세상에서 가장 안전한 이름, 안랩

최근 인터넷 익스플로러8(IE8) 버전에서 제로데이 취약점이 보고됐다. 본 취약점에 대한 보안패치가 아직 제공되고 있지 않은 만큼 사용자들의 각별한 주의가 필요하다.

마이크로소프트(MS)는 메모리 충돌로 인해 원격코드 실행이 가능한 취약점이 보고돼 조사를 진행 중이라며, MS 보안 권고(2847140) ‘인터넷 익스플로러의 취약점으로 인한 원격 코드 실행 문제점’을 참고해 권장 조치를 취하라고 밝혔다.

해당 악성코드는 IE8에만 영향을 줄 뿐 IE6, IE7, IE9, IE10은 영향을 받지 않는다.

공격자는 해당 취약점을 악용해 사용자 권한을 획득하거나, 메모리에 손상을 입힐 수 있고, 공격자가 특수하게 조작해 호스팅한 웹을 사용자에게 노출될 수 있도록 유도할 수 있다.

해당 취약점으로 인한 피해를 예방하기 위해,

1. 인터넷 익스플로러9 버전으로 업그레이드  

2. 보안패치가 발표되기 전까지는 인터넷 익스플로러 스크립트 기능 해제

3. 인터넷 익스플로러 외, 크롬(Chrome)이나 파이어폭스(Firefox) 등의 브라우저 이용

4. Microsoft Fix it 솔루션 50992, ‘CVE-2013-1347 MSHTML Shim Workaround’ 적용

등의 조치를 취해 PC를 안전하게 사용하는 것이 좋다.

 해당 취약점에 대한 자세한 내용과 권장 조치는 MS 보안 공지를 참조하면 된다.<Ahn>

[관련 MS 관련 공지 자세히 보기]

- 해킹된 애드웨어 배포 사이트 통해 시스템 복원기술을 악용한 악성코드 유포

- 애드웨어 설치 후 온라인게임핵, DDoS, 롤백기능 악성코드 등 2차 감염

- 전용백신을 통한 치료 및 사용자 주의가 필요

 

글로벌 보안 기업 안랩(대표 김홍선, www.ahnlab.com)은 최근 PC에 설치된 악성코드를 치료한

후 시스템을 재부팅 하고 나면 다시 감염된 악성코드가 복원되는 좀비와 같은 악성코드가 발견되어 사용자의 주의를 당부했다.

 

최근 발견된 악성코드는 지금까지 알려지지 않았던 형태의 악성코드로 시스템을 복원 시키는 기능을 가진 일명 롤백(roll back) 증상을 가진 악성코드이다.

 

이번 악성코드는 애드웨어와 같은 불필요한 프로그램의 배포사이트가 해킹 당하면서 유포됐다. 사용자가 애드웨어를 설치하게 되면 관련 배포 사이트로 넘어가는데 이때 사용자의 PC에 악성코드가 설치된다. 이렇게 설치된 악성코드는 공통적으로 다시 사용자의 PC에 온라인게임핵, 디도스(DDoS)공격에 사용되는 악성코드, 롤백 (시스템 복원 기능) 기능을 가진 악성코드를 2차로 감염시킨다.

 

롤백 (시스템 복원) 기능을 가진 악성코드는 사용자 PC의 감염 시점 정보를 가지고 복원하는 기능이 있어 사용자들이 백신프로그램으로 치료하면 그 시점에서는 치료가 되지만 PC를 재부팅하면 악성코드 감염시점으로 복구되어 다운로드된 모든 악성코드가 살아나는 것이다

때문에 해당 악성코드의 치료를 위해서는 전용백신으로 진단 및 치료가 필요하다. 이에 안랩은 전용백신을 제작해 무료로 배포하고 있다. 특히, 이번 악성코드는 시스템 복원기능이 있어 아래 사용방법대로 주의해서 치료해야 한다.

*전용백신 사용방법 다운로드

http://provide.ahnlab.com/v3sos/Lapka Rootkit 전용백신 사용법.pdf

 

안랩 시큐리티대응센터 이호웅 센터장은 “ 이번에 발견된 악성코드는 시스템 복원기술을 악용한 사례로 악성코드의 형태가 다양해지고 복잡해지고 있다. 롤백 기능을 가진 악성코드에 감염 시 사용자들은 반드시 사용 가이드에 따라 전용백신을 설치해 실행해야 한다. 또한 사용자들은 가급적 불필요한 소프트웨어 설치를 피하고, 소프트웨어의 보안 업데이트를 주기적으로 해야한다. 백신을 최신 버전으로 유지하는 것도 필수적이다.”라고 말했다. <Ahn>

- 가젯 리뷰(Gadget Review)로부터 5점 만점에 4점으로 ‘Great’ 등급 획득

- 향후 미국 개인용 PC 보안 시장 확장에 더욱 주력할 예정

 

글로벌 정보보안 기업 안랩(대표 김홍선, www.ahnlab.com)의 개인 PC용 보안 솔루션 V3 클릭(V3 Click)이 최근 미국의 IT분야 전문 리뷰사이트인 가젯 리뷰(Gadget Review, http://www.gadgetreview.com/2013/05/ahnlab-v3-click-review.html)에서 별 5개중 4개로 ‘Great’ 등급을 받으며 좋은 평가를 이끌어냈다.

 

가젯 리뷰(Gadget Review)는 2002년부터 현재까지 주로 최신 IT 및 전자제품 리뷰와 업계 동향 등의 컨텐츠를 제공하는 미국 내 공신력 있는 리뷰 전문 온라인 매체다.

 

이번 리뷰에서 안랩의 V3 클릭은 제품의 참신성과 편의성, 용이한 사용방식을 높이 평가 받아 ‘Great’ 등급을 받았다.

 

V3클릭은 USB 기반 소형 하드웨어에 백신 소프트웨어를 탑재한 형태의 신개념 보안 솔루션이다. V3 클릭을 PC의 USB 포트에 연결하면 자동으로 작동해 컴퓨터 내 악성코드 침투 상황을 자체 색상 변화를 통해 실시간으로 알려주고 내장된 백신 프로그램으로 치료까지 가능하다. 또한 작고 휴대가 가능해 언제 어디서든 바이러스 및 악성코드, 인터넷 위협 요인으로부터 PC를 보호할 수 있다. PC의 종류나 복잡한 인증 및 설치 과정 없이 즉각적인 사용이 가능해 편의성이 높다.

 

안랩은 2012년 10월 미국 1위 사무용품 업체인 오피스맥스(Office Max)를 통해 V3 클릭을 출시한 데 이어 미국 내 대형 전자제품 유통업체인 프라이즈 일렉트로닉스(Fry’s Electronics), 컴퓨터 및 소프트웨어 전문 소매점인 뉴에그(New Egg)와 마이크로센터(Micro Center)에 출시하여 미국 개인PC 보안 시장 본격 공략에 나섰다.

 

안랩 김홍선 대표는 “미국 소프트웨어 시장은 진입 장벽이 높아 V3클릭과 같은 특화되고 차별화된 전략제품을 중심으로 이루어져야 한다. 안랩은 향후에도 미국 지역에 특화된 보안 솔루션 개발과 맞춤형 전략으로 향후 미국 사업을 활발히 전개해 나갈 예정이다”고 말했다.

 

한편, V3클릭은 올해 2월 이미 국내 최초로 세계적 권위의 ‘인포 시큐리티 글로벌 엑설런스 어워드(Global Excellence Awards)’에서 ‘최고의 백신(Anti-Malware, Anti-Spam or Anti-Virus)’ 부문을 수상한 바 있다. <Ahn>

지난 4월 16일 AP통신(Associated Press)의 트위터 계정 해킹은 최근 발생한 소셜 미디어 해킹 사건 가운데 가장 이목을 끄는 사건이었다.
 
AP통신에 의하면, 자사의 트위터 계정¹이 피싱 공격을 받아 해커가 임의로 작성한 '속보: 백악관에서 두 건의 폭발사고 발생해 오바마 대통령이 부상당함'이라는 트윗이 게재된 사건이 발생했다. 미국 동부시간 16일 오후 1시 직후에 보내진 이 트윗은 트위터 사용자들을 공포로 몰아넣었고, 주식시장에선 다우존스 산업평균지수(Dow Jones Industrial Average)를 143포인트나 떨어지게 만들었다.

 
미국 다트머스 대학(Dartmouth College) 터크 스쿨(Tuck School) 부속 디지털 전략 센터(Center for Digital Strategies) 소장인 에릭 존슨 교수는 이런 유형의 해킹이 너무나 흔해졌다고 말했다. 올해에 들어서만, NPR, BBC, 버거킹(Burger King), 지프(Jeep) 등의 소셜 미디어 계정이 해킹 당했다.
 
존슨은 "피싱은 트위터로 침투해 그 사용권을 훔치는 가장 흔한 방법이다. 극도로 간단한 해킹이면서도 엄청난 파괴력을 지니고 있다"며, "세상을 혼란에 빠트리는데 단지 간단한 해킹 한번이면 된다"고 말했다.
 
만약 자신이나 자신의 기업이 소셜 미디어 해킹의 피해자라면, 그 상황에서 잘 헤쳐 나오고 이런 상황이 다시 재발하지 않게 도와줄 네 가지 방안을 여기 소개한다.
 
1. 자신의 계정 되찾기

 

존슨은 "트위터 계정을 해킹 당했다면, 우선 비밀번호부터 즉각적으로 바꿔야 한다"고 말했다. 화면 우측 상단의 톱니바퀴 아이콘을 클릭하고 설정(Setting)을 선택한 후, 왼편 메뉴에서 '비밀번호(Password)'를 클릭하고 새로운 비밀번호를 입력하면 된다.
 
트위터 측에서 해킹을 의심해 자신의 계정을 이용 정지시켰다면, support.twitter.com/forms/hacked를 방문해 운영권을 되찾을 수 있도록 정보를 입력해야 한다.
 
존슨은 자신의 트위터 계정에 접속권을 가진 서드파티 앱이 트위터 계정 해킹의 원인이 될 수 있기 때문에, 그 목록으로 가서 불필요한 애플리케이션을 제거할 것을 추천했다.
 
어느 앱이 자신의 계정에 접속권을 가지고 있는지 확인하려면, 설정 페이지로 이동해 왼편의 메뉴에서 '앱(Apps)'를 클릭하면 된다. 자신이 잘 모르거나 더 이상 사용하지 않는 애플리케이션은 접속권을 취소하라.
 
2. 포스트를 삭제하고, 팔로워들에게 이를 공지하라

계정의 운영권을 되찾아왔으면, 해킹으로 보내진 포스트를 삭제해야 한다. 자신의 프로필을 훑어보면서 문제의 트윗을 찾아 '삭제(Delete)'을 클릭하면 된다.
 
존슨은 이 상황에 영향받은 팔로워나 친구들에게 무슨 일이 일어났는지를 알리고, 문제가 해결됐음을 알리는 것 또한 중요하다고 설명했다.
 
또한 "시간이 관건이다. 자신이 사용할 수 있는 모든 채널을 동원해 이 문제를 확실히 알려야 한다"고 말했다. "자신의 웹사이트 홈페이지에 메시지를 올리거나, 공고 트윗을 보내고, 페이스북을 비롯한 여러 소셜 미디어 사이트에 포스트해야 한다. 이는 그들이 문제에 대해 알고 더 큰 피해를 줄이기 위함"이라고.
 
3. 자신의 소셜 미디어 사용법을 다시 검토하라

소셜 미디어는 친숙하면서도 간편하기 때문에, 계정을 관리 유지하는 사람이 잘못된 보안조치를 취할 수 있다. 이는 사건이 일어난 후, 혹은 평상시 어느 때라도 자신의 소셜 미디어 사이트의 사용법과 그 절차를 검토하고 수정해야 하는 이유다.
 
존슨은 "소셜 미디어 사용 절차를 설정하는 것은 소셜 미디어의 원래 개념인 미가공의 투명성과는 반대되지만, 회사를 대표하는 계정이라면 어떤 절차를 거치는지 분명 생각해 볼 필요가 있다"고 말했다.
 
또한 자사의 최고 보안 책임자나 최고 프라이버시 책임자를 검토과정에 참여시켜 과정을 확인하고 어느 부분을 향상해야 하는지 찾아보라고 제안해야 한다.
 
예를 들어, 이런 트윗에 사람들이 연계되어 있기 때문에, 해커가 트윗을 보내는 사람의 이메일 주소 등 누가 트윗을 작성하는지 알아낼 수 있다면, 피싱하는 방법도 알아낼 수 있게 된다.
 
4. 온라인 보안을 전파하고 가르쳐라

존슨은 "기업 소셜 미디어에 관여하는 모든 사람들은 계정의 효과적 활용뿐 아니라 보안 위험과 이를 감지하는 방법에 대해서도 훈련받아야 한다"고 말했다. 자신이 시간을 들여 자신이 무엇을 찾는지 알게 된다면 피싱 공격은 파악하기 어렵지 않다. 이런 과정은 훈련으로 개선할 수 있다.@ <Ahn>

* 이 글의 원문은 IDG Korea에서 볼 수 있습니다.

IDG Korea
CSO, PC World, Computer World, CIO, Macworld 등으로 잘 알려진 IDG는 90여 개국에서 180여 미디어를 발행하는 글로벌 테크놀로지 미디어로, 전 세계에 1억 4000만 명의 독자를 대상으로 미디어, 리서치, 컨퍼런스, 이벤트 등 다양한 테크놀로지 관련 서비스를 제공하고 있습니다.
http://www.idg.co.kr/event/whitepaper/whitepaper_list.jsp?input_tag=AH000

‘소스포지 (www.sourceforge.net)’는 사용자가 작성한 프로그램의 소스코드를 저장하고, 다른 사람들과 쉽게 공유하도록 웹 기반의 저장공간을 제공하는 소프트웨어 개발 및 배포 사이트다.

최근 국내 게임 관련 언론 사이트를 통해 유포된 악성코드가 해당 사이트를 경유지로 사용했음이 확인됐다. 소스포지에 소스코드가 아닌 악성코드를 업로드해 유포하는 사례가 종종 발생하고 있다는 점에서 사용자들의 주의가 요구된다.

해당 악성코드는 해킹된 게임 관련 언론사 사이트에 접속한 PC에 notice.html을 다운로드하도록 돼 있다. 사용자의 PC에 Java 취약점(CVE-2013-0422)이 존재할 경우 notice.html이 동작해 내부에 포함된 실행파일을 PC에 생성한다.

[그림 1] notice.html 다운로드

[그림 1]에서 보이는 코드에 의해서 사용자의 PC에 다운로드된 notice.html은 취약점을 가진 applet.jar(CVE-2013-0422)와 HEX 데이터로 구성된 파일을 실행시킨다.

[그림 2] notice.html에 포함된 실행 파일

notice.html이 생성한 실행파일의 내부코드를 살펴보면, 암호화된 것으로 보이는 문자열들이 존재한다. 해당 코드들은 [그림 3]과 같이 복호화 루틴을 거쳐서 복호화된다.

[그림 3] 복호화 루틴

암호화된 문자열 -> 복호화된 문자열 "073110116101114110101116082101097100070105108101" → InternetReadFile() "1041161161121150580470471151111171140991011021111141031010461101011160471171151011141150471101 01119045119111114108100" → https://sourceforge.net/users/******world

복호화된 문자열 https://sourceforge.net/users/******world에 접속해 보니 [그림 4]와 같이 계정만 생성된 상태였다.

해당 악성코드를 좀 더 분석해 보면, https://sourceforge.net/users/******world의 웹 페이지 내용을 다운로드한 뒤 [그림 5]처럼 메모리에 저장하는 것을 볼 수 있다.

[그림 4] https://sourceforge.net/users/******world

[그림 5] 메모리에 저장된 웹 페이지

악성코드는 메모리에 저장된 웹 페이지에서 특정 부분을 추출해 복호화(www.*******sic.com/x.gif) 한다.

지금까지의 내용을 정리하면 다음과 같다.

notice.html에 의해서 생성된 악성코드가 실행된 뒤 접속한 [그림 4]의 사이트는 추가로 악성코드를 다운로드하기 위한 주소를 title태그에 암호화해 놓는다. 그런 다음 이 암호화된 URL을 추출 및 복호화하고 추가로 악성코드(x.gif)를 다운로드한다.

 
다운로드된 x.gif 역시 암호화되어 있으나 복호화하면 [그림 6]과 같이 실행파일임을 알 수 있다. 복호화된 x.gif는 정상 시스템 파일을 교체하고, 특정 온라인 게임 사용자의 계정 정보를 탈취할 목적을 갖고 있다.

[그림 6] 복호화된 x.gif

해당 악성코드는 V3 제품에서는 진단 및 치료가 가능하다.@ <Ahn>

* 이 글의 원문은 안랩홈페이지에서 확인하실 수 있습니다.  

PC주치의와 함께하는 놓치면 아까운 이벤트!!

 
따뜻함이 피어나는 5월, 안랩에서 PC주치의와 함께하는 이벤트를 야심 차게 준비했습니다!

PC주치의와 함께라면 PC문제 이제 두렵지 않아요~~

지금 PC주치의 제품도 둘러보고 경품도 받고!  PC문제에 대한 가족사연을 올려주시는 분들께도 추첨을 통해 경품을 드립니다.
이런 기회..나만 놓친다면… 화.가.난.다!!!!

주변 지인들도 기회 놓치지 않도록 공유하기나 좋아요 한번씩 눌러주세요^^

그럼 지금 바로 안랩몰로 고고!
푸짐한 경품들과 함께 여러분을 기다리고 있을게요 ^ㅁ^

  

▶이벤트 기간: 5/9~6/16

▶이벤트 대상 및 내용
[Event 1: 구매자 대상 경품 증정]
▶대상: 안랩몰에서 개인용 PC주치의 포함 제품 구매 고객(PC주치의 단품도 포함)
  안랩 외장하드, 안랩 PC주치의 컴퓨터를 구입 후 PC주치의 제품을 기간 내 등록한 고객
▶경품: 기간 내 총 3회 추첨하여 상품권, USB 공기청정기 등 증정 

[Event 2: 우리 가족 사연 등록]
▶대상: 안랩닷컴 회원이면 누구나

▶내용: PC문제와 관련해서 가족 구성원이나 내가 겪은 스토리

▶경품: 매주 3분을 추첨하여 PC주치의 1회권 증정

이벤트 페이지 바로가기 http://shop.ahnlab.com/jump/jsp/fp/event/2013/05_02/index.jsp 

세계적인 보안 화두로 떠오른 APT(Advanced Persistent Threat, 지능형 지속 보안 위협)와 잇따른 DDoS(Distributed Denial of Service, 분산 서비스 거부) 공격으로 유럽 기업들은 현재 몸살을 앓고 있다.

안랩은 지난 4월 23일부터 25일까지 영국 런던에서 개최된 유럽 최대의 정보보안 컨퍼런스인 ‘인포시큐리티 유럽 2013(InfoSecurity Europe 2013, 이하 인포시큐리티)에 참가해 최신 보안 위협에 대한 대응 솔루션을 제시했다. 이번 행사에는 전세계 350여 개 보안 업체가 참가하고, 유럽 전역의 보안 관계자 1만 2500명이 모여들었다. 행사가 열린 사흘 간 안랩 부스를 찾은 방문객은 1000여 명에 달했다.

안랩은 이번 행사에서 APT 대응 솔루션인 AhnLab MDS(Malware Defense System, 국내 제품명 트러스와처)와 DDoS 공격 방어 솔루션인 AhnLab DPS(DDoS attack Protection System, 국내 제품명 트러스가드 DPX)를 집중적으로 소개했다.

기존에 유럽 지역에 제공해 오고 있는 온라인 게임 보안 솔루션 AhnLab HackShield for Online Game, 인터넷 뱅킹 보안 솔루션 AhnLab Online Security와 더불어 제품의 다각화를 통한 유럽 시장의 확대 성장을 도모한 것이다. 유럽 지역 보안 관계자의 심중을 정확히 꿰뚫어본 시의적절한 전략으로 행사기간 동안 유럽 내 다수의 다국적 기업들의 데모 요청이 쇄도했고 현지 업체들의 파트너 제휴 문의가 이어졌다.

▲ 인포시큐리티 행사 첫 날, 얼리버드(early-bird) 방문객들이 벌써부터 대기하고 있다.

1000여 명의 방문객이 안랩 부스를 찾은 이유는 바로 라이브 데모로 구성된 프리젠테이션 때문이었다. 대표적인 APT 공격 시나리오에 따라 정상적으로 보이는 웹사이트를 통해 유입된 악성코드가 시스템을 파괴하는 것부터 AhnLab MDS를 통해 이에 대응하는 것까지 생생하게 확인할 수 있는 현장이었다.

▲ 안랩의 발표에 귀를 기울이는 방문객들

APT 공격 시나리오를 설명하는 안랩의 프리젠테이션에 귀 기울이는 관중들은 시종일관 진지한 눈빛이었다. 시연을 통해 안랩의 제품을 경험한 방문객들은 오랜 고민이 해결된 듯 무척 만족스러운 표정을 드러냈다.  

  ▲ 잠깐의 시간도 아까운 듯, 제품 시연을 기다리는 동안

제품 브로셔를 꼼꼼히 살피는 방문객도 눈에 띄었다.

▲ 안랩은 APT에 대한 정의와 최신 사례 연구 및 대응 방안에 대한 정보 공유의 자리를 마련했다.

▲ 초심자들을 위한 APT의 모든 것(APTs for Dummies)

최근 급증하고 있는 APT에 대한 이해를 돕기 위해 안랩이 제작한 ‘초심자들을 위한 APT의 모든 것(APTs for Dummies)’ 소책자에 대한 관심은 놀라울 정도였다. 이번 행사를 위해 준비한 1000여 권이 모두 소진돼 일부 아쉬움을 표한 방문객들은 다음을 기약해야 했다.

▲ 새로운 유로피안 시크(Eurpean Chic) 스타일? 인포시큐리티에서

선보인 안랩의 에코백은 행사장 안팎에서 자주 만날 수 있었다.

국내 보안 기업이 인포시큐리티에 참가한 것은 안랩이 처음이다. 김홍선 안랩 대표는 “최근 전 세계적으로 공공기관 및 기업을 노린 APT 공격, DDoS 공격 등이 발생하고 있다. 이번 행사는 진화하는 보안 위협에 능동적으로 대응할 수 있는 안랩의 탁월한 전략과 솔루션을 유럽 무대에 선보인 의미있는 자리였다”라고 밝혔다.

한편 안랩은 올해 인포시큐리티뿐만 아니라 지난 2월 미국에서 개최된 RSA 컨퍼런스에 2년 연속 참가한 것을 필두로, 세계 최대 시장조사기관 가트너가 주최하는 가트너 서밋, 일본지역 보안 컨퍼런스, CES 등 다양한 국제 행사에 적극 참가하고 있다. 안랩은 앞으로도 꾸준한 해외 활동으로 앞선 국산 보안 기술을 전세계에 알리는 데 앞장설 계획이다.<Ahn>

* 이 글의 원문은 안랩 홈페이지에서 확인하실 수 있습니다.