월간 CONTENTS 3 EXPERT COLUMN 영화같은은행해킹사건 5 SPECIAL REPORT 눈앞에나타난사회기반시설공격의 실체 10 SPOTLIGHT 안랩, 산업군별 ISF Square 2016 진행 고객의고민을듣다, 대응전략을나누다 14 THR

안랩온라인보안매거진 2016. 06 Critical Infrastructure Threats

월간 2016. 06 CONTENTS 3 EXPERT COLUMN 영화같은은행해킹사건 5 SPECIAL REPORT 눈앞에나타난사회기반시설공격의 실체 10 SPOTLIGHT 안랩, 산업군별 ISF Square 2016 진행 고객의고민을듣다, 대응전략을나누다 14 THREAT ANALYSIS CryptXXX 랜섬웨어분석보고서 [1부] DLL 이용한 CryptXXX 랜섬웨어분석완료 [2부] CryptXXX 암호화비밀과복구툴공개 20 FOCUS IN-DEPTH 별점으로살펴본 개정 개인정보보호관련법령 23 IT & LIFE 내아이를지키는 디지털페어런팅 25 STATISTICS 2016 년 4 월보안통계및이슈 27 AHNLAB NEWS 현대오토에버, 우수개발협력사 로안랩선정안랩, AWS 서밋서울 2016 에서클라우드보안관제서비스소개 2

EXPERT COLUMN Fraud 영화같은은행해킹사건 2016년 2월미국연방준비은행에보관된방글라데시중앙은행계좌에서 8,100만달러 ( 약 966억원 ) 가사라졌다는영화같은뉴스가보도된다. 누군가은행내부이체시스템을조작해 1억달러가넘는돈을필리핀과스리랑카은행계좌로이체했다. 필리핀은행으로송금된 8,100만달러는성공적으로이체되었지만스리랑카은행에 2,000만달러 ( 약 231억원 ) 를이체할때영어단어를잘못써이를확인하던중발견되었다. 이사건으로방글라데시중앙은행총재등은책임을지고사임했다고한다. 방글라데시중앙은행총재기자회견 (* 출처 : AP 연합뉴스 ) 은행이직접공격당하는일이처음은아니다. 러시아갱단으로추정되는조직이 2013년부터 30개국 100개은행을해킹해최대 10억달러 ( 약 1조 1천억원 ) 를훔친것으로알려졌다. 하지만한번에 1천억원가까운거액이털린건처음이다. 특히이번사건은이체시스템을조작한게내부자의짓인지악성코드가사용되었는지처음에는알려지지않았다. 4월 25일영국배시스템 (Baesystem) 에서공격에사용된것으로알려진악성코드분석정보를공개했다. 공격자는은행내부시스템에침투해, 글로벌금융거래정보를안전한환경에서교환할수있게은행과기타금융기관간연결네트워크를제공하는단체인스위프트 (SWIFT, Society for Worldwide Interbank Financial Telecommunication) 에서국제간거래시이용하도록제공하는시스템을조작할수있는악성코드를만들었다. 이는공격자가목표은행의운영에대한깊은수준의지식을가지고있음을알수있다. 이악성코드정보가알려지면서은행과거래시스템제작업체간책임공방도있었다. 스위프트시스템의안전성에문제가있다는의견이나오면서스위프트는자사의네트워크가해킹당한게아니라는보도자료를배포한다. 5월 13일에는과거사건과연관된악성코드와의유사점이나오면서특정국가의소행이아니냐는의심도제기되었다. 이는 2014년소니픽처스공격에사용된악성코드와유사한악성코드가발견되었기때문이나, 이미공개된악성코드라의도적으로비슷하게만들었을가능성도있다는의견도있다. 사건의파장은점점커지고방글라데시은행뿐만아니라다른은행에서도공격이있었음이알려진다. 2015년 12월베트남은행에서도비슷한공격시도가있었으며, 관련악성코드도공개된다. 베트남은행공격에사용된것으로알려진악성코드가방글라데시은행해킹에사용된악성코드와유사하다는점에서동일그룹의소행일가능성이높다. 게다가에콰도르은행도 2015년에유사사건이있었음이뒤늦게밝혀졌고필리핀은행의피해도알려졌다. 따라서은행을노린유사공격이더존재할수도있다. 3

필자는이번사건을보며몇가지생각이떠올랐다. 첫째, 완벽한보안은역시없다. 우리는완벽한보안은존재하지않는다고알고있지만그래도돈을관리하는은행이므로다른곳보다는보안이완벽할거라고믿고있다. 하지만개인의인터넷뱅킹계좌해킹이아니라다수의은행시스템이해킹되었다는점에서다시한번완벽한보안은세상에존재하지않는다는깨달음을얻을수있었다. 둘째, 어떻게감염되었을까? 이체조작에악성코드가이용되었는데, 그렇다면반드시내부시스템이악성코드에감염되어야만한다. 따라서어떻게내부시스템이악성코드에감염되었느냐는매우중요하다. 지금까지예상하지못했던방법으로은행내부시스템이감염되었다면다른은행도공격당할가능성이있으니그방법에맞는새로운대응방안을만들어야겠지만, 새로울게없는방법으로보안이뚫렸다면책임소재에대한비판을피할수없다. 하지만현재까지어떻게은행시스템에침투했는지알려진바는없다. 셋째, 공격자는어디까지침투해있을까? 방글라데시은행해킹사건을보면공격자는내부시스템과이체절차를충분히알고있었다. 따라서내부자의도움이있었거나공격자가스스로알아냈을수있다. 만약공격자가내부자도움없이은행거래를지켜보면서이체방식을익혔다면오랜기간은행내부시스템이악성코드에감염되었다고볼수있다. 이것도문제지만은행간거래와같이특수목적에사용되는시스템도공격자가조금만노력하면충분히보안체계를우회할수있다는점에서다른특수목적시스템도안전을보장할수없다. 넷째, 분석가들도특수목적에사용되는프로그램이나절차에대해알아야한다. 베트남은행해킹에사용된악성코드는 2015년 12월보안업체에전달되었다. 하지만 5개월동안해당악성코드는정상파일로분류되어있었다. 만약방글라데시중앙은행해킹과관련된악성코드가알려지지않았다면해당악성코드는지금도정상파일로분류되고있을가능성이있다. 왜이런일이발생할까? 일단해당악성코드는일반적인악성코드와는다르게동작한다. 특정프로그램이설치된환경에서만악성코드가제대로실행되기때문에특정프로그램이설치되어있지않은분석시스템에서는별다른이상을발견할수없다. 시스템이아닌사람이분석할때는어떨까? 우선분석가는스위프트에대해모를가능성이높다. 특수목적으로사용되는소프트웨어는특정직군의사람에게는친숙하겠지만이외의사람들은존재조차모를수있다. 스위프트에대해안다고해도이런악성코드를제대로분석하려면스위프트프로그램이있어야하고이체과정에대한지식도있어야한다. 일반보안회사에서이런특수목적프로그램을보유하고있을가능성은낮다. 이제몇몇분석가들은스위프트에대해알게되겠지만다른특수목적사용시스템을노린악성코드를분석하면또다시정상파일로판단할가능성도여전히존재한다. 따라서앞으로보안업체는다양한산업분야와좀더긴밀하게협력해야하지않을까싶다. 다섯째, 시스템운영회사의신뢰도하락이다. 우선방글라데시은행에서사용하는보안프로그램이궁금했다. 해당보안회사는공격을막지못했다는점때문에전전긍긍하고있지않을까싶다. 보안프로그램이모든공격을예방할수없지만일반인은특정보안제품이공격을막지못했다고만기억하게된다. 스위프트측도마찬가지인데, 악성코드에일단감염되면사람이컴퓨터로할수있는대부분의일을할수있고기술적으로도악성코드가보안체계를우회하기쉽다. 이번해킹도악성코드감염이은행과실이라고해도서비스를제공하는스위프트가해킹당했거나보안에취약하다고오해받을수있다. 실제로사건발생후금융권의스위프트이용제한소식도들려온다. 이런공격을예방하기위해서는악성코드에감염되지않기위해노력하고감염되더라도빨리이상을파악해야하지만, 내부시스템을모두관리하는건불가능에가깝다. 따라서중요시스템에대해서만이라도정기검진처럼정기적으로이상유무를검사하는프로세스가필요하다. 단, 점검하는사람도포렌식이나악성코드분석경험이충분하고내부에서사용하는프로그램이나절차에대해서도잘알고있어야한다. 이글을마감하는 5월말까지피해를당한은행은 4곳이다. 하지만, 이글이공개될때쯤어떤은행이추가피해를입었을지는아무도알수없다. 영화처럼천억원이넘는돈이사라졌지만범인은오리무중인시대에우리는살고있다. 참고자료 Bangladesh bank says hackers stole $100M from its New York Fed accont (http://nypost.com/2016/03/07/bangladesh-bank-says-hackers-stole-100m-from-its-new-york-fed-account) 8,100만달러해킹 물러난방글라데시중앙은행총재 (https://www.hankookilbo.com/v/a22d16d7ee8d49a982857ed8d1952a1f ) The Great Bank Robby: Carbanak cybergang steals $1bn from 100financial institutions worldwide (http://www.kaspersky.com/about/news/virus/2015/carbanak-cybergang-steals-1-bn-usd-from-100- financial-institutions-worldwide) TWO BYIES TO $951M (http://baesystemsai.blogspot.com/2016/04/two-bytes-to-951m.html) 방글라데시경찰, SWIFT가은행취약하게해 (http://www.boannews.com/media/view.asp?idx=50549&kind=0) Statement on recent allegations (https://www.swift.com/insights/press-releases/swift-statement) Cyber Heist Attribution (http://baesystemsai.blogspot.kr/2016/05/cyber-heist-attribution.html) SWIFT Warns Banks: Coordinated Malware Attacks Underway (http://www.bankinfosecurity.com/swift-warns-banks-coordinated-malware-attacks-underway-a-9101) No impact on SWIFT network, core messaging services or software (https://www.swift.com/insights/press-releases/swift-customer-communication_customer-security-issues) Vietnam s Tien Phong Bank says it was second bank hit by SWIFT cyberattack (http://www.cnbc.com/2016/05/15/vietnams-tien-phong-bank-says-it-was-second-bank-hit-by-swift-cyber-attack.html) 제2의방글라데시중앙은행공격사건일어났다 (http://www.boannews.com/media/view.asp?idx=50602) Now It s Three: Ecuador Bank Hacked via Swift (http://www.wsj.com/articles/lawsuit-claims-another-global-banking-hack-1463695820) 4

SPECIAL REPORT Critical Infrastructure Threats 사회기반시설공격동향및보안에관한제언 눈앞에나타난사회기반시설공격의 실체 지난 4월, 여수시내의한버스정류장에설치된버스정보안내시스템에서약 40여분간음란동영상이재생되는사고가발생했다. 최근미국에서도텍사스주의고속도로전광판이해킹돼대선후보인트럼프를조롱하는문구등이밤새노출되었다. 두사건모두별다른피해는없었지만교통관련시설이해킹되었다는점은주목할필요가있다. 만일교통신호등제어시스템이나공항, 철도, 발전소의시스템이었다면? 이글에서는국내 외주요사회기반시설공격동향을통해사회기반시설보안의시사점을알아본다. 사회기반시설은 기반시설, 기간시설, 사회공공기반시설 등으로불리며, 사회및경제활동의기반을형성하는중요시설을의미한다. 흔히 인프라 (Infra, Infrastructure) 라고도부르며, 최근에는학교나병원, 공원과같은사회복지및생활환경관련시설도사회기반시설로분류하기도한다. 사회유지에근간이되는이들시설또는시스템이사이버공격에피해를입을경우, 단순히재산상의피해에그치는것이아니라사회적혼란을야기하거나시민들의안전, 더나아가국가안보에심각한위협이될수있다. 실제로지난 2012년세계적인석유기업인사우디아람코 (Saudi Aramco) 해킹, 2015년우크라이나정전사태등은막대한재산상의피해는물론사회적혼란까지가져왔다. 미국국토안보국 (Department of Homeland Security) 은사회기반시설을 16개주요분야로나누고, 그중식료, 농업서비스를제외한 14개분야에대한주요보안리스크를 [ 표 1] 과같이분류하고있다. 분야 사이버보안위협 화학통신주요제조시설댐방위산업응급서비스에너지금융서비스정부시설헬스케어및공공의료 IT 시설핵발전및처리시설교통수자원및수처리시스템 화학제품공정제어를위한네트워크기반시스템 통신시스템공격에따른글로벌연결성저해 통신인프라영향 제어시스템및데이터베이스해킹 댐제어시스템해킹 안보기지인프라에대한 DDOS 공격 시스템오작동등국가안보기밀유출 응급서비스통신시스템및네트워크, GPS 에대한공격 전기 : 전력그리드및운영시설공격 석유및천연가스 : 에너지관리시스템공격 금융정보기구의개인정보유출 금융시스템공격을통한대규모금융피해 자동보안제어시스템및데이터베이스공격 정부시설시스템공격에따른기밀및개인정보유출 진료시스템공격으로의료보험, 검진기록유출 IT 시스템관리, 콘텐츠, 정보, 통신등다양한부분에서의정보유출 신분인증시스템공격에따른사회기반시스템운영위협 핵시설제어시스템공격 공중, 육상, 해상교통제어시스템공격 수자원및수처리제어시스템 [ 표 1] 미국국토안보국의사회기반시설분류 5

국내 외주요사회기반시설공격사례 2000년대초에도특정국가나사회기반시설을노린악성코드가존재했다. 지난 2001년 7월발견된코드레드 (CodeRed) 웜으로인해미국백악관홈페이지에서비스거부 (DoS) 공격이발생했다. 국내에서는 2003년 1월 25일, 슬래머 (Slammer) 웜에의한인터넷장애가발생했다. 이를 1.25 인터넷대란 이라부른다. [ 그림 1] 국내외주요사회기반시설공격사례 본격적인사회기반시설에대한사이버공격은 2000년대중반이후에나타났다. 2007년 4월 27일, 에스토니아 (Estonia) 공화국의정부, 언론, 방송, 은행의전산망이일제히분산서비스거부 (Distribute Denial of Service, 이하 DDoS) 공격을받았다. 이공격으로대통령궁을비롯해의회, 정부기관, 은행, 이동통신네트워크등에스토니아의국가시스템전체가약 3주간마비되는사태가발생했다. 2008년 6월에는조지아 (Georgia, 러시아명 그루지아 ) 의정부홈페이지, 언론사, 포털사이트등이대규모 DDoS 공격을받았다. 평균 2시간 15분, 최장 6시간동안공격이지속되었으며, 사흘간이어진공격으로금융시스템장애가발생하는등사회가마비되었다. 2010년부터는단순한서비스장애유발이아닌사회기반시설에대한직접적인공격이발생한다. 가장대표적인사례는 2010년 6월발견된스턱스넷 (Stuxnet) 이다. 스턱스넷은지멘스 (SIEMENS) 사의산업자동화제어시스템 (PCS7) 을타깃으로하는악성코드로, 2010년 9월이란의원자력발전소마비사태의주범으로알려졌다. 에너지분야를노린사이버공격의또다른사례로는 2012년사우디에서발생한사우디아람코 (Saudi Aramco) 해킹이있다. 같은해 8월 27 일에는카타르 (Qatari) 천연가스기업인라스가스 (RasGas) 도사이버공격을당했다는사실이언론을통해알려졌다. 이후 2015년우크라이나에서는발전소해킹에의한대규모정전사태가발생하기도했다. 우크라이나정전사태와같이최근에는교통및항공시설, 전력시설을노린사이버공격으로인해일반시민들이생활에불편을겪거나심각한피해를입고있다. 최근국내에서발생한사고와유사한일이브라질에서도발생한바있다. 브라질의버스정류장안내시스템이해킹되어약 15분간음란동영상이노출된것이다. 항공시설과관련해서는지난 2015년 6월폴란드공항이 DDoS 공격을당해비행계획시스템이 5 시간동안마비되었으며, 약 1,400여명의승객이공항에서발이묶인사건도있다. [ 그림 2] 해킹된브라질버스안내시스템 (* 출처 : SecurityWeek) 6

이밖에도프랑스방송사떼베생몽드 (TV5Monde) 해킹및방송송출장애, 이스라엘방송국해킹, 지난 2013년국내주요은행및방송국을노린 3 20 전산망마비, 최근발생한방글라데시중앙은행해킹, 미국뉴욕댐전산망해킹, 미국내다수병원의랜섬웨어감염등사회기반시설을노리는공격들이다방면에서지속적으로발생하고있다. 사회기반시설공격에사용된악성코드의실체앞서언급한사례중우크라이나발전소해킹과정유회사사우디아람코해킹사례를중심으로실제사회기반시설공격에사용된악성코드와공격방식에대해알아보자. 1. 우크라이나발전소해킹지난 2015년 12월 23일, 우크라이나의키보브레네르고 (Kyivoblenergo) 발전소에문제가발생해이날오후 3시 35분부터 3시간동안약 8만가구에전력공급이중단됐다. 또한우크라이나서부지역의프리카르파티아오블레네르고 (Prykarpattyaoblenergo) 발전소에서도문제가발생해주변지역에대규모정전사태가발생했던것으로알려졌다. 전화시스템에도장애가발생해전화통화도정상적으로이루어지지않았다. 정전직후언론과우크라이나정보부 (Security Service of Ukraine) 는사이버공격의가능성을언급했다. 우크라이나의정전이사이버공격에의해발생했다는정황이계속나타남에따라미국정부도관련조사에착수했다. 지난 2016년 1월, 미국국토안보국은우크라이나정전사태의원인이사이버공격으로드러났다고발표했으며, 3월 18일에는관련분석보고서가추가로공개됐다. 이보고서에따르면, 공격자는이미 6개월전부터발전소내부시스템에침입해관련정보를수집하고악의적인펌웨어 (Firmware) 를개발하는등철저한준비후공격을수행한것으로보인다. 이와관련해 SANS ICS팀과해외보안업체이셋 (Eset) 은우크라이나정전사태와블랙에너지 (BlackEnergy) 악성코드가밀접한관계가있다고발표했다. 한편우크라이나정전사건이발생하기한달전인 2015년 11월, 우크라이나사이버침해대응센터 (CERT, Computer Emergency Response Team) 는우크라이나선거기간동안언론사를공격한블랙에너지악성코드에관해언급한바있다. 따라서우크라이나에대한블랙에너지공격은정전사태이전부터진행되었음을예상할수있다. 블랙에너지는다양한변화를겪어온악성코드이다. 2007년 DDoS 공격에처음이용되었으며, 2008년조지아 (Georgia) 공격에도사용되었던것으로알려졌다. 드라이버파일로구성되어있다는것이특징이며, 현재에도꾸준히변형이나타나고있다. 우크라이나발전소를공격한것으로알려져있는블랙에너지악성코드는악성코드를떨어뜨리는드롭퍼와실제악성행위를수행하는난독화된드라이버파일로구성되어있으며, FONTCACHE.DAT 등의파일이생성된다. 또한해당공격에서공격자는악성매크로를포함한엑셀파일을이용한것으로알려졌다. 문서를열어본사용자가보안경고메시지의 콘텐츠사용 을선택하면매크로가실행된다. 매크로가실행되면 %temp% 폴더에 vba_macro.exe 파일이생성된다. [ 그림 3] 우크라이나발전소공격에사용된엑셀파일의매크로기능 이렇게생성된 vba_macro.exe가실행되면 FONTCACHE.DAT 파일이시스템에생성된다. 이파일은윈도우패킷캡쳐프로그램인 WinPcap 와관련된파일로위장하고있다. 내부문자열또한 Winpcap 관련파일처럼가장하고있다. [ 그림 4] Winpcap 관련파일로위장 7

익스포트 (export) 함수도모두정상프로그램처럼되어있지만, PacketAllocatePacket 코드가실행되면암호를풀면서실행되며플러그인파일을다운로드하여추가적인기능을수행한다. 2. 사우디아람코 (Saudi Aramco) 해킹지난 2012년 8월 15일, 세계최대규모의석유기업중하나인사우디아람코 (Saudi Aramco) 가사이버공격으로약 3만대의시스템에장애가발생하는피해를입었다. 같은날, 자신들을 정의의검 (Cutting Sword of Justice) 이라고자칭하는단체가아람코해킹이자신들의소행이라고주장했다. [ 그림 5] 아람코해킹에관한 정의의검 (Cutting Sword of Justice) 의주장 사우디아람코해킹에사용된악성코드는 샤문 (Shamoon) 또는 디스트트랙 (Disttrack) 등으로불리며, 사전에내부시스템을파악하고데이 터를삭제하기위해제작된악성코드이다. 공격자가어떻게내부시스템에침입했는지는아직알려지지않았다. [ 그림 6] 샤문 (Shamoon) 악성코드구조 샤문악성코드의구조는 [ 그림 6] 과같다. 드롭퍼 (Dropper) 는하드디스크파괴악성코드를시스템에떨어뜨리는역할을하며, 데이터삭제기 능과보고기능만가지고있다. 파일속성정보를살펴보면 Distributed Link Tracking Server 라는설명과함께마이크로소프트에서제작한 파일로가장하고있다. [ 그림 7] 샤문악성코드의드롭퍼등록정보 8

데이터파괴파일은 C:\Shamoon\ArabianGulf\wiper\release\wuper.pdb 와같은 PDB 정보를가지고있다. ArabianGulf 와같은문자열을 통해명확한공격대상을가진악성코드임을짐작할수있다. [ 그림 8] PDB 정보내의특징적인문자열 데이터삭제파일이실행되면드라이버파일 (drdisk.sys) 을생성하고파일목록을얻는다. 이후시스템에존재하는파일을 JPEG 이미지로덮어쓴다. 끝으로하드디스크 MBR을덮어써시스템을사용할수없게하고 shutdown -r -f -t 2 로종료시킨다. 한편, 이악성코드는피해시스템수등을보고하는기능도갖고있다. 사회기반시설보안에관한제언지난해말, 안랩을비롯한국내외보안업체들은 2016년에발생할수있는보안위협중하나로사이버테러및국가기반시설보안위협을꼽은바있다. 그리고 2016년초부터방글라데시중앙은행의해킹, 국내버스정류장안내시스템해킹등이발생했다. 사회기반시설은사회의근간을이루는중요한시설인만큼강력한보안이동반되어야한다는것은두말할필요도없다. 그러나실제로는보안인력이부족한경우나내부보안인력의전문성이부족한경우가있다. 또는, 시설의시스템자체가적절한보안이고려되지않은채설계되었거나보안에취약한구형시스템으로운영되는경우도있다. 외부공격으로부터사회기반시설을안전하게보호하기위해서는우선구성원들이준수할수있는현실성있는보안정책을수립해야한다. 이와함께적절한보안시스템을구축해내부로유입되는위협을모니터링및차단하고내부에서확산되는위협을분석및대응할수있어야한다. 일반적으로악성코드의내부시스템침입부터시스템파괴등악의적인결과를가져오기까지는어느정도의시간이소요된다. 수많은내부시스템을파악하고하나씩장악해야하기때문에보통 6개월정도가걸린다. 따라서공격에의한피해가발생하는것을방지하기위해서는주요시스템에대한정기점검을통해이상징후를빨리파악할수있어야한다. 이를위해전문성을가진인력의양성과활용이필요하다. 또한협력업체에대한강력한보안방안을마련해야한다. 공격자들은침입이까다로운사회기반시설을직접적으로공격하는대신협력업체를해킹하는등의우회공격을시도할수있기때문이다. 한편, 사회기반시설공격동향에관한보다상세한내용은안랩시큐리티대응센터분석팀에서발표한 사회기반시설공격동향분석보고서 에서확인할수있다. 사회기반시설공격동향분석보고서 전문보기 참고자료 - Data breach digest. (http://www.verizoneenterprise.com/resources/reports/rp_data-breach-digest_xg_en.pdf ) - Analysis of the Cyber Attack on the Ukrainian Power Grid (https://ics.sans.org/media/e-isac_sans_ukraine_duc_5.pdf ) - 도시철도안전및유지관리실태감사결과 (http://gov.seoul.go.kr/archives/86261) - 감사원, ' 국가사이버안전관리실태 ' (http://www.bai.go.kr/bai/index.do) - 강은성, 망분리는만병통치약인가? (www.ciokorea.com/news/25437) - 미국국토안보국 'Sector Risk Snapshots (https://www.hsdl.org/?view&did=754033) - http://www.securityweek.com/hackers-broadcast-porn-tv-screens-brazil-bus-depot - http://africanspotlight.com/2015/08/08/hackers-broadcast-porn-on-tv-screens-at-brazil-bus-station-photos - https://monthly.chosun.com/client/news/viw.asp?nnewsnumb=200908100021 - https://en.wikipedia.org/wiki/cyberattacks_during_the_russo-georgian_war - http://www.economist.com/node/17147818 - http://money.cnn.com/2015/08/05/technology/aramco-hack - http://ru.tsn.ua/ukrayina/iz-za-hakerskoy-ataki-obestochilo-polovinu-ivano-frankovskoy-oblasti-550406.html - SANS : https://ics.sans.org/blog/2016/01/01/potential-sample-of-malware-from-the-ukrainian-cyber-attack-uncovered - Ukraine CERT: http://cert.gov.ua/?p=2370 - http://www.mta.go.kr/policy/its/management_sign.jsp - http://www.ittoday.co.kr/news/articleview.html?idxno=42719 - https://securelist.com/blog/incidents/57854/shamoon-the-wiper-copycats-at-work/ 9

SPOTLIGHT AhnLab ISF Square 2016 안랩, 산업군별 ISF Square 2016 진행 고객의고민을듣다, 대응전략을나누다 안랩이최근한달여에걸쳐산업군별정보보호최고책임자 (CISO) 및보안책임자를대상으로 안랩 ISF Square 2016( 이하 ISF 스퀘어 2016) 을개최하고있다. ISF 스퀘어는안랩이지난 2009년부터진행해오던자사의융합보안컨퍼런스 안랩 ISF 를산업별로세분화하여개편한보안전략세미나다. 다양한산업군별고객사의특성에맞춰 맞춤형보안전략및솔루션 을제공하기위한목적이다. 이번 ISF 스퀘어 2016은지난 4월 27일은행및카드사를시작으로 28일에는보험사, 5월 11일과 18일, 25일에는각각증권사와건설사, 유통사를대상으로진행됐다. 6월 8일에는공공및교육기관의보안책임자를대상으로진행할예정이다. 안랩은 ISF 스퀘어 2016 을통해각산업분야가직면하고있는주요보안이슈와위협동향정보를공유하고산업별비즈니스에최적화된대 응방안을소개하고있다. 지난 4 월 27 일부터 5 월까지다섯차례에걸쳐진행된이번행사에각산업분야의 CISO 및보안책임자 100 여명이 참석했다. ISF 스퀘어 2016 에산업군별 CISO 100 여명이참석한가운데권치중안랩대표이사는 고객의목소리에귀를기울이고고민을나누는것이 ISF 스퀘어의목적 이라고전했다. 권치중안랩대표이사는환영사를통해 신종공격기법이끊임없이나타나고있어고객사자체가, 또는보안벤더만으로최신보안위협에대응하는것은사실상불가능하다 며 ISF 스퀘어를통해고객을직접만나실제현장에서느끼고계신고민과어려움을나누고산업별로특화된정보를공유함으로써실질적이고최적화된해법을찾을수있으리라기대한다 고말했다. 10

기업으로눈돌리는랜섬웨어, 그실체는? 산업분야를막론하고현재가장심각한보안이슈는역시랜섬웨어였다. 특히최근미국의주요병원들의랜섬웨어감염사례를시작으로, 랜섬웨어의표적이개인중심의불특정다수에서막대한자금을보유하고있는기업군으로옮겨갈것이라는예측도있어기업보안책임자들의고민이깊은실정이다. 한창규실장과김경희실장 ( 왼쪽부터 ) 은 CISO 들이가장궁금해하는랜섬웨어를비롯한최신공격동향을공유했다. 이와관련해한창규안랩시큐리티대응센터 (ASEC) 실장이 랜섬웨어로대표되는최신위협동향 이라는주제발표를통해 CISO의궁금증에답했다. 한창규실장은실제사례를통해신 변종랜섬웨어의감염경로, 동작원리등을설명했다. 이어 랜섬웨어는더이상일시적인유행이나단발성이슈가아니다 라며 기업에서도이제랜섬웨어에대한대응책을마련해야할때 라고강조했다. 이어김경희안랩플랫폼개발실실장은랜섬웨어의서비스화 (RaaS, Ransomware-as-a-Service) 를비롯해모바일랜섬웨어, 맥 (Mac) OS X를노리는랜섬웨어등진화하는랜섬웨어의흐름을설명했다. 김경희실장의설명에따르면랜섬웨어는비대칭키를사용하기때문에실제공격자를잡아서버를수거하지않는한암호를풀수없다. 일단감염되면피해를피할수없다는것. 특히현재일부업체가제공하는 랜섬웨어복구서비스 의대부분은지불대행서비스로, 공격자에게비트코인을대신납부해주고키를받아파일을복구하는방식에불과하다. 이와관련해김경희안랩플랫폼개발실실장은 돈을주고복구할수록몸값이올라갈뿐만아니라돈을많이주는기업을노리게된다 고지적했다. 문제는일반적인보안솔루션만으로는랜섬웨어대응이쉽지않다는것. 이와관련해안병무안랩제품기획팀차장은지능형위협대응솔루션인안랩 MDS를제안했다. 안병무차장은 최초감염 (First Victim) 방어, 포기할것인가? 라는주제발표를통해랜섬웨어에대한최선의대응책은 예방 과 선제적방어 라고전제했다. 이어 랜섬웨어를비롯해고도화된최신공격대응에서놓치지말아야할부분은첫번째희생자 (First Victim) 가발생할가능성을최소화하는것 이라고강조하고 안랩 MDS의 실행보류 (Execution Holding) 기능을이용해랜섬웨어가동작하는것자체를방지할수있다 고설명했다. 랜섬웨어는공통분모 산업별보안위협은? 안병무차장과백민경차장 ( 왼쪽부터 ) 은기업이직면하고있는보안위협을살펴보고이에따른안랩의솔루션을제시했다. 랜섬웨어는개인과기업, 산업분야를막론하고공통된보안위협이라는데는이견이없다. 그러나기업의비즈니스에따라최우선보안과제는각기다르다. 11

백민경안랩제품기획팀차장은은행, 증권사, 카드사등금융기관이직면한위기로 이용자 PC를노리는전자금융사기 를꼽았다. 백민경차장은실제금융기관보안침해사례를통해파밍, 다이어악성코드, 공유기공격, 메모리해킹등전자금융사기기법을설명하고, " 모바일과온라인으로금융서비스를이용하는비율이증가하는자율금융시대를맞아명확한위험요소를파악하고그에따른적절한솔루션도입등이용자보호와금융시스템보안을위한철저한철학을갖추는것이필요하다 " 고강조했다. 김창희팀장과한태수실장 ( 왼쪽부터 ) 은각각유통분야와건설분야의보안위협요인과대응방안에대해공유했다. 유통분야를위한 ISF 스퀘어 2016에서는최근또다시화두가되고있는 POS 시스템보안위협에대한상세한정보가공유됐다. 김창희안랩제품기획팀팀장은 POS 및단말보안을위한효과적인대응방안 이라는주제발표를통해 " 수많은고객의신용카드정보등민감한정보를다루는 POS 단말기가해킹되면실생활에직결되는사회적, 경제적으로치명적인위험이될것 " 이라고단언했다. " 그러나 POS 시스템등산업용단말에는일반적인보안정책이나솔루션을적용하는것은현실적이지않다 고지적하고 안정적인비즈니스운영을위해안랩 EPS와같은전용보안솔루션을도입하는것이바람직하다 " 고조언했다. 한태수안랩매니지먼트개발실장의 사물인터넷 (IoT) 보안위협과대응방안 에대한발표는특히건설분야 CISO의눈과귀를사로잡았다. 한태수실장은 사물인터넷은스마트가전, 스마트헬스, 특히스마트홈등통신과건설분야에서더욱중요한요소로부각되고있다 며 이제관련산업분야에서는서비스준비단계에서부터 IoT 관련개방형표준에근거한정보보호, 프라이버시보호에대해필수적으로고민해야만한다 고강조했다. 또한 설계도면이나기술정보등중요정보가많은건설사의특성상지능형보안위협에노출되면피해가커질수있다 고지적한뒤 안랩은이미스마트홈등과관련해실제발생할수있는다양한공격시나리오를연구해왔으며이에대한전방위적인대응방안을마련하고있다 고말했다. 안랩은금융분야부터유통, 건설, 그리고공공분야까지각산업분야의주요보안위협과관련해최적의보안솔루션을제공하고있다. 안랩의다양한솔루션의근간에는원천기술을보유한 R&D 센터와인프라가있다. 이와관련해정청환안랩엔드포인트개발실장은그동안많은고객들이궁금해했던안랩의보안제품개발과개발인프라보안관리체계를소개했다. 정청환실장은특히보안업체자체를노리는공격이종종등장하는것과관련해안랩의대비책은물론, 제품개발부터관리까지무결성을보장하기위한안랩의자체적인보안체계를상세하게설명해참석자들의큰호응을얻었다. 정청환실장은안랩의제품개발부터관리까지전과정에대한안랩의독자적인보안체계를소개해참석자들의이목을집중시켰다. 12

고객의생생한목소리를듣다여타보안세미나와안랩 ISF 스퀘어의가장큰차별점은제품기획자부터제품개발책임자, 그리고대표이사에이르기까지한자리에서고객과직접소통한다는점이다. 이번 ISF 스퀘어 2016에서도안랩 EP사업부문총괄인강석균전무, EP영업본부총괄배민상무, 서비스사업부총괄방인구상무등이총출동해고객의고민을듣고의견을나눴다. 세션발표후진행된라운드테이블프로그램을통해안랩의권치중대표, 강석균전무, 배민상무, 방인구상무가고객사 CISO 와자유롭고다양한논의를이어나갔다. 안랩은오는 6월 8일서울양재동엘타워에서공공및교육기관의보안책임자를대상으로 ISF 스퀘어 2016을이어나갈예정이다. 또한안랩은서울에서진행되는행사에참석하기어려운각지역의고객사를위해 파트너와함께찾아가는고객세미나 도동시에진행하고있다. 지난 5 월 24일전주지역에이어오는 6월 16일에는대구, 21일에는대전에서고객사의보안책임자를초청해최신보안위협동향과대응방안을공유할예정이다. 13

THREAT ANALYSIS CryptXXX Ransomware CryptXXX 랜섬웨어분석보고서 _1 부 DLL 이용한 CryptXXX 랜섬웨어분석완료 최근 크립트엑스엑스엑스랜섬웨어 가대량유포되면서피해사례가늘어나고있다. 크립트엑스엑스엑스의특징은기존랜섬웨어와달리실행파일 (EXE) 형태가아닌동적링크라이브러리 (DLL) 형태로유포되고있다는점이다. DLL 형태로의유포는정상적인프로세스와함께동작하는구조여서감염사실을알아차리기조차어렵다. 월간 안 에서는 1부와 2부에걸쳐, 크립트엑스엑스엑스의동작방식과주요기능, 암호화방식, 복구툴등자세한내용을소개한다. < 연재목차 > 1 부 _ DLL 이용한 CryptXXX 랜섬웨어분석완료 2 부 _ CryptXXX 암호화비밀과복구툴공개 크립트엑스엑스엑스랜섬웨어 ( 진단명 : Trojan/Win32.CryptXXX, 이하크립트엑스엑스엑스 ) 는컴퓨터에있는파일을암호화한뒤.crypt 확장자로변경하여사용자에게비트코인을요구하는랜섬웨어다. [ 그림 1] 은크립트엑스엑스엑스의동작방식이다. [ 그림 2] svchost.exe( 정상 rundll32.exe) 로로드되어동작하는악성 DLL 이악성코드는피해자의컴퓨터를감염시킬때!Recovery_ 사용자 ID.txt,!Recovery_ 사용자ID.html,!Recovery_ 사용자ID.bmp 형식의파일을생성하며내용은 [ 그림 3], [ 그림 4] 와같다. [ 그림 1] 크립트엑스엑스엑스동작방식 크립트엑스엑스엑스의경우다른랜섬웨어와의차이점은 DLL( 동적링크라이브러리, Dynamic Linking Library) 로동작한다는점이다. 크립트엑스엑스엑스는정상 rundll32.exe를악성 DLL이있는경로에 svchost.exe로이름을바꾸어복사한뒤악성 DLL의내보내기 (Export) 함수를인자값으로호출하여동작한다. [ 그림 3] 크립트엑스엑스엑스결제안내페이지 14

- 144.7*.82.1*:443-93.1**.187.6*:443 C&C 접속여부와관계없이패킷을전송한후에는파일암호화가진행된다. 파일암호화대상분석된크립트엑스엑스엑스로부터확인된암호화대상은 [ 표 2] 와같다. [ 그림 4] 크립트엑스엑스엑스결제안내텍스트 크립트엑스엑스엑스주요기능 자동실행등록크립트엑스엑스엑스는 [ 표 1] 과같이시작프로그램에바로가기링크파일을생성한다. [ 그림 5] 에서알수있듯이해당링크파일에의해실행되는파일은크립트엑스엑스엑스이며, MS114 라는이름의함수를호출하는기능을한다. 자동실행등록파일 C:\Documents and Settings\...\ 프로그램 \ 시작프로그램 \[ 사용자ID].lnk [ 표 1] 자동실행등록을위한바로가기링크파일생성 Z:\ 부터 A:\ 까지마운트된모든드라이브중, 다음의암호화대상드라이브만감염이진행된다. 암호화대상드라이브고정식드라이브, 이동식드라이브, 네트워크드라이브 [ 표 2] 암호화대상드라이브암호화대상확장자 3DM 3DS AES APK APP ARC ASC ASM ASP ASPX BRD BZ2 C CER CFG CFM CGI CGM CMD CPP CRT CSR CSS CSV CUE DB DBF DCH DCU DIF DIP DJV DJVU DOC DOCB DOCM DOCX DOT DOTM DOTX DTD DWG DXF EML EPS FDB FLA FRM GBK GBR GED GPG GPX H HTM HTML HWP IBD INDD JAR JAVA JKS JSP KEY KML KMZ LAY LAY6 LDF LUA M MAX MDB MDF MFD MML H MS11 MSI MYD MYI NEF NOTE OBJ ODB ODG ODP ODS ODT OTG OTP OTS OTT P12 PAQ PAS PCT PDB PDF PEM PHP PIF POT POTM POTX PPAM PPS PPSM PPSX PPT PPTM PPTX PRF PRIV PSD RAR RAW RSS RTF SCH SDF SITX SLDX SLK SLN SQL STC STD STI STW SVG SWF SXC SXD SXI SXM SXW TAR TBK TEX TGZ TLB TXT UOP UOT VB VBS VCF VDI VMDK VMX WKS WPD WPS WSF XLC XLM XLR XLS XLSB XLSM XLSX XLT XLTM XLTX XLW XML ZIP ZIPX ACCDB CLASS GADGET IBOOKS PAGES PLUGIN PRIVATE QCOW2 SQLITE3 SQLITEDB VCXPROJ XCODEPROJ XHTML [ 그림 5] 자동실행등록정보 [ 표 3] 암호화대상확장자 C&C 통신 크립트엑스엑스엑스는파일을암호화하기전, C&C 에악성코드가생 성한사용자 ID 를전송한다. 암호화대상확장자 폴더 \WINDOWS\" \BOOT\ \EFI\ \CONFIG.MSI\ \WINNT\ \RECOVERY\ \PROGRA^1\ \GOOGLE\ \RECYCLER\ \$RECYCLE. BIN\ \PROGRA^2\ \TEMP\ \SYSTEM^1\ \PERFLOGS\ [ 표 4] 암호화제외대상경로 암호화된환경 [ 그림 6] C&C 통신패킷정보 크립트엑스엑스엑스는암호화가완료된파일의수정한날짜와시간정보를백업된원본의수정한날짜로변경한다. 악성 DLL 내부에암호화된 C&C는 2개이며, 첫번째 IP에접속이되지않았을경우두번째 IP로연결된다. 15

[ 그림 7] 암호화된파일의파일의시간정보변경코드 [ 그림 11] 결제안내파일의시간정보변경코드 [ 그림 7] 에서붉은색박스로표현한부분의데이터 (A4 80 BC 4B 36 B0 D1 01) 는 SetFileTime API 를사용하여백업된원본의수정한날 짜로변경된다. [ 그림 12] 결제안내파일의시간정보변경전 ( 좌 ) 및변경후 ( 우 ) [ 그림 8] 암호화된파일의시간정보변경전 ( 왼쪽 ) 및변경후 ( 오른쪽 ) 생성한결제안내파일의시간정보를 [ 그림 12] 와같이변경한다. 암 호화가완료되면 [ 그림 13] 과같은화면을띄우고스크린이잠기게 하여사용자가어떠한동작도할수없게한다. 이때시간정보가변경된파일은 MoveFileW API 를사용하여 [ 원본 파일명 ].crypt 로확장자가변경된다. [ 그림 9] 암호화후확장자변경 그리고암호화된파일이있는경로마다결제안내파일들을생성한다. [ 그림 13] 암호화완료후화면 크립트엑스엑스엑스는일반적으로웹사이트다운로드등으로유포되는경우가많다. 따라서사용자는출처를알수없는메일에첨부된파일의실행이나불필요한사이트접근을삼가는등의주의가필요하다. [ 그림 10] 암호화된파일과생성된결제안내파일 (.BMP,.HTML,.TXT) 앞서언급했듯이 SetFileTime API를이용하여 [ 그림 11] 에있는붉은색박스에있는데이터 (00 00 00 00 71 37 00 00) 는 1601년 3월 12 일월요일 10시 17분 27초로변경된다. 해당악성코드감염을막기위해서는항상윈도우보안패치및 V3 백신프로그램을최신업데이트상태로유지하는것이필요하다. 안랩은원본파일을복구하는툴을랜섬웨어보안센터를통해무료로제공하고있다. 안랩랜섬웨어보안센터바로가기 16

THREAT ANALYSIS CryptXXX Ransomware CryptXXX 랜섬웨어분석보고서 _2 부 CryptXXX 암호화비밀과복구툴공개 크립트엑스엑스엑스 (CryptXXX) 랜섬웨어는정상파일을암호화한후.crypt 확장자로변경하여사용자에게비트코인을요구하는랜섬웨어다. 이랜섬웨어는현재까지버전 1.x, 2.x, 3.x 세가지형태가알려져있다. 안랩은현재크립트엑스엑스엑스 2.x 버전에의해암호화된파일에대한복구툴을제공하고있다. 특히, 국내사용자들이많이사용하고있으나기존복구툴이지원하지않는한글파일 (HWP) 의복구도가능하다는점이주목할만하다. 월간 안 에서는 1부와 2부에걸쳐, 크립트엑스엑스엑스의동작방식과주요기능, 암호화방식, 복구툴등자세한내용을소개한다. < 연재목차 > 1 부 _ DLL 이용한 CryptXXX 랜섬웨어분석완료 2 부 _ CryptXXX 암호화비밀과복구툴공개 1. 암호화방식 [ 그림 1] 은크립트엑스엑스엑스에의해암호화된 Photo.jpg 파일을나타낸다. 암호화는고정크기 (0x1FFF) 의블록단위로순차적으로이뤄지며, 암호화최대크기는 0xD012FE( 대략 13M) 로이후의데이터는원본과동일하다. 되는개인키정보없이는해당키테이블정보를복호화할수없고, 파일복구가불가능하다. 하지만, 해당키테이블정보는개인키없이도원본파일시작부분의일부데이터 ( 예를들면파일포맷별 Magic 정보 ) 를통해파일의형태를확인할수있으며, 그것을토대로유추할수있는키값으로복구가가능하다. 2. Key Table 생성방식과취약성 [ 그림 2] 는파일끝에삽입된 0x104바이트크기의키테이블이생성되는과정을나타낸다. 이그림에서노란색부분이공개키로암호화된 KeyTable_A[0x40] 이며, CryptEncrypt() API를통해공개키로암호화시원본 0x40바이트크기의데이터가최종 0x80바이트크기로증가된다. [ 그림 1] 크립트엑스엑스엑스암호화방식 암호화된파일은원본파일과비교하여 260(=0x104) 바이트가증가한형태이며, 이는파일끝부분에삽입된키테이블 (Key Table) 정보로인한것이다 ([ 그림 1] 에서붉은색블록참고 ). 이키테이블정보는블록단위의암호를복호화하는데핵심이되는데이터로, 공개키를통해암호화되어저장된다. 즉, 구조적으로는해당공개키에매칭 [ 그림 2] 키테이블생성과정 17

[ 그림 2] 에서언급된암호화에사용되는핵심정보 3가지는 4바이트 SEED 값, KeyTable_A[0x40], KeyTable_B[0x100] 이며, 최초 4바이트크기의 SEED 값으로부터이후정보들이순차적으로만들어지는구조를갖는다. 키생성과정의최상위에위치하는 SEED 값은감염시점의시스템시간 (SystemTime) 정보중에서시 (whour), 분 (wminute), 초 (Second), 밀리초 (Millisecond) 를이용하여얻어지며, 이 SEED 값으로부터 0x40바이트크기의 KeyTable_A[0x40] 데이터가생성된다. 바로이부분에서제작자가의도하지않은취약성이존재하며, SEED 값이동일하면매번동일한 KeyTable_A[0x40] 가생성되는구조를갖는다. 최종블록단위의암호화에사용되는 KeyTable_B[0x100] 의데이터와원본파일로부터읽은블록과의 XOR( 배타적논리합 ) 을통해암호화가수행된다. 3. 키테이블생성함수크립트엑스엑스엑스랜섬웨어에서파일암호화시사용되는핵심정보 3가지의생성함수는다음과같다. (1) SEED 값생성 [ 그림 4] 는 SystemTime 정보를통해 4바이트크기의 SEED 값을생성하는함수를나타낸다. 즉, SEED 값이동일하면매번생성되는최종키테이블정보가동일한점과암호화방식이 XOR이라는 2가지포인트를바탕으로복구대상파일의 Magic 정보가존재한다면, 역으로키를유추할수있는구조다. [ 그림 3] 은 SEED 값이 0x02978CAC일때, 생성되는키테이블 A, B의예를나타낸다. [ 그림 4] SEED 값생성함수 (2) 키테이블 (A) 생성 [ 그림 5] 는 SEED 값을바탕으로 0x40바이트크기의키테이블을생성하는함수이며, do-while 문을통해생성되는 0x40바이트크기의데이터가 SEED 값이동일하면동일한형태로생성되는취약성이존재하는부분이다. [ 그림 3] 키테이블 A, B 예제 KeyTable_A[0x40] 데이터가생성되는방식은다음의 2가지기본테이블중, 델파이랜덤 (Delphi Random) 함수를통해얻은랜덤값을바탕으로하나의값이선택되어구성되는구조를갖는다. (1) "QWERTYUIOPASDFGHJKLZXCVBNM<>:\?!@$%^&*()_+~ (2) "qwertyuiop[]asdfghjkl;zxcvbnm,./`1234567890-=" 크립트엑스엑스엑스는총 2번의델파이랜덤함수를사용하여아래의 Index(A) 와 Index(B) 를얻게된다. 이때 Index(A) 는위기본테이블중하나를선택하기위한목적으로, Index(B) 는선택된테이블의데이터중하나를선택하기위한목적으로사용된다. Index(A): DelphiRandom(3) - 0 ~ 2 범위의랜덤값생성 (0, 2인경우 -> (1) 번, 1인경우 -> (2)) Index(B): DelphiRandom(44) - 0 ~ 43 범위의랜덤값생성예를들어 Index(A) == 0이고, Index(B) == 3이면, R 문자열이선택된다. [ 그림 5] 키테이블 (A) 생성함수 (3) 키테이블 (B) 생성 [ 그림 6] 은키테이블 (A) 로부터 0x100바이트크기의최종키테이블 (B) 가생성되는함수를나타낸다. 이키테이블정보는 1바이트단위의블록단위의암호화시 XOR 키값으로사용된다. 18

[ 그림 7] 은크립트엑스엑스엑스복구툴에서파일복구를위해이루어지는과정을나타낸것이다. 구조상첫번째파일을복구하는데오랜시간이소요되며, 이후파일부터는빠르게복구가가능하다. [ 그림 7] 크립트엑스엑스엑스복구과정 [ 그림 6] 키테이블 (B) 생성함수 4. 복구방식시, 분, 초, 밀리초정보를통해계산되는 SEED 값의범위는다음과같다. - 최소값 : 00:00:00:0000 -> 0, 최대값 : 23:59:59:999 -> 0x5265bff 사용자마다그리고암호화된파일마다서로다른 SEED 값을유추하기위해 0 ~ 0x5265bff 범위의 SEED를순차적으로선택하며, 이를바탕으로암호화에사용된키테이블을생성하거나복호화를시도한다. 첫번째블록에대한복호화를통해파일의고유한식별정보 (Magic) 가확인되면, 유효한 SEED 값으로판단하고전체파일에대한블록단위의복구를시도한다. 우선첫번째파일이복구에성공하면, 두번째파일부터는 SEED의범위를제한하여좀더빠른복구가가능하도록했다. 이러한설정은복구대상파일들이동일시간대에감염된형태가대부분일것으로가정하여이루어진것으로, 복구대상파일들이서로다른시스템에서다른시간대에수집된형태의경우, 복구시간이더오래걸리는특징을갖는다. 5. 복구대상리스트복구툴을통해복구가능한크립트엑스엑스엑스버전은 2.x로제한적이며, 우선다음의확장자들에대한복구가가능하도록제작되었다. 특히, 국내사용자들이많이사용하고있으나기존복구툴이지원하지않는한글파일 (HWP) 의복구가가능하다. 이외에도원본파일의고유한식별정보만알수있다면, 복구가가능한구조이기때문에추후복구대상으로추가될수있다. CHM, AI, HWP, PDB, PDF, RTF, HTM, HTML, PHP, XML, DWG, PS, WSF, KEY, CSR, CRT, WAV, MP3, OGG, WMA, WMV, AVI, ASF, MP4, MOV, MID, MPG, FLV, PNG, GIF, BMP, TIF, JPG, JPEG, ZIP, RAR, BZ2, 7Z, GZ, JAR, APK, TGZ, ODS, DOC, DOT, PPT, POT, PPS, XLS, XLT, DOCX, DOCM, DOTX, DOTM, PPTX, PPTM, POTM, POTX, PPSM, XLSX, XLSB, XLSM, XLTM, XLTX, EPS, ISO, SQLITE3, MDB, MSI, APP, FDB, ACCDB, SLN, CLASS, VCXPROJ 6. 복구툴경로안랩은크립트엑스엑스엑스랜섬웨어 2.x 버전에대한복구툴을랜섬웨어보안센터를통해무료로제공하고있다. 안랩랜섬웨어보안센터바로가기 19

FOCUS IN-DEPTH Compliance 꼭챙겨야할개인정보보호법령 별점으로살펴본 개정 개인정보보호관련법령 지난 3 월 8 일발간된월간 안 2016 년 3 월호에 2016 년에챙겨봐야할개인정보보호법령 5 가지 란제목으로개인정보보호법령에대 해소개한바있다. 이후 3 월 22 일과 29 일에정보통신망법과개인정보보호법이또개정되어 2016 년에챙겨야할법령이더늘어났다. 이번호에서는두가지법의개정사항의중요도를별점으로매겨가며정리하고자한다. 단, 중요도의기준은필자의주관에따른것이므 로참고만하는것이좋겠다. 개정된내용중기업과관련이적은사항은따로적지않았다. 1. 개인정보보호법 1) 정보주체이외로부터수집한개인정보의수집출처고지의무화 중요도 업무영향도 대응업무부하 처벌 3,000만원이하의과태료 따르릉 ~ 여보세요? 홍길동고객님이시죠? 여기는 보험사인데요 ~ " 알지도못하는보험사로부터이런전화를받아본경험이혹시있었는지모르겠다. 어디서내전화번호를입수한것인지물어보면정확히대답하지않거나얼버무리는경우도많다. 개정안이시행되는 9 월 30일부터이런식의연락은더이상받지않게될것같다. 일정규모이상이되는기업 (5만명이상의민감정보또는고유식별정보처리, 100만명이상의개인정보처리 ) 이정보주체로부터직접수집하지않고개인정보를처리할때는반드시 1정보수집출처 2개인정보처리목적 3개인정보처리정지요구권이있다는사실을최초수집후 3개월이내에정보주체에게고지해야만하기때문이다. 불법으로입수한개인정보라면애초에고지도못할테지만적법하게제공받은경우라하더라도고객에게일일이고지하기란큰부담이될것이다. 고객이제 3자제공동의를해서개인정보를제공했다는사실을증명하라고요구하면그또한큰일이다. 필자견해로는이개정안에대한대응이본기사를통틀어제일큰일일듯싶다. 기업에서대응해야할업무절차 1. 법시행시점이후수집보유중인개인정보중정보주체에게직접입수한것이아닌개인정보식별 ( 정보주체외입수경로, 제3자제공동의여부확인 ) 2. 1. 에서식별된개인정보중연락처가있는개인정보식별 3. 2. 에서식별된정보주체에게개인정보수집및이용사실고지 ( 파기요청수집 ) * 구체적인고지시기, 방법은시행령이나와야알수있음 4. 3. 의절차에서파기요청시파기시행 2) 민감정보의안전성확보조치명시적요구 중요도 업무영향도 대응업무부하 처벌 - 미이행시 3,000만원이하의과태료 - 미이행상태에서유출사고발생시 2년이하의징역또는 2,000만원이하의벌금 민감정보란개인의사상 신념, 노동조합 정당의가입 탈퇴, 정치적견해, 건강, 유전정보나범죄경력처럼사생활을현저히침해할우려가있는정보를말한다. 기존에도고유식별정보와더불어수집이용하지않는것이원칙이고별도의동의를얻어처리해야하며안전성확보조치를통해보호해야할대상이었다. 이번개정안에서는민감정보에대한안전성확보조치를명시적으로요구하고있을뿐기업입장에서달리조치해야할사항은없어보인다. ( 기존법에따라잘조치하고있었을경우에는그렇다는뜻이다.) 3) 개인정보처리방침과개인정보취급방침구성요건동기화 중요도 업무영향도 대응업무부하 처벌 해당없음 기업에서대응해야할업무절차 1. 보유중인개인정보중민감정보식별 2. 1. 에서식별된민감정보에대한안전성확보조치수준점검 3. 2. 절차에서법기준에미흡한경우보완조치이행 개인정보보호법의 개인정보처리방침 은정보통신망법 ( 이후 정통망법 ) 의 개인정보취급방침 과이름도다르고구성요건에도약간의차이가있었다. 이번개정안에서는방침구성내용에정통망법일부사 20

항을반영하여유사한구조를갖추도록했으며정통망법또한 개인정보처리방침 으로명칭을변경함으로써개인정보보호법과일원화할수있게되었다. 개인정보보호법개인정보처리방침에추가된사항은다음과같다. 와는다른사항이므로동의절차를새롭게설정해야할가능성이높다. 이런동의와철회방법에대한구현책임은이동통신단말장치소프트웨어제조업자와공급자에게부과하고있으며위반시과태료처벌을할수있도록되어있다. 6. 제31조에따른개인정보보호책임자의성명또는개인정보보호업무및관련고충사항을처리하는부서의명칭과전화번호등연락처 7. 인터넷접속정보파일등개인정보를자동으로수집하는장치의설치 운영및그거부에관한사항 ( 해당하는경우 ) 에만정한다. 2. 정보통신망이용촉진및정보보호등에관한법 ( 이하 정통망법 ) 1) 정보주체의이동통신단말장치내정보및기능에대한접근시동의절차의무화 중요도 업무영향도 대응업무부하 처벌 3,000만원이하의과태료 - 반드시필요하지않은접근권한설정에정보주체가동의하지않는다는이유로서비스제공을거부할경우 - 접근권한에대한동의및철회방법을마련하는등조치를하지않은경우 스마트폰메신저앱을생각해보자. 메신저앱의핵심적인기능은다른사람과메시지를주고받는것이다. 메신저를편히쓰려면연락처를일일이입력하기보다는스마트폰에있는연락처정보를이용하는게필요할텐데개정된법은그렇게메신저앱이서비스를이용하기위해스마트폰에저장된정보에접근할경우에반드시정보주체의동의를받아야한다는것이다. 제22조의 2( 접근권한에대한동의 ) 1 정보통신서비스제공자는해당서비스를제공하기위하여이용자의이동통신단말장치내에저장되어있는정보및이동통신단말장치에설치된기능에대하여접근할수있는권한 ( 이하 접근권한 이라한다 ) 이필요한경우다음각호의사항을이용자가명확하게인지할수있도록알리고이용자의동의를받아야한다. 1. 해당서비스를제공하기위하여반드시필요한접근권한인경우가. 접근권한이필요한정보및기능의항목나. 접근권한이필요한이유 핵심서비스를위해필요한정보나접근권한에도동의를받으라고하는상황인데그외의목적이라면당연히동의를요구할수밖에없다. 이경우에는사용자가동의를거부할권한이있고동의를안했다고해서기업이서비스제공을거부할수없도록하고있다.( 거부하면과태료처벌을받을수있다.) 2. 해당서비스를제공하기위하여반드시필요한접근권한이아닌경우가. 접근권한이필요한정보및기능의항목나. 접근권한이필요한이유다. 접근권한허용에대하여동의하지아니할수있다는사실 2 정보통신서비스제공자는해당서비스를제공하기위하여반드시필요하지아니한접근권한을설정하는데이용자가동의하지아니한다는이유로이용자에게해당서비스의제공을거부하여서는아니된다. 이법의요구사항은흔히알고있는개인정보수집이용동의와개념이다르기때문에기업에서도상당한고민과부담이있을것으로예상된다. ( 예를들면, 휴대전화에저장된연락처는휴대전화주인의개인정보가아니므로정보주체의개인정보수집이용동의로대체할수없다 ) 휴대전화기능에대한접근권한역시개인정보수집이용동의 3 이동통신단말장치의기본운영체제 ( 이동통신단말장치에서소프트웨어를실행할수있는기반환경을말한다 ) 를제작하여공급하는자와이동통신단말장치제조업자및이동통신단말장치의소프트웨어를제작하여공급하는자는정보통신서비스제공자가이동통신단말장치내에저장되어있는정보및이동통신단말장치에설치된기능에접근하려는경우접근권한에대한이용자의동의및철회방법을마련하는등이용자정보보호에필요한조치를하여야한다. 기업에서대응해야할업무절차 1. 운영 / 개발중인모바일앱 (App) 현황파악 ( 앱이설치된모바일기기내이용정보및기능내역 ) 2. 1. 에서식별된모바일기기내정보및기기에대해서비스이용에필수 / 선택항목식별 3. 모바일앱설치시동의 / 이용중철회절차검토및보완 1) 필수항목과선택항목의구분 2) 법제22조의2제1 항1호,2호의사항을고지사항에반영 4. 이용자정보보호에필요한기타조치사항반영 5. 3. 과 4. 에서도출된사항을모바일앱에적용업데이트 6. 기존운영중인앱의경우고객에게업데이트고지 ( 동의또는재동의절차적용 ) 2) 개인정보처리업무수탁자가재위탁할경우원위탁자의동의를받는경우에만가능함중요도 업무영향도 대응업무부하 2,000만원이하의과태료처벌 - 수탁자가위탁자의동의없이재위탁을한경우 이번정통망법개정안에서는개인정보처리위탁관련조항이특히많이수정되었다. 대부분용어가 취급 에서 처리 로바뀐사항이많고일부조항은개인정보보호법과동일한수준으로바뀌었다. 예컨대수탁자에대한관리감독책임에 교육 을별도로명시한다거나수탁자에게위탁을할경우에는문서에의하여야한다는내용들이그러하다. 개인정보보호법보다조금엄격하게느껴질만한것은제25조 7 항으로수탁자의재위탁은위탁자로부터동의를받은경우에한한다는내용이다. ( 개인정보보호법은시행령제28조에서 재위탁제한에관한사항 을위탁시작성해야할문서에기재하도록하고있다.) 7 수탁자는개인정보처리위탁을한정보통신서비스제공자등의동의를받은경우에한하여제1항에따라위탁받은업무를제3자에게재위탁할수있다. < 신설 2016.3.22.> 기업에서대응해야할업무절차 1. 수탁자의경우위탁받은개인정보의처리업무중재위탁현황파악 2. 재위탁사실이있고위탁자의동의증적이없는경우파악 3. 2. 에서파악된미동의재위탁건에대해위탁자에게고지및동의확보 3) 전화권유판매시개인정보수집출처고지의무부과중요도 업무영향도 대응업무부하 처벌 3,000만원이하의과태료 정통망법에따르면전자적전송매체를이용하여영리목적의광고성정보를전송할때수신자의명시적인사전동의를받아야만한다. 사전동의를받지않을수있는예외가두가지있는데 방문판매등에관한 21

법률 에따른전화권유판매자가육성으로전화권유를하는경우가그중하나였다. 개정법에서는 수신자에게개인정보의수집출처를고지하고 라는조건이추가됨으로써한결까다로워졌다. 기업에서대응해야할업무절차 1. 전화권유판매시정보주체사전동의획득여부확인 2. 사전동의미획득케이스인경우, 개인정보수집출처확인 3. 개인정보수집출처가확인되지않은경우, 개인정보이용중지 4. 개인정보수집출처가확인된경우, 수집출처를고객에게고지하고전화권유판매 4) 개인정보의국외이전유형에따른동의요건완화 5) 노출된개인정보의삭제차단조치의무화중요도 업무영향도 대응업무부하 처벌없음 웹사이트에서시험합격자명단등을공개할때관리자의부주의로주민번호와같은고유식별정보를포함시키는일이종종발생하곤한다. 기존법령에서도개인정보의노출을통제할책임은정보처리자에게부여하고있으나이번개정안에서는별도의조항으로명시함으로써책임성을부각하고있다. 관련처벌이따르지않아규범적조항인점이그나마다행스럽다. 중요도 업무영향도 대응업무부하 처벌 - 2,000만원이하의과태료 : 공개나고지없이개인정보를국외에처리위탁, 보관한경우 - 과징금부과 : 정보주체의동의없이개인정보를국외에제공한경우 모처럼개인정보보호담당자한테반가운개선조항이생겼다. 개인정보의국외이전은정통망법에서논란이되던문제였다. 개인정보보호법은국외에제3자제공할경우만정보주체의동의받으라고되어있는데정통망법에선 이전 할때동의를받으라고만되어있었기때문에제3자제공과위탁의경우를달리적용하기어려웠던것이다. 개정안에서는 국외로이전하려면 이라고되어있던조항을 국외에제공 ( 조회되는경우를포함한다 ) 처리위탁 보관 ( 이하이조에서 이전 이라한다 ) 하려면 이라고풀어서표현하고 다만, 정보통신서비스의제공에관한계약을이행하고이용자편의증진등을위하여필요한경우로서제3항각호의사항모두를제27조의2제1 항에따라공개하거나전자우편등대통령령으로정하는방법에따라이용자에게알린경우에는개인정보처리위탁 보관에따른동의절차를거치지아니할수있다. 라는단서조항을더함으로써국외이전의경우에도위탁업무일경우엔동의받지않고처리할수있도록하였다. ( 개인정보보호법과일치시킨셈이다 ) 기업에서대응해야할업무절차 1. 개인정보의해외이전유형식별 ( 제공 / 처리위탁 / 보관 ) 2. 이전유형중 ' 처리위탁 / 보관 ' 의경우고지 / 공개여부확인 3. 이전유형중 ' 제공 ' 의경우동의여부확인 4. 2, 3단계에서미흡사항발견시개선조치 제32조의 3( 노출된개인정보의삭제 차단 ) 1 정보통신서비스제공자등은주민등록번호, 계좌정보, 신용카드정보등이용자의개인정보가정보통신망을통하여공중에노출되지않도록하여야한다. 기업에서대응해야할업무절차 1. 시스템내개인정보노출현황파악 ( 노출정보유형 / 목적 / 노출기간 / 주관부서등현황파악 ) 2. 노출된고유식별정보및금융정보발견시삭제또는보호 ( 마스킹등 ) 조치 3. 1~2의반복적이행 가급적시스템화하는것이바람직함 6) 기타사항이상중요한사항은짚어보았고다른사항은대부분개인정보보호법과균형을맞추기위한내용들이다. 개인정보관리책임자 란용어는개인정보보호법과마찬가지로 개인정보보호책임자 란용어로바뀌었고, 처벌수준에있어서도주요법위반시위반행위에관련된이익의몰수추징조항이신설되었다. 내용의파급력으로보자면충격이클수도있는제32조제2항의징벌적손해배상도이미개인정보보호법에들어간내용이기때문에기업입장에서새롭게고민할사항은적을듯하다. 2 정보통신서비스제공자등의고의또는중대한과실로인하여개인정보가분실 도난 유출 위조 변조또는훼손된경우로서이용자에게손해가발생한때에는법원은그손해액의 3배를넘지아니하는범위에서손해배상액을정할수있다. 다만, 정보통신서비스제공자등이고의또는중대한과실이없음을증명한경우에는그러하지아니하다. < 신설 2016.3.22.> 전기통신사업자와정보통신서비스제공자를대상으로하는정보통신망법과일반법으로적용되는개인정보보호법은개인정보보호의규준을이루는양대법률이다. 기업입장에선지나치게자주개정되어정보보호업무부담을더하는측면도있다. 하지만이번개정안은두법의용어와조항, 처벌수준등을통일함으로써법적용을돕는긍정적인면이훨씬많을듯하다. 아무쪼록이번개정안이적극반영되어사회전반에서더욱안전한개인정보보호환경이갖추어지기를기대한다. 22

IT & LIFE 내아이를지키는 디지털페어런팅 스티브잡스가자녀에게아이폰, 아이패드와같은디지털기기의사용을허락하지않았다는건잘알려진사실이다. 드론을만드는 3D 로보틱스 CEO 크리스앤더슨은아이들이사용하는전자기기의사용시간을제한하고부모가통제할수있는장치를부착했다고한다. 그는 테크놀로지의위험을잘알고있으며아이들에게그런일이일어나는것을원치않는다 며그이유를설명했다. 이들의자녀교육법이전적으로옳다고말할수는없지만, 어릴때부터디지털기기사용이너무나익숙한우리자녀들의모습은한번쯤돌아볼필요가있다. 어릴때부터각종디지털기기의사용이능숙한 디지털키즈 (Digital kids) 인우리자녀들을위한똑똑한 디지털페어런팅 ( 육아법 ) 을소개한다. 식당이나카페에서어린자녀에게스마트폰은보여주고있거나, 자녀가어린이날선물로스마트폰을사달라고조르는경우, 스마트폰게임이나 SNS에빠져있는자녀때문에걱정인부모들에게필요한자녀의연령에맞는디지털페어런팅이다. 자녀가성숙한디지털기기사용습관을기를수있도록도와주는것은부모가반드시해야하는역할중하나다. 0~3세영유아기 : 스마트폰잠시건네는것도안돼이제걸음마를시작할법한아이가스마트폰에집중해있는모습을본적이있을것이다. 우는아이를달래기위해서, 식당이나카페에서아이를조용히앉혀놓을요량으로부모는어린자녀의손에스마트폰을쥐여준다. 하지만전문가들은이시기의아이에게디지털기기를노출시키는건 안된다 고입을모은다. 영유아스마트폰증후군 등의부작용이우려되기때문이다. 영유아스마트폰증후군 이란, 6세미만의아이들이영상, 게임등의지속적인자극에오랜시간노출되어우뇌가발달해야하는시기에좌뇌가지나치게발달해좌 우뇌의균형이틀어지는것을말한다. 영아기아이는우뇌가먼저발달하는데엄마의표정, 목소리, 눈짓, 몸짓을이미지로기억해엄마의의도를파악한다. 그다음좌뇌가발달하는데좌뇌가발달하기시작하면언어발달이이루어진다. 그런데이시기에과도하게스마트폰에노출되면우뇌가충분히발달하지않은상태에서좌뇌가발달하게된다. 우뇌가제대로발달하지못하면감정을담당하는뇌발달에영향을줄수있는데이는다른사람의마음을헤아리는능력, 다른사람과생각이나느낌을주고받는능력, 사고력, 감정조절력부족으로이어질수있다. 우는아이를달래려고, 부모가편하게밥을먹기위해서, 흥미로운자극을주고싶다는이유로이시기아이에게건넨스마트폰은아이의뇌에치명적인후유증을남길수있음을기억해야한다. 3~6세유아기 : 부모의통제하에사용해야전문가들은이시기아이에게도디지털기기의사용을권장하지는않는다. 하지만현실적으로쉽지않다면차선책을선택해야한다. 부모가디지털기기의이용시간및콘텐츠등에대해확실한기준을갖고있어야한다. 하루 30분이상넘기지않으며, 아이가좋아하는애니메이션영상과동요율동영상만본다 는식으로말이다. 아이의손에스마트폰을맡겨버리면의도하지않은영상에까지노출될우려가있으니주의해야한다. 약속한시간외에는스마트폰을아이의손에닿지않는곳에두는것이좋다. 이를위해서는부모역시스마트기기사용을절제할수있어야한다. 아이들은부모를롤모델로삼아그태도와습관을배우기때문이다. 하지만이시기아이가스마트폰을보여달라고강하게떼를쓰는등통제가되지않을때는당분간아예아이에게서스마트폰을분리하는것이효과적이다. 스마트폰이아닌다른방법으로아이와시간을보내는법을고민하는것은부모의몫이다. 23

6~10 세미만 : 디지털기기사용가이드라인에대해설명해줘야 부모가디지털기기사용시간및사용및목록의한계에대한가이드라인을정하고이에대해아이가이해할수있도록설명해주는것이좋다. 가이드라인을정할때아이의생각을들어보고반영하는것도방법이다. 디지털기기사용가이드라인이지켜질수있도록온가족이노력해야함은물론이다. TV를보고, 스마트기기를가지고노는것자체가문제가될수도있지만이로인해친구들과뛰어놀며신체활동을하는즐거움을빼앗기지않도록하는것도중요함을잊지말아야한다. 10세이상의초등학생 : 스스로규칙을정하고지킬수있도록동기부여부모들의고민중하나는 아이에게스마트폰을언제사줄것인가 다. 아이의하교후학원에서학원으로이동할때마다연락을주고받기위해휴대전화가필요할수도있다. 요즘은초등학교입학과함께스마트폰을사주는가정도많다. 친구들도다있다며사달라고떼를쓰는아이의마음도이해못하는바아니지만자녀에게스마트폰을사주는적당한시기는부모가잘판단해야한다. 아이가스마트폰사용규칙을지킬수있을만큼성숙한상태여야한다는의미다. 하고싶어도참을수있는절제력과충동조절능력, 좌절인내력이바탕이돼야만스스로규칙을지킬수있다. 자녀와함께 TV, 컴퓨터, 스마트폰등에대한이용규칙을정하고스스로통제할수있도록동기를부여해주는것이좋다. 만약약속을어겼을경우벌칙도명확히해둔다. 예를들어주말에만컴퓨터게임을하기로했는데어겼다면다음주말컴퓨터이용시간을줄이는식이다. 초등학교 3~4학년만돼도아이들은 SNS에흥미를느끼기시작한다. 이때부모는아이가어떤게시물을올리고다운로드하는지관심을가질필요가있다. 인터넷상에올린글이나영상은쉽게공유될수있으며지우는것도쉽지않다는점에대해서도알려줘야한다. 중 고등학생 : 자율성존중하되, 방치해선안돼 스마트폰그만하고공부해! 와같은강압적인지시는되레부작용을낳을수있다. 중 고등학생의자녀와의디지털페어런팅에서가장중요한것은자율성을존중하되, 방치해서는안된다는점이다. 아이가적당히조절하며디지털기기를사용하고있다면문제없지만, 걱정할정도로몰입돼있는상황이라면가정의디지털페어런팅방식을다시점검해봐야한다. 과몰입상태는적절한교육으로가정에서바로잡을수있지만, 중독의수준이라면상황이달라진다. 이런경우아이가디지털기기에빠진원인을찾고이를해결하기위해전문가상담및치료를받아야한다. 구글, 애플, 마이크로소프트등글로벌 IT 기업의자녀들이많이다니는실리콘밸리에발도로프학교에는컴퓨터가없다. 스크린보드, 빔프로젝터등의멀티미디어기기도없으며연필과종이, 분필등을이용한아날로그식수업이진행된다. 이들은우리나라나이로중학교 3 학년이되는 8학년이돼서야컴퓨터를서서히배우기시작한다. 학생들이학교에디지털기기를가져올수도없다. 디지털세상이아이를아프게한다 의저자인신의진정신과박사는 언제자녀가스마트폰을사용하면좋냐 는질문에 늦을수록좋다 고답한다. [ 그림 1] 컴퓨터가없는발도로프학교에대해다룬뉴욕타임즈기사 (* 출처 : http://www.nytimes.com/2011/10/23/technology/at-waldorf-school-in-silicon-valley-technology-can-wait.html) 우리자녀세대는지금우리보다훨씬더디지털기기와가깝게지낼것이다. 시대가변하고있기때문이다. 더흥미로운기기들이쏟아질것이고그에맞는교육및놀이앱이넘쳐날것이다. 하지만시대가변해도변하지않는것은존재한다. 부모가자녀와디지털생활에대해이야기를나눌수있는환경은신뢰를바탕으로한그들의아날로그생활에서의환경이조성하는법이다. 가족과함께서로의디지털생활에대한이야기를나눠보는시간을갖는것은어떨까? 참고자료신의진 (2013). 디지털세상이아이를아프게한다. 북클라우드구본권 (2014). 당신을공유하시겠습니까?. 어크로스 24

STATISTICS 보안통계와이슈 안랩, 4 월악성코드통계및보안이슈발표 파일속성변경하는리눅스악성코드등장 안랩시큐리티대응센터 ( 이하 ASEC) 는최근 ASEC Report Vol.76 를통해지난 2016 년 4 월의보안통계및이슈를전했다. 지난 4 월 의주요보안이슈를살펴본다. ASEC이집계한바에따르면, 2016년 4월한달간탐지된악성코드수는 1,156만 4,967건으로나타났다. 이는전월 1,321만 2,012건에비해 164만 7,045건감소한수치다. 한편 4월에수집된악성코드샘플수는 324만 5,837건이다. 40,000,000 30,000,000 0.14% 0.72% 3.47% 16.8% 59.48% 19.39% 20,000,000 10,000,000 13,212,012 11,830,547 11,564,967 PUP etc Trojan Worm Adware Downloader [ 그림 2] 2016 년 4 월주요악성코드유형 6,000,000 5,000,000 4,000,000 3,000,000 2,000,000 지난 4월한달간탐지된모바일악성코드는 24만 7,847건으로집계됐다. 700,000 600,000 1,000,000 3,493,468 2 월 3,548,581 3 월 3,245,837 4 월 500,000 400,000 323,301 탐지건수 샘플수집수 300,000 256,512 247,847 [ 그림 1] 악성코드추이 (2016 년 2 월 ~2016 년 4 월 ) 200,000 [ 그림 2] 는 2016년 4월한달간유포된악성코드를주요유형별로집계한결과이다. 불필요한프로그램인 PUP(Potentially Unwanted Program) 가 59.48% 로가장높은비중을차지했고, 트로이목마 (Trojan) 계열의악성코드가 16.8%, 웜 (Worm) 이 3.47% 의비율로그뒤를이었다. 100,000 0 2월 3월 [ 그림 3] 모바일악성코드추이 (2016년 2월 ~ 2016년 4월 ) 4 월 25

또한지난 4 월악성코드유포지로악용된도메인은 648 개, URL 은 2,216 개로집계됐다. 4 월의악성도메인및 URL 차단건수는총 637 만 3,536 건이다. 이와같은경우 lsattr 명령을통해해당파일의속성을조회하면 [ 그 림 7] 과같이 i 속성이추가되어있음을확인할수있다. 9,000,000 8,000,000 [ 그림 7] 파일속성조회 7,000,000 6,355,582 7,157,616 6,373,536 이처럼 i 속성이추가되어있는경우에는 [ 그림 8] 과같이루트권한으로 chattr 명령을통해해당파일의속성을변경한후, 다시삭제 6,000,000 를시도하면해당파일이정상적으로삭제된다. 5,000,000 4,000,000 [ 그림 8] 파일속성변경후제거시도 40,000 파일의속성추가 (chattr) 는 +[ 추가할속성 ], 제거는 [ 제거할속성 ] 30,000 을통하여수행할수있으며, -R 옵션을추가로부여하는경우에는 20,000 하위디렉터리까지모두포함되어적용된다. 이는윈도우 (Windows) 운영체제의 attirb 명령과유사하다. 10,000 0 7,900 936 2월 8,146 1,587 3월 2,216 648 4월 [ 명령어예시 (i, S 속성추가 )] chattr + is samples [ 파일속성명중일부 ] [ 설명 ] 악성도메인 /URL 차단건수 악성코드유포도메인수 악성코드유포 URL 수 a (CAP LINUX IMMUTABLE capability) 추가작성만가능. 삭제불가 [ 그림 4] 악성코드유포도메인 /URL 탐지및차단건수 (2016 년 2 월 ~ 2016 년 4 월 ) I (CAP LINUX IMMUTABLE capability) 삭제, 변경, 링크파일생성등 리눅스악성코드 빌게이츠봇넷 발견최근리눅스 (Linux) 운영체제에서감염시스템의정보수집, 시스템파일교체, DDoS 공격등을수행하는 빌게이츠봇넷 (BillGates botnet) 이발견됐다. 해당악성코드는감염시스템내에서속성이변경되어삭제가불가능해리눅스사용자들의피해가우려된다. 빌게이츠봇넷은서버에침입후파일의속성을변경하여악성코드를삭제할수없도록설정한다. 리눅스시스템에서악성코드감염에의해파일속성이변경된경우, 이를삭제할수있는방법을자세히살펴보자. 먼저공격자가파일의속성을변경한후 [ 그림 5] 와같이삭제시도를하면 실행이허가되지않았다 (Operation not permitted) 라는메시지가출력되며해당파일이삭제되지않는다. [ 그림 5] RM 명령어를통한삭제시도 이때만일관리자가파일이삭제되지않는원인을파일권한문제라고생각하고파일시스템에기록된정보를이용하여루트계정및 inode를제거하는방법으로다시삭제를시도하면, 마찬가지로동일한메시지가발생하며파일이삭제되지않는다. S 파일이변경되면디스크동기화 u 파일삭제시내용백업 [ 표 1] 리눅스파일속성및 CHATTR 명령어예시이번리눅스악성코드사례와같이파일의속성이변경되어삭제가불가한경우가있어권한뿐만아니라파일속성에대해서도다시한번확인하는것이필요하다. 단, 중요파일이나로그파일등은 i 나 a 속성을적용하는정상적인경우도있다. 즉, 이러한속성이적용되어있는파일이라고해서모두악성파일은아니므로정확히악성으로확인된파일에대해서만삭제를진행할것을권장한다. 최근리눅스운영체제를노리는악성코드가꾸준히증가하고있다. DDoS 공격이나백도어등리눅스악성코드의기능도다양해지고있으며, 앞으로더욱고도화될것으로예상된다. 리눅스시스템도안전하게이용하기위해서는반드시암호를설정해야하며, 최신보안업데이트를적용해야한다. V3 제품에서는해당악성코드를다음과같은진단명으로탐지하고있다. <V3 제품군의진단명 > Linux/Backdoor.1223123.B [ 그림 6] INODE 제거를통한삭제시도 26

AHNLAB NEWS 현대오토에버, 우수개발협력사 로안랩선정 현대자동차그룹 IT서비스전문업체인현대오토에버가최근 5스타우수개발협력사 로안랩을선정했다. 현대오토에버우수개발협력사 는현대오토에버가협력사와공동으로수행한전년도사업의수행실적에따라 1스타부터 5스타까지우수협력사를선정하고, 이에따른다양한인센티브를제공하는프로그램이다. 안랩은현대오토에버의개발 / 컨설팅협력사로서프로젝트평가및업체종합평가등에서안정적이고우수한프로젝트성과를인정받아최고등급인 5스타 우수개발협력사로선정됐다. 안랩서비스사업부를총괄하는방인구상무는 안랩은핵심가치인 고객만족 을기준으로맡은사업에대해언제나최선을다하고있다 며, 안랩을신뢰해주시는여러회사와함께동반성장할수있도록노력하겠다 고말했다. 안랩, AWS 서밋서울 2016 에서클라우드보안관제서비스소개 안랩이지난달 17일코엑스컨벤션센터에서열린 아마존웹서비스글로벌서밋서울 2016( 이하, AWS 서밋서울 2016) 에서다양한산업관계자를대상으로 안랩 AWS 고객원격보안관제서비스 를소개했다. AWS 서밋서울 2016은아마존웹서비스가제공하는클라우드컴퓨팅서비스에대한지식을공유하고 IT 업계의최신기술트렌드등을소개하는행사로, 지난해첫국내개최에이어두번째로열렸다. 이번행사에참가한안랩은전용부스를운영하며 안랩 AWS 고객원격보안관제서비스 에대한개별고객상담및서비스체험신청등을진행했다. 안랩 AWS 고객원격보안관제서비스는네트워크및웹서비스등에대한보안을안랩의침해대응 (CERT) 전문인력이원격으로모니터링및관리해주는서비스다. 또한, 별도발표장에서진행된미니발표세션에서안랩서비스상품기획팀김준호대리는안랩 AWS 고객원격보안관제서비스의개요및구성을비롯하여 탐지를넘어위협분석까지제공하는침해사고대응프로세스 미디어사, O2O(Online to Offline, 온오프라인연결 ) 서비스, 제조분야의실제고객사례를통한다양한산업별서비스적용방안등 안랩 AWS 고객원격보안관제서비스 의개념과강점을소개했다. 안랩김준호대리는 안랩은 AWS 고객원격보안관제서비스 를지난 1월출시한이후약 4개월여만에이미복수의대형고객사를확보하는등검증된서비스를제공하고있다 며 이는많은고객사에서단순탐지를넘어위협분석및대응까지가능한안랩의전문성을인정한것으로볼수있다 고강조했다. 안랩은 AWS 서밋서울 2016 행사에서전용부스와발표세션을통해안랩 AWS 고객원격보안관제서비스를소개했다. 27

발행인 : 권치중발행처 : 주식회사안랩경기도성남시분당구판교역로 220 T. 031-722-8000 F. 031-722-8901 편집인 : 안랩콘텐츠기획팀디자인 : 안랩디자인팀 2016 AhnLab, Inc. All rights reserved. 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다.

http://www.ahnlab.com http://blog.ahnlab.com http://twitter.com/ahnlab_man 경기도성남시분당구판교역로 220 T. 031-722-8000 F. 031-722-8901 2016 AhnLab, Inc. All rights reserved.