월간 CONTENTS 3 PRODUCT ISSUE 안랩 EPS, 프로스트 앤 설리번 ICS 기술 혁신상 수상 4 SPECIAL REPORT 2016년 상반기 랜섬웨어 동향 랜섬웨어도 $how me the MONEY! 15 SPOTLIGHT 안랩, 공공

Transcription

1 안랩 온라인 보안 매거진 Ransomware Trend Review

2 월간 CONTENTS 3 PRODUCT ISSUE 안랩 EPS, 프로스트 앤 설리번 ICS 기술 혁신상 수상 4 SPECIAL REPORT 2016년 상반기 랜섬웨어 동향 랜섬웨어도 $how me the MONEY! 15 SPOTLIGHT 안랩, 공공 및 교육기관 대상 ISF Square 2016 진행 변화 속에서 흔들림 없는 대응을 말하다 18 FOCUS IN-DEPTH 엔드포인트 보안, 왜 AhnLab 내PC지키미 인가? 23 HOT ISSUE 랜섬웨어, 이것 이 궁금하다! 26 THREAT ANALYSIS CryptXXX 랜섬웨어 3.x 암호화 방식 과 부분 복구툴 공개 28 IT & LIFE 꼬리에 꼬리를 무는 최신 IT 용어 30 STATISTICS 2016년 5월 보안 통계 및 이슈 32 AHNLAB NEWS TrusGuard, 가트너 매직 쿼드런트 3년 연속 등재 안랩, 이메일 랜섬웨어 보안 서비스 출시 2

3 PRODUCT ISSUE AhnLab EPS 2016 Frost & Sullivan South Korea Excellence Awards 안랩 EPS, 프로스트 앤 설리번 ICS 기술 혁신상 수상 안랩이 글로벌 시장조사기관 프로스트 앤 설리번(Frost & Sullivan)이 주최한 2016 Frost & Sullivan South Korea Excellence Awards(2016 프로스트 앤 설리번 사우스코리아 엑설런스 어워드) 에서 ICS 기술 혁신상(Industrial Control Systems Security Technology Innovation Award) 을 수상했다. 강석균 안랩 전무(오른쪽)가 프로스트 앤 설리번으로부터 ICS 기술 혁신상 을 수상하고 있다. 안랩은 산업제어시스템을 포함한 POS, ATM 등 다양한 산업의 시스템을 보호하는 특수목적 시스템 보안 솔루션 안랩 EPS 가 ICS 기술 혁신 상 을 수상했다고 밝혔다. 안랩 EPS는 화이트리스트/블랙리스트 기술을 동시 활용한 악성코드 대응 산업제어시스템 외에 POS, ATM 등에서도 사용 가능한 넓은 범 용성 손쉬운 관리 및 운영 등의 강점으로 이번 ICS 기술 혁신상 을 수상했다. 프로스트 앤 설리번 아태지역 디지털 트랜스포메이션팀의 윤미선 산업 연구원은 안랩은 기존 강점을 가지고 있는 보안 솔루션뿐만 아니라, ICS 솔루션처럼 새로운 분야들로 다각화를 꾀하고 있다 며 안랩 EPS는 특수 목적 시스템의 보안 위협을 방어하기 위한 혁신적인 기능을 제공 한다 고 말했다. 강석균 안랩 전무는 작년 APT 부문에 이어 올해 ICS 기술 혁신상을 수상하게 되어 기쁘다 라며 앞으로도 다양한 분야에서 진화하고 있는 보 안 위협에 대응하기 위해 노력할 것 이라고 소감을 말했다. 프로스트 앤 설리번 어워드는 다양한 지역별, 그리고 글로벌 시장에서 기업들의 리더십과 기술 혁신, 고객 서비스, 전략적 제품 개발면에서 뛰 어난 업적과 우수한 성과들을 확인하는 자리이다. 프로스트 앤 설리번의 산업 연구원들은 시장 업체들을 비교하고, 업계 모범 사례들을 식별할 수 있는 심층 인터뷰와 분석, 광범위한 2차 조사를 통해 성과를 심사한다. 프로스트 앤 설리번 어워드는 최상의 제품과 기업을 확인해 세계 경제에 혁신과 우수성, 긍정적인 변화를 이끄는데 일조하기 위해 개최된다 프로스트 앤 설리번 한국 어워드 수상자들은 매출 및 시장 점유율 성장, 제품 혁신에 관한 리더십, 마케팅 전략, 사업 개발 전략 등 다양 한 실제 시장 성과 지표들을 바탕으로 선정되었다. 3

4 SPECIAL REPORT 1H Ransomware Review 2016년 상반기 랜섬웨어 동향 랜섬웨어도 $how me the MONEY! $how me the MONEY!!! 최근 인기리에 방영되고 있는 힙합 음악 프로그램을 의미하는 것이 아니다. 그렇다고 한 시대를 풍미했던 게임인 스타크래프트의 치 트키를 의미하는 것도 아니다. 바로 최근 유행하고 있는 랜섬웨어의 특징을 한 문장으로 표현한 것이다. 해당 문장을 직역하면 돈을 나에게 보여줘 이지만, 돈 내놔 라는 의미로 쓰이는 속어이다. 오로지 돈! 최근 전세계적으로 유포되고 있는 랜섬웨어의 목적은 오로 지 돈이다. 이 글에서는 상반기에 이슈가 되고 있는 주요 랜섬웨어에 대해 알아보고, 상반기 랜섬웨어 유포의 특징과 예방법에 대해 살펴본다. 누군가가 내 정보를 암호화한다고? 암호화(Encryption)의 사전적 의미는 접근 권한이 없는 사람으로부터 정보를 보호하기 위해 알고리즘을 이용하여 정보를 의미 없는 문자열로 바꾸는 과정 이다. [그림 1] 기본적인 암호화 과정 기본적인 암호화 방식은 [그림 1]과 같다. 평문을 공개키(Public Key)를 이용하여 암호화하면 암호문이 생성된다. 이 암호문에 개인키(Private Key)를 이용하면 다시 평문으로 복호화된다. 즉, 암호화된 정보를 정상적인 정보로 복구하기 위해서는 개인키가 반드시 필요하다. 암호화의 주체는 해당 정보 생산자 또는 정당한 권한을 가지고 접근하는 사용자다. 암호는 기본적으로 정보의 가용성, 기밀성, 무결성을 보장 하기 위한 것으로, 특히 중요 정보일수록 기밀성을 유지하여 제한된 인원만 접근할 수 있도록 하는 것이 중요하다. 그러나 아무 연관이 없는 제 3자에 의해 암호화가 진행된다면 문제는 달라진다. 정당한 접근 권한이 없는 사람에 의해 암호화가 되면서, 정작 정당한 접근 권한을 가지고 있는 사람은 해당 정보를 이용할 수 없는 문제가 발생한다. 그리고 해당 정보를 이용하기 위해 암호를 풀 수 있는 정보, 즉 개인키를 돈을 지불하고 구입하라고 종용한다. 4

5 이러한 과정을 제 3자가 일일이 직접 수행하기는 매우 어렵고 번거롭다. 그렇기 때문에 모든 과정을 자동화한 프로그램을 만드는데, 해당 정보 에 정상적인 접근 권한을 가진 입장에서는 명백히 악의적인 행위이다. 따라서 이러한 프로그램은 악성코드로 분류한다. 특히 동작 방식이 인질 을 납치하는 것과 비슷해서, 랜섬웨어(Ransomware = Ransom + Software)라고 명명되었다. 랜섬웨어가 내 정보를 암호화하는 이유는 무엇일까? 앞에서 언급했듯이 랜섬웨어의 주목적은 오로지 돈이다. 당신이 가지고 있던 정보 또는 파일이 얼마나 중요하고 소중한 것인지는 중요하지 않다. 심지어 그 내용도 중요하지 않다. 랜섬웨어 제작자들은 오로지 돈만 받으면 된다. 원 하는 돈을 획득한 다음, 암호화되었던 파일이 정상적으로 복구되는지 여부도 사실은 중요하지 않다. 다만 비용을 지불하면 복구할 수 있다는 평판이 확보되어야 다른 피해자들의 비용 지불을 유도할 수 있기 때문에, 최근에는 비용을 지불할 경우 정상적으로 동작하는 복구툴을 제공하 는 사례가 늘어나고 있다. 2016년 발견된 주요 랜섬웨어 [그림 2] 2016년 발견된 랜섬웨어 올해 발견된 랜섬웨어는 몇 개나 될까? 안랩 시큐리티대응센터(ASEC)에서 집계한 결과에 따르면 버전 업그레이드된 것까지 포함해 1분기에 25개, 2분기에 27개로 총 52개(6월 10일 기준)이다. [그림 2]는 보안업체, 언론 등에서 다룬 랜섬웨어 중에서 고유한 특징이 확연하게 구분되는 경우에 한해 분류한 것이며, 보안 업체에서 다루지 않았거나 알려지지 않은 랜섬웨어까지 포함하면 그 수는 더욱 많을 것으로 추정된다. 2015년에 비해 2016년 상반기에 랜섬웨어가 폭발적으로 증가한 이유는 단순하다. 돈이 되기 때문이다. 2015년 10월에 발간된 사이버 위협 얼라이언스(Cyber Threat Alliance)의 수익성 좋은 랜섬웨어 공격: 크립토월 3.0 위협 분석(Lucrative Ransomware Attacks: Analysis of the CryptoWall Version 3 Threat) 보고서에 의하면, 크립토월 3.0의 제작자는 전세계적으로 3.25억 달러(한화 3900억 원)를 탈취한 것으로 추정 된다. 2015년 1월에 크립토월 3.0이 발견되어 10월에 해당 보고서가 발간되었기 때문에, 크립토월 3.0은 한 달에 약 350억 원 이상의 범죄 수 익을 발생시킨 것이다. 이처럼 단시간에 상상을 초월하는 수익을 만들어 낼 수 있기 때문에 악성코드 제작자들은 랜섬웨어로 몰려들고 있다. 심지어 금융 관련 악성 코드를 유포하던 드라이덱스 제작 그룹까지도 랜섬웨어 제작 및 유포에 뛰어들었다고 한다. 더욱이 RaaS(Ransomware as a Service)라고 해 서, 비용만 지불하면 제작부터 악성코드 유포, 관리까지 해주기 때문에 악성코드를 만들 수 있는 능력이 없는 사람도 뛰어들고 있는 상황이다. 벌 만큼 벌었다? 활동 종료 선언한 테슬라크립트(TeslaCrypt) 테슬라크립트(TeslaCrypt)는 [그림 3]과 같이 2016년에도 꾸준히 등장했다. 테슬라크립트는 주로 보안이 취약한 사이트에 취약점을 발생시키 는 코드를 삽입해 감염시키는 익스플로잇 킷(Exploit Kit)을 통한 감염 기법을 주로 사용했는데, 자바 스크립트 파일을 포함하는 압축 파일을 스팸 메일의 첨부파일로 유포하는 형태가 확인되기도 했다. [그림 3] 2016년 발견된 테슬라크립트 버전별 특징 5

6 테슬라크립트 3.0의 등장 2016년 1월에 테슬라크립트 3.0이 발견되었다. 2.0 버전이 파일의 확장명에.aaa,.abc,.ccc,.vvv 등을 추가했다면, 3.0 버전은.xxx,.ttt,.micro,.mp3 등을 추가하는 것으로 바뀌었다. 특히 2월에는 스팸 메일에 첨부된 zip 파일 내부에 JS(Java Script) 파일이 포함되어 유포된 사 례가 발견되었다. JS 파일을 이용한 유포 방법은 록키 랜섬웨어 유포에도 악용되면서 큰 파장을 일으킨다. 안티바이러스 제품들의 이전 버전에 대한 진단이 강화되자, 이러한 진단을 우회하기 위한 진단 회피 기능을 강화한 것이 특징이다. 확장명을 바꾸지 않는 테슬라크립트 4.0 테슬라크립트 3.0이 나타난지 얼마 지나지 않은 3월에 테슬라크립트 4.0이 발견되었다. 테슬라크립트 4.0은 파일 암호화를 마치고 확장명을 추가하던 이전 버전과 달리, 확장명을 바꾸지 않아 감염 사실을 알아차리기 힘들다. 대부분 데이터 파일을 읽으려고 할 때 오류가 발생하는 것 으로 알아차리는 경우가 많다. 그 이후로 일부 기능을 개선하여 4월에 4.1 버전, 4.2 버전이 연속적으로 발견되었다. 테슬라크립트의 허무한 종말 [그림 4] 테슬라크립트의 복호화 마스터키 공개 2016년 5월 18일에 믿을 수 없는 일이 벌어졌다. 테슬라크립트에 의해 암호화된 모든 파일의 암호화를 풀 수 있는 복호화 마스터키가 공개 된 것이다. 사건의 전말은 이렇다. 이셋(ESET)의 연구원이 라이브 챗(Live Chat)에서 테슬라크립트 제작자에게 복호화 마스터키(Decryption Master Key)를 제공해 줄 수 있는지 물어봤을 뿐인데, 제작자들이 단박에 제공해준 것이다. 그리고 [그림 4]와 같이 결제 페이지에 접속 하면 테슬라크립트의 종료를 알리는 글과 함께 복호화 마스터키를 공개해 놓았다. 특히 5월 22일에는 보안 전문가들이 제작한 복호화 툴 (BloodDolly Decryption Software)까지 제공해주는 친절함을 보이기도 했다. 2016년 상반기 전세계를 뒤집어 놓은 록키(Locky) 2016년에 발견된 악성코드 중에 가장 기억에 남는 악성코드를 꼽으라면 바로 록키(Locky)를 언급할 정도로, 록키 랜섬웨어는 전세계적으로 상상을 초월할 정도로 많이 유포되어 악명을 떨쳤다. 2016년 2월에 발견된 록키 랜섬웨어는 감염되면 파일의 확장자에.locky가 추가되는 것 이 특징이다. [그림 5] 록키 랜섬웨어를 다운로드하는 JS 파일이 포함된 스팸 메일의 첨부 파일 초기에는 스팸 메일에 악성 매크로가 포함되어 있는 문서 파일(.doc 등)을 첨부한 형태로 유포되었으며, 3월부터 최근까지는 [그림 5]와 같이 JS 파일을 이용한 유포가 계속되었다. 해외에서 스팸 메일을 통해 금융 관련 악성코드인 다이어(Dyre 또는 Dridex)를 유포하던 제작 그룹이 합류한 것으로 알려져 있다. 그 영향으로 JS 파일을 첨부한 스팸메일을 유포하는 양이 상상을 초월해서 전세계 안티바이러스 업체 대부분이 JS 파일 변형에 대응하는 문제로 몸살을 앓았다. 특히 3월 말부터는 한글 파일(.hwp)이 암호화 대상에 포함되었다. 6

7 암호화 사실을 음성으로 알려주는 서버(CERBER) 3월 초에 발견된 서버(CERBER)는 감염되면 사용자의 데이터가 암호화된 사실을 음성으로 안내해주는 것이 특징이다. 또 파일명을 영문과 숫 자가 조합된 10자리 문자열로 바꾸고 확장명을.cerber로 변경한다. 특히 감염되면 암호화 이후 자동으로 재부팅되어 안전모드로 진입하는데, 사용자가 정상모드로 다시 부팅하면 서버 랜섬웨어의 결제 안내화면이 나타난다. 취약한 광고 서버의 플래시(Flash) 파일을 통해 악성코드를 유포하는 멀버타이징(Malvertising) 기법이 사용되었으며, 특히 이 과정에서 뉴클리어 익스플로잇 킷(Nuclear Exploit Kit)을 사용한 것으로 알 려져 있다. 그리고 러시아의 블랙마켓에서 RaaS(Ransomware-as-a Service)로 판매된 사례가 발견되기도 하였다. 대부분의 문서 파일들을 대 상으로 하지만, 한글 파일(.hwp)은 암호화 대상에서 빠져 있다. [그림 6] 서버 랜섬웨어 감염 화면 암호화 속도를 빠르게 하려는 마크툽(Maktub) 3월 말에는 마크툽(MAKTUB) 랜섬웨어가 발견되었다. 마크툽은 아라비아 언어로 This is written 또는 This is fate(운명/숙명) 를 의미한다. 일반적으로 랜섬웨어가 원본 파일을 그대로 암호화하는데 반해, 마크툽 랜섬웨어는 원본 파일을 압축한 다음 암호화를 진행한다. 파일을 압축 할 경우 파일 크기가 줄어들기 때문에 원본 파일을 암호화하는 것보다 상대적으로 암호화 속도가 빠르다. 원본 파일 자체를 암호화할 경우 시 간이 오래 걸리는 단점을 극복하기 위한 것으로 보인다. 한글 파일(.hwp)이 암호화 대상에 포함되어 있으며, 확장명에 랜덤한 7자리 문자열이 추가되는 것이 특징이다. [그림7] 마크툽 랜섬웨어 감염 화면 랜섬웨어의 고정 관념을 흔들어 놓은 페트야(PETYA), 미샤(Mischa) [그림 8] MBR도 암호화하는 페트야, 미샤 랜섬웨어 7

8 지난 3월에는 단순하게 화면을 띄워 PC를 잠그고 공포감을 유발시키거나 사용자의 파일을 암호화 하는 것을 넘어 사용자 PC의 MBR(Master Boot Record) 영역까지 암호화하는 페트야 랜섬웨어가 등장했다. 이전 공격 기법들은 윈도우 폴더와 같은 시스템 폴더들을 암호화하지 않는 이상 PC 부팅에는 크게 영향을 주지 않았다. MBR 영역은 각각의 파티션 정보와 운영체제가 설치되어 있는 위치 정보를 가지며 부팅과 관련된 중요한 역할을 수행한다. MBR 영역을 암호화하는 과정에서 오류라도 발생하면 해당 PC는 사용 자체가 불가능할 수도 있다. 사용자 PC 자체를 잠그고 원천적으로 사용을 못하게 막아버린 후 금전을 요구하는 형태로 볼 수 있다. [그림 9] MBR도 암호화하는 페트야 랜섬웨어 감염 화면 5월 중순에는 기존의 페트야보다 기능이 강화된 미샤(Mischa)가 등장했다. 앞서 페트야가 MBR 영역에 대한 암호화만 진행했다면, 미샤는 MBR 암호화와 사용자 파일(데이터) 암호화 중 하나를 선택적으로 진행할 수 있다. 주로 스팸 메일에 포함되어 있는 URL 링크를 통해 다운로 드 후 실행하도록 유도한다. 악성코드가 실행되면서 사용자 계정 콘트롤(UAC) 알림창이 발생한다. [그림 10] UAC(사용자 계정 콘트롤) 화면 [그림 10]과 같은 알림창에서 예(Y) 를 누르면 주요 안티바이러스 제품들을 무력화하는 행위를 수행한 다음 MBR 암호화를 진행한다. 암호화가 완료되면 페트야 랜섬웨어와 동일한 화면이 출력된다. 페트야와 동일하게 확장명 변경은 하지 않는다. 반대로 아니요(N) 또는 닫기(X) 버튼 을 선택하면 사용자 파일에 대한 암호화를 수행하고, 확장명에 랜덤한 4자리 문자열을 추가한다. 기존 파일 암호화 랜섬웨어와 페트야의 MBR 암호화 기능이 통합된 버전으로 볼 수 있다. 특히 미샤는 RaaS를 통해 제작 서비스를 제공하며, 피해자들이 지불하는 금액을 제작자와 유포자 들이 서로 나눠 갖는다. [그림 11] 페트야와 동일하게 MBR을 암호화하는 미샤 랜섬웨어 8

9 [그림 12] RaaS 제작 서비스를 제공하는 미샤 랜섬웨어 최근 대세로 떠오른 크립트엑스엑스엑스(CryptXXX) [그림 13] 최근 증가하고 있는 크립트엑스엑스엑스 랜섬웨어 2016년 4월부터 발견되기 시작한 크립트엑스엑스엑스는 갑자기 광범위하게 유포되면서 그 세력을 넓혀가고 있다. 주로 플래시나 인터넷 익스 플로러의 취약점을 악용한 익스플로잇을 통해 유포되었다. 감염되는 과정에서 드롭퍼(Dropper)가 확인되지 않는 파일리스(Fileless) 형태로 감 염되는 것이 가장 큰 특징이다. 드롭퍼란, 궁극적으로 감염시키고자 하는 악성코드를 시스템에 설치하기 위한 악성코드로, 설치 파일과 비슷한 개념으로 생각하면 쉽게 이해 할 수 있다. 일반적으로 익스플로잇 킷을 통해 취약점이 동작하면 이러한 드롭퍼를 다운로드하는데, 이러한 드롭퍼가 실행되면서 최종적으로 감염시키고자 했던 악성코드를 생성하거나 다운로드하여 감염시킨다. 그러나 크립트엑스엑스엑스는 이러한 드롭퍼를 생성하지 않는다. 별도 파일로 생성하지 않고, 메모리상에서만 해당 기능을 수행하는 코드를 수행하고 종료한다. 따라서 드롭퍼 악성코드는 존재하지 않고, 최종적으로 랜섬웨어 기능을 수행하는 DLL 파일만 생성된다. 이러한 형태를 파 일리스(Fileless) 형태라고 하는데, 일반적으로 안티바이러스 제품의 탐지를 우회하기 위해 사용하는 기법으로 알려져 있다. 지난 6월 초에 국내 유명 대형 커뮤니티를 통해 유포되면서 많은 피해가 발생했다. 특히 테슬라크립트와 마찬가지로 한글 파일(.hwp)이 암호 화 대상에 포함되어 있어 주의가 요구된다. 크립트엑스엑스엑스 1.0이 발견된지 약 3주 정도 지난 5월 중순에는 2.0 버전이 발견되었다. 상당히 빠르게 버전 업그레이드를 했는데, 기존 1.0으로 암호화한 파일에 대해 카스퍼스키 랩(Kaspersky Lab)에서 복호화할 수 있는 툴을 제공하자, 이를 우회하기 위해 암호화 모듈을 향상 시킨 것으로 보인다. 나머지 기능들은 대부분 1.0과 동일하지만, 감염된 이후 특정 시간이 지나면 화면도 잠궈 버리는 락 스크린(Lock Screen) 기능이 추가되었다. 그리고 감염 과정에서 생성된 CryptXXX DLL 파일이 암호화가 완료되면 자동으로 삭제되는 등의 기능도 추가되었다. 국내 에서는 익스플로잇 킷으로 유포된 사례가 다수 발견되었다. 크립트엑스엑스엑스 2.0 버전을 발견한지 2주도 되지 않은 5월 말에 3.0 버전이 확인되었다. 기본적인 기능은 1.0, 2.0 버전과 동일했지만, 암 호화를 완료하고 12분 뒤에 락 스크린(Lock Screen)하는 기능이 추가되었고, 암호화 기능이 더욱 강력해졌다. 2.0 버전을 발견하고서 얼마 지 나지 않아 카스퍼스키 랩에서 복호화 툴을 내놓자 제작자들이 서둘러서 암호화 모듈을 업그레이드하여 3.0 버전을 내놓은 것으로 보인다. 기 9

10 능을 강력하게 하려다 코드에 오류(버그)가 있어서 자신들이 만든 복호화 툴로도 정상적으로 복구되지 않는 문제가 발생했다. 이로 인해 악성 코드 제작자들에게 복구 비용을 지불한 경우에도 복구할 수 없는 사례가 발견되었고, 이에 제작자들이 해당 오류를 해결한 3.1, 3.2 버전을 연 이어 내놓았다. 크립트엑스엑스엑스 3.0에서는 기존 버전과 다르게 확장명을.Crypt 뿐 아니라.Cryp1,.Crypz로 변경한 사례가 발견되었다. 이는 제작자들이 3.0 버전에서 발생한 오류를 구별하기 위한 것으로 추정된다. 지난 6월 초에 국내 유명 대형 커뮤니티에서 유포된 랜섬웨어 가 바로 크립트엑스엑스 3.0 버전이다. 플래시로 제작된 특정 사이트의 광고 모듈이 취약한 점을 이용해 멀버타이징(Malvertising) 기법을 통 해 유포된 사례로, 해당 광고 업체의 모듈을 사용한 대부분의 사이트에서 피해가 발생한 것으로 알려져 있다. 2016년 랜섬웨어 급증 원인 [그림 14] 2016년에 급증한 랜섬웨어 관련 문의 지금까지 살펴본 바와 같이, 2015년에 비해 2016년에 랜섬웨어가 폭발적으로 증가했다. [그림 14]는 안랩 시큐리티대응센터(ASEC)를 통해 접 수된 랜섬웨어 관련 문의 통계다. 각 월별 랜섬웨어 문의 접수 건수와 전체 문의 중 차지하는 비중을 나타낸 것으로, 2015년 4월을 제외하면 2015년 4분기에 급증했고, 2016년 1분기부터 다시 급증하는 것을 확인할 수 있다. 2015년 4월에 급증했던 것은 국내 유명 커뮤니티 사이트에서 유포된 크립토락커로 인한 영향이 크다. 특히 이때 유포된 크립토락커는 한글화 된 것으로 큰 이슈가 되었다. 그리고 2015년 10월부터 12월까지 급증한 것을 확인할 수 있는데, 이 시기에는 테슬라크립트와 크립토락커가 활발하게 활동하면서 피해가 확산되었기 때문이다. 2016년 3월에 폭발적으로 증가한 것은 록키와 연관이 있다. 록키는 3월부터 자바 스크립 트를 스팸 메일의 첨부 파일에 포함시켜 전세계적으로 대량 유포하는 방법을 사용했는데, 그 영향력이 상당했던 것으로 보인다. 그리고 4월은 테슬라크립트가 활동을 종료하기 전에 마지막으로 활발하게 활동했던 시점이기도 하고, 크립트엑스엑스엑스가 등장했던 시기여서 피해가 크 게 발생한 것으로 보인다. 랜섬웨어, 정보보다는 돈!!! [그림 15] 다른 악성코드에 비해 랜섬웨어가 가지는 특징 2015년보다 2016년에 랜섬웨어의 활동이 급증한 이유는 무엇일까? 먼저 랜섬웨어가 사이버 범죄에 있어 기존 악성코드와 다른 점에 대해 알 아볼 필요가 있다. 국내 사례부터 살펴보면, 2014년 말~2015년 초까지 국내에서 이슈가 되었던 파밍 악성코드와 그 이전에 국내에서 대량 유포되었던 온라인게 10

11 임핵 악성코드의 경우, 모두 정보 유출형 악성코드이다. 스팸 메일의 첨부 파일을 이용하거나 보안이 취약한 웹 사이트를 악용하는 드라이브 바이 다운로드(Drive-by-download) 방식을 통해서 악성코드를 유포하고 피해자 PC를 감염시키는 과정은 거의 비슷하다. 그러나 온라인게임 핵 악성코드는 감염 후 피해자의 게임 아이디와 패스워드를 탈취하고, 피해자 대신 접속해서 캐릭터의 주요 아이템과 게임 화폐 등을 게임 아 이템 거래 시장에서 제 3자에게 되파는 것으로 수익을 창출한다. 파밍 악성코드도 이와 유사하다. 피해자 PC에 악성코드를 감염시키고 피해자 를 속이면서 피해자의 인터넷 뱅킹 관련 정보를 탈취한다. 그리고 피해자 대신 접속하여 통장에 있던 잔고를 모두 가로채 버린다. 악성코드 제작자 입장에서는 훔칠 대상이 필요하다. 훔치려는 정보의 가치는 피해자 입장에서 높을 수 밖에 없는 건 당연하고 제작자 입장에 서도 높아야 한다. 그래야 최대한의 범죄 수익을 만들어 낼 수 있기 때문이다. 온라인게임핵이 노리는 아이템과 게임 화폐 등은 인기가 좋거나 희귀한 아이템인 경우에는 상당한 고가에 거래되기 때문에 악성코드 제작자들의 공격 대상이 된다. 파밍 악성코드 역시 인터넷 뱅킹 관련 정 보는 피해자의 금융 계좌에 직접 접근하여 돈을 빼낼 수 있기 때문에 악성코드 제작자들의 좋은 공격 대상이다. 악성코드 제작자들 입장에서 는 그 자체로 돈이 되지 않거나, 제 3자에게 되팔지 못하는 정보는 관심 대상이 될 수 없다. 침해사고를 통한 정보 유출 경우에도 마찬가지이다. 얼마 전 세계적으로 유명한 SNS 서비스의 계정 정보가 유출되는 사고가 발생했고, 이렇게 유출된 계정 정보들은 500~600달러 정도에 판매되었다. 또한 특정 기업이나 국가 기관의 기밀 정보와 중요 정보를 탈취해야 피해자를 협박하 거나 제 3자에게 되팔 때 최대한의 금전적인 수익을 만들 수 있기 때문에 탈취 대상이 되는 정보의 가치는 높으면 높을수록 선호하게 된다. 금 전적인 목적이 아닌 정치적인 목적, 즉 핵티비즘(Hacktivism)인 경우에도 마찬가지다. 상대방에게 가장 큰 타격을 주는 것이 목표이기 때문에 정보의 가치가 높으면 높을수록 공격자들의 선호도는 높아질 수 밖에 없다. 공격의 대상이 되는 정보는 피해자에게 상당히 중요한 것은 당연 한 것이고, 악성코드 제작자들의 입장에서도 그 정보의 가치가 상당히 중요한 것이다. 랜섬웨어는 다르다. 암호화 대상이 되는 파일들의 중요도는 제작자들 입장에서는 전혀 고려 대상이 아니다. 확장자 기반으로 암호화를 하기 때 문에 이 과정에서 금전적으로, 또는 업무적으로 중요하거나 추억이 깃든 사진처럼 피해자 입장에서는 정보의 가치가 높은 것까지 포함될 수 있다. 그러나 랜섬웨어 제작자의 목적은 오로지 돈이다. 돈만 벌면 되기 때문에 랜섬웨어 제작자들에게 암호화된 파일의 가치는 의미가 없다. 랜섬웨어가 대부분 개인 사용자를 대상으로 하고 있으며, 외부로 원본 파일을 유출하지 않고, 피해자들에게 비트코인으로 직접 결제하라고 요 구하는 점 등이 그 방증이다. 랜섬웨어는 위험 대비 고수익 랜섬웨어 제작자들의 목적은 오로지 돈이다. $how me the MONEY!! 수익을 극대화하기 위해 수단과 방법을 가리지 않는다. 특히 이들은 확 보된 수익을 바탕으로 랜섬웨어 악성코드의 기능을 개선하고 추가한다. 암호화 알고리즘을 개선하고, 알려진 버그를 수정하고, 암호화 대상을 확대하고, 복구 기능들을 무력화하는 기능을 추가한다. 개선된 악성코드를 다시 유포해서 피해를 발생시키고, 수익을 만들어낸다. 즉 사용자의 복호화 비용 지불이 추가적인 기능 강화와 유포 확대로 이어지는 악순환이 반복되고 있는 것이다. 앞서 언급한 바와 같이 사이버 위협 얼라이언스(Cyber Threat Alliance)가 발간한 보고서에 따르면 크립토월 3.0의 제작자는 전세계적으로 3.25억 달러(한화 3900억 원)를 탈취한 것으로 추정된다. 크립토월뿐만 아니라 다른 수많은 랜섬웨어까지 고려해보면, 랜섬웨어로 인해 발생 하는 전체 피해는 수조 원 이상은 충분히 되지 않을까 추론해 볼 수 있다. 이러한 랜섬웨어 제작자들 입장에서 안티바이러스 업체를 포함한 보안 업계의 전방위적 대응은 이들의 수익을 감소시키는 원인이 된다. 따라 서 안티바이러스의 탐지를 우회하고, 감염 기법을 바꾸고, 목표물을 더욱 다양하게 하고, RaaS를 통해 추가적인 수익을 만들어내는 방법으로 수익을 극대화하기 위한 노력을 지금도 계속 진행 중이다. 랜섬웨어의 보안 솔루션 진단 우회 랜섬웨어 제작자 입장에서 보안 업체는 눈엣가시일 수 밖에 없다. 보안 솔루션에서 진단이 많이 될수록 자신들의 수익이 줄어들기 때문이다. 이에 보안 솔루션의 진단을 우회하는 방향으로 진화하고 있다. 가장 큰 특징은 감염되면서 생성하는 흔적을 바꾸는 것이다. 엄청나게 쏟아져 나오는 악성코드를 일일이 분석하기 어렵기 때문에, 대다수의 보안 업체에서 행위기반 탐지 기법을 사용한다. 악성코드가 감염되면서 생성한 정보들을 바탕으로 감염 여부를 확인하거나, 행위기반 탐지를 강화하는데 사용한다. 이러한 생성 정보들에 변화를 주면서 보안 솔루션의 대응 을 우회하려는 시도는 계속 된다. 또 하나의 진단 우회 방법은 진단되지 않을 때까지 지속적으로 코드를 수정하는 것이다. 악성코드를 효율적으로 진단하기 위해 악성코드의 특 징들을 묶어서 공통적인 특징을 뽑아내서 진단하게 되는데, 진단되는 부분을 찾아서 진단되지 않을 때까지 수정하거나 암호화하는 크립팅 서 비스(Crypting Service) 라는 방법으로 진단을 우회하는 것이다. 바이러스토탈과 같은 사이트는 보안 업계 종사자들뿐 아니라 악성코드 제작자 들도 진단 여부를 확인하는데 쓸 수 있다는 점을 간과해서는 안 된다. 랜섬웨어 감염 기법의 전환 보안 솔루션의 진단을 우회하는 것과 함께 시도되는 것이 감염시키는 방법을 바꾸는 것이다. 다르게 말하면 전술에 변화를 주는 것이다. 악성코 드를 유포할 때는 보통 가장 효과가 좋았던 방법을 유지하는 특성이 있다. 악성코드에 대응하는 것 역시 이러한 특성을 고려하여 진행된다. 악 성코드 제작자들이 유포 방법이나 감염 방법에 변화를 주면, 대응하는 입장에서는 이를 놓치거나 당황하기 쉽다. 일반적인 사용자들은 더욱 인 11

12 식하기 어렵다. 즉, 보안 솔루션의 진단 회피와 피해자를 기만하기 위한 목적이 가장 크다. 특히 2016년 상반기는 이러한 특징이 두드러진다. 기존에는 외부에 접속해서 암호화에 필요한 공개키를 다운로드하여 사용하는 특징이 있었다. 그러나 자바 스크립트 형태로 작성된 최초의 랜 섬웨어로 알려진 랜섬32(Ransom32)가 올해 1월에 발견되었는데, 외부 접속 없이 암호화가 진행되는 오프라인(Offline) 암호화 기법이 적용 되어 화제가 되었다. 그 이후로 많은 수의 랜섬웨어들이 외부 접속 없이 스스로 암호화를 진행하는 기법을 채택했다. 그 뿐만 아니라 전통적으로 첨부하던 파일 포맷에서 벗어나, 새로운 포맷의 파일을 스팸 메일에 첨부하는 방법을 채택했다. 기존에는 실행 파 일(EXE, SCR)을 첨부하거나, 문서 파일(PPTX, DOCX, XLSX)에 악성 행위를 하는 매크로를 포함시켜 첨부하거나, 이러한 파일들을 압축(ZIP, RAR)하여 첨부하는 방식을 사용해왔다. 그러나 록키 랜섬웨어의 경우 자바 스크립트 파일, 즉.js 확장자를 가지는 파일을 ZIP 압축 파일로 묶 어서 유포하는 방식을 사용했다. 기존과 다르고 잘 알려지지 않은 아이콘이기 때문에 피해자들은 큰 의심 없이 클릭해서 실행하면서 감염되는 사례가 다수 발견되었다. 또한 스팸 메일의 첨부 파일로 유포하는 것과 함께 취약한 웹 서버나 광고 서버를 통해 플래시, 인터넷 익스플로러의 취약점을 이용하여 악성 코드를 감염시키는 드라이브 바이 다운로드 기법이 상당히 많이 활용되었다. 기존 온라인게임핵 악성코드와 파밍 악성코드의 유포에도 많이 활용되던 방법이지만, 최근에 발견된 제로데이 취약점들까지 포함된 익스플로잇 킷(Exploit Kit / EK)을 이용해 많은 피해를 발생시켰다. 대표 적으로 앵글러(Angler) EK, 뉴트리노(Neutrino) EK, 리그(RIG) EK, 뉴클리어(Nuclear) 등이 있으며, 상반기에 가장 활발한 활동을 보였던 앵글 러 EK는 최근 활동이 주춤해진 상태이다. 감염 대상 목표물의 다각화 랜섬웨어는 피해자의 체감 피해를 키워서 수익을 극대화시키기 위해, 감염 대상을 보다 더 구체화하여 특정 환경 사용자들을 대상으로 삼기 시작했다. 2016년 1월에 발견된 랜섬32의 경우 웹 개발 모듈이 설치된 개발자 환경 또는 파워 유저 환경을 대상으로 했으며, 2월 말에 발견된 CTB 록커 포 웹(CTB-Locker for Web)은 웹 서버 환경에서 동작하도록 설정되어 있다. [그림 16] 웹 개발자 모듈이 설치된 개발자 환경을 노리는 랜섬32 이 랜섬웨어는 시스템이 서버인지 여부를 확인하는 과정과 함께 파일을 암호화하는 폴더들도 조금씩 다른 특성을 가지고 있다. 불필요한 폴 더를 제외하거나, 일반적인 PC 사용자가 데이터를 저장하는 위치만 골라서 암호화하는 경우도 발견되고 있다. 그리고 삼삼(SaMaS 또는 SAMSAM)으로 알려진 랜섬웨어의 경우, 의료기관이나 헬스케어 관련 기업들을 대상으로 한 것으로 알려져 있다. 이와 같이 최근에는 특정 환 경의 사용자만 감염되도록 하여, 체감 피해를 극대화하기 위한 다양한 시도들이 계속 되고 있다. 랜섬웨어도 대신 만들어주는 RaaS의 등장 요즘 돈을 지불하면 하객도 해주고, 운전도 대신 해주고, 별풍선을 지불하면 음식도 대신 먹어주는 시대이다. 랜섬웨어 제작 역시 돈을 지불하 면 대신 해주는 시대가 되었으며, 이를 두고 RaaS(Ransomware as a Service)라고 한다. 말 그대로 프로그래밍을 모르는 단순 초보자도 돈만 내면 쉽게 랜섬웨어를 만들고 유포하고 관리하면서 발생하는 범죄 수익에 대한 관리까지 손쉽게 할 수 있는 것이다. 12

13 [그림 17] 랜섬32가 제공하는 RaaS 서비스 랜섬웨어의 종류가 너무 많아짐에 따라 랜섬웨어 제작자들도 부익부빈익빈 현상이 갈수록 심해지는 특징을 보인다. 유명한 랜섬웨어는 수익을 많이 내면서 유포 서버를 늘리고, 이를 통해 더 많은 수익을 올리고 있다. 반면, 유명하지 않은 랜섬웨어는 추가적인 수익을 내지 못해 차기 버 전을 내놓지 못하고 사장되는 것이 현실이다. 그래서 이들은 랜섬웨어를 대신 만들어주는 쪽으로 방향을 전환하고 있는 것으로 보인다. [그림 18] 400달러에 거래되는 크립토락커 3.1 RaaS 랜섬웨어 블랙마켓은 RaaS를 제공하는 조직을 최고 정점으로, 피라미드 형태로 조직을 키우고 분화시키고 있는 것으로 추측된다. 랜섬웨어 제 작자들은 피해자로부터 직접 수익을 얻을 뿐 아니라, RaaS를 통해 대행 서비스를 제공해주면서 이중으로 수입을 올리는 것이다. RaaS로 잘 알 려져 있는 랜섬웨어로는 랜섬32, 크립토락커, 페트야의 변형인 미샤 등이 있다. [그림 19] 미샤 랜섬웨어 RaaS의 수익 배분 비율 미샤 랜섬웨어의 경우 일주일에 5 BTC(비트코인) 이하의 수입을 올리면 25%, 125 BTC 이상의 수익을 올리면 85%의 수익을 제작자에게 제공 해야 한다. 악성코드 제작 대행 의뢰자가 큰 수익을 낼 경우, 제작자가 그 수익의 대부분을 가져갈 수 있도록 하는 구조로 되어 있다. 이와 같이 랜섬웨어 제작부터 관련 C&C 관리, 비트코인 수익 배분 등 다양한 기능을 클릭 몇 번으로 해결할 수 있는 서비스를 제공한다. 이제는 하나의 커다란 시장을 형성하고 있다고 해도 과언이 아니며, 이러한 특성으로 인해 2016년에 폭발적으로 많은 랜섬웨어가 출현한 것으로 파악된다. 13

14 일반 PC 사용자를 위한 랜섬웨어 예방법 취약점 중에 가장 크고 문제가 되는 취약점은 다름 아닌 사람이다 라는 표현이 있다. 아무리 좋고 뛰어난 보안 솔루션을 도입해서 사용한다고 하더라도 최종 사용자는 결국 자유의지를 가지고 있는 사람이기 때문에 그만큼 통제하기 어렵다는 뜻이다. 그 뿐 아니라 보안의 중요성을 강 조하고 사용자 규제를 강하게 해버리면 사용자의 불편은 말할 것도 없고 해당 조직의 생산성마저 영향을 받게 되는 딜레마에 빠지게 된다. 따 라서 이 부분은 보안 담당자들의 영원한 숙제일 수 밖에 없다. 반대로 생각해보면 사용자들이 안전하게 PC를 사용할 수 있다면 랜섬웨어의 위 협으로부터 상당 부분 벗어날 수 있다는 것을 의미한다. 랜섬웨어 예방법은 다음과 같다. 1. 윈도우 최신 버전 설치 2. 마이크로소프트(Microsoft)에서 매달 둘째 주 수요일에 발표하는 윈도우 보안 업데이트 적용 3. 인터넷 익스플로러가 아닌 엣지(Edge), 크롬(Chrome), 파이어폭스(Firefox) 등 다른 브라우저 사용 4. 인터넷 브라우저, 자바, 플래시 플레이어의 최신 버전 사용 5. 자바, 플래시 플레이어가 반드시 필요하지 않으면 가급적 PC에서 제거 6. 주기적인 데이터 백업의 생활화 7. 백신 프로그램의 올바른 사용 8. 불필요하거나 본래 목적에서 벗어난 무분별한 PC 사용 자제 9. 공짜 사이트는 악성코드의 온상임을 명심 10. 수상한 이메일 열람과 첨부 파일 실행 자제 위의 예방법 중에서 새로운 내용은 전혀 없다. 이러한 예방법을 모두 지키는 것이 귀찮고 힘들다면, 꾸준하게 데이터를 백업하는 습관 하나만이 라도 제대로 가지면 랜섬웨어로 인한 피해를 최소화할 수 있다. 외장하드와 같이 백업 데이터를 저장하기 위한 스토리지를 최초 구입하는 비용 을 제외하면 추가적으로 비용이 발생하지 않는 보험이라고 할 수 있기 때문에 데이터 백업 이라는 보험에 가입하는 것을 적극적으로 권한다. 다차원으로 접근하는 입체적 대응 전략 필요 지금까지 랜섬웨어에 대한 전반적인 내용에 대해 살펴보았다. 랜섬웨어를 가장 잘 설명해주는 문장인 $how me the MONEY!! 가 어떤 의미 인지, 랜섬웨어가 2016년에 왜 갑자기 급증했는지 등에 대한 이유를 알아보았다. 그리고 개인 사용자의 안전한 PC 사용이 왜 중요한지까지 알 아보았다. 가장 중요한 것은 사용자의 자발적인 예방 실천이겠지만, 자유의지를 가지고 있는 사람을 통제하기란 쉽지 않은 문제다. 그러나 사 람에 대한 관리가 제대로 되지 않으면 수많은 솔루션으로 중무장해도 막을 수 없다. 따라서 기업 보안 담당자는 조직원들이 랜섬웨어 예방을 위한 안전한 PC 사용 수칙을 준수하도록 가이드하는 것과 동시에 네트워크와 엔드포 인트 부분에서 차단해주고 관리해 줄 수 있는 보안 솔루션을 효과적으로 운영해야 한다. 사용자를 효과적으로 관리하고 통제할 수 있는 PC 취 약점 점검 솔루션, 알려진 위협에 가장 효과적으로 대응할 수 있는 것으로 알려진 안티바이러스 솔루션, 그리고 알려지지 않은 보안 위협에 대 응하기 위한 지능형 위협 대응 솔루션 등을 통한 효과적이고 입체적인 대응 전략 구축이 필요하다. 참고 자료 1. 잔혹한 악의 화신, 랜섬웨어 Top 부_랜섬웨어, 알아야 막을 수 있다 부_이상적인 vs. 현실적인 랜섬웨어 대응 방안 년 1분기 최악의 랜섬웨어, 어떤 게 있나? 5. 랜섬웨어, 무엇이 어떻게 달라졌나? 6. 빠르게 진화하는 랜섬웨어, 변종 주의! 7. Criminals behind CryptoWall 3.0 Made $325 Million 8. Lucrative Ransomware Attacks: Analysis of the CryptoWall Version 3 Threat 9. Locky ransomware, disguised in Word docs, latest from Dridex creators ESET releases new decryptor for TeslaCrypt ransomware TeslaCrypt shuts down and Releases Master Decryption Key TeslaCrypt Developers recommend TeslaDecoder to Decrypt Files What's cooking? Dridex s New and Undiscovered Recipes Group Behind CryptoWall 3.0 Made $325 Million: Report Antivirus is Dead: Long Live Antivirus! Ransom32 look at the malicious package Locky Ransomware Installed Through Nuclear EK 14

15 SPOTLIGHT AhnLab ISF Square 2016 안랩, 공공 및 교육기관을 위한 ISF Square 2016 진행 변화 속에서 흔들림 없는 대응을 말하다 안랩은 지난달 공공 및 교육 기관의 보안 책임자를 대상으로 안랩 ISF Square 2016(이하 ISF 스퀘어 2016) 를 진행했다. ISF 스퀘어 2016은 지난 4월 은행 및 카드사를 시작으로 증권사, 건설사, 유통사에 이어 공공 및 교육 기관까지 2개월 여 동안 6개 분야의 정보 보호최고책임자(CISO) 및 보안 책임자 200여 명을 직접 만나 산업군별 특성에 따른 맞춤형 보안 전략 및 솔루션 을 제공했다. 지난 6월 8일, 서울 양재동 L타워에서 공공 및 교육기관을 위한 ISF Square 2016이 개최됐다. 이날 약 80명의 공공 및 교육기관 보안 책임자 가 참석한 가운데, 안랩은 변화하는 IT 환경의 최신 보안 위협에 대한 상세한 정보와 대응 전략을 공유했다. 안랩은 공공 및 교육기관 보안 책임자를 위한 ISF 스퀘어 2016에서 공공 및 교육기관이 당면한 최신 보안 위협과 대응 방안을 설명했다. 15

16 권치중 안랩 대표이사는 고객이 현장에서 느끼는 어려움을 듣고 경험과 정보를 공유함으로써 해법을 찾는 것이 ISF 스퀘어의 취지 라고 말했다. 권치중 안랩 대표이사는 환영사를 통해 공공기관의 보안은 국가 안보와 시민들의 정보 보호에 밀접한 관계가 있는 만큼 최신 IT 환경의 변화 와 끊임없는 신종 공격으로 인해 고민이 크다 며 ISF 스퀘어를 통해 최신 위협 동향과 안랩의 전문적인 정보를 공유함으로써 공공 및 교육기 관 보안 책임자의 어려움을 해결하는데 도움이 되길 바란다 고 전했다. 치명적인 랜섬웨어, 무엇 이 중요한가 분야를 막론하고 현재 가장 심각한 보안 이슈는 랜섬웨어다. 특히 최근 세무 관련 분야에서도 랜섬웨어에 감염된 사례가 있었던 것으로 알려 지면서 이제 공공 기관도 랜섬웨어로부터 자유로울 수 없다는 것이 전문가들의 지적이다. 박태환 ASEC대응팀 팀장 안병무 제품기획팀 차장 이와 관련해 ASEC대응팀 박태환 팀장은 랜섬웨어를 통해 살펴보는 최신 보안 트렌드 라는 주제로 주요 랜섬웨어의 특징과 최신 랜섬웨어 공 격 기법의 변화를 설명했다. 박태환 팀장은 지난해 말부터 랜섬웨어 제작자들이 개인에서 기업으로 공격 대상을 확대하고 조직적인 공격을 시작했다 고 전했다. 이어 랜섬웨어 등 최신 위협은 단순히 사람이 조심해서 대응할 수 있는 수준이 아니다 라며 이제 공공기관에서도 조직 적이고 입체적인 대응을 고민할 필요가 있다 고 강조했다. 박태환 팀장이 강조한 입체적인 대응이란 이메일 등 외부에서 유입되는 것뿐만 아 니라 내부 컴퓨터간 통신 구간에 대한 모니터링과 조치 등을 포함한다. 안병무 안랩 제품기획팀 차장은 지능형 보안 위협에 대한 최선의 대응 방안 이라는 주제로, 공공 및 교육기관의 IT 환경에서 랜섬웨어 등 최신 위협에 실질적으로 대응할 수 있는 방법을 설명했다. 안병무 차장은 흔히 공공기관에서는 망분리 환경이기 때문에 랜섬웨어 감염으로부터 안 전할 것이라고 생각하기 쉽다 고 지적했다. 그러나 실제로는 망 연계 솔루션을 통해 1일 평균 1만 개의 파일 이동이 이루어지는 경우 많다는 것. 또 내부 정책에 따라 사전 승인된 이동식 저장장치를 업무망 환경에서 이용하는 경우도 있어 공공기관도 랜섬웨어 등 악성코드 위협으로 부터 자유롭지 않다는 것이다. 안병무 차장은 랜섬웨어 등 고도화된 악성코드에 대응하기 위해서는 망 연계 부분에 대한 고려도 필요하다 고 강조하고 네트워크 샌드박스 기반의 대응과 엔드포인트단 대응이 반드시 연계되어야 하며, 최근 스피어 피싱을 이용한 내부 침입이 증가하는 만큼 이메일 필터링에 대한 대 응도 생각해야 한다 고 덧붙였다. 이와 관련해 지능형 위협 대응 솔루션인 AhnLab MDS는 실행보류(Execution Holding) 기능을 이용해 엔드 포인트단에서 랜섬웨어가 동작하는 것 자체를 방지한다. 또한 MTA 기능을 통해 의심스러운 메일을 사전에 차단 및 격리할 수 있어 공공기관의 랜섬웨어 대응에 해법이 될 수 있을 것으로 보인다. 16

17 보안 진단? 적극적으로 조치하라! 시민의 생활과 밀접한 관계가 있는 공공 및 교육기관의 보안은 일반 기업과는 다를 수 밖에 없다. 그러다 보니 망분리 등 까다로운 조치와 다양 한 컴플라이언스 준수가 요구된다. 특히 시민들의 중요 정보를 처리하는 공공 기관의 엔드포인트 시스템에 대한 보안 요구 사항은 더욱 강조되 고 있다. 이와 관련해 김창희 안랩 제품기획팀 팀장은 실제 사례를 통한 엔드포인트 보안 구축 전략 에 대해 공유했다. 김창희 팀장은 현재 보안의 흐름은 결국 단말, 즉 엔드포인트에 대한 보안으로 귀결되고 있다 고 설명하고 V3, AhnLab Patch Management, AhnLab 내PC지키미로 구성된 엔드포인트 시큐리티 하드닝 (Endpoint Security Hardening) 을 제안했다. 또한 김창희 팀장은 조직 내 모든 구성원들이 보안 전문가는 아니다 라며 보안 관리자 의 바램이나 기대와는 달리 보안의 갭(gap)이 발생할 수 밖에 없는 만큼 실질적이고 효율적인 조치 방안이 필요하다 고 강조했다. 이와 관련해 AhnLab 내PC지키미는 관리자나 사용자의 조작이 필요 없는 자동 조치 기능을 제공해, 일반 내PC지키미의 단순 보안 진단을 넘 어 적극적인 해결이 가능하다. 또한, 최근 CMOS 패스워드 설정 현황 김창희 제품기획팀 팀장 점검 기능을 추가해 공공 및 교육기관의 최신 보안 가이드 준수에도 상당한 도움이 될 전망이다. 안전하고 편리한 대민 서비스, 핵심은? 일반 산업 분야의 IT 환경 대비 공공 및 교육기관의 또 다른 특징은 비엑티브엑스(non-Active X)이다. 현재 미래창조과학부와 금융위원회의 주 도로 액티브엑스 제거가 진행 중이며, 특히 대민 서비스를 제공하는 공공 기관에서 관심이 많다. 이와 관련해 백민경 안랩 제품기획팀 차장은 액티브엑스 제거 동향 및 실제 사례 라는 주제로 공공 기관의 비엑트비엑스 환경에서의 보안 강화 방안을 설명했다. 백민경 차장은 구글 크롬, MS 엣지 등의 브라우저에서 더 이상 플러 그인 또는 액티브엑스를 지원하지 않게 됨에 따라 온라인 대민 서비 스를 제공하는 공공기관에서 여러 이슈가 발생했다 고 설명하고 특 히 대민 서비스를 이용하는 사용자를 보호하기 위해서는 사용자 정 보 유출 방지를 위한 보안 솔루션 도입이 필수적이다 라고 강조했다. 일반 사용자들의 시스템은 적절하게 관리되지 않는 경우가 많기 때문 에 다양한 취약점에 의한 악성코드 감염이 발생하기 쉽다. 문제는 이 러한 시스템에서 대민 서비스를 이용하는 사용자의 아이디, 패스워드, 공인인증서 비밀번호 등이 해킹되는 경우가 있으며, 이 경우 서비스 를 제공한 기관에도 책임이 발생한다는 것. 이와 관련해 백민경 차장 은 비엑티브엑스 방식의 솔루션은 백신(Anti-Virus) 수준의 자체 보 호 기능이 요구된다 며 사용자의 시스템이 부팅되는 순간부터 종료 백민경 제품기획팀 차장 될 때까지 모니터링하고 보호할 수 있어야 한다 고 강조했다. 또한 사용자의 IT 환경이 다양해짐에 따라 멀티 OS 및 브라우저를 기본적으로 지 원해 사용자 편의성을 제공할 수 있어야 한다고 덧붙였다. 파트너와 함께 찾아가는 고객 세미나 도 큰 호응 지난 4월 말부터 2개월 여 동안 6개 산업 분야의 정보보호최고책임자(CISO) 및 보안 책임자 200여 명을 대상으로 진행된 ISF 스퀘어 2016를 통해 안랩은 최신 보안 위협 동향에 관한 정보와 각 산업군별 특성에 따른 맞춤형 보안 전략 및 솔루션을 선보였다. 한편 안랩은 서울에서 진행 되는 행사에 참석하기 어려운 각 지역의 고객사를 위해 ISF 스퀘어와 동시에 파트너와 함께 찾아가는 고객 세미나 도 진행했다. 지난 5월 24일 전주를 시작으로 대구, 대전 등에서 총 7차례 진행된 이번 행사에는 250명의 각 산업군 및 지역별 보안 책임자들이 참석해 성황을 이뤘다. 특 히 한 참석자는 대부분의 보안 세미나가 서울에서 진행되다 보니 물리적, 시간적 이유로 참석하기 어려웠는데 이번 행사를 통해 최신 보안 위 협 동향과 대응 전략에 대해 많은 정보를 얻을 수 있었다"며 만족을 표했다. 안랩 EP사업부문 총괄인 강석균 전무는 안랩은 앞으로도 ISF 스퀘어나 지역별, 산업군별 파트너와 함께하는 고객 세미나 등을 통해 직접 고객 을 만나 소통을 통해 최신 보안 위협에 능동적으로 대처할 수 있는 전략을 만들어나갈 것이다 라고 밝혔다. 17

18 FOCUS IN-DEPTH Endpoint Management 보안 환경 변화에 따른 엔드포인트 통합 관리 방안 엔드포인트 보안, 왜 AhnLab 내PC지키미 인가? 모든 정보가 만들어지고 이동하는 시작점이자 기업 네트워크의 관문이 되는 엔드포인트 에 대한 관심이 커지고 있다. 특히 상대적으 로 취약한 엔드포인트를 노린 보안 공격이 증가하면서 이를 위한 전문 보안 솔루션의 수도 증가하고 있다. 하지만 솔루션만으로는 보 안을 장담할 수 없는 것이 현실이다. 이 때문에 최근 통합 보안 관리가 엔드포인트 보안의 종결자로 주목을 받고 있다. 최신 엔드포인 트 보안 트렌드를 짚어보고, 통합 보안 관리의 필요성과 조건 및 접근 방법을 살펴본다. 엔드포인트(Endpoint)는 보안의 시작점이다. 기업 IT 환경에서 최종 사용자가 기업 네트워크에 접속하는 지점, 즉 PC나 노트북, 스마트폰 같은 최종 사용자의 디바이스를 가리킨다. 엔드포인트는 IT 환경의 끝 부분이지만, 보안 측면에서는 모든 정보가 만들어지고 이동되는 시작점이며, 기업 네트워크에 접근하는 관문이다. 이런 이유로 엔드포인트는 항상 해커의 주요 공격 대상이 되고 있으며, 그 중요성과 특성으로 인해 엔드 포인트를 위한 전문화된 보안 환경의 필요성이 대두되고 있다. 엔드포인트 보안의 중요성과 위험성을 보여주는 대표적인 사례가 바로 2014년 전세계의 이목이 집중되었던 소니픽쳐스 해킹 사고이다. 소니 픽쳐스는 해킹으로 헐리우드 유명인사와 임직원 등 4만여 명의 신상 정보와 이메일, 그리고 미개봉 영화까지 유출되어 막대한 금전적 손해를 입은 것은 물론, 기업의 평판이 바닥으로 떨어지고 말았다. 그런데 막대한 피해를 입힌 이 사고는 소니픽쳐스 직원 한 사람의 PC를 해킹하는 데서 시작됐다. PC 한 대를 장악한 해커는 여기서 서버 접속 정보를 확보한 다음, 직원들 계정을 모두 로그오프시키고 혼자 서버에 남아 전체 인프라를 마음대로 휘젓고 다닌 것이다. 아직까지도 악성코드의 절반 이상을 트로이목마가 차지하고 있다는 것은 이런 위험이 여전하다는 것을 보여준다. 트로이목마는 최종 사용자의 PC에 들어와 스스로를 숨긴 채 정보 유출을 시도하거나 관리자 계정 정보를 획득해 타깃 공격의 발판을 마련하는 용도로 사용된다. 정보의 시작과 끝, 엔드포인트를 보호하라 문제는 엔드포인트에 너무나 많은 정보가 담겨 있다는 것이다. 주민등록번호나 사진, 카드번호 같은 개인정보는 물론 보고서나 계약서와 같은 기업의 기밀 자료부터 서버 접속 정보 등이 고스란히 저장되어 있다. 특히 서버 접속 정보 같은 경우는 기업 네트워크로 들어가는 뒷문이 되기 도 한다. 또한 최근에는 접근 경로가 다양해지면서 네트워크 보안만으로는 안전을 확신할 수 없는 상황이다. 이메일이나 USB 드라이브를 통해 정보가 유출되기도 하고, 와이파이의 보편화로 위험 범위도 크게 늘어났다. 이런 정보의 보고를 해커들이 그냥 지나칠 리가 없다. 오히려 악성코드가 타깃화되는 등 보안 위협의 흐름 자체가 바뀌고 있다. 이제 인터넷에 뿌려놓고 아무나 걸리기를 기다리는 것이 아니라 원하는 정보를 획득하기 위한 악성코드가 제작되고 있다. 정보를 탈취하기 위해 몇 개월씩 숨어서 활동하는 악성코드도 드물지 않다. 공격 방식의 변화에 따라 악성코드의 자체 방어 기술이 비약적으로 발전했으며, 비실행형 악성코드가 증가하고 있다. 전자서명을 도용한 악성 코드나 국가 기간시설에 대한 공격도 증가하고 있다. 특히 주목할만한 것은 사회공학적 기법을 이용한 공격이다. 최근 기업과 개인을 막론하고 막대한 피해를 일으키고 있는 랜섬웨어가 대표적인 예인데, 최종 사용자가 의심없이 메일을 클릭하는 순간 악성코드가 다운로드되고 감염된 다. 이 때문에 악성코드의 공격과 그에 대한 방어는 고도의 심리전으로 발전하고 있다. 18

19 [그림 1] 악성코드 공격 동향 물론 보안 위협의 변화에 따라 보안 기술과 사회적 제도적 대응도 변화하고 있다. 기술적으로는 빠른 대응에 무게 중심이 가고 있다. 현재 하루 에 새로 발견되는 악성코드의 수는 수십만 개에 이른다. 하루에 몇 개 정도의 새로운 악성코드가 발견되던 시절처럼 악성코드 분석가들이 일 일이 분석하고 시그니처를 생성해 엔진에 업데이트하는 방식으로 감당할 수 있는 숫자가 아닌 것이다. 안랩의 대표적인 안티바이러스 제품인 V3의 경우도 수십만 개의 악성코드에 대응하기 위해 클라우드 방식의 자동분석 시스템을 이용해 엔진 업데이트를 하고 있으며, 기존 시그니처 방식 외에도 행위 정보 등 진단 기법을 다중화하는 방식으로 대응하고 있다. 정보 유출과 제도 보완이 반복되던 개인정보보호 관련 제도 역시 근본적인 변화가 요구되고 있다. 2014년 8월 7일부로 개정된 개인정보보호 법은 유출 방지를 명문화하고 이에 대한 처벌도 강화하는 쪽으로 큰 폭의 개선이 이루어졌다. 기존에는 개인정보를 기술적으로 물리적으로 관 리만 하면 됐지만 이제는 유출을 차단해야 한다고 명시되었으며, 1건이라도 유출되면 과징금은 물론 기업 임원이 처벌을 받을 수도 있다. 항상 문제가 되었던 주민등록번호 수집은 전면 금지되었다. 늘어만 가는 보안 솔루션, 의문스러운 효과 보안 기술은 악성코드의 동작 방식에 따라 다양하게 변화하고 있다. 엔드포인트 해킹의 기본은 역시 취약점을 악용하는 것이다. 특히 취약점에 대한 보안 패치가 발표되고 난 후에도 사용자들이 실제 패치를 적용할 때까지의 공백 때문에 제로데이 공격이 가장 큰 위협으로 대두되고 있 다. 이 때문에 패치 관리의 중요성이 다시 한 번 부각됐으며, PMS(Patch Management System)에 대한 관심도 높아졌다. [그림 2] 보안 취약점 공격 과정 상황이 이렇게 되면서 기업이 도입하는 보안 솔루션의 수는 계속 증가하고 있다. 가트너는 현재의 보안 위협에서 엔드포인트를 제대로 보호하 기 위해서는 최소 8개의 보안 솔루션을 도입할 것을 권고하고 있다. 여기에는 기본적인 안티 멀웨어(백신)나 안티 스파이웨어 프로그램은 물 론, 개인 방화벽, 침입 방지, 포트 및 디바이스 제어, 디스크 암호화, 엔드포인트의 DLP, 취약점 평가 등 백신부터 매체 제어, 개인정보보호, 취 약점 점검까지 다양한 보안 솔루션이 포함되어 있다. 문제는 이렇게 보안 솔루션을 도입하는 것만으로는 엔드포인트 보안 문제가 해결되지 않는다는 것이다. 네트워크나 서버 보안과는 달리 엔드 포인트 보안은 도입한 솔루션이 최종 사용자의 환경에 제대로 적용되어 동작하고 있는지를 확인하기가 어렵기 때문이다. 수많은 솔루션을 도 입했지만 백신은 업데이트가 안 되어 있고 PMS는 제대로 동작하지 않는다면, 모두 무용지물이 되고 만다. 기업이나 기관에서 일반적으로 많이 사용하는 방법은 정기적인 보안 점검이다. CMOS 패스워드를 사용하느냐, 윈도우 패스워드를 90일마다 변경하느냐 등의 항목을 나열하고 실행 여부를 체크하도록 하는 것이다. 하지만 이 방식은 보안 관리자와 최종 사용자의 인식에 상당한 온도 19

20 차가 있다는 것을 확인시켜 줄 뿐이다. 보안 관리자는 사용자의 자가 점검을 유도하지만, 모든 구성원이 보안 전문가는 아니기 때문에 관심도와 실제 실행에 한계가 있기 마련이다. 최종 사용자의 적지 않은 수가 점검 항목에 예라고 답하면서도 실제로는 실행하지 않기 때문이다. 물론 사용자에게 악의가 있는 것은 아니다. 하지만 간단한 화면 보호기 설정 변경도 금방 할 수 있는 사람이 있고, 그렇지 않은 사람도 있기 마련이다. 실제로 자가 점검 항목을 확인해 보 면 깜짝 놀랄만한 수치가 나오는 경우가 적지 않다. 따라서 보안 사고가 발생했을 때 책임 소재를 밝힐 수는 있겠지만, 사고를 막지는 못한다. 여기에 공공기관이나 금융기관처럼 별도의 규제 준수가 필요한 조직의 경우, 엔드포인트 보안이 관리자에게 과중한 부담이 되고 있다. 해법은 엔드포인트 보안 통합 관리! 고도화되고 있는 보안 위협과 복잡하게 얽혀있는 엔드포인트 보안 솔루션 속에서 엔드포인트 보안을 완성하는 마지막 단추는 통합 관리 환경 이다. 엔드포인트 보안 통합 관리 환경은 다양한 보안 솔루션의 기능을 단일 지점에서 통합 관리할 수 있는 환경을 말한다. 각 개별 보안 솔루 션의 적용 여부와 패스워드 관리 등의 기본 보안 사항을 전체적으로 모니터링해 보안 관리자는 물론 최종 사용자도 현재의 보안 상태를 알 수 있도록 하고, 기업의 정책에 따라 자동 조치를 취하거나 사용자의 조치를 유도하는 역할을 한다. 보안 인식에 대한 온도차가 존재하는 상황에서 최종 사용자의 적극적인 참여에 의존해야 하는 보안 솔루션으로는 제대로 된 엔드포인트의 안 전을 확보하기 어려운 것이 사실이다. 따라서 통합 관리 환경은 궁극적으로 최종 사용자가 자신이 사용하는 엔드포인트 디바이스를 잘 관리하 도록 유도할 수 있어야 한다. 우선은 사용자가 스스로 조치할 수 있는 다양한 정보를 제공하고, 또 컴퓨터 초보자라도 클릭 한 번으로 간단하게 조치를 취할 수 있어야 한다. 그리고 정말로 필수적인 요소라면, 일정 기준에 따라 자동으로 조치가 이루어져야 한다. 예를 들어, 모니터링을 통해 3개월이 지났는데도 패스워드를 변경하지 않는 사용자를 발견하면, 이런 사실을 알려주고 패스워드를 변경할 수 있는 원클릭 버튼을 제공해 사용자를 유도한다. 만약 패스워드 변경이 최우선 순위의 보안 사항이라면, 패스워드 변경 창을 띄우고 변경 전에 는 끌 수 없도록 하는 식으로 강제할 수도 있다. [그림 3] 업무용 PC 보안 취약점 점검 및 조치 솔루션 AhnLab 내PC지키미 기업의 내부 정책에 따라 보안 점검 항목도 유연하게 설정할 수 있어야 한다. 또 중요도에 따라 항목별로 배점을 산정해 보안성을 위해 업무 생산성을 침해하는 무리한 보안 점검이 이루어지지 않도록 해야 한다. 점검 항목과 평가 점수의 유연한 설정은 최종 사용자의 보안 인식을 자연스럽게 높이는 방안으로도 사용할 수 있다. 보안 통합 관리 환경 도입 초기에는 기준을 낮게 설정해 최종 사용자가 거부감 없이 필수적인 보안 설정을 수행하도록 유도한 다음, 서서히 기준을 높여 전반적인 엔드 포인트 보안 수준을 높이는 식의 적용이 가능하기 때문이다. 이 과정에서 정책에 따라 일정 점수를 만족하지 못하는 사용자의 네트워크 접속 을 차단하는 등 강력한 제재 수단을 동원할 수도 있다. 보안 측면은 물론 최종 사용자와 보안 관리자의 업무 효율성 측면에서도 가장 확실한 효과를 보이는 것은 자동 조치이다. 통합 관리 환경은 직 접적인 보안 기능을 수행하는 솔루션이 아니기 때문에 패치를 적용하고 백신 업데이트를 실행하고 개인정보보호 기능을 수행하기 위해서는 다양한 보안 솔루션과의 연동이 필수적이다. 엔드포인트 보안 통합 관리 솔루션의 역량을 좌우하는 요소라고 해도 과언이 아닌 부분이다. 이렇게 최종 사용자의 PC에서 확보한 보안 현황 정보를 엔드포인트 관리 플랫폼으로 통합하면 진정한 엔드포인트 통합 관리 환경이 완성된다. 통합 플랫폼을 통해 하나의 에이전트만 설치하고 이를 통해 백신 정보, 개인정보보호 현황, 패치 정보, 취약점 정보까지 모두 모니터링하고, 관 리자는 통합 플랫폼에 이들 정보를 취합해 어떤 사용자, 어떤 부서에 문제가 있는지, 어떤 문제를 빨리 조치해야 하는지를 파악할 수 있다. 20

21 효율성 중심의 엔드포인트 보안 통합 관리 솔루션 최근 엔드포인트 보안 통합 관리 솔루션에 대한 관심이 높아지고 있는 것도 바로 이런 트렌드가 반영된 것으로, 이미 시장에서 적지 않은 솔루 션이 출시되어 있는 상태이다. 안랩은 AhnLab 내PC지키미 와 AhnLab EMS 를 핵심으로 하는 엔드포인트 보안 통합 관리 솔루션으로 이 시 장을 선도하고 있다. 안랩의 엔드포인트 통합 보안 관리 솔루션은 사용성과 효율성 두 가지 측면에 중점을 두고 있다. PC 취약점 관리 솔루션인 내PC지키미가 엔드포인트의 보안 현황을 모니터링하고 정보를 통합하고, EMS는 각 엔드포인트에서 취합된 정보를 기반으로 전사적인 통합 관리 기능을 수행한다. 특히 단일 에이전트 단일 플랫폼 기반의 솔루션으로, 다양한 보안 솔루션과의 뛰어난 통합성을 자랑한다. AhnLab 내PC지키미는 이미 탁월한 백그라운드 자동 조치 역량으로 보안 규제가 까다로운 공공기관과 교육기관 시장에서 높은 평가를 받고 있다. 조직 내부 보안 정책에 따라 자동 조치와 수동 조치, 다양한 강제 방안을 제공해 사용자의 부담 없이 보안 환경을 구현할 수 있으며, 취약 점 점검 화면에서 원클릭으로 바로 조치를 취할 수 있다. 특히 자동 조치로 인한 문제 발생 시 원래 상태로의 복구 기능을 제공해 보안 관리자 가 데이터 유실 등의 우려없이 보안 정책을 강력하게 추진할 수 있다. [그림 4] 안랩 엔드포인트 통합 보안 관리 체계 AhnLab 내PC지키미의 자동 조치 역량은 까다로운 패치와 보안 업데이트에서 빛을 발하는데, PMS와의 연동을 통해 보안 패치를 자동으로 적 용할 수 있다. 점검 항목 55개 및 12개의 프로세스/서비스 관련 항목을 기본 지원하는 것은 물론, 기본 프로그램을 건드리지 않고 기업의 정책 에 따라 또 사용환경에 따라 자유롭게 점검 항목을 추가할 수 있다. 특히 보안점검(설문) 기능은 물리적인 보안이나 오프라인 보안에 대한 점검 용으로, 특히 공공기관에서는 사용자 교육용으로 유용하게 활용되고 있다. 또한 공공기관의 사이버 보안 진단의 날과 금융기관의 정보보안 점 검의 날에 효율적으로 대응할 수 있다. 사용환경 면에서도 AhnLab 내PC지키미 에이전트는 윈도우 XP부터 윈도우 10까지, 윈도우 서버 2003부터 윈도우 서버 2012까지 대부분의 윈도우 PC에 설치할 수 있으며 64비트 호환 모드를 지원한다. 또한 안랩 EMS는 CentOS와 IBM DB2 워크그룹 서버 기반의 하드웨어 어플라 이언스 형태로 제공되어 보안에 최적화된 성능을 제공하는 강점이 있다. 대림대학교, 통합 관리로 보안 청정 캠퍼스 구현 대림대학교의 사례는 엔드포인트 보안 통합 관리의 이점을 잘 보여준다. 대학캠퍼스는 흔히 보안의 무덤으로 비유되곤 한다. 자유로운 출입이 가능한 공간에 누구나 사용할 수 있는 공용 PC, 수만 명의 학생과 교직원에 비해 턱없이 부족한 보안 인력, 여기에 학생들의 자유로운 사용 행 태까지 합쳐지면 안전을 보장하기 힘든 환경이 되기 십상이다. 대림대학교는 캠퍼스 보안의 시작점이 엔드포인트라는 점을 인식하고, 누구나 접근할 수 있는 PC를 가장 먼저 보호하는 방침을 세웠다. 이를 위해 백신은 물론 개인정보보호 솔루션, 패치 관리 솔루션, 매체 제어 솔루션 등 다양한 보안 솔루션을 도입했다. 하지만 제한된 인력으로 제각 각의 보안 솔루션들을 관리하는 것은 쉬운 일이 아니었다. 또 문제 발생 시 조치를 취하는 데도 어려움이 생기면서 보안 솔루션의 효과를 제대 로 기대하기 어려웠다. 이런 문제의 해결책으로 대림대학교는 보안 솔루션의 통합을 진행했다. 우선은 솔루션을 안랩 단일 업체 제품으로 일원화했고, AhnLab 내PC 지키미를 도입해 엔드포인트 보안 정보를 통합 관리하기 시작했다. 실질적으로 관리자에게 가장 힘든 일은 전체 PC의 패치나 보안 현황을 일 일이 점검하는 것인데, AhnLab 내PC지키미로 데이터 자동 취합과 전자결재를 통한 확인까지 처리하면서 보안 점검률이 90%를 넘었다. 특히 AhnLab 내PC지키미는 임직원들이 PC를 스스로 관리할 수 있도록 유도했다는 점에서 높은 평가를 받았다. 주요 항목들은 자동조치해 보 안을 확보하면서도 선택적인 항목은 최종 사용자의 참여를 유도해 임직원과 학생들의 보안 의식을 끌어올리는 도구 역할을 충실히 수행한 것 이다. 현재 대림대학교는 전 임직원 및 학생들까지 보안규정을 엄격하게 지키며 95점 이상의 높은 보안 수준을 유지하고 있다. 21

22 엔드포인트 보안의 새로운 키워드: Connect to Protect 보안 트렌드는 빠르게 변하고 있다. 가장 첨예한 보안 이슈를 다루는 RSA 컨퍼런스의 핵심 주제를 살펴보면, 이런 변화를 쉽게 파악할 수 있다. RSA 컨퍼런스의 2016년 테마는 Connect To Protect 로, 자동화, 가시성, 교육을 주요 키워드로 내세우고 있다. 2015년 APT나 선제적 대응이 대두되었다면, 이제는 EDR(Endpoint Detection & Response)이 부상하고 있다. 기존 차단과 방어 전략에서 탐 지와 대응으로 패러다임이 변하고 있는 것이다. 즉 많은 정보를 얼마나 빨리 감지해 대응하느냐에 초점을 두고 있다. 탐지, 분석, 대응 단계로 정확한 정보를 전달하고 빠른 시간에 대처하는 것이 중요한데, 여기에는 Connect, 즉 보안 솔루션들을 연결하고 네트워크와 엔드포인트를 연결하는 통합 관리가 필수적인 요소이다. 안랩은 엔드포인트 보안 통합 관리 관점에서 이런 통합을 더욱 확대해 나갈 방침이다. 안랩 보안 솔루션 간의 통합은 물론, 서드파티(3rd party) 연동을 통해 PC 복구 솔루션부터 DLP, DRM까지 다양한 솔루션을 연결해 단 하나의 에이전트를 사용하는 통합된 보안 환경을 구현하 는 것이다. 수많은 보안 솔루션이 각자 동작하는 것이 아니라 같이 연결되어 동작하고, 이렇게 통합된 정보가 관리자에게 전달되면 통합 관리 환경의 이점을 더욱 극대화할 수 있을 것이다. 마지막으로 엔드포인트 보안을 완성하는 마지막 퍼즐은 사용자 참여이다. 교육 이 RSA 컨퍼런스의 키워드 중 하나인 것은 이 때문이다. AhnLab 내PC지키미는 PC 사용자에게 취약한 항목에 대한 이유를 상세히 알려주고, 보안점검(설문) 기능을 통해 보안의식을 제고하는 등 차 별화된 사용자 참여 기능을 더욱 발전시켜 나갈 것이다. 70여개 점검 항목 제공, CMOS 설정 상태 확인 가능 AhnLab 내PC지키미, 압도적으로 앞서가다 AhnLab 내PC지키미 는 복잡다단한 업무용 PC의 보안 상태를 점검하고 취약한 부분을 조치하는 PC 취약점 점검 및 자동 조치 솔루션이 다. AhnLab PC지키미는 동종 제품들을 따돌리며 공공, 금융 및 일반 산업 분야를 막론하고 각광받고 있다. 그 이유는 동종 제품 최대 수준 의 점검 항목과 자동 조치 기능을 제공해 보안 관리자뿐만 아니라 일반 직원들의 보안에 대한 부담은 해소하면서도 더 강력한 보안 수준 은 유지할 수 있기 때문이다. 이 AhnLab 내PC지키미가 최신 패치를 통해 점검 항목을 추가하는 한편, CMOS 설정 상태 확인을 지원한다. AhnLab 내PC지키미가 최신 패치(v4.6.5)를 통해 개인정보 검색 기능을 새롭게 추가했다. 주민등록번호, 운전면허번호 등 업무용 PC에 불필요하게 저장되어 있는 개인정보를 검색해 이에 대한 조치를 유도한다. 또한 화이트리스트 기반으로.doc,.hwp,.pdf 등 특정 확장자 를 가진 문서에 접근하는 프로세스를 차단하는 문서 보호 기능도 추가됐다. 또한 CMOS 패스워드 설정 상태를 확인하고 이에 대한 결과 취합(사용자 보고서)도 가능하다. 활용도 강화 측면에서 기존 기능이 강화된 점도 특징이다. 사내 보안 평가를 위해 활용되는 설문 기능 개선이 그것이다. 보안 평가에 임하 는 사용자에게 점수를 보여주고, 최종 평가 전에 스스로 오답을 체크할 수 있게 하는 등 사용자의 보안 의식 제고에 기여하는 동시에 조 직의 평균적인 보안 점수를 향상시킬 것으로 전망된다. 이 밖에도 동종 제품 최대 수준이었던 기존 67개 점검 항목에 호스트(hosts) 파일 내 비허용 IP/DNS 설정 점검 등 5개의 점검 항목을 추가해 타 제품과의 격차를 크게 벌릴 전망이다. 22

23 HOT ISSUE Ransomware Q&A 랜섬웨어, 이것 이 궁금하다! 지난 6월 초, TV 뉴스를 통해 국내 유명 온라인 커뮤니티 사이트에서 연휴 기간 동안 랜섬웨어가 유포된 사건이 집중 보도됐다. 또 최 근 커뮤니티 사이트나 블로그 등을 통해 랜섬웨어에 감염됐다는 글을 심심치 않게 접할 정도로 랜섬웨어 는 많은 사람들에게 익숙한 용어가 됐다. 그러나 정작 랜섬웨어가 무엇인지, 감염되면 어떤 피해가 발생하는지 모르는 사람들이 많다. 또는 너무 많은 정보가 쏟아 지다 보니 오히려 뭐가 뭔지 모르겠다는 사람도 적지 않다. 이에 랜섬웨어에 관해 꼭 알아야 할 내용을 Q&A로 알기 쉽게 정리했다. 1. 랜섬웨어란? 랜섬웨어는 악성코드와 다른가? 랜섬웨어(Ransomware)는 몸값 을 뜻하는 영어 단어 ransom 과 하드웨어 또는 소프트웨어 등을 의미하는 ware 의 합성어로, 파일을 인질 로 잡아 몸값을 요구하는 악의적인 소프트웨어 를 의미한다. 즉, PC에 저장된 파일들을 암호화하여 사용자가 읽을 수 없는 문자들로 바꿔버린 후, 암호화를 풀어주는(복호화) 대가로 금전(몸값)을 요구하는 악성코드를 통칭 랜섬웨어라고 부른다. 2. 랜섬웨어는 어떻게 감염되나? 랜섬웨어는 다른 악성코드와 마찬가지로 다양한 방법으로 유포되어 사용자 PC를 감염시킨다. 주로 악의적으로 제작된 이메일의 첨부 파일을 실행하거나 이메일 본문 또는 메신저, SNS 등에 포함된 악성 단축 URL을 클릭했을 때 감염될 수 있다. 보안이 취약한 웹사이트 및 커뮤니티의 게시물을 통해 감염되는 사례도 있다. 또 취약점 관리가 잘 되어 있는 웹사이트의 경우라도 각 게시물의 상/하/좌/우에 위치한 광고 배너가 보 안에 취약하여 랜섬웨어에 감염되는 경우도 있다. 이 밖에도 토렌트 등 파일 공유 사이트를 통해 랜섬웨어가 유포되고 있다. 3. 랜섬웨어에 감염되면 어떤 증상이 나타나나? 랜섬웨어에 감염되면 문서 파일이나 사진/그림 파일, 음악 파일, 동영상 파일들이 읽을 수 없게 되거나 열리지 않는다. 파일 내용이나 파일명, 파일 확장자가 바뀌거나 확장자 뒤에 특정한 확장자(예:.crypted)를 추가해 파일이 암호화되었음을 드러내기도 한다. 파일들을 암호화한 후에는 PC 화면에 메시지 창을 띄워 사용자의 자료가 암호화되었음을 알리고, 이를 해제하기 위한 몸값과 몸값을 지불할 수 있는 방법 등을 보여준다. 이 메시지 창은 대부분 암호화된 폴더나 바탕화면을 통해 보여주거나, 사용자가 PC를 부팅할 때마다 나타나도록 시작 프로그램에 등록된다. 이 밖에도 랜섬웨어 제작자의 의도에 따라 네트워크 접속을 통해 공격자의 명령을 수신하거나 윈도우 백업 서비스를 강제로 종료하는 등의 동 작을 수행하기도 한다. 대부분의 랜섬웨어는 암호화를 끝낸 후에는 스스로 자신을 삭제하여 흔적을 제거한다. 23

24 랜섬웨어 감염 화면 4. 랜섬웨어에 감염되면 어떻게 해야 하나? 또 하지 말아야 할 것은? 랜섬웨어 감염이 의심될 경우, 즉시 공유폴더, USB나 외장하드 등 외부 저장장치의 연결을 해제해야 한다. 랜섬웨어가 암호화를 진행하고 있 는 중이라면 PC에 연결된 저장장치 및 공유폴더의 파일들도 암호화될 수 있기 때문이다. 이 경우 외장하드에 백업해둔 파일까지 암호화되어 무용지물이 될 수 있다. 랜섬웨어에 감염된 후 당황하여 PC의 전원을 끄지 않도록 주의해야 한다. 일례로, 최근 발견된 직쏘(Jigsaw) 랜섬웨어는 감염 알림 메시지창이 나타난 상태에서 사용자가 PC를 종료할 경우 수십~수 천개의 파일을 삭제한다. 따라서 침착하게 감염 알림창에 나타난 메시지를 살펴보고 감 염된 랜섬웨어가 무엇인지 파악한 후 안랩 등 신뢰할 수 있는 보안 업체의 홈페이지 등을 통해 제공하는 복구툴이 있는지 확인하는 것이 바람 직하다. 영화 쏘우(Saw) 의 캐릭터를 모방한 직쏘(Jigsaw) 랜섬웨어 감염 화면 5. 랜섬웨어에 감염되면 모든 파일을 이용할 수 없게 되나? 랜섬웨어에 따라 암호화하는 파일의 종류나 범위가 다양하다. PC 내부에 존재하는 모든 파일을 암호화하는 경우도 있고 개발 소스나 문서 파 일들만 암호화하는 랜섬웨어도 있다. 또 피해자가 감염된 PC를 이용해 몸값(돈)을 지불할 수 있도록 PC내 일부 파일은 암호화 제외 대상으로 지정하는 경우도 있다. 이 밖에도 특정 국가의 PC에서는 동작하지 않도록 설정된 랜섬웨어도 있다. 6. 랜섬웨어 제작자에게 돈을 지불하면 암호화된 파일을 사용할 수 있나? 돈을 받은 공격자가 파일 복구에 필요한 열쇠(key)를 반드시 제공하리라는 보장은 없다. 돈을 받은 공격자가 열쇠를 보내주지 않을 경우 암호 화된 파일을 복구할 수 없으며, 합법적인 정상 거래가 아니기 때문에 법적으로 보호 또는 보상받을 수 없다. 24

25 한번 돈을 지불한 피해자는 공격자에게 손쉬운 타깃으로 인식될 수 있다. 공격자가 돈을 받고 일단 암호를 풀 수 있는 열쇠를 제공하더라도 이 후 또 다른 범죄 행위를 시도할 우려가 있다. 따라서 랜섬웨어 피해를 최소화하기 위해서는 사전 예방이 무엇보다 중요하다. 평소 백신 및 OS 업데이트 등 기본적인 보안 조치를 수행하고, 의심스러운 이메일이나 보안이 취약한 웹사이트 방문 시 주의가 필요하다. 중요한 자료는 외장하드 등에 백업해두는 것이 바람직하다. 또한 랜 섬웨어에 감염되었을 경우 공격자에게 돈을 지불하기보다는 우선 안랩 등 신뢰할 수 있는 보안 업체가 무료로 제공하는 랜섬웨어 복구툴을 확 인해볼 것을 권장한다. 7. 랜섬웨어에 감염되면 인터넷이나 PC를 사용할 수 없게 되나? PC 및 인터넷을 이용할 수 없도록 암호화하거나 윈도우 화면 자체를 잠그고 다른 프로그램 이용을 방해하는 랜섬웨어가 존재하기는 했으나, 최근에는 PC나 인터넷 이용을 방해하는 랜섬웨어는 그리 많지 않다. 피해자가 PC나 인터넷을 이용할 수 없게 될 경우 공격자에게 금전을 지불 하기 어렵기 때문인 것으로 보인다. 8. 보안 회사들이 제공하는 랜섬웨어 복구툴 은 무엇인가? 이것만 있으면 암호화된 파일 복구가 가능한가? 안랩을 비롯한 주요 보안 업체들은 악성코드 분석 및 암호화 기법 분석을 통해 일부 랜섬웨어의 암호를 풀 수 있는 열쇠를 찾아내 암호화된 파 일을 복구할 수 있는 툴(프로그램)을 제작 및 제공하고 있다. 단, 하나의 복구툴이 모든 랜섬웨어에 대응할 수 있는 것은 아니기 때문에 감염된 랜섬웨어에 대한 복구툴이 있는지 확인이 필요하다. 안랩은 홈페이지를 통해 나부커(Nabucur), 크립트XXX(CryptXXX) 2.x 등 일부 랜섬웨어에 대한 복구툴을 제공하고 있다. 또 암호화 기법이 교 묘하게 바뀐 크립트XXX 3.x 버전에 대해서도 일부 파일에 대한 부분 복구가 가능한 복구툴을 제공하고 있으나, 파일 내부의 내용에 대한 모든 복구가 어렵기 때문에 부분적인 복구를 지원하고 있다. 안랩은 지속적으로 랜섬웨어에 대한 다양한 복구 방법을 구현해 나갈 예정이다. 9. 백신이 있으면 랜섬웨어를 막을 수 있나? 그 밖에 랜섬웨어를 막을 수 있는 방법은? V3 등 백신 프로그램들은 주요 랜섬웨어 및 최신 랜섬웨어를 탐지 및 차단하고 있다. 랜섬웨어를 비롯한 다양한 최신 악성코드에 의한 피해를 방 지하기 위해서는 백신 사용이 필요하며, 특히 백신의 엔진을 최신 상태로 유지할 수 있도록 실시간 업데이트 기능을 활성화해두기를 권장한다. 그러나 랜섬웨어 피해 방지를 위해 사전 예방이 가장 중요하다. 이와 관련해 한국인터넷진흥원(KISA) 등 관련 기관에서는 기본적인 보안 수칙 준수를 강조하고 있다. 안랩은 랜섬웨어 피해예방을 위한 7대 보안 수칙을 제안하고 있다. 1백신 소프트웨어를 설치하고 엔진 버전을 최신 버 전으로 유지 2운영체제(OS), 브라우저 및 주요 애플리케이션의 최신 보안 업데이트 적용 3발신자가 불분명한 이메일의 첨부 파일 실행 자제 4보안이 취약한 웹 사이트 방문 자제 5업무 및 기밀 문서, 각종 이미지 등 주요 파일의 주기적인 백업 6주기적으로 외부 저장장치를 이용해 중요 파일 백업 7중요 문서에 대해서 '읽기 전용 설정 등을 통해 랜섬웨어를 비롯한 악성코드에 의한 피해를 예방할 수 있다. 안랩은 V3 제품군과 기업용 지능형 위협 대응 솔루션인 AhnLab MDS를 통해 다양한 랜섬웨어 탐지 및 대응 기술을 제공하고 있다. V3 제품군에는 다양한 랜섬웨어 행위 진단 룰이 적용되어 있으며, 최근에는 디코이(Decoy) 진단 등 독자적인 진단 기법을 추가 적용했다. AhnLab MDS는 신 변종 랜섬웨어 등 의심스런 파일이 발견되면 전용 에이전트를 통한 실행보류(Execution Holding) 기능을 이용해 악성코드 가 동작할 수 없도록 조치하기 때문에 사전 대응이 가능하다. 또한 MDS는 네트워크 기반의 샌드박스 동적 분석을 통해 랜섬웨어를 포함한 의 심스러운 파일을 분석 및 대응한다. 이 밖에도 안랩은 신 변종 랜섬웨어 탐지 및 격리 프로그램인 안티 랜섬웨어 툴 베타 버전을 제공하고 있다. 안티 랜섬웨어 툴은 OS 및 프로그 램의 취약점을 이용하거나 웹 브라우저를 통해 실행되는 의심스러운 프로세스를 PC 내 가상화 공간에 격리하고 정밀한 룰에 의해 검사한다. 이 를 통해 랜섬웨어로 의심되는 프로세스의 실행을 방지해 알려지지 않은 신 변종 랜섬웨어에 대응할 수 있다. 따라서 기업 환경에 따라 V3와 함께 안티 랜섬웨어 툴이나 AhnLab MDS를 함께 이용할 경우 고도화되는 랜섬웨어에 대해 더욱 강력한 멀티 레이어드 대응(Multi-Layered Detect and Response)이 가능할 것으로 보인다. 또한 랜섬웨어 감염에 의한 피해를 줄이기 위해서는 사용 중인 V3의 엔진을 항상 최신 업데이트 상태로 유지해야 하며, MDS 이용 고객은 실행보류 기능을 적극 활용하는 것이 좋다. 한편, 안랩은 자사 홈페이지의 랜섬웨어 보안센터 를 통해 최신 랜섬웨어에 관한 자세한 정보와 복구툴 등을 제공하고 있다. 25

26 THREAT ANALYSIS CryptXXX 3.x CryptXXX 랜섬웨어 3.x 버전 분석 보고서 CryptXXX 랜섬웨어 3.x 암호화 방식 과 부분 복구툴 공개 최근 CryptXXX 랜섬웨어 3.x 버전의 감염 사례가 증가하고 있는 가운데, 안랩이 부분 복구가 가능한 복구툴을 공개했다. 안랩은 6월 7일 CryptXXX 랜섬웨어 3.x에 대한 분석을 완료하고, 텍스트 기반의 일부 파일들에 대해 부분 복구가 가능한 복구툴을 홈페이지를 통해 무료로 제공하고 있다. 지난 5월 26일에는 CryptXXX 2.x 버전에 대한 복구툴을 무료로 배포한 바 있다. 이 글에서는 현재까지 확인된 CryptXXX 3.x 버전의 공통된 암호화 방식을 설명하고, 텍스트 형식의 일부 파일들에 대해 내용 중 일 부가 손상된 형태이지만, 부분적 복구가 가능함을 소개한다. 암호화 방식의 변화 CryptXXX 3.x 버전은 기존 2.x와는 몇 가지 다른 양상을 띠고 있다. 우선 CryptXXX 버전 이후로는 암호화 파일의 확장자가.crypt 가 아닌.cryp1,.crypz 형태로 변경되었다. 또한 암호화할 때 2.x 버 전은 공개키를 사용하지 않는 반면, 3.x 버전에서는 일부 블록에 대해 공개키를 사용한다는 점이 다르다. 현재 이슈가 되고 있는 CryptXXX 3.x 버전은 3.002, 3.100, 3.102, 3.200, 버전이다. CryptXXX 랜섬웨어 한글화 버전 발견 으로 기사화된 파일은 버전, 온라 인 커뮤니티의 광고배너를 통해 유포된 파일 은 버전에 해당한 다. [그림 1]은 CryptXXX 2.x 와 3.x 버전의 암호화 방식의 차이를 나타 낸다. 붉은색 블록은 공개키로 암호화된 영역이며, 파란색 블록은 고 유한 키 테이블 정보를 통해 암호화(XOR)된 영역을 나타낸다. 2.x 버 전의 경우, 원본 파일을 암호화할 때는 공개키를 사용하지 않고, 키 테이블 정보만을 공개키로 암호화하는 구조이다. 즉, 키 테이블 정보 만 있으면 원본 파일과 동일하게 복구가 가능하다. 3.x 버전의 경우, 원본 파일을 암호화할 때 일부 블록에 대해 공개키 를 사용하는 방식으로 변경되었다. 다행인 것은 공개키 사용 부분이 파일 전체가 아닌 일부 구간으로 제한적이며, 그 외 부분은 2.x 버전 과 동일한 방식으로 암호화를 수행한다. 즉, 3.x 버전으로 암호화된 파일이라도 파란색 블록(키 테이블 정보를 통해 암호화한 부분)에 해 당하는 부분은 복구가 가능하다. [그림1] CRYPTXXX 암호화 방식의 변화(2.X VS. 3.X) 비 암호화 영역 백업 방식의 변화 2.x 버전과 동일하게 3.x 에서도 원본 파일의 크기가 0xD00000(대략 13MB)보다 큰 영역은 암호화 작업을 수행하지 않는다. 하지만, 2.x 에서는 0xD00000 이후의 데이터가 원본과 동일한 형태인 반면, 3.x 에서는 [그림 2]와 같이 2가지 블록으로 구분하여 순서가 바뀐 형태 로 백업된 것을 알 수 있다. 즉, 원본 파일과 동일한 구조를 갖기 위해 서는 Offset (A)가 아닌 Offset (B) 영역의 블록이 먼저 복사가 이루어 져야 한다. 만약, 원본 파일이 0xD19D00보다 작은 경우에는 2가지 블록으로 구분 없이 기존과 동일한 구조를 갖는다. 26

27 단, 이 복구툴은 텍스트 데이터 중 일부를 복구할 수 있으나, 공개키 로 암호화된 영역은 복구가 불가능하여 복구툴을 이용하여 최종 복구 된 파일이라도 정상적인 사용은 어려운 상태이다. 또한 부분 복구 대 상 확장자라 하더라도 아래의 조건에 부합하지 않으면 복구가 실패하 게 된다. [복구 조건 1] 암호화된 파일의 최소크기는 472 바이트 이상이어야 함 공개키 암호화 크기(0x80) + 최소비교문자크기(0x40) + 악성코드 시그니처(0x118) = 0x1D8 (=472) [그림 2] 비 암호화 영역 백업 구조 부분 복구 대상 파일 및 복구툴 경로 현재 안랩이 제공하는 복구툴은 텍스트 형식의 다음과 같은 총 28 종의 확장자를 갖는 파일이며, 알파벳, 한글, 기호 등의 데이터 로 채워진 상태를 유효한 복호화 상태로 가정하여 키 테이블을 생성 할 경우, 부분 복구가 가능하다. 또한 MS 오피스 문서 파일 중.pptx,.docx,.xlsx 확장자 파일들에 대한 부분 복구기능을 제공한다. 이들 세 가지 파일들은 Open XML 형식으로 파일 시작 부분이 ZIP 압축 헤더 형태를 갖는 공통점이 존재한다. 부분 복구툴에서는 세 가지 문 서 파일들의 데이터 중 일부가 (공개키 암호화로 인해) 손실된 상태에 서도 ZIP 압축 헤더를 재구성해주는 방식을 통해 일부 데이터를 복구 하는 형태로 전용 복구툴을 업데이트했다. [복구 조건 2] ANSI 형태로 저장된 문서이면서 특정 범위에 한글/영문/기호/숫 자 데이터만 존재해야 함. 같은 복구 대상 확장자라도 UTF-8, UNICODE로 저장된 경우는 부 분 복구가 불가하며, 원본 파일 시작 0x40~0x80 범위 내의 데이터 는 한글/영문/기호/숫자 형태로만 존재해야 함. (한자, 러시아어, 일본어 등이 존재할 경우 복구 불가) JAVA, HTML, CPP, TXT, HTM, PHP, VBS, ASP, PAS, JSP, ASM, XML, DTD, CMD, CSS, SQL, PY, JS, CS, SH, VB, PS, PL, C, H, PPTX, DOCX, XLSX [그림3]은 3.x 버전으로 암호화된 StdAfxX.cpp 파일을 부분 복구 를 시도한 결과를 나타낸다. 원본 파일과 비교하여, 파일시작 첫 64 바이트(0x40)가 다름을 알 수 있으며, 공개키로 암호화되어 복구 가 불가능한 영역이다. 복구가 불가능한 영역은 ""############## Damaged Block(64-byte) by CryptXXX ##############"" 문구를 삽입하여 사용자가 손상 부분을 쉽게 찾을 수 있도록 했다. [그림 4] 안랩의 CRYPTXXX 3.X 복구 툴 CryptXXX 3.x 버전에 대한 복구 툴에 대한 자세한 분석 정보는 ASEC 블로그에서 확인할 수 있으며, 복구툴은 안랩 랜섬웨어 보안센터 에 서 무료로 다운로드가 가능하다. [그림 3] 부분복구 후 원본파일과 비교 27

28 IT & LIFE 꼬리에 꼬리를 무는 최신 IT 용어 지난 상반기에는 알파고 를 필두로 인공지능(Artificial Intelligence, 이하 AI) 관련 내용이 사회적으로 큰 화제가 되었다. AI가 화제가 되면서 머신러닝, 딥러닝, 체스 챔피언을 꺾은 딥블루와 퀴즈쇼 챔피언을 이긴 왓슨 등 연관 용어가 꼬리에 꼬리를 물고 등장했다. 이 젠 제법 익숙한 용어들이지만, 그럼에도 불구하고 확실하게 알아보고 싶은 IT 용어들을 간략하게 풀어본다. 이와 함께 올 하반기 IT업 계의 최대 화두 중 하나인 가상현실(VR), 증강현실(AR), 복합현실(MR)에 대해서도 살펴보자. 인공지능 (Artificial Intelligence, AI) 인공지능이란 인간의 사고, 학습, 추론, 지각, 언어 이해 등을 컴 퓨터 프로그램으로 실현한 기술을 말한다. 영어로는 Artificial Intelligence, 줄여서 AI라고 부른다. AI는 약한 AI 와 강한 AI 로 나 뉘는데, 약한 AI는 스스로 문제를 인지하고 해결할 수는 없지만 주어 진 조건에서 합리적인 결론을 도출하는 형태를 갖는다. 강한 AI는 지 각력과 자아를 갖고 있으며, 주어진 과제에 대해 자의적으로 판단을 내릴 수 있어야 한다. 약한 AI를 구현할 때 머신러닝(기계학습)을 사 용한다. 딥러닝과 머신러닝은 흔히 혼용되어 쓰이지만 명확히 말하면 머신러닝이 상위개념이다. 머신러닝 (Machine Learning) 머신러닝은 인공지능의 한 분야로, 방대한 빅데이터를 분석해 미래를 예측하는 기술을 말한다. 컴퓨터가 주어진 데이터에서 의미 있는 정보를 자동으로 찾아낼 수 있도록 하는 모든 기술 영역을 일컫는다. 사람이 일일이 기준과 답을 알려주지 않아도 수많은 데이터를 통해 컴퓨터 스스 로 방법을 찾아나가는 것이 특징이다. 데이터를 수집 및 분석해서 미래를 예측한다는 점에서 빅데이터 분석과 유사하지만, 컴퓨터 스스로 방대 한 양의 데이터를 수집 및 학습할 수 있다는 점에서 차이가 있다. 번역기, 음성인식, 포털 사이트의 검색어 자동 완성 기능 등이 머신러닝을 응 용한 예다. 딥러닝 (Deep Learning) 딥러닝 기술은 컴퓨터가 마치 사람처럼 생각하고 배울 수 있도록 인공 신경망을 기반으로 한 기계 학습 기술을 말한다. 딥러닝은 인간의 두뇌 가 수많은 데이터 속에서 패턴을 발견한 뒤 사물을 구분하는 정보처리 방식을 모방해 컴퓨터가 사물을 분별하도록 기계를 학습시킨다. 딥러닝 기술은 구글의 알파고(AlphGo)가 대표적이다. 알파고 (AlphaGo) 구글 소속 연구기관인 딥마인드가 개발한 인공지능 바둑 프로그램이다. 지난 3월 프로 바둑기사인 이세돌 9단과의 공개 대국에서 최종 전적 4 승 1패로 승리해 전세계에 존재감을 각인시켰다. 알파고는 단일 컴퓨터로 구동되는 단일 버전과 네트워크에 연결된 여러 대의 컴퓨터를 사용 하는 분산 버전 두 가지가 있다. 구글은 알파고 알고리즘을 활용해 기후변화 예측, 질병진단, 무인 자율 주행차, 스마트폰 개인비서 등의 서비 스 사업에 적용한다는 계획이다. 알파고라는 이름은 구글의 지주회사 이름인 알파멧과 그리스 무나의 첫 번째 글자로 최고를 의미하는 알파 (α) 와 기( 碁 )의 일본어 발음에서 유래한 영어 단어 Go 가 만나서 지어졌다. 구글 딥마인드 알파고 로고(*출처: 위키피디아) 28

29 딥블루 (Deep Blue) 바둑계에 알파고가 위상을 떨치기 전, 체스에서도 이와 비슷한 존재가 있었다. 세계 체스 챔피언 그랜드마스터 가리 카스파로프를 시간 제한이 있는 정식 대국에서 이긴 최초의 컴퓨터인 딥블루 가 그것이다. IBM이 8년간 심혈을 기울여 만든 체스 전용 컴퓨터인 딥블루는 1초당 2억 번 의 행마를 검토할 수 있으며 과거 100년 간 열린 주요 체스 대국의 기보와 대가의 스타일이 저장돼 있다. 1996년 2월 열린 대국에서는 딥블루 가 첫 승을 한 뒤 나머지 5번의 대국에서 카스파로프가 3번 이기고 2번 비기는 바람에 카스파로프가 최종 승리했으나, 이후 엄청난 성능 향상 작업을 거쳐 1997년 5월 다시 맞붙은 대국에서 딥블루가 승리했다. 이로써 시간 제한이 있는 정식 체스 토너먼트에서 세계 챔피언을 꺾은 최 초의 컴퓨터가 됐다. 왓슨 (Watson) 인간이 자연어로 묻는 질문에 답할 수 있는 IBM의 인공지능 컴퓨터다. 사람의 목소리를 인지하고 인간이 묻는 질문의 답을 찾아 몇 초 안에 말 로 답한다. 왓슨은 2011년 2월 16일 미국 ABC 텔레비전 퀴즈쇼 제퍼디!(Jeopardy!) 에서 이 퀴즈쇼의 최강자들인 켄 제닝스(Ken Jennings) 와 브래드 러터(Brad Rutter)를 압도적인 차이로 따돌리면서 인간과 벌인 대결에서 승리했다. 왓슨은 1초에 책 100만 권 분량에 해당하는 500 기가바이트의 데이터를 처리할 수 있다. 왓슨의 이름은 IBM의 초대 회장인 토머스 왓슨(Thomas Watson)에서 이름을 따왔다. 가상현실 (Virtual reality, VR) 현실이 아닌데도 실체처럼 생각하고 보이게 하는 현실을 말한다. 영어로는 Virtual reality, 줄여서 VR 이라고 한다. 사람들이 일상적으로 경험 하기 어려운 환경을 직접 체험하지 않고서도 그 환경에 들어와 있는 것처럼 보여주고 조작할 수 있도록 해준다. 가상현실이 처음 등장한 것은 1938년. 이후 1950년대부터 연구가 시작돼 1960년대에 한 차례 바람을 일으켰다. 그 후에도 1990년대와 2000년대 초반 대중적 호기심을 불 러일으켰지만 이내 사라지곤 했다. 최근 다시 각광을 받는 이유는 스마트폰의 대중화에 따른 가상현실 기기의 확산과 관련이 있다. 삼성은 오 큘러스와 공동으로 제작한 기어VR 을, LG는 G3VR 을, 구글은 카드보드 를 내놓으며 가상현실 시장을 다시금 확장하고 있다. 증강현실 (Augmented Reality, AR) 증강현실이란 사용자의 눈에 보이는 현실 세계에 가상의 물체나 이 미지를 겹쳐 보여주는 기술을 말한다. 종종 가상현실 과 증강현실 을 혼용하는 경우가 있는데, 이 둘은 명백히 다른 개념이다. 가상현실 (VR)은 배경, 환경 모두 현실이 아닌 가상의 이미지 를 사용하는데 반 해, 증강현실(AR)은 현실의 이미지나 배경에 3차원 가상 이미지를 겹 쳐서 또 다른 이미지나 영상을 보여주는 기술을 말한다. 증강현실 기 술을 활용한 대표적인 기기가 구글 글래스(Google Glass)다. 이 스마 트 안경을 일반 안경처럼 착용하면 안경을 통해 인터넷 검색이나 사 진 촬영, 길 안내, SNS 사용 등이 가능하다. 복합현실 (Mixed Reality, MR) 일반적으로 증강현실(AR)은 다른 말로 복합현실이라고도 불리지만, 올해 초 마이크로소프트가 홀로렌즈(Hololens)를 선보이며 증강현실이 아 닌 복합현실(Mixed Reality) 이라는 단어를 선택했다. 복합현실이란 현실 세계와 가상 세계 정보를 결합해 두 세계를 융합시킨 공간을 구축하 는 기술을 말한다. 증강현실(AR)을 구현하는 구글 글래스와 가상현실(VR)을 구현하는 오큘러스 리프트 사이에 홀로렌즈가 위치한다. 여전히 복합현실에 대한 개념이 잘 서지 않는다면 홀로렌즈를 통해 이해하는 게 효과적일 수 있다. 홀로렌즈는 홀로그램 렌즈를 중심으로 구 성된 웨어러블 기기로, 사용자의 손짓과 시선 등을 추적해 화면에 3차원으로 보여준다. 구글 글래스는 단순한 텍스트와 지도 등의 정보가 나타 나지만 홀로렌즈는 3차원 입체 홀로 그래픽이 더해진다는 게 가장 큰 차이점이다. 또한 구글 글래스는 스마트폰과 연결해야 필요하지만, 홀로 렌즈는 자체적으로 동작한다. 홀로렌즈(*출처: 마이크로소프트) 29

30 STATISTICS 보안 통계와 이슈 안랩, 5월 악성코드 통계 및 보안 이슈 발표 유명 병원 소식지로 위장한 악성 메일 주의 안랩 시큐리티대응센터(이하 ASEC)는 최근 ASEC Report Vol.77를 통해 지난 2016년 5월의 보안 통계 및 이슈를 전했다. 지난 5월 의 주요 보안 이슈를 살펴본다. ASEC이 집계한 바에 따르면, 2016년 5월 한 달간 탐지된 악성코드 수는 1,212만 9,597건으로 나타났다. 이는 전월 1,156만 4,967건에 비해 56만 4,630건 증가한 수치다. 한편 5월에 수집된 악성코드 샘 플 수는 295만 7,212건이다. 40,000,000 30,000, % 1.12% 5.17% 18.12% 56.24% 18.96% 20,000,000 13,212,012 10,000,000 11,564,967 12,129,597 PUP etc Trojan Worm Adware Downloader [그림 2] 2016년 5월 주요 악성코드 유형 6,000,000 5,000,000 4,000,000 3,000,000 2,000,000 지난 5월 한 달간 탐지된 모바일 악성코드는 20만 8,702건으로 집계 됐다. 700, ,000 1,000,000 3,548,581 3,245,837 2,957, , ,000 3월 4월 5월 [그림 1] 악성코드 추이(2016년 3월~2016년 5월) 탐지 건수 샘플 수집 수 300, , , , ,702 [그림 2]는 2016년 5월 한 달간 유포된 악성코드를 주요 유형별로 집 계한 결과이다. 불필요한 프로그램인 PUP(Potentially Unwanted Program)가 56.24%로 가장 높은 비중을 차지했고, 트로이목마 (Trojan) 계열의 악성코드가 18.12%, 웜(Worm)이 5.17%의 비율로 그 뒤를 이었다. 100, 월 4월 [그림 3] 모바일 악성코드 추이(2016년 3월 ~ 2016년 5월) 5월 30

31 또한 지난 5월 악성코드 유포지로 악용된 도메인은 961개, URL은 2,691개로 집계됐다. 5월의 악성 도메인 및 URL 차단 건수는 총 610 만 9,635건이다. 매크로를 허용하면 사용자에게 [그림 7]과 같이 정상적인 문서로 보 이는 내용이 나타나지만 사용자 몰래 악성 행위가 수행된다. 9,000,000 8,000,000 7,157,616 7,000,000 6,373,536 6,109,635 6,000,000 5,000,000 4,000,000 40,000 [그림 7] 매크로 동작 전 (왼쪽) / 매크로 동작 후 (오른쪽) 또한 공격자는 내부에 저장된 매크로를 사용자가 확인할 수 없도록 암호를 설정했다. 해당 매크로를 확인하기 위해 접근하면, [그림 8]과 같은 암호 입력 창이 나타난다. 30,000 20,000 10,000 1,587 8, , ,691 [그림 8] 매크로를 암호로 보호 0 3월 4월 5월 악성 도메인/URL 차단 건수 악성코드 유포 도메인 수 악성코드 유포 URL 수 [그림 4] 악성코드 유포 도메인/URL 탐지 및 차단 건수(2016년 3월 ~ 2016년 5월) 악성코드를 포함한 병원 소식지 위장 메일 최근 신뢰할 수 있는 유명 병원의 소식지로 위장한 이메일을 이용해 악성코드가 유포된 사례가 발견됐다. 공격자는 [그림 5]와 같이 유명 병원의 소식지로 위장한 이메일에 매크로를 포함한 워드 형식의 첨부 파일을 통해 악성코드를 유포했다. [그림 9] 난독화 되어 있는 매크로 내부 매크로는 상세 내용의 확인이 어렵도록 [그림 9]와 같이 난독화 되어있다. 난독화된 매크로를 분석한 결과, 해당 매크로는 외부 주소 에서 rtmonsvc.exe의 이름으로 악성코드를 다운로드하고 이를 실행 한 뒤 사용자에게는 정상적인 워드 문서를 보여준다. 이때, 악성코드 의 맨 앞 2바이트가 손상되어 있는데, 매크로를 통해 MZ로 이를 복 구하여 실행한다. 한편, 안랩의 분석 당시 C&C 서버가 정상적으로 동작하지 않아 추가 적인 확인은 어려웠으나. 서버에서 추가 파일을 다운로드하여 실행하 는 기능이 존재할 것으로 추정된다. [그림 5] 유명 병원 소식지로 위장한 악성 메일 일반적으로 매크로를 포함한 파일을 실행할 경우, 문서 프로그램에서 이를 차단한 후 사용자에게 매크로 허용 여부를 확인한다. 이번 사례에 서 공격자는 이를 우회하기 위해 [그림 6]과 같은 경고 문구를 문서 상 단에 포함시켜 사용자로 하여금 매크로 동작을 허용하도록 유도했다. [그림 6] 매크로 동작을 유도하기 위한 문구 이번 사례를 통해 확인할 수 있는 바와 같이 신뢰할 수 있는 기관이 보낸 메일이라 할지라도 첨부 파일을 확인할 때는 각별한 주의가 필 요하다. 특히 해당 첨부 파일이 매크로를 사용하는 파일이라면 악성 코드에 감염되지 않도록 더욱 주의를 기울여야 한다. V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지하고 있다. <V3 제품군의 진단명> W97M/Downloader ( ) Trojan/Win32.Agent ( ) 31

32 AHNLAB NEWS TrusGuard, 가트너 매직 쿼드런트 3년 연속 등재 안랩은 가트너의 2016년 5월 매직 쿼드런트 보고서 엔터프라이 즈 네트워크 방화벽 부문에 국내에서 유일하게 3년 연속 등재됐다. 매직 쿼드런트 는 가트너가 매년 각 산업 분야에서 글로벌 리딩 기 업들의 실행 능력 과 비전 완성도 등을 평가해 발표하는 보고서로, 특히 안랩은 자사의 차세대 방화벽 트러스가드(TrusGuard) 의 지 속적인 제품 경쟁력 고도화로 실행 능력 에서 전년 대비 높은 평가 를 받았다. 안랩 트러스가드는 고도화된 애플리케이션 컨트롤(Application Control), 사용자 ID 기반 정책 설정 관리, 데이터 유출 방지 (DLP, Data Loss Prevention), 암호화된 트래픽 가시성 확보(SSL Inspection) 등 차세대 방화벽 기능을 모두 제공한다. 또한 시큐리 티 인텔리전스(Security Intelligence) 를 기반으로 잠재적인 보안 위협이 될 수 있는 악성코드 유포 URL에 대한 접속 이나 APT 공격 에 악용되는 C&C 서버와의 통신, 알려지지 않은 실행 파일의 내부 유입 등을 실시간 업데이트되는 데이터베이스 기반으로 탐지 및 차단한다. 특히 자사의 지능형 위협 대응 솔루션 안랩 MDS(Malware Defense System) 와 연동 시, 내부로 유입되는 파일 중 알려지지 않은 파 일과 악성 의심 URL에 대한 동적 분석이 가능해 보다 체계적인 위 협 대응을 제공한다. 안랩 네트워크사업부 고광수 상무는 국내 유일 3년 연속 매직 쿼 드런트에 등재된 것은 높은 네트워크 보안 기술력을 제공하기 위한 노력의 결과 라며 안랩은 기술력에 기반해 네트워크 보안 시장에 서 앞으로 지속적인 성장을 이뤄나갈 것 이라고 말했다. 안랩 트러스가드 안랩, 이메일 랜섬웨어 보안 서비스 출시 안랩이 이메일 보안을 클라우드 기반의 서비스 형태로 제공하는 이메일 랜섬웨어 보안 서비스'를 새롭게 출시했다. 안랩의 이메일 랜섬웨어 보안 서비스 는 이메일 첨부 파일의 악 성여부 확인 및 차단 이메일 본문 내 URL 점검 스팸 메일 차단 보안 현황 시각화 대시보드 차단 및 탐지 현황 주/월간 보고서 등 전문적인 이메일 보안을 SECaaS(Security as a Service, 클라우 드를 기반으로 전문화된 보안을 서비스 방식으로 제공) 형태로 제 공하는 서비스다. 안랩 서비스사업부의 방인구 상무는 이메일은 랜섬웨어나 APT 공격 등 다양한 보안위협이 시작되는 주요 경로"라며 "안랩의 이번 서비스가 장비 구매 등으로 이메일 보안 실행이 어려웠던 중/소규 모 기업의 보안 수준 향상에 도움이 되길 기대한다"고 말했다. 한편, 안랩은 이번 이메일 랜섬웨어 보안 서비스 출시 기념으로 신 청자에 한해 해당 서비스를 무료로 1개월간 제공하는 이벤트를 진 행하고 있다. 해당 이벤트에 대한 문의 및 신청은 안랩 영업대표 또 는 이벤트 전용 이메일(mssevent@ahnlab.com)로 하면 된다. 32

33 발행인 : 권치중 발행처 : 주식회사 안랩 경기도 성남시 분당구 판교역로 220 T F 편집인 : 안랩 콘텐츠기획팀 디자인 : 안랩 디자인팀 2016 AhnLab, Inc. All rights reserved. 본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제, 복사, 검색 시스템 으로 저장 또는 전송될 수 없습니다. 안랩, 안랩 로고는 안랩의 등록상표입 니다. 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상 표일 수 있습니다. 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다.