‘APT(지능적지속위협, Advanced Persistent Threat)’라는 사이버공격이 요즘 이슈입니다.

APT 공격은 특정 기업이나 조직을 노린 표적공격의 대표 유형입니다. 원자력 발전소와 같은 중요한 산업기반시설이나 구글, 야후같은 유명 인터넷업체, EMC RSA같은 대표적인 보안업체들이 잇달아 이 공격에 속수무책으로 당하면서, 우려와 관심이 최근 무척 높아졌습니다.

1년 전 이란 부셰르 원자력발전소를 공격한 ‘스턱스넷’이 출현하면서 본격적으로 알려지기 시작했죠.

올해 초 구글이 침해사고 사실을 공개한 ‘오퍼레이션 오로라(Operation Aurora)’도 APT 공격으로 분류되고 있고, 지난 3월에 EMC RSA도 APT 공격을 당해 자사의 OTP(One Time Password) 기술이 유출된 것으로 보인다고 발표한 적이 있습니다. 

우리나라에서는 7월 말에 발생한 SK커뮤니케이션즈 3500만명의 개인정보유출 사고가 지능형 표적공격으로 분석되면서, APT 공격 가능성이 제기됐습니다.

APT 공격은 특정한 목표를 겨냥한다는 점에서 불특정 다수를 대상으로 한 기존 해킹과 구별됩니다. 표적으로 삼은 기업이나 기관 등 조직의 네트워크에 은밀하게 침투해 오랫동안 잠복하면서 기밀정보를 유출하는 식으로 공격목표를 달성하기 때문에 사전에 탐지하고 대응하기가 어렵다고 알려져 있습니다. 

공격 역시 일회성이 아니라 장기간에 걸쳐 이뤄지고, 여러 악성코드나 공격 루트를 이용합니다.

현재로서는 일단 APT 공격이 발생하면 이를 막을 뾰족한 대안이 없다고 인식되고도 있습니다. 

그래서인지 APT 공격 위협이 부상하니, 특정 기업이나 기관을 대상으로 침해사고가 발생했거나 기업의 고객정보 등 기밀정보가 유출되면 모조리 APT로 치부해버리는 경향이 나타나고도 있습니다.  

그 이유로 일부 보안전문가들은 모든 표적공격이 APT 공격이 아니고 모든 기업이 APT 공격 대상이 되는 것은 아닐 뿐만 아니라 대부분이 이 공격과 연관이 없는데, APT 보안위협이 과대 포장되고 있다고 지적하기도 합니다.

지만 현재 많은 기업이 표적공격을 문제 삼고 있는 만큼 최신 보안 위협에 효과적으로 대응하기 위해서는 APT를 면밀히 파악할 필요가 있습니다.

APT 공격이 무엇일까요? 아직까지 보안업계에서도 APT 공격 유형이나 방식을 A부터 Z까지 명확하고도 완전하게 정의하고 있지는 못하는 것 같습니다. 그래서 대응방안도 아직 명쾌하게 제시되진 못하는 것이겠죠.

현재 많은 보안전문가들, 보안업체들은 APT를 잡기 위해 다각도로 연구하고 있습니다. 

시만텍 역시 그렇습니다. ‘스턱스넷’ 공격이 발생했을 때 시만텍은 이 악성코드를 신속하게 발견하고 분석해 내면서 두드러진 모습을 보였었죠.  최신 위협을 분석하고 대응방안을 마련하는 것은 보안업체로서 당연한 역할입니다.

20일 시만텍코리아는 기자들을 초청해 최신 보안위협과 보안 대응방안을 설명하는 자리를 가졌는데요. 시만텍 아태 및 일본지역 임원이 이 자리에 참석해 APT 공격이 무엇인지 구체적으로 설명하고, ‘정보중심 보안 전략’을 주축으로 한 나름의 해결방안도 제시했습니다.
(관련기사 시만텍 “APT 표적공격, ‘정보중심 보안’ 전략으로 해결”

<APT 공격의 특징>

사용자 삽입 이미지

APT 공격은 특정 기업이나 조직 네트워크에 침투해, 활동 거점을 마련한 후 기밀정보를 수집해 지속적으로 빼돌리는 보다 은밀한 형태의 표적 공격으로 정의됩니다.

기관총을 쏴대는 무차별적 공격이 아니라 치밀한 사전 준비를 거친 스나이퍼형의 지능적·차별적·지속적 공격인 셈이라고 시만텍은 설명했습니다.

특정 기업이나 조직을 노리는 표적 공격은 보통 ‘드라이브바이다운로드(Drive-by download)’, SQL 인젝션, 악성코드, 스파이웨어, 피싱이나 스팸 등 다양한 공격 기술을 사용합니다.

APT 공격도 이 같은 기술들을 하지만 공격 성공률을 높이고 첨단 보안 탐지 기법을 회피하기 위해 제로데이 취약점 및 루트킷 기법과 같은 고도의 공격 기술을 복합적으로 이용하기 때문에 지능적이고 위협적입니다.

당한 기업들도 보안 사고가 터지기 전까지는 APT 공격에 당했다는 사실 조차 모르는 경우가 대부분이죠.

APT 공격은 일단 지능적(Advanced)입니다. 제로데이 취약점이나 루트킷 기법과 같은 고도의 지능적인 보안 위협을 동시다발적으로 이용해 표적으로 삼은 목표에 침투해 은밀히 정보를 빼돌리는 ‘킬 체인(Kill Chain)’를 생성합니다.

제로데이 취약점은 프로그램에 문제가 알려지고 난 후 보안패치가 나올 때까지의 시간차를 이용해서 공격하는 것입니다. 보안패치가 나오기 전까지는 각종 보안 위협에 무방비로 노출되는 셈이라 위험하죠.

루트킷 기법은 컴퓨터 운영체제가 구동되기 전에 윈도 컴퓨터의 마스터 부트 레코드(MBR)를 변경해 컴퓨터에 대한 통제권을 획득하는 기법으로, 보안 소프트웨어를 통한 탐지를 어렵게 하는 특징이 있습니다.

현재까지 알려진 최악의 APT 공격인 스턱스넷의 경우 4개의 제로데이 취약점과 루트킷 기법 등을 종합적으로 이용한 것으로 밝혀졌습니다.

APT 공격은 지속적(Persistent)인 특성을 보입니다. 

보안탐지를 피하기 위해 은밀히, 천천히 움직여야 하기 때문에 긴 시간 동안 행해집니다.

다수의 표적 공격이 순식간에 목표를 공격해 필요한 정보를 탈취해가는 이른바 ‘스매시&그랩(Smash and Grab)’형 공격이라면, APT는 표적으로 삼은 목표 시스템에 활동 거점을 마련한 후 은밀히 활동하면서 새로운 기술과 방식이 적용된 보안 공격을 지속적으로 가해 정보 유출·삭제 또는 시스템에 대한 물리적 피해와 같이 궁극적으로 원하는 목적을 이룹니다.

또한 공격 동기(Motivated) 부여확실한 공격 목표(Targeted)를 갖고 있습니다.

APT는 주로 국가간 첩보활동이나 기간시설 파괴 등의 특정 목적을 달성하기 위해 행해지며, 대부분 배후에 특정 국가가 후원하는 첩보조직이나 단체가 연루돼 있을 것으로 예상되고 있습니다. 

이는 APT가 단순히 정보 유출만을 노리는 것이 아니라 공격자가 지속적으로 표적을 원격 조종해 정보 유출을 포함, 시스템 운영을 방해하거나 물리적인 타격까지 노리고 있다는 것을 시사합니다.

지적재산이나 가치있는 고객정보를 가진 조직들이 표적공격의 대상이라면, APT는 주로 정부 기관이나 기간시설, 방위 산업체, 전세계적으로 경쟁력 있는 제품, 기술을 보유한 주요 기업들과 이들의 협력업체 및 파트너사들을 노립니다.

이같은 특징으로 보면 모든 기업들이 APT의 공격 대상이 아님은 분명해 보입니다. 시만텍 역시 APT 공격을 설명하기 시작하면서, “표적공격의 하나의 유형으로, 표적공격을 모두 APT로 볼 수 없다. 표적공격은 APT 보다 광범위하다”고 밝혔습니다. 

<APT 공격 방법>

일반적으로 APT 공격은 침투, 검색, 수집 및 유출의 4단계로 실행됩니다. 각 단계에서는 다양한 공격 기술이 사용됩니다.
사용자 삽입 이미지

1단계: 침투(Incursion)

일반적으로 표적 공격시 해커들은 훔친 인증정보, SQL 인젝션, 표적 공격용 악성코드 등을 사용해 목표로 삼은 기업이나 조직의 네트워크에 침투합니다. APT도 이러한 공격 방법들을 사용하지만 오랜 시간에 걸쳐 공격 대상 시스템에 활동 거처를 구축하는데 초점을 맞춥니다.

- 관찰(Reconnaissance): APT 공격자들은 표적으로 삼은 조직, 시스템, 프로세스, 파트너와 협력업체를 포함해 사람들을 파악하기 위해 수개월에 걸쳐 공격 목표를 철저히 연구하고 분석합니다. 이란 핵 시설을 공격했던 스턱스넷의 경우, 공격팀은 목표로 삼은 우라늄 농축시설에 사용되는 PLC(Prorammable Logic  Controllers)에 대한 전문 지식을 보유하고 있었지요.

- 사회공학기법(Social engineering) : 목표 시스템으로의 침투를 위해 공격자들은 내부 임직원이 실수나 부주의로 링크를 클릭하거나 첨부파일을 열게끔 사회공학적 기법을 접목하기도 합니다. 이메일, 소셜네트워크서비스, 웹사이트 게시판, P2P 등을 다양하게 악용하겠죠.

공격자가 특정 기업의 시스템 관리자를 노린다면 공격자는 사전에 이 관리자의 개인 블로그, 트위터, 페이스북 등을 검색해 생년월일, 가족 및 친구관계, 개인 및 회사 이메일 주소, 관심 분야, 진행중인 프로젝트 등의 정보를 수집한 후 이를 이용해 피싱 메일을 보내는 식입니다.

- 제로데이 취약점(Zero-day vulnerabilities) : 제로데이 취약점은 개발자들이 패치 등을 제공하기 전에 소프트웨어 개발자들 모르게 공격자들이 악용할 수 있는 보안상 허점으로 보안 업데이트가 발표되기 전까지는 무방비 상태와 같습니다.

그러나 제로데이 취약점을 발견 하기위해서는 상당한 시간과 노력이 걸리는 만큼 가장 정교한 공격 기관만이 이를 활용할 수 있습니다.

APT는 공격 목표에게 접근하기 위해 하나 이상의 제로데이 취약점을 이용합니다. 스턱스넷의 경우 동시에 4개의 제로데이 취약점을 이용했습니다. 

- 수동 공격(Manual operations) : 일반적으로 대규모 보안 공격은 효과를 극대화 하기 위해 자동화를 선택합니다.

‘스프레이&프레이(Spray and pray)’로 불리는 피싱 사기를 예를 들면, 자동 스팸 기술을 사용해 수천명의 사용자들 중 일정 비율이 링크나 첨부파일을 클릭하도록 했습니다. 반면에 APT는 자동화 대신 각각의 개별 시스템과 사람을 표적으로 삼아 고도의 정교한 공격을 감행합니다. 

2단계: 검색(Discovery)

일단 시스템 내부로 침입한 공격자는 해당 시스템에 대한 정보를 수집하고 기밀 데이터를 자동으로 검색합니다. 침투로 인해 보호되지 않은 중요한 데이터나 네트워크, 소프트웨어나 하드웨어, 또는 노출된 기밀 문서, 추가 리소스 등이 탐색될 수 있겠죠.

대부분의 표적공격은 기회를 노려 공격을 하지만 APT 공격은 보다 체계적이고 탐지를 회피하기 위해 엄청난 노력을 기울입니다. 검색단계에서는 해당 환경을 전반적으로 프로파일링하고 중요정보를 파악합니다. 

- 다중 벡터(Multiple vectors) : APT 공격시 일단 악성코드가 호스트 시스템에 구축되면 소프트웨어, 하드웨어 및 네트워크의 취약점을 탐색하기 위해 추가적인 공격 툴들이 다운로드 되기도 합니다.

- 은밀한 활동(Run silent, run deep) : APT의 목표는 표적의 내부에 잠복하면서 장시간 정보를 확보 하는 것이므로, 모든 검색 프로세스는 보안탐지를 회피하도록 설계됩니다.

- 연구 및 분석(Research and analysis) : 정보 검색은 네트워크 구성, 사용자 아이디 및 비밀번호 등을 포함해 확보된 시스템과 데이터에 대한 연구 및 분석을 수반합니다.

따라서 APT 공격을 탐지하면 가장 먼저 해당 공격이 얼마나 지속됐는가를 살펴봐야 합니다.

전형적인 표적공격으로 계좌번호가 유출됐다면 데이터가 유출된 날짜나 피해 정도를 아는 것이 크게 어렵지 않지만, APT 공격은 언제 공격을 받았는지 가늠하기가 거의 불가능하다고 분석됩니다.

침투 및 검색 활동이 매우 은밀히 진행되기 때문에 피해자는 로그 파일을 점검하거나 관련 시스템을 폐기해야 할 수도 있습니다.

3단계: 수집(Capture)

수집 단계에서 보호되지 않은 시스템에 저장된 데이터는 즉시 공격자에게 노출됩니다. 또한 조직 내의 데이터와 명령어를 수집하기 위해 표적 시스템이나 네트워크 액세스 포인트에 루트킷이 은밀하게 설치될 수 있습니다.

- 장시간 활동(Long-term occupancy) : APT는 오랜 기간 지속적으로 정보를 수집합니다. 2009년 3월 발견된 고스트넷(GhostNet)으로 알려진 대규모 사이버 스파이 사건은 103개 나라의 대사관, 외국 부처 및 기타 정부 기관을 포함해 인도, 런던 그리고 뉴욕의 달라이 라마의 티벳 망명 센터 컴퓨터 시스템에 침투했습니다.

인포메이션 워페어 모니터(Information Warfare Monitor) 보고서에 따르면, 고스트넷은 2007년 5월 22일에 데이터를 수집하기 시작해 2009년 3월 12까지 지속된 것으로 나타났습니다. 평균적으로 감염된 호스트가 활동한 시간은 145일이었고, 가장 긴 감염 시간은 660일이었답니다.

4단계: 제어(Control)

APT 공격의 마지막 단계로, 불법 침입자들은 표적 시스템의 제어권을 장악합니다. 이 단계를 통해 공격자들은 지적 재산권을 포함해 각종 기밀 데이터를 유출하며, 소프트웨어 및 하드웨어 시스템에 손상을 입힙니다.

- 유출(Exfiltration) : 기밀 데이터가 웹 메일 혹은 암호화된 패킷이나 압축파일 형태로 공격자에게 전송됩니다.

- 지속적인 분석(Ongoing analysis) : 도난된 신용카드 번호가 금전적 이득을 위해 재빨리 이용되는 반면에, APT에 의해 수집된 정보는 전략적 기회를 포착하기 위한 연구에 이용되곤 합니다.

이러한 데이터는 이 분야의 전문가들에게 하나의 지침서가 되어 영업 비밀을 캐내거나 경쟁사의 행동을 예측하여 대응 방안을 수립하는데 도움이 될 수 있죠.

- 중단(Disruption) : 공격자는 원격 시동이나 소프트웨어 및 하드웨어 시스템의 자동 종료를 야기할 수도 있습니다.

많은 물리적 장치가 내장형 마이크로 프로세서에 의해 제어되고 있는 만큼 시스템이 교란될 가능성이 커집니다. 명령·제어 서버는 은밀하게 표적 시스템을 제어하고 심지어 물리적 피해를 야기할 수도 있죠.

<APT 공격 대응 방안>

시만텍은 APT 공격을 막기 위해서 가장 중요한 것이 기존의 보안 인프라가 갖는 한계를 넘어서 정보 주변을 둘러싼 시스템이 아닌 정보 자체를 보호하는 ‘정보중심의 보안 전략’을 가져가야 한다고 강조했습니다.

시만텍에 따르면, 정보중심의 보안 전략은 보호해야 할 중요 정보가 어디에 저장돼 있고, 누가 접근 가능한지, 어떻게 보호되고 있는지를 파악해 ‘디지털 정보지도’를 작성하는 것입니다. 이를 위해 보호해야 할 정보가 무엇인지 정의(Define)하고, 검색(Discover)하고, 해당 정보의 사용을 통제(Control)하는 정보보호 프로세스를 마련해야 합니다. 

이와 함께 ▲평판(reputation) 기반 보안 기술 ▲데이터 유출방지(Data Loss Prevention) 솔루션 ▲보안 정보 및 이벤트 관리(SIEM) ▲정보저장소 보안강화 ▲애플리케이션 계층에서 위험한 파일 형식 차단 등 다각도의 정보보호 체계를 갖추는 것이 중요합니다.

다양한 악의적 공격과 활동을 효과적으로 차단하기 위해 기업 내부의 사용자가 인터넷을 사용할 때 웹에서 악성코드 검사를 수행하도록 강제하는 ‘사전 방역’도 필요합니다.

네트워크상의 모든 트래픽을 검사해 일반적인 봇트래픽 패턴을 탐지하고 활성 봇넷을 차단하는 한편, 감염된 PC를 즉각 격리하는 ‘사후 차단’의 역할도 중요합니다.

이를 통해 각종 사이버 공격의 네트워크 유입을 사전에 차단하고, 만일 유입되더라도 지속적인 탐지 및 모니터링을 통해 악성활동을 차단, 보안 위협을 최소화 할 수 있기 때문입니다.

진화하는 사이버 보안 위협에 대응해 평판 기반과 같은 새로운 보안 신기술 도입도 필수적입니다. 공격용 툴킷의 확산과 악성코드 변종의 범람으로 인해 전통적인 시그니처 기반의 보안 솔루션으로는 각종 보안 위협에 대응하기가 점점 더 어려워지고 있기 때문이죠..

평판 기반의 보안 접근법은 마치 사용자들의 평판을 기반으로 맛집 순위를 매기는 것과 비슷합니다. 극소수의 사람들이 가지고 있는 프로그램을 다운로드하고자 할 경우엔 이를 악성일 가능성이 높다고 보고, 이를 제지하고 최상의 선택을 권고합니다.

직원 교육도 강화해야 합니다. 아무리 좋은 시스템과 보안 솔루션을 구축한다 하더라도 결국 이를 운용하는 것은 사람이고, 확고한 보안 인식이 갖춰지지 않는다면 보안 사고는 언제라도 일어날 수 있습니다.

기업은 보안 가이드라인을 마련해 정기적으로 인터넷 안전, 보안 및 최신 위협에 관해 직원교육을 실시하는 한편, 교육을 통해 정기적인 비밀번호 변경 및 모바일 기기 보안의 중요성을 알려야 합니다.


2011/09/21 09:05 2011/09/21 09:05

최근 사이버보안위협이 엄청나게 늘어나는 요인이 지하경제에서 거래되는 공격용 툴킷 때문이라는 분석이 지배적이죠.

윈도, 오피스, 어도비 아크로뱃과 같은 여러 애플리케이션의 제로데이 취약점은 공격용 툴킷을 통해 사이버공격에 보편적으로 악용되고 있습니다.

이같은 공격용 툴킷은 ‘지능적지속가능위협’으로 (사실 딱 와닿지 않게) 번역되는 은밀한 공격인 APT(Advanced Persistent Threat) 유형의 표적공격을 만들어내는데 크게 기여하고 있다고도 합니다.

시만텍은 최근 발표한 ‘인터넷보안위협보고서(ISTR)’ 최신호(16호)에서 이같은 공격용 툴킷의 확산과 진화가 소셜네트워킹서비스(SNS)의 악성코드 전파 통로 부상, 모바일 보안위협 증가와 표적공격의 진화·확산 등과 더불어 2010년의 보안위협의 주요 특징으로 지목했습니다. (관련기사 “SNS·모바일이 사이버위협 온상”)

공격용 툴킷은 합법적인 소프트웨어처럼 공개적으로 처음 등장한 날짜와 진행상황을 파악하기 어려운데요.

시만텍은 갈수록 증가하고 있는 사이버 범죄에 대한 경각심을 일깨우기 위해 그동안 역추적해 확인한 주요 공격용 툴킷들의 종류와 특징들을 심도있게 분석한 보고서를 내놨습니다.

이 자료를 인용해 ‘공격용 툴킷의 변천사’를 소개합니다.

사용자 삽입 이미지

▲1990년대: 바이러스 키트

1990년대 초, 비주얼 베이직(Visual Basic)을 이용해 제작된 기본적인 기능의 초기 공격용 툴킷이 발견됐지만 기능은 제한적이었다. 웹 인터페이스, 통계 수집, C&C(명령·제어) 관리 기능 등 후기 공격용 툴킷에서 볼 수 있는 기능은 대부분 빠져있었고, 주로 개발 및 전파 목적의 바이러스들이 포함돼 있었다. 초기 바이러스 제작 킷 중에서 가장 발전된 툴킷은 1998년 처음 발견된 VMPCK이었다. VMPCK 이후 곧 CPCK 키트가 등장했는데, 두 킷 모두 ‘바이코딘(Vicodines)’란 악명 높은 프로그래머에 의해 개발됐다. CPCK는 탐지 회피를 위한 다형성 엔진을 포함하고 있었는데 당시로서는 매우 획기적인 시도였다.

▲2001년: VBSWG 웜 킷

스팸 메일 공격시 주로 사용되는 제목 때문에 안나 쿠르니코바(Anna Kournikova) 웜으로도 불리며, 2001년 아르헨티나에서 처음 발견됐다. 비주얼 베이직으로 개발된 VBSWG 웜은 단순하지만 효과적인 암호화 기술을 채택했으며, 이메일 및 IRC 클라이언트를 통한 전파를 위해 다양한 루틴을 내장하고 있었다. 정보 탈취를 우선으로 제작되는 최근의 공격용 툴킷과 달리 초기에는 파괴적 공격이 주요 목적이었다. 예를 들어, VBSWG 웜에는 ‘크래시 시스템’과 ‘크레시 시스템2’로 불리는 공격코드가 탑재돼 시스템이 다운될 때까지 메모리 기능을 계속 복사, 실행한다.

▲2006년: 웹어태커(WebAttacker)의 등장

2006년 초에 처음 모습을 드러낸 웹어태커는 첫번째 공격용 툴킷으로, 2003년에 발견된 7개의 취약점을 이용한 악성코드를 내장하고 있었다. 후기 공격용 툴킷과 마찬가지로 웹어태커는 클라이언트측 취약점을 이용했는데, 마이크로소프트 윈도OS 에 설치된 인터넷 익스플로러나 모질라 파이어폭스 사용자들을 주요 공격대상으로 삼았다.

처음 웹어태커 발견했을 당시 지하경제에서는 15달러에 거래되고 있었다. 이렇게 낮게 가격이 형성된 이유는 첫번째 상용 공격용 툴킷이었기 때문으로 분석된다. 웹어태커 판매자는 구매자에게 약정 서비스 형태로 툴킷을 제공했으며, 이후 수많은 툴킷들이 약정 모델을 차용했다. 또한 웹어태커는 업데이트가 가능하고 후속 버전에는 새로운 취약점을 이용할 수 있는 코드를 포함시켰다. 2006년 9월 웹어태커는 인터넷 익스플로러의 벡터언어 컴포넌트와 관련된 제로데이 취약점을 이용해 눈길을 끌었다. 대다수 툴킷들이 이미 잘 알려진 취약점을 이용한 반면, 악성코드에 제로데이 취약점을 적용한 보기 드문 경우였기 때문이다.

▲2006년: 앰팩(MPack)

웹어태커 다음으로 등장한 주목할만한 공격용 툴킷은 2006년 6월에 발견된 앰팩이다. 앰팩은 웹어태커를 토대로 하고 있지만 개선된 인터페이스를 통해 공격 데이터의 지리적 분류, 공격받은 호스트 위치, 국가별 성공률 등 확장된 통계 정보를 제공한다. 또한 IP 주소나 국가별 사용자, 동일한 IP 주소에서 반복적으로 방문하는 사용자를 차단하는 기능을 지원한다. 특히 중복 방문자를 차단하는 기능은 분석을 위해 툴킷 공격을 호스팅하는 웹사이트를 반복적으로 방문하는 안티바이러스 보안 연구소 및 보안업체들이 앰팩 툴킷을 탐지하기 어렵게 만들었다.

앰팩은 다양한 기법을 통해 보다 공격적으로 배포된 툴킷이다. 예를 들어, 앰팩의 호스트 사이트로 피해자의 경로를 재조정하기 위해 합법 웹사이트에 아이프레임(iframe)을 주입하거나 유사한 이름의 도메인을 등록시켜 인기 웹사이트의 주소를 실수로 잘못 입력한 피해자를 유인했다. 더욱이 스팸을 통해 악성 사이트로 연결된 링크를 유포하고, 맞춤형 악성코드 다운로더를 생성함으로써 피해자가 공격에 걸려들었을 때 배포할 악성코드의 유형과 위치를 직접 정할 수 있도록 했다. 앰팩의 첫 판매 가격은 1000 달러로, 이는 15달러에 판매됐던 웹어태커에 비해 매우 높은 가격이다. 그럼에도 앰팩이 성공을 거두고 오래도록 판매될 수 있었던 이유는 공격자들이 기꺼이 거금을 투자하더라도 투자한 만큼의 충분한 이익을 거두었기 때문인 것으로 분석된다.

▲2007년: 앰팩을 기반으로 한 아이스팩(IcePack)

2007년 7월 등장한 아이스팩은 앰팩과 유사하다. 특정 IP 주소나 국가별 사용자는 물론 중복 방문자를 차단하는 등 앰팩과 동일한 기능을 대거 포함하고 있었다. 아이스팩의 첫 판매 가격은 앰팩보다 낮은 400달러였으나 웹어태커보다는 훨씬 비쌌다. 2007년 11월 시만텍은 아이스팩 및 앰팩과 관련된 하나의 트렌드를 발견했는데, 바로 개발자들이 아이스팩 및 앰팩의 불법복제판으로 입은 손실을 만회하기 위해 할인된 가격이나 무료로 지하경제에서 제공하고 있는 것이었다.

할인 또는 무료 버전에는 공격 피해자를 또 다른 악성 사이트로 유인하는 백도어 코드가 포함돼 있었다. 즉, 무료 툴킷을 사용한 공격자들은 백도어 코드의 존재를 알지 못했고, 그 결과 백도어 버전 툴킷의 공격을 받은 피해자들은 백도어 버전 툴킷 공격으로 득을 보게 된 툴킷 개발자들에 의해 2차 피해를 입었다.

▲2007년: 봇의 제왕, 제우스(Zeus)

시만텍은 2007년 처음으로 제우스 툴킷을 발견했다. ‘Z봇(Zbot)’으로도 알려진 제우스는 온라인 금융 정보 등 민감한 데이터를 수집하기 위해 개발됐고, 지금도 매우 광범위하게 사용되고 있다. 제우스는 PHP 기반 C&C(명령제어) 서버 웹 애플리케이션과 함께 트로이목마 생성기를 포함하고 있지만 트로이목마 설치나 전파 수단은 포함하고 있지 않다. 대신 판덱스(혹은 컷웨일)와 같은 대형 봇넷이 스팸이나 드라이브바이다운로드(Drive-by-downloads: 사용자 모르게 다운로드되어 실행되는 악성 프로그램)를 통해 제우스 툴킷을 유포한다.

제우스는 수많은 사기 및 사이버범죄 사건에 연루됐다. 2010년 9월, 미국, 영국 및 우크라이나 출신의 다국적 범죄집단이 제우스 봇넷을 사용해 18개월간 온라인 금융 및 거래 계좌에서 7000만 달러 이상을 훔친 혐의로 검거된 것 외에도, 영국의 수많은 계좌에서 100만 달러 가량의 돈을 빼돌린 사건이나 수십 개의 미 은행 계좌에서 300만 달러의 돈이 불법 인출된 사건도 있었다. 제우스가 인기가 높은 이유는 피해자 컴퓨터에서 금전적 이득을 볼 수 있는 민감한 정보를 쉽게 빼돌릴 수 있는 기능이 포함돼 있기 때문이다.

▲2007-2008년: 네오스플로이트(NeoSploit), 애드팩(Ad’pack), 토네이도(Tornado)

2007년에는 제우스와 비견할만한 다양한 툴킷이 등장했다. 3월 네오스플로이트, 9월 애드팩, 10월 토네이도 등이 등장했고, 그 중 네오스플로이트의 영향력이 가장 컸다. 겉으로 보기에는 웹어태커의 업그레이드 버전으로 보이지만 향상된 통계 정보 수집과 표시 능력을 지녔다. 안티바이러스 프로그램의 탐지 및 분석을 피하기 위해 은폐 기능(obfuscation) 및 난독화(anti-decoding) 기능이 포함됐다. 발견 당시 네오스플로이트는 기능 및 버전에 따라 1500~3000 달러까지 다양한 가격대의 제품으로 제공되고 있었다.

발표되는 신규 버전마다 새로운 악성코드를 추가했던 네오스플로이트는 공격시 탐지우회기법이 포함된 자바스크립트를 이용하는 혁신 기술을 포함하기도 했다. 그동안 발견된 툴킷과 달리 네오스플로이트는 통계정보를 저장하기 위해 MySQL과 같은 대중적인 데이터베이스를 사용하는 대신 맞춤형 데이터베이스를 포함했다. 또한 공격자가 툴킷 버전 업그레이드 시 데이터베이스도 함께 업그레이드할 수 있도록 스크립트를 제공해 네오스플로이트를 간편하게 최신 버전으로 유지할 수 있도록 지원했다. PHP 인터프리터, 연관 데이터베이스 서버 등 공격용 툴킷에 반드시 필요한 부가 기능을 없애 네오스플로이트의 설치 및 유지보수 작업을 단순화시켰다.

2008년 중반 네오스플로이트의 러시아 출신 제작자들은 네오스플로이트의 개발 중단을 선언했다. 개발에 투자한 시간에 비해 수익성을 담보할 수 없다는 게 그 이유였다. 그럼에도 불구하고 네오스플로이트를 사용한 공격 활동은 이후 계속 감지되고 있다.

시만텍은 2008년 4월 처음 토네이도 툴킷을 발견했지만, 이미 6개월 정도 전부터 탐지를 피해 활동해 온 것으로 보인다. 토네이도는 개발자들의 신중하고 제한적인 유포 활동으로 탐지가 어렵다. 또한 단골 방문객들에게 사이트 소유자의 계좌가 정지되었다는 메시지를 띄우는 등 트래픽 유형에 따라 다른 행동을 취할 수 있는 기능을 갖추고 있었다. 이러한 전술은 다른 IP 주소로 방문자에 대한 공격을 실제 지속하면서도 툴킷 호스팅 사이트가 악의적이라는 의심을 누그러뜨릴 수 있다.

▲2008년: 파이어팩(FirePack)과 엘 피에스타(El Fiesta)

2008년에는 2월과 8월에 각각 소형 툴킷인 파이어팩(FirePack)과 엘 피에스타(El Fiesta)가 시만텍에 의해 발견됐다. 이전에 발견된 툴킷과 동일한 기능이 대거 포함돼 있었지만 가격이나 제공하는 악성코드는 달랐다.

▲2009년: 공격용 툴킷의 전성기

2009년에는 럭키스플로이트(LuckySploit), 리버티(Liberty), 예스 익스플로이트 시스템(YES Exploit System), 엘리노어(Eleonore), 프라거스(Fragus), 유니크 팩(Unique Pack), 마리포사(Mariposa), T-아이프래머(T-IFRAMER), 저스트익스플로이트(justexploit), 시베리아(Siberia), 크라임팩(CRiMEPACK) 등 주목할만한 많은 공격용 툴킷이 발견됐다. 그 중 엘리노어는 거의 매월 후속 버전이 나올 정도로 활발한 활동을 했고, 피닉스 역시 원래 2007년 발견됐지만 2009~2010년 사이 공격이 급증해, 10개 이상의 버전이 공개됐다.

프라거스 툴킷의 경우, 첫 번째 버전은 2009년 7월 발견됐다. 프라거스는 공격용 툴킷의 불법복제를 방지하기 위해 PHP 난독화 기술을 처음으로 사용했다. 또한 IP 주소를 바인딩하거나, 툴킷 라이선스 기간이 초과하면 특정 파일을 만료시키는 등 다양한 불법복제 방지 기법을 적용했다.

▲2009년 10월: 마리포사(Mariposa) 등장

마리포사(Mariposa) 역시 주목해야 할 또다른 공격용 툴킷이다. 시만텍의 분석에 따르면, 마리포사의 클라이언트 트로이목마는 주로 실리FDC(SillyFDC) 웜의 변종 형태로 나타났다. 실리FDC는 2009년 세 번째로 가장 많이 발견된 악성코드 샘플이다. 마리포사는 다형성, 은폐, 안티바이러스 회피, 상태 업데이트 및 인코딩 전송 등의 기능을 갖췄다. 다형성 및 은폐 기능을 통해 악성코드를 실행할 때마다 모습이 바뀌었고, 이로 인해 안티바이러스 프로그램이 악성코드 시그니처를 생성하기 어렵게 했다. 마리포사는 USB 디바이스, P2P 클라이언트, 네트워크 공유 및 MSN 메신저를 통해 전파할 목적으로 개발됐다. 마리포사가 공격에 자주 사용되는 가장 큰 이유는 안티바이러스 애플리케이션이 마리포사를 차단하기 어려운데다 다양한 전파 기법을 갖추고 있기 때문이다.

이밖에 마리포사가 MS 인터넷 익스플로러의 HTTP POST 요청 데이터를 가로챌 수 있다는 점을 주목할 필요가 있다. 사용자가 웹사이트에 로그인 할 때 인증정보를 탈취할 수 있으며, 요청 데이터가 암호화되어 있어도 상관없는데, 이는 탈취가 암호화가 적용되기 전 인터넷 익스플로러 내부에서 발생하기 때문이다.

시만텍 조사 결과, 마리포사는 기본형 450 달러를 시작으로 포함된 기능에 따라 고급형의 경우 1,400 달러 이상에 판매되고 있었다. 3, 6, 12개월 단위의 업데이트 지원 서비스 패키지를 구입할 수도 있으며, 12개월 패키지의 가격은 520달러에 달했다. 개발자들은 보안 소프트웨어 탐지 회피 기능을 지원하기 위해 이틀마다 업데이트를 제공하고 있었다. 한편 마리포사는 2009년 약 1,270만대의 컴퓨터를 감염시키고 기능을 마비시킨 마리포사 봇넷이 발견되면서 언론의 뜨거운 관심을 받았다. 마리포사 봇넷 코드를 제작한 용의자들은 2010년 스페인과 슬로베니아에서 검거됐다.

▲2010년: 제우스(Zeus) 2.0, 스파이아이(SpyEye), 스트라이크(Strike)

- 제우스 2.0

2010년 제우스의 신규 버전인 제우스 2.0이 출시됐다. 제우스 2.0 버전은 기본 패키지가 최고 8000달러에, 500~2,000 달러의 추가 모듈까지 제공한다. 특히 스파이아이(SpyEye)의 ‘킬 제우스(Kill Zeus)’ 기능을 방어할 수 있도록 해, 공격용 툴킷 개발자들간의 경쟁이 점점 뜨거워지고 있음을 짐작할 수 있다. 제우스 2.0 버전에는 업그레이드된 탐지 회피 및 삭제 거부 기능뿐만 아니라 MS 윈도우 7 지원 및 한 대의 컴퓨터에 다양한 버전의 제우스 툴킷을 설치할 수 있는 새로운 기능도 추가됐다.

제우스 2.0은 임의의 고유한 레지스트리 키 값 및 파일명을 탐지우회하는 기법과 환경설정파일의 RC4 암호화 기능도 제공한다. 향상된 탐지우회기법 및 무작위 배정법에 따라 다양한 제우스 버전을 단일 컴퓨터에 동시에 설치할 수 있다. 다시 말해, 여러 공격자들이 표면상 단일 호스트를 여러 번 감염시킬 수 있게 된 것이다. 제우스 2.0은 또한 봇 생성 애플리케이션을 단일 컴퓨터와 연계하는 하드웨어 기반의 잠금 메커니즘을 사용한 불법복제 방지 기능을 지원한다.

- 스파이아이

2010년 등장한 스파이아이는 광고를 통해 초기 제우스와 비견할만한 강력한 툴킷으로 포지셔닝했다. 특히 감염 컴퓨터에서 모든 제우스 버전을 삭제하는 ‘킬 제우스’ 기능을 내장하고 있다. 이후 제우스 신규 버전에는 킬 제우스 기능을 무력화시키는 방어기능이 포함돼 공격용 툴킷 간 경쟁이 보다 심화되고 있음을 확인할 수 있다.

스파이아이는 광고를 통해 스파이아이를 저렴한 제우스 대용품으로 소개하며, 최고 8,000 달러에 이르는 제우스에 비해 매우 낮은 500~1500 달러 수준의 가격을 제시하고 있다. 킬 제우스의 백업 기능으로, 스파이아이와 제우스가 동일한 컴퓨터에 설치돼 있고 스파이아이가 제우스 버전을 감지 또는 삭제하지 못할 경우, 스파이아이는 제우스 C&C 서버로 전송하는 데이터를 가로채거나 탈취할 수 있도록 프로그래밍돼 있다.

흥미롭게도 2010년 10월 스파이아이 개발자 하더만(Harderman)은 오리지널 제우스 개발자 슬래빅(Slavik)으로부터 소스코드를 공식 인수했다고 밝혔다. 슬래빅은 더 이상 제우스 개발, 판매, 지원에 관여하지 않는 것으로 보인다. 하더만은 기존 제우스 고객에게 지원 서비스를 제공하겠다고도 발표했으며, 향후 더욱 강력한 툴킷을 제공하기 위해 스파이아이와 제우스의 소스코드를 통합하는 작업을 진행하고 있다.

스파이아이는 키스트로크 로거를 사용해 네트워크 트래픽과 웹 브라우저의 정보를 가로채 사용자 정보를 확보할 수 있는 기능이 포함되어 있다고 광고하고 있다. 일례로, 웹 브라우저 입력란에 ‘사회보장번호를 입력하세요’ 등의 항목을 몰래 추가한 후 사용자가 정보를 입력하면 전송 데이터를 중간에 가로채 피싱 스타일의 공격을 진행하고, 피해자가 제공한 인증 정보를 이용할 수 있게 된다.

- 스트라이크

2010년 등장한 스트라이크 툴킷은 윈도 XP, 윈도 비스타, 윈도 7 등 신규 OS를 목표로 한다. 스트라이크의 봇 클라이언트에서 주목할 점은 일반 사용자로 가장해 신규 윈도 OS의 사용자접근관리(UAC) 보안 기능을 회피하기 위해 개발되었다는 점이다. 스트라이크가 UAC 기능을 회피하는 방식은 윈도우의 ‘임시 인터넷 파일’ 폴더에만 파일을 작성하는 데 있다. 이로써 스트라이크는 키스트로크 로거, 백도어 등과 같은 악성 애플리케이션을 사용자 몰래 설치할 수 있다.

스트라이크는 윈도를 비롯한 200개 애플리케이션의 시리얼 번호를 빼내기 위해 개발됐으며, 스트라이크 광고에 따르면 윈도 호스트 방화벽을 우회해 자유롭게 네트워크에 접근할 수 있고 TCP 접속을 통해 DDoS(분산서비스거부, 디도스) 공격을 감행할 수 있다고 한다.


2011/04/06 16:04 2011/04/06 16:04
전력, 반도체, 철강 등 전세계 주요 산업시설에서 사용하는 산업자동화제어시스템을 공격해 피해를 입힌 첫 악성코드로 이름을 떨친 ‘스턱스넷’에 보안전문가들과 기업 보안담당자들이 여전히 많은 관심을 갖고 계실텐데요.

지난달 시만텍이 발표한 ‘스턱스넷’ 악성코드 분석 보고서 내용을 소개해 보려고 합니다. 본사에서 발표한 이번 기술백서 형식의 보고서는 영문인데다 방대한 내용이 담겨 살펴보기에 쉽지는 않았을 것 같습니다.

이 한글 요약본은 시만텍코리아가 제공했습니다. (영문 보고서 전문을 보시고자 하는 분을 위해 파일도 첨부합니다.)



시만텍 스턱스넷 보고서


시만텍이 발표한 스턱스넷 보고서는 수많은 시만텍 보안 대응팀 구성원들이 지난 3개월간 흘린 땀의 결과물로, 현재 대부분의 분석작업이 완료된 상태다. 하지만, 스턱스넷은 상당히 방대하고 복잡한 보안 위협인 만큼 보고서 발표 이후에도 지속적인 업데이트가 필요하다는 점을 밝혀둔다.

최근 언론에 자주 오르내리는 스턱스넷(W32.Stuxnet)은 지금까지 시만텍이 분석한 가장 복잡한 보안 위협에 속한다. 이 보고서에서는 스턱스넷과 스턱스넷의 다양한 컴포넌트를 비롯해 스턱스넷의 최종 공격목표인 산업용제어시스템의 프로그램 재설계에 초점을 맞춰 상세히 분석했다.

우선 스턱스넷은 다양한 컴포넌트와 함수를 포함하고 있는 방대하고 복잡한 악성코드의 일종이다. 시만텍은 보안블로그(http://www.symantec.com/connect/ko/symantec-blogs/sr)를 통해 스턱스넷 일부 컴포넌트에 대해 이미 설명한 적이 있지만 이 보고서에서는 스턱스넷 보안 위협에 대해 훨씬 포괄적이고 자세한 정보를 다루었다.


스턱스넷 구조와 공격방법

스턱스넷 구조는 다양한 익스포트(Export)와 리소스(Resource)를 갖고 있는 대형 dll 파일로 구성되어 있으며, 이밖에 두 개의 암호화된 설정 블록을 포함하고 있다.

스턱스넷의 드롭퍼(dropper) 컴포넌트는 모든 구성요소를 포함한 랩퍼(wrapper) 프로그램으로 ‘스터브(stub)’라는 섹션 내부에 저장되어 있다. 이 스터브 섹션은 스턱스넷 실행에 중요한 역할을 담당한다. 스턱스넷이 실행될 때 드롭퍼가 스터브 섹션에서 dll 파일을 추출해 마치 모듈처럼 dll 파일을 메모리에 매핑시키고, 익스포트를 호출한다.

스터브 섹션을 가리키는 포인터가 매개변수로 호출 익스포트에 전달되면 이후 익스포트는 매개변수로 전달된 스터브 섹션에서 dll 파일을 추출해 메모리와 매핑시키고 매핑된 dll 파일 안에 있는 또다른 익스포트를 호출한다. 이후 원래 스터브 섹션을 가리켰던 포인터가 다시 매개변수로 전달되며, 이러한 과정은 스턱스넷이 실행되는 내내 지속적으로 발생한다. 따라서 원래의 스터브 섹션은 매개변수 형태로 여러 프로세스와 함수에 전달된다. 이런 방식에 의해 스턱스넷의 각 계층은 항상 메인 dll 파일과 설정 블록에 접근하게 된다.

알려진 대로 스턱스넷의 주요 공격목표는 송유관과 발전소 등에서 사용하고 있는 산업용제어시스템이나 이와 유사한 시스템이다. 스턱스넷의 최종 목표는 PLC(Programmable Logic Controller)를 공격자의 의도대로 작동시키고 PLC 운영자가 이러한 변경사항을 알지 못하도록 PLC 코드를 수정, 산업용제어시스템의 프로그램을 재설계하는데 있다.

스턱스넷 개발자는 이같은 목표를 달성하기 위해 매우 다양한 컴포넌트를 취합, 성공 가능성을 높인다. 여기에는 제로데이 취약점, 최초의 PLC 루트킷인 윈도우 루트킷, 안티바이러스 탐지 회피기술, 복잡한 프로세스 인젝션 및 후킹 코드, 네트워크 감염 루틴, P2P 업데이트, 명령제어(Command and Control) 인터페이스 등이 포함되어 있다.

스턱스넷의 주요 특징


이란 사례에서 보듯이 스턱스넷은 송유관, 발전소 등 특정 산업용제어시스템을 공격 목표로 삼는다. 스턱스넷의 궁극적인 목표는 PLC 프로그램을 변경함으로써 공격자의 의도대로 오작동을 유도해 시설을 파괴 또는 마비시키는데 있다.

스턱스넷은 지난 7월 발견되었지만 적어도 1년 전부터 존재해 왔다는 사실이 확인되었고, 그 이전부터 활동했을 가능성도 제기되고 있다. 현재까지 대부분의 스턱스넷 감염사례는 이란에서 발견되었다. 스턱스넷은 다음과 같은 다양한 특징을 갖고 있다.

USB와 같은 이동식 저장매체의 자동실행 취약점을 이용한 자기복제. 마이크로소프트 윈도우 바로가기 ‘LNK/PIF’ 파일 자동 파일 실행 취약점(BID 41732)

윈도우 프린트 스풀러(Windows Print Spooler) 취약점을 이용해 LAN을 통한 전파. 마이크로소프트 윈도우 스풀러 서비스 원격 코드 실행 취약점 (BID 43073).

마이크로소프트 윈도우 서버 서비스 RPC 처리 원격 코드 실행 취약점(BID 31874)을 이용해 SMB를 통한 전파

네트워크 공유를 통해 원격 컴퓨터상에서 자가복제 및 실행

WinCC 데이터베이스 서버가 실행중인 원격 컴퓨터상에서 자가복제 및 실행

스텝 7(Step 7) 프로젝트가 로딩될 때 자동 실행되는 방식으로 스텝 7 프로젝트에 자가복제

LAN 상에서 P2P 방식으로 스스로 업데이트

총 4개의 마이크로소프트 취약점 이용. 2개는 자가복제를 위해 위에 언급한 취약점 이용, 나머지 2개는 아직 공개되지 않은 권한 상승 취약점을 이용

해커가 업데이트된 버전 등 코드를 다운로드하고 실행할 수 있도록 C&C 서버에 접속

바이너리가 숨겨진 윈도우 루트킷 포함

안티바이러스 등의 보안제품 회피 시도

특정 산업용제어시스템에 침투, 지멘스 PLC의 코드를 변경해 시스템 파괴 가능성

PLC에 변조된 코드(기본적으로, PLC 루트킷)를 숨김


스턱스넷 공격 시나리오


산업용제어시스템(ICS)은 PLC 코드처럼 특수 어셈블리에 의해 실행된다. PLC는 주로 인터넷이나 심지어 네트워크에 접속되지 않은 윈도우 컴퓨터상에서 프로그래밍되며, ICS 역시 인터넷에 접속되어 있을 가능성이 낮다. 이 같은 점을 고려해 스턱스넷의 기술적 특징을 기반으로 추측 가능한 예상 공격 시나리오는 다음과 같다.

우선, 각 PLC마다 고유한 방식으로 환경 설정이 되어 있기 때문에 공격자는 먼저 ICS의 구조를 파악하기 위해 정찰 업무를 수행해야 한다. ICS 설계 문서는 내부직원이 몰래 빼내거나 심지어 스턱스넷 초기 버전 또는 다른 악성 바이너리를 통해 입수할 수 있다. 일단 설계 문서와 ICS 컴퓨팅 환경에 대한 정보를 확보하면 스턱스넷 최신 버전 개발에 착수한다. 스턱스넷의 각 기능들은 저마다 실행 이유가 있으며, ICS 파괴라는 최종 목표를 위해 움직인다.

다음으로 공격자는 실행코드를 테스트하기 위해 PLC, 모듈, 주변기기 등 필수 ICS 하드웨어를 포함해 실제 표적 ICS와 동일한 환경을 구축해야 한다. 준비에서 테스트까지 전 과정에 대략 6개월의 시간이 소요되며, 품질보증, 관리 등 수많은 다른 지원인력은 차치하고 5~10명의 핵심 개발자들이 투입된다.

또한 악성 바이너리 파일에는 의심을 피하기 위해 디지털 부호로 변환시켜주는 드라이버 파일이 포함되어 있다. 이를 위해 공격자는 두 개의 디지털 인증서를 탈취한다. 양자는 물리적으로 가까운 거리에 위치해 있어야 하며, 디지털 서명을 빼내기 위해 건물 내부로 직접 침투할 수 있다.

스턱스넷은 목표물을 감염시키기 위해 목표 환경으로 직접 침투해야 한다. 이를 위해 기꺼이 협력하거나 아예 범죄 사실을 모르는 제3의 대상을 이용할 수 있다. 목표 시설에 접근 권한이 있는 협력사나 내부 직원 등이 그 대상이다. 1차 감염은 USB와 같은 이동식 드라이브를 통해 이루어진다. .

일단 스턱스넷이 목표 시스템 환경 내의 컴퓨터 한 대를 감염시키면 일반 윈도우 컴퓨터이지만 PLC 프로그래밍에 사용되는 ‘필드 PG(Field PG)’를 찾아 확산되기 시작한다. 대다수의 필드 PG는 네트워크에 연결되어 있지 않기 때문에 스턱스넷은 먼저 2년 전에 등장한 제로데이 취약점을 통해 LAN 상의 컴퓨터로 스텝 7 프로젝트를 감염시키고 이동식 드라이브를 통해 감염을 시도한다.

공격자는 C&C 서버로 스턱스넷을 제어할 수 있지만 앞에서 언급했듯이 표적 컴퓨터는 외부 인터넷에 접속되어 있을 가능성이 낮다. 따라서 시스템 파괴를 위한 모든 기능은 스턱스텟 실행파일에 직접 내장된다. 이 실행파일 업데이트는 스턱스넷에 의해 P2P 방식으로 전파된다.

마침내 스턱스넷이 스텝 7이 실행 중인 적합한 컴퓨터를 발견하면 PLC 코드를 변경함으로써 PLC 시스템을 파괴한다. 스턱스넷 개발에는 대규모 자원이 투입되었기 때문에 공격 목표는 주로 중요도가 높은 핵심 기간 시설들이다. 스턱스넷에 감염된 기업들은 문제를 해결하기 위해 PLC 코드를 조사하지만 스턱스넷이 코드 변경사항을 숨기기 때문에 특이사항을 발견하기는 어렵다.

원하는 필드 PG를 찾기 위해 자가복제 방식이 필요할 수 있지만 공격자는 목표 기업 외부의 컴퓨터까지 감염시킴으로써 부수적인 피해를 입힌다. 또한 공격사실이 발견될 때면 이미 초기 공격이 완료되었을 가능성이 높다.


스턱스넷 보안 위협 개요


날짜

주요 사건

2008-11-20

LNK 취약점을 이용한 Trojan.Zlob 변종 발견. 후에 스턱스넷으로 확인됨.

2009-04

하킨나인(Hakin9) 보안 전문 잡지가 프린터 스프롤러 서비스의 원격 코드 실행 취약점에 관해 자세히 소개함. 이 취약점은 후에 MS10-061로 확인됨.

2009-06

스턱스넷 초기 샘플 발견. MS10-046 이용하지 않음. 서명된 드라이버 파일 없음

2010-01-25

리얼텍 세미컨덕터 회사 소유의 유효 인증서로 서명된 스턱스넷 드라이버 발견

2010-03

MS10-046을 이용한 첫 번째 스턱스넷 변종 발견

2010-06-17

바이러스블로카다(Virusblokada) 보안업체, W32.스턱스넷 발표(RootkitTmphider라 명명), 바로가기/.Ink 파일 처리 취약점(후에 MS10-046로 확인)을 이용해 확산되었다고 밝힘.

2010-07-13

시만텍, W32.Temphid를 탐지 목록에 추가(전에는 트로이 목마로 탐지)

2010-07-16

마이크로소프트, 바로가기/.Ink 파일 처리 취약점을 포함한 ‘윈도우 쉘 취약점의 원격 코드 실행 가능성’에 대한 보안 공지 발표.

베리사인, 리얼텍 세미컨덕터에 대한 인증서 폐지

2010-07-17

이셋(Eset), 제이마이크론 테크놀러지사의 인증서로 서명된 새로운 스턱스넷 드라이버 발견

2010-07-19

지멘스, 자사 WinCC SCADA 시스템의 악성코드 감염 보고서를 조사 중이라고 밝힘.

시만텍, 탐지 웜의 이름을 W32.Stuxnet로 변경.

2010-07-20

시만텍, 스턱스넷 C&C 트래픽 감시

2010-07-22

베리사인, 제이마이크론 테크놀러지사의 인증서 폐지.

2010-08-02

마이크로소프트, 윈도우 쉘 바로가기 취약점에 관한 MS10-046 패치 발표

2010-08-06

시만텍, 스턱스넷의 PLC 침투 및 코드 주입방식과 ICS에 미친 영향에 대해 발표.

2010-09-14

마이크로소프트, 8월 시만텍이 확인한 프린터 스풀러 취약점에 관한 MS10-061 패치 발표.

마이크로소프트, 8월 시만텍이 확인한 두 개의 권한 상승 취약점 발표.

2010-09-30

시만텍, 바이러스 게시판에 스턱스넷 포괄 분석 자료 게시


스텍스넷 감염 현황

시만텍은 2010년 7월 20일 스턱스넷 C&C 서버의 트래픽을 모니터링하는 시스템을 마련해 감염률과 감염된 컴퓨터의 위치를 파악했다. 시만텍의 시스템은 스턱스넷 C&C 서버와 연결이 가능한 컴퓨터에서 전송되는 C&C 트래픽만을 파악했으며, C&C서버로 전송되는 트래픽 가운데 만약 지멘스 SIMATIC 스텝 7 산업 제어 소프트웨어를 구동하는 경우, C&C 서버로 다시 전송되는 데이터는 암호화되어 전송되며, 내부 및 외부 IP 주소, 컴퓨터 이름, OS버전, 지멘스 스텝 7 설치 정보 등을 포함하고 있다.

2010년 9월 29일 기준으로 약 10만대의 감염호스트가 파악되었다. 1번 그래프는 국가별로 감염된 호스트의 숫자를 보여주고 있으며, 이란에서 가장 많은 감염 숫자가 발견되었다.

 

사용자 삽입 이미지

2번 그래프는 WAN IP 주소를 기준으로 국가별로 감염된 기관의 숫자를 보여주고 있다.

사용자 삽입 이미지

시만텍은 155개국, 4만대 이상의 외부 IP 주소를 모니터링했다. 3번 그래프는 국가별로 감염된 호스트의 비중을 보여주고 있으며, 감염된 호스트 가운데 약 60%(정확히는 58.31%)가 이란에 위치한 것으로 파악되었다.


사용자 삽입 이미지

스턱스넷은 지멘스 STEP 7 소프트웨어가 설치된 호스트를 파악하는 것이 목표다. 4번 그래프는 감염된 호스트 가운데 지멘스 소프트웨어가 설치된 감염된 호스트의 국가별 비중을 보여주고 있다.

사용자 삽입 이미지

5번 그래프에서 일자별로 새롭게 스턱스넷에 감염된 IP 주소 숫자를 살펴보면 8월 22일 이란은 더 이상 새로운 감염사례를 보고하지 않았다. 이는 감염 사례가 줄어들었기 때문이 아니라, 이란이 외부로 나가는 C&C 서버 연결을 차단했기 때문으로 분석된다.

사용자 삽입 이미지

이란에 감염사례가 집중된 것은 이란이 최초 감염 목표였고, 그래서 초기에 감염사례가 시작되었기 때문으로 분석된다. 스턱스넷은 표적공격이지만 다양한 확산 기술을 사용하고 있기 때문에 초기 목표물 이외의 대상으로 확대되고 있다. 이런 추가적인 감염사례로 인해 부수적인 피해를 야기하고 있으며, 이는 스턱스넷이 사용하고 있는 초기의 다양한 확산 경로로 인한 의도하지 않은 부작용이라고 할 수 있다. 감염률은 사용자들이 취약점에 대한 패치를 하면서 감소할 것으로 예상되지만 이런 종류의 웜의 특성상 안전하지 않은, 패치가 안된 컴퓨터들을 통해 지속적으로 확산될 것으로 예상된다.


맺으며

스턱스넷은 악성코드의 역사상 여러가지 새로운 기록을 세우고 있다. 최초로 한번에 4개의 제로데이 취약점을 이용했으며, 2개의 디지털 인증서를 공격하고, 산업 제어 시스템에 악성코드를 심었다. 특히, 스턱스넷은 중요한 기반시설 인프라에 직접적으로 사이버 공격을 감행하는 것이 가능하다는 것을 보여주는 사례라는 점에서 시사하는 바가 크다.

스턱스넷 사례에서 보듯이 갈수록 고도화·정교화·표적화되고 있는 최신 사이버 공격에 대비해 시만텍은 기업들에게 다음과 같은 실천방안을 권고하고 있다.

1. IT 정책의 수립: 기업은 위협에 대한 우선순위를 정하고, 기업 내 모든 위치에서 적용 가능한 정책을 정의하고, 자동화 등의 기능을 이용해 보안 정책을 집행해야 한다.

2. 정보 중심의 보호: 정보 중심의 접근을 통해 적극적으로 정보를 보호해야 한다. 기업 내 가장 중요하고 민감한 정보가 어디에 있는 지를 파악해 적절한 보호를 강구해야 한다.

3. 신원 관리: 누가 민감한 정보에 접근하는 지 파악하고 관리해야 한다. 직원, 파트너, 고객 등 세가지 그룹이 기업의 시스템에 접근할 수 있기 때문에 신원 인증 관리가 중요하다. 디바이스, 시스템 혹은 애플리케이션의 사용자를 인증함으로써 자산을 보호할 수 있다.

4. 시스템 관리: 시스템 자체의 관리도 중요하다. 최신 보안 패치를 배포하고, 자동화를 통해 효율성을 제고하고, 시스템 상태의 감시 및 보고 등의 활동을 통해 시스템을 관리해야 한다.

5. 인프라 보호: 개별 포인트의 보안에서 나아가 인프라 전체의 보호를 강구해야 한다. 중요한 내부 서버를 보호하고 데이터의 백업 및 복구 역량을 우선적으로 확보해야 한다. 또, 위협에 신속히 대응하기 위해 인프라 운영에 대한 가시성을 높이고 보안 인텔리전스를 갖춰야 한다.

6. 24x7 중단없는 가용성 확보: 안전한 보호와 더불어 보안 운영으로 인해 시스템 가용성에 영향을 받지 않도록 가용성을 확보하는 것 또한 중요하다.

7. 정보 관리 전략 수립: 정보 유지 계획과 정책을 포함한 정보 관리 전략을 수립해야 한다. 데이터의 수명주기를 고려해, 백업, 아카이빙, 삭제 등의 작업을 통해 총체적인 정보 관리를 구현해야 한다.


이와 함께 시만텍은 주요 기간 인프라 보호를 위해 각국 정부에 다음과 같은 실천방안을 권고하고 있다.


1. 정부 차원에서 적절한 리소스를 투입해 핵심 기간 인프라 보호 프로그램을 수립, 운영해야 한다.

2. 산업계, 민간 기업들과 적극적인 협력을 통해 핵심 기간 인프라 보호와 관련된 정보를 공유하고, 인식을 제고해야 한다

3. 사이버 공격에 대비하기 위해 보안만으로는 불충분하다. 핵심 기간 인프라 공급업체와 일반 기업들이 정보의 저장, 백업 등이 이뤄지고 있는지, 계정 및 접근 관리 프로세스가 제대로 실행되고 있는지 확인해야 한다.


2010/11/05 11:17 2010/11/05 11:17

지난 22일 NSHC가 하우리와 공동으로 개발한 아이폰 전용백신 ‘바이로봇 산네’ 출시가 발표된 직후, 인터넷상에서 논란이 뜨겁게 벌어졌습니다. 

이 백신 제품을 진짜 ‘아이폰 백신’이라고 할 수 있냐 하는 의견에서부터 아이폰의 특성상 악성코드가 발생할 위험이 거의 없는데 백신이 과연 필요한가 등이 주된 논쟁거리로 떠올랐습니다.

상당수의 아이폰 사용자들과 네티즌들은 아이폰 백신이란 개념도, 그 존재도 불가능하다는 의견을 피력했습니다. 현실적으로 아이폰 악성코드가 존재하지 않고, 앱스토어에 악성코드가 등록돼 제공되지 않는 한 ‘아이폰 백신’ 자체가 무의미하다는 이유에서입니다.

그 이유로 앞서 NSHC가 이 백신의 ‘세계 최초’ 출시를 알리며 “앱스토어 등록 절차를 밟고 있다”고 했던 홍보 행위나 기자와 언론이 이 보도자료를 기사로 쓰고 보도하는 것 자체가 ‘무지의 소치’라는 비판을 받았습니다. (고백하자면, 저도 그 기사를 쓴 기자 중 한사람입니다.)

이번 논란과 혼란이 촉발된 가장 중요한 사실은 이 업체가 개발한 백신의 애플 ‘앱스토어’ 등록이 좌절된 데 있다고 봅니다. 너무 단순화하는 것인지는 모르지만 ‘가장 먼저’라는 점을 부각하려다가 오히려 그로 인해 뭇매를 맞게 됐습니다.

이 업체가 개발한 제품이 애플로부터 앱스토어 등록 승인이 거부된 것이 알려진 뒤로, 보안업계와 금융권 등에서 혼란이 계속 커지고 있는 것 같습니다.

아이폰 뱅킹 서비스가 제공되고 있고, 이로 인해 금융감독원이 바이러스 예방 조치 등을 담은 스마트폰 전자금융서비스 안전대책을 내놓았기 때문에 NHSC의 백신의 앱스토어 등록 좌초는 그 사안이 가볍지 않습니다.

또 “아이폰 백신을 개발 중이고, 올해 출시하겠다”고 했던 보안업체들도 문제가 됩니다.

기야는 안철수연구소와 잉카인터넷 등 국내 보안업체들이 준비해온 아이폰 백신 개발을 중단, 관련 사업을 하지 않기로 했다는 이야기까지 나올 정도입니다.

어떤 보안업체는 이제와서 “못해서 안한 게 아니라 이런 상황을 감안해 백신을 성급히 개발하지 않은 것”이라고 이러한 상황을 끼워 맞추기도 합니다.

아이폰 뱅킹 서비스를 제공하고 있는 하나은행, 기업은행도 혼란스러워 하고 습니다. 아이폰 뱅킹 애플리케이션에 백신 등 보안 기술을 적용할 수도, 안할 수도 없는 애매한 상황에 처했습니다.

‘스마트폰 전자금융서비스 안전대책’을 내놨던 금융감독원은 일단 “현재로서는 아이폰 뱅킹 안전성은 보장돼 있는 상태로, 향후 추이를 지켜보고 향후 방송통신위원회 등과 공조해 필요하면 추가로 방침을 정하겠다”는 입장입니다.

저는 이러한 혼란이 ‘애플의 입장’을 제대로 알지 못해서는 아닐까? 하는 의구심이 생깁니다.

현재 아이폰 운영체제 설계 원리나 플랫폼 특성으로 인해, 애플의 정책상 아이폰 백신 등 보안 제품의 앱스토어 등록은 당연히 거부될 것이란 의견이 지배적입니다.

애플의 정책이, 또 백신 등록 승인 거절 이유가 “우리 플랫폼과 애플리케이션의 앱스토어 등록 프로세스로는 아이폰은 안전하니, 백신같은 보안 제품은 필요 없다. 현재도, 앞으로도.”라면, 오히려 해결책은 단순할 수도 있습니다.

보안업체는 백신 개발은 당연히 중단하고 아이폰 백신 사업을 포기한다고 결정할 수도 있을 것입니다. 금융감독원은 스마트폰 전자금융서비스 안전대책 등 보안지침을 수정해야 할테지요. 

그런데 그게 아니라면 어떨까요? 앱스토어 등록이 거절된 이유가 그런 게 아니라 단순한 오류나 테스트 과정에서 생긴 문제라면 어떨까요? 이 또한 가정이지만 말입니다.

그래서 저는 우선 애플의 정책과 입장을 알고 싶었습니다. 이번 아이폰 백신 소동과 관련해 ‘바이로봇 산네’의 앱스토어 등록 승인 거부된 이유나 향후 백신 등 보안 제품의 등록 관련 정책에 관한 애플의 공식적인 입장을 애플코리아에 요구했습니다. 돌아온 답변은 비슷합니다만.

“아이폰은 마이크로소프트 윈도 모바일 운영체제 등과는 달리 무언가를 다운로드하기 위한 통로는 앱스토어 뿐이고, 프로그램이 등록되기 전에 사전검열을 거치므로 악성코드가 들어올 구멍이 없고, 백신도 필요 없다”는 것이 애플코리아 관계자의 설명입니다.

이것도 “공식적인 입장이 아닌, 비공식적인 정보로서”만의 답변이라는 점을 전제로 받았을 뿐입니다.

이대로라면, 현재로선 아무리 백신같은 보안 제품을 개발해도 앱스토어 등록은 어려울 것입니다.

아마 멀티태스킹이 안되므로 하나은행이나 기업은행 아이폰 뱅킹 애플리케이션에 백신을 삽입해 하나의 애플리케이션으로 만들어 업데이트하려고 하더라도 백신 특성상 어려울 테지요.

그런데 미래는 어떤 상황이 벌어질 지 아무도 모릅니다. 맥 OS와 아이폰에서도 취약점이 발견되고도 있고, 아이폰 차기 버전이 어떻게 달라질 지도 모릅니다. 아이폰으로 다양한 연결성과 활용성을 갖고 있는만큼 현재에도 미래에도 100% 안전할 수는 없습니다.

애플의 정책도 상황 변화에 따라 얼마든지 바뀔 수 있다고 봅니다.

보안업계 아이폰 백신 사업 철수설이 오늘 불거지자, 안철수연구소에 확인해 봤습니다.

아이폰 보안 제품을 이르면 1분기, 늦어도 2분기 안에는 예정대로 선보일 예정이랍니다. 기존에 선보였던 심비안용이나 윈도모바일 등 모바일 백신에 국한된 방식이 아니라 아이폰에서 나타날 수 있는 다양한 위협으로부터 보호할 수 있는 보안 솔루션이 될 것이란 이야기입니다. 악성코드로부터 보호할 수 있는 기능도 당연히 포함된답니다.

다행입니다. 이러한 소동이 생겼다고 바로 “포기한다”고 선언했으면 아주 크게 실망했을 겁니다.

물론, 안철수연구소도 이번 이슈가 생긴 뒤 이전보다는 신중하게 접근하고 있다는 것을 느낄 수는 있습니다.

애플이든, 마이크로소프트이든, 삼성전자이든 간에 “우리 제품은 안전하다”고 하더라도, 보안 전문업체들은 새로운 취약점은 없는지, 보안위협은 발생하지 않는지 계속 경계하면서 준비해, 만일의 사태가 발생하면 해결책을 내놔야 할 역할이 있습니다.

잉카인터넷도 내부적으로 먼저 아이폰 보안 제품 관련 정책을 정한 뒤 선보이겠다는 입장입니다.

시만텍에도 물어봤습니다. 시만텍은 오는 7~8월 중 아이폰 백신이 나올 거라네요.

현재 앱스토어 등록 승인이 거절됐음에도 개인적으론 아직 그 시점이 언제이든 향후 아이폰 보안 제품이 상용화될 수 있는 여지는 충분하다고 생각하고 있습니다.

그리고 애플의 정책이 무엇이건 간에, 아니 애플과 협조하는 방안을 강구하면서 보안 업체들이 계속해서 아이폰을 대상으로 나타날 수 있는 잠재위협으로부터 안전하게 보호해 줄 수 있는 보안 기술을 연구 개발해줬으면 좋겠습니다.

이번에 어려움을 겪기도 했지만 많은 것을 배웠을 NSHC와 하우리도 마찬가지입니다. 

2010/01/27 18:05 2010/01/27 18:05

루마니아 해커로 알려진 ‘우누(Unu)’가 최근 보안업체들이 운영하는 웹사이트를 잇달아 해킹해 국내에서 화제가 되고 있습니다.

‘우누’는 지난 24일 자신의 블로그에 전세계 대표 보안업체인 시만텍의 개인용 보안 제품 ‘노턴(Norton)’의 고객지원 사이트를 해킹했다고 올린 데 이어, 지난 27일에는 국내 업체인 잉카인터넷의 ‘엔프로텍트(nProtect)’ 사이트를 해킹했다고 공개했습니다.


해킹한 시만텍의 웹사이트는 일본의 고객지원 사이트로, ‘우누’는 블로그 제목에 패스워드와 제품 시리얼 번호 등 개인정보가 노출됐다는 점을 부각했습니다.
여기에는 일본뿐 아니라 한국 고객 정보가 포함돼 있다는 점에서 국내에서도 이 사실이 급속히 퍼졌습니다.

잉카인터넷 관련 포스팅도 마찬가지입니다.


‘우누’는 지난 2월에는 카스퍼스키랩의 ‘카스퍼스키’ 제품 웹사이트도 해킹했습니다.


해킹 등 보안위협을 막는 기술을 개발하는 이들 보안 업체들은 SQL 인젝션(Injection) 취약점으로 자사 웹사이트가 잇달아 뚫리면서 망신을 당했습니다.

 
아마도 다른 유명 보안업체들도 이같은 구설수에 오르지 않도록 자사가 운영하는 웹사이트에 보안취약점이 없는지 다시 한 번 점검해보고, 보안관리를 더욱 강화하게 될 것 같습니다.


그렇지 않으면 신뢰성과 이미지 타격은 물론, 아무리 훌륭한 보안기술을 개발해 각종 보안위협을 막을 수 있는 제품을 내놔도 고객으로부터 외면당할 수 있기 때문입니다.


웹사이트나 고객 DB관리가 취약해 진짜로 고객정보라도 유출당하는 사고가 발생한다면, 그야말로 회사를 유지하기 힘들게 될 것입니다.


그런 점에서 ‘우누’는 자신의 주장대로 해를 끼치려는 게 아니라 허점을 알려줘 보안업체들에게 경각심을 높이고 이를 보완할 수 있게 하는 계기를 마련했습니다.


‘우누’는 업체들마다 자사 웹사이트에 허점이 있다는 것을 용기 있게 인정했다는 점을 높이 사기도 했고, 나중에 취약점이 보완됐다는 사실도 공지했습니다.  


그런데 왜 전 아쉬움이 있을까요?


‘우누’가 진정한 화이트 해커라면 보안업체들에게 먼저 알려줬으면 더 좋았을 것 같다는 생각이 듭니다.


그런데도 보안업체들이 취약점을 시급히 보완, 조치하지 않는 등 등한시할 경우 공개하는 것이 더 좋지 않았을까 생각합니다.


물론, 업체들마다 필요한 암호화 조치가 돼 있었다거나 개인정보 수집을 최소화해 “고객 개인정보가 유출되지 않았다”고 밝혔지만, ‘우누’의 이야기대로 각 업체의 고객정보가 노출될만큼 위험하다면 더욱 그랬어야 하지 않을까 싶습니다.


그 사이 진짜 악의적인 해커들이 ‘우누’의 블로그에 올려진 글을 보고 고객정보 유출을 시도할 수도 있지는 않을까 하는 우려 때문입니다. 


보안업체들이 가장 무서워하는 것이 바로 ‘해킹 당했다’, ‘제품이 뚫렸다’는 이야기 아닐까요.

 
예전에 해커들은 자신의 이름을 알리기 위해 유명한 사이트를 노렸다고 하지요. 선의로 행한 것이라면 ‘우누’가 알려진 보안업체들의 웹사이트를 잇달아 해킹해 공개함으로써 혹시라도 불필요한 오해를 사지 않길 바랄 뿐입니다. 




2009/11/30 17:01 2009/11/30 17:01


어떻게 생각하십니까? 화면 인터페이스나 색깔, 디자인이 전세계에서 가장 많이 사용되는 시만텍의 백신 '노턴'과 아주 유사하게 제작돼 있습니다. 그런데 엄연한 사기 백신입니다.

실제로 악성코드는 잡지 못하면서 거짓으로 사용자들에게 치료를 명목으로 돈을 받기 위해 제작된 가짜 백신입니다.

이같은 가짜 백신 프로그램은 보통 ‘당신의 컴퓨터가 감염됐습니다’ 등과 같은 거짓문구로 사용자 불안심리를 자극하고, 컴퓨터에 설치·검사토록 돈을 내고 치료하도록 유도합니다.

돈만 빼내는 것이 아니라 개인정보를 빼내고, 오히려 사용자 컴퓨터에 악성코드를 설치하기도 한답니다.

우리나라에서도 몇년 전 '스파이웨어'나 '애드웨어'와 같은 악성코드 치료 프로그램들이 범람했습니다.

바이러스, 스파이웨어 등 악성코드 감염 문제가 커지면서 사용자들이 검사는 무료이지만 치료는 유료로 하는 악성코드 제거 프로그램들을 찾고 쓰기 때문에 이러한 프로그램이 인기를 끌었지요. 그런데 실제 큰 위험성이 없거나 악성코드가 아닌 것을 검사결과에 보여주면서 돈을 내고 치료하도록 해 많은 금전적인 피해를 입은 사례가 빈번하게 나타났었습니다.

급기야 당시 정보통신부가 나섰지요. 시중에 유통되는 악성코드 제거 프로그램의 성능을 테스트해 상위 제품들을 공개함으로써 사용자들이 안전한 제품을 믿고 쓸 수 있도록 가이드를 하고 있습니다.

이 일을 지금은 방송통신위원회가 하고 있는데요, 최근 발표된 결과에 대한 기사를 참고하세요. ( ‘치료율 제로’ 악성코드 제거 프로그램 82종)

최근 글로벌 보안업체인 시만텍이 최근 전세계에서 활동하고 있는 상위 50개 가짜 백신 프로그램의 기법과 특징을 분석한 의미있는 보고서를 발표했습니다. 한국에서는 21일 발표됐습니다. 가짜 보안 소프트웨어의 현황과 위험성을 분석한 보고서로는 최초라네요.

관심 있는 분은 보고서를 다운로드해 살펴보십시오. 그런데 영문입니다. (http://eval.symantec.com/mktginfo/enterprise/white_papers/b-symc_report_on_rogue_security_software_WP_20016952.en-us.pdf)

이 보고서의 주요 내용은 기사로 썼습니다. 참고하세요.   “가짜백신 사기 심각…연 250개 활동”

보고서에 따르면 2008년 7월부터 2009년 6월까지 1년 동안 250개의 가짜 백신 프로그램을 발견했다고 합니다. 가장 많이 발견된 상위 10개의 가짜 백신입니다. 이같은 이름의 백신 프로그램을 사용해야 한다고 현혹하는 문구를 검색사이트 등 인터넷에서 본다면 가차없이 무시해야 합니다. 컴퓨터에 설치돼 있다면 바로 삭제하세요.


그리고 시만텍은 유투브에도 가짜 백신이 사용자를 속이고 설치를 유도하는 것을 찍은 동영상을 올려놨습니다. 재미있습니다. 한번 보세요. (동영상)

시만텍은 가짜 백신 사기를 예방하기 위한 사용자 보안수칙도 발표했습니다.  

• 보안 소프트웨어는 신뢰할 수 있는 보안 제공업체가 기존 온·오프라인 매장을 통해 판매하는 검증된 제품인지 확인하고, 설치한다.
• 네트워크의 엔드포인트 보안을 위한 솔루션이나 통합 PC보안 제품을 설치한다.
• 의심이 가는 이메일에 첨부된 링크를 직접 클릭하는 것을 삼가고, 잘 알려진 신뢰할 수 있는 웹사이트 URL을 직접 브라우저에 입력해 들어가는 습관을 갖는다.
• 예상하지 않았던 이메일 첨부파일은 절대 열어보거나 실행하지 않는다. 본인 이메일 주소로 직접 온 메일이 아닌 경우 의심하는 것이 필요하다.
• 합법적인 팝업 창이나 배너광고를 가장한 광고에 주의한다. 종종 사이버범죄자들은 웹 브라우저에 표시된 에러메시지를 이용해 사용자들을 속이고 가짜 소프트웨어 설치를 유도한다.

지능적인 가짜 백신 사기에 당하는 일이 없도록 모두 조심하세요!  

2009/10/21 18:20 2009/10/21 18:20

시만텍코리아가 '노턴' 개인용 보안 제품군의 새로운 가격정책을 다시 알려왔습니다.

시만텍은 지난달 29일 국내에서 개인사용자용 백신 및 통합보안 제품인 '노턴 2010'을 공식 발표하면서, 기존보다 가격을 인하한 파격적인 정책을 내놨습니다.
(관련기사 시만텍, ‘노턴 2010’ 가격파괴 선언)


그런데 지원되는 PC 수가 기존 3대에서 1대로 제한한 가격이라는 점에서, 당시 제가 노턴 가격인하 정책을 비판하는 글을 포스팅했는데요. 2009/09/29 - [보안세상이야기] - 시만텍 ‘노턴 2010’의 가격파괴, 숨겨진 진실

시만텍에서 최근 1PC와 3PC를 지원하는 '노턴' 제품군에 대해 책정한 신규 가격정보를 보내왔습니다.

신제품 '노턴 2010' 제품군 중 1PC 지원 제품은 2009 제품군보다 50% 이상 가격이 내려갔고, 3PC 지원 제품도 기존 대비 25~35% 낮은 가격으로 공급됩니다.

문제됐던 '노턴 360'도 3PC를 그대로 지원하면서 가격만 4만5000원으로 기존보다 싸게 제공한다고 하네요.

아래 표를 참고하세요.


2009/10/19 10:12 2009/10/19 10:12

요즘 가장 두드러지는 백신(안티바이러스) 트렌드는 경량화와 빠른 성능이다.

세계에서 가장 많이 사용되고 있는 1위 백신 소프트웨어인 ‘노턴’을 개발`공급하는 시만텍과 명실상부한 국내 1위 백신인 ‘V3’를 공급하는 안철수연구소는 올해 들어 백신 신제품을 각각 출시하면서 각자의 제품이 “전세계에서 가장 가볍고 빠른 백신”이라며 백신 경량화된 설치용량(크기)과 빠른 검사속도에 자신감을 드러내고 있다. 

이러한 자신감을 반증하듯, 두 업체는 각각 공급 중인 최신 백신 제품군의 성능 비교평가치를 제시했다.

재미있는 점은 두 업체의 수치가 약간씩 다르다는 것이다.

시만텍 자료에는 V3 제품이 설치용량과 검사 속도에서 노턴보다 뒤진다.


다음은 안철수연구소가 제시한 자료이다.

안철수연구소의 분석에 따르면 ‘노턴 인터넷 시큐리티(NIS) 2010’의 설치용량은  파악하기 힘들다. 흩어져서 파일이 설치되기 때문이란다. 시만텍이 제시한 65MB라는 용량은 “엔진 크기만 해당된다”는 설명이다. 

‘노턴 안티바이러스(NAV) 2010’의 설치용량도 시만텍이 제시한 수치와 비슷하지만 검사속도는 시만텍 자료에 비해 떨어지는 것으로 나타났다.

이 자료로 보면 ‘V3 라이트’와 ‘V3 IS(인터넷시큐리티) 2007’, ‘V3 365 클리닉 2.5’가 빠른 검사속도를 나타내는 것으로 알 수 있다. 

지역(범위)의 차이는 있지만 두 회사의 제품은 ‘1위 백신 브랜드’라는 타이틀이 달린 제품에 걸맞게 기능과 성능 등이 인정됐지만, “무겁다”는 평을 받았었다.

두 업체가 제시하는 수치는 약간 다르지만 두 제품 모두 이전 버전 보다 확실히 두드러진 개선으로 사용자 호응을 얻고 있다.   


2009/10/06 09:28 2009/10/06 09:28

시만텍코리아가 29일 개인사용자용 백신과 통합보안 신제품 ‘노턴 2010’을 출시하면서 전격적인 가격파괴 정책을 선언해 관심을 모으고 있다. (관련기사 1, 2)

PC에 번들되는 OEM 비즈니스와 온라인 판매만 집중해온 시만텍이 국내에서 ‘노턴’ 개인사용자를 확대, 개인용 백신 시장점유율을 확보하기 위해 취한 파격적인 조치로 해석된다.

시만텍이 책정한 가격은 개인용 백신 ‘노턴 안티바이러스 2010’이 1만5000원(1년 사용, 부가세 별도)이다. ‘노턴 안티바이러스 2009’ 제품이 3만2900원이었던 점을 감안하면 절반 이상 내린 가격이다.

통합보안 제품인 ‘노턴 인터넷 시큐리티 2010’은 2만5000원, 서비스 ‘노턴 360 버전 3.0’은 4만5000원에 공급한다.

미국에서 ‘노턴 안티바이러스 2010’이 49.99  39.99달러에(시만텍에서 가격을 잘못 밝혀 고침), ‘노턴 인터넷 시큐리티 2010’이 69.99 달러에, ‘노턴 360 버전 3.0’이 79.99 달러에 각각 판매되는 것과 비교할 때, 고전해온 국내 개인용 백신 시장 공략 의지가 높다는 것을 엿볼 수 있다.

현재 안철수연구소 개인용 보안서비스 ‘V3 365 클리닉’의 다운로드용 가격은 3만9600원, 패키지는 4만8400원이다. PC 주치의 서비스는 6만7100원에 제공된다.

얼핏 보면 안철수연구소가 공급하는 개인용 백신 제품 가격에 비해서도 싸, 높은 가격경쟁력을 확보한 것으로 비춰질 수 있다. 그런데 더 자세히 들여다보면 사실은 전혀 다르다.

V3 제품은 이 가격으로 3대 PC에 설치할 수 있도록 지원한다.

그런데 ‘노턴’ 제품은 한 대 PC에서만 지원된다. 이를 비교하면 안철수연구소 V3가 훨씬 경쟁력이 높다는 계산이 나온다.

물론 가격면에서만 비교한다고 전제할 경우, 한대 PC에만 설치할 백신이 필요한 사용자라면 앞으로 ‘노턴’ 제품을 선택할 수도 있다.

문제는 시만텍이 한대 PC에만 설치될 수 있다는 사실을 숨겼다는 것이다. 굳이 강조할 필요는 없었겠지만 지원되는 PC 수를 말하지 않음으로써 가격경쟁력이 더 높은 것처럼 비춰지게 했다.

특히, 가격을 조정하기 전인 ‘노턴 360’은 6만9900원으로 PC 3대에 설치할 수 있었지만, 이젠 4만5000원으로 한대만 지원한다. 결과적으로 가격을 올린 것이다.

기존 ‘노턴 안티바이러스’와 ‘노턴 인터넷 시큐리티’ 제품도 3대까지 설치할 수 있었다.

시만텍코리아 관계자는 “3대까지 설치할 수는 있었지만 노턴 안티바이러스와 노턴 인터넷 시큐리티는 1PC, 1유저만 지원되는 것으로 판매했었다. 3대까지 설치할 수 있다는 것은 공지는 안했었다”고 설명했다. 좀 궁색하다.

따지고 보면 세 제품 모두 PC 3대까지 지원됐던 것이다. 그런 면에서 “국내 사용자도 ‘노턴’ 제품을 많이 사용할 수 있도록 고객 중심의 경제적인 가격으로 제공하기로 했다”며 시만텍이 내놓은 이번 ‘노턴 2010’의 파격적인 가격정책은 시만텍의 정책은 국내 사용자를 대상으로 ‘눈가리고 아웅’한 격이 될 뿐이다.

홍보는 정확하게 해야 한다. 소비자들이 좋게 평가했다가 나중에 숨겨진 사실을 알게 되면 분노할 수 있다.

호감이 반감으로 바뀌는 감정의 변화 속도는 ‘찰나’이다.

<노턴 제품 가격 변화> - 신규가격 적용되는 신제품은 1PC만 지원됨. 

2009/09/29 17:23 2009/09/29 17:23