방송통신위원회가 국민의 정보보호 인식제고를 위해 정보보호 홍보 TV방송을 시작합니다.

작년 7.7 분산서비스거부(DDoS) 공격 사태를 거치면서 이용자들의 PC보안 인식과 보안생활화가 아주 중요하게 부각된 것이 계기가 됐습니다.

이번 7월에도 작년에 치료되지 않은 좀비PC가 주요 국가기관, 은행, 포털 등의 웹사이트에 DDoS 공격을 가했었죠. 

방송통신위원회는 지상파 TV(KBS, MBC, SBS)와 보도전문채널(YTN, MBN)을 통해 평시엔 사이버침해 유형, 안전한 PC 이용방법, 악성코드 감염 방지 요령 등 정보보호 실천수칙을, 비상시에는 사이버침해 관련 상황과 대국민 행동요령을 신속히 전파한다는 계획입니다.

우선은 정보보호의 중요성을 알리기 위한 캠페인방송, 시사/교양정보 프로그램, 다큐멘터리 등의 형태로 시작될 예정입니다. 

원래는 TV 뉴스에서 제공하는 일기예보처럼 매일 국민들이 알아야 하는 정보보호 동향이나 사이버위협, 조치방안 등을 알려주는 형태로 기획이 됐었던 것으로 알고 있었습니다만, 아무래도 사회적으로 심각한 파급력을 주는 사이버공격은 예기치 않게 생겨 그런지 예보 보다는 홍보방송 형태가 되는 것 같습니다.

래도 1.25 인터넷대란이나 전자금융거래 관련 보안사고, 7.7 DDoS 공격, 대규모 개인정보유출 사고처럼 큰 사건이 나지 않는 이상, 평소에 TV방송에서 정보보호를 이슈로 집중적으로 다뤄지진 않았던 점을 생각하면 고무적입니다.

일단 시작할 방송사별 프로그램입니다.

사용자 삽입 이미지

앞으로 시청자들뿐 아니라 특히, 정보보호 전문가 등 관계자분들이 관심있게 살펴보고 방송사와 방송통신위원회, 한국인터넷진흥원에 의견을 적극적으로 개진하는 것이 중요할 것 같습니다.


 

2010/07/14 13:35 2010/07/14 13:35

보안업체에서 발표한 악성코드 동향 분석자료를 보면, 몇 년 전부터 ‘지능화, 고도화’라는 표현이 계속해서 등장하고 있습니다.

사용자가 인지하지 못하도록 속이기 위해, 보안 제품에 걸리지 않도록 하기 위해 이같은 악성코드 제작 기술의 지능화, 고도화는 당연한 이야기로 받아들여 왔습니다.

이같은 지능화, 고도화된 악성코드 제작 및 유포, 감염 기법은 어디까지 발전할까요?

지난 1일 안철수연구소가 기자들을 초청해 ‘2010년 상반기 보안 위협 동향’을 총정리하는 시간을 가졌습니다. 지난해 7.7 DDoS(분산서비스거부) 공격이 발생한 지 1주년을 앞두고 있는 시점이어서 기자들의 관심은 DDoS에 많이 쏠렸지만, 이 자리에서 사용자PC를 감염시키기 위한 악성 기술이 ‘정말 눈 깜짝할 사이에 정말 고도로 발전하고 있구나.’ 새삼 느낄 수 있었습니다.

악성코드는 모든 사이버공격의 기본이 됩니다. PC나 서버 안에 저장돼 있는 개인정보 등 중요정보를 유출할 수도 있고, 시스템을 손상시킬 수도 있습니다. 스팸 공격이나 DDoS 공격도 유발할 수 있습니다.

그래서 공격자들은 웹사이트나 웹페이지에서, 스팸메일, USB를 통해 사용자PC를 몰래 감염시키기 위해 엄청난 노력을 기울입니다.

사용자가 인지하지 못하게 하기 위해서 악성코드 제작자 등 공격자들은 ‘사회공학기법’을 사용합니다. 안철수연구소는 “사회공학기법은 이제 모든 보안위협의 기본이 됐다.”고 선언하며 상반기 7대 보안이슈 중에서 첫 손에 꼽았습니다.

얼마 전 악성코드를 유포하기 위해 비씨카드 이용대금 명세서로 위장했던 악성 이메일도 수신인 이름만 표시돼 있지 않던 것을 빼면 진짜 이용대금 명세서 이메일과 똑같았습니다. 사전에 이러한 정보를 알고 있지 못했거나 아주 세심한 주의를 기울여 보지 않으면 판별이 누구나 어려웠을 것입니다.

사용자 삽입 이미지

지능적인 수법을 이용하는 대표사례가 바로 가짜백신입니다. 이대로 가다간 조만간 진짜 백신 개발업체(보안업체)가 공급하는 제품의 수준을 따라잡겠다는 생각이 들 정도로 놀랍습니다.

그 첫 번째는 ‘가짜백신의 세계화(?)’입니다. 최근의 가짜백신은 다국어 버전으로 개발되고 있답니다.

안철수연구소에 따르면, 영어, 러시아어, 중국어, 일본어, 한국어 버전까지 개발된 가짜백신이 있답니다.
사용자 삽입 이미지

시중 공급되는 국내 백신제품 중에서 5가지 언어를 완벽하게 제공하는 제품이 몇 개나 될까요?

이같은 가짜백신은 사용자 PC의 언어 환경에 맞게 설치된다고 합니다. 윈도OS 한글버전이 내 PC에 깔렸다면 가짜백신도 한국어 버전이 깔리게 되는 겁니다.

안철수연구소 시큐리티대응센터(ASEC) 전성학 실장은 “하나의 소프트웨어를 여러 언어와 환경에 맞게 통합적으로 개발하는 것이 쉽지 않은데, 가짜백신이 다국어 버전을 지원하고 있다”며, “예전에는 가짜백신 프로그램이 영어로 돼 있으면 악성으로 의심할 수 있었지만 한국어로 돼 있어 사용자는 의심없이 설치할 수 있다”고 설명했습니다.

한 해외 보안전문가가 한 말이 생각이 납니다. (누군지 기억은 안나는군요.) “한국은 최고의 암호기술을 갖고 있어 다른 나라보다 보안위협에 상대적으로 영향을 덜 받을 수 있다. 최고의 암호기술은 바로 한글”이라고. 이 강력한 한글 암호화 기법이 이제 유명 공격자들 사이에서 통하지 않을 만큼 알려져 있나보군요.

두 번째는 가짜백신의 검색엔진 최적화 기법 악용입니다. 가짜백신은 최근 포털 검색 상위에 노출할 수 있도록 인기검색어를 악용하는 ‘블랙햇 SEO(Serch Engine Opimization, 검색엔진 최적화)’ 기법을 이용하고 있답니다.

특정 단어를 검색하면 가짜백신을 설치하는 웹페이지를 상위권에 노출되도록 하기 때문에, 잘 모르는 사용자는 신뢰할 수 있는 포털사이트 검색페이지에서 맨 위에 올라와 있는 백신을 의심없이 클릭할 수 있습니다. 백신인 줄 알고 스스로 악성프로그램을 선택해 설치하게 되는 것입니다.
사용자 삽입 이미지

이 블랙햇 SEO 기법은 악성코드 유포를 노리고 유명 연예인 등의 웹사이트로 가장해 알리는 수법으로 악용되기도 합니다. 마이클잭슨, 김연아 동영상 가장 웹사이트가 알려진 사례였습니다.

트위터, 페이스북과 같은 SNS(소셜네트워크서비스)도 지능적으로 악성코드를 유포하려는 대중적인 통로로 본격 이용되기 시작했습니다.


특히 트위터같은 경우, 글쓰기가 140자로 제한돼 있다는 점을 악용합니다. 간략한 머리글로 호기심을 유발한 후 악의적인 단축 URL을 클릭하도록 하는 방법이죠.

예를 들어 내가 팔로우를 한 사람이 “이것 좀 봐. 대박 ㅋㅋ http://~~~” 이런 식으로 글을 남길 경우, 누구나 링크돼 있는 주소를 클릭할 것입니다. 일단 내가 아는 사람이 남기는 글이라 의심할 여지가 없을 것입니다.
사용자 삽입 이미지

더욱 문제는 단축 URL을 사용하기 때문에 이 주소의 신뢰성을 판단하기 어렵다는 겁니다. 어떤 웹사이트로 연결되는지 알기 힘듭니다.

이미 지난 2~3월에 트위터에서 단축 URL을 이용해 악성코드를 유포하거나 피싱 웹사이트로 유도하는 사례도 발견됐다고 합니다.

제게 이런 일이 닥쳐도 피하기가 힘들 것 같습니다.

안철수연구소는 위험 웹사이트 차단 서비스인 ‘사이트가드’ 기반기술로 이같은 단축 URL의 신뢰성을 검증하는 방법을 연구하고 있답니다. 하반기에는 사업화가 가능할 것이라고 하는데요, 얼른 나왔으면 하네요.

가짜백신이나 피싱 사이트, SNS 악용한 신종 피싱 및 위협은 지난 상반기 두드러졌습니다. 앞으로 악성기법이 계속해서 더 지능적이고 고도화되겠지요.

어렵고 귀찮은 점도 있으나, 이러한 악의적인 기법은 PC와 인터넷을 사용하는 분들도 어느정도 상식적으로 알고 있어야 할 것으로 생각됩니다.

DDoS 공격은 사이버범죄자들이 보안에 취약한 PC를 대거 악성코드에 감염시켜 가해자로 만들었습니다. 앞으로 내 PC를 누군가가 공격에 악용할 지, 내 정보를 갖고 나가 어떤 범죄에 이용할 지 아무도 모릅니다.

*** 이 포스팅에 담긴 그림은 모두 안철수연구소가 제공한 자료라는 점을 밝힙니다.
 

2010/07/05 15:05 2010/07/05 15:05

전세계 4100만명의 블랙베리 스마트폰 사용자를 보유하고 있는 리서치인모션(RIM, 림)이 최근 국내 기자들을 초청해 ‘스마트폰 보안’을 주제로 워크숍을 개최했습니다.

이날 관련기사(RIM “‘보안’은 블랙베리의 DNA”)에 언급하긴 했지만, 림이 제공하는 보안 솔루션에 더 무게를 두다보니 이들이 바라보는 보안위협과 대책을 자세하게 쓰지 못해 영 아쉬웠습니다.

워크숍 때 샌 모이 RIM의 아태지역 이사가 발표한 내용을 주축으로 스마트폰 보안위협과 고려해야 할 방안을 정리해 보겠습니다.

3대 스마트폰 위협요소

1. 분실이나 도난된 기기 안에 있는 데이터를 누군가가 가져간 경우 - 고객정보 유출

2. 탈착 가능한 플래시메모리를 빼내 스마트폰 안의 기업 데이터를 훔쳐가는 경우

3. 해커가 일반 애플리케이션에 악성코드를 집어 넣는 것 - 애플리케이션 스토어를 통한 사용자 악성코드(멀웨어) 다운로드

이같은 보안위협을 최소화하기 위한 방안으로는 가장 먼저 모바일 보안 정책을 수립해야 한다는 점을 강조했습니다.

1. 모바일 보안 정책 수립

스마트폰 사용에서 안전성을 확보하기 위해서는 반드시 모바일 보안 정책을 수립해야 한다. 기존에 데스크톱에 적용했던 보안 정책을 블랙베리와 같은 스마트폰에도 확장 적용해 사용하는 것이 그 출발점이다.

예를 들어, 데스크톱에 비밀번호 사용을 의무화하는 것처럼 스마트폰에도 비밀번호 사용을 의무화하고, 30일마다 변경하도록 하는 것이다. 또 비밀번호를 설정할 때에는 특수문자 등의 조합을 사용해야 한다.

2. 엔드투엔드 데이터 암호화

전송데이터를 암호화하는 것뿐 아니라 스마트폰 내에 저장된 데이터까지 모두 암호화해야 한다.

사용자는 스마트폰에서 인터넷뱅킹 거래 데이터만 암호화하길 원할 수 있지만 기업은 모든 데이터를 암호화하는 것이 중요하다.

3. 악성코드 방지 대책

PC에서 쓰는 안티바이러스 등 악성코드 방지 프로그램을 스마트폰에서 구동하는 것이 힘들다. 악성코드를 방지하기 위해서는 악성코드를 기기에 다운로드 하지 않도록 하는 방안을 다르게 접근해야 한다. 바로 애플리케이션 자체를 통제하는 것이다. 허가/불허된 애플리케이션을 리스트로 정의해 스마트폰에서 불허된 애플리케이션에 접속하는 것을 제한해야 한다.

만일 애플리케이션을 다운받아 설치한 후 나중에 업데이트를 통해 악성코드에 들어오는 경우는 애플리케이션이 액세스하는 수준에 제한을 두면 된다.

사전에 악성코드 감염을 예방할 수 있는 조치다.

4. 기업의 경우- 스마트폰 조달정책 필요

기업이 모바일 오피스 구현 등을 위해 스마트폰을 도입할 때에는 한 두가지 표준모델을 선정해야 보안관리하기 쉽다. 만일 사내에 이기종 스마트폰 모델을 5개 이상, 10여개 이상 사용한다면 보안관리가 어렵다.

기업은 스마트폰 SMS, MMS 및 전화에 대한 로그 감사를 수행하는 것이 중요하다.

애플리케이션 표준화도 중요하다. 최종 사용자가 모든 애플리케이션 사용을 허용할 것이 아니라 표준화되고 승인된 애플리케이션 사용을 허용하고, 다운로드 가능한 애플리케이션 수를 제한하는 것도 고려해볼만 하다.

5. DLP(Data Loss Prevention) 프로그램 필요

기업의 경우엔 직원에 의한 회사정보유출이나 스마트폰 분실시 정보유출을 막기 위해 DLP 프로그램을 반드시 고려해야 한다.

스마트폰에는 개인정보뿐 아니라 회사 정보를 담고있을 수 있다. 직원이 퇴사할 경우 스마트폰 안에 담긴 정보가 유출될 수 있다는 점을 반드시 생각해야 한다. 또 DLP를 적용할 때에는 직원마다 적용 수준을 다르게 둬야 한다.
 

2010/06/21 15:58 2010/06/21 15:58

20일 김을동 의원(미래희망연대) 주최로 ‘스마트그리드 보안 현황과 정책방향’을 논의하는 전문가 간담회가 국회에서 열렸습니다. (관련기사)

현재 정부는 저탄소 녹색성장을 위한 핵심 국정과제로 지능형 전력망인 ‘스마트그리드’를 선정, 연초 스마트그리드 국가로드맵(5개년 계획)을 확정하고 제주에서 스마트그리드 실증단지 사업을 활발히 추진하고 있습니다.

아직은 초기단계이지만 기존 전력공급체계에 ICT 기술이 결합된 지능형 전력망 구축에서 보안대책이 수립돼야 한다는 점은 누구나 공감하고 있습니다.

‘전력’이 아주 중요한 국가기간시설이라는 점에서 만일 사이버공격이나 보안위협에 노출될 경우 국가 존립 자체를 뒤흔들 수 있는 파장을 불러올 수 있기 때문에 스마트그리드 구축에서 보안은 필수적이고도 중요한 요소로 떠올랐습니다.

지식경제부가 내놓은 스마트그리드 국가로드맵과 현재 활발히 추진되는 제주 스마트그리드 실증단지 사업에서도 적합한 보안체계 구축을 위한 사업이 추진되고 있습니다. 

이날 열린 전문가 간담회에서도 앞으로 국가 차원의 스마트그리드 보안을 위한 정책 방향을 그리기 위해 현재 추진되는 관련 보안 현황과 향후 과제, 이슈 등이 발표되고 논의됐습니다.

한 꼭지의 기사로 처리하기에는 방대하고 각 분야 전문가들이 현재 추진되는 스마트그리드 보안 내용과 함께 여러 중요한 의견을 내주셨기 때문에, 이날 간담회에서 발표된 내용을 중심으로 최대한 담을 수 있도록 소개해보려고 합니다.

먼저, 이재일 한국인터넷진흥원 인터넷융합단장의 ‘스마트그리드 보안현황과 정책방향’ 주제발표부터 시작하겠습니다.

- 스마트그리드 보안 이슈

전력망과 인터넷이 연계되는 스마트그리드는 인터넷의 내재적인 취약성으로 인해 외부의 공격 위협에 노출될 가능성이 존재한다.

가장 큰 위협은 전력공급이 중단되는 것으로, 스마트그리드의 통제권이 해커에게 넘어갈 경우엔 전력공급 차단을 넘어선 다양한 사회 인프라 공격으로 확대될 가능성이 있다.

또한 소비자의 전력 사용에 대한 상세정보가 자동으로 양방향 전송됨에 따라 개인정보유출 가능성이 확대된다. 소비자 불만을 해소하기 위해서는 스마트그리드 개인정보유출 우려 등을 해소해야 한다. 전력 이용정보 유출 시에는 개인의 프라이버시가 침해당할 위험성이 나타난다.

소비자의 전력사용 통제권도 상실된다는 문제도 있는데, 전력회사에서 전력수요가 높은 시간대에 소비자 의사와는 별개로 개별 스마트 전자제품의 전력공급을 제어할 수 있기 때문이다. 또한 비정상적인 외부 통제에 의해 소비자가 전력을 자유롭게 사용하지 못한다는 위협도 발생할 수 있다.

특히, 스마트기기의 전력사용량을 모니터링·통제하는 전력 및 중앙관제 시스템에 대한 사이버 테러는 전력공급 차단 등의 전력 통제권 상실로 직결될 개연성이 존재한다.

- 스마트그리드의 기술적 보안

가정용 단말장비에 대한 이용자 인증 및 전력인증이 유무선 환경에서 동시에 수행됨에 따라 상호호환성 문제나 무선기술(와이파이) 보안취약성이 발생할 수 있다.

따라서 소비자 및 스마트기기 인증을 위한 인증시스템이 필요하고, 스마트기기에서의 과도한 개인정보 수집을 최소화할 수 있는 필터링 기술, 무선랜 보안기술(보안설정 강화)이 필요하다.

전력사용량을 측정해 해당 정보를 송수신할 수 있는 전자적계량기인 스마트미터는 전력사용자의 외부통신망과 내부통신망 연결접점으로, 해킹이나 웜바이러스, DDoS 등 공격 타깃이 될 가능성이 높다.

따라서 스마트미터 자체의 취약성을 보완해 외부공격에 대응할 수 있는 보안칩이나 안티바이러스 연구 등이 필요하며, 통신구간 개인정보의 암호화 전송으로 개인정보 유출 가능성을 제거해야 한다. 스마트미터에 대한 접근통제를 위한 물리적 시건장치, 인증 및 로그관리 기술 등도 필요하다.

가정의 전력 사용정보를 제공에 이용되는 가정의 통신망과 전력사업자의 데이터 전송구간인 통신망(WAN) 구간은 전통적인 유무선 통신기술에 내재된 취약성과 해킹공격 등에 노출될 수 있다.

이를 위해 VPN 등을 통한 암호화 통신, 상황관제 및 통합보안관리체계 구축, 전력선 기반 통신의 셀간 위협 차단을 위한 기술 개발이 필요하다.

전력인프라 보안을 위해 송·배전 시스템의 취약성을 보완하기 위한 하드웨어 및 소프트웨어 보안성 평가가 필수적이며, 현재 정보통신기반시설을 추가해야 하고, 이를 위한 기반시설 취약성 분석, 평가기준을 마련해야 한다.

고객정보가 한곳으로 모이기 때문에 대량의 데이터관리 기술도 필요하다.

- 스마트그리드 관련 정보보호 법제도

스마트그리드 정보보호 관련 사항은 기존의 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)과 정보통신기반보호법을 활용해야 한다. 필요 시 이같은 기존 법안을 확대 적용하도록 해 향후 등장할 다양한 IT융복합 서비스를 포함할 수 있도록 검토해야 한다. 

유비쿼터스 도시의 건설 등에 관한 법률은 U-시티의 정보보호를 위해 정보통신망법과 정보통신기반보호법 등 현행 정보보호 관련 법률을 활용한 바 있다.

전력설비 상태감시/관리시스템인 송변전 SCADA시스템, 배전자동화시스템, 전력계통운영시스템 등은 현재 정보통신기반보호법상 기반시설로 지정, 관리되고 있다.

향후 스마트그리드 활성화를 위한 특별법 제정시에는 이같은 정보보호 관련법과의 관계를 고려해 입법 검토해야 한다.

스마트그리드 보안정책 방향은 아래 슬라이드를 참고하세요.

사용자 삽입 이미지

사용자 삽입 이미지

 

2010/04/21 09:00 2010/04/21 09:00

방송통신위원회와 한국인터넷진흥원(KISA)이 2009년 실태조사를 발표했습니다. (관련기사)

인터넷 이용자의 정보보호 인식 등 한국의 정보보호 실태수준이 전반적으로 개선됐고, 국가정보보호지수도 소폭 상승한 것으로 나타났습니다.

그런데 기업의 정보보호 투자나 교육수준 등은 아직도 크게 미흡합니다. 종사자 수 5인 이상 2300개 기업 중 작년에 정보보호에 전혀 투자하지 않은 곳이 63.6%에 달하는 것으로 조사결과 나타났습니다.

정보보호책임자(CISO)를 임명한 기업은 14.6%에 불과합니다. 이도 2008년보다는 늘어난(2.4%) 수치입니다.

그나마 개인정보보호책임자(CPO)를 두고 있는 기업은 43.4%로 더 많네요. 11.9% 늘어났습니다.

정보보호 교육을 실시하는 기업이 전년 대비 5% 증가했지만 아직도 교육을 실시하는 기업은 여전히 20%에도 못미칩니다.

정보보호 제품 이용률도 상승했지만 아직 안티바이러스(백신), 방화벽 이용률도 50% 수준입니다.

웹방화벽, DB보안 제품 이용률도 많이 상승했네요.

그런데 정보보호 실태조사와 국가정보보호지수의 제품 이용률 및 보급률 수치가 좀 차이가 있는데요. 국가정보보호지수에서 나타나는 정보보호 제품 보급률이 더 많이 높습니다.

국가정보보호지수에서 방화벽 보급률은 75.4%, 백신 보급률은 95.7%로 나옵니다.

방통위에 문의해보니 정보보호실태조사는 조사 대상이 종사자 5인 이상 기업을, 국가정보보호지수는 50명 이상 기업을 대상으로 조사한 수치랍니다. 정보보호지수 자료에 있는 백신과 패치 보급률은 개인이용자 기반으로 산출된 수치랍니다.

기업부문의 역기능 피해발생 건수가 2008년에 비해 크게 줄었군요.

기사에 다 반영하지 못했던 기업부문 실태조사 결과 원문 표를 붙입니다.

사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
그리고 방통위가 배포한 실태조사와 국가정보보호지수 원문도 파일 첨부합니다.




2010/03/11 18:14 2010/03/11 18:14

크리스마스를 겨냥한 악성코드가 올해에도 어김없이 나타났습니다.

에스지어드밴텍, 잉카인터넷 등 보안업체들은 23일부터 크리스마스 축하카드로 위장된 악성 이메일이 국내에서 발견됐다면서 사용자들의 각별한 주의를 당부하고 있습니다.

이 이메일에는 악성코드가 첨부돼 있으니, 클릭하지 마시고 수상한 이메일은 삭제해야 합니다.

오늘, 내일뿐만 아니라 연말연시 계속해서 이같은 악성 이메일, 악성코드가 발생할 수 있으므로 백신 업데이트와 실시간 감시 등 보안에 신경써야 할 것으로 보입니다.

다음은 잉카인터넷 시큐리티대응센터(ISARC)에서 분석한 악성코드 이메일 분석 내용입니다.

국내에 유입된 것이 확인된 이번 이메일은 다음과 같이 발신인 등이 정상적인 크리스마스 축하 카드처럼 교묘하게 위장되어 있으며, 악성코드가 첨부파일에 압축된 상태로 포함되어 존재한다.

보낸 사람 : e-cards@123greetings.com
메일 제목 : You have received a Christmas Greeting Card!
첨부 파일 : Christmas Card.zip (382,011 바이트)

이메일 본문에는 다양한 플래시 파일이 링크되어 보여질 수 있다.

http://c.123g.us/flash/branded_loader.swf
http://i.123g.us/c/edec_c_newjingle/card/113366.swf
http://i.123g.us/c/edec_c_newjingle/card/113413.swf
http://i.123g.us/c/edec_c_newjingle/card/105278.swf



이메일에 첨부되어 있는 압축파일(Christmas Card.zip) 내부에 Christmas Card.chm(공백) .exe 이름의 실행 파일이 포함되어 있다.

압축 해제 후 사용자가 보기에 .chm 확장자 이후 약 60여개의 공백을 포함하고 있어 실행파일(exe)이 아닌 것처럼 오인하도록 위장된 상태이다.

압축 내부에 포함된 악성코드 파일은 2009년 12월 23일 날짜로 등록된 것을 확인할 수 있으며, 아이콘은 크리스마스 트리 장식 모양을 하고 있다.



해당 파일이 실행되어 컴퓨터가 감염될 경우 시스템 폴더에 wmimngr.exe, wpmgr.exe 라는 이름의 2개의 파일이 생성된다.


실행된 악성코드는 SMTP 를 통해서 Mass Mailer 기능 등이 수행된다.



 

2009/12/24 10:40 2009/12/24 10:40

인터넷을 통해 열린 사이버 세상은 ‘지구촌’이라는 말을 실감할 수 있습니다.

제가 미국에 있거나 한국에 있거나 어떤 동영상이 유투브(YouTube)에 올려져 있건 아프리카(Afreeca) 사이트에 있건 관계없이 어디서든 같은 시간대에 똑같이 이용할 수 있습니다.

그런데 나라와 국가마다 사용자를 감염시키는 악성코드(위협) 위협 유형은 큰 차이가 있습니다. 이를 ‘악성코드의 국지적인 성향’이라고들 표현하지요?

최근 이같은 경향이 아주 뚜렷하게 드러나는 보고서가 나왔습니다.

마이크로소프트가 반기마다 발표하는 최신 보안 리포트(SIR, Security Intelligence Report) 7호입니다.

아래 그림을 한 번 보시죠. 미국, 영국, 프랑스, 이탈리아에서 가장 큰 위협은 트로이목마입니다. 중국은 사용자 동의 없이 설치된 소프트웨어, 브라질은 암호 도용 및 모니터링 도구, 한국은 웜이 가장 많은 감염률을 보였습니다.


이같은 성향이 나타나는 이유는 악성코드 제작자들이 은밀하게 개인정보나 온라인 게임 계정 도용해 금전을 탈취하려는 등 자신이 이루고자 하는 목적을 달성하기 위해서 이용하기 때문이라고 전문가들은 분석합니다.

눈에 띄지 않으려고 소셜 엔지니어링 기법을 이용하는 악성코드 생태계의 변화를 이 보고서에서도 언급하고 있습니다.

마이크로소프트는 악성코드 확산과 그 효과는 언어와 문화적 요인에 더욱 의존적으로 전환되고 있다고 분석합니다.

특정 언어를 사용하는 사람들을 대상으로 제작되거나 지리적으로 가까운 위치에 있는 특정 지역에서 서비스하는 사람들을 대상으로 만들어졌기 때문입니다.

같은 언어를 쓰는 미국과 영국, 지리적으로 가까운 프랑스와 이탈리아는 대두되는 위협유형이 유사합니다.

미국과 영국, 프랑스, 이탈리아는 트로이목마가 가장 큰 위협이었지만, 그 중에서 미국과 영국에서는 Win32/Alureon과 Win32/Vundo에 의한 피해가 가장 많았다고 보고됐습니다.

프랑스와 이탈리아는 최고의 위협이 트로이목마류의 Win32/Wintrim이었습니다. 서유럽에서 가장 유행했던 악성코드입니다.

중국에서는 사용자 동의 없이 설치되는 원치않는 소프트웨어 문제가 가장 심각합니다. 악성코드는 중국 웹브라우저 위협인 Win32/BaiduSobar와 온라인게임 사용자 비밀번호 탈취를 목적으로 하는 Win32/Lolyda와 Win32/Frethog가 상위 위협 리스트에 올랐습니다.

브라질에서는 온라인 뱅킹 사용자 비밀번호를 탈취하는 Win32/Bancos가 가장유행했습니다.

스페인과 한국은 웜이 가장 위협적이었네요. 한국은 온라인게임 사용자를 타깃으로 한 Win32/Taterf 감염률이 가장 많았습니다.

이 웜은 올해 내내 이슈가 됐던 Conficker에 이어 전세계적으로 많은 피해를 입혔던 웜인데요. 이상하게 전 이 웜의 이름이 익숙하지 않네요.

은 피해를 입혔다면 왜 국내 보안업체들이나 기관에서도 경고를 했을 법한데, 오히려 Conficker에 대한 이야기만 주를 이뤘었던 것으로 기억합니다. 이 웜은 세번째 순위에 랭크돼 있습니다.

마이크로소프트 분석과 실제 국내에서 접수되는 피해신고 현황은 다른 걸까요? 의문입니다.

여하튼, 이 보고서에서 한국에서 가장 많은 사용자를 감염시킨 것으로 집계된 Taterf 웜은 온라인게임 사용자를 타깃으로 하고 있고, PC방(인터넷 카페)과 온라인 게임방에서 확산돼 많이 퍼진 것으로 분석하고 있습니다.

악성코드 감염률이 가장 높은 곳은 전세계 46개 주요국 중 브라질이 1위입니다. 스페인이 2위, 한국이 3위에 올랐습니다.

212개국 중에서는 나우루, 세르비아앤몬테네그로, 중앙아프리카공화국, 터키, 차드, 브라질, 기니비사우, 바누아투, 스페인 순이고, 한국은 10위입니다.

이와 관련된 현황은 기사(악성코드 감염률, 한국이 46개국 중 3위)로 썼으니, 관심있는 분은 살펴보시면 됩니다.

전세계 PC 소프트웨어(운영체제와 응용프로그램) 중에서 가장 많은 사용자를 보유하고 있는 윈도만큼 공격 타깃이 되는 프로그램도 없지요. 그래서 SIR에서 제공되는 통계는 눈여겨 볼만한 의미가 있습니다.

악성코드, 스팸, 피싱사이트까지 모든 위협과 마이크로소프트 등이 개발한 소프트웨어 제품의 취약점을 이용해 제작된 익스플로잇, 소프트웨어 취약점 등의 경향과 통계, 각국의 사례까지 광범위하고 구체적으로 다루고 있습니다.

마이크로소프트가 강조하고 싶을 것 같은 내용도 담겨 있습니다.

윈도 비스타 64비트와 같은 최신 윈도 운영체제일수록 악성코드 감염률이 현저히 감소하고 있는 것을 보여주는 수치입니다.

보안이 크게 강화된 윈도 비스타 SP1의 감염률은 윈도 XP SP3보다 61.9% 낮고, 윈도 XP RTM 보다 83.5%나 떨어진 것으로 보고되고 있습니다.

취약점을 이용해 공격하는 (브라우저 기반) 익스플로이트도 윈도 XP 기반 컴퓨터에서는 전체 취약점의 56.4%, 비스타 기반 컴퓨터는 15.5%를 차지해 떨어졌네요.

SIR 보고서 다운로드 링크입니다. 전문을 보시려면 영문으로 작성돼 있는 보고서를 다운하시면 됩니다. 한국어 버전은 짧은 요약본만 제공되고 있어 아쉽네요.

2009/12/14 15:35 2009/12/14 15:35

얼마전 한 소규모 별정통신사업자가 사용 중인 VoIP(인터넷전화) 교환기가 해킹당해 쓰지도 않은 국제전화 요금이 대량 발생, 총 1억원 이상의 전화요금이 통신사업자로부터 부과되는 피해가 발생했습니다. <관련기사>

말그대로 충분히 예상됐던 ‘위협’이 현실적인 피해로 나타난 것이라 볼 수 있습니다. VoIP 보안위협으로 가장 빈번히 지목됐던 것이 통화 방해, DDoS(분산서비스거부)공격으로 인한 마비, 해킹으로 인한 과금 우회 등이었습니다.

이같은 내용을 제보로 받아 취재하는 과정에서 이 회사(I텔레콤) 말고도 C사와 I별정통신사업자가 앞서 같은 피해를 당해 KT와 납부할 요금에 대한 합의를 봤다는 이야기를 들었습니다.

인터넷침해대응센터를 운영하고 있는 한국인터넷진흥원(KISA)에는 아직까지 VoIP 보안사고 신고가 접수된 사례가 없다지만, 알려지지 않은 해킹 피해는 이보다 많을 것이란 생각이 듭니다.

VoIP를 도입하는 가장 큰 이유는 아마도 비용을 절감할 수 있기 때문일 겁니다. 전화요금 절감을 위해 도입한 VoIP의 보안을 등한시하면 이같은 해킹 사례처럼 더욱 막대한 비용을 지불해야 하는 일이 발생할 수도 있습니다.

제보자는 KT와의 요금합의가 제대로 이뤄지지 않자 답답한 마음에서 자료를 보낸 것이기도 하지만 VoIP를 사용 중인 많은 기업들이 해킹으로 인해 이같은 막대한 요금청구 피해를 당하지 않기 위해 이 일을 알려달라고 했습니다.

그래서인지 VoIP 서비스와 해커의 침입경로, 교환기 담당자가 해킹 방지를 위해 숙지해야 할 사항까지 자료로 보내왔습니다.

만일 기업에서 IP PBX 등 VoIP 장비를 구축해 사용하고 있는데, 그동안 보안에 크게 신경쓰지 않았다면 한번 참고해보시고 필요한 조치를 해둘 필요가 있습니다.

원문 그대로 붙여보겠습니다.

먼저, 아래는 이 업체에서 분석한 VoIP 교환기의 침입 경로입니다.


◎ 기존 VOIP서비스와 해커의 침입 경로

현재 기업의 인터넷통화에서 많이 쓰이고 있는 인터넷 전화 서비스 도식입니다. 도식을 보시면 아시겠지만 교환기 해킹 사건은 Voip전화 도입사용자에게 언제든지 발생할 수 있는 일입니다.

개별 기업의 교환기가 해킹 당하게 되면 개별기업의 통신담당은 알기 힘듭니다. 뿐만 아니라 저희와 같이 요금청구가 일방적으로 되어서 피해를 볼 수 있습니다.

기존의 인터넷 전화 서비스 도식표<본지사간 무료, 시외구간 할인 유료통화>


◊해킹가능경로◊


◎ 교환기 담당자가 해킹방지를 위해 숙지해야 할 사항

-교환기 보안설정

제가 해킹을 당한 것도 교환기에 Access List나 call-barring 같은 보안설정을 세팅해 놓지 않아서입니다. 이 기능은 특정 ip의 패킷을 차단시키거나 허용하는 기능입니다. Voip 교환기에는 위의 기능이 있으니 제조사에 문의 하여 꼭 세팅해 두시길 바랍니다.

- Active call 비교

billing의 active call과 교환기의 active call을 항상 비교하시기 바랍니다. 교환기가 뚫려 버리면 billing상에 아무 조짐이 없기 때문에 해킹을 조기에 판단하기 어렵습니다. Token 같은 프로그램으로 교환기에 접속하면 보기 편합니다.

- Prefix세팅

prefix는 가능한 특수문자(#,*)를 포함하여 어렵게 사용하는 것이 좋습니다. 회사 자체망으로 보내는 prefix는 누구에게도 알려주어서는 안 되며 ip도 마찬가지입니다.

- Root password 관리강화

매주 또는 매일 패스워드 변경을 하여야 하며 책임을 명확히 하기위하여 한정된 인원에 한에서 서버나 교환기의 비밀번호를 알고 있어야 합니다.

-00으로 시작하는 다이얼 통제 강화

교환기가 해킹을 당하게 되거나 다른 업체에서 00으로 시작하는 다이얼이 들어올 경우 예상치 못한 손해가 발생하게 됩니다. 다이얼이 00으로 시작되면 해당 전화를 차단하는 기능을 적용해 주면 예상하지 못한 손해를 막을 수 있습니다.

이와 관련한 기사를 쓴 다음날이 공교롭게도 방송통신위원회와 한국인터넷진흥원(KISA)이 개최한 ‘VoIP 보안기술 세미나’가 있던 날입니다.

이 자리에서 김희정 KISA 원장은 이같은 피해를 막기 위해 영세 VoIP 별정 사업자의 보안 강화 대책을 강화하겠다고 크게 강조했다고 들었습니다.

방통위 담당 사무관은 영세 VoIP 별정 사업자의 VoIP 정보보호 조치계획을 수립할 수 있도록 지원하고, 전문교육도 실시한다는 방침을 밝혔습니다.

또 VoIP 서비스 사업자들이 보안체계를 운영토록 하기 위해 현재 주요정보통신기반시설 지정과는 별개로 정보보호 안전진단 대상에 포함시키는 방안도 적극 검토할 예정이라는군요.

이밖에도 VoIP 침해사고에 대응할 수 있도록  KISA와 함께 많은 대책을 준비중인 상태입니다. 

VoIP를 사용할 때도 인터넷, PC, 네트워크와 마찬가지로 보안은 필수입니다!

2009/12/08 10:20 2009/12/08 10:20


어떻게 생각하십니까? 화면 인터페이스나 색깔, 디자인이 전세계에서 가장 많이 사용되는 시만텍의 백신 '노턴'과 아주 유사하게 제작돼 있습니다. 그런데 엄연한 사기 백신입니다.

실제로 악성코드는 잡지 못하면서 거짓으로 사용자들에게 치료를 명목으로 돈을 받기 위해 제작된 가짜 백신입니다.

이같은 가짜 백신 프로그램은 보통 ‘당신의 컴퓨터가 감염됐습니다’ 등과 같은 거짓문구로 사용자 불안심리를 자극하고, 컴퓨터에 설치·검사토록 돈을 내고 치료하도록 유도합니다.

돈만 빼내는 것이 아니라 개인정보를 빼내고, 오히려 사용자 컴퓨터에 악성코드를 설치하기도 한답니다.

우리나라에서도 몇년 전 '스파이웨어'나 '애드웨어'와 같은 악성코드 치료 프로그램들이 범람했습니다.

바이러스, 스파이웨어 등 악성코드 감염 문제가 커지면서 사용자들이 검사는 무료이지만 치료는 유료로 하는 악성코드 제거 프로그램들을 찾고 쓰기 때문에 이러한 프로그램이 인기를 끌었지요. 그런데 실제 큰 위험성이 없거나 악성코드가 아닌 것을 검사결과에 보여주면서 돈을 내고 치료하도록 해 많은 금전적인 피해를 입은 사례가 빈번하게 나타났었습니다.

급기야 당시 정보통신부가 나섰지요. 시중에 유통되는 악성코드 제거 프로그램의 성능을 테스트해 상위 제품들을 공개함으로써 사용자들이 안전한 제품을 믿고 쓸 수 있도록 가이드를 하고 있습니다.

이 일을 지금은 방송통신위원회가 하고 있는데요, 최근 발표된 결과에 대한 기사를 참고하세요. ( ‘치료율 제로’ 악성코드 제거 프로그램 82종)

최근 글로벌 보안업체인 시만텍이 최근 전세계에서 활동하고 있는 상위 50개 가짜 백신 프로그램의 기법과 특징을 분석한 의미있는 보고서를 발표했습니다. 한국에서는 21일 발표됐습니다. 가짜 보안 소프트웨어의 현황과 위험성을 분석한 보고서로는 최초라네요.

관심 있는 분은 보고서를 다운로드해 살펴보십시오. 그런데 영문입니다. (http://eval.symantec.com/mktginfo/enterprise/white_papers/b-symc_report_on_rogue_security_software_WP_20016952.en-us.pdf)

이 보고서의 주요 내용은 기사로 썼습니다. 참고하세요.   “가짜백신 사기 심각…연 250개 활동”

보고서에 따르면 2008년 7월부터 2009년 6월까지 1년 동안 250개의 가짜 백신 프로그램을 발견했다고 합니다. 가장 많이 발견된 상위 10개의 가짜 백신입니다. 이같은 이름의 백신 프로그램을 사용해야 한다고 현혹하는 문구를 검색사이트 등 인터넷에서 본다면 가차없이 무시해야 합니다. 컴퓨터에 설치돼 있다면 바로 삭제하세요.


그리고 시만텍은 유투브에도 가짜 백신이 사용자를 속이고 설치를 유도하는 것을 찍은 동영상을 올려놨습니다. 재미있습니다. 한번 보세요. (동영상)

시만텍은 가짜 백신 사기를 예방하기 위한 사용자 보안수칙도 발표했습니다.  

• 보안 소프트웨어는 신뢰할 수 있는 보안 제공업체가 기존 온·오프라인 매장을 통해 판매하는 검증된 제품인지 확인하고, 설치한다.
• 네트워크의 엔드포인트 보안을 위한 솔루션이나 통합 PC보안 제품을 설치한다.
• 의심이 가는 이메일에 첨부된 링크를 직접 클릭하는 것을 삼가고, 잘 알려진 신뢰할 수 있는 웹사이트 URL을 직접 브라우저에 입력해 들어가는 습관을 갖는다.
• 예상하지 않았던 이메일 첨부파일은 절대 열어보거나 실행하지 않는다. 본인 이메일 주소로 직접 온 메일이 아닌 경우 의심하는 것이 필요하다.
• 합법적인 팝업 창이나 배너광고를 가장한 광고에 주의한다. 종종 사이버범죄자들은 웹 브라우저에 표시된 에러메시지를 이용해 사용자들을 속이고 가짜 소프트웨어 설치를 유도한다.

지능적인 가짜 백신 사기에 당하는 일이 없도록 모두 조심하세요!  

2009/10/21 18:20 2009/10/21 18:20

PC 부팅장애를 일으키는 악성코드가 등장해, 국내에서도 피해가 보고되고 있다고 합니다. (관련기사 컴퓨터 부팅장애 일으키는 악성코드 주의)

컴퓨터 재부팅시 검은 화면이 나타나고 이 상태가 지속되면 악성코드 감염을 의심해봐야 합니다.

(감염 후 안전모드 부팅 시 [안전모드] 글귀만 뜨고 검은 화면 상태가 지속되는 것을 확인할 수 있다. 사진제공- 하우리)

다음은 잉카인터넷 시큐리티대응센터의 분석자료 내용입니다.


- 악성코드가 작동되어 감염이 이루어지면 다음과 같은 레지스트리 값을 생성하게 되는데, 이 과정에서 설치된 또 다른 악성 파일이 정상적으로 로딩되지 못하면서 발생하는 부작용 현상이다.

악성코드가 생성한 레지스트리 값 중 데이터 부분은 악성코드가 감염될 때마다 Random 파일명과 확장자 등을 이용해 생성하기 때문에 감염된 컴퓨터마다 조금 씩 다른 값들이 포함되어 있을 수 있다.

이러한 악성코드 감염에 의해서 정상적인 부팅 진행이 이루어지지 못할 경우에는 다음과 같은 응급 수동 조치 방법을 통해서 해결할 수 있으며, 증상이 발생하기 이전 시점인 재부팅 전에 해당 악성코드나 레지스트리 값을 제거하면 비정상적인 부팅 현상의 발생을 사전에 해결할 수 있다.

※ 응급 수동 조치 방법

악성코드 감염 후 재부팅을 시도해 시스템이 정상적으로 시작되지 못하는 경우 다음과 같이 진행한다.

1. 다른 정상 컴퓨터에 감염된 하드 디스크(HDD)를 슬래이브(Slave)로 연결하고, 최신 '엔프로텍트 안티바이러스' 제품으로 전체 검사를 수행하며, 탐지되는 모든 악성코드를 치료 또는 제거한다.

2. 다음과 같이 레지스트리 편집기를 이용해 악성코드가 생성한 비정상적인 레지스트리 값을 제거하는 과정을 진행한다. 반드시 감염된 하드 디스크(HDD)가 슬래이브로 연결된 상태여야 한다.

ⓐ 정상적으로 부팅된 컴퓨터에서 레지스트리 편집기를 실행한다. (시작버튼 ▶ 실행 ▶ regedit.exe)

ⓑ 레지스트리 편집기 화면에서 HKEY_LOCAL_MACHINE 값을 선택한다.

ⓒ 파일(F)메뉴에서 하이브 로드(L)를 선택한다.

ⓓ 슬래이브로 연결한 감염 디스크 시스템 하위 경로의 config 폴더에서 software 파일을 선택 후 열기를 한다.

ⓔ 키 이름에 임시로 정한 이름을 입력한다.

ⓕ HKEY_LOCAL_MACHINE\임시 생성 키 이름\Microsoft\Windows NT\CurrentVersion\Driver32 경로에서 midi9 값을 삭제한다.
ⓖ (HKEY_LOCAL_MACHINE\임시 생성 키 이름)을 선택하고 파일(F) 메뉴 -> 하이브 언로드(U)를 선택한다.
ⓗ 슬래이브로 연결했던 하드 디스크를 감염되었던 컴퓨터에 다시 마스터로 부착한 후 재부팅하여, 정상적으로 부팅이 이루어지는지 확인한다.

하우리는 전용백신을 개발해 현재 배포하고 있습니다.

* 부팅장애 전용백신 [Trojan.Win32.Delf.* 전용백신] http://www.hauri.co.kr/customer/download/vaccine_view.html?uid=70&page=1&keyfield=&key=

* 하우리 보안대응센터 보안공지 참고
http://www.hauri.co.kr/customer/security/alert_view.html?intSeq=21&page=1

2009/10/16 15:01 2009/10/16 15:01