[문스랩닷컴] 삶에는 왕도가 없습니다

최근 제가 블로그를 통해 다양한 보안 사고에 대해 포스팅을 하고 있습니다. 그 중에서 가장 많이 오르내리는 인물이 바로 Unu입니다. Unu는 루마니아 출신의 해커로 알려져 있습니다만, 그 이외에 별로 알려져 있지 않습니다. 다만, 국내외 보안 기업의 웹사이트의 보안 수준을 검사하여 취약점이 있는 경우 이를 밝혀서 유명세를 얻고 있습니다.

보안뉴스에서는 Unu와 같은 해커를 '그레이 해커'로 분류한 기사를 송고하기도 했습니다. 어떻게 부르느냐에 따라 그 해커의 성품(!)이 결정된다는 점에서 한번쯤 읽어 볼만한 기사입니다.



하여튼, Unu는 보안 기업 중에서 특히 카스퍼스키가 맘에 안드나 봅니다(농담!). 지난 2월달에 카스퍼스키 미국판 웹사이트를 해킹하여 데이터베이스 등 전체적인 데이터를 해킹한 바가 있습니다.

그리고, 지난 12월 10일 경에는 포르투칼 웹사이트를 해킹하여 이를 공개했습니다. 관련 기사는 아래 링크를 참고하십시오.



그런데, 그런데, 그런데~

카스퍼스키 말레이시아와 싱가포르 홈페이지도 SQLi(SQL Injection) 취약점으로 또다시 확실하게 털렸습니다. 이번에는 매우 자세한 스크린샷을 공개했습니다. 다만, 공개한 취약점은 현재 보완이 된 것으로 알려져 있습니다.


이에 대한 자세한 사항은 아래 링크를 참고하십시오.


감사합니다.

요즘 국내에서 공격적인 마케팅을 퍼붓고 있는 카스퍼스키에서 Mac OS에서 사용할 수 있는 안티바이러스 제품을 지난 10월 8일 출시했습니다. 이 제품을 통해 맥 사용자는 보다 보안을 강화할 수 있습니다.

어떤 안티바이러스(바이러스 백신)가 바이러스를 잘 잡을까?

위에 언급한 질문에 대해서는 다양한 의견이 나오고 있으며, 제시된 의견 가운데 서로 싸우는 경우까지 볼 수 있습니다. 이 잘 잡는다 못잡는다 호사가들의 입방아에 자주 오르내릴 수 있는 민간한 사안입니다.

현재까지 보안 시장에서 널리 알려진 평가 및 인증 기관으로는 Virus Bulletin(http://www.virusbtn.com), CheckMark(http://www.westcoastlabs.com), AV-Comparatives(http://www.av-comparatives.org/) 등이 있습니다.

이 기관들은 안티바이러스 벤더로부터 유무형의 지원을 받고 있어, 이를 두고서도 약간의 말들이 나오는 상황입니다.

하지만 최근, 이러한 기관이외에 새로운 평가를 제시하는 사이트가 새롭게 선보였습니다. 이 사이트이 이름은 ANTIVIRUS WARE(http://www.antivirusware.com/)입니다.

또한, Norton, NOD32, Kaspersky, AntiVir, BitDefender, avast!, Trend Micro, AVG, F-Secure 등의 제품을 성능, 설치 시간, 검사 시간, 업데이트 주기 등으로 비교하여 분석한 자료를 공개했습니다.

1. 메모리 사용량: 컴퓨터가 유휴 상태일 때에 측정.

2. 재부팅 시간: 안티바이러스 제품을 설치하지 않은 상태에서 재부팅 시간과 설치후 재부팅 시간을 비교.

3. 설치 용량: 업데이트를 다운로드하기 전, 안티바이러스 설치 용량.

4. 프로그램 로딩 시간: 안티바이러스 제품을 설치하지 않은 상태에서 파이어폭스 브라우저를 50번 실행한 시간과 설치후 실행한 시간을 비교.

5. 파일 변환 시간: MP3 파일을 다른 형태로 변환하는데 걸리는 시간을 비교.(MP3 -> WAV -> MP3 -> WMA -> MP3)

전체 성능 비교.

감사합니다.

순위 이름
1 Net-Worm.Win32.Kido.ih
2 Virus.Win32.Sality.aa
3 Trojan-Dropper.Win32.Flystud.ko
4 Trojan.Win32.Chifrax.a
5 Trojan.Win32.Autoit.ci

6 Trojan-Downloader.Win32.VB.eql
7 Packed.Win32.Krap.b
8 Worm.Win32.AutoRun.dui
9 New Exploit.HTML.CodeBaseExec
10 Packed.Win32.Black.a
11 Virus.Win32.Sality.z
12 Virus.Win32.Virut.ce
13 Trojan.JS.Agent.xy
14 Worm.Win32.Mabezat.b
15 Virus.Win32.Alman.b
16 Packed.Win32.Krap.g
17 Packed.Win32.Klone.bj
18 Worm.Win32.AutoIt.ar
19 Exploit.JS.Agent.agc
20 Email-Worm.Win32.Brontok.q

최근 컴퓨터의 파일을 암호화하여 금품을 요구하는 바이러스인 블랙 메일러에 대해 소개해 드린 적이 있습니다.

참고자료: http://moonslab.com/644

안티바이러스 벤더인 카스퍼스키 랩은 이 바이러스를 Gpcode.ak라고 명명하고 있으며, 감염시 파일을 암호화하여 피해를 입는 경우 이를 해결하기 위한 방안의 일환으로 암호 방식을 깨기 위해 노력하고 있습니다.

이러한 노력 이외에 감염되는 행동 방식을 분석한 결과 다음과 같이 암호화하기 이전의 파일을 복구할 수 있는 방안을 소개하고 있습니다.

Gpcode.ak 바이러스는 원본 파일을 강력한 1024비트로 암호화하고 나서 원래의 파일을 삭제합니다. 하지만, 새로운 암호화 파일을 생성할 때에 원래의 파일의 사본을 이용하여 만들기 때문에 원본을 복구할 수 있는 가능성이 높습니다.

컴퓨터를 잘 아는 분들은 파일을 삭제하더라도 실제 파일의 내용을 삭제하는 것이 아니라 FAT과 같은 파일의 저장 위치를 기록하는 데이터베이스에서만 삭제된다는 사실을 잘 아실 것입니다.

삭제한 파일을 복구하는 프로그램은 다양하지만, 카스퍼스키 랩에서 추천하는 프로그램은 PhotoRec 입니다. 이 프로그램은 무료로 제공되는 프로그램으로, 사용자가 원하는 경우 개발자에게 일정한 금액을 보상할 수 있는 방식입니다.

또한, ERD Commander나 Final Data Enterprise와 같은 전문적인 파일 복구 프로그램을 이용하는 것도 고려할 만 합니다.

하지만, 컴퓨터를 재부팅하거나 너무나 많은 파일이 암호화하여 변조되거나, 변조된 시점이 너무 오래된 경우는 복구하더라도 정상적으로 복구되지 않을 가능성이 있다는 점을 주목해야 합니다.

카스퍼스키 자료: http://kasperskylab.co.kr/board/bbs/board.php?bo_table=News&wr_id=192&page=&nca=

요즘 안티바이러스 업계의 굴욕(!)이 계속되고 있습니다. 어제 그제에는 무료백신으로 유명한 어베스트!에서 엑셀 파일에 관련된 오진(오탐)이 나오기도 했습니다. 아래 자료를 참고하세요.

http://avast.co.kr/409

다만 엑셀 파일에 대한 것이어서 일반적인 피해는 적은 편입니다만, 이번에는 카스퍼스키 제품에서 윈도우의 핵심 파일을 오진하는 사태가 발생한 적이 있습니다. 이에 대한 소식을 전해 드립니다.

지난 12월 19일, 카스퍼스키 안티 바이러스 제품의 제작사인 카스퍼스키 랩에서는 잘못된 시그내처 업데이트로 인해 윈도우 탐색기(explorer.exe) 파일을 Huhk-C 바이러스에 감염되었다는 오진을 하게 했습니다. 이로 인해 탐색기 파일을 격리 보관하거나 삭제하는 경우에는 윈도우가 정상적으로 실행되지 않는 사태가 발생하였습니다.

이러한 사실은 카스퍼스키 포럼에서 Carl이라는 사용자가 올린 글을 통해 알려졌으며 수많은 사람들이 이에 대한 댓글을 통해 오진인지 여부에 대한 이야깃거리가 난무했습니다. 오진으로 인해 'explorer 파일을 삭제하는 경우'에 가장 최악의 사태가 발생하는데 이 사용자는 회사에서 네트워크 검사를 통해 삭제하는 바람에 근무 외시간까지 일을 해서 새벽 5시경에 정리할 수 있었다고 합니다.

한편 카스퍼스키 영국(UK) 관계자에 따르면 영국 고객 중에서 이러한 오탐으로 인해 문제가 발생한 경우는 한 회사와 3명의 사용자뿐이었다고 합니다. 또한, 이러한 사태가 앞으로 발생하지 않도록 하기 위해 내부적으로 테스트 시스템을 더욱 향상시킬 것이라고 합니다.

아마 컴퓨터를 어느정도 쓸 줄 아는 고수나 바이러스 백신 등에 관심을 가지는 사용자들은 대부분 러시아 産의 카스퍼스키 안티 바이러스를 세 손가락 안에 꼽을 것이다.

바이러스 불러틴과 같은 외국의 바이러스 평가 기관에서 거의 대부분의 결과 카스퍼스키가 1등을 먹는 경우가 많다. 그만큼 방대한 바이러스 데이터베이스, 빠른 업데이트 등을 주무기로 러시아부터 시작하여 우리나라에서 어느 정도 시장에 진입한 상태이다.

하지만, 요즘 추세인 토탈 보안 솔루션(일명 안티 바이러스 + 안티 스파이 웨어 + 개인용 방화벽)에서 볼때 카스퍼스키 제품은 아직까지 완벽한 모습을 보여주지 못하고 있다. 최근 출시된 카스퍼스키 인터넷 시큐리티 7.0 버전은 다국어 지원에서 일부 문제점을 보이기도 하며, 최근에 본 글에 따르면 일부 컴퓨터와 궁합이 잘 맞지 않는 현상도 본 적이 있다.

참! 카스퍼스키 안티 바이러스를 평가절하는 글이 아니다. 이제 본론으로 들어가 보자.

 우리가 가장 많이 사용하는 개인용 방화벽 제품 중에 무료로 제공되는 또는 유료로 제공되는 제품 중에서 존알람(Zone Alarm)이 있다. 하위 버전은 무료이지만 최신 버전은 유료로 판매되고 있다.

존 알람에서는 안티 바이러스 기능이 빠져있었는데 존알람 시큐리티 슈트 제품에 들어서면서 토탈 보안 솔루션으로 변신해가고 있다. 하지만, 처음의 통합이어서 그런지 매끄러운 부분이 부족하고, 최적의 성능을 보여주기에는 역부족이었다.

하지만, 최근 출시한 존알람 시큐리티 슈트 7.0 버전은 이러한 우려는 어느정도 잠재울 수 있는 강력한 토탈 보안 기능을 제공한다. 앞서 왜 카스퍼스키를 언급했을까?

바로 존알람 제품에 카스퍼스키 안티바이러스 엔진이 모듈로 제공되고 있다. 따라서 최고의 방화벽 프로그램과 최고의 안티 바이러스 프로그램이 결합되어 있어 사용자가 만족할만한 보안 성능을 보장받을 수 있다.
기본적으로 제공되는 기능은 다음과 같다.

• 방화벽 기능
• 프로그램 제어
• 안티 바이러스/안티 스파이웨어
• 이메일 보호
• 개인 정보 보호
• 신용 정보 도난 보호
• 메신저 보안
• 컴퓨터 사용 제한

아마 이정도면 다른 인터넷 시큐리티 제품과 비교하여도 손색이 없다. 다음 번에는 설치 부터 자세한 세팅에 대해 다룰 예정이니 기대하길 바란다.

각 나라별로는 정보 보안을 담당하는 기관들이 있으며, 이러한 기관 내에는 침해사고 대응팀, 보안 대응팀 등이 운영되고 있다.

우리나라에서는 다음과 같은 기관이 있다.

• 인터넷 침해사고 대응센터: http://www.krcert.or.kr
• 한국 정보 보호 진흥원: http://www.kisa.or.kr
  

이 번에 수모를 당한 기관은 중국에서 운영하고 있는 CISRT(Chinese Internet Security Response Team)으로 영문 웹사이트가 해킹을 당한 것으로 알려졌다.

CISRT 영문 웹사이트에는 다음과 같이 사과문이 게재되어 있다.


사연은 이렇다. CISRT 웹사이트 중 영문 웹사이트의 일부 탑페이지에서 iframe 악성코드가 삽입되는 공격을 당했다. 이 웹사이트를 방문한 사람은 37Kb 크기의 "sms.exe"라는 실행 파일을 다운로드하게 한다. 이 파일은 카스퍼스키 안티바이러스에서는 "Troyan-Downloader.Win32.Baser.w"로 진단한다.

중국에서 개발한 웹 브라우저 기반의 미디어 플레이어인 BaoFeng Storm의 버퍼오버플로 취약점으로 통해 공격이 이루어졌다. BaoFeng Storm은 ActiveX 컨트롤을 이용하여 제공되며, 이전에 이미 시만텍은 사용자가 입력한 값을 확인하는 부분이 제대로 동작하지 않아 여러 개의 버퍼오버플로 취약점이 존재한다고 밝혔다.

CISRT는 웹 사이트가 해킹된 것이 아니라 "ARP" 공격의 이루어진 것으로 믿고 있다. "ARP" 공격은 최신 공격 기법 중의 하나로 ARP poisoning 또는 ARP spoofing 공격이라고도 한다.

보안 벤더인 F-Secure의 패트릭 러날드(Patrik Runald)는 CISRT 웹사이트가 해킹 당한 것으로 보이며, ARP 공격이라고 한다면 꽤 복잡한 방법을 사용했을 것이라고 밝혔다.

출처: http://www.zdnetasia.com/news/security/0,39044215,62032982,00.htm

전세계적으로 호평받고 있는 카스퍼스키 안티바이러스 제품에 보안 취약점이 발견되어 주의가 요망된다.

이 취약점은 카스퍼스키 안티바이러스 6.x와 7.x 그리고 인터넷 시큐리티 6.x와 7.x 등 가장 핵심적인 제품에서 발생한다. 7.0.125 버전에서 맨 처음 발견되었으며 다른 버전에서도 동일하게 나타날 것이다.

이 취약점을 통해 공격자는 로컬 컴퓨터에서 서비스 거부(Denial of Service) 공격을 수행할 수 있다.

원인은 특정한 후킹 함수의 매개변수를 처리할 때 KLIF.SYS g함수내에서 오류가 발생하기 때문으로 "NtCreateSection(), NtUserSendInput(), LoadLibraryA() 함수를 호출할 때와 특별하게 조작된 매개변수를 가진 SSDT 엔트리에서 발생한다고 한다.

해결방법은 아직 없으며, 11월달의 업데이트를 통해 처리될 것으로 알려 졌다.

관련 정보
카스퍼스키: http://www.kaspersky.com/technews?id=203038706
루트킷닷컴: http://www.rootkit.com/newsread.php?newsid=778