Mikko Hypponen : 바이러스와의 싸움과 인터넷을 보호하는 것.
— 연사의 마지막 발언은 인터넷을 보호하기 위해서는 전세계적으로 통용되는 법적 규제장치를 마련하는것, 그리고 실력이 있고 범죄를 저지를 가능성이 있는 사람들에게 충분한 활동기회를 제공해서 범죄를 저지르지 않도록 하는 것이라고 강조합니다. 실력이 있는데도 기회가 제공되지 않는 사람들이 인터넷 사이버 범죄를 저지르게 됩니다.
Sep 142011
Sep 102011
김어준 “<딴지일보> 악의적 해킹…13년 자료 날아가”
http://www.newsface.kr/news/news_view.htm?news_idx=2564
‘딴지라디오-김어준의 나는 꼼수다’가 애플 온라인 서비스 ‘아이툰즈’(iTunes) 팟캐스트 뉴스 및 정치 분야에서 지상파를 제치고 빅히트를 친 가운데 <딴지일보>가 최근 원인모를 해킹을 당해 13년의 자료가 모두 날아가는 초유의 사건이 발생했다. 전문가의 도움으로 간신히 복구하고 있지만 최근 1년치의 자료는 아예 복구가 불가능한 상황으로 알려졌다.
김어준 <딴지일보> 총수는 “농협과 같은 사태가 벌어진 것”이라며 “분해서 잠이 안온다”는 입장을 내놨다. 검찰이 지난 5월 북한의 소행이라고 결론 내렸지만 수많은 의혹을 낳았던 농협 전산망 마비 사태를 말하는 것이다. 전문가는 <딴지일보> 사태에 대해 “선수(전문가)가 의도적으로 치밀하게 복구불가능하게 작업한 것”이라는 진단을 내놨다.
김어준 총수는 지난 4월 28일부터 아이폰 사용자라면 누구나 들을 수 있는 ‘나는 꼼수다’라는 라디오 방송을 시작했다. 정봉주 전 민주당 의원, 시사평론가 김용민씨가 함께 출연하고 있으며 최근에는 <시사IN>의 주진우 기자가 합류했다.
첫 회부터 BBK 의혹을 특집으로 다루는 등 기성 언론이 잘 다루지 않는 이명박 대통령 관련 이슈를 직설적인 대담으로 낱낱이 파헤치면서 폭발적인 인기를 끌었다. 정치 분야에서 MBC ‘손석희의 시선집중’, KBS ‘박경철의 경제포커스’를 비롯한 지상파 프로그램을 제치고 매주 1위를 기록하고 있으며 7월 초 전체 순위에서도 SBS ‘두시탈출 컬투쇼’에 이어 2위를 차지하는 기염을 토했다.
이러한 상황에서 출처를 알 수 없는 악의적인 해킹을 당한 것. 8일부터 이용이 원활치 않자 <딴지일보>는 13일 결국 사용 중단 조치 긴급 공지를 띄웠다. <딴지일보>는 “외부 해킹으로 인한 사이트 감염 및 오류로 지난 금요일(8일)부터 사이트 이용이 원활하지가 않다”며 “아직 정확한 이유는 알 수 없지만 이게 다 이명박 때문이고 싶다”고 밝혔다.
김어준 총수는 이어 20일 내부게시판에 ‘총수성명’을 내고 “1998년 7월 4일, 창간 이래 최초로 겪는 사태다”며 “서버가 다운되거나 바이러스가 침투하거나 해킹을 당한 것이 아니다”고 밝혔다.
처음에는 단순 해킹으로 알고 최고 전문가에게 의뢰했더니 해킹이 아니라는 진단을 받았다는 것. 김 총수는 “오랜 분석 끝에 전문가의 최종 결론은 그렇다”며 “선수가, 매우 악의적인 의도로, 어떤 방법으로도 복구 불가능하도록, 치밀하게 작업한” 것이라고 주장했다.
김 총수는 “그러면서도 실수처럼 보이도록 만들었지만 이건 실수가 아니다”며 “그렇게 13년의 데이터가 날아갔다. 백업 시스템까지 깔끔하게 날렸다”고 참담한 심정을 토로했다.
김 총수는 “만약 작년 여름 어느 날, 테스트용으로 별도 백업 해두지 않았더라면, 딴지일보 자체가 완전히 사라질 뻔 했다”며 “최근 1년치를 제외한 데이터는 그렇게 구사일생으로 되살렸다”고 밝혔다.
“현재 보안과 백업을 업그레이드 중”이라며 그는 “그러나 독자제위를 비롯한 필진들이 작성한 최근 1년간의 게시물, 기사, 가입정보 전체가 영원히 사라졌다, 누가 어떤 의도로 그랬는지 역시 영원히 알 수 없을 것이다”고 말했다.
그는 “전의가 불탄다. 두고 보자”며 “7월 26일 다시 뵙겠다”고 결의를 다졌다.
김 총수는 21일 <나는 꼼수다> 방송에서 “아직 이 문제가 완전히 정리되지는 않았다”며 트위터 등에 퍼지고 있는“성명은 내부게시판에 올려놨는데 누가 퍼뜨린 것이다”고 말했다.
그러면서 김 총수는 “농협사태와 비슷한 면이 있다”며 “전문가에게 보고서를 받은 결과 농협사태는 누군가 알려지면 안 되는 엄청난 돈을 거래했고 이를 삭제하고 싶은데 별다른 방법이 없자 조작을 시도한 것”이라고 의혹을 제기했다.
그는 “북한 공격이니 온갖 페인트를 다 썼으나 결국은 미디어센터에 백업된 거래 내역을 조작하고 싶었던 것”이라며 “그 누군가는 농협, 경찰, 국정원 전부를 움직일 수 있는 사람”이라고 말했다.
한편 김 총수는 이날 ‘나는 꼼수다’를 “이명박 대통령 헌정방송”이라고 부르면서 “경박하기 이를데 없는 세계 라디오 부문 5위에 불과한 방송을 각하에게 헌정한다고 생각하니 죄스럽다”고 너스레를 떨었다.
딴지일보 13년의 데이터가 모두 날아갔다는 소식과 김어준 총수의 성명은 트위터와 인터넷에 급속 전파됐다.
네티즌들은 “딴지일보를 지지합니다. 아무리 오래 걸려도 기다릴게요”, “딴지 미디어 그룹으로 도약할 수 있는 계기가 되길!”, “쵸큼 많이 충격적이네요. 덕분에 ‘나는 꼼수다’ 찾아 들어봐야겠다는 생각이. 딴지일보 파이팅!”이라며 응원메시지를 보냈다.
아울러 상당수 네티즌들은 “의구심 증폭”, “딴지일보가 해킹 아닌 해킹을 당했다고 한다. ‘나는 꼼수다’라는 방송의 큰 인기로 시샘하는 세력이 생겼나보다. 역시 데이타백업은 손수 관리하는 게 최선인듯”, “누가 그랬을까요? 누가…..아…심증은 가는데 물증이 없군요”, “딴지일보가 무서웠나보군. 저 정도에 굴할 총수가 아니지”,
“딴지일보의 이번 사태는 누가 봐도 뻔하다는 거 다 알고 있는데, ‘나는 꼼수다’의 정석을 보여주는 구나”, “딴지일보 서버를 그 지경으로 만들 수 있다면 농협도 뭔가를 감추기 위해 통째로 날린 것?”, “딴지일보 제대로 당했구나. 가설을 상정하자면, 우좆빨빨계에도 사이버 공격 요원이 양성되고 있겠구나 하는 점”, “이로써 그분이 두려워하는 최고의 언론기관이 딴지일보임이 밝혀졌다”라며 농협사태와 연관해 의구심을 내보였다.
 |
[언더그라운드.넷]딴지일보 해킹사태, 범인은 누굴까
http://weekly.khan.co.kr/khnm.html?mode=view&artid=201107271904571&code=115
“1998년 7월 4일, 창간 이래 최초로 겪는 사태다. 서버가 다운되거나 바이러스가 침투하거나 해킹을 당한 것이 아니다. 처음엔 그런 줄 알았다. 그래서 간단히 복구할 줄 알았다. 최고 전문가에게 의뢰했다. 처음에는 해킹이 아니라는 것부터 단정했다. 해킹으로 이렇게까지 만들 순 없다고. 아마도 관리 실수일 거라고. 그래도 살릴 수 있다고. 그러나 오랜 분석 끝에 전문가의 최종 결론은 그렇다.”
딴지일보 해킹사태에 대해 7월 22일 인터넷에 내걸린 딴지일보 총수 성명.7월 22일, 인터넷매체 딴지일보에 내걸린 총수 성명이다. 농담이 아니다. 정말로 지난 1년치 데이터가 송두리째 날아갔다. 사실 창간 이래 13년의 데이터가 모두 날아갔지만 지난해 여름 테스트용으로 별도로 백업해 놓아서 1998년부터 2010년 여름까지의 데이터는 살아 있다. 딴지일보 총수 김어준씨는 이 사태를 어떻게 봐야 하는지에 대해 ‘전문가의 마지막 멘트’라며 전했다. “비유하자면, 농협과 같은 사태가 벌어진 것.” 우연한 기회이지만, 딴지일보 해킹사태는 지난주 <주간경향> 지면을 통해 포착되었다.
본지 기자가 작성한 팟캐스트 인터넷 라디오방송 <나는 꼼수다> 소개 기사에서 이 ‘사태’에 대한 김어준 총수의 시각을 엿볼 수 있다. “이건 목적을 가지고 치고 들어온 것 같은데요. 우리가 좀 ‘더티’하게 나오니까 ‘그쪽’에서도 더티플레이를 한 것이 아닐까 생각되네요.” 그나저나 총수 성명만으로는 충분치 않다. ‘농협과 같은 사태’라니, 그렇다면 딴지일보 내부 구성원 중 마스터키를 쥐고 있는 누군가의 컴퓨터가 해킹된 것? 총수를 제외한 ‘핵심인사’라고 할 수도 있는 딴지일보의 너부리 편집장에게 물었다. “지금은 딱히 뭐라 하기가 어렵다. 현재까지 드러난 것은 외부 온라인 접속을 통한 시스템 해킹이 아니라는 것이다.” 너부리 편집장의 설명에 따르면 7월 8일 금요일께부터 접속이 제대로 안 되기 시작했는데, 서버가 보관되어 있는 IDC(인터넷 데이터 센터)에 들어가 ‘누군가’ 시스템을 포맷했다는 것이다. 게다가 ‘악의적’인 것은 보통 실수로 서버 하드 디스크가 포맷되는 경우 5~6차례까지는 덮어써도 데이터 복원이 가능하지만 이번 사태의 ‘범인’은 그런 경우까지 주도면밀하게 대비해 완전히 싹 밀어버렸다는 점이다.
김어준 총수가 본지 인터뷰에서 ‘그쪽’으로 지칭한 사람들이 누군지 유추하긴 어렵지 않다. 앞의 기사에서 소개한 것처럼 현재 인터넷 라디오 방송에서 김 총수가 ‘관여’한 방송들은 상한가를 치고 있다. 그 중 <나는 꼼수다> 방송은 인터넷에서 연일 화제를 모으고 있다. ‘각하 헌정방송’이라고 부제를 붙이고 있지만, 방송 내용은 위험수위(?)를 넘나들고 있다. 이를테면 BBK사건에서 에리카 김과 ‘각하’ 사이에 모종의 관계가 있을지 모른다는 주장이 그렇다. 그러니까 방송이 거슬린 ‘그쪽’의 막후공작이 있지 않을까 하는 음모설이다. 사실 누군가 IDC까지 직접 들어가서 서버를 포맷한다는 것은 아무나 할 수 있는 작업이 아니다.
누리꾼 추측도 음모설로 기울고 있다. “워낙 적이 많다보니 의심 가는 곳은 많지만 포괄적으로 보면 딱 한 군데네요.”(파코즈 게시판) 딴지일보 너부리 편집장은 “날아간 기사 중 안상수 한나라당 전 대표와 관련된 기사, 에리카 김 귀국과 관련된 기사, 그리고 최근의 김진숙씨 응원 희망버스기사가 기억에 남는다”며 “어쨌든 이번 사태로 독자들이나 필진에게 죄송한 일이 벌어진 것은 사실”이라고 덧붙였다. 딴지일보와 누리꾼이 의심하는 ‘그쪽’이 ‘거기’로 밝혀지질 않기를. 정말 ‘거기’가 개입되어 있다면 대한민국의 현실이 서글퍼지니까.
<정용인 기자 inqbus@kyunghyang.com>
Jun 302011
글로벌 기업인 삼성은 보안 측면에서 많은 투자를 하고 많은 보안 인력이 산업 현장에서 근무한다. 그 동안 들어본 보안 솔루션들은 전부 다 들어와 있다고 생각해도 된다. 모든 것이 삼성 내부에 있는 시스템을 보호하기 위해 들어와 있고 효과적으로 설치, 운영된다. 그 중 최근 화두인 클라우드를 어떻게 활용하고 있을까? 클라우드는 여러 가지 형태의 제품이 있는데, 삼성은 그 중 SBC(서버 기반 컴퓨팅), 클라이언트 가상화, 가상 디스크를 사용한다.
우선, 외부 출장자, 재택 근무자는 내부 시스템에 접근하기 위해 클라우드 서비스를 사용한다. 협력사도 클라우드 서비스를 사용한다. 제조 라인에 대한 보안도 클라우드 서비스를 이용해 강화한다. 먼저 사용자가 밖에서 내부 시스템으로 들어올 때에는 SBC, 를 통해 작업을 한 뒤 시스템에 업데이트를 한다. 작업을 마치면 사용자 PC에는 아무것도 남지 않게 된다. 만약 사용자가 작업을 하던 노트북을 잃어버리거나 PC가 해킹을 당해도 그 안에는 업무 관련 자료가 없으니 피해가 없다. 이처럼 사용자의 실수까지 케어를 해준다.
다음으로 협력업체에 사내 정보를 제공하는 경우는 클라이언트 PC 가상화를 적용한다. 가상 영역에 정보(설계도면, 매뉴얼, 심안서)를 올려주면 협력업체에서 그 자료를 받아서 작업 후에 다시 서버에 업데이트를 하는 형태이다. 리얼 PC에서는 해당 정보는 보이지 않는다. 빼내가려고 해도 빼내갈 수 없는 구조인 것이다.
또한 제조 라인의 경우 365일 24시간 작동되어야 한다. 그런데 제조 라인에 내장된(임베디드) 컴퓨터 대부분이 윈도우 기반으로 네트워크로 연결되어 있다. 그래서 바이러스가 침투할 수 있어서 멈춰버리는 경우도 생길 수 있다. 이에 대비하기 위해 사내망 또는 인터넷과 연결된 부분을 가상화 PC로 구성한다. 업무 자료는 가상 PC와 리얼 PC가 분리되기 때문에 악성코드가 침투하더라도 리얼 PC에는 영향을 못 미친다. 때문에 제조 라인 전체가 안전하다.
마지막으로 연구소나 기밀 업무를 하는 쪽은 가상 디스크를 사용한다. 이런 부서는 중요 문서를 개인 PC나 노트북에 저장을 못 하게 하는 것이다. 그 결과 개인 PC가 악성코드에 감염이 되어도 내부의 중요 문서가 유출되지 않는다.
http://v.daum.net/link/18133544
http://blogsabo.ahnlab.com/822
Jun 302011
악성코드 암호 분석 전문가, 그들이 사는 세상
순도 100% 의 열정!!
그들은 악성코드를 열정으로 상대했다. 최선의 방어는 최선의 공격. 이 책은 보이지 않는 상대를 막기 위해 밤낮을 가리지 않고 고군분투한 악성코드 분석가들의 끝없는 열정을 노래했다.
http://blogsabo.ahnlab.com/831
Jun 062011
미국, 육·해·공·우주 이어 사이버공간=제5전장 규정
‘해커 10명’이면 미국 공격 충분…피해는 상상 초월
유엔 ITU총장 “사이버전쟁 금지조약 맺자” 호응 없어
» 미국 공군 사이버 사령부 대원들이 사이버전쟁 시뮬레이터를 조작하고 있다. 미국은 지난해 5월 사이버 사령부를 출범하고 본격적인 사이버전쟁 대응 태세에 나섰다. 미국 공군 제공
#1
지난달 30일, 미국 공영방송 <피비에스>(PBS)의 대표적인 뉴스 프로그램 ‘뉴스아워’ 사이트에는 ‘투팍 샤쿠르’(1996년 사망한 전설적인 래퍼)가 아직 뉴질랜드에 살아 있다는 깜짝 기사가 실렸다. 물론 거짓 기사였다. 자신을 ‘룰즈섹’이라고 밝힌 4명의 해킹 그룹이 ‘재미삼아’ 저지른 짓이었다.
하지만 만일 정치적·전략적 목적를 지닌 해커가 ‘알카에다가 뉴욕을 공격했다’는 따위의 위험한 기사를 올렸다면 어땠을까. 미국의 국가안보에 곧바로 영향을 끼치는 대사건이 될 수도 있었다.
#2
구글은 1일 자사의 이메일 서비스인 지메일 계정 수백개가 해커들에게 공격당했다고 밝혔다. 문제는 해킹당한 이메일이 미국의 군 관계자, 관료, 한국의 관료, 중국의 반체제 인사 등의 계정이었다는 점이다. 해커는 이들의 이메일 전달 설정을 조작했고, 이들이 받은 메일은 고스란히 다른 곳으로 전달됐다. 이메일 내용을 돋보기로 들여다보듯이 알 수 있게 된 셈이다. 미국은 해킹의 진원지로 중국을 지목했지만, 중국은 부인하고 있다.
이른바 ‘제5의 전장’이라 불리는 사이버 공간에 ‘전쟁’ 분위기가 심상치 않다. 최근 한달 사이에도 <피비에스>, 구글 지메일, 록히드 마틴 등 국가안보와 직결되는 기관이나 기업에 대한 사이버 공격이 이뤄졌다. 미국의 보안전문 업체 ‘애플리케이션 시큐리티’의 대표 조시 샤울은 “2011년은 사이버 공격과 관련해 기념비적인 해가 될 것”이라며 최근의 급증세를 우려했다.
잇단 해킹 사건은 재래식 전력에서 압도적인 우위를 자랑하는 미국도 이 전장에서는 그다지 큰 힘을 쓰지 못하고 잇따라 공격의 대상이 되고 있음을 보여준다. 미국은 지난해 초 국방검토 보고서를 통해 사이버 공간을 육·해·공·우주에 이은 제5의 전장으로 공포했다. 이어 지난해 ‘사이버 사령부’를 창설하는 등 엄청난 재원도 쏟아부었다.
하지만 투자만큼 효과는 크지 않았다. 사이버전쟁의 가장 큰 특징이 ‘비대칭성’이기 때문이다. 윌리엄 린 국방부 차관이 외교전문지 <포린 어페어스>에서 지적한 대로, 미국을 공격해 큰 충격을 주는 데는 수십만명의 병력이 아닌 ‘10여명의 결의에 찬 해커’가 필요할 뿐이다.
» 사이버 공격 트래픽 상위 10개국 비율
사이버 공격에 뚫릴 경우 해당 국가나 기업의 직간접적인 안보 피해는 상정하기조차 힘들다. 이스라엘이 만든 것으로 추정되는, 이란의 핵시설을 교란한 웜바이러스 ‘스턱스넷’ 같은 프로그램은 제2의 체르노빌 사건을 일으킬 수 있다. 핵무기나 무인기 조종시설이 해커에게 뚫리는 것은 상상도 하기 싫은 ‘악몽’이다.
사이버 공격은 기하급수적으로 늘고 있다. 린 차관은 지난 1월 100여곳에 이르는 나라의 정보기관이 하루에도 수백만번씩 미국의 군사기밀을 빼가려고 시도하고 있다고 <에이피>(AP) 통신에 밝힌 바 있다. 유명 인터넷 백신업체 카스퍼스키의 설립자 나탈리아 카스퍼스키는 “매일 7만개의 공격 바이러스가 새로 만들어지고 있다”고 말했다. 미국 연방수사국(FBI)은 지난해에만 200명이 넘는 사이버 범죄자를 체포했다.
급기야 견디다 못한 미국이 사이버 공격을 받으면 이를 ‘전쟁 행위’로 규정해 미사일로 대응하겠다는 방침을 세웠다고 <월스트리트 저널>이 최근 보도했다. 하지만 공격의 진원지를 증명하는 게 사실상 불가능한데다, 사이버 공격이 대개 ‘비국가적 행위자’에 의해 저질러진다는 특성으로 미뤄볼 때 실현되기 어려운 ‘엄포’에 가깝다는 분석이다.
전세계 사이버 국가안보 수장들도 1~2일 영국 런던에서 ‘세계 사이버안보 정상회의’를 열어 사이버전쟁을 방지하기 위한 방안을 찾기 위해 머리를 맞댔으나 뾰족한 수를 찾지는 못했다. 유엔 산하 국제전기통신연합(ITU)의 하마둔 투레 사무총장은 “다음번 세계대전이 일어난다면, 그 장소는 사이버 공간이 될 것이라는 것을 우리 모두는 알고 있다”며 “사이버전쟁 확산 금지 조약을 맺자”고 주창했으나 큰 호응을 얻지 못했다. 각국이 허둥대고 있는 사이 사이버전쟁의 위협은 한발한발 현실로 다가오고 있다.
이형섭 기자 sublee@hani.co.kr
May 292011
Apr 112011
금융보안연구원에서 발간한 보고서
□ 개요
본 보고서는 스마트폰, IPTV등 새로운 전자금융 환경에 적용 가능한 新인증기술을 검토한 ‘전자금융 新인증기술 연구보고서’이다.
□ 목차
1. 개요
2. 인증기술 현황
3. 新인증기술 검토
4. 新인증기술 검토결과
5. 결론
안철수硏 “3·4 디도스 2009년 7·7대란 업그레이드 판”
정보보호
Comments Off on 안철수硏 “3·4 디도스 2009년 7·7대란 업그레이드 판”
Apr 072011
http://news.inews24.com/php/news_view.php?g_serial=555048&g_menu=020200
|
[구윤희기자] 안철수연구소(대표 김홍선)가 지난 4일 발생한 디도스 공격이 2009년 7월 7일 디도스 대란의 업그레이드판이라는 평가를 내놓았다.
안철수연구소는 지난 4일부터 발생한 문제의 디도스 공격을 분석한 결과 지난 2009년과의 유사점과 차이점을 발견하고 7일 이같이 발표했다. 안연구소에 따르면 2009년 7·7 디도스 당시에는 마지막 공격 날인 10일 자정에 하드디스크와 파일이 손상됐으며, PC 날짜를 변경하면 피해를 막을 수 있었던 반면 이번에는 날짜 변경이나 감염 시점 기록 noise03.dat 파일 삭제시에도 하드디스크와 파일이 손상되는 점이 달랐던 것으로 파악됐다. 또한 백신이 보급되자 악성코드 파일을 다운로드하는 시점에 즉시 손상되는 것으로 공격명령을 바꾸기도 한 것으로 나타났다.
안연구소는 2009년에는 닷넷 프레임 기반인 윈도 2000, XP, 2003에만 손상이 국한됐지만 이번에는 모든 윈도 운영체제에 손상이 이뤄지도록 했고 기능적으로도 호스트 파일을 변조해 백신 업데이트를 방해하는 등 보다 진화된 공격 양상이 관찰된 점이 다르다고 파악했다. 안연구소는 그러나 2009년과 지난 4일 공격에서 유사한 점도 발견됐는데 개인 사용자 PC를 ‘좀비PC’로 만들어 디도스 공격자가 되도록 하고 외부 서버로부터 명령을 받아 사전 계획대로 공격이 이뤄졌다는 점이 같은 골격이라고 분석했다. 공격 형태와 대상이 유사하고 공격 목적이 불명확하다는 점, 하드 디스크 및 파일 손상으로 악성코드 수명이 끝난다는 점도 2009년과 같은 것으로 평가했다. 안연구소는 이밖에 악성코드 배포지로 P2P 사이트가 활용됐다는 점이 지난 2009년과 이번 모두 공통적이었다며 향후 P2P 사이트에 대한 보안 체제를 어떻게 법제화하는가가 숙제로 남는다고 덧붙였다. 김홍선 안철수연구소 사장은 “보안을 단순히 제품으로 볼 것이 아니라 프로세스로 접근해야 한다”며 “이번 일을 계기로 각 기업과 기관은 날로 지능화하는 보안 위협에 대응할 수 있도록 글로벌 기준에 맞는 대응 프로세스를 구축해야 한다”고 당부했다. |
또 7·7 때는 같은 파일 구성으로 여러 차례 공격을 시도했지만, 이번에는 공격 시점마다 파일 구성이 달라지고 새로운 파일이 추가 제작돼 분석과 대응 시간을 늦추는 모습이었다.
|
Apr 072011
http://www.dt.co.kr/contents.html?article_no=2010100702011860739002
지멘스사 산업자동화제어시스템 타깃 악성코드
취약점 5개 이용… 이란ㆍ중국 등 약 10만대 감염
최근 이란을 시작으로 중국 등 전세계 국가들을 겨냥한 사이버 공격 무기로 `스턱스넷(Stuxnet)’악성코드 이야기가 많이 나오고 있습니다. 보안 전문가들과 각국의 정부가 스턱스넷에 주목하는 것은 이 악성코드로 인해 한 국가의 주요 기간 시설이 공격자에게 장악될 수 있음을 보여줬기 때문입니다. 영화 `다이하드 4.0’에서 국가 기간망을 공격한 사이버 전쟁이 이제는 현실에서도 가능하다는 점도 확인해줬습니다. 지난 한 달간 세계 외신을 달군 스턱스넷에 대해 알아보겠습니다.
◇스턱스넷이란=스턱스넷은 독일 지멘스사의 산업자동화제어시스템을 공격 목표로 제작된 악성코드로 원자력, 전기, 철강, 반도체, 화학 등 주요 산업 기반 시설의 제어 시스템에 침투해 오작동을 일으키는 악성코드를 입력해 시스템을 마비시킬 수 있습니다.
안철수연구소 시큐리티대응센터의 분석에 따르면 스턱스넷은 여러 개의 파일로 구성되며, 알려지지 않은 여러 개의 취약점을 이용해서 산업자동화제어시스템을 제어하는 PC에 드롭퍼(스턱스넷의 핵심 모듈 파일을 생성하는 하는 파일)가 실행됩니다. 이 드롭퍼는 정상 s7otbxdx.dll 파일의 이름을 변경해 백업하고, 정상 s7otbxdx.dll 파일과 동일한 이름으로 자신의 파일을 생성합니다. 이후 산업자동화제어시스템을 통합 관리하는 도구(소프트웨어)인 `Step7’을 실행하면 원래의 정상 파일이 아닌 스턱스넷이 실행되게 됩니다.
`Step7’의 기능은 s7otbxdx.dll 파일을 통해서 제어 PC와 산업자동화제어시스템 간에 블록 파일을 교환하는 것입니다. 이 파일을 Stuxnet의 DLL 파일로 바꾸면 산업자동화제어시스템을 모니터링하거나 제어(수정 또는 악성 블록 생성)할 수 있게 됩니다. 이후 공격자는 모터, 컨베이어 벨트, 펌프 등의 장비를 제어하거나 심지어 폭발시킬 수도 있습니다. 즉, 산업 시설이 관리자가 아닌 악의적 공격자에게 장악될 수 있는 것입니다.
스턱스넷이 실행되는 환경 조건은 감시 제어 데이터 수집 시스템(SCADA)안에 지멘스사의 `Step7’이 산업자동화제어시스템 제어용 PC에 설치되어 있고, 산업자동화제어시스템 타입이 6ES7-315-2 또는 6ES7-417이고, 산업자동화제어시스템 제어 PC의 운영체제(OS)가 윈도우인 경우입니다.
또 스턱스넷이 이용하는 취약점은 총 5개로, 이 취약점 중 3개(USB, 공유 프린터, 공유 폴더를 통해 감염)는 이미 MS에서 보안 패치를 제공하지만 2개는 아직 발표하지 않은 상황입니다.
◇스턱스넷 감염 현황=현재 스턱스넷은 이란 부셰르 원자력핵발전소와 중국 1000여 개 주요 산업 시설을 비롯해 전세계 여러 국가에 감염이 확산된 것으로 보고되고 있습니다. 시만텍 등 보안업계에 따르면 전세계 PC 수십 만 대가 감염된 것으로 나타났습니다. 시만텍 관계자는 세계적으로 약10만대의 컴퓨터가 스턱스넷에 감염됐고 이중 이란이 60%, 인도네시아가 18%, 미국은 2% 정도라고 밝혔습니다. 또 적어도 5명 이상의 전문가로 구성된 해커들의 짓이라고 예상했습니다. 주요 보안업체들은 웜바이러스가 누구에 의해, 무엇을 목적으로 개발됐는지 아직 확인하기 어렵다는 입장입니다. 하지만 특정 국가를 노린 웜 바이러스가 등장한데 대해 사이버 무기의 전초전이라는 분석을 내놓고 있습니다.
조시행 안철수연구소장은 “이번 스턱스넷은 최근 꾸준하게 보안전문가들이 제기한, 구체적인 목표를 가진 타깃형 사이버 공격”이라며 “악성코드가 전략적으로 이용될 가능성을 보여주는 구체적인 사례이며, 이 같은 공격은 더욱 늘어날 것으로 예상된다”고 말했습니다.
현재 스턱스넷의 국내 감염사례나 피해상황은 확인된 바 없습니다.
행정안전부에 따르면 우리나라에서 독일 지멘스사 제어시스템을 사용하는 곳은 40여개 산업시설로, 현재까지는 스텍스넷에 의한 감염사례 등 피해는 발생하지 않은 것으로 확인됐습니다. 행안부는 유관기관등과 협조해 산업자동화제어시스템을 사용하고 있는 국내 주요 정보통신기반시설에 대해 악성코드 감염 여부를 일제조사하고 백신프로그램을 설치하도록 긴급 조치한 상황입니다.
그러나 최근 시만텍이 발간한 스턱스넷 분석 보고서를 보면, 155개 국가, 총 4만개의 스턱스넷 감염IP중 지멘스사 제품을 사용하는 호스트만 따로 집계한 결과 이중 67.6%가 이란이었고, 한국이 8.1%로 그 뒤를 이었습니다. 미국 와이어드(Wierd) 등 외신들은 이를 인용해 한국의 지멘스 산업자동화제어시스템이 스턱스넷에 이란 다음으로 감염율이 높은 것으로 나타났다고 보도하기도 했습니다.
이와 관련, 행안부, 한국 지멘스 등은 여전히 감염 사례가 없다는 입장이지만, 보안업계는 국내 감염 여부에 대한 철저한 조사가 필요하다고 지적하고 있습니다.
임종인 한국정보보호학회장은 “스턱스넷은 명령제어(C&C)서버를 차단하더라도 P2P 등을 통해 업데이트가 가능할 정도로 정교하게 만들어졌다”며 “변형된 스턱스넷 유포도 얼마든지 가능하기 때문에 지금 패치를 했다고 안심해서는 안 된다”고 말했습니다.
김지선기자 dubs45@
자료제공=안철수연구소
Mar 212011
| [단독]PC에 공인인증서 설치할 필요 없어진다 | ||
| [입력날짜: 2011-03-18 15:28] | ||
    |
||
|
