H O T I S S U E

개인정보보호에 대해 고민하는

이들에게 고함

2 0 1 2 . 0 6

안랩 보안 매거진

3

4

1 2

1 4

1 6

1 9

2 4

2 7

2 9

3 4

월간

C O N T E N T S

C E O C O l u m N

기업들 ‘BYOD’ 어떻게 할지 고민할 때

S p E C i a l R E p O R T

멀고도 험난한 기업 내 응용 프로그램 관리

위기 관리 측면에서의 보호 방안

h O T i S S u E

개인정보보호에 대해 고민하는 이들에게 고함

p R O d u C T i S S u E

AhnLab Privacy Management 출시

개인정보, ‘점검하고, 관리하고, 보호하라!’

l i f E & S T O R y

V3의 진화는 계속된다

T E C h R E p O R T

파일 시스템 이벤트 분석

더욱 정교한 분석을 원한다면, ‘NTFS, $LogFile’을 활용하라

a h N l a b ’ S pa R T N E R

고객이 있는 곳 어디에나 ‘소프트이천’이 있다

T h R E aT a N a ly S i S

스마트폰 보안 위협과 대응

스마트폰을 PC에 연결했을 때 생길 수 있는 일

a h N l a b N E w S

안랩과 맞잡은 손, 더욱 ‘단단해지다’

안랩, 일본 보안 전시회에서 세계 수준의 종합 보안 기술력 선보여

악성 앱 진단 기술 등 특허 2종 획득

‘PC주치의’ 모바일 기기용 서비스 출시

V3 핵심 기술 특허 획득

S TaT i S T i C S

2012년 4월 보안 통계 및 이슈

2 0 1 2 . 0 6

3

기업들 ‘BYOD’ 어떻게 할지 고민할 때이 글은 중앙일보 [경제 view &]에 실린 김홍선 대표의 칼럼입니다.

C E O C O l u m N 모바일과 융합의 시대

안랩 대표 김홍선

지난해 미국 출장 중에 겪은 일이다. 공항에서 비행기를 기다리는데

기상 악화로 인해 전반적인 비행 일정이 지연됐다. 급기야 다음 도시

에서 연결되는 비행기를 탈 수 있을지 심히 걱정될 지경이었다. 카운

터에 가서 물어보려고 했으나 줄이 워낙 길어서 차례가 오기까지 오

래 기다려야 했다. 천신만고 끝에 물어봤지만 담당자에게서는 시원스

러운 답변을 듣지 못했다. 마침 어느 미국인이 아이패드로 비행 스케

줄을 보고 있어 도움을 요청했다. 그는 항공사 앱(App)을 통해 도착 예

정 시간, 다음 연결편의 바뀐 시각과 탑승하는 게이트 등을 즉석에서

보여줬다. 카운터의 담당자보다도 훨씬 빠르고 스마트한 답변이었다.

우리 생활에서 태블릿PC와 스마트폰은 생각 이상으로 많은 도움을

준다. 이전에 인터넷은 편리한 반면 공간적 제약이 있었다. 그러나 모

바일 기술은 인터넷이 연결되는 장소를 찾아다니는 수고를 덜어준다.

미국 뉴욕 월가의 정보기술(IT) 애널리스트인 메리 미커는 인터넷 시

대의 기술 변화를 정확하게 짚어내 ‘인터넷의 여왕’이라 불렸다. 그는

2010년도 보고서에서 ‘5년 내에 모바일 인터넷 사용자 수가 유선 인

터넷 사용자를 넘어설 것’으로 예측했다. 스마트폰 보급률과 인터넷

통계를 과학적으로 분석한 결과다. 사생결단하듯 치열한 전쟁을 하는

스마트폰 시장을 보면 그 시기가 앞당겨질 수 있다는 생각마저 든다.

바야흐로 모바일 인터넷-포스트 PC 시대가 도래했다. 수많은 기기들

을 통해 공간의 제약 없이 인터넷에 접속할 수 있게 됐다. 그런 기기

로부터 생성되는 엄청난 양의 정보는 클라우드를 중심으로 처리되고,

그로 인한 트래픽으로 네트워크 수요는 급증하고 있다. 이로 인해 업

무와 일상 생활에 커다란 변화가 일어나고 있다.

그동안 컴퓨터의 주된 역할은 업무 처리였다. 물론 개인이 게임이나

쇼핑을 즐기는 경우도 있지만, 기업에서는 문서 작업이나 정보의 저

장과 검색, 교환과 처리가 큰 비중을 차지했다. 반면 음성 통신 수단

인 휴대전화와 여가를 즐기는 TV는 소비적인 성격이 강하다. 이렇게

업무와 개인 용도로 각기 사용되던 정보 기기들이 디지털과 인터넷을

중심으로 융합되고 있다. 그런 기기가 보편화함에 따라 우리 삶의 방

식은 새로운 변화와 도전에 직면하고 있다.

이를테면 과도한 IT 기기 사용으로 인한 역기능이다. 인터넷은 포괄적

인 정보에 빠르게 접근할 수 있게 하는 반면, 그렇게 얻은 정보는 단

편적 지식의 나열에 그쳐 깊이가 떨어질 수 있다. 인터넷 사용 중에 다

른 길로 빠지는 등 집중력에 방해를 받기도 쉽다. 문서나 전자책을 끝

까지 통독하지 못하는 것도 그런 예다. 스마트폰으로 인한 단절감과

산만함에 대한 우려도 커지고 있다.

경영 측면에서는 생각할 문제가 더 많다. 가정에서도 업무를 병행하는

스마트 워크는 우리가 꿈꾸는 미래의 모습이다. 직장과 가정이 융합된

형태는 산업화 사회에서 진정한 정보화 사회로 나아간다는 것을 의미

한다. 그 과정은 단순히 기술적 변화가 아니다. 우리는 직장과 가정 생

활이 출퇴근 시간과 물리적 이동, 즉 시•공간적 구분에 의해 엄격하게

격리된 산업 시대의 방식에 익숙하다. 하지만 이제는 근태에 의존하는

관리 시스템으로는 업무 중심의 기업 경영을 할 수 없다.

실제로 기업은 직원들이 모바일 기기를 가져와서 업무를 하는

BYOD(Bring Your Own Device)를 어떻게 다룰지 고민하기 시작했다.

업무 특성이나 보안의 요구 수준에 따라 기업별로 상황은 다르지만

무조건 금지하기에는 효율성과 실용성의 장점을 무시할 수 없기 때문

이다. 더욱이 고객에게 다가가기 위해 소셜 네트워크까지 도입하는 상

황이니 사업 인프라에 대한 경영진의 고민은 깊어질 수밖에 없다.

비즈니스 환경 변화에 따라 정보 보안은 더욱 중요해지고 있다. 기업

은 보호해야 하는 대상이 급증하면서 이를 통제하는 데 어려움을 겪

고 있다. 스마트폰의 악성코드가 급증하는 것은 이미 모바일이 범죄의

목표가 되었음을 의미한다. 여기에 기기 분실로 인한 문제까지 고려해

야 한다.

포스트 PC 시대는 새로운 사업 기회와 함께 많은 숙제를 던졌다. 기업

에는 새로운 정책과 실행 방안이 필요하다. 사회적으로는 새로운 라이

프스타일과 업무 방식에 대한 준비가 필요하다. 단순히 기술적으로 접

근하면 좌절하거나 혼란에 휩싸일 수 있다. 긍정적으로 보면 우리 자

신의 정보화 모델로 모바일과 융합의 시대를 선도할 수 있는 기회다.

여러 측면에서 입체적 논의가 요구되는 이유다.

4

<연재 목차>

1. 악성코드, 문서를 파고들다 (2012년 5월호)

2. 위기 관리(Risk Management) 측면에서의 보호 방안 (이번 호)

이번 호에서는 지난 호에서 언급한 최근 응용 프로그램 취약성 정보에 대해 상세히 살펴보고, 기업 정보보호 담당자들이 필히 확인해야 할

위기 관리(Risk Management) 측면에서의 응용 프로그램 취약성 보호 방안을 제시하고자 한다. 이를 통해 취약점과 악성코드, 그리고 위

기 분석(Risk Analysis)을 활용한 보안 위협 관리 라이프사이클(lifecycle)에 대해 알아보자.

S p E C i a l R E p O R T

끊임없는 보안 위협(Threat)의 생산, 그리고 공격

<보안 패치 제공 전 발견된 제로데이 공격 사례>

먼저 총 7가지의 제로데이(0-day) 취약점 악용 사례를 살펴보겠다. 이

를 통해 악성코드가 어떻게 취약점을 효과적으로 활용하는지 알 수

있을 것이다. 또한 애플리케이션 제조사의 공식 보안 패치가 없는 상

황에서 제로데이 공격을 효과적으로 방어할 수 있는 유일한 방법은

백신 프로그램의 최신 업데이트임을 확인할 수 있을 것이다.

[표 1]은 악성코드 유포에 활용된 대표적인 제로데이 취약점 정보들

이다.

사례 1. Office Web Component 취약점(CVE-2009-1136)

2009년 7월 14일 새벽 3시(한국 시각).

보안 권고문 <Microsoft 보안 권고(973472), Microsoft Office Web

Components 컨트롤의 취약점으로 인한 원격 코드 실행 문제점>을

통해 제로데이 취약점(CVE-2009-1136)이 세상에 알려졌다.

이 취약점은 Office Web Components(OWC)(OWC10.dll, OWC11.

dll) ActiveX 컨트롤의 Evaluate() 메소드에 정의되어 있는 문자열

데이터 외에 문자열 형식이 아닌 유효하지 않은 파라미터를 전달함

으로써 발생한다.

다수의 중국 사이트에서 실제 공격 스크립트가 악용되었으며, 이들

악성 스크립트 코드는 기존의 힙 스프레이(Heap Spray) 기법을 이용

하여 또 다른 악성코드를 다운로드하는 셸코드를 실행한다.

V3 제품군에서는 이 제로데이 취약점 CVE-2009-1136(Office Web

Components 취약점)을 악용하는 악성코드 발견 즉시 진단(진단명

: Exploit/CVE-2009-1136, 1일 이내 대응)하기 시작했다. 이로써 마

이크로소프트(Microsoft)사의 공식 보안 패치가 제공(2009년 8월 27

일)되기 전까지 고객을 보호하는 데 크게 기여했다.

•보안 위협 발견 한 달 이내에 벤더의 보안 패치가 제공됨

•보안 위협 발견 한 달 이내에 가장 많이 악용된 것으로 파악

•보안 패치 제공 이후 약 1년 동안 지속적으로 악용되었음

위기 관리 측면에서의 보호 방안

멀고도 험난한 기업 내 응용 프로그램 관리

벤더 대상 제품 CVE 정보 취약성 정보 V3 진단명

AdobeAPSB11-30APSB12-01

CVE-2011-2462 Universal 3D 메모리 변조

취약점

PDF/CVE-2011-2462

AdobeAPSB10-03APSB10-22

CVE-2010-2884 플래시 취약점 PDF/CVE-2011-2462

Adobe

APSB11-01APSB11-05APSB11-06

CVE-2011-0609어도비 플래시

취약점

Dropper/Cve-2011-0609SWF/Cve-2011-

0609

Microsoft MS10-042 CVE-2010-1885윈도우 도움말

및 지원 센터

취약점

Exploit/Cve-2010-1885

Adobe APSA10-01 CVE-2010-1297어도비 취약점

(잘못된 메모리

참조)

PDF/CVE-2010-1297SWF/CVE-2010-

1297

Microsoft MS09-043 CVE-2009-1136Office Web Components 컨트롤 취약점

Exploit/CVE-2009-1136

ProgID ClassID

OWC10.SpreadSheet 0002E541-0000-0000-C000-000000000046OWC10.SpreadSheet 0002E551-0000-0000-C000-000000000046OWC11.SpreadSheet 0002E559-0000-0000-C000-000000000046

[표 1] 악성코드 유포에 활용된 대표적인 제로데이 취약점(2009~2011년)

application Threat

5

안랩 V3 제품군은 이 취약점을 악용하는 악성코드를 발견한 즉시,

PDF/Cve-2010-1297 및 SWF/Cve-2010-1297이라는 이름으로 진단

하기 시작했다. 또한 어도비(Adobe)사의 공식 보안 패치가 모두 제

공(2010년 6월 29일)되기 전까지 고객을 보호했다.

•보안 위협 발견 후 1~3주 내에 순차적으로 벤더의

보안 패치가 제공됨

•보안 위협 발견 한 달 후 가장 많이 악용된 것으로 파악

•보안 패치 제공 이후 현재까지 지속적으로 악용되고 있음

첫 번째 사용되는 launchurl.html 형태의 스크립트는 simple.asx 파

일이 존재하는 외부의 특정 웹 서버로 연결한다.

두 번째로 사용되는 simple.asx 스크립트는 외부의 staterhelp.html

형태의 스크립트 파일로 연결하는 역할을 한다.

세 번째로 사용되는 starterhelp.html 형태의 스크립트는 직접적으

로 취약점을 악용하는 악성코드이다. 해당 스크립트가 작동되면 외

부의 특정 웹 서버의 test.js를 실행한 후 그 시스템으로부터 트로이

목마 형태의 다른 악성코드를 다운로드한다.

사례 2. Adobe 취약점(CVE-2010-1297)

2010년 6월 5일(한국 시각).

보안 권고문 <APSA10-01 Security Advisory for Flash Player, Adobe

Reader and Acrobat>을 통해 제로데이 취약점(CVE-2010-1297)이 드

러났다.

이 제로데이 취약점은 플래시 파일을 처리하는 ‘authplay.dll’ 모듈에

서 잘못된 메모리를 참조해서 발생하는 코드 실행 취약점이다. PDF

문서에 셸코드가 포함된 자바스크립트 및 악성 SWF 파일이 삽입된

형태를 띠고 있다.

사례 3. 윈도우 도움말 및 지원 센터 취약점(CVE-2010-1885)

2010년 6월 11일(한국 시각).

보안 권고문 <Microsoft 보안 권고(2219475), Windows 도움말 및 지

원 센터의 취약점으로 인한 원격 코드 실행 문제>를 통해 제로데이 취약

점(CVE-2010-1885)이 공개되었다.

이는 윈도우 도움말 및 지원 센터의 호출 구조(HCP)의 문제로 발생

가능한 취약점이다. 독일을 포함한 유럽 일부 지역에 위치한 웹 서버

20여 대에서 악성코드 유포 시 활용되었던 것으로 알려졌다. 총 3단

[그림 1] CVE-2009-1136 위협 라이프사이클 및 V3•PMS 대응 히스토리

[그림 2] PDF 파일에 셸코드가 포함된 자바스크립트와 악성 SWF 파일이 삽입된 형태

[그림 3] CVE-2010-1297 위협 라이프사이클 및 V3•PMS 대응 히스토리

계의 스크립트 형태의 파일을 통해 악성코드가 유포되었고, 최종적으로

트로이목마 형태의 악성코드를 다운로드 후 실행하게 된다.

[그림 4] 총 3단계의 스크립트 형태의 파일을 통한 악성코드 유포 과정

[그림 5] 소스 코드 내 simple.asx 파일 존재

[그림 6] 외부 staterhelp.html 형태의 스크립트 파일 연결

[그림 7] 해당 스크립트 작동과 특정 웹 서버의 test.js 실행

악성코드

launchurl.html

simple.asx

starterhelp.html

이 악성코드는 인위적으로 조작된 Inno Setup 파일이며, 원본 파일

은 웹 브라우저인 파이어폭스(FireFox)의 플러그인 설치를 목적으로

하지만, 설치 파일 내부에 이 취약점을 악용한 다른 악성코드를 포함

하고 있다.

•웹 브라우저 파이어폭스를 통해 입력되는 암호 수집

•시스템 하드웨어 정보 수집

•접속한 웹 사이트들의 접속 기록 수집

안랩 V3 제품군은 이 취약점을 악용하는 악성코드 발견 즉시

Exploit/Cve-2010-1885라고 진단(1일 이내 대응)하기 시작했다.

•보안 위협 발견 후 1달 이내에 벤더의 보안 패치가 제공됨

•보안 패치 제공 이후에도 현재까지 지속적으로 악용되고 있음

이 셸코드는 악성 플래시가 동작하면서 힙(Heap) 메모리에 저장하

고 취약점을 이용하여 실행된다.

이 악성 플래시 파일은 실행 시 동적으로 2개의 SWF 파일을 생성 및

실행한다. 이 중 하나의 SWF 파일에는 취약점을 유발하는 코드가 포

함되어 있으며, 실제 악의적인 행위는 악성 플래시 파일의 본체에 포

함되어 있다. 이 본체에 포함되어 있는 액션스크립트(ActionScript)

코드는, 기존의 힙 스프레이(Heap Spray) 기법과 마찬가지로, 셸코드

를 생성하며 취약점 발생 후 실행하도록 설계되어 있다.

이 제로데이 취약점은 플래시 파일뿐만 아니라 악성 SWF 파일을 브

라우저를 통해서 로딩하는 방식으로 기존의 힙 스프레이 기법과 결

합한다. 이는 웹 취약점 공격에도 이용될 수 있고, PC뿐만 아니라 안

드로이드 플랫폼에도 영향을 끼친다.

안랩 V3 제품군은 이 악성 플래시 파일을 발견한 즉시 진단(SWF/

Cve-2010-2884)하기 시작했으며, 어도비의 공식 보안 패치가 제공

(2010년 9월 20일)되기 전까지 고객을 보호했다.

•보안 위협 발견 후 1주 이내에 순차적으로 벤더의 보안

패치가 제공됨

•보안 위협 발견 6개월 후 가장 많이 악용된 것으로 파악

•보안 패치 제공 이후에도 현재까지 지속적으로 악용되고 있음

6

사례 4. 플래시 취약점(CVE-2010-2884)

2010년 9월 14일 새벽(한국 시각).

보안 권고문 <APSA10-03 Security Advisory for Flash Player>는 제로

데이 취약점(CVE-2010-2884)에 대해 발표했다.

[그림 8] CVE-2010-1885 위협 라이프사이클 및 V3•PMS 대응 히스토리

[그림 9] 악성 플래시 파일 구조

[그림 10] 셸코드가 존재하는 액션스크립트 코드

[그림 11] Flash10i.ocx에서 셸코드 위치로 점프하는 부분

[그림 12] CVE-2010-2884 위협 라이프사이클 및 V3•PMS 대응 히스토리

악성 Flash

파일(SWF)

Heap_Spray (셸코드)

SWF(취약점 발생)

SWF(XOR)

7

안랩 V3 제품군은 이 악성코드를 발견한 즉시 진단(Dropper/Cve-

2011-0609, SWF/Cve-2011-0609)하기 시작해, 어도비의 공식 보안

패치가 모두 제공(2011년 3월 21일)될 때까지 악성코드를 방어했다.

•보안 위협 발견 후 1주 이내에 벤더의 보안 패치가 제공됨

•보안 위협 발견 3개월 후 가장 많이 악용된 것으로 파악

•보안 패치 제공 이후에도 현재까지 지속적으로 악용되고 있음

사례 5. Adobe 취약점(CVE-2011-0609)

2011년 3월 15일(한국 시각).

SANS 블로그 <Adobe Flash 0-day being used targeted attacks>, 보

안 권고문 <APSA11-01 Security Advisory for Adobe flash Player,

Adobe Reader and Acrobat>을 통해 제로데이 취약점(CVE-2011-

0609)이 공개됐다.

이 취약점을 악용하는 타깃 공격은 이메일에 첨부된 마이크로소프

트 엑셀 파일 형태로 유포되었고, 이 엑셀 파일에 포함된 플래시 악

성코드(SWF)에 의해 제로데이 취약점이 발생했다. [그림 13]은 엑셀

파일에 악성 플래시 파일을 포함한 모습이다.

해당 엑셀 파일은 악성 SWF 파일과 셸코드를 포함하고 있고, 엑

셀 파일이 실행되면 사용자 계정의 임시 폴더(Temp)에 svchost.

exe(65,536바이트)를 생성한다. 이 svchost.exe(65,536바이트)가 실

행되면, 외부의 특정 웹 서버의 lost.html 페이지로 역접속(Reverse

Connection)해서 해당 웹 페이지에 지정된 다른 파일을 다운로드한다.

공격자는 보안에 취약한 웹 사이트에 [그림 18]의 스크립트 파일을 삽

입하고, 해당 스크립트 파일은 “main.swf?info=”를 통해 취약한 플래

시 파일을 호출하도록 설정했다.

호출된 플래시 파일을 통해 Zlib 압축을 해제한 후 XOR 디코딩을 수

행하고 외부의 특정 웹 사이트로부터 악의적인 파일을 다운로드한다.

7

[그림 13] 악성 엑셀 파일 형식으로 이메일에 첨부돼 유포된 타깃 공격

[그림 14] 엑셀 파일 내에 포함된 악성 플래시 파일

[그림 15] 엑셀 파일 내에 포함된 플래시 파일의 취약점을 이용한 악성코드 동작 과정

[그림 16] CVE-2011-0609 위협 라이프사이클 및 V3•PMS 대응 히스토리

사례 6. 플래시 취약점(CVE-2011-2110)

2011년 6월 15일(한국 시각).

보안 권고문 <APSA11-18 Security update available for Adobe Flash

Player>를 통해 제로데이 취약점(CVE-2011-2110)이 알려짐과 동시

에 어도비의 공식적인 보안 패치가 제공되었다.

공격자는 온라인 게임 사용자의 계정 정보를 탈취하기 위해 악성 플

래시 파일을 유포하고 악성코드 감염을 시도했다.

[그림 17] 플래시 파일을 악용한 온라인 게임 사용자 계정 정보 탈취 악성코드 유포 과정

[그림 18] 웹 사이트에 스크립트 파일 삽입 후 플래시 파일 호출

[그림 19] XOR 디코딩 후 Zlib 압축 해제 과정을 통해 실행 파일 변환(생성)

8

다운로드된 실행 파일은 온라인 게임의 계정 정보 탈취 및 윈도우 시

스템 관련 imm32.dll과 win32.dll을 악성코드로 변경하는 기능을 수

행한다.

안랩 V3 제품군은 이 취약점을 악용하는 플래시 악성코드를 발견한

즉시 진단(SWF/Exploit, SWF/Cve-2011-2110)했으며, 어도비의 공

식적인 보안 패치가 제공되기 전까지 고객을 보호했다.

•보안 위협 발견 후 1주 이내에 벤더의 보안 패치가 제공됨

•보안 패치 제공 이후에도 현재까지 지속적으로 악용되고 있음

사례 7. U3D 메모리 변조 취약점(CVE-2011-2462)

2011년 12월 7일 새벽(한국 시각).

보안 권고문 <APSA11-04 Security Advisory for Adobe Reader and

Acrobat>을 통해 제로데이 취약점(CVE-2011-2462)이 공개됐다. 이

취약점을 악용한 타깃 공격은 2011년 11월 말에서 12월 초를 전후

하여 발생한 것으로 추정된다.

이 제로데이 취약점을 악용한 타깃 공격은 특정 기업의 중요 정보

자산을 탈취하기 위한 목적으로 제작 및 유포되었다.

•제로데이 취약점을 이용한 타깃 공격 발생

•이메일의 첨부 파일 형태로 전송됨

•원격 제어 형태의 백도어(Backdoor) 생성

•파일 업로드 및 다운로드, CMD 셸 명령 수행, 시스템 강제 종료 및

재부팅, 프록시(Proxy) 서버

•정상 PDF 파일을 오픈하여 악의적인 행위를 숨김

일반적으로 PDF 파일에는 Universal 3D 파일 포맷의 3차원 이

미지를 포함할 수 있다. U3D 이미지 파일은 일반적인 블록 헤더

와 특별한 블록 데이터를 가질 수 있는 구조이다. 이 블록들 중

ShadingModifierBlock은 0xFFFFFF45 값을 갖고 힙 영역에 객체를

생성할 때 사용한다. 이런 오브젝트들의 포인트도 힙에 저장되며 포

인터를 위해 메모리에 할당되는 양은 포인터 사이즈에 U3D 파일의

Shader List Count 필드를 곱한 것이다. 그러나 포인터는 0xe0 형태

이러한 과정을 통해 생성된 악성코드는 다음과 같은 악의적인 기능을

수행하다.

•파일 업로드 및 다운로드

•CMD 셸 명령 수행

•시스템 강제 종료 및 재부팅

•프록시 서버

CVE-2011-2462 PDF 악성코드 실행 시 [그림 24]와 같은 정상 PDF

파일이 열려 사용자가 악성코드 감염 사실을 인지하지 못하도록

한다.

[그림 20] CVE-2011-2110 취약점을 이용한 공격 시도 건수

로 힙 메모리에 초기화되지 않은 상태로 설정될 경우 이를 악용 가

능한 힙의 변형이 발생할 수 있다.

이 취약점을 이용한 PDF 악성코드들은 [그림 21]과 같은 악의적인

3D Stream을 포함하고 있다.

[그림 21] 악성 PDF 파일 내에 포함된 악의적인 3D Stream

[그림 22] 힙 스프레이 기법을 통해 셸 코드를 메모리에 적재하는 AcroJS

[그림 23] XOR 97로 디코딩하는 과정을 거쳐 백도어 악성코드 생성

8

9

사례 9. 워드 취약점(CVE-2011-1980)

2012년 2월 10일(한국 시각).

미국 보안 업체인 시만텍은 블로그 <New Targeted Attack Using

Office Exploit Found In the Wild>를 통해, 마이크로소프트에서

2011년 9월 제공한 보안 패치 <Microsoft Security Bulletin MS11-

073, Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점

(2587634)> 취약점을 악용한 타깃 공격이 발견되었음을 공개했다.

사례 8. Internet Explorer 취약점(CVE-2011-1255)

2012년 2월 10일(한국 시각).

마이크로소프트가 2011년 6월 제공한 보안 패치 <Microsoft

Security Bulletin MS11-050, Internet Explorer 누적 보안 업데이트

(2530548)>에 포함된 취약점(CVE-2011-1255)을 악용한 악성코드 유

포 공격이 발견되었다.

<보안 패치 제공 후 발견된 보안 위협 사례>

지금까지는 보안 패치가 발표되기 전의 취약점을 악용한 제로데이

공격 사례 7가지를 살펴보았다.

지금부터는 애플리케이션 제조사의 공식 보안 패치가 제공된 이후

보안 위협이 발견된 3가지의 사례를 알아보자. 이를 통해 보안 패치

적용의 중요성을 다시금 깨닫고 백신 프로그램의 최신 업데이트를

통해 시스템 보안이 강화될 수 있음을 확인해보자.

[표 2]는 악성코드 유포에 활용된 대표적인 취약점 정보이다.

이 악성코드는 인코딩된 파일 형태로 다운로드되며, 디코딩 과정을

거쳐 정상적인 실행 파일 형태로 변환돼 다음과 같은 악의적인 기능

을 수행한다.

•시스템 하드웨어 정보 수집, 키보드 입력 정보 가로채기, 파일 업

로드 및 다운로드, 커맨드 명령 실행, 폴더 및 파일 이름 확인, 파일

삭제 및 파일명 변경 등

안랩 V3 제품군은 이 취약점을 악용하는 스크립트 기반의 악성코

드를 발견한 즉시 진단(HTML/Cve-2011-1255, Exploit/Cve-2011-

1255) 및 치료 기능을 제공했다. 마이크로소프트의 공식적인 보안

패치도 보안 위협 발생 이전에 이미 제공(2011년 6월 15일)되었으

므로 보안 패치 적용만으로도 충분히 보호받을 수 있었다.

•보안 위협 발견 5개월 후(2011년 12월) 가장 많은 감염 건수 기록

안랩 V3 제품군은 이 제로데이 취약점을 악용하는 PDF 악성코드를

발견한 즉시 진단(PDF/CVE-2011-2462)했다.

이 취약점을 악용하는 스크립트 기반 악성코드는 외부의 특정 웹 서

버의 다른 악성코드를 다운로드 및 실행한다.

[그림 24] CVE-2011-2462 PDF 악성코드 실행 시 열리는 정상 파일 화면

[그림 25] CVE-2011-2462 위협 라이프사이클 및 V3•PMS 대응 히스토리

Vendor Security Bulletin CVE 정보 취약성 정보 V3 진단명

Microsoft MS12-004CVE-2012-0003CVE-2012-0004

윈도우 미디

어 취약점

HTML/Ms12-04Exploit/Ms12-004

Microsoft MS11-073 CVE-2011-1980MS 워드 취

약점

Dropper/MS11-073

Microsoft MS11-050 CVE-2011-1255Internet Explorer 취약점

HTML/Cve-2011-1255Exploit/Cve-

2011-1255

[표 2] 악성코드 유포에 활용된 대표적인 취약점(2011 ~ 2012년)

[그림 26] CVE-2011-1255 취약점을 악용한 악성코드

[그림 27] 디코딩 과정을 거쳐 변환된 악성코드

[그림 28] CVE-2011-1255 위협 라이프사이클 및 V3•PMS 대응 히스토리

9

10

사례 10. 윈도우 미디어 취약점(CVE-2012-0003)

마이크로소프트는 2012년 1월 10일 제공한 보안 패치 <Microsoft

Security Bulletin MS12-004, Microsoft Media의 취약점으로 인한 원

격 코드 실행 문제점(2636391)>을 악용한 악성코드 공격이 발견되

었다고 밝혔다. 해당 취약점을 악용한 악성코드는 한국과 중국을 포

함한 극동 아시아권에 주로 유포됐으며, 온라인 게임의 계정 정보

탈취가 목적이었다.

또한, 2월 2일 국내 웹 사이트에서 Heap Feng Shui라는 기법을 이

용해 제작된 새로운 형태의 스크립트 공격이 발견되기도 했다.

위험 관리(Risk Management)의 중요성

앞서 10가지의 실제 사례를 통해 악성코드가 취약점을 어떻게 효과

적으로 활용하고 있는지에 대해 설명했다. 그럼 이러한 공격으로부

터 보호해야 할 대상과 보호 방법에 대해 알아보자. 특히 위험 관리

측면에서의 응용 프로그램 취약점 보호 방안에 초점을 맞춰 살펴보

겠다.

자산(Asset)

자산(Asset)이란 보호 대상을 말한다. 우리가 일상적으로 혹은 업무

상으로 이용하고 있는 컴퓨터 자산, 운영체제, 응용 프로그램 및 중

요한 정보 자산 등이 이에 해당된다. 우리 통제 하에 있음에도 안전

하게 지키기엔 더없이 어렵다는 것을 앞선 사례를 통해 다시 한 번

확인할 수 있었다.

취약점(Vulnerability)

취약점(Vulnerability)이란 자산이 갖고 있는 보안상의 문제점 또는

미비점을 말한다. 어떤 자산도 100% 완벽할 순 없을 것이다. 즉, 하

나 이상의 약점이 있으며, 이는 결국 공격자에 의해 노출될 수밖에

없는 운명을 갖고 있다. 이러한 취약점은 누가 먼저 발견하느냐에

따라 악용될 수도 있고, 보안 패치로 보호받을 수도 있다. 보안 전문

가의 역할은 취약점을 안전하게 보호하는 것이다. 이 글에서 소개된

10가지 사례들은 대부분 마이크로소프트 및 어도비의 웹 또는 문서

열람 프로그램의 취약성에 기반한 것이었다.

위협(Threat)과 위험(Risk)

위협(Threat)과 위험(Risk)은 자산을 위협하는 개체 또는 행위를 말

공격자는 이 취약점을 악용해 다음과 같은 악의적인 기능을 갖는 백

도어 악성코드를 생성한다.

•실행중인 프로세스 리스트, 감염된 시스템 IP, 파일 업로드, 프록

시 기능 수행

안랩 V3 제품군은 이 취약점을 악용한 워드 파일을 발견한 즉시 진

단(Dropper/MS11-073) 및 치료했다. 이 취약점 역시 마이크로소프

트의 공식 보안 패치가 이미 수개월 전에 제공(2011년 9월 14일)되

었으므로 보안 패치 적용만으로도 충분히 피해를 막을 수 있었다.

•보안 패치 제공 5개월 후 보안 위협 발생

안랩 V3 제품군에서 이 취약점을 악용하는 악성코드를 발견한 즉시

진단(HTML/MS12-004, Exploit/Ms12-004)했다.

•보안 위협 발견 즉시 급속하게 악용되었다가 미미하게 지속되고

있음

Heap Feng Shui 기법(2007년 BlackHat Europe 발표)은 순차적인

자바스크립트 할당을 통해 웹 브라우저에서 힙 영역을 다룬다.

•이메일의 첨부 파일 형태(ZIP 압축 형태)로 전파됨

•ZIP 압축된 첨부 파일에는 조작된 워드 문서와 fputlsat.dll 포함

[그림 29] 조작된 워드 문서와 fputlsat.dll

[그림 30] CVE-2011-1982 위협 라이프사이클 및 V3•PMS 대응 히스토리

[그림 31] Heap Feng Shui 기법을 이용한 악성코드 구조

[그림 32] Heap Feng Shui 기법을 이용한 악성코드의 소스 코드

[그림 33] CVE-2012-0003 위협 라이프사이클 및 V3•PMS 대응 히스토리

10

Heap Feng Shui 기술을 통한 Shellcode 배치

MS12-004 MIDI 파일 재생으로

취약점 발생

Java Script

1111

한다. 공격자는 끊임없이 보안 위협을 생산하고, 공격을 가하는 일

을 반복하고 있다. 이러한 위협은 언젠가는 우리의 자산에 악영향을

미칠 수 있기 때문에, 우리는 위협에 대한 주의의 끈을 놓아서는 안

될 것이다.

•위협 : 악성 javascript, java, PDF, SWF, Word, Excel 파일 등

•공격 : 웹, 이메일 기반의 전파 및 사용자 개입을 통한 취약점

공격 등

위험 관리(Risk Management)

세상의 모든 것들은 라이프사이클을 갖는다. 우리가 보호해야 할 자

산도, 자산의 보안 취약점도, 취약점을 노리는 보안 위협도 고유의

라이프사이클이 있다.

자산은 그 이용 가치가 끝나는 순간까지 보호해줘야 한다. 잠시라도

소홀하면 안 된다. 혹시라도, 너무 많은 자산을 보유함으로써 오히려

소홀할 수밖에 없는 것은 아닌가 되새겨봐야 한다. 효율적인 관리를

위해 백신, 보안 패치용 중앙 관리 솔루션들을 도입하는 것만으로

할 일을 다했다고 생각하진 않았는지 돌아보아야 한다.

보안 취약점은 애플리케이션 제조사에서 보안 패치가 제공되는 순

간까지는 결함 그 자체일 수밖에 없다. 공격자들은 다양한 공격 기

술을 통해 드러나지 않은 결함을 찾고자 혈안이 되어 있다. 이러한

다양한 시도로부터 보호할 수 있도록 백신 같은 보안 프로그램을 반

드시 사용해야 하며, 보안 패치 제공 즉시 적용함으로써 보안 취약

점을 제거하는 데 총력을 기울여야 한다. 공격자가 악용할 수 있는

보안 취약점이 완전히 사라지는 순간 보안 위협도 주춤해진다는 사

실을 잊지 말아야 한다.

이러한 보안 위협에 대응해 자산을 보호하기 위해서는 다음의 4가지

사항을 준수하기 바란다.

1) 신뢰할 수 있는 응용 프로그램 사용

신뢰할 수 있는 제조사가 출시한 응용 프로그램은 제품 자체의 결함

(취약점, Vulnerability)이 적다. 그리고 노출된 결함에 대해서도 신

속한 보완 프로세스를 가동할 수 있다. 지속적인 품질 관리 활동을

유지하는 벤더의 제품은 결함이 있더라도 악용되기 어려울 것이다.

2) 백신 프로그램 사용 및 최신 업데이트 유지

노출된 결함에 대해 제조사가 공식적인 보안 패치를 제공하기 전까

지 보안 위협에 대처하는 유일한 수단은 백신 프로그램뿐이다. 안랩

은 10여 년 전부터 ASEC(AhnLab Security E-response Center) 내의

사전 대응 조직을 통해 세상에 널리 퍼지기 시작한 보안 위협을 재

빨리 인지하고 수집, 분석하여 고객을 보호할 수 있는 대응 체계를

갖추고 있다.

3) 악성 문서 파일 탐지 기술

안랩이 최근 개발한 DICA(Dynamic Intelligent Content Analysis) 기

술은 악성 문서 파일(Unknown Document Malware)을 정밀하게 검

사하고 지능적 탐지 알고리즘에 의해 차단한다. 워드, 아래아한글,

PDF 등 각종 문서 리더 및 편집기를 비롯해 플래시 플레이어나 웹

브라우저의 취약점을 이용해 전파되는 문서 및 스크립트 악성 파일

을 효과적으로 검출한다. 비실행 파일 포맷(non-executable format)

의 리더나 편집기의 종류에 상관 없이 악성 문서 파일을 검출함으로

써 응용 프로그램의 취약성을 악용한 공격 방어에 유용하다.

4) 벤더의 최신 보안 패치 적용

제품의 결함에 대한 가장 근본적인 해결 방안이다. 벤더들은 정기적

으로 결함을 보완하는 보안 패치를 제공하여 취약점 공격으로부터

안전할 수 있도록 노력하고 있다. 그렇다고, 벤더의 노력만으로 결

함이 제거되는 것은 아니다. 사용자들은 벤더가 제공한 보안 패치를

신속하게 적용해야 한다. 패치 관리 솔루션은 기업 내 컴퓨터 자산

의 보안 취약점을 점검해 자동 보안 패치를 적용토록 도와준다.

‘안랩 패치 매니지먼트’는 위협에 능동적으로 대처할 수 있도록 해주

는 패치 관리 전문 솔루션이다. 기업 및 기관에서는 중앙 패치 관리

를 통해 안전한 네트워크 환경과 업무 연속성을 보장하고 관리 비용

도 절감할 수 있다. 이 솔루션은 기업 내 V3 제품군을 통합 관리하는

장비인 ‘APC 어플라이언스’ 기반의 패치 관리 솔루션으로, 패치 관리

를 위한 별도 시스템을 구축할 필요가 없어 더욱 편리하다.

한 번 만들어진 위협은 이용 가치가 없어지기 전까지는 계속 악용된

다. 단 한 명의 피해자라도 존재한다면 공격은 멈추지 않을 것이다.

따라서, 보안 위협에 대응하기 위해서는 보안 취약점을 지속적으로

제거하고, 보안 취약점이 제거되기 전까지는 그에 맞는 보호막을 형

성하는 등 위험 관리 활동을 멈춰서는 안 된다.

12

개인정보보호 솔루션h O T i S S u E

개인정보보호에 대해

고민하는 이들에게 고함

개인정보보호 담당자의 고민에 관하여

각종 사고로 사회의 관심이 높아진 탓인지 관계법령은 점점 강화되고

있다. 지난 2월 통과된 ‘정보통신망법 이용촉진 및 정보보호등에 관한

법’ 개정안은 이용자의 주민등록번호 수집을 금지(법 23조의2)함은 물

론, 일정 기간 이용하지 않은 개인정보는 주기적으로 파기해야 하며

(29조2항) 입법 예고된 시행령에서 개인정보 취급자의 PC는 인터넷망

접속 차단 조치를 의무화(15조2항)하는 등 초강수의 통제를 요구하고

있다. 개인정보 취급자란 입사 지원자•내부 직원•퇴직자•방문객•업

체 담당자•고객•홈페이지 회원 등을 모두 포함하며, 이들에 관한 정

보를 입력•수정•조회•출력•삭제 등의 업무에 관여하는 사람 모두가

포함된다.

강화되는 법제뿐 아니라 높아진 사회의 인식도 개인정보보호 담당

자에게는 큰 부담이다. 과거의 업무 관행으로 수집한 개인정보에 대

해서 ‘수집 및 이용동의’를 받지 않았다는 사실과 형사 처벌이 따르

는 범죄임을 지적하며 금전적인 합의를 요구하는 고객들이 늘어나

고 있다. 담당자야 그게 그리 잘못인지 법정에서 따져보고 싶겠지만,

기업 입장에선 법정으로 가는 게 탐탁지 않다 보니 울며 겨자 먹기

로 합의하는 일도 많다.

또한 개인정보보호법 통과 이후 개인정보보호 관리감독 책임을 나눠

맡게 된 기관들은 계도 기간이 끝난 2012년 4월부터 실태 점검을 통

해 산하기관 또는 기업의 법령 준수 현황을 점검하고 통제할 가능성

이 높다. 공공기관의 실태 점검은 계도나 과태료 부과에서 끝나는 것

이 아니라 고발해서 형사 처벌까지 가능함을 감안하면 개인정보보호

담당자의 부담은 더욱 커질 수밖에 없다. 최근 N게임사의 대표이사와

CPO, 보안팀장이 입건되었다는 뉴스는 개인정보보호 담당자의 부담

이 단순한 우려가 아니라는 것을 현실적으로 보여줬다.

사회 전반의 상황이 이러한데도 개인정보보호를 추진하는 담당자들의

업무 현실은 녹록지 않다. 개인정보보호를 위한 투자 비용을 보고하면

돌아오는 건 경영진의 질책이요, 법령을 이행하기 위한 통제지침을 현

업에 전달하면 동료들로부터 업무 훼방자라는 딱지가 붙기 십상이다.

이런 상황을 타개해 갈 방법 중 반드시 짚고 넘어가야 할 것은 ‘도구’

이다. 즉, 개인정보보호를 위한 컴플라이언스의 핵심은 ‘현업의 자

발적이고 적극적인 협조’인데 그 협조를 끌어내기 위한 자연스런 수

순은 직원들이 쉽고 편하게 지침을 이행할 수 있게끔 적절한 도구를

제공하는 것이다. 사실 이 도구들은 있으면 좋은 수준이 아니라 없

으면 매우 난감한 문제가 생기기 때문에, 다음 장에서 더욱 자세히

다뤄보겠다.

개인정보보호를 추진할 때 없으면 난감한 도구들

개인정보보호의 기본 전제는 경영진과 직원들의 바른 인식과 의지이

지만, 직원들의 의지만으로는 해결되지 않는 일이 있다. 현업 직원 입

장에서는 ‘개인정보 파일 완전 삭제’와 ‘개인정보 파일 검색’이 대표

적인 일이고, 개인정보보호를 총괄하는 담당자가 각 부서에서 보유한

‘개인정보 관리 현황을 파악하는 일’이 큰 문제다.

먼저 ‘파일 완전 삭제’부터 보자. 개인정보보보호법 제21조2항은 “개

인정보를 파기할 때는 복구 또는 재생되지 않도록 조치하여야 한다”

고 밝히고 있다. 흔히 파일을 삭제할 때는 OS인 윈도우에서 휴지통에

버리고 ‘휴지통 비우기’를 하면 되는 것으로 이해하기 쉬운데, 그런 파

일들은 파일 복구 소프트웨어를 이용하면 대부분 복구가 가능하다. 복

구되지 않게 ‘완전 삭제’하는 방법은 정통망법의 기술적•관리적 보호

조치기준 해설서 39쪽에서 국정원 지침을 자세히 설명해 주고 있다.

예를 들면 ‘저장매체 전체를 난수-0-1로 각각 중복 저장하라’거나 ‘저

장매체 전체를 난수로 중복 저장하라’는 방법 등이다. 일반인들은 무

슨 말인지 이해조차 힘든 기술을 모든 현업 부서 직원들이 스스로 적

용해서 ‘완전 삭제’하는 일은 불가능에 가깝다. 때문에 이런 솔루션은

개인정보 주관 부서나 IT 부서에서 제공해야만 직원들이 법 기준에 맞

지난 호 월간 ‘안’에 컴플라이언스 기사가 실렸다([Hot Issue/컴플라이언스 이슈가 주목받는 이유] 참조, http://www.ahnlab.com/kr/

site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=3&seq=19422&columnist=0&dir_group_dist=0).

그 기사에서 필자는 기업 컴플라이언스에서 최근 거론되는 가장 큰 이슈가 개인정보보호라고 지적했다. 2011년 2월 개인정보보호법이

통과된 이후 우연인지 필연인지, 개인정보 관련 대형 사고가 유독 많이 발생했다. 2011년 4월에 일어난 사고부터 유출된 개인정보 건수

를 따져보니 대략 5000만 건이 넘는다. 숫자로만 보자면 우리나라 국민 모두가 한 번 이상 개인정보 유출 피해를 입은 것이다.

이 글에서는 최근 이슈가 되고 있는 개인정보보호 관련 법 규정과 이에 따라 각 기업이 준비해야 할 사항에 대해 짚어보고자 한다.

13

춰 파일을 삭제할 수 있을 것이다.

개인정보 파일 수집 및 이용에서 제일 중요한 원칙은 ‘최소한으로 수

집 보유하라’는 것이고, 그 다음은 ‘보유한 정보는 안전하게 관리하라’

는 것이다. 이 원칙은 직원들이 사용하는 개인용 컴퓨터에 저장된 파

일에 대해서도 동일하게 적용된다. 직원들이 법에 따르려면 자신이 보

유한 파일 중에 개인정보 파일이 무엇인지 알아야 한다. 파일을 열어

보면 알 거 아니냐고 말할 수 있겠지만, 실제 업무 현장에 가보면 말

처럼 쉽지 않다. 특히 국민 정보를 다루는 공공기관의 직원들은 개인

정보가 담긴 파일을 수천 건에서 수만 건씩 보유하고 있는 일이 흔하

다. 따라서 업무상 꼭 필요한 정보인지 아닌지 판단하기 위해, 컴퓨터

에서 개인정보가 있는 파일을 찾아주는 솔루션은 필수적이다. 이미 여

러 업체에서 이런 개인정보 검색 솔루션을 내놓았는데, 파일 검색 성

능과 시스템 부하를 꼼꼼히 따져 솔루션을 선택해야 한다. 일부 제품

은 검색하는 동안 컴퓨터가 극도로 느려져서 다른 일을 못하게 만들

어 현업 직원들의 엄청난 원성을 살 위험이 있다.

개인정보보호 담당자를 위한 조언

개인정보를 검색한 다음에 직원들이 수행해야 할 일은 다음과 같다.

1. 개인정보 파일에 담긴 개인정보의 내용을 보고 그 파일이 현재 업

무상 반드시 보유하고 있어야 하는지 판단한다.

2. 반드시 필요한 파일이 아니라면 삭제한다(이 때 삭제는 복구가 불

가능한 완전 삭제여야 한다).

3. 부득이하게 보유하고 있어야 하는 파일이라면 패스워드 설정 등을

통해 암호화한다.

여기서 부딪히는 마지막 관문이 파일의 암호화이다. 개인정보 안전

성 확보조치 기준에는 애플리케이션에 내장된 패스워드 설정 기능

을 이용해도 된다고 하지만, 이런 파일이 앞의 공공기관 예처럼 수

백 건, 수천 건이 되면 얘기가 다르다. 수천 개의 파일에 걸린 패스

워드를 파일 하나하나 열어서 설정하고 주기적으로 변경하는 일이

현실적으로 가능할까?

여기서 한 번 더 IT 부서나 개인정보 주관 부서의 적극적인 지원이 필

요하다. 업무 지장을 최소화하는 범위에서 빠른 속도로 개인정보 보

유 파일에 패스워드를 설정하고 관리할 수 있게끔 지원함으로써 직

원들의 편이함을 도모할 때 한층 적극적인 협력을 끌어내기가 쉬울

것이다.

이런 조치들을 모두 시행하고 나면, 개인정보 주관 부서 담당자에게

남은 큰 숙제는 이 모든 상황을 모니터링하고 통제하는 것이다. 부서

와 직원들이 대응하는 수준이나 속도가 분명히 똑같지 않을 것이고

각별히 위험한 영역에 대해서는 빠른 조치를 취해야 하는 것이 개인

정보보호 담당자의 임무이다. 이런 데이터의 취합과 수정, 피드백을

과거처럼 종이문서나 전자우편 등을 통한 파일의 전달 등을 통해서만

처리한다면, 실시간성을 확보하기가 어려운 건 물론이고 데이터 취합

과정만 몇 주에서 몇 달을 넘기는 경우도 많다. 필자가 아는 한 기업도

3년 전 처음 개인정보 현황을 파악할 때, 3개월 넘게 취합했는데 완료

즈음 대규모 조직 개편이 되어 기존 작업을 모두 다시 해야 할 상황이

되고 말았다. 결국 그 업무 부하를 견디다 못한 담당자는 퇴사해 버렸

다.

개인정보보호 상황을 통제하려면 현황이 눈에 보여야 한다. 스스로 하

든 솔루션을 도입하든 가급적이면 데이터 수집과 처리를 자동화해야

만 개인정보보호 업무를 원활히 추진할 수 있다.

다시 한 번 요약해보자. 개인정보보호 업무를 추진할 때 없으면 난감

한 솔루션은?

첫째, 직원들의 PC에서 개인정보를 검색해 주는 툴이 필요하다. 직원

마다 하나씩 줄 필요는 없을지라도 필요하면 언제든지 쉽게 구동할

수 있어야 한다.

둘째, 개인정보 파일을 완전 삭제하고 한꺼번에 패스워드를 설정해 주

는 솔루션이 필요하다.

셋째, 부서별 또는 직원별 개인정보 관리 현황을 집계하고 통제할 수

있는 관리 솔루션이 필요하다. 수작업으로 관리해서는 실 상황을 반영

하기 어려울 것이다.

아무쪼록 개인정보보호를 위해 고군분투하는 담당자들의 건승을 기

원한다.

14

ahnlab privacy managementp R O d u C T i S S u E

개인정보,

‘점검하고, 관리하고, 보호하라!’

병원에 갔더니 접수처에서 ‘개인정보 수집 및 이용 동의서’를 내민다. 학원, 여행사, 부동산중개소와 숙박업소, 택배사에도 이제 개인정보보

호법이 적용된다. 그 뿐이랴. 동창회나 친목모임 같은 비영리단체 역시 법에서 자유로울 수 없다. 이처럼 개인정보보호는 오늘날 가장 뜨거

운 이슈 중 하나다. 개인정보, 어디서부터 어떻게 손대야 할지, 가장 현명한 대처법은 무엇인지 관리자들의 고민 또한 뜨겁다. 개인정보보

호에 대한 속 시원한 해결책, 과연 없는 것일까? 시장에 나와있는 무수한 솔루션들과 대처법을 접해본 이들이라면, 비슷비슷한 사양이지

만, 딱히 입맛에 맞지 않는 그것들 때문에 고민이 더 깊어졌을 수도 있겠다.

그런 이들에게 권한다. 개인정보보호를 위한 머스트해브 솔루션, 안랩 프라이버시 매니지먼트(AhnLab Privacy Management).

개인정보보호법에서 요구하는 핵심 조치는 세 가지다. 기술적 조치,

관리적 조치, 그리고 물리적 조치가 그것이다.

기술적 조치는 관련 법•제도의 요구사항을 반영한 ‘내부관리계획’을

기반으로 개인정보 시스템에 대하여 기술적인 보안 조치를 이행하기

위한 최소한의 기준이다.

관리적 조치는, 개인정보의 안정성을 확보하기 위해 조직 내부의 ‘내

부관리계획’을 수립하고 최고경영층으로부터 승인받아 모든 임직원

및 관련자에게 알림으로써 이를 준수할 수 있도록 해야 한다는 규정

이다.

물리적 조치는 전산실, 자료보관실 등 개인정보를 보관하고 있는 물

리적 보관 장소를 별도로 두고 있다면, 이에 대한 출입통제 절차를 수

립•운영해야 한다는 의미다.

개인정보보호를 위해 태어났다, ‘안랩 프라이버시 매니지먼트’

이 중에서 문제가 될 소지가 가장 많기에 면밀한 대책이 필요한 것은

기술적 조치다.

안랩 프라이버시 매니지먼트(AhnLab Privacy Management)는 엔드

포인트 단의 기술적 보호 조치를 통합 제공함으로써 개인정보보호법

준수를 위한 맞춤 솔루션이다. 이 솔루션의 구체적 특징을 살펴보자.

첫째, 안랩 프라이버시 매니지먼트는 APC(AhnLab Policy Center) 어

플라이언스 기반으로 백신 관리, 패치 관리, 개인정보 관리 기능을 통

합 제공하고 현황을 한눈에 파악할 수 있는 대시보드를 제공한다.

또한 에이전트 통합과 최적화로 PC 내 자원 선점 및 충돌 이슈를 해

결했다.

둘째, 안랩 프라이버시 매니지먼트의 편리성이다. 뉴런 검색(Neuron

Search) 기술을 통해 수동 검사의 불편함을 없애고 암호화에 필요한

입력 절차를 자동화해 개인정보 이용 절차를 간소화했다. 안랩의 개

인정보 검색 기술인 뉴런 검색 기술은 기존의 실시간 검색, 증분 검색

기술을 사용자의 파일 관리 패턴에 최적화된 알고리즘으로 융합한 기

술로, 안랩 프라이버시 매니지먼트의 기본 검색 기능으로 탑재돼 있

다. 기존의 1세대 검색 기술이 수동 및 증분 검색, 2세대 검색 기술이

실시간 검색과 유휴 시간 검색이 특징이라면, 3세대 검색 기술에 해당

하는 뉴런 검색 기술은 검색 기술이 PC 자원을 과다하게 소모하는 한

계를 극복했으며 개인정보 현황에 대한 실시간 검색이 가능하고 신규

개인정보 파일 저장 시 알림 기능을 지원한다.

셋째는, 실제 현업에서 이루어지는 업무 프로세스를 솔루션에 반영해

개인정보보호 책임자의 부담은 줄이고, 개인정보보호 시스템은 고도

화했다는 점이다. 운영부서별 개인정보보호 책임자 운영 제도를 두어

이중화된 관리 체계를 마련했고, 이같은 등급별•부서별•개인별 관리

정책에 따라 개인정보 파일을 격리•암호화•완전 삭제•소명하는 기

능이 있어 주요 부서나 대량 개인정보 노출 사고에 대해 집중 관리할

수 있다. 또한 공지, 네트워크 차단, 원격 명령, 공유 차단 등 개인정

보 유출을 최소화하기 위한 추가 보호 조치를 제공한다. 이처럼 든든

한 조치를 한 가지 솔루션으로 모두 구축함으로써 비용 절감 효과까

지 거둘 수 있다.

15

조 항 주 요 내 용 엔드포인트 대응 방안

제3조

내부관리계획의

수립•시행

아래 각 호의 사항을 포함하는 내부관

리계획 수립•시행 필요

- 개인정보 관리 책임자와 개인정보

취급자의 역할 및 책임에 관한 사항

- 개인정보의 안전성 확보에 필요한

조치에 관한 사항

사용자 및 PC 인증

사내에서 개인정보 취급

자를 구분하고 필요한

조치 시행

제5조

(비밀번호 관리)

개인정보 취급자 또는 정보 주체가

안전한 비밀번호를 설정하여 이행할

수 있도록 비밀번호 작성 규칙

수립•적용

개인정보 취급 시 비밀

번호 기준 강제

제6조

(접근 통제

시스템 설치,

운영)

취급 중인 개인정보가 인터넷 홈페이

지, P2P, 공유 설정 등을 통해 열람

권한이 없는 자에게 공개되거나 외부

에 유출되지 않도록 개인정보 처리

시스템 및 업무용 컴퓨터에 조치

업무용 컴퓨터에 개인정

보에 대한 모니터링 및

관리 체계

제7조

(개인정보의

암호화)

개인정보를 암호화하는 경우 안전한

암호 알고리즘으로 암호화하여 저장

하여야 함.

업무용 컴퓨터에 고유식별정보를 저

장하여 관리하는 경우 상용 암호화

소프트웨어 또는 안전한 암호화 알고

리즘을 사용하여 암호화한 후 저장

DRM 암호화 또는 국정

원 인증 암호화

방법 적용

제9조

(보안 프로그램

설치 및 운영)

1. 보안 프로그램의 자동 업데이트 기

능을 사용하거나 또는 일 1회 이상 업

데이트 실시

2. 악성 프로그램 관련 경보가 발령된

경우 또는 사용 중인 응용 프로그램이

나 운영체제 소프트웨어의 제작 업체

에서 보안 업데이트 공지가 있는 경

우, 즉시 이에 따른 업데이트 실시

백신 및 패치

관리 솔루션

서비스 항목 서비스 세부 내역

개인정보 자가 진단

서비스(Online)

개인정보보호법 관련 항목에 대한 온라인 자가 진단

서비스

전문가 진단 서비스 개인정보보호 현황에 대한 신속한 진단 및 대책 제시

(간소화 점검 서비스)

-개인정보보호 현황 진단 + 이행 점검

-개인정보보호 현황 진단 보고서

보안 교육 온라인 교육 서비스 제공

-조직의 보안 가치

-개인정보보호 컴플라이언스의 이해

오프라인 교육 서비스 제공 : 안랩 전문가의 개인정보

보호 교육

원격 점검 고객사 주요 홈페이지 콘텐츠의 개인정보 노출 점검

-개인정보 노출 점검 보고서 제공

-주요 포털 사이트 크롤링에 의한 개인정보 노출 방

지 대책 제공

[표 1] 개인정보의 안전성 확보 조치 기준

[표 2] 안랩 프라이버시케어 서비스(AhnLab PrivacyCare Service)

출처 : 개인정보의 안전성 확보 조치 기준(행안부 고시 제2011-43호)

실무자는 편리하게, 관리자는 신속하게

자동 검색 및 관리, 유휴 시간 동작, 암호 입력 최소화와 직관적인 현

황판 제공 등의 기능은 실무자들을 번거롭게 하지 않으면서도 안전한

개인정보보호 시스템을 구축할 수 있게 해준다.

관리자 입장에서는, 모니터링•감사 보고서•조치 일원화, 공지•원격

통제•네트워크 차단 등 추가 조치, 백신•패치•개인정보 통합 관리,

선택형 대시보드 등의 기능으로 편의성은 극대화하면서 신속한 대응

이 가능해진다.

안랩 프라이버시 매니지먼트의 차별된 기능 중 하나는 관리적 보호

조치를 위한 전문가 진단 서비스를 제공한다는 점이다. 안랩 전문가

진단 서비스는, 고객사의 개인정보보호 현황에 대해 신속하고 정확하

게 진단하고 대책을 제시하는 간소화 점검 서비스로 업계 독보적이다.

개인정보보호법을 위해 복잡다단한 솔루션과 시스템을 도입할 필요는

없다. 그렇다고 DRM, DLP만으로 개인정보를 완벽히 보호할 수는 없

다. 진정한 엔드포인트 단의 개인정보보호 솔루션이 필요한가? 그렇

다면 안랩 프라이버시 매니지먼트를 기억하라.

16

l i f E & S T O R y V3 24th anniversary

‘컴퓨터 보안’이라고 하면 ‘V3’가 떠오른다. V3의 탄생부터 변화의 배경에는 굵직한 보안 이슈가 엮여있기 때문이다. 세계 최초의 바이러

스인 브레인 바이러스가 국내에 유입되었을 당시 안철수 박사는 이를 퇴치하는 프로그램을 개발, 의학도답게 바이러스를 퇴치하는 ‘백신

(Vaccine)’으로 이름 붙였다. 이후 새로운 바이러스가 나타날 때마다 기능을 추가하면서 버전명을 달리하던 이 프로그램은 세 번째 버전

에서 백신의 앞 글자 ‘V’만 떼어 ‘V3’라는 심플한 이름으로 변신한다.

여전히 국내에서는 ‘안티바이러스’라는 전문 용어보다는 ‘백신’이라는 표현이 더 많이 쓰이고 있으며, V3는 다른 백신들의 대명사처럼 사

용되고 있다. 물론 V3는 안철수연구소, 아니 안랩의 상징이지만 동시에 대한민국 보안의 상징이기도 하며, 국내 최장수 상용 소프트웨어

로서 대한민국 소프트웨어 산업의 역사라 해도 과언이 아니다. 올해로 탄생 24주년을 맞은 V3의 면면을 통해 V3, 그리고 대한민국 IT의

과거와 현재를 함께 돌아보고 미래를 점쳐보자.

1988

1995

1991

국내 최초의 안티바이러스

프로그램 탄생

백신 Ⅱ → 백신 Ⅱ Plus → 백신 Ⅲ

최초의 V3, 도스용 V3+

- LBC 바이러스 퇴치

- 예루살렘 바이러스 퇴치

- 미켈란젤로 바이러스 퇴치

- 백신(Vaccine)의 V와 3을 합친

V3로 이름 변경

- V3 로고 첫 등장

- 안철수컴퓨터바이러스

연구소 설립

- 최초의 컴퓨터 바이러스인

‘브레인 바이러스’ 대한민국

상륙, 플로피 디스크 감염

피해 사례 속출

- 당시 의학도였던 안철수, 브레인

바이러스 퇴치용 프로그램 개발,

‘백신(Vaccine)’이라 명명

- 이후 7년간 무료 배포되며 국내

컴퓨터 지킴이로 자리매김

V3의 진화는 계속된다

대한민국 대표 보안 프로그램 V3 탄생 24주년

17

1997

2000

1996

1998

2001-2003

온라인 백신 서비스

‘My V3’ 발표

윈도우용 V3 등장

V3NetGroup for Lotus Notes, V3Web 등 잇따라 출시

모바일 백신 개발

V3Net for NetWare 출시

- 윈도우용 V3 Pro 95 출시,

국내 최초의 윈도우 95용

소프트웨어

- ‘IR52장영실상’,

‘96신(新)소프트웨어

상품대상’ 수상

- V3NetGroup for Lotus Notes, 로터스 Domino/Notes 그룹웨어 서버용 백신

- 인터넷 호스트 서버를 통한

자동 엔진 업데이트 기술인

스마트업데이트(Smart Update)

기술 적용

- V3Web, 인터넷을 통한 바이러스

유입 방지 백신

- ‘토털 V3 안티바이러스 솔루션’

제공 선언

- 2001년 PDA용 백신

V3Mobile for Palm 개발

- 2003년 세계 최초로

휴대전화용 백신

(V3Mobile for WI-TOP) 제작

- 네트워크 서버용 백신

- PC용부터 네트워크용까지 ‘멀

티플 방역 솔루션 제공 선언

- 윈도우 NT 서버용 V3NT 출시

- 백신 설치 없이 인터넷을 통해

직접 하드디스크 및 네트워크

드라이브 진단이 가능한 온라인 백신

- ‘안철수연구소’로 사명 변경,

‘토털 시큐리티 업체’ 선언

18

2008

?

2004

2006

2009-현재

2004년 ‘V3Pro 마린블루스’

특별판 출시

V3 Internet Security 2007 Platinum 출시

V3 Internet Security 8.0, 잇따른 국제인증 쾌거

차세대 V3

V3 VirusBlock Internet Security 일본 출시

개인용 V3의 대변신,

V3 365 클리닉 / V3 Lite 출시

- 스파이웨어, 개인정보보호

기능 추가

- 싱가포르 USB 업체 트렉사에

V3 IS 2007 Platinum

공급 계약

- V3 프레임워크 적용으로 무게감 차별화

- 안티바이러스 기능과 안티스파이웨어 기능 통합

- 클라우드 컴퓨팅 기반의 ACCESS (AhnLab Cloud Computing E-Security Service) 전략 발표

- 국내 안티바이러스 시장 60% 점유

- Checkmark, VB100 Award, ICSA Labs, AV-Test 등

대표적인 안티바이러스 국제 인증 석권,

글로벌 수준의 기술력 입증

- 클라우드 컴퓨팅 개념의

새로운 기술인 ASD(AhnLab Smart Defense) 엔진 도입

- 강력한 악성코드 진단율,

가볍고 빠른 개인용 백신

- 2012년 출시 예정

- DNA 스캔 등 안랩의 차세대

기술 적용 예정

- 독보적인 악성코드 진단율로

글로벌 벤더와의 차별화 예고

- PC용 통합 보안 솔루션의

일본 브랜드 V3 VirusBlock Internet Security 출시

- 인기 캐릭터

‘마린블루스’ UI 적용

- ‘즐거운 보안, 쉬운 보안’으로

인식 전환 계기 마련

- 안티바이러스 기능,

스팸 및 애드웨어 차단 기능

19

T E C h R E p O R T 파일 시스템 이벤트 분석

더욱 정교한 분석을 원한다면,

‘NTFS, $LogFile’을 활용하라

현재 가장 널리 쓰이는 파일 시스템은 NTFS(New Technology File System)다. NTFS 파일 시스템을 이용하는 윈도우 서버나 PC의

$LogFile 추적은 디지털 포렌식 과정에서 필수적으로 이용되는 사고 추적 기법 중 하나다. 이는 일반적으로 공격자가 스스로 생성한 악

의적 행위 혹은 로그 파일을 제거하여 추적을 따돌리거나 방해하는 데 흔히 이용된다. 이처럼 파일의 생성, 삭제, 데이터 작성, 파일명 변

경 등을 파일 시스템 이벤트라고 한다.

이 글에서는 NTFS와 NTFS의 파일 시스템 이벤트 정보를 저장하는 $LogFile의 구조에 대해 알아보겠다.

NTFS의 정의와 구조

NTFS는 마이크로소프트사에서 개발한 윈도우 NT 계열 운영체제를

위한 파일 시스템이다. 윈도우 XP, Vista, 7과 윈도우 서버 제품에서

사용된다.

NTFS는 [그림 1]과 같이 크게 VBR(Volume Boot Record ),

MFT(Master File Table), 그리고 데이터 영역으로 나뉜다. VBR에는

파일 시스템의 메타데이터가 저장되고 MFT에는 각 파일과 디렉터리

의 메타데이터가 저장된다. 그리고 데이터 영역에는 실제 파일들의 데

이터가 저장된다.

MFT는 1024byte 크기의 엔트리들로 이루어져 있으며, 각 엔트리는

하나의 파일이나 디렉터리에 대한 메타데이터를 저장한다. MFT 엔트

리들은 순서대로 인덱스 번호를 부여받는다. 0번 인덱스부터 23번 인

덱스까지는 파일 시스템 관리에 필요한 메타 파일들에 대한 정보가

저장된다. 각 메타 파일들에 대한 설명은 [표 1]과 같다.

[그림 1] NTFS 전체 구조

엔트리 번호 엔트리 이름 설명

0 $MFT NTFS상의 모든 파일들의 MFT 엔트리 정보

1 $MFTMirr $MFT 파일의 일부 백업본

2 $LogFile 메타데이터의 트랜잭션 저널 정보

3 $Volume 볼륨의 레이블, 식별자, 버전 등의 정보

4 $AttrDef 속성의 식별자, 이름, 크기 등의 정보

5 - 볼륨의 루트 디렉터리

6 $Bitmap 볼륨의 클러스터 할당 정보

7 $Boot 볼륨이 부팅 가능할 경우 부트 섹터 정보

8 $BadClus 배드 섹터를 가지는 클러스터 정보

9 $Secure 파일의 보안, 접근 제어와 관련된 정보

10 $Upcase 모든 유니코드 문자의 대문자

11 $Extend$ObjID, $Quota, $Reparse points, $UsnJrnl 등의 추가 파일 정보를 기록하기 위해 사용

12-15 - 미래를 위해 예약

16- - 포맷 후 생성되는 파일의 정보를 위해 사용

- $Objld 파일 고유의 ID 정보(윈도우 2000 ~)

- $Quota 사용량 정보(윈도우 2000 ~)

- $Reparse 사용량 정보(윈도우 2000 ~)

- $UsnJrnl 파일, 디렉터리의 변경 정보(윈도우 2000 ~)

[표 1] NTFS 메타 파일

20

만약 새로운 파일이나 디렉터리가 생성되면 새로운 레코드가 할당

되거나 비활성화된 레코드들은 덮어쓰고 부모 디렉터리에 대응하는

MFT 엔트리의 $INDEX 속성에 생성된 파일의 정보를 가진 인덱스 엔

트리가 추가된다.

반대로 삭제된 경우에는 해당 레코드가 비활성화되고 부모 디렉터리

에 대응하는 MFT 엔트리의 $INDEX 속성에서 삭제된 파일의 정보를

가진 인덱스 엔트리가 삭제된다. 따라서 특정 파일이나 디렉터리의 이

름, 생성 시간, 디렉터리 구조 혹은 디스크상에서의 데이터 위치를 알

고 싶다면 대응되는 MFT 레코드를 해석하여 정보를 얻을 수 있다.

지금까지 NTFS의 개략적인 구조에 대해 설명했다. NTFS 구조 및

MFT 엔트리에 대한 상세한 내용은 책 한 권에 달할 정도로 방대하므

로 이 글에서는 생략한다. 이제 $LogFile에 대해 알아보자.

$LogFile의 정의

$LogFile이란 NTFS 트랜잭션 로그 파일을 말한다. [표 2]와 같이

MFT 엔트리 인덱스 2번에 위치하며 각 볼륨마다 하나씩 존재한다. 만

약 NTFS가 정전이나 기타 오류로 인해 갑작스럽게 중단되면 운영체

MFT 엔트리는 헤더와 속성들로 구성된다. 헤더에는 엔트리에 대

한 메타데이터가 저장되고 속성에는 $STANDARD_INFORMATION,

$FILE_NAME, $DATA, $INDEX 속성 등이 있다.

$STANDARD_INFORMATION 속성에는 파일•디렉터리의 생성, 수

정, 접근 시간 정보가 저장되고 $FILE_NAME 속성에는 파일•디렉터

리 이름과 부모 디렉터리의 정보가 저장된다.

$INDEX 속성은 디렉터리의 MFT 엔트리에만 있는 속성으로, 해당

디렉터리의 하위 디렉터리나 파일의 정보를 인덱스 레코드에 담아

저장한다.

마지막으로 $DATA 속성은 실제 파일 데이터에 대한 정보를 담고 있

는데, Resident 타입과 Non-Resident 타입으로 나뉜다. Resident

타입은 파일 데이터가 엔트리 안에 저장되고(780byte 이하) Non-

Resident 타입은 ‘클러스터 런(Cluster Run)’이라는 구조를 통해 파일

데이터가 엔트리 외부에 저장된다. ‘클러스터 런의 구조는 [그림 2]와

같이 디스크상에서 파일 데이터가 시작하는 클러스터 주소와 할당된

클러스터 수 정보를 저장한다. 첫 1바이트의 상위 4비트는 데이터 시

작 클러스터 주소를 저장하는 공간의 크기를, 하위 4비트는 할당된 클

러스터 수를 저장할 공간의 크기를 지정한다.

파일이나 디렉터리의 생성, 삭제, 데이터 작성, 파일명 변경과 같은 트

랜잭션 작업 내용은 $LogFile의 작업 레코드에 저장된다. 각 작업 레

코드는 LSN($LogFile Sequence Number)이라는 순차적으로 증가하

는 숫자 정보를 저장하는데, 이 정보는 각 작업 레코드들의 순서를 구

분하기 위해 사용된다.

$LogFile의 파일 시스템 복구 개념을 알기 위해서는 Redo 데이터와

Undo 데이터를 알아야 한다. Redo 데이터란 현재 진행 중인 작업에

대한 데이터이고, Undo 데이터란 현재 진행 중인 작업 이전의 데이터

를 의미한다. 따라서 파일 시스템을 복구하기 위해서는 Undo 데이터에

저장된 내용을 사용해 작업이 실행되기 이전 상태로 되돌릴 수 있다.

$LogFile 크기는 일반적으로 볼륨 크기의 1~2%라고 하지만, 실제로

조사 결과 대부분의 하드디스크 볼륨에서 64메가바이트로 일정하며

그보다 작은 볼륨에서는 64메가바이트 이하였다.

$LogFile의 크기는 윈도우에서 기본 제공하는 ‘chkdsk’ 명령으로 변

경할 수 있다. ‘/L:파일크기(KB 단위)’ 형식의 옵션을 주면 $LogFile의

크기를 변경할 수 있으며 크기를 지정하지 않는다면 [그림 3]과 같이

현재 크기를 표시한다.

$LogFile 전체 구조

$LogFile은 [그림 4]와 같이 재시작 영역(Restart Area)과 로깅 영역

(Logging Area)으로 나뉜다. 각 영역의 구성 단위는 0x1000(4096)

바이트 크기의 페이지다. 재시작 영역은 파일의 가장 첫 두 페이지

(0x0000~0x2000)에 해당하고 가장 마지막(현재 진행 중인) 작업

에 대한 정보를 가지고 있다. 로깅 영역은 재시작 영역 외의 영역

(0x2000~)을 말하며 실제 작업 레코드들이 기록된다. 로깅 영역은 버

퍼 페이지 영역과 일반 페이지 영역으로 구성된다. 각 영역에 대한 설

명은 뒤에서 다루겠다.

[그림 2] 클러스터 런 구조

[그림 3] $LogFile 크기 확인

[그림 4] $LogFile 전체 구조

엔트리 번호 엔트리 이름 설명

0 $MFT NTFS상의 모든 파일들의 MFT 엔트리 정보

1 $MFTMirr $MFT 파일의 일부 백업본

2 $LogFile 메타데이터의 트랜잭션 저널 정보

3 $Volume 볼륨의 레이블, 식별자, 버전 등의 정보

4 $AttrDef 속성의 식별자, 이름, 크기 등의 정보

5 - 볼륨의 루트 디렉터리

[표 2] $LogFile 위치와 역할

제는 $LogFile에 저장된 로그를 바탕으로 현재 진행되는 작업의 이전

상태로 파일 시스템을 복구한다.

21

로깅 영역 구조

로깅 영역은 실제 작업 레코드들이 기록되는 영역으로 크게 버퍼 페

이지 영역과 일반 페이지 영역으로 나눌 수 있다.

버퍼 페이지 영역은 로깅 영역의 첫 두 페이지(0x2000~0x4000)에

해당하는 영역을 말하며 재시작 영역과 마찬가지로 두 번째 페이지는

백업 영역이다. 실제로 NTFS에서 트랜잭션 작업이 일어나면 먼저 이

영역에 작업 레코드들이 순차적으로 기록되며 페이지가 모두 채워지

면 일반 페이지 영역으로 기록을 넘기는 형식으로 작업이 진행된다.

따라서 가장 최근의 작업 레코드들은 버퍼 페이지 영역에 남는다.

일반 페이지 영역은 버퍼 페이지를 제외한 나머지 영역(0X4000~)을

말하며 버퍼 페이지가 모두 채워지면 기록된 내용을 받는 역할을 한

다. 만약 작업 레코드들이 파일 끝까지 꽉 차면 [그림 6]과 같이 일반

페이지 영역 시작부터 다시 덮어쓰는 방식으로 진행된다.

작업 레코드 구조

작업 레코드에는 실제 트랜잭션 작업의 내용이 기록된다. 하나의 트

랜잭션 작업은 [그림 8]과 같이 여러 작업 레코드들이 순차적으로 모

여서 이루어지며 가장 첫 레코드를 Checkpoint 레코드라 하며 마지

막 레코드를 Commit 레코드라 한다. 그 외 중간에 있는 레코드들은

Update 레코드라 한다.

페이지 구조

페이지는 $LogFile의 기본 구성 단위이며 크기는 0x1000(4096)바이

트로 고정돼 있다. 페이지의 구조는 하나의 헤더와 다수의 작업 레코

드들로 이루어지며 마지막 작업 레코드의 내용이 페이지를 넘어가면

다음 페이지에 기록된다.

[그림 7]은 페이지 헤더의 구조다. 페이지 헤더는 매직 넘버(RCRD)

로 시작되며 Last LSN 필드의 정보를 통해 페이지 내에서 가장 나중

에 기록된 작업 레코드의 LSN 정보를 획득할 수 있다. 그리고 Next

Record Offset 필드의 정보를 통해 페이지 내에서 가장 나중에 기록

된 작업 레코드의 위치를 알 수 있다.

결국 운영체제는 재시작 영역의 Current LSN 필드에서 가장 마지막

에 기록된 LSN 정보를 가져와서 해당 LSN 정보를 Last LSN 값으로

가진 페이지를 찾고, 그 페이지의 Next Record Offset을 가져와 실제

마지막 기록된 레코드의 위치를 찾는다.

Checkpoint 레코드 외의 레코드들은 자신의 이전 작업 레코드의 LSN

값을 가지고 있다. 따라서 파일 시스템 복구 시, 운영체제는 트랜잭션

작업을 구성하는 레코드들을 역추적하면서 각 레코드들의 Undo 데이

터를 사용하여 복구한다.

작업 레코드는 레코드 헤더와 데이터 영역으로 구성된다. 레코드 헤더

는 고정된 0x58 크기를 가지며 데이터 영역은 Redo와 Undo 데이터

가 들어가기 때문에 크기가 가변적이다.

따라서 작업 레코드의 크기도 가변적이며 큰 레코드는 여러 개의 페

이지를 사용하기도 한다. 그리고 하나의 작업 레코드가 끝나면 바로

이어서 다음 작업 레코드가 이어진다. 상세한 작업 레코드 헤더 구조

는 [그림 9]와 같다.

재시작 영역 구조

재시작 영역은 가장 마지막 작업 레코드에 대한 정보를 가지고 있다.

운영체제는 이 영역에서 마지막 레코드에 대한 정보를 가져와서 파

일 시스템을 복구한다. 재시작 영역은 연속적인 두 페이지로 구성되

는데 두 번째 페이지는 첫 번째 페이지의 백업용이다. [그림 5]는 재시

작 영역의 페이지 헤더의 구조다. 헤더는 매직 넘버(RSTR)로 시작되며

Current LSN 필드에 마지막 작업 레코드의 LSN 정보를 저장한다.

[그림 5] 재시작 영역의 페이지 헤더 구조

[그림 6] $LogFile의 로그 기록 방식

[그림 9] 작업 레코드의 헤더 구조

[그림 7] 페이지 헤더 구조

[그림 8] 트랜잭션 작업 구성

각 필드의 대한 설명은 [표 3]과 같다.

Redo Op 필드와 Undo Op 필드는 실제 레코드가 어떠한 작업을 수

행하였는지에 대한 정보를 가진다. [표 4]는 각 Redo Op와 Undo Op

가 가지는 연산코드의 의미이다.

지금까지 NTFS $LogFile 구조에 대해 설명했다. 이제부터는 위 내용

을 바탕으로 NTFS 파일 시스템 이벤트에 대해 알아보도록 한다.

22

따라서 위 두 레코드들이 연속적으로 존재한다면 새로운 파일 생성

이벤트라고 판단할 수 있다. 특히 ‘Initialize File Record Segment’

Redo 작업을 하는 레코드의 Redo 데이터는 MFT 엔트리의 데이터와

동일하므로 [그림 11]과 같이 생성된 파일명과 시간 정보를 획득할 수

있다. 시간 정보는 FILETIME 형식을 사용한다.

파일 생성 이벤트 분석

NTFS에서 파일이 생성되면, $LogFile에는 [그림 10]과 같이 6개의 작

업 레코드들이 순서대로 만들어진다. 6개의 레코드들 중 중요한 작업

레코드는 ‘Add Index Entry Allocation’ Redo 작업과 ‘Initialize File

Record Segment’ Redo 작업을 하는 레코드다.

각 레코드들이 하는 작업은 부모 디렉터리의 MFT 엔트리 $INDEX 속

성에 인덱스 레코드를 추가하는 것과 MFT 엔트리를 새롭게 할당하는

작업인 것을 알 수 있다.

파일 삭제 이벤트 분석

파일이 삭제되면, [그림 12]와 같이 5개의 작업 레코드들이 순서대로

생성된다. 이 5개의 레코드들 중에서 ‘Delete Index Entry Allocation’

Redo 작업과 ‘Deallocation File Record Segment’ Redo 작업을 하

는 레코드들을 통해 삭제 이벤트를 판별할 수 있다. 즉 부모 디렉터리

의 MFT 엔트리 $INDEX 속성에서 해당 파일의 인덱스 엔트리를 삭제

하는 작업과 MFT 레코드를 비활성화하는 작업을 통해서 해당 파일이

나 디렉터리의 삭제 작업을 알 수 있다.

필 드 명 내 용

This LSN 현재 작업 레코드의 LSN

Previous LSN 이전 작업 레코드의 LSN

Client Undo LSN 복구 시 다음 Undo 작업을 가지고 있는 레코드의 LSN

Client Data Length 레코드의 크기

Redo Op 시작 위치부터 이 값을 더하면 레코드 끝을 구할

수 있음

Record Type 0x02(Check Point Record)

0x01(그 외 Record)

Flags 0x01(현재 레코드가 페이지를 넘어감)

0x00(현재 레코드가 페이지를 넘어가지 않음)

Redo Op Redo 연산 코드

Undo Op Undo 연산 코드

Redo Offset Redo 데이터 시작 Offset(Redo Op 위치부터)

Redo Length Redo 데이터 크기

Undo Offset Undo 데이터 시작 Offset(Redo Op 위치부터)

Undo Length Undo 데이터 크기

LCNs to Follows 0x01(이어지는 레코드가 있음)

0x00(이어지는 레코드가 없음)

Record Offset MFT 레코드에 의한 작업이면, Redo/Undo 데이터가

적용되는 속성의 MFT 레코드 내 Offset

Attr Offset MFT 레코드에 대한 작업이면, Redo/Undo 데이터가 적용

되는 속성 내 Offset

MFT 레코드에 대한 작업이 아니면, Redo/Undo 데이터가

적용되는 클러스터 내 Offset

Target LCN Redo/Undo 데이터가 적용되는 디스크상의 LCN(Logical

Cluster Number)

연산코드 내 용

0x00 Noop

0x01 CompensationLogRecord

0x02 InitializeFileRecordSegment

0x03 DeallocateFileRecordSegment

0x04 WriteEndofFileRecordSegment

0x05 CreateAttribute

0x06 DeleteAttribute

0x07 UpdateResidentValue

0x08 UpdataeNonResidentValue

0x09 UpdateMappingPairs

0x0A DeleteDirtyClusters

0x0B SetNewAttributeSizes

0x0C AddIndexEntryRoot

0x0D SetIndexEntryVenAllocation

0x0F UpdateFileNameRoot

0x12 UpdateFileNameAllocation

0x13 SetBitsInNonresidentBitMap

0x14 UpdateFileNameAllocation

0x15 SetBitsInNonresidentBitMap

0x16 ClearBitsInNonresidentBitMap

0x19 Prepare Transaction

0x1A CommitTransaction

0x1B ForgetTransaction

0x1C OpenNonresidentAttribute

0x1F DirtyPageTableDump

0x20 TransactionTableDump

0x21 UpdateRecordDataRoot

[표 3] 작업 레코드 헤더의 필드 내용

[표 4] Redo/Undo 연산 코드

[그림 10] 파일 생성 이벤트의 작업 순서

[그림 12] 파일 삭제 이벤트의 작업 순서

[그림 11] 생성된 파일명과 시간 정보 획득

23

또한 [그림 13]과 같이 ‘Delete Index Entry Allocation’ Redo 작업을

하는 레코드의 Undo 데이터를 통해 삭제된 파일이나 디렉터리의 이

름을 알 수 있다.

Non-Resident 타입은 파일 데이터가 클러스터 런 구조를 사용해서

저장되므로 ‘Update Mapping Pairs’ Redo 작업이어야 하고 $DATA

속성의 0x40 위치부터 클러스터 런 데이터가 저장되므로 [그림 16]과

같이 레코드 헤더의 ‘Attr Offset’ 값이 0x40인지 확인해야 한다. 위

두 가지 조건이 만족되면 해당 레코드를 Non-Resident 타입의 파일

데이터 작성 이벤트로 구분할 수 있다.

지금까지 $LogFile에서 획득할 수 있는 파일 시스템 이벤트에 대해

알아보았다. 그렇다면 이러한 이벤트 정보를 바탕으로 디지털 포렌식

분석가가 얻을 수 있는 이점은 무엇일까?

$LogFile 분석의 활용

$LogFile 분석을 통해 얻을 수 있는 이점은 다음과 같다.

가. 순차적인 파일•디렉터리 생성, 삭제, 데이터 작성, 이름 변경 이벤

트를 획득하여 파일 시스템 이벤트에 대한 타임라인 작성이 가능하다.

이를 통해 사용자의 행위 또는 악성코드의 행위를 추적할 수 있다.

나. 삭제된 파일을 추적하는 데 유용하게 사용될 수 있다. 일반적으로

삭제된 파일의 비활성화된 MFT 엔트리는 다른 파일의 MFT 엔트리로

덮어쓸 수 있는데, 이 경우 MFT 분석을 통해서는 삭제된 파일의 흔적

을 찾을 수 없다. 하지만 $LogFile을 분석하면 삭제된 파일의 파일명

과 파일 데이터 혹은 데이터 위치를 얻을 수 있다.

다. 프리 패치 파일과 링크 파일 생성 이벤트를 통해 프로그램 실행,

문서 파일 열람 행위를 추적할 수 있다.

일반적으로 지금까지의 디지털 포렌식 조사 과정에서 NTFS 분석

은 MFT 분석을 통해서만 진행됐다. 하지만 이번 호에서 소개한

$LogFile 분석을 추가로 활용한다면 MFT에서 얻지 못한 정보를 획득

해 사고를 분석함으로써 더욱 정확한 타임 라인 작성이 가능하다. 이

는 디지털 포렌식 조사 과정에서 공격자의 행위나 악성코드 행위를

분석하는 데에 큰 도움이 될 것이다.

추가적으로 Redo 데이터에 있는 클러스터 런을 해석하면 [그림 17]과

같이 디스크상에서 해당 파일의 데이터가 존재하는 클러스터 주소와

할당된 클러스터 수를 알 수 있다. 아래 예에서는 해당 파일의 데이터

가 클러스터 26부터 시작하여 2개의 클러스터를 할당하여 사용하고

있음을 알 수 있다.

또한 해당 레코드의 Redo 데이터를 통해 [그림 15]와 같이 작성된 파

일 데이터의 내용을 확인할 수 있다.

그리고 [그림 19]와 같이 각 레코드의 Redo 데이터를 통해 변경 전의

파일명과 변경 후의 파일명을 확인할 수 있다.

파일 데이터 작성 이벤트 분석

파일 데이터 작성 이벤트는 Resident 타입과 Non-Resident 타입을

구분해야 한다. Resident 타입은 MFT 엔트리 안에 데이터가 쓰여지

기 때문에 ‘Update Resident Value’ Redo 작업이어야 하고, 일반적

으로 $DATA 속성의 0x18 오프셋 위치에 데이터가 작성되므로 [그림

14]와 같이 레코드 헤더의 ‘Attr Offset’의 값이 0x18인 것도 추가로

확인해야 한다. 위 두 가지 조건을 만족하면 해당 레코드를 Resident

타입의 파일 데이터 작성 이벤트로 구분할 수 있다.

파일명 변경 이벤트 분석

파일명 변경 이벤트는 MFT 엔트리 내의 $FILE_NAME 속성을 삭제

하고 다시 생성하는 방식으로 이루어진다. 따라서 [그림 18]과 같이

‘Delete Attribute’ Redo 작업과 ‘Create Attribute’ Redo 작업이 연

속적으로 일어나고 각 레코드의 Record Offset 필드의 값이 0x98,

Attr Offset 필드의 값이 0x00이면 파일명 변경 이벤트라고 구분할 수

있다.

[그림 14] Resident 파일 데이터 작성 이벤트의 작업

[그림 16] Non-Resident 파일 데이터 작성 이벤트의 작업

[그림 18] 파일명 변경 이벤트의 작업 순서

[그림 19] 변경 전/후의 파일명 정보 획득

[그림 15] 작성된 Resident 파일 데이터 획득

[그림 17] 작성된 Non-Resident 파일의 데이터 위치 정보 획득

[그림 13] 삭제된 파일명 정보 획득

소프트이천a h N l a b ’ S p a R T N E R

고객이 있는 곳 어디에나

‘소프트이천’이 있다

[AhnLab Premium Partner_소프트이천]

변함없는 신뢰, 전문적인 노하우, 체계적인 고객 관리 서비스. 기업을 운영하는 데 이보다 더 중요한 것이 또 있을까. 그러나 그 실현

은 말처럼 쉬운 게 아니다. 부단한 노력과 진정성, 식지 않는 열정 없이는 불가능할 것이다. 고객 섬김을 최우선 가치로 삼고 있는 소

프트이천은 조용하지만 꾸준하게 이를 실천하고 있다. 소프트이천이 고객과 좀더 밀착해서 관계를 개선할 수 있었던 계기는 안랩과

의 협력 관계를 맺으면서부터다. 오늘도 고객의 만족을 위해 뛰고 있는 소프트이천의 고객 사랑 실천법을 들어봤다.

ahn

lab’

s p

artn

er

24

고객이 만사(萬事)!

“소프트이천의 가장 큰 자산은 고객과 직원”이라고 윤 온 대표는 잘라 말했다.

「고객에게는 만족을, 직원에게는 보람을」이라는 소프트이천의 사훈과 일맥상통하는 말이다. 이것은 또

한 소프트이천(대표 윤 온 www.soft2k.co.kr)이 설립 이래 13년간 지켜온 약속이기도 하다. 덕분에 현

재 거래 고객사가 4000개가 넘고 3년 이상 꾸준히 거래하는 고객도 1500개 사나 된다. 고객 이탈은 거

의 없다.

건전한 재무와 투명한 영업 기조를 바탕으로 고객에게 변함없는 신뢰를 제공하는 것이 그 첫째요, 고객

에게 필요한 소프트웨어만을 콕콕 집어내 제공하는 전문성이 그 둘째요, 기술 지원 서비스는 물론 최신

IT 정보까지 제공하는 고객 관리 체계가 그 셋째 요인이다.

“고객이 있는 곳에 비즈니스가 있다. 고객만 있다면 불가능한 일은 없다”는 것이 윤 온 대표의 생각이

고, 소프트이천의 비즈니스 전반에 녹아있는 고객 섬김 정신의 근간이기도 하다.

파트너사를 윈백하다(?)

소프트이천은 국내 1위의 보안 업체인 안랩의 기술력과 인지도를 기반으로 새로운 산업 분야의 새로운

고객을 창출하는 데에 적잖은 도움을 받았다. 하지만 그보다 더 큰 의미는 안랩과의 비스니스를 통해

고객과의 관계를 질적으로 개선했다는 점이다.[소프트이천 사훈]

25

ahn

lab’

s p

artn

er

25

[소프트이천 윤 온 대표]

안랩 제품은 특성상 고객과 매년 계약을 갱신해야 한다. 즉, 고객들에게

신뢰받지 못한다면 1년 뒤의 재계약을 장담할 수 없고, 이는 기업 매출과

도 직결되는 문제다. 따라서 파트너사는 고객에 대한 긴장감을 늦추지 않

고 상시적인 관리와 지원 체계를 마련해 고객들과 더욱 밀착된 관계를 유

지해야 한다.

이를 위해 소프트이천은 안랩 보안 솔루션을 담당할 전담 엔지니어를 2명

배치하고 ‘해피콜(Happy Call)’ 제도도 마련했다. 제품 설치나 운영상 문

제는 없는지 늘 관리하고 점검하는 것이다. 고객 만족도가 높아지지 않을

수 없다. 문의 사항이 있거나 장애 발생 시 안랩 핫라인(1577-9431)에 연

락할 수도 있지만, 공급사인 소프트이천의 해피콜을 통해 쉽고 빠르게 기

술 지원을 받을 수 있다.

소프트이천이 안랩을 보안 솔루션 파트너로 선택한 데에는 남다른 이유가 있다. 불과 몇 년 전까지 소프트이

천은 외산 보안 솔루션 벤더와 협력 관계를 맺고 있었다. 하지만, 장애 발생 시 지원이 신속하고 원활하지 않

아 고객이 직접 본사로 지원을 요청해야 하는 경우도 비일비재했다. 이 때문에 고객들의 원성이 높았고 반품

으로 이어지기도 했다. 그렇다고 보안 솔루션을 포기할 수는 없는 상황에서 안랩을 만난 것이다. 안랩의 안정

된 기술 지원 체계 덕분에 고객은 물론, 영업 사원들과 엔지니어들의 만족도가 상당히 높아졌다. 이것은 소프

트이천이 ‘안랩 베스트 파트너 어워드’에서 2011년, 2012년 연속으로 SMB 부문 매출 1위를 기록하는 성과로

이어졌다.

소프트웨어를 ‘선택하고 집중하다’

2000년 3월 설립돼 지금까지 소프트이천은 소프트웨어만 취급해온 소프트웨어 전문 업체다.

소프트이천의 소프트웨어 사업은 크게 세 가지로 나눌 수 있다.

첫째는 소프트웨어 유통이다. 안랩 외에도 마이크로소프트를 비롯해 어도비, 오토데스크, 한글과컴퓨터 등

의 제품을 공급하고 있다. 특히 마이크로소프트와는 설립 당시부터 꾸준히 협력하고 있는데, 마이크로소프트

의 LAR(Large Account Reseller) 중 최초로 ‘Microsoft Gold Data Platform’ 인증을 획득했을 뿐 아니라,

‘Microsoft Software Asset Management’ 인증을 취득해 그 기술력을 인정받고 있다.

둘째는 소프트웨어 자산 관리 사업(SAM : Software Asset Management)이다. 2008년에 로직플랜트

로부터 소프트웨어 자산 관리 솔루션 ‘아이스펙터(iSpector)’를 인수하면서 본격적으로 사업을 시작했다.

아이스펙터는 ‘APC(AhnLab Policy Center)’의 이전 버전인 ‘V3 EDM(Enterprise Desktop Manger)’과

함께 제공되기도 했던 소프트웨어 자산 관리 솔루션이다.

아이스펙터 솔루션 인수를 계기로 소프트이천은 SPC(한국소프트웨어저작권협회)의 SRC(Software

Research Consulting) 파트너와 SDC(Software Database Certification) 파트너로 선정됨으로써 좀더

효율적인 소프트웨어 자산 관리를 제공할 수 있는 자격을 갖추었다. 현재 소프트이천의 영업 직원 11명

중 9명이 소프트웨어 자산관리사 자격을 취득했으며, 그만큼 더 전문적인 서비스와 컨설팅을 토대로 제

품을 공급하고 있다.

셋째 사업 부문은 보안 솔루션이다. 소프트이천은 안랩 솔루션 외에도 기업의 IT 시스템에 꼭 필요한 보

안 솔루션을 공급하고 서비스 부문을 강화하기 위해서 2011년에 자회사인 ‘IT Service Korea’를 설립했

다. 아직은 시작 단계이지만 장기적으로 중요한 비중을 차지할 것으로 기대되는 사업 부문이다.

이들의 중점 공략 시장은 SMB 중에서도 건설과 제조업 분야다. 최근에는 서비스•유통 부문까지 고객사가 확대되고 있다.

소프트이천 소프트웨어사업본부의 최희석 부장은 “이러한 선택과 집중을 통해 전문성과 노하우를 기르고 고객에 대해서도 밀착 지원할 수 있

다”고 설명했다.

[안랩 베스트 파트너 어워드

2012 매출 우수 기업 부문 수상]

[안랩 베스트 파트너 어워드 2012 수상]

2626

ahn

lab’

s p

artn

er

안랩은 월간 ‘안’ 2012년 연중 기획으로 ‘Ahnlab's Partner’ 꼭지를 신설했습니다. 이 꼭지는 안랩과 함께 성공 비즈니스를 위해 노력하는 협력 업체를 소개하는 자리입니

다. 이를 통해 안랩과 협력 업체 비즈니스의 시너지 창출은 물론 새로운 도약의 기회를 마련해 보고자 합니다.

소프트웨어 전문 기업으로 도약

기업의 규모로 보나, 비즈니스 영역의 확장 측면에서나, 지금 소프트이천은 한 단계

도약해야 할 시점을 맞았다. SMB 고객들을 기반으로 중견 기업들과 대기업들로 고객

층을 확산해 나가야 하며, 안티바이러스 솔루션뿐만 아니라 폭넓은 보안 솔루션과 차

별화된 서비스까지 라인업을 확장해야 할 시기인 것이다. 이것은 물론 기존 고객 및

제품들과 원활히 융합돼야 할 것이다.

이와 함께 기술 지원 및 컨설팅의 안정화를 위해서 관련 팀의 인원을 충원할 예정이다.

소프트웨어를 많이 판매하는 것도 중요하지만 고객 서비스가 뒷받침되는 고객 중심의

회사로 거듭나기 위해서다. 또한 거래 고객과의 관계 강화와 신규 고객 유치를 위한

고객 마케팅도 강화할 방침이다. [소프트이천 최희석 부장]

최희석 부장은 “최근 개인정보보호법 관련 보안 솔루션 도입이 많이 활성화되고 있다. 따라서 올해 출시된 ‘안랩 프라이버시 매니지먼트

(Ahnlab Privacy Management)’ 제품의 영업을 활성화할 계획이다. 더불어 안티바이러스 제품에 대한 윈백 영업에도 박차를 가할 예정”이

라고 전했다.

이를 통해 소프트이천은 올해 매출액 200억 원을 달성하고, 향후 10년 이내에는 매출액 2000억 원에 달하는 소프트웨어 전문 기업으로 성

장하겠다는 다부진 목표를 밝혔다.

윤 온 대표는 “치열한 경쟁 상황에서도 고객과 업계가 함께 살아나는 상생의 길을 모색하며, 언제나 고객이 최우선이라는 초심을 잃지 않고

고객과 함께 성장해 나가겠다”고 다짐했다.

[소프트이천의 활기찬 직원들]

27

T h R E a T a N a l y S i S 스마트폰 보안 위협과 대응

스마트폰을 PC에 연결했을 때 생길 수 있는 일

안드로이드 OS는 서드파티 마켓을 허용하는 정책 때문에 스마트폰 제작사나 통신사 등에서 운영하는 마켓을 포함하여 수많은 마켓에서

앱을 배포하며, 설치하는 방법 또한 다양하다. 그 중 스마트폰을 PC에 연결하여 앱을 설치하는 방법에 대해 알아보고, 그에 따른 보안 문

제와 예방책을 살펴보자.

[그림 1] 알 수 없는 소스

[그림 2] USB 디버깅

PC에 스마트폰을 연결해 앱을 설치하는 방법은 크게 두 가지로 나눌

수 있다.

첫 번째는 안드로이드 스마트폰을 USB 드라이버 모드로 PC에 연결해

APK 파일을 스마트폰으로 직접 복사한 후 설치하는 방법이다. USB 드

라이버 모드로 스마트폰을 연결하면 스마트폰의 저장소는 USB 저장소

와 같은 기능을 한다. 이렇게 복사된 설치 파일은 안드로이드 OS의 인

스톨 매니저로 설치할 수 있다.

두 번째 방법은 스마트폰을 PC에 연결한 후 PC에서 ADB(Android

Debug Bridge) 명령어를 이용하여 앱을 설치하는 것이다. 이 방법으

로 앱을 간편하게 설치할 수는 있지만, 설치되는 앱이 스마트폰의 어

떤 기능을 활용하는지 사용자가 알 수 없다(설치되는 앱이 동작하는

데 필요한 권한을 사용자에게 보여주는 것은 안드로이드의 보안 기

능 중 하나다).

ADB를 이용하여 안드로이드 스마트폰에 앱을 설치하기 위해서는 안드

로이드의 설정 중 ‘알 수 없는 소스’, ‘USB 디버깅’ 두 항목을 허용해야

한다.

1. 알 수 없는 소스

안드로이드 OS에는 인증된 프로그램만 설치할 수 있도록 제한하는 보

안 기능이 있다. 인증된 프로그램이란 구글의 공식 마켓인 Play 스토어

에서 배포되는 앱을 말한다. 하지만 서드파티 마켓을 허용하는 안드로

이드의 특성상 안드로이드 스마트폰 사용자는 대부분 알 수 없는 소스

사용을 허용하고 있다. 각 통신사나 스마트폰 제조사에서 제공한 앱을

설치하기 위해서는 알 수 없는 소스를 반드시 허용해야 하기 때문이다.

2. USB 디버깅

USB 디버깅은 안드로이드에서 동작하는 앱을 테스트할 때 사용하는

기능이다. 사용자가 USB 디버깅을 선택하면 안드로이드 스마트폰의

ADB 데몬이 활성화된다.

ADB는 안드로이드 운영체제를 사용하는 기기를 다양한 명령어를 통

해 제어하는 도구이다. 즉, 개발의 편의성을 제공하기 위한 것이라 할

수 있다. 그런데 개발자에게 유용한 기능인 USB 디버깅 설정을 많은

사용자가 활성화하는 이유는 무엇일까?

3. 왜 USB 디버깅의 활성화가 필요한가?

USB 디버깅은 스마트폰 루팅 시 필요한 기능이다. 루팅(Rooting)은

OS나 앱에 존재하는 취약점을 이용해 관리자 권한을 획득하는 것을

의미한다. 일부 스마트폰 사용자들은 바탕 화면을 바꾸거나 통신사와

스마트폰 제작사에서 임의로 포함한 앱을 제거하고 싶어한다. 또는 아

직 자신의 스마트폰에 적용되지 않은 최신 버전의 운영체제로 업그레

이드하려 한다. 이럴 때 필요한 것이 바로 관리자 권한이다.

또 다른 이유는 많은 사용자가 사용하는 마켓의 PC 매니저 프로그램

이나 특정 앱을 설치하기 위해서다. 각 제작사나 통신사는 다양한 이

름으로 앱 마켓을 운영하고 있고, 이들 마켓에서는 사용자 편의를 위

해 PC 매니저 프로그램을 제공한다. 매니저 프로그램은 스마트폰 사

용자의 PC에 설치되어 스마트폰에 저장된 데이터를 추출하거나 마켓

에서 구매한 앱을 스마트폰에 손쉽게 설치하도록 도와주는 기능을 제

28

[그림 4] USB 디버깅 해제 경고

[그림 5] V3 Mobile 2.0의 파일 암호화 기능

[그림 3] PC 매니저 프로그램의 설정 안내

이외에도 여러 가지 이유로 안드로이드 스마트폰 사용자들은 알 수

없는 소스를 허용하고 USB 디버깅의 활성화를 유지한다. USB 디버

깅이 활성화된 상태로 스마트폰을 PC에 연결하면 사용자의 의도와

상관없이 ADB 데몬이 활성화되어 스마트폰이 보안 위협에 노출될

수 있다.

일부 안드로이드 스마트폰은 해당 기능의 비활성화를 시도할 때 특정

앱을 사용할 수 없다는 경고 메시지를 노출해 사용자가 USB 디버깅

기능을 비활성화하지 않도록 유도한다.

4. USB 디버깅의 활성화로 인해 발생할 수 있는 문제

PC에 감염된 악성코드가 ADB의 기능을 악용하는 것은 어렵지 않다.

스마트폰이 PC에 연결되는 것을 감지한 후 ADB의 옵션 중 일부를 이

용하면 설치된 프로그램 목록을 손쉽게 확인하여 필요하다면 백신과

같은 보안 앱을 삭제할 수도 있다. 또 특정 앱을 삭제한 후 악의적으

로 리패키징한 악성코드를 설치할 수도 있어 사용자는 자신의 스마트

폰에 설치된 앱이 변조된 것을 알아채기 어렵다.

보안 위협과 대응 방안

PC에 연결된 스마트폰으로 사용자가 인지하지 못한 사이에 설치된 악

성코드는 저장된 연락처 정보를 읽어 외부로 유출하거나 사용자의 스

마트폰으로 광고 SMS를 발송하는 등 휴대전화와 PC의 기능을 이용

해 다양한 악의적인 행위를 할 수 있다.

이런 유형의 보안 위협에서 벗어나기 위해서는 다음의 사항을 명심해

야 한다.

- USB 디버깅 설정은 필요한 경우에만 활성화하고 사용이 완료됐을

때는 반드시 비활성화한다.

- 많은 사람이 사용하는 PC방이나 도서관에서는 PC에 스마트폰을 연

결하지 않는다.

- 스마트폰에 앱을 설치할 때는 유명한 마켓을 이용하고, 다운로드한

프로그램을 설치할 때에는 필요한 권한을 반드시 확인한다.

- 비밀번호와 같은 중요한 정보는 되도록 스마트폰 내에 저장하지 않

아야 하지만, 꼭 저장해야 할 때는 별도의 프로그램을 이용하여 암

호화한다.

- 모바일 백신 프로그램과 같은 보안 앱을 활용해 혹시 모르는 악성

앱의 감염을 예방한다.

공한다. 이러한 매니저 프로그램 중 일부는 USB 디버깅을 활성화할

것을 권장하기도 한다.

a h N l a b N E w S appliance partner base-up 2012

AhnLab Appliance Partner Base-up Training Day 2012

안랩과 맞잡은 손, 더욱 ‘단단해지다’

29

가족의 달 5월, 안랩은 또 하나의 가족과 의미 있는 시간을 가졌다. 5월 18일, 19일 양일간 강원도 홍천 비발디파크에서 진행된 ‘안랩

어플라이언스 파트너 베이스업 트레이닝 데이 2012(이하 파트너 데이)’에는 8개 어플라이언스 파트너사 100여 명이 참석했다. 이 자

리는 안랩의 어플라이언스 사업이 지난해 220% 성장한 것을 기념하고 올해의 더 큰 성장을 준비하기 위해 마련됐다. 소탈하고 유쾌

한 사람들이 서로 손을 맞잡고 더욱 단단한 미래를 약속하는 모습이 믿음직스럽다.

“뛰어난 안정성, 높은 고객 만족도 등 타사 대비 차별성이 부각되고 있다. 이것이 올해 파트너들이 더욱 적극적으로 영업할 수 있는 자신감이

될 것이다.”

안랩 어플라이언스사업팀 임성완 이사는 지난해 안랩의 어플라이언스 매출 성장의 원인으로 제품의 기술력을 꼽았다. 안랩은 대표적인 네트

워크 보안 솔루션 트러스가드(TrusGuard)를 비롯해 DDoS 전용 장비 ‘트러스가드 DPX(TrusGuard DPX)’, APT(Advanced Persistent Threat)

대응 솔루션 ‘트러스와처(TrusWatcher)’, SW-HW 융합형 망 분리 솔루션 ‘트러스존(TrusZone)’ 등 어플라이언스 사업의 포트폴리오를 성공적

으로 확장했다. 트러스가드는 지난해 로우 레이턴시(Low Latency) 기술로 고객들의 높은 평가를 받았다. 특히 속도와 안정성에 민감한 금융권

에서 글로벌 벤더의 장비 대신 안랩의 트러스가드를 도입하기도 했다. 또한 트러스와처와 트러스존은 지난해 대규모 레퍼런스를 확보하고 올

해 초 안정적으로 구축이 완료된 바 있다. 이러한 성과는 직접 고객과 만나고 파트너의 긴밀한 협조가 있었기에 가능했던 것이다.

‘경쟁’이 아니라 ‘선택과 집중’

‘안랩의 파트너 정책 및 세일즈 지원 프로그램’을 소개한 세일즈마케팅팀 이상국 팀장은 안랩의 파트너 구조와 구분에 대해 “파트너 간의 경쟁

을 유도하기 위한 것이 아니라 파트너 간의 협업을 위한 가이드라인을 마련한 것”이라고 설명했다. 또한 안랩은 파트너의 비즈니스를 활성화

하기 위해 데모 장비부터 공동 프로모션까지 아낌없이 지원할 것이라고 강조했다.

적극적으로 파트너를 지원하기 위해 네트워크지원팀이 이번 행사에 함께했다. 네트워크지원팀 김수암 팀장은 기술 지원 프로세스와 관련해

“올해부터 고객과의 직접적인 커뮤니케이션을 더욱 강화할 것”이라고 밝히고 “고객 이슈를 통합 관리하고 지식 기반 공유로 효율성을 극대화

할 것”이라고 밝혔다. 또한 기술 지원과 정기 교육, 관리자 교육 코스 등을 더욱 강화하고 이메일 및 모바일 등을 통한 즉각적인 파트너 지원을

약속했다.

30

안랩은 파트너의 세일즈 툴(Sales Tool)

행사의 2부 교육 세션은 두 개의 트랙으로 나뉘어 진행됐다. 첫 번째 트랙은 트러스가드, 트러스와처, 트러스존 등 안랩의 전략 제품에 대한 이

해를 도모하는 시간이었다. 트러스존을 소개한 전략제품사업팀의 권진욱 부장은 “파트너사들이 고객사에 제안하거나 고객사를 분석할 때 안

랩을 세일즈 툴로 적극 활용하라”고 전했다.

다른 한쪽에서는 안랩의 네트워크지원팀이 파트너사들과 함께 ‘안랩 어플라이언스 SE 간담회’를 진행했다. 이 자리에서는 제품의 특성과 최신

보안 위협 트렌드에 대한 정보 공유부터 파트너 정규 교육, 고객 지원 및 파트너 지원에 대한 진지한 논의가 이어졌다. 네트워크지원팀 최정수

과장은 “파트너 지원 강화를 통해 파트너사의 기술력을 강화하고 이를 통해 고객 만족도를 향상시킬 것”이라고 약속했다. 이날 행사에서 SE

간담회가 인상적이었다고 밝힌 세아네트웍스의 김정원 주임은 “더 많은 고객을 확보하기 위해 안랩의 다양한 지원을 적극적으로 활용할 것”이

라고 말했다.

세상을 바꾸는 안랩과 파트너

파트너 간의 협업을 강조한 파트너 데이의 마지막 순서는 ‘안랩 세바퀴, 세상을 바꾸는 퀴즈’였다. 각 파트너사의 참석자들이 골고루 8개의 팀

으로 나뉘어 안랩의 제품 및 보안 트렌드를 비롯해 일반 상식에 대한 다양한 문제를 맞추며 열띤 경쟁을 벌였다. 이날 뛰어난 팀워크가 돋보인

트러스존팀이 우승을 차지했다.

행사는 참석자 전원이 서로 눈을 마주치고 온기를 나누는 ‘릴레이 악수’로 마무리됐다. 행사장 넓게 서로의 손을 잡고 큰 원을 그린 참석자들은

단 한 명도 빠짐없이 악수나 포옹을 나누며 반가움과 존중의 마음을 전하고 상생을 다짐했다.

안랩의 파트너 데이는 단순히 벤더와 파트너 사이의 친목만 도모하는 행사가 아니다. 사업의 방향을 더욱 긴밀하게 공유하고 전반적인 IT 보안

위협에 대한 전문 지식을 공유하는 자리다. 세일즈마케팅팀 이상국 팀장은 “안랩의 제품, 파트너 정책에 대한 의견을 공유하고자 이번 행사를

마련했다”며 “앞으로도 파트너의 성장에 도움이 될 수 있는 다양한 정보와 지원을 위해 고민하고 이를 공유할 수 있는 자리를 지속적으로 마

련할 것”이라고 약속했다.

31

a h N l a b N E w S Global ahnlab

보안관제에서 네트워크 보안, 모바일 보안에 이르는 통합 보안 솔루션 전시

안랩, 일본 보안 전시회에서

세계 수준의 종합 보안 기술력 선보여

31

안랩은 2012년 5월 9일부터 11일까지 일본 도쿄에서 열린 보안

엑스포인 ‘Information Security Expo & Conference in Tokyo

2012(이하 IST 2012)’에 국내 보안 기업들과 공동으로 참가해 최신

보안 위협에 대한 전방위적인 솔루션을 소개하였다.

IST 2012는 전 세계 15개국 256개 업체가 참가해 안티바이러스, 모

바일 보안, 정보보호와 관련된 광범위한 제품 및 서비스를 시연하고

최신 정보를 공유하는 행사였다. 안랩은 이번 전시 행사를 통해 일본

내 전략 사업인 모바일 보안 및 보안관제 서비스의 인지도 향상과 비

즈니스 활성화를 기대하고 있다.

안랩은 이번 행사에서 최신의 보안 위협에 대비하기 위한 종합적

이고 입체적인 솔루션을 선보였다. 먼저, 2009년 일본에 보안관

제센터를 설립하며 본격적으로 시작한 보안관제 서비스 ‘세피니티

(Sefinity)’를 소개했다. 세피니티는 24시간 365일 고객 IT 시스템의

보안 위협을 모니터링하고, 침해 사고 발생 시에 원격 혹은 현장 복

구 서비스를 제공한다. 그뿐만 아니라 악성코드를 분석하고 최신 백

신 엔진을 개발 및 제공하는 ASEC(시큐리티대응센터)과 연계하여 고

객의 IT 인프라를 보호한다.

안랩은 또한, 일본 내 또 다른 전략 사업인 모바일 보안에 대한 종

합적 솔루션을 제시하였다. 2011년 말 출시한 안드로이드 기반 스

마트폰용 보안 제품인 ‘V3 모바일 2.0’과 지식경제부의 WBS(월

드 베스트 소프트웨어) 프로젝트로 안드로이드 마켓의 애플리케이

션 악성 여부를 분석하고 판명해 주는 클라우드 기반의 서비스인

‘안랩 모바일 스마트 디펜스(AMSD)’, 기업용 모바일 단말 통합 관

리 솔루션인 ‘안랩 모바일 센터(AMC)’, 스마트폰을 통한 다양한 거

래 행위 시 이와 관련된 정보 유출, 불법 과금 등을 유발하는 스마

트폰 악성코드에 대한 실시간 탐지를 제공하는 ‘V3 모바일 플러스

(AhnLab V3 Mobile+ for Transaction)’ 등의 통합 모바일 보안 전

략 및 서비스를 시연하였다.

한편, APT(Advanced Persistent Threat) 대응 솔루션 ‘트러스와

처(AhnLab TrusWatcher)’와 DDoS 방어 전용 제품 ‘트러스가드

DPX(AhnLab TrusGuard DPX)’도 전시하였다. 트러스와처는 안랩이

세계 최초로 개발한 ‘DICA(Dynamic Intelligent Content Analysis)

기술’을 탑재해 최근 APT의 주요 도구로 사용되는 악성 문서 파일과

비실행 파일들을 정밀하게 검사한다. 또한, 클라우드 기반 사전 분석

기술과 자체 가상 머신을 이용한 실제 악성 행위 분석 기술로, APT를

비롯한 지능적 보안 위협에 더욱 강력히 대응한다. 트러스와처는 올

해 초 미국에서 열린 RSA 콘퍼런스에서 큰 호응을 얻은 바 있다.

트러스가드 DPX는 안랩의 악성코드 분석 기술과 DDoS 제품의 구

축•운영 노하우, 7•7 DDoS와 3•4 DDoS 등 대형 DDoS 공격에 대

한 성공적인 대응 경험 등이 집적되어 DDoS 공격에 입체적으로 대

응한다는 것이 강점이다.

안랩 김홍선 대표는 “이번 IST 2012는 새로운 보안 시장으로 떠오

르고 있는 일본에 안랩의 앞선 기술력과 노하우, 실전 경험을 선보일

수 있는 좋은 기회였다. 안랩은 20여 년간 축적된 보안에 대한 오랜

노하우와 입체적인 솔루션, 대응 방안 등을 유감없이 선보였다”고 밝

혔다.

a h N l a b N E w S mobile Security

32

안드로이드 앱의 특성 및 위험도 판별, 데이터베이스 보호

악성 앱 진단 기술 등 특허 2종 획득

안랩은 자사의 스마트폰 악성 애플리케이션 진단 관련 기술 2종 ‘API 위험도에 기반한 안드로이드 앱 분석 방법’과 ‘데이터베이스 보안 장치 및

방법’이 국내 특허를 획득했다고 발표했다.

안랩은 이번에 특허를 받은 두 가지 기술을 지식경제부의 WBS(월드 베스트 소프트웨어) 프로젝트인 안랩 모바일 스마트디펜스(AhnLab

Mobile Smart Defense, 이하 AMSD)에 적용할 예정이다. AMSD는 스마트폰 애플리케이션을 수집•분석하여 위험도를 측정하는 클라우드

기반의 인프라로, 이번 특허를 통해 더욱 효과적인 악성 애플리케이션 진단과 자체 데이터베이스 보호가 가능하게 됐다.

‘API 위험도에 기반한 안드로이드 앱 분석 방법’은 안드로이드와 같은 모바일 운영체제 플랫폼 API(응용 프로그램 프로그래밍 인터페이스)의

사용 정보에 근거해 모바일 기기에 설치되는 애플리케이션(이하 앱)의 특성 및 위험도를 분석하고 진단하는 기술이다. 이번 특허로 안랩은 모

바일용 앱에 대한 분석을 자동화하여, 일일이 분석가에 의존하지 않고도 앱의 성향과 위험도를 더욱 객관적이고 빠르게 파악할 수 있게 됐다.

뿐만 아니라, 개인•위치정보 접근 등과 같은 위험 요소별 분포도 및 위험도라는 정량적 수치를 도출해 향후 예측되는 위험에 대해 사용자에게

안내할 수 있다.

‘데이터베이스 보안 장치 및 방법’은 질의문 접수 및 응답으로 운영되는 AMSD의 데이터베이스에 대한 SQL 인젝션 공격에 대비해 AMSD 플

랫폼을 자체 보호하기 위한 기술이다. 이는 접수한 질의어를 미리 설정된 보안 정책과 비교한 후 데이터베이스 공격으로 판단되면 입력된 질

의문을 차단하는 방식이다.

안랩 조시행 연구소장은 “스마트폰이나 스마트 패드 등 안드로이드 운영체제를 이용한 모바일 환경이 확장됨에 따라 해당 사용자를 노리는 악

성 앱도 증가하고 있다. 특히, 전 세계적으로 기업 업무가 모바일 환경과 융합되면서 모바일 보안이 더욱 중요하게 되었다. 안랩은 수십 년간

축적된 역량을 바탕으로 이런 모바일 보안 위협에 효과적으로 대응할 것”이라고 강조했다.

안랩은 2012년 5월 17일 종합 PC 관리 서비스인 ‘PC주치의’의 모바일 기기용 서비스를 출시했다. 이에 따라 PC뿐 아니라 스마트폰, 태블릿

PC 사용자도 전문가의 원격 지원을 받을 수 있게 됐다. 또한 매킨토시 사용자도 서비스를 받을 수 있다.

안랩의 ‘PC주치의’ 서비스는 보안 전문가가 원격으로 사용자의 PC에 접속해 보안 문제부터 PC 최적화, 장애 조치, 프로그램 사용법과 같은 일

반적인 PC 사용법까지 안내해주는 양방향 고객 지원 서비스이다. 2011년 안랩 자체 조사 결과 PC주치의에 대한 사용자 만족도는 평균 94%

에 달했다.

안랩은 기존 ‘PC주치의’ 사용자의 높은 만족도에 힘입어 업계 최초로 매킨토시 운영체제를 탑재한 제품을 비롯해 스마트폰, 태블릿 PC 등 모

바일 기기용 서비스를 출시했다.

그동안 모바일 기기의 장애 처리는 제조사가 기기 자체의 AS를 해주는 것이 전부였다. 때문에 사용자는 애플리케이션 오류, 속도 저하 현상 등

소프트웨어와 관련된 문제가 발생해도 해결할 수 있는 방법이 없어 큰 불편을 겪었다.

이번 서비스 출시로 사용자는 모바일 기기의 속도 저하 및 멈춤 증상, 애플리케이션 오류 등의 각종 장애 해결과 사전 점검, 데이터 백업 등 최

적화 서비스를 별도의 방문 없이 원격으로 지원받을 수 있게 됐다.

안랩 김홍선 대표는 “모바일 기기의 사용이 증가하면서 발생하는 문제 또한 급증했지만 지금까지 이런 문제점을 해결해주는 서비스가 없었다.

안랩은 모바일 보안 제품을 선도적으로 개발•공급해온 리더십을 바탕으로 이번에 서비스 상품을 출시했다. 고품질 제품과 서비스로 모바일

환경의 보안 수준을 높이는 데 앞장서겠다”고 강조했다.

애플리케이션 오류, 속도 저하, 멈춤 증상 등 원격 지원

‘PC주치의’ 모바일 기기용 서비스 출시

a h N l a b N E w S patent

33

컴퓨터 파일, 메모리 등에 대한 악의적 침입 시도 차단

V3 핵심 기술 특허 획득

안랩은 2012년 5월 24일 V3 제품군에 탑재된 클라우드 컴퓨팅 개념

신기술인 ‘스마트 디펜스(AhnLab Smart Defense)’에 적용 예정인

‘인젝션 스레드의 네트워크 행위 차단 시스템 및 그 방법’이 국내 특

허를 획득했다고 발표했다.

이번 특허 기술은 공격자가 인젝션 스레드(injection thread, 다른

프로세스에 침입해 특정 행위를 하는 것)를 이용해 컴퓨터 및 모바일

기기의 자원에 접근하는 것을 제어한다. 인젝션 스레드는 파일, 포트,

메모리 등의 자원을 이용해 동작하므로 공격자가 악의적으로 사용할

경우 사용자에게 큰 피해를 줄 수 있다.

이를 막기 위해 방화벽 등의 보안 프로그램은 인젝션 스레드의 생성

여부를 판단하여 이를 제어한다. 하지만 대부분의 보안 프로그램이

인젝션 스레드가 생성되는 시점에만 제어할 뿐, 생성된 인젝션 스레

드가 자원에 접근하면 제어하기 어려운 한계가 있었다. 가령 공격자

가 윈도우 시스템 파일에 스레드 값을 삽입한 후 악성코드를 다운로

드하면 대부분의 방화벽은 이를 차단할 수 없다.

안랩의 특허 기술은 이 문제점을 해결한 것으로 공격자가 인젝션 스

레드로 시스템 자원에 접근하는 것을 차단함으로써 이후 이어질 악

성 행위를 막아준다. 이 기술은 추후 ‘스마트 디펜스 2.0’에 적용될 예

정이다.

‘스마트 디펜스’는 악성코드에 대한 모든 데이터를 PC로 다운로드한

후 PC에서 악성코드를 검사하던 기존 방식과 달리 대규모 파일 정보

데이터베이스를 중앙 서버에서 관리하며, PC에 설치되어 있는 ASD

엔진에서 파일의 악성 여부를 문의하면 이에 응답해주는 기술이다.

이는 신종 악성코드에 대한 사전 대응력을 높이고, V3의 엔진 사이즈

를 가볍게 하며, 오진을 최소화한다.

한편, V3는 스마트 디펜스를 비롯해 DNA 스캔, V3 뉴 프레임워크

등 원천 기술의 혁신으로 높은 진단율과 빠른 검사 속도, 다양한 위

협의 조기 차단 등 탁월한 성능을 제공한다. ICSA 인증, VB 100% 어

워드, 체크마크 인증, AV-TEST 인증의 4대 국제 인증을 모두 획득했

으며, 이를 바탕으로 글로벌 시장에 활발히 공급되고 있다.

[V3 Internet Security 8.0]

3434

보안 통계와 이슈 S T a T i S T i C S

구 분 건 수

악성코드 발견 건수 19,925

악성코드 유형 556

악성코드가 발견된 도메인 366

악성코드가 발견된 uRl 1,967

[표 1] 웹 사이트 악성코드 동향

맥 OS, 더는 안전하지 않다

안랩 시큐리티대응센터(ASEC)는 ASEC Report Vol. 28을 통해 2012년 4월의 보안 통계 및 이슈를 전했다. 지난 4월의 주요 보안 이슈를

다시 한 번 살펴본다.

[그림 1] 2012년 4월 악성코드 유형별 감염 비율

2012년 4월의 악성코드 통계

2012년 4월에 감염이 보고된 악성코드는 전체 1140만 9362건으로

나타났다. 이는 지난 3월의 1382만 206건에 비해 241만 844건이 증

가한 수치다. 악성코드를 유형별로 살펴보면, 트로이목마(Trojan)가

48.3%로 가장 많았으며, 웜(Worm)이 7.3%, 스크립트(Script)가 4.9%

인 것으로 나타났다. [그림 1]은 2012년 4월 한 달 동안 안랩 고객으로

부터 감염이 보고된 악성코드의 유형별 비율을 집계한 결과다.

2012년 4월 웹 보안 통계

안랩의 웹 브라우저 보안 서비스인 사이트가드(SiteGuard)를 활용한

웹 사이트 보안 통계 자료에 의하면, 2012년 4월에 악성코드를 배포하

는 웹 사이트를 차단한 건수는 총 1만 9925건이었다. 악성코드 유형은

556종, 악성코드가 발견된 도메인은 366개, 악성코드가 발견된 URL은

1967개였다. 이는 2012년 3월과 비교해서 전반적으로 감소한 수치다.

[그림 2]는악성코드 유형별 감염 비율을 전월과 비교한 것이다. 트로이

목마, 웜, 바이러스(Virus)가 전월에 비해 증가세를 보인 반면, 스크립

트, 애드웨어(Adware), 다운로더(Downloader), 애프케어(Appcare)

계열들은 감소한 것을 볼 수 있다. 드롭퍼(Dropper), 스파이웨어

(Spyware) 계열들은 전월 수준을 유지했다.

[그림 2] 2012년 4월 vs. 2012년 3월 악성코드 유형별 감염 비율

35

종 류 설 명

Flashback 악성코드

어도비 플래시 업데이트를 가장한 트로이목마로

2011년에 최초로 발견되었으며 SNS 등을 통해 유포

된다. 최근 55만 대의 Mac 사용자가 이 악성코드에

감염되었다.

Sabpab 악성코드MS 워드 취약점을 이용한 트로이목마로 이메일 첨

부 파일 형태로 유포된다.

Tsunami Trojan오래 전 리눅스에서 이용되었던 백도어 프로그램으

로 IRC 기반의 분산 서비스 공격 클라이언트 프로그

램이다.

OSX/Imuler-B악의적인 목적으로 제작된 파일을 유명 모델의 사진

인 것처럼 속여 실행을 유도하는 트로이목마다.

Trojan-Dropper:OSX.Revir.A

PDF 파일로 위장한 트로이목마로 원격 액세스할 수

있는 백도어를 포함하고 있으며, 이메일 첨부 파일

형태로 확산된다.

MacDefender Fake AV

Mac OS를 타깃으로 한 FakeAV(허위 백신)으로 결제

를 유도하는 등의 악의적인 행위를 한다.

검색 엔진 최적화(Search Engine Optimization) 기

법이나 SNS 등을 통해 유포된다.

PDF Bug in SafariSafari 웹 브라우저에서 PDF 파일을 표시할 때 발생

할 수 있는 취약점으로, 공격에 성공하면 iPhone,

iPad, iPod 기기에 대한 원격 제어가 가능하다.

Weyland-Yutani 로봇 키트Mac OS를 겨냥한 악성코드 키트로 블랫 마켓을 통

해 유통되고 있다.

[표 2] 애플(Mac) OS를 타깃으로 하는 악성코드

[그림 3] 웹 사이트를 통한 악성코드 유형별 배포 수

[그림 5] 업데이트 설치

이들 웹 사이트를 통해 배포된 악성코드 유형은 [그림 3]과 같다. 트로

이목마가 6388건/32.1%로 가장 많았고, 애드웨어가 3599건/18.1%

인 것으로 조사됐다.

2012년 4월 주요 보안 이슈

맥 OS, 더는 안전하지 않다

국내는 물론 전 세계 사용자들로부터 많은 사랑을 받고 있는 애플 제품

들은 그동안 보안에 강력한 것으로 알려졌다. 하지만 최근 자바 취약점

(CVE-2012-0507)을 악용한 Flashback 악성코드가 유포되어 55만 대

의 맥 OS 사용자가 감염되는 등 악성코드 변종 및 해킹 기법이 나날이

증가하고 있다.

[표 2]는 2012년 4월까지 맥 OS를 위협한 악성코드를 분류한 것이다.

이 밖의 보안 관련 통계 및 이슈에 관한 자세한 내용은 ASEC Report

홈페이지(http://www.ahnlab.com/kr/site/securitycenter/asec/

asecReportView.do?groupCode=VNI001)에서 확인할 수 있다.

[그림 4] 맥 OS X의 소프트웨어 업데이트

사용자들은 맥 OS가 더는 안전하지 않다는 것을 인지하고 MS 워드,

플래시 플레이어, 자바 등의 응용 프로그램 패치를 항상 최신으로 유지

해야 한다.

맥 OS X에서 보안 패치를 업데이트하기 위해서는 상단 좌측의 애플 로

고를 클릭한 후 ‘소프트웨어 업데이트…’를 클릭하여 업데이트 프로그

램을 실행한다.

발행인 : 김홍선

발행처 : 주식회사 안랩

경기도 성남시 분당구 삼평동 673

T. 031-722-8000 F. 031-722-8901

편집인 : 안랩 세일즈마케팅팀

디자인 : 안랩 UX디자인팀

Copyright(c) AhnLab,Inc. 2012 All Rights Reserved.

본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제, 복사, 검색 시스템

으로 저장 또는 전송될 수 없습니다. 안랩, 안랩 로고는 안랩의 등록상표입

니다. 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상

표일 수 있습니다. 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다.

경기도 성남시 분당구 삼평동 673

T. 031-722-8000 F. 031-722-8901

Copyright (c) AhnLab, Inc. 2012 All rights reserved.

http://www.ahnlab.com

http://blog.ahnlab.com

http://twitter.com/ahnlab_man