'소셜 엔지니어링 해킹' 들어 보셨습니까?

보안라이프/IT트렌드 2014. 6. 23. 23:04

사회 공학적 해킹(Social Engineering Hacking) 이란?

 

  시스템이 아닌 사람의 취약점을 공략하여 원하는 정보를 얻는 공격기법. 인터넷의 발달로 이메일, 인터넷 메신저, 트위터 등을 통해 사람에게 접근하는 채널이 다각화됨에 따라 지인으로 가장하여 원하는 정보를 얻어내는 공격방법.

 

  기술적인 방법이 아닌 사람들간의 기본적인 신뢰를 기반으로 사람을 속여 비밀 정보를 획득하는 기법, 인간 상호 작용의 깊은 신뢰를 바탕으로 사람들을 속여 정상 보안 절차를 깨트리기 위한 비기술적 침입 수단.

 

  최근 문제가 되는 전화사기등도 모두 사회공학적 해킹의 한 종류입니다. 사회공학적 해킹의 정의 중 가장 널리 인용되는 문구는, “The art and science of getting people to comply with wishes(사람들로 하여금 당신이 원하는 바대로 응하도록 하는 예술이자 과학).”

 

 

사회 공학적 해킹(Social Engineering Hacking) 사례

 

 

  대부분의 사람들이 해킹(Hacking)은 프로그래머들이 컴퓨터를 통해서만 할 것이라는 선입견을 가지고 있다. 만약 초보 해커들이라면 암호가 걸린 컴퓨터를 뚫기 위해 암호를 일일이 대입하는 프로그램을 오랜 시간 가동해 뚫을 것이다. 하지만 진정한 해커들은 주인들에게 전화를 할 것입니다.

 

안녕하세요? 보안부서 OOO팀장이라고 합니다. 지금 전체 네트워크 리붓작업이 있을 예정입니다. 중요한 정보는 미리 다 저장해주시면 감사하겠습니다.”

 

  이때 해커는 절대로 컴퓨터 주인에게 비밀번호는 묻지 않습니다. 그리고 컴퓨터 주인은 열심히 시키는 대로 정보저장에 한창일 것입니다.

 

이 때 다시 전화를 걸어

 

 네 방금 전화 드렸던 보안부서 OOO팀장인데, 혹시 컴퓨터에 비밀번호가 걸려져 있나요? 이번 네트워크 리봇작업이 보안성 강화를 위해 암호화 구조를 바꾸기 위한 작업입니다. 기존에 걸어놓으신 암호는 해제하여 주시고, 리봇이 완료되고 나면 암호를 재설정해주시기 바랍니다."

 

 ", 혹시 메모가 가능하신가요? 이번 암호화 구조로 포맷이 새로 설정 되서요. 16자리로 암호를 작성하시되 대문자 2자리 이상, 숫자 3개 이상이 들어가야 합니다.”

 

  해커는 이렇게 비밀번호를 16자리 대문자, 2자리이상 숫자, 3자리이상 숫자로 한정하여 경우의 수를 줄이고 손쉽게 암호를 풀 수 있습니다.

 

 

이 때 해커는 프로그래밍 기술이 아닌 아래의 방법을 사용했습니다.

 

1. 부서의 전화번호를 비롯해 컴퓨터 주인의 이름까지 철저한 사전조사가 이루어 졌습니다.

2. 첫 전화에서 암호와 관련된 어떠한 말도 하지 않았기에 의심할 여지가 없었습니다.

3. 암호를 재설정을 요구하는 과정에서 의심이 발생할 수 있었지만, 곧 바로 메모가 가능하냐며 상대에게 '기억할 것'을 전달했습니다. 상대방은 '의심'에서 '기억'으로 관심이 바뀌었고 그가 말해준 것들을 완벽하게 기억해냈다며 뿌듯해하고 있을 것입니다.

 

 

 

사회공학적 공격으로 유명한 케빈 미트닉(Kevin Mitnick)은 한 인터뷰에서 다음과 같은 말을 남겼다.

 

"The Biggest threat to the security of a company is not a computer virus, an unpatched hole in a key program or a badly installed firewall. In fact, the biggest threat could be you."

 

"기업 정보보안에 있어서 가장 큰 위협은 컴퓨터 바이러스, 패치가 적용되지 않은 중요한 프로그램이나 잘못 설정된 방화벽이 아니다. 가장 큰 위협은 바로 당신이다."

 

최근 일어나고 있는 개인정보 유출사고조차 보안사고 아닌 인재(人災)라는 말이 나오고 있습니다.  케빈 미트닉의 말과 같이 가장 큰 보안의 위협은 '당신(사람)'일 수 있습니다.

 

 

 

 

 대학생 기자단 배성영 / 한국기술교육대 정보통신공학부 

 


댓글을 달아 주세요

[人터뷰] "보안 전문가를 꿈꾸는 당신에게" 안랩 ASEC 대응팀 강민철 연구원이 전하는 메시지

파워인터뷰 2014. 6. 17. 09:51


24시간 로테이션 근무, 안랩의 보안방위대라고 불리는 ASEC 대응팀. ASEC 대응팀의 꺼지지 않는 불처럼 보안에 대한 관심과 열정이 가득한 안랩 ASEC 대응팀의 강민철 연구원을 만나 이야기를 나눠보았다.

꾸준한 관심과 열정이 필요한 직업, 보안 전문가

 현재 강민철 연구원은 ASEC(Anlab Security E-response Center)대응팀에서 근무하고 있다. 다소 생소한 부서 이름에 대학생 기자들이 고개를 갸우뚱 하자 강 연구원은 "ASEC 대응팀이라고 하면 어떤 일을 하는 부서인지 잘 와 닿지 않을 것이에요”라고 하며 “ASEC 대응팀은 최근 인터넷 뱅킹 정보를 탈취한 악성코드와 같이 다양한 악성코드를 트래킹하고 모니터링하며 어떻게 대응할지 모색하는 일을 합니다”라고 설명했다.

 “어렸을 적부터 컴퓨터에 관심이 많았고, 또 좋아했기 때문에 지금 이 일을 하고 있는 것 같아요. 그리고 컴퓨터에 관심 있는 사람의 대다수가 그렇듯 저 역시 컴퓨터로 이것저것 시험해보는 과정에서 바이러스에 노출된 적이 많아요. 그때마다 V3로 치료했는데, 바이러스 치료가 어떤 과정으로 이뤄지는지 항상 궁금했어요. 컴퓨터공학을 전공하면서 그 궁금증을 하나씩 풀어나가다 보니 자연스럽게 보안 전문가로 성장하게 됐어요”

 중학교 시절 강민철 연구원에게 컴퓨터는 엄청난 존재였다고 전한다. 한번은 컴퓨터가 고장 났었는데, 도움을 청할 사람도 없고 원인 해결이 되지 않으니 도통 잠이 오지 않았다고. 혼자 해결해 보기 위해 시작한 공부가 재미었다고 말하는 그에게서 꿈을 이루기 위해 관심과 열정은 필수적임을 알 수 있었다.

 


<강민철 연구원과 대학생 기자 (왼쪽부터 김가현, 이수정)들이 함께 이야기를 나누고 있다.>


예측할 수 없는 보안이슈, 예측 가능한 보안의 중요성

 강민철 연구원은 보안 전문가의 밝은 전망을 내비쳤다. “보안이슈들은 계속해서 생겨납니다. 보안이슈가 생기면 기업 피해는 물론이고 개인피해로 까지 이어집니다. 보안이슈는 한 번 터지면 순간에 마무리 되는 것이 아니에요. 사건 이후에 생기는 나비효과가 있을 수 있죠.” 덧붙여 “보안 전문가의 전망은 밝지만 현재 정보보안인력이 충분하지 않다고 생각해요. 좀 더 많은 사람들이 보안 전문가에 대해 관심을 가졌으면 좋겠어요.”라며 보안 전문가에 대한 관심을 부탁했다.

 불과 몇 년 전까지만 해도 컴퓨터에만 네트워크가 연결되어 있었는데, 스마트폰 보급과 함께 스마트폰에도 네트워크가 연결됐다. ‘사물인터넷’이란 컴퓨터와 스마프폰을 넘어 더 많은 사물에 네트워크가 연결되는 것이라고 설명할 수 있다. “스마트폰에 네트워크가 연결됨과 동시에 ‘악성앱’과 ‘스미싱’이 발생했어요. 이처럼 많은 기기들이 네트워크에 연결됨으로써 예측하지 못한 보안이슈들이 생겨날 수 있죠” 이런 점들을 봤을 때 사물인터넷 보급으로 인해 보안의 중요성은 더욱 커질 것이라고 강 연구원은 설명했다.

 “입사초기 하루에 발견되는 악성앱과 스미싱은 불과 10개 내외였어요. 그러나 입사 3년 후인 지금, 하루에 발견되는 보안이슈가 어마어마합니다. 짧은 시간동안 많은 변화를 체감한 만큼 앞으로 더 많은 변화가 있을 것이라 생각합니다”

 강 연구원은 크게 세 가지 요인으로 인해 보안사업 트렌드가 변화한다고 봤다. “첫째 IT의 발전입니다. 둘째 사회•문화적 분위기의 변화입니다. 많은 사람들이 타 SNS보다 페이스북을 이용하는 것처럼 말이죠. 셋째 보안기술의 발전입니다” 보안기술이 발전함에 따라 악성코드 제작자나 공격자들 역시 함께 발전하기 때문에 더욱 정교하고 교묘한 보안이슈들이 생겨날 것이라 덧붙였다.

보안전문가로 성장하기 위해 "왜?"라는 물음은 필수 

 보안 전문가가 되기 위해 필요한 역량과 준비해야 할 것이 있냐는 물음에 강 연구원은 실제 컴퓨터 관련 전공의 학부생이라면 주어진 커리큘럼에 따라 전공과목을 충실히 공부하는 것이 중요하다고 강조했다. “보안 분야에 관심이 있다면 운영체제 수업이나 네트워크 수업에 집중하세요. 지금 당장 필요한 지식이 아닐지라도 이런 지식들이 차후 훌륭한 보안 전문가로 성장하게 하는 밑거름이 된다는 사실을 잊지말았으면 합니다" 또한 "'왜?'라는 질문을 끊임없이 던져보세요. 그리고 프로그램 작동 원인 등에 대해 항상 생각하면서 수업을 듣고 그 이후에 혼자 이것저것 시험해보는 시간을 가지다 보면 꿈에 대한 명확한 계획이 그려질 거예요”라고 말했다.

보안 분야에 대한 관심, 이제는 실천해야 할 때

 보안 분야를 직, 간접적으로 경험해 볼 수 있는 방법을 질문하자 강 연구원은 “보안을 공부하는 학생이라면 기술적인 부분을 많이 알고 싶을 텐데, 온라인에도 독학을 할 수 있을 정도의 많은 정보가 있어요. 그렇지 않은 일반인들의 경우에는 블로그 등을 통해 정보를 얻는 방법을 추천합니다”라고 답했다. “안랩 ASEC팀이 운영하는 블로그(http://ahnlabasec.tistory.com/)가 있습니다. 전문적인 블로깅도 하지만 보안정보를 가능한 쉽게 알리기 위한 노력도 하고 있죠”라며 보안에 관심이 있는 사람이라면 접하기 쉬운 경로를 통해 꾸준히 해당 정보를 찾아볼 것을 당부했다.

 보안에 대한 꾸준한 관심으로 보안 전문가의 꿈을 이룬 강민철 연구원. 인터뷰 내내 자신의 일을 사랑하고 그 일을 하는 것에 대한 자부심을 느꼈다. 또한 자신의 롤 모델을 정해 현재에 머무르지 않고 계속해서 나아가려는 그의 모습이 인상적이었다. 강 연구원이 안랩을 대표하는, 그리고 우리나라를 대표하는 보안 전문가로서 성장하기를 바라며 인터뷰를 마친다.



<강민철 연구원과의 인터뷰 진행 후 기념촬영 모습>


안랩 대학생 기자단 12기 보안팀

김가현 기자 (원광대학교 경영학부)

이수정 기자 (숙명여자대학교 멀티미디어과학과)




댓글을 달아 주세요

  1. 빽형 2014.06.19 11:25  Address |  Modify / Delete |  Reply

    훈남 연구원이네요 잘 생겼다 ~ 잘 생겼다 ~

  2. 냠냠 2014.06.30 09:32  Address |  Modify / Delete |  Reply

    인터넷 하다가 보게 된 건데
    ...
    동대문프라자에서 7월14~8월3까지 무슨 전시회 하나 봅니다~
    특수SF 좋아하시는 분은 가보세요~
    http://navercast.naver.com/contents.nhn?rid=78&contents_id=59697

  3. 12 2014.09.04 17:09  Address |  Modify / Delete |  Reply

    헐 삼디다스 슬리퍼 ㅋㅋㅋㅋ

<Her> 우리는 모두 ‘그녀’가 필요하다.

문화산책/컬처리뷰 2014. 6. 10. 11:52

 

<Her> 우리는 모두 그녀가 필요하다.

 

 영화는 주인공 테오도르가 로맨틱한 편지의 한 대목을 써내려가는 장면으로부터 시작한다. 언뜻 보면 여주인공에게 바치는 달콤한 세레나데의 한 구절처럼 보이지만 실상은 얼굴도 모르는 누군가에게 보내는 대필편지이다. 테오도르는 다른 사람의 편지를 대신 써주는 대필작가이다. 타인의 마음을 대신 전해주는 일을 하고 있지만 정작 그 자신은 아내와 이혼을 준비하며 별거중이다. 아내와 헤어지고 무의미하게 반복되는 일상에 공허함과 외로움을 느끼던 테오도르는 인공지능 운영체제(OS)사만다를 만나게 된다. 언제나 자신의 말에 귀기울여 주고 이해해주는 사만다를 통해 그는 다시 사랑받음을 느끼고 사랑하는 법을 깨우친다.

 
<출처: 네이버 영화>


 이 둘의 로맨스는 꽤나 낭만적으로 그려진다. 테오도르는 귀에는 이어폰을 꽂고 셔츠 주머니에 인공지능 기기를 넣고 다니면서 그녀와 같이 해변을 걷고 노래를 부르는 등 일상을 함께한다. 사만다의 주문에 따라 길거리에서 우스꽝스러운 몸짓을 하는 테오도르는 영락없이 사랑에 빠진 남자다. 목소리밖에 존재하지 않지만 둘의 사랑은 현실의 일반적인 사랑과 별반 다르지 않아 보인다. 

 테오도르의 대필편지에서 그 대상은 실제로 존재하는 누군가이지만 테오도르가 편지를 쓰는 감정은 그 자신의 감정이 아닌 타인을 위해 가공되어진 허구이다. 인공지능 운영체제인 사만다는 실체가 없으며 실제로 존재하지도 않는다. 하지만 그런 그녀에 대한 테오도르의 감정은 진짜이며 진짜로사랑에 빠진다. 또한 남의 사랑이야기는 멋지게 대신 써주는 테오도르는 정작 자신의 아내에게는 사랑의 감정들을 잘 전달하지 못한다. 영화는 이러한 극명한 대비들을 보여주며 현실의 고립된 외로움을 꼬집는다.

 사람들이 궁극적으로 서로에게 원하고 바라는 건 서로에게 속해있다는 어떤 믿음, 그속에서 오는 정신적인 공유, 공감, 교감이 아닐까. 사람과의 관계에서 상처받고, 외로움과 공허함에 힘들어하던 테오도르가 실체가 없는 그녀와 사랑에 빠질 수 있었던 것도 그러한 사실 때문일 것이다. 다시 누군가와 늘 함께하며, 일상을 공유할 수 있다는 것은 인간과 인공지능, 가상과 실재, 존재와 비존재를 넘어서 크나큰 위로로 다가온다.



<출처: 네이버 영화>

 사만다는 테오도르에게 완전 맞춤형이다. 개인적인 취향, 취미, 일상에 따른 테오도르의 모든 정보를 꿰뚫고 있으며 그가 도움이나 위로가 필요할 때 언제나 옆에 있어준다. 하지만 그것은 사만다가 인공지능인 OS이기 때문에 가능한 이야기이다. 테오도르와 아내는 서로의 외로움을 채워주지 못하고 다르다는 이유로 헤어졌다. 사실 인공지능이 아닌 사람과 사람간의 관계에서 서로가 다르다는 것은 지극히 당연한 사실임에도 불구하고, 우리는 그 사실을 가끔 간과하며 살아간다. 영화는 역설적이게도 당신을, 당신에 의한 당신만을 맞춰주는 존재는 인공지능밖에 없다고 말한다. 다시 말해 사람과 사람간 관계에서는 서로에게 백퍼센트 맞춰지는 관계는 존재하기 어렵다는 것. 결국 우리는 상대방이 나만을 위한 OS가 아님을 인정하고 서로를 위해 조금씩 맞춰가고 또 맞추어지며 사랑할 수밖에 없다. 정말 운영체제(OS)와 사랑에 빠질 수 있는 시대가 오기 전까지는.

 

" 캐서린에게, 나는 여기 앉아서 당신에게 사과할 일들에 관해 생각하고 있어. 우리가 서로에게 준 상처들에 대해서. 내가 너의 탓으로 돌렸던 모든 것들. 난 그냥 너에게 미안하다고 말하기만 하면 되는거였는데. 난 앞으로도 늘 너를 사랑할거야. 왜냐면 우리는 함께 자라왔으니까. 너는 지금의 나를 만들어 줬어. 그냥 네가 알았으면 싶어. 내 속에는 너라는 한 조각이 남아있고, 난 그 사실에 너무 감사해. 네가 어떤 사람이 되건 네가 어디에 있건 너에게 사랑을 보낼게. 언제까지라도 넌 내 친구야. Love Theodore."

- 영화의 마지막, 전 아내인 캐서린에게 남기는 테오도르의 편지.


 대학생기자 김진영 / 성균관대학교 신문방송학과

 




댓글을 달아 주세요

  1. 김수형 2014.06.13 03:35  Address |  Modify / Delete |  Reply

    이 영화 너무 좋아요

안랩 '아름다운Week' 뒷 이야기

안랩 '아름다운 Week' 뒷 이야기


2014년 4월, 

판교 테크노벨리 입주 기업들의 사회공헌 연합체인 판교CSR얼라이언스에서  어려운 이웃들을 돕고자 즐거운 프로젝트를 실행합니다.


바로 판교CSR얼라이언스 직원들의 기부 물품들을 모아 판교에서 이웃돕기 바자회를 열기로 계획 한 것!

어려운 이웃에게 도움이 되고자 준비했던 이 행사는 3월부터 약 한달간 준비 되었는데요.

자선 바자회 직전에 우리 모두를 슬프게 했던 국가적 사고가 발생해서.. 바자회는 취소가 되었지만, 행사 뒷 이야기 들을 전하고자 합니다. 


안랩은 3월 중순부터 4월 중순까지 약 한달 기간 동안 총 4336점의 기부 물품들을 모았습니다. 물품들 중에는 160cm 정도 되는 미술 작품, 유아용 카시트, 골프채 세트 등 기억에 남았던 물건들이 참 많았습니다.


안랩 가족분들이 물론 자발적으로 물품 기부를 많이 해주셨지만, 축제처럼 좀 더 즐겁고 재밌기 위해 안랩 자체적으로 이벤트를 기획했는데요.


바로 안랩 기증왕!  


물품들을 기부해주신 안랩 가족분들의 예쁜 마음과 함께 기증왕에 등극하신 분들의 예쁘고 잘생긴 얼굴 까지 공개하는 시간을 가져보겠습니다 ^^


지금 시작합니다!


안랩 기증왕은 팀/개인 으로 부문을 나눴는데요. 개인 부문은 기증 물품양에 따라, 팀 부문에서는 참여율과 기증 물품 수량을 고려해서  1위 ~ 3위를 선정하였습니다.


먼저 팀 부문 입니다.


먼저 안랩 기증왕 팀부문 3위소프트웨어QA입니다.

60%의 팀 참여율과 총 260점의 기증품을 모아주셨습니다.


안랩 기증왕 팀부문 3위 '소프트웨어QA팀'


특히, 소프트웨어QA팀의 노인걸 팀장님은 작년 기부 행사때도 개인 기증 순위에 올랐을 정도로 기부를 몸소 실천하시는 분입니다.  역시 이런 팀장님의 영향을 받아 팀원 분들도 마음을 모아주신 것 같습니다.


그래서 팀장님의 독사진을 헌정합니다.  :)




다음은 팀 부문 2위 입니다. 2위는 바로 보안 정책팀 입니다.


안랩 기증왕 팀부문 2위 '보안 정책팀'


365점의 물 기증과 77%의 참여율로 선정 되셨습니다. 팀 물품의 무려 1/3을 팀장님이 기증해 주셨습니다. 축하드립니다 ! 짝짝짝



다음은 대망의 안랩 기증왕 팀부문 1위!

바로 소프트웨어보안팀 입니다.

소프트웨어보안팀은 총 727점의 압도적 기증품수와 팀원 45명(파견 직원 포함) 전원 100% 참여로 팀 기증왕에 등극하셨습니다. 완전 대단 하죠?



 어마어마한 기록을 만드신 팀장님께 감사패를 전달해 드리고



안랩 팀 기증왕  '소프트웨어보안팀'  영광의 얼굴들 입니다.


기증왕 순위에 오른 팀들은 소정의 회식비 지원을 해드렸습니다. ^^  으리!



다음은 진정한 기증왕 부문이라 할 수 있는 개인 부문 입니다.


3위는  팀 기증왕인 소프트웨어보안팀에 속해있는 '김광주 과장' 입니다.




총 217점의 기증품을 기증해 주셨습니다. 특히 물품 거의 대부분이 아이들이 유용하게 가지고 놀 수 있는 아동품들이라 아름다운가게에서 매우 유용하게 판매 될 수 있었다고 합니다. 

안랩 기증왕 3위의 김광주 과장님은 매년 기부를 위해 집안에 기부 상자를 두고 계신다고 합니다. 안쓰는 물건들을 상자에 1년간 모아서 매년 이렇게 기증하신다고 하니 정말 대단하시죠? 그리고 어린 자녀들이 아버지를 보고 배워서 아이들 스스로도 안쓰는 물건을 기부 상자에 모은다고 합니다. 정말 훌륭한 가족 입니다 !


다음은,

안랩 기증왕 2위!

UX팀 '신정은 선임 연구원' 입니다!



신정은 선임님은 총 252점의 물품을 기증해주셨습니다. 이 중, 예쁜 의류들을 200점이나 기증해주셔서 회사로 물품을 가져오실때 굉장히 고생하셨다고 합니다! 그 많은 물건들을 운반하는 것도 쉽지 않았을 텐데, 직접 차에 실어서... (운전석 빼고 만차) 그래도 이런 보람된 일을 할 수 있기에 힘들지 않았고 굉장히 기쁘다고 소감을 말씀해주셨습니다.  마음과 얼굴이 둘다 예쁘십니다. :)



마지막,  안랩의 진정한 기증 끝판왕을 만나보겠습니다.





안랩 기증왕은 바로 재무실의 '김덕환 부장' 입니다.




김덕환 부장님은  총 311점의 물품을 기증해 주셨습니다. 무려 사과박스로 6박스!!  어마어마한 양인데요. 1~2년정도 꾸준히 모아서 기증해주셨다고 합니다. 회사에서 하는 행사이고 또 취지가 좋은 행사이기 때문에 꼭 참여를 하고싶었다고 밝혀 주셨습니다. 다음 기증왕 제패 또한 노리신다고 하니 더욱 기대가 되는데요.


후일담으로 김덕환 부장님께 감사장을 전달할 때 재무실 인원들 모두가 기립 박수를 쳐주셔서 안랩 사옥 10층에 박수소리가 울려펴졌습니다. ^^


개인 기증왕 분들께는 독서를 통해 개인 소양을 더욱 더 정진할 수 있도록 도서상품권을 부상으로 드렸습니다 ^^


한번더 영광스러운 안랩 기증왕 분들을 알려드립니다.




이렇게 안랩의 임직원 가족 모두가 한 마음이 되어 참여해 주셔서 '아름다운 Week' 가 성공적으로 마무리 될 수 있었습니다. 


끝으로 이 행사를 위해서 단, 한 점의 물품이라도 참여해주시고 관심을 가져주신 모든 안랩 가족 여러분들께 감사에 말씀을 전합니다!


감사합니다! 내년에도 참여해주실꺼죠 ??? :)



 

박종욱 / 안랩 커뮤니케이션실

 






댓글을 달아 주세요

두근두근 심장에서, 피가 흐르는 심장까지! HeartBleed의 취약점

보안라이프/이슈&이슈 2014. 5. 31. 11:43



OpenSSL에서 발견된 취약점인 HeartBleed. 심장에서 피가 흐른다니, 취약점 이름이 사람이나, 회사명이 아니라서 그런지 귀여운 느낌이 들기도 한다. 하지만 HeartBleed라는 표현처럼, 치명적인 버그로써 전 세계적인 문제로 커지고 있다.


▶Open SSL

먼저 SSL이란, Secure Socket Layer의 약자이다. 한국말로는 보안 소켓계층으로, 전자상거래 등의 보안을 위해 처음 개발되었다. 인터넷 쇼핑을 할 때마다 만나게 되는 Https는 대표적인 SSL이다. , SSL이란 인터넷상에서 데이터를 안전하게 전송하기 위한 하나의 약속이다. 여기에 오픈 소스라는 OPEN이 붙은 것이 Open SSL이다.


HeartBleed

이 약속을 사용하는 네트워크 통신 과정에는 HeartBeat라는 과정이 있다. 심장이 두근거려야, 숨쉬고 있다는 것을 확인하는 것과 가능 역할을 하는 Heart Beat. 이는 서버와 클라이언트 간 연결을 위해서 연결 지속 신호를 주고받는 것을 말한다. 즉! 서버에게 신호를 보냄으로써, 서버가 응답한다면 서버가 숨 쉬고 있다는 것을 확인하는 것이다. 그리고 바로 이 HeartBeat의 기능을 역이용한 것이 HeartBleed이다. 


[출처:http://xkcd.com/1354/]


그림에서 나와 있듯이, 심장 혹은 서버에게 신호를 보내는 과정에서 payload값을 과하게 보내 서버 측의 메모리 데이터를 탈취하는 것을 HeartBleed라고 한다. 실제로는 클라이언트는 서버에게 최대 64KB의 정보를 한 번에 요청 할 수 있다. 중요한 것은 한번에라는 것이다. , 무한으로 요청을 반복해서 원하는 정보를 얻어 내는 것이 가능하다


문제점 및 대응책

HeartBleed의 경우 사용자들의 로그인 정보 유출 외에도, 개인 키와 비밀 키를 탈취할 수 있다. 또한, 특정 OS환경 뿐만 아니라, OpenSSL 라이브러리를 사용하고 있는 네트워크 장비나 하드웨어 보안 장비에도 영향을 미칠 수 있다. 이를 막기 위해서는 OpenSSL를 업데이트 및 재컴파일 해주는 것이 필요하다. 특히 버전 1.0.1gOpenSSL은 몇 가지 바운드 검사를 추가하여 이 취약점을 예방한다. (필요한 양보다 더 많은 데이터를 요청하는 메시지는 무시하는 코드를 추가했다.)


[OpenSSL의 공식 홈페이지:http://www.openssl.org/]


국내 한 유명 아이돌 그룹의 인기곡이 “HeartBeat”였다. 그래서 그런지, “HeartBeat”“HeartBleed”도 낯설지 않았다. 하지만 정보를 찾아보면서, 인기 곡 때문이 아니라 이미 내 정보가 유출되어 있을 수도 있어서 그럴지 모른다는 생각이 들었다. 현재 약 50만대의 웹 서버가 노출된 상태이며, 구글과 페이스북 외국의 유명 사이트들은 패치를 완료했다고 한다. 하지만 공격 시도의 기록이 남지 않기 때문에, 지금까지 얼마나 많은 정보가 어디로 빠져나갔는지 모른다. 그중에 내 정보가 얼마나 많이 유출되어 있을지 모르고, 어디로 갔는지도 모른다는 것이다. 우리나라에서 개인정보가 유출된 것은 이미 비일비재한 일이다. 하지만 익숙해져야 하는 일은 결코 아니다. 우리가 우리의 정보를 지키는 것도 중요하지만, 보안을 위해서 더 많은 투자와 노력이 필요하다고 생각한다.





 안랩대학생기자단 홍수영 / 서울여대 정보보호학과


 omnia tempus habent




댓글을 달아 주세요

좀비PC, 디도스 잡는 보안전문가들의 세계

안랩人side/안랩!안랩인! 2011. 11. 21. 09:53
올해 3월 4일 좀비 PC로 인한 디도스(DDoS) 공격이 전국을 뜨겁게 달군 바 있다. 당시 안철수연구소(안랩)에서 디도스 백신을 무료로 배포하였고 이 백신을 다운받기 위해 많은 사람들이 안랩 홈페이지에 접속하는 바람에 홈페이지가 잠시 마비되기도 했다.

안랩은 디도스 공격의 근원지인 좀비 PC의 네트워크 접속을 제어하는 제품인 '트러스와처(AhnLab TrusWatcher)'를 올해 4월 출시했다. 이 제품의 개발 주역들을 만나 좀비 PC 방지를 위해 노력하는 분들을 만나기 위해 안랩을 찾았다. '트러스와처'가 어떤 역할을 하고 사용자가 주의할 것은 무엇인지 들어보았다.

컴퓨터 관련 업무를 한다고 하면 차갑고 논리적이지 않을까 생각했는데 직접 만나보니 편안하게 대화할 수 있었다. 일에 대한 열정이 그대로 말과 행동에 드러나서 다들 나에게는 그저 부러움의 대상이었다. 이런 분들에게 내 컴퓨터 안심하고 맡길 수 있을 것 같다.
 

- 트러스와처라니 이름부터 특이한데 소개 좀 해주시겠어요?

트러스와처는 TrusWatcher으로 Trust와 Watcher을 더한 이름입니다. 트러스는 안랩의 여러 제품 앞에 붙어있는 것을 많이 보셨을 거예요. 'Trust', 즉 '신뢰'라는 의미로 앞에 붙은 것이구요 Watcher은 트러스와처의 기능을 의미합니다. 트러스와처는 정보 수집, 분석, 모니터링을 통해서 좀비 PC를 사전에 탐지하고 대응하는 솔루션입니다. 지금까지의 안랩에 쌓인 여러가지 기반 기술들이 모여 만들어진 종합 보안 솔루션이라고 볼 수 있겠네요.

- 잘 모르는 분들은 기존의 V3같은 백신과 차이가 뭔지 많이 궁금해할 것 같은데 알려주세요.

둘의 가장 큰 차이점은 '트래픽'에 있어요. 그냥 바이러스에 감염되었을 때에는 많은 양의 트래픽이 발생하지는 않아요. 그러나 좀비 PC의 경우에는 다르죠. DDoS공격이 일어나기 전에 크래커는 다른 사람들의 PC에 몰래 악성코드를 설치하여 많은 수의 좀비 PC를 확보해요. 여기까지는 V3같은 백신들과 기능상 큰 차이가 없겠네요. 크래커는 확보한 좀비 PC들을 조종하여 특정 웹사이트에 동시에 접속시켜 과부하를 일으켜요. 이게 DDoS공격이예요. DDoS 트래픽 유발 정보는 기존의 백신들로는 알 수 없죠. 트러스와처는 이 부분까지 다 포괄합니다.

- 트러스와처의 기본적인 동작 방식을 설명해 주세요.

트러스와처는 크게 탐지를 담당하는 ZPX, 치료를 담당하는 APC, 모니터링 담당하는 ATM/ATL로 나누어집니다. 저희가 담당하는 쪽은 ZPX이고요 ZPX는 Zombie Prevention eXpress의 약자로 말 그대로 좀비를  ZPX는 파일의 악성 여부를 탐지하고 파일을 다운로드 할 때에도 악성코드를 탐지합니다.

또한 PC의 트래픽 발송 정보를 감시하여 이 PC가 좀비 PC가 되어 DDoS 공격 여부를 확인합니다.
치료를 담당하는 APC를 설명해드리기 전에 실시간 모니터리을 하는 ATM과 ATL에 대해 먼저 설명해드릴게요. ATM과 ATL은 둘다 관리의 역할을 하는 파트지만 역할이 약간 달라요. ATM은 UI(User Interface)를 담당하는 파트이고 ATL은 ZPX에서 받은 정보를 바탕으로 한 통계를 담당해요. 이 결과값에 따라 ATL은 APC에게 삭제 혹은 복원하라는 명령을 전달하죠.

마지막으로 APC는 앞서 말해드렸듯이 치료를 담당하는데, 클라이언트 PC에서 악성 파일을 제거하고 이 결과를 ATL로 다시 전송하는 역할을 해요. 그리고 클라이언트 PC의 agent를 관리하는 역할을 하죠.


- 좀비 PC 전용 백신을 다른 여러 회사에서도 개발했을텐데 트러스와처만의 장점을 꼽으라면 뭐가 있을까요?

ASD(AhnLab Smart Defense)엔진이 하나의 큰 장점이죠. 기존에는 악성코드에 대한 모든 데이터를 PC로 다운로드한 후 PC에서 처리했었는데 ASD는 클라우드 컴퓨팅 개념을 이용한 기술이예요. 일단 타사의 제품들보다 빠르게 모니터링이 가능해요. 또 ASD를 기반으로 종합 위협 분석 시스템인 ACCESS를 활용하는데 결과적으로 오진율도 최소화할 수 있었어요.

- 요즘 스마트폰을 쓰면서 스마트폰 보안도 많이 문제가 되고 있는데요 스마트폰이 DDoS공격에 이용될 수 있나요?

네 충분히 가능한 이야기예요. 스마트폰에서는 이전의 폰들과는 다르게 컴퓨터에서 하는 거의 모든 일을 할 수 있죠. 스마트폰으로 자주 파일도 다운받기도 하니 악성코드가 함께 깔릴 수도 있어요. 그렇게 되면 '좀비 폰'이 되어 특정 싸이트를 DDoS공격하는데 쓰일 수 있겠네요.

- 재미있는 에피소드 있으면 들려주세요. 
 
처음에는 개발 자체에 회의적이었어요. 상품화 될지 안 될지도 모르겠고 저희가 개발을 할 수 있는지 그 가능성 자체에 의문을 제기하기도 했죠. 게다가 그 과정이 너무 힘들어서 이거 좀비 PC 방지 솔루션 만들다가 우리가 좀비 되겠다는 농담이 돌기도 했어요. 근데 신기하죠. 하다보니 되더라구요. 주말에도 나와서 작업하고 직접 음식을 해와서 팀원들에게 나눠주시는 분도 계셨구요.


- 사실 DDoS 공격이 근래 몇달 간에는 일어나지 않았잖아요? 사람들의 경각심이 많이 줄어들었을 것 같은데 아직 많이 위험한가요?

요즘 좀비 PC로 인한 문제가 일어났다든가 DDoS 공격이 행해졌다는 이야기를 듣기 어렵죠. 그러니 아무래도 경각심이 많이 줄어들었을 수도 있겠네요. 그렇다고 재발 가능성이 없는 것은 아닙니다. 병이 다 나았다고 병이 다시 걸릴 확률이 아예 없는 것은 아니죠. DDoS 공격이 다시 일어나지 않을 거라고 생각하지 말고 컴퓨터 보안에 조금 더 관심을 가져 주셨으면 좋겠어요. Ahn

대학생기자
임성현 / 서울대 공학계열
Sing, like nobody's listening
Dance, like nobody's watching you
Love, like you've never been hurt
항상 그 순간에 최선을 다 할 수 있었으면 좋겠습니다^^

대학생기자 김성환 / 포항공대 산업경영공학과
justifyan@gmail.com
해도 후회하고 안 해도 후회할 일이 있다면 하는 게 좋다는 말이 있다. 사실 고민 따윌 할 때, 나는 이미 답을 알고 있다. 결론도 이미 낸 상태다. 그냥 끌리는 대로 하고 싶은 대로 사는 게 맞는 것 같다. 아아 모르겠다.

사내기자 임재우 / 안철수연구소 보안정책팀 선임연구원

댓글을 달아 주세요

  1. 카레 2011.11.21 18:55  Address |  Modify / Delete |  Reply

    좀비 잡는 트러스 와처 잘 되기를 기원합니다.