세상에서 가장 안전한 이름, 안랩

- 통신사 정보, 전화번호, 인증 SMS 탈취해 소액결제 시도..첫 피해 발생

- 요금청구서, 방통위 앱 등을 가장한 SMS로 악성코드 설치 유도

- 앱 설치는 평판 조회 후에, V3 Mobile로 악성코드 진단 필요

스마트폰 소액결제를 노린 안드로이드 악성코드가 발견되어 실제 피해가 발생하고 있어 사용자의 주의가 필요하다.

글로벌 보안 기업 안랩(구 안철수 연구소, 대표 김홍선, www.ahnlab.com)은 최근 국내 스마트폰 사용자의 금전 탈취를 노린 안드로이드 악성코드 ‘체스트(chest)’를 발견했다고 밝혔다. 한 언론 보도 (http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1001507790)에 따르면 실제 피해자가 발생했으며, 스마트폰 악성코드로 인한 국내 첫 피해 사례여서 주목된다.

‘체스트’는 타깃이 명확하고 금전 탈취가 목적이라는 점에서 기존 악성코드와 다르다. 기존 악성코드는 대부분 불특정 다수를 대상으로 하고 개인정보 탈취가 주 목적이다. 이 악성코드 유포에는 과거 발생한 대량의 개인정보유출 사고를 통해 유출된 정보가 이용된 것으로 보인다. 잇단 개인정보유출 사고가 2차 피해로 이어질 수 있음을 보여준 사례로 이후 유사한 경우가 추가 발생할 우려가 높다.

‘체스트’ 악성코드는 SMS로 유포되며, 통신사 요금명세서, 통신비 환급금 조회, 방통위의 스팸 문자 차단 무료 애플리케이션 등으로 위장해 사용자를 현혹한다. 문자 메시지 내용도 ‘고객님! 요금과다청구 환급금 조회’, ‘고객님! 이번 달 사용내역입니다’, ‘’방통위, 통신사 합동 스팸문자 차단 어플 백신무료 배포 Play 스토어 어플 h**p://***.**/QQyLSs 주소를 클릭해주십시오’ 등 사용자의 접속을 유도하는 내용이다.

사용자가 이 주소에 접속해 ‘Spam Blocker’, ‘Spam Guard’, ‘Stop Phishing!!’ 등의 애플리케이션을 설치하면 전화번호, 통신사 정보, 특정번호(휴대폰 소액결제 전문업체, 인터넷 쇼핑몰)로 수신된 메시지가 외부의 특정 서버로 전송된다. 이 정보는 스마트폰 소액결제에 필요한 정보이므로 이를 확보한 해커는 손쉽게 금전을 탈취할 수 있다.

가령 해커는 이미 보유한 전화번호와 주민번호, 최초 감염 시 획득한 통신사 정보를 조합해 소액결제를 시도하고, 결제 시스템으로부터 전달된 인증번호가 포함된 SMS를 가로채 결제를 완료한다. 해커는 게임 사이트 등에서 사이버 머니를 구매해 되팔아 현금화하는 것으로 추정된다.

사용자는 정보가 외부 서버로 유출되는 것을 바로 알기 어렵기 때문에 청구서가 나온 후에야 피해 사실을 알 수 있다. 국내 휴대폰 소액결제 서비스 한도 금액이 매월 30만원으로 제한되어 있긴 하지만 현재 시장 규모가 2조8000억 원(증권사 추산)에 이르는 것을 감안하면 전체 피해액은 매우 클 수 있다. 지금까지 발견된 유사 악성코드는 10여 개에 이르며 변종 악성코드가 계속 발견되고 있다.

안랩 이호웅 시큐리티대응센터장은 “이번 악성코드는 대량으로 유출된 개인정보인 전화번호와 주민번호가 스마트폰 사용자에게 실제 금전적인 피해를 줄 수 있음이 드러난 첫 사례이다. 사용자는 우선 애플리케이션 설치에 주의하는 것이 안전하다. 서드파티 마켓은 물론 구글 공식 마켓이라도 다른 사용자의 평판을 읽어본 후 설치하는 등 신중함이 필요하다. 아울러 수시로 V3 Mobile로 점검을 해보는 습관이 필요하다.”며 사용자의 주의를 당부했다. <Ahn>

안녕하세요. 안랩인입니다. 요즘 가장 화두가 되는 이슈라면 단연 '개인정보'가 빠지지 않는데요. 오늘은 여러분들의 개인정보 보호를 위해 안철수연구소가 진행 중인 캠페인을 소개하고자 합니다.

[이미지를 클릭하면 해당 페이지로 이동합니다.]

안랩인이 소개해 드리는 자료들을 하나하나 살펴보시면 이제 여러분들도 자신의 소중한 개인정보를 안전하게 지키실 수 있습니다^^

개인정보 보호 수칙 10계명

행정안전부 개인정보보호종합지원시스템에서 소개해 드리는 개인정보를 똑 소리나게 지켜내기 위해 생활 속에서 실천해야 할 개인정보보호 오남용 피해방지 10계명을 소개합니다!  

바뀌는 개인정보보호법, 체크리스트

2011년 9월 30일, 개인정보보호법이 전면 시행되었습니다. 개인정보보호법은 개인정보 주체의 권리를 강화하고, 개인정보 처리자의 의무를 확대한 것입니다. 이 링크에서는 개인정보보호법이 담고 있는 주요 내용을 살펴보고, 개인들이 알아두어야할 수칙들을 확인하실 수 있습니다.

효과적인 개인정보보호 3종 세트

 - 패스워드의 효과적 관리
대부분의 인터넷 사용자들은 여러 사이트에 동일 패스워드를 사용하기 때문에 한 곳에서 개인정보가 유출되면 다른 사이트까지 피해를 입을 가능성이 높습니다. 그래서 링크에 소개된 방법과 같은 방법으로 안전한 패스워드를 만들어 사용하는 것이 바람직합니다.


 - 내가 가입한 사이트 한번에 찾기
한 번에 쉽고 편리하게 ‘내가 가입한 모든 사이트’를 찾는 방법, 그것도 무료로 이용할 수 있는 방법을 소개합니다.


 - 피싱에 대한 효과적 대처
메신저 피싱으로 인한 사기사건이 자주 발생하여 뉴스에 보도되는데도 불구하고 여전히 피해자는 속출하고 있습니다. 특히, 최근 잇따른 개인정보 유출과 대형 사이트의 해킹으로 인해 그 방법이 매우 정교하게 진화되고 있습니다. 금전적 피해는 물론이고 개인적인 신용도까지 무너뜨리는 메신저 피싱, 이를 피하는 10가지 수칙을 알아보도록 하겠습니다.

끝으로 개인정보 이벤트 페이지 를 소개해 드리겠습니다. <Ahn>

안녕하세요. 안랩인입니다. 오늘은 개인정보를 똑 소리나게 지켜내기 위해 생활속에서 실천해야 할 개인정보보호 방법들에 대해 소개하려고 합니다! 

- 개인정보취급방침 및 이용약관 꼼꼼히 살피기
회원가입을 하거나 개인정보를 제공할 때에는 개인정보취급방침 및 약관을 꼼꼼히 살핍니다.

개인정보처리자는 [개인정보보호법]에 따라 회원가입 등의 방법으로 개인정보를 수집하고자 할 경우, 개인정보 처리 목적, 처리 및 보유기간, 제3자 제공에 관한 사항, 정보주체의 권리·의무 및 행사방법, 위탁 업무의 내용 등 개인정보 취급 관련 내용을 개인정보처리방침에 포함하여 공개하도록 하고 있습니다. 따라서 이용자는 회원가입을 하거나 개인정보를 제공할 경우 사업자의 개인정보 처리 목적 등을 자세히 검토한후 가입/제공 해야 합니다.
 

- 비밀번호는 문자와 숫자로 8자리 이상
회원가입 시 비밀번호를 타인이 유추하기 어렵도록 영문/숫자 등을 조합하여 8자리 이상으로 설정합니다.

안전한 패스워드란 무엇일까요? 본인이 아닌 다른 사람이 쉽게 추측할 수 없으며, 인터넷을 통해 전송되는 정보를 해킹하여 이용자 패스워드를 알 수 없거나 알 수 있어도, 패스워드를 알아내는데 많은 시간이 요구되는 패스워드를 말합니다.

- 비밀번호는 주기적으로 변경하기
자신이 가입한 사이트에 타인이 자신인 것처럼 로그인하기 어렵도록 비밀번호를 주기적으로 변경합니다.

권장하는 패스워드 변경주기는 6개월 이며 패스워드 변경 시 이전에 사용하지 않은 새로운 패스워드를 사용하고 변경된 패스워드는 예전의 패스워드와 연관성이 없어야 합니다. <Ahn>

* 해당 내용은 행정안전부 개인정보보호종합지원시스템에서 작성하였으며 더 자세한 내용은 안랩 홈페이지에서 보실 수 있습니다.

개인정보보호법 적용 대상 확대

개인정보보호법의 적용 대상은 기존 관련법에 비해 공공과 민간 부분으로 확대되었으며 국회, 헌법재판소 등 행정 사무를 처리하는 기관과 오프라인 사업자, 협회, 시민단체 등 비영리단체도 포함되었습니다. 이에 따라 개인정보보호 대상기관이 현재 51만개에서 350만개로 확대되었습니다. 즉, 개인정보보호법이 시행되면 사실상 대부분의 기업들이 개인정보보호법에서 자유로울 수 없다는 뜻입니다.

그러나 현재 개인정보 유출 사건은 발생 빈도가 증가하고 있을 뿐만 아니라 그 피해 규모 또한 기록 갱신을 하듯 나날이 증가하고 있습니다. [표 1]은 올해 국내에서 발생한 주요 개인정보 유출 사건 및 피해 규모에 관해 정리된 내용입니다.

[표 1] 2011년 국내 개인정보 유출 사건 및 피해 규모

개인정보보호법은 75개에 달하는 세부 조항과 더불어 최대 5천만 원에 달하는 형사처벌뿐만 아니라 구체적인 피해보상 규정을 명시하고 있습니다. 그러나 개인정보 유출 사건이 발생하더라도 평가 받는 잣대 또한 법입니다. 즉, 개인정보보호법의 시행 규칙과 고시를 준수하여 충분한 조치를 해둔 경우라면 설사 개인정보 유출 사건이 발생하더라도 기업의 손실을 최소화 할 수 있습니다.

문제는 개인정보보호법의 시행규칙이 아직 발표되지 않았다는 점입니다. 지난 6월 '개인정보보호법 시행령•시행규칙 제정안 공청회'가 개최되었지만 시행령은 입법예고, 부처간 협의와 규제심사 등의 절차를 거쳐 오는 9월 중순 공포될 예정입니다. 그렇다면 법 시행 전까지 불과 한 달도 남지 않은 상황에서 기업이 사전에 대처 방안을 마련할 수 있는 방법은 없는 것일까요?

관련법 및 조치부터 파악하라

개인정보보호법의 시행령 또한 정통망법 등과 크게 다르지 않을 것이라는 게 중론입니다. 정통망법은 물론, 이를 근거로 마련된 방송통신위원회(이하 방통위)의 ‘개인정보의 기술적 관리적 보호조치 기준’, 행정안전부(이하 행안부)의 ‘사업자의 개인정보 보호조치 기준’을 참고하여 준비하면 추후 개인정보보호법의 시행규칙이 나오더라도 큰 문제가 없을 것이라는 뜻입니다.

[그림 1] 법의 위계

‘정보통신망 이용촉진 및 정보보호 등에 관한 법(제32차 일부 개정 2011. 4. 5 법률 제10560호)’, 즉 정통망법은 정보통신 서비스를 이용하는 자의 개인정보를 보호하고, 정보통신망을 안전하게 이용할 수 있는 환경을 조성하기 위하여 제정된 법률입니다. 이에 따라 전기통신사업자, 전기통신서비스 제공자와 이용자간의 관계에 대해 개인정보보호에 관한 규정을 명시하고 있습니다.  

따라서 온라인 상에서 개인정보를 취급하는 업체들은 정통망법 적용의 대상이 되며, 이와 관련해 방통위가 정통망법에 근거해 규정한 '개인정보의 기술적 관리적 보호조치 기준'을 준용하여 개인정보보호법의 대책을 마련하면 됩니다. 최근 방통위가 개정한 개인정보의 기술적 관리적 보호조치 기준 중에서 특히 기업이 현재 즉각적으로 솔루션 도입을 고려, 또는 확인할 수 있는 부분은 [표 2]와 같습니다.  Ahn

[표 2] 개인정보의 기술적 관리적 보호조치 기준

국내에서도 몇 년새 트위터, 페이스북, 미투데이 등 소셜네트워크서비스(SNS) 이용자가 급증했습니다. 그러나 최근 SNS를 통한 개인정보 유출을 비롯해 허위링크 연결, 피싱 등 SNS상의 보안 위협이 이슈가 되고 있습니다. 이와 관련해 페이스북이 발표한 보안 가이드를 통해 SNS 서비스를 이용하면서 스스로를 가장 잘 보호할 수 있는 방법을 살펴보겠습니다.

내 계정은 내가 지킨다!

이메일, 메신저 이용과 마찬가지로 SNS 이용에서도 가장 중요한 것은 개인 계정(ID) 및 비밀번호입니다. 허술한 비밀번호를 사용함으로써 악의적인 공격자에게 계정을 탈취당할 경우 개인정보 유출은 물론 금전적인 피해까지 발생할 수 있습니다. 또한 탈취당한 계정은 또 다른 범죄에 악용될 수도 있습니다.

‘청소년 및 부모, 교사들을 위한 페이스북 보안 가이드(A Guide to Facebook Security)’ 역시 SNS를 안전하게 이용하기 위한 첫 걸음으로 ‘좋은 비밀번호 사용 습관’을 강조하고 있습니다.

페이스북 보안 가이드에서 제시하는 ‘좋은 비밀번호 사용 습관’의 기초는 다음과 같습니다.

1. 하나의 비밀번호로 여러 서비스 계정을 이용하지 말 것

2. 비밀번호를 친구나 지인과 공유하지 말 것

3. 정기적으로 비밀번호 변경하기

4. 비밀번호를 ‘패스워드 툴’에 저장하기

익히 알다시피 패스워드는 최소 8글자 이상을 한 글자 이상의 특수문자를 포함하는 것이 좋습니다. 하지만 기억하기 어려울 정도의 복잡한 비밀번호 보다는 자신이 기억할 수 있을 만큼 의미 있는 것으로 하는 것이 좋다고 페이스북 보안 가이드는 조언하고 있습니다.

개인 계정을 보호하는데 있어 좋은 비밀번호 사용 습관보다 더 중요한 습관이 있습니다. 바로 로그아웃을 확실히 하는 것입니다. 페이스북 보안 가이드의 저자들은 “로그아웃을 하는 것은 간편하지만 효과적으로 계정을 지키는 방법”이라고 전했습니다.

일례로 공용 PC에서 SNS나 이메일 등을 이용하다가 로그아웃을 하지 않은 채 자리를 비우는 경우가 많습니다. 또한 스마트폰을 이용할 경우, 로그아웃 버튼의 크기가 작다 보니 로그아웃을 하지 않은 채 이용하던 서비스 화면에서만 빠져 나오는 경우가 많습니다. 이러한 경우 쓸데없는 배터리 소모나 데이터 사용을 초래할 뿐만 아니라 개인정보 유출의 통로를 활짝 열어놓는 것이나 다름없습니다.

허위 계정, 허위 메시지 주의

허위 사이트 등은 이미 오래 전부터 인터넷 위협으로 자리잡고 있습니다. 인터넷 이용자들이 허위 사이트를 방문할 경우 자기도 모르는 사이에 개인정보가 유출되거나 악성코드를 내려 받게 되는 것입니다.

SNS의 경우에는 위험 요소가 더욱 다양합니다. 우선, SNS의 글자수 제한에 따라 웹사이트를 링크할 때 짧은 주소로 표시하게 됨에 따라 이를 악용한 허위 사이트 링크가 문제가 되고 있습니다. 또한 연예인 등 유명인을 사칭한 허위 SNS 계정도 자주 나타나고 있습니다. 게다가 최근 타깃형 공격이 증가함에 따라 SNS에서도 허위 메시지를 통해 사용자들을 유도하는 사례가 증가하고 있습니다.

페이스북 보안 가이드는 특히 ‘게임과 관련한 허위 메시지’를 주의하라고 경고하고 있습니다. 주로 게임 포인트나 게임 팁을 제공한다는 메시지를 담고 있거나 무료 이용권 등으로 허위 사이트로 유도하는 경우입니다.

▲ 게임과 관련된 내용으로 위장하여 허위 링크를 클릭하게 유도하는 페이스북 메시지(출처 : A Guide to Facebook Security)

또한 페이스북이나 트위터 등 SNS 이용시 허위 로그인 페이지에 대해서도 주의할 필요가 있습니다. 이와 관련해 페이스북은 로그인 페이지에서 로그인을 두 번 하게 할 경우, 즉시 로그인을 중단하고 인터넷 주소창에 직접 서비스 사이트 주소를 입력하여 해당 서비스를 이용할 것을 조언했습니다.

■ 안전하게 페이스북을 이용하기 위한 보안 팁

• 아는 사람일 경우에만 ‘친구맺기’

• 페이스북에서만 사용하는 별도의 비밀번호 만들기

• 비밀번호 공유하지 않기

• 정기적으로 비밀번호 변경하기

• 자신의 개인정보 제공은 꼭 필요한 경우에만 하기

• 페이스북에 로그인 할 때 로그인을 두 번 하라는 메시지가 나타나면 즉시 로그인을 중단하고 인터넷 주소창에 직접 www.facebook.com을 입력하여 서비스 이용하기

• 다른 사람의 컴퓨터를 사용할 경우 OTP(one-time password) 사용하기

• 다른 사람, 또는 공용 컴퓨터를 사용해 페이스북 이용시 로그아웃 했는지 확인하기

• 안전한 브라우저 사용하기

• 믿을 수 있는 사이트에서만 프로그램 다운로드하기

• 안티바이러스 소프트웨어를 최신 업데이트 버전으로 유지하기

• 브라우저나 프로그램을 최신 버전으로 유지하기

이 밖에도 페이스북 보안 가이드는 HTTPS 암호화, 일회용 비밀번호, 로그인 알리미 등 페이스북의 고급 보안 기능 활용법, 사기꾼을 알아내는 법 및 해킹된 계정을 발견하는 방법 등을 다루고 있습니다. 보다 상세한 내용은 온라인에서 무료로 제공되는 ‘페이스북 보안 가이드(A Guide to Facebook Security)’에서 확인할 수 있습니다. Ahn

안녕하세요. 안랩인입니다. 보안 위협은 현재의 IT 트렌드와 사회적인 이슈에 민감하게 반응하고 있습니다. 이러한 경향을 살펴봤을 때 악성코드 제작자들에게 현재 가장 매력적인 먹잇감은 단연 SNS(Social Network Service)입니다. SNS에서 발생하는 보안 위협의 특징과 실제 사례를 살펴보겠습니다.

소셜 네트워크 서비스로 인한 사회적 관계의 변화

최근 한국인터넷진흥원(이하 KISA)에서는 ‘2011년 상반기 스마트폰(Smartphone) 이용 실태 조사’라는 흥미로운 보고서를 발표했습니다. 이 보고서는 전국 만 12세에서 29세 사이의 스마트폰 사용자 4천 명을 대상으로 스마트폰 활용 실태를 조사한 것으로 스마트폰이 우리 일상 생활에 얼마나 밀접하게 활용되고 있는지를 잘 보여주고 있습니다.

이 보고서에는 최근 몇 년 사이 급속하게 사용자가 증가하고 있는 소셜 네트워크 서비스(Social Network Service, 이하 SNS) 관련 통계도 포함되어 있는데요. 스마트폰 사용자의 87.1%가 SNS를 이용한 경험이 있으며, 이용 빈도는 커뮤니티, 마이크로 블로그, 미니홈피 순서로 그 활용 빈도가 높다는 것을 잘 알 수 있었습니다.

[그림 1] 스마트폰을 이용한 SNS 이용 경험

(출처: KISA ‘2011년 상반기 스마트폰 이용 실태 조사)

스마트폰으로 SNS를 이용한 경험이 있는 사용자들은 일일 평균 1.9시간을 SNS 이용에 소비하고 있었습니다. 그리고 전체의 42.3%가 하루 1시간 이상 소셜 네트워크 서비스를 이용하였으며, 그 중 24.3%는 하루 2시간 이상 소셜 네트워크 서비스를 이용하는데 보내고 있었습니다.

[그림 2] 스마트폰을 이용한 SNS 이용 시간
(출처: KISA ‘2011년 상반기 스마트폰 이용 실태 조사)

SNS를 이용하는 목적에 있어서도 커뮤니케이션, 정보 습득 및 교류, 그리고 친교 및 교제라는 측면이 가장 높아 오프라인의 일상 생활을 통해 형성된 인간 관계를 다시 온라인의 소셜 네트워크 서비스를 통해 연결하고 확장해가는 형태를 보이는 것을 알 수 있습니다.

[그림 3] 스마트폰을 이용한 SNS 이용 목적
(출처: KISA ‘2011년 상반기 스마트폰 이용 실태 조사’)

이렇게 손안의 컴퓨터라는 스마트폰을 이용한 SNS 활용은 우리에게 많은 생활의 변화를 주었으며, 인간 관계에 있어서도 시간과 공간의 제약 없이 언제나 온라인의 네트워크를 통해 인간 관계가 항상 연결되어 있는 편리한 시대에 살고 있습니다.

하지만, 모든 사물들에는 밝은 면의 순기능이 존재한다면 이에 반대되는 어두운 면의 역기능이 존재하듯이 SNS 역시 이를 악용한 보안 위협들이 발생하였으며, 현재도 계속 발생하고 있는 실정입니다.

소셜 네트워크 서비스에서 발생한 보안 위협들의 특징

1. SNS와 사회 공학(Social Engineering) 기법

트위터(Twitter) 및 페이스북(Facebook)과 같이 최근 몇 년 사이 사용자가 급격하게 증가하고 있는 SNS는 모두 기본적으로 오프라인에서 형성된 인간 관계를 온라인에서도 이어갈 수 있도록 도와 주고 있습니다. 그리고 이 모든 SNS의 핵심적인 목적과 기능들은 해당 서비스에 가입한 사용자가 오프라인에서 이미 가지고 있는 인간 관계를 바탕으로 서로 신뢰 관계의 사람들을 연결해주거나 공통의 관심사가 있는 사용자들간의 연결을 통해 새로운 인간 관계를 형성할 수 있도록 하고 있는데요.

그러나 정보 보호(Information Security) 분야에서는 모든 보안 취약점들 중에서 가장 취약한 부분은 사람이며 언제라도 보안 위협에 노출될 가능성이 가장 높은 것으로 지적하고 있다. 이러한 관점에서 바라본다면 SNS 사용자들은 보안 위협에 노출될 가능성이 높습니다. 실제 SNS에서 발생하고 있는 보안 위협 사례들을 분석해보면 그 근간에는 모두 사람을 해킹(Hacking)한다는 사회 공학(Social Engineering) 기법이 차지하고 있습니다.

2. 단축 URL(URL Shortening)의 편리성과 위험성

SNS의 발달은 이를 더욱 편리하게 사용하기 위해 파생된 다른 유용한 서비스들도 많이 제공되고 있습니다. 이러한 대표적인 사례로 스마트폰에 설치되는 다양한 소셜 네트워크 서비스들을 지원해주고 있는 앱(App)들을 예로 들 수 있으나, 가장 대표적인 서비스로 볼 수 있는 것은 단축 URL(URL Shortening) 서비스입니다.

[그림 4] 트위터 메시지에 포함된 단축 URL로 연결된 웹 페이지

그러나 이러한 편리성을 가진 단축 URL은 길다란 웹 페이지의 URL을 짧은 URL로 대체함으로써 사용자의 입장에서는 대체된 단축 URL이 실제 어떠한 웹 페이지로 연결될지 쉽게 예측하고 확인하기가 어렵게 됩니다.

이러한 문제로 인해 실제 소셜 네트워크 서비스에서 전달되는 메시지들에 포함된 단축 URL들 중에는 피싱(Phishing)이나 악성코드 유포를 위한 웹 사이트들로 연결하는 단축 URL들이 다수 존재하고 있습니다.

[그림 5] SNS 사용자를 대상으로 한 악의적인 URL (출처: 시만텍)

글로벌 보안 업체인 시만텍(Symantec)은 ‘Symantec Internet Security Threat Report Trends for 2010’를 통해 2010년 4분기 동안 SNS 사용자들을 대상으로 한 악의적인 URL 중에서 65%가 단축 URL 형태를 가지고 있는 것으로 밝혔습니다.


SNS 보안위협의 네 가지 특징!

앞서 살펴본 것과 같이, SNS에서 발생하는 보안 위협들은 사용자들이 흥미를 가질 수 있는 주제로 위장하는 사회 공학 기법에 그 근간을 두고 악의적인 목적으로 제작된 웹 사이트로 연결하는 단축 URL을 활용하여 제작되고 있습니다. 실제 SNS에서 발생한 보안 위협 사례들을 분석해보면 공통적으로 4가지의 커다란 특징적인 형태를 가지고 있습니다.

[그림 6] 소셜 네트워크 서비스에서 발생하는 보안 위협의 특징

1. 내부 시스템 환경 악용

SNS에서 발생하는 보안 위협 중 내부 시스템 환경을 악용하는 형태들은 SNS 내부에 이미 정의되어 있는 기본적인 규칙(Rule)들을 악용하는 형태들입니다.

2. 사용자 생태계 악용

현재 서비스 되고 있는 트위터 및 페이스북(Facebook)과 같은 유명 해외 소셜 네트워크 서비스의 경우에는 해당 서비스들을 이용하기 위한 가입 절차가 국내와 비교하여 비교적 간단하게 메일 주소와 암호 입력만으로도 바로 사용이 가능합니다.

[그림 7] 사용자 이름과 이메일 주소만 입력하면 가입이 가능한 페이스북

3. SNS 이미지 악용

 SNS의 브랜드(Brand)와 이미지 가치가 상승함에 따라 이를 악용하여 트위터나 페이스북에서 발송한 이메일 등으로 위장한 피싱 메일이나 악성코드가 첨부된 메일이 유포되었습니다.

4. 다른 보안 위협에서 악용

SNS 사용자들이 지속적으로 증가함으로 인해 기업의 입장에서는 마케팅이나 홍보를 위한 도구로도 소셜 네트워크 서비스가 이용되고 있습니다. 이러한 소셜 네트워크 서비스의 생태계로 인해 사용자의 활동이나 기업의 활동에 대한 정보 수집이나 오프라인 범죄 등을 위한 사전 정보 수집 도구로서 SNS가 악용되고 있습니다.


소셜 네트워크 서비스에서 발생한 보안 위협 사례들

휴가 떠나시기 전 문단속 꼼꼼히 하듯,  ‘여름 휴가철 보안수칙’도 단단히 챙겨보시고 더욱 즐거운 휴가철 되셨으면 좋겠습니다.

스마트폰  보안 수칙 10계명

1. 윈도 운영체계는 최신 보안 패치를 모두 적용한다. 
2. 인터넷 로그인 계정의 패스워드를 자주 변경하고, 영문/숫자/특수문자 조합으로 6자리 이상으로 설정한다. 로그인 ID와 패스워드를 동일하게 설정하지 않는다. 
3. 해킹, 바이러스, 스파이웨어 등을 종합적으로 막아주는 V3 등과 같은 통합 백신을 하나 정도는 설치해둔다. 설치 후 항상 최신 버전의 엔진으로 유지하고 부팅 후 보안 제품이 자동 업데이트되도록 하고 시스템 감시 기능이 항상 작동하도록 설정한다.
4. 웹사이트에 접속했을 때 악성코드나 스파이웨어가 자동으로 다운로드 되는 경우가 있으니 안철수연구소가 무료로 제공하는 위험사이트 차단 서비스 ‘사이트가드’
[http://www.siteguard.co.kr]를 이용해 예방한다.
5. 웹 서핑 때 보안경고 창이 뜰 경우에는 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의하는 예를 클릭한다. 잘 모르는 프로그램을 설치하겠다는 경고가 나오면 ‘예’ ‘아니오’ 중 어느 것도 선택하지 말고 창을 닫는다.
6. 이메일 확인 시 발신인이 불분명하거나 수상한 첨부 파일이 있는 것은 모두 삭제한다.
7. 메신저 프로그램 사용 시 메시지를 통해 URL이나 파일이 첨부되어 올 경우 함부로 클릭하거나 실행하지 않는다. 메시지를 보낸 이가 직접 보낸 것이 맞는지를 먼저 확인해본다.
8. P2P 프로그램 사용 시 파일을 다운로드할 때는 반드시 보안 제품으로 검사한 후 사용한다. 또한 트로이목마 등에 의해 지정하지 않은 폴더가 오픈 되지 않도록 주의한다.
9. 정품 소프트웨어를 사용한다. 인터넷을 통해 불법 소프트웨어를 다운로드해 설치하는 경우 이를 통해 악성코드가 설치될 가능성이 높기 때문이다.
10. 중요한 자료를 주기적으로 백업해 두어 만일의 상황에 대비한다.

기업 및 공공기관 보안 수칙 10계명

1. 운영체제(OS)의 최신 보안 패치를 적용한다.
2. 최신 업데이트 현황 등 안티바이러스 대비 상황을 점검한다.
3. 방화벽 설정을 통해 불필요한 포트를 차단한다.
4. 서버에서 불필요한 사용자 계정 및 서비스를 제거한다.
5. 사용 중인 애플리케이션의 로깅 가동, 중요 파일에 대한 무결성 점검, 감사 기능 등을 설정해두고, 중요 서버의 보안 상태를 사전 점검한다.
6. 사용하지 않는 서버는 네트워크에서 분리해 외부의 침입으로부터 안전한 환경을 구축한다.
7. 신뢰할 수 있는 보안 관련 사이트를 방문해 최신 보안 정보를 수시로 확인한다.
8. 중요 시스템의 데이터에 대한 사전 백업 시스템을 구축한다.
9. 사이버 공격 발생 시 대응 지침을 마련하고, 전사에 공유한다.
10. 보안 문제 발생 시에 대비해 비상 연락 체계를 구축한다. 보안관제 서비스를 받고 있는 경우는 해당 보안관제 업체의 24시간 상황실 연락망을 공유하고, 자체 보안관제 시스템을 운영하는 경우 자체 비상 연락망을 공유한다.

모두 안전수칙을 잘 지키시어 안전하고 편안한 휴가길 다녀오시기를 바랍니다. Ahn

 안녕하세요. 안랩인입니다. 최근 안드로이드 온라인 동영상 스트리밍 플레이어로 위장하여, 사용자 모르게 SMS(문자메시지) 발송을 하여 과금 시키고, 친구 추천 기능을 통해 주변에 악성앱을 확산 시키는 안드로이드 악성코드가 새롭게 발견되어 주의를 요합니다. 

악성코드의 SMS 과금 및 휴대폰 정보 탈취 방법

 악성 앱이 설치되면, 온라인상의 동영상들을 볼 수 있는 뷰어가 나오면서, 동시에 하드코딩된 중국의 premium number (106***82) 로 메시지를 전송하여 별도의 과금을 시킵니다.

▲ 설치되면 중국 premium number로 메시지를 보냄

비슷한 악성코드의 경우 보통 해당 premium number 로 문자가 정상적으로 송신되면, 서비스 제공자로 부터 서비스등록에 관련된 안내메시지를 문자로 회신(feedback)받게 되어 있어 서비스 사용여부를 알 수 있습니다.  하지만,  이 악성앱은 영리하게도 회신되는 문자를 사용자가 볼 수 없게끔 필터링을 하여 실제 과금된 사실을을 전혀 알 수 없게 만들기 때문에 더욱 주의해야 합니다. 이 악성앱은 "10" 으로 시작되는 번호들로 전송되는 문자메시에 관해 필터링 하도록 설계되어 있습니다. 이외에 추가적으로 핸드폰의 Sim 카드 시리얼번호를 얻고, 특정 서버로 전송합니다.

악성코드 확산

이 악성앱은 감염된 폰에서 과금을 하는 것뿐만 아니라, 악성앱 자신을 광고(Self-advertising) 하는 기능도 포함되어 있습니다. 사용자는 좋은 앱 소개시켜준다는 의도로 추천링크를 전송했는데, 받는 사람에게 악성앱을 설치하게끔 유도한 꼴이 될 수 있습니다.  자기광고 기능은 아래와 같이 친구추천기능을 통해 e-mail , 또는 sms 로 악성앱을 다운 및 설치할 수 있는 링크를 전송하여 이루어집니다.

V3 mobile 제품 진단명

스마트폰이 악성코드 감염 예방 안전 수칙
최근 스마트폰을 통한 악성코드가 급증하는 추세인데요, '설마'하는 부주의함으로 피해자가 될 수 있습니다. 새로운 기술에 익숙해지는 만큼, 보안 의식의 습관화가 필요한 때입니다. 

얼마 전 뉴스기사를 통해 재미있는 해프닝을 접할 수 있었습니다. 미국의 한 여성이 시들해진 결혼 생활에 속상한 나머지 남편의 애정을 확인해보기 위해 페이스북(Facebook)을 통해 10대 소녀로 위장하고 남편을 유혹하였다고 합니다.
 

이런 SNS 성격의 서비스들의 경우 그 특성상 가입 절차가 어렵지 않고 가입 시에 요구하는 정보도 상당히 적기 때문에 누구나 쉽게 계정을 만들고 사용할 수 있는 경우가 대다수 입니다. 또한 이러한 서비스들은 컨텐츠들에 대한 접근 제한을 강제하고 있지 않기 때문에 가입 절차를 거치지 않은 이용자도 정보와 컨텐츠를 열람하는 것이 매우 쉽다는 특징을 가집니다. 바로 이 부분이 많은 문제점들을 발생시킬 여지를 남기게 됩니다. 그래서 이번 글에서는 이러한 SNS를 이용하는 경우 사용자들이 어떤 부분에서 조심하고 어떤 부분을 경계해야 하는지 살펴보고자합니다.

가짜 이용자, 허위 계정들

앞서 이야기된 것처럼, SNS들의 경우 가입 절차가 상당히 단순합니다. 이것은 다시 말해서 허위 계정을 생성하는 것이 쉽다는 말인데, 그렇다면 우리가 이용하는 SNS 상에서의 다른 사람들과의 관계들은 과연 신뢰할 만한 관계일까요?

또한 간편한 가입 절차를 이용해서 유명인을 사칭하거나, 이에 그치지 않고 허위 사실이나 루머들을 유포하는 경우도 있지만, 이런 경우에도 역시 많은 수의 사람들은 허위 계정일지도 모르는 각각의 이용자들에 대한 분별력을 가지기 쉽지 않기 때문에 잘못된 정보를 쉽게 과신하고 이에 의한 피해를 입을 가능성이 있습니다.

스팸 메일 발송도 기존에는 사용자의 이메일 계정을 통해서만 피해를 입혔지만, SNS 내에서 스팸메시지 발송을 위한 허위 계정을 생성하고 불특정 다수의 사람들과의 관계를 생성한 후에 다이렉트 메시지를 보내거나, 트위터의 트윗을 통해 광고를 게시하는 등 이미 그 활동 범위를 확장한지 오래입니다.

▲ 대표적 SNS들의 로그인 화면 : 가입에 필요한 정보가 몇 가지 되지 않는 것을 볼 수 있다.

사회 공학적 기법과 SNS의 결합

악성코드 제작자들이나 피싱 사이트 운영자들이 사용하는 기법 중에 대표적인 것이 ‘사회 공학적 기법’ 입니다. 이것은 시스템이나 프로그램에 대한 공격이 아니라 사람을 목표로 한 공격을 말하는데, 이메일, 메신저, SNS 등을 통해 사람에게 접근하여 원하는 정보를 얻어내는 공격 방법을 뜻합니다.

엄청나게 많은 사용자를 보유하고 있는 SNS는 지인 또는 친구들과의 관계를 통한 컨텐츠 공유 및 전파를 서비스 기반으로 삼고 있기 때문에 그 파급력과 전파 속도가 상당합니다. 이런 환경을 바탕으로 피싱 공격자들은 얼마든지 다양하게 사용자들을 - 소위 말해서 - 낚을 수 있는 기회를 가지게 되었습니다.

SNS 사이트에서 발송한 관리자 이메일로 위장하여 변경된 계정 정보를 확인하기 위해서는 첨부된 파일을 실행해야 하는 것으로 위장했던 악성코드 배포 메일, 친구가 보낸 사진으로 위장하여 사진을 보기 위해 링크를 클릭하면 피싱 사이트로 연결되는 URL을 포함시킨 허위 스팸 메일 등이 지금까지 발견된 각종 피해 사례입니다.

누릴 것은 누리되, 경계심도 함께

우리가 누리고 있는 소셜 네트워크 서비스는 누구나 글과 사진을 올릴 수 있고, 누구나 그 글과 사진을 볼 수 있다는 사실을 항상 염두에 두고 있어야 합니다. 간편한 절차와 쉬운 서비스를 제공한다는 것은 그만큼 악의적으로 이용될 가능성도 크게 열려있다는 사실을 환기해야 한다는 것입니다.

한 유명 소셜 네트워크 서비스의 조사에 다르면 정기적으로 보안을 위한 프라이버시 설정을 조절하는 이용자는 전체의 4분의 1밖에 되지 않는 것으로 나타났다고 합니다. 실제로 많은 SNS들이 보안 설정 또는 프라이버시 설정을 할 수 있도록 메뉴를 제공하고 있지만 대다수의 사람들은 아마도 이 사실 자체를 모르고 있는 경우가 대부분일 것이라 예상됩니다.

쉽고 간편하게 누릴 수 있는 것들이 가득한 세상입니다. 그러나 누릴 것은 누리되, 보안에 대한 경계심을 늦추지 않는 것이 매일매일 새로운 서비스들이 제공되는 요즘 세상에서 사용자들이 안전할 수 있는 유일한 방법이 될 것입니다.

간단히 정리한 소셜 네트워크 서비스 이용 시의 유의 사항

윤병무엔진테스터 필자의 다른 글 보기

안철수연구소에서 매일 업데이트 되는 따끈따끈한 엔진을 이쁘게 포장하고 테스트하여 고객에게 전달하는 업무를 담당하고 있다. 현재 “안랩 칼럼니스트”로 활동하며, 초보자에게 필요한 여러 IT 활용지식을 쉽고 간결한 필체로 제공하고 있다.