, 트로이목마, 스파이웨어 등 각종 악성코드 샘플 목록인 ‘와일드 리스트’(Wild List, 보충 설명 참고)를 단 1개의 오진도 없이 100% 진단해야만 인증을 수여하는 권위 있고 공신력 있는 국제 공인 테스트이다.
V3 Net 7.0은 각종 악성코드와 해킹으로부터 윈도 서버를 보호함으로써 기업의 네트워크 환경을 안전하게 유지해주는 윈도 서버용 통합보안 솔루션이다. 안티바이러스와 안티스파이웨어 기능은 물론, 국내외 동종 제품 중 유일하게 네트워크 보안 기능을 제공한다는 것이 특장점이다. 또한 국내 제품 중 처음으로 윈도 서버 2008(롱혼)을 지원한다. 이번 수상으로 국내 윈도 서버용 보안 시장의 선두를 고수하는 한편 해외 수출도 활기를 띨 것으로 전망된다.
V3는 2003년부터 지속적으로 ‘VB 100% 어워드’를 획득해 세계적 대응력을 공인 받고 있으며, 이는 국내는 물론 아시아 지역에서 설립된 보안 업체 중 가장 많은 8번째 인증 획득이다. 이에 힘입어 V3는 국내 백신 시장에서 50% 이상의 시장점유율로 압도적인 1위를 차지하고 있을 뿐 아니라 일본은 물론 동남아 중남미 등 해외에서도 좋은 반응을 얻고 있다.
한편, V3는 지난해 세계 백신 업계 최초로 최고 등급인 EAL4(Evaluation Assurance Level 4) 등급으로 국제정보보호평가기준인 CC(Common Criteria; 국제공통평가기준)인증을 획득하는 등 국제적 보안 제품 평가 기관에서 글로벌 수준의 기술력과 성능을 공인받고 있다. 이들 제품에 탑재된 V3 핵심 엔진은 빠르고 오진 없는 정확한 진단/치료 성능으로 미국, 일본 등 해외 유수의 보안 업체에 수출돼 로열티 수입을 올리고 있다. 또한, V3는 우리나라를 대표하는 국내 최장수 소프트웨어이자 아시아 최고의 보안 소프트웨어를 넘어 해외 각국에 수출되어 세계적 소프트웨어로 성장해 나가고 있다.
(1) TS 엔진 지난 3년 동안 연구개발력을 투입해 올해 개발 완료한 ‘TS 엔진’은 나날이 지능화, 복합화하는 악성코드와 컴퓨터 환경의 변화에 효과적으로 대응하기 위한 차세대 통합 엔진이다. 이번 개발된 ‘TS 엔진’은 기존의 워프(WARP) 엔진에 비해 엔진 업데이트 과정에서 CPU 점유율이 약 4분의 1로 크게 줄었고, 검사 속도도 30% 이상 대폭 향상됐다. 또한 안철수연구소는 ‘TS 엔진’ 사용으로 특정 악성코드만 진단할 수 있는 데이터 파일을 배포할 수 있기 때문에 더욱 빠른 긴급 대응이 가능해졌고, 엔진의 자체 보안 능력이 더욱 강화했다.
이 밖에 ‘TS 엔진’은 ▲ 바이러스, 웜, 트로이목마, 해킹, 스팸 등이 복합된 최신 공격에 통합적인 대응 ▲ 압축/실행압축/임시 파일 등 다양한 대상에 대한 효율적인 검사 ▲ 여러 엔진이 통합 가능한 구조로 안티바이러스 엔진, 안티스파이웨어 엔진, IPS 엔진 등을 모듈화해서 PC부터 서버, 게이트웨이에까지 제품 용도에 맞게 적용할 수 있다는 특징이 있다.
‘TS 엔진’은 Total Security의 약자로 바이러스, 트로이목마 등 악성코드를 비롯한 스파이웨어, 피싱 등 다양한 보안 위협을 통합적으로 대응하기 위해 명명되었다. 아울러 신뢰와 안전(Trust & Safety), 기술과 신속성(Technical & Speedy )등 여러 가지 의미를 함축하고 있다. 안철수연구소는 ‘TS 엔진’의 브랜드화를 통해 엔진 수출 등 비즈니스에 활용할 계획이다. 현재 V3 엔진은 미국 마이크로소프트사를 비롯 미국의 블루코트시스템즈와 넷디바이스, 일본의 인텔리전스사 등 세계 유수의 IT 기업들에 공급되며 로열티를 받고 수출 중이다.
(2)와일드 리스트 전세계적으로 두 곳 이상의 지역에서 실제로 감염 활동이나 발견 등의 보고가 있었던 바이러스 목록으로, 체크마크나 VB 100% 어워드, ICSA 인증 등 주요 국제 공인 테스트에서 범용적으로 사용한다. 안철수연구소도 국내 및 아시아 지역을 대표하여 리포터로 활동 중이다.
