1

2014 Reviews & 2015 Predictions

2015. 01

안랩 온라인 보안 매거진

3

4

9

1 4

1 9

2 4

2 8

2 9

월간

C O N T E N T S

C E O M E S S a g E

“기본과 원칙에 충실한 안랩이 되겠습니다”

S p E C i a l R E p O R T

2014 Reviews & 2015 Predictions

심화되는 사이버 위협, 어디까지 향하나

p R O d u C T i S S u E

차세대 보안 관제 서비스의 기준을 제시하다

E x p E R T C O l u M N

‘2015년 알아두어야 할 정보보호 법령’

a N T i - E x p l O i T

‘갓모드(GodMode)’ 공격의 시작, 제로데이 익스플로잇

i T & l i f E

간단하게 알아보는 보이스피싱 예방법

은닉형 악성코드, 대체 뭐길래?

a h N l a b N E w S

안랩 트러스가드, ‘2014 TTA 시험인증 대상’에서 우수상 수상

안랩, 경기도 중고교 교사 초청 보안/SW 교육 진행

S TaT i S T i C S

2014년 11월 보안 통계 및 이슈

2015. 01

33

“기본과 원칙에 충실한 안랩이 되겠습니다”

정부와 산업연구기관 등에 따르면 성장과 후퇴를 반복해오던 산업 경기가 2015년에는 후퇴와 불황 국면으로 접어들고, IT 산업은 후퇴할 수

있다고 예상되고 있습니다. 하지만 현실이 어렵다고 해서 절망만 하고 있을 수는 없습니다. 이러한 불확실한 시대일수록 확실한 전략은 ‘기본

과 원칙’이라고 생각합니다.

안랩은 지난 2014년 한해 동안 ‘안랩의 핵심 역량을 그대로 제품과 서비스에 옮겨 고객 신뢰를 높이자’는 목표 하에 제품 안정화와 진단율 제

고에 힘썼습니다. 그 결과, V3 모바일은 AV 컴패러티브와 AV-TEST라는 양대 글로벌 기관의 성능 테스트에서 탐지율 100%를 이어가며 모바

일 보안 분야에서의 글로벌 기술 리더십을 입증하였습니다. 또한 통합 PC 보안 솔루션인 V3 Internet Security 9.0도 지난해 9월 ~ 10월 진행

한 AV-TEST의 프리밸런트 테스트에서 평균 100%의 진단율로 인증을 획득했습니다. 안랩의 네트워크 통합 보안 솔루션인 트러스가드는 세계

적인 시장조사 기관인 가트너 매직 쿼드런트 ‘차세대 엔터프라이즈 네트워크 방화벽 분야’에 등재되었으며, 2014 TTA 시험 인증 대상에서 네

트워크 분야 우수상을 수상하며 높은 성능을 인정받았습니다.

안랩은 2015년에도 제품과 서비스의 핵심 역량을 강화하는 노력을 게을리하지 않겠습니다. 또한 ‘고객의 소리에 귀를 기울이고 고객과의 약속

은 반드시 지킨다’는 안랩의 핵심 가치를 잊지 않고, 모든 것을 고객의 관점에서 시작하겠습니다.

안랩은 을미년의 청양(靑羊)과 닮았습니다. 양은 정직과 정의의 상징으로 반드시 가던 길로 되돌아오는 고지식한 정직성이 있습니다. 또한 청

색은 안랩의 아이덴티티를 나타내는 대표적인 브랜드 컬러이기도 합니다. 안랩은 2015년에도 기본과 원칙에 충실한 정직한 기업, 그리고 함께

사는 사회에 기여하는 기업으로서 고객 여러분이 신뢰할 수 있는 기업으로 거듭나겠습니다.

2015년 을미년, 새해 이루고자 하는 일들 모두 성취하시는 한해가 되기를 바랍니다.

새해 복(福) 많이 받으십시오.

fundamental & principleC E O M E S S a g E

㈜안랩 CEO 권치중

고객 여러분!

지난해 청마(靑馬)에 이어 올해도 청(靑)의 기운이 듬뿍 담긴

2015년 을미년(乙未년) 청양(靑羊)의 해를 맞이했습니다.

양은 본래 성질이 온순하며 무리를 지어 화목하고 평화롭게

사는 동물입니다. 또한 청색은 예로부터 지혜와 넓은 하늘,

평화 등의 좋은 의미를 지니고 있습니다. 그래서 많은 분들이

2015년에는 청양(靑羊)이 개인과 가정에 큰 행운을 불러올

것으로 희망하고 있습니다.

여러분 모두에게 이러한 행운이 가득한 한해가 되기를

기원합니다.

4

2014 Reviews & 2015 Predictions

연초 대규모 개인정보 유출부터 연말 공공기관 해킹까지 2014년은 사회 전반에 걸쳐 ‘정보 보안(보호)’이 핫이슈가 된 해였다. 특

히 개인정보 유출 사건•사고는 거의 매달 발생했다고 해도 과언이 아닐 정도로, 안전행정부 발표 자료에 따르면 2014년 상반기에만

5,300만 명의 개인정보 8,600만 여건이 유출된 것으로 추정된다. 그야말로 ‘보안 위협’이 개인과 기업을 넘나들며 사회적•국가적 피

해를 야기하고 있다. 또한 지난 연말 국내외 주요 기관 및 기업을 타깃으로 발생한 해킹 공격들은 개인과 개인이 속한 조직, 엔드포인

트와 네트워크의 경계를 넘나드는 양상을 보였다. 이러한 경향은 2015년에 더욱 심화될 것으로 예상된다. 이와 관련해 안랩 보안 전

문가들이 지난 2014년의 주요 보안 위협 동향을 분석하고 2015년을 전망했다.

심화되는 사이버 위협, 어디까지 향하나

2014 보안 위협, 영역과 경계를 파괴하다

2014년의 주요 보안 이슈는 ▲스마트폰 보안 위협 ▲인터넷 뱅킹을 노린 파밍 악성코드 ▲공격 경로의 다양화 ▲POS(Point-Of-Sales) 시스템

해킹 ▲다수의 오픈소스 취약점 등장 등으로 요약할 수 있다. 스마트폰, POS 시스템, 오픈소스 등의 키워드에서 볼 수 있는 것처럼 지난 한해 보

안 위협은 다양한 플랫폼(platform)으로 확대되었다.

1. 스마트폰으로 확대되는 보안 위협

지금까지 주로 PC 환경에서 자주 등장했던 보안 위협이 2014년에는 스마트폰 환경으로 옮겨가는 한편 본격적으로 모바일 환경에 특화된 보안

위협이 대거 등장했다.

우선 ‘랜섬웨어(Ransomeware)’가 PC에 이어 스마트폰으로 확산됐다. 사용자의 데이터를 볼모로 금전을 요구하는 랜섬웨어는 지난 한해 동안

PC와 스마트폰 등 플랫폼을 가리지 않고 꾸준히 발견됐다. 해외에서는 FBI를 사칭한 조직이 스마트폰 사용자들을 노리고 유포한 랜섬웨어인 ‘심

플로커(SimpleLocker)’로 실질적인 피해가 발생하기도 했다.

PC를 노리던 이른바 ‘몸캠피싱’도 스마트폰으로 확대되기도 했다. 몸캠피싱이란 화상채팅 등을 통해 음란 행위를 하는 것을 뜻하는 ‘몸캠’과 사

용자를 허위 사이트 또는 프로그램으로 유도하는, 즉 낚는 것을 뜻하는 ‘피싱’의 합성어다. 스마트폰 상에서의 몸캠피싱 기법은, 공격자가 스마트

폰 채팅 애플리케이션을 이용해 음란 화상 채팅을 유도하여 사용자의 얼굴과 알몸 등을 동영상으로 녹화하는 한편 악성 앱 설치를 유도해 스마

트폰 내 주소록을 탈취하는 방식이다. 이후 공격자는 수집한 주소록에 있는 사용자의 지인에게 몸캠 동영상을 전송한다고 협박하며 금전을 요구

한다.

‘스미싱(Smishing)’이라는 스마트폰에 특화된 보안 위협이 사회 전반의 화두로 떠올랐다. 문자메시지(SMS)와 피싱(Phishing)의 합성어인 스미

싱은 악성코드의 유형과 문구 측면에서 더욱 진화했다. 기존에는 소액결제를 노렸으나 최근에는 인터넷 뱅킹에 필요한 금융 정보를 노리는 악성

코드를 사용하는 등 더 큰 금전적 피해를 야기하고 있다. 사용자를 현혹하는 스미싱 문구 또한 ‘택배’, ‘청첩장/돌잔치/생일 초대장’, ‘예비군/민방

위’ 등을 사칭하는 사례가 지속적으로 발견되는 가운데 층간 소음, 분리수거 위반, 쓰레기 무단투기 등 실생활에서 쉽게 경험할 수 있는 민원을

Reviews & predictions S p E C i a l R E p O R T

4

5

사칭한 이른바 ‘생활 밀착형’ 스미싱이 등장했다.

이처럼 스마트폰을 노리는 보안 위협이 심화되는 가운데 주요 정보를 스마트폰에 저장하는 빈도가 높아지는 만큼 각별한 주의가 필요하며, 특히

출처가 불분명한 스마트폰 앱을 다운로드할 시에는 더욱 유의해야 한다.

2. 인터넷 뱅킹을 노린 파밍 악성코드, ‘메모리 해킹’까지

2013년 이후 인터넷 뱅킹 정보를 노리는 ‘파밍(Pharming)’ 악성코드의 피해가 이어지더니 2014년에는 더욱 심화되는 양상을 보였다.

기존 파밍 악성코드는 PC의 호스트 파일을 변조해 가짜 인터넷 뱅킹 사이트로 유도하는 방식이었다. 2014년에는 인터넷 도메인네임시스템

(DNS) 정보를 담고 있는 메모리를 변조해 사용자가 가짜 사이트로 이동하는 것을 더욱 인지하기 어렵게 하는 방식이 등장했다. 또한 정상 사이

트에 방문했어도 이체거래 과정에서 금융거래정보 등을 실시간 변조하기 위해 인터넷 뱅킹 모듈의 메모리 영역을 해킹하는 형태까지 진화했다.

메모리 해킹이란 컴퓨터의 메모리에 있는 수취인의 계좌번호, 송금액을 변조하거나 보안카드 비밀번호를 절취한 후 돈을 빼돌리는 새로운 해킹

방식으로, 정상적인 인터넷 뱅킹 사이트에 접속하더라도 이체거래 과정에서 금융거래정보 등을 실시간 위•변조하는 것이 특징이다.

이처럼 인터넷 뱅킹을 노리는 공격 기법이 갈수록 사용자가 인지하기 어렵게 진화하고 있어 사용자 및 기관의 주의가 요구된다.

3. 공격 경로의 다양화

기존의 취약점 공격은 악용하는 프로그램이 한정적이었다. 그러나 공격 대상이 확대됨에 따라, 특히 특정 타깃을 노리는 맞춤형 공격이 자행되

면서 공격에 사용되는 프로그램, 즉 공격 경로도 다양화되고 있다.

2014년은 이메일, 전자결재, DRM(Digital Rights Management, 디지털콘텐츠 저작권 보호 기술), 그룹웨어, 암호화 솔루션 등 다양한 프로그

램의 취약점을 이용한 악성코드 제작이 증가함과 동시에 이들 프로그램을 공격 경로로 이용하는 복합적인 형태의 공격이 빈번하게 포착됐다. 대

표적으로 문서프로그램의 취약점을 이용해 MBR 파괴 악성코드를 이메일의 첨부 파일 형태로 전송한 사례가 있었다. 또는 특정 프로그램의 구

동과 관련된 정상 파일을 악성 파일로 교체해 악성코드를 배포하는 사례도 발견됐다. 많은 기업들이 보안에 노력을 기울이고 있음에도 불구하고

이러한 고도화된 형태의 공격으로 악성코드에 감염된 프로그램이 고객에게 피해를 줄 수 있어 더욱 주의가 필요하다.

4. POS(Point-of-Sales) 시스템 해킹

국내외를 막론하고 지난 2014년에는 POS 단말기를 해킹해 중요 거래정보를 빼내고, 이 정보로 부당거래를 일으키는 피해가 빈번히 발생했다.

해외의 경우, 2013년 말 미국 내 대형 유통사의 POS 시스템이 해킹 당해 7천만 명 이상의 개인정보가 유출된 사건을 시작으로 2014년에는 세

계 곳곳에서 백화점•식당 등의 POS 시스템이 해킹 당해 신용카드 정보가 유출된 사례가 지속적으로 보고됐다. 국내에서도 POS 시스템 공급 업

체의 서버를 해킹해 정상 파일을 악성 파일로 교체하는 방식을 이용한 공격 사례가 발견되기도 했다.

사실 보안 전문가들은 수년 전부터 POS 시스템 보안에 대한 우려를 제기해왔다. 최근 가시적인 피해가 발생함에 따라 관련 업계 및 기업들의

POS 시스템 보안 방안 마련이 시급해지고 있다.

5. 다수의 오픈소스 취약점 등장

지금까지는 MS 오피스, 어도비, 오라클 등 다수의 개인과 기관이 사용하고 있는 프로그램들에서 취약점이 발견되는 경우가 대부분이었다. 그러

나 2014년에는 특정 조직이나 시스템에서 사용하는 오픈소스 프로그램과 관련된 심각한 취약점이 발견돼 전 세계적으로 큰 충격을 주었다. ‘하

트블리드(Heartbleed)’와 ‘쉘쇼크(ShellShock)’ 등이 그것이다. ‘하트블리드’는 전 세계 웹사이트에서 대다수가 사용하는 오픈SSL(Open Secure

Socket Layer)에서 발견된 취약점으로, 웹 서비스 및 모바일 비즈니스에 잠재적인 위협이 되고 있다.

이른바 ‘쉘쇼크’로 불리는 배쉬(Bash) 취약점은 대부분의 서버 OS로 사용되는 유닉스 및 리눅스와 관련된 취약점으로, 이를 통해 공격자가 원하

는 코드를 손쉽게 실행할 수 있어 심각한 위협으로 대두되었다. 프로그램 자체의 취약점뿐만 아니라 리눅스 계열 시스템에서 동작하는 웜까지

등장하면서 보안 위협의 범위가 오픈소스 프로그램까지 크게 확장되었다.

2015년 보안 위협 키워드, ‘다변화•고도화•타깃화’

최근 영역과 경계를 허물기 시작한 보안 위협은 2015년에 더욱 다변화되고 고도화될 것으로 보인다. 또한 2014년 연말 국내외 주요 해킹 사례와

같은 타깃 공격이 더욱 거세질 것으로 전망된다. 다변화•고도화•타깃화의 키워드를 중심으로 예측 가능한 2015년 보안 위협은 ▲모바일 결제 및

인터넷 뱅킹 공격 심화 ▲공격 대상별 맞춤형 악성코드 유포와 동작 방식의 진화 ▲POS 시스템 보안 위협 본격화 ▲오픈소스 취약점 공격 및 타

깃 공격을 통한 정보 유출 가속화 ▲IoT 보안 위협 등이다.

1. 모바일 결제 및 인터넷 뱅킹 공격 심화

모바일 금융 서비스가 단순 ‘모바일 뱅킹’에서 ‘모바일 결제시장’으로 그 영역과 규모가 크게 확장되고 있다. LG경제연구원에 따르면 매년

30~40%씩 성장해 2017년 800조 원에 가까운 금액이 모바일 기기를 통해 결제될 것으로 전망된다. 또한 글로벌 시장조사기관 가트너는 2016년

모바일 거래액이 6169억 달러, 이용자 수는 4억 4793만 명, 거래 건수로는 209억 건에 달할 것으로 추정했다.

5

6

모바일 결제가 확대됨에 따라 이를 노리는 보안 위협 또한 증가하리라는 것은 명약관화다. 2012년 소액 결제 서비스 관련 모바일 악성코드가 발

견된 이후 모바일 뱅킹을 노리는 악성코드는 지속적으로 발견되고 있다. 향후 모바일 결제와 관련해 각종 피해를 유발하는 알려지지 않은 악성코

드가 대량 등장할 것으로 예상되는 만큼 관련 서비스 제공 업체와 사용자의 각별한 주의가 요구된다.

한편 2015년에도 다양한 웹 익스플로잇 툴킷(Web Exploit Toolkit)을 이용한 ‘뱅킹 악성코드’ 유포가 급증할 것으로 보인다. 웹 익스플로잇 툴킷

은 다수의 취약점을 악용해 사용자 PC에 악성코드를 감염시키는 공격 코드를 만드는데 쓰인다. 메모리 해킹 및 파밍 뿐만 아니라 각 은행의 거래

시스템에 최적화된 악성코드가 등장할 가능성이 있으며 은행권 이외에도 카드사, 증권사 등 금융권 전반에 걸쳐 유사한 피해 사례가 등장할 것으

로 예상된다.

2. 공격 대상별 맞춤형 악성코드 유포와 동작 방식의 진화

올해는 타깃형 악성코드의 증가와 함께 악성코드의 유포 및 동작 방식 또한 더욱 진화할 것으로 예측된다. 예를 들어 연말이나 연초 등 특정한 시

기에 이메일 제목뿐만 아니라 첨부 문서 자체의 내용 또한 송년회 초대 또는 새해인사 등의 내용으로 보이도록 교묘하게 제작하여 사용자의 의심

을 따돌리는 것 등이다.

또한 최근에는 시스템에서 오랫동안 은닉하는 악성코드가 주로 등장했다면 앞으로는 은닉한 상태로 머무는 것이 아니라 수시로 은밀히 변형을 업

데이트하여 보안 제품의 탐지를 효과적으로 피하는 등 동작 방식 또한 점차 진화하는 양상을 보일 전망이다.

이 밖에도 불특정 다수를 대상으로 유포되는 악성코드들이 양적으로도 뚜렷하게 증가하는 추세를 보이고 있다. 블랙마켓에서 판매되는 악성코드

자동 생성기나 익스플로잇 킷 등이 이러한 추세를 더욱 가속화할 것으로 보인다.

3. POS 시스템 보안 위협 본격화

최근 POS 시스템(Point-of-Sales System) 해킹이 지속적으로 발생하면서 업체들이 보안을 강화하고 있지만 이를 뛰어넘는 다양한 방식의 공격이

등장할 것으로 예상된다. POS 시스템 제작 업체를 노리는 해킹 시도 또한 증가할 것으로 보인다.

국내외에서 POS 시스템 해킹이 증가함에 따라 보안 기능이 강화된 신용카드 결제 방식으로 전환을 서두르고 있다. 그러나 시스템과 신용카드를

모두 교체하기까지는 수년의 시간과 막대한 비용이 소요될 것으로 예상돼 당분간 POS 시스템에 대한 보안 위협은 지속될 것으로 보인다.

4. 오픈소스 취약점 공격 및 타깃 공격을 통한 정보 유출 가속화

오픈소스 프로그램들의 새로운 취약점이 등장할 것으로 예상된다. 2014년에 연이어 확인된 주요 오픈소스 프로그램의 취약점들은 예상되는 피

해 범위가 심각해 하트블리드(Heartbleed), 쉘쇼크(ShellShock)로 표현되기도 했다. 오픈소스의 특성상 지속적인 개선이 가능해 상대적으로 안전

한 것으로 알려졌던 프로그램에서 새로운 취약점이 잇따라 발생함에 따라 기업과 관련 업계의 대응 방안이 요구된다.

한편 지능형 지속 위협 APT(Advanced Persistent Threat)와 같은 타깃 공격이 꾸준히 증가할 것으로 보인다. 공격 대상 또한 다양한 산업군 및

국가 기관으로 확대되고 기업기밀, 금융정보, 군사안보정보 등을 목표로 하는 타깃 공격이 심화될 전망이다. 유출된 정보를 범죄에 악용하는 사례

또한 더욱 증가할 것으로 예측된다. 아울러 최근 정치, 사회적으로 국가 간 이해관계가 첨예하게 대립됨에 따라 사이버전을 통한 정보 유출 시도

는 더욱 격화될 전망이다.

5. IoT 보안 위협의 증가

사물인터넷 IoT(Internet of Things) 기술의 개발 및 발전으로 IoT 시장이 지속적으로 성장하면서 이와 관련된 보안 위협이 등장할 것으로 예상된다.

지금까지 사물인터넷에 대한 주요 이슈는 관련 기술 개발과 IoT 플랫폼 표준화 작업이었으나 향후 사물인터넷 기술의 표준화와 함께 관련 시장이

급격히 확대될 것으로 보인다. 우리 주변의 모든 사물이 인터넷을 통해 정보를 주고받고 연결되어 있다는 것은 이 모든 사물이 사이버 범죄자들

의 공격 대상이 될 수 있다는 것을 의미한다. IoT 기기는 종류와 성능 또한 다양해 기존의 보안 기능을 적용하기 어렵다. 또한 대부분 무선 네트워

크를 통한 통신이 이루어지기 때문에 무선 공유기 등 무선 네트워크 보안 위협이 증가할 것으로 보인다.

6

7 8

9

Ng Managed Security Servicep R O d u C T i S S u E

9

안랩은 최근 빅데이터 기반 분석으로 APT(Advanced Persistent Threat, 지능형 지속 보안위협)와 같은 지능형 공격에 대한 선제

적 대응과 보안 위협 현황에 대한 가시성을 제공하는 ‘차세대 보안 관제 서비스(NG-MSS, Next Generation-Managed Security

Service)’를 개시했다. 이번 ‘차세대 관제 서비스’는 기존 원격관제 대비 새로운 탐지 기법 및 보안 위협 분석, 보안 위협 가시성 제공

기능이 추가되고 모니터링 범위는 확대되었다. 이 글에서는 안랩의 차세대 보안 관제 서비스가 어떠한 배경으로 출시되었으며, 기존

보안 관제 서비스와의 차별점에 대해 소개하고자 한다.

안랩 Next Generation-Managed Security Service

차세대 보안 관제 서비스의 기준을 제시하다

2010년 이후 기업, 기관, 보안회사를 막론하고 다들 고민하게 된 보안

이슈는 지능형 공격이라고 불리는 APT 공격과 개인정보 유출일 것이

다. 대부분의 APT 공격은 정보 유출을 목적으로 하고 있는 것이 현실

이다. 그에 따라서 많은 보안회사에서 APT 공격을 탐지 및 방어하는

솔루션을 선보이고, 여러 가지 방법론을 이야기하고 있다. 또한 이 가

운데 가장 많이 언급되고 있는 부분이 통합 모니터링일 것이다.

기존의 보안 관제는 네트워크 보안 장비(방화벽, IDS/IPS, 웹방화벽,

DDoS 장비, L7 방화벽 등) 위주의 모니터링을 통해서 공격자의 공격

시도를 모니터링하고 있다. 이러한 모니터링 방법으로 보안 관제를 하

게 된 데에는 보안 관제 솔루션의 용량, 보안 관제 요원의 스킬, 내부

적인 업무 협조 부족 등의 한계에서 비롯되었다. 하지만 여기에는 관

제 홀(hole)이 있을 수밖에 없다. 이 홀을 줄이고 모니터링 영역을 확

대하기 위한 원론적인 이야기가 많이 나오고 있는데, 실제적으로 어떻

게 현장에 적용될 수 있는지 살펴보도록 하겠다.

[그림 1] 지능형 공격의 진행 루트

지능형 공격이 어떻게 이루어 지는가?

일반적으로 많이 발생한 지능형 공격의 진행 루트를 살펴보면 다음과

같이 진행된다.

안랩 CERT(Computer Emergency Response Team)에서는 지능형

공격의 단계를 ‘시도 → 성공 → 확산 → 유출’의 4단계로 구분하고 있

다. 각 단계의 정의는 다음과 같다.

타깃 설정내부 침투

시도

내부 PC

감염

백도어&

툴 설치

내부 인프라

장악

정보 유출

시스템 파괴

내부 취약

시스템 검색

시도 성공 확산 유출

1010

단계 설명

시도공격자가 내부의 사용자를 대상으로 사회공학적 방법 등을 비롯한 여러 기법

을 이용하여 공격을 시도하는 단계

성공공격자가 내부 사용자나 시스템을 확보하여 1차적으로 내부 침투를 성공한

단계

확산

공격자가 성공 단계에서 확보된 사용자나 시스템을 이용하여 내부의 다른 시

스템(특히 관리자 시스템이나, DB 시스템 등 주요 시스템)을 찾고, 악성코드를

전파하는 단계

유출내부 주요 시스템을 확보하여 목표했던 주요 정보를 외부로 유출하거나 시스

템을 파괴하는 단계

영역 설명

Known attack

공격자는 해당 공격이 탐지될 것임을 예측하고 있고, 모니터링을

수행하는 곳에서도 정상적인 탐지 및 대응을 하고 있는 공격

(예 : SQL Injection)

blind attack

공격자는 취약점에 대해서 알고 공격을 하지만, 모니터링을 수행

하는 곳에서는 해당 취약점이 있는지 여부도 모르고 있으므로 정

상적인 탐지 및 대응을 할 수 없는 공격(예 : Zero-Day attack)

hidden attack

공격자는 실제 공격 코드가 아니므로 탐지될 것임을 예측하기 힘

들고, 모니터링을 수행하는 곳에서는 해당 이벤트가 실제 공격이

아니거나 너무 많이 발생해서 실질적으로는 탐지 및 대응을 하기

어려운 공격(예 : SSH Login과 같은 Audit Event)

unknown attack

공격자도 탐지될 것임을 예측하기 힘들고, 모니터링을 수행하는

곳에서도 해당 공격을 탐지 및 대응할 수 없는 공격

(예 : Advanced attack)공격 유형 2013년 2014년

웹 취약점 31% 42%

SQL-Injection 45% 38%

파일 업로드 8% 6%

파일 다운로드 6% 5%

악성코드 삽입 4% 3%

[표 1] 지능형 공격 단계 및 정의

[표 3] 보안 관제 모니터링 영역 구분 및 설명

[표 2] 2013년 ~ 2014년 발생한 공격 유형 출처: 안랩 CERT

현재 어떤 공격을 보고 있는가?

[표 2]는 안랩 CERT 보안 관제 모니터링 센터에서 2013년과 2014년

에 모니터링한 통계(TOP 5)이다.

아래 [그림 2]는 보안 블로그(http://hackmageddon.com)에서 발표

한 공격 현황 자료 중 하나이다.

이를 공격에 대한 증거나 인지 여부에 대한 차이로 보면 [표 3]과 같이

구분할 수 있다.

현재 대부분의 보안 관제에서는 알려진 공격(Known attack)에 대해

서는 여러 가지 탐지 방법 및 분석 방법이 개발되어 일정 수준 이상의

대응을 하고 있다. 또한 히든 공격(Hidden attack)과 관련된 부분도

이벤트가 많이 발생하지 않는 분야에 대해서는 일부 탐지 및 대응을

하고 있다. 하지만 블라인드 공격(Blind attack)이나 알려지지 않은 공

격(Unknown attack)에 대해서는 탐지 방법이나 분석 방법에 대한 고

민이 아직까지는 많이 부족하기 때문에 정상적인 모니터링이 이루어

지지 않고 있다.

무엇을 볼 것인가?

그렇다면 지금까지는 무엇을 보고 있었고, 앞으로는 무엇을 더 봐야

하는지 살펴보도록 하겠다.

[그림 2]의 공격 현황을 살펴보면 알려져 있는 공격에 대해서는 어떤

식으로든지 모니터링이 잘 되고 있지만, 실질적으로 알 수 없는 공격

(Unknown)이 존재하고 있다는 것을 알 수 있다. 실제 모니터링 영역

을 아래 [그림 3]과 같이 구분해 봤다.

현재 이루어지고 있는 전통적 보안 관제(원격 관제 기준)에서는 거의

네트워크 보안 장비 위주의 보안 관제를 수행하고 있다. 이는 여러 기

술적, 관리적 한계로 내부 주요 정보의 수집 등의 어려움이 있기 때문

이다. 또한 최근에는 악성코드 탐지(Malware Detection) 솔루션을 이

용한 모니터링 방법이 나오고 있다. 그러나 단순히 악성코드 탐지 및

방어 체계 하나가 추가되었다고 해서 모든 지능형 공격에 대한 방어

가 가능하다고 보는 것은 어렵다. 악성코드(Known이든 Unknown이

든 상관없이)는 지능형 공격을 하는 방법 중 가장 많이 사용하는 방법

[그림 2] 2014년 11월 공격 현황 출처: 2014. 11. http://hackmageddon.com

[그림 3] 보안 관제에서의 모니터링 영역

[그림 4] 전통적인 보안 관제 영역과 새로운 확장이 필요한 보안 관제 영역

1111

이긴 하지만, 모든 지능형 공격이 악성코드를 사용한다고 보기도 어렵

다.

결국 전통적으로 보안 관제에서 보던 영역 외에도 봐야 하는 영역에

대해서 확대가 필요한데, 그 동안 지능형 공격 이후 사고 분석 단계에

서 사용되던 영역인 트래픽/패킷(Traffic/Packet), 호스트 이벤트(Host

Event)와 같은 영역까지 확대가 필요하다.

그럼 왜 그러한 부분까지 더 봐야 하는가?

전통적 보안 관제 모니터링 기법인 ‘시그니처 기반 공격 탐지’나 ‘연관

분석 공격 탐지’는 그 대상이 네트워크 보안 장비, 특히 시그니처 기반

의 모니터링 위주로 이루어지고 있는데 이러한 모니터링은 다음과 같

은 문제점을 갖고 있다.

•시그니처가 없는 공격은 탐지할 수 없다.

•대량의 이벤트 발생 시 효율적인 분석이 어렵다.

•장비 설치 구간에 따른 탐지 의존도가 높다.

따라서 시그니처에 의존하지 않고 공격이나 의심 증상을 탐지할 수 있

는 다른 방법을 보안 관제에 도입해야 하며, 앞에서 이야기했던 영역

(Traffic/Packet, Host Event 등)에 대한 모니터링이 필요하다. 이러한

영역에 대한 모니터링을 위해서는 기존 보안 관제에서처럼 이벤트 하

나 하나를 분석하여 정탐인지 오탐인지 분석하거나 영향도 유무를 분

석하는 방법으로는 모니터링이 불가능하기 때문에 다른 종류의 분석

방법이 필요하다.

그러한 분석 방법에는 수학적 분석 방법이나 행위(Behavior) 분석 방

법 등이 적용될 수 있다. 분석 방법이 달라지게 되면서 시나리오(룰셋)

도 달라질 수밖에 없다. 즉, 알려지지 않은 공격(Unknown Attacck)

을 탐지할 수 있는 시나리오로 다시 작성되어야 한다.

이런 분석 방법과 데이터가 쌓이게 되면 향후에는 공격과 공격자에 대

한 프로파일링이 가능하게 되고, 결국에는 공격에 대한 예측도 가능하

게 되지 않을까 싶다.

그러면 차세대 관제 서비스에서는 보안 관제가 어떻게 바뀌어야 하는

지 보안 관제의 진행 단계별 변화 내용에 대해서 살펴 보겠다.

보안 관제는 크게 ‘준비 → 탐지 → 분석 → 대응 → 보고’ 등 5단계로

구분 되며, 각 단계별로 해야 할 일에 대해서는 다음과 같이 정리가 가

능하다.

[그림 5] 전통적인 보안 관제 모니터링 기법과 새로운 보안 관제 모니터링 기법

[그림 6] 보안 관제의 단계별 패러다임 변화의 필요성

단계 설명

준비보안 관제 수행을 위한 현황 파악, 이벤트 커스터마이징, 시나리오 제작, 보고

체계 등을 점검하는 단계

탐지준비 단계 이후 실제 24시간 x 365일 모니터링을 수행하며, 지속적인 이벤트

커스터마이징, 시나리오 등을 수정하는 단계

분석탐지된 이벤트에 대해서 다양한 방법을 이용해서 공격의 정/오탐, 유효성, 영

향도 등을 분석하여 대응 여부 및 대응 방법, 범위를 결정하는 단계

대응확인된 공격자를 차단하거나 대상 시스템을 점검하고 추가 이상 행위에 대해

점검하는 단계

보고공격자 차단 결과, 시스템 점검 결과에 대해서 보고하거나, 공격에 대한 전체

적인 맥락을 보고하는 단계

Layer 단계 설명

Layer 1데이터

수집

다양한 소스(source)에서의 데이터 수집

데이터에 대한 사전 정의된 형식(data dictionary)으로 재정의

Layer 2데이터

가공

1차 통계 데이터(Top N, 평균, 표준편자) 추출

수집 데이터에 대한 카테고리 별 분류

Layer 3데이터

조합

통계 데이터를 통한 추론적 통계 분석(변화, 추세, 이상)

카테고리화된 데이터 간 연관 분석 시나리오

[표 4] 보안 관제의 단계 및 주요 활동

각 단계별로 보안 관제가 어떻게 변해야 하는지 살펴보면 아래 [그림

6]과 같다.

어떻게 볼 것인가?

앞서 보안 관제 영역의 확대를 비롯해 새로운 분석 방법과 시나리오의

필요성에 대해 설명했다. 그렇다면 지금부터는 어떻게 볼 것인지에 대

해서 살펴보자.

먼저 수집하는 데이터에 대한 이해가 선행되어야 한다. 기존 보안 관

제 시나리오를 제작할 때도 수집하는 IDS/IPS 등의 보안 장비와 발생

로그, 공격, 취약점에 대한 이해가 선행되고 시나리오 제작이 이루어

졌다. 마찬가지로 확장된 수집 영역의 데이터가 어떻게 이루어지고 있

고 취약점, 공격과 어떤 연관 관계가 있는지에 대한 이해가 이루어지

지 않는다면 정확한 시나리오가 만들어지지 않을 것이다.

수집되는 데이터에 대해서 자체적으로 분류가 필요하며 데이터를 어

떻게 처리할 것인가에 대해서 내부적으로 사전 정의가 필요하다. [표

5]는 예시로 작성된 데이터 구조(Data Structure)이다.

1212

Layer 4분석 및

의사 결정

Layer 3의 시나리오 및 결과물을 통한 context 시나리오

모니터링 요원의 판단 결과에 대한 대응 보고서

Layer 5예측 및

판단

사용자의 판단을 돕기 위한 지표 도출

Layer 1~5의 데이터를 이용한 공격 확률적 분석(예측/추론)

[표 5] 안랩 차세대 보안 관제 서비스의 데이터 구조(Data Structure) 예시

이런 구조를 통해 수집되는 데이터를 처리해서 결과물을 내기 위해

서는 크게 두 가지 요소가 필요하며, 이러한 요소는 SIEM(Security

Information Event Management) 등을 도입했거나 도입하려는 보

안 관리자의 고민과도 일맥상통한 부분이 있다.

첫 번째는 해당 데이터를 이용한 시나리오 제작이다. 시나리오 제작에

는 SIEM의 기능을 잘 다루는 것도 중요하지만 시나리오를 제작하기

위한 인사이트(Insight) 보유 여부가 가장 중요하다.

두 번째는 데이터를 이용해서 보안 관리자 및 관련 부서에게 어떻게

표현할 것인가이다. 데이터를 표현함에 있어 사용자들에게 직관적이

고 빠른 판단을 할 수 있는 정보를 제공해야 하며, SIEM의 UI(User

Interface)와는 달리 쓰기 쉽게 표현되어야 한다는 것이 중요하다.

1. 시나리오 제작

앞에서 이야기 했지만 기존 보안 관제에서 주로 보던 영역은 시그니처

위주의 탐지이다. 시나리오 역시 이와 마찬가지로 시그니처를 탐지하

기 위한 시나리오로 구성되어 있는 경우가 많다.

[표 6]은 안랩에서 제작하는 시나리오의 종류를 구분해 놓은 것이다.

[표 7]에서 보듯이 기존 보안 관제 영역에서 주로 점검하는 경계 보안

외에도 다른 부분에 대해서 시나리오를 고려해야 하고, 보호해야 하는

정보(대상)를 명확히 한 후에 탐지 시나리오 제작에 들어가야 한다.

2. 사용자 UI

데이터를 표현함에 있어서 다음과 같은 부분에 대한 고려가 필요하다.

- 사용자 판단 근거 제시

- 현재 보안 위협 가시성 제공

- 우선 점검(Viewing)할 항목 선정

- 검색을 통한 과거 위협 확인 기능

- 위협(Threat), 취약점(Vulnerability), 네트워크(Network), 호스트

(Host) 가시성 확보

위와 같은 관점에서 데이터를 표현하기 위해서는 시나리오 제작 때

와 마찬가지로 데이터에 대한 이해가 먼저 필요하다. 단 시나리오 때

와는 다르게 데이터의 속성을 이해하고, 사용자에게 어떤 정보가 필

요할지 고민해야 한다.

[그림 7]은 안랩에서 고객에게 정보를 제공하기 위해 데이터를 분류

하고, 정리한 내용이다.

[표 6]에서 보듯이 기본적으로 단일 시그니처 맵핑이나 복합 시나리

오 정도가 기존의 시그니처 기반의 시나리오로 볼 수 있다. 나머지 시

나리오들은 앞에서 늘어난 정보 수집 구간들에 대한 시나리오 작성

기법들이다. 이런 시나리오를 만들기 위해서는 보안(취약점, 공격 기

법, 탐지 기법, 보안장비 이해 등)의 이해뿐만 아니라 해당 트래픽, 서

비스, OS, APP, 업종의 특성, 보호해야 하는 정보의 종류 등의 이해

가 있어야만 한다. 마치 도둑으로부터 집의 귀중품을 지키기 위해서

는 현관문만 지키는 것이 아니라 출입문은 어디 어디에 있고, 귀중품

이 있는 곳은 어디고, 집을 비울 때는 언제고, 이런 정보가 있으면 귀

중품을 더 잘 지킬 수 있는 것과 같은 이치이다.

시나리오를 만들기 위해서 봐야 하는 주요 모니터링 항목을 살펴 보

도록 하자.

구분 정의

단일 시그니처 맵핑

(Single signature)

1:1, N:1, N:N 등 단일 시그니처, anomaly 공격 및 해킹

과 관련 주요 특징 탐지

복합시나리오

(Complex signature)단일 시그니처 + 단일 시그니처 조합 시나리오

평판기반 시나리오

(Reputation scenario)Ip, vulnerability, malware 등 평판 정보 활용

수학기반 시나리오

(Statistical scenario)

통계 기법(확률 분포 모델, 추론, 패턴 분석, 엔트로피 분석,

데이터마이닝, 프로파일링 등)을 이용한 비정상적 행위 탐지

침해사례 분석(전문가판단)

(Experiential scenario)침해사례 분석정보를 활용한 상관분석 시나리오

[표 6] 안랩 차세대 보안 관제의 시나리오 구분

항목 분석 내용

경계 보안 보안 장비로 보호되고 있는 경계 보안 이슈 분석

계정 감사 특정 자원 접근 권한 위반, 인가되지 않은 권한 상승 분석

서버중요 서버에서 발생되는 이상 상황(이유 없는 재부팅, 사용자 계정 추가)

분석

DB 상관 분석을 통한 정보 유출 분석

파일 시스템 운영 파일 조작 분석

어플리케이션정상 트랜잭션과 사용자 활동 프로파일 작성, 비정상 활동에 대해 감시

및 분석

패킷 네트워크 패킷 수집을 통해 RAwDATA 분석

세션 모든 통신 정보를 수집해 행위 분석

[표 7] 안랩 차세대 보안 관제의 주요 모니터링 항목

[그림 7] 안랩 차세대 보안 관제 서비스 대시보드 구성

분석 이벤트

크기, 비율, 시간, 위치, 방향

노출된 포트 정보 취약점 증감 현황

다른 지역/iSp에서 접속한 계정

과거 대비 최근 사용된 계정

새로 생기거나 없어진 프로세스 트래픽 – 프로세스 관계

위협 – 취약점 관계

국가별 접속 현황

서비스별 트래픽 현황

일정크기 이상인 파일 up/dOwN 소스-파일명-목적지 관계

가장 많이 다운로드된 악성파일악성파일 다운로드 후

아웃바운드 주요 포트 접속 특정 확장자 업로드 호스트 비율

주요 레지스트리 키 값

시간흐름(요일별)에 따른

위협 유형 분류새로 생긴 위협

출발지 - 서비스 -위협 시나리오 –

파일 도착지간 관계

계정관련 이벤트

타임라인

접속 성공 전

위협 이벤트 발생

시그니처, blaCKliST ip TOp N

최근 증가한 위협

화이트리스트/블랙리스트

서비스 변화량

악성파일을 다운로드한

호스트 변화량

아웃바운드 트래픽에 대해

이벤트, 메모리점유율,

세션정보

변화량 상관관계/원인

취약점

서비스(포트)

계정

파일

프로세스

1313

사용자가 보고자 하는 화면(View)을 6가지(분석 이벤트, 취약점, 서비

스, 계정, 파일, 프로세스)로 구분하고 각 화면에서 수집 가능한 데이

터의 종류를 정량(크기, 비율, 시간, 위치, 방향), 변화량, 상관관계/원

인 등으로 구분했다. 이렇게 정리된 데이터에 대해서 표현 방법을 정

리하고, 각 표현 방법에 적합한 시각화 기술을 적용하게 된다.

[그림 8]은 안랩 보안 관제 서비스의 메인 화면과 요약 화면이다. 메인

대시보드 화면은 관리자에게 전체적인 보안 상황을 파악할 수 있게

도와주고, 요약 화면은 우선 조치 대상을 제시함으로써 보안 지식이

부족한 보안 관리자의 업무를 보조하게 한다. 특히 요약 화면은 보안 지

식이 부족한 관리자로 하여금 우선 조치 대상을 인지할 수 있게 한다.

[그림 9]는 데이터 속성에 따른 시각화 화면이다. 사용자가 보고자 하

는 데이터를 가장 적합하다고 판단되는 차트로 시각화하고 근거가 되

는 데이터를 표형태로 표현했다. 근거가 되는 표는 인사이트를 가지고

있는 사용자가 드릴 다운(Drill down)해서 보고자 하는 타깃(Target)

에 대해서 추적할 수 있는 기능을 가지고 있다.

보안 관제는 그 특성상 단일 장비나 하나의 방법에 의존하지 않고 각

장비가 가지고 있는 특성을 최대한 활용하고 잘 조합함으로써 최고의

탐지 능력을 가질 수 있게 해야 한다. 안랩의 차세대 관제 보안 서비스

는 기존 보안 관제가 보지 못하거나 보지 않았던 영역을 보안 관제 영

역으로 끌어 들여 서비스를 받는 고객에게 의사 결정을 할 수 있는 자

료를 제공함으로써 고객의 보안 환경 개선 및 지능형 공격에 대한 방

어 체계 구축에 도움을 주기 위해서 기획 및 설계 되었다.

앞으로 안랩의 보안 관제는 축적된 탐지 역량과 침해사고 분석 경험,

빅데이터 분석 능력을 더욱 발전시켜 보안 관제의 다양한 발전 방향에

대해서 고민할 것이다.

[그림 8] 안랩 차세대 보안 관제 서비스 메인(상) 및 요약 화면(하)

[그림 9] 안랩 차세대 보안 관제 서비스 데이터 시각화 화면

14

새해 달라지는 정보보호 관련 법령 무엇이 있나

2015년부터 금융회사 또는 전자금융업자의 정보보호책임자의 겸직이 금지된다. 이처럼 2015년 을미년(乙未年) 새해 달라지는 정보

보호 법령은 무엇이 있을까? 우선 지난 2014년 11월 29일부터 시행되어 2015년 본격적으로 적용될 ‘정통망법 개정안’의 중요사항

을 짚어본다. 법령은 아니지만 정통망법에서 요구하는 개인정보의 기술적•관리적 보호조치 기준을 충족하려면 반드시 참고해야 할

‘온라인 개인정보 취급 가이드라인(안)’을 소개한다. 또한 2015년 4월 시행되는 ‘전자금융거래법 개정안’ 가운데 정보보호에 관련된

사항에 대해 알아보자.

‘2015년 알아두어야 할 정보보호 법령’

1. 잊진 않았겠죠, 정통망법 개정안 (2014.11.29. 시행)

2014년 11월 29일부터 시행된 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법’(이하 ‘정통망법’) 개정안 내용은 월간 ‘안’ 2014년 8월호(Hot

Issue ‘2014년 하반기 주의해야 할 정보보호 법령들’)에서 다뤘지만 혹시 잊고 있지 않을까 싶어 중요한 부분만 정리하고 넘어가려 한다.

개인정보 파기하지 않으면 이젠 형사처벌 (제73조1항 신설)

법 개정 전 개인정보 미파기에 대한 처벌은 3천만 원 이하의 과태료 부과였다. 과태료는 행정 처벌이므로 기업 차원에서 적정 수준의 과태료(1

회 차 부과 시 1천만 원, 2회 차 부과 시 2천만 원, 3회 차 부과 시 3천만 원)만 부담하면 되었다. 법 개정 이후에는 ‘2년 이하 징역 2천만 원 이

하의 벌금’인 형사 처벌로 바뀌었다는 것은 특정 담당자에게 형벌의 전력이 남을 수도 있음을 뜻하는 것이다. 법은 이미 지난 11월 29일부터 시

행 중이다. 이젠, 회사가 알아서 삭제해 주겠지 하고 내 컴퓨터 안의 개인정보를 방치하고 있어서는 안 된다. 지금이라도 빨리 다음 조건에 해당

하는 개인정보는 모두 ‘복구 재생할 수 없도록, 지체 없이’ 삭제해야 한다.

[개인정보를 파기해야 할 경우-정통망법 제29조1항]

1) 개인정보 수집 이용 동의에 따른 목적이 달성되었거나 동의가 필요 없는 수집 이용 목적이 달성된 경우

2) 동의를 받은 개인정보의 보유 및 이용 기간이 끝난 경우

3) 동의를 받지 않고 수집한 경우 개인정보처리방침의 보유 및 이용 기간이 끝난 경우

4) 사업을 폐업하는 경우

privacy lawE x p E R T C O l u M N

15

[표 1] 법률에 근거한 개인정보 최소 보관 기간 예시

개인정보 파기와 관련하여 하나 더 추가하자면, 개인정보 취급 업무를 위탁한 경우 수탁자의 개인정보 파기를 확인해야 할 책임은 위탁자에게

있고 제3자에게 제공한 경우에도 처리권은 제공자에게 없지만 제3자에게 파기를 요청할 수 있는 장치(예: 계약서)를 갖추어야 한다. 일반적으로

적용 가능성이 높은 위탁 업무에 대한 수행 절차만 참고할 수 있도록 공유한다.

정보 누출 사고가 발생하면 24시간 이내에 신고 (제27조의3)

법 개정 전 조항은 ‘개인정보의 누출 등 사실을 안 때는 지체 없이 이용자에게 알리고 방송통신위원회에 신고해야 한다’는 것이었다. 개정 조항

은 감독기관에 신고하는 시기에 대해 ‘정당한 사유 없이 24시간을 경과해서는 아니 된다’라는 단서를 붙여 놓았다. 이용자에게 알리는 시기를

제한한 것이 아니라 감독기관에 신고하는 시기를 제한했음을 유의하자. 이때 신고해야 할 대상기관도 방송통신위원회 외에 한국인터넷진흥원

이 추가되었다.

신고 시기가 이렇듯 개정 조항까지 반영된 것은 지속적으로 발생한 개인정보 유출사고의 영향이 적지 않았으리라 본다. 2014년 1월 발생한 카

드 3사의 개인정보 유출사고 때도 이용자에게 통지한 시기는 사고 인지 후 30여 일이 지난 후인 것으로 알려졌다. 그럼에도 이용자 통지 시기

가 아닌 방송통신위원회와 한국인터넷진흥원에 대한 신고 시기로 제한한 것은 기관 간 좀더 빠른 공조를 통해 신속하게 대응함으로써 국민 피

해를 최소화하려는 의지로 이해해야 할 것이다.

개인정보보호 조치 증적 확보에 주력해야 하는 이유-법정손해배상 청구 가능 (제32조의2)

개정 정통망법에는 1. 정보통신 서비스 제공자 등이 고의 또는 과실로 이 장의 규정을 위반한 경우 2. 개인정보가 분실/도난/누출된 경우 모두

에 해당될 때, 이용자가 정보통신서비스 제공자 등에게 300만 원 이하의 범위에서 상당한 금액을 손해액으로 배상을 청구할 수 있다는 조항이

관련 법률 목적 수집항목(예시) 보유기간

통신비밀보호법

(통신사실확인자료)

법원의 영장을 받아

수사기관의 요청 시 제공

로그기록, Ip 등 3개월

전기통신 일시, 발신기지국의 위치 추적 자료 등 1년

전자상거래 등에서의

소비자보호에 관한

법률(거래 기록)

소비자의 불만 또는

분쟁 처리

소비자 식별정보

분쟁 처리 기록3년

계약 또는 청약 철회

등에 관한 기록 등

소비자 식별정보

계약/청약철회 기록5년

국세기본법

국세 부과

제척기간 계산국세 증빙자료 10년

국세 징수권 등

소멸시효 계산과세표준과 세액의 신고자료

5억 이상 국세(10년)

그 외(5년)

전자금융거래법

(전자금융거래기록)전자금융거래기록 확인

건당 거래 금액 1만 원 이하 전자금융거래에 관한 기록,

전자지급수단 이용과 관련된 거래승인에 관한 기록1년

전자금융거래 종류 및 금액, 상대방에 관한 정보,

지급인의 출금 동의에 관한 사항, 전자금융거래와

관련한 전자적 장치의 접속기록, 전자금융거래 신청

및 조건의 변경에 관한 사항, 건당 거래금액 1만 원

초과 전자 금융거래에 관한 기록

5년

[방송통신위원회 온라인 개인정보 취급 가이드라인(안)]

(취급위탁 시 위탁자의 수탁자에 대한 파기 확인) 사업자가 개인정보 취급을 수탁자에게 위탁한 경우, 수탁자가 실제 개인정보를 파기했

는지 여부를 확인하여야 함

○ (1단계) 사업자가 개인정보 취급을 위탁하고자 할 때에는 수탁자의 개인정보 보호조치 능력 등을 고려하여야 하고, 계약서에 개인정보

위탁 관련 사항을 포함하여 작성하여야 함

○ (2단계) 사업자가 개인정보의 취급을 위탁한 경우, 이용자는 ‘해당 기업’과 ‘수탁자’에게 선택적으로 파기를 요청할 수 있고 해당 기업과

수탁자는 내부 업무연락을 통해 파기하여야 함

※ 정보통신망법 제30조(’14.11.29.시행)와 제67조 제2항에 따라 해당 사업자와 수탁자는 이용자의 파기 요청 시 파기의무 있음

○ (3단계) 위탁 계약서에 위탁된 개인정보의 안전한 관리와 파기 및 확인 사항을 명시한 후 이행 여부를 주기적으로 확인해야 함

※ (계약서 반영내용) 개인정보 파기•보호조치 관련 사항 외에 ‘주기적 확인’과 관련한 사항 포함 필요

16

신설되었다. 과거에는 개인정보 누출 등 사고가 나더라도 이용자의 피해 규모를 입증해야만 실질적인 손해배상이 가능했다. 그러나 이제는 이

용자 당 최대 300만 원까지 법정 손해배상금액을 청구할 수 있게 된 것이다. 만약 이 조항대로 손해배상이 청구되고 최대 금액이 적용된다면

100만 건의 개인정보가 유출된 기업은 총 3조 원이라는 엄청난 손해배상 금액을 부담해야 한다.

이런 최악의 상황을 피할 수 있는 최선의 길은 ‘선량한 관리자의 주의와 의무’를 다했음을 입증할 수 있는 증적을 꾸준히 관리하고 잘 보존해

두는 일이다. 손해배상을 제기할 수 있는 전제가 이미 개인정보 관련 사고가 난 상태임을 뜻하므로 손해배상의 부담을 피하거나 줄이려면 1번

항목인 ‘정보통신서비스 제공자 등이 고의 또는 과실로 규정을 위반하지 않았다’는 사실을 입증하는 길밖에는 없기 때문이다. 이와 관련해 유

사 사례로는 지난 2010년 1월 14만 5159명이 낸 옥션 해킹 집단소송에서 서울중앙지법은 “법령이 요구하는 기술적 보안 수준과 해킹 당시

조치 내용, 가입자의 피해 정도를 종합적으로 고려할 때 옥션 측에 배상 의무가 없다”는 판례가 있다.

2. 이것도 알고 계신가요? 온라인 개인정보 취급 가이드라인(안)

온라인 개인정보 취급 가이드라인은 처벌이 따르는 법령은 아니다. 그러나 궁극적으로 정통망법에서 요구하는 개인정보의 기술적•관리적 보호

조치 기준을 충족하려면 반드시 참고해야 할 내용이 감독기관에서 제시하는 가이드라인이다. 방송통신위원회는 지난 2014년 11월 개인정보

최소 수집/보관을 위한 온라인 개인정보 취급 가이드라인(안)에 대한 공청회를 개최한 바 있다. 이것은 개정 정통망법의 이행을 위해 필요한

실무적 기준을 제시한 것이므로 필히 챙겨 볼 것을 권한다. 중요한 사항은 “본질적 서비스에 필요한 필수정보 이외의 정보는 해당 서비스 이행

시에 별도로 수집할 것”이라는 점이다.

이 사항에 대한 이해를 돕기 위해서는 설명보다는 예를 소개하는 것이 적절할 듯하다. 방송통신위원회에서 공개한 ‘온라인 개인정보 취급 가이

드라인(안)’의 문구를 그대로 인용하면 다음과 같다.

“(예시) 온라인 회원제 서비스의 경우 가입 시점에는 아이디, 비밀번호 등 최소한의 정보에 대한 동의를 요구하고, 이후 상품 구매 등 서비스 이

용단계에서 필요한 정보는 해당 시점에 동의를 요구할 수 있음 [온라인 개인정보 가이드라인]”

이는 만약 포털 사이트에서 온라인 쇼핑 서비스를 함께 운영하고 있다면 최초 회원 가입 시에는 단순히 회원으로 활동하기 위한 아이디와 패

스워드, 연락처 등 기본 정보만을 수집하고 실제 쇼핑 서비스 이용 시점에 물품 배송에 필요한 집 주소와 같은 정보를 수집하라는 것이다.

해당 서비스 본질적 기능 필수 동의 항목

인터넷 회원제 서비스

•회원에 대한 요금조회, 상담(전화, 인터넷 등), 서비스 신청, 포

인트 적립 등

•명의도용·부정이용 방지 등 회원관리

아이디, 비밀번호(성명, 법정 생년월일, 연락처 등)

유료 서비스 •구매한 서비스 및 상품 결제결제수단 별 필요한 개인정보

(계좌번호, 카드번호 등)

결제 및 배송 서비스 •구매한 서비스 및 상품 결제, 배송결제정보(계좌번호, 카드번호 등),

배송정보(배송 주소지, 수령인 연락처 등)

이동통신 서비스•휴대전화 개통-서비스 제공-이용요금 정산-고객민원 상담 등

•가입의사 확인·명의도용 방지 등 고객 관리

이름, 법정 생년월일, 휴대전화 번호, 단말기 정보, 요금 결제정보(계좌번호,

카드번호 등), 요금청구지 주소 등

SNS 서비스•통신 및 정보전달

•친구추천 등이름, 휴대전화 번호, 주소록(지인) 등

서비스 제공 과정에서의

법령 상 의무이행

•정당한 이용자인지 여부 확인

•연령에 따른 제한이 있는 경우 연령 확인

① 정보통신망법 제31조

- 만14세 미만 여부 확인을 위한 법정 생년월일

- 법정대리인 정보

② 전기통신사업법 제29조

- 요금감면 대상자 확인을 위한 증명서류

③ 청소년보호법 제23조의3

- 청소년(16세 미만) 여부 확인을 위한 법정 생년월일

④ 청소년보호법 제16조

- 유해매체로부터 청소년 보호를 위한 법정 생년월일 및 본인 여부 확인 정보

⑤ 게임산업진흥에 관한 법률 제12조의3

- 게임 중독 예방조치 의무 이행을 위한 법정 생년월일 및 본인 여부 확인 정보

- 법정대리인 정보

[표 2] 서비스 별 본질적 기능 및 필수 동의 항목 예시

14세 미만 아동의 나이 확인을 위한 개인정보 수집 방법

기업 업무 현장에서 의외로 골치 아픈 이슈 중 하나가 14세 미만 아동의 개인정보 수집 문제이다. 애초에 서비스 기획 목적에는 14세 미만 아동

이 가입하리란 생각을 전혀 하지 않은 것인데 아이들이 가입을 하는 바람에 본의 아니게 법규를 위반하는 상황에 처하는 경우이다. 정통망법과

개인정보보호법 모두 14세 미만 아동의 개인정보 수집 이용 시에 반드시 법정대리인의 동의를 받도록 하고 있고 위반 시에는 5년 이하의 징역

17

또는 5천만 원 이하의 벌금형에 처할 수 있도록 하고 있다. 그렇다면 14세 미만 아동임을 검증하려면 어떻게 해야 할 것인가? 생년월일을 입력

받으면 되겠지만 거짓으로 입력하는지에 대한 확인은 어떻게 할 것인가? 최종적으로는 본인확인 기능을 넣으면 되겠지만 애초에 의도하지도 않

은 아동의 가입 문제를 처리하기 위해 부담해야 하는 비용으로는 부담스러운 것이 사실이다. 이번 가이드에서는 다음과 같이 기준을 정리했다.

같은 DB에서 다른 테이블(Table)로 분리해 보관하면 ‘별도 보관’ 규정을 충족하는 것인가?

이 질문도 실무에서는 흔히 나오는 질문인데 이번 가이드에서 아래 기준을 제시해주었다.

이번에 신설된 조항의 의미는 위의 정보보호를 위한 업무 외의 다른 정보기술부문 업무를 겸직할 수 없도록 정한 것이다. 기존에는 정보기술

책임자인 CIO(Chief Information Officer)와 정보보호책임자인 CISO(Chief Information Security Officer)가 두 업무를 겸임하는 경우가 허용

되었으나 앞으로는 정보보호 업무를 맡게 되면 다른 정보기술 업무의 책임을 함께 맡을 수 없게 되었다. 다만 조직 규모에 따른 부담을 고려하

여 총 자산 2조 원 이상 상시 종업원수 300명 이상인 금융회사 또는 전자금융업자를 대상으로 한정하고 있다.

데이터 유출 또는 정보의 제공/누설 및 업무 목적 외 사용에 대한 벌칙 강화 (제49조1항)

기존 법률은 접근매체에 대한 위변조 및 부정 사용을 한 경우 등에 대해 징역 7년 이하 또는 5천만 원 이하의 벌금을 부과하게끔 한 것이 가장

강한 처벌 수준이었다. 그러나 이번 개정 법률에서는 10년 이하 징역, 1억 원 이하의 벌금 등 보다 강한 처벌이 적용되는 조항이 규정되었다.

1)권한 없이 전자금융시설에 접근하거나 권한을 넘어 저장된 데이터를 조작/파괴/은닉/유출하는 행위

2)전자금융시설의 데이터를 파괴하거나 운영을 방해할 목적으로 바이러스, 논리폭탄, 메일폭탄 등 프로그램을 투입하는 행위

3)전자금융시설의 안정적 운영을 방해할 목적으로 오류 또는 장애를 발생하게 하는 행위

4)전자금융거래정보를 타인에게 제공 또는 누설하거나 업무상 목적 외에 사용한 자

1)~3)까지는 사실상 파괴적인 의도를 지닌 공격자와 이를 기술적으로 방어해야 하는 보안 조직의 책임에 따른 사항으로 보인다. 문제는 4)번

조항인데 일반 직원들이라도 경우에 따라 얼마든지 적용될 수 있는 위규 사항이기 때문이다. 개인정보보호법이나 정통망법과 마찬가지로 미리

이용자의 동의를 받은 경우에는 문제가 되지 않지만 그렇지 않은 경우 제3자 제공이나 누설, 업무상 목적 외 사용 등에 신중을 기해야 한다. 이

경우 ‘업무상 목적’ 외로 사용하지 않았다는 걸 증명하려면 ‘업무상 목적’이 무엇인지 명확히 정의가 되어 있어야 하는데 이 작업조차 되어 있

지 않은 기업이 많다.

해당 사항 동일 DB내 테이블(Table) 분리 보관

이용자의 요구 또는 목적 달성으로 파기해야 하나 법정기간 보관 의무로 인해 별도 보관하는 경우 가능함

이용자가 서비스를 이용하지 않는 기간-유효기간(1년)이 경과하여 해당 개인정보를 파기 또는 별도 보관해야 하는 경우허용되지 않음

(DB도 분리해야 함)

[표 3] 동일 DB 내 테이블(Table) 분리 보관에 대한 기준

3. 전자금융거래법 개정안 (2015년 4월 16일 시행 예정)

온라인 금융거래의 기본이 되는 법령이 전자금융거래법이다. 전자금융거래법은 2014년 10월 15일에 개정되었는데 6개월이 경과한 2015년 4

월 16일부터 시행된다. 개정 조항 중에 정보보호에 관련된 사항만 알아보도록 하자.

정보보호책임자의 겸직 금지 (제21조의2)

금융회사 또는 전자금융업자의 정보보호책임자가 수행해야 할 업무는 다음과 같다.

-14세 미만 아동을 대상으로 하지 않는 서비스의 경우에는 이용자의 법정 생년월일 입력만으로 확인 조치해도 무방하다.

-14세 미만 아동을 서비스 대상에 포함하여 운영하는 서비스의 경우에는 신뢰할 수 있는 방법(예:아이핀, 휴대전화, 공인인증서 등)을 통해

본인을 확인하고 법정대리인의 동의를 받아야 한다.

1. 제21조제2항에 따른 전자금융거래의 안정성 확보 및 이용자 보호를 위한 전략 및 계획의 수립

2. 정보기술부문의 보호

3. 정보기술부문의 보안에 필요한 인력관리 및 예산 편성

4. 전자금융거래의 사고 예방 및 조치

5. 그밖에 전자금융거래의 안정성 확보를 위하여 대통령령으로 정하는 사항

18

개인뿐 아니라 조직 차원에서도 전자금융거래법 안전성확보 의무(제21조)를 위반하여 전자금융 거래정보를 타인에게 제공 또는 누설하거나

업무상 목적 외에 사용한 경우에는 금융위원회가 50억 원의 과징금을 부과할 수 있도록 행정 처벌이 강화되었다. 직원이든 회사든 업무상 목

적 외에 정보를 제공하거나 사용하는 일은 철저히 막아야만 한다.

정보보호 관련 위탁 업무의 재위탁 금지 (제40조6항)

전자금융거래법에 신설된 제40조6항은 정보기술 부문의 정보보호에 관한 업무를 위탁 받은 전자금융보조업자가 해당 업무를 제3자에게 재위

탁하는 것을 금지하고 있다. 실제 보안 사고에서 수탁업체 관리 미흡으로 인한 사고가 잦기 때문에 재위탁을 금지하는 것은 보안 관점에선 분

명 의미있는 조치일 것이다. 그러나 규정대로만 적용될 경우 많은 중소 IT 기업들이 받을 타격을 감안하여 ‘전자금융거래정보의 보호 및 안전

한 처리를 저해하지 아니하는 범위에서 금융위원회가 인정하는 경우’에 한하여 예외를 허용한다는 단서 조항을 달아 놓았다. 여기서 금융위원

회가 인정하는 경우란 다음과 같다.

[전자금융감독규정 개정안 규정변경 예고(2014.11.13.)/ 제60조4항]

“금융위원회가 인정하는 경우”란 전자금융거래정보의 처리 및 보호와 관련된 전산장비 소프트웨어에 대한 개발·운영 및 유지관리 업무를 재

위탁하는 경우로서 다음 각 호의 사항을 준수하는 경우를 말한다.

1. 재수탁업자가 재위탁된 업무를 처리함에 있어 금융거래 정보의 변경이 필요한 경우에는 위탁회사 또는 원수탁업자의 개별적 지시에 따라

야 하며, 위탁회사 또는 원수탁업자는 변경된 정보가 지시 내용에 부합하는지 여부를 확인하여야 함

2. 위탁업무와 관련된 이용자의 금융거래정보는 위탁회사의 데이터센터 내에 두어야 함. 다만, 재수탁업자가 이용자의 고유식별정보를 어떠

한 경우에도 알지 못하도록 위탁회사 또는 원수탁업자가 금융거래정보를 처리하여 제공한 경우에는 위탁회사의 관리ㆍ통제 하에 재수탁회

사 등 제3의 장소로 이전 가능함

필자가 얼마 전 참석한 보안 세미나에서 법조계 강연자가 우스개 소리로 이런 얘기를 한 기억이 난다. 우리나라 정통망법은 1년에 1~2회씩 꼬

박꼬박 개정되는 세계에서 가장 부지런한 법이라고. 물론 그 부지런함도 개인정보 유출사고가 빈번하게 발생하고 개인정보보호법이 제정된

2011년부터 해당되는 얘기이지만 그만큼 정보보호 법령의 변화가 빠르고 잦다는 의미일 것이다. 법 기준을 지키는 것만큼이나 중요한 것이

법 정신을 이해하는 일이라고 본다. 내가 지켜야 할 것이 무엇인지, 그에 대한 위험은 무엇인지, 그 위험을 막기 위해 무엇을 해야 하는지 늘 고

민하고 대비한다면 문자화된 법이 어찌 변하든 흔들림 없는 기업 보안이 유지될 것이라 믿는다.

1919

OLE 자동화 배열 원격코드 실행 취약점 CVE-2014-6332

a N T i - E x p l O i T

‘갓모드(GodMode)’ 공격의 시작,

제로데이 익스플로잇

CVE-2014-6332

최근 인터넷 익스플로러(Internet Explorer) 환경에서 발생하는 ‘OLE 자동화 배열 원격코드 실행 취약점(CVE-2014-6332)’을 이용

한 공격 사례가 급증하고 있다. 지난 11월에는 다수의 국내 주요 사이트가 해당 취약점을 이용한 ‘갓모드(GodMode)’ 공격으로 침해

당해 악성코드를 유포하는데 악용된 바 있다. 해당 취약점은 윈도(Windows) 95 이상의 OS와 IE 3 이상의 웹 브라우저에 영향을 주

기 때문에 피해가 발생할 수 있는 범위도 넓어 지속적인 주의가 요구된다. 이 글에서는 CVE-2014-6332 취약점의 상세 분석을 통해

익스플로잇 동작 원리와 안랩 MDS(AhnLab MDS)의 익스플로잇 진단 방법을 알아본다.

CVE-2014-6332 취약점은 윈도 OLE(Object Linking and Embe-

dding) 자동화 배열 원격코드 실행 취약점으로, 인터넷 익스플로러

(Internet Explorer, 이하 IE)가 OLE 객체를 처리하는 과정에서 원격

으로 코드를 실행하는 취약점이다. 이 취약점은 IE의 VBScript 엔진

에서 배열의 크기를 재설정하는 과정에서 충분한 에러 처리를 수행하

지 않아 발생한다. 배열의 크기를 재설정할 때 배열의 크기를 저장하

고 있는 변수를 새로운 값으로 갱신하는데, 배열을 할당하는 과정에서

에러가 발생한 경우 이전 값으로 되돌리지 않는다. 따라서 초기 배열

의 영역 이외의 메모리를 읽고, 쓰고, 접근하는 것이 가능하게 된다.

취약점 발생 모듈, 영향 받는 프로그램 등 CVE-2014-6332 취약점의

주요 사항은 다음과 같다.

취약점 발생 원인

1. VBScript에서의 배열

VBScript에서의 배열은 다음과 같은 ‘SAFEARRAY’라는 구조체로 표

현된다.

위의 구조체에서 중요한 변수는 pvData와 rgsabound[0].cElements

이다. rgsabound[0].cElements는 배열을 구성하는 엘리먼트

(Element)의 개수를 의미한다. pvData는 실제로 엘리먼트의 배열

CVE 정보(CVE Reference)

•취약점명: CVE-2014-6332

•관련 자료: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014

-6332

•취약점 발생 모듈

- 모듈명 : OLEAUT32.DLL

- 버전 : 5.1.2600.5512

- 개요: Microsoft Windows OLE automation 모듈

•해당 취약점에 영향을 받는 OS 버전

- Microsoft Windows XP

- Microsoft Windows 7

- Microsoft Windows 8

- Microsoft Windows 8.1

- Microsoft Windows RT

- Microsoft Windows RT 8.1

- Microsoft Windows Vista

- Microsoft Windows Server 2003

- Microsoft Windows Server 2008

- Microsoft Windows Server 2008 R2

- Microsoft Windows Server 2012

- Microsoft Windows Server 2012 R2

•취약점이 발생하는 파라미터: SAFEARRAYBOUND.cElements

typedef struct tagSAFEARRAY

{

USHORT cDims;

USHORT fFeatures;

ULONG cbElements;

ULONG cLocks;

PVOID pvData;

SAFEARRAYBOUND rgsabound[ 1 ];

} SAFEARRAY;

typedef struct tagSAFEARRAYBOUND

{

ULONG cElements;

LONG lLbound;

} SAFEARRAYBOUND;

[그림 1] SAFEARRAY 구조체

20

이 위치해 있는 메모리 주소로, 기본적으로 각각의 엘리먼트는 다

음과 같이 16바이트 구조로 이루어져 있다. SAFEARRAY 구조체의

cbElements 값이 엘리먼트 한 개의 사이즈를 의미하기 때문에 이 값

은 16으로 저장된다. 단, 이 값 또한 변경 가능하다.

고, varType은 문자열을 의미하는 0x08로 되어 있다. dataHigh

가 저장되어 있는 0x001EC874, 0x00210F7C, 0x001FaF7C,

0x035CFF44 주소를 확인해보면 문자열이 유니코드로 저장되어

있음을 알 수 있다.

예를 들어, [그림 3]과 같이 배열이 선언되어 있다고 가정해보자.

[그림 3]의 배열 코드에는 배열의 크기가 15로 지정되어 있는데,

VBScript에서는 0부터 15까지 총 16개의 엘리먼트로 생성된다. 또한

각 엘리먼트는 타입에 상관없이 저장 가능하다. [그림 3]에서 선언된

배열 arr에 대한 SAFEARRAY 구조체는 [그림 4]와 같이 생성된다.

arr(1), arr(4), arr(7)에는 정수형 데이터가 저장되어 있고, varType

은 정수를 의미하는 0x02로 되어 있다. 정수형 변수는 2바이트로 저

장되기 때문에 해당되는 값은 dataHigh의 상위 2바이트이며, 각각의

값은 0x01, 0x0A, 0x07인 것을 확인할 수 있다.

arr(2), arr(5), arr(8)에는 부동소수점 데이터가 저장되어 있고,

varType은 double형 부동소수점을 의미하는 0x05로 되어 있

다. double형 부동소수점은 8바이트로 저장되기 때문에 이에 해

당되는 값은 dataHigh와 dataLow를 모두 확인해야 하며 각

각의 값은 0x4000000000000000, 0x3FF1F9ADD3746F66,

0x4020666666666666인 것을 알 수 있다. 이러한 부동소수점 값은

[그림 7]과 같은 방법을 통해서도 확인할 수 있다.

[그림 4]는 16개의 엘리먼트로 구성된 1차원 배열이고 실제 데이터는

0x035CDC88에 위치하며, [그림 5]와 같이 저장되어 있다.

2. OLEAUT32!SafeArrayRedim()에서의 인티저 오버플로우

(Integer Overflow)

VBScript에서는 “dim arr(x)”과 같은 형식으로 (x+1)개의 엘리먼트를

가진 배열을 생성할 수 있으며, 앞서 살펴본 바와 같이 메모리 상에

저장된다. 그러나 이 배열은 “ReDim arr(y)” 또는 “ReDim Preserve

arr(y)”와 같은 방법을 통해 크기를 (y+1)로 변경할 수 있다. 이때 배열

의 크기를 변경하는 함수가 OLEAUT32!SafeArrayRedim() 함수이다.[그림 5]의 arr(0), arr(3), arr(6), arr(9)에는 문자열이 저장되어 있

Var

{

WORD varType

WORD padding1

DWORD padding2

DWORD dataHigh

DWORD dataLow

}

dim arr(15)

arr(0)="zero"

arr(1)=1

arr(2)=2.0

arr(3)="three"

arr(4)=10

arr(5)=1.123456789012345678901234567890

arr(6)="six"

arr(7)=7

arr(8)=8.2

arr(9)="nine"

[그림 2] 엘리먼트(Element) 구조체

[그림 3] 배열 테스트 코드

[그림 4] 배열 테스트 코드에 대한 SAFEARRAY 구조체 메모리 내용

[그림 6] 배열 테스트 코드에 지정한 문자열 메모리 내용

[그림 7] 부동소수점 메모리 확인 코드

[그림 5] 배열 테스트 코드에 대한 엘리먼트 메모리 내용

21

[그림 8] SafeArrayRedim() 함수 프로토타입

[그림 9] SafeArrayRedim() 함수 인자 확인

[그림 12] Type Confusion을 위한 두 배열의 배치

[그림 10] SafeArrayRedim() 함수 내 인티저 오버플로우(Integer Overflow) 취약점

[그림 11] 취약 모듈 OLEAUT32.dll

SafeArrayRedim() 함수는 배열 정보가 저장되어 있는 SAFEARRAY

구조체 주소와 새롭게 변경할 배열의 크기 정보를 가지고 있는

SAFEARRYBOUND 구조체의 주소를 인자로 받는다. [그림 5]의 예

시에 나타난 배열 arr(15)를 arr(20)으로 변경하는 경우(“ReDim

Preserve arr(20)”), 다음과 같이 두 번째 인자가 배열의 크기인 21로

전달되는 것을 알 수 있다.

1. 2개 배열의 메모리 상의 배치 확인

앞서 알아본 바와 같이 VBScript의 배열 구조와 OLEAUT32.dll의

취약점을 이용하여 배열의 엘리먼트 타입을 임의로 수정할 수 있

다. 이를 위해 2개의 배열을 선언하고, 그 중 하나는 배열 크기를

0x080000000 보다 크게 변경한다. 예를 들어 a0 값이 2라고 가정할

경우, 최종적으로 공격자가 원하는 두 배열의 배치는 [그림 12]와 같다.

익스플로잇 동작 원리 상세 분석

이후 [그림 10]과 같이 SAFEARRAY 구조체에서 배열의 크기를 새로

운 크기로 변경하고, 기존의 배열 크기와 새로운 배열 크기를 비교하

여 메모리를 재할당한다.

위와 같은 배치를 얻기 위해 [그림 13]과 같은 코드를 반복적으로 수

행한다.

바로 이 과정에 취약점이 존재한다. 메모리 할당이 실패할 경우

SAFEARRAY 구조체에 이미 갱신해 둔 배열의 크기를 원래대로 복원

해야 하는데, 이 과정이 누락되어 있다. 따라서 배열은 할당하지 않은

영역까지 접근하게 된다.

배열 크기는 엘리먼트 개수에 엘리먼트의 크기인 16바이트를 곱하여

구한다. [그림 10]의 경우 0x770DAE00에서 새로운 배열의 크기와

기존 배열의 크기를 비교하는데, JGE opcode로 처리하게 되어 있다.

JGE는 signed형 점프 명령이기 때문에 새로운 배열의 크기가 기본의

배열 크기보다 0x80000000 이상 큰 경우에는 오히려 음수로 인식

하게 된다. 즉, 새로운 배열의 크기가 더 작은 것으로 인지하고 점프

하지 않게 된다. 배열의 크기 차이가 0x80000000 보다 큰 경우는 두

배열의 엘리먼트 개수 차이가 0x08000000 보다 큰 경우이다. 이 경

우에는 메모리를 새로 할당하게 되는데, 이 과정에서 메모리 할당에

실패하게 된다.

분석 환경

•OS 버전: Windows XP sp3

•IE 버전: 8.0.6001.18702

•모듈: OLEAUT32.dll (version 5.1.2600.5512)

•샘플 파일 md5: 5de44e0974b337417720521e72e8fb99

function Over()

On Error Resume Next

……

a0=a0+a3

a1=a0+2

a2=a0+&h8000000

redim Preserve aa(a0)

redim ab(a0)

redim Preserve aa(a2)

type1=1

ab(0)=1.123456789012345678901234567890

‘ 부동소수값

‘ 0x3FF1F9ADD3746F66

22

[그림 13] Type Confusion을 위한 코드

[그림 15] safemode 플래그 검색 코드

‘ 메모리 상

‘ 66 6F 46 37 DD 9A 1F FF 3F

……

If(IsObject(aa(a1-1)) = False) Then

……

If(IsObject(aa(a1)) = False ) Then

type1=VarType(aa(a1))

end if

……

end if

‘ 해당 값은 실제로 0x6F66이지만 해당 값을 VarType으로 읽으면 0x2F66

이 됨.

If(type1=&h2f66) Then

Over=True

End If

……

redim Preserve aa(a0)

end function

function setnotsafemode()

On Error Resume Next

‘ 더미 sub 함수의 주소를 얻어옴

i=mydata()

‘ 더미 sub 함수의 주소에서 8바이트 떨어진 곳은 항상 CScriptEntryPoint

의 주소

i=readmemo(i+8)

‘ CScriptEntryPoint 에서 16바이트 떨어진 곳은 항상 COleScript 주소

i=readmemo(i+16)

……

‘ 윈도 버전에 따라서 COleScript 내 safemode 플래그 위치가 달라서 값

이 14인 곳을 검색하여 찾아냄

for k=0 to &h60 step 4

j=readmemo(i+&h120+k)

if(j=14) then

……

redim Preserve aa(a2)

‘safemode 플래그의 값을 0으로 수정

aa(a1+2)(i+&h11c+k)=ab(4)

redim Preserve aa(a0)

……

Exit for

end if

next

‘ 원하는 행위 수행

runmumaa()

end function

위의 코드에서는 aa 배열과 ab 배열을 동일한 ‘a0’ 크기로 선언한 후,

aa 배열의 크기를 0x08000000+a0으로 변경한다. 이로써 비록 aa

배열의 크기 변경은 실패하지만 배열의 크기 값이 커진 상태로 남아

있게 되어 임의의 메모리에 접근이 가능하게 된다. 이를 이용해 [그림

12]와 같이 aa 배열과 ab 배열이 8바이트 간격으로 떨어져 있을 경

우 ab(0)의 값이 aa(a1)의 타입(Type)이 되는 것이다.

실제 해당 악성코드는 원하는 배치가 나올 때까지 위 함수를 총 400

번 수행하도록 되어 있다. 원하는 배치가 나오면 이후 메모리에 원하

는 값을 쓰며, 그 값의 타입 또한 원하는 대로 변경할 수 있게 된다.

이처럼 2개의 배열을 선언하고 두 배열의 간격이 8바이트의 차이

가 나는 경우, 한쪽 배열의 타입이 다른 쪽 배열의 값이 됨을 이용

하여 타입을 마음대로 조정하는 방법을 이 악성코드에서는 ‘Type

Confusion’이라고 지칭하고 있다.

2. 갓모드(GodMode) 진입

일반적으로 웹 브라우저가 VBScript를 사용할 경우 보안 상의 이유

로 행위를 제한한다. 이러한 제한은 내부에 갖고 있는 safemode 플

래그를 통해 구현되어 있다. 역으로 safemode 플래그의 값이 수정될

경우 웹 브라우저의 VBScript가 어떠한 행위도 할 수 있음을 짐작할

수 있다. CVE-2014-6332 취약점은 이러한 방법을 이용해 VBScript

로 어떠한 행위도 수행할 수 있게 한다. 이를 갓모드(GodMode)라고

지칭한다.

safemode 플래그는 [그림 14]와 같이 COleScript 내의 0x168만큼

떨어진 곳에 존재한다.

IE 브라우저를 통해서 VBScript를 띄운 경우, 이 플래그 값은 항상

0x0E이다. [그림 14]의 코드를 보면 0x0B와 AND 연산하여 ‘참’이 될

경우 ‘1’을 리턴하게 된다. 1이 리턴되면 safeMode로 간주하고 이로

인해 행위가 제한된다. 반면, 0x0B와 AND 연산하여 ‘거짓’이 되면 ‘0’

을 리턴한다. 0이 리턴되면 Not safeMode로 간주하며, 이로 인해 행

위에 제한을 받지 않게 된다.

또한 [그림 14]의 코드를 보면 0x168 만큼 떨어진 곳에 플래그가 위

치한다(단, 윈도 버전에 따라 다소의 차이가 있다). 따라서 공격 코드

에서는 IE 브라우저에서 기본값으로 사용하는 0x0E를 통해 플래그의

위치를 찾는다. 해당 플래그를 찾는 코드는 [그림 15]와 같다.

[그림 14] safemode 플래그 확인 코드

23

다음 [그림 16]은 safemode 플래그의 값을 ‘0’으로 수정하는 코드이다. 과 같이 지정된다.

[그림 16]의 코드에서는 ‘myarray’라는 변수를 선언하고 aa(a+2)의

위치에 myarray의 주소를 저장하고 있다. 그리고 Type Confusion을

통해 aa(a+2)의 타입을 배열로 변경하였다. myarray의 값은 chrw

함수를 이용해 알아보기 어렵게 지정하고 있지만, 해당 값을 확인해

보면 SAFEARRAY 구조체의 형태를 갖추고 있다. 해당 값은 [그림 17]

위와 같이 새롭게 지정된 배열은 각 엘리먼트의 사이즈가 1바이트

(cbElements)이고, 엘리먼트의 개수는 0x7FFF0000(rgabound[0].

cElements)이 된다. 이렇게 배열을 잡는 이유는 1바이트 단위로 모

든 메모리에 접근하기 위함이다. 결국 2차원 배열에 접근하는 방식과

같이 “aa(a1+2)(i+&h11c+k)=ab(4)”처럼 하여 해당 메모리를 ‘0’으

로 채운다. ab(4)의 값은 지정한 바 없기 때문에 ‘0’으로 채워져 있고,

ab(4) 값의 사이즈가 16이기 때문에 safemode 플래그 주소 보다 4

바이트 작은 곳으로 지정하여도 safemode 플래그 값은 0으로 변경

된다. 이로써 공격자는 CVE-2014-6332 취약점을 이용해 갓모드에

진입하여 악의적인 행위를 수행할 수 있게 된다.

DICA 엔진을 통한 CVE-2014-6332 취약점 진단 방법

CVE-2014-6332 취약점을 이용한 악성코드는 ‘악의적인 행위’만 변

경하여 다양한 형태의 변종을 생성할 수 있다. 따라서 다수의 변종까

지 효과적으로 대응하기 위해서는 공격 시도 시점 이전, 즉 익스플로

잇이 발생하는 시점에 이를 탐지할 수 있는 방안이 요구된다. 안랩

MDS의 DICA 엔진에서는 CVE-2014-6332 취약점이 발생하는 원인

이 되는 부분을 어셈블리 단계에서 진단하기 때문에 공격 시도 부분

의 변경 여부와 상관없이 관련된 모든 변형 악성코드를 진단 및 방어

할 수 있다.

[그림 16] safemode 플래그 변경 코드

[그림 17] 메모리 전체 접근을 위한 배열 선언

myarray=

chrw(01)&chrw(2176)&chrw(01)&chrw(00)&chrw(00)&chrw(00)&chr

w(00)&chrw(00)

myarray=myarray&chrw(00)&chrw(32767)&chrw(00)&chrw(0)

‘ 메모리 상

‘ 01 00 80 08 01 00 00 00 00 00 00 00 00 00 00 00

‘ 00 00 FF 7F 00 00 00 00

…

…

function mydata()

……

aa(a1+2)=myarray

ab(2)=1.74088534731324E-310

‘ 부동소수값

‘ 0x0000200C0000200C

‘ 메모리 상

‘ 0C 20 00 00 0C 20 00 00

‘ 변수 타입은 Array(0x2000) + Variant(0xC)를 의미함

……

end function

function setnotsafemode()

……

j=readmemo(i+&h120+k)

if(j=14)

……

‘ 모든 메모리에 접근 가능한 배열을 통해 해당 값을 0으로 변경

aa(a1+2)(i+&h11c+k)=ab(4)

……

end if

……

end function

typedef struct tagSAFEARRAY

{

USHORT cDims; → 0x0001

USHORT fFeatures; → 0x0880

ULONG cbElements; → 0x00000001

ULONG cLocks; → 0x00000000

PVOID pvData; → 0x00000000

SAFEARRAYBOUND rgsabound[ 1 ];

} SAFEARRAY;

typedef struct tagSAFEARRAYBOUND

{

ULONG cElements; → 0x7FFF0000

LONG lLbound; → 0x00000000

} SAFEARRAYBOUND;

2424

i T & l i f E

간단하게 알아보는 보이스피싱 예방법

지난봄까지 방송된 KBS 개그콘서트의 ‘황해’는 보이스피싱을 다루면서 시청자들에게 많은 인기를 얻었다. 보이스피싱에서 자주 사용되는 패턴

을 따라하면서 사용자들에게 웃음과 경각심을 일깨워주는 유용한 코너였다.

‘황해’에서 다뤘던 보이스피싱은 전형적인 사회공학 기법이다. 피해자가 위압감을 느낄 수 있는 특정인이나 피해자의 지인을 사칭한다. 상대방

을 당황시키거나 속이고 의심의 여지없이 믿게 만든 후 원하는 정보와 금전을 빼낸다. 전설적인 해커로 불리는 케빈 미트닉은 이러한 사회공

학 기법에 탁월한 실력을 발휘한 것으로 유명하다. 특히 케빈 미트닉은 사회공학 기법을 통해 상대방에게 믿을 만한 단서 몇 가지만 주면 대부

분 쉽게 속일 수 있었다고 자서전을 통해 밝힌 바 있다.

따라서 보이스피싱 피해를 예방하려면 부주의로 유출될 수 있는 개인정보를 보호해야 한다. 이미 여러 번의 개인정보 유출 사고로 상당수의

개인정보가 보이스피싱에 악용되고 있지만 적어도 자신의 부주의로 인한 유출은 사전에 차단할 필요가 있다. 다음의 4가지를 염두에 두고 보

이스피싱 정보에 대해 알아 둔다면 피해 발생 소지를 줄일 수 있다.

1. 수사기관 사칭 전화에는 공식 문서 발송 요구하기

과속이나 주차 위반을 하면 주소지로 과태료(또는 벌금) 고지서가 청구된다. 대포통장으로 인한 명의도용에 문제가 발생한 경우도 마찬가지다.

먼저 주소지로 소환장이나 출석요구서와 같은 서류를 받아야 한다. 전화가 오더라도 소환 통보가 먼저다. 경찰서에 언제 방문하면 어떤 내용으

로 조사하겠다고 밝히는 것이 일반적인 절차이다.

과태료 고지서도 잘 읽어보면 ‘어떤 근거에 의해 벌금이 고지되었다’는 내용이 포함돼 있다. 벌금을 납부하면 영수증을 제외한 고지서 원본은

이제 보이스피싱은 다른 보안 이슈보다 식상할 수 있다. 그럼에도 불

구하고 여전히 보이스피싱 사기는 계속되고 있고 많은 사람들이 피해

를 입고 있다. 피해자는 주로 PC 사용에 익숙하지 않은 50대 이상의

중장년층이 대상이 되고 있다.

보이스피싱의 대표적인 유형은 경찰청 소속 경찰관이나 검찰청 소속

수사관 사칭이다. 사기 내용은 “귀하의 계좌가 대포통장으로 악용되

고 있으니 본인 확인이 필요하다”며 엄포를 놓는다. 그러면서 상대방

을 안심시키는 척하면서 가짜 홈페이지로 접속하게 하고 본인 명의의

통장이 맞는지 개인정보와 거래 은행의 통장 계좌 정보(보안카드 포

함)를 입력하도록 유도한다. 사용자가 정보를 입력하면 해당 정보를

이용해 계좌에서 현금을 인출해간다.

[그림] 보이스피싱을 다뤘던 KBS 개그콘서트의 ‘황해’

출처 : KBS 개그콘서트의 황해 화면 캡처

25

발부기관에서 보관한다. 전화로 업무를 처리하면 통화 내역을 녹취하지 않는 한 해당 업무를 처리했다는 근거 자료를 남길 수 없다. 모든 업무

를 문서화시켜 근거 자료로 남겨야 하는 공공기관의 업무 처리와도 맞지 않는다.

따라서 이러한 전화를 받는다면 공문, 내용 증명, 소환장과 같은 공식적인 문서를 요구해야 한다. 실제로 공공기관에서 연락했다면 문서를 발

송해줄 것이다. 반면 보이스피싱 사기범이라면 유선 상으로 처리하자고 유도할 것이다. 이럴 땐 과감하게 전화를 끊는 것이 좋다. 보이스피싱

이라면 다시는 연락이 오지 않을 것이고, 공공기관이라면 우편으로 안내문을 받을 수 있을 것이다. 일 처리는 그 이후에 해도 늦지 않는다.

2. 명함 등 개인정보 제공 자제하기

회사가 밀집돼 있는 지역의 커피전문점이나 식당에는 경품 행사를 위해 명함을 모아놓은 상자가 있다. 대형마트에서는 특정 사이트에 접속해

이름과 휴대전화 번호 등의 입력을 요구하며 자동차나 다이아몬드 등 고가의 경품 증정 행사를 진행한다. 온라인쇼핑몰에서 할인쿠폰을 준다

는 배너를 클릭하면 이름과 휴대전화 번호 등의 정보를 입력해야 이벤트에 참여할 수 있다. 이와 같은 이벤트는 대부분 이름과 전화번호, 회원

ID 등 개인정보 수집을 위해 경품을 거는 경우가 많다.

특히 대형마트의 이벤트 사이트나 온라인쇼핑몰 할인쿠폰 이벤트 사이트에 접속하면 하단에 깨알 같은 글자로 ‘제공한 개인정보가 특정 업체

의 홍보와 상담에 이용되는 것에 동의한다’는 내용을 볼 수 있다. 경품 당첨 여부를 떠나 이런 이벤트에 개인정보를 넘겨주는 것은 위험할 수

있다. 해당 업체는 마케팅 수단으로 수집하는 것이지만 정상적인 파기가 되지 않거나 외부에 유출되면 악용될 소지가 다분하다.

물론 모든 이벤트가 위험한 것은 아니다. 최근 개인정보 유출 사고가 자주 발생하고 있는 상황에서 의심 없이 개인정보를 제공하는 건 아닌지

주의하자는 것이다.

3. 무심코 버리는 명함, 사회공학기법에 악용 우려

직장인들은 많은 사람들과 명함을 주고받는다. 명함에는 회사명, 소속 부서, 이름, 사무실 전화번호, 휴대전화 번호, 이메일 주소 등 많은 개인

정보를 담고 있다. 명함을 보면 어떤 업무를 하고 있는지도 유추할 수 있다. 명함은 직장인들에게는 자기소개의 수단이 되지만 반대로 악의적

인 사람에게는 사회공학 기법이나 스피어피싱(Spear Phishing) 등에 이용하기 좋은 소재이다.

특히 타인의 명함이 필요 없다고 그대로 버리는 경우가 많은데 되도록 문서파쇄기를 이용하거나 잘게 찢어서 버리는 것이 상대방에 대한 기본

예의이다. 뿐만 아니라 명함 이벤트에는 가급적이면 참여하지 않는 것이 좋다. 이벤트가 끝난 후 수많은 명함을 어떻게 파기하는지 알 수 없기

때문이다.

해커 케빈 미트닉은 사회공학 기법에 필요한 자료와 소재를 쓰레기통을 뒤져서 찾았다고 한다. 명함 이벤트를 진행하는 식당 주변의 쓰레기장

을 뒤졌을 때 수많은 명함이 쏟아져 나온다면? 이렇게 불필요하게 자신의 정보가 떠돌아다니는 것을 미리 제한할 필요도 있다.

4. 주민등록증 및 신분증 촬영은 거절하기

또 다른 예를 들면, 보험 가입 시 계약자는 신원 확인을 위해 보험설계사에게 신분증 사본을 제출한다. 절차대로 진행하려면 나중에 보험설계

사를 다시 만나서 신분증 사본을 전달해도 된다. 하지만 보험설계사와 계약자가 서로 시간을 맞추기는 쉽지 않다. 그러다 보니 처음 계약서를

작성할 때 보험설계사가 스마트폰으로 신분증을 촬영하기도 한다.

이때 문제가 발생할 수 있다. 먼저 신분증의 진위를 판단할 수 있는 정보부터 주민등록번호, 주소 등 개인정보가 모두 담겨 있는 신분증을 타인

이 보관하게 된다. 그리고 촬영한 신분증 사진 파일은 업무가 끝나면 삭제하거나 파기해야 한다. 그러나 보험설계사는 여러 사람의 신분증 사

본을 보관하기도 하고 많은 사람을 상대하는 만큼 삭제나 파기를 잊는 경우가 많다.

이런 상황에서 스마트폰이 사진이나 개인정보 등을 유출하는 스미싱 악성코드에 감염된다면 유출될 가능성은 더 높아진다. 따라서 타인이 자

신의 신분증을 촬영하려고 한다면 단호하게 거절해야 한다. 나중에 번거롭더라도 개인정보를 지키려면 처음부터 안전하지 않은 방법은 차단할

필요가 있다.

지금까지 보이스피싱의 피해 예방법에 대해 알아봤다. 주변에서 피해가 발생하지 않았지만 여전히 보이스피싱은 계속되고 있다. 피해가 발생

하는 것은 순식간이다. 관심을 갖고 미리미리 조심한다면 소중한 개인정보를 지키고 피해를 예방할 수 있다.

2626

i T & l i f E

은닉형 악성코드, 대체 뭐길래?

최근 은닉형 악성코드가 화제다. 대표적인 은닉형 악성코드로 ‘레진(regin), 다이어(dyre)’ 등이 알려져 있다. 언론 보도에 따르면 레진

은 2008년부터 각국 정부, 기업, 기관 등의 침투에 악용됐으며 이 사실이 최근 들어 알려졌다고 한다. 또한 다이어의 경우 우크라이나

에서 발견되었으며 웹사이트의 비밀번호, 이용자의 은행계좌 정보 등을 빼돌리는 것으로 밝혀졌다. 일부에서는 이 은닉형 악성코드를

이란 원전 공격에 사용된 ‘스턱스넷’과 견줄만한 파괴력을 가진 악성코드로 소개하기도 한다. 이 글에서는 은닉형 악성코드란 무엇이

며, 이들이 주로 사용하는 은닉 기능과 방법에 대해서 살펴보자.

끊이지 않는 은닉형 악성코드

은닉형 악성코드란 보안을 위해 암호화하는 데이터에 숨어드는 악성코드를 말한다. 악성코드가 은닉 기능을 이용하는 것은 어제오늘의 일이

아니다. 악성코드는 기본적으로 시스템을 감염시킨 후 지속적으로 남아서 악의적인 기능을 하고자 한다. 그러다 보니 악성코드 제작자는 사용

자나 백신 프로그램 및 기타 보안 시스템에 발견되지 않게 그 기술을 점점 정교하게 악용하고, 이에 따라 현재의 다양하고 교묘한 은닉 기능들

이 발견되고 있는 것이다.

그 동안 악성코드들이 사용해 왔던 은닉 기능 중에서는 홈페이지에 몰래 삽입되는 경우와 루트킷 파일을 이용하는 방법 등이 있다. 그리고 최

근에 이메일의 첨부 파일을 통해 확산된 악성코드가 사용한 메모리 패치를 통한 은폐 기능도 있다. 지금부터 이러한 은닉 기능과 방법에 대해

자세히 소개하고자 한다.

<iframe>을 활용한 URL 은닉 기법

악성코드의 은닉 기능 중에 가장 꾸준하게 발견되고 있는 것이 <iframe>을 활용한 URL 은닉 기법이다. 홈페이지를 통한 악성코드 유포는 다양

한 방법으로 꾸준히 발생하고 있다. 그 중에서 가장 쉽게 확인할 수 있는 기능은 [그림 1]의 붉게 표시한 부분을 보면 알 수 있다. 해당 페이지

는 평범한 ‘청소년 해양수련원’의 메인 ‘.html’ 파일이지만 상단에 ‘<iframe>’이 추가됐다. 해당 내용에는 특정 다운로드 경로를 확인할 수 있으

며 설정 값은 ‘width=0 height=0’이다. 이 경우 사용자는 해당 파일이 설치되는지 인지하지 못한다. 즉, 홈페이지에 접속하면 ‘청소년 해양수

련원’ 페이지가 평소와 같이 보이지만 백그라운드에서는 다른 파일이 설치되고 있고 이는 은닉되어 보이지 않는다.

[그림 1] 홈페이지 ‘.html‘ 소스코드에 삽입된 ‘<iframe>’ [그림 2] 루트킷에 의해 보호되는 ‘userinit.exe’

27

루트킷을 활용한 감염 파일 은폐

[그림 2]는 ‘후킹(Hooking)’ 기법을 통해 ‘userinit.exe’ 파일의 접근을 막고 있다. 후킹은 쉽게 말해 가로채는 기능으로 PC 내부에서 진행되는

정상적인 과정 중간에서 특정 부분을 가로채고 자신이 원하는 동작을 실행시키면서 전체적인 흐름을 바꾼다. [그림 2]는 ‘Patcher’ 악성코드에

의해 윈도의 정상 파일인 ‘userinit.exe’가 감염되고 루트킷 파일인 ‘Driver’가 생성된다. 이 루트킷은 ‘IoCompleteRequest’라는 윈도의 내부

API(Application Programming Interface)를 가로챔으로써 ‘userinit.exe’ 파일에 대한 접근을 차단하고 은폐시킨다. 이 경우 사용자가 기본적

인 프로그램에서 해당 파일에 접근하려고 할 때 방해를 받는다.

메모리 패치를 통한 악성코드 은폐

이메일을 통해 악성코드를 유포하는 방법도 홈페이지에서 유포하는 것과 마찬가지로 꾸준히 발생하고 있다. 최근 발견된 악성코드 중에는 실

질적인 동작인 C&C 서버 통신 및 정보 유출 기능은 파일이 아닌 정상 ‘svchost.exe’ 서비스 프로세스의 메모리 영역에 삽입돼 동작하고 있었

다. 이 경우 실제 파일로 존재하는 것이 아니어서 단순히 진단 후 삭제할 수 없고 메모리 영역을 살펴본 후 치료해야 한다. 감염 여부를 발견하

기 어렵고 치료가 불가능할 수 있다. 특히 해당 파일은 분석 시 실제 코드를 은닉하기 위해 다양한 암호화, 압축, 안티-VM, 안티 디버깅(Anti-

Debugging) 기법 등이 이용된 것으로 확인됐다.

이외에도 최근 시만텍에서 공유한 정보 유출형 악성코드인 ‘레진’은 위에서 설명한 메모리 패치와 같이 다양한 코드 및 파일 은닉 기능을 사용

했다. 크게 5단계로 정교화돼 있고 그 기법 역시 안티포렌식(Anti-Forensics), EVFS(Encrypted Virtual File System), RC5 등 보통의 악성코드

에서는 볼 수 없는 복잡성을 띄고 있다. 지난 2010년 특정 시스템을 공격하고 코드 전개가 전문화되고 복잡했던 ‘스턱스넷(Stuxnet)’과 비교되

지만 내부 기법이나 목적에는 차이가 있다.

추가로 뱅킹 악성코드인 ‘다이어(Dyre)’는 코드나 파일 은닉이 아니라 주요 웹사이트에서 개인정보 보호를 위해 SSL(Secure Socket Layer) 암

호화를 하는데, 이를 활용해 암호화된 트래픽에 공격코드를 은폐시킨다. 이 경우 보안 솔루션 등과 같은 장비에서는 트래픽에 대한 가시성을

확보하지 못하면 정상 SSL 트래픽과 악성 트래픽을 구분할 수 없는 취약점을 갖는다. 이에 비해 파일에 대한 기본적인 동작들이 일반적인 악

성코드 중 웜(Warm)류와 유사한 점이 많아 백신에서 쉽게 탐지할 수 있다.

이처럼 악성코드는 사용자, 악성코드 분석가, 백신제품, 기타 보안 솔루션 등으로부터 자신을 은닉하기 위해 계속해서 다양한 방법을 시도하고

있으며 앞으로도 이러한 기법은 더욱 고도화될 것으로 보인다. 따라서 개인은 불확실한 사이트 접속은 자제하고 파일에 대한 접근이나 다운

및 실행에도 주의해야 한다. 백신제품을 항상 최신 상태로 유지하고 기업 및 기관에서는 각각의 환경에 맞는 보안 환경 구축이 요구된다.

[그림 3] 프로세스(photo.exe, svchost.exe)의 메모리 패치 과정

28

a h N l a b N E w S

28

안랩의 네트워크 통합보안 솔루션 ‘안랩 트러스가드(AhnLab

TrusGuard, 이하 트러스가드)’가 정보통신기술협회(이하 TTA)에서

시행하는 ‘2014 TTA 시험인증 대상’에서 높은 성능을 인정받아 네트

워크 분야 우수상을 수상했다.

올해로 4회를 맞이하는 ‘TTA 시험인증 대상’은 TTA를 통해 시험인

증을 받은 제품 중 우수제품을 포상하는 제도로, 네트워크, 이동통

신, 방송융합, ICT 융합 등 다양한 분야의 제품을 대상으로 진행됐

다. 심사위원장, 분야별 외부 전문가, TTA 정보통신시험인증연구소

장 등으로 구성된 심사위원단은 엄정한 심사를 거쳐, 전 분야 제품

중 대상 1개, 최우수상 2개, 우수상 4개, 특별상 1개 등 8개 제품을

수상작으로 선정했다.

이번 대상에서 트러스가드는 ▲전용 아키텍처 기반 대규모 트래픽

을 고속 처리할 수 있는 우수한 성능 ▲지능형 위협 방어를 위한 국

내환경 특화 애플리케이션 컨트롤 기능 제공 ▲2014년 글로벌 시장

조사기관의 보고서에 국내 유일 등재 등 글로벌 성장 가능성 등에서

높은 평가를 받아 네트워크 분야 우수상을 수상했다.

트러스가드는 대규모 트래픽과 대용량 세션(PC와 PC 간 통신을 위

한 연결 정보)을 고속으로 처리하는 고성능 네트워크 보안 솔루션이

다. 높은 수준의 방화벽 성능을 제공하며, 외부에서 효율적이고 안전

하게 내부 시스템에 접속할 수 있는 VPN(가상사설망, Virtual Private

Network) 기능을 제공한다. 또한, ‘애플리케이션 컨트롤(Application

Control)’ 기능을 탑재해 APT 등 고도화된 최신 보안 위협에 악용되

고 있는 P2P, 웹하드, 메신저, SNS 등 수백여 개의 애플리케이션 데

이터에 대한 실시간 분석 및 행위 제어 기능을 제공한다.

권치중 안랩 대표는 “이번 수상은 트러스가드의 기술력을 다시 한번

입증 받은 것”이라며, ”국내외에서 인정받은 기술력으로 고객에게 안

전한 네트워크 환경을 제공하기 위해 더욱 노력하겠다”라고 말했다.

트러스가드는 다수의 국내 기업, 공공기관, 학교, 병원 및 금융권을

중심으로 대형 고객사를 보유하고 있으며, 태국, 말레이시아 등 해외

국가의 정부기관 및 기업에도 공급됐다.

안랩 트러스가드,

‘2014 TTA 시험인증 대상’에서 우수상 수상

▲ ‘2014 TTA 시험인증 대상’에서 우수상을 수상한 트러스가드

안랩, 경기도 중고교 교사 초청

보안/SW 교육 진행

안랩은 경기도 지역 중고등학교 정보컴퓨터 교과 교사 80여명을 초

청, 보안 및 소프트웨어 교육 방법론에 대한 교육 세미나를 진행했다.

‘경기도중등정보과교육연구회’ 소속 회원이 참여한 이번 세미나에서

는 참여교사가 학생들의 보안의식을 자연스럽게 높일 수 있도록 안

랩의 보안전문가가 최신 보안위협 트렌드 및 예방수칙을 소개했다.

또한, 정보컴퓨터 교과 교사들의 관심이 높은 ‘SW교육의 필요성과

방법론’ 및 관련 정보를 전달해 참가 교사들의 호응을 얻었다.

이번 세미나에 참가한 경기국제통상고등학교 강희정 교사는 “전문

가로부터 교육 현장에서 유용하게 활용될 보안 및 SW교육 관련 정

보를 듣게 되어 의미있는 시간이었다”고 소감을 전했다.

전상수 안랩 교육사업팀 차장은 “앞으로도 교사 대상으로 교육 현장

에서 유용하게 활용될 수 있는 보안 및 SW교육 관련 세미나 등 다양

한 활동들을 펼쳐나가겠다”고 말했다.

한편, 안랩은 소프트웨어 교육 및 실제 프로젝트 기획, 모의 수업 진

행으로 현장 교육역량을 증진시키는 소프트웨어 교육강사 양성과정

‘안랩 쌤’을 운영하고 있다. 안랩 쌤은 지난 10월에 시작해 최근 1기

과정을 마쳤으며, 앞으로 수강인원을 확대해 진행할 계획이다.

‘경기도중등정보과교육연구회’는 경기도 내 중고등학교(인문계, 특

성화, 마이스터, 과학고, 영재고 등)에 근무하는 정보컴퓨터 교과 교

사가 등록되어 있는 연구회이다. 교육에 필요한 실무 정보를 교사들

에게 전달하기 위한 교과와 관련된 기업 연계 세미나를 비롯해 각종

포럼과 워크숍 등 다양한 교육 및 연구 활동을 진행하고 있다.

29

보안 통계와 이슈 S T a T i S T i C S

11월 악성코드 426만 건... 유형은 PUP, 트로이목마가 다수

ASEC이 집계한 바에 따르면 2014년 11월 한달 간 탐지된 악성코드

수는 426만 3,988건이다. 이는 전월 406만 5,620건 보다 19만 8,368

건 증가한 수치다. 한편 11월에 수집된 악성코드 샘플 수는 605만

9,563건으로 집계됐다.

[그림 1]에서 ‘탐지 건수’란 고객이 사용 중인 V3 등 안랩의 제품이 탐

지한 악성코드의 수를 의미하며, ‘샘플 수집 수’는 안랩이 자체적으로

수집한 전체 악성코드의 샘플 수를 의미한다.

[그림 2]는 2014년 11월 한달 간 유포된 악성코드를 주요 유형별로

집계한 결과이다. 불필요한 프로그램인 PUP(Potentially Unwanted

Program)가 55.87%로 가장 높은 비중을 차지했고, 트로이목마

(Trojan) 계열의 악성코드가 24.9%, 애드웨어(Adware)가 8.78%로

그 뒤를 이었다.

2014년 11월 악성코드 유포지로 악용된 도메인은 946개, URL은

6,018개로 집계됐다. 또한 11월의 악성 도메인 및 URL 차단 건수

는 총 633만 313건이다. 악성 도메인 및 URL 차단 건수는 PC 등

시스템이 악성코드 유포지로 악용된 웹사이트의 접속을 차단한 수

이다.

안랩 시큐리티대응센터(ASEC)는 ASEC Report Vol.59를 통해 지난 2014년 11월의 보안 통계 및 이슈를 전했다. 11월의 주요 보안

이슈를 살펴본다.

키보드의 키를 이용한 악성코드

‘야마꼬’와 ‘핫키’

ASEC, 11월 악성코드 통계 및 보안이슈 발표

[그림 1] 악성코드 추이

샘플 수집 수탐지 건수

[그림 2] 주요 악성코드 유형

worm DownloaderetcAdwareTrojanpUp

5,000,000

6,000,000

1,000,000

2,000,000

3,000,000

4,000,000

0

11월10월9월

2,523,094

4,263,988

4,065,620

4,65

0,55

5

6,05

9,56

3

4,57

2,31

5

7.33%

8.78%

24.9%

55.87%2.69%

0.43%

30

2014년 11월 한달 간 탐지된 모바일 악성코드는 9만 8,555건으로

집계되었다.

해당 악성코드 감염 시 나타나는 증상은 특정 키를 누르면 각 키에

따라 다양한 소리가 난다. 흔히 악성코드는 자신을 숨기기 위해 다양

한 방법을 사용하는데 이 악성코드는 자신을 드러내고 있었다.

반면 시스템 관리 툴 및 작업 관리자, 레지스트리 편집기 등 특정 프

로세스의 실행을 방해하는 기능도 있다. 이 기능은 자신을 보호하기

위한 것으로, 특정 소리가 나도록 하여 자신을 노출 시키는 것과는 대

조적으로 악성코드 자신을 숨기는 기능도 추가하였다. 시스템 시작

시 자동 실행으로 설정하고, 폴더 옵션 비활성화 및 숨김 속성을 변

경하지 못하게 하며, 작업 관리자를 비활성화시키는 행위는 사용자를

속이기에 충분하다.

두 번째 악성코드는 2014년에 발견된 ‘핫키(Hotkey, 바로가기 키)’를

이용한 악성코드이다. 이 악성코드는 사용자가 인지하지 못한 상황에

서 자동 실행시키고 시스템에서 오랫동안 살아 남기 위해 다양한 방

법을 이용해왔다. 윈도에는 이러한 기능을 지원해주는 여러 가지 값

이 있다. 그 값은 [표 2]와 같다.

키보드의 키를 이용한 악성코드 ‘야마꼬’와 ‘핫키’

‘스페이스(space)’와 ‘엔터(Enter)’는 자주 사용되는 키지만 악성코드

제작자는 특별한 기능을 부여하기도 한다. 스페이스와 엔터 키에 관

련된 악성코드 두 종류를 살펴보겠다.

첫 번째는 2010년 발견된 일명 ‘야마꼬 바이러스’라고 불리는 악성코

드이다. 당시 포털 사이트 Q&A 게시판에는 [그림 5]와 같은 글이 게

시되었다.

악성 도메인/URL 차단 건수 악성코드 유포 URL 수악성코드 유포 도메인 수

[그림 3] 악성코드 유포 도메인/ URL 탐지 및 차단 건수

[그림 4] 모바일 악성코드 추이

[표 1] 키에 따른 음성

10,000

20,000

30,000

6,000,000

7,000,000

40,000

5,000,000

4,000,000

3,000,000

2,000,000

011월

6,018

18,431

9461,365

15,842

1,338

10월9월

3,545,673

6,330,3136,081,235

50,000

100,000

150,000

250,000

200,000

0

11월

98,555102,335

75,938

10월9월

Space Bar : “야마꼬”

Enter : “아하하하”그 외 Tab, Delete 키 등

[그림 5] 포털 사이트 Q&A 페이지에 등록된 질문

윈도 시작 시 자동 실행

[HKCU₩Software₩Microsoft₩windows₩CurrentVersion₩Run]

[HKCU₩Software₩Microsoft₩windows NT₩CurrentVersion-₩winlogon]

[HKLM₩Software₩Microsoft₩windows₩CurrentVersion₩Run]

[HKLM₩S₩Microsoft₩windows NT₩CurrentVersion-₩winlogon]

시작프로그램 등록

%AppDATA%₩Microsoft₩windows₩Start Menu₩pro-grams₩Startup

%programData%₩Microsoft₩windows₩Start Menu₩pro-grams₩Startup

예약된 작업 등록

C:₩windows₩Tasks

서비스 등록

[HKLM₩SYSTEM₩CurrentControlSet₩Services]

[표 2] 자동 실행되는 파일 등록 경로

최근에는 다른 방법을 이용하여 자동으로 실행되는 악성코드가 발견

되었다. 감염 경로는 취약한 웹사이트 또는 PUP(불필요한 프로그램)

에 의해 감염되는 것으로 확인되었다.

해당 악성코드는 [표 3]과 같이 스스로를 ‘C:\Program Files\

Common Files’ 경로에 복사한 후 삭제한다.

사용자가 인지하지 못하도록 악성코드가 실행하는 방법은 [그림 6]과

같이 파일의 실행 원리를 확인하면 알 수 있다.

[표 3] 파일 생성 경로

파일 생성 경로

C:₩program Files₩Common Files₩sochvst.exe

C:₩Documents and Settings₩Administrator₩시작 메뉴₩Xnv.url

C:₩Documents and Settings₩Administrator₩시작 메뉴₩Xnz.url

31

[그림 7]과 같이 바로가기 키 값을 각각 ‘스페이스’와 ‘엔터’로 설정하

면, 사용자가 엔터 또는 스페이스 키를 입력할 때마다 악성코드를 실

행한다. [표 2]와 같은 설정 없이도 악성코드를 자동으로 실행시킬 수

있다.

또한, 악성코드를 제거하더라도 URL 파일을 삭제하지 않으면 엔터

또는 스페이스 키를 입력할 때마다 알림 창이 나타나 PC 사용에 불편

을 준다.

V3 제품에서는 관련 악성코드를 다음과 같이 진단하고 있다.

<V3 제품군의 진단명>

Win-Trojan/Agent.166912.BN (2010.07.20.00)

Backdoor/Win32.Zegost (2014.11.12.05)

개인정보 유출부터 사회 문제까지… 몸캠 피싱 주의

최근 몸캠 피싱에 관한 뉴스가 언론에 자주 등장하고 있다. 2013년

처음 등장한 몸캠 피싱은 일종의 사회 공학기법과 심리를 교묘하게

이용하였다. 악성 앱 또한 꾸준히 발전하고 있으며 피해자도 증가하

고 있다. 실제로 몸캠 피싱 피해자는 정상적인 사회 생활이 어려울 정

도로 심각한 후유증을 겪고 있으며, 몸캠 피싱을 당한 20대 남성이

스스로 목숨을 끊는 사건까지 발생하는 등 심각한 사회 문제로 이어

지고 있다. 이와 관련해 최근 몸캠 피싱에 사용되는 Android-Trojan/

Pbstealer 악성 앱에 대해 살펴보자.

[그림 8] 악성코드 삭제 후 핫키 동작 시 발생하는 오류 메시지

[그림 9] 몸캠 피싱 과정

[그림 6] URL 파일 텍스트 정보 Xnv.url(상)/ Xnz.url(하)

[그림 7] 핫키 정보 Xnv.url(상)/ Xnz.url(하)

[그림 9]와 같이 몸캠 피싱 과정은 온라인 채팅 서비스를 통해 만난

상대방에게 모바일 화상 채팅 서비스를 이용하여 대화를 유도한다.

화상 채팅이 시작되면 알몸 화상 채팅을 유도하며 피해자의 얼굴을

보여줄 것을 요구한다. 가해자는 피해자 모르게 화상 채팅 내용을 동

영상으로 녹화한다. 목소리가 들리지 않는다며 새로운 앱을 설치할

것을 요구하며 다운로드할 수 있는 인터넷 주소를 보낸다. 피해자의

스마트폰에 앱이 설치되면 스마트폰에 저장된 다양한 정보를 공격자

에게 유출한다.

이때 유출되는 정보는 피해자의 연락처, 스마트폰에 저장된 주소록과

추가로 다양한 정보들이 포함된다. 공격자는 정보 유출에 성공하면

피해자에게 화상 채팅 내용이 동영상으로 녹화되었으니 요구 금액을

송금하지 않으면 지인들에게 동영상을 유포하겠다고 협박한다.

몸캠 피싱에 사용되는 Android-Trojan/Pbstealer 악성 앱이 설치 시

요구하는 권한은 [그림 10]과 같다. 전화, 문자, 위치, 연락처, 내장 메

모리 접근 권한과 오디오 녹음 및 인터넷 기능 사용 권한 등이다. 시

스템 설정을 변경할 수 있고 스마트폰 시작 시 자동으로 실행될 수

있다는 점 등은 일반적인 앱이 요구하는 내용과는 차이가 있다.

[그림 10] Android-Trojan/Pbstealer 설치 시 권한 요구

[그림 11] Android-Trojan/Pbstealer 실행 화면

해당 앱이 설치되면 ‘음성지원’, ‘SecretTalk’, ‘검찰청 보안강화’, ‘v3’,

‘Authentication’ 등 다양한 이름의 앱이 스마트폰 화면에 나타난다.

해당 앱을 실행하면 [그림 11]과 같이 ‘기기 관리자’ 설치를 요구하며

에러 메시지를 보여주고 앱을 종료한다. 이때 사용자 모르게 스마트

폰에 저장되어 있는 다양한 정보를 공격자의 서버로 전송한다.

몸캠 피싱 악성 앱은 개인정보 유출은 물론, 사회 생활이 불가능해질

정도로 그 피해가 크다. 따라서 몸캠 피싱의 과정을 이해하고 비슷한

패턴으로 접근하는 수상한 사람은 가급적 피하는 것이 좋다. 또한 새

로운 스마트폰 애플리케이션을 설치하기 전에 해당 애플리케이션이

동작하는데 불필요한 권한이 있는지 주의 깊게 살펴보는 습관이 필요

하다. 이와 함께 모바일 백신을 이용하여 새롭게 설치되는 애플리케

이션을 확인해보는 것도 좋은 방법이다.

발행인 : 권치중

발행처 : 주식회사 안랩

경기도 성남시 분당구 판교역로 220

T. 031-722-8000 F. 031-722-8901

편집인 : 안랩 콘텐츠기획팀

디자인 : 안랩 UX디자인팀

© 2015 AhnLab, Inc. All rights reserved.

본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제, 복사, 검색 시스템

으로 저장 또는 전송될 수 없습니다. 안랩, 안랩 로고는 안랩의 등록상표입

니다. 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상

표일 수 있습니다. 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다.

경기도 성남시 분당구 판교역로 220

T. 031-722-8000 F. 031-722-8901

© 2015 AhnLab, Inc. All rights reserved.

http://www.ahnlab.com

http://blog.ahnlab.com

http://twitter.com/ahnlab_man