딜라이트닷넷

보안

하우리가 뽑은 ‘올해의 악성코드 10선(選)’

이유지의 안전한 네트워크 세상 09.12.23 10:42

2009년을 마감해야 할 시점이 점점 눈앞에 다가오고 있다보니, 최근 보안업계에도 올 한 해 이슈화된 보안위협이나 굵직한 사건을 뒤돌아보는 자료가 풍년을 이루고 있습니다. 백신업체인 하우리도 오늘 비슷한 자료를 발표했는데요, 제목은 ‘2009년 악성코드 동향으로 살펴보는 유형별 특징’입니다. 올해 내내 수많은 컴퓨터 사용자들을 가장 괴롭혔던 10개의 악성코드를 뽑은 자료인데요, 보안 팁(TiP)까지 제시하고 있어 유용할 것으로 생각됩니다. 종류가 많아 헷갈릴 수 있는 악성코드 유형과 특징, 하우리가 붙이는 악성코드 명명법도 덤으로 제공했습니다. 이 기회에 말썽을 일으키고 때론 큰 피해를 주는 악성코드에 대한 이해를 높여보시는 것도 좋겠다는 생각에 올려봤습니다. 2009년은 Conficker, Waledac, IRCBot, NateOn, DDoS-Agent, Joker, Clampi, Delf, Zbot, SecurityTool 등 다양한 악성코드 및 지속적인 변종바이러스의 출현으로 인해 PC사용자들이 백신 소프트웨어의 필요성을 몸소 체감할 수 있었던 한 해로 기억된다. 한 해 동안 발생한 대표적인 악성코드를 재확인하며, 2010년 보다 안전한 PC생활을 다같이 기대해 보길 바란다. [Worm.Win32.Conficker.169360] 2008년 10월부터 발견되기 시작, 2009년에 많은 콘피커 변종 악성코드들이 제작돼 윈도 시스템에 많은 피해를 입혔다. 이 웜은 윈도 MS08-067 보안취약점, 이동식 저장 매체(USB) 및 취약한 암호를 가진 공유폴더를 통해서 전파된다. 악성코드는 감염PC의 IP 정보를 서버에 저장하고, 특정 웹 페이지에 접속을 시도한다. 감염시스템의 보안을 취약하게 하기 위해 DNS 관련 API를 후킹해, 마이크로소프트(MS)와 안티바이러스 업체 사이트의 특정 문자열이 들어간 웹사이트에 접근하지 못하게 한다. <보안Tip> 전세계적으로 대부분의 PC사용자들은 MS 운영체제를 사용하고 있다. 많은 사용자를 확보하고 있는 만큼, 이를 노리는 악성코드 제작자는 끊임없이 생겨나고 있다. 이를 대비하기 위해서는 수시로 MS 보안패치를 적용해 악성코드에 감염되지 않도록 주의해야 한다. [I-Worm.Win32.Waledac.411136] 2월 14일 발견되기 시작했으며, ‘발렌타인데이 웜’이라고도 불린다. 이메일을 통해 전파되며, 감염시스템에서 스팸 메일을 대량으로 발송하여 트래픽 과부하를 일으키기도 한다. “You have a A Valentine's Day Greeting!”이라는 메일 제목을 사용하며, 메일 내용의 해당 주소를 클릭하면 이미지와 함께 click here를 유도한다. 변종 ‘Waledac’ 웜의 경우 발렌타인데이, 오바마 대통령 등 사회적 이슈를 이용해서 메일 수신자의 클릭을 유도하여 악성코드를 설치한다. <보안Tip> 특정일의 이슈를 이용한 바이러스는 해마다 증가하고 있으며, 해를 거듭할수록 이미지나 링크를 이용한 위장메일 또한 진화를 거듭하고 있다. 그러므로 특정일을 기념하는 제목으로 수신된 메일 중, 신뢰하지 않는 메일은 바로 삭제하도록 한다. [Backdoor.Win32.IRCBot.15872.I] 2월 11일 발견되기 시작했으며, 시스템 날짜를 2090년으로 바꾸는 ‘2090 바이러스’ 알려진 악성코드의 변종으로 감염 시스템의 날짜를 2070년 1월 1일 오전 10시로 변경해서 2070 바이러스로 불리기도 한다. 윈도 MS08-067 취약점, 네트워크 공유폴더 및 이동식 저장매체(USB)를 통해 전파된다. 특정 IRC 채널에 접속을 시도하며, 트로이 목마를 다운로드 받기도 한다. 시스템 날짜의 변경으로 인해 감염시스템에서 서비스에 문제가 발생하기도 한다. <보안Tip> 개인PC의 보안이 아무리 뛰어나도 공유폴더나 이동식 저장매체를 사용하는 경우에는 보안의 경계가 약해지기 때문에 백신 소프트웨어 설치 및 최신 업데이트를 통해 이를 예방해야 한다. 오토런(AutoRun) 바이러스 감염 예방을 위해 이동식 저장매체는 자동실행 설정을 해제한 후 사용할 것을 권장한다. [Spyware.NateOn.Dr] 과거 2001년부터 유행하던 MSN 바이러스와 비슷한 형태의 악성코드로, 국내에서 많이 사용되는 네이트온(Nateon) 메신저를 통해 전파된다. 2009년 한 해 동안 꾸준히 변종이 보고됐다. 변종에 따라 여러 종류의 사진을 보여주며, 유명 온라인 게임의 계정정보를 훔쳐내며 다른 악성코드를 감염시킨다. <보안Tip> 메신저는 24시간 대화가 가능하며, 파일을 주고받는 데도 용이하다. 편리한 만큼 악성코드에 의한 침해사고도 쉽게 이뤄지므로, 백신 소프트웨어의 실시간감시기를 켜두어 악성코드의 감염으로부터 PC를 보호하는 것이 현명하다. [Trojan.Win32.DDoS-Agent.Gen] 7월 7일 공격이 시작됐으며 ‘7.7 DDoS’ 대란이라고 불릴 정도로 국가 공공기관, 금융권과 주요 포털사이트 등이 DDoS 공격에 의해 접속 지연 또는 서비스 중지 사태를 유발했다. DDoS 공격에 대응하기 위해 모든 사용자들을 위해 전용백신을 무료로 배포하던 안티바이러스 업체의 홈페이지도 공격당할 정도로 사회적으로 문제가 되었던 악성코드이다. <보안Tip> 사이버공격으로부터 보호받기 위해서는 공격을 감지할 수 있어야 한다. 최소한의 대응을 위해서는 1PC 1백신을 설치하고 최신 엔진 업데이트를 유지해야 한다. [X97M.Joker] 5월부터 발견되기 시작해, 매크로 바이러스의 특성상 변형하기가 쉬워 계속해서 변종이 발생하고 있다. 엑셀 파일을 실행할 때마다, 다른 엑셀 문서를 감염시킨다. 초기 악성코드는 오후 4시 44분 44초가 되면 특정 파일을 삭제한 것처럼 메시지를 보여준 후 “뻥임” 이라는 메시지 창을 보여주지만 변종에 따라서 증상이 다르게 나타나기도 한다. <보안Tip> 매크로 바이러스에 감염되면, 감염된 문서를 사용하는 동안 열려있는 중요한 문서들이 영향을 받는다. 따라, 중요한 문서는 별도로 보관해 두고 저장하기 전에 반드시 백신 소프트웨어로 감염여부를 확인할 후 저장하는 습관을 가지도록 한다. [Trojan.Win32.Clampi.513024] 주로 소셜 네트워크 사이트나 메신저를 통해서 전파된다. 국내는 9월 21일에 발견됐으며, 주로 영어 사용국의 은행이 표적이 됐다. 사용자가 금융사이트에 접속해서 인터넷 뱅킹 시도 시 로그인 정보를 가로채가는 악성코드다. 클램피 악성코드로 인해 아이디나 패스워드 등 개인정보가 노출되어 많은 금융거래 범죄에 이용됐다. <보안Tip> 금융거래는 인터넷 메신저나 모바일, 전화 등의 간접매체를 통해서 요청하는 경우, 신뢰할 수 없는 경우가 많으니 주의하도록 하자. [Trojan.Win32.Delf.15872.O] 델프(Delf) 악성코드는 어도비 취약점을 이용해서 악성 PDF 파일을 생성한 후 이를 통해 전파되는 바이러스로, 다오놀(Daonol)로 불리기도 한다. 국내에서는 10월 14일에 발견되어, 계속해서 변종 바이러스가 발생하고 있다. 어도비 취약점을 이용해 전파되므로, 관련 제품의 최신 업데이트에 주의를 기해야 한다. 감염 후 재부팅 시 검은 화면에 마우스만 나타나며, 정상적으로 부팅이 이루어지지 않는 부팅 장애를 일으킨다. <보안Tip> 주로 사용하는 프로그램 목록을 확인하고, 불필요한 프로그램은 제어판의 ‘프로그램추가/제거’를 통해 프로그램을 제거한다. 설치된 프로그램은 취약점을 보완할 수 있는 최신 업데이트 목록을 다운로드 받아 적용한 후 사용하도록 한다. [Spyware.Zbot] 스파이웨어 Zbot의 변종 중 가장 이슈가 된, ‘Trojan.Win32.Scar’은 신종플루 관련 스팸메일 또는 해킹 당한 사이트를 통해 감염시킨다. 아크로뱃 리더의 파일 포맷인 PDF의 취약점을 이용하며, 다른 악성코드를 다운로드하여 추가 감염시킨다. <보안Tip> 사회적 이슈는 악성코드 제작자의 좋은 표적이 되기 때문에, 이와 관련된 메일이나 사이트에 접속할 경우에는 각별히 주의해야 한다. [Adware.SecurityTool.R] 허위 안티스파이웨어(Rogue), 즉 허위백신으로 Win32.Mndis.A 등에 의해 윈도 시스템의 주요 파일을 패치 한 뒤 허위 안티스파이웨어 제품을 감염시키고 사용자에게 요금 결재를 유도한다. 변종에 따라 바탕화면의 아이콘을 보이지 않게 하거나, 블루스크린과 유사한 화면을 보여주고 강제로 재부팅 시킨다. <보안Tip> 허위백신의 진단결과는 신뢰하지 않도록 주의한다. 허위백신의 경우에는 허위 감염정보를 보여주고 사용자의 결재를 유도하는 것이 주된 특징이다. 네트워크 환경에 있는 PC사용자가 인터넷 사용 시 조금만 주의하면, 안전한 PC환경을 만들 수 있다. 그러나 대부분의 PC사용자들은 백신 소프트웨어를 설치해 놓을 뿐 최신 업데이트를 하지 않거나 MS 최신 보안패치를 받지 않는 등 사용자의 부주의로 악성코드에 감염되는 사례가 발생하곤 한다. 국내의 경우 무료백신 소프트웨어는 개인사용자에 국한된 것임을 인지하고, 기업에서는 기업용 백신을 설치해 기업의 중요한 파일이나 정보가 악성코드에 감염되지 않도록 백신 업데이트와 MS 최신 보안패치를 생활화하도록 하자. * 악성코드 분류 * 악성코드 명명법 댓글 쓰기

크리스마스 겨냥 악성 이메일 주의

이유지의 안전한 네트워크 세상 09.12.24 10:40

크리스마스를 겨냥한 악성코드가 올해에도 어김없이 나타났습니다. 에스지어드밴텍, 잉카인터넷 등 보안업체들은 23일부터 크리스마스 축하카드로 위장된 악성 이메일이 국내에서 발견됐다면서 사용자들의 각별한 주의를 당부하고 있습니다. 이 이메일에는 악성코드가 첨부돼 있으니, 클릭하지 마시고 수상한 이메일은 삭제해야 합니다. 오늘, 내일뿐만 아니라 연말연시 계속해서 이같은 악성 이메일, 악성코드가 발생할 수 있으므로 백신 업데이트와 실시간 감시 등 보안에 신경써야 할 것으로 보입니다. 다음은 잉카인터넷 시큐리티대응센터(ISARC)에서 분석한 악성코드 이메일 분석 내용입니다. 국내에 유입된 것이 확인된 이번 이메일은 다음과 같이 발신인 등이 정상적인 크리스마스 축하 카드처럼 교묘하게 위장되어 있으며, 악성코드가 첨부파일에 압축된 상태로 포함되어 존재한다. 보낸 사람 : e-cards@123greetings.com 메일 제목 : You have received a Christmas Greeting Card! 첨부 파일 : Christmas Card.zip (382,011 바이트) 이메일 본문에는 다양한 플래시 파일이 링크되어 보여질 수 있다. http://c.123g.us/flash/branded_loader.swf http://i.123g.us/c/edec_c_newjingle/card/113366.swf http://i.123g.us/c/edec_c_newjingle/card/113413.swf http://i.123g.us/c/edec_c_newjingle/card/105278.swf 이메일에 첨부되어 있는 압축파일(Christmas Card.zip) 내부에 Christmas Card.chm(공백) .exe 이름의 실행 파일이 포함되어 있다. 압축 해제 후 사용자가 보기에 .chm 확장자 이후 약 60여개의 공백을 포함하고 있어 실행파일(exe)이 아닌 것처럼 오인하도록 위장된 상태이다. 압축 내부에 포함된 악성코드 파일은 2009년 12월 23일 날짜로 등록된 것을 확인할 수 있으며, 아이콘은 크리스마스 트리 장식 모양을 하고 있다. 해당 파일이 실행되어 컴퓨터가 감염될 경우 시스템 폴더에 wmimngr.exe, wpmgr.exe 라는 이름의 2개의 파일이 생성된다. 실행된 악성코드는 SMTP 를 통해서 Mass Mailer 기능 등이 수행된다.   댓글 쓰기

스마트폰 '혁명'과 함께 주목되는 신생 보안업체

이유지의 안전한 네트워크 세상 10.01.05 15:30

최근 주목되는 신생 보안업체 두 곳이 있습니다. 쉬프트웍스와 NSHC라는 회사인데요, '아이폰'을 비롯한 스마트폰의 등장으로 IT산업에 큰 변화가 일어나고 있는 요즘, 두 업체에 부쩍 관심이 쏠리고 있습니다.  두 업체는 모두 해커 출신이 설립해 대표로 있습니다. 무척 젊은 대표들입니다.   무엇보다 아이폰, 안드로이드폰 같은 스마트폰용 보안 솔루션을 앞서 개발했다는 공통점이 있습니다. 쉬프트웍스(대표 홍민표)는 아직 국내 출시되지도 않은 안드로이드 전용 백신(브이가드)을 가장 먼저 개발했습니다. 전세계 이용자들이 다운로드 할 수 있도록 현재 구글 마켓에 등록 절차를 밟고 있다고 합니다.  안드로이드용 백신은 전세계적으로도 아직 몇 개 없는 것으로 알려져 있는데요, 제품 성능과 수준이 어느정도인지는 모르지만 개발된 것만큼은 세계에서 두세번째 손가락 안에 꼽힐 것으로 추측됩니다. 쉬프트웍스는 아이폰 전용 백신도 이미 개발해 테스트중이고, '애플 앱스토어'에 등록할 절차도 진행하고 있습니다. 이뿐만 아니라 다른 신규 모바일 보안 제품 개발을 계속 추진하고 있답니다. NSHC(대표 허영일) 역시 아이폰용 백신(악성코드/해킹 방지 프로그램) '산네'와 입력보안 제품(엔-필터)을 개발했습니다. 이중에서 '엔-필터'의 경우는 얼마전 보도자료를 통해 정식으로 출시를 발표했지요. 두 제품은 모두 전자금융거래(인터넷뱅킹) 서비스 제공시 금융기관들이 사용자들에게 의무적으로 내려받아도록 제공해야 하는 보안 솔루션들과 같은 역할을 합니다.  입력보안 프로그램은 이용자가 인터넷뱅킹에 접속하면 자동으로 내려받는 '키보드 보안' 제품과 같은 역할을, '산네'는 해킹방지프로그램과 같은 역할을 하지요. '엔필터'는 가상키패드를 이용해 스마트폰에서 입력하는 모든 개인정보, 금융정보 등을 암호화합니다. 이 아이폰용 입력보안 제품의 경우엔 전세계 최초로 개발되지 않았을까 하는 생각이 듭니다. 전자금융서비스에서 사용이 의무화된 탓에 국내 사용자들이 널리 쓰고 있는 키보드 보안 프로그램이 해외에는 거의 없는 것처럼 말이지요. 혹시 은행에서 제공하는 아이폰 뱅킹 서비스에 적용될 수 있을지 관심이 갑니다. 이같은 아이폰용 보안 제품, 안드로이드용 보안 제품은 시만텍도, 안철수연구소도 아직 공식적으로 제공하지 않고 있습니다. 신생 업체들인만큼 이미 거대화된 업체들보다 발빠르게 제품을 개발, 출시할 수 있었을 겁니다. 아마 조만간 모든 백신 업체, 다양한 보안 업체들이 이같은 스마트폰용 보안 제품을 출시할 것입니다. 특정 분야에서는 벤처가 대기업보다 더 빠르게 전문화된 제품을 선보일 수 있었던 것처럼 말이지요.  조금 시간이 지나면 다른 주류 보안업체들도 출시할테니 혹시 인지도나 신뢰성면에서 뒤질 수는 있습니다. 그런데 요즘 나타나는 변화의 물결을 보면 꼭 그렇지만도 않을 것 같다는 생각도 듭니다. 아이폰을 비롯한 스마트폰은 기존 세상에 변화를 일으키고 있습니다. 기존 틀에 박힌 생각대로만은 돌아가지는 않을 것 같습니다. 스마트폰과 '앱스토어' 같은 모바일 오픈마켓이 결합되면서, 휴대폰 사용자들의 이용행태와 소비방식을 크게 바꾸고 산업지형까지 뒤흔들고 있기 때문입니다. 그렇게 몰고 오는 변화는 '혁명'이라는 단어로까지 표현되고 있습니다. 그만큼 파장이 크다는 이야기일 것입니다. 산업에 미치는 변화는 (좀 과장하면) 이제 개인들도 이제 마음만 먹으면 누구나 오픈마켓에 자신이 개발한 모바일 콘텐츠와 애플리케이션을 올려 소위 '대박'을 칠 수도 있는 시대가 왔을 정도입니다. 이것이 IT산업에도 모처럼 활력이 되고 있는 것 같습니다. 휴대폰과 통신업계뿐 아니라 소프트웨어, 인터넷서비스 업체들은 이같은 변혁에 주목해 다양한 스마트폰용 모바일 서비스를 잇달아 내놓는 등 발빠른 대응에 나서고 있습니다. 한발 늦었다가는 자칫 향후 산업에서 도태될 수 있기 때문입니다. 그래서 소프트웨어, 포털업체들도 앞다퉈 각종 스마트폰용 서비스를 내놓고 있는 것일테지요. 그런 면에서 기존에 보안 시장에서 1, 2위 하던 업체들이 모바일로 인한 변화에 빠르게 대응하지 못한다면, 앞으로 펼쳐질 무궁무진한 시장에서 쉬프트웍스나 NSHC같은 신생업체들이 그들을 제치고 앞설 수 있는 가능성도 충분하다고 생각합니다. 아마 제가 몰라서 그렇지, 쉬프트웍스나 NSHC같은 회사들이 훨씬 많을 것입니다.  이들이 보안산업을 더욱 성장, 발전시킬 차세대 주역으로 성장할 수 있길 기대합니다.  모바일로 인한 제2의 '벤처' 신화가 생겨날 지 주목되는군요.  댓글 쓰기

아이폰 백신 상용화, 절대 안될까?

이유지의 안전한 네트워크 세상 10.01.27 18:05

지난 22일 NSHC가 하우리와 공동으로 개발한 아이폰 전용백신 ‘바이로봇 산네’ 출시가 발표된 직후, 인터넷상에서 논란이 뜨겁게 벌어졌습니다.  이 백신 제품을 진짜 ‘아이폰 백신’이라고 할 수 있냐 하는 의견에서부터 아이폰의 특성상 악성코드가 발생할 위험이 거의 없는데 백신이 과연 필요한가 등이 주된 논쟁거리로 떠올랐습니다. 상당수의 아이폰 사용자들과 네티즌들은 아이폰 백신이란 개념도, 그 존재도 불가능하다는 의견을 피력했습니다. 현실적으로 아이폰 악성코드가 존재하지 않고, 앱스토어에 악성코드가 등록돼 제공되지 않는 한 ‘아이폰 백신’ 자체가 무의미하다는 이유에서입니다. 그 이유로 앞서 NSHC가 이 백신의 ‘세계 최초’ 출시를 알리며 “앱스토어 등록 절차를 밟고 있다”고 했던 홍보 행위나 기자와 언론이 이 보도자료를 기사로 쓰고 보도하는 것 자체가 ‘무지의 소치’라는 비판을 받았습니다. (고백하자면, 저도 그 기사를 쓴 기자 중 한사람입니다.) 이번 논란과 혼란이 촉발된 가장 중요한 사실은 이 업체가 개발한 백신의 애플 ‘앱스토어’ 등록이 좌절된 데 있다고 봅니다. 너무 단순화하는 것인지는 모르지만 ‘가장 먼저’라는 점을 부각하려다가 오히려 그로 인해 뭇매를 맞게 됐습니다. 이 업체가 개발한 제품이 애플로부터 앱스토어 등록 승인이 거부된 것이 알려진 뒤로, 보안업계와 금융권 등에서 혼란이 계속 커지고 있는 것 같습니다. 아이폰 뱅킹 서비스가 제공되고 있고, 이로 인해 금융감독원이 바이러스 예방 조치 등을 담은 스마트폰 전자금융서비스 안전대책을 내놓았기 때문에 NHSC의 백신의 앱스토어 등록 좌초는 그 사안이 가볍지 않습니다. 또 “아이폰 백신을 개발 중이고, 올해 출시하겠다”고 했던 보안업체들도 문제가 됩니다. 급기야는 안철수연구소와 잉카인터넷 등 국내 보안업체들이 준비해온 아이폰 백신 개발을 중단, 관련 사업을 하지 않기로 했다는 이야기까지 나올 정도입니다. 어떤 보안업체는 이제와서 “못해서 안한 게 아니라 이런 상황을 감안해 백신을 성급히 개발하지 않은 것”이라고 이러한 상황을 끼워 맞추기도 합니다. 아이폰 뱅킹 서비스를 제공하고 있는 하나은행, 기업은행도 혼란스러워 하고 습니다. 아이폰 뱅킹 애플리케이션에 백신 등 보안 기술을 적용할 수도, 안할 수도 없는 애매한 상황에 처했습니다. ‘스마트폰 전자금융서비스 안전대책’을 내놨던 금융감독원은 일단 “현재로서는 아이폰 뱅킹 안전성은 보장돼 있는 상태로, 향후 추이를 지켜보고 향후 방송통신위원회 등과 공조해 필요하면 추가로 방침을 정하겠다”는 입장입니다. 저는 이러한 혼란이 ‘애플의 입장’을 제대로 알지 못해서는 아닐까? 하는 의구심이 생깁니다. 현재 아이폰 운영체제 설계 원리나 플랫폼 특성으로 인해, 애플의 정책상 아이폰 백신 등 보안 제품의 앱스토어 등록은 당연히 거부될 것이란 의견이 지배적입니다. 애플의 정책이, 또 백신 등록 승인 거절 이유가 “우리 플랫폼과 애플리케이션의 앱스토어 등록 프로세스로는 아이폰은 안전하니, 백신같은 보안 제품은 필요 없다. 현재도, 앞으로도.”라면, 오히려 해결책은 단순할 수도 있습니다. 보안업체는 백신 개발은 당연히 중단하고 아이폰 백신 사업을 포기한다고 결정할 수도 있을 것입니다. 금융감독원은 스마트폰 전자금융서비스 안전대책 등 보안지침을 수정해야 할테지요.  그런데 그게 아니라면 어떨까요? 앱스토어 등록이 거절된 이유가 그런 게 아니라 단순한 오류나 테스트 과정에서 생긴 문제라면 어떨까요? 이 또한 가정이지만 말입니다. 그래서 저는 우선 애플의 정책과 입장을 알고 싶었습니다. 이번 아이폰 백신 소동과 관련해 ‘바이로봇 산네’의 앱스토어 등록 승인 거부된 이유나 향후 백신 등 보안 제품의 등록 관련 정책에 관한 애플의 공식적인 입장을 애플코리아에 요구했습니다. 돌아온 답변은 비슷합니다만. “아이폰은 마이크로소프트 윈도 모바일 운영체제 등과는 달리 무언가를 다운로드하기 위한 통로는 앱스토어 뿐이고, 프로그램이 등록되기 전에 사전검열을 거치므로 악성코드가 들어올 구멍이 없고, 백신도 필요 없다”는 것이 애플코리아 관계자의 설명입니다. 이것도 “공식적인 입장이 아닌, 비공식적인 정보로서”만의 답변이라는 점을 전제로 받았을 뿐입니다. 이대로라면, 현재로선 아무리 백신같은 보안 제품을 개발해도 앱스토어 등록은 어려울 것입니다. 아마 멀티태스킹이 안되므로 하나은행이나 기업은행 아이폰 뱅킹 애플리케이션에 백신을 삽입해 하나의 애플리케이션으로 만들어 업데이트하려고 하더라도 백신 특성상 어려울 테지요. 그런데 미래는 어떤 상황이 벌어질 지 아무도 모릅니다. 맥 OS와 아이폰에서도 취약점이 발견되고도 있고, 아이폰 차기 버전이 어떻게 달라질 지도 모릅니다. 아이폰으로 다양한 연결성과 활용성을 갖고 있는만큼 현재에도 미래에도 100% 안전할 수는 없습니다. 애플의 정책도 상황 변화에 따라 얼마든지 바뀔 수 있다고 봅니다. 보안업계 아이폰 백신 사업 철수설이 오늘 불거지자, 안철수연구소에 확인해 봤습니다. 아이폰 보안 제품을 이르면 1분기, 늦어도 2분기 안에는 예정대로 선보일 예정이랍니다. 기존에 선보였던 심비안용이나 윈도모바일 등 모바일 백신에 국한된 방식이 아니라 아이폰에서 나타날 수 있는 다양한 위협으로부터 보호할 수 있는 보안 솔루션이 될 것이란 이야기입니다. 악성코드로부터 보호할 수 있는 기능도 당연히 포함된답니다. 다행입니다. 이러한 소동이 생겼다고 바로 “포기한다”고 선언했으면 아주 크게 실망했을 겁니다. 물론, 안철수연구소도 이번 이슈가 생긴 뒤 이전보다는 신중하게 접근하고 있다는 것을 느낄 수는 있습니다. 애플이든, 마이크로소프트이든, 삼성전자이든 간에 “우리 제품은 안전하다”고 하더라도, 보안 전문업체들은 새로운 취약점은 없는지, 보안위협은 발생하지 않는지 계속 경계하면서 준비해, 만일의 사태가 발생하면 해결책을 내놔야 할 역할이 있습니다. 잉카인터넷도 내부적으로 먼저 아이폰 보안 제품 관련 정책을 정한 뒤 선보이겠다는 입장입니다. 시만텍에도 물어봤습니다. 시만텍은 오는 7~8월 중 아이폰 백신이 나올 거라네요. 현재 앱스토어 등록 승인이 거절됐음에도 개인적으론 아직 그 시점이 언제이든 향후 아이폰 보안 제품이 상용화될 수 있는 여지는 충분하다고 생각하고 있습니다. 그리고 애플의 정책이 무엇이건 간에, 아니 애플과 협조하는 방안을 강구하면서 보안 업체들이 계속해서 아이폰을 대상으로 나타날 수 있는 잠재위협으로부터 안전하게 보호해 줄 수 있는 보안 기술을 연구 개발해줬으면 좋겠습니다. 이번에 어려움을 겪기도 했지만 많은 것을 배웠을 NSHC와 하우리도 마찬가지입니다.  댓글 쓰기

시스코 DDoS 탐지·차단 장비 단종! 국내 고객은?

이유지의 안전한 네트워크 세상 10.02.03 14:25

시스코시스템즈가 홈페이지에 시스코 분산서비스거부(DDoS) 공격 탐지 차단 제품인 가드·디텍터 장비를 단종한다고 공지했습니다. <관련 기사> 이에 따라 지난 2008년 3월 어플라이언스 제품에 이어 시스코 카탈리스트 6500/7600 시리즈 라우터 모듈형 제품도 단종, 안티DDoS 전용장비 사업을 중단하게 됐습니다. 7월 31일 이후로는 판매도 완전히 중단하게 됩니다. 이와 관련한 시스코 공지 링크합니다. EOL/EOS for the Cisco Catalyst 6500/Cisco 7600 Series Router Anomaly Guard Module and Anomaly Detector Module 그리고 주요 내용을 캡처해봤습니다. 지난 2008년 공지도 함께 링크합니다. 이번 단종 일자가 1월 31일입니다. 이미 단종하고 나서 1일자로 공지했군요. 문제는 소프트웨어 유지보수인데요. 버그 수정을 포함해 소프트웨어 유지보수는 내년 7월까지만 지원됩니다. 반면에 하드웨어 장비 지원은 2015년 7월 말까지입니다. 시스코의 이 안티DDoS 장비는 국내에서 독보적으로 많이 팔린 장비입니다. DDoS 공격이 이슈가 되기 전부터 시스코는 계속해서 DDoS 공격에 대비해야 한다고 알려왔고 실제 공격 피해사례가 많이 나타나면서 좀 과장을 보태 불티나게 팔렸었습니다. 안철수연구소에 합병된 안랩코코넛과 인포섹이 파트너로서 초기부터 판매를 담당해왔습니다. 아마 작년 하반기 단종 소문이 확산되기 전까지 2008년 한 해 동안과 작년 상반기에 가장 많이 판매됐을 겁니다. 이 제품은 포털, 게임, 쇼핑몰, 아이템거래 등 인터넷서비스 업계를 비롯해 통신, 금융, 정부에 이르기까지 여러 산업군에서 사용하고 있지요. 2008년에 구매한 고객은 2년 남짓, 작년에 구매한 고객은 1년 남짓 사용하고는 소프트웨어 유지보수를 받을 수 없게 됐네요. 시스코는 마이그레이션 혜택 등 이번 단종으로 인해 고객에게 제공할 특별한 지원 프로그램을 갖고 있지는 않은 것 같습니다. 전세계에서 우리나라만큼 안티DDoS 장비 수요가 많은 곳도 없을 정도라는 말이 종종 나왔던 것처럼 아마 다른 지역이나 국가는 크게 이슈는 안될 것 같습니다. 한국 고객이 많다고 해도 외국 기업이 작은 한국 고객만을 위한 지원혜택을 만들어주진 않을 것 같네요. 정부통합전산센터, 한국인터넷진흥원, 행정안전부 등 정부/기관을 비롯해 시스코 고객들이 이 사실을 어떻게 받아들이고 있을지 궁금합니다. 댓글 쓰기

숭실대 이정현 교수팀이 공개한 스마트폰 해킹 시나리오

이유지의 안전한 네트워크 세상 10.02.05 16:31

최근 숭실대 컴퓨터학과 이정현 교수팀이 국내 공급되고 있는 삼성, LG의 ‘윈도 모바일 6.1’이 탑재된 스마트폰 4종을 대상으로 해킹에 성공했다고 발표해 화제를 모았습니다. <관련기사> 혹시 자세한 자료를 원하거나 궁금하신 분이 있을까 싶어 이정현 교수가 제공한 해킹 시나리오 플래시를 붙이겠습니다. 물론 실제 시연 동영상은 아닙니다. 일단 단말기 사용자가 웹을 통해 숨겨진 악성코드를 다운로드하는 것에서 감염시나리오가 구성돼 있습니다. 사용자가 클릭한 것이 성인인증을 받아야 하는 콘텐츠일 경우, 개인정보를 입력하게 되고 다운로드·설치돼 있는 악성코드가 정보를 단말기에 저장시킨 환경에서 여러 공격이 성사됩니다. SMS 결제, SMS 훔쳐보기, 주소록 절취, 휴대폰 단말기 시스템 다운, SMS 공격의 다섯가지 시나리오가 나와 있습니다. 단순화한 자료여서 구체적으로 이용한 윈도 모바일 취약점 등은 알 수 없고 과정과 결과만을 보여주고 있습니다. 숭실대 이정현 교수팀은 이같은 감염 및 공격 시나리오로 아직 애플 아이폰 보다도 더 많이 팔린 삼성 옴니아(1,2)를 비롯해 미라지, LG 인사이트 스마트폰에서 이같은 공격을 성공시켰다고 했습니다. 이번 해킹은 의심스런 파일을 설치하지 안하거나 백신을 설치하는 등 휴대폰 보안관리를 위한 사용자 노력은 일단 배제하고, 윈도 모바일 자체가 취약하다는 사실을 보여줬습니다. 아직까지 이렇다 할 휴대폰-스마트폰 보안 사고가 없었던 국내에서는 많은 사용자들이 그 위험성을 인지하게 되는 계기가 됐을 것임은 분명합니다. 그런데 일각에서는 이번에 이용한 해킹 기법이 실제 일어날 확률은 매우 낮은데 시연을 통해 위험성만을 크게 부각시켰다는 (전문가) 의견이 나오고 있습니다. 또 자칫 국내 사용자들의 인식이 ‘아이폰만 안전하니, 아이폰만 써야겠구나’하는 의도친 않은 방향으로 흐르게 될 수도 있다는 우려가 제기되기도 합니다. 결론적으로, 개인 스마트폰 이용자들은 어떠한 운영체제가 탑재된 휴대전화를 사용하던 간에 평소 보안관리에 주의해야 하는 것만은 사실입니다. 이게 이번 스마트폰 해킹 시연에서 가장 중요한 포인트라고 생각합니다. 많은 분들이 아시다시피, 애플은 앱스토어를 통해서만 애플리케이션 등 무언가를 휴대폰에 다운로드할 수 있도록 하고 있습니다. 누구든 개발한 애플리케이션을 앱스토어에 등록하려면 해당 애플리케이션의 코드를 리뷰하고 일정수준의 정해진 규칙을 따르게 합니다. 애플이 허락하지 않으면 사용자가 원한다고 해도 특정 애플리케이션을 쓸 수 없습니다. (그래서 많은 사용자들이 ‘탈옥(jail break)’에 대한 유혹을 경험하기도 합니다.) 폐쇄적이긴 하지만 보안성은 강합니다. 윈도 모바일을 제공하는 마이크로소프트나 안드로이드를 제공하는 구글은 다릅니다. 오픈 정책이라고 해야 할까요? 사용자가 원하는 애플리케이션 등 다양한 프로그램을 사용하고 또 연결할 수 있도록 열어놓고 있습니다. 구글의 경우, 모든 애플리케이션을 안드로이드마켓에 올릴 수 있도록 하고 있습니다. 구글은 이에 대한 사전 필터링 프로세스를 갖고 있지 않지만, 만일 악성코드가 등록되더라도 자연스레 커뮤니티에서 퇴출될 것이기 때문에 자정 노력에 맞기겠다는 입장인 것으로 알고 있습니다. 한마디로 정책이 다릅니다. 플랫폼을 오픈하고 있기 때문인데, 보안에는 취약할 수는 있습니다. 윈도 모바일의 경우는 단말기 성능만 좋아진다면 윈도가 설치된 PC와 같이 무엇이든 사용할 수 있게 될 것입니다. 그리고 PC에서와 같이 악성코드 감염 등 많은 보안위협이 나타날 수도 있습니다. 이에 관해 이정현 교수는 “애플과 같은 프로세스로 보다 안전한 스마트폰을 만들려면 플랫폼이 있어야 하는데, 우리(휴대폰제조사)는 플랫폼이 없어 가슴아프다”라고 말했습니다. (삼성전자가 ‘바다’를 발표하긴 했지만요.) 보안성과 관련해서는 애플의 방식이 맞다는 의미로 해석됩니다. 많은 분들이 동의하실 겁니다. 이번 해킹 결과가 공개된 후 아직까지 마이크로소프트는 공식 입장을 밝히진 않았습니다. 윈도 모바일 휴대폰만 대상이 된 것에, 그리고 현실에서 일어나지 않은 해킹 시나리오를 이용한 것에 약간 억울한 느낌을 감지할 수 있습니다. 아마도 본격적으로 스마트폰 확산기가 도래한 시점에서 애플, 구글과 ‘전쟁’을 벌이는 마이크로소프트로서는 이번 해킹 발표로 인해 상당한 타격을 입게 된 것이 사실입니다. 앞으로 무궁무진한 모바일 분야 경쟁에서 뒤쳐진다면 그동안 PC로 인해 누렸던 영화는 금세 추억으로 남겨지게 될 수도 있겠지요. 더욱이 국내에서는 대부분이 윈도OS가 탑재된 PC를 사용하고 PC 기반 인터넷도 인터넷익스플로러(IE)에만 최적화된 서비스를 제공하는 등 PC용 OS와 인터넷브라우저 시장에서 누구도 따라올 수 없는 ‘제왕’이었던 만큼 “반(反)MS, 반윈도, 반IE”를 외치는 안티세력이나 안티정서도 상당합니다. 특히 윈도를 대상으로 한 수많은 공격으로 드러난 ‘보안 취약성’은 그동안에도 심각한 아킬레스건이었습니다. 안그래도 최근 MS는 중국 공격자들의 구글 해킹으로 IE의 보안취약성마저 도마에 오르고 있는 상황이지요. 심지어 독일, 프랑스 등 유럽 정부가 국민들에게 IE를 쓰지 말라는 권고까지 하고 있다는 기사를 보기도 했는데, 여러모로 난감한 상황일 겁니다. 이번 해킹 대상이 된 휴대폰 제조업체인 삼성전자와 LG전자도 별다른 입장을 내놓지는 않았습니다. 삼성전자는 “삼성 모바일 닷컴 홈페이지에서 안철수연구소 보안 프로그램을 제공하고 있고, 무료로 다운로드를 할 수 있다”면서 윈도 모바일용 백신을 제공하고 있다는 점을 강조했습니다. 그리고 앞으로 윈도, 안드로이드 등 다양한 모바일 OS가 탑재된 스마트폰을 사용자들에게 제공할 예정이랍니다. LG전자도 “지난달 27일 출시한 스마트폰 ‘210시리즈’는 최신 윈도모바일 6.5 OS가 탑재돼 있고, 안철수연구소의 백신을 이용자들이 다운로드할 수 있도록 제공하고 있다”고 설명했습니다. 앞으로 출시될 다른 모델에도 제공할 예정이고요. 그리고 이번 해킹 대상이 된 휴대폰(인사이트)은 이미 단종된 상태랍니다. 스마트폰 보안 시장은 제조사들이-아직은 안철수연구소 뿐이지만-보안 업체와 계약해 제공하는 B2B2C 모델로 시작하는군요. SK텔레콤도 어제(4일) ‘모바일 위험관리 종합대책’으로 모바일 백신 등 단말기 보안 솔루션을 개발해 고객에게 제공할 예정이라고 발표했구요. 많은 보안 업체들이 스마트폰 보안 제품 개발에 나선 상황에서, 이러한 B2B2C 모델이 앞으로도 자리가 잡게 될지 또다른 관전 포인트 중 하나입니다. 댓글 쓰기

애플 앱스토어에 등록된 하우리 ‘바이로봇 산네’

이유지의 안전한 네트워크 세상 10.02.16 18:26

NSHC와 하우리가 아이폰 전용 백신으로 개발한 ‘바이로봇 산네’가 애플 앱스토어에 공식 등록됐습니다. ‘전자금융서비스 안전점검’을 위해 개발된 제품으로 소개가 되고 있네요. 하우리에 확인한 결과, 구정 전에 등록됐답니다. 지난 12일에 등록된 것으로 보입니다. NSHC는 지난달 21일 이 제품 출시를 알리면서 애플 앱스토어에 등록을 신청했다고 밝힌 바 있습니다. 그치만 당시 등록이 거절됐지요. 이 발표가 난 이후 아이폰 백신 관련 논란이 일었습니다. 그 때문인지 개발사인 하우리와 NSHC측은 이와 관련한 언급을 아주 조심스러워하고 있습니다. 애플 앱스토어에 등록된 ‘바이로봇 산네’는 파일시스템 점검, 시스템 로그정보, 파일 무결성 점검, 네트워크 상태 점검 등 점검 위주의 기능을 제공하고 있습니다. 비정상 파일이나 프로그램 설치 및 위·변조, 비정상 네트워크 통신 시도를 탐지하며 정상폰 유·무, 원격 포트 사용 점검 등을 확인한다고 소개하고 있습니다. 이렇게 점검하네요. 엔진 업데이트 메뉴를 눌러보면 최신 엔진을 사용 중이라고 나옵니다. 일단 백신으로는 앱스토어 등록이 좌절돼 애플이 수용하는 수준에서 현재 하나은행, 기업은행 등이 제공하는 아이폰 뱅킹의 스마트폰 전자금융거래 사용자 보안 기능을 제공할 수 있는 기능 위주로 반영한 것 같습니다. 효용성에 대한 사용자 평가가 어떨지는 더 지켜봐야할 것 같습니다.   더불어 앞으로 나오게 될 많은 스마트폰 보안 보안 솔루션과 정부 대책이 어떻게 나올지도...     댓글 쓰기

국산 백신 점령한 ‘비트디펜더’

이유지의 안전한 네트워크 세상 10.03.02 16:10

최근 국내 시장에 백신(안티바이러스) 소프트웨어 제품이 때 아닌 홍수를 이루고 있습니다. 개인용 무료백신 시장이 활짝 열리면서 국내 시장에 새롭게 진출하는 백신 제품이 더 많아지는 모습입니다. 3~4년 전까지만 해도 국산 백신 시장은 안철수연구소 ‘V3’, 하우리 ‘바이로봇’이 대부분을 장악하고 있는 가운데, SGA(옛 에스지어드밴텍)의 ‘바이러스체이서’ 정도만이 두드러진 공급 활동을 벌였습니다. 외산 백신의 경우엔 맥아피, 시만텍, 카스퍼스키, 트렌드마이크로가 전부였지요. 2년 전 NHN과 이스트소프트가 각각 개인용 무료백신 ‘네이버 백신(옛 네이버 PC그린)’과 ‘알약’을 출시해 단숨에 엄청난 사용자를 확보하며 큰 파장을 일으키더니, 갈수록 무료백신 수가 많아지고 있습니다. ‘V3’와 함께 초창기 출발한 에브리존 ‘터보백신’도 최근 ‘터보백신 프리’라는 무료백신을 출시했고, 앞서 마이크로소프트가 ‘MSE(마이크로소프트 시큐리티 에센셜)’을 지난달 공식 발표했습니다. 2일에는 SGA가 유료 제품인  ‘바이러스체이서’와 차별화된 ‘SGA24’라는 브랜드로 무료백신을 발표했습니다. 어베스트, AVG와 같은 외산 유명 무료백신들도 이미 국내 파트너나 지사를 통해 공급되고 있지요. 그런데 국내 업체들이 출시하는 백신 제품명을 나열하다보니 새삼스럽게 독특한 점을 발견했습니다. 안철수연구소 ‘V3’만 제외하고는 하나같이 외산 백신엔진을 탑재하고 있다는 점입니다. ‘네이버 백신’은 러시아 기반 카스퍼스키 엔진을 사용하고 있고, ‘알약’을 비롯해 ‘바이로봇’, ‘터보백신’은 모두 루마니아의 유명 백신인 ‘비트디펜더’ 엔진을 탑재했습니다. 유료로 제공되는 잉카인터넷의 ‘엔프로텍트 안티바이러스’도 ‘비트디펜더’ 엔진을 사용하고 있지요. 러시아 백신 ‘닥터웹’ 엔진이 탑재돼 있던 ‘바이러스체이서’·‘SGA24’ 마저도 최근 들어 업데이트 등 지원이 제대로 이뤄지지 않는 이유로 ‘비트디펜더’로 엔진을 바꿨습니다. 사실상 V3 이외에는 모든 국산 백신이 외산 엔진을 사용하고 있습니다. 모두 동유럽지역 기반의 백신 엔진들이군요. 여러 외국 업체들이 이같은 사업 방식으로 국내 시장 문을 두드렸던 점을 감안하면 NHN 경우만 빼면 비트디펜더의 완승입니다. 비트디펜더는 국내에서 엔진 공급 사업을 아주 잘하고 있군요. 외산이 시장점유율을 갖기 어려운 국내 보안 시장에서 특화된 사업전략으로 성공을 거두고 있다고도 볼 수 있습니다. 국내에 직접 진출하지 않으면서도, 한국지사를 둔 외국 백신업체들보다 더 많은 수익을 거두고 있을 것으로 짐작해봅니다. 특별히 들어갈 제반 비용도 없고요. 국내 업체들의 입장에서 경험이 부족한 사업에 진출하려다 보면 자체 기술력 보다는 많은 노하우가 축적돼 있고 검증된 기술을 사용하는 것이 안전하고 쉬울 것입니다. 개발기간과 투자비용 등 자체 개발에 따른 부담을 크게 줄일 수 있습니다. ‘비트디펜더’는 지난 2007년 11월부터 2008년 9월까지 소비자시민모임이 국제소비자연구검사기구(ICRT) 회원 11개국 소비자단체와 공동으로 전세계 28개 인터넷 보안 제품을 대상으로 실시한 품질 평가에서 지데이타에 이어 두번째 순위에 오른 제품입니다. 작년에 진행된 바이러스블러틴(VB) 100% 테스트에서는 단 한번만 제외하고는 4번의 테스트를 통과했습니다. 비트디펜더는 엔진사업을 벌이는 다른 백신업체보다는 기술지원이 체계화돼 있고 DB 양이 방대하면서 가격면에서도 꽤 경쟁력이 있다고 알려져 있습니다. ‘비트디펜더’를 가장 먼저 채택한 국산 백신은 제가 알기로 ‘하우리’가 최초일겁니다. 2004년 말, 하우리는 국산 백신의 진단능력이 떨어진다는 등의 논란이 지적되던 당시에 과감히 기존 ‘바이로봇’ 엔진과 연동해 ‘비트디펜더’를 탑재해 듀얼엔진 서비스를 시작했습니다. 해외 진출에 힘쓰고 있었기 때문에 해외에서 성공을 거두기 위해 국내용(?) 바이러스 대응에만 특화된 엔진으로는 어렵다는 판단도 작용했을 겁니다. 어느덧 시간이 흘러 국내에 주로 공급되는 백신들 대부분이 모두 ‘비트디펜더’ 엔진을 탑재하게 됐네요. 엔진 공급 사업으로 동유럽 외산 백신들이 국내 백신 시장에 침투한 게 한두 해에 불과한 것도 아니지만 ‘비트디펜더’가 이렇게 장악하고 있다는 점이 새삼 놀랍습니다. 국산 백신 대부분이 이미 ‘외산화된 국산 백신’이 됐다고 표현한다면 너무 과할까요? 요즘 대부분의 백신 제품이 자체 기술 개발에 주력하기 보다는 외국 업체인 기술을 활용해 좀 더 쉬운 길을 찾아가려 하고 있다는 생각이 듭니다. 이를 두고 초창기 백신 개발에 오랜 기간 몸담았던 한 전문가는 “국내 백신 기술력이 약해진 것을 반증하는 것 아니겠냐”며, “국내업체들이 해외에서 유행하는 바이러스 등 악성코드 샘플을 구하기 어렵고 정보력에도 취약해 외산 백신엔진이 도움이 될 수 있겠지만 국내에 주로 공급되는 백신에 외산 백신엔진에 의존한다면 문제가 있다”고 지적했습니다. 조시행 안철수연구소 상무도 “같은 엔진을 쓰더라도 (제품 기능이나 성능에서) 차별점은 있다”면서도 “넓은 의미에서 외산 엔진만 사용하는 것은 바람직하지 않은 것이 사실이고, 경쟁력이나 차별성도 없고 엔진만으로는 한계도 있다”고 말했습니다. 물론 백신업체들은 자사가 공급하는 백신이 ‘비트디펜더’ 엔진에만 전적으로 의존하고 있는 것은 아니라고 이야기하고 있습니다. 자사가 개발한 자체 엔진과 함께 카스퍼스키·비트디펜더 엔진을 함께 탑재하는 듀얼(또는 그 이상) 방식을 채택하고 있습니다. 이스트소프트 알툴즈사업본부를 총괄하고 있는 정상원 이사는 이에 대해 이렇게 설명하더군요. “웜이나 트로이목마를 비롯해 국내 악성코드는 자체 엔진인 테라(tera)엔진에서 주로 처리하고 있고, 비트디펜더 엔진도 오진이 있기 때문에 이를 보완하기 위해 오진을 줄일 수 있는 업데이트검증시스템과 긴급대응시스템을 구축하는 등 많은 노력을 기울이고 있다.” 다행이 아닐 수 없습니다. 이스트소프트는 지난해 10월 출시한 기업용 ‘알약 2.0’에 영국의 유명백신인 소포스 엔진까지 더해 트리플 엔진을 구현한 바 있습니다. 맞습니다. 모든 백신업체들이 정확도가 높고 폭넓은 진단율, 빠른 성능, 편리한 사용 환경을 제공하는 좋은 제품을 제공하기 위해 갖가지 노력을 하고 있을 겁니다. 그 중 한 가지 방안이 외산 백신엔진을 탑재하는 것이겠지요. 그럼에도 국산 백신 7개 중 6개 모두에 외산 엔진이 탑재돼 있다는 점. 그 중 ‘비트디펜더’가 5개라는 점. 외산 백신엔진을 탑재해 출시하는 백신 제품이 계속해서 늘고 있다는 점이 참 씁쓸합니다. 사업 의지는 있지만 원천기술 개발 여력은 크게 부족한 국내 백신, 보안 제품 개발 현주소를 보여주는 것만 같습니다. 댓글 쓰기

OTP 허점? 해프닝으로 끝난 농협 국정감사

이상일 기자의 IT객잔 09.10.06 10:53

지난 5일부터 국회의 국정감사가 시작됐습니다. 국정감사 자체는 국민들에게 별 관심대상이 되지 못합니다. 딱딱하기 그지없고 이따금 오고가는 고성이 가끔 생동감을 더해줄 뿐입니다. 저 역시 별로 관심은 없었습니다. IT부분에 있어서도 정책관련한 내용이 많이 오고가고 특히 통신분야에서 요금정책 등 그나마 알아먹기 쉬운 내용이 나오는 것 빼고는 고리타분하기 그지 없기 때문입니다. 그런데 저와는 전혀 상관이 없을 듯 한 농림식품위원회의 국감이 관심을 끌더군요. 바로 농협에 대한 흥미로운 감사가 진행돼서 저의 시선을 끌었던 것입니다. 5일 모 국회의원실에서 오전에 배포한 보도자료에 따르면 농협의 OTP(보안토큰)에 허점이 노출돼 인터넷 뱅킹의 해킹이 가능하다는 내용이었습니다. 특히 의혹을 제기한 의원은 국감 현장에서 시연을 통해 이를 증명하겠다고 했습니다. 흥미로운 부분이 아닐 수 없지요. 직접 OTP 허점을 이용해 해킹을 하는 장면은 범죄자 친구를 두지 않은 이상 경험하기 어려운 일일테니깐요. 하지만 결과적으로 해킹 시연은 이뤄지지 않았습니다. 국회에서 도입한 IT시스템 중에 가장 쓸만한 솔루션인 '영상회의록시스템'을 통해 국감장면을 시청했는데요 시연 부분은 커녕 이 부분 자체가 질문에서 빠졌더군요. 국감에선 십수명의 의원들이 돌아가면서 질의를 하게 돼 있습니다. 국감은 자연히 질의과정에 시간이 많이 걸리고 예정된 시간이라는 것이 애시당초 존재하지 않는 시스템입니다. 따라서 애초 의원들이 준비한 질문 중 대부분은 서면질의로 처리되게 됩니다. 실제로 이번 국감에서도 추후에 서면질의로 답변을 바란다는 의원들의 말이 마무리 멘트로 자주 사용되더군요. 처음에는 시연이 언제 이뤄질 지 해당 의원실에 문의했는데요 시간 상 실제 시연이 이뤄질 지는 장담하지 못한다고 했는데 결국 그냥 넘어가더군요. 문제는 애초에 농협의 전자금융시스템에 대한 허점과 여기에 낭비된 농민들을 위한 자금이 허투로 쓰여졌다는 점을 부각시키려 했다는 것인데 여기에 약간의 무리가 있었다는 점입니다. 결론적으로 농협의 OTP는 아무런 문제가 없었습니다. 굳이 문제가 있었다면 키보드 보안에서 생겼다고 할 수 있지요. OTP는 금융권 최후의 보안수단으로 각광받고 있습니다. 시간에 따라 비밀번호가 다르게 생성되기 때문에 현실적으로 비밀번호를 외부에서 알아내기가 어렵죠. 어쨌든 이번 시연이 진행됐다면 OTP보다는 OTP 번호를 사용자가 키보드로 누르는 과정에서 이를 해킹하는 키보드 해킹을 통한 인터넷 뱅킹 해킹 방법이라고 보는 것이 정답일 듯 합니다. 의원실에선 농협의 방만한 경영을 지적하면서 수십억이 투자된 농협의 인터넷 뱅킹 보안에도 문제가 있다. 따라서 시정해라 뭐 이런 의도로 질의를 준비한 것 같습니다. 하지만 업계에서는 이번 의혹 제기가 OTP 자체에 초점이 맞춰져 있었지만 OTP보다는 키보드 보안에 대한 문제라는 의견을 내비치고 있습니다. OTP를 통한 해킹은 현실적으로 어렵다고 합니다.  공인인증서, 인증서 패스워드, 계좌이체 비밀번호 등 민감한 고객 정보가 모두 유출되어 공격자가 의미 있는 OTP 값을 얻어내었다 하더라도, 1분 이내에 공격을 성공해야 하므로, 공격이 성공할 확률은 거의 없는 것으로 알려져있는데요. 하지만 농협의 경우 그동안 법인 사용자의 편의성을 제고하기 위해 1분 이내에 2번의 로그인을 허용했습니다. 농협 관계자 말로는 멀티 로그인이라는 것인데 이를 통해 OTP 값을 얻어내고 공격할 수 있는 가능성이 내비쳐진 것이지요. 어쨌든 이는 OTP의 결함이라고 보기에는 어렵고 메모리 해킹과 키보드 해킹 등을 통한 해킹 방법으로 보는 것이 타당할 것 같습니다. 의원실에서는 '농협 OTP, 뚫려도 너무 쉽게 뚫린다' 라는 내용으로 보도자료도 배포했는데요.(보도자료는 파일로 첨부하니 참고하세요) 결과적으로 보도자료의 제목이 좀 비약된 것 같습니다. 의원실에서도 이러한 문제를 감지해 국감에서 질의를 뺀 것으로 추측됩니다. 차라리 농협 키보드해킹에 속수무책 정도로 질의를 꾸몄으면 시연이 가능했을 수도 있겠네요. 한편 농협은 위에 거론된 문제점에 대비하기 위해 관련 시스템을 오는 11월 도입할 계획으로 알려져 있습니다. 댓글 쓰기

보안경고가 보안을 망친다

심재석의 소프트웨어 & 이노베이션 09.11.24 11:10

최근 유행하는 ‘넛지(Nudge)’라는 단어를 아십니까? 넛지는 원래 ‘옆구리를 쿡 찌르다’라는 동사입니다. 하지만 시카고 대학 캐스 선스타인 교수와 리처드 탈러 교수가 공동 집필한 ‘똑똑한 선택을 이끄는 힘, 넛지’라는 책이 등장한 이후 ‘어떠한 선택을 유도하는 힘’이라는 의미로 쓰이고 있습니다. “어떠한 금지나 인센티브 없이도, 인간 행동에 대한 적절한 이해를 바탕으로 원하는 결과를 얻어내는 힘이자 똑똑한 선택을 유도하는 부드러운 힘”이 바로 넛지입니다. 예를 들어 의사가 환자에게 어려운 수술을 권유할 때  “이 수술을 받은 100명 가운데 90명이 5년 후에도 살아 있었습니다”라고 말하면, 환자가 수술을 선택할 가능성이 높지만, “이 수술을 받은 100명 가운데 10명이 5년 안에 사망했습니다”라고 말하면 환자가 수술을 거부할 가능성이 높습니다. 100명 중 90명이 살아남은 것이나 100명 중 10명이 사망한 것은 같은 사실(fact)인데도, 어떻게 얘기하느냐에 사람들의 행동이 달라지는 것입니다. 제가 책 이야기를 꺼낸 것은 책의 한 대목 중 관심이 가는 부분이 있기 때문입니다. 저자는 이 책의 5장 ‘선택 설계의 세계’에서 어떤 피드백이나 경고가 사람들의 행동을 바꿀 수 있다고 말하고 있습니다. 당연한 이야기이죠. 디지털카메라는 사진 찍을 때마다 방금 전에 찍은 영상을 확인할 수 있습니다. 이를 통해 필름 시대에 흔하게 일어나던 오류, 즉 필름 제대로 끼우지 못하는 것, 렌즈 뚜껑 여는 것을 잊어버리거나, 사진 중앙에 있는 인물의 머리를 잘라버리는 것 등의 오류가 사라졌습니다. 노트북 배터리 잔량이 부족하면 전원을 연결하라는 경고도 사람들이 열심히 작성한 소중한 자료를 허공에 날리지 않도록 도움을 줍니다. 그러나 저자는 경고 시스템이 피해야 할 주요 문제가 있다고 지적합니다. 경고를 너무 많이 제공해서 사람들이 특정 경고를 무시하게 만드는 문제가 바로 그것입니다. 하지만 실제로 이런 일이 소프트웨어 및 웹의 세계에서는 너무 많이 일어나고 있는 것 같습니다. 경고를 너무 많이 해서 사람들이 경고를 무시하게 된 것 말입니다. 이메일 첨부파일을 열 때 컴퓨터는 정말 파일을 열 것인지 물어봅니다. 혹시 바이러스나 악성코드가 첨부된 파일일 가능성이 있기 때문입니다. 하지만 우리는 습관적으로 ‘예’를 누릅니다. 국내에서 특히 문제가 된 액티브엑스컨트롤도 이와 유사한 사례입니다. 인터넷 뱅킹을 하다보면 귀찮을 정도로 많은 보안 프로그램이 액티브엑스를 통해 유포됩니다. 웹브라우저는 우리에게 바이러스 및 악성코드를 주의하라며, 액티브엑스 설치여부를 묻습니다. 하지만 역시 반복되는 경고는 무조건 ‘예’를 누르는 습관만 기를 뿐입니다. 이 같은 문제는 오픈웹 운동을 주도하고 있는 고려대 김기창 교수의 ‘한국 웹의 불편한 진실’이라는 책에서 자세하게 지적되고 있습니다. 저는 현재 윈도7 운영체제를 사용하고 있는데요, 윈도7의 사용자계정컨트롤(UAC)도 비슷한 결과만 낳고 있는 듯 보입니다. ‘다음 프로그램이 이 컴퓨터를 변경할 수 있도록 허용하겠습니까’라는 질문이 반복되면서 부조건 ‘예’를 누르게 됩니다. 넛지의 저자들이 “경고 시스템이 피해야 할 주요 문제”라고 지적한 것을 그대로 행하고 있는 모습입니다. 소프트웨어나 웹 애플리케이션을 공급하는 업체들이” 우리는 보안우려에 대해 경고했으니 할 일은 다 했다”는 식의 접근이 아닌 실질적으로 사용자들의 보안 문제를 해결할 수 있는 방안이 필요할 것 같습니다. 댓글 쓰기