|
|
|
|
|
|
보안과 소프트웨어에 대한 시각에서 볼 때, 2007~8년은 여러 모로 중요한 전환기였거나, 전환기가 될 것입니다. 왜냐하면 멀웨어라는 커다란 범주가 획기적인 변화를 모색하고 있기 때문입니다.
이에 따라, 새해를 시작하면서 자신의 PC, 개인정보, 그리고 중요 자료를 보호하기 위해 한 번쯤 생각해 봐야 할 몇 가지에 대해 논해보겠습니다.
먼저 2008년에 예상되는 멀웨어의 흐름을 살펴본 후, 그에 걸맞는 백신(안티 바이러스) 선택에 대해 언급하려 합니다.
2008년 멀웨어 전망
1. 멀웨어와 선의의 프로그램 구분이 힘들어진다. 2005년 Mark Russinovich에 의해 소니-BMG 음악 CD에서 발견된 윈도우 루트킷은 크랙커들에게 새로운 가능성(?)을 열어준 획기적인 아이템이었습니다. 필자 개인적으로도 루트킷과 관련한 무한한 보안 위협에 정신을 놓아버릴 지경입니다.
글에 앞서, 기존의 바이러스, 웜, 트로얀 등과 같은 멀웨어들의 행태와 감염 사례를 고찰해 봅니다.
지금까지 멀웨어에 감염되는 원인은 이용자의 부주의 또는 실수에 기인하는 것이 다수였습니다. 불법 소프트웨어를 사용하기 위해 키젠을 실행시키거나, EXE 또는 DLL 파일을 교체하는 것, 또는 스팸메일을 무심코 열어보는 것 등이 그 예입니다.
즉, 멀웨어와 선의의 소프트웨어는 일정한 구분이 있었습니다.
하지만 이제는 이 구분이 어려워지고 있습니다. 루트킷이 일반화 되고 있기 때문입니다.
루트킷이 보안 업계에 충격을 가져다 준 것은 그것이 치료하기가 거의 불가하다는 것 때문만이 아닙니다. 바로 완벽하게 자신을 은닉시킬 수 있는 새로운 크래킹/바이러스/스파이웨어 패러다임(?)을 제시해 주었기 때문입니다.
한 마디로, 2008년 이후로는 사용자가 조심하고, 주의를 기울인다고 하여 멀웨어를 예방할 수 있는 시대는 끝날 것입니다.
선의의 프로그램 안에 숨은 멀웨어들은 어떻한 부주의나 실수도 전제하지 않고 시스템에 침투할 수 있습니다.
2. UCC (UGC)를 통한 무한한 멀웨어 확산 웹 2.0의 일반화와 함께, 사용자들도 정보를 생산할 수 있는 플랫폼과 주체성을 갖게 되었습니다. 이는 집단지성의 궁극에 다가가고 있는 아주 바람직한 흐름이 아닐 수 없습니다.
그러나 이러한 집단성은 반드시 확산과 배포를 전제로 합니다. 그런데 이 "확산"과 "배포"야 말로 크래커들 입장에서는 아주 매력적인 멀웨어 전파 수단입니다.
지금 이 시각에도 수많은 크래커들이 UGC를 주목하고 있는 이유가 여기에 있습니다.
우리는 이미 각종 크랙 사이트와 비트토런트, 당나귀 관련 사이트에서 무수한 스크립트 바이러스, 스파이웨어 등을 경험했습니다.
이제 이들의 확산 주체는 UGC로 돌려질 것입니다. 블로그, 미니홈피, 그리고 각종 동영상과 플래시 등…
앞으로는 낯선 블로그를 방문하는 것조차 신중해져야 할 시기가 올 지도 모릅니다.
이미 작년에, 댓글을 단 후, 페이지가 이동하는 순간 브라우저의 취약점을 파고 들어 멀웨어를 감염시키는 스크립트 바이러스까지 출몰한 바 있습니다.
여담입니다만, 우리 나라의 태터툴스/텍스트큐브, 제로보드 등의 개발자들도 이 점을 간과해서는 안 될 것입니다.
어떤 안티 바이러스(백신)를 선택해야 하나?
1. 사전 진단과 예방(Proactive Defense)은 필수! 멀웨어와 선의의 프로그램이 개별화 되었던 시기에는 바이러스 샘플을 수집하고, 그것을 정의 파일에 반영하여, 사용자의 백신에 업데이트 하는 것 만으로도 충분히 시스템을 지킬 수 있었습니다. 필자는 이것을 단순 암기식 학력고사에 비유하겠습니다.
그러나 멀웨어와 선의의 프로그램간 구분이 어려운 시기에는 이러한 전통적이고 정형화된 패턴은 더 이상 효과를 기대하기 힘듭니다.
어제까지 잘 사용하던 프로그램의 취약점과 패턴을 이용하여 안에 누군가가 루트킷 은닉을 시도하는 것을 가정해 봅니다. 특정 프로그램이 구동되는 원리와 그 취약성을 파악만 하면 다양한 방식의 은닉/침투 기법이 나타날 수 있습니다.
따라서 정형화된 공식만으로 멀웨어를 예방하기는 힘듭니다.
멀웨어의 패턴과 알고리즘을 예측할 수 있는, 지능적인 백신만이 여러분의 PC를 지켜줄 것입니다. 학력고사 식의 구닥다리 백신 대신, 이해와 응용이 가능한 수능 식의 백신이 필요하다는 말입니다.
2. Heuristic & HIPS(Hipshost-based Intrusion Prevention System) 사전 진단에 관한 기술은 여러 가지가 있는데, 여기서는 큰 범주로 휴리스틱과 HIPS를 전제해 보겠습니다.
전자는 흔히들 서명기반 방식(Signature-based Proactive Defense)이라 하고, 후자는 행동기반 방식(Behavior-based Proactive Defense)이라고 합니다. (단정하는 것은 틀릴 수도 있습니다만, 관례적인 정의에 따르는 것입니다.)
서명기반(Heuristic)은 기록된 사실 또는 정보를 바탕으로 대응하는 것이고, 행동기반(HIPS)은 직접 부대끼고 두들겨 맞아 가며 적에게 대응을 하는 것입니다.
독자들의 이해를 도우며 최대한 쉽게 설명하기 위해 적과 싸우는 상황을 예로 하겠습니다.
상대방이 함대를 이용해 서울을 친다고 할 경우, 지도와 병법(기록된 사실 또는 정보)을 보며 어디를 봉쇄하고, 어디에서 반격을 할 것인가를 판단합니다. 이것이 서명기만 예방에 해당합니다. 굳이 예를 들자면 삼국지의 제갈량을 떠 올리면 됩니다.
(이미지 출처 : http://www.crown.com.tw)
반면에, 행동기반 방식은 일단은 아무 조치도 취하지 않습니다. 지도도 필요 없습니다. 단지 훈련된 군인들을 집결시킵니다. 이후 적이 인천으로 침입하면, 또는 강화로 침입하면 그 때 뛰어 나가서 싸우는 것입니다. 삼국지의 장비를 떠올리면 됩니다.
따라서 이 둘의 장단은 극명하게 드러납니다.
지도자(PC 사용자) 입장에서 휴리스틱(서명기반)은 쉬운 전술입니다. 그 예측과 예상만 맞아 떨어진다면 손쉽게 승리(멀웨어 예방)을 획득할 수 있습니다. 별로 신경 쓸 것도, 모든 군인과 장비를 동원할 필요도 없습니다. 지도자 자신이 똑똑해질 필요도 없습니다. 따라서 컴맹이라도 효과적으로 멀웨어를 예방할 수 있습니다.
하지만 조금이라도 예상이 빗나가면 어마어마한 피해를 입고, 나라를 빼앗길 수 있습니다. 기존의 예측과 정보만으로 대응했기 때문에 패배의 원인이 어디에 있는가도 찾기가 불가합니다.
지도자(PC 사용자) 입장에서 HIPS(행동기반)는 귀찮은 방식입니다. 일일이 전장에 나가서 전투 상황을 주시하고, 지도해야 합니다. 전투마다 모든 군인과 장비를 끌고 다니듯, 각종 팝업창과 경고창에 대해 일일이 답해줘야 합니다. 따라서 지도자 자신이 똑똑해져야 합니다. 컴맹이면 HIPS를 운용하기 힘듭니다.
하지만 예상이 빗나가서 패배할 일은 없습니다. 또한 내 시스템의 상태를 내 스스로 100% 통제할 수다는 큰 장점이 있으며, 패배의 원인이 무엇인지 즉시 파악할 수 있습니다.
이상과 같이, 휴리스틱과 HIPS는 절대 별개의 사전 방역 수단이 아닙니다.
일부 리뷰어나 칼럼니스트, 블로거들은 마치 휴리스틱과 HIPS가 상호 대응되는 것인냥 착각하며, 전자가 우수하다, 후자가 우수하다는 쓸데 없는 논쟁만 떠들고 있습니다. 심지어, HIPS는 사용자를 너무 귀찮게 하여 휴리스틱의 대안이 못 된다는 논리를 들고 나오기도 합니다.
어떤 백신은 휴리스틱을 선택하고, 어떤 백신은 HIPS를 선택하는 것은, 현재의 기술적인 한계에 기인한 제약일 뿐입니다.
휴리스틱의 단점이 HIP의 장점이 되듯이 서로의 장단이 조화를 이룰 수 있기 때문에, 궁극적으로는 이 두 기술은 통합될 것입니다. 대안이니, 선택이니의 문제가 아니라는 말입니다.
3. 어떤 백신(안티 바이러스)을 고를까? 이제 정리하고 결론을 내립니다.
2008년 이후의 보안 흐름과 위협을 감안하면 사전진단 기능은 선택이 아니라 필수임을 직감할 수 있습니다. 따라서 이 기능이 미약한 백신은 당연히 구입 목록에서 제외해야 합니다.
독자들의 이해를 돕기 위해 간단하게 주요 백신에 대한 정보를 나열하겠습니다.
이 목록들은 AV-Comperatives, VB100 Award, PC-World, Virus.gr 등의 검증된 기관이 행한 테스트를 기반으로 하여 개인적으로 정리한 것이며, 특정 백신들간의 우열이나 순위 부여, 또는 비방이 목적이 아니라 좋은 백신을 고르기 위한 지침에 그치는 것임을 밝힙니다.
필자 추천 (제가 NOD32, 코모도, 카스퍼스키 오덕후임을 감안하고 보세요.)
- 전체 백신 : NOD32 2.x 이후
- 조합 : NOD32 2.x 이후 + Comodo 3.0 (이유 : 휴리스틱의 최강 백신과 HIPS의 최강 방화벽 커플이므로)
- 휴리스틱 방식 : NOD32 2.x 이후
- HIPS 방식 : Kaspersky 6.0 이후 추천 (알파벳 순)
- AntiVir
- Avast
- AVG
- BitDefender
- Kaspersky
- McAfee
- NOD32
- Norton 참고 : 사전 방어 기술이 아예 없는 낙후된 백신 또는 각종 테스트 결과가 미흡한 것 (최근 평가가 낮은 순)
- V3
- FortiClient
- Ikarus
- TrendMicro (PC-Cillin)
- F-Prot |
이 블로그의 모든 글 및 리뷰에 대한 저작권은 여름하늘에게 있습니다.
출처를 밝힌 여부와 상관 없이 글, 또는 리뷰의 내용을 다른 사이트에 올리는 것을 금합니다. 좋은 글이라 여겨지면 링크나 트랙백을 이용해 주세요.
참고 : 저작권 위반에 대한 법적 대응
Copyrights 2008 무단 전재/스크랩 금지. adware,
AntiVir,
AVAST,
AVG,
BitDefender,
Heuristic,
HIPS,
hipshost-based intrusion prevention system,
Kaspersky,
malware,
nod32,
Software,
Spyware,
UCC,
UGC,
virus,
멀웨어,
바이러스,
백신,
보안,
비트디펜더,
소프트웨어,
스파이웨어,
아바스트,
안티 바이러스,
애드웨어,
카스퍼스키,
휴리스틱 |
|
|
|
|
|
| 이 글의 트랙백 주소 : http://skysummer.com/trackback/477 |
Tracked from :::: Eloiz BL@G :::: 2008/02/05 12:49 ::: Delete
제목 : 루트킷 이야기 - by 래발
글을 읽다가 너무 잘못된 정보가 많은거 같아 글을 씁니다. 1. 루트킷 이야기 1.1. 루트킷이란? 일반적인 루트킷에 대한 사전적 해석은 다음과 같다. "시스템 침입 후 침입 사실을 숨긴 채 차후의 침입을 위한 백도어, 트로이목마 설치, 원격 접근, 내부 사용 흔적 삭제, 관리자 권한 획득 등 주로 불법적인 해킹에 사용되는 기능들을 제공하는 프로그램의 모음" 즉, 차후침입을 통해 관리자의 권한을 쉽게 얻기 위해 설치한 프로그램이라고 할 수 있다.... |
|
|
|
|
CATEGORY : 
Categories
Recent Entries
Tag
Recent Comments