'가짜백신'에 해당되는 글 2

  1. 2010/07/05 ‘악성코드 지능화’ 어디까지
  2. 2009/10/21 '진짜' 노턴 백신일까요? (2)

보안업체에서 발표한 악성코드 동향 분석자료를 보면, 몇 년 전부터 ‘지능화, 고도화’라는 표현이 계속해서 등장하고 있습니다.

사용자가 인지하지 못하도록 속이기 위해, 보안 제품에 걸리지 않도록 하기 위해 이같은 악성코드 제작 기술의 지능화, 고도화는 당연한 이야기로 받아들여 왔습니다.

이같은 지능화, 고도화된 악성코드 제작 및 유포, 감염 기법은 어디까지 발전할까요?

지난 1일 안철수연구소가 기자들을 초청해 ‘2010년 상반기 보안 위협 동향’을 총정리하는 시간을 가졌습니다. 지난해 7.7 DDoS(분산서비스거부) 공격이 발생한 지 1주년을 앞두고 있는 시점이어서 기자들의 관심은 DDoS에 많이 쏠렸지만, 이 자리에서 사용자PC를 감염시키기 위한 악성 기술이 ‘정말 눈 깜짝할 사이에 정말 고도로 발전하고 있구나.’ 새삼 느낄 수 있었습니다.

악성코드는 모든 사이버공격의 기본이 됩니다. PC나 서버 안에 저장돼 있는 개인정보 등 중요정보를 유출할 수도 있고, 시스템을 손상시킬 수도 있습니다. 스팸 공격이나 DDoS 공격도 유발할 수 있습니다.

그래서 공격자들은 웹사이트나 웹페이지에서, 스팸메일, USB를 통해 사용자PC를 몰래 감염시키기 위해 엄청난 노력을 기울입니다.

사용자가 인지하지 못하게 하기 위해서 악성코드 제작자 등 공격자들은 ‘사회공학기법’을 사용합니다. 안철수연구소는 “사회공학기법은 이제 모든 보안위협의 기본이 됐다.”고 선언하며 상반기 7대 보안이슈 중에서 첫 손에 꼽았습니다.

얼마 전 악성코드를 유포하기 위해 비씨카드 이용대금 명세서로 위장했던 악성 이메일도 수신인 이름만 표시돼 있지 않던 것을 빼면 진짜 이용대금 명세서 이메일과 똑같았습니다. 사전에 이러한 정보를 알고 있지 못했거나 아주 세심한 주의를 기울여 보지 않으면 판별이 누구나 어려웠을 것입니다.

사용자 삽입 이미지

지능적인 수법을 이용하는 대표사례가 바로 가짜백신입니다. 이대로 가다간 조만간 진짜 백신 개발업체(보안업체)가 공급하는 제품의 수준을 따라잡겠다는 생각이 들 정도로 놀랍습니다.

그 첫 번째는 ‘가짜백신의 세계화(?)’입니다. 최근의 가짜백신은 다국어 버전으로 개발되고 있답니다.

안철수연구소에 따르면, 영어, 러시아어, 중국어, 일본어, 한국어 버전까지 개발된 가짜백신이 있답니다.
사용자 삽입 이미지

시중 공급되는 국내 백신제품 중에서 5가지 언어를 완벽하게 제공하는 제품이 몇 개나 될까요?

이같은 가짜백신은 사용자 PC의 언어 환경에 맞게 설치된다고 합니다. 윈도OS 한글버전이 내 PC에 깔렸다면 가짜백신도 한국어 버전이 깔리게 되는 겁니다.

안철수연구소 시큐리티대응센터(ASEC) 전성학 실장은 “하나의 소프트웨어를 여러 언어와 환경에 맞게 통합적으로 개발하는 것이 쉽지 않은데, 가짜백신이 다국어 버전을 지원하고 있다”며, “예전에는 가짜백신 프로그램이 영어로 돼 있으면 악성으로 의심할 수 있었지만 한국어로 돼 있어 사용자는 의심없이 설치할 수 있다”고 설명했습니다.

한 해외 보안전문가가 한 말이 생각이 납니다. (누군지 기억은 안나는군요.) “한국은 최고의 암호기술을 갖고 있어 다른 나라보다 보안위협에 상대적으로 영향을 덜 받을 수 있다. 최고의 암호기술은 바로 한글”이라고. 이 강력한 한글 암호화 기법이 이제 유명 공격자들 사이에서 통하지 않을 만큼 알려져 있나보군요.

두 번째는 가짜백신의 검색엔진 최적화 기법 악용입니다. 가짜백신은 최근 포털 검색 상위에 노출할 수 있도록 인기검색어를 악용하는 ‘블랙햇 SEO(Serch Engine Opimization, 검색엔진 최적화)’ 기법을 이용하고 있답니다.

특정 단어를 검색하면 가짜백신을 설치하는 웹페이지를 상위권에 노출되도록 하기 때문에, 잘 모르는 사용자는 신뢰할 수 있는 포털사이트 검색페이지에서 맨 위에 올라와 있는 백신을 의심없이 클릭할 수 있습니다. 백신인 줄 알고 스스로 악성프로그램을 선택해 설치하게 되는 것입니다.
사용자 삽입 이미지

이 블랙햇 SEO 기법은 악성코드 유포를 노리고 유명 연예인 등의 웹사이트로 가장해 알리는 수법으로 악용되기도 합니다. 마이클잭슨, 김연아 동영상 가장 웹사이트가 알려진 사례였습니다.

트위터, 페이스북과 같은 SNS(소셜네트워크서비스)도 지능적으로 악성코드를 유포하려는 대중적인 통로로 본격 이용되기 시작했습니다.


특히 트위터같은 경우, 글쓰기가 140자로 제한돼 있다는 점을 악용합니다. 간략한 머리글로 호기심을 유발한 후 악의적인 단축 URL을 클릭하도록 하는 방법이죠.

예를 들어 내가 팔로우를 한 사람이 “이것 좀 봐. 대박 ㅋㅋ http://~~~” 이런 식으로 글을 남길 경우, 누구나 링크돼 있는 주소를 클릭할 것입니다. 일단 내가 아는 사람이 남기는 글이라 의심할 여지가 없을 것입니다.
사용자 삽입 이미지

더욱 문제는 단축 URL을 사용하기 때문에 이 주소의 신뢰성을 판단하기 어렵다는 겁니다. 어떤 웹사이트로 연결되는지 알기 힘듭니다.

이미 지난 2~3월에 트위터에서 단축 URL을 이용해 악성코드를 유포하거나 피싱 웹사이트로 유도하는 사례도 발견됐다고 합니다.

제게 이런 일이 닥쳐도 피하기가 힘들 것 같습니다.

안철수연구소는 위험 웹사이트 차단 서비스인 ‘사이트가드’ 기반기술로 이같은 단축 URL의 신뢰성을 검증하는 방법을 연구하고 있답니다. 하반기에는 사업화가 가능할 것이라고 하는데요, 얼른 나왔으면 하네요.

가짜백신이나 피싱 사이트, SNS 악용한 신종 피싱 및 위협은 지난 상반기 두드러졌습니다. 앞으로 악성기법이 계속해서 더 지능적이고 고도화되겠지요.

어렵고 귀찮은 점도 있으나, 이러한 악의적인 기법은 PC와 인터넷을 사용하는 분들도 어느정도 상식적으로 알고 있어야 할 것으로 생각됩니다.

DDoS 공격은 사이버범죄자들이 보안에 취약한 PC를 대거 악성코드에 감염시켜 가해자로 만들었습니다. 앞으로 내 PC를 누군가가 공격에 악용할 지, 내 정보를 갖고 나가 어떤 범죄에 이용할 지 아무도 모릅니다.

*** 이 포스팅에 담긴 그림은 모두 안철수연구소가 제공한 자료라는 점을 밝힙니다.
 

2010/07/05 15:05 2010/07/05 15:05


어떻게 생각하십니까? 화면 인터페이스나 색깔, 디자인이 전세계에서 가장 많이 사용되는 시만텍의 백신 '노턴'과 아주 유사하게 제작돼 있습니다. 그런데 엄연한 사기 백신입니다.

실제로 악성코드는 잡지 못하면서 거짓으로 사용자들에게 치료를 명목으로 돈을 받기 위해 제작된 가짜 백신입니다.

이같은 가짜 백신 프로그램은 보통 ‘당신의 컴퓨터가 감염됐습니다’ 등과 같은 거짓문구로 사용자 불안심리를 자극하고, 컴퓨터에 설치·검사토록 돈을 내고 치료하도록 유도합니다.

돈만 빼내는 것이 아니라 개인정보를 빼내고, 오히려 사용자 컴퓨터에 악성코드를 설치하기도 한답니다.

우리나라에서도 몇년 전 '스파이웨어'나 '애드웨어'와 같은 악성코드 치료 프로그램들이 범람했습니다.

바이러스, 스파이웨어 등 악성코드 감염 문제가 커지면서 사용자들이 검사는 무료이지만 치료는 유료로 하는 악성코드 제거 프로그램들을 찾고 쓰기 때문에 이러한 프로그램이 인기를 끌었지요. 그런데 실제 큰 위험성이 없거나 악성코드가 아닌 것을 검사결과에 보여주면서 돈을 내고 치료하도록 해 많은 금전적인 피해를 입은 사례가 빈번하게 나타났었습니다.

급기야 당시 정보통신부가 나섰지요. 시중에 유통되는 악성코드 제거 프로그램의 성능을 테스트해 상위 제품들을 공개함으로써 사용자들이 안전한 제품을 믿고 쓸 수 있도록 가이드를 하고 있습니다.

이 일을 지금은 방송통신위원회가 하고 있는데요, 최근 발표된 결과에 대한 기사를 참고하세요. ( ‘치료율 제로’ 악성코드 제거 프로그램 82종)

최근 글로벌 보안업체인 시만텍이 최근 전세계에서 활동하고 있는 상위 50개 가짜 백신 프로그램의 기법과 특징을 분석한 의미있는 보고서를 발표했습니다. 한국에서는 21일 발표됐습니다. 가짜 보안 소프트웨어의 현황과 위험성을 분석한 보고서로는 최초라네요.

관심 있는 분은 보고서를 다운로드해 살펴보십시오. 그런데 영문입니다. (http://eval.symantec.com/mktginfo/enterprise/white_papers/b-symc_report_on_rogue_security_software_WP_20016952.en-us.pdf)

이 보고서의 주요 내용은 기사로 썼습니다. 참고하세요.   “가짜백신 사기 심각…연 250개 활동”

보고서에 따르면 2008년 7월부터 2009년 6월까지 1년 동안 250개의 가짜 백신 프로그램을 발견했다고 합니다. 가장 많이 발견된 상위 10개의 가짜 백신입니다. 이같은 이름의 백신 프로그램을 사용해야 한다고 현혹하는 문구를 검색사이트 등 인터넷에서 본다면 가차없이 무시해야 합니다. 컴퓨터에 설치돼 있다면 바로 삭제하세요.


그리고 시만텍은 유투브에도 가짜 백신이 사용자를 속이고 설치를 유도하는 것을 찍은 동영상을 올려놨습니다. 재미있습니다. 한번 보세요. (동영상)

시만텍은 가짜 백신 사기를 예방하기 위한 사용자 보안수칙도 발표했습니다.  

• 보안 소프트웨어는 신뢰할 수 있는 보안 제공업체가 기존 온·오프라인 매장을 통해 판매하는 검증된 제품인지 확인하고, 설치한다.
• 네트워크의 엔드포인트 보안을 위한 솔루션이나 통합 PC보안 제품을 설치한다.
• 의심이 가는 이메일에 첨부된 링크를 직접 클릭하는 것을 삼가고, 잘 알려진 신뢰할 수 있는 웹사이트 URL을 직접 브라우저에 입력해 들어가는 습관을 갖는다.
• 예상하지 않았던 이메일 첨부파일은 절대 열어보거나 실행하지 않는다. 본인 이메일 주소로 직접 온 메일이 아닌 경우 의심하는 것이 필요하다.
• 합법적인 팝업 창이나 배너광고를 가장한 광고에 주의한다. 종종 사이버범죄자들은 웹 브라우저에 표시된 에러메시지를 이용해 사용자들을 속이고 가짜 소프트웨어 설치를 유도한다.

지능적인 가짜 백신 사기에 당하는 일이 없도록 모두 조심하세요!  

2009/10/21 18:20 2009/10/21 18:20