들어가기에 앞서, 본 글은 전산/컴퓨터 전공자도 아니고 그렇다고 OS/네트워크 등의 컴퓨터 지식이 해박한 사람이 아닌, 비 전공 대학생이 쓴 글이기 떄문에 내용상에 오류가 있을 수 있음을 알려드립니다.
 최근 발생한 "7.7 인터넷 대란"에 대한 궁금증을 풀어보고, 다른 분들에게 정보를 제공하기 위해 쓴 글이므로
내용상에 오류가 있다면 따끔한 지적 부탁드리겠습니다.


 2009년 07월 07일 오후, 학교 도서관에 있던 필자는 웹 메일 확인을 위해 아이팟 Wi-Fi로 포털사이트 메일계정에 접속을 시도하였다. 그런데 접속이 지연이 되는것이 아닌가? 계속되는 장애에 단순히교내 네스팟 AP로부터 문제가 있다고 생각했다.


 그날 저녁 집에 들어서자마자 어머니께선 “아들~ TV에서 인터넷이 이상하다고 하네? 무슨 말인지 도통 모르겠어~뉴스 봐봐”라고 말씀하시는게 아닌가.

  “(”무슨 말씀이시지..“라고 생각하며) 그래요? 어차피 메일 확인할게 있어서 컴퓨터 켜는데, 웹에서 기사 좀 찾아볼께요.”라고 별 생각 없이 답하였다.

 PC를 켜자마자 어머니와의 그 약속(?)은 잊은 채 메신저에 접속하였고 몇 일전 대화상대 등록 후 한 번도 대화를 못 나눴던 안랩 커뮤니케이션팀 차장님이 계신게 아닌가. 등록을 했는데 한번은 인사를 드려야지 예의(?)지 라고 혼자 중얼거리며 “설마 이 늦은 시간까지 업무 보시는건 아니시지요?”라는 말로 대화창을 열었고 이어지는 차장님의 대답....

 “회사에요~ 언론 대응 하느라 너무 바쁘네요”  잠깐의 정적 후  순간 머리를 스치는 어머니의 말씀!

 부랴부랴 포털사이트에 접속하여서 시선을 이리저리 바쁘게 움직였다.
아니나 다를까 헤드라인을 장식한 “국내 사이트 대거 접속불가 현상”이란 제목의 기사문, 리고 DDoS라는 매우 익숙한 키워드가 눈에 보이는 것이 아닌가. 당연히 익숙 할 수밖에 없었다.

분산서비스 거부(Distribute Denial of Service)의 약자인 DDoS는 매일 읽는 IT 신문과 IT 커뮤니티에서 보안상 취약점으로 기사문이나 대화 주제로 많이 다뤘던 내용이다.

 사이트에 많은 이용자들이 한꺼번에 접속해 서비스를 중단시키거나 느리게 만드는 ‘서비스 거부(DoS)' 공격이라하고 공격지를 여러곳으로 분산해 공격하는것을 '분산 서비스 거부(DDoS)'라 한다.

 DDoS 공격은  이번 사태에서 처음 이용된 기법은 아니다. DDoS 공격은 초기에 자기 능력과시를 위한 수단으로 예전부터 이용 되어왔다. 하지만 점차 DDoS 공격 협박 후 금품을 요구 한다던가 경쟁, 보복, 사이버 시위, 사이버 선제공격 등을 목적으로 이용하기 시작하였다. 이런 공격은 최근에는 뚜렷한 목적 및 대상을 상대로 DDoS 공격의 성격 및 범위를 확대해 가고 있다. 도박, 성인 사이트 등 신고가 어려운 사이트를 대상으로 진행되었지만 최근 들어 포털사이트, 게임사 홈페이지, 쇼핑몰, 금융권 사이트 등으로 대상이 확대되고 공격 트래픽 규모 또한 커지고 조직적으로 움직이고 있다, 심지어 정부 사이트를 목표로 공격을 하는 등 대담해지고 위험한 사이버 범죄로 진화하고 있다.


사용자 삽입 이미지
                                                    < DDoS 공격 목표 변화 추이 >

  2009.08.08 : 그루지야 정부사이트 대상 공격

          08.07 : 모 포털 카페 대상 DDoS
          08.06 : 정당 사이트 대상 사이버시위 공격

          08.03 : 국내 증권사 대상 금품 요구 DDoS
          07.09 : 게임아이템거래사이트에 대한 금품 요구 DDoS

          07.09 : virut 바이러스에 의한 해외 사이트 공격

          07.06~8 : 여행,팬션예약 사이트 등에 대한 금품 요구 DDoS

          07.05 : 에스토니아 정부, 국회 등의 사이트 DDoS공격

          07.02 : 루트 DNS 6개가 Virut으로 인한 DDoS 공격 피해
          07.02 : 성인화상채팅 사이트에 대한 금품요구 DDoS

                                           < 2007년 ~ 2009년 DDoS 공격 피해 사례>

 위에서 DDoS 공격을 "사이트에 많은 이용자들이 한꺼번에 접속해 서비스를 중단시키는 공격"이라 간략히 설명 하였는데 한 줄로 DDoS 공격을 설명하기엔 부족하다. 이번 글에서 대학생 기자 입장에서 본 DDoS 공격에 대해 쉽게 풀어보았다.
 글쓰기에 앞서 기술적 표현 잘못되거나 및 구성이 미흡할 수 있다. 지적 사항이 있으면 따끔히 해주시길 바라며 DDoS 공격은 어떻게 이뤄지는지 자세히 들어가보도록 하겠다.


간단한 예로 DDoS 공격에 대한 개념 설명을 시작하겠다.

 우리가 흔히 쓰는 말 중에 하나가 “인터넷을 하다”라는 말인데, 이 말이 담고 있는 의미가 무엇일까?
검색을 하거나 뉴스를 보거나 쇼핑을 할 때도 인터넷이라는 것을 이용한다.

 검색이면 검색엔진을 뉴스나 커뮤니티 등을 즐기면 포털 사이트를 물건을 살 떄는 인터넷 쇼핑몰 웹사이트에 방문하여 원하는 서비스를 제공받는다. 서비스를 제공하는 업체들은 SERVER(서버) 라고 불리는 대용량 컴퓨터를 배치해 놓는다.
  그렇다. 우리는 서버에 접속해서 그곳에 있는 글과 이미지등의 정보를 다운받아 보는 것이다.

 무엇인가 검색하기 위해 ‘야후’라는 검색엔진 서비스에 접속한다고 하자. 웹브라우저에 http://google.
co.kr라는 주소를 입력하고 엔터키를 눌러 접속을 시도한다. 정확히 말하자면 우리가 google.co.kr라고 입력하면 DNS(도메인 네임 서버)를 거쳐 72.14.203.104라는 실제 IP주소로 접속하게 된다.

google.co.kr에 대한 ping test를 하면 아래와 같이 google.co.kr의 실제 주소인 72.14.203.104로 32byte크기의 패킷을 주고 받는것을 확인 할 수 있다.

사용자 삽입 이미지

 우리가 PC(이하 Clinet;클라이언트라 표시)로 인터넷 주소와 맵핑된 IP주소로 접속 요청을 하면 서비스 업체의 컴퓨터(이하 Server;서버라 표시)는 응답하여 클라이언트가 요청하는 Query(질의)를 수행하고 결과를 Client에 보내게 된다.
 서버도 일종의 대용량 컴퓨터이기 떄문에 하드웨어, 소프트웨어 적으로 처리할 수 있는 규모가 한정되어있다. 극단적인 표현을 빌리자면 다음과 같다. 100대의 유닛을 처리할 수 있는 서버에 내가 접속하였다고 가정하자. 서버는 내가 사용하는 클라이언트에 1대의 유닛을 할당한다. 그러면 -1 유닛이 되어 가용 유닛이 99대가 된다. 이런식으로 100대의 유닛이 모두 할당되면 더 이상 할당할 자원이 없으므로 101번에 접속하는 Client PC는 접속에 실패하게 된다.
  물론 기존의 클라이언트가 접속을 해제하면 할당된 자원을 반환하기 떄문에 허용된 범위 내에서 다른 클라이언트의 접속이 가능하게 된다. 실제적으로는 더 복잡하고 고려해야할 요소들이 많다.

  이와 같이 서버가 이렇게 무한정 자원을 제공하고 처리할 수 없는 점을 이용, 수많은 접속 시도를 통해 다량의 패킷(Packet)을 보내어 해당 시스템의 자원을 부족하게 만들어 정상적인 서비스를 불가능하게 만드는 것이다.
 
 이것이 바로 DoS라 불리는 서비스 거부 공격인데, 한 대가 아닌 수많은 공격자를 만들어 분산 배치하여 서비스 거부 공격을 하는것이 바로 DDoS(분산 서비스 공격)이다.

DoS 공격으로 초래되는 피해는 크게 세가지로 나뉜다.

 1. 시스템 자원 소모 : CPU, Memory, 저장장치 등의 부하들 유발, 자원을 고갈 시킨다.
 2. 네트워크 자원 소모 : 트래픽을 유발시켜 네트워크 대역폭을 고갈 시킨다.
 3. 저장장치나 시스템을 파괴시킨다.

DDoS 공격이 어떻게 진행되는지 알아보겠다.

먼저 이해를 돕기 위하여 아래 그림을 만들어보았다.

사용자 삽입 이미지

  Attacker(공격자 혹은 공격 근원지)가 Master라 불리우는 C&C(Command & Control)서버를 두고 불특정 다수의 PC에 악성코드를 배포하여 감염시킨다. 수백대에서 수만대에 이르는 PC가 숙주(bot)가 되어버리고 이들이 네트워크로 묶여 봇넷(Botnet)이 된다. 중간 사령부격인 C&C 서버는 Bonet과 통신을 통해 공격 시간과 공격 대상을 담은 명령을 하달한다.
 
 이것이 기존 DDoS 공격 방식이라면 7·7 인터넷 대란에 사용된 방법은 기존의 방법에서 조금 변형된  형태라는 것이다.

 7·7 인터넷 대란을 일으켰던 DDoS 변종 공격은 C&C 서버를 통해 PC에 감염되는 악성코드에 사전에 공격 대상과 시간을 담은 스케쥴이 포함되어있어 C&C 서버와의 통신 없이도 계획된 시간에 지정된 목표를 공격이 가능하다는 것이다.


 

 - 7월 7일 DDoS 공격은 어떻게 시작되었는가?

 최초 감염은 msiexec.exe라는 파일이 DDoS 공격을 수행하는 악성코드에 감염되면서 시작되었다. 이 파일은 MS社의 Windows 구성요소 중 install과 관련된 파일이며 C:\Windows\system32 경로에 존재하는 Windows에서 Microsoft Install 실행 화일로 install(프로그램 설치)과 관련된 역할을 하는 정상 파일이다.

사용자 삽입 이미지

 - 어떤 경로를 통하여 감염이 되었나?

 현재 보도된 바로는 웹하드 서비스를 제공하는 서울의 ‘P’업체와 부산의 ‘D' 업체라고 밝혀졌다. 공격자는 웹하드 서비스 업체의 서비스 서버에 침입하여 웹하드 프로그램 업데이트 파일에 악성코드를 심어 놓고 웹하드 서비스를 이용하는 사용자의 PC는 수행 시 자동으로 업데이트되면서 악성코드가 타겟으로 하는 msiexec.exe 파일을 감염 시켜버린다. 사용자의 의사 결정 없이 자동으로 수행되는 웹 하드 프로그램의 특징을 악용한 결과이다.

 이런 경로를 통해 감염된 사용자 PC의 msiexec.exe는 Master(C&C 서버)에 최초로 접속하게 되는데, 이떄 msiexec1.exe, msiexec2.exe, msiexec3.exe 파일을 내려받게 된다.

‘msiexec1’ 라고 명명된 실행파일(exe)은
wmiconf.dll, uregvs.nls, vme.bat, wmcfg.exe, mstimer.dll 파일을 생성한다.
이렇게 생성된 각 파일들은 서로 다른 역할을 수행한다.

* uregvs.nls(V3 진단명 Win-Trojan/Agent.24576.AVC )
 - 공격 대상, 공격 시작,종료 시간에 관한 일정을 포함하고 있다.
생성되는 경로는 Windows 95/98/ME는 C:\Windows\System, NT/2000은 C:\WinNT\System32,
XP는 C:\Windows\System32이다.

아래 화면은 uregvs.nls를 생성하는 msiexec2.exe 파일이 담고 있는 공격 리스트이다.

사용자 삽입 이미지
                                            <악성코드가 담고있는 공격대상 주소>

                           

                                                      한국
                                          - banking.nonghyup.com 
                                          - blog.naver.com
                                          - ebank.keb.co.kr
                                          - ezbank.shinhan.com
                                          - mail.naver.com
                                          - www.assembly.go.kr
                                          - www.auction.co.kr
                                          - www.chosun.com
                                          - www.hannara.or.kr
                                          - www.mnd.go.kr
                                          - www.mofat.go.kr
                                          - www.president.go.kr
                                          - www.usfk.mil
                                                      미국
                                          - finance.yahoo.com 
                                          - travel.state.gov
                                          - www.amazon.com

                                          - www.dhs.gov
                                          - www.dot.gov
                                          - www.faa.gov
                                          - www.ftc.gov
                                          - www.nasdaq.com
                                          - www.nsa.gov
                                          - www.nyse.com
                                          - www.state.gov
                                          - www.usbank.com
                                          - www.usps.gov
                                          - www.ustreas.gov
                                          - www.voa.gov
                                          - www.voanews.com
                                          - www.whitehouse.gov
                                          - www.yahoo.com
                                          - www.washingtonpost.com
                                          - www.usauctionslive.com
                                          - www.defenselink.mil
                                          - www.marketwatch.com
                                          - www.site-by-site.com
               <2차 공격 이후 07월 09일 발표된 1·2차 공격 리스트 및 3차 공격 예상 리스트>


* wmiconf.dll(V3 진단명 Win-Trojan/Agent.67072.DL) 
 - DDoS에 이용되는 트래픽을 발생시킨다. 실제적으로 공격을 하는 파일이다.
  miconfig를 windows 서비스에 등록시킨후 uregvs.nls에서 공격대상을 읽어 DDoS 공격을 수행한다.
  AhnLab의 ASEC 분석자료에 의하면 감염시스템에서 초당 1050패킷/100KB발생을 하며, 공격받는 시스템에선 초당 100패킷/7KB 정도의 네트워크 트래픽을 발생한다고 나와있다.
  wmiconf.dll 외에도 공격파일로 알려진 perfvwr.dll도 동일한 동작을 수행한다고 한다.

* vme.bat (V3 진단명 Win-Trojan/Agent.24576.AVC ) 
 - 다운 받은 파일을 삭제하는 역할을 수행하며, 모두 지워질때까지 작업을 반복 수행한다.
   삭제 후 자신(vme.bat)도 삭제가 된다.
    생성경로는 Documents and Settings\USERID\Local Settings\Temp에 다음 파일을 생성한다.
   (USERID는 Windows 사용자 계정)
    다음은 실행파일 내부 모습이다.

L1

del " %PROFILE%\Local Settings\Temp\msiexec2.exe"

if exist " %PROFILE%\Local Settings\Temp\msiexec2.exe" goto L1

del "%PROFILE%\Local Settings\Temp\vme.bat"


* wmcfg.exe (V3 진단명 Win-Trojan/Downloader.374651) 
- 실행시 mstimer.dll을 생성 및 실행

* mstimer.dll (V3 진단명 Win32/Mydoom.worm.45056.D)
-
wmcfg.exe에 의해 생성 및 실행되면 Windows Timer Service로 등록하여 스팸 메일 전송을 수행하
  며, flash.gif란 파일을 다운 받게 된다.

* flash.gif (V3 진단명 BinImage/Destroyer)
- 확장자*.(*.gif)가 그림 파일이지만 내부를 보면 정상 파일과 실행 파일로 구성되어 있다. 실행화일
  부분만 뜯어나와 작동하게 되는데 Wversion.exe를 생성하게 된다.

* Wversion.exe (V3 진단명 Win-Trojan/Destroyer.37264)
 - mstimer에 의해 특정 조건(2009년 7월 10일 00시)이 만족할 경우 문자열 A~Z까지의 모든 하드디스
  크의 물리적인 처음 시작 위치 부터 ‘Memory of the Independence Day’ 문자열 데이터를 삽입하여
  MBR(Master Boot Record) 및 파티션 정보가 삭제되는 증상을 유발한다. 파괴전 *.ppt, *.xml, *.doc
  등의 중요한 확장자를 검색, 암호화하여 복구를 불가능하게 만든다.

파일이 파일을 생성하고, 생성된 파일이 또 생성하고....글로 표현하기 역부족이기에 다음과 같이 표로
만들어 보았다.

사용자 삽입 이미지


 위 그림은 악성코드가 감염된 msiexec.exe로 부터 파생된 msiexec1.exe, msiexec2.exe,msiexec3.
exe 중 msiexec1이 어떻게 움직이는지 나타낸다.msiexec2.exe와 msiexec3 모두 동일한 방식으로 움직인다고 한다.
 다만 각 msiexec*.exe(*=1~3)가 포함한 uregvs.nls파일이 담고 있는 공격 대상 리스트는 각각 다르며 msiexec2와 msiexec3 중 트래픽을 발생시키는 wmicong.dll이 포함되지 않는것도 있다고 한다.
 이런 경우 기존에 msiexec1.exe에 의해 미리 생성된 서비스를 이용해 자신의 공격리스트(uregvs.nls) 기반으로 공격을 수행하는것으로 예측된다.


자신의 PC가 DDoS 공격에 이용되는지 확인할 수 있는 방법이 있는가?

 자신의 PC가 DDoS 공격의 무기로 이용됬다는 사실이 조금 충격적이지 않는가?  감염 PC가 늘어나면 날수록, 그리고 목표 대상의 범위가 크면 클수록 인터넷 대란이 아닌 인터넷 재앙으로 만들 수 있는 공격 기법이다.

 지금 DDoS 공격을 유발하는 악성코드를 찾으려 시스템 검사를 하거나, 혹은 검사를 통해 뒤늦게 발견하여다고 해보자. 계획된 공격 스케쥴이 끝난 지금 어쩌면 무의미(?)한 일 일수있다.

 하지만 명심해야 할것은 위에도 설명하였듯이 uregvs.nls에 담긴 스케쥴대로 움직였다는 것이다.
이 말은 스케쥴이 추가가되면 언제든지 재 공격이 이루어질수 있다는 사실이다. 따라서 아직까지 감염된 PC에서 악성코드를 제거하는것은 반드시 필요한 작업이며, 관련기관에서는 악성코드를 담고 있는 PC가 인터넷망에 접속시 별도로 조치를 취해 제거해가고 있다고 한다.

 자신이 사용하는 최신엔진의 백신으로 스캔하는 방법도 있지만 별도의 전용백신을 소개하고자 한다.
아래는 안철수연구소에서 제공하는 DDoS 전용 백신이다. "전용백신 다운드로" 아이콘을 눌러 다운

Win-Trojan/Agent (DDoS 악성코드 전용백신)
치료 가능한 바이러스

출처: http://kr.ahnlab.com/dwVaccineView.ahn?num=81&cPage=1

실행 후 '검사 시작'을 누르면 지정된 모든 디렉토리를 검색하여 악성코드를 색출하게된다.



7.7 인터넷 대란의 피해규모는 어느정도 인가?
 사이버테러대응센터에 따르면 이번 DDoS 공격으로 피해를 본 사이트의 수는 총 35곳(국내 21곳, 해외 14곳)으로 피해 규모는 정확히 측정하기 힘들정도이다. 특히 기업의 경우 경제적 피해가 막대한데 7월 8일 복구된 옥션(Auction.co.kr)의 경우 하루 동안 영업을 하지 못해 큰 손실을 보았다. 지난해 이 회사 연간 매출액은 2조 7천억원으로 하루 평균 매출액이 약 74억원이었음을 감안할 때 상당한 피해를 입은 셈이다. 또한 7월 10일 00시를 기점으로 하드디스크의 MBR 파괴로 인해 발생한 개인 사용자의 피해도 막대한 것으로 예상된다.


분산서비스거부(DDoS) 공격은 차단할 수 없는 것인가?
 공격을 차단하기 보다는 예방하고 공격이 발생할 경우 피해를 최소화시킨다는 표현이 옳다고 생각한다. 서비스를 제공하는 한 24시간 내내 수많은 곳에서 이용자들이 접속하여 트래픽을 발생시키기 떄문에 서비스 제공자 쪽에서 정상적인 트래픽인지 아닌지를 가려내기란 매우 어렵다.
 공격자인 Bonet PC 들은 동일한 프로토콜의 절차 및 규칙을 사용해 DDoS 공격을 시도하기 때문에 보편적인 보안장비인 방화벽이나 침입방지시스템(IPS)이나 고성능 통합위협관리솔루션(UTM) 등에서 원천 차단이 불가능하다. 즉 DDoS 공격은 고정 시그니처로 차단할 수 있는 취약점 공격이 아닌 일반적인 통신 환경상에서 사용할 수 있는 극히 정상적인 변수값을 이용하는 비취약점 공격이기 때문이다. 또한 공격자들의 공격 유형이 보다 체계적이고 다양한 접근 방법으로 변형되고 순환되고 있기에 기존의 보안장비로는 DDoS 공격 차단이 쉽지 않다.

다음은 피해를 최소화 할 수 있는 방안을 몇 가지 정리해보았다.

개인 사용자는

- 백신의 주기적 업데이트로 최신 보안 상태로 유지 및 실시간 감시 기능을 이용한다.
  (실제로 공격 1일 전 7월 6일 AhnLab의 V3 제품군에는 이미 관련 엔진 업데이트가 되어 악성코드 감
   염전 색출이 가능하였으며, V3를 주기적으로 업데이트한 사용자들의 PC는 안전할 수 있었다. )

- OS의 주기적 업데이트를 실시하여 취약점을 통한 공격을 예방한다.

- 웹페이지 탐색 중 Active X ‘보안경고’ 창이 뜰 경우, 신뢰할 수 있는 기관의 서명이 있는 경우에만
  프로그램 설치에 동의하는 ‘예’를 클릭한다. 서명이 불명확한곳인 경우 설치를 삼가한다.

- P2P 방식의 공유 어플리케이션 사용을 가급적 피하고, 이용시 내려받은 파일은 반드시 백신 필터링
  후 이용한다. 그리고 공유폴더 권한은 반드시 ‘읽음’으로 한다.

- 출처가 불명확한 실행화일은 저장 및 실행하지 않는다.

- 메신저를 통해 요청하지 않는 URL이나 파일을 받은 경우 보낸이에게 직접 확인 후 실행한다.

- 보안관련 뉴스, 신문등의 매체 혹은 블로그, 커뮤니티를 통해 최신 정보를 접한다.


서비스 제공 업체는

- 내부 네트워크와 외부 네트워크의 경계에 방화벽을 우선적으로 설치한다.

- DDoS의 특정 패턴 분석이 가능한 Anti DoS 솔루션 설치와 운영으로 공격 전·중에 방어가 가능하도록
  한다.

- 안정적인 네트워크의 설계로 일정량 이상으로 패킷이 라우터로 들어올 경우 각

- 시스템으로 분산시켜 균형을 조절하거나 패킷을 차단할 수 있도록 한다.

- 홈페이지의 철저한 보안 관리로 웹페이지의 취약점을 노려 사용자들에게 악성코드를 전이 시키는것
  을 막는다.

- 시스템에 대한 지속적인 패치(서비스팩, 핫픽스 등..)로 최신 보안 상태를 유지한다.

- 충분한 인원을 배치하여 실시간으로 서버 트래픽 상태를 모니터링한다.

- 공격이 일어났을 때 어느정도 완충 역할이 가능한 대용량 시스템을 구축 혹은 공격을 우회할 수 있는
  방법과 분산 할 수 있는 시스템을 마련한다.

국가, 정부는

- 관련 기간과의 공조를 통해 효과적인 대응 체계 및 절차를 마련하여 비상시 신속히 대응할 수 있도록
  한다.

- 비용적 문제로 네트워크 솔루션 설치가 어려운 중·소 규모의 IT 서비스 업체에 대한 자금 지원을 대폭
  늘린다.

- 발생 시에만 구성되는 TFT(Task Force Team;대책본부)가 아닌 정부 산하 위기 대응반을 설립하여
  상시 운용한다.

- 국민의 안전한 PC사용에 관한 공익광고나 교육자료등을 배포 및 교육활동을 펼친다.

DDoS 공격으로 인한 7·7 인터넷 대란이 주는 시사점은 무엇인가?

 2003년 1월 25 인터넷 대란 이후 또 한번의 재해를 겪은 우리나라.
  세계 최고의 IT강국이라고 불리는 대한민국이 가장 고전적인 공격에 맥없이 무너져 내리는 모습을 보고 보안수준은 아직도 후진국이라는 불명예를 안게 되었다.


 눈 앞에만 보이는 이익에 급급하여 양적인 발전을 추구하고 보안 인프라 구축을 문외시한 결과과 얼마나 가혹한지에 대해 많은 꺠달음을 얻었다.

 이번 사태를 통해 개인 사용자, 서비스 업체, 정부가 얻은 점은 무엇인지 간략히 정리해 보았다.

 첫쨰로, 일반 이용자들은 DDoS 공격에 대한 개념을 자세히 아는 계기가 되었음은 물론 개인 부주의로 인해 발생한 보안상의 취약점으로 개인 PC가 공격에 이용되어 엄청난 피해를 발생하였음을 인식, 보안에 대한 관심과 이해도를 높이는 계기가 되었다고 생각한다.

 두 번쨰로, 서비스 제공 업체는 평소 간과하던 보안 문제가 일으킨 피해를 통해 큰 교훈을 얻었고, 보안 인프라 구축에 대한 필요성 인식은 물론 관련 예산안을 증액하여 더 많은 투자를 할것으로 기대된다.

 세 번쨰로, 국가는 이번 피해를 계기로 다시 한번 보안 인프라 확충의 필요성을 느꼈으며 양적인 발전보다는 질적인 발전을 위해 정부 차원의 관련 정책 수정 및 마련, IT 서비스 업체에 대한 지원 등으로 보안 인프라 후진국이라는 불명예를 씻어내기 위해 다각적인 노력을 기울일것으로 예상된다.

 최근 경기불황으로 인한 IT투자 위축 현상으로 오히려 보안위협 노출의 가능성을 증가시키고 있다는 우려의 목소리가 높다. 특히 각종 보안사고가 끊이지 않은 요즘 무조건적인 투자 축소보다는 최적의 비용으로 높은 효율성을 제공하는 인정받은 검증된 솔루션을 도입하는 것은 현명한 선택임은 틀림없다.
 나날이 진화하고 있는 DDoS 공격에 맞서 효과적으로 대처할 수 있는 능력을 키워 안전하고 풍요로운 인터넷 세상에 한 발 다가설 수 있기를 기대한다.



Posted by Freddie Mercury

댓글을 달아주세요

  1. 2009.12.08 16:41
    댓글 주소 수정/삭제 댓글
    좋은 정보 감사합니다 ㅎ 요즘 7.7 대란에 대해 조사하고있었는데 이것이 어떻게 전파되었나 궁금했는데 궁금증을 해결할수 있었어요 ㅎ 앞으로 좋은자료 많이 부탁드릴께요 ㅎ
    http://blog.naver.com/4another4
    • 2009.12.11 21:15 신고
      댓글 주소 수정/삭제
      좋은 정보가 되셨다니, 다행입니다.^^
      7.7대란 당시 담당하셨던 연구원님과 미팅 후 글을 작성해서 안랩 블로그 사보에 포스팅했던 내용입니다. 정확한 부문이 있을수도 있지만, 문제 해석상에 오류가 있을 수 있으니 다양한 기술자료를 검토하시기 바랍니다. 더 궁금하신 부분이 있다면 말씀해주셔요 : )

                                                목 차

                              PartⅠ. V3 365 클리닉, 너는 누구니?

                              PartⅡ. 한번 설치해 볼까?

                              PartⅢ. 주요 기능을 살펴보자!

                                    - PC 검사

                                    - PC 튜닝

                                    - 개인정보보호

                                    - 인터넷하드

                              Part Ⅳ. 리뷰를 마치며


안철수 연구소의 사보 '보안 세상'의 대학생 기자로 활동한 지 3개월...
드디어 V3 365 클리닉을 리뷰할 수 있는 기회가 생겼다. :)
(마음만 있다면 언제든지 개인적인 리뷰는 할 수 있지만 ^^;;) 이번 기회에 설치부터 사용법까지 낱낱이 살펴보았다.


  

PartⅠ. V3 365 클리닉, 너는 누구니?

  
 안철수연구소(www.ahnlab.com)에서 제공하는 악성코드 검사/치료, 방화벽, 개인정보 보호, PC튜닝 기능을 하나의 프로그램에서 이용할 수 있는 통합 보안 프로그램이 바로 


이다. 여기에 PC주치의 서비스까지 더해 기존의 일방향 진단 및 치료의 개념에서 벗어나 전문가로부터 고품질 서비스를 받는 쌍방향 PC케어 서비스까지, 모두 하나의 솔루션으로 제공하여 PC를 365일 건강하게 지켜주는 토탈 PC케어 서비스라고 할 수 있다.

V3 365 클리닉만이 가지는 특징을 살펴보자.
1. 안철수연구소의 20년 보안 기술을 바탕으로 완벽한 보안 지원
 - TS엔진, 뉴 프레임워크 : 차세대 보안 플랫폼 V3 뉴 프레임워크와 통합엔진으로
   가볍고 빠른 PC보안

 - 신뢰할 수 있는 엔진 : 악성코드 진단에서 국제인증을 획득한 세계적인 성능
 - 보안전문가의 긴급 대응 : 보안 전문가의 24시간 악성코드 대응 체제
 
2. 안철수연구소 PC주치의들의 무한 만족 원격 서비스

  - 악성코드 체크는 기본, 이유 없이 느려진 PC 점검도 OK.
  - PC 상태 개선과 게임 중 뜨는 잦은 오류 해결까지 OK.
  - 원하는 시간에 언제나, 1년간 무제한 원격 서비스 OK.
  - PC 활용법과 인터넷 사용법이 궁금할 때도 PC주치의가 해결

3. 안전하고 편리한 인터넷 하드와 개인정보 보호 기능

4. 통합프로그램 하나로 최대 PC 3대까지 동시 설치

                                                         
<참조:http://v3clinic.ahnlab.com>

와우~ 한두 가지가 아니다.
아래 이미지에 나와 있듯이 토탈 PC케어 서비스를 지향한다.

 
                             <출처 :
http://v3clinic.ahnlab.com/v365/intro/svc.html >


PartⅡ. 한번 설치해 볼까?


V3 365 클리닉을 사용할 PC 사양은 아래와 같다. 부족하지도, 넘치지도 않는 적당한 사양이다. 이 PC에 설치해서 각 기능을 살펴보겠다.

                    - CPU : Intel Core2Duo 6400 @ 2.13Ghz

                    - Physical Memory : 1GB (DDR2  PC2-6400)
                    - HDD : Fujitsu 320G (C:\:160G, D:\:160G)
                    - OS : Microsoft Windows XP SP2

 - V3 365 클리닉을 설치하기 위해
http://v3clinic.ahnlab.com 접속한다.
 - 다운로드 탭으로 이동한다.


 - 다운로드 링크를 클릭한다.



 - 내려 받은 'Setup.exe' 실행한다.
   


 - 첫 화면이 떴다. '다음'을 눌러 설치를 진행한다.


적색 박스에 보이는 것처럼 사용자에게 직접 하위 컴포넌트 설치 여부 묻는데,
모든 기능을 활용하려면 전부 설치하고 특정 기능만 이용하려면 원하는 컴포넌트만 설치하면 된
다. 리뷰를 위하여 기자는 모든 기능을 설치했다.



 - 설치가 완료되면 설치할 컴퓨터의 이름을 입력하는 창이 출력된다.
  


"갑자기 웬 이름을?"이라고 의문을 품을 사용자도 있겠다. 이름을 입력하는 이유는 라이선스 1개 당 최대 3 PC에 설치가 가능하기 때문에 각 설치된 컴퓨터에 이름을 부여함으로써 쉽게 관리하기 위한 절차이다. 입력 후 '확인'을 누른다.

 - 다음은 사용자 인증 단계. 라이선스를 가지고 있는 본인의 계정으로 접속하여 인증 절차를 거쳐야 V3 365 클리닉이 정상 동작을 한다.
 



 - 아래는 V3 365 클리닉이 실행됨과 동시에 자동으로 서버로부터 업데이트된 파일을 전송받는 화면이다. V3가 최신의 정보를 가지고 PC를 보호할수 있도록 주기적으로 업데이트가 진행된다.



 - 업데이트가 완료되어 엔진 버전이 오늘(6월 10일) 날짜로 업데이트되었다.^^


 - 실시간 검사가 수행된 서비스를 확인해보면 아래와 같이 PC 실시간 검사,
   개인 방화벽 및 네트워크 침입 차단 서비스가 수행 중임을 알 수 있다.



 - 트레이에도 V3 아이콘이 생기며 V3 365 클리닉 창을 띄우지 않아도 간편하게
   특정 작업 또는 설정
 변경을 할 수 있다.
 



이제 V3 365 클리닉 설치가 끝났다. ^^ 
 

Part Ⅲ. 주요 기능을 살펴보자 -  PC 검사

 

V3 365 클리닉이 바이러스, 스파이웨어로부터 PC를 보호할 뿐 아니라 개인정보보호, 해킹차단 등의 기능을 제공하는 통합 솔루션이지만, 근본적으로 가장 중요하고 사용자에게 필요한 기능은 PC 검사이다.
 
- PC 검사 기능을 이용하기 위해 V3 365 클리닉 메인 창에서 PC검사 탭으로 이동한다.


 - 아래 그림은 PC 검사 탭의 메인 창이다. 초보자가 봐도 손쉽게 검사할 수 있도록 짜여진 인터페이스가 참 마음에 든다. 실시간 검사 여부와 마지막 검사 날짜를 출력하며, 한 번의 클릭으로 쉽게 검사를 수행할 수 있도록 빠른 검사와 정밀 검사 아이콘이 배치되어 있다. 우측 상단에 세부 설정, 검사 예약, 검역소, 검사 및 이벤트 로그 메뉴가 있다. 우선 빠른 검사와 정밀 검사를 수행해보겠다.



 - 아래가 빠른 검사 수행 화면이다. 무엇인지 모르겠지만 4개의 감염된 파일이 검출되었고 자동으로 치료가 진행된다.



  -자세한 내용을 보려고 검사가 완료된 후 상세정보 페이지를 열었다. 요약정보 페이지보다 더욱 자세히 나와 있다. 내 컴퓨터에서 모두 4건의 스파이웨어 감염이 검출되었는데, 레지스트리키 값(3건), 파일(1건)로 나온다.



  - 빠른검사 수행 중 시스템 리소스 점유율을 확인해 보았다.

                                  수행 전(Idle)
                이미지이름   사용자 이름     CPU   메모리사용
 
                                    수행 후
                이미지이름    사용자 이름     CPU   메모리사용
 




수행 전에는 CPU 점유율 0%, 총 20MB의 메모리 점유율을 보였다. 메모리 상에 실시간 검사 모듈이 올려진 상태에서도 낮은 점유율을 보였다. 수행 후에는 적색 박스(좌:Core1, 우:Core2)에 보이는 것처럼 CPU 점유율이 50%, 총 60MB의 메모리 점유율을 나타냈다. 주요 시스템 파일, 메모리 영역 등에 대한 검사가 진행되기 때문에 이와 같은 결과가 나온 것 같다.

사용자의 컴퓨터 환경과 실제로 사용자가 느끼는 체감에 따라 천차만별이겠지만, 유료 제품 중 KAV 제품과 알약을 사용해서 검사했을 때보다 빠른 스캔 시간이 매력적이다.^^ 또한 리소스 점유율을 벗어나 체감 성능은 PC 업무에 방해가 안될 만큼 가볍게 느껴졌다.

특히 메모리 점유율의 경우 기자의 PC 웹브라우저(인터넷 익스플로러 기준)에서 일반적인 웹페이지에 접속하여 브라우징 중에 25MB~65MB 점유율을 보이는 것을 보면 결코 높은 수치가 아님을 알 수 있다.

총 201748개의 파일을 스캐닝하는 동안 42초가 소요되었는데, 타 백신의 경우 시스템에 과부하는 물론 스캐닝 시간이 오래 걸려 빠른검사조차 하기 싫은 경우가 많은 나에게 42초는 상당히 만족스러운 시간이다.^^

치료가 완료된 파일은 검역소로 옮겨 세부 정보를 확인하거나 감염된 중요 데이터를 원래대로 복원할 수 있다. 치료된 감염 파일은 자동으로 검역소에 보관되기 때문에, 삭제되면 안 되는 중요 파일이 검사로 인해 자동치료(삭제)된 경우의 피해를 방지할 수 있다. 아래 이미지를 참고하시길.
 




이제 정밀 검사 기능을 보자. 정밀 검사에는 '빠른 검사'에는 없는 검사 영역 설정과, 정밀 검사 수행 전 사전 검사 영역 설정, 그리고 검사 파일 형식 선택 메뉴가 있다.


  - 위와 같이 설정 후  정밀 검사를 수행했다.



  - 정밀검사 수행 중 시스템 리소스 점유율을 확인해 볼까?

                                  수행 전(Idle)
              이미지이름      사용자 이름        CPU   메모리사용
 
                                   수행 후
               이미지이름      사용자 이름        CPU   메모리사용
 

메모리, 프로세스, 부트영역, 시작프로그램 부분에 한정돼 진행되는 빠른 검사는 리소스 점유율이 높게 나왔다. 물론 정밀 검사도 이 부분을 포함하고 있지만, 일반 영역 검사 단계로 넘어가면 리소스 점유율이 눈에 띄게 내려가는 것을 볼 수 있다. 빠른 검사의 경우 검사 내내 50%를 웃돌던 CPU 점유율이 정밀검사의 경우 초기 빠른 검사와 동일한 영역 검사를 제외하고는 1% ~ 30% 대의 점유율을 보였다.

총 234633개의 파일을 스캐닝하는 데 7분 50초가 소요되었다. 성격이 급한 사람도 PC 건강 체크를 위해 이 정도 시간 투자는 할 필요가 있다. ^^  정밀 검사 결과 다행히도  별다른 바이러스나 스파이웨어가 검출되지 않았다. 현재 리뷰 중인 PC 네트워크 환경이, 보안이 강화된 라우터를 경유해 패킷이 움직여, 메신저 사용을 막고, 스크립트 실행 등이 사전에 필터링되기 때문에 생각했던 만큼 안전한 결과가 나왔다. 하지만 이런 환경에서는 외부에서 들어온 USB 메모리나 기타 저장 장치 연결에 주의를 해야겠다.


  

Part Ⅲ. 주요 기능을 살펴보자 - PC 튜닝


 이번에 살펴볼 기능은 PC 튜닝이다. 튜닝(?), 자동차 용어인 '튜닝'이 왜 갑자기 튀어나온 것일까? 너무 깊게 생각하지 마시라.^^ 불필요한 파일들을 제거해서 시스템을 최적화하는 것을 말한다. PC 튜닝 또한 사용자가 버튼 클릭 한 번으로 손쉽게 실행이 가능하도록 인터페이스가 구성되어 있다. '컴퓨터 최적화' 버튼을 클릭하니 아래와 같이 최적화 영역을 사용자가 선택할 수 있게
체크 박스가 나온다.

 

 '최적화 시작'을 수행해보았다.



와우~ 클릭 한 번으로 간편하게 불필요하게 차지하고 있는 메모리를 반환하여 공간을 확보했다.
소요 시간 또한 만족할 만하다. 프로세서 종료 후 미처 할당된 메모리를 반환하지 못하거나 기타 사유로 메모리 공간을 잡아먹고 있는 부분을 잡아내 강제 종료 후 메모리를 반환 받거나, IE(Internet Explorer)가 사용하는 Temporary 공간과 드라이버 캐쉬, 기타 Temp 공간을 제거하여 시스템 리소스를 확보하는 것으로 보인다.

다음으로 PC관리 기능을 살펴보자. PC튜닝 메뉴에서 PC관리 아이콘을 클릭해주세요.


아래와 같이 PC관리 창으로 들어왔다.

 


 
인상적인 것은 PC에 설치된 프로그램의 정보를 윈도우에서 제공하는 프로그램 추가/삭제 유틸리티보다 더욱 세분해 자세히 보여준다는 것이다. 일반 프로그램과 액티브X, 툴바, 윈도우 패치가 따로 구분돼 있어 한눈에 쉽
게 볼 수 있다.

  - 프로그램 관리 탭에는 설치된 프로그램의 제작사, 배포자, 버전 등의 뷰를 제공하여
관리가 수월한 것이 장점이다 물론 선택된 설치 목록을 삭제하는 기능을 지원한다.
  - 액티브X 관리 탭에서 액티브X의 삭제가 가능하며 차단 목록을 열람할 수 있다.
  - 툴바 관리 탭에서 최근 무차별 설치되는 툴바를 손쉽게 제거할 수 있다.
  - 보안 패치 관리 탭에서는 Microsoft사의 보안 패치 목록과 다운로드
경로(Link)가 제공돼 OS를 항상 최상의 보안 상태로 유지할 수 있다.

이제 PC튜닝의 다른 기능! 조각 모음 기능을 살펴보자.


 
여기서는 레지스트리 조각 모음과 파일 조각 모음을 할 수 있다. 여기서 잠깐!. 조각 모음이란 무엇일까. 말 그대로 조각이 난 파일을 하나로 모은다는(합친다는) 의미다.
하드디스크에 데이터가 기록될 때의 상황을 통해 조금 더 자세히 설명하겠다.


하드 디스크 내부의 플래터(원형 판;기록면)는 보통 분당 7200회 회전(rpm)을 한다. 분당 5600rpm, 10000rpm, 15000rpm으로 동작하는 디스크도 있다.
모든 하드 디스크는 모터에 의해 플래터가 고속 회전하기 때문에 액세스암(데이터를 직접 플래터에 기록해주는 장치)이 데이터를 순서대로 차곡차곡 기록하는 것은 불가능하다. 회전이 워낙에 고속으로 이뤄지기 때문에 데이터를 뿌리는(기록)대로 플래터에 흩어져서 저장된다. 때문에 데이터가 플래터 여기저기에 흩어진다.
 
이렇게 저장된 동영상 파일이 있다고 가정해보자. 이 동영상 파일을 실행하면 프로세서는
하드 디스크로부터 해당 데이터 파일을 읽어들이는데, 플래터 표면으로 부터 데이터를 읽어들이는 엑세스암이 여기저기 흩어진 데이터를 읽어들이느라 움직임이 빨라져서 자연스럽게 하드 디스크에 부하가 걸리게 된다. 빠른 엑세스 속도의 램장치와, 그에 비해 현저히 낮은 속도의 하드 디스크 엑세스 속도의 차이로 병목현상이 나타나 시스템 성능에 영향을 끼치게 된다. 이렇게 끊어진 데이터를 연속적인 데이터로 만들어 준다면 하드 디스크의 엑세스 속도를 좀더 안정적으로 보장할 수 있다. 이래서 조각 모음이 중요하다.



한 가지 더!
"윈도우에도 '조각모음'이 있는데, 똑같은 기능 아닌가?"라고 질문할 독자가 있을 것 같아 설명을 덧붙인다. 윈도우의 조각모음 기능은 작동 알고리즘이 느리다는 게 단점이다. 조각모음을 해본 사용자는 알 테지만, 조각이 많이 난 디스크일수록 겁이 날 만큼 조각모음 시간이 늘어난다. 오랫만에 조각모음하려고 PC를 켜놓고 잠을 잔 경험이 있지 않은가?
 

이런 단점 때문에 많은 중급 유저들이 다른 개발사가 내놓은 조각 모음 전용 유틸리티를 이용한다.
V3 365 클리닉 또한 한층 개선된 알고리즘으로 효율적으로 조각모음을 해주니, 그동안 조각모음이 무서워 피하기만 했던 사용자에게 상당히 유용한 기능이다.

먼저 여기저기 흩어진 레지스트리를 연결하는 레지스트리 조각 모음을 살펴보자. 모음 전에 조각 비율을 검사한다. 조각 비율이 5% 이상일 경우만 수행되도록 제한된다. 아래 나온 Hive라는 레지스트리는 수많은 논리를 구분하는 것을 말하는데, 하이브는 모두 HKEY로 시작된다. 시작-실행-'regedit'를 통해 레지스트리 편집기를 열면 모두 HKEY로 시작하는 것을 확인할
 수 있다.


 
아쉽게도 리뷰에 사용된 이 컴퓨터는 레지스트리 조각 비율이 0.9%로 조각 모음이 수행되
지 않는다. ^^:;

이번에는 조각난 파일이 많이 검출되길 기대하며 파일 조각 모음을 수행했다. 사전 분석 후 나온
결과(조각파일정보)를 토대로 모음을 실행한다.


 
기대했던 것만큼 조각 모음 시간이 빠르다. ^^
 조각 모음 완료 후 아래와 같이 텍스트(*.txt) 로그를 남겨줘서 조각모음이 실행된 파일의 정보를 한
눈에 볼 수 있다.


Part Ⅲ. 주요 기능을 살펴보자 - 개인정보보호


 
 개인정보보호 기능은 어떻게 개인정보를 보호해줄까. 아래 이미지처럼 적색 박스로 표시한 '개인정보보호' 탭을 누르니 보인다.^^



파일을 흔적없이 제거하여 개인문서로 인한 개인정보 유출을 사전에 막아준다는 내용이다.



'파일 완전 삭제 시작'을 클릭하니 아래와 같이 완벽한 삭제를 원하는 폴더나 파일을 추가하여 완전 삭제를 수행한다.



어떤 원리로 동작하는지 궁금해 설정 창을 열어보았다. 좌측에는 조절이 가능한 슬라이드 바가 나오고 우측에는 수준 정도가 출력된다. 삭제 수준을 어떻게 할 것이냐, 어떤 알고리즘을 사용할 것이냐, 얼마나 반복적으로 덮어쓸것이냐의 정도를 정하는 곳이다.


그럼 위의 옵션들은 무엇일까. 짧은 지식으로 설명을 해보겠다. 먼저, 파일이 완벽하게 지워지는 원리를 알기 전에 OS 상에서 DEL 키를 눌러서 지워지는 파일들이 어떻게 지워지는지 알아야 할 터. 사실 PC에서 파일을 지웠다고 해서 근본적으로 지워지지는 않는다. "눈에서 사라졌고, 차지했던 용량도 반환이 됐는데 지워진 게 아니고 뭐냐?"라고 물을 수 있다. 하지만 단순히 지워진 파일은 손쉽게 복구할 수 있다.

그게 어떻게 가능할까? 데이터가 저장될 때 클러스터(Cluster)라는 단위로 기록이 되는데 '삭제' 명령 시 이 클러스터를 공백으로 메우는 것이 아니라 파일 정보를 담는 헤더(Header)의 값을 '저장 매체가 공간이 필요할 경우 이 곳에 공간 할당이 가능함'이라는 값으로 바꿔준다. 그렇다면 다른 데이터가 들어와서 그 공간을 덮어 사용할 수 있는 것이다.

바로 여기가 포인트이다. 덮어쓰고 나면 기존에 기록되었던 데이터 값은 날아간다. 이 때부터는 복구가 힘들다. 반대로 클러스터에 아무런 데이터가 덮어씌어지지 않은 상태에서 헤더 정보만 바꾸면 손쉽게 복구할 수 있는 것이다.

개인정보보호-파일완전삭제 기능은 이러한 원리를 이용해서 완전한 파일 삭제를 가능케 한다. 특정 알고리즘을 이용해 수 차례 클러스터에 데이터를 덮어써 복구가 불가능하게 한다.

그럼 '파일흔적삭제' 기능은 무엇일까. 이것 또한 크게 다르지 않은 것 같다. 과거에 지웠던 파일, 즉 클러스터에 대한 정보 값이 위의 경우
와 같아 손쉽게 복구가 가능한 것들을 스캔하여 흔적을 제거해준다.






Part Ⅲ. 주요 기능을 살펴보자 - 해킹차단


 이제 해킹차단 기능을 이용해볼 차례다.


  아래 그림처럼 개인 방화벽과 네트워크 침입 차단을 제공한다.


개인 방화벽 정도를 설정하는 것을 슬라이드 바로 제공하고, 프로그램 및 네트워크에 특정 조건을 줘서 네트워크 연결을 허용/차단을 간편하게 설정할 수 있다.


특정 프로그램을 등록해 프로그램에서 사용하는 네트워크를 차단하는 기능이다. 아래와 같이 프로그램 실행 파일을 Black List(차단목록)나 White List(허용목록)로 설정하여 네트워크 사용 허용 여부를 조절할 수 있다.


네트워크 규칙을 사용한 방화벽에도 특정 포트를 Black List 혹은 White List로 등록할 수 있다. 윈도우에서 제공하는 방화벽도 비슷한 방식이다. 여기서 개인이 사용하는 포트만 개방하고 나머지를 닫아버리면 외부에서 의도적으로 침입할 수 있는 경우의 수는 더욱 줄 것이다.


 


Part Ⅲ. 주요 기능을 살펴보자! - 인터넷 하드


 자! 이제 마지막으로 인터넷 하드 기능을 살펴보자. V3 365 클리닉 사용자에게는 2Gbyte의 저장 공간이 제공된다. 물론 믿음직한 회사인 만큼 중요한 데이터도 걱정없이 보관해줄 것이다.^^

로그인해보니
 


아래와 같이 2Gbyte을 확인할 수 있다. ^^ 직접 폴더를 열어 추가하는 번거로움 없이 마우스 Drag & Drop만으로도 간편하게 업로드 파일을 지정할 수 있다.


업로드할 파일을 추가하고 '업로드' 버튼을 딸깍 눌러주면 아래와 같이 전송 창이 뜬다. 기자의 PC에 연결된 회선이 보안을 위해 라우팅되었기 때문에 관리자가 지정한 특정 포트를 제외하고는 다른 모든 포트가 막혀있다. 때문에 인터넷 하드가 이용하는 포트도 막혀서인지 아쉽게도 업로드되는 화면까지는 확인하지 못했다.
 



인터넷 하드 기능을 마지막으로 V3 365 클리닉에 대한 모든 리뷰를 마쳤다. 아! 한가지 핵심적인 기능을 빠뜨렸다. 바로 PC주치의 서비스이다. 이것은 따로 리뷰를 올릴 예정이다.^^

Part Ⅳ. 리뷰를 마치며


 첫 리뷰 제품이 안랩의 V3 제품군이고, 게다가 블로그 사보에 포스팅하여 여러 방문자에게 공개된다는 게 영광이다. 다른 한 편으론 짧은 지식으로 작성하였기에 부끄럽기도 하다.^^;;

리뷰를 진행하면서 V3 365 클리닉의 각 기능의 작동 원리에 많은 궁금증이 생겼다. 일부는 자료 등을 통해서 해결하였고, 아직 해결하지 못한 것은 담당자에게 알아볼 계획이다.

누군가가 기자에게 "이 제품을 사용해보셨던데 어땠나요?"라고 묻는다면 "사용자 중심의 강력한 기능을 가진 V3 365 클리닉 말입니까? 매우 만족합니다"라는 말로 평가를 대신하고 싶다.

리뷰가 전적으로 내 생각에 입각해서 표현하였기 때문에 표현법이나, 기술적 설명에 오류가 있을 수 있다. 지적 사항이 있으면 따금하게 일러주시길.

마지막으로 이 글이 V3 365 클리닉을 처음 접했거나, 관련 정보를 찾고 있던 분들에게 도움이 되었으면 하는 작은 바람이다.Ahn

대학생 기자 변종민 / 경기대 산업공학
주변 사람들은 나를 보고 근성가이라 한다. 나 또한 가진 것이 젊음과 근성 하나라고 믿고 있다. 지칠 줄 모르는 도전 정신과 끈기로 미래의 정보보안감사사가 되는 것이 목표인 24살 청년목표를 이루기 위해 한 단계, 한 단계 나아가고 있으며, 대학생 시절 소중한 경험과 추억을 담아가기 위해 보안세상 대학생 기자로 활동 중이다.



 

Posted by Freddie Mercury

댓글을 달아주세요

국내 온라인 시장은 1994년 소설형 온라인 게임인 ‘머드게임’이 한국 사회의 새로운 놀이문화로 등장한 이래 1996년 온라인 게임은 새로운 변화를 겪으며 일신우일신(日新又日新) 할 수 있는 기회를 마련했습니다. 점과 선으로만 이뤄져 진행되던 게임에 그래픽이 첨가되면서 온라인게임은 전환기를 맞이했습니다.

처음 머드게임을 시작으로 출발한 온라인게임은 채 7년이 지나기도 전에 머그게임이라는 새로운 형태의 게임으로 변화했습니다. 그러나 당시 머드게임이나 머그게임의 경우 많은 사람들이 편하고 쉽게 즐길 수 있는 게임이라기보다는 매니아적 성격이 강하다 할 수 있었습니다.


2000년대 전후로 온라인게임 유저들 사이에서 선풍적인 인기를 끌었던 ‘포트리스’는 온라인 게임 시장의 치열한 경쟁시대 열었다고 볼 수 있는데, 이 게임을 계기로 매니아의 전유물로 여겨지던 게임이 급속도로 일반인들에게 퍼지면서 온라인게임은 단순히 게임이 아닌 놀이문화의 한 형태로 자리잡았습니다.

이후 온라인 게임이 일반인들에게도 선풍적인 인기를 끌면서 온라인게임을 개발하려는 업체들도 우후죽순으로 등장, 온라인게임 시장은 치열한 경쟁시대를 맞았습니다.


                                 <국내 온라인 게임 시장규모와 성장률>


그러나 온라인게임이 국민 게임으로 성장했지만 이에 따른 사회적 문제와 함께 정책의 부재로 인한 혼선도 나타났습니다. 대표적으로 중독성으로 인한 피해, 게임 내 아이템의 현금거래에 따른 문제 발생, 게임성을 해치는 불법 행위 등을 예로 들 수 있는데요. 심지어 인명사고도 발생하는 등 문제의 심각성이 대두 되어왔습니다. 온라인 게임의 폐해가 커지자 정부는 주도적으로 관련 정책,법안 등을 내놓고 온라인게임 업체들은 자체적인 정화노력 등 이러한 문제를 해결하려 다각적인 노력을 통해 건전한 게임시장을 육성하고 있습니다.

그래서 온라인 게임 시장 발전의 큰 걸림돌이 되고, 여러가지 문제를 유발하는 온라인게임 해킹을 주제로 다뤄보았습니다.

온라인 게임 해킹이란, 비정상적인 방법으로 메모리, 게임 파일, 서버 등에 접근하여 데이터 등을 변조하는 방식을 통해 정상적인 사용자들 보다 유리한 조건에서 게임 진행이 가능하도록 하는 것을 일컫습니다.

이러한 해킹 기법에는 무엇이 있을까요? 대표적으로 사용되는 사용되는 해킹 기법을 간략히 소개하겠습니다.


-스피드 핵(Speed Hack) : 게임의 속도를 가속시켜 게임진행을 빠르게 하는 방법을 말합니다. OS 내의 논리적 시간 변형을 통해 게임 진행 속도를 강제로 높여 사용자 자신에게 유리하도록 바꿉니다. 이런 방식을 사용한 해킹 툴을 이용할 경우 대량의 패킷 전송으로 Client(사용자)는 물론 Server(서비스제공업체)에 논/물리적인 과부화를 초래합니다. 또한 게임의 균형을 흐트려 게임성을 저해하는 원인이 됩니다. 방식의 특성상 1인칭 슈팅게임(FPS)에 이용됩니다.

-오토플레이(Auto-paly) : 사용자의 특별한 조작 없이도 키보드와 마우스를 자동으로 조작하는 방식입니다. 위에서 설명한 스피드 핵과 함께 가장 많이 알려져 있습니다. 사용자 수준의 후킹(hooking) 명령어를 통해 물리적인 입력신호로 전환시켜 마치 키보드나 마우스로 입력하는 효과를 냅니다. 따라서 해킹 프로그램에 의해 키보드, 마우스가 제어되고 사용자의 별도 조작없이 게임이 자동으로 진행됩니다. 컴퓨터 내에서 실행될 경우 차단이 비교적 쉽지만, 프로그램을 넣은 USB를 마우스로 인식하거나 전용 오토마우스가 제작되는 등 방법이 지능화하고 있으며, 전문적으로 판매하는  업체도 생겨남에 따라 심각성이 커지고 있습니다.

-Non-Client Bot(비사용자 로봇) : 게임 클라이언트를 실행하지 않고 게임을 자동으로 진행할 수 있도록 하는 해킹 툴입니다. 이러한 Non-Client Bot은 실제 게임 클라이언트처럼 화려한 그래픽을 자랑하는 것이 아니라 단순히 설정버튼과 실행버튼만을 제공하고, 게임 서버와는 마치 실제 유저가 게임에 로그인하여 게임을 진행하고 있는 것과 동일한 패킷을 주고받습니다. 게임 플레이를 하지도 않는 사용자들이 서버로 대량 접속하기 때문에 서버 과부하가 발생하고 클라이언트 자체가 실행되지 않으므로 클라이언트가 실행돼야 작동하는 보안프로그램이 검출하기 어려울 뿐더러 게임을 완전히 분석한 뒤 제작된 툴이기 떄문에 이러한 방식의 해킹 툴을 막을 방법이 없다고 봐도 무방합니다. 현재 가장 진보된 해킹 기법이며 게임성은 물론 게임 자체의 존폐를 위협할 정도로 강력합니다.

-패킷 핵(Packet Hack) : 클라이언트와 서버 간에 주고받는 네트워크 패킷을 분석하고 조작하는 방식입니다. 클라이언트와 서버가 주고받는 패킷이 일단 분석되고 나면 특정 패킷을 여러 번 전송하거나 일부 데이터를 조작하여 전송하는것이 가능합니다. 이런 방법을 통해 다양한 해킹 툴을 제작할 수 있고 이를 기반으로 하는 해킹 툴들이 배포되면 정상 이용자들은 무더기로 게임을 그만두거나 게임 밸런스 붕괴로 서비스를 초기화하거나 중단에 이를 수 있습니다.


메모리 핵(Memory Hack) :
게임 클라이언트 프로세스의 메모리를 조작하는 방식입니다. 다양한 메모리 핵 프로그램이나 디버거 등을 이용하여 이루어집니다. 데이터를 조작하여 체력, 돈, 능력치 등을 수정하여 게임의 밸런스에 영향을 미칩니다.

 2008 해킹 툴/유형 통계


최근에는 다수의 온라인 게임에 적용 가능한 범용 툴이 아닌 특정 게임을 분석하고 거기에 맞춰 제작된 전용 툴의 사용이 늘어나고 있는 추세입니다.

아래는 08년 12월22일에  인철수연구소(AhnLab)에서 발표한 자료입니다.


22일 안철수연구소(www.ahnlab.com 대표 김홍선)가 발표한 올해 온라인 게임 보안 동향 및 이슈 분석 결과에 따르면, 올해 들어 특정 온라인 게임을 대상으로 한 전용 해킹 툴 급증하고 갈수록 지능화하고 있다.  

지난해에는 온라인 게임 해킹 툴이 대폭 감소된 반면에, 올해에는 지난해보다 두 배 이상 증가한 506건으로 나타났다.
 특히 범용적으로 사용할 수 있는 해킹 둘 보다는 특정 게임을 대상으로 고도의 기술력이 접목된 전용 해킹 툴이 급속도로 증가했다.  

앞으로도 특정 게임을 대상으로 한 해킹과 함께 해킹 툴 제작도 늘어 음성적인 해킹 산업의 규모도 늘어날 것으로 예상된다.


 


   
    
온라인 게임 해킹 툴 연도별 통계(2008년 12월 22일 기준)

      *참고:계정 탈취용 트로이목마는 제외된 수치임.


안철수연구소에서 발표한 자료에서 볼 수 있듯이 전용 해킹 툴의 사용이 비약적으로 늘어남을 알 수 있는데, 비사용자로봇(Non_Client Bot)과 같은 전용 해킹툴이 제작되어 사용된다면 해당 게임의 게임성은 물론 지속성마저 무너뜨릴 수 있기 때문에 시급한 대책이 필요합니다.

여러 문제점은 물론 게임의 지속성까지 위협하는 해킹 툴이 개발되고 사용되는 이유는 무엇일까요? 그 이유는 툴을 개발하는 개발자 측면과 배포 받아 사용하는 사용자 측면으로 나눠 생각해 보았습니다.

우선 개발자는 
-프로그램 제작을 통해 자신의 실력을 과시 하기 위한 용도로 사용한다.
-프로그램 판매를 통해 금전적인 이익을 추구하기 위해 개발한다.
-개발자도 게임 이용자 중 한명이기 떄문에 판매 목적이 아니더라도
 실제 사용을 위해 개발한다.

사용자는
- 빠른 캐릭터 성장을 위하여 사용한다.
- 다른 이용자보다 유리한 조건에서 게임을 진행하기 위해 사용한다.

위와 같이 온라인 게임 해킹으로 얻을 수 있는 이점 때문에 해킹 툴의 개발과 사용의 유혹으로부터 쉽게 벗어나지 못하고 있습니다.

해킹 툴을 사용함으로써 발생하는 문제점에는 무엇이 있을까요?

첫째, 사용자 정보 유출로 인한 법적 문제 유발을 들 수 있습니다. 게임 해킹을 목적으로 배포된 프로그램에 트로이목마가 포함되어 있을 경우 사용자 정보 유출이 우려되며 이렇게 유출된 정보를 이용하여 게임 계정 탈취, 타 용도로 악용 등의 문제가 발생할 수 있습니다.

 둘째, 게임의 공정성 저하로 핵 사용자 외 사용자들의 의욕상실 유발시킵니다. 핵 사용자들에 상대적으로 불리한 조건에서 게임을 진행하면서 발생하는 심리적인 박탈감이 게임에 대한 충성도 저하로 이어집니다.

 셋째, 해킹 툴로 인한 과도한 서버 부하가 원활한 서비스 제공을 방해하여 사용자 불만 초래 하고 서버관리비용 증가를 야기합니다.

 넷째, 빠른 게임 진행으로 게임에 흥미를 잃은 유저들이 다른 게임으로 옮겨가면서 게임의 수명 단축되고 곧 게임 서비스 제공업체에 금전적인 손실로 돌아옵니다.

 다섯째, 해킹툴로 인하여 게임 서비스에 문제가 발생할 경우 회사의 대외 이미지 추락으로 이어지기 때문에 이후에 개발하고 제공하려는 서비스에도 큰 타격을 입을 수 있다는 것입니다.


 

정부의 관련 법안, 정책마련, 게임서비스 제공업체 및 보안업체의 노력에도 불구하고 근본적으로 막기 어려운 이유는 무엇일까요?

첫째, 해킹 툴의 전문화를 예로 들 수 있습니다. 최근 게임 서비스 제공 업체와 보안 업체의 노력으로 해킹 신고 현황은 줄어드는 추세인 데 반해 해킹 툴이 전문화되어 가고 있습니다. 전용 툴은 특정 게임을 분석하여 전문적으로 제작되었으며, 보통 판매를 목적으로 하기 때문에 개발자에 의해 지속적인 업데이트가 제공된다는 점이 있습니다. 따라서 차단이 매우 어렵습니다.

둘째,
해킹 툴을 손쉽게 접할 수 있다는 점입니다. 게임 커뮤니티나, 검색엔진을 통해 간단한 검색만으로도 웹페이지나 블로그 등을 통해 다운받을 수 있습니다.

셋째, 일부 게임 서비스 제공 업체의 문제점이 있습니다. 국내 일부 온라인게임 관련 사업자의 경우 게임의 이용자를 늘리기 위해 해킹 툴을 사용하는 것을 알면서도 방관하고, 제작 시에 보안을 고려치 않거나 게임보안 솔루션을 일부러 도입하지 않는다는 것입니다. 즉, 처음 사용하는 게임의 경우 아직 능숙하지 않다보니 오래 즐길 수가 없어 이용자들이 재미를 못 느끼기 때문에, 해킹 툴을 이용해 캐릭터의 능력을 불법적으로 배가시키는 행위를 허용한다는 것입니다.

넷째, 온라인 게임장르의 유행 흐름에 따라 해킹 툴의 종류의 기법이 수시로 바뀐다는 점입니다. FPS 게임이 유행하는 경우 Wall Hack이라는 툴이 이용되고, MMORPG가 유행을 할 경우 Auto Bot, Speed Hack이 사용되는 빈도가 높아지는 등 해킹 툴도 게임시장의 유행을 탑니다. 이런 특징 때문에 게임서비스 제공업체와 보안업체가 해킹 툴에 대한 대비책을 마련하더라도 다른 장르의 온라인 게임이 유행함에 따라 더욱 더 발전된 해킹 툴이 나와 속무무책입니다.


 

지금까지 온라인 게임 시장에서 심각한 문제로 대두된 게임 해킹에 대해 간략히 정리해보았습니다.

해킹 툴이 단순히 게임을 더욱 더 편리하게 즐기기 위해 사용하는 도구일지 모르나, 장기적으로 보았을 때 이는 곳 온라인 게임 시장의 발전을 전해하고 언젠가는 온라인 게임이 즐기기 위한 도구가 아닌 다른 용도로 전락해 버릴 수 있는 무기가 된다는 사실을 명심하여야 할 것입니다.

다시 말해 해킹 툴을 개발하는 자, 사용하는 자, 그리고 해킹에 대해 안일한 대책을 가진 게임 서비스 제공 업체의 부적절한 행위 하나 하나가 “스스로 무덤을 파는 꼴”임을 명심하고 건전한 온라인 게임 문화를 만들어 나가는 데 앞장서야 할 것입니다.


중국, 대만은 물론 미국, 유럽 등지에서 온라인 게임 분야에서 강력한 기술력을 바탕으로 선전하고 있는 대한민국, 기술력뿐만 아니라 게임 문화 면에서도 세계 최고가 되길 바라며.....
Ahn


사내기자 김태훈 / 보안기술팀
"현재의 나"에서 출발하여 "내가 바라는 나"로 걸어가는 중입니다.
물론 가는 길에 끊임없이 딴짓을 해서 탈이지만
그래도 즐기며 걸어가고 싶습니다 높은 곳을 향하여!



 

대학생 기자 변종민 / 경기대 산업공학
주변 사람들은 나를 보고 근성가이라 한다. 나 또한 가진 것이 젊음과 근성 하나라고 믿고 있다. 지칠 줄 모르는 도전 정신과 끈기로 미래의 정보보안감사사가 되는 것이 목표인 24살 청년. 목표를 이루기 위해 한 단계, 한 단계 나아가고 있는 그는, 대학생 시절 소중한 경험과 추억을 담아가기 위해 보안세상 대학생 기자로 활동 중이다.


 

Posted by Freddie Mercury

댓글을 달아주세요

컴퓨터를 사용하면서 윈도우 레지스트리로 인한 문제나 단순한 드라이버 충돌로 OS를 뒤엎어 버리는 경우가
많다. 해결이 어렵다기 보다는 발생 떄마다 약간의 귀찮음으로 방치하고 방치하다...결국 못이겨
OS 재설치라는 방법을 선택하는지도...

이렇게 PC 사용을 짜증나게 하는것 중 하나가 웜바이러스인데 더 문제인건 중요한 개인 정보가 고스란히
빠져나갈수도 있다는 사실...특히나 스팸메일이나 메신져 등 여러가지 경로로 퍼지기 때문에 보안에 무관심한
사람이라면 쉽게 걸릴 수 있다.

Windows 내의 로컬 보안 설정 부분을 건드려 웜바이러스 실행을 애초에 막는 방법을 소개하고자 한다.

방법은 간단하다 로컬 보안 설정 부분의 소프트웨어 제한 정책에 해당 사항을 반영하면 된다.

시작->실행->C:\Windows\System32\secpol.msc 입력 후 엔터.

아래와 같이 로컬 보안 설정 창이 뜬다.

사용자 삽입 이미지


아래 파란 블럭 처럼 "소프트웨어 제한 정책"이 보이는가?

사용자 삽입 이미지


마우스 우클릭 후 나오는 "추가 규칙" 항목을 클릭한다.

사용자 삽입 이미지


경로 부분에 웜바이러스에 해당하는 사항을 입력하면 된다.
아래는 해당 예이다.
C:\Windows\System32\srosa.sys
C:\Windows\System32\mdelk.exe
C:\Windows\System32\hldrrr.exe
C:\Windows\System32\wintems.exe
C:\Windows\System32\wincon.exe
C:\Windows\System32\system.exe
C:\Windows\System32\mscpco.exe
C:\Windows\System32\85865.exe
C:\Windows\System32\840.exe
C:\Windows\System32\150.exe

이외에도 다른 바이러스 실행파일이 있다면 이런식으로 추가하셔서
보안을 유지하는 방법도 있습니다.^^

Posted by Freddie Mercury

댓글을 달아주세요


BLOG main image
by Freddie Mercury

공지사항

카테고리

전체 (66)
오늘 나는? (3)
Article & Review (4)
IT Information (22)
꿈을 위한 한 걸음 (4)
My Favorite Things (14)
안철수연구소 SR 5기 (7)
IBM CampusWizard 5기 (6)
Windows Frontier 2기 (6)
공모전 GO (0)