악성코드와 백신, 도전과 응전의 네버엔딩 스토리

현장속으로/세미나 2010. 12. 9. 06:32

'신들의 섬'이라 불리는 인도네시아 발리 섬에서 11월 17일부터 19일까지 13번째 'AVAR 국제 컨퍼런스'가 개최되었다. 휴양지인 발리 섬에서 열린 건 이번이 처음이다.

AVAR(Association of anti Virus Asia Researchers)는 컴퓨터 바이러스의 확산과 피해를 막고 아시아 지역 안티바이러스 연구자의 협력 관계를 발전시키기 위해 설립된 단체이다. 아시아 태평양 지역을 활동 거점으로 회원국들이 구성되는데 세계적인 보안 기업들이 아시아 지역에 연구소를 설립함으로써 전세계 대부분의 보안 전문가가 참여하는 컨퍼런스로 확대되었다.

지난 9월 캐나다 벤쿠버에서 개최된 VB(Virus Bulletin) 국제 컨퍼런스에서는 스턱스넷(Stuxnet)이 가장 큰 이슈였다. http://blogsabo.ahnlab.com/562 
하지만 AVAR에서는 RFID(Radio Frequency Identification), 포렌식(Forensics), 펄스 포지티브(False Positive), 모바일 악성코드 등 다양한 주제로 발표가 진행되었다.
 

첫째 날에는 AVPD(Anti-Virus Product Developers) 미팅을 하고, 둘째 날부터 본격적인 컨퍼런스가 열렸다. 키노트 연설자로 나선, 금년 보안 분야 우수 교육자상을 받은 에프시큐어(F-Secure)의 Mikko Hyppönen이 'State of net'이라는 주제로 문을 열었다.

Mikko는 브레인(Brain) 바이러스부터 스턱스넷까지의 악성코드 변천사를 키워드를 뽑아가며 소개했고, 최근에는 유료 전화에 전화를 걸어 금전적 이득을 취하는 모바일 악성코드가 게임에 포함된 채로 유포되고 있다고 언급했다. 이는 올해 4월에 발견된 트레드다이얼을 말한다. http://blog.ahnlab.com/ahnlab/836

이어서 트렌드마이크로(Trend Micro)사에서는 RFID의 취약점을 이용한 정보 유출을 보여주고, 클라우드 개념과 상호 인증을 통한 보안을 제안했다. 우리 안철수연구소는 파일 없는 오진 테스트 방법을 제안했다.

정상 프로그램 아이콘 도용하는 악성코드 등장

 
인상적인 발표 중 하나는 비트디펜더(BitDefender)사 연구원이 발표한 'The Rise of Icon Attacks'였다. 아이콘 공격(
Icon Attacks)이란 정상 프로그램과 비슷한 아이콘을 사용해 사용자로 하여금 의심없이 실행하도록 하는, 사회공학 기법이 적용된 공격이다. 최근 이런 악성코드가 점차 증가하는 추세이다.

발표자는 "악성코드 제작자들은 정상적인 아이콘에 색깔, 노이즈, 위치를 주로 변경하는데, 이러한 악성코드들을 효과적으로 분류하기 위해 색깔, 노이즈를 줄이고 위치를 특정한 곳으로 이동하여 특정 값으로 분류하는 연구가 효과적이었다."라고 말했다.

MS사 연구원이 발표한 'An Insight Into Managed Downloaders' 또한 인상에 남았다. 발표자는 지속적으로 이슈가 되고 있는 봇넷(Botnet)이, 제작 툴을 사용하여 대량으로 제조되는 최근 상황을 설명했다. 또한 악성코드 제작 툴을 소개하고, 구매 비용과 봇넷 서버의 기능을 보여주었다. 2010년 2월부터 10월까지 브레도랩(Bredolab) 악성코드의 서버는 약 173만 개, 오피클라(Oficla) 악성코드의 서버는 약 75만 개에 달한다는 조사 결과도 발표했다. 

보안 회사마다 다양한 조사와 실험을 한다는 것과, 봇넷 서버가 생각보다 엄청나게 많다는 사실이 놀라웠다. 전세계적으로 감염된 클라이언트(PC) 수는 상상 그 이상일 것이며, 만약 이 숫자가 스턱스넷과 같은 전자 제어 장비를 공격하는 봇넷이었다면 전세계가 순식간에 마비되지 않을까 싶었다.

백신, 악성코드 뒤쫓기보다 자체 발전할 때 


마지막 날도 다양한 주제 발표가 진행되었다.
화웨이 시만텍(Huawei Symantec)사의 연구원은 중국의 사이버 범죄 현황을 소개했다. 중국은 프로그래머의 소득 수준은 매우 낮은 반면 악성코드 제작자의 소득은 비교할 수 없을 만큼 높기 때문에 사이버 범죄의 유혹에 쉽게 빠진다고 한다. 이어서 사이버 범죄를 막기 위해 중국 공안부가 나서 보안 표준과 법안을 만드는 기관을 설립해 운영 중이라고 밝히고, 정부와 산업계가 더욱 긴밀히 공조해야 한다고 강조했다.

포티넷(Fortinet)사의 연구원은 'An Automated Malware Processing Lab'이라는 제목으로 악성코드 행위 기반 데이터의 자동화 처리 시스템을 발표했다. 이는 우리 안철수연구소의 분석 자동화 시스템과 유사하지만, 우리 것보다 기술이 부족하고 자동화한 악성코드 판별 시스템이 없다는 한계가 있다.

퀵힐(Quick Heal)사의 연구원은 바이러스에 의한 파일 감염을 행동 기반으로 탐지해 차단하는 방법을 제시했으며, 트렌드마이크로에서는 바이러스 감염 파일을 일괄 복구하는 방법을 소개하고 동영상 시연까지 했다. 이는 전세계 보안전문가가, 안티바이러스 소프트웨어가 더 이상 악성코드를 뒤따라가는 것이 아니라 점차 지능적으로 발전해야 한다는 것에 공감하고 있음을 보여주는 대목이었다.

세션 마지막으로 최근 지속적으로 늘어가는 허위 백신에 대해 5명 - Righard Zwlenenberg (Norman), Andrew Lee (K7), Lysa Meyers (West Coast Lab), David Harley (ESET), Tony Lee (Microsoft) - 이 참여한 패널 토의가 이뤄졌다. 이 토의는 트위터로 실시간 전달되어 이색적이었다.

토의의 주요 이슈는 '합법적인 프로그램과 그렇지 않은 허위 응용 프로그램의 정의를 어떻게 내릴 것인가'였다. 광고만 출력하는 프로그램이 악성코드로 변질될 가능성이 다분하다는 게 공통된 인식이었다. 또한 이러한 프로그램들이 범죄를 위해 점차 젊은 세대인 '디지털 네이티브(digital natives)에게 접근하는 것도 심각한 문제라고 언급되었다.

이번 컨퍼런스는 정기적인 정보 교환으로 테러의 위협에 더 신속히 대응하고, 안전한 인터넷 세상을 만들어야겠다고 새삼 다짐하는 계기가 되었다. 법망을 교묘히 벗어나 대량 유포되는 허위 프로그램을 비롯해 모든 악성코드를 효과적으로 진단하고 방어하려면 이런 컨퍼런스가 활성화해야 할 것이다. Ahn

이승희 / 안철수연구소 시큐리티대응센터 선임연구원

댓글을 달아 주세요

  1. 제너시스템즈 2010.12.10 10:05  Address |  Modify / Delete |  Reply

    아이콘과 비슷한 모양으로 만들어진 악성코드가 있다니;;; 저처럼 별 생각없이 컴퓨터를 쓰는 사람은 하루에 10번이라도 악성코드에 감염되겠어요;ㅅ; 항상 조심 또 조심해야겠습니다!

  2. 철이 2010.12.20 11:58  Address |  Modify / Delete |  Reply

    시스템적으로 안랩이 완성도가 가장높다면
    다음으로는 여러 성능 테스트상 지표에서 높은점수..그리고 실생활에서 높은 진단율을 보여주는게 우선이고 글로벌화 하려면 현재 v3 클리닉은 약간 판단미스라고 생각합니다.
    인터넷 시큐리티를 개인용을 없애는건 약간 아닌듯합니다.
    차라리 기업용은 v3 business edition 개인용은 인터넷 시큐리티 등으로 가는게 경쟁력이 있지 않을까 생각합니다.

    • 보안세상 2010.12.20 16:33 신고  Address |  Modify / Delete

      철이님 안녕하세요. 진단율와 V3 365 클리닉에 대한 의견에 감사드립니다. 주신 의견은 내부 검토 시 참고 하도록 하겠습니다. 더 안전한 보안환경을 위해 늘 노력하는 안철수연구소가 되겠습니다. 좋은 하루 되세요 ^^

    • 음냐리 2011.02.17 10:48  Address |  Modify / Delete

      글쓰신 분은 제품에 대한 것이 아니고 행위 기반 분석을 해주는 자동화시스템에 대한 얘기를 한 것입니다. ^^;;

보안 고수 총집결한 국제 컨퍼런스 가보니

현장속으로/세미나 2009. 12. 14. 16:24

12회 AVAR(Association of anti-Virus Asia Researchers) 국제 컨퍼런스가 지난 11월 4일부터 7일까지 일본 쿄토에서 열렸다. VB(Virus Bulletin) 컨퍼런스와 함께 대표적인 안티바이러스(Anti-Virus) 컨퍼런스로 많은 보안전문가들이 모여 다양한 보안 위협에 대한 논문을 발표하고 패널 토론를 한다. 안티바이러스 업계에 몸담고 있는 사람으로서는 큰 의미가 있고 도움이 되는 컨퍼런스이다. VB 컨퍼런스는 주로 유럽 미주 지역 위주로 열리고, AVAR 컨퍼런스는 아시아 권에서 열린다. 


특히 이번 컨퍼런스는 안철수 교수가 첫 세션의 좌장을 맡고 전성학 실장이 직접 DDoS 공격 대응 과정을 발표해 어느 때보다 관심이 많이 가는 일정이었다.

첫날; 컨퍼런스 이브, 네트워킹 시간 

국제 컨퍼런스에서는 본 행사 외에도 참석자 간 네트워킹이 중요하다. 1년에 한 번 열리는 행사이니 처음 혹은 오랜만에 만나는 각국 보안 전문가와 직접 인사를 하고 교류하는 것은 후일에도 도움을 주고받을 인적 자산을 얻는 것이니 정보를 얻는 것 이상으로 의미가 있다. 

이번에도 환영 행사(Welcome-reception) 시간에 잠깐씩 인사를 나누었다. 처음 컨퍼런스에 참석할 때만 해도 안철수연구소를 잘 모르는 사람들도 있었지만 이제는 AhnLab이라고 하면 대부분 잘 안다. 글로벌적인 위상이 높아져서일까? 가끔 대화를 하다 보면 심심치 않게 회사의 규모나 한국 시장에 대해서 물어오는 이들이 꽤 있다. 이럴 때는 은근히 회사 자랑을 늘어놓으며 이야기를 하곤 한다. 요즘 유행하는 말처럼 마케팅은 너무 중요해서 마켓터에만 맡겨놓을 수 없듯이 이럴 때일수록 회사를 알려야 한다는 일종의 사명감에 불타게 된다.

리셉션을 마치고는 아쉬워하는 친구들(비트디펜더, Avira, 카스퍼스키, 판다 등에 근무하는 아는 얼굴들)과 자연스럽게 의기투합해 2차를 갔다. 이번엔 쿄토 최고의 번화가인, 카와라마치역 부근의 시죠도리로 향했다. 택시를 타고 잠시 달려 대로 쪽의 쇼핑 타운을 살짝 벗어나 자동차 한 대 겨우 다닐 수 있는 길로 접어드니 쿄토의 술집은 다 이 곳에 모여있구나 싶을 정도로 많은 술집이 있었다. 발길 닿는 대로 들어가 맥주 한 잔을 하며 이런저런 이야기를 나누었다. 대부분 루마니아, 스웨덴 쪽 사람들인데 대화는 한국에서 남자들이 술 마실 때와 놀랍게도 똑같다. 회사, 여자, 자녀 이야기에 좀 지나면 군대 이야기까지.

둘째 날; 7.7 DDoS 공격을 해부하다

첫날 찾아 두었던 규동집에서 아침을 해결하고 가모가와 강을 건너 조용한 쿄토 거리를 통과해 본격적인 세션이 시작되는 컨퍼런스 장소로 향했다. 쿄토의 아침 거리는 한산하고 깨끗하고 고풍스런 도시 정경은 마음을 편안하게 했다.  

사람 좋게 보이는 마이크로소프트의 Jimmy Kuo가 첫 세션을 열었다. 많은 사용자를 근거로 하는 데이터와 통계를 가지고 전세계적인 악성코드의 증가세를 흥미롭게 풀어 갔다. 호주의 가짜백신(Fake AV) 문제를 진단한 후 세션을 마쳤다.

다음으로 인도의 K7 Computing사의 Andrew가 안티바이러스 업체들의 딜레마라 할 문제를 이야기했다. 자동화, 허니팟 등 악성코드를 효과적으로 처리하는 기술이 긍정적인 면도 있지만 오진 문제 등의 부정적인 측면도 있음을 지적했다. 또한 많이 발견되는 악성코드가 반드시 사용자에게 가장 문제가 되는 것은 아닐 수 있다는 점, 단지 마케팅의 관점에서 이슈를 만드는 것이 아닐까 하는 점 등도 언급했다. 특히 발표를 마칠 때 사용자 교육에 대한 필요성을 강조한 것이 인상적이었다.

이어진 세션은 안철수 교수가 좌장을 맡아 진행했다. 좌장은 세션의 시작을 알리고 발표자를 소개하고, 세션이 끝난 후 청중의 질문이 없으면 직접 질문을 하기도 한다. 발표자에게 감사패를 전달하고 다음 세션을 알린다. 

이때는 중국 킹소프트사의 Yanfang Ye 부사장이 지능적 악성코드의 분류 및 명명 시스템을, 인도 퀵힐사의 개발자 두 명이 Transactional NTFS(윈도우 비스타 이상의 운영체제에 있는 콤포넌트)를 이용해 감염되는 악성코드의 진단 기술을 소개했다. 

이어진 세션은 패널 토의였다. 이번 컨퍼런스에서는 패널 토의가 많이 이루어졌다. Trend Micro의 David Perry가 토의의 포문을 열었다. 

“이미 오래 전부터 많은 부분에서 정부와의 협력하고 있다. 하지만 법과 질서의 테두리 안에서 행해져야 하며, 사이버 범죄 대응 면에서 보아야 하지만 책임과 의무 또한 따라야 한다.”

그의 말은 중요한 시사점을 내포한다. 사이버 테러와 범죄에 대응하기 위해 각국 정부와 안티바이러스 업계의 협력은 필요하지만, 그 방법과 범위는 많은 문제점이 있으므로 조심스럽게 접근해야 하는 것이다. 

이어 K7의 CEO인 J.Kesavardhanan은 인도에서 정부와의 협력이 어떤 식으로 이루어지는지 소개했다. ESET의 Randy Abrams는 한국의 DDoS 공격을 소개하며 사이버 전쟁, 인터넷 상의 많은 사이버 범죄 때문에 정부와 협력을 모색해야 한다는 의견을 피력했다. 

재미있었던 것은 많은 패널들이 이미 정부 기관이 악성코드를 이용해 정보를 취득한다고 말하는 것이었다. 정부 관계 기관이 제작한 악성코드를 보안 제품의 진단에서 제외해 달라고 요청한 적도 있지만, 보안 업계가 절대 이를 들어줄 수는 없다는 이야기도 나왔다. 한 업체가 해당 악성코드를 예외 처리한다 해도 다른 업체의 백신이 진단할 수 있기 때문에 사실상 불가능하다는 의견이 주를 이루었다.

또한 정부가 이에 대한 관심을 가지는 이유는 모든 정보가 인터넷으로 모이므로 범죄자들이 관심을 갖는 이유와 같다는 의견도 제시되었다. 얼마 전 데프콘(DEFCON) 같은 보안 컨퍼런스에 미국 군 관계자가 대거 참석한 것을 보아도 정부 기관의 기술적인 접근은 이미 가시화했다는 것이다. 이 외에도 국가단위의 방화벽 체계나 ISP 단에서의 처리 등이 논의되었다. 

이어서 기다리던 전성학 실장의 발표가 시작되었다. 


지난 7월 7일 DDoS 대란 발생 경과와 분석 결과를 막힘 없이 설명해나갔다.

발표가 끝난 후엔 공격자에 대한 정보부터 왜 한국에서 더 많은 악성코드가 발견되는지까지 많은 질문이 쏟아졌다. 

다음에는 사이버 테러리즘에 대한 패널 토의가 진행되었다. 우리나라의 DDoS 발표를 화두로 놓고 여러 패널들의 토론과 질문이 이어졌다. 어떻게, 어디서, 누구를 막을 것인가에 대한 토론은 열기가 무척이나 뜨거웠다. 각국의 사례부터 여러 가지 대응 아이디어까지 다양한 의견을 들을 수 있었다. 역시나 어려운 주제였으므로 정답은 없지만 사이버 테러리즘이라는 화두가 이미 우리 앞에 닥쳐 있으며 이를 막아야 하는 사명감 또한 가져야 한다는 사실을 깨닫는 좋은 기회였다.

발표 및 토의 세션이 끝난 후 Gala Dinner가 이어졌다. 이는 컨퍼런스가 열리는 나라의 전통적인 환영 행사가 곁들여지는 가장 큰 이벤트이다. 이번엔 절도 있고 아기자기한 일본 전통 북 공연이 진행되어 참석자의 많은 갈채를 받았다.

마지막 날; 보안 업체의 사명에 공감대 형성 

첫 세션은 올해 최대 화두라 할 소셜 네트워킹 관련 이슈와 기술적인 면, 시스템적인 면에 대한 상세한 분석을 카스퍼스키의 연구원으로부터 들었다. 아직은 본격적인 바이러스의 형태가 아닌 악성코드의 감염의 경로이거나 도와주는 역할을 하지만, 멀지 않은 미래에 훨씬 다양한 형태의 소셜 네트워킹 관련 악성코드가 등장할 것 같은 생각이 들었다.

둘째 세션은 중국에서 적용한 Green-Dam 소프트웨어에 대한 흥미로운 내용이었다. Green-Dam 프로젝트는 사용자가 접근하는 인터넷 콘텐츠에 대해 정부가 통제할 수 있는 소프트웨어를 사용자에게 강제 설치하는 것이다. 강제 설치는 물론 좋은 의도를 가졌다면 모든 사람들의 콘텐츠를 감시하고 통제해도 되는 것인지, 그것이 안전한 것인지 등 다양한 문제 제기가 있었다. 현재 우리 나라에서도 7.7 DDoS 공격 후에 좀비 PC를 탐지하고 감염된 PC의 인터넷 접속을 차단하기 위한 법제화를 시도 중인데 이와 비슷한 것이다. 

몇 가지 세션이 이어진 후, '보안 업체의 미래 전략'이라는 주제로 마지막 패널 토의가 진행되었다. 주제는 막연했지만 패널들의 토론이 계속될수록 결론은 한 곳으로 귀결되었다. 새로운 위협에 대처하기 위한 연구 개발에 최선을 다하고, 그 위협들에 대한 정확한 정보를 고객에게 제공하는 것이 우리의 사명이라는 것이었다.


많은 화두가 던져졌던 컨퍼런스를 마치고 나니 숙제를 한아름 받은 느낌이 들었지만, 이런 기회를 통해 보안 업계의 다양한 의견을 접하고 우리가 가야 하는 길을 생각할 수 있는 시간이었다. 
Ahn

김광태 / 안철수연구소 기반기술팀 선임연구원


 

댓글을 달아 주세요

  1. DJ야루 2009.12.14 16:34  Address |  Modify / Delete |  Reply

    컴퓨터 보완 고수라고 하면 왠지 뭔가 딱딱하고 방어적일것 같은데,

    아니겠죠?ㅋㅋㅋ

    왠지 보완 고수 총집결 국제 컨퍼런스의 분위기는 어떨지 궁금하네요ㅋㅋㅋㅋ

  2. 악랄가츠 2009.12.14 17:12  Address |  Modify / Delete |  Reply

    우와! 아시아 보안 전문가들이 한자리에 모인 행사군요! ㄷㄷㄷ
    그 가운데 안랩이 있다니, 너무 자랑스러워요! ㅎㅎㅎ
    동네형아에서 아시아의 형아! ㅋㅋㅋㅋㅋㅋㅋㅋ

  3. 365 사용자. 2009.12.14 20:40  Address |  Modify / Delete |  Reply

    v3 365 64비트 버전은 대체 언제쯤 나오나요? xp에서 7로 바꿨는데 64비트 버전이 나올 생각을 안하내요. 이거 365를 무를수 있는거도 아니고 답답합니다.

  4. 드자이너김군 2009.12.14 22:49 신고  Address |  Modify / Delete |  Reply

    이야.. 이런 전문가들이 모인 포럼에 저도 가보고 싶군요.^^

  5. 티런 2009.12.15 09:20  Address |  Modify / Delete |  Reply

    보안 컨퍼런스는 항상 긴장감이 돌것 같아요.
    이분들의 노력으로 깨끗해지는 인터넷세상이 펼쳐지겠죠^^

  6. 행복워니 2009.12.15 11:11  Address |  Modify / Delete |  Reply

    재미있게 읽었어요.. ㅎㅎ
    옛날 나우누리, 하이텔 시절부터 v3를 보고..
    지금도 이렇게 v3 블로그에서 글을 읽고 있으니..
    왠지 함께 커간다는 기분이 듭니다.. ^^

  7. 라이너스 2009.12.15 11:53  Address |  Modify / Delete |  Reply

    보안 컨퍼런스라... 전문가들이 산재한 그곳이군요^^
    잘보고갑니다.

  8. 요시 2009.12.15 13:02  Address |  Modify / Delete |  Reply

    무시무시 한 곳인데요 ㅋㅋㅋ
    한번 가보고 싶습니다 ㅎㅎㅎㅎㅎㅎ

  9. viruslab 2009.12.16 13:00  Address |  Modify / Delete |  Reply

    내년에는 인도네시아 발리 섬에서 개최한답니다.^^

  10. 10대의비상 2009.12.18 00:37  Address |  Modify / Delete |  Reply

    고수들의 모임이군.. ;ㅂ;

    저도 얼른 커서 능력자가 되어 저런 행사에 참여하고싶네요 으익 ㅠㅠ