2009년 3월 악성코드와 개인 정보 보호

이 게시물을 임시 저장물로 만들어 놓고 다시 손을 봐야지 했던 것이 한 달이 그냥 휙~ 하고 지나 가버렸네요.. -_-;;;

오늘 회사에서 종무식을 하였습니다. 종무식이 한 해의 업무를 마치는 포인트라는 점에서 2013년이 끝이 났다는 것을 실감하게 됩니다.

오늘 소개하는 강연자료는 2009년 3월 외부에서 진행하였던 악성코드와 개인 정보 보호라는 주제의 강연입니다. 해당 강연은 대전 통계청에서 해당 청의 공무원분들을 모시고 진행하였던 강연이라 2008년 보안 위협 동향과 악성코드를 포함한 기본적인 보안 위협들의 정의와 함께 블랙마켓(Black Market)에서 탈취된 개인 정보들을 어떻게 악용되고 거래되는지를 소개하였습니다.
그리고 마지막으로 개인 정보를 보호하기 위해서 어떻게 일반 사용자들이 행동을 해야 되는지에 대한 가이드라인을 소개하였습니다.

2008년 12월 보안 위협 동향과 대응 방안

최근에 이런 저런 일들을 챙겨야 하는 사항들이 많아 다시 블로그 작성이 조금 게을러 진 것 같네요. 벌써 11월의 중순에 접어 든데다, 오늘은 서울 및 경기도에 첫눈이 내리더군요..

오후에 잠깐 미팅이 있어 커피 한잔 마시러 갔다가, 나오는 길에 눈이 흩뿌려지는 것이 장관이더군요..

2013년도 이제 1달 하고 보름 정도 남았다는 생각을 하니, 올 한해를 어떻게 보는지 다시 곰곰히 생각해보게 되는 계기가 됩니다.

이런 상황에 공교롭게도 우연이라고 하기에는 이상하게, 오늘 공개하는 자료 역시 2008년의 마지막 강연자료 입니다.

자료에는 12월 12일이라고 적혀 있고, 강연대상이 울산시청 공무원분들이었다는 것과 경주에 있던 어떤 대강연장으로 갔었던 기억만 어렴풋이 납니다..

공무원분들이 주된 대상이다 보니, 기술적으로 어려운 설명보다는 비교적 쉽게 설명을 하고자 했었던 자료들 중 하나 입니다.

그래서 목차는 크게 4가지로 안전한 PC 사용과 관리에 초점이 맞추어져 있습니다.

1. 악성코드의 위협

2. 2008년 보안 위협 동향

3. 정보보호에 대한 5가지 개념

4. 보안 위협에 대한 대응 방안

이 자료가 기존과 다른 점은 처음으로 블랙 마켓에 대한 이야기를 언급하며, 온라인 게임에 의한 금전화를 도식화하고, 관련 악성코드 생성기 이미지를 공개 했다는 점입니다.

이 당시에 제가 다른 자료나 연구를 했었던 기억은 잘 나지 않습니다. 하지만, 2009년도 초반 자료 중 하나가 중국 언더그라운드에 대해 비교적 상세하게 다루었던 것으로 미루어 이 당시부터 조금씩 관련 부분들에 대한 연구를 진행 했던 것이 아닌가 생각 됩니다.

2008년 악성 코드와 보안 위협 동향

벌써 10월도 월말로 접어드는 것이 이제 정말 2013년도도 얼마 남지 않은 것을 실감하게 되네요.. 10월이라고 하니 예전 암울 했던 군대 신병 시절이 기억나네요...

8월에 입대해서 자대 배치 받은지 얼마되지 않은 10월의 마지막 날... 취침 점호 이후 정훈병 고참이 틀어주었던 이용의 잊혀진 계절이 생각나네요. 그 당시에는 고향 집을 떠나온지 얼마 되지 않아 순간 울컥 했던 생각이 나네요...

그래서 오늘은 특별히 나는가수다에서 국카스텐이 부른 "잊혀진 계절"을 블로그에 한번 실어봅니다.



오늘 공유하는 발표 자료는 2008년 10월 한국자산관리공사에서 근무하시는 일반 직원분들을 대상으로한 보안 인식 교육 자료 입니다.

일반 직원분들을 대상으로 하다 보니 해당 발표 자료의 주된 요지는 악성코드와 관련 보안 위협이 급격하게 증가하고 있으니 주의 하셔야 된다. 그러니까 보안팀에서 공지하는 내용 잘 따르고 이런 이런 행동들을 하시면 않된다는 내용입니다.

그래서, IT에 전문 지식이 없으신 일반 직원분들 교육 하실 때 도움이 될 것 같다는 생각이 듭니다.

그리고...코엑스에 위치한 한국자산관리공사에는 2012년도 즈음으로 기억되는데, 다시 한번 방문 했던 기억이 납니다. 그 당시에는 보안 담당 직원들을 대상으로 한 교육이라 APT(Advanced Persistent Threat)을 주제로 강연 했었던 기억이 납니다.

2008년 서울여대 정보보호 전공 수업 자료

2주전에 슬라이더쉐어에 자료 올려놓고 이래 저래 다른 일로 바쁘다가 독일 베를린 출장까지 겹쳐서 이제서야 블로그에 공개를 하게 되는군요.

독일 베를린 출장은 VB2013이라는 Virus Bulletin 이라는 영국 독립 안티 바이러스 테스트 및 전문 잡지 발행 기관에서 주최하는 컨퍼런스 참관이 목적이었습니다. 주로 악성코드와 관련 보안 위협 및 테스팅 관련 주제들이 주로 발표를 됩니다만, 최근에는 조금 더 넓은 주제로 확대되고 있습니다만 여전히 주요 주제는 악성코드 관련 이야기들입니다.

그래서 덕분에 좋은 분들을 많이 만나고 독일의 부드러운 맥주들도 많이 맛볼 기회가 있었습니다. 해당 컨퍼런스와 관련된 이야기들은 다음 번에 차차 하기로 하고, 오늘 공유하는 자료는 2008년 서울여대 정보보호 전공 학생들을 대상으로 진행한 수업 자료 입니다.

지금은 연구소에서 서울여대 뿐만이 아니라 고려대, 인하대 등 여러 대학교의 정보 보호 전공 또는 관련 학과에서 수업을 진행하고 있습니다만 당시에는 서울여대에서 처음으로 진행하였던 수업이었습니다.

결론적으로 이야기하면 해당 학년도의 학생들에게는 죄송하지만, 제가 맡았던 수업 자체는 실패였습니다. 실패였다는 이야기는 강의 자체가 학생들의 눈높이와 흥미를 전혀 만들어 낼 수 없었던, 저와 해당 과목 교수님만의 수업이었습니다.

처음 수업을 맡으라는 전무님의 말씀을 듣고 자료를 준비하면서, 기존 강의 경험이 많았던 일반 업체의 보안팀이나 IT 팀을 생각하고, 정보보호 전공 학생들이니 당연히 이 정도는 알 것이라는 전제하에 만든 자료가 아래 슬라이드들입니다.

그래서, 생전 처음으로 여대를 방문한다는 설레이는 맘을 안고 서울여대를 방문해서, 담당 교수님께 인사를 드린 후에 수업을 진행하면서도 무언가 이상하다는 느낌이 계속 있었습니다.

수업 분위기가 왠지 무언가 집중이 되지 않는다는 느낌을 많이 받았습니다만, 학생들이니 그르려니 했습니다. 하지만, 그 이후 담당 교수님께 말씀을 듣고 교수님 강의 자료를 살펴 본 이후에야 제가 학생들의 수준을 너무 과대평가하고 눈높이를 전혀 맞추지 못했다는 것을 알았습니다.

그 다음 해인 2009년에는 이러한 실패의 경험을 거울 삼아, 윈도우 시스템 구조에서부터 어셈블리어 기초, 안티 바이러스 엔진 구조까지 기본적인 것들부터 정리해서 수업을 하였습니다. 그리고, 사비를 털어 V3 패키지들을 몇 카피 준비해 수업 가운데에 퀴즈를 내서 맞추는 학생들에게 선물을 주는 등 나름 흥미와 관심을 유도하고자 노력한 덕분에 2008년 보다는 조금 좋은 분위기가 형성되더군요.

2009년도 수업 자료는 다음 기회에 공유 해보도록 하겠습니다.

2008년 9월 악성코드와 최근의 동향

벌써 아침 저녁으로 서늘한 바람이 부는 9월 가을의 문턱에 와 있는 것 같습니다. 불과 몇 주전까지만 하더라도 더워서 집에서 에어콘을 틀고 했었는데, 이제는 밤에 창문을 열어놓고 자면 감기 들 정도로 날씨가 빠르게 변하는 것 같습니다.

오늘 공개하는 자료는 제 기억으로는 유일하게 앵콜(?) 강연 요청을 받았던 곳이었던 것 같습니다. 2008년 9월 경상남도 창원시에 위치한 경상남도청 공무원들을 대상으로 하는 보안인식 교육이었습니다.

처음 해당 도청으로부터 공무원들을 대상으로 하는 보안 인식 교육을 진행 해달라는 요청을 받고, 어떻게 풀어가야 될까 고민이 되었는데, 요구 사항이 간단하더군요. 알기 쉽고, 이해하기 빠르고 재미있게 해달라 것이더군요.

간단한 요구 사항이지만, 유머 감각이 뛰어나지 않아서 기대에 부흥 할 수 있을까 하는 생각에 이런 저런 멘트들도 많이 준비해 갔었는데, 다행이 교육이 재미 있고 유익했다는 평가를 받았습니다.

그래서, 일반 공무원들을 대상으로 하는 보안 인식 교육이다 보니 목차 역시 일반 개인 사용자들을 중심으로 구성되어 있습니다.

1. 악성코드 정의와 분류

2. 악성코드의 상반기 동향

3. 정보 보호에 대한 기본 상식

2008년 팀 내부 세미나 발표 "Windows Vista Security"

이제 2008년도 자료까지 진행되었네요. 아무래도 2007년도에 이래 저래 바쁜 일들이 많아서 자료들을 많이 작성하고 정리하지 못 했던 것들이 큰 이유였다고 기억 되네요.

오늘 공유하는 자료는 2008년 3월에 팀 내부 세미나 용도로 제작한 자료로  "Windows Vista Security"에 대해서 다루고 있습니다.

이 당시 개인적인 용도와 회사 업무 용도로든 대부분의 시스템에서 윈도우 XP를 사용하고 있던 상황에서 윈도우 비스타의 등장은 변화되고 추가된 다양한 기능들로 인해 큰 충격이었습니다. 하지만 그 충격 만큼이나 판매 실적도 저조 했습니다.

이러한 큰 변화들이 지금이야 윈도우 7이 보편화되어 UAC(User Account Control)나 윈도우 디펜더(Windows Defender)가 어색하지 않지만, 이 당시만 하더라도 윈도우 XP에서 모든 권한으로 프로그램과 파일을 실행 하던 대부분의 사람들에게는 어색함과 불편함이 가장 컸었습니다.

그래서, 개인적인 궁금함도 있었지만 변화된 윈도우 운영체제 속에서 악성코드를 어떻게 탐지하고 방어를 하게 될 것인지에 대한 주요 기능들을 살펴봐야 된다는 생각이 세미나를 준비하게 되었습니다.

지금 다시 살펴보아도 윈도우 비스타에 포함되어 있는 기본적인 큰 골격의 보안 기능들은 윈도우 7과 8에도 이어지고 있어, 히스토리적인 면에서 아직 유용할 것 같습니다.

해당 슬라이드에서 포함하고 있는 내용은 다음과 같습니다.

1. 윈도우 비스타의 보안 개념
2. 윈도우 비스타의 새로운 보안 기능
3. 윈도우 비스타의 설계적 보안 기능
4. 사용자 계정 컨트롤
5. 윈도우 디펜더
6. 인터넷 익스플로러의 보안 기능
7. 비트락커
8. 코드 무결성와 윈도우 리소스 보호
9. 커널 패치 보호와 드라이버 서명 요구
10. 윈도우 서비스 강화와 데이터 실행 방지
11. 주소 영역 난소화
12. 윈도우 비스타의 악성코드 대응

메모리 포렌식(Memory Forensic)을 위한 메모리 분석 툴 Mandiant Redline

컴퓨터 포렌식 중에서도 멀웨어 포렌식(Malware Forensic) 분야를 기법적인 면을 기준으로 본다면 크게 4가지 정도로 나눌 수 있다고 보여집니다.

첫 번째가 메모리 포렌식(Memory Forensic)으로서 램(RAM)에 존재하는 악성코드 감염과 관련된 다양한 흔적(네트워크 접속 정보 및 프로세스 정보 등)들을 분석하는 것입니다. 

두번째로는 레지스트리 포렌식(Registry Forensic) 입니다. 일반적으로 거의 대부분의 악성코드들(일부 그렇지 않은 악성코드들도 존재 합니다.)은 감염된 시스템이 재부팅을 하거나 시스템 사용자가 특정 행위를 수행 하였을 때 악성코드 자신이 실행되기 위하여 윈도우 시스템의 레지스트리에 새로운 키(Key)를 생성 및 변경 하게 됩니다. 

특정 악성코드의 경우에는 윈도우 XP에 존재하는 안전모드 부팅(Safe Mode Booting) 관련 레지스트리를 삭제하여 안전모드 부팅을 방해하기도 합니다.

세번째로 인터넷 포렌식(Internet Forensic) 입니다. 이메일(E-Mail), 메신저(Instant Messenger)  그리고 웹 브라우저(Web Browser)와 같이 인터넷 활동과 관련된 어플리케이션(Applications)으로 인해 악성코드에 감염되는 사례들이 다수를 차지하고 있습니다. 이러한 경우에는 인터넷 관련 어플리케이션들의 행위를 분석하는 것만으로도 의외로 쉽게 악성코드의 감염 경로를 파악 할 수 있습니다.

최근 수행한 멀웨어 포렌식의 대상은 방송 관련 업무를 하시는 분들의 노트북들이었습니다. 분석을 하는 과정에서 1대의 노트북에서 악성코드 감염으로 인해 안랩(AhnLab)의 전용백신으로 진단, 치료 하였던 흔적을 발견 할 수가 있었습니다. 

결론적으로 그 악성코드의 감염 경로는 웹 브라우저 취약점을 악용한 중국산 웹 익스플로잇 킷(Web Exploit Kit)인 공다(GongDa)에 의해서 였으며, 이러한 감염 경로를 파악하는데 결정적인 역할을 한 것이 바로 인터넷 포렌식과 레지스트리 포렌식 기법의 복합적인 사용이었습니다.

그리고 마지막으로 디스크 포렌식(Disk Forensic) 입니다. 이는 전통적인 컴퓨터 포렌식에서 이야기하는 디스크 이미징(Disk Imaging) 이 후 엔케이스(EnCase)나 FTK와 같은 분석 툴을 이용해 디스크 전체를 분석하는 과정 입니다.

그 중 오늘 이야기 할 주제는 첫번째인 메모리 포렌식을 할 경우에 무료로 사용할 수 있도록 맨디언트(Mandiant)에서 개발한 레드라인(Redline)이라는 메모리 분석 툴입니다.

메모리 분석 관련 툴들 중에서 많이 사용되는 것으로 오픈소스(Open Source) 인 볼라틸리티(Volatility)와 커맨드라인(Command-Line) 형태로 동작하는 맨디언트의 메모라이즈(Memoryze)가 존재 합니다. 그래서 컴퓨터 포렌식이나 멀웨어 포렌식 관련 서적들에서는 위 2가지 툴에 대해 빼놓지 않고 언급 하고 있습니다.

위에서 언급한 2개의 메모리 분석 툴은 여러가지 장점들로 인해 일반적으로 많이 사용되는 툴들이며, 분석 과정에서 오류가 없다는 것을 인정을 받았습니다. 하지만 악성코드 감염으로 인해 침해사고가 발생하여 신속하게 실시간 대응(Live Response)를 진행해야 되는 상황에서 앞서 언급한 2개의 메모리 분석툴들은 모두 커맨드 라인 형태를 가지고 있어 조금 불편함이 존재합니다.

이러한 관점에서 본다면 레드라인은 맨드언트에서 언급한 문구인 "Accelerated Live Response"와 같이 신속하게 메모리 분석을 진행 할 수 있도록 도와주는 GUI 기반의 툴입니다.

레드라인을 설치하고 실행을 하기 위해서는 설치 대상이 되는 시스템에 닷넷 프레임워크(.Net Framework) 4.0 을 필요로 합니다. 그래서 이를 설치하고 맨드언트에서 무료로 제공하는 레드라인 설치 파일인 Redline-1.9.2.msi (56,139,776 바이트)을 설치합니다.

설치가 완료되고 레드라인을 실행하면 맨디언트사 특유의 붉은 색이 주를 이루는 GUI를 볼 수가 있습니다.

레드라인은 메모리 분석을 위한 툴이기도 하지만, 이와 함께 침해 사고가 의심되는 컴퓨터 시스템에서 메모리 덤프(Memory Dump)를 제작 할 수 있는 기능도 포함되어 있습니다. 하지만 닷넷 프레임워크를 필요로 한다는 점에서 이 기능이 그렇게 활용 가능성이 높다고 보기 어려울 것 같습니다.

레드라인을 테스트 해보기 위해 기존에 제작해둔 악성코드 감염 시스템에서 생성한 메모리 덤프 파일들을 레드라인으로 분석을 진행 해봤습니다.

약 130 MB의 메모리 덤프 파일을 레드라인에서 읽어들이는 과정에서 시간 소요가 조금은 필요 했습니다. 이는 기존에 사용되던 메모라이즈에 포함되어 있던 모든 기능들을 레드라인에 포함시켜 이를 활용하는 과정에서 시간 소요가 발생하는 것으로 보여집니다.

130 MB의 메모리 덤프에서 사용자가 체감할 정도의 시간 소요가 발생 했다는 점에서 최근에 사용되는 윈도우 시스템의 메모리가 대부분이 2, 3 GB가 넘는 것을 감안 할 경우, 실제 침해 사고 발생 시스템의 메모리 분석시에는 더 긴 시간 소요가 필요 할 것으로 보여집니다.

기본적으로 레드라인에서 제공하는 메모리 분석 기능은 기존 맨디언트에서 제공하는 커맨드 라인 메모리 분석 툴인 메모라이즈에서 제공하는 기능들을 모두 포함하고 있습니다. 

그리고 여기에다 MRI(Mandiant for Intelligent Response)라는 기능이 추가 되어 있습니다. 이 MRI 기능은 메모리 분석 과정에서 프로세스(Process)나 핸들(Handle) 등에서 악성코드와 관련 있는 의심스러운 아티팩트(Artifact)를 발견하게 될 경우 붉은 색으로 표기를 해줍니다.

아래 이미지는 Oficla(a.k.a Sasfis)에 감염된 윈도우 XP 시스템에서 생성한 메모리 덤프 파일들을 분석한 내용입니다. 

붉은 색으로 표기된 MRI가 존재하는 svchost.exe는 정상 윈도우 시스템 프로세스입니다만, Oficla가 자신의 코드를 임의로 svchost의 메모리 영역에 코드 인젝션(Code Injection)을 수행한 상태입니다. 

결론적으로 코드 인젝션이 발생한 svchost.exe에 MRI가 표기 되었다는 점에서 레드라인이 Oficla 악성코드 감염 흔적을 메모리에서 발견했다라고 생각 해볼 수 있습니다.

그리고 다른 메모리 분석 툴에서 제공하지 않는 타임라인(TimeLine) 분석 기능을 제공 합니다.이 타임라인 분석 기능은 아래 이미지에서와 같이 메모리에 존재하는 정보들을 조합하여 시간 순서로 정렬하여 보여줍니다.

그래서 아래 이미지와 같이 악성코드의 코드 인젝션이 발생한 svchost.exe가 실행 된 시간을 기준으로 대략 이 시점 이전에 해당 시스템으로 악성코드가 유입되어 감염이 발생하였다는 것을 판단 할 수 있습니다.

이렇게 간편하고 빠르게 메모리 분석을 수행 할 수 있도록 도와주는 장점을 가진 레드라인은 MRI라는 기능으로 인해 더 신속하게 악성코드로 의심되는 메모리 영역과 파일을 판단 할 수가 있습니다.

이 MRI라는 기능의 알고리즘이 어떻게 제작되었는지 멘디언트에서 공개하지 않아 알 수가 없어 쉽게 판단을 할 수가 없습니다만, 다른 악성코드 감염 시스템에서 제작한 메모리 덤프들로 테스트를 하는 과정에서 일부 악성코드와 관련된 메모리 정보들을 MRI가 붉은 색으로 표기 해주지는 못하는 것을 확인 하였습니다.

그러므로, MRI의 붉은 색 표기만을 전적으로 신뢰하기 보다는 이 정보는 참고용으로 사용하고, 분석가의 경험과 역량이 더 중요하게 적용된다는 점을 생각해야 됩니다.

그리고, 오픈소스와 파이선(Python)의 장점들을 모두 가진 볼라틸리티와 비교를 한다면 향후 확장성과 성능 개선이라는 면에서는 발전이 빠르지는 않을 것으로 보여집니다. 하지만 경험이 풍부한 침해 사고 대응 전문 업체에서 제작한 메모리 분석 툴임으로 오픈소스와는 또 다른 분석 기능을 보여줄 것으로 기대 됩니다.

이러한 장, 단점을 고려해두고 신속하게 메모리 분석을 수행하여야 되는 경우에 레드라인을 사용한다면 조금 더 편하고 빠르게 메모리 분석을 진행 할 수 있을 것으로 생각 됩니다.

2007년 6월 악성코드 최신 동향과 대응

벌써 8월도 중순을 향해서 가고 있고, 날씨는 습하면서도 더운 것이 아침 저녁으로 출퇴근 길이 편하지만은 않군요.

오늘 공개하는 강연 자료는 2007년 6월 고객사들을 대상으로 기술 지원을 담당하시는 분들을 모시고 2007년 상반기 보안 위협 동향들과 특징들을 살펴보는 자리를 가졌었습니다.

여기에서 발표된 내용은 다음과 같은 목차를 가지고 있습니다.

1) 2007년 상반기 악성코드 동향

2) 2007년 상반기 악성코드 유형별 동향

3) 2007년 상반기 주요 악성코드 기법과 대응

4) 레트로(Retro) 바이러스

2007년 3월 중국 IT 문화와 해커

어느 덧 8월입니다. 이 블로그를 오픈 한지도 1주년이 다 되어 가고 시간이 참 빠르게 흘러가는 것 같은데, 읽어야 될 책들과 다루어 보고 싶은 주제의 기술들은 많아서 이래 저래 아쉽다는 생각이 많이 듭니다.

작년 이 맘 때에는 지산 록 밸리 록 페스티벌에도 다녀오고 인천 펜타포트 록 페스티벌에도 다녀오느라 나름 즐거운 시간들을 보내었느데 올해는 그러지를 못 해서 조금은 아쉽네요. 그래도 저를 닮은 아기와 시간을 보내는 것도 즐거운 일들이라 이런 아쉬움을 조금이나 달랠 수가 있었습니다. 그래도 아내의 허락으로 메탈리카(Metallica)가 메인 무대를 장식하는 현대카드 슈퍼콘서트19 시티브레이크에는 하루 정도 다녀 올 수 있을 것 같아 기대가 큽니다.

오늘 공개하는 강연 자료는 2007년 3월 국가사이버안전센터(NCSC)에서 주관한 내부 세미나에서 강연한 중국 IT 문화와 해커라는 주제 입니다.

해당 강연을 진행 할 당시 중국발 악성코드가 큰 이슈들 중 하나인지라, 정부 기관에서도 이러한 악성코드를 제작하고, 취약한 국내 웹 사이트들을 해킹하는 중국 언더그라운드 해커들에 대해 관심이 많았던 시기였습니다.

그래서 몇 년에 걸쳐 연구하고 조사한 중국 언더그라운드 해커들에 대한 특징과 조직들에 대한 자료를 1시간에 걸쳐 강연할 기회가 있었습니다.

강연 자료는 다음과 같은 목차로 구성 되어 있습니다.

1. 중국의 환경과 IT 문화
2. 중국 해커의 기원과 분류
3. 주요 해커 그룹
4. 중국 동향 분석 방안

정말 이제 시작인 사람들을 위한 디지털 포렌식(Digital Forensics) 서적

올해 상반기에 개인적인 복잡 다단한 가정사가 있다 보니 2월에 읽은 서적의 내용을 이제서야 블로그에 올리게 되는군요.

올해 2월 초에 읽었던 서적은 분량이 많지 않아서 그리 시간 소비가 크지 않게 빠르게 읽을 수 있었던 서적으로 "이제 시작이야! 디지털 포렌식"이 있었습니다. 개인적으로 몇 년전 까지만 하더라 디지털 포렌식에 대해 그렇게 큰 관심을 보이지 않았습니다만, 우연히 인터넷으로 검색을 하다가 "Malware Forensics"이라는 용어를 접하게 되었습니다.

기존에 제가 알고 있던 디지털 포렌식(Digital Forensics)이나 컴퓨터 포렌식(Computer Forensics)은 특정 오프라인 범죄에서 컴퓨터 시스템이나 전자 기기들이 동반되어 범정에서 그 범죄 혐의를 입증 할 수 있는 법적 증거물을 컴퓨터 시스템이나 전자기기들로부터 획득하기 위한 기술적인 방안으로 이해하고 있었습니다.

하지만 멀웨어 포렌식(Malware Forensics)은 기술적인 방법론은 앞서 설명한 컴퓨터 포렌식과 크게 차이가 없지만, 악성코드 감염이 의심되는 시스템이나 침해 사고(Incident Response)가 발생한 것으로 추정되는 네트워크에서 컴퓨터 포렌식의 기술적인 방안들을 이용해 그 여부를 판단하고 대응하기 위한 수단을 이야기 합니다.

이러한 정의에 대한 내용은 VB2008에서 IBM ISS UK의 Martin Overton이 발표한 "Malware Forensics:  Detecting the Unknown"이라는 논문을 참고하시면 이해가 빠르실 것 같습니다.

이러한 관점에서 컴퓨터 포렌식을 접하고 관련 서적들과 논문들을 한편씩 읽다보니, 이제까지 제가 했던 업무들의 일부분이 멀웨어 포렌식으로 정의 될 수 있으며, 그 중에서 라이브 리스판스(Live Response) 방법론이 사용된 것을 알게 되었습니다. 다만 제가 사용하였던 기술들과 방법론들이 일반적으로 컴퓨터 포렌식 분야에서 언급되는 라이브 리스판스와 조금은 다를 뿐이지 큰 맥락에서는 차이가 없다는 것을 알게 되었습니다.

이런 생각에 포렌식과 관련해 조금 더 알아보자는 생각에 가장 처음으로 가볍고 편한 책을 고른 것이 "이제 시작이야! 디지털 포렌식" 입니다. 이 책은 번역서로서 원서의 제목 역시 "The Basics of Digital Forensics: The Primer for Getting Started in Digital Forensics" 입니다.

결론부터 언급을 하자면. 이 책은 디지털 포렌식에 대해 전혀 모르는 일반인이나 엔지니어들이 읽기 딱 맞는 수준의 책입니다. 다만 기술적인 정보나 방법론을 알기 위해 이 책을 접하게 된다면 정말 큰 실망감만 줄 수 있습니다.

책 제목과 같이 디지털 포렌식에 대해 단어만 들어본 사람들이 이게 무엇일까? 어떠한 기술들을 그렇게 부르는 것일까? 에 대해 호기심이 생기는 분들이 읽게 된다면 전반적인 큰 그림을 이해 할 수 있는 수준입니다.

개인적으로는 디저털 포렌식과 컴퓨터 포렌식에 대한 전반적인 이해를 구할 수 있었고, 어떠한 분야들을 기술적으로 접근해야 되는지에 대한 접근론을 정의 할 수 있었던 책으로 생각 됩니다.

그래서, 정리하자면 기술적인 높은 지식 보다는 비교적 쉽게 전반적인 큰 틀과 방향성을 이해하는 차원에서 접근한다면 유용할 서적입니다.

2007년 3월 중국 법인 엔지니어들 대상 교육 자료

어느덧 2013년도 절반 이상이 지나가고 7월도 내일이 마지막이네요. 여러가지 사정들 때문에 부지런하게 정리하지 못 했던 이 블로그도 시간이 흘러 1년이라는 시점이 다 되었군요.

이제까지 외부 강연에서 사용하였던 자료들도 2006년도까지 정리 되었고, 드디어 2007년도로 넘어 오게 되었습니다.

2007년도에 처음으로 진행하였던 외부 강연은 3월에 있었던 중국 법인에서 근무하고 있는 현지 엔지니어들을 대상으로 한 교육이었습니다. 교육은 총 5회에 걸쳐서 5일 동안 진행되었는데, 그 덕분에 입사 이래 가장 오랫동안 중국 북경에서 머무르게 되었습니다.

5일 동안의 출장 시간 동안 주중에는 교육을 하고, 야간에는 중국 현지 보안 업체 엔지니어 친구들과 저녁 식사를 하거나 학부시절 같이 공부 했던 선배, 후배와 친구들을 만나서 즐거운 시간들을 보낼 수가 있었습니다.

오늘 공개하는 자료는 앞서 언급한 바와 같이 총 5회에 걸쳐서 진행되었는 교육이었지만 4회와 5회는 대외비 자료(V3 엔진 구조와 진단법 관련)들이 포함되어 있어 이 것들 제외한 나머지 3회 분량만 공개하게 되었습니다.

1회에서는 악성코드의 최신 동향과 그에 따른 악성코드들의 최신 기법들을 다루고 있습니다. 이는 2006년도와 그 이전에 하였던 내용들에서 크게 다른 내용들은 포함되어 있지 않습니다.

1) 악성코드 정의와 분류
2) 악성코드 유형별 동향
3) 악성코드 기술적 동향
4) 주요 악성코드 감염 기법

2회에서는 악성코드 분석 방법론과 그에 맞추어서 사용되는 다양한 공개용 도구들을 소개하고 마지막에는 실제 악성코드 분석 사례를 예시로 들어서 설명하고 있습니다.

1) 악성코드 분석 프로세스
2) 악성코드 분석 유틸리티
3) 악성코드 분석 사례

3회에서는 악성코드 감염이 의심되는 시스템의 흔적들(컴퓨터 포렌식 분야에서는 아티팩트라고 언급되는 부분들)을 안레포트(AhnReport)를 이용해 추적하는 방법들을 설명하고 있습니다.

1) 악성코드 특성
2) AhnReport의 이해
3) AhnReport의 사용법
4) AhnReport 로그 분석

2006년 12월 악성코드 최신 동향과 기법

이래 저래 일들이 많다보니, 블로그 관리가 점점 소흘해지는 것 같네요. 다시 부지런히 글들을 정리 해봐야 할 것 같습니다.

오늘 공개하는 자료는 2006년 12월 H 기업 임직원들을 대상으로 진행되었던 보안 강연입니다. 이 시기에 워낙 비슷한 강연들을 많이 하다 보니 자료 역시 비슷한 내용들이 많이 포함되어 있습니다.

대략적인 목차는 아래와 같습니다.

1. 악성코드 유형별 최근 동향
2. 악성코드 기술적 동향
3. 주요 악성코드 감염 기법

이로서 2006년도 강연 자료들 정리가 모두 끝이 났습니다. 올해가 2013년이니 아직도 많은 강연자료들을 공개하지 못하고 있습니다. 시간 날 때마다 틈틈히 열심히 정리 해야 겠습니다. ^^

이런 강연자료들을 만들 때마다 강의를 많이 해보신 분들은 아시겠지만, 만드는 본인이 더 많이 배우게 됩니다. 기존에 읽었던 자료와 연구 했던 자료들도 다시 뒤져보고 요점 정리하면서 다시 생각도 해보게 되구요.

그리고 특히 작성 했던 자료들을 볼 때마다 저 자신의 지식의 깊이와 넓이가 커지고 있다는 점에서 뿌듯하다고 해야 할까요? 예전 자료들을 보다 보니 이런 저런 생각들이 많이 듭니다.

윈도우 시스템 포렌식을 위한 모듬 세트 NirLauncher

윈도우 시스템 포렌식(Windows System Forensic)에 관심이 있거나, 해보신 분들은 아마도 NirSoft라는 소프트 웨어 개발 업체에 대해 한 번 즈음은 들어 보셨거나 해당 업체에서 개발한 툴을  써보셨을 것 같습니다.

NirSoft에서는 GUI(Graphic User Interface) 기반으로 윈도우 시스템에서 간편하게 실행 할 수 있는 다양한 윈도우 시스템 분석 툴들을 무료로 공개하고 있습니다. 무료로 공개되는 툴들 중에는 인터넷 익스플로러(Internet Explorer) 및 파이어폭스(FireFox)와 같은 웹 브라우저의 암호를 복구 할 수 있는 툴에서부터 윈도우 시스템과 네트워크를 분석 할 수 있는 다양한 툴들까지 공개 중이라 여러가지 면에서 유용하게 사용 할 수 있습니다.

저의 경우에는 악성코드 감염으로 추정되는 시스템 분석을 위해 챙겨가는 여러 가지 도구들 중에서 꼭 빠지지 않는 것들 중 하나가 NirSoft에서 개발한 툴들을 모두 복사한 USB나 CD 였습니다. 하지만, 이러한 툴들을 모두 복사해서 폴더 별로 정리하고, 버전 별로 업데이트 하기가 여러가지 번거롭지 않았습니다.

이러한 번거로움을 한 번에 해결해주는 툴이 NirSoft에서 공개되었는데, 그것이 오늘 이야기 할 NirSoft Launcher 입니다.

NirSoft Launcher는 말 그래도 NirSoft에서 공개한 모든 툴을 하나로 모아서 그 것들을 하나의 런처를 이용해서 실행하고 리포트를 작성 할 수 있도록 만든 툴입니다.

우선 NirSoft Launcher를 해당 웹 사이트에서는 ZIP으로 압축된 파일인 nirsoft_package_1.18.04.zip(16,858,042 바이트)로 공개하고 있습니다. 해당 압축 파일을 풀면 아래 이미지와 같은 파일들과 폴더들이 생성 됩니다.

생성된 파일들 중 autorun.inf 파일이 포함되어 있어 USB에 모두 복사 했을 경우에는 해당 USB를 시스템에 연결 하는 것만으로도(물론, 윈도우 레지스트리(Registry)에서 자동 실행 옵션이 활성화 되어 있을 경우에만 해당 됩니다.) 자동으로 NirSoft Launcher의 메인 파일인 NirLauncher가 자동 실행 됩니다.

위 이미지에서 보는 것과 같이 NirSoft에서 제공하늠 모든 소프트웨어들이 Portable 형태로 연결되어 있어, 필요한 분류의 탭만 누르면 관련 툴들이 설명과 함께 나열 됩니다.

하나의 예로 프리페치(Prefetch) 파일들을 확인 할 수 있는 WinPrefetchView를 보면, 아래 이미지와 같이 설명이 되어 있습니다.

이를 더블 클릭하게 되면 아래 이미지와 같이 별도의 WinPrefetchView 툴이 실행 되면서 현재 사용하고 있는 시스템에서 최근에 실행되었던 파일들에 대한 정보들이 모두  나타나게 됩니다.

특히 악성코드 감염이 의심되는 시스템을 분석하기 위해 이래 저래 많은 툴들을 별도로 가지고 다닐 필요 없이 NirSoft Launcher만을 잘 활용해도 도움이 됩니다.

NirSoft Launcher에 포함되어 있는 툴들 중에서도 악성코드 감염으로 의심되는 윈도우 시스템의 다양한 핑거프린트(Fingerprint)와 아티팩트(Artifact)를 타임라인(Timeline)에 따라 추적하기에는 특히 아래 툴들이 많은 도움이 됩니다.

1) AlternateStreamView 
Find all hidden alternate streams stored in the file system.

2) CurrProcess
Displays the list of all processes currently running on your system.

3) FolderChangesView
Monitor folder/drive changes.

4) IECacheView
List all files currently stored in the cache

5) IECookiesView
Displays the cookies that Internet Explorer stores on your computer

6) IEHistoryView
Displays the list of Web sites that you visited with IE Web browser

7) LastActivityView
View the latest computer activity

8) MUICacheView
Edit/delete MUICache items in your system

9) MyEventViewer
MyEventViewer is a simple alternative to the standard event viewer of Winodws

10) OpenedFileView
Displays the list of all opened files on your system

11) ProcessActivityView
Show the file activity  selected process

12) RecentFilesView
Display the list of recently opened files

13) RegFileExport
Export offline Registry files to .reg file

14) UserAssistView
This utility decrypt and displays the list of all UserAssist entries

15) WhatsInStartup
Disable/enable/delete programs that are loaded at Windows startup

16) WinPrefetchView
View the Prefetch files (.pf) stored in your system

CrowdStrike에서 무료 배포하는 시스템 분석툴 CrowdInspect

아마도 이 블로그 글을 보시는 분들 중에서는 CrowdStrike 라는 업체가 생소하실 겁니다. CrowdStrike는 2012년에 사업을 시작한 미국의 신생 보안 업체로서, 스타트업이라고 하기에는 해당 업체의 핵심적인 경영진들의 면모가 범상치 않은 업체입니다.

CrowdStrike의 출발은 FoundStone(이후 McAfee에 인수됩니다.)이라는 침해사고 대응 전문 업체의 창업자이자 CEO인 George Kurtz(국내에서는 Hacking Exposed 시리즈의 저자로 더 유명할 것 같네요)와 인텔(Intel)에 인수 된 맥아피(McAfee)의 CTO인 Dmitri Alperovitch에 의해 시작 되었습니다.

개인적으로 Dmitri Alperovitch와 친분이 있어, 2012년 초에 안랩과 협력을 했으면 좋겠다는 연락을 받는 과정에서 그가 맥아피를 그만두고 창업을 하였다는 것을 알게 되었습니다.

여기까지가 CrowdStrike에 대한 이야기이고, 오늘 이야기 할 주제는 해당 업체에서 개발하여 무료로 배포 중에 있는 CrowdInspect라는 침해 사고가 발생 한 것으로 추정되는 시스템을 분석하기 위한 툴입니다.

CrowdInspect는 올해 2월부터 무료 배포되기 시작하였으며, 툴은 간단하게 EXE 파일(522,376 바이트) 1개입니다. 그리고 32비트와 64비트 윈도우 운영체제를 모두 지원합니다.

최초 해당 파일을 실행하게 되면, 사용에 대한 간략한 설명을 하고 동의를 구하게 됩니다. 동의를 클릭하고 난 다음에는 아래 이미지와 같은 사용자 인터페이스가 실행됩니다. 이러한 인터페이스는 기존의 프로세스 익스플로러나 다음 툴들과 큰 차이가 없어 조작과 적응이 쉬운 편입니다.

기본적으로 CrowdInspect는 Live 모드와 History 모드로 동작하게 됩니다. Live 모드는 말 그대로 현재 실행 중인 모든 프로세스 정보, 오픈든 TCP/UDP 정보들을 보여주며, History 모드는 CrowdInspect가 실행 된 그 시각 이후로 있었던 변화들을 순차적으로 Timeline에 맞추어 표기 해줍니다.

그리고 드라이버(.sys) 파일이 하나 정도 생성해서 이를 이용해 프로세스와 포트 검사를 할 것으로 생각 했는데, 순수하게 유저 모드(User Mode) 에서만 동작하도록 제작되었습니다.

여기까지만 보면 CrowdInspect가 다른 프로세스 익스플로러 형태의 시스템 관리 툴과 큰 차이가 없어 보입니다만, 개인적으로 생각되는 차별화 부분은 3가지로 볼 수가 있습니다.

1) 실행 중 또는 타임라인 상의 특정 파일에 대한 바이러스토탈(VirusTotal) 검사 기능
이 기능은 파일의 HASH인 SHA256을 구하여 단순하게 VirusTotal에 조회를 하도록 VirusTotal의 API를 이용한 것입니다.

2) Team Cymru에서 제공하는 Malware Hash Registry 검사 기능
이 역시 1번과 동일하게 Team Cymru의 DB에 HASH를 조회하여 결과를 리턴하는 것으로 보여집니다.

3) Web of Trust의 DB를 이용한 IP 검사 기능
이 역시 1번과 2번 과 같이 오픈된 포트에서 접속되어 있는 IP를 DB에 조회하는 기능이며, 실제 패킷 덤프에서도 해당 업체의 시스템으로 접속을 한 것을 확인 하였습니다.

이러한 장점을 가지고 있지만은 단점도 몇 가지가 분명히 존재합니다.

1) Timeline 기반의 포렌식 분석 기능 부족
타임라인 기능이라고 하여 다른 포렌식 툴에서 처럼 CrowdInspect가 실행 전의 상황들을 참고 할 수 있는 로그를 보여주리라 기대 했습니다만, CrowdInspect 실행 이후의 로그들만 보여주고 있습니다.

2) 프로세스 리스트 기능의 오류
실제 악성코드 샘플을 이용해 시스템이 악성코드에 감염되었다는 가정하에 테스트를 해보았습니다. 악성코드 감염 이후에 CrowdInspect를 실행 할 경우, 프로세스 익스플로러와 같은 프로세스 뷰어에서는 악성코드의 프로세스가 정상적으로 리스트가 되는 반면 CrowdInspect에서만 정상적으로 리스트화 되지 못하였습니다. 이 부분은 기능상 또는 구현상의 오류로 보여집니다.

3) 보안 위협의 트렌드를 반영하지 못한 기능 설계
현재 악성코드로 인한 보안 위협 트렌드로 보았을 때 CrowdInspect의 위치는 모호한 부분이 많습니다. 포렌식 분석을 위한 툴이라고 하기에는 부족하고, 악성코드 검출을 위한 아티팩트 분석 툴이라고 하기에도 기능들이 부족합니다.

여기까지가 CrowdInspect를 테스트하면서 생각해본 점들이며, 장점보다는 아직은 단점이 많아 보입니다. 하지만, 기존의 다른 침해 사고 시스템 분석 툴들과 다르게 DB 조회(클라우드거나 아니거나 상관 없이) 기능을 추가하여 활용하고 있다는 점은 분명한 장점으로 볼 수 있습니다.

마지막으로 패킷 덤프 분석 과정에서 알아낸 것 중 하나가, CrowdInspect가 실행이 되면 CrowdStrike로 GeoTag 정보가 전송이 되더군요. 아마도 내부적으로 어느 국가에서 많이 실행되는지 데이터 관리를 하는게 아닌가 생각 되네요...

2006년 중국 공안부 엔지니어들을 대상으로 한 강연

중어중문학을 전공을 하고 1999년에서 2001년 1월까지 중국 청화대학교에서 중국어학 연수를 한 덕분에 북경에 위치한 중국 법인에 출장을 가는 기회들이 자주 있었습니다. 거의 매해 출장을 가는 주된 이유로는 중국 법인에서 근무하는 중국인 엔지니어들을 대상으로 악성코드 대응과 기초 분석을 강연하고, 업무를 진행하는 과정에서 발생하는 어려움들을 듣고 본사로 전달하는 것이었습니다.

이러한 교육들을 여러해에 걸쳐 진행되다 보니 중국에서 보안 업무를 담당하는 엔지니어들과 소통을 하게되는 계기들도 자주 있게 되었습니다. 그리고 중국 현지 보안 업체들인 라이징(Rising), 지앙민(JiangMin)과 킹소프트(Kingsoft)에서 근무하는 엔지니어들과도 10년 가까이 지내다보니 이제는 친구처럼 편하게 생각하고 있습니다.

오늘 이야기 할 강연 역시 중국 공안부 소속으로 악성코드 분석 및 대응 업무를 담당하고 있는 엔지니어들을 대상으로 한 것입니다.

자료 날짜를 보니 대략 2006년 12월 말 즈음에 한국을 방문 했던 것으로 기억 됩니다. 그 당시 자료는 평소 자주 강연 했던 내용들을 재정리 한 후에 중국어로만 번역하였습니다. 그리고 강연 역시 중국어로 진행해야 했기에 강연 전에 중국어 IT 용어들을 찾아보고, 강연 내용 역시 중국어 표현으로 어색하지 않도록 다듬는 것에 시간을 많이 소비 했던 것이 기억 납니다.

강연은 총 2일에 걸쳐서 진행되었습니다. 1일차에서는 악성코드의 전체적인 동향과 기술적인 특징들에 대한 설명이 주를 이루었으며, 2일차에서는 악성코드 분석을 위한 분석 방법론 설명과 분석 환경 구축 그리고 분석 사례들을 설명하는 순서로 진행되었습니다.

그 때가 맞는 것으로 기억됩니다만, 2일간의 강연이 모두 끝이 난 이후에 공안부 직원들이 감사의 답례로 조그마한 경극 가면 장식품을 주더군요. 그 장식품은 현재 저의 집 서재 책장에 가지런히 진열 되어 있습니다.

악성코드 최신 동향과 분석 방안

6월에 들어 처음으로 쓰는 블로그 글입니다. 오늘 쓰는 이 블로그도 역시 2006년 12월 기술지원 부서분들을 모시고 진행되었던 2006년 하반기 보안 위협 동향과 관련된 강연 자료 입니다.

상반기의 연장선상에서 이루어진 교육이라 상반기와 크게 차이 나는 부분은 없으며, 보안 위협 동향과 관련된 내용이 하반기에 맞게 업데이트 된 정도 입니다.

목차는 아래와 같은데, 지금 다시 보니 목차 중 세번째가 제목과 다르게 악성코드 분석 방안이라는 주제와 내용이 포함되어 있네요...
아마도 그 당시 슬라이더를 작성하면서 제가 무언가를 실수를 한 것 같군요.. ^^;;


1. 악성코드 유형별 최근 동향
2. 악성코드 기술적 동향
3. 주요 악성코드 감염 기법

악성코드와 분석 방안

이 자료 역시 2006년 11월 외부 보안 세미나에서 사용하였던 강연 자료 입니다. 이 자료를 사용하였던 보안 세미나가 정확하게 어떤 자리였는지는 기억이 나지 않습니다만, 경찰청에서 주관하여 진행하였던 보안 세미나로 기억 됩니다.

지금 인터넷으로 찾아보니 경찰청 주관으로 진행한 국제사이버범죄대응 심포지엄(ISCR) 2006에서 발표하였던 자료가 맞네요...

그 때를 곰곰히 생각해보니, 30분이라는 짧은 시간에 악성코드 개론에서 분석 사례까지 진행해야 했던 어려운 상황에다, 외국에서 초청된 보안 연구원 및 보안 기업 임원들과 함께하고 제법 많은 숫자의 청중들이 함께 했던 세미나였습니다.

그래서 그랬는지 평소와 달리 긴장감이 컸었는지, 저도 모르게 강연 마지막에 말이 조금 꼬이면서 엉뚱하게 버벅거리는 어이 없는 실수를 했었던 기억이 새록 새록 나는군요..

당시에 발표한 자료는 기존 외부 보안 세미나에서 발표했던 자료들의 내용과 큰 차이는 없습니다만, 실제 침해 사고에 사용되었던 악성코드를 실제 분석하는 과정과 결과를 도출하는 케이스 스터디 형식을 포함하고 있습니다.

그래서 전체 목차는 아래와 같이 크게 4개로 나누었으며, 마지막 악성코드 분석 사례에서는 Dropper/PcClient.47873를 분석하였습니다.

1. 악성코드와 동향
2. 악성코드 분석 프로세스
3. 악성코드 분석 유틸리티
4. 악성코드 분석 사례

그 당시 Dropper/PcClient.47873를 분석 대상으로 삼았던 이유는 실제 침해 사고에 사용되었던 샘플이었습니다.

거기다 당시에는 보기 드물게 드라이버 파일을 이용한 커널(Kernel) 모드 은폐, 스레드 인젝션(Thread Injection) 기능을 이용한 글로벌 후킹(Global Hooking)으로 키로깅(Keylogging) 기능 등을 수행하는 기밀 정보와 데이터 탈취를 목적으로 한 조금은 특별한 샘플이었기 때문입니다.

악성코드와 기업의 악성코드 대응

오늘 공유하는 자료는 2006년 11월 L 기업의 보안관제팀원들을 대상한 보안 세미나에서 강연한 자료 입니다. 당시 기억으로는 안랩 외에도 다른 기업들도 초청되어 다양한 보안 관련 주제들로 강연이 진행되었던 것 같습니다.

처음 초정을 제안 받고 난 후, 한 동안 보안을 주요 업무로 전담하시는 분들께 어떠한 정보를 드리는 것이 좋을지, 현업에서는 어떠한 부분을 고민하고 있을까로 이래 저래 말씀들도 듣고고민을 많이 했었습니다. 그래서 내린 결론은 저의 전문분야인 악성코드 현황과 대응 방안을 중심으로 강연을 진행하기로 결정 하였습니다.

그래서, 당시의 악성코드 상황과 기술적인 변화 그리고 기업 내부에서 악성코드 대응을 위한 보안 정책과 악성코드 감염이 의심되는 침해 사고 시스템 분석을 위해 안레포트(AhnReport)를 어떻게 활용하는 것인가를 다루었습니다.

이러한 내용들을 담고 있다보니 목차 역시 여기 맞게 다음과 같이 구성되어 있습니다.

1. 악성코드 유형별 최근 동향
2. 악성코드 기술적 동향
3. 주요 악성코드의 감염 기법
4. 기업 악성코드 대응
5. 향후 연구 과제
6. 참고 문헌

2006년 발표한 "악성코드와 웜" 강연 자료

2006년 9월에 ASEC 내부 세미나에서 발표한 자료 입니다. 지금은 이슈와 되고 있는 대부분의 보안 위협들이 백도어(Backdoor) 및 트로이목마(Trojan Horse)에 의해 발생하고 있지만, 이 당시 발생하는 보안 위협들 대부분이 웜(Worm)에 의해 발생하고 있던 시기 였습니다.

특히 일반 기업 내부망에서는 웜에 의해 발생하는 대량의 네트워크 패킷으로 인해 내부망 전체가 다운이 되거나, 정상적인 통신이 이루어지지 않는 문제들이 많았습니다. 그러다 보니 웜에 의해 발생하는 보안 위협 사례들에 대해 연구들이 많이 이루어지던 시기였습니다.

그러한 연구의 일환으로 진행되었습니다. 그래서 해당 발표 자료에서는 웜이란 무엇이며, 익스플로잇(Exploit)을 이용해 윈도우 시스템의 취약점을 악용하는 웜과 웜의 복사본이 첨부된 메일들을 대량으로 발송하는 메스 메일러(Mass-Mailer)의 특징들에 대해 다루고 있습니다.

악성코드와 분석 방안 그리고 시스템 복구

오늘 공개하는 자료는 2006년 5월에 2차에 걸쳐서 실제 고객사에서 악성코드 대응과 기술 지원을 담당하시는 부서분들을 모시고 진행된 보안 교육에 사용된 자료 입니다.

1차에 사용된 자료는 주로 악성코드에 대한 개략적인 이해와 분석 방법론 그리고 분석에 사용되는 공개용 유틸리티로 구성되어 있습니다.

전체적인 큰 흐름은 지난 번에 공유한 코코넛의 보안 관제 업무를 담당하시는 분들과 함께 진행되었던 강연과 비슷합니다.

하지만 실제 필드에서 감염이 의심되는 시스템을 점검하시는 기술지원 부서분들이라, 공개용 유틸리티로 시스템을 점검하는 것에 주된 포커스가 맞추어져 있습니다.

2차에 사용된 자료는 실제 악성코드의 형태별로 시스템 감염시에 발생할 수 있는 증상들과 특징들 정리하였습니다.

그리고 마지막 부분에서는 윈도우 시스템에 내장되어 있는 시스템 백업 및 복구 기능들을 이용하는 방안들을 정리 한 것입니다.

2006년 5월.. "악성코드 분석 도구"

2006년 5월 부서내 세미나에서 발표한 악성코드 분석 방법론과 악성코드 분석에 사용되는 공개용 유틸리티들을 정리한 내용입니다.

지금은 자동화되고 시스템화 된 부분이 많지만, 분석가 입장에서는 수작업, 메뉴얼적으로 분석을 할 때에 알아야하는 분석 방법론과 이에 사용하는 여러 분석 관련 유틸리티들을 정리한  내용입니다.

마지막 페이지에서는 악성코드 분석을 위해 참고하기 위한 서적들을 정리 해두었습니다.

참고 서적 리스트를 보다 보니 이 당시에 이런 저런 분석과 관련된 서적과 자료들을 많이 읽고 고민 했었던 것들이 생각나네요...

악성코드 개론....2006년도 4월 버전...

오늘 이야기하는 주제는 악성코드 개론으로, 2006년 4월 ASEC(시큐리티대응센터) 내부적으로 진행되었던 세미나에서 강연한 내용입니다.

아주 가볍게 보실 수 있는 내용이고 기술적으로 복잡하거나 어려운 내용들은 아니라서, 컴퓨터와 보안에 대해 지식이 없는 일반인들이라도 쉽게 보실 수 있는 내용입니다.

개략적인 목차는 악성코드 개론이라는 주제에 맞추어서 총 5가지 소주제로 나누어 1. 악성코드 정의, 2. 악성코드 분류, 3. 악성코드 연대기, 4. 악성코드 감염 경로와 5. 참고 서적 으로 분류되어 있습니다.

2006년도에 강연한 "악성코드와 분석 방법"

아마도 연구소 내부가 아니라 외부에서 악성코드 분석과 관련한 강연을 한 것은 2006년 3월이 처음으로 기억됩니다.

그 당시 안랩의 관계사로 있는 코코넛(지금은 합병이 되어 보안 관제 사업부로 존재합니다.)의 보안 관제 업무를 하시는 분들을 대상으로 악성코드가 무엇이고 악성코드를 분석하기 위해서는 어떠한 선수 지식이 필요하고 어떠한 방법론으로 분석을 하는지 강연을 했던 적이 있습니다.

업무적으로는 익숙한 프로세스와 지식들이었지만 이를 다시 하나의 자료로 만들어 강연을 해야 된다는 것이 쉽지는 않은데다, 3시간 정도라는 한정된 시간으로 악성코드 분석과 관련된 것을 모두 설명한다는 것 자체가 어렵다는 것을 잘 알고 있었습니다.

그래서 최대한 많은 부분들을 설명하되, 향후에도 자료를 보고 혼자서 학습을 할 수 있도록 도움을 드리고자 많들었던 기억이 많이 납니다.

목차는 크게 3가지로 나누어집니다.

첫 번째로 "악성코드 개요"로 악성코드 정의 및 형태적 분류들 그리고 특징들을 다룹니다. 그리고 두 번째로 "악성코드 분석"으로 악성코드 분석을 위해 필수적으로 알아야 되는 선수 지식들과 분석에 사용되는 공개용 유틸리티들 그리고 이를 적용한 분석 방법론을 설명합니다. 마지막으로 "맺음말"에서는 악성코드의 향후 발전 방향과 이에 대응하기 위한 연구과제들 그리고 악성코드 분석에 도움이 될만한 웹 사이트와 서적들을 포함하고 있습니다.

아래는 SlideShare에 공유한 그 당시 강연에 사용되었던 자료 입니다.

악성코드 동향 및 대응 방안

2002년 7월에 입사해서 처음으로 외부에 악성코드 분석이나 대응과 관련된 주제로 강연을 해본 것은 2004년 즈음으로 기억되는 서울지방경찰청 사이버수사대 입니다. 그 이후로 이와 유사한 강연이나 세미나가 있을 때 마다 참석을 했었던 적이 다수가 있습니다.

하지만 지금에 와서 찾아 보니 2004년도 처음으로 하였던 발표 자료는 저도 미처 보관을 하지 않고 있고 있더군요. 그나마 가지고 있는 가장 오래된 발표 자료는 2005년 6월 K 통신사 정보보안실 주관의 정보 보안 세미나였습니다.

아래 발표 자료는 그 당시에 사용하였던 발표 자료인데 대략 8년 정도 전의 상황이라 지금과는 많이 다르겠지만, 과거에는 이랬다 정도의 참고로 삼아 보시면 좋을 것 같습니다.

개략적인 내용은 악성코드가 어떻게 기술적으로 발전해왔고, 2005년 당시의 주요 악성코드들은 어떠한 것들이 있으며 이를 막기 위해서는 어떻게 해야 되는지를 다루고 있습니다.

Cybercrimes against the Korean online banking systems

이 발표 자료 역시 2013년 1월에 미국 L.A에서 진행된 11번째 ISOI(Internet Security Operation and Intelligence) 보안 컨퍼런스에서 발표한 자료 입니다.

주제는 2012년 10월에 작성한 원고인 "진화하는 온라인 뱅킹 위협"의 내용들을 간추려서 정리한 것으로, 지금도 이슈가 되고 있는 온라인 뱅킹에 사용되는 금융 정보들을 탈취하기 위한 악성코드들의 변천사와 특징들 그리고 유포 방식들에 대해 다루고 있습니다.

발표 당시 다른 해외 보안 업체 연구원들로부터 다양한 질문들을 많이 받았는데, 한국의 온라인 뱅킹 시스템과 미국 그리고 유럽과의 뱅킹 시스템의 근본적으로 다른 정책과 시스템 차이로 인한 것입니다.

특히 트렌드마이크로(TrendMicro)의 연구원들은 미국과 유럽 지역에서 많이 유포되는 제우스(Zeus)와 스파이아이(SpyEye) 등에 대해서는 익숙하지만 한국에서 발견되는 온라인 뱅킹 악성코드는 특히 하다면서 개별적으로 자료를 공유해달라는 요청을 하더군요.

아래는 그 당시 발표한 자료 입니다.

Internet Threats and Issues in Korea

2011년 11월 AVAR(Association of anti Virus Asia Researchers) 에서 처음으로 해외 보안 컨퍼런스에서 발표 한 이후에 영어로 발표를 하는 것에 자신감이 조금은 더 생겼습니다.

그러다 보니 이제는 다른 곳에서도 한 번 해보고 싶다는 생각에 2번째로 발표한 해외 보안 컨퍼런스는 2012년 4월 캐나다 몬트리올에서 열린 10번째 ISOI(Internet Security Operation and Intelligence)입니다.

여기 ISOI 보안 컨퍼런스는 멤버쉽으로 진행되는 컨퍼런스인 관계로 다른 일반적인 컨퍼런스 보다는 규모가 작고 많이 알려져 있지 않습니다. 하지만 북미와 유럽 지역의 주요 보안 업체와 보안 관련 담당자들 많이 참여를 하며, 외부에 공개되지 않은 다양한 보안 관련 주제들이 공유되고 이야기 됩니다.

그리고 여기에서 발표되는 내용들에 대해 다양한 관점에서 토론과 깊이 있는 대화가 많이 이루어져 처음에는 마치 대학 강의실에서 토론 수업이 진행되는 듯한 분위기에 압도되었습니다.

이러한 토론적인 분위기와 함께 영어로 대화를 해야 된다는 두려움이 커었지만, 파고다 원어민 회화 수업을 4개월 했던 용기로 그냥 무작정 질러 봤습니다. 그런데 의외로 컨퍼런스 위원회에서 긍정적으로 생각하고 받아 주더군요.

2012년 4월 캐나다 몬트리올에서 열린 11번째 ISOI 컨퍼런스에서의 주제는 "Internet Threats and Issues in Korea"로 2011년 한국을 중심으로 한 동북 아시아에서 발생하는 다양한 보안 위협들의 특징들을 발표하였습니다.

한국과 동북 아시아에 대한 정보가 부족한 업체들이 많다 보니 발표가 끝난 이후에는 다수의 질문들이 있었고, 세션이 끝난 이후에도 개인적으로 찾아와서 질문을 하고 협력 방안을 이야기 해보고 싶다는 업체들도 다수 있었습니다.

아래는 그 당시에 발표한 프리젠테이션 파일 입니다.

진화하는 DDoS 공격, 그 끝은 어디인가?

2012년 3월 즈음에 분석2팀의 정관진 책임님과 함께 작성한 원고가 "진화하는 DDoS 공격, 그 끝은 어디인가?" 입니다. 당시 해당 원고는 3.4 DDoS가 발생한지 1주년을 맞아서 DDoS(Distributed Denial of Service) 공격의 현재 상황과 향후에 발생 가능한 공격 형태들을 다루어보고자 작성하였습니다.

해당 원고에서 저는 현재의 DDoS 공격 현황과 언더그라운드에서 사용하는 DDoS 공격 툴들을 분석하는데 중심을 두었으며, 정관진 책임님께서는 네트워크과 패킷 관점에서 DDoS 공격 형태들을 분석하는데 중점을 두셨습니다.

원고는 3월에 작성 완료하였지만 내부 업무 사정으로 인해 5월로 조금 연기되어 안랩닷컴에 공개되었으며, 최초의 원고 내용에서 크게 벗어나지 않은 선에서 정리가 되었더군요.

+-------------------------------

우리는 한 번도 겪기 힘든 대형 DDoS(Distributed Denial-of-Service, 분산 서비스 거부) 공격을 두 차례나 겪었다. 대량의 네트워크 트래픽을 유발해 특정 웹 사이트들이 정상적인 동작을 하지 못하도록 마비시키는 DDoS 공격을 두 차례나 겪은 것은 다른 어느 국가에서도 찾아보기 힘든 보기 드문 사례다. 한편으로는, 이를 통해 우리는 DDoS 공격과 그에 따른 피해가 얼마나 심각하며 우리 생활에 어떠한 피해를 유발할 수 있는지를 몸소 체험하며 보안 인식을 한층 고취시킬 수 있었다. 이 글에서는 최근 국내?외에서 발생했던 DDoS 공격 양상과 특징, 네트워크 관점에서 주목해야 할 점들에 대해 살펴보겠다.

국내,외 주요 DDoS 공격의 특징

[표 1]은 2011년 하반기부터 2012년 현재까지 다른 나라에서 발생한 주요 DDoS 공격 사례들을 정리한 것이다.

[표 1] 2011~2012년 국외 주요 DDoS 공격 사례

국외에서 발생한 주요 DDoS 공격 사례들의 가장 큰 특징은 특정 목적 하에 공격 대상을 선정하고 DDoS 공격을 가한다는 점이다. 여기서 특정 목적이란 현재 인터넷에서 발생하는 사이버 범죄들의 금전적인 목적과는 확연히 다른 목적이다. 즉, 특정 단체의 정치적인 의견을 표현하기 위한 하나의 수단으로써 DDoS 공격을 행하고 있다는 것이다.

특히 어나니머스(Anonymous)의 DDoS 공격들은 2011년 11월부터 2012년 2월까지 이집트, 이스라엘, 브라질과 이탈리아 등 다수 국가의 정부기관 웹 사이트들을 대상으로 집중적으로 발생했다. 이 공격들은 금전적인 대가를 위한 것이 아니라 해당 해킹 그룹이 가지고 있는 정치적인 의견을 인터넷으로 표출하기 위한 것이었다.

[그림 1] 2011~2012년 국내 주요 DDoS 공격 사례

[그림 1]은 같은 기간 국내에서 발생한 주요 DDoS 사례들이다. 국내 사례들은 국외 사례들과는 조금 다른 목적을 갖고 있었음을 알 수 있다.

국내의 경우에는 정치적인 성격이 드러난 2011년 10월 선거관리위원회 웹 사이트 DDoS 공격 사례와 2012년 3월 여성가족부 웹 사이트 DDoS 공격 사례를 제외하고는 모두 금전적인 목적의 공격이었다.

DDoS 공격 기법 면에서도 차이가 있다. 국외에서 발생한 DDoS 공격 사례들 중 어나니머스에 의해 발생한 사례들은 대부분 [그림 2]와 같은 네트워크 트래픽 테스트 용도로 제작된 공개 유틸리티를 악용했다.

[그림 2] DDoS 공격에 사용된 네트워크 관련 공개 툴

그러나 국내에서는 [그림 3]과 같이 중국에서 DDoS 공격을 목적으로 제작된 악성코드 생성기를 이용한 사례가 많았다.

[그림 3] 중국에서 제작된 DDoS 공격을 위한 악성코드 생성기

특정 단체의 정치적인 의견을 피력하기 위한 DDoS 공격은 단체에 소속된 조직원들의 자발적인 참여로 이루어진다. 그러나 금전적인 목적의 DDoS 공격에서는 인원이 많지 않으므로 악성코드를 유포하여 감염된 다수의 시스템들을 악용하는 수법을 이용한다.
그렇다면, 국내 공격 사례에서 흔히 볼 수 있듯이, 악성코드에 감염된 다수의 시스템들을 악용하는 DDoS 공격를 네트워크 관점에서 살펴보자.

네트워크 관점에서 본 DDoS 공격

네트워크 관점에서 보면, DDoS 공격은 다수의 악성코드 감염 시스템을 통해 대량의 트래픽을 유발해 네트워크 대역폭을 소모시켜 정상적인 서비스를 할 수 없도록 만든다. 이 때 발생되는 트래픽은, 공격지의 서비스 종류에 따라 다르겠지만, 빠른 속도로 트래픽을 전달하거나 대량 패킷 데이터를 만들어내는 것이 보통이다.

국내에서 발생했던 두 차례의 예를 통해 네트워크 관점에서 DDoS 공격의 특징을 분석해보자.

[표 2] DDoS 공격 유형별 특징

3.4 DDoS 공격 시에는 HTTP, UDP, ICMP의 3가지 공격 유형이 발생되었는데, 패킷 분포 형태를 보면 HTTP가 가장 큰 비중을 차지하고 있다. 이것은 코드상 HTTP가 많이 발생할 수밖에 없는 구조로 공격 패킷이 생성돼 있었기 때문이다.

[그림 4] 3.4 DDoS 당시 사용된 공격 유형 비율

하지만, 이렇게 생성된 트래픽이 대량 트래픽을 생성하지는 않았다. 한 곳을 대상으로 공격하는 트래픽은 초당 25개 정도로, 패킷 크기는 [표 3]에서 보듯이 174바이트 정도였다.

[표 3] 악성코드 감염 시스템 수치별 공격 트래픽 유입 추정(공격 대상 1곳 기준)

이를 2009년 발생했던 7.7 DDoS 공격과 비교해보면 다음과 같다.

- 출발지 IP 위조 기능(IP Spoofing)을 포함하지 않음
- 7.7 DDoS 공격 때와 달리 패킷 전송에 Winpcap을 사용하지 않고, 윈도우의 기본 네트워크 소켓을 사용함
- 2차 공격 이후, 정부기관 1곳, 은행권 1곳 등 공격 대상을 2곳으로 한정
- 3차 공격 시 HTTP Flooding 공격으로만 시도하고 ICMP/UDP Flooding은 제외

3.4 DDoS와 마찬가지로 7.7 DDoS 때도 트래픽 비중은 그다지 크지 않았다. 공격 패킷의 헤더 정보와 페이로드(Payload)만 약간 달라졌을 뿐, 이용된 공격 형태가 비슷하고 트래픽의 비중이 크지 않았던 이유를 다음과 같이 추정할 수 있다.

첫째, 대처 능력을 사전에 판단해 보기 위함이다. 실제로 3.4 DDoS 발생 때에는 신속하게 대응해 피해를 최소화할 수 있었다.

둘째, 공격을 오랫동안 지속하기 위함이다. 사용자가 인지할 만큼 PC의 자원을 많이 사용하지 않으니 노출될 확률이 적어진다.

셋째, 사이버 공격으로 이용하기 위한 효과적인 공격 방법을 검증하기 위함이다. 사이버무기로서의 가능성을 알아보고자 시도한 검증 단계일 수도 있다.

3.4 DDoS는 그 목적이 뚜렷이 파악되지는 않았지만, 공격 대상들의 특징을 본다면 국외 사례들과 유사하다고 할 수 있다. 하지만 세부적인 공격 기법적인 측면에서 국내 DDoS 공격 사례들과 공통점이 있으면서도, 네트워크 패킷 관점에서는 차이를 보이는 특이한 사례다.

네트워크 디바이스를 노리는 DDoS 공격

앞서 국외에서 최근 발생한 DDoS 공격 사례들은 금전적인 목적보다는 특정 단체의 정치적인 의견을 알리기 위한 것이 많음을 살펴보았다. 공격 기법으로는 공개된 DDoS 공격 툴들을 이용하는 경우가 많다는 점도 알 수 있었다.

그러나 국내에서는 금전적인 목적을 위해 악성코드에 감염된 시스템들을 동원하는 사례가 많다는 것을 알 수 있었다.

그렇다면 앞으로 발생하게 될 DDoS 공격들은 어떠한 형태와 특징을 가지게 될까?
안드로이드(Android)와 아이폰(iPhone)으로 대표되는 스마트폰, 클라우드 서비스(Cloud Service) 등 여러 IT 기술적인 면들을 고려해본다면, 가까운 미래에 시스템들과 가정용 전자 제품들은 대부분 네트워크를 통해 인터넷으로 연결될 것이다. 네트워크로 연결되는 디바이스(Device)들이 증가하면, 각 디바이스들의 취약성을 악용한 DDoS 공격들도 증가할 것으로 예측할 수 있다.

[그림 5] 안드로이드 스마트폰에서 실행 가능한 DDoS 공격 툴

[그림 5]와 같이 어나니머스에 의해 안드로이드 스마트폰에서 동작하도록 제작된 DDoS 공격 툴을 보자. DDoS 툴이 스마트폰에서 동작 가능하다는 것은, 공격자가 스마트폰을 통해 시간과 장소에 제한을 받지 않고 언제든지 DDoS 공격을 가할 수 있다는 점을 의미하는 것이다. 즉, DDoS 공격을 목적으로 하는 악성코드가 스마트폰을 감염시켜 동작하도록 제작될 것이다. DDoS 공격의 목적 역시 인터넷을 통해 표출되는 여러 문화들의 다양성과 이해 관계들로 인해 더욱 복잡한 양상을 띨 것이다.

지금은 보안이라는 관점에서 네트워크로 연결되는 모든 디바이스들에 대한 통제와 관리를 심각하게 점검해야 할 시점이다. 이와 함께, 앞으로 발생할 다양한 목적의 DDoS 공격들에 대해 사회 제도적인 관점에서 어떻게 대처할 것인가도 진지하게 고민해봐야 할 것이다.

Changing Security Awareness Training in Response to Targeted Attacks, Using Korean IT Cultural Characteristics

영어를 잘 하는 것도 아닌데, 갑자기 영어로 된 논문을 공개해서 놀라시는 분들도 있으실 것 같습니다. ^^;;

이 논문은 국내 보안 컨퍼런스나 세미나 등에서는 악성코드와 보안이라는 주제로 다수의 강연 경험이 있었지만, 2011년 11월에 처음으로 해외 보안 컨퍼런스인 AVAR(Association of anti Virus Asia Researchers) 에 제출한 논문 입니다.

항상 어떤 일들이라도 마찬가지겠지만, 시작은 아주 가볍게 시작하였습니다. 해당 논문의 동저자이신 박호진 책임님과 함께 아침에 커피를 한잔 마시며 APT(Advanced Persistent Threat)와 보안 인식 교육(Security Awareness)이라는 주제로 이야기 하다 이런 주제를 해외 컨퍼런스에서 해보는 것이 좋겠다는 생각을 하게 되었습니다. 그래서, 일단 한번 해보자라는 생각으로 몇 달 동안 고생스럽게 자료 조사하며, 생각들을 가다듬고 정리해서 제출한 것입니다.

지금 생각해보면 당시에 주말에도 계속 나오며 힘들게 작업을 하였지만, 해당 논문으로 인해 다른 해외 보안 컨퍼런스에서도 발표를 할 수 있었던 자신감을 얻은 계기가 되었던 것 같습니다.

아래는 Slideshare에 공유한 해당 논문의 프리젠테이션 파일 버전이며, 그 아래는 해당 논문의 전체입니다.

+------------------------------------------------------------

Changing Security Awareness Training in Response

to Targeted Attacks, Using Korean IT Cultural Characteristics

Ho-Jin Park, Youngjun Chang

AhnLab ASEC (AhnLab Security Emergency Response Center)

Abstract

Over the past few years, most cyber attacks have been made targeting government and corporate networks. Consequently, many companies are adopting security systems to minimize damages. As a way to bypass security systems, cyber criminals break into corporate networks with targeted email to employees using social engineering techniques. With more people using information technologies in the conduct of their daily lives in Korea than any other country, cyber attackers are taking advantage of cultural and social routines to launch social engineering attacks. Credit card companies, for example, send credit card statements via email and this is exploited by attackers to spread malware. Thus, to effectively prevent the threats of social engineering, which take advantage of each country's unique cultural or social routine, companies should implement an Information Security function, such as SOC (Security Operation Center), and Security Awareness Training. Security Awareness Training is one of the best ways to prevent social engineering attacks. For the Security Awareness Training to be effective, it has to be customized for different levels, and cover social engineering as well as the latest cultural and social issues. Also, the training programs must be continually measured and tested for effectiveness, and cyber attack simulation exercises should be conducted to check how much more aware the trainees are of security threats. In this paper, we have analyzed the targeted attacks that are based on the cultural characteristics of Korea's IT environment, and presented the changes that are required of security organizations and Security Awareness Training to effectively control these modern attacks.

1. Motives behind malware creation changing

Advancement of network and information technology has made the Internet an important part of our daily lives. Information technology is now allowing people to carry out many activities like online shopping and banking, which were only available offline in the past, without the constraint of time and space.

Although the development of IT played such a positive role in the advancement of mankind, it also brought upon negative aspects like Internet threats, such as malware.

The infection and propagation of malware have diversified with time based on new technologies. In fact, the latest malware are designed not only to exploit software or system vulnerabilities, but also to manipulate people with social engineering techniques to infect many computers in a short period of time.

This change in the creation and propagation of malware greatly contributed to increasing the number of malware. This trend is also found in Korea - Ahnlab reported a 62% increase in the number of malware infection from July 2009 to August 2011 as shown in the chart below. Another reason malware is increasing in number is the changing motive for malware creation.

Fig. 1. Malware infection (July 2009-August 2011)                    Source: AhnLab, Inc.

In the past, hackers normally created and distributed malware to show off their technical skills - their goal was to infect as many computers as possible to make headlines and gain public attention.

This has now changed. Cyber attackers are now more focused on fraud and monetary gain via online banking, online shopping, online gaming and other transactions involving money.

In Korea, the popularity of MMORPG (Massive Multiplayer Online Role Playing Game) has instigated offline trading of game items that are only used in online games. This new IT culture of buying virtual assets has led to the creation of malware that steals online game accounts and passwords to rob player of their virtual assets obtained in the games.

And now, attackers not only create such malware, but also hack websites to steal mass personal information to create online game accounts. The multiplying online game related malware and stealing of personal information can be considered a unique regional malware propagation method and security incident of Korea.

2. Targeted attacks and Advanced Persistent Threats (APTs) on the rise

Changes in the motive behind malware creation have led to the creation of malware customized to accomplish the various goals of malware creators or groups - from profit making to making political statements. The characteristics of malware are also changing. Malware is now tailor-made to launch targeted attack on specific targets, using social engineering techniques. And, targeted attack is also gradually taking the form of Advanced Persistent Threat (APT), which refers broadly to a stealthy and quite often long-term attack. The corporate security incidents in Korea in 2011 show the series of changes in the motive of creating malware and its distribution method.

In particular, the social engineering techniques used in targeted attacks and APTs are also changing. Cyber attacks used in the past targeted unspecified people and mostly involved issues related to public figures or celebrity gossips to grab the attention of people. But now, the social engineering techniques used in targeted attacks and APTs gather sufficient information on targeted companies or organizations first, and then launch the attack based on the geographical characteristics or unique IT culture of the targets.

3. Social engineering techniques of targeted attacks based on Korean IT culture

Owing to the high-speed network in Korea, the Korean IT culture has rapidly grown to allow people to carry out many online activities that were only available offline in the past. For example, people can now easily get or print various data on government policies that used to be published offline only. The advanced national IT infrastructure also contributed to diversifying the IT culture.

Fig. 2. Spam message forged to appear as sent by Korean National Police Agency

In Korea, there was even a spam campaign forged to appear as sent by the Korean National Police Agency targeting Korea people. This "Daegu National Police Agency- Cyber Crime Center (Witness Summons)" themed spam with malicious links lures victims into click the link to download the form to register as a witness. This is a case of social engineering attack planned based on the fact that email is an important part of most government agency operations in Korea and that virtually all of them have websites.

 Fig. 3. Email disguised as credit card statement

Figure 3 shows a malicious email which attempts to infect systems by disguising as a credit card statement. In Korea, most banks allow customers to check credit card statements on the bank's website, and send the statements via email every month. This case of distributing fake credit card statement is a social engineering technique that exploits the Korean IT culture.

And, all the banks providing online banking service use ActiveX that customers must download to use the service. This is also the case in most Korean websites. It requires users to download ActiveX, so most Koreans will generally install the control when required without suspecting anything.

Fig. 4. ActiveX malware disguised as security program

The attacker took advantage of this Korean IT culture to send spam disguised as an email containing credit card statement that directs victims to a fake bank website when clicked, to download a malicious keyboard protection ActiveX.

4. Korean targeted attacks and APTs, and insufficient Security Awareness Training

If we take a look at the security incidents that occurred in Korean companies in 2011, the attack technique is different to that of traditional targeted attacks and APTs - it is based on the Korean IT culture.

As an example, there was an incident where 35 million personal information were stolen from a Korean social network service. When compared to targeted attacks and APTs, the only thing that is similar is that confidential information was stolen. But, the process is quite different.

The attackers hacked the update server for a free software only used by Koreans and temporarily modified the update files to be malicious. This technique infected the system of most of the software users. They then closely observed the activities of infected systems to carefully select corporate executives and staffs to observe further. When they discovered a system used by a corporate database administrator, they used the authentication information and network information of the system to access the database to steal internal information.

This series of attacks started from the attackers understanding the Korean IT culture that free software distributes update files via a separate update server, so the software users were targeted. After distributing the malware, the attackers observed corporate executives and staffs who were victimized for some time to retrieve internal IT information to steal personal information - the attack technique changed to use APT that steals internal information.

This incident started off as a targeted attack based on the Korean IT culture and changed to use APT that steals private information. There may be several reasons the attack technique succeeded, but the two main reasons are as below.

There exists a security policy that prevents corporate executives and staffs from using free software, but they still used it and had their systems infected. This is because they did not properly understand and observe the policy. This shows that the current Security Awareness Training is not effective in preventing security threats.

The most important system of a company, the database system, was infected. This is a very serious problem. Database administrators who manage systems on which important data are stored must be specially trained to observe a different security policy from other executives and staffs.

This attack shows that the existing Security Awareness Training programs conducted in companies are not effective in preventing security threats.

5. Security Awareness Training to effectively respond to targeted attacks

Many companies and government institutions are conducting Security Awareness Training and emphasizing the importance of information and IT security through various campaigns to prevent security threats. But, there exists four problems.

1) Training programs are restricted to a number of people only. They tend to be provided only to organizational users, rather than personal users.

2) Training programs are not able to catch up with the rapidly evolving Internet threats. Internet threats spread fast, but training programs are slow to incorporate the threats.

3) Training programs are standardized. The levels, and social and professional roles of trainees are different, but most training programs are not customized for different levels.

4) Training programs are not evaluated for effectiveness. There must be a procedure to evaluate training programs to check whether it is effective in raising security awareness. Most training programs are not evaluated at the moment.

The following requirements must be met to correct the flaws above.

Security Awareness Training opportunity must be provided equally to everyone.

A single vulnerability in Information Security determines the overall security level. Even if various measures are all set to prevent security threats in terms of technology and policy, one small vulnerability could make the entire system vulnerable. This also applies to human beings, so security awareness needs to be raised in every single person to effectively respond to various security threats. With this, the opportunity of Security Awareness Training must be provided equally to everyone.

Security Awareness Training must be provided constantly according to situations.

Security Awareness Training is currently being conducted regularly every year or quarter. But, in order to response to the rapidly evolving and diversifying attacks, yearly or quarterly training is just not enough. Not being able to respond to new threats will cause serious problems.

"Constant" training based on information on new threats is the only way to respond to new attacks. So, when planning Security Awareness Training, "constant" training should be considered.

Security Awareness Training must be customized according to social and professional roles.

Targeted attacks gather information on the targets first to choose the most appropriate technique. However, the current Security Awareness Training is not being conducted this way. All the trainees will have different social and professional roles. For instance, the people at the information desk will mostly deal with personal information of visitors, and the executives of a company will deal with information on corporate strategies and management. As the information managed by each person is different, the security policy that applies must also be different. Customizing Security Awareness Training according to social and professional roles will make the training more effective.

Security Awareness Training must be evaluated for effectiveness.

Various methods are usually used to evaluate whether a curriculum is effective. From the evaluation, educators learn about the areas they should improve on, and the learners get to know how much they have learned. This evaluation method must be applied to Security Awareness Training as well.

Penetration Test could be used as the evaluation method. In the case of social engineering threats, the success rate depends on the target's situation or emotional state. So, the typical evaluation method cannot be used. In order to evaluate the effectiveness of Security Awareness Training on social engineering techniques, Penetration Test must be conducted on the trainees - they must be sent email used in actual social engineering attacks to check how they respond. Also, techniques similar to actual voice phishing should also be used to see how the trainees respond.

6. SOC(Security Operations Center) based Security Awareness Training

The growth in security threats caused by changing motives behind malware creation is calling for change in the role of SOC that used to focus on technical security.

The technical security in targeted attacks using social engineering based on the Korean IT culture and APT attacks based on the regional IT culture is very restricted, so Security Awareness Training is required. But, it must change too - SOC must play the leading role in changing Security Awareness Training programs according to evolving threats.

SOC must conduct in-depth research not only on the technical aspect of the rapidly evolving IT technology and culture, but also the human aspect. They must use the result to predict how security threats will develop according to new IT technology and culture, and provide the actions to take. The actions must be included in the Security Awareness Training programs to prevent security threats that are highly expected to be launched.

SOCs in different regions must share the information and response against actual security threats that occurred in their region, to predict threats in advance. The information researched and shared must be included in the training programs, and SOCs must also share the testing method that they found effective in evaluating the training programs.

7. Summary

We have discussed how and why Security Awareness Training must change based on changes in the motives behind malware creation and attack techniques in different IT cultures. In fact, Security Awareness Training will not be able to prevent every security threat, and technical methods may also be more effective in blocking DDoS (Distributed Denial of Service) or malware with logical infection path.

However, the recent targeted attacks and APT attacks were not easy to block using technical approach. In particular, attacks using social engineering based on regional IT culture can only be effectively prevented or responded to with Security Awareness Training that includes the latest cases of threats.

Biographies

Hojin Park worked as a programmer and antivirus researcher since 1999, and now is a digital forensics analyst. He is currently the Head of A-FIRST (AhnLab Forensic and Incident Response Service Team), where his primary duty involves incident response and analyzing digital evidence.

Youngjun Chang has more than 9 years of experience in antivirus and Internet threats. Chang is a Senior Advanced Threat Researcher at ASEC (AhnLab Security Emergency response Center). He spends most of his time researching new Internet threats and writing Information Security articles for newspapers and magazines. He also gives lectures on Internet threats and malware to students and IT engineers.

References

[1] Dissection of 'APT', a Cyber Targeted Attack, Symantec, 2011

[2] Introduction and Education of Information Security Policies to Employees in My Organization, SANS, 2001

[3] Towards Changes in Information Security Education, 2006

[4] Simulation Approaches in Information Security Education

[5] McAfee Data Loss Prevention

영화인들의 도시에서 진행된 11번째 ISOI 컨퍼런스

2012년 11월 중국 항주에서 열린 AVAR(Association of anti Virus Asia Researchers) 컨퍼런스 이후에 2달만인 1월 6일 다시 해외 출장을 가게 되었습니다. 이 번 출장은 미국 캘리포니이아에 위치한 영화인들의 도시인 L.A에서 진행되는 11번째의 ISOI(Internet Security Operation and Intelligence) 컨퍼런스에 참석하기 위해서 였습니다.

지난 번 AVAR 컨퍼런스 출장은 비교적 편안한 마음으로 다른 업체에 근무하는 연구원들을 만나고, 보안 업계가 전체적으로 돌아가는 분위기를 익히기 위한 것이었습니다. 그러나, 이번 ISOI 컨퍼런스에서는 저와 팀 후배가 같이 작성한 "CYBERCRIMES AGAINST THE KOREAN ONLINE BANKING SYSTEM"라는 주제로 발표가 있기 때문에 약간의 긴장감을 가지고 있었습니다. 해외 컨퍼런스에서 진행되는 발표가 이번이 처음은 아닙니다만, 항상 할 때마다 생기는 그 미묘한 긴장감과 떨림은 잊을 수가 없을 것 같습니다.

컨퍼런스는 1월 10일과 11일 이틀간 입니다만, 시간차가 많이 나는 곳이라 시차적응과 관광을 겸해 1월 6일 도착하여 1월 14일 한국으로 출발 하였습니다. 도착 당일은 비가 조금 왔지만, 그 이후부터는 계속 맑은 날씨가 계속 되었습니다. 하지만, 영하로 내려가지는 않지만 쌀쌀한 날씨가 계속 지속되었습니다.

7일부터 9일 오전까지 L.A 이곳 저곳 다녀보았습니다. 하지만, 컨퍼런스가 워너블라더스 사무실에서 진행되는 관계로 컨퍼런스 지정 호텔은 L.A 외곽에 있는 Burbank라는 소도시에 위치해 있었습니다.

그래서 L.A 중심가로 갈 때마다 Metrolink라는 통근용 열차를 타고 다녔습니다. 우리나라에서는 보기 어려운 2층으로 이루어진 열차더군요.

Metrolink 통근 열차를 타고 내리게 되면 제일 먼저 도착하는 곳은 L.A 중심가에 있는 유니온스테이션(Union Station) 입니다. 외부는 마치 오래된 교회를 연상케하는 작고 아담하게 생긴 역이었습니다.

아마도 L.A 만큼 아시아 민족이 많이 몰려 있는 곳도 드문 것 같습니다. 차이나타운, 져패니즈 타운 그리고 코리아 타운까지 각 민족들마다 L.A의 한 부분을 차지하고 있더군요. 그런 구역이 존재하는 만큼 음식이나 언어 역시 영어보다는 중국어, 일본어와 한국어들이 더 많이 들리는 모습이 자연스럽더군요.

그래서 원래 해외 출장지에서는 현지 음식들 위주로 먹는 습관이 있지만, 이 번에는 코리아타운 방문 기념으로 중심가에 있는 한국인 백화점에서 육개장을 한 그릇 했습니다.

영화인들의 도시로 유명한 만큼 헐리우드를 가보지 않을 수가 없었습니다. 하나의 거리가 모두 영화와 관련된 큰 거리를 헐리우드라고 이야기 하더군요. 그래서 길거리 구석 구석에는 영화와 관련된 포스터, 기념품들을 팔고 있더군요.

아마 저와 비슷한 또래의 분들은 한국에서도 방영되었던 미국 드라마 비버리힐즈의 아이들이라는 드라마를 기억하실겁니다. 저 역시 그 드마라에 대한 기억이 있었던 만큼 비버리 힐즈가 어떠한 곳인지 궁금해서 가보았습니다.

비버리힐즈에는 대부분이 럭셔리 고급 명품 매장들만이 길거리에 나열해 있었고, 실제로 유명인들이 사는 비버리힐즈 주택가는 안쪽으로 한참을 더 들어가야 되더군요.

이와 반대로 우크라 대학으로도 불리는 UCLA 대학은 비버리힐즈와는 반대로 젊은 대학가 분위기가 물씬 났습니다. 대학에서 이 곳 저 곳을 둘러보다 보니 한국어와 영어가 생각외로 많이 들리고, 아시아 인들도 제법 많이 보이더군요.

개인적으로 바닷가를 가본적이 올해되어서 이번 L.A 출장 때에는 산타 모니카 해변을 꼭 가보고 싶었습니다. 다행스럽게도 이번에는 산타 모니카 해변을 갈 수 있었던 기회가 있었습니다.



특이하게도 산타 모니카에는 배가 정박할 수 있는 항구를 개조하여 놀이동산과 기념품 가게들을 운영하고 있더군요.

또 빼놓을 수 없는 명소가 올 시즌부터 류현진 선수가 뛰게 될 L.A 다저스 스타디움이었습니다. 다저스 스타디움이 당시 내부 공사중이라 스타디움 전체를 둘러보지는 못 했습니다만, 기념품 가게에서 티셔츠를 한장 기념으로 샀었습니다. 티셔츠를 사면서 점원에게 류현진 선수에 대해 물어보니 Babyface의 한국인 투수가 뛴다는 것을 안다고 하더군요.

이렇게 저렇게 L.A 대도시를 둘러보고, 컨퍼런스에서 발표도 무사히 마치게 되었습니다. 항상 영어가 그리 유창하지 못해 발표 시에 질문이 많이 나오게 되면 살짝 당황을 하는 경향이 있습니다.

올해는 작년 보다 더 많은 질문들이 나왔습니다. 아마도 한국과 미국 및 유럽 지역의 온라인 뱅킹 시스템이 다르고 그에 따른 보안 위협들도 다르기 때문에 큰 관심이 있지 않았나 싶습니다.

다음에 또 가게 될 기회가 있다면, 유니버셜 스튜디오와 디즈니랜드를 한번 가보고 싶습니다. 아마 그 때는 쌍둥이들을 모두 데리고 가는 가족 여행이 되지 않을까 싶습니다.

올해 보안 화두는 ‘고도화된 타깃 공격 실시간 대응'

이 글 "올해 보안 화두는 ‘고도화된 타깃 공격 실시간 대응'"은 12월에 분석1팀 내부에서 의견을 모아서 2013년 발생할 가능성이 높은 보안 위협들을 정리한 내용입니다. 세일즈마케팅팀에 전달 한 원고의 원제목은 "2013년 예상 7대 보안 위협"인데, 편집 담당자분께서 제목과 내용의 표현들을 조금 정리하셨습니다.

보안 위협들에 대한 선정은 2012년 데이터들을 바탕으로 향후를 예측한 것입니다만, 외부 강연에서도 항상 말씀드리지만 100% 모두 적중하기는 어렵다는 것입니다. 그리고 선정한 보안 위협들 전부를 적중하는 업체도 사실 없습니다.

다만 과거와 현재를 바탕으로 미래를 조망한 자료이니, 편한 마음으로 이러한 보안 위협이 발생할 가능성이 높다라고 이해하시면 좋을 것 같습니다.

+-----------------------

키워드를 통해 본 2013년 보안 위협 전망

올해 보안 키워드를 한마디로 압축하면 ‘고도화된 타깃 공격 실시간 대응’이 될 듯하다. 최근 공격자들은 광범위한 지역을 상대로 악성코드를 유포하기보단, 특정 지역을 대상으로 악성코드를 제작·유포하는 경향을 보이고 있다. 즉, 국지화·고도화하고 있는 셈이다.
하루가 다르게 발전하고 있는 공격들로 어제 안전했던 프로그램이 오늘은 위협 대상으로 떠오르는, 한치 앞을 내다보기 힘든 상황이 연출되고 있다. 보안업계가 진화를 거듭하며 즉각적인 대응을 펼쳐나가야 하는 이유다.

이에 안랩 시큐리티대응센터(ASEC)는 지난해 보안 위협 사례를 토대로 2013년 7대 보안 위협 전망을 내놓았다. 이를 통해 보안 이슈를 사전 점검하고 대응 방안을 모색하는 기회를 갖고자 한다.

APT 여전히 기승…업데이트 서버 해킹 등 공격 정밀화

2011년부터 보안 업계 화두로 떠오른 APT(Advanced Persistent Threat) 공격은 2013년에도 여전히 기승을 부릴 것으로 전망된다. 다만 그 형태는 더 진화할 것으로 보인다.

APT, 즉 고도화된 지능형 타깃 공격은 그동안 사람들의 심리를 파고드는 사회공학적 공격기법을 주로 이용했다. 사람들의 호기심을 자극하는 소재로 작성된 각종 문서파일을, 이메일을 통해 유포시켜 목적을 달성하는 공격 형태다. 이 과정에서 공격자들은 문서파일의 알려진 취약점이나 알려지지 않은 취약점인 제로데이(Zero-Day) 취약점을 악용해 악성코드 등을 유포하곤 했다.

하지만 올해 APT 공격 기법은 더 고도화되는 경향을 보일 것이라는 게 전문가들의 대체적인 의견이다. 실제로 지난해 말 웹 및 일반 응용 프로그램의 업데이트 서버를 해킹, 악성코드를 유포한 방식은 APT 공격 방식의 변화를 예고하기에 충분했다. 일반적으로 프로그램 업데이트는 프로그램의 버전업과 안정화, 보안 취약점 제거를 위해 이뤄지는 것으로 알려져 있다. 때문에 업데이트 서버 공격은 세간의 인식을 뒤집은, 고도로 지능화된 공격기법으로 받아들여졌다.

이 같은 배경 탓에 올해 APT 공격은 전년과 마찬가지로 주요 위협으로 등장하겠지만, 방식 면에서 다변화되는 경향을 보일 것이라는 예측이 나온다. 문서파일의 취약점을 악용하는 공격보다는 응용 프로그램의 업데이트 서버를 공격하는 사례 등이 증대될 가능성이 크다는 얘기다. 더구나 응용 프로그램은 그 종류와 버전이 다양해, 숨어있는 보안 홀을 정밀 타격할 수 있다는 측면에서 공격자들의 좋은 표적이 될 수 있다.

지역적 특성 이용한 모바일 악성코드 증가

스마트폰 사용자들이 기하급수적으로 늘어남에 따라, 모바일에 대한 보안 위협은 지난해에 이어 올해에도 주요 위협 대상의 하나로 대두될 전망이다.

모바일 보안 위협은 그동안 유럽과 중국 등 해외를 중심으로 발생했다. 하지만 이제부터는 지역적 특성을 타깃으로 한 위협이 증대될 것으로 보여 긴장이 고조되고 있다.

예를 들어 최근 국내 스마트폰 이용자들이 급격히 늘어나면서 모바일 뱅킹과 같은 금융거래가 크게 증가하는 추세다. 이 때문에 해외에서 주로 발견됐던 개인정보 탈취를 노린 모바일 악성코드가 국내에서도 곧 발견될 것이라는 전망이 제기되고 있다.

지난해 국내에 처음 등장한 휴대전화 소액결제를 악용해 금전 탈취를 꾀한 모바일 악성코드 역시 올해 변형된 형태가 나타날 것으로 예상된다.

이와 별개로, 개인 모바일 기기를 업무 현장에서도 활용하는 BYOD(Bring Your Own Device)가 늘어나면서 기업 내부 정보가 외부로 유출되는 피해가 발생할 수 있다. 또한 스마트폰에 설치된 앱을 교묘히 조작해 스마트폰을 봇넷(Botnet)화 하는, 즉 공격자가 자유자재로 제어할 수 있는 기기나 네트워크로 변화시키는 위협들도 등장할 가능성이 점쳐진다.

특정 지역서 사용빈도 높은 취약점 악용 늘어날 것

각종 프로그램의 취약점을 악용한 공격은 2013년에도 지속될 예정이다.

마이크로소프트 오피스나 어도비 리더와 같이 세계적으로 사용 빈도가 높은 '문서 프로그램'들에 대한 취약점 악용 공격이 여전할 것으로 예상된다. 이들 문서 프로그램은 앞서 설명한 APT 공격과 같이 주로 타깃 공격에 활용될 가능성이 높다.

이와 함께 올해는 특정 지역이나 언어권에서 주로 사용하는 프로그램이나 문서파일, 동영상 등에 존재하는 취약점을 악용한 공격도 한층 증대될 것으로 보인다. 최근 공격자들이 목표를 세밀하게 정조준한 뒤 그에 맞는 프로그램을 찾아 '맞춤형' 공격을 감행하고 있기 때문이다.

세계적으로 사용량이 많은 '일반 프로그램'의 취약점을 악용한 공격도 두드러질 전망이다. 예를 들어 윈도우나 맥 운영체제에서 쓰이는 '자바(Java)' 프로그램에 존재하는 취약점을 악용한 악성코드 유포의 경우 다른 프로그램의 취약점 악용 공격보다 늘어날 것으로 전망된다.

클라우드 서비스 공격, 기업·개인에 다양한 피해 입힐 듯

2013년에는 클라우드 서비스에 대한 보안 위협도 증가할 것으로 예상된다.

클라우드 서비스는 영화나 사진, 문서 등의 파일을 별도의 서버에 저장해두고 필요할 때마다 다운로드해 사용하는 것으로써 시간과 공간의 제약에서 자유롭고 자원을 효율적으로 사용할 수 있다는 이점을 지니고 있다.

이 같은 이점으로 인해 기업들은 클라우드 서비스를 업무에 도입하는 방안을 적극 고려하고 있다. 일명 '스마트 오피스(Smart Office)' 환경 구축이다. 기업뿐만 아니라, 개인들도 자유롭게 데이터를 주고받기 위해 개인용 스마트폰과 업무용 PC를 연계하는 데에 클라우드 서비스를 이용하고 있어 클라우드 서비스 시장은 앞으로 크게 증가할 것으로 보인다.

이런 추세에 힘입어 클라우드 서비스에 대한 보안 위협이 올해 증대될 것이라는 게 전문가들의 예상이다. 예컨대 공격자들이 기업이 이용하는 클라우드 서비스 시스템 자체를 공격, 서비스 중단 등을 주장하며 금품을 요구하는 공격이 일어날 수 있다는 것이다.

일반 사용자들도 클라우드 서비스에 다양한 개인정보 관련 자료를 업데이트 하는 과정에서 개인정보 유출 등의 사생활 침해 문제가 발생할 수 있을 것으로 보인다.

핵티비즘 등 해킹, 실질적 피해 유발로 무게 중심 이동

2013년 해킹 공격은 기존보다 더 강력하고 피해가 큰 형태로 진화할 가능성이 높다.

최근까지 해킹은 자신의 의사 표현을 위한 공격 형태가 많은 편이었다. 해커가 자신의 정치적 의사 표시를 위해 특정 홈페이지를 공격해 변조시키거나, 디도스(DDoS, 분산서비스거부) 공격을 통해 특정 사이트를 무력화 하는 방식 등이 그것이다.

이와 더불어 중요 정보를 폭로하는 이른바 '폭로전'도 핵티비즘의 한 형태로 나타난 바 있다.

하지만 올해부터는 이에 그치지 않고 훨씬 강력한 공격이 감행될 것이라는 분석이 제기되고 있다.

국가 혹은 특정 기관이 보유한 시스템이나 데이터에 물리적이고 논리적인 파괴를 가함으로써, 실질적인 피해를 유발하는 해킹이 기승을 부릴 것이라는 전망이다.

이 과정에서 스카다(SCADA) 등 국가기간시설을 운용하는 시스템을 파괴하는 사이버전이 증가할 가능성도 배제할 수 없다. 국가 간 벌어지는 사이버전의 경우 상대 국의 사회에 커다란 혼란을 야기하는 파괴력을 지닌다는 점에서 심각성이 있다.
또 특정 지역의 관습을 반영하거나 스마트 기기를 연계하는 방식의 해킹도 전년에 이어 올해도 지속될 것으로 예측된다

맥 악성코드 유포, 전년과 비슷…잠재적 위협도

맥 악성코드 유포는 지난 2012년과 비슷한 수준을 유지할 것으로 보인다. 이는 물론, 맥 운영체제가 현재(2012년 말 기준)와 비슷한 시장 점유율을 기록할 경우에서의 예상이다.

이 같은 전망이 나오는 까닭은 공격자들의 입장에서 볼 때, 맥 운영체제를 공격하는 게 윈도우 운영체제를 공격하는 것보다 비용 대비 효율이 떨어져서다.

세계적으로 윈도우 운영체제를 사용하는 PC 사용자가 더 많은 데다가 공격 방식도 다양하게 진화해왔기 때문이다.

하지만 안심하긴 이르다. 2012년에 발견된 플래시백(Flashback) 악성코드와 같이 맥 운영체제에 존재하는 취약점을 악용한 악성코드가 발견되면 언제든지 대규모 감염이 일어날 수 있다.

아울러 최근 들어 각 기업과 가정에서 윈도우 운영체제와 맥 운영체제를 동시에 설치, 사용하는 경우가 늘어나고 있어 이를 악용하는 크로스 플랫폼 악성코드가 증가할 가능성도 있다.

다양한 플랫폼에 대한 보안 위협 증가

새로운 플랫폼이 등장하면 이에 맞는 새로운 보안 위협이 등장하게 마련이다.

2012년 말 출시된 윈도우8과 윈도우폰8로 인해 벌써부터 이에 맞는 공격 기법들이 소개되고 있다. 이들 플랫폼에 적용된 보안 기술을 우회하는 공격 기법들이 언더그라운드에서 회자되고 있는 것이다.

연구 목적의 화이트해커는 물론, 실제 공격을 준비하는 블랙해커들에게도 새로운 플랫폼의 등장은 좋은 타깃이 아닐 수 없다.

이 때문인지 올해는 새 플랫폼을 겨냥한 새로운 공격이 나타날 것이라는 전망이 우세하다.

또 임베디드 소프트웨어가 탑재된 다양한 기기에 대한 보안 위협 연구도 증대될 것으로 보인다. 대중적으로 인기를 끌고 있는 플랫폼인 윈도우나 맥, 안드로이드에 대한 보안 위협 연구가 증가할 것으로 보이는데, 그 이유는 이들이 가장 많은 양의 개인정보를 보유하고 있기 때문이다.