노트북 도청, 사실인가? 그 대책은?

2010.01.07

 

1월 7일 ‘노트북으로도 도청 당한다’는 기사가 일간지 1면에 났습니다. http://news.donga.com/3/all/20100107/25242944/1 컴퓨터 내의 음성 파일을 유출하는 경우는 이제껏 없었기 때문에 많은 이들이 충격을 받고 실제 벌어진 일인지 궁금해합니다.

 

결론부터 말하면 이론적으로는 가능하지만 실제 그런 악성코드는 발견된 적이 없습니다. 그리고 이런 악성코드가 실제 발견되면 V3는 즉시 진단/치료할 수 있습니다. 악성코드가 감염되지 않게 예방하고, 감염 시 진단/삭제할 수 있으며, 녹음 파일이 외부로 전송될 때 PC 방화벽 기능이 작동해 경고해줍니다.

이와 유사한 사례로 2009년 8월 해외에서 Skype를 도청한 PoC 코드(Proof of Concept code, 개념 증명 코드: 특정 취약점을 증명하기 위해 만들어진 일종의 테스트 프로그램)가 있었습니다. 이것은 발견 직후 V3가 이미 진단하고 있습니다(참고: http://blog.ahnlab.com/asec/105).

 

컴퓨터 내 파일(정보)을 유출하는 악성코드는 많이 있고, 유출되는 파일이 주로 문서 파일이었던 데 반해 이번에는 음성 파일이라는 것이 다를 뿐 고도의 기술이 필요한 것은 아닙니다. 기사 내용은 노트북에서 마이크(MIC)를 이용해 녹음이 가능하고 이 정보가 유출될 수 있다는 잠재된 보안 위협을 언급한 정도로 보면 될 것 같습니다.

 

현재 안철수연구소는 국내/외 신종, 변종 악성코드들을 수집, 분석하고 엔진 업데이트를 하고 있습니다. 보안 위협에 대한 사전 대응 조직과 CERT(침해사고대응센터) 조직, 클라우드 기술 기반 AhnLab Smart Defense나 허니팟 등 다양한 채널을 통해 최단 시간 내에 보안 위협 정보와 악성코드를 수집하여 즉시 V3 제품군에 진단/치료 기능을 탑재합니다. 아울러 대응 가이드, 전용백신 등을 제공합니다.

 

노트북 음성을 도청하는 악성코드는 현재 실제 일어난 사고는 아니고 가능성일 뿐이지만, 이를 예방하기 위해서는 마이크를 비활성화하거나 웹캠을 해제하는 등의 하드웨어적인 접근보다는 문제의 근원인 악성코드를 제거하고 예방하는 것이 중요합니다.

<간단 Q&A>

 

Q: 왜 백신에서 진단하지 않나?

A: 아직 악성코드로 배포된 것이 아니고 PoC(Proof of Concept)로 만들어진 것이기 때문이다. 만일, PoC라도 샘플이 입수되면 바로 진단할 것이다.

 

Q: 진단하는 데 기술적인 어려움은 없나?

A: 샘플이 접수되면 백신에서 진단/치료하는 것은 바로 가능하다. 이미 있는 기술로 충분하다. 악성코드가 녹음하는 기술도 그렇게 어려운 것은 아니다. 다만 이것을 백신에서 경고해야 하는지는 별도 검토가 필요하다.

 

Q: 왜 이렇게 뉴스가 큰가?

A: 기술적인 난이도 때문이 아니라 정보 유출 방법 중 새로운 형태이기 때문인 것 같다.

 

Q: 사용자가 조심할 점은?

A: 신문에 보도된 것처럼 메일로 전파되든지, 웹사이트에서 감염되든지 일단 PC에 악성코드를 설치해야 하기 때문에 기존 악성코드 대응책을 따르면 된다.

 

<개인의 정보보안 수칙>

 

1. 윈도 운영체계 사용자는 MS사에서 제공하는 최신 보안 패치를 모두 적용한다.

2. 윈도 XP SP2를 설치한 경우 방화벽, 패치 여부, 백신 소프트웨어 설치 및 최신 버전 여부를 체크해주므로 그 결과에 따라 조치한다.

3. 이메일 확인 시 발신인이 불분명하거나 수상한 첨부 파일이 있는 것은 모두 삭제한다. 무심코 이메일을 확인하는 과정에서 웜, 바이러스, 트로이목마(해킹 툴) 등에 감염될 수 있기 때문이다.

4. 메신저 프로그램 사용 시 메시지를 통해 URL이나 파일이 첨부되어 올 경우에는 메시지를 보낸 이가 직접 보낸 것이 맞는지를 먼저 확인하고 실행한다.

5. P2P 프로그램 사용 시 파일을 다운로드할 때에는 반드시 백신으로 검사한 후 사용한다. 또한 트로이목마 등에 의해 지정하지 않은 폴더가 오픈되지 않도록 주의한다.

6. 외부 침입자가 나의 시스템을 불법적으로 사용하지 못하도록 공유 권한은 '읽기'로 설정해 놓고 사용한 후에는 공유를 해제한다.

7. 로그인 계정의 패스워드를 자주 변경하고, 영문/숫자/특수문자 조합으로 6자리 이상으로 설정한다. 로그인 ID와 PW를 동일하게 설정하지 않는다.

8. 백신 사용 시 항상 최신 버전의 엔진으로 업데이트하고 수시로 검사한다. 부팅 후 백신이 자동 업데이트되도록 하고 시스템 감시 기능이 항상 작동하도록 설정한다.

9. 외부로부터의 비정상적인 침입을 막아주는 개인 방화벽 제품을 사용한다.

10. 키보드 입력 내용을 가로채 정보가 유출되는 것을 예방하기 위하여 키보드 입력 정보를 보호해 주는 안티키로거 제품을 사용한다.

11. 스파이웨어가 설치되는 것을 예방하려면 웹사이트 방문 시 '보안경고' 창이 뜰 경우에는 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의하는 '예'를 클릭한다. 잘 모르는 프로그램을 설치하겠다는 경고가 나오면 ‘예’ ‘아니오’ 중 어느 것도 선택하지 말고 창을 닫는다.

12. 스파이웨어가 설치된 경우 안철수연구소의 V3 제품군을 이용해 삭제한다.

 

<기업의 정보보안 수칙>

 

1. 중요 서버의 데이터에 대해 정기적인 백업 시스템을 갖춘다.

2. 모든 클라이언트 시스템에 백신 및 PC 보안 제품을 설치한다.

3. 파일서버, 메일서버, 그룹웨어 서버에도 모두 보안 솔루션을 설치하여 관리한다.

4. 설치된 보안 솔루션을 모두 최소 1주일에 한 번 이상 정기적으로 엔진 업데이트한다.

5. 사내 악성 프로그램 유입 및 전파 시 신속한 감염 시스템 파악을 위해 시스템에 고정 IP를 부여하여 관리한다.

6. 방화벽 설정을 통해 불필요한 포트는 모두 막는다.

7. 사내 보안 지침 문서를 구비한다.

8. 사내 보안 지침을 위반하여 회사에 피해를 입혔을 경우에 대한 인사 조치 사항 등을 사내 보안 지침 문서에 명기한다.

9. 전 직원을 대상으로 정기적인 보안 교육을 실시한다.

10. 정기적으로 사내보안 감사를 실시한다.

11. 정기적으로 보안관련 사이트(www.ahnlab.com, www.certcc.or.kr 등)를 방문하여 최근 보안 정보를 확인한다.

12. 보안 취약점 발표 시 패치 적용에 대한 공지를 그 날 안에 클라이언트에 전달하고, 클라이언트의 패치 적용 여부가 관리자에게 전달되도록 시스템을 구축한다.

13. 새로운 보안문제 발생 시 직원들이 적절히 대응할 수 있도록 대응 지침이 신속하게 전달되는 체계를 갖춘다.

14. 외부에서 반입되는 시스템에도 사내 보안 지침을 적용한다. Ahn