세상에서 가장 안전한 이름 안철수연구소 월간 안 CONTENTS CEO COLUMN 스티브 잡스와 소프트웨어 SPECIAL REPORT 우리 회사에 적합한 망분리 솔루션은? MARKET INTELLIGEN

Transcription

1 안철수연구소 보안 매거진 SPECIAL REPORT 우리 회사에 적합한 망분리 솔루션은?

2 세상에서 가장 안전한 이름 안철수연구소 월간 안 CONTENTS CEO COLUMN 스티브 잡스와 소프트웨어 SPECIAL REPORT 우리 회사에 적합한 망분리 솔루션은? MARKET INTELLIGENCE REPORT 앞으로 한 달, 개인정보보호법 해법을 찾아라 THREAT ANALYSIS 감염될 때마다 변신하는 바이러스를 막아라 TECH REPORT 침해 사고 예방을 위해 기업들이 고려하는 보안 솔루션은? AHNLAB NEWS - APT 공격의 해답은? - 안철수연구소의 저력, 특허 경영은 계속 된다 PRODUCT ISSUE 안철수연구소, CC 인증으로 망분리 시장 정조준 STATISTICS 2011년 7월 보안 통계 및 이슈 AHNLAB'S TWITTER What's Happening?

3 CEO column 소프트웨어의 본질 스티브 잡스와 소프트웨어 이 글은 중앙일보 [경제 view &]에 실린 김홍선 대표의 칼럼입니다. 80세에 가까운 원로 인문학자( 人 文 學 者 )가 특강 중에 한 얘기다. 자료를 어떻게 찾아야 하나 고민하던 차에 어느 젊은 학생 의 권고로 구글의 이미지 검색을 통해 큰 도움을 받은 적이 있 다. 호기심에 내 이름도 검색해 봤다. 수십 페이지의 자료가 나 오는데 나도 못 본 내용이 있지 않은가? 그는 이런 경험을 말한 뒤 참으로 신기했다. 내가 돈 한 푼 내지 않았고 따로 부탁한 것도 아닌데, 그렇게 생생한 정보를 즉각 찾아 주 다니 이런 게 바로 소프트웨어(SW)가 주는 혜택이 아니겠느냐 며 고마움을 피력했다. SW기업 구글이 하드웨어 생산자인 모토로라 모빌리티를 인수하 고, HP가 PC사업을 분사하는 대신, 비즈니스SW에 진력하겠다는 메 가톤급 뉴스가 연이어 터졌다. 휴대전화 제조 1위 업체인 노키아의 추 락은 더 이상 화젯거리도 아니다. 이런 글로벌 기업들의 움직임은 우 리에게도 큰 이슈다. 한국 경제에 엄청난 영향력을 가진 대기업의 사 업 모델에 대한 불안감, 그리고 열악( 劣 惡 )한 SW 산업의 현실 때문 일 것이다. 돌이켜 보면 SW가 중요하다는 데 사회적 이견이 있었던 적은 없 다. 그럼에도 현실은 정반대다. 젊은이들은 SW 분야를 멀리하고, 이 미 몸담고 있는 선배들도 권하지 않는다. 사정이 이러니 기업들은 인 력이 없어 사업을 진행하지 못할 정도가 돼버렸다. 일자리가 부족하 다면서도 SW 쪽으론 사람이 가지 않는 아이러니는 우리 사회의 당면 과제다. 이를 해결하려고 각종 인센티브, 연구개발비 지원, 산업 육성 등 다양한 대책이 논의되고 있다. 그러나 정책적 해결책에 앞서 SW 기피의 본질적 원인을 직시해야 한다. 도대체 왜 그럴까. 일상 중 SW가 사용되는 모습을 흔히 본다. 하드웨어에 탑재된 SW, 각종 프로젝트를 위해 개발된 SW 등. 하지만 SW 자체가 사업 의 중심이 된 적은 거의 없다. 그렇다 보니 하드웨어 비용 처리가 우선 이어서 SW는 제값 받기가 힘들다. 한편 SW 공정은 모든 사업의 마무 리인 까닭에 개발자들은 으레 마감일을 맞추느라 과로를 하게 되기 십 상이다. 때론 기술적으로 별 의미 없는 무리한 요구에 시달리기도 한 다. 이로 인한 소외감은 SW업계가 짊어진 고질적 병폐다. 안철수연구소 김홍선 대표 정보기술(IT)은 사업 생산성을 높이고 비용을 절감하기 위해 도 입된 것이다. 각 조직 내에서 IT의 역할과 위상은 날로 커지고 있다. 인터넷으로 인해 그 영향력은 사회 전반을 아우르는 수준이 됐다. 그 IT의 핵심에 SW가 있다. 오늘날 사업 모델, 제품과 서비스의 효율성 과 고객 친밀감( 親 密 感 ), 최적의 프로세스를 좌우하는 것은 다름아 닌 SW다. 애플의 창업자 스티브 잡스는 2007년 아이폰을 처음 선 보이는 자리에서 SW를 진심으로 고민하는 사람은 자기만의 하드웨 어를 만들어야 한다 라는 앨런 케이의 주장을 인용했다. 자신이 꿈꾸 는 SW를 구현하기 위해 그에 걸맞은 휴대전화를 만들었다는 설명이 다. 이처럼 그가 구상하는 사업의 중심에는 언제나 SW에 대한 애정 이 굳게 자리해 있다. 실제 오늘날의 IT 산업은 SW가 하드웨어를 이끄는 구조다. 이런 환경 변화에 직면한 하드웨어 중심의 국내 대기업들은 근심이 클 것 이다. 하지만 이럴수록 조급하게 일개 제품이나 기술에 매달리는 우 를 범해선 안 된다. 그보다는 우리가 사는 사회의 현상과 변화를 진지 하게 통찰하는 데서 돌파구를 찾아야 한다. SW는 단지 IT의 부속물이 아니다. 전체 산업을 이끄는 선도적 역할을 하고 있으며, 더 나아가 거 대한 사회적 변화를 일으키는 핵심( 核 心 )이다. 그런 만큼 이제부터라 도 세상을 보는 관점의 중심엔 SW가 있어야 한다. 그런 인식의 전환 을 바탕 삼아 차분히 혁신을 실천해 간다면 현재의 상황은 위협이 아 닌 기회가 될 수 있다. 3

4 special report 망분리 SW-HW 융합형 망분리 솔루션, AhnLab TrusZone 우리 회사에 적합한 망분리 솔루션은? 인터넷을 통한 편리한 업무 환경 조성을 위해 힘써 왔던 우리 기업들은 예상하지 못한 심각한 보안 위 협에 직면해 있다. 인터넷으로 연결된 내부망은 외부로부터의 악성코드 공격을 받고 있으며, 내부로부 터는 중요 기밀 자료 유출과 같은 피해가 발생하고 있다. 기존 보안 솔루션의 도입/운영만으로는 더 이 상 내/외부의 공격으로부터 안심할 수 없는 상황에 이르렀다. 이에 업무망과 인터넷망을 분리하여 인 터넷을 통한 악성코드 침입 및 공격이 있더라도 업무 영역에 영향이 미치지 않는 망분리 솔루션이 보 안의 새로운 해결책으로 주목 받고 있다. 본 문서에서는 망분리의 필요성 및 다양한 망분리 방식에 대 해 기술하고, 가장 효율적인 망분리 방식에 대한 제언, 그리고 망분리시 추가적으로 고려해야 할 사항 에 대해 기술하였다. 최근 보안 위협 동향 최근 인터넷을 통해 발생하는 다양한 보안 위협들은 이미 몇 년에 걸 쳐 금전적인 이윤을 목적으로 조직적이고, 자동화되어 제작되고 있다 는 것은 잘 알려져 있는 사실이다. 그러나 이러한 금전적 이윤을 목적 으로 조직적이고 자동화된 대량 생산 형태의 보안 위협들이 최근에 와 서는 이제 그 범위를 서서히 확장하여 지능형 타깃 지속 공격(APT - Advanced Persistent Threat) 으로 발전하고 있다. APT 공격은 과거 정부 기관 및 방위 산업 업체가 주된 대상으로 국가간에 이루어졌으나, 최근에는 정치적, 경제적으로 고부가가치의 데이터를 보유한 기업 및 조직들이 APT의 주요 대상으로 바뀌었다. 피해 규모 역시 기업 및 조직의 비즈니스 연속성에 심각하고 치명적인 위험을 유발할 수준까지 발전하였다. 대표적인 APT 공격 사례는 [그림 2]와 같으며, 국내에도 2011년 한 해 동안 크고 작은 공격이 수 차례 이루어지고 있다. APT(Advanced Persistent Threat) 오퍼레이션 오로라 Operation Aurora 다양한 IT 기술과 방식들을 이용해 특정 대상에게 지속적으로 보안 위협 을 가하는 일련의 행위를 뜻한다. 시점 2010년 1월 타깃 구글, 다우캐미컬 등 30여 개 회사 피해 소스코드 등 회사 기밀 자료 유출 스턱스넷 Stuxnet 시점 2010년 9월 타깃 이란 원전 SCADA 피해 원자력발전소 작동 중단 유럽연합 위원회 서버 공격 EU Commission Summit Attack 시점 2011년 3월 타깃 벨기에 브뤼셀 EU 위원회 서버 피해 공개되지 않음 소니 PSN 해킹 Sony PlayStation Network Hacked 시점 2011년 4월 타깃 플레이스테이션 네트워크(PSN) & 큐리오 시티 피해 7,700만 건의 가입자 개인정보 유출 위 험 성 취미와 장난을 목적으로 하는 위협 범죄적인 요소 포함 조직적인 구조로 위협 생산 금전적인 목적으로 위협 생산 개인 정보 및 금융 정보 탈취 경제적인 목적으로 위협 생산 지적 자산 및 기업 기밀 탈취 지속적이고 정교적인 타겟 공격 정부, 기업 및 정치 단체를 대상 정치적 또는 경제적 목적으로 위협 생산 경제적, 조직적 지원을 바탕 G20 파일 공격 G20 Files Attack 시점 2011년 3월 타깃 G20 관련 파일 피해 150명 이상의 외교관 컴퓨터 공격 나이트 드래곤 Night Dragon 엡실론 이메일 침해 Epsilon Breach 시점 2011년 4월 타깃 엡실론사 고객 이메일 계정 피해 시티은행, 디즈니 등 50개 기업 고객 이메일 탈취 취미 및 장난 형태 위협 조직 범죄 형태 위협 산업 스파이 형태 위협 APT (Advanced Persistent Threat) 시점 2011년 2월 타깃 오일, 가스, 석유화학 회사의 웹사이트 피해 공개되지 않음 보안 위협의 정교함 [그림 1] APT 형태의 보안 위협의 정교함과 위험성의 상관 관계 출처: Ernst & Young, 2011 [그림 2] APT 공격 사례 4

5 현재 발생하고 있는 APT 형태의 공격은 동일한 패턴을 보이고 있 다. 공격자들은 피싱이나 제로데이 공격, 사회공학적 기법 등을 이용 해 악성코드를 배포하여 기업 내 직원들의 PC를 먼저 장악한다. 이 렇게 백도어(Backdoor)가 설치되면 내부망으로 악성코드를 퍼뜨려 시스템 관리자의 패스워드 및 권한 등을 탈취한다. 이러한 과정을 통 해 APT 공격이 성공하면 대부분 시스템 동작 불능으로 상황이 종료 된다. 백도어가 설치된 이후에는 방법을 강구해도 아무 소용이 없으 며, 피해를 최소화하기 위해서는 백도어 설치 이전에 공격을 방어하 거나 탐지해야만 한다. 악성코드가 설치되는 순간부터 APT 공격이 시작되는 것이라면 악성코드 대응 솔루션인 안티바이러스 솔루션으로 APT의 위협을 예 방할 수 있을 것이라고 많은 사람들이 생각한다. 그러나 안티바이러 스 솔루션은 엄밀히 말해 APT에 대응하기 위한 솔루션이 아니다. 안 티바이러스 솔루션은 근본적으로 샘플 수집 후 대응 처리하는 솔루션 으로 APT 공격과 같이 특정 대상을 목표로 악성코드를 제작할 경우 대상 기업의 파일을 모두 모니터링 하지 않는 한 샘플 수집이 불가능 하여 APT 공격 대응에는 한계가 있다. 또한 방화벽(Firewall)을 비롯한 네트워크 보안 솔루션은 트래픽 을 관리하는 것을 목표로 한다. 그러나 APT 공격에 의해 발생하는 트 래픽은 이미 장악된 내부망을 통해 들어오기 때문에 정상 트래픽으로 인지되어 이를 방어하기는 상당히 어렵다. 특히 정상적인 웹 서핑을 통해 악성코드에 감염되는 비율이 높기 때문에 인터넷 사용을 금지하 지 않는 한 악성코드 유입을 100% 방지하기는 불가능하다. 망분리 방식 인터넷망과 업무망을 분리하는 망분리 방식은 크게 물리적 망분리와 논리적 망분리로 나눌 수 있다. 물리적 망분리는 업무용망과는 별도로 인터넷망을 위한 네트워크를 가설하고 인터넷 접속용 PC도 물리적으 로 분리되어 사용하는 방식을 일컫는다. 논리적 망분리는 실제 네트워크는 물리적으로 구분되어 있지 않 지만, 가상화 기술 등을 사용하여 업무용망과 인터넷망이 물리적으 로 분리되어 있는 효과를 동일하게 볼 수 있도록 구현하는 방식이다. 망분리 방식별 장/단점은 다음과 같다. 1. 물리적 망분리 물리적 망분리는 인터넷망과 업무망을 분리할 때 물리적으로 네트워 크를 분리하는 방식을 말한다. 이 방법은 비용과 업무 효율성은 다소 떨어지지만 보안에 대한 가시성이 높은 방식으로 망분리 초기에 가장 먼저 도입된 방식이다. 물리적 망분리는 크게 2대 PC 방식, 망분리 전환 장치 이용 방식, 멀 티 PC 이용 방식이 있다. 2대 PC 방식 2대 PC 방식은 인터넷용과 업무용으로 분리된 네트워크에 인터넷 PC와 업무 PC를 각각 접속해서 사용하는 방식이다. 이처럼 사내 악성코드 유입을 방지하고, 외부로부터의 APT 공격 에 대응하기 위해서는 기존 보안솔루션만으로는 역부족이다. 따라서 업무를 수행하는 업무망과 인터넷을 하는 인터넷망(비업무망)을 완전 히 분리하여 인터넷을 통해 악성코드가 사내에 침투하더라도 업무 인 프라에는 영향을 미치지 않도록 하기 위한 방법이 사내 보안의 기본 사항으로 논의되고 있다. 외부로부터의 공격이 정교화 될수록 인터넷 망과 업무망을 분리하는 망분리에 대한 요구사항이 점차 증가하고 있 으며, 다양한 망분리 방식에 대한 연구도 진행되고 있다. INTRANET SERVER Intranet Access Internet Access INTRANET CLIENTS 물리적 망분리 2 PC 망분리 전환 장치 [그림 4] 물리적 망분리 - 2대 PC 방식 망 분 리 [그림 3] 망분리 방식 논리적 망분리 멀티 PC 서버 기반 가상화 PC 기반 가상화 애플리케이션 가상화 데스크톱 가상화 애플리케이션 가상화 데스크톱 가상화 - 장점: 명확한 개념의 망분리 방식으로 가시성을 확보할 수 있다. 네트워크 공사, 전원공사 등 기존 기술을 사용하기 때문에 업체 선정 이 용이하다. - 단점: 방화벽부터 PC까지 전체 네트워크를 새로이 구축해야 하며, 망 공사, 전원 공사 등 부수적인 비용이 상당히 필요 하다. 1인당 2대 의 PC를 지급해야 함으로써 업무 공간의 협소화, 발열 등의 문제를 해 결해야 한다. 인트라넷을 제외한 기본 전산 시스템이 2배가 되므로 유 지보수 비용이 많이 소요된다. 5

6 망분리 전환 장치 PC에 하드디스크 및 랜카드를 별도로 설치하고, 망분리 전환 장치 (PCI 카드 형태)를 이용하여 업무용 모드와 인터넷 모드로 전환하는 방식이다. - 단점: 모든 사용자의 동시 접속 또는 부하가 큰 인터넷 사이트 (동영 상 등)접속시 속도 저하가 발생한다. 소규모(5 ~7명) 조직에 적합하 며, 대규모 조직 적용시 관리 부담이 증가한다. 방화벽부터 멀티 PC 까지 전체 네트워크를 새로이 구축해야 하며, 망 공사, 전원 공사 등 상당히 많은 부수적인 비용이 소요된다. 모니터, 키보드, 마우스 등 추 가 장비의 구매 및 설치가 필요하다. Internet Access INTRANET SERVER Intranet Access INTRANET CLIENTS [그림 5] 물리적 망분리 - 망분리 전환 장치 방식 - 장점: 2대의 PC 이용과 동일한 수준의 보안성을 제공한다. 인터넷 접속을 위한 PC를 구매할 필요가 없어 2대 PC 방식 대비 약간 저렴 한 비용으로 구축이 가능하다. - 단점: 방화벽부터 PC까지 전체 네트워크를 새로이 구축해야 하며, 망 공사, 전원 공사 등 부수적인 비용이 상당히 필요하다. 하드디스크, 랜카드, 망 전환 장치의 구매 및 설치가 필요하다. 인터넷망과 업무망 전환 시 재부팅이 필요하다. 보수 비용이 많이 소요된다. 2. 논리적 망분리 논리적 망분리는 인터넷망과 업무망을 분리할 때 별도의 네트워크 를 구축하지 않고 논리적으로 네트워크를 분리하는 방식을 일컫는다. 논리적 망분리는 실제는 존재하지 않는 가상의 망을 구축해야 하기 때 문에 다양한 가상화 기술 및 보안 기술을 사용한다. 논리적 망분리 방식으로는 크게 서버 기반 가상화와 PC 기반 가 상화 등 2가지 방식이 있다. 서버 기반 가상화(SBC) 서버 기반 가상화의 경우 기존 PC는 업무용 PC로 사용하고, 인터넷 접속 필요시 인터넷 서버 가상화 서버팜에 위치한 가상 머신을 통해 인터넷에 접속하는 방식을 취한다. Internet Access 인터넷 가상화 서버 멀티 PC 이용 방식 멀티 PC 이용 방식은 별도의 전용 접속장치를 통해 인터넷 접속용 PC를 통해 인터넷을 사용하는 방식이다. INTRANET SERVER Intranet Access Internet Access INTRANET CLIENTS INTRANET SERVER Intranet Access INTRANET CLIENTS [그림 7] 논리적 망분리 - 서버 기반 가상화 방식 - 장점: 물리적 망분리 방식 대비 구축 비용을 절감할 수 있다. - 단점: 인터넷 접근 프로그램(브라우저 등)이 서버에서 실행되므로 대 규모의 인터넷 가상화 서버팜의 구축이 필요하다. 인터넷 교육 등 멀 티미디어에 대한 지원에 어려움이 있다. 제한적인 업무에 적합한 구 조로 다양한 프로그램 실행이 불가능하다. [그림 6] 물리적 망분리 - 멀티 PC 이용 방식 - 장점: 2대 PC와 같은 수준의 보안성을 제공한다. 인터넷 접속을 위 한 PC를 구매할 필요가 없어 2대 PC 방식에 비해 저렴한 비용으로 구축이 가능하다. 6

7 PC 기반 가상화 PC 기반 가상화는 업무용 PC에 가상화된 인터넷 영역을 생성한 후 가상화 위치 가상화 유형 가상화 레벨 가상화 영역에서 실행되는 프로그램만 인터넷 접속이 가능하도록 하 는 방식이다. 이때 가상화 영역과 비 가상화 영역은 메모리, 프로세 스 등이 완벽히 분리가 되어 있어야 하며, VPN 또는 전문화된 어플 라이언스를 통해 가상화 영역에서 실행된 트래픽만 인터넷 접속을 허 용한다. 서버 기반 가상화 (서버 자원) 애플리케이션 가상화 애플리케이션 레벨 커널 레벨 애플리케이션 레벨 OS 레벨 / 커널 레벨 애플리케이션 가상화 하드웨어 레벨 애플리케이션 가상화 애플리케이션 레벨 INTRANET SERVER Intranet Access Internet Access PC 기반 가상화 (PC 자원) 애플리케이션 레벨 커널 레벨 데스트톱 가상화 OS 레벨 / 커널 레벨 하드웨어 레벨 [그림 9] 가상화 기술 프레임 워크 OS 레벨/커널 레벨 가상화 INTRANET CLIENTS [그림 8] 논리적 망분리 - PC 기반 가상화 방식 - 장점: 가장 저렴하게 구축이 가능하다. - 단점: 다양한 PC 환경에 대한 호환성 확보가 필요하다. 윈도우 패치 - 호스트 커널의 동작을 변경하여 하나의 복제된 OS를 수행하게끔 하 여 커널 레벨에 대해 가상화 하는 방식 애플리케이션 가상화 - OS와 애플리케이션 사이를 분리, 가상화하는 방식으로 애플리케 이션의 리소스, 권한 등을 가상화시켜 가상 환경을 만들어주는 방식 등 향후 일어날 수 있는 OS 변경 사항에 대해 유연하게 대처할 수 있 는 구조가 필요하다. 모든 트래픽이 중앙 어플라이언스에 집중되므로 대량의 퍼포먼스 처리 능력이 필요하다. 가상화 기술 프레임워크 논리적 망분리에 사용하는 가상화 기술은 워낙 다양하고 용어가 통일 되어 있지 않아 사용자가 혼동을 일으키는 경우가 많다. 이에 논리적 망분리 방식에서 사용하는 가상화 개념 및 용어의 혼란을 최소화하기 위해 가상화 기술 프레임워크를 자체적으로 정의해 보았다. 2. 가상화 레벨 분류 방식별 장/단점 가상화 방식은 여러 가지 방법이 있으나 각각의 용도에 따라 적합한 가상화 위치가 지정된다. 예를 들어 하드웨어 가상화는 가장 널리 사용되고 있다. 하지만 리소스의 오버헤드가 심해 PC에서는 많이 사용하고 있지 않으며, 서 버 가상화 환경에 적합한 구조로 이야기 되고 있다. 가상화는 크게 서버 자원을 이용하는지 PC 자원을 이용하는지와 하드웨어 레벨 가상화 OS 레벨 가상화 애플리케이션 레벨 가상화 컴퓨터 하드웨어-운용체계(OS)-애플리케이션 중 어느 단계에서 분리 VM1 VM2 Host OS Host OS 하느냐에 따라 구분이 가능하다. Application OS Kernel Application OS Kernel VM1 Application Application Container 1. 가상화 레벨별 분류 Hypervisor OS Kernel Application 컴퓨터 하드웨어-운용체계(OS)-애플리케이션 중 어느 레벨에서 분류 하느냐에 따라 가상화 방식이 분류된다. 가상화 레벨은 크게 아래 3 가지 방식이 있다. Hardware 서버 가상화에 적합 리소스 오버헤드가 심함 OS Kernel Hardware Virtualization Layer OS Kernel Hardware 구축 비용이 높음 호스트 커널을 이중화하여 가상화 호스트OS를 변경해야 함으로 안정성에 문제 하드웨어 레벨 가상화 호환성 문제로 범용적인 환경에서는 사용 안 함 OS의 커널 레벨에서 리소스 오버헤드가 있음 애플리케이션의 리소스를 가상화함 OS 커널을 그대로 이용함으로 안정성 높음 - 서버에 데스크톱 환경을 모두 올려놓고 원격의 단말을 통해 이를 이 용하는 것 - Hypervisor 또는 VMM 이라 불리우는 디바이스 운영 방식을 통해 OS를 가상화 하는 방식 [그림 10] 가상화 레벨별 구조 및 장/단점 리소스 오버헤드가 가장 적음 7

8 구분 전환시 재부팅 여부 물리적 망분리 논리적 망분리 PC 2대 이용 망 전환 장비 멀티 PC 서버 기반 가상화 PC 기반 가상화 필요시 1회 부팅 재부팅 X X X 보안성 완전 망분리 구성으로 업무망의 안전성 확보 완전 망분리 구성으로 업무망의 안전성 확보 완전 망분리 구성으로 업무망의 안전 바이러스 및 악성코드 유입 가능성으로 보안성 취약 애플리케이션 가상화는 커널과 분리되어 있어 악성코드 감염이 안됨 추가 장치 추가 PC 인터넷 네트워크 망 전환장치 추가 HDD 인터넷 네트워크 전용접속장치 호스트 PC 인터넷 네트워크 전용 서버 SBC Solution 업무와 인터넷 트래픽을 분리하기 위한 장비 주요 장점 물리적 분리 보안 단일 PC상의 망 전환 물리적 분리보안, 단일 PC상의 전환효과 가상화 서버를 통한 인터넷 통제 기존 자원을 최대한 활용하여 가장 낮은 도입 비용 주요 단점 사무공간 협소 이중 구성비용 재부팅 업무 연속성 저해 보조기억매체를 통한 정보유출 가능성 내부망 해킹 가능성 존재 웜ㆍ바이러스 유입 가능성 다양한 PC 환경에 대한 호환성 및 중앙관리 사용자 현황 관리 기능 (로그관리) X X X X O [표 1] 물리적 망분리 Vs. 논리적 망분리 OS 레벨 가상화의 경우에도 하드웨어 가상화보다는 리소스 오버 헤드가 적으나 PC에서 사용하기에는 여전히 문제가 많다. 특히 OS 가 패치되면 오류가 발생할 수 있는 등의 문제가 있어 PC와 같은 범용 적인 시스템보다는 OS 패치를 제어할 수 있고, 제한적 용도로 사용하 는 서버 가상화에 적합한 구조를 가지고 있다. 애플리케이션 가상화 방식은 OS의 커널을 그대로 이용함으로써 안정성 및 범용성이 가장 높은 방식이다. 또한, 유지보수 차원에서도 OS 커널 변경이 미치는 영향이 적어 PC 가상화에 가장 적합한 방식 이라고 할 수 있다. 망분리 방식 비교 망분리 방식별로 주요 장단점을 종합적으로 비교해 보면 위의 [표 1] 과 같다. [표 1]에서 확인할 수 있듯이 PC 2대 이용 방식을 비롯한 물리적 망 분리 방식은 보안성이 가시적으로 확보된다는 장점 이외에 비용 등의 면에서 논리적 망분리 방식 대비 효율성이 떨어진다. [표 2]와 같이 서버기반 가상화 방식은 PC 기반 가상화 방식 대비 구축/유지보수/확장 비용이 너무 많이 소요된다. 또한 멀티미디어 환 경에 적합하지 않은 구조로 제한된 업무를 수행하는 업무의 중앙집중 화에는 적합할 수 있으나 범용적인 인터넷 사용 환경이 보장되어야 하 는 망분리 솔루션에서는 적합하지 않은 방식이다. AhnLab TrusZone 지금까지 망분리 솔루션이 새로운 보안 해법으로 주목 받는 이유와 망 분리 솔루션 방식들을 비교해 살펴보았다. 이 결과 물리적 망분리와 동 일한 보안성을 확보하면서도 구축/유지보수 비용 및 사용성을 고려한 다면 애플리케이션 레벨의 PC기반 가상화 방식이 가장 적합한 방안임 을 알 수 있었다. 안랩 트러스존(AhnLab TrusZon, 이하 트러스존)은 애플리케이 션 레벨의 PC 가상화 기술과 망분리 전용 장비를 사용한 신개념의 망 분리 솔루션이다. SW와 HW가 융합된 망분리 방식을 구현해 구축 비 용이 저렴하면서도 높은 보안성과 편의성을 제공하고 있다. 그럼, 이제 논리적 망분리 방식간 비교를 살펴보자. 구분 PC 기반 가상화 서버 기반 가상화 비고 가상화 위치 사용자 PC 가상화 서버 - 사용자 통제 해킹 위협 대상 낮음 (보완 방안 있음) 개별 PC (제품별 특성 있음) 높음 - 가상화 서버 전체 가상화 서버 공격 침해 시 업무 중단 위협 있음 PC 가상화를 통한 PC 영역 분리 - Sandbox 개념의 PC가상화 - 가상 영역에서만 인터넷 접근 가능 클라이언트 영역 분리 장비/사용자 관리 - 장비/사용자 정책 편집 및 배포 - 장비 모니터링 관리 서버 개인 데이터 저장 위치 개인 PC 가상화 서버 가상화 서버의 경우 개인 정보 침해 우려 있음 TrusZone 구축 비용 낮음 높음 서버팜 구축 비용에 따른 차이 유지보수 비용 낮음 높음 서버팜 유지/보수 비용에 따른 차이 전용 어플라이언스 망분리 장비 사용 악성코드 유입 방지 악성코드 방지 확장 비용 낮음 높음 서버팜 확장 비용에 따른 차이 - 터널링 구성을 통해 인가된 패킷만 인터넷 접근 - 악성행위 방지 및 익스플로이트(Exploit) 방지 기능 사용자 편의성 높음 낮음 서버 가상화에 대한 사용자 불편 [그림 11] 안랩 트러스존 주요 개념 업무 환경 관리 개별 PC 가상화 서버 전체 일괄 적용 업무 특성에 따른 환경 적용을 관리자가 지정해야 함 Green IT 기여도 높음 낮음 서버팜 규모에 따른 차이 [표 2] 논리적 망분리 방식 비교 8

9 1. 트러스존 구성 트러스존은 업무 영역과 인터넷 영역의 접속을 구분하는 고성능 망분 리 전용 어플라이언스인 트러스존 VTN 과 PC 가상화 기술을 이용하 여 인터넷 영역의 격리성을 확보하는 트러스존 포 인터넷(TrusZone for Internet)으로 구성된다. 또한 트러스존 VTN 및 트러스존 포 인터 넷의 정책 설정 및 모니터링 기능은 ATM /ATL 에서 담당하게 된다. 트러스존 포 인터넷은 앞서 언급한 애플리케이션 레벨의 가상화 기술에 안철수연구소의 다양한 보안 기술을 접목하여 가상 영역에서 악성 행위 및 익스플로이트(Exploit) 방지 기능을 제공하여 단계별 해 킹 및 칩입 방지 기능을 수행한다. 이러한 보안 레이어를 여러 단계에 걸쳐 지원함으로써 편의성을 극대화 하면서도 완벽한 보안 기능을 지 원하는 것이다. TrusZone VTN 영역별로 각각 접속하도록 망을 분리 PC에서 인터넷 접속 시 에이전트(Agent) 설치 유도 네트워크 환경 및 사용자 수에 따른 다양한 H/W 지원 ATM 일괄정책 설정 및 관리 Profiling 기법 활용 3. 전문화된 어플라이언스(Appliance) PC 가상화 방식에서 중요한 컴포넌트 중에 하나가 업무 영역과 인터 DB2 Windows Server 인터넷 접속 사용자 관리 및 제어 넷 영역의 접속을 구분해주는 네트워크 어플라이언스이다. ATL PC의 가상화 영역에서 정상적으로 생성되지 않은 트래픽은 인터 TrusZone for Internet DB2 / MS SQL Windows Server 시스템 현황 및 추이 보안정책 적용 / 사용자 인증 로그 관리 각종 이벤트 로그 관리 에이전트(Agent) 실행 / 정치 / 업데이트 관련 로그 Host - 가상환경 간 행위 로그 넷으로 나가지 못하게 함으로써 단순히 PC 레벨에서만 업무용 트래 픽인지 인터넷 접속을 위한 트래픽인지 구분하는 방식을 이중화하여 영역별로 각각 접속하도록 망을 분리 PC에서 인터넷 접속 시 에이전트(Agent) 설치 유도 네트워크 환경 및 사용자 수에 따른 다양한 H/W 지원 [그림 12] 안랩 트러스존 구성 보완해 줄 수 있다. 또한 PC의 가상화된 영역에서 발생하는 트래픽의 경우 어플라이언스까지 보안 터널링을 해주어, 혹시 인터넷 서핑을 하 다 가상화 영역이 악성코드에 감염되더라도 다른 PC로 전파되지 못 하도록 격리해 주는 기능을 제공해야 한다. 2. 트러스존의 강력한 보안성 단순히 애플리케이션 레이어의 가상화 방식 도입만으로 망분리에서 필요로 하는 보안성을 확보했다고 이야기하기는 어렵다. 가상화 기술 은 PC의 리소스를 효율적으로 사용하기 위해 만든 기술이지 보안을 위해 만든 기술은 아니기 때문이다. 그러나 PC 리소스를 효율적으로 사용할 수 있도록 해주는 가상화 기술에 보안성을 강화할 수 있는 여 러 기능을 추가함으로써 가장 효율적이면서도 보안성을 극대화 할 수 있는 망분리 솔루션을 제공할 수 있는 것이다. 특히 어플라이언스는 현재 사용중인 네트워크 환경에 맞추어 네 트워크 공사 등을 최소화 할 수 있고, 증설이 용이해야 한다. 또한 사 내의 모든 트래픽이 집중될 수 있으므로 대용량 처리가 가능하도록 지 원할 수 있는 전문화된 솔루션의 선택이 중요하다. INTERNET 인터넷 트래픽 라우터 방화벽 ATL VTN Virtual Environment TrusZone Protection Layer TrusZone Virtualization Layer ATM 망 연동 시스템 Host Application Virtualized Virtualized Application Application Virtualized Application Virtual Win32 Subsystem Windows OS Kernel User Mode ERP, DB, DRM... 업무서버군 업무 트래픽 VTN TZi TrusZone Virtualization Layer 악성행위 방지 Exploit 탐지 TrusZone Protection Layer Kernel Mode A지점 B지점 C지점 [그림 14] 트러스존 VTN의 다양한 구성 Windows OS Kernel [그림 13] 안랩 트러스존 포 인터넷(AhnLab TrusZone for Internet) 구조 9

10 결론 지금까지 망분리를 실현할 수 있는 여러 가지 기술에 대해서 개략적으 로 살펴보았다. 내부 네트워크망과 외부 네트워크망을 분리함으로써 악성코드 감염 및 APT 공격 등 외부 해킹의 위협을 차단할 수 있는 부 분은 분명히 효과적일 것이다. 하지만, 이것으로 완전한 것이 아니다. 예를 들어 USB 등 매체를 제어하지 못한다면 감염된 USB를 업무 PC 에 삽입하는 것만으로도 폐쇄성이 확보된 업무망에 악성코드 감염 등 이 일어날 수 있기 때문이다. 망분리는 정보의 유출과 APT 공격에 대해서 이제는 기본적으로 도입을 해야 하는 단계이다. 각 기업에서도 도입한다면 소기의 효과를 얻을 수 있을 것이라 생각된다. 그러나 이러한 시스템 도입과 함께 사용 자의 철저한 교육이 반드시 동반되어야 한다. 외부의 공격으로부터 내 부를 보호하려면 보안 시스템의 도입과 함께 철저한 교육을 통한 사용 자의 인식전환이 필수적이기 때문이다. 이 글이 각 기업의 시스템 및 비즈니스 환경에 적합한 망분리 솔루 션을 선택할 수 있는 가이드가 될 수 있기를 기대해 본다. 10

11 Market Intelligence Report Compliance 개인정보보호법 대응을 위한 기업 보안 가이드 앞으로 한 달, 개인정보보호법 해법을 찾아라 9월 전에 터졌으니 망정이지 아니면 회사 망할 뻔 했다. 최근 잇따라 발생한 대규모 개인정보 유출 사건을 두고 흔히 하는 말이다. 오는 9월 30일 시행되는 개 인정보보호법(법률 제10465호, , 제정, 시행)은 최대 5천만 원에 이르는 벌금 이나 과태료, 과징금 등과 더불어 상당한 금액의 손해배상을 명시하고 있어 개인정보 유출은 이제 담당 자들뿐만 아니라 기업의 존속과도 직결된 문제가 되었다. 때문에 기업들은 개인정보보호법 대응을 위한 대책 마련에 고심하고 있지만 아직 구체적인 시행령이 확정되지 않아 무엇을 준비해야 할 지도 막막한 상황이다. 이에 개인정보보호법과 관련된 법, 또는 조치들을 살펴보고 이를 통해 기업이 무엇부터 준비 해야 할지 알아보자. 개인정보보호법의 적용 대상은 기존 관련법에 비해 공공과 민간 부분 으로 확대되었으며 국회, 헌법재판소 등 행정 사무를 처리하는 기관 과 오프라인 사업자, 협회, 시민단체 등 비영리단체도 포함되었다. 이 에 따라 개인정보보호 대상기관이 현재 51만개에서 350만개로 확대 되었다. 즉, 개인정보보호법이 시행되면 사실상 대부분의 기업들이 개 인정보보호법에서 자유로울 수 없다는 뜻이다. 그러나 현재 개인정보 유출 사건은 발생 빈도가 증가하고 있을 뿐 만 아니라 그 피해 규모 또한 기록 갱신을 하듯 나날이 증가하고 있다. [표 1]은 올해 국내에서 발생한 주요 개인정보 유출 사건 및 피해 규모 에 관해 정리된 내용이다. 발생 시기 주요 내용 피해 규모 4월 H캐피탈 해킹 175만 명 고객정보 유출 개인정보보호법은 75개에 달하는 세부 조항과 더불어 최대 5천 만 원에 달하는 형사처벌뿐만 아니라 구체적인 피해보상 규정을 명시 하고 있다. 그러나 개인정보 유출 사건이 발생하더라도 평가 받는 잣 대 또한 법이다. 즉, 개인정보보호법의 시행 규칙과 고시를 준수하여 충분한 조치를 해둔 경우라면 설사 개인정보 유출 사건이 발생하더라 도 기업의 손실을 최소화 할 수 있다. 문제는 개인정보보호법의 시행규칙이 아직 발표되지 않았다는 점이다. 지난 6월 '개인정보보호법 시행령ㆍ시행규칙 제정안 공청회' 가 개최되었지만 시행령은 입법예고, 부처간 협의와 규제심사 등의 절 차를 거쳐 오는 9월 중순 공포될 예정이다. 그렇다면 법 시행 전까지 불과 한 달도 남지 않은 상황에서 기업이 사전에 대처 방안을 마련할 수 있는 방법은 없는 것일까? H전자금융 홈페이지 해킹 입사지원자 8천여 명 개인정보 유출 관련법 및 조치부터 파악하라 5월 L투자증권 해킹 1만 2천 명 개인정보 유출 세티즌(휴대폰 커뮤니티) 해킹 140만 명 개인정보 유출 6월 N투자증권 홈트레이딩시스템(HTS) 고객 매매 거래 내역 유출 노출된 화면의 캡쳐 인터넷 유포 7월 S사 포털 사이트 해킹 3,500만 명 개인정보 유출 8월 한국 앱손 해킹 35만 명 고객정보 유출 [표 1] 2011년 국내 개인정보 유출 사건 및 피해 규모 개인정보보호법의 시행령 또한 정통망법 등과 크게 다르지 않을 것이 라는 게 중론이다. 정통망법은 물론, 이를 근거로 마련된 방송통신위 원회(이하 방통위)의 개인정보의 기술적 관리적 보호조치 기준, 행정 안전부(이하 행안부)의 사업자의 개인정보 보호조치 기준 을 참고하 여 준비하면 추후 개인정보보호법의 시행규칙이 나오더라도 큰 문제 가 없을 것이라는 뜻이다. 11

12 고 시 시행규칙 시행령 법 률 정통망법이 규정하고 있는 정보통신서비스 제공자가 아닌 업체 들, 즉 준용사업자의 개인정보보호법의 보호조치는 행안부의 소관이 다. 준용사업자란 정통망법 제67조에 따라 정보통신서비스 제공자는 아니지만 통신사업자의 개인정보보호 의무를 따르도록 되어 있는 사 업자를 의미하는 것으로, 회원제 등을 통해 개인정보를 취급하는 백 화점, 할인점, 여행사 등이 해당된다. 이러한 준용사업자의 개인정보 보호를 위해 행안부가 마련한 사업자의 개인정보 보호조치 기준의 간 추린 내용은 다음과 같다. 가이드 라인 [그림 1] 법의 위계 정보통신망 이용촉진 및 정보보호 등에 관한 법(제32차 일부 개 정 법률 제10560호), 즉 정통망법은 정보통신 서비스를 이용하는 자의 개인정보를 보호하고, 정보통신망을 안전하게 이용할 수 있는 환경을 조성하기 위하여 제정된 법률이다. 이에 따라 전기통 신사업자, 전기통신서비스 제공자와 이용자간의 관계에 대해 개인정 보보호에 관한 규정을 명시하고 있다. 따라서 온라인 상에서 개인정보를 취급하는 업체들은 정통망법 적용의 대상이 되며, 이와 관련해 방통위가 정통망법에 근거해 규정 한 '개인정보의 기술적 관리적 보호조치 기준'을 준용하여 개인정보보 호법의 대책을 마련하면 된다. 최근 방통위가 개정한 개인정보의 기술 적 관리적 보호조치 기준 중에서 특히 기업이 현재 즉각적으로 솔루션 도입을 고려, 또는 확인할 수 있는 부분은 [표 2]와 같다. [ 제6조 - 물리적 접근 제한 ] 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소에 대 한 별도의 출입통제 절차를 수립하여야 하며 접근기록을 보관 하여야 한다. [ 제8조 - 출력 복사시 보호조치 ] 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소에 대 한 별도의 출입통제 절차를 수립하여야 하며 접근기록을 보관 하여야 한다. [ 제9조 - 접근권한, 인증 및 계정관리 ] 사업자는 사용자계정(ID) 발급시 개인정보취급자별로 한 개의 사용자계정 을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다. [ 제10조 - 개인정보의 암호화 ] 주민등록번호, 신용카드번호, 계좌번호 등 중요 개인정보에 대해서는 안전 한 암호알고리즘으로 암호화하여 저장하여야 한다. [ 제11조 접근통제 ] 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템을 접 속하는 경우 가상사설망(VPN) 등 안전한 보호대책을 마련하여야 한다. [ 제13조 - 보안프로그램의 설치 및 운영 ] 개인정보를 개인정보처리시스템 또는 업무용 컴퓨터에 보관하는 경우에는 보안프로그램을 설치ㆍ운영하여야 한다. 구분 내용 기술적 보호대책 4조 7조 접근통제 유출 탐지솔루션 적용 인터넷을 통한 유출방지 악성프로그램 방지 개인정보처리시스템에 개인 정보관리책임자, 취급만이 접근가능 접근권한관리 및 5년간 기록 보관 외부에서 접속할 경우 인증 필수 개인정보처리시스템에 대한 인가 받지 않은 접속제한 및 불법유출 탐지 인터넷 홈페이지, P2P, 공유설정 등을 통하여 개인정보가 공개, 유출되지 않도록 함 월 1회 이상 백신 소프트웨어를 주기적으로 갱신/점검 [표 2] 개인정보의 기술적 관리적 보호조치 기준 DB 방화벽 방화벽 IPS UTM DLP 솔루션 웹 필터링 솔루션 PC 보안 솔루션 백신 SW 패치관리시스템 시행까지 한 달이 채 남지 않은 개인정보보호법과 관련해 기업은 정통망법 및 관련 조치를 근거로 기술적인 대책 마련을 서둘러야 한 다. 그러나 이에 앞서 기업 내 모든 직원이 개인정보보호법의 핵심을 이해하는 것이 중요하다. 또한 개인정보는 최소한도로 수집하고 가급 적 빨리 완전히 파기해야만 한다. 아울러 개인정보보호법이 시행되 더라도 업계별로 관련법에 따라 예외로 인정되는 경우가 있다. 따라 서 관련법을 기준으로 기업 내부의 관리 체계에 문제가 없는지 진단 하는 것도 필요하다. 12

13 THREAT ANALYSIS 다형성 바이러스 다형성 바이러스 Win32/Xpaj.C 분석 감염될 때마다 변신하는 바이러스를 막아라 악성코드 제작자와 분석가의 치열한 두뇌 싸움은 현재진행형이다. 악성코드 제작자들은 분석가들의 추 적을 따돌리기 위해 각종 최신 수법들을 이용하고 있다. 그 중 하나가 다형성(Polymorphic) 기법이다. 이를 이용하여 바이러스를 제작하면 파일이 감염될 때마다 그 형태가 변하여 감염여부를 확인하기 힘들 다. 다형성 기법을 이용한 바이러스가 바로 다형성 바이러스이며, 이러한 복잡한 형태의 바이러스는 점 점 증가하고 있는 추세이다. 이 글에서는 다형성 바이러스의 일종인 Win32/Xpaj.를 자세히 분석해보 고자 한다. 이를 통해 다형성 바이러스의 특징과 수법을 이해할 수 있기를 기대한다. 다형성 바이러스 Win32/Xpaj.C 분석 Win32/Xpaj 바이러스는 2008년에 처음 발견되었으며 2009년에는 변형인 Win32/Xpaj.B형이 발견되었다. 그리고 최근에는 진단 및 치 료가 더욱 어렵게 되어 있는 또 다른 변형인 Win32/Xpaj.C형이 발 견되었다. 대부분의 바이러스 제작자들은 원본 정상파일이 손상되는 위험 을 피하기 위해 복잡하게 원본 파일을 변경하지 않는 것이 일반적 이다. 그러나 최근에 발견된 Win32/Xpaj B형, C형 바이러스 같은 경우는 예외라고 할 수 있다. Win32/Xpaj B형, C형 바이러스들은 EPO(Entry-point Obscuring)와 다형성 바이러스 특징을 모두 가지 고 있어서 바이러스의 시작지점과 공통적인 바이러스 몸통 부분을 찾 기가 어렵다. 좀 더 자세히 살펴보면 정상 CALL, JMP 명령어를 임의로 패치 하여 자신이 원하는 코드 상의 위치로 분기하도록 하였으며 바이러스 몸통 부분으로 진입하기 위해 정상 서브루틴들을 임의로 변경하였다. 또한 명확한 바이러스 감염 표시가 없어서 파일의 감염 여부를 확인 하는 것도 다른 바이러스에 감염된 파일에 비해 쉽지 않다. Infected Location Target Patched Virus Size Encrypted Part Xpaj A Case Last Section CALL Instruction 0x Virus Body Xpaj B Case Xpaj C Case Last Section or Middle Section Last Section or Middle Section CALL Instruction + Sub Function CALL Instruction + Sub Function 0x x29000 (164KB) Virus Body Virus Body + Cure Data EPO(Entry-Point Obscuring) 바이러스 Entry-point Obscuring을 우리말로 하면 '시작 실행시점 불명확화' 라고 할 수 있을 것이다. 즉, 일반적인 바이러스처럼 정상파일의 EP(Entry-Point:프로그램의 진입점)를 변경시켜 바이러스 자신이 실 행시키고자 하는 것을 실행시키는 것이 아니라 임의의 CALL 명령어 또는 JMP 명령어 부분을 바이러스 진입지점으로 수정하는 바이러스 들을 공통적으로 EPO라고 칭한다. 이런 EPO기법을 안티바이러스 엔진에서 진단하기 어려운 이유는 정상파일 코드영역 중 어느 부분의 CALL 또는 JMP 명령어가 변경되었는지 알 수 없기 때문에 변경되는 패턴을 찾지 못하면 코드영역 진입점부터 끝까지 스캔해서 찾아야 하 는 어려움이 있기 때문이다. 다형성(Polymorphic) 바이러스 파일이 감염될 때마다 그 형태가 변하는 다형성(Polymorphic)기법을 이용하여 감염여부를 확인하기 어렵도록 한 바이러스를 다형성 바이 러스라고 한다. 일반 백신에서 바이러스 코드의 특징을 찾아 감염 여 부를 확인 한다는 것이 알려지면서 바이러스 제작자들은 암호화 방법 을 구현하는 코드들을 변화시켜 특징을 찾기 어렵도록 했다. 암호화를 푸는 부분이 항상 일정한 단순 암호화 바이러스와는 달리 암호화를 푸 는 부분조차도 감염될 때마다 달라지도록 만든 것이다. [표 1]은 변종 별 특이사항을 표로 나타낸 것이다. [표 1]에서 보이는 것처럼 최초 발견된 A형 같은 경우에는 감염 위치가 마지막 섹션으로 고정이고 CALL 명령어들만 패치 되어 있는 경우라 서 진단/치료가 비교적 쉬웠다. 그러나 최근에 발견된 C형은 감염 섹 션이 임의적이고 진단 후 치료에 필요한 데이터들이 암호화되어 있어 치료도 쉽지 않다. [표 1] 변종별 감염 특징 및 특이사항 13

14 1. 감염된 파일 특징 Win32/Xpaj.C형에 의해 감염된 파일은 [그림 1]과 같은 특징을 가진 다. 파일에 따라 패치된 CALL이 있을 수도 있고 없을 수도 있지만, 정 상 서브루틴들이 임의로 감염되는 것은 동일하게 나타난다. 원본 데 이터들은 바이러스 몸통 부분에 인코딩 되어 저장되어 있다. 패치된 CALL은 감염된 서브루틴으로 분기되도록 동작을 하고 감염된 서브 루틴들은 바이러스 몸통 부분의 데이터들을 이용해서 실제 바이러스 코드가 실행되도록 동작한다. 바이러스 몸통은 크게 4부분으로 분류할 수 있다. 첫 번째는 바이 러스 감염 동작을 하는 Virus Code 부분, 두 번째는 정상 서브루틴 이 인코딩 되어 있는 Encoded Original Subroutine 부분, 세 번째는 디코딩과 다양한 용도의 데이터를 추출할 때 사용되는 4bytes Data 부분, 그리고 마지막으로 'Virus Code' 부분을 디코딩하고 그 후 분기 하기 위한 코드들이 들어있는 'Decoding Routine Space' 부분이다. Win32/Xpaj.C형의 가장 큰 특징 중 하나는 바이러스 몸체를 삽 입하는 섹션을 선택하는 기준을 정확하게 판단하기 어렵다는 것이다. [그림 3]처럼 같은 섹션 개수와 이름을 가지고 있더라도 파일속성과 Virtual Size 등의 조건에 따라 바이러스 몸체가 삽입되는 대상 섹션이 달라진다. [그림 3]과 같은 경우 '.edata'섹션에 바이러스 몸체가 삽입 된 경우와 '.rsrc' 섹션에 삽입된 경우이다. 두 파일의 차이는 아래 파일 (ir41_qc.dll)의 '.edata' 섹션에는 'IMAGE_SCN_MEM_SHARED' 속성이 있는데 Win32/Xpaj.C형은 해당 속성이 있으면 삽입할 수 없 는 섹션으로 판단하고 아래에 있는 섹션에 바이러스 몸체를 삽입한 다는 점이다. Normal File Infected File Patched CALL Patched CALL Subroutine A Infected Subroutine A [그림 3] 섹션 속성에 따라 다른 감염 대상 섹션 Subroutine B Infected Subroutine B [그림 2]는 감염된 서브루틴을 보여주고 있는데 여기서 Win32/ Xpaj.C형의 특징 중 하나를 확인할 수 있다. 기본적으로 코드 상의 PUSH EBP, MOV EBP, ESP 명령어의 데이터값은 '55 8B EC' 인 경우가 대부분이다. 그러나 감염된 파일은 같은 명령어의 데이터값이 '55 89 E5'인 것을 확인할 수가 있다. 이것을 바탕으로 OllyDBG(Olly Debugger)와 같은 디버거 툴에서 감염된 서브루틴을 찾을 때 바이 너리 검색을 통해 '55 89 EC'가 어디 있는지 확인한다면 쉽게 찾을 수 있다. Subroutine C 1. Virus Code 2. Encoded Original Subroutine 3. 4bytes Data 4. Decoding Routine Space (For Virus Code) [그림 1] 감염된 파일의 특징.Infected Section Infected Subroutine C Virus Body [그림 4]는 위에서 설명한 것처럼 바이러스 몸체를 삽입하고자 하는 섹션을 찾는 과정을 다이어그램으로 나타낸 것이다. 바이러스 가 감염 대상을 찾을 때 섹션 정보를 아래에서부터 확인한다. 그리고 '.reloc' 섹션은 감염 대상이 되지 않는 섹션으로 판단하고 '.rsrc' 섹션 은 일차적으로는 감염 대상이 되지 않는 섹션으로 판단하지만 바로 위 의 섹션 또한 감염 조건에 맞지 않으면 다시 '.rsrc' 섹션의 속성을 확인 해서 감염조건이 맞으면 해당 섹션에 바이러스 몸체를 삽입한다. 그 리고 삽입 가능한 섹션들의 공통적인 특징으로는 해당 섹션의 속성에 'IMAGE_SCN_MEM_SHARED' 속성이 없어야 하고 Virtual Size가 너무 크지 않아야 한다. 가능 X 바이러스 삽입 섹션 찾기 마지막 세션부터 헤더 정보 확인.reloc 섹션 Pass.rsrc 섹션 Pass 삽입 가능 섹션 여부 확인 Characterisitcs에 속성 있는지 확인 Virtual Size의 크기확인 가능 해당 섹션 감염 아래.rsrc 섹션이 있고 위 조건에 해당 사항 없으면 감염 가능 X 다음 감염 파일 찾음 [그림 2] 감염된 서브루틴 [그림 4] 바이러스 몸체 삽입 대상 섹션을 찾는 과정 14

15 Infected File 1st Main Subroutine Code section Call Original destination of call Normal File Code section Call Original destination of call n th Subroutine Subroutine Call from host Function (Main Subroutine) Call Function Subroutine Virus Body Call from host Host s original function Table of patched calls Virus body decryptor Infector Decryptor of original stuff [그림 5] 정상파일과 감염된 파일의 동작 차이 2. 감염된 파일 동작 감염된 파일이 실행되면 처음에는 정상 루틴을 돌다가 패치 된 CALL/ JMP를 만나면 바이러스가 원하는 메인 서브루틴 또는 다른 서브루틴 으로 분기하고 다른 서브루틴들은 다시 메인 서브 루틴으로 분기하는 동작을 한다.이렇게 분기된 메인 서브루틴에서는 앞선 [그림 1]에 표 기된 다음의 과정을 수행한다. [그림 7]은 위에서 구한 '기준 주소'와 바이러스 몸통에 저장된 '3. 4bytes Data'([그림 1])들을 이용하여 연산하는 과정을 보여주고 있 다. 4개의 4bytes Data들([그림 1]), 세 번의 덧셈연산과 세 번의 XOR 연산, 그리고 코드 상의 3개의 상숫값들이 짝을 이루고 있다. 이 연산 을 통해서 디코딩 루틴의 시작 주소, 디코딩 대상 코드의 시작 주소 등 의 데이터를 추출해 낸다. 1. 바이러스 몸체의 '3. 4bytes Data'들을 이용해서 필요한 데이터들을 얻어온다. 2. '4. Decoding Routine Space' 부분에 있는 데이터들을 이용해서 '1. Virus Code' 부분을 디코딩하고 분기를 한다. 3. 분기된 바이러스 코드에서는 인코딩 되어 있는 '2. Encoded Original Subroutine 부분을 디코딩해서 정상 루틴을 실행하고 시스템의.dll,.exe 등의 파일들을 검색해 감염 조건 등을 확인해서 정상파일들을 감염하는 동작을 한다. [그림 5]는 간단한 정상파일들의 분기과정들에 비해 감염된 파일 의 경우는 복잡한 분기과정을 거치는 것을 보여주고 있다. 2.1 Main Subroutine 메인 서브루틴은 상당히 복잡한 과정을 거친다. 바이러스 코드 부분 을 정확하게 동작하고 감염시키기 위해서 다양한 데이터들을 추출하 는 과정을 거치는데 그 중 가장 먼저 추출하는 데이터는 주소값 연산 할 때 'Base Address'로 사용하기 위한 '기준 주소'를 얻는 것이다. [ 그림 6]은 예제 파일의 코드 상에서 기준 주소가 되는 부분을 보여주 고 있다. 대부분 '기준 주소'는 메인 서브루틴에서 처음으로 호출되는 CALL 명령어의 Return 주소가 된다. [그림 7] 3. 4bytes Data 를 이용한 연산과정 위의 과정을 거치면서 추출한 데이터들로 필요한 루틴을 실행하 게 되는 'ZwProtectVirtualMemory' API를 이용해서 바이러스 몸체가 있는 부분의 메모리 속성을 변경해서 데이터를 Write 할 수 있게 한 다. 그리고 '3. 4bytes Data' [그림 8]영역에서 데이터들을 4bytes씩 읽어와 PUSH/POP의 동작으로 특정 영역에 데이터를 덮어쓰면서 디코딩 루틴을 생성하고 한번 더 덮어써서 디코딩된 바이러스 코드로 JMP 명령어를 통해 분기될 수 있도록 한다. [그림 6] 메인 서브루틴에서 '기준 주소 위치' 15

16 2.3 Infector Main Subroutine 1번으로 JMP ZwProtectVirtualMemory 실행 4번 영역 Push&Pop 4번 영역 Push&Pop 4번 영역의 디코딩 루틴으로 1번 영역 디코딩 [그림 8] 바이러스 몸체 부분을 디코딩하기 위한 메인 서브루틴의 주요동작 디코딩된 바이러스 코드부분을 간단하게 요약해서 감염동작 하는 부 분만을 뽑아낸다면 [그림 11]과 같다고 할 수 있다. 실제로는 많은 양 의 코드들이 있고 하나의 API 주소를 얻어오기 위해서도 많은 과정을 거친다. 그 중에는 굳이 필요 없는 'garbage code'가 많았는데 이 때 문에 분석이 쉽지 않았으며 많은 시간이 필요했다. 이 복잡한 Win32/ Xpaj.C형은 다음의 동작을 수행한다. 2.2 Virus Body Decryptor 메인 서브루틴에 의해 생성된 디코딩 루틴은 [그림 9]와 같은 코드로 모든 Win32/Xpaj.C형 바이러스에 동일하게 나타난다. 첫 4bytes는 스택에 저장해둔 4bytes 값으로 바꾸고 그 후에는 역시 스택에 저장 해둔 데이터들을 이용해 덧셈연산으로 첫 4bytes 이후의 데이터들을 디코딩한다. 스택에는 디코딩하고자 하는 크기 또한 저장되어 있어 4bytes 씩 디코딩할 때마다 그 크기를 줄여주면서 원하는 만큼의 디 코딩 수행이 가능하다. 이를 좀 더 쉽게 설명하기 위해 그림과 동작과 정을 표현한 것이 [그림 10]이다. 1. 시스템에 있는 '.exe', '.dll' 등의 파일들을 'MapViewOfFile' API를 이용해 메모 리에 매핑한다. 2. 파일 헤더 부분과 섹션 정보들을 읽어서 '감염 대상파일인지', 그렇다면 '바이러스 몸체는 어느 섹션에 삽입해 놓을 것인지'를 결정하는 동작을 한다. 3. 감염 조건에 맞는 파일과 섹션을 찾는다면 '%temp%' 폴더에 임시 파일을 생성 하여 다시 'MapViewOfFile' API를 통해 메모리에 매핑하고 정상파일에 바이러스에 감염된 상태의 데이터들을 저장하고 '.tmp'파일을 생성한다. 4. 정상파일을 삭제하고 같은 경로와 이름으로 '.tmp'파일을 복사하고 삭제하는 방 식으로 감염대상 파일들을 감염한다. 5. 2번의 동작에서 감염 대상 파일과 조건에 맞는 섹션을 찾지 못한다면 바로 'Un- MapViewOfFile'과 'CloseHandle' API를 호출해 매핑되어 있는 메모리 영역과 파 일 핸들을 끊고 다음 파일을 다시 매핑해서 파일을 스캔 하는 동작을 한다. Infector [그림 9] Virus Code 디코딩 루틴 CreateFile CreateFileMapping MapViewOfFile 앞에서 설명한 것처럼 첫 4bytes는 스택에 저장된 데이터를 그대 로 덮어쓰고 그 뒤의 데이터들은 4bytes 씩 스택에 저장된 다른 데이 터들을 이용해서 디코딩한다. 즉, [그림 10]내의 스택에 보면 각 데이 터값들을 '디코딩 연산 값. 1,2,3'으로 표현을 하였다. 여기서 '디코딩 연산 값. 2'를 하나씩 더하고 '디코딩 연산 값3'과 더한 후 4bytes 이후 의 값들과 xor 연산을 하면서 디코딩한다. 각 섹션 헤더 정보를 스캔하며 감염 가능 섹셕을 찾음 가능 섹션 못 찾음 UnMapViewOfFile CloseHandle 가능 섹션 찾음 [그림 11] Win32/Xpaj.C의 파일 감염 동작 GetTeampPath GetTeampFileName CreateFile CreateFileMapping MapViewOfFile %temp%폴더에.tmp 파일을 생성/삭제 하면서 정상 파일 감염 첫 4bytes 디코딩 전 Virus Code Code[0] Code[1] Code[2] Stack 3. 진단 & 치료 디코딩 후 Virus Code 디코딩 연산값.1 new Code[0] new Code[1] new Code[2] 디코딩 대상 시작 주소 (ex ) 디코딩 대상 크기 (ex. 9B21) 디코딩 연산 값.3 (ex Ed) 디코딩 연산 값.2 (ex. 8A6EBDEE) 디코딩 연산 값.1 (ex. FBDC193F) for ( i = 0; i < 디코딩 대상 크기 - 1 ; i++ ) new Code[i] = Code[i] xor (디코딩 연산 값.3 + 디코딩 연산 값.2 * (i+1); [그림 10] 디코딩 전후의 변화와 디코딩 과정의 수식표현 정상파일이 바이러스에 감염된 후 확연히 구분되는 특징이 있다면 이 부분을 진단에 이용하면 된다. 그러나 Win32/Xpaj.C형은 정상파일이 나 감염된 파일이나 파일의 차이가 거의 없어서 현재 대부분의 AV 업 체들이 진단에 어려움을 겪고 있다. 또한 진단하더라도 파일마다 많 은 시간을 들여 스캔해야 하므로 엔진의 진단속도 이슈 역시 발생할 수 있다. 이러한 이유로 진단하는 데 어려움이 있지만 V3에서는 분석 을 통해 확인된 정보와 바이러스 디코딩 루틴을 에뮬레이팅하는 등의 방법으로 Win32/Xpaj.C형을 진단한다. 이런 과정들을 거치면서 바이러스 코드부분을 디코딩한 후에 그 곳을 분기하면서 본격적으로 감염동작을 하기 위한 작업을 한다. 16

17 바이러스는 진단보다 치료에 더 많은 시간과 리소스를 필요로 한다. 일반적으로 바이러스를 치료하기 위해서는 치료 데이터가 필 요하다. 이 치료 데이터들을 통해 원본 데이터와 위치정보를 가지고 복원과 바이러스 몸체 부분은 삭제하는 식으로 치료를 한다. 그러나 Win32/Xpaj.C형은 그 치료 데이터를 찾기가 쉽지 않았고 분석결과 다른 일반적인 바이러스들과 다르게 이 치료 데이터들조차 인코딩되 어 따로 저장되어 있었다. 즉, 해당 치료 데이터를 얻기 위해서는 1차 적으로 디코딩 작업을 진행한 후에 정보를 추출할 수 있었다. 패치된 CALL이나 서브루틴의 앞부분 '32bytes(0x20) 데이터'에 치료를 위한 정보가 있는 것을 확인하였고 그 부분에 치료할 위치의 RVA, 치료할 크기, 다음 패치된 CALL의 위치 등을 유추할 수 있는 정보가 있었다. [그림 12]는 패치된 CALL에 대한 치료 정보 데이터와 '5bytes JMP 명령어들'과 각 데이터들에 의해 어떤 정보들을 알 수 있 는지 보여준다. 구조는 '32bytes(0x20) 크기의 정보데이터'와 '5bytes 의 JMP명령어'가 짝으로 패치된 CALL의 수 만큼 정보를 가지고 있 다. 그리고 '5bytes의 JMP명령어'는 패치 전 정상 CALL명령어에 의 해 분기하는 곳의 RVA 값이다. [그림 12] 패치된 CALL명령어 치료 데이터 정상 서브루틴 또한 위와 같은 방법으로 데이터가 저장되어 있다. 차이라면 '32bytes(0x20)' 이후의 코드 부분에 '1byte 디코딩'을 한 번 더 해주어야 정상 코드가 나온다는 것이다. [그림 13]은 서브루틴을 치 료하기 위해 필요한 '32bytes(0x20)'의 치료 데이터를 보여주고 있다. 이 치료 데이터들의 xor연산을 통해 치료할 위치와 크기 그리고 다음 서브루틴 치료를 위한 offset상의 위치 등을 알 수 있다. 그리고 '1byte 디코딩'을 통해 정상 서브루틴의 코드를 완성한다. [그림 14]의 상단에 디코딩 코드가 있는데 디코딩 하려는 데이터와 '32bytes(0x20)'의 첫번째 값 '4a'를 xor연산하는 것을 나타내고 있다. 처음으로 완성된 정상 서브루틴의 초반에는 '0x '의 데이 터를 갖는데, 이는 메인 서브루틴을 나타내는 시그니처로 볼 수 있다. 마지막 5bytes는 덮어 쓴 원본코드 다음 명령어로 분기하는 JMP명 령어가 포함되어 있다. [그림 14] 1 byte 디코딩 4. 결론 일반적으로 바이러스는 최대한 시스템 내의 많은 파일을 감염시키고 분석가들이 진단/치료하기 어렵게 한다. 그러나 Win32/Xpaj.C형은 경우는 까다로운 감염 조건 때문에 다른 바이러스들에 비해 많은 파일 이 감염되는 편은 아니다. 대신 감염이 까다로운 만큼 진단/치료에 많 은 시간과 노력이 필요하게 되어 있다. 하루, 이틀이 아니라 1주, 2주, 아니면 한 달에 걸쳐서 바이러스와 싸워야만 진단/치료법을 적용할 수 있을 것이다. 이에 '바이러스 치료에 새로운 접근법이 필요하지 않을 까?'하는 생각들이 스쳐 지나가곤 했다. 정상파일들을 백업 해놓고 이 들이 바이러스에 감염된 것으로 확인되면 백업 해놓은 정상파일로 교 체해주는 치료는 어떨까? 물론 시스템에 부하가 발생하고 저장 공간 도 부족할 것이다. 그렇지만 최근의 클라우드 기술과 파일을 MD5 또 는 SHA1값으로 관리하는 방법 등을 접목한다면 안티바이러스 업체 들에 조금이라도 희망적인 방법이 나타나지 않을까 생각해본다. 바이러스와 치료에 대한 특성을 잘 알고 있는 악성코드 제작자들 은 점점 늘어가고 더불어 다형성 바이러스와 같이 분석뿐만 아니라 진단/치료가 어려운 악성코드들이 계속해서 발전할 것이다. 이에 안 티바이러스 업체들도 정보와 기술을 자신만의 재산이라 생각하지 말 고 지식을 공유하고 함께 고민해본다면 더 나은 방법과 정보가 생겨 날 것이라 기대한다. [그림 13] 서브루틴 치료 데이터 17

18 TECH REPORT Enterprise Security Management 통합보안관리를 위한 솔루션 도입 침해 사고 예방을 위해 기업들이 고려하는 보안 솔루션은? 대형 보안 사고로 인해 보안에 대한 중요성이 더욱 강조되고 있다. 기업들은 보안 사고 예방을 위해 솔 루션 도입이나 대규모 프로젝트를 검토하고 있다. 이러한 기업들이 도입을 고려하고 있는 가장 대표적 인 것이 바로 통합보안관리 솔루션이다. 최근 보안 위협 동향을 봤을 때 개별 솔루션만으로 방어는 역 부족이며, 다양한 보안 솔루션을 도입하다 보면 이들 솔루션에 대한 관리의 어려움에 직면하기 때문이 다. 이 글에서는 통합보안관리 솔루션이 무엇이며, 활용시 쉽게 범하는 오류에 대해 알아본다. 그리고 통합보안관리 솔루션의 활용성을 극대화할 수 있는 방안을 소개한다. 통합보안관리 솔루션이란 2011년 들어 대형 보안 사고들이 연이어 발생했다. 4월 신용카드사에 보관되어 있던 개인정보가 유출되어 고객을 불 안에 떨게 한 사건이 터졌다. 곧이어 은행 전산 시스템의 내부 관리 소 기업들이 각종 보안 솔루션을 도입하면서 공통적으로 고려하고 있는 통합보안관리 솔루션에 대한 이슈는 크게 두 가지이다. - 통합보안관리 솔루션의 도입 및 그에 따른 효용성(기대효과) - 기존 통합보안관리 솔루션과의 연동 및 운영에 대한 방안 홀로 인해 은행 전산의 기간을 담당하는 서버 시스템의 데이터가 삭제 되어 많은 은행 고객들이 불편을 겪었다. 7월에는 대형 포털 사이트에 서 회원정보가 통째로 외부로 유출된 사건까지 일어났다. 2011년 한 해는 아마도 대규모 보안 사고가 가장 빈번하게 발생한 한 해로 기록 되지 않을까 생각된다. 이런 굵직한 침해 사고를 경험한 기업들은 물론 많은 기업과 기 관들이 침해 사고 예방을 위한 보안 프로젝트를 높은 우선 순위를 매 겨 진행하는 것을 볼 수 있다. 이들 기업들은 앞선 침해 사례와 비교 개별 보안 솔루션의 경우에는 목적에 따라 외부 침입 방지 및 방 어, 취약점 점검, 악성코드 확산 방지 등 도입 효과가 비교적 명확한 편 이다. 하지만 통합보안관리 솔루션의 도입 효과는 단어 그대로 이기종 보안 솔루션의 효율적인 통합관리로, 타 솔루션에 비해 피상적일 뿐 구체적인 운영 방안과 그에 따른 기대효과를 설명하기는 쉽지 않다. 또한 이미 도입되어 활용하고 있는 기업에서조차 로그 수집 및 관리를 위한 반쪽 짜리 용도로 사용하는 경우를 흔히 볼 수 있다. 해 자신들이 부족했던 부분들을 채우는 방식으로 프로젝트를 구상 하고 있다. 대부분 내부망의 주요 구간에 침입차단시스템(Firewall) 또는 침입탐지/방지솔루션(IDS/IPS), 개인정보 및 내부정보 유출을 탐지 방어하기 위해서 데이터베이스 보안 솔루션, 기업 내부의 좀비 PC(Zombie PC) 탐지/차단 솔루션 등 다양한 솔루션들을 검토하여 도입하고 있다. 이러한 기업들의 보안 프로젝트를 보면 한 가지 공통 적으로 고려하고 있는 부분이 있는데, 바로 통합보안관리 솔루션이다. 통합보안관리(Enterprise Security Management, ESM) 솔루션 은 이기종의 보안 솔루션을 중앙에서 통합 관리하는 솔루션으로 정의 할 수 있다. 국내에서는 금융, 인터넷 포털, 게임, 쇼핑몰 업체에 상당 부분 도입되어 운영되고 있다. 보안 이벤트 관리(SIEM)와 로그 관리 SIEM(Security Information and Event Management) 솔루션 도 입에 있어서 흔히 볼 수 있는 현상이 바로 로그 관리(Log Management) 솔루션과의 기능상의 혼동이다. 로그 관리 솔루션은 다수의 운영체제, 애플리케이션, 데이터베이 스, 보안 시스템의 로그를 수집, 저장, 검색, 위/변조를 방지하는데 목 적을 두는 솔루션이다. 정보보안의 관점에서는 침해 사고 발생 시 공 격자가 로그를 삭제하는 것에 대비하여 다른 보관소에 별도로 관리해 향후 사고 분석 수단으로 활용성이 높다. 18

19 로그 관리 솔루션에 비해 통합보안관리 솔루션은 보안 솔루션을 중심으로 다수의 보안 솔루션에서 보내오는 보안 로그를 사용자의 환 경에 맞는 상관분석 규칙에 의해서 실시간으로 분석함으로써 침해의 징후를 발견하고 대응하는데 주로 이용된다. 과거에는 이러한 로그 관리 솔루션에 실시간 분석 기능을 더하여 침해의 징후를 실시간으로 파악하고자 하는 시도가 있었으며 로그 관리 솔루션의 진화로 여겨졌 다. 하지만 시간이 흐를수록 다양한 로그가 기하급수적으로 증가하면 서 로그 관리 솔루션과 분석 솔루션은 자신만의 장점을 내세워 별도의 제품으로 분리되어 독자적인 시장을 형성하고 있다. 통합보안관리를 위한 프로젝트들을 살펴보면 로그의 수집, 저장, 백업, 복구 등은 로그 관리 솔루션에서 수행하게 된다. 또한 로그 관리 솔루션은 로그를 재전송하여 통합보안관리 솔루션이 실시간 분석을 수행할 수 있도록 하거나, 침해 사고 발생 시 수집된 로그에 기반한 편 리한 사고분석 기능을 제공하는데 중점을 둔다. 석 업무의 효율성과 디스크 저장소의 공간을 절약하는 것과 밀접한 관련이 있다. 개별 보안 솔루션 가운데 가장 막강한 로그 양을 배출하는 것은 침입차단시스템이다. 과거 침입차단시스템 로그에 대한 분석 기법이 유용할 때가 있었으나, 그것은 침입차단시스템이 최첨단 보안 솔루션 으로 각광을 받는 1980~90년대 이야기이다. 침입차단시스템 이후 IDS/IPS, 웹 애플리케이션 방화벽, DDoS 방어, 좀비 PC 탐지 솔루 션 등 다양한 보안 솔루션이 등장하여 침해분석에 용이한 정보를 제 공하고 있다. 침입차단시스템은 정책에 의해서 네트워크 트래픽을 허용/차단 여부를 결정하는 비교적 단순한 로그만을 생성한다. 따라서 침입차단 시스템 외 IDS/IPS, 웹 애플리케이션 방화벽, DDoS 방어 등과 같은 추가적인 보안 솔루션을 운영하는 경우라면 침입차단시스템에 대해 서는 시스템 운영을 위한 로그 또는 트래픽 양에 대한 정보를 중심으 로 로그를 수집하는 것이 바람직하다. 로그 관리 솔루션 도입을 위한 두 가지 고려사항 어떤 로그들을 수집할 것인가? 기업 내의 시스템에서 발생하는 로그는 그야말로 기하급수적으로 증 가하고 있다. 실제로 몇 건의 프로젝트와 솔루션 BMT를 분석해 본 결 과, 극히 일부 시스템을 대상으로 보안로그를 수집해도 하루 동안 쌓 이는 데이터 양이 적게는 기가(Giga byte)에서 테라(Tera byte) 정도 이다. 보통 일반적인 서버 시스템에서 장착되어 출시되는 디스크로는 감당하기 어려운 수준이다. 그런데 저장되는 로그들의 데이터의 종류를 살펴보면 로그 관리 의 정책 없이 생성되는 로그를 그냥 단순히 저장하는 경우가 비일비 재하다. 로그 관리 솔루션 도입시 실수하는 것 중에 하나가 '모든 로그를 저장하고 있으면 나중에 언젠가는 찾아볼 일이 생기니 일단 모든 로그 를 저장하고 보자'라는 생각이다. 이로 인해 대부분의 로그들은 분석 과정에서 일종의 쓰레기 데이 터(Garbage data) 취급을 당하는 경우가 많다. 웹 서버 로그의 이미 지 파일 로그가 대표적이다. 실제로 기업에서 운영하는 웹 애플리케이션이 침해를 당해 방대 한 양의 웹 애플리케이션 로그를 대상으로 분석을 수행하게 되면 기본 으로 받는 웹 서버 로그의 양이 수 기가(Giga byte)에서 수십 기가에 이른다. 이 로그 중에서 침해 분석에서 제외되는 이미지 로그의 비중 은 일반적으로는 30 ~ 80% 정도이다. 인공지능을 가진 로그 분석 시스템이 분석을 대신하면 모를까 사 람에 의해서 수행되는 침해사고 분석 업무에서 분석 대상 로그를 제 외하는 작업은 분석 업무의 효율성을 높이기 위해서 가장 먼저 수행 된다. 따라서 기업의 시스템이 생성하는 로그의 종류를 분류하고 그 중 어느 로그를 저장하고 수집해야 되는지를 결정하는 것은 향후 분 수집된 로그를 얼마 동안 저장할 것인가? 기업 내 시스템에서 발생하는 로그 가운데 무엇을 저장할 것인지 선 별했다면, 이제는 이 로그를 얼마 동안 저장할 것인지를 정해야 한다. 로그의 보관 기간은 기업의 보안 정책에 의해서 정해진다. 기업 에 따라서는 획일적으로 모든 로그에 동일한 기간을 정하는 경우가 있는 반면에 어느 기업은 로그의 종류마다 다르게 정하는 경우도 간 혹 볼 수 있다. 로그의 보관기간은 과거 침해 또는 사고의 발생 시간과 사고 인지 시간의 간격을 감안하여 이를 하나의 기준으로 참고할 수 있다. 침해사고가 발생한 후 바로 인지하는 경우는 드물고 대체적으로 수 개월에서 길게는 1년 정도의 시간이 흐른 후에 발견되는 경우가 대 부분으로 이를 참고하여 로그 저장 기준을 정하고 기준 기간이 경과한 로그를 삭제하는 정책을 수립하는 것이 바람직하다. 로그 보관기간은 로그 분석 활동을 통해서 단축 시킬 수가 있는 데, 대부분의 기업에서는 로그를 저장한 후 침해사고가 발생하면 그 제서야 로그를 꺼내보는 경우가 일반적이다. 따라서 저장한 로그에 대한 주기적인 분석을 통해 침해사고를 조 기에 발견하고 지난 로그에 대한 유효성 검증을 수행한다면 로그 보관 기간을 점차 단축하는 효과를 기대할 수 있다. 통합보안관리 솔루션 사람은 음식을 치아로 잘게 부숴서 몸 속으로 보내면 위와 장은 그것 에 포함되어있는 영양분을 흡수한다. 로그 관리 솔루션과 통합보안관리 솔루션의 관계를 사람이 음식 을 소화하는 과정에 비유하여 살펴보자. 로그 관리 솔루션은 치아를 이용해서 잘게 부수는 역할을, 통합보안관리 솔루션은 잘게 부숴진 로 19

20 그에서 의미 있는 정보를 뽑아내는 역할을 수행한다고 이해하면 두 솔 루션의 역할에 대한 이해가 쉬울 것이다. 이렇듯 통합보안관리 솔루션은 각종 로그(Log 또는 Event)에서 의미 있는 정보(Information)를 뽑아 실시간으로 보안관리자에게 알 려주거나 실시간 대응하는 역할을 수행한다. 분석의 규칙 통합보안관리 솔루션의 주 역할은 가공되지 않은 데이터(Event)에서 정보(information)를 뽑아내기 위해서 분석의 규칙을 정하는 것이 핵 심이다. 통합보안관리 솔루션에서는 분석의 규칙을 상관분석 이라고 흔히들 부르는데 상관분석 이라는 용어는 통계학에서 두 개 이상의 값이 어느 정도의 확률로 밀접성을 가지는지 나타내는 수치이다. 하 지만 학문적인 정의와는 다소 다르게 정보보안 분야에서 상관분석은 사용자가 특정 이벤트 또는 두 개 이상의 이벤트 조합을 이용한 규칙 이라는 의미로 사용되고 있다. 두 개 이상의 이벤트를 조합하여 사용하는 경우 통합보안관리 솔 루션 사용자가 범하기 쉬운 오류가 이벤트1과 이벤트2가 특정 조건 을 만족하면 침해로 정한다 라는 방식의 상관분석 규칙의 정의이다. 이는 일상적으로 사용자가 경험하는 이상 징후를 용이하게 감지 하기 위해서 규칙을 설정하는 과정에서 발생하는 운영상의 오류이다. 일반적으로 예측하기 쉬운 범주의 징후를 정의하기에는 적합하나, 최 근 해킹과 같이 셀 수 없을 정도로 많은 침해 기법을 사용하는 경우와 같이 규칙으로 정의할 수 없는 상황에서 유용할지는 의문이다. 즉, 위 와 같은 상관분석 규칙은 스크립트 키드(script kid) 수준의 공격자를 인지하고 방어할 수 있을지 몰라도 최근에 유행하는 APT(Advanced Persistent Threat)와 같은 공격을 탐지하는 데에는 어려움이 있다. 보안 솔루션을 일정 기간 운영해 보면 경험상으로 알 수 있는 사 실 하나가 대부분의 로그들은 침해가 아니라 정상적인 사용자의 네트 워크 활동에 의해서 발생하는 일종의 오탐이라는 점이다. 다양한 침 해 기법을 상관분석 규칙에 의해서 정의하는 방식보다는 무의미한 로 그를 걸러내는 방식이 실제 침해대응을 위해서는 의미 있는 활동이 다. 이는 무의미한 로그를 걸러내는 것은 반대로 유의미한 로그만 뽑 아내자는 말과 같다. 통합보안관리 솔루션 활용성의 극대화 최근 수행된 통합보안관리 솔루션 구축 사례를 보면 업체에서 제공하 는 상용 솔루션을 그대로 사용하기 보다는 솔루션에 제공하는 다양한 인터페이스를 통해서 기업의 요구에 적합한 기능을 구현하여 활용하 는 경우가 대부분이다. 이러한 사례들을 주로 대기업에서 볼 수 있는데, 국내 대기업의 경우 계열사에 대한 보안업무를 통합적으로 수행하는 추세여서 계열 사의 보안 담당자와의 커뮤니케이션을 위한 인터페이스를 구현하고 자 하는 요구가 있다. 이러한 요구를 구현한 것이 일종의 보안 포털 (Security Portal)이다. 보안 포털을 통해서 보안업무 수행 부서는 각 계열사의 보안 모니 터링 현황을 제공하고 각 계열사 담당자는 보안 포털을 통해서 기술지 원 및 보안업무에 대한 정보를 제공받는 구조로 이루어진다. 기업마다 특정한 뷰(View)를 가지고자 하는 경향이 있어 이를 통 합보안관리 솔루션과 연계하여 구현하는 경우가 대부분이다. 이러한 경우 통합보안관리 솔루션이 일종의 서드파티(3rd Party) 연동을 위 해서 얼마나 다양한 인터페이스를 제공하는지도 솔루션 선정의 주 된 요소이다. 로그 관리 솔루션과 통합보안관리 솔루션의 차이점, 도입 시 고려 사항에 대해서 짧게 살펴보았는데 기업에서 로그관리 및 통합보안관 리 솔루션 도입을 고려하는 경우 타 솔루션에 비해서 상대적으로 많 은 비용이 소요됨에도 그 비용에 걸맞는 효과를 거두지 못하는 사례 를 많이 볼 수 있다. 점차 기업의 보안 솔루션 운영 규모가 커지면서 향후 로그 관리 및 통합보안관리 도입을 고려하는 기업에서 기존의 실패 사례를 되돌 아보면 신규 솔루션을 도입하는 것보다 높은 보안 효과를 거둘 수 있 을 것이다. 다시 말하자면, 상관분석 규칙에 의해서 보안 솔루션 이벤트를 최 대한 걸러내고 마지막에 남은 로그를 대상으로 사람에 의해서 심도 있 는 분석을 수행하는 것이 효율적으로 침해를 발견하고 대응하는데 훨 씬 용이하다는 것이다. 20

21 AhnLab News APT Countermeasure 지능적 타깃 공격 APT 대책 발표 APT 공격의 해답은? 글로벌 종합보안 기업인 안철수연구소는 최근 가장 위협적인 보안 이 슈인 APT(Advanced Persistent Threat; 지능형 타깃 지속 공격)의 현황과 대응 방안을 발표했다. APT는 다양한 IT 기술과 방식을 이용해ㆍ조직적으로ㆍ경제적 이거나 사회적인 목적을 위해ㆍ다양한 보안 위협을 이용해ㆍ특정 대상을 겨냥해ㆍ지속적으로 공격한다는 것이 특징이다. 또한 APT 의 주된 타깃은 정부기관과 사회 기간 산업 시설, 정보통신 기업과 제 조 기업과 금융기관 등이다. 이는 APT 공격자의 목적이 사회적 시위 또는 경제적 이익 확보임을 시사한다. APT 공격의 대표적 사례로는 스턱스넷(Stuxnet)과 오퍼레이션 오로라(Operation Aurora), 나이트 드래곤(Night Dragon), EMC/ RSA 공격이 꼽힌다. 국내의 경우 올 초 발생한 3.4 DDoS 공격 이후 특정 대상을 노리는 공격이 증가하는 추세이다. APT 공격자는 기초 정보 수집, 악성코드 침투, 기밀 정보 유출 의 과정을 거친다. 즉, SNS 등 다양한 방법으로 공격 대상 조직에 대 한 정보를 수집하고, 해당 조직 임직원에게 악성코드 이메일을 보내 는 등 지속적인 타깃 공격을 한다. 이후 공격 목표인 조직 내부에서 사 용하는 애플리케이션(응용 소프트웨어)의 취약점을 악용해 정보를 은 밀하게 빼낸다. 이 같은 APT 공격에 대응하려면 여러 방면에서 전방 위 대응이 필요하다. 기초 정보 수집에 대응하려면 정책적으로 조직 내부 정보나 구 성원의 신원 정보를 통제하고ㆍ각종 보안 위협 징후에 대한 내외부 모니터링 및 로그 분석이 지속적으로 이루어져야 한다. 또한 악성코 드 침투에 대응하려면 구성원이 P2P, 웹하드, SW 자동 업데이트 사 이트 접속시 악성코드에 감염되지 않도록 주기적으로 보안 교육을 하고ㆍPC(엔드포인트)에 설치된 보안 소프트웨어를 주기적으로 관 리 및 감독해야 한다. 기업 내부에서 검토 및 인증한 애플리케이션을 대상으로 화이트리스트(White List)를 작성한다. 이후 화이트리스트 이외 다른 애플리케이션이 설치/실행되지 않도록 차단한다. 또한 확 인/인가되지 않은 계정이 중요 시스템에 접근하지 않도록 권한을 최 소화/차단한다. 아울러 중요 시스템이 있는 네트워크 대역과 일반 임 직원이 사용하는 네트워크 대역을 분리해 접근을 원천 차단한다. 아 울러 기밀 정보 유출에 대응하려면 PC에 설치된 운영체제 및 애플 리케이션의 취약점 패치 및 관리를 주기적으로 하고ㆍ접근 통제로 정보 유출을 차단하고ㆍ데이터 암호화로 기밀 정보가 유출되어도 악 용되지 않게 한다. 안철수연구소는 이처럼 고도의 보안 위협 패러다임 변화에 따라 전방위 융합 보안 체계를 구성해 보안을 강화할 필요가 있다고 역설했 다. 융합 보안 체계란 외부에서 들어오는 공격과 내부에서 유출되는 것을 동시에 감시 및 대응하는 종합적인 대책을 말한다. 안철수연구소가 제시하는 융합 보안 체계는 2009년부터 준비해 온 ACCESS(AhnLab Cloud Computing E-Security Service) 전략 에서 출발한다. ACCESS 는 ASEC(시큐리티대응센터)의 악성코드 수집 및 분석 능력과 CERT(침해사고대응팀)의 위협 모니터링 및 대 응 서비스를 지능형 기술로 받쳐주는 플랫폼이다. 위협의 근원인 악성 코드와 해킹 기법을 실시간 수집/탐지/치료함은 물론 악성코드 DB를 생성해 ASEC과 CERT, 제품 및 서비스에 실시간 연계함으로써 신속 하고 정확하게 일관된 종합 대응을 할 수 있다. 안철수연구소는 V3(엔드포인트 PC 보안 솔루션)와 트러스가드 (네트워크 보안 솔루션)를 비롯해 트러스와처(좀비PC방지 솔루션), 트러스라인(화이트리스트 기반 산업용 시스템 전용 보안 솔루션), 트 러스존(망분리 솔루션) 등 다양한 제품의 결합으로 APT 공격에 대응 책을 제시한다. 향후에는 악성코드 조기 진단 및 유포지 추적이 가능 한 핵심 기술인 ASD(AhnLab Smart Defense)를 보안관제 서비스와 접목한 내부 관제 서비스를 출시할 계획이다. 21

22 AHNLAB NEWS 특허 경영 올해 상반기 12건의 특허 등록, 연내 누적 100건 특허 등록 예상 안철수연구소의 저력, 특허 경영은 계속 된다 안철수연구소가 국내 소프트웨어 업계에서 가장 많은 특허를 등록 및 출원해 기술력을 중심으로 한 특허경영이 활발하다. 글로벌 종합보안 기업인 안철수연구소는 올해 초부터 8월까지 12개의 국내특허를 취득하고 8건의 특허를 출원한데 이어, 7건의 PCT출원과 2건의 미국 특허 출원을 했다고 밝혔다. 이는 동기간 국내 소프트웨어업계 중 최다로 안철수연구소는 활 발한 특허 경영으로 글로벌 보안 기술력 확보 및 경쟁력을 제고해 나 가고 있다. 최근 구글이 모토로라를 인수하는 등 소프트웨어의 중요 성이 높아지는 환경에서 특허권 확보는 소프트웨어 원천기술 보유와 안철수연구소는 창립 이래로 연구개발에 매출의 25% 이상을 투 자하며 기술 특허에 대한 중요성을 강조해 왔으며, 2002년부터 글로 벌 무대에 본격 진출하면서 특허 경영을 더욱 활발히 하며 세계적 기 업들과 어깨를 나란히 하고 있다. 이를 위해 안철수연구소는 출원자 에 대한 보상을 강화하고 각 팀별로 특허 출원을 연간 성과 목표에 포 함하여 기술 특허 등록을 장려하고 있다. 또한 특허 및 인증을 관리 하는 전담 인력을 두고 체계적으로 특허 관리에 힘쓰고 있다. 이러한 노력을 바탕으로 최근 ICSA 인증과 VB100, 체크마크 등 세계 주요 인증을 모두 획득해 세계적으로 국산 보안 기술력을 인정받고 있다. 해외시장 개척의 원동력이 된다는 점에서 매우 중요한 의미를 가진다. 안철수연구소는 특히, 특정한 분야가 아닌 종합적인 보안 분야에 서 특허를 모든 제품에 적용해 신기술의 상용화에 앞장서고 있다. 먼 저, 전통적인 안티바이러스에서 더욱 안정적이고 정확한 성능을 제공 국내 출원 (총 144개) 하는 클라우드 보안 기술을 V3 제품군을 포함한 전 제품에 도입했으 국내 등록 (총 91개) 해외 출원 (총 4개) 26 며, 새로운 보안 위협으로 등장한 스마트폰 분야에서도 행위 기반으 PCT 출원 (총 13개) 22 로 의심 애플리케이션을 진단하는 기술을 스마트폰 보안 전용 제품인 V3모바일에 적용했다. 또한, 메모리 조작 등을 악용한 온라인 게임 해 킹을 방지하는 특허기술을 온라인게임 전용 보안제품인 핵쉴드에 적 용했으며, 웹보안 제품인 사이트가드에 위험 웹사이트를 차단하는 특 5 7 허기술을 적용했다. 이외에 분산서비스거부공격(DDoS) 방어 특허기 술을 네트워크 보안 장비 트러스가드에 적용하는 등 보안의 모든 분야 에서 신기술을 개발해 도입하고 있다 [그림] 안철수연구소 특허 현황 (2011년 8월 31일 기준) PCT 국제 특허 특허협력조약[Patent Cooperation Treaty; PCT]은 1970년에 체결된 국제적인 특허 법률 조약이다. 이 조약에 가입한 나라 간에 특허 출원 수속을 간소 화하고, 출원인과 각국 특허청의 부담을 줄이고, 특허 정보 이용을 쉽게 하자는 취지로 만들어졌다. 출원인이 자국 특허청에 특허를 받고자 하는 국가를 지 정하여 PCT 국제 출원서를 제출하면 바로 그날을 각 지정국에서 출원서를 제출한 것으로 인정받을 수 있다. 2008년 1월 1일 현재 138개국이 가입해 있 으며, 우리나라는 1984년 8월에 가입했다. 22

23 안철수연구소 김홍선 대표는 "국경이 없는 글로벌 경쟁에서는 기 술력만이 살아남을 수 있는 길이며, 이에 따라 특허경영의 중요성은 앞으로 더 높아질 것이다. 양질의 특허를 많이 보유하고 창출할 수 있 는 능력 확보를 통해 전세계에서 토종 소프트웨어 기술력의 위상을 높 이겠다"고 말했다. 한편, 안철수연구소는 현재까지 144건의 국내 특허를 출원했으 며 이중 91건의 국내 특허를 획득해 올해 안에 100개의 특허 등록을 달성할 예정이다. 발명의 명칭 등록번호 등록일 발명요약 1 이동통신 단말 및 이를 이용한 행위기반 악성코드 진단방법 본 발명은 기하급수적으로 증가하는 악성코드를 빠르고 효율적으로 진단함으로써 이동통신 단말의 자원 활용성을 향상시킬 수 있다. 또한 시그니처 기반의 악성코드 검사에서 진단하지 못했던 악의적인 코드들 도 행위 기반의 정보를 이용한 탐지가 가능하므로 휴대 단말의 안정성을 높일 수 있는 효과가 있다. 2 메모리 조작 유무를 감지하는 방법 및 이를 이용한 장치 본 발명에 따른 메모리 조작유무를 감지하는 방법을 사용하면, 메모리상에 서 보호하고자 하는 파일이 로 드된 이후 메모리상에서의 조작유무를 바로 알 수 있다. 또한 해당파일에서 필요한 부분에 대해서만 체크 하므로 시스템의 퍼포먼스에 큰 영향이 없다. 3 응용 프로그램 패치 장치 및 방법 본 발명은 응용 프로그램의 함수 정보를 토대로 입력 데이터를 검증할 수 있는 검증 코드를 삽입한 후 이 를 이용하여 입력 데이터에 대한 유효성 검증을 통해 응용 프로그램의 취약점을 패치할 수 있도록 한다. 4 가상환경을 이용한 데이터 보호 방법과 장치 및 이 방법을 수행하는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록 매체 본 발명은 가상 환경에서 데이터에 대한 외부 유출을 원천적으로 차단하여 보호할 수 있으며, 컴퓨터 사 용 방식에 있어서 사용자에게는 아무런 불편함을 끼치지 않는 효과가 있다. 5 네트워크 기반 악성 코드 진단 방법 및 진단 서버 본 발명에 따르면 엔진 자체의 크기 및 메모리 상주 크기를 줄여 진단 효율성을 제고하면서도 시그니처 전부를 사용자 시스템에 저장하는 경우와 동일한 방어 능력을 유지할 수 있는 효과가 있다. 6 악성 사이트 검출 장치, 방법 및 컴퓨터 프로그램이 기록된 기록매체 본 발명은 실제 브라우저 상에서 실행되는 스크립트 패턴 및 악성 파일들을 탐지하여 신속한 분석 및 치 료를 가능하게 할 수 있으며, 아직 널리 알려지지 않은 신규한 악성 파일들을 검출할 수 있으므로 악성 사 이트를 손쉽게 구별할 수 있다. 7 악성 사이트 치료 방법, 악성 사이트 정보 수집 방법, 장치, 시스템 및 컴퓨터 프로그램이 기록된 기록매체 본 발명은 브라우저를 탑재한 데이터 통신 단말에 의해 악성 사이트를 검사 및 치료함으로써, 새로 만들 어진 웹 페이지라도 방문만 하면 악성 여부를 알 수 있다. 또한 악성 호환프로그램을 사용하는 사이트 도 검사할 수 있으며, 동적으로 바뀌는 웹문서를 제공하는 사이트에 대해서도 악성 코드를 검사 및 치료 할 수 있다. 8 악성코드의 실행압축 판단 장치 및 방법 본 발명에 의해 악성코드로 의심되는 실행파일에 대한 실행 압축 여부를 보다 용이하게 또한 매우 신속하 게 판단할 수 있게 되어 악성코드 진단 성능을 높일 수 있게 된다. 9 의심스러운 행위의 수준별 분류 및 격리 실행을 통한 악성 코드 사전 대응 장치, 방법 및 그 방법을 실행하기 위한 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체 본 발명은 행위 기반으로 제로 데이 공격을 무력화할 수 있으며, 격리 공간에서의 실행으로 시스템을 안 전하게 보호할 수 있게 되는 효과가 있다. 10 시스템 보호 장치 및 방법 본 발명은 가상 머신 관리자를 이용하여 부트 또는 설치 과정에서 가상 머신을 생성한 후 이를 토대로 로 드 및 실행될 이미지 또는 파일을 검사함으로써, 시스템의 설치와 부트 또는 설치 과정에서 시스템을 안 전하게 보호할 수 있다. 11 네트워크 정보를 이용한 은폐형 악성코드 검출 방법 이 발명을 통해 은폐형 악성코드의 프로세스 ID 및 모듈 정보를 수집 분석하여 악성코드를 진단 치료하기 때문에 악성코드의 확산을 차단시켜 시스템의 피해를 최소화할 수 있다. 12 불법적인 메모리 접근을 진단하는 악성 프로그램 탐지기 및 그 제어방법 본 발명에서 제공되는 방법 및 그 장치를 이용하면 실제 메모리를 접근하는 작업을 수행중인 쓰레드의 Context에서 수행하므로 후킹을 우회하는 기법을 사용하더라도 진단이 가능하다. 또한 악성 프로그램 사 용자가 직접 API를 제작해서 사용한다 할지라도 진단할 수 있게 된다. [표] 2011년 안철수연구소 등록 특허 현황 (2011년 8월 31일 기준) 23

24 PRODUCT ISSUE TrusZone 망분리 솔루션 트러스존 CC 인증 획득 안철수연구소, CC 인증으로 망분리 시장 정조준 안철수연구소는 최근 자사의 망분리 솔루션 트러스존(AhnLab TrusZone) 이 CC(Common Criteria; 국제공통평가기준) 인증을 EAL2 (Evaluation Assurance Level 2) 등급으로 획득했다고 밝혔다. 안철수연구소가 올해 초 발표한 트러스존 은 소프트웨어와 하드 웨어가 융합된 신개념 망분리 솔루션으로, 기존 물리적 망분리의 방 식의 불편함과 구축 비용을 감소시켰다. 이를 통해 사용자는 격리된 인터넷 영역에서도 응용 프로그램을 동일하게 사용할 수 있고 보안에 대한 걱정 없이 인터넷 뱅킹 등을 자유롭게 사용할 수 있다. 또한 트러 스존 소프트웨어가 인터넷 접속 시 자동 설치되어 PC를 가상화 영역 으로 자동 전환해 사용자 편의성을 증대시켰다. 트러스존에는 안철수연구소가 2009년부터 출원한 가상화 및 망 분리 신기술 등 총 4가지의 특허 기술이 탑재돼 단계별로 해킹 및 침 입을 차단하고, V3와 연계해 철저한 보안성을 제공한다. 이 가상 공간 에서 사용/저장되는 모든 데이터는 암호화하고 외부 접근이 통제되므 로 정보 유출을 차단할 수 있다. 안철수연구소는 트러스존이 이번 CC인증을 획득함에 따라 공공 및 금융권, 통신 등 다양한 분야에 공급 확대를 계획하고 있다. SW-HW 융합형 망분리 솔루션인 안철수연구소의 트러스존 안철수연구소 김홍선 대표는 공공기관 및 기업의 업무 환경이 인 터넷으로 연결되고, 복잡다단한 IT 기기 및 애플리케이션(응용 프로그 램)이 사용됨에 따라, 내부 네트워크는 각종 보안 위협에 노출되어 있 다. 또한, 내부 정보 및 계정을 탈취하는 악성코드나 USB, 무선 랜을 경유해 인가되지 않은 PC가 내부 네트워크에 접속해 악성코드가 전 파되는 일이 적지 않은 실정이다. 트러스존은 이러한 보안 위협에 대 한 가장 합리적인 대책으로, 이번 CC인증을 획득을 계기로 공급을 확 대할 계획이다 라고 밝혔다. 24

25 Statistics 보안 통계와 이슈 결제 유도하는 허위 보안 경고 기승 안철수연구소 시큐리티대응센터(ASEC)는 최근 ASEC Report Vol.19를 통해 지난 7월 보안 통계 및 이슈를 전했다. 지난 7월 주요 악성코드 및 웹 보안 통계와 보안 이슈를 다시 한 번 살펴본다. 2011년 7월 악성코드 통계 한동안 오토런(Autorun)류의 악성코드 감염이 가장 높은 비율을 나 타냈으나 지난 7월에는 JS/Agent 감염 보고가 가장 높은 비율을 나 타냈다. 감염이 보고된 지난 2011년 7월 악성코드 현황을 살펴보면 [ 표 1]과 같다. 2011년 7월의 감염보고건수 중 악성코드를 유형별로 살펴보면, 트로이목마(TROJAN)류가 36.9%로 가장 많은 비율을 차지하였으 며, 스크립트(SCRIPT)가 16%, 애드웨어(ADWARE)가 15.3%로 각 각 그 뒤를 잇고 있다. [그림 1]은 지난 7월 한달 동안 안철수연구소가 집계한 악성코드의 유형별 감염 비율을 분석한 결과다 % 순위 등락 악성코드명 건수 비율 ADWARE APPCARE 15.3% 0.6% TROJAN 36.9% 1 3 JS/Agent 681, % CLICKER 0.5% 2 1 Textimage/Autorun 621, % 3 4 Html/Agent 416, % 4 NEW Swf/Cve , % DOWNLOADER DROPPER ETC SCRIPT 1.8% 4.9% 7.9% 16% SCRIPT ADWARE 16.0% 15.3% 5 1 Win32/Induc 146, % 6 NEW Swf/Cve , % SPYWARE TROJAN VIRUS 0.5% 36.9% 5.1% OTHER 31.8% 7 NEW Win-Trojan/Downloader AE 111, % WORM 10.5% 8 NEW Win32/Virut.d 110, % 9 2 Win32/Palevo1.worm.Gen 107, % [그림 1] 악성코드 유형별 감염보고 비율 10 3 Win32/Conficker.worm.Gen 99, % 11 NEW JS/Iframe 90, % 12 NEW Win32/Virut.b 85, % 13 2 Win32/Virut.f 79, % 14 - Win32/Olala.worm 77, % 15 NEW Win-Trojan/Downloader13.Gen 72, % 16 NEW Als/Pasdoc 66, % 17 NEW Win32/Parite 65, % 악성코드 유형별 감염보고 비율을 전월과 비교하면 [그림 2]와 같이 애프케어(APPCARE), 클리커(CLICKER)가 전월 대비 증가세 를 보이고 있는 반면 스크립트, 웜(WORM), 드롭퍼(DROPPER)는 전월에 비해 감소한 것을 볼 수 있다. 바이러스(VIRUS), 스파이웨어 (SPYWARE) 계열들은 전월 수준을 유지하였다 Win32/Flystudio.worm.Gen 63, % 19 NEW Win-Trojan/Onlinegamehack57.Gen 60, % ADWARE APPCARE CLICKER DOWNLOADER NEW Win32/Virut.c 59, % Total 3,434, % TROJAN 35.6% 36.9% [표 1] 악성코드 감염보고 Top 20 [표 1]에 나타난 바와 같이 2011년 7월의 악성코드 감염 보고는 DROPPER ETC SCRIPT SPYWARE VIRUS WORM JS/Agent가 1위를 차지하고 있으며, Textimage/Autorun과 Html/ Agent가 각각 2위와 3위를 차지하였다. 신규로 Top 20에 진입한 악 성코드는 총 11건이다. [그림 2] 악성코드 유형별 감염보고 전월 비교 25

26 2011년 7월 웹 보안 통계 안철수연구소의 웹 브라우저 보안 서비스 사이트가드(SiteGuard)를 통해 산출된 2011년 7월 웹사이트 보안 통계 자료를 살펴보면 악성코 드를 배포하는 웹사이트의 차단 건수는 145,467건이다. 또한, 악성코 해당 메일에 첨부된 Customer details.zip(11,750바이트)의 압 축을 해제하면 [그림 5]와 같이 전자문서 프로그램 어도비 아크로뱃 리더(Adobe Acrobat Reader) 파일 형식인 PDF와 같은 아이콘을 가 진 Customer Details.exe(26,624바이트)가 생성된다. 드 유형은 677건이며, 악성코드가 발견된 도메인은 799건, 악성코드 가 발견된 URL은 4,863건이다. 2011년 7월은 전월 대비 악성코드 유 형은 다소 감소하였으나 악성코드 발견 건수, 악성코드가 발견된 도메 인, 악성코드가 발견된 URL 은 증가하였다. [그림 5] PDF 파일 아이콘을 갖고 있는 악성코드 구 분 건 수 악성코드 발견 건수 145,467 악성코드 유형 677 악성코드가 발견된 도메인 799 악성코드가 발견된 URL 4,863 [표 2] 악성코드 관련 웹 사이트 통계 이들 웹사이트를 통해 배포된 악성코드 유형은 [그림 3]과 같다. 해당 파일이 실행되면 윈도우 시스템에 존재하는 정상 파일인 svchost.exe를 강제로 실행시키며, 허위 시스템 복구 프로그램으로 위장한 악성코드를 내려받아 실행한다. 또한 시스템에 존재하는 대부 분 파일과 폴더들을 숨김 속성으로 변경하여 사용자로 하여금 시스템 에 심각한 문제가 생긴 것으로 인지하게 하고 시스템 전체를 검사하기 시작한다. 검사가 끝나면 [그림 6]과 같이 시스템에 존재하지 않는 허 위의 장애들을 보여주고 시스템 사용자로 하여금 심각한 장애가 존재 하는 것으로 오인하도록 한다. 이어 복구 후에도 심각한 장애가 시스 0 50, ,000 ADWARE 53,991 TROJAN 47,844 DOWNLOADER 32,682 DROPPER 1,951 Win32/VIRUT 1,723 JOKE 1,081 APPCARE 223 SPYWARE 47 ETC 5,925 템에 다수 존재하는 것처럼 보여주며, 이를 복구하기 위해서는 프로 그램을 구매하도록 유도한다. [그림 3] 웹 사이트를 통한 악성코드 유형별 배포 수 2011년 7월 주요 보안 이슈 신용카드 한도초과 안내 메일로 위장한 악성코드 유포 [그림 6] 허위로 표시되는 시스템 오류 내역 신용카드 한도초과 안내 메일로 위장한 악성코드의 변형이 지속적으 로 발견되고 있어 사용자의 각별한 주의가 요구된다. 온라인 게임 안내 메일로 위장한 악성코드 지난 7월 13일 새벽 온라인 게임 안내 메일로 위장하여 악성코드가 첨부된 악의적인 스팸 메일(Spam Mail)이 유포되었다. 이번에 발견 된 온라인 게임 안내 메일로 위장한 악의적인 스팸 메일은 [표 3]과 같 은 형태를 취하고 있다. 메일 제목 (다음 중 하나) 메일 본문 첨부 파일 GIFT from Your Babbie LOVE GIFT from YOUR BABY Gift for special YOU LOVE - CARD from Your Babbie Love-Card special for YOU LOVE-CARD from Your Baby NICE GIFT from YOUR GIRLFRIEND Gift for YOU LOVE-CARD for YOU LOVE - CARD from YOUR LOVE Love Gift only for YOU Love Gift from Y Nice Gift for YOU HTML 형태를 가지고 있으며 [그림 7]의 내용을 가짐 -bonus23983.exe (36,864 바이트) 파일 [그림 4] 신용카드 한도초과 안내 메일로 위장한 악성코드 [표 3] 온라인 게임 안내 메일로 위장한 스팸 메일 구성 26

27 메일 본문은 HTML 형태를 가지고 있으며 [그림 7]과 같이 무료 로 제공되는 게임이니 첨부된 파일을 실행해보라는 권유를 하고 있다. 이때 실행된 윈도우 보안 센터에는 과거에 발견된 바 있는 XP Antivirus 2012 라는 국외에서 제작된 허위 백신이 [보안 설정 관리 대 상]에 자동으로 포함되어 있다. 이후 시스템 전체를 자동으로 검사하 고 시스템에 존재하는 정상 파일 다수를 악성코드로 진단하였다는 허 위 문구를 보여준다. 또한 이를 치료하기 위해서는 등록을 하라는 문 구를 보여준다. 등록을 위해 'Register'를 클릭하면 [그림 9]와 같이 사 용권을 구매하기 위해 개인 정보들을 입력할 것을 유도한다. [그림 7] 첨부 파일 실행을 권유하는 메일 본문 해당 메일에는 bonus23983.exe (36,864바이트) 파일이 첨부되 어 있으며, 해당 파일을 실행하게 되면 [그림 8]과 같은 윈도우 보안 센터가 실행된다. [그림 9] 금전 결제를 유도하는 허위 백신 [그림 8] 윈도우 보안 센터에 등록된 허위 백신 이번에 발견된 온라인 게임 안내 메일로 위장해 국외에서 제작 된 허위 백신을 설치하는 악성코드는 V3 제품군에서 다음과 같이 진 단한다. - Win-Trojan/Banker AS 이 밖에도 보안 관련 통계 및 이슈에 관한 자세한 내용은 ASEC Rerpot 홈페이지( asecreportview.do?groupcode=vni001)에서 확인할 수 있다. 27

28 WHAT'S HAPPENING ON AHNLAB'S TWITTERS 안철수연구소 트위터 ASEC AhnLab Security Emergency response 개인정보보호 Personal Information 김홍선 CERT Computer Emergency Response 보안경보 월 28일부터 유포되었던 신용카드 결제 오류 메일이 지속 적으로 유포되고 있습니다. ASEC 블로그 참고 하셔서 주의하세요#krsec FEDEX 배송지 주소 오류 메일로 위장한 악성 스팸 메일 이 유포 중입니다. 메일 제목은 가변적이나 첨부 파일로 invoice-go[숫자 6자리].zip 이니 주의하세요#krsec 신용카드 사용 차단 메일로 위장한 악성코드 유포 중입니다. 메일 제목 "Your credit card is blocked", 첨부된 ZIP 압축 파 일명은 가변적이나 V3에서 Win-Trojan/Yakes K로 진단합니다. #krsec 스팸성 트위터 메시지가 유포 중입니다. 메시지는 구글 단축 URL을 사용하고 있으며, 다른 내용은 포함되어 있지 않습니 다. 잘 모르는 사람에게 받은 멘션에 구글 단축 URL만 포함 되어 있다면 주의 하세요#krsec "Changelog" 라는 제목으로 악성코드가 첨부된 메일이 유포 중입니다. 첨부 파일은 zip으로 압축되어있으며 changelog_ [숫자 8자리]_[영문 및 숫자 8자리].zip" 이니 주의하세요. #krsec 카카오톡 등에서 가짜 바이러스 경보 메시지 기승 ow.ly/60p2j 안철수 연구소 사칭한 거짓 문자 혹스(Hoax)에 주의하세요~! 월 1일 유포되었던 신용 카드 결제 오류 메일로 위장한 악성코드가 다시 유포 중입니다. 8월 1일 유포되었던 메 일 형식과 첨부 파일명이 유사하니 ASEC 블로그 ow.ly/60rjl 참고 하셔서 주의하세요. #krsec 공개 게시판인 그누보드에서 SQL Injection 취약점이 발견 되었다고 합니다. 그누보드 및 이전 버전 사용자는 버전으로 업데이트를 부탁드립니다. goo.gl/a4uib 최근 구글플러스 SNS 사용자가 증가함에 따라 이를 악용한 악성 애플리케이션이 등장했습니다. V3 모바일로 진단, 치 료가 가능하며 자세한 내용은 core.ahnlab.com/323을 참고 해 주세요~ 안철수연구소에서 밝힌 "스마트폰 악성코드 급증"에 관한 내 용과 스마트폰 안전이용수칙입니다. 확 인하시고 스마트폰 보안에 유의하세요. 28

29 WHAT'S HAPPENING ON AHNLAB'S TWITTERS 안랩소식 "CEO가 밝히는 V3 23년 튼튼 성장의 비결" qo01up 머니투데이방송MTN 더리더 의 김홍선대표 인 터뷰내용입니다 안철수연구소, 지능적 타깃 공격 APT 대책 발표 ow.ly/676r 폴란드의 온라인뱅킹보안 매체에 저희 김홍선대표의 사진이 표지로 실렸었습니다 : ) 올해도 진행된 안철수연구소의 정기 전사교육 안랩스쿨 스 케치 : ) 연이은 강연과 조별토의 등 '빡 센' 교육으로 정평이 나있죠! 읽을거리 김홍선 미국에서 전문가들에게 영주권을 개방하겠다고 하는데.. 특 히 과학기술 분야에서 많은 사람을 필요로 한다고. 미국이 젊음을 유지할 수 있는 건 이민정책인가 봅니다. 그나마 우 리의 부족한 과학기술 인력이 더 부족해질까 염려되네요 김홍선 구로에 있는 어느 벤처기업을 방문했는데 창의적이고 열정 적 모습이 인상적. 매출과 이익의 대부분이 수출. 한국 시장 은 대기업이 브랜드와 유통망을 장악하고 있어 힘들다고. 뜻 대로 경영하기 위해 코스닥에 안 간다고 지난 5월 MBC 라디오 '손석희의 시선집중' 미니 인터뷰 코너 에 출연해 화제가 되었던 구두닦이 아버지의 특별한 사교육 비법 집중인터뷰, 보안세상에서 확인해보세요~!! ly/qjupk 해킹의 어제와 오늘 - 해킹의 역사 휘파 람으로 전화망을 해킹하던 시절도 있었네요 "안철수연구소가 해외 시장 개척하는 이유" pppgav 10년 넘게 이어온 안철수연구소 해외시장 진출 역 사의 생생한 이야기를 들어보세요 "대학생, 안랩 연수생 제도 90% 만족 이유는?" ow.ly/61lvs 실무 경험, 진로 결정 큰 소득 산학협력 모범 사례 김홍선 구글이 이제 클라우드-단말기OS 플랫폼 전쟁을 본격적으로 벌이겠군요. 애플과의 경쟁, MS의 추격, 아마존/페북의 전략. 앞으로 3년 뒤면 결판이 나겠지요? IT 서비스, 미디어, 콘텐 츠의 지각 변동이 김홍선 "자연재해와 사이버테러의 공통점" - 안전문제는 결코 타협 의 대상이 아닌, 첨단 과학기술과 조직력으로 구축해야 할 국가적 의제. 오늘(8/17) 서울경제에 기 고한 글입니다 카이스트 출신 한국 해커의 치열한 미국 유학 생활 적응기 독일, 페이스북 '좋아요' 쓰면 수천만 원 벌금! ow.ly/693tq 독일은 개인정보에 엄격한 나라라고 하네요 :0 29