IoT Security

2014. 07

안랩 온라인 보안 매거진

2

3

5

1 1

1 4

1 8

1 9

2 4

2 6

2 7

월간

C O N T E N T S

S p O T l i g h T

안랩, 글로벌 애널리스트와 ‘通하다’

S p E C i a l R E p O R T

포스트 PC 시대의 융합 보안

상상이 현실이 된다, IoT

h O T i S S u E

2014년 상반기 보안 이슈를 읽는 키워드는?

F O C u S i N - D E p T h

SIEM: 고도화된 최신 위협 대응을 위한 최적의 솔루션

반복되는 보안 사고의 해법, 빅데이터 기반 sIem

p R O D u C T i S S u E

네트워크 보안 통합 관리 솔루션 ‘AhnLab Tsm’ 출시

T E C h R E p O R T

스마트폰 포렌식과 SQLite

4부_ 실전! 삭제된 문자메시지를 복구하라

i T & l i F E

26년간 의리를 지켜온 ‘V쓰으리~!’

알아두면 유용한 윈도 단축키

a h N l a b N E w S

안랩-아카마이, 협력 통해 향상된 클라우드 보안 서비스 제공

사용자 구별 어려운 ‘고도화된 스미싱’ 주의!

S TaT i S T i C S

2014년 5월 보안 통계 및 이슈

2014. 07

3

안랩은 6월 23일부터 26일까지 미국 워싱턴DC에서 열린 글로벌 보안 콘퍼런스인 ‘가트너 시큐리티 & 리스크 관리 서밋 2014’ (이

하 가트너 서밋 2014)에 참가했다. 이 행사에서 안랩은 최신 보안위협에 대한 전략 솔루션을 소개했다.

gartner Summit 2014S p O T l i g h T

안랩, 글로벌 보안 콘퍼런스 ‘가트너 서밋 2014’ 참가

안랩, 글로벌 애널리스트와 ‘通하다’

‘가트너 서밋 2014’는 가트너가 주최하는 세계적 규모의 보안 콘퍼런

스. 이번 행사에서는 세계적 애널리스트와 전세계 160여 개 주요 보

안 업체가 참가해 정보보호와 관련된 전략 및 기술적 트렌드, 시장의

방향성 등을 공유하는 자리를 가졌다.

올해로 3회 연속 가트너 서밋에 참가한 안랩은, APT(Advanced

Persistent Threat, 지능형지속보안위협) 공격 대응 솔루션 ‘안랩

MDS(AhnLab Malware Defense System, 국내 제품명 트러스와

처)’와 엔드포인트 영역에서의 알려지지 않은(Unknown) 위협 탐

지, 분석 및 대응 솔루션인 ‘안랩 MDSE(AhnLab Malware Defense

System Enterprise)’를 집중 소개했다.

‘안랩 MDS’는 APT와 같이 점점 지능화되는 보안위협에 효과적으로

대응하기 위해 안랩의 오랜 보안 노하우가 모두 집결된 제품이다. ‘안

랩 MDS’는 네트워크 레벨에서 알려지지 않은 신종 악성코드를 탐지

하기 위해서 웹, 이메일, 파일 공유와 같은 주요 감염 경로로 유입되

는 파일을 추출한다. 이를 샌드박스(sandbox) 환경에서 분석하는 ‘다차원 동적 행위 분석’ 기술과 의심 행위 발생 여부와 무관하게 분석 가능

한 ‘동적 콘텐츠 분석(DICA: Dynamic Intelligent Content Analysis)’ 기술을 제공한다.

‘안랩 MDSE’는 엔드포인트 보안에 해당하는 솔루션으로, 조직 내 PC

와 같은 ‘엔드포인트’의 전수검사를 통해 보안 위협에 대한 가시성 및

보안 인텔리전스를 제공한다. 이 제품은 모든 엔드포인트의 파일과

행위, 유입경로를 실시간으로 탐지 및 분석해 실제 피해가 발생하기

전에 즉각 대응이 가능한 것이 특징이다. 기존 시그니처, 혹은 블랙/

화이트 리스트 기반의 솔루션이 탐지하기 어려웠던 알려지지 않은 위

협, 제로데이 취약점 공격에 효과적으로 대응할 수 있다.

이밖에도 안랩은 가트너 애널리스트와 고객들에게 자사의 고성능 네

트워크 보안 솔루션인 안랩 트러스가드(AhnLab TrusGuard)와, 북미

지역에서 높은 관심을 끌고 있는 DDoS 방어 솔루션인 안랩 DPS(국

내 제품명 AhnLab TrusGuard DPX) 등 안랩의 네트워크 제품군에

대해서도 소개했다. 또한 행사장 부스 내에서 제품 데모 시연과 함께,

행사 참가자들을 대상으로 APT 공격의 최신 트렌드, 사례 연구 및 효

과적인 방어 방법에 대한 정보를 공유했다.

▲가트너 서밋 2014에 3년 연속 참가한 안랩은 보안 전략과 보안 위협 대응 솔루션에

대해 소개했다.

▲가트너 서밋 2014에서 만난 참관객들은 안랩의 MDS와 타사 APT 대응 제품의 차별점을

질문하는 등 APT 솔루션에 대해 관심을 보였다.

4

한편, 가트너는 이번 행사를 통해 ▲소프트웨어 정의 보안(Software-Defined Security) ▲빅데이터 보안 분석(Big data security Analytics) ▲

인텔리전스/상황인식 보안 분석(Intelligent/ Context-aware security Analytics) ▲애플리케이션 격리(Application isolation) ▲엔드포인트

위협 탐지 및 대응(Endpoint threat detection & response) ▲웹사이트 보호(Website protection) ▲적응형 접근제어(Adaptive access) ▲사

람 중심의 보안(People-centric security) ▲사물 인터넷 보호(Securing the Internet of Things) 등 주요 보안 트렌드를 제시했다.

▲미국 워싱턴 DC에서 개최된 ‘가트너 서밋 2014’는 전세계 보안 업계 담당자와 애널리스트가 보안에 대한 전략과 기술적 트렌드에 대해 공유하는 자리였다.

5

올해 보안 업계의 화두는 IoT(Internet of Things)다. 수많은 보안 콘퍼런스에서 IoT가 자주 언급되고 있다. 그러나 실제로 어떻게,

어떤 부분에 대한 보안이 필요한지에 대해 명확하게 제시되고 있는 내용은 없다. 스마트폰, 태블릿을 거쳐 IoT로 향하고 있는 포스트

PC 시대의 흐름을 통해 IoT와 함께 나타날 보안 위협을 예측해본다.

ioT Security S p E C i a l R E p O R T

포스트 PC 시대의 융합 보안

상상이 현실이 된다, IoT(Internet of Things)

PC 이후의 시대를 지칭하는 다양한 용어 중에서도 ‘포스트 PC(Post PC)’라는 용어가 가장 많이 사용되고 있다. PC의 뒤를 이을 용어가 무엇일

지 아직 확실한 후보는 결정되지 않았지만, 포스트 PC의 시대를 이해하기 위해 먼저 ‘PC의 시대’를 10년 단위로 살펴보자. 이렇게 정리하고 보

면 PC가 본격적으로 우리 생활에 자리잡은 것은 불과 30~40년 밖에 되지 않았다는 점에 놀라게 된다.

[그림 1] 컴퓨터 환경과 보안의 발전

6

1980년 대는 메인프레임(mainframe, 대형 컴퓨터)의 시대로, IBM이 메인프레임으로 상당한 사업적 성공을 거두며 메인프레임을 사용하지 않

은 것이 없다는 말이 있을 정도였다. 그리고 1984년 애플에서 PC(매킨토시의 첫 번째 버전)를 출시하면서 PC의 시대가 도래했다.

1990년대에 들어서면서 웹(world wide web)의 개념이 등장했다. 그 이전까지는 텍스트 기반이었으나 이제 인터넷 브라우저의 주소창에 주소

만 입력하면 어딘가의 페이지로 이동해서 정보를 확인하고 페이지에서 클릭을 하면 html이란 것을 통해 하이퍼링크로 연결되어 또 다른 페이

지로 넘어가는 세상이 되었다. 이전까지는 PC를 켜면 커서만 깜박거릴 뿐, 사용자가 할 수 있는 것은 많지 않았다. 그러나 웹의 시대로 넘어오

면서 사용자가 웹을 통해 어딘가로 이동해서 소비할 정보가 존재하기 시작한다. 읽고, 공유하는 시대가 된 것이다. 이후 대형 통신사들이 등장

하면서 인터넷이 본격적으로 발달하고 2000년대에 들어서는 다양한 브라우저, 다양한 소셜 네트워크들이 등장하기 시작했다.

포스트 PC의 시대

2007년 1월 미국에서 아이폰이 출시되면서 바야흐로 스마트폰의 시대가 시작된다. 국내에서는 2년 뒤인 2009년에 스마트폰이 시장에

진입했다. 이후 스마트폰이 비약적으로 발전을 거듭하면서 곧이어 태블릿이 등장한다. 현재 아이패드가 태블릿 시장의 높은 점유율을 차

지하고 있지만 실제 태블릿 시장에서는 주문형 태블릿이 증가하고 있는 추세다. 대표적인 주문형 태블릿은 전자 도서, 전자 교과서 등으

로, 목적에 맞는 기능만 동작하도록 태블릿 PC를 제작해주는 주문형 태블릿 PC업체도 의외로 많이 있는 편이다.

2010년이 되면서 ‘클라우드(Cloud)’, ‘빅데이터(Big data)’가 화두가 된다. 클라우드는 크게 소프트웨어나 데이터 망을 빌려주는 방식, 플

랫폼을 빌려주는 방식, 인프라(infrastructure)를 빌려주는 방식 등으로 구분된다. 그러나 실상은 이와 관련된 장비를 생산하는 일부 업체

들만 재미를 봤을 뿐, 클라우드나 빅데이터 자체가 널리 확산되거나 이용자가 늘어나지는 못했다.

그리고 올해부터 본격적으로 이야기되고 있는 것이 바로 IoT(Internet of Things, 사물인터넷)이다. IoT가 화두가 되기 시작하자 시스코

(Cisco)에서는 ‘모든 것이 연결되는 시대’라는 의미로 IoE(Internet of Everything)라는 자체적인 표현을 내놓기도 했다.

IoT의 시대는 모든 것이 인터넷에 연결되어 있어 그 안에서 사물들이 서로 데이터를 주고 받고 사물 스스로 의사 결정을 하는 것까지 가

능하다는 개념이다. 현재도 사람이 인터넷에 접속하는 수보다 디바이스들이 인터넷에 접속하는 수가 훨씬 더 많다. 국내에서는 2013년

부터 이러한 흐름으로 변화가 시작되었다. 즉, 모든 디바이스가 인터넷을 사용할 수 있게 되면 그것이 또 다른 시장을 만들어낼 것이라는

기대로 나타난 것이 IoT로, 이 개념은 당분간 유행할 것으로 예상된다. 클라우드, 빅데이터와 관련해 일부 장비 업체나 서비스 제공 업체

가 재미를 봤던 것과는 달리 IoT 시장에서는 디바이스부터 센서, 소프트웨어 제어, 클라우드까지 다양한 업체가 연관될 것이며, 결과적으

로 보안 분야도 영향을 받게 될 것이다.

보안 위협과 대응 기술의 진화

IT 보안 위협은 PC의 발전과 궤를 같이한다고 해도 과언이 아니다. PC의 시대에는 바이러스라는 것이 등장했다. 바이러스를 파일에 덧붙여 PC

를 감염시키는 형태가 유행했다. 당시만해도 바이러스는 넓게 확산되지는 못했다. 가장 대표적인 브레인(brain) 바이러스는 파키스탄에서 제작

되어 국내로 유입되는데 3년이 걸렸다. 그러나 그 기간은 점차 단축되기 시작한다. 한편 지금과는 달리 초기의 컴퓨터 바이러스는 악의적인 목

적보다는 흥미나 과시용으로 제작되는 것이 대부분이었다.

바이러스에 이어 인터넷이 발전되면서 웜(worm)이 등장, 인터넷 네트워크를 통해 빠르게 유포되기 시작했다. 웜에 이어 트로이목마(Trojan),

스파이웨어(Spyware)가 나타나고, 2000년대 초반에 들어서면서 게임핵(Game Hack)이 등장한다. 해커가 수익을 목적으로 공격을 시도하면서

게임 아이템을 탈취하거나 허위로 게임 머니를 결제하고, 은행의 온라인 거래를 해킹하는 등 금전적인 이득을 노린 보안 위협이 등장한 것이

다. 또한 인터넷으로 연결되어 있다는 특성을 이용해 DoS, DDoS 등 기업의 비즈니스를 방해하는 공격 형태도 나타난다. 이후 금전적인 이득

을 노린 공격은 피싱(Phising), 파밍(Pharming)에 이어 스마트폰이 확산되면서 스미싱(Smishing)의 형태로 진화한다. 이 밖에도 혹스(Hoax),

사회공학기법(Social Engineering), 핵티비즘(Hacktivism), 지능형 지속 위협 APT(Advanced Persistent Threat) 등 다양한 형태의 보안 위협

이 끊임없이 등장하고 있다.

이처럼 환경, 즉 플랫폼의 발전과 보안 위협의 발전이 함께 진행되면 보안 산업 또한 이러한 흐름을 따라가기 마련이다. 악성코드가 등장하자

안티바이러스(Anti-virus), 안티스파이웨어(Anti-spyware) 제품이 등장하고, 웹 환경으로 변화하자 방화벽(Firewall)이 나타난다. 이메일이 발

달하면서 스팸 메일이 쏟아지자 이메일 필터링 기술이 각광받았다. 이후 침입 탐지를 위한 IDS(Intrusion Detection System) 기술이 등장했지

만 곧 방지의 관점인 IPS(Intrusion Prevention System)로 넘어간다. 점차 보안 위협이 복잡다단해지면서 단순히 ‘막는다’는 개념을 넘어 악의적

인 행위, 이상한 행위를 하는 소프트웨어를 탐지하고 차단해야 한다는 개념에서 안티멀웨어(Anti-malware) 기술로 보안의 중심이 이동하게 된

다. 또한 DDoS 공격이 증가하면서 안티디도스(Anti-DDoS) 기술이 등장하고 웹 상에서 발생하는 공격이 증가함에 따라 웹 방화벽이 나타난다.

스마트폰과 태블릿 환경으로 변화하면서 가상화가 매우 중요해졌다. 스마트폰 및 태블릿 디바이스의 리소스 및 성능 이슈로 저장 공간이나 네

트워크 환경이 부족해짐에 따라 가상 환경 구축이 필수 요소가 된 것이다. 물론, 현재의 스마트폰의 컴퓨팅 파워는 2000년대 노트북보다 월등

하다. 그러나 애플리케이션이나 콘텐츠의 리소스 사용도 그만큼 증가하면서 이전과는 비교할 수 없을 만큼의 네트워크 환경이 요구되고 있다.

이 밖에도 모바일 환경으로 변화함에 따라 다양한 디바이스를 어떻게 관리할 것인가, 또 네트워크를 통해 이동하는 콘텐츠를 어떻게 보호할

것인가 하는 관점으로 보안 기술이 변화하고 있다.

7

보안 ‘관점’의 변화

2000년대 중반까지는 전통적인 콘텐츠에 대한 보안이 중요했지만 모바일 시대로 접어들면서 수많은 사용자들이 너무나 많은 디바이스를 사

용함에 따라 이제는 이러한 디바이스에 대한 인증과 접근 제어가 중요한 보안 이슈가 되었다. 즉, 보안의 영역은 PC 기반의 단독 영역에서 클

라우드, 수많은 모바일 디바이스가 웹에 연결되는 복합적인 영역으로 변화하고 있다.

한편 공격의 양상 또한 단순히 악성코드를 이용한 공격이 아닌 정교하고 고도화된 형태로 진화하고 있다. APT로 대표되는 최신 공격 유형은

특정인을 대상으로 클릭할만한 제목과 내용의 이메일이나 문자를 지속적으로 발송해 마침내 내부 시스템에 접근하여 목적을 달성하고야 만다.

치밀하게 타깃팅하여 고도화된 기법으로 교묘하게 위장한 공격을 과연 어떻게 악의적인 것으로 판단하고 막아낼 것인가?

보안 위협이 나날이 고도화됨에 따라 보안에 대한 기업의 관점 또한 변화하기 시작했다. 이전까지 기업이 보안 솔루션을 도입하는 이유는 비

용을 절감하기 위한 목적이 주를 이뤘다. 이제는 비즈니스 연속성을 확보하기 위한 관점으로 변화하고 있다. 이 밖에도 디바이스의 증가와 인

증 문제가 증가하면서 컴플라이언스 이슈, 보안 사고 발생 시 신속하게 피해를 파악하고 대응책을 마련하기 위한 포렌식(Forensic), 그리고 고

도화된 보안 관제 등이 오늘날 보안의 중심축을 이루고 있다.

새로운 시대적, 환경적 변화가 가장 먼저 나타나는 곳이 바로 모바일 분야이다. 30년이 걸린 PC 환경의 변화가 모바일 환경에서는 5년만에 진

행됐다. 모바일 환경에서의 보안은 기밀성(Confidentiality)과 사용성(Availability)의 조화가 가장 중요하다. 또한 엄청난 단말기의 숫자 뿐만

아니라 그 단말기가 다루고 있는 정보 자산의 중요도, 즉 어떤 단말기를 통해 어떤 정보에 어떻게 접근하여 어떠한 방식으로 사용되고 있는지

를 고려해야 한다.

포스트 PC 시대의 핵심, 스마트카

스마트폰으로 시작된 포스트 PC의 시대에서 떠오르는 차세대 주자는 무엇이 될까? 포스트 PC는 현재 모바일 환경을 의미하고, 이러한 모바일

분야의 동향을 가장 먼저 확인할 수 있는 곳이 바로 세계 최대 규모의 이동ㆍ정보통신 산업 전시회인 Mobile World Congress(이하 MWC)이

다. 그런데 최근 MWC에는 특이한 변화가 나타나고 있다. 지난 2013년부터 유명 자동차 회사들의 참가가 꾸준히 증가하고 있다는 점이다. 과

거의 전기 자동차가 아니라 사람의 조작 없이 자동차 자체가 스마트하게 움직이는 이른바 ‘스마트카(Smart Car)’의 등장이다.

스마트카, 즉 무인 자동차는 다양한 센서들과 네트워크를 통해 자동차가 동작하도록 하는 기술이다. 구글은 최근 캘리포니아에서 시각 장애인

이 탑승한 무인 자동차(self-driving car)를 이용해 고속도로를 거쳐 출퇴근 하는 실험에 성공했다고 발표했다. 스마트카는 도로 위에서 서로

통신하면서 충돌 등의 위협을 방지할 수 있어 교통 사고가 급격히 감소할 것으로 기대되고 있다. 또 올해 초 전기 자동차 회사인 테슬라(Tesla)

는 중남미 최대의 이동통신 회사 텔레포니카(Telefonica)와 합작으로 스마트카를 발표했다. 이 차의 핵심은 운전석 옆의 17인치 태블릿(터치

스크린)으로, 이것이 자동차 전체를 제어한다. 배터리, 태블릿, 전기적으로 주고받는 신호가 이 차에 필요한 전부라고 할 수 있다.

[그림 2] Mobile World Congress 2013에 등장한 스마트카

8

[그림 3] 테슬라의 스마트카 내부 (*출처: Tesla, www.teslamotors.com)

[그림 4] 최신 웨어러블 디바이스 예시 (*출처: Pebble, Google, fitbit 홈페이지)

후지쯔(Fujitsu)가 선보인 스마트카는 더욱 확장된 용도로써 나름 획기적이었다. 스마트카의 대상이 자동차가 아닌 트랙터였던 것이다. 예를

들어 드넓은 밭을 경작할 때 어디에 어떤 씨를 뿌렸는지, 무엇을 했는지에 대한 정보를 저장해 이를 추적하거나 수확량을 예측하는 것도 가능

하다. 사람뿐만 아니라 농사, 화물 운송 등도 스마트카 영역에 포함된 것이다.

이러한 스마트카의 공통적인 특징은 통신할 수 있는 모듈을 갖고 있으며 HTML5를 지원해 웹 브라우징이 가능하다는 점이다. 현재의 개념으

로 말하면 자동차 어딘가에 스마트폰 하나가 들어있다고 이해할 수 있다. 자동차에 할당된 전화번호가 있다는 것이다. 다만 그 번호가 공개되

어 있지 않기 때문에 전화를 걸거나 받지는 못 하지만 네트워크를 통해 조작은 가능하다.

이러한 점에서 가장 대표적인 스마트카 해킹의 시나리오는 주파수 간섭이다. 게임이나 영화에 등장했던 것처럼 스마트카에 EMP(Electro

Magnetic Pulse, 전자기파)를 발사하면 스마트카는 그대로 멈춰버린다. 자동차 문도 열 수 없고 아무것도 할 수 없는 무용지물이 되는 것이다.

또는 자동차에 스마트폰이 들어있는 것과 마찬가지다 보니 주파수 해킹을 통해 명령을 내려 차를 조작할 수 있다. 위치 추적은 물론, 갑자기 브

레이크 제동을 걸거나 핸들을 전혀 다른 방향으로 꺾거나 후진하는 등 영화에서나 나올 법한 조작이 가능하다. 실제로 현재 유튜브 등에서 자

동차 해킹 동영상들을 심심치 않게 찾아볼 수 있다.

스마트카는 일반적인 컴퓨터처럼 레이어(layer)를 가지고 있으며, 커널부터 운영체제, 애플리케이션 레벨까지 존재한다. 따라서 해킹뿐만 아니

라 다양한 에러나 우리가 기존의 컴퓨팅 환경에서 경험했던 모든 보안 이슈가 발생 가능하다. 현재 20여개의 글로벌 업체들이 2015년부터 스

마트카를 상용화하겠다고 나서 2016년 정도에는 잘못된 조작이나 해킹에 의한 자동차 사고가 실제로 발생할 것으로 예상된다.

개인 사용자를 위한 IoT의 서막, 웨어러블 디바이스

산업 측면에서 스마트카가 포스트 PC 시대, 사물인터넷의 핵심이 된다면 일반인들에게 가장 유행할 것으로 점쳐지는 것은 웨어러블 디바이스

(Wearable Device)다. 웨어러블 디바이스, 또는 웨어러블 컴퓨터(Wearable Computer)란 말 그대로 ‘입는 컴퓨터’라는 의미로, 안경, 시계, 의

복 등과 같이 사용자가 신체에 착용하여 항상 사용할 수 있는 컴퓨터 장치, 디바이스를 의미한다.

9

대표적인 웨어러블 디바이스로는 손목 시계 형태의 스마트 디바이스인 스마트워치(Smart Watch)가 있다. 현재 페블(Pebble), 아이워치

(iWatch), 갤럭시 기어, 소니 스마트워치 등 이미 다양한 종류의 스마트워치가 쏟아져 나오고 있다.

또 다른 대표적인 웨어러블 디바이스인 구글 글래스(Google Glass)는 처음에는 착용하기 곤란한 디자인이었지만 점차 프로토타입을 발전시키

면서 일상적으로 착용할 만한 형태로 변화했으며 카메라 등 다양한 기능을 제공하고 있다.

사실 웨어러블 디바이스는 지난 2000년 초부터 언급된 개념이다. 메인프레임 시대를 거쳐 아이폰이 등장하면서 수많은 전문가들은 웨어러블

디바이스 시대가 올 것이라고 예측했다. 다만 손목 시계나 안경 외에 어떤 것이 웨어러블이 될 것인지, 또 웨어러블 디바이스가 스마트폰의 액

세서리나 패션 상품이 될 것인지 아니면 그 자체로 독립적인 가치의 디바이스가 될 수 있을지는 아직 지켜봐야 할 일이다.

IoT는 미래가 아닌 현재

가트너는 매년 10대 IT 기술을 예측해 발표하고 있다(Gartner Top 10 Strategic Technology). 2010년 전까지만 해도 사물인터넷, IoT는 찾

아볼 수 없던 개념이었다. 그런데 최근 가트너가 발표한 내용을 살펴보면, 2011년에는 상황인식 컴퓨팅이라는 기술이 등장하고 2012년에 사

물인터넷(Internet of Things)이라는 개념이 등장한다. 2013년에도 사물인터넷이 또 다시 등장하더니 2014년에는 만물 인터넷(Internet of

Everything)이라는 표현으로 나타난다.

사실 우리는 이미 일상에서 IoT를 경험하고 있다. 어떤 버스가 몇 정거장 전에 있고, 몇 분 후에 도착한다거나 지하철이 어느 역에서 출발한다

는 알림 등은 모두 IoT 기술과 관계된 것이다. 기계들끼리 서로 통신을 해서 사용자에게 정보를 알려주는 것으로, 예전에는 M2M(Machine to

Machine)이라는 용어가 사용되기도 했지만 이제는 IoT로 표현된다.

IoT에 대한 기대와 함께 고도화된 IoT 세상에 관한 다양한 시나리오가 등장하고 있다. 예를 들어, 쇼핑객이 마트에 가서 RFID 태킹을 하면서

식품을 구입해 결제를 한 후 냉장고에 넣는다. 각 식품들의 RFID를 인식한 냉장고는 이후 계란이나 우유 등이 떨어질 때쯤 되면 스스로 판단하

고 인터넷을 통해 직접 부족한 식품을 주문하고 결제한다. 사람은 냉장고가 주문해 배송된 식품을 냉장고에 다시 넣기만 하면 된다.

그러나 이는 아직 먼 미래의 일로, 현재로서는 몸에 부착하는 웨어러블 디바이스가 가장 현실화된 IoT 기술로 보인다. 시계나 안경 외에도 심

장 박동기나 운동 보조기 등 스포츠 센서와 같은 다양한 모션 센서 기기들도 웨어러블 디바이스라 할 수 있다. 이러한 디바이스의 주요 목적은

사용자를 센싱(sensing, 측정)하고 사용자의 행동을 따라가는 것이다.

웨어러블 디바이스의 특징을 요약하면 ▲손이 자유로워지고(hands-free) ▲항상 전원이 켜져 있기 때문에(Always-On) ▲언제나 연결되어

(connected) 있으면서 ▲대내외 환경을 센싱하여 정보를 수집할 수 있다는 점 등을 꼽을 수 있다. 또한 스마트폰이나 PC와 연동돼 더욱 즉각

적으로 사용자에게 정보를 알려주고 정보에 대한 반응을 쉽게 결정할 수 있게 해준다. 웨어러블 디바이스의 센싱을 통해 축적된 정보들로부터

유의미한 정보를 확보하거나 특정 웨어러블 디바이스를 사용하는 여러 사람들의 정보를 수집하여 소셜 데이터화할 수도 있다.

한편 이렇게 다양한 디바이스가 수많은 정보를 센싱하기 시작하면서 기존 인터넷 환경과 달리 익명성이 점점 사라지고 있다. 과거에는 인터넷

너머 PC 뒤에 있는 사용자를 확인하기 어려웠지만 이제는 사용자를 센싱하는 디바이스가 늘어나면서 사용자에 대한 다양한 정보들이 생산되

기 때문이다.

IoT 관련 시장 규모는 2020년 헬스 관련 디바이스만 900억 달러, 전체 모바일 디바이스 네트워크 시장은 1조 달러 규모에 이를 것으로 전망되

고 있다([그림 5]). 이에 반해 컴퓨터 시장은 4,500억 달러 규모로 예상하고 있는데, 그 이유는 평균적으로 사용자 1명당 컴퓨터는 1대, 스마트

폰이나 태블릿은 1~2대를 사용하지만 웨어러블 디바이스는 다수의 기기를 사용할 수 있기 때문이다.

[그림 5] IoT 관련 시장 예측 (*출처: GSMA, www.gsma.com)

10

IoT 기술을 이용한 보안 위협

자동차, 시계, TV 등 PC가 아닌 수많은 기기들이 IoT화 되면 어떠한 보안 이슈가 발생할까? IoT 시대의 위협을 예측할 만한 보안 위협 사례가

최근 발생했다.

지난 해 말 러시아 세관이 홍콩에서 수입된 전기 다리미와 전기 주전자를 단속했다. 설명서에 기입된 것보다 무게가 약 3g이 더 나가자 러시아

세관은 3g에 달하는 마약이 숨겨져 있을 것으로 짐작했다. 그러나 막상 뜯어보니 그 속에서 나온 것은 마약이 아니라 손톱만한 크기의 칩이었

다. 조사 결과, 이 칩은 다리미나 주전자에 전기가 들어오는 순간 동작하여 주변의 Wi-Fi 무선 네트워크를 통해 비밀번호가 설정되지 않은 컴퓨

터에 접속해 스팸 메일이나 악성코드를 유포하는 역할을 하는 것으로 드러났다. 이는 불특정 다수를 노린 위협으로, 중국에서 러시아의 네트워

크 정보를 수집하기 위해 제작한 것으로 추정되고 있다.

이 사건을 통해 이런 가정도 가능하다. 호텔 회의실에서 차를 대접하기 위해 사용하는 전기 주전자를 통해 중요한 회의나 M&A와 같은 민감한

비즈니스 내용을 도청하는 것이다. 영화에나 나올 법한 일이 조만간 현실에서도 나타날 법하다.

또 다른 사례를 상상해보자. 미국에서는 매년 블랙햇(BlackHat)이라는 국제 해킹/정보보안 콘퍼런스가 개최된다. 지난 블랙햇 2011에 어떤 사

람이 모형 비행기를 가지고 나타났다([그림 7]). 리눅스 기반으로 만들어진 이 드론은 비행을 하면서 반경 5km 내의 기지국 정보를 수집해 원

거리의 센터로 위치 기반 정보를 전달한다. 이 드론은 기지국 도청을 목적으로 했지만 드론을 이용한 정찰이나 더 나아가 드론에 무기를 장착

해 적군을 제거하는 등 게임에서나 등장할 법한 일이 실제 전쟁에서 가능해질 수도 있다.

혁신? 위협?…무엇을 상상하든 현실이 된다

오늘날 인터넷과 모바일 환경에서 전자 기기가 IoT 기술과 접목되어 빠르게 발전하면서 이제 영화나 게임에서나 보던, 상상 속에서나 존재하

던 일들이 눈앞의 현실이 되고 있다. 보안 전문가의 입장에서는 IoT의 시대가 된다는 것은 ‘보이지 않는 위협’의 시대를 맞닥뜨리게 되는 것이

다. ‘모든 것이 인터넷이 가능한 세상’은 곧 ‘모든 것이 해킹 가능한 세상’이라는 의미이기도 하다. 전혀 예상치 못한 물건에 숨겨진 손톱만한 크

기, 혹은 더 작아진 칩을 어떻게 찾아낼 수 있단 말인가? 이제 기관이나 기업을 해킹하려는 의도를 가진 악의적인 공격자는 손톱만한 칩을 숨

길 수 있는 것이라면 무엇이든 이용해 공격할 수 있다. 기존의 인증/인가나 관리와는 차원이 다른 보안 위협이 도래하는 것이다.

이렇게 급변하는 환경과 위협 속에서 우리는 무엇을 어떻게 이해하고 준비할 것인가? 당장 우리가 할 수 있는 것은 최신 기술 동향에 지속적

으로 관심을 갖는 것이다. 어떤 새로운 기술이 나타나고 있으며, 어느 정도 현실화되고 있는지를 파악하여 이를 이용한 보안 위협을 예측하는

것이 첫걸음이다. 여기에 PC 시대부터 지금까지 경험해온 다양한 보안 위협을 다시 한 번 면밀히 검토함으로써 새로운 위협에 대한 대응 방안

을 구체화할 수 있을 것이다.

[그림 6] 다리미 해킹 이어 ‘주전자 해킹’까지..무서운 세상 (*출처: 전자신문)

[그림 7] 리눅스 기반의 드론(drone)을 이용한 해킹 시연 (2011년 블랙햇)

11

Security Trendh O T i S S u E

11

어느덧 한 해의 절반이 지나갔다. 올 상반기에는 연초 발생한 카드사 고객 정보 유출이라는 대형 사건으로 인해 불안한 시작을 알렸

다. 이후 윈도 XP 서비스 지원 종료, Open ssL 취약점 발견 등의 이슈가 보안 업계를 긴장하게 만들었으나, 다행히도 현재까지 국

내에서는 큰 피해 사례는 발생하지 않았다. 반면 스피어 피싱, 스미싱, 랜섬웨어 등의 위협이 구체화되면서 이들 용어의 노출 빈도가

증가했다. 특히, 스마트폰 사용자 급증으로 인해 이러한 위협은 스마트폰 사용자를 표적으로 하고 있다는 것은 주목해야 할 점이다.

2014년 상반기 보안 이슈를 대표할만한 사건과 용어를 살펴보자.

용어를 알면 보안 트렌드가 보인다

2014년 상반기 보안 이슈를 읽는 키워드는?

카드사 정보 유출 사태

지난 1월 KB국민카드 5,300만 건, 롯데카드 2,600만 건, NH농협카

드 2,500만 건 등 총 1억 400만 건의 개인정보가 유출되는 초유의 사

고가 발생했다. 사고의 원인은 프로젝트 개발을 위해 파견된 개인신

용평가 회사 직원이 USB에 이들 3개 카드사의 고객정보를 복사하여

몰래 유출한 것이다. 이후 이 외주업체 직원은 확보한 고객의 성명,

휴대전화번호, 주소 등 고객 개인 정보를 대출광고업자 및 대출모집

인에게 넘긴 것으로 검찰 조사결과 밝혀졌다. 이 사건의 피해 보상과

책임자 징계나 사안 등은 아직도 진행 중이다. 5월 말 기준으로 카드

3개를 피고로 접수된 개인정보유출 관련 소송가액은 1,068억~1,960

억 원으로 집계됐으며, 금융감독원은 이들 카드 3사의 최고경영자에

게 해임권고 수준의 중징계를 통보한 것으로 알려졌다.

카드사 정보 유출 사건은 데이터 암호화, USB 통제, 외주직원 관리

등에 대한 강력한 법령이 마련되어 있음에도 불구하고 발생한 것으

로, 법 기준과 실행 사이의 괴리를 여실히 드러냈다.

스피어피싱

현재 가장 위협적인 보안 위협은 단연 APT(Advanced Persistent Threat). 이 APT 공격의 핵심 수법이 바로 스피어피싱(Spear phishing)이다.

스피어피싱이라는 말을 나누어보면 “spear: 창, 찌르다 / phishing: 수신자를 속이기 위한 사기 이메일 및 기타 활동”으로 우리말로 옮기면

‘표적형 악성 메일’로 이해할 수 있다. 해외의 통계에 의하면 지금까지 밝혀진 APT성의 표적형 공격의 90% 이상이 스피어피싱으로 유발되었

거나 공격에 사용되었다고 한다.

스피어피싱이 일반적인 스팸 메일과 구별되는 점은 ▲불특정 다수를 노리는 것이 아니라 해커가 노리는 특정 기관 및 기업을 노리는 ‘표적성’

▲일반적인 광고, 애드웨어보다 훨씬 심각한 정보유출 등을 노리는 악성코드의 ‘심각성’ ▲정상 파일을 보여주거나 내용을 의심할 수 없을 정

도로 정상 메일과 유사한 ‘정교성’ 등을 들 수 있다.

사실 악성코드를 첨부해 사용자를 속일 법한 내용의 메일을 보내는 것은 아주 고전적인 방법이라 할 수 있지만, 문제는 이런 방법이 아직도 효

과가 있다는 것이다. 이는 ‘최대의 보안 취약점은 바로 사람’이라는 보안 전문가들의 지적과도 일치하는 부분이다.

1212

스미싱

스마트폰 시대가 도래하면서 가장 골칫거리인 보안 위협 중의 하나가 스미싱(Smishing)이다. 스미싱은 ‘문자메시지(SMS)와 피싱(Phishin)의

합성어’로 공격자가 스마트폰 사용자에게 악성 인터넷 주소(URL)를 포함시킨 문자를 보내고 실행 및 악성 앱 설치를 유도해, 이를 통해 피해자

의 금융정보 및 개인정보를 탈취하는 사기수법이다.

초기 스미싱은 사전에 유출된 개인정보와 스미싱을 통해 탈취한 통신사 정보, 인증용 문자메시지를 결합해 소액결제를 유도하는 형태였다. 하

지만 최근에는 전문가들도 단번에 구별하기 어려운 수준으로 고도화된 스미싱 수법을 통해 공인인증서, ID 및 비밀번호, 통신사 정보, 문자메

시지 등 금융 거래 및 결제에 필요한 모든 정보를 한 번에 탈취해 간다. 특히 주소록 정보까지도 유출해 스미싱 수신자들을 기하급수적으로 늘

려 가고 있다.

더욱이 최근 발견된 스미싱 문자 내 포함된 URL로 연결되는 가짜 사이트를 분석한 결과, ▲캡챠코드(CAPTCHA CODE) 사용 ▲피싱 사이트 내

정상 사이트의 URL 일부 삽입 ▲가짜 사이트 디자인 및 문구 고도화 등의 특징을 보이며 한층 진화된 모습을 보였다.

안랩 분석 결과에 따르면, 지난 1월부터 5월까지 수집된 스미싱 악성코드가 지난해 같은 기간에 발생한 1,033개보다 약 3.4배 증가한 총 3,558

개가 발견됐다. 이는 2012년 같은 기간 대비 711.6배 급증한 수치다.

이렇듯 스미싱은 각종 사회적인 이슈와 고도화된 수법을 결합시켜 끊임없이 다른 형태로 탈바꿈하고 있기 때문에 사용자들의 각별한 주의가

요구된다. 스미싱 피해를 예방하기 위해서는 출처가 불분명한 문자에 포함된 인터넷주소를 클릭하지 말고, 의심스러운 문자는 즉시 삭제하는

것이 안전하다.

Windows XP 서비스 지원 중단

지난 4월 8일, 마이크로소프트사의 Windows XP가 서비스 지원 중단으로 ‘보안의 블랙홀’이 되었다.

Windows XP 서비스 지원 중단이란 Windows XP를 위한 PC 보안, 버그 수정, 온라인 기술 지원 등을 제공하지 않는 것이다. 즉, Windows XP

사용자들은 지원 종료일 이후부터 이 운영체제의 치명적인 취약점에 대한 보안 패치를 제공받을 수 없게 된다는 의미이다. 결국 사용자가 이

운영체제를 계속 사용한다면, 각종 바이러스나 스파이웨어, 악성코드, 해킹 등의 보안 위협에 쉽게 노출될 수밖에 없다. 이로 인해 개인정보 도

난 등 개인의 피해 위험성이 높아지는 것은 물론, 하드웨어의 문제로 인한 시스템 오류 및 비즈니스 중단에 대한 피해와 위험이 매우 높아질

수 있다는 것이다.

다행히도 당초 우려와는 달리 Windows XP 서비스 지원 중단으로 인한 큰 문제는 아직까지 발생하지 않았다. 하지만 Windows XP를 그대로

사용하는 것은 엄청난 위험의 불씨를 안고 있는 것이므로, 운영 체제 변경이나 업그레이드 등 근본적인 해결책은 반드시 수행해야만 한다.

하트블리드와 오픈SSL 지난 4월, 전 세계에서 가장 많이 사용하는 암호화 프로토콜인 오픈SSL의 하트블리드(HeartBleed) 버그가 발견됐다. 일부 보안 전문가와 언론

에서는 이를 두고 ‘인터넷 역사상 최악의 보안 취약점’이라고 표현하는 등 전세계적으로 큰 파장을 일으켰다.

오픈SSL은 인터넷을 통해 데이터를 송수신할 때 원본 내용을 암호화할 수 있게 해주는 방법(프로토콜)이다. 이번에 이슈화된 하트블리드는 오

픈SSL에서 클라이언트(PC)와 웹 서버 간 암호화 통신이 제대로 이뤄지는지 확인하기 위해 사용되는 프로토콜인 ‘하트비트(HeartBeat)’에서 발

견된 취약점이다. 이 취약점은 하트비트라는 프로토콜에서 클라이언트 요청 메시지를 처리할 때 데이터 길이에 대한 검증을 수행하지 않아 시

스템 메모리에 저장된 64KB 크기의 데이터를 외부에서 아무런 제한 없이 탈취할 수 있는 취약점이다. 이처럼 하트블리드라는 용어는 통신 프

로토콜인 하트비트 상에서 발견된 결함이라고 해서 명명됐다. 즉, 심장출혈을 의미하는 하트블리드(HeartBleed)는 해킹을 통해 심장출혈처럼

데이터가 조금씩 밖으로 빼돌려져 치명적인 개인 정보 유출 사태가 나타날 수 있다는 것이다.

이후 지난 6월, 중간자공격(MITM)에 악용될 수 있는 취약점(CVE-2014-0224) 등 총 6개의 오픈SSL 관련 취약점이 추가로 발견됐다.

올 상반기 발생한 두 차례의 오픈SSL 취약점으로 인해 인터넷 기업, 네트워크 장비 업체, 보안 업체들은 제품 패치 작업을 진행하느라 분주한

시간을 보내야만 했다.

랜섬웨어

랜섬웨어는 이미 익숙한 용어이지만, 스마트폰으로의 확대, 비트코인 결제 등 다양한 이슈를 낳고 있다는 점에서 주목해야 한다.

랜섬웨어란 ransom(몸값)과 ware(제품)의 합성어로 사용자의 중요한 자산을 볼모로 금전적인 요구를 하는 악성 프로그램을 말한다. 최근에는

안드로이드 운영체제를 노리는 랜섬웨어가 등장해 스마트폰 단말기 자체를 인질로 잡는 것이 특징이다. 즉, 안드로이드 랜섬웨어는 기존 악성

코드와 달리 감염될 경우 해당 기기가 통제 불가능한 상태가 돼 안드로이드폰 내의 중요 정보를 정상적으로 사용할 수 없도록 만든다.

이외에 크립토락커와 같은 랜섬웨어는 피해자 컴퓨터의 파일을 암호화한 후 비트코인이나 현금 결제 방식으로 돈을 지불하지 않으면 이를 풀

어주지 않겠다고 협박하기도 한다.

랜섬웨어는 중요한 문서를 암호화한 후 복구 대가를 요구하지만 한번 암호화가 되면 대가를 제공하지 않고서는 복구 가능성이 매우 희박하다.

1313

또 대가를 지불한다고 해도 모든 파일을 복구할 수 있다는 보장도 없다.

따라서 랜섬웨어 피해를 줄이기 위해서는 출처가 불분명한 이메일에 포함된 첨부 파일이나 인터넷 주소(URL)는 클릭하지 말아야 한다. 또한

PC와 스마트폰은 평소에 중요한 문서나 파일에 대해 백업해 두는 습관이 필요하다. 랜섬웨어 악성코드에 감염되더라도 복원지점을 설정해 두

었거나 사용자 파일 백업을 해두었다면 그 시점으로 돌아가 복구할 수 있다.

비트코인

비트코인(Bitcoin)은 지난해부터 전세계 뉴스에 오르내리는 매력적인 단어 중의 하나다. 비트코인은 가상 화폐의 일종으로, 이용자 간의

P2P(파일공유 시스템)를 기반으로 통화의 발행 및 거래가 이루어진다는 특징이 있다. 비트코인은 다른 가상 화폐와 달리 일반 화폐처럼 오프

라인에서 실제 재화나 서비스를 구매할 수 있다. 또한 민간 거래소에서 달러나 유로 등 기존 화폐로 쉽게 바꿀 수도 있다.

보안 측면에서 비트코인을 주목하는 것은 지난해 하반기부터 비트코인의 가치가 상승하면서 이를 탈취하기 위한 악성코드도 증가하고 있다는

것이다. 가장 일반적인 형태의 비트코인 악성코드는 비트코인 확인과 전송에 사용되는 암호키를 저장 및 생성하는 소프트웨어 ‘지갑(Wallets)

을 공격하는 것으로 알려지고 있다. 외신에 따르면 지난 2월 좀비 바이러스 포니(Pony)에 의해 85개 전자지갑이 피해를 입었으며, 도난 당한

금액은 20만 달러(약 2억 1,400만원)에 이른다고 보도되었다.

그간 비트코인은 논란의 대상이었지만 지난 6월 애플이 비트코인으로 거래하는 관련 앱(애플리케이션)을 승인하면서 더욱 관심이 높아질 것으

로 보인다.

14

F O C u S i N - D E p T h SiEM

반복되는 보안사고의 해법,

빅데이터 기반 SIEM

sIem : 고도화된 최신 위협 대응을 위한 최적의 솔루션

2012년부터 최근까지 발생한 보안사고의 사례를 보면 종전의 보안체계로는 더 이상 안전하게 고객의 정보를 포함한 기업의 중요한

자산을 지킬 수 없음이 명확해졌다. 특히, 금년에 발생한 유명 카드사나 통신업체의 개인정보 유출 사고 사례를 보면 해당 업체는 이

미 상당 수준의 보안 솔루션이 구축되어 있었음에도 불구하고 외부 해커 또는 악의적인 내부직원에 의한 정보유출 행위를 탐지/차단

하는데 실패했으며, 경찰의 수사과정을 통해 거꾸로 침해사실이 알려지는 등 치명적인 보안 허점이 드러났다. 이에 반복되는 보안사

고의 원인이 무엇인 지 살펴본 뒤, 효과적으로 침해사고를 사전에 탐지/예방할 수 있는 방안을 알아보려 한다.

잊을만 하면 반복되는 대량의 개인정보 유출사고와 그 수사과정에서

불거져 나온 기업의 허술한 보안관리 실태로 인해 정보가 유출된 고

객이나 유출되지는 않았지만 잠재적으로 유출 가능성을 깨달은 고객

모두 해당 기업에 대한 불만과 불안감이 급증하였다. 더불어 과태료,

벌금, 소송 등과 같은 직접적인 금전 피해 뿐만 아니라 수사과정에서

누적된 부정적인 이미지는 기업의 신뢰도에도 영향을 주어 잠재적으

로 기업의 생존에도 영향을 미치게 되었다.

따라서, 경영에 참여하는 기업/기관의 수장도 더 이상 사고의 책임을

면할 수 없는 상황에 처했고 보안에 대한 투자가 더 이상 뒤로 미룰

수 없는 경영 지표의 중요한 아젠다가 되었다. 또한, 앞선 보안사고를

직접적으로 경험하지 않았더라도 향후 발생되는 보안사고를 직접적으

로 책임져야 하는 임원은 기존에 운영 중인 보안대책을 정말 신뢰할

수 있는가에 대한 의구심을 가지게 되었으며, 근본적인 체질 개선 및

변화가 요구되고 있다. 이로 인해 보안을 담당하는 실무 부서는 더욱

더 막중한 책임과 함께 여러 가지 당면한 과제를 어떻게 효과적으로

처리해야 할지 깊고 깊은 고민에 빠지게 되었다.

“외주 직원으로 하여금 기업 내부의 보안 관리 규정이나 개인정보보호법에 명

시된 개인정보 취급자가 지켜야 하는 항목을 제대로 준수하게 하고, 이를 위반

하는 행위가 발생한 경우 탐지하여 위반자에게 소명하게 하는 체계가 있었다면

발생하지 않았을 사고”

최근 발생한 보안사고 사례의 특징 ①

- 내부/외주 직원의 법 규정의 미 준수 및 모니터링 미흡

[그림 1] 최근 발생한 보안 사고 사례 1

15

최근 발생한 보안사고 사례의 특징 ②

- 취약점 관리 미흡 및 부정행위 감시 누락

[그림 2] 최근 발생한 보안 사고 사례 2

[그림 3] 보안 산업에서의 빅데이터 활용

[그림 4] 빅데이터 기반의 분석 플랫폼의 활용

“지속적인 취약점 점검에도 불구하고 취약한 코드 사용을 탐지/제거하지 못했고,

대량의 개인정보 유출(조회) 행위를 탐지할 수 있는 최소한의 모니터링(로그 분

석) 활동마저 없어 장기간 유출 행위를 전혀 인지할 수 없었던 사고”

앞서 사고 사례에서 살펴본 문제점 외에도 최근의 정보 보안 위협

의 주요 특징은 소셜 네트워크, 클라우드 서비스, IoT(Internet of

Things) 등 신기술 발전에 따른 정보의 유통 경로가 다양해졌다. 내

부 사용자를 노린 지능적인 APT 공격의 등장으로 인해 내/외부 위협

을 과거와 같이 명확하게 구분할 수 없게 됐다. 또한 기업의 영리활동

을 위하여 고객정보를 활용함과 동시에 보호(최소화)해야 한다는 관리

기준의 차이로 점점 더 보안사고의 징후를 탐지하는 것이 어려워 지

고 있다. 반면 자동으로 내부문서를 유출하는 다양한 변종 악성코드의

증가, 정상적으로 정보 접근이 가능한 내부자의 악의적인 유출 행위,

중요 정보를 취급하는 관리자의 사소한 실수로도 보안 사고가 발생할

수 있어 기업의 리스크(Risk)가 더욱 더 커지고 있는 것이 부정할 수

없는 현실이다. 따라서, 이를 중앙에서 효과적으로 관리할 수 있는 방

안이 요구되고 있다.

왜 침해사고를 사전에 효과적으로 탐지하지 못하는가?

침해사고를 효과적으로 탐지하지 못하는 이유는 치명적인 보안 취약

점의 존재, 보안 솔루션 우회 공격, 알려지지 않은 공격의 발생, 관리

대상 및 범위의 증가, 개별적이고 단편적인 모니터링과 대응의 한계

등을 예로 들 수 있다. 이 가운데 가장 큰 이유는 여러 가지 보안 이상

징후들을 중앙에서 효과적으로 탐지/모니터링할 수 있는 가시성이 확

보되지 못하고 있기 때문이다. 근래에는 국내외 보안 업체들이 저마다

차세대 보안 솔루션 제품을 출시하면서 공통적으로 위협 인텔리전스

(Threat Intelligence)에 기반한 가시성(Visibility)의 중요성을 주장하

기는 하지만 단일 업체의 보안 아키텍처는 근본적인 한계를 가질 수

밖에 없다.

따라서, 진정한 가시성 확보를 위해서는 다양한 영역의 보안 솔루

션을 구성하고 각 영역에서 발생하는 정형(보안 이벤트) 및 비정형

(애플리케이션 로그, 패킷 등) 데이터를 수집하여 3E(Everywhere,

Everything, Everyone) 기반의 통합 보안 체계를 구축하고, 체계적인

보안관제 프로세스의 운영을 통해서 새로운 위협에 선제적으로 대응

해야 한다.

빅데이터 기반의 위협 인텔리전스와 통합 분석 필요

갈수록 지능화되는 보안 위협에 대응하기 위하여 보안 산업 분야에

서도 빅데이터 활용에 대한 고민을 하고 있다. 대표적인 예로 안랩의

ASD(AhnLab Smart Defense) 등과 같이 보안 제품 사용자나 장비로

부터 최신의 보안 위협정보를 실시간으로 수집하는 클라우드 기반의

인프라를 들 수 있다. 또한 기업이나 기관 내부의 다양한 보안 로그

와 이벤트, 각종 자산 정보를 통합하여 상관 분석하는 SIEM(Security

Information & Event Management) 분야가 있다.

최근에는 빅데이터 기반의 분석 플랫폼을 활용하여 기존의 이벤트 중

심의 로그뿐만 아니라 접속 정보, 행위 정보, 거래정보, 메타 정보 등

다양한 사용자 및 애플리케이션의 로그를 추가로 수집하여 이상 행위

를 탐지해내는 등 더욱 더 많은 보안 분야(SIEM, 내부통제, 사기거래

탐지 등)에서 관련 기술이 적극적으로 활용되고 있다.

빅데이터 기반의 분석이 필요한 이유는 최근의 APT 공격이나 정상 행

위를 가장한 공격이 시그니처 방식의 솔루션으로 탐지해내는데 한계

가 있기 때문이다. 즉, 장기간 누적된 빅데이터의 프로파일링/통계 분

석, 행위와 시나리오에 기반한 맥락 분석을 통해서만 앞서 언급한 위

협들을 조기에 탐지하고 대응할 수 있다. 하지만 빅데이터를 무조건

수집만 해서는 제대로 된 탐지를 할 수 없으며 오히려 쓸모 없는 데이

터로 인해 분석 시간이 증가하는 문제점을 야기할 수 있다. 따라서, 빅

데이터 분석을 제대로 활용하기 위해서는 우선 공격자의 행위를 파악

할 수 있는 다계층의 의미있는 다양한 로그를 가공/수집하여 가시성

(Full Visibility)을 확보해야 한다. 또, 수집된 정보의 속성과 자산의 특

성을 제대로 이해하여 전후 과정의 맥락을 파악함으로써 오탐은 최대

한 줄이고 정탐 비율을 높이는 것이 매우 중요하다. 특히, 이러한 과

정에서 보안 관제 전문가의 경험과 분석기술이 체계에 제대로 반영이

되어야만 효과적인 시스템이 구축될 수 있다.

16

기업의 차세대 보안 모델은 모든 IT 영역에 대한 전방위적이고 지

속적인 모니터링 요구

세계적인 IT 리서치 조사 기관인 가트너(Gartner)는 고도화된 위협에

실효적이고 위험 기반에 대응하기 위한 차세대 보안 프로세스의 코

어는 지속적이고, 전반적인 모니터링이 수반되어야 하며, 침해의 징

후를 끊임없이 분석하는 것이 필요하다고 언급한바 있다. 예를 들어

수집된 대량의 데이터는 데이터 추론, 통계적 분석, 모델링, 기계 학

습 등의 다양한 기술을 활용하여 분석할 수 있는 기반이 되며, 적절

한 분석(탐지의 정확성을 높이기 위해 외부의 Context 소스, Threat

Intelligence 등이 연계된 경우)을 통해 기업의 인사이트를 확보하는

데 사용될 수 있다.

또한, 앞으로의 효과적인 보안 보호 플랫폼은 기존의 보안 정보 및 이

벤트 관리(SIEM) 시스템뿐만 아니라 기업의 핵심 역량과 같은 도메인

별 분석을 포함해야 한다. 이를 위해서 기업의 모든 네트워크 활동, 애

플리케이션의 거래 및 사용자 활동 등 가능한 한 모든 IT 영역, 나아가

서는 클라우드 기반의 서비스 영역까지도 모니터링 범위에 포함하여

가시성을 확보해야 한다고 언급했다.

주요 특징

1. 수집된 데이터를 자동화된 방식으로 통합

모든 기기로부터 데이터가 수집되면, 해당 데이터를 분석하여 의미있

는 정보를 추출해야 한다. 담당자가 일일이 로그를 확인해야 하는 전

통적인 방식의 로그관리 방법은 보안 분석가가 일반적인 로그로부

터 공격과 관련된 정보를 수동으로 분리해야 하기 때문에 실제 공격

자를 찾는데 큰 한계점이 있다. 그 해결책은 수집된 로그를 자동화된

방식으로 정규화하고, 분류 하는 것이다. 즉, 수집된 로그를 정규화하

여 실제 보안 상황에 맞는 핵심 정보를 자동화하여 추출하는 것이다.

예를 들어, 아크사이트 커넥터(ArcSight Connector)는 로그 데이터

를 400개 이상의 메타필드(Meta Field)로 정규화하고 분류한다. 로

그를 정규화하면 로그를 해석하는 특정 시스템을 위한 전문가가 필요

없기 때문에 훨씬 유용한 보안방법론을 제시할 수 있다. 메타데이터

(Metadata)를 통해 로그 관리를 강화함으로써 텍스트 문자열을 색인

및 검색이 가능한 정보로 바꿀 수 있다.

[그림 5] 가시성 확보를 위한 빅데이터 기반 분석

[그림 7] 아크사이트 관리 콘솔

[그림 8] 아크사이트 주요 기능

[그림 9] 수집된 데이터 자동 통합

[그림 6] 적응형 보호 아키텍처에 필요한 지속적인 모니터링 (출처: Gartner 2014)

아크사이트 sIem, 지능형 보안관제 플랫폼의 핵심

HP 아크사이트(ArcSight)의 엔터프라이즈 위협 및 위험 관리(ETRM

: Enterprise Threat and Risk Management) 플랫폼은 보안 및 위험

정보를 수집, 분석 및 평가를 위한 통합 제품군이다. 이 제품은 빅데이

터 환경에서 더 많은 사건을 빠르게 탐지하고 처리할 수 있으며, 실시

간 위협 평가를 통하여 오탐은 최소화하면서도 효율적으로 보안 운영

을 할 수 있게 도와준다.

2. 통합된 데이터에 대한 상관관계 분석

정규화된 데이터는 지수화되고 분류되어 상관관계 분석 엔진을 통해

보안적으로 의미 있는 패턴을 쉽게 확인하고 처리할 수 있다. 이를 기

17

반으로 여러 출처의 로그를 통합 분석하고, 이벤트들의 보안적인 상호

연관성을 찾아 실시간 경고를 생성할 수 있게 된다. 아크사이트가 제

공하는 상관 분석 기능은 유사 솔루션 중 가장 뛰어난 기능을 제공하

고 있다.

랫폼은 종전의 ESM(Enterprise Security Management)과 같이 제한

적인 보안관제 플랫폼이 아니라 내부의 위협이나 알려지지 않은 최신

의 위협에도 선제적으로 대응할 수 있는 진정한 의미의 빅데이터 기

반의 통합 보안 관제 플랫폼이다. 이를 위하여 장기간의 데이터도 성

능 저하 없이 수집/검색할 수 있는 빅데이터 기반의 통합 로그 수집

시스템, 내/외부에서 발생한 이벤트 및 행위를 실시간 상관 분석할 수

있는 빅데이터 기반의 SIEM, 마지막으로 관제 업무처리를 위한 워크

플로우와 통합 모니터링을 위한 대시보드로 구성되어 있다. 이 체계를

통하여 공격자/비인가자의 모든 행위(공격 시도, 공격 성공, 내부 확

산, 정보 유출)를 중앙에서 효과적으로 모니터링하고 대응할 수 있다.

3. 실시간 사이버 위협 평가 능력

아크사이트는 사용자 아이덴티티(Identity) 관리, 필수 자산, 취약성

데이터 등 “감시 목록”에 관한 정보를 실시간으로 수집하고, 이 정보

를 활용해 오탐을 줄이고 메모리 내 필수적인 인프라를 감시하는 자

체 위협 공식 내의 변수로써 활동자 정보를 활용한다. 예를 들어, 마이

크로소프트 SQL 서버 인젝션 공격이 오라클 데이터베이스를 대상으

로 진행되는 경우, 아크사이트는 MS SQL 공격에 대해 오라클이 취약

하지 않다는 것을 알고 있기 때문에 공격의 심각성을 즉각적으로 낮

춘다. 반면에 만약 권한을 가진 사용자가 정규 업무시간 이후에 중요

한 인프라에 접속하고 시스템에 USB 메모리를 삽입하면 다수의 낮은

심각성 이벤트가 발생할 수 있다. 하지만 아크사이트는 사용자의 권

한 및 자산의 중요성에 대한 이해를 기초로 이런 활동의 심각성을 즉

시 상향 조정할 수 있다. 그러면 경고 프로세스가 시작되고 잠재적인

보안 침임에 대하여 모니터링 활동을 통해 침해사고가 확대되기 전에

보안사고를 예방할 수 있다.

안랩의 내/외부 통합 보안관제 체계

안랩이 제시하는 내/외부 통합 보안관제 체계도 이러한 경험과 노하

우, 차세대 솔루션을 기반으로 구현되었다. 안랩의 컨버전스 관제 플

안랩의 선진적인 내/외부 통합 보안 관제 체계는 2012년 처음 구축된

이후 그 효과성이 국내 금융사의 실제 운영 환경에서 검증된 바 있으

며, 현재는 다수의 금융권 및 대기업에서 빅데이터 기반의 차세대 통

합 관제 및 내부통제 플랫폼으로 활용되고 있다.

[그림 10] 통합된 데이터의 상관분석 수행

[그림 11] 안랩의 내/외부 통합 보안관제 체제

1818

p R O D u C T i S S u E

안랩, 네트워크 보안 통합 관리 솔루션

‘AhnLab TSM’ 출시

ahnlab TSM

안랩은 자사의 네트워크 보안 장비들을 단일 솔루션을 통해 효율적으로 관리할 수 있는 네트워크 보안 통합 관리 솔루션 ‘AhnLab

Tsm’을 출시했다. AhnLab Tsm은 ▲조직 내 다수의 안랩 네트워크 보안 장비 운영 정책의 일괄 또는 개별 설정 ▲보안 장비 시스템

을 비롯해 네트워크, 가상 사설망(VPN), 보안 현황에 대한 통합 모니터링 환경 ▲빅데이터 환경에 최적화된 대용량 로그 저장 및 분

석, 관리 기능을 제공한다. 이를 통해 기업보안 관리자는 기업의 전반적인 네트워크 보안 현황을 한 눈에 파악하고, 고도화된 사이버

보안 위협에 신속하고 정확하게 대응할 수 있다.

최근 단말기와 애플리케이션이 기하급수적으로 증가하면서 기업 내부로 유입되는 트래픽의 양도 폭발적으로 늘어나는 등 네트워크 환경이 변

화하고 있다. 이에 따라 네트워크 보안 장비들도 대용량 처리 성능과 고도화된 다양한 기능을 장착하고 있다. 그러나 복잡다단한 다수의 네트

워크 보안 장비들을 동시에 관리하고 이를 통해 위협의 징후를 파악해야 하는 기업 보안 관리자로서는 반가운 소식만은 아니다.

이에 안랩은 자사의 고성능 네트워크 보안 장비를 효율적으로 관리할 수 있는 네트워크 보안 통합 관리 솔루션을 출시해 보안 관리자의 부담

은 최소화하고 네트워크 보안 효과를 극대화하고 있다.

고성능 네트워크 보안 장비 관리에 딱!

보안 관리자는 AhnLab TSM으로 조직 내 도입된 안랩의 고성능 차세대 방화벽 트러스가드(AhnLab TrusGuard)와 네트워크 침입방지 솔루션

인 트러스가드 IPX(AhnLab TrusGuard IPX) 등 개별적인 네트워크 보안 장비들의 보안 시스템 정책을 한 번에 적용하거나 각 장비별 용도에

따라 개별적으로 설정할 수 있다.

또한 정책 설정 및 관리(Policy Manager), 모니터링(Event Monitor), 로그 관리(Log Manager)를 모듈화해 기업의 네트워크 환경에 따라 개별

모듈 구성 또는 모듈 통합 구성이 가능하다. 로그 관리 모듈을 통해 네트워크 및 시스템 상태, 방화벽 필터링 정책 유효성, 네트워크 트래픽 현

황, 각종 애플리케이션 제어 등 50여종의 리포트를 손쉽게 받을 수 있도록 관리 편의 기능을 지원한다. 통합 모니터링(Event Monitor) 모듈을

통해 장비 장애, 서비스 장애와 리소스 및 세션의 임계치를 모니터링 할 수 있어 네트워크 운용의 연속성을 확보하는데 기여한다.

이 밖에도 표준화된 하드웨어 플랫폼과 OS, 데이터베이스로 안정적인 보안 시스템을 운영할 수 있으며, 언제 어디서든 안전하게 보안 관리를

할 수 있도록 HTTPS를 통한 웹 접속 환경을 제공한다. 또한 폐쇄망 환경에서의 보안 장비에 대한 각종 DB 및 엔진 업데이트를 지원해 민감한

네트워크 운용 환경에서도 최신 네트워크 위협에 대한 대비가 가능하다.

안랩 제품기획실 정진교 실장은 “안랩 TSM을 통해 기업의 전반적인 네트워크 보안 현황을 한 눈에 파악하고, 고도화된 사이버 보안 위협에 신

속하고 정확히 대응하게 될 것이라 기대한다”라며 “네트워크 보안 시장을 주도할 수 있는 기술과 장비 개발에 최선의 노력을 다해 나갈 것”이

라고 밝혔다.

한편 안랩은 올해 TSM 등 신제품 출시와 함께 최대 100Gbps를 지원하는 트러스가드에 차세대 방화벽 기능을 대폭 추가하는 등 자사 네트워

크 보안 솔루션의 기능 및 성능 강화에 박차를 가하고 있다.

▲ 안랩의 엔터프라이즈 네트워크 방화벽인 트러스가드 22000

19

T E C h R E p O R T SQlite Forensics

실전! 삭제된 문자메시지를 복구하라

sQLite 포렌식을 통한 스마트폰 문자메시지 복구하기

앞서 3회에 걸친 월간 안 연재를 통해 디지털 포렌식 관점에서의 sQLite 데이터베이스의 의미와 함께 데이터베이스 파일 내부의 삭

제된 레코드에 대한 복원 방법에 대해 알아보았다. 이번 호는 지금까지 알아본 내용을 토대로 실제 데이터 복구가 이루어지는 과정을

살펴볼 차례다.

대표적인 스마트폰 운영체제인 안드로이드에서는 문자메시지(sms) 관리를 위해 sQLite를 사용하고 있다. 이에 이번 호에서는 삭제

된 스마트폰 문자메시지를 복원하는 과정을 구체적으로 살펴본다. 이 글을 통해 지난 3회의 연재에서 살펴본 내용을 복습하고, 실제

데이터에 복원 기법을 적용하는 과정을 통해 sQLite 데이터베이스에 대한 이해를 높일 수 있게 되기를 기대한다.

<연재 목차>

1부_스마트폰 포렌식과 sQLite (2014년 4월 호)

2부_sQLite 데이터베이스의 구조적 특징과 데이터 복구 (2014년 5월 호)

3부_sQLite의 레코드 구조와 삭제된 데이터 복구 방법 (2014년 6월 호)

4부_sQLite 포렌식을 통한 스마트폰 문자메시지 복구하기 (이번 호)

이 글에서는 실제 데이터 복구의 과정을 확인하기 위해 현재 시중에

서 판매되고 있는 L사의 안드로이드 기반의 스마트폰을 이용한다. 해

당 스마트폰의 운영체제 버전은 Android 4.4.2로, 문자메시지 데이터

를 추출하여 삭제된 데이터를 복원하는 방법을 살펴보자.

스마트폰에서 문자메시지 데이터베이스의 추출

디지털 포렌식을 위해 스마트폰의 데이터를 추출하는 방법은 상황과

데이터 취득 권한에 따라 다양하다. 그러나 디지털 포렌식의 관건은

데이터의 무결성, 즉 어떠한 경우라도 데이터의 손상을 최소화하는 방

법을 이용하는 것이 바람직하다. 따라서 스마트폰에서 기본적으로 제

공하는 백업 기능을 이용하여 데이터를 추출하여 분석하는 것이 가장

안전한 방법이 될 수 있다.

이 글에서 살펴볼 안드로이드 기반 스마트폰의 문자메시지는 백업 기

능으로 데이터 추출이 가능하므로, 이를 이용하여 문자메시지 데이터

베이스를 추출하여 복구 과정을 수행해본다. [그림 1] 삭제 문자메시지와 안드로이드 백업 기능을 이용한 파일 추출 예시

20

스마트폰의 데이터 추출 방법은 스마트폰 단말기 및 운영체제 별로

수많은 연구자료가 인터넷 상에 공개되어 있기 때문에 이 글에서는

자세히 다루지 않았다. 인터넷에 공유되고 있는 자료를 통해 데이터베

이스 파일 추출 방법을 실습해보고자 하는 독자라면 어렵지 않게 연

습이 가능할 것이다.

스마트폰의 백업 기능을 이용하여 데이터를 추출할 경우에는 해당 스

마트폰에서 백업을 지원하는 데이터만 접근할 수 있다. 백업 대상에

포함되지 않은 데이터를 분석해야 하는 경우에는 부득이 ‘루팅’ 혹은

‘탈옥’이라 불리는 관리자 권한 강제 획득 방법을 이용해야 한다. 단,

이 같은 방법은 스마트폰의 펌웨어를 일부 조작하는 과정을 거치기

때문에 포렌식 수행 과정에서 조사 대상 데이터에 대한 변조가 없다

는 것을 증명해야 하는 등 다소 부담스러운 절차가 수반된다.

데이터베이스 파일 구조

추출한 데이터베이스 파일은 SQLite 데이터베이스 전용 브라우저

를 통해 내용을 열람할 수 있다. 필자는 SQLite Expert Personal 프

로그램(프리웨어)을 이용했다. [그림 2]는 분석 대상 스마트폰에서 문

자메시지를 담고 있는 SQLite 데이터베이스 파일인 mmssms.db에

존재하는 테이블 목록을 나타낸 것이다. 파일 내부에는 수많은 테이

블이 존재하는데, 문자메시지는 모두 sms 테이블에 존재한다. 스마

트폰의 기능이 지속적으로 확대됨에 따라 스팸 메시지 필터링을 위

한 spamstring, spamnumber 테이블이나 음성 메시지 관리를 위한

voicemail 테이블 등 다양한 테이블이 추가되어 데이터베이스 파일을

이루고 있다.

[그림 2] mmssms.db의 테이블 목록

[그림 3] 데이터베이스 파일 헤더에 존재하는 sms테이블의 스키마 정보

[표 1] sms 테이블의 구조(필드 정보)

테이블의 구조를 나타내는 스키마 정보를 데이터베이스 파일에서 확

인하면 [그림 3]과 같다. 스키마 테이블은 파일 헤더에 생성 당시의 쿼

리 문자열 형태로 존재하며, 추후 추출한 레코드에서 각 필드의 명칭

을 매치하여 분석을 진행하는데 유용하게 사용할 수 있기 때문에 가

능하다면 반드시 확보해둘 필요가 있다.이 글을 통해 수행하는 실습의 목적은 삭제된 문자메시지 데이터를

복원하는 것이므로 sms 테이블을 대상으로 삭제된 레코드를 찾아 복

원하는 방법을 살펴보자.

[표 1]은 sms 테이블을 구성하고 있는 필드의 목록이다. mmssms.db

파일의 테이블 개수만큼이나 sms 테이블의 필드 개수가 상당히 많다

는 것을 알 수 있다. 지난 연재에서 언급한 바와 같이 필드의 개수가

많고 데이터 타입이 다양할수록 삭제된 영역에서 정확한 레코드의 위

치를 파악하여 추출할 수 있다. 따라서 이처럼 복원 대상 레코드가 존

재하는 테이블의 필드가 다수 존재한다는 것은 디지털 포렌식 분석가

입장에서는 정말 반가운 일이 아닐 수 없다.

Seq. NameDeclared

TypeSeq. Name

Declared Type

1 _id INTEGER 32service_msg_sender_address

TEXT

2 thread_id INTEGER 33lgeCallbackNumber

TEXT

3 address TEXT 34 sms_imsi_data TEXT

4 person INTEGER 35 name TEXT

5 date INTEGER 36 tag INTEGER

6 date_sent INTEGER 37 tag_eng INTEGER

7 sc_timestamp INTEGER 38 typeex INTEGER

8 protocol INTEGER 39 group_id INTEGER

9 read INTEGER 40 ui_duplicate INTEGER

10 status INTEGER 41 dcs INTEGER

11 type INTEGER 42 original_address TEXT

12reply_path_present

INTEGER 43 reply_address TEXT

13 subject TEXT 44 confirm_read INTEGER

14 body TEXT 45 extra_data TEXT

15 service_center TEXT 46 simcopy INTEGER

16 locked INTEGER 47 save_call_type INTEGER

17 sub_id INTEGER 48 msg_boxtype INTEGER

18 error_code INTEGER 49 modified INTEGER

19 seen INTEGER 50 modified_time INTEGER

20 lgeMsgType INTEGER 51 reply_option INTEGER

21 lgeSiid INTEGER 52 app_id TEXT

22 lgeCreated INTEGER 53 cmd INTEGER

23 lgeExpires INTEGER 54 payload TEXT

24 lgeReceived INTEGER 55 spam_report INTEGER

25 lgeAction TEXT 56 reserve_time INTEGER

26 lgeSec TEXT 57chatting_read_reply

INTEGER

27 lgeMac TEXT 58 kpas_messageid INTEGER

28 lgeDoc TEXT 59kpas_serialnumber

INTEGER

29 doInstalled INTEGER 60 insert_time INTEGER

30 lgePinRemainCnt INTEGER 61 textlink INTEGER

31 index_on_icc TEXT 62 message_class INTEGER

문자메시지 삭제 전•후 레코드 비교

이제 테스트를 위해 작성한 문자메시지가 실제 파일 내부에서 존재하

는 모습과 해당 문자메시지를 삭제한 후의 변화를 살펴보자. 본 실습

에서는 문자메시지 데이터베이스 파일이 삭제되기 전•후를 비교하기

위해 각각의 시점에서 데이터베이스 파일을 추출하였다.

[그림 4]는 지난 호에서도 소개한 바 있는 삭제되기 전의 레코드 구조

를 나타낸 것이다. 레코드의 길이 정보와 각각의 필드 타입 및 길이

정보에 이어 실제 필드데이터가 나열되어 있는 형식이다.

이를 실제 추출한 데이터에서 살펴보면 [그림 7]과 같다. [그림 5]와

비교해 보면 0x155E7B 영역에 존재하는 데이터인 0x81368E0F가

[그림 7]에서는 0x000000BA로 갱신되었음을 알 수 있다. 이 중 상위

2바이트인 0x0000은 다음 비할당 블록의 위치를 의미한다. 여기서는

0값을 가지므로 현재 위치가 페이지 내에서 가장 마지막 비할당 블록

임을 의미한다. 또한 하위 2바이트인 0x00BA는 현재 비할당 블록의

길이를 나타내므로, 이를 통해 0x155E7B~ 0x155F35영역이 [그림 7]

에서의 비할당 영역임을 알 수 있다. 또한 이 영역은 [그림 5]에서 삭

제되기 이전의 레코드 데이터가 차지하고 있던 영역과 동일함을 알

수 있다.

이와 같은 내용을 실제로 추출한 데이터베이스의 레코드에서 살펴보

면 [그림 5]와 같다. 빨간색으로 표시된 위치가 이번 실험에서 삭제할

문자메시지를 담고 있는 레코드의 시작 위치이다. 레코드의 시작 위치

에 존재하는 ‘레코드 길이 정보’와 ‘RowID’는 가변 길이 정수 형식으

로 존재하기 때문에 그 내용을 해석하여 각각 차지하고 있는 데이터

크기를 파악해야 한다. [그림 5]에서는 각각의 정보가 2바이트로 표현

되어 있음을 알 수 있다.

가변길이 정수의 해석에 대해 좀 더 살펴보자. ‘레코드 길이 정보’

를 나타내는 0x81은 이진수로 표현하면 100000012이고 최상

위 바이트가 1이므로 0x36을 포함하여 0x8136이 최종적으로 레

코드 길이 정보를 표현하고 있다. 0x8136은 이진수로 표현하면

10000001001101102가 되므로 가변길이 정수 변환 규칙에 따라 각

바이트의 최상위 비트를 제외하고 값을 산출하면 101101102이 된다.

십진수로는 182이고, 이는 Row ID에서부터 레코드의 끝부분까지의

길이를 나타내므로 0x155E7B~0x155F35가 삭제 후 복원하고자 하

는 실제 문자메시지의 레코드 영역임을 알 수 있다.

이제 레코드 데이터가 삭제된 이후의 변화를 살펴보자. 지난 호에서

살펴본 내용을 통해 SQLite의 레코드가 삭제되는 경우 상위 4바이트

의 값이 [그림 6]과 같이 갱신된다는 것을 알고 있다.

삭제된 영역 찾아가기

지금까지 안드로이드 스마트폰에서 문자메시지를 삭제한 경우 문자메

시지를 관리하는 SQLite 데이터베이스에는 어떠한 변화가 발생하는

지 알아보았다. 이제 실제 데이터베이스 파일에서 삭제된 영역을 찾아

레코드의 내용을 복원하는 방법을 살펴보자.

데이터베이스의 내용을 탐색하기 위해 제일 먼저 수행해야 할 작업은

해당 데이터베이스가 사용하는 페이지의 크기를 확인하는 것이다. [그

림 9]는 실제 추출한 데이터베이스의 헤더를 나타낸다. 0x10 위치에

페이지의 크기를 나타내는 0x1000값이 빅엔디안(BigEndian) 정수형

으로 저장되어 있는 것을 알 수 있다. 추가로 0x38 위치에 존재하는

문자열 변환 방식을 확인해두면 한글로 되어있는 데이터를 변환할 때

활용할 수 있다.

참고로 텍스트 변환 방식은 UTF-8을 사용할 경우 1, UTF-16 리틀엔

디안(Little Endian)을 사용할 경우에는 2, UTF-16 빅엔디안을 사용할

경우에는 3의 값을 가진다. 이 글의 예제에서는 1의 값을 갖고 있으므

로, 안드로이드 문자메시지는 UTF-8 방식으로 텍스트 데이터를 저장

하는 것을 알 수 있다.

이와 같이 레코드가 삭제되어 비할당 블록으로 전환되면 해당 페이지

에서 페이지 헤더에 최초의 비할당 블록 시작 위치를 기록하여 추후

활용할 수 있도록 한다. 이 글에서 살펴보고 있는 예제에서는 [그림 8]

과 같이 삭제된 레코드가 존재하는 페이지의 헤더에 0x0E7B라는 값

이 갱신되어 비할당 블록을 가리키고 있다. 실제로 비할당 블록 체인

은 SQLite가 추후 빈 공간을 효율적으로 활용하기 위해 관리하는 정

보지만 디지털 포렌식 관점에서는 비할당 블록의 위치를 효과적으로

수집할 수 있는 정보로 활용이 가능하다.

[그림 4] SQLite의 레코드 구조

[그림 6] 레코드 삭제 시 덮어 쓰이는 영역

[그림 8] [그림 7]의 위치를 가리키는 페이지 헤더의 비할당 블록 체인 시작 부분

[그림 5] 삭제되기 전의 SQLite 레코드

[그림 7] 데이터 삭제([그림 5]) 이후 변화되는 영역

21

[그림 9] 데이터베이스 파일 헤더에서 페이지 크기 및 텍스트 변환 방식을 나타내고

있는 영역

페이지의 크기를 확인한 후에는 두 가지 방법으로 데이터베이스 파일

을 순회할 수 있다. 첫 번째 방법은 파일을 순차적으로 탐색하며 데이

터가 존재할 가능성이 있는 페이지를 대상으로 삭제된 영역을 분석하

는 것이다. 이 방법은 전체 페이지를 순차적으로 탐색하기 때문에 일

관된 구현 방법을 사용할 수 있어 상대적으로 자동화 코드 구현이 쉽

고, 미탐의 여지없이 삭제된 데이터를 복원할 수 있어 결과에 대한 신

뢰성을 높일 수 있다. 그러나 여러 테이블이 상존하는 데이터베이스

파일을 대상으로 하는 경우에는 스키마가 비슷한 여타의 데이터베이

스 파일의 레코드가 복원 결과에 포함될 수 있다. 또한 전체 파일을

순회해야 하는 만큼 복원 속도가 다소 느린 것을 감안해야 한다.

두 번째 방법은 테이블 별로 트리 구조를 해석하여 순회한 후 잔여 페

이지를 따로 조사하며 삭제된 영역을 분석하는 방법이다. 이 방법의

장점은 B-트리의 최적화된 탐색 방법을 이용하기 때문에 탐색 속도가

빠르고 오탐 발생이 최소화 될 수 있다는 것이다. 그러나 각각의 트리

에 대한 루트페이지를 찾기 위해 트리를 순회하고 트리 구조에 포함

되지 못한 영역을 계산하여 탐색을 추가로 진행해야 하는 등 구현 과

정이 복잡하여 오류가 발생할 가능성이 높다. 결과적으로도 미탐이 발

생할 가능성이 높기 때문에 결과에 대한 신뢰성을 입증하기 위해서는

다양한 실험의 결과와 함께 구현상의 허점이 없다는 것을 증명할 수

있는 체계가 요구된다는 부담이 있다.

데이터베이스 파일을 순회하며 데이터 페이지를 탐색하여 삭제된 영

역을 찾는 방식을 이 글을 통해 살펴보기에는 어려움이 있다. 이에 복

원 대상이 존재하는 페이지를 찾았음을 가정하고 페이지 내에서의 삭

제된 레코드 복원을 진행하겠다. 별도로 실습을 해보고자 하는 독자라

면 가급적 영문으로 되어 있는 필드를 포함하는 레코드를 작성한 후

삭제하여 헥사 에디터에서 해당 영역을 검색하고 복원하는 방법을 수

행해보는 것도 좋다.

각각 장•단점이 있기 때문에 어떤 방법을 선택하느냐는 결국 분석가

의 몫이다. 또한 시중의 SQLite 복원 도구가 어떠한 방식으로 동작할

지에 대해 생각하면서 도구를 사용하는 것이 바람직하다.

삭제된 레코드의 필드 값 구분 및 의미 해석

예제에서 삭제한 문자메시지 관련 레코드가 존재하는 페이지

는 0x155000에 위치했다. 이때 데이터베이스 파일이 정의하

는 페이지의 크기가 0x1000이므로 페이지가 존재하는 영역은

0x155000~0x155FFF라는 것을 알 수 있다.

해당 페이지에서 비할당 블록이 위치한 곳은 [그림 8]과 같이 페이지

의 헤더 부분에서 확인할 수 있다. 예제에서는 비할당 블록을 가리키

는 위치가 0x0E7B이므로 실제 파일의 0x155E7B 위치에 삭제된 데이

터가 존재한다는 것을 알 수 있다.

이제 삭제된 레코드의 필드 값을 구분하기 위해 테이블 스키마를 알

아보자. [그림 10]은 데이터 헤더가 갖는 값에 따라 데이터 타입을 매

칭할 수 있는 표를 나타낸 것이다. 삭제된 레코드의 복원을 위해서는

정상적으로 존재하는 레코드를 통해 테이블의 스키마를 채득하는 과

정이 선행되어야 한다. 예제에서는 삭제되기 이전 상태의 레코드 데

이터를 통해 스키마를 채득하는 것을 설명한다. 다만, 실제 데이터 복

구 과정에서는 복구 대상 레코드와 같은 내용을 가진 정상 레코드가

존재할 수 없으므로 같은 페이지 내에 정상적으로 존재하는 다른 레

코드를 통해 스키마를 채득해야 한다는 사실을 주지하고 아래 내용을

살펴보도록 하자.

22

[그림 10] 정상적인 레코드 데이터 헤더에 위치한 테이블 스키마 정보

[그림 11] 정상적인 레코드에서 데이터 헤더의 해석 및 필드 구분

[그림 12] 삭제되기 전의 레코드를 SQLite Browser로 확인한 내용

[그림 11]은 정상적인 레코드를 찾아갔을 때 그 내용을 해석하는 과정

을 보여준다. 레코드가 시작하는 0x155E7B의 2바이트는 레코드의 길

이를 나타내는 가변길이 정수이며 이어지는 2바이트 역시 1807이라

는 값을 갖는 가변길이 정수로, 해당 레코드의 RowID를 나타낸다.

[그림 12]는 삭제되기 전의 레코드를 SQLite Browser로 살펴본 내용

으로, 해당 레코드의 RowID가 계산한 바와 같이 1807의 값을 갖는다

는 것을 알 수 있다.

[그림 11]에서 레코드의 길이 정보와 RowID에 이어 0x155E7F 위치

의 2바이트는 데이터 헤더의 길이를 리틀엔디안 정수로 나타낸다. 해

당 길이 정보는 자기 자신까지 포함하므로 실제 데이터 헤더만의 길

이는 0x3E로, 0x155E80~0x155EBE의 영역을 차지하고 있다.

위와 같은 과정을 거쳐 위치를 확인한 데이터 헤더를 앞에서부터 순

차적으로 [그림 10]을 참고하여 필드 데이터의 길이와 타입을 확인하

고 테이블 스키마를 완성할 수 있다. 이때 BLOB과 TEXT를 나타내는

값은 가변길이 정수를 사용하므로 모든 필드가 반드시 1바이트로 표

현되는 것은 아님을 인지하고 있어야 한다. [그림 11]에서 점선으로

표시한 부분은 전화번호를 나타내는 address 필드와 문자메시지가

저장된 body 필드 등 상위 일부 필드에 대해 데이터 헤더와 연결되는

정보이다.

살펴본 바와 같이 정상적인 레코드의 내용을 해석하면 해당 페이지를

포함하는 테이블의 스키마 정보를 알수 있다. 모든 필드의 타입을 해

석하여 스키마를 구했다면 그 형태는 앞서 살펴본 sms 테이블의 스키

마 정보인 [표 1]의 내용과 동일할 것이다. 다만, 각 필드의 이름 정보

는 페이지 내부에서 확인할 수 없으므로 분석이 완료된 후에 데이터

베이스 헤더에 존재하는 테이블 스키마에서 각 필드의 이름을 연결하

는 작업이 필요하다.

삭제된 레코드의 최종 복구

이제 테이블 스키마라는 ‘열쇠’를 획득하였으니 삭제된 레코드 복구도

막바지에 이르렀다. [그림 13]은 복구하고자 하는 삭제된 문자메시지

레코드에서 데이터 헤더의 위치를 찾아가는 과정이다. 앞서 살펴본 바

와 같이 [그림 13]의 0x155E7B 위치의 4바이트는 비할당 블록을 관

리하기 위한 정보로 갱신되어 있다. 따라서 정상 레코드를 해석할 때

와 같이 순차적으로 데이터 헤더의 위치를 찾을 수 없으므로, 채득한

스키마를 비할당 블록이 시작되는 위치부터 순차적으로 비교하며 데

이터 헤더의 위치를 찾아야 한다. [그림 13]에 모든 필드 타입에 대한

비교가 나타나있는 것은 아니지만 지금까지 확인했던 _id 필드부터

body까지의 필드 타입만으로도 데이터 헤더의 위치를 정확하게 찾아

낼 수 있다.

이제 삭제된 레코드에서 데이터 헤더의 위치도 찾았으므로 [그림 11]

에서 살펴본 바와 마찬가지로 필드의 내용을 구분하여 정확한 데이터

를 추출하여 활용하기만 하면 된다.

지금까지 총 4회에 걸쳐 SQLite 데이터베이스에서 삭제된 레코드를

찾아내고 복원하는 과정을 살펴보았다. 이번 호에서 살펴본 예제 때문

에 다소 복잡하게 보일 수도 있다. SQLite가 공간 활용의 극대화를 위

하여 다소 복잡하게 설계된 데이터 구조를 갖고 있는 것은 사실이다.

그러나 SQLite 구조의 분석 및 복원에 성공하고 이를 통해 구현된 결

과물을 얻게 되면 스마트폰 포렌식은 물론, 다양한 디지털 포렌식 분

석에서 매우 유용하게 활용할 수 있을 것이다. 더불어 파일 포맷 분석

에 익숙하지 않은 독자라면 SQLite레코드 복원 과정을 통해 숙련도를

쌓을 수 있을 것이다.

[그림 13] 삭제된 레코드에서 데이터 헤더의 위치 찾기

23

2424

i T & l i F E

26년간 의리를 지켜온 ‘V쓰으리~!’

1988년 6월 1일은 국내에서는 처음으로 개발된 컴퓨터 바이러스 백신 제품인 ‘V3’가 탄생한 날이다. 그동안 안랩은 국내 보안 업계

는 물론 해외에서도 개인과 기업 보안을 책임지며 큰 성장을 이루었다. 성원해주신 안랩의 모든 고객에게 감사의 말씀을 드린다.

V3하면 여전히 많은 사람들이 컴퓨터 바이러스 백신을 생각하지만 안랩의 V3 제품은 개인 PC 보호 제품부터 기업의 보안과 자산 관

리를 위한 제품까지 다양하다. 올해로 26주년을 맞이한 안랩의 V3 제품 속으로 빠져 보자.

안랩의 V3 개인 제품은 V3 365 클리닉, V3 Lite 등 PC 보호를 위한 제품이 주류를 이루고 있다. 기업용 제품으로는 AhnLab V3 Internet

Security 9.0, Ahnlab V3 Endpoint Security 9.0, AhnLab V3 MSS, AhnLab V3 Net for Windows Server 9.0, AhnLab V3 Net for Unix/Linux

Server, Ahnlab V3 for Mac 등 6가지다.

V3 제품군의 특징은 ‘다차원 분석 플랫폼’의 적용이다. 다차원 분석 플랫폼은 신개념 종합 위협 대응 기술로, 행위 기반 기술과 평판 기반 기술

로 검증되지 않은 프로그램의 실행을 사전에 차단하는 사전 방역 기능을 제공함으로써 사용자는 안심하고 PC를 사용할 수 있다.

최근 신•변종 악성코드의 유포가 빠르게 확산되면서 보안 위협에 대한 대응이 까다롭고 복잡해졌다. 특히 신종 악성코드는 대응책이나 치료 방

안이 미처 마련되지 않은 상황에서 급속히 확산돼 사전 대응이 무엇보다 중요하다. 이에 안랩은 악성코드 확산과 위험 요인으로 인한 위협을

감지하고 차단할 수 있는 ‘사전 방역’ 중심의 다차원 분석 플랫폼을 고안했으며 V3를 시작으로 안랩의 전 제품에 적용되고 있다.

다차원 분석 플랫폼은 모두 6가지의 주요 탐지 및 대응 기술로 구성돼 있다. 실시간으로 위협을 감지하며 능동적인 대응이 가능하다. 구체

적인 구성으로는 ▲URL/IP 탐지 ▲클라우드 기반 탐지 ▲시그니처 기반 탐지 ▲평판 기반 탐지 ▲행위 기반 탐지 ▲액티브 디펜스(Active

Defense) 등이 있다.

20여년 간 축적된 기술 적용으로 엔진의 가벼움, 편의성 증대

개인 사용자들을 위한 프리미엄 PC 보안 제품인 V3 365 클리닉은 V3 Internet Security 9.0과 포멧이 유사하지만 개인과 가정에 특화돼 있다.

안랩의 집중적이고 세심한 관리가 필요한 경우 ‘PC 주치의’, ‘자녀 PC 보호’, ‘명의도용차단’ 서비스를 별도로 신청(유료)할 수 있다.

V3는 다차원 분석 플랫폼뿐만 아니라 V3 Intenet Securiy 9.0을 비롯해 V3의 전 제품에는 TS 프라임(Prime) 엔진이 적용돼 있다. 안랩의 20여

년 노하우가 축적된 TS 프라임 엔진과, PC의 부담을 최소화하기 위해 악성코드의 고유 정보(DNA)를 추출하는 방식을 사용해 엔진 용량을 기

존 V3 제품 대비 30% 수준으로 경량화했다.

V3 Internet Security 9.0은 다차원 분석 플랫폼 적용으로 사전 방역 기능을 통해 알려지지 않은 악성코드가 발견되면 즉시 조치할 수 있다.

V3 Endpoint Security 9.0의 특징은 ‘매체제어’. 최근 기업의 악성코드 유입 경로는 인터넷과 SNS 외에 이동형 저장장치를 꼽을 수 있다. 이동

형 저장장치는 악성코드의 유입 경로 뿐 아니라 사내의 중요한 정보 자산을 외부로 유출시키는 수단으로 악용되기도 한다. 매체제어는 안랩의

중앙 정책 관리 솔루션 APC를 설치한 기업에서 사용할 수 있으며 USB를 비롯, CD/DVD 드라이브, 블루투스, 스마트카드 리더 등 PC와 연결

되는 대부분의 매체 권한을 중앙에서 일괄적으로 관리할 수 있다.

이밖에 서버 방역 솔루션 V3 Net 9.0은 포트 차단과 알림 메일 등 서버 방역에 특화된 기능으로 서버 관리의 편의성이 핵심이다. 서버가 악성

코드에 감염되면 중요한 정보 자산이 파손되거나 서버에 연결된 기업 내 수백 대의 클라이언트 PC로 감염이 확산된다. V3 Net 9.0의 기능 강

화가 주목을 받는 이유다.

V3 MSS는 중소기업에 최적화된 클라우드 기반의 보안 솔루션으로, 이 제품 역시 다차원 분석 플랫폼 적용으로 사전 방역 효과를 누리게 됐다.

이와 함께 더욱 강력해진 모니터링 기능 제공을 통해 온라인에서도 실시간으로 대응할 수 있다.

2000만 명의 개인과 기업이 사용하는 V3 제품은 26년이라는 안랩의 기술과 경험이 축적돼 앞으로도 기능 개선과 고객 만족을 위해 노력할 것이다.

2525

i T & l i F E

알아두면 유용한 윈도 단축키

키보드는 문서 편집을 하거나 주로 인터넷을 검색할 때 사용된다. 평상시 PC를 사용할 때 항상 마우스를 한 손에 쥐고 있어야 든든

하듯이 키보드로 단축키를 사용하는 사람은 많지 않다. 하지만 몇 가지 단축키 기능을 알아둔다면 가끔은 마우스가 귀찮아질 때도 있

다. 윈도 7에서 알아두면 유용한 윈도 단축키와 기능을 소개한다.

윈도 메뉴의 기본 시작메뉴 ‘Win’, Ctrl + esc

마우스로 시작메뉴에 가려면 몇 번의 마우스 클릭은 필수다. 하지만 키보드에서 Win 단축키 하나만 누르면 신속하게 시작 메뉴가 뜬다. Ctrl +

Esc 키를 눌러도 된다.

시스템 등록정보 보기 Win + Pause/Break

자주 사용하는 기능은 아니지만 간혹 사용 중인 PC의 시스템 정보를 확인해야 할 때가 있다. 그때를 대비해서 알아두면 유용할 것 같다. Win

+ Pause/Break키를 누르면 현재 사용하고 있는 PC 사양을 한 눈에 파악할 수 있다.

작업표시줄 아이콘 빠르게 실행하기 Win + 1~10

문서 작업, 인터넷, 그림판 등 PC를 사용하다 보면 작업 표시줄에 실행 중인 작업메뉴가 나타난다. 대부분 마우스로 클릭하는 경우가 많지만

Win키와 숫자 키를 사용하면 편리하다. 왼쪽부터 순서대로 Win + 1, 2, 3…. 을 눌러주면 된다. 번호는 10까지 사용할 수 있다.

화면 확대하기 Win + -, +

그림을 볼 때나 현재 실행 중인 창을 크거나 작게 조절할 수 있는 기능이다. Win키에 +, - 키를 누르면 돋보기 표시가 나타난다. 윈도 7에서 제

공하는 돋보기 기능으로 커서가 위치한 부분을 최대 1600%까지 확대할 수 있다. 화면 축소, 확대 기능을 더 이상 보길 원하지 않으면 Win +

Esc 키를 누르면 된다.

주소창 바로가기 Alt + D

인터넷을 사용하다가 주소창에 URL을 입력해야 하는 일이 많다. 그럴 때 인터넷 주소창에 마우스로 클릭해서 주소를 입력하는 것이 번거롭게

느껴진다면 Alt + D 키만 눌러주자. 마우스 보다 더 편리하다.

화면 전환하기 ALT + Tab

이 단축키를 사용하다 보면 마우스를 멀리하게 될지도 모른다. ALT + Tab 키를 누르면 현재 실행 중인 프로그램을 이동해서 선택적으로 사용

할 수 있다.

실행중인 창 종료하기 ALT + F4

사용 중이던 프로그램을 종료하고 싶을 때 유용한 단축키다. 문서창도 닫을 수 있는데 저장 여부 메시지창이 뜨지 않으니 문서는 반드시 저장

(MS-워드는 Ctrl + S, 한글은 Alt + S)한 후에 ALT + F4를 눌러야 한다. 퇴근할 때 사용하면 좀더 빠르게 PC를 종료할 수 있다.

파일 영구 삭제는 shift + Delete, Del(NumLock On)

Delete과 Del 키는 파일을 삭제할 때 사용하는 기능이라는 것을 대부분 잘 알고 있다. 좀더 폼 나게(?) 삭제하고 싶다면 Shift + Del(NumLock

Off) 키를 눌러 보자. 휴지통을 거칠 필요 없이 영구 삭제하고 싶다면 Shift + Delete 또는 Shift + Del(NumLock On)키를 눌러주면 된다. 영구

삭제 여부를 묻는 메시지 창을 확인한 후 ‘예’를 누르면 끝!

a h N l a b N E w S

26

안랩-아카마이, 협력 통해

향상된 클라우드 보안 서비스 제공

안랩이 클라우드 업체 아카마이코리아와 국내에 강력한 클라우드

기반의 보안 서비스를 제공하기 위한 파트너십을 체결하고 서비스

를 출시했다.

양사는 지난달 파트너십을 체결하고, 클라우드 및 콘텐츠 전송 네

트워크(CDN) 기반 웹 보안 솔루션인 아카마이의 시큐리티 솔루션

(Akamai’s Security Solutions)과 안랩의 전문 보안관제 노하우를

결합해 한층 강화된 클라우드 웹 보안 서비스를 개시했다.

이번 파트너십을 통해 아카마이 시큐리티 솔루션과 안랩의 전문적

인 보안관제 서비스를 결합해 아카마이의 클라우드 서비스를 이용

하고 있는 기업에게 ▲안랩의 보안 전문가들이 최적화된 웹 보안 정

책 수립 ▲365일/24시간 무중단(seamless) 원격 모니터링 및 대응

▲솔루션 관리운영 등 강력한 클라우드 보안 서비스를 제공할 수 있

게 됐다.

아카마이의 웹 시큐리티 솔루션(Web Security Solution)은 아카마

이 인텔리전트 플랫폼(Akamai Intelligent Platform) 기반의 보안

솔루션이다. 이 솔루션은 사이트의 성능과 가용성을 유지하는 동시

에 사이버공격으로부터 기업의 가장 중요한 온라인 비즈니스 서비

스에 대한 웹 보안 서비스를 제공한다. 특히, DDoS(분산서비스거

부 공격)는 물론 SQL 인젝션(SQL injection), 크로스 사이트 스크립

팅(Cross Site Scripting) 등 웹 애플리케이션 공격을 포함한 다양한

공격을 효과적으로 방어할 수 있다.

안랩의 앞선 보안 관제 서비스(MSS)는 안랩의 기술력 및 관제 노하

우가 적용된 차세대 보안관제 플랫폼과 SOC(보안관제센터)를 통해

지속적으로 진화하는 보안 위협으로부터 기업의 중요한 정보를 보

호한다. 또한, 안랩의 서비스는 기업이 자사의 보안 솔루션을 관리하

고 핵심 비즈니스에 더욱 집중할 수 있도록 지원하고 있다.

사용자 구별 어려운 ‘고도화된 스미싱’ 주의!

안랩은 웹 사이트 주소(URL) 및 디자인, 원문, 캡챠코드 입력 화면까

지 정상 사이트와 매우 유사하게 만들어 일반 사용자의 육안으로 구

별하기 어려운 ‘슈퍼노트급’ 피싱(가짜) 사이트를 이용한 신종 스미

싱 수법이 등장해 주의를 당부했다.

안랩은 올해 1월부터 5월까지 수집된 스미싱 악성코드가 지난해 같

은 기간에 발생한 1,033개보다 약 3.4배 증가한 총 3,558개가 발견

됐다고 밝혔다. 이는 2012년 같은 기간 대비 711.6배 급증한 수치다.

특히 최근 발견된 스미싱 문자 내 포함된 URL로 연결되는 가짜 사

이트를 분석한 결과, ▲캡챠코드(CAPTCHA CODE) 사용 ▲피싱 사

이트 내 정상 사이트의 URL 일부 삽입 ▲가짜 사이트 디자인 및 문

구 고도화 등의 특징을 보이며 한층 진화된 모습을 보였다.

‘경찰청 사이버 테러대응 센터’로 위장된 피싱 사이트의 경우, 서류

접수 확인을 누르면 캡챠코드 입력 화면이 뜨지만, 번호 입력을 하

지 않거나 틀려도 확인만 누르면 악성 앱이 다운된다. 또한 서류 접

수 확인 버튼 이외의 배너를 누르면 정상적인 경찰청 사이버 테러대

응 센터 사이트로 이동시키는 등의 교묘한 수법으로 이용자의 의심

을 최소화시켰다.

현재 서비스 중인 사이트의 문자 내용과 디자인을 그대로 이용한 사

이트도 발견됐다. ‘ㅇㅇㅇ님! 당신의 초,중,고 동창생들을 찾아드립니

다 http://www.memberapc.net/’과 같이 정상 사이트에서 발송되

고 있는 문자 내용 그대로를 사용했다. 또한 연결된 사이트의 디자

인과 문구뿐만 아니라 배너 등의 위치까지도 동일하게 적용시켜 사

용자가 쉽게 착각하도록 했다.

이외에도 ‘서류가 접수돼었습니다(XX법원)’에서 “서류가 접수되었습

니다(XX법원)’로 맞춤법을 교정하고, 실명을 직접 기재하는 등 사용

자들에게 문자를 정상적으로 인식시키고 URL을 클릭하도록 유도하

는 사례도 발견됐다.

초기 스미싱은 사전에 유출된 개인정보와 스미싱을 통해 탈취한 통

신사정보, 인증용 문자메시지를 결합해 소액결제를 유도하는 형태였

다. 하지만, 최근에는 전문가들도 단번에 구별하기 어려운 수준으로

고도화된 스미싱 수법을 통해 공인인증서, ID및 비밀번호, 통신사 정

보, 문자메시지 등 금융 거래 및 결제에 필요한 모든 정보를 한 번에

탈취해 간다. 뿐만 아니라 주소록 정보까지도 유출해 스미싱 수신자

들을 기하급수적으로 늘려 가는 등 대형 보안사고의 시작점으로 변

하고 있다.

스미싱 피해를 최소화 하기 위해서는 ▲문자메시지나 SNS(Social

Networking Service)에 포함된 URL 실행 자제 ▲모바일 백신으로

스마트폰을 주기적으로 검사 ▲시스템 설정에서 “알 수 없는 출처

[소스]”의 허용 금지 설정 ▲스미싱 탐지 전용 앱 다운로드 등이 필

요하다.

27

보안 통계와 이슈 S T a T i S T i C S

ASEC이 집계한 바에 따르면, 2014년 5월 한달 간 탐지된 모바일 악

성코드 수는 7만 5,853건으로 나타났다. 이는 전월 8만 461건에 비

해 4,068건 감소한 수치다.

국가 재난을 이용한 스미싱과 피싱

악성코드 제작자들이 사회적 이슈를 이용하여 악성코드를 배포하는

이유는 단기간에 많은 사람들의 관심을 유도하여, 많은 감염자를 확

보하기 위해서다. 이번 세월호 사건도 예외는 아니다.

세월호 관련 ‘스미싱’ 문자는 “실시간 속보…”, “침몰 그 진실..”, “생존

자 확인…” 등과 같은 문구를 이용했으며, “세월호 사칭 스미싱 대처

방법” 처럼 사람들을 현혹시키는 어휘를 사용하기도 했다.

실제 원문은 [표 1]과 같이 다양하게 발견되었다.

그리고 최근에는 브라질 월드컵 시즌을 맞아 관련 스미싱 사례가 급

증할 것으로 예상됨에 따라 미래창조과학부에서는 월드컵을 사칭한

스미싱 문자 주의보를 내리기도 했다.

안랩 시큐리티대응센터(AseC)는 AseC Report Vol.53을 통해 지난 2014년 5월의 보안 통계 및 이슈를 전했다. 5월의 주요 보안 이

슈를 살펴본다.

월드컵 등 사회 이슈를 악용한 스미싱 기승

AseC, 5월 악성코드 통계 및 보안이슈 발표

[그림 1] 모바일 악성코드 추이

50,000

100,000

150,000

0

5월4월3월

103,89280,461 75,853

28

악성 앱은 스마트폰에서 사용 중인 은행 앱을 체크하여 해당 은행 앱

으로 위장한 악성 앱을 다운로드 받는다(카드사 정보유출 사건). 대상

이 되는 패키지명(은행 앱)이 동일하며 정보를 탈취 및 전송하는 서버

주소의 매개 변수 값도 동일하게 구성되어 있다. 또한 서버주소는 수

시로 변경 가능하도록 C&C 명령을 받아 수행하도록 설계되어 있다.

[표 1] 세월호 관련 스미싱

[그림 5] 세월호 사건의 허위 SNS 내용

[그림 6] 세월호 사건을 악용한 피싱 사이트

[그림 2] 악성 앱이 사용한 아이콘

[그림 3] 카드사 정보 유출 스미싱(좌)과 악성 앱 아이콘(우)

[그림 4] 대상 패키지 및 정보 탈취 서버정보의 일부 코드, 카드사 정보유출 사건(좌)

/ 세월호 사건(우)

‘스미싱’은 문자메시지에 포함된 인터넷 주소를 클릭하면 악성 앱

(apk)이 다운로드 되고, 이 앱을 스마트폰 사용자가 설치 및 실행하

게 되면, 사용자의 개인정보 및 금융정보는 탈취 당한다. 악성 앱의

아이콘은 구글 마켓과 세월호 사진 등이 이용됐다.

또한 해당 피싱 사이트는 유명 커뮤니티에서도 발견되었다.

스미싱 피해를 막기 위해서는 의심스러운 문자메시지의 URL은 클릭

하지 않고 스마트폰의 백신 앱은 항상 최신 버전으로 유지해야 한다.

또한 “안전한 문자”와 같은 스미싱 예방에 도움이 되는 앱을 설치하

면 좀더 안전하게 스마트폰을 사용할 수 있다. 안전한 문자는 구글 플

레이(https://play.google.com/store/apps/details?id=com.ahnlab.

safemessage)에서 무료로 다운로드 받을 수 있다.

한편, 스미싱 뿐만 아니라 세월호 사건을 악용한 피싱 사이트도 발견

되었다. 트위터에 수많은 사용자의 이름으로 해당 내용이 게시된 것

을 확인 할 수 있다([그림 5]).

이러한 세월호 관련 스미싱 악성 앱은 사용자의 연락처 정보, 디바이

스 정보, 금융 정보를 탈취하여 외부 서버로 전송하도록 설계되었다.

또 이번 세월호 사건을 악용한 스미싱 제작자는 지난 2014년 1월 카

드사 정보유출 사건을 악용하기도 했다. 당시 사용된 메시지와 아이

콘은 [그림 3]과 같다.

스미싱 발송 날짜 원문

5월 01일 목요일 세월호기부상황 조회 3**.NET/y7A

4월 23일 수요일23일 9시경 실종자6명 구조성공이다.ㅊㅋㅊㅋ hTTP://Goo.Gl/**MMVX

4월 22일 화요일[속보]세월호 3호창 생존자 2명 발견 hTTP://Goo.Gl/**WGND

4월 21일 월요일 단원고 학생•교사 78명 생존 확인 hTTP://WW.Tl/**M

4월 21일 월요일세월호 사칭 스미싱 문자 추가 발견..주의 당부 스미싱 대처방

법 T.**T99.INfo

4월 20일 일요일 세월호 침몰 그 진실은... hTTP://WW.Tl/**So

4월 20일 일요일믿기 어려운 세월호 침물 관련 충격 영상 공개 !!hTTP://Goo.Gl/**kuII

4월 20일 일요일 세월호 침몰 그 진실 ... hTTP://Goo.Gl/**uX6D[fW]

4월 19일 토요일세월호 사칭 스미싱 문자 추가 발견…주의 당부 스미싱 대처

방법hTTP://Goo.Gl/**X4R1

4월 19일 토요일[Go! 현장] 세월호 구조된 6살 어린이 hTTP://126.107.**.204/

4월 19일 토요일*실시간속보[세월호]침몰사망자55명더늘어*동영상보기

hoSISTING.**fo

4월 18일 금요일[여객선침몰] 청해진해운 "승선자 명단 없는 사망자명단

koWA.**RTIT.CoM

4월 18일 금요일 세월호 침몰 그 진실은...~hTTP://zTC.ME/**D

4월 18일 금요일 세월호 침몰 그 진실은...hTTP://WW.Tl/**WS

4월 18일 금요일[연합뉴스]여객선 (세월호)침몰사고 구조현황 동영상 hTTP://Goo.Gl/**buRb

4월 18일 금요일*(실시간속보) 세월호침몰 사망자 25명으로 늘어..검색더보기

WWW.STo**PAINT**.NET

4월 18일 금요일*실시간속보세월호침몰 사망자 25명 늘어 더보기 hTTP://PSM8060.h**WEb.NET/ADT.APk

29

해당 피싱 사이트는 포털 사이트 로그인 페이지로 위장되었으나, 자

세히 보면 로그인 형식(FORM)과 위치가 맞지 않다.

사용자가 입력한 아이디와 패스워드는 대만에 위치한 서버(피싱 사이

트)로 전송한 후 정상적인 포털 사이트 페이지에 접속 한다.

해당 데이터 패킷을 보면 아이디와 패스워드가 전송되는 것을 알 수

있다.

[그림 13]의 팝업 화면에서 특정 은행을 선택하면 [그림 14]와 같이

“전자금융사기 예방 시스템” 관련 공지 메시지를 보여주고 사용자에

게 정상 사이트로 인식시킨 후 금융정보 탈취를 시도한다.

스미싱 범죄는 ‘정보통신망이용 촉진 및 정보보호 등에 관한 법률’에

의거하여 처벌 받을 수 있으며, 개인정보 무단 수집의 경우 5년 이하

의 징역 또는 5,000만원 이하의 벌금형에 처할 수 있다.

공유기 DNS 변조 주의!

DNS 변조를 통해 금융 정보를 탈취하는 악성코드가 꾸준히 발견

되고 있다. [그림 11]은 악성 DNS 주소가 설정된 공유기를 통하

여 정상적인 사이트에 접근한 화면이다.

작성자의 다른 글도 세월호 사건을 언급하고 있다.

이처럼 DNS가 변조된 공유기를 통하여 접속할 경우 악성 앱을 다운

로드 받게 된다. 어떤 과정을 통하여 악성 앱을 다운로드 받게 되는지

살펴보자. [그림 12]는 악성 행위의 흐름을 나타낸 것이다.

[그림 7] 동일 작성자에 의해 5월 8일 게시된 글

[그림 8] 정상적인 로그인 페이지(좌) / 악의적인 피싱 사이트(우)

[그림 9] 사용자가 입력한 ID/PW를 피싱 사이트로 전송하는 페이지 소스코드

[그림 10] 사용자의 계정정보가 전송되는 네트워크 패킷

[그림 13] 금융감독원을 사칭한 피싱(가짜) 사이트

[그림 11] DNS 변조를 통한 악성 앱 다운로드 유도

① 공유기 DNS 변조

A. 악의적인 DNS 주소로 접근하도록 변조한다.

② DNS 서버 구성

A. 사용자가 접근할 정상 사이트에 매핑되는 악성 사이트가 설정되어 있다.

③ 악성 스크립트 배포

A. 변조된 DNS 정보로 악성 사이트에 접속하게 된다.

B. 개인정보를 탈취 당하거나, 악성코드를 다운로드 받을 수 있다.

PC (Windows) 사용자가 접속하게 되면 [그림 13]과 같이 금융감독

원을 사칭한 팝업 화면을 볼 수 있다.

[그림 12] 악성행위 관계도

30

스마트폰에서 살펴보면, 사용자는 정상 사이트에 접근했지만 [그

림 15]와 같은 스크립트에 의해 126..xx.xx.235 주소로 연결되며

악성 앱을 다운로드 받게 된다.

또한 악성 앱에는 10개의 금융사를 사칭한 악성 앱을 다운로드

받는 코드가 존재한다.

추가로 다운로드 받는 악성 앱은 공인인증서를 탈취하는 코드가

존재한다.

① IMEI (국제모바일기기 식별코드 [international mobile equipment identity])

② 전화번호

③ 통신사

④ 사용중인 은행 앱

⑤ 주소록의 전화번호

⑥ 문자메시지(송신자번호,수신일시,문자내용)

⑦ 추가 악성 앱 다운로드

악성 앱 설치 후 네트워크 패킷을 살펴보면 [그림 18]과 같이 스

마트폰의 정보를 탈취하는 것을 볼 수 있다.

다운로드 받은 악성 앱을 설치하면 [그림 17]의 (좌)처럼 권한을

요청한다. 정상 앱과 악성 앱의 아이콘은 동일하며 앱 이름만 다

르게 나타난다(우).

악성 앱을 실행하면 정상적인 포털 사이트 페이지가 열리고 악성

앱의 아이콘은 삭제된다. 사용자는 악성 앱이 설치되어 있는지 인

지하기 어렵다. 이런 경우에는 [환경설정] - [애플리케이션] 항목

에서 설치된 앱을 확인하고 삭제할 수 있다.

해당 악성 앱은 금융정보 탈취를 목적으로 제작되었다. 주요 기능은

다음과 같은 정보를 탈취해 특정서버 (vvcn9.xxxx.cc)로 전송한다.

지금까지 DNS 변조로 인하여 감염될 수 있는 악성코드에 대해 살

펴봤다. 그 외에도 변조된 DNS가 발견되고 있다. [그림 21]과 같

이 “ahnlab.com” 으로 접근할 때 1.1.1.1 로 연결되도록 설정하여

실제 안랩 접속을 차단하고 있는 사례도 발견되고 있다.

[그림 14] 금융정보 탈취를 위한 악성 사이트

[그림 15] 악성 앱 다운로드 스크립트

[그림 18] 악성 앱에 의한 네트워크 패킷(정보 탈취 부분의 일부 패킷)

[그림 19] 10개 금융사 사칭 앱 리스트

[그림 20] 공인인증서 탈취 코드 일부

[그림 16] 스마트폰에서 접속한 화면 (좌) / 악성 앱 다운로드 (우)

[그림 17] 악성 앱의 권한정보 (좌) / 정상 앱과 악성 앱의 아이콘 (우)

31

공유기 또는 PC의 DNS주소가 변경되었다면 다음과 같이 변경하거나

자동으로 설정하면 된다.

참고로 기본 DNS 서버 주소는 아래와 같다.

• KT : (기본 DNS 서버) 168.126.63.1 / (보조 DNS 서버) 168.126.63.2

• SK 브로드밴드 : (기본 DNS 서버) 210.220.163.82 / (보조 DNS 서버)

219.250.36.130

• LG U+ : (기본 DNS 서버) 164.124.101.2 / (보조 DNS 서버)

203.248.252.2

V3 제품에서는 관련 악성코드를 다음과 같이 진단하고 있다.

<V3 제품군의 진단명>

Trojan/Win32.Banki (2014.05.29.00)

Android-Trojan/Bankun (2014.05.28.04)

[그림 21] 변조된 DNS로 인하여 “ahnlab.com” 접속 차단

[그림 22] 공유기 DNS 설정 화면

[그림 23] PC DNS 설정 화면

공유기는 DNS 주소가 변경되는 취약점이 발견될 수 있다. DNS 변조

가 의심될 경우 공유기의 DNS 설정이나 PC의 DNS 설정이 정상적으

로 되어 있는지 확인하면 된다. 취약점을 예방하려면 제조사를 통해

최신 버전의 펌웨어로 반드시 업그레이드 해야 한다.

32

발행인 : 권치중

발행처 : 주식회사 안랩

경기도 성남시 분당구 판교역로 220

T. 031-722-8000 F. 031-722-8901

편집인 : 안랩 콘텐츠기획팀

디자인 : 안랩 UX디자인팀

© 2014 AhnLab, Inc. All rights reserved.

본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제, 복사, 검색 시스템

으로 저장 또는 전송될 수 없습니다. 안랩, 안랩 로고는 안랩의 등록상표입

니다. 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상

표일 수 있습니다. 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다.

경기도 성남시 분당구 판교역로 220

T. 031-722-8000 F. 031-722-8901

© 2014 AhnLab, Inc. All rights reserved.

http://www.ahnlab.com

http://blog.ahnlab.com

http://twitter.com/ahnlab_man