좀비PC부터 가짜백신까지 알아두면 좋은 보안 상식

보안은 IT가 발전할수록, PC, 스마트폰, 기업 등 생활 곳곳에서의 중요성이 점점 더 커지고 있다안랩에서는 현재 생활 속 알기 쉬운 보안’을 주제로 UCC 콘테스트를 진행 중이다. 이를 통해 많은 참가자들이 다양한 생활 속 보안을 UCC를 통해 보여주고 있다실제로 생활 속 작은 습관과 실천이 큰 보안사고들을 예방할 수 있는데, 알아두면 좋은 PC 보안 상식을 알아보자.

 

1. 악성코드

악성코드란 악의적인 목적을 위해 작성된 실행 가능한 코드의 통칭으로 자기 복제 능력과 감염 대상 유무에 따라 바이러스, , 트로이목마 등으로 분류가 된다.

좀비pc, 키로깅 등 대표적인 pc의 보안사고는 악성코드를 통해 감염이 된다. 갑자기 pc의 속도가 느려지거나 건드리지 않은 파일이 변경되어 삭제되었을 때, 팝업이 자주 뜰 때, 변경하지 않은 윈도우 설정이 바뀌었을 때. 위 증상은 악성코드에 감염되었을 때 나타나는 대표적인 증상이다. PC에 감염된 악성코드가 있는지 백신 프로그램을 이용하여 정기적인 검사를 통해 악성코드로 인한 피해를 줄여야 한다.

 

2. 키로깅

키로깅(Keylogging)은 사용자가 키보드로 PC에 입력하는 내용을 몰래 가로채어 기록하는 행위를 말한다.

이를 이용해 컴퓨터 사용자의 키보드 움직임을 탐지해 ID나 패스워드, 계좌번호, 카드번호 등과 같은 개인의 중요한 정보를 몰래 빼 가는 해킹 공격을 키로거 공격이라고 한다.

키로깅은 유령 13회에서도 소개가 되었는데, 키로깅 프로그램은 메일 등으로 첨부파일을 보내 사용자가 해당 파일을 다운받으면 자동으로 설치가 되는 것이 대부분이다.

키로깅을 예방하기 위해서는 아래 세가지 방법을 유의하고 실천하면 된다.

1. 내가 모르는 메일주소로 온다면 또한, 보안이 의심되는 메일이 온다면 바로바로 삭제한다.

2. 필요한 자료가 있어서 설치하게 된다면, 교묘하게 숨어있는 추가 프로그램들을 잘 확인해

 설치가 안되도록 한다.

3. 백신 프로그램, 개인정보보안 솔루션, 방화벽 등을 이용하여 수시로 감시하고 치료한다.

 

3. 좀비PC

좀비PC란 바이러스에 감염됐지만 스스로 인지하지 못한 채 스팸을 보내는 등 원격조종을 당하는 PC이다.

해커들은 타인의 PC에 악성코드를 통해 원격제어가 가능한 PC인 좀비PC를 만든다. 좀비PCC&C서버의 제어를 통해 DDoS 공격을 하여 문제를 일으킨다사용자들은 자신의 PC가 좀비PC인지 인식하지 못하는 경우가 대부분인데, 좀비PC 여부를 검사하는 방법은 대표적으로 두 가지가 있다.

먼저 한국인터넷진흥원(KISA)에서 제공하는 홈페이지(http://www.boho.or.kr/kor/check/check_03.jsp) 접속을 통해 자동검사를 할 수 있다.

또 다른 방법 하나는, CMD를 통해 알아보는 방법이다. 실행창에 CMD를 입력하여 엔터를 치고, netstat -n 명령어를 입력하면 결과 화면에 프로토콜, 로컬 주소, 외부 주소, 상태가 나타나는데 외부주소 끝에 :8080포트를 사용 중이며, 포트가 8080,8000이 나오면 좀비 상태일 가능성이 있다. 인터넷 웹서비스는 일반적으로 80포트를 사용하기 때문이다. 따라서 그 외의 포트를 사용시에는 좀비PC 감염을 일단 의심해 봐야 한다.

 

4. 방화벽

방화벽, 건축학에서의 방화벽은 화재 발생 시 불이 더 이상 번지지 않도록 하는 것이지만컴퓨터 네트워크 분야에서 방화벽은 해커나 크래커의 불법 침입을 차단하여 정보 유출, 시스템 파괴 등의 보안 문제를 사전에 방지하는 소프트웨어, 혹은 그 소프트웨어가 탑재된 하드웨어로 통용된다.

이는 인터넷과 같은 외부망으로부터 들어오는 접근 시도를 1차로 제어통제함으로써 내부 네트워크를 보호하는 역할을 하는데, 인터넷의 시작과 함께 1980년대부터 본격적으로 도입된 방화벽은 1세대 패킷 분석, 2세대 네트워크 연결 상태 분석, 3세대는 웹 브라우저를 통한 침입 및 공격을 막는 애플리케이션 방화벽 순서로 발전되었다.

방화벽의 작동 원리는 관리자가 설정해 놓은 보안 규칙에 따라 네트워크를 통해 들어오는 패킷을 허용 또는 차단한다.

일반적으로 사용되는 ‘Windows 방화벽은 개인용 보안 소프트웨어로 부족함 없는 보안성을 제공한다.

특정 프로그램을 설치하면 인터넷 연결에 앞서 방화벽 설정 해제 여부를 묻곤 하는데, 해당 프로그램이 보안상으로 확실히 안전하다고 판단되지 않는 경우 방화벽 설정을 해제하지 않는 것이 바람직하다.

바이러스로 인해 방화벽이 자동 해제되는 경우가 있으니, 자신의 방화벽이 잘 설정되었는지 주기적으로 확인하는 것도 중요하다.

 

5. 정품 소프트웨어 사용의 중요성

사무용소프트웨어연합(BSA)의 세계 SW 불법복제율 보고서에 따르면 한국이 40%로 세계 평균인 42%보다 낮지만 OECD 평균 27%를 훌쩍 넘어선다불법 소프트웨어 사용은 단순한 문제가 아니다

소프트웨어 불법 복제비율과 악성코드, 해킹 간에 높은 상관관계가 있다는 보고도 있을 정도로, 불법 복제율이 높을수록 악성코드 감염, 해킹피해가 높다.

이는 해커들이 좀비PC를 만들기 위해 정품 소프트웨어를 불법 배포 시 악성코드를 넣는 경우가 많기 때문이다. 불법 복제는 범죄행위이며, 국가 경쟁력을 약화시키며 소중한 개인정보 보호를 위해서라도 모두 정품 소프트웨어를 이용해야한다. 정품 소프트웨어를 사용할 여유가 없는 경우 무료용 소프트웨어인 프리웨어를 사용하는 것도 하나의 방법이다.

 

6. 악성 백신 프로그램(가짜 백신)

요즘은 P2P를 이용하여 음악, 영화 등 각종 파일을 많이 다운 받는다. 좋은 정보도 많고 편리하기 때문에 사용자들이 매우 많지만, 자칫 파일을 잘못 다운 받다가는 악성 백신이 설치가 된다.

악성 백신 프로그램은 PC 사용자의 의지가 아니라 자동으로 설치되어서 사용자 컴퓨터의 악성 바이러스를 없애준다고 하지만 시도 때도 없이 유료 결제창을 띄우며 결제를 유도하고 제대로 된 컴퓨터 사용을 방해하는 프로그램이다

이러한 악성백신은 삭제를 하여도 반복적으로 재설치가 되는 경우가 많기 때문에 파일의 삭제도 매우 어렵다. 이러한 프로그램은 실제 악성코드를 잘 분류하지 못하며, 심지어는 정상적인 시스템 파일을 악성코드로 인지하여 자칫하면 악성코드를 삭제하는 것이 아니라 시스템을 망쳐버리는 결과를 낳는다. 악성백신은 주로 P2P를 이용하여 깔리므로 백신은 공인된 우수한 백신을 이용하고, P2P를 이용할 때는 항상 주의해야 한다. 

DDoS 공격을 일으키는 좀비PC의 원인 중 하나인 키로깅과 같은 악성코드, 방화벽정품 소프트웨어 사용으로 예방할 수 있고,P2P사용을 통해서 악성코드뿐 아니라 악성 백신 프로그램pc의 위험에 노출되게 한다는 것을 명심해야 할 것이다.

이 밖에도 다양한 보안 이야기를 안랩 UCC 콘테스트(https://www.facebook.com/AhnContest)에서 들려주고 있으니 안전한 PC 환경을 위해 자주 방문해봄 직하다. Ahn 

 

 대학생기자 박서진 / 서울여대 정보보호학과

 끝없이 노력하고 끝없이 인내하고 끝없이 겸손하자.

 

댓글을 달아 주세요

  1. visitor 2014.02.05 14:18  Address |  Modify / Delete |  Reply

    좋은 글 잘 보고 갑니다! ^^

안랩, 하드디스크 파괴 악성코드 상세분석결과 중간 발표

- 파일 삭제, 하드디스크 파괴, 하드디스크 파괴 기능의 MBR 삽입 등이 주요특징

- 3.20 사이버 테러 악성코드와 기능상 다양한 차이점 존재- V3 제품군(기업용 V3 IS(Internet Security) 계열과 개인용 무료백신 V3 Lite(2013.6 출시 버전))으로 진단/치료 가능 

 

정보보안 기업 안랩(대표 김홍선 www.ahnlab.com)은 지난 25일 일부 정부기관에 대한 디도스(DDoS: Distributed Denial of Service, 분산 서비스 거부) 공격 관련 (26일 새벽 02 20분경 발표한)보도자료에서 언급한 '하드디스크 파괴기능을 가진 악성코드'의 상세분석결과를 28일 중간발표했다.

 

이번 악성코드의 특징은 감염 후 1.파일 삭제, 2. 사용자 PC 재부팅 시 하드디스크 파괴(MBR 삭제, 데이터 영역 삭제), 3.하드디스크 파괴 기능의 MBR(Master Boot Record) 직접 삽입이다.

 

특히 PC를 켜는데(PC 부팅) 필요한 정보들이 저장된 영역인 MBR에 하드디스크를 파괴하는 코드가 삽입되어있어 백신 제품의 치료를 어렵게 한다.

* MBR 기능: MBR은 부팅에 필요한  정보가 저장된 영역이다. PC에 전원이 들어오면 메모리가 MBR에 있는 정보를 읽어서 운영체제(OS:Operating System)를 작동시킨다.

 

또한 파일 삭제나 하드디스크 파괴를 수행하는 과정 중에 시스템 크래쉬(System Crash) 등 여러가지 이유로 BSOD(Blue Screen Of Death)현상이 나타나거나 재부팅하더라도 파괴 기능이 지속된다.

* 시스템 크래쉬(System Crash: 시스템 충돌. BSOD(Blue Screen Of Death), 재부팅 등 컴퓨터 장애의 원인 중 하나

* BSOD(Blue Screen Of Death:작동오류로 블루스크린이 나타나는 현상)

 

특히 안랩은 이번 공격에 사용된 악성코드는 2013.3.20 사이버 테러와는 차이를 보인다고 밝혔다.

 

안랩 관계자는 "감염 후 1. 파일을 삭제하고, 2.하드디스크 파괴 기능이 MBR(Master Boot Record) 삽입되어 있으며, 3. 데이터 영역 삭제 시에 특정 문자열(PRINCPES같은)이 아닌 랜덤 문자열로 덮어쓰기를 시도하고 ,감염 즉시 데이터 영역을 삭제하지 않고 재부팅시 삭제하는 점 등은 2013.3.20 사이버 테러에는 없던 증상"이라며 "이밖에 패스워드 변경 및 바탕화면 변경도 이전에는 없던 점"이라고 전했다.

 

해당 악성코드는 V3제품군(기업용 V3 IS(Internet Security) 계열과 개인용 무료백신 V3 Lite(2013.6 출시 버전)으로 진단/치료할 수 있으며, 볼륨보호 기능이 있어 MBR 파괴를 막을 수 있다.

 

안랩 관계자는 "현재까지 분석결과 악성코드가 기업,기관 등 서버 관리자를 타킷으로 한 것으로 보이나 내부 테스트결과 개인PC에서도 작동한다."며 주의를 당부했다.

 

안랩은 하드디스크파괴 악성코드 분석결과를 한국인터넷진흥원(KISA) 등 유관기관에 공유했다.


 항목

 3.20 사이버 테러

 6.25 사이버 테러 

주요 항목

 세부 항목

 주요 특징

 

 - MBR 삭제, 데이터 영역 삭제

 - MBR 삭제, 데이터 영역 삭제, 파일삭제

-MBR에 삭제 코드를 직접 삽입

 MBR 삭제

 MBR 삭제 코드 위치

 악성코드 자체에 기능으로 존재

 -MBR 코드를 수정하여 삭제 코드를 삽입

 MBR 삭제 방법

 -PRINCPESHASTATI” 등의 문자열로 덮어씀

 - 랜덤 문자열 ( 쓰레기 문자열 ) 로 덮어씀

 MBR 삭제 시점

 -감염 즉시 삭제
특정 시간까지 대기 후 삭제 ( 3 20 14 )

 - 재부팅 시 삭제

 데이터 영역 삭제

 데이터 영역 
삭제 방법

 - 5.3 MB 간격으로 100 KB 크기 만큼 덮어씀
PRINCPESHASTATI” 등의 문자열로 덮어씀

 -524 KB 간격으로 32KB 크기만큼 덮어씀
랜덤 문자열 ( 쓰레기 문자열 ) 로 덮어씀

 데이터 영역
삭제 시점

 -감염 즉시 삭제
특정 시간까지 대기 후 삭제
 ( 3 20 14 )

 -재부팅 시 삭제

 파일 삭제

 파일 삭제 방법

 -기능 없음

 -실행파일인 경우 바로 삭제
그림비디오웹관련 파일인 경우 이름 변경후 삭제
이외의 파일인 경우 쓰레기값으로 덮어쓴 후 삭제

 파일 삭제 시점

 -기능 없음

 -감염 즉시 삭제

 기타

 

 - 백신 제품 프로세스 강제 종료
원격 관리툴 설정파일 정보를 이용한 원격 접속 기능
- Unix 계열의 시스템도 공격 대상

 -특정 IP 에 접속하여 감염 PC 정보 유출
- Administrator 계정 P/W "highanon2013"으로 변경
바탕화면을 특정 그림파일로
변경


댓글을 달아 주세요

안랩, 디도스 공격 악성코드 전용백신 제공

- 개인 및 기업 내 PC 좀비화 방지로 디도스 공격 근원 차단
- 개인은 물론 기업/기관도 무료 사용..기존 V3 사용자는 최신 버전으로 치료
 
정보보안 기업 안랩(대표 김홍선 www.ahnlab.com) 25일 일부 정부기관에 대한 디도스(DDoS: Distributed Denial of Service, 분산 서비스 거부) 공격이 발생함에 따라 사용자가 공격에 악용되지 않도록 디도스 공격 유발 악성코드를 진단/치료하는 전용백신을 개발해 무료 제공하고 있다. (http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=111)
 
26일 오후 17 35분부터 제공 중인 1차 전용백신에는 정부통합전산센터 웹사이트를 디도스 공격한 8개의 악성코드에 대한 진단/치료 기능이 들어있다. 27일 오후 5시부터 제공 중인 2차 전용백신에는 청와대, 국정원, 새누리당 웹사이트를 디도스 공격한 악성스크립트(JS/Agent)에 대한 진단/치료 기능이 추가됐다.      
 
이번 전용백신은 개인은 물론 기업/기관에서도 무료 사용할 수 있다. 또한 개인용 무료백신 ‘V3 LIte(http://www.ahnlab.com/kr/site/product/productView.do?prodSeq=8&svccode=aa1001&contentscode=483)를 비롯해 ‘V3 365 클리닉’(http://www.ahnlab.com/kr/site/product/productView.do?prodSeq=15), V3 Internet Security 8.0 V3 제품군 사용자는 사용 중인 제품의 최신 버전으로 진단/치료할 수 있다.
 
한편, 정부통합전산센터 웹사이트를 디도스 공격한 8개의 악성코드는 각기 역할이 나눠져 있다. 사용자가 웹하드 관련 업데이트 파일로 오인해 SimDiskup.exe 파일을 실행하면 ~simdisk.exe 파일이 생성되고 디도스 공격을 수행하는 oleschedsvc.dll 파일을 다운로드한다. (보충자료)
 
청와대, 국정원, 새누리당 웹사이트를 디도스 공격한 JS/Agent는 악성스크립트가 심어진 웹사이트에 접속했을 때 PC에 설치되는 악성코드이다. 이 악성코드는 악성스크립트가 심어진 웹사이트에 접속했을 때만 활성화하여 특정 웹사이트에 디도스 공격을 가한다.
 
안랩의 김홍선 대표는 “디도스 공격은 좀비PC에서 시작되므로, 개인용 PC와 기업 내 PC 모두 의도치 않게 공격자가 될 수 있다. 따라서 디도스 공격의 시발점인 PC에서 악성코드를 제거하는 것이 중요하다.”라고 강조했다. 또한 “웹사이트를 운영하는 기업/기관에서는 디도스 차단 기능이 있는 네트워크 보안 솔루션이나 보안관제 서비스를 이용해 피해를 최소화해야 한다.”라고 말했다.
 
----------<보충 자료>-----------
 
*디도스 공격 악성코드 파일명과 기능
파일명
기능
SimDiskup.exe
웹하드 사이트인 심디스크(Simdisk)설치 파일을 변조한 것으로 사용자를 속이기 위한 것이다.
servmgr.exe
드롭퍼(Dropper) 역할. 시스템의 운영체제 버전 정보를 체크한 후 동일한 악성코드에 이미 감염되어 있는지를 확인한다.
~simdisk.exe
네트워크 접속 정보의 감시, 추적 및 분석을 어렵게 .
ole(정상윈도우서비스명).dll
특정 URL로 접속해 디도스 공격 시각(6 25 10) 정보를 담은 파일을 다운로드한다.
wuauieop.exe
디도스 공격을 수행한다.
~DR.tmp
ole(정상윈도우서비스명).dll 파일을 생성하고 윈도우 서비스에 등록한다.
~ER.tmp
32비트 윈도우 운영체제에서 UAC(User Account Control, 사용자 계정 컨트롤)를 우회한다.
~ER.tmp
64비트 윈도우 운영체제에서 UAC를 우회한다.
 
*디도스 공격 악성코드 관계도 


댓글을 달아 주세요

내 PC 좀비 안 만들려면 숙지해야 할 10계명

정보보안 기업 안랩(대표 김홍선 www.ahnlab.com) 25일 일부 정부기관에 대한 디도스(DDoS: Distributed Denial of Service, 분산 서비스 거부) 공격과 관련해 개인 사용자들이 공격에 악용되지 않도록 ‘좀비 PC 예방 10계명’을 발표했다. 

<좀비 PC 예방 10계명> 

1. 윈도우 운영체제, 인터넷 익스플로러, 오피스 제품의 최신 보안 패치를 모두 적용한다

(보안 패치는 개발사에서 제공하는 공식 업데이트 프로그램을 통해서 해야 안전하다.)

2. 신뢰할 수 없거나, 평소에 자주 들리지 않는 사이트, 사용자 수가 적은 웹사이트 접속을 자제한다.

(보안에 취약한 웹사이트 접속 시 악성코드에 감염될 가능성이 높기 때문이다.)

3. 웹하드 또는 P2P 프로그램 설치 및 업데이트 시 반드시 보안 제품으로 검사한 후 사용한다.

4. 이메일 확인 시 발신인이 모르는 사람이거나 불분명한 경우 유의한다.

(특히 제목이나 첨부 파일명이 선정적이거나 관심을 유발한 만한 내용인 경우 함부로 첨부 파일을 실행하거나 링크 주소를 클릭하지 않는다. 최근 페이스북, 트위터 등 SNS(소셜 네트워크 서비스)를 사칭한 이메일이 많으니 특히 유의한다.)

5. 페이스북, 트위터 등 SNS(소셜 네트워크 서비스)를 이용할 때 잘 모르는 사람의 SNS 페이지에서 함부로 단축 URL을 클릭하지 않는다.

6. SNS나 온라인 게임, 이메일의 비밀번호를 영문/숫자/특수문자 조합으로 8자리 이상으로 설정하고 최소 3개월 주기로 변경한다. 또한 로그인 ID와 비밀번호를 동일하게 설정하지 않는다.

7. 메신저로 URL이나 파일이 첨부되어 올 경우 함부로 클릭하거나 실행하지 않는다. 메시지를 보낸 이가 직접 보낸 것이 맞는지를 먼저 확인해본다.

8. 웹 서핑 시 신뢰할 수 없는 프로그램이나 잘 모르는 프로그램을 설치하겠다는 경고가 나오면 ‘예’ ‘아니오’ 중 어느 것도 선택하지 말고 창을 닫는다.

9. 정품 소프트웨어를 사용한다. 인터넷에서 불법 소프트웨어를 다운로드하는 경우 악성코드가 함께 설치될 가능성이 높다.

10. 보안 소프트웨어를 하나 정도는 설치해둔다. 설치 후 항상 최신 버전의 엔진으로 유지되도록 부팅 후 자동 업데이트되게 하고, 시스템 감시 기능이 항상 작동하도록 설정한다. 보안 제품에서 나타나는 경고 메시지를 늘 주의깊게 살펴본다.

(좀비PC를 이용한 디도스 공격은 PC 사용자들이 백신업데이트 및 정밀검사를 통해 자신의 PC가 좀비화하지 않도록 관리하는 것이 무엇보다도 중요하다. V3 Lite(www.V3Lite.com) 등 무료백신이나 방화벽과 백신이 통합된 유료 보안 서비스 ‘V3 365 클리닉’(http://V3Clinic.ahnlab.com) 등이 있다.)

 

한편, 안랩에 따르면 이번 정부기관에 대한 디도스 공격은 악성코드에 감염된 좀비PC를 이용하는 기존 디도스 공격 방식과, 국가적 대형 디도스 공격에 처음으로 사용된 악성스크립트를 이용한 방식이 혼재되어 있다. 

안랩은 악성스크립트 방식 디도스 공격에 이용당하지 않기 위해 사용자가 신뢰할 수 없는 사이트 접속(방문)을 자제해야 한다고 당부했다. (악성스크립트를 이용한 공격의 경우, 사용자가 악성스크립트가 심어진 웹사이트에 접속하기만 해도 디도스 공격에 이용된다. 이를 위해 공격자는 보안에 취약한 특정 웹사이트에 악성스크립트를 설치해둔다. 이 악성스크립트는 사용자가 웹사이트를 방문했을 때 특정 타겟 웹사이트로 공격 트래픽을 발생시킨다. 따라서 신뢰할 수 없는 웹사이트 접속 자체가 필요하다.) 

안랩의 김홍선 대표는 "악성 스크립트 방식 디도스 공격 사례에서 알 수 있듯이 사용자가 보안이 취약한 웹사이트에 접속하는 것만으로도 특정 웹사이트에 대한 디도스 공격에 악용될 수 있다는 점이 무서운 점"이며 "지금은 나 혼자만이 아닌 PC사용자, 웹 사이트 운영자 모두 보안수칙을 철저히 지켜야 상호간을 지켜줄 수 있다는 경각심을 가져야 할 때"라고 주의를 촉구했다. Ahn

댓글을 달아 주세요

  1. 림림이 2013.06.27 17:29 신고  Address |  Modify / Delete |  Reply

    뽑아서 붙여두고 자주 봐야겠어요.
    해킹당한 경험이 있다보니 예방에 많은 관심을 가지게 되네요 ㅠㅠ

  2. 윤덕인 2013.06.27 23:46  Address |  Modify / Delete |  Reply

    평소에 유의해야할 중요한 사항들이 담겨있는 글이네요!
    자주 확인하도록 하겠습니다.~

웹 접속만으로도 디도스 공격 발생시키는 공격방식 확인

- 청와대, 국정원, 새누리당 사이트는 악성 스크립트 방식의 새로운 디도스 공격 받아

- 정부통합전산센터는 좀비PC방식의 기존 디도스 방식 공격 받아

 

안랩(대표 김홍선 www.ahnlab.com) 25일 일부 정부기관을 공격한 디도스(DDoS: Distributed Denial of Service, 분산 서비스 거부) 공격에 대한 분석내용을 추가 발표했다. 안랩은 이번 정부기관에 대한 디도스 공격은 악성스크립트를 이용한 새로운 방식과, 악성코드에 감염된 좀비PC를 이용하는 기존 디도스 공격 방식이 혼재되어 있다고 밝혔다.

 

안랩은 청와대, 국정원과 새누리당 웹 사이트는 ‘악성스크립트 방식’의 디도스 공격을 받았고, 이는 국가적 대형 디도스 공격에 처음으로 사용된 기법이라고 밝혔다또한 안랩은 정부통합전산센터의 DNS(Domain Name Service)서버는 좀비PC를 사용한 기존 방식의 디도스 공격을 받은 것으로 확인했다

 

안랩이 최초로 확인한 ‘악성스크립트 방식’ 디도스 공격은 기존 좀비PC를 이용한 공격과 달리공격자가 특정 웹사이트에 악성스크립트를 설치하고 사용자들이 이 사이트를 방문하면, 미리 설정해놓은 웹사이트로 공격 트래픽을 발생시키는 방식이다. 안랩 분석결과, 사용자가 악성스크립트가 설치된 해당 웹사이트에 정상 접속(방문)하자공격자가 타겟으로 정한 청와대, 국정원과 새누리당 웹사이트로 트래픽이 발생하는 것을 확인하였다.

 

한편, 정부통합전산센터 공격은 기존의 좀비 PC를 통한 디도스 공격 방식을 이용한 것으로 확인되었다. 공격자는 우선 25 00시부터 특정 웹하드의 설치 파일과 업데이트 파일을 통해 개인사용자 PC를 악성코드로 감염시킨 후 좀비PC로 만들었다. 이후 25일 오전 10시에 좀비PC들이 특정 서버를 디도스 공격하도록 C&C서버(공격자가 악성코드에 명령을 내리는 서버)로 명령을 내린 것으로 확인됐다. DNS(Domain Name Service)서버는 웹 사이트 이용자들이 정부 기관의 주소를 입력하면 이를 실제 웹사이트로 연결시켜주는 기능을 하는데, DNS서버가 공격을 받아 일부 정부기관 웹사이트들의 접속이 원활하지 못했던 것이다.

 

공격자는 확보한 좀비PC를 이용해 정부통합전산센터에 있는 두 대의 DNS서버(aaa.co.kr 등의 영어 주소이름을 111.222.333.444 등의 실제 웹사이트의 IP로 연결시켜주는 서버)에 무작위로 생성한 방대한 양의 도메인 이름 확인요청을 일시에 보내는 ‘DNS 디도스 방식’으로 공격을 감행했다.  또한, 많은 좀비 PC로 특정 서버에 일괄 접속하는 일반적인 디도스 공격 방식이 아니라 요청하는 정보의 크기를 늘려서 서버에 부하를 주는 방식을 사용했다. 이 방식의 디도스 공격에 사용된 악성코드 분석 정보는 안랩 ASEC블로그(http://asec.ahnlab.com/949)에서 확인할 수 있다.

 

안랩 관계자는 “이번 악성 스크립트를 이용한 디도스 공격은 지금까지 국가적 대형 디도스 공격에 보고된 적이 없는 새로운 공격방식이다. 이런 새로운 방식의 디도스 공격을 방지하기 위해서는 웹사이트 운영자들은 자신이 운영하는 웹사이트가 악성코드 유포지나 디도스공격에 이용되는 일이 없도록 보안에 만전을 기해야 한다더불어 사용자들은 신뢰할 수 없는 사이트 방문을 자제해야 한다.”고 말했다

 

안랩은 정부기관 디도스 공격에 이용된 악성코드와 별도로 '일부 언론사에 대한 디도스 공격 악성코드'를 발견했다고 밝혔다. 또한 '하드디스크 파괴기능을 가진 악성코드' 추가로 확인했다. 안랩은 해당 악성코드들에 대해서도 이미 엔진 업데이트 등 대응을 완료했으며 현재 상세 분석 중이다.

 

안랩은 “좀비PC를 이용한 기존 방식의 디도스 공격은 PC 사용자들이 백신업데이트 및 정밀검사를 통해 자신의 PC가 좀비화되지 않도록 관리하는 것이 무엇보다도 중요하다”며 PC사용자들의 주의를 당부했다. 안랩 V3는 현재 해당 좀비PC 악성코드를 모두 진단하고 있으며 안랩은 향후 악성코드 추가 발견 시 지속적으로 엔진을 업데이트 할 예정이다. <Ahn>

 

댓글을 달아 주세요

일부 정부기관 디도스 공격 분석 내용 중간 발표

안랩, 25 00시부터 웹하드를 통해 디도스 유발 악성코드 배포 확인
- 좀비PC를 치료하는 것이 근본적인 해결책, 백신 업데이트 후 검사 필요
- 안랩 V3에 긴급 엔진업데이트 완료, 추후 지속적 업데이트 및 상세분석 예정

안랩(대표 김홍선 www.ahnlab.com)은 금일 일부 정부기관을 공격한 디도스(DDoS; Distributed Denial of Service, 분산 서비스 거부) 악성코드에 대한 분석내용을 중간 발표했다.
 
안랩은 이번 디도스 공격을 유발한 악성코드는 25 00시부터 배포되었으며, 25일 오전 10시에 DDoS 공격을 수행하도록 C&C 서버로부터 명령을 받은 것으로 확인되었다. 또한, 2011 3.4 DDoS 때와 같이 웹하드를 통해 악성코드가 배포된 것으로 분석했다.
 
안랩은 "공격자가 웹하드 업데이트 기능을 이용해 개인사용자 PC를 악성코드로 감염시킨 후 좀비PC를 만들고, 이들(좀비PC)을 이용해 다량의 트래픽(DNS(Domain Name System) 쿼리(Query))을 정부기관 네임서버에 일시에 보내 정부기관 접속을 방해한 것으로 분석되었다"고 현재까지의 분석 결과를 밝혔다.
 
한편, 안랩은 이번 디도스 유발 악성코드를 분석하는 한편, 악성코드 샘플과 유포지 정보를 관계기관에 공유했다.
 
안랩은 악성코드들 일부를 이미 진단하고 있었으며, 추가 발견된 악성코드에 대해서 V3엔진에 긴급 반영 했다. 또한 향후 악성코드 추가 발견 시 지속적으로 엔진을 업데이트 할 예정이다.
 
안랩은 "만약 상당히 많은 좀비 PC가 사용되었을 경우 엄청난 트래픽 공격으로 인해 서버 다운 등의 추가 피해가 있을 수 있어 주의가 요구된다" "디도스 공격을 유발하는 좀비PC와 악성코드 유포지를 차단하는 것이 시급하다."라고 밝혔다.
 
또한 PC사용자들이 백신을 최신으로 업데이트해 PC를 정밀검사하는 것이 반드시 필요하다고 당부했다.

현재 안랩은 확보한 디도스 유발 악성코드 샘플을 상세 분석 중이며, 향후 추가적으로 자세한 사항을 공유할 예정이다. <Ahn>


댓글을 달아 주세요

유령, 어쩐지 리얼하다 했더니 배후에 안랩 있었다

디도스 공격, 스턱스넷, 악성코드...
연이은 개인정보 유출 사고로 보안이 사회적으로 중요한 이슈로 부각되었지만 일반인에게 IT∙보안 관련 용어는 아직도 난해한 이야기이다.  
글로벌 보안 기업인 안랩(구 안철수연구소)
은 정보보호에 대한 관심과 인식 수준을 높이고자 보안을 주제로 한 콘텐츠 제작에 앞장서고 있다.

사용자 삽입 이미지

안랩은 최근 화제가 되고 있는 SBS 드라마 ‘유령’의 대본 검수를 무료로 맡으며 일반인에게 좀더 쉽고 재미있게 보안 중요성과 해킹의 위험성을 알리는 데 적극 참여하고 있다.

드라마 ‘유령’은 첨단 IT 기술, 소셜네트워크서비스(SNS) 등을 소재로 한 국내 최초의 사이버 범죄 드라마이다. 사이버수사대 팀장과 유명 해커로 등장하는 드라마 속 주인공은 디지털 증거를 분석하며 살인자를 추적한다.

수사대는 노트북의 하드디스크를 복사한 후 증거분석(포렌식) 장비에 연결해 피해자가 죽기 직전 어떤 파일을 열어보고 인터넷으로 어떤 단어를 검색했는지 기록(로그)을 샅샅이 살펴본다. 또한 범인들은 ‘스턱스넷’ 악성코드를 이용해 손가락 하나로 도시 전체를 한순간에 마비시키기도 한다.

사용자 삽입 이미지

일반인에게는 온통 낯선 풍경과 용어들이다. 이에 안랩은 매회 대본 검수 작업에 참여해 일반인이 드라마를 통해 보안의 중요성에 대한 관심을 갖고 어려운 보안 용어를 쉽게 이해할 수 있도록 적극 협력하고 있다.

극적 긴장감이나 재미를 위해 조금 과장된 표현도 있지만 드라마 유령에 등장하는 대부분의 내용들이 현실에서 가능하다. 비슷한 주제로 제작된 기존 영화들이 대부분 현실과 조금 동떨어진 경우가 많았기 때문에 안랩은 유령의 대본 검수 작업을 진행하며 최대한 극에 등장하는 보안 용어나 악성코드의 기능을 사실감 있게 표현하는 데 도움을 주었다.

사용자 삽입 이미지

5회에서는 디도스 공격을 다루며 개인의 부주의가 큰 피해를 불어올 수 있음을 실감나게 보여주었다. 또한 14회에서는 백신 소프트웨어를 가장한 해킹 프로그램의 실체를 드러내 정품 백신 소프트웨어 사용의 중요성과 가짜 백신에 대한 경각심을 불러 일으키기도 했다.

사용자 삽입 이미지

안랩 전문가들이 뽑은 최고의 장면은 12회에서 천재 해커 박기영(소지섭)이 재현한 자동차 제어 시스템 해킹 장면이다. 대본을 검수하며 현실감 있게 표현하기 위해 가장 고민을 많이 한 장면이다. 일반인은 다소 의아할 수도 있겠지만 오늘날 자동차는 단순한 기계가 아닌 각종 첨단기기가 접목되어 있는 소형 컴퓨터와 같다. 아직까지 유사 범죄가 발생하지는 않았지만 머지 않은 미래에 충분히 일어날 수 있는 시나리오이다. 안랩에서도 이와 같은 악성코드에 대응하기 위한 연구를 진행 중이다.

드라마 유령의 대본 검수를 맡은 안랩 이호웅 시큐리티대응 센터장은 “정보보안의 의미가 나날이 중요해지고 있지만 여전히 보안은 어려운 주제 같다. 유령과 같이 보안에 관해 이해하기 쉽고 흥미로운 주제의 더 많은 콘텐츠가 제작되길 바란다. 안랩은 이번 드라마 참여가 정보보호에 대한 관심과 사이버 범죄에 대한 인식 수준을 한층 높이는 데 기여할 것으로 기대한다. 이러한 노력이 향후 우리나라에서 많은 정보보호 전문가를 배출하는 데 기반이 되기를 바란다.”고 밝혔다. Ahn

댓글을 달아 주세요

  1. 오옹이 2012.08.13 09:12  Address |  Modify / Delete |  Reply

    안랩만 기술지원 한거 아니잖아요 ㅋㅋ

드라마 '유령' 속 사이버 테러 어디까지 사실일까

안랩人side/포토안랩 2012.06.18 06:00

최근 인기리에 방송 중인 소지섭, 이연희 주연의 드라마 유령의 한 장면. 촉망 받던 여배우 신효정이 어느 날 갑자기 죽었다. 트위터에 자살을 암시하는 글을 남겼지만 명확한 증거를 찾아야 하는 상황. 디지털 증거 분석력이 뛰어난 유강미(경찰청 사이버범죄수사대 경위)는 신효정 노트북의 하드디스크를 복사한 후 증거분석(포렌식) 장비에 연결해 신효정이 죽기 직전 어떤 파일을 열어보고 인터넷으로 어떤 단어를 검색했는지 기록(로그)을 샅샅이 살펴본다.

 

그 결과 트위터에 글을 남긴 그 시각에 이메일을 쓰고 있었다는 사실을 발견한다. 그렇다면 노트북이 아닌 다른 기기로 트위터에 글을 올렸다는 것인데, 신효정의 스마트폰은 고장난 상태였고 사건 현장에서 다른 태블릿PC나 스마트폰은 발견되지 않았다. 유강미는 제 3자가 트위터에 유언을 남긴 것이고 신효정의 죽음을 자살이 아닌 타살이라고 추정하기 시작하는데...     

 

 

드라마 리얼리티 살리는 데 안랩이 한 몫

충격적인 사건의 실마리를 풀어가는 스토리로 보는 이를 사로잡는 이 드라마는 국내 최초의 사이버 범죄 드라마라는 점에서 의미가 있다. 사이버 범죄 수사관이 주인공이고, 컴퓨터를 이용한 지능적인 범죄가 벌어지고 디지털 증거를 분석해가는 과정이 그려진다. 의학 드라마가 그러하듯 전문적인 분야를 다루는 만큼 철저한 고증이 필수적이다. 이를 위해 안랩(구 안철수연구소) 시큐리티대응센터를 비롯해 많은 기관이 기술 자문을 하고 있다. 그만큼 제작진이 많은 노력을 기울이고 있다.

드라마의 극적인 전개를 위해 세부적인 부분에서 현실과 다른 부분이 있을 수밖에 없다. 하지만 대부분의 내용이 과학적이고 기술적인 사실에 기반해 스토리가 전개된다. 6회까지 방송된 내용 중 어느 것이 현실적으로 가능한지 짚어보자.

디도스 공격, 스턱스넷 모두 현실

우선 디도스 공격을 이용해 사이버 테러를 벌이는 상황. 디도스 공격은 많은 사람이 익히 아는 사이버 테러 방식이다. 수백 혹은 수천 대의 컴퓨터를 좀비 PC로 만들어 공격 대상 사이트에 순간적으로 감당하지 못 할 패킷을 동시에 범람시켜 시스템을 마비시키는 공격이다. 우리나라에서도 2009년 7월 7일과 2011년 3월 4일에는 실제로 디도스 공격이 발생해 청와대를 비롯하여 주요 언론사, 정당 및 포털 사이트가 시스템 장애를 일으킨 사례가 있다.

다음으로 스턱스넷 악성코드. 디도스 공격을 하던 무리의 아지트를 찾아가 조사를 하던 김우현은 사이버 공격범들이 '스턱스넷' 악성코드를 이용해 사회 기간망을 공격하려는 사실을 알게 된다. 김우현은 대한전력의 보안팀 직원의 집에 도둑이 들었다는 사실을 통해 보안팀 직원의 USB에 '스턱스넷' 악성코드가 감염되어 있을 것이라는 사실을 추측해 낸다. 하지만 그때는 이미 악성코드에 감염된 USB가 대한전력 중앙 통제실 컴퓨터에 꽂힌 후였다. 그 후 도시의 전력망은 공격을 당하고 '블랙 아웃' 사태가 벌어진다.

다행히 현실 세계에서는 드라마의 상황과 같이 국가의 기간망이 동시에 장악되는 상황까지 벌이지기는 힘들다. 현실 세계에서 국가 중요 기간망은 독립적으로 운영되고 있다. 웬만한 중요 시설은 모두 일반 네트워크와 분리돼 있어 외부에서 침투하기가 쉽지 않다. 그리고 드라마에서 대한전력의 보안 직원이 집에서 가져온 USB를 중앙 통제실 컴퓨터에 꽂는 장면이 나오는데 그것은 현실에서 불가능하다. 실제 국가 기간망 통제실에는 외부에서 반입한 USB를 갖고 나가거나 출입하는 것은 엄격하게 금지된다. 


그러나 '스턱스넷' 악성코드는 현실 세계에서도 존재하는 아주 정교한 악성코드이다. 실제로 2010년 준공식을 앞둔 이란 부셰르의 핵발전소에 '스턱스넷' 악성코드가 침투한 것으로 알려져 있다. 

 

안랩 사옥에서 촬영하던 날  

 

김우현의 모습으로 살아가는 박기영이 어떻게 진실을 밝혀나갈지 갈수록 흥미진진해지는 '유령'의 다음 회를 기대하며 안랩 사옥에서 진행된 촬영 모습을 공개한다.

 

6월 2일 토요일 오후


보안관제 룸에서 진행된 촬영. 원활한 촬영을 위해 안랩인도 토요일 오후에 출근을 해 도움을 주는 모습이다.

디도스 공격용 악성코드가 급격히 증가하는 것을 눈으로 보여주려면 어떤 화면이 적당할지 시큐리티대응센터 이호웅 센터장(가운데)이 연출자(오른쪽)와 상의 중이다.


촬영을 위한 세트장이 아닌 실제 안랩 SOC룸의 대형 관제 모니터의 모습이다.

촬영 시간은 오후여서 해가 떠 있을 때였는데, 밤 장면이라 창문에 빛이 안 들어오도록 다 막아 놓은 상태에서 촬영했다.


단역 배우들이 극 중 '백신연구소' 연구원 역할을 하고 있다. 세강증권을 디도스 공격했던 악성코드의 변종이 퍼지고 있음을 발견하고 대화하는 장면. 직접 우리 안랩인이 촬영을 했더라면 더 자연스럽고 멋있지 않았을까.^^

모니터 화면을 촬영하는 모습. 겉보기에도 굉장히 비싸 보이는 카메라다.
 

6월 14일 목요일 오후


이번 촬영 때는 드디어 연예인만 탄다는 대형 밴이 카메라 앵글에 들어왔다. 


스태프들이 타고 온 걸로 보이는 '드라마 유령 촬용차량'이라는 푯말을 붙인 버스도 안랩 사옥 옆에 주차가 되어 있었다.


SBS에서 온 봉고 차도 안랩 사옥 앞에 있었다.


사옥 앞에 쭉 늘어서 사람들이 보였다. 드라마 촬영을 위한 단역 배우들이었다. 아무리 눈에 힘을 주고 찾아봐도 아는 얼굴은 없다.

 

드디어 촬영 시작. 야외 촬영이라 더운 날씨에 고생스러워 보인다.

같은 장면을 찍고 또 찍고, 또 찍고, 좀 쉬었다 또 찍고. 차에서 내려서 인사받는 장면이었는데, 촬영은 몇 시간 동안 이어졌다.


드디어 저 멀리서 아는 얼굴이 보이기 시작했다.


그 검정색 밴을 타고 온 연예인은 배우 엄기준이었다! Ahn


사내기자 류석 / 안랩 커뮤니케이션팀

사내기자 황미경 / 안랩 커뮤니케이션팀 부장

댓글을 달아 주세요

  1. 라이너스 2012.06.18 08:11  Address |  Modify / Delete |  Reply

    잘보고갑니다. 행복한 하루되세요^^

  2. 지나가는이 2012.06.18 12:29  Address |  Modify / Delete |  Reply

    아 이게 안랩에서 촬영한 거였군요.

    유령 재미있게 보고 있고요.

    앞으로도 사이버 보안을 위해서 불철주야 힘 써주시길 바랍니다!

  3. 감사합니다 2012.06.18 13:57  Address |  Modify / Delete |  Reply

    잘봤습니다. 이 장면 드라마로 봤어요. 여기가 안랩이군요.
    우와 알고보니까 더 멋진것 같아요.
    저기....혹시....소지섭씨는 못보셨...죠?
    사이버세상이란건 저랑 별 관계없는 별세곈줄 알았는데
    이번에 드라마보면서 느끼는게 많습니다.
    안랩같은 곳이 얼마나 중요한 곳인지 새삼 실감합니다.

  4. 오경선 2012.06.20 08:31  Address |  Modify / Delete |  Reply

    ㅋㅋㅋ 볼 때마다 그냥 안랩에 애착이 가고 막.. 인턴시절 생각나고 해요 요즘. ㅎㅎㅎ
    AhnLab 벽에 붙은거 화면에서 쓰윽 지나갈 때 nLab 만 나왔던가 했는데
    뭐. 그런다고 못알아보나요. CI 특유의 폰트가 있는데. ㅋㅋ 유후- 오늘은 유령보는 날.

  5. 김재기 2012.06.27 09:16  Address |  Modify / Delete |  Reply

    기사 잘 보고 갑니다 ^^ 오늘도 유령하는 날이네요 ㅎㅎ 좋은 하루보내세요

안철수연구소 전망, 2012년 예상 7대 보안 위협

안철수연구소 연구개발 총괄 조시행 전무가 1월 4일 TBS 라디오 <열린아침 송정애입니다>에 출연해 올해 예상되는 보안 위협을 설명했다. 정치적 목적의 해킹이 늘어날 것이라고 전망하는 한편, APT 공격이 왜 위협적인지를 설명했다. 이어서 SNS와 스마트폰을 이용한 신종 해킹이 늘어날 것이라고 전망하고, 계속 새로운 악성코드가 만들어지기 때문에 완벽하다는 말은 항상 과거일 뿐이며, 지속적인 관심과 투자가 필요하다고 강조했다. 다음은 방송 내용 전문.

사회 각 분야의 다양한 현안을 깊이 있게 다뤄보는 두 번째 <열린 인터뷰> 시간입니다. 지난 10.26 서울 시장선거 당시 있었던 선관위 디도스 공격 사태가 정치적인 목적에서 의도적으로 자행된 사실로 드러나 충격을 줬는데요. 올해는 총선과 대선이라는 큰 선거를 두 차례나 치르게 돼서 이러한 정치적, 사회적 목적의 해킹이 늘어날 것이라는 전망이 나오고 있습니다. 그리고 디지털, IT 기기의 사용이 늘면서 컴퓨터에 집중됐던 공격이 스마트기기로까지 확대될 것이라는 얘기들도 나오고 있는데요, 우리나라의 IT 환경 보안과 관련해 안철수연구소가 예측 보고서를 내놨습니다. 자세한 내용 안철수연구소 연구개발 총괄 조시행 전무로부터 직접 들어보겠습니다.
 

송정애: 요즘 디도스 공격과 관련한 논란이 많은데요. 우선 디도스라는 것이 무엇인지부터 좀 설명을 해 주세요. 

조시행: 디도스 공격을 설명할 때 도로를 예를 들면 편한데요. 4차선 도로인데 8차선으로부터 갑자기 차가 몰리게 되면 그 도로는 8차선에서 오는 차들을 소화하지 못해서 차가 멈추는 병목현상이 발생해서 일시적으로 도로의 기능을 상실하게 됩니다. 디도스 공격이란 컴퓨터에서 처리할 수 있는 능력보다 더 많은 양을 요청받았을 때 컴퓨터는 정상적인 요청으로 알고 처리하려 하지만 서비스가 늦어지거나 아예 서비스가 멈추게 됩니다. 그 점을 이용해서 공격하는 방법을 디도스 공격이라고 하고 결국 컴퓨터가 서비스를 못하게 방해하는 공격 형태라고 말씀드릴 수 있겠습니다.  

송정애: 쉽게 말하면 과부하가 걸려서 일을 방해하는 거네요. ‘2012년에 우리를 위협할 보안 위협 베스트 7’이라는 보고서를 내셨는데요, 어떤 배경에서 나온 건가요?  

조시행: 예. 그냥 소설 쓰듯이 만든 것은 아니고요. 과거의 보안위협 동향과 우리나라의 IT 환경 등을 고려해서 매년 만들어지는 보고서인데요. 올해 보고서는 주로 2011년 자료를 기반으로 하게 됩니다. 그래서 2012년에 발생할 수 있는 보안위협을 알려줌으로써 보안의식을 높이고 대응책을 만드는 데 도움을 주고자 함입니다.  

정치적 목적 해킹 늘 것

송정애: 이게 매해 나오는 것이었군요. 올해는 ‘정치적 목적의 해킹이 늘어날 것이다’ 이렇게 예측을 하셨어요. 우리나라뿐만 아니라 세계적으로도 선거가 많은 해이긴 한데 그것이 배경이 되었나요? 
 

조시행: 예. 이러한 예측이 현재 세계적인 추세입니다. 해킹이 금전적인 목적에서 이제는 사회적 혼란, 국가적 이슈 등 정치적인 현상들이 늘고 있습니다. 당연히 우리나라의 특성이 2012년에 반영된 것은 맞습니다. 과거 악성코드가 불특정 다수를 공격하는 추세였는데 2,3년 전부터는 특정 타겟을 공격하는 형태로 옮겨졌죠. 그래서 물론 금전적인일 때문이기도 하지만 공격자가 원하는 목적을 위해서는 불특정타겟보다는 목적에 맞는 특정타겟이 대상일 수밖에 없다는 그런 의미로 보시면 될 것 같습니다.  

송정애: 불특정 다수에서 이제는 목적에 맞는 타깃을 공격해오는 건데요. 안철수연구소에서 낸 7가지 항목 가운데 가장 염려되는 것은 어떤 건가요? 

조시행: 세계적인 추세인데 APT 공격이 지속될 것이라는 점입니다.  

송정애: APT 공격이라는 것이 어떤 건가요? 

조시행: 2011년부터 일반화된 용어로 사용하고 있는데 APT에서 A가 Advanced 약자입니다. 지능적이라는 표현으로 해석하면 될 것 같고요. P는 Persistent로 집요한 지속적이라는 의미로 이해하면 되고, T는 Threat로 위협이라는 표현입니다. 특정한 타겟을 정해서 집요하게 성공할 때까지 장기간에 걸쳐서 공격하는 위협을 APT공격이라고 할 수 있겠고요. 이것이 굉장히 지능적인 방법으로 사회공학적인 모든 수단을 사용하기 때문에 방어하기 매우 어려운 것이 현실입니다. 2011년 우리나라의경우를 보면 농협이나 SK컴즈, 넥슨 사고가 대표적인 공격이라고 할 수 있겠습니다.  

송정애: 고도의 지속적인 공격, 그러면 상당히 지능적인 방법이 동원될 거라고 하셨는데 그러면 혹시 예상되는 유형 같은 것이 있나요?  

조시행: 지금 이것의 목적을 보면 직접적이든 간접적이든 돈과 분명히 연관된 것이라고 볼 수 있겠습니다. 그러다보니까 정보를 얻는 것이 가장 큰 목적이 될 수 있겠는데요. 그 정보가 개인정보일 수도 있고 기업, 기관의 기밀정보일 수도 있고, 산업의 원천기술일 수도 있습니다. 그래서 결국 공격당한 조직이나 기관은 당연히 피해자일 수도 있지만 개인한테도 피해가 될 수 있고, 그 목적이 사회적 혼란, 국가적, 정치적으로 확장되고 있다는 것이 굉장히 큰 위협으로 볼 수 있겠습니다.  

APT 공격이 위협적인 이유

송정애: 방법을 보면 메일로 위장하는 것도 있고, 업데이트 관련 파일을 변조하는 경우도 있고 여러 가지가 있더라고요? 
 

조시행: 네. 지금 사용하는 방법은 모든 방법을 다 쓴다고 보시면 될 것 같아요. 저희들이 예상할 수 있는 것, 또 예상할 수 없는 방법으로 공격하는 게 현재의 추세라고 보시면 될 것 같습니다.  

송정애: 이런 식으로 특정목적의 해킹이다 보니까 올해 같은 경우 정치적 목적의 해킹이 늘 수도 있다는 예측을 내놓으신 건데, 컴퓨터에 집중되어 있던 악성코드가 이제는 스마트폰 쪽으로 확산될 것이라는 얘기도 있던데요?  

조시행: 네. 이제는 스마트폰에서도 금전적인 이득을 얻는 것이 가능해졌습니다. 그래서 2011년 하반기부터 스마트폰을 감염시키는 악성코드들의 숫자가 매우 빠른 속도로 증가하고 있습니다. 더구나 스마트폰의 기능이 PC에서 할 수 있는 모든 것을 할 수 있게 되고 스마트폰의 파급 효과가 PC보다 빠르잖아요. 그래서 피해가 발생할 경우 PC보다 더욱 크기 때문에 당연히 심각해질 것으로 예상하는 게 맞고요. 스마트폰 자체가 공격당하는 것도 심각하지만 좀비PC처럼 스마트폰이 좀비화되어서 디도스 공격이라도 하게 되면 문제는 더 심각해질 것으로 봅니다.  

송정애: 그게 아이폰보다 안드로이드폰이 더 취약하다는 얘기를 들었는데, 사실인가요?  

조시행: 아이폰은 현재 좀 폐쇄적인 것이기 때문에 그런 측면이 있고 안드로이드는 완전히 개방형이거든요. 누구한테도 오픈되어 있기 때문에 장점과 단점이 같이 있다고 보면 될 것 같습니다.  

스마트폰, SNS 노리는 위협

송정애: SNS쪽은 어떻습니까? 요즘 SNS가 워낙에 정보를 빠르게 공유하는 창구인 만큼 악용될 사례도 높을 것 같은데요?
 

조시행: 네. 당연히 맞습니다. 악성코드 제작자와 공격자를 보면 항상 사용자가 가장 많이 사용하는 것을 이용해 왔습니다. 당연히 지금 스마트폰에서 가장 많이 쓰고 있는 것들이 페이스북이나 트위터 이러한 것들이잖아요. 거기서 단문을 써야 하는데 URL 주소를 링크를 이용해서 엉뚱한 곳으로 유도해서 감염시킬 수도 있고 또 정보를 빼내갈 수 있는 피싱 공격도 할 수 있는 거죠. 공격자 입장에서 보면 SNS는 너무 매력적인 감염 매개체가 될 수 있고 공격도구일 수밖에 없습니다.  

송정애: 그럼 일반인도 본의 아니게 악성코드를 유포하는 공범이 될 수도 있겠군요?  

조시행: 네. 그렇습니다. 요즘은 피해자가 공격자가 되는 것이 현재의 추세입니다. 

'보안에 완벽하다'는 어제까지일 뿐

송정애: 그렇다면 끝으로 IT 환경 보안의 중요성에 대해서 누구보다 잘 아시는 분으로서 국민이나 기관에 당부하실 말씀이 있다면 어떤 것이 있을까요? 
 

조시행: 보안이 한 번으로 끝나는 것이 아니라 지속적인 관심과 투자가 필요한 분야거든요. 보통 우리 회사는 완벽하다는 말을 많이 할 텐데 그게 어제까지일 뿐이라는 거죠. 내일은 또 다른 위협이 발견되고 새로운 악성코드가 만들어지기 때문에 완벽하다는 말은 항상 과거일 뿐이라는 겁니다. 미래를 위해서는 지속적인 관심과 투자가 필요하다는 얘기를 좀 하고 싶고요. 또 하나는 보안사고가 있을 때만 많은 사람들이 개인이나 기업이 관심을 보이는데 그게 아니라 평상시에 보안에 대한 인식이 높아져야 할 것이라고 봅니다. 개인부터 조직까지 전반적으로 보안에 대한 공감대가 형성되어야 하고 개인, 기업, 기관이 정보보안을 일상생활 및 업무로 인식해서 그것을 실행하는 문화가 절실히 필요합니다.  

송정애: 보안패치도 제대로 하시고 백신검사도 주기적으로 하시면 도움이 되겠네요. 감사합니다. 오늘 말씀 잘 들었습니다. 지금까지 안철수연구소 연구개발 총괄 조시행 전무였습니다. Ahn

댓글을 달아 주세요

안철수연구소 CEO 진단, 제2의 디도스 공격 가능성

안철수연구소 김홍선 대표가 1월 3일 CBS 라디오 <김현정의 뉴스쇼>에 출연해 올해 예상되는 보안 위협을 설명했다. 4월 총선과 12월 대선 두 차례에 걸친 선거를 앞두고 공공기관의 보안 대책이 필요하다고 강조한 한편, SNS와 스마트폰을 이용한 신종 해킹이 늘어알 것이라고 전망했다. 다음은 방송 내용 전문.

올해는 총선과 대선, 큰 선거를 두 차례나 치르게 됩니다. 그래서인가요, 10.26 선관위 디도스 공격 사태와 유사한 정치적 사회적 목적의 해킹이 늘어날 것이라는 전망이 나왔습니다. 또 그동안 PC에 집중됐던 공격이 올해부터는 스마트기기를 중심으로 확대될 거다, 이런 이야기도 나오는데 안철수연구소가 예측 보고서를 내놨습니다. 안철수연구소의 김홍선 대표로부터 직접 들어보죠.

◇ 김현정> 안철수연구소에서 ‘2012년에 우리를 위협할 보안위협 베스트7’ 이렇게 보고서를 내셨어요. 가장 염려되는 것. 그중에서도 어떤 건가요?

◆ 김홍선> 조금 어려운 단어이기는 한데요. 무엇보다 최근 공격은 APT 공격이라는 형태로 해서 굉장히 은밀하고, 굉장히 집요하게 공격하는 것이 사실 오래전부터 유행 되고 있습니다. 이것은 기존의 어떤 체제를 잘 알면서 그것을 뚫기 위한 방법으로 많이 사용되기 때문에 참 쉽지도 않고요. 그래서 이런 것들이 더 치명적인 영향을 주지 않을까 하는 그런 고민거리가 있습니다.

◇ 김현정> 저는 처음에 기사를 보고 APT라고 하니까 무슨 아파트 공격인 줄 알았어요. (웃음) 어려워요. 어떤 겁니까?

◆ 김홍선> 저희도 그렇게 별명처럼 쓰기는 합니다. 그러니까 'A'는 Advanced, 굉장히 지능적이라는 표현이라고 할 수 있겠고요. 'P'는 잘 안 쓰는 단어인데 Persistent, 굉장히 집요하다는 거죠. 그런 공격에 ‘T'는 Threat, 위협이라는 형태가 되겠는데요. 예전 같은 경우에는 바이러스를 불특정다수에게 퍼뜨린다거나 이런 방법을 많이 썼는데 이제는 그러지 않고요. 아예 한 PC, 한 사람을 목표로 해서 그 사람의 PC나 권한을 자기가 탈취하기까지, 아주 오랜 기간에 걸쳐서 집요하게 파고든다는 겁니다.

◇ 김현정> 그렇게 집요하게 파고드는 목적은 뭔가요?

◆ 김홍선> 목적은 그 사람이 가지고 있는 중요한 정보라든가 그것을 빼돌리기 위한 것이 되겠고요. 그것은 기밀이 될 수가 있겠고 개인정보가 될 수도 있겠고, 어떤 기관이나 조직에 큰 영향을 주는 것이 될 수 있겠죠. 결국 돈의 문제라고 할 수 있겠습니다.

◇ 김현정> 결국은 '하나를 타깃으로 잡아서 집요한 공격들이, 그런 형태들이 점점 늘어난다' 이 말씀이고요. 또 한 가지 눈에 띄는 것은 올해 총선과 대선. 굵직한 선거가 2개나 있는데, 그래서 “어떤 정치적 목적의 해킹이 늘어날 거다” 이렇게 예측을 하셨어요?

◆ 김홍선> 네. 이제 사이버공간도 사실 사회적 문제로 같이 봐야 될 것 같습니다. 저희 경험상, 특히 이렇게 많은 불안정 요소가 있는 경우는 보안사고도 더 증대하는 것을 많이 목격 했고요. 그래서 굉장히 많은 리스크들이 지금 논의가 되고 있지 않습니까? 그런 관점에서 혼란을 주거나 또 이것을 이용해서 뭔가 얻으려는 그러한 세력들이 사이버공간에서도 퍼질 것이다, 전반적인 예측이라고 할 수 있겠습니다.

◇ 김현정> 예를 들자면 이번 10.26 디도스 공격과도 같은 사태가 재현될 수도 있다, 이렇게 보시는 거예요?

◆ 김홍선> 그것도 재현될 수가 있겠고요. 그 외에도 또 다른 형태의 SNS라든가 이런 것들도 많이 쓰고 있기 때문에 그것을 이용한 공격들도 많이 늘어날 것이고요. 또 최근에는 PC 이외에 스마트폰 같은 것을 많이 쓰기 때문에 이것을 이용해서 하는 공격들이 굉장히 다양한 형태로, 입체적으로 전개되지 않을까 좀 우려 되고 있습니다.

◇ 김현정> SNS 공격은 어떻게 하는 겁니까?

◆ 김홍선> 우리가 소셜네트워크를 통해서 트위터라든가 또는 페이스북이라든가 이런 것을 많이 쓰게 되는데요. 그런데 보통 링크를 많이 소개한다거나 괜찮은 정보가 있다든지 이렇게 하는 것을 보면, 실제로 링크 했을 때 자기 정보가 빠져나가게 하는 피싱이라든가 여러 가지 공격들이 있을 수가 있습니다.

◇ 김현정> 그러니까 보통 트위터는 단문을 써야 되기 때문에 주소를 축약해서 붙이게 되거든요. 무슨 사이트인지도 모르고 그냥 누르는 경우가 많은데, 이랬을 경우에는 바이러스에 감염될 수 있는 상황이 발생한다는 말씀인가요?

◆ 김홍선> 그럴 수도 있고요.

◇ 김현정> 다른 것보다도 사실 이번에 중앙선관위가 무너지는 것을 보면서 “어떻게 정부기관의 보안조차 이렇게 허술한가” 이렇게 생각했던 분들이 많습니다. 이 해킹기술이 대단한 건가요? 아니면 보안기술이 허술한 건가요? 전문가로서 어떻게 보셨어요?

◆ 김홍선> 해킹기술도 굉장히 대단하게 발전하고 있고요. 그 다음에 우리가 쓰는 환경도 그만큼 많은 약점에 점점 더 노출되어 있는 것 같습니다. 이를테면 PC를 쓰면서도 굉장히 많은 웹사이트에 들어가 보고, 그런 과정에서 여러 가지 자신도 모르게 동영상을 본다거나 여러 가지 행위들을 하지 않습니까? 편리하기 때문에 하는 것인데, 그런 곳곳에 악성코드라든지 그런 것이 들어갈 수 있는 여지가 있다는 거죠. 환경이 점점 더 개방화되다 보니까 더 취약성을 노리는 공격도 증대하고. 그래서 또 이런 보안관리 같은 게 허술한 곳도 있고, 이것이 굉장히 복합적인 것 같습니다.

◇ 김현정> 네트워킹이 굉장히 잘 되어 있어요. 우리나라는 정말 촘촘한 거미줄처럼 연결이 되어 있고 굉장히 발전한 데 비해서 보안은 취약한 상황인 거죠.

◆ 김홍선> 그렇게 볼 수 있겠죠.

◇ 김현정> 그러면 시급하게 4월 총선 치르기 전에 당장 필요한 건 뭐라고 보세요?

◆ 김홍선> 총선이라는 어떤 것에 앞서서 하기보다는 전반적으로 보안에 대해서 인식을 굉장히 확대해야 하고 여기에 대해서 각 개인부터 시작해 조직, 전반적으로 공감대가 형성되어야 하고요. 실제로 잘 지키는 어떤 문화랄까 이런 것이 필요할 것 같습니다.

그리고 당장은... 일단 총선에 관계된 분들이 있으시죠. 그런 조직이나 기관들은 아무래도 거기에 대해서 보안체제를 좀 더 완벽하게 하셔야 될 것 같고요. 디도스 같은 것도 있지만 그 외에 다른 공격도 있기 때문에 그런 부분들에 대해서 많이 고민을 해야 될 것이고요.

또 SNS라든가 스마트폰, 이런 것을 많이 쓰시다 보니까 그런 것에 대해서도 개인적으로 이런 인식을 좀 높이고 대책을 세울 수 있는, 스스로 자기관리부터 할 수 있는 것을 많이 홍보할 필요가 있다고 생각합니다.

◇ 김현정> 그럼 SNS 같은 경우에는 축약된 사이트로 넘어가기 전에 누르기 전에, 어떻게 생각을 해야 되는 건가요? 개인이 어떻게 그걸 구별할 수가 있을까요?

◆ 김홍선> 자기가 상당히 조심해도 또 SNS가 아니더라도, 우리가 웹에서 아무 데나 막 들어가지 않습니까? 저희가 볼 때는 사실 위험한 곳이 상당히 많거든요. 좀 검증되지 않은 그런 곳들은 자제하는 습관이 필요할 것 같습니다.

◇ 김현정> 꼭 SNS를 통해서 홈페이지를 눌러서 들어가는 게 아니더라도, 스마트폰으로 악성코드가 마치 PC처럼 확산될 가능성이 굉장히 높다고요?

◆ 김홍선> 네. 그것이 전세계적 현상인데요. 작년 9월에서 10월 정도부터 스마트폰용 악성코드가 아주 급증했습니다. 사실 그전에도 나오기는 했지만 저희가 볼 때는 이런 형태의 위협이 있을 수 있다, 그리고 치명적이라기보다는 실험적인 게 많았습니다. 지금은 굉장히 급속도로 나오고 있고, 사실 또 스마트폰을 가진 사람이 상당히 많지 않습니까? 거의 PC 숫자보다 더 많기 때문에 더욱더 여기를 공격하는 게 효과적일 것이라고 판단하고 있는 것 같습니다.

◇ 김현정> 그럼 스마트폰 백신 같은 것은 없나요?

◆ 김홍선> 스마트폰도 저희가 보안솔루션이 있어요. 실제로 작년 하반기부터 우리나라에서는 단말기 업체에 들어가는 백신이라든가 이런 보안솔루션도 있고요. 또 각 기업에서도 쓰시는 제품들이 있고 해외나 소매상, 이런 데서도 스마트폰용 보안제품들은 같이 판매하고 있는 양상입니다.

◇ 김현정> 아이폰도 다 마찬가지인가요?

◆ 김홍선> 아이폰에는 악성코드가 현재까지는 없습니다. 아이폰에는 바이러스가 나오기 힘든 구조이기 때문이죠. 문제는 아이폰 같은 경우, 이것을 우리는 탈옥이라고 하는데요. 보통 사람들이 좀 더 무료콘텐츠를 많이 쓰고 다양하게 쓰고 싶어서 기존 아이폰 애플의 정책을 벗어나는 그런 행위들을 하시는데요. 그렇게 될 경우 상당히 취약하죠. 그래서 그런 경우는 사실 합법적인 것이 아니기 때문에 어떻게 보호해야 될 방법이 없는데, 그렇지 않고 정식으로 쓰시는 경우는 현재까지 바이러스가 나오기 힘든 구조입니다.

◇ 김현정> 지정된 마켓에서 제대로 된 어플만 산다면 문제는 없다, 아이폰 같은 경우에는 이런 말씀이세요. 그럼 말씀 듣다 보니까 국내제품이 좀 더 취약하다는 말씀이시네요?

◆ 김홍선> 국내 제품의 문제라기보다는 안드로이드 삼성, 여러 가지 다른 스마트폰에서 쓰는 경우는 개방형 체제이다 보니까 좀 사상이 달라서 그렇습니다. 오히려 그 반대로 다른 장점들이 있으니까요.

◇ 김현정> 알겠습니다. 오늘 여기까지 말씀 듣죠. 고맙습니다. Ahn

댓글을 달아 주세요