쿨캣의 블로그 놀이

M86 시큐리티랩 블로그에 스팸이 다시 증가하고 있다고 밝혔습니다. - http://labs.m86security.com/2011/08/massive-rise-in-malicious-spam/ 2010년에 일부 봇넷을 중지 시켰습니다. - http://labs.m86security.com/2010/10/spam-volumes-drop-after-spamit-shakeup/ 대부분의 스팸은 Cutwail(Pushdo, Pandex), Festi, Asprox 등의 봇넷에서 발생하고 있다고 합니다. 스팸 감소가 잠깐 효과가 있다가 최근 다시 복구 되고 있습니다. 이런걸 모니터링 할 수 있는 이들이 살짝 부럽기도 합니다. 문득 한글 스팸도 이들 봇넷으로 배포되는지 궁금하네요. 요즘은 영문 스팸은 별로 받은 적..

F-Secure에서 2011년 3월 발생한 RSA 해킹 사건과 관련된 내용을 공개했습니다. - How we found the file that was used to Hack RSA http://www.f-secure.com/weblog/archives/00002226.html 관련 기사도 나오고 있습니다. - Is this the phishing email that caused the RSA breach? http://www.net-security.org/secworld.php?id=11521 파일명은 survey-questions_2011.xls 였으며 V3 진단명은 Dropper/Cve-2011-0609 로 2011.03.16.02 이후 엔진에서 진단되고 있습니다. 보안업데이트가 적용된 최신 한글판 ..

- "액티브X 기술 종속, SK컴즈 해킹사고 불렀다" (머니투데이, 2011년 8월 16일) http://www.mt.co.kr/view/mtview.php?type=1&no=2011081615492123773&outlink=1 내용은 사실에 가깝고 인터뷰 한사람도 일반적인 위험에 대해서 언급 하셨는데.. 획일적인 환경은 공격자 입장에서 좀 더 쉽긴 하죠. 성 기장님 혹은 편집장께서 평소 액티브X 기술에 반감이 많으셨나 보네요. 제목을 저렇게 뽑으시고... 제 느낌에는 내용에도 억지로(?) 액티브X를 넣은 듯 하네요. - 물론 액티브X를 이용한 공격이 있지만 다른 공격에 비하면 새발의 피이죠. 아래 내용은 사실 관계를 좀 더 확인 해야 하지 않을까 합니다. 경찰청 중간 수사결과 발표에 따르면, 이번 네이..

2011년 7월 23일 중국에서 발생한 고속철도 추돌 사건이 벼락이 아닌 악성코드 때문이라는 소문이 나돌았습니다. - 중국 고속철도 제어시스템 '미국스파이에 의해 웜에 감염된 것으로 의심' http://www.cnsec.co.kr/board/bbs/board.php?bo_table=news&wr_id=312 실제 악성코드 때문에 발생했을 가능성과 중국 측에서 자신의 잘못을 외부의 공격으로 몰아가려는 음모 아니냐는 의견으로 나뉘었습니다. 하지만, 스턱스넷에 의한 이란 원전 가동 중지가 사실상 진실로 밝혀져서 관심이 집중되고 있습니다. 기사가 나간 이후 한동안 조용했는데 소문에는 악성코드를 분석하는 중이었다고 합니다. 8월 14일에 추가적인 정보가 공개되었습니다. (원래 글은 CN Security에서 8월 ..

정보보안 일을 하지 말아야 하는 6가지 이유 유머는 유머 일 뿐.... 이지만.. 흠... - 6 Reasons Why You Should NOT Work With Information Security http://www.myinfosecjob.com/2011/08/6-reasons-why-you-should-not-work-with-information-security/#more-8507 6. 근무 시간이 길다. 근무 시간이 길다 혹은 쉴 틈이 없다 등으로 볼 수 있죠. 악성코드 대응, 보안 관제 등은 기본적으로 24x7 근무를 하는 경향이 있죠. 악성코드 배포자들도 요즘에는 연구원들이 쉬는 주말에 악성코드를 대거 뿌리고 있습니다. 아직까지 주 5일제 잘 시행하고 있는데... 앞으로 어떻게 될지 모르겠..

오픈웹에 한국 보안 업계에 대한 따끔한 글이 올라왔습니다. http://openweb.or.kr/?p=4102 글을 읽다보니 조금 화가나는 부분이 생기더군요. 욱해서 트위터에 좀 강하게 쓰려다가... 오픈웹에서 이러는거 한두번도 아닌데 이런 글에 화가나는걸 보면 아직 인격수양을 더 해야 할 듯 합니다. 물론 반성할건 반성을 해야죠. 국내 보안 제품이(적어도 백신 프로그램에서) 아직 외국 업체에 비해 부족하고 따라가려고 열심히 하고 있습니다. 다만 변명을 하자면 이런 타겟공격은 국내 보안업체 뿐 아니라 해외 보안업체도 해결하지 못한 문제이고 보다 효과적인 방법을 찾기 위해 몇 십년 동안 고민하고 있다는 겁니다. 농협과 SK컴즈 사건 피해 시스템에서 사용되던 백신 프로그램은 유명 해외 제품입니다. 물론 국내..

한겨레21에 실린 본 고도기술사회의 두 얼굴 기사를 보고 글을 써야 겠다는 생각이 들었습니다. 고도기술사회의 두 얼굴 http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=3&seq=18169&columnist=0&dir_group_dist=0&dir_code= 올해는 유독 큰 보안사고가 많이 발생했습니다. 중국 고속철도 장애도 악성코드에 의한게 아닌가하는 의혹이 나오고 있구요. - 다만 오히려 중국측에서 주장해서 조금 다르긴 합니다만.. 아직 샘플이 공개되지 않아 그냥 음모론으로 볼 수 있습니다만 기술적으로 불가능하지 않다는게 큰 문제가 아닐까 합니다. - 중국 고속철도 제어시스템 '미국스파이에 의해..

어제부터 이란 원전 장애를 일으켰다고 알려진 스턱스넷 소스코드가 공개되었다는 얘기가 나돌았습니다. 오늘은 기사에도 났네요. [외신] 스턱스넷 소스코드, 인터넷에 공개됐다 (데일리시큐) http://www.dailysecu.com/news_view.php?article_id=179 오보의 시작은 여기네요. - Stuxnet Source Code Released Online http://www.thehackernews.com/2011/07/stuxnet-source-code-released-online.html 결과는 소스코드 '아닙니다'. 시중에 떠도는 RAR 파일을 열어보면 바이러리 파일을 C 언어로 변환해주는 Hex-Rays로 만든걸 알 수 있습니다. 작성 날짜를 보면 2011년 2월로 나옵니다. 인터..

2011년 7월 2일(토) 코드엔진 2011에서 발표했습니다. http://www.codeengn.com/ 발표 자료 제목은 virse program messge Dos to Win 입니다. (virse와 messge가 오타입니다만 LBC 바이러스 메시지의 오타라 그대로 가져왔습니다.) 많은 분들 만나서 반가웠습니다. 리버스엔지니어링 및 보안을 위한 많은 자리가 있었으면 합니다.

1588-3096 휴대폰에 모르는 번호가 떴습니다. 스팸전화가 아닐까 의심하고 인터넷으로 검색해보려다가 귀찮아서 전화를 받았죠. "안녕하십니까 ? 안철수연구소입니다." '우웅 ... ?' 태어나서 처음으로(?) 안철수연구소에서 전화가 왔습니다. "고객님께서 사용하신 V3 365가 만료되어서 전화했습니다. 지금 시간 되시나요 ?" 제가 딱한마디 했습니다. "저... 안철수연구소 직원인데요." (약간 당황 하며...) "직원이세요 ?" (약간의 허탈한 웃음도 들려옴) 간만에... 좀 웃어봤습니다 ㅎㅎ 전화번호를 보니 안철수연구소 온라인쇼핑몰 번호더군요. 이런.. 제가 주소도 회사만 기입했는데요. 못보셨나.. 아니면 개인정보 보호 때문에 주소가 안나오나 ㅋ 오랫만에 안랩 홈페이지에 접속해보니 몇년 동안 안랩 ..

연합뉴스에 흥미로운 기사가 떴습니다. - 펜타곤 공격 악성코드 '멸종은 커녕 진화' http://www.yonhapnews.co.kr/international/2011/06/17/0608000000AKR20110617088900009.HTML 익명을 요구한 미 국토안보부 관계자는 지난 2008년 미 중앙사령부 컴퓨터 시스템을 뚫고 들어온 악성코드 Agent.BTZ가 현재도 퍼지고 있으며 형태는 더욱 다양하게 변형되었다고 16일 밝혔다고 합니다. 어떤 악성코드 인지 검색해 봤습니다. USB 메모리로 전파되는 Autorun 웜이네요. - US Army bans USB devices to contain worm (The Register) http://www.theregister.co.uk/2008/11/20/..

아.. 원래 제목은 '그래도 보안불감증보다 낫다'였습니다. 편집과정에서 제목 바뀐듯 하네요. [기고] 보안전문가의 솔선수범 보안 대책 http://www.asiatoday.co.kr/news/view.asp?seq=488603# 저는 예전 글에도 밝힌것 처럼 스스로 보안전문가라고 말하지도 않고(혹시 옛날에 했는지 모르겠지만) 그렇게 생각하지도 않습니다. 보안이라는 넓은 영역 중 악성코드만 남들보다 조금 더 아는 정도이죠. 전 보안에 대해 잘 모릅니다 -.-;;; 사실 내용도 좀 편집되었네요. 이 글도 인터넷 서핑용 VMWare 환경에서 쓰고 있습니다. 글 다 쓰면 회사 메일 확인하는 가상환경으로 넘어가 봐야겠네요. VMWare보다는 조금 불편하지만 VirtualBox 도 있습니다. 이건 무료라 제 맥에는..

바이러스블루틴(Virus Bulletin)에 맥에 백신 프로그램(anti-malware)을 설치해 두었는가 하는 질문이 올라왔습니다. (http://www.virusbtn.com) 저도 맥북 에어를 사용합니다만 아직 백신을 설치하지는 않아 No 를 선택했습니다. - 하지만, 저도 조만간 백신 프로그램을 설치할 예정입니다. 애플에서도 하루마다 악성코드 검사를 하는 형태로 바뀌었다고 바이러스블루틴 2011년 6월호에 실렸습니다. 맥용 허위백신 프로그램이 계속 등장하고 있어서 바뀐 정책으로 보입니다. 저도 어제 OSX를 업데이트했는데 아직은 맥용 악성코드가 많이 않아 애플 차원에서 대응이 가능합니다만 악성코드가 쏟아지면 이런 정책은 힘들지 않을까 싶네요. 아... 정말 안전한 세상이 없네요 TT 하지만, 여전..

2011년 5월 15일 제 생일에 YTN 보다가 보안에 대해 얘기하더군요. 인터넷 보안 '구멍' ... 해결책은 ?! 이라는 제목으로 현대캐피탈 해킹과 농협 전산망 장애를 언급하면서 무엇인 문제인가하는 내용이 나왔습니다. 저는 보안을 위한 투자 미비, 보안전문가 및 담당자 부족, 보안의식 부족 이런 얘기가 나올거라 생각했습니다. 그러다가, 문득 설마 액티브 X 얘기하는거 아닐까 했는데.. 헉... 정말 액티브 X 얘기를 하네요. - 국내 인터넷 보안 무엇이 문제인가? http://www.ytn.co.kr/_ln/0102_201105151413341980 오픈웹 등에서 국내 악성코드 발생 원인이 액티브 X 때문이라는 잘못된 주장을 했고 덕분에 많은 사람들이 그렇게 생각하고 있죠. 저도 국내 웹환경에서 액티..

2011년 2월 11일 안랩 컬럼에 올라간 글입니다. - 보안, 지금은 모두가 노력해야 할 때 http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=3&seq=17364&columnist=0&dir_group_dist=0&dir_code= 보안닷컴에도 글이 올라갔네요. http://www.boan.com/news/articleView.html?idxno=4039 ------- 처음 글을 쓰게 된 계기는 보안업체에 있으면서 업계 사람들, 국가 기관 사람들, 고객 등을 만나면서 서로 보안에 대한 생각이 조금씩 다르고 상대에게 바라는게 있더군요. 하지만, 어느 순간 보안이란건 어느 누군가만 해야 할 일이 아..

어느 순간부터 새해라고 계획을 세운다거나 하지는 않게되었습니다. 많은 사람들이 새해 첫 해를 보기 위해서 저에게는 맨날 뜨는 해인데 뭐하러 그 추운데 고생하나 싶은데 말이죠. - 해를 보는 사람들에게는 제가 이상하겠지만요. 그래도 인간이기에 올해는 무엇을 읽어볼까 고민했습니다. 매년 계획을 세우는 기초를 튼튼히하자 입니다. 그리고... 드라이버 샘플만 들어오면 많이 고전하는데... 그래서... 올해 읽어야 겠다는(단순히 읽어서는 안되겠죠.) 생각을 한건 바로... Windows Internals 제 5 판 ! 너무나 유명한 책이지만.. 사실 4판도 아직 다 못 읽었죠. 구매일을 보니 2010년 8월 6일이네요 ㅋ 올해는 이 책을 읽어야 겠습니다. 악성코드 분석을 위해서 이 책을 읽어두면 좋겠죠. 특히 1..

제목은.. 이래 저래 고민했는데.. 지금 보니 .. '악성코드의 유래를 찾아서'가 어떨가 싶네요. - 악성코드 용어의 기원을 찾아서 http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=3&seq=16811&columnist=0&dir_group_dist=0&dir_code= 개인적으로 역사에 관심이 많은 편인데 마침... 악성코드라는 표현을 누가 사용했는지 물어보는 글이 올라와서 관심있게 보다보니 20년 전에 처음으로 사용되었더군요. Virus Bulletin 에는 1992년 3월호에 실렸다는데 찾아보니 19페이지에 나오네요. 하지만, 실제하고 싶었던 건... 과거 안티스파이웨어 업체(지금은 대부분 ..