악성코드와 백신, 도전과 응전의 네버엔딩 스토리

현장속으로/세미나 2010.12.09 06:32

'신들의 섬'이라 불리는 인도네시아 발리 섬에서 11월 17일부터 19일까지 13번째 'AVAR 국제 컨퍼런스'가 개최되었다. 휴양지인 발리 섬에서 열린 건 이번이 처음이다.

AVAR(Association of anti Virus Asia Researchers)는 컴퓨터 바이러스의 확산과 피해를 막고 아시아 지역 안티바이러스 연구자의 협력 관계를 발전시키기 위해 설립된 단체이다. 아시아 태평양 지역을 활동 거점으로 회원국들이 구성되는데 세계적인 보안 기업들이 아시아 지역에 연구소를 설립함으로써 전세계 대부분의 보안 전문가가 참여하는 컨퍼런스로 확대되었다.

지난 9월 캐나다 벤쿠버에서 개최된 VB(Virus Bulletin) 국제 컨퍼런스에서는 스턱스넷(Stuxnet)이 가장 큰 이슈였다. http://blogsabo.ahnlab.com/562 
하지만 AVAR에서는 RFID(Radio Frequency Identification), 포렌식(Forensics), 펄스 포지티브(False Positive), 모바일 악성코드 등 다양한 주제로 발표가 진행되었다.
 

첫째 날에는 AVPD(Anti-Virus Product Developers) 미팅을 하고, 둘째 날부터 본격적인 컨퍼런스가 열렸다. 키노트 연설자로 나선, 금년 보안 분야 우수 교육자상을 받은 에프시큐어(F-Secure)의 Mikko Hyppönen이 'State of net'이라는 주제로 문을 열었다.

Mikko는 브레인(Brain) 바이러스부터 스턱스넷까지의 악성코드 변천사를 키워드를 뽑아가며 소개했고, 최근에는 유료 전화에 전화를 걸어 금전적 이득을 취하는 모바일 악성코드가 게임에 포함된 채로 유포되고 있다고 언급했다. 이는 올해 4월에 발견된 트레드다이얼을 말한다. http://blog.ahnlab.com/ahnlab/836

이어서 트렌드마이크로(Trend Micro)사에서는 RFID의 취약점을 이용한 정보 유출을 보여주고, 클라우드 개념과 상호 인증을 통한 보안을 제안했다. 우리 안철수연구소는 파일 없는 오진 테스트 방법을 제안했다.

정상 프로그램 아이콘 도용하는 악성코드 등장

 
인상적인 발표 중 하나는 비트디펜더(BitDefender)사 연구원이 발표한 'The Rise of Icon Attacks'였다. 아이콘 공격(
Icon Attacks)이란 정상 프로그램과 비슷한 아이콘을 사용해 사용자로 하여금 의심없이 실행하도록 하는, 사회공학 기법이 적용된 공격이다. 최근 이런 악성코드가 점차 증가하는 추세이다.

발표자는 "악성코드 제작자들은 정상적인 아이콘에 색깔, 노이즈, 위치를 주로 변경하는데, 이러한 악성코드들을 효과적으로 분류하기 위해 색깔, 노이즈를 줄이고 위치를 특정한 곳으로 이동하여 특정 값으로 분류하는 연구가 효과적이었다."라고 말했다.

MS사 연구원이 발표한 'An Insight Into Managed Downloaders' 또한 인상에 남았다. 발표자는 지속적으로 이슈가 되고 있는 봇넷(Botnet)이, 제작 툴을 사용하여 대량으로 제조되는 최근 상황을 설명했다. 또한 악성코드 제작 툴을 소개하고, 구매 비용과 봇넷 서버의 기능을 보여주었다. 2010년 2월부터 10월까지 브레도랩(Bredolab) 악성코드의 서버는 약 173만 개, 오피클라(Oficla) 악성코드의 서버는 약 75만 개에 달한다는 조사 결과도 발표했다. 

보안 회사마다 다양한 조사와 실험을 한다는 것과, 봇넷 서버가 생각보다 엄청나게 많다는 사실이 놀라웠다. 전세계적으로 감염된 클라이언트(PC) 수는 상상 그 이상일 것이며, 만약 이 숫자가 스턱스넷과 같은 전자 제어 장비를 공격하는 봇넷이었다면 전세계가 순식간에 마비되지 않을까 싶었다.

백신, 악성코드 뒤쫓기보다 자체 발전할 때 


마지막 날도 다양한 주제 발표가 진행되었다.
화웨이 시만텍(Huawei Symantec)사의 연구원은 중국의 사이버 범죄 현황을 소개했다. 중국은 프로그래머의 소득 수준은 매우 낮은 반면 악성코드 제작자의 소득은 비교할 수 없을 만큼 높기 때문에 사이버 범죄의 유혹에 쉽게 빠진다고 한다. 이어서 사이버 범죄를 막기 위해 중국 공안부가 나서 보안 표준과 법안을 만드는 기관을 설립해 운영 중이라고 밝히고, 정부와 산업계가 더욱 긴밀히 공조해야 한다고 강조했다.

포티넷(Fortinet)사의 연구원은 'An Automated Malware Processing Lab'이라는 제목으로 악성코드 행위 기반 데이터의 자동화 처리 시스템을 발표했다. 이는 우리 안철수연구소의 분석 자동화 시스템과 유사하지만, 우리 것보다 기술이 부족하고 자동화한 악성코드 판별 시스템이 없다는 한계가 있다.

퀵힐(Quick Heal)사의 연구원은 바이러스에 의한 파일 감염을 행동 기반으로 탐지해 차단하는 방법을 제시했으며, 트렌드마이크로에서는 바이러스 감염 파일을 일괄 복구하는 방법을 소개하고 동영상 시연까지 했다. 이는 전세계 보안전문가가, 안티바이러스 소프트웨어가 더 이상 악성코드를 뒤따라가는 것이 아니라 점차 지능적으로 발전해야 한다는 것에 공감하고 있음을 보여주는 대목이었다.

세션 마지막으로 최근 지속적으로 늘어가는 허위 백신에 대해 5명 - Righard Zwlenenberg (Norman), Andrew Lee (K7), Lysa Meyers (West Coast Lab), David Harley (ESET), Tony Lee (Microsoft) - 이 참여한 패널 토의가 이뤄졌다. 이 토의는 트위터로 실시간 전달되어 이색적이었다.

토의의 주요 이슈는 '합법적인 프로그램과 그렇지 않은 허위 응용 프로그램의 정의를 어떻게 내릴 것인가'였다. 광고만 출력하는 프로그램이 악성코드로 변질될 가능성이 다분하다는 게 공통된 인식이었다. 또한 이러한 프로그램들이 범죄를 위해 점차 젊은 세대인 '디지털 네이티브(digital natives)에게 접근하는 것도 심각한 문제라고 언급되었다.

이번 컨퍼런스는 정기적인 정보 교환으로 테러의 위협에 더 신속히 대응하고, 안전한 인터넷 세상을 만들어야겠다고 새삼 다짐하는 계기가 되었다. 법망을 교묘히 벗어나 대량 유포되는 허위 프로그램을 비롯해 모든 악성코드를 효과적으로 진단하고 방어하려면 이런 컨퍼런스가 활성화해야 할 것이다. Ahn

이승희 / 안철수연구소 시큐리티대응센터 선임연구원

댓글을 달아 주세요

  1. 제너시스템즈 2010.12.10 10:05  Address |  Modify / Delete |  Reply

    아이콘과 비슷한 모양으로 만들어진 악성코드가 있다니;;; 저처럼 별 생각없이 컴퓨터를 쓰는 사람은 하루에 10번이라도 악성코드에 감염되겠어요;ㅅ; 항상 조심 또 조심해야겠습니다!

  2. 철이 2010.12.20 11:58  Address |  Modify / Delete |  Reply

    시스템적으로 안랩이 완성도가 가장높다면
    다음으로는 여러 성능 테스트상 지표에서 높은점수..그리고 실생활에서 높은 진단율을 보여주는게 우선이고 글로벌화 하려면 현재 v3 클리닉은 약간 판단미스라고 생각합니다.
    인터넷 시큐리티를 개인용을 없애는건 약간 아닌듯합니다.
    차라리 기업용은 v3 business edition 개인용은 인터넷 시큐리티 등으로 가는게 경쟁력이 있지 않을까 생각합니다.

    • 보안세상 2010.12.20 16:33 신고  Address |  Modify / Delete

      철이님 안녕하세요. 진단율와 V3 365 클리닉에 대한 의견에 감사드립니다. 주신 의견은 내부 검토 시 참고 하도록 하겠습니다. 더 안전한 보안환경을 위해 늘 노력하는 안철수연구소가 되겠습니다. 좋은 하루 되세요 ^^

    • 음냐리 2011.02.17 10:48  Address |  Modify / Delete

      글쓰신 분은 제품에 대한 것이 아니고 행위 기반 분석을 해주는 자동화시스템에 대한 얘기를 한 것입니다. ^^;;