국제 안티바이러스 컨퍼런스 VB2007 Vienna 출장기

2007.11.01

 

AVAR와 함께 국제 안티바이러스 컨퍼런스 중 하나인 VB2007이 지난 9월 19일부터 21일까지 오스트리아 비엔나에서 개최되었습니다. (AVAR는 오는 11월 28일부터 서울 프라자호텔에서 개최됩니다) 세계 안비바이러스 분야 거장들이 모인 VB2007에 안철수연구소 차민석 선임연구원이 다녀왔습니다.

[그림 1] VB 2007 컨퍼런스

- 일시: 2007년 9월 19일~21일
- 장소: 오스트리아 비엔나
- 17번째 국제 바이러스 컨퍼런스

Virus Bulletin 컨퍼런스란

바이러스 블루틴 컨퍼런스(이하 VB 컨퍼런스)는 1990년부터 매년 9월에서 10월 사이에 북미와 유럽에서 열리는 국제 컴퓨터바이러스 관련 컨퍼런스로 AVAR(Association of AntiVirus Asia Researchers), EICAR(European Institute for Computer Antivirus Research)와 함께 대표적 악성코드 관련 컨퍼런스이다. VB 컨퍼런스는 컴퓨터 바이러스를 주제로 시작되었지만 현재는 컴퓨터 바이러스를 포함한 악성코드와 스팸을 다루고 있다. 또한 단순 논문 발표 장소가 아닌 안티 바이러스 업계 종사자간 만남의 장소이기도 하다.

VB 2007 비엔나 일정

VB 컨퍼런스 2007의 공식일정은 9월 19일부터 9월 21일까지 3일 동안 진행되었다. 하지만, 전 세계 주요 업체 관계자가 모일 수 있는 기회이므로 보통 VB 컨퍼런스 전날에 ICSA(International Computer Security Association) 주체로 AVPD 회의가 열린다.
2003년까지 환영 드링크 리셉션(Welcome drinks reception)은 공식 기간 전날 열렸다. 2004년부터 컨퍼런스 기간이 3일로 늘어났고 2004년에는 환영 드링크 리셉션 전에 간단한 논의를 가졌지만 2005년부터 논문발표도 이뤄졌다.
크게 기술적인 내용을 담고 있는 테크니컬 스트림(Technical Stream)과 일반적인 내용을 담고 있는 코포레이트 스트림(Corporate Stream)으로 나뉘어져 있어 발표 내용을 보고 선호하는 내용을 들으면 된다. 총 발표 시간은 40분이며 대략 35분 정도 발표 후 5분 정도 질문을 받는다.
과거와 달라진 점 중 스폰서 프리젠테이션(Sponsor presentations)과 논문이 그 해 초에 받기 때문에 최근 내용을 담을 수 없는 경우가 있어 미리 발표되지 않는 최근 이슈를 담은 막바지 프리젠테이션(Last-minute presentations)이 추가되었다.
둘째 날 저녁은 저녁 만찬(gala dinner & cabaret)이 있으며 만찬 전 간단한 음료를 마시며 얘기를 할 수 있다. 참석 복장은 공식적이지는 않지만 대부분 정장 차림이므로 가급적 정장을 준비하는 것이 좋으며 행사에 처음 참여하는 사람 중 이런 사실을 몰라 정장을 준비하지 못한 경우도 간혹 보인다

[그림 2] 저녁 만찬 (gala dinner & cabaret)

보통 해당 지역의 음식과 지역의 전통 문화 공연이 있었고 올해에는 오스트리아 춤이 펼쳐졌다.

[그림 3] 오스트리아 전통 문화 공연

한쪽 편에 카지노가 설치되어 안티 바이러스 업계 도박사(?)들이 칩을 따고 가장 칩을 많이 딴 사람에게 선물을 나눠줬다.

[그림 4] VB 카지노

 

마지막 날은 발표 외에 패널 토론(Panel discussion)이 있다. 올해는 ‘국제 사이버 범죄 대항(The fight against international cybercrime – enforcing the law’)이 주제였으며 논문 발표 할 때 보이지 않았던 사람들도 미국, 영국, 오스트리아의 사이버범죄 관련 경찰들이 참석하자 모여들어 높은 관심을 보였다.

[그림 5] 사이버 범죄 수사 담당자들의 참석

 

사람들과 친분을 쌓을 수 있는 시간은 컨퍼런스 중간 차 마시는 시간과 환영 드링크 리셉션, 저녁 만찬 등이다. 이미 17 번째 행사이므로 그 동안 컨퍼런스에 참여한 사람들간에 끈끈한 유대감이 존재하는 것도 사실이므로 새롭게 참석한 사람이 어울리기 힘든 분위기도 있다.

VB 2007 비엔나의 주요 이슈

안철수연구소에서는 선행기술팀의 황규범 선임이 ‘안티 말웨어 익스퍼트 시스템(Anti-malware expert system)’에 대한 주제로 발표했다. 안철수연구소에서 사용하고 있는 AMES(AhnLab anti-Malware Expert System)에 대한 소개 및 자동화안에 대한 발표 내용에 몇몇 연구원들이 관심을 보였고 공동연구를 한 이상철 선임은 중국의 라이징(Rising) 업체 사람들과 유익한 의견을 주고 받았다.

[그림 6] 안철수연구소 황규범 선임 발표

 

VB 2007에는 기술적으로 혁신적인 내용은 눈에 띄지 않았다. 대체적으로 현재 상황에 대한검토와 2004년부터 금전적 악성코드 제작에 대한 논의가 나왔고 이제 어떻게 악성코드 제작자들이 돈을 벌고 있는지도 알 수 있었다. 주요한 악성코드 관련 주제는 다음과 같았다.

돈! 돈! 돈!

이번에도 화두는 금전적 목적의 악성코드 제작자들이었다. 특히 금년에는 어떤 과정으로 악성코드 제작자들이 돈을 벌어들이고 있는지에 대한 자료가 나왔다.
메시지랩(MessageLabs)의 막심 스치프카(Maksym Schipka)는 러시아 웹사이트에서 키로거는 300 달러, 데이터 훔치는 트로이목마는 3,500 달러에 판매되고 있음을 알렸다. 또한 악성코드 제작자는 자신들의 고객들에게 주기적인 신종 악성코드 업데이트에 5 달러 - 60 달러를 받고 있으며 이들의 적인 안티 바이러스의 진단을 피하기 위해 사용되는 주요 기법들과 주요 업체의 업데이트 주기를 파악해 해당 업체의 새로운 업데이트하고 끝난 직후 악성코드를 배포하는 용의주도함도 발표했다.
판다 시큐리티의 루이스 코론스(Luis Corrons)도 뱅코림브(Bankolimb)를 통해 악성코드 제작자들이 얼마나 돈을 버는지 밝혔다. 이 악성코드에 감염된 시스템은 적게는 30 여대에서 많게는 3,000대가 넘었다. 그리고, 감염된 시스템에 애드웨어나 허위 안티스파이웨어를 설치해 버는 돈이 미 달러로 무려 1만 3천 달러였다.
프락시 서버는 5대는 2.5 달러, 1000대는 300 달러이며 DDoS 공격도 한 시간은 20 달러, 하루는 100달러, 그 이상은 200 달러 이상을 받는다고 한다. 시범적으로 공격도 해준다고하니 철저한 고객 지향이 아닐까 싶다. 악성코드 제작자들의 대표적인 돈벌이 중 하나가 업체에 DDoS 공격으로 사이트를 마비시키고 돈을 요구하는 것으로 국내에도 중국 해커들이 화상 채팅 사이트, 게임 아이템 거래 사이트 등을 대상으로 이뤄지고 있다. 스팸 역시 지역별 메일 계정 수에 따라 다양한 가격에 팔리고 있었다.

시스템 파일 변조 악성코드

최근 악성코드들이 단독 파일로 실행되는 형태뿐 아니라 시스템 파일을 변조해 발견도 어렵고 치료도 어렵게 하는 악성코드가 증가하고 있다. 맥아피의 알렉스 힌츠리페(Alex Hinchliffe)는 PWS-Goldun.dr과 W32/Crimea를 통한 구체적인 예를 들었어 설명했다.

와일드리스트 무용론

독일의 AV-TEST의 안드레아스 막스(Andreas Marx)는 와일드리스트 무용론을 다시 얘기했다. 이미 와일드리스트는 1999년 VB컨퍼런스에서 베셀린 본트체브(Vesselin Bontchev)의 ‘와일드 리스트 – 여전히 유용한가(The WildList – still useful)?’라는 내용으로 논의된 바 있다. 2007년 현재 악성코드 종류 확대, 악성코드 샘플의 폭발적 증가, 활동 보고자 수 적음, 늦은 업데이트 주기 등의 문제가 제기되었다. 하지만, 와일드리스트 측에서도 개선작업을 상당히 진행하고 있어 한계점은 있지만 와일드리스트를 어떻게 더 효율적으로 사용될지 지켜봐야 할 것이다.

[그림 7] 악성코드에 쫓기는 현재 상황의 풍자

모바일 장비에서의 악성코드

한동안 주요한 관심꺼리 였던 모바일 장비(Mobile devices)의 악성코드 위협에 대해 프리스크 소프트사(Frisk Software International)의 베셀린 본트체브(Vesselin Bontchev)가 발표했다.
현재 가장 문제가 되고 있는 심비안 환경의 경우 새로 나온 심비안 S60 R3는 기존 R2 와 호환성이 없어 기존 악성코드가 실행되지 않는다. 또한 프로그램 설치 역시 인증이 추가적으로 필요해 악성코드 제작은 더 어려워졌다.
이외에 Windows 모바일 6.0, J2ME, 팜OS, IPOD, iPhone 등의 모바일 장비도 위험 가능성도설명 했지만 팜OS는 시장 자체가 거의 죽어버렸고 대부분의 플랫폼이 예전보다 보안이 강화되어 다른 파일을 감염시키는 바이러스 제작은 불가능에 가깝고 웜, 트로이목마 형태 혹은 취약점을 이용한 제한된 악성코드만 예상되고 있다고 했다. 또 윈도우 모바일 환경에서 실행 압축도 등장해 이를 해제하는 방법에 대한 논문도 나왔다.

악성코드 생존시간

포티넷(Fortinet)의 브라이얀 루(Bryan Lu)에 따르면 2005년부터 조사한 2만 여 개의 활동하는 악성코드를 조사한 결과 등장 후 한 달 만에 활동이 중지되는 악성코드가 40%, 2 개월 후에는 60%, 3개월 후에는 70% 이다. 악성코드 중 30%만이 3개월 이상 활동하고 있다고 한다.
최근 3개월 통계에 따르면 40%의 악성코드만이 일주일간 활동하고 30일 이상 활동하는 악성코드는 고작 15%에 불과했다. 안티 바이러스 프로그램의 사용이 증가하고 악성코드의 대부분이 트로이목마로 단기간에 짧게 뿌려지고 새로운 변형이 뿌려지는 형태로 유행해 벌어지는 것으로 보인다.
또한 악성코드의 90%는 윈도우 실행 파일이며 패킹되지 않은 파일이 66%, 패킹된 파일은 44%이며 97%의 파일이 1 메가바이트 이하의 길이를 가지는 것으로 밝혀졌다.
포티넷에 접수된 샘플 위주로 조사된 결과라 수치적으로는 다를 수 있지만 악성코드의 활동 기간이나 실행 압축 비율은 많은 도움이 되었다.

[그림 8] 포티넷의 악성코드 현황

제거도 잘하자

안티 바이러스 업체는 사용자의 시스템에 안티 바이러스 프로그램이 설치되어 있고 항상 최신 엔진과 시그니처 파일로 업데이트되어 악성코드로부터 피해를 최소화되는 상황을 생각한다. 하지만, 현실은 이와 달리 많은 일반 사용자들은 안티 바이러스 제품이 아예 없어 감염 후 시스템이 이상해 안티 바이러스를 설치하거나 업데이트를 제대로 하지 않는 경우도 많다.
일반적인 사용자들은 악성코드에 감염되면 안티 바이러스 프로그램에서 완벽하게 제거해주는 것으로 생각한다. 이런 일반적인 인식과 달리 AV-Test의 마이크 모르겐스턴(Maik Morgenstern)과 톰 브로쉬(Tom Brosch)는 애드웨어인 핫바(Adware.Hotbar)을 예로 안티 바이러스 프로그램의 치료에 대한 문제점을 지적했다. 이 애드웨어가 설치되면 생성되는 파일이 183개, 생성된 레지스트리가 789개인데 안티 바이러스 프로그램의 파일 제거는 16개 - 182개, 생성된 레지스트리 제거도 0 – 778개로 다양했다. 기대와 달리 아직도 대다수 안티 바이러스 프로그램이 파일 삭제와 몇몇 레지스트리만 제거하고 있다. 안티 바이러스 프로그램의 특성상 완벽한 예방은 한계가 있으니 감염 후 치료도 신경을 써야 하지만 고객들의 기대치에는 아직 미흡함을 알 수 있다. 안티 바이러스 업계도 과거 바이러스 치료처럼 파일 치료 기반이 아닌 시스템 복구 개념으로 제품의 변화가 있어야 할 것으로 보인다.

VB 2007 비엔나 참여 업체

필자가 5년 만에 참석하는 VB컨퍼런스인데 신규업체 사람들이 제법 많았으며 아시아 지역 사람들을 많이 볼 수 있었다. 하지만, 만나본 아시아 사람들 대부분은 미국이나 캐나다에 살고 있는 유창한 영어 실력자들이었다.
업계 유명 인사 중 상당수가 마이크로소프트사로 옮겨서 마이크로소프트사의 안티 바이러스 업계 진출을 다시 한번 느낄 수 있었다.
이번에 크게 눈에 띈 업체는 인도의 K7컴퓨팅(K7Computing)으로 사장을 비롯해 6~7명 정도의 사람들이 참석했다. 마치 2000년 VB 컨퍼런스에 처음 등장한 소프트윈(Softwin)이 떠올랐다. 이후 소프트윈은 AVX라는 이름에서 비트디펜더로 제품을 바꾼 후 루마니아 지역 제품을 벗어나 유명 제품으로 부상했다.
2000년 VB 컨퍼런스에 참석했을 때만해도 안철수연구소를 몰라 어떤 회사임을 소개 해야 했던 것에 비해 이제는 대부분의 업체에서 알고 있으며, 신생 업체는 회사 이름을 보고 먼저 인사를 할 정도로 위상이 높아졌음을 실감했다.

굿바이! VB 2007 비엔나

패널 후 컨퍼런스 클로징 섹션(Conference Closing Session)이 있었다. 컨퍼런스 기간 동안의 모습을 담긴 사진과 다음 컨퍼런스가 열리는 장소가 발표되며 3일 간의 공식적인 컨퍼런스는 막을 내렸다.

[그림 9] VB2008은 캐나다 오타와에서 2008년 10월 1일~3일 열림

바이러스 블루틴 컨퍼런스는 안티 바이러스 업계의 대표적인 컨퍼런스이다. 올해는 혁신적인 기술적인 내용이 발표되지 않았지만 악성코드 제작자들이 어떻게 돈을 벌고 있는지와 안티 바이러스 업계가 어떤 점을 고민하고 있는지 알 수 있었다.@

[차민석]

악성코드 분석가

안철수연구소

안철수연구에서 악성코드 분석 및 연구를 하고 있으며 현재 안랩 IT 컬럼니스트 1기로 활동중이다. ‘쿨캣’이라는 필명으로도 활동중이며, 보안 업무 외 정치, 경제, 사회, 역사, 상식 등에도 해박한 지식을 갖추고 싶어하는 화려하진 않지만 알찬 30대 미혼 청년이다.