일련의 보안 자료를 보면, 해가 가면 갈수록 바이러스, 웜 등의 악성 프로그램의 발생 건수가 기하급수적으로 증가하고 있습니다.

일반적으로 안티 바이러스 제품은 서명(시그내처) 기반의 진단 기술을 사용하기 때문에 바이러스가 발견된 이후에 그에 대한 데이터베이스가 업데이트되는 형편입니다. 물론, 일부 안티 바이러스 제품은 사전 방역, 휴리스틱 진단 기법을 통해 아직 발견되지 않은 악성 프로그램을 미리 예방할 수도 있습니다. 하지만, 장점이 있으면 단점이 있는 법! 오진의 가능성이 서명 기반의 안티 바이러스 제품보다 높다는 단점이 존재합니다.

우스갯소리로 안티바이러스 분석팀은 일년내내 일을 해도 다 못한다는 말이 있습니다. 그만큼 갈수록 업무가 증대되고 있으며 사람이 수작업으로 진행한다면 처리할 수 있는 일에는 보나마나 한계가 있을 수 밖에 없습니다. 최근 보안 벤더들은 자동으로 처리할 수 있는 가상화 기술/소프트웨어를 도입하여 사용합니다.

악성 프로그램 제작자들은 새로운 악성 프로그램을 탄생(!)시키기 보다는 기존의 악성 프로그램을 변형하는 방법을 주로 취합니다. 물론 작성자는 자신의 코드를 충분히 이해할 수 있다는 가정을 한다면, 변종(Variant)을 떡 주므르듯이 마구 만들어서 널리 감염시킬 수 있을 것입니다.

최근 외국의 유명한 보안 전문가는 최근 안티 바이러스 제품의 허를 찌르는 글을 하나 게재했습니다.

서명 기반의 바이러스 백신 제품의 기술로는 바이러스로 검출되는 코드(이하 스크립트와 동일함)는 동일한 패턴이 나타나면 거의 100% 진단할 수 있는 기술을 보유하고 있습니다.

여기서 언급하는 스크립트는 인터넷 익스플로러에서 동작하는 악성 프로그램을 말합니다.

하지만, 코드의 일부분에 공백이나 숫자등을 채우는 이른바 패딩(padding) 기법으로 변조할 경우에는 제대로 바이러스 여부를 진단할 수 없다고 합니다.

이렇게 채우는 값을 최대 255 바이트까지 늘릴 경우에는 거의 대부분의 바이러스 백신에서 제대로 진단하지 못한다는 테스트 결과도 나온 적이 있습니다.

상식적으로 생각해 봐도, 악성 프로그램의 변종을 만들어 내는 것은 스페이스 바~ 누르는 것처럼 아주 쉽겠죠?

아래 그림은 악성 스크립트를 vi 편집기로 본 화면입니다.
사용자 삽입 이미지

그리고, 헥사 덤프(16진수로 보여주는)로 본 화면입니다. 중간에 0x00 값을 많이 채워넣었습니다.
사용자 삽입 이미지

이러한 방식으로 코드를 변조한 상태에서 바이러스토탈(http://www.virustotal.com)에서 진단한 결과를 보면 32개 제품 중에 15개 제품만이 악성 프로그램으로 진단하였다는 결과가 나온 적이 있습니다.
사용자 삽입 이미지

한 편, 스크립트에서 의미없는 0으로 채워진 값을 제거한 상태에서는 32 제품 중에 25개 제품이 진단에 성공하였습니다.


마이크로소프트의 관계자에 따르면 이러한 공백 처리 부분은 인터넷 익스플로러의 구조적인 설계에 기인한다고 수년 전에 발표한 적이 있습니다. 하지만, 구조적인 설계가 잘못된 경우라고 한다면 IE7이 나오면서 이러한 문제를 보완하는 새로운 설계가 나와야 하는 것은 아닐까요?

참고로 이러한 문제점에 대항하기 위해 맥아피의 바이러스 스캔(VirusScan) 제품에서는 스크립트스캔(ScriptScan)이라는 전용 모듈을 추가하여 이러한 문제점에도 불구하고 충분히 진단이 가능한 기술을 추가한 상태입니다. 아래 동영상 참조하세요.


결론을 간단히 추려보면 다음과 같습니다. 컴퓨터에 바이러스 백신을 믿고 백업과 같은 진짜 중요한 과정을 생략하면 언젠가 키보드를 치고 후회할 날이 생깁니다. 따라서, 몇 가지 조언을 드리면서 말씀을 줄일까 합니다.
  • 윈도우 업데이트에 항상 신경 씁니다. - 매달 2번째 주 화요일입니다.
  • 믿을만한 안티스파이웨어 제품을 설치하여 이 또한 주기적으로 검사합니다.
  • 쓸데 없는 사이트(예를 들면, 성인 사이트, 와레즈 사이트)는 가급적 방문하지 않습니다.
  • P2P 프로그램은 꼭 필요한 경우가 아니면 사용하지 않는 것이 좋습니다.
  • 가장 중요한 것은 바로 백업입니다. 중요한 데이터는 CD/DVD 등에 별도로 저장하는 것이 좋습니다. 하지만 가장 귀찮은 작업이기도 하지요.
  • 일주일에 한번 정도는 PC에 설치한 백신 이외의 다른 온라인 백신으로 검사해 봅니다.

          무료 온라인검사 총정리: http://moonslab.com/484

감사합니다.
Daum 블로거뉴스
블로거뉴스에서 이 포스트를 추천해주세요.

자료 출처: http://blog.didierstevens.com/2007/10/23/a000n0000-0000o000l00d00-0i000e000-00t0r0000i0000c000k/
reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    우리나라에서 보안 분야에서 가장 선도적으로 발전해가고 있는 안철수 연구소(http://www.ahnlab.com)에서 2007년 도에 새로 출시한 V3 인터넷 시큐리티 플랜티넘 제품이 웨스트코스트랩스에서 실시한 체크마크 인증에서 당당히 패스~했다는 군요.

    게다가, 스파이제로 2.0도 안티 스파이웨어 인증 통과했습니다.

    V3 인터넷 시큐리티 플래티넘은 안티 바이러스 이외의 다양한 보안 기능을 제공하는데 아래 그림과 같이 안티-말웨어, 안티-스파이웨어, 안티-트로이잔, 안티-바이러스 등 거의 모든 부분에서 인증했다는 것입니다.

    사용자 삽입 이미지사용자 삽입 이미지

    참고로 하우리 제품은 바이로봇 제품이 인증을 통과하였습니다.
    사용자 삽입 이미지

    끝.
    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      최근에 안철수 연구소(www.ahnlab.com)에서 무료로 백신 제품을 해외 공관에 제공한다는 뉴스를 접한 적이 있습니다.

      시만텍(www.symantec.com)은 남 아프리카 전역의 교육기관들에게 무료로 보안 제품을 기증한다는 반가운 소식이 있어 간단히 전해 드려 봅니다.


      남아프리카는 대부분 후진국 형태를 띠고 있으며, 정치적, 경제적으로 불안한 국가가 아주 많습니다. 특히, 식량 등의 수급이 제대로 이루어지지 않고, 정치적, 전쟁 등으로 인해 국민들의 생활환경이 아주 취약합니다.

      그중에서도 어린이, 유아 등 차세대를 책임질 사회구성원의 의식주가 아주 안 좋은 것으로 알고 있습니다.

      하지만, 우리나라가 과거에 6.25를 거치면서 경제적 자립을 이끌어 가는데 가장 중요한 역할을 한 것은 제가 볼때는 바로 교육이라고 생각합니다. 이러한 경험에 비추어 볼 때 남아프리카에서도 가장 중요한 부분은 의식주 뿐만 아니라 교육이 아닐까 생각됩니다.

      아직 남아프리카에서는 학교 교육의 인프라가 취약하지만, 그래도 IT에 대한 교육과 보급이 필요하다고 생각됩니다. 일례를 들어 보면, 남아프리카의 돈없는 사람들을 위해 100달러 미만의 컴퓨터를 만들려고 하는 시도를 익히 들어 알고 있을 것입니다.

      이러한 실정 속에서 시만텍에서는 남아프리카 전역의 교육 기관에서 사용할 수 있도록 보안 제품을 제공한다고 하니 참~ 기쁩니다.

      시만텍이 제공하는 제품은 '시만텍 안티바이러스 엔터프라이즈 에디션(Symantec Antivirus Enterprise Edition)'으로 안티 바이러스, 안티 스팸, 컨텐트 필터링, 개인용 방화벽, 침입 탐지 기능을 제공하는 완벽한 개인용 보안 솔루션입니다.

      시만텍은 앞으로 3년간 제품을 제공하기로 하였으며 이미 2004년도에도 이러한 지원이 있었다고 합니다.

      시만텍은 제품을 제공하는 것뿐만 아니라 정품 사용자와 마찬가지로 인터넷을 통한 바이러스 데이터베이스 업데이트, 헬프 데스크를 통한 24시간 기술 지원을 포함한다고 합니다.

      한편, 시만텍의 제공하는 제품을 이용하는 기관은 약 2013개 정도라고 해당 관계자가 밝혔습니다.

      PS: 우리나라의 안철수 연구소, 하우리 등에서도 취약 아동 또는 관련 기관에 무상으로 제공하는 기부 활동이 이루어지고 있지만, 좀더 발전되어 외국까지 지원해 주었으면 하는 바램입니다.

      출처: http://allafrica.com/stories/200708210370.html

      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        광주시는 21일부터 홈페이지(http://www.gwangju.go.kr)에서 온라인백신서비스를 무료로 제공합니다. 무료로 제공되는 백신 제품은 하우리 라이브콜입니다.

        하우리 라이브콜을 사용하려면 먼저 액티브 X 컨트롤을 설치해야 하며, 설치 후에는 인터넷 접속을 통해 바이러스, 스파이웨어/악성코드 등을 진단하고 치료할 수 있습니다.

        광주시 홈페이지를 방문하고 오른쪽 아래 구석에 바이러스 검사할 수 있는 아이콘을 클릭하면 됩니다.
        사용자 삽입 이미지

        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus


          Web Analytics Blogs Directory