"노트북이 도청당한다" 기사에 대한 기술적 분석
I. 기사 내용
[1. 기사 출처 - 동아일보]
http://news.dongascience.com/HTML/News/2010/01/07/20100107200000103836/201001072000001038360108000000.html http://news.donga.com/3/all/20100107/25241625/1
http://news.dongascience.com/HTML/News/2010/01/07/20100107200000103836/201001072000001038360108000000.html http://news.donga.com/3/all/20100107/25241625/1
[2. 기사 요약]
노트북 컴퓨터가 도청장치로 이용될 수 있는 새로운 사실이 시연을 통해 확인되었으며, 시연내용으로 e메일이나 메신저를 통해 노트북으로 악성코드(도청)를 설치하게 되면, 노트북을 켤 때마다 마이크가 켜지면서 도청이 시작된다.
하루 정도의 노력으로 제작 가능한 수준이다.
기존의 보안 프로그램으로는 탐지가 되지 않으며, 현재로서 막을 대안이 없어 대책을 만드는 것이 시급하다.
II. 기술적 관점에서의 기사내용 분석
[1. 새로운 개념이 아닌 이미 해외에 공개된 툴 존재]
위의 기사는 0-day(patch되기 전의 새롭게 발견된 취약점)가 아니라, 악성코드가 실행된 후 감염된 PC를 악용할 수 있는 방법이며, 이러한 개념은 기존에 해외에서 원격관리용 툴로 소개되고 배포된 사례가 있습니다. 또한 유사한 사례로 Skype에 대한 위협도 보고된 바가 있습니다.(http://teamcrak.tistory.com/131 참고)
위의 기사는 0-day(patch되기 전의 새롭게 발견된 취약점)가 아니라, 악성코드가 실행된 후 감염된 PC를 악용할 수 있는 방법이며, 이러한 개념은 기존에 해외에서 원격관리용 툴로 소개되고 배포된 사례가 있습니다. 또한 유사한 사례로 Skype에 대한 위협도 보고된 바가 있습니다.(http://teamcrak.tistory.com/131 참고)
다음은 기존에 존재하던 원격 관리용 툴로 기사에서 소개된 audio capture 기능을 포함한 프로그램입니다.
[2. 악성코드 제작시간과 기술수준]
악성코드라는 것은 단 하루만에 만들어 낼 수 있는 것이 아닙니다. 시스템, 네트워크 등등 거의 모든 분야의 테크닉(은닉, 감염, 전파, 기능 등)이 집약된 결정체가 바로 악성코드 입니다. 기사에서 의미하는 하루만에 제작 가능하다는 의미는 이미 작성된 악성코드에 해당 기능을 추가하는데 걸리는 시간을 하루라고 표현한 것이라 판단됩니다.
[3. 보안 프로그램의 진단]
첫째, 기사에는 “감염된 PC를 시중에서 많이 쓰는 여러 보안프로그램으로 검사해 봤다“는 방법 자체가 보안 프로그램의 성능을 평가하기에는 부족한 평가 방법입니다. 실제 악성코드가 실행(최초 감염)되어 은닉하기까지 모든 과정을 보안 프로그램으로 모니터링하여야 올바른 진단 방법입니다.
첫째, 기사에는 “감염된 PC를 시중에서 많이 쓰는 여러 보안프로그램으로 검사해 봤다“는 방법 자체가 보안 프로그램의 성능을 평가하기에는 부족한 평가 방법입니다. 실제 악성코드가 실행(최초 감염)되어 은닉하기까지 모든 과정을 보안 프로그램으로 모니터링하여야 올바른 진단 방법입니다.
두 번째, 최초 감염이 어떠한 취약점이 아닌 사용자 부주의에 의한 사용자 개입(직접 파일 실행)이 이루어졌을 경우 이는 사용자가 악성코드의 실행을 허용하였기 때문에 사용자의 정당한 행위로 인식하고 기존의 보안 프로그램으로 막을 수 없습니다. 만일 0-day(패치 이전의 취약점)를 이용하여 전파를 시켰다면 이를 막을 수 없는 것은 당연합니다. 또한 이번 건은 샘플이 접수되지 않은 PoC(Proof of Concept, 개념증명) 코드이기 때문에 백신 등에서 진단하지 않는 것이 당연합니다.
[4. 대응방안]
기사에서 소개한 도청프로그램에 대한 대응방안으로는 도청프로그램 자체가 아닌 악성코드의 감염을 막아야 하며, PC의 업데이트(패치) 관리 및 일반 사용자의 보안의식 재고(e메일 첨부파일 실행 시 주의 등)등이 있습니다. 따라서 아래와 같은 사용자 측면의 대응방안이 필요합니다.
1. 이메일, 메신저, 인터넷(P2P 등)에서 받은 파일 중 출처가 불분명하거나 수상한 파일은 실행하지 않고 삭제한다.
2. 불법소프트웨어를 사용하지 않고, 정품 소프트웨어를 사용한다.
3. 최신의 보안패치 적용, 강력한 패스워드 설정, 공유금지 등과 같은 기본적인 PC 보안 수칙을 준수한다.
4. 윈도우 방화벽 등의 개인용 방화벽을 사용한다.
5. 백신 등의 엔드포인트보안솔루션을 사용한다.
기사에서 소개한 도청프로그램에 대한 대응방안으로는 도청프로그램 자체가 아닌 악성코드의 감염을 막아야 하며, PC의 업데이트(패치) 관리 및 일반 사용자의 보안의식 재고(e메일 첨부파일 실행 시 주의 등)등이 있습니다. 따라서 아래와 같은 사용자 측면의 대응방안이 필요합니다.
1. 이메일, 메신저, 인터넷(P2P 등)에서 받은 파일 중 출처가 불분명하거나 수상한 파일은 실행하지 않고 삭제한다.
2. 불법소프트웨어를 사용하지 않고, 정품 소프트웨어를 사용한다.
3. 최신의 보안패치 적용, 강력한 패스워드 설정, 공유금지 등과 같은 기본적인 PC 보안 수칙을 준수한다.
4. 윈도우 방화벽 등의 개인용 방화벽을 사용한다.
5. 백신 등의 엔드포인트보안솔루션을 사용한다.
[5. 결론]
이번 건은 기술적 관점에서 새로운 것이 아닌 악성코드(바이러스, 웜 등) 감염 시 생길 수 있는 위협에 대한 하나를 소개한 측면이라고 봅니다.
일반 사용자는 PC 보안 수칙을 잘 준수하고, 기업/공공기관에서는 조직의 침해사고 예방/대응 지침을 잘 준수하면 예방이 가능합니다.
이번 건은 기술적 관점에서 새로운 것이 아닌 악성코드(바이러스, 웜 등) 감염 시 생길 수 있는 위협에 대한 하나를 소개한 측면이라고 봅니다.
일반 사용자는 PC 보안 수칙을 잘 준수하고, 기업/공공기관에서는 조직의 침해사고 예방/대응 지침을 잘 준수하면 예방이 가능합니다.
