KL Technologies, 성공적인 사업 파트너


전 체 [ 131 ]
구매 및 체험 문의 [ 3 ]회원등록 [ 0 ]
보안 및 제품 정보 [ 7 ]바이러스 문제 [ 4 ]
설치 및 제거 [ 21 ]제품 설정 [ 57 ]
트러블슈팅 [ 14 ]기타문의 [ 4 ]

   
  [보안 및 제품 정보 > ] 인위적 요소와 정보 보안(The human factor and information security)

인위적 요소와 정보 보안
(The human factor and information security)


Konstantin Sapronov (카스퍼스키랩 바이러스 분석가)

이 글은 컴퓨터 사용자들에게 겁을 주거나 또는 보안소프트웨어 구매를 유도하기 위한 글이 아닙니다. 단지 바이러스 분석가로서 바이러스 코드를 분석하거나, 관련 포럼에 있는 글, 관련 기사들 또는 도움을 요청하는 방대한 양의 메일을 보면서 업무 도중 떠오른 생각들을 공유하기 위한 것 입니다.


컴퓨터 보안 시스템

시스템 정보 보안에서 컴퓨터 보안을 분리된 한가지 영역으로만 생각 할 수는 없습니다. 즉 점검할 필요가 있는 시스템에 있는 모든 영역을 분석해야 합니다. 정보 보안은 시스템을 분석하는 관점 및 접근 기법만큼 이나 복잡하며 어느 하나도 중요하지 않은 것이 없습니다. 이는 단순한 분석 관점이나 단순한 접근 기법만을 적용해서는 안된다는 의미이며, 편의에 따라 시스템의 특정 영역 및 일부 분석을 간과하면 시스템 전체가 정상적으로 운영되지 않는다는 것을 의미 합니다.

정보 보안은 일반적인 의미의 보안과 그리 다르지 않습니다. 아무도 정원의 오두막에 이중 잠금이 되는 육중한 문을 설치 하지 않는 것처럼 말입니다. 이와 유사하게 자동차에 품질이 뛰어난 타이어를 장착할 수는 있으나 브레이크에 치명적인 오류가 있다면 그 자동차는 안전하지 않을 것입니다. 사이버 위협에 대한 방어도 그와 유사한 원칙으로 수행됩니다. 데스크탑 컴퓨터나 기업체의 네트워크에 연결된 서버는 같은 이유로 모든 취약점이 방어 되야 합니다. 비록 이 글에서 언급하지는 않겠지만 가공 되는 모든 정보는 안전한 경로를 통하여 접근 되야 합니다. 정보 처리 관련 종사자들은 데이터 교환 연결 고리의 책임자로서 그리고 전체 시스템 보안 요소의 일부로서 시스템의 일부로 간주되어야 합니다.


사람도 시스템의 일부분

시중에는 안티 바이러스 솔루션, 침입 탐지 시스템, 방화벽 등 활용 가능한 다양한 보안 소프트웨어가 있습니다. 이와 같은 소프트웨어는 특정한 기능을 수행하도록 설계 되었습니다. 그러나 최고의 기술 및 최고로 안정된 알고리즘이 적용된 최상의 제품을 사용하여도 시스템 보안을 100% 장담하지 못합니다. 이러한 이유는 많은 사람들이 보안 소프트웨어 개발산업에 종사하며 유발 시킬 수 있는 그들의 실수 때문입니다. 즉, 시스템의 일부인 사람이 보안 시스템의 약점이 될 수 있다는 것 입니다.

사람이라는 요소는 컴퓨터 및 시스템 침입 성공의 중요한 원인 제공자 입니다. 물론, 이에 관련된 수많은 예가 있습니다. 해커, 바이러스 제작자, 다른 악의적인 사용자가가 시스템에 침입하기 위하여 사람이라는 요소를 이용하여 어떻게, 왜 활동을 하는지 살펴 봅시다.


보안 취약점 및 예시

많은 사람들은 보안 취약점이 있는 소프트웨어를 사용하는 것이 컴퓨터 및 시스템에 치명적 보안 위협 요소라는 것을 생각하지 않습니다. 대다수의 사람들은 컴퓨터를 일종의 블랙 박스로 생각합니다. 컴퓨터 사용자들은 컴퓨터가 어떻게 작동되는지 모르며 알려고 하지도 않습니다. 또한 컴퓨터를 진공청소기, 냉장고, 세탁기 또는 다른 가전 기기와 같은 방식으로 사용하려고 합니다. 그리고 컴퓨터를 사용하는 많은 사람들이 막연히 바이러스, 해커, 다른 사이버 위협을 보안 소프트웨어 개발 업체의 제작에 의한 것이라고 생각합니다. 보안산업에 종사하는 일부의 사람들에 의해 ‘바이러스는 어리석은 컴퓨터 사용자들’에게만 해당되며 안티 바이러스 소프트웨어는 단순한 금전적 낭비라는 인식을 갖게 된 컴퓨터 사용자를 어떤 면으로는 비난 할 수 도 있습니다. “나는 그냥 바이러스가 침입하지 않는 운영체제와 보안 취약점이 없는 소프트웨어를 설치 할 것이기 때문에 나는 걱정 할 게 없어” 라는 가설로 얘기를 시작 하겠습니다.

잠재적 위협에 대한 과소평가는 문제의 일부에 불과 합니다. 보안 정책 및 절차의 수립과 수행에 있어 인간이라는 요소도 중요한 역할을 하며, 기획 단계에서 잠재적으로 발견 가능한 허점이 나타납니다.

무선 네트워크의 보안은 무선 프로토콜 개발 시 에러가 생겼기 때문에 취약한 상태 입니다. 프로그램 에러가 많은 만큼 안전한 프로그래밍에 대한 저술도 많으므로 프로그래머와 테스터가 지속적으로 이미 존재하는 허점에 대해 찾아낼 것이라고 확신하며 반대로 새로운 허점도 계속해서 생길 것 입니다. 주의 깊게 소프트웨어 개발이 수행되어도 이와 동일하게 사람도 연관이 됩니다. 즉 세계에서 가장 좋은 방화벽도 시스템 관리자의 능력이 나쁘면 시스템을 보호 할 수 없습니다.

제가 이 자료를 쓰고 있는 동안에도, 웜은 인터넷을 돌아 다닙니다. Lupper는 알려진 취약점을 통해 퍼지나, 관리자가 정기적으로 취약점 경고를 보고 신속하게 패치를 설치하면, 시스템은 더 이상 Lupper에 취약하지 않습니다. 이러한 사실은 모든 웜에 대해 일반적인 것입니다. 일반적인 시나리오는, 취약점 경고가 발효되어도 대부분의 사람들이 이것에 신경을 쓰지 않는다는 것입니다. 또한, 취약점이 어떻게 생기는지 나타내는 개념 코드의 증명이 발표되어도 대다수의 사용자는 사태의 심각성을 여전히 이해하지 못하고 아무런 행동도 취하지 않습니다. Lupper는 이러한 패턴을 따라서 퍼지고 결국에는 보안 문제가 초기에는 심각하게 받아들여지지 않는다는 것을 확인하게 합니다.

보안에 대한 무책임한 접근의 또 다른 예는 사용자의 비밀 정보를 어떻게 다루느냐는 것입니다. 일상 생활 중에서 유사한 예를 들면 열쇠를 꽂아두거나, 밖에다 두거나 하는 일들입니다. 컴퓨터 사용에서도 시스템을 패스워드 없이 사용하거나, 사용자 이름을 패스워드로 사용하고 또는 시스템에 쉽게 접근할 수 있는 패스워드를 사용 합니다. 다른 시나리오를 들면 관리자에게는 어렵겠지만 보다 나은 보안을 위해서 사용자가 패스워드를 설정하도록 하는 것 입니다. 이론적으로는 아주 좋으나 안전한 패스워드는 거의 없고, 패스워드를 적어서 책상에 놔두거나 모니터에 붙여 놓습니다. 따라서 악의적인 사용자가 이러한 상황에서 우위를 점하는 것은 놀랄만한 일이 아닙니다.

악의적인 사용자에게 주로 이용당하는 인간의 실수는 호기심 입니다. 우리들 대다수는 때로 이메일 웜과 부딪히며 웜은 감염 메시지의 첨부 파일로 들어 온다는 사실을 알고 있습니다. 바이러스 제작자나 악의적인 사용자가 웜을 보내는 것은 전투의 절반에 해당 합니다. 웜이 확산되려면 활성화 되어야 하며 이것은 첨부 파일이 열려야만 합니다. 일반적으로 사용자가 예기치 않은 메시지의 첨부 파일에 대해서는 의심할 것이라고 생각하고 따라서 열지 않을 것이라고 판단 합니다. 불행히도 사이버 범죄자나 파괴자는 사용자의 호기심을 어떻게 유혹하는지 알고 있습니다. 첨부 파일에 대해 흥미를 불러 일으키는 메시지는 아래 그래프에서 나타내듯이 대다수의 사용자는 파일을 열어봅니다.




[그림 1] 당신은 왜 의심되는 첨부파일을 열어볼까요?


흥미로운 것은 안티 바이러스 벤더사들이 끊임없이 의심되는 첨부파일을 열어서는 안된다고 강조함에도 불구하고 대다수의 사용자들은 이러한 첨부파일을 열어본다는 것입니다. 이것은 바이러스 제작자들이 끊임없이 인간의 호기심과 순진성을 이용하는 새로운 방법을 찾고 있다는 사실을 설명해줍니다.

하지만, 이메일 웜은 첨부 파일 형태로만 확산되는 것이 아닙니다. 최근에 사용자들은 파일 형태의 웜이 아닌 웜의 몸체를 직접 받습니다. 사용자는 아직도 활성화된 프로세스의 영향력 아래 있으며 웜을 실행하기 위하여 링크를 클릭하도록 설득 당하고 있습니다. 이것은 매우 간단합니다. Email-Worm.Win32.Monikey의 경우를 보도록 합시다.



[그림 2] Email-Worm.Win32.Monikey가 보낸 메일


얼핏 보기에 이것은 완벽히 정상적인 이메일로 보이며, 사용자는 전자 카드로 착각합니다. 카드의 내용을 보기 위해서 사용자는 당연히 링크를 클릭하고, 이메일을 보낸 악의적인 사용자는 다음의 사항을 기대합니다. ‘아무 의심 없이 위조된 카드를 보려는 사용자가 웜을 실행할 것이다.’ 라고. 그러면 무엇이 정답일까요? 어떻게 악성 메일과 정상 메일을 구별할 수 있을까요? 아래의 스크린샷은 POSTCARD.RU 서비스에서 발송하는 합법적인 이메일 입니다.



[그림 3] POSTCARD.RU.에서 보낸 이메일


첫번째로, 그림 2 에서 보여주는 이메일에서 HTML 코드 사용은 강조 되어야 할 부분입니다. – 이것은 보통 웜이 있는 곳의 URL을 가지고 있으며 POSTCARD.RU의 링크처럼 보이게 합니다. 3번 그림은 경고를 포함하는 POSTCARD.RU에서 온 이메일을 보여주며, 모든 POSTCARD.RU에서 온 이메일은 오직 텍스트로만 되어 있고 어떤 메시지도 불법적이고 악성코드의 가능성이 있는 HTML 포함하고 있지 않습니다. 만약 사용자가 카드를 보기를 원하면 그들은 브라우저에 링크를 카피해야 하며 정상적인 링크에서 전자카드를 보여줍니다. 어떤 상황에서건 사용자가 HTML 링크를 클릭해야 한다는 것은 매우 많은 경우 악성코드가 포함되고 실행되는 사이트를 엽니다.

이와 유사한 방법이 최근 스팸 메일에서 사용되고 있습니다. 메시지 내용에는 “만약 메일을 받지 않기를 원하시면 아래 링크를 클릭하세요.” 당신은 아마도 무엇이 문제이냐고 반문할지도 모릅니다. 물론 사용자는 산더미 같은 스팸 메일을 받기를 원하지 않으며 받지 않기 위해서 링크를 클릭할 것입니다. 사용자가 링크를 클릭하면 HTML 페이지가 오픈 되고 수신 거부 데이터 베이스를 확인합니다. 그러면 ‘당신의 이메일 주소는 삭제되었습니다’ 는 메시지를 보여줄 것입니다. 하지만, 이것은 모두 허상이며, 실상은 두 개의 악성코드가 사용자 컴퓨터에 다운로드 됩니다. :Trojan-Dropper.Win32.Small.gr 과 Trojan-Spy.Win32.Banker.s. 입니다. 여기에는 확실한 교훈이 있습니다. – 스패머들은 사용자가 원하고 필요한 것에 대해서는 상관하지 않으며, 한번 그들이 주소를 가지면 그 주소는 안받기 위한 어떤 시도를 하더라도 받게 될 것 입니다. 사실, 수신 거부는 보통 더 많은 스팸 또는 악성코드를 받게 합니다. 스팸 메일을 처리하는 가장 좋은 방법은 원치 않는 메시지는 간단히 지워 버리는 것 입니다.

2005년 여름에 새로운 형태의 스팸 메일을 받았습니다. 이 스팸 메일은 목표 그룹이 정확한 아주 잘 설계된 이메일이었습니다. 악의를 가진 사용자가 회사의 이메일 주소로 회사 관리자가 보낸 것처럼 메일을 꾸며 스팸을 뿌리기 시작했습니다. 이것은 주소 필드를 위장함으로써 만들어졌습니다. 그러나 실제의 회신 주소(실제로 보이지는 않았음)는 악의를 가진 사용자의 주소였습니다. 물론 성실한 사용자는 관리자의 질문에 답변을 하려고 할 것이고 그렇기에 첨부파일 열어보게 되고 악성 프로그램도 실행이 됩니다. 이 같은 사건은 널리 알려지지 않는다는 점에 유의할 필요가 있습니다. 목표가 된 조직의 보안에 책임을 지고 있는 자들은 흔히 이런 정보가 더 멀리 퍼지는 것을 막으려고 합니다.

악성 프로그램이 대량 메일로 보내질 때, 보내는 사람은 가끔 유명 안티 바이러스 솔루션인 것처럼 위장하기도 합니다. 이것은 일석이조의 효과가 있습니다. 사용자는 악성 프로그램을 실행시킵니다. 그리고 안티 바이러스 회사의 평판은 나빠지게 됩니다. 이 점을 좀 더 살펴볼 필요가 있습니다. 만약 사용자가 안티 바이러스 회사에서 보낸 듯한 메일을 받으면, 곧 아니면 조금 있다가 사용자들은 안티 바이러스 회사에서 감염된 업데이트를 보냈다고 생각하기 시작합니다. 그리고 그 안티 바이러스 회사의 업데이트를 중단하게 됩니다. 물론 이것은 안티 바이러스 회사의 신용을 잃게 만듭니다. 안티 바이러스 회사는 절대로 메일을 통해서 업데이트 파일을 배포하지 않습니다. 그러니 사용자들도 절대 메일을 통해서 받은 파일을 실행하여서는 안됩니다. Email-Worm.Win32.Swen 은 마이크로 소프트의 보안 패치를 가장하여 이런 접근 방식을 성공적으로 사용하였습니다. 사용자는 패치라고 주장하는 파일을 설치하게 되었고 전세계의 수많은 컴퓨터가 감염이 되었습니다. 웜 제작자는 그 당시에 Lovesan(일명 슬래머) 바이러스 사건이 있었기에 사용자들이 보안 패치를 설치할 것을 예상하고 설치하기를 기다린 것입니다.

이 경우는 바이러스 제작자가 더 많은 시스템에 바이러스를 감염시키기 위해 세상의 사건들을 어떻게 이용하는지를 보여줍니다. 그들은 상당히 빠르고 효과적으로 세간의 사건 들을 바이러스에 이용합니다. 최근의 경우를 살펴보면 런던 폭탄 테러 사건, 모스크바 정전 사건, 미국의 카트리나 허리케인 사건 등이 있습니다. 보내는 메시지는 사용자를 속여 첨부 파일을 열거나 메시지 안의 링크를 클릭하도록 만들기 위해 이들 사건들을 언급합니다.

인스턴트 메시지 프로그램(ICQ, MSN 등)용 악성코드도 비슷한 접근방식을 취합니다.

어떻게 인스턴트 메시지 악성코드가 컴퓨터에 감염이 될까요? 대체로 악의를 가진 사용자가 웜 본체의 링크를 송부합니다. 그리고 사용자가 링크를 클릭하면 그것은 활동을 시작합니다. 사용자가 링크를 클릭하도록 만들기 위해 이메일과 동일한 방법이 사용됩니다. 그러나 Trojan-PSW.Win32.LdPinch와 같이 어떤 경우에는 더욱 발전된 사이버 범죄 형태를 보여 줍니다. 제작자는 링크를 수신자가 승낙하게 만들어야 합니다. 수신자는 링크를 승낙하기 전에 약간의 채팅을 원하던가 최소한 감사하다는 말을 하고 싶어할 것입니다. 그래서 악성 코드 제작자들은 수신자의 질문 또는 문장에 비슷한 답변을 생성해내는 봇(bot)을 개발했습니다.

이러한 새롭고, 더 정교한 방법에도 불구하고 바이러스 제작자들은 오래되고, 확실하며 검증된 것을 잊지 않고 있습니다 - 신뢰할 수 있는 주소와 유사한 링크를 사용 (예: 1 대신에 l을 사용)

이것은 사용자들이 링크를 누르게 만드는 효과적인 방법으로 계속 사용됩니다.

한 예로 2005년 여름에 발견된 msn 메신저를 통해서 전파되는 웜을 들 수 있습니다.

웜을 통해 보내진 링크(http://www.vbulettin.com/xxxxxxx)는 잘 알려진 안티바이러스 기관 사이트로 오인하게 하였으며 많은 사용자들은 이 링크를 신뢰했습니다. 바이러스 블러틴이 실제로 www.virusbtn.com 에 위치한 것을 인지하지 못한 상태에서 클릭함으로 해서 웜이 활성화 되었습니다.

사용자는 위에서 언급한 경우나 다양한 방법으로 악성 프로그램을 받습니다. 비록 많은 사용자들이 프로그램을 실행할지라도 반복된 주의 경고로 링크를 누르지 않거나 첨부파일을 열지 않습니다. 당연히 바이러스 제작자들은 이런 보안에 대해 인지하는 사용들을 속일 수 있는 더 효과적인 다른 방법을 찾습니다. 만일 사용자가 직접적으로 어떤 것을 수신하지 않을 뿐만 아니라 단순히 웹 서핑을 하는 동안 악성 프로그램을 다운로드 하는 것이 더 효과적일 것 입니다. 이런 것 때문에 악성 프로그램이 있는 사이트의 수가 점차 증가하고 있는 것입니다. 악성 사용자들은 근본적으로 인기 있는 사이트를 선택하고 잘 알려진 회사를 이용합니다. 비록 악성 프로그램이 제거되기 전에 단 며칠 있었더라도 이것은 수 천대의 컴퓨터를 감염시키기에 충분히 긴 시간입니다.

이것의 예 중에 하나가 위에서 언급했던 이메일 웜-Monikey입니다. 감염된 메시지는 이메일 웜이 위치한 사이트로 연결되어 있습니다. 웜은 대계 불법적인 사이트에 있고 어떻게 운영되는지 정확히 알 수 없습니다. 하지만, 우리는 사이트 접속에 사용되는 계정이 훔친 것이고 Monikey 제작자가 사용하는 데이터라는 것을 예상할 수 있습니다. 감염된 사이트의 관리자들이 웜을 제거했을 지라도 오용된 계정을 차단할 수 없습니다. 그리고 웜은 다음 문구를 표시하는 사이트에 계속해서 나타날 것입니다.

- 사이트 관리자는 어떠한 대량 메일도 보내지 않는다는 사실, 사이트 감염에 대해 설명, 사과 공지





[그림 4] 감염 사이트의 공지


사이버 파괴자들은 인터넷을 통하여 악성 코드를 배포하는 것에 더욱 더 창의적인 방법을 사용하게 되었습니다. 그들은 사이트에 트로이 목마를 배치하는 것에 동의하였던 웹 마스터에게, 트로이에 의하여 감염된 모든 컴퓨터에 대해 6 센트씩을 제공하였습니다. 상당수의 웹마스터들이 이것에 동의하였던 것은 약간의 금전적 이익이 원인이었습니다.

인터넷을 서핑할 때 사용자들이 여러가지 방법으로 상당한 위협을 받을 수 있다는 것을 상기의 모든 것에서 볼 수 있습니다.

물론 인간의 본성을 이용하는 것은 다른 방법도 있습니다. 그리고 사회 공학의 주제는 따리 분리해야 할 가치가 있습니다. 가끔 악의를 가진 사용자들은 시스템을 침입하려고 할 때 어디서 시작하는지를 모릅니다. 방법을 시도하고 테스트하였던 것은 대상 조직 내에 어떤 사람을 알고 있는 것입니다. 이것은 기술의 수단을 쓰지 않고, 흔한 인간적인 실수를 사용함으로써 공격의 범위를 인도할 발판을 제공합니다. 예를 들면, 잠재력이 있는 해커는 조직이 목표가 되었다고 부를 것입니다. 그들이 종업원이다라고 말하고, 전화번호에서 IP 주소들까지 분포하는 여러 가지 정보를 받을지도 모릅니다. 이 정보는 그 다음에 조직의 네트워크를 공격하기 위하여 사용될 수 있습니다.


결론

컴퓨터는 우리 삶의 모든 분야에서 광범위하게 사용 되고 있습니다. 사이버 범죄로 인한 이익 또한 증가하고 있습니다. 그리고 이에 따라, 사이버 범죄자들이 사용하는 기술들도 빠르게 변하고 있습니다.

현대 세계에서 믿을 만하고 효과적인 보안 시스템을 만드는 것은 매우 어렵습니다. 너무나 많은 잠재적인 약점들이 새로운 보안 허점들을 파악하고 있으며, 그것을 보완하는 것은 끝이 없는 과정입니다. 새로운 기술은 오래된 것을 대체하고, 현재의 문제를 풀기 위하여 사용되고 있습니다. (그러나 이 새로운 기술 또한 스스로의 결점을 가지고 있습니다). 하지만 해커들, 바이러스 제작자들 그리고 악의적인 사용자들은 현재 사용되는 보안 소프트웨어를 극복하기 위하여 새로운 수법들을 개발하고 있습니다. 이에 따른 결과는 보안 산업의 간헐적인 성공과 사이버 범죄자들과 보안 전문가들 사이에 계속되는 교착상태입니다. 그러나, 사용자들은 이와 같은 균형을 깨뜨릴 능력을 가지고 있습니다. 즉, 불행하게도 예측할 수 없는 인간의 행동이 보안 시스템을 아무런 소용이 없게 만들 수 있기 때문입니다.

그렇기에 저는 이 컬럼을 통하여 독자들이 중요한 정보 보안과 보안 이슈에 더 많은 주의를 가져 주게 되기를 바랍니다.

<원문보기>



   

메시지 남기기