Embed Size (px)
Citation preview
SPECIAL REPORT
1
되돌아보는 7̂ 7 DDos 대란 2010.12
월간安은 안철수연구소에서 발행하는 보안분석정보 매거진입니다
D E C E M B E R 2 0 1 0
CEO 강연 지상중계
시대적 키워드 컨버전스, IT 산업의 거부할 수 없는 운명
세미나 지상중계: AhnLab Integrated Security Fair 2010안철수연구소, 입체적인 보안의 스펙트럼 제시
Special Report개인정보보호법의 의미와 전망 개인정보보호법 시행, 무엇을 준비해야 하나
Hot Issue스파이아이, 온라인 뱅킹 악성코드 제우스의 천적일 뿐인가?
스마트폰, 안전하게 사용하는 방법
취약한 인증과 세션 관리, 공격 위험과 예방법
Case Study업데이트로 끊임없이 다시 태어나는 피닉스 익스플로이트 킷
Product IssueTG DPX, 인라인 vs 아웃오브패스 대결의 종결자
New Product비즈니스 매너를 아는 당신이 진정한 차도남!
ASEC News스마트폰도 피해갈 수 없는 악성코드 위협
Statistics2010년 10월 악성코드 관련 주요 통계
AhnLab's Twitter What’s happening?
2
2010.12시대적 키워드 컨버전스, IT 산업의 거부할 수 없는 운명CEO 강연 지상중계
시대적 키워드 컨버전스,IT 산업의 거부할 수 없는 운명
이 글은 안철수연구소 김홍선 대표님의 AISF 2010 강연을 지면으로 옮긴 것 입니다.
안철수연구소 김홍선 대표가 지난 10월 26일, JW 메리어트 호텔 그랜드볼룸에서 개최된 통합보안 세미나 'AhnLab
Integrated Security Fair(AISF) 2010'에서 IT 패러다임 변화와 보안 이슈, 컨버전스 시대의 통합 보안 전략에 대해 강연
을 펼쳤다. 기업의 효과적인 보안 위협 대응 방안 제고를 위한 목적으로 마련된 이날 행사에서 김홍선 대표는 컨버
전스라는 화두를 던졌다. 또한 이와 관련된 국내 IT 산업의 미래에 대해 업계 전문가로서의 의견을 피력해 참관객들
의 뜨거운 호응을 얻었다.
IT 시장과 비즈니스 플랫폼의 변화
돌아보면 올해 가장 많이 언급됐던 단어가 바로 '스마트폰'이 아
닌가 싶다. 개인적으로도 작년에는 DDoS 대란 때문에 보안에 대
한 세미나가 상당히 많았는데 금년에는 스마트폰에 대해서 수십
차례의 강연을 가졌던 것 같다. 심지어 고객사의 요청으로 마련
한 강연에서도 보안에 대한 이야기는 전혀 없이 스마트폰에 대해
서만 강연을 진행하기도 했다. 어떻게 보면 스마트폰은 휴대폰에
서 진화한 것이라 할 수 있는데 왜 보안 업체인 안철수연구소에
스마트폰에 관한 강연을 의뢰하는 것일까? 통신사도 있고 여러
단말기 제조업체들도 있는데 왜 소프트웨어 업체인 우리 안철수
연구소에 스마트폰에 대해 묻는 것일까? 이것은 바로 소프트웨어
중심으로 바뀌고 있는 산업 구조 때문이다.
스마트폰 외에도 트위터나 페이스북 등 정치에도 영향을 줄
정도로 파급력이 있는 소셜 네트워크 서비스가 급증하고 있다.
한편 최근 우리나라에서는 네이버의 N드라이브나 KT 등에서 클
라우드 서비스를 제공하고 있기는 하지만 사실 해외에 비해서는
우리나라는 상당히 클라우드가 뒤떨어진 것이 현실이다. 이미 미
국에서는 많은 형태의 클라우드 서비스가 나오고 있고, 대기업들
의 경우 5년 이내에 80% 이상의 시스템이 클라우드로 옮겨가겠
다고 공헌하고 있다. 한편 인텔은 최근 10조 원에 가까운 돈을 들
여 보안회사 맥아피를 인수했고, HP는 아크사이트(ArcSight)라는
ESM(Enterprise Security Management) 업체를 인수했다. 이들 외
에도 미국의 많은 보안 업체들이 인수 대상 물망에 올랐기 때문
에 주가가 급등하고 있는 상황이다. 인텔이라는 회사는 그 동안
퍼포먼스(performance), 즉 성능을 높이고 에너지를 줄이는데 초
점을 맞춰왔는데 왜 굳이 보안을 또 다른 축으로 가져가려고 하
는 것인가? 왜 IT 기업들이 보안 업체들을 인수하는 것일까? 이
와 관련하여 우리가 갖고 있는 비즈니스 플랫폼에는 어떠한 변화
가 생기고 있는가? 사실 이와 관련해서는 스마트폰만 따로 보아
서도 안되며 소셜 네트워크 서비스만을 따로 놓고 봐서도 안 된
다. 이들을 함께 보아야만 한다. 스마트폰과 클라우드, 그리고 소
셜 네트워크 서비스가 함께 맞물려 돌아가고 있으며 여기에 우리
가 이미 기존에 디지털화한 많은 정보들을 이용해 어떤 비즈니스
를 창출하고 어떤 정보화 시스템을 가져갈 것인지, 또한 어떻게
안전을 유지할 수 있는지가 현재 우리의 숙제라 할 수 있다. 바로
이러한 측면에서 애플이나 구글, 아마존, 페이스북 등과 같은 회
사들의 주도하에 전체 스토리가 바뀌어 나가고 있는 것이다.
콘텐츠 중심으로의 전환이 국내 SW산업의 미래 결정
지금까지의 모바일 네트워크는 통신 업체와 디바이스 업체로 양
분된 형태로 해당 업체들 사이에서의 경쟁이었다면 이제는 누가
디지털 콘텐츠를 가장 빠르게 전달하고 공유하느냐가 관건이다.
그리고 그러한 플랫폼을 가진 사람들이 시장을 주도하게 되었
다. 현재 모바일과 인터넷, 또 스마트폰을 주도하는 업체가 애플
과 구글인 이유는 바로 그와 같은 플랫폼을 가지고 있기 때문이
다. 스마트폰이 휴대폰에서 PDA를 걸쳐 진화한 것은 맞지만 스마
트폰의 환경은 이들과 전혀 다른 형태다. 스마트폰이 선풍적으로
사용되는 이유로 크게 두 가지를 들 수 있다. 우선 스마트폰을 구
입하자마자 바로 네트워크에서 이용할 수 있는 '애플리케이션'이
이미 존재한다는 점이다. PC나 휴대폰에서 많은 기술들이 진화했
고 PDA에 들어가는 단말기의 특성과 터치 기능이 스마트폰에 들
어갔다. 또한 여기에는 이미 웹 2.0이라는 환경이 있었고 많은 애
플리케이션이 있었으며 소셜 네트워크가 구성되어 있었던 것이
3
다. 아이패드가 출시된 지 28일 만에 무려 100만대를 판매할 수
있었던 것도 바로 이러한 애플리케이션이 존재하고 있었기 때문이다.
이와 더불어 '정보화 인프라'가 또 하나의 축이 되었다. 작년
말, 국내에 아이폰이 출시되었을 때 어느 고등학생이 지하철, 버
스 등의 교통 정보를 활용해 아이폰 애플리케이션을 만들어 이른
바 대박을 냈다는 것이 언론 보도를 통해 알려졌다. 사실 이 고등
학생이 한 일은 이미 정보화되어 있는 교통 정보, 즉 이용할 수
있는(available) 정보를 가져와서 아이폰의 애플리케이션에 반영
했을 뿐이다. 이처럼 단 한 명의 고등학생이 애플리케이션을 만
들 수 있었던 것은 개방화된, 즉 네트워크화된 IT 인프라가 있었
기 때문이다. 그리고 이러한 현상은 스마트폰에만 해당되는 것
이 아니다. 현재 시장에 나오고 있는 각종 태블릿 디바이스, 스
마트 TV, 전자책에서도 마찬가지가 될 것이다. 예를 들어 하나의
HTML 파일을 플랫폼에 맞춰 각기 다르게 적용할 수 있도록 개발
하는 것, 즉 PC, TV와 같은 하드웨어 중심이 아니라 소프트웨어
적인 사고 방식, 콘텐츠 위주의 사업 방식으로 바꾸지 않으면 한
국이 직면하고 있는 IT 소프트웨어의 위기라는 현재 상황을 극복
할 수 없다고 생각한다.
따라서 세 개의 축, 즉 애플리케이션을 사고 파는 마켓, 스마
트한 각종 단말기, 이미 정보화된 데이터베이스 등을 어떻게 연
결할 것인가, 이것이 우리가 가져가야 할 모바일의 스토리다. 최
근 관심의 대상이 되고 있는 모바일 오피스도 마찬가지다. 모바
일 오피스는 단순히 기업의 결제시스템에 스마트폰을 추가하는
것이 아니다. 보다 전반적인 차원에서 직원을 비롯해 협력사, 고
객들을 위해서 얼마나 개방화된 환경으로 스마트폰과 클라우드
를 가져가느냐가 모바일 오피스 구현의 중요한 열쇠라 할 수 있
다. 이것이 바로 통합적인 소프트웨어 플랫폼이며, 따라서 수많은
디바이스에 인텔리전트한 소프트웨어들이 들어가고 여기에 많은
서비스 플랫폼들을 어떻게 녹여낼 것인가, 여기에 어떠한 가치를
넣을 것인가, 그리고 얼마나 안전하게 전달할 수 있느냐가 현재
우리의 숙제라 할 수 있다.
강력한 툴을 가진 개인, 그리고 컨버전스
그렇다면 IT 시장에서는 무엇이 변하고 있는가? 앞서 언급했듯이
글로벌 대기업들이 주요 보안 업체들을 인수하며 포트폴리오를
확대하고 있다. 이는 결국 앞서 언급한 새로운 패러다임을 주도
하기 위해서인 것이다. 아울러 최근에 바뀐 것 중 하나는 보다 더
많은 사람들이 스마트한 기기들을 갖고 있고 애플리케이션을 갖
고 있기 때문에 '주어진 정책'에 만족하지 않는다는 것이다. 일례
로 온라인 뱅킹의 경우 인터넷 익스플로러(Internet Explore)를 통
해 안전하게 거래할 수 있도록 시스템을 구축했다지만 전 세계적
으로 IE의 시장 점유율은 채 50%도 되지 않는다. 또 많은 유저들
이 PC뿐만 아니라 자신이 가지고 있는 스마트폰이나 태플릿 PC
를 통해 접근하고 이용하기를 원한다. 즉, 자신이 원하는 브라우
저, 자신이 원하는 디바이스, 자신이 원하는 애플리케이션을 통
해 접근하기를 원한다는 것이다. 이러한 변화는 보안의 측면에서
보면 상당한 도전이 되고 있지만 이는 거부할 수 없는 유저 요구
사항이다. 그리고 이러한 현상을 IT 분야 리서치 전문업체 가트너
(Gartner)는 IT의 컨슈머라이제이션(consumerization)이라고 표현하
고 있다.
이제는 클라우드, 소셜 네트워크 같은 서비스 플랫폼과 많은
스마트 기기들로 플랫폼이 재편되고 있다. 아울러 하드웨어냐 소
프트웨어냐, 또 서비스냐 SI냐 하는 것의 경계가 거의 무너지고
Application PlatformWeb 2.0
Social Network
API
정보화 인프라
API
정보화 인프라
Smart Phone
Location Multi-Sensor
Multi-Channel
Intelligence
[그림 1] 스마트폰 포지셔닝(Smart Phone Positioning)
4
있다. 즉, 비즈니스 모델은 기존에 가지고 있던 것들이 크게 바뀌
고 있는, 그야말로 '지축이 흔들리는 변화'가 일어나고 있는 것이다.
이러한 변화의 양상에서 파악할 수 있는 시대적 키워드는 크
게 두 가지다. 우선 많은 개인들이 강력한 무기를 갖고 있다. 이
전까지는 이미 만들어진 IT 시스템에 접근하는 체제였다면 이제는
개인들이 스마트폰 등 스마트 디바이스로 소셜 네트워크를 통해
서 기존의 조직에서 벗어나서 자신들이 할 수 있는 것을 하고자
한다. 지금까지 이토록 개인이 강력한 정보력과 강력한 툴을 가
진 적이 없었다. 따라서 '그렇다면 그 사람들과 어떻게 어우러져
일을 할 수 있는가?', 바로 이것이 비즈니스의 중요한 가치가 되
고 있다. 두 번째 키워드는 컨버전스(convergence)다. 우리는 이
컨버전스, 즉 융합이라는 말을 많이 쓰고 있다. 이는 특히 디지털
컨버전스, 인터넷 컨버전스, 미디어 컨버전스 등 통신과 방송의
경계가 무너지는 인터넷 영역에서 흔히 쓰였던 표현이다. 그러나
지금은 소셜 컨버전스(또는 컨버전스 소셜)라고 할 만큼 컨버전스
는 이미 우리의 생활 속 많은 부분에서, 또 우리의 라이프스타일
자체에 많은 영향을 주고 있다.
IT 패러다임의 변화와 보안 이슈
그렇다면 이와 같은 상황에서 보안 위협은 어떤 것들이 나타나고
있고, 여기에 어떻게 대응할 것인지에 대해 생각해보자. 실제 사
회에서 과거의 전쟁이 이른바 '공성(攻城)'이라고 해서 '저 성을 무
너뜨리자'는 측과 성을 지키기 위해 이를 막는 것이었다면, 냉전
체제가 무너진 이후의 현대 사회의 위협은 테러의 양상을 띠고
있다. 이와 마찬가지로 사이버 세계에서 기존의 보안은 들어오려
는 해커에 대해 방화벽과 내부망 구축 등으로 방어하려는 형태였
다면 최근에는 테러의 형태로 위협 양상이 변화하고 있다. 이제
사이버 공간의 위협은 인터넷 뱅킹 등 트랜잭션을 비롯해 맨인더
브라우저(Man-in-the-Browser), 맨인더미들(Man-in-the-Middle)
공격 등과 같이 각각의 개인을 타깃으로 삼고 있다.
이는 브로드밴드 때문이다. 즉, 대부분의 PC들이 네트워크에
연결되어 있기 때문에 굳이 직접 네트워크를 공격할 이유가 없다
는 것이다. 취약점이 많은 홈페이지를 공격하고 엔드포인트를 공
격하기만 해도 네트워크에 모두 연결 되어있기 때문에 쉽게 공격
할 수 있다. 따라서 최근의 공격 유형은 철저하게 악성코드에 기
반하고 있다. 더 나아가 스마트폰도 모바일 상황에서 브로드밴드
가 되기 때문에 이와 같은 공격의 타깃이 될 것이다. 또한 최근에
는 해커들이 도저히 범접할 수 없다고 생각했던 영역인 생산 및
기반 시설까지도 스턱스넷과 같은 악성코드의 타깃이 되고 있다.
이와 같이 모두 연결되어 있는 세상에 살고 있기 때문에, 이른바
소셜 네트워크로 접속이 되는 세상에 살고 있기 때문에 공격의
형태는 더욱 더 복합적이고 입체적으로 전개된다고 할 수 있다.
입체적인 공격, 악성코드 중심의 공격의 양상은 2년 전부터 뚜렷
하게 나타났다. 실제로 지난 2009년 7. 7 DDoS 대란도 결국 개인
사용자들이 알지 못 하는 사이에 그들의 일반 PC를 이용해 공격
한 것이었다.
스마트한 시대, 사고의 방향 전환 필요해
개인적으로 15년 간 보안 업계에서 종사하고 있지만 지금까지의
보안의 패러다임은 완전히 바뀌고 있다. 기존의 위협에서 발전한
수준이 아니라 완전히 다른 형태로 바뀌고 있기 때문이다. 제우
스와 같은 해킹 툴만 보더라도 설치나 사용이 편리할 뿐만 아니
라 애초에 제작 자체도 글로벌하게 협력되어 만들어졌기 때문에
제작자 추정조차도 쉽지 않다. 그렇다면 이를 막기 위해서는 무
엇이 필요한가? 우선 여러 가지 플랫폼에 대해서 다양한 전문성
을 제공할 수 있어야 하며, 악성코드를 이용해서 모든 공격이 벌
어지는 만큼 신속한 악성코드 분석 능력이 필요하다. 또한 원천
기술과 실전경험이 없으면 이러한 위협 양상에 대응할 수가 없다.
정보보안은 앞으로도 끊임없이 지식기반 사회의 핵심이 될 수 밖
에 없다. 그러나 기존의 기술적인 접근이 아니라 행위를 중심으
로 접근해야만 한다. 그리고 무엇보다 고객들이 편하게 사용할
수 있으면서도 안전해야만 한다. 즉, 보안도 실효성을 가져야 한
다는 것이다. 아울러 보안과 관련된 법제 등도 기존의 인프라 중
심의 정책이 아닌 소프트웨어 및 콘텐츠 등 사용자 중심의 보안
정책 마련으로 변화되어야만 한다.
현재 IT 환경에서 발생하는 위협은 '복합적이고 입체적인 공격'이
다. 입체적이라는 것을 강조하는 이유는 현장에서 실제로 일어나
고 있는 일이기 때문이다. 아울러 정보를 한정적인 것으로 제한
하여 막는 것은 더 이상 보호가 아니다. 오늘날의 복합적이고 지
능적인 위협에 대해 입체적으로 대응하고 실제적인 문제를 해결
하는 것이 앞으로 보안이 나아가야 할 방향이다. 아울러 이제는
일반인들, 고객들이 더 많이 아는 스마트한 시대이며, 바로 이러
한 부분을 IT 종사자들이 인지해야만 한다. 사고의 방향을 바꿔야
만 스마트 워크를 비롯한 새로운 시대를 해쳐나갈 수 있기 때문이다.
5
2010.12AISF 2010세미나 지상중계
AhnLab Integrated Security Fair 2010안철수연구소, 입체적인 보안의 스펙트럼 제시
강력한 툴을 가진 개인과의 컨버전스
안철수연구소가 최근 개최한 통합보안 세미나 'AhnLab Integrated
Security Fair 2010(이하 AISF 2010)'은 나날이 고도화, 지능화되고
있는 IT 보안 이슈들에 대한 상세한 설명과 이에 대한 기업 및 기
관의 대응방안을 공유하는 장이었다. 특히 최근 출시된 APC 어플
라이언스 등을 가장 먼저 만나볼 수 있는 자리였던 AISF 2010의
전시 부스는 세션 사이의 쉬는 시간마다 참관객들로 발 디딜 틈
이 없었다.
AISF 2010의 시작을 알리는 오프닝 영상에 이어 안철수연구소
김홍선 대표가 기조 연설을 위해 강연대에 올랐다. 김홍선 대표
는 급변하고 있는 IT 패러다임과 컨버전스(convergence)라는 화두
를 던지고 그에 따라 기업이 나아가야 할 방향을 제시했다. 특히
스마트폰, 태블릿 PC 등의 장치와 다양한 앱 등 IT 패러다임의 급
격한 변화의 예를 들고 "지금만큼 개인이 파워풀한 정보력과 툴
을 가진 적이 없었다"며 "각 개인들이 강력한 장치(device)로 무장
하고 있는 만큼 이들과 어떻게 비즈니스로 나아갈 수 있는지를
고민하는 것이 컨버전스(convergence)"라고 말했다. 또한 보안의
패러다임 역시 기존과는 완전히 바뀌고 있다며 "인터넷을 통해
모든 것이 전부 연결, 전부 접속되는 환경이기 때문에 공격의 형
태는 복합적이고 입체적으로 변화하고 있다"고 말했다. 이어 날로
심각해지는 DDoS 공격, 제우스(ZeuS)와 같이 글로벌화, 브랜드화
되는 해킹 툴, 그리고 최근의 스턱스넷처럼 생산/기반 시설을 공
격하는 악성코드를 언급하며 "이제는 한 달에 백만 개 이상의 샘
플이 수집되고 공격의 유형이나 기술이 복잡해지고 있는 현실"이
라고 강조했다. 이어 "이에 휴리스틱(Heuristic), 샌드박스(Sandbox)
뿐만 아니라 보다 획기적인 방법을 찾기 위해 고심해왔다"며 그
결과물을 설명할 안철수연구소 시큐리티대응센터(ASEC, AhnLab
Security Emergency response Center) 전성학 본부장을 소개했다.
디지털 컨버전스의 물결 속에서 IT 환경이 급변함에 따라 사이버 공격 및 보안 위협은 더욱 고도화 되고 있다. 특히 금전적 이윤을 노리며 조직적, 지능적
으로 변화하고 있는 사이버 범죄로부터 정보자산을 보호하고 비즈니스 연속성을 유지하기 위한 기업 및 기관의 고민이 늘어나고 있다. 이에 안철수연구
소는 2010년 10월 JW 메리어트 호텔 그랜드볼룸에서 컨버전스 시대에 따른 기업의 효과적인 보안 위협 대응 방안 모색을 위한 통합보안 세미나 'AhnLab
Integrated Security Fair 2010'을 개최했다. 이번 행사에는 금융, 통신, 교육, 유통 업계 IT 관리자 및 보안담당자는 물론, 보안에 관심이 많은 일반인까지
500여 명이 참여해 성황을 이뤘다. 다양한 IT 기기들과 소프트웨어들의 활발한 융합이 일어나는 디지털 컨버전스 시대, 그 흐름 속에서 보안 위협에 맞서
기 위해 고민하는 보안 관리자들의 뜨거운 관심을 피부로 느낄 수 있었던 그 현장을 지금부터 함께 살펴보자.
안철수연구소, 컨버전스 시대의 보안위협 대응을 위한 통합보안 세미나 개최
IT 관리자 및 보안 담당자 등 500여명 참석, 효과적인 보안위협 대응방안 모색 열기 뜨거워
AISF 2010에는 500여 명이 참석해 성황을 이뤘다.
6
우리는 그 시스템을 쓰지 않으므로 안전하다?!
ASEC 전성학 본부장은 우선 애플 퀵타임(QuickTime), 어도비 아
크로뱃 리더 취약점 등 소프트웨어 제로데이(zero-day) 취약점을
이용한 공격이 계속되고 있다며 일반적인 상황을 전달했다. 또한
근래 이슈가 되고 있는 악성코드에 대해 "제우스(ZeuS) 봇과 같이
브랜드화, 산업화된 악성코드 제작 툴은 일반인도 이용 가능하며
악성코드가 정교하게 만들어져 분석이 어렵다"며 "뿐만 아니라 유
지/보수가 가능하고 새로운 기능들이 업그레이드 되기도 하기 때
문에 기존방식으로는 찾아내기 어렵다"고 설명했다. 이어 최근 이
란 핵시설 감염으로 이슈가 됐던 스턱스넷(Stuxnet)에 대해 '새로
운 공격 형태'라고 말하고 "기존 PC기반의 악성코드 패턴에서 변
화하고 있다"고 말했다. 즉, 산업 시설이나 기반 시설들이 폐쇄망
에서 운영된다는 점을 간파한 해커들이 USB를 통한 전파를 연구
한 것이라는 설명이다. 특히 스턱스넷이 독일 지멘스사의 산업자
동화 제어시스템을 공격 목표로 제작된 악성코드라는 점과 관련
해 "우리는 그 산업 시스템을 쓰지 않으므로 안전하다라는 식의
생각은 잘못"이라며 "이러한 악성코드는 얼마든지 타깃을 바꿀 수
있기 때문에 어떠한 산업 시설이라도 위험할 수 있다는 것이 문
제"라고 지적했다.
특히 이러한 새로운 방식의 악성코드들은 기존 방식만으로는
대응하기 어렵다고 설명한 전성학 본부장은 "기존 방식은 샘플을
입수하고 패턴을 업데이트하는 방식이기 때문에 속도가 늦어지
고 양도 많아지는 단점이 있다"고 지적했다. 이어 "엔진을 업데이
트하지 않고 대응할 수 있는 방법을 고안하게 됐다"며 클라우드
개념의 악성코드 대응 기술인 안랩 스마트디펜스(AhnLab Smart
Defense, 이하 ASD)의 배경을 설명했다. 안랩 스마트디펜스 기술
은 악성코드 검사 엔진 및 시그니처가 클라이언트 PC가 아닌 서
버, 즉 외부에서 작동되고 업데이트 되는 것이 특징이다. 즉, 클
라이언트 PC의 리소스에는 전혀 부담을 주지 않으면서 악성코드
DB 업데이트가 클라우드 서버에서 진행되기 때문에 보다 광범위
한 데이터 반영으로 더욱 신속하고 즉각적인 악성코드 대응이 가
능하다는 것이 전성학 본부장의 설명이다.
전성학 본부장은 이어 안철수연구소가 최근 ASD 기술에 접목
한 DNA 스캔 기술을 소개했다. 전성학 본부장은 "1억 4천만 개의
샘플을 수집, 분석한 결과 일정한 룰이 있음을 확인했다"며 "인간
의 DNA를 도식화하는 것과 마찬가지로 악성코드도 DNA 룰을 만
들 수 있다는 생각에서 시작했다"고 DNA 스캔 기술의 배경을 밝
혔다. 전성학 본부장의 설명에 따르면, 예를 들어 기존 시그니처
기반의 1대 1 대응방식에서는 600만개 악성코드 차단하려면 600
만개 시그니처가 필요했던 것과 달리 이제 DNA 스캔 기술 개발
이 적용하면 1천여 개 시그니처만으로 600만개의 악성코드가 차
단이 가능하기 때문에 악성코드 사전 대응이 가능하다. 전성학
본부장은 "실제로 ARP Spoofing 악성코드를 시그니처 업데이트를
하지 않고 진단해본 결과 30개 중 28개를 진단했다"며 "룰 하나
만 바꾸어 적용하면 새로운 변종에 대해 패턴을 업데이트하지 않
아도 이용 가능하다"고 설명했다. 현재 이러한 DNA 룰은 1,500여
개가 적용되고 있으며 추가적인 룰을 업데이트 하고 있어 차후에
는 악성코드에 대한 별도의 대응을 전혀 하지 않을 경우에도 신/
변종을 포함한 전체 악성코드의 60% 가량을 진단할 수 있을 것
으로 기대된다.
고객 입장에서 가장 중요한 것은 비용 이슈
쌀쌀한 날씨임에도 불구하고 장내에 에어컨을 틀어야 할 만큼 참
관객들의 뜨거운 열기 속에서 급변하는 패러다임이라는 주제와
함께 한 시간여가 금방 지나갔다. 다시 강연대에 오른 김홍선 대
표는 "잠시 쉬시면서 제품 부스도 둘러보시고 곳곳에 있는 파란
색 셔츠를 입은 안철수연구소 직원들에게 무엇이든 물어보실 수
있다"며 1부의 끝을 알렸다. 그러나 대부분의 참관객들은 한 시간
내내 앉아있던 피로도 느끼지 못 하는 듯 서둘러 제품 부스로 향
했다. 참관객들은 다양한 제품들이 실제로 구동, 또는 구현되는
모습을 꼼꼼히 살펴보며 안철수연구소 직원들의 설명을 주의 깊
게 듣거나 질문을 던지기도 했다. 특히 이날 행사에는 최근 출시
된 어플라이언스 형태의 중앙관리솔루션 AhnLab Policy Center
Appliance(이하 APC Appliance)가 전시돼 참관객들의 많은 관심
을 끌었다. 김홍선 대표가 앞서 세션 발표 사이에 "고객 입장에서
가장 중요한 것은 비용(cost)"이라고 언급했던 것을 증명이라도 하
듯 총소유비용 효과가 탁월한 APC Appliance에 대한 참관객들의
이날 행사는 안철수연구소 김홍선 대표의 기조연설로 시작됐다.
ASEC 전성학 본부장은 '악성코드 대응 기술의 새로운 패러다임'에 관해 발표했다.
7
문의가 이어졌다. APC Appliance는 어플라이언스, 즉 하드웨어
형태의 중앙관리솔루션으로 V3 Internet Security 제품군과 V3 Net
for Windows Server 및 V3 Net for Unix/Linux Server 제품군을 보
다 효율적이고 안정적으로 관리할 수 있다. 특히 라이선스 비용
이 거의 발생하지 않는 Linux OS 및 데이터베이스를 지원해 총소
유비용(TCO)을 극소화하기 때문에 보안의 효율성과 더불어 비용
문제를 고민하고 있는 보안관리자들을 위한 제품이라 할 수 있
다. 이 외에도 앞서 강연에서 언급됐던 스마트디펜스관련 부스를
비롯해 모바일보안 솔루션인 V3 Mobile+ for Transaction 등에도
많은 참관객들이 발길이 이어졌다.
DDoS 공격 대응은 선택이 아니라 "필연"
잠시 후 이어진 2부는 지난 2009년 7.7 DDoS 대란 당시 안철수
연구소를 찾은 국내외 언론과의 인터뷰 등의 영상으로 시작했
다. 이어 'ACCESS 전략 기반의 입체적인 DDoS 공격 대응 기법'
이라는 주제로 제품마케팅팀 김우겸 대리가 발표를 시작했다. 김
우겸 대리는 우선 2006년부터 2009년까지의 DDoS 공격 양상 변
화를 간략하게 설명했다. 특히 지난 2009년 7.7 DDoS 대란으로
크게 이슈화 되었다가 상대적으로 최근에는 DDoS가 이슈가 되
지 못 하고 있다고 말했다. 그러나 "안철수연구소 보안관제 고객
사 이벤트 분석 결과 매달 2위 또는 1위가 될 만큼 여전히 DDoS
공격이 많이 발생하고 있다"며 DDoS 공격의 심각성을 전했다. 특
히 DDoS 공격을 위한 다양한 툴도 나타나고 있으며 공격 툴 제
작 의뢰나 청부 공격 형태 등 보다 능동적이고 지능적인 공격이
발생하고 있다고 말했다. 이어 "사업자 입장에서 말하자면 이제
인터넷에서 사업을 하려면 DDoS 대응은 선택이 아니라 필연적으로
해야 한다"고 강조했다.
또한 김우겸 대리는 "기존에 많은 DDoS 장비들이 있지만 새롭
게 발전하고 있는 공격 툴은 물론 소규모 정밀 타격형 DDoS 공
격에 대응하기 위해서는 요구사항 정책 자체가 세밀화되어야 한
다"고 조언했다. 일반적으로 대다수의 DDoS 장비들은 기존 플러
딩(flooding) 형태의 DDoS 공격에만 초점을 맞추고 있다. 그러나
쉬는 시간에도 대부분의 참관객들이 제품 부스로 향해 신제품도 만나고 다양한 제
품의 시연 및 질의 응답 시간을 가졌다.
지난 7.7 DDoS 대란에는 소규모의 정밀 타격형 DDoS 공격이 나
타나 기존 DDoS 장비들로는 방어가 불가능했으며 서비스 장애가
유발되었다는 것이다. 즉, 단순히 임계치로 DDoS 공격 여부를 판
단할 경우 오탐이 발생할 수 밖에 없기 때문에 기존의 임계치 기
반과는 차별화된 정상/비정상 트래픽에 대한 정확한 판단이 필요
하다. 특히 새로운 공격 분석 유형에 대해 빠르게 대응할 수 있는
기술력이 필요하다는 것이 김우겸 대리의 설명이다. 이어 "단순히
서버뿐만 아니라 서비스 인프라도 보호해야 한다는 것이 우리 안
철수연구소의 생각"이라며 "운영적인 영역까지도 DDoS 대응의 카
테고리로 생각해야 한다"는 말로 네트워크 기반뿐만 아니라 시스
템 기반에서도 대응이 필요하다는 것을 강조했다.
다각도의 DDoS 대응 필요해
김우겸 대리는 변화하는 DDoS 공격 양상에 대한 대응책으로 중
앙에서 악성코드를 수집, 관리, 배포하는 ACCESS 전략과 연계된
안랩 트러스가드 DPX(AhnLab TrusGuard DPX, 이하 트러스가드
DPX)를 제안했다. 그는 "DDoS 트래픽을 유발하는 악성코드 자체
까지 제거하는 인프라를 제공하고 있다"는 말로 자신감을 표했다.
안철수연구소 트러스가드(TrusGuard) 전 제품에는 국제 특허를
받은 DDoS 방어 전용 엔진이 탑재되어 있다. 그리고 그 중에서
도 DDoS 공격에 특화된 제품인 트러스가드 DPX는 좀비 감염 방
지 업데이트, 신규 공격 방어 업데이트뿐만 아니라 각각의 보호
대상에 따라 정책 설정이 가능하다는 것이 김우겸 대리의 설명이
다. 즉, 별도의 정책에 따라 각각의 대상마다 임계치를 따로 설정
할 수 있어 정상적인 사용자의 이용을 보호할 수 있을 뿐만 아니
라 임계치를 넘지 않더라도 비정상적인 트래픽이면 차단이 가능
하다는 것이다. 또한 출발지가 동일한 트래픽에 정상적인 트래픽
과 비정상 트래픽이 섞여 있을 경우에도 이를 구분해낼 수 있는
기능을 제공하고 있기 때문에 날로 지능적으로 변화하는 DDoS
공격을 효과적으로 방어할 수 있다. 특히 타사 제품들이 제공하
는 인라인(Inline) 구성 방식뿐만 아니라 아웃오브패스(Out of Path)
구성 방식의 클러스터를 동시에 지원하는 제품으로, 네트워크 담
당자들의 선택의 폭을 넓게 해준다는 것이 특징이다.
제품마케팅팀 김우겸 대리는 "DDoS 대응은 선택이 아니라 필연적으로 해야 한다"
고 강조했다.
8
한편 김우겸 대리는 "스마트폰, 아이패드, 갤럭시탭 등 스마트 디
바이스들을 업무에 활용할 경우 스마트워크 프로세스에 대응하기
위한 인프라도 제공하고 있다"고 전했다. 이어 행사장의 제약 때
문에 동영상으로 시연을 대신했는데, 아이폰을 비롯해 갤럭시 S,
아이패드에서 트러스가드 DPX의 리포팅 화면 구동되는 장면에
참관객들의 시선이 집중됐다. 김우겸 대리는 "장소에 구애 받지
않고 어디에서든 스마트 디바이스로 직접 DDoS 현황을 볼 수 있
게 되어있다"며 스마트 워크(smart work)를 구현할 수 있는 인프
라라는 것을 강조했다.
이와 같은 김우겸 대리의 발표와 관련해 김홍선 대표는 "지난
2009년 7.7 DDoS 대란 직후, 이후의 대응에 대해 어떻게 관측하
느냐는 질문을 받은 적이 있다"면서 "이에 대해 좋지 않은 시나리
오는 DDoS 장비 하드웨어를 구입해서 DDoS에 대비했다고 하는
것이라고 답한 적이 있다"고 언급했다. 결국 실제로 그런 일이 많
이 일어났다며 안타까움을 표한 김홍선 대표는 "DDoS 공격은 우
리가 알 수 없는 PC로부터 발생하는 것인 만큼 악성코드라는 근
본적인 원인을 차단해야 하는 것"이라며 "DDoS 대응은 서비스 초
점에서 시작해야 하는 것이지 장비 초점에서 시작해서는 안 된
다"고 강조했다.
기업의 핵심역량 집중을 위한 보안관제
2부의 두 번째 세션은 안철수연구소의 보안관제 서비스에 대한
소개와 보안 관제의 전반적인 트렌드에 관한 내용으로 진행됐다.
아기돼지 삼형제에 관한 그림으로 발표를 시작한 사업기획팀 이
상구 차장은 "현존하는 '늑대'라는 '외부의 위협'에 대응하기 위해
서는 그 위협보다 강한 건물, 대응책을 준비해야 하며 늑대가 어
떻게 움직이고 있는지 관찰하여 지붕으로 들어오는 것도 대처해
야 한다"는 비유로 보안의 전제를 설명했다. 이어 "보안관제란 집
을 튼튼하게 잘 짓고 잘 지키는 것"이라며 "기업의 주 업무는 보
안관리가 아닌 만큼 핵심 비즈니스에 역량을 집중하고 대신 보
안은 관제 서비스에 맡기는 것"이라고 말했다. 이상구 차장은 "안
철수연구소는 ASEC과 CERT의 유기적인 결합으로 체계적인 보
안 관제 서비스 제공하고 있다"며 "엔드 유저부터 호스트 레벨까
사업기획팀 이상구 차장의 '보안 관제 트렌드 및 안랩 서비스 소개'에 기업 보안관
리자들의 관심이 집중됐다.
지, 또 사전 위협부터 사후 대응까지 전 방위적으로 종합적인 대
응 가능하다"고 밝혔다.
이어 웹 2.0 시대의 특징과 더불어 보안 위협도 계속적으로 증
가하고 있다고 설명하며 특히 은닉, 다양한 타겟을 대상으로 한
대량 유포형 등 웹을 이용한 위협이 증가하고 있다고 말했다. "
웹 취약점을 이용한 공격 증가가 첫 번째 특징"이라며 "특히 우회
할 수 있는 웹쉘 같은 공격에는 기존 보안 장비들은 취약하다"고
설명했다. 감염된 웹 서버에 악성코드를 심고 이용자에게 전달되
는 콘텐츠의 유해성 탐지 방법이 없기 때문이다. 이상구 차장은 "
웹셀은 정상과 비정상을 구분하기가 상당히 어려워 이를 구분하
기 위해서는 분석가 수준의 역량이 필요하다"며 "따라서 안철수연
구소 같은 보안관제 서비스의 전문가가 필요하다"고 말했다. 또한
"한번 취약점을 개선해도 페이지 업데이트 등의 과정에서 또 다
른 취약점 생긴다"고 설명하고 "특히 웹쉘은 자기 인증 부여, 다양
한 인코딩, 기능 복합화를 통한 변종/진화 등으로 탐지가 어렵다"
고 덧붙였다. 이어 "한정된 인력으로 이를 직접 검사하는 것도 어
렵지만 웹쉘 코드의 유해성 여부를 판단하는 것 자체도 전문가가
아니면 어렵다"며 "새로운 웹 위협과 관련해 이용자에게 전달되는
콘텐츠에 대한 방안이 요구된다"는 말로 발표를 마쳤다.
기업의 파산까지 야기하는 트랜잭션 보안 위협
'트랜잭션 보안'을 주제로 한 3부의 첫 세션 발표에 나선 사업기
획팀 김창희 과장은 '안랩뱅크닷컴'이라는 가상으로 구성된 인터
넷 뱅킹 사이트 화면과 함께 발표를 시작했다. 이어 국내외 은행
해킹 실제 사건과 관련된 언론 보도를 언급한 김창희 과장은 "과
거에는 단순한 키로깅 공격, 화면 캡쳐, PC 파일 탈취 등 단위 단
의 공격이었다면 최근에는 복합적이고 입체적으로 모든 트랜잭션
자체를 노리고 있다"고 말했다. 실제로 최근 미국의 한 은행을 파
산 위기로 몰아넣은 해킹 툴인 제우스(ZeuS)는 HTML 인젝션 공
격을 비롯해 웹 페이지 삽입 공격으로 다른 페이지를 삽입하여
그곳에 입력되는 정보를 탈취할 수 있을 뿐만 아니라 이미 설치
된 제우스는 다른 용도로 사용 가능한 것으로 알려져 있다. 김창
희 과장은 이 외에도 "온라인 뱅킹 뿐만 아니라 온라인 주식 거래
사업기획팀 김창희 과장은 "단순한 공격으로부터 모든 트랜잭션 공격까지 공격이
진화되고 있다"고 말했다.
9
에서 주가를 위/변조 하여 작전 주를 편다거나 다른 범죄에 이용
할 수 있는 툴도 있다"며 "단순한 공격으로부터 모든 트랜잭션 공
격까지 공격이 진화되고 있다"고 설명했다. 이와 관련해 "안랩 온
라인 시큐리티 2.0(AhnLab Online Security 2.0, 이하 AOS)은 다양
한 환경과 공격에 대응하기 위해 제공되는 솔루션"이라며 "다양한
브라우저를 지원해 웹 접근성의 측면에서도 많은 도움이 되고 있
다"고 말했다. 이어 "기존에는 금융권에 많이 적용되어 있었지만
최근에는 주식 분야에도 AOS 시큐어브라우저(Secure Browser)가
도입되고 있다"며 "온라인게임, 포털, 온라인 교육 등 트랜잭션이
있는 곳이라면 어디든 적용 가능하다"고 설명했다. 또한 개인의
트랜잭션 보호를 위해 안랩 사이트가드(AhnLab SiteGuard)를 무
료로 배포하고 있으며 "현재 천 2백만 명 사용 중"이라고 밝혔다.
이어 김창희 과장은 "웹 환경이 변화하는 가운데 기존의 방화
벽들이 제 역할을 할 수 있을 것인가"하는 화두를 던졌다. 그는
일반인들이 많이 이용하는 사이트에서 악성코드가 많이 유포되고
있다는 점을 들며 웹 2.0의 특성을 이용해 유포, 변종이 되기 때
문에 맬웨어 2.0으로 불리고 있다고 설명했다. 김창희 과장은 "특
히 제휴 등에 의해 타 사이트의 콘텐츠가 들어왔을 경우 웹 방화
벽으로 탐지하기 어렵다"며 "웹도 변화하고 있고, 악성코드도 변
화하고 있기 때문에 보안도 사용자 관점에서 콘텐츠 중심으로 변
화해야 한다"고 강조했다. 이어 "이러한 개념에서 개발된 것이 안
랩 사이트케어(AhnLab Site Care)"라며 "웹 브라우저 관점에서의 '
콘텐츠 검사'를 실현시킨 솔루션"이라고 설명했다.
'클라우드'로 모바일 보안의 한계 넘는다
마지막 세션인 스마트폰 보안 솔루션에 관한 발표가 진행되기에
앞서 김홍선 대표는 "전에도 몇 번 언급했고, 블로그에 글을 쓰기
도 했지만 스마트폰의 보안 위협에 관해서 과장된 측면이 있다"
고 말을 꺼내며 "전문 용어를 사용해가며 위협을 과장해서 일반
인들을 협박하는 듯한 행태는 옳지 않다"고 말했다. 그러나 "스마
트폰에서는 PC에서 일어나는 모든 문제가 나타날 수 있어 위협
적인 것은 사실"이라며 "물론 준비는 해야 하지만 아직 구체적인
위협은 아니다"고 말했다. 이어 선대응의 관점에서 "안철수연구소
는 이미 국내 시장에 스마트폰이 도입 전에 해외 고객들을 위한
모바일 보안 솔루션 준비하고 제공해왔다"고 덧붙였다.
이와 관련해 모바일개발팀 최은혁 팀장의 '스마트폰 보안 위협
대응 방안'이라는 주제 발표가 이어졌다. 최은혁 팀장은 먼저 "아
이폰이 출시된 지 이제 딱 1년"이라며 "그런데 국내 스마트폰 이
용자는 전체 휴대전화 사용자 중 15%에 달한다"는 설명으로 급변
하는 스마트폰 환경을 언급했다. 이어 "안철수연구소는 피쳐폰부
터 시작해서 벌써 10년이나 모바일 보안에 대응해 왔지만 지금만
큼 힘든 적이 없었다"며 "너무나 다양한 영역에 대해서 대응해야
하기 때문"이라고 그 이유를 설명했다. 또한 "모바일 오피스를 구
현했을 때 이 스마트폰의 보안을 어떻게 할 것인가를 많이 고민
하고 계실 것"이라며 현재 많은 기업 보안 담당자들과 의사 결정
권자들이 느끼는 어려움을 언급했다. 또한 이에 대해 안철수연구
소가 무엇을 제공할 것인지에 관해서도 이야기하겠다고 덧붙였다.
최은혁 팀장은 우선 현재 스마트폰과 관련해 알려진 위협으로
"스마트폰에 다운로드 한 애플리케이션이 실제 용도가 설명되어
있던 것과는 다른 경우라든가 기존 PC를 통한 인터넷 위협과 마
찬가지로 접속한 웹 페이지가 다른 경우 등이 있다"고 말했다. 또
한 해외에서 개발된 모바일 게임에 한글 광고가 표시될 수가 있
는데, 이것은 이용자가 한국에 있다는 것이 파악되고 있다는 것
이며 이를 통한 개인정보 탈취 등 악용될 소지가 있음을 예측할
수 있다고 설명했다. 최은혁 팀장은 또한 스마트폰의 '휴대 전화'
로서의 특징을 악용한 위협 요인도 존재한다고 덧붙였다. 일례
로 스마트폰에 저장된 '주소록'을 이용한 피싱을 생각해 볼 수 있
는데, 주소록에 등록된 지인에게 금전 이체를 요구하는 메시지를
전달하는 경우다. 이에 관해 최은혁 팀장은 "보이스 피싱과 달리
스마트폰은 무작위가 아니라 메시지를 보낸 대상을 알고 있다는
것이 문제"라며 "메시지를 보낸 상대방에 대해 의심 없이 믿고 금
전 이체를 해주게 된다"고 우려했다.
그러나 이 보다 더 우려해야 할 것은 이처럼 알려진 위협뿐만
아니라 "알려지지 않은 위협에는 어떻게 대응할 것인가"라고 최은
혁 팀장은 지적했다. 이어 이에 대한 해법으로 행위 기반의 분석
방법이 있다면서도 "문제는 스마트폰은 리소스의 제한이 있는 반
면 응답 속도는 빨라야 한다"고 말했다. 즉, 스마트폰의 프로그램
은 구동되기까지 10초 이상 지연되면 이용자들에게 외면당하기
때문에 "보안 자체도 일정 시간을 넘어가면 안 된다"는 것이 최은
혁 팀장의 설명이다. 이와 더불어 배터리 소모의 이슈와 프로그
램 리소스 이슈도 스마트폰용 보안 프로그램의 난제로 지적되고 있다.
이러한 이슈들에 대해 최은혁 팀장은 "그 답은 클라우드와의
연계"라며 "이제는 3G 무제한 이용제나 와이파이가 있어 클라우
드 기반이 문제되지 않는다"고 말했다. 특히 클라우드와 연계한
모바일 보안 프로그램은 리소스 문제를 극적으로 해결해 줄 것으
로 보인다는 것이 최은혁 팀장의 설명이다. 현재 모바일 보안은
PC에서처럼 주기적으로 업데이트 또는 자동 업데이트를 할 경우
모바일개발팀 최은혁 팀장은 "시큐리티 클라우드 서비스를 연계한 모바일 보안을
진행 중"이라고 밝혔다.
10
애플리케이션이 지속적으로 작동해야 하기 때문에 리소스 등의
문제로 실시간 검사가 부담이 되는 것이 현실이다. 즉, 디바이스
디펜던시가 높다는 것이다. 그러나 클라우드와의 연계를 통해 스
마트폰은 단순히 에이전트 역할만 하고 악성코드 등은 클라우드
서버에서 판단하며 모든 디바이스로 쉽게 접근 가능하게 된다.
또한 사용자가 번번히 업데이트 하는 게 아니라 클라우드의 최신
업데이트 된 정보가 이용되므로 편리하고 더욱 안전하게 스마트
폰을 이용할 수 있다는 것이다. 최은혁 팀장은 내년 상반기 제공
을 목표로 시큐리티 클라우드 서비스를 연계한 모바일 보안을 진
행 중이라고 밝혔다.
모바일 오피스 구현, 보안부터 해결해야
최은혁 팀장은 클라우드를 통한 모바일 보안의 가장 큰 장점은 '
가상화 환경에서의 에뮬레이션(emulation)'이라고 설명했다. 즉, 스
마트폰 안에서 발생하는 네트워킹이 외부로 어떤 형태가 되어 나
갈지를 클라우드에서 테스트할 수 있다는 것이다. "소프트웨어는
유기체"라고 표현한 최은혁 팀장은 "소프트웨어는 설치된 채로만
있는 것이 아니라 늘 업데이트를 한다"며 "업데이트를 하면서 소
프트웨어가 어떻게 바뀔지 알 수 없다"고 말했다. 즉, "타임라인을
바꿔가며 어떻게 변화하는지를 분석해야 한다"는 것이 최은혁 팀
장의 설명이다.
최은혁 팀장은 앞서 언급했던 대로 모바일 오피스 구현과 관련
한 스마트폰 보안에 관해 안철수연구소가 제공하게 될 대응 방안
에 대해 언급하며 발표를 마무리했다. 그는 "스마트폰은 그 자체
가 회사의 자산"이라며 "스마트폰 추적 기능은 물론 스마트폰 분
실 시 원격지에서 데이터를 사용할 수 없도록 하는 락(lock) 기
능 등을 제공할 것"이라고 밝혔다. 또한 "기업 내 스마트폰은 하
나의 디바이스"라며 "스마트폰 기기들에 대한 관리 정책, 즉 스마
트폰에 대한 정책을 설정하고 비정상적인 행위를 파악하는 기능
을 제공할 것"이라고 말했다. 특히 ASEC(시큐리티대응센터)의 악
성코드 수집 및 분석 능력과 CERT(침해사고대응팀)의 위협 모
니터링 및 대응 서비스를 지능형 기술로 융합한 안철수연구소의
ACCESS(AhnLab Cloud Computing E-Security Service) 전략으로
PC 보안과 동일한 수준의 보안 대응 및 PC와 스마트폰이 융합되
는 서비스를 제공할 것이라고 최은혁 팀장은 설명했다.
새로운 시대, 입체적으로 실제 문제를 해결해야
스마트폰 보안 위협 대응 방안까지 총 6개의 세션이 3시간여 동
안 진행된 이번 행사는 김홍선 대표가 마무리했다. 김홍선 대표
는 기조 연설에 이어 다시 한 번 급변하는 IT 환경 변화를 강조하
고 "이제는 일반인들, 고객들이 더 많이 아는 스마트한 시대"라며
"IT 종사자들이 인지해야 할 부분이 바로 이러한 것"이라고 말했
다. 아울러 보안 산업의 미래와 관련해 "정보보안은 끊임없는 지
식기반 사회의 핵심이 될 수 밖에 없다"며 "한정된 시각에서 보는
것은 바뀌어야 한다"고 말했다. 특히 "기존의 기술적인 접근이 아
니라 행위를 중심으로 접근해야 한다"며 "고객들이 편하게 사용하
면서도 안전해야 한다"는 보안의 실효성을 강조했다. 아울러 보
안과 관련된 법제 등에 대해서도 기존의 인프라 중심의 정책에서
소프트웨어 및 콘텐츠 등 사용자 중심의 보안 정책이 마련되어야
한다고 강조했다.
또한 "정보를 한정적인 것으로 막는 것이 더 이상 보호가 아니
다"라며 "입체적으로 실제 문제를 해결하는 것이 앞으로 보안이
나아가야 할 길"이라고 단언하고 "입체적이라는 것을 강조하는 것
은 현장에서 일어나고 있는 일이기 때문"이라고 덧붙였다. 이어 "
안철수 연구소의 답은 공격과 위협을 지능적으로 분석하는 엔진
과 같은 시스템을 클라우드라는 엔진을 중심으로 유기적으로 대
응한다는 것"이라고 설명했다. 또한 김홍선 대표는 CERT와 ASEC
의 결합을 통한 복합적, 구조적 대응과 자체 기술력, 즉 원천 기
술의 보유를 비롯해 대기업 및 제조업 현장에서 적용하고 있는
다양한 실전 경험 등이 안철수연구소의 강점이라고 자신감을 표
했다. 끝으로 "안철수연구소는 포인트 기술이 아니라 근본적인 문
제들, 위협의 근본, 사이버 공격의 특성에 맞춘 기술, 솔루션을 제
공할 수 있다"고 강조한 김홍선 대표는 "사고의 방향을 바꿔야 스
마트 워크 등 새로운 시대를 헤쳐나갈 수 있다"는 말로 참관객들
의 뜨거운 박수를 받으며 이 날의 행사를 마무리 지었다.
김홍선 대표는 "입체적으로 실제 문제를 해결하는 것이 앞으로 보안이 나아가야
할 길"이라는 말로 이날 행사의 핵심을 정리했다.
11
실질적인 진단율 1위 V3, 고객이 함께 만든다
전성학 안철수연구소 ASEC 본부장M i n i I n t e r v i e w
악성코드는 신속하고 전문적인 분석 능력이 요구된다. 게다가 새로운 방식의 악성코드들은 기존 방식만으로는 대응하기 어려운 것이
현실이다. 이와 관련해 악성코드를 잡아내는 백신의 기본, 즉 진단율에 대해 안철수연구소 ASEC팀 전성학 본부장의 말을 들어봤다.
전성학 본부장은 일반적으로 진단율을 비교하는 전제부터가 오해의 소지가 있다고 설명했다. 그는 "일반적으로 '진단율이 높
다'고 말하는 것은 글로벌 샘플들에 대한 진단율이 높다는 것"이라며 "이것은 국내와는 전혀 상관없는 환경인 경우가 많다"고
말했다. 즉, 글로벌 샘플에 대한 진단율 비교는 당연히 해외에서 수집된 글로벌 샘플에 대한 DB를 운용하는 글로벌 회사의 백
신 및 해외 백신 엔진의 높게 나올 수 밖에 없다는 것. 그러나 국내에서 실제 발생되고 유통되고 있는 악성코드에 대해서는 외
산 백신의 진단율이 국산 백신인 V3 보다 낮을 수 밖에 없다고 전성학 본부장은 지적했다. "우리는 국내 고객들로부터 접수되
는 샘플을 이용하고 있으며, 따라서 국내에서 발견, 접수되는 진단율 통계에서는 V3가 단연 1위"라는 것이 전성학 본부장의 설
명이다. 결국 실질적으로 가장 뛰어난 진단율에도 불구하고 해외 악성코드 샘플을 기준으로 한 비교 때문에 V3는 실제에 못 미
치는 평가를 받거나 오해를 살 수도 있다는 것이다. 그렇다면 이에 대한 적극적인 대응이 필요하지는 않을까? 이와 관련해 전
성학 본부장은 "물론 얼마든지 해외 샘플을 구입하고 그에 대한 DB를 업데이트해서 통계를 높일 수는 있다"면서도 "하지만 국
내 환경에는 대부분 무관한 악성코드들에 대한 진단율을 높여 마케팅 측면에서의 통계 수치만 높이는 것은 무의미하다고 생각
한다"고 확고한 소신을 밝혔다.
이어 전성학 본부장은 "외산 백신을 이용하고 있는 국내 백신 업체들 중이 진단율과 관련해 긍정적인 평가를 받는 경우도
있다"며 "그러나 문제는 국내에서 발견된 악성코드 샘플을 처리하는데 시간이 걸린다는 것"이라고 지적했다. 즉, 이러한 업체들
은 샘플을 외산 엔진의 본사로 보내 분석을 요청하고 엔진 업데이트가 되기를 기다려야 한다는 것이다. 이에 반해 안철수연구
소는 ASEC과 CERT를 동시에 보유해 V3는 업데이트까지 소요되는 시간이 훨씬 적다고 전성학 본부장은 설명했다. 또한 "안랩
스마트디펜스 기술과 DNA 스캔 기술까지 접목돼 보다 효과적으로 악성코드를 분석, 대응하고 있다"며 "그 결과 현재 V3의 진
단율은 전 세계 어느 백신과 비교해도 뒤지지 않는다"며 자신감을 드러냈다. 또한 "기존의 탐지 기술보다 더욱 뛰어난 기술, 신
속한 대응을 위한 기술 개발 및 적용에 노력을 기울이고 있다"며 "그렇기 때문에 안철수연구소의 V3가 국내 접수된 악성코드
처리에서 가장 뛰어난 성적을 거둘 수 있는 것"이라고 말했다.
한편 지난 10월 26일을 기준으로 안철수연구소의 개인용 무료 백신 V3 Lite의 사용자가 2,000만 명을 돌파했다. 이와 관련
해 전성학 본부장은 "그 중 800만 명의 이용자들이 매일 V3 Lite를 가동시키고 사전 동의를 통해 자동적으로 우리에게 샘플을
제공해주고 있다"며 "따라서 V3는 고객이 같이 만들어가는 백신"이라고 말했다. 또한 "V3 Lite 고객들의 악성코드 샘플 수집 동
의는 V3의 성능뿐만 아니라 더 나아가 외산 엔진을 쓰지 않는 국내산 백신의 독립과 발전에 상당한 기여를 하고 있는 것이다"
며 V3 Lite 이용자들의 악성코드 자동 수집 동의에 진심 어린 감사
의 뜻을 표했다. 아울러 더 많은 인터넷 이용자들이 V3 Lite를 통한
악성코드 자동 수집에 동의해주기를 바란다는 희망을 전했다. 더 많
은 사람들이 V3 Lite를 사용하면 그 만큼 신종 샘플이 제공될 확률
이 높아지는 것이고, 그 만큼 더 빨리 악성코드를 찾아내 보다 안전
한 인터넷 환경을 구축할 수 있기 때문이다. 그것이 바로 전성학 본
부장이 말하는 "안철수연구소가 더욱 뛰어난 기술을 개발하기 위해
노력"하는 이유다.
국내 유통되는 악성코드 처리는 V3가 단연 1위
고객들의 악성코드 샘플 수집 동의가 국내 백신 독립과 발전에 상당한 기여
S사
68.39
T사
61.89
M사
66.73
K사
66.87
최근 1개월간 평균 진단율 현황(10.4~11.2 악성코드 샘플수: 7,419,750)
B사
72.91
A사
74.5577.85
V3
12
2010.12개인정보보호법의 의미와 전망SPECIAL REPORT
개인정보보호법 시행, 무엇을 준비해야 하나
개인정보보호법은 정보통신망법을 비롯해 의료법, 교육법, 신용정
보법 등 현행 38개 개별법이 있음에도 불구하고 문제 해결이 어렵
다고 지적받아 온 개인정보보호 관련 법적 사각지대를 해소시킬 수
있는 민간과 공공, 온/오프라인을 포괄하는 기본법이다. 즉, 우리 사
회 전반에서 다뤄지는 일관된 개인정보 처리 원칙과 실질적인 보호,
국민의 사후 권리 구제 강화를 위한 제도적 정치가 되는 것이다.
개인정보보호법 주요사항
보안 제품의 구성 제약 및 적용 범위
개인정보보호법이 기존의 '정보통신망 이용촉진 및 정보보호 등
에 관한 법(이하 '정통망법')'이나 '공공기관의 개인정보보호에 관
한 법' 등 개인정보관련 법령과 다른 가장 큰 차이는 적용 범위와
보호 범위가 거의 전 영역을 망라한다는 점이다. 기존 법은 정보
처리자의 유형이나 처리 유형에 따라 제한적으로 적용되었기 때
문에 법의 사각지대가 존재하여 문제가 되었다. 하지만 이번 개
인정보보호법은 공공기관과 민간기업, 비영리단체 등 정보처리자
의 범위에 제한을 두지 않으며, 개인정보의 유형도 전자적 처리
뿐 아니라 손으로 작성한 문서까지 포함시킴으로써 보호 대상의
범위를 확장하였다.
정보주체의 권리 강화
개인정보는 기업의 자산이기보다는 국민의 권리보호라는 측면에
서 여러 법령과 정책이 강구되고 있다. 새로운 법에서 두드러지
는 점은 보호조치의 강화내용보다는 개인정보의 소유자(이하 '정
보주체')의 권리를 강화하기 위한 조항이 늘어났다는 것이다. 특
히 '동의거부권 및 불이익 명시'에 대한 항목을 개인정보 수집이
용 동의 절차와 제3자 제공 동의절차 시 필수동의 항목으로 추가
하였다. 또한 수집된 개인정보가 최소한으로 설정되었으며 필수
지난 2010년 9월 30일, 개인정보보호법이 발의된 지 2년 만에 국회 법안심사소위원회(이하 법사위)를 통과했다. 법사위는 심사된 13개의 법안 대신 행정안
전위원회의 대안을 제안하기로 했고 지난 10월7일 '개인정보보호법안(대안)'이 발표되었다. 현재 법 제정을 위한 작업이 진행되고 있으며, 2011년 내에는 개
인정보보호법이 발효될 것으로 보인다. 이 글에서는 개인정보보호법이 담고 있는 주요 내용을 살펴보고, 향후 기업과 개인에 어떤 영향을 미칠지 조망해
보고자 한다.
1
2
[알아두어야 할 '정보주체의 권리 강화' 관련 조항]
개인정보유출통지제도의 도입(34조)
(1) 개인정보처리자는 개인정보 유출 사실을 인지하였을 경우 지체 없이 해당 정보주체에게 관련 사실을 통지하고, 일정 규모 이상의 개인정보가 유출된 때에는 전문기관에 신고하도록 하는 한편, 피해의 최소화를 위해 필요한 조치를 하도록 함.
(2) 개인정보 유출로 인한 피해의 확산 방지를 위한 신속한 조치 및
정보주체의 효과적 권리 구제 등에 기여할 수 있을 것으로 기대됨. 단체소송의 도입(51조~57조)
(1) 개인정보처리자로 하여금 개인정보의 수집/이용/제공 등에 대한 준법정신과 경각심을 높이고, 동일/유사 개인정보 소송에 따른 사회적 비용을 절감하기 위해 개인정보단체소송제도를 도입함.
(2) 개인정보 유출로 인한 피해의 확산 방지를 위한 신속한 조치 및 정보주체의 효과적 권리 구제 등에 기여할 수 있을 것으로 기대됨.
개인정보처리자의 입증 책임 명시(16조, 22조)
정보주체 이외의 수집출처 고지(20조)
동의절차 시 거부권 관련 동의항목 추가(15조, 17조, 18조)
민감 정보의 별도 동의 절차 요구(23조)
적인 것이다라는 사실을 개인정보처리자가 입증하도록 규정한 것
은 가벼운 수준의 강화조치에 속한다. 반면 34조 '개인정보 유출
통지제도'는 실 적용 시 기업에 미치는 영향이 매우 클 것으로 보
인다. 동일한 제도를 앞서 도입한 외국사례를 보면, 개인정보 유
출통지를 위한 통지비용이 이용자 한 건당 20달러(3년 평균) 정
도 소요되었다는데 100만 명 회원정보가 유출되었다면 통지비용
만 2,000만 달러(환율 1,000원일 때, 200억 원)가 드는 것이다. 게
다가 유출통지를 받은 이용자의 30%이상이 회원탈퇴를 요구했다
고 하니 온라인서비스 업체에게 개인정보유출 사고란 회사가 망
할 수도 있는 재앙인 셈이다.
13
정부의 조직적 대응 강화
기업 입장에서 더욱 힘들어지는 건 행정안전부(이하 행안부)를 중
심으로 정부기관이 공공기관과 민간기업을 아울러 개인정보보
호 실태를 모니터링하고 시정조치를 하도록 명할 권한을 법으
로 부여받으며 구체적이고 지속적인 통제활동을 하게 될 것이라
는 점이다. 행안부는 2010년에도 3월부터 100개 업체의 현장점검,
10000개 업체에 대한 서면점검으로 개인정보 관리실태 특별점검
을 실시한 바 있다. 이 과정에서 많은 기업담당자들이 상당한 부
담을 느낀 것으로 알고 있다. 게다가 단체소송의 도입(51조~57조)
으로 소비자보호단체와 같은 개인정보보호 단체들이 설립되어 감
시활동을 하게 된다면 기업의 압박감은 가중될 수밖에 없다.
개인정보보호 조치규정 강화
개인정보 보호조치 사항들도 보완되거나 강화된 조항들이 눈에
띈다. 개인정보보호에 대한 총괄 책임이 있는 개인정보책임자의
업무를 구체적으로 명시한 점이나 위탁업체 계약시 어떤 조항이
계약문서에 포함되어야 하는지 규정한 점 등은 개인정보보호 실
무 과정에서 이슈가 되곤 하는 부분이 정리되었다.
기업이 준비해두어야 할 개인정보보호 체크리스트
책임자를 정하고 지속적인 보호활동을 추진하자
기업에서 개인정보보호를 위한 기업의 첫 걸음은 법에서 규정하
고 있는 개인정보관리 책임자를 정하는 일이다. ('개인정보보호법'
에서는 '개인정보보호책임자'로 용어가 바뀜) 개인정보보호의 영
[알아두어야 할 '개인정보보호 조치 강화' 관련 조항]
개인정보책임자의 업무명시(30조)
공공기관 개인정보영향평가제 의무화(33조)
(1) 개인정보처리자는 개인정보파일의 구축/확대 등이 개인정보 보호에 영향을 미칠 우려가 크다고 판단될 경우 자율적으로 영향평가를 수행할 수 있도록 하되, 공공기관은 정보주체의 권리침해 우려가 큰 일정한 사유에 해당될 때에는 영향평가 수행을 의무화함. (2) 개인정보 침해로 인한 피해는 원상회복 등 사후 권리구제가 어려우므로 영향평가의 실시로 미리 위험요인을 분석하고 이를 조기에 제거하여 개인정보 유출 및 오/남용 등의 피해를 효과적으로 예방할
수 있을 것으로 기대됨. 고유식별번호 처리 제한(24조)
(1) 주민등록번호 등 법령에 의하여 개인을 고유하게 구별하기 위해 부여된 고유식별정보는 원칙적으로 처리를 금지하고, 별도의 동의를 얻거나 법령에 의한 경우 등에 한하여 제한적으로 예외를 인정하는 한편, 대통령령으로 정하는 개인정보처리자는 홈페이지 회원가입 등 일정한 경우 주민등록번호 외의 방법을 반드시 제공하도록 의무화함.
(2) 주민등록번호의 광범위한 사용 관행을 제한함으로써 주민등록번호 오/남용을 방지하는 한편, 고유식별정보에 대한 보호가 한층 강화될 것으로 기대됨.
영상정보처리기기의 설치 제한(25조)
(1) 영상정보처리기기 운영자는 일반적으로 공개된 장소에 범죄예방 등 특정 목적으로만 영상정보처리기기를 설치할 수 있도록 함.
(2) 영상정보처리기기의 설치/운영 근거를 구체화함으로써, 폐쇄회로 텔레비전 등 영상정보처리기기의 무분별한 설치를 방지하여 개인영상정보 보호를 강화할 수 있을 것으로 기대됨.
업무위탁 시 규정 강화(26조)
역은 시스템 도입구축이나 서비스 기획개발부터 내부업무 절차개
선, 고객대응에 이르기까지 광범위하므로 실무는 전담조직(권장사
항), 또는 위원회 형식으로 운영하되 임원 또는 부서장급의 개인
정보책임자가 경영진과 관련 부서들의 협력을 끌어낼 수 있도록
총괄 추진해야 한다.
기업 내에 존재하는 개인정보와 취급자를 구체적으로 파악하자
개인정보보호를 위한 실무의 첫 단계는 기업이 보유한 개인정보
의 종류(항목)와 양이 얼마나 있으며 누가 어떤 업무에서 어떤 방
법으로 쓰고 있는지 구체적으로 파악하는 일이다. 비유를 하자면,
고객으로부터 개인정보라는 쌀을 얻어다가 서비스라는 밥을 지었
다면 그 밥을 어떻게 짓고(절차) 어떤 그릇(시스템)에 담아 누가
(취급자) 먹는지 정확히 파악해둬야 한다는 뜻이다. 정통망법이나
개인정보보호법이나, 통제하는 대상은 크게 개인정보 취급자와
개인정보처리 시스템으로 나뉜다. 때문에 이 두 가지 사항을 명
확히 파악하지 않는다면 법에 기준한 보호 과정을 온전히 전개할
수가 없다.
보유하고 있는 개인정보의 항목과 자료량을 최대한 줄이자
개인정보에 대한 현황이 파악되었다면 다음에 집중할 사항은 보
유한 개인정보의 항목과 양을 최대한 줄이는 일이다. 모든 개인
정보는 일단 보유하고 있으면 관리 비용이 발생하고 유출사고가
발생했을 때 기업에 큰 피해를 끼칠 수 있다. 사업에 절대적으로
4
[알아두어야 할 '정부 주도의 관리 강화' 관련 조항]
개인정보보호위원회의 설치(7조, 8조)
(1) 개인정보 보호 기본계획, 법령 및 제도 개선 등 개인정보에 관한 주요 사항을 심의/의결하기 위하여 대통령 소속으로 위원장 1명, 상임위원 1명을 포함한 15명 이내의 위원으로 구성하는 개인정보 보호위원회를 두고, 개인정보 보호위원회에 사무국을 설치함.(2) 개인정보 보호와 관련한 중요 사항에 대하여 의사결정의 신중성/
전문성/객관성을 확보할 것으로 기대됨. 분쟁조정위원회 설치 및 집단분쟁조정제도 도입(40조~50조)
(1) 개인정보에 관한 분쟁조정 업무를 신속하고 공정하게 처리하기 위하여 개인정보 분쟁조정위원회를 두고, 개인정보 분쟁조정위원회의 조정결정에 대해 수락한 경우 재판상 화해의 효력을 부여하며, 개인정보 피해가 대부분 대량/소액 사건인 점을 고려하여 집단분쟁조정제도를 도입함.
(2) 개인정보 관련 분쟁의 공정하고 조속한 해결 및 개인정보처리자의 불법, 오/남용으로 인한 피해의 신속한 구제를 통해 정보주체의 권익 보호에 기여할 것으로 기대됨.
행안부의 조사 및 시정조치 권한 강화(61조~66조)
개인정보침해신고센터의 운영(62조)
(1) 개인정보처리자로부터 권리 또는 이익을 침해 받은 자는 행정안전부 장관에게 그 침해사실을 신고할 수 있으며, 행정안전부 장관은 신고 접수 및 업무처리 지원을 위해 개인정보 침해신고센터를 설치/운영함.
(2) 개인정보 침해사실을 신고하고 상담할 수 있는 창구를 마련하여 정보주체의 신속한 권리구제와 고충처리에 기여할 것으로 기대됨.
1
2
3
3
14
필요한 정보도 아닌데 잠재적인 위험이 있는 개인정보를 축적하
는 일은, 관리비용을 들여가며 자기 집에 시한폭탄을 두고 사는
일과 같다. 일회적인 목적이나 단순히 축적된 정보라면 과감히
없애자. 암호화가 의무화되어 있는 특별한 항목들은 가능하면 수
집하지 말고 수집했더라도 장기간 저장하지 않는 것이 비용절감
과 위험방지를 위한 우선과제이다.
기본적인 보안조치를 강화하자
개인정보도 업무처리나 시스템 관점에서 보면 데이터의 하나일
따름이다. 기본적인 보안조치가 잘 되어 있다면 개인정보에 대한
위험도 낮아지는 것이 당연하다. 방통위가 고시한 '개인정보의 기
술적 관리적 보호지침'에는 개인정보취급자PC의 백신설치와 주기
적인 업데이트, 개인정보처리시스템에 대한 침입방지/탐지 시스
템 운용, SSL과 같은 보안통신 적용 등 기술적 보안 조치를 요구
하고 있다. 관리적 지침도 조직운영, 계획수립, 교육, 점검, 패스
워드 설정 등 보안의 기본에 가까운 사항들을 기술하고 있다. 보
안체계가 잘 수립되고 이행되고 있는 기업이라면 개인정보보호를
위해서 상대적으로 적은 노력만으로 대응이 가능할 것이다.
비용대비 효과가 가장 큰 보호 활동은 교육과 반복 점검!
보안사고는 사람이 원인인 경우가 많다. 아무리 좋은 보안시스템
을 갖고 있어도 그것을 사용하는 사람의 의식과 행동은 완벽히
통제할 수 없다. 이 때문에 사람의 인식을 개선시키는 교육과, 사
람이 개입된 보안의 유지상황을 점검하는 일은 기본적이고도 끝
까지 유지가 되어야 할 필수 사항이다. 법령에서는 개인정보책임
자와 취급자에 대해 연 2회 의무적으로 교육을 하도록 규정하고
있지만 개인정보에 대한 보안인식은 전 직원이 갖고 있어야 한다.
개인이 알아두어야 할 정보보호 체크리스트
개인정보보호를 위해 개인에게 권고할만한 수칙은 다음과 같이
요약해 볼 수 있다.
1. 동일한 사용자 계정과 패스워드를 여러 사이트에서 사용하지 말 것
2. 패스워드는 영문소문자, 대문자, 숫자, 특수문자 등을 조합하여 8자
리 이상으로 설정할 것
3. 법적인 절차를 따르는 경우를 제외하고는 개인정보를 제공하거나
오픈하지 말 것
4. 개인정보를 제공할 때는 서비스 이용에 필요한 목적 내 최소한의 정
보만 제공할 것
5. 개인용 정보기기에 대해 적극적으로 보호할 것
동일한 사용자 계정과 패스워드를 여러 사이트에서 이용하지 말 것
동일한 계정을 여러 인터넷 사이트에서 사용하면 본인의 정체성
을 갖는 데는 좋겠지만 보안 관점에선 좋지 않다. 동일한 계정을
사용하는 개인을 추적해 사생활을 까발리는 '신상털기'는 이미 '
개*녀' 사건 등으로 널리 알려진 바다. 실제 그 사건의 당사자는
홈페이지는 물론 학교까지 알려져 곤경에 처했다. 아이디만 해도
그런 위험이 있을진대 패스워드까지 동일하다면 그 위험은 말할
나위가 없다. 4자릿수 정도 되는 패스워드를 사용하고 있다면 그
런 패스워드는 해커에겐 없는 것이나 마찬가지다. 4자리 숫자는 1
초, 영문자랑 섞어 사용한다고 해도 몇 십 분이면 해독이 가능하
기 때문이다. 그러니 백 번 양보해서 아이디는 동일하게 쓴다 해
도 패스워드만큼은 철저히 다르게 쓰자. 정 다르게 쓰는 게 어렵
다면 '사이트이름+숫자+내가 쓰는 패스워드' 이렇게 지정해 쓰는
것도 한 가지 방법이다. 어떤 패스워드든지 최소 6개월에 한 번
바꿔주는 것은 기본이 되겠다.
패스워드는 영문소문자, 대문자, 숫자, 특수문자 등을조합하여 8자리 이상으로 설정할 것
패스워드 자리 수에 대한 언급은 이미 앞 절에서 했지만 자료에
나온 것처럼 영문대문자, 소문자, 숫자를 섞어 쓰는 경우라도 7자
리와 8자리 패스워드의 차이는 엄청나다. 해킹을 막기 위한 성공
요소는 '해커를 얼마나 짜증나게 하느냐에 달려있다'라는 말도 있
다. 해킹은 수많은 시도를 하면서 될 때까지 기다림의 연속인데
25일을 기다릴 수 있는 해커는 있어도 4년6개월을 기다리는 순정
파 해커는 만나기 힘들 것이다. 그러니 패스워드를 설정할 때는
한 자리 더 써서 8자리 이상으로 설정하는 습관을 들이자. 1자리
더 써 넣어서 내 정보의 보안수준이 65배(4.5년/25일) 높아진다면
할 만하지 않은가.
법적인 절차를 따르는 경우를 제외하고는 개인정보를 제공하지 말 것
여기서 '법적인 절차'란 정통망법 22조에 명시된 '수집 및 이용에
대한 동의' 절차를 뜻한다. 정통망법 22조는 정보통신서비스 제공
자가 이용자로부터 개인정보를 수집할 때 다음 3가지 사항에 대
해 별도 동의를 받도록 규정하고 있다. '개인정보보호법'은 기존
사항에 더하여 '이용자의 거부권에 대한 명시'가 추가되어 있다.
[1] 개인정보의 수집/이용 목적
[2] 수집하는 개인정보의 항목
[3] 개인정보의 보유/이용 기간
온라인 사이트에서 경품이벤트 등을 할 때 회원이 아닌데도 경
품 배송 시 연락처가 필요하다는 이유로 동의절차 없이 개인정보
입력을 요구하는 경우를 보곤 한다. 이런 경우엔 불법수집이므로
응하지 않는 것이 바람직하다. 또한 게시판 등에 스스로 본인 정
보를 기재하는 일도 기업의 보호조치나 법적 보호를 받기 어려운
측면이 있으므로 삼가는 편이 낫다. 표현 그대로 '법적 절차가 있
는 경우'를 제외하고는 개인정보를 제공하지 않는 것이 최선인 것이다.
4
5
1
입력 문자 7 자리 8 자리
영문 소문자(26문자) 45분 20시간
영문 소문자 + 숫자(36문자) 8시간 13일
영문 대/소문자 + 숫자(62문자) 25일 4년 6개월
영문 대/소문자 + 숫자 + 특수문자(94문자) 437일 114년
[표] 일반적인 패스워드 전수조사 소요 예상시간 (출처: 한국인터넷진흥원 월간정보보호뉴스)
2
3
15
개인정보를 제공할 때는 내가 필요한 목적 하에서최소한의 정보만 제공할 것
정통망법 제23조는 '서비스제공을 위하여 필요한 최소한의 정보
를 수집하여야 하며 필요한 최소한의 정보 외의 개인정보를 제공
하지 아니한다는 이유로 그 서비스의 제공을 거부하여서는 아니
된다.'라고 밝히고 있다. 기업들은 마케팅을 위해 최대한 많은 정
보를 얻기를 원하므로 회원가입 시 많은 항목을 입력하도록 만들
지만 그런 요구에 일일이 장단을 맞출 이유는 없다. 필수항목만
입력하고 웬만하면 선택항목은 넣지 말자. 만약 선택항목과 필수
항목의 구분을 해놓지 않았거나 선택항목을 입력하지 않았다고
서비스 제공을 거부한다면 그 업체는 법을 위반한 것이니 당당하
게 권리를 요구하자.
개인용 정보기기에 대해 적극적으로 보호할 것
기업에 제공한 개인정보의 보호 책임은 기업이 노력할 몫이지만
집에 있는 컴퓨터나 노트북, 스마트폰 등 개인기기에 저장한 정
보의 보안은 본인이 책임져야 할 부분이다. PC에 백신을 설치하
고 중요한 자료는 패스워드를 걸어서 보관하는 정도는 꼭 지켜주
자. 분실의 우려가 높은 스마트폰이라면 더욱 신경 쓸 필요가 있
겠다. 귀찮더라도 패스워드를 설정하여 사용하고 스마트폰에 다
운받아 사용한 정보(문서, 메일 등)는 최대한 빨리 삭제하는 편이
안전하다.
안철수연구소의 개인정보 컨설팅서비스
안철수연구소는 안티바이러스 솔루션의 대명사인 V3 제품군을
비롯해 네트워크 보안, 금융보안, 온라인 게임 보안, 보안 컨설팅
및 관제 서비스 등을 제공하는 국내 최고의 보안 업체이다. 특히
개인정보보호 분야에 있어선 초기부터 깊은 관심을 갖고 독자적
인 방법론을 수립하여 다수의 공공기관과 대기업에 컨설팅을 제
공했으며 법령의 변화와 시장 요구에 맞추어 영역을 확장 발전시
키고 있다.
5
안철수연구소 개인정보 컨설팅 유형
- 개인정보 관리체계구축 컨설팅
- 개인정보 영향평가 서비스
- 개인정보 인식변화관리 컨설팅
- 개인정보관리 자문 서비스
- 개인정보 침해진단 서비스
- 개인정보 침해대응 서비스
안철수연구소 제공하고 있는 개인정보 컨설팅서비스 중에 가장
규모가 큰 것은 '개인정보 관리체계구축 컨설팅'이다. 개인정보 관
리현황분석, 법률준거성진단과 취약점진단을 비롯하여 마스터플
랜수립, 관리체계구축에 이르기까지 다소 고비용이 들더라도 개
인정보보호를 위한 모든 과정을 한 번에 가고자 하는 고객에게
적합한, 개인정보 컨설팅의 플래그십이라 할 수 있다.
또 개인정보 영향평가 서비스는 서비스와 시스템을 개편하거
나 신규 구축할 때 개인정보에 관련된 영향을 사전 평가하는 서
비스이다. 자체적으로도 할 수 있겠지만 정확한 평가를 위해서는
조직 내 상황에 대해 객관적이고 전문적인 지식을 갖춘 외부기관
에 맡기는 편이 나을 수 있다. 규모가 크지 않은 영역임에도 꾸준
히 의뢰가 늘고 있는 분야이기도 하다. 외부기관의 도움은 최소
화하고 내부역량을 키우는 걸 중시 하는 고객이라면 '개인정보 인
식변화관리 컨설팅'과 '개인정보관리 자문서비스'를 고려해 볼 만
하다. 인식변화관리 컨설팅은 변화관리 방법론에 기반하여 '개인
정보보호'라는 목표가 조직구성원의 인식에 내재화되고 하나의
문화로 정착되도록 지원한다. 개인정보보호를 위한 실무조직을
구성하고 지속적인 업무추진 의지는 있으나 자체 역량을 갖추기
까지 일정 부분 전문가 도움을 받고자 하는 경우에는 개인정보관
리 자문서비스가 비용 대비 효과에서 적절할 것이다.
침해진단과 침해대응 서비스는 개인정보의 침해 위험에 특
화 시켜서 사전진단과 사후대응을 지원하는 서비스이다. 전반적
인 현황을 분석하거나 큰 틀을 바로잡는 컨설팅이 아닌, 특정 영
역의 중대한 침해위험에 대응하는 일에서 기술적 전문성은 절대
적일 수밖에 없다. 그런 의미에서 각 분야의 침해분석과 대응전
문가가 포진한 안철수연구소야말로 최고의 파트너가 될 수 있으
리라 자신한다.
4
16
구분 현행 제정(안)
규율대상공공기관, 정보통신분야 사업자, 신용정보 제공/이용자 등 분
야별 규율대상 한정
공공/민간 통합 규율로 법적용대상 확대
- 현행법 적용을 받지 않던 오프라인 사업자, 의료기관, 협회/
동창회 등 비영리단체, 국회/법원/헌법재판소/중앙선거관리위
원회 등으로 확대
보호범위공공기관은 컴퓨터등에 의해 처리되는 개인정보파일만을 보호
대상으로 함
동사무소 민원신청서류 등 종이문서에 기록된 개인정보도
보호대상에 포함
수집/이용 및 제공기준 공공, 정보통신 등 분야별 개별법에 근거한 상이한 기준 적용 공공/민간 통일된 처리원칙과 기준 적용
고유식별정보 처리 제한
주민등록번호 등 고유식별정보의 민간사용을 사전적으로 제한
하는 규정 없음
원칙적 처리금지
- 법령이 있거나 별도 동의가 있는 경우만 예외적으로 허용
인터넷상에서 주민등록번호 외의 회원가입방법 제공 의무화
(정보통신서비스제공자 한정)
인터넷상 주민등록번호 외의 회원가입방법 제공 의무화
대상 확대
(정보통신서비스제공자 -> 공공기관, 일부 민간분야 개인정보
처리자)
- 대통령령에서 의무화대상 규정
주민등록번호 등 고유식별정보 처리시 암호화 등 안전조치 확
보의무 명시
영상정보 처리기기 규제
공공기관이 설치/운영하는 폐쇄회로텔레비전에 한하여 규율
공개된 장소에 설치/운영하는 영상정보처리기기 규제를
민간까지 확대
- 공개된 장소인 백화점/아파트 등 건물주차장, 상점 내/외부
등에 영상정보처리기기를 설치할 때에는 법령, 범죄예방/수사,
시설안전 및 화재예방, 출입통제, 교통단속, 기타 공익적 목적
을 위해서만 가능함
규율대상을 기존 '폐쇄회로텔레비전(CCTV)'에서 네트워크카메
라도 포함
공중 화장실/목욕탕/탈의실 등 사생활 침해우려가 큰 장소는
설치 금지
텔레마케팅 등 규제
1. 마케팅을 위해 개인정보처리에 대한 동의를 받을 때에는 다
른 개인정보 처리에 대한 동의와 묶어서 동의를 받지 않도록
명시적으로 규정
- 정보주체가 알기 쉽도록 고지하고 동의를 받아야 함
2. 모든 개인정보처리자는 마케팅 업무를 위탁시, 정보주체에
게 위탁업무 내용 및 수탁자를 고지해야 함
(정보통신서비스제공자 -> 모든 개인정보처리자로 규제대상 확
대)
개인정보파일 등록/공개 및 영향평가
공공기관이 개인정보파일 보유시 행정안 전부장관과 사전협의 공공기관이 개인정보파일 보유시 행정안전부장관에게 등록
행안부장관은 사전협의파일 관보 공고 행안부장관은 등록사항 공개
대규모 개인정보파일 구축 등 침해위험이 높은 경우에는
사전영향평가 실시 의무화 (민간은 자율시행)
유출 통지 관련 제도 없음 개인정보 유출사실 통지 의무화
위원회
국무총리 소속 공공기관개인정보보호심의위원회
- 공공부문 정책 심의
국무총리 소속 개인정보보호위원회 설치
- 공공/민간부문 개인정보보호정책을 심의하는 기구
25일개인정보분쟁조정위원회
정위원회 기능 확대
- 공공/민간 분쟁조정
출처: 행정안전부
개인정보보호법 제정으로 현재와 달라지는 점
17
2010.12온라인 뱅킹 관련 악성코드 동향HOT ISSUE
스파이아이, 제우스의 천적일 뿐인가?
전 세계 인터넷 뱅킹의 공포, 제우스(ZeuS)
제우스(Zeus) 악성코드는 웹 서버를 기반으로 한 C&C(Command
and Control) 서버와 제우스 악성코드를 생성하는 제우스 빌더
(Zeus Builder)로 구성 된 하나의 패키지 형태다. 일반적으로 제
우스 유포자는 블랙 마켓(Black Market)을 통해 제우스 제작자에
게 현금을 지불하고 제우스 패키지를 구매한다. 그리고는 별도
의 시스템, 또는 해킹한 시스템에 제우스 악성코드를 조정할 수
있는 웹 서버를 구축한 후, 제우스 빌더를 이용해 생성한 제우스
악성코드를 메일의 첨부 파일 형태나 악의적인 웹 사이트를 통
해 다운로드하는 기법 등으로 유포하는 것이다. 앞서 언급한 것
처럼 제우스가 유포되면서 대량의 온라인 뱅킹 정보들을 탈취하
여 현금을 가로채는 수법이 성공하자 동유럽을 중심으로 형성된
블랙 마켓에서는 제우스와 유사한 형태의 또 다른 온라인 뱅킹
(Banking) 트로이목마가 등장하게 되었다. 그 중 하나가 바로 스
파이아이(SpyEye) 악성코드이다.
최근 해외 언론 등을 통해 제우스(ZeuS)라는 온라인 뱅킹 정보를 탈취하는 악성코드의 유포자들을 체포했다는 기사들을 볼 수 있었다. 기사에 따르면 지
난 4년간 제우스 악성코드를 유포하여 총 2억 달러를 탈취한 혐의로 92명을 검거했으며, 이와 함께 영국 정부에서도 20명을 체포한 것으로 알려졌다. 해
당 악성코드로 인해 탈취된 현금의 규모도 놀랍지만 사건에 관계된 인물들이 92명에 달한다는 점에서도 놀라울 따름이다. 이처럼 일반적으로 사이버 범죄
(Cyber Crime)에 사용되는 악성코드들의 형태를 일부 보안 업체들에서는 크라임웨어(Crimeware)라고 부르며, 제우스 악성코드 역시 이러한 크라임웨어의
범주에 포함된다고 볼 수 있다. 그런데 엄청난 현금을 탈취한 범죄에 이용된 제우스 악성코드를 잡는 악성코드가 등장해 관심을 끌고 있다. 과연 이 악성
코드는 제우스를 잡아 먹는 천적인가, 아니면 또 다른, 더욱 엄청난 위협일 뿐인가?
[그림 1] 제우스 악성코드 생성도구인 제우스 빌더
[그림 2] 제우스 악성코드가 첨부된 메일
제우스 킬러, 스파이아이(SpyEye)의 탄생
스파이아이(SpyEye) 악성코드가 러시아를 포함한 동유럽 블랙 마
켓 지역에서 거래되기 시작한 시기는 대략 2010년 1월경으로 추
정된다. 이 악성코드가 블랙 마켓에서 주목 받게 되었던 가장 큰
이유 중 하나는 제우스에 감염된 시스템에서 제우스를 강제로 삭
제하는 기능이 있었기 때문이다. 현재 언더그라운드(Underground)
에 알려진 바에 따르면 스파이아이는 2명의 러시아인으로 구성된
팀이 제작했다. 팀 내에서도 역할을 분리하여 한 명은 직접적으
로 스파이아이 악성코드 패키지를 제작하는 개발자이며, 다른 한
명은 제작된 스파이아이 악성코드 패키지의 홍보와 판매를 담당
하고 있다. 이들은 스파이아이 악성코드 패키지를 블랙 마켓에서
약 500 달러(한화 약 60만원) 정도에 판매 하고 있으며 추가 기
능에 따라 약 1,000 달러(한화 약 120만원)에 판매하고 있다.
한편 스파이아이 제작팀 멤버 중 개발자는 러시아 소재의
대학에서 컴퓨터 공학을 전공하였으며 길지는 않으나 프로그램
개발 경력도 가지고 있는 것으로 알려졌다. 그러나 이후 금전적
인 문제로 인해 전문적인 악성코드 제작을 시작하였으며, 스파이
18
아이 악성코드 패키지를 제작 할 당시에는 악성코드 제작에만 하
루 12시간에서 13시간 정도 몰두한 것으로 전해진다.
웹 기반의 C&C 서버를 이용한 스파이아이 컨트롤
스파이아이 역시 제우스와 마찬가지로 스파이아이를 생성할 수
있는 '스파이아이 빌더(SpyEye Builder)'와 생성한 악성코드를 조
정하기 위한 웹 서버 기반의 'C&C 서버'가 하나의 패키지로 구성
되어 있다. 웹 서버로 동작하는 C&C 서버는 PHP와 MySQL 데이
터베이스로 동작하도록 설계되어 있다. 웹 기반으로 C&C 서버를
동작하게 되면 최초 메인 페이지 접속 시 로그인을 위한 관리자
암호를 요구한다. 정상적으로 로그인 하게 될 경우에는 [그림 4]
와 같이 메인 웹 페이지에 접근할 수 있게 된다. 메인 웹 페이지
의 설정을 클릭할 경우, [그림 5]와 같이 실질적으로 스파이아이
악성코드를 조정하고 악성코드가 탈취한 금융 정보들의 데이터를
확인 할 수 있는 웹 페이지로 연결된다. 해당 웹 페이지를 통해
스파이아이 유포자는 현재 스파이아이에 감염된 시스템의 IP 정
보를 토대로 지리적 위치, 운영체제 및 시스템 정보 통계 등을 실
시간으로 확인할 수 있다.
또한 스파이아이에 감염되어 있는 시스템 전체에 실시간으
로 새로운 버전의 스파이아이로 강제 업데이트하는 기능을 제공
하고 있다. 즉, 현재 유포한 스파이아이가 안티 바이러스 소프트
[그림 4] 스파이아이 C&C 서버의 메인 웹 페이지
[그림 3] 스파이아이 판매 가격과 판매자 연락처가 작성된 게시판
웨어(Anti-Virus Software)에 의해 탐지 될 경우 언제든지 변경 할
수 있는 것이다. 또한 비용을 지불하면 [그림 6]과 같이 최신 엔
진이 적용된 총 40개의 안티 바이러스 소프트웨어들에서 악성코
드 탐지 여부 결과를 제공해주는 웹 사이트와 연동하여 실시간으
로 결과를 파악하고 탐지되었을 경우 즉시 변경 할 수 있도록 하고 있다.
[그림 5] 스파이아이 C&C 서버의 메인 웹 페이지
[그림 6] 금전적 대가로 보안 제품 탐지 결과를 알려주는 웹 사이트
빌더(Builder)를 이용한 스파이아이 생성
웹 기반의 C&C 서버와 함께 제공되는 스파이아이 빌더(Builder)는
현재 언더그라운드에 공개되어 있는 버전들은 1.0.7과 1.1.39, 그리
고 1.2.50 및 1.2.60 등이 존재한다. 각 버전의 빌더 별로 조금씩
다른 기능들을 제공하고 있으며, 이러한 별도의 기능에 따라 판
매되는 스파이아이 패키지의 가격은 500 달러에서 1,000 달러까
지 다양하게 책정되어 있다. 또한 추가되는 플러그인(Plugin) 옵션
에 따른 추가 금액도 별도로 책정되어 있다. [그림 7]의 1.0.7 버전
은 초기 버전에 가까운 것으로, 시스템에 감염된 스파이아이 악
성코드가 역접속(Reverse Conection)으로 접속할 C&C 서버 주소
와 지정한 C&C 서버로의 접속에 실패 할 경우 사용할 보조 C&C
서버 주소를 동시에 지정 할 수 있게 되어 있다.
스파이아이와 관련된 기능 중 하나인 암호화 기능은 사용자
가 지정한 암호화 키를 이용하여 스파이아이 악성코드 전체를 암
호화하여 생성함으로써 안티 바이러스 소프트웨어의 탐지를 방
해함과 동시에 보안 연구원들의 분석을 지연시킬 의도도 포함되
어 있다. 이와 함께 빌더에는 실행 압축(Packer)을 기본 기능으로
추가 할 수 있어 추가적으로 안티 바이러스 소프트웨어의 탐지와
분석을 지연 시킬 수 있는 2중 구조로 되어 있다. 또한 스파이아
이를 널리 알리는데 가장 큰 역할을 했던 제우스 삭제 기능 역시 기
본 기능으로 추가 할 수 있도록 되어 있다.
[그림 7] 스파이아이 봇 생성 도구와 제우스 봇 삭제를 위한 옵션
19
상위 버전인 1.1.39 버전부터는 1.0.7 버전이 가지고 있는 기능 외
에도 웹 브라우저인 인터넷 익스플로러(Internet Explorer)와 파이
어폭스(FireFox)의 쿠키(Cookie) 파일들을 삭제 할 수 있는 기능이
추가 되어 있다. 또한 제우스 빌더가 이용하는 사용자 계정과 암
호를 가로챌 웹 사이트의 주소를 가지고 있는 설정 파일을 스파
이아이 빌더에서도 그대로 사용 할 수 있도록 되어있다. 이 외에
도 플러그인 형태의 DLL 파일을 이용하여 추가 기능들을 스파이
아이 생성시에 추가 할 수 있도록 설정되어 있는 특징이 있다. 한
가지 재미있는 사항은 1.1.39 버전부터는 실행 시 스파이아이 빌
더에서 가지고 있는 고유 키 값 검증을 통해 스파이아이 패키지
를 정식으로 구매를 한 사용자가 맞는지를 검사하도록 되어 있어
무단으로 이를 사용하지 못하도록 하고 있다는 점이다.
가장 상위 버전인 1.2.50 버전과 1.2.60 버전은 외형적인 측
면에서 UI는 동일하게 되어 있으며 기본적인 기능들도 하위 버전
인 1.1.39 버전과 동일하다. 반면 새롭게 추가된 기능으로는 생성
할 스파이아이의 파일명과 뮤텍스(Mutex) 명칭을 변경할 수 있는
기능이 있다. 이러한 기능을 가지고 있는 스파이아이 빌더 중 버
전 1.0.7을 이용하여 스파이아이를 추가 기능 설정 없이 생성하게
될 경우, 기본적으로 125,952 바이트의 cleansweep.exe 가 생성된
[그림 8] 1.1.39 버전의 스파이아이 봇 생성 도구
다. 또한 추가 기능 중에서 실행 압축 기능을 적용하여 생성할 경
우, 동일한 파일명에 사이즈만 60,928 바이트로 절반 정도로 줄
어들게 된다. 이와 관련해 실행 압축 기능이 적용된 파일과 그렇
지 않은 파일에 대해 파일 자체적인 조밀함을 측정하기 위해 플
로팅 프리퀸시(Floating Frequency)를 측정해보았다. 이를 위해 전
체 파일을 64 바이트 크기의 블록으로 나누어 해당 블록 내부에
서 서로 다른 바이트들이 얼마나 발견되는지를 측정하여 해당 파
일의 실행 압축 및 암호화 여부를 측정하는 방식을 사용했다.
[그림 9] 1.2.60 버전의 스파이아이 봇 생성 도구
[그림 10] 기본 설정으로 생성된 스파이아이 악성코드의 플로팅 프리퀸시(Floating Frequency)
먼저 실행 압축 기능이 적용하지 않고 기본 설정으로 생성한 스
파이아이는 [그림 10]과 같이 파일 전체에서 균일하게 측정되어
있으며 파일 하위 단으로 갈수록 측정 값이 떨어지는 것을 알 수
있다. 이러한 수치는 일반적으로 실행 압축, 또는 암호화를 하지
않은 순수하게 컴파일(Compile)된 파일들과 유사한 형태를 보이고
있다. 반면 실행 압축 기능이 적용하여 생성한 스파이아이는 [그
림 11]과 같이 하위로 갈수록 측정 값이 떨어지는 것은 동일하지
만 64 바이트 블록 내부에서 측정된 다른 문자열이 60개에 근접
하는 값이 파일 전체의 약 80% 정도를 차지하는 것을 알 수 있
다. 이러한 측정 결과로 미루어 보았을 때 스파이아이 빌더에서
는 내장된 실행 압축 알고리즘을 이용하여 스파이아이 악성코드
를 압축하여 생성하는 것으로 이해할 수 있다.
[그림 11] 실행 압축 설정이 적용된 스파이아이 봇의 플로팅 프리퀸시(Floating Frequency)
20
생성된 스파이아이의 감염 동작
스파이아이 빌더에 의해 생성된 파일들은 공통적으로
cleansweep.exe 라는 파일명을 갖는다. 해당 파일이 시스템
에서 실행되면 먼저 실행 중인 정상 프로세스인 explorer.exe
의 특정 메모리 영역에 [그림 12]와 같이 자신의 코드를 삽입한
다. 자신의 코드가 정상적으로 삽입 되면 시스템의 루트 디스
크에 'cleansweep.exe'라는 폴더를 생성하고 자신의 복사본과
'cleansweep.exe'를 함께 설정 파일인 'config.bin' 이라는 파일을
생성하게 된다. 또한 생성된 폴더와 파일들은 모두 윈도우 시스
템의 사용자 모드(User Mode) 레벨에서 동작하는 은폐 기능을 수
행하게 된다. 이러한 은폐 기능으로 인해 스파이아이가 생성한
폴더와 복사본을 모두 윈도우 탐색기 등으로는 볼 수 없게 한다.
[그림 12] 정상 explorer.exe 프로세스의 메모리 영역에 쓰여진 스파이아이 봇
[그림 14] 스파이아이의 C&C 서버 접속을 위한 DNS 조회
또한 빌더를 이용해 스파이아이 악성코드를 생성할 때 사용하였
던 제우스 악성코드와 유사한 형태를 자기고 있는 설정 파일들
에 지정되어 있는 웹 사이트를 감염된 시스템의 사용자가 접속하
게 될 경우, 해당 웹 페이지에 추가적으로 사용자 입력 폼(Form)
을 생성하여 그곳에 입력되는 사용자 입력 키보드 값을 가로채
는 '폼 그래빙(Form Grabbing)', 또는 '웹 페이지 인젝션(Web Page
Injection)' 기법을 통해 사용자 계정과 암호를 C&C 서버로 전송한다.
제우스를 삭제하는 스파이아이
앞서 스파이아이에는 제우스 악성코드를 삭제하는 기능이 포함되
어 있는 것을 살펴 보았다. 실제 제우스에 감염되어 있는 스파이
아이가 시스템에서 어떠한 방식으로 제우스를 삭제하는지 살펴보
면 [그림 16]과 같은 순서로 수행하는 것을 알 수 있다. 스파이아
이가 실행 된 후 정상 프로세스인 explorer.exe의 메모리 영역에
자신의 코드를 삽입하고, 이후 자신의 복사본인 cleansweep.exe
파일을 생성하게 된다. 그 후 제우스가 생성한 복사본인 sdra64.
exe 파일을 찾아 삭제하는 일련의 과정들이 발생한다. 그러나 이
이 외에도 다음 윈도우 레지스트리 위치에 키 값을 생성하여 윈
도우 시스템이 부팅 할 때마다 자신의 복사본이 자동 실행 되도
록 설정한다.
폴더와 악성코드 복사본이 생성이 완료되고 자동 실행을 위해 윈
도우 레지스트리에 특정 키 값 생성이 완료 된 후에는 [그림 14]
와 같이 최초 스파이아이 빌더에서 설정해두었던 C&C 서버의 주
소로 역접속을 수행하기 위해 감염된 시스템에 설정되어 있는
DNS 서버로 해당 주소에 대한 쿼리(Query)를 발생한다. 또한 쿼
리 발생 이후에 정상적으로 C&C 서버 주소로 접속이 이루어지지
않게 될 경우에는 빌더에서 지정하였던 보조 C&C 서버 주소로
재접속을 시도하게 된다.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\cleansweep.exe = "C:\cleansweep.exe\cleansweep.exe"
[그림 13] 은폐 기법을 사용하는 스파이아이 악성코드를 탐지한 트루파인드(TrueFind)
[그림 15] 웹 페이지 인젝션 수행 대상이 되는 은행 웹 페이지 리스트
21
러한 일련의 과정은 제우스 악성코드가 생성한 복사본 sdra64.
exe 파일만 찾아 삭제하며 정상 프로세스인 svchost.exe의 메모
리 영역에 삽입되어 있는 코드를 삭제하지 않기 때문에 시스템
을 재부팅하기 전까지는 제우스의 악의적인 코드는 메모리 상에
존재하며 여전히 동작하게 된다. 이렇게 제우스의 파일을 찾아서
삭제하는 스파이아이의 기능을 분석해보면, 먼저 실행 중인 프로
세스의 메모리 영역에서 뮤텍스를 "__SYSTEM__", 또는 "_AVIRA_"
를 사용하는 파일을 검사한 후 해당 파일의 경로를 찾아서 삭제
하도록 되어 있다.
[그림 16] 제우스 봇을 삭제하는 스파이아이 봇
악성코드 제작으로 인한 금전적 이득 자체를 제거해야
앞서 우리는 크라임웨어의 일종으로 사이버 범죄에 악용되는 제
우스 악성코드로 인해 얼마나 많은 금전적인 피해가 발생하는지
살펴보았다. 이와 함께 제우스와 유사한 형태인 또 다른 뱅킹 트
로이목마인 스파이아이가 어떻게 생성되어 C&C 서버로 가로챈
사용자 금융 정보들을 전송하는지도 살펴보았다. 이러한 온라인
뱅킹 관련 트로이목마들이 지속적으로 등장할 뿐만 아니라 추가
적인 버전들이 생성된다는 점에서 금융 정보 탈취를 목적으로 하
는 악성코드들을 더욱 증가할 것으로 볼 수 있다. 또한 실질적으
로 이러한 악성코드를 생성하는 조직에서 금전적인 이익을 획득
하고 있다는 것도 간접적으로 알 수 있다.
한편 이러한 문제는 결국 컴퓨터 사용자의 시스템을 두고
악성코드를 서로 삭제하는 이른바 권리 싸움으로까지 이어진다는
점에서 심각한 사회 문제라고 볼 수 있다. 그러므로 컴퓨터 사용
자가 자신이 사용하는 시스템에 대한 보안을 철저히 함으로써 근
본적으로 이러한 악성코드 제작으로 인한 금전적인 이득이 발생
하지 않는 환경을 만드는 것이 이러한 사이버 범죄를 근절할 수
있는 방법의 하나가 아닐까 생각해본다.
[그림 17] 제우스 봇의 뮤텍스(Mutex)를 이용해 삭제하는 스파이아이 봇 코드 중 일부
참고 문헌
1. 미국, 최악의 사이버 범죄 '제우스' 관련 조직 검거 (http://www.idg.co.kr/newscenter/common/newCommonView.do?newsId=62696)2. Wikipedia - Crimeware (http://en.wikipedia.org/wiki/Crimeware)3. The SpyEye Interface, Part 1: CN 1 (http://blog.trendmicro.com/the-spyeye-interface-part-1-cn-1/)4. The SpyEye Interface Part 2: SYN 1 (http://blog.trendmicro.com/the-spyeye-interface-part-2-syn-1/)5. SpyEye’s "Kill Zeus" Bark is Worse Than its Bite (http://www.symantec.com/connect/fr/blogs/spyeye-s-kill-zeus-bark-worse-its-bite)6. Mergers and Acquisitions in the Malware Space (http://www.symantec.com/connect/fr/blogs/mergers-and-acquisitions-malware-space)7. SpyEye’s "Kill Zeus" Bark is Worse Than its Bite (http://www.symantec.com/connect/fr/blogs/spyeye-s-kill-zeus-bark-worse-its-bite)8. Quiet Merger, Gang Warfare, or Mere Deception? (http://blogs.mcafee.com/mcafee-labs/quiet-merger-gang-warfare-or-mere-deception)9. Using Entropy Analysis to Find Encrypted and Packed Malware - ROBERT LYDA(Sparta) & JAMES HAMROCK(McDonald Bradley)
22
2010.12스마트폰 보안HOT ISSUE
스마트폰, 안전하게 사용하는 방법
"무지 비싼 장난감", "편리함", "예쁜 전화기", "풀 터치폰"
사람들에게 "스마트폰을 한마디로 표현하면?"이란 질문을 한 결
과 위와 같은 대답들을 들을 수 있었다. 물론 틀린 말은 아니다.
하지만 정작 스마트폰이 컴퓨터라고 생각하는 사람은 잘 없는 것
같다. 우리가 일반적으로 사용하는 컴퓨터와는 그 형태가 달라
인지하기 힘들지만 스마트폰은 우리가 늘 사용하는 컴퓨터와 동
일한 구조를 가지고 있다. 따라서 현재 컴퓨터에서 발생하는 다
양한 보안 사고가 동일하게 스마트폰에서도 발생할 수 있다. 또한
Wi-Fi, 3G, Wibro등등 다양한 통신 환경을 사용하므로 언제 어디
서나 인터넷에 연결될 수 있어 더욱 더 다양한 보안 위협에 놓여
있다고 볼 수 있다. 따라서 스마트폰이란 무엇인지 알아보고 보
안 사고를 예방하기 위한 방법은 어떤 것이 있는지 알아둘 필요
가 있다.
스마트폰이란?
스마트폰의 산업 표준에 대한 정의는 아직 없다. 하지만 일반적
으로 다음과 같은 특징들을 가지고 있다.
운영체제를 가지고 있다.
아이오에스(iOS), 안드로이드(Android), 심비안(Symbian) 등이 그 예이
다. 물론 이런 스마트폰의 운영체제에서 사용 가능한 애플리케이션을
개발하기 위한 개발툴킷(SDK-Standard Development Kit)도 제공하여
누구나 스마트폰 어플리케이션을 개발하고 또 배포할 수 있다.
버튼이 거의 없다.
일부 컴퓨터 키보드와 동일한 쿼티(QWERTY) 키를 가진 제품도 있지만
대부분 풀 터치 스크린을 가지고 있다. 이는 실행하는 어플리케이션에
따라 그 용도가 바뀌는 스마트폰의 특징 때문이다. 웹 브라우저 어플
리케이션을 실행하면 웹 브라우저가 되고, 네비게이션 어플리케이션을
실행하면 네비게이션이 된다.
다양한 통신 방법을 사용할 수 있다.
현재 대부분 3G통신과 Wi-Fi를 지원하고 있다. 따라서 일반적인 무선
인터넷이라 불리는 Wi-Fi가 지원되는 환경에선 WIFI를 이용할 수 있으
며 그렇지 않은 지역에서는 3G를 이용하여 데이터 통신을 할 수 있다.
이런 특징들로 인해 우리는 언제 어디서나 원하는 정보에 손쉽게 접근하
고 활용할 수 있어 우리의 삶을 보다 스마트하게 만들어주고 있다.
스마트폰과 보안위협
그렇다면 스마트폰을 사용함으로써 발생할 수 있는 문제점엔 어
떤 것들이 있을까? 넓게 보면 기존의 컴퓨터에서 발생했던 대부
분의 보안 사고가 스마트폰에서도 발생할 수 있다. 하지만 아직
까진 스마트폰의 운영체제가 모바일 환경에 특화되다 보니 개인
용 컴퓨터보단 그 위협이 적은 편이다. 반면 수 많은 개인정보 및
사생활이 입력되고 처리되는 스마트폰이다 보니 개인용 컴퓨터에
서 발생했던 보안 위협과는 또 다른 보안 위협이 존재할 수 있다.
그렇다면 이런 보안 위협에는 어떤 것들이 있는지 알아보자.
사생활 및 개인정보 유출
대다수 스마트폰 사용자들은 스마트폰을 통해 일정관리, 메모, 인
터넷 뱅킹, 이메일 등의 기능을 사용하고 있으며 최근 유행하고
있는 소셜 네트워크 서비스(SNS-Social Network Service)를 사용
하고 있다. 스마트폰은 자신 혼자만 사용하며 입력이 조금 번거
롭다는 이유로 보안상 중요한 로그인 정보를 자동으로 처리하게
아이디닉네임이메일
인터넷 주소
검색 엔진 저장 데이터
개인 홈페이지
댓글 SNS 서비스
블로그
마이크로 블로그 카페
[그림 1] 단편적인 개인 정보들의 조합
1
23
저장해 두는 경우가 많다. [그림 1]과 같이 소셜 네트워크 서비스
를 이용할 때 그 당시는 의미 없는 단편적인 일일지 모르지만 그
런 단편적인 정보들이 모이고 모이면 중요한 개인정보나 사생활
정보가 될 수 있으며 이렇게 수집된 정보는 악용될 소지가 높다.
또한 문제가 되는 것은 스마트폰 분실이다. 이전의 핸드폰은
분실되면 전화번호 정도만 유출되었지만, 스마트폰은 분실 시 저
장된 대부분의 중요한 개인 정보들이 유출될 수 있으며 그러한
정보들이 악용될 소지도 있다. 이를 예방하기 위해서는 가급적
스마트폰에 자동 잠금과 암호 잠금을 활성화 시켜 놓는 것이 좋
으며 민감한 개인 정보들이 많을 경우 암호 입력 시도가 일정 횟
수 이상 실패하면 스마트폰의 데이터를 자동으로 삭제하는 기능
을 활성화 시켜 놓는 것도 도움이 된다. 무엇보다 중요한 건 자신
의 스마트폰이 분실되지 않도록 잘 관리하는 것이다.
검증되지 않은 애플리케이션
스마트폰은 누구나 개발툴킷을 이용하여 애플리케이션을 개발하
고 또 마켓을 통해 판매가 가능하다. 따라서 우리는 다양한 스
마트폰용 애플리케이션을 다운로드 받고 사용할 수 있다. 하지
만 이런 애플리케이션 중에서 사용자 개인 정보를 외부로 유출하
거나 유료 과금을 하게끔 하는 애플리케이션이 실제 발견되었다.
이런 악성코드들은 애플리케이션 마켓에선 게임이나 바탕화면 변
경 애플리케이션으로 등록되어 있어 사용자들은 별 의심 없이 다
운로드하고 설치하게 된다. 물론 애플리케이션 설치 전에 해당
애플리케이션이 필요로 하는 기능들이 표시 되긴 하지만 일반적
인 사용자들이 그 정보를 보고 정상 어플리케이션인지 악성 애플
리케이션인지 정확한 판단을 내리는 것은 사실상 불가능하다.
최근 보다 다양한 기능들을 사용하기 위해 아이폰의 경우
탈옥(JailBreak), 안드로이드폰의 경우 루팅(Rooting)을 적용하여 사
용하는 사용자들이 늘어나고 있다. 이렇게 탈옥이나 루팅이 된
스마트폰은 정상적으로 구매하지 않은 애플리케이션을 사용자
가 임의로 설치할 수 있다. 따라서 정상 애플리케이션을 변조한
뒤 사용자에게 배포하는 경우 악성 여부를 확인할 방법이 없으며
사용자가 제작한 어떤 애플리케이션이든 설치가 가능하기 때문
에 악의적인 목적으로 만들어진 악성코드가 설치될 가능성이 매
우 높아진다. 따라서 이를 예방하기 위해서는 애플리케이션을 다
운로드 받기 전에 해당 애플리케이션에 대한 사용자들의 평가글
을 자세히 읽어보고 큰 문제가 없다고 판단될 경우에 다운로드하
는 것이 좋다.
검증되지 않은 무선 네트워크 환경
스마트폰은 다양한 네트워크 환경을 지원한다. 그 중 많이 사용
하는 것이 바로 Wi-Fi이다. 3G와는 달리 일반적으로 과금이 되
지 않으므로 다른 그 어떤 통신 방법보다 선호하는 통신 방식이
다. 실제 사람들이 많은 곳에서 비밀번호를 사용하지 않은 Wi-
Fi AP(Access Point)를 개설해 놓으면 수 많은 사람들이 접속하는
2
[그림 2] V3 Mobile로 진단된 안드로이드 악성코드
것을 확인할 수 있다. 누군가 악의적인 마음을 먹고 무료로 Wi-
Fi AP를 개설해 놓고 송수신되는 내역을 모두 확인한다면 어떻게
될까? 우리가 스마트폰으로 주고 받는 모든 내역이 기록되어 아
이디는 물론 패스워드까지 유출될 수 있다. 따라서 다른 곳에 갔
을 경우 그냥 Wi-Fi 네트워크에 접속하는 습관은 고쳐야 하며, 혹
불가피하게 사용하여야 할 경우 민감한 개인정보 등은 입력하지
않아야 한다.
보안 취약점 공격
최근 스마트폰에서 잇따라 보안 취약점이 발견되고 있다. 최근
애플(Apple)사의 아이폰(iPhone)에서 내장된 사파리 웹 브라우저
를 사용하여 어도비(Adobe)사의 문서파일(PDF)를 처리할 때 관리
자 권한을 획득할 수 있는 보안 취약점이 발견되었으며 실제 이
취약점을 활용하여 아이폰 탈옥(JailBreak)툴이 개발되고 공개 되
었다. 안드로이드(Android)폰의 경우도 특정 버전에서 웹 브라우
저를 통해 관리자 권한을 획득하는 보안 취약점이 발견 되었다.
이런 취약점을 이용하면 단순히 웹 브라우저를 통해 사이트에 접
속하는 것만으로도 악성코드에 감염될 수 있다. 스마트폰은 그
특성상 감염 시 전화번호, 통화목록, 문자 메시지, 메모, 일정과
같은 개인 정보는 물론 유료 전화나 스팸 문자 메시지 발송 등
실제 금전적 피해가 발생할 가능성이 있다. 이를 예방하기 위해
서는 스마트폰 제작사에서 배포하는 최신 버전으로 업데이트 해
야 한다. 최근 트위터(Twitter)와 같은 서비스는 짧은 주소 링크를
주로 사용하는데 이런 짧은 주소 링크는 검증이 어려우므로 짧은
주소로는 웹사이트에 접속하지 않는 것이 좋다. 그리고 신뢰할만
한 컴퓨터 보안 업체에서 제작한 스마트폰용 백신을 사용하여 주
기적으로 검사해 악성코드 유무를 확인하여야 한다.
스마트폰은 우리의 삶을 보다 스마트하게 만들어주고 있는
것은 분명하다. 하지만 그 편리함 이면에는 개인정보 유출, 유료
과금과 같은 보안사고의 위험도 함께 공존하고 있다. 우리가 집
을 비울 때는 조금 불편하지만 문단속을 한다. 그리고 지금은 문
단속이 큰 불편함으로 느끼지 못할 만큼 익숙해져 있다는 것을
알 수 있다. 보안도 마찬가지다. 처음엔 조금 불편하겠지만 익숙
해지면 그 불편함은 느끼기가 힘들다. 지금부터라도 나의 소중한
개인 정보를 지키기 위해 작은 노력을 시작해보자.
4
3
24
2010.12OWASP 2010 Top 10 3부HOT ISSUE
취약한 인증과 세션 관리, 공격 위험과 예방법OWASP(Open Web Application Security Project)에서는 웹 애플리케이션 환경에서 가장 중요한 위험 10가지를 선정하여 발표하고 있다. 안철수연구소 ASEC
Report에서는 OWASP Top 10에 대해 집중 소개할 예정이다. 이를 통해 고객들이 웹 애플리케이션 보안의 취약점을 인지하고 예방할 수 있기를 기대한다.
지금까지 인젝션(Injection), XSS(Cross Site Scripting, 이하 XSS)에 대해 알아보았다. 이번 호에서는 취약한 인증과 세션 관리에 대해 집중 소개한다.
OWASP 2010 Top 3
이번 호에서 다루는 취약한 인증과 세션 관리는 OWASP 2010의
Top 3에 해당한다. 인증 및 세션 관리와 연관된 애플리케이션 기
능이 올바르게 구현되지 않는다면, 공격자로 하여금 다른 사용자
의 신분으로 가장할 수 있도록 하는 패스워드, 키, 세션 토큰 체
계를 위태롭게 하거나 구현된 다른 결함들을 악용할 수 있도록
허용하게 된다. 먼저 취약한 인증과 세션 관리 공격의 주요 사항
은 [그림 1]을 통해 알 수 있다.
주요 내용
Threat Agents(공격자): 자신의 계정을 소유하고 있는 사용자이
거나 타인의 계정을 훔치려는 익명의 외부 공격자, 자신의 행위
를 숨기려고 하는 내부 사용자이다.
Attack Vectors(공격경로): 공격자는 사용자를 위장하기 위해 인
증이나 세션 관리의 노출 또는 결함(노출된 계정, 패스워드 혹
은 세션 ID)를 이용한다.
Security Weakness(보안 취약점): 개발자들은 습관적으로 인증
및 세션 관리 체계를 자주 구축하지만 올바르게 구축하기는 어
려운 것이 현실이다. 그 결과 로그아웃, 패스워드 관리, 타임아
웃, 사용자 정보 기억, 비밀번호 찾기 질문, 계정 업데이트 등
이러한 습관적인 체계 구축은 종종 결함을 갖고 있다. 또 각기
다르게 구현되기 때문에 결함을 찾기란 쉽지 않다.
Technical Impacts(기술적 영향): 이 결함은 일부 혹은 모든 계
정에 대한 공격을 허용한다. 성공하는 즉시, 해당 계정이 할 수
있는 모든 것을 할 수 있기 때문에 특별한 권한이 부여된 계정
은 자주 공격 대상이 된다.
[그림 1] 취약한 인증과 세션 개괄
1
Business Impacts(비즈니스 영향): 영향을 받는 데이터나 어플
리케이션 기능의 비즈니스적 가치를 고려한다. 또한 취약점의
공개적 노출에 대한 비즈니 스 영향을 고려해야 한다.
공격 시나리오 예
URL Rewriting을 지원하고 URL 상에 세션 ID가 포함된 항공 예약
어플리케이션이 있다고 할 때, 인증된 사용자가 친구에게 항공권
예약 내용을 알려주고자 아래 URL 링크를 E-mail을 통해 보낸다
면, 어떤 일이 발생할까?
URL의 전송한 사용자는 그의 세션 ID가 노출 되게 되며, 수신 받
은 친구는 이 URL 링크를 이용해 메일을 발송한 사용자의 세션과
신용카드 넘버까지 확인하여 추가적인 행위를 할 수 있다.
대응책
취약한 인증과 세션 관리에 대한 대응책으로는 개발자들이 다음
과 같은 사항을 준수하여야 한다.
- 강력한 인증 및 세션 관리 통제의 단일 체계를 구축해야 한다.
- OWASP의 애플리케이션 보안 검증 표준(ASVS) 항목의 V2(인
증)와 V3(세션 관리)에 정의되어 있는 인증 및 세션 관리 요구사
항을 모두 충족시켜야 한다.
- 개발자를 위한 간단한 인터페이스를 갖추어야 한다. 특히,
ESAPI 인증자와 사용자 API를 좋은 예를 삼아 구축 시 참고하여야 한다.
- 세션 ID를 도용하는데 사용될 수 있는 XSS 취약점을 막기 위
해 노력해야 한다.
2
http://example.com/sale/saleitems;jsessionid=2P0OC2JDPXM0OQSNDLPSKHCJUN2JV?dest=Hawaii
3
25
2010.12익스플로이트 킷(Exploits Kit) 분석 사례CASE STUDY
업데이트로 끊임없이 다시 태어나는피닉스 익스플로이트 킷
과거에는 침해사고를 분석하다 보면 문제가 되고 있는 상당수
의 시스템에서 공격자의 재 침입을 위한 흔적들을 발견할 수 있
었다. 이러한 흔적들을 흔히 백도어(Backdoor)라고 부른다. 일반
적으로 이러한 백도어들은 특정 포트에 바인드(BIND)를 하여 방
화벽을 우회한 쉘(Shell)을 획득하는 것이 목적이며, 특정 백도어
의 경우에는 웹 서비스를 통해 작동되기도 한다. 최근에 흔히 발
견되는 웹쉘(Webshell)이 이러한 종류에 속한다고 볼 수 있다. 공
격 기법은 이른바 백도어의 종합선물세트라고 할 수 있는 루트킷
(Rootkit)으로 발전되었었는데, 루트킷은 시스템을 다양한 종류의
백도어를 작동시키게 만들며 단순히 명령어 한 줄만으로도 작동
되는 것이 특징이다.
한편 공격 방식은 대단히 변형되어 공격자는 더 이상 루트
(root)나 관리자(administrator) 권한에 관심이 없으며, 그 보다는 돈
이 되는 개인정보 등이 저장되는 DB 권한에 더 관심을 갖게 되
었다. 이는 멀웨어(Malware)의 등장으로 더욱 심각해지고 있다.
2010년 캐나다 밴쿠버에서 열린 VB2010 컨퍼런스에서 한 발표
자는 페이스북(Facebook)과 관련된 악성코드인 Koobface 제작자
의 예를 들며, 제작자는 악성 봇넷(botnet)을 통해 단 1주일만에
35,000 달러 정도(한화 약 3,800만원)를 벌어들였다고 전했다. 이
를 통해 멀웨어(Malware)를 이용한 공격이 공격자에게는 얼마나
매력적인지 유추해 볼 수 있다. 또한 이 글을 통해 설명할 피닉스
익스플로이트 킷(Phoenix Exploits Kit)의 경우에도 언더그라운드
암시장에서 2,500달러 이상에 거래되고 있다. 또한 이 PEK는 기
존의 루트킷과 유사한 성격의 또 다른 멀웨어 종합선물세트 도구
라고 할 수 있다.
지속적으로 업데이트 되는 PEK
[그림 1]은 실제 피닉스 익스플로이트 킷(Phoenix Exploits Kit, 이
하 PEK)의 초기 접근 화면으로, PEK는 다양한 공격 툴의 집합체
로 구성되어 있다. 이러한 PEK는 지속적으로 업데이트 되고 있는
것이 하나의 특징이다. [표 1]은 PEK에 포함된 주요 공격 툴의 내
용을 정리한 내용이다
최근에는 이러한 패키지성 공격 툴이 많이 나타나고 있는 상
황이다. 특히 PEK는 다양한 유저 인터페이스(User Interface)는 물
론, 감염율을 보여주는 통계 차트까지 제공하는 등 관리자 기능
까지 보강된 막강한 툴로, 몇 천 달러가 넘는 돈에 거래가 되고
있는 실정이다. 이러한 툴의 종류에는 PEK 외에도 스파이아이
(SpyEye), 크라임웨어(Crimeware) 등이 존재한다.
PEK는 기본적으로 다양한 악성코드의 집합체라고 할 수 있으
며, 공격자는 각종 웹 서버에 접근 후 이러한 공격 툴을 설치하는
것이 일반적이다. 따라서 이러한 악성코드가 설치된 웹 서버에
접근하는 것 만으로도 피해자의 시스템은 감염될 수 있으며, 피
해자의 시스템은 단순한 감염 증상을 넘어 PC에 저장된 각종 계
정 접속 ID, 패스워드가 노출될 수 있다. 이제 PEK의 개별적 공격 방
식에 대해 살펴보자.
[그림 2]의 내역을 살펴보면 실제 PEK 코드의 일부가 난독화
(Obfuscate) 되고 있는 것을 확인 할 수 있으며, 해당 부분을 디코
딩 처리하여 Beautify한 내용을 볼 수 있다. 코드를 통해 알 수 있
듯이 난독화 코드는 특정 사이트를 방문하여 추가적 악성코드에
감염되도록 하는 것이 특징이다. 최근에 나타나는 RFI 기법의 일
종이라고 볼 수 있다.
[그림 1] 피닉스 익스플로이트 킷(Phoenix Exploits Kit) 초기 접근 화면
26
즉, 이러한 PEK의 특성은 특정 악성 사이트에 방문하게 되면 접속
자의 의지와는 관계없이 다량의 악성코드에 감염이 되며, 표 2와
같이 다수의 악성 사이트에 방문하게 되는 계기가 되는 것이다.
실제로 이러한 방법을 통해 악성코드들이 점프하는 위치를 살펴
보면 다음의 예시들과 같다,
[그림 2] 일부 난독화된 실제 PEK 코드
[예시 1] 특정 사이트로 접근하여 실제로 추가적인 악성코드를 받도록 교묘하게 숨겨져 있다.
또한 특정 공격코드는 난독화 기능을 좀 더 첨부하여 DOM 영역
에서만 데이터가 해석 되도록 설계되어 있는 경우도 있었다. [그
림 3]에서 볼 수 있는 skd, skd1, skd2가 그것이다.
[예시 2] 또 다른 공격 툴로써, 해당 페이지는 역시 l.php로 접근하도록 설계가 되어 있다.
[예시 3] 앞서 설명한 파일과 마찬가지로 l.php로 점프하도록 만들어져 있다.
[그림 3] 난독화 기능이 첨부된 공격코드
[ReferURL]
1 [ROOT]http://yuna.ixxx.com/ [페이지를 찾을 수 없습니다.]1-1 http://www.evil.com/images/img.js1-2 http://www.evil.com/images/ad.htm1-3 http://yuna.ixxx.com/common/default.js1-4 http://www.ixxx.com/broad/css/default.css1-5 http://www.ixxx.com/common/js/global_function.js1-6 http://www.ixxx.com/common/js/makePCookie.js1-7 http://www.ixxx.com/include/interstitialScript.js1-8 http://www.ixxx.com/2008_main_admin/js/cache/sub_DWCode.js1-9 http://www.ixxx.com/broad/tv/js/drama_program_go_n.js1-10 http://ads.ixxx.com/geoip.php1-11 http://www.ixxx.com/common/js/2008_hot_gnb_n.js1-12 http://www.ixxx.com/2008_main_admin/js/main_func.js1-13 http://yuna.ixxx.com/images/top_change_imgundefined.png1-14 http://ads.ixxx.com/RealMedia/ads/adstream_sx.ads/www.ixxx.com/event/yuna@Top1-15 http://ads.ixxx.com/RealMedia/ads/adstream_sx.ads/www.ixxx.com/event/yuna@Right1-16 http://www.evil.com/images/ad.htm1-17 http://www.evil.com/images/news.html1-18 http://www.evil.com/images/count.html1-19 http://www.evil.com/images/ad.htm1-20 http://www.evil.com/images/news.html1-21 http://www.evil.com/images/count.html1-22 http://www.evil.com/images/news.html1-23 http://www.evil.com/images/count.html1-24 http://www.txgjj.com/images/s.exe1-25 http://www.evil.com/images/ad.htm1-26 http://www.evil.com/images/count.html1-27 http://www.evil.com/images/news.html1-28 http://www.evil.com/images/count.html1-29 http://evil_IP:61688/img/img.txt1-30 http://evil_IP:61688/img/1.exe1-31 http://evil_IP:61688/img/2.exe1-32 http://evil_IP:61688/img/img.txt1-33 http://evil_IP_2:61688/img/img.txt1-34 http://evil_IP_2:61688/img/1.exe1-35 http://evil_IP_2:61688/img/2.exe1-36 http://evil_IP:61688/img/img.txt1-37 http://evil_IP:61688/img/1.exe
[표 2] 악성 사이트 리스트
최신 보안 패치 적용만으로도 피해 예방할 수 있어
앞서 예시로 든 경우에서 볼 수 있는 것처럼 'iXXX' 사이트에 방
문한 사용자는 악성코드의 영향으로 각종 HTML 파일을 읽어 들
인다. 또한 HTML 파일은 모두 악성 스크립트로써 추가적 악성코
드가 PC에 설치되게 만든다. 심지어 ARP Spoofing을 유발하는
악성코드(1.exe, 2.exe)가 설치되게 만든다. PEK와 같은 범죄도구
는 특성상 인터넷 익스플로러나 어도비리더 또는 아크로뱃 등의
최근 취약점을 이용하기 때문에 사용자 측면에서는 제로데이(0-
day) 취약점이 이용될 가능성은 없다. 따라서 PC에 최신 보안 패
치를 적용시키는 것만으로도 PEK와 같은 공격도구에 의한 보안
취약성 노출을 낮출 수 있다. 그러므로 보안 패치야말로 보안의
시작이라고 할 수 있을 만큼 대단히 중요하다. 반면 시스템 운영
자 측면에서는 웹 서비스에 대한 보안 감사를 토대로 특히 보안
에 취약한 각종 애플리케이션의 이용을 금지하고, 웹 애플리케이
션에 대한 보안성 강화 및 특정 네트워크 키워드에 대한 감사 및
필터링 정책을 강화해야 한다.
27
2010.12TrusGuard DPXPRODUCT ISSUE
TG DPX,인라인 vs 아웃오브패스 대결의 종결자
구성 방식에 따른 분류
인라인 방식과 아웃오브패스 방식은 해당 장비가 네트워크 구간
내에 어디에 위치하느냐에 따라 구분된다. 인라인 방식은 네트워
크 구간 내에 위치하게 되며, 빠른 대응이 가장 큰 장점이다. 반
면, 아웃오브패스 방식은 네트워크 외부에 위치하며, 네트워크 안
정성이 높다는 것이 장점이다. 인라인 방식과 아웃오브패스 방식,
각각의 특성은 [표 1]과 같다.
2006년도 하반기부터 시작된 국내 DDoS 시장에서 DDoS 공격 대응 제품은 여러 형태나 분류로 나눌 수 있다. 그 중 구성 방식에 따라 인라인(Inline) 방식의 제
품과 아웃오브패스(Out-of-Path) 방식의 제품으로 구분하는 것이 가장 대표적이다. 이러한 두 가지 형태의 구성 방식은 사실 네트워크 담당자가 아니라면 생소
하게 느껴질 수 밖에 없는 용어다. 이 글에서는 인라인 구성 방식과 아웃오브패스 구성 방식에 대해 쉽고 명확하게 이해를 할 수 있도록 소개하고자 한다.
Inline 구성 방식 Out-of-Path 구성방식
구성의 특징 네트워크 구간 내에 위치 네트워크 외부에 위치
트래픽 기준 양방향 트래픽단방향 트래픽
(일부 양방향 트래픽)
보안 적용의 장점 빠른 대응네트워크 안정성 뛰어남
대규모 트래픽 구간에 설치 적합
구성의 단점 평상시 네트워크에 관여Inline 대비 느린 대응
양방향 트래픽 구성 시 구성 복잡
적용 제품방화벽, IPS, 웹 방화벽,
L2/L3/L4/L7 SwitchDDoS, 웹 방화벽, L4/L7 Switch, Proxy
[표 1] 인라인 방식과 아웃오브패스 방식의 특징 비교
Inline 구성 방식이란?
구성 방식의 설명
인라인 방식은 라우터, 스위치 등과 같은 네트워크 장비 및 방화
벽, IPS와 같은 보안 장비들의 구성 방식처럼 트래픽 소통 구간
에 설치되는 방식을 의미한다(그림 1). 이 방식의 경우 네트워크
구간 사이에 위치하기 때문에 해당 장비의 설치 시 실시간 네트
워크 트래픽의 단절 현상이 있으며, 회선 구성 등의 변경도 불가
피하게 일어날 수 밖에 없다. 특히 인라인 방식의 제품이 IP 어드
레스(Address)를 설정하는 구성 방식인 L3 (Routed) 인라인일 경
우에는 설치되는 네트워크 구간 상단 및 하단 장비의 네트워크
IP 설정도 변경이 되어야 하는 부분이 있다. 이로 인해 최근에는
인라인 구성 방식으로 설치 시에는 IP 어드레스가 필요없는 L2
(Transparent) 모드를 선호하며, 대부분의 인라인 제품은 해당 구
성 방식을 지원하고 있다.
인라인 제품이 관여하게 되는 네트워크 트래픽의 특징
인라인 방식의 제품은 [그림 1]과 같이 트래픽이 소통되는 네트
워크 구간 내에 설치가 되기 때문에, 내부로 들어오는 인바운드
(Inbound) 트래픽과 외부로 나가는 아웃바운드(Outbound) 트래픽
등 양 양방향 트래픽 모두 해당 제품을 거치게 된다. 모든 고객에
게 있어서 설치된 인라인 제품의 장애나 트래픽 전송 지연 문제
1
[그림 1] Inline 구성 방식의 예
2
28
Out-of-Path 구성 방식이란?
구성 방식의 설명
아웃오브패스 방식은 'Out-of-Path'라는 단어에서 의미하는 바와
같이 설치되는 장비가 트래픽의 소통 구간에서 외부로 빠져 나와
있는 구성 방식을 의미한다. 이를 도식화 하면 [그림 2]와 같다.
특히, 아웃오브패스 방식은 인라인 방식과는 다르게 네트워크 구
간 외부에 설치되어 전체 트래픽 중 특정한 트래픽만 통과하거
나, 평상시에는 전혀 트래픽이 통과하지 않는 구성으로 이용이
가능하다. 이로 인해 제품이 설치가 되더라도 기존의 네트워크
트래픽 흐름에는 영향을 주지 않는 장점을 가지고 있다. 즉, 인라
인 방식의 약점인 전송 지연, 또는 장애 등의 문제로부터 좀 더
자유로울 수 있다는 것이다.
아웃오브패스 방식이 관여하는 네트워크 트래픽의 방향성
아웃오브패스 방식을 통과하는 트래픽의 유형은 크게 '특정 서비
스 트래픽의 양방향 트래픽'이나 '특정 서비스 트래픽의 단방향
트래픽'의 두 가지 형태로 분류할 수 있다.
에 대해서는 매우 민감한 사안일 수 밖에 없다. 이로 인해 기본적
으로 인라인 제품은 최소한의 전송 지연 시간(Latency Time)이나
장애 시 트래픽 바이패스(Traffic Bypass) 기능 등의 대비책을 제
공하고 있다.
보안적인 측면에서 인라인 방식은 인바운드
보안적인 측면에서 인라인 방식은 인바운드 트래픽에 대한 보
안 설정과 함께 아웃바운드 트래픽에 대한 보안 설정을 할 수 있
다는 이점을 가지고 있다. 특히 TCP 프로토콜(Protocol)의 경우에
는 세션기반 프로토콜(Session Oriented Protocol)로서, 클라이언트
와 서버 간의 양방향 통신을 유지해야만 하는 특징이 있다. 따라
서, 일반적인 인라인 구성 방식의 방화벽이나 IPS 에서는 TCP 프
로토콜에 대해 양방향 세션이 정상적으로 통신이 되고 있는지와
함께, TCP 프로토콜의 규약에 맞는 양방향 통신이 되고 있는지에
대해서도 점검하여 비정상적인 세션을 차단할 수 있는 보안 기
능을 제공한다. 이 기능이 바로 잘 알려진 '스테이트풀 인스펙션
(Stateful Inspection)'이다.
또한, 네트워크 구간 내에서 동작을 하고 있으므로, 보안 위협
에 대한 탐지에 대해 즉시 차단 명령을 내리면 실시간으로 보안
정책이 적용될 수 있는 것이 가장 큰 특징이다. 물론, 최근에는
네트워크 구성이 매우 복잡하고 고도화되고 있어 네트워크 구간
내의 회선이 2중화 이상으로 구성이 되는 경우가 비일비재하다.
이러한 구성 방식을 대응하기 위하여 인라인 방식 제품은 하나의
장비에서 여러 회선을 수용할 수 있는 구성 방식과 함께 2대 이
상의 인라인 방식 제품이 서로 실시간 TCP 세션을 공유할 수 있
도록 하는 액티브-액티브(Active-Active) HA 구성 방식도 지원하
는 제품도 있다.
적용 제품의 예
방화벽
L3 (Routed) Mode 구성 방식의 방화벽
L2 (Transparent) Mode 구성 방식의 방화벽
L2 (Transparent) Mode 구성 방식의 Bypass 기능을 내장한 방화벽
IPS
L2 (Transparent) Mode 구성 방식의 Bypass 기능을 내장한 IPS
Router/Switch
L3 기반의 Routing 처리(Static & Dynamic Routing Protocol)
L2 기반의 Swtching 처리
3
4
[그림 2] Out-of-Path 구성 방식의 예
1
2
Traffic 우회 전용 Switch
Out-of-Path 차단 전용
Out-of-Path 탐지 전용
Inbound Traffic
Outbound Traffic
Inbound Traffic
Outbound Traffic
[그림 3] Out-of-Path 구성 양방향 트래픽 (좌)
[그림 4] Out-of-Path 단방향 트래픽 (우)
먼저, 여기서 언급한 '특정 서비스 트래픽'이란 전체 네트워크 트
래픽 아웃오브패스 방식의 제품만을 통과하는 서비스 트래픽을
의미하는 것이다. 예를 들어 대외 서비스를 하는 서버가 웹 서
버, DNS 서버, 메일 서버가 있다고 가정하자. 이 경우, 아웃오브
패스 방식 제품에서는 DNS 서버와 메일 서버의 트래픽을 제외한
웹 서버만을 통과시킨다. 즉, DNS 서버와 메일 서버의 트래픽은
아웃오브패스 방식의 제품이 관여하지 않는다는 것이다. 이로 인
하여 기존의 DNS 서버와 메일 서버의 트래픽은 기존의 네트워크
경로를 그대로 이용하게 되므로, 서비스에 영향을 받지 않는다.
만약 양방향 트래픽을 이용할 경우에는 위에서 예를 든 웹
서버의 경우와 같이 클라이언트에서 서버로 요청하는 트래픽
(Inbound Traffic)이 아웃오브패스 방식 제품으로 유입되고, 서버에
서 클라이언트로 응답하는 트래픽(Outbound Traffic) 또한 아웃오
브패스 방식의 제품으로 유입되는 구성 방식을 의미한다.
29
지금까지 인라인 구성 방식과 아웃오브패스 구성 방식에 대해 간
단히 기술적으로 비교해 보았다. 이 중 가장 많은 이야기를 이어
나갈 수 있는 DDoS 공격 대응 제품에서의 인라인 구성 방식과
아웃오브패스 구성 방식에 대해서 이야기를 하고자 한다.
DDoS 공격 방어 대상 트래픽: 양방향 vs 단방향
일부 네트워크 구성의 특성에 따라 인바운드 DDoS 공격과 아웃
바운드 DDoS 공격 두 가지를 모두 고려하는 경우가 있다. 이러
한 사례를 생각해보면 DDoS 공격 대응 제품이 보호하는 대상이
서버뿐만 아니라 클라이언트까지 포함된 네트워크 구간일 경우가
여기에 해당된다. 특히 서버가 외부 IDC에 있는 것이 아닌 자체
망의 DMZ 구간 내에 포함이 되어 있는 경우이다. 이 경우 DDoS
공격 대응 제품은 DMZ 네트워크와 내부 네트워크의 트래픽 단
일 유입 구간에 설치가 될 경우에는 인바운드 DDoS 공격에 대해
DMZ 네트워크의 서버에 대한 DDoS 공격 방어를 수행한다. 그리
고, 내부 네트워크 구간의 클라이언트 PC가 아웃바운드 DDoS 공
격을 할 경우에도 방어를 수행하는 경우가 있다. 이 때에는 양방
향 트래픽의 방향성에 적합한 인라인 구성 방식의 DDoS 공격 대
응 제품이 적합하다. 하지만, 일반적으로 DDoS 공격은 외부에서
내부 서비스로의 대규모 트래픽을 유발하여 외부의 정상적인 사
용자들이 서비스로 접근을 하지 못하게 하는 특징을 가지고 있
다. 따라서 일반적으로 DDoS 공격 대응 제품은 인바운드 트래픽
관점에서의 방어를 원칙으로 한다.
따라서, 대외 서비스를 수행하는 서버에 대한 DDoS 공격 방
어를 하기 위해서는 인라인 구성방식의 DDoS 공격 대응 제품에
서 인바운드 DDoS 공격만을 관여하도록 하거나, 또는 대규모 트
래픽이 발생하는 IDC 구간일 경우에는 아웃오브패스 구성 방식의
DDoS 공격 대응 제품이 적합하다.
DDoS 공격 방어 동작 시간의 적합성:인라인 vs 아웃오브패스
DDoS 공격은 공격이 발생하면 즉시 서비스가 마비되는 현상을
초래하므로 이에 대한 대응 시간이 매우 중요하다. 인라인 구성
의 경우 앞서 설명한 바와 같이 양방향, 또는 단방향 트래픽에 대
해 실시간으로 탐지/차단을 수행하기 때문에 DDoS 공격 발생 시
즉시 설정되어 있는 정책에 의해 공격을 차단할 수 있다. 이 경우
최소 1초 이내의 DDoS 공격 탐지/차단 동작이 수행될 수 있는 장
점이 있다. 반면, 아웃오브패스 구성의 경우에는 평상시 DDoS 공
격을 차단하는 제품은 동작하지 않고, 이를 동작시키기 위해 상
시 모니터링을 하는 DDoS 공격 탐지 장비가 별도로 구성이 된다.
이 경우 DDoS 공격이 발생이 되면 먼저 DDoS 공격 탐지 장비가
DDoS 공격을 인지하여 DDoS 공격 차단 장비로 동작 명령을 전
달하여, 차단 장비가 DDoS 트래픽에 대해 차단을 처리하게 된다.
이로 인하여 아웃오브패스 구성 방식의 DDoS 공격 대응 제품은
인라인 구성 방식의 제품보다는 대응 시간이 느리다는 구조적 한
보안 제품의 구성 제약 및 적용의 범위
아웃오브패스 방식에서 양방향 트래픽을 구성할 경우에는 네트
워크 상에서의 트래픽 라우팅의 고려가 매우 중요하다. 일반적으
로 네트워크 트래픽 라우팅은 목적지 IP 기반의 라우팅 정책을 적
용하게 된다. 예를 들어 '웹 서버로 향하는 트래픽을 아웃오브패
스 방식 제품으로 보내겠다'라고 하는 형태로 구성이 된다. 하지
만 웹 서버가 랜덤한 출발지 IP로의 응답 트래픽을 아웃오브패스
방식 제품으로 보내고자 하는 라우팅은 목적지 IP 기반의 라우팅
정책으로는 적용이 불가능하다. 이로 인하여 PBR (Policy Based
Routing) 등의 기법을 이용하여 출발지 IP 기반의 라우팅 기법을
적용해야만 웹 서버의 아웃바운드 트래픽도 아웃오브패스 방식
제품으로 트래픽을 유입시킬 수 있다.
양방향 트래픽 기준의 아웃오브패스 방식 제품은 이러한 문제
점을 해결하기 위해 트래픽 통신을 중계시켜 주는 '프록시 IP'를
설정하여 운영하게 된다. 예를 들어 클라이언트가 웹 서버로 요
청할 때에는 아웃오브패스 방식 제품에 설정된 웹 서버의 대표 IP
로 요청을 하게 되고, 아웃오브패스 방식 제품은 설정된 프록시
IP를 이용해 서버로 트래픽을 중계하게 된다. 이후 서버의 응답
트래픽은 프록시 IP로 전달되고, 이 응답을 아웃오브패스 방식 제
품이 클라이언트에게 전달하는 복잡한 구조로 대응한다.
하지만 대부분 가장 효율적인 방법으로 랜덤한 클라이언트의
요청 트래픽인 인바운드 트래픽에 대해서만 관심을 가지고 아웃
바운드 트래픽에 대해서는 적용하지 않는 단방향 기준의 보안 정
책도 많이 사용하고 있다. 이에 대한 대표적인 예가 DDoS 공격
방어의 경우이다. 예를 들어, 웹 서비스의 보안 영역 중 DDoS 공
격의 경우에는 외부로부터 웹 서버로 유입되는 대규모의 DDoS
트래픽에 관한 보안 정책이 필요하고, 그 반대인 웹 서버가 외부
의 불특정 대상에게 DDoS 공격을 감행하는 사례는 매우 적다고
판단할 수 있다. 이때에는 DDoS 공격 방어를 위해서는 아웃바운
드 트래픽에는 관여할 필요 없이 인바운드 트래픽 만을 대상으로
DDoS 공격 방어를 수행하면 된다.
특히 대규모 웹 서비스의 트래픽 특성을 살펴보면, 웹 서비스
를 요청하는 클라이언트로부터의 인바운드 트래픽은 양이 작으
며, 서비스에 응답을 하고 웹 페이지를 전달하는 아웃바운드 트
래픽은 상대적으로 양이 많다. 이 경우 인바운드 트래픽만을 기
준으로 보안을 구축할 때에는 대규모 서비스 망이라고 하더라도
상대적으로 적은 인바운드 트래픽 기준으로 보안 제품을 선택할
수 있으므로, 제품의 활용 효과 면에서도 이점을 가질 수 있다.
적용 제품의 예
특정 서비스의 트래픽 중 양방향 트래픽을 사용하는 제품은
Transparent Mode의 L4/L7 스위치나 프록시 기반의 방화벽, 웹
방화벽 기반이 될 수 있다. 특정 서비스의 트래픽 중 단방향 트래
픽을 사용하는 제품은 DSR(Direct Server Response) 모드의 L4/L7
스위치나 DDoS 공격 방어 제품이 있다.
3
4
30
계가 분명히 존재한다. 이를 보완하기 위하여 아웃오브패스 구성
방식에서 빠르게 동작할 수 있는 여러 가지 기술들이 개발되고
있다. 예를 들어, 기존의 사용되었던 스위치/라우터에서 수집되는
트래픽 플로우 정보가 아닌 실시간 트래픽 기준으로 탐지할 수
있는 기술이 적용되고 있다. 아울러 인바운드 트래픽만을 기준으
로 하여 실시간 트래픽을 모니터링해 효율성을 극대화하는 기술
도 현재 이용되고 있다.
DDoS 공격 방어 기능:인라인 vs 아웃오브패스/양방향 vs 단방향/클러스터링
지금까지 인라인 구성 방식과 아웃오브패스 구성 방식, 그리고
트래픽의 방향성에 대해 설명을 하였다. 하지만, 가장 중요한 것
은 각 구성 환경과 트래픽 특성에 따라 DDoS 공격을 어떻게 방
어할 수 있는지에 대한 DDoS 공격 방어 기능이다. 단순히 네트
워크 구성만 지원한다고 해서 DDoS 공격을 대응할 수 있는 것은
아니므로, 본연의 기능인 DDoS 공격 방어 기능에 다시 초점을 맞
추어야 한다.
우선, 인라인 구성 방식에서의 양방향 트래픽 관점에서의
DDoS 공격 방어 기능을 살펴보자. 이 경우에는 외부로부터 유입
되는 인바운드 DDoS 공격에 대해 탐지/차단할 수 있는 기능이
기본적으로 제공이 되어야 한다. 특히 단순한 임계치(Threshold)
기반의 DDoS 공격 탐지/차단은 해당 정책에 의해 탐지/차단 되
는 트래픽이 실제로 정상적인 패킷(Packet)인지 아닌지에 대해 명
확히 판단할 근거가 없다. 따라서, 이러한 임계치 기반의 DDoS
공격 탐지/차단 동작 방식 이전에 해당 패킷이 정상적인 패킷 인
지를 검증해 줄 수 있는 '인증 기반'의 DDoS 공격 탐지/차단 방식
이 필요하다. 아울러 아웃바운드 DDoS 공격에 대해서는 내부 클
라이언트/서버의 IP는 알고 있으므로, 이와 다른 IP 에서 발생할
경우에는 즉시 차단하고, 정상적인 응답 트래픽 특성이 아닌 경
우에는 인증 기반 및 임계치 기반으로 탐지/차단 할 수 있는 기
술이 필요하다.
두 번째로, 인라인 구성의 단방향 트래픽 관점과 아웃오브패
스 구성의 단방향 트래픽 관점에서의 DDoS 공격 방어 기능에 대
해 살펴보자. 앞서 언급한 바와 같이 인바운드 DDoS 공격에 대해
정확히 방어하기 위하여 '인증 기반'의 패킷 검증 방식과 '임계치
(Threshold) 기반'의 정책 기반의 DDoS 탐지/차단 방식이 동시에
지원되어야 한다. 하지만 '인증 기반'의 경우에는 해당 구성에서는
단방향 트래픽만을 가지고 '인증 기반'을 사용해야 하므로, 인라인
구성 방식에서 사용하는 인증 기반 기술과는 다른 단방향 트래픽
을 기준으로 한 독특한 기술이 필요하다. 또한 단순히 아웃오브
패스 DDoS 탐지 장비에서 보여지는 양방향 트래픽 기준의 정상/
비정상 연결(Connection) 여부만을 가지고 판단하는 것이 아닌,
DDoS 공격 발생 시 아웃오브패스 DDoS 차단 장비에서의 실시간
인증 기반 검증이 제대로 된 DDoS 공격을 방어할 수 있는 기술이다.
마지막으로, 단방향 트래픽 기준의 인라인 및 아웃오브패스 구
성 방식을 고려할 때 가장 큰 강점은 바로 여러 대의 DDoS 제품
을 하나의 DDoS 제품처럼 클러스터링하는 것이다. 이 경우에도
앞서 설명한 바와 같이 '인증 기반'과 '임계치 기반' 두 가지 방식
이 지원되어야 하는 것이 매우 중요하다. 이와 더불어 다중 장비
의 정책을 동시에 동기화 할 수 있는 관리 방안과 함께 '인증 기
반'의 검증의 경우에는 다중 장비의 '인증' 동작 정보가 실시간으
로 공유가 되어야 여러 대의 DDoS 제품이 하나의 DDoS 공격 대
응 솔루션으로 사용될 수 있다.
AhnLab TrusGuard DPX, Inline / Out-of-Path / Clustering 구성이 지원되는 DDoS 공격 대응 제품
AhnLab TrusGuard DPX(이하 TG DPX) 는 업계 최초로 라이선스
(License) 변경만으로도 동일 제품에서 인라인 구성 방식과 아웃
오브패스 구성 방식, 그리고 클러스터링 구성까지 지원하는 제품
이다. 특히, 다단계 필터 구조를 통하여 기본적으로 제공되는 자
동 학습 기반의 임계치 기준의 DDoS 탐지/차단 방식을 지원할
뿐만 아니라 실시간 인증 기반을 통하여 DDoS 공격 발생 시 유
입되는 트래픽이 정상적인지 비정상적인지를 확인할 수 있는 기
능을 제공한다.
TG DPX는 단방향 트래픽만을 기준으로 하여 아웃오브패스에
서의 DDoS 공격 탐지를 할 수 있으며, 공격 차단을 공격 대상
의 트래픽만을 기준으로 하여 인증 기반과 임계치 기반의 DDoS
공격 방어를 처리할 수 있는 독특한 기술을 제공하고 있다. 또
한 DDoS 공격 차단을 수행하는 다중 장비간의 인증 정보를 실시
간으로 공유함으로써, 단방향 트래픽 기준의 인라인 및 아웃오브
패스 클러스터링 구성 방식까지 지원하고 있다. 이를 통하여 TG
DPX는 기존 DDoS 공격 방어 시 임계치 기반 방식의 DDoS 공격
차단 처리 방식과 대비 정확하고 오탐이 최소화된 DDoS 공격 대
응 기능을 제공한다.
[그림 5] AhnLab TrusGuard DPX 구성 방식의 예
Out-of-Path 탐지 전용 #1
Out-of-Path 탐지 전용 #2
Traffic 인입 전용 Switch
Out-of-Path 차단 전용 Cluster
Traffic 우회 전용 Switch
Traffic 우회 전용 Switch
Out-of-Path 차단 전용
Out-of-Path 탐지 전용
Inline 구성 Out-of-Path 구성
10G 이상 대규모 구축 10G 이상 대규모 구축
31
2010.12V3 Zip 2.0NEW PRODUCT
쉽고 안전한 글로벌 표준압축 V3 Zip 2.0
비즈니스 매너를 아는 당신이 진정한 차도남!
업무 중 상당한 빈도로 사용되는 유틸리티 중 하나인 압축 프로그램
은 종종 스트레스를 유발하는 요인이 되기도 한다. 바로 압축 포맷 때
문이다. 자체 압축포맷을 기본으로 제공하는 프로그램을 이용한 압축
파일을 타인에게 전달했을 경우, 수신자는 번거롭게도 해당 프로그램
을 설치해야만 한다. 이에 안철수연구소는 전 세계적으로 가장 많이
사용되고 있는 압축 포맷 zip을 중심으로 하는 압축 유틸리티 V3 Zip
을 통해 비즈니스 매너의 시작을 함께 하고 있다. 특히 최근 업그레이
드 된 V3 Zip 2.0은 비즈니스 환경에서 가장 사용률이 높은 포맷들을
집중 지원하고 있을 뿐만 아니라 64비트 및 멀티코어 지원으로 속도
와 안정성을 극대화시켜 고효율 비즈니스 압축 유틸리티로서의 위상
을 재정립하고 있다.
압축 파일의 기본은 원활한 파일 공유
자체 포맷을 기본으로 제공하는 타 압축 프로그램과 달리 V3 Zip
은 국제 압축 표준인 zip 포맷을 준수하여 압축파일의 호환성을
보장한다. 특히 V3 Zip 2.0은 세계적으로 가장 많이 사용되고 있
는 zip 포맷뿐만 아니라 실제 비즈니스 환경에서 사용률이 높은
포맷들과 타사의 자체 포맷도 일부 지원하고 있어 호환성이 뛰어
나 원활한 파일 공유를 위해 최적화된 압축 프로그램이다. 또한
완벽한 UTF-8 유니코드 지원은 물론, Windows 2000 Professional
부터 Windows Server 2008까지 다양한 클라이언트 및 서버 OS
를 지원하기 때문에 각기 다른 PC환경에서도 누구나 쉽고 편리
하게 이용할 수 있다.
업무 편의성을 위한 고성능 압축 유틸리티
V3 Zip 2.0은 멀티코어에 최적화 된 설계와 32bit는 물론 네이티
브 64bit 지원을 통한 빠른 압축과 해제로 업무의 편의성을 보장
한다. 더불어 강력한 압축/해제 기능으로 파일의 안정성을 극대
화시킨 V3 Zip 2.0은 특히 단축키 지원을 통해 사용자 편의성을
차별화하였다. 이처럼 편의성을 최우선으로 하고 있는 V3 Zip 2.0
은 글로벌 표준압축 zip 포맷과 함께 접근이 쉬운 UI를 제공하는
쉽고 편리한 압축 프로그램이다.
V3로 비즈니스 신뢰성 향상
V3 Zip 2.0은 압축 해제 전에 백신으로 감지하기 어려운 악성파
일들이 시스템 폴더에 접근하는 것을 막아준다. 특히 V3 제품군
과 함께 사용시 압축 파일 내 악성코드 확인 및 감시 등 보다 완
벽한 보안 기능을 제공한다. 아울러 2대한민국 보안 브랜드 1위의
안철수연구소가 만든 V3는 비즈니스 신뢰성을 높여 대외 이미지
향상에 기여한다. 한 차원 높은 비즈니스 환경을 제공하는 안전
한 유틸리티 V3 Zip 2.0은 현재 안랩닷컴을 통해 제공되고 있으
며, 개인 사용자의 경우 누구나 사용이 가능하다. 또한 V3 Zip 2.0
과 함께 비즈니스 매너의 시작을 실천하고자 하는 기업 사용자는
안랩닷컴을 통해 상담, 또는 구매할 수 있다.
김대리, 이 압축 파일을 풀려고 하는데, 왜 안될까?뭘 자꾸 깔라는데? 난 압축 프로그램 깔아놓았는데도 말이야.
아니, 왜 이 사람은 프로그램을 또 깔아야 하는 포맷으로 압축해서 보낸거야? 비즈니스 매너가 없는 사람이구먼.이런 기본적인 배려도 없다니...
아~ 이 확장자 명으로 압축된 파일을 풀려면 꼭 그 압축 프로그램이 있어야 되요.그 프로그램에서 기본으로 쓰게 하는 자체 포맷이거든요.
32
2010.12스마트폰 보안 위협 동향ASEC NEWS
스마트폰도 피해 갈 수 없는 악성코드 위협
스마트폰 스파이웨어, 사생활을 위협한다
최근 발표된 ASEC 리포트에 따르면 스마트폰의 통화 내역, 문자
송수신 내역, 위치 정보, 이메일 내용 등 민감한 개인 정보를 외
부로 유출하는 스파이웨어(Spyware)가 해외에서 개발되어 판매,
유통되고 있다. 특히 이러한 스파이웨어는 안드로이드(Android)와
아이폰(iPhone)은 물론 심비안(Symbian/Symbian9), 윈도우모바일
(Windows Mobile), 블랙베리(BlackBerry) 등 대부분의 스마트폰에
서 사용할 수 있도록 다양한 플랫폼용으로 제작되어 더욱 심각한
위협이 되고 있다. 현재 이들 스파이웨어는 해외에서 상업용 서
비스 형태로 제공되고 있는데, 주로 배우자가 바람을 피우는지를
감시하기 위한 프로그램, 또는 직원 감시, 자녀보호. 스마트폰 데
이터 자동 백업 등의 서비스로 판매되고 있는 것으로 알려졌다.
이들 프로그램은 스마트폰 사용자 본인이 설치하기 보다는 가까
운 지인 등 타인에 의해 설치되는 경우가 일반적이다. ASEC 리포
트는 이들 스파이웨어가 설치되면 해당 스마트폰의 사용자의 개
인 정보 및 사생활이 모두 스파이웨어 제작 업체로 전송되며, 해
당 스파이웨어 프로그램을 구입한 사용자는 웹사이트에서 접속해
서 관련 내역을 확인할 수 있다고 설명했다.
그러나 일반 사용자들로서는 스마트폰에 구동 중인 서비스를
일일이 알기 어려워 피해를 인식하지 못 하는 경우조차 많다. 더
욱 심각한 문제는 이들 스파이웨어 기술이 다른 목적의 프로그램
에 은닉되어 사용될 가능성이 있다는 점이다. 안철수연구소 이성
근 책임연구원은 "현재는 이러한 스파이웨어 자체가 서비스 목적
으로 제공, 판매되고 있지만 게임이나 다른 프로그램에 은닉되어
사용자의 의도와는 상관없는 기능을 하게 될 수도 있다"고 말했
다. 한편 ASEC 리포트는 이들 스파이웨어가 현재까지는 해외에
서 서비스로 판매되고 있지만 국내에서도 동일한 목적으로 유포
될 수 있으므로 얼마든지 피해자가 발생할 수 있다고 경고했다.
그러나 이러한 스파이웨어가 스마트폰에 설치되면 악성코드 검사
를 통하지 않고서는 사용자가 직접 확인하기 어렵기 때문에 감염
사실을 모른 채 개인 정보가 지속적으로 유출될 수 있다는 것이
ASEC 리포트의 설명이다.
불법 과금 유발하는 전형적인 악성코드, 잇따른 변종 발생
또한 ASEC 리포트는 안드로이드 OS용 스마트폰 사용자에게 사
용하지 않은 요금을 과금시키는 악성코드가 포함된 PornoPlayer
라는 애플리케이션에서 악성코드가 확인됐다고 전했다. 해당 악
성코드는 성인물 동영상 플레이어라는 서비스 이름의 애플리케이
션에 은닉된 것으로, 해당 애플리케이션은 WMP(Windows Media
Player) 아이콘 모양을 띄고 있다. 이 애플리케이션 실행 시 이 악
성코드는 사용자가 모르게 특정 번호로 단문 문자 메시지(SMS)를
보내는 것으로 확인되었으며, 이로써 요금을 과금시키는 기능을
수행하는 것으로 파악된다. 다만 현재 이 애플리케이션은 러시아
의 블랙마켓을 통해 유통되고 있어 아직 국내에서는 이용이 드문
것으로 알려졌다.
한편 이 악성코드는 지난 8월에 발견된 것의 변종으로 알려
졌다. ASEC 리포트에 따르면 해당 악성 애플리케이션은 지난 8월
10일(Android-Trojan/SmsSend)에 최초 확인된 이후로 지난 9월 9
일에는 Android-Trojan/SmsSend, 10월 14일에는 Android-Trojan/
SmsSend.B 등 추가로 변종이 발견되었다. 해당 악성코드는 최신
버전으로 업데이트된 V3 Mobile에서 'Android-Trojan/SmsSend.
B'라는 진단명으로 탐지 및 치료가 가능하다. 이처럼 스마트폰을
노리는 악성코드의 발견이 이어짐에 따라 안철수연구소는 스마트
폰 전용 모바일 백신을 설치 및 최신 엔진버전으로 유지하는 한
편 출처가 명확하지 않은 애플리케이션은 다운로드 및 설치를 자
제할 것을 조언했다. 아울러 PC에서와 마찬가지로 스마트폰에서
도 신뢰할 수 없는 사이트 방문이나 메일은 열람을 자제할 것을
권장했다.
[그림 1] WMP로 위장한 PornoPlayer (좌)
올 연말을 기준으로 국내 스마트폰 가입자 수가 600만 명을 넘을 것으로 전망될 만큼 스마트폰 열풍이 뜨겁다. 또한 최근 보도에 따르면 우리 나라 스마
트폰 이용자 1인당 발생시키는 트래픽이 세계 최고인 것으로 조사돼 스마트폰 이용 또한 더욱 활발해질 것으로 보인다. 그러나 그 만큼 스마트폰을 둘러
싼 위협에 대한 우려도 심각하다. 스마트폰은 그 사용 목적과 기능상 PC단에서 발생할 수 있는 모든 위험이 스마트폰에서도 발생할 수 있다. 특히 최근
스마트폰을 노리는 악성코드들이 연달아 발견돼 스마트폰 이용자들의 위협 인식 향상과 실제적인 대응이 요구된다.
[그림 2] 스마트폰 전용 백신 V3 Mobile에서 진단된 PornoPlayer 악성코드 변종 (우)
33
2010.122010년 10월 악성코드 관련 주요 통계STATISTICS
10월 악성코드 감염 1위패리티 바이러스
패리티(Parite)와 파레보(Palevo), 일시적 증가세 보여
2010년 10월 안철수연구소에 보고된 악성코드 감염 순위는
Win32/Parite가 1위를 차지하고 있으며 TextImage/Autorun과 JS/
Cve-2010-0806가 각각 2위와 3위를 차지 하였다.
[표 1] 악성코드 감염보고 Top 20
고객으로부터 감염이 보고된 악성코드 유형별 비율을 살펴보면
다음과 같다.
[그림 1] 악성코드 유형별 감염보고 비율
Trojan 46.1% Virus 12.1% EtcWorm 12.7%
2010년 10 월의 악성코드 유형별 감염보고건수 비율은 트로잔
(TROJAN)류가 46.1%로 가장 많은 비율을 차지하고, 웜(WORM)
이 12.7%, 바이러스(VIRUS)가 12.1%의 비율을 각각 차지하고 있
다. 악성코드 유형별 감염보고 비율을 전월과 비교해 보면 트로
잔, 웜, 바이러스, 드롭퍼(DROPPER)가 전월에 비해 증가세를 보
이고 있는 반면, 스크립트(SCRIPT), 애드웨어(ADWARE), 애프케어
(APPCARE), 다운로더(DOWNLOADER), 스파이웨어(SPYWARE)는
전월에 비해 감소한 것을 볼 수 있다.
10월의 악성코드 주요 이슈
10월에 화제가 되었던 악성코드를 살펴보면 다음과 같다.
메일 본문이 이미지로 제작된 허위 USPS 운송 메일 유포
지난 10월에는 본문이 이미지로 제작된 허위 USPS(United States
Postal Service) 운송 메일로 위장한 악성코드가 발견, 보고되어
이슈가 되었다. 가짜 백신 설치를 목적으로 하는 이 메일의 특징
은 메시지 본문을 이미지 형태인 JPEG로 처리했다는 것인데 이
는 일반적으로 안티 스팸 솔루션을 회피하는 목적으로 종종 사용
된다. 이 파일이 실행될 경우 루마니아를 거쳐 독일에 위치한 특
정 시스템으로부터 가짜 백신을 다운로드 하여 설치하게 된다.
[그림 2] 악성코드 유형별 감염보고 전월 비교
1
34
일반적으로 국내에서는 영어로 된 제목과 본문의 메일은 거부감
을 갖게 되는 게 일반적이므로 이러한 메일을 받았을 때 첨부파
일을 실행해보는 사람은 많지 않을 것이라고 추정할 수 있다. 그
러나 이미 어설프지만 한글로 번역된 가짜 백신도 나온 만큼 더
욱 더 정교한 형태의 한글화된 허위 메일과 가짜 백신이 우리에
게 피해를 입힐지도 모르므로 출처가 불분명한 메일에는 보다 더
주의를 기울여야 한다.
[그림 3] 허위 USPS 운송메일로 위장한 악성코드의 JPEG 형태 본문
2 국내에 감염 보고가 많았던 패리티(Parite)와 팔레보(Palevo)
패리티와 팔레보 바이러스의 감염 보고 건수가 지난 달 일시적으
로 급격히 증가하였다. 특히 발견 보고가 있은 지 8년도 넘은 오래
된 바이러스인 패리티 바이러스는 수집된 감염 파일을 확인해 보
니 국산 애드웨어에 많이 감염되어 있었다. 패리티 바이러스는 이
전에도 다른 악성코드가 감염되어 발견되거나 이와 비슷하게 애드
웨어 등에 감염되어 배포가 된 사례가 있었다. 이번 경우에도 애드
웨어에 감염되어 일시적으로 배포가 된 사례로 파악되었다. 고의성
이 없다면 애드웨어 업체는 프로그램 배포 전 감염사실을 몰랐거
나 백신으로 검사를 해보지 않은 것으로 추정해 볼 수 있다. 팔레
보 웜 또한 급격한 증가 추세를 보였는데, 그 원인은 명확히 밝혀
지지 않았다. 이 팔레보 웜은 로컬 드라이브에 존재하는 파일을 삭
제하여도 Explorer.exe 에 삽입된 악의적인 스레드를 제거하지 않는
다면 지속적으로 외부와 통신하며 USB 삽입 시 복사본을 감염시키
고 자신의 다른 변형을 다운로드 하여 실행한다. 따라서 추정해보
면 봇마스터가 봇넷 운영력을 극대화 하려고 감염된 기존 시스템
을 통하여 변형을 유포하여 일시적으로 감염, 보고 건수가 증가한
것으로 추정된다.
[그림 4] 급격한 증가 추세를 보인 패러티 바이러스
스턱스넷(Stuxnet) 웜의 전용백신으로 위장한 악성코드 등장
스턱스넷 웜에 대한 소식이 언론에 알려지면서 해당 악성코드의
파괴력과 잠재적인 위협이 연일 매스컴을 타고 있다. 이에 뒤질세
라 이를 교묘히 이용한 가짜 전용백신 형태의 악성코드(Win-Trojan/
Deltree.75776.C)가 등장하였다. 해당 악성코드는 다음과 같은 아이
콘을 가지고 있다. 그리고 마이크로소프트(Microsoft)사에서 제작한
것처럼 자신을 위장하고 있다.
[그림5] 가짜 Stuxnet 웜 전용백신 아이콘
[그림6] 가짜 스턱스넷 웜 전용백신이 수행하는 배치 명령
악성코드가 실행되면 다음과 같은 내용을 같고 있는 특정한 배치
파일을 실행하여 C:\ 드라이브 내 파일을 모조리 삭제 하도록 한
다. 따라서 재부팅 시 정상적으로 부팅이 되지 않을 수 있다.
스턱스넷 웜에 대한 위협이 알려지면서 이를 예방하거나 감염된
사실을 확인 하려는 시도가 증가하였다. 이러한 틈을 노리고 가짜
전용백신이 나와 오히려 시스템에 피해를 주고 있다. 우리가 쉽게
지나치는 보안상식 중 하나는 공식적으로 안티 바이러스 업체에서
는 전용백신을 메일에 첨부하여 고객에게 대량으로 발송하거나 자
신의 홈페이지가 아닌 출처가 불분명한 웹 사이트에 업로드 하지
않는 다는 것이다. 따라서 사용자들은 전용백신을 다운로드 받기
전 파일이 업로드 된 위치가 안티 바이러스 홈페이지인지 그리고
공신력이 있거나 믿을 만한 곳인지 반드시 확인해야 한다.
ASEC Report에는 이 외에도 10월의 시큐리티 통계와 이슈, 웹 보
안 통계와 이슈를 심도 있게 다루었다. ASEC Report 홈페이지
(http://www.ahnlab.com/kr/site/securitycenter/asec/asecReportView.
do?groupCode=VNI001)에 방문하면 더욱 자세한 정보를 접할 수 있다.
3
35
AhnLab_TFT ASEC
해외 외신(http://ow.ly/3aiRU)을 통해 FTP를 이용해 내
부 데이터를 유출하는 악성코드가 발견되었습니다. V3
는 Win-Trojan/Inject.209920.C로 진단하니 참고하세요
#krsec
AhnLab_CERT
11월 12일 국내에서도 게시판으로 많이 이용되는
FCKeditor 2.0~2.4.3 버전에서 file upload 취약점이 공개
되었습니다. 많은 주의가 필요합니다.
AhnLab_TFT ASEC
SANS에서 스카이프 알람 메시지를 이용해 허위 백
신 설치 웹 페이지로 유도하는 메시지가 유포 (http://
ow.ly/38v3D) 중이라니 주의 하세요~ #krsec
AhnLab's
What’s happeningAhnLab_TFT ASEC
11월 11일부터 MS의 인터넷 익스플로러 제로데이 취약
점을 악용하는 JS/CVE-2010-3962가 증가 추세에 있습
니다. ASEC 블로그 내용(http://ow.ly/39DPU) 참고하셔
서 주의 하세요 #krsec
AhnLab_TFT ASEC
FedEx 배송 메일로 위장한 악성 메일이 유포되고 있
습니다. 제목은 다양한 형태이며 첨부 파일은 "FedEx_
mailing_label_ID.[숫자들].zip"으로 동일하니 주의하세요
#krsec
AhnLab_CERT
16회 광저우 아시안 게임 개막을 앞두고 아시안 게임
관련 문서로(PDF) 위장한 악성코드가 발견되어 사용자
들의 주의가 당부됩니다. http://goo.gl/IkTnt
AhnLab_man
안철수연구소가 중국의 망구축 사업에 보안 분야 독자
적 사업자로 보안관제센터 구축을 담당하게 되었습니
다! 순수국내 보안기술을 해외에 알릴 수 있는 기회를
잡게 되어 기쁩니다!
http://ow.ly/35Str
AhnLab_man
요즘 대세 소셜게임의 대세, 노리타운 스튜디오! 그들이
말하는 소셜게임이란? http://ow.ly/32mws 그런데 단체
사진에서 과연 대표는 어느 분일까요?
hongsunkim
안랩닷컴을 전면 개편했습니다. HTML5 기반으로 바뀌
어 스마트폰에서도 볼수 있고, 블로그/트위터 등 접근
성을 강화했습니다. 많은 이용 바랍니다. http://bit.ly/
c84GKn
AhnLab_man
저희 내년에는 판교로 이사갑니다: ) 그런데 저희회
사 이름을 따서 무언가가 생긴다고 하네요~ http://
ht.ly/39HTl
hongsunkim
11월 10일 오후 3시 10분부터 "G20 ICT Innovation Forum"
에서 발표합니다. (VeriSign, 화웨이 대표와 Global ICT
Infrastructure 세션) http://bit.ly/9SKljC
AhnLab_man
[안랩풍경]매년 저희는 아름다운가게와 함께 물품기증&
자원봉사를 하는 '아름다운토요일'을 12월에 진행하고
있습니다. 올해도 붐업을 위해 사내에 포스터가 붙었습
니다 :) http://ow.ly/i/5nm0
36
AhnLab's
AhnLab_man
어찌보면 큰 문제 아닐수도 있지만 가끔씩 사용자의 속
을 긁는 느려진 컴퓨터 부팅속도, 이렇게 개선해 보세요
~ http://ht.ly/39Ctn
AhnLab_man
얼마 전 열린 제 3회 대한민국 개발자 컨퍼런스에서
안철수박사와 개발자들은 어떤 대화를 나눴을까요?
http://ht.ly/37ZSj 킨들과 아이패드가 경쟁자가 아닌 이유
가 재미있습니다.
AhnLab_CERT
미얀마가 사상 최대의 DDoS 공격을 받아 국가 내 모
든 인터넷 연결이 차단되었다고 합니다. http://goo.gl/
BynFg
hongsunkim
"앱스토어는 하향세로 접어들 것, 이제는 웹을 준비해
야" [매킨지 리차드 리] - HTML5 의 등장으로 웹으로
이전할 것 http://bit.ly/bExiCt
hongsunkim
제정되는 개인정보보호법에 준해서 실행을 하려고 하면
정말 할 일이 많군요. 기업이나 기관들이 그 실체에 대
해서 얼마나 알고 있는지. 최고경영자의 책임의식과 의
지가 없으면 거의 불가능.
hongsunkim
어느 대기업 SI 임원 왈, "우리의 강점은 계열사 고객,
우리의 약점도 계열사 고객" 그만큼 헝그리 정신과 이노
베이션을 하기 힘들다는 의미인 듯.
hongsunkim
"인도 기술의 미래" http://tcrn.ch/awmdlR 아웃소싱 역사
20년, 이제 기업가들이 나오기 시작한다고. 창업 연령은
평균 39세. 문제는 아직 좋은 직장을 선호하는 인도의
결혼문화. 우리나라와 같네요.
hongsunkim
잘 정리된 기사네요. 버라이존과 애플의 어느 충성 고객
의 코멘트도 인상적. RT @estima7: 애플이 버라이존용
아이폰을 곧 생산에 들어간다고(WSJ) http://on.wsj.com/
ad262x
AhnLab_man
안철수가 말하는 개발자가 미래를 위해 준비해야 할 것
http://ow.ly/36vzf
AhnLab_man
한국리더십센터가 실시한 '2010 네티즌이 뽑은 우리시
대 신뢰받는 리더' 설문결과, 교육 부문에서 안철수박사
가 선정 되었습니다: ) http://ow.ly/31bVd
AhnLab_CERT
영국해군 공식 홈페이지가 루마니아 공격자의 SQL
Injection 공격에 초기 화면이 변조되어 체면을 구겼다는
소식이네요. Blind SQL Injection 공격으로 파악되고 있습
니다. http://goo.gl/rLmlg
AhnLab_man
[보안정보] 온라인쇼핑 결제단계에서 오류가 나면 불안
하시죠? : '내 돈 날아간 것 아닐까요?' 도전! 결제 오류
해결 http://ow.ly/3bHPr
