2월7일 시만텍코리아는 ‘시만텍 넷백업 5220′과 ‘시만텍 넷백업 5020′을 선보였다. 이번 제품은 빠른 속도, 빠른 설치, 빠른 유지보수 삼박자를 강점으로 내세웠다. 그래서일까. 국내에 처음 출시되는 시만텍 백업 어플라이언스에 대해 소개해면서 그렉 누스 시만텍 넷백업 어플라이언스팀 제품담당 수석이사는 강한 자신감을 보였다.

이날 소개된 ‘5220′은 최대 192TB까지 확장 가능한 백업 어플라이언스, ‘5020′은 중복제거 솔루션 어플라이언스 제품이다. 넷백업 솔루션 7.1을 지원하며, 시만텍이 미국의 하드웨어 벤더 NEI와 협력해 직접 출시하는 제품들이다.

이들 어플라이언스 모두 클라이언트와 타깃 중복제거 기능을 지원해 물리와 가상 시스템 백업을 가속화시킨다. 여기에 시만텍의 콘텐츠 인식 중복제거 기술을 탑재해 백업 크기와 네트워크 이용률을 최대 99%까지 낮출 수 있다.

소프트웨어 판올림 주기가 짧다는 것도 장점으로 꼽힌다. 어플라이언스라는 특성상 하드웨어와 소프트웨어간 긴밀한 결합을 지원하는 덕분이다. 실제로 지난 2월6일 시만텍은 넷백업 솔루션 7.5를 해외에서 먼저 공개하면서 오는 봄에 제품을 출시하겠다고 발표했다.

이에 대해 누스 수석이사는 “기존에는 하드웨어가 소프트웨어 업그레이드를 감당할 수 있도록 준비하는 기간이 필요했지만, 이번 제품은 그럴 필요가 없다”라며 “고객들은 7.5가 나오는 순간 빠르게 업데이트를 받을 수 있을 것”이라고 설명했다.

이번에 발표된 제품들은 또한 전원을 꽂으면 바로 사용할 수 있는 ‘플러그앤플레이’를 지원한다. 전형적인 백업 플랫폼 구축 작업은 서버 플랫폼 구입→스토리지 구입해서 서버와 연결→운영체제 설치→보안 적용→백업 애플리케이션 설치→보안 패치 재적용이란 6단계를 거쳐야 했다. 여기에 데이터 백업 플랫폼 소프트웨어와 하드웨어가 따로 구성되다 보니 관리는 더욱 복잡해졌다.

IDC가 발표한 자료에 따르면 2011년 한 해에 180만GB에 달하는 세로운 데이터가 생산됐다. 이같은 데이터의 폭발적인 증가, 가상화 구축 사례 증가, 클라우드 컴퓨팅이 맞물려 데이터를 관리하는 방법이 나날이 복잡해졌다. 누스 수석이사는 “원활한 데이터 백업을 위해서는 그 과정이 단순해야 한다”라며 “이번에 선보인 5220과 5020은 기업에 그 해답을 제공할 것”라고 말했다.

이 밖에도 VM웨어 백업호스트를 통한 엔트두엔트 SAN 전송, 가상 시스템 자동 검색과 백업을 통해 한층 강화된 가상 시스템 보호 기능을 제공한다.

시만텍의 이번 어플라이언스 제품은 기존 넷백업 솔루션을 다른 하드웨어와 잘 연동해서 사용하고 있는 고객이 아닌, 신규로 서버를 구입하는 고객, 구형 서버를 교체하려는 고객을 대상으로 하고 있다. 누스 이사는 “노후화된 서버 플랫폼 교체 시장을 겨냥하고 있다”라고 말했다.

정경원 시만텍코리아 사장은  “이번 제품 출시로 국내 넷백업 비즈니스가 한단계 도약하는 기회가 될 것으로 생각하고 있다”라며 “기업 IT 관리자들이 급증하는 데이터를 올바르게 관리하기 위해서는 데이터를 안전하게 백업하고 복구하는 것은 물론 효율적으로 활용할 수 있는 방안이 될 것으로 확신한다”라고 말했다.

라이브오피스는 e메일 아카이빙 소프트웨어를 웹에서 서비스하는 업체로 컴플라이언스와 호스팅 기능을 제공한다. 마이크로소프트 오피스365와 구글앱스, 세일즈포스닷컴과 드롭박스 같은 전세계 2만여 고객사가 라이브오피스 솔루션을 활용하고 있다.

개인 스마트폰과 태블릿 같은 기기를 통해 업무를 보는 직원들이 늘어나면서 기업이 책임지고 감당해야 할 정보의 양도 늘어났다. 정부와 글로벌 감독기관들도 기업의 정보 시스템과 업무 프로세스를 재정비하라고 종용했다. e메일 아카이빙 시스템은 기업의 비즈니스 정보를 저장해 이를 법률적으로 업무에 활용할 수 있도록 도와준다.

시만텍은 라이브오피스를 통해 기업들이 자사 e메일이나 인스턴트 메시지를 클라우드 환경에 저장하고 관리할 수 있게 도와줄 수 있게 됐다. 지난해 5월 인수했던 클리어웰시스템즈의 ‘e디스커버리 플랫폼 엔터프라이즈’에 라이브오피스 기능을 추가할 것으로 보인다.

디팩 모한 시만텍 정보관리그룹 수석부사장은 “클라우드를 활용한 라이브오피스의 기능과 이전에 인수했던 클리어웰의 ‘e디스커버리 플랫폼’을 결합해 정보의 식별, 수집, 저장, 처리, 분석 기능을 강화할 수 있게 됐다”라며 “향후 시만택은 클라우드 또는 하이브리드 솔루션으로 가장 포괄적이고 혁신적인 정보관리 솔루션을 제공할 수 있게 됐다”라고 인수 소감을 밝혔다.

클리어웰과 라이브오피스를 인수하면서 e디스커버리 소프트웨어 분야에서 시만텍의 입지가 더욱 공고해질 것으로 보인다. 시만텍은 가트너의 연구조사 결과를 인용해 “2012년까지 정보 거버넌스 전략과 콘텐츠 아카이빙 솔루션을 도입하지 않는 기업들은 이를 도입한 기업들보다 약 30% 더 많은 비용을 지출할 것으로 전망하고 있다”라며 “현재 많은 기업들이 법정 증거물 제시와 관련된 비용을 낮추기 위해 정보 거버넌스 프로세스 도입을 요구받고 있는 가운데 관련 시장 규모는 점점 더 커질 것으로 보고 있다”라고 밝혔다.

디팩 모한 부사장은 “아카이빙과 e디스커버리는 정보 거버넌스 구축의 핵심요소”라며 “업계를 선도하는 시만텍의 아카이빙 솔루션과 클리어웰, 라이브오피스의 성능을 결합해 향후 시만텍과 클리어웰 고객 모두에게 최적의 통합 정보 거버넌스를 제공하겠다”라고 말했다.

이 날 시만텍은 클라우드 환경을 지원하는 주요 스토리지 제품군의 업그레이드도 함께 발표했다. 이번에 업그레이드된 제품에는 ‘베리타스 스토리지 파운데이션6.0’과 ‘베리타스 클러스터 서버6.0’, ‘베리타스 오퍼레이션스 매니저4.1’ 등이 포함됐다. 조원영 시만텍코리아 제품기술본부 총괄 전무는 “기업이 기존 인프라를 바탕응로 가용성과 탄력성이 뛰어난 프라이빗 클라우드 환경을 보다 효율적으로 구축할 수 있도록 기존 제품 포트폴리오를 재정비하고, 새로운 현식 기능을 대거 추가했다”라며 “이번 업그레이드 솔루션을 통해 기업들은 물리와 가상 시스템 여부에 상과없이 기존 인프라를 활용해 탄력적인 프라이빗 클라우드 혜택을 경험할 수 있게 됐다”라고 말했다.

로이터는 1월10일(현지기준) 시만텍이 정상 PC에 악성코드에 감염됐다는 경고문을 띄워 백신 프로그램 구매를 유도했다는 혐의로 법정에 섰다고 전했다. 미국 워싱턴주에 거주하는 제임스 그로스가 캘리포니아 산 호세 법원에 “시만텍의 악성코드 감염 공지 때문에 구매하지 않아도 될 유로 버전을 구매하게 됐다”라며 시만텍을 고소했다.

문제의 제품은 시만텍 노턴 유틸리티 무료 버전으로 PC를 보호하고 성능을 최적화시키는 기능을 포함하고 있다. 이 제품은 사용자의 컴퓨터를 스캔해 어떤 보안 위협이 존재하는지 사전에 탐지하고 알려주는 역할을 한다.

그로스는 무료 버전으로 제품을 사용하면서 빈번하게 악성코드에 감염됐다는 메시지를 접했고, 결국 유료 버전 제품을 구입했다. 하지만 그로스의 컴퓨터는 그 어떤 바이러스에도 감지되지 않았던 것으로 알려졌다. 허위 진단이었던 것이다.

▲위 사진은 기사와 관련 없습니다. CC BY

그로스는 해당 무료 버전이 실제 컴퓨터 상태와 관계없이 무분별한 경고 문구를 남발해 컴퓨터 사용자를 불안에 떨게 만들고, 유료 버전으로 제품을 구입하게 분위기를 조장한다고 주장했다. 그는 “사실상 존재하지도 않는 ‘허위 악성코드(scareware)’를 시만텍이 유포하고, 이를 통해 결제를 유도한다”라고 덧붙였다.

허위 악성코드는 사용자 컴퓨터에 그 어떤 해도 입히지 않는다. 단지 백신 프로그램이 이를 악성코드로 감지해 치료해야 한다고 느끼게 만들 뿐이다.

지난해 국내에서도 정상 PC에 악성코드가 감염됐다는 경고문을 띄워 허위 백신 프로그램 구매를 유도한 일당들이 경찰에 검거된 바 있다. 허위진단을 통해 사용자 불안심리를 부추기고, 자동으로 백신프로그램을 통해 치료하게 결제를 유도했다. 국내 상당수 누리꾼들도 여기세 속아 넘어갔었다.

이 사건이 시만텍 소송과 다른 점이 있다면 시만텍은 굳이 허위 바이러스를 유포해 자사 솔루션을 팔 이유가 없다는 데 있다. 국내에서는 해당 일당들이 허위 악성코드를 유포하고, 허위 백신 프로그램을 유포해 문제가 발생했다. 하지만 시만텍은 제대로 된 백신 소프트웨어를 갖춘 업체다. 허위 악성코드 유포를 통해 제 살 깎아 먹기를 시도할 리 없다는 게 현지 업계 반응이다.

리드라이트웹은 다국적 시장조사 겸 컨설팅 업체 오범의 앤디 켈렛 수석 애널리스트의 말을 인용해 “어떻게 시만텍이 허위 악성코드를 유포하고, 어떤 속임수를 통해서 이득을 보려고 했는지 증명하려면 상당한 시간이 걸릴 것”이라며 “결국 이 소송은 시만텍이 유도하는 방향으로 흘러갈 것” 이라고 전했다.

이번 고소에 대해 시만텍은 즉각 대응에 나섰다. 시만텍 대변인은 “캘리포니아 산 호세 법원에서 발생한 사건에 중요성을 알고 있다”라며 “소송 초기 단계로서 이와 관계된 그 어떤 추가 정보를 아직은 밝힐 수 없다”라고 말했다.

부정적 온라인 환경은 악성댓글, 온라인 사기, 개인정보 유출 등으로 온라인 상으로 접할 수 있는 나쁜 경험을 일컫는다. 부정적인 환경에 노출된 아이들 중 39%는 낯선 사람으로부터 부적절한 사진을 받기, 온라인 상에서 괴롭힘 당하기, 사이버범죄 피해 등의 노출된 것으로 조사됐다.

시만텍은 시장조사기관 스트래티지원과 함께 2011년 2월6일부터 3월14일까지 호주, 브라질, 캐나다, 중국, 프랑스, 독일, 인도, 일본 등 24개국 1만9636명을 대상으로 실시한 온라인 여론조사 결과를 토대로 보고서를 작성했다. 조사대상에는 성인 9888명, 8~17세 자녀를 둔 부모 2956명, 8~17세 아동과 청소년 4553명, 8~17세 학생을 가르치는 교사 2379명이 포함됐다.

시만텍 보고서를 통해 “가정에서 올바른 인터넷 사용규칙을 배운 아이들은 그렇지 않은 아이들에 비해 부정적인 온라인 환경에 노출될 가능성이 낮다”라고 분석했다. 가정에서 인터넷 사용규칙을 배운 아이들 중 52%가 부정적 온라인 환경에 노출된 반면, 그렇지 않은 아이들 중엔 82%가 부정적 온라인 환경에 노출된 것으로 나타났다.

아동학자인 바네사 반 패튼은 역시 시만텍 보고서를 통해 “요즘 아이들은 훨씬 어린 나이에 온라인 정체성을 형성하는 만큼 온라인 상에서 어떻게 말하고 행동하고, 무엇을 해야 하고, 하지 말아야 할 지 조언을 얻을 수 있는 부모, 교사나 롤 모델을 필요로 한다”라며 “온라인에서의 부정적인 경험은 사이버 괴롭힘이나 온라인 사기로 인한 금전적 손실 및 개인정보 유출에 이르기까지 현실 세계에 직접적인 영향을 미칠 수 있다”고 강조했다.

또한 시만텍은 이번 조사에서 아이들이 무분별하게 인터넷 쇼핑몰에 가입해 물건을 사는 경우도 부정적 온라인 행위로 이어질 수 있다고 경고했다. 보고서에 따르면 온라인 쇼핑몰을 이용하는 아동과 청소년은 33%로 나타났으며, 이 중 24%는 때론 부모 허락 없이 부모의 신용카드를 이용해 온라인 쇼핑을 하는 것으로 조사됐다.

자녀를 둔 부모 중 30%는 자녀들이 온라인 쇼핑에 부모의 신용카드를 허락 없이 사용한다고 답했으며, 이들 중 절반이 넘는 53%의 부모는 자녀들이 자신의 온라인 쇼핑몰 계정을 무단 사용한 적이 있다고 답했다.

시만텍은 보고서를 통해 “이런 경험은 향후 온라인 과잉소비 등 부정적 온라인 경험으로 이어질 수 있다”라며 “올바른 교육과 지도를 통해 아이들과 청소년이 안전하게 온라인 활동을 누릴 수 있게 도와야 한다”라고 지적했다.

매리언 메리트 노턴 인터넷 안전 전도사는 “아이들이 온라인 상에서 스스로를 안전하게 보호하는 데 있어서 부모와 교사가 중요한 역할을 담당한다”라며 “아이들과의 솔직한 대화를 통해 안전한 온라인 활동 교육은 반드시 필요하다”라고 강조했다.

시만텍 보안 연구소는 10월20일 보도자료를 내고 “듀큐가 발견돼 현재 조사 중에 있다”라며 “’DQ’라는 파일명을 가진 파일을 생성해 ‘듀큐’로 명명된 이 악성코드의 제작자가 스턱스넷 바이너리는 물론 스턱스넷의 소스코드에도 접근한 것으로 분석했으며, 이를 근거로 듀큐 제작자가 스턱스넷 제작자와 동일인일 가능성이 있는 것으로 보고 있다”라고 분석했다.

윤광택 시만텍코리아 이사는 “스턱스넷에 이어 이번에 발견된 듀큐 사례까지 공격자들의 인터넷 보안 위협 목표와 공격 전술은 더욱 지능화, 정교화되고 있는 추세”라며 “이 같은 차세대 보안 위협에 대응하기 위해서는 전반적인 보안 프로세스를 점검이 필요한 때다”라고 지적했다.

시만텍이 내놓은 분석자료 따르면 듀쿠는 스턱스넷과 유사하면서도 목적은 다르다. 스턱스넷이 산업시설에 물리적인 피해를 입힌 반면, 듀큐는 산업용 제어시스템 제조업체 등에 침투해 설계문서 등 핵심 기술을 수집하는데 목적을 두고 있다. 또 실행파일들이 키보드 입력과 시스템 정보 등을 빼돌리게 설계돼 있다. 이런 실행파일들은 산업용 제어시스템 제조업체 같은 기업 등을 중심으로 발견됐으며 산업용 제어시스템, 익스플로잇 또는 자가복제 관련 코드는 발견되지 않았다.

시만텍은 “듀큐를 통해 탈취된 데이터는 향후 스턱스넷과 유사한 공격을 감행하는데 사용될 수 있다”라며 “듀큐가 스턱스넷 공격과 유사한 차세대 사이버 공격을 예고하는 전조일 수 있는 만큼 주목할 필요가 있다”라고 밝혔다.

해커는 음악 서비스 관련 e메일을 위장해 A씨의 컴퓨터에 침입했다. 잠복하면서 때를 기다리던 해커는 적당한 시점에 고객 정보를 대규모 빼내갔다.

이처럼 다소 황당해 보이는 공격들이 실제로 기업에게 발생하고 있다.

9월20일 한국을 내방한 비욘 엥겔하르트 시만텍 아태‧일본지역 전략 세일즈 그룹 부사장은 “과거 개인의 명예를 위해 대규모로 악성코드를 살포하던 해커들의 움직임이 바뀌었다”라며 “최근 2~3년 들어 해커들이 특정 기업을 목표로 삼아 정보를 빼낸 뒤 이 정보로 수익을 얻는 경우가 늘어나고 있다”라고 경고했다.

유출된 정보를 통해 수익을 얻었는지 확인은 안되지만, 해외에서는 룰즈섹과 어노니머스 등 해커 단체들이 FBI, CIA, 소니 등 특정 목표를 지정해 개인정보나 기밀을 유출했다. 비슷한 시기에 국내에서는 옥션, 농협, 현대캐피탈, SK커뮤니케이션즈 등 기업을 노린 해킹 사고도 일어났다.

시만텍에 따르면 이들 모두 차세대 보안위협으로 주목받고 있는 ‘지능적 지속 위협(APT)’ 공격을 당했다.

APT는 표적 공격 중 하나로 특정 기업이나 조직 네트워크에 악의적으로 침투해 기밀정보를 수집해가는 공격이다. 기존 해킹과 달리 불특정 다수가 아닌 특정한 대상을 지정해 공격하며, 오랜 시간 동안 잠복하면서 들키지 않게 정보를 빼내는 게 특징이다.

엥겔하르트 부사장은 “APT는 굉장히 오랜 시간을 들여 남몰래 잠입하는게 특징이기 때문에 심지어 기업은 APT를 당하고 있는지도 모르는 경우도 있다”며 “이 공격은 목표 대상에 대한 선행조사 끝에 이뤄지는 침투, 침투 이후 프로파일링을 통한 전박전인 기업 정보 검색, 정보를 다운로드할 수 있는 새로운 악성코드를 유포해 기밀 수집, 수집한 정보를 몰래 빼내오는 유출 등 4단계를 거친다”라고 설명했다.

APT는 기존 표적 공격처럼 목표로 삼은 기업 관계자에게 몰래 접근한 뒤, 바로 데이터베이스에 접근해서 정보룰 빼내가지 않는다. 오히려 때를 기다리면서 회사 관련한 모든 정보를 천천히 시간을 들여 살펴본다. 그리고 흔적을 남기지 않고 은밀히 활동하면서 회사내 보안서비스를 무력시키고 유유히 정보를 유출해 달아난다. 정보가 유출되는 시점도 바로 드러나지 않는다. 워낙 조심히 흔적을 지우면서 들키지 않게 공격하기 때문에 기업은 기밀이 유출된 사실을 한참 뒤에 알게 될 수도 있다.

이처럼 APT는 기업 입장에서 상당히 골치아픈 보안 공격이다. 엥겔하르트 부사장은 “안타깝게도 요즘 해킹 공격이 거의 APT 위주로 되어 있다”라며 “시만텍 분석에 따르면 이 공격은 앞으로 더 폭넓게 활용될 것으로 보인다”라고 말했다.

그렇다면 기업이 이런 공격을 방어할 방법은 없을까. 엥겔하르트 부사장은 “시만텍은 ‘정보 중심의 보안 전략’을 통해 APT 같은 공격에 대해 대비하고 있다”라고 소개했다.

시만텍이 소개한 ‘정보 중심의 보안 전략’은 보호해야 할 중요 정보가 어디에 저장돼 있고, 누가 접근을 허락해줘야 하며, 어떤 정보를 더 중요시 생각해서 보호해야 하는지 등을 분석하고 파악해 대비하는 것을 뼈대로 두고 있다. 기존 보안 체계가 서버나 데이터센터 보안 등 물리적인 관점에 치중했다면, 이제는 보호해야 할 대상 자체에 대한 분석을 통해 유기적으로 대응하겠다는 전략인 것이다.

엥겔하르트 부사장은 “물론 인프라 보안도 매우 중요하다”라며 “동시에 이제는 정보가 어디로 어떻게 흘러나가는지, 유출되면 안되는 정보에는 무엇이 있는지 중요도를 정확히 분석해 대응하는 것이 필요한 때”라고 강조했다.

지난 7월 가트너 발표에 따르면, 보안 관련 신생 업체들이 우후죽순 생겨나고 있다. 클라우드 시장이 커지면서 HP 등 소프트웨어 회사들도 보안 관련 사업을 강화하기 시작했다.

이렇게 보안의 중요성이 대두되면서 미소짓는 회사가 있다. 남들과 달리 훨씬 빨리 보안 시장에 뛰어 들어 한 우물만 판 회사다. 국내에서는 V3와 알약 등에 자리를 내줬지만, 전세계 보안시장에선 압도적인 점유율을 유지하고 있는 ‘시만텍’ 얘기다. 시만텍은 포춘 500대 기업이 믿고 안심하며 자사의 ‘보안’서비스 유지를 부탁하는 회사로, 컴퓨터 SW 분야 세계 3위 기업이다. 1982년 설립 이래 세계 1위 보안 기업이라는 타이틀을 놓치지 않고 유지했다.

거의 30년에 가까운 세월 동안 시만텍이 ‘보안’이라는 한 우물만 팠음에도 불구하고 SW 시장 3위를 유지하는 배경은 무엇인지 윤광택 시만텍코리아 보안 담당 이사를 만나 물어봤다.

윤광택 이사는 “클라우드 컴퓨팅 시대가 되면서 보안의 중요성은 날이 갈수록 높아지고 있다”라며 “시만텍은 개발자들의 코딩에 있어 ‘인텔리전스’가 풍부하기 때문에 보안 위협에 대비하는 제품을 풍부하게 보유하고 있다”라고 설명했다.

이어 그는 “실제 해커들의 움직임과 보안 관계자의 반응은 다른데, 악성코드가 어떤 경향을 보이고 이걸 파악해 얼마나 효율적인 제품을 만드는지가 ‘보안’여부를 결정한다”라며 “시만텍은 30년에 가까운 세월 동안 이와 관련된 기술을 축적했고, 노하우가 있기 때문에 타사와 비교했을 때 강점을 보인다”라고 덧붙였다.

그러나 창과 방패로 놓고 보면, 보안은 다소 불리한 ‘방패’ 입장이다. 해커는 얼마든지 전술을 바꿔 공격하는데 이를 제때 방패로 막기란 쉽지 않기 때문이다. 최근 연달아 발생한 농협, 현대캐피탈, SK커뮤니케이션즈 사태 등 창이 방패보다 더 날카로울 때도 있다. 이 창을 미리 예상하고 분석하는 일은 생각외로 쉽지 않다. 이렇게 변한 보안 환경에 많은 보안업체들이 어려움을 겪고 있다.

이에 대해 윤광택 이사는 “보안의 커버리지가 넓어졌다”라며 “지금까지 보안이 PC나 네트워크 같은 서버를 방어하는데 그쳤다면, 시만텍은 앞으로 정보 중심으로 보안에 나서려고 한다”고 설명했다. 지금까지 커피가 들어있는 컵을 보호하는 걸 더 중요시여겼다면, 이제는 컵 안에 들어있는 커피도 중요하게 생각해서 보호해야 한다고 주장한 것이다.

시만텍은 클라우드 컴퓨팅 환경이 되면서 단순히 정보를 물리적으로 새나가지 않게 막기보다는 정보 콘텐츠 자체를 보호하겠다고 나섰다. 하지만 사진과 동영상 등 비정형 데이터들이 기하급수적으로 늘어나기 시작하면서 이런 정보를 보호하기는 더욱 까다로워졌다. 동시에 기업들은 클라우드 바람을 타고 관련 환경을 구축하기에 열을 올리고 있다.

이에 시만텍은 하드디스크에 담겨져 있는 정보의 보호도 중요하지만 하드디스크가 아닌 네트워크 상에 있던 정보가 어디로 흘러갔는지, 누가 이용하고 있는지 등의 정보 보호도 중요해지는 시대가 왔다고 분석했다.

윤광택 이사는 “클라우드 시대가 되면서 유기적으로 움직이는 정보를 보호하기란 보안 업체 입장에서도 쉬운 일이 아니다”라며 “예를들면 고객 정보가 데이터베이스에 있다고 해서 유닉스 보호하고, 서버 보호하고, 데이터베이스 보호하면 완벽한 보안이 이뤄질 것 같지만, 현실은 그렇지 않다”라고 설명했다.

이어 그는 “데이터는 유기적으로 서로 이동하고 주고받기 때문에 복잡하게 만들어져 있는 IT는 보안에 대응하기 어렵다”라며 “이 때문에 시만텍은 ‘인텔리전스 인사이트’라는 큰 그림을 통해 보안에 나서고 있다”라고 덧붙였다.

시만텍의 ‘인텔리전트 인사이트’는 클라우드 기반의 평판 보안 기술이다. 이 기술은 전세계 1억7500만개의 시만텍 고객 엔드포인트로부터 정보를 수집해 SW 사용 패턴을 파악하고, 파일에 안전 등급을 부여한다. 특히 나쁜 파일만 추적 분석해 특징만을 모아두지 않고, 모든 실행 파일에 실시간으로 안정 등급을 부여해 고객에게 정보를 제공하고 있다.

물론 이런 보안은 쉽게 이뤄지지 않는다. 윤광택 이사는 “보안의 중요성이 커지면서 보안 시장에 진입하려는 업체들의 움직임이 많아지고 있다”라며 “일반 소프트웨어를 만드는 업체들이 방화벽을 만든다고 하면 80% 수준까지는 쉽게 달성하고, 인수합병 등을 통해 90%의 수준은 만들지만 이 이상 올라오기는 매우 어려워하고 있다”라고 설명했다.

바이러스 공격이 예전과 달리 훨씬 집약적으로 변한데다가 이를 수집하기 위해서는 많은 프록시가 있어야 가능한데, 대부분의 보안 회사들이 이를 어려워하고 있는 것이다. 그래서 90%의 보안 수준까지는 쉽게 올라오지만 그 이상의 보안을 유지하기 위해서는 엄청난 기술과 연구개발 투자가 필요하다고 한다.

윤광택 이사는 “다행히 시만텍은 전세계 센서를 가지고 있다”라며 “이 센서를 통해 샘플을 수집하는데 많은 비용을 투자하고 있으며, 이 데이터를 가지고 보안 위협 보고서를 출시해 정보룰 공유한다”라고 말했다.

데이터를 가지고 자사 기밀로 유지하면 될 것을 리포트를 출시해 정보를 공유한다는 것이 선뜻 이해되지 않았다. 이에 대해 윤광택 이사는 “보안은 혼자서 이뤄지는 것이 아니라 스터디를 통해 서로 발전하고 상생해나간다”라며 “많은 창의 종류, 즉 침입 정보를 알아야 전체 보안 시장이 안정화되고 발전해나간다”라고 주장했다.

시만텍의 보안은 클라우드 시장에 그치지 않는다. 다양한 모바일 기기가 등장하면서 이에 대한 보안의 중요성도 강조하고 있다. 스마트폰, 태블릿, PC간 동기화 기능이 가능해지면서 정보가 다양한 경로를 통해 전달되고, 이 와중에 보안의 위협도 상시 존재한다는 것이다.

윤광택 이사는 “특히 회사용으로 블랙베리가 지급되는 등 스마트 폰이 보급되면서, 이 기기가 개인용인지 회사용인지 경계가 불분명해지기 시작했다”라며 “이렇게 공용화된 기기를 사용하다보면 개인과 기업의 보안 경계가 흐려지게 되고 이는 또 다른 보안 사고를 유발할 수 있다”라고 모바일 기기간 보안의 중요성에 대해 강조했다.

요즘 스마트폰에는 연락처 뿐만 아니라 사진 등 다양한 개인 정보가 담긴다. 회사에서 지급한 기기라면 회사 관련 정보가 들어있을 가능성도 있다. 하지만 모바일 기기 특성상 비밀번호로 잠그긴 하지만 쉽게 풀린다.

원격제어로 모바일 기기를 공장 출시 상태로 초기화하는 조치를 취할 수도 있지만, 아직 완벽하지는 않다고 한다. 100% 하드웨어 포맷을 거친 디스크도 복구하는 마당에, 스마트폰도 그렇게 복구할 수 있는 가능성이 약간이나마 남아 있다. 이 점은 앞으로 보안회사가 노력해야 할 점이라고 윤광택 이사는 밝혔다.

그는 “시만텍은 고객이 게임을 즐기거나 채팅을 하거나 메일을 주고받는 등 인터넷상에서 하는 모든 일에 대해 안전하게 느낄 수 있는 ‘컨피던스 인 커넥티드 월드’를 꿈꾸고 있다”며 “앞으로 이런 시장을 만들기 위해 더욱 노력할 것”이라고 말했다.

시만텍이 사이버 보안 활동 실태를 조사한 ‘2011 기업 보안현황 보고서’에 따르면, 기업들은 IT 보안을 가장 큰 비즈니스 위협 요인으로 꼽은 가운데, 특정 기업이나 조직을 겨냥한 표적 공격을 새로운 비즈니스 위협 요인으로 지목했다.

시만텍은 보고서를 통해 “응답자의 71%가 사이버 공격을 경험했고, 29%는 정기적으로 사이버 공격을 당하고 있는 것으로 조사됐다”라며 “반면 대다수 기업들이 지난해와 비슷하게 사이버 공격을 경험했으나 사이버 보안위협에 대한 대응능력이 향상되면서 2010년에 비해 공격 횟수와 빈도는 감소한 것으로 나타났다”라고 설명했다.

이어 보안사고가 발생한 이유에 대해 시만텍은 “기업들이 데이터와 네트워크 보안과 관련해 사이버 공격(3.23), 내부직원의 실수나 부주의에 의한 보안 사고(3.56), 그리고 내부에서 발생한 IT관련 보안위협(3.65)을 3대 위협으로 꼽았다”고 덧붙였다.

수치가 낮을 수록 해당 부문 보안 위험이 더 시급하다고 느낀 것으로 봤다.

국내에선 현대캐피탈, 농협, SK커뮤니케이션 등이 사이버 공격을 당하면서 국민들이 불안에 떨었다. 이처럼 사이버 공격이 증가한 이유는 악성코드 유포 같은 비교적 단순한 해킹에서 벗어나 집약적으로 특정 기업을 타깃으로 하는 공격이 늘어났기 때문인 것으로 분석됐다.

과거 악성코드 유포를 통해 해커의 능력을 과시한 면이 있었다면, 이제는 특정 목표를 정해 개인정보 등 기밀을 유출해 수입을 얻는 형태로 해커의 양상이 변한 것이다.

모바일 컴퓨팅과 소셜미디어 같은 IT 소비자화도 사이버 공격 증가에 한몫했다. 시만텍은 “기업들이 사이버 보안활동을 어렵게 하는 요인으로, 응답자의 47%가 모바일 컴퓨팅을 꼽았고, 소셜 미디어(46%)와 IT의 소비자화(45%)가 그 뒤를 이었다”라고 설명했다. 기업 내 스마트폰 및 태블릿PC 사용이 급증하고 소셜 미디어의 인기가 날로 증가하면서 기업의 보안 문제 역시 새로운 국면에 접어들고 있기 때문이다.

정경원 시만텍코리아 사장도 “기업들이 사이버보안 활동을 강화함에 따라 모바일 컴퓨팅, 소셜 미디어 활용 및 IT의 소비자화와 같은 메가트렌드가 기업의 새로운 도전과제가 되고 있다”라며 “사이버공격이 데이터 탈취 및 시스템 파괴를 위해 더욱 위협적이고 정교하며 은밀한 양상을 보이면서 오늘날 기업들은 그 어느 때보다 많은 위험에 노출되어있는 만큼 혁신적인 보안기술과 업계 성공사례를 지속적으로 도입해 보안강화에 힘써야 한다”라고 말했다.

한편 시만텍은 ‘2011 기업 보안현황 보고서’와 함께 기업들이 보다 효과적으로 보안 역량을 강화할 수 있도록 다음과 같은 5가지 권고안을 제시했다.

1. IT 정책 수립 및 집행: 보안위협의 우선순위를 정하고 기업 내 모든 위치에 적용되는 정책을 정의하면서 자동화 및 워크플로우 내장 기능을 통해 정책을 효과적으로 집행할 수 있다. 그 결과 정보 보호 및 위협 발생시 신속한 탐지와 해결이 가능하며, 위협 발생 전에 위협 상황을 예측할 수 있다.

2. 정보중심의 관점에서 적극적으로 정보 보호: 민감한 기밀 정보를 검색 및 분류하고, 기밀 정보의 저장위치와 사용자 및 정보 유∙출입 패턴을 파악하기 위해 컨텐츠 인식 기반의 접근 방식으로 정보를 보호하는 것이 핵심이다. 또한 적극적인 엔드포인트 암호화는 기기 분실과 관련된 기업의 피해를 최소화시킨다.

3. 사용자 계정 및 기기 인증: IT 관리자들은 인가받지 않은 사용자나 기기의 접근을 제어하기 위해 조직 내 사용자, 사이트 및 기기의 계정을 검증 하고 보호해야 한다. 또한 안전한 접속을 제공하고 필요 시 트랜잭션을 인증해야 한다.

4. IT 시스템 관리 프로세스 자동화: 기업은 시스템 관리시 안전한 운영환경 구축, 보안 패치 배포 및 실행, 효율성 개선을 위한 프로세스 자동화, 시스템 상태 감시 및 보고를 수행해야 한다.

5. 인프라 보호: IT 관리자는 날로 증가하는 모바일 기기를 포함해 모든 종류의 엔드포인트와 메시징 및 웹 환경을 보호하는 등 인프라 보호에 힘써야 한다. 중요한 내부 서버를 보호하고, 데이터 백업 및 복구 역량을 우선적으로 확보해야 한다. 또한 위협에 신속히 대응하기 위해 IT 환경에 대한 가시성, 보안 인텔리전스 및 지속적인 악성코드 평가가 필요하다

이번 보고서는 2011년 4월과 5월 어플라이드 리서치가 한국 100개 기업을 포함해 전세계 36개의 기업 최고임원진, IT 부서 및 IT 담당자 3300명을 대상으로 전화로 설문조사한 결과를 반영했다.

7월27일 가트너가 발표한 자료에 따르면 시만텍, 맥아피, 트렌드마이크로, IBM, CA 등 전 세계 보안소프트웨어 시장의 톱5로 군림하던 이들의 시장 점유율이 2006년 60%에서 2010년 44.3%로 떨어졌다.

가트너는 “지난 4년 동안 보안 업체 내에서 급격한 인수합병이 일어났다”라며 “그로 인해 상위 5위 업체들의 점유율을 떨어졌지만, 그 아래 보안 업체들의 점유율이 꾸준히 늘어나고 있는 것으로 보인다”라고 말했다.

보안 업체 시장 점유율 변동에 대해서 가트너는 “새로운 IT 제품의 출현과 그로 인한 보안 위협이 증가한 가운데, 상위 업체를 제외한 업체들이 IT 운영관리 등 새로운 틈새시장을 구축해 새로운 보안 솔루션 개발에 나선게 주요한 것으로 본다”라고 분석했다.

루게로 콘투 가트너 수석 리서치 애널리스트는 “최근 보안 시장 내에서 인수합병을 통해 성장하는 신생기업들이 나타났다”라며 “기존 보안 시장에서 강세를 보였던 상위 업체들의 점유율이 조각나는 모습을 보이고 있다”라고 말했다.

또한 “보안 시장의 경우 과거와 달리 매일 새로운 IT제품과 기술이 출현하면서 새로운 보안 위협들이 많이 등장했다”라며 “이 때문에 많은 신생 보안 업체들이 혁신적인 기술 솔루션을 가지고 보안 시장에 뛰어들고 있다”라고 덧붙였다.

가트너는 이런 변화를 통해 앞으로 보안 시장이 새로운 활기를 찾을 것으로 내다봤다.

콘투 애널리스트는 “인수합병등으로 시장에 새로 추가되는 신생 보안업체들로 인해, 보안 시장에 새로운 혁신 바람이 불 것으로 기대된다”라며 “이들 업체들이 보안 시장의 새로운 강자가 될 수 있을지도 모른다”라고 짚었다.

이어 그는 “이런 변화는 최종 사용자에게 있어 굉장히 이점으로 작용할 것”이라며 “보안시장이 긍정적인 경쟁을 통해 발전할 것으로 본다”고 전망했다.

2010년부터 전자의무기록(EMR: Electronic Medical Record) 기반의 통합의료정보시스템 ‘위베스트(We are the Best: World BEST cancer center)’ 구축 사업을 추진해온 국립암센터는 주전산기 성능확장과 장애시 업무 연속성을 확보하고, 환자∙진료 중심 의료 서비스의 질적인 향상과 프로세스 정비를 통한 업무 효율화를 달성하기 위해 재해복구와 백업 시스템 도입을 결정했다.

이를 위해 국립암센터는 스토리지 관리와 DB이중화를 위한 고가용성 솔루션인 시만텍의 ‘오라클 RAC용 베리타스 스토리지 파운데이션(Veritas Storage Foundation for Oracle RAC)’과 재해 복구 기능까지 지원하는 차세대 백업 솔루션인 ‘시만텍 넷백업(Symantec NetBackup)’을 도입, 안전한 데이터 보호가 가능해졌고 관리 효율성과 장애 대응 속도도 크게 향상되는 효과를 거뒀다.

국립암센터 정보전산팀 윤태식 부팀장은 “시만텍의 고가용성과 백업 솔루션 도입 이후 데이터 보호와 서비스 안정성이 크게 향상됐으며, 관리자 입장에서는 관리 콘솔이 일원화돼 약 50% 가까이 시스템 운영과 유지보수가 수월해졌다”며, “향후 그룹웨어, 이메일 서버, 스토리지도 이중화해 시스템 무중단 운영으로 의료환자들에게 보다 안정적인 서비스를 제공해나갈 것”이라고 밝혔다.

우선 국립암센터는 ‘베리타스 스토리지 파운데이션’을 이용해 DB를 이중화함으로써 데이터 소실이나 시스템 장애 위험에 대비 안전성을 극대화했다. 국립암센터가 기존에 사용하던 오라클 RAC 환경에서 서버는 이중화되어 있었지만, 스토리지는 하나라 물리적인 데이터가 소실될 위험이 있었으며, 스토리지 장애나 네트워크 장비 장애 발생시 서비스가 중단될 우려도 있었다.

하지만 시만텍 솔루션을 통해 국립암센터의 검진동과 병원동 시스템을 ‘액티브-액티브’ 방식으로 구성하고 실시간으로 동기화시킴으로써 시스템 장애시 다른 쪽의 액티브 시스템으로 서비스가 이관돼 무중단 운영이 가능해졌다. 장애가 발생해도 서비스가 신속하게 이관되기 때문에 환자들의 의료 정보를 안전하게 보호하고 안정적인 의료 서비스를 제공할 수 있게 됐다.

장애 발생 시에도 주 시스템이나 재해 복구 시스템 모두 동일한 서비스 수준을 유지해 서비스 지연 등의 고객 불편 없이 원활한 서비스 제공이 가능해졌고, 시스템 모니터링 작업도 간소화됐다. 장애시 관리자가 수동으로 서비스를 이관해야 하는 ‘액티브-스탠바이’ 방식과 달리 관리자의 개입 없이 자동으로 서비스 이관이 이루어지기 때문에 관리 소홀이나 관리자 실수에 따른 장애 가능성도 줄어들었다.

국립암센터는 시만텍의 고가용성 솔루션 도입 후 전반적으로 장애 대응 시간이 50% 정도 단축된 것으로 평가하고 있다.

경제적인 측면에서도 기존의 스토리지 이중화 시스템 도입 비용으로 재해 복구 기반의 이중화 시스템을 구축해 서버 구입과 운영 비용을 줄이면서 DB 장애에도 대응할 수 있는 시스템을 구축하게 됐다.

또한 국립암센터는 ‘시만텍 넷백업 ’을 통한 백업 시스템 업그레이드로, 애플리케이션과 플랫폼, 가상환경의 운영을 표준화해 정보 중심의 엔터프라이즈 환경 보호를 간소화 할 수 있게 됐다. 이기종 운영체제 지원과 데이터 중복제거, 가상시스템 보호 기능, 단일 콘솔에서 멀티사이트 모니터링∙분석∙리포팅이 가능해 스토리지 효율성은 높아지고 관리는 용이해졌다.

기존 백업 시스템은 실제 물리적인 크기만큼 백업 공간이 필요했지만 시만텍 솔루션은 데이터만큼의 공간을 사용해 스토리지 활용도는 높이고 복구 속도는 더욱 빨라졌다. 또한 재해 복구와 백업 시스템 통합으로 원스톱 이중화와 백업이 가능해짐으로써 시스템 운영과 유지 보수가 간편해지고 단일 모니터링 툴을 통한 즉각적인 상황 판단이 가능해졌다.

시만텍코리아 정경원 사장은 “시만텍의 솔루션은 비상 사태 발생 시 기업의 비즈니스 연속성을 보장하고 위기 대응력을 높여주는 최적의 솔루션”이라며, “앞으로도 뛰어난 성능과 높은 가용성, 스토리지 관리와 백업 솔루션을 통해 시장의 요구에 부응하고자 한다”고 말했다.

즐거운 휴가지만 모두가 그런 것은 아니다. 손에 쥔 스마트폰을 통해 업무를 지속적으로 진행해야 되는 이들도 꽤 많다. 휴가철엔 잠시 꺼두어도 좋을 듯 하지만 이 또한 쉽지 않다.

실제 최근 시만텍이 모바일 기기 사용자의 보안 습관에 대해 설문조사를 했더니 기업 스마트폰 사용자의 62%가 휴가 중에도 민감한 사내 정보를 이용하고, 81%는 업무용 이메일 계정을 확인하는 것으로 나타났다.

하지만 휴가지에서는 소중한 정보가 저장된 스마트폰을 분실 또는 도난 당하기 쉽고, 보안이 설정되지 않은 무선 네트워크나 합법적인 앱을 가장한 악성 앱 등을 통해 각종 보안 위협에 노출될 가능성이 높다.

이에 시만텍이 급증하고 있는 스마트폰 보안 위협에 대응해 직장인들이 보다 안전하고 편안하게 휴가를 즐기기 위한 ‘휴가철 스마트폰 보안 수칙 7가지’를 발표했다.

• 스마트폰에 비밀번호 잠금 기능을 설정 : 기기 분실이나 도난 시 민감한 정보의 유출을 차단하기 위해 모바일 기기에 비밀번호를 설정하는 것도 중요하다.

• 스마트폰에 보안 소프트웨어를 설치 : 스마트폰용 보안 소프트웨어는 해커의 접근을 차단하고 사이버 범죄자들이 정보를 빼내거나 공유 네트워크를 이용하고 있는 사용자들의 정보를 엿보지 못하게 차단하는 기능을 한다. 또한 스팸 메시지 제거 및 바이러스와 여러 보안 위협을 사전에 탐지하고 제거한다.

• 모든 소프트웨어를 최신 상태로 유지 : PC와 마찬가지로 모바일 기기에 설치된 보안 소프트웨어를 비롯한 모든 소프트웨어를 지속적으로 업데이트해 기업의 기밀 정보를 위협하는 새로운 악성코드 변종이나 바이러스로부터 모바일 기기를 보호해야 한다.

• 모바일 기기에 저장된 데이터는 반드시 암호화 : 모바일 기기를 분실해 SIM 카드를 도난 당하더라도 기기에 적절한 암호화 기술이 적용되어 있으면 데이터 접근이 불가능하다. 따라서 모바일 기기에 저장되어 있는 업무 관련 데이터뿐 아니라 개인 정보까지도 암호화할 필요가 있다.

• 블루투스 기능 사용에 주의 : 스마트폰의 블루투스 기능은 기본적으로 활성화된 상태로 출고되기 때문에 블루투스 접속이나 이를 통한 악성코드 로딩을 방지하기 위해 블루투스 기능은 꼭 필요한 때만 켜둔다.

• 모르는 사람이 보낸 이메일이나 문자 메시지는 열어보지 않는다 : 모르는 사람이 보낸 문자 메시지는 악성코드 감염이나 피싱 공격 등에 악용될 가능성이 높다. 따라서 이메일과 마찬가지로 모르는 사람이 보낸 문자 메시지는 함부로 열어보지 않도록 주의를 기울여야 한다.

• 중요한 정보를 열어 볼 때 주변상황을 살펴야 한다 : 비밀번호를 입력하거나 민감한 기밀 정보를 열어 볼 때에는 주변에 어깨너머로 훔쳐보는 사람이 없는지 주의해야 한다.

모처럼 만난 정경원 대표의 손에는 ‘차세대 보안 시스템(NGES)’과 관련된 5장 짜리 파워포인트 자료가 들려 있었다.

무엇인지 묻자 그는 “취임한 지 1년 3개월이 지났죠. 그동안 많은 고객들을 만나뵈었는데 보안에 대해서는 그 때 그 때 필요한 수많은 단품들을 구입해 대응하고 계시더라구요”라면서 “외형적으로 또는 서류상으로는 보안이 완벽하게 돼 있는 것 같은데 매번 문제가 생기잖아요? 그래서 왜 그런가 봤더니 전체적인 큰 틀에서 접근하지 못했던 문제들이 있어서 금융권, 통신사 차세대 프로젝트를 할 때의 개념과 비슷한 걸 좀 만들어 보고 고객들에게 제안하고 있습니다”라고 밝혔다.

금융권이나 통신사, 제조 분야에서는 몇년 단위로 차세대 프로젝트를 진행한다. 물론 차세대 프로젝트를 진행하는 것이 맞는 지에 대해서는 여전히 많은 논쟁이 있다. 지속적으로 IT 인프라를 꾸준히 개선시켜 나가면 되는데 우리나라는 유행처럼 5~6년 단위로 차세대를 진행해 과투자를 하고 있다는 반론도 있다.

이런 상황에서 정경원 대표가 차세대 보안 시스템을 꺼내 든 이유는 “실제 문제가 없기 위해 누더기 인프라를 계속해서 끌고갈 때의 위험성이 더 크기 때문입니다”라는 말은 곱씹어 볼 만한 것은 사실이다. 많은 보안 사고들이 일어날 때마다 특정 제품이나 특정 기술이 주목을 받는다. 하지만 관련 제품들을 모두 도입해 놓고 있는데도 불구하고 보안 사고는 여지없이 터진다. 서류상으로는 모든 것이 완비돼 있는데도 불구하고 말이다. 만일 전쟁에 임하는 군대가 무기만을 도입해 놓고 정작 그걸 제대로 활용하고 꾸준한 훈련을 하지 않는다면 어떻게 될까? “그게 군대냐?”는 말이 나올 것이다.

혹시 모를 만일의 사태에 대비하는 것이 군대라면 보안도 마찬가지다. 특히 최근처럼 일반 사용자들이 즐겨 사용하는 IT 서비스들이 기업 내부로 속속 확산되고 있고, 스마트폰이나 태블릿 같은 스마트 디바이스를 활용하려는 기업들의요구가 늘면서 위협 요소는 더욱 커졌다. 그렇다고 이를 도입하지 않을 수도 없다. 도입을 하더라도 제대로 안전한 환경 아래서 도입해야 한다.

정경원 대표가 이야기하는 부분은 대부분 이런 것들이다. 시만텍의 보유한 다양한 무기들을 모두 구비하라는 것이 아니라 시만텍과 국내 보안 업체들의 보안 제품들을 매끄럽게 통합해서 빈틈 자체를 막을 수 있도록 이전과는 다른 접근법을 가지고 보안을 바라봐야 한다는 것이다.

그는 “개인정보보호법안 통과된 만큼 이제는 실제 문제가 발생하지 않도록 해야 합니다. 감사를 받으면서 구입한 보안 솔루션 리스트를 제시해봐야 아무런 소용이 없죠”라면서 “모두를 갖추고 있더라도 빈틈이 생깁니다. 상태 점검을 요청하는 기업들에 가서 툴을 돌려보면 고객들도 깜짝 놀라죠. 이제는 이론이 아닌 실제 상황을 염두에 둔 보안 접근이 필요한 것이죠”라고 말했다.

차세대보안 시스템이 등장한 배경과 관련해 정경원 대표는 클라우드와 가상화, 모바일과 소셜 네트워킹, 각 지역과 정부의 규제 차이, 진화하는 공격 방식을 꼽았다. 따라서 보안 시스템들도 지능적이고 유연하면서 자가 학습이 가능해야 하고 서로 다른 애플리케이션들과 긴밀히 통합돼 있어야 한다고 조언한다. 또 국내 기업들의 해외 진출이 일반화 돼 있고, 특히 글로벌 기업으로 성장하면서 더 많은 파트너들과 협력하면서 표준화되고 검증된 기술들로 보안 가이드를 제시해야 될 상황이라고 전했다.

이런 큰 흐름들을 그는 ‘보안 2.0′이라고 말했다.

그가 전한 보안 1.0은 제품과 기술 중심, IT 관점, 인프라 보안, 지역 표준, 사후적 대응, 패치 형태의 추가, IT보안기술 전문가 주도, CIO/CSO 겸직이다. 이것이 보안 2.0으로 바뀌면 사람과 프로세스 중심, 비즈니스 위험 관리, 정보 보안, 글로벌 표준과 지역 표준의 결합, 사전적 대응, 매끄러운 통합, 비즈니스 어드바이저 중심, CIO/CISO 분리 등이다.

정경원 대표가 제시하는 차세대보안 시스템과 보안 2.0이 얼마나 국내 고객들에게 먹혀 들어갈 지 기대되는 대목이다.

그는 “최근 전체적인 보안 시스템들을 점검해 달라는 고객들의 요구가 늘고 있습니다. 고객들도 기존 방식으로 대응하는 데 한계가 있다고 느끼는 것이죠. 저희가 새로운 개념을 마련한 것은 이런 고객들의 요구를 좀더 체계화한 것이죠”라고 밝혔다. 그는 또 “국산 보안 업체들도 이런 전체적인 프로세스와 통합 관점에서 시장에 접근할 때 더 많은 부가가치를 창출할 수 있게 될 겁니다. 선의의 경쟁 못지 않게 많은 협력도 필요한 부분입니다”라고 덧붙였다. 시장 취임 초기부터 가지고 있던 국산 보안 업체들과의 협력은 여전히 유효하다는 말이었다.

이날 아쉬쉬 모힌드루(Ashish Mohindroo) 시만텍 제품 마케팅 담당 수석 이사는 “오늘 하루에도 65만개에 달하는 새로운 바이러스가 만들어지고 있다”라며 “디도스 같은 보안 공격으로 기업은 데이터 1개당 204달러, 기업 전체적로는 평균 670만달러의 손해를 본다”라고 말했다. 그러면서 “매일 새롭게 등장하는 바이러스를 전통적인 방법으로 대처하는 건 적절하지 않다”라며 “SEP12 같은 새로운 보안 소프트웨어가 필요하다”라고 강조했다.

SEP12는 시그니처 기법이나 휴리스틱, 행위 기반 탐지 등과 같은 기존의 보안 기술로는 탐지가 어려운 제로데이 공격과 표적 공격을 포함한 각종 최신 보안 위협을 탐지하고 해결한다. 또한 행위 기반 기술과 평판 보안 탐지 기술을 결합한 3세대 행동기반 엔진 ‘소나’로 매일 5만5천개 이상의 악성 파일을 탐지해 차단한다.

제로데이 공격은 컴퓨터 소프트웨어의 취약점을 공격하는 기술적 위협으로, 해당 취약점에 대한 패치가 나오지 않은 시점에서 이뤄지는 공격을 말한다.

최근 AV-Test.org에서 실시한 신종 위협 차단과 기존 감염 파일 삭제 테스트에서 SEP12(베타)는 맥아피 바이러스스캔 엔터프라이즈8.7.0i, 마이크로소프트 클라이언트시큐리티2.0 등을 제치고 100점이라는 가장 높은 점수를 얻었다. 맥아피는 10점, 마이크로소프트는 17점을 기록했다.

SEP12는 바이러스를 빨리 추적하면서도 시스템 속도를 떨어뜨리지 않는다. 패스마크소프트웨어 성능 테스트에서 SEP12는 44초로  빠른 바이러스 추적 속도를 기록했다. 시스템 대기 상태에서는 테스트에 참가한 평균인 95.28%과 비교해 훨씬 적은 42% 메모리 사용량을 보였다.

SEP12에서 가장 눈에 띄는 부문은 ‘인사이트’를 통해 가상 시스템 환경에서도 최적화된 성능을 지원하는 것이다. 인사이트는 전세계 1억 7500만 개의 시만텍 고객 엔드포인트로부터 정보를 수집해 소프트웨어 사용 패턴을 파악하고, 파일에 안전 등급을 부여하는 평판 보안 기술이다. 특히 나쁜 파일만을 추적 분석하거나 특징만을 모아둔 것이 아니라 모든 실행 파일에 실시간으로 안전 등급을 부여한다는 점이 차별화된 강점이다.

모힌드루 이사는 “인사이트는 전세계 200여 국가의 1억 7500개에 달하는 시만텍 엔드포인트로부터 데이터를 수집한 뒤, 그 데이터를 시만텍이 관리하는 프라이빗 클라우드 중앙 데이터베이스 안에 저장한다”라며 “전세계에서 들어오는 컨텐츠를 ‘만들어 진지 얼마나 됐나?’, ‘얼마나 자주 다운로드 됐나’, ‘파일 출처는 어디인가’ 등의 300가지 기준에 따라 보안 등급을 메긴 다음 고객들에게 해당 파일의 보안 등급 정보를 알려줘 악성 소프트웨어의 침입을 막을 수 있게 도와준다”라고 설명했다. 또한 “이 과정에서 우리는 고객의 콘텐츠를 저장하는게 아니라 콘텐츠의 파일 속성 정보만 저장한다”라고 강조했다.

현재 시만텍 ‘인사이트’는 25억개가 넘는 실행 파일에 대한 정확한 보안등급 데이터베이스를 보유하고 있다.

조원영 시만텍 최고기술경영자는 “200여 업체를 대상으로 SEP12 베타 버전을 테스트해 본 결과, 모든 업체들이 만족했다”라며 “향후 보안 업계에서 상당한 위치를 차지할 것으로 기대한다”라고 자신감을 보였다.

시만텍이 최근 기업 스마트폰 사용자들을 대상으로 실시한 스마트폰 사용과 보안 실태 설문조사 결과, 업무 활동에서 스마트폰 사용이 일상화됐지만 스마트폰 보안을 위한 기업 내 정책 수립과 교육은 아직 미흡한 것으로 나타났다.

이번 설문조사는 페이스북, 트위터 등 시만텍이 운영중인 소셜 미디어 채널에서 총 154명을 선정해 진행됐으며, 지역별로는 북미지역 61%, 유럽•중동•아프리카 지역 28%, 아태와 일본지역 8%, 남미지역 3%를 차지했다.

기업 63%가 회사 업무 활동에 스마트폰 사용 허용

조사 결과, 많은 기업들이 업무에 직원들의 스마트폰 사용을 허용하고 있는 것으로 나타나 소비자의 IT 사용이 기업 업무환경에 영향을 미치는 이른바 ‘IT의 소비자화(Consumerization of IT)’가 확산되고 있는 것으로 확인됐다. 실제 응답자의 63%가 회사가 업무 활동에 스마트폰 사용을 허용한다고 답했으며, 44%는 회사에서 스마트폰을 지급했다고 답했고, 43%는 스스로 구입했다고 답했다.

하지만 ‘손안의 PC’나 다름없는 스마트폰은 분실과 도난의 위험이 높고, 고기능의 대용량 스토리지를 탑재하고 있기 때문에 기업 정보의 유출 위험도 그만큼 크다. 더구나 기업 입장에서 이러한 스마트폰의 확대는 곧 네트워크 엔드포인트의 확대를 의미한다. 즉, 기업 시스템에 안전성을 인증 받지 못한 기기가 연결되거나, 안전한 기기가 위험 가능성이 있는 시스템 혹은 네트워크에 접속할 가능성이 높아지면서 악성 코드나 공격이 네트워크와 기밀 정보에 침투할 수 있는 가능성이 증가하는 결과를 초래할 수 있다.

실제 이번 조사결과 회사에서 업무용 스마트폰을 개인적 용도로 사용하도록 허용한다는 응답자는 무려 91%에 달했지만 스마트폰 보안 정책이나 정보 보호 방안에 대해 교육받은 적 있다고 답한 비율은 51%에 불과했다. 제대로 관리되지 않은 스마트폰은 기업 전체 보안에 위협적일 수 있는 만큼 임직원 개개인이 사용하는 스마트폰 관리와 보안 강화를 위한 조치가 절실히 요구되는 대목이다.

기업 스마트폰 사용자 75% 보안 인식 미흡

스마트폰 사용이 기업 네트워크와 정보 보안에 미치는 영향에 대해서도 응답자의 23%는 ‘아무런 영향을 미치지 않는다’, 52%가 ‘미미하게 영향을 미친다’고 답하는 등 응답자의 75%가 스마트폰을 통해 발생할 수 있는 잠재적인 보안 위협을 제대로 인지하지 못하고 있는 것으로 조사됐다. 기업들의 모바일 기기 보안 교육도 주로 기기 분실과 도난에 대비한 비밀번호 설정을 다루는 데 그쳤고, 악성 앱이나 모바일 보안위협에 대한 교육은 미흡한 것으로 나타났다.

설문조사에서도 ‘회사가 스마트폰 비밀번호 설정에 대한 정책과 방안에 대해 알려주었다’ 88%, ‘스마트폰 보안 소프트웨어 사용에 대해 알려주었다’ 65%, ‘스마트폰 앱 다운로드에 대해 알려주었다’ 42% 순으로 조사됐다. 대부분의 스마트폰 악성코드가 써드파티 앱 호스팅 사이트에 올라온 합법적인 앱에 의해 전파된다는 사실에 비추어볼 때 앱 다운로드에 대한 보안 정책 수립 및 보안 방안에 대한 교육이 시급함을 알 수 있다.

또한 응답자의 73%는 자신이 스마트폰으로 접근하는 정보가 민감하거나 기밀 정보일 수 있다고 답했으며, 주로 경쟁사 또는 자사의 핵심 데이터, 개인신상정보인 것으로 파악됐다. 스마트폰, 노트북PC, 지갑, 자동차 키 가운데 분실 시 가장 걱정이 되는 물품을 선택하라는 질문에서도 스마트폰을 꼽은 응답자는 13%에 불과해 스마트폰에 저장된 데이터 분실로 금전적 손실 및 정보 유출과 같은 실질적인 피해가 발생할 수 있다는 인식 확립이 요구된다.

한편, 시만텍은 이번 설문조사 결과를 토대로 기업내 안전한 모바일 기기 사용을 위한 ‘기업의 모바일 기기 보안 및 관리 10계명’을 발표했다.

시만텍이 제안하는 기업 모바일 기기 보안과 관리 10계명

1.    모바일 기기에 저장된 데이터는 반드시 암호화한다.
모바일 기기를 분실해 SIM 카드를 도난 당하더라도 기기에 적절한 암호화 기술이 적용되어 있으면 데이터 접근이 불가능하다. 따라서 모바일 기기에 저장되어 있는 업무 관련 데이터뿐 아니라 개인 정보까지도 암호화할 필요가 있다.

2.    스마트폰에 보안 소프트웨어를 설치한다.
스마트폰용 보안 소프트웨어는 해커의 접근을 차단하고 사이버 범죄자들이 정보를 빼내거나 공유 네트워크를 이용하고 있는 사용자들의 정보를 엿보지 못하게 차단하는 기능을 한다. 또한 스팸 메시지 제거 및 바이러스와 여러 보안 위협을 사전에 탐지하고 제거한다.

3.    모든 소프트웨어를 최신 상태로 유지한다.
PC와 마찬가지로 모바일 기기에 설치된 보안 소프트웨어를 비롯한 모든 소프트웨어를 지속적으로 업데이트해 기업의 기밀 정보를 위협하는 새로운 악성코드 변종이나 바이러스로부터 모바일 기기를 보호해야 한다.

4.    모바일 기기 사용을 위한 강력한 보안 정책을 수립하고 실행한다.
암호화와 보안 소프트웨어 업데이트뿐만 아니라 전 임직원을 대상으로 비밀번호 관리와 애플리케이션 다운로드 정책을 실행한다. 모바일 기기에 비밀번호를 설정하면 기기 분실이나 도난 시 민감한 정보의 유출 방지에 도움이 된다.

5.    모르는 사람이 보낸 문자 메시지는 열어보지 않는다.
모르는 사람이 보낸 문자 메시지는 악성코드 감염이나 피싱 공격 등에 악용될 가능성이 높다. 따라서 이메일과 마찬가지로 모르는 사람이 보낸 문자 메시지는 함부로 열어보지 않도록 주의를 기울여야 한다.

6.    클릭하기 전에 한번 더 생각한다.
잘 알지 못하는 사람이나 오랫동안 연락이 없었던 지인으로부터 친구 초대나 팔로어 요청을 받았을 때 무조건 수락하지 말고, 출처가 불확실하거나 모르는 사람이 보낸 이메일, 메신저 대화, 링크 등을 함부로 클릭하지 않는다. 특히 휴가와 같이 집을 비울 때 위치를 알리는 소셜 네트워킹 메시지를 포스팅하지 않는다. 또, 정기적으로 프라이버시 설정을 통해 사용자 계정과 정보를 안전하게 보호한다.

7.    중요한 정보를 열어 볼 때 주변을 우선 확인한다.
비밀번호를 입력하거나 기밀정보 등 민감한 데이터를 확인할 때 주변에 다른 사람이 지켜보고 있지 않은지 반드시 확인해야 한다.

8.    ‘기기’가 아니라 ‘정보’ 자체를 보호해야 한다.
IT부서는 모바일 기기 보호에만 역량을 집중하기 보다는 조직의 정보가 저장되는 영역을 파악하고 우선적으로 보호해야 한다.

9.    기기 분실이나 도난시 대응 방안을 숙지한다.
모바일 기기의 분실이나 도난 시 어떤 행동을 취해야 하는 지 알고 있어야 한다. 기기를 정지시키고 정보가 유출되지 않도록 보호하는 방법을 사전에 마련해둘 필요가 있다.

10.    모바일 관리가 핵심이다.
잘 관리된 기기가 안전한 기기임을 기억해야 한다. 기업은 네트워크에 연결된 모든 기기들이 정책을 준수하고 악성코드로부터 보호될 수 있도록 모바일 관리 솔루션을 도입해야 한다.

시장조사기관 가트너에 따르면 2010년 전세계 기업용 SW 시장은 8.5%의 연간 성장률을 기록하며 2450억달러 규모를 기록했다. 2009년에는 전년 대비 2.5% 하락한 2260억달러에 그친 바 있다.

2010년 기업용 소프트웨어 시장 규모(단위 : 백만 달러, 출처 : 가트너)

조앤 코레이아(Joanne Correia) 가트너 부사장은 “2010년에는 주요 소프트웨어 벤더들이 제품 포트폴리오를 확대했으며, 적절한 인수합병으로 몸집을 불리고 신흥 시장 진출도 가속화했다”라며 “시장 규모를 회복하고 매출과 시장 영역을 확대하는 견고한 기반을 다진 한 해가 됐다”고 총평했다.

그러나 시장 회복 속도는 지역에 따라 상대적인 차이가 큰 것으로 나타났다. 남미와 아태지역이 시장 평균의 2배를 웃도는 10% 중후반의 빠른 성장률을 기록한 반면, 서유럽과 대지진이 발생했던 일본 지역은 상대적으로 저조한 성장세를 보였다.

벤더별로 살펴보면 MS가 시장점유율 22.4%를 기록하며 1위를 유지했다. MS는 2010년 윈도우7과 MS 오피스 2010 제품이 널리 채택되며 12.5%의 견실한 성장률을 기록했다.

IBM은 2009년에 이어 2010년에도 2위 자리를 지켰다. IBM은 소비자용 제품군이 없는 탓에 가트너의 집계에서 MS 오피스와 운영체제의 소비자 판매분을 제외하면 IBM이 MS를 제치고 1위로 부상하게 된다. IBM의 매출 성장률은 시장 평균에 다소 못 미친 5.7%를 기록했지만, IBM은 2010년에 ‘스마트 플래닛’ 전략을 기반으로 전자상거래와 마케팅, 세일즈 부분에 초점을 맞춘 애플리케이션 제품군을 다수 확장하며 성공적인 한 해를 보냈다.

오라클은 매출이 19.4%나 성장하며 상위 5개 벤더 가운데 가장 성공적인 한 해를 보냈다. 모든 소프트웨어 부문에서 경실한 성장을 기록했으며, 특히 비즈니스 인텔리전스(BI)와 보안, IT 운용, 데이터 통합 제품군이 좋은 성과를 기록했다. 또한 인수합병을 통해 확보한 인프라와 미들웨어를 오라클 퓨전 미들웨어로 통합해 성장 동력을 확보하는데 성공했다.

톱5를 제외한 나머지 벤더 중에서는 VM웨어가 무려 매출이 41%나 상승하며 29% 성장한 어도비, 28% 성장한 세일즈포스닷컴과 함께 시장 성장을 주도했다. 이들을 포함해 상위 25개 벤더는 시장 평균을 웃도는 11.5%의 성장률을 기록했으며, 이들 업체에 전체 시장 매출의 68%가 집중됐다.

톰 에이드 가트너 연구 부사장은 “기업용 소프트웨어 시장 지형이 지속적으로 변화하고 있다”라며 “고객 기반을 확대하고 버티컬 시장을 공략하기 위한 기술을 확보하기 위해 벤더와 서비스 제공업체 사이에 인수합병이 지속될 것으로 기대된다”고 전했다.

시만텍이 2010년 한 해 동안의 주요 사이버 범죄와 보안 위협 동향을 조사, 분석한 최신 보고서인 ‘인터넷 보안 위협 보고서(Internet Security Threat Report)’ 제16호를 발표했다. 이 보고서에 따르면 SNS가 사회 공학적 공격 기법을 통해 악성 코드를 퍼뜨리는 새로운 플랫폼으로 악용되고 있는 것으로 나타났다고 밝혔다.

윤광택 시만텍코리아 이사는 “예전에는 많은 개인들이 특정 콘텐츠를 소비하는 대상이었다면 지금은 자신들의 일상과 관련된 많은 내용들을 생산해 내는 게시자가 되고 있다. 해커들은 이런 사용자들의 패턴을 잘 파악해서 개인 계정을 탈취해 이와 연관된 사용자들을 또 공격하게 된다”고 밝혔다.

그는 또 “가짜 계정을 만들어 놓고 단축 URL을 통해 사용자들을 감염 시키는 경우도 있다”면서 “내가 어느 보안 세미나에서 발표를 하면 맨 마지막에는 이메일을 공개하는 경우가 있는데 이런 메일을 파악하고 당시 세미나에서 찍은 사진이 있다는 메일을 보내면서 관련 사진을 더 보려면 해당 사이트로 접속해 보라고 메일을 보낼 수도 있다. SNS를 통해서도 최소한의 정보를 공개해야 피해가 덜 생길 수 있다”고 덧붙였다.

이번 보고서는 2010년 1월부터 12월까지 전세계 200여 개국에 설치된 24만여 개의 센서와 1억3천300만대의 시스템에서 수집된 방대한 실제 데이터를 기반으로 분석됐다. 2010년 한 해 시만텍이 새로 발견한 보안 위협은 2억8천 600만개를 상회한 것으로 나타났다.

2010년 보안 위협은 웹 기반 공격이 93% 증가, 개인 정보 26만 유출, 새로운 취약점 6천 253개 발견, 모바일 취약점 42% 증가, 100만개 이상의 스팸 봇을 조정하는 봇넷 등장, 전체 스팸의 74%가 의약품 관련, 봇 1만개당 15달러에 거래, 신용카드 정보 거래 가격은 7센트~100달러 등으로 요약된다.

이와 함께 ▲기업을 겨냥한 표적 공격이 질적, 양적으로 그 규모가 확대되고 더욱 정교해진 가운데 ▲SNS(소셜네트워킹서비스)가 사회 공학적 공격 기법을 통해 악성 코드를 퍼뜨리는 새로운 플랫폼으로 악용되고 있는 것으로 나타났다. 또한 ▲거의 모든 웹 브라우저와 운영체계에서 구동되는 자바 스크립트의 취약점을 노린 공격이 증가하는 등 공격 전술에 변화가 감지되었으며, ▲사이버 범죄가 모바일 기기로 확대되고 있는 것으로 확인됐다.

2010년은 표적 공격의 해
2010년에는 하이드락(Hydraq)이나 스턱스넷(Stuxnet)과 같이 기업을 겨냥한 표적 공격이 증가했다. 특히 공격 성공률을 높이기 위해 제로데이 취약점을 이용한 표적 공격이 빈번해졌다. 일례로 스턱스넷은 표적 공격을 위해 한번에 4개의 제로데이 취약점을 이용한 것으로 확인됐다.

다국적 기업이나 정부 기관뿐만 아니라 중소기업을 겨냥한 표적 공격도 눈에 띄게 증가했다. 대부분의 표적 공격은 공격자가 사전에 기업 내부의 핵심 관계자를 파악한 후 사회공학적 공격 기법을 통해 대상 네트워크에 침투하게 된다. 이 같은 표적 공격의 특성 때문에 공격 대상 기업이 기본적인 보안 시스템을 운영하고 있더라도 대다수 공격이 성공을 거뒀다.

지난 해 언론의 관심이 집중됐던 지적 재산을 빼돌리거나 국가 핵심 시설에 물리적 피해를 입히기 위한 목적의 표적 공격 외에도 사용자의 개인 정보를 겨냥한 공격도 빈번히 발생했다. 시만텍 보고서에 따르면 해킹에 의한 데이터 침해사고당 평균 26만건 이상의 개인 정보가 유출되었고, 이는 다른 공격 유형에 비해 거의 4배나 높은 수치였다.

사이버 범죄의 온상 SNS
SNS가 인기를 끌면서 공격자들이 새로운 악성코드 전파 통로로 SNS를 주목하고 있는 것으로 나타났다. SNS를 활용한 주요 공격 기법 중 하나는 복잡한 웹 주소를 짧게 만들어 이메일이나 웹 페이지 상에 효율적으로 공유하기 위해 만들어진 단축 URL을 이용하는 것이다. 지난해 공격자들은 수백만 개의 단축 URL을 SNS 상에 노출시켜 사용자들을 피싱 및 악성코드 사이트로 유도함으로써 감염 성공률이 크게 높아졌다.

또한 인기있는 SNS가 제공하는 뉴스 피드(News-feed) 기능을 악용해 악성 코드를 대량으로 유포하는 공격도 급증했다. 공격자가 탈취한 SNS 계정으로 로그인해 상태(status)를 업데이트하면서 악성 웹사이트로 연결하는 단축 URL을 올리면, 뉴스 피드를 통해 피해자의 친구들에게 링크가 자동으로 배포되고 수 분내에 수백 혹은 수천 명의 계정으로 악성 링크가 전달되는 식이다. 시만텍 조사 결과, 2010년 뉴스 피드에 포함된 악성 링크의 65%가 단축 URL을 사용한 것으로 나타났다. 그 중 11번 이상 클릭된 단축URL은 73%에 이르렀고, 11~50번 클릭한 경우도 33%에 달했다.

자바 스크립트를 이용한 공격용 툴킷 급증
공격용 툴킷은 네트워크로 연결된 컴퓨터를 공격하기 위해 초보자나 전문가 모두 사용할 수 있는 소프트웨어 프로그램으로, 지난해 발생한 여러 사이버 공격에 광범위하게 사용된 것으로 나타났다. 특히 인기 있는 자바 시스템의 취약점을 이용한 공격용 툴킷이 크게 증가해 지난해 전체 브라우저 플러그인에 영향을 미친 취약점 가운데 17%가 자바 시스템과 관련된 것으로 집계됐다.

공격자들이 자바 스크립트를 주목하는 이유는 자바가 다양한 웹 브라우저에서 구동되는 다중 플랫폼 기술이기 때문이다. 자바가 현존하는 거의 모든 웹 브라우저와 운영체계에서 구동하는 거의 유일한 애플리케이션이라는 것을 감안할 때 향후 자바는 공격자들에게 매력적인 표적이 될 것으로 보인다.

웹 기반 공격으로는 피닉스(Phoenix) 툴킷이 가장 많이 이용된 것으로 나타났다. 피닉스 툴킷은 다른 많은 툴킷과 마찬가지로 자바 취약점을 이용한다. 지난해 자바 기술을 이용한 웹 기반 공격 시도는 6번째로 많았다. 또한2010년 일일 웹 기반 공격 건수는 2009년에 비해 93% 증가했다. 시만텍이 탐지한 웹 기반 위협 활동의 3분의 2는 공격용 툴킷에 의한 것으로, 웹 기반 위협 급증의 주요 요인으로 분석됐다.

모바일 보안 위협 가시화
모바일 플랫폼 환경이 보편화되고 공격자들도 큰 관심을 보임에 따라 모바일 플랫폼에 대한 보안 공격이 더욱 증가할 것으로 보인다. 2010년 모바일 기기를 겨냥한 악성 코드 공격의 대부분은 합법적인 애플리케이션으로 위장한 트로이목마 프로그램으로 나타났다. 공격자가 처음부터 직접 개발한 악성코드도 있지만, 악성 로직을 합법적인 애플리케이션에 넣어 사용자 컴퓨터를 감염시킨 후 일반 앱 스토어를 통해 감염 애플리케이션을 유포시키는 경우가 대다수였다. 최근 안드로이드폰에서 개인정보를 가로채는 것으로 알려진 악성앱 ‘Pjapps’ 개발자 역시 이 방식을 사용했다.

현재 모바일 기기에 탑재된 보안 아키텍처의 기능은 최소 데스크톱이나 서버 보안에 준하는 정도지만 공격자들은 모바일 플랫폼의 취약점을 이용해 보안 시스템을 우회하는 공격을 시도한다. 이러한 결함은 다른 유형의 결함과 비교해 상대적으로 빈번히 발생하는 편으로, 시만텍은 지난해 공격자들이 모바일 기기를 전체 또는 부분적으로 통제할 수 있는 163개의 취약점을 발견했다. 2011년 3월 현재, 이미 수십만 개의 모바일 기기를 감염시킬 목적으로 이러한 취약점들이 이용되고 있다.

정경원 시만텍코리아 사장은 “지난해 스턱스넷과 하이드락과 같이 특정 목적을 지닌 정교한 사이버 위협이 두드러진 가운데, 개인 사용자를 겨냥해 SNS나 모바일 기기를 통한 보안 위협들도 급증한 것으로 나타났다”며, “공격자들의 인터넷 보안 위협 목표와 공격 전술이 더욱 지능화, 정교화되고 있는 만큼 사이버 범죄 피해를 방지하기 위해 개인 사용자들은 최신 보안 소프트웨어를 사용하고 보안 안전수칙을 준수해야 하며, 기업들은 사이버 보안 위협에 대비해 적절한 보안 정책구현은 물론 엔드포인트, 메시징, 웹 환경에 대한 보안을 강화함으로써 각종 보안 공격에 노출될 가능성을 최소화해야 한다”고 강조했다.

시만텍 ‘인터넷 보안 위협 보고서(Internet Security Threat Report)’ 제16호

더욱이 기업의 비정형 데이터는 매년 60% 이상 증가하고 있다. 제대로 대응책을 마련하지 않으면 엄청난 혼란에 빠질 수 있는 대목이다.

이런 고객들의 요구에 대응하기 위해 많은 데이터 보호 업체들이 등장하고 있고 시만텍코리아도 그 중 한 업체다. 시만텍이 최근 기업의 가장 소중한 자산인 동시에 가장 큰 위협의 대상인 정보를 보다 효과적으로 보호해주는 ‘시만텍 DLP(Data Loss Prevention) 11’ 솔루션을 발표했다.

이번 버전에서 눈여겨 볼 내용은 ‘기계학습 기술인 VML(Vector Machine Learning)’ 적용 부분이다.

이 기술을 설명하기에 앞서 기존 기술들에 대해 좀 살펴볼 필요가 있다. 기업이 핵심 정보를 효과적으로 보호하기 위해서는 가장 먼저 핵심 정보가 어디에 있는지 정확히 위치를 파악해야 하는데, 지금까지 데이터 유출방지 솔루션은 ‘핑거프린팅’과 ‘데이터 정의’ 등 2가지 탐지 기술에 의존해 왔다.

핑거프린팅 방식은 보호대상 문서를 모두 수집한 후 각 파일에 고유한 지문을 할당한다. 핑거프린팅 기술의 대안인 데이터 정의 방식은 핵심 정보의 위치를 파악하기 위해 일정한 수식과 키워드 목록을 생성한다. 하지만 핑거프린팅은 데이터가 광범위하게 흩어져 있는 기업의 경우 적용하기 힘들며, 데이터 정의는 생성하는데 시간이 오래 걸리고 핑거프린팅보다 정확성이 떨어진다는 단점이 있다.

시만텍은 이런 단점들을 극복하기 위해 VML 기술을 선보였다. 이 기술은 데이터 고유의 특성을 이해하고 민감한 데이터와 그렇지 않은 데이터간 미묘한 차이를 파악하기 위해 샘플 문서를 사용해 학습하는 과정을 거친다. 따라서 키워드 기반 정책을 생성하거나 신규 문서 생성에 따른 지문 생성 과정이 전혀 필요 없다. VML 기술을 사용하면 샘플 문서만으로 충분히 정확한 정책을 생성할 수 있고, 시스템이 포지티브(지적 재산이나 M&A 문서처럼 보호를 요하는 데이터) 및 네거티브(웹에서 다운받은 오픈소스처럼 무시해도 좋은 데이터) 추가 샘플을 활용할 수 있기 때문에 시간이 지날수록 정확성이 높아진다.

윤광택 시만텍코리아 이사(사진)는 블로터닷넷과 통화에서 “핵심 엔진이 학습을 계속 하면서 오류들을 줄여갈 수 있도록 했다”고 전하고 “가량 한 제약회사의 경우 내부 연구소에서 연구된 자료는 기밀로 보호를 해야 하지만 경쟁 업체의 기술 관련 사항이나 관련 업계나 학계의 연구 논문 등은 기밀이 아니다. 하지만 내부 내용을 보면 모두 유사하다. 이런 내용들, 기밀 보호 정책 수립 과정에서 VML 기술을 활용하면 안전하고 손쉬운 대책들을 마련하고 운영할 수 있다”고 밝혔다.

그는 “최근 기업들이 퍼블릭 클라우드를 활용하는 사례도 늘고 있는 상황인데 이런 인프라를 활용해서 데이터를 저장하고 보호할 때도 관련 솔루션이 모두 모니터링하고 관리할 수 있다”고 덧붙였다.

이외에도  ‘시만텍 DLP(Data Loss Prevention) 11’ 솔루션은 한층 업그레이드된 ‘데이터 인사이트(Data Insight)’ 기술을 통해 ‘노출위험 점수화(Risk Scoring)’와 ‘데이터 소유자에 의한 사고조치(Data Owner Remediation)’ 기능을 제공한다. 또 강력한 엔드포인트 보안 지원 등으로 정보 중심의 보안 전략을 강화하고자 하는 기업 고객들이 민감한 내부 핵심 데이터에 대한 보호능력을 향상시킬 수 있도록 해준다.

새로운 기능 이외에도 시만텍 DLP 솔루션은 기업의 핵심 정보에 대한 검색, 모니터링 및 보호 기능뿐만 아니라 컨텐트에 따라 암호화 및 ERM(Enterprise Rights Management) 솔루션과 연동할 수 있고, 다른 시만텍 솔루션과도 통합이 가능하다.

정경원 시만텍코리아 사장은 “‘시만텍 DLP 11’ 솔루션은 기계 학습 기능을 바탕으로 새로 생성된 기밀 데이터를 예측하고 기업의 비정형 데이터 보호 능력을 대폭 향상시켜 궁극적으로 기업의 민감한 핵심 정보를 보다 효과적으로 보호한다”며, “지적 재산과 같은 기업의 핵심정보 유출 위협은 앞으로 더욱 증가할 것인 만큼 이번 ‘시만텍 DLP 11’ 출시를 계기로 관련시장 확대에 더욱 박차를 가하겠다”고 밝혔다.

한편, 개인정보보호법안이 9일 국회 법제사법위원회 법안심사소위원회에 이어 10일 열린 전체회의를 통과했다. 이 법안은 오는 11일 열릴 본회의에 상정돼 의결될 것으로 예상된다. 본회의 처리 후 정부가 관련 법안을 공포하게 되면 오는 9월 말부터 시행하게 된다.

그동안 법 적용을 받지 않아온 사각지대가 해소되고 모든 공공기관과 사업자는 개인정보의 안전한 처리라는 법적 의무를 지게 되는 만큼 이제 기업들은 리스크 관리 차원에서 고객, 브랜드와 지적 자산을 보호하는 동시에 컴플라이언스 요구 사항을 충족할 수 있도록 데이터 유출방지 솔루션 도입을 적극 검토해야 하는 상황이다.

윤광택 이사는 “관련 법안 통과도 DLP 솔루션 시장 확대에 상당한 호재”라고 전하고 “지난해 말부터 대기업들에서도 DLP 솔루션 도입이 서서히 시작된 만큼 올해 본격적으로 관련 시장이 개화될 것 같다”고 밝혔다.

당연히 창과 방패가 등장한다. 보안 업체들은 방패 입장이다. 시만텍은 그 중 대표적인 글로벌 업체다. 시만텍은 갈수록 증가하고 있는 사이버 범죄에 대한 경각심을 일깨우고자 그동안 역추적을 통해 확인된 주요 공격용 툴킷들의 종류와 특징들을 심도있게 분석한 보고서를 발표했다. 1990년대부터 현재까지 정리된 자료라는 점에서 주목할 만하다.

1990년대: 바이러스 키트
1990년대 초, 비주얼 베이직(Visual Basic)을 이용해 제작된 기본적인 기능의 초기 공격용 툴킷이 발견되었지만 기능은 제한적이었다. 웹 인터페이스, 통계 수집, C&C 관리 기능 등 후기 공격용 툴킷에서 볼 수 있는 기능은 대부분 빠져있었고, 주로 개발 및 전파 목적의 바이러스들이 포함되어 있었다. 초기 바이러스 제작 킷 중에서 가장 발전된 툴킷은 1998년 처음 발견된 VMPCK이었다. VMPCK 이후 곧 CPCK 키트가 등장했는데, 두 킷 모두 ‘바이코딘(Vicodines)’란 악명 높은 프로그래머에 의해 개발됐다. CPCK는 탐지 회피를 위한 다형성 엔진을 포함하고 있었는데 당시로서는 매우 획기적인 시도였다.

2001년: VBSWG 웜 킷
스팸 메일 공격시 주로 사용되는 제목 때문에 안나 쿠르니코바(Anna Kournikova) 웜으로도 불리며, 2001년 아르헨티나에서 처음 발견됐다. 비주얼 베이직으로 개발된 VBSWG 웜은 단순하지만 효과적인 암호화 기술을 채택했으며, 이메일 및 IRC 클라이언트를 통한 전파를 위해 다양한 루틴을 내장하고 있었다. 정보 탈취를 우선으로 제작되는 최근의 공격용 툴킷과 달리 초기에는 파괴적 공격이 목적이었다. 예를 들어, VBSWG 웜에는 ‘크래시 시스템’과 ‘크레시 시스템2’로 불리는 공격 코드가 탑재돼 시스템이 다운될 때까지 메모리 기능을 계속 복사, 실행한다.

2006년: 웹어태커(WebAttacker)의 등장
2006년 초에 처음 모습을 드러낸 웹어태커(WebAttacker)는 첫번째 공격용 툴킷으로, 2003년에 발견된 7개의 취약점을 이용한 악성 코드를 내장하고 있었다. 후기 공격용 툴킷과 마찬가지로 웹어태커는 클라이언트측 취약점을 이용했는데, MS 윈도우OS 에 설치된 인터넷 익스플로러나 모질라 파이어폭스 사용자들을 주요 공격대상으로 삼았다.

시만텍이 처음 웹어태커를 발견했을 당시 지하경제에서 15달러에 거래되고 있었다. 이렇게 낮게 가격이 형성된 이유는 첫번째 상용 공격용 툴킷이었기 때문으로 분석된다. 웹어태커 판매자는 구매자에게 약정 서비스 형태로 툴킷을 제공했으며, 이후 수많은 툴킷들이 약정 모델을 차용했다. 또한 웹어태커는 업데이트가 가능하고 후속 버전에는 새로운 취약점을 이용할 수 있는 코드를 포함시켰다. 2006년 9월 웹어태커는 인터넷 익스플로러의 벡터언어 컴포넌트와 관련된 제로데이 취약점을 이용해 눈길을 끌었다. 대다수 툴킷들이 이미 잘 알려진 취약점을 이용한 반면, 악성 코드에 제로데이 취약점을 적용한 보기 드문 경우였기 때문이다.

2006년: 앰팩(MPack)
웹어태커 다음으로 등장한 주목할만한 공격용 툴킷은 2006년 6월에 발견된 앰팩이다. 앰팩은 웹어태커를 토대로 하고 있지만 개선된 인터페이스를 통해 공격 데이터의 지리적 분류, 공격받은 호스트 위치, 국가별 성공률 등 확장된 통계 정보를 제공한다. 또한 IP 주소나 국가별 사용자, 동일한 IP 주소에서 반복적으로 방문하는 사용자를 차단하는 기능을 지원한다. 특히 중복 방문자를 차단하는 기능은 분석을 위해 툴킷 공격을 호스팅하는 웹사이트를 반복적으로 방문하는 안티바이러스 보안 연구소 및 보안업체들이 앰팩 툴킷을 탐지하기 어렵게 만들었다.

또한 앰팩은 다양한 기법을 통해 보다 공격적으로 배포됐다. 예를 들어, 앰팩의 호스트 사이트로 피해자의 경로를 재조정하기 위해 합법 웹사이트에 아이프레임(iframe)을 주입하거나 유사한 이름의 도메인을 등록시켜 인기 웹사이트의 주소를 실수로 잘못 입력한 피해자를 유인했다. 또한 스팸을 통해 악성 사이트로 연결된 링크를 유포하고, 맞춤형 악성 코드 다운로더를 생성함으로써 피해자가 공격에 걸려들었을 때 배포할 악성 코드의 유형과 위치를 직접 정할 수 있도록 했다. 앰팩의 첫 판매 가격은 1,000 달러로, 이는 15 달러에 판매됐던 웹어태커에 비해 매우 높은 가격이다. 그럼에도 앰팩이 성공을 거두고 오래도록 판매될 수 있었던 이유는 공격자들이 기꺼이 거금을 투자하더라도 투자한 만큼의 충분한 이익을 거두었기 때문인 것으로 분석된다.

2007년: 앰팩을 기반으로 한 아이스팩(IcePack)
2007년 7월 등장한 아이스팩은 앰팩과 유사하다. 특정 IP 주소나 국가별 사용자는 물론 중복 방문자를 차단하는 등 앰팩과 동일한 기능을 대거 포함하고 있었다. 아이스팩의 첫 판매 가격은 앰팩보다 낮은 400 달러였으나 웹어태커보다는 훨씬 비쌌다. 2007년 11월 시만텍은 아이스팩 및 앰팩과 관련된 하나의 트렌드를 발견했는데, 바로 개발자들이 아이스팩 및 앰팩의 불법복제판으로 입은 손실을 만회하기 위해 할인된 가격이나 무료로 지하경제에서 제공하고 있는 것이었다.

할인 또는 무료 버전에는 공격 피해자를 또 다른 악성 사이트로 유인하는 백도어 코드가 포함되어 있었다. 즉, 무료 툴킷을 사용한 공격자들은 백도어 코드의 존재를 알지 못했고, 그 결과 백도어 버전 툴킷의 공격을 받은 피해자들은 백도어 버전 툴킷 공격으로 득을 보게 된 툴킷 개발자들에 의해 2차 피해를 입었다.

2007년: 봇의 제왕, 제우스(Zeus)
시만텍은 2007년 처음으로 제우스 툴킷을 발견했다. ‘Z봇(Zbot)’으로도 알려진 제우스는 온라인 금융 정보 등 민감한 데이터를 수집하기 위해 개발됐고, 지금도 매우 광범위하게 사용되고 있다. 제우스는 PHP 기반 C&C 서버 웹 애플리케이션과 함께 트로이목마 생성기를 포함하고 있지만 트로이목마 설치나 전파 수단은 포함하고 있지 않다. 대신 판덱스(혹은 컷웨일)와 같은 대형 봇넷이 스팸이나 드라이브바이다운로드(Drive-by-downloads: 사용자 모르게 다운로드되어 실행되는 악성 프로그램)를 통해 제우스 툴킷을 유포한다.

제우스는 수많은 사기 및 사이버범죄 사건에 연루되어 왔다. 2010년 9월, 미국, 영국 및 우크라이나 출신의 다국적 범죄집단이 제우스 봇넷을 사용해 18개월간 온라인 금융 및 거래 계좌에서 7천만 달러 이상을 훔친 혐의로 검거된 것 외에도, 영국의 수많은 계좌에서 100만 달러 가량의 돈을 빼돌린 사건이나, 수십 개의 미 은행 계좌에서 300만 달러의 돈이 불법 인출된 사건도 있었다. 제우스가 인기가 높은 이유는 피해자 컴퓨터에서 금전적 이득을 볼 수 있는 민감한 정보를 쉽게 빼돌릴 수 있는 기능이 포함되어 있기 때문이다.

2007-2008년: 네오스플로이트(NeoSploit), 애드팩(Ad’pack), 토네이도(Tornado)
2007년에는 제우스와 비견할만한 다양한 툴킷이 등장했다. 3월 네오스플로이트, 9월 애드팩, 10월 토네이도 등이 등장했고, 그 중 네오스플로이트의 영향력이 가장 컸다. 겉으로 보기에는 웹어태커의 업그레이드 버전으로 보이지만 향상된 통계 정보 수집 및 표시 능력을 지녔다. 안티바이러스 프로그램의 탐지 및 분석을 피하기 위해 은폐 기능(obfuscation) 및 난독화(anti-decoding) 기능이 포함됐다. 발견 당시 네오스플로이트는 기능 및 버전에 따라 1,500~3,000 달러까지 다양한 가격대의 제품으로 제공되고 있었다.

발표되는 신규 버전마다 새로운 악성 코드를 추가했던 네오스플로이트는 공격시 탐지우회기법이 포함된 자바스크립트를 이용하는 혁신 기술을 포함하기도 했다. 시만텍이 그 동안 발견한 툴킷과 달리 네오스플로이트는 통계정보를 저장하기 위해 MySQL과 같은 대중적인 데이터베이스를 사용하는 대신 맞춤형 데이터베이스를 포함했다. 또한 공격자가 툴킷 버전 업그레이드 시 데이터베이스도 함께 업그레이드할 수 있도록 스크립트를 제공해 네오스플로이트를 간편하게 최신 버전으로 유지할 수 있도록 지원했다. PHP 인터프리터, 연관 데이터베이스 서버 등 공격용 툴킷에 반드시 필요한 부가 기능을 없애 네오스플로이트의 설치 및 유지보수 작업을 단순화시켰다.

2008년 중반 네오스플로이트의 러시아 출신 제작자들은 네오스플로이트의 개발 중단을 선언했다. 개발에 투자한 시간에 비해 수익성을 담보할 수 없다는 게 그 이유였다. 그럼에도 불구하고 네오스플로이트를 사용한 공격 활동은 이후 계속 감지되고 있다.

시만텍은 2008년 4월 처음 토네이도 툴킷을 발견했지만, 이미 6개월 정도 전부터 탐지를 피해 활동해 온 것으로 보인다. 토네이도는 개발자들의 신중하고 제한적인 유포 활동으로 탐지가 어렵다. 또한 단골 방문객들에게 사이트 소유자의 계좌가 정지되었다는 메시지를 띄우는 등 트래픽 유형에 따라 다른 행동을 취할 수 있는 기능을 갖추고 있었다. 이러한 전술은 다른 IP 주소로 방문자에 대한 공격을 실제 지속하면서도 툴킷 호스팅 사이트가 악의적이라는 의심을 누그러뜨릴 수 있다.

2008년: 파이어팩(FirePack)과 엘 피에스타(El Fiesta)
2008년에는 2월과 8월에 각각 소형 툴킷인 파이어팩(FirePack)과 엘 피에스타(El Fiesta)가 시만텍에 의해 발견됐다. 이전에 발견된 툴킷과 동일한 기능이 대거 포함되어 있었지만 가격이나 제공하는 악성코드는 달랐다.

2009년: 공격용 툴킷의 전성기
2009년에는 럭키스플로이트(LuckySploit), 리버티(Liberty), 예스 익스플로이트 시스템(YES Exploit System), 엘리노어(Eleonore), 프라거스(Fragus), 유니크 팩(Unique Pack), 마리포사(Mariposa), T-아이프래머(T-IFRAMER), 저스트익스플로이트(justexploit), 시베리아(Siberia), 크라임팩(CRiMEPACK) 등 주목할만한 많은 공격용 툴킷이 발견됐다. 그 중 엘리노어는 거의 매월 후속 버전이 나올 정도로 활발한 활동을 했고, 피닉스 역시 원래 2007년 발견되었지만 2009~2010년 사이 공격이 급증해, 10개 이상의 버전이 공개됐다.

프라거스 툴킷의 경우 첫 번째 버전은 2009년 7월 발견됐다. 프라거스는 공격용 툴킷의 불법복제를 방지하기 위해 PHP 난독화 기술을 처음으로 사용했다. 또한 IP 주소를 바인딩하거나, 툴킷 라이선스 기간이 초과하면 특정 파일을 만료시키는 등 다양한 불법복제 방지 기법을 적용했다.

2009년 10월: 마리포사(Mariposa) 등장
마리포사(Mariposa) 역시 주목해야 할 또다른 공격용 툴킷이다. 시만텍의 분석에 따르면, 마리포사의 클라이언트 트로이목마는 주로 실리FDC(SillyFDC) 웜의 변종 형태로 나타났다. 실리FDC는 2009년 세 번째로 가장 많이 발견된 악성코드 샘플이다. 마리포사는 다형성, 은폐, 안티바이러스 회피, 상태 업데이트 및 인코딩 전송 등의 기능을 갖췄다. 다형성 및 은폐 기능을 통해 악성 코드를 실행할 때마다 모습이 바뀌었고, 이로 인해 안티바이러스 프로그램이 악성 코드 시그니처를 생성하기 어렵게 했다. 마리포사는 USB 디바이스, P2P 클라이언트, 네트워크 공유 및 MSN 메신저를 통해 전파할 목적으로 개발됐다. 마리포사가 공격에 자주 사용되는 가장 큰 이유는 안티바이러스 애플리케이션이 마리포사를 차단하기 어려운데다 다양한 전파 기법을 갖추고 있기 때문이다.

이밖에 마리포사가 MS 인터넷 익스플로러의 HTTP POST 요청 데이터를 가로챌 수 있다는 점을 주목할 필요가 있다. 사용자가 웹사이트에 로그인 할 때 인증정보를 탈취할 수 있으며, 요청 데이터가 암호화되어 있어도 상관없는데, 이는 탈취가 암호화가 적용되기 전 인터넷 익스플로러 내부에서 발생하기 때문이다.

시만텍 조사 결과 마리포사는 기본형 450 달러를 시작으로 포함된 기능에 따라 고급형의 경우 1천 400 달러 이상에 판매되고 있었다. 또한 3, 6, 12개월 단위의 업데이트 지원 서비스 패키지를 구입할 수도 있으며, 12개월 패키지의 가격은 520달러에 이르렀다. 개발자들은 보안 소프트웨어 탐지 회피 기능을 지원하기 위해 이틀마다 업데이트를 제공하고 있었다. 한편 마리포사는 2009년 약 1,270만대의 컴퓨터를 감염시키고 기능을 마비시킨 마리포사 봇넷이 발견되면서 언론의 뜨거운 관심을 받았다. 마리포사 봇넷 코드를 제작한 용의자들은 2010년 스페인과 슬로베니아에서 검거됐다.

2010년: 제우스(Zeus) 2.0, 스파이아이(SpyEye), 스트라이크(Strike)

제우스 2.0
2010년 제우스의 신규 버전인 제우스 2.0이 출시됐다. 제우스 2.0 버전은 기본 패키지가 최고 8,000달러에, 500~2,000 달러의 추가 모듈까지 제공한다. 특히 스파이아이(SpyEye)의 ‘킬 제우스(Kill Zeus)’ 기능을 방어할 수 있도록 해, 공격용 툴킷 개발자들간의 경쟁이 점점 뜨거워지고 있음을 짐작할 수 있다. 제우스 2.0 버전에는 업그레이드된 탐지 회피 및 삭제 거부 기능뿐만 아니라 MS 윈도우 7 지원 및 한 대의 컴퓨터에 다양한 버전의 제우스 툴킷을 설치할 수 있는 새로운 기능도 포함되어 있다.

제우스 2.0은 임의의 고유한 레지스트리 키 값 및 파일명을 탐지우회하는 기법과 환경설정파일의 RC4 암호화 기능도 제공한다. 향상된 탐지우회기법 및 무작위 배정법에 따라 다양한 제우스 버전을 단일 컴퓨터에 동시에 설치할 수 있다. 다시 말해, 여러 공격자들이 표면상 단일 호스트를 여러 번 감염시킬 수 있게 된 것이다. 제우스 2.0은 또한 봇 생성 애플리케이션을 단일 컴퓨터와 연계하는 하드웨어 기반의 잠금 메커니즘을 사용한 불법복제 방지 기능을 지원한다.

스파이아이
2010년 등장한 스파이아이는 광고를 통해 초기 제우스와 비견할만한 강력한 툴킷으로 포지셔닝했다. 특히 감염 컴퓨터에서 모든 제우스 버전을 삭제하는 ‘킬 제우스’ 기능을 내장하고 있다. 이후 제우스 신규 버전에는 킬 제우스 기능을 무력화시키는 방어기능이 포함돼 공격용 툴킷 간 경쟁이 보다 심화되고 있음을 확인할 수 있다.

스파이아이는 광고를 통해 스파이아이를 저렴한 제우스 대용품으로 소개하며, 최고 8,000 달러에 이르는 제우스에 비해 매우 낮은 500~1,500 달러 수준의 가격을 제시하고 있다. 킬 제우스의 백업 기능으로, 스파이아이와 제우스가 동일한 컴퓨터에 설치되어 있고 스파이아이가 제우스 버전을 감지 또는 삭제하지 못할 경우, 스파이아이는 제우스 C&C 서버로 전송하는 데이터를 가로채거나 탈취할 수 있도록 프로그래밍되어 있다.

흥미롭게도 2010년 10월 스파이아이 개발자 하더만(Harderman)은 오리지널 제우스 개발자 슬래빅(Slavik)으로부터 소스 코드를 공식 인수했다고 밝혔다. 슬래빅은 더 이상 제우스 개발, 판매, 지원에 관여하지 않는 것으로 보인다. 하더만은 또한 기존 제우스 고객에게 지원 서비스를 제공하겠다고 발표했으며, 향후 더욱 강력한 툴킷을 제공하기 위해 스파이아이와 제우스의 소스코드를 통합하는 작업을 진행하고 있다.

스파이아이는 키스트로크 로거를 사용해 네트워크 트래픽과 웹 브라우저의 정보를 가로채 사용자 정보를 확보할 수 있는 기능이 포함되어 있다고 광고하고 있다. 일례로, 웹 브라우저 입력란에 ‘사회보장번호를 입력하세요’ 등의 항목을 몰래 추가한 후 사용자가 정보를 입력하면 전송 데이터를 중간에 가로채 피싱 스타일의 공격을 진행하고, 피해자가 제공한 인증 정보를 이용할 수 있게 된다.

스트라이크
2010년 등장한 스트라이크 툴킷은 윈도우 XP, 윈도우 비스타, 윈도우 7 등 신규 OS를 목표로 한다. 스트라이크의 봇 클라이언트에서 주목할 점은 일반 사용자로 가장해 신규 윈도우 OS의 사용자계정관리(UAC) 보안 기능을 회피하기 위해 개발되었다는 점이다. 스트라이크가 UAC 기능을 회피하는 방식은 윈도우의 ‘임시 인터넷 파일’ 폴더에만 파일을 작성하는 데 있다. 이로써 스트라이크는 키스트로크 로거, 백도어 등과 같은 악성 애플리케이션을 사용자 몰래 설치할 수 있다.

스트라이크는 윈도우를 비롯한 200개 애플리케이션의 시리얼 번호를 빼내기 위해 개발됐으며, 스트라이크 광고에 따르면 윈도우 호스트 방화벽을 우회해 자유롭게 네트워크에 접근할 수 있고 TCP 접속을 통해 DDoS 공격을 감행할 수 있다고 한다.

내부 보안 정책을 수립하지 않고 무턱다고 스마트폰이나 태블릿 기기를 기업 내부에 도입한 후 정보 관리의 허점이 생기고 있기 때문이다.

이와 관련해 시만텍이 기업의 모바일 보안과 관리 실태를 파악하기 위해 기업의 모바일 기기 사용자들을 대상으로 실시한 “2010 휴일 스마트폰 사용 실태 조사(2010 Mobile Security Holiday Habits Survey)”에 따르면 대다수 모바일 기기 사용자들이 주요 모바일 보안 수칙은 인지하고 있지만 실제 실천은 미흡한 것으로 나타났다.

이번 조사에서 응답자의 62%는 평소 스마트폰으로 회사의 기밀 데이터를 이용할 계획은 없지만 휴일에는 업무 처리를 위해 회사의 민감한 데이터를 이용할 수 있다고 밝혔다. 하지만 휴일에 복잡한 쇼핑몰이나 영화관 등의 공공장소에서 기밀 데이터를 열어볼 경우, 주변인에게 중요한 정보가 노출되거나 누군가 네트워크 사용자명 및 비밀번호를 몰래 훔쳐볼 수 있다는 점에서 각별한 주의가 요구된다.

또한, 모바일 애플리케이션을 설치할 때 이용약관을 꼼꼼히 살펴본다고 답한 응답자는 18%에 불과했다. 반면, 이용 약관을 주의 깊게 읽지 않거나 아예 읽지 않고 애플리케이션을 설치한다는 응답자는 68% 에 달해 모바일 애플리케이션 설치 및 이용에 대한 사용자의 보안인식 개선 노력이 절실한 것으로 나타났다.

특히 일반 PC와 달리 스마트폰은 GPS 기술이 내장돼 애플리케이션을 통해 사용자의 위치 정보가 부지불식간에 노출될 수 있는 만큼 개인 사생활 보호 차원에서 애플리케이션을 선별적으로 설치하고, 설치 전 이용약관을 주의 깊게 살펴볼 필요가 있다.

애플리케이션 설치 시 이용약관 숙지여부

이밖에도 휴일 스마트폰 사용자들은 주로 개인과 회사 관련 이메일 확인, 전화 통화 및 문자 메시지를 이용하는 것으로 나타났으며, 웹 서핑 및 SNS(소셜 네트워킹 서비스) 이용도 높은 순위를 기록했다. 하지만 전화 통화를 제외한 다른 활동들의 경우 악의적인 공격 루트로 활용될 가능성이 높아 이에 대한 대책 마련이 시급하다는 지적이다.

일례로, 이메일의 경우 모르는 사람이 보낸 이메일을 열어볼 가능성이 매우 높다고 답한 비율은 14%에 불과했는데, 이는 사용자들이 익명의 메일에 악성코드나 악의적인 웹사이트로의 방문을 유도하는 링크가 포함될 수 있다는 사실을 인지하고 있다는 것을 의미한다.

하지만 문자메시지의 경우, 모르는 사람이 보낸 메시지를 열어볼 가능성이 매우 높다고 답한 사람은 이메일 보다 두 배 더 많은 29%로 나타났다. 이러한 문자 메시지 역시 악성코드나 피싱 등 여러 위협을 야기할 수 있기 때문에 이메일처럼 신중한 접근방식이 필요하다.

한편, 이번 조사에서 대다수 스마트폰 사용자들은 모바일 기기의 분실이나 도난을 가장 걱정하는 것으로 나타났으며, 악성코드 감염 및 문자 메시지를 통한 피싱이 그 뒤를 이었다. 응답자의 82%는 스마트폰의 분실 또는 도난에 대비해 잠금기능을 설정해 사용하고 있다고 답해 긍정정인 모습을 보이기도 했다.

외국인근로자지원센터는 국내에서 일하는 외국인 근로자들의 권익 보호와 복지 향상, 한국 사회 적응을 돕기 위해 마련된 한국산업인력공단 산하 기관으로, 기증 소프트웨어는 한국산업인력공단 국제인력본부를 통해서 한국, 안산, 의정부, 김해, 마산, 인천, 대구, 천안 등 전국 총 8개 외국인근로자지원센터에 전달될 예정이다.

사진 : 시만텍코리아 정경원 사장(왼쪽)이 한국산업인력공단 외국인력국 정일성 국장에게 노턴 인터넷 시큐리티를 전달하고 있는 모습.

정경원 시만텍코리아 사장은 “이번 기증은 한국 시장에서 얻은 비즈니스 성과를 한국 사회의 발전을 위해 재투자하고 기업 시민으로서의 역할을 충실히 수행해나가려는 취지에서 마련됐다”며, “국내 산업현장에서 활동하는 외국인 근로자들이 세계적으로 검증된 노턴 인터넷 시큐리티를 통해 안전한 컴퓨터 환경을 유지하고 더불어 컴퓨터 활용 능력도 높일 수 있기를 바란다”고 말했다.

이번 기증은 각종 보안 위협으로부터 안전한 컴퓨터 환경에서 외국인 근로자 지원 업무를 수행하고, 각 지역센터에서 진행되는 외국인 근로자 대상 교육 프로그램을 지원하고자 마련되었다. 기증된 노턴 인터넷 시큐리티는 전국 외국인근로자지원센터의 운영용 PC 및 컴퓨터 교육용 PC 보안을 위해 활용될 예정이다.

노턴 인터넷 시큐리티는 다양한 인터넷 보안 위협으로부터 PC를 안전하게 지켜주는 개인용 통합 보안 제품으로, 해커의 공격을 적극적으로 방어하고 인터넷 서핑 중 위험한 소프트웨어가 다운로드되지 않도록 방지한다. 특히 평판(reputation) 기반 탐지 기술을 통해 파일의 특이성과 속성을 기반으로 신종 멀웨어(malware)를 탐지해내고 있다. 또한 인사이트(Insight) 분석 기능을 활용해 온라인의 파일과 애플리케이션의 보안과 성능적 영향에 대한 정보를 제공해 사용자의 PC를 보다 적극적으로 보호한다.

정성일 한국산업인력공단 외국인력국 국장은 “현재 외국인근로자지원센터에서 교육을 받고 있는 근로자는 연간 총 9만 명에 달하며, 근로자 모두 개인 능력 향상을 위해 컴퓨터 교육에 대한 관심이 매우 높다”며, “외국인 근로자들을 위해 보안 소프트웨어를 기증한 시만텍코리아에 깊은 감사를 전하며, 사이버 범죄 예방 및 PC 보안 교육에 큰 도움이 될 것”이라고 덧붙였다.

한편 시만텍코리아는 2009년에도 한국장애인IT협회와 아동복지 전문기관인 어린이재단에 노턴 인터넷 시큐리티를 제공한 바 있으며 소외된 계층을 위한 보안 소프트웨어 기증을 지속해나가고 있다.