'보안동향/최근보안동향(17년)'에 해당되는 글 5건

보안 및 소프트웨어(SW) 기업들이 사물인터넷(IoT)을 새로운 먹거리로 삼고 있다.

시장조사업체 IDC에 따르면 IoT 산업은 2020년을 기점으로 폭발적으로 성장할 전망이다. IoT 모바일 기기만 150억개에 달할 것으로 예상된다고 한다. 실제로 가전제품을 인터넷과 연결해 모니터링하고 제어하는 '스마트 홈', 공장 설비에 센서를 부착하고 데이터를 수집해 공정의 효율화를 높이는 '스마트 팩토리' 등 IoT 환경이 급속히 확대되고 있다. 



보안 및 SW기업들도 이를 겨냥 IoT 시장에 잇달아 진출하는 등 본격적인 사업화로 신성장 동력 마련에 적극적으로 나서고 있다.

◆보안·SW 기업들 "올해 IoT 사업 본격 추진"

펜타시큐리티는 올해 IoT 사업부를 신설하고 IoT 보안 사업을 본격적으로 추진하고 나섰다. 앞서 IoT융합보안연구소에서 8년여간 관련 기술 연구 개발에 매진했다.
그 결과 지난 2015년 스마트카 보안 솔루션 '아우토크립트'를 출시했으며, 최근 스마트 팩토리 보안 솔루션 '펜타 스마트 팩토리 시큐리티'를 선보였다. IoT 보안은 크게 4가지 영역(기기, 게이트웨이, 서버, 인프라)으로 이뤄져 있는데, 4가지 영역에서의 보안 항목을 준수하고 구축 사례를 만들어가고 있다. 앞으로 펜타시큐리티는 스마트미터링(AMI)보안, 스마트 홈 등으로 IoT 보안 사업을 확대 추진한다. 이를 위해 관련 산업 분야 전문 기업들과 파트너십을 확대하고 산업에 특화된 보안을 제공한다는 목표다.



김덕수 펜타시큐리티 전무는 "IoT 보안은 통신환경에서 네트워크 공격을 방어하고 안전한 인증수단을 제공하는 등 기술에 있어 공통점이 많지만, 각 산업 분야에 특화된 이해가 필요하다"며 "기존 파트너 업체 외에 각 산업 분야 전문 기업과 파트너십을 확대하고 차별화된 보안 서비스를 제공할 것"이라고 말했다. IT 서비스 모니터링 분야에 전문성을 지닌 엔키아는 IoT 사업과 관련해 올해 스마트 팩토리 사업에 드라이브를 건다. 이를 위해 연구개발(R&D) 연구소에서 기술 개발에 집중해왔으며, 최근 산업용 IoT 데이터 시각화 프레임워크 '폴스타 IIoT'를 선보였다. 폴스타 IIoT는 산업 IoT 데이터를 실시간으로 수집하고 머신러닝 기반 엔진으로 처리·분석한다. 이를 통해 산업 데이터가 지닌 이슈를 분석하고 대시보드를 통해 사용자가 상황을 직관적으로 파악할 수 있도록 돕는다. 빅데이터 분석 등으로 장애 예측도 지원한다. SGA임베디드는 IoT 유관 사업으로 스마트택배 사업, 초미세먼지·온습도 측정 사업을 추진한다. 또한 판매시점관리시스템(POS), 현금인출기(ATM) 등 임베디드 전용기기의 보안을 강화하는 보안 솔루션도 제공한다. 스마트택배는 IoT 기술을 활용해 스마트폰으로 택배함에 물건을 맡기고 찾아가는 무인택배 중계서비스를 말한다. SGA임베디드는 스마트택배함을 제작해 판매 또는 임대하고, 모바일 애플리케이션(앱)과 연동된 서비스를 제공한다. 센서로 초미세먼지·온습도를 측정하고 데이터를 분석해 경보 알람 서비스 등을 제공하는 '에어프로'를 지난해 출시했으며, 현재 경상도 지역 교육기관 20여곳을 대상으로 서비스하고 있다.  그룹사의 보안 기반 기술을 활용해 특수목적 기기 내에서 허락된 앱만 실행되도록 하는 임베디드 시스템 전용 보안 솔루션 'IES(IoT & Embedded Security)'도 제공하고 있다.

<출저: 네이버 보안 뉴스>

1. 또 다시 등장한 스파이멜 바이러스 

<사진출저: 보안뉴스>

14년쯤엔가 한번 유행했던 트로이목마종류 바이러스인데 17년 1월에 또 다시 나타났다. 해커들은 윈도우 os를 공격하기 위해 이메일에다 악성스크립트 파일을 첨부해서 보낸다. 사용자들은 아무생각없이 열어볼 수 있고 파일을 다운받자마자 윈도우 os에 삽시간에 퍼져 작업관리자 프로세스 관리도구등의 어플리케이션을 탐지한다. 더 재밌는 사실은 스파이멜 바이러스는 알약등과 같은 악성코드를 잡아낼 수 있는 앱이 실행되지 못하도록 막는다. 한마디로 보안프로그램 자체를 동작 못하게 해서 정보를 빼낸다는 이야기다. 어플리케이션을 탐지하는 과정에서 인증서등을 탈취해서 마치 '합법적인'소프트웨어인거마냥 둔갑하는 바이러스가 바로 스파이멜 바이러스이다. 이런식으로 악성코드에 대항하는 앱이 실행되지 못하게 만들어 놓고 인증서를 탈취하고 C&C서버와 통신하면서 사용자의 정보, 하고있는 활동등을 전송시킨다.

2. 스파이멜 바이러스의 위협

앞서서도 말했지만 스파이멜 바이러스의 특징은 바로 인증서를 탈취한다는 것이다. 특히 디지털인증서를 노리는데 디지털인증서만 탈취하게 되면 굳이 보안프로그램을 우회하는 기법을 개발하지 않고도 쉽게쉽게 사용자컴퓨터에 접근할 수 있다. 스파이멜이 갖추고 있는 인증서는 SBO 인베스트(SBO Invest)라는 기관에서 발행한 인증서인데 SBO인베스트도 이와 같은 스파이멜 바이러스때문에 주기적으로 업데이트 작업을 해주면서 예방하려고는 노력하는데 스파이멜 해커들도 이에 대응해서 계속 업데이트를 하면서 SBO 인베스트의 또 다른 인증서를 탈취해 사용한다. 인증서의 취약점을 노려 인증서를 탈취해서 사용자 정보를 빼내면 비용도 저렴하고 시간도 절약되서 많은 해커들이 스파이멜바이러스를 만들어 사용하고 있다. 인증서를 발급할때 철저한 절차대로 해야하지만 그렇지 못하기 때문에도 이와 같이 취약점을 노려 가짜인증서를 만들거나 합법적인 인증서를 훔쳐가지고 사용자 정보를 빼내 전송시킬 수 있는 것이다. 공인인증서에 대한 철저한 보안과 발급절차의 강화가 필요한 시점인 것 같다. 

1. 미라이 바이러스?

이스트시큐리티가 국내 최초로 IOT(사물인터넷)을 좀비로 만드는 DDOS 트로이목마 미라이 바이러스를 발견했다. IOT가 보안이 취약하다는 점을 악용해서 미라이 바이러스를 유포해 좀비로 만든 것이다. 이렇게 좀비로 만들어서 DDOS 공격자원으로 쓴다. 실제로 해외 도메인 서비스 업체 "딘"을 공격해서 미국 동부지역 인터넷을 전부 마비시켜버릴 정도로 무서운 바이러스였다. 일부 디바이스는 치료는 되는데 대다수의 디바이스는 감염된상태로 남게 되고 영구적인 감염 디바이스로 남게 된다. 감염을 치료한 디바이스라 해도 다른 감염된 디바이스에 대해 면역상태가 됐다고 볼수도 없다. 감염된 디바이스들이 감염을 제거하기 위해 업데이트를 해주지 않고 방치되서 그대로 남아있는 상황이 빈번하기 때문에 정말 심각한 문제다. 이를 신경쓰는 사람들도 없어 그 유포는 더욱 빠르게 확산되고 있다.

2. 미라이바이러스의 예방책은 없는 것일까?

이렇게 되면 처음부터 감염이 안되는게 중요한데 몇가지 예방 방책이 있다. 피해 예방을 위해 제시한 첫 번째 방법은 ‘명령 및 제어 서버 제거’다. 미라이의 약점은 새롭게 감염된 디바이스가 명령 및 제어 서버를 통해 등록한 뒤 지침을 다운로드 해야 한다는 점에 있다. 감염된 디바이스가 아니라 감염된 서버를 필요로 하므로, 명령 및 제어 서버를 제거하면 바이러스의 확산을 제한할 수 있다. 두 번째는 타깃 보호다. 최근의 IOT DDoS 공격에 대응해 한 보안 사이트는 공격을 피할 목적으로 호스팅 회사를 변경했다. DDoS 공격은 웹 서버 관리자라면 알 정도로 새로운 것이 아니고 대응방안이 있다. 이처럼 대응해 위험을 완화할 수 있다.  현재 이 바이러스는 랜섬웨어와 마찬가지로 급격하게 퍼지고 있으며 특히 웹 개발자, 웹서버 관리자에겐 각별히 이 바이러스에 대해 주의가 필요하다고 한다. 특히 IOT에 대한 보안강화가 필요한 시점이다. 

3. 디바이스의 면역력 강화를 위해 제시한 사항들

현재 우리나라 업체 윈드리버에서 디바이스 면역력 강화를 위해 제시한 사항들은 다음과 같다.

- 감염된 실행 코드로부터의 보호를 위한 안전한 부팅(Secure boot) 및 초기화

- 인증 정보와 기타 민감한 정보를 보호하기 위한 유휴 데이터 암호화

- 위조 엔드포인트와 악성 연결 시도로부터의 보호를 위한 양방향 인증

- 민감한 정보를 보호하기 위한 통신 암호화

- 권한 에스컬레이션을 방지하기 위한 OS 기능 강화

- 예상하지 못한 외부 액세스와 외부 세상으로의 연결을 차단하는 방화벽

- 인증된 변경 내용을 그대로 지원하면서 변화하는 멀웨어를 차단하기 위한 보안 업   데이트

IOT가 도래되는 시대는 어쩌면 편할수도 있지만 이렇게 바이러스에 감염되 조종당하면 인간을 공격할 수 있기때문에 무서운거다. IOT보안에 대한 인식을 좀 더 생각 할 수 있는 계기가 되었으면 좋겠다.

<사진참조: 네이버 보안 동향 뉴스>

17년에 들어와서 랜섬웨어 주의경보가 발령됐다. 미국에서 처음 발견된 이 소프트웨어 악성코드는 전 세계로 뻗어나가고 있다. 이 바이러스에 감염되면 위와 같은 메시지가 뜨면서 컴퓨터에 있는 모든 문서가 암호화가 걸리고 해커들은 암호를 풀어준다는 대가로 돈을 요구하는 수법으로 사용자들이 많은 피해를 보고 있다. 사우디아라비아쪽에서도 랜섬웨어와 전쟁을 벌이고 있으며 우리나라도 예외는 없다. 이로 인해 당장 업무 정상화가 필요한 기업들은 해커가 요구하는 사이버머니를 지불하고 문제를 해결하는 사례도 빈번히 발생하고 있다 지금 현재로썬 딱히 치료프로그램도 없어서 더 애를 먹고 있다. 그나마 알약이 어느정도 방어를 해주고는 있는데 완벽하게 랜섬웨어를 방어해주진 못하는게 현실이다. 랜섬웨어를 이용해서 사업을 하는 사람들까지 생겨난다고 하니 문제는 더 심각하다. 

한국 벤처기업 CIDISK의 조성곤 대표가 랜섬웨어의 피해 사례에 대해 설명하고 있다.

현재 우리나라 벤처기업인 CDISK 조성곤 대표가 "중요 문서를 백업하는 방식으로 USB나 CD, DVD 등의 외장하드 이용 방법과 클라우드 저장 방식이 이용되고 있다"며"하지만, 어느 것도 백업을 하는 동안의 감염까지는 막을 수 없는 한계가 있다"고 말했다. 랜섬웨어는 치료프로그램이 개발되고 있는 중이어서 철저한 예방을 할 수 밖에 없는게 현실이다. 이어서 CDISK가 개발한 신기술을 발표했는데 스텔스영역을 활용했다는게 핵심이었다. USB나 외장하드의 디스크에 바이러스가 감지할 수 없는 스텔스 영역을 만들고, 중요 문서를 보내 저장하는 방식이다. 스텔스 영역은 바이러스가 인식할 수 없는 네임 스페이스이기 때문에 격리된 구역이고, 이 곳에서는 저장과 편집도 할 수 있다. 현재 실리콘밸리 미국 보안 전문가들도 인정하고 있는 기술이라고 한다. 하루빨리 랜섬웨어를 방어할 수 있는 프로그램이 나와 더이상 기업들이 문서암호화로 인해 피해를 보는 경우가 없으면 하는 바램이며 사용자들이 철저한 예방으로 랜섬웨어를 최대한 방어를 해야한다.

<사진출저: 네이버지식in, 한국경제>

최근 한글문서 취약점을 이용해 정보를 탈취하는 악성코드가 유포돼 국내 사용자들의 주의가 필요하다고 했다. 이번에 발견된 한글문서 악성코드는 ‘북한민주화와 민주주의적 전략.hwp’의 파일명으로 이메일을 통해 유포됐다. 해당 문서를 열람할 경우 정보탈취 악성코드에 감염되어 PC 내의 정보들이 외부로 전송된다. 유포된 한글문서는 취약점을 이용해서 정상 프로그램인 '윈도우스크립트호스트' 프로그램을 실행시키며 이후에 해당 프로세스에 정보탈취 악성코드를 인입시키는 방식으로 동작하고 탈취돈 정보를 국내의 한 쇼핑몰 서버로 전송시킨다. 해당 악성코드는 감염된 PC의 정보 및 PC 화면을 캡처한 이미지 파일을 서버로 전송한다. 또한 추가로 악성코드를 다운로드하는 기능이 포함돼 있어 해커가 추가로 악성 행위를 수행하는 악성코드를 유포해 동작시킬 수 있다. 다행히 백신은 있어서 '바이로봇 에이피트 쉴드'를 통해 사전차단 할 수 있고 바이로봇 백신제품에서도 탐지하고 치료가 가능하다고 한다. 트로이목마바이러스 유포과정과 약간 흡사해서 함부로 이상한파일을 열지 않는게 좋을 것 같다. 16년 9월부터 17년 1월까지의 동향을 보면 이메일을 이용해서 파일을 전송시켜 악성코드를 유포하는 수법이 많이 등장하고 있는 것 같다. 공격형태도 매우 지능적이고 교묘해서 사용자들에 대한 각별한 주의가 필요할 것 같다.

<2017.01.27> 네이버 뉴스 보안 동향 참조