저번주는 기본적인 보안시스템인 방화벽, IDS, IPS 를 알아보고 DDoS를 알아보았다.
이번주는 악성코드와 탐지 정확도에 대해서 조사해 보겠다.
#1 탐지 정확도
보안에서 악성 코드 및 악성 파일 등 위협이 되는 것을 탐지하는 구분은 4가지가 있다.
True / False : 탐지가 맞고 / 틀린지
Positive / Negative : 탐지 했는지 / 탐지 못했는지
1. 정탐 (True Positive)
보안 시스템이 실제로 위험한 악성 코드나 악성 파일을 정확히 탐지한 경우이다. 예를 들면, 스팸 메시지를 스팸 함에다 넣은 것이다. 이는 정보 보안 시스템의 효과성을 나타내는 지표로도 사용된다.
2. 오탐 (False Positive)
-
정의
위험하지 않은 코드나 파일을 보안 시스템이 위험하다고 잘못 탐지한 경우이다. 예를 들면, 스팸 메시지가 아닌데 스팸함에 넣어버린 것이다. 백신 소프트웨어가 정상 프로그램을 악성코드로 잘못 진단한 경우도 있다. -
발생 원인
패턴 매칭의 한계와 데이터의 품질 문제로 발생한다. -
실제 사례
2022년 08월 알약 오탐 사건, 이스트소프트의 '알약' 이 특정 정상 파일을 악성코드로 잘못 인식하여 삭제하는 문제가 발생했다. -
영향
사용자 불편이 생기고, 정상적일 때도 경고를 남발하면 양치기 소년이야기와 같이 사용자들의 경각심이 떨어지게 된다.
3. 미탐 (False Negative)
-
정의
실제로 위험한 코드나 파일인데 보안 시스템이 탐지하지 못한 경우. 예를 들면, 스팸메시지가 일반 메일함으로 들어온 것이다. 그 결과 보안 침해로 인한 피해가 발생한다.
제로데이 취약점 공격 -
실제사례
새로운 변종 바이러스가 탐지되지 않을 때도 있다. -
영향
완벽한 보안 시스템은 없지만 미탐을 최소화하여야 한다.
4. 오탐과 미탐의 균형
위험하지 않은 것을 위험하다고 하는 경우와 위험한 것을 위험하지 않다고 하는 경우이다.
결과적으로 오탐이 자주 발생하면 바로잡기 위한 비효율 증가와 사용자의 불편이 발생한다. 반대로 미탐이 발생하면 악성코드에 노출되었다는 뜻이라 매우 위험하다.
- 해결방안
개선된 학습 알고리즘을 사용하거나 머신러닝을 통한 탐지 정확도를 향상해야 한다.
정밀한 패턴 분석으로 더욱 세밀한 탐지 룰을 적용해야 한다.
두 오류 사이의 균형을 잡는 것이 중요하다. False Positive를 줄이려다 False Negative가 증가할 수 있으며, 그 반대의 경우도 마찬가지다. 이 균형을 최적화하는 것이 효과적인 보안 시스템 구축의 핵심이다.
#2 여러 유형의 악성코드
악성코드에는 굉장히 다양한 유형의 악성 코드들이 있으나 각 업체별로 나누는 것도 다르다.
1. 바이러스
가장 기본적인 형태로 정상 파일을 감염 시키는 형태의 악성코드이다. 감염 파일 (숙주 파일)에서 다른 정상 파일로 자기 복제 능력을 지니고 있다.
- 실제 사례
1) 2000년대 필리핀에서 제작된 ILOVEYOU 바이러스
메일을 통해 감염되었으며, 해당 소프트웨어를 실행하는 순간 모든 파일을 ' I Love You ' 라는 내용이 적힌스크립트 파일로 만든 바이러스
2) 1999년 Melissa
이메일을 통해 빠르게 확산. 문서 파일 (DOC 파일-워드파일 형식)에 포함되어 이메일 첨부파일로 전송되었다. 사용자가 이 문서를 열면 바이러스가 Microsoft Outlook을 통해 주소록의 상위 50명을 대상으로 자동으로 바이러스를 전송했다. 많은 이메일 서버가 과부화되었고, 기업 및 기관의 이메일 시스템에 큰 영향을 미쳤다.
2. 웜
스스로를 복제하는 악성코드, 바이러스는 다른 실행 파일에 기생하지만 웜은 독자적으로 실행된다. 감염된 호스트 네트워크를 통해 자신의 복사본을 전송해 감염시킨다. 치료하려면 숙주 호스트의 웜을 치료해야 한다.
- 실제 사례
1) 2010년 발견된 Stuxnet
윈도우를 통해 감염되어 지멘스 산업의 소프트웨어 및 장비를 공격하는 악성코드. 스턱스넷은 이란의 나탄즈(Natanz) 우라늄 농축 시설에 있는 원심분리기를 목표로 만들어졌다. 이 웜의 핵심 목표는 핵무기 개발 활동을 방해하기 위한 것으로 알려져 있습니다. 2010년 이란 나탄즈 원자력 발전소는 이 스턱스넷으로 인해 원심 분리기 1천여 대가 파괴된 사례
스턱스넷은 Windows 운영 체제의 취약점을 이용해 자신을 전파했다.
내부에서 Siemens의 SCADA 시스템(산업 제어 시스템)을 감염시켜 원심분리기를 오작동하게 만들었다. 이것은 직접적인 물리적 손상을 일으킬 수 있는 드문 사례이다.
웜은 시스템에 자신을 숨겨 평상시처럼 보이게 했으며, 외형상 정상 운영이 이뤄지는 것처럼 보였다.
2) 1988년 Morris Worm
1988년에 배포된 첫 번째 널리 알려진 웜
이 웜은 유닉스 시스템의 취약점을 이용했으며 네트워크를 통해 다른 컴퓨터로 전파되었다.
피해: 당시 인터넷에 연결된 약 10%의 시스템(약 6,000대 컴퓨터)이 감염되었으며, 시스템 속도가 느려지거나 네트워크가 불안정해지는 등의 문제를 일으켰다. 이 사건은 컴퓨터 보안의 중요성을 일깨워주었다.
3) 2004년 Mydoom
Mydoom은 이메일 첨부파일과 피어투피어(P2P) 네트워크를 통해 전파되었다. 이메일로 전송된 첨부파일을 사용자가 열면 웜이 활성화되어 자기 자신을 다른 이메일 주소로 퍼트리게 된다. Mydoom은 감염된 시스템을 이용하여 대규모의 DDoS(Distributed Denial of Service) 공격에 사용될 수 있는 백도어를 설치했다. 이 웜은 2004년에 처음 유포되어 많은 기업과 개인 사용자들에게 큰 피해를 주었으며, 인터넷 트래픽을 상당히 증가시켰다.
4) 2008년 Conficker
Conficker (2008)
소개: Conficker 웜은 2008년에 발견되었으며, 운영체제의 취약점을 이용하여 전 세계적으로 확산되었다.
전파 방식: 주로 Windows 운영체제의 취약점을 악용하여 네트워크를 통해 퍼졌습니다. USB 장치를 통해서도 전파될 수 있었다.
피해: Conficker는 정부 기관, 군사 조직, 개인 사용자 등 다양한 대상에 큰 영향을 미쳤으며, 감염된 시스템은 봇넷의 일부로 활용될 위험이 있었다. 이 웜은 백그라운드에서 비밀번호를 수집하고 시스템을 원격으로 제어할 수 있었다.
3. 트로이목마
정상적인 프로그램으로 위장한 악성코드이다. 바이러스나 웜처럼 컴퓨터에 직접적인 영향을 주지는 않지만, 악의적인 공격자가 침투해 통제할 수 있는 권한을 부여하게 된다. 거의 모든 악성 코드에 포함된 경우가 많다.
- 실제 사례
1) 2007~ 2009년 Zeus
금융 정보를 탈취하는 목적으로 사용되었다.
기능: 주로 인터넷 뱅킹 로그인 정보를 훔쳤다. 키로깅(사용자가 입력하는 데이터를 기록) 기능을 통해 사용자의 계정 정보를 수집하고, 이를 이용해 불법적인 금융 거래를 수행한다.
Zeus는 이메일 첨부 파일이나 피싱 웹사이트를 통해 전파되다.
인증서를 훔치거나 자동 결제 시스템 급여 시스템에 대한 비 인증 온라인 거래 등 범죄에 활용된 사례
2) Emotet
소개: Emotet은 처음에 은행 트로이 목마로 시작했지만, 이후 다양한 페이로드를 담은 모듈식 악성코드로 진화했다.
기능: Emotet은 감염된 시스템에 추가 악성코드를 다운로드하고 실행하는 기능을 가진다. 이를 통해 다른 악성코드를 퍼뜨리는 플랫폼으로 작동했다.
전파 방법: 스팸 메일을 통해 워드 문서의 매크로 기능을 악용하여 감염이 확산되었다. 이메일 캠페인으로서 비즈니스와 개인 사용자를 타겟팅했다.
3) Remote Access Trojan (RAT) - Back Orifice
소개: Back Orifice는 1998년에 해커 그룹인 Cult of the Dead Cow에 의해 개발된 원격 액세스 트로이 목마다.
기능: 시스템의 원격 제어를 허용하여 파일 삭제, 화면 캡처, 키로깅 등 다양한 악성 행위를 수행할 수 있다.
영향: Back Orifice는 특히 원격 액세스를 통해 시스템을 완전히 제어할 수 있기 때문에 많은 보안상의 우려를 불러일으켰다.
4. 백도어
사용자의 동의 없이 임의의 포트를 열어 공격자 접속을 대기하는 악성코드. 백도어가 실행되면 해커가 시스템 보안 메커니즘을 우회하여 시스템의 사용자가 모르게 내부로 진입하여 정보를 빼가는 등의 작업을 할 수 있다.
주로 트로이 목마 또는 다른 악성코드와 함께 설치된다. 사용자에게 무해한 소프트웨어인 것처럼 위장하여 다운로드 또는 실행을 유도한다.
- 실제 사례
1) NetBus
소개: NetBus는 1998년 페린 키터(Pontus Ektbert)에 의해 개발된 원격 접근 백도어다.
기능: NetBus는 감염된 컴퓨터에서 파일 열기와 실행, 키로깅, 윈도우 이동 및 닫기 등의 작업을 원격으로 수행할 수 있도록 한다.
영향: 주로 장난이나 소규모 해킹 시도에 사용되었지만, 강력한 원격 조작 기능으로 인해 보안에 큰 위협이 되었다.
2) MoonBounce
소개: MoonBounce는 2022년 Kaspersky에 의해 발견된 펌웨어 기반 백도어다.
기능: 감염된 컴퓨터의 UEFI(Unified Extensible Firmware Interface) 펌웨어에 자리 잡아 공격자가 지속적인 원격 접근을 할 수 있도록 한다.
영향: 펌웨어에 백도어가 설치되면, 하드 드라이브를 포맷하거나 운영 체제를 새로 설치하더라도 백도어는 여전히 남아있을 수 있다. 따라서 완전히 제거하기가 매우 어렵다.
5. 랜섬웨어
Ransom (몸값) + Ware (제품)의 합성어. 컴퓨터의 저장된 파일을 암호화하고 몸값을 요구하는 악성코드이다. 현재 가장 유행하고 있는 악성코드이다. 치료, 복구가 모두 쉽지않아 예방 및 백업이 중요하다.
오래된 랜섬웨어의 경우 복호화키가 만들어져 있어 복구가 가능한 경우도 있지만, 랜섬웨어에 감염되어 암호화된 순간 해당 파일의 무결성은 깨진 것이다.
▶︎ 무결성 : 정당한 방법을 따르지 않고선 데이터가 변경될 수 없으며, 데이터의 정확성 및 완정성과 고의/악의로 변경되거나 훼손 또는 파괴되지 않음을 보장하는 특성
- 실제 사례
1) 2017년 Wannacry
2017 년 5월 등장한 랜섬웨어,전세계 99개국 23만대 컴퓨터를 감염시켜 피해를 입혔다. 아래와 같은 창이 뜬 후 감염창에는 상황 설명, 복구 방법, 금전 지급 방법 등이 표시된다.
2) CryptoLocker (2013)
소개: CryptoLocker는 2013년에 발견된 악성 랜섬웨어로, 암호화를 통해 사용자 파일을 인질로 잡는다.
전파 방식: 주로 이메일 첨부파일을 통해 전파되었으며, ZIP 파일 등으로 위장하여 감염자를 속였다.
피해: 문서, 이미지, 동영상 파일 등의 데이터를 암호화하고 피해자에게 해독을 위한 금전을 비트코인 형태로 요구했다. 복호화 키를 받지 못한 많은 사용자들이 데이터를 잃었다.
3) NotPetya (2017)
소개: 원래 Petya로 알려진 변종 중 하나인 NotPetya는 처음에는 랜섬웨어로 작동했지만, 실제로는 파괴적인 목적이 더욱 강했습니다.
전파 방식: 우크라이나의 회계 소프트웨어 업데이트를 통해 확산되면서 네트워크로 급속히 전파되었다.
피해: NotPetya는 시스템의 부트 섹터를 완전히 암호화하거나 손상시켜 데이터 복원을 불가능하게 만들었다. 총 피해액은 수십억 달러에 이른다고 추정되며, 글로벌 기업들의 운영 중단을 초래했다.
6. 스파이웨어
사용자의 활동을 감시하는 악성코드. 무료 소프트웨어를 설치할 때 같이 설치되는 경우가 많다.
- 실제사례
1) Pegasus
소개: Pegasus는 NSO Group이라는 이스라엘 회사가 개발한 스파이웨어로 잘 알려져 있다.
기능: 감염된 스마트폰의 메시지 읽기, 통화 기록 수집, GPS 추적, 마이크와 카메라 제어 등 다양한 스파이 기능을 가진다.
피해 사례: Pegasus는 여러 정부에 의해 사용되어 언론인, 정치인, 인권 운동가들을 사찰하는 데 활용되었다. iOS와 Android 운영체제의 취약점을 이용하여 침투했다.
원래는 범죄조직의 위치를 찾는 등의 범죄나 테러를 막기 위한 수단으로 개발되었으나 의도와 달리 악용된 사례가 있다.
2) FinFisher
소개: FinFisher는 정부나 법 집행기관이 감시 목적으로 사용하던 고급 스파이웨어다.
기능: 대상자의 컴퓨터와 모바일 장치에 설치되어 이메일, 비밀번호 로그, 음성 통화 등 다양한 데이터를 감시하고 수집할 수 있다.
피해 사례: FinFisher는 여러 국가에서 정치적 반대자나 인권 운동가를 감시하는 데 사용된 것으로 보고되었다. 감염된 사용자는 모르게 실시간으로 정보를 탈취당했다.
3) CoolWebSearch
소개: CoolWebSearch는 2000년대 초반에 유행한 스파이웨어로, 주로 웹 브라우저를 가로채는 기능을 수행했다.
기능: 사용자의 검색 결과를 자신의 광고 사이트로 리다이렉트하고, 웹 브라우저 설정을 변경하며, 팝업 광고를 무단으로 생성한다.
피해 사례: 수많은 사용자들이 CoolWebSearch로 인해 불필요한 광고에 노출되거나 브라우저가 제대로 작동하지 않는 문제를 겪었다.
7. 애드웨어
사용자의 컴퓨터에 광고를 표시하는 악성코드. 무료 소프트웨어를 설치할 때 같이 설치되는 경우가 많다. 스파이웨어와 다르게 사용자의 동의를 받고 설치를 한다. 끼워팔기로 다운로드 하겠다고 체크가 이미 되어있다.
1) Gator
소개: Gator는 초기 애드웨어 프로그램 중 하나로, Claria Corporation(구 Gator Corporation)이 개발했습니다.
기능: 사용자 동의 없이 웹 브라우저에 광고를 삽입하고, 사용자의 인터넷 사용 습관을 추적하여 맞춤형 팝업 광고를 제공했다.
피해 사례: Gator는 사용자가 방문하는 웹사이트, 검색 기록 등을 추적하여 수익을 올렸다. 많은 사용자들이 갑작스런 광고와 느려진 시스템 속도로 불편을 겪었다.
2) Fireball
소개: Fireball은 Rafotech라는 중국의 디지털 마케팅 회사에 의해 개발된 애드웨어로, 2017년에 널리 알려졌다.
기능: 웹 브라우저의 홈 페이지와 기본 검색 엔진을 변경하고, 사용자 트래픽을 모니터링하며, 광고를 화면에 계속해서 표시한다.
피해 사례: Fireball은 전 세계 수백만 대의 컴퓨터에 감염되어 온라인 광고 수익을 부풀리기 위해 사용자 데이터를 조작했다.
3) DollarRevenue
소개: DollarRevenue는 주로 무료 소프트웨어 패키지에 번들로 포함되어 설치되는 애드웨어다.
기능: 사용자 시스템에 침투하여 다양한 광고를 표시하고, 클릭을 유도하여 수익을 창출했습니다. 주로 브라우저 팝업 광고 및 리다이렉트를 유발했다.
피해 사례: 많은 사용자들이 원치 않는 광고와 브라우저 속도 저하로 인해 불만을 제기했다. 설치된 애드웨어를 제거하는 데 어려움을 겪었으며, 때때로 추가 악성코드를 다운로드하기도 했다.
8. 루트킷
컴퓨터에 접속하거나 제어하도록 설계된 정보를 탈취하는 악성 코드. 루트 권한을 쉽게 얻게 하는 키트다. 주로 파일이나 레지스트리에 숨기는게 특징이다. 얻는 루트 권한을 통해 다른 악성 코드를 추가로 설치해 정상 파일처럼 보이게 할 수 있다. 백신에 의해서는 탐지가 되지 않고, 앤드포인트 보안 솔루션 등에 의해 탐지가 가능하다.
1) Sony BMG Copy Protection Scandal (2005)
소개: 2005년에 Sony BMG는 음악 CD에 XCP(Anti-Piracy Software)를 포함시켰습니다. 이는 사용자의 컴퓨터에 루트킷을 설치하여 디지털 복제를 막으려는 시도였다.
기능: 이 루트킷은 사용자의 동의 없이 설치되어 시스템에서 자신을 숨기고, 특정 미디어 파일에 대한 액세스를 제한했다.
피해 사례: 설치된 루트킷은 시스템에 보안 취약점을 일으켜 악성코드의 공격에 쉽게 노출되도록 만들었다. 이 사건은 대규모 논란을 불러일으켰고, Sony는 법적 조치와 대중의 비난을 받았다.
2) Stuxnet (2010)
소개: Stuxnet은 산업 시스템을 목표로 한 악성 웜으로, 특정 SCADA 시스템을 공격하기 위해 설계되었다. 하지만 이 공격을 위해 루트킷 기술을 동원했다.
기능: 루트킷 기술은 웜이 산업제어 시스템을 공격하는 동안 시스템의 운영 상태를 '정상'으로 보이게 숨겨주어 피해 탐지를 어렵게 만들었다.
피해 사례: 이 웜은 이란의 원자력 시설에서 원심분리기의 속도를 조작하여 물리적인 파괴를 일으켰으며, 루트킷의 존재는 감염을 감지하고 제거하는 것을 매우 어렵게 만들었다.
3) TDL-4 (Alureon)
소개: TDL-4는 고도로 발전된 루트킷으로, 여러 컴퓨터 보안 연구자들에 의해 "거의 탐지 불가능한" 것으로 평가되었다.
기능: MBR(마스터 부트 레코드)을 감염시켜 운영 체제 부팅 시 활성화되며, 스팸 메일, 개인정보 탈취, 키로깅 등의 기능을 지원한다.
피해 사례: 백신 소프트웨어와 보안 프로토콜을 우회하여 수백만 대의 컴퓨터에 감염되어, 대규모 봇넷의 일부로 활용되었다.
악성코드에 대한 대처
악성코드로부터 시스템과 데이터를 보호하기 위해서는 강력한 보안 대책이 필요하다.
1. 정기적인 소프트웨어 업데이트
- 운영 체제, 웹 브라우저 및 기타 응용 프로그램의 패치와 업데이트를 정기적으로 수행하여 알려진 취약점을 해결한다.
- 자동 업데이트 기능을 활성화하여 최신 보안 패치를 신속하게 적용한다.
2. 신뢰할 수 있는 보안 소프트웨어 사용
- 고품질의 안티바이러스 및 안티멀웨어 프로그램을 설치하고 주기적으로 시스템 검사를 수행한다.
- 실시간 보호 기능을 활성화하여 감염 가능성을 줄입니다.
3. 방화벽 사용
- 개인용 방화벽을 활성화하여 외부의 불법적인 접근을 차단한다.
- 네트워크 방화벽을 통해 더 강력한 네트워크 보안을 구현한다.
4. 데이터 백업
- 중요한 데이터를 주기적으로 외장 하드 드라이브, 클라우드 서비스 또는 다른 안전한 저장 매체에 백업한다.
- 랜섬웨어 등의 공격으로부터 데이터를 보호할 수 있는 효과적인 방법이다.
5. 강력한 패스워드와 인증
- 복잡하고 예측하기 어려운 비밀번호를 사용하고, 주기적으로 변경한다.
- 이중 인증(2FA)을 활용하여 계정 보안을 강화한다.
6. 의심스러운 이메일 및 링크 주의
- 알 수 없는 발신자의 이메일 첨부 파일을 절대 열지 말고, 의심스러운 링크를 클릭하지 않는다.
- 피싱 시도를 막기 위해 발신자의 주소와 이메일 내용을 꼼꼼히 확인한다.
7. 보안 인식 교육
- 직원과 사용자들에게 최신 보안 위협과 예방 조치에 대한 교육을 실시한다.
- 올바른 보안 습관을 통해 인간적 실수를 줄일 수 있다.
8. VPN 사용
- 공용 Wi-Fi를 사용하는 경우, VPN(가상 사설 네트워크)을 통해 데이터를 암호화하여 개인정보를 보호한다.
9. 권한 관리 개선
- 불필요한 시스템 접근 권한을 최소화하고, 최소 권한 원칙을 적용하여 시스템 접근을 엄격하게 관리한다.
