유령, 어쩐지 리얼하다 했더니 배후에 안랩 있었다

안랩人side/안랩!안랩인! 2012. 7. 24. 09:57

디도스 공격, 스턱스넷, 악성코드...
연이은 개인정보 유출 사고로 보안이 사회적으로 중요한 이슈로 부각되었지만 일반인에게 IT∙보안 관련 용어는 아직도 난해한 이야기이다.  
글로벌 보안 기업인 안랩(구 안철수연구소)
은 정보보호에 대한 관심과 인식 수준을 높이고자 보안을 주제로 한 콘텐츠 제작에 앞장서고 있다.

사용자 삽입 이미지

안랩은 최근 화제가 되고 있는 SBS 드라마 ‘유령’의 대본 검수를 무료로 맡으며 일반인에게 좀더 쉽고 재미있게 보안 중요성과 해킹의 위험성을 알리는 데 적극 참여하고 있다.

드라마 ‘유령’은 첨단 IT 기술, 소셜네트워크서비스(SNS) 등을 소재로 한 국내 최초의 사이버 범죄 드라마이다. 사이버수사대 팀장과 유명 해커로 등장하는 드라마 속 주인공은 디지털 증거를 분석하며 살인자를 추적한다.

수사대는 노트북의 하드디스크를 복사한 후 증거분석(포렌식) 장비에 연결해 피해자가 죽기 직전 어떤 파일을 열어보고 인터넷으로 어떤 단어를 검색했는지 기록(로그)을 샅샅이 살펴본다. 또한 범인들은 ‘스턱스넷’ 악성코드를 이용해 손가락 하나로 도시 전체를 한순간에 마비시키기도 한다.

사용자 삽입 이미지

일반인에게는 온통 낯선 풍경과 용어들이다. 이에 안랩은 매회 대본 검수 작업에 참여해 일반인이 드라마를 통해 보안의 중요성에 대한 관심을 갖고 어려운 보안 용어를 쉽게 이해할 수 있도록 적극 협력하고 있다.

극적 긴장감이나 재미를 위해 조금 과장된 표현도 있지만 드라마 유령에 등장하는 대부분의 내용들이 현실에서 가능하다. 비슷한 주제로 제작된 기존 영화들이 대부분 현실과 조금 동떨어진 경우가 많았기 때문에 안랩은 유령의 대본 검수 작업을 진행하며 최대한 극에 등장하는 보안 용어나 악성코드의 기능을 사실감 있게 표현하는 데 도움을 주었다.

사용자 삽입 이미지

5회에서는 디도스 공격을 다루며 개인의 부주의가 큰 피해를 불어올 수 있음을 실감나게 보여주었다. 또한 14회에서는 백신 소프트웨어를 가장한 해킹 프로그램의 실체를 드러내 정품 백신 소프트웨어 사용의 중요성과 가짜 백신에 대한 경각심을 불러 일으키기도 했다.

사용자 삽입 이미지

안랩 전문가들이 뽑은 최고의 장면은 12회에서 천재 해커 박기영(소지섭)이 재현한 자동차 제어 시스템 해킹 장면이다. 대본을 검수하며 현실감 있게 표현하기 위해 가장 고민을 많이 한 장면이다. 일반인은 다소 의아할 수도 있겠지만 오늘날 자동차는 단순한 기계가 아닌 각종 첨단기기가 접목되어 있는 소형 컴퓨터와 같다. 아직까지 유사 범죄가 발생하지는 않았지만 머지 않은 미래에 충분히 일어날 수 있는 시나리오이다. 안랩에서도 이와 같은 악성코드에 대응하기 위한 연구를 진행 중이다.

드라마 유령의 대본 검수를 맡은 안랩 이호웅 시큐리티대응 센터장은 “정보보안의 의미가 나날이 중요해지고 있지만 여전히 보안은 어려운 주제 같다. 유령과 같이 보안에 관해 이해하기 쉽고 흥미로운 주제의 더 많은 콘텐츠가 제작되길 바란다. 안랩은 이번 드라마 참여가 정보보호에 대한 관심과 사이버 범죄에 대한 인식 수준을 한층 높이는 데 기여할 것으로 기대한다. 이러한 노력이 향후 우리나라에서 많은 정보보호 전문가를 배출하는 데 기반이 되기를 바란다.”고 밝혔다. Ahn

댓글을 달아 주세요

  1. 오옹이 2012.08.13 09:12  Address |  Modify / Delete |  Reply

    안랩만 기술지원 한거 아니잖아요 ㅋㅋ

드라마 '유령' 속 사이버 테러 어디까지 사실일까

안랩人side/포토안랩 2012. 6. 18. 06:00

최근 인기리에 방송 중인 소지섭, 이연희 주연의 드라마 유령의 한 장면. 촉망 받던 여배우 신효정이 어느 날 갑자기 죽었다. 트위터에 자살을 암시하는 글을 남겼지만 명확한 증거를 찾아야 하는 상황. 디지털 증거 분석력이 뛰어난 유강미(경찰청 사이버범죄수사대 경위)는 신효정 노트북의 하드디스크를 복사한 후 증거분석(포렌식) 장비에 연결해 신효정이 죽기 직전 어떤 파일을 열어보고 인터넷으로 어떤 단어를 검색했는지 기록(로그)을 샅샅이 살펴본다.

 

그 결과 트위터에 글을 남긴 그 시각에 이메일을 쓰고 있었다는 사실을 발견한다. 그렇다면 노트북이 아닌 다른 기기로 트위터에 글을 올렸다는 것인데, 신효정의 스마트폰은 고장난 상태였고 사건 현장에서 다른 태블릿PC나 스마트폰은 발견되지 않았다. 유강미는 제 3자가 트위터에 유언을 남긴 것이고 신효정의 죽음을 자살이 아닌 타살이라고 추정하기 시작하는데...     

 

 

드라마 리얼리티 살리는 데 안랩이 한 몫

충격적인 사건의 실마리를 풀어가는 스토리로 보는 이를 사로잡는 이 드라마는 국내 최초의 사이버 범죄 드라마라는 점에서 의미가 있다. 사이버 범죄 수사관이 주인공이고, 컴퓨터를 이용한 지능적인 범죄가 벌어지고 디지털 증거를 분석해가는 과정이 그려진다. 의학 드라마가 그러하듯 전문적인 분야를 다루는 만큼 철저한 고증이 필수적이다. 이를 위해 안랩(구 안철수연구소) 시큐리티대응센터를 비롯해 많은 기관이 기술 자문을 하고 있다. 그만큼 제작진이 많은 노력을 기울이고 있다.

드라마의 극적인 전개를 위해 세부적인 부분에서 현실과 다른 부분이 있을 수밖에 없다. 하지만 대부분의 내용이 과학적이고 기술적인 사실에 기반해 스토리가 전개된다. 6회까지 방송된 내용 중 어느 것이 현실적으로 가능한지 짚어보자.

디도스 공격, 스턱스넷 모두 현실

우선 디도스 공격을 이용해 사이버 테러를 벌이는 상황. 디도스 공격은 많은 사람이 익히 아는 사이버 테러 방식이다. 수백 혹은 수천 대의 컴퓨터를 좀비 PC로 만들어 공격 대상 사이트에 순간적으로 감당하지 못 할 패킷을 동시에 범람시켜 시스템을 마비시키는 공격이다. 우리나라에서도 2009년 7월 7일과 2011년 3월 4일에는 실제로 디도스 공격이 발생해 청와대를 비롯하여 주요 언론사, 정당 및 포털 사이트가 시스템 장애를 일으킨 사례가 있다.

다음으로 스턱스넷 악성코드. 디도스 공격을 하던 무리의 아지트를 찾아가 조사를 하던 김우현은 사이버 공격범들이 '스턱스넷' 악성코드를 이용해 사회 기간망을 공격하려는 사실을 알게 된다. 김우현은 대한전력의 보안팀 직원의 집에 도둑이 들었다는 사실을 통해 보안팀 직원의 USB에 '스턱스넷' 악성코드가 감염되어 있을 것이라는 사실을 추측해 낸다. 하지만 그때는 이미 악성코드에 감염된 USB가 대한전력 중앙 통제실 컴퓨터에 꽂힌 후였다. 그 후 도시의 전력망은 공격을 당하고 '블랙 아웃' 사태가 벌어진다.

다행히 현실 세계에서는 드라마의 상황과 같이 국가의 기간망이 동시에 장악되는 상황까지 벌이지기는 힘들다. 현실 세계에서 국가 중요 기간망은 독립적으로 운영되고 있다. 웬만한 중요 시설은 모두 일반 네트워크와 분리돼 있어 외부에서 침투하기가 쉽지 않다. 그리고 드라마에서 대한전력의 보안 직원이 집에서 가져온 USB를 중앙 통제실 컴퓨터에 꽂는 장면이 나오는데 그것은 현실에서 불가능하다. 실제 국가 기간망 통제실에는 외부에서 반입한 USB를 갖고 나가거나 출입하는 것은 엄격하게 금지된다. 


그러나 '스턱스넷' 악성코드는 현실 세계에서도 존재하는 아주 정교한 악성코드이다. 실제로 2010년 준공식을 앞둔 이란 부셰르의 핵발전소에 '스턱스넷' 악성코드가 침투한 것으로 알려져 있다. 

 

안랩 사옥에서 촬영하던 날  

 

김우현의 모습으로 살아가는 박기영이 어떻게 진실을 밝혀나갈지 갈수록 흥미진진해지는 '유령'의 다음 회를 기대하며 안랩 사옥에서 진행된 촬영 모습을 공개한다.

 

6월 2일 토요일 오후


보안관제 룸에서 진행된 촬영. 원활한 촬영을 위해 안랩인도 토요일 오후에 출근을 해 도움을 주는 모습이다.

디도스 공격용 악성코드가 급격히 증가하는 것을 눈으로 보여주려면 어떤 화면이 적당할지 시큐리티대응센터 이호웅 센터장(가운데)이 연출자(오른쪽)와 상의 중이다.


촬영을 위한 세트장이 아닌 실제 안랩 SOC룸의 대형 관제 모니터의 모습이다.

촬영 시간은 오후여서 해가 떠 있을 때였는데, 밤 장면이라 창문에 빛이 안 들어오도록 다 막아 놓은 상태에서 촬영했다.


단역 배우들이 극 중 '백신연구소' 연구원 역할을 하고 있다. 세강증권을 디도스 공격했던 악성코드의 변종이 퍼지고 있음을 발견하고 대화하는 장면. 직접 우리 안랩인이 촬영을 했더라면 더 자연스럽고 멋있지 않았을까.^^

모니터 화면을 촬영하는 모습. 겉보기에도 굉장히 비싸 보이는 카메라다.
 

6월 14일 목요일 오후


이번 촬영 때는 드디어 연예인만 탄다는 대형 밴이 카메라 앵글에 들어왔다. 


스태프들이 타고 온 걸로 보이는 '드라마 유령 촬용차량'이라는 푯말을 붙인 버스도 안랩 사옥 옆에 주차가 되어 있었다.


SBS에서 온 봉고 차도 안랩 사옥 앞에 있었다.


사옥 앞에 쭉 늘어서 사람들이 보였다. 드라마 촬영을 위한 단역 배우들이었다. 아무리 눈에 힘을 주고 찾아봐도 아는 얼굴은 없다.

 

드디어 촬영 시작. 야외 촬영이라 더운 날씨에 고생스러워 보인다.

같은 장면을 찍고 또 찍고, 또 찍고, 좀 쉬었다 또 찍고. 차에서 내려서 인사받는 장면이었는데, 촬영은 몇 시간 동안 이어졌다.


드디어 저 멀리서 아는 얼굴이 보이기 시작했다.


그 검정색 밴을 타고 온 연예인은 배우 엄기준이었다! Ahn


사내기자 류석 / 안랩 커뮤니케이션팀

사내기자 황미경 / 안랩 커뮤니케이션팀 부장

댓글을 달아 주세요

  1. 라이너스 2012.06.18 08:11  Address |  Modify / Delete |  Reply

    잘보고갑니다. 행복한 하루되세요^^

  2. 지나가는이 2012.06.18 12:29  Address |  Modify / Delete |  Reply

    아 이게 안랩에서 촬영한 거였군요.

    유령 재미있게 보고 있고요.

    앞으로도 사이버 보안을 위해서 불철주야 힘 써주시길 바랍니다!

  3. 감사합니다 2012.06.18 13:57  Address |  Modify / Delete |  Reply

    잘봤습니다. 이 장면 드라마로 봤어요. 여기가 안랩이군요.
    우와 알고보니까 더 멋진것 같아요.
    저기....혹시....소지섭씨는 못보셨...죠?
    사이버세상이란건 저랑 별 관계없는 별세곈줄 알았는데
    이번에 드라마보면서 느끼는게 많습니다.
    안랩같은 곳이 얼마나 중요한 곳인지 새삼 실감합니다.

  4. 오경선 2012.06.20 08:31  Address |  Modify / Delete |  Reply

    ㅋㅋㅋ 볼 때마다 그냥 안랩에 애착이 가고 막.. 인턴시절 생각나고 해요 요즘. ㅎㅎㅎ
    AhnLab 벽에 붙은거 화면에서 쓰윽 지나갈 때 nLab 만 나왔던가 했는데
    뭐. 그런다고 못알아보나요. CI 특유의 폰트가 있는데. ㅋㅋ 유후- 오늘은 유령보는 날.

  5. 김재기 2012.06.27 09:16  Address |  Modify / Delete |  Reply

    기사 잘 보고 갑니다 ^^ 오늘도 유령하는 날이네요 ㅎㅎ 좋은 하루보내세요

아테나, 이란 원전 공격용 악성코드를 막으려면

안랩人side/안랩팀워크 2011. 2. 10. 08:48

최근 드라마 '아테나'에 이란 원자력발전소를 공격하기 위해 '스턱스넷(Stuxnet)' 악성코드를 이용한다는 설정이 등장해 화제가 됐다. 그런데 이는 단순히 드라마 속 이야기가 아니다. 실제로 작년에 이란 원전 시설에서 원심분리기의 오작동이 발생한 바 있기 때문이다. 이는 외부와 단절된 폐쇄망 안에 있는 시설조차 이제는 더 이상 안전하지 않다는 것을 경고한 사건이었다. 또한, 의도적으로 이란 원전을 노렸다는 의혹이 제기돼 스턱스넷의 출현은 사실상 ‘사이버 전쟁의 서막’으로 인식되었다. 그래서 안철수연구소는 스턱스넷의 등장을 2010년 10대 보안 위협 중 1위로 꼽은 바 있다.

안철수연구소는 이 사건이 발생하기 직전인 작년 9월 산업용 보안 전용 솔루션인 ‘안랩 트러스라인(AhnLab TrusLine)’을 출시했다. 이동식 매체와 인터넷 등으로 유포되는 악성코드가 증가하는 가운데, 악성코드에 비교적 취약한 산업 현장 및 POS(Point of Sale) 시스템의 보안체계에 관심이 증가한 데 따른 것이었다. 트러스라인 개발의 주역들을 만나 다양한 이야기를 나누어 보았다.


- 특별히 생산 라인이나 POS 전용 보안 솔루션을 만든 계기가 있나요?

산업용이나 POS 시스템은 주로 특정 애플리케이션을 사용합니다. 예를 들어 생산 현장에서 사용되는 시스템에는 제조에 적합한 애플리케이션을 이용하는데, 그러다 보니 주로 저사양 시스템을 구축하는 경우가 많습니다. 여기에 일반 보안 솔루션을 적용하면 시스템의 리소스를 많이 차지하고, 구동 과정에서 과부하가 발생할 수 있습니다. 그 때문에 산업용이나 POS 시스템에서는 보안 솔루션을 잘 이용하지 않는 경우가 많았지요. 그런데 스턱스넷처럼 이동식 매체나 인터넷으로 확산되는 악성코드가 점차 늘자, 특수한 환경에 적합한 보안 솔루션에 대한 요구가 생겼습니다. 동시에 저희도 산업용, POS용 보안 체계가 필요하다는 인식을 갖게 되었죠.

저사양이란 점에 초점이지만, 기존 고객이 백신을 이용할 때 시스템에 미치는 영향, 그리고 업데이트나 패치에 어려움을 겪거나 잘 안 되는 경우가 많아서 보안 솔루션이 무용지물이 되는 것도 주된 고민거리였는데요. 그래서 가장 중요한 개념으로 그러한 업데이트나 패치 등이 에이전트(Agent; 생산 또는 POS 현장에 존재하는 각 설비의 시스템) 측에서 직접 이루어지는 것이 아니라, 해당 생산 업체나 POS에 위치한 서버에서 클라우드(Cloud) 방식으로 진행되는 것을 고안했습니다. 그러다 보니 에이전트 시스템의 리소스도 많이 차지하지 않고 엔진 업데이트에 대한 부담도 적어지면서, 저사양에서도 구동되기에 적합하도록 된 것이죠.

 


- 많은 인원이 집중되어있고 각각의 역할이 기획, PM, 개발, QA로 나뉘어 있으니, 서로 요구사항이 달라서 불가피하게 의사소통에 차질이나 갈등도 있었을 것 같은데요. 그러한 점을 잘 극복하고 좋은 팀웍을 유지한 비결이 있나요?

서로 다른 일(기획, PM, 개발, QA)을 해온 이들이 모였기 때문에 각자 생각이 달라 초기에는 조율에 어려움이 있었죠. 또 프로젝트 룸에서 오래 생활하니 사회 생할에 대한 그리움(?)과 같은 고충도 있었죠. 그런데 개발 중후반에 접어들면서 최초의 브랜드라는 데 자부심이 생기고, 제품에 생명을 불어넣는 과정을 거치면서 서로 개인의 특성보다는 좀더 팀웍을 중시하는 분위기로 자연스럽게 흘러간 것 같습니다. 제대로 안 하면 혼나야죠, 뭐. ^^

- ‘화이트 리스트(White List)’ 기능이 많이 부각되는 것 같은데, 구체적으로 어떤 기능인가요?

우리가 출입국심사대에서 보면, 블랙 리스트가 존재하잖아요. 블랙 리스트에 있는 사람은 입국이 불가하지만, 블랙 리스트에 없는 위험한 사람은 입국이 가능하다는 의미도 됩니다. 이것이 보안 영역으로 넘어면, 블랙 리스트보다 사람 몇 명을 선정하여 그 사람들만 입국이 가능하도록 하게 한 것이 화이트 리스트이지요. 그렇기 때문에, 악성코드다 아니다를 구분하는 것도 좋지만, 조금의 악성코드도 산업 현장에 큰 위협이 되므로, 실행되어야 하는 응용 프로그램만 실행되게 한 것이 화이트 리스트를 사용하는 트러스라인의 특징입니다.

사실 화
이트 리스트는 우리 제품에만 있는 특별한 기능은 아니에요. 그 리스트를 어떻게 작성하는가가 핵심 기술이라 할 수 있습니다. 우리 화이트 리스트 기술이 의미가 있는 이유도 독립된 서버로 리스트를 만들어서 활용한다는 점 때문이에요. 기존에는 에이전트 각각에 설치된 백신을 업데이트하는 방식이었는데, 우리는 에이전트 시스템이 연결된 서버 한 곳만 업데이트하면 되고, 또 사용자가 새로운 프로그램을 실행할 때 서버에서 실시간으로 결과를 전송해줄 수 있다는 점이 차별점입니다.

또 하나 특이한 것이 잠금(Lock) 기능입니다. 화이트 리스트 기반으로 산업 시설에 안정적으로 운용되고 있으면, 다른 실행 프로그램이나 플러그인이 실행되지 않도록 하는 기능이지요. 산업 라인을 따로 신경 쓸 것 없이 안정적일 때 잠금이 설정되기 때문에 그만큼 안정적입니다. 서버를 통해 에이전트에 대한 검사가 모두 완료되어 안정된 상황이 되었을 때, 해당 시스템에 더 이상의 프로그램 접근을 차단하는 것을 의미합니다.


- 독립된 서버의 개념을 좀더 쉽게 설명해줄 수 있나요?

각각의 에이전트와 그것을 관리하는 단일 서버로 구성된 제품이라고 설명했는데요. 서버에서는 바이러스 총괄 센터에서 받아야 하는 업데이트 등을 수행하면서, 에이전트에서 새롭게 발생된 실행 파일이나 프로그램에 대한 검사를 하고 그 결과를 전달하는 역할입니다.

- QA는 품질관리/보증을 담당한다고 알고 있는데, 구체적으로 어떤 업무를 하는지요?

안랩의 QA는 제품의 퀄리티(Quality)도 중요하지만, 만들어지는 프로세스(Process)도 매우 중요시한니다. 예를 들어 좋은 개발자 한 사람이 있으면 제품은 나올 수 있죠. 하지만 만약 그 개발자가 없어지면 제품은 더 이상 생산되기 어렵습니다. 저희는 그러한 위험을 방지하기 위해 제품 개발의 절차를 만들어 놓습니다. 그래서 그러한 절차들이 제대로 이행되는지 회의를 통해 협의하는 과정을 주로 거치게 되죠.

- 그럼 제품 개발 단계에서 절차 상의 기준점을 점검하는 일을 한다고 볼 수 있겠군요?

네, 맞습니다. 그래서 어떻게 보면 팀원들과 아군이 될 수도, 적군이 될 수도 있는 애매모호한 관계죠.

- 이번 QA를 진행하면서 가장 중요하게 생각했던 점은 무엇인가요?

첫째는 품질이죠. 그게 품질보증팀이 존재하는 이유이기도 하고요. 다음은 그러한 제품이 나오는 과정에서 각각의 절차가 잘 지켜지는지, 또 절차상에 문제는 없는지를 살펴보는 것이었습니다. 일정이 정해져 있다보니 그 기간 내에 효율적으로 테스트가 이루어질 수 있도록 하는 것도 중요한 고려 요소였죠.


또한 개발을 맡은 라완규 책임과 QA 이우범 선임은 이제 막 출시된 트러스라인이 많이 보급되도록 안정성의 확보가 중요한 포인트라고 말하였다. 현장의 시스템에서 직접 구동됨에 따라 개발 단계에서는 예상하지 못했던 변수와 참고자료(Reference) 등이 서버를 통해 전달되고, 그에 대해 대응책을 마련하게 되면서 트러스라인의 안정성이 더욱 향상될 것이라는 점이다.

트러스라인이 갖고 있는 최대 강점에 대해서 한태수 PM은 크게 4가지를 말했다. ‘안랩이라는 브랜드의 신뢰도, 엔진에 대한 높은 대응력, 저사양 환경에서도 뛰어난 구동성, 그리고 해당 시스템에 지장을 주지 않고 운용될 수 있는 가용성’이 그것이다. 특히 가용성은 본래 시스템 업무에 지장을 주지 않은 채 제 역할을 충분히 해낸다는 점에서, 백신이나 보안 솔루션으로 인한 고객들의 불만도 최소화될 것이라고 전했다.

한편 기획을 맡은 김병규 차장은 화이트 리스트 기반의 보안 솔루션이라는 점에 가장 주목한다고 말했다. 일반적으로 화이트 리스트와 블랙 리스트의 개념이 존재하는데, 김 차장은 이를 공항 입국심사에 비유하여 설명하였다. 위험요소만의 진입을 막는 블랙 리스트 방식은 위험요소를 이외에 진입된 다른 요소에서 잠재적 보안구멍이 발생할 수 있다는 약점이 있는데, 이에 반해 화이트 리스트 방식은 허가 받은 요소만을 진입하도록 하기 때문에 추가적인 위험 발생을 막을 수 있다고.

특별히 신입사원도 이번 인터뷰에 함께 했다. 공채 7기 김용규 사원은 안철수연구소와 트러스라인 팀에서 일하면서 개발체계가 잘 잡혀있다는 인상을 받았다고 한다. 그러한 개발 프로세스의 확립을 통해, 처음에는 잘 모르는 사원도 일정한 절차를 숙지하는 과정에서 많은 것을 배울 수 있다고 말했다. 먼저 개발에 참여한 선배들의 조언과 피드백을 얻을 수 있는 멘토 제도와, 사원 개개인의 작은 아이디어에 대한 회사 차원의 지원으로 개인의 역량을 높일 수 있는 iQ제도(소문자 i는 사원들의 작은 아이디어라도 관심 있게 장려하고자 하는 의미가 담겨있다) 역시 안철수연구소에서 만나볼 수 있는 장점이라고 설명했다.

트러스라인은 올해 공장과 산업 생산라인 시장에 주력하여 제품의 기반과 안정성을 확보함과 동시에, 내년에는 금융, ATM, POS, 은행권 등으로도 진출하겠다는 향후 계획을 밝혔다. 이제 막 첫 걸음을 떼었지만, 화이트리스트 기술 적용과 서버중심의 보안 네트워크 등 치밀한 준비작업과 팀원들의 노력을 바탕으로 더 큰 도약을 준비하고 있는 안랩 트러스라인. 다양한 산업현장에서 또 하나의 보안 수호신으로 활약할 트러스라인을 기대해 본다. Ahn

사내기자 오주현 / 안철수연구소 웹플랫폼팀 주임연구원
사진. 사내기자 황미경
/ 안철수연구소 커뮤니케이션팀 차장


대학생기자 한병욱 / 명지대 디지털미디어학과

'1%의 가능성만이 존재하더라도 도전할 수 있는 것이 20대의 특권이다.' 한 소설책에서 본 구절이 문득 떠오릅니다. 열정적이고 순수함으로 가득한 20대의 소중한 시간을, 영혼이 있는 기업 안철수연구소와 함께 할 수 있어 더욱 행복합니다.


 

댓글을 달아 주세요

  1. 김재기 2011.02.10 09:20  Address |  Modify / Delete |  Reply

    화이트리스트라는 개념에 대해 처음 알게 되었네요 ^_^ 좋은 정보 감사합니다

  2. 꼬마낙타 2011.02.10 20:39  Address |  Modify / Delete |  Reply

    잘 보고 갑니다. ^^

  3. 이철호 2012.09.27 17:05  Address |  Modify / Delete |  Reply

    요즘 잘나가시는듯

악성코드와 백신, 도전과 응전의 네버엔딩 스토리

현장속으로/세미나 2010. 12. 9. 06:32

'신들의 섬'이라 불리는 인도네시아 발리 섬에서 11월 17일부터 19일까지 13번째 'AVAR 국제 컨퍼런스'가 개최되었다. 휴양지인 발리 섬에서 열린 건 이번이 처음이다.

AVAR(Association of anti Virus Asia Researchers)는 컴퓨터 바이러스의 확산과 피해를 막고 아시아 지역 안티바이러스 연구자의 협력 관계를 발전시키기 위해 설립된 단체이다. 아시아 태평양 지역을 활동 거점으로 회원국들이 구성되는데 세계적인 보안 기업들이 아시아 지역에 연구소를 설립함으로써 전세계 대부분의 보안 전문가가 참여하는 컨퍼런스로 확대되었다.

지난 9월 캐나다 벤쿠버에서 개최된 VB(Virus Bulletin) 국제 컨퍼런스에서는 스턱스넷(Stuxnet)이 가장 큰 이슈였다. http://blogsabo.ahnlab.com/562 
하지만 AVAR에서는 RFID(Radio Frequency Identification), 포렌식(Forensics), 펄스 포지티브(False Positive), 모바일 악성코드 등 다양한 주제로 발표가 진행되었다.
 

첫째 날에는 AVPD(Anti-Virus Product Developers) 미팅을 하고, 둘째 날부터 본격적인 컨퍼런스가 열렸다. 키노트 연설자로 나선, 금년 보안 분야 우수 교육자상을 받은 에프시큐어(F-Secure)의 Mikko Hyppönen이 'State of net'이라는 주제로 문을 열었다.

Mikko는 브레인(Brain) 바이러스부터 스턱스넷까지의 악성코드 변천사를 키워드를 뽑아가며 소개했고, 최근에는 유료 전화에 전화를 걸어 금전적 이득을 취하는 모바일 악성코드가 게임에 포함된 채로 유포되고 있다고 언급했다. 이는 올해 4월에 발견된 트레드다이얼을 말한다. http://blog.ahnlab.com/ahnlab/836

이어서 트렌드마이크로(Trend Micro)사에서는 RFID의 취약점을 이용한 정보 유출을 보여주고, 클라우드 개념과 상호 인증을 통한 보안을 제안했다. 우리 안철수연구소는 파일 없는 오진 테스트 방법을 제안했다.

정상 프로그램 아이콘 도용하는 악성코드 등장

 
인상적인 발표 중 하나는 비트디펜더(BitDefender)사 연구원이 발표한 'The Rise of Icon Attacks'였다. 아이콘 공격(
Icon Attacks)이란 정상 프로그램과 비슷한 아이콘을 사용해 사용자로 하여금 의심없이 실행하도록 하는, 사회공학 기법이 적용된 공격이다. 최근 이런 악성코드가 점차 증가하는 추세이다.

발표자는 "악성코드 제작자들은 정상적인 아이콘에 색깔, 노이즈, 위치를 주로 변경하는데, 이러한 악성코드들을 효과적으로 분류하기 위해 색깔, 노이즈를 줄이고 위치를 특정한 곳으로 이동하여 특정 값으로 분류하는 연구가 효과적이었다."라고 말했다.

MS사 연구원이 발표한 'An Insight Into Managed Downloaders' 또한 인상에 남았다. 발표자는 지속적으로 이슈가 되고 있는 봇넷(Botnet)이, 제작 툴을 사용하여 대량으로 제조되는 최근 상황을 설명했다. 또한 악성코드 제작 툴을 소개하고, 구매 비용과 봇넷 서버의 기능을 보여주었다. 2010년 2월부터 10월까지 브레도랩(Bredolab) 악성코드의 서버는 약 173만 개, 오피클라(Oficla) 악성코드의 서버는 약 75만 개에 달한다는 조사 결과도 발표했다. 

보안 회사마다 다양한 조사와 실험을 한다는 것과, 봇넷 서버가 생각보다 엄청나게 많다는 사실이 놀라웠다. 전세계적으로 감염된 클라이언트(PC) 수는 상상 그 이상일 것이며, 만약 이 숫자가 스턱스넷과 같은 전자 제어 장비를 공격하는 봇넷이었다면 전세계가 순식간에 마비되지 않을까 싶었다.

백신, 악성코드 뒤쫓기보다 자체 발전할 때 


마지막 날도 다양한 주제 발표가 진행되었다.
화웨이 시만텍(Huawei Symantec)사의 연구원은 중국의 사이버 범죄 현황을 소개했다. 중국은 프로그래머의 소득 수준은 매우 낮은 반면 악성코드 제작자의 소득은 비교할 수 없을 만큼 높기 때문에 사이버 범죄의 유혹에 쉽게 빠진다고 한다. 이어서 사이버 범죄를 막기 위해 중국 공안부가 나서 보안 표준과 법안을 만드는 기관을 설립해 운영 중이라고 밝히고, 정부와 산업계가 더욱 긴밀히 공조해야 한다고 강조했다.

포티넷(Fortinet)사의 연구원은 'An Automated Malware Processing Lab'이라는 제목으로 악성코드 행위 기반 데이터의 자동화 처리 시스템을 발표했다. 이는 우리 안철수연구소의 분석 자동화 시스템과 유사하지만, 우리 것보다 기술이 부족하고 자동화한 악성코드 판별 시스템이 없다는 한계가 있다.

퀵힐(Quick Heal)사의 연구원은 바이러스에 의한 파일 감염을 행동 기반으로 탐지해 차단하는 방법을 제시했으며, 트렌드마이크로에서는 바이러스 감염 파일을 일괄 복구하는 방법을 소개하고 동영상 시연까지 했다. 이는 전세계 보안전문가가, 안티바이러스 소프트웨어가 더 이상 악성코드를 뒤따라가는 것이 아니라 점차 지능적으로 발전해야 한다는 것에 공감하고 있음을 보여주는 대목이었다.

세션 마지막으로 최근 지속적으로 늘어가는 허위 백신에 대해 5명 - Righard Zwlenenberg (Norman), Andrew Lee (K7), Lysa Meyers (West Coast Lab), David Harley (ESET), Tony Lee (Microsoft) - 이 참여한 패널 토의가 이뤄졌다. 이 토의는 트위터로 실시간 전달되어 이색적이었다.

토의의 주요 이슈는 '합법적인 프로그램과 그렇지 않은 허위 응용 프로그램의 정의를 어떻게 내릴 것인가'였다. 광고만 출력하는 프로그램이 악성코드로 변질될 가능성이 다분하다는 게 공통된 인식이었다. 또한 이러한 프로그램들이 범죄를 위해 점차 젊은 세대인 '디지털 네이티브(digital natives)에게 접근하는 것도 심각한 문제라고 언급되었다.

이번 컨퍼런스는 정기적인 정보 교환으로 테러의 위협에 더 신속히 대응하고, 안전한 인터넷 세상을 만들어야겠다고 새삼 다짐하는 계기가 되었다. 법망을 교묘히 벗어나 대량 유포되는 허위 프로그램을 비롯해 모든 악성코드를 효과적으로 진단하고 방어하려면 이런 컨퍼런스가 활성화해야 할 것이다. Ahn

이승희 / 안철수연구소 시큐리티대응센터 선임연구원

댓글을 달아 주세요

  1. 제너시스템즈 2010.12.10 10:05  Address |  Modify / Delete |  Reply

    아이콘과 비슷한 모양으로 만들어진 악성코드가 있다니;;; 저처럼 별 생각없이 컴퓨터를 쓰는 사람은 하루에 10번이라도 악성코드에 감염되겠어요;ㅅ; 항상 조심 또 조심해야겠습니다!

  2. 철이 2010.12.20 11:58  Address |  Modify / Delete |  Reply

    시스템적으로 안랩이 완성도가 가장높다면
    다음으로는 여러 성능 테스트상 지표에서 높은점수..그리고 실생활에서 높은 진단율을 보여주는게 우선이고 글로벌화 하려면 현재 v3 클리닉은 약간 판단미스라고 생각합니다.
    인터넷 시큐리티를 개인용을 없애는건 약간 아닌듯합니다.
    차라리 기업용은 v3 business edition 개인용은 인터넷 시큐리티 등으로 가는게 경쟁력이 있지 않을까 생각합니다.

    • 보안세상 2010.12.20 16:33 신고  Address |  Modify / Delete

      철이님 안녕하세요. 진단율와 V3 365 클리닉에 대한 의견에 감사드립니다. 주신 의견은 내부 검토 시 참고 하도록 하겠습니다. 더 안전한 보안환경을 위해 늘 노력하는 안철수연구소가 되겠습니다. 좋은 하루 되세요 ^^

    • 음냐리 2011.02.17 10:48  Address |  Modify / Delete

      글쓰신 분은 제품에 대한 것이 아니고 행위 기반 분석을 해주는 자동화시스템에 대한 얘기를 한 것입니다. ^^;;

페이스북 보안담당자가 밝힌 회원 정보보호 정책

현장속으로/세미나 2010. 11. 3. 05:00

올해로 20회를 맞이한 VB(Virus Bulletin) 국제 컨퍼런스가 9월 29일부터 10월 1일까지 캐나다 벤쿠버에서 열렸다. VB 컨퍼런스는 전세계 보안 업체뿐 아니라 다양한 분야의 보안전문가들이 모여 기술적인 측면과 사회적인 측면의 논문들을 발표하고 토론을 하는 자리이다. 이번 컨퍼런스는 20주년을 맞이하여 행사 둘째 날 보안 분야에 공을 많이 세운 몇 사람에게 상을 주는 시상식도 열렸다. 특히 올해 컨퍼런스에서는 현재 사회적으로 큰 이슈인 스턱스넷(Stuxnet)의 분석 논문이 큰 화두가 되었다.

첫째 날 : 페이스북의 인상적인 보안 정책
이번 컨퍼런스의 첫 포문은 SNS(Social Network Service)의 선두주자인 페이스북(facebook)의 보안 담당자가 열었다. 그는 페이스북의 보안 기술과 정책을 이야기했다. 재미있었던 부분은 다른 사용자가 자신의 ID로 페이스북에서 활동하지 못하도록 친구 5명의 얼굴을 모두 맞춰야 인증을 통과하는 절차가 존재한다는 것이다. 또한 자신이 페이스북을 처음 등록한 나라와 접속하는 나라가 다를 시에는 똑같이 인증 절차를 통과해야 페이스북에서의 활동이 가능하다고 한다.


리셉션 시간은 국제 컨퍼런스에 처음 참석하는 나로서는 조금은 낯선 분위기였으나, 참석자 간 인적 네트워킹이 참 중요하다는 것을 깨달았다. 그냥 혼자서 돌아다니거나 단순히 같은 나라 사람들과 어울리는 사람은 별로 없었다. 오히려 여기저기 사람들과 어울려 돌아다니면서 인사도 하고 간단한 질문들을 하면서 나중에는 서로 친해져 다양한 정보를 얻었다. 국제 컨퍼런스가 단순히 발표의 목적이 아닌 인적 인프라를 늘릴 수 있는 좋은 계기가 된다는 것을 실감했다.
 
둘째 날 : 스턱스넷에 열광하다

둘째 날 셋째 세션은 금년 보안 분야 우수 교육자상을 받은 에프시큐어(F-Secure)의 Mikko Hyppönen이 발표를 했다. Mikko는 스마트폰에 어떻게 악성코드를 삽입하여 사용자가 모르게 가상 전화번호로 전화를 걸어 돈을 가로채는지를 설명했다.

이날의 최고 하이라이트는 단연 스턱스넷이었다. 시만텍, 카스퍼스키, 그리고 마이크로소프트가 합작으로 분석한 악성코드를 실제 재현했다. 스턱스넷은 현재 널리 쓰이는 산업 장비(Programmable logic controller)를 공격하는 악성코드이다. 특히 전세계적으로 많이 사용되는 독일의 지멘스 장비를 공격한다. 물론 해당 공격이 가능하려면 굉장히 많은 조건이 충족되어야 하지만 현재까지 나온 악성코드 중에서 산업 장비를 공격하는 악성코드는 이번이 처음이었기에 컨퍼런스 참가자의 관심이 정말 대단했다.

시만텍의 Liam O'Murchu는 Stuxnet에 감염된 PC를 통해 PLC 장비가 어떻게 공격되는지를 시뮬레이션하였다. 해당 장비는 하나의 풍선에 딱 3초만 바람을 넣는 것이었는데 스턱스넷이 사용하는 기법으로 해당 장비에 바람을 10초 간 불어넣었더니 풍선이 터져버렸다. 그는 이게 만약 원자력 발전소에서 사용되는 장비에 감염되었다면 상상할 수 없는 재앙이 발생하였을 것이라고 설명했다.
 

Liam의 발표가 끝나고 카스퍼스키의 Alexander Gostev와 마이크로소프트의 Peter Ferrie가 각각 스턱스넷을 분석한 결과를 공유했다. 세 사람의 발표를 연속으로 한 이후 컨퍼런스 참가자의 질문이 쇄도했다. 이렇게 발표가 끝나고 여러 가지 질문이 나오면서 발표자가 아닌 컨퍼런스 참가자들과 패널 토의를 한 것은 이례적인 일이라고 한다. 나도 발표를 들으면서 영화 '다이하드4'가 생각났다. 현재 저런 악성코드가 나올 정도라면 파이어 세일도 불가능은 아니겠구나 하는 생각에 소름이 돋았다. 이런 발표들이 VB 컨퍼런스를 더욱 값어치 있게 만들고 설레게 만드는 요소가 아닌가 생각했다.
마지막 날 : 우리가 하는 일의 의미를 되새기다

마지막 날은 둘째 세션이 인상적이었다. 한 대학 교수가 현재 거의 모든 안티바이러스 업체가 사용하는 시그니처 기법을 조금 더 스마트하게 개선하고 적은 수의 시그니처로 더욱 많은 악성코드를 진단할 수 있는 모델을 선보였다. 이른바 “스마트 시그니처”였다. 발표가 끝나고 참가자 중 한 사람이 발표자에게 “혹시 예전에 Peter Szor가 발표한 다형성의 시그니처 패턴을 아느냐?”고 질문을 던졌다. 발표자가 듣지 못했다고 하니, 조심하라는 말을 남겼다. "보안 업계에 종사하는 사람이 아니면 우리를 스마트하지 못하다고 생각할지도 모른다. 그러나 우리도 그것을 생각 안 해본 것이 아니다.'라는 메시지였다. 

Peter Ferrie가 스턱스넷에 대한 자신의 발표가 끝나고 질문자에게 대답했던 말을 되새겨본다.
“아직까지 누가 어떤 목적으로 이것을 만들었는지는 모른다. 그러나 이런 악성코드를 막기 위해서 우리 안티바이러스 업계는 더 많은 정보를 서로 공유하고, 피해를 최소화하는 것이 우리가 할 일이라고 생각한다.”
악성코드에 맞서 고객의 피해를 최소화하는 것, 그것이 우리가 현재 하고 있는 일이고 앞으로도 계속 해야 하는 일이다. 우리가 이 일을 조금 더 잘하기 위해 보안 업계에서 인맥을 넓혀 더 많은 정보를 빠르게 수집하는 일이 얼마나 중요한가를 이번 컨퍼런스에서 깨닫게 되었다. Ahn

정택준 / 안철수연구소 ASEC 연구원

댓글을 달아 주세요