New V3 Lite 사용기

보안라이프/IT트렌드 2019.02.28 19:52

개인용 무료 버젼 백신인 'V3 Lite'의 새로운 버젼이 출시됐습니다.


안랩 대학생 기자단인 저는 출시 전 미리 써봤다는 사실!!

어떤것들이 바뀌었고 더 좋아졌는지 (대학생인 저의 기준에서!) 소개시켜드리겠습니다


1. 달라진 UI



기존의 UI는 Black계열의 UI였는데 신규 버전으로 바뀌면서 White 계열로 깔끔하게 바뀐것을 알 수 있습니다. 


이번에 V3 Lite가 깔끔한 UI로 바뀌면서 더욱 많은 사람들이 V3 Lite를 사용하지 않을까 생각이듭니다!


그리고 특이한 점이 왼쪽에 있는 메뉴를 누르면 스마트폰에서 사용하는 어플 같이 메뉴가 나오는 효과가 추가되었습니다.





2. 랜섬웨어  검사



최근에도 우리를 위협하는 랜섬웨어 악성코드를 집중적으로 검사할 수 있는 기능이 생겼습니다. 랜섬웨어로 의심되는 프로그램을 가상 공간에 집어넣어 이 프로그램이 진짜 랜섬웨어 인지 확인하는 기능입니다. (고마워요 V3)



3. 클라우드 기반 검사




클라우드 기반으로 악성코드를 빠르게 검사하는  V3! 클라우드로 악성코드 정보가 빠르게 업데이트가 되고 이 정보를 기반으로 내 컴퓨터를 안전하게 지킬 수 있습니다! 



 편의성과 보안성 갖춘 V3 Lite 당신의 컴퓨터의 보호를 위해 꼭 사용하세요!!




댓글을 달아 주세요

[카드뉴스] 록키 랜섬웨어 변종 피해예방 주의사항

안랩人side/포토안랩 2016.03.25 17:02







댓글을 달아 주세요

[人터뷰] "보안 전문가를 꿈꾸는 당신에게" 안랩 ASEC 대응팀 강민철 연구원이 전하는 메시지

파워인터뷰 2014.06.17 09:51


24시간 로테이션 근무, 안랩의 보안방위대라고 불리는 ASEC 대응팀. ASEC 대응팀의 꺼지지 않는 불처럼 보안에 대한 관심과 열정이 가득한 안랩 ASEC 대응팀의 강민철 연구원을 만나 이야기를 나눠보았다.

꾸준한 관심과 열정이 필요한 직업, 보안 전문가

 현재 강민철 연구원은 ASEC(Anlab Security E-response Center)대응팀에서 근무하고 있다. 다소 생소한 부서 이름에 대학생 기자들이 고개를 갸우뚱 하자 강 연구원은 "ASEC 대응팀이라고 하면 어떤 일을 하는 부서인지 잘 와 닿지 않을 것이에요”라고 하며 “ASEC 대응팀은 최근 인터넷 뱅킹 정보를 탈취한 악성코드와 같이 다양한 악성코드를 트래킹하고 모니터링하며 어떻게 대응할지 모색하는 일을 합니다”라고 설명했다.

 “어렸을 적부터 컴퓨터에 관심이 많았고, 또 좋아했기 때문에 지금 이 일을 하고 있는 것 같아요. 그리고 컴퓨터에 관심 있는 사람의 대다수가 그렇듯 저 역시 컴퓨터로 이것저것 시험해보는 과정에서 바이러스에 노출된 적이 많아요. 그때마다 V3로 치료했는데, 바이러스 치료가 어떤 과정으로 이뤄지는지 항상 궁금했어요. 컴퓨터공학을 전공하면서 그 궁금증을 하나씩 풀어나가다 보니 자연스럽게 보안 전문가로 성장하게 됐어요”

 중학교 시절 강민철 연구원에게 컴퓨터는 엄청난 존재였다고 전한다. 한번은 컴퓨터가 고장 났었는데, 도움을 청할 사람도 없고 원인 해결이 되지 않으니 도통 잠이 오지 않았다고. 혼자 해결해 보기 위해 시작한 공부가 재미었다고 말하는 그에게서 꿈을 이루기 위해 관심과 열정은 필수적임을 알 수 있었다.

 


<강민철 연구원과 대학생 기자 (왼쪽부터 김가현, 이수정)들이 함께 이야기를 나누고 있다.>


예측할 수 없는 보안이슈, 예측 가능한 보안의 중요성

 강민철 연구원은 보안 전문가의 밝은 전망을 내비쳤다. “보안이슈들은 계속해서 생겨납니다. 보안이슈가 생기면 기업 피해는 물론이고 개인피해로 까지 이어집니다. 보안이슈는 한 번 터지면 순간에 마무리 되는 것이 아니에요. 사건 이후에 생기는 나비효과가 있을 수 있죠.” 덧붙여 “보안 전문가의 전망은 밝지만 현재 정보보안인력이 충분하지 않다고 생각해요. 좀 더 많은 사람들이 보안 전문가에 대해 관심을 가졌으면 좋겠어요.”라며 보안 전문가에 대한 관심을 부탁했다.

 불과 몇 년 전까지만 해도 컴퓨터에만 네트워크가 연결되어 있었는데, 스마트폰 보급과 함께 스마트폰에도 네트워크가 연결됐다. ‘사물인터넷’이란 컴퓨터와 스마프폰을 넘어 더 많은 사물에 네트워크가 연결되는 것이라고 설명할 수 있다. “스마트폰에 네트워크가 연결됨과 동시에 ‘악성앱’과 ‘스미싱’이 발생했어요. 이처럼 많은 기기들이 네트워크에 연결됨으로써 예측하지 못한 보안이슈들이 생겨날 수 있죠” 이런 점들을 봤을 때 사물인터넷 보급으로 인해 보안의 중요성은 더욱 커질 것이라고 강 연구원은 설명했다.

 “입사초기 하루에 발견되는 악성앱과 스미싱은 불과 10개 내외였어요. 그러나 입사 3년 후인 지금, 하루에 발견되는 보안이슈가 어마어마합니다. 짧은 시간동안 많은 변화를 체감한 만큼 앞으로 더 많은 변화가 있을 것이라 생각합니다”

 강 연구원은 크게 세 가지 요인으로 인해 보안사업 트렌드가 변화한다고 봤다. “첫째 IT의 발전입니다. 둘째 사회•문화적 분위기의 변화입니다. 많은 사람들이 타 SNS보다 페이스북을 이용하는 것처럼 말이죠. 셋째 보안기술의 발전입니다” 보안기술이 발전함에 따라 악성코드 제작자나 공격자들 역시 함께 발전하기 때문에 더욱 정교하고 교묘한 보안이슈들이 생겨날 것이라 덧붙였다.

보안전문가로 성장하기 위해 "왜?"라는 물음은 필수 

 보안 전문가가 되기 위해 필요한 역량과 준비해야 할 것이 있냐는 물음에 강 연구원은 실제 컴퓨터 관련 전공의 학부생이라면 주어진 커리큘럼에 따라 전공과목을 충실히 공부하는 것이 중요하다고 강조했다. “보안 분야에 관심이 있다면 운영체제 수업이나 네트워크 수업에 집중하세요. 지금 당장 필요한 지식이 아닐지라도 이런 지식들이 차후 훌륭한 보안 전문가로 성장하게 하는 밑거름이 된다는 사실을 잊지말았으면 합니다" 또한 "'왜?'라는 질문을 끊임없이 던져보세요. 그리고 프로그램 작동 원인 등에 대해 항상 생각하면서 수업을 듣고 그 이후에 혼자 이것저것 시험해보는 시간을 가지다 보면 꿈에 대한 명확한 계획이 그려질 거예요”라고 말했다.

보안 분야에 대한 관심, 이제는 실천해야 할 때

 보안 분야를 직, 간접적으로 경험해 볼 수 있는 방법을 질문하자 강 연구원은 “보안을 공부하는 학생이라면 기술적인 부분을 많이 알고 싶을 텐데, 온라인에도 독학을 할 수 있을 정도의 많은 정보가 있어요. 그렇지 않은 일반인들의 경우에는 블로그 등을 통해 정보를 얻는 방법을 추천합니다”라고 답했다. “안랩 ASEC팀이 운영하는 블로그(http://ahnlabasec.tistory.com/)가 있습니다. 전문적인 블로깅도 하지만 보안정보를 가능한 쉽게 알리기 위한 노력도 하고 있죠”라며 보안에 관심이 있는 사람이라면 접하기 쉬운 경로를 통해 꾸준히 해당 정보를 찾아볼 것을 당부했다.

 보안에 대한 꾸준한 관심으로 보안 전문가의 꿈을 이룬 강민철 연구원. 인터뷰 내내 자신의 일을 사랑하고 그 일을 하는 것에 대한 자부심을 느꼈다. 또한 자신의 롤 모델을 정해 현재에 머무르지 않고 계속해서 나아가려는 그의 모습이 인상적이었다. 강 연구원이 안랩을 대표하는, 그리고 우리나라를 대표하는 보안 전문가로서 성장하기를 바라며 인터뷰를 마친다.



<강민철 연구원과의 인터뷰 진행 후 기념촬영 모습>


안랩 대학생 기자단 12기 보안팀

김가현 기자 (원광대학교 경영학부)

이수정 기자 (숙명여자대학교 멀티미디어과학과)




댓글을 달아 주세요

  1. 빽형 2014.06.19 11:25  Address |  Modify / Delete |  Reply

    훈남 연구원이네요 잘 생겼다 ~ 잘 생겼다 ~

  2. 냠냠 2014.06.30 09:32  Address |  Modify / Delete |  Reply

    인터넷 하다가 보게 된 건데
    ...
    동대문프라자에서 7월14~8월3까지 무슨 전시회 하나 봅니다~
    특수SF 좋아하시는 분은 가보세요~
    http://navercast.naver.com/contents.nhn?rid=78&contents_id=59697

  3. 12 2014.09.04 17:09  Address |  Modify / Delete |  Reply

    헐 삼디다스 슬리퍼 ㅋㅋㅋㅋ

네이버-안랩-KISA, IE 취약점 악용 악성코드 전용백신 제공

한국인터넷진흥원(KISA), 포털(네이버), 보안업체(안랩)가 날로 심각해지는 악성코드 확산 방지를 위해 공동대응에 나선다. 


한국인터넷진흥원(KISA), 포털(네이버), 보안업체(안랩) 등은 5, 최근 인터넷 익스플로러(IE, Internet Explorer)의 취약점을 악용해 디도스(DDoS, Distributed Denial of Service,분산 서비스 거부) 유발 및 계정 정보유출 등을 시도하는 악성코드가 확산됨에 따라 이용자 피해 방지를 위해 공동 대응을 추진한다고 발표했다


이 악성코드는 지난 10월 발견된 IE 취약점을 악용한 것으로, 현재 마이크로소프트에서는 해당 취약점에 대한 보안 패치를 제공하고 있다. 만일 백신을 설치하지 않았거나 보안 업데이트를 하지 않은 PC 사용자가 늘어날 경우 급속한 감염 피해 확산으로 이어질 위험이 있어 이를 사전차단하기 위해 공조에 나섰다고 밝혔다


KISA는 악성코드에 감염된 PC가 인터넷에 접속 시 팝업 창을 통해 감염사실을 알리고 전용백신으로 치료할 것을 안내하고 있으며, 안랩도 전용백신을 개발하여 보급하고 있다. 네이버는 메인 페이지에 IE 취약점 패치 권고 및 전용백신 검사 권고문을 게시하는 등 사용자 조치를 유도하여 사전 피해 방지에 나선다


IE 사용자는 반드시 보안 업데이트를 실시하고, 그간 백신을 설치 않았거나 최근까지 백신 업데이트를 하지 않은 PC이용자는 반드시 전용백신을 다운받아 검사를 해봐야 한다. 또한 백신이 이미 설치되어 있어도 악성코드의 복합적인 기능에 악용되지 않기 위해서 전용백신으로 반드시 검사해보는 것이 더욱 안전하다.

 
–전용백신 배포 사이트: 
http://www.boho.or.kr/kor/download/download_03_1.jsp
(188 Trojan.Win32.Bot.B 치료용 전용백신)


한국인터넷진흥원(KISA) 전길수 침해사고대응단장은 “최근의 악성코드의 공격은 기관 전산망 마비, 기업 기밀정보 유출, 개인의 금전피해 유발 등의 구체적 목적을 가지고 있으며 침투방식도 점차 악랄해지고 있다”며, “지금처럼 기관과 기업의 유기적 공조와 PC 사용자의 적극적인 협조가 맞물려야 사전 피해 차단이 가능하다”고 말했다.


네이버 김재동 IT보안실장은 "포털은 사용자 보안 강화를 위해 지속적인 노력을 하고 있고,사용자의 정보를 갈취하거나 대규모 디도스 공격에 활용되는 악성코드 전파를 최소화 할 수 있도록 금번 캠페인에 적극 참여하겠다" 고 밝혔다.


안랩 이호웅 시큐리티대응센터장은 “기존 백신 업데이트 및 검사로는 해당 악성코드 치료가 어려운 경우도 있어, 사용자는 반드시 전용 백신을 사용해서 삭제해야 한다”며 “또한 IE브라우저 사용자들은 마이크로소프트에서 제공하는 보안패치를 반드시 적용하고, 브라우저를 최신으로 업데이트하는 것이 필요하다.”고 당부했다.


------------[참고 자료]------------


1. 악성코드 유포 방법

해당 악성코드는 지난 10월에 발견된 IE(인터넷 익스플로러, 인터넷 접속 시 사용하는 브라우저의 종류)의 취약점(CVE-2013-3897)을 악용했다. 사용자가 해당 취약점이 존재하는IE를 사용하는PC로 악성코드를 유포하는 웹사이트에 접속하기만 해도 감염된다. 현재 마이크로소프트에서는 해당 취약점에 대한 보안 패치를 제공하고 있다.


2. 악성코드 기능

이번 악성코드는 최초 감염 시, 다른 기능을 가진 악성코드 8종을 연속으로 설치한다. 주요 기능은 △백신무력화 시도 △디도스 공격 △감염PC에서 관리자용 웹사이트 접속 시 접근 계정 탈취 △감염 PC의 온라인게임 계정 탈취 등이다.


감염된 PC에 모든 악성코드의 설치가 끝나면, 해커로부터 명령을 받아 특정 서버를 대상으로 디도스 공격을 수행할 수 있으며, 동시에 기업 내 관리자가 주로 접속할 것으로 추정되는URL을 악성코드에 입력시켜 놓고, 감염 PC에서 해당 URL에 접속할 시 로그인 정보를 탈취하는 기능도 가지고 있다. 또한 감염PC에서 온라인게임 사용자 계정도 탈취한다.


3. 악성코드의 위험성

현재 안랩과 네이버에서 확인한 악성코드의 기능과 확산 추세로 볼 때, 주요 계정 정보 유출,기업 내부 침입, 디도스 등 다양한 목적으로 악용이 가능하며, 피해를 사전 차단하기 위해서는 대응책 마련이 필요한 상태로 주의가 필요하다. Ahn


댓글을 달아 주세요

정보보호 전공 대학생의 눈으로 본 금융 보안 대책

현장속으로/세미나 2013.09.26 07:00

지난 7 11일 금융위원회는 최근 잇따라 발생한 금융권 전산망 공격의 대안으로 금융전산 보안 강화 종합 대책을 발표했다. 날로 대형화, 지능화gk는 보안 위협에 대응하기 위한 대응 체계로 업계의 가장 큰 주목을 받은 사안은 단연 금융 전산 망분리 의무화 추진이었다.

 

9 14일 서울여대에서 열린 제 2 Lemon-APNG 정보보안 컨퍼런스에서는 서울여대 안은희 학생의 금융권의 망분리 보안 대책에 관한 발표가 진행되었다아래는 주요 내용.


 

스파이처럼 침투해 스폰지처럼 감염되고 때를 기다리는 숨바꼭질형 악성코드. 바로 APT 공격이다. 해커는 목표물을 먼저 조사한 뒤 내부 직원이 접속할 만한 시스템을 악성코드에 감염시킨다. 내부 직원이 웹 서핑을 하다가 악성코드를 다운로드하면 악성코드가 내부 직원 컴퓨터에 들어오게 된다. 이때부터 악성코드는 때를 기다리는 숨바꼭질을 한다. 악성코드는 서버 인프라 구조를 파악하고 회사와 관련한 모든 정보를 천천히 시간을 들여 살펴본다. 그리고 흔적을 남기지 않고 은밀히 활동하면서 회사 내의 보안 서비스를 무력화하고 유유히 정보를 유출한다. 따라서 공격을 당한 기업은 한참 뒤에야 해킹 사실을 알게 된다.

 

올해 초 문제가 되었던 방송사, 금융사 3.20 해킹 사태에서도 공격자가 백신, Active-X로 위장한 악성코드를 이용해 업무용 PC, ATM, 내부 서버를 공격했다. 이 사태로 망 분리의 외면이 피해를 키웠고 망 분리가 제2 3.20 사태를 막을 것이라며, 기존 단일 망에서 발생되는 공격의 위험을 막기 위한 대응책으로 망 분리 기술이 대두되었다.

 

망 분리란?

 망 분리란 내부 정보 유출 방지 외부로부터의 침해를 차단하기 위해 컴퓨터를 업무 영역과 인터넷 영역으로 나누는 것으로 외부 해킹사고 발생 감소, 악성코드 내부 망 침투 방지, 침해에 따른 업무 손실 최소화, 중요자료 유출 및 훼손 방지와 같은 효과를 기대할 수 있다.

망 분리 기술은 다음과 같이 분류된다. 

  복수PC는 업무PC와 인터넷PC를 별도 제공하는 명확한 개념의 망 분리로 물리적 망 분리에 주로 사용된다. 사용자의 부주의 및 악의적 의도로 두 PC간 자료 이동 시 보조기억장치를 통해 인터넷PC에 감염된 악성코드가 업무PC 유입할 수 있는 위험이 존재한다. 네트워크 전환장치는 전환장치를 통해서 내부 망과 외부 망 분리하는 기술이다. 서버기반 가상화는 한 대의 PC를 업무PC로 사용하는 동시에 가상화 서버를 이용하여 인터넷 사용하는 기술로 업무서버로만 접속할 수 있으므로 문서의 외부 유출을 방지할 수 있다. 업무와 인터넷 모두 각각의 중앙 서버에서 통제하므로 유지보수에 용이하지만 인터넷 수집 자료를 PC에 저장 시 해킹의 우려가 있다. 또 가상서버 구축 비용을 필요로 한다. SBC는 통합서버를 여러 사용자가 같이 사용하는 방식으로, 사용자에게는 망으로 화면만 전송되는 방식이다. 각각의 사용자들은 사용자간 환경과 프로그램을 공유하기 때문에 같은 환경과 프로그램을 사용하게 된다. VDI의 경우 개인별 인터넷 PC를 통합된 서버에 개별적으로 설치하게 되어 사용자 별로 개별 OS와 프로그램을 사용할 수 있다. PC기반 가상화는 기존 PC에 가상화된 인터넷 영역 생성하는 방식으로 가상화 서버를 따로 구축하지 않아도 되므로 비용 면에서 가장 효율적이다. 그러나 인터넷 영역과 업무 영역간의 자료이동간 정책을 필요하고 사용자의 부주의 및 악의적 의도로 두 보조기억장치를 통한 정보유출 및 악성코드 감염의 위험이 있다. CBC는 하나의 PC를 두 개의 별도 PCOS를 분리하는 방식이다.

 

망 분리 추진 현황과 추진 방향

 금융당국은 강화된 금융IT보안정책을 통해 금융사의 전산센터에는 물리적 망 분리를 의무화하고 업무의 경우 물리적과 논리적 망 분리를 선택할 수 있는 방안을 제시했다. 

 현재 업종별 망분리 선택 방법을 살펴보면 물리적 망 분리 방식이 전체의 37%에 달하는 모습을 보인다. 은행, 카드, 캐피탈과 같은 다수의 지점과 직원을 가진 업종에서는 논리적 망 분리 방식이 우세를 띄었고 증권, 보험에서는 균등한 비율을, 금융 공기업에서는 물리적 망 분리 방식이 우세를 보이고 있다. 보안성이 가장 우수한 물리적 망 분리가 대규모의 구축 비용과 업무환경 연계 효용성이 극히 낮은 것을 고려하여 업종 상황에 맞는 방식을 채택하고 있음을 알 수 있다. 앞으로의 망 분리는 한 대의 PC속에 가상의 PC를 소프트웨어로 구현해, 기존 ‘1 2PC’ 방식보다 비용이 저렴하고 PC에서 배출하는 이산화탄소와 각종 유해화학물질을 줄일 수 있는 친환경적인 PC 가상화 기술을 활용하여 단말표준환경(AD)에 인터넷 전용 PC를 추가 제공하는 형태로, 분리 요건을 실행하면서도 기존 인터넷 사용방식과 업무화면 변경이 최소화될 수 있도록 추진되고 있다.

 

향후 망 분리 사업 추진 시 고려 사항

현재 금융권이 발표한 금융전산 보안 강화 종합대책은 금융업종의 특수성과 업무 프로세스가 반영되지 않은 상태이다. 망 분리 세부 대책 가이드의 보안이 필요하고 한국 정보화 진흥원, 한국 인터넷 진흥원이 주도적으로 가이드를 배포할 필요성이 있다. 또한 망 분리 사업이 많은 비용을 필요로 하는 만큼 망 분리의 세부 요건의 기준을 명시하고 배포할 필요가 있다.

 

망 분리의 의무화에 대한 정부의 정책으로 망 분리 사업이 재조명되고 있다. 각 은행 및 기업들이 발 빠르게 망 분리 도입에 속도를 올리고 있다. 그러나 망 분리 시스템이 구축되어서 해결될 문제는 아니다. 앞에서 소개했던 다양한 망 분리 기술은 각각의 장단점을 가지고 있지만 어느 하나 완벽한 보안성을 가진 기술은 없다. 이는 사용자의 보안의식 없이는 어느 것도 안전할 수 없다는 것을 말해준다. 망 분리의 의무화가 이루어지더라도 제2 3.20사태를 막기 위해서는 그에 따른 교육이 필수적이다. 앞으로의 망 분리 사업의 발전과 함께 신뢰성이 높으면서 구축 비용이 적게 들고 업무적용에 용이한 창의적인 망 분리 기술의 개발을 기대해 본다. Ahn


 

대학생기자 김지원 / 이화여대 컴퓨터공학과

 

댓글을 달아 주세요

[보안 바로 알기 캠페인]#6 : 백신기술 진화 바로알기

-악성코드 진화와 더불어 백신기술도 발전

-문자열진단, 시그니처기반/휴리스틱 기술 거쳐 최근 여러가지 기법 복합 적용

 

본 자료는 보안에 대한 올바른 정보 전파를 통해 자신과 직장의 정보와 재산을 보호하기 위한 안랩의 보안지식 공유 캠페인인보안 바로알기(Know the security) 캠페인의 일환으로 제공해드리는 자료입니다.

 

V3 탄생 25주년을 맞은 글로벌 보안 기업 안랩(대표 김홍선www.ahnlab.com)보안 바로알기(Know the security) 캠페인의 일환으로 지난백신 바로알기’, ‘APT 바로알기’, ‘보안 종결론 바로알기’, ‘위장 악성코드 바로알기’, ‘인터넷뱅킹 보안위협 바로알기에 이어, <아래> 정보를 안랩의 블로그 및 SNS를 통해 배포했습니다.

 

---<   >---

 

악성코드 VS 백신기술, 승자는 누구?

 

영화 ‘고지전’을 보신 분이라면 애록고지를 놓고 매일같이 싸운 악어중대와 북한군을 기억하실 겁니다. 고지점령에 성공했다 싶으면 바로 상대편에게 빼앗기고, 다시 되찾기 위해 또다시 전투를 시작합니다. 이 과정에서 상대의 전술을 확인하고 자신의 전력을 가다듬던 장면들이 생생하게 기억납니다.

 

악성코드와 백신기술은 마치 이들과 닮아 있습니다. 이들은 서로의 진화에 맞서 발전해 왔기 때문입니다. 특정 악성코드가 발견되면 이를 막기 위해 백신 프로그램이 개발되었습니다. 결국 서로에 대한 공격과 방어 과정이 백신 기술의 발전을 이끌고 가고 있습니다.

 

[보안 바로알기 캠페인 6: 백신기술의 진화 바로알기] 편에서는 악성코드가 변모하는 동안 백신의 악성코드 대응기술이 어떤 방향으로 진화해 왔는지 알아보도록 하겠습니다.

 

1980년대: 전쟁의 서막(낭만의 시대?)

19869, 파키스탄의 두 프로그래머 형제가 최초의 PC용 바이러스 '브레인(Brain)'을 제작해 유포했습니다. 브레인 바이러스는 당시 가장 많이 보급되고 있던 MS-DOS 운영체제에서 실행되었기 때문에, 전세계적으로 빠르게 확산되어 많은 피해를 끼쳤습니다. 이후 수많은 바이러스가 등장하기 시작했고, 이에 대응하기 위한 백신 프로그램의 개발이 이어졌습니다. (최초의 바이러스라고 언급된 ‘브레인’ 이전에, 다른 바이러스가 존재했다는 견해도 있습니다.)

 

초기 바이러스와 백신 프로그램의 공격과 방어는 매우 단순한 방식이었습니다. 초기 백신프로그램에는 특정 바이러스에만 존재하는 문자열을 비교하는 '문자열 진단 기술'이 활용됐습니다. 이는 프로그램의 코드 중 문자열(string)을 단순 비교해 악성코드 여부를 판명하는 기술입니다. 또한 당시 백신프로그램은 해시(hash)값을 통해서 작동했습니다. 해시값이란 각 파일이 생성됐을 때 갖고 있는 고유의 지문과 같은 것입니다. 파일명을 변경해도 이 값은 변하지 않습니다. 백신 프로그램은 악성코드에 해시값을 할당하여 해시값이 변조될 때마다 경고메시지가 뜨는 형태로 악성코드를 탐지해 사용자에게 경고 메시지를 띄우는 형태였습니다.

 

문제는 이 방법들은 주로 사용자 스스로 악성 여부를 판단 해야 했고, 너무 많은 경고를 띄워서, 보안을 잘 모르는 대다수의 사람들은 무시하기 일쑤였다는 것입니다. 또한 고급언어를 사용한 트로이목마, 웜 등의 악성코드가 증가하면서 진단에 어려움을 겪게 되었습니다. 고급언어로 구성된 악성코드를 단순 문자열만으로 진단할 경우 오진이 발생하기 때문입니다.

 

악성행위를 하는 바이러스, , 트로이목마 등은 모두 특징이 있습니다. 요즘에는 이 모든 것을 악성코드(Malicious Software, 일명 멀웨어)라고 표현합니다.

 

1990년대 : 대결의 고도화

1995년 윈도우 95가 대중화되어 MS-DOS를 대체해 사용되면서 악성코드도 큰 변화를 맞이했습니다. 악성코드 활동 영역이 도스에서 오피스 문서, 윈도우로 확대됐고 인터넷이 보편화 되면서 이메일을 악용하기도 했습니다. 또한 악성코드 제작자들의 백신 연구로 각종 신/변종 악성코드가 출현하게 되었습니다. 따라서 새로운 기법과 함께 점차 증가하는 악성코드에 대응하기 위한 여러가지 악성코드 대응기술이 등장했습니다.

 

앞서 언급한 문자열 진단 기술과 해시진단은 모두 '시그니처 기반 기술'에 속합니다. 시그니처기반 기술은 악성코드를 식별하는 가장 일반적인 방법입니다. 백신 프로그램으로 PC 내 파일을 스캔해 사전에 백신 엔진에 등록된 바이러스 진단값(Virus Signature, 바이러스의 고유한 비트열이나 이진수의 패턴, 특정 바이러스를 검색하기 위해 사용되는 지문과 같은 것)과 일치하면 치료하는 방식입니다.

 

하지만 기존의 시그니처 기반 기술은 백신 엔진에 지금까지 알려진 바이러스의 진단값만 등록되어 있어 신종 바이러스에는 빠르게 대처하기 어렵고 변종을 탐지하기 어렵다는 단점이 있습니다. 따라서 이 시기부터는 단순 진단 외에 더욱 다양한 방법을 활용한 시그니처 기반 기술로 변화되기 시작합니다.

 

뿐만 아니라 변종 악성코드를 탐지해 내기 위해 '휴리스틱 기술'이 개발됐습니다. 휴리스틱 기술은 원본 파일의 일부만 변경돼도 전혀 다른 파일로 인지해버리는 기존 기술의 한계를 극복하기 위한 기술입니다. 특정 코드의 행위 방식이 이미 알려진 악성코드의 행위 방식과 얼마나 유사한지를 분석해 알려지지 않은 악성코드를 탐지해 냅니다. 다만 그 특성상 오진이나 과탐의 이슈가 발생하기도 합니다.

  

2000년대: 새로운 전쟁

2000년대 들어 파일이 아닌 네트워크 단에서 악성 여부를 검사하는 네트워크 검사 기술이 개발됐고, 백신 프로그램에 방화벽 기능이 탑재되기 시작했습니다.

 

여기에서 악성코드도 새로운 장을 열기 시작했습니다. 가장 중요한 트렌드가 바로 금전적 목적의 악성코드 배포와 악성코드의 소규모 다품종 생산입니다. 악성코드 제작자들은 더 이상 실력과시가 아닌, 금전을 목적으로 악성코드를 만들기 시작했고, 이에 따라 자연스럽게 불특정 다수가 아닌, 특정 조직을 끈질기게 노리기 시작했습니다. 널리 퍼지지 않았으니, 보안업체가 발견해서 백신 엔진에 업데이트 하기도 힘들어 졌습니다. 또한, 이메일나 SNS 등 매체의 발달로, 악성코드가 퍼질 수 있는 길은 더욱 많아졌습니다.

 

이런 트렌드에 대응하기 위해 등장한 것이, 악성코드를 가상화된 공간에서 실행하고 위험 유무를 확인하는 행동기반 탐지기술과, 클라우드 기술을 이용해 악성코드 여부를 PC가 아닌 악성코드 정보가 모여있는 서버에서 판단해주는 클라우드 기반 탐지 기술, 파일에 대한 사용자 수, 제작일 등의 평판을 기반으로 하는 평판 기반 기술 등입니다. 최근에는 실시간 대응을 위해 시그니처 기반+ 평판기반+행동기반 방식들을 함께 사용하고 있는 추세입니다

 

안랩 역시 독자적인 다차원 분석 플랫폼 구축을 완료했습니다. 안랩의 ‘다차원 분석 기술’은 기존의 행위기반과 평판 기반 등 다양한 분석 기술, 클라우드 기술을 복합적으로 적용함으로써 위협 유입 단계부터 대응을 가능케 하는 신개념 종합 위협 대응 기술입니다. 이와 같은 분석기술은 위협에 대한 정확한 진단을 가능하게 하며, 미탐/오탐을 최소화 하고 신/변종 악성코드까지 탐지하는 장점을 가지고 있습니다.

 

지금까지 백신과 악성코드 전쟁의 큰 흐름만 짚어보았습니다. 이처럼 백신기술은 현재 진화를 거듭하며 악성코드를 탐지해내는데 총력을 다하고 있습니다. 현재 백신은 ‘알려진 악성코드’에 대한 대응적(reactive) 방어책에서 알려지지 않은 악성코드(unknown)에 대한 예방적(proactive) 솔루션으로 진화하고 있습니다.

기존 보안 기술을 뛰어넘는 악성코드는 계속 나올 것이고, 그에 대한 백신 기술 또한 반드시 나올 것입니다. 안랩 통계에 따르면, 하루에 15~50만개의 신/변종 악성코드가 생겨나고 있습니다. , 열흘만 PC백신 업데이트를 하지 않아도, 여러분의 PC는 최대 500만개의 악성코드 위협에 노출 될 수 있습니다.

이런 끝나지 않는 악성코드와 백신기술과의 전쟁에서, 피해자가 되지 않기 위해서는 백신프로그램의 지속적인 업데이트 및 검사실행, 수상한 메일이나 SNS URL 클릭 자제하기, 비밀번호 자주 바꾸기, 수상한 첨부파일 실행 자제 등 생활 속의 작은 보안 습관이 더욱 중요합니다. Ahn


 

댓글을 달아 주세요

[보안 바로 알기 캠페인] #5 : 인터넷 뱅킹 보안 위협

예전에 제가 초등학교로 명칭이 바뀌기 전인 국민학교시절에 선생님께서 이런 말씀을 하셨습니다. ‘이제 곧 물도 사먹는 시대가 올 거다.’ 이 말을 들은 -저를 포함한-당시 어린이들은 놀라지 않았습니다. 안 믿었거든요. 하지만 요즘은 생수 브랜드만 해도 수십 개나 있는 세상이 되었습니다.

와 비슷하게 인터넷이 퍼지기 시작한 시절, TV프로그램에서 인터넷으로만 1주일(한 달이었나요?)살아보기 프로그램을 했던 것으로 기억합니다.여기서 인터넷으로 피자를 시키고, 마트에서 장을 보니 배달까지 해주는 등 당시로서는 획기적인패턴에 방송 진행자도 놀랐던 기억이 납니다.하지만 지금은 누구나 쉽게 인터넷으로 물품 구매는 물론 은행업무까지 보는 세상이 되었죠.

 

안랩의 보안 바로알기(Know the security)캠페인의 다섯 번째 이야기는 어쩌면 지금까지 주제 중 우리 생활에 가장 밀접한 주제일 수 있는 인터넷뱅킹 보안위협 바로알기입니다.인터넷 뱅킹 이용자 8,000만명이 돌파한 요즘,아래 몇가지 이야기를 통해 인터넷뱅킹 보안위협에 대한 이해를 높여서더 안전하고 편리한 온라인 생활을 누리시면 좋겠습니다.

 

금융기관이 침해당해 내 돈이 빠져나간다?

현재까지 알려진 바로는 금융기관 침해로 인해 개인 사용자의 금전이 빠져나간 사례는 없습니다. 통계적으로 볼 때, 우리나라 기관들 중에서 보안에 가장 많이 투자하고 관심을 쏟는 곳이 금융업계라는 것은 사실입니다. 다만 이는 상대적인 규모이고, 이에 더해 아직 보안에 대한 더 많은 고민(금액의 문제가 아니라, 운영 및 인식의 문제입니다)이 필요한 것은 사실입니다.

 

사실, 쉬운 돈을 만지고 싶어하는 공격자가 대형 은행에 직접 침투해서 돈을 빼내오기란 쉬운 일이 아닙니다.그래서 해커들은 조금 더 수월한 개인 PC를 노립니다.여기서 개인 PC란 기업에서 직원이 사용하고 있는 PC도 포함되는 개념입니다(어차피 비슷한 공이 든다면 개인 보다 기업이 인터넷 뱅킹을 이용하는 금액이 훨씬 크니까요).

 

, 모든 수단을 동원해 개인(기업 내 개인 포함)의 금융정보를 빼내가려 한다는 것입니다 .먼저, 해커는피싱메일, SNSURL, P2P사이트, 악성코드를 포함한 문서, 배너광고,프로그램의 보안 취약점 등 광범위한 수단을 통해 악성코드를 감염시킵니다. 일단 악성코드가 침투하면,이후엔 금융정보를 채가기 위한 모든 시도를 합니다.예를들어, 키보드로 입력되는 정보를 빼내기 위해 이를 탈취하는 키로거를 설치합니다.화면캡처가 필요하면 화면캡처를 합니다.만약 목표 개인(기업 내 개인 포함)이 사용하는 주거래 은행이 보안카드를 사용한다면 보안카드 정보를 빼내기 위해 자신이 만든 가짜 사이트로 유도하는 악성코드를 심습니다.가끔 이거저거 다 필요없이 보이스 피싱도 합니다.

 

여기에 최근에는 개인 사용자의 PC에 침투해서,감염된 PC로 특정 은행 사이트를 방문할 시,보안을 위해 자동으로 구동되는 키보드 보안솔루션, 공인인증서 등 보안모듈의 메모리를 해킹(수정)해개인의 금융 정보를 유출하는 악성코드도 국내에서 발견되었습니다.,사용자는 정상 은행사이트를 이용하는 과정에서 자기도 모르게 금융정보를 탈취당하는 것입니다.

 

해외 모 기업의 경우 재무 담당직원이 피싱메일에 속아 인터넷뱅킹 접속용 OTP정보를 포함한 로그인 정보가 모두 해커에게 유출되었고, 55만달러가 해커에 의해 해외로 송금되는 결과가 발생했습니다.지루한 법원 공방 끝에 법원은 은행의 책임으로 판단했지만,이는 기업과 은행이 모두 해커에게 속아 넘어간 예시가 되었습니다.물론, 기업과 은행 모두 기업 이미지 실추를 피할 수 없었습니다.

 

이렇게 공격자들은 은행의 시스템을 직접 노리기 보다,개인의 PC에 악성코드를 감염시키는 것을 공격의 첫 행위로 삼고 있습니다.이것은 보안 사고가 개인의 잘못이라는 뜻이 아니라 명백한 현대 보안의 트렌드입니다.

 

여기에도 보안 종결론이 등장?

일전에 저희 보안 바로알기 세 번째 주제가 보안 종결론이었습니다.특정 솔루션을 사용한다면, 혹은 이것을 사용하지 않는다면 은행보안 사고가 대부분 없어질 것이라는 주장입니다.

 

하지만 나름 자신들의 생계가 달린 문제여서일까요?아쉽게도 악성코드 제작자들은 그 정도에 굴하지 않습니다. 예를 들어,다양한 보안 솔루션을 사용하는 다양한 국가에서도 인터넷뱅킹 사고는 지속적으로 발생하고 있습니다.최근 중동에서 500억원 규모의 해킹 및 현금 불법인출 사건이 있었고,미국안티피싱 워킹그룹과 가트너에 따르면 미국 내 2010년 인터넷 뱅킹사고 금액은 기업피해만10억 달러(13백억)로 추정된다고 발표했습니다.일본의 경우도 2007년에 19천만 엔(22억원)을 기록한 후 현재는 소폭 감소추세에 있다고 합니다.

 

이렇게 기업 자율이든,공공기관 주도이든, 각기 다른 인증체제와 보안 정책을 사용하든아니든,는 모든 나라에서 인터넷뱅킹 보안위협은 계속 되고 있습니다.다시한번 강조하자면 악성코드를 이용해 개인 PC로 침입한 후 금융정보를 훔쳐가거나, 해킹을 시도하는 것이 현대 보안의 트렌드입니다.그리고 악성코드 제작자는 침투를 위해 특정 솔루션만 이용하는 것이 아니라, 피싱메일, 악성 URL, 소프트웨어 취약점,웹하드 등의 P2P 사이트, 악성코드를 포함한 문서, 배너광고, 프로그램의 보안 취약점 등 침투할 수 있는 모든 수단을 사용합니다.

 

 

어떻게 막을 수 있나?

그러면, 인터넷뱅킹 보안위협은 어차피 막을 수 없는 것일까요?저희가 이 캠페인을 시작한 시점에 말씀 드렸지만, 완벽한 보안은 없습니다.다만 보안의 취약한 부분(hole)을줄여나가면서 새로운 취약점이 발견되면 최대한 빨리 보완하고 대응하기 위한 노력이 계속 진행될 뿐입니다. 이런 보안의 취약점을 줄이기 위해서는 어느 한 곳만 노력해서는 되지 않습니다.

 

먼저 금융 및 공공기관에서는 현재 보안위협의 트렌드를 이해하고 올바른 정책을 실행해나가는 것이 필요합니다. 특히, 시스템에 보안을 맞추는 것이 아니라, 보안에 시스템을 맞추는 외국의 노력을 본받을 필요가 있습니다.예를 들어, 예전에는 아무리 혁신적이고 믿을 수 있었던 솔루션이라도 만약 악성코드 전파에 많이 이용된다면 이를 수정해 나갈 필요가 있습니다.

 

또한, 보안 솔루션을 도입한 것으로 그치지 말고,이를 적절히 운영할 수 있는 전문 보안인력을 육성하는 것이 필수적입니다. 기관 내에서 지속적으로 임직원 보안 교육을 실시하는 것은 두말 할 것도 없습니다.

 

개인의 경우엔, 어쩌면 듣기 힘든 말일 수도 있습니다만, 한번 자신에게나는 보안을 위해 어느 정도의 불편함을 감수할 수 있을까?”라는 질문을 해보는 것이 시작이 될 수 있습니다. 해외의 모 은행에서는 보안 및 다른 이유로 이체 한도 금액을 매우 축소하거나, 이체 날짜가 3-5일 걸리는 경우도 있습니다(실시간 이체는 수수료가 매우 높습니다).

 

또한, 사전에 이체 계좌를 등록해야 하고, 새로운 이체계좌를 등록할 때마다 계약서를 작성하는 경우도 있습니다. 인터넷 뱅킹 로그인 시에 본인인증을 위해 2-3개의 절차를 거치기도 합니다. 보안과 편리함은 서로 주고 받는 관계라는 인식을 바탕으로 나온 정책일 것입니다.

 

효율성과 편의성을 추구하는 성향이 강한 우리나라에서 이렇게 한다면 얼마나 많은 사람들이 이런 불편함을 기꺼이 감수할 수 있을까요? 개인 PC를 최초 시작점으로 노리는 현대의 보안 트렌드에서 사고의 책임이 개인 혹은 기관 어느 곳에 100%있다고 하기엔 어렵습니다. 기관의 경우엔 보안위협의 트렌드를 이해하고 준비하는 자세가 필요하고, 개인의 경우엔 조금 불편하더라도1) 송신자가 불분명한 수상한 메일의 첨부파일 및 링크 클릭을 자제하거나 2)소프트웨어 업체가 제공하는 보안패치 설치, 3)백신 업데이트 최신 버전 유지 4)사내에서 개인적인 인터넷 사용 자제등 기본적인 보안 수칙만 지켜도 대부분의 보안 위협은 막을 수 있습니다

 

또한, 이렇게만 하면 만사 해결이라는 식의 보안 종결론에 휘둘려서는 안됩니다. 만약 우리가 불의의 피해자가 되었을 때, 그 종결론을 주장하신 분들이 책임져주지 않습니다. 보안 위협은 어떤 시스템, 어떤 환경에서도 반드시 존재하며, 알려진 보안 위협을 막으면 또 다른 지금까지 알려지지 않은 보안 위협이 우리를 기다리고 있습니다. 보안은 함께 고민하고 노력해야 할 우리 모두의 몫입니다. <Ahn>

 


댓글을 달아 주세요

좀비PC부터 가짜백신까지 알아두면 좋은 보안 상식

보안은 IT가 발전할수록, PC, 스마트폰, 기업 등 생활 곳곳에서의 중요성이 점점 더 커지고 있다안랩에서는 현재 생활 속 알기 쉬운 보안’을 주제로 UCC 콘테스트를 진행 중이다. 이를 통해 많은 참가자들이 다양한 생활 속 보안을 UCC를 통해 보여주고 있다실제로 생활 속 작은 습관과 실천이 큰 보안사고들을 예방할 수 있는데, 알아두면 좋은 PC 보안 상식을 알아보자.

 

1. 악성코드

악성코드란 악의적인 목적을 위해 작성된 실행 가능한 코드의 통칭으로 자기 복제 능력과 감염 대상 유무에 따라 바이러스, , 트로이목마 등으로 분류가 된다.

좀비pc, 키로깅 등 대표적인 pc의 보안사고는 악성코드를 통해 감염이 된다. 갑자기 pc의 속도가 느려지거나 건드리지 않은 파일이 변경되어 삭제되었을 때, 팝업이 자주 뜰 때, 변경하지 않은 윈도우 설정이 바뀌었을 때. 위 증상은 악성코드에 감염되었을 때 나타나는 대표적인 증상이다. PC에 감염된 악성코드가 있는지 백신 프로그램을 이용하여 정기적인 검사를 통해 악성코드로 인한 피해를 줄여야 한다.

 

2. 키로깅

키로깅(Keylogging)은 사용자가 키보드로 PC에 입력하는 내용을 몰래 가로채어 기록하는 행위를 말한다.

이를 이용해 컴퓨터 사용자의 키보드 움직임을 탐지해 ID나 패스워드, 계좌번호, 카드번호 등과 같은 개인의 중요한 정보를 몰래 빼 가는 해킹 공격을 키로거 공격이라고 한다.

키로깅은 유령 13회에서도 소개가 되었는데, 키로깅 프로그램은 메일 등으로 첨부파일을 보내 사용자가 해당 파일을 다운받으면 자동으로 설치가 되는 것이 대부분이다.

키로깅을 예방하기 위해서는 아래 세가지 방법을 유의하고 실천하면 된다.

1. 내가 모르는 메일주소로 온다면 또한, 보안이 의심되는 메일이 온다면 바로바로 삭제한다.

2. 필요한 자료가 있어서 설치하게 된다면, 교묘하게 숨어있는 추가 프로그램들을 잘 확인해

 설치가 안되도록 한다.

3. 백신 프로그램, 개인정보보안 솔루션, 방화벽 등을 이용하여 수시로 감시하고 치료한다.

 

3. 좀비PC

좀비PC란 바이러스에 감염됐지만 스스로 인지하지 못한 채 스팸을 보내는 등 원격조종을 당하는 PC이다.

해커들은 타인의 PC에 악성코드를 통해 원격제어가 가능한 PC인 좀비PC를 만든다. 좀비PCC&C서버의 제어를 통해 DDoS 공격을 하여 문제를 일으킨다사용자들은 자신의 PC가 좀비PC인지 인식하지 못하는 경우가 대부분인데, 좀비PC 여부를 검사하는 방법은 대표적으로 두 가지가 있다.

먼저 한국인터넷진흥원(KISA)에서 제공하는 홈페이지(http://www.boho.or.kr/kor/check/check_03.jsp) 접속을 통해 자동검사를 할 수 있다.

또 다른 방법 하나는, CMD를 통해 알아보는 방법이다. 실행창에 CMD를 입력하여 엔터를 치고, netstat -n 명령어를 입력하면 결과 화면에 프로토콜, 로컬 주소, 외부 주소, 상태가 나타나는데 외부주소 끝에 :8080포트를 사용 중이며, 포트가 8080,8000이 나오면 좀비 상태일 가능성이 있다. 인터넷 웹서비스는 일반적으로 80포트를 사용하기 때문이다. 따라서 그 외의 포트를 사용시에는 좀비PC 감염을 일단 의심해 봐야 한다.

 

4. 방화벽

방화벽, 건축학에서의 방화벽은 화재 발생 시 불이 더 이상 번지지 않도록 하는 것이지만컴퓨터 네트워크 분야에서 방화벽은 해커나 크래커의 불법 침입을 차단하여 정보 유출, 시스템 파괴 등의 보안 문제를 사전에 방지하는 소프트웨어, 혹은 그 소프트웨어가 탑재된 하드웨어로 통용된다.

이는 인터넷과 같은 외부망으로부터 들어오는 접근 시도를 1차로 제어통제함으로써 내부 네트워크를 보호하는 역할을 하는데, 인터넷의 시작과 함께 1980년대부터 본격적으로 도입된 방화벽은 1세대 패킷 분석, 2세대 네트워크 연결 상태 분석, 3세대는 웹 브라우저를 통한 침입 및 공격을 막는 애플리케이션 방화벽 순서로 발전되었다.

방화벽의 작동 원리는 관리자가 설정해 놓은 보안 규칙에 따라 네트워크를 통해 들어오는 패킷을 허용 또는 차단한다.

일반적으로 사용되는 ‘Windows 방화벽은 개인용 보안 소프트웨어로 부족함 없는 보안성을 제공한다.

특정 프로그램을 설치하면 인터넷 연결에 앞서 방화벽 설정 해제 여부를 묻곤 하는데, 해당 프로그램이 보안상으로 확실히 안전하다고 판단되지 않는 경우 방화벽 설정을 해제하지 않는 것이 바람직하다.

바이러스로 인해 방화벽이 자동 해제되는 경우가 있으니, 자신의 방화벽이 잘 설정되었는지 주기적으로 확인하는 것도 중요하다.

 

5. 정품 소프트웨어 사용의 중요성

사무용소프트웨어연합(BSA)의 세계 SW 불법복제율 보고서에 따르면 한국이 40%로 세계 평균인 42%보다 낮지만 OECD 평균 27%를 훌쩍 넘어선다불법 소프트웨어 사용은 단순한 문제가 아니다

소프트웨어 불법 복제비율과 악성코드, 해킹 간에 높은 상관관계가 있다는 보고도 있을 정도로, 불법 복제율이 높을수록 악성코드 감염, 해킹피해가 높다.

이는 해커들이 좀비PC를 만들기 위해 정품 소프트웨어를 불법 배포 시 악성코드를 넣는 경우가 많기 때문이다. 불법 복제는 범죄행위이며, 국가 경쟁력을 약화시키며 소중한 개인정보 보호를 위해서라도 모두 정품 소프트웨어를 이용해야한다. 정품 소프트웨어를 사용할 여유가 없는 경우 무료용 소프트웨어인 프리웨어를 사용하는 것도 하나의 방법이다.

 

6. 악성 백신 프로그램(가짜 백신)

요즘은 P2P를 이용하여 음악, 영화 등 각종 파일을 많이 다운 받는다. 좋은 정보도 많고 편리하기 때문에 사용자들이 매우 많지만, 자칫 파일을 잘못 다운 받다가는 악성 백신이 설치가 된다.

악성 백신 프로그램은 PC 사용자의 의지가 아니라 자동으로 설치되어서 사용자 컴퓨터의 악성 바이러스를 없애준다고 하지만 시도 때도 없이 유료 결제창을 띄우며 결제를 유도하고 제대로 된 컴퓨터 사용을 방해하는 프로그램이다

이러한 악성백신은 삭제를 하여도 반복적으로 재설치가 되는 경우가 많기 때문에 파일의 삭제도 매우 어렵다. 이러한 프로그램은 실제 악성코드를 잘 분류하지 못하며, 심지어는 정상적인 시스템 파일을 악성코드로 인지하여 자칫하면 악성코드를 삭제하는 것이 아니라 시스템을 망쳐버리는 결과를 낳는다. 악성백신은 주로 P2P를 이용하여 깔리므로 백신은 공인된 우수한 백신을 이용하고, P2P를 이용할 때는 항상 주의해야 한다. 

DDoS 공격을 일으키는 좀비PC의 원인 중 하나인 키로깅과 같은 악성코드, 방화벽정품 소프트웨어 사용으로 예방할 수 있고,P2P사용을 통해서 악성코드뿐 아니라 악성 백신 프로그램pc의 위험에 노출되게 한다는 것을 명심해야 할 것이다.

이 밖에도 다양한 보안 이야기를 안랩 UCC 콘테스트(https://www.facebook.com/AhnContest)에서 들려주고 있으니 안전한 PC 환경을 위해 자주 방문해봄 직하다. Ahn 

 

 대학생기자 박서진 / 서울여대 정보보호학과

 끝없이 노력하고 끝없이 인내하고 끝없이 겸손하자.

 

댓글을 달아 주세요

  1. visitor 2014.02.05 14:18  Address |  Modify / Delete |  Reply

    좋은 글 잘 보고 갑니다! ^^

[보안 바로 알기 캠페인] #4 : 위장 악성코드 바로알기

Masquerade. 익숙하지 않은 영단어입니다. 뜻이 참 재미있는데요, 명사로 쓰일 때는 가장무도회가장이라는 뜻도 있고, 동사로 쓰일 때는 ‘~~인 체하다’, ‘~~라고 자신을 속이다’, ‘~~으로 변장하다라는 뜻이 있습니다. 갑자기 웬 영어단어 이야기냐구요? 안랩의 보안 바로알기(Know the security), 캠페인의 네 번째 이야기가 바로 이 위장 악성코드에 대한 것이라, 관련해서 재미있는 영어단어로 시작해 보았습니다.

 

악성코드임을 알면 누구도 그 파일을 내 PC에 설치하기 싫어할 겁니다. 그래서 악성코드 제작자들은 자신의 악성코드를 PC에 침투시키기 위해서 자연스럽게 위장이라는 방법을 택했습니다. 이 위장의 범위는 정말이지 너무나 다양해서 모두 설명하기는 어렵습니다. 한마디로 사람을 속일 수 있는 방법이면 뭐든지 다 사용하는데요, 지금부터 어떤 위장의 형태를 사용하고 있는지 대표적인 형태를 알아보겠습니다.

 

 

유명 프로그램 및 앱 위장

이 위장 형태는 그야말로 고전이라고 볼 수 있습니다. 컴퓨터 바이러스의 시조라고 할 수 있는 ‘Brain’ 바이러스도 컴퓨터 프로그래머 형제가 불법 복제하는 사람들에게 자그마한 복수를 하기 위해 자신들의 프로그램에다가 살짝 끼워넣은 것이니 위장이라면 위장일수도 있겠습니다.

 

위장(사칭)하는 프로그램은 일반 사무용 프로그램에서 인기 게임 고득점 프로그램까지 그야말로 다양합니다. PC에서 사용 가능한 모든 프로그램이 그 대상이라고 봐도 무방합니다. 재미있는 것은 악성코드로부터 PC를 지켜주는 백신 프로그램을 위장(사칭)하는 경우도 심심찮게 발견 된다는 것입니다. 특히, 특정 지역에서 인기가 높은 백신이 사칭의 대상이 되는데요, 우리나라의 경우 안랩의 V3를 사칭한 경우도 있었고, 외신을 살펴보면 맥아피사와 시만텍사의 제품을 사칭한 경우도 자주 보고되기도 합니다. 이 때문에 가끔씩은 제품에 문제가 있다는 오해를 사기도 하지만, 바꿔 말하면 가장 신뢰받는 제품을 위장 대상으로 삼는다고 할 수 있습니다.

 

최근에는 스마트폰을 비롯한 모바일 환경이 확산됨에 따라 모바일 악성코드도 기승을 부리고 있는데요, 이들도 대부분 인기 앱을 사칭하는 경우가 많습니다. 주로 인기 게임을 사칭하고, 여기서도 보안 제품을 사칭한 경우도 있었습니다.

 

따라서 PC나 모바일에서 프로그램(모바일의 경우 앱)을 다운로드 받을 때, 제작자를 반드시 확인하고, 출처가 불분명하거나 평판이 좋지 않다면 설치를 자제하는 것이 좋습니다. 또한, 업체에서 제공하는 보안 패치는 빠지지 않고 제때 설치해야 합니다.

 

문서 파일 위장

모르는 사람에게서 메일을 받았을 때, 첨부파일에 ‘.exe’파일과 ‘.pdf’파일 중 어떤 것을 더 쉽게 열어볼까요? 워드나 한글, PPT 등의 문서파일 등을 위장하면 사람들이 의심 없이 열어보기 쉽습니다. 열어 보더라도 실제 관련 내용을 보여주고, 보이지 않는 뒷단에서 악성코드 설치를 시도하기 때문에 사용자가 알아채기도 어렵습니다.

 

최근에 북핵관련 문서, 출장보고서, 조류독감 안내문 등 다양한 주제의 문서를 위장한 악성코드가 발견되기도 했습니다. 이런 이 악성문서는 문서 편집 프로그램이나 뷰어 등에 에 존재하는 알려진, 혹은 알려지지 않은 보안 취약점을 이용해 PC에 침투합니다. 보안 패치가 되어 있지 않은 문서 편집 프로그램이나 뷰어로 악성문서를 열면 악성코드에 감염되는 것입니다.

 

이런 문서를 위장한 악성코드는 요새 APT(지능형 지속 위협)방식의 공격에 사용된 사례가 보고되기도 했습니다. 이러한 위협을 피하기 위해서는, 출처가 불분명한 문서파일을 받았을 때는 실행하지 않는 것이 좋습니다.

 

메일 위장

위장하면 주요 정보로 위장한 악성 이메일을 빼놓을 수 없습니다. 보안 업계의 자료에 따르면 APT공격의 90%에 악성코드를 첨부한 이메일이 사용되었습니다. 그 정도로 위장 메일은 보안 위협, 특히 표적 사이버 공격에 자주 사용되고 있습니다.

 

최근의 경우만 보더라도 은행 공지, 이메일 청첩장, 금융사 정보, 통화 및 카드 명세서, 유명 국제 운송회사 송장, 페이스북 관리자, 교통 범칙금까지 매우 다양한 내용 및 발신자로 위장한 악성메일이 발견되었습니다. 이런 악성메일은 대부분 첨부파일을 실행하도록 유도하고 있는데, 이를 실행하는 순간 PC에 악성코드가 침투합니다. 특히, 최근에는 국내에서는 실제와 구분하기 어려울 정도로 유사하게 제작된 신용카드 거래 명세서를 위장한 경우가 있었고, 해외에서는 글로벌 운송회사의 화물추적 및 운송장을 위장한 사례가 꾸준히 발견되고 있습니다.

 

피해 예방을 위해서는 메일의 발신자를 반드시 확인해야 합니다. 사칭한 메일 계정은 정상 계정과 비교해 어딘가 다른 부분이 있게 마련입니다. 또한, 호기심을 자극하는 내용이더라도 문법이 조금 틀리다거나, 어색한 표현 등 조금이라도 수상한 점이 보인다면 메일 및 첨부파일을 열어보지 않는 것이 좋습니다.

 

 

위의 경우 이외에도 악성코드가 위장하는 방법은 더욱 다양해지는 동시에 교묘해지고 있습니다. 악성코드 피해를 줄이기 위해서는 세가지만 기억하시길 바랍니다.  

1)백신 최신 버전 유지

2)프로그램 제작사에서 제공하는 보안패치 제때 설치

3)발신자가 불분명한 메일 및 첨부파일, 첨부 URL 실행 금지

 

회사나 가정에서 개인이 조금만 주의해도 보안위협은 크게 줄어들 수 있습니다.

 

* 보안 바로알기 캠페인의 각각 내용들은 현재 진행 중인 "안랩 UCC 콘테스트"의 소재로도 이용할 수 있습니다

댓글을 달아 주세요

  1. 임지연ㄴ 2013.07.11 21:42  Address |  Modify / Delete |  Reply

    좋은글 잘봤습니다!

안랩, 하드디스크 파괴 악성코드 상세분석결과 중간 발표

- 파일 삭제, 하드디스크 파괴, 하드디스크 파괴 기능의 MBR 삽입 등이 주요특징

- 3.20 사이버 테러 악성코드와 기능상 다양한 차이점 존재- V3 제품군(기업용 V3 IS(Internet Security) 계열과 개인용 무료백신 V3 Lite(2013.6 출시 버전))으로 진단/치료 가능 

 

정보보안 기업 안랩(대표 김홍선 www.ahnlab.com)은 지난 25일 일부 정부기관에 대한 디도스(DDoS: Distributed Denial of Service, 분산 서비스 거부) 공격 관련 (26일 새벽 02 20분경 발표한)보도자료에서 언급한 '하드디스크 파괴기능을 가진 악성코드'의 상세분석결과를 28일 중간발표했다.

 

이번 악성코드의 특징은 감염 후 1.파일 삭제, 2. 사용자 PC 재부팅 시 하드디스크 파괴(MBR 삭제, 데이터 영역 삭제), 3.하드디스크 파괴 기능의 MBR(Master Boot Record) 직접 삽입이다.

 

특히 PC를 켜는데(PC 부팅) 필요한 정보들이 저장된 영역인 MBR에 하드디스크를 파괴하는 코드가 삽입되어있어 백신 제품의 치료를 어렵게 한다.

* MBR 기능: MBR은 부팅에 필요한  정보가 저장된 영역이다. PC에 전원이 들어오면 메모리가 MBR에 있는 정보를 읽어서 운영체제(OS:Operating System)를 작동시킨다.

 

또한 파일 삭제나 하드디스크 파괴를 수행하는 과정 중에 시스템 크래쉬(System Crash) 등 여러가지 이유로 BSOD(Blue Screen Of Death)현상이 나타나거나 재부팅하더라도 파괴 기능이 지속된다.

* 시스템 크래쉬(System Crash: 시스템 충돌. BSOD(Blue Screen Of Death), 재부팅 등 컴퓨터 장애의 원인 중 하나

* BSOD(Blue Screen Of Death:작동오류로 블루스크린이 나타나는 현상)

 

특히 안랩은 이번 공격에 사용된 악성코드는 2013.3.20 사이버 테러와는 차이를 보인다고 밝혔다.

 

안랩 관계자는 "감염 후 1. 파일을 삭제하고, 2.하드디스크 파괴 기능이 MBR(Master Boot Record) 삽입되어 있으며, 3. 데이터 영역 삭제 시에 특정 문자열(PRINCPES같은)이 아닌 랜덤 문자열로 덮어쓰기를 시도하고 ,감염 즉시 데이터 영역을 삭제하지 않고 재부팅시 삭제하는 점 등은 2013.3.20 사이버 테러에는 없던 증상"이라며 "이밖에 패스워드 변경 및 바탕화면 변경도 이전에는 없던 점"이라고 전했다.

 

해당 악성코드는 V3제품군(기업용 V3 IS(Internet Security) 계열과 개인용 무료백신 V3 Lite(2013.6 출시 버전)으로 진단/치료할 수 있으며, 볼륨보호 기능이 있어 MBR 파괴를 막을 수 있다.

 

안랩 관계자는 "현재까지 분석결과 악성코드가 기업,기관 등 서버 관리자를 타킷으로 한 것으로 보이나 내부 테스트결과 개인PC에서도 작동한다."며 주의를 당부했다.

 

안랩은 하드디스크파괴 악성코드 분석결과를 한국인터넷진흥원(KISA) 등 유관기관에 공유했다.


 항목

 3.20 사이버 테러

 6.25 사이버 테러 

주요 항목

 세부 항목

 주요 특징

 

 - MBR 삭제, 데이터 영역 삭제

 - MBR 삭제, 데이터 영역 삭제, 파일삭제

-MBR에 삭제 코드를 직접 삽입

 MBR 삭제

 MBR 삭제 코드 위치

 악성코드 자체에 기능으로 존재

 -MBR 코드를 수정하여 삭제 코드를 삽입

 MBR 삭제 방법

 -PRINCPESHASTATI” 등의 문자열로 덮어씀

 - 랜덤 문자열 ( 쓰레기 문자열 ) 로 덮어씀

 MBR 삭제 시점

 -감염 즉시 삭제
특정 시간까지 대기 후 삭제 ( 3 20 14 )

 - 재부팅 시 삭제

 데이터 영역 삭제

 데이터 영역 
삭제 방법

 - 5.3 MB 간격으로 100 KB 크기 만큼 덮어씀
PRINCPESHASTATI” 등의 문자열로 덮어씀

 -524 KB 간격으로 32KB 크기만큼 덮어씀
랜덤 문자열 ( 쓰레기 문자열 ) 로 덮어씀

 데이터 영역
삭제 시점

 -감염 즉시 삭제
특정 시간까지 대기 후 삭제
 ( 3 20 14 )

 -재부팅 시 삭제

 파일 삭제

 파일 삭제 방법

 -기능 없음

 -실행파일인 경우 바로 삭제
그림비디오웹관련 파일인 경우 이름 변경후 삭제
이외의 파일인 경우 쓰레기값으로 덮어쓴 후 삭제

 파일 삭제 시점

 -기능 없음

 -감염 즉시 삭제

 기타

 

 - 백신 제품 프로세스 강제 종료
원격 관리툴 설정파일 정보를 이용한 원격 접속 기능
- Unix 계열의 시스템도 공격 대상

 -특정 IP 에 접속하여 감염 PC 정보 유출
- Administrator 계정 P/W "highanon2013"으로 변경
바탕화면을 특정 그림파일로
변경


댓글을 달아 주세요