2012년 10월 23일 화요일

고도화된 보안 위협의 생산, APT (Advanced Persistent Threat)

2011년과 2012년 보안 업계에 있어서 가장 큰 화두 중 하나는 APT(Advanced Persistent Threat)입니다. 지금은 APT라는 용어에 대해 많은 분들이 친숙해지고, 어떠한 의미를 가지는 공격 형태인지에 대한 이해도 비교적 높은 편입니다.

사실 APT에 대한 연구는 2010년 초로 거슬러 올라갑니다. 그 당시 해외 보안 컨퍼런스나 보안 위협을 연구한 논문들에서 APT라는 용어가 서서히 보이기 시작하고, 개인적으로 해당 보안 위협의 형태가 어떠한 것인가에 대한 궁금함과 그에 따른 대응 수단은 무엇일까에 대한 관점으로 4개월에 걸친 자료 조사와 고민들 그리고 생각들을 정리 및 연구해서 2010년 10월에 작성했던 원고가 안랩닷컴에 실려 있는 "고도화된 보안 위협의 생산, APT (Advanced Persistent Threat)" 입니다.

해당 원고를 작성 할 당시만 하더라도 한국내에서는 APT와 관련된 자료나 논문들이 전무한 상태여서 해외 논문들과 자료들을 찾고 정리하느라 짧은 영어 실력으로 힘들었던 기억이 많이 납니다. 그리고 한국에서는 APT 형태의 보안 위협에 대해 다루었던  최초의 원고이고, 2011년 전사적으로 집중해야 되었던 보안 위협 형태로 판단하는데 큰 기여를 할 수 있었던 것 같아 개인적으로 큰 의미를 가지고 있는 원고 중 하나 입니다.

재미있는 에피소드로는 그 당시 APT 공격 대상 중 하나로 금융기관이나 기업이 될 수 있을 것 같다는 생각이 들어서, 그에 대한 피해로 "사회 금융 시스템의 동작 불능"이 발생 할 가능성이 있을 것으로 보았습니다. 그렇게 작성한 이후 그 다음 해인 2011년 농협 전산망 침해 사고로 실제 피해가 발생하게 되자, 주위에서 농담으로 제가 한 것이 아니냐는 말씀을 하신 분들도 계셨습니다. ^^;;

+----------------------------

18세기에서 19세기의 영국에서는 산업계 전반에 걸친 커다란 변화와 변혁의 시기를 맞이하게 되었으며 이 시기에 발생하였던 산업 기술의 커다란 발전은 후에 영국의 경제학자 아놀드 토인비(Arnold Toynbe)에 의해 산업 혁명(Industrial Revolution)이라고 불리게 되었다. 이러한 산업 혁명에 의해 전 세계적으로 산업 구조는 조직적이고 대량 생산 체계를 갖출 수 있게 됨으로써 인류는 풍요로운 문명의 발전을 이루게 되었다. 산업 혁명 시기에 발생하였던 일련의 기술 발전 현상들은 현재 인터넷(Internet)을 중심으로 발생하고 있는 다양한 보안 위협들의 발생 과정들과 유사한 모습을 많이 가지고 있다.

금전적 이윤을 목적으로 가지고 조직적으로 자동화된 대량 생산 방식으로 만들어지는 보안 위협들에 맞서는 정보 보호 분야에 있어서 또 다른 산업 혁명의 시기로 볼 수 있을 것이다.
그러나 최근에 와서는 금전적 이윤을 목적으로 조직적이고 자동화된 대량 생산 형태의 보안 위협들은 이제 그 범위를 서서히 확장하여 또 다른 영역으로의 발전을 꾀하고 있는 실정이다. 이러한 새로운 형태의 보안 위협들에 대해 정보 보호 분야에서는 APT(Advanced Persistent Threat)라고 언급하고 있다.

사이버 블랙 마켓(Black Market)에서 발생하는 산업 혁명

최근 인터넷을 통해 발생하는 다양한 보안 위협들은 이미 몇 년에 걸쳐 금전적인 이윤을 목적으로 제작되고 있다는 것은 잘 알려져 있는 사실이다. 이러한 금전적인 이윤을 획득하는 것만을 목적으로 하는 것에 그치지 않고 발생하는 금전적인 이윤을 극대화 하기 위해 조직적인 움직임까지 보이고 있으며 실제 중국 언더그라운드에서 제작되는 온라인 게임 사용자 정보의 탈취를 시도하는 악성코드들의 경우 철저한 역할 분담 형태로 제작되고 있어 조직적인 모습을 그대로 보이고 있다.
그 세부적인 역할 분담 형태를 살펴보게 되면 악성코드를 제작하고 제작된 악성코드를 유포해서 악성코드에 감염된 온라인 게임의 사용자들의 개인 정보 수집하고 이를 다시 현금화 하는 일련의 프로세스는 단계적으로 철저하게 조직적인 역할 분담 형태로 구성되어 움직이고 있다.

[그림 1] 중국 사이버 블랙 마켓의 조직적인 온라인 게임 개인 정보 탈취 및 아이템 판매


이렇게 금전적인 이윤을 극대화 하기 위해 조직적인 역할 분담 형태로 보안 위협을 생산하는 조직들의 모습은 과거 발생하였던 일련의 보안 위협 형태들로 구분 지었을 때 다음과 같은 특징들을 보이고 있다.

1) 투자 수익율 (ROI, Return of Investment) 중심의 자동화된 보안 위협 생산

보안 위협을 생산하는 조직들은 금전적인 이윤을 극대화 하기 위한 필요성에 의해 개인적인 위협의 제작 차원에서 조직적인 역할 분담 형태로 변하게 되었다. 이러한 필요성에 의해 조직적인 형태를 가지게 되었으므로 조직적인 차원에서는 보안 위협의 생산에 필요한 금전적, 인력적 투자는 최소화하고 생산하는 보안 위협들은 목적을 최대한 많이 달성하기 위해 다양한 방안들을 사용하고 있다. 이러한 형태의 대표적인 사례로 악성코드들의 대량으로 자동화된 생산 형태를 들 수가 있다.

[그림 2] 중국 사이버 마켓에서 판매되는 온라인 게임 악성코드 자동 생성기

2) 다양한 보안 위협들을 동시에 생산하여 금전적 가치 극대화
금전적인 이윤을 목적으로 구성된 조직들에서는 한 가지 형태의 보안 위협만을 생산하는 것이 아니라 다양한 형태의 보안 위협들을 복합적으로 생산하고 있다. 실례로 2010년 2월 발생한 페이스북(Facebook) 피싱(Phishing) 메일의 경우, 유포된 피싱 메일은 허위로 제작된 피싱 웹 사이트로 연결하게 되는데 그 연결된 웹 사이트에서는 백그라운드(Backgroud)로 사용자 모르게 원격제어와 개인 정보 탈취를 목적으로 제작된 악성코드가 유포되고 있었다.
이러한 점은 피싱이라는 보안 위협과 함께 악성코드라는 보안 위협을 동시에 제작하여 두 가지 보안 위협에 모두 노출되는 기회를 만들게 됨으로써 해당 보안 위협들로 인해 발생 할 수 있는 금전적인 이윤 역시 극대화 하고자 하였던 시도라고 볼 수 있다.

3) 자동화로 생산된 보안 위협들의 웹 사이트를 중심으로 대규모 유포

금전적인 이윤을 극대화하기 위해서 자동으로 생산되는 보안 위협들을 많은 사람들이 방문하는 웹 사이트를 중심으로 대규모로 유포 할 수 있는 환경을 만들 수 있게 되었다. 이렇게 보안 위협들의 대규모 유포는 자동화 된 SQL인젝션(Injection)과 같은 기법들과 함께 웹 사이트에 존재하는 취약점을 악용함으로써 가능해지게 되었다. 이러한 대규모 유포의 좋은 사례로는 2009년 5월과 6월에 발생하였던 검블러(Gumblar)와 나인볼(NineBall)이라 명명된 대규모 웹 사이트 해킹 및 악성코드 유포를 들 수가 있다. 그와 같이 명명된 대규모로 악성코드 유포된 보안 사고는 웹 익스플로잇 툴킷(Web Exploit Toolkit)이라는 접속하는 웹 브라우저에 존재하는 취약점을 자동으로 악용 할 수 있게 해주는 공격 도구 형태로 인해 대규모 유포의 가능성을 더욱 크게 만들게 되었다.


[그림 3] 웹 익스플로잇 툴킷의 한 종류인 SEO SPLOIT PACK과 자동화 된 공격 구조

이렇게 웹 사이트와 악성코드가 결합된 대규모 유포 방식으로 인해 악성코드와 같은 보안 위협에 더욱 많은 사람들이 단기간에 노출되도록 함으로써 금전적인 이윤 역시 극대화 할 수 있는 기회 역시 더욱 커지게 되었다.

고도화된 보안 위협 APT 의 발생과 특징

앞서 사이버 블랙 마켓에서 발생하는 다양한 보안 위협들을 생산하는 조직들은 금전적인 목적을 가지고 조직적이고 자동화된 방식으로 보안 위협들을 대규모 유포하는 특징들을 보이고 있는 것을 언급하였다. 이러한 금전적인 목적을 가진 조직들에서 생산하는 보안 위협들은 여전히 인터넷에서 주요한 정보 보호 분야의 주제이다. 그러나 2010년으로 넘어오면서 정보 보호 분야는 앞서 언급하였던 금전적인 이윤을 목적으로 하는 보안 위협들과 다른 목적과 대상으로 생산되는 새로운 형태의 보안 위협을 정의하게 되었는데 APT (Advanced Persistent Threat)가 바로 그러한 형태이다.

1) 고도화된 보안 위협 APT의 의미

APT 라는 단어 자체는 2010년에 들어 새롭게 정의된 단어와 의미는 아니며 그 기원과 최초의 사용은 미국 공군 사령부로 연결된다. 미국 공군 사령부에서는 2006년 무렵 미국 국방부 및 정부 기관들과의 원활한 커뮤니케이션을 위해 확인된 특정 보안 위협의 형태를 지칭하는 의미로서 APT (Advanced Persistent Threat)를 사용하게 되었다.
그 이후 정보 보호 분야의 민간 부분으로 넘어오면서 APT 라는 용어는 미국 공군 사령부에서 사용되었던 의미와 조금 다른 형태로 의미로 해석되고 사용하게 되었다.

- Advanced
사전적인 의미로는 ‘앞선’, ‘고급의’로 정의되고 있으나 APT에서 ‘Advanced’라는 단어는 APT 형태의 보안 위협을 생산하는 조직에서 사용하는 기술적인 범위와 수준을 지칭하는 것으로 해석할 수 있다. 
APT 형태의 보안 위협을 생산하는 조직은 특정한 목적을 수행하기 위해 보안 위협 제작에 사용되는 기술들을 한 가지에만 제한시키는 것이 아니라 광범위하게 많은 기술들을 동시에 사용 할 수 있다. 간단한 예시로 APT 형태의 보안 위협을 생산하기 위해 마이크로소프트(Microsoft)의 윈도우(Windows) 운영체제를 깊이 있게 분석하여 새로운 제로 데이(Zero-Day, 0-Day) 취약점을 찾아내어 악용할 수도 있으며, 특정 조직의 내부 시스템을 장악하기 위한 목적으로 기존 보안 소프트웨어에서 탐지를 회피 할 수 있는 새로운 형태의 악성코드를 제작하는 것을 들 수가 있다.
결국 특정 목적을 달성하기 위해 보안 위협을 생산하는 조직은 IT 인프라와 관련된 모든 기술들을 다양하게 사용 할 수도 있다라는 의미로 해석 할 수 있다.

- Persistent
APT의 두 번째 단어에 해당하는 ‘Persistent’는 사전적인 의미로 ‘영속하는’, ‘끊임 없는’으로 정의되어 있다. APT에 있어서 이 ‘Persistent’라는 의미는 보안 위협을 생산하는 조직이 가지고 있는 특정 목적을 대한 자세 또는 공격 대상에 대한 태도로 해석 할 수 있다. 이는 보안 위협을 생산하는 조직이 가지고 있는 특정 목적이 달성되기 전까지는 그 공격 대상에게 끊임 없이 새로운 기술과 방식이 적용된 공격들이 지속적으로 가해지기 때문이다.
이러한 특징으로 인해 APT 형태의 보안 위협을 논하는 정보 보호 분야에서는 이 ‘Persistent’적인 특성으로 인해 그 보안 위협의 목표가 되는 대상에게는 치명적인 손상을 가하게 된다고 보고 있다.

- Threat
APT에서 의미하는 ‘Threat’은 사전적인 의미의 ‘위협’을 그대로 뜻한다. 그리고 여기서 이야기하는 위협의 구체적인 형태로는 악성코드, 취약점, 해킹과 사회 공학 기법 등으로 IT 기술에 의해 생산되는 형태가 될 수 도 있으며 사람에 의해 직접적으로 만들어지는 사회 공학 기법적인 형태가 될 수 도 있다.

이렇게 APT(Advanced Persistent Threat)이 가지는 개별적인 단어들의 의미와 함께 현재 발생하는 보안 위협의 특성들이 합쳐져 2006년 미국 공군 사령부에서 사용하던 APT 의미에서 변형된 다른 의미가 성립하게 되었다. 이렇게 성립된 APT가 가지는 의미를 요약하여 정의 해본다면 다음과 같다고 할 수 있다.

“다양한 IT 기술과 방식들을 이용해 조직적으로 경제적이거나 정치적인 목적을 위해 다양한 보안 위협들을 생산해 지속적으로 특정 대상에게 가하는 일련의 행위”

2) APT 형태를 가지는 보안 위협들의 공격 대상

앞서 APT 가 가지고 있는 개별 단어들의 사전적인 의미와 특징들을 통해 APT가 어떠한 의미라는 것을 살펴보았다. 이 의미 중에서 우리가 주의 깊게 살펴보아야 할 부분이 바로 ‘경제적이거나 정치적인 목적’ 그리고 ‘특정 대상’이라는 부분이다.
특히 앞서 정의한 APT 형태의 보안 위협에 있어 그 위협의 대상은 보안 위협을 생산해내는 조직이 가지고 있는 목적들과 밀접한 관련이 있으며 그 목적에 따라 그 대상 역시 다양하게 나타나고 있다. 현재까지 발생하였던 APT 형태의 보안 위협들의 공격 대상이 되었던 대상들을 형태별로 구분하여 살펴보면 크게 다음 [그림 4]와 같이 분류가 가능하다. 

[그림 4] APT 형태의 보안 위협에 대상이 되는 조직들

APT 형태의 보안 위협에 대상이 되는 조직들은 정부 기관, 사회 기간 산업 시설, 정보 통신 기업, 제조 업종 기업과 금융 업종 기업들과 같은 기관과 기업들이 주요 대상이 되고 있다. 이러한 기관과 기업들이 APT 형태의 보안 위협에 주요 대상이 된다는 점은 결국 해당 보안 위협을 생산하는 조직들이 가지고 있는 목적 자체가 정치적인 목적이 상반되는 조직에 대한 정치적인 행동 또는 경제적으로 커다란 이익을 확보할 수 있는 데이터 탈취가 가능한 기업이 된다는 것을 알 수 있다. 
이러한 목적들 중에서 먼저 정치적인 목적의 경우에는 일반적으로 정부기관과 사회 기간 산업 시설이 APT 형태의 보안 위협에 주요 공격 대상이 되고 있다.
정부 기관을 대상으로 하는 경우에는 생산한 APT 형태의 보안 위협을 이용해 국가 정부 기관에서 보관 중인 특정 기밀 문서를 탈취하거나 특정 정부 정책과 관련된 정보들을 확보하기 위해서이다. 또한 사회 기간 산업 시설을 대상으로 하는 경우에는 일종의 사이버 테러리즘 활동으로 볼 수도 있다. 발전소 및 댐과 같이 사회 운영의 근간이 되는 기간 산업 시설에 대해 APT 형태의 보안 위협으로 공격을 가하는 것은 해당 산업 시설들의 정상적인 동작을 방해하여 해당 국가 사회 전반의 정상적인 활동이 이루어지지 않도록 하기 위해서라고 볼 수 있다. 
그리고 경제적인 목적이 되는 경우에는 일반적인 기업들이 대상이 되고 있으며 그 중에서도 소프트웨어나 통신 장비 등을 생산하는 첨단 정보 통신 기업들과 함께 자동차, 선박, 가전제품 등을 생산하는 제조 업종의 기업들도 대상이 되고 있다. 그리고 은행, 증권사 등 금융 업종에 포함되는 기업들도 역시 APT 형태의 보안 위협들의 대상이 되고 있다.
이러한 일반적인 기업들이 대상이 되는 경우에는 일반적으로 산업 보안(Industrial Security, Corporate Security) 분야에서 언급하고 있는 주된 위협인 산업 스파이(Corporate Espionage) 활동의 일종으로 주로 경쟁 기업 내부의 주요 소프트웨어 소스코드, 제품의 설계도 등을 탈취하여 경쟁 기업의 제품 생산과 판매에 치명적인 손상을 가해 반사적인 이익을 얻기 위한 경제적인 목적이 가장 크다고 할 수 있다. 금융 업종 기업의 경우에는 경쟁 기업의 내부 재무 관련 기밀이나 비공개 투자 계획 문서 등을 탈취하여 경쟁 기업의 비즈니스 활동 전반에 걸친 타격을 주기 위한 목적도 가지고 있다.
3) 고도화된 보안 위협 APT 형태가 가지는 보안 위협적 특성

앞서서 살펴본 바와 같이 APT 형태를 가지는 보안 위협들의 공격 대상들은 그 위협들을 생산하는 조직의 목적에 따라서 다르다. 이러한 목적 역시 시대에 따라 변하여 왔던 것을 시대에 따른 공격 대상의 변화들로 미루어 알 수가 있다.
1990년대에는 주로 국방부와 같은 군사 기관들이 주된 대상이 되었으며 2000년대 초반에 이르러서는 주로 정부 기관들이 대상이 되었다. 그리고 2000년대 중반에는 일반 기업들로 그 범위가 확대되었으며 그 중에서도 제조 업종에 속해 있는 기업들이 주요 타깃이었다. 2000년대 후반에 이르러서는 정보 통신 기술의 발전과 함께 정보 통신 기업들이 APT 형태의 보안 위협에 대상이 되고 있다. 
이렇게 시대적인 상황에 따라 APT 형태의 보안 위협이 목표로 하는 공격 대상들 역시 변화하는 특징도 있었지만 이와 함께 과거에 제작되었던 보안 위협들과 다르게 APT 형태의 보안 위협에서만 볼 수 있는 정교함이 존재하고 있다. 

 [그림 5] APT 형태의 보안 위협이 가지는 정교함과 위험성의 상관 관계

개별적인 보안 위협의 정교함은 해당 보안 위협이 발생하였던 시대적인 흐름과 변화에 따라 조금씩 다르다는 특징을 가지고 있다. 이러한 시대적인 흐름에 맞물리는 보안 위협의 특징은 과거에 발견되었던 보안 위협들 중에서도 악성코드의 경우에는 대부분이 제작자들의 개인적인 호기심 또는 자신이 가지고 있는 기술에 대한 과시를 위한 성격 그리고 취미 생활과 같은 장난에 가까운 성격을 가지고 있었다. 그러므로 이러한 목적을 가지고 있는 보안 위협의 형태들은 그 정교한 역시 낮으며 그로 인해 발생 할 수 있는 위험성 역시 그리 높지 않다고 할 수 있다.
이러한 형태의 보안 위협들로는 2004년 발견된 베이글(Bagle) 웜과 2006년 발견되었던 마이둠(Mydoom) 웜 그리고 넷스카이(Netsky) 웜 등을 들 수 가 있다. 이 중에서도 특히 마이둠 웜과 넷스카이 웜은 제작자간의 감정적인 싸움으로 인해 지속적인 변형들이 제작되는 동기가 되기도 하였다.
그러나 2000년에 접어들면서 금전적인 목적으로 조직적 보안 위협을 생산하는 단계에 이르러서는 생산되는 보안 위협들 역시 그 정교함이 서서히 높아지게 되었다. 이러한 목적으로 제작되는 보안 위협들은 사이버 범죄에도 해당 되지만 이와 연계되어 있는 물리적 공간에서의 조직적 범죄에도 자리하게 되었다. 그리고 이러한 보안 위협들의 주된 탈취의 대상이 되는 것들은 물리적인 공간에서 현금화가 가능하거나 재화로서 금전적인 가치를 인정 받을 수 있는 온라인 게임 아이템, 개인 신상 정보, 금융 정보 그리고 신용카드 정보 등과 같은 데이터들이 해당 된다. 
이러한 보안 위협의 형태들 중에서 가장 대표적인 사례로는 2008년 말부터 제작되기 시작하여 2009년 6월 무렵부터는 한국으로도 유입되기 시작하였던 제우스(Zeus) 봇(Bot)을 들 수가 있다. 악성코드 생성기와 이를 조정할 수 있는 C&C(Command and Control) 서버를 설치 할 수 있는 제우스 패키지는 사이버 블랙 마켓(Black Market)에서 유료로 판매되고 있다. 

[그림 6] 블랙마켓에서 금전 거래로 판매되는 제우스 봇 생성기

이렇게 유료로 판매되고 있는 제우스의 패키지를 이용하여 온라인 뱅킹의 개인 정보들을 탈취하여 은행 계좌가 가지고 있는 금액을 모두 탈취하거나 제우스 봇에 감염된 시스템들의 정보들을 블랙마켓에 유료 재판매하고 있다.

조직적으로 금전적인 목적의 보안 위협을 생산하는 현상들은 그 이후에도 계속되고 있으며 이제는 그 규모 면에서 경제적으로 가치가 높은 데이터들을 탈취하는 산업 스파이적인 형태로 발전하게 되었다. 이러한 형태로 발전함에 따라 일반인들과 비교하여 보안이 견고한 기업 내부 네트워크에 침입하기 위해 생산되는 보안 위협들 역시 그 정교함이 높아짐과 동시에 그 위험성 역시 더 높아지게 되었다. 
이러한 산업 스파이적인 형태로 첨단 정보 통신 기업들을 대상으로 하였던 보안 위협의 비교적 좋은 사례로는 2010년 1월 오퍼레이션 오로라(Operation Aurora) 또는 구글 해킹이라고도 불렸던 보안 사고이다. 해당 보안 사고는 규모가 큰 첨단 정보 통신 기업들인 구글(Google) 등을 대상으로 해당 기업들이 가지고 있는 소프트웨어의 소스 코드와 같은 기업 중요 데이터를 탈취 할 목적으로 이루어졌다. 이 과정에서 마이크로소프트의 인터넷 익스플로러(Internet Explorer) 제로 데이(Zero Day) 취약점이었던 MS10-002이 사회 공학 기법과 함께 악용되었으며 안티 바이러스(Anti-Virus) 소프트웨어에서도 탐지되지 않도록 하기 위해 특별히 제작된 원격 제어형태의 악성코드도 함께 발견되었다. 

[그림 7] 오퍼레이션 오로라로 불렸던 보안 사고 (출처: McAfee)]

이러한 일련의 과정들을 살펴 볼 경우, 첨단 정보 통신 기업들을 대상으로 공격을 수행하였던 조직은 기업 내부의 기밀 데이터를 탈취하기 위해 별도의 특수하게 제작된 제로 데이 취약점과 악성코드를 사용하였다. 이러한 점은 기존의 금전적인 목적을 가지고 있는 조직들과는 그 기술적인 정교함에 있어서 한 차원 더 높다고 것을 입증하는 것이다. 
보안 위협의 생산성적인 면에서 가장 높은 정교함과 위험성이 있는 것으로 분류할 수 있는 APT 형태의 보안 위협에 대한 가장 대표적인 사례로는 올해 7월에 발견된 스턱스넷(Stuxnet)을 들 수가 있다.

[그림 8]  스턱스넷 악성코드의 감염과 동작 원리]

스턱스넷의 경우 해당 악성코드의 제작 목적 자체가 사회 기간 산업 시설 중 하나인 원자력 발전소의 SCADA(Supervisory Control And Data Acquisition) 시스템들을 임의로 제어하기 위해서 이다. 그리고 해당 악성코드를 원자력 발전소 내부 폐쇄망에서 다른 시스템들로 유포 시키기 위해 기존에 알려진 MS08-067 취약점과 함께 4개의 새로운 제로 데이 취약점을 사용할 정도로 고도의 기술들이 사용되었다. 그리고 해당 악성코드의 설계적인 측면에서도 원자력 발전소 내부에서 사용하는 지멘스(Siemens) 소프트웨어의 구조를 정확하게 파악하여 관련 파일을 변조 한다는 점들을 볼 때 APT 보안 위협의 형태가 가지고 있는 특징들이 그대로 드러난다고 볼 수 있다. 
이러한 모습들을 보았을 때 결국 스턱스넷은 장기간에 걸친 철저한 계획과 준비를 통해 조직적으로 악성코드에서 사용될 제로 데이 취약점 개발과 지멘스 소프트웨어 분석 그리고 악성코드 설계라는 분업화 된 형태로 진행 되었을 것으로 예측 할 수가 있다. 그리고 스턱스넷의 유포를 위해서 사회 공학 기법을 포함한 다양한 방법들을 동원해 내부 폐쇄망으로 옮겨 갈 수 있도록 장시간에 걸쳐 논리적, 물리적 보안 시스템들을 교묘히 회피하였을 것으로 보인다.

APT 형태의 보안 위협에 위한 대응 방안

앞서 우리는 APT 형태의 보안 위협들이 가지는 의미와 그것 들이 가지는 고도의 정교함과 높은 위험성들이 어떠한 형태로 사용되었는지를 대표적인 몇 가지 사례들을 통해 살펴 볼 수 가 있었다. 그렇다면 이러한 커다란 위험성을 가지고 있는 APT 형태의 보안 위협들에 대응하기 위해 어떠한 대응 수단과 전략을 갖추어야 할 것인가 하는 생각을 할 수 있을 것이다.
APT 형태의 보안 위협에 대응하기 위해서는 [그림 9]와 같이 크게 사고 예방 차원에서 취할 수 있는 방안들과 실제 위협으로 인한 보안 사고가 발생한 단계에서 취할 수 있는 방안들로 나누어 볼 수 있다. 

[그림 9] APT 형태의 보안 위협에 대응하기 위한 방안들

먼저 실제 위협 발생 전 단계에서는 일반적으로 사전 예방 차원에서의 활동들이 주를 이루고 있다. 이러한 활동들로는 정기적인 보안 관제로 기업 내부 네트워크에서 침해 사고로 간주 할 수 있는 이상 징후들이 발생하는지 주의 깊은 모니터링이 필요하다. 그리고 기업 내부에서 현재 사용하고 있는 보안 정책들의 실효성에 대해 검토함과 동시에 각각의 시스템들이 보관하고 있는 데이터들의 중요성과 기밀성에 따른 위험성 분석을 수행하여 보안 사고가 발생하더라도 그 피해를 최소화 할 수 있는 방안을 수립하는 것이 중요하다고 할 수 있다.

앞서 살펴본 바와 같이 APT 형태의 보안 위협들에서는 그 목적을 달성하기 위한 하나의 수단으로서 악성코드가 제작되어 사용된다고 언급한 바가 있다. 그러므로 모든 시스템들과 클라이언트들에는 보안 소프트웨어들을 설치하여 운영하도록 하며 주기적으로 운영되고 있는 보안 소프트웨어와 보안 장비들의 업데이트 및 관리를 하는 것이 중요하다. 그리고 기업 내부 네트워크를 사용하는 임직원들을 대상으로 정기적인 보안 인식 교육을 실시하여 사회 공학 기법을 악용하는 다양한 형태의 보안 위협들에 노출 되는 것을 예방 할 수 있도록 한다. 
위협 발생 전의 단계가 침해 사고 예방적인 관점에서의 접근이었다면 실제 APT 형태의 위협이 발생한 것을 인지하였거나 유사한 형태의 보안 사고가 발생한 것으로 간주하고 있다면 크게 3가지 형태로 나누어서 접근 할 필요가 있다. 
첫 번째로 기업 내부 네트워크의 시스템들에 악성코드가 감염되는 것을 막도록 한다. 이를 위해 기업 내부에서 검토하고 인증한 어플리케이션들을 대상으로 화이트리스트(White List)를 작성하여 해당 어플리케이션들 외에 임의로 다른 어플리케이션들을 설치하지 못하도록 보안 소프트웨어나 시스템 보안 정책을 이용하여 설치 및 실행 되지 않도록 차단한다. 그리고 중요 시스템들에서는 확인되지 않거나 인가되지 않은 계정들의 접근 권한을 최소화 하거나 차단하고 네트워크 역시 중요 시스템들이 있는 네트워크 대역과 일반 임직원들이 사용하는 네트워크 대역을 분리 및 차단하여 원천적인 접근을 차단하는 것도 방안이다.
그리고 두 번째로 APT 형태의 보안 위협들이 최종적으로 시도하는 형태는 데이터의 파괴나 탈취라는 것을 앞서 살펴보았다. 그러므로 실제 위협이 발생한 것으로 파악되는 상황이라면 기업 내부 기밀 데이터가 보관 중인 시스템과 데이터를 보호 할 수 있도록 데이터 암호화와 접근 통제로 유출 차단과 함께 기밀 데이터가 유출되었더라도 그것을 악용할 수 없도록 하는 것이 중요하다. 
마지막으로 실제 보안 위협이 어떠한 경로로 기업 내부 네트워크로 침입을 하였으며 어떠한 시스템과 데이터에 대해 접근을 시도하고 있는지 파악하는 과정이 필요하다. 이러한 탐지 및 대응의 단계에는 최초 네트워크 내부의 비정상적인 패킷의 검출과 함께 비정상적인 접근이나 데이터 전송이 발생하는 시스템을 파악하여 침해 사고 대응 프로세스를 진행과 함께 디지털 포렌식(Digital Forensic) 프로세스에 따라 자세한 분석을 진행 하도록 한다.

결론

우리는 이제까지 현재 정보 보호 분야에서 발생하고 있는 조직적으로 금전적인 이윤을 목적으로 생산되는 보안 위협들의 특징과 형태들을 살펴보았다. 이러한 보안 위협들은 이제 APT라는 경제적이거나 정치적인 더 큰 목적으로의 보안 위협들을 생산하는 단계에 이르렀다. 과거에 발생하였던 사례들과의 비교를 통해 APT 형태의 보안 위협들이 가지는 기술적 고도화와 정교함은 그 위험성이 더 높은 것을 알 수 있었다.
이렇게 과거에 비해 현저히 높아진 위험성을 내포하고 있는 APT 형태의 보안 위협들에 대해 대응하기 위해서는 보안 소프트웨어나 보안 장비들에만 의존하는 단층적인(One Layer) 방안은 그 실효성을 거두기가 어렵다. 그리고 이와 함께 기업 내부 네트워크에 있는 시스템과 중요 데이터가 보관되어 있는 시스템들에 매일 접근하는 임직원들에 대한 정기적인 보안 인식 교육 부재는 내부 네트워크에 언제라도 보안 위협을 유발 시킬 수 있는 큰 문제점으로 작용 할 수 있다.
그러므로 결국 이러한 고도화된 보안 위협들에 대응하기 위해서는 효율적인 보안 소프트웨어 및 보안 장비 사용 그리고 중요 시스템과 데이터에 대한 접근 차단 등과 같은 기술적인 보안에 더해 정기적인 보안 인식 교육 그리고 시스템 사용에 대한 명문화된 보안 지침 등과 같은 정책적인 보안이 상호 보완 해주는 구조로 정보 보호 프로세스가 확립되어야지만 개별적인 대응 방안들이 계층적인 구조인 다단계적인(Defense in Depth) 대응 방안으로 재편성이 가능하다,
현재 뚜렷하게 들어난 APT 형태의 보안 위협은 스턱스넷이 대표적이지만 현재에도 이러한 형태의 보안 위협을 계속되고 있을 것이며 향후에는 이 보다 더 정교하고 고도화된 APT 형태의 보안 위협들일 생산될 가능성이 높다. 그러므로 이러한 형태의 보안 위협에 대해 충분한 이해를 바탕으로 수립된 정보 보호 프로세스만이 실제 보안 사고가 발생하더라도 능동적으로 대응을 할 수 있을 것으로 생각된다.

[참고 문헌]

1. Cybercrime industry has automated itself to improve efficiency, scalability, and profitability - Amichai Shulman, CTO of Imperva. (2010)

2. Advanced Persistent Threats (APTs) - Damballa. (2010)

3. Advanced Persistent Threat (APT) - Eric Cole, CTO of McAfee (2010)

4. Understanding the advanced persistent threat - Richard Bejtlich, Director of Incident Response for General Electric. (2010)

5. Advanced Persistent Threats - M86 Security (2010)

6. Countering cyber attacks - Ernst & Young (2010)

7. Protecting Your Critical Assets Lessons Learned from “Operation Aurora” - McAfee (2010)

8. Studying Malicious Websites and the Underground Economy on the Chinese web - Jianwei Zhuge, Thorsten Holz, Chengyu Song, Jinpeng Guo, Xinhui Han, and Wei Zou, Peking University Institue of Computer Science and Technology Beijing, China, University of Mannheim Laboratory for Dependable Distributed Systems Mannheim, Germany (2007)

9. Crimeware Understanding New Attacks and Defenses - Jakobsson, Ramzan, Symantec Press. (2008)

10. Cyber Fraud Tactics, Techniques, and Procedures - Graham, Howard, Thomas, Winterfeld, CRC Press (2009)



13. IBM X-Force 2010 Mid-Year Trend and Risk Report - IBM X-Forece (2010)

2012년 10월 21일 일요일

최초의 한국 단독 공연.. 카니발 콥스(Cannibal Corpse)

데스 메틀(Death Metal)을 즐겨듣는 분들이라면 기억하고 좋아하는 밴드들이 몇 가지씩 있을 것 입니다. 사타니즘에 정통한 디어사이드(Deicide), 영국산 원조 그라인드 코어(Grindcore) 밴드 네이팜 데스(Napalm Death), 얼마전 한국에서 내한 공연을 홍대에서 했었지요. 그리고 영국의 데스 메틀에 대응하는 오비추어리(Obituary), 예술가적인 면모를 보이기까지 했던 데스(Death), 특히 데스의 경우는 데스 메틀계의 거물인 척 슐디니(Chuck Schuldine)와 제임스 머피(James Murphy)가 활동하는 밴드로도 유명합니다.

그 중에서도 마지막으로 언급하게 되는 미국 뉴욕 출신의 카니발 콥스(Cannibal Corpse)는 밴드명인 식인귀라는 의미에서도 알수 있듯이 데스 메틀에 정통한 밴드입니다. 대부분의 비교적 유명한 데스 메틀 밴드가 플로리다 탐파 지역에서 많이 활동하는 반면 카니발 콥스는 미국 뉴욕이 고향인 밴드입니다.

카니발 콥스는 화끈하게 잔혹한 앨범 자켓들로 인해 20년전의 한국에서는 전면 수입 및 판매 금지로 유명 했던 밴드 입니다. 그래서 저도 고등학교 시절 카니발 콥스의 앨범을 구할려고 친구나 친척 중에 해외 나가시는 분들이 있다면 따로 부탁을 하거나 압구정 상아 레코드로 시외 전화를 자주 했었지요. 오늘 찾아보니 상아 레코드가 다른 업체로 인수되고 온, 오프 라인 매장 모두 없어져서 아쉽네요.

앨범 자켓을 블로그에 올리고 싶지만, 심신이 허약한 노약자 또는 임산부들을 위해서 자제를 하고 대신 그 들의 2012년 발매한 앨범 "TORTURE"에서 싱글 컷 된 "Encased in Concrete" 뮤직비디오를 공유 합니다. 물론 많이 순화되고 부드럽다고 해도 사람 한명을 땅속에다 공구리쳐서 파묻는 내용입니다. -_-;;;


이렇게 화끈한 밴드인 카니발 콥스는 데스 메틀 밴드로서는 몇 가지 큰 이력을 가지고 있습니다. 그 것은 바로 데스 메틀 밴드 역사상 최초로 미국 빌보드 TOP 100 차트와 앨범 차트에 올랐다는 것 입니다. 특히 "Hammer Smashed Face"라는 곡으로 빌보드 차트에도 오른 그들은 그 이후에는 영화에도 출연하게 됩니다.


코메디 배우로 유명한 짐캐리가 주연한 에이스 벤츄라(Ace Ventura : Pet Detective)에서 짐 캐리가 록 클럽을 방문해서 조사하는 씬이 있었는데, 그 클럽 무대에서 열정적으로 연주하던 밴드가 카니발 콥스 였습니다. 그 영화를 데스 메틀을 좋아하는 선배 형들과 극장에서 보다 저희도 모르게 "우와~ 카니발 콥스다~"라고 소리를 질렀던 기억이 납니다.


이 것이 인연이 되어서 인지 후에 카니발 콥스 라이브 공연에 짐 캐리가 카메오로 무대에 잠깐 올라서 퍼포먼스를 보였다고 하더군요.

이런 화려한 경력의 카니발 콥스가 드디어 단독 공연을 위해 한국을 방문 했습니다. 카니발 콥스가 한국에서 공연을 한다는 이야기를 들었을 때 순간 놀랐습니다. 록과 밴드 음악의 불모지인 한국에서 미국에서도 마이너 음악인 데스메틀 밴드가 단독 공연을 위해 한국을 방문한다니 정말 놀라운 이야기 입니다.


공연 시간에 맞추어서 악스 코리아 공연장에 도착해 살펴보니 언더그라운드에서 데스 메틀이나 헤비 메틀을 하는 밴드들의 멤버들도 간간히 보일 정도였습니다만, 공연장 안에는 역시 한국에서도 마이너 음악 장르이다 보니 다른 밴드들의 공연 만큼이나 사람들이 많지는 않았습니다. 다만 어느 해외 밴드들의 공연보다도 외국인들이 특히나 많았습니다.

8시 정각 드디어 밴드 멤버들의 모습이 보이자 사람들 모두 환호하기를 시작하였습니다. 아무런 멘트도 없이 바로 곡을 연주하기 시작해서 4곡 정도 연주 한 후 이제 시작이라는 간단한 멘트만 남기고 다시 4곡 정도 연주하는 방식으로 공연을 계속 되었습니다.



밴드의 연주는 생각보다 무척 놀라왔습니다. 24년이라는 시간 동안 호홉을 맞춘 멤버들인 관계로 변박과 곡 전개가 계속 빠른 속도로 계속 바뀌는 그들 특유의 그루브감이 있는 곡들을 음반을 듣는 것 같다는 착각이 들 정도로 완벽하게 연주되었습니다.

그리고 공연장 분위기가 어느정도 무르익자 티셔츠를 벗어서 돌리는 사람, 물통의 물을 뿌리는 사람들이 나오기 시작하고 해외 공연장에서 볼 수 있는 모습인 슬램과 다이빙이 곳곳에서 연출 되었습니다.

이런 한국 팬들의 모습들로 인해 보컬은 친절하게도 헤드뱅잉 하는 방법을 설명해주고 슬램과 다이빙을 계속하라는 멘트와 함께 오늘 한국에서 팬들을 만나게 되어 반갑고 고맙다는 멘트를 하더군요.

그렇게 20곡 정도를 부른 카니발 콥스는 연주하던 드럼 스틱과 기타 피크 그리고 오늘 공연의 셋 리스트 종이들을 관객석으로 모두 던진 후 1시가 30분의 공연이 끝이 났습니다. 하지만 많은 사람들이 앵콜을 외치고 "One more song"을 외쳤지만 앵콜곡 없이 공연은 그렇게 끝이 났습니다.


최근 한국에서 공연을 하는 밴드들의 모습을 보면 한국 사회에서 음악에 대한 다양성이 많이 커져가고 밴드 음악에 관심이 많아지고 있다는 생각이 듭니다. 그리고 다수의 밴드들이 한국 팬들의 열정적인 응원과 관람 모습에 많은 감명을 받는 것 같아, 다양한 음악 장르의 밴드들이 향후에도 한국에서 계속 공연을 하게 될 것다는 생각드네요..

2012년 10월 12일 금요일

삶의 여백 그리고 업무의 여백.. 슬랙(Slack)

슬랙(Slack) 이란 책을 몇 달전에 사서 오늘 출근 길 전철 안에서 거의 한 달 만에 다 읽게 되었습니다. 슬랙이란 책을 처음 접하게 된 것은 몇 달 전 소셜 네트워크의 지인 분들 중 한 분께서 IT 업종에 종사하는 엔지니어라면 한 번 읽어두면 좋을 것이라는 추천의 글 때문이었습니다.


사실 책을 처음 구입 할 당시만 하더라도 슬랙(Slack)이라는 단어의 의미라던가 그리고 이 책의 주제와 방향이 무언지에 대한 고민이나 호기심도 없이 덜컥 주문부터 했었습니다. 주문 할 당시의 생각으로는 소프트웨어 개발이나 IT 업종에 종사하는 엔지니어로서의 자기 계발 등과 관련된 서적이라고 생각을 했었지요.

우선 슬랙이라는 단어의 의미부터 생각 해본다면 형용사로 "느슨한" 그리고 부사로 "느슨하게, 헐겁게" 마지막으로 명사로서 "느슨함"을 의미합니다. 즉 쉽게 설명하면 줄이 팽팽한 것이 아니라 느슨하게 늘어뜨려져 있는 모습을 생각해 볼 수 있습니다.

우선 저자 톰 드마르코(Tom DeMarco)는 20년이 넘는 경력 대부분이 소프트웨어 개발과 프로젝트 매니저 그리고 소프트웨어 개발 컨설팅 업무를 하였습니다. 그리고 이 책 역시 의외로 10년 전 즈음에 쓰여진 책이지만 한국에는 2년 전인 2010년에 번역되어 출간되었습니다.

책을 3분의 1 정도 읽고 난 저의 느낌은 처음의 예상과는 전혀 다른 방향이었습니다. 책의 독자층도 저와 같은 실무를 담당하는 엔지니어가 읽기 보다는 IT 기업에서 중간 관리자를 담당하고 있는 분들이 읽어 보시면 좋을 것 같다는 생각이 듭니다.

이 슬랙이라는 책에서 다루는 주제는 간단하게 설명하면 IT 기업에서 기술을 다루는 엔지니어들과 같은 지식 노동자들을 매니지먼트 하는 경우에는 전통적인 산업의 매니지먼트 방식을 사용하면 않된다는 것입니다.

IT 엔지니어들에게는 슬랙이라는 여유, 공백 등을 제공해서 자신들의 업무를 창조적이고 혁신적으로 진행하고 변화 할 수 있는 즉, 생각하고 고민 할 수 있는 충분한 시간을 주라는 것입니다. 그리고 업무의 양을 한 사람이 할 수 양을 100으로 봤을 때 60에서 70 정도만 주고 업무에 대한 반응 속도를 끌어올라는 것입니다.

이 점에서는 저 역시 많이 공감 되는 부분입니다. 개인적으로 예전 부터 생각했던 것 역시 보안 위협을 분석하고 대응하는 전문 조직에서는 업무의 양을 60에서 70만 가지고 가야 된다는 것 입니다. 그 이유가 10년 동안 업무를 하면서 경험적으로 보안 위협과 침해 사고는 언제 발생할 지 예측하기 어려운 돌발 상황을 만들어 낸다는 것입니다. 그 예로 2003년 1.25 인터넷 대란의 경우 주말 토요일 오후에 회사에서 호출이 오고 3.4 DDoS 및 7.7 DDoS 공격 모두 주 중 퇴근 시간 이후에 호출이 왔습니다.
그러므로 이러한 업무를 담당하는 팀과 부서는 1년 365일 적당한 긴장감을 유지하고 상황을 주시해야 됨으로 긴급 돌발 상황을 대비하기 위해서는 항상 나머지 30에서 40의 여력을 남겨두고 업무를 진행해야 된다는 것입니다.

그리고 모든 업무와 관련된 정보들이 조직도 상에서 상하로만 움직이게 하지 말고, 좌우로 수평적으로 흘러가도록 만들어 정보에 소외되는 팀원이 있도록 만들어서는 않된다는 이야기들과 함께 지식 노동자의 퇴사는 기업 운영과 비지니스에 대한 가장 큰 리스크로로 정의하고 있습니다.

업무의 효율성과 효과성에 대해서는 엔지니어와 같은 지식 노동자들에게는 효율성을 강조하기 보다는 일이 제대로되는 효과성에 중점을 두고 프로젝트를 진행을 해야 된다고 언급합니다만 개인적인 생각에는 어느 것이 더 중요하고 중점을 두는 것 자체가 어렵다고 생각 됩니다.

소프트웨어의 품질적인 면에서는 "무엇을 만들 것인지 보다 신중하게 선택하고, 보다 적게 만들어라"라는 문구를 사용합니다. 이 문구를 읽자 마자 떠오르는 기업과 인물이 바로 애플과 스티브 잡스였습니다. 저자 역시 이러한 전략에 가장 적합한 인물과 기업으로 저와 동일하게 생각하더군요. 결국 기업의 핵심 역량을 집중 할 수 있는 제품을 신중하게 선택해서 희소가치를 만들어야 된다는 의미로 해석 할 수 있습니다.

또 기업 내의 지식 노동자들에 대한 업무 평가를 위한 방식으로 MOB(Management by Object)를 따르지 말라는 충고를 합니다. MOB는 일반적으로 한국 기업들도 많이 적용하는 전년 대비 몇 퍼센트 향상이라는 수치를 목표로 정하고 따르도록 하는 방식을 말합니다. 저자가 이 평가 방식을 반대하는 논리로 IT 문화와 기업들은 변화의 상황이 해마다 달라지고 리스크 역시 해마다 달라짐으로 전년도와 동일한 수치 상향 조정을 통한 목표 설정은 효과가 없다라는 것입니다.
다만 아쉽게도 저자는 그에 대한 대안을 제시해주지는 못 합니다. 처음에는 대안을 제시하지 못하는 것을 이상하게 생각했지만 곰곰히 생각을 해보니 그 분야는 IT 엔지니어가 다룰 수 있는 영역이 아닌 경영과 관리라는 전문적인 영역이기 때문이라는 생각이 듭니다.

이 슬랙이라는 책 한권을 통해서 매니징을 담당하는 관리자가 아닌 실무를 담당하는 엔지니어의 입장에서 IT 기업에 있어서 관리는 무엇인가에 대한 많은 생각들을 해보게 되는 좋은 계기가 되었습니다. 특히 업무에 대한 여유를 줘야 된다고 책 전반에 걸쳐서 흐르는 저자의 생각에는 많은 공감이 됩니다.

저자가 언급하는 슬랙, 여유라는 것은 업무에만 국한 되는 것이 아니라, 삶에도 역시 슬랙이 적용되어야지만 조금 더 행복한 삶은 살수 있지 않을까 생각 해봅니다.

2012년 10월 9일 화요일

진화하는 온라인 뱅킹 위협

2012년 들어 한국에서 발생하는 보안 위협들 중에서 가장 눈에 띄는 보안 위협 중 하나로 꼽을 수 있는 것이 온라인 뱅킹과 관련된 금융 보안 위협입니다.

과거 한국에서는 온라인 뱅킹과 관련된 보안 위협은 한국만 독특한 금융 보안 시스템과 맞물려서 해외에서 발생하는 온라인 뱅킹과 관련된 보안 위협들이 한국에서는 효과적이지 못한 상태였습니다. 

그러나 2012년 들어 이러한 한국의 온라인 뱅킹을 위한 보안 시스템을 무력화하는 크라임웨어(Crimeware) 형태의 악성코드들이 지속적으로 발견되고 있으며, 스마트폰을 이용한 SMS, 정교하게 만들어진 피싱(Phishing) 웹 사이트들과 결합된 복합적인 형태로 발전하고 있는 실정 입니다.

그러한 의미에서 본 원고를 팀내 후배인 양하영 선임 연구원과 함께 한국의 온라인 뱅킹 보안 위협에 대해 작성하여 회사에서 배포하는 "월간 안"에 "[Threat Analysis] 진화하는 온라인 뱅킹 위협"라는 제목으로 2012년 10월호에 실게 되었습니다.

초안의 연구 논문적인 성격의 글에서 세일즈 마케팅 편집자분께서 일반인들이 읽기에 조금 더 편한 분위기와 방향으로 수정을 해주셨니다. 그래도, 편집된 원고가 전체적으로 초안의 방향성과는 크게 다르지 않아 온라인 뱅킹 보안 위협에 대한 이해에 도움이 되리라 생각 됩니다.

+-----------

직장인 A씨는 어느 날, 주 거래 은행의 SMS 문자를 받고 가슴이 철렁 내려앉았다. 보안 위험성 문제가 있으니 전액을 계좌 이체하란다. 당연히 피싱부터 의심했다. 휴대전화 배터리가 다 된 것은 천운이었을까? 회사 전화를 통해 해당 은행 지점에 전화했더니 보안 위험성과 관련한 계좌 이체를 권고하는 연락을 한 적이 없단다. 운 좋게 피싱을 피하게 된 것이다.
놀란 가슴을 쓸어 내리던 A씨는 문득 억울했다. 공인인증서를 USB에 보관하는 것은 기본이고, 인터넷 뱅킹을 할 때 주소창에 직접 주소를 입력하여 은행 사이트에 접속하고 있기 때문이다. 최근 은행 사이트를 이용한 피싱이나 파밍 공격이 자주 발생한다는 언론보도를 접한 이후 들인 습관이다. 그런데 왜, 어떻게 개인 금융 정보가 낱낱이 노출된 것일까? 은행에서는 해킹 당하거나 전산 오류도 없었다고 한다. 그렇다면 도대체 무엇이 원인이란 말인가.
지난 2011년, 해외에서는 온라인 뱅킹 악성코드 '제우스(Zeus)'가 악명을 떨쳤다. 해외 언론 보도에 따르면 2011년 검거된 한 사이버 범죄 집단은 4년간 제우스 악성코드를 유포하여 총 2억 달러를 탈취한 혐의로 체포된 바 있다. 최근에는 지난 5월 중순 뱅키(Banki) 트로이목마가 발견돼 온라인 뱅킹 환경의 위협이 더욱 가중되었다. 뱅키 트로이목마는 다양한 변종이 여러 경로를 통해서 꾸준히 유포되면서 전문가도 구분하기 어려울 정도로 정교하게 만들어진 피싱 사이트로 접속을 유도하기 때문에 피해 예방이 쉽지 않은 상태다. 이에 국내외 온라인 뱅킹 위협의 양상을 살펴보고, 특히 최근 국내에 유포되고 있는 고도화된 온라인 뱅킹 트로이목마의 특징을 사례를 통해 상세히 알아본다.

사이버 범죄의 21%가 온라인 뱅킹 사기

전 세계 사이버 범죄 동향과 관련해 가장 자주 언급되는 국가는 러시아와 중국일 것이다.  러시아 사이버 범죄 전문 연구 업체인 Group-IB에서 작성한 ‘2011 러시아 사이버 범죄 시장 동향(State and Trends of The Russian Digital Crime Market 2011)’ 자료에 따르면, 스팸(Spam)과 온라인 뱅킹 사기(Online Banking Fraud)가 각각 24%, 21.3%로 전체 사이버 범죄의 절반 가량을 차지하는 것으로 나타났다([표 1]).

특히 러시아에서 발생하는 온라인 뱅킹 사기는 온라인 뱅킹 정보 탈취를 목적으로 제작된 악성코드들인 크라임웨어(Crimeware)에 의한 것이 대부분이다. 크라임웨어는 2008년경부터 사용된 용어로, 해당 소프트웨어(혹은 크라임웨어)를 실행하는 사용자(혹은 피해자)가 알지 못하게 불법적인 동작을 수행하여, 악성코드 제작자에게 금전적인 이익을 안겨주는 형태를 가리킨다.

대표적인 크라임웨어로는 온라인 뱅킹에 사용되는 개인 정보를 탈취하여 악성코드 제작자에게 전달하는 제우스(Zeus)와 스파이아이(Spyeye)가 있다. 

[표 1] 러시아 블랙 마켓의 사이버 범죄 형태별 수익 현황(출처: Group-IB)

[그림 1] 온라인 뱅킹 트로이목마 제우스 악성코드 생성 도구

[그림 2] 스파이아이 악성코드 생성도구

유럽 온라인 뱅킹, 제우스와 스파이아이가 점령

제우스와 스파이아이는 [그림 3]과 같이 온라인 뱅킹 웹 사이트의 로그인 페이지에서 사용자가 입력하는 아이디와 비밀번호를 후킹하여 특정 서버로 전송하는 구조를 갖고 있다.
이들은 주로 유럽 지역의 금융 기관을 타깃으로 하고 있다. 기본적으로 유럽 지역의 온라인 뱅킹 시스템은 사용자 아이디와 비밀번호만으로 로그인과 온라인 뱅킹이 가능하도록 시스템이 구축되어 있기 때문이다. 이 같은 시스템의 구조를 이용, 사용자 로그인과 비밀번호가 입력되는 웹 페이지의 텍스트 박스를 후킹하는 웹 폼 그래빙(Web Form Grabbing) 기법이 사용되는 것이다.

[그림 3] 스파이아이 변형에 의해 웹 폼 그래빙 기법으로 탈취되는 텍스트 박스

제우스와 스파이아이의 이러한 기법으로 온라인 뱅킹 정보 탈취가 가능하고 금전적인 이윤 확보가 가능해지는 것이 확인되자, 러시아를 포함한 동유럽 지역에서는 이와 유사한 형태의 크라임웨어 제작이 활발해졌다. 
한편 스파이아이의 초기 변형은 금융 기관 홈페이지에서만 금융 정보 탈취를 목적으로 유포되었다. 그러나 일정 시간이 지나자 [그림 4]와 같이 금전적인 이윤을 확보할 수 있는 정보들이 존재하는 업종들로까지 그 타깃 범위를 서서히 넓힌 새로운 변종들이 나타나고 있다.

[그림 4] 스파이아이 변형이 정보 탈취를 노리는 기업들의 업종

지금까지 러시아와 유럽을 중심으로 해외에서 제작된 온라인 뱅킹 정보 탈취를 목적으로 한 크라임웨어의 사례에 대해 살펴보았다. 국내의 경우, 유럽의 온라인 뱅킹 시스템들과는 구조적인 차이를 갖고 있어 유럽 금융 기관을 타깃으로 제작된 크라임웨어들은 정상적으로 동작하지 않는다.

반면 남미의 브라질과 같이 국내에서도 온라인 뱅킹 정보 탈취를 목적으로 하는 온라인 뱅킹 트로이목마들이 지속적으로 발견되고 있다. 지금부터 한국에서 발견된 크라임웨어인 온라인 뱅킹 트로이목마의 발견 사례와 그 과정에서 분석된 발전 과정적인 특징들에 대해 살펴보겠다.
  
국내 온라인 뱅킹 트로이목마 기승

국내에 온라인 뱅킹 트로이목마가 본격적으로 등장하기 시작한 것은 2007년부터이다. 감염 방식은 이메일의 첨부 파일을 통해 악성코드 감염이 이루어지는 수동적 방식부터 시작해 현재는 다양한 소프트웨어들의 취약점 및 파일 공유사이트를 이용한 전파 등 보다 다양하고 능동적인 방식으로 이루어지고 있다.

또한 정보 유출 방식과 사용자들을 유도하는 피싱 사이트의 완성도까지 점차 발전하고 있어 일반인들로서는 악성코드의 감염 여부를 쉽게 인지하기 어려운 상황이다. 온라인 뱅킹 트로이목마는 온라인 게임 트로이목마와 마찬가지로 사용자에게 금전적 피해를 유발할 수 있다는 점에서 관심을 갖고 예의 주시할 필요가 있다. 특히 한국에서 유독 기승을 부리는 온라인 뱅킹 트로이목마의 과거와 현재를 분석하여 발전 과정에 대해 체계적으로 정리하고, 그에 따른 적절한 대응책 마련이 필요하다.

1. 온라인 뱅킹 트로이목마의 등장(2007년)

[그림 5]의 2007년 1월 국내에서 발견돼 언론에 보도된 바 있는 온라인 뱅킹 트로이목마는 EXE(‘1.exe’) 파일과 DLL(‘aer4532gxa.dll’) 파일의 두 형태로 구성돼있으며, 실제 악의적인 행위는 DLL 파일에 의해 이루어진다. 해당 악성코드의 본래 목적은 온라인 게임 관련 개인 정보 탈취 기능으로, 온라인 뱅킹 정보 유출이 추가적인 기능을 하는 형태로 제작된 것이다. 즉, 온라인 뱅킹 트로이목마의 초기 단계라 할 수 있다.

[그림 5] 2007년 온라인 뱅킹 트로이목마의 동작 과정

해당 악성코드는 공격자가 설정한 서버의 특정 페이지(‘kr.asp’)로 접속을 시도하여 피싱 웹 사이트 주소(‘xxx.xxx.xxx.xxx’: IP주소)를 얻어 호스트(host) 파일 변조에 사용한다. 사용자가 해당 사이트로 접속 시 공격자가 만들어 놓은 허위 뱅킹 사이트로 접속이 이루어진다. 이 피싱 사이트로부터 얻은 아이디와 비밀번호 정보와 함께 사용자 PC에 저장된 인증서가 존재하는 폴더 전체를 압축(‘npki.cab’)하여 공격자에게 전송(‘upfile.asp’)한다. 공격에 사용된 온라인 뱅킹 사이트는 총 2곳이다.

이러한 구조는 피싱 사이트 주소를 공격자로부터 받는 형태로 되어있어, 사이트가 차단되었을 경우, 변경된 사이트 주소로 재설정할 수 있다는 장점이 있다. 그러나 공격 대상은 온라인 뱅킹 사이트가 2곳으로 제한적이다. 또한 인증서 유출 시, 검색 대상인 드라이브 및 폴더 위치가 고정적이기 때문에 인증서가 ‘이동식 드라이브’ 또는 다른 드라이브에 저장되어 있을 경우 유출이 불가능하다.

인증서 비밀번호 유출이 없다는 점과 보안카드 유출이 이루어지지 않은 점으로 미루어 공격자는 국내 인터넷 뱅킹 환경과 인증절차를 정확하게 파악하지 못한 채 악성코드를 제작한 것으로 추론된다. 
또한 악성코드의 동작도 정교한 수준은 아니다. 정보 유출에 사용된 DLL 파일이 인터넷 익스플로러(Internet Explorer)가 아닌 모든 실행 중인 프로세스에 인젝션(Injection)되어 구동된다. 또한 키보드 입력 값의 유출 대상(‘IEXPLORE.EXE’)이 지정되지 않아 메모장(‘notepad.exe’) 혹은 명령창(‘cmd.exe’)에서 키보드 입력 시 속도가 현저히 저하되는 증상이 발생한다. 
이러한 동작의 정교하지 못한 부분들 때문에 사용자들이 쉽게 감염을 의심할 수 있는 정도였다. 당시 이러한 미숙한 점들 덕분(?)에 해당 악성코드에 의한 직접적인 사용자 피해는 발생하지 않겠지만, 이는 2차 공격을 위한 사전 준비 작업으로 분석됐다. 특히 추가적인 변형이 발생할 것으로 예측되었다.

2. 온라인 뱅킹 트로이목마 발전 사례(2012년 6월)

[그림 6]은 2012년 6월 발생한 온라인 뱅킹 트로이목마, 뱅키(Banki)의 동작 과정이다. 해당 샘플은 EXE(‘heads.exe’) 형태의 설치 파일(‘ZIP SFX’)로 제작되었다. 설치 파일은 EXE 파일 2개(‘adobe_update.exe’, ‘ncsoft.exe’)와 설정 파일 1개(‘NEWCONFIG.INI’)로 구성되어있다. 2개의 EXE파일 중 ‘adobe_update.exe’파일에 의해 실질적인 정보 유출이 이루어지며, ‘ncsoft.exe’ 파일에 의해 호스트 파일 변조 및 인터넷 보안 설정을 낮추기 위한 레지스트리(Registry) 값 변경 등의 작업이 이루어진다.

[그림 6] 2012년 6월 발견된 뱅키 동작 과정

해당 악성코드의 감염 시, ‘NEWCONFIG.INI’ 파일 내부에 저장된 서버주소(‘xxx.xxx.xxx.xxx’)로 호스트 파일에 대한 변조 작업이 이루어진다.
과거 일부 제한적인 사이트에 대해 공격이 이루어진 것과 달리, 현재는 국내 대부분의 뱅킹 사이트가 공격 대상이 되고 있다.
해당 악성코드는 대부분 파일 공유 사이트에서 동영상 파일로 위장하여 다운로드를 유도하거나 제로보드 또는 자바(Java) 같은 소프트웨어 취약점을 악용하는 형태로 감염이 이루어지고 있다.

해당 악성코드에 감염되면 호스트 파일 변조가 이루어지며 이를 통해 사용자가 온라인 뱅킹 사이트 접속 시, 피싱 사이트로 접속하게 된다. 피싱 사이트는 사용자의 보안카드 일련번호와 비밀번호, 이름, 주민등록번호, 아이디와 비밀번호 등의 입력을 유도한다.

또한 악성코드가 탑재하고 있는 인증서 로그인 화면을 이용해 인증서 비밀번호 유출도 이루어진다. 인증서 유출을 위해 윈도우 비스타(Windows Vista), 윈도우 7(Windows 7) 환경도 고려했을 뿐만 아니라 검색하는 폴더는 모든 고정식 드라이브와 이동식 드라이브도 검색 대상으로 하고 있다. 특히 폴더 전체를 압축하여 전송하는 것이 아니라 중요 파일들만 유출한다.
정리하자면, 해당 악성코드는 호스트 파일 변조를 이용해 온라인 뱅킹 정보유출을 시도한다는 점은 2007년 등장한 악성코드와 동일하지만 그 외의 면에서는 상당한 차이와 발전된 양상을 보인다. 우선 정체성이 뚜렸해졌다. 과거와 달리 현재의 온라인 뱅킹 트로이목마는 온라인 게임 관련 개인정보 유출 기능은 갖고 있지 않다.

이 밖에 ▲DLL 인젝션(Injection) 형태가 아닌 EXE 실행파일 형태로 동작한다는 점 ▲인증서 파일 유출 시 검색하는 드라이브가 기존의 C 드라이브에서 ‘이동식 드라이브’와 모든 ‘고정식 드라이브’로 확대되었다는 점 ▲인증서 파일 뿐만 아니라 인증서 비밀번호 유출을 위한 별도의 윈도우 창을 제작하였다는 점 ▲피싱 사이트에서는 보안카드를 비롯한 다양한 정보유출(계좌번호?계좌비밀번호 등)을 시도하고 있다는 점 등 과거에 비해 훨씬 정교해지고 발전되었음을 알 수 있다. 

이 중 가장 큰 변화인 ‘공인 인증서 로그인 화면’은 ‘adobe_update.exe’ 파일에서 보여지는 것으로, 단순히 아이디?비밀번호가 아닌 인증서 파일에 대한 비밀번호 정보를 유출한다는 점에서 좀 더 자세히 살펴볼 필요가 있다. 
가짜 인증서 로그인 화면을의 윈도우 타이틀은 정상적인 화면과 동일한 ‘전자 서명 작성’으로 되어있으며, 외형 면에서도 정상적인 화면과 매우 유사한 형태로 제작되어 있다. 또한 인증서 선택 시, 윈도우 화면상에 보여지는 인증서 ‘만료일’과 ‘발급자’, ‘사용자’ 정보도 인증서 파일(‘signCert.der’)을 읽은 후 ‘CRYPT32.DLL’의 ‘CertCreateCertificateContext’, ‘CertGetNameStringW’와 같은 API를 사용하여 얻은 값으로 정교하게 제작되었다. 그러나 글자와 그림의 배치가 정교하지 못하며, 특히 한글 표기 오류를 확인할 수 있다.

또한 인증서를 선택하기 위해 ‘인증서 찾기’ 버튼을 클릭할 때 정상적인 화면에서는 ‘인증서?개인키 묶음파일(*.pfx’, ‘*.p12)’ 형태로 나타나는 반면, 가짜는 ‘인증서?개인키 묶음파일(*.der)’ 형태로 나타나 차이를 보인다. 
이 외에도 가짜 인증서 화면의 경우, ‘인증서 삭제’, ‘인증서 보기’ 버튼이 존재하지만 실제로는 아무런 동작을 하지 않는다. 또한 휴대폰 등의 다른 장치에 대한 지원이 정상적으로 이루어지지 않는 등 기능상의 허점이 있다.
한편 해당 악성코드의 공격 대상인 은행 사이트들의 ‘인증서 찾기’ 파일 형식은 대부분 *.pfx, *.p12, *.ipfx, *.ipf 등으로, ‘*.der’과 같은 파일 형식을 사용하는 곳은 없다. 해당 악성코드 제작자는 과거의 사례를 바탕으로 제작하였거나 다른 오픈 소스를 참고한 것으로 추정된다.
  
3. ‘뱅키(Banki)‘ 악성코드의 발전 사례 2(2012년 9월)

가장 최근인 2012년 9월 나타난 뱅키의 동작 과정이다. 해당 샘플은 EXE 파일(‘xx5.exe’) 1개만으로 동작한다. 앞선 사례들과 달리 호스트 파일에 대한 변조가 이루어지지 않으며, 정보 유출을 시도하는 사이트 또한 한 곳 뿐이다.
  
해당 악성코드는 사용자가 인터넷 주소 창에 입력하는 값을 모니터링 하고 있다가 은행 웹 사이트로 접속하려고 할 때 가짜 사이트인 ‘http://www.klibstar.com’으로 접속을 유도한다. 이 허위 사이트는 도메인 이름 및 웹 페이지 구성이 정상 사이트와 매우 유사하기 때문에 사용자는 별다른 의심 없이 정상 사이트로 착각하기 쉽다.

해당 악성코드에는 인증서 파일에 대한 유출 및 인증서 암호 유출을 위한 윈도우 화면 등이 존재하지 않는다. 대신 피싱 사이트를 통해 인증서 재발급 시 필요한 모든 정보를 입력하도록 해 이 정보를 바탕으로 새로운 인증서를 다시 발급받을 수 있도록 하였다. 인증서 재발급 시, 새로운 암호를 설정할 수 있고, 더 나아가 개인정보 수정을 통해 휴대전화 번호를 변경할 경우 사용자에게 발송되는 알림 문자 메시지를 우회할 수 있다. 즉, 사용자는 자신의 인증서 재발급 여부를 알 수 없는 것이다.

이러한 인증서 유출이 없는 형태의 공격 기법은 악성코드 기능을 단순화한 것으로, 피싱 사이트 제작을 위한 간단한 웹 프로그래밍만 할 수 있다면 누구나 쉽게 제작이 가능하다.
  
휴대전화 번호와의 결합, 공격의 진화

2012년 9월 발견된 온라인 뱅킹 트로이목마 사례를 보면, 악성코드 제작자는 사용자(피해자)의 휴대전화 번호 없이도 인터넷 뱅킹 시 필요한 사용자의 모든 정보를 얻은 상태다. 그럼에도 불구하고 왜 공격자는 사용자의 휴대전화 번호를 얻고자 했을까? 
[그림 7]은 사용자 휴대전화 정보 유출이 온라인 뱅킹 위협과 결합되어 또 다른 공격으로 활용되는 예시이다.

[그림 7] 휴대전화 번호 유출과 결합된 공격 예상 시나리오

첫째, 공격자는 사용자의 개인정보 항목 중 휴대전화 번호를 공격자 자신의 것으로 변경함으로써 사용자가 자신의 정보가 도용되고 있음을 알 수 없도록 원천 봉쇄할 수 있다. 인증서 재발급 시, 등록된 사용자의 휴대전화 번호로 발송되는 재발급 알림 문자 메시지를 공격자가 받도록 함으로써 사용자가 자신의 인증서가 재발급된 사실을 알 지 못하도록 한다. [그림 7]의 ‘A’에 해당하는 부분이다.

둘째, 정상적인 서비스 완료 알림 메시지를 허위로 발송함으로써 사용자의 의심 없이 정보 유출을 시도할 수 있다. 공격자는 일련의 정보 유출에 의해 인증서 재발급 등이 이루어진 것을 ‘보안강화 서비스’의 일환인 것처럼 사용자를 속이기 위해  [그림 7]의 'B’로 표시된 부분과 같이 알림 문자를 발송함으로써 사용자에게 신뢰감과 안도감을 주는 효과를 얻는다.

셋째, ‘보이스 피싱’ 공격에 활용할 수 있다. [그림 7]의 ‘C’ 부분이다. 사용자의 신상 정보와 계좌 정보를 모두 알고 있는 상태에서의 보이스 피싱 공격은 사용자의 의심을 무력화시키는데 주효하게 작용하여 공격의 성공 확률이 높아진다.

이처럼 인터넷 뱅킹 관련 개인정보와 함께 휴대폰 번호가 유출되었을 경우, 다양한 형태의 공격으로 활용될 수 있음을 예측할 수 있다.
  
교묘한 피싱 사이트를 이용한 고도의 위협

최근 주로 발생하는 피싱 사이트에 의한 정보 유출 과정을 간략하게 살펴보면 다음과 같다. 
첫 번째 단계는 ‘고객정보유출’을 경고하며 ‘보안강화 서비스’를 신청하도록 유도한다. 이때 보여지는 페이지는 정상 사이트와 매우 유사하게 보인다.

두 번째 단계에서는 마치 보안 프로그램이 로딩 중인 것처럼 위장한 플래시(Flash) 파일이 동작한다. 그러나 실제로는 아무런 작업도 이루어지지 않는다.

세 번째 단계는 사용자의 이름과 주민등록번호를 입력하도록 한다. 잘못된 주민등록번호를 입력할 경우에는 에러 창을 띄우는 정교함까지 갖추고 있다.

네 번째 단계에서는 주민등록번호, 아이디?비밀번호, 출금계좌번호?비밀번호, 휴대전화 번호, 보안카드일련번호?비밀번호까지 입력하도록 한다.
  
일반적인 국내 뱅킹 사이트에서 ‘개인 은행?신용카드?보험용 인증서’를 재발급 받을 경우 총 3 단계에 걸쳐 재발급이 이루어진다. 첫 번째 단계에서는 온라인 뱅킹 접속 시 사용하는 아이디?비밀번호와 주민등록번호 정보 입력이 필요하다. 두 번째 단계에서는 출금계좌와 계좌비밀번호, 보안카드 일련번호와 보안카드 비밀번호가 필요하다. 세 번째 단계에서는 주소와 전화번호 정보 등 개인정보를 입력한다. 이렇게 세 가지 단계를 거친 후 새 인증서를 발급받게 되며, 인증서 암호 및 저장위치를 지정할 수 있다.
  
문제는 최근 등장하는 온라인 뱅킹 트로이목마는 위와 같은 인증서 재발급 시 필요한 정보를 이미 모두 확보한 상태이므로, 별도의 인증서 파일을 유출하지 않아도 피해를 줄 수 있다는 점이다.  물론, 온라인 뱅킹 사이트마다 다소의 차이는 있지만, 대부분 이러한 정보의 요구 및 입력을 통해 인증서 재발급이 이루어진다는 점에서 유사한 형태의 악성코드에 의한 피해 확산이 우려된다.

[표 3] 사례별 온라인 뱅킹 트로이목마 비교

사이버 위협의 공격 기법은 나날이 지능적이고 고도화되고 있다. 다른 위협도 마찬가지지만 특히 온라인 뱅킹 위협 대응에는 왕도(王道)가 없다. 사용자의 세심한 주의와 함께 신뢰할 수 있는 기업에서 개발한 보안 프로그램을 설치하는 한편, 주기적인 검사가 가장 기본적인 대응 방법이자 최선의 방어이다.

[표 3]은 2007년부터 현재까지 발견된 온라인 뱅킹 트로이목마의 기능상 차이점을 정리한 것이다. 세 가지 사례 모두 피싱 사이트를 통한 정보 유출이라는 공통점을 갖고 있다. 온라인 뱅킹 이용 시 웹 사이트에 대한 사용자의 세심한 관심과 주의가 우선적으로 필요한 상황임을 알 수 있는 대목이다. 동시에 각 은행 및 금융 기관에서는 피싱 사이트와 정상 사이트를 식별할 수 있는 방법 등에 대한 공지와 적절한 조치를 갖춰야만 할 것이다.

2012년 10월 6일 토요일

빗물이 내리는 넬의 "Standing in the rain" 공연

추석 전인 9월 22일 토요일 저녁, 오랜만에 밴드 넬(Nell)의 단독 라이브 공연을 이태원 블루스퀘어 공연장에서 보게 되었습니다.


공연 티켓은 예매가 시작 되자 마자 한 터라 공연을 보지 못한다는 안타까운 상황은 생각하지 않았습니다만, 공연 일주일 전 갑자기 아내가 다른 일로 인해 가지 못할거라는 이야기에 티켓을 환불하기도 뭐하고 다른 친구나 후배들에게 주기도 아쉬운 난처한 상황이었습니다.

다행스럽게도 동생이 토요일 오후에 시간이 되어 오랜만에 록 음악을 좋아하는 용감한 형제는 저녁 같이 먹고, 공연도 같이 보면서 좋은 시간을 보내게 되었습니다.

넬의 공연은 예전 언제 인지 정확하게 기억은 나지 않습니다만, 드럼을 맡은 친구가 내일 군대간다고 했던 것을 마지막으로 몇 년간 보지 못하다가, 지산 록 페스티벌에서 오랜만에 공연을 본 것이 인연이 되어 이번 단독 공연까지 연결되었습니다.

이 번 넬 공연은 8시 30분에 정시에 시작해 중간에 15분의 휴식 시간을 가진 뒤 11시 15분 즈음에야 공연이 종료되어 약 3시간 가까이 이어졌습니다. 개인적으로도 이렇게 긴 공연은  몇 년 전 드림 시어터(Dream Theater) 공연 때 2시간 30분 정도 했던 것이외에는 처음으로 기억 됩니다.

몇 년만에 본 넬의 단독 공연은 1부와 2부로 나누어서 진행이 되었으며, 1부는 서정미가 가득한 잔잔한 곡들로 기본 테마를 만들었다면 2부에서는 약간의 흥겨운 곡들로 꾸몄더군요. 그리고, 마지막 엔딩 부분에서 연주된 "Standing In The Rain"에서는 실제 물을 공연장과 객석 사이의 빈 공간의 천장에서 뿌려 실제 빗물이 내리는 듯한 효과를 만들어 소소한 재미를 주었더군요.

다만 조금 아쉬운 점은 공연 관람료였습니다. 9만 8천원이라는 거의 10만원에 달하는 공연 티켓은 해외 유명 밴드들에 비해서도 조금 비싸다는 생각이 들 정 도 입니다.그 단적인 예로 10월 19일 한국에서 최초로 단독 공연을 하는 20년이 넘는 역사의 유명 데스 메틀 밴드 카니발 콥스(CANNIBAL CORPSE)의 경우, 공연 티켓이 8만 8천원으로 9만원 정도 합니다.

그래도 넬의 공연은 밴드의 명성 만큼이나 소소한 재미와 높은 수준의 공연을 보여주어, 다음에도 기회가 된다면 다시 한 번 가볼 생각 입니다.

2012년 10월 4일 목요일

전자 메일을 악용하는 악성코드의 발전

이 번 "전자 메일을 악용하는 악성코드의 발전" 원고 역시 회사 홈페이지에 공개된 것으로 2010년 7월 초 즈음에 전달 해드렸던 것으로 기억 됩니다.

2009년 11월에도 비슷한 원고인 "전자메일로 유포되는 악성코드"를 쓴 적이 있었습니다만, 이 번 원고에서는 일반 소프트웨어의 취약점과 결합되어 전자 메일을 통해 유포되는 형태들 그리고 이러한 전자 메일을 이용한 악성코드 감염이나 내부 정보 탈취를 시도하는 모든 공격 기법들의 가장 근간이 되는 사회 공학(Social Engineering) 기법들에 대한 구체적인 사례들을 담고 있습니다.

현재에도 이러한 전자 메일을 악용한 공격 기법들은 자주 악용되는 기법들 중 하나이며 과거에 존재하던 세부적인 공격 기법들의 범주에서 크게 많이 달라지지 않았다고 생각 됩니다.

+----------------

인터넷이라는 거대한 네트워크가 발달하면서 우리는 전자 상거래와 전자 금융 거래 등 여러 가지 편리한 혜택들을 많이 누리는 시대에 살고 있다. 많은 혜택들 중에서도 가장 큰 혜택 중 하나는 흔히 이메일(E-Mail)이라고 이야기하는 전자 메일을 꼽을 수 있을 것이다. 현재 전자 메일은 인터넷에서 발생하는 네트워크 트래픽(Network Traffic) 중 큰 부분을 차지 할 정도로 많은 사람들이 업무적인 용도나 개인적인 용도로 다양하게 사용하고 있으며 이제는 대부분 전자 메일 주소를 서너 개 이상 가지고 있을 정도이다.

많은 분야에서 다양한 용도로 사용되고 있는 전자 메일은 빠르고 편리하게 메시지(Message)를 교환할 수 있는 편리함이라는 밝은 부분이 존재하는 반면 단시간에 많은 사람들에게 빠르게 다양한 보안 위협들을 전파할 수 있는 어두운 부분 역시 공존하고 있다.

이렇게 다양한 보안 위협들에 의해 악용되고 있는 전자 메일은 최근 1년 동안 다양한 기법들을 통해 고도화되고 지능화된 기법으로 사용자의 개인 정보들을 노리고 있다는 것을 알 수 있다. 또한 이러한 전자 메일을 악용한 보안 위협들의 형태와 사례들을 분석해보면 몇 가지 특징적인 사항들이 존재하고 있는 것도 알 수 있다.

1. 지능적으로 발전하는 사회 공학 기법

전자 메일을 악용해 발생하는 보안 위협 사례들은 공통적으로 전자 메일이 사람과 사람 사이에 전달되는 메시지 전달의 매개체라는 관점에서 사회 공학 기법(Social Engineering)과 밀접한 관련이 있다. 사회 공학 기법은 그 원래 의미에서와 같이 상대방이 신뢰할 수 있는 사람으로 위장하여 의도한 바를 실행한다는 점에서 전자 메일을 통해 그 의미가 가장 잘 실현된다고 볼 수 있다.

특히나 전자 메일을 받는 사람 입장에서는 보내는 사람을 신뢰할 수 있는 사람으로 위장할 수 있으므로 전자 메일에 포함되어 있는 보안 위협에 받는 사람을 쉽게 노출시킬 수 있다는 커다란 특징을 가질 수 있다. 또한 전자 메일 수신인이 흥미를 가질 만한 다양한 사회적인 주제들을 본문에 포함시킴으로써 쉽게 보안 위협들을 파악하지 못하도록 하고 있다.

이러한 예로 미국 팝 가수 마이클 잭슨의 사망 소식을 악용하여 유포된 전자 메일을 들 수가 있다. 미국의 유명한 팝 가수 마이클 잭슨이 2009년 6월 26일 심장 마비로 사망하였다는 소식이 언론을 통해 전 세계로 퍼지자 만 하루가 채 지나기도 전에 [그림 1]과 같은 악성코드 다운로드를 유도하는 전자 메일이 유포되었다.
해당 전자 메일은 마이클 잭슨이 심장 마비로 사망하기 직전의 모습들을 유튜브 동영상으로 볼 수 있다는 메일 내용을 가지고 있어 전자메일 수신자들의 호기심을 자극하였다. 그러나 이 메일은 본문에 포함되어 있는 뱅커(Win-Trojan/Banker) 트로이목마를 다운로드 하는 웹 사이트의 링크를 클릭하도록 유도하고 있다.

[그림 1] 팝 가수 마이클 잭슨의 사망을 악용      출처: Websens

이는 외국의 사례이며 전자 메일의 모든 내용들이 영어로 되어 있어 한국과 같은 비영어권 국가에서는 언어적인 문제로 인해 사회 공학 기법의 완성도가 떨어진다고 볼 수 있다.

그러나 이러한 언어적인 그리고 사회적인 특성은 보안 위협을 양산하는 주체의 의도에 따라 충분히 변경될 수 있는 사례로 볼 수 있다. 2010년 6월 BC카드 이용 대금 명세서를 포함한 전자 메일로 위장하여 악성코드 유포를 시도하였던 것을 그 예로 들 수 있다.

2010년 6월 23일 특정 은행에서 국내 다수 사람들에게 무작위로 발송하는 BC카드 이용 대금 명세서를 포함한 전자 메일이 발송된다. 해당 전자 메일은 [그림 2]와 같이 일반적으로 국내의 금융 업체에서 전자 메일로 발송하는 신용 카드 이용 대금 명세서와 동일한 형태를 가지고 있으며 이용 대금 명세서를 자세히 보기 위해서는 웹 사이트 링크를 클릭하도록 유도하고 있다.

그러나 해당 전자 메일에서 제공하는 “이용 대금 명세서 보기”에 포함된 웹 사이트 링크를 클릭하게 될 경우, 메일파인더 트로이목마(Win-Trojan/Mailfinder)에 감염된다. 이 트로이목마는 국내 포털 웹 사이트인 네이버로 분산 서비스 공격(DDoS)을 수행하게 한다.

[그림 2] BC카드 이용대금 명세서 메일로 위장      출처: 안철수연구소

앞서 살펴 본 두 사례 외에도 사회적으로 소셜 네트워크 서비스(Social Network Service)가 주목을 받고 많은 사람들이 이용하는 등 화제가 되자 SNS 웹 사이트인 트위터(Twitter)나 페이스북(Facebook) 등과 관련된 내용의 전자 메일을 유포하여 악성코드 감염을 시도하는 사례들이 2009년 6월부터 현재까지 지속적으로 발견되고 있다. 이와 함께 월드컵이 개최됐던 지난 2010년 5월에는 남아프리카 공화국에 전 세계인의 이목이 집중된 점을 악용하여 남아공 월드컵 투어 일정 관련 전자 메일로 위장한 악성코드가 첨부되어 유포된 사례도 존재한다.

2. 전자 메일에 첨부된 파일 형태의 지속적인 변화

과거에서 현재까지 전통적으로 전자 메일의 첨부 파일 형태로 악성코드를 유포하는 경우에는 메일 수신인으로 하여금 첨부 파일인 악성코드를 컴퓨터 시스템으로 바로 저장한 후 실행할 수 있도록 제작하는 것이 일반적이고 기본적인 방식이라고 볼 수 있다.

이러한 기본적인 방식은 전자 메일에 첨부된 악성코드를 윈도우 시스템에서 실행되는 파일 형태 그대로 첨부하여 유포하는 것이며 이와 유사한 사례로는 2010년 5월에 남아공 월드컵 관련 전자 메일이 실행 파일이 첨부되어 유포된 것을 들 수 가 있다.

당시에 유포된 전자 메일은 [그림 3]과 같이 현재에는 비교적 보기 어려운 EXE 확장자를 가진 실행 파일이 전자 메일에 첨부되어 있다. 그리고 첨부 파일을 일반적인 윈도우 시스템에 저장한 후 살펴보게 되면 윈도우 시스템의 기본 설정인 “알려진 파일 형식의 파일 확장명 숨기기”라는 옵션으로 인해 파일의 확장자는 보이지 않고 파일명만 보여지게 된다. 이로 인해 전자 메일 수신인은 해당 첨부 파일이 윈도우 시스템에서 실행 가능한 파일 형태인지 쉽게 파악하기가 어렵게 되어 있다.

[그림 3] 실행 파일이 첨부된 전자 메일             출처: 안철수연구소

앞서 언급한 바와 같이 전자 메일의 첨부 파일이 실행 가능한 파일 형태로 존재하는 것은 현재 쉽게 발견되지 않고 있으나 최근 몇 년 사이 발견된 전자 메일을 통한 악성코드 첨부 파일 형태들을 살펴보게 되면 ZIP과 같은 압축 파일 형태로 존재하는 것을 쉽게 발견 할 수 있다.

이러한 사례로 들 수 있는 것은 [그림 4]와 같이 2009년 6월부터 현재까지 소셜 네트워크 서비스와 같은 큰 사회적인 이슈에서부터 UPS 운송 관련 내용까지 광범위한 주제들을 전자 메일에 포함시켜 끊임 없이 유포되고 있는 브레도랩 트로이목마(Win-Trojan/Bredolab)와 지봇 트로이목마(Win-Trojan/Zbot) 변형들을 들 수가 있다.

[그림 4] ZIP 압축 파일이 첨부된 전자 메일                출처: 안철수연구소

첨부된 전자 메일들을 살펴보면 첨부 파일로는 모두 ZIP으로 압축된 파일이 첨부 파일로 존재하고 있어 이 메일을 받은 사람들은 해당 압축 파일로 인해 실제 그 압축 파일 내부에 어떠한 파일 형태가 존재하는지 쉽게 파악하기 어렵도록 되어 있다.

2010년 6월에 들어 새롭게 발견되고 있는 전자 메일의 첨부 파일 형태들을 살펴보게 되면 앞서 언급하였던 첨부 파일들이 공통적으로 가지고 있는 기본 사항인 실행 파일을 첨부하거나 실행 파일 압축 후 첨부하는 형태들을 벗어나고 있다는 점이다. 이러한 사례로 언급할 수 있는 첨부 파일 형태로는 [그림 5]와 같이 스크립트 파일인 HTML 파일이 전자 메일에 첨부되어 유포된 것을 들 수가 있다.

[그림 5]  HTML 파일이 첨부된 전자 메일                출처: 안철수연구소

이 HTML 파일은 기본적으로 전자 메일에 첨부되어 있는 실행 파일을 주의하라는 현재까지의 고정 관념에서 벗어난 형태로 전자 메일 수신인들이 쉽게 보안 위협에 노출 될 수 있는 계기를 만들었다고 볼 수 있다. 그리고 해당 스크립트 악성코드 역시 정상적인 자바 스크립트 파일에서 볼 수 없는 심각한 난독화를 더하여 쉽게 분석이나 보안 제품에서 탐지되지 않도록 되어 있다.

이러한 스크립트 악성코드는 웹 브라우저(Web Browser)를 통해 정상적으로 실행 될 경우 인터넷에 존재하는 특정 시스템으로 접속하여 해당 악성코드 제작자가 의도한 성인 약품 광고 웹 사이트를 보여준다. 이와 함께 또 다른 악성코드를 다운로드 후 감염을 시도한다는 점들로 인해 악성코드 제작자가 의도한 다양한 보안 위협들을 쉽게 적용해 나 갈 수 있는 점을 특징으로 볼 수가 있다.

3. 취약점 그리고 악의적인 웹 사이트와 전자 메일이 결합된 복합적인 보안 위협

2009년 가을부터 전자 메일을 악용한 악성코드 감염을 시도하는 메일들의 형태를 살펴보면 새로운 형태로 다시 발전하고 있는 것을 알 수가 있다. 이 시기부터 발견되기 시작한 전자 메일들의 형태는 앞서 살펴보았던 형태와 다르게 악성코드가 전자 메일에 첨부 파일 형태로 존재하지 않고 있다는 점이다.

새롭게 발견되고 있는 전자 메일의 사례로는 2010년 4월에 발견된 [그림 6]과 같이 전자 메일 본문에 특정 웹 사이트로 연결되는 링크만 존재하고 악성코드로 의심될 만한 첨부 파일들이 존재하지 않고 있다.

[그림 6] 메일 본문에 포함되어 있는 웹 사이트 링크       출처: 안철수연구소

이렇게 메일 본문에 존재하는 웹 사이트 링크를 전자 메일 수신인이 클릭하게 될 경우 지봇 트로이목마와 같은 악성코드를 다운로드 하도록 하는 웹 사이트로 연결해 수신인이 언제든지 다양한 형태의 새로운 악성코드를 다운로드 할 수 있도록 한다.

또한 2010년 2월에는 전자 메일 본문에 제공되는 웹 사이트 링크를 통해 페이스북 피싱(Phishing) 웹 사이트로 접속을 유도한 사례도 발견되었다. 해당 사례에서는 [그림 7]과 같이 전자 메일 수신인이 연결된 웹 사이트가 개인 정보 유출을 목적으로 제작된 피싱 웹 사이트인 것을 쉽게 파악할 수도 있다는 점에 대비하였다. 따라서 윈도우 시스템이나 웹 브라우저에 존재하는 취약점을 악용하여 또 다른 악성코드를 자동으로 다운로드 한 후 감염을 시도하는 다중적인 감염 기법들을 적용하였다

[그림 7] 피싱 웹 사이트 유도 후 악성코드 감염            출처: 안철수연구소

앞서 언급한 바와 같이 이렇게 복합적인 형태의 보안 위협들의 구성이 가능하게 된 점은 전자메일과 사회 공학적 기법을 사용하였기 때문이다. 즉, 매개체로 전자 메일을 사용하였고 그 전자 메일 본문에는 간단하거나 호기심을 끌만한 내용으로 웹 사이트의 실제 주소를 숨긴 채 링크만을 제공함으로써 보안 제품과 전자 메일 수신인이 보안 위협들을 알아차리지 못하게 되었다고 볼 수 있다.

그리고 보안 위협이 존재하는 악의적인 웹 사이트로의 접속을 통해 악성코드 제작자는 전자 메일 수신인이 가지고 있는 가장 취약한 시스템 설정에 맞추어 공격할 수 있는 기회를 얻게 됨으로써 결국 악성코드 제작자가 의도한 악성코드 감염 성공률을 높이게 되는 효과를 가질 수 있게 되었다고 볼 수 있다.

전자 메일을 악용한 보안 위협 사례들을 종합해보면 단순하게 악성코드가 첨부된 전자 메일을 유포하는 것에서부터 전자 메일 본문에 윈도우 시스템의 취약점을 악용한 웹 사이트로 접속을 유도하는 링크까지 복합적이고 지능적인 형태로 계속해서 발전해 가고 있는 것을 알 수 있다. 그리고 전자 메일 수신인들을 더욱 교묘하게 현혹시키기 위해 사회 공학 기법적인 측면에서는 다양한 주제들을 사용하여 정상적인 전자 메일과의 구분을 더욱 어렵게 하고 있는 실정이다.

결국 이러한 악의적인 목적으로 유포되는 전자 메일로부터 피해를 예방하기 위해서는 보안 제품을 설치하고 사용하는 윈도우 시스템의 보안적 관리도 중요하게 수행하여야 하겠지만 항상 정보 보안에 관심을 가지고 새로운 보안 위협들에 대한 정보들을 수시로 접하여 언제든지 보안 위협에 대비하는 자세를 갖추는 것이 중요하다고 볼 수 있다.

2012년 10월 3일 수요일

온 가족이 한번씩 납치 당하는 이야기, 테이큰 2

올해 추석 연휴는 2일 휴가를 내게 되어 오늘 개천절까지 5일 정도 쉬게 되었습니다. 뉴스를 보니 대부분 직장 생활하시는 분들은 이렇게 휴가를 보내신 것 같습니다만, 이렇게 쉬지도 못하고 일하시는 분들도 계시겠지요. 그런 분들께는 살짝 죄송스럽기도 합니다.

아무튼 5일간의 연휴를 보내면서 오랜만에 고향 친척분들을 뵙고, 이런 저런 말씀들도 많이 나누었던 즐거운 시간들이었습니다. 이런 가운데 약간의 시간적 여유가 있어 액션 영화로 평이 좋은 테이큰 2(Taken 2)를 보게 되었습니다.


런닝 타임은 의외로 그리 길지 않은 것이 딱 1시간 30분으로 본 레거시의 2시간이 넘는 시간에 비하면 짧고 굵게 보여주겠다는 의도가 다분하게 보였습니다. 실제 다 보고 난 느낌도 거추장스러운 스토리 개연성은 모두 접고 화려한 액션 장면으로 승부하겠다는 제작사의 의도가 다분한 영화로 생각 됩니다.

이러한 접근이 오히려 비슷한 시긴에 개봉 중인 본 레거시의 초라한 액션 장면에 비하면 오히려 정통 액션 영화로 분류 할 수 있을 정도로 잘 다듬어진 액션 영화로 생각 됩니다. 특히 기억에 남는 장면이 딸이 아버지를 구출하기 위해 수류탄을 던져서 그 소리로 거리를 측정해 가는 모습이 인상에 남더군요.

그리고 영화의 시작전에 소개되는 이름에 뤽 베송(Luc Besson) 감독이 제작자로 소개 되더군요. 뤽 베송 감독은 영화 '니키타', '레옹', '제5원소' 등을 감독하고 다수의 영화에 제작 참여를 한 액션 오락물의 거장이지요.

세상의 모든 아버지가 마찬가지겠지만 테이큰에서는 딸과 가족을 구하기 위한 아버지의 끝 없는 노력을 바탕으로 전직 특수 요원 출신의 화려한 액션이라는 큰 기둥으로 짜여진 즐겁게 관람 할 수 있는 액션 오락 영화라고 생각 됩니다.