2016 Threat Landscape

2016. 08

안랩 온라인 보안 매거진

2

3

5

8

1 0

1 3

1 5

1 7

1 9

월간

C O N T E N T S

E X P E R T C O L U M N

영화 ‘감기’의 충고, “최초 감염자를 찾아라!”

S P E C I A L R E P O R T

2016 상반기 위협 동향 및 하반기 전망

2016년 상반기 키워드는 랜섬웨어∙표적 공격! 하반기는?

P R O D U C T I S S U E

AhnLab MDS 10000 출시

안랩, MDS 10000으로 하이엔드 시장 공략 나선다

H O T I S S U E

안랩 안티랜섬웨어 툴, ‘이것’이 궁금하다

T H R E AT A N A LY S I S

진화하는 록키 랜섬웨어

I T & L I F E

스마트폰에도 다이어트가 필요해!

S TAT I S T I C S

2016년 6월 보안 통계 및 이슈

A H N L A B N E W S

차세대 방화벽 ‘트러스가드(TrusGuard)’ GS 인증 획득

안랩, 2016년 상반기 연결기준 매출 610억•영업이익 38억

2016. 08

3

영화 ‘감기’의 충고, “최초 감염자를 찾아라!”

E X P E R T C O L U M N 영화 ‘감기’

“사상 최악의 바이러스가 대한민국을 덮친다!”

지난 2013년 8월 개봉한 영화 ‘감기’의 메인 포스터에 등장하는 카피다. 이 영화는 지난 2015년 메르스 사태가 발생하면서 재조명되

기도 했다. 최근 3년 전에 봤던 이 영화의 포스터를 우연히 마주치게 됐다. 그리고는 직업병 덕분에(?) 엉뚱한 생각을 하고 말았다.

‘이 영화 카피에서 단어 몇 개만 바꿔도 IT 관련 기사 제목으로 쓸 수 있겠는데? 사상 최악의 랜섬웨어가 한국을 덮치다!’

알다시피 IT 보안 용어 중에는 의학 용어를 차용한 표현들이 많다. 바이러스, 격리, 최초 감염자(Patient Zero) 등이 바로 여기에 해당

된다. 국내에서는 악성코드 치료 프로그램을 안티바이러스(Anti-virus)나 안티멀웨어(Anti-malware) 대신 이해하기 쉬운 ‘백신’이라

고 부르고, 이와 함께 ‘치료’라는 표현을 사용하고 있다. 이렇다 보니 의학 관련 영화를 볼 때면 묘하게 낯익은 용어들 때문에 이런 저

런 엉뚱한 상상으로 이어진다. 이 글에서는 영화 ‘감기’와 묘하게 닮은 최근의 보안 위협 트렌드를 이야기하고자 한다.

▲ 영화 ‘감기’ 포스터 (*출처: 영화 ‘감기’ 공식 블로그)

본론으로 들어가기에 앞서 영화의 줄거리부터 간단히 되짚어보자.

2013년은 홍콩발 조류독감이 화두가 되던 시기였다. 마침 이 영화는

홍콩에서 코리안 드림을 꿈꾸는 외국인 노동자들이 컨테이너 박스에

몸을 싣고 한국으로 밀입국하는 장면부터 시작한다. 그들 중 감기에

걸린 사람이 섞여 있었고, 한국으로 오는 도중 이것이 엄청난 바이러

스형 독감으로 변이 된다. 결국 이들이 한국에 도착했을 때에는 단 한

명만을 제외하고 모두 죽게 된다. 그러나 진짜 문제는 살아남은 이 한

사람이 연신 기침을 하며 길거리를 돌아다니면서 발생한다. 변이된

바이러스를 온 동네로 퍼뜨리게 된 것이다. 정부의 안일한 대응까지

한몫 거들면서 결국 이 치명적인 바이러스에 수많은 사람들이 희생된

다. 이 영화는 이런저런 우여곡절 끝에 항체를 발견하고 백신을 개발

하여 대응한다는 내용으로 끝을 맺는다.

기존 체계를 우회하여 침투

영화 초반에 밀입국 브로커로 보이는 한 선원이 출항 전 밀입국자들

의 최종 인원 점검을 하는 장면이 나온다. 아픈 사람이 있는지 묻는

선원에게 다들 아프지 않다고 답하는데, 감기에 걸린 환자마저 자신

이 감기에 걸린 것을 숨긴다. 선원은 별다른 의심 없이 인원 점검을

마친다.

이것만으로 벌써 감이 오는 사람들도 있을 것이다. 인원 점검을 하는

선원은 시그니처 매칭 방식으로 탐지하는 기존의 보안 솔루션으로 비

유할 수 있다. 단순한 독감 바이러스에 감염된 밀입국자는 바로 각종

보안 솔루션의 탐지를 우회해 내부 침입에 성공한 악성코드로 볼 수

있다.

4

단순 시그니처 매칭 방식의 기존 보안 솔루션들은 신•변종 악성코드나 알려지지 않은 방식으로 침입하는 공격에 대해 방어하기 어렵다.

내부 침입에 성공한 후 치명적인 악성코드로 업그레이드!

단순한 독감 바이러스에 감염된 밀입국자를 싣고 있는 컨테이너 박스는 일종의 배양소 역할을 한다. 한국으로 밀항하는 동안, 그 속에서 독

감 바이러스는 치명적인 바이러스로 변이하게 된다. 이것은 내부 침입에 성공한 단순한 형태의 악성코드가 시스템 내에서 공격자 서버(C&C

Server: Command & Control Server)와 암호화 통신을 하면서 치명적인 악성코드로 업그레이드되는 것과 매우 유사하다. 최근 급증하고 있

는 랜섬웨어는 C&C 통신을 통해 공개키(Public Key)를 다운받은 후 감염된 PC 내에 있는 파일을 암호화한다. 악성코드가 C&C 통신 시 사용하

는 암호화된 패킷은 별도의 트래픽 복호화 솔루션이 없다면 검사가 불가능하다.

대응하려면 ‘최초 감염자’부터 찾아라!

치명적인 바이러스가 확산되면서 심각한 피해가 발생하자 백신 개발이 시급한 문제로 대두된다. 백신 개발에 필요한 항체를 확보하려면 먼저

유의미한 샘플을 채취해야 한다. 영화에서는 군•관이 힘을 합하여 밀입국한 최초 감염자(Patient Zero)를 필사적으로 찾아 나선다. 이것은 보

안 업체에서 악성코드 샘플을 수집하여 시그니처를 제작하고, 백신 등 보안 솔루션에 반영하여 대응하는 프로세스와 동일하다.

여기에서 주목해야 할 부분은 최초 감염자(Patient Zero) 또는 첫 번째 희생자(First Victim)로, 이는 IT 보안에서 큰 의미를 지닌다. 첫 번째 희

생자, 즉 최초 감염된 PC를 확보해야만 샘플을 채취할 수 있으며, 채취된 샘플을 보안 업체로 전달해야 보안 업체가 시그니처를 제작해 사용자

들에게 배포함으로써 위협에 대응할 수 있기 때문이다. 이것이 현재의 일반적인 보안 대응 체계다.

그러나 랜섬웨어 등 최근의 보안 위협은 일반적인 체계만으로 대응하기 어렵다. 랜섬웨어는 PC에 침입하자마자 파일을 암호화하는데, 일단 암

호화된 파일은 거의 복구가 불가능하다. 즉, 이제는 첫 번째 희생자(First Victim)도 포기해서는 안 되는 상황이 된 것이다.

최신 보안 위협, 첫 번째 희생자를 포기해야만 하는가

신•변종이 잇따라 등장하고 있는 랜섬웨어는 점차 지능형 위협(Advanced Persistent Threat, APT) 형태로 변모하고 있다. 이러한 지능형 랜

섬웨어에 대한 최선의 대응책은 ‘예방’과 ‘선제적인 방어’다. 따라서 기존의 보안 솔루션으로는 신•변종 악성코드 및 랜섬웨어에 대응하기 어

려운 부분을 해소하기 위해 네트워크 샌드박스(Network Sandbox) 기반으로 탐지하고 분석할 수 있는 솔루션이 필요하다. 이와 함께 첫 번째

희생자의 피해를 막기 위해 엔드포인트(endpoint)와 연계할 수 있는 대응책도 반드시 필요하다.

영화 ‘감기’ IT 보안 위협

밀입국 브로커 선원 단순 시그니처 매칭 방식의 기존 보안 솔루션

단순 독감 바이러스에 감염된 밀입국자 드롭퍼(Dropper)와 같은 형태로 내부 침입에 성공한 악성코드

영화 ‘감기’ IT 보안 위협

감기에 걸린 밀입국자를 태운 컨테이너 암호화된 트래픽

밀폐된 컨테이너에서 변이된 바이러스 암호화 통신을 통해 업그레이드된 악성코드

S P E C I A L R E P O R T Reviews & Predictions

2016 상반기 위협 동향 및 하반기 전망

2016년 상반기에는 2015년 전망대로 랜섬웨어의 종류와 양이 기하급수적으로 증가하여 수많은 피해를 발생시켰다. 표적 공격 및

적대적 공격자들에 의한 사회기반시설 대상 공격도 끊이지 않았다. 또한 익스플로잇 킷(Exploit kit, EK)에 멀버타이징(Malvertising)

수법이 결합되면서, 불특정 다수를 대상으로 하는 대규모 악성코드 감염에 적극 활용되고 있다. 모바일 쪽으로는 루트 권한을 악용하

는 악성 앱이 2015년 하반기 대비 400% 증가하는 양상을 보였다.

하반기에는 상반기에 이어 랜섬웨어 위협과 사회기반시설을 노린 사이버 테러, 표적 공격 등이 지속될 전망이다. 또한 블랙마켓에 기

반한 악성코드 서비스(Malware-as-a-Service)의 활성화로 인해 향후 사이버 공격의 범위와 스펙트럼이 점점 다양해질 것이며, 핀테

크 서비스에 대한 모바일 보안 위협이 나타날 것으로 예측된다.

이 글에서는 안랩의 글로벌 보안 대응조직인 ASEC(AhnLab Security Emergency response Center) 전문가들이 선정한 2016년 상

반기 보안 위협 Top 5와 하반기 전망 Top 5를 각각 소개한다.

2016년 상반기 키워드는

랜섬웨어∙표적 공격! 하반기는?

5

01 랜섬웨어의 기하급수적인 증가

상반기에는 랜섬웨어의 종류와 양이 기하급수적으로 증가했고, 수많은 피해를 발생시켰다. 고유한 개성을 지닌 랜섬웨어가 다양하게 발견되었

고, RaaS(Ransomware-as-a-Service)의 등장이 이들의 유포를 활성화시키는 역할을 한 것으로 보인다. 또한, 활발하게 활동하던 테슬라크립트

(TeslaCrypt)가 갑자기 활동을 종료하자마자 크립트엑스엑스엑스(CryptXXX)가 국내 유명 커뮤니티 사이트를 통해 유포되면서 큰 피해를 가져

왔다. 그 외에도 MBR(Master Boot Record)을 암호화하는 페트야(PETYA), 의료기관을 노리는 삼삼(SamSam), 인질 파일을 한 시간에 하나씩

삭제하는 직쏘(JigSaw), 음성으로 랜섬웨어 감염 사실을 알려주는 서버(혹은 케르베르, CERBER), 스팸 메일로 전세계를 휩쓴 록키(Locky), USB

를 통해 전파되는 지크립토(ZCryptor) 등이 상반기를 대표한다. 플래시(Flash), 실버라이트(Silverlight) 등의 소프트웨어 취약점을 악용하는 익

스플로잇 킷을 통한 유포가 증가세를 보이고 있다. 이는 사용자도 모르게 감염시키는 드라이브 바이 다운로드(Drive-by-download)를 통해 감

염 성공률을 높이고 최대한의 수익을 추구하기 때문인 것으로 판단된다. 국가와 지역을 가리지 않고 전세계에서 동시다발적으로 발견되는 것

또한 맥락을 같이 한다.

국내에서는 테슬라크립트, 록키, 서버, 크립트엑스엑스엑스 등의 감염 빈도가 두드러졌다. 안랩을 포함한 보안 업체들은 랜섬웨어 차단을 위한

진단을 강화하고, 사전에 탐지하고 차단할 수 있는 기능을 추가하면서 지속적인 대응을 이어가고 있다.

02 은밀하고 끊임없이 지속되는 표적 공격의 위협

표적 공격은 공격 대상이 한정되어 있고 은밀하게 진행되어 사전에 알아내는 것이 상당히 어렵다. 그러나 표적 공격의 위협은 현재에도 계

속 되고 있다. 올해 초 북한의 4차 핵 실험 이후 정부 부처와 국가 기관을 사칭한 메일이 발견됐다. 곧 이어 보안 업체의 인증서가 유출되었고,

DRM 솔루션을 변조한 악성코드가 유포된 사례도 있었다. 또한 국내 항공사와 군수업체가 해킹되어 내부 정보가 유출되었고, 군 관련 홈페이

지가 해킹되어 서비스가 중지된 사례도 있었다. 해외에서도 표적 공격의 위협은 지속되었다. 우크라이나 정전 사태는 발전소를 공격한 블랙에

2016 상반기 위협 Top 5

66

너지(Black Energy) 악성코드로 인한 것이고, 주요 국가의 금융과 보험 서비스를 주요 목표로 하는 레이튼트봇(LatentBot) 공격도 발견되었다.

폰 스톰(Pawn Storm) 또는 소퍼시(Sofacy)로 알려진 조직이 미국 외교부, 민주당 등을 공격했다. 표적 공격은 공격 조직의 범죄 수익이 목

표일 수 있지만 정치, 군사, 경제, 외교 등의 갈등 상황에서 우위를 점하기 위한 목적인 경우도 있다. 표적 공격을 위해서는 공격 대상을 선별

하고, 선별된 대상에 대한 정보를 사전에 파악하는 것이 중요하다. 최근 트위터(Twitter), 텀블러(Tumblr), 링크드인(LinkedIn), 마이스페이스

(MySpace), 깃허브(GitHub) 등의 계정 정보가 대량으로 유출되었는데, 이러한 개인정보 유출 사고는 공격자들이 공격 대상을 물색하거나 사

전 정보를 수집하기에 아주 좋은 기회가 될 수 있으므로 지속적인 주의가 요구된다.

03 사회기반시설에 대한 다양한 공격 발생

사회기반시설에 대한 공격은 주로 적대적 공격자들에 의해 시도되고 있다. 2015년 12월 발생한 우크라이나 정전과 2016년 2월 방글라데시

중앙은행의 1천억 원 도난은 사이버 공격으로 밝혀졌다. 특히 방글라데시중앙은행 건은 국제은행간통신협회(SWIFT) 시스템에 대한 공격으로,

베트남과 필리핀, 우크라이나 등에서도 SWIFT 시스템에 대한 공격이 발견되었다. 이러한 전력과 금융 시스템에 대한 공격을 비교해 봤을 때,

올 초 국내에서 발생한 교통 안내 시스템 해킹은 장난에 가까울 정도다. 그리고 철도 시스템 같은 교통시설과 상수도, 댐 등을 노린 공격 시도

도 있었다.

국가 기반시설 시스템은 일반적으로 보안이 잘 되어 있으리라 믿고 있는 경우가 많다. 그러나 올해 발생한 여러 사건들과 독일 원자력 발전소

에서 구형 악성코드가 뒤늦게 발견된 점 등을 보면 보안 허점은 항상 존재한다는 것을 알 수 있다. 국가 기반시설은 사회적 영향이 크고 나아

가 국민의 안전과도 밀접한 관련이 있기 때문에, 국가는 편의성과 인프라의 안정성, 그리고 보안성에 대한 적절한 균형을 찾는 것이 필요하다.

04 ‘멀버타이징’과 ‘웹 익스플로잇 킷’의 양 날개를 달다

익스플로잇 킷이 랜섬웨어 시장 활성화에 따라 대량 감염을 위한 수단으로 적극 활용되면서 다양한 익스플로잇 킷(EK)이 등장했다. 2016년 상

반기까지 위세를 떨치던 앵글러(Angler) EK와 뉴클리어(Nuclear) EK의 활동은 종료되었으나 매그니튜드(Magnitude) EK, 뉴트리노(Neutrino)

EK, 리그(RIG) EK, 썬다운(Sundown) EK 등 다양한 EK의 활발하게 활동하고 있다.

또한 EK를 통한 악성코드의 유포에 멀버타이징 수법이 결합되었다. 멀버타이징은 애드웨어(Adware)의 네트워크 또는 사이트의 광고 배너를

활용하며, 특히 광고 업체의 서버를 통해 제공되는 광고 배너를 통해 EK의 다단계 리다이렉션(Redirection)을 악용한다. 이러한 점으로 인해

불특정 다수를 대상으로 하는 대규모 감염을 발생시키고, 유포지를 찾더라도 차단하기 어려운 상황이 증가하고 있다. 상반기 취약점을 통해 배

포되는 악성코드 상당수는 금전적 이윤을 추구하는 랜섬웨어와 파밍(Pharming)으로 양분화된 양상을 보였지만, 랜섬웨어의 전세계적인 유포

로 인해 파밍은 큰 주목을 받지 못했다. 랜섬웨어는 가상 화폐인 비트코인을 노리면서 유럽을 중심으로 활동하고 있고, 파밍은 동아시아를 중

심으로 계좌 정보를 탈취하며 실제 화폐를 탈취하는 특징을 보이고 있다.

05 루팅 시도 및 루트 권한을 악용하는 악성 앱 증가

2016년 상반기에는 루트 권한을 악용하는 악성 앱들이 많이 발견됐다. 악성 앱들이 루트 권한을 이용하는 이유는 사용자가 앱이 설치되는

것을 인지할 수 없게 하고, 보안 프로그램의 탐지와 삭제를 어렵게 하기 위함이다. 이렇게 설치되는 악성 앱들은 루트 권한을 이용해 개인정

보 탈취, 광고 노출, 사용자가 원치 않는 앱을 설치하는 등의 악성 행위를 한다. 2016년 수집된 루팅 악성 앱의 수를 보면 2015년 하반기 대

비 약 400% 증가한 수치로, 급격히 증가하는 양상을 보이고 있다. 최근에 발견된 갓리스(Godless) 악성 앱은 안드로이드 운영체제 5.1 버전

(Lollipop) 이하에서 루트 권한을 탈취하기 위해 여러 개의 취약점을 악용하는 것으로 확인됐다.

이와 같은 루트 권한 획득을 노리는 악성 앱들은 대부분 중국에서 만들어졌다. 앱 설치와 광고 노출을 통해 얻는 수익이 주 목적인 것으로 추

정되며, 앞으로도 꾸준히 증가할 것으로 예상된다.

2016 하반기 위협 전망 Top 5

01 블랙마켓에 기반한 악성코드 서비스(Malware-as-a-Service) 활성화

토르(TOR)를 통한 익명화와 다크 웹 사용이 간편해지면서 사이버 블랙마켓을 통해 악성코드 서비스(Malware-as-a-Service, 이하 MaaS)가 활

성화되고 있다. 이는 공급자(Vendor)가 사용자가 필요한 것을 서비스화(as-a-Service)하는 특징에 따라, MaaS를 통해 사이버 공격에 활용되는

다양한 서비스들을 제공하는 것을 의미한다. MaaS가 활성화됨에 따라 서비스 제공자 간의 경쟁도 심화되어, 사이버 공격에 필요한 요소들의

가격이 점차 낮아지고 기능과 종류가 다양해지고 있다. MaaS에서는 공격의 핵심이 되는 악성코드를 주문•제작하는 것은 물론이고 유포에 필

요한 제로데이 취약점, 난독화 서비스, 익스플로잇 킷, 스팸 네트워크까지 유료로 사용할 수 있다. 사이버 공격이 가능하도록 필요한 요소들을

사 모으기만 하면 되는 것이 흡사 대형마트에서 물건을 고르는 것과 유사하다.

MaaS 형태의 블랙마켓은 사이버 공격 인프라의 유지보수에서 발생하는 기술적인 문제점과 사이버 공격을 기획하고 실행하기 위해 필요한 전

문 지식을 모두 위탁하는 형태를 취하는데, 이러한 특징은 공격자가 되기 위한 진입장벽이 낮아졌다는 것을 알려준다. 이러한 이유로 2016년

77

상반기에 스팸과 익스플로잇 킷을 통한 악성코드 유포가 급증했고, 랜섬웨어가 그 대표적인 사례에 속한다. MaaS를 통해 공격에 필요한 요소

들을 여러 형태로 접목 가능하므로 앞으로 발생할 사이버 공격의 범위와 스펙트럼이 점점 다양해질 것으로 보이며, 디도스, 랜섬웨어, 금융 악

성코드와 같은 기존의 위협은 물론이고, 내부자 위협, 개인/기업 정보 유출, 표적 공격 등에 많이 악용될 것으로 예측된다.

02 사회기반시설을 노리는 사이버 테러의 위협 지속

사회기반시설에 대한 공격은 일반 해킹보다 성공하기 어렵고, 금융 기관 해킹 외에는 금전적 이익도 생기지 않는다. 그렇지만 성공할 경우 사

회적 혼란과 자신들의 선전 효과를 극대화할 수 있다. 특히 사회기반시설에 대한 사이버 테러는 일반적인 테러나 군사적 공격에 비해 추적과

보복이 어렵기 때문에 테러 단체의 테러 행위 또는 국가 단위에서 적성국 공격을 위해 많이 시도된다. 금전적 이득보다 종교적, 정치적 갈등에

서 공격의 동기를 찾을 수 있다. 종교적, 정치적 갈등은 쉽게 해결되기 어렵기 때문에 사회기반시설에 대한 공격은 앞으로도 계속될 것으로 예

상된다.

대부분의 사회기반시설은 인터넷에 직접적으로 연결하지 않은 망분리 상태로 운영되고 있는 것으로 알려져 있다. 그러나 여전히 인터넷에 연

결된 시스템이 존재하고, 시스템을 운용하는 사용자 입장에서 불편함을 이유로 보안 정책을 어기는 경우도 많다. 공격자들은 이러한 취약점을

찾아내기 위해 다양한 방식으로 사회기반시설에 대한 공격을 진행할 것으로 예상된다. 충분하지 못한 사전 예방과 대응은 큰 피해를 발생시킬

수 있기 때문에, 공격을 무력화하거나 피해를 최소화하기 위해 충분하고 꾸준한 사전 예방과 대응을 해야 한다.

03 랜섬웨어 위협의 증가로 인한 지속적인 피해 증대

랜섬웨어 위협은 상반기와 유사한 양상을 보이며, 더욱 많아질 것으로 보인다. 테슬라크립트, 뉴클리어(Nuclear) EK, 앵글러(Angler) EK가 상

반기에 활동을 종료하고, 록키를 유포하는 네커스(Nercus) 봇넷이 잠시 주춤했다. 그러나 최근 들어 네커스 봇넷이 록키와 서버 유포를 재개했

고, 활동을 종료한 앵글러(Angler) EK의 자리는 뉴트리노(Neutrino) EK가 빠르게 대체하고 있다. RaaS(Ransomware-as-a-Service)가 활성화

되고 랜섬웨어가 거대한 시장을 형성함에 따라, 지금보다 더욱 다양한 랜섬웨어가 출현할 것으로 예상된다. MBR 뿐 아니라 시스템의 다른 영

역으로 암호화 대상을 확대할 수 있으며, 의료기관을 노린 삼삼(SamSam)과 같이 제조업을 포함한 다른 산업 분야로 공격 대상을 확대할 가능

성도 배제할 수 없다. 최근에는 제로데이 취약점을 악용한 멀버타이징 기법을 통해 대규모 유포를 하는 만큼, 이미 알려진 랜섬웨어라도 더욱

광범위하게 활동하며 피해를 발생시킬 수 있다.

최근 브렉시트(Brexit) 사태로 인해 비트코인의 가격이 급등한 만큼, 비트코인을 요구하는 랜섬웨어의 활동이 더욱 활발해질 것으로 보인다. 특

히 보안 업체들의 적극적인 대응을 우회하기 위한 다양한 기능들을 추가적으로 도입할 것으로 예상된다.

04 내부에서 신뢰하는 공용 소프트웨어를 이용한 표적 공격

그 동안 국내에서 발견된 표적 공격 사례들을 살펴보면, 공격에 사용된 악성코드들은 주로 중앙 관리 솔루션과 웹, 이메일 등을 통해 유포되

는 방식을 보였다. 그러나 앞으로는 내부에서 사용하는 공용 소프트웨어를 통한 유포로 범위가 확장될 것으로 예상된다. 2016년 초 발생한 보

안 업체와 전사적자원관리(ERP) 업체의 디지털 서명 도용 사건은 공격자가 탈취한 인증서로 서명된 악성 프로그램을 제작하였고, 보안 업체의

DRM(Digital Rights Management) 솔루션 변조 사건은 내부에서 사용하는 보안 프로그램을 악용하여 공격한 것이다. 기업 내부에서 공용으

로 사용하는 소프트웨어와 운영서버로 공격 범위를 한정하여 유포함으로써 장기간 잠복할 수 있었다. 일반적으로 내부 배포 서버와 이를 통해

관리하는 공용 소프트웨어는 내부망을 통해서 관리되기 때문에, 사용자들이 별다른 의심을 하지 않는 신뢰 구간으로 여겨져 왔다. 이와 같이

유출된 인증서로 인해 변조된 공용 소프트웨어를 내부 배포 서버를 통해 배포하는 방식으로 네트워크의 신뢰 구간을 이용하여 공격하면, 관리

자와 사용자들의 의심을 사지 않고 다수의 시스템을 장악할 수 있기 때문에 발견이 힘들고 그 피해도 클 수 밖에 없다. 앞으로 이러한 공용 소

프트웨어의 신뢰 구간을 이용한 공격 방식이 점차 증가할 것으로 예상되기 때문에 꾸준한 주의가 요구된다.

05 핀테크 서비스에 대한 모바일 보안 위협 등장

핀테크 서비스가 늘어남에 따라 관련 금융 정보를 노리는 악성 앱들이 등장할 것으로 보인다. 2014년 말, 핀테크가 화두가 되고 다양한 모바

일 간편 결제 서비스가 소개되었다. 최근에는 단말 제조사에서 서비스하는 모바일 간편 결제와 애플리케이션을 이용한 간편 결제 서비스들이

폭넓게 사용되고 있다. 이러한 결제 서비스를 악용하여 금전적 이득을 취하려는 악성 앱들이 등장할 가능성이 있다. 과거에도 모바일 소액 결

제를 노리는 악성 앱들이 있었고, 지금도 모바일 뱅킹 애플리케이션으로 사칭하여 개인 금융 정보를 탈취하는 악성 앱들이 계속해서 나타나고

있다. 간편 결제 등 핀테크 서비스가 사회 전반으로 확대된만큼 관련 위협이 나타날 것으로 보인다.

8

P R O D U C T I S S U E AhnLab MDS

8

AhnLab MDS 10000 출시

안랩이 오는 8월 9일, 지능형 위협 대응 전용 보안 솔루션인 AhnLab MDS의 라인업 강화를 위해 ‘MDS 10000’을 출시한다. AhnLab

MDS 10000은 대용량 트래픽 처리 성능이 요구되는 네트워크 환경에 최적화되어 설계된 하이엔드 장비로, 기존 라인업과 함께 다양

한 고객사 환경에 더욱 효율적으로 적용할 수 있게 됐다. 특히 뛰어난 분석 성능과 트래픽 처리 성능으로 복잡하고 광범위한 네트워크

를 구성하고 있는 대기업, 그룹사, 중앙부처나 트래픽에 민감한 금융사의 보안 요구사항을 만족시킬 전망이다. 또 다수의 장비 대신 단

일 장비를 이용해 다수의 에이전트 관리까지 가능해 운영 편의성과 효율성 측면에서 중견 기업의 보안 관리자에게도 반가운 소식이 될

것으로 보인다.

안랩, MDS 10000으로

하이엔드 시장 공략 나선다

AhnLab MDS(이하 MDS)는 지능형 위협(Advanced Persistent Threats, APT) 대응 솔루션으로, 기업 내부로 유입되는 파일을 네트워크단에서

수집 및 탐지하고 샌드박스를 기반으로 신종 악성코드 및 익스플로잇에 대해 정적 및 동적 분석을 수행한다. 행위 분석과 독자적인 동적 콘텐

트 분석(Dynamic Intelligent Content Analysis, DICA) 기술을 이용해 악의적인 행위의 발생 여부나 종류에 관계없이 악성코드를 정확하게 분

석해 랜섬웨어는 물론 제로데이 공격, 샌드박스 분석을 우회하는 악성코드까지 탐지한다. 이번 MDS 10000 모델 출시로 MDS의 강력한 분석

성능이 더욱 주목받게 됐다.

뛰어난 VM 분석 성능, 대용량 처리

기업 환경에 따라 하루 평균 수천~수만 개의 파일이 네트워크 상에서 생성 및 이동하기 때문에 샌드박스(가상머신) 기반의 동적 분석 성능이

기업의 지능형 위협 대응력을 좌우한다고 해도 과언이 아니다. 안랩 자체 테스트 결과, MDS 10000은 일일 최대 20만건 이상의 파일에 대한

가상머신(Virtual Machine, 이하 VM) 동적 분석이 가능하다.

또한 하나의 장비에서 다중 미러링이 가능해 웹, 이메일, 망연계 구간, 파일 서버 등 다양한 탐지 구간에서 대용량 처리가 가능하다.

올인원 형태로 이용 가능, 가성비 뛰어나

기존 MDS 6000 모델에 이어 MDS 10000에서도 이메일 격리(MTA: Mail Transfer Agent) 기능을 이용할 수 있다. 이메일 격리란 의심스러운

이메일을 탐지하여 분석과 동시에 격리하는 기능으로, 스피어 피싱을 이용한 지능적인 공격뿐만 아니라 이메일 첨부 파일 형태로 유입되는 신·

변종 랜섬웨어에도 효과적으로 대응할 수 있다. MTA 라이선스 적용 방식으로 솔루션 도입이 편리하며, MDS 10000 또는 MDS 6000 모델에

서 이용할 수 있다.

고객사 환경에 따라 고성능 분석 장비인 MDS 10000을 올인원(all-in-one) 형태로 이용할 수 있다. 즉, MDS 10000 장비 하나로 탐지 및 분석

부터 모니터링, 에이전트 관리까지 가능하기 때문에 다수의 장비 도입 및 운영에 어려움을 겪는 중견 기업에서도 가성비 대비 뛰어난 도입 효

과를 얻을 수 있다.

99

에이전트 격리, 최신 OS 지원 등 기능 업그레이드까지

안랩은 하이엔드급 장비 출시와 함께 MDS의 기능도 업그레이드했다. 우선 ‘에이전트 격리’ 기능을 추가했다. PC 등 특정한 에이전트에 위험

또는 의심스러운 정황이 발견될 경우 해당 에이전트의 네트워크 연결을 차단함으로써 위협의 내부 확산을 방지하는 기능이다. 해당 에이전트

가 안전한 것으로 판단되면 네트워크 연결을 허용할 수 있다.

사용자의 거부감을 최소화하고 시스템 리소스 영향을 최소화하기 위해 MDS 에이전트를 V3 제품과 통합 에이전트 형태로 지원한다. 기존에

는 V3 엔드포인트 시큐리티9.0(V3 Endpoint Security) 이용 시에만 통합 에이전트가 제공됐지만 이번 업그레이드를 통해 V3 인터넷 시큐리티

9.0(V3 Internet Security) 이용 고객도 MDS 통합 에이전트를 이용할 수 있게 됐다.

안랩은 또한 랜섬웨어를 비롯해 지속적으로 고도화되는 공격에 종합적으로 대응하는 동시에 고객의 운영 부담은 최소화하기 위해 타 보안 솔

루션과의 연동을 지원한다. 방화벽, 스팸차단 솔루션, SSL 복호화 솔루션 등과의 연동을 통해 기존 인프라에 영향 없이 다양한 경로로 유입되

는 지능형 보안 위협에 실시간으로 대응하는 강력한 보안 체계를 제공한다는 전략이다. 이 밖에도 VM 환경에 윈도우 10(Windows 10)을 지원

하는 등 최신 IT 환경에서의 위협 탐지력을 차별화했다.

안랩은 플랫폼 안정화 등을 통해 기존 MDS 라인업의 성능 및 기능도 지속적으로 강화할 예정이다. 이상국 안랩 EP사업기획실 실장은 “하이

엔드 장비인 MDS 10000 출시로 대규모 시장뿐만 아니라 보안 운용과 비용의 효율화를 꾀하는 중견 기업까지 시장을 확대할 수 있게 됐다”며

“지속적인 기능 및 성능 강화를 통해 고객의 비용 절감과 안정적인 비즈니스 운영에 기여할 것이다”라고 말했다.

10

H O T I S S U E Anti-Ransomware

10

안랩은 최근 강력한 랜섬웨어 대응 및 사용자의 피해 방지를 위해 ‘안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)’을 개발,

홈페이지를 통해 무료로 배포하고 있다. 랜섬웨어의 피해는 날로 심각해지고 있는 반면, 지금까지의 랜섬웨어 대응은 보안 업데이트

적용이나 데이터 백업 등 다소 소극적이었던 터라 안랩 안티랜섬웨어 툴 베타 버전이 사용자들의 환영을 받고 있다. 안랩 안티랜섬웨

어 툴은 특히 연일 등장하는 신•변종 랜섬웨어 대응에 큰 효과를 발휘할 전망이다.

안랩 안티랜섬웨어 툴이 무엇인지, 다른 안티랜섬웨어 프로그램과 무엇이 다른지 Q&A로 알기 쉽게 정리했다.

안랩 안티랜섬웨어 툴, ‘이것’이 궁금하다

Q1. 안랩 안티랜섬웨어 툴은 무엇인가?

안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)은 랜섬웨어 대응 전용 프로그램으로, 안랩은 보다 신속하게 신•변종 랜섬웨어에 대응

하여 사용자 피해를 최소화하기 위해 베타 버전을 무료로 제공하고 있다. 랜섬웨어로 의심되는 파일 및 프로세스를 별도의 가상 환경에 격리

하여 검사 및 차단함으로써 사용자의 PC를 보호한다.

Q2. 안랩 안티랜섬웨어 툴이 다른 안티랜섬웨어 프로그램들과 다른 점은 무엇인가?

안랩 안티랜섬웨어 툴은 클라우드 진단과 가상 환경 기술을 이용해 알려진 랜섬웨어와 신•변종 랜섬웨어를 신속하고 효율적으로 진단 및 차단한다.

안랩 안티랜섬웨어 툴은 이메일(웹 메일) 및 인터넷 브라우저를 통해, 또는 취약한 웹 사이트 방문이나 광고 배너 클릭을 통해 새로운 파일이

사용자의 PC에 다운로드되어 실행될 때 의심스러운 파일을 검사한다. 이때 효율적인 랜섬웨어 진단을 위해 먼저 ASD 클라우드로 랜섬웨어 여

부를 진단한다. ASD 클라우드 진단에서도 확인되지 않은 파일은 PC에 설정된 별도의 가상 환경에 격리하여 검사한다. 해당 파일이 랜섬웨어

이더라도 검사하는 동안 PC의 다른 영역에 영향을 미치지 않는다.

가상 환경에서는 해당 파일을 실행하여 행위 기반 모니터링 기술로 신•변종 랜섬웨어까지 탐지한다. 안랩 안티랜섬웨어 툴이 사용하는 가상 환

경은 사용자 PC의 다른 영역과는 완전히 격리된 별도의 공간이기 때문에 이 가상 환경에서 실행되는 랜섬웨어는 PC의 데이터를 손상시키지

않는다.

안랩 안티랜섬웨어 툴은 [표 1]과 같이 실행파일(.exe/.dll)을 비롯해 zip, js, ps1, vbs, vbe 등 최근 랜섬웨어들이 자주 이용하는 다양한 형식

으로 위장한 의심스러운 파일을 검사한다.

[그림 1] 안랩 안티랜섬웨어 툴(Beta) 웹사이트

1111

Q3. 왜 가상 환경에 랜섬웨어를 격리해야 하나? 바로 진단할 수는 없나?

안랩 안티랜섬웨어 툴이 가상 환경을 통한 격리 기능을 적용한 이유는 랜섬웨어라는 악성코드의 특성 때문이다. 랜섬웨어가 실행되면 PC 내

의 파일들이 암호화되면서 피해가 발생한다. 안랩 안티랜섬웨어 툴은 사용자 PC로 유입된 새로운 파일이 실행되는 시점부터 격리된 가상 환경

으로 전환해 파일을 실행한다. 따라서 가상 환경 외의 사용자 환경에 존재하는 파일들은 랜섬웨어에 영향을 받지 않는다. 랜섬웨어가 생성하는

레지스트리 런(Run) 키 설정이나 시작 프로그램 폴더에 생성하는 파일들도 가상 환경에만 생성되기 때문에 PC가 재부팅되더라도 랜섬웨어의

피해를 입지 않는다.

일반적인 가상화 기술은 시스템 리소스를 많이 사용하지만, 안랩 안티랜섬웨어 툴은 독자적인 가상화 기술을 적용해 시스템 리소스 사용을 최

소화했다. 또한 웹 브라우저를 통해 PC로 새로 유입되는 파일 또는 프로세스만을 검사함으로써 시스템 리소스 사용을 최소화한다.

Q4. 안랩 안티랜섬웨어 툴 설치 이후 PC 상에 나타나는 것이 없는데?

안랩 안티랜섬웨어 툴 설치 시 아래 [그림 2]와 같은 화면이 나타난다. 그러나 설치 후 사용자가 일반적인 작업이나 웹 서핑 등을 할 때는 오른

쪽 하단에 트레이 아이콘([그림 2]의 ②)으로 존재한다. 사용자의 불편을 최소화하기 위한 조치이다.

이후 인터넷 또는 이메일(웹 메일) 등을 통해 다운로드되는 파일들을 모니터링하고 있다가 사용자가 파일을 열거나 실행하는 순간 가상 환경으

로 격리하여 검사를 수행한다. 이때 [그림 3]의 왼쪽과 같이 파일을 검사 중이라는 알림창이 나타난다. 해당 파일이 랜섬웨어로 진단되면 [그림

3]의 오른쪽의 이미지와 같은 알림창이 나타난다.

[표 1] 안랩 안티랜섬웨어 툴의 검사 대상

검사 대상 상세 내용

실행 파일(exe, dll) 인터넷 브라우저/웹 메일을 통해 다운로드된 실행 파일

zip 파일/zip 파일 내부에 존재하는 실행파일이나 스크립트 파일

(.js, .ps1, .vbs, .vbe)

사용자가 인터넷 브라우저/웹 메일에서 다운로드한 zip 파일 및

zip 파일 내부에 존재하는 실행 파일이나 스크립트 파일

[그림 2] 안랩 안티랜섬웨어 툴 설치 화면

[그림 3] 안랩 안티랜섬웨어 툴 알림창

1212

Q5. MBR을 파괴하는 랜섬웨어도 대응할 수 있나?

안랩 안티랜섬웨어 툴은 의심스러운 파일이 PC에 설치되면 해당 파일을 별도의 가상 환경에 격리하기 때문에 PC에 위협이 되는 행위, 즉 MBR

파괴나 시스템 재부팅, 시스템 강제 종료 등을 차단한다. 특히 2016년 7월 출시일 기준, 무료로 제공되는 안티랜섬웨어 프로그램 중 MBR 보호

기능을 제공하는 프로그램은 안랩 안티랜섬웨어 툴이 유일하다.

* MBR(Master Boot Record): PC 하드디스크의 첫 번째 영역으로, 운영체제(OS)를 동작하는데 필요한 정보들이 저장되어 있다. MBR 영역이 파괴되면 PC를

이용할 수 없게 되는 등 치명적인 피해가 발생한다.

Q6. 안랩 안티랜섬웨어 툴은 어떻게 이용할 수 있나?

안랩 안티랜섬웨어 툴(Beta)은 안랩 홈페이지 랜섬웨어 보안센터에서 무료로 다운로드할 수 있다(▶ ‘안랩 안티랜섬웨어 툴’ 설치하기). 설치

시 주의할 점은, 설치 후 메인 화면에서 기능이 ‘On‘ 상태인지 반드시 확인해야 한다는 것이다([그림 2]의 ①). ‘Off’로 되어 있을 경우 작동하지

않기 때문이다.

Q7. 안랩 안티랜섬웨어 툴을 설치하면 V3 없이도 랜섬웨어 대응이 가능한가?

안랩 안티랜섬웨어 툴은 랜섬웨어 대응 전용 프로그램으로, 랜섬웨어로 의심되는 파일만 검사 및 진단한다. 따라서 랜섬웨어 이외의 스파이웨

어, PUP(Potentially Unwanted Program), 트로이목마 등 수많은 악성코드에 대해서는 탐지 및 대응이 불가능하다. 또한 V3는 알려진 랜섬웨

어에 대해 탐지하는 즉시 치료도 가능하다. 따라서 V3와 함께 안랩 안티랜섬웨어 툴을 사용하면 급격히 증가하고 있는 신•변종 랜섬웨어에 대

한 보다 적극적이며 효율적인 멀티레이어드 대응(Multi-Layered Detect and Response)이 가능하다.

현재 베타 버전으로 제공되는 안랩 안티랜섬웨어 툴은 개인, 기업 구분 없이 누구나 이용할 수 있다. 안랩은 앞으로도 안티랜섬웨어 툴의 성능

을 강화하고 안정화를 위해 지속적으로 업데이트할 예정이다. 아울러 V3 및 안랩 MDS 등 자사 제품의 랜섬웨어 대응력을 지속적으로 강화하

고 있다.

13

Locky RansomwareT H R E A T A N A L Y S I S

록키(Locky) 랜섬웨어는 2016년 2월 처음 발견된 이후 심각한 피해를 입히며 이슈가 됐다. 발견 당시 암호화된 파일의 확장자 뒤에

locky를 붙이는 것으로 알려졌지만, 최근 확장자를 zepto로 변경하는 록키 랜섬웨어가 발견됐다. 뿐만 아니라 문서 파일로 유포하던

것에서 나아가 스크립트 파일로 유포하기 시작했다. 이 글에서는 지속적으로 진화하며 사용자들을 위협하는 록키 랜섬웨어에 대해

살펴본다.

진화하는 록키 랜섬웨어

록키 랜섬웨어 상세 분석

록키 랜섬웨어는 드라이덱스(Dridex)로 알려진 해외 금융 관련 악성

코드를 배포했던 그룹의 네커스 봇넷(Necurs Botnet)을 통해 배포되

는 것으로 알려져 있다. 네커스 봇넷이 2016년 6월 1일 이후 활동을

중단하면서 드라이덱스와 록키 랜섬웨어도 잠시 주춤했으나, 6월 마

지막 주부터 네커스 봇넷이 활동을 재개하면서 록키 랜섬웨어의 유포

도 다시 활발해지고 있는 상황이다.

이번에 발견한 zepto 변경 사례도 기존처럼 docm 파일을 첨부해 유

포하고 있다. 특히 [그림 1]과 같이 메일의 송신자(보낸 사람) 정보를

조작해 수신자(받는 사람) 주소와 동일하게 표시한 것을 확인할 수 있

다. 이는 사용자가 의심하지 않고 무심코 첨부 파일을 열어볼 확률이

높다는 점을 노린 것으로, 사용자의 각별한 주의가 필요하다.

[그림 1] 록키 랜섬웨어를 다운로드하는 스팸 메일

[그림 2] 록키 랜섬웨어 감염 바탕화면

[표 1] 실행파일의 생성 경로 및 정보

첨부된 docm 파일 내부에는 록키 랜섬웨어를 다운로드해 감염시키

는 매크로 스크립트가 포함되어 있다. 해당 파일을 실행하면 사용자

가 모르게 다음 경로에 실행파일이 다운로드된 다음 실행된다.

이 실행 파일이 바로 록키 랜섬웨어다. 파일이 실행되면서 사용자도

모르는 사이에 암호화를 진행한다. 암호화가 완료되면 감염 사실을

알리기 위해 [그림 2]와 같이 갑자기 바탕화면이 바뀌고, 바탕화면에

생성된 html 파일과 png 파일이 실행되면서 결제를 요구한다.

C:\Documents and Settings\User\Local Settings\Temp\filarmon.exe

암호화가 완료되면 [그림 3]에서 보듯 확장자에 locky를 추가하는 것

이 아니라, zepto를 추가한 것을 확인할 수 있다. 특히 파일명도 변경

되는 것을 확인할 수 있는데, 앞에 ‘-‘를 제외한 16진수 16글자가 감

염된 시스템마다 부여되는 ID 값이다. 또 ‘_숫자_HELP_instructions.

html’과 같은 형태로 안내 파일을 생성하며, 파일명의 숫자는 폴더

별로 생성되면서 값이 증가한다.

[그림 3] 랜섬웨어 감염 전(위)과 후(아래)

14

이 록키 랜섬웨어는 특정 외부 서버와 통신하는데, 주로 감염된 시스템

의 정보를 전송해 제작자가 추후에 식별할 수 있도록 하거나, 이미 감

염된 시스템을 암호화 대상에서 제외하기 위한 목적으로 보인다.

V3 제품에서는 해당 랜섬웨어를 다음과 같은 진단명으로 탐지하고

있다.

<V3 제품군의 진단명>

Trojan/Win32.Locky (2016.07.07.01)

W97M/Downloader (2016.07.07.04)

다양한 스크립트 파일 형태로 유포

확장자를 zepto로 변경하는 록키 랜섬웨어는 문서 형태가 아닌 스크

립트 파일 형태로도 유포되고 있다.

스팸 메일의 첨부 파일을 통해 유포되는 스크립트 파일 형태는 자바

스크립트(JavaScript, 이하 JS) 및 윈도우 스크립트 파일(Windows

Script File, 이하 WSF)이다.

유포된 JS 및 WSF는 공격자의 유포지로부터 랜섬웨어를 다운로드하

여 실행한다. 이전에는 유포지에서 다운로드한 파일이 윈도우 실행파

일(PE 파일 구조)인 것을 바로 확인할 수 있었다. 이 실행파일이 바로

랜섬웨어로, 다운로드된 후 바로 실행되어 암호화를 진행했다. 그러나

최근에는 [그림 4]와 같이 윈도우 실행파일이 아닌 인코딩(Encoding)

된 파일이 다운로드되어 어떤 파일인지 바로 확인할 수 없다.

하지만 스팸 메일을 통해 유포된 이 난독화 파일을 복호화하면 이전과

다른 점을 발견하게 된다. [그림 5]와 같이 유포지로부터 파일을 다운

로드한 다음 추가로 디코딩하여 실행파일을 재생성하여 실행한다는 점

이다.

이때 생성된 실행파일이 랜섬웨어로, 문서 형태로 유포되는 록키 랜섬

웨어와 동작이 유사하다. ‘%Temp%’ 경로에 생성되어 실행된 후 C&C

서버와 통신한다.

이후 감염된 시스템의 드라이브 정보를 검색하여 파일 암호화를 진행한다.

록키 랜섬웨어 초기에는 실행파일로 유포됐으나, 최근에는 실행파일을

다운로드하는 스크립트로 유포하는 경우가 많다. 스크립트는 작성이나

변경이 용이하여 다수의 파일을 짧은 시간 안에 생성할 수 있기 때문에

수많은 랜섬웨어 다운로더 스크립트들이 발견되고 있다.

백신 제품으로 록키 랜섬웨어를 진단하고 치료할 수는 있다. 하지만 별

도의 복구툴이 없기 때문에 암호화된 파일을 복구할 수 있는 방법이 없

다. 이러한 경우 백업된 파일을 복원하는 방법이 최선이다. 따라서 백

업을 생활화해야 하며, 랜섬웨어 감염을 예방하기 위해 사용 중인 백신

을 최신 엔진으로 업데이트하고 의심스러운 메일의 첨부 파일은 실행

하지 않는 것이 가장 중요하다.

V3 제품에서는 해당 랜섬웨어를 다음과 같은 진단명으로 탐지하고 있다.

<V3 제품군의 진단명>

JS/Obfus.S82(2016.07.14.00)

BinImage/Lockyenc (2016.07.13.08)

Trojan/Win32.Locky (2016.07.13.03)

[그림 4] 인코딩된 다운로드 파일 정보

[그림 6] 감염 후 암호화된 파일들

[그림 7] 감염 안내 메시지

[표 2] 실행 파일의 생성 경로 및 정보

%Temp%ZpWB2gsZ9prv7SMD.exe

[그림 5] 복호화한 JS 파일 내용의 일부

15

안드로이드 스마트폰 이용자라면 먼저 내 스마트폰의 저장공간부터 확인해보자. ‘앱스’ – ‘설정’ – ‘저장공간’을 차례로 클릭하면 사용 중인 저

장공간과 사용 가능한 저장공간을 확인할 수 있다. 저장공간이 충분하지 않다면 지금 바로 아래에서 소개하는 방법을 실행해보자.

1. 카카오톡 미디어 파일 삭제

지인들과 카카오톡을 통해 주고받은 사진과 동영상이 스마트폰 용량을 차지하는데 큰 몫을 한다는 사실을 알고 있는가? 카카오톡을 삭제하고

다시 설치하는 방법도 있지만 지우고 싶지 않은 메시지도 있어서 선뜻 망설여진다. 이런 경우 ‘미디어 파일 삭제 기능’을 이용하면 간단하게 스

마트폰의 용량을 늘릴 수 있다. 대화창을 선별해 파일 삭제가 가능하다는 점 또한 유용하다.

방법은 간단하다. 카카오톡 대화창 상단에서 ‘더보기’ 메뉴를 클릭한 뒤, 톡게시판의 톱니바퀴 모양의 ‘설정’을 누르면 채팅방 정보가 나온다.

여기서 맨 아래의 ‘미디어 파일 모두 삭제’를 누르고 ‘확인’을 클릭하면 저장된 사진, 동영상, 음성 메시지 등의 파일이 삭제된다. 한 채팅창의

미디어 파일만 삭제했을 뿐인데 2.61GB가 확보됐다. 사진과 동영상을 자주 주고 받는 사람이라면 더욱 유용한 기능이니 꼭 활용해보자.

I T & L I F E

스마트폰에도 다이어트가 필요해!

‘저장공간이 부족합니다’

스마트폰으로 동영상을 찍으려고 하는데, 이런! 또 저장공간이 부족하다. 임시방편으로 사진을 지우고 앱도 정리해보지만 저장공간이

없어 카메라가 작동하지 않는 일이 또다시 발생한다. 이처럼 만성적인 ‘스마트폰 저장공간 부족’ 현상을 겪는 사람이라면 사진 몇 장, 앱

한 두 개를 지워서 해결할 수 있는 문제가 아니다. 스마트폰 여기저기에 쌓여 있는 불필요한 앱과 파일을 지우고 사진과 동영상을 정리

하는 대대적인 다이어트가 필요하다. 한결 가벼워진 스마트폰은 당분간 저장공간 부족으로 인한 스트레스로부터 해방시켜 줄 것이다.

[그림 1] 카카오톡 대화창 내 미디어 파일 삭제 방법

16

2. 사진 및 동영상 정리하기

사진과 동영상 파일은 스마트폰 저장공간의 상당부분을 차지한다. 대부분의 사람들이 찍은 사진과 동영상을 쌓아두고 보기만 할 뿐 정리하려

고 하지 않는 점이 문제! 하지만 사진과 동영상 관리만 제대로 해도 스마트폰 저장공간 부족을 걱정할 필요가 없어진다. 이를 관리하는 효율적

인 방법 중 하나는 클라우드 서비스를 활용하는 것이다.

사진 등 파일 정리에 유용한 클라우드 서비스에는 구글 포토, 네이버 클라우드, 드롭박스 등이 있다. 특히 구글 포토의 경우 사진 백업을 무제

한으로 지원하고 있으니 참고하자(물론 원본 파일이 아니라, 사진의 경우 75MB, 동영상의 경우 10GB라는 제약이 있다). 약간의 설정과 백업

을 위한 추가적인 시간이 들어가는 건 사실이지만 외장 메모리를 사는 비용 발생 없이도 파일을 관리할 수 있다는 건 큰 장점이다. 사진은 클

라우드에 옮기고 폰 안에 있는 사진은 과감하게 삭제하길 권한다.

구글 포토 사용법을 살펴보자. 구글 포토 앱을 실행한 뒤 좌측 상단의 ‘더보기’ – ‘설정’ – ‘백업 및 동기화 설정’을 클릭한다. ‘업로드 크기’를 무

제한으로 이용하려면 원본 모드가 아닌 고화질 모드를 선택해야 한다. 모바일 데이터 백업은 와이파이가 아닌 상태에서 백업을 할지 여부를

선택하는 메뉴로 무제한 요금제를 사용하는 게 아니라면 비활성화로 해두면 된다. 배터리에 대한 압박이 있다면 충전 중에만 백업하는 옵션을

선택하는 것이 좋다. ‘기기 저장용량 확보’ 메뉴는 구글 포토에 업로드되어 백업된 스마트폰 기기 내 사진을 지우는 메뉴로, 세팅이 완료된 뒤

에 실행하면 된다.

컴퓨터뿐 아니라 스마트폰의 주기적인 파일의 백업은 보안상의 이유나 휴대폰 분실 등을 대비해서도 매우 유용하다는 점을 잊지 말자.

3. 불필요한 앱 지우기

호기심에 다운받았지만 지금은 사용하지 않는 앱이 앱 서랍 어딘가에 남아 있다. 이벤트에 참여하려고 다운 받았던 앱도 저장공간만 차지한

채 그대로다. 이런 앱을 정리하면 스마트폰이 한결 가벼워진다. 스마트폰 바탕화면에서 ‘앱스’ – ‘설정’ – ‘애플리케이션’ – ‘애플리케이션 관리

자’를 클릭한 뒤 삭제하고자 하는 앱을 선택한 뒤, ‘캐시 삭제’ – ‘데이터 삭제’ – ‘삭제’를 차례로 누르면 앱 삭제가 완료된다.

안랩 시큐리티레터에서 소개한 <불필요한 앱을 삭제하는 ‘완벽한’ 방법>을 참고하면 앱을 삭제하는 자세한 방법을 확인할 수 있다.

[그림 2] 구글 포토에 사진 백업하는 방법

[그림 3] 불필요한 앱 삭제 방법 (안드로이드)

17

보안 통계와 이슈 S T A T I S T I C S

[그림 2]는 2016년 6월 한 달간 유포된 악성코드를 주요 유형별로

집계한 결과이다. 불필요한 프로그램인 PUP(Potentially Unwanted

Program)가 41.52%로 가장 높은 비중을 차지했고, 트로이목마

(Trojan) 계열의 악성코드가 24.49%, 웜(Worm)이 6.96%의 비율로

그 뒤를 이었다.

지난 6월 한 달간 탐지된 모바일 악성코드는 32만 1,654건으로 집계

됐다.

안랩 시큐리티대응센터(이하 ASEC)는 최근 ASEC Report Vol.78을 통해 지난 2016년 6월의 보안 통계 및 이슈를 전했다. 지난 6월

의 주요 보안 이슈를 살펴본다.

크로스플랫폼(Cross-Platform)

애드웨어 주의

안랩, 6월 악성코드 통계 및 보안 이슈 발표

ASEC이 집계한 바에 따르면, 2016년 6월 한 달간 탐지된 악성코드

수는 1,046만 7,643건으로 나타났다. 이는 전월 1,212만 9,597건에

비해 166만 1,954건 감소한 수치다. 한편 6월에 수집된 악성코드 샘

플 수는 302만 2,206건이다.

[그림 1] 악성코드 추이(2016년 4월~2016년 6월)

샘플 수집 수탐지 건수

5,000,000

6,000,000

10,000,000

20,000,000

30,000,000

40,000,000

1,000,000

2,000,000

3,000,000

4,000,000

6월5월4월

10,467,64312,129,59711,564,967

3,02

2,20

6

2,95

7,21

2

3,24

5,83

7

[그림 2] 2016년 6월 주요 악성코드 유형

Adware DownloaderWormTrojanetcPUP

6.96%

24.49%

25.62%

41.52%1.1%

0.31%

[그림 3] 모바일 악성코드 추이(2016년 4월 ~ 2016년 6월)

100,000

200,000

300,000

500,000

600,000

700,000

400,000

0

6월5월4월

321,654

208,702247,847

18

맥(Mac) 운영체제도 노리는 크로스플랫폼 애드웨어

최근 ARM 아키텍처 기반 프로세서를 비롯해 iOS, 안드로이드

(Android) 등 다양한 운영체제를 사용하는 추세에 따라 운영체제, 즉

플랫폼에 관계없이 동작하는 크로스플랫폼(Cross-Platform) 소프트웨

어가 다수 개발되고 있다. 최근에는 애드웨어(Adware)까지 크로스플

랫폼 형태로 등장했다.

크로스플랫폼 프레임워크를 이용해 제작된 피릿(Pirrit) 애드웨어

가 해외 보안업체를 통해 알려졌다. 기존의 피릿 애드웨어는 윈도우

(Windows) 운영체제에서 동작하며, 2014년 처음 발견된 후 지속적으

로 나타나고 있다. 다양한 프로그램에 포함되어 함께 설치되며, 웹 브

라우저의 프록시 설정을 변경하고 사용자가 웹 서핑을 할 때 [그림 5]

와 같이 광고 팝업창을 보여준다.

이번에 발견된 맥(Mac) OS X용 피릿 애드웨어도 다양한 유틸리티 프

로그램에 포함되어 유포된 것으로 추정된다. 이 애드웨어에 포함된

문자열을 확인한 결과, 맥 OS X에서 실행되는 애드웨어임에도 불구

하고 [그림 6]과 같이 윈도우 레지스트리 키(Windows Registry Key)

값을 포함하고 있다.

한편 이 악성코드는 기존 윈도우용 피릿 애드웨어와 마찬가지로 시스

템의 프록시 설정 변경을 시도한다. 그러나 시스템 내의 http 트래픽

을 라우팅하기 위해 http 프록시(proxy) 서버를 9882 포트로 실행하

는 등 기존 피릿 애드웨어와 차이를 보인다.

최근 다양한 디바이스와 운영체제를 이용하는 사용자들이 늘어나면

서 보안의 범위 또한 넓어지고 있다. 여전히 맥(Mac) OS가 윈도우

(Windows) OS에 비해 안전하다는 인식이 남아있다. 그러나 최근 발

견되는 맥 악성코드를 살펴보면 윈도우 악성코드에 비해 유포 수만

적을 뿐, 기능과 방식 모두 유사하다. 또한 오픈소스와 크로스플랫폼

개발 프레임워크가 발전함에 따라 윈도우 외의 다른 플랫폼을 노리는

악성코드 수가 점점 증가하고 있는 추세다. 따라서 윈도우 OS 외에

맥 등 다른 OS를 사용하는 경우에도 프로그램 설치 시, 또는 스팸 메일

에 포함된 첨부 파일 실행 시 악성코드 감염에 대한 주의가 필요하다.

V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지하고

있다.

<V3 제품군의 진단명>

OSX64-ADWARE/DLNOW.141732(2016.06.03.00)

OSX64-ADWARE/PIRRIT.414196 (2016.06.03.00)

[그림 5] 윈도우 기반의 피릿(Pirrit) 애드웨어(*출처: Microsoft.com)

[그림 6] 피릿 애드웨어 문자열에 포함된 윈도우 레지스트리 키 값

또한 지난 6월 악성코드 유포지로 악용된 도메인은 340개, URL은

1,682개로 집계됐다. 6월의 악성 도메인 및 URL 차단 건수는 총 503

만 1,326건이다.

[그림 4] 악성코드 유포 도메인/URL 탐지 및 차단 건수(2016년 4월 ~ 2016년 6월)

악성 도메인/URL 차단 건수 악성코드 유포 URL 수악성코드 유포 도메인 수

10,000

20,000

30,000

8,000,000

9,000,000

40,000

7,000,000

6,000,000

5,000,000

4,000,000

06월

1,6823402,6919612,216648

5월4월

5,031,326

6,109,6356,373,536

1919

A H N L A B N E W S

차세대 방화벽 ‘안랩 트러스가드(TrusGuard)’가 한국정보통신기술

협회(TTA)의 GS(Good Software) 인증을 획득했다.

‘안랩 트러스가드’는 고성능 하드웨어와 이에 최적화된 전용 소프트

웨어를 탑재한 제품으로, ISO 국제표준을 기준으로 정부가 부여하

는 GS 인증을 통해 해당 소프트웨어의 기능성과 우수성을 인정 받

았다.

국내외 시장 요구사항이 반영된 고객 중심 제품인 ‘안랩 트러스가

드’는 ▲고도화된 애플리케이션 컨트롤(Application Control) ▲

사용자 ID 기반 정책 설정·관리 ▲정교한 IPS ▲데이터유출방지

(Data Loss Prevention, DLP) ▲암호화된 트래픽 가시성 확보(SSL

Inspection) 등 차세대 방화벽 기능 고도화에 중점을 뒀다.

또한 ‘시큐리티 인텔리전스(Security Intelligence)’를 기반으로 잠

재적인 보안 위협이 될 수 있는 ‘악성코드 유포 URL에 대한 접속’이

나 ‘APT 공격에 악용되는 C&C 서버와의 통신’, ‘알려지지 않은 실행

파일의 내부 유입’ 등을 탐지 및 차단한다.

특히 지능형 위협 대응 솔루션 ‘안랩 MDS(Malware Defense

System)’와 연동 시, 내부로 유입되는 파일 중 알려지지 않은 파일

과 악성 의심 URL에 대한 동적 분석이 가능해 보다 체계적인 위협

대응이 가능하다.

고광수 안랩 네트워크 사업부 상무는 “공신력 있는 기관으로부터

GS 인증을 획득함으로써 트러스가드의 성능 및 품질의 우수성을

다시 한 번 확인받았다”며 “앞으로도 기술력을 기반으로 고객에게

더 높은 보안의 가치를 제공할 것”이라고 밝혔다.

안랩은 올해 상반기까지 연결기준 매출액 610억원, 영업이익 38억

원을 기록(별도기준 매출액: 597억원, 영업이익: 35억원)했다고 잠

정 실적을 공시했다. 이는 전년 상반기 대비 매출액은 38억원, 영업

이익은 18억원 증가한 것이다(별도기준 매출액 36억원, 영업이익

13억원 각각 증가).

2016년 2분기의 연결기준 매출액은 335억원, 영업이익은 25억원

(별도기준 매출액: 328억원, 영업이익: 23억원)을 기록했다. 2분기

기준으로 전년 동기대비 매출액 23억원, 영업이익 6억원이 각각 증

가했다(별도 기준 매출액: 24억원, 영업이익: 5억원 각각 증가).

이와 관련해 안랩은 “제품 및 서비스의 전반적인 매출성장으로 상반

기 매출액과 영업이익 모두 전년대비 성장세를 기록했다. IT수요가 증

가하는 하반기에도 성장세를 이어가기 위해 노력할 것“이라고 말했다.

차세대 방화벽 ‘트러스가드(TrusGuard)’

GS 인증 획득

안랩, 2016년 상반기 연결기준

매출 610억•영업이익 38억

▲ 안랩 트러스가드

■ 2016/2015년 상반기 실적 비교 (*연결기준, 단위: 백만원)

■ 2016/2015년 2분기 실적 비교 (*연결기준, 단위: 백만원)

구 분 2016년 상반기 2015년 상반기

매출액 60,964 57,172

영업이익 3,777 2,020

구 분 2016년 2분기 2015년 2분기

매출액 33,472 31,140

영업이익 2,456 1,837

발행인 : 권치중

발행처 : 주식회사 안랩

경기도 성남시 분당구 판교역로 220

T. 031-722-8000 F. 031-722-8901

편집인 : 안랩 콘텐츠기획팀

디자인 : 안랩 디자인팀

© 2016 AhnLab, Inc. All rights reserved.

본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제, 복사, 검색 시스템

으로 저장 또는 전송될 수 없습니다. 안랩, 안랩 로고는 안랩의 등록상표입

니다. 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상

표일 수 있습니다. 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다.

경기도 성남시 분당구 판교역로 220

T. 031-722-8000 F. 031-722-8901

© 2016 AhnLab, Inc. All rights reserved.

http://www.ahnlab.com

http://blog.ahnlab.com

http://twitter.com/ahnlab_man