최근 특정 방송사 및 일부 언론에서 보도한 ‘3.20 사이버 테러와 관련하여 사실과 다른 부분이 많아 이를 바로잡고자 합니다특히 대중의 이해를 돕기 위해 쉽고 단순화하여 보도하는 과정에서 전문적 내용이 너무 포괄적으로 표현되었습니다이런 이유로 방송/금융 등 6개사에 대한 사이버 테러는 각기 다른 경로로 이루어졌음에도 모두 안랩의 책임인 것으로 보도되어 많은 오해를 낳고 있습니다이에 안랩은 보안 업계 1위 기업으로서 보안에 대한 불필요한 오해를 풀고 보안업계에 대한 정확한 사실을 알릴 필요가 있다고 판단해 아래와 같이 밝힙니다 

‘3.20 사이버 테러에는 안랩의 백신이 이용되지 않았습니다.

보도에는 북한 해커들이 이용한 침투 통로는 백신 프로그램이라거나 북한이 백신 프로그램을 역이용한 것이라고 표현했습니다또한 사이버 테러에서 악성코드를 실어나른 것이 백신 프로그램이라거나 백신 프로그램을 변조 등의 표현도 있습니다.

그러나 이는 안랩에 해당되지 않는 내용입니다.  ‘3.20 사이버 테러를 당한 6개사가 모두 안랩 제품을 사용하는 것은 아니며더구나 백신 프로그램의 변조는 안랩의 경우가 아닙니다. 

안랩의 자산 및 중앙 관리서버(AhnLab Policy Center, APC) 백신이 아닙니다.

‘3.20 사이버 테러에서 이용된 것은 안랩의 백신 프로그램이 아니라 APC 서버입니다또한 APC 서버의 취약점이 이용된 것은 농협의 경우에만 해당됩니다.

APC 서버는 기업 내부망에서 백신 프로그램이나 일반 소프트웨어가 최신 버전으로 유지되는지 중앙에서 관리하는 소프트웨어 제품입니다이는 V3 같은 백신 프로그램이 아니며보안 제품도 아닙니다. 

해당 언론사의 비유를 빌어 이번 해킹 사건 수법을 설명하자면 아래와 같습니다.

어떤 집이 재산을 보호하기 위해 담벼락창문현관 및 방문 등 각 영역 별로 각기 다른 전문 경비업체(보안회사)와 함께 보안 시스템을 구성 및 운영했습니다집 주인은 이러한 보안 수단을 효율적으로 운영하기 위해 노력해야 합니다. (실제로 많은 기업들이 개별 PC 백신을 비롯해네트워크 보안서버 보안 등 모든 분야에 걸친 종합적인 보안 시스템을 구축하기 위해 노력하고 있습니다.)

어느 날집 내부의 재산을 파괴할 목적을 가진 범인이 수개월 전에경비업체를 피해 집안에 몰래 감시 카메라를 설치했습니다(APT 공격으로 기업의 PC를 최초 장악이 수법은 아직 밝혀지지 않았습니다). 강도는 이후 몇 달 간 집 안을 감시하며 집주인의 생활패턴을 모두 파악한 후 집주인처럼 행세하여 재산을 파괴할 수 있는 방법을 찾아 실행했습니다. 경비업체가 아닌 집 주인을 가장해 내부로 침입했고경비업체는 이를 집 주인으로 여긴 것입니다.

여기서 범인은 합동조사단에 따르면 북한 해커이고안랩은 경비업체로 대변되는 보안 솔루션 업체 중 하나입니다또한최초로 언론사 및 금융사 내부 PC를 감염시킨 수법에 대해서는 아직 밝혀지지 않았습니다. 

이전 농협 관련 보도자료에서 안랩의 제한된 책임 부분은 명확히 밝힌 바 있습니다.

안랩은 3 29자체 중간조사결과 보도자료로이번 농협 공격에서 악성코드 침입 이후 단계에서 악용된 자사의 자산 및 중앙 관리서버(APC)의 제품 기능상 이슈를 밝히고 사과했습니다안랩은 자사 백신이 아닌 APC 서버 기능 오류(bug)를 파악한 상황에서 최초 보도자료를 통해 약속한 대로 일부 책임 발표를 검토 중이었습니다또한당시 방송/금융사 6개사 전산장애의 숙주인 것처럼 오인 받았던 농협의 요청도 있어 중간조사결과 보도자료를 배포하게 되었습니다.

안랩은 앞으로도 명확한 인과관계에 의해 책임이 밝혀진다면 이를 피하지 않을 것입니다. 

해외 보안업체에서 밝힌 악성코드는 이번 공격에 사용된 MBR/HDD 파괴 악성코드가 아닙니다

해외 백신제품이 이번 공격에 사용된 ‘Kill MBR(안랩 진단명: Win-Trojan/Agent.24576.JPG)’을 미리 진단하고 있었다는 부분은 사실과 다릅니다해외 보안업체 공식 블로그에도 진단 날짜는 대부분 3 20일 이후로 나와 있습니다(*URL 참고). 해외 보안업체가 지난해 이미 진단했다고 언급한 악성코드는 이번 공격에 사용된 악성코드와 일부 구조가 유사한 변종이지만이번 공격에 사용된MBR을 파괴하는 악성코드는 아닌 것으로 확인됐습니다.

관련 URL

http://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Troj~MBRKill-A/detailed-analysis.aspx

http://home.mcafee.com/VirusInfo/VirusProfile.aspx?key=2368933 

안랩은 창립 이래 20년 가까이 우리 사회의 안전한 IT 환경을 위해 사명감과 책임감을 갖고 연구개발을 지속해왔습니다또한 고객사의 안전을 최우선으로 노력해 왔으며 책임을 회피한 적이 없습니다이번 ‘3.20 사이버 테러’ 직후 고객정보보호 후속조치를 발표하면서 명확한 조사 결과안랩에 귀책사유가 있다면 피하지 않고 책임을 질 것이라고 밝힌 바 있습니다그러나 책임은 명확하게 입증된 사실을 전제로 한다는 점을 분명히 하고자 합니다 

이번 방송/금융사 6개사 전산장애는 전형적인 APT(Advanced Persistent Threat 지능적 지속 공격방식의 공격입니다. APT 공격은 국가기관의 철저한 감독과 해당 기업의 다층적인 보안 구축에도 불구하고 완벽하게 막아내기엔 부족한 점이 있습니다이런 지능적인 공격을 효과적으로 막고자 보안 업계는 수년 전부터 APT 전용 보안 제품을 개발해왔습니다.  그러나 APT 공격은 기술력만으로 막기 어렵습니다사용자가 관심을 가질 만한 메일이나 메시지웹사이트 등 갖가지 수단(사회공학적 기법)을 이용해 현혹하기 때문입니다따라서 사용자의 보안 의식이 무엇보다 중요합니다.  

안랩은 국내 1위 보안기업으로서 생활 속의 보안지식 공유를 통해 다음 주부터 보안에 대한 이해를 도와 자신과 직장의 정보와 재산을 보호하기 위한 보안지식 공유 캠페인을 전개하고자 합니다.

덧붙여 일부 의원이 라디오 방송에서 언급한 안랩이 완전히 털렸다거나 북한의 용병이라는 언급은 사실이 아님을 말씀드립니다.

감사합니다.

신고
Posted by DH, L@@

안랩 ASEC에서 2012년 5월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.29을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 5월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

이력서로 위장한 악성코드

LinkedIn 스팸 메일을 위장한 악성코드 유포

DHL운송 메일로 위장한 악성코드

런던 올림픽 개최를 이용한 악성코드

ws2help.dll 파일을 패치하는 온라인게임핵 변종 악성코드

AV Kill 기능을 가진 온라인게임핵 악성코드

플래시 플레이어의 제로데이 취약점(CVE-2012-0779)을 이용하는 악성코드

Python으로 제작된 맥 악성코드

프로그램 설치 화면 놓치지 마세요

어린이날에도 쉬지 않는 악성코드 제작자


2) 모바일 악성코드 이슈

안드로이드 Notcompatible 악성코드 발견

어도비 플래시 플레이어로 위장한 안드로이드 악성 앱

허위 안드로이드 모바일 백신 유포

허위 유명 안드로이드 앱 배포 웹 사이트

Talking Tom Cat 사이트로 위장한 앱 사이트를 통해 유포되는 악성코드


3) 보안 이슈

어도비 플래시 플레이어 CVE-2012-0779 취약점 발견

'LOIC' 툴을 이용한 DDoS 공격 주의!


4) 웹 보안 이슈

꾸준히 발견되는 농협 피싱 사이트


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.29 발간


저작자 표시
신고
Posted by 비회원