보도자료|2016.07.29

정보보호 RD 기술공유 협의체 출범

'정보보호 R&D 기술공유 협의체’가 26일 한국인터넷진흥원에서 출범식을 갖았다. ETRI, KISA, NSR 등은 올해 공동 선정한 53개 기술을 우선 공개하고 매년 주요 R&D 성과에 따라 이전대상 기술 리스트를 최신화 하며, 기존에 개별적으로 진행하던 기술이전 설명회와 기술예고제를 통합 개최하기로 합의했다. 이날 출범식에서는 한국인터넷진흥원, 한국전자통신연구원, 국가보안기술연구소와 안랩, 시큐아이, SK인포섹 등 기업, 정보보호산업협회등 정보보호 분야 주요 R&D 기관과 기술 수요기관이 함께 참여해 진행되었다.  

보도자료|2016.07.25

시큐아이 차세대 침입방지 시스템 SECUI MFI V4.0 CC인증 획득

정보보호 전문기업 ㈜시큐아이(대표 석경협)는 차세대 침입방지 시스템 SECUI MFI V4.0 이 국내공통평가기준(Common Criteria)을 통과하여 EAL4 등급을 획득했다고 22일 밝혔다. 지난 2월 시큐아이가 출시한 SECUI MFI V4.0은 애플리케이션 인지, 내부 자원에 대한 상황 인지, 암호 트래픽 검사 기능을 지원하는 차세대 침입방지 시스템으로 기존의 단순 시그니처 기반의 탐지 위주의 침입방지시스템에서 발생할 수 있는 미탐 및 오탐 문제를 개선하였다. 또한 위협 정보 수집/분석/공유 시스템인 STIC(SECUI Threat Intelligence Center)와 연동하여 위협에 대한 선제적 대응을 제공하고, 장비에서 탐지된 탐지된 위협 정보에 대한 편리한 분석 서비스를 통해 고객사이트에서 발생하는 위협에 빠르게 대응할 수 있도록 지원하고 있다. ㈜시큐아이 석경협 대표이사는 “기능과 편의성이 향상된 SECUI MFI V4.0의 CC 인증 획득을 계기로 적극적인 영업활동을 펼쳐 시장 점유율을 확대 할 것이며, 지속적으로 위협에 대한 분석 및 대응 서비스를 강화하여 글로벌 수준의 사이버 위협 대응 경쟁력을 확보 할 것이다” 라고 밝혔다.  

전문가 컬럼|2016.07.15

2016년 상반기 사이버 위협

    사이버 공격, 인텔리전스 기반 방어 전략 필요 시큐아이 ‘STIC’ 통해 상반기 위협 분석 … 차세대 네트워크 보안 플랫폼과 연동해 지능적 차단 2016년 상반기는 그 어느 때보다 심각한 사이버 위협이 전개됐다. 지능화되는 공격은 안티바이러스, 방화벽, IPS 등 기존의 개별화된 보안 시스템으로 대응이 어렵다는 것을 다시 한번 확인할 수 있었다. 이제는 ‘인텔리전스(Intelligence)’ 개념을 각 보안 시스템의 아키텍처에 추가해 지능화된 방식으로 위협을 분석하고, 대응해야 한다.  시큐아이는 고도화되는 사이버 위협에 맞서기 위해 인텔리전스 기반 서비스인 STIC(SECUI Threat Intelligence Center)를 런칭했고, 차세대 통합 네트워크 보안 제품인 ‘SECUI MF2’, ‘SECUI MFI(IPS)’ 시리즈에서도 STIC 서비스를 연동하기 시작했다.  STIC에서는 시큐아이 MF2, MFI 보안 제품과 센서, 해외의 수집 채널, 보안 취약점 정보 및 악성코드 분석가 등 다양한 방법을 통해 대량의 데이터를축적할 수 있다. 그동안 축적한 데이터 중 2016년 상반기(1~6월)에서 가장 큰 보안 이슈와 악용된 취약점, 분석 정보를 소개한다. ● 랜섬웨어 전성시대  2016년 상반기 최대 사이버 위협은 ‘랜섬웨어’다. 모든 IT 네트워크/시스템/보안 관리자의 골칫거리이며 ‘공공의 적’으로 떠오른 랜섬웨어는 2016년 상반기 유포 활동이 가장 활발했고, 유포 방식 또한 고도화 됐다. STIC에서 탐지한 랜섬웨어는 5월 한달 동안만 4만건이 넘는다. 랜섬웨어로 분류된 악성코드의 월별 추이를 살펴보면 4월에 가장 활발하게 유포된 것으로 나타난다.  대표적인 랜섬웨어는 국내 대형 포털과 정부기관(korea.kr) 이메일로 유포된 록키(Locky) 랜섬웨어와 유명 인터넷 커뮤니티를 통해 유포된 크립트엑스엑스엑스(CryptXXX) 계열을 꼽을 수 있다.  록키 랜섬웨어는 기존 MS워드의 매크로 문서 파일을 통한 랜섬웨어 감염에서 진화돼 이메일로 첨부된 압축 파일을 해제하면 다운로더형 악성 자바 스크립트가(.js) 포함돼 있으며, 이 스크립트가 PC 사용자에 의해 실행되면 록키랜섬웨어를 감염시키는 구조다.      랜섬웨어 계열의 악성코드에 대해 STIC에서는 행위 기반의 동적(Dymanic) 분석 리포트를 함께 제공하는데 록키 랜섬웨어는 파일 암호화를 위한 Write 과정에서의 의심스러운 행위가 발견돼 Malware.Ransom.Locky으로 탐지했다.  한편 랜섬웨어 피해가 급증하고, 비용을 지불하더라도 파일의 복구를 원하는 피해자가 생기면서 비트코인의 거래 대행과 악성코드 제작자를 서로 중계, 흥정하는 에이전트들이 등장했다.  미국에서는 우리나라 대형 의료 그룹이 투자한 LA의 대형 병원과 볼티모어 유니언 메모리얼 병원이 랜섬웨어의 감염 피해를 입었고, 암호화된 파일 복구 비용을 해커에게 지불한 사례가 있다.  볼티모어 병원에 큰피해를 입힌 삼삼(Samsam)랜섬웨어는 제이보스 WAS 서버 취약점을 이용해 서버를 장악한 후 네트워크로 연결된 주변 PC에 악성코드를 유포하는 한층 세련된 기법을 선보이기도 했다. 랜섬웨어 제작자 중에는 자신이 운영하고 있는 C&C 서버가 해킹 당하거나(록키), 활동 중단을 선언하고 파일 복호화 마스터키를 공개한 사례도 있다(테슬라크립트). ● 계속되는 북한의 사이버테러 북한발 사이버테러는 주로 국방, 외교 안보, 방위 산업 분야, 지하철 같은 사회 인프라 시설을 중심의 타깃이 비교적 명확했다. 공격 형태로는 스피어피싱의 악성코드 이메일 유포, 워터링 홀 방식으로 나타났다.  그 중 STIC에서도 북한 킬체인에 관련된 악성코드가 수집됐고, 힙스프레잉(Heap-spraying)을 위한 스크립트를 포함하고 있어 Malware.developer016으로 탐지됐다. 악성코드 분석가의 자세한 분석 결과 최종 ‘킴수키(Kimsuky)’로 판별됐다. 북한 킬체인 킴수키 악성코드는 한글 워드프로세서(HWP)의 파라텍스트(ParaText) 취약점을 악용한다. 이는 한글 파일의 본문 텍스트 섹션(BodyText Section)에서 문단 텍스트(HWPTAG_PARA_TEXT)가 비정상적으로 크게 나타나는것이다. 2014년 한국수력원자력 사건에서 ‘Who Am I? ’로 출력되는 MBR 파괴 악성코드에서도 사용된 취약점이다. ● 금융권 타깃 국내외 사이버테러 작년 12월 베트남 티엔퐁 상업은행에 이어 올해 2월에는 방글라데시 중앙은행에 해킹 사고가 발생해 약 950억원의 도난 피해가 발생했다. 총 1200억원의 피해가 발생했으며, 250억원을 회수했다.  해킹 사고를 분석하는 중 글로벌 금융 네트워크인 스위프트(SWIFT)의 거래 메시지를 변조하는 악성코드가 발견됐으며, 국내 대형 은행인 K은행의 스위프트 코드 및 기존 북한 악성코드와 유사한 패턴이 존재해 이번 사건에 대한 국내 관심도 매우 높은 상황이다.  5월 12일에는 어나니머스(Anonymous) 해커그룹의 작전명 #OpIcarus로 한국은행에 대한 DDoS 공격이 있었다. 한국은행은 웹 서비스가 약간 느려지는 정도의 경미한 피해가 있었으며, 해외의 도미니카, 파나마, 케냐, 멕시코 중앙 은행에서는 서비스가 일시 중단되기도 했다. ● 소프트웨어 개발사를 노리는 해킹 3월 26일 국산 이미지 뷰어, 압축 프로그램으로 유명한 B소프트에서는 서버의 ARP 스푸핑 공격으로 인해 정상 설치 파일 대신 악성코드가 다운로드 되는 사고가 발생했다. 오후 2~4시까지 2시간 동안 약 200명의 사용자가 악성코드가 담긴 설치 파일을 다운로드 받았으며, 악성코드는 금융감독원을 사칭하는 파밍 형태로 분석됐다. 취약점 악용 활동 4월에 가장 많아 STIC에서는 악성코드에 대한 분석과 정보는 물론 보안 취약점에 대한 정보를 제공하고 있다. 2016년 상반기의 보안 취약점 동향을 살펴보면 평소에 비해 4월에 취약점 활동이 가장 많았던 것으로 나타났으며, 상위 30개 보안 취약점을 응용프로그램별로 분류해보면 주로 어도비 리더, 윈도우, MS 오피스, 자바에 관한 것이었다.  특이점으로 2007~2013년 사이 3년 이상 된 과거의 보안 취약점 역시 활발하게 사용되고 있었는데 이는 대량의 악성코드 유포를 위한 익스플로잇 킷의 사용과 윈도우 업데이트와 별개로 응용 프로그램들에 대한 취약점 패치 설치가 상대적으로 미흡한 환경이 주된 원인으로 분석된다.  이외에도 안드로이드 OS에서 보안 취약점 악용이 PC 만큼 이뤄지고 있으며, 젤리빈(Jelly Bean) OS에서 동작하는 CVE-2013-4787 취약점의 경우 OS 업그레이드가 지원되지 않아 취약점에 그대로 노출된 상태로 사용하고 있는 스마트폰이 상당수 있을 것으로 추정된다.  가장 많이 악용된 취약점인 CVE-2009-0927은 어도비리더에서 getIcon()의 결함으로 인해 해커의 코드 실행이 가능한 버퍼 오버 플로우 취약점이며, CVE-2010-0188은 악성 TIFF 파일을 통해 역시 어도비리더에서 AcroForm.api의 TIFFReadDirectory에서 버퍼 오버 플로우를 발생시키는 취약점이다. 세 번째로 많이 악용된 CVE-2010-2568은 이란의 핵 발전소를 공격한 스턱스넷(Stuxnet) 악성코드에서도 활용된 윈도우의 단축 아이콘(LNK) 취약점이다.     하반기에도 랜섬웨어 위협 높아 2016년 하반기 역시 공통적으로 랜섬웨어의 위협이 가장 클것으로 예상된다. 특히 많은 피해자를 만들 수 있는 대형 커뮤니티 사이트와 복구 비용을 지불할 가능성이 높은 병원을 주된 타깃으로 노릴 것이다.  병원은 실험 연구 자료 및 환자 데이터의 중요도가 매우 높고, 데이터의 정상 접근이 어려울 경우 병원 운영이 마비될 수 있다. 또한 IT 전문가가 상대적으로 적으며, 의료 업종에서 랜섬웨어 유포자에게 복호화 키 비용을 지불한 사례가 여러건 알려져 있다.  이외에도 의료 IT 시스템의 경우 서버의 재시작(Reboot) 회피 혹은 24x365의 안정적인 운영을 이유로 패치 설치를 보류하는 경향이 있다.  금융을 비롯한 사회 기반 시설을 노리는 해킹은 북한, 중국, IS 등 여러 국가에서 시도되고 있고, 어나니머스까지 가세 해 공격 기법의 고도화와 빈도 역시 심화될 것이다.  정부, 공기업, 금융, 통신, 에너지 등 다양한 분야에서 SCADA 네트워크와 시스템을 노리는 공격과 스피어 피싱을 통한 기반 시설 정보 수집이 하반기에도 활발할 것으로 보인다.  북한은 전 국민을 노리는 공격 형태에서 사회 기반 시설과 국방/통일/외교/안보 주요 인사에 대한 해킹, 원전 자료 유출과 대통령 비방 메일 등 국민의 불안감을 조성하는 사이버 심리전이라는 투 트랙 전략을 구사하고 있다.      북한의 사이버 공격에 악용될수 있는 곳으로 언론사, 소프트웨어 개발사, 사회 기반 시설에 주요 부품을 공급하는 중소 업체들로 특히 이 중소 업체에 대한 보안 실태 점검과 실질적인 보안 수준을 높일 수 있는 지원책이 꼭 필요할 것이다.  점점 고도화되는 사이버 위협에 대응하기 위해서는 개별 보안 시스템의 탐지에 의존하는 것을 탈피하고, 로그/이벤트/글로벌 트렌드 등 든 정보들을 연동해 다각적인 분석이 가능하도록 해야한다.  시큐아이의 STIC은 빅데이터와 클라우드 인프라를 토대로 연관분석, 사전 필터링 등 분석 기술을 결합해 보안 위협에 대한 다각적 분석 대응이 가능하도록 지원하며, 보안 관제팀과 IT 엔지니어를 포함한 일반 사용자까지 STIC을 통해 최신의 상세 위협 정보를 제공 받을 수 다.  이를 비롯해 차세대 통합 네트워크 보안 제품인 MF2, MFI(IPS)의 연계로 랜섬웨어를 비롯한 다양한 사이버 위협 등을 효과적으로 차단할 수 있다.  SECUI MF2·MFI와 STIC를 연동해 클라우드 기반 분석을 제공하며, 폐쇄망 환경에서도 행위 분석이 가능하도록 APT분석 장비를 제공한다. 구체적으로 ‘APT 프로파일’은 행위 기반 검사를 적용할 프로토콜을 지정할 수 있고, 휴리스틱 검사에서는 설정된 악성행위 스코어의 임계 초과시 ‘차단/탐지’ 액션을 설정할 수있다.  ‘클라우드 기반의 악성 URL 서비스’는 내부 사용자가 접속하려는 URL에 대한 확장자를 확인하고, 주기적으로 파일을 수집해 시큐아이의클라우드 분석 시스템으로 전송할 수 있는 기능이다. URL 정보 수집을 위한 동의, 악성코드 발견 시 대응 옵션을 설정할 수 있다.     시큐아이 시큐아이 R&D센터 클라우드서비스개발팀 강병수 선임연구원  

대외행사|2016.07.14

16년 국방정보보호·암호 컨퍼런스 참가

시큐아이는 지난 7일 국방컨펜션에서 진행한 '16년 국방정보보호·암호 컨퍼런스에 참가하였습니다. 국방정보보호·암호 컨퍼런스는 국내 국방 IT분야의 최대 세미나로서 매년 900명 이상의 국방부, 육/해/공군 보안 담당자들이 방문하고 있는 행사입니다. 이번 행사에서는 시큐아이 신제품인 차세대 방화벽 SECUI MF2 AE와 침입방지시스템 SECUI MFI v4.0, Anti-DDoS전용 제품인 SECUI MFD의 전시 및 기술 설명을 하였습니다. 국방 정보보안 정책관 및 담당자 400여명 이상이 당사 부스를 방문하여 관계자들의 높은 관심을 보였습니다.   - 행사명 : '16년 국방정보보호 · 암호 컨퍼런스 - 일시 : 2016년 7월 7일 - 장소 : 국방컨벤션

보도자료|2016.06.17

시큐아이, 공공 분야 대상 고객 조달 로드쇼 참가

정보보호 전문기업 ㈜시큐아이(대표 석경협)는 16일부터 조달 총판사인 아이티윈이 주관하는 공공 분야 대상 전국 5개 도시 조달 로드쇼에 참가한다고 밝혔다. 시큐아이는 이번 조달 로드쇼를 시작으로 채널 비즈니스 확대를 위한 적극적인 마케팅 활동에 나설 계획이다. 이번 로드쇼에서는 애플리케이션 인지, 암호화 트래픽 검사 기능, 시큐아이 침해대응센터와의 연동을 통한 편리한 분석 서비스를 제공하는 차세대 침입방지 시스템 SECUI MFI V4.0 제품을 소개하여 IPS 시장 공략 확대에 나설 예정이다. 시큐아이 솔루션사업부장 엄주용 상무는 "시큐아이는 앞으로도 영업 활성화를 위해 주요 파트너사와의 협업 마케팅으로 지속적인 영업지원을 펼쳐나갈 것” 이라고 밝혔다.  

전문가 컬럼|2016.05.19

스마트 가전과 정보보호

    스마트 가전, 설계·제조부터 사용까지 보안 대책 마련돼야 물리적 피해 일으키는 스마트 가전 해킹 … 보안 취약성 원천 제거해 제품 생산해야．．. 스마트 가전이 실제 가정에서 사용되면서 생활이 진화하고 있다. 스마트 가전의 예를 들어보면, 스마트폰이나 태블릿 PC에서 집안의 가전제품의 소비 전력을 체크하고, 쇼핑 중 스마트폰에서 인터넷을 통해 냉장고에 있는 본체 내부 카메라로 냉장고 안을 확인해서 필요한 것만 구매할 수 있어 불필요한 식품을 사는 것을 막을 수도 있다. 귀가 도중에는 미리 목욕을 할 수 있게 온수기를 조절해서 목욕물을 받아 둘 수도 있다.  에어컨을 원격에서 조작해 귀가 전에 스마트폰으로 설정하면 귀가 할 무렵에는 쾌적한 실내를 만들 수 있고 무심코 틀어 놓고 외출 했을 때도, 이동 중에도 에어컨 동작을 해제 할 수 있다. 또한 TV와 리코더를 인터넷에 연결하면 디지털 카메라로 찍은 사진을 전송하거나 녹화 예약을 하는 등 가전제품을 원격에서 조종할 수 있다.  아이들은 부드러운 백미를 좋아하지만, 부모는 건강에 좋은 현미를 먹고 싶다고 한다면 가족 각각의 취향에 맞는 밥짓는 방법을 스마트폰에 등록한 후 밥솥에 터치하는 것만으로 원하는 밥을 더 맛있게 먹을 수 있다. 세탁기라면 평소 사용하는 세제와 유연제를 설정하고, 전자레인지라면 레시피 중에서 잘만들어 먹는 레시피를 즐겨찾기에 등록 할 수 있다.  시장조사 기관인 IDC에 따르면, 2020년까지 전 세계 2000억개 이상의 사물이 인터넷에 연결될 것으로 예측된다. 일상생활의 모든 물건이 인터넷에 연결돼 생활이 편리하게 되겠지만, 이에 따라 위험은 증가 될 것이다. 이제는 일상 생활의 주변에 있는 인터넷에 연결된 모든 사물들이 사이버 공격을 하거나 표적이 되는 것에 주의해야 하는 시대가 왔다. 이미 현실에 나타난 스마트 가전 보안 위협 스마트 가전은 백색가전 중 인터넷에 연결된 제품을 말한다. 원래 인터넷과 연결되는 것을 전제로 한 PC와 주변기기는 포함되지 않으며, TV, 에어컨, 냉장고, 온수기, 세탁기, 밥솥 등 일반 가정에서 사용하는 가전제품을 인터넷에 연결해 더욱 똑똑하게 사용할 수 있도록 한다. 집안의 모든 가전제품을 네트워크에 연결하면 생활의 편리성이 커지고 제조업체에 있어서도 새로운 사업을 확대할 수 있으나, 한편으로는 보안위협도 증대된다. 스마트 가전제품의 위협은 PC 및 해당 인터넷 연결 시 발생하는 위협과 같을 것으로 예상된다. <표 1>은 매체 이용, 사용자조작, 가정, 넷 경유 등 원인이 되는 기능 및 장소를 기준으로 분류한 스마트 가전 제품의 보안위협 항목을 정리한 것이다. 물리적 피해 야기하는 스마트 가전 해킹 이러한 보안위협을 갖고 있는 일반 가정의 가전제품이 사이버 공격의 대상이 된다면 어떤 일이 벌어질 수 있을까? 일각에서는 스마트 가전을 통해 일어날 수 있는 사이버 침해에 대해 개인생활에 불편함을 줄뿐, 심각한 위협은 아니라고 주장하지만, 실제로는 다음과 같은 상황이 충분히 발생할 가능성이 있다. 집에서 사용하는 가전제품을 모두 스마트 가전으로 구비했는데, 어느 날 집에 돌아와 보니 여름인데 보일러가 켜 있고, 에어컨에서 열풍이 나온다. 냉장고 전원이 꺼져있고 음식이 모두 녹고 상했다. 화장실 변기 뚜껑이 열렸다 닫혔다 하며,비데가 작동하고 있다. 수신한 메일에는 시청한 텔레비전 프로그램과 시간, 특정 시간에 요리한 내용, 언제 화장실에 갔는지 정보가 기록돼 있다.  스마트 가전 해킹은 PC 해킹과 달리 물리적인 피해를 줄 수 있기 때문에 보안 위협을 과소평가할 수 없다. 가전제품 전부를 가동시켜 전기 요금을 증가시킬 수 있는 금전적인 피해를 입을 수 있으며, 전기밥솥이나 에어컨을 오작동 하게 한 후 화재를 일으킬 수 있다.    스마트 가전의 해킹은 사용자의 생활 정보가 유출될 수 있으며, 개인정보의 관점에서 결코 무시할 수 없는 문제다. 또한 카메라 기능이 탑재 된 가전이 해킹 된 경우 집안이 도촬된다는 위험성도 있을 수 있다. 스마트 가전이 해킹되면 해커에게 생활 패턴이 알려져 도난 등의 범죄에 이용되는 사례도 나올 것이다. 어떤 집의 경우 13~15시 사이에 가전이 사용되지 않는다는 데이터가 있으면 주인이 없는 빈 시간이라는 것으로 예상할 수 있으며, 빈집털이 범죄가 발생할 수 있다.대량의 스마트 가전을 해킹하고 있는 사람이 동시에 밥솥이나 난방기기 등에 전원을 넣으면 대규모 정전도 야기할 수 있다.    스마트 가전의 보안은 PC나 스마트폰 보안보다 더욱 심각한 위협이 된다. 일반 가정을 직접 겨냥한 공격이 아니라 더 깊은 공격의 발판으로 악용될 가능성도 있다.  스마트 가전 해킹 사례는 이미 국내에서도 발생했다. 2011년 3월 한국 정부 기관의 서버에 대량의 데이터를 지속적으로 보내는 DDoS 공격이 있었고, 서버가 다운되는 사이버 테러가 있었다. 공격의 출처는 세계 각지에 흩어져 있던 것이지만, ‘봇’이라는 바이러스를 감염시킨 단말기를 해커가 원격 조작하고 있었다. 정부 기관의 서버에 데이터를 일제히 보내 서버를 다운시킨 것으로 보이지만, 바이러스에 감염된 단말기에는 편의점 방범 카메라도 있었던 것으로 알려진다.  프루프포인트(Proofpoint)에서는 10만 이상의 가정용 기기가 피해를 당해 75만 통 이상의 스팸 메일을 보낸 사고를 보고한 바 있으며, 이는 PC와 스마트폰이 아닌 인터넷에 연결된 TV나 냉장고 등 스마트 가전이 해킹의 발판이 된 첫 사례로 주목을 받았다. 이 사고는 스마트 가전이 어떤 식으로든 해킹되거나 바이러스에 감염돼 외부를 공격하는 디지털 무기가 된것을 보여준다.  개인 정보 도용과 기업 시스템에 침입을 하고 있는 사이버 범죄자들은 보안이 불충분한 스마트 가전이 PC 나 태블릿보다 쉽게 해킹되는 가능성이 있으며 사물인터넷(IoT)이 ‘사물봇(Things of Bots)’로 바뀌기 시작하면 심각한 위협으로 번질 수 있다. AV 없는 스마트 가전, PC 보안위협 수준 능가  기존의 가전 제품과 스마트 가전의 차이는 다음과 같다. • 기존의 가전 제품: 임베디드 시스템 용 OS ‘브이엑스웍스(VxWorks)’나 ‘ITRON’ 사용 • 스마트 가전 제품: 스마트 가전은 네트워크에 연결되기 때문에 MS 윈도우나 오픈소스 리눅스 등 PC와 동일한 OS 사용 임베디드 시스템 용 OS는 산업 기기나 가전 제품에 내장 된 마이크로 컴퓨터를 제어 할 수 있는 OS다. PC용 OS와 달리 응답 시간이 일정 범위 내에 있는 것을 보증하는 높은 실시간 성이나 적은 메모리에서 동작해야 한다.  스마트 가전은 범용 OS의 취약점을 노린 악성 코드의 수는 압도적으로 많기 때문에, 스마트 가전에 OS를 탑재하는 것은 PC와 동일한 보안 위험에 노출된다. 그러나 스마트 가전은 안티바이러스와 같은 보호 기능이 없기 때문에 무방비 상태라고 볼 수 있다. • 멀웨어 또는 바이러스 감염: 스마트 가전이 악성코드에 감염돼 75만통 이상의 스팸 메일이 발송된다는 사례가 있다.   또한 인터넷에 연결돼있는 한 바이러스 감염 위험도 있다. • 해킹, 원격 조작: 스마트 가전은 외부에서 원격 조작이 가능하다는 것을 알 수 있다. 지금은 큰 사건이 된 사례가 없지만   충분한 가능성이 있다고 말할 수 있다. • 생활정보의 유출: 개인의 생활패턴을 알 수 있는 즐겨보는 TV프로그램의 내용, 내가 좋아하는 요리법, 화장실 출입정보,   좋아하는 음식, 전자제품 사용하는 시간 등의 정보가 유출됨으로써 범죄자의 대상이 될 수 있다. • 사생활 노출: 스마트 가전 제품이 마이크나 카메라 등을 내장하고 있기 때문에 해킹을 당하면 목욕을 마치고 나온 장면이나   가족끼리 나눈 대화 등의 사생활이 노출될 수있다. 제조사·사용자 보안 정책 준수 필수 위에서 살펴본 스마트가전의 보안위험을 줄이기 위해서는 스마트 가전 제품을 만드는 제조업제, 및 제품을 사용하는 사용자의 대응이 필요하다.      제조업체의 경우, 스마트 가전 제품이 판매되고 난 후 취약성이 발견되면 대응하기 어렵다. 이미 판매된 제품에 대한 소스코드 수정과 테스트, 제품에 대한 패치 등이 일괄적으로 진행되는 것이 어렵다. 또한 일반 사용자에게 패치 업데이트를 요구해야 하며, 제품에 대한 대대적인 리콜이 발생해 막대한 비용 손실과 기업 이미지 하락으로 인한 피해를 입을 수 있다. 스마트 가전 제품의 취약성을 줄이기 위해서는 제품 개발라이프 사이클 각각의 공정에서 취약성을 검출할 수 있는 대책을 마련해야 한다. • 제품 개발 라이프 사이클 전체에서의 보안 대책: 제품 개발 라이프 사이클 전체에 적용할 수 있는 단계별 보안활동을 식별하고 정의해 각 단계별 보안 요건을 정의한다. • 설계 공정에서 보안 대책: 제품에 사용되는 OS, 라이브러리, 오픈소스 선정 시 취약성 정보를 파악하는 것이 중요하다. 취약성 데이터베이스를 검색해 지금까지 발견된 취약성에 대한 정보를 수집한다. • 구현 공정에서의 보안 대책: 시큐어 프로그래밍 및 소스코드 보안검사를 실시한다. 소프트웨어를 개발하는 프로그래머에게 시큐어 프로그래밍 교육을 실시하고 소스코드에 취약성이 존재하는지 여부를 소스코드 보안 검사 도구를 활용해 검사한다. • 테스트 공정에서의 보안 대책: 테스트 공정은 취약성을 검출하고 제품 출하 전에 취약점을 검출할 수 있는 마지막공정이며, 제품의 품질을 보증하는데 가장 중요한 공정이다. 테스트 공정에서 제품에 구현되는 모든 기능에 취약점분석을 위한 퍼징을 활용하는 것이 좋다. 퍼징이란 비정상적인 데이터를 애플리케이션에 전달해 에러를 유도하는 방법이다. 스마트 가전이 인터넷에 접속돼 외부에서 제어하는 편리성과 더불어 보안 상의 취약점에 대한 외부의 공격이나 정보의 노출 등의 위협이 증가하고 있어 스마트 가전 보안에 대한 과제 및 해결의 방향을 정리하면 <표 3>과 같다. 스마트 가전의 위험은 지금까지 많은 사례가 나와 있지 않지만 제조업체는 모든 가능성을 생각해 위험을 파악해야 한다. - 정보보호와 사생활 노출 방지를 위한 제품 기획 및 설계 - 안전한 소프트웨어 및 하드웨어 개발 기술 적용 및 검증 - 안전한 초기 보안 설정 방안 제공 - 보안 프로토콜 준수 및 안전한 파라미터 설정 - 제품의 취약점 보안패치 및 업데이트 - 침해사고 시 대응체계 마련  사용자가 할 수 있는 조치는 제품 설명서에 따라 기능을 설정하고, 가정에서 사용하는 무선공유기의 보안 설정을 하는것이다. 또한 스마트 가전제품을 인터넷에 연결하는 것은 편리성을 얻는 대신 위험을 안고 있다는 것을 알고 있어야 한다. • 무선공유기의 보안기능 설정: 무선공유기 사용 시 암호화/인증 등 보안기능을 설정하지 않으면 외부인이 무단으로무선랜을 사용할 수  있으며, 개인정보 유출, 네트워크 접근경로 제공 등 해킹에 악용될 수 있다. • 무선공유기 인증 정보 관리 철저: 무선공유기에 설치된 초기패스워드는 공개돼 있어 타인이 쉽게 접속할 수 있으므로 변경 후 사용해야  하며, 패스워드는 주기적으로 숫자/문자/특수문자 8자리이상으로 설정하고 주기적으로 변경해야 한다. • 제공자가 불분명한 무선랜 이용하지 않기: 개인정보 유출 등 악의적인 목적으로 설치한 무선공유기는 이용하지 않는다. • 무선공유기의 SSID를 변경하고 숨김 기능 설정: SSID(Service Set Identification)를 숨김 기능을 설정해서 외부인이 해당 무선랜의 존재 여부를 알 수 없게 해서 해킹 및 정보유출을 방지해야 한다. 시큐아이 솔루션사업부 보안컨설팅팀 전성훈 부장  

대외행사|2016.04.12

제21회 Healthcare Kea Fum Conference 참가

시큐아이는 4월 5일과 7일에 걸쳐 각각 광주와 서울에서 제21회 Healthcare Korea Forum Conference"에 참가하였습니다. 헬스케어코리아포럼은 지난 2006년부터 연 2회에 걸쳐 국내 최대 규모의 의료 IT 세미나를 개최하고 있습니다. 의료IT기업 연합체인 'Healthcare Korea Forum'의 보안업체 참여가 두드러졌던 이번 행사에서, 시큐아이 신제품인 차세대 방화벽 SECUI MF2 AE와 침입방지시스템 SECUI MFI v4.0의 제품소개를 하였습니다. 당사는 솔루션사업부 유태영 과장의 신제품 SECUI MF2 AE 소개와 사용자 기반의 차세대 방화벽 활용 방법의 주제로 세션 발표를하여 참관객들의 이목을 집중시켰습니다.   - 행사명 : 제21회 Healthcare Korea Forum Conference - 일시 : 2016년 4월 5일(화) - 광주 / 4월 7일(목) - 서울 - 장소 : 김대중 컨벤션센터 2F / 서울 엘타워(그랜드홀 7F)

전문가 컬럼|2016.04.08

클라우드 기반 위협 인텔리전스 서비스로 지능형 공격 대응

  2010년 이후로 악성코드의 수가 급격히 증가하면서 기존 악성코드 탐지 기술이 한계를 드러내게 됐으며, 클라우드 컴퓨팅 기술이 악성코드 탐지의 새로운 해법을 제시하게 됐다.클라우드 컴퓨팅은 보안업체의 연구, 분석, 서버와 다수의 시스템을 네트워크로 연결해 정보를 실시간으로 주고 받기 위해 활용되고 있다. 이러한 보안기술을 적용해 방대한 데이터를 수집하고 통합적으로 분석해 ‘알려진 위협’과 ‘알려지지 않은 위협’에 대응하는 ‘위협 인텔리전스(Threat Intelligence)’가 부상하고 있다. ‘악성코드 분석’ 패러다임의 변화 가트너는 위협 인텔리전스를 다음과 같이 정의한다. “현재 존재하거나 발생이 임박한 위협에 대한 증거 기반의 지식이며, 위협 대응에 관한 결정사항을 알려줄 수 있어야 한다.(2013)”  가트너 정의를 세밀하게 살펴보면, 첫째 ‘현재 또는 임박한 위협’은 알려진 위협과 알려지지 위협을 탐지하는 것으로 분류해 살펴볼 수 있다. 알려진 위협은 방화벽, IPS , 안티바이러스 등 기존 보안장비도 탐지, 차단, 치료가 가능하다. 알려지지 않은 신종 위협정보를 탐지하는 것이 더 중요하며 이를 수집, 분석하는 것이 위협 인텔리전스의 핵심이라고 할 수 있다.  또 다른 요건으로 꼽히는 ‘증거 기반의 지식’은 탐지된 악성코드가 구체적으로 어떤 행위를 하는지 알 수 있어야 한다는 것이다. 대부분 안티바이러스는 탐지명, 악성여부만 알려주지만, 실제 지능형 위협 탐지를 위해서는 악성으로 판명된 코드가 수행한 어떤 행위가 악성인지 상세분석내용을 증거로 제시할 수 있어야 한다.  ‘위협 대응 의사결정 지원’은 탐지된 위협에 대한 대응방법을 알려주는 것을 말한다. 각종 사이트에서 글로벌 위협정보를 목록화, 시각화해 보여 주는 곳은 많지만 그 위협이 해당 조직에 실제로 피해를 입힐 것인지, 피해의 정도와 규모, 그리고 그 위협에 어떻게 대응해야 하는지 가이드와 적용방법을 제공해 야 한다.  즉 악성코드를 탐지할 때 하나의 의심스러운 샘플을 특정분석 기법만으로 해결하려는 방법이 아니라 연관된 모든 데이터들을 동원해 통합적인 관점에서 분석해 위협을 감지할 수 있다는 점에서 지능형 위협에 보다 포괄적인 대안으로 제시되고 있다. 이를 위해서는 끊임없이 나타나는 신종 악성코드와 최신 위협 동향을 지속적으로 철저하게 조사하고 분석해야 하며, 나아가 종합적인 위협 인텔리전스를 시각화하는 것이 중요하다.  네트워크를 통해 내부로 유입되는 악성코드들은 PC에 상주하면서 시스템 권한을 획득한 후 공격을 시도한다. 따라서 네트워크, 위협 인텔리전스, 엔드포인트 등을 연계한 보안 기능 체인화를 완성해야 한다. 전체 위협에 대한 가시성을 확보하고, 네트워크 단에서 발생하는 각종 이벤트뿐만 아니라 엔드포인트에서 발생하는 의심행위와 이상징후를 능동적으로 찾아내고 대응하는 프로세스를 제공해 통합 보안으로서 상호 유기적으로 결합된 방어체계를 제공해야 한다.   <그림 1> 통합·상호 유기적으로 결합된 방어체계 네트워크-위협 인텔리전스-엔드포인트의 방어체계 시큐아이가 운영하는 위협 인텔리전스인 ‘STIC(SECUI Threat Intelligence Center)’의 경우, 네트워크-위협 인텔리전스-엔드포인트 사이버 위협 대응체계의 위협 인텔리전스 등 3개 부문으로 구성돼 모든 영역에서 보안위협을 차단한다. 네트워크, 엔드포인트, 써드파티 인텔리전스 등 넒은 범위의 위협정보를 위협 인텔리전스로 수집하고, 다각적 분석 기술과 위협 인텔리전스를 연결해 보안위협의 중요한 이벤트에 대한 우선순위를 산정한다. 또한 해당 위협에 대한 통계분석 자료와 공격주체, 공격기법 등의 축적된 정보를 즉각 대응할 수 있는 정보로 가공해 방화벽, IPS, 엔드포인트 등에 반영한다.  현재와 같이 고도화된 공격을 탐지하기 위해서는 악성코드가 침투할 수 있는 경로에 위치한 보안솔루션과 위협 인텔리전스 기술이 조화를 이뤄야 하며, 수집된 로그와 분석의 흐름을 분명하게 볼 수 있어야 한다.  STIC의 핵심기술은 다음과 같다. ● 클라우드 컴퓨팅 위협 인텔리전스의 핵심 기술 중 첫 번째는 클라우드 컴퓨팅기술을 이용해 민첩성과 유연성을 확보하는 것이다. 클라우드 컴퓨팅 기술의 특징은 단말과 서버간의 양방향 통신이 가능하다는 것이며, 이 기술을 도입하면 새로운 위협에 실시간 적으로 대응할 수 있다.  예를 들면, 웹을 통해 내부로 유입되는 파일과 사용자가 접속하는 URL 정보 등을 즉시 클라우드 서버에 전송하고, 단말에서 의심스러운 정보를 발견 즉시 분석 요청을 할 수 있다. 악성코드가 자신을 은폐하거나 삭제하기 전에 해당 악성코드를 분석하고 대응할 수 있는 기회를 가질 수 있게 된다. 사용자 PC의 경우, 프로세스, 메모리, 레지스트리, 네트워크, 파일 행위 등을 종합적으로 분석해 이상행위로 감지된 공격은 위협 인텔리전스 센터로 전달돼 최종 공격 여부를 판단한다. 포착된 공격은 STIC에 연결된 모든 네트워크 보안 장비와 엔드포인트에 업데이트 해 악성코드 활동을 차단한다.   <그림 2> 양방향 통신을 통한 실시간 분석 네트워크 보안 장비의 경우에도 내부로 다운로드 되는 파일, 사용자가 접속하는 URL, 유입된 파일의 메타정보, 네트워크 커넥션 정보 등을 전송해 위협 확산을 방지한다.  분석 되지 않은 파일, URL, IP 등에 대한 정보가 왜 중요할까? 이는 현재 존재하거나 발생이 임박한 위협에 대한 증거지식으로 볼 수 있기 때문이다. 따라서 알려지지 않은 정보를수집해 과거 분석된 데이터와 함께 통합적으로 분석하는 것이 위협 인텔리전스의 핵심이라 할 수 있다.  최근 서로 다른 악성코드를 조합한 공격이 늘어나면서 이와 같은 접근 방법은 효과적인 탐지 방법이 되고 있다. 서로 다른 단말에서 수집 된 다양한 분석 결과 데이터를 통합 분석함으로써 과거와는 다른 시각에서 분석이 가능하게 된 것이다. 동적 분석 및 정적 분석 데이터를 통합하고, 개별적인 공격을 연계하는 방법을 심층적으로 이해하면 악성코드 차단효과를 극대화 할 수 있다. ● 빅데이터  두 번째 핵심 기술은 분석 성능에 대한 요구를 보여주는 ‘빅데이터’다. 빅데이터는 많은 데이터를 분석대상으로 해 위협에 대한 예측력 을 높이고, 위협 가시성을 확보함으로써 새로운 위협을 탐지하는 흐름으로, 막대한 컴퓨팅 파워가 전제 조건으로 형성돼야 한다.  데이터가 폭증하는 현실에서 정형 데이터는 물론, 비정형, 반 정형 데이터 등 각종 다양한 데이터를 분석대상으로 하는 빅데이터는 강력한 컴퓨팅 파워에 의한 신속한 분석이 전제되지 않는다면, 결코 성립될 수 없다.   <그림 3> 연관정보를 통한 위협 탐지   방대한 데이터 분석에 성공하더라도 분석에 오랜 시간이 소요돼 적절한 시기를 놓친다면 분석의 가치가 떨어지기 때문이다. 예컨대 3·4 대란과 같은 공격을 정확히 예측하는데 성공했다고 하더라도, 이 예측이 공격 발생 후 몇 일이 지나 도출됐다면, 예측의 가치는 떨어진다.  특히 수많은 기기가 네트워크에 연결돼 보안의 가시성을 제공하는 인터넷 환경에서 성능은 매우 중요한 요소다. 각종 네트워크 보안 장비, 엔드포인트, 써드파티 인텔리전스 등이 생성하는 수많은 데이터를 빠르게 취합, 분석해 유의미한 정보로 가공, 전달할 수 있어야 클라우드 컴퓨팅 기술의 이점을 극대화 할 수 있기 때문이다. 따라서 위협 인텔리전스 센터 전반의 강력한 컴퓨팅 성능이 필수적이다. ● 연관관계 도출을 통한 ‘위협 추출’ 세 번째는 강력한 컴퓨팅 성능을 기반으로 수많은 센서로부터 수집, 분석, 저장된 데이터 안에서 가치 있는 데이터를 뽑아내는 것이다. 단순히 수집된 샘플을 분석하는 것에 머무르지 않고 샘플에서 추출한 데이터 속에서 가치 있는 정보를 찾아내야 한다.  가치 있는 정보를 얻어내기 위해서는 먼저 대량의 데이터를 차곡차곡 쌓아 놓고 잘 정돈한 후 불필요한 데이터는 걸러내야 한다. 일차적으로 정리된 데이터를 잘 살펴보면서 서로 관련성 있는 데이터들을 세부적으로 분석하고 정리해서 가치를뽑아내야 한다. STIC의 예와 같이 위협 인텔리전스는 ‘클라우드 컴퓨팅’, ‘빅데이터’, ‘연관관계 분석’, ‘동적/정적분석’, ‘사전 필터링’ 기술과 같은 다각적 분석 기술을 통해 지능형 위협에 효율적 대응 전략을 제공해야 한다. 위협 인텔리전스 서비스로 지능형 공격 대응 시큐아이는 종합적인 위협 정보를 제공하는 플랫폼으로 STIC를 서비스 형태로 제공할 예정이다. 뿐만 아니라 사이버위협에 대한 조기 예·경보 대응책을 지원하고, 글로벌 위협을 사전에 인지해 공격을 예방하기 위한 서비스를 관제, 분석가, 일반 사용자들에게 까지 광범위하게 제공할 계획이다.  또한 오픈API 연동을 통해 지능형 보안 위협에 대응할 수있는 보안방어 체계 구축을 지원한다. 이를 통해 자체적으로 플랫폼을 구축하기 힘든 기업에 API 연동만으로 해소할 수 있도록 지원할 계획이다. 이미 STIC는 차세대 방화벽, 차세대 IPS, APT 솔루션들을 오픈API로 연동하여 지능형 보안 위협에 대한 통합 보안 방어체계를 구축했다.   STIC 서비스 주요 기능 <그림 4> STIC 서비스 개념도   시큐아이가 위협 인텔리전스 연동을 통해 악성코드를 차단하는 방법은 다음과 같은 4단계로 이뤄진다. - 1단계 수집단계: 단말에서 의심 샘플 정보 추출 및 수집(접속URL/IP, 내부로 유입된 파일) - 2단계 접수단계: 의심 샘플 정보를 실시간으로 클라우드 서버에 분석 요청 - 3단계 분석단계: 의심샘플 다각적인 분석(시큐아이 인텔리전스 분석 5단계) - 4단계 대응단계: 단말로의 악성코드 차단 정보 제공   분석단계에서는 인텔리전스 분석 5단계를 거친 후, 결과가 악성인지 정상인지 모호할 경우에는 분석가에 의해 심층 분석이 수행된다. 분석이 완료되면 분석을 요청한 단말에 피드백을 주고 동시에 STIC에 연결된 모든 단말에 신속히 반영해 악성코드에 대한 차단효과를 극대화 하게 된다.  클라우드 기반 STIC 서비스를 이용해 많은 리소스를 필요로 하는 고도화된 분석 작업을 외부 서버에서 수행함으로써 새로운 악성코드 탐지 이슈를 해소하고, 동시에 단말에서의 분석에 따른 과도한 리소스 점유율 문제를 해결한다.  클라우드 기반 위협 인텔리전스 서비스는 공격이 발생한 후 처리를 시작해 피해의 확산을 막는 것이 목적이다. 안티바이러스를 실시간에 가깝게 대응할 수 있도록 해주고, 서비스 형태의 위협 인텔리전스 플랫폼을 통해 지능형 위협에 빠르게 대응할 수 있다.  현재의 보안 위협은 어느 한 가지 제품만으로 완벽하게 막을수 없기 때문에 특정 보안 솔루션에 의존하기보다 자주 발생하거나 예측 가능한 보안사고를 면밀히 분석해 다각적인 관점에서 분석하고 빠르게 대응하는 것이 필요하다. 시큐아이 R&D센터 클라우드서비스개발팀 강기수 책임연구원    

대외행사|2016.03.21

Next Generation Netwk Security Vision 2016 참가

시큐아이는 지난 3월 10일 삼성동 코엑스인터컨티넨탈호텔 하모니볼룸에서 네트워크타임즈에서 주관하는 차세대 보안 세미나 NGNS 2016에 참가하였습니다. 당사는 새롭게 출시된 차세대 방화벽 SECUI MF2 AE와 차세대 IPS SECUI MFI v4.0을 선보여 기업 보안 관계자들의 높은 관심을 보였습니다.