2012년 12월 9일 일요일

유쾌, 상쾌 발랄한 Daybreak의 공연

개인적으로 SBS를 통해 방송된 탑밴드(TOP Band)라는 프로그램을 국내 밴드 음악에 미친 영향이 크다고 생각하고 있습니다. 언더그라운드에 묻혀 빛을 보지 못하고 있는 실력있고 좋은 밴드들을 오버그라운드로 끌어내어 대중들에게 보여 주었다는 점에서 한국 밴드 음악의 새로운 시대를 열었다고 생각 됩니다.

날씨가 쌀쌀했던 11월 25일에는 탑밴드(TOP Band)를 통해 알게된 데이브레이크(Daybreak)라는 모던 록 밴드의 공연을 보러 가게 되었습니다. 와이프의 경우 저와 음악적 성향이 달라 록 밴드 음악을 그다지 좋아하는 편은 아닙니다. 하지만, 데이브레이크만은 저보다 더 그들의 음악을 좋아하더군요. 그래서 간만에 애기를 가진 와이프와 함께 둘이서 데이브레이크의 공연을 보러가게 되었습니다.


데이브레이크의 공연이 열린 인터파크아트센터 아트홀은 홈페이지만을 보고 운전을 해서 찾아기기에는 험난한 길이었습니다. 초행길에 운전을 한 저는 네비게이션만 믿고 갔었는데, 어이 없게 인터파크 홈페이지에 나와 있는 아트홀의 주소로는 검색이 되지 않았습니다. 그래서 일단 양화대교 넘어 합정역 부근이라고 하니 근방에 가면 보이겠지 싶어 우선 출발은 하였습니다만, 어디인지 찾기가 쉽지 않았습니다.

결국, 근처를 한바퀴 돌고 난 뒤에 KT 올레내비로 검색을 해보니 양화대교에서 홍대 방향으로 넘어온 후에 바로 왼편, 합정역과 연결된 대형 건물이었습니다. 오히려 합정역과 연결된 메세나폴리스라고 홈페이지에서 언급을 했더라면 조금 더 찾기가 쉽지 않았을까 하는 생각을 했습니다.


공연장 부근을 헤매느라 공연장에 10분 정도 늦게 입장하여, 뒤늦게 자리 안내를 받고 2층 일반 좌석에 앉았습니다. 2층이라 공연장과의 거리감은 조금 있었지만, 아트홀의 조명 시설과 무대 배치 그리고 환기 시스템은 여느 공연장 보다 좋았습니다. 2시가 30분이 넘는 공연을 하게 되면 공연장 내부 환기가 잘 되지 않을 경우, 공연장 전체가 습해지거나 탁해져 공연을 보기가 힘든 경우가 생깁니다. 그런데 인터파크 아트홀은 공연이 끝날때까지도 전혀 그런 느낌을 받지 못할 정도로 내부 환기와 시설이 좋았습니다.

2시간 30분이 넘는 데이브레이크의 공연은 올해 마지막 공연이고 3일간 이어진 공연의 마지막 날이어서 인지 밴드는 어느 때보다도 활기차 보였습니다. 그리고 다른 국내 밴드들과 달리 중간 중간 유머러스한 동영상과 퍼포먼스를 보여주어 공연 관람을 온 관객들을 특별하게 즐겁게 보낼 수 있도록 만들어 주었습니다. 덕분에 와이프도 너무 즐겁고 재미 있는 시간이었다며, 다음에도 가보고 싶어 했습니다.

데이브레이크의 공연은 모던 록 밴드답게 경쾌하고 활발한 분위기에서 3시간 가깝게 진행되었습니다. 다음에 또 기회가 된다면 가볼 생각입니다.

AVAR2012.. 중국의 고대 도시 항주로..

정보 보안(Information Security)과 관련된 컨퍼런스들은 한국 뿐 만이 아니라, 전 세계적으로 많이 개최되고 있습니다. 여기에서는 다양한 분야의 논문들이 발표되고 보안 관련 연구원 및 엔지니어들과 함께 다양한 토론들이 열리게 됩니다. 정보 보안(Information Security)과 관련된 많은 영역들 중에서 악성코드와 관련된 다양한 주제들을 바탕으로 진행되는 국제 컨퍼런스들이 있습니다.

그 중에는 올 해 11월 중국 항주에서 개최된 AVAR(Association of anti Virus Asia Researchers)라는 국제 컨퍼런스가 있습니다. AVAR는 아시아에 기반을 둔 안티 바이러스(Anti-Virus) 업체들을 중심으로 매 해 11월 아시아 국가들의 도시를 개최지로 해서 진행이 됩니다. 다만, 현재에는 서양 여러 보안 업체들도 참여를 해 논문을 발표하고 있어, 이제는 아시아 보안 업체들만의 컨퍼런스라고 보기 어려울 정도로 커졌습니다.

올 해 11월 12일에서 14일 중국 항주에서 열린 AVAR에는 올해로 15회째를 맞이한 컨퍼런스는 중국의 고대 도시 중 하나인 항주에서 열렸으며, 저 역시 2008년도 이후 4년만에 중국 출장을 가게 되어 예전 생각도 많이 나더군요.


중국 항주에서 열린만큼 이번 AVAR 컨퍼런스에서는 중국 보안 업체들의 대거 참여가 역시 중국답구나 하는 생각이 많이 들게 해주었습니다. 그리고 Welcome Party에서는 과거에 치루어졌던 AVAR 컨퍼런스와 별다른 차이가 없었습니다.


하지만, 첫 째날 저녁에는 중국에서만 볼 수 있는 전통 가곡과 전통 무용 등을 보여주며 중국에서 열린다는 사실들을 보여주기에는 충분하였습니다. 다만, 음식 마저 중국 전통 음식들 위주로 나와서, 서양에서 온 연구원들에 대한 배려가 너무 부족하지 않았나하는 생각이 듭니다.

컨퍼런스가 이틀에 걸쳐 끝난 이후에는 잠시 시간을 내어 항주 인근의 유명한 도시인 우전으로 관광을 갔었습니다. 우전이라는 도시는 이탈리아의 유명한 수상 도시 베네치아처럼 물위에 집을 짓고 생활하였던 도시입니다.



지금은 많은 젊은이들이 도시로 빠져나가고, 정부 정책들에 의해 여기에서 생활하고 있는 지역 주민들은 많지 않다고 합니다. 여기 저리 둘러보니, 수상 가옥에서 하룻밤을 보내고 싶은 사람들을 위해 민박이 활성화 되어 있었습니다.

예전 대학시절 배낭여행으로 항주에 들렸었습니다. 그 때로 부터 벌써 12년이라는 시간이 흘러 저 역시 항주에 대한 기억이 그리 많이 남아 있지 않았습니다. 이번 AVAR2012를 통해 예전 배낭여행 생각도 들고 우전이라는 수상 도시도 경험해본 즐거웠던 일주일간의 출장이었던 것 같습니다.

내년 AVAR2013은 인도 보안 업체인 K7의 주관으로 인도에서 개최됩니다. 인도에는 아직 가보지 못해 어떠한 모습의 나라인지 기대가 됩니다. 내년에도 출장 기회가 된다면 인도라는 나라는 경험해보고 싶다는 생각이 많이 듭니다.

2012년 11월 22일 목요일

소셜 네트워크 서비스에서의 보안 위협

거의 보름만에 다시 블로그에 글을 남기게 되는 것 같습니다. 지난 일주일간은 중국 항주에서 진행된 제 15회 AVAR(Association of anti Virus Asia Researchers) 보안 컨퍼런스에 참석하고, 거기에 따른 출장 준비 등을 하느라 2주 정도를 바삐 보낸 것 같습니다. 조만간 AVAR 컨퍼런스 참석과 중국 항주 관광과 관련된 사진들을 올려보도록 하겠습니다.

오늘 작성하는 글은 2011년 7월 "월간 안"에 기고한 소셜 네트워크(Social Network)와 관련된 보안 위협들에 정리한 "소셜 네트워크 서비스에서의 보안 위협"이라는 원고 입니다. 지난 번 원고에서는 트위터(Twitter)라는 특정 소셜 네트워크 플랫폼과 서비스에서 발생하는 보안 위협들에 대한 연구에 촛점이 맞추어진 원고라면, 이번 원고에서는 트위터 외에 페이스북(Facebook)을 포함해 소셜 네트워크 플랫폼을 악성코드 유포나 개인 정보 탈취 등에 악용하는 다양한 형태들을 연구했다는 차이점이 있습니다.


+---------------------------


보안 위협은 현재의 IT 트렌드와 사회적인 이슈에 민감하게 반응한다. 이러한 경향을 살펴봤을 때 악성코드 제작자들에게 현재 가장 매력적인 먹잇감은 단연 SNS(Social Network Service)이다. SNS에서 발생하는 보안 위협의 특징과 실제 사례를 살펴보자.

소셜 네트워크 서비스로 인한 사회적 관계의 변화

최근 한국인터넷진흥원(이하 KISA)에서는 ‘2011년 상반기 스마트폰(Smartphone) 이용 실태 조사’라는 흥미로운 보고서를 발표했다. 이 보고서는 전국 만 12세에서 29세 사이의 스마트폰 사용자 4천 명을 대상으로 스마트폰 활용 실태를 조사한 것으로 국내에 보급된지 얼마 되지 않은 스마트폰이 우리 일상 생활에 얼마나 밀접하게 활용되고 있는지를 잘 보여주고 있었다.

또한 이 보고서에는 최근 몇 년 사이 급속하게 사용자가 증가하고 있는 소셜 네트워크 서비스(Social Network Service, 이하 SNS) 관련 통계도 포함되어 있었다. 스마트폰 사용자의 87.1%가 SNS를 이용한 경험이 있으며, 이용 빈도는 커뮤니티, 마이크로 블로그, 미니홈피 순서로 그 활용 빈도가 높다는 것을 잘 알 수 있다.

[그림 1] 스마트폰을 이용한 SNS 이용 경험
(출처: KISA ‘2011년 상반기 스마트폰 이용 실태 조사)

스마트폰으로 SNS를 이용한 경험이 있는 사용자들은 일일 평균 1.9시간을 SNS 이용에 소비하고 있다. 그리고 전체의 42.3%가 하루 1시간 이상 소셜 네트워크 서비스를 이용하였으며, 그 중 24.3%는 하루 2시간 이상 소셜 네트워크 서비스를 이용하는데 보내고 있었다.

[그림 2] 스마트폰을 이용한 SNS 이용 시간
(출처: KISA ‘2011년 상반기 스마트폰 이용 실태 조사)

그리고 SNS를 이용하는 목적에 있어서도 커뮤니케이션, 정보 습득 및 교류, 그리고 친교 및 교제라는 측면이 가장 높아 오프라인의 일상 생활을 통해 형성된 인간 관계를 다시 온라인의 소셜 네트워크 서비스를 통해 연결하고 확장해가는 형태를 보이는 것을 알 수가 있다.

[그림 3] 스마트폰을 이용한 SNS 이용 목적
(출처: KISA ‘2011년 상반기 스마트폰 이용 실태 조사’)

이렇게 손안의 컴퓨터라는 스마트폰을 이용한 SNS 활용은 우리에게 많은 생활의 변화를 주었으며, 인간 관계에 있어서도 시간과 공간의 제약 없이 언제나 온라인의 네트워크를 통해 인간 관계가 항상 연결되어 있는 편리한 시대에 살고 있다.
하지만, 모든 사물들에는 밝은 면의 순기능이 존재한다면 이에 반대되는 어두운 면의 역기능이 존재하듯이 SNS 역시 이를 악용한 보안 위협들이 발생하였으며, 현재도 계속 발생하고 있는 실정이다.

소셜 네트워크 서비스에서 발생한 보안 위협들의 특징

1. SNS와 사회 공학(Social Engineering) 기법

트위터(Twitter) 및 페이스북(Facebook)과 같이 최근 몇 년 사이 사용자가 급격하게 증가하고 있는 SNS는 모두 기본적으로 오프라인에서 형성된 인간 관계를 온라인에서도 이어갈 수 있도록 도와 주고 있다. 그리고 이 모든 SNS의 핵심적인 목적과 기능들은 해당 서비스에 가입한 사용자가 오프라인에서 이미 가지고 있는 인간 관계를 바탕으로 서로 신뢰 관계의 사람들을 연결해주거나 공통의 관심사가 있는 사용자들간의 연결을 통해 새로운 인간 관계를 형성할 수 있도록 하고 있다. 이렇게 형성된 인간 관계를 바탕으로 서로간의 일상 생활 소식과 생활 중에 알게 된 다양한 흥미로운 정보 및 소식들을 공유 할 수 있도록 하고 있다. 그러므로 결국 모든 SNS에 있어 핵심적인 키워드는 사람과 인간 관계라고 볼 수 있다.

그러나 정보 보호(Information Security) 분야에서는 모든 보안 취약점들 중에서 가장 취약한 부분은 사람이며 언제라도 보안 위협에 노출될 가능성이 가장 높은 것으로 지적하고 있다. 이러한 관점에서 바라본다면 SNS 사용자들은 보안 위협에 노출될 가능성이 높다. 실제 SNS에서 발생하고 있는 보안 위협 사례들을 분석해보면 그 근간에는 모두 사람을 해킹(Hacking)한다는 사회 공학(Social Engineering) 기법이 차지하고 있다.

소셜 네트워크 서비스에서 사회 공학 기법들이 쉽게 악용하고 있는 방식은 사용자들이 쉽게 흥미를 가질 수 있는 주제들이나 이미 형성된 인간 관계 속에서 신뢰할 수 있는 사람들이 보낸 메시지들로 사칭하거나 위장하고 있다. 따라서 인간 관계가 핵심 목적인 SNS 사용자들은 상대적으로 보안 위협에 쉽게 노출될 수 밖에 없다.

2. 단축 URL(URL Shortening)의 편리성과 위험성

SNS의 발달은 이를 더욱 편리하게 사용하기 위해 파생된 다른 유용한 서비스들도 많이 제공되고 있다. 이러한 대표적인 사례로 스마트폰에 설치되는 다양한 소셜 네트워크 서비스들을 지원해주고 있는 앱(App)들을 예로 들 수 있으나, 가장 대표적인 서비스로 볼 수 있는 것은 단축 URL(URL Shortening) 서비스이다.

트위터의 경우 140자라는 제한된 메시지의 길이로 인해 인터넷에 존재하는 다양한 흥미로운 정보들을 가지고 있는 길다란 웹 페이지의 URL을 쉽게 전달하기가 어렵다. 그러나 단축 URL은 미리 정의된 짧은 형식의 URL을 이용하여 길다란 웹 페이지의 URL을 대체함으로써 제한된 길이의 메시지 내에서도 충분히 길다란 웹 페이지의 URL을 공유하거나 전달할 수 있는 편리성을 제공하고 있다.

[그림 4] 트위터 메시지에 포함된 단축 URL로 연결된 웹 페이지

그러나 이러한 편리성을 가진 단축 URL은 길다란 웹 페이지의 URL을 짧은 URL로 대체함으로써 사용자의 입장에서는 대체된 단축 URL이 실제 어떠한 웹 페이지로 연결될지 쉽게 예측하고 확인하기가 어렵게 된다.

이러한 문제로 인해 실제 소셜 네트워크 서비스에서 전달되는 메시지들에 포함된 단축 URL들 중에는 피싱(Phishing)이나 악성코드 유포를 위한 웹 사이트들로 연결하는 단축 URL들이 다수 존재하고 있다.

[그림 5] SNS 사용자를 대상으로 한 악의적인 URL (출처: 시만텍)

글로벌 보안 업체인 시만텍(Symantec)은 ‘Symantec Internet Security Threat Report Trends for 2010’를 통해 2010년 4분기 동안 SNS 사용자들을 대상으로 한 악의적인 URL 중에서 65%가 단축 URL 형태를 가지고 있는 것으로 밝히고 있다.
이로 인해 결국 단축 URL은 그 편리성과는 반대로 악의적인 목적으로 활용 시에는 SNS 사용자들로 하여금 보안 위협에 쉽게 노출되는 위험성도 동반하고 있다.

소셜 네트워크 서비스에서 발생한 보안 위협들의 특징

앞서 살펴본 것과 같이 SNS에서 발생하는 보안 위협들은 사용자들이 흥미를 가질 수 있는 주제로 위장하는 사회 공학 기법에 그 근간을 두고 악의적인 목적으로 제작된 웹 사이트로 연결하는 단축 URL을 활용하여 제작되고 있다. 실제 SNS에서 발생한 보안 위협 사례들을 분석해보면 공통적으로 4가지의 커다란 특징적인 형태를 가지고 있다는 것을 알 수 있다.

[그림 6] 소셜 네트워크 서비스에서 발생하는 보안 위협의 특징

1. 내부 시스템 환경 악용

SNS에서 발생하는 보안 위협 중 내부 시스템 환경을 악용하는 형태들은 SNS 내부에 이미 정의되어 있는 기본적인 규칙(Rule)들을 악용하는 형태들이다.

이러한 형태들은 트위터의 경우 사용자들 사이에 서로가 팔로어(Follower)와 팔로잉(Following)의 관계가 성립되어야지만 다이렉트 메시지(Direct Message)라는 다른 사용자들이 볼 수 없는 비밀 쪽지를 발송할 수 있다. 이러한 기본적인 규칙을 악용하여 피싱이나 악성코드를 유포하는 악의적인 웹 사이트들을 다른 트위터 사용자들이 인지하지 못하도록 은밀하게 전송이 가능하다.

2. 사용자 생태계 악용

현재 서비스 되고 있는 트위터 및 페이스북(Facebook)과 같은 유명 해외 소셜 네트워크 서비스의 경우에는 해당 서비스들을 이용하기 위한 가입 절차가 국내와 비교하여 비교적 간단하게 메일 주소와 암호 입력만으로도 바로 사용이 가능하다.

[그림 7] 사용자 이름과 이메일 주소만 입력하면 가입이 가능한 페이스북

이러한 간편한 가입 절차로 인해 악의적인 목적으로도 다수의 허위 사용자 계정들을 생성하여 SNS 사용자들에게 흥미로운 정보로 위장한 다양한 형태의 보안 위협들을 유포할 수가 있다. 특히 한국의 경우에는 트위터에서 ‘맞팔’이라고 하여 먼저 팔로잉을 해준 사용자에 대한 답례로 같이 팔로잉을 하는 독특한 형태의 문화로 인해 악의적인 목적으로 생성된 허위 트위터 계정들로 인해 쉽게 보안 위협에 노출될 수 있다.

3. SNS 이미지 악용

최근 몇 년 사이 SNS 사용자가 증가함으로써 각종 언론을 통해 트위터나 페이스북 사용자들이 아니더라도 많은 사람들이 해당 서비스들이 어떠한 것인지 알고 있다. 이러한 SNS의 브랜드(Brand)와 이미지 가치가 상승함에 따라 이를 악용하여 트위터나 페이스북에서 발송한 이메일 등으로 위장한 피싱 메일이나 악성코드가 첨부된 메일이 유포되었다.

4. 다른 보안 위협에서 악용

SNS 사용자들이 지속적으로 증가함으로 인해 기업의 입장에서는 마케팅이나 홍보를 위한 도구로도 소셜 네트워크 서비스가 이용되고 있다. 그리고 사용자들은 개인 프로필에서도 역시 자신이 일하는 기업을 공개하며 기업 홍보를 돕고 있다.
이러한 소셜 네트워크 서비스의 생태계로 인해 사용자의 활동이나 기업의 활동에 대한 정보 수집이나 오프라인 범죄 등을 위한 사전 정보 수집 도구로서 SNS가 악용되고 있다.

소셜 네트워크 서비스에서 발생한 보안 위협 사례들

앞서 SNS에서 발생하고 있는 보안 위협들의 분석을 통해 4가지 커다란 특징들을 살펴보았다. 현재 발생하고 있는 보안 위협들은 전세계적으로 사용자가 비교적 많은 트위터와 페이스북을 중심으로 발생하고 있다. 해당 서비스들에서 발생한 보안 위협들에 대해 구체적인 사례들을 통해 살펴보도록 하자.

1. 트위터에서 금전 거래되는 팔로어 및 악의적인 트위터 계정

2010년 3월에는 유럽에서 허위 백신을 유포하기 위한 목적으로 다수의 허위 계정들이 생성된 것이 발견되었다. 생성된 허위 계정들은 [그림 8]과 같이 다수를 이루고 있으며, 해당 허위 계정들에 의해 트위터 내부로 유포된 메시지들은 사용자들이 흥미를 가질 만한 주제와 함께 허위 백신을 설치하도록 유도하는 악의적인 웹 페이지로 연결되는 단축 URL들이 포함되어 있었다.

[그림 8] 금전 거래를 통해 트위터 팔로어를 늘려준다는 웹 사이트

그리고 2010년 7월에는 해외에서 생성된 트위터 계정을 통해 금전적인 대가를 지불하면 [그림 9]와 같이 금전적인 대가에 따라 특정 수치만큼의 트위터 팔로어를 늘려준다는 광고 웹 사이트가 발견되었다.

[그림 9] 금전 거래를 통해 트위터 팔로어를 늘려준다는 웹 사이트

2. 트위터 DM(Direct Message)으로 피싱(Phishing) 웹 사이트 링크 전달

2010년 2월에는 트위터에서 상호 팔로잉이 되어 있는 사용자들에게 피싱 웹 사이트로 연결하는 단축 URL이 포함된 다이렉트 메시지가 유포되었다. 유포된 다이렉트 메시지에는 [그림 10]과 같이 사용자로 하여금 호기심을 유발하게 하는 메시지와 함께 단축 URL이 포함되어 있었다.

[그림 10] 트위터 다이렉트 메시지로 전달된 피싱 웹 사이트

다이렉트 메시지에 포함되어 있는 단축 URL을 클릭하게 될 경우에는 [그림 11]과 같이 허위로 제작된 트위터 로그인 웹 사이트로 연결되며, 해당 웹 페이지를 통해 수집된 트위터 사용자 정보들은 모두 중국에 위치한 특정 서버로 전송되었다.

[그림 11] 허위 트위터 로그인 페이지

그리고 2010년 11월에는 다양한 피싱 웹 페이지를 간편하게 생성이 가능한 피싱 툴킷(Toolkit)에서도 페이스북과 마이스페이스(MySpace)와 같은 SNS의 로그인 웹 페이지가 생성 가능한 것이 발견되었다.

[그림 12] 다양한 피싱 웹 페이지 생성을 위한 피싱 툴킷

3. 트위터를 이용한 허위 사실 유포

2009년 6월에는 팝가수 브리트니 스피어스(Britney Spears)의 트위터 계정이 해킹되어 브리트니 스피어스가 사망하였다는 허위 사실이 유포되었다.

[그림 13] 브리트니 스피어스의 계정으로 유포된 허위 사망 소식
(출처: Sophos)

이러한 트위터를 이용한 허위 사실 유포는 국내에서도 역시 유명 영화배우를 사칭한 허위 트위터 계정을 통해 새로운 영화와 관련한 허위 내용들을 유포한 사례가 존재한다.

4. 페이스북과 트위터로 위장한 악성코드 및 성인 약품 광고 스팸 메일 발송

2009년 9월에는 트위터에서 사용자가 발송한 친구 초대 메일로 위장하여 악성코드 감염을 시도한 사례가 발견되었다. 또한 2010년 6월에는 트위터에서 발송한 사용자 계정에 대한 암호 변경 안내 메일로 위장하여 악성코드 감염을 시도한 사례가 나타났다.

그리고 2010년 5월에는 [그림 14]와 같이 트위터에서 발송한 메일로 위장하여 성인 약품 광고를 위한 웹 사이트로 연결을 유도한 스팸(Spam) 메일도 발견되었다.

[그림 14] 트위터에서 발송한 메일로 위장한 성인 약품 광고를 위한 스팸 메일

2009년 10월과 2011년 1월에는 페이스북에서 발송한 것으로 위장한 사용자 정보 업데이트 안내 메일과 사용자 암호 변경 안내 메일로 위장한 메일에 악성코드가 첨부되어 유포된 것이 발견되었다.

[그림 15] 페이스북 사용자 암호 변경 메일로 위장한 악성코드 유포

5. 트위터를 이용해 악의적인 봇넷 구성과 조정

2009년 8월과 2010년 5월, 그리고 8월에는 트위터로 조정이 가능한 악성코드인 트윗봇(TwitBot) 생성기가 발견되었으며, 국내에서도 P2P(Peer to Peer) 프로그램을 통해 유용한 유틸리티로 위장하여 공유되고 있는 트윗봇 악성코드가 발견되었다.

[그림 16] 트위터를 이용해 봇넷(Botnet) 구성 및 조정

악성코드 제작자는 [그림 16]과와 같이 트윗봇 생성기를 통해 악성코드를 생성한 후 취약한 웹 사이트 또는 P2P 프로그램 등에서 동영상 파일이나 유용한 프로그램 등으로 위장하여 유포한다. 이렇게 유포된 해당 악성코드에 감염된 시스템들은 악성코드 제작자가 악성코드 생성 당시에 지정해둔 특정 트위터 계정의 웹 페이지로 접속을 시도하여 접속이 성공하게 될 경우 악성코드 제작자에 의해 생성되어 있는 트위터 메시지들을 명령으로 수신하여 특정 시스템에 대한 DDoS(Distributed Denial-of-Service) 공격 등을 수행할 수가 있다.

6. APT(Advance Persistent Threat) 형태의 위협에서 정보 수집 수단으로 트위터 활용

2011년 3월 해외 보안 업체인 EMC/RSA에서 발생한 기업 기밀 탈취를 목적으로 한 APT 형태의 보안 사고가 발생하였다. 해당 보안 사고에서 공격자는 타깃 공격(Targeted Attack)을 위해 사전에 장시간 동안 해당 업체에 근무하는 임직원들의 트위터를 모니터링하며 공격 대상 선정과 유효하게 적용될 사회 공학 기법 개발을 위한 목적으로 관련자 개인 정보를 수집 하였다.

[그림 17] EMC/RSA에서 발생한 APT 형태의 보안 위협 (출처: EMC/RSA)

7. 페이스북 담벼락과 채팅 메시지로 악성코드 유포

2010년 11월과 12월에는 페이스북 사용자들 사이에서 사용이 가능한 채팅 창을 통해 악성코드를 다운로드하는 악의적인 웹 사이트가 유포되었다. 그리고 2011년 2월에는 페이스북 사용자들의 담벼락에 악성코드를 다운로드 하도록 유도하는 악의적인 웹 사이트가 특정 게시물에 포함되어 유포되었다.

[그림 18]  페이스북 담벼락에 게시된 악성코드를 다운로드하는 웹 사이트

2011년 5월에는 미국 정부에 의해 테러 조직인 알카에다의 지도자인 오사마 빈 라덴(Osama Bin Laden)이 사망하였다는 소식이 국내외 언론을 통해 공개된 이후, 페이스북에는 [그림 19]와 같이 빈 라덴 사망 동영상으로 위장한 허위 백신 유포 시도 사례가 발견되었다.

[그림 19] 빈 라덴 사망 소식을 이용한 허위 백신 유포 시도

8. 소셜 네트워크 서비스를 전파 경로로 악용하는 악성코드

2011년 6월에는 다양한 소셜 네트워크 서비스를 전파 경로로 악용하는 악성코드가 발견되었다. 해당 악성코드는 사용자가 많은 트위터와 페이스북 외에도 다른 소셜 네트워크 서비스들인 러시아에서 많이 이용되는 브 칸탁제(Vkontakte), 미국에서 이용되는 베보(Bebo)와 프렌드스터(Friendster)로도 동시에 악성코드 유포를 시도한 특징이 존재한다.

[그림 20] 트위터와 페이스북으로 동시에 전파되는 악성코드의 코드 중 일부


맺음말

소셜 네트워크 서비스를 통해 우리는 매일 사회적으로 좋은 관계를 유지하고 있는 많은 사람들의 좋은 이야기들을 전해 듣거나 나 자신이 겪는 다양한 세상사는 이야기들을 전하는 즐거움을 느끼고 있다.

그러나 그 이면에는 다양한 보안 위협들도 같이 포함이 되어 있어 많은 주의가 필요하다는 것을 소셜 네트워크 서비스에서 발생한 다양한 보안 위협 사례들을 통해 쉽게 알 수 있다.

특히 기업에 있어서는 소셜 네트워크 서비스의 활용이 기업 마케팅과 이미지 제고에 많은 도움을 줄 수도 있지만 사내 임직원들의 잘못된 소셜 네트워크 서비스의 이용은 기업 네트워크로 심각한 피해를 유발할 수 있는 악성코드의 유입 접점이 될 수도 있다. 이와 함께 APT 위협 형태의 기업 기밀 유출이라는 심각한 보안 사고까지 유발할 수 있는 부작용이 발생 할 수 있다는 점을 반드시 인식할 필요가 있다.

그러므로 기업에서는 기업 보안 정책에 있어 소셜 네트워크 서비스를 어떠한 방식으로 통제를 할 것인지에 대한 진지한 고민이 필요하다. 기업 임직원들의 경우에는 과도한 개인 정보와 기업 활동 정보의 공개는 자신 뿐만 아니라 기업에 있어서도 심각한 보안 사고로 직결될 수 있다는 점을 분명히 인지하여야만 한다.

2012년 11월 7일 수요일

전작에 미치지 못하는 실망스러운 통찰력....

예전 국사 시간이나 세계사 시간에 수업 했던 것을 생각해보면, 어떠한 민족의 고대 부족이던 부족장은 나이가 지긋이 있는, 영화나 드라마에서처럼 할아버지와 같이 제일 연장자가 맡는 경우가 대부분입니다.
그렇지 않다면 부족장은 젊고 힘이 센 남성이 있다면 항상 원로회라는 부족 연장자들의 모임처럼 부족을 잘 이끌 수 있는 조언들을 해주는 인물들이 항상 등장합니다.
이러한 부분에서 학창 시절 제가 가졌던 궁금함 중 하나는 왜 연장자들이 조언자나 조력자의 위치를 가지는가 입니다. 그러한 질문에 대한 해답으로 제 스스로가 나이가 들면서 깨닫게 된 것들은 다양한 경험과 다방면의 독서들로 인해 생긴 섬세하게 발달한 통찰력(Insight) 때문이라는 것 입니다.

이러한 통찰력과 관련해 개인적으로 좋아하는 작가 중 한명이 바로 말콤 글래드웰(Malcolm Gladwell) 입니다. 예전에 출판된 그의 저서 티핑포인트(Tipping point), 블링크(Blink), 아웃라이어(Outliers)에서 보여준 우리가 살고 있는 현대 사회에서 발생하는 다양한 현상들에 대한 놀라운 표현력과 통찰력은 순식간에 책에 물입하게 만들 정도 입니다.
제가 최근에 읽게된 말콤 글래드웰의 책은 2010년에 출판된 그의 네번째 저서 "그 개는 무엇을 보았나" 입니다. 최근 집 근처까지 분당선이 개통되어 1번의 환승으로 출근하게 되면서 부터는 전철안에서 책을 읽게되는 시간이 조금 늘었습니다. 그 덕분에 이 책을 읽는 대부분의 시간 역시 분당선 안에서 보내게 되었습니다.


이 번에 읽게된 그의 책은 개인적으로 실망감이 컸습니다. 이전 3권의 책에서 보여주었던 말콤 글래드웰의 깊은 통찰력들과 날카로운 비판력은 어디에서도 찾아 볼 수 없었습니다.

이러한 그의 기존 저서들에 나타나는 특징들이 사라지게 된 배경에는 여러가지가 있다고 생각됩니다. 먼저 이 번 책은 하나의 주제에 대해 깊이 있는 연구와 분석을 근간으로 쓰여진 것이 아니라 그가 10년 넘게 인터뷰와 취재를 통해 모아두었던 이야기들을 전개하는 방식으로 쓰여진 책입니다.
이러한 방식으로 쓰여진 책이다 보니, 주제 역시 하나의 방향으로 정해진 것이 아니라 다양한 주제들이 책에서 언급됩니다. 이러한 부분으로 인해 역으로 저자의 견해와 의견이 추가되기 보다는 3인칭 작가 시점에서 인터뷰한 사실들만을 기록한 사건 기록에 가까운 글들이 되어 버렸습니다.
그래서 책을 읽는 내내 저자가 말하고 싶어하는 주제가 무엇인지 방향을 잡기가 힘들었고, 예전 그의 저서들에서 나타나는 새로운 분석력과 통찰력들은 드러나지 않게 되어 버렸습니다.

그렇다고 해서 책을 읽는 내내 실망감만을 느낀 것은 아닙니다. 이 책에서 나오는 여러 주제들 중에는 우리가 익히 알고는 있었지만 실제 어떠한 문제 때문에 그러한 현상들이 생겼는지 모르는 주제들도 있었습니다. 그러한 대표적인 주제가 엔론 사건을 다룬 "공공연한 비밀"과 엔론과 맥킨지의 잘못된 채용과 인사 관리를 다룬 "인재 경영의 허울" 입니다.
"공공연한 비밀"에서는 2차 세계대전 이후 우리가 접하는 정보의 양이 늘어나게 되면서 과도한 정보들로 인해 발생하는 혼란들 그리고 그로 인한 잘못된 의사 결정과 판단을 다루고 있습니다. 그리고 "인재 경영의 허울"에서는 유능한 인재란 무엇이고 그에 대한 기준이 무엇인지를 다시 한번 생각해 볼 수 있는 기회가 되었습니다.

그러나, 책을 읽는 동안은 예전 저서들에 대해 부족한 면들이 계속 생각나게 하는 점들은 어쩔 수 없었던 것 같습니다.

벌써 이 책이 출간된지도 2년이 넘었습니다. 거의 2년 간격으로 출판되는 그의 저서가 아직도 새로운 저서가 나오지 않고 있어 조금은 걱정이 됩니다. 개인적으로 다음에 출판될 그의 저서에서는 예전 만큼의 날카로운 비판력과 깊히 있는 통찰력이 나타나기를 기대 해봅니다.

2012년 11월 5일 월요일

스파이아이(SpyEye), 온라인 뱅킹 악성코드 제우스(ZeuS)의 천적일 뿐인가?

대학 시절에는 고향 집의 가족들과 떨어져 지내다 보니 부모님으로부터 용돈을 받으려면 부모님께서 은행에 가셔서 은행 계좌로 입금 해주시곤 했던 기억들이 납니다. 하지만 지금은 온라인 뱅킹이 모바일 기기에서부터 일반 PC까지 가능하다 보니 은행을 방문해야 되는 일들이 많이 줄어들게 되었습니다.

동양의 음양 이론과 문양을 봐도 알 수 있듯이 항상 밝음을 상징하는 양과 어둠을 상징하는 음은 항상 공존합니다. 이러한 면은 현대 기술 문명에서도 동일하며, 온라인 뱅킹이라는 편리한 기술과 함께 온라인 뱅킹 관련 개인 정보를 탈취하는 악성코드도 같이 공생합니다.

당시의 이러한 온라인 뱅킹 악성코드의 주류는 제우스(Zeus) 였으나, 후에 스파이아이(Spyeye)의 등장으로 양극화 현상을 띄면서 발전하게 됩니다. 그래서 2010년 11월 작성했던  원고가 안랩닷컴에 게시된 "스파이아이(SpyEye), 온라인 뱅킹 악성코드 제우스(ZeuS)의 천적일 뿐인가?" 입니다. 초안의 제목은 "스파이아이, 뱅킹 트로이목마 제우스 킬러"였는데, 원고 감수를 해주신 분의 마케팅적인 감각이 더해져서 해당 제목으로 변경되었습니다.

+-----------------

[온라인 뱅킹 악성코드 동향]

최근 해외 언론등을 통해 제우스(ZeuS)라는 온라인 뱅킹 정보를 탈취하는 악성코드의 유포자들을 체포했다는 기사들을 볼 수 있었다. 기사에 따르면 지난 4년간 제우스 악성코드를 유포하여 총 2억 달러를 탈취한 혐의로 92명을 검거했으며, 이와 함께 영국 정부에서도 20명을 체포한 것으로 알려졌다. 해당 악성코드로 인해 탈취된 현금의 규모도 놀랍지만 사건에 관계된 인물들이 92명에 달한다는 점에서도 놀라울 따름이다. 이처럼 일반적으로 사이버 범죄(Cyber Crime)에 사용되는 악성코드들의 형태를 일부 보안 업체들에서는 크라임웨어(Crimeware)라고 부르며, 제우스 악성코드 역시 이러한 크라임웨어의 범주에 포함된다고 볼 수 있다. 
그런데 엄청난 현금을 탈취한 범죄에 이용된 제우스 악성코드를 잡는 악성코드가 등장해 관심을 끌고 있다. 과연 이 악성코드는 제우스를 잡는 천적인가, 아니면 또 다른, 더욱 엄청난 위협일 뿐인가?

전 세계 인터넷 뱅킹의 공포, 제우스(ZeuS)

제우스(Zeus) 악성코드는 웹 서버를 기반으로 한 C&C(Command and Control) 서버와 제우스 악성코드를 생성하는 제우스 빌더(Zeus Builder)로 구성 된 하나의 패키지 형태다. 

그림 1. 제우스 악성코드 생성도구인 제우스 빌더

일반적으로 제우스 유포자는 블랙 마켓(Black Market)을 통해 제우스 제작자에게 현금을 지불하고 제우스 패키지를 구매한다. 그리고는 별도의 시스템, 또는 해킹한 시스템에 제우스 악성코드를 조정할 수 있는 웹 서버를 구축한 후, 제우스 빌더를 이용해 생성한 제우스 악성코드를 메일의 첨부 파일 형태나 악의적인 웹 사이트를 통해 다운로드하는 기법 등으로 유포하는 것이다.

그림 2.  제우스 악성코드가 첨부된 메일

앞서 언급한 것처럼 제우스가 유포되면서 대량의 온라인 뱅킹 정보들을 탈취하여 현금을 가로채는 수법이 성공하자 동유럽을 중심으로 형성된 블랙 마켓에서는 제우스와 유사한 형태의 또 다른 온라인 뱅킹(Banking) 트로이목마가 등장하게 되었다. 그 중 하나가 바로 스파이아이(SpyEye) 악성코드이다.

제우스 킬러, 스파이아이(SpyEye)의 탄생

스파이아이(SpyEye) 악성코드가 러시아를 포함한 동유럽 블랙 마켓 지역에서 거래되기 시작한 시기는 대략 2010년 1월경으로 추정된다. 이 악성코드가 블랙 마켓에서 주목 받게 되었던 가장 큰 이유 중 하나는 제우스에 감염된 시스템에서 제우스를 강제로 삭제하는 기능이 있었기 때문이다.
현재 언더그라운드(Underground)에 알려진 바에 따르면 스파이아이는 2명의 러시아인으로 구성된 팀이 제작했다. 팀 내에서도 역할을 분리하여 한 명은 직접적으로 스파이아이 악성코드 패키지를 제작하는 개발자이며, 다른 한 명은 제작된 스파이아이 악성코드 패키지의 홍보와 판매를 담당하고 있다. 이들은 스파이아이 악성코드 패키지를 블랙마켓에서 약 500 달러(한화 약 60만원) 정도에 판매 하고 있으며 추가 기능에 따라 약 1,000 달러(한화 약 120만원)에 판매하고 있다.
한편 스파이아이 제작팀 멤버 중 개발자는 러시아 소재의 대학에서 컴퓨터 공학을 전공하였으며 길지는 않으나 프로그램 개발 경력도 가지고 있는 것으로 알려졌다. 그러나 이후 금전적인 문제로 인해 전문적인 악성코드 제작을 시작하였으며, 스파이아이 악성코드 패키지를 제작 할 당시에는 악성코드 제작에만 하루 12시간에서 13시간 정도 몰두한 것으로 전해진다.

그림 3. 스파이아이 판매 가격과 판매자 연락처가 작성된 게시판

웹 기반의 C&C 서버를 이용한 스파이아이 컨트롤

스파이아이 역시 제우스와 마찬가지로 스파이아이를 생성할 수 있는 ‘스파이아이 빌더(SpyEye Builder)’와 생성한 악성코드를 조정하기 위한 웹 서버 기반의 ‘C&C 서버’가 하나의 패키지로 구성되어 있다.
웹 서버로 동작하는 C&C 서버는 PHP와 MySQL 데이터베이스로 동작하도록 설계되어 있다. 웹 기반으로 C&C 서버를 동작하게 되면 최초 메인 페이지 접속 시 로그인을 위한 관리자 암호를 요구한다. 정상적으로 로그인 하게 될 경우에는 그림 4와 같이 메인 웹 페이지에 접근할 수 있게 된다. 

그림 4. 스파이아이 C&C 서버의 메인 웹 페이지

메인 웹 페이지의 설정을 클릭할 경우, 그림 5와 같이 실질적으로 스파이아이 악성코드를 조정하고 악성코드가 탈취한 금융 정보들의 데이터를 확인 할 수 있는 웹 페이지로 연결된다. 해당 웹 페이지를 통해 스파이아이 유포자는 현재 스파이아이에 감염된 시스템의 IP 정보를 토대로 지리적 위치, 운영체제 및 시스템 정보 통계 등을 실시간으로 확인 할 수 있다.

그림 5. 스파이아이 C&C 서버의 컨트롤 웹 페이지

또한 스파이아이에 감염되어 있는 시스템 전체에 실시간으로 새로운 버전의 스파이아이로 강제 업데이트하는 기능을 제공하고 있다. 즉, 현재 유포한 스파이아이가 안티 바이러스 소프트웨어(Anti-Virus Software)에 의해 탐지 될 경우 언제든지 변경 할 수 있는 것이다.

그림 6. 금전적 대가로 보안 제품 탐지 결과를 알려주는 웹 사이트

또한 비용을 지불하면 그림 6과 같이 최신 엔진이 적용된 총 40개의 안티 바이러스 소프트웨어들에서 악성코드 탐지 여부 결과를 제공해주는 웹 사이트와 연동하여 실시간으로 결과를 파악하고 탐지되었을 경우 즉시 변경 할 수 있도록 하고 있다.

빌더(Builder)를 이용한 스파이아이 생성

웹 기반의 C&C 서버와 함께 제공되는 스파이아이 빌더(Builder)는 현재 언더그라운드에 공개되어 있는 버전들은 1.0.7과 1.1.39, 그리고 1.2.50 및 1.2.60 등이 존재한다. 각 버전의 빌더 별로 조금씩 다른 기능들을 제공하고 있으며, 이러한 별도의 기능에 따라 판매되는 스파이아이 패키지의 가격은 500 달러에서 1,000 달러까지 다양하게 책정되어 있다. 또한 추가되는 플러그인(Plugin) 옵션에 따른 추가 금액도 별도로 책정되어 있다.
그림 7의 1.0.7 버전은 초기 버전에 가까운 것으로, 시스템에 감염된 스파이아이 악성코드가 역접속(Reverse Conection)으로 접속할 C&C 서버 주소와 지정한 C&C 서버로의 접속에 실패 할 경우 사용할 보조 C&C 서버 주소를 동시에 지정 할 수 있게 되어 있다. 

그림 7. 스파이아이 봇 생성 도구와 제우스 봇 삭제를 위한 옵션

스파이아이와 관련된 기능 중 하나인 암호화 기능은 사용자가 지정한 암호화 키를 이용하여 스파이아이 악성코드 전체를 암호화하여 생성함으로써 안티 바이러스 소프트웨어의 탐지를 방해함과 동시에 보안 연구원들의 분석을 지연시킬 의도도 포함되어 있다. 이와 함께 빌더에는 실행 압축(Packer)을 기본 기능으로 추가 할 수 있어 추가적으로 안티 바이러스 소프트웨어의 탐지와 분석을 지연 시킬 수 있는 2중 구조로 되어 있다. 또한 스파이아이를 널리 알리는데 가장 큰 역할을 했던 제우스 삭제 기능 역시 기본 기능으로 추가 할 수 있도록 되어 있다.

그림 8. 1.1.39 버전의 스파이아이 봇 생성 도구

상위 버전인 1.1.39 버전부터는 1.0.7 버전이 가지고 있는 기능 외에도 웹 브라우저인 인터넷 익스플로러(Internet Explorer)와 파이어폭스(FireFox)의 쿠키(Cookie) 파일들을 삭제 할 수 있는 기능이 추가 되어 있다. 또한 제우스 빌더가 이용하는 사용자 계정과 암호를 가로챌 웹 사이트의 주소를 가지고 있는 설정 파일을 스파이아이 빌더에서도 그대로 사용 할 수 있도록 되어있다. 이 외에도 플러그인 형태의 DLL 파일을 이용하여 추가 기능들을 스파이아이 생성시에 추가 할 수 있도록 설정되어 있는 특징이 있다.
한 가지 재미있는 사항은 1.1.39 버전부터는 실행 시 스파이아이 빌더에서 가지고 있는 고유 키 값 검증을 통해 스파이아이 패키지를 정식으로 구매를 한 사용자가 맞는지를 검사하도록 되어 있어 무단으로 이를 사용하지 못하도록 하고 있다는 점이다. 
가장 상위 버전인 1.2.50 버전과 1.2.60 버전은 외형적인 측면에서 UI는 동일하게 되어 있으며 기본적인 기능들도 하위 버전인 1.1.39 버전과 동일하다. 반면 새롭게 추가된 기능으로는 생성할 스파이아이의 파일명과 뮤텍스(Mutex) 명칭을 변경할 수 있는 기능이 있다. 
이러한 기능을 가지고 있는 스파이아이 빌더 중 버전 1.0.7을 이용하여 스파이아이를 추가 기능 설정 없이 생성하게 될 경우, 기본적으로 125,952 바이트의 cleansweep.exe 가 생성된다. 또한 추가 기능 중에서 실행 압축 기능을 적용하여 생성할 경우, 동일한 파일명에 사이즈만 60,928 바이트로 절반 정도로 줄어들게 된다.

그림 9. 1.2.60 버전의 스파이아이 봇 생성 도구

이와 관련해 실행 압축 기능이 적용된 파일과 그렇지 않은 파일에 대해 파일 자체적인 조밀함을 측정하기 위해 플로팅 프리퀸시(Floating Frequency)를 측정해보았다. 이를 위해 전체 파일을 64 바이트 크기의 블록으로 나누어 해당 블록 내부에서 서로 다른 바이트들이 얼마나 발견되는지를 측정하여 해당 파일의 실행 압축 및 암호화 여부를 측정하는 방식을 사용했다.

그림 10. 기본 설정으로 생성된 스파이아이 악성코드의 플로팅 프리퀸시(Floating Frequency)

먼저 실행 압축 기능이 적용하지 않고 기본 설정으로 생성한 스파이아이는 그림 10과 같이 파일 전체에서 균일하게 측정되어 있으며 파일 하위 단으로 갈수록 측정 값이 떨어지는 것을 알 수 있다. 이러한 수치는 일반적으로 실행 압축, 또는 암호화를 하지 않은 순수하게 컴파일(Compile)된 파일들과 유사한 형태를 보이고 있다.

그림 11. 실행 압축 설정이 적용된 스파이아이 봇의 플로팅 프리퀸시(Floating Frequency)

반면 실행 압축 기능이 적용하여 생성한 스파이아이는 [그림 11]과 같이 하위로 갈수록 측정 값이 떨어지는 것은 동일하지만 64 바이트 블록 내부에서 측정된 다른 문자열이 60개에 근접하는 값이 파일 전체의 약 80% 정도를 차지하는 것을 알 수 있다. 이러한 측정 결과로 미루어 보았을 때 스파이아이 빌더에서는 내장된 실행 압축 알고리즘을 이용하여 스파이아이 악성코드를 압축하여 생성하는 것으로 이해할 수 있다.

생성된 스파이아이의 감염 동작

스파이아이 빌더에 의해 생성된 파일들은 공통적으로 cleansweep.exe 라는 파일명을 갖는다. 해당 파일이 시스템에서 실행되면 먼저 실행 중인 정상 프로세스인 explorer.exe의 특정 메모리 영역에 그림 12와 같이 자신의 코드를 삽입한다. 자신의 코드가 정상적으로 삽입 되면 시스템의 루트 디스크에 “cleansweep.exe”라는 폴더를 생성하고 자신의 복사본과 “cleansweep.exe”를 함께 설정 파일인 “config.bin” 이라는 파일을 생성하게 된다. 

그림 12. 정상 explorer.exe 프로세스의 메모리 영역에 쓰여진 스파이아이 봇

또한 생성된 폴더와 파일들은 모두 윈도우 시스템의 사용자 모드(User Mode) 레벨에서 동작하는 은폐 기능을 수행하게 된다. 이러한 은폐 기능으로 인해 스파이아이가 생성한 폴더와 복사본을 모두 윈도우 탐색기 등으로는 볼 수 없게 한다.

그림 13. 은폐 기법을 사용하는 스파이아이 악성코드를 탐지한 트루파인드(TrueFind)

이 외에도 다음 윈도우 레지스트리 위치에 키 값을 생성하여 윈도우 시스템이 부팅 할 때마다 자신의 복사본이 자동 실행 되도록 설정한다.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
cleansweep.exe = "C:\cleansweep.exe\cleansweep.exe"

폴더와 악성코드 복사본이 생성이 완료되고 자동 실행을 위해 윈도우 레지스트리에 특정 키 값 생성이 완료 된 후에는 그림 14와 같이 최초 스파이아이 빌더에서 설정해두었던 C&C 서버의 주소로 역접속을 수행하기 위해 감염된 시스템에 설정되어 있는 DNS 서버로 해당 주소에 대한 쿼리(Query)를 발생한다.

그림 14. 스파이아이의 C&C 서버 접속을 위한 DNS 조회

또한 쿼리 발생 이후에 정상적으로 C&C 서버 주소로 접속이 이루어지지 않게 될 경우에는 빌더에서 지정하였던 보조 C&C 서버 주소로 재접속을 시도하게 된다.

그림 15. 웹 페이지 인젝션 수행 대상이 되는 은행 웹 페이지 리스트

또한 빌더를 이용해 스파이아이 악성코드를 생성할 때 사용하였던 제우스 악성코드와 유사한 형태를 자기고 있는 설정 파일들에 지정되어 있는 웹 사이트를 감염된 시스템의 사용자가 접속하게 될 경우, 해당 웹 페이지에 추가적으로 사용자 입력 폼(Form)을 생성하여 그곳에 입력되는 사용자 입력 키보드 값을 가로채는 “폼 그래빙(Form Grabbing)”, 또는 “웹 페이지 인젝션(Web Page Injection)” 기법을 통해 사용자 계정과 암호를 C&C 서버로 전송한다.

제우스를 삭제하는 스파이아이

앞서 스파이아이에는 제우스 악성코드를 삭제하는 기능이 포함되어 있는 것을 살펴 보았다. 실제 제우스에 감염되어 있는 시스템에서 스파이아이가 어떠한 방식으로 제우스를 삭제하는지 살펴보면 그림 16과 같은 순서로 수행하는 것을 알 수 있다.

그림 16. 제우스 봇을 삭제하는 스파이아이 봇

스파이아이가 실행 된 후 정상 프로세스인 explorer.exe의 메모리 영역에 자신의 코드를 삽입하고, 이후 자신의 복사본인 cleansweep.exe 파일을 생성하게 된다. 그 후 제우스가 생성한 복사본인 sdra64.exe 파일을 찾아 삭제하는 일련의 과정들이 발생한다. 그러나 이러한 일련의 과정은 제우스 악성코드가 생성한 복사본 sdra64.exe 파일만 찾아 삭제하며 정상 프로세스인 svchost.exe의 메모리 영역에 삽입되어 있는 코드를 삭제하지 않기 때문에 시스템을 재부팅하기 전까지는 제우스의 악의적인 코드는 메모리 상에 존재하며 여전히 동작하게 된다.
그림 17. 제우스 봇의 뮤텍스(Mutex)를 이용해 삭제하는 스파이아이 봇 코드 중 일부

이렇게 제우스의 파일을 찾아서 삭제하는 스파이아이의 기능을 분석해보면, 먼저 실행 중인 프로세스의 메모리 영역에서 뮤텍스를 “__SYSTEM__”, 또는 “_AVIRA_”를 사용하는 파일을 검사한 후 해당 파일의 경로를 찾아서 삭제하도록 되어 있다.

악성코드 제작으로 인한 금전적 이득 자체를 제거해야 

앞서 우리는 크라임웨어의 일종으로 사이버 범죄에 악용되는 제우스 악성코드로 인해 얼마나 많은 금전적인 피해가 발생하는지 살펴보았다. 이와 함께 제우스와 유사한 형태인 또 다른 뱅킹 트로이목마인 스파이아이가 어떻게 생성되어 C&C 서버로 가로챈 사용자 금융 정보들을 전송하는지도 살펴보았다.
이러한 온라인 뱅킹 관련 트로이목마들이 지속적으로 등장할 뿐만 아니라 추가적인 버전들이 생성된다는 점에서 금융 정보 탈취를 목적으로 하는 악성코드들을 더욱 증가할 것으로 볼 수 있다. 또한 실질적으로 이러한 악성코드를 생성하는 조직에서 금전적인 이익을 획득하고 있다는 것도 간접적으로 알 수 있다.
한편 이러한 문제는 결국 컴퓨터 사용자의 시스템을 두고 악성코드를 서로 삭제하는 이른바 권리 싸움으로까지 이어진다는 점에서 심각한 사회 문제라고 볼 수 있다. 그러므로 컴퓨터 사용자가 자신이 사용하는 시스템에 대한 보안을 철저히 함으로써 근본적으로 이러한 악성코드 제작으로 인한 금전적인 이득이 발생하지 않는 환경을 만드는 것이 이러한 사이버 범죄를 근절할 수 있는 방법의 하나가 아닐까 생각해본다.

[참고 자료]


2) Wikipedia - Crimeware







9) Using Entropy Analysis to Find Encrypted and Packed Malware - ROBERT LYDA(Sparta) & JAMES HAMROCK(McDonald Bradley)

2012년 10월 23일 화요일

고도화된 보안 위협의 생산, APT (Advanced Persistent Threat)

2011년과 2012년 보안 업계에 있어서 가장 큰 화두 중 하나는 APT(Advanced Persistent Threat)입니다. 지금은 APT라는 용어에 대해 많은 분들이 친숙해지고, 어떠한 의미를 가지는 공격 형태인지에 대한 이해도 비교적 높은 편입니다.

사실 APT에 대한 연구는 2010년 초로 거슬러 올라갑니다. 그 당시 해외 보안 컨퍼런스나 보안 위협을 연구한 논문들에서 APT라는 용어가 서서히 보이기 시작하고, 개인적으로 해당 보안 위협의 형태가 어떠한 것인가에 대한 궁금함과 그에 따른 대응 수단은 무엇일까에 대한 관점으로 4개월에 걸친 자료 조사와 고민들 그리고 생각들을 정리 및 연구해서 2010년 10월에 작성했던 원고가 안랩닷컴에 실려 있는 "고도화된 보안 위협의 생산, APT (Advanced Persistent Threat)" 입니다.

해당 원고를 작성 할 당시만 하더라도 한국내에서는 APT와 관련된 자료나 논문들이 전무한 상태여서 해외 논문들과 자료들을 찾고 정리하느라 짧은 영어 실력으로 힘들었던 기억이 많이 납니다. 그리고 한국에서는 APT 형태의 보안 위협에 대해 다루었던  최초의 원고이고, 2011년 전사적으로 집중해야 되었던 보안 위협 형태로 판단하는데 큰 기여를 할 수 있었던 것 같아 개인적으로 큰 의미를 가지고 있는 원고 중 하나 입니다.

재미있는 에피소드로는 그 당시 APT 공격 대상 중 하나로 금융기관이나 기업이 될 수 있을 것 같다는 생각이 들어서, 그에 대한 피해로 "사회 금융 시스템의 동작 불능"이 발생 할 가능성이 있을 것으로 보았습니다. 그렇게 작성한 이후 그 다음 해인 2011년 농협 전산망 침해 사고로 실제 피해가 발생하게 되자, 주위에서 농담으로 제가 한 것이 아니냐는 말씀을 하신 분들도 계셨습니다. ^^;;

+----------------------------

18세기에서 19세기의 영국에서는 산업계 전반에 걸친 커다란 변화와 변혁의 시기를 맞이하게 되었으며 이 시기에 발생하였던 산업 기술의 커다란 발전은 후에 영국의 경제학자 아놀드 토인비(Arnold Toynbe)에 의해 산업 혁명(Industrial Revolution)이라고 불리게 되었다. 이러한 산업 혁명에 의해 전 세계적으로 산업 구조는 조직적이고 대량 생산 체계를 갖출 수 있게 됨으로써 인류는 풍요로운 문명의 발전을 이루게 되었다. 산업 혁명 시기에 발생하였던 일련의 기술 발전 현상들은 현재 인터넷(Internet)을 중심으로 발생하고 있는 다양한 보안 위협들의 발생 과정들과 유사한 모습을 많이 가지고 있다.

금전적 이윤을 목적으로 가지고 조직적으로 자동화된 대량 생산 방식으로 만들어지는 보안 위협들에 맞서는 정보 보호 분야에 있어서 또 다른 산업 혁명의 시기로 볼 수 있을 것이다.
그러나 최근에 와서는 금전적 이윤을 목적으로 조직적이고 자동화된 대량 생산 형태의 보안 위협들은 이제 그 범위를 서서히 확장하여 또 다른 영역으로의 발전을 꾀하고 있는 실정이다. 이러한 새로운 형태의 보안 위협들에 대해 정보 보호 분야에서는 APT(Advanced Persistent Threat)라고 언급하고 있다.

사이버 블랙 마켓(Black Market)에서 발생하는 산업 혁명

최근 인터넷을 통해 발생하는 다양한 보안 위협들은 이미 몇 년에 걸쳐 금전적인 이윤을 목적으로 제작되고 있다는 것은 잘 알려져 있는 사실이다. 이러한 금전적인 이윤을 획득하는 것만을 목적으로 하는 것에 그치지 않고 발생하는 금전적인 이윤을 극대화 하기 위해 조직적인 움직임까지 보이고 있으며 실제 중국 언더그라운드에서 제작되는 온라인 게임 사용자 정보의 탈취를 시도하는 악성코드들의 경우 철저한 역할 분담 형태로 제작되고 있어 조직적인 모습을 그대로 보이고 있다.
그 세부적인 역할 분담 형태를 살펴보게 되면 악성코드를 제작하고 제작된 악성코드를 유포해서 악성코드에 감염된 온라인 게임의 사용자들의 개인 정보 수집하고 이를 다시 현금화 하는 일련의 프로세스는 단계적으로 철저하게 조직적인 역할 분담 형태로 구성되어 움직이고 있다.

[그림 1] 중국 사이버 블랙 마켓의 조직적인 온라인 게임 개인 정보 탈취 및 아이템 판매


이렇게 금전적인 이윤을 극대화 하기 위해 조직적인 역할 분담 형태로 보안 위협을 생산하는 조직들의 모습은 과거 발생하였던 일련의 보안 위협 형태들로 구분 지었을 때 다음과 같은 특징들을 보이고 있다.

1) 투자 수익율 (ROI, Return of Investment) 중심의 자동화된 보안 위협 생산

보안 위협을 생산하는 조직들은 금전적인 이윤을 극대화 하기 위한 필요성에 의해 개인적인 위협의 제작 차원에서 조직적인 역할 분담 형태로 변하게 되었다. 이러한 필요성에 의해 조직적인 형태를 가지게 되었으므로 조직적인 차원에서는 보안 위협의 생산에 필요한 금전적, 인력적 투자는 최소화하고 생산하는 보안 위협들은 목적을 최대한 많이 달성하기 위해 다양한 방안들을 사용하고 있다. 이러한 형태의 대표적인 사례로 악성코드들의 대량으로 자동화된 생산 형태를 들 수가 있다.

[그림 2] 중국 사이버 마켓에서 판매되는 온라인 게임 악성코드 자동 생성기

2) 다양한 보안 위협들을 동시에 생산하여 금전적 가치 극대화
금전적인 이윤을 목적으로 구성된 조직들에서는 한 가지 형태의 보안 위협만을 생산하는 것이 아니라 다양한 형태의 보안 위협들을 복합적으로 생산하고 있다. 실례로 2010년 2월 발생한 페이스북(Facebook) 피싱(Phishing) 메일의 경우, 유포된 피싱 메일은 허위로 제작된 피싱 웹 사이트로 연결하게 되는데 그 연결된 웹 사이트에서는 백그라운드(Backgroud)로 사용자 모르게 원격제어와 개인 정보 탈취를 목적으로 제작된 악성코드가 유포되고 있었다.
이러한 점은 피싱이라는 보안 위협과 함께 악성코드라는 보안 위협을 동시에 제작하여 두 가지 보안 위협에 모두 노출되는 기회를 만들게 됨으로써 해당 보안 위협들로 인해 발생 할 수 있는 금전적인 이윤 역시 극대화 하고자 하였던 시도라고 볼 수 있다.

3) 자동화로 생산된 보안 위협들의 웹 사이트를 중심으로 대규모 유포

금전적인 이윤을 극대화하기 위해서 자동으로 생산되는 보안 위협들을 많은 사람들이 방문하는 웹 사이트를 중심으로 대규모로 유포 할 수 있는 환경을 만들 수 있게 되었다. 이렇게 보안 위협들의 대규모 유포는 자동화 된 SQL인젝션(Injection)과 같은 기법들과 함께 웹 사이트에 존재하는 취약점을 악용함으로써 가능해지게 되었다. 이러한 대규모 유포의 좋은 사례로는 2009년 5월과 6월에 발생하였던 검블러(Gumblar)와 나인볼(NineBall)이라 명명된 대규모 웹 사이트 해킹 및 악성코드 유포를 들 수가 있다. 그와 같이 명명된 대규모로 악성코드 유포된 보안 사고는 웹 익스플로잇 툴킷(Web Exploit Toolkit)이라는 접속하는 웹 브라우저에 존재하는 취약점을 자동으로 악용 할 수 있게 해주는 공격 도구 형태로 인해 대규모 유포의 가능성을 더욱 크게 만들게 되었다.


[그림 3] 웹 익스플로잇 툴킷의 한 종류인 SEO SPLOIT PACK과 자동화 된 공격 구조

이렇게 웹 사이트와 악성코드가 결합된 대규모 유포 방식으로 인해 악성코드와 같은 보안 위협에 더욱 많은 사람들이 단기간에 노출되도록 함으로써 금전적인 이윤 역시 극대화 할 수 있는 기회 역시 더욱 커지게 되었다.

고도화된 보안 위협 APT 의 발생과 특징

앞서 사이버 블랙 마켓에서 발생하는 다양한 보안 위협들을 생산하는 조직들은 금전적인 목적을 가지고 조직적이고 자동화된 방식으로 보안 위협들을 대규모 유포하는 특징들을 보이고 있는 것을 언급하였다. 이러한 금전적인 목적을 가진 조직들에서 생산하는 보안 위협들은 여전히 인터넷에서 주요한 정보 보호 분야의 주제이다. 그러나 2010년으로 넘어오면서 정보 보호 분야는 앞서 언급하였던 금전적인 이윤을 목적으로 하는 보안 위협들과 다른 목적과 대상으로 생산되는 새로운 형태의 보안 위협을 정의하게 되었는데 APT (Advanced Persistent Threat)가 바로 그러한 형태이다.

1) 고도화된 보안 위협 APT의 의미

APT 라는 단어 자체는 2010년에 들어 새롭게 정의된 단어와 의미는 아니며 그 기원과 최초의 사용은 미국 공군 사령부로 연결된다. 미국 공군 사령부에서는 2006년 무렵 미국 국방부 및 정부 기관들과의 원활한 커뮤니케이션을 위해 확인된 특정 보안 위협의 형태를 지칭하는 의미로서 APT (Advanced Persistent Threat)를 사용하게 되었다.
그 이후 정보 보호 분야의 민간 부분으로 넘어오면서 APT 라는 용어는 미국 공군 사령부에서 사용되었던 의미와 조금 다른 형태로 의미로 해석되고 사용하게 되었다.

- Advanced
사전적인 의미로는 ‘앞선’, ‘고급의’로 정의되고 있으나 APT에서 ‘Advanced’라는 단어는 APT 형태의 보안 위협을 생산하는 조직에서 사용하는 기술적인 범위와 수준을 지칭하는 것으로 해석할 수 있다. 
APT 형태의 보안 위협을 생산하는 조직은 특정한 목적을 수행하기 위해 보안 위협 제작에 사용되는 기술들을 한 가지에만 제한시키는 것이 아니라 광범위하게 많은 기술들을 동시에 사용 할 수 있다. 간단한 예시로 APT 형태의 보안 위협을 생산하기 위해 마이크로소프트(Microsoft)의 윈도우(Windows) 운영체제를 깊이 있게 분석하여 새로운 제로 데이(Zero-Day, 0-Day) 취약점을 찾아내어 악용할 수도 있으며, 특정 조직의 내부 시스템을 장악하기 위한 목적으로 기존 보안 소프트웨어에서 탐지를 회피 할 수 있는 새로운 형태의 악성코드를 제작하는 것을 들 수가 있다.
결국 특정 목적을 달성하기 위해 보안 위협을 생산하는 조직은 IT 인프라와 관련된 모든 기술들을 다양하게 사용 할 수도 있다라는 의미로 해석 할 수 있다.

- Persistent
APT의 두 번째 단어에 해당하는 ‘Persistent’는 사전적인 의미로 ‘영속하는’, ‘끊임 없는’으로 정의되어 있다. APT에 있어서 이 ‘Persistent’라는 의미는 보안 위협을 생산하는 조직이 가지고 있는 특정 목적을 대한 자세 또는 공격 대상에 대한 태도로 해석 할 수 있다. 이는 보안 위협을 생산하는 조직이 가지고 있는 특정 목적이 달성되기 전까지는 그 공격 대상에게 끊임 없이 새로운 기술과 방식이 적용된 공격들이 지속적으로 가해지기 때문이다.
이러한 특징으로 인해 APT 형태의 보안 위협을 논하는 정보 보호 분야에서는 이 ‘Persistent’적인 특성으로 인해 그 보안 위협의 목표가 되는 대상에게는 치명적인 손상을 가하게 된다고 보고 있다.

- Threat
APT에서 의미하는 ‘Threat’은 사전적인 의미의 ‘위협’을 그대로 뜻한다. 그리고 여기서 이야기하는 위협의 구체적인 형태로는 악성코드, 취약점, 해킹과 사회 공학 기법 등으로 IT 기술에 의해 생산되는 형태가 될 수 도 있으며 사람에 의해 직접적으로 만들어지는 사회 공학 기법적인 형태가 될 수 도 있다.

이렇게 APT(Advanced Persistent Threat)이 가지는 개별적인 단어들의 의미와 함께 현재 발생하는 보안 위협의 특성들이 합쳐져 2006년 미국 공군 사령부에서 사용하던 APT 의미에서 변형된 다른 의미가 성립하게 되었다. 이렇게 성립된 APT가 가지는 의미를 요약하여 정의 해본다면 다음과 같다고 할 수 있다.

“다양한 IT 기술과 방식들을 이용해 조직적으로 경제적이거나 정치적인 목적을 위해 다양한 보안 위협들을 생산해 지속적으로 특정 대상에게 가하는 일련의 행위”

2) APT 형태를 가지는 보안 위협들의 공격 대상

앞서 APT 가 가지고 있는 개별 단어들의 사전적인 의미와 특징들을 통해 APT가 어떠한 의미라는 것을 살펴보았다. 이 의미 중에서 우리가 주의 깊게 살펴보아야 할 부분이 바로 ‘경제적이거나 정치적인 목적’ 그리고 ‘특정 대상’이라는 부분이다.
특히 앞서 정의한 APT 형태의 보안 위협에 있어 그 위협의 대상은 보안 위협을 생산해내는 조직이 가지고 있는 목적들과 밀접한 관련이 있으며 그 목적에 따라 그 대상 역시 다양하게 나타나고 있다. 현재까지 발생하였던 APT 형태의 보안 위협들의 공격 대상이 되었던 대상들을 형태별로 구분하여 살펴보면 크게 다음 [그림 4]와 같이 분류가 가능하다. 

[그림 4] APT 형태의 보안 위협에 대상이 되는 조직들

APT 형태의 보안 위협에 대상이 되는 조직들은 정부 기관, 사회 기간 산업 시설, 정보 통신 기업, 제조 업종 기업과 금융 업종 기업들과 같은 기관과 기업들이 주요 대상이 되고 있다. 이러한 기관과 기업들이 APT 형태의 보안 위협에 주요 대상이 된다는 점은 결국 해당 보안 위협을 생산하는 조직들이 가지고 있는 목적 자체가 정치적인 목적이 상반되는 조직에 대한 정치적인 행동 또는 경제적으로 커다란 이익을 확보할 수 있는 데이터 탈취가 가능한 기업이 된다는 것을 알 수 있다. 
이러한 목적들 중에서 먼저 정치적인 목적의 경우에는 일반적으로 정부기관과 사회 기간 산업 시설이 APT 형태의 보안 위협에 주요 공격 대상이 되고 있다.
정부 기관을 대상으로 하는 경우에는 생산한 APT 형태의 보안 위협을 이용해 국가 정부 기관에서 보관 중인 특정 기밀 문서를 탈취하거나 특정 정부 정책과 관련된 정보들을 확보하기 위해서이다. 또한 사회 기간 산업 시설을 대상으로 하는 경우에는 일종의 사이버 테러리즘 활동으로 볼 수도 있다. 발전소 및 댐과 같이 사회 운영의 근간이 되는 기간 산업 시설에 대해 APT 형태의 보안 위협으로 공격을 가하는 것은 해당 산업 시설들의 정상적인 동작을 방해하여 해당 국가 사회 전반의 정상적인 활동이 이루어지지 않도록 하기 위해서라고 볼 수 있다. 
그리고 경제적인 목적이 되는 경우에는 일반적인 기업들이 대상이 되고 있으며 그 중에서도 소프트웨어나 통신 장비 등을 생산하는 첨단 정보 통신 기업들과 함께 자동차, 선박, 가전제품 등을 생산하는 제조 업종의 기업들도 대상이 되고 있다. 그리고 은행, 증권사 등 금융 업종에 포함되는 기업들도 역시 APT 형태의 보안 위협들의 대상이 되고 있다.
이러한 일반적인 기업들이 대상이 되는 경우에는 일반적으로 산업 보안(Industrial Security, Corporate Security) 분야에서 언급하고 있는 주된 위협인 산업 스파이(Corporate Espionage) 활동의 일종으로 주로 경쟁 기업 내부의 주요 소프트웨어 소스코드, 제품의 설계도 등을 탈취하여 경쟁 기업의 제품 생산과 판매에 치명적인 손상을 가해 반사적인 이익을 얻기 위한 경제적인 목적이 가장 크다고 할 수 있다. 금융 업종 기업의 경우에는 경쟁 기업의 내부 재무 관련 기밀이나 비공개 투자 계획 문서 등을 탈취하여 경쟁 기업의 비즈니스 활동 전반에 걸친 타격을 주기 위한 목적도 가지고 있다.
3) 고도화된 보안 위협 APT 형태가 가지는 보안 위협적 특성

앞서서 살펴본 바와 같이 APT 형태를 가지는 보안 위협들의 공격 대상들은 그 위협들을 생산하는 조직의 목적에 따라서 다르다. 이러한 목적 역시 시대에 따라 변하여 왔던 것을 시대에 따른 공격 대상의 변화들로 미루어 알 수가 있다.
1990년대에는 주로 국방부와 같은 군사 기관들이 주된 대상이 되었으며 2000년대 초반에 이르러서는 주로 정부 기관들이 대상이 되었다. 그리고 2000년대 중반에는 일반 기업들로 그 범위가 확대되었으며 그 중에서도 제조 업종에 속해 있는 기업들이 주요 타깃이었다. 2000년대 후반에 이르러서는 정보 통신 기술의 발전과 함께 정보 통신 기업들이 APT 형태의 보안 위협에 대상이 되고 있다. 
이렇게 시대적인 상황에 따라 APT 형태의 보안 위협이 목표로 하는 공격 대상들 역시 변화하는 특징도 있었지만 이와 함께 과거에 제작되었던 보안 위협들과 다르게 APT 형태의 보안 위협에서만 볼 수 있는 정교함이 존재하고 있다. 

 [그림 5] APT 형태의 보안 위협이 가지는 정교함과 위험성의 상관 관계

개별적인 보안 위협의 정교함은 해당 보안 위협이 발생하였던 시대적인 흐름과 변화에 따라 조금씩 다르다는 특징을 가지고 있다. 이러한 시대적인 흐름에 맞물리는 보안 위협의 특징은 과거에 발견되었던 보안 위협들 중에서도 악성코드의 경우에는 대부분이 제작자들의 개인적인 호기심 또는 자신이 가지고 있는 기술에 대한 과시를 위한 성격 그리고 취미 생활과 같은 장난에 가까운 성격을 가지고 있었다. 그러므로 이러한 목적을 가지고 있는 보안 위협의 형태들은 그 정교한 역시 낮으며 그로 인해 발생 할 수 있는 위험성 역시 그리 높지 않다고 할 수 있다.
이러한 형태의 보안 위협들로는 2004년 발견된 베이글(Bagle) 웜과 2006년 발견되었던 마이둠(Mydoom) 웜 그리고 넷스카이(Netsky) 웜 등을 들 수 가 있다. 이 중에서도 특히 마이둠 웜과 넷스카이 웜은 제작자간의 감정적인 싸움으로 인해 지속적인 변형들이 제작되는 동기가 되기도 하였다.
그러나 2000년에 접어들면서 금전적인 목적으로 조직적 보안 위협을 생산하는 단계에 이르러서는 생산되는 보안 위협들 역시 그 정교함이 서서히 높아지게 되었다. 이러한 목적으로 제작되는 보안 위협들은 사이버 범죄에도 해당 되지만 이와 연계되어 있는 물리적 공간에서의 조직적 범죄에도 자리하게 되었다. 그리고 이러한 보안 위협들의 주된 탈취의 대상이 되는 것들은 물리적인 공간에서 현금화가 가능하거나 재화로서 금전적인 가치를 인정 받을 수 있는 온라인 게임 아이템, 개인 신상 정보, 금융 정보 그리고 신용카드 정보 등과 같은 데이터들이 해당 된다. 
이러한 보안 위협의 형태들 중에서 가장 대표적인 사례로는 2008년 말부터 제작되기 시작하여 2009년 6월 무렵부터는 한국으로도 유입되기 시작하였던 제우스(Zeus) 봇(Bot)을 들 수가 있다. 악성코드 생성기와 이를 조정할 수 있는 C&C(Command and Control) 서버를 설치 할 수 있는 제우스 패키지는 사이버 블랙 마켓(Black Market)에서 유료로 판매되고 있다. 

[그림 6] 블랙마켓에서 금전 거래로 판매되는 제우스 봇 생성기

이렇게 유료로 판매되고 있는 제우스의 패키지를 이용하여 온라인 뱅킹의 개인 정보들을 탈취하여 은행 계좌가 가지고 있는 금액을 모두 탈취하거나 제우스 봇에 감염된 시스템들의 정보들을 블랙마켓에 유료 재판매하고 있다.

조직적으로 금전적인 목적의 보안 위협을 생산하는 현상들은 그 이후에도 계속되고 있으며 이제는 그 규모 면에서 경제적으로 가치가 높은 데이터들을 탈취하는 산업 스파이적인 형태로 발전하게 되었다. 이러한 형태로 발전함에 따라 일반인들과 비교하여 보안이 견고한 기업 내부 네트워크에 침입하기 위해 생산되는 보안 위협들 역시 그 정교함이 높아짐과 동시에 그 위험성 역시 더 높아지게 되었다. 
이러한 산업 스파이적인 형태로 첨단 정보 통신 기업들을 대상으로 하였던 보안 위협의 비교적 좋은 사례로는 2010년 1월 오퍼레이션 오로라(Operation Aurora) 또는 구글 해킹이라고도 불렸던 보안 사고이다. 해당 보안 사고는 규모가 큰 첨단 정보 통신 기업들인 구글(Google) 등을 대상으로 해당 기업들이 가지고 있는 소프트웨어의 소스 코드와 같은 기업 중요 데이터를 탈취 할 목적으로 이루어졌다. 이 과정에서 마이크로소프트의 인터넷 익스플로러(Internet Explorer) 제로 데이(Zero Day) 취약점이었던 MS10-002이 사회 공학 기법과 함께 악용되었으며 안티 바이러스(Anti-Virus) 소프트웨어에서도 탐지되지 않도록 하기 위해 특별히 제작된 원격 제어형태의 악성코드도 함께 발견되었다. 

[그림 7] 오퍼레이션 오로라로 불렸던 보안 사고 (출처: McAfee)]

이러한 일련의 과정들을 살펴 볼 경우, 첨단 정보 통신 기업들을 대상으로 공격을 수행하였던 조직은 기업 내부의 기밀 데이터를 탈취하기 위해 별도의 특수하게 제작된 제로 데이 취약점과 악성코드를 사용하였다. 이러한 점은 기존의 금전적인 목적을 가지고 있는 조직들과는 그 기술적인 정교함에 있어서 한 차원 더 높다고 것을 입증하는 것이다. 
보안 위협의 생산성적인 면에서 가장 높은 정교함과 위험성이 있는 것으로 분류할 수 있는 APT 형태의 보안 위협에 대한 가장 대표적인 사례로는 올해 7월에 발견된 스턱스넷(Stuxnet)을 들 수가 있다.

[그림 8]  스턱스넷 악성코드의 감염과 동작 원리]

스턱스넷의 경우 해당 악성코드의 제작 목적 자체가 사회 기간 산업 시설 중 하나인 원자력 발전소의 SCADA(Supervisory Control And Data Acquisition) 시스템들을 임의로 제어하기 위해서 이다. 그리고 해당 악성코드를 원자력 발전소 내부 폐쇄망에서 다른 시스템들로 유포 시키기 위해 기존에 알려진 MS08-067 취약점과 함께 4개의 새로운 제로 데이 취약점을 사용할 정도로 고도의 기술들이 사용되었다. 그리고 해당 악성코드의 설계적인 측면에서도 원자력 발전소 내부에서 사용하는 지멘스(Siemens) 소프트웨어의 구조를 정확하게 파악하여 관련 파일을 변조 한다는 점들을 볼 때 APT 보안 위협의 형태가 가지고 있는 특징들이 그대로 드러난다고 볼 수 있다. 
이러한 모습들을 보았을 때 결국 스턱스넷은 장기간에 걸친 철저한 계획과 준비를 통해 조직적으로 악성코드에서 사용될 제로 데이 취약점 개발과 지멘스 소프트웨어 분석 그리고 악성코드 설계라는 분업화 된 형태로 진행 되었을 것으로 예측 할 수가 있다. 그리고 스턱스넷의 유포를 위해서 사회 공학 기법을 포함한 다양한 방법들을 동원해 내부 폐쇄망으로 옮겨 갈 수 있도록 장시간에 걸쳐 논리적, 물리적 보안 시스템들을 교묘히 회피하였을 것으로 보인다.

APT 형태의 보안 위협에 위한 대응 방안

앞서 우리는 APT 형태의 보안 위협들이 가지는 의미와 그것 들이 가지는 고도의 정교함과 높은 위험성들이 어떠한 형태로 사용되었는지를 대표적인 몇 가지 사례들을 통해 살펴 볼 수 가 있었다. 그렇다면 이러한 커다란 위험성을 가지고 있는 APT 형태의 보안 위협들에 대응하기 위해 어떠한 대응 수단과 전략을 갖추어야 할 것인가 하는 생각을 할 수 있을 것이다.
APT 형태의 보안 위협에 대응하기 위해서는 [그림 9]와 같이 크게 사고 예방 차원에서 취할 수 있는 방안들과 실제 위협으로 인한 보안 사고가 발생한 단계에서 취할 수 있는 방안들로 나누어 볼 수 있다. 

[그림 9] APT 형태의 보안 위협에 대응하기 위한 방안들

먼저 실제 위협 발생 전 단계에서는 일반적으로 사전 예방 차원에서의 활동들이 주를 이루고 있다. 이러한 활동들로는 정기적인 보안 관제로 기업 내부 네트워크에서 침해 사고로 간주 할 수 있는 이상 징후들이 발생하는지 주의 깊은 모니터링이 필요하다. 그리고 기업 내부에서 현재 사용하고 있는 보안 정책들의 실효성에 대해 검토함과 동시에 각각의 시스템들이 보관하고 있는 데이터들의 중요성과 기밀성에 따른 위험성 분석을 수행하여 보안 사고가 발생하더라도 그 피해를 최소화 할 수 있는 방안을 수립하는 것이 중요하다고 할 수 있다.

앞서 살펴본 바와 같이 APT 형태의 보안 위협들에서는 그 목적을 달성하기 위한 하나의 수단으로서 악성코드가 제작되어 사용된다고 언급한 바가 있다. 그러므로 모든 시스템들과 클라이언트들에는 보안 소프트웨어들을 설치하여 운영하도록 하며 주기적으로 운영되고 있는 보안 소프트웨어와 보안 장비들의 업데이트 및 관리를 하는 것이 중요하다. 그리고 기업 내부 네트워크를 사용하는 임직원들을 대상으로 정기적인 보안 인식 교육을 실시하여 사회 공학 기법을 악용하는 다양한 형태의 보안 위협들에 노출 되는 것을 예방 할 수 있도록 한다. 
위협 발생 전의 단계가 침해 사고 예방적인 관점에서의 접근이었다면 실제 APT 형태의 위협이 발생한 것을 인지하였거나 유사한 형태의 보안 사고가 발생한 것으로 간주하고 있다면 크게 3가지 형태로 나누어서 접근 할 필요가 있다. 
첫 번째로 기업 내부 네트워크의 시스템들에 악성코드가 감염되는 것을 막도록 한다. 이를 위해 기업 내부에서 검토하고 인증한 어플리케이션들을 대상으로 화이트리스트(White List)를 작성하여 해당 어플리케이션들 외에 임의로 다른 어플리케이션들을 설치하지 못하도록 보안 소프트웨어나 시스템 보안 정책을 이용하여 설치 및 실행 되지 않도록 차단한다. 그리고 중요 시스템들에서는 확인되지 않거나 인가되지 않은 계정들의 접근 권한을 최소화 하거나 차단하고 네트워크 역시 중요 시스템들이 있는 네트워크 대역과 일반 임직원들이 사용하는 네트워크 대역을 분리 및 차단하여 원천적인 접근을 차단하는 것도 방안이다.
그리고 두 번째로 APT 형태의 보안 위협들이 최종적으로 시도하는 형태는 데이터의 파괴나 탈취라는 것을 앞서 살펴보았다. 그러므로 실제 위협이 발생한 것으로 파악되는 상황이라면 기업 내부 기밀 데이터가 보관 중인 시스템과 데이터를 보호 할 수 있도록 데이터 암호화와 접근 통제로 유출 차단과 함께 기밀 데이터가 유출되었더라도 그것을 악용할 수 없도록 하는 것이 중요하다. 
마지막으로 실제 보안 위협이 어떠한 경로로 기업 내부 네트워크로 침입을 하였으며 어떠한 시스템과 데이터에 대해 접근을 시도하고 있는지 파악하는 과정이 필요하다. 이러한 탐지 및 대응의 단계에는 최초 네트워크 내부의 비정상적인 패킷의 검출과 함께 비정상적인 접근이나 데이터 전송이 발생하는 시스템을 파악하여 침해 사고 대응 프로세스를 진행과 함께 디지털 포렌식(Digital Forensic) 프로세스에 따라 자세한 분석을 진행 하도록 한다.

결론

우리는 이제까지 현재 정보 보호 분야에서 발생하고 있는 조직적으로 금전적인 이윤을 목적으로 생산되는 보안 위협들의 특징과 형태들을 살펴보았다. 이러한 보안 위협들은 이제 APT라는 경제적이거나 정치적인 더 큰 목적으로의 보안 위협들을 생산하는 단계에 이르렀다. 과거에 발생하였던 사례들과의 비교를 통해 APT 형태의 보안 위협들이 가지는 기술적 고도화와 정교함은 그 위험성이 더 높은 것을 알 수 있었다.
이렇게 과거에 비해 현저히 높아진 위험성을 내포하고 있는 APT 형태의 보안 위협들에 대해 대응하기 위해서는 보안 소프트웨어나 보안 장비들에만 의존하는 단층적인(One Layer) 방안은 그 실효성을 거두기가 어렵다. 그리고 이와 함께 기업 내부 네트워크에 있는 시스템과 중요 데이터가 보관되어 있는 시스템들에 매일 접근하는 임직원들에 대한 정기적인 보안 인식 교육 부재는 내부 네트워크에 언제라도 보안 위협을 유발 시킬 수 있는 큰 문제점으로 작용 할 수 있다.
그러므로 결국 이러한 고도화된 보안 위협들에 대응하기 위해서는 효율적인 보안 소프트웨어 및 보안 장비 사용 그리고 중요 시스템과 데이터에 대한 접근 차단 등과 같은 기술적인 보안에 더해 정기적인 보안 인식 교육 그리고 시스템 사용에 대한 명문화된 보안 지침 등과 같은 정책적인 보안이 상호 보완 해주는 구조로 정보 보호 프로세스가 확립되어야지만 개별적인 대응 방안들이 계층적인 구조인 다단계적인(Defense in Depth) 대응 방안으로 재편성이 가능하다,
현재 뚜렷하게 들어난 APT 형태의 보안 위협은 스턱스넷이 대표적이지만 현재에도 이러한 형태의 보안 위협을 계속되고 있을 것이며 향후에는 이 보다 더 정교하고 고도화된 APT 형태의 보안 위협들일 생산될 가능성이 높다. 그러므로 이러한 형태의 보안 위협에 대해 충분한 이해를 바탕으로 수립된 정보 보호 프로세스만이 실제 보안 사고가 발생하더라도 능동적으로 대응을 할 수 있을 것으로 생각된다.

[참고 문헌]

1. Cybercrime industry has automated itself to improve efficiency, scalability, and profitability - Amichai Shulman, CTO of Imperva. (2010)

2. Advanced Persistent Threats (APTs) - Damballa. (2010)

3. Advanced Persistent Threat (APT) - Eric Cole, CTO of McAfee (2010)

4. Understanding the advanced persistent threat - Richard Bejtlich, Director of Incident Response for General Electric. (2010)

5. Advanced Persistent Threats - M86 Security (2010)

6. Countering cyber attacks - Ernst & Young (2010)

7. Protecting Your Critical Assets Lessons Learned from “Operation Aurora” - McAfee (2010)

8. Studying Malicious Websites and the Underground Economy on the Chinese web - Jianwei Zhuge, Thorsten Holz, Chengyu Song, Jinpeng Guo, Xinhui Han, and Wei Zou, Peking University Institue of Computer Science and Technology Beijing, China, University of Mannheim Laboratory for Dependable Distributed Systems Mannheim, Germany (2007)

9. Crimeware Understanding New Attacks and Defenses - Jakobsson, Ramzan, Symantec Press. (2008)

10. Cyber Fraud Tactics, Techniques, and Procedures - Graham, Howard, Thomas, Winterfeld, CRC Press (2009)



13. IBM X-Force 2010 Mid-Year Trend and Risk Report - IBM X-Forece (2010)