- 국제 CC인증 획득으로 국내외 네트워크 보안 시장 공략 박차


글로벌 통합보안기업 안랩[대표 김홍선, www.ahnlab.com]은 자사의 네트워크 통합보안 솔루션인 ‘안랩 트러스가드[AhnLab TrusGuard, 이하 트러스가드]’가 최근 IT보안인증사무국으로부터 국제 CC인증을 획득했다고 발표했다.

 

국제공통평가기준인 CC[Common Criteria] 인증은 IT 솔루션의 보안성을 평가하기 위한 공신력있는 국제기준[ISO 표준]으로, 트러스가드는 이번에 EAL 2[Evaluation Assurance Level 2] 등급으로 인증을 획득했다.

 

안랩은 이번 국제 CC인증 획득으로 증명된 네트워크 보안 기술력과 신뢰성을 바탕으로, 최근 국내뿐만 아니라 해외에서도 관심이 높아지고 있는 네트워크 보안 시장 공략에 박차를 가한다는 계획이다.

 

트러스가드는 대규모 트래픽과 대용량 세션[PC와 PC 간 통신을 위한 연결 정보]을 고속으로 처리하는 고성능 네트워크 보안 솔루션이다. 높은 수준의 방화벽 성능을 제공하며, 외부에서 효율적이고 안전하게 내부 시스템에 접속할 수 있는 VPN[가상사설망, Virtual Private Network] 기능을 제공한다. 또한, 안랩의 안티바이러스 엔진과 디도스[DDoS, 분산 서비스 거부 공격] 방어 기술을 적용해, 악성코드 침입과 네트워크 이상 트래픽 탐지 및 차단 기능 등 차세대 방화벽 기능도 제공한다.

 

현재 트러스가드는 국내 다수의 기업, 공공기관, 학교, 병원 및 금융권을 중심으로 대형 고객사를 보유하고 있다. 해외의 경우, 태국, 말레이시아 등 동남아 국가의 정부기관 및 기업에 공급되어 있다.

 

안랩 김홍선 대표는 “이번 국제 CC인증은 안랩의 네트워크보안 기술력에 대한 신뢰성을 국제적으로 인정받은 것이다. 이번 인증으로 검증된 신뢰성과 안정성을 바탕으로, 해외 시장 진출을 더욱 활성화할 것으로 기대한다”고 말했다.

 

한편, 안랩은 이번 트러스가드의 CC 인증으로 미국 플로리다에서 열리는 제14회 ICCC[International Common Criteria Conference, 9/10~12]에서 공식적으로 CC인증서를 수여받는다. ICCC는 전세계 인증기관, 평가기관, 보안업체들이 참여하여 CC평가/인증에 대한 기술과 정책을 공유하는 자리이다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

-접속자 수 많으면서 보안 취약한 여행사 홈페이지에 악성코드 몰래 삽입 

-웹사이트 방문만으로도 금융정보 노리는 파밍 악성코드 설치 

-백신 업데이트, 수상한 메일 첨부파일 실행 금지 등 보안수칙 준수 


많은 직장인이 애타게 기다려온 여름 휴가가 있는 8월이다. 하지만 휴가철을 맞아 들뜬 마음으로 여행을 계획하는 사이에 자신의 금융정보가 유출될 수도 있다.

 

안랩[대표 김홍선, www.ahnlab.com]은 최근 각종 여행상품을 판매하는 여행 전문 웹사이트에서, 금융정보를 유출하는 악성코드 유포가 발견되어 사용자들의 주의가 필요하다고 발표했다.

 

이번 악성코드는 휴가철을 맞아 접속 빈도가 높아진 온라인 여행사의 홈페이지에 삽입되어 자동으로 설치되는 것이 특징이다. 따라서 사용자가 보안이 소홀한 여행사 홈페이지를 방문하기만 해도, 해당 홈페이지에 몰래 삽입된 악성코드가 자동으로 사용자 PC를 감염시킨다.

 

이 때 다운로드 되는 악성코드는 사용자의 금융정보를 탈취하기 위해, 공격자가 만들어 놓은 파밍사이트로 사용자의 접속을 유도하는 기능을 가지고 있다. 즉, 이 악성코드에 감염된 PC에서 사용자가 정상적인 금융사이트로 접속해도, 악성코드가 미리 설정해 놓은 가짜 뱅킹 사이트로 연결된다. 이후 사용자가 입력한 보안카드 번호, 계좌 비밀번호 등의 금융정보가 제작자에게 전송된다. 현재는 해당 홈페이지에 접속해도 악성코드 다운로드는 중지된 상태이다.

 

또한, 휴가를 다녀온 후 자주 받게되는 영수증 문서로 위장한 악성코드도 함께 발견되었다. 이 악성코드는 사용자가 이메일에 첨부된 영수증 위장 문서를 열면, 자동으로 PC에 설치된다. 이 악성코드는 방화벽 설정을 해제해, 원래 방화벽이 막아놓았던 외부 통신을 가능한 상태로 만들어 놓는다. 이 상태에서는 특정 서버로의 정보 유출이나 원격 접속 등 다양한 공격이 가능하다.

 

안랩 이호웅 시큐리티대응센터장은 “휴가철을 맞아 온라인 여행사 방문이 증가하고 있다. 하지만 사용자의 조그만 부주의로, 자신의 금융정보가 유출될 수 있다. 따라서 백신을 항상 최신으로 업데이트하고,신뢰할 수 없는 사이트 방문을 자제, 수상한 메일 첨부파일 실행을 금지하는 등 기본적인 보안수칙을 지키는 것이 중요하다”라고 말했다. 

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

- 안랩 V3모바일, 총 13.0 만점에 12.5점을 기록, AV-TEST 인증 획득 

- 악성코드 샘플 및 PUP(유해 가능 프로그램)를 100% 진단 


글로벌 정보보안 기업인 안랩[대표 김홍선, www.ahnlab.com]의 모바일 보안 제품인 V3 모바일 2.0[이하 V3 모바일]’이 독립 보안제품 성능 평가 기관인 AV-TEST[www.av-test.org]의 최근 7월 모바일 보안제품 테스트[보충자료 참조]에서 높은 점수로 인증을 획득했다.

 

안랩은 이번 테스트에 국내 기업 중 유일하게 참가해 연속 4회 인증을 획득해 모바일 보안 분야에서도 글로벌 기술력을 인정받았다. 특히, 서구권 위주의 악성코드 샘플이라는 불리한 상황에서도 악성코드 샘플 및PUP[Potentially Unwanted Program, 유해 가능 프로그램]를 100% 진단하고, 총 13.0 만점에 12.5점으로 인증을 획득[8점 이상 인증 통과]했다.

 

이번 테스트는AV-TEST가 7-8월에 시만텍, 맥아피 등 전세계 30개 모바일 보안 제품을 안드로이드 환경에서 진행했다. V3모바일은 이번 테스트에서 악성코드 및 PUP를 모두 진단해 탐지율[Protection]에서 6.0만점을 받았다.

 

또한, 오진 1개를 제외하고 제품 실행 시 단말기의 성능에 미치는 영향 평가에서도 상위권 점수를 기록해 사용편의성[Usability]에서도 6.0만점에 5.5점을 획득했다. 이밖에 악성코드 탐지 이외에 도난 방지[Anti-Theft] 기능, 스팸 전화·문자 방지 기능 등으로 부가 보안 기능에서도 추가 점수를 획득했다.

 

안랩 김홍선 대표는 “전 세계적으로 스마트폰이 보편화될 뿐만 아니라 이를 통한 업무 활동도 증가하면서 모바일 보안이 더욱 중요해지고 있다. 안랩은 국제 인증으로 증명된 높은 기술력을 바탕으로 국내외 모바일 보안시장 공략을 강화할 것이다”라고 말했다.

 

한편, 이번 AV-TEST의 모바일 보안제품 성능 평가에는 글로벌 보안업체 30곳이 참여해 27개가 테스트를 통과했다.

 

V3 모바일은 다양한 국제 인증으로 검증된 악성코드 분석 능력과 글로벌 수준의 대응 체제를 바탕으로 신종 모바일 악성코드에 즉각 대응할 수 있다. 또한, 타사 대비 검사 속도와 진단율은 높고, 프로그램 설치 사이즈 및 메모리 사용량과CPU 점유율은 낮은 것이 강점이다. 현재 삼성[갤럭시 제품군]과 LG[옵티머스 제품군]의 스마트폰에 기본 탑재되어 있다. 

 

<보충자료>

AV-TEST의 모바일 보안제품 테스트

모바일 보안제품 평가는 권위있는 글로벌 보안제품 성능 평가기관인 AV-TEST가 2013년 1월부터 새롭게 시작된 것으로, 현재까지 가장 신뢰할 수 있는 모바일 보안제품 성능 테스트다. 악성코드 탐지율, 오진, 모바일 디바이스 성능 저하율, 부가기능 등 다양한 측면에서 보안제품의 성능을 테스트한다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

- 안랩 MDS, 94.7 퍼센트의 정보유출 방지 및 진단율을 기록


글로벌 정보보안 기업인 안랩[대표 김홍선, www.ahnlab.com]의 APT대응 전문 솔루션 ‘안랩 MDS [AhnLab Malware Defense System, 국내제품명 트러스와처]’가 권위있는 글로벌 독립 보안테스트 기관인 NSS Labs[www.nsslabs.com,이하 NSS]가 7월에 실시한 ‘정보유출 진단 제품 분석[Breach Detection System Product Analysis]’테스트에서 높은 점수를 획득했다.

 

최근 몇 개월 간, NSS는 미국 텍사스에 위치한 자사 연구소에서 APT성 공격으로 인한 정보유출 대응에 대한 심도있는 테스트를 실시했다. 이번 테스트는 인터넷 및 이메일로 전파되는 악성코드, 취약점, 보안제품 우회 악성코드 및 전체적인 정보유출 진단 및 치료에 대한 항목으로 실시되었다.

 

안랩MDS는 이번 장기간 테스트에서 94.7 퍼센트의 정보유출 방지 및 진단율을 기록해 높은 점수를 획득했다. 안랩 MDS는 신속한 악성코드 진단과 광범위한 전사 시스템 보호, 자동 치료 기능을 제공한다. 특히, 유일한 전용 하드웨어 장비와 분석 소프트웨어 융합제품으로, 기업 및 기관을 노리는 APT형 공격과 제로데이[보충자료 참고]공격에 대한 강력한 방어기능을 제공한다.

 

안랩 김홍선 대표는 “NSS는 글로벌 독립 보안 제품 및 성능 테스트 전문기관이다. 이번 테스트는 안랩의 세계 수준의 보안 기술력, 손쉬운 사용, APT방식의 공격을 비롯한 진화한 악성코드 방어 능력을 가지고 있음을 인정받은 것이다. 특히, 대규모 장비나 별도 소프트웨어 라이선스가 필요한 다른 벤더와는 달리, 안랩 MDS는 단일 구성으로 효과적인 전사보안 및 통합관리가 가능하다. 국내 벤더 중 유일하게 받은 이번 테스트 결과를 바탕으로, 해외 APT 관련 시장 공략을 가속화 할 것이다”라고 말했다.

 

한편,안랩은 7월 27일에서 8월 1일[현지시간]까지 미국 라스베가스에서 열리는 글로벌 보안 컨퍼런스 ‘블랙햇[Black hat] 2013에 참가해 안랩 MDS를 소개했다.

 

<보충자료>

*제로데이 취약점

특정 소프트웨어 제작사에서 패치가 아직 나오지 않은 보안 취약점. 이 시점에서 이루어지는 공격을 ‘제로데이 공격’이라 한다

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

- 다차원 분석 플랫폼 기반으로 V3 전 제품군에 악성코드 대응력 강화, 엔진사이즈 감소 및 빨라진 검사속도, 사용자 편의성 대폭 향상 

- 매체제어 기능 포함한 기업용 PC 보안통합 관리 솔루션 ‘V3 ES 9.0’ 동시 출시


V3 탄생 25주년을 맞은 보안 기업 안랩이 보안 기능을 대폭 강화시킨 개인 및 기업 사용자용 새로운 V3 제품군을 출시했다.

 

안랩[대표 김홍선 www.ahnlab.com]은 30일, 새로워진 다차원 분석 플랫폼을 적용해 더욱 강력한 악성코드 방어 기능을 제공하는 V3 제품군 4종의 새 버전과 1개의 신제품을 정식 출시했다.

 

오늘 공개된 신제품은 ‘다차원 분석 플랫폼’을 기반으로 탄생했다. 안랩의 다차원 분석 플랫폼이란 새로운 V3의 통합 플랫폼으로, 강력한 악성코드 통합 분석 및 대응, 향상된 탐지 및 진단 기능을 제공한다.

 

새로운 버전의 V3 제품군은 개인사용자용 토털 PC보안 케어 제품‘V3 365 클리닉’, 중소기업용 통합 PC 보안 솔루션 ‘V3 MSS[Managed Security Service]’, 기업용 PC 보안 제품인 ‘V3 인터넷 시큐리티 9.0[V3 Internet Security 9.0]’, 서버전용 백신 ‘V3 Net 9.0’이며, 새롭게 선보인 제품은 기업용 PC 보안통합 관리 솔루션인 ‘V3 엔드포인트 시큐리티 9.0[V3 Endpoint Security 9.0]이다.

 

진단기능 추가로 악성코드 방어기능 강화


오늘 공개한 새로운 버전의 V3 유료 제품군에는 안랩의 클라우드 기술인 ‘안랩 스마트 디펜스[AhnLab Smart Defense]’ 기반의 강력한 악성코드 탐지 기능과 행위기반 진단과 평판기반 진단 기술을 추가로 탑재해 악성코드 대응력을 크게 향상되었다.

또한, 의심 파일의 행위를 분석해 알려지지 않은 악성코드의 실행을 사전 차단하는 ‘행위기반 진단’, 의심 파일에 대한 클라우드 평판 정보로 의심스러운 신규 파일을 분석하는 ‘평판기반 진단’을 통해 더욱 정교한 악성코드 탐지가 가능하다.

이러한 행위기반 및 평판기반 진단 기술로 사전 차단된 악성코드 유포경로를 실시간으로 추적/관리해 사용자들의 악성 웹사이트 혹은 피싱사이트 방문을 차단하는 사전 예방 기능도 새롭게 제공한다. 이에더해, 이상/과다 트래픽 등 네트워크의 의심 행위를 바탕으로 침입을 탐지하고 차단하는 네트워크 보안 기능도 새로 탑재했다.

 

엔진사이즈 감소 및 검사속도 증대[기존 V3 대비 30% 엔진 경량화, 최대 10배 빠른 검사]


새로운 엔진인 ‘TS 프라임[TS Prime]’엔진을 적용해 엔진 크기와 검사 시 PC의 시스템 부담을 대폭 감소시키고, 검사속도는 빨라졌다. 새로운 V3 플랫폼은 악성코드의 고유정보[DNA]를추출하는 방식으로 엔진 용량을 기존 V3 제품군 대비 30% 수준으로 경량화해, 사용자 PC의 시스템 부담은 대폭 감소했다. 이와 함께, 최초 1회 검사로 안전성 확보 후 새로운 파일 및 변환된 파일을 검사하는 ‘스마트 스캔[Smart Scan]’ 기술로 검사 속도가 기존 V3 대비 최대 10배 가량 빨라졌다.

 

능동적 위협관리 기능 ‘액티브 디펜스[Active Defense]’


새롭게 추가된 ‘액티브 디펜스[Active Defense]’로 사용자 PC에서 발생한 프로그램의 행위 정보와 문제가 될 만한 가능성이 있는 파일을 필터링한다. 또한, 사용자에게 의심스러운 파일 및 프로세스에 대해 평판 정보, 프로그램의 의심 행위 정보 등 의심파일에 대한 상세한 정보를 제공해 사용자의 능동적 대응이 가능하다. 액티브 디펜스 기능은 사용자가 자신의 PC 상태를 파악하고 능동적으로 대응 할 수 있도록 프로그램 활동 내역 정보, 동작 중인 프로세스 정보. 최근 생성된 파일 정보, 클라우드 자동분석 목록 등 다양한 정보를 제공한다.

 

사용자 편의성 강화


사용자 인터페이스도 대폭 변화했다. 먼저 첫 화면에 파랑[안전], 노랑[주의], 주황[위험] 등 알기 쉬운 색상을 사용해 사용자가 PC의 보안 상태를 한눈에 알 수 있다. 제품의 각종 상태를 점검해 문제를 해결하는 ‘해결하기’와 PC 검사 및 최적화 등 핵심 기능을 타일형식으로 배치해 첫 화면에서 즉시 이용할 수 있다. 이전에 찾기 어려웠던 복잡한 옵션 기능도 단순화해 사용자가 다양한 기능을 손쉽게 활용할 수 있다. 또한, 보안센터 기능을 새롭게 추가해, 6가지 보안상태[네트워크보안, 클라우드보안, PC보안, 평판기반실행차단, 행위기반 진단, 액티브 디펜스]를 실시간으로 보여주고 관련 상세정보를 제공한다. 개인용 제품인 V3 365 클리닉의 경우 보안 전문 클리닉 서비스를 한 곳에 모아 손쉽게 서비스를 이용할 수 있도록 사용성이 강화됐다.

 

[신제품] ‘V3 엔드포인트 시큐리티 9.0[V3 Endpoint Security 9.0]’


오늘 새롭게 선보인 V3 엔드포인트 시큐리티 9.0는 기업용 PC 보안통합 관리 솔루션으로, 매체제어 기능을 가지고 있는 것이 특징이다. 안랩의 전사 SW 관리솔루션인 안랩 폴리시 센터[AhnLab Policy Center]와 함께 사용하면 USB, 블루투스, CD/DVD 드라이브, 스마트카드 리더 등 PC와 연결되는 모든 매체의 권한을 중앙에서 일괄적으로 관리할 수 있어, 더욱 광범위한 보안이 가능하다. 하반기에는 안랩의 보안제품과 기능연결을 제공해, 손쉬운 전사 PC 통합관리가 가능하다.

 

안랩 김홍선 대표는 "최근의 고도화되는 보안위협에 대응하기 위해서는 악성코드 유입 단계부터 능동적으로 대응하는 것이 중요하다. 이에 안랩은 평판 기반, 행위 기반 등 진일보한 기술을 결합해 다차원 분석 플랫폼을 구축하고 이를 통해 더욱 강력해진 V3 제품군을 선보였다. 특히, V3 탄생 25주년을 맞는 올해에 이를 발표하게 되어 더욱 의미가 있다. 앞으로도 안랩은 안전한 온라인 환경을 만들어 나가기 위해 기술 개발을 이어나갈 것이다.”고 말했다.

 

한편, 안랩은 V3 제품군 통합 출시를 기념해 안랩닷컴 사이트[http://www.ahnlab.com/kr/site/event/event/V3platform.do]에서 퀴즈 맞추기, 영상 소문내기, 구매고객 혜택 제공 등 다양한 프로모션을 오늘부터 시작한다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

- 문서 파일 실행 시 취약점으로 인해 악성코드 설치, 실행 

- SW 보안 패치, 백신 실시간 감시 기능 실행 등 필수


정보보안 기업 안랩[대표 김홍선, www.ahnlab.com]은 한/글 프로그램에서 보안 취약점이 발견되어 이에 대한 보안 패치를 적용하라고 11일 권고했다.


이번에 발견된 취약점은 한/글 문서를 실행했을 때 특정 악성코드가 설치, 실행되는 것이다. 안랩은 취약점을 발견한 7월 5일 한글과컴퓨터사에 관련 정보를 공유했고, 한글과컴퓨터사는 10일 보안 패치를 완료해 사용자에게 공지했다. 한컴 오피스 2007, 한/글 2007, 한/글 2005, 한/글 2004, 한/글 2002 SE 사용자는 해당 패치를 반드시 업데이트해야 안전하다.


이번 악성코드는 ‘동북아 평화 협력 구상 어떻게 실현할 것인가’라는 제목의 문서에 삽입되어 소형 커뮤니티 사이트에 업로드되었거나 이메일에 첨부되어 유포된 것으로 추정된다. 악성코드에 감염되면 HWP 파일은 물론 DOC, PPT, PDF, TXT, XLS, RAR, ZIP 등의 파일을 외부로 유출한다. 또한 MAC 주소, 사용자 이름 등 시스템 정보도 외부로 유출한다. 또한 PC를 감염시킨 후에는 자신을 정상 한/글 파일로 덮어씀으로써 사용자로 하여금 악성코드 감염 사실을 인지하기 어렵게 한다. 해당 악성코드는 V3 제품군 최신 버전으로 진단/치료할 수 있다. [진단명 Win-Trojan/Infostealer.147456.B]


안랩 시큐리티대응센터 김아영 주임연구원은 “소프트웨어의 취약점을 이용하는 악성코드가 많이 발견되는 가운데 사용자가 많은 문서 프로그램의 취약점을 겨냥하는 경우가 급증하고 있다.”라고 분석했다.


이호웅 시큐리티대응센터장은 “인터넷 검색 시 아무 파일이나 다운로드하지 말고 이메일에 첨부된 문서로 함부로 실행하지 말아야 한다. 항상 최신 버전의 백신을 사용하고 실시간 감시 기능을 켜두는 것이 안전하다.”라고 강조했다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

- 파일 삭제, 하드디스크 파괴, 하드디스크 파괴 기능의 MBR 삽입 등이 주요특징 

- 3.20 사이버 테러 악성코드와 기능상 다양한 차이점 존재 

- V3 제품군(기업용 V3 IS(Internet Security) 계열과 개인용 무료백신 V3 Lite(2013.6 출시 버전))으로 진단/치료 가능

 

정보보안 기업 안랩[대표 김홍선 www.ahnlab.com]은 지난 25일 일부 정부기관에 대한 디도스[DDoS: Distributed Denial of Service, 분산 서비스 거부] 공격 관련 [26일 새벽 02시 20분경 발표한]보도자료에서 언급한 하드디스크 파괴기능을 가진 악성코드의 상세분석결과를 28일 중간발표했다.

 

이번 악성코드의 특징은 감염 후 1. 파일 삭제, 2. 사용자 PC 재부팅 시 하드디스크 파괴[MBR 삭제, 데이터 영역 삭제], 3. 하드디스크 파괴 기능의 MBR[Master Boot Record] 직접 삽입이다.

 

특히 PC를 켜는데[PC 부팅] 필요한 정보들이 저장된 영역인 MBR에 하드디스크를 파괴하는 코드가 삽입되어있어 백신 제품의 치료를 어렵게 한다.

* MBR 기능: MBR은 부팅에 필요한 정보가 저장된 영역이다. PC에 전원이 들어오면 메모리가MBR에 있는 정보를 읽어서 운영체제[OS:Operating System]를 작동시킨다.

 

또한 파일 삭제나 하드디스크 파괴를 수행하는 과정 중에 시스템 크래쉬[System Crash] 등 여러가지 이유로 BSOD[Blue Screen Of Death]현상이 나타나거나 재부팅하더라도 파괴 기능이 지속된다.

* 시스템 크래쉬[System Crash]: 시스템 충돌. BSOD[Blue Screen Of Death], 재부팅 등 컴퓨터 장애의 원인 중 하나

* BSOD[Blue Screen Of Death] : 작동오류로 블루스크린이 나타나는 현상

 

특히 안랩은 이번 공격에 사용된 악성코드는 2013.3.20 사이버 테러와는 차이를 보인다고 밝혔다.

 

안랩 관계자는 "감염 후 1. 파일을 삭제하고, 2. 하드디스크 파괴 기능이 MBR[Master Boot Record] 삽입되어 있으며, 3. 데이터 영역 삭제 시에 특정 문자열[PRINCPES같은]이 아닌 랜덤 문자열로 덮어쓰기를 시도하고 ,감염 즉시 데이터 영역을 삭제하지 않고 재부팅 시 삭제하는 점 등은 2013.3.20 사이버 테러에는 없던 증상"이라며 "이밖에 패스워드 변경 및 바탕화면 변경도 이전에는 없던 점"이라고 전했다.

 

해당 악성코드는 V3제품군[기업용 V3 IS[Internet Security] 계열과 개인용 무료백신 V3 Lite[2013.6 출시 버전]으로 진단치료할 수 있으며, 볼륨보호 기능이 있어 MBR 파괴를 막을 수 있다.

 

안랩 관계자는 "현재까지 분석결과 악성코드가 기업, 기관 등 서버 관리자를 타킷으로 한 것으로 보이나 내부 테스트결과 개인PC에서도 작동한다."며 주의를 당부했다.

 

안랩은 하드디스크파괴 악성코드 분석결과를 한국인터넷진흥원[KISA] 등 유관기관에 공유했다.


<3.20 사이버 테러와의 차이>

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

- 개인 및 기업 내 PC 좀비화 방지로 디도스 공격 근원 차단 

- 개인은 물론 기업/기관도 무료 사용..기존 V3 사용자는 최신 버전으로 치료 


정보보안 기업 안랩[대표 김홍선 www.ahnlab.com]은 25일 일부 정부기관에 대한 디도스[DDoS: Distributed Denial of Service, 분산 서비스 거부] 공격이 발생함에 따라 개인 사용자가 공격에 악용되지 않도록 디도스 공격 유발 악성코드를 진단/치료하는 전용백신을 개발해 무료 제공하고 있다. [http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=111]

 

26일 오후 17시 35분부터 제공 중인 1차 전용백신에는 정부통합전산센터 웹사이트를 디도스 공격한 8개의 악성코드에 대한 진단/치료 기능이 들어있다. 27일 오후 5시부터 제공 중인 2차 전용백신에는 청와대, 국정원, 새누리당 웹사이트를 디도스 공격한 악성스크립트[JS/Agent]에 대한 진단/치료 기능이 추가됐다.       

 

이번 전용백신은 개인은 물론 기업/기관에서도 무료 사용할 수 있다. 또한 개인용 무료백신 ‘V3 LIte’[http://www.ahnlab.com/kr/site/product/productView.do?prodSeq=8&svccode=aa1001&contentscode=483]를 비롯해 ‘V3 365 클리닉’[http://www.ahnlab.com/kr/site/product/productView.do?prodSeq=15], V3 Internet Security 8.0 등 V3 제품군 사용자는 사용 중인 제품의 최신 버전으로 진단/치료할 수 있다.

 

한편, 정부통합전산센터 웹사이트를 디도스 공격한 8개의 악성코드는 각기 역할이 나눠져 있다. 사용자가 웹하드 관련 업데이트 파일로 오인해 SimDiskup.exe 파일을 실행하면 ~simdisk.exe 파일이 생성되고 디도스 공격을 수행하는 oleschedsvc.dll 파일을 다운로드한다.

 

청와대, 국정원, 새누리당 웹사이트를 디도스 공격한 JS/Agent는 악성스크립트가 심어진 웹사이트에 접속했을 때 PC에 설치되는 악성코드이다. 이 악성코드는 악성스크립트가 심어진 웹사이트에 접속했을 때만 활성화하여 특정 웹사이트에 디도스 공격을 가한다.

 

안랩의 김홍선 대표는 “디도스 공격은 좀비PC에서 시작되므로, 개인용 PC와 기업 내 PC 모두 의도치 않게 공격자가 될 수 있다. 따라서 디도스 공격의 시발점인 PC에서 악성코드를 제거하는 것이 중요하다.”라고 강조했다. 또한 “웹사이트를 운영하는 기업/기관에서는 디도스 차단 기능이 있는 네트워크 보안 솔루션이나 보안관제 서비스를 이용해 피해를 최소화해야 한다.”라고 말했다.


----------<보충 자료>-----------

 

*디도스 공격 악성코드 파일명과 기능

파일명

기능

SimDiskup.exe

웹하드 사이트인 심디스크[Simdisk]의 설치 파일을 변조한 것으로 사용자를 속이기 위한 것이다.

servmgr.exe

드롭퍼[Dropper] 역할시스템의 운영체제 버전 정보를 체크한 후 동일한 악성코드에 이미 감염되어 있는지를 확인한다.

~simdisk.exe

네트워크 접속 정보의 감시추적 및 분석을 어렵게 한다.

ole[정상윈도우서비스명].dll

특정 URL로 접속해 디도스 공격 시각[6 25 10정보를 담은 파일을 다운로드한다.

wuauieop.exe

디도스 공격을 수행한다.

~DR.tmp

ole[정상윈도우서비스명].dll 파일을 생성하고 윈도우 서비스에 등록한다.

~ER.tmp

32비트 윈도우 운영체제에서 UAC[User Account Control, 사용자 계정 컨트롤]를 우회한다.

~ER.tmp

64비트 윈도우 운영체제에서 UAC를 우회한다.

  

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

- 청와대, 국정원, 새누리당 사이트는 악성 스크립트 방식의 새로운 디도스 공격 받아 

- 정부통합전산센터는 좀비PC방식의 기존 디도스 방식 공격 받아 


안랩[대표 김홍선 www.ahnlab.com]은 25일 일부 정부기관을 공격한 디도스[DDoS: Distributed Denial of Service, 분산 서비스 거부] 공격에 대한 분석내용을 추가 발표했다. 안랩은 이번 정부기관에 대한 디도스 공격은 악성스크립트를 이용한 새로운 방식과, 악성코드에 감염된 좀비PC를 이용하는 기존 디도스 공격 방식이 혼재되어 있다고 밝혔다.

 

안랩은 청와대, 국정원과 새누리당 웹 사이트는 ‘악성스크립트 방식’의 디도스 공격을 받았고, 이는 국가적 대형 디도스 공격에 처음으로 사용된 기법이라고 밝혔다. 또한 안랩은 정부통합전산센터의 DNS[Domain Name Service]서버는 좀비PC를 사용한 기존 방식의 디도스 공격을 받은 것으로 확인했다. 

 

안랩이 최초로 확인한 ‘악성스크립트 방식’ 디도스 공격은 기존 좀비PC를 이용한 공격과 달리, 공격자가 특정 웹사이트에 악성스크립트를 설치하고 사용자들이 이 사이트를 방문하면, 미리 설정해놓은 웹사이트로 공격 트래픽을 발생시키는 방식이다. 안랩 분석결과,사용자가 악성스크립트가 설치된 해당 웹사이트에 정상 접속[방문]하자, 공격자가 타겟으로 정한 청와대, 국정원과 새누리당 웹사이트로 트래픽이 발생하는 것을 확인하였다.

 

한편, 정부통합전산센터 공격은 기존의 좀비 PC를 통한 디도스 공격 방식을 이용한 것으로 확인되었다. 공격자는 우선 25일 00시부터 특정 웹하드의 설치 파일과 업데이트 파일을 통해 개인사용자 PC를 악성코드로 감염시킨 후 좀비PC로 만들었다. 이후 25일 오전 10시에 좀비PC들이 특정 서버를 디도스 공격하도록 C&C서버[공격자가 악성코드에 명령을 내리는 서버]로 명령을 내린 것으로 확인됐다. DNS[Domain Name Service]서버는 웹 사이트 이용자들이 정부 기관의 주소를 입력하면 이를 실제 웹사이트로 연결시켜주는 기능을 하는데, 이 DNS서버가 공격을 받아 일부 정부기관 웹사이트들의 접속이 원활하지 못했던 것이다.

 

공격자는 확보한 좀비PC를 이용해 정부통합전산센터에 있는 두 대의 DNS서버[aaa.co.kr 등의 영어 주소이름을 111.222.333.444 등의 실제 웹사이트의 IP로 연결시켜주는 서버]에 무작위로 생성한 방대한 양의 도메인 이름 확인요청을 일시에 보내는 ‘DNS 디도스 방식’으로 공격을 감행했다.  또한, 많은 좀비 PC로 특정 서버에 일괄 접속하는 일반적인 디도스 공격 방식이 아니라 요청하는 정보의 크기를 늘려서 서버에 부하를 주는 방식을 사용했다. 이 방식의 디도스 공격에 사용된 악성코드 분석 정보는 안랩 ASEC블로그[http://asec.ahnlab.com/949]에서 확인할 수 있다.

 

안랩 관계자는 “이번 악성 스크립트를 이용한 디도스 공격은 지금까지 국가적 대형 디도스 공격에 보고된 적이 없는 새로운 공격방식이다. 이런 새로운 방식의 디도스 공격을 방지하기 위해서는 웹사이트 운영자들은 자신이 운영하는 웹사이트가 악성코드 유포지나 디도스공격에 이용되는 일이 없도록 보안에 만전을 기해야 한다. 더불어 사용자들은 신뢰할 수 없는 사이트 방문을 자제해야 한다.”고 말했다. 

 

안랩은 정부기관 디도스 공격에 이용된 악성코드와 별도로 일부 언론사에 대한 디도스 공격 악성코드를 발견했다고 밝혔다. 또한 하드디스크 파괴기능을 가진 악성코드도 추가로 확인했다. 안랩은 해당 악성코드들에 대해서도 이미 엔진 업데이트 등 대응을 완료했으며 현재 상세 분석 중이다.

 

안랩은 “좀비PC를 이용한 기존 방식의 디도스 공격은PC 사용자들이 백신업데이트 및 정밀검사를 통해 자신의 PC가 좀비화되지 않도록 관리하는 것이 무엇보다도 중요하다”며 PC사용자들의 주의를 당부했다. 안랩 V3는 현재 해당 좀비PC 악성코드를 모두 진단하고 있으며 안랩은 향후 악성코드 추가 발견 시 지속적으로 엔진을 업데이트 할 예정이다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

- 안랩, 25일 00시부터 웹하드를 통해 디도스 유발 악성코드 배포 확인 

- 좀비PC를 치료하는 것이 근본적인 해결책, 백신 업데이트 후 검사 필요 

- 안랩 V3에 긴급 엔진업데이트 완료, 추후 지속적 업데이트 및 상세분석 예정 


안랩[대표 김홍선 www.ahnlab.com]은 금일 일부 정부기관을 공격한 디도스[DDoS; Distributed Denial of Service, 분산 서비스 거부] 악성코드에 대한 분석내용을 중간 발표했다.

 

안랩은 이번 디도스 공격을 유발한 악성코드는 25일 00시부터 배포되었으며, 25일 오전 10시에 DDoS 공격을 수행하도록 C&C서버로부터 명령을 받은 것으로 확인되었다. 또한, 2011년 3.4 DDoS 때와 같이 웹하드를 통해 악성코드가 배포된 것으로 분석했다.

 

안랩은 "공격자가 웹하드 업데이트 기능을 이용해 개인사용자 PC를 악성코드로 감염시킨 후 좀비PC를 만들고, 이들[좀비PC]을 이용해 다량의 트래픽[DNS[Domain Name System] 쿼리[Query]]을 정부기관 네임서버에 일시에 보내 정부기관 접속을 방해한 것으로 분석되었다"고 현재까지의 분석 결과를 밝혔다.

 

한편, 안랩은 이번 디도스 유발 악성코드를 분석하는 한편, 악성코드 샘플과 유포지 정보를 관계기관에 공유했다.

 

안랩은 악성코드들 일부를 이미 진단하고 있었으며, 추가 발견된 악성코드에 대해서 V3엔진에 긴급 반영 했다. 또한 향후 악성코드 추가 발견 시 지속적으로 엔진을 업데이트 할 예정이다.

 

안랩은 "만약 상당히 많은 좀비 PC가 사용되었을 경우 엄청난 트래픽 공격으로 인해 서버 다운 등의 추가 피해가 있을 수 있어 주의가 요구된다"며 "디도스 공격을 유발하는 좀비PC와 악성코드 유포지를 차단하는 것이 시급하다."라고 밝혔다.

 

또한 PC사용자들이 백신을 최신으로 업데이트해 PC를 정밀검사하는 것이 반드시 필요하다고 당부했다.

 

현재 안랩은 확보한 디도스 유발 악성코드 샘플을 상세 분석 중이며, 향후 추가적으로 자세한 사항을 공유할 예정이다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원