hi.pe.kr 날으는물고기·´″°³о♡

세계를 변화시킨 악성코드 중 국내에 큰 영향을 끼치지 못한 경우도 있다. 예를 들어 1999년 3월 전 세계로 널리 확산된 멜리사 바이러스(W97M/Melissa virus)는 MS 워드 사용자가 적은 국내에는 큰 피해를 입히지 못했다. 그렇다면 대한민국을 변화시킨 악성코드로는 무엇이 있는지 시대 순으로 정리해 보자.

1. 브레인 바이러스(1988년)
국내 최초로 유입된 컴퓨터 바이러스로 사람들에게 컴퓨터 바이러스란 존재를 알려 줬다. 1990년 초까지만 해도 많은 사람들이 컴퓨터 바이러스를 컴퓨터로 인해 사람에게 감염되는 새로운 생물학적 질병으로 생각했다.

- 선정 이유: 국내에 컴퓨터 바이러스를 최초로 알려줌

2. LBC 바이러스(1989년)
외국에서는 보통 브레인 바이러스와 함께 스톤드 바이러스(Stoned virus) 등이 자주 언급되지만 국내에는 크게 퍼지지 않아 별 문제가 되지 않았다. 하지만 국산 바이러스인 LBC 바이러스는 짧은 시간에 전국적으로 퍼졌는데, 특히 하드디스크에 감염되면 부팅과 인식이 되지 않아 백신 프로그램이 없던 당시에 많은 사람들이 하드디스크를 포맷하는 등 피해가 속출했다. 컴퓨터 바이러스로 큰 피해가 발생할 수 있다는 사실을 일깨워줬다.

- 선정 이유: 컴퓨터 바이러스로 인한 실제적인 피해 발생

3. 라루 바이러스(1997년)
1995년 워드 매크로 바이러스가 유행하기 전, 컴퓨터 바이러스는 기업보다 개인 사용자들의 문제로 인식되었다. 당시 외국에서 워드 매크로 바이러스가 유행했지만 국내에는 워드보다 한글이 널리 사용되어 한동안 큰 문제가 없었다. 하지만, 기업에서 주로 사용하는 엑셀 문서를 감염시키는 엑셀 매크로 바이러스인 라루 바이러스(Laroux virus)가 전국적으로 확산되면서 큰 문제가 발생했다. 이후, 기업에서도 본격적으로 백신 프로그램을 구매하기 시작했다.

- 선정 이유: 기업 사용자들에게 백신 프로그램의 필요성 인식

4. 백오리피스(1998년)

백오리피스의 등장은 원격 제어 방식의 새로운 악성코드 형태의 대중화를 불러왔다. 또한, 컴퓨터바이러스만 진단하고 있던 당시 백신업체들로 하여금 트로이목마(Trojan) 진단에 관한 정책적 변화도 가져왔다. 사용자들도 악성코드에 의해 개인정보나 기밀 자료가 유출될 수 있다는 점을 알게 됐다.

- 선정 이유: 원격으로 사용자 정보 유출 가능성 및 일부 백신업체 진단 정책 변화

5. CIH 바이러스(1999년)
1999년 4월 26일 CIH 바이러스는 대한민국의 수많은 컴퓨터 하드디스크의 데이터를 파괴하여 큰혼란을 가져왔다. 이 바이러스는 1998년 6월 발견된 것으로 대부분의 백신 프로그램에서 진단 및 치료할 수 있었다. 하지만 당시 많은 사람들이 백신 프로그램을 사용하지 않았고, 그로 인해 엄청난 피해가 발생했다. 사람들의 보안불감증이 얼마나 심각한지 알게 해주는 사건으로, 언론에서도 컴퓨터 바이러스에 대해 본격적으로 관심을 가지기 시작했다.

- 선정 이유: 백신 프로그램 미사용으로 인한 심각한 데이터 손상 피해

6. 러브레터 바이러스(2000년)
2000년 5월 4일 오후 국내에서 발견된 러브레터 바이러스는 당시로서는 상상할 수 없이 빠른 속도로 전파되어 그림과 음악 파일을 지워버려 많은 피해를 일으켰다. 러브레터 바이러스에 감염된 지인에게 “왜 첨부 파일을 열어봤냐?”고 질문하자 “I love you라고 하는데 안 열어보겠냐?”는 애절한 답변을 내놓아 필자의 가슴을 아프게 했다.

- 선정 이유: 단시간 확산 및 데이터 손상 그리고 열어보고 싶게 하는 유혹적인 문구

7. 코드레드 웜(2001년)
코드레드 웜(Codered worm)을 통해 이전에는 별개의 영역이라고 생각했던 악성코드와 해킹이 마침내 만나게 되었다. 코드레드 웜은 파일 형태로 존재하지 않고 네트워크로만 전파되어, 파일 검사기능의 단순 백신 프로그램으로는 진단도, 예방도 할 수 없었다. 네트워크로 전파되는 악성코드가 증가하면서 네트워크 패킷 필터링 등의 방화벽 기능이 추가된 인터넷 시큐리티 제품이 등장했다. 또한 보안 관리자에게 보안 취약점 업데이트의 중요성도 일깨워 줬다.

- 선정 이유: 해킹과 악성코드의 만남으로 백신 프로그램의 방화벽 기능 필요성과 보안 업데이트의 중요성을 일깨워 줌

8. 슬래머 웜(2003 년)
슬래머 웜은 코드레드 웜과 마찬가지로 취약점을 이용해 네트워크로 전파되는 악성코드로, 국가인터넷 장애인 ‘1.25 인터넷 대란’을 일으킨 주범이다. 1.25 인터넷 대란으로 민관협력 체계 논의가 본격화됐는데, 정부는 사이버안전을 위한 국가사이버안전센터를 만들고 민간 보안 업체들과 좀 더 체계적인 협력 방안을 마련했다.

- 선정 이유: 국가 인터넷 장애 및 민관협력 체계 논의 시작

9. 블래스터 웜(2003년)
블래스터 웜은 인터넷에 연결된 컴퓨터를 단지 켜두는 것만으로도 악성코드에 감염시키는 놀라운방식을 선보였다. 코드레드와 슬래머 웜이 서버를 대상으로 전파됐다면 블래스터웜은 주로 개인 컴퓨터를 대상으로 했다. 이런 방식으로 전파되는 악성코드는 웰치아(Welchia worm), 쌔서 웜(Sasser worm), 컨피커 웜 (Conficker worm)등이 있다. 일반 사용자들에게도 윈도우 보안업데이트의 중요성을 알게 했다.

- 선정 이유: 일반 사용자들에게도 윈도우 보안 업데이트의 중요성을 일깨워줌

10. 7.7 DDoS 공격 악성코드(2009년)
2009년 7월 7일 한국과 미국 정부 및 민간 사이트가 DDoS 공격을 받은 ‘7.7 DDoS 대란’은 우리 정부와 국민에게 큰 충격을 주었다. 이로 인해 DDoS 공격에 대한 정부 차원에서의 대응 방안이 논의되었다. 이후, 2011년 3월 발생한 3.4 DDoS 공격과 10월 발생한 중앙선관위에 대한 DDoS 공격 등으로 많은 일반인들도 DDoS 공격에 대해 알게 되었다.

- 선정 이유: 대규모의 좀비 PC 피해가 발생하여 정부와 일반인의 DDoS 공격에 대한 관심 증가 

크리에이티브 커먼즈 라이선스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이선스에 따라 이용하실 수 있습니다.

최근 다양한 인터넷 침해사고중 공격이 진행되면 쉽게 막기 어려운 DDoS 공격의 기법과 감염된 좀비 PC들의 형태를 분석하고 가상시나리오를 통해 발생될 수 있는 웹공격과 현재 KISA 에서 서비스중인 DDoS 사이버대피소를 살펴보고 향후 발생할 수 있는 모바일 DDoS 공격에 대비하기 위한 대응방법들을 아래와 같이 진행하오니 적극적인 참여를 부탁 드립니다.

• 1. 교육명 : DDoS 대응교육
• 2. 장 소 : 한국인터넷진흥원 KISA 아카데미 A강의장 <아래 약도를 참조 하세요>
• 3. 대 상 : 일반인
• 4. 일 시 : 2011.09.28(수) 10:00 ~ 18:00
• 5. 인 원 : 40명
• 6. 신청기간 : 2011.09.20(화) ~ 선착순 마감
• 7. 신청방법 : KISA아카데미 홈페이지(http://academy.kisa.or.kr) 가입 후(부가정보 입력) 신청
• 8. 문의처 :
  • - 한국인터넷진흥원 KISA 아카데미팀 백기연 주임연구원 (E-mail : kybaek@kisa.or.kr Tel : 02-405-6365)
  • - (사)한국해킹보안협회 고승욱 교육팀장 (E-mail : security@nahs.or.kr Tel : 02-3406-9225)
• 9. 기 타 :
  • ※ 교육장소로 인해 교육인원이 제한되어 있어, 교육 신청자가 많은 경우 선착순으로 마감 되오니
    빠른 시일 내 신청해 주시기 바랍니다.
  • ※ 교육신청 후 참석여부 확인을 위해 메일과 전화로 연락을 드립니다.
  • ※ KISA 아카데미는 주차가 지원이 안되오니 가급적 대중교통을 이용하여 주시기 바랍니다.
  • ※ 교육비와 교재비는 국비지원(무료)입니다.
  • ※ 중식은 제공하지 않습니다.
  • ※ 교육 수료후 수료증이 발급됩니다.

■ 교육프로그램

■ 오시는 길

• o 주소 : 서울시 서초구 서초로 389 플래티넘타워 12층
  (지하철2호선 강남역 4번출구 교대방향)
• o TEL : 02-3406-9229, 02-405-6365
• o 지하철 : 2호선 강남역 4번 출구 교대역 방향 약 100M 직진
• o 버 스 : 140, 146, 340, 402, 407, 408, 420, 421, 440, 441, 462, 470, 471, 341, 730, 9404, 9408, 9409, 9503, 9711 이용
  강남역 부근 하차

크리에이티브 커먼즈 라이선스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이선스에 따라 이용하실 수 있습니다.

- 4일 오후 6시 30분 공격 예상..2009년보다 17개 많은 주요 기관 공격 대상

- ASEC, CERT 비롯 전사 비상 대응 체제 가동

- 긴급 전용백신 개발 무료 배포..기존 V3 사용자는 최신 버전으로 치료

- 기업/기관은 DDoS 방어 통합보안 시스템, 보안관제 서비스 등 필요

글로벌 통합보안 기업인 안철수연구소(대표 김홍선 www.ahnlab.com)는 디도스(DDoS; Distributed Denial of Service, 분산 서비스 거부) 공격이 국내 40개 웹사이트를 대상으로 3월 4일 오늘 10시부터 발생하고 있으며, 같은 날 오후 6시 30분부터 재차 발생할 것이라고 예측했다.

이에 따라 안철수연구소는 ASEC(시큐리티대응센터)과 CERT(컴퓨터침해사고대응센터)를 비롯해 전사 비상 대응 체제를 가동하는 한편 DDoS공격을 유발하는 악성코드의 전용백신을 개발해 무료 제공한다.

이번 공격은 지난 2009년 7월 7일부터 9일까지 국내 17개 웹사이트를 겨냥한 7.7 디도스 대란 때와 유사하다. 공격 대상은 40개로 네이버, 다음, 옥션, 한게임, 디씨인사이드, 지마켓, 청와대, 외교통상부, 국가정보원, 통일부, 국회, 국가대표포털, 방위산업청, 경찰청, 국세청, 관세청, 국방부, 합동참모본부, 육군본부, 공군본부, 해군본부, 주한미군, 국방홍보원, 제8전투비행단, 방송통신위원회, 행정안전부, 한국인터넷진흥원, 안철수연구소, 금융위원회, 국민은행, 우리은행, 하나은행, 외환은행, 신한은행, 제일은행, 농협, 키움증권, 대신증권, 한국철도공사, 한국수력원자력㈜이다.

디도스 공격을 유발하는 악성코드는 ntcm63.dll, SBUpdate.exe, ntds50.dll, watcsvc.dll, soetsvc.dll, mopxsvc.dll, SBUpdate.exe 등이다. 이들 악성코드가 설치된 PC는 이른바 ‘좀비 PC’가 되어 일제히 특정 웹사이트를 공격한다. 안철수연구소 보안전문가들은 3월 3일 첫 신고를 받아 분석한 결과 공격 대상과 공격 시각을 파악했다. 동시에 좀비 PC를 최소화하기 위해 전용백신을 신속히 개발했다.

안철수연구소는 이들 악성코드를 진단/치료할 수 있는 긴급 전용백신(http://www.ahnlab.com/kr/site/download/vacc/downFile.do?file_name=v3removaltool.exe)을 개발해 개인은 물론 기업/기관에도 무료 제공 중이다. 개인용 무료백신 ‘V3 LIte’(http://www.V3Lite.com)를 비롯해 ‘V3 365 클리닉’(http://v3clinic.ahnlab.com/v365/nbMain.ahn), V3 Internet Security 8.0 등 모든 제품군 사용자는 사용 중인 제품의 최신 버전으로 진단/치료할 수 있다.

한편, 이들 악성코드는 디도스 공격 외에 V3 엔진 업데이트를 제공하는 인터넷 주소의 호스트 파일을 변조해 업데이트를 방해한다. 또한 PC내 문서 및 소스 파일을 임의로 압축하는 증상도 있다.

악성코드가 유포된 경로는 국내 P2P사이트인 셰어박스와 슈퍼다운인 것으로 밝혀졌다. 공격자는 이들 사이트를 해킹해 셰어박스 업데이트 파일과 슈퍼다운 사이트에 올려진 일부 파일에 악성코드를 삽입해 유포했다. 유포 시각은 3월 3일 07시~09시로 추정된다.

안철수연구소 김홍선 대표는 “PC가 디도스 공격에 악용되지 않게 하려면 평소 보안 수칙을 실천하는 것이 중요하다. 운영체계의 보안 패치를 최신으로 유지하고, 백신 프로그램을 설치해 항상 최신 버전으로 유지하고 실시간 검사 기능을 켜두어야 한다. 또한 이메일, 메신저의 첨부 파일이나 링크 URL을 함부로 열지 말고, P2P 사이트에서 파일을 내려받을 때 백신으로 검사하는 습관이 필요하다. 또한 웹사이트를 운영하는 기업/기관에서는 디도스 차단 기능이 있는 네트워크 보안 솔루션이나 보안관제 서비스를 이용해 피해를 최소화하는 것이 중요하다.”라고 강조했다.

-------<보충 자료>------

<좀비 PC 예방 대책 10계명>

1. 윈도우 운영체제, 인터넷 익스플로러, 오피스 제품의 최신 보안 패치를 모두 적용한다. 

2. 통합보안 소프트웨어를 하나 정도는 설치해둔다. 설치 후 항상 최신 버전의 엔진으로 유지되도록 부팅 후 자동 업데이트되게 하고, 시스템 감시 기능이 항상 작동하도록 설정한다. 대표적인 보안 소프트웨어로는 무료백신 V3 Lite(www.V3Lite.com), 방화벽과 백신이 통합된 유료 보안 서비스 ‘V3 365 클리닉’(http://V3Clinic.ahnlab.com) 등이 있다.

3. 보안에 취약한 웹사이트 접속 시 악성코드에 감염되지 않도록 예방해주는 ‘사이트가드’(www.SiteGuard.co.kr)를 설치해 사용한다.

4. 이메일 확인 시 발신인이 모르는 사람이거나 불분명한 경우 유의한다. 특히 제목이나 첨부 파일명이 선정적이거나 관심을 유발한 만한 내용인 경우 함부로 첨부 파일을 실행하거나 링크 주소를 클릭하지 않는다. 최근 페이스북, 트위터 등 SNS(소셜 네트워크 서비스)를 사칭한 이메일이 많으니 특히 유의한다.

5. 페이스북, 트위터 등 SNS(소셜 네트워크 서비스)를 이용할 때 잘 모르는 사람의 SNS 페이지에서 함부로 단축 URL을 클릭하지 않는다.

6. SNS나 온라인 게임, 이메일의 비밀번호를 영문/숫자/특수문자 조합으로 8자리 이상으로 설정하고 최소 3개월 주기로 변경한다. 또한 로그인 ID와 비밀번호를 동일하게 설정하지 않는다.

7. 웹 서핑 시 특정 프로그램을 설치하라는 창이 뜰 때는 신뢰할 수 있는 기관의 서명이 있는 경우에만 '예'를 클릭한다. 잘 모르는 프로그램을 설치하겠다는 경고가 나오면 ‘예’ ‘아니오’ 중 어느 것도 선택하지 말고 창을 닫는다.

8. 메신저로 URL이나 파일이 첨부되어 올 경우 함부로 클릭하거나 실행하지 않는다. 메시지를 보낸 이가 직접 보낸 것이 맞는지를 먼저 확인해본다.

9. P2P 프로그램 사용 시 파일을 다운로드할 때는 반드시 보안 제품으로 검사한 후 사용한다.

10. 정품 소프트웨어를 사용한다. 인터넷에서 불법 소프트웨어를 다운로드하는 경우 악성코드가 함께 설치될 가능성이 높다.

<디도스 공격 유발 악성코드 파일명과 V3제품군의 진단명>

ntcm63.dll : Win-Trojan/Agent.131072.WL

SBUpdate.exe : Win-Trojan/Agent.11776.VJ

ntds50.dll : Win-Trojan/Agent.118784.AAU

watcsvc.dll : Win-Trojan/Agent.40960.BOH

soetsvc.dll : Win-Trojan/Agent.46432.D

mopxsvc.dll : Win-Trojan/Agent.71008

SBUpdate.exe : Win-Trojan/Npkon.10240

출처 : 안철수연구소

크리에이티브 커먼즈 라이선스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이선스에 따라 이용하실 수 있습니다.