필자가 다년간 메일 서버 제품의 엔지니어로 근무하면서 느꼈던 부분이 바로 스팸 메일을 대하는 사람들의 태도입니다. "스팸은 그냥 지우면 그만이죠.", "좀 많을 때 짜증 나지만 별 상관 없어요" 라는 말을 하곤 합니다.

거의 모든 포탈에서는 자체적인 메일 서비스를 무료로 제공하지만, 실제 메일 서비스만 제공할 뿐이지 스팸을 차단하는데에는 그리 큰 예산이나 인력을 사용하고 있지 않은거 같습니다.

<필자가 사용하는 메일 서비스의 받은 편지함 부분. 뉴스레터 한 두 통을 제외하고는 모두 스팸>


이제 스팸 즉 이메일을 통해 사용자의 PC를 공격하는 방식에 설명하고자 합니다. 물론, 대부분 알고 있을 수도 있을 것입니다.

  • 피싱 - 메일의 본문에 악성 코드가 포함된 URL을 삽입하고, 사용자가 이를 클릭하는 과정에서 피싱 공격이나 악성 코드를 다운로드하게 하는 방식.
  • 감염 - 메일의 첨부 파일에 HTML이나 실행 파일을 포함시키고, 사용자가 이를 클릭하여 실행하게 함으로써 PC에 악성 프로그램이 감염되도록 하는 방식


이러한 공격의 사례를 살펴 보면 다음과 같습니다.

사례 1. 피싱:메일의 본문에 교묘하게 위장된 사이트에 방문하도록 유도하는 시나리오

네이버 DDOS 공격 최초 보고 - 우리은행 BC카드 이용대금명세서로 위장한 이메일 주의
출처: http://viruslab.tistory.com/1923


 

사례 2. 감염: 메일의 첨부파일에 포함된 HTML/실행파일을 실행하게 함으로써 공격

네이버 DDOS 공격 최초 보고 - 우리은행 BC카드 이용대금명세서로 위장한 이메일 주의

출처: http://viruslab.tistory.com/1922



즉, 스팸은 사용자의 실수를 이용하기 때문에, 보통 사용자 책임으로 돌리기 쉽습니다만, 사용자가 모두 책임지기에는 너무나 억울할 수 밖에 없습니다. 보낸 사람을 일일이 확인할 수도 없을 뿐더러, 대부분 보안에 대해 충분한 지식을 가지고 있지 못한 경우가 대부분입니다.


따라서, 스팸에 대한 문제는 바로 메일 서비스를 제공하는 회사(포탈)이 어느 정도 책임을 지고 해결을 해야 한다고 봅니다. 

특히, 일반 회사와 같이 독자적인 메일 시스템을 구축하는 경우에 메일에 대한 안티 스팸/바이러스 장비나 소프트웨어를 구비하지 않는 경우가 대부분입니다. 이러한 경우에는 당연히 구비해야 하며, 사용자 수가 50명 미만인 경우에는 구글이 제공하는 무료 서비스를 이용하는 편이 훨씬 낫습니다.

참고로, 2번째와 같이 첨부파일로 공격하는 형태는 메일 서버의 필터링 기능에서 html, exe와 같이 위험한 확장자를 차단하는 방법을 동원해도 충분히 막을 수 있습니다. 구글에서도 실행 파일을 첨부할 수 없게 되었습니다.

감사합니다.









reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    요즘에는 바이러스(웜, 등등  통칭해서 악성 프로그램)들의 전파 속도는 인터넷의 발달로 인해 거의 빛의 속도를 따라가고 있다. 어제 유럽에서 새로 발견된 악성 프로그램은 오늘 내 컴퓨터에서 조용히 잠복하는 세상이다.

    하지만, 악성 프로그램을 진단 치료하는 안티 바이러스 벤더의 입장에서 보면, 정보의 홍수 아니 악성 프로그램의 홍수 속에 업무가 기하급수적으로 증가하고 있다. 특히, 이메일을 통해 감염되는 악성 프로그램(거의 트로이 목마)은 한번 퍼지기 시작하면 스패머의 활약에 힘입어 엄청난 속도로 전파되는 특징을 가지고 있다.

    이러한 악성 프로그램이 우리가 사용하는 안티바이러스 제품에 샘플을 수집하여 이를 데이터베이스화하는데 걸리는 시간은 얼마나 되는지 궁금하지 않은가?

    미국의 유명한 안티 스팸 업체인 컴터치(CommTouch)는 악성프로그램 발생 센터(Malware Outbreak Center)라는 프로그램을 통해 이메일로 전염되는 악성 프로그램을 보안 벤더들이 얼마나 빨리 대응하는지 자세히 보여 준다.

    http://www.commtouch.com/site/ResearchLab/virusLab/recent_activity.asp

    사용자 삽입 이미지
    <그림 #1. 악성 프로그램의 발생 순서에 따른 진단명, MD5 값을 보여 준다.>

    여기서는 최신으로 발생하는 악성 프로그램을 시간 순서로 보거나, 월별로도 볼 수 있다. 아래는 11월 10일날 발견된 Troyan-Downloader.Win32.Agent.ezm 악성 프로그램의 진단 시점에 대해 안티 바이러스 제품별로 자세히 보여 준다.
    사용자 삽입 이미지
    <그림 #2. Troyan-Downloader.Agent.UZM 의 진단 시점>

    초록색은 발생하자 마자 진단이 된 것으로 발생 초기부터 진단했다는 의미이고, 주황색은 일정한 시간 후에, 그리고 빨강색은 진단 기간동안 감지하지 못한 것을 의미한다.

    자세한 사항은 오른쪽 위 그리고 아래에 있는 Download Data 링크에서 엑셀 파일로 제공한다.

    특히, 월별로 데이터를 산출해 보면, 악성 프로그램 별로 걸리는 시간을 더욱 쉽게 알아 볼 수 있다.
    사용자 삽입 이미지
    <그림 #3. 안티바이러스 제품별로 월별 진단 시간, 가능 여부를 볼 수 있다>

    이러한 자료를 통해 안티 바이러스 제품의 기동력(!)을 한번 더 평가하는데 도움이 되었으면 한다.

    알림: 여기서 측정하는 악성 프로그램은 대부분 이메일을 통해 감염되는 트로이목마임을 다시 한번 알려 드립니다. 일반 파일 바이러스 등에서는 다른 결과값이 나타날 수 있습니다.

    Daum 블로거뉴스
    블로거뉴스에서 이 포스트를 추천해주세요.
    추천하기
    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      우리가 많이 사용하는 윈도우 운영체제에서는 바이러스 등 악성 프로그램의 피해가 매우 심각합니다만, 매킨토시의 경우 어느 정도 바이러스 제작자의 타겟이 아니므로 바이러스가 거의 없다고 볼 수 있었습니다.

      하지만, 드디어 매킨토시를 공격하기 위한 첫번째 바이러스(정확히는 트로이 목마)가 발견되었다는 소식입니다.

      이 바이러스는 한 포르노 웹사이트에서 제공하는 소프트웨어(동영상 코덱)에 숨겨져 있으며 사용자가 이를 모르고 다운로드하여 실행할 경우에는 컴퓨터의 제어권을 빼앗기게 된다고 합니다. 즉, 포르노 동영상을 보기 위해서는 이 가짜 코덱을 설치해야 한다고 속여서 감염을 시도합니다.

      가장 먼저 발견하여 언급한 곳은 인티고(Intego)라는 매킨토시 관련 포럼으로 알려졌으며 애플은 이 사실을 공식 확인했다고 합니다.

      한 편, 보안 벤더 중 하나인 트렌드 마이크로 社는 이 바이러스가 2006년에 유행했었던 ZLOB의  변종으로 윈도우용 트로이 목마가 매킨토시로 진화한 것이리고 밝혔습니다.

      이러한 사실을 본 때 앞으로는 윈도우 운영체제 뿐만 아니라 매킨토시 운영체제에서도 바이러스에 대한 다양한 연구와 이를 방어하기 위한 보안 프로그램 개발이 진행될 것으로 생각됩니다.

      물론 기존의 보안 벤더에서는 매킨토시용 안티 바이러스 제품을 개발 중이거나 판매 중인 곳도 있습니다만, 이제 올것이 온것이라~는 느낌을 지울 수가 없습니다.


      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        최근의 안티 바이러스의 추세는 무료 그리고 통합의 방향으로 진행되고 있는데, 중국의 판다 소프트웨어에서 웹 페이지 및 블로그 전용 온라인 바이러스 스캐너를 출시하였습니다.

        이 제품은 나노스캔(NanoScan)이라는 이름으로 불리우며, 블로그를 방문하는 사람은 누구나 무료로 바이러스를 검사할 수 있게 됩니다.

        그리고, 블로그에서 구글 광고를 삽입하는 것과 같이 아주 손쉬운 방법으로 블로그에 이 기능을 추가할 수 있습니다.  해당 웹페이지: http://www.infectedornot.com/gadgets/infex/webmasters/

        조그만 빨간색 사격형은 Infex(Infection Index, 감염 지수)는 검사한 모든 PC 가운데 바이러스, 스파이웨어, 트로이목마 등에 감염된 PC의 백분율을 의미합니다. 지금 보니, 바이러스 백신이 있느 상태에서 14%의 감염율을 보이고 있습니다.
        사용자 삽입 이미지

        또한, 나노스캔은 다양한 프로그램과 연계하여 사용할 수 있으며, 예를 들어 구글에서는 개인화 홈페이지(Personalized homes)라는 기능을 제공합니다. 이러한 서비스를 제공하는 웹 서비스는 구글, 윈도우 라이브, netvibes, PageLakes, yourminis, My Yahoo! 등이 있습니다. 
        사용자 삽입 이미지
        여기서 클릭하게 되면 아래와 같이 실제 홈페이지로 이동하게 됩니다.
        해당 웹 페이지: http://www.infectedornot.com/
        사용자 삽입 이미지

        그리고, 구글, 윈도우 라이브,netvibes, PageLakers에서는 온라인 스캐너인 나노스캔을 넣어 사용할 수 있습니다. 나노스캔 홈페이지를 이동하여 직접 검사할 수도 있습니다. http://www.nanoscan.com

        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          오락실 세대의 사용자라면 보글보글, 갤러그, 슈퍼 마리오를 아련한 추억으로 가지고 있을 것입니다. 요즘에는 MAME라고 하는 롬 에뮬레이터를 무료(!)로 사용할 수 있어 이러한 고전 게임을 PC에서 손쉽게 실행하여 재미를 맛볼 수 있습니다.

          최근 닌텐도 사의 슈퍼 마리오 게임을 빙자하는 새로운 웜 Romario-A가 출현했습니다. 이 웜은 이메일 메시지의 첨부파일을 통해 전파됩니다. 사용자가 클릭하면 게임을 실행할 수 있지만 그러는 동안에 웜에 감염되게 됩니다.
          사용자 삽입 이미지

          웜에 감염되면 다른 PC나 이동형 매체(메모리 스틱과 같이 저장소)에 감염을 시도합니다. 이 웜에 대한 자세한 정보는 http://www.sophos.com/security/analyses/w32romarioa.html 를 참고하세요.

          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus
            중국은 막대한 인구수, 경제력 등을 바탕으로 빠르게 경제 성장을 이룩해 가고 있지만, 그 폐혜도 만만치 않습니다. 최근 조사한 연구에 따르면, 전세계에서 발생하는 악성 프로그램의 약 40%가 북경에서 발원한다고 합니다.  이러한 수치는 지난 5월의 21%에 비해 놀랄만큼 증가한 것이라고 보안 벤더인 Network Box Corp의 보안 관리자인 Simon Heron이 밝혔습니다.

            또한, 중국의 북경발 스팸이 전세계에서 가장 많이 발송되고 있어 약 11%정도를 차지하고 있으며 지난 5월달에는 5%정도에 머물렀다고 합니다.

            이러한 결과를 얻기 위한 연구작업은 이 회사가 공급하고 있는 보안 장비를 사용하는 약 700 여개의 고객사에서 전송한 이벤트 로그를 분석한 결과라고 합니다.
            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus
                지금 중국은 20대 청년이 만든 컴퓨터 바이러스 때문에 커다란 혼란을 겪고 있습니다. '기도하는 판다'란 이름의 바이러스는 무려 백만 건이 넘는 개인 컴퓨터나 회사 전산망을 마구 망가뜨려 '바이러스의 왕'이라는 오명까지 얻었습니다.

               전자 우편을 받거나 메신저를 할 때 갑자기 화면에 판다의 모습이 나타납니다. 향을 들고 기도하는 귀여운 모습이지만 컴퓨터는 곧 다운되고 맙니다. 컴퓨터 바이러스에 감염된 것입니다.

              지난해 말부터 중국 전역에 퍼지기 시작한 이른바 '기도하는 판다' 바이러스는 모두 백만 건이 넘는 컴퓨터와 회사 전산망을 망가뜨렸습니다. 이 때문에 네티즌들로부터 '바이러스의 왕'이란 별명까지 얻었습니다.

              "제 컴퓨터도 감염됐는데 모든 소프트웨어가 판다 모양으로 변하더니 곧 다 망가져 버렸어요."
              이 바이러스가 더욱 치명적인 것은 인터넷 금융에 침투해 계좌번호 등 자료를 빼내기 때문입니다.

              이 바이러스를 만든 사람은 후베이성 우한에 사는 25살 이 준 씨. 컴퓨터 천재로 불렸던 이 씨는 판다 바이러스를 120명에게 팔아 우리 돈 천 2백여만 원을 벌어들였습니다.
              경찰은 이 씨와 함께 바이러스를 이용해 개인정보를 빼낸 사람 등 모두 6명을 붙잡았습니다.
              중국에서 바이러스 제조자가 적발된 것은 이번이 처음입니다.

              "반드시 처벌을 받아야 합니다. 그렇지 않으면 인터넷 세계가 갈수록 혼란스러워질 것입니다."
              이 씨는 구치소에서 뒤늦게 자신의 잘못을 깨닫고 백신 프로그램을 만들어 당국에 제공했습니다.
               
              하지만 판다 바이러스가 변종을 일으킨 '기쁨을 주는 금돼지 바이러스'가 빠르게 전파되고 있어 컴퓨터 이용자들은 또다시 바짝 긴장하고 있습니다.

              출처: YTN 연합 뉴스
              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus
                발렌타이 데이 인사말이 들어 있는 이메일을 조심하라. 시스템이 마비될 수 있기 때문이다.

                지난 2월 14일 이메일 수신함을 통해 최소 2건 이상의 낭만적인 제목의 보안 공격이 들어올 것이라고 연구자들은 경고했다.

                아메리칸 그리팅(American Greetings)에서 보낸 전자 카드처럼 보이는 한 보안 공격은 제목에 "행복한 발렌타인 데이를 보내세요!"(Happy Valentine's Day!"라는 문구를 넣었다.

                하지만, 수신인이 메시지를 클릭하여 "카드"를 열면, 트로이 목마 바이러스가 몰래 들어와 컴퓨터를 스팸봇(spambot), 즉 좀비 시스템으로 만들어 버린다고 시큐어 컴퓨팅(Secure Computing)의 연구자인 드미트리 알페로비치(Dmitri Alperovitch)는 말했다.
                사용자 삽입 이미지


                발렌타인 데이 바이러스

                지난 2월 14일 컴퓨터를 감염시킨 악의적인 새로운 대규모 이메일의 제목란에는 다음 내용이 들어 있다. "아메리칸 그리팅에서 e-카드를 보내드립니다. 행복한 발렌타인 데이가 되시기 바랍니다!" 이 메일은 메시지 내부에 수신인이 디지털 발렌타인 데이 카드를 여는 것을 허용하는 것처럼 보이는 링크가 들어 있다. 하지만, 이 링크는 시스템을 장악하여 스팸 메일을 보내거나 다른 컴퓨터를 공격하는데 이용되는 좀비로 만들어 버리는 악의적인 소프트웨어를 다운로드하는 링크이다.

                감염된 이메일이 몇 백만 통이나 발견되면서 이 바이러스는 즉시 발렌타인 데이의 5대 보안 위협 중 하나가 되었다고 알페로비치는 말했다. 하지만, 장기적인 위협이 될 것 같지는 않다.

                또 하나의 보안 위협은 웜 바이러스가 포함된 이메일 첨부 파일이다. 이 첨부 파일을 열면 수신인의 컴퓨터에 저장된 이메일 주소로 자신을 다시 전송한다.

                소포스(Sophos)의 보안 전문가들에 의하면, 이 메일은 시스템을 장악하여 좀비로 만들어 버리도록 고안된 악의적인 코드를 다운로드하려고 시도할 수 있다.

                이 공격에서 사용되는 이메일 제목은 "나의 발렌타인이 되어 주세요."(Be My Valentine)에서부터 "행복한 발렌타인 데이가 되시길"(Happy Valentine's Day)나 "발렌타인 러브 송"(Valentine Love Song)에 이르기까지 매우 다양하다.

                이 웜 바이러스는 지난 2월 14일 아침에 소포스의 바이러스 모니터링 네트워크에 등록된 모든 악의적인 소프트웨어의 4분의 3 이상이었다고 이 회사는 말했다.

                두 가지 이메일은 모두 마이크로소프트(MS)의 새로운 비스타 운영 체제를 포함하여 윈도우 시스템에 영향을 준다고 보안 전문가들은 말했다.

                웹 보안 서비스 회사인 스캔세이프(ScanSafe)는 지난주부터 주말까지 웹 검색에서 나온 표본을 보면, 48회 검색 중 하나는 발렌타인과 관련이 있었고, 그 중에서 7개 중 하나는 악의적인 소프트웨어였다고 말했다.

                악의적인 공격자들과 스팸 메일 발송자들은 종종 휴일, 유명한 스캔들, 그리고 전 세계적인 사건을 공격 시기로 이용한다. 시큐어 컴퓨팅의 알페로비치는 많은 사람들이 특히 발렌타인 데이에 가짜 카드를 쉽게 열어 본다고 말했다.

                최초의 널리 배포된 인터넷 바이러스 중 하나인 2000년의 "사랑해"(I Love You) 바이러스도 사랑을 이용하면 사기에 대한 저항력이 약해진다는 점을 이용했다.

                컴퓨터 소유자들은 공격을 걸러내도록 고안된 최신판 안티 바이러스 소프트웨어를 사용해야 한다. 하지만, 가장 안전한 컴퓨팅 사용 방법은 아무리 사랑이 그리워도 알지 못하는 발신인이 보낸 의심스러운 이메일이나 메시지는 그냥 삭제하는 것이라고 전문가들은 말한다

                출처: ZDNet Korea
                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus


                  Web Analytics Blogs Directory