APT를 알면 사이버 테러 이길 해법이 보인다

최근 발생한 3.20 사이버 테러에서 보았듯이 특정 대상을 상대로 핵심 기밀정보를 빼내려는 사이버 위협이 날로 지능화함에 따라 보안의 중요성은 더욱 커지고 있다.

이에 효과적인 대응 방안을 모색하기 위해서 지난 5월 14일 머니투데이와 데일리시큐가  ‘금융보안·개인정보보호 페어’를 열었다. 이 자리에는 안랩을 비롯해 20여 개 보안 전문 업체가 참가해 금융보안과 개인정보보호 관련 최신 제품과 기술을 소개했다. 또한 ‘스마트 융합 시대에 필수적인 개인정보보호와 금융보안’을 주제로 차세대 금융 보안 구축 방법을 비롯해 다양한 보안 사고 예방을 위한 방법을 소개했다.

그 가운데 안랩 마케팅실 윤상인 차장은 ‘다차원 분석을 통한 APT 대응 방안’을 주제로 발표했다. 그는 안랩에서 자체 개발한 다양한 분석 방법으로 보안 위협에 철저히 대응할 해법을 소개했다. 다음은 주요 내용. 

지능적이고 장기적으로 가해지는 APT 공격

최근의 보안 위협은 과거의 것과는 양상이 확연히 달라졌다. 과거에는 단일한 악성코드를 가지고 감염 불특정 다수를 대상으로 PC에 국한된 공격을 했다. 하지만 최근에는 특정 공격 대상을 겨냥해 기존 보안 제품을 우회하고 새로 발견되는 보안취약점을 악용해 모듈화한 악성코드를 생성하고 장기간에 걸쳐 공격 성공 시까지 은닉하는 방법을 사용한다. 이른바 'APT'이다. 

APT(Advanced Persistent Threat)

‘지능형 지속 공격’이라고 하며, 특정 타깃을 노려 지속적인 공격을 하는 것을 말한다. 악성코드를 이용하여 정보 유출뿐 아니라 시스템 파괴를 일으키는 공격이다. 정치적 목적의 사이버 테러, 정보 유출 등 다양한 목표와 방법을 가지고 있다. 일례로 3.20 전산망 마비 사고가 있다. 국내 방송사 및 은행 전산망을 동시에 마비시킨 보안 사고로 32,000여 대의 서버와 PC에서 시스템 장애 현상, 하드 디스크 파괴 현상이 발생하였다.

1~2년 전부터 APT가 언론에서 많이 회자되었지만 실제 APT를 잘 아는 사람이 많지 않다. 2012년 말 ISACA(정보시스템감사통제협회)에서 글로벌하게 1500명의 보안 인력을 대상으로 설문조사를 진행했다. 조사 결과에 따르면 APT를 어느 정도 알고는 있지만, 실제 APT를 어떻게 막을 것인가라는 질문에는 애매한 답변이 대부분이었다고 한다. 

최근 발생한 사고 현황을 보면 2010년 이전까지는 APT 공격의 대상이 주로  정부기관었으나, 구글을 공격한 '오퍼레이션 오로라' 이후 민간까지도 공격이 확장되는 흐름이 있었다. 

APT 공격 배경에는 정치적 목적, 경제적 목적, 군사적 목적이 있는데, 공통적으로 범죄 조직이나 국가 정보기관, 핵티비스트 단체와 같이 막강한 배후 세력이 존재한다. 악성코드를 제작하는 세력은 멀티 엔진 분석 사이트나 언더그라운드 플랫폼 검증을 통해 기존 시그니쳐(signature) 기반 보안 솔루션을 우회하는 신종 악성코드만을 APT 공격에 이용한다. 때문에 방어하기 힘들 수밖에 없다.

APT에 대한 오해와 진실

1. APT 공격은 숙련된 해커만이 가능한가?

NO. 에코시스템처럼 제로도의 취약점을 이용한 악성코드를 사고 팔고하는 블랙마켓이 활성화해 있다. 그렇기 때문에 꼭 숙련된 해커 사이에서만 이뤄지는 게 아니라고 할 수 있다.

2. 알려지지 않은(Unknown) 악성코드가 APT 공격을 일으키는 주범인가?

YES or NO. 주범은 알려지지 않은(Unknown) 악성코드라고 봐도 되지만 기존의 다양한 APT를 분석해보면 알려진(Known) 악성코드와 적절히 조합이 되어서 공격을 했다. 따라서 APT 대응을 위해서는 알려진 악성코드까지도 대응할 수 있는 연계 대응 방안이 필요하다.

3. 기존 보안 솔루션은 알려지지 않은 악성코드를 탐지하고 차단 가능한가?

NO. 기존 시그니쳐 기반 보안 솔루션은 알려지지 않은 악성코드를 탐지하는 데 어려움이 많다.

4. APT 위협은 정부기관 또는 대기업만 타깃으로 하는가?

NO. 보안 취약점을 가진(보안 정책상 허술한) 하위 소규모 기업을 1차 타깃으로 2차 중간 업체, 3차로 그 상위 기관, 최종적으로 상급 기관을 공격하는 것이 최근 APT 공격의 패턴이다.

정부기관, 온라인 뱅킹도 공격 대상

조달청이 운영하는 나라장터 해킹이라고도 알려진 입찰 참여 건설 업체/지자체 PC 해킹 사건이 대표적이다. 정부의 건설 사업 관련해 최저가 입찰을 하는데 모 건설사에서 경쟁사의 입찰 가격을 알아내도록 해커에게 요청한 사건이다. 2007년부터 수십 억원에 달하는 비용을 불법적으로 취득했다. 이는 persistent한 경우는 아니지만 Advanced하고 Targeted한 공격이, 보안이 허술한 하청기관을 뚫는 것이 얼마나 효과적인지 보여주는 사례이다.

온라인 뱅킹 시 파밍 사이트로 접속하게 유도하는 사고도 자주 일어난다.

파밍(Farming)

이용자 PC를 악성코드에 감염시켜 이용자가 인터넷 '즐겨찾기' 또는 포털사이트 검색을 통하여 금융회사 등의 정상적인 홈페이지 주소로 접속하여도 피싱 사이트로 유도되어 범죄 관련자가 금융 거래 정보 등을 몰래 빼가는 수법

일반적으로 사용자의 금융 정보를 가로채기 위해 공격자는 악성코드 감염을 통해 사용자의 호스트(hosts) 파일을 변경하거나, 공격자가 만들어 놓은 서버 IP를 사용자 DNS 서버 IP로 변경하여 정상적인 금융권 사이트 접속 시 공격자가 만들어 놓은 가짜 사이트로 접속하도록 만든다. 그러나 이와 같은 방법은 이미 일반화했기 때문에 대부분의 보안 프로그램은 사용자 시스템의 호스트 파일을 모니터링하여 변경 사실을 사용자에게 알리거나 변경 자체를 방어하기도 한다. 

최근 피해 사례가 증가하는 파밍 사이트로 접속을 시도하는 피해 시스템을 확인한 결과, DNS IP의 변경이나 호스트 파일의 변조가 일어나지 않은 상태에서도 공격자가 만들어 놓은 가짜 사이트로 접속을 시도하는 것을 확인할 수 있었다.

악성코드 다차원 분석이 해법이다  

전통적인 보안 솔루션만으로는 고도로 지능화된 APT를 차단하는 것이 불가능하다. 방화벽(FireWall)은 네트워크 접근 통제로 악성코드 유입을 차단하기 때문에 허용된 주소로 들어오는 악성코드는 차단할 수 없다. 애플리케이션을 통제하는 차세대 방화벽(Next Generation FireWall) 역시 악성코드를 탐지하기 어렵다. 

또한 침입차단시스템(IPS)은 네트워크 기반 툴을 이용해 악성코드 유입을 차단하기 때문에 파일 기반 분석이 필요한 악성코드는 탐지할 수 없다. 악성 URL을 차단하는 유해 사이트 차단 시스템은 허용된 사이트를 거쳐 유입되는 악성코드는 차단할 수 없다. 기존 안티바이러스(AV) 솔루션 역시 알려지지 않은 악성코드는 탐지하기 어렵다.

어떤 과정을 거쳐서 다차원 분석 기술이 나오게 되었을까?

1세대 - 기존의 안티바이러스 제품군

악성코드가 대응센서에 유입이 되면 안랩과 같은 연구기관에 샘플이 전달이 되고 분석이 된 결과에 따라서 악성이라고 판단이 되면 엔진이 업데이트 되는 형식이다

즉, 1세대 시그니쳐 기반 악성코드 대응의 방식에서는 최초의 피해자가 존재해야 한다는게 특징이다. 대응시간도 2-3시간이 걸리므로 현재의 위협이 되고 있는 지능적 공격을 막기에는 역부족이라는 판단이다. 즉 패시브한 방식!

2세대 - 클라우드 기반 악성코드 대응

1세대 방식보다 좀 더 능동적인 방법으로 진화된 것이 많은 글로벌 대응 업체들이 시도를 하고 있는 클라우드 기반 악성코드 대응 방안이다. 클라우드에는 최신의 악성코드 정보가 들어 있게 되고 만약 클라우드 상에 정보가 없을댄 의심 파일을 클라우드 서버로 전송을 하게 되고 클라우드의 백엔드 상에는 다양한 정적 분석엔진 동적 분석엔진 그리고 전문가들의 수동 분석을 통해서

시그니쳐를 자동 또는 반자동으로 추출을 하게 되는 과정을 거치게 되는 것이다.

1세대 시그니쳐 기반 분석에 비해서는 효과적이지만 파일 자체가 유출될 수 있는 보안상의 문제점이 발생할 수 있는 단점이 발생한다.


안랩의 APT 방어 솔루션인 '안랩 트러스와처'

3세대 - 다차원 악성코드 분석 및 대응

1세대와 2세대의 효율성을 유지하면서 언노운(Unknown) 악성코드를 적극적으로 탐지하기 위해서 사용된 방법이다. APT 공격이 순수하게 언노운 악성코드만이 이루어진 공격이 아니기 때문에 최신 악성코드 정보를 가지고 있는 클라우드 또는 시그니쳐 기반의 로컬 데이터베이스를 적극적으로 활용하는 것이 최신의 트렌드이다.

다차원 분석의 핵심은 바로 평판 기반 분석 방법, 행위 기반 분석 방법, URL/IP 탐지, 연관 관계 분석이다. 

평판 기반 분석 방법은 파일 자체가 언제 최초로 유입됐는지, 얼마나 글로벌하게 퍼져 있는지, 혹은 도메인이 언제 등록됐는지 분석하는 것이다. 행위 기반 분석 방법은 분석 머신 자체에서 악성코드를 실행하고 어떤 OS 상의 행위 변화가 일어나는지 분석하는 방법이다. 

URL/IP 탐지 분석 방법은 단순히 특정 IP에 연결이 됐는지, 특정 URL에 접속이 됐는지를 보는 것이 아니라, 특정 IP 또는 URL에 관련된 도메인들이 어떤 개별적인 악성 스코어링을 가지고 있는지 분석하는 것이다. 연관 관계 분석 방법은 A라는 파일을 분석할 때 해당 파일에 관여하는 시스템 파일들 2차 3차 부가적인 연관 파일들까지도 분석하는 것을 말한다.

동적 컨텐츠 분석 엔진(DICA; Dynamic Intelligent Content Analysis)은 문서, 동영상, 스크립트 등 non-PE 악성코드를 탐지하기 위해 최적화된 악성코드 분석 엔진이다. 문서 파일 형태의 알려지지 않은 (Unknown) 애플리케이션 취약점에 대응하기 용이하며 알려진(Known) 취약점을 이용하는 변종 non-PE 악성코드 탐지에 최적화해 있다.

최신 공격 기법 ROP까지 막아내는 '트러스와처'

한편, 최근 들어 해커들이 많이 이용하는 ROP 기술에 주목할 필요가 있다. 

ROP(Return-Oriented Programming) 공격 기법

운영체제(OS) 메모리 상에 존재하는 정상 코드 조각들을 조합해 악의적인 공격 코드를 실행시키는 방법. 최근 APT 공격에 많이 이용된다.

얼마 전 MS사에서 보안 소프트웨어에 대한 컨테스트(BlueHat Prize)를 열었는데, 1~3등 모두 ROP 관련 기술이 들어가 있었다. MS는 이 컨테스트를 개최한 후에 자체 보안 유틸리티에 ROP 방어 기능을 추가하기도 했다. 거대 기업도 주목하는 기술인 만큼 대비가 필요하다. 

안랩의 APT 방어 솔루션인 '안랩 트러스와처(AhnLab TrusWatcher)'(글로벌 제품명 AhnLab MDS)는 ROP 공격 기법을 사용하는 비실행형 악성코드까지 탐지한다. 단순히 탐지에 그치는 것이 아니라 대응까지도 할 수 있는 제품이다. 즉, 탐지된 악성코드를 다운로드한 PC를 찾아 악성코드를 자동/수동 치료한다. 

또한 트러스와처는 다차원 분석(행위 기반 분석, 동적 컨텐츠 분석) 기술로 알려진(Known) 악성코드는 물론 알려지지 않은(Unknown) 악성코드를 모두 탐지하고, 해당 악성코드는 자동 치료/삭제해 실시간 대응이 가능하다. 악성코드 수집-분석-모니터링-대응까지 이어지는 Full Process를 제공하기 때문에 비즈니스 연속성을 도모할 수 있다. 아울러 단일 장비로 다양한 인터넷 프로토콜을 수용하며 비용 효율성이 높다. Ahn



대학생기자 박규영 / 연세대학교 건축학과

                  



댓글을 달아 주세요

지능적 사이버 공격과 싸우는 보안 전문가들

스마트폰컴퓨터에 노출되어 살아가는 시대에 우리는 항상 악성 파일 노출의 위험에 처해 있다정보화시대의 발달과 함께 악성코드도 날이 갈수록 탐지하기 어렵도록 만들어지고 있다. 그만큼 악성코드에 쉽게 노출될 수 있는 요즘, 우리의 PC를 안전하게 지켜주는 사람들이 있다. 바로 안랩의 '트라스와처' 개발팀. 

이들은 APT(Advanced Persistent Threat, 지능형 타깃 공격)에 대응하기 위한 '트라스와처(미국 제품명 AhnLab MDS)'를 개발해 우리나라뿐만 아니라 미국 시장까지 넘겨다보고 있다. 이들의 뛰어난 실력과 열정이 깃든 개발 이야기를 함께 들어보자.

'트러스와처'가 무엇인지 간략한 소개를 부탁드립니다.

- 박영호 책임: '트러스와처'는 날이 갈수록 더 빠르고 쉽게 지능화하는, 이른바 APT에 대응하고자 개발된 방어 솔루션입니다. 네트워크 보안 제품과 안티바이러스 제품으로 대응하기 어려운 악성코드에 대응하는 것이 목적입니다. , 최근 악성코드는 정상적인 경로인 메일의 첨부 문서 파일이나 웹 실행 파일로 들어옵니다. 그 후 문서를 열거나 파일을 실행할 때 악성 행위를 합니다. 이런 악성 파일은 안티바이러스 제품도 신속하게 대응하기 어렵습니다. 트러스와처는 가상 머신을 기반으로 악성코드를 탐지합니다.

임철순 주임: 가상 머신은 네트워크 상에서 파일 수집 후 사용자 PC 환경과 유사한 환경에서 악성 파일을 돌려보고 무슨 행위를 하는지 체크합니다. 그 후 악성 파일을 탐지해서 사용자의 PC에서는 악성 파일이 작동하지 않도록 합니다.

- 상현 주임: 트러스와처의 에이전트에는 파일을 다운로드했을 때 악성 파일인지 아닌지를 확인하고 악성 파일이면 실행시키지 않도록 하는 기능을 추가할 예정입니다.

APT 공격을 어떻게 효과적으로 막을 수 있나요?

 - 박영호 책임: 내부의 정보를 보호하기 위한 것이 보안의 가장 중요한 목적이 되고 이를 위해서는 네트워크 쪽에서의 보안이 중요합니다. 그런데 네트워크 보안은 비교적 잘 되어있기 때문에 악성코드들이 정상적인 방법인 이메일이나 웹을 통해서 들어오면 막을 수 있는 방법이 없습니다. 이 때 메일이나 웹을 열게 되면 최신 바이러스들은 기존의 안티바이러스 보안제품으로 막기 어렵습니다. 그렇기 때문에 최신 바이러스들에 대한 대응책을 만들어 방어를 하고 있습니다.

'트러스와처'만의 장점은 무엇인가요?

- 임철순 주임: 가상머신을 기반으로 하여 실제 파일을 실행해보고 어떤 행위를 하는지 분석하고 그 분석을 기반으로 탐지를 하는 것이 가장 큰 장점입니다또 다른 장점은 이미 알려진 악성 파일은 안랩의 고유 기술인 ASD(AhnLab Smart Defense)로 빠르게 탐지하고알려지지 않은 악성 파일은 가상머신을 통해서 신속하게 발견하는 것입니다.

- 박영호 책임: 국내 특허로 낸 기술 중의 하나가 문서를 열었을 때 실제 악성 행위를 못 하도록 막고, 감지하는 기능인 DICA입니다. 이것이 트러스와처의 기술적 장점 중 하나입니다.

- 전상현 주임: 에이전트가 있어서 조치나 복원에 있어서 바로 명령을 내릴 수 있다는 장점이 있습니다.

'트러스와처'의 개발 기간은 얼마나 되나요?

- 첫 시제품은 2011 1월부터 수개월 간 만들었습니다. 지금도 계속 제품은 업데이트되고 있습니다. 지금은 미국시장에 진출하기 위해 개발을 진행 중입니다.

'트러스와처'를 개발하면서 힘든 점은 무엇이었나요?

- 전상현 주임: 하나의 기술이 아닌 안랩 내에서 개발한 많은 기술들을 합쳐서 만드는 과정이다 보니 협업하는 데 힘든 점이 있었습니다.

- 김태경 책임: 정부기관에 들어가는 과정에서 BMT 기간이 촉박한 시점에서 UI를 갑자기 바꾸는 일이 있었습니다. BMT 기간이 짧았던 것이 힘들었습니다.

'트러스와처'를 개발하면서 느낀 보람이 있다면 무엇인가요?

- 최병창 선임: 국내뿐이 아니라 미국 시장을 주 타깃으로 프로젝트를 진행한다는 점에서 뿌듯하다고 생각합니다.

앞으로 개발 계획은 어떻게 될까요?

- 박영호 책임: 새로 기술을 만드는 일이기 때문에 로드맵이 있지만 유연하게 대응하고 있습니다. 개발을 하는 과정 중에도 갑자기 필요한 부분이나 수정할 부분이 생기기 때문입니다.

- 김태경 책임: 네트워크와 안티바이러스 두 개를 융합한 제품이기 때문에, 보안 위협이 어떻게 지능화하는지 추이를 보아가며 시너지 효과를 낼 수 있는 방안을 계속 찾아가야 할 것 같습니다. Ahn


   사내기자 장은별 / 안랩 UX팀 연구원

   대학생기자 전유빈 / 명지대 컴퓨터공학과

   대학생기자 박병진 / 포스텍 컴퓨터공학과

   사진. 사내기자 김동희 / 안랩 커뮤니케이션팀 연수생


댓글을 달아 주세요

사진으로 보는 국제 컨퍼런스 현장 속 안랩

안랩人side/포토안랩 2012. 3. 2. 10:56

안랩(구 안철수연구소)이 현지 시각으로 2월 27일부터 3월 2일까지 미국 샌프란시스코에서 열리는 세계 최대 보안 컨퍼런스인 ‘RSA 2012’에 참가 중이다. 첫 참가임에도 많은 준비를 하여 세계 최초의 APT 방어 기술을 선보이고 미국 시장 진출 전략도 야심차게 발표했다. 그 현장을 소개한다.  

안랩 부스에 많은 관심을 보이는 관람객들.  

김세일 주임연구원이 모바일 보안 제품에 대해 설명하는 모습.

현지의 안랩 파트너가 참관객과 대화 나누는 모습.

현지 기자를 대상으로 ▲파트너십 확대 ▲제품 별 시장 진입 차별화 ▲마케팅 강화라는 미국 진출 3대 전략을 발표했다. http://blog.ahnlab.com/ahnlab/1466

기자간담회에서 글로벌 사업의 포부를 밝히는 김홍선 대표.  

세계 최초로 APT 대응 신기술을 탑재한 ‘트러스와처 2.0(AhnLab TrusWatcher 2.0)’ 신제품을 첫 공개했다. IT 본고장인 미국에서 신기술을 첫 발표함으로써 세계적 기술력을 과시한 것이다. http://blog.ahnlab.com/ahnlab/1465 
안랩 부스를 취재하러 온 RSA 주최측 방송. 이런 영광이^^
안랩 부스를 관람하기 위해 줄지어 선 참관객들.

안랩 가방을 패션 아이템처럼 메는 법 Ahn

사내기자 송창민 / 안랩 커뮤니케이션팀 과장

댓글을 달아 주세요

  1. 통통이21 2012.03.02 12:52  Address |  Modify / Delete |  Reply

    자랑스럽습니다~~^^
    한국 보안기술의 우수성을 널리 알려주세요!!!

  2. 소시지 2012.03.12 12:05  Address |  Modify / Delete |  Reply

    앗! 포스팅 내용도 좋지만 "안랩(구 안철수연구소)" 바뀐다는 기사는 접했는데 정말 바뀌었군요 왠지 괜히 아쉽다는 ㅠㅠ

좀비PC, 디도스 잡는 보안전문가들의 세계

안랩人side/안랩!안랩인! 2011. 11. 21. 09:53
올해 3월 4일 좀비 PC로 인한 디도스(DDoS) 공격이 전국을 뜨겁게 달군 바 있다. 당시 안철수연구소(안랩)에서 디도스 백신을 무료로 배포하였고 이 백신을 다운받기 위해 많은 사람들이 안랩 홈페이지에 접속하는 바람에 홈페이지가 잠시 마비되기도 했다.

안랩은 디도스 공격의 근원지인 좀비 PC의 네트워크 접속을 제어하는 제품인 '트러스와처(AhnLab TrusWatcher)'를 올해 4월 출시했다. 이 제품의 개발 주역들을 만나 좀비 PC 방지를 위해 노력하는 분들을 만나기 위해 안랩을 찾았다. '트러스와처'가 어떤 역할을 하고 사용자가 주의할 것은 무엇인지 들어보았다.

컴퓨터 관련 업무를 한다고 하면 차갑고 논리적이지 않을까 생각했는데 직접 만나보니 편안하게 대화할 수 있었다. 일에 대한 열정이 그대로 말과 행동에 드러나서 다들 나에게는 그저 부러움의 대상이었다. 이런 분들에게 내 컴퓨터 안심하고 맡길 수 있을 것 같다.
 

- 트러스와처라니 이름부터 특이한데 소개 좀 해주시겠어요?

트러스와처는 TrusWatcher으로 Trust와 Watcher을 더한 이름입니다. 트러스는 안랩의 여러 제품 앞에 붙어있는 것을 많이 보셨을 거예요. 'Trust', 즉 '신뢰'라는 의미로 앞에 붙은 것이구요 Watcher은 트러스와처의 기능을 의미합니다. 트러스와처는 정보 수집, 분석, 모니터링을 통해서 좀비 PC를 사전에 탐지하고 대응하는 솔루션입니다. 지금까지의 안랩에 쌓인 여러가지 기반 기술들이 모여 만들어진 종합 보안 솔루션이라고 볼 수 있겠네요.

- 잘 모르는 분들은 기존의 V3같은 백신과 차이가 뭔지 많이 궁금해할 것 같은데 알려주세요.

둘의 가장 큰 차이점은 '트래픽'에 있어요. 그냥 바이러스에 감염되었을 때에는 많은 양의 트래픽이 발생하지는 않아요. 그러나 좀비 PC의 경우에는 다르죠. DDoS공격이 일어나기 전에 크래커는 다른 사람들의 PC에 몰래 악성코드를 설치하여 많은 수의 좀비 PC를 확보해요. 여기까지는 V3같은 백신들과 기능상 큰 차이가 없겠네요. 크래커는 확보한 좀비 PC들을 조종하여 특정 웹사이트에 동시에 접속시켜 과부하를 일으켜요. 이게 DDoS공격이예요. DDoS 트래픽 유발 정보는 기존의 백신들로는 알 수 없죠. 트러스와처는 이 부분까지 다 포괄합니다.

- 트러스와처의 기본적인 동작 방식을 설명해 주세요.

트러스와처는 크게 탐지를 담당하는 ZPX, 치료를 담당하는 APC, 모니터링 담당하는 ATM/ATL로 나누어집니다. 저희가 담당하는 쪽은 ZPX이고요 ZPX는 Zombie Prevention eXpress의 약자로 말 그대로 좀비를  ZPX는 파일의 악성 여부를 탐지하고 파일을 다운로드 할 때에도 악성코드를 탐지합니다.

또한 PC의 트래픽 발송 정보를 감시하여 이 PC가 좀비 PC가 되어 DDoS 공격 여부를 확인합니다.
치료를 담당하는 APC를 설명해드리기 전에 실시간 모니터리을 하는 ATM과 ATL에 대해 먼저 설명해드릴게요. ATM과 ATL은 둘다 관리의 역할을 하는 파트지만 역할이 약간 달라요. ATM은 UI(User Interface)를 담당하는 파트이고 ATL은 ZPX에서 받은 정보를 바탕으로 한 통계를 담당해요. 이 결과값에 따라 ATL은 APC에게 삭제 혹은 복원하라는 명령을 전달하죠.

마지막으로 APC는 앞서 말해드렸듯이 치료를 담당하는데, 클라이언트 PC에서 악성 파일을 제거하고 이 결과를 ATL로 다시 전송하는 역할을 해요. 그리고 클라이언트 PC의 agent를 관리하는 역할을 하죠.


- 좀비 PC 전용 백신을 다른 여러 회사에서도 개발했을텐데 트러스와처만의 장점을 꼽으라면 뭐가 있을까요?

ASD(AhnLab Smart Defense)엔진이 하나의 큰 장점이죠. 기존에는 악성코드에 대한 모든 데이터를 PC로 다운로드한 후 PC에서 처리했었는데 ASD는 클라우드 컴퓨팅 개념을 이용한 기술이예요. 일단 타사의 제품들보다 빠르게 모니터링이 가능해요. 또 ASD를 기반으로 종합 위협 분석 시스템인 ACCESS를 활용하는데 결과적으로 오진율도 최소화할 수 있었어요.

- 요즘 스마트폰을 쓰면서 스마트폰 보안도 많이 문제가 되고 있는데요 스마트폰이 DDoS공격에 이용될 수 있나요?

네 충분히 가능한 이야기예요. 스마트폰에서는 이전의 폰들과는 다르게 컴퓨터에서 하는 거의 모든 일을 할 수 있죠. 스마트폰으로 자주 파일도 다운받기도 하니 악성코드가 함께 깔릴 수도 있어요. 그렇게 되면 '좀비 폰'이 되어 특정 싸이트를 DDoS공격하는데 쓰일 수 있겠네요.

- 재미있는 에피소드 있으면 들려주세요. 
 
처음에는 개발 자체에 회의적이었어요. 상품화 될지 안 될지도 모르겠고 저희가 개발을 할 수 있는지 그 가능성 자체에 의문을 제기하기도 했죠. 게다가 그 과정이 너무 힘들어서 이거 좀비 PC 방지 솔루션 만들다가 우리가 좀비 되겠다는 농담이 돌기도 했어요. 근데 신기하죠. 하다보니 되더라구요. 주말에도 나와서 작업하고 직접 음식을 해와서 팀원들에게 나눠주시는 분도 계셨구요.


- 사실 DDoS 공격이 근래 몇달 간에는 일어나지 않았잖아요? 사람들의 경각심이 많이 줄어들었을 것 같은데 아직 많이 위험한가요?

요즘 좀비 PC로 인한 문제가 일어났다든가 DDoS 공격이 행해졌다는 이야기를 듣기 어렵죠. 그러니 아무래도 경각심이 많이 줄어들었을 수도 있겠네요. 그렇다고 재발 가능성이 없는 것은 아닙니다. 병이 다 나았다고 병이 다시 걸릴 확률이 아예 없는 것은 아니죠. DDoS 공격이 다시 일어나지 않을 거라고 생각하지 말고 컴퓨터 보안에 조금 더 관심을 가져 주셨으면 좋겠어요. Ahn

대학생기자
임성현 / 서울대 공학계열
Sing, like nobody's listening
Dance, like nobody's watching you
Love, like you've never been hurt
항상 그 순간에 최선을 다 할 수 있었으면 좋겠습니다^^

대학생기자 김성환 / 포항공대 산업경영공학과
justifyan@gmail.com
해도 후회하고 안 해도 후회할 일이 있다면 하는 게 좋다는 말이 있다. 사실 고민 따윌 할 때, 나는 이미 답을 알고 있다. 결론도 이미 낸 상태다. 그냥 끌리는 대로 하고 싶은 대로 사는 게 맞는 것 같다. 아아 모르겠다.

사내기자 임재우 / 안철수연구소 보안정책팀 선임연구원

댓글을 달아 주세요

  1. 카레 2011.11.21 18:55  Address |  Modify / Delete |  Reply

    좀비 잡는 트러스 와처 잘 되기를 기원합니다.