Embed Size (px)
Citation preview
S P E C I A L R E P O R T
보안 관제 시대 열리다
2 0 1 2 . 0 4
안랩 보안 매거진
3
4
1 0
1 3
1 5
1 8
2 1
2 9
3 0
3 6
3 9
월간
C O N T E N T S
C E O C O l u m N
벤처 도전의 즐거움
S p E C i a l R E p O R T
1부_ 보안 관제 서비스가 새롭게 인정받는 이유
2부_ 컴플라이언스와 리스크 관리의 해법, “관제가 보안의 첨병이다”
a h N l a b ’ S pa R T N E R
새로운 가치를 창조하는 그들 ‘네오시안’
S p O T l i g h T
2012년 보안 위협 예측과 대응 방안
“빅 데이터, 가시성, 그리고 매니지먼트가 관건”
T h R E aT a N a ly S i S
루트킷 완전 해부
루트킷의 오늘 2 : 3세대 루트킷
S u C C E S S S T O R y
미국 코너스톤 커뮤니티 뱅크 AOS 구축 사례
레이어드 시큐리티 ‘쉽고 간편하게 구현’
T E C h R E p O R T
모바일 악성코드 동향 분석
앱과 악성코드를 선별하는 몇 가지 방안
p R O d u C T i S S u E
더 빠르게, 더 완벽하게, 더 편리하게 ‘패치하라’
a h N l a b N E w S
이제 ‘세일즈’가 아니라 ‘서비스 오퍼링’이다
2015년 글로벌 매출 비중 30% 목표
사용자 부주의에 따른 감염도 효과적으로 차단
중소기업용 보안 서비스 2종 출시
S TaT i S T i C S
2012년 2월 보안 통계 및 이슈
O N a h N l a b ’ S T w i T T E R S
2 0 1 2 . 0 4
3
벤처 도전의 즐거움이 글은 중앙일보 [경제 view &]에 실린 김홍선 대표의 칼럼입니다.
C E O C O l u m N 도전의 즐거움
정보 보안 분야의 세계 최대 전시회인 RSA 콘퍼런스가 지난 3월 초 미국 샌프란시스코에서 열렸다. 정보 보안의 키워드와 동향을 가늠할 수 있는
행사다. 올해는 지난해에 비해 50% 이상 많은 2만 명 정도의 업계 종사자가 참석했다. 이렇게 많은 사람들이 모인 이유는 기존 보안 체계를 무력화
하는 신종 사이버 공격인 APT(Advanced Persistent Threat)에 대한 우려가 크고, 모바일이나 클라우드와 같은 패러다임 변화에 대응할 수 있는 신
개념과 신기술이 절실했기 때문이다. 예상대로 행사장은 이런 키워드로 가득했다. 안랩은 올해 처음으로 이 전시회에 참여했다.
행사 첫날 아침, 한 신사가 안랩 부스에 찾아왔다. 그는 정보기술(IT) 전문가이자 저술가로도 잘 알려진 사람이었다. 그는 “보안 분야 관계자들이 눈
여겨볼 회사로 안랩을 추천했다”고 말을 꺼냈다. 의외의 말을 듣고 순간 으쓱했다. IT 본고장인 미국에서 처음 선보이는 자리라서 노심초사했는데
다행이라는 생각이 들었다. 그런데 계속 얘기를 해 보니 이는 우리 회사의 정체성이 독특해서 그렇게 비쳤다는 뜻이었다.
미국 IT 업계는 크게 두 가지 부류로 나뉜다. 대기업과 벤처기업이다. 대부분의 신기술 개발과 기술 혁신은 특정 분야의 기술을 발명해서 새로운
패러다임을 창출하는 벤처기업이 주도한다. 반면에 대기업은 전 세계 모든 고객을 대상으로 폭넓게 사업을 전개한다. 대기업은 브랜드와 종합적
인 제품 구성, 체계적인 서비스로 굵직한 사업을 추진한다. 물론 연구개발(R&D) 투자도 많이 하지만, 규모가 크다 보니 경영 면에서 위험 관리는
물론 정해진 규율과 컴플라이언스 준수에 철저하다. 조직이 크니 속도가 더디고, 그에 따라 상대적으로 혁신과 기회 창출이 느릴 수밖에 없다. 그
래서 스피드와 혁신은 인수합병(M&A)을 통해 수혈한다.
물론 ‘대형 벤처’라고 스스로 주창하는 애플 같은 기업도 있다. 그러나 그것은 스티브 잡스라는 걸출한 세기의 스타 최고경영자(CEO)가 주도했기
에 가능했다. 사업 모델도 아이폰·아이패드·아이팟과 같은 몇 개의 제품과 통일된 서비스 플랫폼(iTunes), 유일한 운영체제(iOS)로 단순하면서도
일체감 있게 구성돼 있어 집중력을 발휘하기에 유리하다. 그런 애플마저도 M&A에는 적극적이다.
안랩 부스를 찾아온 전문가의 눈에 안랩이 독특하게 보였던 이유는 미국 전시회에는 처음 참가한 신인인데, 실체는 17년간 한 우물을 판 전문 기
업이기 때문이었다. 글로벌 대기업에 비하면 턱없이 작은 규모다. 그러나 짧은 시간 특정 분야에 집중하는 일반 벤처기업과 달리 오랜 기간의 경
험과 R&D 역량을 보유하고 있다. 이런 차별점이 그에게 익숙했던 IT 기업군과는 다른 존재로 관심을 끌었을 것이다.
미국에서 벤처기업을 성공적으로 키워 아주 높은 가격에 대기업에 인도한 어느 사업가와 대화할 기회가 있었다. 인수한 대기업에서 고위 경영진
으로 계속 일할 것을 제의받았고, 직접 벤처캐피털도 만들어 봤지만, 그는 이 모두를 그만두고 새로운 사업을 시작한 터였다. 까닭을 묻자 그는 이
렇게 답했다. “대기업에서 큰일을 도모할 수 있고 존경도 받을 수 있다. 벤처 투자도 내 경험을 살릴 수 있는 업무다. 그런데 도무지 즐겁지가 않
았다. 다른 사람이 하는 것을 관리하는 것보다 내가 직접 새로운 것을 도전하는 게 항상 즐겁다.”
이미 많은 것을 이뤘음에도 거기에 안주하지 않고 끊임없이 도전하는 것이 기업을 달리 보이게 하고 개인을 즐겁게 하는 원천인 셈이다. 생각해
보면 향후 20~30년간 과학기술은 IT를 중심으로 융합되어 문명을 엄청나게 발전시킬 것이다. 아마 30년 뒤에 오늘을 돌이켜보면, 마치 우리가 현
재에서 몇백 년 전을 돌이켜보는 듯한 느낌을 가질 수도 있다. 그 열쇠는 새로운 도전, 다시 말해 과학기술 개발과 이를 활발히 사업화해 실생활
에 적용하는 기업가 정신에 있다.
그런데 이러한 역사적 시점에 과학기술과 이공계를 기피하고, 도전보다 안정을 추구하는 우리 세태는 문제가 심각하다. 우리의 미래는 기술개발
에 달려 있다. 사업에는 많은 요소가 있지만, 지금 시대처럼 기술력과 창의적 문화가 중요했던 적은 일찍이 없다.
지금 이 순간에도 기술 투자를 아끼지 않는 기업들이 미래를 위해 도전하고 세계로 나아가고 있다. 잠재력을 지닌 많은 개인도 상상력을 발휘하
고 싶어 한다. 그러한 꿈이 이루어질 수 있도록 균등한 기회와 공정한 산업구조를 이루고, 교육 시스템을 개혁하는 것 같은 환경 조성이 필요하다.
우리의 미래는 도전의 즐거움을 얼마나 고취할 수 있느냐에 달려 있다.
안랩 대표 김홍선
4
보안 관제 서비스가
새롭게 인정받는 이유
인터넷 비즈니스를 하고 있는 A사의 전산팀 팀장이자 시스템 아키텍트인 박부장.
A사의 전산팀은 박부장을 포함해 총 4명이다. 이 4명이 서버, 네트워크, 보안까지 전체 IT 인프라를 담당하고 있다. 수십 대의 서버부터 수
백 대에 이르는 PC는 물론 각종 유틸리티 기기, 모바일 기기까지 그들이 다뤄야 하는 시스템은 점차 늘어나고 있다.
박부장에게 요즘 최대 골칫거리는 보안이다. A사는 회원 기반의 인터넷 비즈니스를 하기 때문에 고객 정보 보호와 안정적인 서비스 제공이
최우선이다. 그래서 각종 보안 이슈가 발생할 때마다 그것을 방어해주는 적절한 보안 장비를 도입하는 데 투자를 아끼지 않았다. 안티바이
러스는 물론 방화벽, 침입방지시스템(IPS), DDoS 방어 시스템까지. 전문적인 보안 인력이 없는 가운데 점점 늘어난 이 보안 시스템들을 관
리•운영하기란 여간 어려운 일이 아니다. 그런데 이번에는 APT(Advanced persistence Threat)란 괴물 같은 놈이 등장했다. ‘아파트’인
지 ‘에피티’인지 용어조차 생소한 이 놈은 기존 보안 솔루션으로는 막을 수 없단다.
너무나 빠르게 변화하는 보안 트렌드를 쫓아가기에 지친 박부장은 이렇게 외치고 싶다.
“제발, 그만! 나 이제 나의 일로 돌아갈래!”
S p E C i a l R E p O R T managed Security Service
이러한 상황은 기업의 시스템 담당자라면 누구나 공감할 것이다. 점차 늘어나는 시스템과 애플리케이션, 이를 악용한 취약점, 그리고 이를 방어
하기 위해 도입한 보안 장비들의 관리 포인트 증가는 전산 담당자들의 최대 고민거리이다.
이 고민을 해결해 줄 가장 적절한 처방은 바로 ‘보안 관제 서비스(Security Managed Service)’이다.
지금부터 보안 관제 서비스의 필요성과 안랩의 보안 관제 서비스에 대해 자세히 알아보자.
왜 보안 관제 서비스를 주목하는가
국내에 보안 관제 서비스가 등장한 것은 지난 2000년 초반.
안랩의 자회사였던 안랩코코넛이 2000년 국내 최초로 보안 관제 서비스를 선보였다. 보안 관제 서비스는 필요성과 가치 측면에서는 인정을 받
았으나 보안 분야의 주류로 부상하지는 못했다. 그런데 2012년 현 시점에서 보안 관제 서비스가 새롭게 각광받는 이유는 뭘까.
기업의 IT 환경을 둘러싼 보안 위협은 더욱 지능적으로 변화했다. 분산서비스거부(DDoS) 공격부터 해킹까지, 그리고 데스크톱 PC부터 스마트폰
에 이르기까지 다양하고 고도화된 공격이 발생하고 있다. 그 발생 건수와 이로 인한 피해액도 점차 증가하고 있는 추세이다.
이를 해결하기 위해서는 최신 보안 트렌드를 파악하고 적절한 보안 솔루션을 방어해야만 한다. 하지만 기업 내 보안 전문 인력과 예산은 턱없이
부족한 것이 현실이다.
특히, 최근 2~3년 사이 차세대 위협으로 급부상한 APT(Advanced Persistence Threat)의 경우 단순 보안 솔루션만으로는 방어는커녕 공격에
대한 인지조차 불가능하다. 이러한 APT 공격과 같은 위협에 대처하기 위해서는 입체적인 대책 마련이 중요하다. 즉, 24시간 365일 종합 모니터
링을 통해 각 보안 솔루션에서 데이터를 수집하고, 이를 분석해서 공격의 실체를 파악한다. 이어 각 시스템과 서비스, 보안 인프라를 연동해 공
격을 방어하고, 사후조치까지 연결되는 종합 대책이 뒷받침되어야만 한다.
그러나 기업에서 자체 통합보안관제센터를 갖추고 IT 전반 및 보안에 대한 깊은 지식을 갖춘 많은 인력을 상시 배치하기란 결코 쉽지 않다. 따라
서 이를 대행해주는 보안 관제 서비스가 새롭게 각광받는 것이다.
55
보안 관제 서비스란 무엇인가?
보안 관제 서비스(Managed Security Service)는 기업의 일상적인 IT 정보 보안 업무를 효율적이고 효과적으로 수행하기 위해 일회성이 아닌
지속적으로 보안 전문 기업에게 맡기는 IT 서비스이다. 보안 관제 업체는 고객이 요청하는 보안 시스템을 대상으로 24시간 모니터링, 정책 설정,
침입 시도에 대한 탐지, 분석, 대응 등을 통해 고객사의 시스템을 안전하게 보호하는 서비스를 제공한다. 즉, 기업은 핵심 비즈니스에 역량을 집
중하고, 정보 보안 업무는 전문 보안 관제 서비스 업체에 대신 맡기는 것이다.
어떤 기업에 보안 관제 서비스가 필요할까?
첫째, 보안 시스템 운영이 부담스럽고 잘 운영되고 있는지도 의심스럽다.
날로 복잡해지는 침해에 대응하기 위해서 보안 시스템을 도입했지만 보안•해킹, 보안 시스템 운영에 대한 지식의 부족, 또는 기타의 이유로 보
안 시스템을 효율적으로 운영하지 못하고 있는 기업이라면 보안 관제 서비스를 통해 기업의 보안 시스템을 효율적으로 운영할 수 있다.
둘째, 비용 문제로 보안 시스템 도입이 꺼려진다.
보안 시스템 관련 예산 및 비용이 부담스러운 기업이라면 이용한 기간만큼 서비스 요금을 지불하는 방식의 보안 관제 서비스를 선택해 보안 시
스템 도입 및 운영에 소요되는 비용을 절감할 수 있다.
셋째, 자체 보안 인력 및 보안 조직을 보유하기 어려운 상황이다.
상대적으로 규모가 작은 기업의 경우, 보안 인력 또는 보안 조직을 두기가 쉽지 않다. 보안 관제 서비스는 고객사의 보안 시스템 운영을 대신 맡
아주기 때문에 기업의 조직 운영 부담을 줄여준다.
넷째, 침해 사고가 반복적으로 발생하고, 이에 대응하기 벅차다.
침해 사고는 시간을 가리지 않고 발생한다. 언제 발생할지 모르는 침해 사고에 대응하기 위해 상시 대응 인력 보유가 필수적이다. 보안 관제 서
비스는 24시간, 365일 고객의 보안 시스템을 모니터링하며 침해 사고 발생 시 즉각 대응할 수 있도록 상시 대응 조직을 운영하고 있어 침해 사
고로 인한 피해를 최소화할 수 있다.
다섯째, 수많은 보안 솔루션 가운데 어떤 것을 선택해야 할지 모르겠다.
보안 이슈에 따라 수많은 보안 솔루션들이 출시되고 있다. 이 모든 솔루션을 다 구입해야 하는지 또는 이 솔루션이 우리 기업에 적합한 솔루션
인지를 판단하기 쉽지 않다. 보안 관제 서비스는 다양한 솔루션을 경험한 인력들로 구성되기 때문에 솔루션에 대한 정확한 정보와 가장 적합한
솔루션을 선택할 수 있도록 도와준다.
안랩 세피니티 서비스 구성
안랩 세피니티는 무엇이 다른가
보안 관제 서비스는 보안 위협의 트렌드와 고객의 요구에 따라 진화해야 한다. 단순히 보안 시스템을 구축하고 운영하는 것뿐만 아니라 변화
하는 위협에 대응할 수 있는 최신의 기술과 이를 서비스에 빠르게 반영할 수 있는 인프라가 갖춰져 있어야만 한다.
안랩은 엔드포인트•네트워크•모바일까지 보안 각 분야에 대한 원천 기술은 물론, 컨설팅, 보안 SI 등 서비스 영역까지를 아우르는 풍부한 노
하우를 지니고 있다.
또한 안랩은 국내 관제 업체로는 유일하게 24시간 365일 글로벌 악성코드 분석 센터인 안랩 시큐리티대응센터(ASEC)와 침해사고대응센터
(CERT), 사이버 사고 대응 전문조직인 A-FIRST, 보안 컨설팅의 긴밀한 협력을 통해 차별화된 서비스를 제공한다.
“정보 보안은 20%의 기술과 80%의 관리 노력으로 유지된다.”
2000년 초 한국을 방문한 미국의 유명한 해커 렌 로즈(Len Rose)는 보안에서 ‘관리의 중요성’을 이렇게 표현했다. 10여 년이 지난 2012년 현
재에도 이 말은 유효하다. 아니 오히려 더 절실해졌다.
고객에 대한 ‘책임•신뢰’가 묻어나는 공간
안랩은 지난 2011년 10월, 판교 사옥으로 입주하면서 보안 관제 센터를 최첨단 시설로 재정비했다. 안랩 판교 사옥 9층에 위치한 보안 관
제 센터는 35평 규모로 최대 30명의 동시 근무가 가능하다.
벽 한쪽을 가득 채운 18대의 평면 디스플레이 패널로 관제 상황 모니터를 구현해 보안 관제 요원들이 고객의 네트워크 현황을 한눈에 파악
할 수 있다. 또한 고객이나 파트너사가 제품을 테스트할 수 있는 BMT 데모룸을 별도로 설치했다.
AhnLab Security Operation Center 전경
SOC룸 미라클 윈도우 참관실 대용량 UPS 및 관제 서버룸
6
컴플라이언스와 리스크 관리의 해법,
“관제가 보안의 첨병이다”
보안관제팀 윤삼수 팀장, 파견 관제를 말한다
몇 년 전까지만 해도 제3자에게 내부 사정을 속속들이 내보여야 한다는 점과 혹시라도 내부 기밀 정보가 유출될 수 있다는 막연한 거부감
이 ‘보안 관제’의 걸림돌이었다. 그러나 최근 보안 위협이 더욱 고도화되고 정부의 규제 또한 강화됨에 따라 전문가에 의한 관리라는 차원에
서 보안 관제에 대한 관심이 높아지고 있다. 특히 보안 솔루션 역시 고도화됨에 따라 보안 솔루션을 구축하고도 이를 관리할 수 있는 인력의
수나 전문성이 부족하다는 면에서 보안 관제 전문 업체를 찾는 기업이 늘고 있다.
“관제는 양적인 측면이 아니라 질적인 측면에서 그 차이가 벌어진다”고 안랩 보안관제팀 윤삼수 팀장은 지적했다. 사람이 많다고 좋은 것이
아니라 위협을 정확하게 탐지하고 분석할 수 있는 기술과 시스템을 보유한 업체를 선택해야 제대로 된 관제 서비스의 효과를 볼 수 있다는
것이다.
윤삼수 팀장은 네트워크 보안부터 보안 관제까지, 그야말로 보안 바닥에서 ‘잔뼈’가 굵은 보안 전문가다. 안랩의 파견 관제 서비스뿐만 아니
라 최근의 보안 침해 사고 동향부터 컴플라이언스, 거버넌스와 리스크 관리까지 보안 관제의 역할과 함께 효과적인 보안 관제 도입에 대한
그의 조언을 들어본다.
S p E C i a l R E p O R T managed Security Service
7
최근 보안 관제가 다시 주목받고 있다. 그 이유는 무엇인가?
지난 해 굵직한 보안 침해 사고가 잇따라 발생했던 점도 관제가 주목
받는 원인이 아닐까 싶다. 상당수 기업은 실제로 위협에 어떻게 방어해
야 할지도 모르고, 지금 공격을 당하고 있는지, 심지어 정보가 탈취됐는
지조차도 모르고 있다는 생각에 불안해하는 경우가 많다. 내부 위협 요
인 식별조차 어렵다. 그러다 보니 이를 대신 해줄 수 있는 전문가를 찾
게 된다.
게다가 개인정보보호법이나 금융보안 관련법 등 컴플라이언스
(compliance) 이슈를 피하기 위해 보안 장비는 잔뜩 구입했지만, 이것
을 운영할 방법이나 전문 지식이 없는 경우가 대다수다. 결국 도입한 장
비들이 제 역할을 못하거나 각각 따로 움직여 통합적인 대응이 어렵다.
공공기관의 경우, 지난 2010년 국가사이버안전관리규정 개정안이 공
포되면서 보안 관제 센터를 구축하거나 업무를 위탁해야 하며 보안 관
제 전담 직원을 상시 배치하는 것이 의무화되었다. 이러한 분위기가 일
반 기업에도 영향을 준 것으로 생각된다.
즉, 보안 관제를 통해 흩어져 있는 보안 장비를 하나로 묶어서 활용할
수 있다는 점, 또 위협 노출에 대한 실시간 분석을 통해 적극적으로 대
응이 가능하다는 점에서 보안 관제에 관심을 갖는 고객이 늘고 있다.
전문 조직에게 의뢰하여 보안 위협 및 컴플라이언스 이슈에 대한 리스
크를 최소화하기 위한 목적도 빼놓을 수 없다.보안관제팀 윤삼수 팀장
8
그렇다면 파견 관제란 무엇인가?
보안 관제 서비스는 원격 관제와 파견 관제로 나뉜다. 원격 관제는 외
부의 보안 업체에서 고객사 내부에 있는 보안 장비를 원격으로 모니터
링하고 관리하는 방식이다. 과거에는 원격 관제만을 보안 관제라고 표
현했으며, 닷컴 업체들이 주 고객이었다. 그 이유는 비용적인 문제와도
관련이 있다. 파견 관제는 인력 비용이 만만치 않기 때문이다.
원격 관제가 기술적인 관점에서 수행되는 것이라고 한다면, 기술 보안
과 관리 보안의 영역을 함께 수행하는 것이 파견 관제다. 최근 파견 관
제가 늘어나는 이유는 단순히 보안 장비를 운용하는 것을 넘어 거버넌
스(governance)와 컴플라이언스 관점에서 기업 내부 영역까지 관리해
야 하는 필요성이 대두됐기 때문이다.
또 다른 차이라면 고객사 규모의 차이다. 원격 관제의 고객은 중소기업
이나 내부에 보안 담당 조직이 있음에도 24시간, 365일 모니터링을 원
하는 대형 포털 기업들이다. 이에 반해 파견 관제는 규모가 큰 곳이 주
요 고객이다.
파견 관제의 장점 또는 특징이 있다면?
원격 관제는 완벽히 접점만 관리하고 고객사 내부까지 들여다보지 않
지만 파견 관제는 내부, 즉 사람까지 관제의 대상으로 본다.
파견 관제는 인력이 직접 고객사에 파견되어 업무를 수행하는 만큼 고
객사의 비즈니스에 대한 이해도가 높다. 이 때문에 최근 파견 관제에
대해 문의하는 고객들이 늘고 있다. 금융권을 예로 들면 과거에는 대형
고객사를 제외하면 파견 관제를 도입하는 곳이 많지 않았는데, 지난 해
대형 보안 침해 사고가 잇따라 발생하면서 고객사가 확산되고 있는 추
세다.
파견 관제의 또 다른 장점을 꼽으라면 문제 발생 시, PC 등 문제가 발
생한 기기에 직접 접근하여 좀 더 정밀하게 들여다 볼 수 있다는 점이
다. 그러나 파견 관제는 전문 인력이 현장에서 24시간 365일 직접 업
무를 수행하는 만큼 적지 않은 비용이 발생한다.
다른 보안 관제 업체 대비 안랩 파견 관제만의 차별점이 있다면?
분석 관제를 할 수 있는 곳, 즉 악성코드 및 공격 유형 등 위협을 실제
로 분석하고 대응할 수 있는 곳은 국내에서 안랩이 유일하다. 타사에서
도 일정 부분 이러한 조직을 운영하고 있는 곳이 있지만 안랩의 인프라
와 비교조차 할 수 없다. 안랩은 클라우드 기반의 악성코드 수집 및 분
석 시스템 ASD(AhnLab Smart Defense)와 ASEC(시큐리티대응센터),
CERT(침해사고대응센터)의 위협 모니터링 및 대응 서비스가 유기적
으로 결합된 공격 대응 플랫폼 ACCESS(AhnLab Cloud Computing
E-Security Service)를 구현하고 있다. 이러한 인프라가 뒷받침해주기
때문에 안랩은 타사와는 차별화된 보안 관제 서비스를 제공할 수 있다.
일반적으로 파견 관제의 경우, 의심스러운 것이 발견되어도 대개 그것
을 충분히 분석할 여유가 없다. 실시간으로 그러한 정보가 계속해서 들
어오기 때문에 깊이 분석할 시간이 없는 것이다. 그러나 안랩의 파견
관제는 고객사 현장에서 의심스러운 행위를 발견하는 즉시 안랩의 백
엔드 시스템에서 실시간으로 확인 및 분석이 가능하다. 파견된 안랩의
직원들이 현장에서 정밀하게 분석하고 백엔드의 DB 및 기술력과 연계
해 더욱 빠르게 대응한다. 예를 들어, 고객사 내부로 유입되는 파일 탐
지 및 분석과 관련해 타사는 일부만 확인이 가능하지만 안랩은 매우 전
문적으로 분석한다. 실제로 상당수 고객사들이 “다른 업체는 못 믿겠
다. 안랩이 해줬으면 좋겠다”며 문의해오고 있다.
파견 관제는 특히 파견 인력의 전문성이 업체의 경쟁력을 좌우할
것 같은데?
물론이다. 관제 서비스는 탐지와 모니터링이 기본 업무다. 이 부분 역
시 기술과 노하우가 축적되어야만 가능하다. 그러나 최근의 보안 위협
에 대응하기 위해서는 위협이 탐지됐을 때 이에 대한 실시간 분석과 대
응이 뒤따라야만 한다. 또한 어떤 데이터를 모니터링하고, 위협을 어떻
게 탐지할 것인지, 특히 고객사 내부에서 흘러가는 데이터의 의미를 조
합하고 판단해야 하기 때문에 고객사의 비즈니스 프로세스에 대한 이
해가 필요하다.
평상시에는 기본적인 모니터링 및 탐지 기술이 필요하지만, 위협 발생
시에는 리버스 엔지니어링 등 포렌식 기술이 요구된다. 여기에서 안랩
의 인프라가 빛을 발하게 된다. 고객사 내부 네트워크에서 의심스러운
행위를 포착하면 즉시 ASEC에 위협 요소의 행위 분석 등 정밀 진단을
요청한다. 동시에 고객사 현장에서는 악성코드 분석, 행위 분석, 시스
템 레지스트리 분석 등을 실시한다. 침해 사고로 판단되면 1차적인 포
렌식도 수행한다.
보안 관제에는 깊이의 차이만 다소 있을 뿐, 보안에 관한 모든 기술이
다 포함되어야 한다. 특히 보안 장비뿐만 아니라 서버 시스템, 애플리
케이션, 고객사 비즈니스 로직에 대한 이해가 반드시 요구된다. 여기에
보안 기술인 악성코드 취약성 분석 모의해킹 등 전문적인 기술을 모두
갖춰야만 한다.
9
안랩의 파견 관제 서비스를 받은 고객사의 반응이 궁금하다.
최근 한 고객사에서 “안랩의 파견 관제는 다른 회사와는 확실히 다르
다”고 평가했다. 타 회사와 달리 안랩은 고객사가 요구하지 않아도 먼
저 적극적으로 개선점을 찾아 제안해주기 때문에 더욱 만족도가 높다.
안랩의 관제 서비스는 고객사의 위협 요소뿐만 아니라 프로세스나 정
책에 대해 함께 고민하고 개선할 수 있는 방법을 조언한다. 또 고객사
에 도움이 될 수 있는 툴을 자체 개발하거나 안랩의 분석 탐지 메커니
즘을 제공한다. 이렇게 고객사에 최적화된 서비스를 통해 위협에 더욱
신속하게 대처할 수 있다.
성공적인 파견 관제 사례가 있다면?
지난 2011년 3 •4 DDoS 공격 대응이 가장 먼저 떠오른다. 3 •4 DDoS
공격은 주요 금융 기관 7곳을 포함한 총 40여 개 기관을 타깃으로 발
생했다. 2011년 3월 3일 저녁, KB국민은행에 파견되어 있던 안랩의 직
원들이 DDoS로 의심되는 움직임을 파악하고 즉시 KB국민은행 비상대
응팀에 경고를 전달했다. 안랩의 사이버 공격 대응 플랫폼 ACCESS를
통해 분석한 결과, KB국민은행을 대상으로 2차례의 DDoS 공격이 발
생할 것이 파악되었다. 이에 안랩의 파견 관제팀과 KB국민은행 비상대
응팀이 함께 종합상황실에서 방화벽, 네트워크 진단 및 모니터링, 긴급
백신 프로그램 설치 등을 진행했다. 특히 KB국민은행만을 타깃으로 한
변종 악성코드를 사전에 탐지, 분석하여 전용 백신 프로그램을 개발해
대응할 수 있었던 것은 안랩의 인프라가 있었기에 가능한 일이었다.
KB국민은행은 당시 3차례 이어진 공격의 마지막 순간까지도 타깃으로
설정되어 있었다. 그러나 안랩의 DDoS 공격 대응 시나리오를 토대로
모의훈련을 해왔기 때문에 별다른 장애 없이 DDoS 공격을 무력화할
수 있었다. 공격의 징후가 완전히 사라졌음이 확인되자 KB국민은행 비
상대응팀과 안랩 파견 직원들은 환호와 박수로 서로의 노고를 치하하
고 신뢰의 마음을 전했다.
물론 이것은 수년간 체계적인 정보보호 역량 강화와 IT 보안 강화 등을
위한 KB국민은행의 지속적인 투자가 결실을 맺은 것이다. 더불어 안랩
파견 직원들의 전문성과 보안 인프라가 빛을 발했다는 점에서 상당히
자랑스러운 사례이다.
보안 관제 서비스 도입을 고려하는 기업에 조언을 한다면?
보안 관제 서비스 업체를 선정할 때, 업체의 기술과 노하우뿐만 아니라
관제 인력을 지원해줄 수 있는 백엔드 인프라를 갖춘 업체인지 꼼꼼히
따져보아야만 한다.
보안 관제는 보안 회사 속의 또 다른 회사다. 보안 업체가 갖고 있는 모
든 역할과 기능이 관제팀 조직에 모두 갖춰져 있어야만 하기 때문이다.
그렇다 보니 관제팀 내부적으로도 인력 구성 및 역할 분담, 스케줄 관리
등 고민해야 할 부분이 많다. 따라서 보안 관제는 필요한 기능을 모두
갖춘 인력과 이들에 대한 지원이 가능한 인프라와 규모, 그리고 경험과
노하우가 있는 회사만이 할 수 있는 것이다. 사람과 경험, 시스템, 그리
고 백엔드 인프라가 갖춰지지 않으면 관제는 결코 성공할 수 없다.
그러나 일부 보안 업체들은 인원수만 있으면 관제를 할 수 있다고 주장
한다. 이는 명백한 오류다. 관제는 결코 인원수로 채워서 해결할 수 있
는 영역이 아니다. 다년간의 노하우와 축적된 콘텐츠가 없으면 양질의
서비스가 불가능하다.
원격 관제에 비해 파견 관제는 인력이 큰 비중을 차지한다. 어느
정도의 인력을 적절한 규모라 할 수 있을까?
실제로 고객사 제안 시 자주 나오는 질문이 “왜 이렇게 사람이 많이 필
요하냐?”이다. 대개 파견 관제는 최소 8명으로 구성된다. ‘관제’라고 하
면 보통 24시간 운영하는데, 이를 위해 2명 1개조로 나눠 주간조와 야
간조가 맞교대하는 방식으로 업무를 수행한다. 고객사 규모에 관계없이
최소한의 컨디션을 유지하면서 관제를 수행하기 위한 인원 구성이다.
그러나 이것은 관제 역할만 수행하는 인력이다. 관제팀을 관리할 수 있
는 PM 또는 선임 연구원까지 포함한다면 관제만을 담당하는 최소 인
원수는 9명이 된다. 여기에 피해를 분석할 수 있는 인력까지 포함한다
면 12~13명 정도의 인원이 갖춰져야 효과적인 관제가 가능하다.
관제 서비스 제공 시 어려운 점이 있다면?
관제는 단순히 방화벽, IDS(침입탐지시스템), 이벤트만 모니터링하는
것이 아니다. 그 외의 다양한 역할을 수행하고 많은 서비스를 제공하고
있는데, 이러한 성과에 대해 인정받지 못하는 부분이 아쉽다. 예를 들
어 고객사에 대한 리포트 외에 일반적인 보안 동향, 정보 등 콘텐츠도
많이 지원하는데, 이것이 당연한 것으로 여겨지는 경우가 많다. 그러나
수많은 데이터를 토대로 콘텐츠를 만드는 것은 별도의 리소스가 소모
되는 작업이다. 이를 위해 인력이나 비용이 소요되는 만큼 별도의 기간
이나 비용 등이 산정될 필요가 있다.
어떤 고객사는 컨설팅을 요구하는 경우도 있다. 보안 컨설팅은 별도의
전문 영역이다. 물론 고객들의 입장에서는 “안랩이 전문가니까”, “안랩
이라면 다 해줄 수 있을 것이다”라는 생각으로 요청한다. 이러한 요청
에 대해 최대한 도움을 주려고 하지만, 관제 리소스는 관제에 집중해야
제 실력을 발휘할 수 있다.
결국 보안 관제의 가치가 인정되는 시장 분위기가 필요하다. 보안 관제
서비스에 대한 적절한 비용 책정이 가장 시급하다. 좀 더 구체적으로
표현하자면, 단순히 인건비뿐만 아니라 기술에 대한 부분이 100% 반
영되어야 하는데 전문 기술료에 대한 이해가 절대적으로 부족하다. 보
안 관제 서비스의 가치에 대해 인정해주는 시장, 시대가 마련되어야 한
다. 그래야 더욱 뛰어난 인재 육성이 가능할 것이며, 이를 통해 더 좋은
품질의 서비스가 가능하게 될 것이다.
향후 안랩 관제 서비스의 전략과 비전이 궁금하다.
점차 기업의 보안 관리 운영 체계가 강화되고, 그에 따라 관제의 필요
성 또한 커질 것으로 전망된다. 특히 컴플라이언스 이슈와 관련해 보안
관제에 대한 수요가 증가할 것으로 보인다. 또한 최근 보안은 네트워크
장비 위주에서 내부 관리까지 영역이 확대되고 있다. 결국 보안 관제는
기술적인 측면은 물론 거버넌스, 컴플라이언스, 그리고 이에 따른 리스
크 매니지먼트를 위한 내부 통제 영역까지 포함된 ‘융합 관제’의 형태
로 발전할 것이다. 안랩은 이미 수년 전부터 융합 관제를 제공하기 위
해 충분한 준비를 해왔으며 이에 따른 인프라를 완전히 갖춘 상태다.
네오시안a h N l a b ’ S p a R T N E R
새로운 가치를 창조하는 그들
‘네오시안’
[Government Partner(GP)_네오시안]
채널 비즈니스를 하는 벤더의 입장에서, 고객 접점에 있는 파트너사들은 1차 고객이자 매우 중요한 협력자다. 안랩의 경우도 그러하
다. 제품의 포트폴리오가 확대될수록, 고객이 늘어날수록 안랩의 손길이 직접 미치지 않는 곳이 생길 수밖에 없다. 이를 효과적으로
메워줄 뿐 아니라 그 속에서 새로운 비즈니스 기회와 가치를 찾아주는 것이 파트너사들이다. 가장 밀접한 관계이지만 가장 냉철하게
비판해야 하는 것도 파트너사들의 역할이다.
안랩이 지난 17년간 부침을 거듭하면서도 국내 보안 업계에서 탄탄한 입지를 굳히고 2011년 수주액 1000억 원을 달성한 것은, 제
몸을 아끼지 않고 뛰었던 파트너사들이 있었기에 가능한 일이었다. 안랩이 성장하는 만큼, 파트너사들도 성장할 것이다. 파트너사들
이 빠르게 발전할수록 안랩의 성장도 탄력을 받을 것이다. 그러니 서로를 더욱 이해하는 한편, 도태되지 않도록 감시도 해야 한다.
입술이 없으면 이가 시리다(脣亡齒寒)지 않는가.
1980년대는 소프트웨어 유통 1세대로 ‘패키지 유통’의 시대라 할 수 있다. 1990년대로 들어서면서는 라이선스에 대한 개념이 확산되면서
‘소프트웨어 라이선스 유통’이 대세였다. 하지만 지금 소프트웨어는 또 다른 변화의 시대를 맞고 있다. 단순히 소프트웨어 라이선스를 판매하
는 것에서 그치는 것이 아니라, 고객들이 라이선스 프로그램을 이해하고 관리함으로써 비용을 최소화하고 향후 구매 계획까지 세울 수 있도
록 정보와 컨설팅을 제공할 수 있어야 한다. 최소의 비용으로 최대의 효과를 낼 수 있도록 소프트웨어를 활용하고 관리할 수 있는 교육 및 지
원을 제공하는 시대다.
네오시안은 이를 ‘서비스 유통’의 시대라고 명명했다. 서비스 유통 시대에서 기술력은 필수다. 그래서 네오시안 직원 중 엔지니어의 비율이
40%다. 자체 엔지니어를 확보하고 기술 지원 능력 향상을 위한 투자를 아끼지 않고 있다. 덕분에 재계약율이 100%에 가깝다. 안랩 파트너
사들의 재계약률은 타 벤더와 비교해 매우 높은 편이긴 하지만, 그 중에서도 네오시안의 재계약률은 독보적이다.
10
네오시안은 젊다.
모회사인 소프티안에서 소프트사업부를 떼어 독립한 게 2006년 7월이
었으니 이제 설립 6주년을 맞았다.
10명 직원들의 연령은 스물여섯 살에서 서른여덟 살. 평균 연령도 삼
십 대이고, 마인드도 정력넘치는 삼십 대이다.
네오시안의 네오(Neo)는 ‘새롭다’는 뜻이다. 시안(xian)은 ‘설명, 해석
(explanation)’이라는 의미다. 네오시안 글자를 감싸고 있는 둥근 반
원은 사람의 이미지를 표현한 것이다. ‘충분한 이해와 분석을 바탕으로
고객사의 환경을 새롭게 해석하고 새로운 가치를 창조해주는 사람들’
이라는 뜻을 담았다.
네오시안은 안랩 공공 부문 파트너(GP) 중에서 매출이 가장 우수하다.
2009년부터 3년 연속 매출 1위를 지키고 있다. 네오시안을 통해 안랩 보안 솔루션을 사용하고 있는 공공기관은 700여 곳에 달한다.
김정욱 대표는 “안랩의 보안 제품은 매년 재계약을 할 수 있으므로, 꾸준하게 관리하고 노력하면 매년 성장할 수 있는 사업 모델”이라고 강
조한다.
안랩과 협력하면서 네오시안은 비즈니스에 대한 자신감과 경쟁력을 얻었다. 안랩 비즈니스는 네오시안의 첫번째 도전이자 성과였으며, 또
다른 도전을 위한 발판이 되었다. 창업 초기 전체 매출의 50% 정도였던 안랩 비즈니스의 비중이 2011년 70% 이상으로 커졌고, 매출액도
안정화 단계로 접어들고 있다.
기술력을 바탕으로 서비스를 유통하라.
서비스 유통 시대의 지상과제다. 안티바이러스 제품은 특히 영업이 잘 이뤄져 계약을 했다손 치더라도 지속적으로 지원하지 않는다면 재계
약을 장담할 수 없다.
고객의 만족을 극대화하기 위해 가장 중요한 것은 사용상의 불편을 최소화하는 것이다. 설치는 물론 장애 발생 시의 대응력이 그 척도가 된
다. 이를 위해 기술 지원 강화는 필수다. 고객사에 장애가 발생하면 1차적으로 파트너사의 대응이 이뤄진다. 긴급 시에는 안랩이 직접 운영
하는 유선상 대응 시스템인 핫 라인(Hot Line)을 이용할 수도 있다. 안랩은 또한 파트너사들의 기술력을 증진하기 위해 매 분기마다 한 번씩
파트너사 엔지니어 교육을 실시하고 있다. 이는 파트너사 엔지니어들의 기본기 향상은 물론, 안랩이 보유한 경험을 공유하고 발전시키는 데
도 매우 유용하다. 네오시안은 이러한 기회를 결코 놓치지 않는다. 엔지니어 기술력 향상을 위한 더없이 좋은 기회이니까.
ahn
lab
’s p
artn
er
11
네오시안은 사장이 열 명?
네오시안 구성원 모두가 사장이라 해도 틀린 말이 아니다. 힘들고 어려
운 시간을 함께 보내면서 변함없는 열정과 노력을 쏟아붓고 있는 10명
의 직원들은 네오시안의 최대 경쟁력이고 자산이다.
네오시안에는 ‘들어오는 사람’은 있어도 ‘나가는 사람’은 없다. 창업 초
기부터 성과에 대해 투명하게 평가하고 그 성과를 공정하게 나눠가짐
으로써 개개인이 모두 대표라는 마인드로 회사를 키우고 있다. 안랩 매
출 1등 파트너의 배경에는 이러한 기업 분위기가 있었다. 이는 앞으로
도 네오시안 발전의 가장 큰 힘이자 비전일 것이다. ‘가족 같은 분위기’
의 네오시안에 6년 동안 모인 가족 구성원들의 가족애는 매우 끈끈하다.
12
ahn
lab
’s p
artn
er
안랩은 월간 ‘안’ 2012년 연중 기획으로 ‘Ahnlab's Partner’ 꼭지를 신설했습니다. 이 꼭지는 안랩과 함께 성공 비즈니스를 위해 노력하는 협력 업체를 소개하는 자리입니
다. 이를 통해 안랩과 협력 업체 비즈니스의 시너지 창출은 물론 새로운 도약의 기회를 마련해 보고자 합니다.
네오시안은 꿈이자 비전이다.
힘겨운 상황에서도 구성원 한 명 한 명의 땀과 노력으로 좋은 결과와
비전을 만들어왔다. 앞으로도 고객과 직원이 모두 만족할 수 있는 비전
을 공유하는 기업이 되겠다는 것이 네오시안의 포부다.
안랩은 통합 보안 솔루션 제공 업체로서의 행보를 가속하고 있다. 엔드
포인트 제품뿐만 아니라 네트워크 보안, 트랜잭션 보안 등 보안에 관한
전 제품 라인을 갖추고 있다. 이에 맞춰 네오시안도 통합 보안 솔루션
을 제공하는 업체로 성장한다는 계획이다.
안랩 비즈니스에 몰입하다보니 ‘안랩 사업만 하는 거 아니냐?’는 오해
를 받기도 한다. 하지만 네오시안의 비전은 토털 보안 솔루션 제공 업
체다. 이를 위한 가장 좋은 파트너가 안랩인 것이다.
지금까지의 6년을 열심히 살았듯이, 앞으로 6년 후에는 정보보안 분야
에서 명실상부한 SI 업체로 성장한 네오시안을 볼 수 있을 것이다.
13
Security prospectsS p O T l i g h T
“빅 데이터, 가시성,
그리고 매니지먼트가 관건”
2012년 보안 위협 예측과 대응 방안
3월 7일, 서울 코엑스 인터콘티넨탈 호텔 하모니룸에서 진행된 ‘제11회 Next Generation Network Security Vision 2012’에서 안랩
이호웅 안랩 시큐리티대응센터장은 <2012년 보안 위협 예측과 대응 방안>이라는 주제로 기조연설에 나섰다. 이호웅 센터장은 ‘빅 데이
터(Big Data)’와 이에 대한 ‘가시성(Visibility)’, 그리고 거버넌스와 컴플라이언스 이슈에 따른 ‘매니지먼트(Management)’를 올해 보안
위협의 키워드로 꼽았다. 또한 고도화된 악성코드를 이용한 지능형 타깃 공격 APT(Advanced Persistent Threat)가 지속적으로 발생할
것이라고 경고하고, 스마트 디바이스에 대한 보안 위협들이 이슈로 제기될 것이라고 예측했다.
2011년 보안 관련 키워드로 ▲DDoS ▲APT ▲스턱스넷(Stuxnet) ▲소셜 엔지니어링(Social Engineering) ▲악성코드의 진화를 꼽을 수 있다.
2011년 3월, 또 다시 대규모 DDoS 공격이 발생해 기업들을 긴장시켰다. 그러나 안랩을 비롯한 보안 업체들과 정부 기관의 공조를 통해 3 •4
DDoS 공격은 사실상 실패로 돌아갔다.
4월부터는 고도화된 지능형 공격인 APT로 인한 기업 보안 침해 사고가 잇따라 발생하면서 전 세계적으로 APT가 화두가 되었다. 대표적으로
2011년 4월에 발생한 EMC RSA 사례가 있다. 당시 플래시 취약점을 이용한 악성코드를 통해 EMC RSA의 2팩터 인증(2-factor authentication)
메커니즘이 유출돼 미국 군수업체 록히드마틴(Lockheed Martin)사의 2팩터 인증을 해킹하려는 공격 시도로 이어진 바 있다. 국내의 경우, APT
는 언론을 통해 ‘기업 보안 침해 사고’라는 용어로 불리는데, 지난 해 대규모 정보 유출 사건은 APT 공격으로 분류된다.
또 다른 키워드인 스턱스넷도 넓은 의미에서 APT 공격의 일종이다. 2011년 발견되어 스턱스넷의 일종으로 알려진 듀큐(Duqu) 악성코드의 소
스가 스턱스넷과 상당히 유사한 것으로 밝혀졌다. 이호웅 센터장은 “스턱스넷과 달리 듀큐는 시스템 제어나 마비가 목적이 아니라 정보 탈취가
목적이라는 점에 주목할 필요가 있다”고 말했다.
14
결국 공격의 시작은 악성코드
이호웅 센터장은 “DDoS나 APT 등은 결과, 즉 증상일 뿐”이라며 “이
에 앞서 어떤 악성코드가 어떠한 취약점을 통해 감염되었는지가 중요
하다”고 강조했다.
최근 주로 PDF나 플래시 등의 취약점을 이용해 많은 공격이 발생하고
있다. 사회공학적 기법(Social Engineering)을 이용해 악성코드가 유
포되기도 한다. 이때 유명인 사망 등 사회적으로 이슈가 된 사건이 주
로 이용되며, 페이스북이나 트위터 링크를 통해 유포되는 경우가 많
다. 이 밖에도 정상적인 소프트웨어 업데이트로 위장하여 악성코드가
유포된 사례는 해킹을 통해 시스템 내부에서 정상적인 트래픽으로 위
장하여 악성코드를 감염시키는 방식이었다고 설명했다.
한편 2011년 중·하반기부터 루트킷에 이어 부트킷이 극성을 부렸다.
부트킷(Bootkit)이란 컴퓨터 하드디스크의 부트 섹터(Boot Sector)를
감염시키는 악성코드다. 부트킷은 MBR(Master Boot Record) 영역을
파괴해 결과적으로 하드디스크 데이터 파괴를 초래한다.
이러한 악성코드 대응과 관련해 이호웅 센터장은 “셸코드가 동작하는
것을 어떻게 감지하여 차단할 것인가가 관건이다. 문제는 셸코드 감지
시점이 언제인가 하는 것이다”라고 강조했다. 또한 셸코드 탐지의 퍼
포먼스는 상당히 리소스 소모적이기 때문에 올해 많은 보안 업체들이
악성코드 탐지를 위한 셸코드 탐지 기술 또는 제품을 내놓을 것으로
전망했다.
APT 공격의 문을 열어놓는 계정 탈취
정상적인 전자 서명을 도용하여 악성코드를 배포하는 사례도 있다. 유
명 기업의 서명을 도용하여 인증서를 위조해 악성코드를 배포하는 것
이다. 문제는 많은 기업들이 자신의 인증서가 유출됐음에도 불구하고
이를 폐기하면 끝이라고 생각한다는 것. 기업의 인증키가 유출되었다
는 것은 APT 공격의 문을 열어둔 것이나 진배없다. 인증서 개발자들
의 PC가 해커에 노출되었다는 것은 소스와 부가적인 정보들까지 노출
되었을 가능성을 의미하기 때문이다. 이호웅 센터장은 “이를 통한 또
다른 APT 공격이 발생할 수 있다”고 경고했다.
한편 매년 악성코드가 기하급수적으로 증가한다는 것은 이미 잘 알려
진 사실이다. 이에 대해 이호웅 센터장은 “작년에 보고된 악성코드 감
염 피해 사례의 상당 부분이 온라인 게임과 관련된 것이었는데, 문제
는 이것이 게임 해킹을 위한 악성코드가 아니라 계정 탈취를 목적으
로 하는 악성코드라는 점”이라고 말했다.
한편 2011년 악성코드를 유형별로 보았을 때 전체적으로 트로이목마
가 가장 많았다. 이는 계정 탈취를 목적으로 한 악성코드가 많다는 것
으로 해석할 수 있다. 실제로 APT 공격에 사용되는 악성코드 유형은
드로퍼(dropper)나 다운로더(downloader)였다. 트로이목마로 계정
을 탈취하고 이러한 틈으로 드로퍼와 다운로더가 뿌려지는 것이다. 이
호웅 센터장은 “결국 계정 탈취가 가장 근본적이며 심각한 문제”라고
강조했다.
모바일 악성코드, 국지성, 스마트 디바이스
2012년 보안 위협과 관련해 이호웅 센터장은 우선 모바일을 언급했
다. 이호웅 센터장은 “모바일은 이슈는 있지만 아직까지 구체적인 실
체는 없는 위협”이라면서도 “최근의 모바일 악성코드는 우려할만한
수준이다”고 말했다. 1인당 앱 다운로드 횟수를 보면 우리나라가 가장
많은 것으로 알려졌다. 그 중에서도 게임 앱 다운로드가 가장 많다. 문
제는 정상적인 앱 마켓보다 서드파티 마켓을 통한 앱 다운로드가 늘
어날 수 있다는 점이다.
또한 해외에서 ZITMO(Zeus In The Mobile)이나 SPYTMO(SpyEye
in The Mobile) 등 모바일 제우스, 모바일 스파이아이가 등장했다고
전했다. 따라서 올해 전 세계적으로 금융 범죄에 대한 위협이 증가하
고 이슈가 될 것으로 예측했다.
한편 애플리케이션 취약점과 관련해 “국지성을 띨 가능성이 있다”고
예측했다. 우리나라의 경우, 아래아한글이나 곰플레이어 등 국내에서
만 주로 사용되는 애플리케이션이 많은 편이다. 이 같은 애플리케이션
취약점을 공격하는 악성코드가 증가할 것이라는 설명이다.
기업의 보안 위협과 관련해 이호웅 센터장이 가장 염려한 부분은 ‘클
라우드(cloud)’다. 실제로 대표적인 클라우드 서비스 제공 업체 아마
존의 C&C 서버를 통해 인터넷 뱅킹 악성코드 제우스가 배포된 바 있
다. 이와 관련해 이호웅 센터장은 “많은 기업들이 이용하는 클라우드
서비스가 악용될 경우 그 여파가 상당할 것”이라며 우려를 표했다.
IT 환경의 변화와 관련해서는 스마트 TV 등 스마트 디바이스에 대한
위협들이 이슈가 될 것이라고 전망했다. 다만 스마트 디바이스에 피해
가 발생한다기보다 이들에 대한 보안 대응을 어떻게 할 것인가가 이
슈가 될 것이라는 설명이다.
핵심은 ‘데이터’
정책적인 측면과 관련한 보안 이슈로는 거버넌스(governance)와 컴
플라이언스(compliance)라는 측면에서 조직 내에서 정보(data)를 어
떻게 관리하고 통제할 것이냐가 관건이 될 것으로 전망했다.
지난 해까지만 해도 조직 내에서 흘러가는 모든 트래픽, 파일에 대한
가시성 확보가 관건이었다고 설명한 이호웅 센터장은 “그러나 올해는
파일이 아니라 데이터”라고 강조했다. 단순히 악성코드가 아니라 모
든 데이터를 수집해서 통제하는 것으로 종합적인 흐름을 파악해야 한
다는 것이다. 이호웅 센터장은 “모든 정보를 한 곳에 모아서 분석하는
보안 정책이라는 방향으로 흘러갈 것이다”라며 “결국 통제하고 관리
해야 하는 포인트가 늘어난다는 것”이라고 지적했다.
기술적인 측면에서는 IT 전반과 마찬가지로 보안에서도 빅 데이터가
화두가 될 것이라고 말했다. 단, 이때의 빅 데이터는 포털사이트 등
에서 말하는 빅 데이터의 의미와는 다소의 차이가 있다. 보안에서의
‘빅 데이터’란 기업 내에서 사용하고 있는 모든 장비로부터 모든 데이
터를 수집하여 관리하고 지점을 확인하고 어떻게 대응을 제시하느냐
를 의미한다. 이호웅 센터장은 “올해는 이러한 장비들을 어떻게 관리
(management)할 것이냐, 즉, 빅 데이터에 대한 가시성(visibility) 확
보, 이에 대한 관리가 화두가 될 것”이라고 강조했다.
15
T h R E a T a N a ly S i S 루트킷 완전 해부
루트킷의 오늘 2 : 3세대 루트킷
<연재 목차>
1. 루트킷의 어제 : 1세대 루트킷(2012년 2월호)
2. 루트킷의 오늘 1 : 2세대 루트킷(2012년 3월호)
3. 루트킷의 오늘 2 : 3세대 루트킷(이번 호)
4. 루트킷의 내일 : 차세대 루트킷(2012년 5월호)
지난 호에서는 1, 2세대 루트킷 구현 기술의 원리에 대해서 살펴보았다. 이번 호에서는 3세대 루트킷으로 분류되는 기술들의 원리에 대
해 살펴볼 것이다.
[그림 1] 루트킷 언후커
2세대 루트킷의 탐지
지난 호에서 2세대 루트킷은 변경을 의도하지 않은 영역을 변경하는 특
징을 지닌다고 했다.
다시 말하면, 프로그램의 코드 영역을 메모리상에서 변조하기 때문에
원래의 프로그램 코드와 실행시점에 메모리에 적재된 코드를 비교해 보
면 쉽게 차이점을 발견할 수 있다.
실제로도 대부분의 안티-루트킷 소프트웨어들이 원본 코드와 메모리상
의 코드를 비교하여 루트킷을 탐지한다.
[그림 1]은 루트킷 언후커(Rootkit Unhooker)라는 프로그램으로 코드
패치 내역을 검사한 화면이다. 여러 개의 훅이 설치된 것을 확인할 수
있으며, ‘Type of Hook’ 부분을 보면 ‘Inline – Relative Jump’라고 출
력된 부분을 확인할 수 있다. 디스크상의 원본 프로그램과 현재 메모리
를 비교하여 훅의 설치 여부를 검증할 수 있으며, 당연히 후킹된 코드를
원래의 코드로 복원하는 것도 가능하다.
3세대 루트킷
3세대 루트킷은 2세대 루트킷과 달리 데이터 영역, 즉 원래 변경되도
록 의도된 영역을 변경시킨다. 따라서 원본 코드와의 비교를 통한 탐지
가 불가능하며 프로그램 실행 중에 계속 변경되는 영역이 변경된 것이
기 때문에 탐지가 매우 어렵다. 하지만 프로그램의 흐름을 직접적으로
제어하는 방식이 아니므로 원하는 기능을 구현하는 데 많은 제약사항이
따른다.
DKOM(Direct Kernel Object Manipulation)
3세대 루트킷 기술은 일반적으로 DKOM(Direct Kernel Object
Manipulation)이라는 이름으로 불린다. 이 용어는 “Rootkits:
Subverting the Windows Kernel”이라는 책의 공동 저자이기도 한 제
임스 버틀러(James Butler)라는 유명한 해커가 발표한 자료에서 처음
만들어진 것으로 알려져 있다.
DKOM에 대해서는 FU라는 아주 유명한 루트킷의 소스 코드를 살펴
보는 것이 가장 확실한 방법이다. 참고로 FU 루트킷의 제작자가 바로
제임스 버틀러이다. FU 루트킷의 소스 코드는 예전에는 루트킷닷컴
(rootkit.com)에서 다운로드할 수 있었으나 현재는 해당 사이트가 폐쇄
되어 접속이 불가능하다. 하지만 검색 엔진에서 검색해보면 많은 링크
에서 해당 소스 코드를 구할 수는 있다.
FU 루트킷은 프로세스 숨기기, 드라이버 숨기기, 권한 설정 기능 등을
구현한다. 이 모든 기능들은 코드에 수정을 가하지 않고, 운영체제가 서
비스를 위해 특별히 관리하는 데이터를 직접 수정해서 구현한다.
16
[그림 3] 윈도우 커널의 프로세스 관리 방식
[그림 4] 프로세스 숨기기
[그림 5] LDR_DATA_TABLE_ENTRY 구조체
[그림 6] 윈도우 커널의 드라이버 관리 방식
[그림 2] EPROCESS 구조체
[그림 2]는 윈도우 커널이 실행 중인 프로세스 관리를 위해 사용하는
EPROCESS 구조체의 일부이다. 프로세스는 사용자의 요청에 따라 생
성되었다가 종료되기를 반복한다. 이렇게 동적으로 생성되었다가 종료
되기를 반복하는 프로세스를 관리하기 위한 자료 구조로는 리스트 형
태가 가장 알맞을 것이다.
프로세스를 숨기는 것은 매우 간단하다. 숨기고자 하는 프로세스의
EPROCESS 구조체의 ActiveProcessLinks의 백 링크(Back Link)를 자
신의 ActiveProcessLinks의 포워드 링크(Forward Link)로 변경하면
된다.
실제로 해당 기능을 구현하려면 동기화 문제나 IRQL 같은 약간 복잡한 작
업에 신경을 써야 하지만 이론적으로는 매우 간단한 작업이다.
드라이버 숨기기
[그림 3]은 윈도우 커널의 실행 중인 프로세스 관리 방식을 도식화한 것
이다.
EPROCESS 구조체는 ActiveProcessLinks라는 2중 연결 리스트
를 가지고 있는데 이 연결 리스트는 다른 EPROCESS 구조체의
ActiveProcessLinks 변수의 주소를 가리킨다. 새롭게 생성된 프로세스
는 실행 중인 다른 프로세스의 ActiveProcessLinks와 연결되고, 프로
세스가 종료되면 EPROCESS 구조체의 ActiveProcessLinks 리스트를
다른 EPROCESS와의 연결로부터 제거한다.
또한 윈도우 커널은 자체적인 관리 목적으로 PsActiveProcessHead라
는 포인터를 외부에 노출하고 있는데 이 포인터는 [그림 2]와 같이 비어
있는 2중 연결 리스트의 시작 주소를 가리킨다.
실행 중인 프로세스 전체의 목록을 구하기 위해서는 PsActiveProcessHead
가 가리키는 2중 연결 리스트를 끝까지 순회하면 된다.
[그림 5]는 메모리에 로드된 커널 드라이버를 관리하기 위한 LDR_
DATA_TABLE_ENTRY 구조체이다. EPROCESS의 ActiveProcessLinks
와 동일한 기능을 수행하는 InXXXLinks라는 2중 연결 리스트가 존재
함을 확인할 수 있다. 각 리스트는 로드된 순서, 메모리 순서, 초기화된
순서에 따른 2중 연결 리스트인데 윈도우 XP 서비스팩3에서의 실험 결
과 모두 동일한 값을 가지고 있었다.
프로세스 숨기기
17
[그림 7] IceSword(Anti-Rootkit)
[그림 8] 윈도우 오브젝트의 종류와 구조
윈도우 커널은 운영체제가 관리하는 자원들을 오브젝트라는 특수한 형
태로 관리한다. 프로세스, 스레드, 파일, 레지스트리, 공유 메모리 등도
모두 오브젝트인 것이다.
운영체제의 서비스를 이용하는 응용 프로그램은 서로 다른 종류의 오
브젝트에 접근하기 위해서 일종의 추상화된 포맷을 이용하는데 이것이
바로 핸들이다.
[그림 6]을 보면 커널 드라이버 관리 방식과 프로세스 관리 방식이 매우
유사함을 확인할 수 있다. 마찬가지로 드라이버 목록에서 특정 드라이버
의 목록을 숨기기 위해서는 프로세스의 연결 리스트에서 링크를 제거하
는 것과 마찬가지로 InXXXOrderLinks의 연결을 제거하기만 하면 된다.
루트킷 vs. 안티-루트킷
FU 루트킷이 EPROCESS의 연결 리스트를 조작해서 프로세스를 숨기
자 이를 탐지하는 새로운 방법이 출현했다.
윈도우 커널은 오브젝트와 핸들 간의 변환을 위해 핸들 테이블이라는
자료 구조를 이용하는데 [그림 9]는 핸들 테이블을 간략히 표현한 그림
이다. 그림에 표현되어 있듯이 파일, 토큰, 섹션, 이벤트 등 윈도우 운영
체제를 이루는 대부분의 리소스들이 핸들로 표현되고 있음을 확인할
수 있다.
핸들 테이블은 핸들값을 통해서 해당 오브젝트에 빠르게 접근할 수 있
도록 3단계 참조 테이블 형태로 관리되며 개략적인 구조는 [그림 10]과
같다.
윈도우 커널이 특별히 관리하는 핸들 테이블 중에 PspCidTable이라는
핸들 테이블이 존재한다. 이 핸들 테이블은 실행 중인 프로세스와 스레
드 오브젝트에 대한 포인터가 보관되어 있다.
따라서 PspCidTable을 모두 뒤져보면 실행 중인 모든 프로세스의 정보
를 알아낼 수 있음이 확인되었고, FU 루트킷이 사용했던 DKOM 방식
으로 숨긴 프로세스들이 탐지되기 시작했다.
하지만 다시 FuTo라는 발전된 루트킷이 출현했다. FuTo는 기존 DKOM
방식으로 프로세스를 감추는 기능 외에도 PspCidTable에 저장된 프로
세스, 스레드 오브젝트 포인터 자체를 지워서 탐지되지 않도록 만들었다.
이 외에도 윈도우 커널의 스레드 스케줄러를 이용한 프로세스 탐지,
CSRSS가 관리하는 프로세스 목록을 이용한 탐지 등 다양한 탐지 기법
들이 발표되며, 한동안 DKOM을 이용한 프로세스 숨기기와 숨긴 프로
세스 탐지 기법은 서로 쫓고 쫓기는 양상이 지속되었다.
이번 호에서 설명한 몇 가지 구현 기술은 실제로 크게 영향을 미치지는
않는다. 실행 환경, 운영체제의 변경에 따라 구현 내용 자체가 모두 변
경되어야 하는 범용성이 전혀 없기 때문이다. 하지만 3세대 루트킷 구
현 기술은 2세대 기술을 벗어나 새로운 시각으로 공격 포인트를 잡았다
는 데 의의가 있다.
다음 호에서는 2, 3세대 루트킷들과는 다른 새로운 기술을 이용한 루트
킷들에 대해 살펴보겠다.
[그림 10] 핸들 테이블의 구조
[그림 9] 핸들 테이블
18
Cornerstone Community bankS u C C E S S S T O R y
레이어드 시큐리티 ‘쉽고 간편하게 구현’
AOS 시큐어 브라우저/안티키로거 도입, 컴플라이언스 완벽 대비·고객 편의성 극대화
현재 미국 금융 업계의 화두는 단연 ‘레이어드 시큐리티(Layered Security)’이다. 미국 연방금융기관 평가위원회가 강조한 레이어드 시
큐리티의 핵심은, 인터넷 뱅킹 시 하나의 인증 수단에 의존해서는 안 되고 계층화된 보안 시스템을 구현해야 한다는 것이다. 특히 엔드포
인트단인 인터넷 뱅킹 이용자들의 보안까지 금융기관이 책임져야 할 몫으로 규정하고 있다. 이에 북미 지역 금융기관들의 보안 대책 마
련이 시급해졌다.
미국 테네시주에 위치한 코너스톤 커뮤니티 뱅크(Cornerstone Community Bank, www.cscbank.com, 이하 코너스톤 뱅크)는 2011
년 12월, 안랩의 ‘AOS 시큐어 브라우저/안티키로거’를 도입, 이 같은 문제에서 벗어났다. 컴플라이언스 이슈를 대비함은 물론, 사용자 편
의성까지 챙긴 코너스톤 뱅크의 발 빠른 대처법을 들여다보자.
레이어드 시큐리티(Layered Security)란…
레이어드 시큐리티(Layered Security)는 나날이 고도화되는 온라인상의 보안 위협에 대응하기 위해 온라인 거래(Online Transaction) 프로세스의 각 단계(layer)마다 서로
다른 보안 솔루션을 구축하는 것으로, 심층적인 방어를 의미한다. 각 솔루션의 상호보완을 통해 전체적인 인터넷 기반 서비스 보안을 강화하기 위한 레이어드 시큐리티는 민
감한 고객 정보를 보호하며 신원 도용, 계좌 탈취 등으로 인한 금전 손실을 방지한다. 국내에서는 ‘단계별 보안’ 또는 ‘계층화된 보안’이라는 용어로 알려져 있다.
* 참고: 미국 ‘인터넷 뱅킹 환경에서의 인증 강화 개정안(FIL-50-2011, Supplement to Authentication in an Internet Banking Environment)’
모든 인증 수단은 본질적으로 보안 위협에 노출될 가능성이 있다. 따
라서, 한 가지 인증 수단만으로는 안전한 인터넷 뱅킹 거래를 구현하
는 데 한계가 있다. 이를 보완하기 위해서는 거래 과정의 각 단계별로,
각 단계에 가장 적합한 인증 수단을 사용해야 한다.
이러한 취지로 2011년 6월 29일, 미국 연방예금보험공사(Federal
Deposit Insurance Corporation, 이하 FDIC)와 미국 연방금융기관
평가위원회(Federal Financial Institutions Examination Council, 이
하 FFIEC)는 ‘인터넷 뱅킹 환경에서의 인증 강화 개정안(FIL-50-2011)’
을 발표했다.
이 개정안은 지난 2005년에 공포한 ‘인터넷 뱅킹 환경에서의 인증’ 가
이드라인에 대해 고객 인증, 레이어드 시큐리티 등에 관한 요건을 강
화한 것이다. 2005년의 가이드라인은 고객 인증을 위한 효과적인 인
증 방법 사용, 제품 및 서비스에 따르는 위험 및 민감한 고객 정보 보
호를 위한 적절한 기술 도입 등이 주요 내용이었다.
2011년에 발표된 개정안은 2005년 가이드라인의 위험 관리 프레임
워크를 강화하고, 나날이 복잡다단해지는 온라인상의 보안 위협에 대
응하기 위해 온라인 금융 거래의 시작부터 종료까지 모든 단계에 각
단계별로 가장 적합한 보안 솔루션을 적용한다는 이른바 ‘레이어드 시
큐리티’ 개념을 골자로 하고 있다. 또한 이에 대해 금융기관의 책임 범
위 확대와 FFIEC의 감독 강화를 규정하고 있다. 이 규정을 준수하지
않는 금융기관에는 영업 정지 처분이 내려질 수도 있다.
19
온라인 거래, ‘매 단계 빈틈없이 방어하라’
금융 거래 과정은 ‘거래의 시작(엔드포인트)’과 ‘전송(transmission)’,
‘백오피스(back-office)’ 등 세 가지 주요 영역으로 구분된다.
이 중에서 거래의 시작점인 엔드포인트, 즉 인터넷 뱅킹 이용자들의
PC단에서 발생하는 보안 문제에 대해서는 금융기관들이 특별한 주의
를 기울이지 않았던 게 사실이다. 2005년 가이드라인에 따라 대부분
의 금융기관들은 단순한 디바이스 인증만을 수행했다. 이 방식은 고객
의 로그온 ID와 비밀번호가 일치하는지 확인하기 위해 고객의 PC에
로드된 쿠키를 사용하게 된다. 해커들은 이 점을 이용, 정상 고객인 것
처럼 가장해서 고객들의 쿠키에 있는 거래 정보를 빼내갔다. 이를 방
지하기 위해 2011년 개정안에서는 엔드포인트단의 인증 수단을 강화
하고 이를 금융기관의 의무로 포함했다.
이에 북미 지역 금융기관들은 자사의 보안 시스템을 점검하고 각 거
래 과정의 인증 수단을 강화하는 보안책을 마련하기 위해 서둘러야
했다. 개정안 발표 후 채 6개월도 지나지 않은 시점인 2012년 1월까
지 인터넷 뱅킹 보안 강화를 위한 로드맵을 제출해야 했기 때문이다.
인터넷 뱅킹의 시작점, 엔드포인트단 보안이 ‘관건’
2011년 개정안(FIL-50-2011) 발표 직후, 코너스톤 뱅크는 자사 보안
체계에 대해 재평가를 실시했다. 그 결과, 전반적으로 코너스톤 뱅크의
보안 체계는 최신 기술이 적합하게 적용된 관리 시스템을 보유하고 있
어 신뢰할 만한 수준이라고 평가했다. 그러나 문제는 자동 결제 시스
템(Automated Clearing House, ACH)과 원거리 지불 결제(Remote
Deposit Capture, RDC) 등 엔드포인트단에서의 고객 인증 및 트랜잭
션 보안이었다.
코너스톤 뱅크의 정보보호책임자인 킴벌리 애덤스(Kimberly Adams)
부사장은 “특히 엔드포인트 접속과 관련된 위협 요소를 제어하는 것
이 가장 큰 숙제였다”고 회상했다.
애덤스 부사장은 “당시 우리 은행의 인증 기반 솔루션은 기술적인 면
에서 FIL-50-2011의 요건을 준수하기에 충분했지만, 변화무쌍한 보안
위협 트렌드를 고려하면 인터넷 뱅킹이 시작되는 엔드포인트단에서의
위협 요소까지 감당하기는 어려울 것으로 판단했다”고 말했다.
하지만 은행이 고객의 말단 디바이스를 통제할 수는 없기 때문에 이
를 관리하는 것은 결코 쉬운 일이 아니다. 애덤스 부사장은 정보기술
을 총괄하고 있는 랜디 도버(Randy Dover) 부사장과 함께 논의한 끝
에, 엔드포인트 보안 솔루션은 세 가지 조건을 충족해야만 한다는 결
론을 얻었다.
첫째, 엔드포인트단에서의 인증 및 은행 웹 사이트 접속과 관련된 현
재 및 향후의 잠재적인 보안 위협을 해결할 수 있어야 한다.
둘째, 기본적으로 코너스톤 뱅크의 IT 인프라에 적합해야 하며 필요한
부분을 지원할 수 있어야 한다.
셋째, 고객들이 사용하기 쉬운 솔루션이어야 한다.
이에 코너스톤 뱅크는 여러 보안 업체와 솔루션을 살펴보았다. 마침
세이프넷과 안랩이 파트너십을 맺고, 레이어드 시큐리티라는 관점에
서 세이프넷의 e토큰에 안랩의 AOS 시큐어 브라우저/안티키로거를
결합하는 프로젝트를 진행 중이었다.
전방위 인터넷 뱅킹 보안 솔루션 ‘탄생’
2009년 말, 세이프넷은 자사 인증 기반 장치 e토큰(eToken)의 사용자
인증 정보를 보호하고 스크린 캡처 등 PC단에서 발생하는 위협을 효
과적으로 막을 수 있는 방법을 고민했다. 그러던 중 허위 SSL 공격, 메
모리 공격, HTML 인젝션 공격 등에 대한 방어 기능이 뛰어난 안랩의
AOS(AhnLab Online Security) 시큐어 브라우저(Secure Browser)/
안티키로거(Anti-Keylogger)와의 결합을 추진하게 되었다.
AOS 시큐어 브라우저는 인터넷 뱅킹 등 온라인 거래의 보안을 위한
전용 브라우저로, 안티 메모리 해킹, 안티 디버깅/리버싱, 웹 페이지
변조 방지 등의 기능을 제공한다. AOS 안티키로거는 사용자가 입력하
는 키보드 입력 정보를 가로채어 개인의 중요 정보를 유출하는 키로
거로부터 PC를 보호하는 기술로, 키보드를 통한 정보 유출을 원천 방
어한다.
2010년 2월부터 e토큰에 AOS 시큐어 브라우저/안티키로거 SDK를
이식하는 작업이 시작되었고, 같은 해 9월 두 제품이 결합한 ‘시큐어
포터블 브라우저 솔루션(Secure Portable Browser Solution)’의 정식
버전이 출시되었다. 인터넷 뱅킹 세션뿐만 아니라 엔드포인트단까지
인터넷 뱅킹 전 구간의 보안을 구현할 수 있는 솔루션이 탄생한 것
이다.
기존 인프라에 쉽게 연동, ‘안전하고 간편한 서비스 환경 구현’
코너스톤 뱅크는 엔드포인트단의 인터넷 뱅킹 단말기로부터 웹 세션
을 분리함으로써 엔드포인트단을 노리는 악성코드 또한 차단할 수 있
을 것이라고 판단했다.
코너스톤 뱅크는 시큐어 브라우저 기술을 검토한 끝에 두 가지 솔루
션을 놓고 고민했다. 하나는 시큐어 브라우저 서버를 도입하는 아웃
오브밴드 인증(Out-of-Band authentication) 방식이었다. 다른 하나
는 USB 키(Key)를 통한 시큐어 브라우저/안티키로깅 및 인증/접근 통
제 솔루션으로, 안랩과 세이프넷의 시큐어 포터블 브라우저 솔루션이
었다.
두 가지 솔루션을 꼼꼼히 비교 분석한 결과, 사용자 편의성과 솔루션
구현 및 유지의 편의성 측면에서 시큐어 포터블 브라우저 솔루션이
우세하다고 판단했다. 전화 등 유선 확인이 동반되어야 하는 아웃오브
밴드 인증 방식처럼 새로운 서버를 도입하거나 소프트웨어 관리 또는
고객 전화번호 보호에 대해 걱정할 필요가 없다는 점도 장점이었다.
또한 PoC(Proof of Concept)를 통해 시큐어 포터블 브라우저 솔루션
과 코너스톤 뱅크 인터넷 뱅킹 시스템의 뛰어난 호환성이 입증됐다.
코너스톤 뱅크는 기존 시스템을 전혀 변경하지 않은 상태에서 시큐어
포터블 브라우저 솔루션을 연결하고 로그인, 계좌이체, 잔고 확인 등
전반적인 은행 업무가 정상적으로 구동되는지를 확인했다. 파이어폭
스를 비롯한 다양한 브라우저를 통해서도 기존과 다름없이 정상적으
로 인터넷 뱅킹 서비스를 이용할 수 있는지도 점검했다.
쉽고 편리한 사용은 기본, 고도화된 위협 대응은 필수
인터넷 뱅킹 서비스는 다수의 고객이 이용하는 만큼 사용자들이 손쉽
게 사용할 수 있어야 한다.
20
USB 형태로 제공되는 시큐어 포터블 브라우저 솔루션을 PC에 연결
하면 AOS 시큐어 브라우저가 자동 실행되어 인터넷 뱅킹이 시작되는
순간부터 브라우저 인터페이스를 방지하고 악성코드 및 해킹의 위협
으로부터 사용자를 보호한다. AOS 안티키로거는 e토큰 인증 창에 적
용되어 e토큰 사용자의 인증 정보 유출을 방지한다.
그러나 복잡한 보안 관련 메커니즘은 뒷단에서 수행될 뿐, 로그인 화
면은 기존과 동일하여 고객은 전혀 불편함을 느끼지 않는다. 또한
USB를 PC에서 분리하면 그 즉시 화면에서 세션이 사라진다. USB 형
태의 디바이스만 있을 뿐 별도의 설치가 필요하지 않기 때문에 사용
이 매우 편리하다.
또한 AOS 시큐어 브라우저와 안티키로거는 ‘인터넷 뱅킹 환경에서의
인증 강화’ 가이드라인에서도 강조하고 있는 맨인더브라우저(MITB,
Man-in-the Browser) 및 맨인더미들(MIM, Man-in-the Middle) 공
격을 방지해 고객과 은행 사이에서 온라인 세션 탈취를 원천봉쇄한다.
코너스톤 커뮤니티 뱅크(Cornerstone Community Bank)
코너스톤 뱅크는 4억 2천 6백만 달러 자산의 단일 은행 지주 회사로, 미국 테네시주에 위치하고 있다. 1996년 설립된 코너스톤 뱅크는 지역 사
회에서 가장 오래된 은행으로, 지역 은행 중 가장 큰 규모를 자랑한다. 5개 지사와 1개의 담보 대출 은행을 보유하고 있는 코너스톤 뱅크는 기업
및 개인 고객에게 종합적인 맞춤형 금융 솔루션을 제공하고 있다.
이로써 코너스톤 뱅크는 고도화된 위협으로부터 안전한 인터넷 뱅킹
환경을 구현하게 되었다.
애덤스 부사장은 “레이어드 시큐리티라고 해서 복잡한 솔루션을 도입
할 필요는 없다”고 전제하면서 “별도의 전용 장치 없이 USB 키를 이
용함으로써, 최소한의 리소스로 최대한의 효과를 낼 수 있는 시큐어
포터블 브라우저 솔루션은 인터넷 뱅킹 엔드포인트 보안을 위한 최선
의 선택”이라고 만족감을 표시했다.
21
T E C h R E p O R T 모바일 악성코드 동향 분석
앱과 악성코드를 선별하는 몇 가지 방안
<연재 목차>
1. 앱보다 많은 모바일 악성코드의 ‘위협’(2012년 3월호)
2. 앱과 악성코드를 선별하는 몇 가지 방안(이번 호)
최근 안드로이드 운영체제가 탑재된 최신형 스마트폰을 구입한 K씨. 그는 스마트폰을 받자마자 평소 취미로 즐기는 기타연주 관련 앱을
검색했다. 구글 안드로이드 마켓에서 ‘Guitar’를 키워드로 검색해 무료 앱을 바로 다운로드했다. K씨는 실제 기타 못지않은 소리에 감탄
하며 온종일 스마트폰을 붙잡고 있었다. 그런데 갑자기 K씨의 스마트폰이 루팅(rooting)되고, 스마트폰 기기 정보와 개인정보가 외부로
유출되었다. 그의 스마트폰이 악성코드에 감염된 것이다. K씨는 구글 안드로이드 마켓에서 앱을 선택했고, 설치된 앱 또한 정상적으로
동작하는데, 대체 왜 K씨의 스마트폰은 악성코드에 감염된 것일까?
원인은 K씨가 다운로드한 앱에 있다. 악성코드 제작자들은 변별하기 힘들 만큼 감쪽같이 위장한 악성 앱을 마켓에 등록해 사용자들을 유
혹한다.
이 글에서는 스마트폰을 안전하고 편리하게 사용하기 위해, 점차 교묘해지는 악성 앱에 속지 않는 방법을 소개한다.
안드로이드 악성코드는 어떻게 만들어지는가?
악성코드 제작자는 리패키징(repackaging) 기법을 이용하여 인기 있
는 앱에 악성코드를 삽입하고 앱의 이름을 변경한 후 다시 안드로이
드 마켓에 등록한다.
[그림 1]의 오른쪽 그림이 악성 앱이다. 겉모습만 봐서는 왼쪽의 정상
앱과 구분하기 쉽지 않다. 저작권(Copyright)과 버튼이 있다는 점만
다를 뿐이다. 또한, 악성 앱을 실행하더라도 정상 앱과 다름없이 앱의
기능이 잘 실행되기 때문에 유심히 살펴보지 않는다면 이 둘을 구분
할 수 없다.
이와 같이 리패키징 기법을 이용한 안드로이드 악성코드는 2011년
처음 발견된 이후 계속 증가하고 있으며, 구글 안드로이드 마켓, 서드
파티 마켓, 블랙 마켓, P2P 등의 다양한 경로를 통해 배포되고 있다.
리패키징이란 앱의 제작 과정을 거꾸로 하여 앱의 최초 형태인 소스
코드로 변환한 후 소스 코드를 수정하거나 다른 코드를 삽입하고 앱
을 다시 제작하는 일련의 과정을 말한다.
[그림 1] 정상/악성 앱
[그림 2] 안드로이드 앱 제작 과정
[그림 3] 안드로이드 앱 리패키징 과정
1) 리패키징이란?
대부분의 프로그래밍 언어들은 컴파일(compile) 과정을 거쳐 사람이
알 수 있는 소스 코드(source code)에서 기계가 인식할 수 있는 바이
너리(binary) 파일로 변경된다. 안드로이드에서는 여기에 프로그램을
묶어주는 패키징(packaging)과 코드 사인(code sign) 작업이 추가된
다. 그림으로 살펴보면 [그림 2]와 같다.
22
[그림 4]는 리패키징 기법을 활용하여, 버튼을 눌렀을 때 출력되는 메
시지를 ‘반갑습니다’에서 ‘안녕하세요’로 변경한 예이다. 자바 언어에
대해 어느 정도 이해하고 있고, 관련된 몇 가지 도구들만 다룰 수 있
으면 누구나 손쉽게 앱을 수정할 수 있다. 리패키징 기법은 악성코드
제작뿐만 아니라 안드로이드 앱의 한글화, 크래킹(cracking), 기능 추
가·수정 등의 다양한 용도로 활용된다.
리패키징에서 가장 핵심이 되는 부분은 디컴파일 작업이다. 이것은 높
은 수준의 기술력을 필요로 하는 어려운 작업으로 디컴파일하더라도
본래의 소스 코드로 온전히 회귀하기는 어렵다. 이 때문에 대부분의
언어에는 디컴파일이 요구되는 리패키징 기법을 활용할 수 없다.
하지만 안드로이드에서 주로 사용되는 개발 언어인 자바(Java)는
JAD, apktool 등 공개된 다양한 도구들을 활용하여 바이너리 파일에
서 소스 코드로 쉽게 디컴파일할 수 있다. 결과물로 나온 소스 코드
또한 본래의 것과 비슷하다. 이것이 안드로이드에서 리패키징 기법을
활용한 악성코드가 유행하는 이유 중 하나이다.
2) 바이러스 vs. 리패키징
리패키징은 정상 프로그램에 악의적인 코드를 삽입한다는 점에서 바
이러스(virus)나 패치드(patched) 악성코드와 유사하다. 그러나 구현
방법이나 내부 동작에는 큰 차이가 있다. PC에서 발견되는 일반적인
바이러스는, 기계어 형태의 악의적인 코드를 정상 파일의 어느 한 부
분에 삽입하고 바이러스 코드가 호출되도록 프로그램 코드의 시작 주
소를 수정하는 형태로 동작한다. 따라서 악성코드 제작자는 실행 파일
의 구조와 기계어에 대해 높은 수준의 지식을 갖추어야 한다.
반면 안드로이드는 PC에서와 같이 바이너리 형태의 파일을 직접 수
정하기 어렵다. 안드로이드 앱은 일반 PC 파일과 달리 단일 형태가 아
닌 패키지 형태로 존재하는데, 모든 패키지에는 개발자의 코드 사인
이 있어야만 한다. 패키지 내부의 파일 일부를 수정하면 코드 사인이
[그림 3]과 같이 APK 파일의 압축을 해제하여 나온 바이너리 형태의
파일을 디컴파일(decompile)하면 소스 코드로 변환된다. 결과물로 나
온 소스 코드를 해커나 개발자가 수정하여 다시 컴파일과 패키징 작
업을 거치면 APK 파일이 생성된다. 마지막으로 개발자 인증서로 코
드 사인 과정만 거치면 실행 가능한 앱이 완성되는데, 개발자 인증서
는 압축 파일 형식으로 되어 있는 APK 파일을 압축 해제하는 언패킹
(unpacking) 과정에서 추출할 수 없으므로 새로운 인증서로 코드 사
인을 해야만 한다.
[그림 4] 리패키징 예제 앱
유효하지 않아 다시는 앱을 설치할 수 없다. 물론, 기존 바이러스 형태
가 안드로이드에서 완전히 불가능한 것은 아니지만, 악성코드 제작자
들이 리패키징이라는 손쉬운 방법을 두고 굳이 어려운 길을 택하지는
않을 것 같다.
3) 앱이 리패키징되지 않도록 하려면?
개발자의 입장에서 앱이 리패키징되는 것을 막을 방법은 없을까? 안
타깝게도 앱 스스로 리패키징되는 것을 완벽히 방어할 수는 없다. 적
어도 현재까지는 해결책이 없다. 다만, 다음과 같은 방법으로 리패키
징을 어렵게 하거나 지연할 수 있다.
가. 코드 난독화
ProGuard와 같은 도구를 활용하여 코드를 최대한 난독화한다. 이
렇게 하면 디컴파일을 하더라도 클래스나 함수 이름 등이 의미 없
는 문자로 변경되어 해커가 앱을 파악하기가 어렵다. ProGuard
란 코드 최적화, 난독화 등에 사용되는 도구로 자세한 내용은 다음
웹 페이지를 참고하기 바란다. http://developer.android.com/
guide/developing/tools/proguard.html
나. 안드로이드 NDK를 이용한 개발
앞서 설명했듯이 자바로 개발된 프로그램은 디컴파일이 쉽다. 그
러므로 보안이 필요한 중요 코드는 NDK(Native Development
Kit)를 활용하여 C언어로 개발하도록 한다.
4) 리패키징된 앱으로 말미암은 악성코드 감염 피해를 줄이려면?
일반 사용자들은 리패키징된 악성 앱을 어떻게 피할 수 있을까?
가. 서드파티 마켓, 블랙 마켓 이용 자제
악성코드 제작자들은 앱을 등록할 때 검사가 허술한 마켓을 이용
하는 경우가 많다. 그러므로 신뢰할 수 있는 마켓을 통해서만 앱을
다운로드한다.
나. 앱 정보 확인
악성코드 제작자들이 앱을 리패키징하여 마켓에 등록할 때 다른
것은 다 똑같이 위장하더라도 앱 이름과 제작자 정보는 정상 앱과
동일하게 할 수 없다. 마켓에서 유명한 앱을 다운로드하려고 할 때
이름은 유사하지만 조금 차이가 있거나, 제작자 정보가 알고 있는
것과 다르다면 리패키징을 의심해야 한다.
다. 앱 설치할 때 권한 요청 확인
안드로이드에서 앱이 설치될 때는 반드시 해당 앱에 필요한 권한
정보를 사용자에게 확인하게끔 되어 있다. 만약 설치하려는 앱이
과도한 권한을 요청한다면, 설치를 중단하고 앱을 확인해볼 필요
가 있다.
라. 보안 제품 설치
많은 안드로이드 보안 제품이 출시돼 있다. 이 중 하나를 설치하여
주기적으로 보안 검사를 실시한다.
23
Android-Trojan/SmsSend로 구분되는 악성코드군에는 매우 다양한
변형들이 있다. [그림 5]는 그 중에서 비교적 간단한 Android-Trojan/
SmsSend.KH의 설치 화면이다. 이 악성 앱은 설치 시에 인터넷 사용,
문자 열람, 요금이 부과되는 문자 발송 등의 권한을 요구한다. 해당 앱
이 문자를 전송할 필요가 있는지 생각해보아야 한다.
국가에 맞는 번호를 저장한 후에는 [그림 8]의 코드와 같이 해당 번호
로 SMS를 발송한다. [그림 9]와 같이 다양한 국가들의 코드가 저장된
것을 알 수 있다.
앱을 실행하면 [그림 6]의 설치 안내 화면이 나온다. 프로그램을 설치
해주는 앱으로 위장하고 있지만 사실은 아래와 같은 악의적 기능을
수행한다.
여기서 한 가지 의문이 생긴다. 단순히 특정 번호로 SMS를 전송하는
것을 왜 악의적인 행위로 규정하는 것일까? 사용자 동의 없이 이루어
졌다는 점에서 잘못된 행위로 볼 수 있지만, SMS를 대량으로 전송하
지 않는 이상 피해자는 100원 미만의 아주 적은 피해를 볼 뿐이다. 금
전적 이득을 취하는 것이 악성코드 제작자의 목적일 텐데, 제작자는
SMS 전송으로 어떻게 돈을 버는 것일까?
유럽이나 러시아에는 [그림 10]과 같은 휴대전화 결제 서비스를 제공
하는 업체가 많다. 해당 사이트를 살펴보면 SMS를 보내는 것만으로
제작자가 어떻게 돈을 버는지 알 수 있다.
[그림 5] 프리미엄 SMS 악성코드 설치 화면
[그림 8] SMS 발송 코드
[그림 9] SMS 발송에 사용되는 국가 코드
[그림 6] 프리미엄 SMS 악성코드 실행 화면
[그림 7] Android-Trojan/SmsSend.KH의 SMS 관련 코드
스마트폰 악성코드의 위험성: ‘프리미엄 SMS’ 악성코드
안드로이드 악성코드를 이용하여 금전적 이득을 취하는 방법 중에 가
장 많이 쓰이는 Android-Trojan/SmsSend, 통칭 ‘프리미엄 SMS’ 악
성코드에 대해서 알아보자.
앱을 살펴보면 [그림 7]과 같은 형태의 코드가 계속 나열된 것을 볼
수 있다. 이 코드는 앱이 실행되는 스마트폰의 MCC(Mobile Country
Code)에 따라 SMS를 전송할 번호를 저장한다.
[그림 10] 영국의 휴대전화 결제 서비스 업체
24
또한 통신사별 가격이 안내되어 있다. 환율이 1루블당 37원일 때 한
화로 7천 원 정도의 금액이 SMS 발송만으로 부과되는 것이다.
악성코드 제작자들은 휴대전화 결제 서비스에 가입하여 SMS 수신으
로 과금되는 번호를 받는다. 그리고 해당 번호로 SMS를 발송하는 안
드로이드 앱을 제작 및 배포하여 불법적으로 금전적 이득을 취한다.
또한, 악성코드를 널리 퍼뜨리기 위해 안티바이러스로 진단되지 않는
다양한 방법을 구사한다. 이를 간단하게 정리하면 [그림 13]과 같다.
[그림 12]는 러시아의 한 사이트에서 프리미엄 번호 7781에 대한 안
내를 조회한 화면이다. SMS 한 건당 203루블의 금액이 결제되며 그
중 일부를 특정 사업자에게 전달한다고 설명되어 있다.
그렇다면 우리나라는 어떨까? 오디션 프로그램의 건당 100원의 유료
문자 투표나 라디오 프로그램의 건당 50원의 문자 응모가 있다는 것
을 생각해보면 우리나라도 결코 안전하지만은 않을 것이다. 안랩 시
큐리티대응센터(ASEC)에서 국내 상황을 조사해본 결과, 유럽처럼 간
단하지는 않지만 SMS 수신으로 요금이 부과되는 번호를 발급받을 수
있었다. 이를 MO(Message Oriented) 서비스라고 한다. [그림 14]는
MO 서비스를 제공하는 업체 중 하나이다.
해당 사이트에서 결제를 통해 건당 100원의 정보 이용료가 발생하는
SMS 수신 번호를 발급받을 수 있으며, 이 번호로 SMS가 1만 건 이상
수신되면 수익금의 30%를 개인이 가져갈 수 있다. 국내에서도 사용자
몰래 SMS 발송으로 피해를 주는 악성코드가 등장할 가능성은 충분한
것이다. 안드로이드 마켓에는 누구나 쉽게 자신의 앱을 등록할 수 있
으므로 악성코드에 의한 피해를 미리 방지하려면 마켓에서 앱을 설치
할 때 불필요한 권한을 요구하는지 주의 깊게 살펴보아야 한다.
스마트폰 악성코드의 유포 방식
[그림 15]는 안랩의 V3 Mobile for Android에 진단 추가된 악성코드
의 숫자를 월별로 정리한 그래프다.
[그림 11] 프리미엄 번호 7781에 대한 안내
[그림 13] 프리미엄 SMS 악성코드의 수익 구조
[그림 14] 국내 MO 서비스 제공 업체
[그림 12] 이동통신사별 SMS 과금 명세
이들의 휴대전화 결제 서비스는 결제한 비용이 다음 달 휴대전화 요
금으로 청구된다는 점은 우리나라와 같지만, 그 방식은 약간 다르
다. 우리나라에서는 결제를 하려면 SMS로 받은 인증번호를 사용자
가 입력해야 하지만, 일부 국가에서는 사업자에게 제공된 특정 번호
(shortcode number)로 사용자가 SMS를 보내기만 하면 바로 결제가
이루어진다. 이러한 방식으로 결제를 받는 사업자들은 일반적으로 다
음과 같은 서비스를 제공한다.
- 고객 지원, 전화번호 안내
- 뉴스, 교통, 스포츠, 운세, 성인 콘텐츠
- 벨소리, 동영상, 사진, 게임 다운로드
- 휴대전화를 이용한 투표
- 기부금
악성코드 제작자들은 이를 이용해 해당 업체에 서비스를 등록하여 과
금할 수 있는 번호를 받고, 이 번호로 결제 SMS를 전송하는 악성코드
를 유포하여 손쉽게 돈을 벌 수 있다.
25
2011년 들어 그 숫자가 기하급수적으로 증가했으며, 이는 스마트폰이
그만큼 악성코드에 노출될 가능성이 커졌음을 의미한다. 최근의 사례
를 중심으로 악성코드의 감염 경로와 예방법을 알아보자.
1) 안드로이드 마켓을 통한 설치
안드로이드 운영체제를 사용하는 스마트폰은 기본적으로 구글에서 운
영하는 안드로이드 마켓을 통해 앱을 설치한다. 사용자들은 대부분 안
드로이드 마켓에서 다운로드한 앱은 안전하다고 믿고 있다. 하지만 실
상은 그렇지 않다.
[그림 16]은 실제 안드로이드 마켓에 등록된 테스트 목적의 앱으로 누
구나 다운로드 및 설치할 수 있다. 이처럼 안드로이드 마켓은 개발자
가 앱을 등록하는 순간 누구든 그 앱을 이용할 수 있다. 만약 악성코
드 제작자가 악성 앱을 등록한다면 어떻게 될 것인가?
사용하려는 앱에 해당 권한이 필요한지를 반드시 확인하고 지나치게
많은 권한을 요구하면 설치하지 않는 것이 좋다. 예를 들어, 문자나 전
화 송·수신 앱이 아닌 단순한 게임 앱은 [그림 18]과 같이 ‘요금이 부
과되는 서비스’를 사용할 이유가 없다.
2) 서드파티 안드로이드 마켓에서 다운로드 & 설치
안드로이드 운영체제를 사용하는 스마트폰은 구글이 운영하는 공식
안드로이드 마켓 이외에 제3자가 만든 앱 마켓의 사용을 허용하고 있
다. 즉, 누구나 안드로이드 앱을 제공하는 마켓을 운영할 수 있다.
실제 안드로이드 공식 마켓에 등록된 악성코드로 인해 다수의 사용자
가 피해를 보고 있다. 이러한 문제가 지속적으로 발생하자 최근 구글은
악성코드를 검사하는 시스템인 ‘바운서(Bouncer)’를 운영하기 시작했
다. 하지만 이것이 악성코드를 100% 차단할 수 있을지는 미지수다.
[그림 15] 안랩 V3 Mobile for Android에 진단 추가된 모바일 악성코드 월별 수치
[그림 16] 안드로이드 마켓에 등록된 테스트 용도의 앱
[그림 18] 앱 설치 전 권한 확인 창
[그림 19] 서드파티 안드로이드 마켓
[그림 17] 구글 안드로이드 마켓에서 악성코드 다운로드
구글은 악성코드로 확인된 앱은 안드로이드 마켓에서 즉시 삭제한다.
따라서 최근에 등록된 앱은 다운로드 전에 다른 사용자들의 평가를
꼼꼼히 읽어본 후 문제가 없다고 판단되면 설치하는 것이 바람직하다.
또한, 안드로이드 앱은 [그림 18]과 같이 설치 전에 해당 앱이 사용할
시스템이나 자원에 대한 권한을 보여준다.
이러한 서드파티 안드로이드 마켓은 사용자가 비교적 적고 비공식적
으로 운영되는 곳이 많아 앱의 악성 여부를 확인하는 데 시간이 오래
걸린다. 또한, 악의적인 목적으로 만들어진 서드파티 안드로이드 마켓
도 있으므로 구글이 운영하는 안드로이드 마켓에 비해 악성코드를 설
치하게 될 가능성이 크다.
따라서 서드파티 안드로이드 마켓에서 앱을 설치하기 전에 해당 앱이
구글이 운영하는 공식 마켓에 있는지 확인한 후, 될 수 있으면 구글이
26
[그림 20]의 옵션을 사용하면 안드로이드용으로 제작된 앱을 사용자
가 마음대로 다운로드하여 설치하거나 내·외장 메모리를 이용하여
설치할 수 있다. 이러한 기능을 악용하여 악성코드를 설치하도록 유도
한 사례가 발견되었다. 웹 브라우저를 통해 ‘악성코드에 감염되어 시
스템이 보안상 위험하다’는 허위 진단 결과를 보여주어 사용자가 가짜
백신을 설치하도록 유도한다. 이때 설치되는 앱은 보안 제품이 아닌
프리미엄 SMS를 발송하여 과금을 발생시키는 악성코드다.
성인 사이트를 개설해 놓고 해당 사이트에 접속한 사용자에게 악성코
드 설치를 유도하는 사례도 발견되었다. [그림 22]와 같이 스마트폰으
로 해당 성인 사이트에 접속하면 특정 콘텐츠를 보기 위해서는 앱을
설치해야 한다고 유도한다. 하지만 실제 설치되는 앱은 스마트폰의 중
요 정보와 사용자 계정 관련 정보, 위치 정보를 외부로 유출하는 악성
코드이다.
이렇듯 누구나 호기심을 가질 만한 주제로 스마트폰 사용자를 유인한
후 악성코드의 설치를 유도하는 사회공학적 기법은 앞으로도 더욱더
정교한 형태로 사용자들을 유혹할 것이다. 따라서 사용자들은 추가로
앱을 설치하라고 유도하는 경우에는 한 번쯤 의심해 보고, 되도록이면
설치하지 않는 것이 보안상 바람직하다.
마켓을 잘 쓰는 법
마켓은 운영체제에 따라 앱스토어(애플), 안드로이드 마켓(안드로이
드), 오비스토어(심비안), 앱월드(블랙베리), 바다(삼성) 등이 있다. 그
중 사용자가 가장 많은 안드로이드 마켓의 특징을 알아보고, 마켓을
통해 앱을 설치하는 것이 왜 위험할 수 있는지 알아본다. 이를 기반으
로 마켓의 위험성을 이해하고 안전하게 스마트폰을 이용하는 방법을
제시한다.
1) 안드로이드 마켓의 특징
안드로이드는 스마트폰 같은 휴대용 장치를 위한 미들웨어, 사용자 인
터페이스, 표준 응용 프로그램을 포함하는 모바일 운영체제이다. 안드
로이드는 애플의 앱스토어 운영 정책과는 달리 개방적인 정책을 시행
하고 있다.
가. 사전 심의 없는 앱 등록
안드로이드 운영체제는 컴파일된 바이트 코드를 구동할 수 있는
런타임 라이브러리를 제공한다. 또한 개발자가 소프트웨어 개발
키트(SDK)를 별도의 등록 과정 없이 무료로 받을 수 있다. 이 때문
에 제작된 프로그램을 안드로이드 마켓에 등록하면 별다른 심의
과정 없이 사용자에게 배포되는데, 이 점이 애플에서 운영하는 앱
스토어와 다른 점이다.
[그림 20] ‘시판되지 않은 응용 프로그램 설치 허용’ 옵션
[그림 21] 가짜 백신으로 허위 진단 결과를 보여주어 악성코드 설치 유도
[그림 22] 성인 사이트 접속 사용자로 하여금 악성코드 설치 유도
[그림 23] 사회공학적 기법을 이용한 악성코드 설치 유도
운영하는 안드로이드 마켓을 이용하는 것이 좋다. 또한 서드파티 안드
로이드 마켓 이용을 위한 전용 앱을 설치해야 한다면, 운영자가 신뢰
할 만한지 확인하는 것이 바람직하다. 국내에서는 휴대전화 통신 서비
스 제공사별로 안드로이드 마켓이 따로 운영된다. 통신사가 운영하는
안드로이드 마켓은 앱을 등록하기 전에 사용자에게 악의적인 영향을
줄 수 있는지를 검사하므로 비교적 신뢰할 만하다.
3) 인터넷 검색 최적화 및 사회공학적 기법을 이용한 배포
안드로이드 운영체제는 [그림 20]과 같이 안드로이드 마켓을 통하지
않고도 앱을 설치할 수 있다.
비교 항목 앱스토어 안드로이드 마켓
운영 주체 애플 구글 또는 마켓 운영자
애플리케이션 등록 애플 심의 후 통과 자율적 등록
개발 프로그램(SDK) 다운로드
개발자 등록 후 가능 누구나 가능
수익 분배CP(Contents provider)와 애플 7:3
CP와 구글 7:3CP와 마켓 운영자 7:3
[표] 앱스토어와 안드로이드 마켓의 차이점
27
네덜란드의 앱 조사기업 디스티모(DISTIMO)의 조사에 따르면
2011년 12월에만 40만 개가 넘는 앱이 안드로이드 마켓에 등록
되었다.
나. 서드파티 마켓의 허용
일반적으로 말하는 안드로이드 마켓은 구글에서 운영하는 서비스
를 의미한다. 하지만 안드로이드 운영체제는 통신사나 기기 제조
사 등에서 운영하는 서드파티 마켓을 허용한다. 안드로이드 스마
트폰을 구매했을 때 전화기 제조사의 마켓 프로그램과 가입된 통
신사의 마켓 프로그램이 설치되어 있는 것은 이러한 안드로이드
진영의 정책 때문이다.
애플의 앱스토어와 비교했을 때, 등록된 앱 수가 20만 개를 돌파
하는 기간은 앱스토어가 9개월 가량 빨랐지만, 이후로는 안드로이
드 마켓이 빠른 증가 속도를 보이고 있다.
다. 개방성
안드로이드 운영체제는 개발자들에게 안드로이드 소스를 개방하는
오픈 소스 정책을 취하고 있다. 개발자는 개발 키트를 자유롭게 다
운로드할 수 있고 개발한 앱을 자유롭게 마켓에 등록할 수도 있다.
안드로이드 공식 마켓과 서드파티 마켓, 웹 등 다양한 배포 경로를 제
공하는 정책도 빠른 속도로 앱이 증가하는 이유 중 하나로 볼 수 있다.
자바로 개발되는 앱의 특성상 리버스 엔지니어링이 쉬운 편에 속하고,
이렇게 리버싱된 앱에 악성코드나 광고를 집어넣어 여러 마켓에 배포
하면 배포자에게 수익이 돌아갈 수 있다는 점도 앱이 빠르게 증가하
는 데에 일조하고 있다.
이러한 개방성이 안드로이드 생태계에 긍정적 효과만 주는 것은 아니
다. 사전 심의 절차가 없기 때문에 마켓에는 사용자에게 불필요한 프
로그램도 많이 등록되어 있다.
[그림 26]은 ‘Hello world’라는 키워드로 마켓에서 검색하였을 때
[그림 24] 안드로이드 마켓
[그림 26] Hello world로 검색된 앱
[그림 25] 안드로이드 마켓에 등록된 앱의 수/앱스토어와 안드로이드 마켓의 앱 증가 추이
의 결과이다. ‘Hello world’는 C 언어를 개발한 Dennis Richie와
Kernighan이 쓴 책 <The C Programming>에서 처음 언급된 프로그
램이다. 주로 개발자들이 처음 프로그램을 작성할 때 I/O나 라이브러
리, 변수 등이 확실하게 동작하는지 확인하기 위해 관례처럼 사용하는
예제 프로그램이다.
이런 테스트 프로그램과 같이 사용자들에게 불필요한 프로그램이나
악의적인 영향을 미칠 수 있는 악성 앱도 안드로이드 마켓에 등록되
어 있다. 현재까지 마켓에서 발견된 안드로이드 기반 악성코드는 단말
기 정보 등 개인정보를 유출하거나 통화 및 SMS 발송을 통해 무단 과
금하는 형태가 대부분이다.
이 중 일부는 ASEC 블로그를 통해서도 언급된 바 있다.
1. 안드로이드 마켓에서 유포된, 사용자폰을 강제 루팅시키는 악성 애
플리케이션 주의
(http://asec.ahnlab.com/259)
2. 구글 안드로이드 마켓, 또다시 악성코드 발견
(http://ahnlabasec.tistory.com/751)
2) 안전한 스마트폰 이용
가. 바운서, 새로운 보안 도구
지난 2012년 2월 3일 구글은 코드네임 ‘바운서(bouncer)’를 발표
했다. 바운서는 안드로이드 마켓에 올라오는 앱이 악성코드를 포
함하고 있는지를 몇 단계에 걸쳐 분석하는 서비스이다. 하지만 바
운서는 앱이 마켓에 등록되기 전에 분석·탐지하는 시스템은 아니
다. 따라서 마켓에 등록되는 악성코드가 일부 감소할 수 있으나 모
두 차단되는 것은 아니다. 또한, 사용자들이 안드로이드 공식 마켓
이 아니라 서드파티 마켓을 이용해 앱을 설치한다면 이 서비스는
도움이 되지 않는다.
나. 안드로이드의 보안 기능
안드로이드의 보안 원칙은 ‘어떤 앱도 다른 앱과 운영체제 또는 사
용자에게 나쁜 영향을 미칠 수 있는 권한을 가지지 않는다’는 것이
다. 이것은 샌드박스라는 기능을 통해 이루어지며 설치된 앱이 동
작할 때 다른 앱이 가진 데이터에는 접근할 수 없다. 앱은 설치 시
요구한 권한만큼만 데이터 접근이나 기능 동작이 가능하며 한 번
앱이 설치되면 할당받은 권한은 변경되지 않는다. 안드로이드 사
용자들은 이러한 특징을 이해하고 스마트폰을 사용할 때 조금만
주의하면 악성코드 감염을 상당 부분 예방할 수 있다.
28
다. 루팅 금지
루팅은 관리자 권한을 획득하는 행동을 의미한다. 관리자 권한을
얻으면 스마트폰에 기본적으로 설치된 앱을 제거하는 등 사용자
임의대로 시스템 설정을 변경할 수 있다. 안드로이드에 설치된 앱
은 모두 고유한 리눅스 사용자 ID가 부여되어 다른 앱에서 생성한
데이터에 접근하는 것이 불가능하다. 하지만 루팅을 하면 이용자
뿐만 아니라 앱 또한 시스템의 다른 데이터에 접근할 수 있다. 이
러한 권한이 악용되면 사용자 데이터가 유출되는 등 보안상의 문
제가 생길 수 있다.
라. 앱 설치 시 권한 확인
안드로이드 마켓은 앱을 설치할 때 요구되는 권한을 보여주는데,
사용자는 이를 확인한 후 앱을 설치할지를 결정해야 한다. 하지만
대부분의 사용자는 앱을 설치할 때 권한을 확인하지 않고 있다. 예
를 들어 게임 앱은 진동 울림 권한을 이용할 수 있지만, 메시지 읽
기나 주소록 접근 권한 등은 불필요하다. 스마트폰 사용자는 설치
하고자 하는 앱의 종류에 따라 불필요한 권한이 없는지 주의를 기
울여야 한다. 주의가 필요한 권한의 종류는 다음과 같다.
- 전화 걸기
- SMS 전송
- 메모리 카드 접근
- 주소록 접근
- 인터넷 접근
- IEMI 등의 정보에 대한 접근
대부분의 무료 안드로이드 앱은 수익성 광고를 제공하기 때문에
인터넷 접근 권한을 요구한다. 따라서 무료 앱을 설치할 때는 스마
트폰에 저장된 민감한 데이터에 대한 접근 요구가 없는지 다시 한
번 확인해야 한다.
마. 신뢰할 수 있는 마켓 이용
인터넷 검색을 통해 블랙 마켓에서 무료 앱을 다운로드하기보다
는 구글이 운영하는 안드로이드 마켓이나 신뢰할 수 있는 서드파
티 마켓을 이용해야 한다. 안드로이드 마켓을 이용하여 앱을 설치
할 때도 혹시 모를 위험에 대비하기 위해 검색된 앱의 제작자 평점
과 사용자 평점, 다운로드 수 등을 확인해야 한다. 설치되는 앱이
요청하는 권한을 잘 확인한다면 편리하고 안전하게 스마트폰을 이
용할 수 있다.
현재 모바일 악성코드는 과거 PC 악성코드가 걸어왔던 길을 답습하고
있다. 과거에는 단순히 휴대전화 정보나 개인정보 등을 유출했지만, 최
근에는 공격자의 명령을 받아 사용자 스마트폰의 보안 기능을 강제로
해제하여 악의적인 행위를 하는 악성코드가 늘고 있다. 또한 프리미엄
SMS 등을 이용하여 금전적 갈취를 하고 있으며, 사회공학적 기법을 사
용하여 더 많은 사용자가 악성코드를 설치하도록 유도하고 있다.
이렇듯 악성코드는 날이 갈수록 사용자에게 직접적인 피해를 주도록
진화해 나갈 것이며, 그 배포 방법 또한 더욱 지능화될 것이다. 따라
서 사용자들은 ‘나의 스마트폰도 악성코드에 감염될 수 있다’는 것을
염두에 두고 새로운 앱을 설치할 때 정말 필요한 시스템 권한과 자원
을 사용하는지 확인해야 하며, 단말기 제조 회사에서 제공하는 업데이
트를 충실히 수행해야 한다. 그리고 새로운 앱을 설치했다면 사용하기
전에 보안 제품으로 검사하고 이상이 없는 것을 확인한 후 사용해야
한다.
29
ahnlab patch managementp R O d u C T i S S u E
더 빠르게, 더 완벽하게, 더 편리하게
‘패치하라’
운영체제나 애플리케이션의 보안 패치 발표와 악성코드 제작자들은 늘 시간을 다툰다. 악성코드 제작자들은 패치가 적용되기 전의 짧은
시간을 재빠르게 파고들어야 하고, 이를 막기 위해 기업들은 한시라도 더 빨리 보안 패치를 적용해야 한다. 오래된 시스템이든 최신 시스
템이든, 그것이 비록 단종된 제품일지라도 우리 기업의 PC 환경에 적합한 보안 패치를, 악성코드가 침투하기 전에, 쉽고 편리하게 설치
할 수는 없을까?
이런 고민을 하는 기업이라면 ‘안랩 패치 매니지먼트(AhnLab Patch Management)’를 추천한다.
안랩 패치 매니지먼트는 각종 보안 패치에 대한 실시간 관리뿐만 아니라, 보안 정책에 위배되는 PC에 대한 인터넷 접근 차단 및 SW 설
치 유도 기능을 가진 전문 패치 관리 솔루션이기 때문이다. 별도의 시스템 구축 없이, 비용 효율적인 통합 관리가 가능한 패치 관리 환경
을 구현하고 싶다면, 안랩 패치 매니지먼트가 제격이다.
안정성의 차별화, 편리성의 극대화
안랩 패치 매니지먼트의 가장 큰 차별점은 검증된 패치를 다양한 관리 옵션으로 제공해 패치 관리의 안정성을 강화했다는 것이다. 안랩은 자체 패
치 랩(Patch Lab)에서 오류 및 문제 발생 가능성을 다시 한 번 걸러냄으로써 더욱 안전한 패치를 제공한다. 또한 MS에서 단종한 제품에 대한 패치
와 국정원에서 권고하는 취약점에 관한 패치도 설치 유도 및 관리할 수 있다. 백그라운드 설치, 테스트 그룹 운영, 롤백, 재부팅 관리, PC 자원 및
네트워크 상황에 적합한 패치 배포 등은 안랩 패치 매니지먼트에서 누릴 수 있는 옵션이다.
둘째, 각각의 기업 환경에 따라 패치 적용 시간, 패치 주기, 패치 적용 대상 등 패치 정책을 설정할 수 있는 패치 관리 기능을 제공한다. PC별 소프
트웨어 정보와 소프트웨어 설치 PC에 대한 정보를 제공하며, 에이전트 및 권장 소프트웨어에 대한 자동 배포 및 설치 유도를 지원한다. 특히 설치
유도 기능을 통해 권고 또는 금지 소프트웨어 등을 설정하고 기업 보안 정책에 위배되는 PC에 대한 네트워크 접근을 차단한다. 이를 통해 소프트
웨어 관리의 가시성을 확보할 수 있다.
셋째, 기업 보안 관리자의 편의성을 강화하였다. 하드웨어, 소프트웨어, 운영체제, 데이터베이스 정보에 대한 요약 및 상세 보고서를 제공한다. 패
치 진행 상태에 대한 실시간 모니터링 기능은 물론, IP 주소별 인터넷 허용/차단 현황에 대한 모니터링 및 통계 그래프도 제공된다. 이러한 보안
현황은 모바일 어드민(Mobile Admin)을 통해 아이패드, 갤럭시탭 등 모바일 단말기로도 실시간 확인할 수 있다.
비용 절감, 문제 해결 서비스도 OK
안랩 패치 매니지먼트는 중앙 관리 솔루션인 안랩 폴리시 센터 어플라이언스(AhnLab Policy Center Appliance)에 대한 추가 라이선스만 입력하
면 서비스를 구축할 수 있다. 안랩 폴리시 센터 어플라이언스는 리눅스 운영체제와 IBM DB2 기반의 솔루션이기 때문에 구축 비용을 절감할 수 있
다. 또한 보안 패치 미비로 인한 보안 사고 발생을 사전에 예방하므로 보안 사고로 인한 비용 손실을 방지해 TCO(Total Cost of Ownership) 절감
에 기여한다.
만약 기업 내의 패치 적용으로 인한 문제가 발생하면, 즉시 안랩 패치 랩에 보고되어 즉각적인 지원을 받아 해결할 수 있다는 점은 안랩만이 제공
하는 장점이다.
즉각적이고 믿을 수 있는 서비스를 바탕으로, 비즈니스 효율성을 향상하기 위해 안랩 패치 매니지먼트로 ‘패치하라’.
a h N l a b N E w S partnership
안랩, 파트너 데이에서 ‘2012년 사업 비전’ 제시
이제 ‘세일즈’가 아니라 ‘서비스 오퍼링’이다
안랩은 지난 3월 9일과 14일, 이틀에 걸쳐 최신 보안 동향과 2012년 안랩의 사업 전략을 파트너사와 공유하기 위한 ‘안랩 파트너 데이
2012(AhnLab Partner Day 2012)’를 개최했다. 이 행사에서 안랩은 ‘서비스 오퍼링(Service Offering)’ 개념을 바탕으로 한 사업 전
략을 설명했다. 또한 고객 니즈의 적극적인 반영을 통한 안랩 제품의 경쟁력 강화와 이를 통한 파트너의 사업 성장을 약속했다. 이번 행
사에는 소프트웨어 및 어플라이언스 파트너사 관계자 200여 명이 참석했다.
“이제 안랩은 서비스 오퍼링을 통해 입체적인 사업을 전개할 것이다. 이로써 파트너들의 사업이 다각화되는 데 기여할 것이다.”
안랩 김홍선 대표는 ‘안랩 파트너 데이 2012’ 행사를 통해 이같이 강조했다. 지난 해 매출 1000억 원 달성(수주액 기준)에 이어, 올해 초 RSA
콘퍼런스에서 북미 시장 성공 가능성을 확인한 안랩의 비전을 밝힌 것이다.
30
소프트웨어 및 어플라이언스 파트너사 대표 등 200여명이 참석한 ‘안랩 파트너 데이 2012(AhnLab Partner Day 2012)’
31
글로벌 수준의 ‘명품’ 만들 것
김홍선 대표는 파트너사들과 최근의 전 세계 IT 트렌드 변화를 공유했다. ‘스마트 기기(Smart Device), 클라우드(Cloud), 소셜(Social)’을 올해
IT 키워드로 꼽은 김홍선 대표는 “이제는 어떻게, 얼마나 안전하게 비즈니스를 할 것인가가 기업 비즈니스의 관건이 될 것”이라며 “안랩은 이
러한 변화의 시대를 파트너들과 함께 이끌어가겠다”고 전했다.
또한 나날이 고도화되는 보안 위협을 설명하고 “안랩은 클라우드 기반의 악성코드 분석 시스템 ASD(AhnLab Smart Defense)와 엔드포인트,
네트워크 기술을 기반으로 다양한 제품을 출시, 신기술•맞춤형•멀티레이어 솔루션을 제공하고 있다”며 안랩의 차별점을 강조했다. 이러한 안
랩의 차별점과 성장 엔진에 집중함으로써 글로벌 사업을 성공시킬 것이라며 “다각화된 사업을 전개하고 특히 R&D를 더욱 강화하여 ‘명품’으
로 평가받을 수 있는 글로벌 수준의 제품을 만들 것”이라고 포부를 밝혔다.
‘서비스 오퍼링’, 세일즈 패러다임의 변화 선언
국내 사업을 총괄하고 있는 권치중 부사장은 “기업의 핵심이 되는 데이터를 어떻게 보호할 것인가를 다각도에서 풀어갈 것”이라며 올해 사업
전략으로 ‘서비스 오퍼링(Service Offering)’을 소개했다. 서비스 오퍼링이란 기존과 같이 한 가지 제품으로 고객을 만나는 것이 아니라 사람,
프로세스, 기술이라는 관점에서 여러 제품을 고객에게 먼저 제시하는 형태로, 안랩의 세일즈 패러다임의 변화를 의미하는 것이다.
또한 안랩의 발전은 파트너와의 상생 관계를 ‘순망치한(脣亡齒寒)’이라고 비유하고 서비스 오퍼링으로의 패러다임 변화와 관련해 “기술, 교육,
인력, 투자 등 준비된 파트너들은 이러한 변화로 많은 혜택을 보게 될 것”이라고 강조했다.
보안사업본부 배 민 이사는 2011년 사업 성과를 공유하고, 브랜드 파워, 기술력, 그리고 파트너의 노력이 있었기 때문에 가능한 결과였다고 치
하했다. 배 민 이사는 “그러나 제품이 다양화되고 고객의 요구가 다양해졌기 때문에 더욱 적절한 전략 제품 전달을 위한 구조가 필요하다”고
지적했다. 이러한 배경에서 서비스 오퍼링의 개념이 등장했고, 파트너와 협업할 수 있는 기준을 마련하기 위해 서브스 프레임워크를 고민하고
있다고 밝혔다. 또한 “궁극적으로 소프트웨어나 네트워크, 서비스로 영역을 국한하지 않고 넘나드는 역량을 갖추고 성장하는 계기가 되길 바
란다”고 덧붙였다.
BMT와 대형 레퍼런스 구축으로 경쟁력 증명해
어플라이언스 사업본부 고광수 상무는 어플라이언스 사업과 서비스 오퍼링의 관계를 설명했다. 안랩은 UTM 장비인 트러스가드와 DDoS 방
어 솔루션 트러스가드 DPX 등 기존의 어플라이언스 장비를 비롯해 트러스존, 트러스와처 등 다양한 어플라이언스 포트폴리오를 마련했다. 소
31
2011년 공공 부문 매출 2배 성장을 기록한 유앤아이소프트(U&I SOFT)
프트웨어뿐만 아니라 네트워크 솔루션까지 안랩이라는 하나의 벤더에서 보안 전 영역에 걸친 제품을 모두 제공할 수 있다는 점이 서비스 오퍼
링이 가능한 배경이다. 이를 위해 파트너 지원 및 파트너 프로그램을 강화한다는 계획이다.
한편 고광수 상무는 BMT(Bench Mark Test)에 강력한 자신감을 표했다. 지난 해 출시된 10G급 방화벽 트러스가드 10000P의 고객사 BMT를
통해 글로벌 벤더의 제품들보다 뛰어난 성능을 증명했다고 전했다. BMT를 하고 나면 실제로 뛰어난 성능을 확인시킬 수 있어 최근에는 ‘BMT
하자’는 말이 나오기를 기다린다는 것. 고광수 상무는 “성능 안정화와 다수의 굵직한 레퍼런스를 마련함으로써 시장을 통해 실질적인 제품 검
증을 마친 것”이라며 “올해 어플라이언스 시장 확대를 위해 적극적으로 드라이브할 것”이라고 자신감을 표했다.
파트너, ‘수주액 1000억 원 달성의 원동력’
김홍선 대표와 안랩의 임원진들은 수주액 1000억 원 달성의 원동력으로 파트너를 꼽았다. 이에 안랩 파트너 데이에서 파트너 시상이 진행됐다.
네오시안(대표 김정욱, www.neoxian.co.kr)과 성화 I&T(대표 김태균, www.shint.co.kr)는 나란히 3년 연속으로 공공과 교육부문 매출 공로
상을 수상했다. 또한 위포(대표 백운봉, www.wefor.com)는 지역파트너 매출 우수 업체로 3년 연속 공로상을 수상했다. 유앤아이소프트(대
표 류덕섭, www.uni-soft.co.kr)는 공공 부문에서 매출 2배 성장을 기록해 눈길을 끌었으며, SMB 부문에서는 소프트2000(대표 윤 온, www.
soft2k.co.kr)이, 윈백 매출 부문에서는 프로넷소프트(대표 이혜란, www.pronetsoft.co.kr)의 활약이 돋보였다. 또한 신규 파트너임에도 불구
하고 글로벌소프트(대표 김경탁, www.globalsoft.co.kr) 역시 우수한 매출 성장을 기록해 2011년 안랩이 매출 목표 달성을 이룰 수 있었던
원천이 파트너임을 확인할 수 있었다.
공공 및 교육 부문 총판인 비츠코리아(www.bitzkorea.com)의 임달혁 대표는 “올해 안랩 파트너 데이는 축제의 장이 된 듯하다”며 “수주액
1000억 원 달성을 통해 안랩이 안정적으로 성장하는 원년이 되어 기쁘게 생각한다”고 말했다. 이어 “비츠코리아는 자체적인 고객 DB 구성을
위해 노력한 결과 작년에 시스템 구축을 완료하였다. 이를 통해 올해는 더욱 구체화된 영업을 할 수 있을 것이다”라고 포부를 밝혔다.
상업 부문 총판인 소프트뱅크커머스코리아(www.softbankck.co.kr)의 이승근 대표는 “안랩이 소프트웨어 기업으로서 수주액 1000억 원을 달
성한 것은 굉장한 의미를 갖는다”며 “R&D 수주를 바탕으로 성장할 수 있었다고 생각한다”고 축하의 뜻을 전했다. 이어 “덕분에 소프트뱅크커
머스도 더욱 열심히 할 수 있었고 사상 최대의 매출을 기록했다”며 “소프트뱅크커머스 또한 리소스와 역량을 더욱 집중해서 더욱 성장해 나갈
것”이라고 말했다.
이에 권치중 부사장은 “서비스 오퍼링과 더불어 2012년 안랩의 비즈니스 방향에 대한 키워드를 뽑는다면 파트너 강화(Partner
Engagement)”라고 화답했다.
세일즈마케팅팀 이상국 팀장은 서비스 오퍼링을 토대로 한 ‘고객 관계 및 파트너 프로그램 강화’를 설명하고, “이제는 어떻게 함께 성장할 수
있을지를 더욱 고민하고 더욱 구체적인 내용을 제시할 수 있도록 하겠다”고 말했다. 또한 주력 제품군과 전략 제품군 구분과 차별화된 시장 접
근을 위한 파트너 육성을 골자로 한 파트너 프로그램을 통해 안랩과 파트너의 동반 성장을 실현하겠다고 강조했다.
32
a h N l a b N E w S global business
전체 매출액 중 글로벌 비중 2012년 두 자릿수 회복
2015년 글로벌 매출 비중 30% 목표
글로벌 보안 기업 안랩이 2012년 제2의 창업을 맞아 글로벌 사업을
대폭 강화하겠다고 밝혔다. 우선 글로벌 사업의 매출을 2011년 전체
매출의 8%에서 2012년 10%, 2015년에는 30%까지 올릴 계획이다.
안랩은 2012년부터 CEO가 글로벌사업본부장을 겸임해 해외 사업을
직접 진두지휘하는 구조를 갖추었다.
안랩은 2012년 2월 ‘RSA 콘퍼런스’에 첫 참가해 APT 공격 대응 솔루
션 ‘트러스와처 2.0(AhnLab TrusWatcher 2.0)’을 선보이며 본격적인
미국 진출의 포문을 열었다. 또한 클라우드 기반 모바일 보안 솔루션
인 ‘안랩 모바일 센터’와 온라인 통합 보안 서비스인 ‘AOS(AhnLab
Online Security)’, 생산 라인 보안 솔루션인 ‘트러스라인’도 소개해
금융권과 일반 업계 IT 실무자의 높은 관심을 받았다. 아울러 해외 유
수의 기업 실무자들에게 다양한 솔루션을 선보여 ‘중량감 있는 기업’
이란 인상을 남길 수 있었다.
안랩은 이를 기점으로 미국 내 사업을 적극 전개할 계획이다. 금융
및 기업 비즈니스를 추진할 채널을 다수 확보하고, 기존 오피스맥스
(Office Max) 외 대형 양판점을 통해 개인용 V3 공급을 확대한다는
전략이다.
일본에서는 보안 관제 서비스 사업을 확대하는 한편, 2011년 말 출
시한 ‘V3 모바일 2.0’에 이어 악성 애플리케이션 검증 솔루션 ‘안랩
모바일 스마트 디펜스’, 기업용 모바일 단말 통합 관리 솔루션인 ‘안
랩 모바일 센터’, 스마트폰을 통한 거래 보안 제품 ‘V3 모바일 플러스’
등을 단계적으로 출시해 통합 보안 사업을 전개할 계획이다.
중국에서는 악성코드 분석센터를 주축으로 단순 제품 판매에서 벗어
나 근본적인 기술 투자 진출을 전개하고 있다. V3 제품군과 함께 ‘트
러스가드’, ‘트러스라인’ 공급에 주력할 계획이다. 유럽과 동남아 지
역은 AOS와 핵쉴드를 중심으로 시장을 공략하고자 지역별 영업망을
확대하고 서비스 대응 역량을 강화할 예정이다.
한편, 안랩은 2012년 전년 대비 30% 안팎의 성장을 목표로 ▲새로
운 보안 위협에 대응하는 융합 솔루션 리더십 확보 ▲해외 전략 시장
진출 가속화 ▲국내 핵심 사업 점유율 확대를 추진할 계획이다.
먼저, 핵심 역량인 V3 제품군의 기술력을 강화하고 제조/기반 시설
보호용 트러스라인, 망 분리 솔루션 트러스존, APT 대응 솔루션 트러
스와처, 모바일 보안 솔루션 V3 모바일, 웹 보안 솔루션 사이트케어
등 새로운 분야의 보안 솔루션을 늘려나간다는 전략이다. 또한, 침해
분석 및 예방을 위한 A-FIRST, 파견/원격 관제 및 기술지원센터 등의
종합 대응, 실시간 APT 공격의 방어, 컨설팅 등 고객 맞춤형 서비스
를 강화할 예정이다.
또한 안랩은 최근 전 세계적으로 화두가 되고 있는 APT(Advanced
Persistent Threat) 공격 대응과 관련해 외부에서 들어오는 공격과
내부에서 유출되는 정보를 동시에 감시 및 대응할 수 있는 전방위 융
합 보안 체계를 제공할 계획이다. 아울러 악성코드 조기 진단 및 유
포지 추적이 가능한 핵심 기술인 ASD(AhnLab Smart Defense)를
활용한 제품 및 서비스를 출시할 예정이다.
김홍선 안랩 대표는 “2011년 수주액 1000억 원 달성 이후 중기적으
로 매출 1조 원 시대를 바라볼 때가 되었다고 본다. 안랩은 국내에서
축적한 기술력과 서비스 노하우를 바탕으로 누구도 해내지 못한 글
로벌 소프트웨어 기업의 꿈을 실현하겠다”라고 각오를 밝혔다.
안랩 김홍선 대표는 “2015년 글로벌 사업 매출을 30%까지 끌어올리겠다”고 밝혔다.
33
a h N l a b N E w S patent
웹 통한 악성코드 감염 사전 차단 기술 특허 획득
사용자 부주의에 따른 감염도
효과적으로 차단
안랩은 2012년 3월 20일 V3 제품군에 탑재된 클라우드 컴퓨팅 개념
신기술인 ‘스마트 디펜스(AhnLab Smart Defense)’에 적용 예정인
‘단말 장치 및 상기 단말 장치의 파일 배포처 확인 방법’이 국내 특허
를 획득하고 PCT 국제 특허를 출원했다고 발표했다.
‘스마트 디펜스’는 엔진 업데이트를 할 때 악성코드에 대한 모든 데이
터를 PC로 다운로드한 후 PC에서 악성코드를 검사하던 기존 방식과
달리, 대규모 파일 정보 데이터베이스를 중앙 서버에서 관리하며 PC
에 설치되어 있는 ASD 엔진에서 파일의 악성 여부에 대해 문의하면
이에 대해 응답해주는 방식이다. 이는 신종 악성코드에 대한 사전 대
응력을 높이고, V3의 엔진 사이즈를 가볍게 하며, 오진을 최소화하는
기술이다.
이번 특허 기술은 사용자 PC로 전달되는 파일의 배포처와 배포 경로
를 확인함으로써 악성코드의 확산을 원천 차단하는 기술이다. 즉, PC
에서 기 실행된 파일들과 이 파일들의 배포처 정보를 기억장치에 저
장해 두고, 새 파일이 생성될 경우 이와 비교하여 새 파일의 배포처
정보를 추출한다. 이로써 악성코드의 분석을 돕고, 악성코드의 확산
을 사전에 방지할 수 있다.
[그림 2] AhnLab Smart Defense Center[그림 1] AhnLab Smart Defense 구성도
악성코드가 보통 사용자의 부주의로 설치되는 경우가 많기 때문에
이에 대응할 기술의 필요성이 대두돼 왔었다. 이번 특허 기술은 바로
이를 충족하는 것으로, 사용자가 무심코 접속하는 웹 사이트를 통해
악성코드가 설치되려 할 때 이를 사전에 방지해준다.
한편, 안랩의 V3는 스마트 디펜스를 비롯해 DNA 스캔, V3 뉴 프레
임워크 등 원천 기술의 혁신으로 높은 진단율과 빠른 검사 속도, 다
양한 위협의 조기 차단 등 탁월한 성능을 제공한다. ICSA 인증, VB
100% 어워드, 체크마크 인증의 3대 국제 인증을 모두 획득했으며,
이를 바탕으로 글로벌 시장에 활발히 공급돼 세계에서 순수 국산 기
술의 위상을 높여가고 있다.
김홍선 대표는 “안랩은 전문 연구 인력만 전 직원의 약 50%인 연구
개발 중심의 기술 및 서비스 회사이다. 지난 해 특허 등록 100건을
넘은 데 이어 지속적으로 특허 기술을 개발해 글로벌 기업의 위상을
강화해 나가겠다”라고 강조했다.
AhnLab Smart Defense Center
1. 위험 파일 DNA 수집
2. 수집된 파일 분석
4. 업데이트된 DB 활용
3. 분석후 DB에 반영
최초 위험파일 발견
파일분석 시스템
AhnLab Smart Defense
파일 DNA 전송
검사 결과 전송 AhnLab Smart Defense Center
34
a h N l a b N E w S Smb Security Service
보안 전문가 부족한 중소기업의 보안 수준 제고
중소기업용 보안 서비스 2종 출시
안랩은 최근 중소기업용 원격 지원 서비스인 ‘기업용 PC주치의’와 IT
자산 관리 서비스를 출시하며 중소기업의 보안 수준 제고에 나섰다.
‘기업용 PC주치의’ 서비스는 보안 전문가가 원격으로 사내 PC에 접
속해 보안 문제는 물론, 장애 해결과 같은 일반적인 PC 사용까지 관
리해 주는 토털 케어 서비스이자 양방향 서비스이다. PC가 이유 없이
느려질 때, 악성코드 감염이 의심될 때, 인터넷 활용 및 프로그램 사
용을 알려줄 도우미가 필요할 때 유용하다.
‘PC주치의’ 서비스는 그동안 개인에게만 제공되어 온 서비스로, 안랩
자체 조사 결과 94%의 높은 만족도를 보였다. 기업 사용자들의 요구
또한 이어져, 2011년 한 달간 중소기업을 대상으로 시범 서비스를 제
공하고 큰 호응을 얻었다. 이에 최근 기업용으로 본격 출시하게 됐다.
‘기업용 PC주치의’는 중소기업용 보안 서비스인 V3 MSS(V3 Managed
Security Service)나 기업용 통합 백신 V3 인터넷시큐리티 8.0(V3
Internet Security 8.0)과 묶음으로 구매할 수도 있으며, V3 제품군
과 별개로 구매할 수도 있다. 별도 구매 시 PC 1대당 5회 사용료는 8
만 원이다.
IT 자산관리 서비스는 ㈜지란지교소프트의 ‘오피스키퍼’ 상품을 서비
스화한 것이다. 이 서비스는 전문 관리자가 없는 중소기업에서 IT 자
산을 효율적으로 관리하고자 할 때 유용하다. 우선 기업의 소프트웨
어 라이선스의 보유·사용 현황 및 PC 사용 현황 등을 관리함으로
써 소프트웨어 불법 사용으로 인한 피해를 예방할 수 있다. 또한 사
내 PC 및 소프트웨어의 가동률과 활용 상황을 확인함으로써 장기간
사용되지 않는 PC나 소프트웨어를 재배치하는 등 사내 IT 자산의 활
용도를 높일 수 있다. 게다가 불필요한 소프트웨어 및 인터넷 사이트
접속을 파악하고 관리할 수 있어 직원들의 업무 집중도를 관리할 수
있다.
단, IT 자산관리 서비스는 V3 MSS와 연동되기 때문에 V3 MSS 고객
기업용 서비스 출시 기념 온라인 캠페인
만이 구매할 수 있다. 2~299 사용자 기준 PC 1대당 1만 8000원이다.
안랩은 기업용 서비스의 출시를 기념해 온라인 캠페인을 진행한다
(http://shop.ahnlab.com). 2012년 3월 5일부터 4월 15일까지 기
업용 PC주치의나 IT 자산관리 서비스를 구매하는 모든 기업에 금액
별 PC주치의 이용권을 추가 제공하고, 추첨을 통해 공기청정기, 멀티
클리너 등 사은품을 증정한다.
안랩 김홍선 대표는 “중소기업에 필요한 것은 사내에 보안 전문가가
없어도 손쉽게 보안 대책을 세우고 IT 자산을 관리할 수 있는 서비스
이다. 기업용 PC주치의, IT 자산관리 서비스의 출시로 중소기업의 보
안 수준이 한층 높아질 것으로 기대한다”라고 강조했다.
35
3636
보안 통계와 이슈 S T a T i S T i C S
구 분 건 수
악성코드 발견 건수 73,746
악성코드 유형 630
악성코드가 발견된 도메인 403
악성코드가 발견된 URL 5,079
[표] 웹 사이트 악성코드 동향
국내 대형 은행 사칭한 피싱 사이트 주의
안랩 시큐리티대응센터(ASEC)는 최근 ASEC Report Vol. 26을 통해 2012년 2월 보안 통계 및 이슈를 전했다. 지난 2월 주요 악성코드
및 웹 보안 통계와 보안 이슈를 다시 한 번 살펴본다.
[그림 1] 2012년 2월 악성코드 유형별 감염 비율
[그림 2] 2012년 2월 vs 2012년 1월 악성코드 유형별 감염 비율
[그림 3] 웹 사이트를 통한 악성코드 유형별 배포 수
2012년 2월 악성코드 통계
2012년 2월에 감염이 보고된 악성코드는 전체 1366만 3774건으로 나
타났다. 이는 지난 달의 1395만 901건에 비해 28만 7127건이 감소한
수치다. 악성코드를 유형별로 살펴보면, 트로이목마(Trojan)가 42.4%
로 가장 많았으며, 스크립트(Script)가 14.2%, 애드웨어(Adware)가
7.1%인 것으로 나타났다. [그림 1]은 2012년 2월 한 달 동안 안랩 고
객으로부터 감염이 보고된 악성코드의 유형별 비율을 집계한 결과다.
2012년 2월 웹 보안 통계
안랩의 웹 브라우저 보안 서비스인 사이트가드(SiteGuard)를 활용한
웹 사이트 보안 통계 자료에 의하면, 2012년 2월 악성코드를 배포하
는 웹 사이트를 차단한 건수는 총 7만 3746건이다. 악성코드 유형은
630종, 악성코드가 발견된 도메인은 403개, 악성코드가 발견된 URL은
5079개였다. 이를 2012년 1월과 비교해보면 악성코드 유형, 악성코드
가 발견된 도메인, 악성코드가 발견된 URL은 다소 감소했으나 악성코
드 발견 건수는 증가하였다.
[그림 2]와 같이 악성코드 유형별 감염 비율을 전월과 비교하면, 트로
이목마, 애드웨어가 증가세를 보인 반면, 스크립트, 웜(Worm), 드로
퍼(Dropper), 바이러스(Virus), 다운로더(Downloader), 스파이웨어
(Spyware) 계열들은 감소한 것을 볼 수 있다. 애프케어(Appcare) 계
열들은 전월 수준을 유지했다.
이들 웹 사이트를 통해 배포된 악성코드 유형은 [그림 3]과 같다. 드로
퍼가 4만 6467건/63%로 가장 많았고, 트로이목마가 7678건/10.4%
인 것으로 조사됐다.
37
[그림 4] 피싱 사이트 접속을 유도하는 스팸 메시지
[그림 6] ‘보안승급바로가기’ 버튼 클릭 유도 메시지
[그림 5] KB국민은행을 사칭한 가짜 홈페이지
[그림 7] 이름과 주민등록번호 입력 유도 페이지
[그림 8] 계좌 정보 및 보안 카드 정보를 유출하기 위한 페이지
[그림 9] 모든 정보가 입력되면 출력되는 메시지
2012년 2월 주요 보안 이슈
■ 국내 대형 은행을 사칭한 피싱 사이트 주의
국내 대형 은행인 KB국민은행을 사칭한 사이트가 또 다시 등장했다.
www.kb****kr.com 도메인으로 등장했던 피싱 사이트가 차단 조치되
자 www.kbc***d.com, www.kr-***d.com 도메인으로 변경해 다시
나타났다. 특히 [그림 4]와 같이 스팸 메시지를 발송하여 피싱 사이트
접속을 유도한다.
메인 화면의 ‘보안승급바로가기’ 버튼이 아닌 다른 메뉴를 클릭하면
[그림 6]과 같은 메시지를 출력하여 ‘보안승급바로가기’ 버튼의 클릭을
유도한다.
정보를 입력하면 [그림 8]과 같이 보안 카드 정보, 계좌 번호, 계좌 비
밀번호 등을 추가로 수집하며, 모든 번호를 입력하기 전에는 다음 화면
으로 진행할 수 없다.
모든 정보를 입력하면 [그림 9]의 화면이 출력된다. 오탈자와 어색한
말투가 눈에 띈다.
‘보안승급바로가기’ 버튼을 클릭하면 [그림 7]과 같이 이름과 주민등록
번호를 수집하는 메뉴가 출력된다. 약관에서는 타사 개인정보 유출 사
고를 언급하며 개인정보 입력을 유도한다.
이 피싱 사이트에서 수집하는 정보는 이름, 주민등록번호, 계좌 번호,
비밀번호, 보안 카드 일련 번호, 보안 카드 전체 번호 배열 등이다. 이
를 확보하면 공인인증서를 재발급받을 수 있기 때문에 안내문에 따라
사용자가 온라인 뱅킹을 이용하지 않는 틈을 타 사용자 계좌에 있는 현
금을 인출할 수 있다. 전체적인 구조는 [그림 10]과 같다.
문자 메시지로 전송된 www.kbc***d.com 홈페이지 외관 및 분위기
는 KB국민은행 사이트와 매우 흡사하다([그림 5]).
38
[그림 10] 전체적인 피싱 사이트 동작 구조
[그림 11] 문서 파일을 탈취하는 악성코드의 동작 순서이러한 피싱 사이트는 2011년 9월부터 발견되기 시작해 최근 들어 급
증하는 추세이다. 피싱 사이트에 속는 것을 방지하기 위해서는 다음의
사항을 숙지해야 한다.
1. 정상 은행 사이트 URL은 외우거나 적어둔다.
www.[은행].com에서 은행 부분은 card.[은행].com, bank.[은행].com 식
으로 대부분 고정되어 있다. 알고 있는 URL과 다르다면 피싱 사이트로 의
심해야 한다.
2. 은행 사이트는 공인인증서를 이용하여 로그인한다.
보안 등급 승급과 같은 개인정보 변경 시 공인인증서를 사용하지 않는다면
피싱 사이트로 의심해 보아야 한다.
3. 보안 등급 설정과 같은 민감한 사안은 직접 은행 창구에서 처리한다. 기
간 만료로 인한 인증서 재발급을 제외한 모든 인증서 재발급은 직접 은행
을 방문해야 처리가 가능하다.
4. 정상적인 은행 사이트는 보안 카드에 있는 모든 내용을 입력하라고 하지
않는다.
정상 사이트는 보안 카드에 대한 임의의 일부 정보만 물어본 후 이를 은행
이 갖고 있는 정보와 비교한다. 보안 카드의 모든 정보를 입력하라고 요구
하면 피싱 사이트로 의심해야 한다.
■ PC에 존재하는 모든 문서 파일을 탈취하는 악성코드
페덱스(FedEx) 운송장 메일로 위장하여 사용자 PC에 존재하는 모든
MS 워드 파일과 엑셀 파일을 탈취하는 악성코드가 발견되었다. 이 메
일은 ‘Your package is available for pickup.NO#8248’이라는 제목으
로 전파되었다. 일반적으로 국내의 개인 사용자는 영어로 된 페덱스 관
련 메일을 스팸으로 분류하기 때문에 감염 위험이 높지 않지만, 업무상
영문 메일을 많이 주고 받거나 페덱스 국제 화물 운송을 자주 이용하는
사용자는 감염될 수 있으므로 주의해야 한다.
메일에 첨부된 악성코드 파일명은 FedEx_Invoice.exe이다. 이 파일을
실행하면 확장자가 TXT인 악성코드가 다운로드되어 사용자들이 실행
파일이 아닌 것으로 생각하기 쉬우나 실제로는 실행 가능한 윈도우 PE
파일이다.
이 악성코드의 주요 동작 순서는 [그림 11]과 같다. 사용자가 첨부 파
일을 실행하면 PC에 있는 모든 MS 워드 파일이나 엑셀 파일들을 압축
하여 해외에 있는 웹하드 업체에 업로드한다. 악성코드 제작자는 해당
국내 기업 및 관공서의 대다수 사용자는 대부분의 문서 파일을 자신의
업무용 PC에 보관하고 있다. 또한 많은 사용자가 문서 파일에 암호를
걸지 않고 사용하므로 악성코드에 감염되면 중요 문서 파일들이 통째
로 악성코드 제작자에게 전송될 수 있으므로 주의해야 한다.
참고로, 이러한 악성코드는 최근 이슈가 되고 있는 APT(Advanced
Persistent Threat)와는 다르다. APT는 장기간에 걸쳐 목표로 하는 시
스템의 취약점 및 관리자 계정을 탈취한 후 원하는 정보만 빼내거나 파
괴하는 것을 목적으로 한다. 하지만 이번에 발견된 악성코드는 스팸 메
일을 이용하여 불특정 다수에게 발송되므로 악성코드 제작자는 감염
대상을 알 수 없고, 원하는 특정 정보만 탈취하는 것이 아니라 사용자
PC에 존재하는 모든 문서 파일을 탈취한다.
이러한 악성코드에 감염되는 것을 예방하기 위해서는 다음과 같이 조
치해야 한다.
1. 안티스팸 솔루션을 도입해 스팸 및 악의적인 이메일의 유입을 최소화한
다.
2. 출처가 불분명하거나 의심가는 제목일 때는 메일을 열지 말고 삭제한다.
3. 사용 중인 보안 프로그램은 최신 버전으로 업데이트하고 실시간 감시 기
능을 사용한다.
4. 메일에 첨부된 파일은 바로 실행하지 않고, 저장한 다음 보안 프로그램
으로 검사한 후 실행한다.
5. 이메일에 존재하는 의심가거나 확인되지 않은 웹 사이트 링크는 클릭하
지 않는다.
6. 악성코드 감염을 예방하기 위해 윈도우, 인터넷 익스플로러, 오피스 제품
등의 보안 업데이트를 모두 설치한다.
7. 중요한 문서 파일은 PC에 보관하지 않는다.
8. 중요한 문서 파일은 암호를 걸어 저장하는 습관을 가진다.
<V3 제품군의 진단명>
- Spyware/Win32.Zbot (2012.02.07.03)
- Trojan/Win32.Gen (2012.02.14.00)
이 밖의 보안 관련 통계 및 이슈에 관한 자세한 내용은 ASEC Report
홈페이지(http://www.ahnlab.com/kr/site/securitycenter/asec/
asecReportView.do?groupCode=VNI001)에서 확인할 수 있다.
웹하드에 수집된 압축 파일을 다운로드한 뒤 웹하드에 등록된 정보를
삭제한다.
3 월 1 일
AhnLab_man안랩 가방을 패션 아이템처럼 메는 법! http://ow.ly/i/u89r
3 월 1 5 일
AhnLab_man오늘은 안랩의 17번째 생일입니다. 앞으로도 더욱 노력하는
안랩이 되겠습니다. 많은 성원 부탁드립니다!
On AhnLab’s Twitters보안경보
안랩소식
3 월 1 2 일
AhnLab_SecuInfo CVE-2012-0754 취약점을 악용한 온라인 게임핵 악성코드
가 유포 중이니 주의하세요. 자세한 내용은 ASEC 블로그를
참고하세요. http://ow.ly/9AzQy
3 월 1 4 일
AhnLab_SecuInfo트위터로 전파되는 안드로이드 악성코드가 발견되었습
니다. 자세한 사항은 ASEC 블로그를 참고하세요. http://
ow.ly/9E78p
3 월 1 6 일
AhnLab_SecuInfo 가짜 안드로이드 마켓에서 악성코드를 유포 중인 것이 발견
됐습니다. 자세한 내용은 ASEC 블로그를 참고하세요. http://
ow.ly/9GWJm
3 월 1 9 일
AhnLab_SecuInfo 전자 서명을 도용한 악성코드가 해외에서 발견되었습니
다. 자세한 정보는 ASEC 블로그를 참고하세요. http://
ow.ly/9JtIH
3 월 5 일
AhnLab_SecuInfo국내 패스트푸드 업체의 홍보 메일로 위장한 악성코드가
유포 중입니다. 자세한 내용은 ASEC 블로그를 참고하세요.
http://ow.ly/9rGMZ
3 월 6 일
AhnLab_SecuInfo 어도비 플래시 플레이어의 CVE-2012-0754 취약점을 악용
한 타깃 공격이 발견되었습니다. 자세한 정보는 ASEC 블로
그를 참고하세요. http://ow.ly/9tC9S
3 월 2 0 일
AhnLab_SecuInfo 최신 보안 동향과 이슈를 정리한 ASEC 리포트 Vol.26이 발
간되었습니다. 자세한 내용은 안랩 홈페이지에서 확인하세
요. http://ow.ly/9L04t
3 월 1 9 일
AhnLab_SecuInfo MS에서 블루스크린을 유발하는 MS12-020 취약점 공격
코드의 보안 패치를 발표했습니다. ASEC 블로그를 참고하
여 설치하세요. http://ow.ly/9JxTn
3 월 1 일
AhnLab_manRSA 2012 콘퍼런스에서 안랩 부스에 들어오기 위해 길게
줄을 선 방문객들! http://pic.twitter.com/2w52j6BV
3 월 1 일
AhnLab_manRSA 2012 콘퍼런스의 주최 측에서도 안랩을 취재하기 위해
왔습니다. http://pic.twitter.com/IYAD3oul
3 월 1 6 일
Hong Sun Kim안랩의 미국 진출에 대한 IDC의 견해. http://bit.ly/xJ63nQ
#fb
3 월 2 6 일
AhnLab_man기업 정보를 노리는 APT 공격. 시작은 바로 여러분일 수 있
습니다! http://ow.ly/9RX8X
39
발행인 : 김홍선
발행처 : 주식회사 안랩
경기도 성남시 분당구 삼평동 673
T. 031-722-8000 F. 031-722-8901
편집인 : 안랩 세일즈마케팅팀
디자인 : 안랩 UX디자인팀
Copyright(c) AhnLab,Inc. 2012 All Rights Reserved.
본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제, 복사, 검색 시스템
으로 저장 또는 전송될 수 없습니다. 안랩, 안랩 로고는 안랩의 등록상표입
니다. 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상
표일 수 있습니다. 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다.
경기도 성남시 분당구 삼평동 673
T. 031-722-8000 F. 031-722-8901
Copyright (c) AhnLab, Inc. 2012 All rights reserved.
http://www.ahnlab.com
http://blog.ahnlab.com
http://twitter.com/ahnlab_man
