명절이나 중요 행사, 또는 사회적인 이슈를 악용해 악성코드를 유포하는 방식이 기승을 부리고 있습니다.

현재 중국광저우에서 한참 진행중인 아시안게임, 얼마전 마친 서울 G20 정상회의 등 올해에는 특히 국내외에 크고 작은 행사가 많았지요.

그래서인지 때마다 G20 정상회의, 노벨평화상, 아시안게임 등과 같은 주요 이슈에 편승한 악성코드가 빈번히 등장했습니다.

연말이 다가오면서 크리스마스 카드, 새해 연하장 등을 악용하는 방식도 나올 것으로 예상되고 있습니다.

보안업체인 잉카인터넷은 16일 연말연시 출현이 예상되는 악성파일의 유포 사례와 대응방안을 발표했습니다.

사회공학기법을 사용한 교묘한 공격 수법에 당하지 않고 안전하게 PC를 이용하기 위해서 미리 한번 살펴보죠.

사용자 삽입 이미지

◆2011학년도 수학능력평가

수험생이 있는 자녀가 있는 집이면 이 날이 올해에서 가장 중요하다고 여길 지도 모릅니다. G20 정상회의때문에 일주일이 미뤄졌다고 하는데, 벌써 눈앞으로 다가왔습니다.

현재까지 대학 수학능력평가를 악용해 악성코드가 유포된 것으로 보고된 사례는 없다는데요. 근래의 악성파일 유포 트렌드로 비춰볼 때 사회적 관심사인 대학 수학능력평가 내용 등을 사칭한 악성파일 유포가 이뤄질 있기 때문에 항상 예의주시할 필요가 있겠지요.

더욱이 금년에는 사칭기법 외에도 인터넷익스플로러(IE) 제로데이 취약점 등을 이용한 악성파일 유포 기법 또한 빈번히 발생했으므로, ‘2011학년도 수학능력평가’라는 사회적 이슈를 통한 관련 사이트 등의 변조 및 악성파일 유포 시도가 이뤄질 수 있으니, 수험생뿐만 아니라 일반PC사용자들도 주의를 기울여야 할 것입니다.


◆ 크리스마스

악성 파일 제작`유포자들은 올해도 어김없이 악성파일을 담은 선물세트를 배달할 준비를 하고 있을지도 모릅니다.

PC사용자들은 수신처가 불분명한 메일이나 각종 광고성의 크리스마스 이메일 등을 확인할 때 첨부 파일의 실행 및 다운로드에 대한 각별한 주의가 필요하겠습니다.


◆ 새해인사 연하장도 ‘조심조심’

연말연시에는 많은 연하장을 주고 받습니다. 지인들부터 기업, 단체, 회원가입한 사이트 등 너무나 많죠.

이러한 유명 단체나 지인으로 위장한 이메일이 발송될 경우 일반 사용자들은 별다른 의심없이 메일을 열어보거나 첨부파일을 다운로드해 실행할 수 있습니다.

연말연시를 악용한 악성파일 유포가 이뤄질 수 있음을 사용자 스스로 인지하고, 신뢰할 수 없는 내용에 현혹되지 않도록 각별한 주의를 기울여야 합니다.

잉카인터넷 NSC 대응팀에서 제시하는 ‘사회공학기법의 악성파일에 대응하는 우리의 자세’입니다.


[사회공학기법의 악성파일에 대응하는 우리의 자세]

1. 출처가 불분명하거나 알 수 없는 메일은 열어보지 않는다.

2. 첨부 파일에 대한 다운로드 및 실행은 최대한 신중하게 한다.

3. 운영체제(OS)에 대한 취약점을 보완하기 위해 정기적으로 보안패치를 업데이트 한다.

4. 사용중인 백신은 항상 최신엔진 및 패턴버전으로 유지한다.


2010/11/17 08:30 2010/11/17 08:30
사용자 삽입 이미지사용자 삽입 이미지
보안업체인 잉카인터넷의 신뢰성과 이미지가 크게 훼손되게 됐습니다.


잉카인터넷이 20일 방송통신위원회로부터 정보통신망법의 개인정보보호 법규를 위반해 500만원의 과태료와 개인정보 기술적·관리적 조치 수립·시행 등 재발방지 대책 시행에 대한 시정명령 처분을 받았습니다. (이날 KT는 가입자 동의 없이 전국동시지방선거 때 선거홍보용
문자메시지를 발송 상품에 이용돼 10억원의 과징금을 함께 받았죠.)


작년 말 루마니아 해커로 알려진 ‘우누(Unu)’에 자사 제품인 ‘엔프로텍트’ 웹사이트가 해킹된 것이 알려진 적이 있는데요. 당시 22명의 고객 개인정보 일부가 이 해커에 노출돼, 대표이사가 직접 사과와 함께 “웹사이트 개편 중 예전 사이트가 일시적으로 노출했던 것이 원인이고, 고객이 주로 사용하는 금융, 공공기관의 보안 제품에서는 개인정보를 전혀 수집하고 있지 않다”고 해명과 자칫 발생할 수 있는 오해의 소지 차단에 힘을 쏟았습니다.

그런데 이번에 방통위의 행정처분으로 잉카인터넷은 또다시 타격을 입게 됐습니다.

잉카인터넷에 대한 행정처분 이유가 적절한 개인정보 관리 계획과 조치가 없었다는 건데요.

방통위는 지난해 12월 현재 108만 명의 개인정보를 수집, 이용하면서 개인정보관리책임자 지정, 개인정보 기술적·관리적 보호조치 이행 등 개인정보를 안전하게 취급하기 위한 내부관리계획을 수립, 시행하지 않았다고 밝혔습니다.

또 잉카인터넷 개인정보처리시스템에 접근권한이 없는 내부직원 9명이 접속했고, 지난 2005년 9월부터 2009년 11월까지 개인정보를 수집, 이용하면서 회원의 비밀번호를 일방향 암호화 저장하지 않은 사실을 확인했다. 또한 3명의 만14세 미만 아동의 개인정보를 수집하면서 법정대리인의 동의도 받지 않았다고 설명했습니다.  

잉카인터넷은 이번 행정처분이 지난해 11월 27일 우누의 웹사이트 해킹 사고 때문에 방통위가 조사한 결과 내려진 것이라고 해명했는데요.  

당시 방통위가 홈페이지를 조사했고, 이메일과 비밀번호로 회원가입을 받고 있어 개인정보를 다루는 온라인 사업자의 법적 의무에 맞는 개인정보관리체계가 부족했다고 판단했습니다.

잉카인터넷은 “당시 웹사이트 취약점이 발견됐을 때 즉각 수정, 보호조치를 적용한 것이 방통위로부터 확인됐었고, 개인정보관리책임자와 전담팀을 신설해 매월 1회 정기적으로 내부감사도 시행하고 있어 모든 조치를 이행하고 있다”며, “올해 말에는 정보보호관리체계(ISMS) 인증도 획득한다”고 설명했습니다.

권한이 없는 내부직원의 개인정보처리시스템에 접근한 것은 “당시 웹사이트 문제점을 파악하는 과정에서 접속한 것”이라고 말했습니다.

결국 1년 전에 있었던 웹사이트 해킹 사건(?)이 발단이 돼, 지금까지 영향을 미치고 있는 것이네요. 잉카인터넷 입장에서는 기억에서 지우고 싶은 사건이겠지만 한번 엎질러진 물은 다시 담을 수가 없습니다.

방송통신위원회 김광수 개인정보보호윤리과장은 “잉카인터넷도 온라인으로 개인정보를 수집하기 때문에 법 적용 대상 사업자”라며, “이같은 모든 기업은 적절한 개인정보의 내부관리 계획과 보호 조치를 이행해야 한다”고 강조했습니다.

다른 보안업체들도 명심해야겠습니다. 특히 홈페이지에 회원가입을 받고 있다면 법규준수와 이행에 더욱 엄격하게 신경을 써야합니다.

일반 기업보다도 자사 제품에 취약점을 노출시키거나 웹사이트가 해킹을 당할 경우, 사업 자체에 큰 타격을 입을 수 있기 때문입니다.

잉카인터넷은 온라인게임과 인터넷뱅킹 등 금융권 사이트에서 높은 점유율을 가진 인터넷보안 제품인 ‘엔프로텍트’ 때문에 가뜩이나 극심한 ‘안티’에 시달리고 있는데요. 이래저래 수난시대를 겪고 있는 잉카인터넷이 고객 신뢰 회복을 어떻게 벌여나갈 지 주목됩니다.

위기의식을 갖고 뼈아픈 자기반성과 함께 지속적이고도 많은 노력이 필요할 것 같군요.

2010/10/20 16:40 2010/10/20 16:40


최근 국내 시장에 백신(안티바이러스) 소프트웨어 제품이 때 아닌 홍수를 이루고 있습니다.

개인용 무료백신 시장이 활짝 열리면서 국내 시장에 새롭게 진출하는 백신 제품이 더 많아지는 모습입니다.

3
~4년 전까지만 해도 국산 백신 시장은 안철수연구소 ‘V3’, 하우리 ‘바이로봇’이 대부분을 장악하고 있는 가운데, SGA(옛 에스지어드밴텍)의 ‘바이러스체이서’ 정도만이 두드러진 공급 활동을 벌였습니다.

외산 백신의 경우엔 맥아피, 시만텍, 카스퍼스키, 트렌드마이크로가 전부였지요.

2년 전 NHN과 이스트소프트가 각각 개인용 무료백신 ‘네이버 백신(옛 네이버 PC그린)’과 ‘알약’을 출시해 단숨에 엄청난 사용자를 확보하며 큰 파장을 일으키더니, 갈수록 무료백신 수가 많아지고 있습니다.

‘V3’와 함께 초창기 출발한 에브리존 ‘터보백신’도 최근 ‘터보백신 프리’라는 무료백신을 출시했고, 앞서 마이크로소프트가 ‘MSE(마이크로소프트 시큐리티 에센셜)’을 지난달 공식 발표했습니다.

2일에는 SGA가 유료 제품인  ‘바이러스체이서’와 차별화된 ‘SGA24’라는 브랜드로 무료백신을 발표했습니다.

어베스트, AVG와 같은 외산 유명 무료백신들도 이미 국내 파트너나 지사를 통해 공급되고 있지요.

그런데 국내 업체들이 출시하는 백신 제품명을 나열하다보니 새삼스럽게 독특한 점을 발견했습니다. 안철수연구소 ‘V3’만 제외하고는 하나같이 외산 백신엔진을 탑재하고 있다는 점입니다.

‘네이버 백신’은 러시아 기반 카스퍼스키 엔진을 사용하고 있고, ‘알약’을 비롯해 ‘바이로봇’, ‘터보백신’은 모두 루마니아의 유명 백신인 ‘비트디펜더’ 엔진을 탑재했습니다. 유료로 제공되는 잉카인터넷의 ‘엔프로텍트 안티바이러스’도 ‘비트디펜더’ 엔진을 사용하고 있지요.

러시아 백신 ‘닥터웹’ 엔진이 탑재돼 있던 ‘바이러스체이서’·‘SGA24’ 마저도 최근 들어 업데이트 등 지원이 제대로 이뤄지지 않는 이유로 ‘비트디펜더’로 엔진을 바꿨습니다.

사실상 V3 이외에는 모든 국산 백신이 외산 엔진을 사용하고 있습니다. 모두 동유럽지역 기반의 백신 엔진들이군요. 여러 외국 업체들이 이같은 사업 방식으로 국내 시장 문을 두드렸던 점을 감안하면 NHN 경우만 빼면 비트디펜더의 완승입니다.

비트디펜더는 국내에서 엔진 공급 사업을 아주 잘하고 있군요. 외산이 시장점유율을 갖기 어려운 국내 보안 시장에서 특화된 사업전략으로 성공을 거두고 있다고도 볼 수 있습니다.

국내에 직접 진출하지 않으면서도, 한국지사를 둔 외국 백신업체들보다 더 많은 수익을 거두고 있을 것으로 짐작해봅니다. 특별히 들어갈 제반 비용도 없고요.

국내 업체들의 입장에서 경험이 부족한 사업에 진출하려다 보면 자체 기술력 보다는 많은 노하우가 축적돼 있고 검증된 기술을 사용하는 것이 안전하고 쉬울 것입니다. 개발기간과 투자비용 등 자체 개발에 따른 부담을 크게 줄일 수 있습니다.

‘비트디펜더’는 지난 2007년 11월부터 2008년 9월까지 소비자시민모임이 국제소비자연구검사기구(ICRT) 회원 11개국 소비자단체와 공동으로 전세계 28개 인터넷 보안 제품을 대상으로 실시한 품질 평가에서 지데이타에 이어 두번째 순위에 오른 제품입니다.

작년에 진행된 바이러스블러틴(VB) 100% 테스트에서는 단 한번만 제외하고는 4번의 테스트를 통과했습니다.

비트디펜더는 엔진사업을 벌이는 다른 백신업체보다는 기술지원이 체계화돼 있고 DB 양이 방대하면서 가격면에서도 꽤 경쟁력이 있다고 알려져 있습니다.

‘비트디펜더’를 가장 먼저 채택한 국산 백신은 제가 알기로 ‘하우리’가 최초일겁니다. 2004년 말, 하우리는 국산 백신의 진단능력이 떨어진다는 등의 논란이 지적되던 당시에 과감히 기존 ‘바이로봇’ 엔진과 연동해 ‘비트디펜더’를 탑재해 듀얼엔진 서비스를 시작했습니다.

해외 진출에 힘쓰고 있었기 때문에 해외에서 성공을 거두기 위해 국내용(?) 바이러스 대응에만 특화된 엔진으로는 어렵다는 판단도 작용했을 겁니다.

어느덧 시간이 흘러 국내에 주로 공급되는 백신들 대부분이 모두 ‘비트디펜더’ 엔진을 탑재하게 됐네요.

엔진 공급 사업으로 동유럽 외산 백신들이 국내 백신 시장에 침투한 게 한두 해에 불과한 것도 아니지만 ‘비트디펜더’가 이렇게 장악하고 있다는 점이 새삼 놀랍습니다.

국산 백신 대부분이 이미 ‘외산화된 국산 백신’이 됐다고 표현한다면 너무 과할까요?

요즘 대부분의 백신 제품이 자체 기술 개발에 주력하기 보다는 외국 업체인 기술을 활용해 좀 더 쉬운 길을 찾아가려 하고 있다는 생각이 듭니다.

이를 두고 초창기 백신 개발에 오랜 기간 몸담았던 한 전문가는 “국내 백신 기술력이 약해진 것을 반증하는 것 아니겠냐”며, “국내업체들이 해외에서 유행하는 바이러스 등 악성코드 샘플을 구하기 어렵고 정보력에도 취약해 외산 백신엔진이 도움이 될 수 있겠지만 국내에 주로 공급되는 백신에 외산 백신엔진에 의존한다면 문제가 있다”고 지적했습니다.

조시행 안철수연구소 상무도 “같은 엔진을 쓰더라도 (제품 기능이나 성능에서) 차별점은 있다”면서도 “넓은 의미에서 외산 엔진만 사용하는 것은 바람직하지 않은 것이 사실이고, 경쟁력이나 차별성도 없고 엔진만으로는 한계도 있다”고 말했습니다.

물론 백신업체들은 자사가 공급하는 백신이 ‘비트디펜더’ 엔진에만 전적으로 의존하고 있는 것은 아니라고 이야기하고 있습니다. 자사가 개발한 자체 엔진과 함께 카스퍼스키·비트디펜더 엔진을 함께 탑재하는 듀얼(또는 그 이상) 방식을 채택하고 있습니다.

이스트소프트 알툴즈사업본부를 총괄하고 있는 정상원 이사는 이에 대해 이렇게 설명하더군요.

“웜이나 트로이목마를 비롯해 국내 악성코드는 자체 엔진인 테라(tera)엔진에서 주로 처리하고 있고, 비트디펜더 엔진도 오진이 있기 때문에 이를 보완하기 위해 오진을 줄일 수 있는 업데이트검증시스템과 긴급대응시스템을 구축하는 등 많은 노력을 기울이고 있다.” 다행이 아닐 수 없습니다.

이스트소프트는 지난해 10월 출시한 기업용 ‘알약 2.0’에 영국의 유명백신인 소포스 엔진까지 더해 트리플 엔진을 구현한 바 있습니다.

맞습니다. 모든 백신업체들이 정확도가 높고 폭넓은 진단율, 빠른 성능, 편리한 사용 환경을 제공하는 좋은 제품을 제공하기 위해 갖가지 노력을 하고 있을 겁니다. 그 중 한 가지 방안이 외산 백신엔진을 탑재하는 것이겠지요.

그럼에도 국산 백신 7개 중 6개 모두에 외산 엔진이 탑재돼 있다는 점. 그 중 ‘비트디펜더’가 5개라는 점. 외산 백신엔진을 탑재해 출시하는 백신 제품이 계속해서 늘고 있다는 점이 참 씁쓸합니다.

사업 의지는 있지만 원천기술 개발 여력은 크게 부족한 국내 백신, 보안 제품 개발 현주소를 보여주는 것만 같습니다.


2010/03/02 16:10 2010/03/02 16:10

지난 22일 NSHC가 하우리와 공동으로 개발한 아이폰 전용백신 ‘바이로봇 산네’ 출시가 발표된 직후, 인터넷상에서 논란이 뜨겁게 벌어졌습니다. 

이 백신 제품을 진짜 ‘아이폰 백신’이라고 할 수 있냐 하는 의견에서부터 아이폰의 특성상 악성코드가 발생할 위험이 거의 없는데 백신이 과연 필요한가 등이 주된 논쟁거리로 떠올랐습니다.

상당수의 아이폰 사용자들과 네티즌들은 아이폰 백신이란 개념도, 그 존재도 불가능하다는 의견을 피력했습니다. 현실적으로 아이폰 악성코드가 존재하지 않고, 앱스토어에 악성코드가 등록돼 제공되지 않는 한 ‘아이폰 백신’ 자체가 무의미하다는 이유에서입니다.

그 이유로 앞서 NSHC가 이 백신의 ‘세계 최초’ 출시를 알리며 “앱스토어 등록 절차를 밟고 있다”고 했던 홍보 행위나 기자와 언론이 이 보도자료를 기사로 쓰고 보도하는 것 자체가 ‘무지의 소치’라는 비판을 받았습니다. (고백하자면, 저도 그 기사를 쓴 기자 중 한사람입니다.)

이번 논란과 혼란이 촉발된 가장 중요한 사실은 이 업체가 개발한 백신의 애플 ‘앱스토어’ 등록이 좌절된 데 있다고 봅니다. 너무 단순화하는 것인지는 모르지만 ‘가장 먼저’라는 점을 부각하려다가 오히려 그로 인해 뭇매를 맞게 됐습니다.

이 업체가 개발한 제품이 애플로부터 앱스토어 등록 승인이 거부된 것이 알려진 뒤로, 보안업계와 금융권 등에서 혼란이 계속 커지고 있는 것 같습니다.

아이폰 뱅킹 서비스가 제공되고 있고, 이로 인해 금융감독원이 바이러스 예방 조치 등을 담은 스마트폰 전자금융서비스 안전대책을 내놓았기 때문에 NHSC의 백신의 앱스토어 등록 좌초는 그 사안이 가볍지 않습니다.

또 “아이폰 백신을 개발 중이고, 올해 출시하겠다”고 했던 보안업체들도 문제가 됩니다.

기야는 안철수연구소와 잉카인터넷 등 국내 보안업체들이 준비해온 아이폰 백신 개발을 중단, 관련 사업을 하지 않기로 했다는 이야기까지 나올 정도입니다.

어떤 보안업체는 이제와서 “못해서 안한 게 아니라 이런 상황을 감안해 백신을 성급히 개발하지 않은 것”이라고 이러한 상황을 끼워 맞추기도 합니다.

아이폰 뱅킹 서비스를 제공하고 있는 하나은행, 기업은행도 혼란스러워 하고 습니다. 아이폰 뱅킹 애플리케이션에 백신 등 보안 기술을 적용할 수도, 안할 수도 없는 애매한 상황에 처했습니다.

‘스마트폰 전자금융서비스 안전대책’을 내놨던 금융감독원은 일단 “현재로서는 아이폰 뱅킹 안전성은 보장돼 있는 상태로, 향후 추이를 지켜보고 향후 방송통신위원회 등과 공조해 필요하면 추가로 방침을 정하겠다”는 입장입니다.

저는 이러한 혼란이 ‘애플의 입장’을 제대로 알지 못해서는 아닐까? 하는 의구심이 생깁니다.

현재 아이폰 운영체제 설계 원리나 플랫폼 특성으로 인해, 애플의 정책상 아이폰 백신 등 보안 제품의 앱스토어 등록은 당연히 거부될 것이란 의견이 지배적입니다.

애플의 정책이, 또 백신 등록 승인 거절 이유가 “우리 플랫폼과 애플리케이션의 앱스토어 등록 프로세스로는 아이폰은 안전하니, 백신같은 보안 제품은 필요 없다. 현재도, 앞으로도.”라면, 오히려 해결책은 단순할 수도 있습니다.

보안업체는 백신 개발은 당연히 중단하고 아이폰 백신 사업을 포기한다고 결정할 수도 있을 것입니다. 금융감독원은 스마트폰 전자금융서비스 안전대책 등 보안지침을 수정해야 할테지요. 

그런데 그게 아니라면 어떨까요? 앱스토어 등록이 거절된 이유가 그런 게 아니라 단순한 오류나 테스트 과정에서 생긴 문제라면 어떨까요? 이 또한 가정이지만 말입니다.

그래서 저는 우선 애플의 정책과 입장을 알고 싶었습니다. 이번 아이폰 백신 소동과 관련해 ‘바이로봇 산네’의 앱스토어 등록 승인 거부된 이유나 향후 백신 등 보안 제품의 등록 관련 정책에 관한 애플의 공식적인 입장을 애플코리아에 요구했습니다. 돌아온 답변은 비슷합니다만.

“아이폰은 마이크로소프트 윈도 모바일 운영체제 등과는 달리 무언가를 다운로드하기 위한 통로는 앱스토어 뿐이고, 프로그램이 등록되기 전에 사전검열을 거치므로 악성코드가 들어올 구멍이 없고, 백신도 필요 없다”는 것이 애플코리아 관계자의 설명입니다.

이것도 “공식적인 입장이 아닌, 비공식적인 정보로서”만의 답변이라는 점을 전제로 받았을 뿐입니다.

이대로라면, 현재로선 아무리 백신같은 보안 제품을 개발해도 앱스토어 등록은 어려울 것입니다.

아마 멀티태스킹이 안되므로 하나은행이나 기업은행 아이폰 뱅킹 애플리케이션에 백신을 삽입해 하나의 애플리케이션으로 만들어 업데이트하려고 하더라도 백신 특성상 어려울 테지요.

그런데 미래는 어떤 상황이 벌어질 지 아무도 모릅니다. 맥 OS와 아이폰에서도 취약점이 발견되고도 있고, 아이폰 차기 버전이 어떻게 달라질 지도 모릅니다. 아이폰으로 다양한 연결성과 활용성을 갖고 있는만큼 현재에도 미래에도 100% 안전할 수는 없습니다.

애플의 정책도 상황 변화에 따라 얼마든지 바뀔 수 있다고 봅니다.

보안업계 아이폰 백신 사업 철수설이 오늘 불거지자, 안철수연구소에 확인해 봤습니다.

아이폰 보안 제품을 이르면 1분기, 늦어도 2분기 안에는 예정대로 선보일 예정이랍니다. 기존에 선보였던 심비안용이나 윈도모바일 등 모바일 백신에 국한된 방식이 아니라 아이폰에서 나타날 수 있는 다양한 위협으로부터 보호할 수 있는 보안 솔루션이 될 것이란 이야기입니다. 악성코드로부터 보호할 수 있는 기능도 당연히 포함된답니다.

다행입니다. 이러한 소동이 생겼다고 바로 “포기한다”고 선언했으면 아주 크게 실망했을 겁니다.

물론, 안철수연구소도 이번 이슈가 생긴 뒤 이전보다는 신중하게 접근하고 있다는 것을 느낄 수는 있습니다.

애플이든, 마이크로소프트이든, 삼성전자이든 간에 “우리 제품은 안전하다”고 하더라도, 보안 전문업체들은 새로운 취약점은 없는지, 보안위협은 발생하지 않는지 계속 경계하면서 준비해, 만일의 사태가 발생하면 해결책을 내놔야 할 역할이 있습니다.

잉카인터넷도 내부적으로 먼저 아이폰 보안 제품 관련 정책을 정한 뒤 선보이겠다는 입장입니다.

시만텍에도 물어봤습니다. 시만텍은 오는 7~8월 중 아이폰 백신이 나올 거라네요.

현재 앱스토어 등록 승인이 거절됐음에도 개인적으론 아직 그 시점이 언제이든 향후 아이폰 보안 제품이 상용화될 수 있는 여지는 충분하다고 생각하고 있습니다.

그리고 애플의 정책이 무엇이건 간에, 아니 애플과 협조하는 방안을 강구하면서 보안 업체들이 계속해서 아이폰을 대상으로 나타날 수 있는 잠재위협으로부터 안전하게 보호해 줄 수 있는 보안 기술을 연구 개발해줬으면 좋겠습니다.

이번에 어려움을 겪기도 했지만 많은 것을 배웠을 NSHC와 하우리도 마찬가지입니다. 

2010/01/27 18:05 2010/01/27 18:05

크리스마스를 겨냥한 악성코드가 올해에도 어김없이 나타났습니다.

에스지어드밴텍, 잉카인터넷 등 보안업체들은 23일부터 크리스마스 축하카드로 위장된 악성 이메일이 국내에서 발견됐다면서 사용자들의 각별한 주의를 당부하고 있습니다.

이 이메일에는 악성코드가 첨부돼 있으니, 클릭하지 마시고 수상한 이메일은 삭제해야 합니다.

오늘, 내일뿐만 아니라 연말연시 계속해서 이같은 악성 이메일, 악성코드가 발생할 수 있으므로 백신 업데이트와 실시간 감시 등 보안에 신경써야 할 것으로 보입니다.

다음은 잉카인터넷 시큐리티대응센터(ISARC)에서 분석한 악성코드 이메일 분석 내용입니다.

국내에 유입된 것이 확인된 이번 이메일은 다음과 같이 발신인 등이 정상적인 크리스마스 축하 카드처럼 교묘하게 위장되어 있으며, 악성코드가 첨부파일에 압축된 상태로 포함되어 존재한다.

보낸 사람 : e-cards@123greetings.com
메일 제목 : You have received a Christmas Greeting Card!
첨부 파일 : Christmas Card.zip (382,011 바이트)

이메일 본문에는 다양한 플래시 파일이 링크되어 보여질 수 있다.

http://c.123g.us/flash/branded_loader.swf
http://i.123g.us/c/edec_c_newjingle/card/113366.swf
http://i.123g.us/c/edec_c_newjingle/card/113413.swf
http://i.123g.us/c/edec_c_newjingle/card/105278.swf



이메일에 첨부되어 있는 압축파일(Christmas Card.zip) 내부에 Christmas Card.chm(공백) .exe 이름의 실행 파일이 포함되어 있다.

압축 해제 후 사용자가 보기에 .chm 확장자 이후 약 60여개의 공백을 포함하고 있어 실행파일(exe)이 아닌 것처럼 오인하도록 위장된 상태이다.

압축 내부에 포함된 악성코드 파일은 2009년 12월 23일 날짜로 등록된 것을 확인할 수 있으며, 아이콘은 크리스마스 트리 장식 모양을 하고 있다.



해당 파일이 실행되어 컴퓨터가 감염될 경우 시스템 폴더에 wmimngr.exe, wpmgr.exe 라는 이름의 2개의 파일이 생성된다.


실행된 악성코드는 SMTP 를 통해서 Mass Mailer 기능 등이 수행된다.



 

2009/12/24 10:40 2009/12/24 10:40

루마니아 해커로 알려진 ‘우누(Unu)’가 최근 보안업체들이 운영하는 웹사이트를 잇달아 해킹해 국내에서 화제가 되고 있습니다.

‘우누’는 지난 24일 자신의 블로그에 전세계 대표 보안업체인 시만텍의 개인용 보안 제품 ‘노턴(Norton)’의 고객지원 사이트를 해킹했다고 올린 데 이어, 지난 27일에는 국내 업체인 잉카인터넷의 ‘엔프로텍트(nProtect)’ 사이트를 해킹했다고 공개했습니다.


해킹한 시만텍의 웹사이트는 일본의 고객지원 사이트로, ‘우누’는 블로그 제목에 패스워드와 제품 시리얼 번호 등 개인정보가 노출됐다는 점을 부각했습니다.
여기에는 일본뿐 아니라 한국 고객 정보가 포함돼 있다는 점에서 국내에서도 이 사실이 급속히 퍼졌습니다.

잉카인터넷 관련 포스팅도 마찬가지입니다.


‘우누’는 지난 2월에는 카스퍼스키랩의 ‘카스퍼스키’ 제품 웹사이트도 해킹했습니다.


해킹 등 보안위협을 막는 기술을 개발하는 이들 보안 업체들은 SQL 인젝션(Injection) 취약점으로 자사 웹사이트가 잇달아 뚫리면서 망신을 당했습니다.

 
아마도 다른 유명 보안업체들도 이같은 구설수에 오르지 않도록 자사가 운영하는 웹사이트에 보안취약점이 없는지 다시 한 번 점검해보고, 보안관리를 더욱 강화하게 될 것 같습니다.


그렇지 않으면 신뢰성과 이미지 타격은 물론, 아무리 훌륭한 보안기술을 개발해 각종 보안위협을 막을 수 있는 제품을 내놔도 고객으로부터 외면당할 수 있기 때문입니다.


웹사이트나 고객 DB관리가 취약해 진짜로 고객정보라도 유출당하는 사고가 발생한다면, 그야말로 회사를 유지하기 힘들게 될 것입니다.


그런 점에서 ‘우누’는 자신의 주장대로 해를 끼치려는 게 아니라 허점을 알려줘 보안업체들에게 경각심을 높이고 이를 보완할 수 있게 하는 계기를 마련했습니다.


‘우누’는 업체들마다 자사 웹사이트에 허점이 있다는 것을 용기 있게 인정했다는 점을 높이 사기도 했고, 나중에 취약점이 보완됐다는 사실도 공지했습니다.  


그런데 왜 전 아쉬움이 있을까요?


‘우누’가 진정한 화이트 해커라면 보안업체들에게 먼저 알려줬으면 더 좋았을 것 같다는 생각이 듭니다.


그런데도 보안업체들이 취약점을 시급히 보완, 조치하지 않는 등 등한시할 경우 공개하는 것이 더 좋지 않았을까 생각합니다.


물론, 업체들마다 필요한 암호화 조치가 돼 있었다거나 개인정보 수집을 최소화해 “고객 개인정보가 유출되지 않았다”고 밝혔지만, ‘우누’의 이야기대로 각 업체의 고객정보가 노출될만큼 위험하다면 더욱 그랬어야 하지 않을까 싶습니다.


그 사이 진짜 악의적인 해커들이 ‘우누’의 블로그에 올려진 글을 보고 고객정보 유출을 시도할 수도 있지는 않을까 하는 우려 때문입니다. 


보안업체들이 가장 무서워하는 것이 바로 ‘해킹 당했다’, ‘제품이 뚫렸다’는 이야기 아닐까요.

 
예전에 해커들은 자신의 이름을 알리기 위해 유명한 사이트를 노렸다고 하지요. 선의로 행한 것이라면 ‘우누’가 알려진 보안업체들의 웹사이트를 잇달아 해킹해 공개함으로써 혹시라도 불필요한 오해를 사지 않길 바랄 뿐입니다. 




2009/11/30 17:01 2009/11/30 17:01

PC 부팅장애를 일으키는 악성코드가 등장해, 국내에서도 피해가 보고되고 있다고 합니다. (관련기사 컴퓨터 부팅장애 일으키는 악성코드 주의)

컴퓨터 재부팅시 검은 화면이 나타나고 이 상태가 지속되면 악성코드 감염을 의심해봐야 합니다.

(감염 후 안전모드 부팅 시 [안전모드] 글귀만 뜨고 검은 화면 상태가 지속되는 것을 확인할 수 있다. 사진제공- 하우리)

다음은 잉카인터넷 시큐리티대응센터의 분석자료 내용입니다.


- 악성코드가 작동되어 감염이 이루어지면 다음과 같은 레지스트리 값을 생성하게 되는데, 이 과정에서 설치된 또 다른 악성 파일이 정상적으로 로딩되지 못하면서 발생하는 부작용 현상이다.

악성코드가 생성한 레지스트리 값 중 데이터 부분은 악성코드가 감염될 때마다 Random 파일명과 확장자 등을 이용해 생성하기 때문에 감염된 컴퓨터마다 조금 씩 다른 값들이 포함되어 있을 수 있다.

이러한 악성코드 감염에 의해서 정상적인 부팅 진행이 이루어지지 못할 경우에는 다음과 같은 응급 수동 조치 방법을 통해서 해결할 수 있으며, 증상이 발생하기 이전 시점인 재부팅 전에 해당 악성코드나 레지스트리 값을 제거하면 비정상적인 부팅 현상의 발생을 사전에 해결할 수 있다.

※ 응급 수동 조치 방법

악성코드 감염 후 재부팅을 시도해 시스템이 정상적으로 시작되지 못하는 경우 다음과 같이 진행한다.

1. 다른 정상 컴퓨터에 감염된 하드 디스크(HDD)를 슬래이브(Slave)로 연결하고, 최신 '엔프로텍트 안티바이러스' 제품으로 전체 검사를 수행하며, 탐지되는 모든 악성코드를 치료 또는 제거한다.

2. 다음과 같이 레지스트리 편집기를 이용해 악성코드가 생성한 비정상적인 레지스트리 값을 제거하는 과정을 진행한다. 반드시 감염된 하드 디스크(HDD)가 슬래이브로 연결된 상태여야 한다.

ⓐ 정상적으로 부팅된 컴퓨터에서 레지스트리 편집기를 실행한다. (시작버튼 ▶ 실행 ▶ regedit.exe)

ⓑ 레지스트리 편집기 화면에서 HKEY_LOCAL_MACHINE 값을 선택한다.

ⓒ 파일(F)메뉴에서 하이브 로드(L)를 선택한다.

ⓓ 슬래이브로 연결한 감염 디스크 시스템 하위 경로의 config 폴더에서 software 파일을 선택 후 열기를 한다.

ⓔ 키 이름에 임시로 정한 이름을 입력한다.

ⓕ HKEY_LOCAL_MACHINE\임시 생성 키 이름\Microsoft\Windows NT\CurrentVersion\Driver32 경로에서 midi9 값을 삭제한다.
ⓖ (HKEY_LOCAL_MACHINE\임시 생성 키 이름)을 선택하고 파일(F) 메뉴 -> 하이브 언로드(U)를 선택한다.
ⓗ 슬래이브로 연결했던 하드 디스크를 감염되었던 컴퓨터에 다시 마스터로 부착한 후 재부팅하여, 정상적으로 부팅이 이루어지는지 확인한다.

하우리는 전용백신을 개발해 현재 배포하고 있습니다.

* 부팅장애 전용백신 [Trojan.Win32.Delf.* 전용백신] http://www.hauri.co.kr/customer/download/vaccine_view.html?uid=70&page=1&keyfield=&key=

* 하우리 보안대응센터 보안공지 참고
http://www.hauri.co.kr/customer/security/alert_view.html?intSeq=21&page=1

2009/10/16 15:01 2009/10/16 15:01