월간 CONTENTS 3 EXPERT COLUMN 영화 제이슨본, 현실과얼마나닮았나 6 SPECIAL REPORT IoT 보안위협과대응방안 IoT 플랫폼에서의보안해결책은? 12 PRODUCT ISSUE 안랩, V3 제품군랜섬웨어대응기능업그레이드 V3,

Transcription

1 안랩온라인보안매거진 IoT Security

2 월간 CONTENTS 3 EXPERT COLUMN 영화 제이슨본, 현실과얼마나닮았나 6 SPECIAL REPORT IoT 보안위협과대응방안 IoT 플랫폼에서의보안해결책은? 12 PRODUCT ISSUE 안랩, V3 제품군랜섬웨어대응기능업그레이드 V3, 랜섬웨어대응도한발앞서다 15 FOCUS IN-DEPTH 안랩, 랜섬웨어대응에 ' 적응형보안 ' 제안 18 THREAT ANALYSIS 포켓몬고게임으로위장한랜섬웨어 포켓몬잡으랬더니내파일을! 20 IT & LIFE 개인정보유출사고에대처하는우리의자세 22 STATISTICS 2016 년 7 월보안통계및이슈 24 AHNLAB NEWS 안랩, 2018 평창동계올림픽대회에보안솔루션공식후원 안랩, 무료급식봉사활동 행복한밥상 진행 2

3 EXPERT COLUMN Movie & Security 영화 제이슨본, 현실과얼마나닮았나 제이슨본 (Jason Bourne), 무려 9년만에그가돌아왔다! 광고포스터만봐도귓가에주제곡이들리는 본 (Bourne) 시리즈의열혈팬으로서영화가개봉하자마자설레는마음으로극장을찾았다. 그런데막상영화가시작되자곳곳에등장하는요소들에좀더관심이기울었다. 전작에서도해킹이나감시, 감청등이등장했지만극의전개를위한보조장치로쓰였던반면, 이번에는초반부터사이버공격이등장하고영화전반에걸쳐정보기술 (IT) 을이용한민간인감시및감청을진지하게다루고있기때문이다. 또실제사건을배경으로한영화가아님에도불구하고, 몇년전에발생했던사건이나뉴스를떠올리게하는에피소드나배경도잇따라등장한다. 이글에서는영화 제이슨본 에등장하는 IT 보안에관한내용이현실세계와어떻게, 얼마나닮았는지이야기하고자한다. 다만아직영화를보지못한이들을위해줄거리는최대한생략하며, 이글이영화를보다재미있게감상하는데도움이되기를기대해본다. 올해개봉한영화 제이슨본 은시리즈의근간인 주인공의정체성찾기 를중심으로, 디지털시대의 국가안보와사생활 ( 또는개인정보, Privacy) 의대립 이라는다소무거운주제를담고있다. 이영화에서는미국중앙정보국 (CIA) 이민간인의온라인활동내역을감시하고정보를수집하는, 일명 아이언핸드 라는감시프로그램을위해유명 IT 기업이새로출시하는인터넷플랫폼서비스를이용하려는음모를주요소재로이야기를풀어간다. 이부분에서흥미로웠던점은성공한 IT 기업으로등장하는 딥드림 (Deep Dream) 이란기업에대한설정이었다. 의도한것인지는알수없지만전형적인인도계미국인의이미지로등장한딥드림의 CEO 는구글 (Google) CEO인순다피차이 (Sundar Pichai) 를연상시킨다. 심지어 딥드림 이라는회사명도구글의인공지능인 딥드림 (Deep Dream) 에서차용한것이아닐까싶다. 리버스쉘 (Reverse Shell) 영화초반, 전직 CIA 요원이 CIA 노트북을이용해원격으로 CIA 중앙시스템을해킹하는장면이등장한다. 영화속 CIA는파기처리된, 즉인가되지않은 (Unauthorized) 자산 ( 노트북 ) 이백도어 (Backdoor) 를통해내부시스템에접속한것을실시간으로감지 (Detection) 하고대응 (Response) 에나선다. 이과정에서 CIA는침입한시스템 ( 노트북 ) 의위치를확인하는한편, 침입자가탈취하려는문서폴더에황급히 리버스쉘 (Reverse Shell) 이포함된악성코드 (Malware) 를심는다 ( 영화자막에는 멀웨어 라고영어그대로표현하고있지만, 이글에서는 악성코드 로표현한다 ). [ 그림 1] 영화 제이슨본 포스터 (* 출처 : 영화속 CIA는왜 리버스쉘 을사용했을까? 쉘 (Shell) 은일종의명령어로, 원격의시스템 ( 클라이언트 ) 에서어떤동작이실행되도록하기위해네트워크를통해명령을전달하고결과를응답받을수있는채널을구축하는것을의미한다. 리버스쉘 (Reverse Shell) 은말그대로네트워크의연결방향이쉘 (Shell) 과반대 (Reverse) 로이루어진다고이해하면된다. 3

4 [ 그림 2] 쉘 vs. 리버스쉘 리버스쉘의통신은방화벽 (Firewall) 의특성과관련있다. 일반적으로방화벽은외부에서내부로의접속을통제하는네트워크접근통제솔루션이다. 물론내부에서외부로의네트워크접근도통제하지만전자에비해상대적으로유연한편이다. 이점을이용해내부에서외부의특정네트워크로연결하기위한채널을생성하여외부와통신하는방식이바로리버스쉘이다. 원격지원을통한 AS 서비스나솔루션등이리버스쉘을정상적으로이용하는예라고볼수있다. 반면해커들은이방식을이용해악성코드를타깃시스템의내부에유입시킨후 C&C 통신을통해내부정보를열람하거나외부로유출할수있으며, 심지어 2차공격을위한또다른악성코드까지추가로다운로드할수있다. 이와같이리버스쉘을사용하면목표한내부시스템에접속하여주요권한을획득한후여러악의적인행위를할수있기때문에실제로다양한공격에이용되고있다. 영화에서는리버스쉘이포함된악성코드가이후제이슨본의위치를추적하는데핵심적인역할을한다. 에드워드스노든 (Edward Snowden) 과민간인사찰영화 제이슨본 에는실제인물의이름과사건이잠깐언급되기도한다. 영화초반의해킹사건을 CIA 국장에게보고하는장면으로, 국장이얼마나심각한것이냐고묻자보고자는 스노든때보다더심각할수도있다 (Could be worse than Snowden) 고대답한다. 2013년전세계를떠들썩하게했던실존인물인에드워드스노든 (Edward Snowden) 은 NSA( 미국국가안보국 ) 직원이었으나 CIA로발령이나면서 프리즘 (PRISM) 이라는프로그램을알게된다. 프리즘은 9.11 테러후 테러방지 명목으로 NSA가미국의주요 IT 기업들이운영하는서버에접속하여사용자정보를수집하고분석하는, 정보수집을위한프로그램이다. 더충격적이었던것은미국뿐만아니라전세계에걸쳐민감한개인정보를수집하고분석했다는점이다. 이사실을알게된에드워드스노든은 NSA로복귀한이후프리즘과관련된정보를수집하고, 2013년가디언지를통해전세계에관련사실을폭로했다. 이프리즘프로그램이영화 제이슨본 에서 CIA의민간인사찰프로그램인 아이언핸드 의모습으로다시나타난것이다. 이러한맥락에서이영화는등장인물의대사를통해직접적으로 스노든사건 을언급하고있다. 최근방한했던이영화의주인공인맷데이먼 (Matt Damon) 도한언론사와의인터뷰에서이에대해언급하기도했다. 물론그실제인물 ( 에드워드스노든 ) 에관한이야기는아니다. 하지만우리가스노든이후의세계를살고있는만큼우리모두에게던져진매우복잡한질문을담고있다고할수있다. 말하자면시민사회의구성원으로서우리가안보의중요성을위해포기할수있는선은과연어디까지인가하는것이다 - 맷데이먼인터뷰중에서 한편, 영화속 CIA가테러방지의명분으로민간인사찰을위해 IT 기업의서비스플랫폼을기반으로빅데이터를수집하려는모습에서연상되는기업이있다. 바로 팔란티어테크놀로지 (Palantir Technologies, 이하팔란티어 ) 이다. 팔란티어는빅데이터기반의범죄예측시스템을개발한업체로, CIA, FBI, NSA 등에서첩보및테러방지를위해이업체의솔루션을사용하고있다. 국내에서는다소생소한이름이지만, 기업가치가약 200억달러로평가되는팔란티어는전세계적으로가장핫 (hot) 한 유니콘 ( 기업가치가 10억달러이상인비상장기업 ) 중하나다. 그러나미국정부기관과주요기업이민간인감시를위해팔란티어의기술을활용하고있다보니이업체도 국가안보와개인정보의균형 이라는난제로부터자유롭지못한상황이다. 영화보다더영화같은현실속사이버공격이밖에도영화 제이슨본 에는현실을모방한다양한보안관련이슈가등장한다. 동일한네트워크에존재하는다른기기 ( 스마트폰 ) 를통해원격으로다른시스템을제어하거나데이터를삭제하는장면이나소형디지털기기를이용해사용자의위치를추적하고통신을감청하는장 4

5 면은모바일및 IoT 기기의보안위협을보여준다. 영화속 IT 기업인딥드림과 CIA의불편한관계는얼마전미국연방수사국 (FBI) 이테러용의자수사를목적으로애플에아이폰잠금장치를해제해달라고요구했던사건을떠올리게한다. 또그리스의디폴트 ( 채무불이행 ) 사태와관련된야간시위현장이등장하는장면에서정부기관이정보통제를위해소셜미디어 (Social Media) 를차단하는내용은 2011년이집트시위나 2014년홍콩민주화시위를연상시킨다. 영화속 CIA는민간인사찰을위한개인정보수집에소셜미디어를이용하는데, 현실에서도소셜미디어상의개인정보는정보주체의의도와상관없이악의적으로이용될수있다. 특히, 특정한타깃을노리는공격을위해타깃과관련된정보수집에유용한경로가바로소셜미디어다. 최근전세계주요기관및기업을대상으로지속적으로발생하고있는지능형보안위협 (Advanced Persistent Threat) 의대부분은타깃기관및기업의임직원을공략하는것에서시작된다. 타깃기업의특정인물을겨냥해관심을끌만한내용으로위장한이메일을발송하는스피어피싱 (Spear Phishing) 등을이용하면공격성공률이높아지기때문이다. 이를위해공격자들은소셜미디어를통해공격대상의취미, 관심분야는물론주변인의정보및관계까지파악한다. 이렇게파악된정보를이용해관심을끌만한내용과지인이나업무관련인물의발신자로위장한메일을발송함으로써타깃시스템내부로침투하는것이다. 이러한타깃공격이아니더라도어쩌면우리는이미직 간접적으로감시당하고있을지도모른다. 많은사람들이 1개이상의소셜미디어를이용하고있으며, 우리의의도와상관없이우리의사생활은지인들은물론내가알지못하는사람들에게까지공유되고있다. 또잇따라발생하는온라인개인정보유출사건으로 개인정보는공공재 라는우스갯소리도나오고있다. 이제우리는물리적인장치나형태로존재하는정보뿐만아니라서버에저장된보이지않는정보에대해서도관리해야하는복잡한시대, 무엇이사실이고허구인지구분하기어려운시대를살고있다. 그래서이영화를보는내내섬뜩함을느꼈는지도모르겠다. 너무나현실을닮아있어영화와현실의경계가점차모호해진탓이다. 끝으로, 보안업계종사자라면흥미, 혹은반가움을느낄장면하나를소개한다. 영화의긴장이최고조에달할즈음, 갈등의주역들이라스베이거스의한호텔에서개최되는 엑소콘 (ExoCon) 이라는행사장에모여든다. 주인공뒤편으로낯익은보안업체들의이름이선명하게드러나는이엑소콘은매년라스베이거스에서개최되는 데프콘 (DefCon) 이라는해킹컨퍼런스와 블랙햇 (Black Hat) 이라는보안컨퍼런스의이름과컨셉을따온것으로보인다. 엑소콘 이라는이름에서유명아이돌그룹의콘서트 (Exo Concert) 가아닌해킹컨퍼런스를떠올린것은결코 아재 라서가아니라직업적환경때문인것이확실하다. 참고자료

6 SPECIAL REPORT IoT Security IoT 보안위협과대응방안 IoT 플랫폼에서의보안해결책은? 사물인터넷 (Internet of Things, 이하 IoT) 은환경이변화하면서기존의기술이 ICT(Information and Communication Technologies) 로융합되고분리되는과정에서나온새로운용어일뿐특별히새로운개념은아니다. 그러나최근디바이스기술이빠르게발전됨에따라네트워크로단말을제어하여단순한정보만을제공했던과거와달리다양한정보를생산해내는역할로확대되어가고있어보안의접근에있어서도변화가필요한상황이다. 이글에서는 IoT 환경에서고객의비즈니스를어떻게안전하게보호할수있는지에대해알아보고안랩의 IoT 보안플랫폼에대해서살펴본다. ICT의발달은우리주변의다양한사물들의네트워크화를촉진시켜모든것이연결되는초연결사회를도래시켰다. 초기 IoT는 M2M(Machine to Machine), 즉주로대규모인프라설비나산업시설을대상으로설비의운영효율을높이는데초점을맞췄다. 그러나최근 IoT 환경은모바일, 클라우드, 빅데이터와같은다른 IT 기술과의연계를통해한단계더진보된사업모델을제시하는것에초점이맞춰져있다. 글로벌기업의 IoT 플랫폼기반서비스그럼 IoT 플랫폼기반의서비스를진행하는글로벌기업들은어떻게접근을하고있을까? 애플은지난 2015년스마트폰으로집안의기기들을제어하는스마트홈플랫폼인 홈킷 (HomeKit) 을출시했다. 이를통해집안의조명과온도조절은물론창문의그늘까지도제어할수있는서비스를제공한다. 홈킷은 ios9부터지원되며스마트기기를제어하는허브역할을주도하고있다. 특히아이폰, 아이패드등애플의디바이스를비롯해이와연결된아이클라우드 (icloud), 아이튠즈 (itunes) 등과의결합으로스마트홈영역의 IoT 플랫폼서비스를보여주었다. 구글도지난 2015년스마트홈관련새로운 IoT 플랫폼을발표했다. 기존스마트홈플랫폼인 네스트 (Nest) 보다진화된 IoT 전용운영체제인 브릴로 (Brillo), 개방형표준통신규약인 위브 (Weave) 등이다. 즉, 구글의 IoT 플랫폼에서브릴로는 IoT 시스템의구동을, 위브는 IoT 기기와클라우드서버, 스마트폰사이의통신을담당한다. 삼성전자도초소형규격그리고최고수준의저전력 IoT 통합개방형플랫폼인 아틱 (ARTIK) 을전세계에공개했다. 아틱은내장된기능에따라조금씩차이는있으나 CPU를비롯하여 D램, 낸드플래시, 블루투스등을통합시킨 SoC(System-on-Chip) 형태의통합형개발보드이다. 여기에개방형하드웨어위에서동작하는소프트웨어플랫폼인 아두이노 (Arduino) OS 를접목했다. 더불어오픈클라우드영역에스마트싱스 (SmartThings) 의 사미 (SAMI) 를결합시킴으로써아틱플랫폼기반하에서어떠한기기와도연동이가능하도록접근성을높였다. IoT 산업의성장과보안위협위에서언급한것과같이글로벌기업마다 IoT 플랫폼기반의서비스를마련하는이유는 IoT 디바이스수나시장규모의예측을통해서확인할수있다. 글로벌리서치기관인가트너는 IoT 디바이스수가 2016년 64억개에서 2020년까지 208억개로증가할것으로예측했다. 또한 IoT 디바이스의개당평균가격을대략 145달러로추정했을때 2020년시장규모를총 3조달러로전망했다. 이밖에프리스티지애널리틱스에서는스마트홈시장을 2016년 690억달러에서 2020년 1,115억달러로확대될것으로내다봤다. 이렇게큰폭의성장이예상되는 IoT 산업은 ICT 기반기술과의융합을동반하는복잡한기술생태계를형성하고있기때문에영역을넘나드는크로스도메인 (Cross Domain) 과크로스계층 (Cross Hierarchy) 의보안기술개발이필요하다. 6

7 [ 그림 1] IoT 보안위협사례 현재 TV와냉장고같은가전제품에서부터자동차해킹을통한원격제어에이르기까지 IoT 디바이스의확대로인한보안의위협이지속적으로증가하고있다. 그로인한기업의비즈니스문제와국가차원의사회적문제까지로크게확대되어이슈화될것으로예상된다. 실제발생한사례를보면, 10만개의가전제품이대량의스팸메일에악용되어정상적인서비스가불가능하게하고, 차량의펌웨어를변조하여제어권을획득한후차량의안전을위협하는일들이발생했다 ([ 그림 1] 참고 ). 이러한보안위협은가전, 차량과같은특정도메인에만국한된것이아니라다양한산업영역에서도발생되고있다. 예를들어 개인정보나스마트홈과같은단말기영역 취약한공유기해킹과같은네트워크 산업용제어시스템과같은기반시설의공격등에서이러한양상이나타나고있는상황이다. 이렇게발생된주요해킹의공격방법은주로네트워크취약점을해킹하거나직접적으로디바이스를해킹하여제어권을뺏는방식이다. 이를디바이스해킹이라고하며, 하드웨어를제어하는소프트웨어인펌웨어를해킹하는것으로응용 SW의제어권이해커에게넘어가게되는것을의미한다. 또한사물인터넷서비스확산으로인터넷에연결된디바이스자체가사이버해킹의대상이됨에따라보안에대한위협이더욱증가했다. 실제국내외에서여러해킹사례가있었으나저전력과저사양의플랫폼제약으로인해전통적인보안방법으로이러한환경을보호하기에는아직충분하지않은상황이다. 따라서 IoT 플랫폼에적합한다양한보안기술이적용되어야할필요성이생겨나기시작했다. [ 그림 2] 공격위협의접근방식으로살펴본 IoT 보안위협 공격위협의접근방식측면으로 IoT 보안위협을살펴보면 물리적접근위협 논리적접근위협 네트워크공격위협등 3가지가있다 ([ 그림 2] 참고 ). 우선물리적접근위협으로는저장장치자체를직접탈취하여펌웨어를분석한후취약점을발견하여암호키유출, 파일위 변조, 데이터변조 유출, 악성코드삽입등의행위가가능하다. 또한논리적접근위협으로는대표적으로인젝션공격을들수있다. 이는정상적인프로세스의인젝션공격을통해루트 (Root) 권한을획득할수있으며, 이를통해암호키유출이나데이터변조 유출행위를할수있다. 이외에도네트워크도 감청을통해획득된정보를외부 C&C 서버와통신하여데이터를유출할수있는네트워크공격도발생할수있다. 물론이러한각각의보안위협에따라인증, 권한제어, 암호화같은전통적인보안기술이존재한다. 하지만 IoT 플랫폼에는구조적제약사항들이있다. 7

8 첫째, 급증하는악성코드에대해기존의시그니처매칭기술로대응하기에는한계가있다. 둘째, IoT 플랫폼에최적화하여소형화된반도체에기존의복잡한보안기술을적용하는데어려움이있다. 셋째, 최신의보안상태를유지하기위한보안업데이트나패치를수행할경우재인증과같은비용이많이소요된다. 결론적으로, 최근다양한 IoT 플랫폼에기존고비용의보안기술을적용하기에는적합하지않다는것이다. IoT 공통보안 7대원칙그렇다면 IoT 플랫폼에서의보안문제는어떻게해결해야할것인가. 앞서언급한것과같이 IoT 플랫폼환경에서의보안의문제가대두되고있지만, 지금까지는기본적으로고려되어야하는공통보안원칙이없었다. 그러나이러한문제를해결하기위해 IoT 국제표준인증인원엠투엠 (onem2m) 이생겨났으며, 올신얼라이언스 (AllSeen Alliance), OIC(Open Interconnect Consortium) 등을통해다양한기업들이비즈니스환경을주도하기위한표준화경쟁에나서고있다. 국내에서는지난 2014년 10월미래부에서 IoT 정보보호로드맵 을수립하여, 하드웨어기반의경량 저전력암호모듈사용과 SW 위 변조방지기능이내재된보안운영체제로사물보안문제를해결하도록제시했다. 여기에는 IoT 플랫폼과서비스에대한설계, 유통과공급, 유지보수에이르기까지모든단계에걸쳐보안을내재화하는내용을담고있다. 또한, KISA 주관으로구성된 IoT 보안얼라이언스에서는 IoT 공통보안 7대원칙 을제정하여 IoT 보안에대한세부가이드라인을공유했다. 구분 내용 1 정보보호와프라이버시강화를고려한 IoT 제품ㆍ서비스설계 2 안전한소프트웨어및하드웨어개발기술적용및검증 3 안전한초기보안설정방안제공 4 보안프로토콜준수및안전한파라미터설정 5 IoT 제품ㆍ서비스의취약점보안패치및업데이트지속이행 6 안전한운영ㆍ관리를위한정보보호및프라이버시관리체계마련 7 IoT 침해사고대응체계및책임추적성확보방안마련 [ 표 1] IoT 공통보안 7대원칙 (* 출처 : KISA) 이 7대원칙에는 IoT 장치와서비스의제공자 ( 개발자 ) 그리고사용자가제품설계에서부터침해사고발생시책임추적성까지전체영역의보안요구사항을고려해야하는내용이포함되어있다. IoT 플랫폼보호를위한보안요소기술사물인터넷정보보호로드맵에서제시하고있는 IoT 플랫폼에대한보안대책은사실새로운보안기술은아니다. 이미 2003년인텔, AMD, IBM 등이설립한트러스티드컴퓨팅그룹 (Trusted Computing Group, TCG) 에서관련기술표준을만들어배포한바있다. 이러한표준에근거하여실제애플의 ios 보안아키텍처나삼성의녹스 (Knox) 보안플랫폼에적용되기도했다. [ 그림 3] IoT 보안플랫폼 (* 출처 : Trusted Computing Group) 8

9 이 TCG 표준에는시스템온칩 (SoC) 의형태인 TPM(Trusted Platform Module) 과같은하드웨어영역의보안부터시큐어 OS, 암호화 인증, 통합관리영역까지대표적으로 7개의보안영역이포함되어있다. 지금부터이 7개의보안영역에대해자세히살펴보자. TPM(Trusted Platform Module) IoT 환경은사물 (Things) 에대한접근이용이하여, 아무리강력한인증체계와암호를사용한다해도키 (Key) 를소프트웨어로저장할경우쉽게해독이가능하여위험에노출될확률이높다. 따라서키의복제나변조가불가능하도록하드웨어기술을사용해야하는데이부분에 TPM을활용한다. TPM은마이크로소프트, 인텔등이참여하는트러스티드컴퓨팅그룹 (TCG) 에서만든표준기술로소프트웨어기반보안기술의한계를극복하기위해등장했다. TPM은국제표준 (ISO/IEC 11889) 의보안전용마이크로프로세서로디바이스식별과인증그리고암호화와장치의무결성을보장하는시큐어부팅기술을이용할수있다. 시큐어부팅과정에서 UEFI, OS 로더, 커널, 시스템드라이버, 시스템파일등을각각암호화한고유의해시값을 TPM에저장한다. 그뒤 IoT 기기를부팅하거나새로운실행명령이내려질때마다내부소스코드에대한고유해시값을 TPM에저장한해시값과대조해위 변조여부를확인한다. 그러나 TPM의경우보안성이뛰어나고응용할수있는부분도다양하지만상대적으로고가라는단점이있다. TPM의대안으로 AES(Advanced Encryption Standard) 나 ECC(Error Correction Code) 와같은알고리즘등을적용한소형암호인증전용칩을사용하면가격부담없이강력한인증과암호기능을적용할수있다. 시큐어부트 (Secure Boot) 시큐어부트 역시 TCG에서개발한안전부팅기술이다. 소프트웨어의무결성을훼손하는위 변조행위를탐지 복구함으로써제로데이공격이나봇, 백도어등의위협에미탐이나오탐없이대응할수있다. 디바이스에서전원을켜고 OS가시스템통제권을가져가기전에리눅스커널과시스템의암호화된서명을확인하고, 보안인증된파일의경우에만실행하게한다. 부팅이완료된후에는수시로커널과시스템파일을체크해훼손된경우원래의이미지로복원시켜시스템의무결성을확보하는것이다. MAC(Mandatory Access Control) 강제적접근제어 (Mandatory Access Control, MAC) 는낮은수준의주체가높은수준의객체의정보에접근하는것을제한하는접근제어기술이다. 정상적인애플리케이션은리소스접근에대해리눅스커널에서제공되는 SMACK(Simple Mandatory Access Control Kernel) 이라는모듈을통해허용이가능하다. 반면악성코드가포함된비정상적인애플리케이션은사전에정의된허용가능한접근정책, 즉, 화이트리스트정책이없기때문에리소스접근을거부 (Deny) 당하게된다. 이기술을좀더자세히설명하면, LSM(Linux Security Module) 인터페이스를통해리소스접근을할때기본적으로리눅스커널에서제공되는보안모듈을이용하게된다. 이때사용자가정의한화이트리스트의유무에따라리소스접근을허용하거나거부할수있게하는커널보안기술로기존에알려지지않은악성코드나지능형위협 (APT) 공격과같은대응에강력한보안을제공하는특징을갖는다. 파일시스템암호화 (File System Encryption) 및통신암호화 (Communication Encryption) 앞서언급했듯이 IoT 플랫폼의경우, 저장장치를떼어내어쉽게정보를획득할수있기때문에개인정보나금융정보등중요정보의탈취를예방하기위해반드시암호화가필요하다. 파일암호화관련공개기술은 ecryptfs를사용할수있다. 통신암호화는공개된 SSL(Secure Socket Layer), IPSec 표준암호화프로토콜등을이용하여 IPSec VPN과 SSL VPN을활용하여센서와게이트웨이간또는센서와서버간통신을암호화하여중요정보유출이나가로채기공격등을방어할수있다. 인증 (Authentication) 사용자 기기 애플리케이션인증의경우, 제조사서명검증과같은애플리케이션단의기기인증과 OTP/ 패스워드와같은사용자인증이있다. 최근에는기존패스워드와같은보안방법에추가적으로보안을높이기위해 FIDO(Fast Identity Online) 와같은인증프로토콜을사용한다. 대표적인것으로삼성페이와같은모바일결제서비스에서사용자인증으로활용되고있다. 보안관리 (Security Management) 마지막으로살펴볼것이관리와운영측면에서의보안이다. 기존의대부분사물 (Things) 은패치나업그레이드시의보안문제에대해제대로구현된사례가많지않다. 하지만업데이트서버해킹을통한업데이트파일변조는동시다발적인오작동을유발하여대형사고로까지이어질수있는매우심각한문제이다. 따라서단말에대해전자서명을이용한패치파일무결성을보장하고디바이스위치와상태추적, 장애발생감시, 성능검사, 펌웨어업그레이드등을위해 TR-069(Technical Report 069) 프로토콜, OMA-DM(Open Mobile Alliance-Device Management) 프로토콜을사용한다. 디바이스에대한전반적인보안관리를중앙서버에서모니터링을하면서최신보안정책을유지하는것이중요하다. 지금까지 IoT 플랫폼을전체적으로보호할수있는보안요소기술을살펴보았다. 이론적으로는보안하드웨어, 보안 OS, 개발환경통합등다양한보안요소기술을적용하면안전한 IoT 플랫폼을구현할수있다. 하지만앞서소개한모든기술을최소화된단말에적용하기란현실적인어려움이존재한다. 따라서비즈니스에적합한플랫폼을선정하고해당하드웨어, OS 환경에최적화된보안표준요소기술을활용하는것이무엇보다중요하다. 9

10 IoT 보안이슈와사례 : 스마트홈보안위협지금부터는 IoT 플랫폼영역의하나인스마트홈영역에대해좀더알아보고자한다. 2000년대초반가전업체들은전력선을활용해집안의냉장고 세탁기를원격조정하는시스템을선보였다. 여기에 스마트 (Smart) 라는단어가붙으면서확장되어불리게된것은 2010년이후다. 세계적인수준인한국의스마트가전과네트워크통신기술에비해스마트홈은아직저조한보급률을보이고있다. 하지만스마트홈시장은네트워크연결가속화에따라국내스마트가전과통신업체들로부터새로운성장동력으로기대를모으고있는상황이다. 이러한변화속에서통신사들은스마트홈시장의주도권을선점하기위해 LTE 무선망이나기가급유선망을통한홈네트워크시스템개발에주력하고있다. 이러한스마트홈환경에있어서의보안은과연안전할까? [ 그림 4] 월패드를악용한공격시나리오 안랩은공동주택에서홈네트워크의허브역할을하고있는월패드시스템에서발생할수있는보안위협을분석했으며, 대표적으로 3 가지형 태의공격을확인했다. 월패드를이용한공격 3 가지는 강제패킷전송을통한기기제어 월패드권한획득을통한제어권장악 원격으로 PC 와스마트폰을이용한공격등이다. 그럼각각의공격과대응을위해서는어떤보안기술을사용할수있는지살펴보자. 강제패킷전송을통한기기제어공격과대응방법 공격자는동일세대의네트워크망의패킷을캡처한후변조된패킷을발생시켜월패드접속한다. 이를통해집안내의조명과도어락등의기기를제어하며, 도청과도촬도가능하다. 이경우의보안방법으로는앞에서소개한커널접근제어기술인 LSM의 MAC 방식을이용하는것이다. 이기술을통해네트워크에서보내는패킷의상태를확인하여해당패킷의정상유무를확인하고비정상적접근의경우제어명령을차단시키는것이가능하다. 월패드권한획득을통한제어권장악공격과대응방법공격자는월패드의계정정보를탈취하여월패드의제어권을장악한후감염된월패드실행파일을실행시켜홈네트워크에연결된스마트기기에임의의공격을시도할수있다. 이에대해화이트리스트검사를통한실행파일변조여부확인후커널접근제어기술인 MAC을이용하여파일시스템변조공격에대한방어가가능하다. 원격으로 PC와스마트폰을이용한공격과대응방법공격자가원격에서월패드시스템서버에접근할때비암호화통신이나네트워크로그인세션관리에서의취약점을이용하여공격을시도할수있다. 이는통신시아이디, 패스워드가그대로노출된정보를활용하거나데이터재생공격등을통해제어가가능하다. 이에대한보안대책은기기인증이나사용자인증을통해 1차로방어가가능하고, 추가적으로통신구간자체를암호화하는방법으로원격제어공격을원천적으로예방할수있다. 안랩이분석한 3가지공격방법이외의다른공격을예방하기위해서는전세대의기기의안정성을유지해야한다. 이를위해전자서명을이용한업데이트나패치파일을중앙에서제공함으로써최신의보안정책이실시간적용될수있어야한다. 안랩의 IoT 보안플랫폼지금까지 TCG 기반의 IoT 플랫폼의보안요소기술과스마트홈보안위협에대해알아보았다. IoT 보안위협은아직멀게느껴지지만실제로취약점이존재하고이를악용한보안사고들이발생하고있다. 특히, IoT 보안위협은금전적인손해정도로그치는것이아니라프라이버시침해, 사회적재해, 인명사고로이어질수있을만큼위협적이므로지금이라도보안에대한준비가필요하다. 10

11 [ 그림 5] 안랩 IoT 보안플랫폼 안랩은 IoT 플랫폼을안전하게보호하기위해서 FIDO와같은진보된사용자인증은물론데이터암호화나통신암호화기술에서부터애플리케이션및네트워크기반의커널보안기술까지 IoT 플랫폼의전체영역에대해서보안을제공하기위해노력하고있다. 특히, 스마트홈과관련된비즈니스분야에서다양한 IoT 디바이스제조사나소프트웨어개발사들과의협력을통해안전한 IoT 환경을만들어나가는데주력할방침이다. 11

12 PRODUCT ISSUE V3 & Ransomware Response 안랩, V3 제품군의랜섬웨어대응기술및기능업그레이드 V3, 랜섬웨어대응도한발앞서다 랜섬웨어에감염되어파일이암호화되고나면공격자에게돈을지불하지않는한파일복구가거의불가능하다는것은널리알려진사실이다. 결국감염되지않도록예방하는것만이최선이지만, 전세계적으로신 변종랜섬웨어가급격하게증가하는반면마땅한예방책은없는실정이다. 안랩은자사기술과제품을기반으로 랜섬웨어멀티레이어드대응 (Multi-Layered Detection & Response) 체계를마련하고, 다양한진단기술과기능추가를통해랜섬웨어대응력을지속적으로강화하고있다. 특히지난 6월 V3 제품군에디코이진단기술을적용한데이어, 최근에는 랜섬웨어보안폴더 기능을추가하는등엔드포인트에서의능동적인랜섬웨어대응강화를꾀하고있다. 안랩이자사윈도우용 V3 제품군의랜섬웨어대응강화를위해 랜섬웨어보안폴더 기능을추가했다. 새로추가된랜섬웨어보안폴더는 V3 365 클리닉, V3 Lite를비롯해 V3 인터넷시큐리티 9.0(V3 Internet Security 9.0), V3 엔드포인트시큐리티 9.0(V3 Endpoint Security 9.0), V3 넷포윈도우서버 9.0(V3 Net for Windows Server 9.0) 등개인및기업용 V3 제품군에서이용할수있다. 파일암호화방지의키, 랜섬웨어보안폴더 V3에새롭게추가된 랜섬웨어보안폴더 기능은사용자가지정한폴더에허용하지않은프로세스가접근하는것을차단하는기능이다. 사용자가중요한파일이저장된폴더를 랜섬웨어보안폴더 로설정하면해당폴더내파일에대한수정이나삭제, 또는해당폴더안에새로운파일을생성하는것을방지한다. 따라서만일랜섬웨어가 PC에유입되더라도보안폴더로지정된폴더내의파일은암호화하지못한다. USB나외장하드등을이용한번거로운백업작업이나복잡한 PC 복구설정과달리, 간단한설정만으로중요한파일이암호화되는것을방지할수있어랜섬웨어피해예방에실질적인효과를발휘할전망이다. 또별도의복구솔루션도입도필요하지않아기업의보안비용부담과운영및관리부담까지해소할수있을것으로기대된다. 12

13 [ 그림 1] V3 랜섬웨어보안폴더설정 랜섬웨어보안폴더기능은 [ 그림 1] 과같이 환경설정 에서사용여부를선택 (On/Off) 할수있으며, 마찬가지로환경설정에서보호할폴더의경로를지정할수있다. 랜섬웨어보안폴더대상설정 에서 추가 버튼을통해최대 100개까지폴더지정이가능하다. 단, 운영체제구동과관련된폴더및파일은수시로변경이필요하기때문에해당폴더는랜섬웨어보안폴더로설정할수없다. 랜섬웨어보안폴더로지정된폴더에허용되지않은프로세스, 즉편집시도가발생할경우 [ 그림 2] 의왼쪽과같은 접근차단 알림창이나타난다. 또랜섬웨어가주로사용하는프로세스가확인될경우, 알림창 ([ 그림 2] 오른쪽 ) 을통해상세한안내를제공한다. 랜섬웨어가주로사용하는프로세스는허용프로세스로추가할수없다. [ 그림 2] V3 랜섬웨어보안폴더알림창 신 변종랜섬웨어에대해보다강력하게대응하기위해 랜섬웨어보안폴더 로설정된폴더내파일에대한편집이원천적으로제한된다. 사용자가해당폴더내의파일을수정등편집하기위해서는환경설정에서 랜섬웨어보안폴더사용 을비활성화하거나 허용프로세스설정 기능을통해수정을원하는파일에대해예외처리를해야한다. 단, 이경우랜섬웨어감염시해당파일이암호화될우려가있다. 편의를위해서는가급적수정이완료된중요문서나수정이불필요한사진, 영상등이보관된폴더를보안폴더로지정하는것이좋다. 미끼 를물어버리게하는디코이기술안랩은지난 6월, V3 제품의신 변종랜섬웨어진단강화를위해 디코이 (Decoy) 진단 기술을새롭게적용했다. 디코이진단이란말그대로랜섬웨어를유인하는미끼 (Decoy) 를이용하는기술로, 특정한파일및폴더를이용해암호화또는파일명변경등을시도하는프로그램을탐지및차단한다. 안랩은 V3 제품군의디코이진단기술적용후 2개월여간사용자의견을수집하였으며, 9월중패치를통해디코이기능의사용자편의성을 13

14 강화하고최신랜섬웨어동향을반영할예정이다. 기존에는 숨김폴더 속성을이용해루트 (Root) 경로에디코이폴더를생성하는방식이었으나, 이번업데이트를통해숨김폴더옵션을활성화 (On) 하더라도사용자에게는디코이폴더와파일이보이지않도록변경함으로써불편함을최소화했다. 또다중문서변조행위를기반으로랜섬웨어를탐지하는기능도추가된다. 최근일부랜섬웨어는기존의랜섬웨어와달리 PC 감염후랜덤한순서로파일및폴더를암호화한다. V3는다수의문서를변경하는행위를탐지함으로써효과적으로대응한다. 이밖에도최신랜섬웨어를포함해시스템재부팅시함께시작되도록설정하는기능을가진악성코드를차단하는기능이추가되는등 V3의악성코드대응력을한층강화했다. 안랩은강력한랜섬웨어대응을위해 V3 제품군및 MDS를비롯한다양한자사제품의진단기술과기능을지속적으로개발및개선하고있다. 기업환경및비즈니스특성에따라 V3와지능형위협대응솔루션 AhnLab MDS를따로, 또같이이용함으로써더욱강력한멀티레이어드대응 (Multi-Layered Detection & Response) 이가능하다. 또한안랩은지난 7월부터자사홈페이지를통해신 변종랜섬웨어탐지및격리프로그램인 안티랜섬웨어툴 베타버전을개인및기업에무료로제공하고있다. 한편이번 V3 제품군업데이트와관련해이호웅안랩연구소장은 V3 제품군은이미시그니처, 클라우드, 행위기반, 디코이진단등랜섬웨어를비롯한최신보안위협대응기술을제공하고있다 며, 이번업데이트로개인과조직의전반적인보안위협대응수준을향상시킬수있을것으로기대한다 고말했다. 14

15 FOCUS IN-DEPTH AhnLab EPP Strategy AhnLab Endpoint Protection Platform Strategy 안랩, 랜섬웨어대응에 적응형보안 제안 디지털비즈니스시대의보안바야흐로디지털비즈니스시대가본격화됐다. 디지털세계와물리적세계의경계를무너뜨린디지털비즈니스의성장은단순히기존비즈니스에 IT 기술을접목시킨것이아닌, 새로운비즈니스모델을탄생시키고있다. 한발더나아가최근에는클라우드 (Cloud), 소셜미디어 (Social Media), 인공지능 (Artificial Intelligence), 사물인터넷 (IoT), 빅데이터 (Big Data) 등 IT 기술을활용한디지털트랜스포메이션 (Digital Transformation) 이화두가되고있다. 디지털트랜스포메이션은기술 (Technology) 뿐만아니라사람 (People), 프로세스 (Process) 의변화까지포함하는것으로, 기업의경우비즈니스전반에걸친변혁이요구되는길고험난한여정이다. 그럼에도불구하고많은기업들은이러한급격한변화를그어느때보다도빠르고적극적으로수용함으로써자신들이속한비즈니스생태계에서의생존과더불어새로운시장발굴의기회를모색하고있다. 보안측면에서도디지털비즈니스의확대는기존과전혀다른시각의접근이필요하다. 디지털비지니스의확대는단순히기존위협 (Risk) 의확대가아닌지금까지예측할수없었던새로운디지털위협 (Digital Risk) 의발생을예고하고있다. 따라서예측하기어려운알려지지않은위협이라면사전방어는더욱어려울수밖에없다. 이에글로벌리서치기관인가트너는새로운위협이등장하는시대에는사전대응을중심으로하기보다보안사고가발생하더라도유연하게대응할수있는복원능력 (Resilience) 관점의보안전략을수립해야한다고강조하고있다. 즉, 이제기업의보안또한디지털비즈니스가가져오는변화에대한흡수력을갖추는동시에변화의적응과정에서잠시발을헛디디더라도금세일어나대응할수있는회복탄력성을갖추는것이중요하다는것이다. [ 그림 1] 보안패러다임의변화 (* 출처 : Gartner) 15

16 고객이현재겪고있는보안위협, 랜섬웨어보안업체는곧닥칠디지털비즈니스시대의새로운위협에대해준비해야하는숙명을안고있다. 그러나그에앞서고객이현재겪고있는보안위협에대응하는것도보안업체의최우선과제다. 현재전세계수많은기업들은랜섬웨어 (Ransomware) 라는악랄한악성코드에위협당하고있으며, 이를해결해줄솔루션을찾고있다. 최근급격히증가하고있는랜섬웨어가기업의핵심적인비즈니스자산을생성및관리하는시스템을장악하는사건이잇따라발생하고있다. 이제랜섬웨어는전세계적으로가장심각한보안위협이되었다. 2015년 10월에발간된사이버위협얼라이언스 (Cyber Threat Alliance) 의 수익성좋은랜섬웨어공격 : 크립토월 3.0 위협분석 (Lucrative Ransomware Attacks: Analysis of the CryptoWall Version 3 Threat) 보고서에의하면, 크립토월 3.0의제작자는전세계적으로 3.25억달러 ( 한화 3900억원 ) 의수익을올린것으로추정된다. 해당보고서가지난 2015년 1월에크립토월 3.0이발견된후 9개월이지나발간되었다는점을고려하면크립토월 3.0은한달에약 350억원이상의범죄수익을발생시킨것이다. 크립토월외에도수많은랜섬웨어가지속적으로나타나고있어랜섬웨어에의한전체피해액은족히수조원이상에달할것으로추론된다. 랜섬웨어는일반적인소프트웨어처럼기능등을보완한업그레이드버전을계속내놓는가하면, 백신프로그램을우회하기위해다양한공격기법과신 변종악성코드를활용하는지능형위협공격 (Advanced Persistent Threats) 의양상을띠는등무서운속도로진화하고있다. 그러나대개장기적으로잠복하는 지능형악성코드 와달리랜섬웨어는파일암호화등을위한최소한의사전작업이후에는스스로를노출하고제한된시간내에신속하게금전결제를하도록유도하는적극성을띤다. 이러한이유때문에기존의보안솔루션만으로는랜섬웨어의유입을사전에완벽하고차단하고탐지하기에는한계가있다. 안랩의랜섬웨어대응책, V3 + MDS 안랩은엔드포인트보안솔루션인 V3 인터넷시큐리티 (V3 Internet Security, 이하 V3) 와지능형위협대응솔루션인 MDS의상호연동을통해랜섬웨어에효과적으로대응한다. V3는시그니처와클라우드기반의위협인텔리전스를기반으로평판및행위기반등의진단기술을이용해랜섬웨어를탐지및차단한다. 특히행위기반진단기술을고도화해랜섬웨어의유입, 실행, 파일암호화과정등전단계에걸쳐랜섬웨어의행위를방어한다. 지능형위협대응솔루션인 MDS는기업내부로유입되는파일을네트워크레벨에서수집및탐지하고샌드박스를기반으로신종악성코드및익스플로잇에대해정적및동적분석을수행한다. 또한 MDS는엔드포인트레벨에서 실행보류 (Execution Holding) 기능을이용한능동적인대응을제공한다. 실행보류기능은의심스러운파일이 MDS에서분석되는동안해당파일이 PC 상에서악의적인행위를하지못하도록, 말그대로 실행 을방지하는것이다. 즉, 이기능은신 변종랜섬웨어로의심되는파일이 PC에저장된문서, 사진, 영상등의파일을암호화시키는등의랜섬웨어행위를하지못하도록사전에차단하는한편정밀한분석을통해악성여부를판단함으로써랜섬웨어의위협을확연히줄여준다. MDS의분석결과해당파일이랜섬웨어로판정되면실행을차단한상태에서관리자에게분석결과를알려준다. 해당파일이정상파일로판명날경우에는실행보류를해제하여사용자가파일을정상적으로사용할수있도록허용한다. [ 그림 2] 안랩의랜섬웨어대응전략 : 네트워크샌드박스와엔드포인트보안연계 지금까지의랜섬웨어공격사례를살펴보면랜섬웨어가결국에는엔드포인트를타깃으로공격을시도한다는것을알수있다. 안랩은이러한엔드포인트타깃공격에대비하기위해제로데이 (Zero Day) 공격과악성코드체류기간 (Dwell time) 을현격히줄여주는엔드포인트시큐리티하드닝 (Endpoint Security Hardening) 솔루션을제공하고있다. 대표적인솔루션으로는안티바이러스솔루션인 V3 인터넷시큐리티 9.0, 운영체제 (OS) 와주요애플리케이션의취약점에대한자동패치관리솔루션인안랩패치매니지먼트 (AhnLab Patch Management, APM) PC 취약점자동점검솔루션인안랩내PC지키미등이있다. 16

17 [ 그림 3] 안랩의랜섬웨어대응전략 : 단말의공격표면최소화를위한안랩의엔드포인트보안 고객사례 : A사의 APT 공격과랜섬웨어대응전략안랩의고객인 A사는 APT 공격방어와랜섬웨어차단을위해서안랩 MDS와 V3인터넷시큐리티 9.0을도입하여운영하고있다. A사는 2015 년안랩 MDS를, 2016년에는안랩 V3를잇따라도입했다. A사의경우 MDS를악성코드로의심되는파일을사전에탐지하고유입경로를확인하는솔루션으로활용하고있다. 또안티바이러스솔루션인 V3는혹시나전사네트워크어딘가에남아있을지도모르는악성코드를신속하게찾아내보안위협을제거해주는솔루션으로서의역할을톡톡히하고있다. A사의보안담당자는 안랩의 MDS와 V3 도입이후랜섬웨어로부터자유로워졌다. 네트워크샌드박스장비인 MDS와안티바이러스솔루션인 V3의연동효과가탁월하며, 특히디코이 (Decoy) 진단기법등최신행위기반진단기법이지속적으로추가되고있어더욱신뢰할수있다 고설명했다. A사는 MDS와 V3 도입후달라진변화에대해어떤악성코드가어디서부터어디로유입이되었는지신속하게탐지하고정확하게보안조치를할수있게되었으며, 특히악성코드유입경로를파악하여방화벽등을통해유입경로를차단함으로써추가적인악성코드감염을예방할수있게되어보안위협해결을위해투입되는시간을절감할수있었다고평가했다. 안랩의 EPP(Endpoint Protection Platform) 전략많은보안전문가들은기하급수적인신 변종악성코드와다양하고고도화된공격기법을이용하는보안위협을 100% 예방하거나방어할수없다고얘기하고있다. 글로벌리서치기관인가트너또한현재의보안위협은특정한보안영역에한정된기술만으로완벽하게대응할수없으므로지속적으로부족한부분을개선해나가는 적응형보안 (Adaptive Security Architecture) 이필수임을강조하고있다. [ 그림 4] 적응형보안을위한안랩 EPP 아키텍처 안랩은적응형보안아키텍처완성을위한각보안요소기술에맞는보안제품을선보이고있으며, 그영역을확대하기위한기술개발에박차를가하고있다. 특히, 안랩은기존엔드포인트보안 (Endpoint Security) 영역에서의단순제품공급업체 (Product provider) 를넘어위협인텔리전스 (Threat Intelligence) 를지향하는플랫폼제공업체 (Platform provider) 로의변화를꾀하고있다. 안랩은적응형보안관점에서자사의보안솔루션을연동하고, 애널리틱스 (Analytics) 와모니터링 (monitoring) 기술을지속적으로발전시켜나갈계획이다. 또한고객의지속가능한사업을영위하기위한보안구현을우선순위에놓고, 보안위협대응의리드타임을최소화하여신속하게비즈니스를정상화할수있는 EDR(Endpoint Detection & Response) 체계를구현하고실행하는것을목표로두고있다. 17

18 THREAT ANALYSIS Ransomware 포켓몬고게임으로위장한랜섬웨어 포켓몬잡으랬더니내파일을! 랜섬웨어유포방식이나날이교묘해지고있다. 특히더많은사용자들의감염을유도하기위해최신핫트렌드와관련된파일로위 장하여유포하는사례가늘어나고있다. 최근에는전세계적으로선풍적인인기를끌고있는 포켓몬고 (Pokemon Go) 게임으로위장 한랜섬웨어가등장하여사용자들을위협하고있다. 포켓몬고는현실세계에서직접즐기는모바일용증강현실게임이다. 애니메이션 포켓몬스터 속의친근한캐릭터와스토리에증강현실기술을접목했다. 한국에서는아직공식출시되지않았다. 하지만강원도속초, 울산간절곶에서포켓몬고가실행된다는소식이퍼지자많은게임유저들이게임을하기위해속초, 울산에방문하는진풍경이펼쳐질만큼한국에서도단연화젯거리다. 출시한달만에폭발적인매출과다운로드수를기록하고, 5개분야에서신기록을달성하여기네스북에등재되기까지했다. 한국뿐아니라세계적으로인기를얻고있는이게임으로위장한랜섬웨어까지등장해사용자들의각별한주의가필요하다. 해당랜섬웨어는 [ 그림 1] 과같이게임대표캐릭터를아이콘으로사용했다. 사용자가정상적인게임으로인식하도록위장한것이다. 하지만실체는시스템내파일을암호화하는랜섬웨어다. 파일을실행하면악성행위를시작한다. 감염된시스템내모든드라이브루트경로에자기자신을복사하고, [ 표 1] 의경로에추가악성파일을생성한다. \ 시작프로그램 \ 경로에악성파일을생성했다. C:\Documents and Settings\Administrator\ 시작메뉴 \ 프로그램 \ 시작프로그램 \87121.exe Drive Root:\PokemonGo.exe [ 표 1] 파일생성정보 생성된악성파일은 [ 그림 2] 에서보듯시스템이시작할때마다자동실행되도록설정된다. [ 그림 2] 자동실행프로그램 [ 그림 1] 포켓몬고로위장한랜섬웨어파일 이후에는레지스트리항목을변경한다. UserList 항목에 Hack3r 이라는레지스트리를추가하여, [ 표 2] 와같이시스템내 Hack3r 이라는관리자계정을생성한다. 레지스트리값을 0으로설정한것을볼때, 사용자에게해당계정이보이지않게숨기고자했음을알수있다. 18

19 HKLM\Software\Microsoft\Windows NT\CurrentVersion\ Winlogon\SpecialAccounts\UserList Hack3r = 0 [ 표 2] 변경된관리자계정레지스트리항목 변경된화면이시스템전체화면을가득채우고있으므로다른작업에도방해를받지만, 작업관리자 ( 단축키 : Ctrl+Alt+Del) 에서실행중인악성파일을종료시키면 [ 그림 4] 의화면은사라진다. 해당랜섬웨어는 [ 표 4] 의확장자를가진파일들을암호화한다. [ 표 2] 의레지스트리항목추가로인해 hack3r 이라는이름의관리자계정이생성되었음을 [ 그림 3] 에서확인할수있다. *.txt, *.rtf, *.doc, *.pdf, *.mht, *.docx, *.xls, *.xlsx, *.ppt, *.pptx, *.png, *.odt, *.jpg, *.png, *.csv, *.sql, *.mdb, *.sln, *.php, *.asp, *.aspx, *.html, *.xml, *.psd, *.htm, *.gif [ 표 4] 암호화대상파일확장자 분석결과, 이랜섬웨어는교육용으로제작하여공개된히든티어 (Hidden-Tear) 랜섬웨어의소스코드를활용하여제작됐음이밝혀졌다. 교육용으로제작된소스코드까지악용하여사용자에게피해를주는만큼, 다음예방법을참고하여랜섬웨어에감염되지않도록주의해야한다. [ 그림 3] Hack3r 관리자계정 해당랜섬웨어는 [ 표 3] 의주소로네트워크연결을시도하나, 분석당시에는네트워크연결로인한추가악성행위는이뤄지지않았다. - 의심스러운메일의첨부파일열람금지 - 콘텐츠불법다운로드금지 - 문서 (*.doc, *.ppt, *.pdf, *.hwp), 사진파일등중요파일의백업 :80 [ 표 3] 네트워크연결정보 - 소프트웨어및보안업데이트수시적용 - 상당수의랜섬웨어는소프트웨어취약점을이용한드라이브바이다운로드 (Drive-by-download) 방식으로유포됨 이랜섬웨어에감염되면시스템전체화면이 [ 그림 4] 와같이변경된다. 게임캐릭터와함께아랍어메시지가나타난다. 아랍어를쓰는국가사용자들을대상으로했음을알수있다. 아랍어메시지를번역해보면 PC 내파일들이암호화됐으니, 암호화된파일을복구하려면메일로접촉하라 는내용이다. [ 표 5] 랜섬웨어감염예방법 V3 제품에서는해당랜섬웨어를다음과같은진단명으로탐지하고있다. <V3 제품군의진단명 > Trojan/Win32.Ryzerlo ( ) Trojan/Win32.Ransom ( ) [ 그림 4] 감염후변경된시스템전체화면 19

20 IT & LIFE 개인정보유출사고에대처하는우리의자세 최근국내유명인터넷쇼핑몰가입자의개인정보가대량으로유출되는사고가발생했다. 사실개인정보유출사고는어제오늘일이아니다. 매년최악의개인정보유출사고기록이갱신 (?) 되고, 그사고가잊혀질즈음또다른사고가터지곤한다. 이제는제법큰규모가아니고서는제대로된언론의관심조차받지못할정도다. 개인정보유출사고가발생하면해당기업에대한비판과함께얼마나많은양의정보가어떤경로를통해유출됐는지, 기업은어떤조치를취하고있는지에대한기사가쏟아진다. 그런데정작개인정보유출피해자인우리 ( 개인 ) 는 이번에도또?' 라는생각뿐, 강건너불구경하듯안일한생각을하고있지는않은가? 내정보가유출됐다면진짜중요한것은그이후부터다. 유출된개인정보를이용한 2차, 3차피해가발생할수있기때문이다. 개인정보유출사고가발생했을때, 기업의조치와는별개로개인이해야하는것은무엇인지살펴보도록하자. 혹시내정보도? 유출여부확인부터! 자신이가입한사이트의개인정보유출사고소식을들으면제일먼저자신의정보가유출됐는지부터확인해야한다. 개인정보유출사고가발생한시점과언론을통해보도되는시점은다를수있으므로뉴스를듣는즉시파악하는것이바람직하다. 해당사이트에접속해로그인하면개인정보유출여부및유출된정보의종류등을확인할수있다. 개인정보유출이의심된다면? 개인정보를처리하는기업및기관은개인정보유출이발생했을경우, 홈페이지등을통해지체없이정보주체에게정보유출과관련된사항에대해알려야한다. 그러나해당소식이언론을통해알려지기까지는일정한시간이소요된다. 언론에보도되지않는개인정보유출사고도있을수있다. 해킹으로인한아이디도용이나갑자기증가한스팸문자, 보이스피싱등으로개인정보유출이의심된다면경찰청사이버안전국 ( 국번없이 182), 개인정보침해신고센터 ( 국번없이 118), 대검찰청사이버범죄수사단 ( ) 으로신고및상담을요청하면된다. 또한국인터넷진흥원 (KISA) 이운영하는 개인정보침해신고센터 사이트를통해개인정보침해신고에관한도움을받을수있다. 20

21 같은아이디와비밀번호를사용하는사이트도챙겨야유출여부를확인했다면 2차피해를막기위한조치가필요하다. 일단개인정보가유출된사이트를계속이용할계획이라면바로비밀번호를변경하는것이안전하다. 유출된아이디와개인정보를이용해접속하려는시도가발생할수있기때문이다. 앞으로해당사이트를이용하지않을생각이라면확실하게탈퇴를해두는것도방법이다. 또한유출된사이트와같은아이디와비밀번호를사용하는다른사이트의비밀번호도변경하길권한다. 타사이트에접속하려는시도가있을수있기때문이다. 이때변경하는비밀번호는타인이유추하기어려운임의적인구성의조합으로만드는것이안전하다. 보이스피싱, 스팸, 피싱, 스미싱등 2 차피해주의해야 유출된개인정보는또다른범죄에악용될수있다. 이름, 핸드폰번호, 주소등의개인정보를토대로보이스피싱, 스미싱, 파밍등의범죄를시도해 2차, 3차피해가발생할우려가있으므로특히주의해야한다. 유출사고이후공공기관이나카드사, 통신사등을사칭해이름, 카드번호, 은행계좌번호등을언급하며개인정보나금융정보를요청하더라도절대알려줘서는안된다. 또한솔깃한내용의문자나택배, 초대장등을사칭한문자나이메일을받더라도절대메시지의인터넷주소를클릭해서는안된다. 만일개인정보유출로불법현금인출및카드도용등의 2차피해가발생했다면즉시카드사와금융감독원에알려야한다. < 개인정보오남용피해방지를위한 10계명 > 개인정보처리방침및이용약관꼼꼼히살피기 비밀번호는문자와숫자로 8자리이상 비밀번호는주기적으로변경하기 회원가입은주민번호대신 I-PIN 사용 명의도용확인서비스이용해가입정보확인 개인정보는친구에게도알려주지않기 P2P 공유폴더에개인정보저장하지않기 PC방에서금융거래하지않기 출처가불명확한자료는다운로드금지 개인정보침해신고적극활용하기 (* 출처 : 개인정보보호종합포털 ) 21

22 STATISTICS 보안통계와이슈 안랩, 7 월악성코드통계및보안이슈발표 바로가기파일 (.LNK) 형태로유포되는랜섬웨어주의 안랩시큐리티대응센터 ( 이하 ASEC) 는최근 ASEC Report Vol.79 를통해지난 2016 년 7 월의보안통계및이슈를전했다. 지난 7 월 의주요보안이슈를살펴본다. ASEC이집계한바에따르면, 2016년 7월한달간탐지된악성코드수는 974만 8,954건으로나타났다. 이는전월 1,046만 7,643건에비해 71만 8,689건감소한수치다. 한편 7월에수집된악성코드샘플수는 612만 1,096건이다. 40,000,000 30,000, % 2.19% 11.8% 25.69% 29.89% 28.76% 20,000,000 10,000,000 12,129,597 10,467,643 9,748,954 etc PUP Trojan Adware Worm Downloader [ 그림 2] 2016 년 7 월주요악성코드유형 6,000,000 5,000,000 지난 7 월한달간탐지된모바일악성코드는 40 만 1 건으로집계됐다. 4,000, ,000 3,000, ,000 2,000, ,000 1,000,000 2,957,212 3,022,206 6,121, , , ,001 5월 6월 7월탐지건수샘플수집수 [ 그림 1] 악성코드추이 (2016년 5월 ~2016년 7월 ) [ 그림 2] 는 2016년 7월한달간유포된악성코드를주요유형별로집계한결과이다. 불필요한프로그램인 PUP(Potentially Unwanted Program) 가 28.76% 로가장높은비중을차지했고, 트로이목마 (Trojan) 계열의악성코드가 25.69%, 웜 (Worm) 이 2.19% 의비율로그뒤를이었다. 300, , , , 월 6월 [ 그림 3] 모바일악성코드추이 (2016년 5월 ~ 2016년 7월 ) 7 월 22

23 또한지난 7월악성코드유포지로악용된도메인은 605개, URL은 1,860개로집계됐다. 7월의악성도메인및 URL 차단건수는총 542 만 4,036건이다. 9,000,000 8,000,000 [ 그림 5] 는최근발견된바로가기파일형태의랜섬웨어로, 이랜섬웨어는명령프롬프트 (cmd.exe) 에자바스크립트 (JavaScript) 소스를입력하여악성스크립트를실행한다. 악성스크립트가실행되면특정 URL로연결하여문자열정보를수신한다. 수신된문자열정보는 [ 그림 6] 과같으며, 이를통해자바스크립트 (Javascript) 형태로작성된랜섬웨어악성코드임을알수있다. 7,000,000 6,000,000 6,109,635 5,424,036 5,000,000 4,000,000 5,031,326 40,000 30,000 20,000 10,000 2,691 1, , 월 6월 7월 악성도메인 /URL 차단건수 악성코드유포도메인수 악성코드유포 URL 수 [ 그림 4] 악성코드유포도메인 /URL 탐지및차단건수 (2016년 5월 ~ 2016년 7월 ) 바로가기파일 (.LNK) 형태로유포되는랜섬웨어등장최근바로가기파일 (.LNK) 의확장자로위장한랜섬웨어가발견됐다. 윈도우의바로가기파일은특정파일의대상위치를가지고있는파일로, 실행을위해매개변수사용이가능하다. 이매개변수에특정문자열을추가해의도한동작을수행하도록할수있는데, 최근이를악용한랜섬웨어가등장했다. [ 그림 6] 수신된문자열정보 해당악성스크립트파일은윈도우응용프로그램인 wscript.exe를통해실행된다. 이렇게실행된랜섬웨어는 PC의파일을암호화한뒤감염안내메시지를통해금전지급을요구한다. V3 제품에서는해당악성코드를다음과같은진단명으로탐지하고있다. <V3 제품군의진단명 > VBS/Raalocker ( ) LNK/Downloader ( ) 공격자들은점점다양한방법을통해지속적으로고도화된랜섬웨어를제작및유포하고있다. 랜섬웨어에의한피해를방지하기위해서는평소사용하는백신프로그램의엔진을최신상태로유지하는한편, OS 및주요프로그램의최신보안업데이트를적용하여드라이브-바이-다운로드 (Drive-by-download) 공격을방지하는것이필요하다. 또한중요한파일은평소외장하드등을통해별도로백업해두는것이바람직하다. [ 그림 5] 바로가기파일의매개변수에포함된문자열 23

24 AHNLAB NEWS 안랩, 2018 평창동계올림픽대회에보안솔루션공식후원 안랩은 2018 평창동계올림픽대회및동계패럴림픽대회조직위원회 ( 이하조직위 ) 와 공식 IT보안소프트웨어서포터 (Official Anti- Malware Software Supporter) 협약을체결했다. 안랩은이번후원협약으로 V3 Internet Security(V3 인터넷시큐리티 ) 9.0 AhnLab Patch Management( 안랩패치매니지먼트 ) AhnLab 내PC지키미등 PC보안솔루션과스마트폰용보안솔루션인 V3 Mobile Enterprise(V3 모바일엔터프라이즈 ), 윈도우서버용백신인 V3 Net for Windows server(v3 넷포윈도우서버 ) 9.0 등의보안솔루션을 2018 평창동계올림픽대회및동계패럴림픽대회 에제공할예정이다. 이와함께안랩은조직위로부터평창동계올림픽관련지식재산권사용권리와독점적서비스공급권리, 후원사로고노출권리등다양한마케팅권리를인정받게된다. 권치중안랩대표이사는 안전해서더욱자유로운세상 이라는안랩의새비전처럼이번보안솔루션후원으로 2018 평창동계올림픽이안전하게개최될수있도록최선을다하겠다 고말했다. 또한조직위는 최근지능형보안위협이지속적으로증가하는가운데안랩의보안솔루션을통해안정성이한층강화된올림픽환경을구축하겠다 고전했다. 안랩, 무료급식봉사활동 행복한밥상 진행 안랩임직원들이독거어르신들께점심식사를배식하고있다. 안랩이지난달 18일, 사단법인전국천사무료급식소의서울종로지점에서무료급식봉사활동인 행복한밥상 활동을진행했다. 이번활동은임직원감성지능교육프로그램인 1 의일환으로이날안랩임직원은독거어르신약 300여명을대상으로점심식사재료준비와배식, 설거지등의봉사활동을하며따뜻한온정을나눴다. 이번봉사활동에참여한박제석안랩 IT인프라팀팀장은 평소누군가가차려준식사를하다가, 내가준비한식사를어르신들께서맛있게드시는모습을보니마음의온도가 1 올라간것같다 고말했다. 안랩은 1 프로그램의나눔활동의일환으로지난 3월 소외계층가정대청소 에이어 4월 발달장애청소년과함께하는나들이활동, 6월에는 시각장애아동농촌체험학습활동 등다양한임직원나눔활동을지속전개하고있다. 24

25 발행인 : 권치중발행처 : 주식회사안랩경기도성남시분당구판교역로 220 T F 편집인 : 안랩콘텐츠기획팀디자인 : 안랩디자인팀 2016 AhnLab, Inc. All rights reserved. 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다.

26 경기도성남시분당구판교역로 220 T F AhnLab, Inc. All rights reserved.