7월 말 인터넷 쇼핑몰 I사 해킹이 알려졌습니다.

언론에서는 APT 공격이며 따라서 막기 어려운 혹은 막을 수 없다고 보도 했습니다.

(심지어 APT 공격을 메일을 이용한 공격 이라는 등의 잘못 된 내용으로  보도 한 경우도 있습니다.)


- 인터파크, 해킹으로 고객정보 1030만건 유출… 미래부, 조사단 구성(종합)

http://biz.chosun.com/site/data/html_dir/2016/07/25/2016072502153.html 



- 인터파크, APT해킹에 1030만명 개인정보유출… '2차피해' 우려

http://mnb.moneys.news/mnbview.php?no=2016072618018023326



우선  APT 공격이 맞을까요 ?


APT 는 'Advanced persistent threat'로 '지능적 지속 위협' 정도로 번역할 수 있겠네요.


일단 ITWorld 의 기사를 참고하면 APT 공격의 기준이 제각각임을 알 수 있습니다.


- APT(Advanced Persistent Threat) - ITWorld 

http://www.itworld.co.kr/news/95741


우선 Advanced ... 지능적 측면에서 보겠습니다.
이번 공격을 보면 악성코드를 포함한 scr 파일을 보냈다고 합니다. 이건 이미 10 년 전 부터 흔히 사용되는 공격 방식으로 새로운 방식으로 보기는 어렵습니다. 물론 Advanced 가 꼭 기술적으로 뛰어나야 하고 새로워야 하는가 논란이 있을 수 있습니다. 첨부 파일 SCR 파일은 보안 정책에서 메일로 차단 할 수도 있고 메일 받는 사람이 실행 파일이라 함부러 열지 않을 수 있습니다. 이에 공격자는 아마도 동생 컴퓨터도 해킹 해 동생이 보낸 것처럼 가장했을 겁니다. 이 역시 사회공학기법으로 새로운건 아닙니다.


Persistent ... 지속성

얼마나 집요하게 공격했는지는 알 수 없습니다. 한번에 성공했을까요 ? 두 번 ? 세번 ? 어디 정도 해야지 지속적인 공격일까요 ?


개인적으로는 현재 APT 공격은 대부분 마케팅적 용어라는 생각이 들고 오히려 이런 공격을 표적공격(Targeted Attack)으로 봐야 할 듯 합니다.


어쩌다보니 APT 공격은 해킹 당한 업체에는 막을 수 없었다는 일종의 면제부가 되고 보안 업체들에게는 마치 새로운 위협인 것 처럼 홍보하고 제품 팔고 있는게 현실입니다.


APT 공격 정의를 다소 완화해도 악성코드를 이용한 APT 공격의 상당수는 과거 존재했던 방식과 크게 다르지 않습니다. 어렵지 않은 방식으로도 해킹이 가능하다면 공격자가 굳이 어렵게 공격할 필요는 없겠죠.


최근 랜섬웨어에 의한 피해가 증가하고 있습니다. 그렇다면 해당 기업들은 다른 악성코드 위협에도 똑같이 노출되었다고 볼 수 있습니다. 과거에는 악성코드에 감염되어도 눈에 띄는 증상이 없고 랜섬웨어는 바로 피해를 알 수 있기 때문에 피해가 더 크게 느껴질 수 있습니다.


아쉽게도 대부분의 기업은 APT 공격 같은 대단한(?) 공격이 아닌 일반적인 악성코드 공격에도 대부분 무너 질 수 밖에 없는 구조를 가지고 있습니다.


ps.


현실세계에서 APT와 비교할 수 있는 좋은 사례입니다.

원래 APT 용어와 비교하려면 이 정도 예상하지 못한 공격이어야 하지 않을까 합니다.



Posted by mstoned7

댓글을 달아 주세요


치후360 (Qihoo360)은 6월 중국을 목표로한 오션로터스(OceanLotus) 분석 보고서를 냈습니다

이어 보안 뉴스에 '중국도 몇 년씩 해킹을 당해왔다고, 진실 맞아?'란 기사가 뜹니다.



이는 Chinese ISP: China Is Victim Of Foreign State-Backed APT Group 의 번역 기사로 보입니다.

http://www.darkreading.com/vulnerabilities---threats/chinese-isp-china-is-victim-of-foreign-state-backed-apt-group/d/d-id/1320716


서방 언론의 러시아와 중국에 대한 신뢰가 바닥임을 여실히 보여주는 기사가 아닐까 합니다.


제 상식에서는 현재 세계 각국은 사이버첩보를 직접 혹은 지원 하는 것으로 추정되며 중국도 가해자임과 동시에 피해자일거라는 추정을 할 수 있습니다. 하지만, 기사를 보면 언론과 보안업체 직원들은 중국 보안 업체의 분석보고서도 반신반의 하는 것으로 보입니다. 이점에서는 중국에 대한 그들의 신뢰가 낮음을 알 수 있습니다.


비단 중국 뿐 아닙니다 예전에도 러시아 카스퍼스키랩 (Kasperskylab)의 설립자 유진 카스퍼스키(Eugene Kaspersky)가 러시아 정보부 사람들과 관련있는게 아닌가 하는 기사도 나왔습니다.


The Company Securing Your Internet Has Close Ties to Russian Spies 

http://www.bloomberg.com/news/articles/2015-03-19/cybersecurity-kaspersky-has-close-ties-to-russian-spies


2012년에도 Eugene Kaspersky를 세상에서 가장 위험한 사람으로 기사화 했습니다.

http://www.wired.com/2012/12/most-dangerous-people


물론 이런 점에는 중국 보안업체의 인증에서 부정 행위로 한몫 했습니다.

https://grahamcluley.com/2015/04/anti-virus-cheat


사이버공격이 정부 주도로 이뤄진다는 믿음 속에 국가에 속한 보안 업체들끼리도 의심을 받는 시대가 왔네요.

과연 대한민국은 ? 그리고 대한민국의 안랩은 어떻게 비춰질까요 ?

(관심없다 이러는가 아닐지...ㅋ)



Posted by mstoned7

댓글을 달아 주세요


외장하드를 알아보다 '바이러스 원천차단'과 같은 광고 문구가 있더군요.


바이러스 원천차단 ?

그런 기술이 어떻게 가능하지 ?

OS에서 지금 쓰려고 하는 자료가 악성코드(바이러스)인지 아닌지 어떨게 알지 ?!


이런 생각이 드네요.



읽어보니 '공인인증서 완벽 보안 관리 - 감염된 PC에 연결해도 바이러스 원천 차단'이라고 되어 있네요.

(이외에 바이러스 원천 차단에 대한 내용은 못 찾았습니다.)


아마도 외장하드에 저장된 공인인증서를 완벽 보호 한다는 의미 같습니다.

이건 공인인증서 보호이지 악성코드 원천 차단이라고 보기는 어렵다고 생각됩니다.


개인적으로는 악성코드에 감염된 상태에서 공인인증서를 보호하기는 어려울 것 같지만 제가 모르는 새로운 기술이 있을 수 있겠죠.

(암호화는 악성코드 예방에는 큰 도움이 안됩니다.)


제가 못 찾은 기능이나 기술이 있다면 댓글 부탁드립니다.




Posted by mstoned7

댓글을 달아 주세요

매일 반복되는 샘플 분석 중에는 어디서 본 듯한 샘플을 분석하기 보다 새로운 샘플 분석이 아무래도 더 재미있죠.


뭔가 이상한 샘플이 눈에 띄었습니다.

 

Pdb 정보에는 TroyaN, DayZHack와 같은 문자열이 존재해 의심하기 충분했습니다.





변형을 검색해보니 6개나 있더군요.


그리고, 군과 관련된 문자열, Bot, Zombie 등의 문자열이 나와서 더욱 확실해 졌습니다.




요걸로 페이퍼나 하나 쓸까하는 행복한(?) 상상도 끝...


IDA로 실제 코드를 봤을 때 키로깅에서 많이 사용되는 API가 보였지만 웬지 평범한(?) 백도어와는 달랐습니다.


이 샘플이 이상하다고 느낀 결정적인 사항은 d3d9.dll을 이용하는 코드였습니다.

문득 다이렉트X 3D 버전9 파일이 아닐까 하는 생각이 들더군요.



악성코드에서 웬 다이렉트 X를... ?!


몇가지 정황에서 이건 게임과 관련된게 아닐까하는 의심이 들었습니다.


인터넷 검색을 통해 DayZ라는 게임이 있네요. (....)




뭔가 새로운 악성코드라고 생각했는데 게임 봇이었다니…

약간의 허털감...



어릴 때부터 컴퓨터를 해왔고 게임을 즐겨 했지만 나이가 들면서 게임 할 시간이 없고 요즘 게임은 거의 하지 못해 게임을 잘몰라서 발생한 일입니다.

특히 악성코드와 게임 오토 프로그램 용어가 유사 (Hack, bot, zombie, Troyan ....)하고 입력 부분을 가로채는 기능 등이 존재해 발생하는 헤프닝이기도 합니다.



결론은 악성코드 분석가들이여 게임을 하자 !

(좀.. 이상하네요 ㅋ)




Posted by mstoned7

댓글을 달아 주세요

  1. Codetronik 2014.07.28 14:58  댓글주소  수정/삭제  댓글쓰기

    그래서 제가 보안을 더 잘하기 위해 최신 게임의 트렌드를 파악하고 있죠~!(라고 자기 합리화 중)



- 구글 선임 엔지니어 "안드로이드 보안 앱 까느니, 방탄 조끼 입고 침대에서 나서라"

http://techneedle.com/archives/17503


물론 구글 엔지니어가 "우리 제품 보안에 취약합니다."라고 말할 수는 없을 겁니다.

하지만, 현실을 제대로 보지 못하는 문제가 크네요.

(애써 외면하는 걸로 보이네요.)


현존하는 모바일 악성코드 대부분이 Android 기반입니다.

국내에서는 인터넷 뱅킹 탈취 악성코드가 문제가 심하지만 외국도 각종 사용자가 불편하게 느끼는 광고 앱, 백도어가 출몰하고 있습니다.


게다가 구글 앱을 통해서도 악성 앱이 배포된 사례가 있으니 앱 자체도 마음놓고 설치하기 어렵습니다.


물론 확률의 문제이긴 합니다.

하지만, 확률을 낮추는 환경을 만들고 나서 저런 얘기를 해야 하지 않을까 합니다.


마이크로소프트사가 보안 문제가 윈도우의 발목을 잡을 수 있다고 심각하게 생각한 것 처럼

구글도 계속 이 상태로 가면 안드로이드 보급의 발목을 잡을 수 있을 겁니다.


당장 저부터 보안 생각해서 스마트폰으로 갈아타면 안드로이드가 아닌 아이폰으로 바꾸려고 합니다.

(통신사까지 바꿔야하는 귀찮음이 있습니다만...)









Posted by mstoned7

댓글을 달아 주세요

  1. 벌새 2014.07.12 11:39 신고  댓글주소  수정/삭제  댓글쓰기

    아직 스마트폰이 아니신가 봅니다? 저도 그런데..ㅎ



2014년 2월 14일(금) 국회 헌정기념관에서 정보보호산업 육성과 인재양성을 목적으로 K·BoB 시큐리티 포럼 창립총회 및 기념세미나가 개최되었다고 합니다.


여기서 개인 컴퓨터로 주식거래를 하는 주식거래시스템(Home Trading System)에 대한 공격 시연이 있었습니다.


- 주식거래시스템 취약점 해킹시연 영상 (데일리시큐, 2014년 2월 14일)

http://www.dailysecu.com/news_view.php?article_id=6211







시연, 반응 그리고 언론 보도를 보면서 몇가지 생각이 들어서 정리해 봤습니다.



1. 악성코드 이용한 해킹 


* 악성코드를 이용한게 아니라고 합니다. 따라서 아래 내용은 이번 시연과 상관이 없습니다.


동영상을 보면  HTS 시스템에 악성코드를 감염시켜 해킹 한 걸로 보입니다.

그런데, 일반인 대상이라면 대전제를 설명해 주는게 어떨까하는 생각이 듭니다.


'악성코드에 감염된 시스템은 사용자가 할 수 있는 모든 일을 할 수 있다.  따라서 악성코드에 감염되지 않으면 이런 피해를 입지 않는다.'


데모에서 보여 준 내용도 사용자 시스템에 악성코드가 감염되지 않으면 발생하지 않습니다.

많은 악성코드를 이용한 해킹 데모에서는 이런 점을 얘기하지 않고 '봐 위험하지 ?'에만 초점을 맞추는게 아닌가하는 우려가 듭니다


관련 기술을 아는 사람들은 '저렇게 되는게 당연하지'라고 할 수 있지만 관련 기술을 모르는 일반인에게는 공포감을 줄 수 있습니다.



2. 높은 분들의 반응


또 한가지 이 시연을 본 높은 분들(!)의 반응입니다.


데일리시큐 길민권 대표님께서 잘 정리하셔서 캡쳐해 올립니다.





이론적으로 악성코드에 감염되면 인터넷 뱅킹, HTS 등 모두 위험합니다.

이건 관련 기술을 아는 사람이라면 다 예상할 수 있죠 

하지만, 그런 이론을 실제로 증명하는건 또 다른 문제입니다

그런 노력이 무료라고 생각하는건 반드시 고쳐져야 할 점이라고 생각합니다.


좀 더 안전한 세상을 위해서는 각자의 역할을 인정해야 하지 않을까 합니다.



공격자 역할을 하는 분들은 알려지지 않은 취약점아 공유하고 관련 업체, 기관은 거기에 따른 보상을 해야겠죠.




3. 언론 반응


언론에서 관련 기사가 나옵니다.


- 주식거래 시스템 HTS, 사이버테러에 악용된다면 ‘끔찍’(보안뉴스, 2014년 2월 14일)

http://www.boannews.com/media/view.asp?idx=39810


- 맘먹으면 돈도 인출 ... 증권사 HTS 해킹당한 사연은 ? (아주경제, 2014년 2월 14일)

http://www.ajunews.com/view/20140214162506899


- 주식거래용 HTS도 해킹에 무기력…"전 증권사 문제" (매일경제, 2014년 2월 15일)

http://news.mk.co.kr/newsRead.php?year=2014&no=242706



일부 기사 제목은 다소 자극적입니다.


악성코드 감염 후 주식거래 시스템에 대한 공격이기 때문에 사용자 컴퓨터에 악성코드 감염이 먼저 이뤄줘야 합니다.

어떻게보면 악성코드 감염과 감염 후 발생하는 일은 별개의 문제라고도 볼 수 있습니다.


다만 현재 상황은 사용자들이 너무나 쉽게 감염 될 수 있는 상황이긴 합니다. 

(제 컴퓨터 역시 100% 안전하다고 장담 할 수 없으니까요.)


냉소적(?) 시각을 가진 관련 업계 전상훈 이사님의 글로 마무리를 하겠습니다.




[추가]


발표자께서 자신의 심정(?)을 올렸습니다.


- 해킹을 시연하다

http://bananapayload.org/entry/%ED%95%B4%ED%82%B9%EC%9D%84-%EC%8B%9C%EC%97%B0%ED%95%98%EB%8B%A4






ps.


이런 시연이 있을 때마다 고생하신 관계자분들께 힘내세요라는 말을 하고 싶습니다.






Posted by mstoned7

댓글을 달아 주세요

  1. 2014.02.18 13:26  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

  2. 홍춘이 2014.07.15 04:44  댓글주소  수정/삭제  댓글쓰기

    우리는 민족중흥의 역사적인 사명을 띠고
    이땅에 태어 났다.

  3. 홍춘이 2014.07.16 00:50  댓글주소  수정/삭제  댓글쓰기

    우리는 민족중흥의 역사적인 사명을 띠고
    이땅에 태어 났다.


한컴오피스 시리얼넘버 노출…라이선스 관리 비상 (전자신문, 2013년 12월 23일자)

http://www.etnews.com/news/computing/security/2890271_1477.html


한번 확인해 봤습니다.


한컴 오피스 2014 홈 에디션을 구매하면 2014HancomDN_Home.exe를 다운로드 합니다.


2014HancomDN_Home.exe 실행하면 실제 설치 파일을 다운로드 할 수 있습니다.




제품 번호를 입력하면 다운로드 경로에 파일을 다운로드 합니다.



다운로드한 파일을 별도 보관하고 있다 생각나서 설치하려고 Install.exe를 실행해 봤습니다.





제품 번호 입력하려고 패키지 찾아 키를 가지고 있었는데 

어라 ?!

제품 번호가 자동으로 입력되어 있네요.





분명 어떤 파일이 보관되어 있을 듯해서 이래저래 찾아보니 설치 관련 파일에 제품 번호가 그대로 저장되어 있었습니다.



* 편리성과 위험성


제품번호는 제품 설치 할 때 꼭 필요하고 라이센스 문제 때문에 잃어버리거나 다른 사람에게 알려 줄 수 없습니다


이렇게 설치판에 제품 번호가 포함되어 있으면 설치할 때 별도의 제품번호를 입력하지 않아서 편리합니다.

하지만, 다음과 같은 문제가 발생 할 수 있습니다.


바로 상대적으로 쉬운 제품 번호 도용


악성코드나 누군가가 관련 파일만 열어보면 한글 2014 제품 번호를 알 수 있어 그 번호로 제품을 사용 할 수 있습니다.


제품번호를 꼭 파일에 보관해야 한다면 암호화 할 필요가 있어 보입니다.


기사도 났으니 한컴측에서도 수정 할 듯 합니다.





Posted by mstoned7

댓글을 달아 주세요

  1. 하늘빛 2014.08.28 22:07  댓글주소  수정/삭제  댓글쓰기

    아마 수정하지 않거나 수정에 긴 시일이 걸릴 겁니다.
    한컴은 개발자 위주의 기업이 아니라 마케팅 위주의 기업인 것 같습니다.
    한 5년 전 쯤 2007 버전의 PNG 삽입 처리 관련해서 버그리포팅을 한 적이 있었는데, 아무리 기다려도 안 고치더군요. 심지어 2010에도 그대로....

  2. 박요한 2015.01.02 20:44  댓글주소  수정/삭제  댓글쓰기

    저두 한글2014쓰는데 시디키좀주시면안될까요? ㅎ

  3. 땡이맘 2016.04.14 04:15  댓글주소  수정/삭제  댓글쓰기

    제 시리얼 넘버를 확인하고 싶은데 어떻게 해야 할까요?

  4. 돌멩 2017.10.17 10:43  댓글주소  수정/삭제  댓글쓰기

    안녕하세요.
    회사 내에서 쓰고 있는 한컴 씨리얼들 정리를 해야하는데 자리에 이것저것 막 섞여서 설치되어 있는 바람에 누가 어떤 씨리얼을 쓰고 있는지 모르고 있습니다.
    이번에 조사하게 되었는데 어떤 파일에서 시리얼키를 확인 할 수 있는 건가요?
    installerconfig.exe 라는 파일을 도저히 찾을수가 없습니다 ㅠㅠ
    도와주세요 ㅠㅠ

  5. 돌멩 2017.10.17 10:43  댓글주소  수정/삭제  댓글쓰기

    안녕하세요.
    회사 내에서 쓰고 있는 한컴 씨리얼들 정리를 해야하는데 자리에 이것저것 막 섞여서 설치되어 있는 바람에 누가 어떤 씨리얼을 쓰고 있는지 모르고 있습니다.
    이번에 조사하게 되었는데 어떤 파일에서 시리얼키를 확인 할 수 있는 건가요?
    installerconfig.exe 라는 파일을 도저히 찾을수가 없습니다 ㅠㅠ
    도와주세요 ㅠㅠ

    • mstoned7 2017.10.20 21:44 신고  댓글주소  수정/삭제

      한컴 오피스 2014의 경우 Install 폴더에 InstallerConfig.ini입니다. 가정용이라 기업용 버전에도 존재하는지는 모르겠네요.

  6. 돌멩 2017.10.17 10:43  댓글주소  수정/삭제  댓글쓰기

    안녕하세요.
    회사 내에서 쓰고 있는 한컴 씨리얼들 정리를 해야하는데 자리에 이것저것 막 섞여서 설치되어 있는 바람에 누가 어떤 씨리얼을 쓰고 있는지 모르고 있습니다.
    이번에 조사하게 되었는데 어떤 파일에서 시리얼키를 확인 할 수 있는 건가요?
    installerconfig.exe 라는 파일을 도저히 찾을수가 없습니다.
    도와주세요 ㅠㅠ

  7. 빠니니 2018.03.17 18:19  댓글주소  수정/삭제  댓글쓰기

    시리얼 넘버가 제품번호인가요??

    • mstoned7 2018.03.25 14:14 신고  댓글주소  수정/삭제

      네. 제품 설치할 때 사용 번호로 시리얼 넘버 혹은 제품 번호 등으로 부르고 있습니다. 옛날사람(..)이다보니 제품 번호라 안쓰고 시리얼 넘버라고 했네요 ㅋ


백신 회사에서 일하는 사람이라면 이런 고민(?)에 빠지게 됩니다.

"왜 우리 회사 제품은 진단을 잘못할까 ?"


그런데, 업체 사람들을 만나다보면 다들 똑같은 생각을 하더군요.

경쟁사는 잘하는데 자사는 못하는 것처럼 느낄 수 밖에 없는게 잘하는건 고객 항의(!)가 잘 안들어오겠죠.


건담 정보를 찾다가 종종 들어가본 엔하위키에서 백신 프로그램에 대한 평이 있더군요.

일반인이 얼마나 알겠어하는 생각으로 글을 봤는데...


역시 잉여력(?) !!


틀린 내용도 조금 있지만 잘 정리되어 있다.

(몇몇 부분은 업계에 있지 않으면 알기 힘든 내용도 있다는)


잘 알지 못했던 여러 제품의 장단점과 오진 사례에 대해서 잘 정리되어 있네요.


* 국내 제품 (회사 이름과 제품이 혼재)

- 에브리존 : http://mirror.enha.kr/wiki/%EC%97%90%EB%B8%8C%EB%A6%AC%EC%A1%B4


- 하우리 : http://mirror.enha.kr/wiki/%ED%95%98%EC%9A%B0%EB%A6%AC


- 네이버백신 : http://mirror.enha.kr/wiki/%EB%84%A4%EC%9D%B4%EB%B2%84%20%EB%B0%B1%EC%8B%A0


- nProtect : http://mirror.enha.kr/wiki/nProtect


- 알약 : http://mirror.enha.kr/wiki/%EC%95%8C%EC%95%BD%28%EC%9D%B4%EC%8A%A4%ED%8A%B8%EC%86%8C%ED%94%84%ED%8A%B8%29


- V3 : http://mirror.enha.kr/wiki/V3%28%ED%94%84%EB%A1%9C%EA%B7%B8%EB%9E%A8%29


- 바이러스 체이서 : http://mirror.enha.kr/wiki/%EB%B0%94%EC%9D%B4%EB%9F%AC%EC%8A%A4%EC%B2%B4%EC%9D%B4%EC%84%9C



* 외국 제품


- Avast : http://mirror.enha.kr/wiki/%EC%96%B4%EB%B2%A0%EC%8A%A4%ED%8A%B8


- AVG : http://mirror.enha.kr/wiki/AVG


- Avira : http://mirror.enha.kr/wiki/avira


- Panda : http://mirror.enha.kr/wiki/Panda%20Cloud%20Antivirus


- Kaspersky : http://mirror.enha.kr/wiki/%EC%B9%B4%EC%8A%A4%ED%8D%BC%EC%8A%A4%ED%82%A4


- 시만텍, 트렌드마이크로 등이 없다니...

  (시만텍은 노턴이라는 항목이 존재 http://mirror.enha.kr/wiki/%EB%85%B8%ED%84%B4)






Posted by mstoned7

댓글을 달아 주세요

  1. 2014.01.27 22:13  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

    • 하지 2014.01.27 22:31  댓글주소  수정/삭제

      요새...직구(해외직접구매)가 tv에도 나오고 난리인 것 같던데...
      (저야 돈도 없고 살 것도 없...)(아마존도 그루폰처럼 팔리는 건 아닌지...)
      .
      쿨캣님...직구 후기나 비교기...블로그 올리시면...
      방문객이나, 관련 댓글들...올라가지 않을까요? ^^;

    • mstoned7 2014.01.29 20:40 신고  댓글주소  수정/삭제

      자세한건 모릅니다. 각자 사정이 있겠죠.



2013년 10월 11일 여러 언론 매체를 통해서 다음과 같은 기사가 보도되었습니다.



 

- 운영체제 없는 '깡통PC' 잘못 구매했다가는… (조선일보, 2013년 10월 11일)

http://review.chosun.com/site/data/html_dir/2013/10/11/2013101103142.html?life


 

- 깡통PC 구입자, 100% 불법복제SW 사용한다 (머니투데이, 2013년 10월 11일)

http://news.mt.co.kr/mtview.php?no=2013101111273421827




운영체제가 없는 시스템을 구매하면 아무래도 불법복제 유혹이 커지니 불법복제 부분은 공감이 됩니다.


그런데, 갑자기 악성코드 감염이 나옵니다.


정품 소프트웨어 사용을 안하다보니 악성코드 감염 비율이 높다는 얘기인데 

불법 복제 OS다보니 윈도우 업데이트를 제대로 못했을 수 있고 불법 복제 설치된 프로그램을 통해 악성코드에 감염되었을 수도 있으니 그럴 수 있다라고 살짝 이해할 수 있습니다.


하.지.만...



PC 제조 브랜드별 악성코드 감염률 부분은 다소 황당합니다.




단순 감염률은 기사 읽은 사람들이 다음과 같이 잘못 이해 할 수 있습니다.


"도시바 컴퓨터가 악성코드에 감염 될 가능성이 높구나. 도시바 제품을 사면 안되겠네.", "삼성이 제일 안전하네 삼성 사야지" 


대부분의 악성코드(99.9999% ?)는 제조 브랜드별로 감염되지 않습니다.

특정 회사 제품의 악성코드 감염률이 높다면 사용층(연령, 성별 등)에 따른 영향이 크지 제품에 따란 영향력은 적습니다.


기사에서 PC제조 브랜드별로 악성코드 감염률을 공개한건 그릇된 인식을 심어 줄 수 있습니다.




Posted by mstoned7

댓글을 달아 주세요

  1. 벌새 2013.10.13 20:42 신고  댓글주소  수정/삭제  댓글쓰기

    아마 도시바 브랜드 제품이 제일 잘 팔렸나보죠.ㅎ



2013년 6월 11일(화) KBS 시사기획 창에서 '해킹... 금융에서 안보까지'라는 주제로 방송이 있었습니다.




http://news.kbs.co.kr/news/NewsView.do?SEARCH_PAGE_NO=&SEARCH_NEWS_CODE=2673391


약속이 있어 늦게 들어와서 당일에는 빨리 보기로 대충 봤죠.

다음날 페이스북에 보안 관련된 일을 하는 사람들의 평이 꼭 좋은건 아닙니다.









* 언론의 문제



기본적으로 언론의 순 기능에 대해서는 잘 생각하고 있습니다.

하지만, 언론의 부정적인 부분도 분명히 있죠.


가장 큰 문제는 어떤 사안에 대해서 취재하는 기자들은 잘 모른다는 점입니다. 

그러다보면 잘못된 내용이나 그점을 이용하려는 세력(?)에 의해 이용 당할 수 있습니다. 그런데, 문제는 기자들은 그 점을 잘 인정하지 않습니다.


인터뷰만 해도 상당수 기자들은 해당 내용의 전문가에게 의견을 들이려는게 아니라 이미 자신이 생각한 말을 듣기 위해 그 사람을 이용(?) 합니다. 저같은 경우도 언론사와 인터뷰하다보면 저는 그렇게 생각안하는데 대본에 해당 말을 해주기를 바라는 경우가 종종 있어 난감한 경우가 있었습니다.


물론 모든 기자들이 이러는건 아니죠. (피해가기 ~~~)

따라서, 방송을 볼 때는 그점을 생각하고 봐야 합니다.




* 해킹... 금육에서 안보까지


방송 하기 전부터 우려스러운 의견이 많았습니다. 과거 이런 방송의 일반적인 패턴이 있었죠.

이 프로그램도 비슷한데요.


긍정적인 면이라면 보안에 대한 경각심을 줄 수 있습니다.

부정적 내용이라면 지나치게 사람들에게 겁을 주거나 오해 할 수 있거나 혹은 잘못된 내용이 나갈 수 있습니다




* 아쉬움 1 ... 인터넷 뱅킹 해킹


인터넷 뱅킹 해킹은 언론의 단골 소재입니다.


보통 사용자 컴퓨터에 악성코드를 감염 시키고 테스트를 하죠.


다른 분들이 지적한것 처럼 일단 이 방식은 은행의 인터넷뱅킹 시스템이 이 해킹 당한게 아니라 사용자 컴퓨터가 악성 코드에 감염된 겁니다. 예전부터 가장 많은 비판을 받는 부분이죠.

그래도 여기서는 인터넷 쇼핑몰의 액티브X를 통해 악성코드를 감염시키네요.


이 방식은 피해자가 악성코드게 감염되지 않으면 할 수 없는 해킹 방식입니다.

이 얘기를 빼고 마치 인터넷 뱅킹이 보안에 취약하다는 것 처럼 얘기하는건 문제 있겠죠.


정리하자면 이 시연의 문제점은 크게 두가지 입니다.


1. 인터넷 뱅킹 해킹이라고 하지만 사용자 컴퓨터 해킹임

  (은행이 해킹 당한게 아님. 이부분에 대한 언급이 없음)


  기술적으로 사용자가 컴퓨터에서 할 수 있는건 프로그램에서도 그대로 할 수 있기 있습니다. 


2. 해당 쇼핑몰에 방문한 사람들만 악성코드에 감염 됩니다.

   따라서 피해자는 매우 한정적일 수 밖에 없습니다.


   물론 인터넷뱅킹 접속 했을 때 악성코드에 감염되거나 포털 방문만으로 악성코드에 감염되는걸 보여줬으면 더 

대박이었겠죠. (하지만.. 이건 사실 범법행위가 시연에서 보여주기 힘들겠죠.)


그냥 인터넷 뱅킹이 위험하다라고만 하지 말고 이런 부분에 대해서도 언급했으면 더 좋지 않았을까 합니다.

그러면 사람들이 인터넷 뱅킹이 위험하구나하는 생각이 아니라 "내 컴퓨터가 악성코드가 감염되면 위험하구나. 어떻게 감염 안되도록 할 수 있을까 ?"라고 생각하지 않을까요 ?



* 아쉬움 2 ... 최악의 상황을 가정


최악의 상황을 가정해 사이버공격으로 국내가 마비되는 모습을 보여줬습니다.

물론 이런 상황이 발생 할 수는 있지만 이런 일이 발생하기 위해서는 한번에 이뤄지는게 아니라 지속적인 공격 시도가 필요합니다.


언론을 통해서도 얘기되고 있지만 어떤 사이버 공격이 발생하는데는 제법 긴 시간이 걸립니다


이론적으로 이런 방송에서 언급한 대규모 공격도 가능하지만 더 긴 시간이 필요하고 징조도 많이 보일 겁니다. 


이런 부분도 같이 얘기했으면 합니다



* 아쉬움 3 ... 특정 업체 주장


특정 업체에 대한 얘기다보니 여기서 자세하게 반박(?)하는건 기는 힘든데요.

다만 확실한건 특정 업체의 주장일 뿐이며 사실 관계가 확인되지 않았습니다. 홍보목적도 다분히 있을테구요.


현재 발생하고 있는 공격은 특정 업체의 보안시스템만 도입한다고해서 해결 될 수 없습니다.

특정 업체만 해결 할 수 있는 문제였다면 이미 특정 업체가 보안시장을 다 차지했겠죠.

하지만, 현실은 그렇지 않습니다.



* 아쉬움 4 ... 백신에 대한 오해 문제


많은 사람들(심지어 보안일을 하는 사람들 조차!)이 백신이 만능이라고 생각합니다.


안랩의 '백신에 대한 오해와 진실'의 말을 인용하겠습니다.


http://www.ahnlab.com/company/site/pr/comPressRelease/comPressReleaseView.do



 '기본적으로 알아야 할 사실은 백신은 알려지지 않은 악성코드[unknown]에 대한 선제적 예방[Proactive] 솔루션이 아닌 ‘알려진 악성코드’에 대한 대응적[reactive]방어책이라는 것입니다.'



공격자의 공격을 백신으로만 막는다는건 잘못된 생각입니다.



* 아쉬움 5 ... 무료 백신과 국내 보안 경쟁력


보면서 제일 황당한 내용이었습니다.

기본적으로 해킹과 백신에 대한 관계를 몰라서 발생한 부분이라고 생각합니다.


아쉽게도 관계 업체에서 일하다보니 제가 언급할 만한 사항은 아닌 듯해 다른 분께서 언급해 주실거라 생각합니다.


제 예상에는 인터뷰한 하우리 분도 자신의 답변이 저런식으로 나갈지는 예상 못했을 듯 합니다.

(편집의 마술이 있으니까요.)



* 마무리


잘나가다 결론 부분이 이상하다는 얘기를 많이 합니다.


막는 방법이 망분리로 나오는데요.

망분리만으로는 막을 수 없죠. 앞에서 얘기한 Stuxnet이 망분리되어 있는 시스템에 공격한 거니까요.


다시 한번 얘기하자면 현재의 보안사고는 특정 솔루션 도입만으로는 막을 수 없습니다.


그리고 자꾸 500명, 500명이라는데 이 추정 근거도 의문이 듭니다만 단순히 보안인력 양성한다고해서 문제가 해결될까요 ?


보안을 의료와 비교해 보겠습니다.


아무리 훌륭한 의사가 많고 의료시스템이 잘되어 있다고 해도 환자가 찾아오지 않으면 어떻게 될까요 ?

환자가 병원을 찾아가지 않는데 마치 "의사들은 많은데 왜 못 막아 ?"라는 얘기와 같습니다 

시간이 지나 보안인력이 대규모 양상되었을 때도 지금과 같은 문제가 발생할 가능성이 높습니다.


의사들만 양상할게 아니라 사람들도 질병에 걸리지 않기 위해 노력을 해야겠죠. 


예방을 위해 노력한다고 해서 병에 안걸리는건 아닙니다.  이때 필요한건 뭘까요 ? 바로 조기 검진입니다

(대충대충 되는 경우도 많습니다만.. 조기검진을 통해 암 등을 발견해 생존율이 올라가는 부분도 분명 있겠죠.) 



다시 한번 결론을 말씀드리자면 현재 사이버보안은 보안인력만 양상한다고 해서 해결 할 수 없습니다.

보안 업무만 하는(상당수가 다른 업무도 같이하죠) 자체 보안팀은 기본으로 구성원 모두가 보안에 대해 신경쓰는 문화를 가지고 이상 징조가 있을 때는 전문가에게 조언을 구하는 형태의 시스템으로 가야합니다.


이렇게 되어도 질병을 100% 막는건 불가능 하듯 보안사고도 100% 막을 수는 없다는 생각을 가지고 다음 단계로 대비해야 겠죠.





Posted by mstoned7

댓글을 달아 주세요

  1. ㅎㅎ 2013.06.17 17:47  댓글주소  수정/삭제  댓글쓰기

    그런데 인터넷뱅킹/개인PC 해킹이든 단어 쓰임이 잘못되었기는했어도.
    전체적으로 볼때는 결국 인터넷뱅킹의 보안시스템이 형편없다는건 뭐 잘표현은했더군요.
    그도그렇고 농협도 서버가 두번이나 뻥뻥 뚫려대는데.
    개인PC해킹이다 뭐다 따지는게 뭐 그리 크게 의미가 없네요.
    그리고 저런 식으로 해킹당해서 인출당한사례가 수년전부터 있었어요.

    지금도 저런 자잘한 딴지거는 순간에도 많은 사람들이 예금이 빠져나가는 피해가 생겨나고 있지요.
    기존에 개인사용자들의 v3같은 방어솔루션은 무용지물인건 뭐 알만한 사람들은 어차피 다들 아실테고.

    전체적으로 본다면 저는 KBS에 손을 들어주고 싶네요.

    지금 상황이 아주 심각하죠. 아주 뽕을 뽑으려고 주말/평일 가리지 않고 신종악성코드를 뿌려대는데.
    피해자가 지금도 계속 발생하고 있고. 은행은 책임지지 않고. ㅎㅎㅎ


    • mstoned7 2013.06.17 20:56 신고  댓글주소  수정/삭제

      좋은 지적입니다. 해당 프로그램은 사이버 보안에 대한 전반적인 관심 촉구 목적으로는 괜찮다고 생각합니다. 그래서 아쉬움이라고 표현했죠. 또 의도가 좋다고해도 오해를 일으킬 수 있거나 잘못된 정보에 대해서는 언급이 필요하다고 생각합니다.

      그리고 이제는 모두 보안에 대해 고민 해야겠죠.

  2. K1SOLO 2013.07.12 18:01  댓글주소  수정/삭제  댓글쓰기

    인터넷뱅킹의 보안취약구간/공격대상을 서비스 이용자인 사용자의 pc로 보고 보도한 내용입니다.
    이미 알려지다시피 백신으로 다 막을수는 없구요....최대 90~95% 수준..
    방송된것은 요즘 사용자 pc해킹 사고유형으로 사용자의 화면을 실시간 원격으로 해킹하는 방법이구요...
    방송에서 나왔던 가상키보드도 과거 물리적 키보드의 보안 헛점에 대한 방비책으로 금융권에서 도입한것이구요 ... 보도한 지금의 해킹공격에는 방어가 어려운게 맞는말이죠..

    근데 방송중 나온 내용을 보면 인터넷뱅킹 시스템의 내부공격까지 된것처럼 애매하게 얘기한 부분이 있는데...이 부분은 방송사에서 내용을 정정보도해야 할 것 같네요...서비스 이용자가 공격을 당한것이지 은행내부 시스템이 해킹 당한것처럼 오해할 소지가 있네요....ㅉㅉ

    어쨌든 인터넷뱅킹을 이용하는 개인사용자가 보다 안전하게 사용할 수 있는 환경이 필요한것은 사실입니다. 악성코드에 감염되는게 개인사용자 문제라고들 하고 개인 PC관리에 대한 방법을 많이들 얘기하는데...
    과연 저희 나라 국민중 얼마나 많은 사람들이 그 부분을 이해하고 실핼할 수 있을까요...
    메일이나, 쇼핑몰,유튜브 동영상 한번만 잘못봐도 감염이 되고....악성코드 소스까지 인터넷에 유포되어 돌아다니는 세상인데요...인터넷뱅킹전용PC를 따로 놓고 쓰란말인가요.
    방송사도 사용자가 감염이 되도 최대한 안전하게 할 수 있는 방법에 대해 찾아서 보도해야지요..



  3. 2013.07.29 11:19  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

    • mstoned7 2013.08.05 08:31 신고  댓글주소  수정/삭제

      정보보안 영역은 매우 넓습니다. 그중에 어떤 분야를 할지 먼저 결정하셔야 합니다.보통 TV나 언론에서 나오는 분야는 이른바 해킹쪽인데요. 그분야를 하시려면 먼저 리버스엔지니어링을 알아야 합니다.