[人터뷰] "개성보단 협력이 중요해요" 안랩 엔드포인트 개발실의 메시지

안랩은 어떠한 과정으로 백신 프로그램을 개발하고 있는 것일까? 안랩에서 강조하는 개발자의 역량은?

개인 혹은 기업에서 사용하는 보안 SW 프로그램을 개발하는 엔드포인트 개발실. 그 곳에서 사용자가 안전한 IT세상을 누릴 수 있도록 사명감을 가지고 제품의 개발을 담당하고있는 최윤용책임장현숙선임박준효선임 연구원을 만나보았다. 



Q. 엔드포인트 개발실에 대해 설명 부탁드립니다.


 크게 보면 엔드포인트라는 것은 고객의 최단이라는 것이에요PC와 같은 것들이 엔드 포인트이고, 그 안에서 사용할 수 있는 제품들을 만드는 곳이라고 말씀드리면 될 것 같습니다엔드포인트 개발실에서 만드는 제품 중에 하나가 'V3' 인 것이고요. 


Q. 엔드포인트 개발실에서 개발하고 있는 제품들은 어떤 것들이 있나요?


 개인용 제품과 기업용 제품으로 나눌 수 있는데요 'V3 Lite' 와 'V3 365 Clinic'등 개인용 제품과 기업에서 사용하는 제품이 따로 있습니다기업용 쪽이라고 한다면, 백신 뿐만 아니라 통합 개인정보보호 솔루션과 같이 기업의 개인정보보호 기능을 담당하는 프로그램이 있습니다그 외에도 'V3 Zip'과 같은 표준 압축프로그램도 개발하고 있습니다.




Q. 보안 소프트웨어 개발은 어떤 단계로 진행되나요?

 

1) 기획 단계

 

 보통 기획 단계부터 시작이 돼. 전체적인 보안 트렌드를 봤을 때, 다음 제품에는 어떤 기능들이 필요하다. 혹은 기존에 갖고 있던 기술 중에 어떤 것들을 강화해야 한다는 것들을 저희가 목록화를 해요. 그리고는 순서를 정하죠. 어떤 것들을 만들겠다고 하면, 저희가 보통 스펙이라고 이야기 하는 상세한 기술을 써요.

예를들면, 파일은 무엇이다 부터 정의를 내리고 상황에 따라 검사가능 여부등을 파악해요. 이러한 것들을 저희가 아는 한 최대한 기술 하지요. 기술이 다 끝나면 여러 사람들과 토의를 해서 이렇게 동작하는 것이 맞다는 결론이 나와요. 이런 과정으로 기술서가 규정되면 개발에 들어가는 거예.

 

2) 개발 & QA 단계

 

 개발에 들어가면 QA팀이 저희가 정한 스펙을 가지고 이 제품은 어떻게 테스트를 해야 한다는 것을 따로 정합니다. 그래서 이런 테스트를 통과해야 규격을 만족한다는 계획을 세우고, 저희가 만들 것을 가지고 테스트를 하면서, 오류가 발생하면 수정하고 어느 정도 주요한 것들이 수정되었다 판단이 되면 제품 출시가 됩니다.



3) 유지 보수 단계


 제품 출시 이후로는 유지 보수라고 하는 단계로 들어가요. 제품이 출시가 되었다고 해서 오류가 없을 수는 없기 때문이죠. 고객으로부터 문의가 오는 부분도 있지만, 저희가 이미 알고 있던 것들을 단계별로 일정을 나눠서 수정하고, 개발팀은 QA팀과 함께 제품에 대한 보완계획을 세우는 것이죠. 새 제품이 나올 때까지는 그 과정이 계속 반복인 거죠. 

 

Q. 일반 개발자와 보안 프로그램 개발자와의 차이점이 있다면?



 소프트웨어 개발과정은 다 동일합니다. 특정 프로그램을 만들 때는 요구되는 기능들의 목록과 제품의 스펙을 정하고, 절차에 따라 요구 사항을 분석하고 설계하는 과정을 거치며 유지 보수를 하게 됩니다. 다만, 분석 쪽에 차이가 생겨요. 그것이 보안적인 요소인지 아닌지를 제외하고는 크게 다른 점이 없습니다. 


Q. 보안 소프트웨어 개발자가 되기 위해서 필요한 역량과 준비해야 할 것은 어떤 것이 있나요?


1) 탄탄한 기초의 중요성


 기초가 중요하다는 생각이 들어요. 학과 수준에서 배우는 과목들이 기본이 되는 것이라고 생각요. 운영체제, 알고리즘, 자료구조와 같은 것들이요. 예를 들자면, c++로 메모리 할당을 할 때, 윈도우 시스템은 어떻게 메모리를 할당하고 관리하는지에 대한 것들을 알아야 돼요. 취약점이 다 그런 곳에서 뚫고 들어오는 거예요. 100퍼센트 꽤지는 못해도 흐름은 기억하고 있어야 개발을 할 때 취약점에 노출이 안 되게 할 수가 있어요. 그런 것이 다 기초적인 것으로 들어가는 것이죠. 배우는 과목들을 허투루 넘기지 마세요. 쓸모없어 보여도 그게 어디서 어떻게 쓰일지 몰라요.


2) 혼자가 아닌, '협업'


 무엇이든, 함께 만들어 가는 프로젝트니까 협업이 중요해요. 누구나 보면 이해할 수 있는 코드를 작성하는거죠. 신기술을 적용하는 것이 항상 좋은 것은 아니에요. 누구나 어렵지 않게 쉽게 이해할 수 있게 짜는 게 중요한 것 같아요. 규율과 규칙이 있기 때문에 현란한 기술 쓴다고 칭찬받지는 않아요.


Q. 보안 소프트웨어 개발자 지망생을 위해서 조언 한 말씀 부탁드립니다.


 모든 직업이 마찬가지이겠지만, 먼저 그 직업을 좋아해야 될 것 같아요. 좋아서 그 직업을 갖는 것과 단순히 생계수단을 위한 선택은 다른 것들이 있어요. 그것을 자신이 정말 좋아하는지 진지하게 생각을 해보셔야 해요. 때로는 자신이 좋아하는 일과 정반대로 직장 내에서 그 일을 수행해야 할 때가 있습니다. 또한, 개발자가 단순히 개발만 하는 것이 아닌 다른 사람들과 의견을 나누고 수렴하며조율을 할 필요도 있습니다협업이 중요한 이유죠마지막으로 열정을 잃지 마세요. 열정이 있어야 계속 도전할 수 있기 때문입니다.




 무엇보다 인터뷰에서 가장 느낄 수 있었던 점은 하나의 프로그램이 나오기까지 얼마나 많은 노력과 열정이 필요한지, 그리고 그 안에서 이뤄야 하는 조화, 협동의 중요성을 새삼 다시 느끼게 되었다. 세 분 께서 개발자 지망생들에게 해준 조언은 현실적이지만 진심어린 조언이었다. 이 글을 통해 다시 한 번, 인터뷰에 응해주신 세 연구원님께 감사드린다. 



글 / 대학생 기자 김도건, 이기성  

사진 / 안랩 커뮤니케이션팀 




[보안 바로 알기 캠페인]#6 : 백신기술 진화 바로알기

-악성코드 진화와 더불어 백신기술도 발전

-문자열진단, 시그니처기반/휴리스틱 기술 거쳐 최근 여러가지 기법 복합 적용

 

본 자료는 보안에 대한 올바른 정보 전파를 통해 자신과 직장의 정보와 재산을 보호하기 위한 안랩의 보안지식 공유 캠페인인보안 바로알기(Know the security) 캠페인의 일환으로 제공해드리는 자료입니다.

 

V3 탄생 25주년을 맞은 글로벌 보안 기업 안랩(대표 김홍선www.ahnlab.com)보안 바로알기(Know the security) 캠페인의 일환으로 지난백신 바로알기’, ‘APT 바로알기’, ‘보안 종결론 바로알기’, ‘위장 악성코드 바로알기’, ‘인터넷뱅킹 보안위협 바로알기에 이어, <아래> 정보를 안랩의 블로그 및 SNS를 통해 배포했습니다.

 

---<   >---

 

악성코드 VS 백신기술, 승자는 누구?

 

영화 ‘고지전’을 보신 분이라면 애록고지를 놓고 매일같이 싸운 악어중대와 북한군을 기억하실 겁니다. 고지점령에 성공했다 싶으면 바로 상대편에게 빼앗기고, 다시 되찾기 위해 또다시 전투를 시작합니다. 이 과정에서 상대의 전술을 확인하고 자신의 전력을 가다듬던 장면들이 생생하게 기억납니다.

 

악성코드와 백신기술은 마치 이들과 닮아 있습니다. 이들은 서로의 진화에 맞서 발전해 왔기 때문입니다. 특정 악성코드가 발견되면 이를 막기 위해 백신 프로그램이 개발되었습니다. 결국 서로에 대한 공격과 방어 과정이 백신 기술의 발전을 이끌고 가고 있습니다.

 

[보안 바로알기 캠페인 6: 백신기술의 진화 바로알기] 편에서는 악성코드가 변모하는 동안 백신의 악성코드 대응기술이 어떤 방향으로 진화해 왔는지 알아보도록 하겠습니다.

 

1980년대: 전쟁의 서막(낭만의 시대?)

19869, 파키스탄의 두 프로그래머 형제가 최초의 PC용 바이러스 '브레인(Brain)'을 제작해 유포했습니다. 브레인 바이러스는 당시 가장 많이 보급되고 있던 MS-DOS 운영체제에서 실행되었기 때문에, 전세계적으로 빠르게 확산되어 많은 피해를 끼쳤습니다. 이후 수많은 바이러스가 등장하기 시작했고, 이에 대응하기 위한 백신 프로그램의 개발이 이어졌습니다. (최초의 바이러스라고 언급된 ‘브레인’ 이전에, 다른 바이러스가 존재했다는 견해도 있습니다.)

 

초기 바이러스와 백신 프로그램의 공격과 방어는 매우 단순한 방식이었습니다. 초기 백신프로그램에는 특정 바이러스에만 존재하는 문자열을 비교하는 '문자열 진단 기술'이 활용됐습니다. 이는 프로그램의 코드 중 문자열(string)을 단순 비교해 악성코드 여부를 판명하는 기술입니다. 또한 당시 백신프로그램은 해시(hash)값을 통해서 작동했습니다. 해시값이란 각 파일이 생성됐을 때 갖고 있는 고유의 지문과 같은 것입니다. 파일명을 변경해도 이 값은 변하지 않습니다. 백신 프로그램은 악성코드에 해시값을 할당하여 해시값이 변조될 때마다 경고메시지가 뜨는 형태로 악성코드를 탐지해 사용자에게 경고 메시지를 띄우는 형태였습니다.

 

문제는 이 방법들은 주로 사용자 스스로 악성 여부를 판단 해야 했고, 너무 많은 경고를 띄워서, 보안을 잘 모르는 대다수의 사람들은 무시하기 일쑤였다는 것입니다. 또한 고급언어를 사용한 트로이목마, 웜 등의 악성코드가 증가하면서 진단에 어려움을 겪게 되었습니다. 고급언어로 구성된 악성코드를 단순 문자열만으로 진단할 경우 오진이 발생하기 때문입니다.

 

악성행위를 하는 바이러스, , 트로이목마 등은 모두 특징이 있습니다. 요즘에는 이 모든 것을 악성코드(Malicious Software, 일명 멀웨어)라고 표현합니다.

 

1990년대 : 대결의 고도화

1995년 윈도우 95가 대중화되어 MS-DOS를 대체해 사용되면서 악성코드도 큰 변화를 맞이했습니다. 악성코드 활동 영역이 도스에서 오피스 문서, 윈도우로 확대됐고 인터넷이 보편화 되면서 이메일을 악용하기도 했습니다. 또한 악성코드 제작자들의 백신 연구로 각종 신/변종 악성코드가 출현하게 되었습니다. 따라서 새로운 기법과 함께 점차 증가하는 악성코드에 대응하기 위한 여러가지 악성코드 대응기술이 등장했습니다.

 

앞서 언급한 문자열 진단 기술과 해시진단은 모두 '시그니처 기반 기술'에 속합니다. 시그니처기반 기술은 악성코드를 식별하는 가장 일반적인 방법입니다. 백신 프로그램으로 PC 내 파일을 스캔해 사전에 백신 엔진에 등록된 바이러스 진단값(Virus Signature, 바이러스의 고유한 비트열이나 이진수의 패턴, 특정 바이러스를 검색하기 위해 사용되는 지문과 같은 것)과 일치하면 치료하는 방식입니다.

 

하지만 기존의 시그니처 기반 기술은 백신 엔진에 지금까지 알려진 바이러스의 진단값만 등록되어 있어 신종 바이러스에는 빠르게 대처하기 어렵고 변종을 탐지하기 어렵다는 단점이 있습니다. 따라서 이 시기부터는 단순 진단 외에 더욱 다양한 방법을 활용한 시그니처 기반 기술로 변화되기 시작합니다.

 

뿐만 아니라 변종 악성코드를 탐지해 내기 위해 '휴리스틱 기술'이 개발됐습니다. 휴리스틱 기술은 원본 파일의 일부만 변경돼도 전혀 다른 파일로 인지해버리는 기존 기술의 한계를 극복하기 위한 기술입니다. 특정 코드의 행위 방식이 이미 알려진 악성코드의 행위 방식과 얼마나 유사한지를 분석해 알려지지 않은 악성코드를 탐지해 냅니다. 다만 그 특성상 오진이나 과탐의 이슈가 발생하기도 합니다.

  

2000년대: 새로운 전쟁

2000년대 들어 파일이 아닌 네트워크 단에서 악성 여부를 검사하는 네트워크 검사 기술이 개발됐고, 백신 프로그램에 방화벽 기능이 탑재되기 시작했습니다.

 

여기에서 악성코드도 새로운 장을 열기 시작했습니다. 가장 중요한 트렌드가 바로 금전적 목적의 악성코드 배포와 악성코드의 소규모 다품종 생산입니다. 악성코드 제작자들은 더 이상 실력과시가 아닌, 금전을 목적으로 악성코드를 만들기 시작했고, 이에 따라 자연스럽게 불특정 다수가 아닌, 특정 조직을 끈질기게 노리기 시작했습니다. 널리 퍼지지 않았으니, 보안업체가 발견해서 백신 엔진에 업데이트 하기도 힘들어 졌습니다. 또한, 이메일나 SNS 등 매체의 발달로, 악성코드가 퍼질 수 있는 길은 더욱 많아졌습니다.

 

이런 트렌드에 대응하기 위해 등장한 것이, 악성코드를 가상화된 공간에서 실행하고 위험 유무를 확인하는 행동기반 탐지기술과, 클라우드 기술을 이용해 악성코드 여부를 PC가 아닌 악성코드 정보가 모여있는 서버에서 판단해주는 클라우드 기반 탐지 기술, 파일에 대한 사용자 수, 제작일 등의 평판을 기반으로 하는 평판 기반 기술 등입니다. 최근에는 실시간 대응을 위해 시그니처 기반+ 평판기반+행동기반 방식들을 함께 사용하고 있는 추세입니다

 

안랩 역시 독자적인 다차원 분석 플랫폼 구축을 완료했습니다. 안랩의 ‘다차원 분석 기술’은 기존의 행위기반과 평판 기반 등 다양한 분석 기술, 클라우드 기술을 복합적으로 적용함으로써 위협 유입 단계부터 대응을 가능케 하는 신개념 종합 위협 대응 기술입니다. 이와 같은 분석기술은 위협에 대한 정확한 진단을 가능하게 하며, 미탐/오탐을 최소화 하고 신/변종 악성코드까지 탐지하는 장점을 가지고 있습니다.

 

지금까지 백신과 악성코드 전쟁의 큰 흐름만 짚어보았습니다. 이처럼 백신기술은 현재 진화를 거듭하며 악성코드를 탐지해내는데 총력을 다하고 있습니다. 현재 백신은 ‘알려진 악성코드’에 대한 대응적(reactive) 방어책에서 알려지지 않은 악성코드(unknown)에 대한 예방적(proactive) 솔루션으로 진화하고 있습니다.

기존 보안 기술을 뛰어넘는 악성코드는 계속 나올 것이고, 그에 대한 백신 기술 또한 반드시 나올 것입니다. 안랩 통계에 따르면, 하루에 15~50만개의 신/변종 악성코드가 생겨나고 있습니다. , 열흘만 PC백신 업데이트를 하지 않아도, 여러분의 PC는 최대 500만개의 악성코드 위협에 노출 될 수 있습니다.

이런 끝나지 않는 악성코드와 백신기술과의 전쟁에서, 피해자가 되지 않기 위해서는 백신프로그램의 지속적인 업데이트 및 검사실행, 수상한 메일이나 SNS URL 클릭 자제하기, 비밀번호 자주 바꾸기, 수상한 첨부파일 실행 자제 등 생활 속의 작은 보안 습관이 더욱 중요합니다. Ahn


 

안랩, 디도스 공격 악성코드 전용백신 제공

- 개인 및 기업 내 PC 좀비화 방지로 디도스 공격 근원 차단
- 개인은 물론 기업/기관도 무료 사용..기존 V3 사용자는 최신 버전으로 치료
 
정보보안 기업 안랩(대표 김홍선 www.ahnlab.com) 25일 일부 정부기관에 대한 디도스(DDoS: Distributed Denial of Service, 분산 서비스 거부) 공격이 발생함에 따라 사용자가 공격에 악용되지 않도록 디도스 공격 유발 악성코드를 진단/치료하는 전용백신을 개발해 무료 제공하고 있다. (http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=111)
 
26일 오후 17 35분부터 제공 중인 1차 전용백신에는 정부통합전산센터 웹사이트를 디도스 공격한 8개의 악성코드에 대한 진단/치료 기능이 들어있다. 27일 오후 5시부터 제공 중인 2차 전용백신에는 청와대, 국정원, 새누리당 웹사이트를 디도스 공격한 악성스크립트(JS/Agent)에 대한 진단/치료 기능이 추가됐다.      
 
이번 전용백신은 개인은 물론 기업/기관에서도 무료 사용할 수 있다. 또한 개인용 무료백신 ‘V3 LIte(http://www.ahnlab.com/kr/site/product/productView.do?prodSeq=8&svccode=aa1001&contentscode=483)를 비롯해 ‘V3 365 클리닉’(http://www.ahnlab.com/kr/site/product/productView.do?prodSeq=15), V3 Internet Security 8.0 V3 제품군 사용자는 사용 중인 제품의 최신 버전으로 진단/치료할 수 있다.
 
한편, 정부통합전산센터 웹사이트를 디도스 공격한 8개의 악성코드는 각기 역할이 나눠져 있다. 사용자가 웹하드 관련 업데이트 파일로 오인해 SimDiskup.exe 파일을 실행하면 ~simdisk.exe 파일이 생성되고 디도스 공격을 수행하는 oleschedsvc.dll 파일을 다운로드한다. (보충자료)
 
청와대, 국정원, 새누리당 웹사이트를 디도스 공격한 JS/Agent는 악성스크립트가 심어진 웹사이트에 접속했을 때 PC에 설치되는 악성코드이다. 이 악성코드는 악성스크립트가 심어진 웹사이트에 접속했을 때만 활성화하여 특정 웹사이트에 디도스 공격을 가한다.
 
안랩의 김홍선 대표는 “디도스 공격은 좀비PC에서 시작되므로, 개인용 PC와 기업 내 PC 모두 의도치 않게 공격자가 될 수 있다. 따라서 디도스 공격의 시발점인 PC에서 악성코드를 제거하는 것이 중요하다.”라고 강조했다. 또한 “웹사이트를 운영하는 기업/기관에서는 디도스 차단 기능이 있는 네트워크 보안 솔루션이나 보안관제 서비스를 이용해 피해를 최소화해야 한다.”라고 말했다.
 
----------<보충 자료>-----------
 
*디도스 공격 악성코드 파일명과 기능
파일명
기능
SimDiskup.exe
웹하드 사이트인 심디스크(Simdisk)설치 파일을 변조한 것으로 사용자를 속이기 위한 것이다.
servmgr.exe
드롭퍼(Dropper) 역할. 시스템의 운영체제 버전 정보를 체크한 후 동일한 악성코드에 이미 감염되어 있는지를 확인한다.
~simdisk.exe
네트워크 접속 정보의 감시, 추적 및 분석을 어렵게 .
ole(정상윈도우서비스명).dll
특정 URL로 접속해 디도스 공격 시각(6 25 10) 정보를 담은 파일을 다운로드한다.
wuauieop.exe
디도스 공격을 수행한다.
~DR.tmp
ole(정상윈도우서비스명).dll 파일을 생성하고 윈도우 서비스에 등록한다.
~ER.tmp
32비트 윈도우 운영체제에서 UAC(User Account Control, 사용자 계정 컨트롤)를 우회한다.
~ER.tmp
64비트 윈도우 운영체제에서 UAC를 우회한다.
 
*디도스 공격 악성코드 관계도 


일부 정부기관 디도스 공격 분석 내용 중간 발표

안랩, 25 00시부터 웹하드를 통해 디도스 유발 악성코드 배포 확인
- 좀비PC를 치료하는 것이 근본적인 해결책, 백신 업데이트 후 검사 필요
- 안랩 V3에 긴급 엔진업데이트 완료, 추후 지속적 업데이트 및 상세분석 예정

안랩(대표 김홍선 www.ahnlab.com)은 금일 일부 정부기관을 공격한 디도스(DDoS; Distributed Denial of Service, 분산 서비스 거부) 악성코드에 대한 분석내용을 중간 발표했다.
 
안랩은 이번 디도스 공격을 유발한 악성코드는 25 00시부터 배포되었으며, 25일 오전 10시에 DDoS 공격을 수행하도록 C&C 서버로부터 명령을 받은 것으로 확인되었다. 또한, 2011 3.4 DDoS 때와 같이 웹하드를 통해 악성코드가 배포된 것으로 분석했다.
 
안랩은 "공격자가 웹하드 업데이트 기능을 이용해 개인사용자 PC를 악성코드로 감염시킨 후 좀비PC를 만들고, 이들(좀비PC)을 이용해 다량의 트래픽(DNS(Domain Name System) 쿼리(Query))을 정부기관 네임서버에 일시에 보내 정부기관 접속을 방해한 것으로 분석되었다"고 현재까지의 분석 결과를 밝혔다.
 
한편, 안랩은 이번 디도스 유발 악성코드를 분석하는 한편, 악성코드 샘플과 유포지 정보를 관계기관에 공유했다.
 
안랩은 악성코드들 일부를 이미 진단하고 있었으며, 추가 발견된 악성코드에 대해서 V3엔진에 긴급 반영 했다. 또한 향후 악성코드 추가 발견 시 지속적으로 엔진을 업데이트 할 예정이다.
 
안랩은 "만약 상당히 많은 좀비 PC가 사용되었을 경우 엄청난 트래픽 공격으로 인해 서버 다운 등의 추가 피해가 있을 수 있어 주의가 요구된다" "디도스 공격을 유발하는 좀비PC와 악성코드 유포지를 차단하는 것이 시급하다."라고 밝혔다.
 
또한 PC사용자들이 백신을 최신으로 업데이트해 PC를 정밀검사하는 것이 반드시 필요하다고 당부했다.

현재 안랩은 확보한 디도스 유발 악성코드 샘플을 상세 분석 중이며, 향후 추가적으로 자세한 사항을 공유할 예정이다. <Ahn>


[보안 바로 알기 캠페인] #1 : 백신에 대한 오해와 진실

지금 사이버 공간은 나쁜 놈들 전성시대

 

세계적 언론사 뉴욕타임스 정보유출, 007처럼 중동지역 국가기관을 상대로 다년간 정보유출을 시도한 플레임악성코드, 소니와 해커들간의 대결, 주요 IT기업의 기밀 탈취 공격인 오퍼레이션 오로라’, 이란 원전 시스템을 노린 스턱스넷 악성코드, 그리고 국내 방송사와 금융기관을 노린 3.20 사이버테러 IT나 보안에 관심이 없는 분들이라도 이 영화 같은 이야기를 한 번씩 들어보셨으리라 생각합니다.

 

이런 큼지막한 사고의 공통점은 지능형 방법으로(Advanced), 지속적으로(Persistent) 특정 대상에게 가하는 보안 위협(Thereat), APT 공격이라는 점입니다. 위의 사례에서도 드러나듯 현재 온라인 세상은 그야말로 나쁜 놈들 전성시대를 맞고 있는데요, 이런 중요한 위협 속에서 여러분과 여러분이 속한 조직의 보안을 위해 가장 기본이 되는 백신에 대해서 재미있는 사실을 알아보는 시간을 가지겠습니다.

 


백신은 외국에서 백신이 아니다?

백신은 외국에서는 안티바이러스(anti-virus)라는 이름으로 불리고 있습니다. 백신이라는 이름은 1988년 안철수 박사가 국내에서 최초로 안티바이러스 소프트웨어를 만들며 붙인 백신이라는 이름이 일반 명사화 되어 시작된 것입니다. 당시에 안철수박사는 의학도였으니 당연한 이름 붙이기라고 볼 수도 있겠습니다. 참고로 외국에서는 백신이라고 하면 실제 몸 안에 주사하는 의약품을 의미하니 조심 해야겠죠?

 

많은 분들이 백신 설치와 업데이트만 하면 보안에 대해 할 것은 다 했다라고 생각하시는 데요, 먼저 기본적으로 알아야 할 사실은 백신은 알려지지 않은 악성코드(unknown)에 대한 선제적 예방(Proactive)솔루션이 아닌알려진 악성코드에 대한 대응적(reactive) 방어책이라는 것입니다.

 

일반적으로 백신은 각 업체에서 분석한 악성코드의 정보를 바탕으로 악성코드들의 블랙리스트를만들고, 이를 백신에 반영합니다. 이를 기반으로 백신이 설치된 PC를 스캔하고 블랙리스트에 해당하는 악성코드를 검출해내는 방식을 사용합니다. , 백신의 대응은 1) 새로운 악성코드 접수 및 수집, 2) 악성코드 분석, 3) 악성코드 리스트 업데이트 및 백신 엔진에 업데이트하는 단계를 거치는 것입니다. 대부분의 경우, 악성코드 접수에서 엔진 반영까지 시간차가 발생할 수 밖에 없습니다. 따라서 백신 설치로만 모든 악성코드와 보안 위협을 모두 막을 수 있다는 생각은 금물입니다.

 

일례로, 2013년 초 미국의 뉴욕타임스(NYT)가 해커의 공격을 당했을 때, 백신을 공급하고 있었던 글로벌 시장 점유율 1위 회사는 내부에 침투한 악성코드 45개 중 1개밖에 잡아내지 못했습니다. 이것은 해당 기업의 대응력이 부족해서가 아니라, 특정 기업이나 기관을 노린 해커가 해당 백신이 진단하지 못하는 특화된 악성코드를 제작했기 때문입니다. 해커는 이미 사전에 목표 기관에 대한 조사를 실행하고, 목표기관이 사용하고 있는 백신이 자신의 악성코드를 진단하는지 못하는지 테스트하는 치밀함을 보여줍니다. 이것이 APT 방식 공격의 무서운 점입니다. APT방식의 공격자는 목표기관의 보안 시스템에 대한 정보를 수집하고 이를 피하기 위해 지속적인 시도를 합니다.

 

그러면 백신은 아무 소용 없다?

이러다 보니, 일각에서는 APT공격에 대해 백신이 소용 없다는 ‘백신 무용론’마저 등장하고 있습니다. 하지만 이는 대단히 위험한 발상입니다. 백신은 이미 알려진 보안 위협에 대한 기본적인 방어책입니다. 이게 없다면 인터넷에서 쉽게 구할 수 있는 매우 낮은 단계의 해킹 툴 등에도 개인의 PC나 조직의 방어막이 쉽게 뚫려버릴 수 있습니다. 쉬운 예를 들자면, 몇 번 도둑을 맞았다고 현관의 자물쇠를 없애버리는 것과 같은 행위. 참고로 현재 악성코드의 숫자는 기하급수적으로 늘어 현재 하루에도 수십만 개씩의 새로운 악성코드가 보고되고 있습니다.

 

또한, 3.20 사태와 같이 최근의 APT 공격은 기업 및 조직의 서버나 네트워크에 직접 침투하는 것이 아니라 개인 PC에 먼저 침투하고, 내부 중요 IT인프라에 침입하는 방식이 주를 이루고 있습니다. 이러한 경향에 기반해 많은 전문가들이 최초 감염단계가 APT 공격에서는 매우 중요한 포인트라고 지적하고 있습니다. 따라서백신무용론은 백신이 소용없다는 것이 아니라, ‘백신만으로는 부족하다라는 의미로 이해해야 합니다.

 

 

백신은 만병통치약이 아닙니다. 보안에 있어서 100%란 있을 수 없으며 계속해서 행동을 하지 않는 한, 완전히 안전한 사람은 PC를 사용하지 않는 사람 밖에는 없습니다. 또한, 주위를 둘러보면 의외로 백신에 대한 이해가 많이 부족하신 분들이 많습니다. 그리고 여러분이 관심을 가지는 이성, 보호해주고 싶은 부모님도 그러할 확률이 높습니다. 사회가 아닌 나와 내 주위의 소중한 사람을 지키기 위해서라도 조금씩 보안 정보를 공유하면 어떨까요?

 

그리고 위의 정보만으로도 이성의 환심을 살 수 있는 훌륭한 대화기회를 만들 수 있습니다 : )

 

* 2부 예고: 해커가~ 좋아하는~ 보안 취약점은 바로 당신?, 나쁜 놈들 전성시대에서 살아남기

 

안랩이 주최하는 보안 콘테스트는 왜 다른가

현장속으로 2012.09.04 11:28

 

      글로벌 보안 기업인 안랩(구 안철수연구소)은 지식공유와 보안전문가 양성을 목적으로 새로운 개념의 보안 콘테스트  ‘AhnLab Security WAVE’를 개최한다. 참가자는 온라인 콘테스트를 통해 자신의 보안 지식을 가늠하고, 오프라인 컨퍼런스인 ‘안랩코어 2012 (AhnLab CORE 2011, www.ahnlabcore.co.kr)’에서 좀더 심도 있게 학습할 수 있다.  ‘AhnLab Security WAVE’가 어떻게 열리고 어떤 의미가 있는지 문답으로 알아보자.


 

     1.     AhnLab Security WAVE는 어떤 보안 콘테스트인가요?


올해로 2회째를 맞이하는 AhnLab Security WAVE는 안전하고 가치 있는 기술 개발에 기여할 수 있는 보안 전문가 양성을 위한 신개념 보안 콘테스트입니다. 보안과 개발 분야 종사자들이 함께 성장할 수 있도록 안랩이 기여하겠다는 의미에서 올해 Security WAVE의 슬로건도 ‘Growing up Together’입니다. 단순히 자신의 실력을 확인하고 끝나는 것이 아니라 동료들과 함께 토론하고 공부하는 자리를 만드는 것이 본 행사의 기획의도입니다.

 

사실 지금까지 대다수의 보안 콘테스트는 일부 유명 해킹 그룹이나 개인의 전유물처럼 그들의 지식이나 기술을 과시하는 행사였습니다. Security WAVE는 그런 일반적 콘테스트와는 달리 ‘열린’ 보안 콘테스트입니다. Security WAVE의 의미는 마라톤에 비유할 수 있습니다. 마라톤에는 42.195Km의 코스를 완주하는 선수가 있습니다만, 마라톤을 좋아하는 순수한 마음과 열정으로 5Km, 10Km, 하프 마라톤(Half Course)에 도전하여 완주하는 것을 목표로 하는 사람들도 있습니다. Security WAVE는 이처럼 보안에 대한 열정을 가진 모든 사람들이 함께 참여할 수 있는 자리를 만드는 다는 점에서 그 특별함이 있습니다.


2.     AhnLab Security WAVE에서 WAVE는 어떤 의미인가요?


AhnLab Security WAVE에서 WAVE는 We Appreciate your Value and Effort 의 약자로서 보안전문가를 꿈꾸는 참가자 분들의 열정과 노력을 격려한다는 의미를 담고 있습니다.


3.     참가자격 및 참가방식에는 제한이 있나요?


참가자격은 제한 없으며 IT 보안에 관심 있는 사람 누구나 참가 가능합니다. 대회는 개인전으로 진행됩니다.

 

4.     문제출제는 어떤 방식으로 진행되나요?


바이너리(Binary), 취약점(Vulnerability), 네트워크(Network), 디지털 포렌식(Digital Forensics), 모바일(Mobile) 총 5개의 영역으로 문제가 나누어 집니다. 각 영역마다 상, 중, 하 난이도의 문제가 제시됩니다.


 

[문제유형]

Security WAVE 콘테스트 상세 규칙에는 기존의 해킹대회 문제점들을 보완하고, 진정한 실력가에게 적절한 인증을 부여하고자 많은 사항들을 고려한 결과물에 담아있습니다. 문제출제 관점에서는 실무와 다소 동떨어진 대회용 문제가 출제되지 않도록 보안분야에서 사용되는 코어 기술 5(바이너리, 취약점, 네트워크, 디지털 포렌식, 모바일)를 선택하여 문제 카테고리로 선정하였습니다. 또한, 출제되는 문제도 고객사로부터 접수되는 사례, 필드에서 경험한 내용 및 실제 보안위협이 발생할 수 있는 사례들을 적절히 고려하여 시나리오를 작성하고 기술을 적용하였습니다.

 

[난이도 및 점수 산출방식]


이번 Security WAVE에서는 영역별, 난이도별, Stage 별로 3가지 문제정책이 적용되어 총 16문제를 풀게 됩니다. 기존 해킹대회에서 가장 큰 문제가 되는 “답 공유” 와 실제 풀이보다는 답만 맞추는 결과 선정방식에 문제점을 최대한 해결하고자 Stage라는 형식을 적용하였습니다. 16문제는 Stage 1(난이도 중 또는 하)Stage 2(난이도 상)로 구분하여 입력방식과 점수산정 방식에 차별화를 두었습니다. Stage1 문제는 간단한 답을 입력하고 바로 정답여부를 확인하면서 실시간으로 문제를 풀어가고, Stage2 문제에서는 단답형과 서술형 답을 입력하여 정답여부를 확인할 수 없도록 함으로써 답 공유를 배제하고, 실제 풀이과정을 제대로 알고 있는 참가자에게 가산점을 부여하는 방식으로 진행됩니다.

 

출제 당시 이미 각 영역별 문제 난이도가 존재하지만 문제의 난이도는 실제 문제를 푼 참가자의 수가 어느 정도 대변합니다. 따라서, 일차적으로 문제출제위원들이 결정한 영역별 상//하에 따른 난이도 점수와 실제 문제를 많이 풀수록 난이도가 낮아져서 획득할 수 있는 점수도 낮아지는 점수산정방식을 도입하였습니다. 이 방식은 전문가의 일방적인 난이도 결정이 아니라 참가자들의 의견을 반영한다는 취지와 실제 문제 푼 사람의 수가 증가하면 본인의 점수가 낮아지기 때문에 답을 공유하는 것을 막을 수 있다는 이점을 가집니다.

 

5.     참가혜택에는 어떠한 것이 있나요?


일정 수준의 성적을 거둔 참가자들에게는 Qualified, Professional, Master 3가지 등급으로 구분한 안랩의 인증서를 드립니다. 인증서를 획득한 분들을 대상으로 정기적으로 보안교육을 제공할 기획이며, Professional, Master 인증서를 받은 분들에 한해서 안랩 보안전문가들과 함께 프로젝트를 진행할 기회를 드리며 멘토링 프로그램과 세미나 참가 또한 지원해드릴 예정입니다. 구체적인 내용은 오프라인 행사 때 소개됩니다.

    6.     콘테스트 이후에 시행되는 오프라인 행사는 무엇인가요?


AhnLab Security WAVE 2012 온라인 대회에 참여한 분들 중 신청자 350명을 대상으로 오프라인 행사가 진행됩니다. 본 행사에서는 출제 위원들이 참가자들에게 직접 문제 풀이를 제공하고 문제 풀이 방식에 대해서도 토론하는 자리가 될 것입니다. 오프라인 행사는 선착순이니, 대회참가 시 서둘러 신청해 주세요.

[오프라인 행사 안내]

일시: 9/20(목) 12:00 ~17:30

장소: 서울 코엑스 인터컨티넨탈 호텔 다이아몬드 홀

  

7.     참가신청을 어떻게 하나요?

http://wave.ahnlabcore.co.kr에 접속하시어 ‘참가등록’을 하시면 됩니다. 온라인 콘테스트는 9 7() 22:00 ~ 9 8() 18:00, 20시간동안 진행됩니다. 구체적인 사항은 행사 홈페이지를 참조해 주세요. Ahn

 

사내기자 방지희 / 안랩 세일즈마케팅팀

지금 20대의 청춘을 사람들과의 소중한 만남으로 채우고 싶습니다.
글을 통해 타인의 마음을 읽고, 글을 통해 타인의 마음을 움직이는 기자가 되고자 합니다


유령, 알고 보면 더 재미있는 사이버 보안 세상

2012년 2월, 안랩 시큐리티대응센터(ASEC)는 사이버 범죄를 주제로 한 드라마의 자문을 의뢰 받았다. 드라마 ‘유령’에는 긴박한 스토리라인과 함께 다양한 보안 전문 용어가 곳곳에 등장한다. 일반 시청자들에게는 생소할 수 있는 보안 용어를 최대한 쉽게 설명하는 한편, 사이버 범죄에 이용되는 다양한 해킹 기술 묘사에 대해 검수하는 것이 ASEC의 역할이었다. 


드라마가 방송된 이후 수많은 시청자가 드라마 속의 보안 기술에 상당한 관심을 보이고 있다. ‘실제로 저런 해킹이 가능한가?’라는 궁금증은 물론, ‘자막이 너무 빨리 지나가 전문 용어를 이해하기 어렵다’는 날카로운 지적도 있다. 드라마 ‘유령’에 등장한 사이버 공격 기술 중 현실 세계에 큰 위협이 될 수 있는 에피소드를 중심으로, 개인과 기업의 안전을 위해 주의할 사항을 다시 한번 짚어본다.


무선랜 해킹을 통한 개인정보 유출

 

"2407번 학생, 이 날씨 좋은 날 왜 개떡 같은 사이버 수사 강의를 들어야 하는지 말씀드리죠. (자기 스마트폰을 들어올리고 학생들을 보며)방금 여러분은 스마트폰으로 다른 사람들에게 보내던 무선 정보를 해킹당했습니다. 이런 식으로 불법 수집당한 개인정보들은 주민번호 도용 등의 심각한 범죄에 사용당할 수 있습니다. 이게 바로 사이버 수사가 필요한 이윱니다."



제1화, 경찰청 사이버수사대 수사 1팀장 김우현(소지섭 분)이 경찰대학에서 사이버 수사에 대해 강의를 한다. 김우현은 자신의 스마트폰을 들여다보면서 강의실의 한 학생이 친구에게 보낸 메시지를 정확히 읊어낸다. 스마트폰으로 발송한 무선 정보가 해킹될 수 있음을 ‘시연’한 것이다.

 


[그림 1] 무선랜 해킹을 통한 메시지 감청(출처 : 드라마 ‘유령’ 제1화)

 

얼마 전 뉴스 보도에 따르면, 전 세계적으로 10명 중 9명이 스마트폰을 사용하고 있다. 스마트폰 보급의 확대는 무선랜 보급에도 크게 기여했다. 우리나라만 해도 이제 우리는 집, 회사뿐만 아니라 까페나 거리에서도 수많은 Wi-Fi 신호를 이용할 수 있다. 문제는 안전 불감증이다. 자신도 모르는 사이에 개인정보가 보안에 취약한 무선 네트워크를 통해 빠져나갈 수 있음을 잊어서는 안 된다. 스마트폰 사용자들의 대부분은 다음과 같은 위험에 노출돼 있다.

▶ 무선 AP 접속 비밀번호를 기본(default) 값 그대로 사용
▶ 보안이 전혀 고려되지 않은 오픈-프리 무선 네트워크의 무방비한 사용
▶ 보안성이 낮은 WEP, WPA 암호 프로토콜을 사용하는 무선 네트워크 이용
(*보안이 강력한 WPA2 암호 프로토콜 이용 권장)

 

 

우현 : 신효정이 쓰던 아이피.. 무선 에이피였어..
강미 : (놀라는)무선 에이피요?
우현 : 무선 에이피에 비밀번호를 걸어놓지 않았다면.. 반경 50미터 이내에선 누구나 이 아이피를 쓸 수 있어.

 

드라마 ‘유령’의 본격적인 스토리의 시작은 악의적인 덧글에 시달리던 유명 연예인의 자살이다. 이 사건을 파헤치던 사이버수사대는 그 연예인이 자살을 암시하며 SNS에 올린 글이 다른 사람에 의해 쓰여졌다는 것을 알게 된다. 그 연예인이 사용하던 공유기에 암호가 걸려있지 않아 그의 IP 주소를 이용했던 것이다. 계정과 비밀번호까지 알고 있던 범인은 암호화되지 않은 무선랜을 이용해 온라인상에서 거의 완벽하게 다른 사람 행세를 할 수 있었던 것이다.

 


[그림 2] 비밀번호가 설정되지 않은 무선랜 공유기(출처 : 드라마 ‘유령’ 제2화)

 

[그림 3] 무선랜 해킹 프로그램인 에어크랙

 

참고로 [그림 3]은 무선랜 해킹 프로그램인 에어크랙(aircrack)을 이용해 WEP(Wireless Encryption Protocol)의 암호 키를 추출하는 화면이다. 이로써 모든 송수신 암호화 데이터를 복호화할 수 있다.

 

이러한 해킹을 막기 위해 방송통신위원회는 다음과 같은 ‘안전한 무선랜 이용 7대 수칙’을 권고하고 있다. 
① 무선공유기 사용 시 보안 기능 설정하기 
② 무선공유기 비밀번호 안전하게 관리하기 
③ 사용하지 않는 무선공유기 꺼놓기 
④ 제공자가 불분명한 무선랜 이용하지 않기 
⑤ 보안 설정이 되어있지 않은 무선랜으로 민감한 서비스 이용하지 않기 
⑥ 무선랜 자동 접속 기능 사용하지 않기 
⑦ 무선 공유기의 명칭(SSID)을 변경하고 숨김 기능 설정하기 

 

스테가노그래피를 이용한 정보 은닉 

 

기영 : 스테가노그래피야!

기영을 바라보는 강미, 놀라서 멈칫한다.
-인서트 컷

노트북작업을 하고 있는 생전의 신효정의 모습.
스테가노그래피 툴로 동영상 파일에 다른 파일을 덧입히고 있다.
증거물 보관실로 돌아오면 기영을 반신반의하면서 보는 강미.

강미 : ...신효정이 스테가노그래피 기술로 파일을 숨겼다구요?
기영 : 신효정은 죽기 전에 방송국 뉴스 팀에 메일을 보내려고 했어. 하지만 파일을 첨부하진 못했지. 그 전에 죽임을 당했으니까..



[그림 4] 동영상 안에 다른 동영상을 숨기는 작업(출처 : 드라마 ‘유령’ 제2화)

 

[그림 4]는 드라마 ‘유령’에서 사건의 실마리가 되는 동영상을 발견하는 장면이다. 스테가노그래피 응용 프로그램으로 동영상 파일에 다른 파일을 덧입힌 것을 확인한 것이다. 스테가노그래피(Steganography)란 사진이나 음악 파일 등에 특정한 정보(파일)를 숨기는 기술이다. 실제로 전달하고자 하는 비밀 메시지나 정보 등을 다른 정보에 은닉하는 방법으로 사용되는데, 오사마 빈 라덴이 알카에다 조직원과의 연락을 위해 사용한 것으로 알려지면서 유명해지기도 했다. 드라마 ‘유령’에서는 살인 사건의 목격자가 녹화한 영상을 숨기기 위한 방법으로 사용했다.
 
이 기술 악의적인 목적으로만 사용되는 것은 아니다. 예를 들어 짝사랑하는 사람에게 사랑 고백을 하는 로맨틱한 깜짝 이벤트에도 활용할 수 있다. 일상적인 편지처럼 보이지만, 그 안에 진심이 담긴 사랑의 메시지가 숨어있다면 어떨까? 물론 상대방이 스테가노그래피 기술을 알고 있다는 까다로운 전제가 있어야 한다. 오픈소스 기반의 스테가노그래피 응용 프로그램도 있으니, 한 번쯤 선량한 목적으로 사용해보는 것도 색다른 즐거움이 될 것이다. 

 

원격 취약점을 이용한 공격


기영(소리) : 아이피는 xxx.xxx.xxx.xxx. 스캐닝 프로그램으로 취약점을 찾아서 공격을 시작한다.
기영(소리) : 취약한 xxxx번 서비스 포트로 공격 코드를 보낸다. 모니터를 바라보는 기영의 눈빛, 드디어 성공이다. 노트북 모니터에는 시스템 권한 ‘승인’창이 뜬다.
기영(소리) : 익스플로잇 성공.

드라마 ‘유령’ 제3화에서는 낯선 용어들이 나온다. 또 악명 높은 해커(박기영, 이후 김우현으로 살아가는) 하데스가 다양한 원격 취약점 공격을 시도하는 장면도 드라마 전반에 자주 등장한다.

   


[그림 5] 스캐닝 응용 프로그램(좌)과 취약한 서비스 포트로 공격 코드(Exploit)를 전송하는 장면(출처 : 드라마 ‘유령’ 제3화)

 

일반적으로 사이버 공격은 스캐닝 → 서비스 포트로 공격 코드 전송 → 시스템 권한 상승(공격 성공)의 순서로 진행된다. 기업의 보안 상태를 점검하고 적절한 개선 방안을 찾는 보안 컨설팅의 모의침투 테스트(Penetration Test)도 이와 유사한 과정으로 진행된다. 앞서 언급한 스테가노그래피와 마찬가지로 기술을 사용하는 사람의 목적이 다를 뿐이다.

 

공격의 출발점인 스캐닝(Scanning)은 상대가 노출하고 있는 허점, 즉 약점을 찾는 것이다. 이때 사용되는 것이 스캐닝 프로그램으로, 컴퓨터의 열려 있는 서비스 포트 등을 탐색하는 프로그램이다. 스캐닝 기술을 이용해 오픈(열려 있는) 서비스 포트를 확인할 뿐만 아니라 오픈 서비스에 연결된 응용 프로그램의 버전까지도 파악할 수 있다.

 

서비스 포트란 컴퓨터에서 실행되는 프로그램이 외부와 데이터를 주고 받는 통로라고 할 수 있다. 일반적으로 익스플로이트(Exploit)라고 불리는 공격 코드는 컴퓨터 시스템이나 응용 프로그램의 버그 또는 보안 취약점 등을 이용해 공격자의 의도대로 동작하게 만드는 악의적인 명령을 내린다.
 
공격자는 서비스 포트 혹은 그와 연관된 데몬 응용 프로그램을 확인한 후에는 적절한 공격 무기를 갖춰야 한다. 익히 알려져 있는 무기를 재활용할 수도 있고, 아직 아무도 알지 못하는, 그래서 누구도 막을 수 없는 자신만의 무기를 개발할 수도 있다. 인터넷에 유포되어 있는 악성코드나 공격 툴을 사용하는 것이 전자라면, 아직 알려지지 않은 취약점을 노리는 제로데이 공격(zero-day attack) 공격 코드를 만들어내는 것은 후자의 예이다. 제로데이 공격의 성공률은 100%에 가깝다. 드라마 ‘유령’의 하데스는 세상에 알려지지 않은 제로데이 공격 코드를 상당수 보유한 뛰어난 공격자다. 

 

메신저, 문서 취약점을 이용한 원격 제어 악성코드
 


[그림 6] 문서 취약점 공격 코드 전송(출처 : 드라마 ‘유령’ 제5화)

 

기업 보안 담당자라면 드라마 ‘유령’ 제5화를 관심 있게 지켜볼 필요가 있다. 범죄 조직에 고용된 아르바이트생을 통해 범인들의 아지트를 알아내는 장면에서 흥미로운 해킹 기법이 등장하기 때문이다. 공격자는 메신저를 통해 상대방에게 문서 취약점 공격 코드를 전송함으로써 원격 제어 악성코드(RAT : Remote Administration Tool)를 성공적으로 설치한다.

 

메신저를 통해 전송된 엑셀 파일을 클릭하는 순간, 은밀히 컴퓨터의 웹캠이 돌아가고 범인들의 아지트 모습이 상대방에게 전송되기 시작한다. 엑셀 파일에 원격 제어 악성코드가 숨겨져 있었기 때문이다.

 

 

이것은 최근 기업 내부 시스템에 침투해 주요 정보를 탈취하고 시스템을 파괴하려는 지능형 타깃 공격(APT : Advanced Persistent Threat)에 주로 이용되는 공격 방식이다.

 

또한 드라마 ‘유령’에서는 이메일, P2P 메신저, USB 등이 악성코드 전파 수단으로 많이 이용된다. 실제로 과거에 비해 운영체제의 보안이 크게 강화되면서, 공격자들은 자연스럽게 응용 프로그램 취약점으로 시선을 옮기고 있다. 응용 프로그램의 알려지지 않은 취약점을 노리는 제로데이 공격 활용 빈도가 꾸준히 증가하는 것도 이 때문이다. 

 

DDoS 공격과 좀비 PC


DDoS(Distributed Denial of Service), 이른바 분산 서비스 공격은 여러 대의 컴퓨터에서 일제히 특정 웹 사이트에 접속함으로써 해당 서비스를 다운시키는 것이다. DDoS 공격의 성공은 얼마나 많은 좀비 PC를 확보하느냐에 달렸다. 좀비 PC란 악성코드에 감염되어 사용자의 의도와 상관없이 공격자에 의해 원격으로 조종되는 컴퓨터를 의미한다.

 


[그림 8] USB를 통한 악성코드 감염(출처 : 드라마 ‘유령’ 제5화)

 

드라마 ‘유령’에서는 파일 공유 사이트를 통해 유포되는 연예인 음란 동영상에 악성코드를 삽입해 다수의 PC를 감염시킨다. 실제로 공격자들이 다수의 좀비 PC를 확보하기 위해 이용하는 대표적인 방법은 다음과 같다.

 

① 잘 알려진 웹 사이트를 침해하여 악성코드 유포지로 활용
② 잘 알려진 응용 프로그램의 업데이트 서버를 침해하여 악성코드 유포에 활용
③ 파일 공유(P2P) 사이트에서 많은 사람들의 관심을 끌 만한 동영상으로 사칭하여 악성코드 유포에 활용 

 

스턱스넷, USB, 그리고 스카다 시스템


현재까지 방송된 드라마 ‘유령’에서 가장 충격적인 에피소드로 꼽히는 것은 전력 시스템 중단에 따른 대규모 정전 사태일 것이다(제5~6화).

 

사건의 전말은 이렇다. 어느 날 밤 ‘대한전력’ 보안팀 직원의 집에 도둑이 들었다. 범인의 하수인이었던 그 도둑은 대한전력 보안팀 직원의 개인 컴퓨터에 악성코드를 심어둔다. 그 사실을 알 리 없는 대한전력 보안팀 직원은 전력 시스템을 제어하는 컴퓨터에 개인 컴퓨터에서 사용했던 USB를 꽂았고, 이를 통해 전력 시스템 전체가 감염된 것이다. 전력 시스템 이상으로 전기 공급이 중단되자 도로에서는 교통 신호등이 멈춰 연쇄 추돌 사고가 발생하고, 건물의 엘리베이터 안에 승객들이 갇히는 한편, 병원에서는 정전 때문에 수술이 중단된다. 사이버수사대가 가까스로 공격을 막아냈다고 생각하고 한숨 돌리는 순간, 이번에는 숨어들었던 악성코드가 파괴 명령을 내려 전력 시스템 자체를 파괴하기 시작한다.

 


[그림 9] USB를 통한 악성코드 감염 과정(출처 : 드라마 ‘유령’ 제5화)

 

사실 이 에피소드는 몇 년 전, 이란 원전 공격으로 크게 회자된 바 있는 스턱스넷(Stuxnet)에서 주요 모티브를 따온 것이다. 스턱스넷이란 발전소, 공항, 철도 등 기간 시설을 파괴하기 위해 국가 기반 시설 등에서 사용하는 스카다(SCADA, Supervisory Control Data Acquisition) 시스템을 노리고 특수 제작된 악성코드다. 스턱스넷은 비교적 최근 나타난 악성코드임에도 불구하고 듀큐(Trojan/DuQu), 플레임(Trojan/Flame) 등의 유사한 악성코드가 연이어 나타나고 있어 국내외 보안 업계가 예의 주시하고 있다.

 

전력 시스템과 같은 사회 기간 시설은 외부 인터넷이 연결되지 않는 폐쇄망으로 운영된다. 폐쇄망 환경에서, 외부의 악성코드가 내부로 침투할 수 있는 유일한 감염 경로는 USB다. 악성코드에 감염된 USB를 컴퓨터에 꽂는 순간, USB에 들어있던 악성코드가 오토런(AutoRun) 기능에 의해 자동 실행되어 컴퓨터 본체를 감염시킨다.

 

그러나 USB를 감염 루트로 이용하는 악성코드는 스텍스넷 종류에 한정된 것은 아니다. 이미 수많은 악성코드가 USB 자동 실행 기능을 자기 감염 방식으로 사용하고 있으므로 USB 보안에 대한 특별한 주의가 필요하다. 

 

스피어 피싱, 메일을 이용한 타깃 공격


제6화에서는 주인공들의 과거 회상 장면이 나온다. 경찰대 학생인 박기영은 호기심으로 절친한 동기 김우현의 아버지에게 악성코드를 보내 그의 이메일을 훔쳐본다. 고위 경찰 간부였던 김우현 아버지의 이메일 가운데 <극비문서 3차 수사지침>이라는 제목의 메일이, 박기영이 경찰대를 떠나 해커 하데스가 되는 계기가 된다.

 

[그림 10]은 박기영이 김우현 아버지에게 악성코드를 보낼 때 이용한 공격 기법을 보여준다. 이러한 기법을 스피어 피싱(Spear Phishing)이라고 부른다. 스피어 피싱은 신뢰할 만한 발신인이 보낸 것처럼 위장된 메일을 이용해 웹 사이트로 유도 또는 첨부 파일을 통해 악성코드에 감염시키거나 타깃의 개인정보를 유출하는 일종의 피싱 공격이다. 사람의 관심과 호기심을 자극하는 사회공학적(Social Engineering) 기법을 이용하기 때문에 조금만 주의를 게을리해도 공격의 희생양이 된다. 쇼핑을 좋아하는 이가 할인쿠폰 정보가 담긴 이메일을 클릭하지 않고 그냥 지나치겠는가.

    
 
[그림 10] 스피어 피싱 공격(출처 : 드라마 ‘유령’ 제6화)

 

제6화에서 보여준 스피어 피싱의 과정은 다음과 같다.
① 타인의 전화번호 수첩을 통해 타깃의 이메일 주소 획득
② 타깃이 속한 조직의 인사팀을 사칭하여, 악성코드를 삽입한 허위 인사 파일을 타깃의 이메일로 전송
③ 타깃이 해당 이메일의 첨부 파일을 클릭하여 악성코드에 감염(드라마에서는 이 부분을 생략했다.)
④ 스피어 피싱 성공, 타깃의 이메일 일부가 공격자에게 전달

 

“아는 만큼 보인다”는 말이 있다. 드라마 ‘유령’에서 등장한 컴퓨터 공격 기술과 관련 용어들에 대해 이해하고 시청한다면, 이제 절정을 향해 가고 있는 드라마를 더욱 즐겁게 볼 수 있을 것이다. 물론, 드라마는 드라마일 뿐이다. 기술적인 부분을 지나치게 들춰내기보다는 드라마의 극적 요소와 긴박감을 온전히 즐기는 것이 중요하다. 다만, 드라마가 다루고 있는 일부 위협과 대비책을 인지하고 이에 대비할 수 있다면 금상첨화겠다. Ahn


김지훈 / 안랩 시큐리티대응센터(ASEC) A-퍼스트팀 팀장


[이벤트] 안랩의 17살 생일을 함께 해요!

독자이벤트 2012.03.15 07:00
안랩(구 안철수연구소)이 벌써 17살 생일을 맞았습니다. ^^ 
항상 안랩을 아껴주시는 여러분이 있었기 때문이고,
모든 축하는 여러분의 몫이라고 생각합니다.


따라서 안랩에서는 17번째 생일을 여러분과 함께 하기 위해 
'믿음을 드리는 안전한 쇼핑몰'
안랩몰(http://shop.ahnlab.com)
에서
축하 이벤트를 진행합니다!


모든 구매자께 서비스 기간 17일 연장 혜택을 드리고,
추첨을 통해 맛있는
떡 케익도 드립니다.
많은 관심 바랍니다. ^^


자세한 사항은 아래 링크를 참고하세요.
Ahn
클릭하면 이동합니다

안철수연구소 연구원이 말한 악성코드 분석의 세계

올해 보안 관련 사건/사고 소식을 찾아보면 침해 사고의 원인 대부분이 악성코드로 시작되었다는 것을 확인할 수 있다.
 
기사 출처 : 데일리시큐 , 아시아경제

이처럼 악성코드라는 단어는 방송이나 인터넷 뉴스 등을 통해 자주 접할 수 있었다. 반면에 악성코드에 대해 깊게 다룬 내용은 찾아보기 힘들다. 그리고 관심이 있지 않은 이상 악성코드를 직접 찾아보거나 악성코드에 대한 자세한 이야기를 들어본 적은 없었을 것이다.

정보보안에 관심 있는 대학생으로서 '악성코드에 대해 어떻게 하면 좀 더 쉽게 접근할 수 있을까?' 라는 생각을 갖고 인터넷 검색을 해보았다. 검색을 하던 중 '기술적인 관점에서 본 악성코드 트렌드'라는 주제로 공개 세미나가 열린다는 소식을 들었다. 악성코드에 한 발 더 가까워질 수 있다는 생각에 공개 세미나 현장을 찾아가 보았다.

이번 공개 세미나의 강연자는 바로 '악성코드 그리고 분석가들'의 저자이자 현재 안랩 ASEC 분석1팀에서 근무하고 있는 이상철 책임연구원(이하 이책임). 
(이상철 책임 인터뷰 :  http://blogsabo.ahnlab.com/841  )

이상철 책임이 직접 쓴 책인 '악성코드 그리고 분석가들'에서 다루었던 악성코드 중심으로 세미나가 진행되었다. 이 책임이 직접 겪었던 악성코드 연대기이므로 일반적인 악성코드 트렌드와 다소 다를 수 있다고 한다. 악성코드에 대해 자세하게 이야기하면 많은 시간이 걸리지만 이번 세미나에서는 악성코드를 하나하나 이해할 수 있는 수준의 설명으로 진행이 되었다.

악성코드는 퍼즐이다!


본격적인 강연에 앞서 이상철 책임은 사람이 어떤 지식을 습득할 때 하나의 깃발 위주에서 지식이 쌓인다고 했다. 그래서 세미나에 참석한 사람들이 악성코드를 모른다고 해도 이번 세미나를 통해 '악성코드는 퍼즐이다'라는 하나의 깃발을 꽂아갔으면 한다는 말을 했다. 그 이유는 이 팀장이 8년 동안 악성코드를 분석하면서 악성코드는 직소퍼즐이나 그림퍼즐과 같다고 느꼈기 때문이라고 한다.

 이 책임이 생각하는 일반적인 남자의 뇌구조.
지금부터 악성코드는 퍼즐이라는 깃발을 꽂고 이야기를 들어보자.

악성코드 분석가들이 하는 일은?


악성코드에 대해서 이야기하기 전 이 책임은 악성코드 분석가들이 하는 일을 이야기했다.

 

살면서 걸어가는 게 제일 빠르다는 것을 느꼈다. 즉, 한 방은 없다는 것이다. 악성코드 분석 할 때도 마찬가지이다. 분석가들은 악성코드라는 퍼즐에 대해 처음부터 끝까지 분석을 하면 중간 중간에서 작은 기능들을 보게 된다. 그리고 추가기능이 없는지 전체적인 재분석을 한다. 이 과정을 반복하고 자세히 볼수록 퍼즐을 완벽하게 맞출 수 있는 것이다.

또한 분석가들은 분석을 통해 사람의 의도까지 파악을 한다. 예를 들어 '악성코드 제작자는 언제 무슨 이유로 악성코드를 만들었다' 하는 추측을 하기 시작한다. 이렇게 분석을 하다보면 가끔씩 'CSI 과학수사대' 분위기마저 들 때가 있다. 이런 분위기가 느껴질 때에는 소설은 그만 쓰고 팩트(Fact)만 이야기하라는 말을 한다. 그래야 분석가들이 필요한 것을 얻을 수 있기 때문이다. 


2003년도부터 2010년까지의 다양한 악성코드에 대한 본격적인 이야기가 시작되었다. 여러 악성코드를 다루었는데 이 중 세미나를 통해 흥미롭게 느꼈던 두 가지 악성코드를 적어보았다.

1. Bot류
 

↑  영화 '트랜스포머'에 나오는 해킹 전문 로봇 '프렌지'

봇(Bot)이라는 단어가 생소한 분들을 위해 먼저 간략한 설명을 하자면 '봇(Bot)'이란 로봇(Robot)의 준말로서 사용자나 다른 프로그램 또는 사람의 행동을 흉내 내는 대리자로 동작하는 프로그램을 의미한다. 인터넷상에서 보편적으로 존재하는 봇들은 웹사이트들에 주기적으로 방문하여 검색엔진의 색인을 위한 콘텐츠를 모아오는 일을 하는 스파이더, 크로울러라고도 불리는 프로그램들이 있다. (출처 : 텀즈 http://terms.co.kr/bot.htm) 

이 책임이 안랩에 입사했을 때 악성 봇들이 굉장히 많이 출현해서 매일매일 그 기록을 갱신했다고 한다.
 

과거 도스(DOS)시절에는 자신의 능력을 과시하려는 목적으로 악성코드를 제작했다. 그러나 지금은 악성코드를 만드는 이유는 딱 하나. 바로 돈 때문이다.

악성 봇들은 위에서 말한 스파이더, 크로울러와 같은 유용한 봇들과 달리 해커 혹은 봇 유포자가 원격지에서 봇에 감염된 PC를 로봇처럼 자신이 마음대로 제어할 수 있게 만들어 해당 PC를 자신이 쓸 수 있게 하는 것이다. 실제로 이런 PC들을 '봇화(Bot化)'했다.

원격접속으로 공격이 가능해지면서 귓속말 하듯이 몰래 특정 명령을 내려서 파일을 올리거나 다운받기도 했다. 더 나아가 악성코드 제작자들은 서버까지 관리하기 시작했다. 예를 들어 '해커Z'가 메일을 발송할 수 있는 악성 봇을 만들어서 인터넷 동영상이나 Fake AV(가짜 백신) 등에 악성코드를 심어놓았는데 PC가 3만대가 이 악성 봇에 감염되었다. 

이제 해커Z는 스팸메일 발송이 필요한 사람들(이하 스팸메일러)에게 장악한 PC 중3000대를 판매를 하는 것이다. 해커Z는 "당신들은 렌트비용(예: 3000대에 200만원)만 지불하면 된다"라고 이야기한다. 그래서 스팸메일러는 200만원을 주고 3000대를 구입하게 된다.
결과적으로 봇에 감염된 PC의 주인들은 PC를 사용하지 않는 밤에는 스팸메일러가 자신의 PC를 사용하는 것을 모르는 것이다.

2. 베이글 

악성코드를 설명하고 있는데 갑자기 웬 베이글(?)

다이어트하는 사람들이 즐겨찾는 베이글이지만 이름이 동일한 악성코드 '베이글'은 분석가들에게는 큰 고생을 가져다주었다고 한다. 위에서 봇류의 사례를 봤듯이 악성코드로 돈을 벌 수 있게 되면서 여러 악성코드 제작자들이 일종의 사업처럼 뛰어들었고, 그 결과 NetSky ,Bagle 등의 악성코드를 만드는 해커들 사이에서 전쟁(?)이 일어났다고 한다.
 
그 전쟁은 해커들 사이에서 서로를 자극하는 메시지를 넣어서 일종의 대화를 하거나 상대방 악성코드를 감염된 시스템에서 제거하는 일종의 치료기능을 넣은 변종을 만드는 방식이었다. 다시 말해 악성코드에 감염되면 해당 취약점을 보완하기 위해 바로바로 윈도우 업데이트를 하는 것과 같았다.

이 책임은 그 전쟁을 지켜보면서 여러 악성코드 중에서 '베이글'이 파일 레지스트리까지 모두 치료해주는 점을 보면서 가장 강한 팀이라는 것을 느꼈다고 한다. 
 

그렇다고 베이글이 전쟁에서 승리하는 것을 가만히 응원하고만 있을 때는 아니었다. 그 당시 베이글은 하나의 시나리오를 만들어서 전 세계를 대상으로 한 공격을 하기 시작했다. 베이글은 감염된 PC내에서 이메일 주소를 수집하는 기능을 갖고 있었다. 하지만 어떻게 필요한 사람한테만 보내는 방식으로 만들어졌는지에 대한 궁금증이 생겼다.

그러한 궁금증을 갖고 분석한 결과 하나의 쓰레드를 만들어서 확장자가 ***.txt, ***.html 인 파일들을 읽은 뒤 해당파일 내에서 이메일 주소를 찾아 자동으로 발송을 하는 방식이었다. 6년 전에 만들어 진 악성코드지만 스마트한 방식으로 잘 만들어졌다는 생각이 들었다.

계속해서 다른 방식의 베이글이 출현했다. 감염이 되면 이메일을 발송하는 것은 이전과 같았으나 여기에 암호화 된 ZIP(압축)파일과 랜덤암호를 첨부해서 발송하는 점이 달랐다. ZIP 파일에 함께 첨부된 랜덤암호를 입력하면 압축이 풀렸다. 즉, 일종의 사회 공학적 기법을 사용해서 메일에 대한 신뢰성을 높인 것이다. 그 결과 사용자들은 메일에 첨부된 ZIP파일의 압축을 풀어서 악성코드를 자연스럽게 실행시키면서 100% 베이글에 감염되었다. 그 만큼 베이글의 피해는 엄청났다.

베이글로 인한 피해를 막기 위해 안랩에서도 많은 고민을 했다. ZIP 파일에 해당 암호를 넣어서 압축을 해제한 뒤 진단하는 것이 가장 좋은 방법이었다. 그러나 진단 속도가 너무 느려지는 것이 문제였다. 예를 들어 폴더의 반을 ZIP파일로 채운 사용자의 경우에는 한 번 진단 시 거북이 같은 진단 속도에 답답함을 느꼈다. 

암호화한 부분을 어떻게 할까 고민을 하면서 아이디어를 얻기 위해 다른 백신 업체는 어떻게 대응하는지 살펴보기로 했다. S사는 이메일을 파싱(parsing)해서 첨부된 암호를 압축파일에 집어넣는 방식으로 진단을 했다. 그러나 아이디어를 얻은 것도 잠시, 어느 날 진단을 하면서 무엇인가 이상한 점을 발견했다. 랜덤 암호를 텍스트가 아닌 이미지로 첨부해서 메일을 발송하는 것이었다. 그 결과 텍스트를 파싱해서 진단하는 S사의 백신 또한 무용지물이 되었다.

현재 인터넷 사용 시 흔히 접할 수 있는 이미지 패스워드 방식(CAPTCHA)이지만 
베이글을 통해 처음으로 이 방식을 접한 분석가들은 충격이었다고 한다.

사수들도 헤매는 것을 지켜보면서 베이글이라는 악성코드에서 무림고수의 숨결을 느꼈다.

이 외에도 Detnat, Viking 등의 다양한 악성코드에 대한 설명이 이어졌다. 처음 접하기에는다소 이해하기 어려운 부분도 있었다. 하지만 혼자서 공부할 때보다 직접 눈앞에서 악성코드에 대한 이야기를 들으면서 악성코드에 대해 알 수 있는 좋은 시간이었다. Ahn

대학생기자 김재기 / 한양대 안산 컴퓨터공학과

해보지도 않고 포기하는 것은 현명하지 않은 일이라고 생각합니다.
타고난 천재가 아닌 이상 처음부터 잘하는 사람은 없겠지요.
새로운 것에 도전하고 항상 노력하는 대학생기자 김재기입니다.

안철수연구소 V3 백신의 세계 최고를 향한 도전은 현재진행형 (1)

안랩人side 2011.12.08 11:11

대한민국에서 현존하는 가장 오래된 상용 패키지 소프트웨어는 무엇일까?

정답부터 말하자면 V3 백신이다. V3는 1988년 6월, 당시 의대생이던 안철수 박사가 개발했다. 그 다음으로 오래된 소프트웨어는 한컴(한글과컴퓨터)의 '한/글'이다. 한/글은 1989년 개발됐으니 V3 보다 1년 후에 탄생했다.

국내 소프트웨어의 잔혹한(?) 역사를 보면 수많은 제품이 개발됐고 또 사라져 갔다. 그러나 V3와 한/글은 우리나라 소프트웨어의 자존심으로 자리잡고 있다. 무엇보다 의미있는 것은 V3 백신은 사이버 국력을 상징하는 정보보안 소프트웨어이고, 한/글은 자국의 언어를 대표하는 워드 프로세서라는 점이다. 국가적으로 필수적인 소프트웨어를 자국의 순수 기술로 개발해 국민들이 사용하고 있다는 것은 자국 기술이나 제품이 없어 외산에 의존하고 있는 여타 국가들과 비교된다는 이야기다.

그렇다. 대한민국은 미국을 중심으로 서양 소프트웨어들이 주름잡는 세계 소프트웨어 시장에서 적어도 자국 소프트웨어를 가진 나라이다. 그 점은 자부심을 가져도 좋다. 소프트웨어야말로 그 나라의 문화나 정신이 깃든 산물이지 않는가? 가령 미국의 마이크로소프트가 세계를 장악하는 과정을 보면 알 수 있다. 소프트웨어라는 것은 시장 선점 효과가 크고 선발 업체가 세계 시장을 석권하는 경향이 크다. 역으로 말하면 후발업체는 그 만큼 어렵다. 특히 세계 최대 시장을 갖고 있는 동시에 소프트웨어의 가치를 돈을 지불하고 구매하는 문화가 정착되어 있는 미국이 더욱 유리한 것은 부정할 수 없는 사실이다. 

해외시장 개척과 바다거북의 공통점

척박한 우리나라 소프트웨어 시장에서 개발된 제품이 국내에서 살아남아 해외로 나가는 것 조차 힘들다. 마치 바다거북이 알을깨고 탄생했다해도 백사장에서 해안선까지 살아남아야 하고, 바다에 들어가서도 수많은 천적으로부터 살아남아야 하는 모양새와 같다.

잠깐 하드웨어의 경우를 살펴보자. 우리나라는 하드웨어 제조업이 국가 경제와 산업 전반을 이끌어 왔다. 삼성, LG, 현대 등 제조업 대기업이 그 선봉이었다. 해방 이후 전쟁의 상흔을 딛고 우리나라는 근면한 노동력을 바탕으로 제조업 분야에서 큰 성공을 거뒀다. 한강의 기적을 일군 세대들이 역경을 딛고 이룬 결과였다. 전자, 자동차, 선박 등 하드웨어 제조 분야에서 그렇게 세계 최고 수준에 이르렀다. 이와함께 정부 단위의 지원도 빼놓을 수 없다. 우리나라는 7-80년대 정부 주도 하에 제조업을 수출 전략 품목으로 지정해 관세, 환율 정책 등 다분야에 걸쳐  제조 대기업의 성장에 큰 도움을 준 것도 사실이다.

다시 소프트웨어 이야기를 해보자. 소프트웨어는 이런 근면성실한 노동력과 기술력에 더해  소프트웨어를 하나의 상품으로 보는 사회적 인식이 더해져야 한다. 그 이유는 간단하다. 소프트웨어는 '눈에 보이지 않기' 때문이다. 하드웨어 위주의 산업에 익숙해지면 '당장 눈에 보이지 않는' 소프트웨어에는 돈을 쓰기 아까워한다. 예를 들어, PC를 살 때 안에 설치되는 소프트웨어의 가격을 따로 받는다는 이야기를 들으면 대부분의 반응이 어떠한가? 이 하나의 질문이 현재까지의 소프트웨어 환경을 단적으로 보여준다.

1980년대 말에 개발된 V3와 아래 한글 이후 우리나라를 대표할 만한 소프트웨어가 탄생하지 못했다. 오히려 싹이 말라 버렸다. 소프트웨어 기업은 많지만 대부분 영세하다. 대기업 하청 업체로 겨우 연명하거나 어느 정도 성장을 하다가 경영악화로 몰락한 중소 소프트웨어 기업이 대다수다. 그나마 살아서 기술 개발하고 신제품 출시할 수 있는 소프트웨어 기업이라면 다행이다. 국내에서 패키지 소프트웨어를 정상적인 가치를 부여해 제 값 주고 구매하는 문화도 자리잡지 못했다. 중소 소프트웨어 업체는 늘 대기업과 공공기관의 을이다.

이런 상황은 바다거북이 힘겹게 부화에 성공해 해안선까지 도착도 못한 채 천적들의 먹이가 되어버린 모양과 비슷하다.

안철수연구소의 초기 비화: 알을 깨고 나온 바다거북

안철수연구소는 처음부터 지금의 안철수연구소였을까? 사실은 초기 안철수연구소는 크게 다르지 않았다. 1988년 V3 탄생 이후 7년간은 무료로 안철수 박사가 혼자 보급했다. 기업을 만든 것은 1995년이다. 당시 무료로 일반에 V3를 계속 보급할 수 있는 공익연구소로 만드려고 했지만 정부기관이나 대기업이 전혀 도와주지 않았다. 안철수 박사는 할 수 없이 안철수연구소라는 중소기업의 사장이 된 것이다. 안정된 알을 깨뜨리고 바다를 향해 나가는 새끼 바다거북이 된 셈이다. 의사는 많지만 당시 보안전문가는 혼자뿐이었으므로. 

직원 월급 줄 돈도 없는 기업의 시작이었다. 외국 거대 보안업체들이 한국 시장을 삼키려 했다. 마치 백사장에서 해안까지 힘들게 기어가는 새끼 바다거북을 삼키려는 독수리처럼. 한 글로벌 기업은 1천만불에 V3를 팔라고도 했다. V3를 팔면 평생 편하게 살 수 있지만 안철수 박사는 단번에 거절했다. 만약 V3를 팔면 국민들이나 기업, 국가의 중요한 정보를 가지고 있는 정부 기관들은 처음에는 무료에 가까운 가격으로 사용하다가도 결국에는 값비싼 가격에 백신을 사야할 뿐만아니라 사이버 안보의 관점에서도 불안요소가 있을 수밖에 없다. 보안은 국적도 중요하다. 위 두가지 에피소드에서 볼 수 있듯 사명감이 중요한 것이 보안이다.
현재 아시아 국가 중에서 자국 백신은 가진 나라는 한국을 비롯 중국, 인도 등 몇개국에 불과하다. 이들의 공통점은 자존심이 매우 강한 나라라는 것이다. 안타깝게도 일본은 자국 백신기업이 자신의 기술을 미국 업체에 팔아버려 순수 기술력을 키우지 못했다. 미국 업체들이 안방처럼 자리잡게 된 이유다. 만약 V3도 미국에 팔았다면 지금 어떠했을까 아찔한 기분이 든다.

그렇지만 아쉬움도 남는다. 일반에 무료 배포하다보니 V3는 기업화/사업화가 늦었다는 점이다. 1988년부터 기업화가 됐다면 해외 진출에 훨씬 유리했을 것이다. 그러나 7년이란 세월을 무료로 보급하다보니 1995년 회사가 설립돼 미국 업체들에 비해 크게 늦었다. 순수 공익적으로 V3를 무료 보급하다가 기업화되는 과정에서 상용화가 늦었고, 이런 환경에서는 국내 시장에서 살아남는 것도 힘겨운 일이었다. Ahn

- 2부에 계속 (2부 바로가기)