조용히 넘어가는 주제(?)인 듯 하지만 일단 레이더에 잡혔으므로 간단히 포스팅하고 넘어 갑니다.
안철수 연구소의 V3 Pro 2004 제품과 V3 인터넷 시큐리티 2007 제품에서 DOS(서비스 거부 공격) 취약점이 있었습니다.
이 취약점은 외부에서 시스템을 액세스할 수 있는 것으로 어느 정도 위험하였다고 합니다.
이 취약점은 V3 엔진에서 ZIP 압축 파일의 파일 이름 길이를 처리할 때에 입력값을 제대로 검사하지 않아 발생합니다. 이 부분을 덮어쓰기하여 공격자는 조작한 코드로 익스플로잇할 수 있으며, 제한적이지만 0바이트로 된 ZIP 압축파일을 통해 메모리까지 오염시킬 수 있습니다.
현재 해결책은 이미 나온 상태로 V3 엔진 2007.11.08.00 이후 버전에서는 안전합니다. 가급적 스마트 업데이트(Smart Update)를 사용하여 업데이트하시기 바랍니다.
일련의 보안 자료를 보면, 해가 가면 갈수록 바이러스, 웜 등의 악성 프로그램의 발생 건수가 기하급수적으로 증가하고 있습니다.
일반적으로 안티 바이러스 제품은 서명(시그내처) 기반의 진단 기술을 사용하기 때문에 바이러스가 발견된 이후에 그에 대한 데이터베이스가 업데이트되는 형편입니다. 물론, 일부 안티 바이러스 제품은 사전 방역, 휴리스틱 진단 기법을 통해 아직 발견되지 않은 악성 프로그램을 미리 예방할 수도 있습니다. 하지만, 장점이 있으면 단점이 있는 법! 오진의 가능성이 서명 기반의 안티 바이러스 제품보다 높다는 단점이 존재합니다.
우스갯소리로 안티바이러스 분석팀은 일년내내 일을 해도 다 못한다는 말이 있습니다. 그만큼 갈수록 업무가 증대되고 있으며 사람이 수작업으로 진행한다면 처리할 수 있는 일에는 보나마나 한계가 있을 수 밖에 없습니다. 최근 보안 벤더들은 자동으로 처리할 수 있는 가상화 기술/소프트웨어를 도입하여 사용합니다.
악성 프로그램 제작자들은 새로운 악성 프로그램을 탄생(!)시키기 보다는 기존의 악성 프로그램을 변형하는 방법을 주로 취합니다. 물론 작성자는 자신의 코드를 충분히 이해할 수 있다는 가정을 한다면, 변종(Variant)을 떡 주므르듯이 마구 만들어서 널리 감염시킬 수 있을 것입니다.
최근 외국의 유명한 보안 전문가는 최근 안티 바이러스 제품의 허를 찌르는 글을 하나 게재했습니다.
서명 기반의 바이러스 백신 제품의 기술로는 바이러스로 검출되는 코드(이하 스크립트와 동일함)는 동일한 패턴이 나타나면 거의 100% 진단할 수 있는 기술을 보유하고 있습니다.
여기서 언급하는 스크립트는 인터넷 익스플로러에서 동작하는 악성 프로그램을 말합니다.
하지만, 코드의 일부분에 공백이나 숫자등을 채우는 이른바 패딩(padding) 기법으로 변조할 경우에는 제대로 바이러스 여부를 진단할 수 없다고 합니다.
이렇게 채우는 값을 최대 255 바이트까지 늘릴 경우에는 거의 대부분의 바이러스 백신에서 제대로 진단하지 못한다는 테스트 결과도 나온 적이 있습니다.
상식적으로 생각해 봐도, 악성 프로그램의 변종을 만들어 내는 것은 스페이스 바~ 누르는 것처럼 아주 쉽겠죠?
아래 그림은 악성 스크립트를 vi 편집기로 본 화면입니다.
그리고, 헥사 덤프(16진수로 보여주는)로 본 화면입니다. 중간에 0x00 값을 많이 채워넣었습니다.
이러한 방식으로 코드를 변조한 상태에서 바이러스토탈(http://www.virustotal.com)에서 진단한 결과를 보면 32개 제품 중에 15개 제품만이 악성 프로그램으로 진단하였다는 결과가 나온 적이 있습니다.
한 편, 스크립트에서 의미없는 0으로 채워진 값을 제거한 상태에서는 32 제품 중에 25개 제품이 진단에 성공하였습니다.
마이크로소프트의 관계자에 따르면 이러한 공백 처리 부분은 인터넷 익스플로러의 구조적인 설계에 기인한다고 수년 전에 발표한 적이 있습니다. 하지만, 구조적인 설계가 잘못된 경우라고 한다면 IE7이 나오면서 이러한 문제를 보완하는 새로운 설계가 나와야 하는 것은 아닐까요?
참고로 이러한 문제점에 대항하기 위해 맥아피의 바이러스 스캔(VirusScan) 제품에서는 스크립트스캔(ScriptScan)이라는 전용 모듈을 추가하여 이러한 문제점에도 불구하고 충분히 진단이 가능한 기술을 추가한 상태입니다. 아래 동영상 참조하세요.
결론을 간단히 추려보면 다음과 같습니다. 컴퓨터에 바이러스 백신을 믿고 백업과 같은 진짜 중요한 과정을 생략하면 언젠가 키보드를 치고 후회할 날이 생깁니다. 따라서, 몇 가지 조언을 드리면서 말씀을 줄일까 합니다.
윈도우 업데이트에 항상 신경 씁니다. - 매달 2번째 주 화요일입니다.
믿을만한 안티스파이웨어 제품을 설치하여 이 또한 주기적으로 검사합니다.
쓸데 없는 사이트(예를 들면, 성인 사이트, 와레즈 사이트)는 가급적 방문하지 않습니다.
P2P 프로그램은 꼭 필요한 경우가 아니면 사용하지 않는 것이 좋습니다.
가장 중요한 것은 바로 백업입니다. 중요한 데이터는 CD/DVD 등에 별도로 저장하는 것이 좋습니다. 하지만 가장 귀찮은 작업이기도 하지요.
V3로 유명한 안철수 연구소에서 지난 5월부터 본격적인 서비스를 제공하는 빛자루는 '인터넷 통합 보안 솔루션'이다.
V3에서는 바이러스, 웜 등을 처리하고, 스파이제로에서는 스파이웨어, 악성코드 등을 진단하여 치료한다. 두 프로그램은 별개로 동작한다. 한편, 안철수 연구소가 개발한 인터넷 시큐리티 제품(V3 IS)에서는 바이러스, 웜, 악성코드, 방화벽 기능까지 복합적으로 제공한다. 한가지 재미있는 사실은 국내에서 악성코드로 분류할 수 밖에 없는 이상한(!) 프로그램을 사용자의 투표에 따라 그레이웨어로 간주할 수 있다는 점이다.
또한, 빛자루는 이러한 서비스를 온라인화한 것으로 외국의 바이러스 벤더인 마이크로소프트의 라이브원케어, 시만텍의 노턴360과 겨룰 수 있는 제품이다.
빛자루 서비스를 이용하려면 웹 페이지를 방문하여 먼저 사용자 계정을 만들어야 한다. 이 서비스는 일정기간 무료로 사용할 수 있는 쉐어웨어 형태를 가지고 있다. 하지만, 날짜가 지나더라도 서비스가 중지되지 않고 다만 일부 기능(업데이트를 직접해야 하는 불편함)의 제한만 있다. 사용자가 조금만 관심을 가지고 사용한다면 무료로 좋은 프로그램을 꾸준히 이용할 수 있다는 뜻이다.
참! 정식으로 구매하는 경우에는 동시에 3대를 사용할 수 있다. 요즘 가정에서는 보통 1대 이상의 컴퓨터를 가지고 있는데 하나의 가격으로 모두 사용할 수 있다는 메리트가 있다.
빛자루의 설치과정은 아주 평이하므로 별도로 설명하지 않고 빛자루의 기능에 대해 간단히 소개한다. 이 자료는 홈페이지에서 본 정보이다.
V3를 통한 바이러스/웜의 진단 및 치료
레지스트리 등의 컴퓨터에 관련한 다양한 옵션 튜닝
안티 피싱 기능
개인용 방화벽 기능 제공
아웃룩과 같은 메일 클라이언트에서 송수신하는 메일의 바이러스, 스팸 여부 진단 처리
그레이웨어(Greyware) 진단 치료(사용자의 투표에 따라 결정)
최신 엔진 업데이트(무료 사용자는 수동)
빛자루를 사용해 보면, 일단 사용자 인터페이스가 아주 간편하고 친숙하다. 심지어 초등학생까지도 컴퓨터를 조그만 알고 있으면 충분히 다룰 수 있을 정도이다.
하지만, 단점 하나, 둘 발견!
실제 빛자루를 설치하고 삭제하는 과정을 반복해 보면, 한 방에 제대로 삭제가 되지 않는다. 즉, 통합 설치가 된다면 반대로 통합 삭제가 지원이 되어야 하는데 이부분이 약간 미진하다. 예를 들어, 카스퍼스키 인터넷 시큐리티 제품을 사용하다 삭제해 보면 어떤 것을 삭제할지, 사용자 데이터는 남겨 둘지 다양하게 설정이 가능하다. 이런 부분을 좀더 보완해야 할 거 같다.
그리고, 설치 제거후 재설치를 하더라도 윈도우 보안 센터에서는 백신이 설치되어 있지 않다는 오류가 계속나타난다. 아래 그림에서 보면, 가장 왼쪽 아이콘이 바로 빛자루, 맨 오른쪽이 경고! 무언가 레지스트리에서 오류가 발생하는 거 같다.
마이크로소프트가 드디어 FCS 출시를 선언한 것으로 보입니다. 예전 아주 옛날 도스가 판치던 시절, 마이크로소포트는 노턴 안티 바이러스를 번들로 하여 OS에서 보안 제품을 제공하기 시작한데 이어, 드디어 기업형 보안 솔루션 시장에 '출사표'를 내게 된 것입니다. 누가 시장을 선점할까요?
안철수연구소.시만텍과 '3파전'
한국마이크로소프트(MS)가 바이러스 스파이웨어 등을 잡아내는 기업용 통합보안제품을 내놓았다.
안철수연구소의 'V3 인터넷 시큐리티'와 비슷한 제품이다.
세계 최대 정보보호 업체인 미국 시만텍의 한국 법인도 최근 '노턴360'이란 제품을 공급하기 시작했다.
이에 따라 통합보안제품 경쟁이 3파전으로 확대됐다.
한국MS가 내놓은 기업용 통합보안제품의 이름은 '포어프론트'.신문 광고에서는 '포어프론트 하나면 복잡한 시스템 보안문제가 모두 해결된다'고 소개했다.
조원영 한국MS 이사는 "MS가 클라이언트(사용자)용 보안제품을 내놓은 것은 처음"이라며 "포어프론트는 기능에서 V3를 대체할 수 있다"고 말했다.
포어프론트는 △서버 △네트워크 에지(서로 다른 네트워크 관리영역의 경계선) △클라이언트 등 세 부분에서 작용한다.
이 가운데 서버용과 네트워크 에지용은 기존 기능을 업그레이드한 것이다.
주목받는 부분은 안티바이러스,안티스파이웨어,루트킷 방어 등 V3나 노턴360의 기능을 갖춘 '포어프론트 클라이언트 시큐리티'다.
포어프론트를 사용하려면 MS의 계정 및 접근관리 솔루션인 '액티브 디렉토리'와 연동해야 한다.
이런 점에서 V3나 노턴360과 단순비교할 수는 없다.
하지만 기업용 통합보안제품 시장을 잠식하기엔 충분하다.
포어프론트에는 안티바이러스 엔진이 13개 탑재돼 있어 사용자가 엔진을 선택해 악성코드를 진단하고 치료할 수 있다.
그동안 기업에서 여러 보안제품을 통합 관리하기는 쉽지 않았다.
안티바이러스,안티스파이웨어,방화벽,침입방지시스템(IPS) 등을 공급한 업체가 각기 다른 경우가 많아 연동에 문제가 많았다.
MS의 포어프론트는 바로 이 문제를 해결한 제품이다.
한국MS의 보안시장 진출에 대해 안철수연구소는 그다지 괘념하지 않는다는 반응을 보이고 있다.
MS 제품은 액티브 디렉토리와 연동해야 하기 때문에 불편하다는 게 첫 번째,종래 MS가 출시한 보안제품군과 크게 다르지 않다는 게 두 번째 이유다.
시만텍의 입장은 다르다.
시만텍은 MS가 새 컴퓨터 운영체제(OS) '윈도비스타'에 안티스파이웨어 '윈도디펜더'등 보안제품을 탑재한 것을 두고 유럽연합(EU)에 불공정행위라며 제소한 적이 있다.
MS의 클라이언트 보안시장 진출이 달가울 리 없다.
한국MS는 정보보호 시장을 공략하기 위해 비전파워 시큐아이닷컴 등 전문업체들과 제휴를 맺었다.
그러나 본격적으로 정보보호 시장에 뛰어드는 것은 아니라고 주장했다.
조 이사는 "통합보안제품을 내놓은 것은 MS의 OS나 서버를 쓰는 기업고객들한테 보다 안전한 컴퓨팅 환경을 제공하기 위해서다"고 말했다.
드디어 우리나라의 기대주 안철수 연구소에서 '사전' 사업에 진출하기로 했다는 소식입니다. 젠장~. 이제서야 사전 사업을 하다니..
안철수연구소, 악성 코드 사전 방역 기술 특허 획득
(서울=뉴스와이어) 2007년02월28일-- 국내 최대 정보보안 기업인
안철수연구소(대표 오석주 www.ahnlab.com)는 28일 '악성 코드 차단 방법 및 장치 및 그 시스템’(출원번호
10-2005-53526) 기술로 특허를 획득했다고 발표했다.
이 특허 기술은 악성 코드 발생 후 치료 엔진이 개발되기 전까지 컴퓨터의 피해를 최소화하기 위해 악성 코드의 침입이나 컴퓨터 내
활동을 차단하기 위한 것이다. 이는 ‘아웃브레이크 매니지먼트 서비스(Outbreak Management Services)’에
적용된 기술로 안철수연구소의 중앙관리 솔루션인 ‘폴리시센터(AhnLab Policy Center)’와 연동돼 사전 방역 기능을
수행한다. 안철수연구소는 이번 특허 획득으로 악성 코드 같은 보안 위협의 사후 대응은 물론 사전 예방에 대한 세계적 기술력을
인정받게 됐다.
새로운 악성 코드가 발견되면, 이를 치료할 수 있는 엔진이 개발되기까지 일정 시간이 소요된다. 인터넷과 네트워크 환경의 발전으로
악성 코드 유포 속도는 더욱 빨라지고 있어 신속한 대응의 필요성이 더 커지는 상황이다. 이러한 상황에서 피해 규모를 최소화하기
위해 악성 코드 발견 시점과 보안 솔루션의 엔진이 개발, 제공되는 시점까지 악성 코드의 전파를 막을 수 있는 대책이 필요하다.
이번 특허 기술이 바로 이런 대책을 위해 개발된 것으로 예방 중심의 사전 방역 기술이다. 악성 코드의 유포 과정에서 발견되는
특이한 활동 패턴이 수집되는 시점과 거의 동시에 활동 패턴에 따른 차단 정책이 생성 및 적용되어 아직 치료 엔진이 개발되지 않은
시점에 악성 코드에 노출된 컴퓨터가 훼손되는 것을 최소화해준다. 또한 기존 방식이 악성 코드로 의심되는 이메일을 삭제하거나 원본
이메일의 일부를 변경하는 것과 달리, 경고 메일에 원본 이메일을 첨부해 발송함으로써 원본 이메일의 원천 차단에 따른 불편함이
없는 것이 장점이다.
한편, ‘폴리시센터(AhnLab Policy Center)’는 ▶통합보안 솔루션 관리 ▶사전방역 ▶아웃브레이크 매니지먼트 등의
기능을 제공한다. 첫째, 윈도 서버용 보안 솔루션인 V3Net을 비롯해 클라이언트 PC용 보안 솔루션인 V3 IS 7.0
Platinum 등의 자동 설치와 버전 업데이트, 보안 정책 적용, 원격 제어, 상시 모니터링 등을 수행함으로써 네트워크 보안
관리의 효율을 높여준다. 둘째, 네트워크 위협 상황 발생 시 트래픽을 유발하는 PC의 네트워크 연결을 차단하거나 일정 시간
사용을 막을 수 있고, 보안이 취약한 공유 폴더를 가진 PC의 공유 해제, 네트워크 사용 제한 등의 조치를 할 수 있어 네트워크
안전을 유지해준다. 셋째, 긴급 상황이 발생했을 때 기업 네트워크 전체에 보안 정책을 자동 적용하고, 보안 솔루션의 엔진이
업데이트되기 전에 악성코드의 사전 차단 및 응급 치료를 할 수 있어 조기 대응을 할 수 있다.
안철수연구소 소개
안철수
연구소(www.ahnlab.com)는 1995년 3월 창립되어 국내 백신 전문 기업에서 글로벌 통합보안 솔루션 개발
기업(Integrated Security Solution Developer)으로 성장하고 있다. 통합보안 솔루션과 통합보안 관리
솔루션을 비롯해 안티바이러스 V3 제품군, 악성 코드 사전 방역 서비스, 보안 ASP 등 정보 네트워크 시대 최적의 보안
솔루션을 개발 공급하고 있으며 정보통신부지정 정보보호 컨설팅 전문업체로서 보안 컨설팅도 제공하고 있다. 안철수연구소는 세계적
기술력을 보유한, 국내 보안 업계에서 가장 오랜 역사와 가장 큰 규모를 가진 업체이다. 세계적으로 정보보안 시장이 형성되기
시작한 1988년부터 쌓은 안티바이러스 노하우를 기반으로 보안 분야를 개척해왔으며, 설립 이래 꾸준한 매출 성장을 보여 국내
보안 업계 선두를 유지하고 있다.
