Embed Size (px)
Citation preview
2017 Security Predictions
2017. 01
안랩 온라인 보안 매거진
22
3
4
9
1 1
1 6
1 8
2 0
2 3
월간
C O N T E N T S
C E O M E S S A G E
뉴 노멀 시대, 고객에게서 해답을 얻다
S P E C I A L R E P O R T
2017년 보안 위협 전망
1부_씁쓸하고 치밀하新 2017년 보안 위협
2부_2017년 보안 위협 대응을 위한 제언
H O T I S S U E
비트코인 대신 인질 요구하는 잔인한 랜섬웨어
T E C H R E P O R T
보안 위협 탐지를 위한 또 다른 대안, ‘머신 러닝’
1부_머신 러닝(Machine Learning)이란
T H R E AT A N A LY S I S
플래시 파일에 숨어든 랜섬웨어의 실체
I T & L I F E
새해엔 영어 공부 안 해도 될까? 인공지능 번역기
S TAT I S T I C S
2016년 11월 보안 통계 및 이슈
A H N L A B N E W S
안랩, 한화S&C ‘혼 클라우드’ 정보보호 컨설팅 수행
판교CSR얼라이언스, 지역 아동센터에 교육 물품 기증
2017. 01
N e w N o r m a lC E O M E S S A G E
뉴 노멀 시대, 고객에게서 해답을 얻다
고객 여러분,
2017년 정유년(丁酉年) 붉은 닭의 해가 밝았습니다. 닭은 울음으로 새
벽을 알리는 동물입니다. 힘차게 새벽을 깨우는 닭처럼 새해에는 모두
에게 희망이 넘치기를 기원합니다.
그러나 올해도 경제 전망은 그리 밝지 않습니다. 세계 경제가 이른바
‘뉴 노멀(New Normal) 시대’에 접어들었기 때문입니다. 고성장이 당
연시되던 시대가 저물고 저금리, 저물가, 고실업률 등이 고착화되는
저성장 시대가 되었다는 것입니다. 더불어 산업 경제는 무너지고 기존
의 상식, 과거의 질서, 익숙한 관습만 따르다 보면 곧 도태된다는 의미
이기도 합니다.
성장이 정체되고 경쟁은 치열해진 뉴 노멀 시대, 많은 기업들이 새로
운 성장 동력을 찾는데 어려움을 겪고 있습니다. 안랩 역시 예외는 아
닐 것입니다. 이에 안랩은 3가지 키워드를 기반으로 뉴 노멀 시대를
극복하기 위한 새로운 성장 전략을 추진할 예정입니다. 바로 ‘플랫폼
(Platform)•커넥티드(Connected)•커뮤니케이션(Communication)’
입니다.
안랩은 단순한 보안 제품 공급업체(Product Provider)가 아닌 플랫폼 제공업체(Platform Provider)로의 변혁을 꾀하고 있습니다. 현재 자체 개발
중인 플랫폼으로 상호운영성이 뛰어난 보안 솔루션을 제공할 것입니다. 단일화된 하나의 매니지먼트 시스템에서 멀티 OS•멀티 디바이스•멀
티 랭귀지를 지원하며, 모바일 및 가상화 환경까지 다양한 비즈니스 환경에 적용할 수 있는 플랫폼입니다. 더 나아가 다양한 업체와 제품이 연동
되는 ‘보안 에코 시스템’으로 확장하여 ‘안전과 신뢰’라는 안랩의 가치를 실현할 계획입니다.
뉴 노멀 시대의 핵심적인 키워드는 ‘커넥티드(Connected)’입니다. 사람과 사람, 사람과 사회, 사람과 기기, 기기와 기기가 연결되면서 물리적인
거리는 무의미해지고 일과 삶의 경계도 허물어지고 있습니다. 동시에 커넥티드를 통해 새로운 시장과 가치가 창출되고 있습니다. 안랩은 모바일
과 사물인터넷(IoT)의 성장으로 점점 더 확대되고 있는 커넥티드 환경의 보안 위협에 선제적으로 대처하고 고객의 안전한 비즈니스를 위한 솔루
션을 제공할 것입니다. 이를 위해 제품 간의 연동뿐만 아니라 다양한 이해관계자의 상호협력까지 커넥티드의 범위를 넓혀 나갈 계획입니다.
마지막으로 미래의 시장에서는 집단 지성을 활용해 새로운 가치를 창출하고 시대적 과제의 해결책을 찾아야 합니다. 이를 위해서는 커뮤니케이
션(Communication)이 필수입니다. 커뮤니케이션을 통한 가치 공유와 상호 이해가 선행되어야 협력을 통해 새로운 기회를 창출할 수 있기 때문
입니다. 안랩의 비즈니스는 고객에게 보다 나은 경험과 만족을 제공하는 것입니다. 안랩은 향상된 기능과 새로운 기술 제공에 앞서 고객이 겪고
있는 ‘어려움, 문제’에 집중하고자 합니다. 이를 위해 고객의 의견을 경청하고, 이해를 통한 접근을 시도한다면 고객이 진정 원하는 해결책을 제
시할 수 있을 것입니다.
안랩의 출발점은 언제나 ‘고객’입니다. 미래 성장의 거점이 될 2017년을 맞아 안랩은 ‘고객 비즈니스 가치 증진과 편의 제공’을 위해 노력하겠습니다.
새해 복(福) 많이 받으십시오.
㈜ 안랩 CEO 권치중
44
S P E C I A L R E P O R T 2017 Security Predictions
2017년 보안 위협 전망_1부
밝은 곳이 있으면 어두운 곳도 있다는 만고의 진리처럼, IT 기술의 발전은 항상 새로운 보안 위협을 동반해왔다. 2017년에는 비교적
새로운 기술이라 할 수 있는 사물인터넷 기기와 관련된 위협이 전망된다. 더불어 기존의 보안 위협은 더욱 강력하고 교묘한 모습으로
사회 전반을 파고들 것으로 보인다. 특히 올해도 세계 경제 전망이 좋지 않은 만큼, 사이버 공격자들은 즉각적으로 금전적 이득을 취
할 수 있는 공격에 집중할 것으로 보인다. 2016년 전세계를 집어삼킨 랜섬웨어(Ransomware)에서 이미 그 조짐이 드러났다. 일반 기
업과 마찬가지로 악의적인 공격자들 역시 투자 대비 수익률이 높은 방법을 모색할 것이 분명하다. 사람들의 심리와 최신 기술이 결합
된 교묘한 공격 기법을 찾아낼 것이라는 의미다.
이 글에서는 안랩 보안 전문가들이 전망한 2017년 보안 위협 동향을 알아본다.
씁쓸하고 치밀하新 2017년 보안 위협
랜섬웨어, ‘돈’이 모이는 지점 정조준
지난 2016년 한 해 동안 가파른 성장세를 보였던 랜섬웨어는 공격자 관점에서 즉각적으로 금전적 이득을 취할 수 있는 유용한 범죄 수단으로
자리잡았다. 기업의 경우, 비즈니스 중단이나 고객 정보와 같은 중요 데이터를 잃을 수 있다는 부담 때문에 결국 몸값(ransom)을 지불하는 사
례가 적지 않다. 여기에 랜섬웨어 제작 및 유포의 서비스화(Ransomware as a Service, RaaS) 등 랜섬웨어 자체가 수요자와 공급자가 유기적으
로 활동하는 하나의 시장을 형성하기에 이르렀다.
55
랜섬웨어의 위협은 올해 더욱 고도화되고 공격 범위도 확장될 전망이다. 금전적 이득이 목적이라면 ‘돈’이 모이는 곳으로 향하는 것이 당연지사.
지금까지 금전적인 피해를 야기하는 사이버 범죄는 가짜 홈페이지를 통해 사용자 정보를 탈취하는 피싱과 파밍이 주도했지만 이제 랜섬웨어가
그 중심에 있다해도 과언이 아니다.
특히 스피어피싱 등과 결합한 랜섬웨어 및 기업 간 무역 거래 대금을 노린 범죄 조직이 다년간 활동 중이기 때문에 무역 거래가 빈번한 기업의
경우 각별한 주의가 요구된다.
2010년 전후로 발생한 기업 해킹은 기업 기밀이나 기업이 보유하고 있는 개인정보를 탈취하기 위한 목적이 대부분이었다. 그러나 최근에는 단
순한 정보 유출을 넘어 기업 내부 인프라를 장악하기 위한 공격으로 변화했다. 이를 위해 특히 올해는 기업 및 기관의 내부 인프라에 성공적으로
침입하기 위해 다양한 속임수를 더한 공격 기법이 등장할 것으로 보인다.
이러한 공격을 통해 감염된 시스템을 거점으로 기업 내부 인프라에 침입하여 내부 정보를 수집 및 검색함으로써 시스템 계정 정보를 획득한다.
주요 계정 정보의 수집과 활용을 반복함으로써 내부 관리 시스템 운영에 관련된 권한을 탈취하고 마침내 전체 인프라를 장악한다.
이런 방식으로 특정 기업의 내부 시스템을 장악하면 해당 기업의 서비스 이용에 필요한 정상적인 프로그램으로 위장하여 광범위한 다수의 PC에
악성코드를 설치할 수 있다. 또 이렇게 감염된 PC와 연결된 네트워크상의 다른 시스템을 통해 또 다른 기업의 내부 시스템 장악까지 시도할 수
있어 이 영역에 대한 공격은 여전히 지속될 것으로 보인다.
멈추지 않는 사회기반시설 공격•사이버 테러
2017년에는 국내뿐만 아니라 전세계적으로 정치적•경제적 이해 관계 대립이 더욱 심화될 전망이다. 국가간 이념적 갈등 또한 깊어져 타국의
기관과 기업을 겨냥한 사이버 테러 역시 사라지지 않을 전망이다.
최근 공격의 대상(target)은 기존의 다수 시민들이 이용하는 온라인 서비스를 겨냥하던 것에서 서비스 종류나 규모에 관계없이 거의 모든 기업
과 기관으로 확대되고 있다. 사회기반시설 공격 등 사이버 테러의 배후는 주로 테러 단체이거나 적대적인 관계를 맺고 있는 국가로 추정된다.
공격 동기 또한 금전적 이득보다는 종교적•이념적•정치적 갈등에서 찾을 수 있다. 사회기반시설 공격이 성공할 경우 사회적 혼란과 공포를
야기함으로써 자신들의 선전 효과를 극대화할 수 있으며, 종교적•정치적 갈등은 쉽게 해결되기 어렵기 때문에 사회기반시설 공격은 앞으로도
지속될 전망이다.
대부분의 사회기반시설 내 시스템은 외부 인터넷에 직접적으로 연결되지 않는 망분리 환경에서 안전하게 운영되고 있다. 그러나 단 하나라도
인터넷망에 연결된 시스템이 존재하거나 인터넷망과 내부망을 연결하는 지점이 존재할 수 있어 보안 위협으로부터 완벽하게 자유롭다고 할
수 없다. 또 어디에서든 보안에 가장 취약한 지점은 사람이다. 불편함 등을 이유로 보안 정책을 어기는 내부 직원이 있을 수 있다. 공격자들은
이러한 취약점을 찾아내기 위해 다양한 방법을 동원해 지속적으로 공격을 시도하고 있다.
대중화된 공격 툴을 이용한 사이버 범죄의 고도화•가속화
불과 몇 년 전까지만 해도 사이버 공격은 전문적인 IT 지식을 가진 해커 또는 해킹 그룹의 전유물로 여겨졌다. 그러나 최근 사이버 암시장뿐만
아니라 일반 인터넷 상에서도 랜섬웨어 제작 서비스인 RaaS를 비롯해 다양한 스팸 메일 발송 서비스 등을 이용할 수 있어, 전문적인 IT 관련
지식이 없더라도 악성코드를 제작하고 사이버 공격을 시도할 수 있게 됐다. 이렇게 대중화된 사이버 공격이 더 많은 범죄에 악용될 것으로 전
망된다. 동시에 사이버 범죄자를 특정인 또는 그룹으로 한정 지을 수 없게 됨에 따라 이에 대한 대응 및 수사 등이 더욱 어려워질 전망이다.
공격자들은 스팸 메일 첨부 파일과 홈페이지 방문 시 악성 파일을 자동으로 설치하는 드라이브 바이 다운로드(Drive-by-download) 공격을 지
속할 뿐 아니라 소프트웨어 보안 패치를 적용하지 않는 사용자들이 더 많다는 사실에 주목하고 소프트웨어 보안 취약점을 악용하는 익스플로
잇 킷을 더욱 적극적으로 활용하는 등 기존 공격 기법의 업그레이드에 주력할 것이다. 지속적으로 증가하는 익스플로잇 킷 기반의 공격에 대
비하기 위해 정기적으로 웹사이트 위•변조 여부를 확인하고, 특히 웹쉘을 이용한 공격에 각별한 주의를 기울여야 한다.
치밀화된 위장술로 내부 침입 및 시스템 장악 시도
66
사물인터넷(Internet of Things, IoT) 기술의 발전과 확산은 더욱 가속화될 전망이다. 문제는 아직 사물인터넷의 보안 이슈에 대한 인식이 부족해
보안에 취약한 제품의 판매가 지속될 것이라는 점이다. 그리고 이를 노린 사물인터넷 악성코드 또한 빠르게 증가할 것으로 예상된다.
실제로 지난해 미국에서는 미라이(Mirai) 악성코드에 감염된 사물인터넷 기기를 이용한 대규모 DDoS 공격이 발생한 바 있다. 사물인터넷 기기
는 한번 판매 또는 설치되면 사후 관리가 어렵고, 대부분 수년간 초기 상태 그대로 사용된다는 특징이 있다. 사용자 입장에서는 사물인터넷 기기
제조사가 제공하는 보안 패치를 적용하는 것 외에는 마땅히 방법이 없다. 그러나 현재 대부분의 사물인터넷 기기 제작 업체는 보안 문제를 고민
할 정도의 여유(?)가 없거나 기술력이 부족한 실정이다. 또 사용성의 측면에서 저전력과 저비용이 핵심인 사물인터넷 기기의 특성상 보안 강화를
위한 기능 추가나 가격을 인상하는 것은 현실적으로 어렵다.
따라서 빠르게 확산되고 있는 사물인터넷 기기와 관련된 보안 위협을 방지하기 위해서는 제조사뿐만 아니라 보안 업체와 정부 기관의 유기적인
협력이 필요하다. 또 다양한 국가에서 앞다퉈 사물인터넷 기술과 제품 개발을 서두르고 있어 개별 국가의 규제만으로는 사물인터넷 기기에 의한
광범위한 보안 위협을 해결하기 어렵다. 각국의 정부와 관련 협회, 제조사의 전방위적인 협업을 통해 사물인터넷 기기에 대한 최소한의 점검 체
계 구축과 실질적으로 적용 가능한 보안 가이드 마련이 시급하다.
Internet of Things vs. Threat of Things
77
S P E C I A L R E P O R T 2017 Security Predictions
2017년 보안 위협 전망_2부
‘붉은 닭’의 해 정유년(丁酉年)은 여러 요인으로 전세계 경제와 정치, 외교가 요동치는 한 해가 될 전망이다. 사이버 보안의 영역도 마
찬가지다. 이미 악성코드 제작 및 유포 서비스가 자리잡았고, 이를 기반으로 새로운 범죄 생태계가 조성되고 있어 금전적인 이득을 노
리는 사이버 공격이 급증할 것으로 보인다. 여기에 기존과 같이 정상적인 서비스를 악용하는 공격이 대중화된 공격 툴과 맞물려 단순
한 공격인지 교묘한 범죄 조직에 의한 것인지 파악하기 어려운 공격이 범람할 것으로 우려된다.
기업과 기관의 보안에 대한 접근 방식에도 변화의 조짐이 엿보인다. 보안 이슈나 필요에 따라 도입했던 보안 솔루션들의 정보를 하나
로 통합 수집 및 관리하기 위한 요구가 발생할 것이며, 보안 업체는 수집한 정보를 효과적으로 처리하고 최신 위협에 대응하기 위해
자동화, 머신 러닝 등 다양한 기술의 접목을 시도할 것으로 보인다.
2017년 보안 위협 대응을 위한 제언
프로그램을 변조하여 악의적인 기능을 수행하게 하는 전통적인(?) 공격 방식과 더불어 최근에는 프로그램의 설치 및 업데이트 과정이나 관리 솔
루션의 동작 과정에 개입하여 악성코드를 다운로드하고 실행하는 방식이 등장했다. 게다가 이러한 악성코드 제작 및 유포하는 기술은 물론 이를
대행해주는 서비스까지 암거래되기에 이르렀다. 지난해 급격하게 성장한 랜섬웨어를 분수령으로, 수요자와 공급자가 활발하게 ‘악성코드에 의
한, 악성코드를 위한’ 금전 거래를 하는 새로운 생태계가 자리잡게 된 것이다. 이제 이 악성코드를 위한 생태계는 경제 원칙에 따라 더욱 다양한
악성코드를 생산해낼 것이고, 왕성한 활동을 통해 영역 확장에 나설 것이다. 또한 자본주의적 상호 경쟁의 시장 논리에 따라 차별화된 악성코드
제작 및 유포 서비스를 위한 투자와 노력이 계속될 것이며, 이로써 올해 보안 위협은 더욱 고도화될 전망이다.
다양하고 방대한 데이터를 분석하기 위한 새로운 기술 연구 속에서 등
장한 데이터 마이닝, 머신 러닝 등의 기술이 보안 영역에서도 새롭게
자리잡는 한 해가 될 것으로 보인다. 나날이 복잡다단해지는 보안 위협
에 대응하기 위해 다수의 보안 솔루션이 도입되었지만, 이들을 관리하
는 인력에는 양적으로, 또 질적으로 한계가 있기 마련이다. 사람의 지
식으로 축적된 것을 기술로 풀어내는 과정을 통해 그간 인력 기반으로
해결하려던 보안의 영역을 기술 기반으로 대체하는 다양한 시도가 진
행될 것이다. 이를 통해 전통적인 보안 체계에서는 무의미한 것으로 간
주되거나 간과되었던 부분에서 새롭게 유의미한 정보를 발견하는 사례
도 나타날 것이다. 머신 러닝 등 새로운 기술과의 접목을 통해 전문적
인 지식을 가진 분석가 못지 않은 결과물을 산출할 것이고, 동시에 이
를 통해 절감된 리소스는 새로운 분야 또는 비즈니스에 투입되는 선순
환 구조를 형성할 것이다.
보안 분야에서도 급부상하는 머신 러닝
88
보안 영역의 세분화와 통합된 관리 및 대응에 대한 요구
사물인터넷(IoT)과 클라우드로 대변되는 IT 변화의 시대를 맞아 다양한 플랫폼과 서비스에 따른 세분화된 보안 요구가 증가할 것이다. 다양한
연구 결과와 직접적인 체험을 통해 어느 정도 최신 기술에 대한 이해를 마련한 기업들은 각 산업분야에 맞는 기술과 서비스를 업무에 적용해
나가고 있다. 이 과정에서 당연히 보안이라는 요소에 대한 검토가 동반되어야 할 것이며, 각각의 환경에 적합한 보안 기술과 솔루션을 선택해
나가는 한 해가 될 것이다. 각각 세분화되어 있는 보안의 영역을 전체적으로 관리 및 모니터링하며 이를 토대로 실질적이고 효과적인 대응을
수행할 수 있는 통합 보안에 대한 요구가 구체화될 전망이다. 특히 위협 정보의 시각화가 필수적이며 발견된 문제점을 해결하기 위한 실질적
인 대응이 보안의 주요한 항목으로 자리할 전망이다.
결국, 모든 것은 ‘사람’으로 귀결된다
최근 국내외에서 발생하고 있는 해킹 사고의 대부분은 조직 내 특정 개인이나 그룹을 표적으로 삼아 공격을 수행하고 최종 목적을 달성하는
형태다. 공격 기법 또한 특정인 또는 그룹에게만 이메일을 보내 첨부 파일을 실행하도록 유도하는 스피어 피싱(Spear Phishing)이나 특정인이
주로 이용하는 웹사이트를 해킹하여 악성코드를 유포하는 워터링 홀(Watering Hole) 공격 등이 주를 이룬다.
일련의 최신 해킹 사례에서 주목해야 할 점은 표적 공격도 결국 “악성코드” 유입에서 출발하며, 제대로 관리되지 않은 PC나 서버가 교두보 역
할을 한다는 점이다. 보안 위협을 사전에 차단하기 위해 다양한 솔루션을 구축하거나 전문화된 서비스를 이용하는 것도 필요하지만, 이보다 더
중요한 것은 이를 어떻게 활용하고 운영하는가 이다. 솔루션 도입만으로 충분하다고 성급하게 판단하는 보안 관리자나 책임자뿐만 아니라 ‘나
하나쯤은 괜찮겠지’하는 안일한 사용자의 보안 인식으로 인해 보안 침해 사고는 지속적으로 발생할 수 밖에 없다.
결국 모든 것의 시작과 끝에는 사람이 있다. 2017년에는 각 솔루션과 서비스 체계에 대한 점검 및 효과적인 운용을 위한 노력과 더불어 변함
없는 보안의 취약점인 ‘사람’에 대한 교육과 관리 등 구체적인 노력이 요구된다. 조직 내 일반 사용자부터 보안 관리자, 기업 책임자까지 사람
에 의한 보안 문제를 최소화하기 위한 노력이 지속적으로 이뤄져야 한다.
공격 도구의 대중화, ‘악인’의 구분이 모호한 시대
불과 몇 년 전까지만 해도 사이버 공격은 전문적인 IT 지식을 가진 해
커 또는 해킹 그룹의 전유물로 여겨졌다. 그러나 최근 사이버 암시장뿐
만 아니라 일반 인터넷 상에서도 스팸 메일 발송 서비스를 비롯해 랜섬
웨어 제작 서비스인 RaaS(Ransomware as a Service) 등을 어렵지 않
게 구할 수 있어 전문적인 IT 지식이 없는 사람도 사이버 공격을 시도할
수 있게 됐다. 여기에 주요 응용 프로그램의 보안 취약점을 이용하는 익
스플로잇 킷(Exploit Kit)을 다방면으로 활용하는 공격 기법이 업그레이드
되면서 사이버 공격이 더 많은 범죄에 악용될 가능성을 높이고 있다.
악성코드 제작 및 유포 대행 서비스로 인한 사이버 공격의 대중화로 인해 공격자를 더이상 특정인 또는 특정 그룹으로 한정 지을 수 없게 됐다. 즉,
사이버 공격 대응은 물론 공격 주체에 대한 수사에 많은 어려움을 겪게 될 전망이다. 따라서 보안 취약점을 이용한 사이버 공격에 노출되는 범위를
최소화하기 위해서는 보안 패치의 중요성에 대한 사용자 인식 제고가 요구된다. 기업 및 기관의 경우, 임직원들의 보안 패치 적용을 강제하고 관리
하기 위한 방안 마련이나 솔루션 도입에 대한 투자를 고려할 필요가 있다.
9
H O T I S S U E Popcorn Time Ransomware
9
랜섬웨어에 감염된 사람이라면 누구나 복호화 키를 찾아 헤맨다. 하지만 강력한 암호화로 인해 공격자에게 비트코인을 지불하지 않고
복호화 키를 구한다는 것은 거의 불가능한 일이다. 그런데 여기 친절하게 복호화 키를 '무료'로 주겠다는 랜섬웨어가 있다. 바로 팝콘
타임(Popcorn Time) 랜섬웨어. 단, 나를 대신할 2명의 희생자를 넘겨 준다면 말이다.
비트코인 대신 인질 요구하는
잔인한 랜섬웨어
그사이 PC에 있던 파일을 [그림 2]와 같이 ‘filock’ 확장자를 가진 파
일로 암호화한다.
[그림 2] 암호화된 파일
팝콘 타임 랜섬웨어는 파일을 실행할 경우 [그림 1]과 같이 프로그램
이 설치되는 것처럼 위장한다.
[그림 1] 프로그램 설치 중으로 위장한 화면
암호화가 완료되면 [그림 3]과 같이 Personal Unique ID와 비트코인을
송금할 주소, 복호화 키를 입력하는 필드가 있는 화면으로 전환된다.
[그림 3] 암호화 완료 후 화면
특이한 점은 복호화 키를 4회 잘못 입력할 경우, [그림 4]와 같이 ‘2시
간 이내에 비트코인을 지불하지 않으면 파일이 삭제된다’는 경고창이
나타난다는 점이다. 하지만 2시간이 지난 후에도 암호화된 파일이 삭
제되지 않고 재부팅 시 4번의 기회가 다시 주어지는 것으로 보아, 아
직 개발 중인 랜섬웨어이거나 단지 사용자를 겁먹게 하려는 의도의
경고창으로 보인다.
[그림 4] 파일 삭제 경고창
1010
즉, 나를 대신하여 랜섬웨어에 감염될 사람을 2명 제공하면 암호화된
파일의 복호화 키를 준다는 것이다. 물론 정말 복호화 키를 주는지는
확신할 수 없다.
다른 사람을 감염시키는데 필요한 URL 주소에 접속해보면 토르(Tor)
서버 주소를 표시하고 있으나 현재는 접속이 되지 않아 어떻게 다른
사람을 감염시키는지는 확인할 수 없다.
감염 메시지에는 [그림 6]과 같이 유포자의 소속, 랜섬웨어를 유포하
게 된 이유, 저장된 비트코인으로 하려는 일 등의 내용이 기재되어 있
다. 비트코인을 받기 위해 인정에 호소하는 내용으로 보인다.
감염 알림 메시지를 살펴보면 기존 랜섬웨어와는 다르게 복호화 방법
을 두 가지 알려준다.
첫 번째 방법은 기존 랜섬웨어와 같이 비트코인을 송금하는 것이다.
두 번째 방법은 ‘The nasty way’라고 부르는 방법으로, 나를 대신해
비트코인을 내줄 2명 이상의 사람을 찾는 것이다.
[그림 5] 팝콘 타임 랜섬웨어 감염 알림 메시지 - 1
한 명의 희생자만 발생시켰던 기존의 랜섬웨어와는 달리, 이처럼 효과
적으로 더 많은 희생자를 발생시키는 랜섬웨어가 나타나고 있다. 국내
에서는 아직 큰 이슈가 되지 않고 있지만, 이러한 형태의 랜섬웨어는
언제든지 등장할 수 있다는 점을 염두에 두어야 한다.
따라서 랜섬웨어 감염을 사전 예방하기 위해 스팸 메일 열람을 자제
하고 윈도우(Windows), 자바(Java), 어도비 플래시 플레이어(Adobe
Flash Player) 등을 최신 버전으로 유지하는 것이 중요하다.
V3 제품에서는 팝콘 타임 랜섬웨어를 다음과 같은 진단명으로 탐지하
고 있다.
<V3 제품군의 진단명>
Trojan/Win32.Bitman (2016.12.15.05)
[그림 6] 팝콘 타임 랜섬웨어 감염 알림 메시지 - 2
11
T E C H R E P O R T Machine Learning
보안 위협 탐지를 위한 또 다른 대안, ‘머신 러닝’
구글의 알파고와 이세돌 9단의 바둑 대결은 인공지능이 더 이상 먼 미래의 일이 아님을 보여주었다. 또한 IT 업계의 거물들은 미래 성
장 동력으로 ‘인공지능(Artificial Intelligence)’을 정조준하고 있으며, 여러 분야에서 이를 구현한 사례들을 속속 선보이고 있다.
월간 ‘안’에서는 인공지능을 구현하는 접근 방식 중의 하나인 머신 러닝(Machine Learning)이 무엇이며, 보안 분야에서 머신 러닝이
왜 필요한지에 대해 2회에 걸쳐 소개하고자 한다.
<연재 목차>
1부_머신 러닝이란 (이번 호)
2부_왜 보안 분야에 머신 러닝이 필요한가 (2017년 2월호)
머신 러닝(Machine Learning)이란
몇 년 전부터 IT 전문 뉴스뿐만 아니라, 일반 공중파 뉴스에서도 ‘인공지능’ 관련 기사를 쉽게 접해볼 수 있다. 특히 얼마 전 ‘이세돌’과 ‘알파고’
의 바둑 대국 승부는 국내에서 ‘인공지능 포비아’라는 용어가 생길 정도로 우리에게 적지 않은 충격을 주는 사건으로 알려졌다. 그 결과 많은
이들이 ‘인공지능’은 우리의 일자리를 뺏을 것이며, 더 나아가 ‘터미네이터’나 ‘매트릭스’같은 어두운 미래를 보여주는 영화가 이제 곧 현실로
닥칠 수 있다며 경계하기도 했다.
[그림 1] 구글 트렌드를 통한 2013년 1월 ~ 2016년 12월까지의 트렌드 검색
인공지능
머신 러닝
12
2005년 즈음만 해도 국내에서 ‘인공지능’은 인기 분야가 아니었다. 이는 1980년대 소위 “인공지능은 죽었다(인공지능 연구의 거품이 터진 사
건)”의 영향일 수도 있지만, 국내 산업 환경(소프트웨어보다는 하드웨어 중심)의 영향이 그 원인일 듯 하다. 우리나라와 다르게 당시 확장을 거
듭하는 해외의 몇몇 신생 IT 업체들이 있었다. 그들 중 하나가 구글(google)이었고 그 중심엔 페이지 랭크(page rank)라는 실제 운영되던 인공
지능(혹은 알고리즘)이 있었다. 즉, 국내에서 침체된 인공지능이 해외의 IT 업체에게는 주요 핵심 전략 과제 중 하나로 인정 받기 시작할 때였다.
구글 이후의 IT 업체들은 웹(web) 2.0 패러다임을 거치면서 인공지능은 이제 경쟁자와의 비즈니스 차별성을 주기 위한, 기업의 생존과 직결
된 기술로 자연스럽게 이해되고 있다. 모든 데이터는 가공되고 공유되며, 그들로부터 지식(knowledge)을 최대한 많이 뽑아내는 기업이 우승
트로피를 얻게 되는 것을 경쟁을 통해 직접적 혹은 간접적으로 경험하게 된 것이다. 즉, 기업은 데이터를 최대한 많이 가지도록 노력해야 하
며, 손쉽게 ‘공유·가공’할 뿐만 아니라 결국 지식으로 변환할 줄 알아야 한다는 것이다. 과거 “일단 데이터만 쌓아. 나중에 어떻게든 되겠지”하
던 시절보다 이제 머리가 많이 아파졌다. 페이스북(facebook.com)과 잊혀진 마이스페이스(myspace.com), 그리고 구글(google.com)과 야후
(yahoo.com). 그들의 차이점에 주목하라.
앞서 언급한 것처럼, 서구의 IT 업체들은 “기저귀를 사면 맥주를 산다”에서부터 “검색한 결과를 고객이 가장 만족할만한 순서로 정렬”하는 알
고리즘, 그리고 “어제 영화 터미네이터를 시청했으니, 오늘은 매트릭스를 15% 할인된 가격으로 제공해 드립니다”까지 인공지능의 활용과 연
구는 그들에 의해 수십 년간 주도적으로 이미 진행되고 있었다. 이에 반해 국내 IT 업체들은 최근 들어서야 그 중요성을 깨닫고 도전하고 있지
만, 힘에 부칠 수 밖에 없다. 하드웨어 산업은 근성과 노력으로 극복할 수 있었지만, 인공지능은 쉽게 그렇게 되지 못한다. 즉, 우리가 따라가는
속도보다 빠르게 그들은 앞서갈 것이 뻔하기 때문이다. 그렇지만 늦었다고 손을 놓고 있을 수는 없지 않겠는가?
우리 삶은 일정한 패턴을 가지고 있는데, 필자의 생활 패턴은 [표 1]과 같다고 가정하자. 즉, 비가 오거나 혹은 너무 춥거나 더워도 나가 놀지
않았다. 그래서 위 데이터를 가지고 [표 2]와 같은 규칙을 사람인 필자가 직접 만들어 보았다.
이러한 규칙을 미리 만들어 놓았다면, 내일 일기 예보만 가지고 내일 밖에 나가서 놀지를 고민 없이(더 나아가 내가 없더라도, 그 누군가에 의
해서도) 쉽게 결정할 수 있다. 만일 위 [표 1]이 일반적인 사람들의 패턴이라고 가정할 경우, IT 지식이 있는 동네 치킨집 사장님이 [표 2]를 입
수하게 됐다면 이를 영업에 활용할 수 있을 것이다. 예를 들어, 야외 공원 주문량을 미리 예측하여 공원에 광고지를 노출하여 주문을 유도한다
면 매출이 증가할 수도 있다.
온도 비 바람 밖에 나가 놀까?
5 ● 아니요
10 예
8 아니요
6 ● 아니요
24 ● 예
30 예
33 아니요
32 아니요
30 ● 아니요
15 ● 아니요
16 ● 예
[표 1] 기온에 따른 외부활동 여부
[표 2] 기온에 따른 외부활동 여부 규칙 정의
(온도 < 10) 혹은 (온도 >= 31)
↳ 밖에 나가 놀지 않는다
(온도 < 31)
↳ (비가 온다)
↳ 밖에 나가 놀지 않는다
↳ (비가 오지 않는다)
↳ 밖에 나가 논다
머신 러닝, 넌 누구냐
인공지능의 분야는 여러 가지가 있는데, 최근에는 이세돌을 상대했던 ‘딥 마인드’와 같은 ‘머신 러닝’이 꽤나 유명세를 타고 있다. 이외에도 휴
리스틱, 최적화, 정보 검색, 패턴 인식 등 수많은 분야가 있다. 최근에 알려진 알고리즘들은 분야를 명확히 구별하기가 힘들어지는 추세다. 일
단 여기에서는 일반적인 ‘머신 러닝’에 대해 소개하기로 한다.
13
그런데 만일 [표 1]과 같은 데이터가 수십~수백 만개 이상인 경우에도 사람이 직접 패턴을 만들 수 있을까? 아마도 무척 힘들 뿐 아니라 그
검증 또한 어려울 것이다.
이와 같이 [표 1]과 같은 임의의 데이터들을 토대로 [표 2]와 같은 규칙을 ‘기계, 즉 컴퓨터’가 만들어 내는 것을 ‘머신 러닝’이라고 설명할 수 있
다. [그림 2]를 참고하자.
[그림 2]에서 주황색 화살표는 데이터를 가지고 머신 러닝을 수행하는 과정을 나타낸다. 즉, 머신 러닝을 수행하기 위해서는 데이터가 필요하
며, 그 처리는 기계(컴퓨터)가, 그리고 결과로 규칙(모델)이 생성된다. 이 과정은 수많은 반복과 실험 등을 통해 매우 오래 걸리는 작업이다. 이
후의 녹색 화살표는 학습 결과를 적용하는 과정으로, 임의의 질의를 가지고 규칙(모델)을 통해 그에 상응하는 정보를 산출한다. 이 과정은 이전
머신 러닝을 수행하는 과정에 비해 상대적으로 단순하다. 알파고는 이세돌과 대국 이전에 수많은 바둑 기보를 가지고 오랫동안 학습한 결과로
‘규칙(모델)’을 얻어냈으며, 이세돌과 대국 시점에서는 현재 바둑의 형세를 간단히 입력하면 다음 번 수를 제한 시간 이내로 빨리 산출하는 것
으로 비유할 수 있다.
간략하게 머신 러닝에 대해 알아봤다면, 이제 이를 수행하기 위해 필요한 체크 항목들을 알아보기로 하자.
구글의 딥 마인드가 복잡하게 구성된 많은 수의 컴퓨터로 이뤄져 있다고 하지만 그에 비교해서 [표 3]의 ZeroR 알고리즘은 꽤나 단순하다. 즉,
1대의 컴퓨터로도 충분히 계산이 가능하다.
이제 또 다른 예로, [표 1]의 소규모 데이터 대신 100년 간의 사우디 아라비아 날씨 데이터가 있고, 그 데이터의 크기는 수십 테라바이트(TB)
정도로 방대하다고 가정하자. 그것을 가지고 ‘내일 눈이 올까’를 학습하여 지식을 만들었다고 가정한다면, 그 대답은 항상 ‘아니요’일 것이다.
왜냐하면 그곳에서 눈은 100년 동안 오지 않았기 때문이다. 만일 ‘내일 눈이 올까’ 질문의 답을 구하기 위해 수십 억 원의 예산을 들여 가장 최
신이며 고가의 머신 러닝 알고리즘의 실행을 위한 환경을 구축한 뒤, 5주 동안 종일 기다리며 학습 시키는 장면을 상상해 보자. 그렇지만 그 결
과는 매우 단순한 ZeroR 알고리즘의 결과와 큰 차이가 없을 것이다. 항상 ‘아니요’로 답할 것이기 때문이다. 게다가 ZeroR 알고리즘은 웬만한
요즘 컴퓨터 1대만 가지고도 금방 답할 수 있을 것이다. 어떻든, 사우디 아라비아에서 ‘내일 눈이 올까’ 문제는 그렇게 어렵지 않고 상식적으로
도 궁금하지도 않다. 오히려 내일 사우디 아라비아의 최고 온도를 미리 예측하여, 폭염 대처를 하는 것이 더 큰 의미가 있을 것이다.
이와 같이 머신 러닝을 의미 있게 수행하기 위해서는 첫 번째로 ‘문제’를 잘 선택하는 것이 매우 중요하다. 사우디 아라비아에서 ‘눈’이 의미가
없는 것을 상기하면 된다. 또한 머신 러닝의 결과가 이미 알고 있는 지식을 ‘답습’해서도 의미가 없다. 즉, ‘30대 싱글 남성은 주말 야간에 혼자
집에서 맥주와 액션 영화를 즐긴다’를 10억 원의 비용을 통한 머신 러닝의 결과로 얻었다고 가정해보자. 허무하지 않겠는가? 혹시 글을 읽으
면서 “에이, 이런 것을 설마 비싼 돈 주고 하겠어?”라고 질문할 수 있겠으나 비유가 다를 뿐이지 의미 없이 진행되는 값비싼 머신 러닝 프로젝
트들도 꽤나 있다. 이를 확인할 수 있는 방법 중 하나가, 앞선 예제인 ZeroR 알고리즘과 그것보다 조금 향상된 버전인 OneR 알고리즘을 돌려
보는 것이다. 이는 머신 러닝 기준(Baseline) 알고리즘으로, 만일 현재 연구 중인 알고리즘과의 결과 차이가 미비하다면 그 ‘문제’는 큰 의미가
없거나, 머신 러닝으로 수행할 필요가 없음을 뜻한다.
어떻든 문제가 잘 정의되었다면, 이제 데이터를 살펴봐야 한다. 다음 항목의 체크가 필요하다.
[표 3] ZeroR 알고리즘
“밖에 나가 놀까”의 “예” 개수를 구한다.
“밖에 나가 놀까”의 “아니요” 개수를 구한다.
“예”가 많다면, 항상 “예”로 판단하라.
“아니요”가 많다면, 항상 “아니요”로 판단하라.
[그림 2] 머신 러닝의 주요 과정
데이터 학습 규칙(모델)
머신 러닝, 뭣이 중헌디
14
● 당신은 데이터의 주인인지? 그리고 어디까지 권한이 있는지?
● 데이터에 대한 Domain 지식이 어느 정도인지?
● 데이터의 잡음(Noise)은 어느 정도인지?
● 데이터의 크기는 얼마만큼 인지?
● 주기성을 가져서 나눌 수 있는지? 아니면 처음부터 끝까지 하나로 처리되어야 하는지?
● 데이터의 트렌드(정규 분포)가 자주 바뀌는지?
● 다수가 아닌 소수가 의미 있는 데이터인지?
[표 4] 머신 러닝 ‘문제’ 체크 항목
앞서 예를 들었던 사우디 아라비아의 경우, 해당 날씨 데이터를 어떻게 확보하느냐가 중요할 것이다. 만약 직접 사우디 아라비아에 온도계,
습도계 등의 센서를 배포하고 날씨 정보를 직접 수집했다면, 우리는 데이터의 주인이며 모든 권한이 포함되어 있을 것이다. 그런데 웨더닷컴
(weather.com) 같은 서비스 업체로부터 RSS 피드나 JSON(JavaScript Object Notation) 형태로 수집을 받는다면, 주인도 아니며 권한도 없다.
이런 부분이 중요한 이유는, 데이터에 대한 주권이 없다면 향후 데이터의 속성이나 형상 변경을 통한 결과 향상을 기대하기 어렵기 때문이다.
예를 들어 사우디 아라비아의 날씨 데이터에 풍향 정보만 있어도 예측 정확도가 높아질 것으로 기대되는 상황이지만, 데이터의 주권이 없어서
풍향을 추가할 수 없다면 예측 정확도 향상은 포기해야 한다는 것이다.
그리고 데이터의 주권이 확보되더라도, 머신 러닝 프로젝트를 연구하는 사람이 해당 데이터의 도메인(Domain) 지식이 부족하다면 쉽지 않은
작업일 것이다. 만약 의학 정보 데이터를 가지고 있을 때, 참여자가 의학 지식이 전혀 없는 머신 러닝 전문가라면 결과가 한정적일 수 밖에 없
다. 예를 들어, 간 수치에 대한 데이터가 있을 때 동일한 데이터 값을 실수 값(0.0 이상)으로 표현할 수 있거나 적당한 값을 기준으로 양성(+)/
음성(-)으로 구분하여 표현하는 경우도 있을 것이다. 머신 러닝 알고리즘에서 데이터 표현이 정수인 경우와 +/-와 같은 이진 값(boolean)은
매우 다르게 처리된다. 따라서 의학 정보를 잘 아는 사람이라면, 해당 수치를 +/-와 같은 이진 값으로 변환하여 학습을 시도해 볼 수 있다. 이
것은 머신 러닝 실험을 보다 다양하게 진행할 수 있는 조건이 되며, 더 좋은 결과를 만들 수 있는 기회를 제공해 준다.
이외에도 여러 가지 체크 항목이 있는데, 모두 머신 러닝을 수행하는데 우선 고려할 사항들이다. 특히 데이터의 트렌드(정규 분포)가 빈번히 변
경되는 환경이라면 머신 러닝의 결과에 큰 영향(물론 안 좋은)을 줄 수 있기 때문에 사전 조사가 필요하다. 예를 들어, 국민 소득 데이터에서 매
우 큰 국가적 재난이 발생해서 국민 소득이 갑자기 1/3로 줄었다고 가정하자(즉, 데이터의 정규 분포가 크게 변경되는 상황). 그렇다면, 재난
이전에 학습된 결과를 재난 이후의 데이터로 적용하면 잘 맞아 떨어질까? 이 세상에 아무리 훌륭한 머신 러닝 알고리즘이 있더라도, 재난까지
미리 계산해 넣을 수는 없을 것이다.
앞선 예로 소득 데이터와 재난을 언급했는데, 생각보다는 이러한 트렌드의 변화는 매우 다양하게 발생하며 머신 러닝의 정확도는 그것으로 인
해 시간이 지날수록 점점 떨어지게 된다. 따라서 해당 가능성을 사전에 체크해 두는 게 중요하여 어떻게 대응할 지를 미리 연구해야 한다.
마지막으로 ‘다수/소수’의 문제다. 과거의 마케팅이 일반인을 상대로 크게 몇 분류로 나눈 뒤 진행했다면, 이제는 좀 더 세분화된 분류로 나눠
서 대응하는 것이 필요한 시대다. 왜 갑자기 ‘마케팅’ 용어가 나오냐고 의아해 할 수 있는데, 머신 러닝에서 ‘아웃스탠딩(Outstanding)’이라는
용어와 연관이 있기 때문이다. 이는 다수가 아닌 소수의 일부분인 그룹을 의미하는데, 보통 머신 러닝 알고리즘은 아웃스탠딩을 무시해서 오차
를 줄이려고 노력한다. 만약 우리에게 필요한 지식이 전체 고객 정보에서 상위 0.1%의 VIP 고객을 목적으로 하고, 이를 머신 러닝을 통해서 구
하고자 한다면 다른 접근법이 필요하다는 점이다. 즉, 머신 러닝 알고리즘은 아웃스탠딩을 줄여 일반화를 시키는데, 그러다 보니 상위 0.1%의
VIP 데이터가 무시될 수 있다. 이는 아래 [그림 3]과 유사한데, 머신 러닝 알고리즘은 푸른색과 붉은색 두 개의 분류 영역을 ‘규칙’ 혹은 ‘수식’
으로 분리하려고 한다. 그런데 위 두 개의 회색 영역은 아웃스탠딩으로, 분류의 성능을 저해한다는 명분 하에 무시하거나 제거하려는 경향이
강한 지역이다. 즉, 수학만 특별히 잘하거나 수학과 국어를 모두 잘하는 학생의 데이터는 ‘예외’로 처리되어 학습에 포함되지 않을 수 있다.
[그림 3] 국어, 수학 성적 분포 그래프
15
이러한 종류는 FDS(부정 금융 거래 감시 시스템) 데이터도 해당되는데, 전체 금융 거래 중 부정 거래의 비율은 극히 낮을 것이기 때문에 머신
러닝 적용이 용이하지 않는 경우가 많을 것이다. 또한 보안 데이터도 마찬가지로, ‘정상’ 비율이 ‘악성’ 비율보다 상대적으로 매우 높은 모양이
다. 이때는 있는 그대로의 데이터를 가지고 자연스럽게 대응할 수 있는 머신 러닝 알고리즘의 선정이 중요한데, 그렇지 못한 경우 데이터의 분
포를 임의적으로 조정하여 해결하려고 하는 방법들이 종종 사용될 수도 있다. 그들 중 하나가, 아웃스탠딩인 회색 영역의 작은 점 하나 주변에
여러 개의 점을 추가로 찍는 방식이다. 예를 들어, 수학과 국어를 잘하는 학생의 데이터는 원래 1명이지만, [그림 4]와 같이 가상의 4명을 추가
하여 아웃스탠딩의 조건을 사전에 방지하는 방식이다. 이러한 테크닉은 현재의 학습 결과를 만족시킬 수 있지만, 데이터의 분포를 임의대로 조
작(즉, 1등 학생을 4등으로 만들어서)했기 때문에 향후에도 좋은 예측 결과를 계속 만들어 낼 수 있을지는 의문이 되는 방식이다.
지금까지 머신 러닝이 무엇이며, 머신 러닝을 의미 있게 적용하기 위한 고려 사항에 대해 알아보았다. 다음 호에서는 보안 위협을 대비하기 위
해 머신 러닝이 필요한 이유를 소개하고자 한다.
[그림 4] 임의로 데이터를 조작하여 아웃스탠딩을 제거한 분포 그래프
16
SWF T H R E A T A N A L Y S I S
SWF는 ‘Small Web Format’의 약자로, 웹 상에서 그래픽 애니메이션
등을 구현하는 어도비 플래시 플레이어(Adobe Flash Player)의 파일
형식이다. 특히 액션스크립트(ActionScript, AS)를 사용하는 브라우저
게임에 흔히 사용된다. 이번에 발견된 랜섬웨어를 설치 및 실행하는
악성 플래시 파일도 액션스크립트를 사용하고 있다.
[그림 1]은 해당 플래시 파일의 내부 구조 및 액션스크립트다.
[그림 2] 내부 데이터 복호화 과정
해당 파일 실행 시 스크립트 코드는 파일 내부의 암호화된 데이터를 복
호화한다. [그림 2]는 데이터 복호화 과정을 도식화한 것이다.
플래시 파일에 숨어든 랜섬웨어의 실체
최근 록키(Locky), 케르베르(Cerber) 등의 랜섬웨어를 다운로드 및 실행하는 SWF, 즉 플래시 파일이 유포되고 있다. 이들 SWF 파일
중 대부분은 익스플로잇 킷(Exploit Kit)에 의해 유포되고 있다. 이 글에서는 익스플로잇 킷에 의해 유포된 랜섬웨어 중 내부에 암호화
된 플래시 파일을 가지고 있는 유형에 대해 알아본다.
[그림 1] 플래시 파일 구조 및 스크립트(AS) 코드
17
한 가지 특이한 점은 [그림 2]의 ③에 해당하는 스크립트 코드가 정상
적으로 파싱(parsing)되지 않는다는 점이다([그림 3] 참고).
해당 스크립트 코드는 [그림 4]와 같은 XOR 연산 과정을 거쳐 복호화
되며, 이를 통해 비로소 압축된 형태의 플래시 파일을 확인할 수 있다.
해당 플래시 파일은 zlib 라이브러리를 사용하여 압축되었으며, 파일
시그니처는 [그림 4]와 같이 ‘CWS’이다.
[그림 3] 정상 파싱이 되지 않는 스크립트 코드
[그림 4] 압축된 플래시 파일을 확인하기 위한 XOR 연산
해당 악성코드가 실제로 실행될 때는 내부 파일이 메모리 상에서 복호
화되어 실행되기 때문에 파일이 생성되지 않는다. 따라서 [그림 5]와
같이 메모리 덤프를 통해 생성된 플래시 파일을 확인할 수 있다.
V3 제품에서는 해당 유형의 악성 플래시 파일을 다음과 같은 진단
명으로 탐지하고 있다.
<V3 제품군의 진단명>
SWF/Exploit (2016.09.02.00)
이번에 발견된 랜섬웨어 유포용 플래시 파일뿐만 아니라 최근 상당
수의 악성코드가 익스플로잇 킷을 이용한 악성 플래시 파일을 통해
유포되고 있다. 특히 이들 악성 플래시 파일 중에는 내부에 쉘코드
(Shellcode)나 또 다른 악성 파일을 갖고 있는 경우가 많다. 따라서
사용자는 확인되지 않은 의심스러운 웹사이트, 특히 기업 사용자의
경우 업무 PC를 통한 불필요한 사이트의 접근을 삼가는 것이 좋다.
또한 OS 및 플래시 플레이어 등 주로 사용하는 프로그램의 최신 보
안 패치를 적용하고 V3 등 백신 프로그램의 엔진 또한 항상 최신
버전으로 유지하는 것이 중요하다.
[그림 5] 복호화 후 생성된 플래시 파일 구조 및 스크립트
18
언어 장벽으로부터의 해방에 대한 희망(?)이 대두되기 시작한 것은 최근 구글과 네이버가 거의 비슷한 시기에 인공지능 기술이 추가된 번역기
를 선보이면서부터다.
I T & L I F E
새해엔 영어 공부 안 해도 될까?
인공지능 번역기
번역기도 인공지능 시대에 돌입했다. 작년 초반, 인공지능으로 무장된 알파고(AlphaGo)가 이세돌을 거뜬히 이겼던 장면을 기억하고
있는 터라 사람들은 인공지능이 가미된 번역기에도 새로운 신세계가 열릴 것으로 기대가 크다. 어쩌면 조만간 언어의 장벽이 없어질지
도 모른다는 장밋빛 환상에 빠지는 이들도 있다. 그렇게만 된다면 정말 영어나 외국어 공부를 할 필요가 없게 되는 것 아닐까?
19
출사표는 네이버가 먼저 던졌다. 네이버는 지난 8월 음성 인식 통번역기 ‘파파고(Papago)’를 내놓았다. 한국어와 영어, 일본어, 중국어까지 4개
언어를 자동으로 번역해준다는 것. 주목할만한 점은 음성인식 기술과 함께 인공지능 기술이 가미됐다는 것이다. 음성인식 기술 도입을 통해 사
용자는 번역하고 싶은 문장이나 단어를 손쉽게 입력할 수 있다. 스마트폰의 파파고 앱을 실행시키고 한국어로 문장을 읽으면 영어, 중국어, 일
본어로 자동으로 번역된다. 외국의 관광지 등에서 번역이 필요할 때 번역된 문장을 외국인에 보여주거나 번역된 문장을 소리로 들려줄 수도
있다. 네이버가 그동안 축적했던 음성 검색 기술이 적용된 결과다.
파파고에 탑재된 번역 기술은 네이버 연구소에서 자체 개발한 N2MT(Naver Neural Machine Translation)이다. 인공지능이 학습을 통해 정답에
가깝게 배워간다는 것이 네이버 측의 설명이다. 기존 번역기는 문장을 번역할 때 일정 단위로 잘라서 번역하고 이를 다시 어순에 맞춰 번역하
는 형태였지만, N2MT는 번역해야 할 문장을 기존에 비슷한 유형으로 번역했던 결과물과 대조하면서 적용해 보다 완벽한 문장을 만들어 간다
는 것이다.
구글도 수 년간 연구해 개발한 인공신경망 기계 번역(NMT•Neural Machine Translation) 기술을 선보였다. 구글의 인공신경망 기계 번역은 네
이버 파파고에도 적용된 비슷한 기술로, 기존 통계적 기계 번역과 달리 문장 전체를 분석하고 스스로 학습해 정확도가 훨씬 높다는 게 구글의
설명이다.
단어나 구(句)를 기반으로 한 기계 번역 시스템이었던 기존의 구글 번역과 달리 새로운 인공 신경망 기계 번역은 문장 전체를 번역해 더 자연
스러운 문장을 구사한다. 기존 번역 기술보다 55∼85%의 오류를 줄여 보다 정확한 번역이 가능해졌다고 구글은 설명했다. 사람이 입력해준
것만을 기억하는 것이 아니라 스스로 학습하는 능력을 가지고 있어 번역의 정확도는 시간이 갈수록 더 높아진다는 것이다.
네이버와 구글이 인공지능 번역기를 잇따라 출시하면서 사용자들은 어떤 번역기가 더 우수한지 비교 테스트해서 커뮤니티 사이트나 블로그에
올리는 게 유행을 타고 있다. 상황에 따라 번역의 정확도가 엎치락뒤치락 하고 있지만 두 번역기 모두 이전과는 확연히 나은 번역 성능을 보여
주고 있다. 간혹 기존의 기계 번역보다 못한 결과물을 내놓기도 하지만 이는 충분한 학습이 이뤄지기 않았기 때문이다.
알파고가 처음부터 바둑을 잘 두었던 건 아니었다. 처음에 15만 개의 기보를 5주만에 학습했고, 이후 3,000만 개의 기보에 대한 강화학습과 지
도학습을 통해 능력을 향상시켜왔다. 네이버와 구글의 인공지능 번역기도 딥러닝 기술을 통해 원어민에 가까운 번역 실력을 선보일 날이 멀지
않았다.
▲ 네이버 음성 인식 통번역기 파파고 (*이미지 출처: 구글 플레이)
20
보안 통계와 이슈 S T A T I S T I C S
[그림 2]는 2016년 11월 한 달간 유포된 악성코드를 주요 유형별로
집계한 결과이다. 트로이목마(Trojan) 계열의 악성코드가 36.62%로
가장 높은 비중을 차지했고, 불필요한 프로그램인 PUP(Potentially
Unwanted Program)가 23.65%, 웜(Worm)이 7.85%의 비율로 그 뒤를
이었다.
안랩 시큐리티대응센터(이하 ASEC)는 최근 ASEC Report Vol.83을 통해 지난 2016년 11월의 보안 통계 및 이슈를 전했다. 지난 11월
의 주요 보안 이슈를 살펴본다.
록키 랜섬웨어 변종 잇따라...간격 짧아져
안랩, 11월 악성코드 통계 및 보안 이슈 발표
ASEC이 집계한 바에 따르면, 2016년 11월 한 달간 탐지된 악성코드
수는 865만 1,224건으로 나타났다. 이는 970만 118건에 비해 104만
8,894건 감소한 수치다. 한편 11월에 수집된 악성코드 샘플 수는 459
만 540건이다.
샘플 수집 수탐지 건수
5,000,000
6,000,000
9,000,000
10,000,000
20,000,000
30,000,000
1,000,000
2,000,000
3,000,000
4,000,000
11월10월9월
8,651,224
9,700,118
8,999,000
4,59
0,54
0
4,34
8,81
3
5,06
7,80
5
지난 11월 한 달간 탐지된 모바일 악성코드는 36만 8,605건으로 집계
됐다.
Adware DownloaderWormPUPetcTrojan
100,000
200,000
300,000
500,000
600,000
700,000
400,000
0
11월10월9월
368,605393,374389,745
7.85%
23.65%25.73%
36.62%3.84%
2.31%
[그림 1] 악성코드 추이(2016년 9월~2016년 11월)
[그림 3] 모바일 악성코드 추이 (2016년 9월~ 2016년 11월)
[그림2] 2016년 11월 주요 악성코드 유형
21
해당 랜섬웨어에 암호화된 파일들은 [그림 6]과 같이 확장자명에 ‘shit’
이 추가된다.
또한, ZIP 파일 내부에 있는 VBS 파일은 같이 기존 자바스크립트와 동
일하게 알아보기 어렵도록 난독화되어 있다. 파일 암호화가 완료되면
[그림 8]과 같이 확장자명을 ‘thor’로 변경한다.
록키 랜섬웨어 변종 3종 잇따라 유포
록키(Locky) 랜섬웨어의 변신은 끝이 없다. 2016년 2월 처음 등장한
이후 현재까지 활발하게 발견되고 있을 뿐만 아니라 지속적으로 신•
변종으로 진화하고 있다. 록키 랜섬웨어는 봇넷을 통해 스팸 메일
의 첨부 파일로 대량 유포되는 것이 특징이며, DOCX 문서 파일부터
JS(Java Script), WSF(Windows Script File), HTA(Hyper-Text Application),
윈도우(Windows) 바로가기 형식의 LNK 파일로 위장하고 있다.
PC 내 파일들을 암호화한 후 변경하는 파일의 확장자명도 초기의
‘locky’를 시작으로 ‘zepto’, ‘odin’에 이어 최근에는 ‘shit’, ‘thor’, ‘aesir’
라는 확장자명을 추가하는 변종이 잇따라 나타났다. 또한 암호화 후
추가되는 확장자명이 ‘locky’에서 ‘zepto’로 변경되는데 4개월, 다시
‘zepto’에서 ‘odin’으로 변경되는데 3개월이 걸린데 반해, ‘shit’ 확장자
명은 이전 변종이 등장한지 한 달 만에 등장했다. 그리고 다시 하루 만
에 ‘thor’ 확장자를 가진 록키 변종이 나타났다.
첫 번째 록키 랜섬웨어 최신 변종은 확장자명을 ‘shit’으로 변경한다.
기존 록키 랜섬웨어와 마찬가지로 JS 파일 형식을 통해 유포되는데,
ZIP 파일 형식으로 압축된 것이 특징이다. 사용자가 해당 ZIP 파일의
압축을 해제한 뒤 내부의 JS 파일을 더블 클릭하여 실행하는 순간, 랜
섬웨어 다운로더를 통해 감염이 시작된다. [그림 8] 암호화 후 추가되는 확장명 'thor'
또한 지난 11월 악성코드 유포지로 악용된 도메인은 10,193개, URL
은 11,165개로 집계됐다. 11월의 악성 도메인 및 URL 차단 건수는 총
396만 3,654건이다.
악성 도메인/URL 차단 건수 악성코드 유포 URL 수악성코드 유포 도메인 수
10,000
20,000
30,000
6,000,000
8,000,000
7,000,000
9,000,000
40,000
50,000
5,000,000
4,000,000
3,000,000
011월
11,16510,193
3,2941,4642,9261,481
10월9월
3,963,654
4,605,999
3,924,516
[그림 5] 난독화되어 있는 JS 파일
확장자명을 ‘shit’으로 변경하는 록키 랜섬웨어가 나타난지 하루도 안
되어 확장자명을 ‘thor’로 변경하는 록키 변종이 등장했다. 전체적인
감염 과정은 ‘shit’ 확장자명을 사용하는 변종과 동일하며, 스팸 메일에
ZIP 파일을 첨부하여 유포하는 특징 또한 동일하다.
단, 확장자명을 ‘shit’으로 변경하는 록키 랜섬웨어는 ZIP 파일 내부에
JS가 포함되어 있었던 반면, ‘thor’로 변경하는 록키 랜섬웨어는 [그림
7]과 같이 VBS(Visual Basic Script) 파일을 포함하고 있다.
[그림 7] ZIP 파일 내부에 포함된 VBS(Visual Basic Script) 파일
[그림 6] 암호화 후 추가되는 확장명 'shit'
[그림 4] 악성코드 유포 도메인/URL 탐지 및 차단 건수 (2016년 9월~ 2016년 11월)
22
세 번째 록키 변종은 확장자명을 ‘aesir’로 변경한다. 마찬가지로 스팸
메일의 첨부 파일로 유포되는데, 첨부된 다운로더를 실행하면 실제
랜섬웨어 행위를 수행하는 악성 실행 파일이 다운로드된다. 파일 암
호화가 완료되면, 랜섬웨어 감염 메시지와 함께 [그림 9]와 같이 파일
의 확장자명이 ‘aesir’로 변경된다.
이들 록키 랜섬웨어 변종에 감염되면 기존 록키 랜섬웨어 감염 시와
동일한 감염 안내 화면이 나타난다.
[그림 9] 암호화된 파일
[그림 10] 암호화 완료 후 출력되는 메시지
V3 제품에서는 이들 록키 랜섬웨어 변종을 다음과 같은 진단명으로
탐지하고 있다.
<V3 제품군의 진단명>
Trojan/Win32.Locky (2016.11.24.03)
JS/Obfus.S158 (2016.10.25.05)
JS/Obfus.S166 (2016.11.24.05)
Downloader/VBS.Agent (2016.10.29.00)
랜섬웨어를 이용한 보안 위협은 점점 고도화되고 있다. 일단 랜섬웨어
에 감염되어 파일이 암호화되면 거의 복구하기 어렵다. 따라서 다른
어떤 악성코드보다 랜섬웨어는 사전 예방이 중요하다. 랜섬웨어 피해
예방을 위해 평소 OS 및 주요 프로그램의 최신 보안 업데이트를 적용
하고, 중요한 데이터는 주기적으로 백업을 해두는 것이 바람직하다.
2323
A H N L A B N E W S
안랩은 한화S&C의 클라우드 컴퓨팅 서비스인 ‘혼 클라우드(HONE
Cloud)’에 대한 클라우드 정보보호 컨설팅을 완료했다고 밝혔다.
안랩은 혼 클라우드의 서비스 모델을 분석해 ▲클라우드 컴플라이
언스 검토 및 분석 ▲기술 취약점 진단 및 보안 위험분석 ▲정보보
호 인증 컨설팅 등을 수행했다. 혼 클라우드는 안랩 컨설팅을 바탕
으로 국제 클라우드 보안 표준 인증 ISO27017을 획득했다.
안랩은 이 외에도 공공 기관, 금융사 등에 클라우드 정보보
호 컨설팅을 제공하는 등 독자적 정보보호 컨설팅 방법론인
‘ASEM(AhnLab Security Engineering Method)’을 기반으로 한
지역 기업 사회공헌연합인 ‘판교CSR얼라이언스(이하 얼라이언스)’가
지난 연말 판교지역 아동센터 ‘판교푸른학교(센터장 강경애)’에 교육
물품을 기증했다. 얼라이언스가 기증한 물품은 맞춤 책상, 교재 수납
장, 사물함, 전자피아노 등 총 500만 원 상당의 교육 물품이다. 기증
된 교육 물품은 판교푸른학교 아동 교육에 사용된다.
얼라이언스 회원사인 안랩은 이번 교육 물품 기증을 위해 지난해 9월
사회적기업 ‘아름다운가게’와 함께 임직원 바자행사 판매를 진행하여
모은 수익금의 일부를 기부했다.
판교푸른학교 지역 아동센터 강경애 센터장은 “단순 금액지원보다
꼭 필요했던 교육 물품을 받으니 아이들이 더 기뻐한다”며 “얼라이언
스의 이번 기증으로 센터에 다니는 아동들에게 더 나은 교육 환경을
제공할 수 있게 됐다”고 말했다.
안랩, 한화S&C ‘혼 클라우드’
정보보호 컨설팅 수행
판교CSR얼라이언스,
지역 아동센터에 교육 물품 기증
▲ 판교CSR얼라이언스 회원사인 안랩은 ‘판교푸른학교’에 교육 물품을 기증했다.
클라우드 컨설팅 사업을 활발히 전개하고 있다. 계획수립, 위험분석,
대책수립, 구현, 관리 등 5단계로 구성된 ‘ASEM’에 따라 공용 및 사
설 클라우드 구축부터 환경 이전(L2C, Legacy-to-Cloud)까지 다양
한 컨설팅을 지원한다.
안랩 서비스사업부 방인구 상무는 “최근 주목받고 있는 클라우드
서비스는 기획 단계부터 정보 보안을 고민하는 것이 중요하다”며,
“안랩의 다양한 클라우드 환경 보안서비스 노하우로 고객에게 최적
의 보안 컨설팅을 제공하도록 노력하겠다”고 말했다.
발행인 : 권치중
발행처 : 주식회사 안랩
경기도 성남시 분당구 판교역로 220
T. 031-722-8000 F. 031-722-8901
편집인 : 안랩 콘텐츠기획팀
디자인 : 안랩 디자인팀
© 2017 AhnLab, Inc. All rights reserved.
본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제, 복사, 검색 시스템
으로 저장 또는 전송될 수 없습니다. 안랩, 안랩 로고는 안랩의 등록상표입
니다. 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상
표일 수 있습니다. 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다.
경기도 성남시 분당구 판교역로 220
T. 031-722-8000 F. 031-722-8901
© 2017 AhnLab, Inc. All rights reserved.
http://www.ahnlab.com
http://blog.ahnlab.com
http://twitter.com/ahnlab_man
