창과 방패의 대결

창과 방패의 대결

지금도 많은 분들이 공인인증서 같은 것들을 클라우드 또는 웹 메일에다가 올려놓는 경우가 많아요. 해커는 여러분의 아이디와 패스워드를 쉽게 훔쳐갈 수 있습니다. 중요한 정보는 자신이 소지하고 계시고 인터넷에 올리지 않는 게 좋습니다.
-이병길(경찰청 사이버안전국 수사관)

1986년 4월 26일
우크라이나 체르노빌 원전 사고
1999년 4월 26일
CIH 바이러스(체르노빌 바이러스) 사건
체르노빌 원전 사고와
같은 날 모습을 드러내
세계적으로 큰 피해를 준
최악의 바이러스 중 하나
CIH 바이러스
바이러스에 대한 경각심을 높이다.
1986년 파키스탄에서 만들어진
최초의 IBM PC용 바이러스
브레인 바이러스
대한민국 최초의 백신 프로그램
V1 탄생
그러나
데이터베이스에 등록된
악성 프로그램만 퇴치할 수 있는
백신의 한계
악성 프로그램의 감염을
사전에 막을 수 없다!
국내외
수많은 기업과 기관이
속수무책으로 당한
차세대 보안 위협
APT 공격
다양한 공격 기술을 이용하여
특정 대상에
지속적이고 은밀하게 공격을 김행
중요한 정보를 지키기 힘들다.

네트워크를 지키는 최후의 보루
방화벽
방화벽의 원리
인터넷을 통해 들어오는
모든 접근 시도를 거부한 후
접근이 허락된 경우만 통과시켜
내부 네트워크 보호

사이버 보안의 시작과 끝
'사람'
네트워크 사용자의 보안의식 부재
사이버 보안의
가장 큰 허점이자 취약점
'내일의 피해자가 내가 될 수 있다'는
철저한 보안의식
아무리 강력한 창의 공격도
막는 방패가 되다.

APT 공격단계
1. 목표설정, 정보수집
2. 악성 코드 최초 감염
3. 네트워크 침입, 해킹 툴 설치
4. 네트워크 운영 권한 탈취
5. 정보유출, 시스템 파괴

악성 프로그램 설치의 두 가지 목적
1. 피해자의 컴퓨터에서 가져갈 중요한 정보가 있을 때
2. 범인이 자신의 IP주소를 세탁하기 위한 목적으로 다른 컴퓨터를 경유하려고 할 때
그렇게 다른 컴퓨터의 IP를 사용하면 수사기관은 경유된 그 컴퓨터를 용의 선상에 올리게 되어서 범죄자는 시간을 번다.

백신/악성코드/방화벽의 원리

모든 컴퓨터 프로그램은 일종의 알고리즘과 실행 원리가 존재 합니다.

물론 백신 , 악성코드 , 방화벽도 원리가 존재 한다고 할 수있는데요. 

순서 대로 설명 드리도록 하겠습니다. 

1. 악성코드 

악성코드의 범위는 사용자 및 시스템이 의도하지 않은 악성 행위를 하는 프로그램과, 

특정 프로그램에 삽입되어 사용자 및 시스템에 악영향을 끼치는 코드입니다.

예를 들어, 랜섬웨어의 원리는 암호화 프로그램이 실행과 암호화 키 입력 과정을 사용자 모르게 

하기 때문에 사용자가 의도하지 않은 암호화 과정이 일어나면서 피해를 일으킵니다.

일반적인 악성코드 & 악성 프로그램의 실행 과정에 대해 설명 드리겠습니다.

악성프로그램은 대부분 인터넷의 브라우저를 통해 사용자의 PC를 감염 시킵니다.  

웹서핑시 사용자는 이메일 확인 및 파일 다운로드, Active x 프로그램 설치 등의 로컬 시스템에 

영향을 끼치는 다양한 행위를 하게 되는데요.

이 과정을 악용하여 해커가 의도한 ( 사용자는 의도치 않는 ) 동작을 하게 하는 것이 

악성 코드 & 프로그램 입니다.

이러한 악성프로그램은 사용자의 클릭을 통한 실행을 유도하기 위해 매력적인 형태로 존재 하게 됩니다.

예를 들어 이메일 이라면 제목 : " 이번 주의 로또번호 예측 " , 웹 서핑 중 "최신 게임프로그램 무료 다운

로드"라는 링크 등 사용자의 욕구를 자극하는 단어의 문구를 이용하여 클릭을 유도합니다.

이렇게 실행된 악성 프로그램은 사용자의 브라우저의 ACTIVE X 자동실행 취약점을 이용하기도 하고

(최신의 익스플로러 및 크롬을 이용한다면 대부분 방지 할 수 있습니다.) 

PC에 다운로드 후 자동 실행 되기도 합니다.

이렇게 1차적으로 악성코드를 공격 대상의 PC에 이동  시키고 생성까지 하는 Tool을exploit kit 

또는 Dropper 라고 합니다.

다운로드 된 악성 exploit kit은 2차적으로 공격대상에 랜섬웨어 , 트로이 목마 , 

RAT(Remote Access Terminal)을 공격대상에 설치 하게 됩니다.

공격대상이 공격의 피해를 인지 하고, 악성코드 및 프로그램을 백신 등으로 삭제 해도, 

exploit kit이나 Dropper가 지속적으로 프로세스 존재 여부를 확인 하고, 

실행 되지 않을 경우 지속적으로 악성 프로그램을 실행 하기 때문에

 exploit kit , Dropper까지 모두 삭제 해야 감염 상태를 치료 한 것입니다.

2. 백신

백신이 이러한 악성코드를 탐지 하는 방식은 크게 misuse(오용) , signature(패턴)을 이용하는 

방식이 있습니다.

misuse(오용)은 프로그램의 원래 목적을 벗어난 행위를 했을 때 악성행위로 의심하여 차단 및 

삭제 하는 방식입니다. 

예를 들면 인터넷을 사용하지 않는 계산기 형식의 프로그램이 인터넷을 통해 파일 전송을 한다던가,

문서 파일이 실행되는데 시스템의 파일 자원에 접근을 시도하는, 일반적으로 사용되지 않는 행위를 

프로그램 및 파일이 수행 할 때 이를 탐지 하고 접근 요구를 차단합니다.

signature 방식은 백신회사에 접수되거나, 연구를 통해 알아낸 악성코드의 패턴 등을 

주기적으로 업데이트 하여 탐지 및 차단 하는 방식 입니다.

프로그램의 실행 시 백신에 등록되어있는 패턴의 이 감지되었을 때 해당 프로그램의 

실행을 차단하고 삭제하게 됩니다.

OS 는 일반적으로 시스템 영역과, 사용자 영역으로 프로세스의 실행단위가 나뉘게 되는데요.

백신은 시스템 영역에서 실행되며, 시스템 전반적으로 실행 되는 모든 프로그램의 실행에 대해 감시하고

PC로 다운로드 되는 파일에 대하여 점검을 하게 됩니다.

이렇기 때문에 백신은 실시간 감시 형태로 운영되어야 높은 효과를 기대 할 수 있습니다.

만약, 2개의 백신을 동시에 실행 시키게 된다면 더 안전 할 수는 있으나, 그 효용성이 크지 않고

프로세스에 대한 간섭이 심해져서 시스템의 성능에 영향을 끼칠 수도 있으니, 

사용자의 현명한 선택이 필요합니다.

3. 방화벽

마지막으로 방화벽의 작동 원리는

방화벽은 대체로 인터넷의 통로로 사용되는 TCP/UDP 0 ~ 65535의 포트와 

나에게 접근하는 IP , 내가 접근 하려는 IP를 기반으로 접속에 대한 허용 및 차단을 수행하는 

프로그램 입니다.

궁극적인 작동원리는 위와 같고, 설정 방법은 제조사마다 많은 차이가 있습니다.

예를 들면, 우리가 자주 이용하는 웹 포트는 80/443 , FTP (파일전송) 포트 21번 , 

Terminal(3389) 포트 3389 등이 있는데요.

내 PC의 웹브라우징을 못하게 하려면 [ 목적지 : any , 목적지 서비스 포트 : 80/443 , 동작 : 차단]으로

설정을 하게 되면 일반적인 웹사이트는 접근을 할 수가 없게 됩니다.

하지만 이렇게 사용하는 사용자는 거의 없겠죠.

PC의 방화벽으로 보호하기 위해서는 ICMP, FTP , Terminal 등의 원격에서 

내 PC의 존재 여부와 원격접근에 이용되는 포트를 막는 것이 가장 첫 번째 설정 입니다.

[ 출발지 : any , 목적지 서비스포트 : 21 , 3389 , icmp] 등을 차단 하면, 

외부에서의 통신시도를 1차적으로는 차단 할 수 있기 때문에 1차적인 보호로 활용 가능합니다.

마지막으로 완전한 보안 설정이란 존재 할 수가 없습니다. 

공격에 대한 방어설정을 하면, 그 방어 방법을 우회하는 또 다른 공격방식이 계속 만들어 지기 때문이죠

하지만 일반적인 PC 사용자가 악성코드 및 악성 프로그램에 감염되는 사유중의 90% 이상이

 공격자가 뿌려놓은 덫 (악성 이메일, 매력적인 다운로드 링크 , 악성 사이트)에 걸리는 경우입니다.

백신 , 방화벽 , 멀웨어 탐지기 등을 최신으로 지속 업데이트 하고

인터넷에서 안전한 브라우징을 하게 되면, 공격자의 덫에 걸릴 확률이 현저히 떨어지며

대부분의 공격 위험에 노출 되지 않게 됩니다.