[생각] 3.20 전산망 마비사태 해킹/악성코드를 바라보다.

■ 전산망 마비... 허술하고 허술하다

3.20 해킹/악성코드 사태가 흥미롭다. 서로 책임소재를 떠넘기고 우왕자왕하며 서둘러 북한을 강하게 의심하는 식으로 중국 IP 발표했다 농협 내부에서 사용하는 사설 IP로 판명되는 등 아주 엉망이다.

여전히 무슨 일만 있으면 북한을 가장 상위에 정해놓고 수사하니 이런 일이 일어나는 게 아닐까?
어떤 답을 내놓고 수사하는 행위는 어리석다고 본다. 물론 전문가들이 여러가지 경우의 수를 생각 했을거라 추측하지만 많은 사람들로부터 내부 음모설이 나오는 이유는 2011년 있었던 여전히 의심스러운 농협 해킹:농협 전산망 마비 사태 (당시 메이져 언론들이(조중동) 판명전에 북한 소행 가능성 크다는 식으로 보도) 과 선관위 디도스 공격 등이 그 이유가 아닐까 싶다.

특히 내란죄라고도 할 수 있는 국정원의 정치개입(국정원장 원세훈 지시의혹)의 무게는 다른 사건들에 비해 그 의미와 경중에서 큰 차이가 난다고 생각하는데 이런 의혹에 대한 수사보다 비교 할 수 없이 미디어가 무겁게 다루고 있는 것도 큰 이유중에 하나가 아닐까 한다.

일단 3.20 해킹/악성코드 사태는 예견 할 수 없는 일이었을까? 개인적으로 당연히 가능했다고 본다.
아마 대다수 한국의 보안전문가들도 이런 일이 벌어지는 게 그리 신기하지 않을거라 생각한다.


[2010년 03-31] 영문기사: Korea becomes world's biggest malware producer

[2012년 03-19] 20개 주요 언론사 악성코드 유포실태 살펴봤더니

[2012년 05-21]주요 방송사 홈피 악성코드 유포실태 긴급진단 

[2012년 10-26] KBS 홈페이지 악성코드 유포정황 드러나

[3.20 사이버테러] 보안예산 ‘디도스 사건’후 3배 늘렸다 다음해 삭감


해킹과 악성코드의 주범이 누구인가 백신 소프트웨어의 성능이 어떤가를 말하기 전에 보안관리가 얼마나 허술한지 그럼에도 불구하고 꾸준이 이 지경이었다는 것이다. 유명 웹사이트들의 경우 광고로 수입을 올리기 위해 무분별하게 광고를 자사의 웹사이트에 유입하고 제대로 관리를 안 해서 광고창을 통해 악성코드 유포를 방임하기도 했다고 본다. 우리나라 기업을 보면 예를 들어 디자인이나 보안에 높은 인식을 하는 듯이 보이지만 실제로 투자는 하지 않는 듯하다. 기업이 보안을 중요시한다는 건 말에 그치고 실제로는 투자를 안 하니 이런 일이 일어나는 게 그리 놀라운 일이 아니다.

ActiveX(액티브X 플러그인)의 오용 역시 문제다. 2013년에도 여전히 살아 움직이는 게 더 신기하다. ActiveX 그 자체도 문제지만 ActiveX 설치를 강요하는 한국의 강제적 구조가 컴퓨터에 대한 지식이 많이 필요없는 일반 사용자들을 Yes 맨으로 만들었다. 해커들은 악성코드를 설치하기 까지의 전략에 많이 고심하는데 한국은 무슨 복잡한 사회공학기법이 필요하지 않다. 그냥 무언가 설치하라고 나오면 당연히 그런가보다 하고 대부분 별 생각없이 설치한다 이러면 답이 없다.

Windows도 Mac OS X도 실질적으로 개인이 금전적 피해를 가장 많이 보는 경우가 Adware(애드웨어: 광고 프로그램)와 FakeAV(가짜백신: 실제 백신 소프트웨어가 아닌 백신소프트웨어처럼 위장해서 허위로 악성코드가 있다고 탐지하고 악성코드 치료를 위해 결제를 유도하는 악성프로그램) 설치에 있다. 사용자 스스로 허용과 동의하에 설치하는 것이다.

이런 경우 사용자가 허용을 하고 설치하면 설령 보안 소프트웨어가 설치되어져 있어도 무용지물이다.
특히 애드웨어의 경우는 보안회사들이 파악을 하고 있어도 사용자 선택사항으로 남겨두는 경우도 많다.
예전에 Ask toolbar의 경우 유명보안 업체중에는 ESET이 처음으로 애드웨어로 탐지했던 걸로 안다.(
Ask 툴바는 합법적인 프로그램으로 여러 업체들이 사용자 동의하에 설치를 유도하는 경우가 많다. 그 중에는 유명 보안업체들도 다수 있음. 이 프로그램을 굳이 언급한 건 이게 참 미묘한 위치에 애매한 프로그램이기 때문이다 적절한 예라는 혼자만의 생각) 그렇기에 보안업체에 따라 광고프로그램의 경우 어떤 업체는 탐지를 해도 다른 곳은 허용하기도 하고 사용자 선택에 맡기기도 한다.

Windows가 문제다 백신 소프트웨어가 문제다 개개인의 PC에 무언가 강제 설치해야한다 이러기 전에 일차적으로 기업과 정부의 무능과 무책임이 가장 크다고 할 수 있다. 개인의 PC에 백신 소프트웨어나 보안 플러그인을 덕지덕지 강제설치하는 게 과연 일차적으로 해야 할 일인지 아니면 정부와 기업이 보안관리를 철저히 해서 악성코드 유포지로 이용되는 걸 막는 게 우선인지 너무 명확하지 않을까?
표준을 지키지 않고 관리도 허술하게 하면서 개인에게 보안의 부담을 안기고 또한 제품 선택도 자율성에 맡기지 않고 업체를 선정하고 백신프로그램을 개개인의 PC나 스마트폰에 강제설치하겠다는 정책은 그래서 굉장히 위험하고 문제가 많다.

또 하나 대한민국 국방부는 MS사에 종속되어져 있다. 한 번에 OS를 리눅스 계열로 변경한다는 건 현실적으로도 무리가 있지만 점진적으로 변경해야한다 기존에 사용하던 프로그램들 때문에 모두 버릴 수 없겠지만 일단 변경 할 수 있는 부분들은 무리를 해서라도 변경해야하지 않을까 싶다. 한국은 매번 리눅스로 전환을 생각만한다고 하지 실제적으로는 완전히 MS에 종속 된 상태.(다른 나라는 어떨까?)

■ 백신 소프트웨어

3·20 해킹/악성코드 사태에 관련 된 기사나 글을 보면 이번에 사용 된 악성코드가 1년 전에 이미 탐지되었다고 나오는데 Sophos (기사에는 미국 보안업체라지만 실은 영국 보안업체)의 글을 인용하고 있다
그런데 1년 전 탐지라고 A vs B 비교로 어떤게 더 낫다는 평가는 하지 말아야 한다. 반대의 경우도 많고 변종일 경우 오리지널 샘플이 데이터베이스에 있었다고 탐지하는 것도 아니다. 물론 국내(한국) 백신들이 뛰어난 보안 소프트웨어라고는 전혀 생각하지 않지만 말이다.

[SophosLabs] DarkSeoul: SophosLabs identifies malware used in South Korean internet attack

[McAfee Labs] South Korean Banks, Media Companies Targeted by Destructive Malware

요즘은 백신 소프트웨어로 사전방어를 100% 한다는 건 불가능한 일이다. 백신 소프트웨어는 보안을 위한 여러 도구중에 하나라고 생각하면 된다. 사용자의 보안의식과 지식이 더 중요하다. 회사 내부망일 경우 백신 소프트웨어를 사용 안 하기도 하고 사용해도 전체기능을 모두 사용 안 하기도 한다 - 요즘 나오는 백신 소프트웨어는 그 자체로 multi-layer protection(한 가지가 아닌 몇가지 방어기능 조합) 설계.
타임즈 해킹 때도 시만텍(노턴)은 제품의 여러기능 중 대부분을 Off 한 상태였다고 반박했는데 실제로 회사에 따라 오진 가능성 때문에 백신기능을 모두 사용하지 않는 경우가 많다. 시만텍 노턴은 신종 악성코드의 경우 대부분 소나(행동기반)와 클라우드 진단으로 탐지하는데 아이러니하게 이것 때문에 오진률이 높다. (개인적으로는 켜놓았어도 탐지 못 했을거라는데 한 표)

물론 완성도가 높은 소프트웨어가 좋은 건 기본이자 당연한 일이나 취약점이나 문제가 생겼을 때 얼마나 신속하게 해당 보안업체가 반응하는지가 중요하다. 특히 해외 백신들이 국내(한국) 대응에 느리다는 건 편견이다. 3.20 해킹/악성코드 사건에 이용 된 악성코드(윈도우용)는 현재 국내외 대부분의 제품에서 탐지를 하니 외산 백신 소프트웨어 사용하는 사용자도 걱정 할 필요가 없고 실제로 개인이 타겟이 아니었으니 크게 걱정 할 필요가 없다. 지금 무료로 배포되는 전용백신은 말 그대로 특정 악성코드에 대한 것만 진단/치료 하는거지 기존에 사용하는 잘 알려진 백신 소프트웨어가 있다면 업데이트만 최신으로 했으면 치료목적이 아닌 이상 굳이 전용백신을 중복 설치 할 필요가 없다.

현재 3.20 해킹/악성코드 탐지하는 백신들(윈도우):

DarkSeoulDropper
MBR wiper sample1
MBR wiper sample2
MBR wiper sample3

국내(한국) 백신 소프트웨어가 문제인건 단지 데이터베이스에 누적 된 샘플이 부족했다는 게 아니라(물론 그것도 문제이긴 하지만) 바로 이런 게 아닐까? 기본이 안 된 듯.

"장애 증상 PC에서 샘플 파일을 수집해 분석한 결과, 악성코드가 H백신 프로그램의 구성모듈 파일(파일명: othdown.exe)로 위장했다"고 밝혔다. 이 회사 K 대표는 "엔진 업데이트 서버가 해킹된 것은 아니다"라며 "이번 취약점의 대처 방안으로 othdown.exe 실행 전 파일의 무결성을 검사해 본래의 파일이 맞는 경우에만 실행하도록 보완하여 같은 사례가 재발되지 않게 조치했다"고 말했다.
[원본 링크: 사상초유 3.20 사이버 대란, 책임은 누구에게?]

국내백신으로 위장한 악성코드 파일이 설치되었다는데 무려 백신 프로그램의 구성모듈 파일 실행 전
무결성 검사를 지금까지 안 했다는 말이다 이제서야 본래의 파일이 맞는 경우에만 실행하도록 보완했다니 한마디로 보안소프트웨어가 자기보호 기능이 없다시피 하다는 말이다 여담으로 안랩을 제외하고는 대다수 업체들이 외산 백신엔진을 라이센스해서 메인 엔진으로 사용하고 있다(루마니아의 비트디펜더 엔진을 라이센스) 물론 그렇다고 원래 비트디펜더 제품과 동일한 성능을 보이는 것도 아니고 더 뛰어난 것도 아니다. 과연 어떤 원천 기술력이 얼만큼 있는 건지 잘 모르겠다.

요약을 하면 1년 전 샘플을 가지고 있다는 것만으로 비교평가는 좀 무리가 있는 듯하나 자체 기술력이 그리 뛰어난 것이 아닌 것도 사실인 듯하고 한국의 백신 소트웨어 업체들이 이번 사태의 책임에서 그리 떳떳하게 완전히 자유로울 수 있을 듯하지도 않다 그리고 백신 소프트웨어 보다 ActiveX나 퇴출하고 표준 준수와 국내(한국) 웹사이트들의 엄격한 보안관리와 투자가 있지 않으면 백신 소프트웨어로 무슨 사태를 막을 수 있다는 생각은 안 하는 게 좋다. 이번 일로 국내 보안업체들이 공포(?) 마케팅과 백신강제 설치라는 이상한 정책은 소식이라도 듣고 싶지 않은 심정이다.