정보보호 전공 대학생의 눈으로 본 금융 보안 대책

현장속으로/세미나 2013. 9. 26. 07:00

지난 7 11일 금융위원회는 최근 잇따라 발생한 금융권 전산망 공격의 대안으로 금융전산 보안 강화 종합 대책을 발표했다. 날로 대형화, 지능화gk는 보안 위협에 대응하기 위한 대응 체계로 업계의 가장 큰 주목을 받은 사안은 단연 금융 전산 망분리 의무화 추진이었다.

 

9 14일 서울여대에서 열린 제 2 Lemon-APNG 정보보안 컨퍼런스에서는 서울여대 안은희 학생의 금융권의 망분리 보안 대책에 관한 발표가 진행되었다아래는 주요 내용.


 

스파이처럼 침투해 스폰지처럼 감염되고 때를 기다리는 숨바꼭질형 악성코드. 바로 APT 공격이다. 해커는 목표물을 먼저 조사한 뒤 내부 직원이 접속할 만한 시스템을 악성코드에 감염시킨다. 내부 직원이 웹 서핑을 하다가 악성코드를 다운로드하면 악성코드가 내부 직원 컴퓨터에 들어오게 된다. 이때부터 악성코드는 때를 기다리는 숨바꼭질을 한다. 악성코드는 서버 인프라 구조를 파악하고 회사와 관련한 모든 정보를 천천히 시간을 들여 살펴본다. 그리고 흔적을 남기지 않고 은밀히 활동하면서 회사 내의 보안 서비스를 무력화하고 유유히 정보를 유출한다. 따라서 공격을 당한 기업은 한참 뒤에야 해킹 사실을 알게 된다.

 

올해 초 문제가 되었던 방송사, 금융사 3.20 해킹 사태에서도 공격자가 백신, Active-X로 위장한 악성코드를 이용해 업무용 PC, ATM, 내부 서버를 공격했다. 이 사태로 망 분리의 외면이 피해를 키웠고 망 분리가 제2 3.20 사태를 막을 것이라며, 기존 단일 망에서 발생되는 공격의 위험을 막기 위한 대응책으로 망 분리 기술이 대두되었다.

 

망 분리란?

 망 분리란 내부 정보 유출 방지 외부로부터의 침해를 차단하기 위해 컴퓨터를 업무 영역과 인터넷 영역으로 나누는 것으로 외부 해킹사고 발생 감소, 악성코드 내부 망 침투 방지, 침해에 따른 업무 손실 최소화, 중요자료 유출 및 훼손 방지와 같은 효과를 기대할 수 있다.

망 분리 기술은 다음과 같이 분류된다. 

  복수PC는 업무PC와 인터넷PC를 별도 제공하는 명확한 개념의 망 분리로 물리적 망 분리에 주로 사용된다. 사용자의 부주의 및 악의적 의도로 두 PC간 자료 이동 시 보조기억장치를 통해 인터넷PC에 감염된 악성코드가 업무PC 유입할 수 있는 위험이 존재한다. 네트워크 전환장치는 전환장치를 통해서 내부 망과 외부 망 분리하는 기술이다. 서버기반 가상화는 한 대의 PC를 업무PC로 사용하는 동시에 가상화 서버를 이용하여 인터넷 사용하는 기술로 업무서버로만 접속할 수 있으므로 문서의 외부 유출을 방지할 수 있다. 업무와 인터넷 모두 각각의 중앙 서버에서 통제하므로 유지보수에 용이하지만 인터넷 수집 자료를 PC에 저장 시 해킹의 우려가 있다. 또 가상서버 구축 비용을 필요로 한다. SBC는 통합서버를 여러 사용자가 같이 사용하는 방식으로, 사용자에게는 망으로 화면만 전송되는 방식이다. 각각의 사용자들은 사용자간 환경과 프로그램을 공유하기 때문에 같은 환경과 프로그램을 사용하게 된다. VDI의 경우 개인별 인터넷 PC를 통합된 서버에 개별적으로 설치하게 되어 사용자 별로 개별 OS와 프로그램을 사용할 수 있다. PC기반 가상화는 기존 PC에 가상화된 인터넷 영역 생성하는 방식으로 가상화 서버를 따로 구축하지 않아도 되므로 비용 면에서 가장 효율적이다. 그러나 인터넷 영역과 업무 영역간의 자료이동간 정책을 필요하고 사용자의 부주의 및 악의적 의도로 두 보조기억장치를 통한 정보유출 및 악성코드 감염의 위험이 있다. CBC는 하나의 PC를 두 개의 별도 PCOS를 분리하는 방식이다.

 

망 분리 추진 현황과 추진 방향

 금융당국은 강화된 금융IT보안정책을 통해 금융사의 전산센터에는 물리적 망 분리를 의무화하고 업무의 경우 물리적과 논리적 망 분리를 선택할 수 있는 방안을 제시했다. 

 현재 업종별 망분리 선택 방법을 살펴보면 물리적 망 분리 방식이 전체의 37%에 달하는 모습을 보인다. 은행, 카드, 캐피탈과 같은 다수의 지점과 직원을 가진 업종에서는 논리적 망 분리 방식이 우세를 띄었고 증권, 보험에서는 균등한 비율을, 금융 공기업에서는 물리적 망 분리 방식이 우세를 보이고 있다. 보안성이 가장 우수한 물리적 망 분리가 대규모의 구축 비용과 업무환경 연계 효용성이 극히 낮은 것을 고려하여 업종 상황에 맞는 방식을 채택하고 있음을 알 수 있다. 앞으로의 망 분리는 한 대의 PC속에 가상의 PC를 소프트웨어로 구현해, 기존 ‘1 2PC’ 방식보다 비용이 저렴하고 PC에서 배출하는 이산화탄소와 각종 유해화학물질을 줄일 수 있는 친환경적인 PC 가상화 기술을 활용하여 단말표준환경(AD)에 인터넷 전용 PC를 추가 제공하는 형태로, 분리 요건을 실행하면서도 기존 인터넷 사용방식과 업무화면 변경이 최소화될 수 있도록 추진되고 있다.

 

향후 망 분리 사업 추진 시 고려 사항

현재 금융권이 발표한 금융전산 보안 강화 종합대책은 금융업종의 특수성과 업무 프로세스가 반영되지 않은 상태이다. 망 분리 세부 대책 가이드의 보안이 필요하고 한국 정보화 진흥원, 한국 인터넷 진흥원이 주도적으로 가이드를 배포할 필요성이 있다. 또한 망 분리 사업이 많은 비용을 필요로 하는 만큼 망 분리의 세부 요건의 기준을 명시하고 배포할 필요가 있다.

 

망 분리의 의무화에 대한 정부의 정책으로 망 분리 사업이 재조명되고 있다. 각 은행 및 기업들이 발 빠르게 망 분리 도입에 속도를 올리고 있다. 그러나 망 분리 시스템이 구축되어서 해결될 문제는 아니다. 앞에서 소개했던 다양한 망 분리 기술은 각각의 장단점을 가지고 있지만 어느 하나 완벽한 보안성을 가진 기술은 없다. 이는 사용자의 보안의식 없이는 어느 것도 안전할 수 없다는 것을 말해준다. 망 분리의 의무화가 이루어지더라도 제2 3.20사태를 막기 위해서는 그에 따른 교육이 필수적이다. 앞으로의 망 분리 사업의 발전과 함께 신뢰성이 높으면서 구축 비용이 적게 들고 업무적용에 용이한 창의적인 망 분리 기술의 개발을 기대해 본다. Ahn


 

대학생기자 김지원 / 이화여대 컴퓨터공학과

 

댓글을 달아 주세요

[보안 바로 알기 캠페인]#6 : 백신기술 진화 바로알기

보안라이프/이슈&이슈 2013. 9. 9. 12:04

-악성코드 진화와 더불어 백신기술도 발전

-문자열진단, 시그니처기반/휴리스틱 기술 거쳐 최근 여러가지 기법 복합 적용

 

본 자료는 보안에 대한 올바른 정보 전파를 통해 자신과 직장의 정보와 재산을 보호하기 위한 안랩의 보안지식 공유 캠페인인보안 바로알기(Know the security) 캠페인의 일환으로 제공해드리는 자료입니다.

 

V3 탄생 25주년을 맞은 글로벌 보안 기업 안랩(대표 김홍선www.ahnlab.com)보안 바로알기(Know the security) 캠페인의 일환으로 지난백신 바로알기’, ‘APT 바로알기’, ‘보안 종결론 바로알기’, ‘위장 악성코드 바로알기’, ‘인터넷뱅킹 보안위협 바로알기에 이어, <아래> 정보를 안랩의 블로그 및 SNS를 통해 배포했습니다.

 

---<   >---

 

악성코드 VS 백신기술, 승자는 누구?

 

영화 ‘고지전’을 보신 분이라면 애록고지를 놓고 매일같이 싸운 악어중대와 북한군을 기억하실 겁니다. 고지점령에 성공했다 싶으면 바로 상대편에게 빼앗기고, 다시 되찾기 위해 또다시 전투를 시작합니다. 이 과정에서 상대의 전술을 확인하고 자신의 전력을 가다듬던 장면들이 생생하게 기억납니다.

 

악성코드와 백신기술은 마치 이들과 닮아 있습니다. 이들은 서로의 진화에 맞서 발전해 왔기 때문입니다. 특정 악성코드가 발견되면 이를 막기 위해 백신 프로그램이 개발되었습니다. 결국 서로에 대한 공격과 방어 과정이 백신 기술의 발전을 이끌고 가고 있습니다.

 

[보안 바로알기 캠페인 6: 백신기술의 진화 바로알기] 편에서는 악성코드가 변모하는 동안 백신의 악성코드 대응기술이 어떤 방향으로 진화해 왔는지 알아보도록 하겠습니다.

 

1980년대: 전쟁의 서막(낭만의 시대?)

19869, 파키스탄의 두 프로그래머 형제가 최초의 PC용 바이러스 '브레인(Brain)'을 제작해 유포했습니다. 브레인 바이러스는 당시 가장 많이 보급되고 있던 MS-DOS 운영체제에서 실행되었기 때문에, 전세계적으로 빠르게 확산되어 많은 피해를 끼쳤습니다. 이후 수많은 바이러스가 등장하기 시작했고, 이에 대응하기 위한 백신 프로그램의 개발이 이어졌습니다. (최초의 바이러스라고 언급된 ‘브레인’ 이전에, 다른 바이러스가 존재했다는 견해도 있습니다.)

 

초기 바이러스와 백신 프로그램의 공격과 방어는 매우 단순한 방식이었습니다. 초기 백신프로그램에는 특정 바이러스에만 존재하는 문자열을 비교하는 '문자열 진단 기술'이 활용됐습니다. 이는 프로그램의 코드 중 문자열(string)을 단순 비교해 악성코드 여부를 판명하는 기술입니다. 또한 당시 백신프로그램은 해시(hash)값을 통해서 작동했습니다. 해시값이란 각 파일이 생성됐을 때 갖고 있는 고유의 지문과 같은 것입니다. 파일명을 변경해도 이 값은 변하지 않습니다. 백신 프로그램은 악성코드에 해시값을 할당하여 해시값이 변조될 때마다 경고메시지가 뜨는 형태로 악성코드를 탐지해 사용자에게 경고 메시지를 띄우는 형태였습니다.

 

문제는 이 방법들은 주로 사용자 스스로 악성 여부를 판단 해야 했고, 너무 많은 경고를 띄워서, 보안을 잘 모르는 대다수의 사람들은 무시하기 일쑤였다는 것입니다. 또한 고급언어를 사용한 트로이목마, 웜 등의 악성코드가 증가하면서 진단에 어려움을 겪게 되었습니다. 고급언어로 구성된 악성코드를 단순 문자열만으로 진단할 경우 오진이 발생하기 때문입니다.

 

악성행위를 하는 바이러스, , 트로이목마 등은 모두 특징이 있습니다. 요즘에는 이 모든 것을 악성코드(Malicious Software, 일명 멀웨어)라고 표현합니다.

 

1990년대 : 대결의 고도화

1995년 윈도우 95가 대중화되어 MS-DOS를 대체해 사용되면서 악성코드도 큰 변화를 맞이했습니다. 악성코드 활동 영역이 도스에서 오피스 문서, 윈도우로 확대됐고 인터넷이 보편화 되면서 이메일을 악용하기도 했습니다. 또한 악성코드 제작자들의 백신 연구로 각종 신/변종 악성코드가 출현하게 되었습니다. 따라서 새로운 기법과 함께 점차 증가하는 악성코드에 대응하기 위한 여러가지 악성코드 대응기술이 등장했습니다.

 

앞서 언급한 문자열 진단 기술과 해시진단은 모두 '시그니처 기반 기술'에 속합니다. 시그니처기반 기술은 악성코드를 식별하는 가장 일반적인 방법입니다. 백신 프로그램으로 PC 내 파일을 스캔해 사전에 백신 엔진에 등록된 바이러스 진단값(Virus Signature, 바이러스의 고유한 비트열이나 이진수의 패턴, 특정 바이러스를 검색하기 위해 사용되는 지문과 같은 것)과 일치하면 치료하는 방식입니다.

 

하지만 기존의 시그니처 기반 기술은 백신 엔진에 지금까지 알려진 바이러스의 진단값만 등록되어 있어 신종 바이러스에는 빠르게 대처하기 어렵고 변종을 탐지하기 어렵다는 단점이 있습니다. 따라서 이 시기부터는 단순 진단 외에 더욱 다양한 방법을 활용한 시그니처 기반 기술로 변화되기 시작합니다.

 

뿐만 아니라 변종 악성코드를 탐지해 내기 위해 '휴리스틱 기술'이 개발됐습니다. 휴리스틱 기술은 원본 파일의 일부만 변경돼도 전혀 다른 파일로 인지해버리는 기존 기술의 한계를 극복하기 위한 기술입니다. 특정 코드의 행위 방식이 이미 알려진 악성코드의 행위 방식과 얼마나 유사한지를 분석해 알려지지 않은 악성코드를 탐지해 냅니다. 다만 그 특성상 오진이나 과탐의 이슈가 발생하기도 합니다.

  

2000년대: 새로운 전쟁

2000년대 들어 파일이 아닌 네트워크 단에서 악성 여부를 검사하는 네트워크 검사 기술이 개발됐고, 백신 프로그램에 방화벽 기능이 탑재되기 시작했습니다.

 

여기에서 악성코드도 새로운 장을 열기 시작했습니다. 가장 중요한 트렌드가 바로 금전적 목적의 악성코드 배포와 악성코드의 소규모 다품종 생산입니다. 악성코드 제작자들은 더 이상 실력과시가 아닌, 금전을 목적으로 악성코드를 만들기 시작했고, 이에 따라 자연스럽게 불특정 다수가 아닌, 특정 조직을 끈질기게 노리기 시작했습니다. 널리 퍼지지 않았으니, 보안업체가 발견해서 백신 엔진에 업데이트 하기도 힘들어 졌습니다. 또한, 이메일나 SNS 등 매체의 발달로, 악성코드가 퍼질 수 있는 길은 더욱 많아졌습니다.

 

이런 트렌드에 대응하기 위해 등장한 것이, 악성코드를 가상화된 공간에서 실행하고 위험 유무를 확인하는 행동기반 탐지기술과, 클라우드 기술을 이용해 악성코드 여부를 PC가 아닌 악성코드 정보가 모여있는 서버에서 판단해주는 클라우드 기반 탐지 기술, 파일에 대한 사용자 수, 제작일 등의 평판을 기반으로 하는 평판 기반 기술 등입니다. 최근에는 실시간 대응을 위해 시그니처 기반+ 평판기반+행동기반 방식들을 함께 사용하고 있는 추세입니다

 

안랩 역시 독자적인 다차원 분석 플랫폼 구축을 완료했습니다. 안랩의 ‘다차원 분석 기술’은 기존의 행위기반과 평판 기반 등 다양한 분석 기술, 클라우드 기술을 복합적으로 적용함으로써 위협 유입 단계부터 대응을 가능케 하는 신개념 종합 위협 대응 기술입니다. 이와 같은 분석기술은 위협에 대한 정확한 진단을 가능하게 하며, 미탐/오탐을 최소화 하고 신/변종 악성코드까지 탐지하는 장점을 가지고 있습니다.

 

지금까지 백신과 악성코드 전쟁의 큰 흐름만 짚어보았습니다. 이처럼 백신기술은 현재 진화를 거듭하며 악성코드를 탐지해내는데 총력을 다하고 있습니다. 현재 백신은 ‘알려진 악성코드’에 대한 대응적(reactive) 방어책에서 알려지지 않은 악성코드(unknown)에 대한 예방적(proactive) 솔루션으로 진화하고 있습니다.

기존 보안 기술을 뛰어넘는 악성코드는 계속 나올 것이고, 그에 대한 백신 기술 또한 반드시 나올 것입니다. 안랩 통계에 따르면, 하루에 15~50만개의 신/변종 악성코드가 생겨나고 있습니다. , 열흘만 PC백신 업데이트를 하지 않아도, 여러분의 PC는 최대 500만개의 악성코드 위협에 노출 될 수 있습니다.

이런 끝나지 않는 악성코드와 백신기술과의 전쟁에서, 피해자가 되지 않기 위해서는 백신프로그램의 지속적인 업데이트 및 검사실행, 수상한 메일이나 SNS URL 클릭 자제하기, 비밀번호 자주 바꾸기, 수상한 첨부파일 실행 자제 등 생활 속의 작은 보안 습관이 더욱 중요합니다. Ahn


 

댓글을 달아 주세요

[보안 바로 알기 캠페인] #5 : 인터넷 뱅킹 보안 위협

보안라이프/이슈&이슈 2013. 8. 19. 17:55

예전에 제가 초등학교로 명칭이 바뀌기 전인 국민학교시절에 선생님께서 이런 말씀을 하셨습니다. ‘이제 곧 물도 사먹는 시대가 올 거다.’ 이 말을 들은 -저를 포함한-당시 어린이들은 놀라지 않았습니다. 안 믿었거든요. 하지만 요즘은 생수 브랜드만 해도 수십 개나 있는 세상이 되었습니다.

와 비슷하게 인터넷이 퍼지기 시작한 시절, TV프로그램에서 인터넷으로만 1주일(한 달이었나요?)살아보기 프로그램을 했던 것으로 기억합니다.여기서 인터넷으로 피자를 시키고, 마트에서 장을 보니 배달까지 해주는 등 당시로서는 획기적인패턴에 방송 진행자도 놀랐던 기억이 납니다.하지만 지금은 누구나 쉽게 인터넷으로 물품 구매는 물론 은행업무까지 보는 세상이 되었죠.

 

안랩의 보안 바로알기(Know the security)캠페인의 다섯 번째 이야기는 어쩌면 지금까지 주제 중 우리 생활에 가장 밀접한 주제일 수 있는 인터넷뱅킹 보안위협 바로알기입니다.인터넷 뱅킹 이용자 8,000만명이 돌파한 요즘,아래 몇가지 이야기를 통해 인터넷뱅킹 보안위협에 대한 이해를 높여서더 안전하고 편리한 온라인 생활을 누리시면 좋겠습니다.

 

금융기관이 침해당해 내 돈이 빠져나간다?

현재까지 알려진 바로는 금융기관 침해로 인해 개인 사용자의 금전이 빠져나간 사례는 없습니다. 통계적으로 볼 때, 우리나라 기관들 중에서 보안에 가장 많이 투자하고 관심을 쏟는 곳이 금융업계라는 것은 사실입니다. 다만 이는 상대적인 규모이고, 이에 더해 아직 보안에 대한 더 많은 고민(금액의 문제가 아니라, 운영 및 인식의 문제입니다)이 필요한 것은 사실입니다.

 

사실, 쉬운 돈을 만지고 싶어하는 공격자가 대형 은행에 직접 침투해서 돈을 빼내오기란 쉬운 일이 아닙니다.그래서 해커들은 조금 더 수월한 개인 PC를 노립니다.여기서 개인 PC란 기업에서 직원이 사용하고 있는 PC도 포함되는 개념입니다(어차피 비슷한 공이 든다면 개인 보다 기업이 인터넷 뱅킹을 이용하는 금액이 훨씬 크니까요).

 

, 모든 수단을 동원해 개인(기업 내 개인 포함)의 금융정보를 빼내가려 한다는 것입니다 .먼저, 해커는피싱메일, SNSURL, P2P사이트, 악성코드를 포함한 문서, 배너광고,프로그램의 보안 취약점 등 광범위한 수단을 통해 악성코드를 감염시킵니다. 일단 악성코드가 침투하면,이후엔 금융정보를 채가기 위한 모든 시도를 합니다.예를들어, 키보드로 입력되는 정보를 빼내기 위해 이를 탈취하는 키로거를 설치합니다.화면캡처가 필요하면 화면캡처를 합니다.만약 목표 개인(기업 내 개인 포함)이 사용하는 주거래 은행이 보안카드를 사용한다면 보안카드 정보를 빼내기 위해 자신이 만든 가짜 사이트로 유도하는 악성코드를 심습니다.가끔 이거저거 다 필요없이 보이스 피싱도 합니다.

 

여기에 최근에는 개인 사용자의 PC에 침투해서,감염된 PC로 특정 은행 사이트를 방문할 시,보안을 위해 자동으로 구동되는 키보드 보안솔루션, 공인인증서 등 보안모듈의 메모리를 해킹(수정)해개인의 금융 정보를 유출하는 악성코드도 국내에서 발견되었습니다.,사용자는 정상 은행사이트를 이용하는 과정에서 자기도 모르게 금융정보를 탈취당하는 것입니다.

 

해외 모 기업의 경우 재무 담당직원이 피싱메일에 속아 인터넷뱅킹 접속용 OTP정보를 포함한 로그인 정보가 모두 해커에게 유출되었고, 55만달러가 해커에 의해 해외로 송금되는 결과가 발생했습니다.지루한 법원 공방 끝에 법원은 은행의 책임으로 판단했지만,이는 기업과 은행이 모두 해커에게 속아 넘어간 예시가 되었습니다.물론, 기업과 은행 모두 기업 이미지 실추를 피할 수 없었습니다.

 

이렇게 공격자들은 은행의 시스템을 직접 노리기 보다,개인의 PC에 악성코드를 감염시키는 것을 공격의 첫 행위로 삼고 있습니다.이것은 보안 사고가 개인의 잘못이라는 뜻이 아니라 명백한 현대 보안의 트렌드입니다.

 

여기에도 보안 종결론이 등장?

일전에 저희 보안 바로알기 세 번째 주제가 보안 종결론이었습니다.특정 솔루션을 사용한다면, 혹은 이것을 사용하지 않는다면 은행보안 사고가 대부분 없어질 것이라는 주장입니다.

 

하지만 나름 자신들의 생계가 달린 문제여서일까요?아쉽게도 악성코드 제작자들은 그 정도에 굴하지 않습니다. 예를 들어,다양한 보안 솔루션을 사용하는 다양한 국가에서도 인터넷뱅킹 사고는 지속적으로 발생하고 있습니다.최근 중동에서 500억원 규모의 해킹 및 현금 불법인출 사건이 있었고,미국안티피싱 워킹그룹과 가트너에 따르면 미국 내 2010년 인터넷 뱅킹사고 금액은 기업피해만10억 달러(13백억)로 추정된다고 발표했습니다.일본의 경우도 2007년에 19천만 엔(22억원)을 기록한 후 현재는 소폭 감소추세에 있다고 합니다.

 

이렇게 기업 자율이든,공공기관 주도이든, 각기 다른 인증체제와 보안 정책을 사용하든아니든,는 모든 나라에서 인터넷뱅킹 보안위협은 계속 되고 있습니다.다시한번 강조하자면 악성코드를 이용해 개인 PC로 침입한 후 금융정보를 훔쳐가거나, 해킹을 시도하는 것이 현대 보안의 트렌드입니다.그리고 악성코드 제작자는 침투를 위해 특정 솔루션만 이용하는 것이 아니라, 피싱메일, 악성 URL, 소프트웨어 취약점,웹하드 등의 P2P 사이트, 악성코드를 포함한 문서, 배너광고, 프로그램의 보안 취약점 등 침투할 수 있는 모든 수단을 사용합니다.

 

 

어떻게 막을 수 있나?

그러면, 인터넷뱅킹 보안위협은 어차피 막을 수 없는 것일까요?저희가 이 캠페인을 시작한 시점에 말씀 드렸지만, 완벽한 보안은 없습니다.다만 보안의 취약한 부분(hole)을줄여나가면서 새로운 취약점이 발견되면 최대한 빨리 보완하고 대응하기 위한 노력이 계속 진행될 뿐입니다. 이런 보안의 취약점을 줄이기 위해서는 어느 한 곳만 노력해서는 되지 않습니다.

 

먼저 금융 및 공공기관에서는 현재 보안위협의 트렌드를 이해하고 올바른 정책을 실행해나가는 것이 필요합니다. 특히, 시스템에 보안을 맞추는 것이 아니라, 보안에 시스템을 맞추는 외국의 노력을 본받을 필요가 있습니다.예를 들어, 예전에는 아무리 혁신적이고 믿을 수 있었던 솔루션이라도 만약 악성코드 전파에 많이 이용된다면 이를 수정해 나갈 필요가 있습니다.

 

또한, 보안 솔루션을 도입한 것으로 그치지 말고,이를 적절히 운영할 수 있는 전문 보안인력을 육성하는 것이 필수적입니다. 기관 내에서 지속적으로 임직원 보안 교육을 실시하는 것은 두말 할 것도 없습니다.

 

개인의 경우엔, 어쩌면 듣기 힘든 말일 수도 있습니다만, 한번 자신에게나는 보안을 위해 어느 정도의 불편함을 감수할 수 있을까?”라는 질문을 해보는 것이 시작이 될 수 있습니다. 해외의 모 은행에서는 보안 및 다른 이유로 이체 한도 금액을 매우 축소하거나, 이체 날짜가 3-5일 걸리는 경우도 있습니다(실시간 이체는 수수료가 매우 높습니다).

 

또한, 사전에 이체 계좌를 등록해야 하고, 새로운 이체계좌를 등록할 때마다 계약서를 작성하는 경우도 있습니다. 인터넷 뱅킹 로그인 시에 본인인증을 위해 2-3개의 절차를 거치기도 합니다. 보안과 편리함은 서로 주고 받는 관계라는 인식을 바탕으로 나온 정책일 것입니다.

 

효율성과 편의성을 추구하는 성향이 강한 우리나라에서 이렇게 한다면 얼마나 많은 사람들이 이런 불편함을 기꺼이 감수할 수 있을까요? 개인 PC를 최초 시작점으로 노리는 현대의 보안 트렌드에서 사고의 책임이 개인 혹은 기관 어느 곳에 100%있다고 하기엔 어렵습니다. 기관의 경우엔 보안위협의 트렌드를 이해하고 준비하는 자세가 필요하고, 개인의 경우엔 조금 불편하더라도1) 송신자가 불분명한 수상한 메일의 첨부파일 및 링크 클릭을 자제하거나 2)소프트웨어 업체가 제공하는 보안패치 설치, 3)백신 업데이트 최신 버전 유지 4)사내에서 개인적인 인터넷 사용 자제등 기본적인 보안 수칙만 지켜도 대부분의 보안 위협은 막을 수 있습니다

 

또한, 이렇게만 하면 만사 해결이라는 식의 보안 종결론에 휘둘려서는 안됩니다. 만약 우리가 불의의 피해자가 되었을 때, 그 종결론을 주장하신 분들이 책임져주지 않습니다. 보안 위협은 어떤 시스템, 어떤 환경에서도 반드시 존재하며, 알려진 보안 위협을 막으면 또 다른 지금까지 알려지지 않은 보안 위협이 우리를 기다리고 있습니다. 보안은 함께 고민하고 노력해야 할 우리 모두의 몫입니다. <Ahn>

 


댓글을 달아 주세요

좀비PC부터 가짜백신까지 알아두면 좋은 보안 상식

보안라이프/이슈&이슈 2013. 7. 26. 08:57

보안은 IT가 발전할수록, PC, 스마트폰, 기업 등 생활 곳곳에서의 중요성이 점점 더 커지고 있다안랩에서는 현재 생활 속 알기 쉬운 보안’을 주제로 UCC 콘테스트를 진행 중이다. 이를 통해 많은 참가자들이 다양한 생활 속 보안을 UCC를 통해 보여주고 있다실제로 생활 속 작은 습관과 실천이 큰 보안사고들을 예방할 수 있는데, 알아두면 좋은 PC 보안 상식을 알아보자.

 

1. 악성코드

악성코드란 악의적인 목적을 위해 작성된 실행 가능한 코드의 통칭으로 자기 복제 능력과 감염 대상 유무에 따라 바이러스, , 트로이목마 등으로 분류가 된다.

좀비pc, 키로깅 등 대표적인 pc의 보안사고는 악성코드를 통해 감염이 된다. 갑자기 pc의 속도가 느려지거나 건드리지 않은 파일이 변경되어 삭제되었을 때, 팝업이 자주 뜰 때, 변경하지 않은 윈도우 설정이 바뀌었을 때. 위 증상은 악성코드에 감염되었을 때 나타나는 대표적인 증상이다. PC에 감염된 악성코드가 있는지 백신 프로그램을 이용하여 정기적인 검사를 통해 악성코드로 인한 피해를 줄여야 한다.

 

2. 키로깅

키로깅(Keylogging)은 사용자가 키보드로 PC에 입력하는 내용을 몰래 가로채어 기록하는 행위를 말한다.

이를 이용해 컴퓨터 사용자의 키보드 움직임을 탐지해 ID나 패스워드, 계좌번호, 카드번호 등과 같은 개인의 중요한 정보를 몰래 빼 가는 해킹 공격을 키로거 공격이라고 한다.

키로깅은 유령 13회에서도 소개가 되었는데, 키로깅 프로그램은 메일 등으로 첨부파일을 보내 사용자가 해당 파일을 다운받으면 자동으로 설치가 되는 것이 대부분이다.

키로깅을 예방하기 위해서는 아래 세가지 방법을 유의하고 실천하면 된다.

1. 내가 모르는 메일주소로 온다면 또한, 보안이 의심되는 메일이 온다면 바로바로 삭제한다.

2. 필요한 자료가 있어서 설치하게 된다면, 교묘하게 숨어있는 추가 프로그램들을 잘 확인해

 설치가 안되도록 한다.

3. 백신 프로그램, 개인정보보안 솔루션, 방화벽 등을 이용하여 수시로 감시하고 치료한다.

 

3. 좀비PC

좀비PC란 바이러스에 감염됐지만 스스로 인지하지 못한 채 스팸을 보내는 등 원격조종을 당하는 PC이다.

해커들은 타인의 PC에 악성코드를 통해 원격제어가 가능한 PC인 좀비PC를 만든다. 좀비PCC&C서버의 제어를 통해 DDoS 공격을 하여 문제를 일으킨다사용자들은 자신의 PC가 좀비PC인지 인식하지 못하는 경우가 대부분인데, 좀비PC 여부를 검사하는 방법은 대표적으로 두 가지가 있다.

먼저 한국인터넷진흥원(KISA)에서 제공하는 홈페이지(http://www.boho.or.kr/kor/check/check_03.jsp) 접속을 통해 자동검사를 할 수 있다.

또 다른 방법 하나는, CMD를 통해 알아보는 방법이다. 실행창에 CMD를 입력하여 엔터를 치고, netstat -n 명령어를 입력하면 결과 화면에 프로토콜, 로컬 주소, 외부 주소, 상태가 나타나는데 외부주소 끝에 :8080포트를 사용 중이며, 포트가 8080,8000이 나오면 좀비 상태일 가능성이 있다. 인터넷 웹서비스는 일반적으로 80포트를 사용하기 때문이다. 따라서 그 외의 포트를 사용시에는 좀비PC 감염을 일단 의심해 봐야 한다.

 

4. 방화벽

방화벽, 건축학에서의 방화벽은 화재 발생 시 불이 더 이상 번지지 않도록 하는 것이지만컴퓨터 네트워크 분야에서 방화벽은 해커나 크래커의 불법 침입을 차단하여 정보 유출, 시스템 파괴 등의 보안 문제를 사전에 방지하는 소프트웨어, 혹은 그 소프트웨어가 탑재된 하드웨어로 통용된다.

이는 인터넷과 같은 외부망으로부터 들어오는 접근 시도를 1차로 제어통제함으로써 내부 네트워크를 보호하는 역할을 하는데, 인터넷의 시작과 함께 1980년대부터 본격적으로 도입된 방화벽은 1세대 패킷 분석, 2세대 네트워크 연결 상태 분석, 3세대는 웹 브라우저를 통한 침입 및 공격을 막는 애플리케이션 방화벽 순서로 발전되었다.

방화벽의 작동 원리는 관리자가 설정해 놓은 보안 규칙에 따라 네트워크를 통해 들어오는 패킷을 허용 또는 차단한다.

일반적으로 사용되는 ‘Windows 방화벽은 개인용 보안 소프트웨어로 부족함 없는 보안성을 제공한다.

특정 프로그램을 설치하면 인터넷 연결에 앞서 방화벽 설정 해제 여부를 묻곤 하는데, 해당 프로그램이 보안상으로 확실히 안전하다고 판단되지 않는 경우 방화벽 설정을 해제하지 않는 것이 바람직하다.

바이러스로 인해 방화벽이 자동 해제되는 경우가 있으니, 자신의 방화벽이 잘 설정되었는지 주기적으로 확인하는 것도 중요하다.

 

5. 정품 소프트웨어 사용의 중요성

사무용소프트웨어연합(BSA)의 세계 SW 불법복제율 보고서에 따르면 한국이 40%로 세계 평균인 42%보다 낮지만 OECD 평균 27%를 훌쩍 넘어선다불법 소프트웨어 사용은 단순한 문제가 아니다

소프트웨어 불법 복제비율과 악성코드, 해킹 간에 높은 상관관계가 있다는 보고도 있을 정도로, 불법 복제율이 높을수록 악성코드 감염, 해킹피해가 높다.

이는 해커들이 좀비PC를 만들기 위해 정품 소프트웨어를 불법 배포 시 악성코드를 넣는 경우가 많기 때문이다. 불법 복제는 범죄행위이며, 국가 경쟁력을 약화시키며 소중한 개인정보 보호를 위해서라도 모두 정품 소프트웨어를 이용해야한다. 정품 소프트웨어를 사용할 여유가 없는 경우 무료용 소프트웨어인 프리웨어를 사용하는 것도 하나의 방법이다.

 

6. 악성 백신 프로그램(가짜 백신)

요즘은 P2P를 이용하여 음악, 영화 등 각종 파일을 많이 다운 받는다. 좋은 정보도 많고 편리하기 때문에 사용자들이 매우 많지만, 자칫 파일을 잘못 다운 받다가는 악성 백신이 설치가 된다.

악성 백신 프로그램은 PC 사용자의 의지가 아니라 자동으로 설치되어서 사용자 컴퓨터의 악성 바이러스를 없애준다고 하지만 시도 때도 없이 유료 결제창을 띄우며 결제를 유도하고 제대로 된 컴퓨터 사용을 방해하는 프로그램이다

이러한 악성백신은 삭제를 하여도 반복적으로 재설치가 되는 경우가 많기 때문에 파일의 삭제도 매우 어렵다. 이러한 프로그램은 실제 악성코드를 잘 분류하지 못하며, 심지어는 정상적인 시스템 파일을 악성코드로 인지하여 자칫하면 악성코드를 삭제하는 것이 아니라 시스템을 망쳐버리는 결과를 낳는다. 악성백신은 주로 P2P를 이용하여 깔리므로 백신은 공인된 우수한 백신을 이용하고, P2P를 이용할 때는 항상 주의해야 한다. 

DDoS 공격을 일으키는 좀비PC의 원인 중 하나인 키로깅과 같은 악성코드, 방화벽정품 소프트웨어 사용으로 예방할 수 있고,P2P사용을 통해서 악성코드뿐 아니라 악성 백신 프로그램pc의 위험에 노출되게 한다는 것을 명심해야 할 것이다.

이 밖에도 다양한 보안 이야기를 안랩 UCC 콘테스트(https://www.facebook.com/AhnContest)에서 들려주고 있으니 안전한 PC 환경을 위해 자주 방문해봄 직하다. Ahn 

 

 대학생기자 박서진 / 서울여대 정보보호학과

 끝없이 노력하고 끝없이 인내하고 끝없이 겸손하자.

 

댓글을 달아 주세요

  1. visitor 2014.02.05 14:18  Address |  Modify / Delete |  Reply

    좋은 글 잘 보고 갑니다! ^^

[보안 바로 알기 캠페인] #4 : 위장 악성코드 바로알기

보안라이프/이슈&이슈 2013. 7. 11. 11:07

Masquerade. 익숙하지 않은 영단어입니다. 뜻이 참 재미있는데요, 명사로 쓰일 때는 가장무도회가장이라는 뜻도 있고, 동사로 쓰일 때는 ‘~~인 체하다’, ‘~~라고 자신을 속이다’, ‘~~으로 변장하다라는 뜻이 있습니다. 갑자기 웬 영어단어 이야기냐구요? 안랩의 보안 바로알기(Know the security), 캠페인의 네 번째 이야기가 바로 이 위장 악성코드에 대한 것이라, 관련해서 재미있는 영어단어로 시작해 보았습니다.

 

악성코드임을 알면 누구도 그 파일을 내 PC에 설치하기 싫어할 겁니다. 그래서 악성코드 제작자들은 자신의 악성코드를 PC에 침투시키기 위해서 자연스럽게 위장이라는 방법을 택했습니다. 이 위장의 범위는 정말이지 너무나 다양해서 모두 설명하기는 어렵습니다. 한마디로 사람을 속일 수 있는 방법이면 뭐든지 다 사용하는데요, 지금부터 어떤 위장의 형태를 사용하고 있는지 대표적인 형태를 알아보겠습니다.

 

 

유명 프로그램 및 앱 위장

이 위장 형태는 그야말로 고전이라고 볼 수 있습니다. 컴퓨터 바이러스의 시조라고 할 수 있는 ‘Brain’ 바이러스도 컴퓨터 프로그래머 형제가 불법 복제하는 사람들에게 자그마한 복수를 하기 위해 자신들의 프로그램에다가 살짝 끼워넣은 것이니 위장이라면 위장일수도 있겠습니다.

 

위장(사칭)하는 프로그램은 일반 사무용 프로그램에서 인기 게임 고득점 프로그램까지 그야말로 다양합니다. PC에서 사용 가능한 모든 프로그램이 그 대상이라고 봐도 무방합니다. 재미있는 것은 악성코드로부터 PC를 지켜주는 백신 프로그램을 위장(사칭)하는 경우도 심심찮게 발견 된다는 것입니다. 특히, 특정 지역에서 인기가 높은 백신이 사칭의 대상이 되는데요, 우리나라의 경우 안랩의 V3를 사칭한 경우도 있었고, 외신을 살펴보면 맥아피사와 시만텍사의 제품을 사칭한 경우도 자주 보고되기도 합니다. 이 때문에 가끔씩은 제품에 문제가 있다는 오해를 사기도 하지만, 바꿔 말하면 가장 신뢰받는 제품을 위장 대상으로 삼는다고 할 수 있습니다.

 

최근에는 스마트폰을 비롯한 모바일 환경이 확산됨에 따라 모바일 악성코드도 기승을 부리고 있는데요, 이들도 대부분 인기 앱을 사칭하는 경우가 많습니다. 주로 인기 게임을 사칭하고, 여기서도 보안 제품을 사칭한 경우도 있었습니다.

 

따라서 PC나 모바일에서 프로그램(모바일의 경우 앱)을 다운로드 받을 때, 제작자를 반드시 확인하고, 출처가 불분명하거나 평판이 좋지 않다면 설치를 자제하는 것이 좋습니다. 또한, 업체에서 제공하는 보안 패치는 빠지지 않고 제때 설치해야 합니다.

 

문서 파일 위장

모르는 사람에게서 메일을 받았을 때, 첨부파일에 ‘.exe’파일과 ‘.pdf’파일 중 어떤 것을 더 쉽게 열어볼까요? 워드나 한글, PPT 등의 문서파일 등을 위장하면 사람들이 의심 없이 열어보기 쉽습니다. 열어 보더라도 실제 관련 내용을 보여주고, 보이지 않는 뒷단에서 악성코드 설치를 시도하기 때문에 사용자가 알아채기도 어렵습니다.

 

최근에 북핵관련 문서, 출장보고서, 조류독감 안내문 등 다양한 주제의 문서를 위장한 악성코드가 발견되기도 했습니다. 이런 이 악성문서는 문서 편집 프로그램이나 뷰어 등에 에 존재하는 알려진, 혹은 알려지지 않은 보안 취약점을 이용해 PC에 침투합니다. 보안 패치가 되어 있지 않은 문서 편집 프로그램이나 뷰어로 악성문서를 열면 악성코드에 감염되는 것입니다.

 

이런 문서를 위장한 악성코드는 요새 APT(지능형 지속 위협)방식의 공격에 사용된 사례가 보고되기도 했습니다. 이러한 위협을 피하기 위해서는, 출처가 불분명한 문서파일을 받았을 때는 실행하지 않는 것이 좋습니다.

 

메일 위장

위장하면 주요 정보로 위장한 악성 이메일을 빼놓을 수 없습니다. 보안 업계의 자료에 따르면 APT공격의 90%에 악성코드를 첨부한 이메일이 사용되었습니다. 그 정도로 위장 메일은 보안 위협, 특히 표적 사이버 공격에 자주 사용되고 있습니다.

 

최근의 경우만 보더라도 은행 공지, 이메일 청첩장, 금융사 정보, 통화 및 카드 명세서, 유명 국제 운송회사 송장, 페이스북 관리자, 교통 범칙금까지 매우 다양한 내용 및 발신자로 위장한 악성메일이 발견되었습니다. 이런 악성메일은 대부분 첨부파일을 실행하도록 유도하고 있는데, 이를 실행하는 순간 PC에 악성코드가 침투합니다. 특히, 최근에는 국내에서는 실제와 구분하기 어려울 정도로 유사하게 제작된 신용카드 거래 명세서를 위장한 경우가 있었고, 해외에서는 글로벌 운송회사의 화물추적 및 운송장을 위장한 사례가 꾸준히 발견되고 있습니다.

 

피해 예방을 위해서는 메일의 발신자를 반드시 확인해야 합니다. 사칭한 메일 계정은 정상 계정과 비교해 어딘가 다른 부분이 있게 마련입니다. 또한, 호기심을 자극하는 내용이더라도 문법이 조금 틀리다거나, 어색한 표현 등 조금이라도 수상한 점이 보인다면 메일 및 첨부파일을 열어보지 않는 것이 좋습니다.

 

 

위의 경우 이외에도 악성코드가 위장하는 방법은 더욱 다양해지는 동시에 교묘해지고 있습니다. 악성코드 피해를 줄이기 위해서는 세가지만 기억하시길 바랍니다.  

1)백신 최신 버전 유지

2)프로그램 제작사에서 제공하는 보안패치 제때 설치

3)발신자가 불분명한 메일 및 첨부파일, 첨부 URL 실행 금지

 

회사나 가정에서 개인이 조금만 주의해도 보안위협은 크게 줄어들 수 있습니다.

 

* 보안 바로알기 캠페인의 각각 내용들은 현재 진행 중인 "안랩 UCC 콘테스트"의 소재로도 이용할 수 있습니다

댓글을 달아 주세요

  1. 임지연ㄴ 2013.07.11 21:42  Address |  Modify / Delete |  Reply

    좋은글 잘봤습니다!

안랩, 하드디스크 파괴 악성코드 상세분석결과 중간 발표

보안라이프/이슈&이슈 2013. 6. 28. 11:26

- 파일 삭제, 하드디스크 파괴, 하드디스크 파괴 기능의 MBR 삽입 등이 주요특징

- 3.20 사이버 테러 악성코드와 기능상 다양한 차이점 존재- V3 제품군(기업용 V3 IS(Internet Security) 계열과 개인용 무료백신 V3 Lite(2013.6 출시 버전))으로 진단/치료 가능 

 

정보보안 기업 안랩(대표 김홍선 www.ahnlab.com)은 지난 25일 일부 정부기관에 대한 디도스(DDoS: Distributed Denial of Service, 분산 서비스 거부) 공격 관련 (26일 새벽 02 20분경 발표한)보도자료에서 언급한 '하드디스크 파괴기능을 가진 악성코드'의 상세분석결과를 28일 중간발표했다.

 

이번 악성코드의 특징은 감염 후 1.파일 삭제, 2. 사용자 PC 재부팅 시 하드디스크 파괴(MBR 삭제, 데이터 영역 삭제), 3.하드디스크 파괴 기능의 MBR(Master Boot Record) 직접 삽입이다.

 

특히 PC를 켜는데(PC 부팅) 필요한 정보들이 저장된 영역인 MBR에 하드디스크를 파괴하는 코드가 삽입되어있어 백신 제품의 치료를 어렵게 한다.

* MBR 기능: MBR은 부팅에 필요한  정보가 저장된 영역이다. PC에 전원이 들어오면 메모리가 MBR에 있는 정보를 읽어서 운영체제(OS:Operating System)를 작동시킨다.

 

또한 파일 삭제나 하드디스크 파괴를 수행하는 과정 중에 시스템 크래쉬(System Crash) 등 여러가지 이유로 BSOD(Blue Screen Of Death)현상이 나타나거나 재부팅하더라도 파괴 기능이 지속된다.

* 시스템 크래쉬(System Crash: 시스템 충돌. BSOD(Blue Screen Of Death), 재부팅 등 컴퓨터 장애의 원인 중 하나

* BSOD(Blue Screen Of Death:작동오류로 블루스크린이 나타나는 현상)

 

특히 안랩은 이번 공격에 사용된 악성코드는 2013.3.20 사이버 테러와는 차이를 보인다고 밝혔다.

 

안랩 관계자는 "감염 후 1. 파일을 삭제하고, 2.하드디스크 파괴 기능이 MBR(Master Boot Record) 삽입되어 있으며, 3. 데이터 영역 삭제 시에 특정 문자열(PRINCPES같은)이 아닌 랜덤 문자열로 덮어쓰기를 시도하고 ,감염 즉시 데이터 영역을 삭제하지 않고 재부팅시 삭제하는 점 등은 2013.3.20 사이버 테러에는 없던 증상"이라며 "이밖에 패스워드 변경 및 바탕화면 변경도 이전에는 없던 점"이라고 전했다.

 

해당 악성코드는 V3제품군(기업용 V3 IS(Internet Security) 계열과 개인용 무료백신 V3 Lite(2013.6 출시 버전)으로 진단/치료할 수 있으며, 볼륨보호 기능이 있어 MBR 파괴를 막을 수 있다.

 

안랩 관계자는 "현재까지 분석결과 악성코드가 기업,기관 등 서버 관리자를 타킷으로 한 것으로 보이나 내부 테스트결과 개인PC에서도 작동한다."며 주의를 당부했다.

 

안랩은 하드디스크파괴 악성코드 분석결과를 한국인터넷진흥원(KISA) 등 유관기관에 공유했다.


 항목

 3.20 사이버 테러

 6.25 사이버 테러 

주요 항목

 세부 항목

 주요 특징

 

 - MBR 삭제, 데이터 영역 삭제

 - MBR 삭제, 데이터 영역 삭제, 파일삭제

-MBR에 삭제 코드를 직접 삽입

 MBR 삭제

 MBR 삭제 코드 위치

 악성코드 자체에 기능으로 존재

 -MBR 코드를 수정하여 삭제 코드를 삽입

 MBR 삭제 방법

 -PRINCPESHASTATI” 등의 문자열로 덮어씀

 - 랜덤 문자열 ( 쓰레기 문자열 ) 로 덮어씀

 MBR 삭제 시점

 -감염 즉시 삭제
특정 시간까지 대기 후 삭제 ( 3 20 14 )

 - 재부팅 시 삭제

 데이터 영역 삭제

 데이터 영역 
삭제 방법

 - 5.3 MB 간격으로 100 KB 크기 만큼 덮어씀
PRINCPESHASTATI” 등의 문자열로 덮어씀

 -524 KB 간격으로 32KB 크기만큼 덮어씀
랜덤 문자열 ( 쓰레기 문자열 ) 로 덮어씀

 데이터 영역
삭제 시점

 -감염 즉시 삭제
특정 시간까지 대기 후 삭제
 ( 3 20 14 )

 -재부팅 시 삭제

 파일 삭제

 파일 삭제 방법

 -기능 없음

 -실행파일인 경우 바로 삭제
그림비디오웹관련 파일인 경우 이름 변경후 삭제
이외의 파일인 경우 쓰레기값으로 덮어쓴 후 삭제

 파일 삭제 시점

 -기능 없음

 -감염 즉시 삭제

 기타

 

 - 백신 제품 프로세스 강제 종료
원격 관리툴 설정파일 정보를 이용한 원격 접속 기능
- Unix 계열의 시스템도 공격 대상

 -특정 IP 에 접속하여 감염 PC 정보 유출
- Administrator 계정 P/W "highanon2013"으로 변경
바탕화면을 특정 그림파일로
변경


댓글을 달아 주세요

안랩, 디도스 공격 악성코드 전용백신 제공

보안라이프/이슈&이슈 2013. 6. 28. 09:49

- 개인 및 기업 내 PC 좀비화 방지로 디도스 공격 근원 차단
- 개인은 물론 기업/기관도 무료 사용..기존 V3 사용자는 최신 버전으로 치료
 
정보보안 기업 안랩(대표 김홍선 www.ahnlab.com) 25일 일부 정부기관에 대한 디도스(DDoS: Distributed Denial of Service, 분산 서비스 거부) 공격이 발생함에 따라 사용자가 공격에 악용되지 않도록 디도스 공격 유발 악성코드를 진단/치료하는 전용백신을 개발해 무료 제공하고 있다. (http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=111)
 
26일 오후 17 35분부터 제공 중인 1차 전용백신에는 정부통합전산센터 웹사이트를 디도스 공격한 8개의 악성코드에 대한 진단/치료 기능이 들어있다. 27일 오후 5시부터 제공 중인 2차 전용백신에는 청와대, 국정원, 새누리당 웹사이트를 디도스 공격한 악성스크립트(JS/Agent)에 대한 진단/치료 기능이 추가됐다.      
 
이번 전용백신은 개인은 물론 기업/기관에서도 무료 사용할 수 있다. 또한 개인용 무료백신 ‘V3 LIte(http://www.ahnlab.com/kr/site/product/productView.do?prodSeq=8&svccode=aa1001&contentscode=483)를 비롯해 ‘V3 365 클리닉’(http://www.ahnlab.com/kr/site/product/productView.do?prodSeq=15), V3 Internet Security 8.0 V3 제품군 사용자는 사용 중인 제품의 최신 버전으로 진단/치료할 수 있다.
 
한편, 정부통합전산센터 웹사이트를 디도스 공격한 8개의 악성코드는 각기 역할이 나눠져 있다. 사용자가 웹하드 관련 업데이트 파일로 오인해 SimDiskup.exe 파일을 실행하면 ~simdisk.exe 파일이 생성되고 디도스 공격을 수행하는 oleschedsvc.dll 파일을 다운로드한다. (보충자료)
 
청와대, 국정원, 새누리당 웹사이트를 디도스 공격한 JS/Agent는 악성스크립트가 심어진 웹사이트에 접속했을 때 PC에 설치되는 악성코드이다. 이 악성코드는 악성스크립트가 심어진 웹사이트에 접속했을 때만 활성화하여 특정 웹사이트에 디도스 공격을 가한다.
 
안랩의 김홍선 대표는 “디도스 공격은 좀비PC에서 시작되므로, 개인용 PC와 기업 내 PC 모두 의도치 않게 공격자가 될 수 있다. 따라서 디도스 공격의 시발점인 PC에서 악성코드를 제거하는 것이 중요하다.”라고 강조했다. 또한 “웹사이트를 운영하는 기업/기관에서는 디도스 차단 기능이 있는 네트워크 보안 솔루션이나 보안관제 서비스를 이용해 피해를 최소화해야 한다.”라고 말했다.
 
----------<보충 자료>-----------
 
*디도스 공격 악성코드 파일명과 기능
파일명
기능
SimDiskup.exe
웹하드 사이트인 심디스크(Simdisk)설치 파일을 변조한 것으로 사용자를 속이기 위한 것이다.
servmgr.exe
드롭퍼(Dropper) 역할. 시스템의 운영체제 버전 정보를 체크한 후 동일한 악성코드에 이미 감염되어 있는지를 확인한다.
~simdisk.exe
네트워크 접속 정보의 감시, 추적 및 분석을 어렵게 .
ole(정상윈도우서비스명).dll
특정 URL로 접속해 디도스 공격 시각(6 25 10) 정보를 담은 파일을 다운로드한다.
wuauieop.exe
디도스 공격을 수행한다.
~DR.tmp
ole(정상윈도우서비스명).dll 파일을 생성하고 윈도우 서비스에 등록한다.
~ER.tmp
32비트 윈도우 운영체제에서 UAC(User Account Control, 사용자 계정 컨트롤)를 우회한다.
~ER.tmp
64비트 윈도우 운영체제에서 UAC를 우회한다.
 
*디도스 공격 악성코드 관계도 


댓글을 달아 주세요

APT를 알면 사이버 테러 이길 해법이 보인다

최근 발생한 3.20 사이버 테러에서 보았듯이 특정 대상을 상대로 핵심 기밀정보를 빼내려는 사이버 위협이 날로 지능화함에 따라 보안의 중요성은 더욱 커지고 있다.

이에 효과적인 대응 방안을 모색하기 위해서 지난 5월 14일 머니투데이와 데일리시큐가  ‘금융보안·개인정보보호 페어’를 열었다. 이 자리에는 안랩을 비롯해 20여 개 보안 전문 업체가 참가해 금융보안과 개인정보보호 관련 최신 제품과 기술을 소개했다. 또한 ‘스마트 융합 시대에 필수적인 개인정보보호와 금융보안’을 주제로 차세대 금융 보안 구축 방법을 비롯해 다양한 보안 사고 예방을 위한 방법을 소개했다.

그 가운데 안랩 마케팅실 윤상인 차장은 ‘다차원 분석을 통한 APT 대응 방안’을 주제로 발표했다. 그는 안랩에서 자체 개발한 다양한 분석 방법으로 보안 위협에 철저히 대응할 해법을 소개했다. 다음은 주요 내용. 

지능적이고 장기적으로 가해지는 APT 공격

최근의 보안 위협은 과거의 것과는 양상이 확연히 달라졌다. 과거에는 단일한 악성코드를 가지고 감염 불특정 다수를 대상으로 PC에 국한된 공격을 했다. 하지만 최근에는 특정 공격 대상을 겨냥해 기존 보안 제품을 우회하고 새로 발견되는 보안취약점을 악용해 모듈화한 악성코드를 생성하고 장기간에 걸쳐 공격 성공 시까지 은닉하는 방법을 사용한다. 이른바 'APT'이다. 

APT(Advanced Persistent Threat)

‘지능형 지속 공격’이라고 하며, 특정 타깃을 노려 지속적인 공격을 하는 것을 말한다. 악성코드를 이용하여 정보 유출뿐 아니라 시스템 파괴를 일으키는 공격이다. 정치적 목적의 사이버 테러, 정보 유출 등 다양한 목표와 방법을 가지고 있다. 일례로 3.20 전산망 마비 사고가 있다. 국내 방송사 및 은행 전산망을 동시에 마비시킨 보안 사고로 32,000여 대의 서버와 PC에서 시스템 장애 현상, 하드 디스크 파괴 현상이 발생하였다.

1~2년 전부터 APT가 언론에서 많이 회자되었지만 실제 APT를 잘 아는 사람이 많지 않다. 2012년 말 ISACA(정보시스템감사통제협회)에서 글로벌하게 1500명의 보안 인력을 대상으로 설문조사를 진행했다. 조사 결과에 따르면 APT를 어느 정도 알고는 있지만, 실제 APT를 어떻게 막을 것인가라는 질문에는 애매한 답변이 대부분이었다고 한다. 

최근 발생한 사고 현황을 보면 2010년 이전까지는 APT 공격의 대상이 주로  정부기관었으나, 구글을 공격한 '오퍼레이션 오로라' 이후 민간까지도 공격이 확장되는 흐름이 있었다. 

APT 공격 배경에는 정치적 목적, 경제적 목적, 군사적 목적이 있는데, 공통적으로 범죄 조직이나 국가 정보기관, 핵티비스트 단체와 같이 막강한 배후 세력이 존재한다. 악성코드를 제작하는 세력은 멀티 엔진 분석 사이트나 언더그라운드 플랫폼 검증을 통해 기존 시그니쳐(signature) 기반 보안 솔루션을 우회하는 신종 악성코드만을 APT 공격에 이용한다. 때문에 방어하기 힘들 수밖에 없다.

APT에 대한 오해와 진실

1. APT 공격은 숙련된 해커만이 가능한가?

NO. 에코시스템처럼 제로도의 취약점을 이용한 악성코드를 사고 팔고하는 블랙마켓이 활성화해 있다. 그렇기 때문에 꼭 숙련된 해커 사이에서만 이뤄지는 게 아니라고 할 수 있다.

2. 알려지지 않은(Unknown) 악성코드가 APT 공격을 일으키는 주범인가?

YES or NO. 주범은 알려지지 않은(Unknown) 악성코드라고 봐도 되지만 기존의 다양한 APT를 분석해보면 알려진(Known) 악성코드와 적절히 조합이 되어서 공격을 했다. 따라서 APT 대응을 위해서는 알려진 악성코드까지도 대응할 수 있는 연계 대응 방안이 필요하다.

3. 기존 보안 솔루션은 알려지지 않은 악성코드를 탐지하고 차단 가능한가?

NO. 기존 시그니쳐 기반 보안 솔루션은 알려지지 않은 악성코드를 탐지하는 데 어려움이 많다.

4. APT 위협은 정부기관 또는 대기업만 타깃으로 하는가?

NO. 보안 취약점을 가진(보안 정책상 허술한) 하위 소규모 기업을 1차 타깃으로 2차 중간 업체, 3차로 그 상위 기관, 최종적으로 상급 기관을 공격하는 것이 최근 APT 공격의 패턴이다.

정부기관, 온라인 뱅킹도 공격 대상

조달청이 운영하는 나라장터 해킹이라고도 알려진 입찰 참여 건설 업체/지자체 PC 해킹 사건이 대표적이다. 정부의 건설 사업 관련해 최저가 입찰을 하는데 모 건설사에서 경쟁사의 입찰 가격을 알아내도록 해커에게 요청한 사건이다. 2007년부터 수십 억원에 달하는 비용을 불법적으로 취득했다. 이는 persistent한 경우는 아니지만 Advanced하고 Targeted한 공격이, 보안이 허술한 하청기관을 뚫는 것이 얼마나 효과적인지 보여주는 사례이다.

온라인 뱅킹 시 파밍 사이트로 접속하게 유도하는 사고도 자주 일어난다.

파밍(Farming)

이용자 PC를 악성코드에 감염시켜 이용자가 인터넷 '즐겨찾기' 또는 포털사이트 검색을 통하여 금융회사 등의 정상적인 홈페이지 주소로 접속하여도 피싱 사이트로 유도되어 범죄 관련자가 금융 거래 정보 등을 몰래 빼가는 수법

일반적으로 사용자의 금융 정보를 가로채기 위해 공격자는 악성코드 감염을 통해 사용자의 호스트(hosts) 파일을 변경하거나, 공격자가 만들어 놓은 서버 IP를 사용자 DNS 서버 IP로 변경하여 정상적인 금융권 사이트 접속 시 공격자가 만들어 놓은 가짜 사이트로 접속하도록 만든다. 그러나 이와 같은 방법은 이미 일반화했기 때문에 대부분의 보안 프로그램은 사용자 시스템의 호스트 파일을 모니터링하여 변경 사실을 사용자에게 알리거나 변경 자체를 방어하기도 한다. 

최근 피해 사례가 증가하는 파밍 사이트로 접속을 시도하는 피해 시스템을 확인한 결과, DNS IP의 변경이나 호스트 파일의 변조가 일어나지 않은 상태에서도 공격자가 만들어 놓은 가짜 사이트로 접속을 시도하는 것을 확인할 수 있었다.

악성코드 다차원 분석이 해법이다  

전통적인 보안 솔루션만으로는 고도로 지능화된 APT를 차단하는 것이 불가능하다. 방화벽(FireWall)은 네트워크 접근 통제로 악성코드 유입을 차단하기 때문에 허용된 주소로 들어오는 악성코드는 차단할 수 없다. 애플리케이션을 통제하는 차세대 방화벽(Next Generation FireWall) 역시 악성코드를 탐지하기 어렵다. 

또한 침입차단시스템(IPS)은 네트워크 기반 툴을 이용해 악성코드 유입을 차단하기 때문에 파일 기반 분석이 필요한 악성코드는 탐지할 수 없다. 악성 URL을 차단하는 유해 사이트 차단 시스템은 허용된 사이트를 거쳐 유입되는 악성코드는 차단할 수 없다. 기존 안티바이러스(AV) 솔루션 역시 알려지지 않은 악성코드는 탐지하기 어렵다.

어떤 과정을 거쳐서 다차원 분석 기술이 나오게 되었을까?

1세대 - 기존의 안티바이러스 제품군

악성코드가 대응센서에 유입이 되면 안랩과 같은 연구기관에 샘플이 전달이 되고 분석이 된 결과에 따라서 악성이라고 판단이 되면 엔진이 업데이트 되는 형식이다

즉, 1세대 시그니쳐 기반 악성코드 대응의 방식에서는 최초의 피해자가 존재해야 한다는게 특징이다. 대응시간도 2-3시간이 걸리므로 현재의 위협이 되고 있는 지능적 공격을 막기에는 역부족이라는 판단이다. 즉 패시브한 방식!

2세대 - 클라우드 기반 악성코드 대응

1세대 방식보다 좀 더 능동적인 방법으로 진화된 것이 많은 글로벌 대응 업체들이 시도를 하고 있는 클라우드 기반 악성코드 대응 방안이다. 클라우드에는 최신의 악성코드 정보가 들어 있게 되고 만약 클라우드 상에 정보가 없을댄 의심 파일을 클라우드 서버로 전송을 하게 되고 클라우드의 백엔드 상에는 다양한 정적 분석엔진 동적 분석엔진 그리고 전문가들의 수동 분석을 통해서

시그니쳐를 자동 또는 반자동으로 추출을 하게 되는 과정을 거치게 되는 것이다.

1세대 시그니쳐 기반 분석에 비해서는 효과적이지만 파일 자체가 유출될 수 있는 보안상의 문제점이 발생할 수 있는 단점이 발생한다.


안랩의 APT 방어 솔루션인 '안랩 트러스와처'

3세대 - 다차원 악성코드 분석 및 대응

1세대와 2세대의 효율성을 유지하면서 언노운(Unknown) 악성코드를 적극적으로 탐지하기 위해서 사용된 방법이다. APT 공격이 순수하게 언노운 악성코드만이 이루어진 공격이 아니기 때문에 최신 악성코드 정보를 가지고 있는 클라우드 또는 시그니쳐 기반의 로컬 데이터베이스를 적극적으로 활용하는 것이 최신의 트렌드이다.

다차원 분석의 핵심은 바로 평판 기반 분석 방법, 행위 기반 분석 방법, URL/IP 탐지, 연관 관계 분석이다. 

평판 기반 분석 방법은 파일 자체가 언제 최초로 유입됐는지, 얼마나 글로벌하게 퍼져 있는지, 혹은 도메인이 언제 등록됐는지 분석하는 것이다. 행위 기반 분석 방법은 분석 머신 자체에서 악성코드를 실행하고 어떤 OS 상의 행위 변화가 일어나는지 분석하는 방법이다. 

URL/IP 탐지 분석 방법은 단순히 특정 IP에 연결이 됐는지, 특정 URL에 접속이 됐는지를 보는 것이 아니라, 특정 IP 또는 URL에 관련된 도메인들이 어떤 개별적인 악성 스코어링을 가지고 있는지 분석하는 것이다. 연관 관계 분석 방법은 A라는 파일을 분석할 때 해당 파일에 관여하는 시스템 파일들 2차 3차 부가적인 연관 파일들까지도 분석하는 것을 말한다.

동적 컨텐츠 분석 엔진(DICA; Dynamic Intelligent Content Analysis)은 문서, 동영상, 스크립트 등 non-PE 악성코드를 탐지하기 위해 최적화된 악성코드 분석 엔진이다. 문서 파일 형태의 알려지지 않은 (Unknown) 애플리케이션 취약점에 대응하기 용이하며 알려진(Known) 취약점을 이용하는 변종 non-PE 악성코드 탐지에 최적화해 있다.

최신 공격 기법 ROP까지 막아내는 '트러스와처'

한편, 최근 들어 해커들이 많이 이용하는 ROP 기술에 주목할 필요가 있다. 

ROP(Return-Oriented Programming) 공격 기법

운영체제(OS) 메모리 상에 존재하는 정상 코드 조각들을 조합해 악의적인 공격 코드를 실행시키는 방법. 최근 APT 공격에 많이 이용된다.

얼마 전 MS사에서 보안 소프트웨어에 대한 컨테스트(BlueHat Prize)를 열었는데, 1~3등 모두 ROP 관련 기술이 들어가 있었다. MS는 이 컨테스트를 개최한 후에 자체 보안 유틸리티에 ROP 방어 기능을 추가하기도 했다. 거대 기업도 주목하는 기술인 만큼 대비가 필요하다. 

안랩의 APT 방어 솔루션인 '안랩 트러스와처(AhnLab TrusWatcher)'(글로벌 제품명 AhnLab MDS)는 ROP 공격 기법을 사용하는 비실행형 악성코드까지 탐지한다. 단순히 탐지에 그치는 것이 아니라 대응까지도 할 수 있는 제품이다. 즉, 탐지된 악성코드를 다운로드한 PC를 찾아 악성코드를 자동/수동 치료한다. 

또한 트러스와처는 다차원 분석(행위 기반 분석, 동적 컨텐츠 분석) 기술로 알려진(Known) 악성코드는 물론 알려지지 않은(Unknown) 악성코드를 모두 탐지하고, 해당 악성코드는 자동 치료/삭제해 실시간 대응이 가능하다. 악성코드 수집-분석-모니터링-대응까지 이어지는 Full Process를 제공하기 때문에 비즈니스 연속성을 도모할 수 있다. 아울러 단일 장비로 다양한 인터넷 프로토콜을 수용하며 비용 효율성이 높다. Ahn



대학생기자 박규영 / 연세대학교 건축학과

                  



댓글을 달아 주세요

유령, 대본 감수한 전문가들이 모여 나눈 뒷담화

얼마 전 종영된 드라마 ‘유령’은 많은 화제를 낳았다. 드라마 ‘유령’은 그 동안 드라마에서 전혀 다뤄 본 적 없는 ‘사이버 테러’라는 주제를 통해, 시청자들에게 신선한 충격과 새로운 재미를 선사하였다. 사실 그 동안 ‘사이버 테러’ 공격의 대상은 누구나가 될 수 있지만, 아직까지 이는 대중에게 낯선 주제였다.

유령은 대중에게 ‘사이버 테러’라는 주제를 친숙하게 해 줌과 동시에 ‘사이버 테러’에 대한 경각심 또한 일깨워 주는 소중한 계기가 되었다. 그런데 리가 재미있게 본 드라마 뒤에도 과학적인 지식을 전달하기 위한 많은 이의 노력이 있었다. 생소할 수 있는 주제를 쉽게 전달할 수 있었던 중요한 배후(?)에는 안랩(구 안철수연구소)의 자문단이 있었다. 

그 중 안랩 시큐리티대응센터(ASEC) 이상철 책임연구원과 차민석 책임연구원을 만나 자문 과정과 비하인드 스토리를 들어보았다. 그들은 이 드라마가 국민의 보안의식을 고취하는 데 도움이 되었으면 좋겠다고 말했다.

Q : 드라마에 ‘악성코드’라는 단어가 자주 언급되던데, 우리가 아는 ‘바이러스’와 ‘악성코드’는 어떠한 차이점이 있습니까? 

이 : 쉽게 이야기하면 ‘악성코드’가 ‘바이러스’에 비해 더 넓은 범주라고 이해하시면 될 것 같습니다. 우리가 과거에는 흔히 ‘바이러스’라고 많이 이야기했는데, 최근에는 ‘바이러스’라는 단어대신에 ‘악성코드’라는 단어를 주로 쓰고 있습니다.  

Q : 그렇다면 우리가 사용하는 백신 프로그램은 모든 악성코드를 감별해낼 수 있나요?  

이 : 그건 사실상 어렵습니다. 물론 백신 프로그램이 모든 악성코드를 예방할 수 있다면 좋겠지만, 사실상 백신 프로그램은 사후 치료 기능이 강합니다. 우리가 백신 프로그램을 만들 때에도 최근에 나온 악성코드를 분석해 그에 맞는 해결책을 백신 프로그램에 업데이트해 2차 피해를 막을 수 있도록 노력하는 것이지, 백신 프로그램만으로 모든 악성코드로부터 안전할 수 는 없습니다. 또 악성코드는 하루에도 셀 수 없이 많이 생성되고 있습니다. 그러한 악성코드를 기존에 있는 백신 프로그램만으로 해결할 수는 없습니다. 때문에 저희 안랩에서는, 악성코드가 발견될 때마다 그에 맞는 해결책을 백신 프로그램에 업데이트해 2차 피해를 최소화하기 위해 많은 노력을 하고 있습니다.  

Q: 자문을 하면서 조금 당황스러웠거나, 어려웠던 부분은 무엇입니까?  

이 : 기본적으로 작가들과 저희는 전혀 다른 분야에 종사하는 사람들입니다. ‘악성코드’와 전혀 다른 분야에 종사하고 있는 분을 이해시키는 것은 결코 쉬운 일이 아니었습니다. 저희야 ‘악성코드’에 관한 여러 기초지식과 실무경험이 있지만, 그 분들은 ‘악성코들’를 주로 뉴스나 신문을 통해 접하셨기 때문에 저희에 비해 현실감이 떨어지는 것 역시 사실이었습니다.  

차 : 드라마의 시나리오의 허구성과 실제 현실과의 괴리감을 줄이는 데 조금 어려움을 겪었습니다. 하지만 드라마 작가들의 상상력이 뛰어나 저희는 항상 배운 대로 ‘악성코드’에 접근해 가지만, 작가들의 생각지도 못한 접근 방법은 저에게 ‘아, 이렇게도 접근할 수가 있구나!’하는 신선한 충격을 주었습니다.  

Q : 유령에서 사용된 해킹 방식은 주로 아이피를 외국으로 우회하는 방식인데, 실제도로 이런 방식이 가능합니까?  

이 : 물론 얼마든지 가능합니다. 하지만 우리나라에서 벌어지는 스팸전화나 이메일 자체가 외국에서 전달되는 경우가 많습니다. IP에도 엄연한 국경이 있습니다. 우리가 아무리 IP를 추적한다고 할지라도 외국 조사당국에서 협조해 주지 않는 다면 범인을 잡는 것은 드라마에서처럼 쉽지는 않습니다. 드라마에서는 사이버수사대가 외국IP를 침투경로를 그대로 따라가 범인의 위치를 파악하지만 현실에서는 해커들의 IP를 추적하다 외국의 IP로 밝혀지면 그 이상의 수사는 외국 조사당국의 협조가 아니면 불가능합니다.  

 

차민석 책임연구원(좌)과 이상철 책임연구원(우)

Q : 드라마를 보니까, 어느 고등학생이 압수된 다른 학생의 스마트폰을 사용해서 이메일을 발송하는 장면이 있더라고요. 인터넷 로그 기록과 SNS 사용 내역을 통해 어떤 가해학생이 어떤 기기에서 언제 누가 글을 올린 건지 밝혀내던데, 실제로 가능한 일입니까?  

이 : 당연히 가능합니다. 우리가 포털사이트나 검색엔진에서 무엇을 검색했는지는 우리가 사용하고 있는 컴퓨터에 고스란히 저장됩니다. 또한 SNS를 사용할 경우 우리가 어느 장소에서 어떤 기기를 통해 올렸는지 까지 확인이 가능합니다. 포털사이트에 만일 로그인을 하고 검색을 했다면 당연히, 그 검색기록역시 자신의 아이디 몫으로 저장됩니다. 실제로 이러한 검색내역은 범죄수사에 상당부분 도움이 되는 것으로 알려져 있습니다.  

Q : 유령에서 ‘스턱스넷’을 통해 대한전력을 해킹했는데, 실제로 개인 혹은 조직이 국가산업시설을 해킹하는 것이 가능합니까?  

차 : 가능은 하지만 사실상 불가능에 가깝습니다. 저도 작가가 처음에 ‘스턱스넷’을 아이템으로 가져오셨을 때 조금은 당황했습니다. 현실에서는 불가능한 일이기 때문입니다. 그 이유를 차근차근 설명해 드리면 우선 ‘스턱스넷’은 여러 분야를 걸쳐서 만들어집니다. 그런데 중요한 것은 대한전력을 통제하는 ‘스카다 시스템’은 윈도우 기반 시설이 아닙니다. 때문에 스턱스넷이 ‘스카다 시스템’ 속에서 작동해 ‘대한전력’을 마비 혹은 해킹한다는 것, 그것도 몇 명으로만 구성된 해킹조직으로는 사실상 불가능에 가깝습니다.  

Q : 드라마뿐 아니라 현실에서도 해커가 해킹을 통해 얻고자 하는 것은 개인정보인 것 같습니다. 왜 개인정보의 유출이 이토록 위험한 것인가요? 

이 : 사실 우리 개개인은 유명인사가 아니기 때문에 어느 한 개인을 노리고 해킹을 하는 경우는 드뭅니다. 때문에 주로 개인정보가 유출되는 경로 역시 대형 포털사이트 혹은 통신사 서버와 같은 많은 회원이 가입되어있는 서버의 해킹을 통해 유출됩니다. 이렇게 유출된 개인정보들은 새로운 범죄에 이용될 수 있도록 가공될 수 있습니다. 가령 어느 포털사이트의 해킹을 통해 수 만명의 개인정보, 예를 들어 이름, 주민등록번호, 핸드폰 번호, 주소 이 네 가지만으로도 다른 사이트에 회원가입이 가능하고 또한 각종 스팸 메일, 전화, 문자에 활용할 수 있습니다. 결국 사소한 정보라도 해커들 혹은 범죄자들이 어떻게 가공해서 이용하느냐에 따라 그 가치와 범죄의 무게가 달라질 수 있기 때문에 개인정보의 유출은 상당히 위험한 것입니다.  

Q : 드라마 ‘유령’을 보다보니깐 CCTV에 찍힌 범인의 얼굴을 조작하는 장면이 방영된 적이 있습니다. 실제로 가능한 일입니까?

  차 : 그럼요, 이론적으로 모든 디지털 자료들은 조작이 가능합니다. 물론 실시간 CCTV같은 경우는 아직까지 실시간 조작이 불가능합니다. 하지만 과거에 녹화되었던 자료들은 얼마든지 조작이 가능합니다. 그리고 이러한 디지털 조작역시 어떻게 이용하느냐에 따라 그 위험의 무게가 달라지게 됩니다. 아무리 사소한 정보라도 결국 이용하는 사람의 목적과 의지에 따라 충분히 조작될 수 있고, 무서운 범죄의 도구가 되기도 합니다.  

Q : 드라마에서 ‘사이버 수사대’는 마치 모든 사이버 범죄를 단번에 해결할 수 있는 전지전능한 존재로 표현되어 있습니다. 현실에서도 그럴 수 있나요? 

차 : 아니요, 실제로 새롭게 발견된 악성코드 하나를 분석하는 것만도 복잡할 경우 몇 주씩 걸리는 경우가 많습니다. 하물며 현장에서 발견된 악성코드를 그 자리에서 분석해서 대처한다는 것은 사실상 불가능합니다. 드라마의 캐릭터상 사이버 수사대가 현실을 초월한 능력을 갖고 계신다고 생각하시면 쉽습니다. 앞에서 말씀드린 것과 같이 외국에서 침투해오는 IP는 외국 수사당국의 허가가 없이는 수사가 불가능하기 때문에 아무리 사이버 수사대라고 할지라도 그 역할의 범위는 한정되어 있습니다.  

 

 

Q : 드라마 ‘유령’을 자문하면서 가장 뿌듯했던 점은 무엇입니까?

차 : 저는 개인적으로 그 동안 중요하지만 많이 다루어지지 않았던 ‘사이버 테러’라는 분야를 드라마를 통해 새롭게 국민들에게 그 위험성을 알리고 경각심을 불러일으킬 수 있는 계기가 되어서 상당히 뿌듯함을 느끼고 있습니다. 물론 이러한 관심이 단지 드라마에서만 그치지 않고 많은 분들이 개인정보보호를 더욱 확실히 관리하실 수 있게 되는 계기로까지 이어졌으면 하는 바람입니다. 

이 : 저 역시도 이전에는 다루어지지 않았던 부분에 대해 많은 국민들께서 관심을 갖게 되신 것에 대해 상당한 만족감을 느끼고 있습니다. 또 이런 중요한 일에 저희 안랩이 자문 역할을 할 수 있어서 상당히 기쁩니다. 또한 그 동안 많은 분이 ‘해킹’에 대해 막연히는 알고 있었지만 그 자세한 내용은 알지 못했는데, 드라마 ‘유령’이 ‘해킹’과 ‘사이버 테러’를 시각적으로 국민들이 이해하기 쉽게 표현한 점은 상당히 좋더라고요. Ahn



 

대학생기자 류화영 / 연세대 문헌정보학과

지식의 섬이 크면 클수록 미지의 해안선은 더 길어진다. - John Donne
아는 만큼 모르는 것이 많아지겠지만 더 모르도록 정진하겠습니다.

 


 

대학생기자 성해윤 / 한양대 정보사회학과
사람은 사람을 통해서 배우고 그 안에는 감동이 있습니다. 전국을 돌아다니면서 좋은 경치 구경도 하고 자기 분야에서 정말 성실히 보람찬 삶을 살고 계시는 분들의 이야기를 담고 싶습니다. 지친 일상에 단비와 같은 감동을 주는 다큐멘터리 PD가 되고 싶은 꿈 많은 20대 젊은이입니다.

 


사내기자 박정우 / 안랩 A-퍼스트팀

사람이지만 주로 '개구리'로 많이 알려져 있으며,
재밌고 따뜻한 보안세상을 만들기 위해 연구하고 있습니다.


댓글을 달아 주세요

  1. 펄벅 2012.09.06 20:58  Address |  Modify / Delete |  Reply

    안랩 자문단 및 유령 드라마 관계자 분들 덕분에,
    재밌게 잘 봤습니다~ ^^ (동영상 얼굴 증거 조작 부분들 보면,
    현재의 인터넷/전자/모바일 선거 논란 등들도 좀 겁나던데요.)
    .
    진실이 밝혀져서, 다행이었던 드라마였던 것 같습니다.
    .
    북 국회/군/정부/해킹, 중 보이스피싱 등도 더 비중있었다면,하는 개인적인 바램이.

  2. 인신 2012.09.16 10:56  Address |  Modify / Delete |  Reply

    ㅋㅋ 잼있었음

안랩이 주최하는 보안 콘테스트는 왜 다른가

현장속으로 2012. 9. 4. 11:28

 

      글로벌 보안 기업인 안랩(구 안철수연구소)은 지식공유와 보안전문가 양성을 목적으로 새로운 개념의 보안 콘테스트  ‘AhnLab Security WAVE’를 개최한다. 참가자는 온라인 콘테스트를 통해 자신의 보안 지식을 가늠하고, 오프라인 컨퍼런스인 ‘안랩코어 2012 (AhnLab CORE 2011, www.ahnlabcore.co.kr)’에서 좀더 심도 있게 학습할 수 있다.  ‘AhnLab Security WAVE’가 어떻게 열리고 어떤 의미가 있는지 문답으로 알아보자.


 

     1.     AhnLab Security WAVE는 어떤 보안 콘테스트인가요?


올해로 2회째를 맞이하는 AhnLab Security WAVE는 안전하고 가치 있는 기술 개발에 기여할 수 있는 보안 전문가 양성을 위한 신개념 보안 콘테스트입니다. 보안과 개발 분야 종사자들이 함께 성장할 수 있도록 안랩이 기여하겠다는 의미에서 올해 Security WAVE의 슬로건도 ‘Growing up Together’입니다. 단순히 자신의 실력을 확인하고 끝나는 것이 아니라 동료들과 함께 토론하고 공부하는 자리를 만드는 것이 본 행사의 기획의도입니다.

 

사실 지금까지 대다수의 보안 콘테스트는 일부 유명 해킹 그룹이나 개인의 전유물처럼 그들의 지식이나 기술을 과시하는 행사였습니다. Security WAVE는 그런 일반적 콘테스트와는 달리 ‘열린’ 보안 콘테스트입니다. Security WAVE의 의미는 마라톤에 비유할 수 있습니다. 마라톤에는 42.195Km의 코스를 완주하는 선수가 있습니다만, 마라톤을 좋아하는 순수한 마음과 열정으로 5Km, 10Km, 하프 마라톤(Half Course)에 도전하여 완주하는 것을 목표로 하는 사람들도 있습니다. Security WAVE는 이처럼 보안에 대한 열정을 가진 모든 사람들이 함께 참여할 수 있는 자리를 만드는 다는 점에서 그 특별함이 있습니다.


2.     AhnLab Security WAVE에서 WAVE는 어떤 의미인가요?


AhnLab Security WAVE에서 WAVE는 We Appreciate your Value and Effort 의 약자로서 보안전문가를 꿈꾸는 참가자 분들의 열정과 노력을 격려한다는 의미를 담고 있습니다.


3.     참가자격 및 참가방식에는 제한이 있나요?


참가자격은 제한 없으며 IT 보안에 관심 있는 사람 누구나 참가 가능합니다. 대회는 개인전으로 진행됩니다.

 

4.     문제출제는 어떤 방식으로 진행되나요?


바이너리(Binary), 취약점(Vulnerability), 네트워크(Network), 디지털 포렌식(Digital Forensics), 모바일(Mobile) 총 5개의 영역으로 문제가 나누어 집니다. 각 영역마다 상, 중, 하 난이도의 문제가 제시됩니다.


 

[문제유형]

Security WAVE 콘테스트 상세 규칙에는 기존의 해킹대회 문제점들을 보완하고, 진정한 실력가에게 적절한 인증을 부여하고자 많은 사항들을 고려한 결과물에 담아있습니다. 문제출제 관점에서는 실무와 다소 동떨어진 대회용 문제가 출제되지 않도록 보안분야에서 사용되는 코어 기술 5(바이너리, 취약점, 네트워크, 디지털 포렌식, 모바일)를 선택하여 문제 카테고리로 선정하였습니다. 또한, 출제되는 문제도 고객사로부터 접수되는 사례, 필드에서 경험한 내용 및 실제 보안위협이 발생할 수 있는 사례들을 적절히 고려하여 시나리오를 작성하고 기술을 적용하였습니다.

 

[난이도 및 점수 산출방식]


이번 Security WAVE에서는 영역별, 난이도별, Stage 별로 3가지 문제정책이 적용되어 총 16문제를 풀게 됩니다. 기존 해킹대회에서 가장 큰 문제가 되는 “답 공유” 와 실제 풀이보다는 답만 맞추는 결과 선정방식에 문제점을 최대한 해결하고자 Stage라는 형식을 적용하였습니다. 16문제는 Stage 1(난이도 중 또는 하)Stage 2(난이도 상)로 구분하여 입력방식과 점수산정 방식에 차별화를 두었습니다. Stage1 문제는 간단한 답을 입력하고 바로 정답여부를 확인하면서 실시간으로 문제를 풀어가고, Stage2 문제에서는 단답형과 서술형 답을 입력하여 정답여부를 확인할 수 없도록 함으로써 답 공유를 배제하고, 실제 풀이과정을 제대로 알고 있는 참가자에게 가산점을 부여하는 방식으로 진행됩니다.

 

출제 당시 이미 각 영역별 문제 난이도가 존재하지만 문제의 난이도는 실제 문제를 푼 참가자의 수가 어느 정도 대변합니다. 따라서, 일차적으로 문제출제위원들이 결정한 영역별 상//하에 따른 난이도 점수와 실제 문제를 많이 풀수록 난이도가 낮아져서 획득할 수 있는 점수도 낮아지는 점수산정방식을 도입하였습니다. 이 방식은 전문가의 일방적인 난이도 결정이 아니라 참가자들의 의견을 반영한다는 취지와 실제 문제 푼 사람의 수가 증가하면 본인의 점수가 낮아지기 때문에 답을 공유하는 것을 막을 수 있다는 이점을 가집니다.

 

5.     참가혜택에는 어떠한 것이 있나요?


일정 수준의 성적을 거둔 참가자들에게는 Qualified, Professional, Master 3가지 등급으로 구분한 안랩의 인증서를 드립니다. 인증서를 획득한 분들을 대상으로 정기적으로 보안교육을 제공할 기획이며, Professional, Master 인증서를 받은 분들에 한해서 안랩 보안전문가들과 함께 프로젝트를 진행할 기회를 드리며 멘토링 프로그램과 세미나 참가 또한 지원해드릴 예정입니다. 구체적인 내용은 오프라인 행사 때 소개됩니다.

    6.     콘테스트 이후에 시행되는 오프라인 행사는 무엇인가요?


AhnLab Security WAVE 2012 온라인 대회에 참여한 분들 중 신청자 350명을 대상으로 오프라인 행사가 진행됩니다. 본 행사에서는 출제 위원들이 참가자들에게 직접 문제 풀이를 제공하고 문제 풀이 방식에 대해서도 토론하는 자리가 될 것입니다. 오프라인 행사는 선착순이니, 대회참가 시 서둘러 신청해 주세요.

[오프라인 행사 안내]

일시: 9/20(목) 12:00 ~17:30

장소: 서울 코엑스 인터컨티넨탈 호텔 다이아몬드 홀

  

7.     참가신청을 어떻게 하나요?

http://wave.ahnlabcore.co.kr에 접속하시어 ‘참가등록’을 하시면 됩니다. 온라인 콘테스트는 9 7() 22:00 ~ 9 8() 18:00, 20시간동안 진행됩니다. 구체적인 사항은 행사 홈페이지를 참조해 주세요. Ahn

 

사내기자 방지희 / 안랩 세일즈마케팅팀

지금 20대의 청춘을 사람들과의 소중한 만남으로 채우고 싶습니다.
글을 통해 타인의 마음을 읽고, 글을 통해 타인의 마음을 움직이는 기자가 되고자 합니다


댓글을 달아 주세요