월간 CONTENTS 3 EXPERT COLUMN 영화 같은 은행 해킹 사건 5 SPECIAL REPORT 눈 앞에 나타난 사회기반시설 공격의 실체 10 SPOTLIGHT 안랩, 산업군별 ISF Square 2016 진행 고객의 고민을 듣다, 대응 전략

Transcription

1 안랩 온라인 보안 매거진 Critical Infrastructure Threats

2 월간 CONTENTS 3 EXPERT COLUMN 영화 같은 은행 해킹 사건 5 SPECIAL REPORT 눈 앞에 나타난 사회기반시설 공격의 실체 10 SPOTLIGHT 안랩, 산업군별 ISF Square 2016 진행 고객의 고민을 듣다, 대응 전략을 나누다 14 THREAT ANALYSIS CryptXXX 랜섬웨어 분석 보고서 [1부] DLL 이용한 CryptXXX 랜섬웨어 분석 완료 [2부] CryptXXX 암호화 비밀과 복구 툴 공개 20 FOCUS IN-DEPTH 별점으로 살펴본 개정 개인정보보호 관련 법령 23 IT & LIFE 내 아이를 지키는 디지털 페어런팅 25 STATISTICS 2016년 4월 보안 통계 및 이슈 27 AHNLAB NEWS 현대오토에버, 우수 개발협력사 로 안랩 선정 안랩, AWS 서밋 서울 2016 에서 클라우드 보안관제 서비스 소개 2

3 EXPERT COLUMN Fraud 영화 같은 은행 해킹 사건 2016년 2월 미국 연방준비은행에 보관된 방글라데시 중앙은행 계좌에서 8,100만 달러(약 966억 원)가 사라졌다는 영화 같은 뉴스가 보도된 다. 누군가 은행 내부 이체 시스템을 조작해 1억 달러가 넘는 돈을 필리핀과 스리랑카 은행 계좌로 이체했다. 필리핀 은행으로 송금된 8,100만 달러는 성공적으로 이체되었지만 스리랑카 은행에 2,000만 달러(약 231억 원)를 이체할 때 영어 단어를 잘못 써 이를 확인하던 중 발견되었 다. 이 사건으로 방글라데시 중앙은행 총재 등은 책임을 지고 사임했다고 한다. 방글라데시 중앙은행 총재 기자 회견(*출처: AP 연합뉴스) 은행이 직접 공격당하는 일이 처음은 아니다. 러시아 갱단으로 추정되는 조직이 2013년부터 30개국 100개 은행을 해킹해 최대 10억 달러(약 1조 1천억 원)를 훔친 것으로 알려졌다. 하지만 한 번에 1천억 원 가까운 거액이 털린 건 처음이다. 특히 이번 사건은 이체 시스템을 조작한 게 내부자의 짓인지 악성코드가 사용되었는지 처음에는 알려지지 않았다. 4월 25일 영국 배시스템(Baesystem)에서 공격에 사용된 것으로 알려진 악성코드 분석 정보를 공개했다. 공격자는 은행 내부 시스템에 침투 해, 글로벌 금융거래 정보를 안전한 환경에서 교환할 수 있게 은행과 기타 금융기관 간 연결 네트워크를 제공하는 단체인 스위프트(SWIFT, Society for Worldwide Interbank Financial Telecommunication)에서 국제간 거래시 이용하도록 제공하는 시스템을 조작할 수 있는 악성코 드를 만들었다. 이는 공격자가 목표 은행의 운영에 대한 깊은 수준의 지식을 가지고 있음을 알 수 있다. 이 악성코드 정보가 알려지면서 은행 과 거래 시스템 제작 업체 간 책임 공방도 있었다. 스위프트 시스템의 안전성에 문제가 있다는 의견이 나오면서 스위프트는 자사의 네트워크 가 해킹당한 게 아니라는 보도자료를 배포한다. 5월 13일에는 과거 사건과 연관된 악성코드와의 유사점이 나오면서 특정 국가의 소행이 아니 냐는 의심도 제기되었다. 이는 2014년 소니 픽처스 공격에 사용된 악성코드와 유사한 악성코드가 발견되었기 때문이나, 이미 공개된 악성코드 라 의도적으로 비슷하게 만들었을 가능성도 있다는 의견도 있다. 사건의 파장은 점점 커지고 방글라데시 은행뿐만 아니라 다른 은행에서도 공격이 있었음이 알려진다. 2015년 12월 베트남 은행에서도 비슷한 공격 시도가 있었으며, 관련 악성코드도 공개된다. 베트남 은행 공격에 사용된 것으로 알려진 악성코드가 방글라데시 은행 해킹에 사용된 악성 코드와 유사하다는 점에서 동일 그룹의 소행일 가능성이 높다. 게다가 에콰도르 은행도 2015년에 유사 사건이 있었음이 뒤늦게 밝혀졌고 필 리핀 은행의 피해도 알려졌다. 따라서 은행을 노린 유사 공격이 더 존재할 수도 있다. 3

4 필자는 이번 사건을 보며 몇 가지 생각이 떠올랐다. 첫째, 완벽한 보안은 역시 없다. 우리는 완벽한 보안은 존재하지 않는다고 알고 있지만 그래도 돈을 관리하는 은행이므로 다른 곳보다는 보안 이 완벽할 거라고 믿고 있다. 하지만 개인의 인터넷 뱅킹 계좌 해킹이 아니라 다수의 은행 시스템이 해킹되었다는 점에서 다시 한 번 완벽한 보안은 세상에 존재하지 않는다는 깨달음을 얻을 수 있었다. 둘째, 어떻게 감염되었을까? 이체 조작에 악성코드가 이용되었는데, 그렇다면 반드시 내부 시스템이 악성코드에 감염되어야만 한다. 따라서 어떻게 내부 시스템이 악성코드에 감염되었느냐는 매우 중요하다. 지금까지 예상하지 못했던 방법으로 은행 내부 시스템이 감염되었다면 다른 은행도 공격 당할 가능성이 있으니 그 방법에 맞는 새로운 대응 방안을 만들어야겠지만, 새로울 게 없는 방법으로 보안이 뚫렸다면 책임 소재 에 대한 비판을 피할 수 없다. 하지만 현재까지 어떻게 은행 시스템에 침투했는지 알려진 바는 없다. 셋째, 공격자는 어디까지 침투해 있을까? 방글라데시 은행 해킹 사건을 보면 공격자는 내부 시스템과 이체 절차를 충분히 알고 있었다. 따라서 내부자의 도움이 있었거나 공격자가 스스로 알아냈을 수 있다. 만약 공격자가 내부자 도움 없이 은행 거래를 지켜보면서 이체 방식을 익혔다 면 오랜 기간 은행 내부 시스템이 악성코드에 감염되었다고 볼 수 있다. 이것도 문제지만 은행간 거래와 같이 특수 목적에 사용되는 시스템도 공격자가 조금만 노력하면 충분히 보안 체계를 우회할 수 있다는 점에서 다른 특수 목적 시스템도 안전을 보장할 수 없다. 넷째, 분석가들도 특수 목적에 사용되는 프로그램이나 절차에 대해 알아야 한다. 베트남 은행 해킹에 사용된 악성코드는 2015년 12월 보안 업 체에 전달되었다. 하지만 5개월 동안 해당 악성코드는 정상 파일로 분류되어 있었다. 만약 방글라데시 중앙은행 해킹과 관련된 악성코드가 알 려지지 않았다면 해당 악성코드는 지금도 정상 파일로 분류되고 있을 가능성이 있다. 왜 이런 일이 발생할까? 일단 해당 악성코드는 일반적인 악성코드와는 다르게 동작한다. 특정 프로그램이 설치된 환경에서만 악성코드가 제대로 실행되기 때문에 특정 프로그램이 설치되어 있지 않은 분석 시스템에서는 별다른 이상을 발견할 수 없다. 시스템이 아닌 사람이 분석할 때는 어떨까? 우선 분석가는 스위프트에 대해 모를 가능성이 높다. 특수 목적으로 사용되는 소프트웨어는 특정 직군의 사람에게는 친숙하겠지만 이외의 사람들은 존재조차 모를 수 있다. 스위프트에 대해 안다고 해도 이런 악성코드를 제대로 분석하려면 스위프트 프로그램이 있어야 하고 이체 과정에 대한 지식도 있어야 한다. 일반 보안 회사에 서 이런 특수 목적 프로그램을 보유하고 있을 가능성은 낮다. 이제 몇몇 분석가들은 스위프트에 대해 알게 되겠지만 다른 특수 목적 사용 시스 템을 노린 악성코드를 분석하면 또다시 정상 파일로 판단할 가능성도 여전히 존재한다. 따라서 앞으로 보안 업체는 다양한 산업 분야와 좀 더 긴밀하게 협력해야 하지 않을까 싶다. 다섯째, 시스템 운영 회사의 신뢰도 하락이다. 우선 방글라데시 은행에서 사용하는 보안 프로그램이 궁금했다. 해당 보안 회사는 공격을 막지 못했다는 점 때문에 전전긍긍하고 있지 않을까 싶다. 보안 프로그램이 모든 공격을 예방할 수 없지만 일반인은 특정 보안 제품이 공격을 막지 못했다고만 기억하게 된다. 스위프트 측도 마찬가지인데, 악성코드에 일단 감염되면 사람이 컴퓨터로 할 수 있는 대부분의 일을 할 수 있고 기 술적으로도 악성코드가 보안 체계를 우회하기 쉽다. 이번 해킹도 악성코드 감염이 은행 과실이라고 해도 서비스를 제공하는 스위프트가 해킹 당했거나 보안에 취약하다고 오해받을 수 있다. 실제로 사건 발생 후 금융권의 스위프트 이용 제한 소식도 들려온다. 이런 공격을 예방하기 위해서는 악성코드에 감염되지 않기 위해 노력하고 감염되더라도 빨리 이상을 파악해야 하지만, 내부 시스템을 모두 관 리하는 건 불가능에 가깝다. 따라서 중요 시스템에 대해서만이라도 정기검진처럼 정기적으로 이상 유무를 검사하는 프로세스가 필요하다. 단, 점검하는 사람도 포렌식이나 악성코드 분석 경험이 충분하고 내부에서 사용하는 프로그램이나 절차에 대해서도 잘 알고 있어야 한다. 이 글을 마감하는 5월 말까지 피해를 당한 은행은 4곳이다. 하지만, 이 글이 공개될 때쯤 어떤 은행이 추가 피해를 입었을지는 아무도 알 수 없 다. 영화처럼 천억 원이 넘는 돈이 사라졌지만 범인은 오리무중인 시대에 우리는 살고 있다. 참고 자료 Bangladesh bank says hackers stole $100M from its New York Fed accont ( 8,100만달러 해킹 물러난 방글라데시 중앙은행 총재 ( ) The Great Bank Robby: Carbanak cybergang steals $1bn from 100financial institutions worldwide ( financial-institutions-worldwide) TWO BYIES TO $951M ( 방글라데시 경찰, SWIFT가 은행 취약하게 해 ( Statement on recent allegations ( Cyber Heist Attribution ( SWIFT Warns Banks: Coordinated Malware Attacks Underway ( No impact on SWIFT network, core messaging services or software ( Vietnam s Tien Phong Bank says it was second bank hit by SWIFT cyberattack ( 제2의 방글라데시 중앙은행 공격 사건 일어났다 ( Now It s Three: Ecuador Bank Hacked via Swift ( 4

5 SPECIAL REPORT Critical Infrastructure Threats 사회기반시설 공격 동향 및 보안에 관한 제언 눈 앞에 나타난 사회기반시설 공격의 실체 지난 4월, 여수 시내의 한 버스 정류장에 설치된 버스정보안내 시스템에서 약 40여 분간 음란 동영상이 재생되는 사고가 발생했다. 최근 미국에서도 텍사스주의 고속도로 전광판이 해킹돼 대선 후보인 트럼프를 조롱하는 문구 등이 밤새 노출되었다. 두 사건 모두 별 다른 피해는 없었지만 교통 관련 시설이 해킹되었다는 점은 주목할 필요가 있다. 만일 교통 신호등 제어 시스템이나 공항, 철도, 발전 소의 시스템이었다면? 이 글에서는 국내 외 주요 사회기반시설 공격 동향을 통해 사회기반시설 보안의 시사점을 알아본다. 사회기반시설은 기반 시설, 기간 시설, 사회 공공 기반시설 등으로 불리며, 사회 및 경제 활동의 기반을 형성하는 중요 시설을 의미한다. 흔 히 인프라(Infra, Infrastructure) 라고도 부르며, 최근에는 학교나 병원, 공원과 같은 사회 복지 및 생활 환경 관련 시설도 사회기반시설로 분 류하기도 한다. 사회 유지에 근간이 되는 이들 시설 또는 시스템이 사이버 공격에 피해를 입을 경우, 단순히 재산상의 피해에 그치는 것이 아니라 사회적 혼 란을 야기하거나 시민들의 안전, 더 나아가 국가 안보에 심각한 위협이 될 수 있다. 실제로 지난 2012년 세계적인 석유 기업인 사우디 아람코 (Saudi Aramco) 해킹, 2015년 우크라이나 정전 사태 등은 막대한 재산상의 피해는 물론 사회적 혼란까지 가져왔다. 미국 국토안보국(Department of Homeland Security)은 사회기반시설을 16개 주요 분야로 나누고, 그중 식료, 농업 서비스를 제외한 14개 분야에 대한 주요 보안 리스크를 [표 1]과 같이 분류하고 있다. 분야 사이버 보안 위협 화학 통신 주요 제조 시설 댐 방위 산업 응급 서비스 에너지 금융 서비스 정부 시설 헬스케어 및 공공의료 IT 시설 핵발전 및 처리 시설 교통 수자원 및 수처리 시스템 화학제품 공정 제어를 위한 네트워크 기반 시스템 통신시스템 공격에 따른 글로벌 연결성 저해 통신 인프라 영향 제어 시스템 및 데이터베이스 해킹 댐 제어 시스템 해킹 안보 기지 인프라에 대한 DDOS 공격 시스템 오작동 등 국가 안보 기밀 유출 응급 서비스 통신 시스템 및 네트워크, GPS에 대한 공격 전기: 전력 그리드 및 운영 시설 공격 석유 및 천연가스: 에너지 관리 시스템 공격 금융 정보 기구의 개인정보 유출 금융 시스템 공격을 통한 대규모 금융 피해 자동 보안 제어 시스템 및 데이터베이스 공격 정부 시설 시스템 공격에 따른 기밀 및 개인정보 유출 진료 시스템 공격으로 의료보험, 검진 기록 유출 IT 시스템 관리, 콘텐츠, 정보, 통신 등 다양한 부분에서의 정보 유출 신분 인증 시스템 공격에 따른 사회 기반 시스템 운영 위협 핵 시설 제어 시스템 공격 공중, 육상, 해상 교통 제어 시스템 공격 수자원 및 수처리 제어 시스템 [표 1] 미국 국토안보국의 사회기반시설 분류 5

6 국내 외 주요 사회기반시설 공격 사례 2000년대 초에도 특정 국가나 사회기반시설을 노린 악성코드가 존재했다. 지난 2001년 7월 발견된 코드레드(CodeRed) 웜으로 인해 미국 백 악관 홈페이지에 서비스거부(DoS) 공격이 발생했다. 국내에서는 2003년 1월 25일, 슬래머(Slammer) 웜에 의한 인터넷 장애가 발생했다. 이 를 1.25 인터넷 대란 이라 부른다. [그림 1] 국내외 주요사회기반시설 공격 사례 본격적인 사회기반시설에 대한 사이버 공격은 2000년대 중반 이후에 나타났다. 2007년 4월 27일, 에스토니아(Estonia) 공화국의 정부, 언론, 방송, 은행의 전산망이 일제히 분산서비스거부(Distribute Denial of Service, 이하 DDoS) 공격을 받았다. 이 공격으로 대통령궁을 비롯해 의 회, 정부기관, 은행, 이동통신 네트워크 등 에스토니아의 국가 시스템 전체가 약 3주간 마비되는 사태가 발생했다. 2008년 6월에는 조지아(Georgia, 러시아명 그루지아 )의 정부 홈페이지, 언론사, 포털 사이트 등이 대규모 DDoS 공격을 받았다. 평균 2시간 15분, 최장 6시간 동안 공격이 지속되었으며, 사흘간 이어진 공격으로 금융 시스템 장애가 발생하는 등 사회가 마비되었다. 2010년부터는 단순한 서비스 장애 유발이 아닌 사회기반시설에 대한 직접적인 공격이 발생한다. 가장 대표적인 사례는 2010년 6월 발견된 스턱스넷(Stuxnet)이다. 스턱스넷은 지멘스(SIEMENS)사의 산업자동화제어시스템(PCS7)을 타깃으로 하는 악성코드로, 2010년 9월 이란의 원 자력 발전소 마비 사태의 주범으로 알려졌다. 에너지 분야를 노린 사이버 공격의 또 다른 사례로는 2012년 사우디에서 발생한 사우디 아람코(Saudi Aramco) 해킹이 있다. 같은 해 8월 27 일에는 카타르(Qatari) 천연가스 기업인 라스가스(RasGas)도 사이버 공격을 당했다는 사실이 언론을 통해 알려졌다. 이후 2015년 우크라이나 에서는 발전소 해킹에 의한 대규모 정전 사태가 발생하기도 했다. 우크라이나 정전 사태와 같이 최근에는 교통 및 항공 시설, 전력 시설을 노린 사이버 공격으로 인해 일반 시민들이 생활에 불편을 겪거나 심각 한 피해를 입고 있다. 최근 국내에서 발생한 사고와 유사한 일이 브라질에서도 발생한 바 있다. 브라질의 버스 정류장 안내 시스템이 해킹되어 약 15분간 음란 동영상이 노출된 것이다. 항공 시설과 관련해서는 지난 2015년 6월 폴란드 공항이 DDoS 공격을 당해 비행 계획 시스템이 5 시간 동안 마비되었으며, 약 1,400여 명의 승객이 공항에서 발이 묶인 사건도 있다. [그림 2] 해킹된 브라질 버스 안내 시스템(*출처: SecurityWeek) 6

7 이 밖에도 프랑스 방송사 떼베생몽드(TV5Monde) 해킹 및 방송 송출 장애, 이스라엘 방송국 해킹, 지난 2013년 국내 주요 은행 및 방송국을 노린 3 20 전산망 마비, 최근 발생한 방글라데시 중앙은행 해킹, 미국 뉴욕댐 전산망 해킹, 미국 내 다수 병원의 랜섬웨어 감염 등 사회기반시 설을 노리는 공격들이 다방면에서 지속적으로 발생하고 있다. 사회기반시설 공격에 사용된 악성코드의 실체 앞서 언급한 사례 중 우크라이나 발전소 해킹과 정유 회사 사우디 아람코 해킹 사례를 중심으로 실제 사회기반시설 공격에 사용된 악성코드와 공격 방식에 대해 알아보자. 1. 우크라이나 발전소 해킹 지난 2015년 12월 23일, 우크라이나의 키보브레네르고(Kyivoblenergo) 발전소에 문제가 발생해 이날 오후 3시 35분부터 3시간 동안 약 8만 가구에 전력 공급이 중단됐다. 또한 우크라이나 서부 지역의 프리카르파티아오블레네르고(Prykarpattyaoblenergo) 발전소에서도 문제가 발 생해 주변 지역에 대규모 정전 사태가 발생했던 것으로 알려졌다. 전화 시스템에도 장애가 발생해 전화 통화도 정상적으로 이루어지지 않았다. 정전 직후 언론과 우크라이나 정보부(Security Service of Ukraine)는 사이버 공격의 가능성을 언급했다. 우크라이나의 정전이 사이버 공격에 의해 발생했다는 정황이 계속 나타남에 따라 미국 정부도 관련 조사에 착수했다. 지난 2016년 1월, 미국 국토안보국은 우크라이나 정전 사태의 원인이 사이버 공격으로 드러났다고 발표했으며, 3월 18일에는 관련 분석 보고서가 추가로 공개됐다. 이 보고서에 따르면, 공격자는 이미 6개월 전부터 발전소 내부 시스템에 침입해 관련 정보를 수집하고 악의적인 펌웨어(Firmware)를 개발하 는 등 철저한 준비 후 공격을 수행한 것으로 보인다. 이와 관련해 SANS ICS팀과 해외 보안 업체 이셋(Eset)은 우크라이나 정전 사태와 블랙에너지(BlackEnergy) 악성코드가 밀접한 관계가 있다 고 발표했다. 한편 우크라이나 정전 사건이 발생하기 한 달 전인 2015년 11월, 우크라이나 사이버침해대응센터(CERT, Computer Emergency Response Team)는 우크라이나 선거 기간 동안 언론사를 공격한 블랙에너지 악성코드에 관해 언급한 바 있다. 따라서 우크라이나에 대한 블 랙에너지 공격은 정전 사태 이전부터 진행되었음을 예상할 수 있다. 블랙에너지는 다양한 변화를 겪어온 악성코드이다. 2007년 DDoS 공격에 처음 이용되었으며, 2008년 조지아(Georgia) 공격에도 사용되었던 것으로 알려졌다. 드라이버 파일로 구성되어 있다는 것이 특징이며, 현재에도 꾸준히 변형이 나타나고 있다. 우크라이나 발전소를 공격한 것으로 알려져 있는 블랙에너지 악성코드는 악성코드를 떨어뜨리는 드롭퍼와 실제 악성 행위를 수행하는 난독화 된 드라이버 파일로 구성되어 있으며, FONTCACHE.DAT 등의 파일이 생성된다. 또한 해당 공격에서 공격자는 악성 매크로를 포함한 엑셀 파일을 이용한 것으로 알려졌다. 문서를 열어본 사용자가 보안 경고 메시지의 콘텐 츠 사용 을 선택하면 매크로가 실행된다. 매크로가 실행되면 %temp% 폴더에 vba_macro.exe 파일이 생성된다. [그림 3] 우크라이나 발전소 공격에 사용된 엑셀 파일의 매크로 기능 이렇게 생성된 vba_macro.exe가 실행되면 FONTCACHE.DAT 파일이 시스템에 생성된다. 이 파일은 윈도우 패킷 캡쳐 프로그램인 WinPcap 와 관련된 파일로 위장하고 있다. 내부 문자열 또한 Winpcap 관련 파일처럼 가장하고 있다. [그림 4] Winpcap 관련 파일로 위장 7

8 익스포트(export) 함수도 모두 정상 프로그램처럼 되어 있지만, PacketAllocatePacket 코드가 실행되면 암호를 풀면서 실행되며 플러그인 파 일을 다운로드하여 추가적인 기능을 수행한다. 2. 사우디 아람코(Saudi Aramco) 해킹 지난 2012년 8월 15일, 세계 최대 규모의 석유 기업 중 하나인 사우디 아람코(Saudi Aramco)가 사이버 공격으로 약 3만 대의 시스템에 장애 가 발생하는 피해를 입었다. 같은 날, 자신들을 정의의 검(Cutting Sword of Justice) 이라고 자칭하는 단체가 아람코 해킹이 자신들의 소행이 라고 주장했다. [그림 5] 아람코 해킹에 관한 정의의 검(Cutting Sword of Justice) 의 주장 사우디 아람코 해킹에 사용된 악성코드는 샤문(Shamoon) 또는 디스트트랙(Disttrack) 등으로 불리며, 사전에 내부 시스템을 파악하고 데이 터를 삭제하기 위해 제작된 악성코드이다. 공격자가 어떻게 내부 시스템에 침입했는지는 아직 알려지지 않았다. [그림 6] 샤문(Shamoon) 악성코드 구조 샤문 악성코드의 구조는 [그림 6]과 같다. 드롭퍼(Dropper)는 하드디스크 파괴 악성코드를 시스템에 떨어뜨리는 역할을 하며, 데이터 삭제 기 능과 보고 기능만 가지고 있다. 파일 속성 정보를 살펴보면 Distributed Link Tracking Server 라는 설명과 함께 마이크로소프트에서 제작한 파일로 가장하고 있다. [그림 7] 샤문 악성코드의 드롭퍼 등록 정보 8

9 데이터 파괴 파일은 C:\Shamoon\ArabianGulf\wiper\release\wuper.pdb 와 같은 PDB 정보를 가지고 있다. ArabianGulf 와 같은 문자열을 통해 명확한 공격 대상을 가진 악성코드임을 짐작할 수 있다. [그림 8] PDB 정보 내의 특징적인 문자열 데이터 삭제 파일이 실행되면 드라이버 파일(drdisk.sys)을 생성하고 파일 목록을 얻는다. 이후 시스템에 존재하는 파일을 JPEG 이미지로 덮어 쓴다. 끝으로 하드디스크 MBR을 덮어써 시스템을 사용할 수 없게 하고 shutdown -r -f -t 2 로 종료시킨다. 한편, 이 악성코드는 피해 시스템 수 등을 보고하는 기능도 갖고 있다. 사회기반시설 보안에 관한 제언 지난해 말, 안랩을 비롯한 국내외 보안 업체들은 2016년에 발생할 수 있는 보안 위협 중 하나로 사이버테러 및 국가기반시설 보안 위협을 꼽 은 바 있다. 그리고 2016년 초부터 방글라데시 중앙은행의 해킹, 국내 버스정류장 안내 시스템 해킹 등이 발생했다. 사회기반시설은 사회의 근간을 이루는 중요한 시설인 만큼 강력한 보안이 동반되어야 한다는 것은 두말할 필요도 없다. 그러나 실제로는 보안 인력이 부족한 경우나 내부 보안 인력의 전문성이 부족한 경우가 있다. 또는, 시설의 시스템 자체가 적절한 보안이 고려되지 않은 채 설계되었 거나 보안에 취약한 구형 시스템으로 운영되는 경우도 있다. 외부 공격으로부터 사회기반시설을 안전하게 보호하기 위해서는 우선 구성원들이 준수할 수 있는 현실성 있는 보안 정책을 수립해야 한다. 이 와 함께 적절한 보안 시스템을 구축해 내부로 유입되는 위협을 모니터링 및 차단하고 내부에서 확산되는 위협을 분석 및 대응할 수 있어야 한 다. 일반적으로 악성코드의 내부 시스템 침입부터 시스템 파괴 등 악의적인 결과를 가져오기까지는 어느 정도의 시간이 소요된다. 수많은 내부 시스템을 파악하고 하나씩 장악해야 하기 때문에 보통 6개월 정도가 걸린다. 따라서 공격에 의한 피해가 발생하는 것을 방지하기 위해서는 주 요 시스템에 대한 정기 점검을 통해 이상 징후를 빨리 파악할 수 있어야 한다. 이를 위해 전문성을 가진 인력의 양성과 활용이 필요하다. 또한 협력 업체에 대한 강력한 보안 방안을 마련해야 한다. 공격자들은 침입이 까다로운 사회기반시설을 직접적으로 공격하는 대신 협력 업체를 해 킹하는 등의 우회 공격을 시도할 수 있기 때문이다. 한편, 사회기반시설 공격 동향에 관한 보다 상세한 내용은 안랩 시큐리티 대응센터 분석팀에서 발표한 사회기반시설 공격 동향 분석 보고서 에서 확인할 수 있다. 사회기반시설 공격 동향 분석 보고서 전문 보기 참고 자료 - Data breach digest. ( ) - Analysis of the Cyber Attack on the Ukrainian Power Grid ( ) - 도시철도 안전 및 유지관리 실태 감사결과 ( - 감사원, '국가 사이버안전 관리 실태' ( - 강은성, 망분리는 만병통치약인가? ( - 미국 국토안보국 'Sector Risk Snapshots ( SANS : - Ukraine CERT:

10 SPOTLIGHT AhnLab ISF Square 2016 안랩, 산업군별 ISF Square 2016 진행 고객의 고민을 듣다, 대응 전략을 나누다 안랩이 최근 한 달 여에 걸쳐 산업군별 정보보호최고책임자(CISO) 및 보안책임자를 대상으로 안랩 ISF Square 2016(이하 ISF 스퀘어 2016) 을 개최하고 있다. ISF 스퀘어는 안랩이 지난 2009년부터 진행해오던 자사의 융합 보안 컨퍼런스 안랩 ISF 를 산업별로 세분화 하여 개편한 보안 전략 세미나다. 다양한 산업군별 고객사의 특성에 맞춰 맞춤형 보안 전략 및 솔루션 을 제공하기 위한 목적이다. 이번 ISF 스퀘어 2016은 지난 4월 27일 은행 및 카드사를 시작으로 28일에는 보험사, 5월 11일과 18일, 25일에는 각각 증권사와 건설사, 유통사를 대상으로 진행됐다. 6월 8일에는 공공 및 교육 기관의 보안책임자를 대상으로 진행할 예정이다. 안랩은 ISF 스퀘어 2016을 통해 각 산업 분야가 직면하고 있는 주요 보안 이슈와 위협 동향 정보를 공유하고 산업별 비즈니스에 최적화된 대 응 방안을 소개하고 있다. 지난 4월 27일부터 5월까지 다섯 차례에 걸쳐 진행된 이번 행사에 각 산업 분야의 CISO 및 보안책임자 100여 명이 참석했다. ISF 스퀘어 2016에 산업군별 CISO 100여 명이 참석한 가운데 권치중 안랩 대표이사는 고객의 목소리에 귀를 기울이고 고민을 나누는 것이 ISF 스퀘어의 목적 이라고 전했다. 권치중 안랩 대표이사는 환영사를 통해 신종 공격 기법이 끊임없이 나타나고 있어 고객사 자체가, 또는 보안 벤더만으로 최신 보안 위협에 대 응하는 것은 사실상 불가능하다 며 ISF 스퀘어를 통해 고객을 직접 만나 실제 현장에서 느끼고 계신 고민과 어려움을 나누고 산업별로 특화 된 정보를 공유함으로써 실질적이고 최적화된 해법을 찾을 수 있으리라 기대한다 고 말했다. 10

11 기업으로 눈 돌리는 랜섬웨어, 그 실체는? 산업 분야를 막론하고 현재 가장 심각한 보안 이슈는 역시 랜섬웨어였다. 특히 최근 미국의 주요 병원들의 랜섬웨어 감염 사례를 시작으로, 랜 섬웨어의 표적이 개인 중심의 불특정 다수에서 막대한 자금을 보유하고 있는 기업군으로 옮겨갈 것이라는 예측도 있어 기업 보안책임자들의 고민이 깊은 실정이다. 한창규 실장과 김경희 실장(왼쪽부터)은 CISO들이 가장 궁금해하는 랜섬웨어를 비롯한 최신 공격 동향을 공유했다. 이와 관련해 한창규 안랩 시큐리티대응센터(ASEC) 실장이 랜섬웨어로 대표되는 최신 위협 동향 이라는 주제 발표를 통해 CISO의 궁금증에 답했다. 한창규 실장은 실제 사례를 통해 신 변종 랜섬웨어의 감염 경로, 동작 원리 등을 설명했다. 이어 랜섬웨어는 더 이상 일시적인 유행이 나 단발성 이슈가 아니다 라며 기업에서도 이제 랜섬웨어에 대한 대응책을 마련해야 할 때 라고 강조했다. 이어 김경희 안랩 플랫폼개발실 실장은 랜섬웨어의 서비스화(RaaS, Ransomware-as-a-Service)를 비롯해 모바일 랜섬웨어, 맥(Mac) OS X를 노리는 랜섬웨어 등 진화하는 랜섬웨어의 흐름을 설명했다. 김경희 실장의 설명에 따르면 랜섬웨어는 비대칭 키를 사용하기 때문에 실제 공격 자를 잡아 서버를 수거하지 않는 한 암호를 풀 수 없다. 일단 감염되면 피해를 피할 수 없다는 것. 특히 현재 일부 업체가 제공하는 랜섬웨어 복구 서비스 의 대부분은 지불 대행 서비스로, 공격자에게 비트코인을 대신 납부해주고 키를 받아 파일을 복구하는 방식에 불과하다. 이와 관 련해 김경희 안랩 플랫폼개발실 실장은 돈을 주고 복구할수록 몸값이 올라갈 뿐만 아니라 돈을 많이 주는 기업을 노리게 된다 고 지적했다. 문제는 일반적인 보안 솔루션만으로는 랜섬웨어 대응이 쉽지 않다는 것. 이와 관련해 안병무 안랩 제품기획팀 차장은 지능형 위협 대응 솔루 션인 안랩 MDS를 제안했다. 안병무 차장은 최초 감염(First Victim) 방어, 포기할 것인가? 라는 주제 발표를 통해 랜섬웨어에 대한 최선의 대 응책은 예방 과 선제적 방어 라고 전제했다. 이어 랜섬웨어를 비롯해 고도화된 최신 공격 대응에서 놓치지 말아야 할 부분은 첫 번째 희생자 (First Victim)가 발생할 가능성을 최소화하는 것 이라고 강조하고 안랩 MDS의 실행보류(Execution Holding) 기능을 이용해 랜섬웨어가 동 작하는 것 자체를 방지할 수 있다 고 설명했다. 랜섬웨어는 공통분모 산업별 보안 위협은? 안병무 차장과 백민경 차장(왼쪽부터)은 기업이 직면하고 있는 보안 위협을 살펴보고 이에 따른 안랩의 솔루션을 제시했다. 랜섬웨어는 개인과 기업, 산업 분야를 막론하고 공통된 보안 위협이라는 데는 이견이 없다. 그러나 기업의 비즈니스에 따라 최우선 보안 과제 는 각기 다르다. 11

12 백민경 안랩 제품기획팀 차장은 은행, 증권사, 카드사 등 금융기관이 직면한 위기로 이용자 PC를 노리는 전자금융사기 를 꼽았다. 백민경 차장 은 실제 금융기관 보안 침해 사례를 통해 파밍, 다이어 악성코드, 공유기 공격, 메모리 해킹 등 전자금융사기 기법을 설명하고, "모바일과 온라 인으로 금융 서비스를 이용하는 비율이 증가하는 자율 금융 시대를 맞아 명확한 위험요소를 파악하고 그에 따른 적절한 솔루션 도입 등 이용 자 보호와 금융 시스템 보안을 위한 철저한 철학을 갖추는 것이 필요하다"고 강조했다. 김창희 팀장과 한태수 실장(왼쪽부터)은 각각 유통 분야와 건설 분야의 보안 위협 요인과 대응 방안에 대해 공유했다. 유통 분야를 위한 ISF 스퀘어 2016에서는 최근 또다시 화두가 되고 있는 POS 시스템 보안 위협에 대한 상세한 정보가 공유됐다. 김창희 안랩 제품기획팀 팀장은 POS 및 단말 보안을 위한 효과적인 대응 방안 이라는 주제 발표를 통해 "수많은 고객의 신용카드 정보 등 민감한 정보를 다루는 POS 단말기가 해킹되면 실생활에 직결되는 사회적, 경제적으로 치명적인 위험이 될 것"이라고 단언했다. "그러나 POS 시스템 등 산업 용 단말에는 일반적인 보안 정책이나 솔루션을 적용하는 것은 현실적이지 않다 고 지적하고 안정적인 비즈니스 운영을 위해 안랩 EPS와 같은 전용 보안 솔루션을 도입하는 것이 바람직하다"고 조언했다. 한태수 안랩 매니지먼트개발 실장의 사물인터넷(IoT) 보안 위협과 대응 방안 에 대한 발표는 특히 건설 분야 CISO의 눈과 귀를 사로잡았다. 한태수 실장은 사물인터넷은 스마트가전, 스마트헬스, 특히 스마트홈 등 통신과 건설 분야에서 더욱 중요한 요소로 부각되고 있다 며 이제 관련 산업 분야에서는 서비스 준비 단계에서부터 IoT 관련 개방형 표준에 근거한 정보보호, 프라이버시 보호에 대해 필수적으로 고민해야만 한다 고 강조했다. 또한 설계도면이나 기술 정보 등 중요 정보가 많은 건설사의 특성상 지능형 보안 위협에 노출되면 피해가 커질 수 있다 고 지적한 뒤 안랩은 이미 스마트홈 등과 관련해 실제 발생할 수 있는 다양한 공격 시나리오를 연구해왔으며 이에 대한 전방위적인 대응 방안을 마련하고 있다 고 말했다. 안랩은 금융 분야부터 유통, 건설, 그리고 공공 분야까지 각 산업 분야의 주요 보안 위협과 관련해 최적의 보안 솔루션을 제공하고 있다. 안랩 의 다양한 솔루션의 근간에는 원천 기술을 보유한 R&D 센터와 인프라가 있다. 이와 관련해 정청환 안랩 엔드포인트개발 실장은 그동안 많은 고객들이 궁금해했던 안랩의 보안 제품 개발과 개발 인프라 보안 관리 체계를 소개했다. 정청환 실장은 특히 보안 업체 자체를 노리는 공격이 종종 등장하는 것과 관련해 안랩의 대비책은 물론, 제품 개발부터 관리까지 무결성을 보장하기 위한 안랩의 자체적인 보안 체계를 상세하게 설명해 참석자들의 큰 호응을 얻었다. 정청환 실장은 안랩의 제품 개발부터 관리까지 전 과정에 대한 안랩의 독자적인 보안 체계를 소개해 참석자들의 이목을 집중시켰다. 12

13 고객의 생생한 목소리를 듣다 여타 보안 세미나와 안랩 ISF 스퀘어의 가장 큰 차별점은 제품 기획자부터 제품 개발 책임자, 그리고 대표이사에 이르기까지 한 자리에서 고객 과 직접 소통한다는 점이다. 이번 ISF 스퀘어 2016에서도 안랩 EP사업부문 총괄인 강석균 전무, EP영업본부 총괄 배민 상무, 서비스사업부 총 괄 방인구 상무 등이 총출동해 고객의 고민을 듣고 의견을 나눴다. 세션 발표 후 진행된 라운드 테이블 프로그램을 통해 안랩의 권치중 대표, 강석균 전무, 배민 상무, 방인구 상무가 고객사 CISO와 자유롭고 다양한 논의를 이어나갔다. 안랩은 오는 6월 8일 서울 양재동 엘타워에서 공공 및 교육기관의 보안책임자를 대상으로 ISF 스퀘어 2016을 이어나갈 예정이다. 또한 안랩은 서울에서 진행되는 행사에 참석하기 어려운 각 지역의 고객사를 위해 파트너와 함께 찾아가는 고객 세미나 도 동시에 진행하고 있다. 지난 5 월 24일 전주 지역에 이어 오는 6월 16일에는 대구, 21일에는 대전에서 고객사의 보안책임자를 초청해 최신 보안 위협 동향과 대응 방안을 공 유할 예정이다. 13

14 THREAT ANALYSIS CryptXXX Ransomware CryptXXX 랜섬웨어 분석 보고서_1부 DLL 이용한 CryptXXX 랜섬웨어 분석 완료 최근 크립트엑스엑스엑스 랜섬웨어 가 대량 유포되면서 피해 사례가 늘어나고 있다. 크립트엑스엑스엑스의 특징은 기존 랜섬웨어와 달리 실행 파일(EXE) 형태가 아닌 동적 링크 라이브러리(DLL) 형태로 유포되고 있다는 점이다. DLL 형태로의 유포는 정상적인 프로 세스와 함께 동작하는 구조여서 감염 사실을 알아차리기조차 어렵다. 월간 안 에서는 1부와 2부에 걸쳐, 크립트엑스엑스엑스의 동작 방식과 주요 기능, 암호화 방식, 복구 툴 등 자세한 내용을 소개한다. <연재 목차> 1부_ DLL 이용한 CryptXXX 랜섬웨어 분석 완료 2부_ CryptXXX 암호화 비밀과 복구 툴 공개 크립트엑스엑스엑스 랜섬웨어(진단명: Trojan/Win32.CryptXXX, 이하 크립트엑스엑스엑스)는 컴퓨터에 있는 파일을 암호화한 뒤.crypt 확장자로 변경하여 사용자에게 비트코인을 요구하는 랜섬웨 어다. [그림 1]은 크립트엑스엑스엑스의 동작 방식이다. [그림 2] svchost.exe(정상 rundll32.exe)로 로드되어 동작하는 악성 DLL 이 악성코드는 피해자의 컴퓨터를 감염시킬 때!Recovery_사용자 ID.txt,!Recovery_사용자ID.html,!Recovery_사용자ID.bmp 형 식의 파일을 생성하며 내용은 [그림 3], [그림 4]와 같다. [그림 1] 크립트엑스엑스엑스 동작 방식 크립트엑스엑스엑스의 경우 다른 랜섬웨어와의 차이점은 DLL(동 적 링크 라이브러리, Dynamic Linking Library)로 동작한다는 점이 다. 크립트엑스엑스엑스는 정상 rundll32.exe를 악성 DLL이 있는 경 로에 svchost.exe로 이름을 바꾸어 복사한 뒤 악성 DLL의 내보내기 (Export) 함수를 인자값으로 호출하여 동작한다. [그림 3] 크립트엑스엑스엑스 결제 안내 페이지 14

15 *.82.1*: **.187.6*:443 C&C 접속 여부와 관계없이 패킷을 전송한 후에는 파일 암호화가 진 행된다. 파일 암호화 대상 분석된 크립트엑스엑스엑스로부터 확인된 암호화 대상은 [표 2]와 같다. [그림 4] 크립트엑스엑스엑스 결제 안내 텍스트 크립트엑스엑스엑스 주요 기능 자동 실행 등록 크립트엑스엑스엑스는 [표 1]과 같이 시작프로그램에 바로가기 링크 파일을 생성한다. [그림 5]에서 알 수 있듯이 해당 링크 파일에 의해 실행되는 파일은 크립트엑스엑스엑스이며, MS114 라는 이름의 함수 를 호출하는 기능을 한다. 자동 실행 등록 파일 C:\Documents and Settings\...\프로그램\시작프로그램\[사용자ID].lnk [표 1] 자동 실행 등록을 위한 바로가기 링크 파일 생성 Z:\ 부터 A:\ 까지 마운트된 모든 드라이브 중, 다음의 암호화 대상 드 라이브만 감염이 진행된다. 암호화 대상 드라이브 고정식 드라이브, 이동식 드라이브, 네트워크 드라이브 [표 2] 암호화 대상 드라이브 암호화 대상 확장자 3DM 3DS AES APK APP ARC ASC ASM ASP ASPX BRD BZ2 C CER CFG CFM CGI CGM CMD CPP CRT CSR CSS CSV CUE DB DBF DCH DCU DIF DIP DJV DJVU DOC DOCB DOCM DOCX DOT DOTM DOTX DTD DWG DXF EML EPS FDB FLA FRM GBK GBR GED GPG GPX H HTM HTML HWP IBD INDD JAR JAVA JKS JSP KEY KML KMZ LAY LAY6 LDF LUA M MAX MDB MDF MFD MML H MS11 MSI MYD MYI NEF NOTE OBJ ODB ODG ODP ODS ODT OTG OTP OTS OTT P12 PAQ PAS PCT PDB PDF PEM PHP PIF POT POTM POTX PPAM PPS PPSM PPSX PPT PPTM PPTX PRF PRIV PSD RAR RAW RSS RTF SCH SDF SITX SLDX SLK SLN SQL STC STD STI STW SVG SWF SXC SXD SXI SXM SXW TAR TBK TEX TGZ TLB TXT UOP UOT VB VBS VCF VDI VMDK VMX WKS WPD WPS WSF XLC XLM XLR XLS XLSB XLSM XLSX XLT XLTM XLTX XLW XML ZIP ZIPX ACCDB CLASS GADGET IBOOKS PAGES PLUGIN PRIVATE QCOW2 SQLITE3 SQLITEDB VCXPROJ XCODEPROJ XHTML [그림 5] 자동 실행 등록 정보 [표 3] 암호화 대상 확장자 C&C 통신 크립트엑스엑스엑스는 파일을 암호화하기 전, C&C에 악성코드가 생 성한 사용자 ID를 전송한다. 암호화 대상 확장자 폴더 \WINDOWS\" \BOOT\ \EFI\ \CONFIG.MSI\ \WINNT\ \RECOVERY\ \PROGRA^1\ \GOOGLE\ \RECYCLER\ \$RECYCLE. BIN\ \PROGRA^2\ \TEMP\ \SYSTEM^1\ \PERFLOGS\ [표 4] 암호화 제외 대상 경로 암호화된 환경 [그림 6] C&C 통신 패킷 정보 크립트엑스엑스엑스는 암호화가 완료된 파일의 수정한 날짜와 시간 정보를 백업된 원본의 수정한 날짜로 변경한다. 악성 DLL 내부에 암호화된 C&C는 2개이며, 첫 번째 IP에 접속이 되 지 않았을 경우 두 번째 IP로 연결된다. 15

16 [그림 7] 암호화 된 파일의 파일의 시간 정보 변경 코드 [그림 11] 결제 안내 파일의 시간 정보 변경 코드 [그림 7]에서 붉은색 박스로 표현한 부분의 데이터(A4 80 BC 4B 36 B0 D1 01)는 SetFileTime API를 사용하여 백업된 원본의 수정한 날 짜로 변경된다. [그림 12] 결제 안내 파일의 시간 정보 변경 전(좌) 및 변경 후(우) [그림 8] 암호화된 파일의 시간 정보 변경 전(왼쪽) 및 변경 후(오른쪽) 생성한 결제 안내 파일의 시간 정보를 [그림 12]와 같이 변경한다. 암 호화가 완료되면 [그림 13]과 같은 화면을 띄우고 스크린이 잠기게 하여 사용자가 어떠한 동작도 할 수 없게 한다. 이때 시간 정보가 변경된 파일은 MoveFileW API를 사용하여 [원본 파일명].crypt로 확장자가 변경된다. [그림 9] 암호화 후 확장자 변경 그리고 암호화된 파일이 있는 경로마다 결제 안내 파일들을 생성한다. [그림 13] 암호화 완료 후 화면 크립트엑스엑스엑스는 일반적으로 웹사이트 다운로드 등으로 유포되 는 경우가 많다. 따라서 사용자는 출처를 알 수 없는 메일에 첨부된 파 일의 실행이나 불필요한 사이트 접근을 삼가는 등의 주의가 필요하다. [그림 10] 암호화된 파일과 생성된 결제 안내 파일(.BMP,.HTML,.TXT) 앞서 언급했듯이 SetFileTime API를 이용하여 [그림 11]에 있는 붉은 색 박스에 있는 데이터( )는 1601년 3월 12 일 월요일 10시 17분 27초로 변경된다. 해당 악성코드 감염을 막기 위해서는 항상 윈도우 보안 패치 및 V3 백신 프로그램을 최신 업데이트 상태로 유지하는 것이 필요하다. 안랩은 원본 파일을 복구하는 툴을 랜섬웨어 보안센터를 통해 무료로 제공하고 있다. 안랩 랜섬웨어 보안센터 바로가기 16

17 THREAT ANALYSIS CryptXXX Ransomware CryptXXX 랜섬웨어 분석 보고서_2부 CryptXXX 암호화 비밀과 복구 툴 공개 크립트엑스엑스엑스(CryptXXX) 랜섬웨어는 정상 파일을 암호화한 후.crypt 확장자로 변경하여 사용자에게 비트코인을 요구하는 랜섬웨어다. 이 랜섬웨어는 현재까지 버전 1.x, 2.x, 3.x 세 가지 형태가 알려져 있다. 안랩은 현재 크립트엑스엑스엑스 2.x 버전에 의 해 암호화된 파일에 대한 복구 툴을 제공하고 있다. 특히, 국내 사용자들이 많이 사용하고 있으나 기존 복구 툴이 지원하지 않는 한글 파일(HWP)의 복구도 가능하다는 점이 주목할만하다. 월간 안 에서는 1부와 2부에 걸쳐, 크립트엑스엑스엑스의 동작 방식과 주요 기능, 암호화 방식, 복구 툴 등 자세한 내용을 소개한다. <연재 목차> 1부_ DLL 이용한 CryptXXX 랜섬웨어 분석 완료 2부_ CryptXXX 암호화 비밀과 복구 툴 공개 1. 암호화 방식 [그림 1]은 크립트엑스엑스엑스에 의해 암호화된 Photo.jpg 파일을 나타낸다. 암호화는 고정 크기(0x1FFF)의 블록 단위로 순차적으로 이 뤄지며, 암호화 최대 크기는 0xD012FE(대략 13M)로 이후의 데이터 는 원본과 동일하다. 되는 개인키 정보 없이는 해당 키 테이블 정보를 복호화할 수 없고, 파일 복구가 불가능하다. 하지만, 해당 키 테이블 정보는 개인키 없이 도 원본 파일 시작 부분의 일부 데이터(예를 들면 파일 포맷별 Magic 정보)를 통해 파일의 형태를 확인할 수 있으며, 그것을 토대로 유추할 수 있는 키 값으로 복구가 가능하다. 2. Key Table 생성 방식과 취약성 [그림 2]는 파일 끝에 삽입된 0x104바이트 크기의 키 테이블이 생성 되는 과정을 나타낸다. 이 그림에서 노란색 부분이 공개키로 암호화 된 KeyTable_A[0x40]이며, CryptEncrypt() API를 통해 공개키로 암 호화 시 원본 0x40바이트 크기의 데이터가 최종 0x80바이트 크기로 증가된다. [그림 1] 크립트엑스엑스엑스 암호화 방식 암호화된 파일은 원본 파일과 비교하여 260(=0x104)바이트가 증가 한 형태이며, 이는 파일 끝부분에 삽입된 키 테이블(Key Table) 정보 로 인한 것이다([그림 1]에서 붉은색 블록 참고). 이 키 테이블 정보 는 블록 단위의 암호를 복호화하는 데 핵심이 되는 데이터로, 공개키 를 통해 암호화되어 저장된다. 즉, 구조적으로는 해당 공개키에 매칭 [그림 2] 키 테이블 생성 과정 17

18 [그림 2]에서 언급된 암호화에 사용되는 핵심 정보 3가지는 4바이 트 SEED 값, KeyTable_A[0x40], KeyTable_B[0x100] 이며, 최초 4바이트 크기의 SEED 값으로부터 이후 정보들이 순차적으로 만들 어지는 구조를 갖는다. 키 생성 과정의 최상위에 위치하는 SEED 값 은 감염 시점의 시스템 시간(SystemTime) 정보 중에서 시(wHour), 분(wMinute), 초(Second), 밀리초(Millisecond)를 이용하여 얻어지 며, 이 SEED 값으로부터 0x40바이트 크기의 KeyTable_A[0x40] 데 이터가 생성된다. 바로 이 부분에서 제작자가 의도하지 않은 취약성 이 존재하며, SEED 값이 동일하면 매번 동일한 KeyTable_A[0x40] 가 생성되는 구조를 갖는다. 최종 블록 단위의 암호화에 사용되는 KeyTable_B[0x100]의 데이터와 원본 파일로부터 읽은 블록과의 XOR(배타적 논리합)을 통해 암호화가 수행된다. 3. 키 테이블 생성 함수 크립트엑스엑스엑스 랜섬웨어에서 파일 암호화 시 사용되는 핵심 정 보 3가지의 생성 함수는 다음과 같다. (1) SEED 값 생성 [그림 4]는 SystemTime 정보를 통해 4바이트 크기의 SEED 값을 생 성하는 함수를 나타낸다. 즉, SEED 값이 동일하면 매번 생성되는 최종 키 테이블 정보가 동일 한 점과 암호화 방식이 XOR이라는 2가지 포인트를 바탕으로 복구 대 상 파일의 Magic 정보가 존재한다면, 역으로 키를 유추할 수 있는 구 조다. [그림 3]은 SEED 값이 0x02978CAC일 때, 생성되는 키 테이블 A, B의 예를 나타낸다. [그림 4] SEED 값 생성 함수 (2) 키 테이블(A) 생성 [그림 5]는 SEED 값을 바탕으로 0x40바이트 크기의 키 테이블을 생 성하는 함수이며, do-while 문을 통해 생성되는 0x40바이트 크기의 데이터가 SEED 값이 동일하면 동일한 형태로 생성되는 취약성이 존 재하는 부분이다. [그림 3] 키 테이블 A, B 예제 KeyTable_A[0x40] 데이터가 생성되는 방식은 다음의 2가지 기본 테 이블 중, 델파이 랜덤(Delphi Random) 함수를 통해 얻은 랜덤값을 바탕으로 하나의 값이 선택되어 구성되는 구조를 갖는다. (1) "QWERTYUIOPASDFGHJKLZXCVBNM<>:\?!@$%^&*()_+~ (2) "qwertyuiop[]asdfghjkl;zxcvbnm,./` =" 크립트엑스엑스엑스는 총 2번의 델파이 랜덤 함수를 사용하여 아래 의 Index(A)와 Index(B)를 얻게 된다. 이때 Index(A)는 위 기본 테이 블 중 하나를 선택하기 위한 목적으로, Index(B)는 선택된 테이블의 데이터 중 하나를 선택하기 위한 목적으로 사용된다. Index(A): DelphiRandom(3) - 0 ~ 2 범위의 랜덤 값 생성(0, 2인 경우 -> (1)번, 1인 경우 -> (2)) Index(B): DelphiRandom(44) - 0 ~ 43 범위의 랜덤 값 생성 예를 들어 Index(A) == 0이고, Index(B) == 3이면, R 문자열이 선택 된다. [그림 5] 키 테이블(A) 생성 함수 (3) 키 테이블(B) 생성 [그림 6]은 키 테이블(A)로부터 0x100바이트 크기의 최종 키 테이블 (B)가 생성되는 함수를 나타낸다. 이 키 테이블 정보는 1바이트 단위 의 블록 단위의 암호화 시 XOR 키 값으로 사용된다. 18

19 [그림 7]은 크립트엑스엑스엑스 복구 툴에서 파일 복구를 위해 이루 어지는 과정을 나타낸 것이다. 구조상 첫 번째 파일을 복구하는 데 오 랜 시간이 소요되며, 이후 파일부터는 빠르게 복구가 가능하다. [그림 7] 크립트엑스엑스엑스 복구 과정 [그림 6] 키 테이블(B) 생성 함수 4. 복구 방식 시, 분, 초, 밀리초 정보를 통해 계산되는 SEED 값의 범위는 다음과 같다. - 최소값: 00:00:00:0000 -> 0, 최대값: 23:59:59:999 -> 0x5265bff 사용자마다 그리고 암호화된 파일마다 서로 다른 SEED 값을 유추하 기 위해 0 ~ 0x5265bff 범위의 SEED를 순차적으로 선택하며, 이를 바탕으로 암호화에 사용된 키 테이블을 생성하거나 복호화를 시도 한다. 첫 번째 블록에 대한 복호화를 통해 파일의 고유한 식별 정보 (Magic)가 확인되면, 유효한 SEED 값으로 판단하고 전체 파일에 대 한 블록 단위의 복구를 시도한다. 우선 첫 번째 파일이 복구에 성공하 면, 두 번째 파일부터는 SEED의 범위를 제한하여 좀 더 빠른 복구가 가능하도록 했다. 이러한 설정은 복구 대상 파일들이 동일 시간대에 감염된 형태가 대부분일 것으로 가정하여 이루어진 것으로, 복구 대 상 파일들이 서로 다른 시스템에서 다른 시간대에 수집된 형태의 경 우, 복구 시간이 더 오래 걸리는 특징을 갖는다. 5. 복구 대상 리스트 복구 툴을 통해 복구 가능한 크립트엑스엑스엑스 버전은 2.x로 제한 적이며, 우선 다음의 확장자들에 대한 복구가 가능하도록 제작되었 다. 특히, 국내 사용자들이 많이 사용하고 있으나 기존 복구 툴이 지 원하지 않는 한글 파일(HWP)의 복구가 가능하다. 이 외에도 원본 파 일의 고유한 식별 정보만 알 수 있다면, 복구가 가능한 구조이기 때문 에 추후 복구 대상으로 추가될 수 있다. CHM, AI, HWP, PDB, PDF, RTF, HTM, HTML, PHP, XML, DWG, PS, WSF, KEY, CSR, CRT, WAV, MP3, OGG, WMA, WMV, AVI, ASF, MP4, MOV, MID, MPG, FLV, PNG, GIF, BMP, TIF, JPG, JPEG, ZIP, RAR, BZ2, 7Z, GZ, JAR, APK, TGZ, ODS, DOC, DOT, PPT, POT, PPS, XLS, XLT, DOCX, DOCM, DOTX, DOTM, PPTX, PPTM, POTM, POTX, PPSM, XLSX, XLSB, XLSM, XLTM, XLTX, EPS, ISO, SQLITE3, MDB, MSI, APP, FDB, ACCDB, SLN, CLASS, VCXPROJ 6. 복구 툴 경로 안랩은 크립트엑스엑스엑스 랜섬웨어 2.x 버전에 대한 복구 툴을 랜 섬웨어 보안센터를 통해 무료로 제공하고 있다. 안랩 랜섬웨어 보안센터 바로가기 19

20 FOCUS IN-DEPTH Compliance 꼭 챙겨야 할 개인정보보호 법령 별점으로 살펴본 개정 개인정보보호 관련 법령 지난 3월 8일 발간된 월간 안 2016년 3월호에 2016년에 챙겨봐야 할 개인정보보호 법령 5가지 란 제목으로 개인정보보호 법령에 대 해 소개한 바 있다. 이후 3월 22일과 29일에 정보통신망법과 개인정보보호법이 또 개정되어 2016년에 챙겨야 할 법령이 더 늘어났다. 이번 호에서는 두 가지 법의 개정사항의 중요도를 별점으로 매겨가며 정리하고자 한다. 단, 중요도의 기준은 필자의 주관에 따른 것이므 로 참고만 하는 것이 좋겠다. 개정된 내용 중 기업과 관련이 적은 사항은 따로 적지 않았다. 1. 개인정보보호법 1) 정보주체 이외로부터 수집한 개인정보의 수집 출처 고지 의무화 중요도 업무영향도 대응업무부하 처 벌 3,000만 원 이하의 과태료 따르릉~ 여보세요? 홍길동 고객님이시죠? 여기는 보험사인데 요~ " 알지도 못하는 보험사로부터 이런 전화를 받아 본 경험이 혹시 있었는지 모르겠다. 어디서 내 전화번호를 입수한 것인지 물어보면 정 확히 대답하지 않거나 얼버무리는 경우도 많다. 개정안이 시행되는 9 월 30일부터 이런 식의 연락은 더 이상 받지 않게 될 것 같다. 일정 규 모 이상이 되는 기업(5만 명 이상의 민감 정보 또는 고유식별정보 처 리, 100만 명 이상의 개인정보처리)이 정보주체로부터 직접 수집하지 않고 개인정보를 처리할 때는 반드시 1정보수집출처 2개인정보처리 목적 3개인정보 처리정지 요구권이 있다는 사실을 최초 수집 후 3개 월 이내에 정보주체에게 고지해야만 하기 때문이다. 불법으로 입수한 개인정보라면 애초에 고지도 못할 테지만 적법하게 제공받은 경우라 하더라도 고객에게 일일이 고지하기란 큰 부담이 될 것이다. 고객이 제 3자 제공 동의를 해서 개인정보를 제공했다는 사실을 증명하라고 요구 하면 그 또한 큰일이다. 필자 견해로는 이 개정안에 대한 대응이 본 기 사를 통틀어 제일 큰일일 듯 싶다. 기업에서 대응해야 할 업무 절차 1. 법 시행 시점 이후 수집 보유 중인 개인정보 중 정보주체에게 직접 입수한 것이 아닌 개인정보 식별(정보주체 외 입수 경로, 제3자 제공 동의 여부 확인) 2. 1.에서 식별된 개인정보 중 연락처가 있는 개인정보 식별 3. 2.에서 식별된 정보주체에게 개인정보 수집 및 이용 사실 고지(파기요청 수집) *구체적인 고지 시기, 방법은 시행령이 나와야 알 수 있음 4. 3.의 절차에서 파기 요청 시 파기 시행 2) 민감정보의 안전성 확보조치 명시적 요구 중요도 업무영향도 대응업무부하 처 벌 - 미이행 시 3,000만 원 이하의 과태료 - 미이행 상태에서 유출 사고 발생 시 2년 이하의 징역 또는 2,000만 원 이하 의 벌금 민감정보란 개인의 사상 신념, 노동조합 정당의 가입 탈퇴, 정치 적 견해, 건강, 유전 정보나 범죄 경력처럼 사생활을 현저히 침해할 우려가 있는 정보를 말한다. 기존에도 고유식별 정보와 더불어 수집 이용하지 않는 것이 원칙이고 별도의 동의를 얻어 처리해야 하며 안 전성확보 조치를 통해 보호해야 할 대상이었다. 이번 개정안에서는 민감정보에 대한 안전성 확보 조치를 명시적으로 요구하고 있을 뿐 기업 입장에서 달리 조치해야 할 사항은 없어 보인다. (기존 법에 따 라 잘 조치하고 있었을 경우에는 그렇다는 뜻이다.) 3) 개인정보처리방침과 개인정보취급방침 구성 요건 동기화 중요도 업무영향도 대응업무부하 처 벌 해당 없음 기업에서 대응해야 할 업무 절차 1. 보유 중인 개인정보 중 민감정보 식별 2. 1.에서 식별된 민감정보에 대한 안전성 확보 조치 수준 점검 3. 2.절차에서 법 기준에 미흡한 경우 보완 조치 이행 개인정보보호법의 개인정보처리방침 은 정보통신망법(이후 정통망 법 )의 개인정보취급방침 과 이름도 다르고 구성 요건에도 약간의 차 이가 있었다. 이번 개정안에서는 방침 구성 내용에 정통망법 일부 사 20

21 항을 반영하여 유사한 구조를 갖추도록 했으며 정통망법 또한 개인 정보처리방침 으로 명칭을 변경함으로써 개인정보보호법과 일원화할 수 있게 되었다. 개인정보보호법 개인정보처리방침에 추가된 사항은 다음과 같다. 와는 다른 사항이므로 동의 절차를 새롭게 설정해야 할 가능성이 높 다. 이런 동의와 철회 방법에 대한 구현 책임은 이동통신단말장치 소 프트웨어 제조업자와 공급자에게 부과하고 있으며 위반 시 과태료 처 벌을 할 수 있도록 되어 있다. 6. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항 을 처리하는 부서의 명칭과 전화번호 등 연락처 7. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치 운영 및 그 거부에 관한 사항(해당하는 경우)에만 정한다. 2. 정보통신망 이용촉진 및 정보보호 등에 관한 법(이하 정 통망법) 1) 정보주체의 이동통신 단말장치 내 정보 및 기능에 대한 접근 시 동 의절차 의무화 중요도 업무영향도 대응업무부하 처 벌 3,000만 원 이하의 과태료 - 반드시 필요하지 않은 접근권한 설정에 정보주체가 동의하지 않는다는 이유 로 서비스 제공을 거부할 경우 - 접근권한에 대한 동의 및 철회방법을 마련하는 등 조치를 하지 않은 경우 스마트폰 메신저 앱을 생각해 보자. 메신저 앱의 핵심적인 기능은 다 른 사람과 메시지를 주고받는 것이다. 메신저를 편히 쓰려면 연락처 를 일일이 입력하기보다는 스마트폰에 있는 연락처 정보를 이용하는 게 필요할텐데 개정된 법은 그렇게 메신저 앱이 서비스를 이용하기 위해 스마트폰에 저장된 정보에 접근할 경우에 반드시 정보주체의 동 의를 받아야 한다는 것이다. 제22조의2(접근권한에 대한 동의) 1 정보통신서비스 제공자는 해당 서비스를 제공하기 위 하여 이용자의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신 단말장치에 설치된 기능에 대하여 접근할 수 있는 권한(이하 접근권한 이라 한다)이 필요한 경우 다음 각 호의 사항을 이용자가 명확하게 인지할 수 있도록 알리고 이용자의 동의를 받아야 한다. 1. 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한인 경우 가. 접근권한이 필요한 정보 및 기능의 항목 나. 접근권한이 필요한 이유 핵심 서비스를 위해 필요한 정보나 접근권한에도 동의를 받으라고 하 는 상황인데 그 외의 목적이라면 당연히 동의를 요구할 수밖에 없다. 이 경우에는 사용자가 동의를 거부할 권한이 있고 동의를 안했다고 해서 기업이 서비스 제공을 거부할 수 없도록 하고 있다.(거부하면 과 태료 처벌을 받을 수 있다.) 2. 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우 가. 접근권한이 필요한 정보 및 기능의 항목 나. 접근권한이 필요한 이유 다. 접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실 2 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 반드시 필요하지 아니한 접근 권한을 설정하는 데 이용자가 동의하지 아니한다는 이유로 이용자에게 해당 서비스의 제공 을 거부하여서는 아니 된다. 이 법의 요구사항은 흔히 알고 있는 개인정보 수집이용 동의와 개념 이 다르기 때문에 기업에서도 상당한 고민과 부담이 있을 것으로 예 상된다. (예를 들면, 휴대전화에 저장된 연락처는 휴대전화 주인의 개 인정보가 아니므로 정보주체의 개인정보 수집이용 동의로 대체할 수 없다) 휴대전화 기능에 대한 접근권한 역시 개인정보 수집이용 동의 3 이동통신단말장치의 기본 운영체제(이동통신단말장치에서 소프트웨어를 실행할 수 있는 기반 환경을 말한다)를 제작하여 공급하는 자와 이동통신단말장치 제조업자 및 이동통신단 말장치의 소프트웨어를 제작하여 공급하는 자는 정보통신서비스 제공자가 이동통신단말장 치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근하려는 경우 접근 권한에 대한 이용자의 동의 및 철회방법을 마련하는 등 이용자 정보 보호에 필요한 조치를 하여야 한다. 기업에서 대응해야 할 업무 절차 1. 운영/개발 중인 모바일 앱(App) 현황 파악(앱이 설치된 모바일 기기 내 이용 정보 및 기 능 내역) 2. 1.에서 식별된 모바일 기기 내 정보 및 기기에 대해 서비스 이용에 필수/선택 항목 식별 3. 모바일 앱 설치 시 동의/이용 중 철회 절차 검토 및 보완 1) 필수항목과 선택항목의 구분 2) 법 제22조의2제1항1호,2호의 사항을 고지사항에 반영 4. 이용자 정보 보호에 필요한 기타 조치 사항 반영 5. 3.과 4.에서 도출된 사항을 모바일 앱에 적용 업데이트 6. 기존 운영 중인 앱의 경우 고객에게 업데이트 고지(동의 또는 재동의 절차 적용) 2) 개인정보 처리업무 수탁자가 재위탁할 경우 원 위탁자의 동의를 받 는 경우에만 가능함 중요도 업무영향도 대응업무부하 2,000만 원 이하의 과태료 처 벌 - 수탁자가 위탁자의 동의 없이 재위탁을 한 경우 이번 정통망법 개정안에서는 개인정보 처리 위탁 관련 조항이 특히 많이 수정되었다. 대부분 용어가 취급 에서 처리 로 바뀐 사항이 많 고 일부 조항은 개인정보보호법과 동일한 수준으로 바뀌었다. 예컨대 수탁자에 대한 관리 감독 책임에 교육 을 별도로 명시한다거나 수탁 자에게 위탁을 할 경우에는 문서에 의하여야 한다는 내용들이 그러하 다. 개인정보보호법보다 조금 엄격하게 느껴질 만한 것은 제25조 7 항으로 수탁자의 재위탁은 위탁자로부터 동의를 받은 경우에 한한다 는 내용이다. (개인정보보호법은 시행령 제28조에서 재위탁 제한에 관한 사항 을 위탁 시 작성해야 할 문서에 기재하도록 하고 있다.) 7 수탁자는 개인정보 처리위탁을 한 정보통신서비스 제공자 등의 동의를 받은 경우에 한 하여 제1항에 따라 위탁받은 업무를 제3자에게 재위탁할 수 있다. <신설 > 기업에서 대응해야 할 업무 절차 1. 수탁자의 경우 위탁받은 개인정보의 처리 업무 중 재위탁 현황 파악 2. 재위탁 사실이 있고 위탁자의 동의 증적이 없는 경우 파악 3. 2.에서 파악된 미동의 재위탁 건에 대해 위탁자에게 고지 및 동의 확보 3) 전화 권유 판매 시 개인정보 수집출처 고지 의무 부과 중요도 업무영향도 대응업무부하 처 벌 3,000만 원 이하의 과태료 정통망법에 따르면 전자적 전송매체를 이용하여 영리목적의 광고성 정 보를 전송할 때 수신자의 명시적인 사전 동의를 받아야만 한다. 사전 동의를 받지 않을 수 있는 예외가 두 가지 있는데 방문판매 등에 관한 21

22 법률 에 따른 전화 권유 판매자가 육성으로 전화 권유를 하는 경우가 그 중 하나였다. 개정 법에서는 수신자에게 개인정보의 수집출처를 고 지하고 라는 조건이 추가됨으로써 한결 까다로워졌다. 기업에서 대응해야 할 업무 절차 1. 전화 권유 판매 시 정보주체 사전 동의 획득 여부 확인 2. 사전동의 미 획득 케이스인 경우, 개인정보 수집출처 확인 3. 개인정보 수집출처가 확인되지 않은 경우, 개인정보 이용 중지 4. 개인정보 수집출처가 확인된 경우, 수집출처를 고객에게 고지하고 전화 권유 판매 4) 개인정보의 국외 이전 유형에 따른 동의 요건 완화 5) 노출된 개인정보의 삭제 차단 조치 의무화 중요도 업무영향도 대응업무부하 처 벌 없음 웹사이트에서 시험 합격자 명단 등을 공개할 때 관리자의 부주의로 주 민번호와 같은 고유식별정보를 포함시키는 일이 종종 발생하곤 한다. 기존 법령에서도 개인정보의 노출을 통제할 책임은 정보처리자에게 부 여하고 있으나 이번 개정안에서는 별도의 조항으로 명시함으로써 책임 성을 부각하고 있다. 관련 처벌이 따르지 않아 규범적 조항인 점이 그 나마 다행스럽다. 중요도 업무영향도 대응업무부하 처 벌 - 2,000만 원 이하의 과태료: 공개나 고지 없이 개인정보를 국외에 처리위탁, 보관한 경우 - 과징금 부과: 정보주체의 동의 없이 개인정보를 국외에 제공한 경우 모처럼 개인정보보호 담당자한테 반가운 개선 조항이 생겼다. 개인정 보의 국외 이전은 정통망법에서 논란이 되던 문제였다. 개인정보보호 법은 국외에 제3자 제공할 경우만 정보주체의 동의 받으라고 되어 있 는데 정통망법에선 이전 할 때 동의를 받으라고만 되어 있었기 때문에 제3자 제공과 위탁의 경우를 달리 적용하기 어려웠던 것이다. 개정안 에서는 국외로 이전하려면 이라고 되어 있던 조항을 국외에 제공(조회 되는 경우를 포함한다) 처리위탁 보관(이하 이 조에서 이전 이라 한 다)하려면 이라고 풀어서 표현하고 다만, 정보통신서비스의 제공에 관 한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서 제3항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자 우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는 개인정보 처리위탁 보관에 따른 동의절차를 거치지 아니할 수 있다. 라 는 단서 조항을 더 함으로써 국외 이전의 경우에도 위탁업무일 경우엔 동의 받지 않고 처리할 수 있도록 하였다. (개인정보보호법과 일치시킨 셈이다) 기업에서 대응해야 할 업무 절차 1. 개인정보의 해외 이전 유형 식별(제공/처리위탁/보관) 2. 이전 유형 중 '처리위탁/보관'의 경우 고지/공개 여부 확인 3. 이전 유형 중 '제공'의 경우 동의 여부 확인 4. 2, 3단계에서 미흡 사항 발견 시 개선 조치 제32조의3(노출된 개인정보의 삭제 차단) 1 정보통신서비스 제공자 등은 주민등록번호, 계좌정보, 신용카드정보 등 이용자의 개인정보가 정보통신망을 통하여 공중에 노출되지 않 도록 하여야 한다. 기업에서 대응해야 할 업무 절차 1. 시스템 내 개인정보 노출 현황 파악 (노출정보유형/목적/노출기간/주관부서 등 현황 파악) 2. 노출된 고유식별정보 및 금융정보 발견 시 삭제 또는 보호(마스킹 등) 조치 3. 1~2의 반복적 이행 가급적 시스템화하는 것이 바람직함 6) 기타 사항 이상 중요한 사항은 짚어 보았고 다른 사항은 대부분 개인정보보호법 과 균형을 맞추기 위한 내용들이다. 개인정보관리책임자 란 용어는 개인정보보호법과 마찬가지로 개인정보보호책임자 란 용어로 바뀌 었고, 처벌 수준에 있어서도 주요 법 위반 시 위반행위에 관련된 이익 의 몰수 추징 조항이 신설되었다. 내용의 파급력으로 보자면 충격이 클 수도 있는 제32조 제2항의 징벌적 손해배상도 이미 개인정보보호 법에 들어간 내용이기 때문에 기업 입장에서 새롭게 고민할 사항은 적을 듯하다. 2 정보통신서비스 제공자 등의 고의 또는 중대한 과실로 인하여 개인정보가 분실 도난 유출 위조 변조 또는 훼손된 경우로서 이용자에게 손해가 발생한 때에는 법원은 그 손 해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다. 다만, 정보통신서비스 제공자 등이 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다. <신설 > 전기통신사업자와 정보통신서비스 제공자를 대상으로 하는 정보통신 망법과 일반법으로 적용되는 개인정보보호법은 개인정보보호의 규준 을 이루는 양대 법률이다. 기업 입장에선 지나치게 자주 개정되어 정보 보호 업무 부담을 더하는 측면도 있다. 하지만 이번 개정안은 두 법의 용어와 조항, 처벌 수준 등을 통일함으로써 법 적용을 돕는 긍정적인 면이 훨씬 많을 듯하다. 아무쪼록 이번 개정안이 적극 반영되어 사회 전반에서 더욱 안전한 개인정보보호 환경이 갖추어지기를 기대한다. 22

23 IT & LIFE 내 아이를 지키는 디지털 페어런팅 스티브 잡스가 자녀에게 아이폰, 아이패드와 같은 디지털 기기의 사용을 허락하지 않았다는 건 잘 알려진 사실이다. 드론을 만드는 3D 로보틱스 CEO 크리스 앤더슨은 아이들이 사용하는 전자 기기의 사용 시간을 제한하고 부모가 통제할 수 있는 장치를 부착했다고 한 다. 그는 테크놀로지의 위험을 잘 알고 있으며 아이들에게 그런 일이 일어나는 것을 원치 않는다 며 그 이유를 설명했다. 이들의 자녀 교육법이 전적으로 옳다고 말할 수는 없지만, 어릴 때부터 디지털 기기 사용이 너무나 익숙한 우리 자녀들의 모습은 한 번쯤 돌아볼 필 요가 있다. 어릴 때부터 각종 디지털 기기의 사용이 능숙한 디지털 키즈(Digital kids) 인 우리 자녀들을 위한 똑똑한 디지털 페어런팅(육아법) 을 소개한 다. 식당이나 카페에서 어린 자녀에게 스마트폰은 보여주고 있거나, 자녀가 어린이날 선물로 스마트폰을 사달라고 조르는 경우, 스마트폰 게임 이나 SNS에 빠져 있는 자녀 때문에 걱정인 부모들에게 필요한 자녀의 연령에 맞는 디지털 페어런팅이다. 자녀가 성숙한 디지털 기기 사용 습 관을 기를 수 있도록 도와주는 것은 부모가 반드시 해야 하는 역할 중 하나다. 0~3세 영유아기: 스마트폰 잠시 건네는 것도 안 돼 이제 걸음마를 시작할 법한 아이가 스마트폰에 집중해 있는 모습을 본 적이 있을 것이다. 우는 아이를 달래기 위해서, 식당이나 카페에서 아이를 조용히 앉혀놓을 요량으로 부모는 어린 자녀의 손에 스마트폰 을 쥐여준다. 하지만 전문가들은 이 시기의 아이에게 디지털 기기를 노출시키는 건 안 된다 고 입을 모은다. 영유아 스마트폰 증후군 등 의 부작용이 우려되기 때문이다. 영유아 스마트폰 증후군 이란, 6세 미만의 아이들이 영상, 게임 등의 지속적인 자극에 오랜 시간 노출되어 우뇌가 발달해야 하는 시기에 좌뇌가 지나치게 발달해 좌 우뇌의 균형이 틀어지는 것을 말한다. 영아기 아이는 우뇌가 먼저 발달하는데 엄마의 표정, 목소리, 눈짓, 몸짓을 이미지로 기억해 엄마의 의도를 파악한다. 그다음 좌뇌가 발달하는데 좌뇌가 발달하기 시작하면 언어 발달이 이루어진다. 그런데 이 시 기에 과도하게 스마트폰에 노출되면 우뇌가 충분히 발달하지 않은 상태에서 좌뇌가 발달하게 된다. 우뇌가 제대로 발달하지 못하면 감정을 담당하는 뇌 발달에 영향을 줄 수 있는데 이는 다른 사람의 마음을 헤아리는 능력, 다른 사람과 생각이 나 느낌을 주고 받는 능력, 사고력, 감정 조절력 부족으로 이어질 수 있다. 우는 아이를 달래려고, 부모가 편하게 밥을 먹기 위해서, 흥미로운 자극을 주고 싶다는 이유로 이 시기 아이에게 건넨 스마트폰은 아이의 뇌에 치명적인 후유증을 남길 수 있음을 기억해야 한다. 3~6세 유아기: 부모의 통제 하에 사용해야 전문가들은 이 시기 아이에게도 디지털 기기의 사용을 권장하지는 않는다. 하지만 현실적으로 쉽지 않다면 차선책을 선택해야 한다. 부모가 디 지털 기기의 이용 시간 및 콘텐츠 등에 대해 확실한 기준을 갖고 있어야 한다. 하루 30분 이상 넘기지 않으며, 아이가 좋아하는 애니메이션 영상 과 동요 율동 영상만 본다 는 식으로 말이다. 아이의 손에 스마트폰을 맡겨버리면 의도하지 않은 영상에까지 노출될 우려가 있으니 주의해야 한다. 약속한 시간 외에는 스마트폰을 아이의 손에 닿지 않는 곳에 두는 것이 좋다. 이를 위해서는 부모 역시 스마트 기기 사용을 절제할 수 있어야 한다. 아이들은 부모를 롤 모델로 삼아 그 태도와 습관을 배우기 때문이다. 하지만 이 시기 아이가 스마트폰을 보여 달라고 강하게 떼를 쓰는 등 통제가 되지 않을 때는 당분간 아예 아이에게서 스마트폰을 분리하는 것이 효과적이다. 스마트폰이 아닌 다른 방법으로 아이와 시간을 보 내는 법을 고민하는 것은 부모의 몫이다. 23

24 6~10세 미만: 디지털 기기 사용 가이드라인에 대해 설명해줘야 부모가 디지털 기기 사용 시간 및 사용 및 목록의 한계에 대한 가이드라인을 정하고 이에 대해 아이가 이해할 수 있도록 설명해주는 것이 좋 다. 가이드 라인을 정할 때 아이의 생각을 들어보고 반영하는 것도 방법이다. 디지털 기기 사용 가이드라인이 지켜질 수 있도록 온 가족이 노력 해야 함은 물론이다. TV를 보고, 스마트 기기를 가지고 노는 것 자체가 문제가 될 수도 있지만 이로 인해 친구들과 뛰어놀며 신체활동을 하는 즐거움을 빼앗기지 않도록 하는 것도 중요함을 잊지 말아야 한다. 10세 이상의 초등학생: 스스로 규칙을 정하고 지킬 수 있도 록 동기 부여 부모들의 고민 중 하나는 아이에게 스마트폰을 언제 사줄 것인가 다. 아이의 하교 후 학원에서 학원으로 이동할 때마다 연락을 주고받기 위해 휴대전화가 필요할 수도 있다. 요즘은 초등학교 입학과 함께 스 마트폰을 사주는 가정도 많다. 친구들도 다 있다며 사달라고 떼를 쓰 는 아이의 마음도 이해 못 하는 바 아니지만 자녀에게 스마트폰을 사 주는 적당한 시기는 부모가 잘 판단해야 한다. 아이가 스마트폰 사용 규칙을 지킬 수 있을 만큼 성숙한 상태여야 한다는 의미다. 하고 싶어 도 참을 수 있는 절제력과 충동조절능력, 좌절인내력이 바탕이 돼야 만 스스로 규칙을 지킬 수 있다. 자녀와 함께 TV, 컴퓨터, 스마트폰 등에 대한 이용 규칙을 정하고 스스로 통제할 수 있도록 동기를 부여해주는 것이 좋다. 만약 약속을 어겼을 경우 벌칙도 명확히 해둔다. 예를 들어 주말에만 컴퓨터 게임을 하기로 했는데 어겼다면 다음 주말 컴퓨터 이용 시간을 줄이는 식이다. 초등학 교 3~4학년만 돼도 아이들은 SNS에 흥미를 느끼기 시작한다. 이때 부모는 아이가 어떤 게시물을 올리고 다운로드하는지 관심을 가질 필요가 있다. 인터넷상에 올린 글이나 영상은 쉽게 공유될 수 있으며 지우는 것도 쉽지 않다는 점에 대해서도 알려줘야 한다. 중 고등학생: 자율성 존중하되, 방치해선 안 돼 스마트폰 그만하고 공부해! 와 같은 강압적인 지시는 되레 부작용을 낳을 수 있다. 중 고등학생의 자녀와의 디지털 페어런팅에서 가장 중요한 것은 자율성을 존중하되, 방치해서는 안 된다는 점이다. 아이가 적당히 조절하며 디지털 기기를 사용하고 있다면 문제 없지만, 걱정할 정도로 몰 입돼 있는 상황이라면 가정의 디지털 페어런팅 방식을 다시 점검해봐야 한다. 과몰입 상태는 적절한 교육으로 가정에서 바로 잡을 수 있지만, 중 독의 수준이라면 상황이 달라진다. 이런 경우 아이가 디지털 기기에 빠진 원인을 찾고 이를 해결하기 위해 전문가 상담 및 치료를 받아야 한다. 구글, 애플, 마이크로소프트 등 글로벌 IT 기업의 자녀들이 많이 다니 는 실리콘밸리에 발도로프 학교에는 컴퓨터가 없다. 스크린 보드, 빔 프로젝터 등의 멀티미디어 기기도 없으며 연필과 종이, 분필 등을 이 용한 아날로그식 수업이 진행된다. 이들은 우리나라 나이로 중학교 3 학년이 되는 8학년이 돼서야 컴퓨터를 서서히 배우기 시작한다. 학생 들이 학교에 디지털 기기를 가져올 수도 없다. 디지털 세상이 아이를 아프게 한다 의 저자인 신의진 정신과 박사는 언제 자녀가 스마트폰 을 사용하면 좋냐 는 질문에 늦을수록 좋다 고 답한다. [그림 1] 컴퓨터가 없는 발도로프 학교에 대해 다룬 뉴욕타임즈 기사 (*출처 : 우리 자녀 세대는 지금 우리보다 훨씬 더 디지털 기기와 가깝게 지낼 것이다. 시대가 변하고 있기 때문이다. 더 흥미로운 기기들이 쏟아질 것이고 그에 맞는 교육 및 놀이 앱이 넘쳐날 것이다. 하지만 시대가 변해도 변하지 않는 것은 존재한다. 부모가 자녀와 디지털 생활에 대 해 이야기를 나눌 수 있는 환경은 신뢰를 바탕으로 한 그들의 아날로 그 생활에서의 환경이 조성하는 법이다. 가족과 함께 서로의 디지털 생활에 대한 이야기를 나눠보는 시간을 갖는 것은 어떨까? 참고 자료 신의진(2013). 디지털 세상이 아이를 아프게 한다. 북클라우드 구본권(2014). 당신을 공유하시겠습니까?. 어크로스 24

25 STATISTICS 보안 통계와 이슈 안랩, 4월 악성코드 통계 및 보안 이슈 발표 파일 속성 변경하는 리눅스 악성코드 등장 안랩 시큐리티대응센터(이하 ASEC)는 최근 ASEC Report Vol.76를 통해 지난 2016년 4월의 보안 통계 및 이슈를 전했다. 지난 4월 의 주요 보안 이슈를 살펴본다. ASEC이 집계한 바에 따르면, 2016년 4월 한 달간 탐지된 악성코드 수는 1,156만 4,967건으로 나타났다. 이는 전월 1,321만 2,012건에 비해 164만 7,045건 감소한 수치다. 한편 4월에 수집된 악성코드 샘 플 수는 324만 5,837건이다. 40,000,000 30,000, % 0.72% 3.47% 16.8% 59.48% 19.39% 20,000,000 10,000,000 13,212,012 11,830,547 11,564,967 PUP etc Trojan Worm Adware Downloader [그림 2] 2016년 4월 주요 악성코드 유형 6,000,000 5,000,000 4,000,000 3,000,000 2,000,000 지난 4월 한 달간 탐지된 모바일 악성코드는 24만 7,847건으로 집계 됐다. 700, ,000 1,000,000 3,493,468 2월 3,548,581 3월 3,245,837 4월 500, , ,301 탐지 건수 샘플 수집 수 300, , ,847 [그림 1] 악성코드 추이(2016년 2월~2016년 4월) 200,000 [그림 2]는 2016년 4월 한 달간 유포된 악성코드를 주요 유형별로 집 계한 결과이다. 불필요한 프로그램인 PUP(Potentially Unwanted Program)가 59.48%로 가장 높은 비중을 차지했고, 트로이목마 (Trojan) 계열의 악성코드가 16.8%, 웜(Worm)이 3.47%의 비율로 그 뒤를 이었다. 100, 월 3월 [그림 3] 모바일 악성코드 추이(2016년 2월 ~ 2016년 4월) 4월 25

26 또한 지난 4월 악성코드 유포지로 악용된 도메인은 648개, URL은 2,216개로 집계됐다. 4월의 악성 도메인 및 URL 차단 건수는 총 637 만 3,536건이다. 이와 같은 경우 lsattr 명령을 통해 해당 파일의 속성을 조회하면 [그 림 7]과 같이 i 속성이 추가되어 있음을 확인할 수 있다. 9,000,000 8,000,000 [그림 7] 파일 속성 조회 7,000,000 6,355,582 7,157,616 6,373,536 이처럼 i 속성이 추가되어 있는 경우에는 [그림 8]과 같이 루트 권한 으로 chattr 명령을 통해 해당 파일의 속성을 변경한 후, 다시 삭제 6,000,000 를 시도하면 해당 파일이 정상적으로 삭제된다. 5,000,000 4,000,000 [그림 8] 파일 속성 변경 후 제거 시도 40,000 파일의 속성 추가(chattr)는 +[추가할 속성], 제거는 [제거할 속성] 30,000 을 통하여 수행할 수 있으며, -R 옵션을 추가로 부여하는 경우에는 20,000 하위 디렉터리까지 모두 포함되어 적용된다. 이는 윈도우(Windows) 운영체제의 attirb 명령과 유사하다. 10, , 월 8,146 1,587 3월 2, 월 [명령어 예시 (i, S 속성 추가)] chattr + is samples [파일 속성명 중 일부] [설명] 악성 도메인/URL 차단 건수 악성코드 유포 도메인 수 악성코드 유포 URL 수 a (CAP LINUX IMMUTABLE capability) 추가 작성만 가능. 삭제 불가 [그림 4] 악성코드 유포 도메인/URL 탐지 및 차단 건수(2016년 2월 ~ 2016년 4월) I (CAP LINUX IMMUTABLE capability) 삭제, 변경, 링크 파일 생성 등 리눅스 악성코드 빌게이츠 봇넷 발견 최근 리눅스(Linux) 운영체제에서 감염 시스템의 정보 수집, 시스 템 파일 교체, DDoS 공격 등을 수행하는 빌게이츠 봇넷(BillGates botnet) 이 발견됐다. 해당 악성코드는 감염 시스템 내에서 속성이 변 경되어 삭제가 불가능해 리눅스 사용자들의 피해가 우려된다. 빌게이츠 봇넷은 서버에 침입 후 파일의 속성을 변경하여 악성코드를 삭제할 수 없도록 설정한다. 리눅스 시스템에서 악성코드 감염에 의 해 파일 속성이 변경된 경우, 이를 삭제할 수 있는 방법을 자세히 살 펴보자. 먼저 공격자가 파일의 속성을 변경한 후 [그림 5]와 같이 삭제 시도를 하면 실행이 허가되지 않았다(Operation not permitted) 라는 메시 지가 출력되며 해당 파일이 삭제되지 않는다. [그림 5] RM 명령어를 통한 삭제 시도 이때 만일 관리자가 파일이 삭제되지 않는 원인을 파일 권한 문제라 고 생각하고 파일 시스템에 기록된 정보를 이용하여 루트 계정 및 inode를 제거하는 방법으로 다시 삭제를 시도하면, 마찬가지로 동일 한 메시지가 발생하며 파일이 삭제되지 않는다. S 파일이 변경되면 디스크 동기화 u 파일 삭제 시 내용 백업 [표 1] 리눅스 파일 속성 및 CHATTR 명령어 예시 이번 리눅스 악성코드 사례와 같이 파일의 속성이 변경되어 삭제가 불가한 경우가 있어 권한 뿐만 아니라 파일 속성에 대해서도 다시 한 번 확인하는 것이 필요하다. 단, 중요 파일이나 로그 파일 등은 i 나 a 속성을 적용하는 정상적인 경우도 있다. 즉, 이러한 속성이 적용되 어 있는 파일이라고 해서 모두 악성 파일은 아니므로 정확히 악성으 로 확인된 파일에 대해서만 삭제를 진행할 것을 권장한다. 최근 리눅스 운영체제를 노리는 악성코드가 꾸준히 증가하고 있다. DDoS 공격이나 백도어 등 리눅스 악성코드의 기능도 다양해지고 있 으며, 앞으로 더욱 고도화될 것으로 예상된다. 리눅스 시스템도 안전 하게 이용하기 위해서는 반드시 암호를 설정해야 하며, 최신 보안 업 데이트를 적용해야 한다. V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지하고 있다. <V3 제품군의 진단명> Linux/Backdoor B [그림 6] INODE 제거를 통한 삭제 시도 26

27 AHNLAB NEWS 현대오토에버, 우수 개발협력사 로 안랩 선정 현대자동차 그룹 IT서비스 전문업체인 현대오토에버가 최근 5스타 우수 개발협력사 로 안랩을 선정했다. 현대오토에버 우수 개발협력사 는 현대오토에버가 협력사와 공동 으로 수행한 전년도 사업의 수행 실적에 따라 1스타부터 5스타까지 우수협력사를 선정하고, 이에 따른 다양한 인센티브를 제공하는 프 로그램이다. 안랩은 현대오토에버의 개발/컨설팅 협력사로서 프로젝트 평가 및 업체 종합 평가 등에서 안정적이고 우수한 프로젝트 성과를 인정받 아 최고 등급인 5스타 우수 개발협력사로 선정됐다. 안랩 서비스 사업부를 총괄하는 방인구 상무는 안랩은 핵심가치인 고객만족 을 기준으로 맡은 사업에 대해 언제나 최선을 다하고 있다 며, 안랩을 신뢰해주시는 여러 회사와 함께 동반성장할 수 있도록 노력하겠다 고 말했다. 안랩, AWS 서밋 서울 2016 에서 클라우드 보안관제 서비스 소개 안랩이 지난달 17일 코엑스 컨벤션센터에서 열린 아마존 웹 서비 스 글로벌 서밋 서울 2016(이하, AWS 서밋 서울 2016) 에서 다양 한 산업 관계자를 대상으로 안랩 AWS 고객 원격 보안관제 서비스 를 소개했다. AWS 서밋 서울 2016은 아마존 웹 서비스가 제공하는 클라우드 컴 퓨팅 서비스에 대한 지식을 공유하고 IT 업계의 최신 기술 트렌드 등 을 소개하는 행사로, 지난해 첫 국내 개최에 이어 두 번째로 열렸다. 이번 행사에 참가한 안랩은 전용 부스를 운영하며 안랩 AWS 고객 원격 보안관제 서비스 에 대한 개별 고객 상담 및 서비스 체험 신청 등을 진행했다. 안랩 AWS 고객 원격 보안관제 서비스는 네트워크 및 웹 서비스 등에 대한 보안을 안랩의 침해대응(CERT) 전문인력이 원격으로 모니터링 및 관리해주는 서비스다. 또한, 별도 발표장에서 진행된 미니 발표 세션에서 안랩 서비스상 품기획팀 김준호 대리는 안랩 AWS 고객 원격 보안관제 서비스의 개요 및 구성을 비롯하여 탐지를 넘어 위협 분석까지 제공하는 침해사고 대응 프로세스 미디어사, O2O(Online to Offline, 온오 프라인 연결) 서비스, 제조 분야의 실제 고객 사례를 통한 다양한 산업별 서비스 적용 방안 등 안랩 AWS 고객 원격 보안관제 서비 스 의 개념과 강점을 소개했다. 안랩 김준호 대리는 안랩은 AWS 고객 원격 보안관제 서비스 를 지난 1월 출시한 이후 약 4개월 여 만에 이미 복수의 대형 고객사 를 확보하는 등 검증된 서비스를 제공하고 있다 며 이는 많은 고객 사에서 단순 탐지를 넘어 위협 분석 및 대응까지 가능한 안랩의 전 문성을 인정한 것으로 볼 수 있다 고 강조했다. 안랩은 AWS 서밋 서울 2016 행사에서 전용 부스와 발표 세션을 통해 안랩 AWS 고객 원격 보안관제 서비스를 소개했다. 27

28 발행인 : 권치중 발행처 : 주식회사 안랩 경기도 성남시 분당구 판교역로 220 T F 편집인 : 안랩 콘텐츠기획팀 디자인 : 안랩 디자인팀 2016 AhnLab, Inc. All rights reserved. 본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제, 복사, 검색 시스템 으로 저장 또는 전송될 수 없습니다. 안랩, 안랩 로고는 안랩의 등록상표입 니다. 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상 표일 수 있습니다. 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다.

29 경기도 성남시 분당구 판교역로 220 T F AhnLab, Inc. All rights reserved.