안랩온라인보안매거진 Cloud Computing

Transcription

1 안랩온라인보안매거진 Cloud Computing

2 월간 CONTENTS 3 Special Report 클라우드컴퓨팅에대한이해 숫자 로풀어보는클라우드 8 Product Issue 가트너매직쿼드런트에 안랩 이름올렸다 9 Threat Analysis POS 시스템보안위협 1부 _POS 시스템의보안문제, 그리고최근사고 13 Tech Report 스마트폰포렌식과 SQLite 3부 _ 삭제된데이터 가견고한포렌식 증거 가되기까지 17 IT & Life 공인인증서안전하게관리하기안전한인터넷뱅킹의시작! 20 AhnLab News 안랩, 사이버보안인력양성과정협력교육기관으로선정 V3 모바일, 만점 으로 AV-TEST 글로벌인증획득 21 Statistics 2014년 4월보안통계및이슈 2

3 Special Report Cloud Computing 클라우드컴퓨팅에대한이해 숫자 로풀어보는클라우드 2000년대후반, 클라우드컴퓨팅 (Cloud Computing) 이라는이상적인개념이등장하면서 IT 업계에엄청난이슈를몰고왔다. 일부에서는클라우드컴퓨팅은 IT 혁명이아니라 Life 혁명이라고표현하기도한다. 이개념이소개된후부터매년세계적인리서치그룹에서발표하는연례 IT 동향보고서의단골주제로소개되고있으며, 2014년에도여전히주목받고있는주제이다. 클라우드컴퓨팅은 IT 업계종사자라면누구나아는듯하지만, 제대로알기는쉽지않는개념이다. 이글에서는클라우드컴퓨팅에대한이해를돕기위해클라우드의개념과특징을자세히소개한다. 호텔과단독주택, 어디가더좋을까? 어리석은질문일수있겠다. 호텔이좋을지단독주택이더좋을지는상황에따라다를테니까. 짧은기간머물러있다면호텔이낫고장기간살아야한다면단독주택이더나을수도있다. 단독주택은나만사니편하고사생활도보장된다는것이장점이다. 반면, 전기와상하수도등각종관리비를직접지불해야하고, 청소나집수리는물론혹시강도가침입할경우에도직접방어해야한다. 호텔은침대시트도호텔직원이매일바꿔주고청소도해주고전기든물이든비용이얼마가나오든신경쓰지않고편하게살수있다. 나는투숙객으로서단지숙박료만지불하면된다. 호텔도물론단점은있다. 호텔이아무리좋아도결코 나의집 이라부르기는어렵다. 여러사람이함께거주하는공간이고대부분의기물이내소유가아니며, 내방에는호텔직원이청소와점검을위해들어올것이다. 이쯤되면두곳의비교는각자의취향으로정리해야겠지만, 특별한상황하나만더가정해보자. 만약당신에게수십명의손님이갑자기찾아와며칠간머물다가는상황이종종발생한다면그때는어디에사는것이편할것인가? ( 극단적인예를피하기위해단독주택은 5인가족이사는방 4개짜리 40평쯤되는집으로설정하자.) 그경우의답은아무래도호텔이되지않을까? IT(Information Technology) 시스템에도호텔같은서비스가있다. 비용만지불하면서버든저장장치든네트워크든얼마든지추가로늘려서쓸수있다. 소프트웨어개발에필요한프레임워크를빌려쓸수도있고아예개발할필요없이고품질의소프트웨어를바로빌려쓸수도있다. 사용자는돈을내고서비스를이용할뿐자신이제공받는서비스시스템의내부가어떻게구성된것인지어떻게만들어진것인지는알지못한다. 구름속에있는듯내막은잘알수없지만아무튼잘작동하는고품질의컴퓨팅서비스, 이것을일컬어 클라우드 (Cloud) 라고한다. 클라우드가호텔이라면기존에기업들이자체적으로운영하는 IT 시스템은단독주택으로비유할수있다. 단독주택에사는가족들이각자방을하나씩쓰듯이기업 IT 시스템을이루는서비스들도특정한서버를독점해서사용하곤한다. 웹서비스는웹서버에서구동되고 DB 서비스는독자적인 DB 서버에서운영하는것이일반적이다. 이런단독주택형 IT 시스템도평상시에는큰문제없이돌아간다. 그런데갑자기트래픽이라는손님이대량으로밀려오면어떻게될까? 쇼핑몰이라면명절대목때평상시의몇배가되는트래픽이폭주하고안랩과같은보안업체는보안사고가터지면트래픽이폭주한다. 손님이많이찾아왔으니방을늘리면되겠지만빠른시간내에단독주택의방을늘리는건어려운일이다. 기업 IT 시스템도마찬가지, 트래픽이늘었다고해서하루아침에서버를증설하기란쉽지않다. 더군다나트래픽폭주는며칠만감당하면끝나버릴터, 그며칠의대응을위해평소의몇배가되는서버를도입한다면수지타산이맞겠는가? 이런상황에서호텔과같은클라우드서비스는탁월한솔루션이된다. 잠깐찾아온손님이많다면방을필요한만큼빌리고비용만지불하면될테니까. 기업내서비스를목적으로운영되던과거의 IT 시스템과달리현재의 IT 환경은매우복잡해졌다. 서비스종류도다양하고트래픽의변화도예측하기힘든경우가많다. 편의성측면에서보면직접소유하고관리하는시스템이좋지만, 복잡한환경과급격한변화에신속하고유연하게 3

4 대응하는측면에서는클라우드시스템이단연유리하다. 그런까닭때문인지세계적인 IT 리서치기관인가트너 (Gartner) 의연례 IT 동향예측 보고서를비롯해각종 IT 동향보고서에는클라우드가빠지지않는주제이다. 이제클라우드를특징짓는주요개념들을좀더자세히알아보자. 클라우드를이해하는숫자 5, 4, 3 클라우드에대한표준으로가장널리쓰이는자료는미국기술표준협회 NIST(U.S. National Institue of Standards and Technology) 의 NIST Working Definition of Cloud Computing(NIST ) 이다. NIST는클라우드컴퓨팅을 5개의필수적인특징, 4개의전개모델, 3개의서비스모델로설명하고있다. 클라우드컴퓨팅에대한 NIST 의정의 ( 출처 : US NIST) 5: 클라우드의 5가지특징 1) 자원공유 (Resource Pooling) 2) 광대역네트워크접속 (Broad Network Access) 3) 온디맨드셀프서비스 (On-demand Self service) 4) 탄력성 (Rapid Elasticity) 5) 측정성 (Measured Service) 클라우드의가장중요한특징은모든컴퓨터자원 (Resource) 이다수의사용자 (Multi Tenancy) 와 공유 (Pooling) 된다는것이다. 연산을담당하는 CPU, 주기억장치인메모리, 하드디스크와같은저장장치등모든자원은사용자의필요에따라제공된다. 제공된컴퓨터리소스또는서비스는네트워크를통해서어디서나접근이가능하고사용할수있다 (Broad Network Access). 어떤컴퓨터자원을늘려서써야할필요가생기면다른사람의힘을빌릴것없이직접처리할수있다 (On-Demand Self-Service). 그렇기때문에빠르게대응할수있고필요가없어지면역시빠르게사용을중지할수있다. 즉신속하고유연한대응이가능하다 (Rapid Elasticity). 공동의자원을빠르고편리하게언제어디서나사용하기위해서는물론대가가있다. 사용하는만큼돈을내야한다. 따라서클라우드서비스는사용량에대한측정을기본으로한다 (Measured Service). 4: 클라우드전개 (Deployment) 모델 1) 공개형클라우드 (Public Cloud) 2) 폐쇄형클라우드 (Private Cloud) 3) 커뮤니티클라우드 (Community Cloud) 4) 하이브리드클라우드 (Hybrid Cloud) 클라우드서비스의장점은자원을여러사용자가유연성있게할당받아사용하는것이지만한편으론그점이클라우드서비스를꺼리게만드는가장큰이유이기도하다. 클라우드를관리하는사람도우리회사직원이아니고, 서비스를함께이용하는사람도다른회사사람들이라면그시스템을정말믿을수있을것인가? 혹시라도클라우드를함께사용하는사람들중에해커나범죄집단이없으리라고어떻게장담할 4

5 수있는가? 그래서클라우드서비스의기능적인장점은그대로가져가되다른조직의접근이라는보안문제를배제하고자하는전개방식이폐쇄형 (Private) 클라우드이다. 이와상대적으로, 돈을받고제공하는공용자원이라는일반적인개념으로운영되는클라우드를공개형 (Public) 클라우드라고한다. 클라우드시스템은일단구축하면여러가지요구에대응하는유연성은뛰어나지만아무래도초기구축과정에서는빅뱅수준의대규모작업이필요하다. 또클라우드시스템의장점이발휘되려면적정수준의시스템여유가확보되어야하는데그또한단독으로부담하기엔만만치않다. 그래서비슷한사업성격을띄고있거나특정한틀로묶일수있는 ( 계열사관계와같이 ) 조직이함께모여운영하는클라우드전개방식도있다. 이를 커뮤니티 (Community) 클라우드 라고부른다. 마지막으로기업의필요에따라공개형, 폐쇄형, 커뮤니티클라우드를혼용해서운영하는경우를 하이브리드 (Hybrid) 클라우드 라고한다. 3: 클라우드의서비스제공 (Delivery) 모델 1) Software as a Service (SaaS) 2) Platform as a Service (PaaS) 3) Infrastructure as a Service (IaaS) 클라우드서비스에도계층이있다. 가장단순한서비스는핵심적인인프라만빌려쓰는것이다 (Infrastructure as a Service). 서버와네트워크관련장비, 저장장치, 이들을운영하는상면공간등하드웨어와밀접한자원들이이런서비스대상에해당된다. 소프트웨어관련요소는이들하드웨어인프라를추상화시키고사용자관점에서편리하게연결할수있도록제공하는 API(Application Programming Interface) 정도뿐이다. 이모델은건물로치자면전력과수도등기본적인공조설비가갖춰져있고콘크리트벽그대로내장공사도하지않은건물을그대로빌려쓰는것과같다. 내장공사를하고가구를들여놓고어떤용도로사용할지는임대한사용자가알아서해야한다. IT 관점에서는인터넷에연결된, 아무것도설치되지않은서버를그대로두었다고생각하면될것이다. 그서버에설치할소프트웨어와운영할서비스에대한결정은전적으로사용자책임이고인프라운영이외의모든문제에대해서도사용자가해결해야한다. IaaS로잘알려진예는아마존의 EC2(Elastic Compute Cloud) 나 S3(Simple Storage Service) 가있다. IaaS가가장아랫단의기본적인서비스라면가장상위단계인 SaaS(Software as a Service) 는사용자가이용하는애플리케이션까지클라우드에서제공해주는것이다. 흔한예로는구글의지메일이나아마존의 AWS(Amazon Web Service) 를생각해볼수있다. 이런서비스는사용자가직접개발하거나유지보수할필요없이만들어진그대로사용만하면된다. 당연히관리에대한부담이나보안을비롯한각종문제에대한책임도매우적다. IaaS나 PaaS에비해사용자가관여할부분이적은만큼보안문제를비롯한각종관리부담또한적은것이장점이다. IaaS와 SaaS의중간에낀 PaaS(Platform as a Service) 는하드웨어인프라외에사용자가애플리케이션을개발하는데필요한솔루션까지함께제공해주는서비스를뜻한다. 장난감으로비유하자면 IaaS가뛰어놀수있는운동장만제공하는것이고, SaaS가비행기나자동차, 인형과같이완성품장난감을주는것이라면 PaaS는레고블럭처럼무언가직접만들어볼수있는장난감을주는셈이다. PaaS의대표적인예로구글 App Engine을보면사용자는 DB API(Application Program Interface) 와 Python/Java/php 등을기반으로한개발프레임워크를제공받아자기만의애플리케이션을만들수있고완성된프로그램은구글클라우드에서운영할수있다. 영업솔루션으로유명한세일즈포스닷컴역시 PaaS의예로자주언급되는데 php, java,.net 기반의개발도구는물론모바일서비스를구축하기위한 SDK를포함하여세일즈닷컴에연동되는애플리케이션을사용자가개발할수있도록지원하고있다. 클라우드도입을위한보안요소 14 가지 현재클라우드컴퓨팅보안으로가장잘알려진조직은 CSA(Cloud Security Alliance) 이다. 특정국가소속의기관이아닌비영리단체로, 전세계에약 5만명가량의회원을두고있으며클라우드보안에관한기준과가이드를제시하는것을목적으로설립됐다. CSA에서발행된클라우드보안가이드는현재버전 3.0까지나왔는데이자료에서 CSA는클라우드의보안검토요소를 14가지으로나누어제시하고있다. 공개형 (Public) 클라우드서비스를이용하거나폐쇄형 (Private) 클라우드시스템을구축할경우에도이가이드를참고한다면큰도움이될것이다. ( 참고 : 01 클라우드컴퓨팅아키텍처프레임워크 이부분은앞서설명한 클라우드를이해하는숫자 5,4,3의내용과같다. 클라우드서비스의전개모델과제공모델에따라사용자가책임져야할보안영역이다르고보안을적용하는과정도차이가생기기때문에클라우드컴퓨팅의기본구조와차이점을알려주고있다. 02 거버넌스및전사위험관리 클라우드는기본적으로제공자와사용자가서로다른조직이라는걸전제하므로보안에관한양자간합의사항이나주요위험에대한분석과대응절차가심도있게논의되어야한다. 거버넌스는제공자측이나사용자측내부에서도중요하고제공자, 사용자혹은제3자와의관계까지고려해야만한다. 5

6 03 법적이슈 : 계약및전자적증거수집 클라우드서비스는적용과정이나운영상에문제가발생할경우데이터시스템운영주체와사용자간에법적이슈가심각할수있다. 국내의경우인터넷서비스업체가고객데이터를동의없이외국의클라우드서비스업체로이관할경우법을위반하게된다. 데이터유실장애가생길경우전자적증거를보관해야하는법규정도큰이슈가될수있다. 이때문에국내외의각종규제사항을사전에검토하여제공자와사용자간법적책임범위를 SLA에반영할필요가있다. 04 컴플라이언스및감사관리 4는사실상2( 거버넌스 ) 와3( 법적이슈 ) 을묶는역할을한다. 법적기준을파악하는일이3이라면그에대한대응체계를갖추는것이2( 거버넌스 ) 이고실제로행위가이루어지는과정이컴플라이언스이기때문이다. 제공자에게요구되는컴플라이언스를모니터링하기위해서는적절한감사프로세스가사전에수립되어있어야할것이다. 05 정보관리및데이터보안 정보보안의주요목표는시스템과애플리케이션의기초데이터를보호하는것이다. 전통적인 IT 인프라보안과마찬가지로클라우드보안역시정책과통제절차, 관련된보안솔루션에대해기준을수립하는일이핵심적이다. 이에서는 IaaS에서부터 SaaS에이르는각서비스모델의구성요소와그에따른보안사항을설명하고있다. 특히데이터암호화와통신보안은기존시스템에서도중요한문제이지만네트워크에전적으로의존하는클라우드서비스에서는더욱심각하게주의를기울여야함을알수있다. 06 상호운용성및이식성 클라우드서비스는하드웨어로이루어진물리적계층과독립적으로다양한서비스가운영된다. 이기종의환경에서운영되던고객의서비스나데이터가이관될가능성이있고반대로클라우드서비스가종료되어다른업체로기존의데이터를옮겨야할수도있다. 이런경우클라우드서비스간혹은고객과클라우드서비스간데이터가원활하게운용되고이식가능한지여부가중요한고려사항이된다. 07 전통적인보안, 사업연속성, 재해복구 이은전통적인 IT인프라보안과크게다르지않다. 클라우드역시물리적환경을갖추고있고재해에대한위험을대응해야하기때문이다. 특기할점은클라우드서비스의경우인적자원을물리보안관점에서다룬다는점인데사용자가물리적으로클라우드시스템에접근할기회가거의없기때문에제공자의인적자원을통제하는일이중요한문제가된다는것을이해할수있다. 08 데이터센터운영 IT 인프라를운영하기위한목적으로특별히설계된건물을데이터센터라고한다. 이은5부터7의보안영역에서다루는요소중가장기본이되는물리적보안요소로서건물과시설물의운영문제를다루고있다. 09 사고대응 사고대응은정보보안의관리에서가장기본요소중하나이다. 대형클라우드서비스업체들은일반기업들이직접운영하는것보다는훨씬더높은수준으로보안대책을갖추고있지만그렇다고보안사고가발생하지않는것은아니다. 아마존을비롯해구글과마이크로소프트클라우드서비스도장애와해킹사고를겪었다 ( 참고 : 클라우드제공업체문제가아니라한입주고객에게발생한사고일지라도다수의사용자가사용하는클라우드특성상사고발생시대응과정은차이가클수있다 ( 포렌식과정에서타사용자의데이터침해가능성에대한문제등 ). 10 애플리케이션보안 클라우드는서비스제공모델별로애플리케이션의운용책임이나구현수준이다를수있기때문에이 CSA에서는 소프트웨어개발주기보안 -SDLC(Secure Development Life Cycle) 을강조하고있다. 일단운영과정에서문제가발생하면파급이너무크기때문에개발과정의코드리뷰와보안검사를비롯한사전테스트를철저하게거칠것을요구한다. 6

7 11 암호화및키관리 11은5에서잠깐언급했던암호화이슈를심도있게다룬다. 적합한암호화사용법과확장성있는키관리방안, 자원에대한접근및데이터를보호하고신원을확인할때암호화및키관리가필요한이유등을상세하게설명하고있다. 12 신원확인권한부여접근통제 클라우드와관련해서기억할만한개념어중하나는멀티테넌시 (Multi-Tenancy) 와프로비저닝 (Provisioning) 이란용어이다. 멀티테넌시 (Multi-Tenancy) 는번역하자면 다중고객 이라고할수있는데앞서설명한대로클라우드서비스를이용하는다수의이용자들을일컫는말이다. 다수의사용자란특별할게없는말같지만클라우드는하나의시스템이라할지라도각각의사용자는자신만의독립적인환경에서사용한다고느끼게끔만들어야하기때문에가상화와맞물려다중운영환경을제공하는고도화된기술자체를뜻하기도한다. 프로비저닝 (Provisioning) 은준비된자원 ( 컴퓨팅자원및사용자계정등 ) 을제공하는것이다. 12는이러한멀티테넌시환경에서핵심적인신원확인과권한관리, 접근통제등보안이슈를다루고있다. 13 가상화 클라우드의강점은 IT 인프라의물리적구성을사용자가알필요없이다양한소프트웨어개발 / 운영이가능하다는점이다. 이런장점이가능하게된기술적배경에는 가상화 가있다. 다수의사용자가각각다른애플리케이션과운영소프트웨어를구동하기위해서클라우드서비스는하이퍼바이저 (hypervisor) 라는논리적플랫폼을가장하위레이어에운영하게된다 ( 호텔로치자면건물의기초라고이해하면되겠다 ). 그런데만약해커가개별적인사용자의시스템이아니라공통기반인하이퍼바이저자체를공격해서점유하면 ( 호텔기초를무너뜨린다면?) 어떻게될것인가? 14 서비스로서의보안 (Security as a Service) CSA 가이드버전 3.0에서새로추가된이용어조차조금생소한 SecaaS(Security as a Service) 이다. 개념은단순하다. 소프트웨어나인프라를서비스로제공하듯이보안역시클라우드서비스의하나로서제공할수있지않느냐는것이다. 한예로기업들이기본적인보안솔루션으로도입하는백신을보자. 클라우드의멀티테넌시환경에서입주업체마다각자자신의환경에별개의백신프로그램을운영하는것보다는클라우드의하이퍼바이저레이어에서백신기능을운용하는편이전체리소스운영효율면에서낫지않겠는가? 통합인증 (SSO) 이나취약성점검, 계정관리등보안기능역시클라우드서비스로제공못할까닭이없다. 향후많은기업들이 IT 서비스를클라우드로옮겨간다고예상한다면운영에필수적인보안역시중요한클라우드서비스의하나로자리잡을것으로보인다. 짧지않은분량으로클라우드의개념과특징, 보안까지살펴보았다. 태양아래새로운것이없다 는성경문구처럼클라우드역시완전히낯선개념으로불쑥나타났다기보다는과거의여러좋은기술들이축적되어클라우드라는특징을이루며활성화되고있다고보아야할것이다. 독자여러분들이클라우드기술에대한관심을갖고그장점을적극활용할수있기를기대한다. 안랩또한통합보안기업으로서클라우드를활용하여더욱편리한보안서비스를제공할수있도록노력할것을약속드린다. 7

8 Product Issue AhnLab TrusGuard 가트너매직쿼드런트에 안랩 이름올렸다 안랩이 2014년 4월발간된가트너의매직쿼드런트보고서 엔터프라이즈네트워크방화벽 부문 (Magic Quadrant for Enterprise Network Firewalls, 4월 15일발행, Greg Young, Adam Hils, Jeremy DHoinne) 에국내보안업체중유일하게등재 (niche player 영역 ) 되었다. 가트너의매직쿼드런트는각분야별로실행능력과비전, 기술, 완성도등을평가해작성하는것이다. 이보고서에등재되는것은해당부문솔루션의글로벌기술력을입증받았다고할수있다. 안랩의네트워크보안솔루션인트러스가드는대규모트래픽과대용량세션 (PC와 PC 간통신을위한연결정보 ) 을고속으로처리하는고성능네트워크보안솔루션이다. 높은수준의방화벽성능을제공하며, 외부에서효율적이고안전하게내부시스템에접속할수있는 VPN( 가상사설망, Virtual Private Network) 기능을제공한다. 특히이제품은최근업그레이드를통해 애플리케이션콘트롤 C&C 서버탐지및차단 사용자 (User ID) 기반정책설정및관리 FQDN 객체기반정책설정및관리등차세대방화벽기능을대폭추가했다. 안랩트러스가드는로우-엔드모델에서데이터센터급모델까지총 10개의다양한제품라인업을갖추고있어기업의네트워크규모에따라선택적으로사용할수있다. 안랩권치중대표는 최근자사의제품이권위있는해외평가기관에서좋은평가를받았고, 이는안랩의글로벌기술력을인정받은것이다. 안랩은검증된기술력을바탕으로글로벌시장개척에힘쓰겠다 고말했다. 안랩의엔터프라이즈네트워크방화벽인트러스가드

9 Threat Analysis POS System POS 시스템을노리는악성코드 (1) POS 시스템의보안문제, 그리고최근사고 POS(Point of Sales, 판매시점관리 ) 시스템, 이른바 포스 의보안문제가최근언론을통해자주언급되고있다. 사실보안전문가들은이미오래전부터 POS 시스템의보안위험성을경고해왔다. 그러나 보안 이라는것이늘그렇듯, 지난해 12월비슷한시기에국내외에서대규모 POS 시스템해킹사건이발생하면서 POS 시스템보안이주목받기시작했다. 한편최근윈도 (Windows) XP 지원이종료된가운데여전히국내대다수의 POS 시스템이해당 OS를사용하고있어 POS 시스템보안이사회적인문제로발전될우려를낳고있다. 이처럼최근 POS 시스템을노리는악성코드가지속적으로발견되고있는가운데, POS 시스템과관련된보안문제와악성코드공격기법에대해알아본다. < 연재목차 > 1 부 _POS 시스템보안문제, 그리고최근사고 ( 이번호 ) 2 부 _ 국내외 POS 시스템해킹악성코드분석 POS(Point of Sales) 시스템은 판매와관련된데이터를일괄적으로관리하고고객정보를수집하여부가가치를향상시키는시스템 으로정의된다. 포스시스템, POS 단말기, 또는판매시점정보관리시스템등으로불린다. 대부분의 POS 시스템은 256 MB ~ 1 GB 정도의메모리에불과한저사양장비에서운영된다. 또한현재국내 POS 시스템대부분에는윈도운영체제, 그중에서도윈도 XP가설치되어있다. 최근상위버전의 OS로교체되고있지만여전히윈도 XP가가장널리이용되고있다. [ 그림 2] POS 시스템의단말기사양예시 [ 그림 1] POS 시스템 POS 시스템관련보안침해사고사례최근국내외에서 POS 시스템을해킹해신용카드정보를탈취하는사건이다수발생하고있다. 이에각국정부는마그네틱에담겨있는정보를손쉽게탈취할수있는기존카드대신 IC카드가내장된칩앤핀 (Chip-and-PIN) 방식의신용카드를보급하고있다. 그러나 IC카드를인식하는카드리더기의보급이부족한관계로유럽지역을제외한한국과미국에서는대부분기존방식을사용하고있다. 미국정부는 PCI- DSS 등의보안규약을마련했지만이것만으로는 POS 시스템을보호하기는어렵다고알려져있다. 9

10 1. 국내사례국내에서는 2000년대중반부터 POS 시스템해킹이종종발생했던것으로알려져있다. 대부분은범인이확인되지않았다. 그러나최근, 지난해 12월커피전문점과식당등에설치된 POS 단말기를해킹해신용카드정보를빼돌린일당이검거됐다. 언론보도에따르면, 범인들은당시전국 85곳의가맹점 POS 단말기에있던 20만 5,000 건의카드거래정보를빼내위조카드를만들어국내외자동인출기 (ATM) 에서 1억 2,000여만원을인출했다. 한편 2014년 5월말현재, 전세계 1,500 대의 POS 시스템을감염시킨네만자 (Nemanja) 봇넷이발견되었다는소식이알려졌다. POS 시스템의구성및결제과정 POS 시스템은크게본체, 카드입력기, 영수증프린터로구성된다. 이중 카드입력기 는최근 IC 카드를읽는단말기도있지만대부분마그네틱카드를읽는역할을하기때문에 MSR(Magnetic Stripe Reader) 로도불린다. 이와함께마그네틱카드의복제가쉬운점등을이용해범죄자들은비교적보안이허술하고대량의신용카드정보를얻을수있는 POS 시스템을노리기시작한것이다. [ 그림 6] POS 시스템을통한신용카드결제과정 POS 시스템을통한신용카드결제과정은일반적으로 [ 그림 6] 과같 [ 그림 3] 2013 년 12 월발생한 POS 시스템해킹 (* 출처 : 동아경제 ) 2. 해외사례 HP는자사블로그를통해지난 2002년부터현재까지발생한다수의신용카드관련사건을전했다. 가장유명한사례는지난해말에발생한미국의유명대형할인점인타겟 (Target) 사의신용카드및개인정보유출사건이다. 이사건은미국최대명절인추수감사절시즌에발생한것으로, 2013년 11월 27일부터 12월 15일사이에오프라인매장의 POS 시스템을통해 7,000만건의신용카드정보가유출됐다. 다. 구매자가판매처에서신용카드로결제하면 POS 시스템의카드입력기 ( 카드리더기 ) 를통해카드종류, 카드번호, 유효기간등의정보를읽은후부가가치통신망사업자 (VAN) 로전달된다. 부가가치통신망사업자는이렇게수집한정보를토대로해당카드사나은행에서승인이가능한카드인지조회한다. 카드사전산망에서카드한도, 거래정지유무등을조회하여이상이없으면카드를승인하고승인내용이 POS 시스템으로전달되면카드거래명세서가출력되고구매자의서명을받아결제가완료된다. 은행과카드사는전용망을사용하고있을뿐만아니라상대적으로보안시스템이잘갖추어져있기때문에공격자가이를통해신용카드정보를탈취하기는쉽지않다. 반면 POS 시스템은별다른보안이갖추어져있지않은경우가대부분이고윈도를운영체제로사용한다는점에서일반컴퓨터와크게다르지않다. 이를뚫고들어갈악성코드제작도쉽게할수있다. [ 그림 4] 해외신용카드사기사례 (* 출처 : HP 블로그, Credit card fraud scene ) POS 시스템관련위협요소 POS 시스템과관련된보안사고는대부분 POS 시스템 통신 POS 시스템관리업체등에서발생한다. 1. POS 시스템공격자의입장에서 POS 시스템을통해신용카드정보를탈취할수있는지점은마그네틱카드리더기인 MSR, 메모리, 그리고하드디스크등이다. 우선사용자가신용카드를사용하는지점인카드입력기, 즉카드리더기에서부터정보가유출될수있다. 대부분의카드리더기는키보드와동일하다고볼수있다. 카드리더기로신용카드를읽으면 POS 프로그램에해당정보가입력된다. 이때메모장을열어두면 [ 그림 7] 과같이카드번호와관련정보가텍스트로입력되는것을볼수있다. 즉, 키 [ 그림 5] 해외신용카드사기사례 (* 출처 : HP 블로그, Credit card fraud scene ) 입력내용을가로챌수있는키로거 (keylogger) 를이용해신용카드정보를탈취할수도있다는것이다. 10

11 은가맹점의 POS 시스템관리를위한원격제어기능을포함하고있기때문에외부에서접속이가능하다. 문제는 [ 그림 9] 와같이대다수의가맹점의시스템로그인암호가 1234 와같은단순한숫자이거나매장전화번호와동일한경우가많아공격자가유추하기쉽다는점이다. [ 그림 7] 카드입력기가읽어낸마그네틱카드정보 또한카드리더기에서신용카드를읽을때 POS 시스템관리프로그램이나메모리등에데이터가저장된다. 따라서 POS 시스템의메모리를검색하면신용카드정보를확인할수있다. 한편일부 POS 시스템에서는카드를읽는순간부터데이터를암호화한다. 그러나신용카드전표를출력하기위해복호화된데이터를메모리상에갖고있기때문에여전히신용카드정보가노출될가능성이있다. [ 그림 9] POS 시스템로그인암호예시 다른컴퓨팅시스템과마찬가지로정보를탈취하는악성코드를 POS 시스템에감염시켜신용카드정보를유출할수있다. 따라서공격자들은 POS 시스템을악성코드에감염시키기위해다양한방법으로공격을시도한다. 2. 통신 POS 시스템에서전송되는신용카드정보는대체로암호화하지만 POS 시스템관리프로그램의로그인정보 (ID 및패스워드 ) 등은암호화를하지않는경우도있다. 로그인정보는신용카드정보유출과직접연관은없다. 그러나 POS 운영프로그램을웹에서서비스하는경우도있어, 로그인정보만알고있다면외부에서접속가능해정보유출의위험이존재한다. [ 그림 8] 포스시스템관리프로그램메모리에서찾은신용카드정보 신용카드정보에대해카드사의승인을받는동안해당정보가 POS 시스템에보관되기도한다. 이때신용카드정보가제대로암호화되지않은채보관될경우, 관련파일만알면쉽게신용카드정보를확보할수있다. 공격자는신용카드정보를탈취하기위해 탭핑 (tapping) 취약점 악성코드등을이용할수있다. 탭핑 (tapping) 이란도선 ( 導線 ) 을통해전송되는정보를물리적으로탈취하는방식이다. 물리적으로시스템에접근해야하기때문에공격자의입장에서는내부자와공모해야하는어려움, 또는현장에서적발될위험을감수해야한다. 상대적으로공격자가쉽게정보를탈취할수있는방법은운영체제나 POS 시스템관리프로그램의취약점을이용해시스템을훔쳐보거나장악하는것이다. 대부분의 POS 시스템은윈도보안업데이트를적용하지않는경우가허다하다. 한편다수의 POS 시스템관리프로그램들 [ 그림 10] 평문으로전송되는 POS 시스템로그인정보 3. POS 시스템관리업체 POS 시스템관리업체는 POS 시스템, 즉단말기를대여또는판매하는업체다. 소규모매장을관리하는업체중에는서버에고객사매장의메뉴, 광고내용등을보관하는경우도있다. 또한관리업체서버를통해 POS 시스템관리프로그램의업데이트가이뤄지기도한다. 따라서관리업체의서버가해킹돼프로그램이바뀌거나변조된경우해당서버와연결된 POS 시스템은악성코드에쉽게감염될수있다. POS 시스템과악성코드 1. 감염경로 POS 시스템은기본적으로컴퓨터와동일하므로다양한경로로악성코 11

12 드에감염될수있다. POS 시스템이악성코드에감염되는주요경로는 인터넷 USB 메모리 애플리케이션업데이트 POS 시스템복원이미지등이다. 대표적인 POS 시스템의악성코드감염원인은 POS 시스템에서의인터넷이용이다. 소규모업체의경우에는개인용도로사용중인노트북등에카드리더기와용지출력기를연결해카드결제시스템으로이용하는경우가많다. 해당컴퓨터로웹서핑이나게임등인터넷을이용하고있어악성코드감염가능성이높다. 또한최근유행하고있는소셜커머스를이용한고객대응을위해서소셜커머스업체의홈페이지에접속해야하는경우도있다. 만일소셜커머스업체가해킹당한경우, 이를통해 POS 시스템이악성코드에감염될수도있다. 둘째, POS 시스템에 USB 메모리를연결시악성코드에감염되는경우다. [ 그림 11] 과같이 POS 시스템은일반컴퓨터와동일하게키보드, 마우스등을연결할수있다. 실제로매장재고관리등을위해관리업체에서 USB 메모리를 POS 시스템에연결하는경우가많은데, 감염된 USB에의해 POS 시스템까지악성코드에감염될수있다. [ 그림 12] 키로깅을통한신용카드정보탈취 미국등해외에서는키로깅방식보다메모리스크래핑방식이주로이용되고있다. 국내에서는메모리해킹으로알려진메모리스크래핑방식은 POS 시스템이신용카드번호를메모리에저장할때사용하는특정한규칙을노린방식이다. 이와관련된내용은다음연재를통해좀더살펴볼예정이다. [ 그림 13] 메모리스크래핑기법을이용하는악성코드가찾는문자열 [ 그림 11] POS 시스템의입출력포트 셋째, POS 시스템관리프로그램의업데이트과정에서악성코드에감염될가능성도있다. 대다수의애플리케이션과마찬가지로 POS 시스템관리프로그램도인터넷을통해업데이트되고있다. 이때업데이트된파일이악성코드를포함하고있을경우 POS 시스템을부팅하는것만으로도악성코드감염이발생할수있다. 지금까지 POS 시스템과관련된보안문제, 특히악성코드를이용한공격기법을알아봤다. 다음호에서는주요 POS 시스템을노린악성코드와국내에서발생한실제 POS 시스템감염사례에대해알아보겠다. 넷째, 상대적으로드물긴하지만 POS 시스템장애등의경우이를복원하기위해관리업체에서제작한하드디스크이미지에악성코드가포함되어있는경우도있다. 악성코드에감염된하드디스크복원이미지로시스템을복구함으로써악성코드에감염되는것이다. 2. 악성코드공격기법악성코드를이용한신용카드정보탈취시사용하는공격기법은키로깅 (Keylogging) 과메모리스크래핑 (Memory Scraping) 등이있다. 카드입력기를통해신용카드를결제할때신용카드정보가 POS 시스템관리프로그램에입력된다. 공격자가이정보를중간에서가로채면신용카드복제에필요한정보를확보할수있다. 주로국내에서발견되는악성코드가키로깅기능을포함하고있다. 공격자는키로깅을위한악성코드를직접제작하는대신상용키로거나원격제어프로그램을이용하기도한다. < 참고사이트 > Research-Threat-Intelligence-Briefing-episode-12-The/ba-p/ #. U3ceTnIvm1L 12

13 Tech Report SQLite Forensics SQLite 의레코드구조와삭제된데이터복구방법 삭제된데이터 가견고한포렌식 증거 가되기까지 앞서 2회에걸쳐 SQLite라는데이터베이스를소개하고디지털포렌식조사에서 SQLite의삭제된데이터를복원하는것이중요한이유를알아보았다. 또한삭제된데이터를복원하는과정의일환으로데이터베이스파일내에서삭제된영역을탐색하는내용을살펴보았다. 이를통해 SQLite 데이터베이스레코드복원에관심이있는독자들이데이터베이스의삭제된영역을무리없이추출할수있었으리라기대한다. 이번연재에서는삭제된영역을확보한이후실질적인레코드내부의필드데이터를획득하기까지의과정을알아본다. < 연재목차 > 1부 _ 스마트폰포렌식과 SQLite(2014년 3월호 ) 2부 _SQLite 데이터베이스의구조적특징과데이터복구 (2014년 4월호 ) 3부 _SQLite의레코드구조와삭제된데이터복구방법 ( 이번호 ) 4부 _ 스마트폰인스턴트메신저및문자메세지복구하기 SQLite 데이터베이스의삭제된영역에대한추출만성공하더라도해당영역에존재하는일부문자열에관한정보를얻을수있다. SQLite 는현재문자열을저장함에있어리틀엔디안 (Little Endian) UTF-16, Big Endian UTF-16, UTF-8 등 3가지형태의유니코드인코딩만제공한다. 어떤인코딩을사용하였는지에대한정보를헤더에저장하고있기때문에삭제된영역전체를적절한인코딩방식으로디코딩하면일부분에서가독성있는문자열데이터를확인할수있을것이다. 삭제된영역에포함된문자열데이터내용확인 [ 그림 1] 은 SQLite 데이터베이스파일의헤더구조를개략적으로나타낸것이다. 파일의최상단으로부터 0x38의위치를확인하면 [ 그림 1] 의표시된부분과같이총 4바이트의값으로데이터베이스파일에서사용하는텍스트의인코딩방식이저장되어있는것을확인할수있다. 이때저장되는값은숫자 1, 2, 3 중하나로, 1은 UTF-8, 2는리틀엔디안 UTF-16, 3은빅엔디안 (Big Endian) UTF-16의인코딩방식이지정되었음을의미한다. [ 그림 1] SQLite 헤더의구조및텍스트인코딩방식저장위치 [ 그림 2] 는실제 SQLite 데이터베이스파일에저장된최상단헤더의내용으로, 파란색으로표시된부분이인코딩방식을나타내는데이터블록의위치이다. 해당데이터블록은빅엔디안형태로값을저장한다. 왼쪽부터순차적으로읽어들이면 0x01의값을갖고있음을확인할수있다. 따라서이데이터베이스는 UTF-8로텍스트데이터를인코딩하여저장한다는것을알수있다. 13

14 SQLite 레코드의전체구조 SQLite의레코드구조는 [ 그림 6] 과같은형태를갖는다. SQLite는레코드의위치만정확하게찾는다면앞에서부터순차적으로해석하며각각의필드에저장된정보를확인할수있도록구성되어있다. [ 그림 2] 실제 SQLite 데이터베이스파일헤더에저장된인코딩방식 [ 그림 3] ~ [ 그림 5] 는각각의인코딩방식으로텍스트를저장하고있 는데이터베이스의예시이다. [ 그림 6] SQLite 레코드구조 [ 그림 3] SQLite 데이터베이스에빅엔디안 UTF-16으로저장된문자열 [ 그림 4] SQLite 데이터베이스에리틀엔디안 UTF-16으로저장된문자열 [ 그림 5] SQLite 데이터베이스에 UTF-8으로저장된문자열 어렵게추출한삭제된영역에서문자열데이터만확보하는데서그친다면, 들인노력에비해다소손해가아닐수없다. 일례로문자 / 채팅애플리케이션이사용하는데이터베이스파일의경우에는전화번호, SMS 메시지등과같이사건의실마리가되는중요한내용이문자열데이터로저장되어있다. 그러나해당메시지가보낸메시지인지, 받은메시지인지의여부나문자메시지의송 / 수신시간정보등은정수형태로데이터베이스에저장된다. 특히이러한정보는어렵게확보한문자열데이터를더욱견고한증거로만들어주는역할을하기때문에반드시추출할필요가있다. SQLite는 정수 ( 整數 ) 실수 ( 實數 ) 바이너리 (Binary) 데이터 문자열데이터등총 4가지형식으로데이터를저장한다. 이중정수형데이터와실수형데이터는삭제된영역에서 16진수로존재하는주변의데이터와구분이되지않기때문에삭제된레코드의구조를정확하게분석해야만저장되었던값을확인할수있다. 따라서삭제된영역을추출한후에는반드시레코드구조분석을통해각각의필드에저장되었던정확한값을취해야만한다. 레코드구조의최상단에는레코드전체의길이를나타내는값이존재하며, 이어서각행 (Row) 의식별값인 RowID가저장되어있다. RowID 다음에는 데이터헤더 라고불리는영역이존재한다. 해당영역의상위 2바이트는데이터헤더의길이를나타내며, 나머지영역은레코드내부에존재하는필드의길이와데이터타입정보가 [ 표 1] 과같은형태로존재한다. 바로이나머지영역이우리가관심을가져야할부분, 즉데이터가저장된데이터영역이다. 데이터영역은모든필드가구분없이연달아존재하므로데이터헤더의정보를이용해적절히구분하여데이터를복원해야한다. 가변길이정수의구조 SQLite 데이터베이스가여타의파일구조와구분되는특징중하나는가변길이정수의사용이다. SQLite는작고단단한데이터베이스를완성하기위해레코드구조곳곳에가변길이정수를사용한다. 가변길이정수의가장큰특징은, 정수값을표현하는데이터의길이를외부에저장하지않더라도그길이와정수값을알수있는형태로되어있다는점이다. 이러한특징을이용하면파일전체의구조가조금더단순해지며전체의파일포맷을효율적인형태로구성할수있다. 이를위해 SQLite는 [ 그림 7] 과같이레코드헤더의전체레코드길이와 RowID를가변길이정수로저장하고있다. 가변길이정수는최소 1바이트에서최대 9바이트의크기를가지며, 각바이트의최상위비트를종료플래그로사용하고있다. 따라서실제정수데이터의저장은각바이트의하위 7비트조합을이용한다. 또한 9바이트길이의정수는종료플래그를설정할필요가없기때문에최대 64비트를사용하여정수값을표현할수있다. [ 표 1] 은각각의데이터타입과길이에따른식별값 (Value) 을나타낸것이다. 각항목의식별값은삭제된레코드의구조를분석할때매우유용하게사용할수있으므로간단히살펴보도록하자. 식별값데이터타입데이터크기 0 NULL 0 N (N=1-4) Signed Integer N 5 Signed Integer 6 6 Signed Integer 8 7 IEEE float Reserved N>12 (N:even) BLOB (N-12)/2 N>13 (N:odd) TEXT (N-13)/2 [ 표 1] SQLite에존재하는데이터타입의식별값정보 [ 그림 7] 가변길이정수의구조 데이터헤더의구조레코드에서 RowID까지해석했다면, 그다음 2바이트데이터블록에저장되어있는데이터헤더의길이를이용해데이터헤더와데이터영역을정확하게구분할수있다. 14

15 데이터헤더는 [ 그림 8] 과같이 [ 표 1] 의식별값을기반으로구성되어있다. 정수와실수를표현하는필드는데이터헤더에데이터유형과길이를 1바이트로표현하고있으며, BLOB과 TEXT의경우에는식별값을가변길이정수로표현하고있다. BLOB과 TEXT는각각짝수와홀수로데이터헤더에기록되어서로를구분한다. 앞서 [ 표 1] 에서구분한데이터헤더의유형에따라데이터의길이정보역시획득할수있으므로, 데이터영역에서각필드를구분할수있다. [ 그림 8] 데이터헤더의구조 레코드삭제후의변화지금까지살펴본내용을통해 SQLite에서레코드내용을어려움없이해석할수있을것이다. 그러나레코드가삭제되었을경우에는 [ 그림 9] 와같이레코드헤더의상위 4바이트가덮어쓰여지기때문에데이터헤더의위치를알수없게된다. 따라서삭제된레코드영역을추출하더라도각필드를구분하기위해서는데이터헤더의위치를정확히찾을수있어야만한다. 추측한위치가올바른데이터헤더영역인지판단하는과정은다음과같다. 우선스키마테이블을통해레코드각필드의데이터타입을얻은후해당데이터타입이가질수있는식별값을 [ 표 1] 에서찾는다. 이때데이터헤더의모든내용이스키마테이블과일치하는지확인한다. 데이터헤더의위치가정확하게추측되었다면순차적으로존재하는각필드의식별정보가 [ 표 1] 의내용과모두일치할것이다. 조건검사를위해필요한각각의필드타입은스키마테이블이외에페이지 (Page) 내에존재하는정상적인레코드를통해서도얻을수있다. 검사과정에서하나의필드라도조건을만족하지못한다면추측길이를 1바이트만큼늘려서이전과같은과정을반복한다. 추측길이가 2개의가변길이정수의최대길이인 18바이트를넘는다면복원을시도하는레코드의데이터가이미덮어쓰여졌거나레코드의시작지점을잘못지정한것으로판단할수있다. 이경우레코드의시작지점을 1바이트씩뒤로옮겨가며복원을시도하여비할당영역에존재하는레코드를복원해야한다. 또한레코드가복원되었음에도비할당영역에데이터가남아있다면복원된레코드의다음위치부터같은방법을반복적으로시도하여복원가능한삭제된레코드를모두추출해야한다. 레코드복원예제실제간단한데이터베이스의예를통해정보가삭제되었을때삭제된영역에서레코드를복원하는과정을살펴보자. [ 그림 10] 과같은스키마를갖는테이블이선언된 SQLite 데이터베이스파일이있다고가정하자. VARCHAR(256) 이라는타입은실제로는 SQLite에서 TEXT 형식으로처리된다. SQLite에서다루는데이터타입은 [ 표 1] 에서규정하는 4가지항목이전부이다. [ 그림 9] 레코드삭제시덮어쓰여지는영역 레코드삭제시데이터를덮어쓰는것은비할당블록을효율적으로관리하여추후에삽입되는데이터가효율적으로공간을사용할수있도록하기위한조치이다. 이는디지털포렌식분석가의입장에서는가변길이정수의해석을통해정확하게데이터헤더의위치를판단할수있는기반이사라지게되는것이므로매우아쉬운방식이다. 그럼에도불구하고대부분의경우 SQLite가갖는데이터헤더와그안의식별값들의특징을통해다음과같이데이터헤더의위치를정확하게판단할수있다. 복원방법삭제된레코드에서데이터헤더의위치를추측하기위해서는레코드헤더에존재하는 2가지가변길이정수 ( 레코드길이, RowID) 가삭제되기전에차지하고있던길이를구해야한다. 추측하는길이는가변길이정수 2개의조합이나타낼수있는길이이어야하므로, 최초 2바이트로시작하여 1바이트씩차례로늘려가며 18바이트를넘지않도록해야한다. 가변길이정수를추측한이후, 추측된길이에데이터헤더의길이를나타내는 2바이트를더한위치를추측된데이터헤더의위치로최종판단할수있다. [ 그림 10] SQLtie 데이터베이스테이블예시 생성된데이터베이스파일에총 4개의레코드를삽입한후, 첫번째레코드와세번째레코드를삭제하였다. [ 그림 11] 은예시를위해삽입된레코드와삭제후에남아있는레코드를나타낸것이다. [ 그림 11] 레코드의삽입과삭제 (1,3 번레코드삭제 ) 예시 이제 3번레코드를기준으로삽입한데이터가파일내부에서삭제된후어떻게변화되는지살펴보자. [ 그림 12] 는 4개의레코드를모두삽입한후의파일에서레코드가존재하는모습이다. 레코드의길이와 RowID가각각 1바이트의가변길이정수로표현되었음을알수있다. 15

16 [ 그림 12] 3 번레코드의삭제전 ( 빨간색표시 ) [ 그림 13] 은 3번레코드의삭제후변화를나타낸다. 4바이트값이비할당블록관리를위한정보로갱신되면서레코드길이, RowID, 데이터헤더의길이값이소실된것을확인할수있다. [ 그림 14] 삭제된데이터 (3 번레코드 ) 의복원과정예시 이때 A 필드는 RowID로사용되어덮어쓰여진영역에존재하므로 B, C, D 필드의식별값만을비교해야한다. 결과적으로정수형태의데이터가갖는식별값범위인 1 ~ 6 사이의값이연달아존재한다. TEXT 형태의데이터가갖는값은 13 이상의홀수이므로나타나는영역은 [ 그림 14] 에빨간색박스가시작하는위치의 3바이트영역 (0x04, 0x01, 0x17) 임을알수있다. 실제로각식별정보를통해확보한길이정보로데이터영역을구분한결과, 데이터베이스에서삽입했던값들을확인할수있다. [ 그림 13] 3 번레코드의삭제후의모습 ( 빨간색표시부분 ) 이제상위 4바이트값이소실된상태로데이터헤더를찾아각필드의데이터를복원해야한다. [ 그림 14] 는삭제된 3번레코드의데이터헤더를찾아내용을복원하는과정을도식화한것이다. [ 그림 14] 와같이삭제된영역으로판단되는지점을시작으로추측길이를늘려나가며스키마테이블과추측위치의식별값일치여부를확인한다. 지금까지 SQLite 데이터베이스에서레코드가삭제되었을때삭제된영역의파악부터삭제된영역의레코드를복원하는과정을살펴보았다. 다음호에서는 SQLite를활용하고있는스마트폰메신저애플리케이션에서삭제한메시지를복원하는내용을살펴볼예정이다. 스마트폰포렌식에서실제사용되는기술을살펴봄으로써, 지금까지의연재를통해 SQLite 데이터베이스복원에대해알아본내용을더욱실질적으로이해할수있을것이다. 16

17 IT & Life 공인인증서안전하게관리하기 악성코드를이용해사용자 PC 에담긴공인인증서를유출시키는일이발생해금융권에비상이걸렸다. 현재까지는공인인증서유출 로인한피해사례는보고되지않았지만불안한마음이사라지지않는다. 인터넷뱅킹뿐만아니라전자상거래, 각종민원업무에서 도사용되는공인인증서를어떻게관리해야할까. 안전한인터넷뱅킹을위한보안수칙에대해알아보자. 주부안해지씨는인터넷뱅킹사용자다. 남편의월급관리부터적금, 아이학원비까지인터넷뱅킹을통해수십만원부터수백만원까지거래를한다. 그런데얼마전주거래은행으로부터연락이왔다. 공인인증서가유출돼폐기조치를취했다는것이다. 이무슨황당한경우냐며따져물으니죄송하다는사과와함께 PC에공인인증서를저장했기때문이라는설명을들어야했다. 평소집에서사용하는 PC에공인인증서를저장하면유출된다는것을이해할수없는안해지씨. 그럼공인인증서를어디에저장해야안전하냐고묻자외부저장장치나보안토큰을사용하면된다고친절히안내해주는은행직원. 보안카드도발급받은지오래됐으니새로바꾸거나 OTP( 일회용비밀번호생성기 ) 로바꾸라는설명까지덧붙인다. 보안토큰, OTP? 안해지씨에게는생소하다. 한국은행에따르면모바일뱅킹을포함한인터넷뱅킹사용자수는 9,549만명으로추산된다. 이사용자들이모두공인인증서를갖고있다는얘기다. 안해지씨처럼공인인증서를 PC에저장하는사람들이많은데, 최근공인인증서 7,000건이유출된것도바로 PC에악성코드를심어서발생한경우다. 최근공인인증서를유출시킨악성코드유포자는파일공유사이트, 중소쇼핑몰사이트등보안이취약한웹사이트를이용한것으로확인됐다. 특히유포지로확인된경품사이트의경우대형포털사이트나쇼핑몰등에배너광고를제공하고있어악성코드에감염될가능성이높았다. 그렇다면공인인증서를어떻게관리해야안전할까? 먼저공인인증서는 PC에저장하기보다는외부저장장치에저장해사용할것을권한다. PC 에공인인증서를저장하면이번유출사건처럼피해자가될가능성이높다. 따라서외부저장장치에공인인증서를저장하여사용하되, 인터넷뱅킹시에만 PC와연결해사용하는것이좀더안전하다. 공인인증서비밀번호도유추하기어려운영문, 숫자, 특수문자를조합해사용하도록한다. 이밖에안전한인터넷뱅킹을위해선발급받은지오래된보안카드는새것으로발급받거나 OTP를사용한다. 계좌이체비밀번호를사용하는은행의경우주기적으로바꿔주는것도안전에도움이된다. 또인터넷뱅킹시키보드보안모듈이작동하는지확인하여키보드해킹과비밀번호유출을예방하도록한다. 여기에보안의첫걸음이라고할수있는웹전용보안프로그램설치와백신프로그램을최신버전으로유지한다면안전한인터넷뱅킹을할수있을것이다. 17

18 안전한공인인증서관리수단으로보안전문가들은보안토큰사용을권한다. 보안토큰은 USB와같은저장장치에공인인증서를저장하는것과비슷하지만보안칩을내장하고있어해킹이나공인인증서유출로인한피해를예방할수있다. 분실하더라도비밀번호를유추하는과정에서 5 회이상비밀번호가틀리면초기화되고해킹도쉽지않아안전하다는것이다. 하지만보안토큰은제품별구동프로그램을설치해야하고별도구매를해야하는번거로움때문에사용률이저조하다. 한편, 공인인증서유출악성코드에대해안랩 V3에서는아래와같이이미엔진반영이완료됐다. 사용중인 V3 제품에대해최신엔진으로업데이트하고유포 URL 정보를확인하여피해가없도록조치를취한다면악성코드와해킹을예방하는데도움이된다. No. V3 진단명 엔진버전 1 Trojan/Win32.Banki Dropper/Bankirat No. 유포 URL 비고 1 h**p:// /kbs.exe 2 h**p:// 네트워크접속차단권고 * 안전한금융거래를위한보안수칙 1. 공인인증서는 PC에저장하기보다는외부저장장치나보안토큰을사용한다. 2. 발급받은지오래된보안카드는새것으로발급받거나 OTP를사용한다. 3. 공인인증서비밀번호나계좌이체비밀번호는유추하기어렵도록영문, 숫자, 특수문자를조합하여만든다. 4. 웹전용보안프로그램설치및백신프로그램을최신버전으로유지한다. 5. 키보드보안모듈작동여부를확인한후인터넷뱅킹을한다. 18

19 IT & Life 안전한인터넷뱅킹의시작! 가짜사이트로유도한후사용자정보탈취를통해금전을취득하는 파밍 (Pharming) 사기가증가하면서개인의피해도늘어나고있 다. 파밍피해예방을위해서는번거롭더라도파밍사이트가아닌지의심해봐야한다. 안전한인터넷뱅킹을위해가짜사이트와진 짜사이트의구별법을알아본다. 직장인이신용씨는인터넷검색을즐기며음악파일, 동영상파일을다운로드받기위해 P2P 사이트를자주찾는다. 그러다인터넷뱅킹을위해거래은행사이트에접속하니개인정보가유출돼정보를변경하라는메시지창이뜨는것이다. 평소인터넷을통해뉴스를접한터라백신프로그램으로악성코드검사를하고, 엔진버전도최신으로업데이트했다. 아니나다를까악성코드여러개가잡혔고, 곧파밍사이트차단안내창이뜬다. 말로만듣던파밍사이트였다. 파밍 (Pharming) 이란공격자가가짜사이트를만들어진짜사이트처럼보이게하는수법으로, 금전을목적으로사용자의금융정보등을탈취한다. 공격자는이신용씨가경험한은행사이트를비롯해포털사이트등을가리지않고악용하고있다. 또한사용자 PC를악성코드에감염시켜정상적인은행홈페이지주소로접속해도피싱사이트로유도한다. 이후보안승급을위해고객정보를모두입력하게한후탈취한정보로다른 PC에서공인인증서를재발급받아불법이체를시도한다. 그렇다면진짜금융기관사이트인지, 가짜사이트인지어떻게구분할까? 방법은간단하다. 웹사이트주소창의색이녹색인지, 주소창오른쪽에자물쇠표시가있는지확인하면된다. 국내모든금융기관은고객의안전한금융거래를위해 EV(Extended Validation) SSL 인증서를사용해서보안을강화시켰다 ([ 그림1,2 참조 ]). 간혹녹색창이뜨지않는경우은행에서보안모듈의설치를요구하는데그때가아니라면일단의심을해봐야한다. 녹색창과자물쇠를확인했다면그사이트가안전한지도확인해봐야한다. 자물쇠를클릭하면인증정보와신뢰할수있는사이트인지확인이가능하다. 자물쇠는전자거래시사용자의 ID/ 비밀번호등을암호화시켜보호한다. [ 그림 1] 녹색주소창을확인하라는메시지안내 ( 출처 : 국민은행사이트 ) [ 그림 2] 대부분의금융기관은주소창이녹색이며왼쪽주소에는 https가, 오른쪽에는자물쇠가표시돼있다.( 출처 : 우리은행사이트캡처 ) 사이트의진위여부를확인하는것도중요하지만파밍사기피해를예방하려면개인정보나금융정보를유도하더라도절대입력하지말아야한다. 특히보안카드번호 35자리는절대입력하지말것을은행사이트에서도안내하고있다. 여기에주기적으로 PC를최신백신으로업데이트하며스마트폰역시악성코드를검사해야한다. 또한공인인증서는 PC에저장하지않고이동식저장장치나보안토큰에저장하면좀더안전하다. 인터넷뱅킹뿐만아니라안전한 PC 사용을위해서는회사나공용 PC에서는개인적인인터넷사용은자제하는것이좋으며송신자가불분명한메일의첨부파일과링크는열어보지않는것이중요하다. 19

20 AHNLAB NEWS 안랩, 사이버보안인력양성과정협력교육기관으로선정 안랩이미래창조과학부와한국인터넷진흥원 (KISA) 이진행하는 2014년도최정예사이버보안인력 (K-Shield) 양성과정 의협력교육기관으로선정됐다. 더욱강화한교육커리큘럼을제공한다. 오는 2017 년까지창의적인 사이버보안핵심인재 5,000 명양성의일환으로추진중인본교육과 정은기업과기관의정보보호담당자를대상으로교육생을선발한다. 최정예사이버보안인력 (K-Shield) 양성과정은사이버보안인력양성과국가차원의보안수준향상을위해지난해부터미래창조과학부와한국인터넷진흥원이추진하고있는교육과정이다. 시스템해킹, 네트워크해킹, 웹해킹등분야별이론교육및실제훈련으로사이버공격사전탐지및효율적인대응이가능한최정예사이버보안전문인력양성을목적으로하고있다. 미래창조과학부와한국인터넷진흥원 (KISA) 은사이버보안위협이점차증대됨에따라지난해에비해 50시간늘어난총 200시간으로 교육과정은크게 1,2차로나눠진행된다. 먼저교육생은안랩, 타이거팀, 씨드젠, 라온시큐어, 코어시큐리티등교육협력기관이제공하는사이버공격대응등실전훈련위주로구성된 1차교육 (100시간교육, 5월 ~ 8월 ) 을수료후한국인터넷진흥원 (KISA) 이제공하는이론중심의 2차교육 (100시간교육, 9월 ~ 11월 ) 을받게된다. 안랩은실무중심의시스템, 네트워크, 웹분야별방어교육프로그램을진행하며, 교육커리큘럼및콘텐츠개발과잠재력있는핵심보안인력발굴에도적극적인협력을추진할계획이다. V3 모바일, 만점 으로 AV-TEST 글로벌인증획득 안랩의모바일보안제품인 V3 모바일 2.0( 이하 V3 모바일 ) 이독립보안제품성능평가기관인 AV-TEST( 가진행한 3-4월모바일보안제품테스트에서종합점수만점으로인증을획득했다. 이로써안랩은 2013년 1월부터시작된 AV-TEST 모바일보안제품테스트에서국내기업중유일하게 8회연속으로글로벌인증을획득해모바일보안분야에서도글로벌기술력을인정받았다. 이번테스트는 AV-TEST가시만텍, 맥아피등글로벌보안업체의 31 개모바일보안제품을안드로이드환경에서진행했고, 29개제품이인증을획득했다. 이중안랩을비롯한맥아피, 카스퍼스키등의총 13개제품이만점을획득하며모바일보안분야선두그룹으로서입지를굳혔다. 화 문자방지기능등으로부가보안기능에서도추가점수를받아종합점수 13점만점에 13점을기록해인증을획득했다. 안랩권치중대표는 안랩은모바일보안분야에서도글로벌수준의높은기술력을인정받고있다. 이를바탕으로그중요성이더욱커지고있는국내외모바일보안환경에서기술리더십을강화해나갈것이다 라고말했다. 한편, V3 모바일은현재삼성 ( 갤럭시제품군 ) 과 LG( 옵티머스제품군 ) 의스마트폰에기본탑재되어있다. V3 모바일은서구권위주의악성코드샘플이라는불리한상황에서도악성코드샘플 (PUP(Potentially Unwanted Program, 유해가능프로그램 ) 포함 ) 을 100% 진단했다. 오진은기록하지않았고, 제품실행시단말기의성능에미치는영향부문에서도만점을받았다. 이밖에악성코드탐지이외에도난방지 (Anti-Theft) 기능, 스팸전 V3 모바일

21 Statistics 보안통계와이슈 ASEC, 4 월악성코드통계및보안이슈발표 악성코드감소속악성코드유포지로웹사이트악용은여전 안랩시큐리티대응센터 (ASEC) 는 ASEC Report Vol.52 을통해지난 2014 년 4 월의보안통계및이슈를전했다. 4 월의주요보안이 슈를살펴본다. 4월악성코드, PUP 트로이목마가강세 ASEC이집계한바에따르면, 2014년 4월한달간탐지된악성코드수는 271만 7,050건으로나타났다. 이는전월 435만 2,551건에비해 163만 5,501건감소한수치다. 한편 4월에수집된악성코드샘플수는 288만 4,767건이다. [ 그림 2] 는 2014년 4월한달간유포된악성코드를주요유형별로집계한결과이다. 불필요한프로그램인 PUP(Potentially Unwanted Program) 가 38.8% 로가장높은비중을차지했고, 트로이목마 (Trojan) 가 34.3%, 광고목적의프로그램인애드웨어 (Adware) 가 8.4% 의비율로그뒤를이었다. [ 그림 1] 에서 탐지건수 란고객이사용중인 V3 등안랩의제품이탐 지한악성코드의수를의미하며, 샘플수집수 는안랩이자체적으로수집한전체악성코드샘플수를의미한다. 8.4% 38.8% 5,000,000 4,000,000 4,352, % 34.3% 3,000,000 3,197,274 2,000,000 2,717,050 PUP Trojan etc Adware 1,000,000 0 [ 그림 1] 악성코드추이 3,044,669 2 월 3,077,664 3 월 탐지건수 2,884,767 4 월 샘플수집수 [ 그림 2] 주요악성코드유형 2014년 4월에악성코드유포지로악용된은 1만 9,644개, URL은 3,186개로집계됐다. 또한 4월의악성및 URL 차단건수는총 456만 7,453건이다. 악성및 URL 차단건수는 PC 등시스템이악성코드유포지로악용된웹사이트에접속하는것을차단한수이다. 21

22 1,000,000 9,990, , ,000 7,497,960 [ 그림 5] mpopup.exe 아이콘 500, ,000 4,567,453 [ 그림 5] 와같이 mpopup.exe 파일이실행되면 C&C서버를통해사용자몰래추가로악성코드들을다운로드한다. 아래 [ 표 1] 을통해 악성파일이특정서버와통신하여추가로악성파일을다운로드받 50,000 는것을확인할수있다. 40,000 30,000 20,000 38,735 38,547 19,644 Process ScrIP DestIP Data mpopup.exe **.**.91:80 Io**80.******net.co.kr/popun[1]. html mpopup.exe ***.**.83:80 d**n2.si**h.*iz/update[1].exe mpopup.exe **.**.91:80 Io**80.******net.co.kr/ log/?modeact=i 10,000 2,555 3,136 3,186 test.exe ***.**.83:80 d**n2.si**h.*iz/1.exe test.exe ***.**.83:80 d**n2.si**h.*iz/2.exe 0 2 월 3 월 4 월 test.exe ***.**.83:80 d**n2.si**h.*iz/3.exe test.exe ***.**.83:80 d**n2.si**h.*iz/gg.exe 악성 /URL 차단건수 악성코드유포수 악성코드유포 URL 수 wscript.exe **.**.71:80 win**lp.2**.com/h**p/gt.php?e [ 그림 3] 악성코드유포 /URL 탐지및차단건수제휴프로그램으로설치되는악성코드 P2P 사이트에서파일을다운로드받을때다운로더프로그램설치를요구하는경우가많다. 다운로더프로그램설치중사용자약관동의가필요한개인정보수집과제휴프로그램추가설치를요구한다. [ 그림 4] 와같이사용자필수동의항목을제외한나머지항목은대부분광고프로그램이다. 광고프로그램은다운로드프로그램설치시, 사용자눈에띄지않는곳에위치해있다. 문제는광고프로그램에악성코드가설치되는것이아니라출처가불분명한곳에서다운로드받아설치되는다운로더프로그램내에있는제휴프로그램을통해악성코드가유포된다는점이다. [ 표 1] 네트워크모니터정보 악성코드실행시 C&C서버에서다운로드받은 popun[1].htm 에는명령을수행할스크립트 (Script) 값과사용자몰래추가로다운로드받을악성코드가등록되어있다. [ 그림 6] popun[1].htm mpopup.exe 파일을통해특정 IP에접속하여다운로드된 update[1].exe 파일은 C:\DOCUME~1\[ 사용자계정 ]\LOCALS~1\ Temp\test.exe로생성및실행된다. [ 표 2] 와같이 test.exe 는 4개의파일을특정 IP로부터다운받는다. Process Operation Path test.exe test.exe test.exe CREATE CREATE CREATE C:\DOCUME~1\[ 사용자계정 ]\LOCALS~1\Temp\ exe C:\DOCUME~1\[ 사용자계정 ]\LOCALS~1\Temp\ exe C:\DOCUME~1\[ 사용자계정 ]\LOCALS~1\Temp\ exe [ 그림 4] 다운로더프로그램설치시제휴프로그램설치항목 따라서정상적인소프트웨어를설치하는과정에서추가로설치된제휴프로그램을통해악성코드가실행되어사용자 PC에피해를줄수있다. 앞으로설명할것은다운로더와함께설치되는제휴프로그램중 그리드 항목을통해설치되고배포된광고프로그램으로위장된악성코드이다. test.exe CREATE [ 표 2] 파일프로세스정보 C:\DOCUME~1\[ 사용자계정 ]\LOCALS~1\Temp\ Kill.bat [ 표 2] 에서 exe 는 C:\DOCUME~1\[ 사용자계정 ]\ LOCALS~1\Temp\Windows Help.exe 파일을임시로생성하며, C:\WINDOWS\system32\WindowsHelp.exe 에복사된후, 임시로 22

23 생성된파일은스스로삭제된다. 이를통해네트워크의 DNS 서버주소를 Google DNS 주소 ( ) 로변경하여인터넷접속시 Google DNS 서버를통해우회한다. C:\WINDOWS\setupapi.log를통해 DNS가변경되었음을확인할수있다. #-199 C:\WINDOWS\system32\netsh.exe 을 ( 를 ) netsh interface ip set dns 로컬영역연결 static 명령줄에서실행하는중 [ 그림 7] "test.exe" 가다운받은악성파일과추가다운로드된 WindowsHelp.exe [ 그림 8] 과같이 WindowsHelp.exe 는 WindowsHelp 서비스로등록되며시스템시작시자동실행된다. #-166 장치설치기능 : DIF_PROPERTYCHANGE. #I292 ROOT\MS_PSCHEDMP\0001 장치의속성을변경하는중 #I306 DICS_START: 장치를다시시작했습니다. [ 표 4] setupapi.log 또한 C:\DOCUME~1\[ 사용자계정 ]\LOCALS~1\Temp\ exe 악성파일은 \WINDOWS\[6자리랜덤영문자].exe를생성하며 exe 과 [6자리랜덤영문자].exe 악성파일은서비스에등록되어시스템이시작될때마다자동으로특정서버와지속적으로통신한다. [ 그림 8] WindowsHelp 서비스 [ 표 3] 은 WindowsHelp 라는서비스항목생성및서비스실행경 로가악성파일로지정하는레지스트리추가값을나타낸다. Key HKLM\SYSTEM\ControlSet001\Services\Win dowshelp HKLM\SYSTEM\ControlSet001\Services\Win dowshelp\start HKLM\SYSTEM\ControlSet001\Services\Win dowshelp\imagepath Value Key: 0xE x2 ""C:\WINDOWS\system32\ WindowsHelp.exe"" [ 그림 10] [6 자리랜덤영문자 ].exe 서비스 [ 표 5] 를통해 exe 와 [6자리랜덤영문자].exe 자동실행과서비스등록을위해레지스트리에추가되는키값들을알수있다. HKLM\SYSTEM\ControlSet001\Services\Win dowshelp\displayname "WindowsHelp" Key Value [ 표 3] 레지스트리모니터정보 C:\WINDOWS\system32\WindowsHelp.exe 악성파일은시스템시작시자동실행되어 C:\DOCUME~1\[ 사용자계정 ]\LOCALS~1\ Temp\finalchangedns.vbs 악성파일을생성한다. 생성된 finalchangedns.vbs 악성파일은변경된 DNS 서버로네트워크가이루어지도록한다. HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\Name_Me_Please HKLM\SYSTEM\ControlSet001\Services\.Net CLR\Start HKLM\SYSTEM\ControlSet001\Services\.Net CLR\ImagePath HKLM\SYSTEM\ControlSet001\Services\.Net CLR\DisplayName HKLM\SYSTEM\ControlSet001\Services\.Net CLR\ObjectName HKLM\SYSTEM\ControlSet001\Services\.Net CLR\Description [ 표 5] 레지스트리모니터정보 "C:\DOCUME~1\[ 사용자계정 ]\LOCALS~1\Temp\ exe" 0x2 "C:\WINDOWS\[6자리랜덤영문자 ]exe" "Microsoft.Net Frame work COM+ Support" "LocalSystem" "Microsoft.NET COM+ Integration with SOAP" 해당악성코드는 Google DNS 서버를통해 C&C 서버와지속적으로 [ 그림 9] 변조된 DNS 서버주소 통신하며, 사용자로컬 PC 의정보를유출시킬위험이있다. 사용자는 23

24 출처가불분명한다운로더프로그램을설치를자제하고설치시제휴프로그램이나광고프로그램의설치여부를잘살펴야한다. V3 제품에서는관련악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > Trojan/Win32.BHO ( ) 전자지갑타깃악성앱현재꾸준히발견되는모바일이슈들을살펴보면, 악성코드제작자가금전적인이득을취하기위해소액결제또는모바일뱅킹앱을이용하는사례들이다수였다. 그러나최근전자지갑을이용하는악성앱이발견되었고이는 SMS를이용하여유포되었던것으로추정된다. 국내사례가아닌해외 ( 러시아 ) 의사례지만, 이후국내를타깃으로한앱이제작될수있어이슈를공유한다. URL : IP : 172.**.***.3* gla*************@yandex.ru [ 표 6] 관련정보 [ 표 6] 에서확인되는과관련된정보를보면프랑스기업으로등록되어있으나, 이메일주소는러시아 (yandex.ru) 와관련되어있다. 코드분석당시해당앱은브로드캐스트리시버와 SMS를이용하여동작하는것으로확인되었고, SMS로수신되는명령으로다운로드, 업데이트및아래와같이 QIWI와관련된정보를탈취해가는기능을구사할것으로추정된다 (*QIWI : 러시아에서사용되는전자지갑앱 ). [ 그림 11] 은플래시플레이어 (Flash Player) 로위장한악성앱의아이콘이다. 해당앱을실행하면사용자가메뉴에서확인할수없도록삭제된다. [ 그림 11] 악성앱아이콘 악성앱이동작할때패킷을캡처해보면스마트폰의 imei값을전송하는것을확인할수있다. [ 그림 12] 패킷캡처화면 (1) [ 그림 13] 패킷캡처화면 (2) [ 그림 14] 디컴파일코드일부 위의사례로보면기존의소액결제, 뱅킹앱외에도전자지갑또한악성코드제작자들에의해이용될가능성이높다. 국내에서도각카드사, 통신사등에서전자지갑과관련된앱이출시되고있다. 이는해외뿐만아니라국내에서도위협이될수있다는것을뜻한다. 해당앱역시 SMS 스팸메시지를통해유포되었던것으로추정되며, 이를예방하기위해사용자들은확인되지않은 apk를다운로드하거나실행하지않도록주의해야한다. 추가로 V3 모바일과같은모바일백신을이용해주기적으로검사해볼것을권한다. V3 모바일제품군에서는관련악성앱을다음과같이진단및치료가가능하다. <V3 모바일제품군의진단명 > Android-Trojan/FakeApp.13B48A ( ) 24

25 발행인 : 권치중발행처 : 주식회사안랩경기도성남시분당구판교역로 220 T F 편집인 : 안랩콘텐츠기획팀디자인 : 안랩 UX디자인팀 2014 AhnLab, Inc. All rights reserved. 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다. 25

26 경기도성남시분당구판교역로 220 T F AhnLab, Inc. All rights reserved.