IT보안과 사회공학(Social Engineering)

시간이 화살과 같이 빠르다는 것을 새삼 느낍니다. 벌써 2014년이 지나가고 2015년 새해가 밝았습니다. 블로그 글을 보시는 모든 분들 새해 복 많이 받으시고, 하시는 모든 일들이 잘 되기를 기원하겠습니다.

개인적으로 2014년을 되돌아 보면 가장 행복 했던 순간은 둘째가 건강하고 튼튼하게 태어난 것입니다.

2015년에 저에게도 역시 좋은 일이 많이 있기를 바라며, 많은 분들에게 도움이 되실 수 있는 연구 결과물들을 만들도록 노력해 보겠습니다. 물론 그 연구 결과물들은 개인 블로그에 모두 공개할 예정이구요.

아마도 2015년에는 많은 분들을 찾아 뵐 수 있는 기회가 더 많지 않을까 생각 됩니다. ^^

오늘 공개하는 자료는 12월 17일 용산 국방부 사이버사령부에서 진행된 강의에서 사용하였던 자료로 "IT보안과 사회공학(Social Engineering)"이라는 주제 입니다.

개인적으로 군 관련기관을 방문 했던 것이 6년 전 정도에 진해 해군사령부에서 진행되었던 악성코드 분석 관련 교육이후로 처음이었던 것 같습니다.

용산 국방부를 방문하던 그 날따라 날씨도 무척 쌀쌀했는데다, 바람까지 많이 불어서 가는 길이 편하지는 않았습니다. 하지만, 담당 주무관님들의 따뜻한 환대 덕분에 많은 분들과 좋은 이야기들을 나눌 수 있었습니다. 이자리를 빌어 담당 주무관님들께 감사의 말씀드립니다. ^^

강연은 총 2시간 예정되었으며, 중간에 10분 정도 휴식시간을 가지고 질의응답시간을 포함해 1시간 40분 정도에 끝이 났습니다. 내용이 악성코드나 취약점 분석과 같은 기술적인 내용이 아닌 심리학과 사회학이 배경이 되는 내용이다 보니 저도 편안하게 말씀을 드리고, 들으시는 분들도 여러 질문들을 편안하게 주셨던 것 같습니다.

주된 내용은 사회공학(Social Engineering)이 무엇이며, IT보안과 관련해 발생하는 보안 위협들이 사회공학을 어떠한 방식들로 사용하는지 사례를 설명드렸습니다. 그리고, 이러한 사회공학을 예방하기 위해서는 어떠한 방식으로 보안인식 교육이 진행되어야 하는지 설명을 드렸습니다.

오랜만에 군기관을 방문해 여러가지 말씀을 드릴 수 있었던 좋은 기회였습니다. 그리고, 제가 속한 조직에서도 외부 출강을 적극 지원 및 후원해주셔서, 추운 날씨에도 편안한 마음으로 다녀 올 수 있었던 것 같습니다.

2014년 8월 28일, "Volatility를 이용한 Memory Forensics" 강연

오늘 두번째로 공개하는 자료는 8월 28일 KISA에서 주관하는 사이버보안인력(K-Shield) 재교육 프로그램 중 하나로 멀웨어 포렌식(Memory Forensics)에서 자주 언급되는 메모리 포렌식(Memory Forensics) 관련 내용을 강의한 자료 입니다.

기본적인 자료는 2013년 가을에 완성하여 올해 1월에 원고 수준으로 완성한 "볼라틸리티(Volatility)를 이용한 메모리 분석 사례" 입니다만, 강의 요청을 받고 예전에 만든 자료를 다시 살펴보니 시기에 맞지 않는 업데이트 된 부분들이 제법 있더군요.

대표적인 부분이 2013년도에 작성 할 때는 백트랙(BackTrack)으로 실습 이미지를 만들었는데, 2014년도로 접어들면서 해당 운영체제가 칼리(Kali)로 대체되었습니다. 이 외에도 강연 자료의 핵심인 메모리 포렌식 도구인 볼라틸리티(Volatility)도 버전이 2.4 업데이트 되었습니다.

그래서 강의자료를 초반을 제외한 실습과 관련된 이미지와 내용들을 포함해서 70% 정도를 새롭게 테스트하고 작성하였습니다.

특히, 실습 이미지와 환경을 디지털 포렌식(Digital Forensics)을 위해 제작된 SANS SIFT 3.0에서 가능하도록 만들었습니다. 그리고 맨드언트(Mandiant)의 레드라인(RedLine)의 업데이트 된 버전 내용도 짧게 나마 다루고 있습니다.

결론적으로, 전체적인 큰 줄거리는 변함이 없지만, 최근에 새롭게 업데이트 된 분석 도구나 환경들을 새롭게 반영하였다는 것이 이번 강의 자료에 특징이라고 할 수 있습니다.

마크 러시노비치의 두 번째 소설 트로이목마(Trojan Horse)

7월 한 달을 건너뛰고 8월에 이르러서 처음으로 쓰는 블로그 입니다. 오늘 블로그에서 다루는 내용은 IT 보안에 대한 이야기는 맞습니다만, 이제까지 블로그에서 다루었던 기술중심적인 글보다는 편하게 읽을 수 있는 소설 한편입니다.

IT 보안을 하시는 분들 외에도 윈도우 시스템이나 마이크로소프트의 테크넷(TechNet)을 자주 보신 분들이라면 마크 러시노비치(Mark Russinovich)에 대해 잘 아실 겁니다. 이 분은 윈도우 시스템 엔지니어로서도 뛰어난 역량을 가지고 있지만, 한편으로는 IT 보안을 주제로 재미있는 이야기를 풀어내는 소설가로도 알려져 있습니다.

마크 러시노비치가 처음 쓴 소설로는 제로데이(Zero Day) 입니다. 제로데이는 IT 보안을 하시는 엔지니어 분들이라면 익히 들어서 잘 아실겁니다. 2012년에 처음으로 읽었던 해당 소설 역시 제로데이 취약점과 악성코드들에 대해 다루며, 제프 에이킨이라는 뛰어난 보안 전문가의 활약을 다루고 있습니다.

저 역시 그의 첫번째 소설인 제로데이를 재미 있게 읽은 터라  2013년 12월 국내에서 조용히 발간된 그의 두번째 소설 트로이목마(Trojan Horse) 역시 별 다른 고민하지 않고 구매하게 되었습니다.

하지만, 소설 책을 사두고 어영부영하는 사이에 시간이 흘러가서, 최근에서야 주말 집에 있는 동안 짬을 내어 다 읽어보게 되었습니다.

마크 러시노비치의 트로이목마는 스턱스넷(Stuxnet)이라는 원자력 발전소 파괴를 목적으로 제작된 악성코드를 큰 주제로 다루고 있습니다. 이번 소설 역시 제프 에이킨은 어떠한 사건을 조사 중에 미국, 중국, 이란 등이 스턱스넷을 중심으로 얽히 사이버 전쟁에 대해 자세히 묘사를 하고 있습니다.

하지만, 전편과 다르게 이번 소설에서는 한국어로 번역된 내용들이 부자연스럽고 매끄럽지 못한 부분들이 많았습니다. 어떠한 부분에서는 무엇을 의미하는지 이해하기 어려운 부분도 있고, 영어 고유명사를 영어식 표현을 그대로 한국어로 옮겨 읽기에 부자연스러운 부분도 있었습니다.

5월에 출간된 마크 러시노비치의 세번째 소설인 "Rogue Code"가 한국어로 번역 출간 될지는 알 수 없습니다만, 전문 IT 보안 엔지니어의 감수를 받아 본다면 원작의 풍미를 더 잘 살릴 수 있지 않을까 생각 됩니다.

IT 보안 엔지니어라면 여름 휴가 기간 동안 시원한 곳에서 이 소설을 한번 읽어보는 것도 좋을 것 같습니다. 물론 IT 전문가가 아닌 일반인 분들도 읽어 보셔도 좋습니다.

2011년 4월 보안 위협과 악성코드 분석 기법 강연 자료

이 자료 역시 2011년 4월 서울종합과학대학원 산업보안MBA 과정 학생들을 대상으로 이루어진 강연 자료 입니다.

강연 자료의 제목은 2010년 11월에 이루어졌던 강연 주제와 동일합니다만, 내용면에서는 변화를 가져가고 있습니다. 아래 목차에서도 알 수가 있지만, 해당 시기부터 외부 강연 자료에서 APT(Advanced Persistent Threat)에 대한 내용들을 포함하기 시작하였습니다.

이렇게 강연 내용에 APT 보안 위협을 다룰 수 있었던 것은 2010년 가을 2개월에 걸친 연구를 통해 "고도화된 보안 위협의 생산, APT (Advanced Persistent Threat)" 원고를 작성해서 해당 위협에 대한 지식을 학습 할 수 있었던 것이 크게 작용 한 것으로 보여집니다. 그리고, 몇 년에 걸친 사례 연구들을 통해 2013년 말에 작성 했던 "APT(Advanced Persistent Threat) 공격의 현재와 대응 방안"을 통해 그 이후에도 계속 연구 내용을 다듬을 수 있었기 때문으로 보여집니다.

1. 고도화된 보안 위협의 생산, APT
2. 악성코드의 특징과 진단 기법
3. 악성코드의 분석 기법
4. 악성코드의 분석 사례

2010년 11월 보안 위협과 악성코드 분석 기법 강연 자료

날씨가 다시 추워지는 것이 조금 쌀쌀 해지는군요. 이런 환절기에는 감기 조심하는 것이 중요한 것 같습니다.

오늘 공개하는 자료는 2010년 11월 서울종합과학대학원 산업보안MBA 과정 학생들을 대상으로한 강연 자료입니다. 자료 구성은 크게 현재 발생하는 보안 위협들에 대한 전반적인 이해와 이러한 보안 위협을 분석하기 위한 방법론과 사용 도구들 그리고 사례로 마무리를 하고 있습니다.

이제까지 강의 경험으로 보았을 때 MBA과정 학생들이 IT 지식에 대한 수준이 모두 달라서 2010년도와 2011년도 강연 자료는 특히나 어렵게 받아들였던 시기가 아니었나 생각 되네요.

강연자료는 크게 4가지 목차로 다음과 같습니다.

1. 블랙 마켓으로 인한 사이버 범죄

2. 악성코드의 특징과 진단 기법

3. 악성코드의 분석 기법

4. 악성코드의 분석 사례

2010년 6월 "보안 위협과 악성코드 분석 기법" 강의 자료

3월 1일에 벌써 두 번째 블로그 글을 올리게 되는군요. 오늘 공개하는 자료는 2010년 6월 서울종합과학대학원 산업보안 MBA 및 산업보안전문가 과정에서 강연하였던 "보안 위협과 악성코드 분석 기법" 입니다.

지금 돌이켜서 생각해보면 연구 활동과 강연 활동에 조금 게을러지기 시작한 시기가 아닌가 합니다. 연구 활동이 부족해지다보니 자연스럽게 강연 자료가 충실해지지 못했던 것 같습니다. 아마도 2010년 1월에 결혼을 해서 신혼 생활에 여유를 많이 부렸던 것도 같습니다.

그리고 이 강의를 하면서도 조금 후회가 되는 부분이 학생들의 절반 이상이 기술 기반을 가진 분들이 아니라서 강연 내용을 전반적으로 이해하기 어려워 하셔서 수준을 잘 못 맞추지 않았나 하는 생각이 들더군요.

2010년 1학기에 진행되었던 강연의 주제는 전반적인 보안 위협의 동향과 이러한 보안 위협의 큰 축으로 자리 잡은 악성코드를 분석하기 위한 기법들에 대해 다루고 있습니다.

2009년 5월 해군 CERT 대상 악성코드 분석 교육

1월말이 다 되어 가는데 2014년 들어 처음으로 작성하는 블로그 입니다. 조금 더 부지런하게 살아야 된다는 생각은 늘 하고 있는데, 현실의 벽은 생각 보다 높다는 생각이 듭니다.

오늘은 처음으로 하는 일이 2가지 있는데요.. 첫번째가 2014년 첫 블로깅이라는 점과 두 번째로 새로 입양한 울트라 노트북으로 작성하는 첫 블로깅이라는 점입니다.

기존에 사용하던 노트북은 집에 있는 와이프의 여가 생활과 홈쇼핑을 위해 헌납하고, 도시바(Toshiba)에서 나온 포르테제 z930 모델을 하나 입양 했습니다. 무게는 1 Kg으로 가볍고 3세대 i5 모델인데, 메모리만 10 GB로 늘려서 VMWare 막 돌리며 쓰고 있습니다.

서론이 좀 길었습니다만, 오늘 공개하는 자료는 2009년 5월 진해에 위치한 해군사령부에서 진행한 해군 CERT 담당자들을 대상으로 한 악성코드 개론과 분석 기법들에 대해 다루고 있습니다.

지금도 진해 출장 갔을 때 기억나는 것이 5월이라 이미 날씨가 더워지기 시작해서 벚꽃들은 모두 지고 없더군요. 그래서 벚꽃들은 못 보고 나무들만 보고 왔었습니다.

그리고 수업 중에 있었던 이야기 입니다만, 교육생 중 해병대 하사관분이 계셨습니다. 점심을 먹고 오후 수업 중에 갑자기 벌떡 일어 나시더니 뒤로 나가서셔 앉았다 일어 섰다를 반복 하시더군요. -_-;;;
무척 당황스러웠지만 수업이 진행 중인 상황이라 말씀을 드리지는 않고 쉬는 시간에 조용히 여쭈어 보니 날씨도 덥고, 나른한 저의 목소리를 계속 들으니 졸리셨다고 하시더군요. ^^;;;

전반적인 내용들은 지난 번 공개한 서울여대 수업자료에서 크게 벗어나지 않습니다만, 교육생들의 수준은 아무래도 해군 CERT 담당자분들이 컴퓨터 전공이시고, 실무를 하시는 분들이라 전반적인 이해는 빠른 편이었습니다.

교육은 크게 다음과 같이 3가지 주제로 오전 9시부터 5시까지 진행 되었습니다.

1. 악성코드 진단 기법 개론
2. 악성코드 분석 방법론과 기법
3. 악성코드 분석 사례

2009년 3월 악성코드와 개인 정보 보호

이 게시물을 임시 저장물로 만들어 놓고 다시 손을 봐야지 했던 것이 한 달이 그냥 휙~ 하고 지나 가버렸네요.. -_-;;;

오늘 회사에서 종무식을 하였습니다. 종무식이 한 해의 업무를 마치는 포인트라는 점에서 2013년이 끝이 났다는 것을 실감하게 됩니다.

오늘 소개하는 강연자료는 2009년 3월 외부에서 진행하였던 악성코드와 개인 정보 보호라는 주제의 강연입니다. 해당 강연은 대전 통계청에서 해당 청의 공무원분들을 모시고 진행하였던 강연이라 2008년 보안 위협 동향과 악성코드를 포함한 기본적인 보안 위협들의 정의와 함께 블랙마켓(Black Market)에서 탈취된 개인 정보들을 어떻게 악용되고 거래되는지를 소개하였습니다.
그리고 마지막으로 개인 정보를 보호하기 위해서 어떻게 일반 사용자들이 행동을 해야 되는지에 대한 가이드라인을 소개하였습니다.

2008년 악성 코드와 보안 위협 동향

벌써 10월도 월말로 접어드는 것이 이제 정말 2013년도도 얼마 남지 않은 것을 실감하게 되네요.. 10월이라고 하니 예전 암울 했던 군대 신병 시절이 기억나네요...

8월에 입대해서 자대 배치 받은지 얼마되지 않은 10월의 마지막 날... 취침 점호 이후 정훈병 고참이 틀어주었던 이용의 잊혀진 계절이 생각나네요. 그 당시에는 고향 집을 떠나온지 얼마 되지 않아 순간 울컥 했던 생각이 나네요...

그래서 오늘은 특별히 나는가수다에서 국카스텐이 부른 "잊혀진 계절"을 블로그에 한번 실어봅니다.



오늘 공유하는 발표 자료는 2008년 10월 한국자산관리공사에서 근무하시는 일반 직원분들을 대상으로한 보안 인식 교육 자료 입니다.

일반 직원분들을 대상으로 하다 보니 해당 발표 자료의 주된 요지는 악성코드와 관련 보안 위협이 급격하게 증가하고 있으니 주의 하셔야 된다. 그러니까 보안팀에서 공지하는 내용 잘 따르고 이런 이런 행동들을 하시면 않된다는 내용입니다.

그래서, IT에 전문 지식이 없으신 일반 직원분들 교육 하실 때 도움이 될 것 같다는 생각이 듭니다.

그리고...코엑스에 위치한 한국자산관리공사에는 2012년도 즈음으로 기억되는데, 다시 한번 방문 했던 기억이 납니다. 그 당시에는 보안 담당 직원들을 대상으로 한 교육이라 APT(Advanced Persistent Threat)을 주제로 강연 했었던 기억이 납니다.

2008년 9월 악성코드와 최근의 동향

벌써 아침 저녁으로 서늘한 바람이 부는 9월 가을의 문턱에 와 있는 것 같습니다. 불과 몇 주전까지만 하더라도 더워서 집에서 에어콘을 틀고 했었는데, 이제는 밤에 창문을 열어놓고 자면 감기 들 정도로 날씨가 빠르게 변하는 것 같습니다.

오늘 공개하는 자료는 제 기억으로는 유일하게 앵콜(?) 강연 요청을 받았던 곳이었던 것 같습니다. 2008년 9월 경상남도 창원시에 위치한 경상남도청 공무원들을 대상으로 하는 보안인식 교육이었습니다.

처음 해당 도청으로부터 공무원들을 대상으로 하는 보안 인식 교육을 진행 해달라는 요청을 받고, 어떻게 풀어가야 될까 고민이 되었는데, 요구 사항이 간단하더군요. 알기 쉽고, 이해하기 빠르고 재미있게 해달라 것이더군요.

간단한 요구 사항이지만, 유머 감각이 뛰어나지 않아서 기대에 부흥 할 수 있을까 하는 생각에 이런 저런 멘트들도 많이 준비해 갔었는데, 다행이 교육이 재미 있고 유익했다는 평가를 받았습니다.

그래서, 일반 공무원들을 대상으로 하는 보안 인식 교육이다 보니 목차 역시 일반 개인 사용자들을 중심으로 구성되어 있습니다.

1. 악성코드 정의와 분류

2. 악성코드의 상반기 동향

3. 정보 보호에 대한 기본 상식

2007년 6월 악성코드 최신 동향과 대응

벌써 8월도 중순을 향해서 가고 있고, 날씨는 습하면서도 더운 것이 아침 저녁으로 출퇴근 길이 편하지만은 않군요.

오늘 공개하는 강연 자료는 2007년 6월 고객사들을 대상으로 기술 지원을 담당하시는 분들을 모시고 2007년 상반기 보안 위협 동향들과 특징들을 살펴보는 자리를 가졌었습니다.

여기에서 발표된 내용은 다음과 같은 목차를 가지고 있습니다.

1) 2007년 상반기 악성코드 동향

2) 2007년 상반기 악성코드 유형별 동향

3) 2007년 상반기 주요 악성코드 기법과 대응

4) 레트로(Retro) 바이러스

2006년 12월 악성코드 최신 동향과 기법

이래 저래 일들이 많다보니, 블로그 관리가 점점 소흘해지는 것 같네요. 다시 부지런히 글들을 정리 해봐야 할 것 같습니다.

오늘 공개하는 자료는 2006년 12월 H 기업 임직원들을 대상으로 진행되었던 보안 강연입니다. 이 시기에 워낙 비슷한 강연들을 많이 하다 보니 자료 역시 비슷한 내용들이 많이 포함되어 있습니다.

대략적인 목차는 아래와 같습니다.

1. 악성코드 유형별 최근 동향
2. 악성코드 기술적 동향
3. 주요 악성코드 감염 기법

이로서 2006년도 강연 자료들 정리가 모두 끝이 났습니다. 올해가 2013년이니 아직도 많은 강연자료들을 공개하지 못하고 있습니다. 시간 날 때마다 틈틈히 열심히 정리 해야 겠습니다. ^^

이런 강연자료들을 만들 때마다 강의를 많이 해보신 분들은 아시겠지만, 만드는 본인이 더 많이 배우게 됩니다. 기존에 읽었던 자료와 연구 했던 자료들도 다시 뒤져보고 요점 정리하면서 다시 생각도 해보게 되구요.

그리고 특히 작성 했던 자료들을 볼 때마다 저 자신의 지식의 깊이와 넓이가 커지고 있다는 점에서 뿌듯하다고 해야 할까요? 예전 자료들을 보다 보니 이런 저런 생각들이 많이 듭니다.

악성코드 최신 동향과 분석 방안

6월에 들어 처음으로 쓰는 블로그 글입니다. 오늘 쓰는 이 블로그도 역시 2006년 12월 기술지원 부서분들을 모시고 진행되었던 2006년 하반기 보안 위협 동향과 관련된 강연 자료 입니다.

상반기의 연장선상에서 이루어진 교육이라 상반기와 크게 차이 나는 부분은 없으며, 보안 위협 동향과 관련된 내용이 하반기에 맞게 업데이트 된 정도 입니다.

목차는 아래와 같은데, 지금 다시 보니 목차 중 세번째가 제목과 다르게 악성코드 분석 방안이라는 주제와 내용이 포함되어 있네요...
아마도 그 당시 슬라이더를 작성하면서 제가 무언가를 실수를 한 것 같군요.. ^^;;


1. 악성코드 유형별 최근 동향
2. 악성코드 기술적 동향
3. 주요 악성코드 감염 기법

악성코드와 분석 방안

이 자료 역시 2006년 11월 외부 보안 세미나에서 사용하였던 강연 자료 입니다. 이 자료를 사용하였던 보안 세미나가 정확하게 어떤 자리였는지는 기억이 나지 않습니다만, 경찰청에서 주관하여 진행하였던 보안 세미나로 기억 됩니다.

지금 인터넷으로 찾아보니 경찰청 주관으로 진행한 국제사이버범죄대응 심포지엄(ISCR) 2006에서 발표하였던 자료가 맞네요...

그 때를 곰곰히 생각해보니, 30분이라는 짧은 시간에 악성코드 개론에서 분석 사례까지 진행해야 했던 어려운 상황에다, 외국에서 초청된 보안 연구원 및 보안 기업 임원들과 함께하고 제법 많은 숫자의 청중들이 함께 했던 세미나였습니다.

그래서 그랬는지 평소와 달리 긴장감이 컸었는지, 저도 모르게 강연 마지막에 말이 조금 꼬이면서 엉뚱하게 버벅거리는 어이 없는 실수를 했었던 기억이 새록 새록 나는군요..

당시에 발표한 자료는 기존 외부 보안 세미나에서 발표했던 자료들의 내용과 큰 차이는 없습니다만, 실제 침해 사고에 사용되었던 악성코드를 실제 분석하는 과정과 결과를 도출하는 케이스 스터디 형식을 포함하고 있습니다.

그래서 전체 목차는 아래와 같이 크게 4개로 나누었으며, 마지막 악성코드 분석 사례에서는 Dropper/PcClient.47873를 분석하였습니다.

1. 악성코드와 동향
2. 악성코드 분석 프로세스
3. 악성코드 분석 유틸리티
4. 악성코드 분석 사례

그 당시 Dropper/PcClient.47873를 분석 대상으로 삼았던 이유는 실제 침해 사고에 사용되었던 샘플이었습니다.

거기다 당시에는 보기 드물게 드라이버 파일을 이용한 커널(Kernel) 모드 은폐, 스레드 인젝션(Thread Injection) 기능을 이용한 글로벌 후킹(Global Hooking)으로 키로깅(Keylogging) 기능 등을 수행하는 기밀 정보와 데이터 탈취를 목적으로 한 조금은 특별한 샘플이었기 때문입니다.

악성코드와 기업의 악성코드 대응

오늘 공유하는 자료는 2006년 11월 L 기업의 보안관제팀원들을 대상한 보안 세미나에서 강연한 자료 입니다. 당시 기억으로는 안랩 외에도 다른 기업들도 초청되어 다양한 보안 관련 주제들로 강연이 진행되었던 것 같습니다.

처음 초정을 제안 받고 난 후, 한 동안 보안을 주요 업무로 전담하시는 분들께 어떠한 정보를 드리는 것이 좋을지, 현업에서는 어떠한 부분을 고민하고 있을까로 이래 저래 말씀들도 듣고고민을 많이 했었습니다. 그래서 내린 결론은 저의 전문분야인 악성코드 현황과 대응 방안을 중심으로 강연을 진행하기로 결정 하였습니다.

그래서, 당시의 악성코드 상황과 기술적인 변화 그리고 기업 내부에서 악성코드 대응을 위한 보안 정책과 악성코드 감염이 의심되는 침해 사고 시스템 분석을 위해 안레포트(AhnReport)를 어떻게 활용하는 것인가를 다루었습니다.

이러한 내용들을 담고 있다보니 목차 역시 여기 맞게 다음과 같이 구성되어 있습니다.

1. 악성코드 유형별 최근 동향
2. 악성코드 기술적 동향
3. 주요 악성코드의 감염 기법
4. 기업 악성코드 대응
5. 향후 연구 과제
6. 참고 문헌

2006년 발표한 "악성코드와 웜" 강연 자료

2006년 9월에 ASEC 내부 세미나에서 발표한 자료 입니다. 지금은 이슈와 되고 있는 대부분의 보안 위협들이 백도어(Backdoor) 및 트로이목마(Trojan Horse)에 의해 발생하고 있지만, 이 당시 발생하는 보안 위협들 대부분이 웜(Worm)에 의해 발생하고 있던 시기 였습니다.

특히 일반 기업 내부망에서는 웜에 의해 발생하는 대량의 네트워크 패킷으로 인해 내부망 전체가 다운이 되거나, 정상적인 통신이 이루어지지 않는 문제들이 많았습니다. 그러다 보니 웜에 의해 발생하는 보안 위협 사례들에 대해 연구들이 많이 이루어지던 시기였습니다.

그러한 연구의 일환으로 진행되었습니다. 그래서 해당 발표 자료에서는 웜이란 무엇이며, 익스플로잇(Exploit)을 이용해 윈도우 시스템의 취약점을 악용하는 웜과 웜의 복사본이 첨부된 메일들을 대량으로 발송하는 메스 메일러(Mass-Mailer)의 특징들에 대해 다루고 있습니다.

악성코드와 분석 방안 그리고 시스템 복구

오늘 공개하는 자료는 2006년 5월에 2차에 걸쳐서 실제 고객사에서 악성코드 대응과 기술 지원을 담당하시는 부서분들을 모시고 진행된 보안 교육에 사용된 자료 입니다.

1차에 사용된 자료는 주로 악성코드에 대한 개략적인 이해와 분석 방법론 그리고 분석에 사용되는 공개용 유틸리티로 구성되어 있습니다.

전체적인 큰 흐름은 지난 번에 공유한 코코넛의 보안 관제 업무를 담당하시는 분들과 함께 진행되었던 강연과 비슷합니다.

하지만 실제 필드에서 감염이 의심되는 시스템을 점검하시는 기술지원 부서분들이라, 공개용 유틸리티로 시스템을 점검하는 것에 주된 포커스가 맞추어져 있습니다.

2차에 사용된 자료는 실제 악성코드의 형태별로 시스템 감염시에 발생할 수 있는 증상들과 특징들 정리하였습니다.

그리고 마지막 부분에서는 윈도우 시스템에 내장되어 있는 시스템 백업 및 복구 기능들을 이용하는 방안들을 정리 한 것입니다.

2006년 5월.. "악성코드 분석 도구"

2006년 5월 부서내 세미나에서 발표한 악성코드 분석 방법론과 악성코드 분석에 사용되는 공개용 유틸리티들을 정리한 내용입니다.

지금은 자동화되고 시스템화 된 부분이 많지만, 분석가 입장에서는 수작업, 메뉴얼적으로 분석을 할 때에 알아야하는 분석 방법론과 이에 사용하는 여러 분석 관련 유틸리티들을 정리한  내용입니다.

마지막 페이지에서는 악성코드 분석을 위해 참고하기 위한 서적들을 정리 해두었습니다.

참고 서적 리스트를 보다 보니 이 당시에 이런 저런 분석과 관련된 서적과 자료들을 많이 읽고 고민 했었던 것들이 생각나네요...

악성코드 개론....2006년도 4월 버전...

오늘 이야기하는 주제는 악성코드 개론으로, 2006년 4월 ASEC(시큐리티대응센터) 내부적으로 진행되었던 세미나에서 강연한 내용입니다.

아주 가볍게 보실 수 있는 내용이고 기술적으로 복잡하거나 어려운 내용들은 아니라서, 컴퓨터와 보안에 대해 지식이 없는 일반인들이라도 쉽게 보실 수 있는 내용입니다.

개략적인 목차는 악성코드 개론이라는 주제에 맞추어서 총 5가지 소주제로 나누어 1. 악성코드 정의, 2. 악성코드 분류, 3. 악성코드 연대기, 4. 악성코드 감염 경로와 5. 참고 서적 으로 분류되어 있습니다.

2006년도에 강연한 "악성코드와 분석 방법"

아마도 연구소 내부가 아니라 외부에서 악성코드 분석과 관련한 강연을 한 것은 2006년 3월이 처음으로 기억됩니다.

그 당시 안랩의 관계사로 있는 코코넛(지금은 합병이 되어 보안 관제 사업부로 존재합니다.)의 보안 관제 업무를 하시는 분들을 대상으로 악성코드가 무엇이고 악성코드를 분석하기 위해서는 어떠한 선수 지식이 필요하고 어떠한 방법론으로 분석을 하는지 강연을 했던 적이 있습니다.

업무적으로는 익숙한 프로세스와 지식들이었지만 이를 다시 하나의 자료로 만들어 강연을 해야 된다는 것이 쉽지는 않은데다, 3시간 정도라는 한정된 시간으로 악성코드 분석과 관련된 것을 모두 설명한다는 것 자체가 어렵다는 것을 잘 알고 있었습니다.

그래서 최대한 많은 부분들을 설명하되, 향후에도 자료를 보고 혼자서 학습을 할 수 있도록 도움을 드리고자 많들었던 기억이 많이 납니다.

목차는 크게 3가지로 나누어집니다.

첫 번째로 "악성코드 개요"로 악성코드 정의 및 형태적 분류들 그리고 특징들을 다룹니다. 그리고 두 번째로 "악성코드 분석"으로 악성코드 분석을 위해 필수적으로 알아야 되는 선수 지식들과 분석에 사용되는 공개용 유틸리티들 그리고 이를 적용한 분석 방법론을 설명합니다. 마지막으로 "맺음말"에서는 악성코드의 향후 발전 방향과 이에 대응하기 위한 연구과제들 그리고 악성코드 분석에 도움이 될만한 웹 사이트와 서적들을 포함하고 있습니다.

아래는 SlideShare에 공유한 그 당시 강연에 사용되었던 자료 입니다.