내 소스코드를 보호하자! 코드 가상화 기법

보안라이프/IT트렌드 2016.02.11 22:30

 1. 역공학
프로그램을 정적으로 조사하고 검증하는 방법에는 두 가지가 있습니다. 첫 번째는 소스코드를 살펴보는 것이고, 두 번째는 컴파일된 프로그램(바이너리 파일)을 거꾸로 살펴보는 것이죠. 소스코드를 살펴보는 것은 이해할 수 있겠는데.. 컴파일 된 프로그램은 어떻게 볼 수 있냐구요? 바로 역공학 기법을 이용하면 됩니다.

역공학(Reverse Engineering, 리버싱)이란 컴파일 된 바이너리를 어셈블리 코드로 살펴보는 것을 뜻합니다. 가령, 윈도우에 기본적으로 내장되어 있는 계산기(calc.exe)를 역공학 도구를 이용하여 보면 아래와 같은 코드들을 볼 수 있습니다.

<그림 1 - 어셈블리 코드>


혹은 좀 더 좋은 역공학 도구를 이용한다면, 실행파일로부터 소스코드를 알아낼 수도 있습니다.  <그림 2>는 위에서 본 calc.exe의 소스코드를 복원한 것인데요, 이는 우리가 알고 있는 "코드"라는 것과 가깝죠.


<그림 2 - C 코드>


이러한 역공학 기술은 악성코드 분석가에게는 매우 좋은 조사 방법입니다. 왜냐하면, 악성코드 제작자는 악성코드를 오픈소스로 공개하지 않기(?)때문입니다. 분석가에게는 역공학만이 유일한 정적 분석 방법입니다. 

그러나 프로그램 제작자의 입장에서 역공학은 그다지 반갑지 않습니다. 역공학 기법을 이용하면 자신의 프로그램의 동작 원리가 밝혀지는 것은 물론, 더 나아가 코드까지도 공개될 수 있기 때문이지요. 그렇다면 내가 만든 프로그램의 코드를 안전히 보호하는 방법은 무엇일까요? 역공학 기술로도 안전하게 내 코드를 보호하는 방법은 없을까요?

있습니다! 이를 안티 리버싱 기법이라고 말합니다. Anti-Reversing, 말 그대로 리버싱이 안 되도록 하는 것이죠. 안티 리버싱 기법은 많은 종류가 있는데요. 실행 압축, 프로그램 난독화, 안티 디버깅 코드 삽입, 코드 가상화... 등 다양한 방법이 있습니다. 이번 포스트에서는 이 중에서도 코드 가상화에 대해 살펴보려고 합니다. 



▶ 2. 코드 가상화

코드 가상화 기법은, 위에서 말했다시피 안티 리버싱 기술 중 하나입니다. 코드 가상화를 프로그램에 적용할 경우, 역공학으로부터 안전하게 프로그램과 코드를 보호할 수 있는 것이죠. 그렇다면 어떻게 보호하는 것일까요? 비밀은 바로 가상 CPU에 있습니다. 

프로그램은 많은 바이너리 코드들로 이루어집니다. 컴퓨터 내의 CPU라는 놈이 이 명령어들을 한땀 한땀... 아니, 한줄 한줄 실행합니다. 그렇게 함으로써 우리가 <그림 3>과 같이 calc.exe를 실행할 수 있게 되는 것이죠.

<그림 3 - 실행된 프로그램>



코드 가상화 기법의 경우는 좀 다릅니다. 프로그램을 만든 후, 이를 컴파일하여 실행파일을 만드는데, 코드 가상화 기법은 컴파일 과정에서 어셈블리 코드를 살짝 바꿉니다. intel CPU용 어셈블리가 아니라, 가상화 CPU용 어셈블리로요. 이것은 기존의 역공학 도구로 코드복원이 불가능합니다. 따라서 작성한 코드를 안전하게 보호할 수 있게 되는 것입니다. 또한 이렇게 가상화된 코드는 원래의 CPU에서 실행할 수 없습니다. 가상 CPU에서 실행합니다. 가상 CPU는, 프로그램 내에 소프트웨어적으로 구현되어 있죠.

한 마디로 정리하면, 실제 CPU가 실행하는 것은 가상화된 어셈블리 코드를 실행하는 가상화된 CPU인 것이죠. 이를 그림으로 표현하면 <그림 4>와 같습니다. 

<그림 4 - 코드 가상화의 원리>



즉, 코드 가상화 기법을 간단히 정리하면 이렇습니다. 

1.  원래의 코드를 가상화 CPU용 코드로 변환합니다. 
2.  가상화 CPU는 그 코드를 실제 CPU가 이해할 수 있도록 해석합니다. 
3. 해석된 코드는 실제 CPU에게 읽히며, 프로그램이 실행됩니다.

이해하기 어렵다구요? 그렇다면 자바를 떠올려보세요! 컴파일된 자바 코드가 JVM(Java Virtual Machine)에서 실행되고, JVM이 실제 CPU에서 실행되는 방식으로 자바 어플리케이션이 실행되죠? 바로 코드 가상화도 이와 같은 원리입니다. 


▶ 3. 코드 가상화 도구 : Code Virtualizer
그렇다면, 우리의 프로그램에 코드 가상화 기법을 적용하려면  어떻게 해야 할까요? 먼저 가상화 CPU 를 만들고, 이 가상화 CPU용 코드를 만들면 됩니다. 이러한 작업을 수행해 주는 코드 가상화 도구로는 대표적으로 Code Virtualizer가 있습니다. Code Virtualizer는 Oreans사에서 개발한 의 코드 가상화 시스템입니다. 


<그림 5 - Code Virtualizer (출처 http://oreans.com/)>

<그림 5>에서 볼수 있듯이, 원본 어셈블리 코드가 Code Visualizer를 거쳐 변환되면, 쉽게 알아볼 수 없는 가상화 코드가 됩니다. 이런 코드들은 그리고 이는 코드 내에 있는 가상 에뮬레이터로 실행됩니다. 그러면, 실제 프로그램에 이를 적용해 보도록 합시다.  여기 Ahnlab.exe이라는 프로그램이 있습니다. 실행되면 아래와 같은 알림 창을 띄우는 단순한 프로그램입니다. 


<그림 6 - Ahnlab.exe>


이 프로그램의 코드는 <그림 7>과 같습니다. VirtualizerSDK.h는 Code Virtualizer에서 제공하는 헤더파일로써, 매크로를 사용하여 가상화할 코드 블록을 지정할 수 있게 해 줍니다.  가상화 할 코드 블록은 VIRTUALIZER_START,  VIRTUALIZER_END로 지정할 수 있습니다.

<그림 7 - Ahnlab.exe의 소스코드>


이제 이 프로그램을 가상화하게 되면, 매크로로 지정된 부분만이 가상화됩니다. Code Virtualizer에서는, <그림 8>과 같이 많은 에뮬레이터와 가상 CPU를 지원합니다. 사용자는 복잡도와 실행시간을 보고, 사용할  CPU를 선택할 수 있습니다. 복잡도가 높을수록 코드를 안전하게 보호할 수 있지만, 실행 시간이 느려진다는 단점이 있습니다. 또한, 2개 이상의 가상CPU를 선택하여, <그림 9>와 같이 다중 코드 가상화를 할 수도 있습니다.


<그림 8 - Code Virtualizer>


<그림 9 - 다중 코드 가상화 (출처 http://oreans.com/) > 


▶ 3. 마무리하며
코드 가상화가 완료되면 가상화된 코드, 더미코드 등이 생기며 파일의 크기가 늘어납니다. 또한 공격자가 가상화된 코드 블록을 디컴파일하고자 하면, x86 명령어 대신 가상화 CPU에 대한 명령어 셋이 보여집니다. 더욱 해석하기 어려워지는 것이죠. 따라서 이는 안티 리버싱 및 난독화 기법으로도 볼 수 있습니다. 이렇듯 코드 가상화 기법은, 소중한 코드를 보호할 수 있게 하는 유용한 기법입니다. 그러나, 이 기술은 마냥 좋은 것은 아닙니다. 적어도 악성코드 분석가들에게는요. 생각해 봅시다. 만약 코드 가상화 기법이 악성코드에 적용된다면 어떨까요? 그것도 다중 코드 가상화 기법이 적용된 악성코드라면? 

그 악성코드를 분석하는 분석가는.. 며칠 밤 야근을 하게 될지도 모르겠군요...


<그림 10 - 코드 가상화가 적용된 실행파일>











문자를 받는 것만으로도 감염되는 안드로이드 악성코드 'Stagefright'

 바야흐로 진정한 스마트 시대가 도래했습니다. 안드로이드와 iOS 진영의 스마트폰들이 전 세계 스마트폰 시장 점유율의 97% 이상을 차지하고 있는 세상이죠. 우리에게 가장 보편적이고 대중적으로 다가오는 스마트폰은 바로 안드로이드 스마트폰으로, 그도 그럴만한 것이 안드로이드 스마트폰이 시장 점유율의 80% 이상을 차지하고 있기에 우리에게도 친숙하게 느껴질 수밖에 없겠지요.


이렇게 많은 안드로이드 핸드폰을 모두 위협할 수 있는 악성코드가 등장했다면 쉽사리 믿어지지 않을 것 같지만 실제로 그런 악성코드가 등장했습니다. 그리고 자신을 감염시키는 방법이 아주 악랄한 악성코드인데요. 이 악성코드는 악성 어플리케이션을 설치하는 것도, 인터넷에서 이상한 행위를 하는 것도 아닌 그저 문자(MMS) 메시지를 수신하는 것만으로도 스마트폰을 충분히 감염시킬 수 있는 악성코드입니다. 이러한 특성 때문에 종전에 등장했던 여러 악성코드들과는 달리 그 파괴력이 가장 치명적이라고 할 수 있겠습니다.

한 번 이 녀석에 대해 알아볼까요?



(https://en.wikipedia.org/wiki/Stagefright_(bug)#/media/File:Stagefright_bug_logo.png)


이 악성코드가 등장하기 전까지의 안드로이드 악성코드들은 모두 그저 어플리케이션 형태로 등장하는 악성 어플로서, 해당 어플리케이션을 설치해야만 동작하는 프로그램들이 전부였습니다. 물론 어플리케이션 형태로 제작되는 이러한 악성코드들이 가장 파괴적이긴 하지요. 그러나 이러한 악성 어플리케이션들은 설치를 하지 않으면 그만입니다. 또한 운영체제 내에서 기본적으로 이러한 어플리케이션들을 설치할 때는 경고 창을 띄워주기도 하고요.

그러나 Stagefright는 좀 다릅니다. 사용자가 MMS를 수신하는 것만으로도 악성코드에 감염이 될 수 있기 때문입니다. 그러니까 그냥 내 휴대폰에 악성 MMS가 도착하고, 내가 그걸 수신한다면 이미 감염이 되는 것이지요. 한마디로 사용자가 쉽게 방어할 수 없는 악성코드라는 말입니다.

Stagefright에 감염된다면 어떤 공격을 받을 수 있을까요? 보통의 바이러스들은 감염되기 쉬우면, 파괴력도 약합니다. 그러나 이 녀석은 좀 다릅니다. 한 번 Stagefright에 감염된다면 해커는 감염된 핸드폰의 어플리케이션 정보나 카메라 정보, 연락처 등에 접근할 수 있다고 합니다. 내 개인 정보들이 순식간에 빠져나갈 수 있는 통로를 이 녀석이 제공해주는 셈인 거죠.

심지어 Stagefright는 안드로이드 2.2 (프로요) 이상부터 현재 최신 버전인 5.1.1 (롤리팝)까지의 안드로이드 핸드폰들에게 타격을 입힐 수 있다고 하니, 모든 안드로이드 스마트폰이 공격 대상이라고 봐도 무방할 정도입니다.


Stagefright, 공격의 원리

그렇다면 과연 어떤 취약점이 이런 공격을 가능하게 하는 걸까요?

(https://www.grahamcluley.com/2015/08/bad-news-google-android-stagefright-patch/)


사실 Stagefright는 악성코드의 이름은 아닙니다. Stagefright란 안드로이드 내부에서 미디어를 포함한 텍스트 메시지 (MMS)를 수신할 때 그 메시지의 처리를 도와주는 라이브러리의 이름입니다. 이 취약점이 libStageFright 라는 라이브러리를 대상으로 하고, 이 라이브러리는 안드로이드 2.2부터 5.1.1까지 사용되는 라이브러리이기 때문에 거의 대부분의 안드로이드 핸드폰이 해당 취약점에 노출돼있는 것이죠.

해커들이 이용하는 취약점은 바로 해당 라이브러리의 Integer Overflow 취약점을 이용하는 것입니다. 만약 size와 chunk_size의 합이 2^32 (32bit Integer가 표현할 수 있는 최대 범위) 가 넘어가면, Memory Corruption을 일으켜 해커들이 원하는 악성 코드를 삽입할 수 있게 해줍니다.


Stagefright, 당하지 않으려면



(https://www.twilio.com/blog/2015/07/how-to-protect-your-android-device-from-stagefright-exploit.html)


Google에서는 이 취약점이 발표된 직후 안드로이드 제조사들과 협력해서 해당 문제점을 수정하겠다는 의지를 바로 피력했습니다. 그리고 안드로이드 사용자들을 위한 보안 지침도 함께 공개했습니다. 대표적인 지침은 "MMS 자동으로 수신하기" 옵션을 꺼 놓는 것입니다. MMS를 자동 수신하게 되면 악의적인 MMS를 자동으로 수신하는 것을 방지해주기 때문이죠.

다만 Google의 속도 빠른 대응에도 불구하고, 새로운 Stagefright 관련 취약점이 등장했습니다. 이번 취약점은 바로 MMS를 통해서 동영상 파일(mp4)을 수신할 때 생기는 취약점으로서 역시 Google은 이런 새로운 취약점에 대해서도 발빠르게 보안 패치를 하겠다고 천명했습니다.


과연 내 핸드폰은 안전할까?


해당 취약점을 가장 먼저 발견한 보안 회사 Zimperium에서는 안드로이드 휴대폰이 Stagefright 취약점에 노출돼 있는지를 알려주는 Stagefright Detector라는 어플리케이션을 출시했습니다. 나의 휴대폰이 안전한지 확인하려면 해당 어플리케이션을 실행시켜 보는 것도 괜찮은 일이겠네요!

그리고 MMS 자동 수신 같은 옵션이 꺼져있는지 꼭 확인해 보셔야 합니다. (행아웃, 메시지 등...)

(http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist=1&seq=23949)






랜섬웨어! 정체를 밝혀라!

▶1. 랜섬웨어? 그게 뭔데요?

  랜섬웨어는 희생자의 정보를 암호화하는 악성코드이다. 신용카드 정보 등의 정보를 훔쳐가는 기존의 일반적인 악성코드와는 달리, 희생자 로컬에 존재하는 파일들(.hwp, .doc )들을 암호화한다. 암호화된 파일들은 “.ccc”, “.encryped” 등의 확장자로 변형되며, 접근하지 못하게 된다. 그것들을 복호화하기 위해서는 키가 필요한데, 그 키는 공격자가 가지고 있다. 그리고 공격자는 희생자에게 협박을 시작한다. “너의 파일들을 복호화하고 싶으면 돈 내놔!” 이렇게 협박을 하면서 인질들의 몸값으로 적게는 30만원에서 많게는 1000만원까지도 요구한다.


▶2. 랜섬웨어, 어떻게 감염이 되는 것일까요?

  희생자는 스팸 메일에 첨부된 파일을 실행하거나, 드라이브 바이 다운로드 공격(Drive By Download)코드가 삽입된 웹 페이지에 접근함으로써 랜섬웨어에 감염될 수 있다. 또한 요즈음에는 토렌트의 첨부파일을 통해 감염이 되기도 한다.(스크린세이버 파일 등). 



3. 파일이 암호화되는 상세 과정은요?  

립토락커의 작동 과정을 예를 들어 설명하도록 하겠다. [그림 1]은 크립토락커 일부 변종의 작동 과정이다. 그러나 랜섬웨어의 종류, 변종 별로 각기 다른 작동 과정과 암호화 과정이 적용되므로 [그림 1]의 과정이 모든 랜섬웨어에 적용된다고 생각하면 안 된다. 


[그림 1 - 암호화 과정]

1. 사용자는 랜섬웨어에 감염된다. 이 랜섬웨어에는 공격자의 RSA 공개키가 하드코드되어 전송된다.
2. 
랜섬웨어가 실행된 후 사용자는 공격자의 C&C서버에 접속한다. 이때 사용자의 시스템 정보, 아이피 정보 등을 공격자에게 전송한다. 
3. 사용자 시스템에서 자동으로 생성되는 대칭키(AES-256)를 이용하여 사용자의 파일을 암호화한다.
4. 사용자의 암호화된 데이터 정보와 암호화된 대칭키 정보를 공격자에게 전송한다. 
5. 암호화를 마치면 사용자의 로컬에 존재하는 공격자의 RSA 공개키가 삭제된다.
6. 이 과정은 추가적인 과정이다. 만약 희생자가 공격자에게 비트코인을 전송한다면, 공격자는 RSA 개인키를 전송함으로써 희생자 파일을 복호화하게 할 수도 있다. 그러나 가능성은 희박하다.


  랜섬웨어에 감염되면 파일들은 AES-256알고리즘의 대칭키로 암호화된다. 그런데 이 과정에서 공격자는 RSA-1024나 RSA-2048와 같은 비대칭키 암호화 알고리즘 또한 사용한다. 즉, AES 대칭키 알고리즘과와 RSA 비대칭키 알고리즘 2가지를 사용하는 것이다. 여기서 의문이 생긴다. 공격자는 비대칭키만으로도 충분히 안전한(?)파일의 암호화가 가능하다. RSA-1024나 RSA-2048현재 기술로는 크랙이 불가능한 알고리즘이기 때문이다. 그런데 공격자는 파일을 암호화할 때 256비트의 비교적 크랙하기 쉬운 AES키를 사용한다. 왜 이런 일을 하는 것일까? 

  굳이 AES-256을 사용하는 이유? 그 이유는 바로 대칭 키의 빠른 암호화에 있다. RSA-2048과 같은 비대칭 키는 대칭 키에 비해 안전하지만 파일을 암호화 하는 데 시간이 오래 걸린다. 랜섬웨어 특성상 희생자 파일들을 빠르게 암호화한 후 사라져야(자기삭제) 탐지될 확률이 적어진다. 따라서 랜섬웨어 제작자들은 파일을 암호화할 때 속도가 빠른 AES를 사용하고, RSA는 AES 키를 암호화하는 데 사용함으로써, 속도와 안정성 두 마리 토끼를 잡을 수 있었던 것이다. 



4. 그렇다면, 공격자를 추적할 수 있지 않을까요?

  현실 세계에서 사기 범죄가 발생했다. 경찰은 범죄자의 계좌번호를 알아내었고, 은행에 연락하여 범죄자의 이름, 거주지 등의 신상정보를 알아내었다. 그리고 며칠 후 범죄자를 성공적으로 체포할 수 있었다. 이것은 현실에서 일어나는 범죄에 대한 매우 일반적이고 당연한 접근방법이다. 
  자, 이제 랜섬웨어에 이 상황을 대입해 보도록 하자. 아까 말했듯이 랜섬웨어는 희생자에게 “입금”을 요구한다. 그러면서 "비트코인 주소"라는 일종의 계좌번호 정보를 남긴다. 앗, 그렇다면 이 계좌번호로 공격자를 추적할 수 있지 않을까?


[그림 2 - 비트코인]

  슬프게도, 그럴 수 없다. 비트코인이라는 인터넷상의 화폐를 사용하기 때문이다. 비트코인은 발매자도 없고 관리자도 없다. 또한 비트코인은 비트코인 주소를 제외하고는 공격자의 어떤 정보도 포함하지 않는다.. 모든 비트코인 사용자는 여러 개의 비트코인 주소를 소유할 수 있으며, 또한 공격자는 새로운 주소를 무한대로 생성할 수 있으므로 공격자의 추적은 불가능하다. 




5. 랜섬웨어 감염을 예방하려면? 혹은 감염된 시스템을 복구하려면?

  먼저 랜섬웨어 예방법을 소개함에 앞서, 이 단원에서는 "병에 걸리지 않기 위해서는 손을 깨끗이 씻어라"와 같은 교과서적인 말밖에 할 수 없다는 점에 미리 사과한다. 말 그대로다. 예방법으로는 대표적으로 4가지가 있다. 일단 첫 번째로, 사용자는 수상한 URL에 접근하지 말아야 한다. 파일을 다운받거나 실행하지 않아도, URL을 클릭하는 것 만으로도 랜섬웨어에 감염될 수 있다는 사실을 인지하고 있어야 한다. 두 번째로 랜섬웨어에 감염될 때를 대비하여 파일을 주기적으로 외부 저장소에 백업해 두어야 한다. 세 번째로 수상한 E-mail에 첨부된 실행 파일을 실행해 보거나, 출처가 불분명한 파일을 실행하지 말아야 한다. 이 때에는 .exe확장자 뿐만 아니라 .scr(스크린세이버)등의 기타 확장자의 파일 또한 조심해야 한다. 마지막으로 웹 브라우져와 운영체제, 그리고 백신을 꾸준히 최신 버전으로 업데이트하여 알려진 취약점을 이용한 공격을 막아야 한다.
  어렵지만, 복구 방법도 있긴 하다. 일말의 가능성을 믿고 공격자에게 비트코인을 보내보기, 지구 어딘가에 존재할 
공격자의 C&C서버를 털어서 키를 가져오기(..?), 양자컴퓨터를 개발하여 RSA-2048(RSA-1024)알고리즘을 크랙해 보기(...?),  타임머신을 개발하여 파일이 암호화되기 전으로 돌아가기(....?) 등등의 조금은 어려운(...) 방법이다. 첫 번째 방법은 랜섬웨어 범죄 행위를 부추길 수 있다는 점에서 권장하지 않는 방법이다. 또한 세 번째와 네 번째 방법은 안타깝게도 아직 보고된 성공 사례가 없지만, 두 번째 방법은 사례가 존재한다. 올해 9월 네덜란드 경찰이 랜섬웨어 용의자의 서버를 털어 14031개의 복호화 키를 확보하고, 해당 복호화 키를 대상으로 카스퍼스키랩에서 랜섬웨어 복호화 툴을 만들어 배포하였던 사례이다. 이에 대한 자세한 정보는 https://noransom.kaspersky.com/에서 확인할 수 있다. 


[그림 3 - 백신의 자동 업데이트 허용]




6. TeslaCrypt 파헤치기! : 시스템 관점과 네트워크 관점에서

 ▷6.1 시스템 관점에서

  TeslaCrypt는 게임 관련 파일들을 대상으로 한 랜섬웨어이다. 필자는 웹 서핑을 통해 TeslaCrypt의 샘플을 구할 수 있었고, 여기에서는 간단히 분석해보았다. 먼저 [그림 4]는 감염 직후의 희생자 바탕화면이다. TeslaCrypt는 희생자 시스템을 감염시킨 후 친절하게도 3가지 방법(png, txt, html)으로 입금을 안내한다. 


[그림 4 - 감염 직후]



 희생자 시스템 내의 파일은 [그림 5]와 같이 .ccc의 확장자가 생기며, 해당 파일을 열 수 없게 된다.  암호화 된 것이다. 


[그림 5 - 파일의 변화]



  또한 C:\Documents and Settings\ever\My Documents 하위에는 recover_file_[랜덤문자열].txt 파일이 저장된다. 이는 희생자의 시스템, IP등의 정보를 포함하는 값으로, 희생자를 구분하는 역할을 한다. 추후에 공격자 사이트에 이 파일을 업로드 해야만 공격자의 비트코인 지갑 주소를 알 수 있다. 


[그림 6 - 희생자를 구분하는 고유한 값]



  또한 레지스트리의 값에도 변화가 존재한다. 희생자 레지스트리의 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 경로에는 "qewr2342"라는 이름으로 "C:\\Users\\Administrator\\AppData\\Roaming\\[랜덤문자열]-a.exe"가 저장된다. 여기에서는 pojiu-a.exe의 이름이다. RUN 레지스트리는 자동 실행 프로그램을 등록하는 곳이다. 그렇다면 키 값으로 등록되는 pojiu-a.exe 파일은 무엇일까?

[그림 7 - 랜섬웨어 실행파일 레지스트리 등록]

 pojiu-a.exe은 랜섬웨어 실행파일이 드롭하는 파일이다. 랜섬웨어 파일과 구조상 동일하며, %Appdata% 경로에 생성된다. 기존의 악성코드들이 코드 인젝션이나 DLL 인젝션을 이용해 악성 행위를 수행했던것과 달리 TeslaCrypt는 이렇게 악성행위 실행파일 자체를 특정 경로에 생성하여 실행하는 특징을 보인다. 동적 분석 결과, Teslacrypt에 감염된 시스템에서는 다음과 같은 행위가 순차적으로 수행됨을 확인할 수 있었다.

1. 맨 처음에 희생자가 랜섬웨어 실행파일에 감염된다.  
2. 해당 랜섬웨어 실행파일은
자기 자신과 동일한 실행파일을 %Appdata%경로에 생성한 후에 자기자신을 삭제한다. (생성하는 파일의 이름은 [랜덤문자열]-a.exe이다.)
3. 
생성된 실행파일 [랜덤문자열]-a.exe은 희생자 시스템 내에서 파일을 암호화하는 실제 악성행위를 수행한다. 그 후 모든 일을 마치면 자기자신을 삭제한다. 

 또한 레지스트리의 HKCU\Software\5A62E9DE47EBD77\data경로에 랜덤 문자열의 이름으로 binary형태의 키 값을 등록한다. 희생자 시스템에는 아래와 같은 로그가 남는다. 

01/12/2015 21:5:34.125","registry","SetValueKey",
"C:\Users\Administrator\AppData\Roaming\pojiu-a.exe","HKCU\Software\5A62E9DE47EBD77\data
[그림 8 - 희생자 로그]



이렇게 레지스트리의 HKCU\Software\5A62E9DE47EBD77\data경로에 저장된 값을 추출하여 hex값을 살펴본 결과 [그림 9]와 같이 1024비트의 문자열이 확인되었다. 이는 공격자의 RSA 공개키로 추측된다. 이 키 값은 시스템 내의 모든 암호화된 파일에서 공통적으로 발견된다. [그림 9 - data레지스트리 값]과 [그림 10-암호화된 파일 값]의 블록 지정된 부분은 동일한 값인데, 이와 같이 Teslacrypt악성코드는 암호화 과정에서 시스템의 레지스트리를 이용한다.


[그림 9 - data 레지스트리의 값]



[그림 10 - 암호화된 파일]


해당 키값은 희생자 시스템 내의 모든 암호화된 파일에서 공통적으로 발견된다. 이를 통해 필자는 다음과 같이 해석할 수 있었다.

"TeslaCrypt는 희생자 시스템 내의 파일을 AES키값으로 암호화한다. 이러한 AES키값은 악성코드 실행시간에 랜덤하게 생성된다.
즉 모든 파일은 각기 다른 AES키로 암호화되는 것이다. 그 후에 파일의 헤더에 해당 AES키를 붙인다.
그리고 이렇게 생성된 파일의 [헤더+데이터] 부분을 통채로 RSA 공개키로 암호화한다.
마지막으로, 사용된 RSA 공개키를 [그림 9]에서 확인할 수 있듯이 파일의 앞부분에 붙인다. 
이렇게 하면 희생자가 어느 한 파일의 AES키값을 알아낸다고 해도 전체 파일을 복호화하지는 못한다.
왜냐하면 전체 파일은 각각 다른 AES키값으로 암호화되어 있기 때문이다. 그러나 공격자는 RSA 비밀키 하나만 있으면 희생자 파일을 모두 복호화할 수 있게 된다.
왜냐하면 RSA 비밀키로 희생자 파일을 복호화하면, 그 후에는 파일 자체에 들어있는 AES키로 해당 파일을 복호화하면 되기 때문이다."



 ▷6.2 네트워크 관점에서

이 챕터에서는 랜섬웨어의 활동을 네트워크 포렌식 관점으로 접근해 분석하였다. 먼저 랜섬웨어는 myexternalip.com에 접속하여 [그림 11]와 같이 희생자의 공인IP를 알아낸다. 이 정보는 추후에 공격자의 C&C서버에 전송되며, 희생자를 식별하는 키 값의 일부로 사용된다.


[그림 11 - 희생자의 공인IP정보 획득]


그 후에, [그림 12]와 같이 공인IP정보를 포함한 희생자 시스템의 정보를 암호화하여 C&C서버로 전송한다. 해당 패킷에서 공격자 서버는 latinmoves.com이다. 그러나 이 뿐만 아니라 희생자는 여러 개의 C&C서버로 접속을 시도한다. 그 이유는 이용하는 서버의 대부분이, 악의적이지 않은 일반적인 웹 사이트이기 때문인데, 공격자는 취약점이 존재하는 웹 사이트를 해킹하여 공격에 사용되는 파일이나 코드를 심어놓는다. 그리고 그것을 악성코드 배포 및C&C 서버로 이용한다. 이러한 사이트의 취약점이 패치된다면 더 이상의 공격이 불가능하다. 따라서 하나의 서버가 불능이 될 것을 대비하여 여러 개의 서버를 마련해 놓는 것이다.


[그림 12 - 희생자 정보 전송]


[그림 13 - 공격자 서버 정보]

[그림 13]은 패킷 분석 결과 발견된 공격자 서버의 URL과, 그것에 해당하는 IP이다. 이 사이트들에게 모두 패킷을 전송하나, 대부분의 서버는 다운되어 500번 에러 메시지로 응답한다. 그러나  이 중 살아있는 공격자 서버에 연결되면, 서버로부터 [그림 14]와 같이 "---!!!INSERTED!!!---" 의 응답이 온다.


[그림 14 - 서버로부터의 응답]




 ▷V3 진단 결과

마지막으로 AhnLab V3에서의 이 악성코드의 진단명은 Trojan/Win32.Teslacrypt.R168154이다. 사용자가 해당 악성코드를 다운로드할 시 V3는 파일을 즉각 삭제한다. 또한 V3는 악성코드 진단 및 치료 뿐만 아니라 유해 사이트 차단기능까지 제공한다. 공격 과정에서 접속하는 [그림 13]의 URL에 접근할 시에는, 해당 공격 사이트를 악성 사이트로 진단하고 [그림 16]와 같이 접속을 차단한다.


[그림 15 - 유해 사이트 접속 차단]


[그림 16 - 악성코드 진단 및 삭제]






[참고 사이트]
  http://asec.ahnlab.com/1032
  http://www.isightpartners.com/2015/09/teslacrypt-2-0-cyber-crime-malware-behavior-capabilities-and-communications/

[참고 문헌]
  Cryptowall Verson 3 Threat, Cyber Threat Alliance




(잘못된 내용은 아래 메일로 제보해 주시면 수정하도록 하겠습니다.)


페이스북의 끝 없는 진화

보안라이프/IT트렌드 2015.08.31 21:02

여러분들은 가장 자주 사용하시는 소셜미디어가 무엇이세요? 트위터? 인스타그램? 링크드인?

이렇게 요즘 많은 소셜미디어들이 생겨나고는 있지만 가장 전세계적으로 많은 사람들이 사용하고 있는 소셜미디어는 바로 페이스북이라고 할 수 있습니다.

 현재 페이스북은 13억이 넘는 사람들이 사용하고 있을 정도로 가장 인기 있는 소셜미디어라고 할 수 있는데요. 이번엔 그런 페이스북이 새로운 형태의 서비스를 출시했습니다.


그것은 바로 ‘Facebook At Work’입니다.


(사진 출처 http://onlygizmos.com/facebook-work/2014/11/)



이것은 말 그대로 기업용 SNS서비스입니다.

페이스북 앳 워크는 우리들이 흔히 사용하는 기존 페이스북과는 같은 형태입니다.

새로운 게시물이 올라오면 좋아요버튼을 누르고 댓글을 달고 메시지 기능을 통해 친구들과 대화를 나누며 일부 사람들끼리 페이스북 그룹을 통해 의사소통하는 기능은 모두 갖추고 있지만 기존 페이스북과는 약간의 다른 형태를 가지고 있다고 합니다.


(사진 출처 : https://itunes.apple.com/kr/app/facebook-at-work/id944921229?mt=8)


요즘 몇 명 사람들은 페이스북 뿐만 아니라 소셜미디어가 가지고 있는 단점 중 하나인 허위광고, 쓸데 없는 홍보 광고 때문에 소셜미디어 사용을 부정적으로 생각하고 있다고 합니다.

하지만 이 새로 출시된 페이스북 앳 워크는 광고가 없으며 사용자들의 정보수집이 필요없을 것이라고 해 더욱 더 기대가 되고 있습니다.

이러한 장점들 때문에 페이스북 사용자가 더욱 더 증가할 것으로 기대되고 있으며 번거롭게 회사에서 이메일을 주고 받을 필요 없이 페이스북 앳 워크로 실시간으로 업무상황을 파악할 수 있으며 피드백이 가능하기 때문에 좀 더 원활하고 편리한 회사생활이 될 것으로 예상하고 있습니다.

또한 기존 페이스북과는 달리 외부와 완전히 단절되고 그 기업의 직원들로만 구성해서 완벽한 폐쇄형 운영이 가능해 질 것으로 보여서 더욱 기대를 받고 있습니다.

물론 소셜미디어의 고질적인 단점인 사생활 침해, 보안성 문제는 끊임 없이 제기 되고는 있지만 유저의 친숙함 이라던지 업무적으로도 정말 효율적으로 사용될 수 있기 때문에 많은 기업에서 사용하지 않을까 하는 예상이 됩니다.

현재 아직은 베타테스트용으로 일부 기업들에 한해서 클로즈 베타테스트용이 배포되었지만 정식으로 출시가 된다면 기업 문화에 새로운 패러다임이 일어나지 않을까라는 생각도 듭니다.

이 뿐만 아니라  페이스북 앳 워크가 정식으로 출시가 된다면 이 와 비슷한 형태를 제공하고 있는 구글이나 기업형 SNS야머(Yammer)’ 등과의 경쟁구도는 어떻게 변해갈지 현재 제공있는 서비스와는 어떤 차별화된 전략을 펼칠지 또 하나의 관전 포인트가 될 것 같습니다.



안랩 대학생 기자단 14기

서울여자대학교 정보보호학과 조연정

(helloyj827@naver.com)



쏟아져 나오는 ‘페이’ 들, 가벼워지는 지갑, 무거워지는 소비자 마음

보안라이프/IT트렌드 2015.08.29 01:50

쏟아져 나오는 페이, 가벼워지는 지갑, 무거워지는 소비자 마음

 

가장 빠른혹은 간편하고 쉽게 한방에’. 물밀듯이 쏟아져 나오는 각종 페이앞에 붙는 수식어들이다. 이렇듯 하루가 멀다 하고 새롭게 생겨나는 페이들은 과연 무엇일까? 바로 기존의 카드들을 대체할 새로운 지급결제수단으로서, 쉽게 말하자면 신용카드를 휴대폰에 등록하여 결제하는 것이다. 한마디로 전자지갑이라고 할 수 있다. 대표적인 예로 카카오페이, 삼성페이, 애플페이 등을 들 수 있다. 특히 카카오페이나 네이버페이는 온라인 SNS를 기반으로 하기 때문에 온라인 쇼핑몰에서 결제할 때 편리하다는 이점 덕분에 최근 들어 많은 사람들이 사용하고 있다. 이렇게 다양한 결제 서비스가 등장하면서 모바일 결제시장의 규모가 급성장하고 있는 추세인데, 과연 이러한 서비스들은 완벽한 결제수단일까?

 


↑카카오페이

 

앞서 말했듯이 모바일 결제시장의 규모가 막대하게 커지면서 세계 곳곳의 IT 기업들이 페이 시장에 뛰어들기 시작했다. 하지만 내로라 하는 굴지의 IT 기업들이라도 금융 경험이 없는 상태로 결제 서비스 분야에 뛰어들다보니 허점이 생기기 마련이다. 신용카드의 부정거래 비율이 0.1%인 반면 애플페이는 무려 6%에 이르는 것만 보더라도 모바일 결제가 보안에 취약하다는 사실을 알 수 있다. 이러한 취약점 때문에 아직도 많은 소비자가 사용을 꺼리고 있다. 이렇듯 모바일 결제의 활성화를 생각한다면 가장 먼저 해결되어야 할 점이 바로 보안 부분이라고 할 수 있다.

 


전세계 모바일 결제 서비스 시장 규모(자료 : 가트너)

 

또한, 결제 서비스의 편의성도 해결해야 할 중요한 과제로 남아있다. 여러 기업에서 앞다투어 내놓은 모바일 결제 서비스는 편리함을 전면에 내세운 것과는 달리 실제로 사용할 수 있는 업체나 매장의 범위가 제한적이다. 때문에 구매할 제품이나 서비스에 따라 각기 다른 서비스 앱을 여러 가지 설치해야 하는 경우가 생기기 마련이다. ‘간편하게, 편리하게사용할 수 있다고 강조한 것이 무색하게 복잡하고 불편하다. 어디서나 사용할 수 있다는 삼성페이도 신세계 계열의 기업에서는 사용이 불가하다. 대부분의 매장에서 특별한 장비 없이도 사용할 수 있다는 장점과 달리 이러한 서비스를 인식하고 있는 점주와 직원들의 수가 현저히 낮고, 때문에 사용률도 그리 높지 않은 상황이다. 실제로 구형 pos기를 사용하고 있는 식당을 찾아 삼성페이로 결제하려다 스마트폰 결제가 가능한 장비가 설치되어 있지 않다며 점주로부터 결제 거절을 받은 고객들이 여럿 있다고 하니 서비스의 활성화나 인지도 문제도 매우 시급한 것으로 보인다.

 


↑삼성페이 결제 화면

 

두터운 지갑을 가볍게 만들고, 기존의 복잡한 모바일 결제 서비스를 탈피하여 간편하고 쉬운 결제 서비스로 많은 이들의 주목을 받았지만 막상 뚜껑을 열어보니 생각만큼 간편하지도, 쉽지도 않다. 게다가 취약한 보안까지. 고객들의 마음을 완벽히 사로잡기엔 아직 이른 걸까. 여전히 스마트폰 대신 지갑에서 카드를 꺼내는 소비자들이 훨씬 많다. 설치의 필요성이 크게 와닿지도 않고, 막상 설치 후에 사용할 수 있는 매장 또한 많지 않은 상황에서 스마트폰을 꺼내 결제하는 것은 아직까지 소비자들에게 생소할 것이다. 완벽하지 않은 보안도 소비자들의 불안감에 한 몫 하고 있다. 빠르고, 간편하고, 혁신적인 서비스를 제공하고 싶다면 편의성과 신속성, 그리고 보안까지 완벽히 갖추어야만 소비자들의 마음을 잡을 수 있다. 기존의 모바일 결제처럼 불편한서비스로 남을 것인지, 아니면 소비자들의 사랑받는 편리한서비스로 재탄생할 것인지는 너도나도 앞다투어 페이서비스를 내놓는 기업들에게 달려있다.  


안랩 대학생 기자단 14기

숙명여자대학교 멀티미디어과학과 이유진

(dbwlsals@naver.com)



우리의 마음을 따듯하게 만드는 착한기술!

보안라이프/IT트렌드 2015.07.29 01:11

 착한 기술이란 개인 이익이 아닌 노약자 및 장애인 등 소외계층이나 대중들에게 안전하고 편리한 삶을 제공 할 수 있는 기술을 뜻한다. 세계보건기구에 따르면 전 세계 인구의 약 15%가 장애인으로 추정된다고 한다. 전 세계의 인구의 15%가 각기 다른 이유로 불편을 겪고 있다는 것이다. 하지만, 다행스럽게도 다양한 분야에서의 기술 발전으로 이러한 불편을 개선하기 위한 착한 기술 제품들이 개발되고 있다. 장애인들의 불편을 줄이는데 도움이 되고 있는 다양한 제품들을 알아보자!


1. 스마트 글래스(Smart Glasses)

 첫 번째 제품은 이 되어주는 기술이다. 부분적으로 시력이 손실된 사람들을 대상으로 하는 스마트 글래스는 두 개의 카메라를 사용하여 전방의 영상을 눈앞에 입체로 투사하여 사용자가 선명하게 전방을 볼 수 있게 도와준다. 비디오카메라를 활용하여 촬영한 영상을 안경에 3D로 투사하는 방식으로 영국 옥스퍼드 대학에서 개발하였다.

스마트 글래스(Smart Glasses) 출처 : http://www.ox.ac.uk/news/2014-06-17-smart-glasses-people-poor-vision-being-tested-oxford


2. 핑거 리더(Finger Leader)

 두 번째 제품은 미국 MIT가 개발한 웨어러블 장치 핑거 리더이다. 핑거 리더는 기기를 반지처럼 손에 착용한 후 글자를 가리키면 해당 글자를 인식하여 읽어 주는 제품이다. 고해상도 카메라를 이용하여 글자를 정확히 인식하기 때문에 사용자가 정확한 정보를 얻을 수 있고, 손가락이 텍스트 줄에서 벗어나면 기기에서 진동 현상이 일어난다

핑거 리더(Finger Leader) 출처 : http://fluid.media.mit.edu/projects/fingerreader


3. 인에이블 토크(Enable Talk)

 수화 통역 장갑, 인에이블 토크는 청각장애인과 비장애인과의 원활한 의사소통을 위한 제품이다. 터치 센서, 자이로스코프, 블루투스, 수화번역 소프트웨어 등을 활용한 제품으로 청각장애인이 기기를 착용하고 수화를 하면, 장갑과 연결된 모바일 기기가 수화 내용을 음성으로 변환한다. 우크라이나 학생 스무 명이 1년 동안의 연구, 개발하여 2012년 마이크로소프트가 주관하는 Imagine Cup에서 우승을 차지하였으나 아직 공식 출시는 하지 않아 상용제품을 위해 지속적으로 연구, 개발을 하고 있다.

인에이블 토크(Enable Talk) 출처 : http://enabletalk.com/

 지금까지 장애인들의 불편을 줄이기 위한 착한 기술 제품을 살펴보았다.

 

 

 

이번에는 기술이 사용되는 사회 공동체의 정치, 문화, 환경적인 조건들을 고려하여 해당 지역과 주민들에게 꼭 필요한 생산과 소비가 지속가능하도록 도와주는 적정기술 제품들을 알아보자!

1. 행복한 대야(Happy Basin)

 매일 물을 구하기 위해 20km이상을 걸어야 하는 사람들을 위해 개발한 적정기술 제품이다. 물을 퍼 올리는 힘과 이동 시간을 낭비 하지 않아도 부력과 나노필터를 활용하여 물을 정화 시켜주는 행복한 대야를 활용하여 정수된 물을 마실 수 있다.

행복한 대야(HAPPY BASIN) 출처 : http://www.onnue.com/portfolio_page/happy-basin_concept/


2. 플레이 펌프 워터 시스템(PlayPump Water System)

 어린이들이 놀면서 물을 만들어 낼 수 있도록 개발한 적정기술 제품으로 어린이들이 놀이기구를 타면서 발생하는 원동력을 이용하여 지하수를 끌어올리는 펌프이다. 아이들이 2시간 정도 놀이기구를 타고 놀면 마을 주민 약 2,500명이 깨끗한 물을 마실 수 있다고 한다.

플레이 펌프 워터 시스템(PlayPump Water System) 출처 : http://www.inhabitots.com/play-pump-the-merry-go-round-water-pump/

 지금까지 착한기술과 적정기술 제품들을 만나보았다. 소외 받고 있는 사람들을 위한 기술! 마음이 따듯해지지 않는가? 소외계층 및 장애인들을 위한 제품 개발은 지금도 진행되고 있다. 그 중 대학생들이 기획하고 제작하는 착한기술 프로젝트인 프로보노 ICT 멘토링에 대해 간략하게 알아보자!

 

프로보노 ICT멘토링

 프로보노 ICT멘토링은 미래창조과학부가 지원하고 정보통신기술진흥센터(IITP)가 주관하는 사회공헌 프로그램으로 멘토와 멘티가 하나의 팀을 구성하여 사회공익을 위한 착한 기술 프로젝트를 진행한다. 이 프로그램에 참여하는 기업(삼성, LG, 한화, 지란지교소프트)의 멘토(ICT 대기업 실무자)는 실무에서 쌓은 전문지식을 선발된 멘티(ICT 관련학과 대학생)에게 전수하며 지식 나눔의 사회공헌 활동을 실천한다. 프로보노 ICT 멘토링에서 개발할 착한기술 제품! 대학생들의 참신한 아이디어를 바탕으로 제작될 착한기술 제품. 많은 사람들의 마음을 따듯하게 만들기를 기대해본다.  


프로보노 ICT 멘토링 출처 : http://www.hanium.or.kr/portal/probono/businessOverview.do

 마음을 따듯하게 하는 다양한 착한기술 제품들을 살펴보았다. 앞으로의 기술 발전이 도움이 필요한 이들에게 더욱 유용하고 이로움을 주기를 기대해본다. 그렇다면, 우리는 몸이 불편한 사람들과 소외 받고 있는 사람들을 위해 무엇을할 수 있을까






안랩 대학생기자 김도건  

인천대학교

임베디드시스템공학전공


Concentration comes out of a combination of confidence and hunger.

(집중력은 자신감과 갈망이 결합하여 생긴다.)

- 아놀드 파머


dgkimk93@gmail.com



 






드론, 나비처럼 날아 벌(drone)처럼 쏜다!

보안라이프/IT트렌드 2015.07.04 21:16

인간이 쉽게 할 수 없는 화산분출구의 가장 깊숙한 곳을 촬영하고폭우로 불어난 계곡에서 조난자에게 구조장비를 전달하는 등의 일을 수행하는 한편,

멕시코와 미국 사이에서 마약을 운반하고, 미사일을 장착하여 적의 요지에 치명적인 공격을 할 수 있는 '드론'(drone)이라는 녀석이, '윙윙거리는 소리'라는 그 이름만큼이나 요란스럽게 세상을 들썩이고 있다

(사진출처 △좌: www.wired.co.uk  △우: 사진출처 : abc13.com)


드론은 처음 군사용 목적을 갖고 만들어졌다. LG경제연구원의 자료에 따르면, 맨 처음 드론의 개념이 적용된 시기는 1916년이었다

군인출신 과학자 아키볼드 로가(Archibald Low)의 ′에어리얼 타깃(Aerial Target)′이란 프로젝트에서 시작됐다

이후 이동통신기술이 만들어진 계기와 마찬가지로 드론도 군사훈련에서 적의 역할을 수행하기 위한 방편으로 드론은 진화하였고드론을 표적으로 삼아 미사일과 고사포의 요격 연습을 가능 하게하는 수준까지 이르렀다. 하지만 최근 들어 드론의 상용화가 진행되며 다양한 용도로서의 드론 활용이 이루어지고 있다.

 

먼저 기업적 차원에서의 드론에 대한 관심을 살펴보자.

미국의 아마존, DHL, UPS 등과 같은 물류와 관련된 세계적 기업에서는 드론을 활용한 기술개발에 많은 투자를 아끼지 않고 있다.

아마존은 지난 2013 12월 최대 2.3kg의 물품을 물류센터 16km의 거리의 목적지까지 30분내에 배송할 수 있는 프라임에어를 발표하였다.

 

(사진출처 : amazon.com)


'30분안에 배송'이라 하면 생각나는 '도미노 피자' 역시 작년 6, 피자를 드론을 통해 배달하는 영상을 통해 다시 한 번 드론을 통한 배송계획에 대한 관심을 나타내었다.

(영상보기: https://youtu.be/i0pLHdQNzaM)


개인차원에서도 드론에 대한 관심은 뜨겁다.

프랑스에서는 드론을 좋아하는 동호회원들인, '에르고네'의 동호회원들끼리 드론 경주대회를 개최하기도 했다.

(영상보기 △좌: https://vimeo.com/99542067)

(사진출처 △우: http://www.scmp.com/video/hong-kong/1777126/dozens-join-hong-kongs-first-ever-drone-racing-and-videography-competition)

 

드론을 통한 경주, 'FPV Racing'에 대한 열기는 프랑스 뿐만 아니라, 호주, 미국, 일본, 또한 우리나라에서도 뜨겁다.

(사진출처: http://dronebrief.com/inside-the-competitive-world-of-underground-drone-racing-in-australia/)


 

펜실베니아 주립대학교 공과대학 응용과학부에서는 드론으로 키보드, 마라카스, 심벌즈, 기타 등을 연주할 수 있는 컴퓨터 프로그래밍을하여 

이미 3년전에 Ted를 통해 멋진 연주 발표하였다. 

또한, 자연재해와 같이 인간이 쉽게 접근할 수 없는 장소에서의 상황을 전달하기 위해 사용되기도 하는데,

ABC 뉴스에서는 아이슬란드의 화산분출을 드론을 통해 생중계하기도 했다.

(영상보기 △좌: https://www.youtube.com/watch?v=_sUeGC-8dyk)

(영상보기 △우: https://youtu.be/MJ04u7rAyOw)


또한 최근에는 손목시계 형 드론, 종이비행기 드론 등 다양한 형태의 드론이 속속들이 등장하고 있다.

△좌 "Nixie" (사진출처 : https://www.pinterest.com/pin/296322850457501640/)

△우 "The PowerUp Smart Module" (사진출처 : www.entreprenuer.com)

 

 

프랑스의 드론 전문지 '엘리코 미크로'의 기자 로랑 콩그는  "드론이 산업에 큰 기술혁명을 가져다 줄 것이라 확신한다. 인터넷이 있었고, 스마트 폰이 있었고, 그 다음 혁명은 드론일 것이다."라고 밝혔다. 이처럼 드론은 앞으로의 산업이나 생활의 모습을 바꿔 놓을 수 있는 충분한 가능성을 갖고 있는 분야다.


하지만 드론은 해킹에 취약하고, 테러와 같은 부정적인 용도로 사용되었을 때 소유주를 파악하기 어렵다는 한계 또한 지니고 있다.

다음 동영상은 드론에 스누핑(snoofing)기술을 설치하여, 사용자의 야후 아이디와 비밀번호, 심지어 집주소까지 알아내는 해킹에 대해 알리고 있다.


(영상보기 : https://youtu.be/YCIeC76-sZ4)


사물인터넷시대가 대두되면서 그에 따른 보안에 대한 중요성이 부각되는 지금, 보다 행복한 기술을 실현하기 위한 드론에 있어서의 보안도 필요한 시점이 아닐까 생각해 본다. 



안랩 대학생기자 : 전영재 (서울시립대 경영학과)


나의 트윗이 트랜드가 된다? (빅데이터의 이해)

보안라이프/IT트렌드 2015.07.02 21:20

 나의 트윗이 트랜드가 된다

 

2015년의 IT 정책은 ICBM으로 요약할 수 있다. IoT, Cloud, BigData, Mobile의 앞 글자를 딴 ICBM 이다. 

이 중 오늘은 Big Data에 대해 알아보려고한다. 

3-4년 전부터 빅데이터의 시대가 도 할 것이라는 말이 있었고, 아직까지도 모두가 Big Data의 중요성에 대해 이야기한다.


 빅테이서 시대와 SNS의 상관관계?


SNS가 발달하면서, 인터넷은 말 그대로 ‘정보의 범람‘이 일어나고 있다.

페이스북의 경우 하루에 평균 27억 개의 좋아요가 눌리고,  3억 건의 사진이 업로드가 된다.

트위터에는 1분에 278,000개의 글이 올라온다.

구글은 웹을 인덱싱, 광고 처리, 검색을 처리하는데 하루에 20,000TB의 데이터를 하루에 처리한다고한다.

웹과 SNS의 발달로 데이터가 폭발적으로 증가하였다.

이에 따라 과거에 기존의 데이터베이스 관리 도구로 데이터를 수집, 저장, 관리 분석 할 수 있는데 한계가 생겼다. 기존의 DB로 관리 할 수 없는 데이터를  '빅데이터' 라고 부른다.

 

 

 

 

빅데이터 처리 기술?

빅데이터를 처리하는 방식은 무엇일까? 


첫 번 째 방법은 Scale-up이다. 

서버 자체를 고가의 하이엔드 장비로 대체하는 방법이다. 

심플한 구성이 특징이지만, 성능확장에 제약에 있다는 단점이 있다.


두 번째 방법은 Scale-out으로 범용의 서버 여러 대를 묶어서 하나의 서버로 사용하는 방법이있다. 분산 파일 처리 시스템등의 구성은 복잡해지지만, 성능 확장성이 매우 크며, 확장에 필요한 비용이 저렴하다는 것이 장점이다.

 

 대용량의 IT 자원을 인터넷 공간에서 분산 처리하고 이 데이터를 다양한 단말기에서 불러오거나 가공할 수 있게 하는 환경을 클라우딩 컴퓨팅이라고한다.




빅데이터로 보는 세상?

빅데이터로 인해서 정확한 트랜드 분석이 가능해졌다. 

사람들이 실시간으로 올리는 트윗, 좋아요가 정보가 되는 것이다.  나의 트윗, 하나만 봤을 때는 무의미지만, 트윗 하나 하나가 모여서 대량의 정보가 되고, 다수가 공통적으로 말하는 내용이 대중이 무엇에 관심이 있는지를 알려주는 ‘트랜드’ 가 된다.


 

빅데이터의 성공 사례로 서울의 N버스 노선을 들 수 있다. 

심야시간에 유동인구가 많은 지역을 노선에 포함 하는 것이 관건이였다. 휴대전화의 통화 위치를 기반으로 유동인구를 파악했다고 한다.  

'어느 지역이 사람이 많을 것이다 ' 라는 단순한 직감 추측이 아닌, 데이터에 의한 정량적인 유동인구의 분포도를 예측 한 것이다.



빅데이터 전문가인 다음소프트 부사장 송길영씨는

 “사람들의 욕망이 존재하는 곳에 산업이 존재한다. 사람들의 욕망을 끝까지 보면, 지금 까지 충족되지 못한 (Unmet Needs)가 있고, 그곳에 산업의 답이 있다”

라는 말을 했다. 

즉 니즈를 파악하고 한발 앞서서 트랜드를 분석하면 성공적인 전략을 세울 수 있다는 뜻이다.  빅데이터는 기업이 나아가야할 방향을 제시해주는 나침반이라고 비유할 수 있다.



 



<정보& 사진 출처>

http://techcrunch.com/2012/08/22/how-big-is-facebooks-data-2-5-billion-pieces-of-content-and-500-terabytes-ingested-every-day/

http://techcrunch.com/2008/01/09/google-processing-20000-terabytes-a-day-and-growing/

http://news.heraldcorp.com/view.php?ud=20150604000817&md=20150605073233_BL

http://www.venturesquare.net/529875

http://www.zdnet.co.kr/news/news_view.asp?artice_id=20130702115100

안랩 대학생 기자 서강대학교 컴퓨터 공학과 류혜원


나도 모르는 사이 계정이 거래되고 있다고? 진화하는 불법 해킹시장.

나도 모르는 사이 계정이 거래되고 있다고? 진화하는 불법 해킹시장.

 

 

<온라인 게임 해킹피해에 둔감해지는 사람들>

 오늘날 개인정보 유출과 그로 피해에 관련된 보도는 일상처럼 접할 수 있는 기삿거리가 된지 오래이다. 이는 분명히 심각한 문젯거리이나 비슷한 사례의 반복적인 노출로 인해 오히려 둔감해지기 쉬우며, 실제로 적지 않은 사람들이 해킹피해를 남의 이야기인 것처럼 여기는 것을 볼 수 있다. 국내 최대 게임사인 넥슨의 온라인 게임 메이플스토리의 사례를 통해서 온라인 게임상에서의 불법 해킹시장이 어떻게 진화하고 있고 그로 인한 피해는 어떻게 막을 수 있을지 알아보자.

 

 

<해킹피해, 과연 남의 일일까?>

 메이플스토리는 올해 12주년을 맞은 게임으로, 여전히 온라인 게임 순위 10위 이내에 들고 있을 정도로 꾸준히 사랑 받고 있다. 특히 2011 8월에는 국내 온라인 게임의 흥행척도인 동시 접속자수에서 무려 62만명을 돌파하는 대기록을 세우기도 했는데, 이는 아직까지도 국내 2위의 기록으로 남아있다. 그러나 불과 같은 해 11월에 넥슨은 1320만명의 개인정보를 유출 당하는 사상 최악의 해킹피해를 입게 되는데, 열기가 뜨거운 게임이었던 만큼 그로 인해 확장된 피해는 상당했으며 지금까지도 광범위하게 지속되고 있다.

 

 

 

<다양한 피해 사례들>

 일반적으로 온라인 게임해킹의 직접적인 피해를 언급할 때, 단순히 게임 아이템을 빼돌려 외부에 처분 하는 직접적 형태만을 생각하기 쉽다. 물론 이는 피해사례의 대표적인 유형이나 이 밖에도 주의해야 점이 있다는 것이 중요하다. 아이템을 처분하는 방식의 해킹은 보통 해당 게임을 플레이 하는 유저가 대상이 되는 것으로 생각하기 쉬우나 항상 그런 것은 아니다.

 메이플스토리 운영진은 모든 유저들에게 놀라운 장비강화 주문서라는 강화아이템(이하 놀장강)을 지급한 바 있는데, 이 아이템의 성능이 지나치게 강력하여 게임의 질서를 파괴시키는 심각한 부작용이 발생하는 바람에 당초에 지속적으로 공급하려던 계획을 수정하여 1회 지급에 그치고 말았다. 강력한 성능과 희소성으로 인해 놀장강의 가격은 3년 후 한 계정당 한화 4~7만원에 이르게 되었다. 이 놀장강의 공급의 90% 이상이 바로 해킹계정에서 비롯되는 것으로, 현재는 메이플을 이용하지 않는 과거 유저도 이 놀장강을 얻기 위한 해커들의 목표가 되어버린다.

 또 다른 유형의 피해는 메이플을 전혀 이용하지 않은 사람들 조차 당할 수 있는 피해이다. 메이플의 주요 컨텐츠 중 하나인 일회성 이벤트는 종종 현금성 강화 아이템을 지급한다. 한 사람당의 아이템 가치는 대략 2000~5000원 정도이나 유출된 주민등록번호를 통해 양산된 계정을 이용하여 수십 만원 대의 아이템으로 재탄생시키는 방식으로 수익을 창출한다. 이와 같은 간접적 피해는 그 게임과 아무련 관련이 없는 사람의 개인정보까지도 그 대상이 된다는 점에서 경각심을 가질 필요가 있다.

 

 

<어떻게 막을 수 있을까?>

 가장 기본적인 예방책은 자신의 아이디와 비밀번호를 지속적으로 바꾸어주는 것이다. 그러나 사후적으로 피해를 입었을 경우에는 이를 복구하는 방법을 알아보는 것도 중요하다. 해킹 피해를 받은 유저가 게임에서 이탈하는 것을 막기 위해 일부 게임은 해킹 전으로 복구시켜주는 서비스를 제공하고 있으니 꼭 확인해보는 것이 좋다.

 게임을 이용하지 않았음에도 불구하고 일어나는 간접적인 피해는 어디에서 발생할지 예측하기 어렵기 때문에 자신의 명의가 사용된 곳을 한꺼번에 알아보는 것이 좋다. clean.kisa.or.kr에서는 자신의 명의로 생성된 계정을 광범위하게 알아볼 수 있는데 이를 통해 자신의 의지와 관련 없이 생산된 계정을 삭제해준다면 앞으로 발생할 피해를 예방하는데 효과적이다.

 

<기업형으로 발전한 불법 해킹 작업장, 적극적으로 대비하자>

온라인 게임 해킹시장의 규모는 일반적으로 생각하는 것보다 훨씬 클 것으로 추정된다. 이들 중 상당수는 중국 등에서 수익을 목적으로 하는 기업형으로 발전하기에 이르렀는데, 이중 중국 단둥에서 주로 메이플 등의 한국 게임을 대상으로 하는 기업형 해킹집단에 속한 정쯔(가명)씨에 에 따르면 온라인 게임을 주요 타깃으로 하는 수많은 기업형 작업장이 존재하는데, 각각의 작업장은 많게는 30~50명가량의 구성원으로 이루어진 곳도 있으며 이들 각각의 수익은 불규칙한 편이나 한 달에 1~5억에 달한다고 한다. 이는 작업장 1인당 약 200만원~1000만원 수준으로 중국 1인당 gdp가 한화로 약 70만원 수준인 것을 감안하면 지하경제의 특성상 시장 전체를 구체적으로 파악하기는 어려움이 있음에도 불구하고 그 규모가 상당할 것임을 의미한다. 따라서 자신에게도 해킹의 피해가 미칠 수 있음을 인지하고, 사전적인 예방법과 사후적인 대처법을 기억하고 실천하는 자세가 필요하다.

 

 

 

안랩 대학생 기자단

연세대학교 경제학과 이상원

 

당신이 이 기사를 찾을 수 있었던 이유.

보안라이프/IT트렌드 2015.04.25 18:34

아인슈타인이 어디서 태어났는지 아니?” “모르겠어. 검색해보면 되지.”



검색은 질문이다. 무엇을 먹을지, 무엇을 입을지, 무엇이 좋을까 라는 질문은 언젠가부터 일상의 궁금증들을 인터넷에 의존하고 있었다. 이에 소비자는 기술이 발전 할수록, 사용자들은 더 간편하고, 빠르고, 정확하기를 원한다.

웹상에는 수많은 정보들이 존재하지만 당신이 찾고자 하는 정보는 정해져 있다. 그 정보를 찾는 과정에 있어서 원치 않고 자극적인 정보들에 의해 정작 원하는 결과는 찾을 수 없었던 경험을 누구나 해보았을 것이다. 이처럼 사용자의 궁금증을 만족시키기 위하여 국내외로 어떤 변화가 이루어져 가고 있는지 알아보자.






검색엔진 최적화 : SEO(Searching Engine Optimization)

웹페이지 검색엔진이 자료를 수집하고 순위를 매기는 방식에 맞게 웹페이지를 구성해서 검색결과의 상위에 나올 수 있도록 하는 작업.



<페이지랭크, 내가 원하는 바로 그것.>


1998, 현재 전 세계 검색 시장을 장악하고 있는 구글(Google)은 구글 창업자인 세르게이 브린(Sergey Brin) 과 래리 페이지(Larry Page)가 논문에서 발표한 페이지 랭크 알고리즘(Page Rank Algorithm)은 중요한 논문일수록, 이를 참고하는 참고문헌으로 거론하는 횟수가 많다는 상식에서 비롯되었다. , 단순히 키워드가 동일하다고 해서 우선순위가 높은 것이 아니라, 다른 문서로부터 해당 페이지에 얼마나 많은 링크숫자를 정규화우선순위를 매기는 방식을 사용한다. 이러한 방식은 현존하는 검색엔진의 모티브가 되었고, 당대 검색엔진 1위를 차지하던 야후(Yahoo!) 를 추월할 수 있었던 근본적인 계기가 되기도 했다.

 


  

<해시태그(#), 또 하나의 연결고리>


그렇다면, SNS는 어떨까?

스마트폰의 보급이 활성화 되면서 SNS시장도 크게 부흥하게 되었는데, 그 안에서도 정보의 공유는 존재한다우물 정()자로 더 익숙한 해시태그(Hash tag) 는 더 이상 전화기에서만 볼 수 있는 기호가 아니다.

2007SNS 플랫폼인 트위터 (Twitter) 에서 처음 도입된 해시태그는 해시기호(#) 뒤에 키워드를 입력하면 그 키워드에 대해서 같은 해시태그를 가진 주제끼리 군집화를 하여 그 주제를 중심으로 글을 모아서 보여주는 기능을 갖고 있다

이러한 해시태그를 사용한 글은 그렇지 않은 글보다 2배 이상 리트윗 확률이 높다는 결과가 있다.


 

또한, 해시태그는 단순히 군집의 목적을 넘어, 광고, 마케팅, 캠페인, 홍보 등 각종 목적으로 사용 되고 있다.

20144월 나이지리아 무장단체인 보코 하람(Boko Haram)은 여학생 200여명을 서양식 교육을 받는다는 이유로 납치하여 국적을 이슬람으로 개종하고 강제 결혼까지 시켜 사회적으로 큰 충격을 주는 사건이 있었다.

이 때 사용된 ‘#Bring back our girls' 의 태그는 23만명의 태그와 수많은 연예인들이 자신의 SNS에 해시태그를 공유함으로서 상당한 파급력을 가지고 왔다.

 

 

   

국내에서는 이러한 해시태그를 이용하여 네이버에서 개발한 SNS 'PHOLAR'를 올해 4월부터 서비스를 시작하였다.

'PHOLAR''사진'이란 의미의 ‘Photo'인기 있는이란 의미의 ’Popular' 합성어이다. , 해시태그를 이용하여 유저가 원하는 키워드의 가장 인기 있는 사진을 사용자들에게 손쉽게 접할 수 있다는 것에 목적을 둔 것이다

이러한 사진은 사용자가 원하는 그 정보인 것이다.

 


 

<SEO, 그것은 마케팅 수단.>


이러한 웹사이트의 노출효과로 마케팅을 접목하여 검색엔진최적화를 이용한 사례로서, 국내에 입국하는 해외 관광객을 대상으로 하는 사업을 하고 있는 A사는 컨텐츠 구성과 구축방식의 문제로 사용자에게 거의 노출이 되지 않았었지만 검색엔진 최적화 (SEO) 전략을 도입하면서 A사가 운영하고 있는 웹사이트의 검색 방문의 차이는 무려 470%가 증가 했다.

사용자에게 있어서 웹사이트의 노출 횟수는 성과에 직접적인 영향을 미치고 무려 1억 4,400여만원의 광고 효과가 있었다고 한다.




<참고자료 : http://social-marketing.tistory.com >





검색엔진을 운영하고 있는 기업은 그 기업만의 검색 알고리즘을 갖고 있다.

그렇다면이러한 방식은 항상 공정하고 객관적인가그렇지 않다검색 알고리즘은 그 기업의 가치관과 관념을 담고 있고 마케터들에게 검색엔진에서의 상위노출은 구매자에게 직접적인 마케팅의 수단으로 이용될 수 있기 때문이다.

웹을 통해 정보를 얻고자 하는 이용자에게 주어지는 정보들은 유익하지만, 100% 납득해서는 안 될 양날의 검 일 것이다. 이점을 인지하고 사용한다면, 그들은 당신에게 똑똑한 동료가 될 것이다.