최근 사이버보안위협이 엄청나게 늘어나는 요인이 지하경제에서 거래되는 공격용 툴킷 때문이라는 분석이 지배적이죠.

윈도, 오피스, 어도비 아크로뱃과 같은 여러 애플리케이션의 제로데이 취약점은 공격용 툴킷을 통해 사이버공격에 보편적으로 악용되고 있습니다.

이같은 공격용 툴킷은 ‘지능적지속가능위협’으로 (사실 딱 와닿지 않게) 번역되는 은밀한 공격인 APT(Advanced Persistent Threat) 유형의 표적공격을 만들어내는데 크게 기여하고 있다고도 합니다.

시만텍은 최근 발표한 ‘인터넷보안위협보고서(ISTR)’ 최신호(16호)에서 이같은 공격용 툴킷의 확산과 진화가 소셜네트워킹서비스(SNS)의 악성코드 전파 통로 부상, 모바일 보안위협 증가와 표적공격의 진화·확산 등과 더불어 2010년의 보안위협의 주요 특징으로 지목했습니다. (관련기사 “SNS·모바일이 사이버위협 온상”)

공격용 툴킷은 합법적인 소프트웨어처럼 공개적으로 처음 등장한 날짜와 진행상황을 파악하기 어려운데요.

시만텍은 갈수록 증가하고 있는 사이버 범죄에 대한 경각심을 일깨우기 위해 그동안 역추적해 확인한 주요 공격용 툴킷들의 종류와 특징들을 심도있게 분석한 보고서를 내놨습니다.

이 자료를 인용해 ‘공격용 툴킷의 변천사’를 소개합니다.

사용자 삽입 이미지

▲1990년대: 바이러스 키트

1990년대 초, 비주얼 베이직(Visual Basic)을 이용해 제작된 기본적인 기능의 초기 공격용 툴킷이 발견됐지만 기능은 제한적이었다. 웹 인터페이스, 통계 수집, C&C(명령·제어) 관리 기능 등 후기 공격용 툴킷에서 볼 수 있는 기능은 대부분 빠져있었고, 주로 개발 및 전파 목적의 바이러스들이 포함돼 있었다. 초기 바이러스 제작 킷 중에서 가장 발전된 툴킷은 1998년 처음 발견된 VMPCK이었다. VMPCK 이후 곧 CPCK 키트가 등장했는데, 두 킷 모두 ‘바이코딘(Vicodines)’란 악명 높은 프로그래머에 의해 개발됐다. CPCK는 탐지 회피를 위한 다형성 엔진을 포함하고 있었는데 당시로서는 매우 획기적인 시도였다.

▲2001년: VBSWG 웜 킷

스팸 메일 공격시 주로 사용되는 제목 때문에 안나 쿠르니코바(Anna Kournikova) 웜으로도 불리며, 2001년 아르헨티나에서 처음 발견됐다. 비주얼 베이직으로 개발된 VBSWG 웜은 단순하지만 효과적인 암호화 기술을 채택했으며, 이메일 및 IRC 클라이언트를 통한 전파를 위해 다양한 루틴을 내장하고 있었다. 정보 탈취를 우선으로 제작되는 최근의 공격용 툴킷과 달리 초기에는 파괴적 공격이 주요 목적이었다. 예를 들어, VBSWG 웜에는 ‘크래시 시스템’과 ‘크레시 시스템2’로 불리는 공격코드가 탑재돼 시스템이 다운될 때까지 메모리 기능을 계속 복사, 실행한다.

▲2006년: 웹어태커(WebAttacker)의 등장

2006년 초에 처음 모습을 드러낸 웹어태커는 첫번째 공격용 툴킷으로, 2003년에 발견된 7개의 취약점을 이용한 악성코드를 내장하고 있었다. 후기 공격용 툴킷과 마찬가지로 웹어태커는 클라이언트측 취약점을 이용했는데, 마이크로소프트 윈도OS 에 설치된 인터넷 익스플로러나 모질라 파이어폭스 사용자들을 주요 공격대상으로 삼았다.

처음 웹어태커 발견했을 당시 지하경제에서는 15달러에 거래되고 있었다. 이렇게 낮게 가격이 형성된 이유는 첫번째 상용 공격용 툴킷이었기 때문으로 분석된다. 웹어태커 판매자는 구매자에게 약정 서비스 형태로 툴킷을 제공했으며, 이후 수많은 툴킷들이 약정 모델을 차용했다. 또한 웹어태커는 업데이트가 가능하고 후속 버전에는 새로운 취약점을 이용할 수 있는 코드를 포함시켰다. 2006년 9월 웹어태커는 인터넷 익스플로러의 벡터언어 컴포넌트와 관련된 제로데이 취약점을 이용해 눈길을 끌었다. 대다수 툴킷들이 이미 잘 알려진 취약점을 이용한 반면, 악성코드에 제로데이 취약점을 적용한 보기 드문 경우였기 때문이다.

▲2006년: 앰팩(MPack)

웹어태커 다음으로 등장한 주목할만한 공격용 툴킷은 2006년 6월에 발견된 앰팩이다. 앰팩은 웹어태커를 토대로 하고 있지만 개선된 인터페이스를 통해 공격 데이터의 지리적 분류, 공격받은 호스트 위치, 국가별 성공률 등 확장된 통계 정보를 제공한다. 또한 IP 주소나 국가별 사용자, 동일한 IP 주소에서 반복적으로 방문하는 사용자를 차단하는 기능을 지원한다. 특히 중복 방문자를 차단하는 기능은 분석을 위해 툴킷 공격을 호스팅하는 웹사이트를 반복적으로 방문하는 안티바이러스 보안 연구소 및 보안업체들이 앰팩 툴킷을 탐지하기 어렵게 만들었다.

앰팩은 다양한 기법을 통해 보다 공격적으로 배포된 툴킷이다. 예를 들어, 앰팩의 호스트 사이트로 피해자의 경로를 재조정하기 위해 합법 웹사이트에 아이프레임(iframe)을 주입하거나 유사한 이름의 도메인을 등록시켜 인기 웹사이트의 주소를 실수로 잘못 입력한 피해자를 유인했다. 더욱이 스팸을 통해 악성 사이트로 연결된 링크를 유포하고, 맞춤형 악성코드 다운로더를 생성함으로써 피해자가 공격에 걸려들었을 때 배포할 악성코드의 유형과 위치를 직접 정할 수 있도록 했다. 앰팩의 첫 판매 가격은 1000 달러로, 이는 15달러에 판매됐던 웹어태커에 비해 매우 높은 가격이다. 그럼에도 앰팩이 성공을 거두고 오래도록 판매될 수 있었던 이유는 공격자들이 기꺼이 거금을 투자하더라도 투자한 만큼의 충분한 이익을 거두었기 때문인 것으로 분석된다.

▲2007년: 앰팩을 기반으로 한 아이스팩(IcePack)

2007년 7월 등장한 아이스팩은 앰팩과 유사하다. 특정 IP 주소나 국가별 사용자는 물론 중복 방문자를 차단하는 등 앰팩과 동일한 기능을 대거 포함하고 있었다. 아이스팩의 첫 판매 가격은 앰팩보다 낮은 400달러였으나 웹어태커보다는 훨씬 비쌌다. 2007년 11월 시만텍은 아이스팩 및 앰팩과 관련된 하나의 트렌드를 발견했는데, 바로 개발자들이 아이스팩 및 앰팩의 불법복제판으로 입은 손실을 만회하기 위해 할인된 가격이나 무료로 지하경제에서 제공하고 있는 것이었다.

할인 또는 무료 버전에는 공격 피해자를 또 다른 악성 사이트로 유인하는 백도어 코드가 포함돼 있었다. 즉, 무료 툴킷을 사용한 공격자들은 백도어 코드의 존재를 알지 못했고, 그 결과 백도어 버전 툴킷의 공격을 받은 피해자들은 백도어 버전 툴킷 공격으로 득을 보게 된 툴킷 개발자들에 의해 2차 피해를 입었다.

▲2007년: 봇의 제왕, 제우스(Zeus)

시만텍은 2007년 처음으로 제우스 툴킷을 발견했다. ‘Z봇(Zbot)’으로도 알려진 제우스는 온라인 금융 정보 등 민감한 데이터를 수집하기 위해 개발됐고, 지금도 매우 광범위하게 사용되고 있다. 제우스는 PHP 기반 C&C(명령제어) 서버 웹 애플리케이션과 함께 트로이목마 생성기를 포함하고 있지만 트로이목마 설치나 전파 수단은 포함하고 있지 않다. 대신 판덱스(혹은 컷웨일)와 같은 대형 봇넷이 스팸이나 드라이브바이다운로드(Drive-by-downloads: 사용자 모르게 다운로드되어 실행되는 악성 프로그램)를 통해 제우스 툴킷을 유포한다.

제우스는 수많은 사기 및 사이버범죄 사건에 연루됐다. 2010년 9월, 미국, 영국 및 우크라이나 출신의 다국적 범죄집단이 제우스 봇넷을 사용해 18개월간 온라인 금융 및 거래 계좌에서 7000만 달러 이상을 훔친 혐의로 검거된 것 외에도, 영국의 수많은 계좌에서 100만 달러 가량의 돈을 빼돌린 사건이나 수십 개의 미 은행 계좌에서 300만 달러의 돈이 불법 인출된 사건도 있었다. 제우스가 인기가 높은 이유는 피해자 컴퓨터에서 금전적 이득을 볼 수 있는 민감한 정보를 쉽게 빼돌릴 수 있는 기능이 포함돼 있기 때문이다.

▲2007-2008년: 네오스플로이트(NeoSploit), 애드팩(Ad’pack), 토네이도(Tornado)

2007년에는 제우스와 비견할만한 다양한 툴킷이 등장했다. 3월 네오스플로이트, 9월 애드팩, 10월 토네이도 등이 등장했고, 그 중 네오스플로이트의 영향력이 가장 컸다. 겉으로 보기에는 웹어태커의 업그레이드 버전으로 보이지만 향상된 통계 정보 수집과 표시 능력을 지녔다. 안티바이러스 프로그램의 탐지 및 분석을 피하기 위해 은폐 기능(obfuscation) 및 난독화(anti-decoding) 기능이 포함됐다. 발견 당시 네오스플로이트는 기능 및 버전에 따라 1500~3000 달러까지 다양한 가격대의 제품으로 제공되고 있었다.

발표되는 신규 버전마다 새로운 악성코드를 추가했던 네오스플로이트는 공격시 탐지우회기법이 포함된 자바스크립트를 이용하는 혁신 기술을 포함하기도 했다. 그동안 발견된 툴킷과 달리 네오스플로이트는 통계정보를 저장하기 위해 MySQL과 같은 대중적인 데이터베이스를 사용하는 대신 맞춤형 데이터베이스를 포함했다. 또한 공격자가 툴킷 버전 업그레이드 시 데이터베이스도 함께 업그레이드할 수 있도록 스크립트를 제공해 네오스플로이트를 간편하게 최신 버전으로 유지할 수 있도록 지원했다. PHP 인터프리터, 연관 데이터베이스 서버 등 공격용 툴킷에 반드시 필요한 부가 기능을 없애 네오스플로이트의 설치 및 유지보수 작업을 단순화시켰다.

2008년 중반 네오스플로이트의 러시아 출신 제작자들은 네오스플로이트의 개발 중단을 선언했다. 개발에 투자한 시간에 비해 수익성을 담보할 수 없다는 게 그 이유였다. 그럼에도 불구하고 네오스플로이트를 사용한 공격 활동은 이후 계속 감지되고 있다.

시만텍은 2008년 4월 처음 토네이도 툴킷을 발견했지만, 이미 6개월 정도 전부터 탐지를 피해 활동해 온 것으로 보인다. 토네이도는 개발자들의 신중하고 제한적인 유포 활동으로 탐지가 어렵다. 또한 단골 방문객들에게 사이트 소유자의 계좌가 정지되었다는 메시지를 띄우는 등 트래픽 유형에 따라 다른 행동을 취할 수 있는 기능을 갖추고 있었다. 이러한 전술은 다른 IP 주소로 방문자에 대한 공격을 실제 지속하면서도 툴킷 호스팅 사이트가 악의적이라는 의심을 누그러뜨릴 수 있다.

▲2008년: 파이어팩(FirePack)과 엘 피에스타(El Fiesta)

2008년에는 2월과 8월에 각각 소형 툴킷인 파이어팩(FirePack)과 엘 피에스타(El Fiesta)가 시만텍에 의해 발견됐다. 이전에 발견된 툴킷과 동일한 기능이 대거 포함돼 있었지만 가격이나 제공하는 악성코드는 달랐다.

▲2009년: 공격용 툴킷의 전성기

2009년에는 럭키스플로이트(LuckySploit), 리버티(Liberty), 예스 익스플로이트 시스템(YES Exploit System), 엘리노어(Eleonore), 프라거스(Fragus), 유니크 팩(Unique Pack), 마리포사(Mariposa), T-아이프래머(T-IFRAMER), 저스트익스플로이트(justexploit), 시베리아(Siberia), 크라임팩(CRiMEPACK) 등 주목할만한 많은 공격용 툴킷이 발견됐다. 그 중 엘리노어는 거의 매월 후속 버전이 나올 정도로 활발한 활동을 했고, 피닉스 역시 원래 2007년 발견됐지만 2009~2010년 사이 공격이 급증해, 10개 이상의 버전이 공개됐다.

프라거스 툴킷의 경우, 첫 번째 버전은 2009년 7월 발견됐다. 프라거스는 공격용 툴킷의 불법복제를 방지하기 위해 PHP 난독화 기술을 처음으로 사용했다. 또한 IP 주소를 바인딩하거나, 툴킷 라이선스 기간이 초과하면 특정 파일을 만료시키는 등 다양한 불법복제 방지 기법을 적용했다.

▲2009년 10월: 마리포사(Mariposa) 등장

마리포사(Mariposa) 역시 주목해야 할 또다른 공격용 툴킷이다. 시만텍의 분석에 따르면, 마리포사의 클라이언트 트로이목마는 주로 실리FDC(SillyFDC) 웜의 변종 형태로 나타났다. 실리FDC는 2009년 세 번째로 가장 많이 발견된 악성코드 샘플이다. 마리포사는 다형성, 은폐, 안티바이러스 회피, 상태 업데이트 및 인코딩 전송 등의 기능을 갖췄다. 다형성 및 은폐 기능을 통해 악성코드를 실행할 때마다 모습이 바뀌었고, 이로 인해 안티바이러스 프로그램이 악성코드 시그니처를 생성하기 어렵게 했다. 마리포사는 USB 디바이스, P2P 클라이언트, 네트워크 공유 및 MSN 메신저를 통해 전파할 목적으로 개발됐다. 마리포사가 공격에 자주 사용되는 가장 큰 이유는 안티바이러스 애플리케이션이 마리포사를 차단하기 어려운데다 다양한 전파 기법을 갖추고 있기 때문이다.

이밖에 마리포사가 MS 인터넷 익스플로러의 HTTP POST 요청 데이터를 가로챌 수 있다는 점을 주목할 필요가 있다. 사용자가 웹사이트에 로그인 할 때 인증정보를 탈취할 수 있으며, 요청 데이터가 암호화되어 있어도 상관없는데, 이는 탈취가 암호화가 적용되기 전 인터넷 익스플로러 내부에서 발생하기 때문이다.

시만텍 조사 결과, 마리포사는 기본형 450 달러를 시작으로 포함된 기능에 따라 고급형의 경우 1,400 달러 이상에 판매되고 있었다. 3, 6, 12개월 단위의 업데이트 지원 서비스 패키지를 구입할 수도 있으며, 12개월 패키지의 가격은 520달러에 달했다. 개발자들은 보안 소프트웨어 탐지 회피 기능을 지원하기 위해 이틀마다 업데이트를 제공하고 있었다. 한편 마리포사는 2009년 약 1,270만대의 컴퓨터를 감염시키고 기능을 마비시킨 마리포사 봇넷이 발견되면서 언론의 뜨거운 관심을 받았다. 마리포사 봇넷 코드를 제작한 용의자들은 2010년 스페인과 슬로베니아에서 검거됐다.

▲2010년: 제우스(Zeus) 2.0, 스파이아이(SpyEye), 스트라이크(Strike)

- 제우스 2.0

2010년 제우스의 신규 버전인 제우스 2.0이 출시됐다. 제우스 2.0 버전은 기본 패키지가 최고 8000달러에, 500~2,000 달러의 추가 모듈까지 제공한다. 특히 스파이아이(SpyEye)의 ‘킬 제우스(Kill Zeus)’ 기능을 방어할 수 있도록 해, 공격용 툴킷 개발자들간의 경쟁이 점점 뜨거워지고 있음을 짐작할 수 있다. 제우스 2.0 버전에는 업그레이드된 탐지 회피 및 삭제 거부 기능뿐만 아니라 MS 윈도우 7 지원 및 한 대의 컴퓨터에 다양한 버전의 제우스 툴킷을 설치할 수 있는 새로운 기능도 추가됐다.

제우스 2.0은 임의의 고유한 레지스트리 키 값 및 파일명을 탐지우회하는 기법과 환경설정파일의 RC4 암호화 기능도 제공한다. 향상된 탐지우회기법 및 무작위 배정법에 따라 다양한 제우스 버전을 단일 컴퓨터에 동시에 설치할 수 있다. 다시 말해, 여러 공격자들이 표면상 단일 호스트를 여러 번 감염시킬 수 있게 된 것이다. 제우스 2.0은 또한 봇 생성 애플리케이션을 단일 컴퓨터와 연계하는 하드웨어 기반의 잠금 메커니즘을 사용한 불법복제 방지 기능을 지원한다.

- 스파이아이

2010년 등장한 스파이아이는 광고를 통해 초기 제우스와 비견할만한 강력한 툴킷으로 포지셔닝했다. 특히 감염 컴퓨터에서 모든 제우스 버전을 삭제하는 ‘킬 제우스’ 기능을 내장하고 있다. 이후 제우스 신규 버전에는 킬 제우스 기능을 무력화시키는 방어기능이 포함돼 공격용 툴킷 간 경쟁이 보다 심화되고 있음을 확인할 수 있다.

스파이아이는 광고를 통해 스파이아이를 저렴한 제우스 대용품으로 소개하며, 최고 8,000 달러에 이르는 제우스에 비해 매우 낮은 500~1500 달러 수준의 가격을 제시하고 있다. 킬 제우스의 백업 기능으로, 스파이아이와 제우스가 동일한 컴퓨터에 설치돼 있고 스파이아이가 제우스 버전을 감지 또는 삭제하지 못할 경우, 스파이아이는 제우스 C&C 서버로 전송하는 데이터를 가로채거나 탈취할 수 있도록 프로그래밍돼 있다.

흥미롭게도 2010년 10월 스파이아이 개발자 하더만(Harderman)은 오리지널 제우스 개발자 슬래빅(Slavik)으로부터 소스코드를 공식 인수했다고 밝혔다. 슬래빅은 더 이상 제우스 개발, 판매, 지원에 관여하지 않는 것으로 보인다. 하더만은 기존 제우스 고객에게 지원 서비스를 제공하겠다고도 발표했으며, 향후 더욱 강력한 툴킷을 제공하기 위해 스파이아이와 제우스의 소스코드를 통합하는 작업을 진행하고 있다.

스파이아이는 키스트로크 로거를 사용해 네트워크 트래픽과 웹 브라우저의 정보를 가로채 사용자 정보를 확보할 수 있는 기능이 포함되어 있다고 광고하고 있다. 일례로, 웹 브라우저 입력란에 ‘사회보장번호를 입력하세요’ 등의 항목을 몰래 추가한 후 사용자가 정보를 입력하면 전송 데이터를 중간에 가로채 피싱 스타일의 공격을 진행하고, 피해자가 제공한 인증 정보를 이용할 수 있게 된다.

- 스트라이크

2010년 등장한 스트라이크 툴킷은 윈도 XP, 윈도 비스타, 윈도 7 등 신규 OS를 목표로 한다. 스트라이크의 봇 클라이언트에서 주목할 점은 일반 사용자로 가장해 신규 윈도 OS의 사용자접근관리(UAC) 보안 기능을 회피하기 위해 개발되었다는 점이다. 스트라이크가 UAC 기능을 회피하는 방식은 윈도우의 ‘임시 인터넷 파일’ 폴더에만 파일을 작성하는 데 있다. 이로써 스트라이크는 키스트로크 로거, 백도어 등과 같은 악성 애플리케이션을 사용자 몰래 설치할 수 있다.

스트라이크는 윈도를 비롯한 200개 애플리케이션의 시리얼 번호를 빼내기 위해 개발됐으며, 스트라이크 광고에 따르면 윈도 호스트 방화벽을 우회해 자유롭게 네트워크에 접근할 수 있고 TCP 접속을 통해 DDoS(분산서비스거부, 디도스) 공격을 감행할 수 있다고 한다.


2011/04/06 16:04 2011/04/06 16:04

이스트소프트가 개인용 백신(안티바이러스) 신제품 ‘알약 2.0 공개용’을 조만간 선보입니다. 지난 2007년 근 두 달간 베타테스트를 거쳐 12월 26일에 ‘알약 1.0’이 출시됐으니, 3년여 만인데요.

지난달 클로즈드베타테스터를 모집하고 지금 비공개 시범서비스를 진행하고 있습니다. 이달 말께는 오픈베타를 진행해 일반사용자에게 공개하고 4월 정식 출시할 것으로 예상됩니다.

개인용 ‘알약2.0’의 개발과 출시가 예상보다 많이 늦어져 계속 궁금하던 차에 이스트소프트가 베타테스터를 모집한다고 발표해 드디어 개인용 백신 신제품 개발이 완료됐다는 것을 알았습니다. (관련기사
이스트소프트, 개인용 ‘알약2.0’ 공개 임박…베타테스터 500명 모집)

얼마 전(9일)에는 베타테스터를 포함해 사용자, 블로거 등을 대상으로 ‘알약 2.0 간담회’를 갖는다고 해서 다녀왔지요.

베타테스트에는 참가하고 있지는 않지만, 이날 이스트소프트 알약 사업부문의 설명과 제 느낌을 더해 ‘알약 2.0’과 그 개발과정을 소개해볼까 합니다.

개인용 ‘알약 2.0’은 무엇보다 ‘경량화’에 가장 초점을 맞춘 것으로 보입니다.

사용자 삽입 이미지

사실 ‘백신은 무겁고 느리다’는 사용자 인식을 불식시키기 위해 ‘노턴’을 개발·공급하는 시만텍을 시작으로 많은 노력이 이뤄져 왔습니다. 국내에서는 이에 더해 안철수연구소가 개인용 ‘V3 라이트’를 들고 나오면서 이미 3년 전부터 ‘가볍고 빠른’ 백신은 대세가 됐습니다.

이들이 한창 경량화를 외칠 때, 이스트소프트는 이 보다는 악성코드 탐지 등과 같은 보안기능을 통한 품질 향상에 더 무게를 둬 왔는데요. 기업용 ‘알약 2.0’을 출시할 때까지도 사실상 이같은 자세를 견지하고 있었습니다.

당시 경량화 계획을 물어보면, 이스트소프트 관계자들은 경량화보다는 ‘보안수준’을 더 강조했었습니다.

2009년이죠. 그당시 이스트소프트는 알약 사용자 수 1600만을 기록하고 있었습니다. 그 시점에서 악성코드가 폭발적으로 증가하고 공격 기법도 다양하고 치밀해졌습니다. ‘알약’ 자체를 공격하는 악성코드도 나타났지요.

이스트소프트는 이에 대응해 완전히 새로운 엔진을 개발하기로 하고 새롭게 엔진구조를 설계하고 기반 기술, UI, 기능 모두 새롭게 개발해
알약 2.0기업용을 만들었습니다.

그간 국내에서 인정받는 타사 백신, 해외 백신들을 분석해 더 좋은 보안 수준을 제공하기 위한 연구 개발을 진행했다고 하고요. 자가 보호, 실시간 감시 등의 보안 수준을 높이고 다양한 내부 옵션을 추가했습니다.

그 과정에서 ‘트리플엔진’도 적용하게 됐죠. 자체 개발한 알약의 테라 엔진과 비트디펜더 엔진을 기본으로 사용하고, 소포스의 엔진까지 선택해 3개의 엔진을 사용할 수 있도록 한 것입니다.

엔진 재설계 이전에는 긴급대응프로세스도 만들고, 오탐 검증시스템을 구축하고, 보안업체에게는 아주 중요한 정보공유·협력을 위한 기관·ISP 등과의 관계도 맺었습니다.

보안수준을 크게 강화하면서 시스템 부하 문제는 자연스럽게 발생했습니다. 더욱이 경량화는 사용자들의 요구였지요. 백신의 트렌드가 됐습니다.

그 때문에 기업용 출시 이후 곧바로 출시하지 않고 일반 사용자 환경에서 사용할 공개용 알약 2.0은 경량화를 우선적으로 강구하기로 이스트소프트는 결정합니다.

김장중 사장은 이날 “알약 공개용을 왜 이제서야 내는지 궁금하실텐데, 기업용 2.0 버전을 출시할 당시 1700만 사용자에게 공급하기엔 부족하다고 여겼다”며, “원래보다 1년 넘게 추가 개발해 2.5버전 출시한 뒤 이를 보완해 해외로도 들고 나갈 제품으로 완성하게 된 것”이라고 말했습니다.

그래서 수행한 것이 스마트스캔 기술을 연구하고 메모리 점유율도 개선하는 작업입니다. 또 실시간 감시, 검사UI, 업데이트 등에 이르기까지 프로그램 전반에 걸친 경량화 작업이 그동안 이뤄졌습니다.

비트디펜더 SDK 개발자들이 한국을 방문해 비트디펜더 엔진도 역시 경량화됐다고 하는군요.

그래서 기업용 ‘알약 2.5’이 나오게 됩니다. 경량화를 반영해 기업용부터 먼저 출시하고, 이를 기반으로 개인사용자용 ‘알약 2.0 공개용’을 준비한 것이지요.


‘알약’으로 보안 사업을 처음 시작한 (동시에 급속도로 많은 사용자수를 확보했음에도, 이를 지속시키기 위해) 이스트소프트는 그간 수준 높은 악성코드 탐지·차단·대응 능력을 갖추고 보안성 중심의 높은 백신프로그램의 품질을 확보하기 위한 단계와 과정을 밟아왔다고 봅니다.

그럼 ‘알약 2.0’을 자세하게 살펴보겠습니다.

경량화부터 보지요.

메모리 점유율입니다. 알약 1.5에 비해 유저레벨과 커널 메모리 점유율이 모두 크게 떨어진 것을 볼 수 있네요.
사용자 삽입 이미지

<테스트 환경 : 펜티엄 듀얼코어 2.8G, 메모리 1G, 윈도7, 알약 실시간 감시 사용시 점유율>

사용자 삽입 이미지

<테스트 환경 : 펜티엄 듀얼코어 2.8G, 메모리 1G, 윈도7, 55,000개의 파일을 알약으로 정밀검사시 메모리 점유율>

사용자들이 빠른 사용감을 느낄 수도 있다고 합니다.
사용자 삽입 이미지

실시간 감시나 정밀 검사시 실제 검사가 필요한 파일을 분류하고 관리하는 ‘스마트스캔’ 기술을 강화해 CPU 점유율과 디스크 사용량도 감소할 것을 볼 수 있습니다.

사실 간담회에서는 안철수연구소로 보이는 타사(A사) 제품과의 테스트 결과를 보여줬는데요. (안철수연구소는 ‘V3 라이트’를 출시하면서 “세상에서 가장 가벼운 빠른 백신”이라며 경량화에 큰 자신감을 나타냈었지요.)

늦게 출시하는만큼 ‘가장 경량화된 백신’으로 세상에 선보이겠다는 이스트소프트의 의지와 실제 구현했다는 자신감을 동시에 느낄 수 있었습니다.

물론 오픈베타를 거쳐 정식으로 출시된 이후 사용자들이 평가하고 선택할게 될 것입니다.

이밖에도 ‘알약 2.0’은 64비트 윈도OS를 지원해, 64비트 환경에서 동작하는 악성코드를 차단할 수 있습니다. 이스트소프트는 “알약 2.0은 64비트 네이티브(Native) 프로그램'으로 진정한 64비트 OS를 지원한다”고 설명했습니다.

기업용 ‘알약 2.5’에 적용돼 있는대로 공개용 '알약 2.0'에도 트리플 엔진을 사용할 수 있습니다.

이스트소프트는 “소포스엔진까지 추가한 이유는 90% 이상의 방어가 아니라 99.999%의 방어 요구를 위한 것으로, 선택적으로 사용할 수 있다”며, “알약 테라 엔진과 비트디펜더 엔진, 소포스 엔진 3가지는 동시에 검사하는 방식이 아니라 직렬 형태로 구성돼 있어 부하를 최소화하면서 효과적으로 악성코드를 검출해낼 수 있다”고 밝혔습니다.

그동안 알약이 악성코드의 직접 타깃이 됐던 경험이 많이 있었기 때문에 ‘알약 2.0’에는 강력한 자가보호 기능도 탑재돼 있다고 합니다. 잘은 모르지만, 작업관리자에서의 종료 방어와 더불어 해킹툴인 APT(Advanced Process Temination)의 16가지를 다 막아낼 수 있답니다. 또 프로세스 해커(process hacker), 태스크킬러(Taskkiller), 코모도 킬스위치(comodo killswitch) 방어도 추가된답니다.
사용자 삽입 이미지

향후 사용자 편의성과 보안성을 높일 수 있는 몇 가지 기능이 더 추가될 예정이라네요. 한번 기대해보겠습니다.

국내 개인용 무료백신 보급이 본격화되는데 결정적인 역할을 했던 개인용 ‘알약’. ‘알약 2.0’을 기점으로 국내 사용자를 넘어 해외 사용자 PC에까지 널리 각광받을 수 있는 ‘상시복용약’이 될 수 있을지 관심있게 지켜볼 생각입니다.

2011/03/16 08:30 2011/03/16 08:30

사용자 삽입 이미지
지난 15일(현지시간), 미국 샌프란시스코에서 열린 ‘RSA 컨퍼런스 2011’에서 스콧 차니(Scott Charney) 마이크로소프트 TwC(Trustworthy Computing) 부사장이 사이버위협에 보다 능동적이고 사전예방적으로 대응하기 위한 방안으로 공공 보건(publec Health) 모델을 차용한 ‘집단 방어(Collective Defense)’ 방안을 제안했습니다.

이 발표를 들으면서 마이크로소프트(MS)가 인터넷에 적용하자고 강조한 이 진보된 ‘집단 방어’ 모델이 우리 정부가 지난 2009년 7월에 발생한 분산서비스거부(DDoS) 공격 이후 추진하고 있는 ‘사이버치료체계’를 비롯한
좀비PC방지 방식과 아주 유사하다는 인상을 받았습니다.

정부(방송통신위원회·한국인터넷진흥원)가 주축이 돼 추진한 사이버치료체계는 어쩌면 한국판 ‘집단 방어’ 모델이라고 할 수 있겠습니다.

현재 국회에서 ‘좀비PC 방지법’이라고 불리는 ‘악성프로그램 확산 방지 등에 관한 법률’ 제정까지 추진되고 있는 시점에서, MS가 강조하는 이 모델이 무엇인지 살펴보는 것이 중요할 것이라 생각합니다.

이번 발표를 듣기 전에는 몰랐는데, MS의 ‘집단 방어’ 모델은 작년 10월에 공식 발표된 것 같습니다.(읽어보진 못했지만 관련 포스팅이 MS 사이트에 있네요) ‘집단 방어’라는 이름을 사용하진 않았어도 작년 상반기에 개최한 ‘RSA 컨퍼런스 2010’ 기조연설에서 차니 부사장이 비슷한 개념을 언급했다고 하더군요.

MS는 무엇보다 보안과 프라이버시 요구를 모두 충족하는 문제, 인터넷 접속과 보안 사이에서 충돌되는 이슈, 쉽게 체계를 구축하기 위한 방안 등 나타날 수 있는 어려운 문제를 해결하기 위해 고심한 느낌을 받았습니다. 기조연설 후 차니 부사장이 이와 관련해 또 포스팅을 했군요. (아주 부지런하시네요.)

‘집단 방어’ 모델은 기업이나 개인이 사이버위협에 대응하기 위해 방화벽, 안티바이러스, 보안패치 자동업데이트를 사용하고 위험에 대한 교육도 실시하지만, 위협을 막는데 충분치 못하다는데 문제의식이 있습니다. 특히 개인사용자들을 보호하기 위한 접근입니다.

그나마 기업은 CIO나 CSO 조직 또는 개별전문가를 통해 위협을 관리할 수 있지만 IT나 보안을 잘 알지 못하는 개인들은 방치돼 있어, 제로데이 취약점을 악용하는 신종 공격, 분산서비스거부(DDoS)를 유발하는 봇넷에 감염되는 일이 생기죠.

따라서 인터넷에 연결돼 있는 개인의 기기의 안전성(health)를 확실히 함으로써 IT생태계(에코시스템)으로 연결된 환경을 보다 안전하게 하고 새로운 위협에 대한 사전대응체계를 구축하자는 것이 ‘집단 방어’ 모델의 기본 철학입니다.

스콧 차니 부사장의 기조연설을 자세히 살펴보겠습니다.
사용자 삽입 이미지

‘집단 방어’ 전술, 왜 필요한가

그는 “세계 여러 국가들이 사이버보안전략을 고심하고 있지만, 어떤 측면에서는 제대로 작동하지 않고 있다”고 운을 띄웠습니다.

그 이유로 “사람, 조직, 정부가 모두 서로 공유돼 있고 통합된 도메인을 사용하고 있어, 여기에서 공격이 이뤄지기 때문”이라고 분석했습니다.

공공 보건 모델을 적용한 ‘집단 방어’와 같은 새로운 접근이 필요한 배경입니다.

“인터넷은 물리적 환경에서처럼 군대와 국민을 구분할 수 없다. 악성 패이로드와 정상적인 패킷도 혼재돼 있다는 것이 큰 문제이다. 정부가 군에 사이버위협에 대응토록 한다고 해도 프라이버시 문제로 사람들은 원치 않을 것이다.”

“공격의 속도는 아주 빠르다. 우리의 대응 능력을 능가한다. 공격으로 인한 결과, 영향도 예견하기 어렵다. 더욱이 지금 우리가 딛고 서 있는 세상은, 환경은 계속 변화하고 있다. 인터넷 의존도는 이미 커졌고, 컴퓨터나 휴대폰, 인터넷에 연결된 기기가 확산되고 있고 앞으로 모든 기기에 인터넷 센서가 들어갈 것이다.”

위협의 발전, 그리고 환경 변화가 핵심입니다.

차니 부사장이 연설할 때 보여준 데모 영상도 이렇게 시작합니다. “As the Internet and cloud have grown to be part of the fabric of society, societal expectations for security, reliability and privacy are intrinsic.”

차니 부사장은 이런 환경 변화로 “데이터 중심적인 세상(Data-Centric world)이 되고 있다”고 표현했습니다. 여기에서 보안과 프라이버시가 모두 필요하고, 아이덴티티관리의 중요성이 나타난다고 설명했습니다.

‘집단 방어’ 모델의 진화

위협을 집단적으로 방어하기 위한 과정도 소개했습니다.

“1980~1990년대 사이버 위협이 처음 생겨나면서 기업들이 방화벽과 침입방지, 안티바이러스를 구축하고 늘리기 시작했다. 그리고 90년대에 들어 정부와 산업이 서로 협력해 정보를 공유하기 시작하면서 집단 방어를 위한 다양한 방법이 모색돼 왔다.”

이제 MS는 인터넷에 공공 보건 모델에 착안해 인터넷에 적용할 수 있는 ‘집단 방어’ 모델'을 만들어 낸 것입니다.

공공 보건 모델은 이것입니다.
사용자 삽입 이미지

“우리는 건강을 해치는 위험요인에 대한 교육을 받는다. 병을 예방하기 위해 손을 씻어야 하고 소매에 기침해야 한다는 것들이다. 또 백신도 맞는다. 병에 걸려 아프면 치료하고, 또 SARS, H1N1(신종 플루)처럼 병이 아주 빠르게 전파할 때면 대응할 수 있는 국제적인 체계를 만든다. 나라마다 국가건강기구를 두고 있고, 비행기에서 내리는 사람은 기온을 재 높게 나오는 사람, 즉 감염이 의심되는 사람은 격리돼 치료를 받게 하기도 한다. 나 한명이 아니라 다수(the good of many)를 위해서이다.”

이같은 공공 보건 활동을 IT를 활용해 대입해보니 참 비슷합니다. 이렇게 하면 지금까지 한계를 노출했던 사이버위협에 (사후)대응(reactive)하는 방식과는 다른 사전예방(Proactive)하는 방법이 된다는 것이죠.

차니 부사장은 이날 “작년에는 ISP가 공공 부문에서 CIO가 돼야 한다고 말했다. 개인의 기기를 검사해 깨끗한지 확인하고 그렇지 않은 경우 인터넷으로부터 격리해야 한다고 했다”라며, 작년 RSA 컨퍼런스 2010에서 발표한 것 보다 진보된 ‘집단 방어’ 모델을 제안했습니다.

초기 ‘집단 방어’ 모델에서 발견된 문제(flaws)-클레임 기반 아이덴티티관리, 사회적 합의 로 해결

“작년에 말한 이 모델에서 프라이버시 때문에 개인들이 자신의 기기를 원치 않는다는 점과 ISP에 너무 많은 부담을 준다는 점, 인터넷상 컨버전스 이슈로 인한 격리의 어려움-VoIP를 사용할 때, 긴급한 경우 패치를 설치하고 컴퓨터를 리부팅해야 하는 것과 같은-이 있다는 세가지 문제를 발견했다”며, 해결 방안으로 “‘클레임 기반 아이덴티티(Claim based identity)’를 생각했다”고 말했습니다.
(클레임 기반 아이덴티티관리는 MS가 최근 클라우드 컴퓨팅 보안 방안으로 중요하게 제시하는 기술 방안으로 알고 있습니다. 구체적인 것은 향후에 공부를 해봐야겠군요.)

차니 부사장에 따르면, 사용자가 데이터를 통제할 수 있고 ISP가 모든 걸 담당하지 않아도 은행과 같은 특정 조직이나 기구가 사용자의 ‘건강 인증서(health certificate)’를 요구할 수 있다. 또 인터넷에 접속하거나 접속을 차단하는 식의 두가지 차원의 격리가 아니라 문제를 기반으로 맞춤형 위험관리 방안이 적용될 수 있다.

이를 적용하는데 있어 중요한 것은 ‘사회적인 합의’라고 차니 부사장은 강조했습니다.

“개인들이 이 아이디어를 받아들이게 하려면, 기기의 안전성을 인증하는 모델이 왜 좋은지 설명해야 한다”며, 흡연을 예로 들었습니다.

“담배는 암을 비롯해 각종 병의 원인이라는 사실을 누구나 알고 있지만, 그동안 담배를 피우는 것을 인정해 왔다. 그런데 최근에는 나 자신 뿐 아니라 주변사람에게도 해를 입히는 간접흡연 이슈가 생기면서 갑작스레 공공장소에서 흡연이 금지됐다. 사람들에게 담배를 피울 권리가 있지만 이웃에 해를 줄 권리는 없기 때문이다.”

다른 사람에게 피해를 주면서 개인의 ‘인터넷접속 기본권’만을 주장할 수는 없다는 이야기도 돌려 말했습니다.

“인터넷 접속을 기본권이라고 말하는 사람들도 있는데...세계적으로 프레스티지 수준에 올라온 기본권은 많지 않다. 이것이 왜 좋은 모델인지 설명할 것이다.”

“공유돼 있고 통합된 도메인인 인터넷에 접속할 때 내 기기가 이미 봇넷의 일부로 스팸을 유발하고 DoS 공격을 하고 있다면, 이는 전체 생태계의 위험으로 받아들여야 한다. 새롭게 출현할 위협에 대응하기 위해서는 더 스마트해져야 한다는 점을 반드시 이해해야 한다.”

‘집단 방어’의 목표, 그리고 SETIPA-Social, Economic, Political, and IT Alignment 구현
사용자 삽입 이미지

차니 부사장은 “‘집단 방어’의 목표는 모든 위험을 잡는게 아니라 기본 위생수준을 높이고 새로운 위협이 나타날 때 재빨리 대응할 인프라를 구축하는데 있다. 공공 보건 모델은 봇넷 위험과 사용자 프라이버시를 고민하고 IT와 시장, 사회적, 정치적 합의를 같은 선상에 놓는 방법을 배우게 한다”고 강조했습니다.

그리고 “다음 단계로는 아이덴티티관리시스템로 펌웨어의 신뢰성을 쌓는데(Trusted stack) 주력하고, 아이덴티티 솔루션을 위한 건전한 요구를 계속 적용할 필요가 있다”며, “공공보건 모델을 인터넷에 적용할 집단 방어 방안을 고민해 활용해보자”고 제안했습니다.

2011/02/19 16:00 2011/02/19 16:00

사용자 삽입 이미지

국가정보원 IT보안인증사무국이 새해 들어 국가기관에 도입되는 정보보호 제품 등에 적용해온 보안성 검증제도를 대폭 흔들었습니다. (관련기사)

이번 변경으로 우리나라 정보보호 제품 평가·인증, 보안적합성검증제도는 사실상 지난 2006년 5월 공통평가기준상호인정협정(CCRA)에 우리나라가 가입하기 이전 상황으로 돌아갔습니다.

정보보호제품 인증기관인 국가정보원과 당시 평가정책 주무부처였던 정보통신부는 지난 2004년 9월 CCRA 가입 신청을 한 뒤, 2005년 5월에 정보보호 제품 평가·인증제도를 CC로 일원화한다는 방침을 수립했습니다. 평가대상도 방화벽, 침입탐지시스템, 운영체제보안솔루션 등 6종에서 정보보호 제품 전체로 확대했습니다.

물론 CCRA 가입으로 인한 평가적체와 혼란, 업계의 부담이 가중되면서 지난 2009년까지 꾸준히 이같은 문제를 해소하기 위해 정보보호 제품 평가인증제도와 국가기관 도입절차를 손질해 왔습니다. 그 과정에서 해외에서는 인정되지 않는 ‘국내용 CC’란 제도도 생겼지요.

그런 측면에서 이번 국정원의 ‘보안적합성 검증제도 개선’은 그 완결판이라고 할 수 있겠습니다.

제도가 계속 변경되면서 정보보호 제품의 국가기관 도입 절차가 한층 간소해지고, 업계의 부담이 한층 덜어지게 된 것이 사실입니다.

이번에 평가대상으로 지정된 25개 정보보호 제품 중 스마트카드만 제외하면 EAL(평가보증등급)2 등급의 CC인증을 받으면 국가기관에 납품할 수 있습니다. 예전에는 비교적 높은 등급인 EAL3+, EAL4가 기준이었고, 2008년에 대거 한단계씩 낮춰 업체들을 평가제출물을 간소화시켰습니다. 이제는 EAL2가 기준이 됐습니다.

또 국내용 CC인증이나 암호검증을 받은 정보보호 제품은 국가기관에 설치된 후에 보안적합성 검증을 다시 받을 필요가 없게 됐습니다. 보안적합성 검증도 제품마다 딱 한번만 받으면 됩니다.

이번 제도 변화가 효율성과 편의성 측면에서는 긍정적일 수 있겠습니다. 그러나 장기적으로 정보보호 산업계와 국가 정보보호 수준제고에 어떤 좋고 나쁜 영향을 미칠지는 의문입니다.

현재 시점에서는 사실 CCRA 가입을 준비하면서 5년 전에 엄청난 혼란을 겪으며 제도를 전혀 새롭게 바꿨던 과정이 의미 없게 느껴지기도 합니다.

CCRA 가입과 CC 평가인증제도 시행에 관해 국가정보원은 “국제수준에 부합한 평가체계를 갖추게 된 것”이라는 의미를 부여했었습니다. 글로벌 수준에 맞는 평가체계 운영으로 정보보호 제품의 품질과 안전성을 더욱 높임으로써 결과적으로 산업 경쟁력과 활성화를 높일 수 있게 될 것이라는 겁니다. 당연히 수출에도 도움이 될 것이고 그 평가체계를 기반으로 안전성과 신뢰성을 확보한 정보보호 제품을 쓰는 국가기관의 보안수준을 높이는 데에도 큰 역할을 할 것이란 논리를 갖고 있었습니다.

국내용 CC를 만들어 평가·인증제도를 이원화하는 것을 기점으로 계속된 제도 변화는 여러 면에서 국정원 스스로 CCRA 가입 취지를 무색하게 만들었고 제도의 정합성을 잃어버리고 있다고 평가합니다.

국내용 CC의 평가방식은 갈수록 ‘진짜’ CC와 멀어지고 있다는 점을 업계의 인증담당자들도 인정하고 있습니다.

작년에도 정보보호 제품 평가기관을 담당하는 한국인터넷진흥원(KISA)에서 평가방식을 변경해 한단계 더 앞으로 나아갔었지요. 제출문서 평가는 대폭 간소화하고 취약점 점검 중심으로 변화됐습니다. (관련기사 정보보호 제품 국내용 CC평가 수수료 줄인다, KISA, 정보보안 제품 평가제도 변경 추진)

이번에는 더 심해졌습니다.

국내용 CC와 국가용 암호제품은 이제 보안적합성 검증을 받지 않아도 된답니다. ‘국내용이 아닌’ CC를 받은 제품은 보안적합성 검증을 받아야 한다는 의미가 숨겨져 있는 것으로 풀이됩니다. 외산 제품들은 받아야 한다는 것이겠죠.

또 국내용 CC가 만들어진 후, 가뜩이나 국산 제품들은 국내용 CC만 받고 있는데요. 이 정책 때문에 보안적합성 검증을 한번 더 거치지 않기 위해서라도 업체들은 국내용 CC를 받고자 할 것입니다.

지금까지 ‘수출’과 CC 제도와는 아무런 연관성이 없었다는 의미로도 해석될 수 있겠습니다.

한가지 더 의아한 점이 있습니다. 보안적합성 검증제도 변화와 관련한 점인데요. 국정원은 이번에 1년 반 전에 폐지했던 검증필 제품목록을 부활시켰습니다.

지난 2008년 6월부터 ‘선 도입 후 검증’정책을 시행하면서 국정원은 보안적합성 검증은 ‘운용상 잠재할 수 있는 보안취약점을 개선하는 절차’로 운영해 왔습니다.

CC인증 제품에 한 해 국가기관이 제품을 도입할 수 있도록 하고, 해당 제품이 설치된 운영환경 전체를 검증을 신청토록 바꿨던 방침을 이번에 전면 수정한 것입니다. 다시 제품별 검증체계로 돌아왔습니다. 그렇다면 앞으로는 국내용 CC 대상 25개 제품이 아니거나 국가암호제품으로 등재되지 않는 제품은 도입 전에 제품별로 보안적합성 검증을 받아야 하는 걸까요?

그렇다면 앞으로는 국가기관에서 나타날 수 있는 운용상의 취약점 점검은 시행하지 않는 것인가요?

국정원 IT보안인증사무국은 좀 더 명확하고 구체적인 절차를 내놓을 필요가 있습니다.

사실 국정원의 보안성 검증 관련제도는 이전에도 일관성 없는 정책이 도마에 올랐었습니다. 가까운 일은 지난 2009년 7월 7일부터 3일 간, 7.7 DDoS(분산서비스거부) 공격 사고가 발생한 뒤에 DDoS 대책을 수립하면서 DDoS 대응 장비에 적용했던 ‘별도지정’제도 때문이었습니다. (참고하세요) 그 별도지정 제도도 이번에 폐지했습니다.

이번 건으로 또 다시 일관성 없는 정책을 운영하고 있다는 비판이 제기될만합니다.

성균관대 김승주 교수도 같은 문제를 지적합니다. 국정원이 일관성 없이, 예측 가능하지 않게 정보보호 제품 평가·인증 제도를 운영하고 있다는 점입니다. 앞서 쓴 기사에 언급한 내용입니다.

성균관대 김승주 교수는 “정부가 제도를 만들고 운영할 때에는 일관성과 예측가능성이 중요한데, CC 등 정보보호 제품 보안성검증제도는 이 두가지 기본원칙이 전혀 지켜지지 않고 있다”며, “이번에 변경한 제도는 국가기관의 보안이라는 당초 운영 취지보다는 업계의 편의성과 부담을 해소하는 것에 맞춰졌지만, 오히려 시장을 교란할 수 있다”고 지적했다.

김 교수는 “처음 CC제도를 시행하면서 대상 제품을 6개로 운영해오다 IT 전 제품으로 확대했다 이번에 다시 25개 정보보호 제품으로 한정했다. 기본적으로 일관성에 문제가 있다”고 말했습니다.

이어서 “향후 국정원은 CC 대상을 추가할 수 있다고만 밝혔는데, 현재 존재하지 않은 신기술을 개발했거나 새로운 사업을 할 경우엔 어떤 제도를 따라야 하는지 모를 수 있다”고 덧붙였습니다.

보안적합성 검증에 대해서도 김 교수는 “보안적합성 검증제 운영 취지는 국가기관의 보안성이지, 업계의 편의성을 봐주는데 있는 것이 아니다”라고 일침을 가했습니다. 더불어 “공공기관의 모바일 업무환경 도입에는 보안을 문제로 완강한 입장을 보이는 국정원이 맞지 않은 모습을 보이고 있다”며, 사안별 방침에 대한 일관성 부족도 지적했습니다.

무엇보다 김 교수는 “정보보호 제품 평가·인증 제도는 예전 그대로 돌아왔다”고 일갈했습니다.

작년 G20 의장국 지위를 가졌던 우리나라, 한·미 FTA 한·EU FTA 체결에 적극적으로 나서면서 글로벌 위상, 해외 수출에 힘쏟는 우리나라가 이 문제도 진지하게 고민해봐야 하지 않을까요...?


2011/01/21 16:44 2011/01/21 16:44

2011년, 정보보호 분야에서 달라지는 제도는 무엇일까요?

개인정보보호법이 작년에 국회를 통과했다면 많은 변화가 있었겠지만 올해에는 그간 시행돼 왔던 정보통신망법 등 정보보호 법제도와 정책을 강화하는 차원입니다.

한국인터넷진흥원 e콜센터 118에서 공인인증서 분실신고를 할 수 있도록 제공하는 것 외에는 이미 알려진 내용들이지만, 한눈에 살펴볼 수 있도로 정리해보겠습니다.

개인정보의 기술적 관리적 보호조치 기준 고시 개정

개인정보 출력·복사물 보호 조치와 관련해 방송통신위원회가 2010년 12월 28일 의결한 사항입니다.

개인정보 출력·복사물 보호 조치 의무사항과 관련해 사업자들이 구체적인 보호조치 방식을 자율적으로 적용할 수 있도록 변경됩니다. 

현 규정은 개인정보 출력 복사물에 대해 개인정보관리책임자의 사전승인을 받고 일련번호, 목적, 담당자, 파기일, 파기 책임자 등 8가지 항목을 의무적으로 준수하도록 규정돼 있습니다.

이같은 규정은 사업자들이 현실적으로 준수하기 어려운 부분이 있다는 점을 감안해, 개인정보의 출력 복사물 보호조치 의무는 유지하되 구체적인 보호조치 방식에 대해서는 해당 사업자에게 자율성을 부여하도록 변경키로 했습니다. 이에 따라 사업자는 자사 환경에 적합한 보호조치를 적용할 수 있도록 개정해 부담을 덜 수 있을 것으로 보입니다.

정보통신망법상 준용사업자 개인정보보호조치 세부기준 고시

행정안전부는 2010년 12월 30일 '사업자의 개인정보보호조치 세부기준'을 제정 고시했습니다.

이는 백화점·학원·병원·부동산중개업 등 준용사업자가 개인정보 취급 시 반드시 준수해야 할 세부 보호조치 기준을 별도로 마련한 것으로, 개인정보 암호화, 보안프로그램 설치 등 기술적 분야와 내부관리계획 수립, 책임자 지정 등 관리적 분야를 포함해 총 10개 항목으로 구성돼 있습니다.

특히, 부동산중개업과 같은 소상공인과 대기업이 처한 상황을 고려했고, 실태점검을 통해 확인된 업종별 특성을 반영해 보다 쉽게 사업자들이 개인정보보호조치 기준을 이행할 수 있다고 행정안전부와 한국인터넷진흥원(KISA)는 설명했습니다.

이번 기준 고시로 기존의 '개인정보의 기술적·관리적 보호조치 기준(방통위 고시)'는 앞으로 정보통신서비스 제공자만을 대상을 하게 됩니다.
 
e
콜센터 118, 공인인증서 분실신고 가능

1월 31일부터 공인인증서를 분실할 경우 한국인터넷진흥원(KISA)이 운영하는 e콜센터 118 전화로 신고할 수 있습니다.

KISA는 5개 공인인증기관과 공인인증서 분실신고를 연동해 가입자들이 지역번호 없이 전국 어디서나 118로 전화하면 심야 시간대 등 업무시간 이후에도 공인인증서 분실신고를 접수해 공인인증서 효력정지나 폐지 처리할 예정입니다.

이에 따라 가입자 본인이 공인인증서 분실 시, 발급받은 공인인증기관을 알지 못하거나 공인인증기관 업무시간 이외에도 신속하게 신고 처리할 수 있어, 공인인증서 도용과 같은 사고 예방에 도움이 될 것으로 전망됩니다.

4월부터 안전성 강화된 신규 공인인증서 발급

공인인증서 안전성을 강화하기 위해 전자서명키를 1024비트에서 2048비트로 상향하고 해쉬 알고리즘도 SHA-1에서 SHA-256으로 교체한 신규 인증서가 4월 1일부터 발급됩니다.

이같은 암호체계 고도화로 2030년까지 공인인증서를 안전하게 이용할 수 있는 기술적 기반이 마련됩니다.

기존에 발급받은 공인인증서는 교체없이 유효기간 만료일까지 사용할 수 있으며, 신규 공인인증서를 보안토큰 등 보안 매체와 함께 사용하면 인증서 유효기간이 1년에서 2년으로 확대할 수 있습니다.

이밖에도 개인정보보호관리체계(PIMS) 인증이 올해부터 본격 시행됩니다.

PIMS는 기업이 고객 개인정보를 안전하게 수집 이용하기 위해 구축 운영하는 관리체계의 적합성을 검증해 일정 수준 이상의 기업에 인증을 부여하는 것으로, 인증 기업은 고객정보를 안전하게 관리하는 기업이라는 이미지를 제고할 수 있습니다.


2011/01/03 16:39 2011/01/03 16:39
사용자 삽입 이미지

NHN과 안철수연구소가 이달 초(2일) ‘상생협력 MOU(양해각서)’를 체결하더니, 20일 만에 네이버백신에 V3엔진을 탑재하는 첫 협력 결과물을 내놨습니다.

사실 두 회사의 상생협력 MOU 체결은 인터넷업계는 물론, 보안업계에서도 그리 큰 주목을 끌진 못했습니다. 그런데 저는 구체적인 협력내용이 무엇일 지 아주 궁금했었는데요.

그 이유는 NHN과 안철수연구소가 협력을 추진했다면 ‘네이버백신’과 관련된 내용이 분명히 포함됐을 것이라고 생각했기 때문입니다. 

예상은 적중했습니다.

NHN은 22일부터 네이버의 실시간 무료백신인 ‘네이버백신(http://security.naver.com)’에 V3엔진을 탑재했다고 밝혔습니다. (관련기사)

양사는 MOU 체결 직후 바로 네이버백신에 V3엔진 탑재 적합성과 성능테스트에 들어갔고, NHN은 부팅·종료, 엔진로딩, 검사 진단과 치료 속도 전반이 개선된 결과를 확인해 곧바로 탑재를 결정했다고 합니다.

인터넷과 정보보안 분야 선두기업인 두 회사가 협력하는 것이 어찌 보면 자연스럽지만, 두 회사 사이에는 그간 ‘무료백신’ 때문에 서로 얽혔던 역사가 있습니다.

NHN이 지난 2007년에 안전한 이용자 인터넷 환경 만들기, 이용자 보호 기치를 내세우며 실시간 감시 기능을 포함한 무료백신 서비스를 준비하자, 안철수연구소는 거세게 반발했었습니다. 당시에 한동안 두 기업 간 마찰이 언론지면에 오르내렸지요.

그도 그럴 것이 국내에서 가장 많은 개인백신 사용자를 보유하고 있기에 사업적으로도 상당한 타격을 입게 되는 것은 불 보듯 뻔한 일이었습니다. 실제로 상당한 매출 손실을 입었고요.

그 와중에 지난 2008년 초 네이버백신의 이름이던 ‘네이버 PC그린’ 공개 시범서비스를 앞두고 NHN은 안철수연구소의 백신엔진을 추가 탑재하기로 MOU를 체결했다 무산된 일도 있었습니다.

결국 NHN은 네이버 백신에 원래 탑재돼 있던 카스퍼스키 엔진과 더불어 하우리와만 손잡고 서비스를 진행해 왔었죠.

협력 결정을 철회한 안철수연구소도 개인용 백신은 무료화하기로 방침을 정하고, 실패했던 최초의 무료백신 ‘빛자루’에서 성능과 편의성을 대폭 개선해 현재의 개인용 무료백신인 ‘V3 라이트’를 선보였습니다.

여기에 탑재한 백신엔진과 프레임워크는 모두 새롭게 개발된 것입니다.

벌써 시간이 3년 가까이 흘러갔군요. 그동안 두 회사의 관계는 불편했던 것이 사실입니다.

무료백신 시장에서는 ‘알약’을 공급하는 이스트소프트와 더불어 NHN과 안철수연구소는 서로 경쟁관계에 있었습니다.

이번 협력이 주목되는 이유가 여기에 있습니다. NHN과 안철수연구소가 빚어왔던 갈등관계가 이제는 협력관계로 완전히 전환된 것이기 때문입니다.

네이버백신에 V3가 기본엔진으로 탑재된 것이 안철수연구소에게는 의미가 큽니다. 물론 NHN이 국내 대표적인 백신엔진을 자사 백신서비스 기본엔진으로 탑재한 것 자체로도 국내 기업 간 상생협력 측면에서 의미가 있지요.

통합보안 기업을 지향하며 다양한 보안 솔루션과 서비스 사업을 벌이고 있지만, 안철수연구소에게 백신은 존립과 성장 기반입니다.

‘알약’이 큰 인기를 끌면서 적어도 무료백신으로 개인용 보안 시장에서 그간 구겨진 자존심과 ‘백신 지존’의 입지를 완전히 회복할 수 있습니다.

구체적인 수치를 예로 들어보겠습니다.

사용자 삽입 이미지
 
인터넷 시장조사업체 코리안클릭이 집계한 무료백신 이용자 현황에 따르면, 11월 현재 ‘알약’ 사용자 수는 1723만명, ‘V3 라이트’는 988만명, ‘네이버백신’은 297만명입니다.

이 세 무료백신만 합쳐도 이용자 수가 3000만명을 넘어섰습니다. 다음 클리너(696만명), 쿡 인터넷닥터(95만명), 마이크로소프트 시큐리티에센셜(34만명) 등을 합치면 조만간 4000만 사용자를 바라보겠는데요. 물론 중복 사용자, 여러 PC를 갖고 계신 분들도 포함됐겠지만요.

이 자료로 보면 안철수연구소는 ‘V3 라이트’ 이외의 V3 백신제품 사용자 수도 677만명을 확보하고 있습니다.

자동 업데이트를 통해 현재의 ‘네이버백신’ 사용자까지 흡수하면 그 자체로 ‘알약’의 점유율을 넘기게 됩니다.

물론 안철수연구소 자체 집계한 ‘V3 라이트’ 사용자 수는 2000만명이니, 이 수치대로 보면 이미 알약을 넘어섰긴 했네요.

여하튼 네이버가 국내 최대 이용자 수를 보유하고 있는 대표 포털이라는 점에서, 역시 브랜드 인지도가 높은 V3와 결합될 경우 앞으로 시너지는 충분할 것입니다.

앞으로 양사는 이번 네이버백신에 V3 엔진 탑재를 시작으로 다양한 협력을 추진할 계획입니다. 네이버 역시 안철수연구소의 폭넓은 V3 사용자 기반을 포털 네이버, 네이버 검색 등 각종 서비스로 유입시키는데 도움을 받게 될 예정입니다.

이용자 PC보호, 개인정보 유출 등 각종 보안 이슈에 긴밀하게 대응하는 측면에서도 협력을 꾸준히 벌인다고 하니, 앞으로 어떤 협력이 추진되고 성과를 내는지 지켜봐야겠습니다.

2010/12/27 15:58 2010/12/27 15:58
카스퍼스키랩은 올 한 해 동안 나타난 보안위협을 종합 분석해 ‘2010년 보안 위협 결산 및 2011년 전망’을 발표했다.

2010년에 발생한 보안 위협은 그 정도의 차이가 있을 뿐 2009년과 유사한 양상을 보였으며, 스턱스넷 웜과 같은 새로운 공격 기법의 등장과 스마트폰 용 바이러스가 본격 출현했다는 것이 주목할 만한 이슈였다.

1. 스턱스넷(Stuxnet) 웜 바이러스의 출현
2010년에는 원자력 발전소 등 특정 산업 시스템을 공격하는 스턱스넷(Stuxnet)의 출현이 가장 큰 이슈였다.
이 악성 프로그램은 USB드라이브를 통해 유포됐으며 컴퓨터에 독일 지멘스사의 산업자동화 제어시스템이 설치되어 있을 경우 운영 모듈 중 일부가 이 악성 프로그램에 감염되게 된다.

2. ARP 스푸핑 공격
‘ARP 스푸핑’ 공격을 하는 바이러스에 일단 감염이 되면 인터넷 접속 장애를 유발하는 것이 대표적인 증상이다. 이 공격 기법은 매 년 드물게 발생했었지만, 2010년에는 끊임없이 새로운 변종이 유포되어 인터넷을 사용하지 못해 많은 기업에서 유·
무형의 손실을 가져왔다.

3. 스마트폰용 바이러스 본격 출현
2010년에는 안드로이드 플랫폼을 사용한 스마트폰이 본격적으로 보급되면서 이를 노린 바이러스(Trojan-SMS.AndroidOS.FakePlayer)가 최초로 발견됐다.

스마트폰은 설치 시 사용자 동의 후 설치하게 되어 있어 피해 사례는 많지 않았지만, 스마트폰 마켓을 통해 합법적인 프로그램으로 가장할 경우 사전에 이를 검증할 수단이 없는 만큼 설치될 경우 금전적인 손해뿐만 아니라 개인정보 유출이 무엇보다 염려되는 것이 사실이다.

더불어 일부 합법적인 애플리케이션이라도 필요 이상의 사용자 정보를 수집할 경우 보안 측면에서 악성 여부 판단에 논쟁의 여지가 클 것으로 예상된다.

4. 취약점 공격
매년 반복되는 주요 공격 방법 중에 하나가 바로 알려진 취약점을 이용한 공격이다. 이러한 취약점을 이용하는 것은 사용자 모르게 컴퓨터에 침입하는 가장 손쉬운 방법이기 때문이다.

마이크로소프트, 어도비 등의 프로그램 취약점을 이용하여 악성 프로그램이 유포되었을 뿐만 아니라, ‘SQL 인젝션’ 공격으로 노출된 웹사이트를 통한 유포도 여전했다. 최신 보안 패치와 시스템 관리가 무엇보다 최선의 예방 방법이다.

5. 좀비 PC의 지속적인 양산
작년 7.7 대란을 불러 일으킨 좀비 PC 문제가 여전한 것으로 확인됐다. 사이버 범죄자들은 더욱 많은 PC를 감염 시키기 위해 다양한 방법으로 바이러스를 유포하고 관련 정보를 서로 공유하고 있으며, DDoS(분산서비스거부) 공격뿐만 아니라 스팸 메일 발송과 개인 정보 유출 등으로 금전적인 이익을 보고 있다.

6. 디지털 서명 도용
디지털 서명은 애플리케이션의 신뢰성을 판단하는 중요한 기준이다. 즉, 디지털 서명만으로도 안전하고 믿을 수 있는 파일인지 손쉽게 판단했기 때문이다.

하지만 최근에 발견되는 악성 프로그램은 이러한 점을 노려 잘 알려진 소프트웨어의 디지털 서명을 도용하여 마치 안전한 소프트웨어로 가장해 유포되고 있어 사용자의 주의가 요구되고 있다.

2011년 사이버 공격 전망

2011년에도 2010년과 유사한 악성 프로그램 활동 양상을 보여줄 것이란 것은 자명한 사실이다. 더불어 새로운 보안 위협이 무엇인지 그 목적과 방법 등을 통해 미리 예상했다.

지금까지 사이버 공격의 목적은 금전적인 이윤 추구가 대부분이었다. 하지만 2011년에는 오직 파괴만을 목적으로 바이러스 제작 능력을 과시하려는 시도도 있을 것으로 전망된다.

공격 방법은 각종 취약점을 노린 제로데이 공격뿐만 아니라 백도어 등의 악성 프로그램을 사용해 공격 목표의 로그인 계정을 직접 획득하거나 데이터를 조작하는 형태의 악의적인 파괴 공격도 본격적으로 등장할 것으로 보인다. 또한 스마트폰과 소셜 네트워크 사용자를 겨냥한 공격도 크게 늘 것으로 전망된다.

2011년 사이버 공격 전망을 요약해 보면,

• 보다 조직화되고 지능화된 사이버 범죄 조직의 활동.
• 악성 프로그램을 통해 금전적 이득뿐만 아니라 정보 수집 및 데이터 파괴 공격
• 새로운 형태의 악성 프로그램 출현: 개인 정보, 위치 정보 등 모든 형태의 데이터를 수집.
• 기업 및 관공서 등 특정 목표를 가진 공격의 증가
• 취약점을 이용한 공격의 지속적인 증가
• 새로운 형태로 스마트폰 및 소셜 네트워크 공격

2010년 스턱스넷 웜의 등장은 IT 보안 산업을 향한 각성의 소리였다. 점차 지능화되고 있는 공격에 대응하여 IT 보안 업계도 이에 대비한 신기술 개발과 빠른 대응 서비스가 무엇보다 중요해 지고 있다.


2010/12/24 12:46 2010/12/24 12:46
개인정보보호법 제정이 실로 ‘산 넘어 산’입니다. 말그대로 막바지 ‘고비’를 맞았습니다.

지난 9월 말 국회 행정안전위원회 전체회의를 통과하면서 개인정보보호법 연내 입법은 이미 기정사실화된 것으로 여겨졌었습니다.

행안위 안건 상정에서부터 대안을 마련하기까지 정말 쉽지 않은 여정을 겪었습니다. 필요성에 대한 사회적 공감대가 형성된 것에 비해 아주 충분히 끌었고, 많은 이견과 쟁점 사안에 대한 입장차를 좁혀나가면서 어렵게 여야 합의를 이끌었습니다. 그런만큼 법제사법위원회 통과절차도 어렵지 않을 것이라는 게 일반적인 생각이었습니다.  

그런데 12월 6일까지 개인정보보호법안은 법사위 법안소위에 안건조차 상정되지 않았습니다.

그 와중에 “법사위 여당 의원들이 다시 쟁점이 됐던 개인정보보호위원회의 완전한 독립성 확보 문제로 안건 상정을 막고 있다”는 이야기가 나오기도 했었습니다.

그래도 11월까지는 그래도 아직 여유가 있었지요. 마침내 12월에 접어들었고, 여전히 법사위 안건 상정조차 안된 상황에서 ‘예산국회’가 시작되면서 “연내 입법이 어려운 것이 아니냐”는 우려가 나오기 시작했습니다.  

그러다 지난 7일 마침내 법사위 전체회의에 상정된 100여개 법안과 함께 개인정보보호법안(대안)이 안건으로 상정됐습니다.

이날 짧막한 논의가 이뤄졌지만 개인정보보호법안은 법안심사소위에서 심사하기로 의결했답니다.

연내 국회 본회의 통과를 위해서는 9일, 이제 하루남은 정기국회 마지막 날 정기국회 안에 법사위 법안소위가 열리고 개인정보보법이 논의되는 것을 바래야 하겠습니만, 이 역시 현실적으로 불가능합니다. 

더욱이 8일 한나라당이 새해 예산안을 국회 본회의에 직권상정하고 강행 처리, 통과하면서 정국이 급랭할 것임은 불보듯 뻔한 상황입니다. 임시국회 개최 역시 당분간 어려울 것으로 보입니다.

입법이 돼야하고, 또 이왕 될 법이라면 하루라도 빨리 제정되는 것이 중요합니다. 내년으로 넘어가더라도 제정만 된다면야 조금은 기다릴 수도 있겠지요. 문제는 혹시 지금 미뤄지면 또 내년에 계속 지지부진해지는 것 아닌가 하는 점입니다. 법 제정을 바라는 분들에겐 이게 가장 우려되는 점일 것입니다.  

그래도 아직은 모두들 행안위 전체회의까지 통과한 마당에 개인정보보호법안이 폐기될 위기에 처하는 일은 없을 것이라고 믿고 있는 것 같습니다. 그렇다 하더라도 개인정보보호법 제정 필요성을 인지하고 있다면 안심하고 조용히 국회만 바라보고 있지 말고 각계각층에서 반드시 조속히 제정돼야 한다는 목소리를 높여야 할 것 같습니다.  

2010/12/08 19:58 2010/12/08 19:58

명절이나 중요 행사, 또는 사회적인 이슈를 악용해 악성코드를 유포하는 방식이 기승을 부리고 있습니다.

현재 중국광저우에서 한참 진행중인 아시안게임, 얼마전 마친 서울 G20 정상회의 등 올해에는 특히 국내외에 크고 작은 행사가 많았지요.

그래서인지 때마다 G20 정상회의, 노벨평화상, 아시안게임 등과 같은 주요 이슈에 편승한 악성코드가 빈번히 등장했습니다.

연말이 다가오면서 크리스마스 카드, 새해 연하장 등을 악용하는 방식도 나올 것으로 예상되고 있습니다.

보안업체인 잉카인터넷은 16일 연말연시 출현이 예상되는 악성파일의 유포 사례와 대응방안을 발표했습니다.

사회공학기법을 사용한 교묘한 공격 수법에 당하지 않고 안전하게 PC를 이용하기 위해서 미리 한번 살펴보죠.

사용자 삽입 이미지

◆2011학년도 수학능력평가

수험생이 있는 자녀가 있는 집이면 이 날이 올해에서 가장 중요하다고 여길 지도 모릅니다. G20 정상회의때문에 일주일이 미뤄졌다고 하는데, 벌써 눈앞으로 다가왔습니다.

현재까지 대학 수학능력평가를 악용해 악성코드가 유포된 것으로 보고된 사례는 없다는데요. 근래의 악성파일 유포 트렌드로 비춰볼 때 사회적 관심사인 대학 수학능력평가 내용 등을 사칭한 악성파일 유포가 이뤄질 있기 때문에 항상 예의주시할 필요가 있겠지요.

더욱이 금년에는 사칭기법 외에도 인터넷익스플로러(IE) 제로데이 취약점 등을 이용한 악성파일 유포 기법 또한 빈번히 발생했으므로, ‘2011학년도 수학능력평가’라는 사회적 이슈를 통한 관련 사이트 등의 변조 및 악성파일 유포 시도가 이뤄질 수 있으니, 수험생뿐만 아니라 일반PC사용자들도 주의를 기울여야 할 것입니다.


◆ 크리스마스

악성 파일 제작`유포자들은 올해도 어김없이 악성파일을 담은 선물세트를 배달할 준비를 하고 있을지도 모릅니다.

PC사용자들은 수신처가 불분명한 메일이나 각종 광고성의 크리스마스 이메일 등을 확인할 때 첨부 파일의 실행 및 다운로드에 대한 각별한 주의가 필요하겠습니다.


◆ 새해인사 연하장도 ‘조심조심’

연말연시에는 많은 연하장을 주고 받습니다. 지인들부터 기업, 단체, 회원가입한 사이트 등 너무나 많죠.

이러한 유명 단체나 지인으로 위장한 이메일이 발송될 경우 일반 사용자들은 별다른 의심없이 메일을 열어보거나 첨부파일을 다운로드해 실행할 수 있습니다.

연말연시를 악용한 악성파일 유포가 이뤄질 수 있음을 사용자 스스로 인지하고, 신뢰할 수 없는 내용에 현혹되지 않도록 각별한 주의를 기울여야 합니다.

잉카인터넷 NSC 대응팀에서 제시하는 ‘사회공학기법의 악성파일에 대응하는 우리의 자세’입니다.


[사회공학기법의 악성파일에 대응하는 우리의 자세]

1. 출처가 불분명하거나 알 수 없는 메일은 열어보지 않는다.

2. 첨부 파일에 대한 다운로드 및 실행은 최대한 신중하게 한다.

3. 운영체제(OS)에 대한 취약점을 보완하기 위해 정기적으로 보안패치를 업데이트 한다.

4. 사용중인 백신은 항상 최신엔진 및 패턴버전으로 유지한다.


2010/11/17 08:30 2010/11/17 08:30
전력, 반도체, 철강 등 전세계 주요 산업시설에서 사용하는 산업자동화제어시스템을 공격해 피해를 입힌 첫 악성코드로 이름을 떨친 ‘스턱스넷’에 보안전문가들과 기업 보안담당자들이 여전히 많은 관심을 갖고 계실텐데요.

지난달 시만텍이 발표한 ‘스턱스넷’ 악성코드 분석 보고서 내용을 소개해 보려고 합니다. 본사에서 발표한 이번 기술백서 형식의 보고서는 영문인데다 방대한 내용이 담겨 살펴보기에 쉽지는 않았을 것 같습니다.

이 한글 요약본은 시만텍코리아가 제공했습니다. (영문 보고서 전문을 보시고자 하는 분을 위해 파일도 첨부합니다.)



시만텍 스턱스넷 보고서


시만텍이 발표한 스턱스넷 보고서는 수많은 시만텍 보안 대응팀 구성원들이 지난 3개월간 흘린 땀의 결과물로, 현재 대부분의 분석작업이 완료된 상태다. 하지만, 스턱스넷은 상당히 방대하고 복잡한 보안 위협인 만큼 보고서 발표 이후에도 지속적인 업데이트가 필요하다는 점을 밝혀둔다.

최근 언론에 자주 오르내리는 스턱스넷(W32.Stuxnet)은 지금까지 시만텍이 분석한 가장 복잡한 보안 위협에 속한다. 이 보고서에서는 스턱스넷과 스턱스넷의 다양한 컴포넌트를 비롯해 스턱스넷의 최종 공격목표인 산업용제어시스템의 프로그램 재설계에 초점을 맞춰 상세히 분석했다.

우선 스턱스넷은 다양한 컴포넌트와 함수를 포함하고 있는 방대하고 복잡한 악성코드의 일종이다. 시만텍은 보안블로그(http://www.symantec.com/connect/ko/symantec-blogs/sr)를 통해 스턱스넷 일부 컴포넌트에 대해 이미 설명한 적이 있지만 이 보고서에서는 스턱스넷 보안 위협에 대해 훨씬 포괄적이고 자세한 정보를 다루었다.


스턱스넷 구조와 공격방법

스턱스넷 구조는 다양한 익스포트(Export)와 리소스(Resource)를 갖고 있는 대형 dll 파일로 구성되어 있으며, 이밖에 두 개의 암호화된 설정 블록을 포함하고 있다.

스턱스넷의 드롭퍼(dropper) 컴포넌트는 모든 구성요소를 포함한 랩퍼(wrapper) 프로그램으로 ‘스터브(stub)’라는 섹션 내부에 저장되어 있다. 이 스터브 섹션은 스턱스넷 실행에 중요한 역할을 담당한다. 스턱스넷이 실행될 때 드롭퍼가 스터브 섹션에서 dll 파일을 추출해 마치 모듈처럼 dll 파일을 메모리에 매핑시키고, 익스포트를 호출한다.

스터브 섹션을 가리키는 포인터가 매개변수로 호출 익스포트에 전달되면 이후 익스포트는 매개변수로 전달된 스터브 섹션에서 dll 파일을 추출해 메모리와 매핑시키고 매핑된 dll 파일 안에 있는 또다른 익스포트를 호출한다. 이후 원래 스터브 섹션을 가리켰던 포인터가 다시 매개변수로 전달되며, 이러한 과정은 스턱스넷이 실행되는 내내 지속적으로 발생한다. 따라서 원래의 스터브 섹션은 매개변수 형태로 여러 프로세스와 함수에 전달된다. 이런 방식에 의해 스턱스넷의 각 계층은 항상 메인 dll 파일과 설정 블록에 접근하게 된다.

알려진 대로 스턱스넷의 주요 공격목표는 송유관과 발전소 등에서 사용하고 있는 산업용제어시스템이나 이와 유사한 시스템이다. 스턱스넷의 최종 목표는 PLC(Programmable Logic Controller)를 공격자의 의도대로 작동시키고 PLC 운영자가 이러한 변경사항을 알지 못하도록 PLC 코드를 수정, 산업용제어시스템의 프로그램을 재설계하는데 있다.

스턱스넷 개발자는 이같은 목표를 달성하기 위해 매우 다양한 컴포넌트를 취합, 성공 가능성을 높인다. 여기에는 제로데이 취약점, 최초의 PLC 루트킷인 윈도우 루트킷, 안티바이러스 탐지 회피기술, 복잡한 프로세스 인젝션 및 후킹 코드, 네트워크 감염 루틴, P2P 업데이트, 명령제어(Command and Control) 인터페이스 등이 포함되어 있다.

스턱스넷의 주요 특징


이란 사례에서 보듯이 스턱스넷은 송유관, 발전소 등 특정 산업용제어시스템을 공격 목표로 삼는다. 스턱스넷의 궁극적인 목표는 PLC 프로그램을 변경함으로써 공격자의 의도대로 오작동을 유도해 시설을 파괴 또는 마비시키는데 있다.

스턱스넷은 지난 7월 발견되었지만 적어도 1년 전부터 존재해 왔다는 사실이 확인되었고, 그 이전부터 활동했을 가능성도 제기되고 있다. 현재까지 대부분의 스턱스넷 감염사례는 이란에서 발견되었다. 스턱스넷은 다음과 같은 다양한 특징을 갖고 있다.

USB와 같은 이동식 저장매체의 자동실행 취약점을 이용한 자기복제. 마이크로소프트 윈도우 바로가기 ‘LNK/PIF’ 파일 자동 파일 실행 취약점(BID 41732)

윈도우 프린트 스풀러(Windows Print Spooler) 취약점을 이용해 LAN을 통한 전파. 마이크로소프트 윈도우 스풀러 서비스 원격 코드 실행 취약점 (BID 43073).

마이크로소프트 윈도우 서버 서비스 RPC 처리 원격 코드 실행 취약점(BID 31874)을 이용해 SMB를 통한 전파

네트워크 공유를 통해 원격 컴퓨터상에서 자가복제 및 실행

WinCC 데이터베이스 서버가 실행중인 원격 컴퓨터상에서 자가복제 및 실행

스텝 7(Step 7) 프로젝트가 로딩될 때 자동 실행되는 방식으로 스텝 7 프로젝트에 자가복제

LAN 상에서 P2P 방식으로 스스로 업데이트

총 4개의 마이크로소프트 취약점 이용. 2개는 자가복제를 위해 위에 언급한 취약점 이용, 나머지 2개는 아직 공개되지 않은 권한 상승 취약점을 이용

해커가 업데이트된 버전 등 코드를 다운로드하고 실행할 수 있도록 C&C 서버에 접속

바이너리가 숨겨진 윈도우 루트킷 포함

안티바이러스 등의 보안제품 회피 시도

특정 산업용제어시스템에 침투, 지멘스 PLC의 코드를 변경해 시스템 파괴 가능성

PLC에 변조된 코드(기본적으로, PLC 루트킷)를 숨김


스턱스넷 공격 시나리오


산업용제어시스템(ICS)은 PLC 코드처럼 특수 어셈블리에 의해 실행된다. PLC는 주로 인터넷이나 심지어 네트워크에 접속되지 않은 윈도우 컴퓨터상에서 프로그래밍되며, ICS 역시 인터넷에 접속되어 있을 가능성이 낮다. 이 같은 점을 고려해 스턱스넷의 기술적 특징을 기반으로 추측 가능한 예상 공격 시나리오는 다음과 같다.

우선, 각 PLC마다 고유한 방식으로 환경 설정이 되어 있기 때문에 공격자는 먼저 ICS의 구조를 파악하기 위해 정찰 업무를 수행해야 한다. ICS 설계 문서는 내부직원이 몰래 빼내거나 심지어 스턱스넷 초기 버전 또는 다른 악성 바이너리를 통해 입수할 수 있다. 일단 설계 문서와 ICS 컴퓨팅 환경에 대한 정보를 확보하면 스턱스넷 최신 버전 개발에 착수한다. 스턱스넷의 각 기능들은 저마다 실행 이유가 있으며, ICS 파괴라는 최종 목표를 위해 움직인다.

다음으로 공격자는 실행코드를 테스트하기 위해 PLC, 모듈, 주변기기 등 필수 ICS 하드웨어를 포함해 실제 표적 ICS와 동일한 환경을 구축해야 한다. 준비에서 테스트까지 전 과정에 대략 6개월의 시간이 소요되며, 품질보증, 관리 등 수많은 다른 지원인력은 차치하고 5~10명의 핵심 개발자들이 투입된다.

또한 악성 바이너리 파일에는 의심을 피하기 위해 디지털 부호로 변환시켜주는 드라이버 파일이 포함되어 있다. 이를 위해 공격자는 두 개의 디지털 인증서를 탈취한다. 양자는 물리적으로 가까운 거리에 위치해 있어야 하며, 디지털 서명을 빼내기 위해 건물 내부로 직접 침투할 수 있다.

스턱스넷은 목표물을 감염시키기 위해 목표 환경으로 직접 침투해야 한다. 이를 위해 기꺼이 협력하거나 아예 범죄 사실을 모르는 제3의 대상을 이용할 수 있다. 목표 시설에 접근 권한이 있는 협력사나 내부 직원 등이 그 대상이다. 1차 감염은 USB와 같은 이동식 드라이브를 통해 이루어진다. .

일단 스턱스넷이 목표 시스템 환경 내의 컴퓨터 한 대를 감염시키면 일반 윈도우 컴퓨터이지만 PLC 프로그래밍에 사용되는 ‘필드 PG(Field PG)’를 찾아 확산되기 시작한다. 대다수의 필드 PG는 네트워크에 연결되어 있지 않기 때문에 스턱스넷은 먼저 2년 전에 등장한 제로데이 취약점을 통해 LAN 상의 컴퓨터로 스텝 7 프로젝트를 감염시키고 이동식 드라이브를 통해 감염을 시도한다.

공격자는 C&C 서버로 스턱스넷을 제어할 수 있지만 앞에서 언급했듯이 표적 컴퓨터는 외부 인터넷에 접속되어 있을 가능성이 낮다. 따라서 시스템 파괴를 위한 모든 기능은 스턱스텟 실행파일에 직접 내장된다. 이 실행파일 업데이트는 스턱스넷에 의해 P2P 방식으로 전파된다.

마침내 스턱스넷이 스텝 7이 실행 중인 적합한 컴퓨터를 발견하면 PLC 코드를 변경함으로써 PLC 시스템을 파괴한다. 스턱스넷 개발에는 대규모 자원이 투입되었기 때문에 공격 목표는 주로 중요도가 높은 핵심 기간 시설들이다. 스턱스넷에 감염된 기업들은 문제를 해결하기 위해 PLC 코드를 조사하지만 스턱스넷이 코드 변경사항을 숨기기 때문에 특이사항을 발견하기는 어렵다.

원하는 필드 PG를 찾기 위해 자가복제 방식이 필요할 수 있지만 공격자는 목표 기업 외부의 컴퓨터까지 감염시킴으로써 부수적인 피해를 입힌다. 또한 공격사실이 발견될 때면 이미 초기 공격이 완료되었을 가능성이 높다.


스턱스넷 보안 위협 개요


날짜

주요 사건

2008-11-20

LNK 취약점을 이용한 Trojan.Zlob 변종 발견. 후에 스턱스넷으로 확인됨.

2009-04

하킨나인(Hakin9) 보안 전문 잡지가 프린터 스프롤러 서비스의 원격 코드 실행 취약점에 관해 자세히 소개함. 이 취약점은 후에 MS10-061로 확인됨.

2009-06

스턱스넷 초기 샘플 발견. MS10-046 이용하지 않음. 서명된 드라이버 파일 없음

2010-01-25

리얼텍 세미컨덕터 회사 소유의 유효 인증서로 서명된 스턱스넷 드라이버 발견

2010-03

MS10-046을 이용한 첫 번째 스턱스넷 변종 발견

2010-06-17

바이러스블로카다(Virusblokada) 보안업체, W32.스턱스넷 발표(RootkitTmphider라 명명), 바로가기/.Ink 파일 처리 취약점(후에 MS10-046로 확인)을 이용해 확산되었다고 밝힘.

2010-07-13

시만텍, W32.Temphid를 탐지 목록에 추가(전에는 트로이 목마로 탐지)

2010-07-16

마이크로소프트, 바로가기/.Ink 파일 처리 취약점을 포함한 ‘윈도우 쉘 취약점의 원격 코드 실행 가능성’에 대한 보안 공지 발표.

베리사인, 리얼텍 세미컨덕터에 대한 인증서 폐지

2010-07-17

이셋(Eset), 제이마이크론 테크놀러지사의 인증서로 서명된 새로운 스턱스넷 드라이버 발견

2010-07-19

지멘스, 자사 WinCC SCADA 시스템의 악성코드 감염 보고서를 조사 중이라고 밝힘.

시만텍, 탐지 웜의 이름을 W32.Stuxnet로 변경.

2010-07-20

시만텍, 스턱스넷 C&C 트래픽 감시

2010-07-22

베리사인, 제이마이크론 테크놀러지사의 인증서 폐지.

2010-08-02

마이크로소프트, 윈도우 쉘 바로가기 취약점에 관한 MS10-046 패치 발표

2010-08-06

시만텍, 스턱스넷의 PLC 침투 및 코드 주입방식과 ICS에 미친 영향에 대해 발표.

2010-09-14

마이크로소프트, 8월 시만텍이 확인한 프린터 스풀러 취약점에 관한 MS10-061 패치 발표.

마이크로소프트, 8월 시만텍이 확인한 두 개의 권한 상승 취약점 발표.

2010-09-30

시만텍, 바이러스 게시판에 스턱스넷 포괄 분석 자료 게시


스텍스넷 감염 현황

시만텍은 2010년 7월 20일 스턱스넷 C&C 서버의 트래픽을 모니터링하는 시스템을 마련해 감염률과 감염된 컴퓨터의 위치를 파악했다. 시만텍의 시스템은 스턱스넷 C&C 서버와 연결이 가능한 컴퓨터에서 전송되는 C&C 트래픽만을 파악했으며, C&C서버로 전송되는 트래픽 가운데 만약 지멘스 SIMATIC 스텝 7 산업 제어 소프트웨어를 구동하는 경우, C&C 서버로 다시 전송되는 데이터는 암호화되어 전송되며, 내부 및 외부 IP 주소, 컴퓨터 이름, OS버전, 지멘스 스텝 7 설치 정보 등을 포함하고 있다.

2010년 9월 29일 기준으로 약 10만대의 감염호스트가 파악되었다. 1번 그래프는 국가별로 감염된 호스트의 숫자를 보여주고 있으며, 이란에서 가장 많은 감염 숫자가 발견되었다.

 

사용자 삽입 이미지

2번 그래프는 WAN IP 주소를 기준으로 국가별로 감염된 기관의 숫자를 보여주고 있다.

사용자 삽입 이미지

시만텍은 155개국, 4만대 이상의 외부 IP 주소를 모니터링했다. 3번 그래프는 국가별로 감염된 호스트의 비중을 보여주고 있으며, 감염된 호스트 가운데 약 60%(정확히는 58.31%)가 이란에 위치한 것으로 파악되었다.


사용자 삽입 이미지

스턱스넷은 지멘스 STEP 7 소프트웨어가 설치된 호스트를 파악하는 것이 목표다. 4번 그래프는 감염된 호스트 가운데 지멘스 소프트웨어가 설치된 감염된 호스트의 국가별 비중을 보여주고 있다.

사용자 삽입 이미지

5번 그래프에서 일자별로 새롭게 스턱스넷에 감염된 IP 주소 숫자를 살펴보면 8월 22일 이란은 더 이상 새로운 감염사례를 보고하지 않았다. 이는 감염 사례가 줄어들었기 때문이 아니라, 이란이 외부로 나가는 C&C 서버 연결을 차단했기 때문으로 분석된다.

사용자 삽입 이미지

이란에 감염사례가 집중된 것은 이란이 최초 감염 목표였고, 그래서 초기에 감염사례가 시작되었기 때문으로 분석된다. 스턱스넷은 표적공격이지만 다양한 확산 기술을 사용하고 있기 때문에 초기 목표물 이외의 대상으로 확대되고 있다. 이런 추가적인 감염사례로 인해 부수적인 피해를 야기하고 있으며, 이는 스턱스넷이 사용하고 있는 초기의 다양한 확산 경로로 인한 의도하지 않은 부작용이라고 할 수 있다. 감염률은 사용자들이 취약점에 대한 패치를 하면서 감소할 것으로 예상되지만 이런 종류의 웜의 특성상 안전하지 않은, 패치가 안된 컴퓨터들을 통해 지속적으로 확산될 것으로 예상된다.


맺으며

스턱스넷은 악성코드의 역사상 여러가지 새로운 기록을 세우고 있다. 최초로 한번에 4개의 제로데이 취약점을 이용했으며, 2개의 디지털 인증서를 공격하고, 산업 제어 시스템에 악성코드를 심었다. 특히, 스턱스넷은 중요한 기반시설 인프라에 직접적으로 사이버 공격을 감행하는 것이 가능하다는 것을 보여주는 사례라는 점에서 시사하는 바가 크다.

스턱스넷 사례에서 보듯이 갈수록 고도화·정교화·표적화되고 있는 최신 사이버 공격에 대비해 시만텍은 기업들에게 다음과 같은 실천방안을 권고하고 있다.

1. IT 정책의 수립: 기업은 위협에 대한 우선순위를 정하고, 기업 내 모든 위치에서 적용 가능한 정책을 정의하고, 자동화 등의 기능을 이용해 보안 정책을 집행해야 한다.

2. 정보 중심의 보호: 정보 중심의 접근을 통해 적극적으로 정보를 보호해야 한다. 기업 내 가장 중요하고 민감한 정보가 어디에 있는 지를 파악해 적절한 보호를 강구해야 한다.

3. 신원 관리: 누가 민감한 정보에 접근하는 지 파악하고 관리해야 한다. 직원, 파트너, 고객 등 세가지 그룹이 기업의 시스템에 접근할 수 있기 때문에 신원 인증 관리가 중요하다. 디바이스, 시스템 혹은 애플리케이션의 사용자를 인증함으로써 자산을 보호할 수 있다.

4. 시스템 관리: 시스템 자체의 관리도 중요하다. 최신 보안 패치를 배포하고, 자동화를 통해 효율성을 제고하고, 시스템 상태의 감시 및 보고 등의 활동을 통해 시스템을 관리해야 한다.

5. 인프라 보호: 개별 포인트의 보안에서 나아가 인프라 전체의 보호를 강구해야 한다. 중요한 내부 서버를 보호하고 데이터의 백업 및 복구 역량을 우선적으로 확보해야 한다. 또, 위협에 신속히 대응하기 위해 인프라 운영에 대한 가시성을 높이고 보안 인텔리전스를 갖춰야 한다.

6. 24x7 중단없는 가용성 확보: 안전한 보호와 더불어 보안 운영으로 인해 시스템 가용성에 영향을 받지 않도록 가용성을 확보하는 것 또한 중요하다.

7. 정보 관리 전략 수립: 정보 유지 계획과 정책을 포함한 정보 관리 전략을 수립해야 한다. 데이터의 수명주기를 고려해, 백업, 아카이빙, 삭제 등의 작업을 통해 총체적인 정보 관리를 구현해야 한다.


이와 함께 시만텍은 주요 기간 인프라 보호를 위해 각국 정부에 다음과 같은 실천방안을 권고하고 있다.


1. 정부 차원에서 적절한 리소스를 투입해 핵심 기간 인프라 보호 프로그램을 수립, 운영해야 한다.

2. 산업계, 민간 기업들과 적극적인 협력을 통해 핵심 기간 인프라 보호와 관련된 정보를 공유하고, 인식을 제고해야 한다

3. 사이버 공격에 대비하기 위해 보안만으로는 불충분하다. 핵심 기간 인프라 공급업체와 일반 기업들이 정보의 저장, 백업 등이 이뤄지고 있는지, 계정 및 접근 관리 프로세스가 제대로 실행되고 있는지 확인해야 한다.


2010/11/05 11:17 2010/11/05 11:17