안철수연구소는 2월9일 ‘파일 시스템 검사 장치 및 방법, 이 방법을 수행하는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체’와 ‘악성코드 진단 및 치료 장치 및 그 방법’에 대해 국내 특허를 획득했다고 발표했다.

출원번호 10-2009-0134842 ‘파일 시스템 검사 장치 및 방법, 이 방법을 수행하는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체’는 전체 검사 시간을 줄이면서 검사 신뢰도를 높이는 파일 시스템 검사 기술이다. 파일 시스템을 검사할 때 파일 단위로 검사하는 기존 검사와 달리 폴더 내 파일 변경을 파악해 변경된 파일만 검사한다.

출원번호 10-2010-0036775 ‘악성코드 진단 및 장치 및 그 방법’은 데이터 기반 진단-치료와 코드 기반 진단-치료의 장점이 접목된 기술이다. 일반적으로 악성코드 진단은 각 악성코드 파일의 패턴 데이터를 추가해 진단하는 데이터 기반 진단-치료 장치와, 진단-치료 코드를 작성해 엔진에 추가하는 코드 기반 진단-치료 장치로 구분된다. 이번 특허는 악성코드 대응을 더욱 신속하게 하면서, 백신 엔진의 안정성을 보장하고, 변종 악성코드 진단 성능을 높일 수 있다.

이 기술은 현재 V3 제품군은 물론 네트워크 보안 솔루션인 트러스가드 제품군에 탑재돼 있다.

안철수연구소는 ‘파일 시스템 검사 장치 및 방법, 이 방법을 수행하는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체’ 기술에 대해서는 V3 제품군에 탑재된 클라우드 컴퓨팅 개념 신기술인 ‘스마트 디펜스’에 적용할 예정이라고 밝혔다.

스마트 디펜스는 악성코드에 대한 모든 데이터를 엔진 업데이트를 통해 PC로 내려받은 뒤 PC에서 처리하던 기존 방식과 달리 대규모 파일 정보 DB를 중앙 서버에서 관리한다. PC에 설치돼 있는 스마트 디펜스 엔진에서 파일의 악성 여부에 대해 문의하면 이에 대해 응답하는 방식이다.

안철수연구소는 이번 국내 특허 취득으로 신종 악성코드에 대한 사전 대응력을 높이고, V3의 엔진 사이즈를 가볍게 할 수 있으며, 오진을 최소화할 수 있을 것으로 기대하고 있다.

2월3일(현지기준) 구글은 코드네임 ‘바운서’라는 서비스를 선보인다고 발표했다. 이 서비스는 안드로이드마켓에 올라오는 앱이 악성코드를 포함하고 있는지를 탐지한다. 히로시 록하이머 구글 안드로이드 엔지니어링 수석 부사장은 “매년 안드로이드를 탑재한 기기가 250% 증가하면서 안드로이드 생태계가 급격하게 확장되고 있는 가운데, 어떡하면 보다 나은 안드로이드마켓을 선보일 수 있는지 고민하기 시작했다”라며 “보안을 좀 더 강화할 필요가 있다고 느껴 이번 서비스를 준비하게 됐다”라고 말했다.

▲ 사진 출처 플리카 ‘.RGB.’ CC BY

지난해 안철수연구소는 안드로이드 기반 스마트폰 악성코드가 급증하고 있다며 사용자들에게 주의를 당부한 바 있다. 시만텍도 ‘안드로이드 악성코드 공격 동기’ 백서를 출간하면서 안드로이드 기기를 노리는 공격 수법이 기하급수적으로 증가할 것으로 전망했다. 구글은 이번에 선보이는 서비스가 안전한 안드로이드마켓을 만드는데 기여할 것으로 기대하고 있다.

이날 공개된 바운서는 총 3단계에 거쳐 앱을 분석하고 보안 위험 여부를 탐지한다. 안드로이드마켓에 새로운 앱이 등장하면 악성코드, 스파이웨어, 트로이목마 같은 의심스러운 행위를 포함하고 있는지 분석한다. 그런 다음 이 앱이 어떻게 작동할 것인 예상되는 행동과 실제 이 앱이 작동하는 과정을 비교해 숨어 있는 악성코드는 없는지 살펴본다. 그리고 새로운 개발자 계정을 조사해 과거 악성코드를 유포한 경력이 있는 개발자가 이름만 바꿔 다시 앱을 출시한 것은 아닌지 조사한다. 각 과정에서 탐지된 악성코드를 포함한 앱은 차단, 삭제 조치된다.

구글은 애플 앱스토어나 윈도우 마켓플레이스 같은 앱 사전등록 심의는 하지 않을 것이라 밝혔다. 안드로마이드마켓의 원래 취지대로 개발자들이 앱을 자유롭게 만들어서 올릴 수 있는 환경을 고수했다.

그 대신 모의 시뮬레이션을 통해 보안 기능을 강화한다는 계획이다. 록하이머 수석 부사장은 “안드로이드마켓에 올라온 앱은 구글 클라우드 인프라에서 실행시킨 다음 해당 앱이 안드로이드 기기에서 어떻게 작동하는지를 살펴본다”라며 “구글은 앱과 개발자 계정 정보를 갖고 있기 때문에 분석이 가능하다”라고 설명했다.

본격적인 서비스 출시에 앞서 구글은 한동안 안드로이드마켓에 ‘바운서’ 서비스를 실험했다. 그 결과 지난해 1분기와 2분기에 발생한 악성 앱의 다운로드 횟수가 기존 대비 40% 줄어든 효과를 봤다고 전했다. 구글은 당분간 이 서비스를 통해 기존에 올라온 앱을 분석할 예정이다. 록하이머 수석 부사장은 “악성 앱 개발자를 원천적으로 차단할 순 없지만, 사용자 피해는 최소화할 수 있을 것으로 보고 있다”라고 말했다.

이번 구글의 서비스에 대해 기즈모도는 “바운서가 위장 앱과 같은 날이 갈수록 발전하는 악성코드를 차단할 수 있을지는 의문이 든다”라며 “그럼에도 불구하고 안드로이드 사용자에게는 이번 구글의 조치가 반가운 소식인 것은 분명하다”라고 말했다.

최근 시만텍은 자사 공식 블로그를 통해 안드로이드 마켓에서 ‘Andriod.Counterclank(안드로이드.카운터클랭크)’를 다운로드 시킬 목적으로 해커들이 다중 아이디를 사용하고 있는 것을 확인했다고 발표했다. 아이앱스세븐, 오그리게임즈, 레드믹앱스 개발자가 만든 13개 앱이 현재 악성코드에 감염된 것으로 나타났다.

현재 이 악성코드에 감염된 앱은 안드로이드마켓에서 무료로 내려받을 수 있으며, 국내 안드로이드마켓에서도 확인할 수 있어 사용자 주의가 요구된다. 감염된 앱 목록은 다음과 같다.

케빈 헤일리 시만텍 보안 팀 책임자는 컴퓨터월드와의 인터뷰에서 “해당 개발자들이 진짜 개발자라고는 생각되지 않는다”라며 “앱을 통해 악성코드가 유포되고 있으며, 해당 앱을 다운로드한 사용자가 적게는 100만에서 많게는 500만명에 이르는 대규모 악성코드 감염이라고 볼 수 있어, 문제가 심각하다”라고 말했다.

이들 개발자들은 악성코드를 유포하기 위해 정상 앱을 만들어서 출시한 다음 사용자들이 관심을 갖기 시작하면 악성코드를 심어서 다시 앱을 출시하는 방식을 택했다. 그래서 상당수 사용자들이 안심하고 악성 앱을 내려받았다.

‘안드로이드.카운터클랭크’는 ‘애퍼핸드’로 불리는 패키지 내 주요 앱에 이식돼 있다가 사용자가 해당 앱을 실행시키면 활동을 시작한다. 안드로이드 기반 기기가 이 악성코드에 감염되면 해커는 해당 기기에 대해 특정 활동을 수행하도록 명령을 내리는 것은 물론 기기에서 정보를 빼낼 수 있다.

즉, 해커가 기기에 저장된 즐겨찾기 같은 정보를 바탕으로 사용자가 원하지 않는 광고를 계속 안드로이드폰에 노출시키는 일도 가능해질 뿐더러 GPS 정보를 통한 위치추적도 가능해진다.

헤일리 책임자는 “해당 사실은 구글쪽에도 알려기 때문에 조만간 조치가 있을 것으로 보인다”라고 말했지만, 정작 구글은 아직까지 아무런 조치도 취하지 않은 상태여서 더 큰 피해로 번질까 우려된다.

시만텍은 이 앱이 봇과 유사한 유형의 위협인 ‘Android.Tonclank(안드로이드.톤클랭크)의 변종인 것으로 보인다고 전했다. ‘안드로이드.카운터클랭크’는 올해 들어 시만텍이 발견한 악성코드 중 가장 많이 다운로드된 것으로 알려졌다.

보안 서비스는 사고가 발생하는 것을 사전에 방지하려는 데 초점이 맞춰져 있다. 그래서 상당수 기업들은 향후 예상되는 보안 문제를 선정하고 이에 대비하려고 한다.

이에 시만텍, 블루코트, 포티넷, 트렌드마이크로 등 보안업체들은 기업들이 2012년에 관심 가져야 할 보안 위협 요인에 대해 발표했다. 이들은 각자 전망 보고서를 통해 “2012년에는 모바일과 SNS를 활용한 악성코드 유포와 표적 공격을 주의할 필요가 있다”라고 입을 모았다. 이들이 공통적으로 강조하는 보안 위협 요소를 요약하면 다음과 같다.

1. BYOD 시대 시작에 따른 모바일 기기 보안 위험이 증가할 것

개인의 모바일 기기를 업무에 활용하는 BYOD 시대가 열리면서 IT 관리자가 완벽하게 통제하지 못하는 장치가 늘어날 것으로 보인다. 따라서 IT관리자는 본사와 지점, 원격 위치 등에서 항상 접속돼 있어야 하는 사용자와 모바일 기기를 지속적으로 보호해야 한다. 이 과정에서 개인 장치에 저장되고 접근되는 기업 데이터가 늘어나면서 적절한 보안을 갖추고 있지 않은 개인용 장치로 인한 데이터 손실 사례가 증가할 것으로 보인다.

시만텍, 블루코트, 포티넷, 트렌드마이크로 등 보안업체들은 전세계 스마트폰 사용자가 증가함에 따라 모바일 플랫폼은 사이버 범죄자들이 선호하는 표적이 될 것이라고 지적했다. 특히 안드로이드 플랫폼은 오픈소스이기 때문에 2012년에는 안드로이드 기반 모바일 기기에서 웜과 악성코드를 자주 발견될 것으로 예측하고 있다. 악성코드가 포함된 링크를 전달하는 SMS나 페이스북, 트위터 같은 소셜 네트워크에서 유통되는 감염된 링크가 주요 위협 전파 수단이 될 것으로 보인다.

지금까지 모바일 플랫폼 위협은 악성 응용프로그램(앱) 형태가 주를 이뤘지만, 앞으로는 사이버 범죄자들이 합법적인 앱을 통해서 공격을 할 것으로 예상한다. 이제 대부분 공격자들은 사용자 데이터 절도나 노출을 유도할 수 있는 취약점이나 코딩 오류를 찾아내 집중 공격하는 모습을 보일 지도 모른다. 취약점 처리와 교정 프로세스에 정통한 앱 개발자들이 매우 적기 때문에 이러한 문제는 더 심각해질 것으로 보인다.

2. 복잡한 가상화와 클라우드 환경을 어떻게 관리할 것인가

BYOD 환경이 되면서 빠질 수 없는 IT 환경으로 가상화와 클라우드를 꼽는다. 자연스레 클라우드 기반의 보안 솔루션 도입이 2012년에는 활발해질 전망이다.

하지만 클라우드 기반의 보안 솔루션 도입도 만만치 않다. 가상화 또는 클라우드 기반 시스템 보안으로 인해 가중된 복잡성을 해결해야 하기 때문이다. 가상화와 클라우드 환경에서 공격은 매우 용이하지만 보호는 어렵다고 한다. 엄청난 규모의 가상화 서버에 대한 보안 작업을 하기 쉽지 않기 때문이다.

기존 보안 공격 역시 클라우드 컴퓨팅 환경에서도 유효하기 때문에 해커들이 서버를 탈취하고 트래픽을 방해하는 등의 보안 사고들이 발생할 가능성이 높다.

3. 봇넷, 지능형 지속 위협 등 강화된 보안 공격의 등장

안타깝게도 보안 공격은 점점 진화하고 있다. 지능형 지속 위협(APT)의 효과가 입증되면서 기업과 정부를 대상으로 한 사이버 범죄가 활성화될 조짐을 보인다. 이런 공격은 2012년 되면 더욱 활기를 띨 전망이다. 회사 e메일 계정을 통하거나 업무상의 연결을 가장한 기업 대상 APT 공격 대신, 개인 e메일과 페이스북 계정 등을 APT 진입 지점으로 활용해 내부 정보를 훔치는 데 주력할 것으로 보인다.

봇넷 횟수도 증가할 전망이다. 보안업체들은 봇넷이 보안 조치에 대응해 더욱 진화할 것으로 예상했다. 대규모 봇넷 공격이 잠잠해지고 규모는 더 작지만 더 정교하게 관리되는 봇넷이 나타날 것이라고 이들은 내다봤다. 단일 봇넷으로 인한 손실은 과거의 대규모 봇넷처럼 민감한 반응을 유도하지 않아 사이버 범죄자들의 위험 부담을 줄여주기 때문이다.

집중 원격감지 제어시스템(SCADA)으로 제어되는 장비에 대한 공격도 한층 강화될 것으로 보인다. 전력이나 수도 같은 중요 인프라와 연결돼 있기 때문이다. 이들 시스템 상당수가 로그인을 위한 웹 인터페이스를 가지고 있는데, 이는 백엔드 시스템으로 접근할 수 있는 우회 경로를 포함하고 있다. 그렇기때문에 스턱스넷을 통해 SCADA가 얼마나 유효한 표적이 될 수 있는지 확인한 공격자들이 관련 공격을 2012년에는 더욱 활발히 할 수 있을 가능성이 높다고 한다. 보안업계는 이에 대비한 보안 전략을 수립할 필요가 있다고 경고했다.

4. 소셜엔터프라이즈 등장에 따른 보안 위협성 대두

기업이 소셜미디어의 가치를 깨달으면서 이를 자사 솔루션과 결합한 소셜엔터프라이즈를 내놓고 있다. 이는 새로운 사업 기회도 제공하지만 동시에 데이터 유출이나 악성코드 감염 같은 위험도  내포한다. 기존 애플리케이션과 소셜미디어의 결합을 통해 온라인에 공개되는 개인정보의 양이 많아지면서 이를 노린 공격자들이 증가할 것으로 보인다.

이 과정에서 중소기업은 공격자들이 공략하기 쉬운 대상이 될 전망이다. 지금까지 상당수 공격자들이 대기업 중심으로 공격이 진행돼 왔지만, 이제는 중소기업 온라인뱅킹 계정에 접근하는 등 소셜미디어 관련 보안 공격에서 안전한 기업은 없어지는 추세다.

5. 창의적인 보안 공격 등장도 무시 못해

앞으로 공격자들이 온라인 광고와 같은 합법적인 수단으로 가장해 수익을 올리는 사례가 늘어날 것으로 보인다. 많은 웹 트래픽이 안전한 연결을 통해 전송되지만 인증기관 역시 해킹될 수 있기 때문이다.

이러한 새로운 위협에 대응하기 위해 기업은 네트워크 성능의 저하 없이도 SSL을 스캔할 수 있는 능력을 갖춰야 한다. 또한 브라우저의 자물쇠 표시와 녹색창에만 의존할 것이 아니라 안전하고 신뢰할 수 있는 브라우저 연결을 표시하기 위한 방법을 찾을 필요가 있다고 지적했다.

범죄조직이 인터넷을 통해 대규모 컴퓨터 감염이나 스팸 발송 혹은 DDoS 공격 등 불법 유해 서비스를 제공하는 ‘CaaS’(Crime as a Service)의 등장도 눈여겨 볼 필요가 있다. 보안 업체는 2012년에는 기업 혹은 국가가 배후에 있고 특정 목표에 최적화된 전략적 CaaS가 발생할 것으로 분석했다.

2012년 보안 위협 요소를 전망한 업체들은 공통적으로 2012년에도 대기업에 대한 대규모 공격이 계속될 것으로 보인다고 밝혔다. 악성코드 감염과 해킹을 통해 기업의 데이터가 유출 사고는 이어질 수 있기 때문에 이에 대한 철저한 대비가 요구된다.

전수홍 블루코트코리아 지사장은 “내년에도 보안 위협들은 빠르고 역동적으로 진화할 것으로 예상되는데 기업의 소중한 지적 자산 보호 및 이미지 손상을 방어하기 위해서는 무엇보다 통찰력과 선제적인 대응 전략이 중요하다”라며 “기업 IT 담당자에겐 2012년 보안 위협 전망을 미리 살펴보는 것만으로도 보안 전략 수립에 큰 도움이 될 것”이라고 말했다.

오사마 빈라덴, 마이클 잭슨, 스티브 잡스 사망 등 전세계적으로 이슈가 되는 유명 인사들의 소식을 이용해 악성코드가 유포되는 사례는 이전부터 있었다. 신뢰할 수 있는 사람으로 가장해 다른 사람들로 하여금 자신의 목적을 위해 행동하도록 만드는 ‘사회공학기법’은 악성코드 유포에 가장 흔하게 사용되는 수단이다. 김정일 국방위원장 사망 사건 역시 악성코드 유포자라면 놓칠 수 없는 이슈다.

이번에 김정일 국방위원장 사망 관련 소식으로 위장한 악성코드들의 위험 수준은 그리 높지 않다. 그럼에도 불구하고 주의가 요구되는 이유는 전파 속도가 빠르기 때문이다. 박태환 안철수연구소 시큐리티대응센터(ASEC) 대응팀장은 “김정일 국방위원장 사망과 관련해 등장한 악성코드들의 경우 심각한 피해를 유발하지는 않지만, 사람들이 쉽게 접할 수 있는 환경이 마련된다는데 문제가 있다”라고 말했다.

사람들은 굉장히 유명한 사회적 이슈에 대해 관심과 호기심을 갖기 마련이다. 악성코드 유포자들을 이같은 사용자들의 단순 클릭 행위를 악용해 개인정보를 가로채거나, 국가산업기반망을 무너뜨리는 공격을 감행할 수 있다.

박태환 대응팀장은 “유명인사가 죽거나 국가적으로 큰 행사가 있을 때 이를 이용한 악성코드의 등장 빈도가 평상시보다 2배 이상”이라고 말했다. 그리고 이렇게 악성코드를 통해 수집된 정보들은 러시아, 중국 등을 통해 돈만 있으면 손쉽게 거래된다고 한다.

악성코드 자체도 문제지만 사회적 이슈와 결합돼 배포가 빨리 이뤄지기 때문에 더 큰 주의가 필요하다.

이번에 김정일 위원장 사망 관련 발견된 악성 코드는 대략 6~7종류다. 그 중 현재 활발히 유통되고 있는 악성코드는 다음과 같다. 김정일 위원장의 사망 관련 동영상을 보여주는 것처럼 위장해 PC에 악성 소프트웨어를 몰래 설치하는 불법 광고 프로그램과 김정일 사망관련 소식을 전하는 e메일 뉴스로 위장해 사용자의 PC를 좀비로 만드는 화면보호기 파일 등이다.

불법 광고 프로그램은 유튜브 동영상으로 위장해 단축 인터넷주소(URL)을 클릭하면 김정일 국방위원장 사망 관련 소식을 볼 수 있는 것처럼 유도한다. 사용자가 동영상을 보려고 해당 URL을 클릭하면 동영상을 시청하기 위한 ‘Setup.exe’ 파일을 설치할 것을 권유한다. 멋모르고 프로그램을 설치하면 사용자의 인터넷 익스플로러에 광고용 툴바가 생기면서 악성코드가 설치된다. 이렇게 설치된 악성코드는 익스플로러의 시작 페이지를 특정 웹사이트로 변경하고 사용자가 입력하는 검색 키워드들을 가로채 특정 시스템으로 전송한다.

e메일은 해당 메일에 첨부된 ‘Brief introduction of Kim Jong-il.pdf’를 실행하면 김정일 위원장의 사망 관련 기사를 읽을 수 있는 것처럼 유도한다. 사용자가 PDF 파일을 실행시키면 실제로 김정일 위원장의 사진과 함께 그의 일생을 담고 있는 내용을 볼 수 있다. 하지만 PDF 파일이 실행됨과 동시에 사용자가 모르는 화면보호기 작동에 사용되는 ‘abc.scr’이 설치된다.

설치된 화면보호기 파일은 시스템 사용자 모르게 다른 파일인 ‘GoogleUpdate.exe’을 감염시킨다. 이렇게 생성된 악성코드는 시스템의 인터넷 접속 여부를 확인하기 위해 구글 웹 사이트로 접속을 반복적으로 수행한다. 그 다음 역접속을 통해 실행 중 프로세스 확인‧강제종료, CMD 셀 명령 수행, 파일 업‧다운로드‧삭제 등 악성코드 유포자가 지정한 명령들을 실행한다.

어제 블로터닷넷에서 ‘애플 ‘아이폰5’의 5가지 관전포인트‘라는 기사를 내보냈습니다. 

그런데 기사 내용 중 애플 발표와 관련된 생중계 사이트 링크가 포함돼 있었습니다. 액티브X 이름 자체를 다음의 팟인코더처럼 교묘하게 위장 처리했습니다. 이와 관련된 파일을 안철수연구소 측에 보냈고 조사 결과 이 사이트가 악성코드를 유포하는 곳으로 밝혀졌습니다. 안철수연구소측은 “정밀 분석 결과 악성코드가 맞다. 외부와 교신해 다른 파일을 설치한다. 관련 파일을 삭제해야 한다”고 전해 왔습니다.

이와 관련해서 해당 사이트에서 생중계를 보신 블로터닷넷 독자분들의 경우 아래와 같은 방법으로 관련 파일을 제거해주시기 바랍니다. 좀더 확인하고 링크를 달았어야 했는데 그러지 못했습니다. 거듭 사과 말씀 드립니다.

아래 내용은 해당 글을 쓰신 필자분이 보내온 글입니다.

일단 생중계 사이트에 크롬, 사파리, 파이어폭스로 접속하신 분들은 크게 상관이 없을 수 있으나 혹 에드온 기능이나 크롬플러스의 인터넷 익스플로러 모드로 접속하신 분들은 문제가 될 수 있습니다. 가장 문제는 인터넷 익스플로러로 접속하셔서 액티브X를 설치하신 분들이십니다.

다음의 내용은 클리앙 사이트에서 aaa님이 작성해주신 내용을 기반으로 했으며, 사이트 주소는 http://clien.career.co.kr/cs2/bbs/board.php?bo_table=park&wr_id=8341784이니 먼저 확인을 하시기 바랍니다.

그리고 이 문제에 대해 적극적으로 알리기 위해 새벽까지 이찬님의 페이지에 알리는 등의 노력해 주신 페이스북의 스머프 플릭으로 유명하신 강대희님께 감사의 말씀을 드립니다.

1. 악성코드 설치 여부 확인 방법
악성코드가 설치되었는지 확인하는 방법은

- Ctrl + Alt + Del를 같이 눌러서 나타난 화면에서 작업 관리자를 실행합니다.
(윈도우XP의 경우 작업관리자가 바로 나타나며, 윈도의 7의 경우 여러가지 나타나는 메뉴 중
작업관리자를 선택하면 됩니다)

-  Windwos 작업 관리자 화면에서 [프로세스] 탭을 클릭하고 [이미지 이름] 중에 [rfmon.exe]가 있는지 확인합니다.

-  만약 실행되고 있지 않다면, 악성코드가 설치되지 않은 것이며, 실행되고 있다면 다음의 과정을 통해 수동 혹은 백신프로그램 등을 통해 액티브X를 삭제합니다.

2. 악성코드 수동 삭제 방법 (수동)

2-1.  우선 인터넷익스플로어의 모든 창을 닫습니다.

2-2. 해당 Active X 비활성화
- 원도우키 -> [보조프로그램] -> [명령프롬프트] 선택 후 마우스 오른쪽 버튼을 눌러 나타나는 메뉴에서 [관리자 권한으로 실행]을 클릭

- 명령프롬프트 창에서 regsvr32 “C:\Windows\Downloaded Program Files\DaumPotenter.ocx” /u  입력후 엔터

2-3.  다음 경로의 파일을 삭제합니다.
- 탐색기를 통해 C:\Windows\Downloaded Program Files\폴더로 이동하셔서 daumpotenter 관련 파일 삭제

- 혹은 인터넷익스플로어에서 [도구]-[인터넷 옵션]의 [일반]탭의 [검색기록] 항목에서 [설정] 클릭 -> [개체보기]를 선택해서 나타나는 창에서 daumpotenter 관련 파일 삭제

2-4. 윈도우 시작프로그램에서 삭제
-  윈도우키 + R키를 눌러 [실행]을 실행시킨 후, msconfig 입력
- [시작프로그램] 탭에서 DaumPotenter 나 rfmon.exe로 되어있는 것을 삭제

3. 백신 프로그램 이용하는 방법 (무료 백신 기준)
최근의 무료로 배포하는 백신 프로그램의 경우 ActiveX를 삭제하는 기능을 대부분 제공합니다.
국내에서 가장 많이 사용되는 2개의 백신을 기준으로 AcitveX를 삭제하는 방법은 다음과 같습니다.

3-1. 알약을 사용하는 경우
-  알약을 실행시킨 후 [PC 최적화] – [PC관리] 선택
- [IE관리]-[ActiveX]에서 DaumPotenter 선택 후 삭제
- [부팅관리]-[시작프로그램]에서 DaumPotenter 나 rfmon.exe 삭제

3-2.  V3 Lite를 사용하는 경우
- V3 Lite를 실행시킨 후 [PC튜닝]-[PC관리]-[ActiveX관리]-DaumPotenter 선택 후 삭제
- V3 Lite의 경우 시작프로그램을 관리할 수 있는 메뉴가 없어, 위에서 언급한 msconfig를 활용

IBM은 10월1일(현지기준) ‘2011 중순 X포스 보안 동향과 위험 보고서’를 통해 “기업들이 모바일 기기들은 자사 근무 환경에 도입하기 시작하면서, 관련 보안 위험이 전년대비 약 2배 정도 증가했다”라고 밝혔다.

최근 기업은 스마트폰과 태블릿을 통해 직원들이 언제 어디서든 근무할 수 있는 환경을 구축하고 있다. 스마트폰을 통해 회사 e메일 서버에 접속하고 전자 결재를 도입하는 등 클라우드 컴퓨팅과 가상화를 이용해 회사뿐만 아니라 그 어디에서도 근무가 가능한 환경을 제공하고 있다.

IBM은 이런 근무 환경의 변화가 편리함과 생산성을 향상시켰을지는 모르지만 동시에 보안 위험도 높아졌다고 지적했다. 스마트폰이나 태블릿을 겨냥한 악성코드가 등장하고, 이들 모바일 기기를 통해 사내 서버가 감염되는 경우가 종종 발생한다는 것이다.

톰 크로스 IBM 위협 인텔리전스 전략 매니저는 “최근 몇 년 동안 모바일 관련 악성코드가 빠른 속도로 증가하고 있다”라며 “기업들이 이를 대비하지 않은 채 스마트 오피스 환경을 꿈꾸면, 나중에 큰 보안 위협을 당할 수도 있을 것”이라고 말했다.

보고서에 따르면, 스마트폰을 사용하는 고객들이 늘어나면서 모바일 기기를 감염시켜 수익을 창출하는 해커들이 부쩍 늘어났다. 이들 해커들은 문자 메시지나 애플리케이션을 통해 기기를 감염시키거나 개인정보를 추출해 피싱 공격이나 신분 도용에 주로 사용한다. 감염된 기기를 이용해 도청, 감시, GPS를 이용한 추적 등 기기 주인의 움직임을 추적하고 모니터링하는 사례로 빈번해졌다.

이렇게 악성코드의 감염된 기기가 벌일 수 있는 보안 사고는 스파이 영화 뺨치는 수준이다. 예를 들어 감염된 스마트폰을 가진 기업 임원이 회의에 참석해 나눈 대화나 제품 관련 전략 등이 충분히 노출될 수 있다고 IBM은 경고했다.

모바일 기기의 경우 PC처럼 회사용과 개인용의 사용 경계가 명확하지 않다. 개인 기기로 업무를 보기도 하고, 사내 기기를 사적인 용도로 쓰는 직원도 적잖다. 이처럼 ‘자신의 장치를 가지고 접근’한다는 점에서 기업의 보안 위험은 더욱 높아질 수 밖에 없다.

크로스 매니저는 “직원들이 수시로 자신의 모바일 기기에 백신 프로그램을 설치해서 악성코드의 유입을 막거나, 회사 차원에서 모바일 기기의 접근을 중요한 데이터서버에는 제한하는 식으로 보안 대책을 마련할 필요성이 있다”라고 강조했다.

이날 IBM은 아시아 태평양 지역에 고급 보안 연구소를 세우겠다고 발표했다.

침투진단 서비스로 알려진 보안전문업체 큐브피아 권석철 대표는 9월16일 긴급기자간담회를 열고 전국 각지에서 갑자기 발생한 대규모 정전 사태에 대해 “좀비PC 같은 악성코드에 의한 사이버 공격이 이번 정전사태에 원인이 될 수 있다”라고 주장하고 나섰다.

이는 지식경제부와 한국전력공사, 전력거래소 등이 해명한 내용과 상반된 것이다. 이들 기관들은 15일 오후 2시쯤, 서울 일부지역과 인천, 용인 천안 등 전국 각지에서 갑자기 발생한 대규모 정전에 대해 “9월 중순 이상 고온으로 전력 수요가 높아지면서 지식경제부와 한국전력이 세운 전력 수급계획이 빗나갔고, 이에 따라 예비전력이 부족해지면서 순환정전이 실시됐기 때문”이라고 설명한 바 있다.

이 상황에서 권석철 대표는 “이번에 발생한 전국규모의 정전사태에 대한 원인은 정부에서 공식 발표한 전력과부하로 인한 전력량 측정오류 이외에 특정 세력에 의한 사이버 공격도 원인이 될 수 있다”라는 새로운 의견을 들고 나온 것이다.

현대카드, 농협, SK커뮤니케이션즈 등 계속되는 해킹에 명확한 출처가 드러나지 않은 가운데 권석철 대표는 꽤 구체적인 증거를 들어 설명했다.

그는 “중국의 해킹 동향을 파악하던 중 9월3일 국내에서 운영되고 있는 국내 서버의 특정 IP를 중국의 한 해킹 관련 사이트에서 발견했는데, 알고보니 이 사이트는 고창에 위치한 전력시험센터였다”라며 “전력시험센터 서버에 백도어로 접속해 해킹하는 동영상도 찾을 수 있었다”라고 설명했다.

사진 : 해킹동영상을 캡처한 장면

권석철 대표가 공개한 동영상에 따르면 전력시험센터 서버 운영체제는 윈도우2003을 사용중이었고, 외부로 원격접속 포트가 노출돼 방화벽 없이 손쉽게 접속이 가능한 상태였다. 즉 해커들이 손쉽게 국내 전력시험센터에 접속할 수 있는 모습이었다.

물론 전력시험센터는 국내 전력제어시스템(전력 SCADA)과 직접 연결돼 있지는 않다. 하지만 권석철 대표는 “해당 전력시험센터 서버를 감염시켜 원격제어로 국내 스카다망에 들어갈 가능성이 높다”라며 “악성코드 감염에 의한 대규모 정전 사태 유발 가능성도 어느정도 있다”라고 설명했다.

권 대표는 이런 사태를 방지하기 위한 해결책으로 다소 극단적이고 비현실적인 대책을 들고 나왔다.

권석철 대표는 “다분히 비현실적인 해결책이지만, 온 국민의 PC를 일시에 포맷해야 한다”라며 “지속되고 있는 해킹사고에 대한 일시적인 관심, 사건 발생에 대하여 의도적으로 축소하려는 사회적인 경향에 대해 문제의 심각성을 인식하고, 기간산업 제어 시스템에서 발생할 수 있는 더 큰 해킹사고 예방을 위해 사전에 위험 요소를 파악하고 제거하기 위한 전수 검사를 신속히 실시해야 한다”라고 말했다.

권석철 대표는 “국정원쪽에 이런 사실을 9월5일께 제보했다”고 덧붙였다. 그러자 국정원쪽은 9일 “해당 IP는 전력 제어망하고 직접적으로 연결되어 있지 않으며, 이에 따른 조치는 충분히 취했다”라는 답변을 보냈다고 한다.

이와 관련해 블로터닷넷이 국정원쪽에 사실관계 확인을 요청하자 “이번에 발생한 정전과 큐브피아가 제보한 내용은 연관 가능성이 전혀 없다”라는 답변이 돌아왔다. 한국전력공사와 전력거래소 등에도 전력시험센터 서버 감염에 의한 정전 가능성에 대해 묻자 “해당 주장은 처음 듣는 소리며, 아직 공식적인 입장이 나오지 않았고, 관계부처와의 협의가 끝난 후에 알려주겠다”라고 말했다.

한편, 스카다(SCADA)는 사회기반 사업 시설을 제어하기 위한 시스템으로 이미 스턱스넷(Stuxnet) 악성 코드에 대한 위험성이 국내 보안적 이슈로 널리 알려진 바 있다. 이 시스템이 악의적인 공격자에 의해 사이버 테러를 당할 경우 통신, 수력, 화력, 전력, 건설, 자동차, 에너지 시설에 대한 직접적인 피해 뿐만 아니라 치명적인 인명피해도 발생할 수 있다.

안철수연구소 시큐리티대응센터(ASEC)가 집계한 결과 작년 8월부터 발견되기 시작해 올해 들어 본격 증가하는 추세다. 지난해 하반기에 발견된 안드로이드 악성코드가 7개인 데 비해 올해 상반기에는 110개, 하반기 들어서는 7월 한 달 동안에만 107개가 발견돼 가파르게 급증하는 상황이다.

현재까지 발견된 안드로이드 악성코드의 증상은 위치 정보, 단말기 정보 등 개인 정보를 유출하는 행위가 가장 많다. 다음으로 원격 조종을 통한 통화와 SMS 발송으로 무단 과금하는 형태, 정상 애플리케이션(이하 앱)을 변조해 악성코드 설치 코드를 추가하는 형태가 적지 않은 비중을 차지한다.

또한 2010년까지는 러시아에서 개발된 것으로 추정되는 악성코드가 많았으나 최근엔 중국에서 개발된 것으로 추정되는 악성코드가 많다.

안철수연구소 시큐리티대응센터 이호웅 센터장은 “스마트폰은 PC와 달리 이동성과 개인화가 특징인 만큼 개인 정보 유출이나 금전적인 피해에 노출되기 쉽다. 안드로이드 마켓에 올라오는 앱은 바로 설치하지 말고 평판을 지켜본 후 안전하다고 판단되면 설치하는 것이 좋다. 또한 공식 마켓이 아닌 써드 파티 마켓은 사용을 자제하는 것이 좋다”라고 당부했다.

한편, 안철수연구소는 안드로이용 보안 애플리케이션인 ‘V3 Mobile for Android (V3 모바일 안드로이드)’를 삼성전자 ‘갤럭시’ 시리즈를 비롯해 LG전자, 모토로라, 팬택의 스마트폰에 공급 중이다. 또한 V3 Mobile+는 50여 은행과 증권사에도 공급돼 스마트폰 금융 거래 시 악성코드 유입과 작동을 방지한다.

안드로이드 운영체제를 노린 악성코드가 폭발적으로 증가하고 있기 때문이다. 오픈소스의 장점과는 별개로 개방성의 약점이 점차 나타나고 있는 것.

안철수연구소는 최근 안드로이드 기반 스마트폰을 노리는 악성코드가 폭발적으로 증가해 사용자의 주의가 필요하다고 밝혔다.

안드로이드 기반 악성코드는 지난 2010년 하반기부터 본격적으로 발견되기 시작해 올해들어 폭발적으로 증가하고 있는 추세다. 안연구소에 따르면 2010년 하반기에 발견된 주요 안드로이드 악성코드가 16개인 데 반해 올해 상반기(6월 7일 기준)에는 무려 74개가 발견돼 약 5배의 증가세를 보였다.

이는 유해한 악성코드라고 보기 힘든 의심파일을 제외한 수치이며, 대부분 안드로이드 마켓에서 퇴출되거나 빠른 백신대응으로 아직 국내 피해사례는 신고되지 않았다.

이호웅 안철수연구소 시큐리티대응센터(ASEC)장은 “안드로이드 악성코드는 그 특성상 애플리케이션을 다운로드 받을 때 대부분 설치되며, 한번 설치되면 사용자 몰래 악성 행위가 진행되기 때문에 사용자가 피해사실을 인지하기가 매우 힘들다”라며, “따라서 사용자는 공인 마켓이 아닌 서드 파티 마켓에서 애플리케이션을 다운로드할 때 더욱 주의가 필요 하며, 다운로드 전 반드시 평판을 확인하거나 최신 버전의 스마트폰 전용 보안제품을 사용해 진단 후 실행하는 것이 좋다” 고 말했다.

최근 발견되는 안드로이드 악성코드의 주요 경향은 다양한 악성기능이 복합된 형태가 많고, PC용 악성코드와 유사한 형태가 등장했다는 것이다. 먼저, 대부분의 안드로이드 악성코드가 사용자 몰래 위치 정보나 단말기 정보 등 개인 정보를 유출하는 기능이 있고, 원격조종 기능과 이를 이용한 통화와 SMS 발송으로 무단 과금하는 기능, 사용자 동의 없이 루트권한을 얻는 강제루팅 기능 등이 복합되어있는 것으로 드러났다.

다음으로, PC용 악성코드와 비슷한 형태가 등장하고 있다. 최근 정상 애플리케이션인 것처럼 배포하여 설치 및 실행을 유도한 뒤 해당 애플리케이션이 실행되면 내부에 가지고 있는 악성코드를 설치하는 악성 앱이 발견 된바 있는데, 이는 PC에서 자주 발견되는 ‘드롭퍼(Dropper)’와 유사한 방식이다. 또한, ‘드로이드드림(DroidDream)’과 같이 예전에 퇴출되었던 악성코드가 다시 등장하는 경우도 발생했다.

이처럼 안드로이드 기반 악성코드가 증가하는 것은 안드로이드 마켓의 경우 검수 절차가 없고, 또한 사설 마켓인 서드파티 마켓(third party market)도 활성화되어 있어 악성프로그램을 퍼뜨리기가 상대적으로 수월하기 때문이다.

구글은 공식 모바일 블로그를 통해 “안드로이드 마켓에 악성코드에 감염된 앱이 올라온 것을 발견하고 이를 삭제했으며, 악성코드 앱을 개발한 개발자들의 계정도 중지시켰다”라며 “만약 사용자의 기기가 악성코드에 감염됐다면 ‘android-market-support@google.com’에서 보내는 e메일을 받게 되며, ‘Android Market Security Tool March 2011′이 설치됐다는 알림이 단말기에 나타날 것”이라고 전했다. 구글이 이같이 원격에서 감염된 기기를 ‘치료’하는 동안 사용자는 아무것도 할 필요가 없다.

악성코드에 감염된 앱은 안드로이드 기기의 시스템 루트에 접근하는 권한을 가진다. 기기의 고유번호나 시리얼 번호뿐만 아니라 사용자 개인정보에도 접근할 수 있다. 하지만 구글은 “국제이동단말기식별번호(IMEI)만 유출됐을 뿐 개인정보나 사용자 계정 같은 중요한 정보는 유출되지 않은 것으로 보고 있다”고 밝혔다.

한편 악성코드에 감염된 것으로 드러난 앱은 50여개가 넘는 것으로 드러났다. 대부분 성인을 대상으로 하는 이름의 앱이 많지만 ‘Advanced file manager’, ‘Advanced App to SD ‘등과 같이 인기 있는 앱과 비슷한 이름을 사용하는 앱도 있어 이를 정상적인 앱과 착각해 내려받은 사용자도 많은 것으로 보인다. 구글은 악성코드에 감염된 앱을 안드로이드 마켓에서 삭제했다고 밝혔지만 이미 26만건 이상 내려받기를 기록한 것으로 보고 있다.

이번 구글의 원격치료 조치로 감염된 기기 대부분을 치료할 수 있을 것으로 보인다. 하지만 이는 안드로이드 시스템 취약성을 해결하는 근본적인 방법은 아니라는 데 문제가 있다. 이번 악성코드 사건으로 인해 안드로이드 시스템의 취약성이 만천하에 드러났기 때문이다. 안드로이드 운영체제의 보안 문제는 구글이 앞으로 해결해야 할 중요한 숙제로 남은 셈이다.

페이스북의 쪽지로 악성코드를 유포하는 단축 URL이 전달되고 있어 각별한 주의가 요구된다. 이는 2010년 8월 초부터 영국 등지에서 유포된 형태와 유사하며 우리나라에서는 처음 대량 유포되고 있다.

페이스북 쪽지로 ‘Aloha’ ‘:-D’ ‘Hello’ 등의 메시지와 함께 단축 URL이 전달되는데, 이 URL을 클릭하면 동영상을 볼 수 있는 웹 페이지로 접속된다. 여기서 동영상을 보기 위해 코덱(Codec)을 설치하라고 메시지가 뜨는데, 이때 해당 프로그램(setup902674.exe)을 설치하면 ‘Windows Security Alert’라는 가짜백신 등의 파일이 잇달아 다운로드된다. 또한 등록된 친구들에게도 동일한 메시지가 전파된다.

자신이 사용하는 페이스북 계정으로 등록된 친구들에게 허위 메시지 등이 지속적으로 전달되면 애플리케이션 목록을 확인해 본인이 직접 설치하지 않았거나 의심스러운 애플리케이션을 삭제해야 한다. 삭제 방법은 [계정]->[어플리케이션 설정]에서 나오는 목록에서 X마크를 클릭해 ‘~을 삭제할까요?’라고 묻는 창에서 ‘제거’를 클릭하면 된다.

안철수연구소 전성학 시큐리티대응센터장은 “최근 SNS 사용자가 급증함에 따라 이를 겨냥한 악성코드 유포가 적지 않다. 페이스북이나 트위터 등을 통해 전달된 의심스러운 URL 또는 단축 URL 등은 발신인에게 확인 해보고 클릭하는 것이 좋다. 또한 특정 애플리케이션이 페이스북 계정의 권한을 요구할 때는 필요한 애플리케이션인지 다시 한번 확인하고 설치하는 것이 안전하다”라고 당부했다.

이와 같은 사실을 전한 한 보안업체는 쉬프트웍스로 이 회사는 지난해 7월 7일 있었던 분산 서비스 거부(DDoS) 공격 당시 북한발 소행이 아니냐는 루머가 돌 때 미국에 있는 서버에서 공격 명령이 내려졌다고 파악하고 공개할 정도로 실력을 갖춘 화이트 해커들로 구성된 회사다.

이들이 만든 모바일 백신 ‘브이가드’는 미래에셋과 동양종합금융증권 등 10여 개 증권사들의 안드로이드 앱에 함께 탑재돼 있다. 브이가드는 알려진 악성코드들을 잡아낼 뿐만 아니라 IMEI나 USIM 시리얼번호, IMSI 정보 등을 수집하는 애플리케이션을 발견할 경우 사용자에게 경고메시지를 보내는 것이 특징이다.

그런데 이러한 정보를 수집하는 안드로이드 앱이 한두 종이 아니다 보니, 사용자들은 증권사 앱을 실행할 때마다 수많은 경고메시지를 보게 된다. 상황이 이렇다 보니 일부 사용자들은 브이가드가 정상적인 앱도 무더기로 악성 앱으로 진단해 보안 위험을 부풀리는 것이 아니냐며 불만을 표시하기도 한다. 보안 위협이 있는 것으로 지적된 앱 개발업체들도 이러한 분위기에 편승해 “(브이가드가) 정상 앱을 위험파일로 감지해 악성으로 진단한다”라며 공격에 나서고 있는 상황이다. 자신들이 수집하는 정보에 대해서는 제대로 된 공지도 안하거나 법적인 문제가 불거질 수 있는 부분에 대해서는 함구한 채 책임을 이 업체로 돌리는 업체들도 등장하고 있다.

단말기 고유번호를 수집하는 앱에 대한 경고의 메시지를 보내는 브이가드가 문제인가, 아니면 과도하게 단말기 정보를 수집하는 100여 종이 넘는 안드로이드 앱이 문제인가? 구체적으로 문제를 살펴보기 전에 IMEI와 IMSI 등 관련된 용어에 대해 먼저 알아보자.

IMEI(International Mobile Equipment Identity, 국제 모바일 단말기 인증번호)는 3G 방식에서 단말기가 어느 제조사의 어느 모델인지를 알아볼 수 있는 고유 번호이며, IMSI(International Mobile Subscriber Identity : 국제 모바일 가입자 인증번호)는 USIM에 내장돼 통신사가 가입자 개인을 식별하는데 사용하는 번호로 국제 표준으로 사용되고 있다.

2G 시절에는 ESN(Electronic Serial Number : 전자식 고유 번호)이 이와 유사한 역할을 했다. 그런데 ESN이 유출돼 수많은 브릿지폰(도·감청의 목적으로 제작되는 복제 전화기)이 등장하면서 3G부터는 IMEI와 IMSI를 통해 단말기 정보와 사용자 정보를 분리해서 사용하고 있는 것이다.

이처럼 복제폰이 사회적 문제로 떠오르면서 정부는 2004년 통신비밀보호법에 단말기 고유번호를 보호하는 조항을 신설했다. 통신비밀보호법 제3조 3항은 “누구든지 단말기기 고유번호를 제공하거나 제공받아서는 아니된다. 다만, 이동전화단말기 제조업체 또는 이동통신사업자가 단말기의 개통처리 및 수리 등 정당한 업무의 이행을 위하여 제공하거나 제공받는 경우에는 그러하지 아니하다”고 명시하고 있다.  제 17조에는 “(단말기기 고유번호를 제공하거나 제공받은 자에 대해) 3년 이하의 징역 또는 1천만원 이하의 벌금에 처한다”라는 처벌 조항도 마련돼 있다.

통신비밀보호법은 ‘단말기기 고유번호’를 이동통신사업자와 이용계약이 체결된 개인의 이동전화 단말기기에 부여된 전자적 고유번호”라고 정의하고 있다. 그런데 그 동안 ESN으로 일원화돼 있던 단말기 고유번호가 6년이라는 시간이 흐르면서 IMEI와 IMSI로 변화됐다. USIM에 저장된 정보만 해도 IMSI부터 USIM 시리얼번호, 국가 정보 등 한 두 가지가 아니다.

문제는 여기서 발생한다. 이렇게 수많은 정보 가운데 통신비밀보호법이 말하는 ‘단말기기 고유번호’의 영역은 과연 어디까지 해당하는 것일까. IMEI나 IMSI, USIM 시리얼 넘버 등을 서버로 수집하는 여러 안드로이드 앱은 과연 처벌 대상일까 아닐까.

주무부처인 방송통신위원회에서 통신비밀보호법 관련 업무를 담당하는 김미정 통신경쟁정책과 사무관에게 이와 같이 단말기의 고유번호를 수집하는 안드로이드 앱에 대한 입장을 물었다. 그 역시 “통신비밀보호법이 말하는 단말기 고유번호는 과거의 개념”이라고 말하면서 “현재는 가입자 정보와 단말기 정보가 분리돼 있기 때문에 IMEI는 단순 기기번호로 볼 수 있다. 통신비밀보호법의 취지를 놓고 봤을 때, IMEI를 수집하는 것만으로 법률에 저촉된다고 보기는 어렵다”는 입장을 밝혔다.

그러나 그는 “IMEI와 함께 USIM에 있는 정보를 가져가는 경우는 문제가 발생할 소지도 있다”며 “앞으로 더 검토가 필요할 것으로 보인다”며 명확한 입장 표명에 대해서는 유보했다. 법률적으로 타툼이 발생할 소지가 충분한 상황이기 때문인 듯 보인다.

그의 의견대로 현재 IMEI 정보만을 가져갈 경우 복제폰을 만드는 것은 사실상 불가능하지만 악용될 여지는 충분하다. 일례로 해외에서 수입한 단말기를 전파인증을 받지 않고 IMEI 번호를 변경해 국내 통신사의 USIM을 꽂아서 사용하는 방식으로 악용될 가능성이 있다. 국내 통신사의 휴대폰 인증 방식이 IMEI 화이트리스트 기반이기 때문이다.

이상돈 오범코리아 책임애널리스트는 “과거 ESN은 복제폰 문제가 빈번하게 발생하는 등 보안 수준이 떨어졌지만 이를 악용할 수 있는 기술 수준도 높지 않았다”라며, “3G 환경으로 넘어오면서 휴대폰의 보안 수준이 많이 높아졌지만, 이를 악용할 수 있는 기술도 고도화됐고, 스마트폰에서 각종 애플리케이션이 사용되면서 악용할 수 있는 사례도 다양화 됐다”고 우려의 목소리를 전했다.

그는 “사후약방문식으로 조치하는 것이 아니라 현재 기술 수준에서 일어날 수 있는 가능성에 대해 충분히 조사해 통신비밀보호법 등 관련 법률을 보다 구체화하는 작업이 필요한 시점”이라는 의견을 피력했다.

앞으로 스마트폰 애플리케이션에서 수집하는 단말기와 개인 정보의 경우, 어떤 정보가 어떠한 목적으로 수집되는지 더욱 상세히 공지할 필요가 있을 것으로 보인다. 합법적인 정보를 가져가는 경우라도 사용자들의 허가와 동의를 거쳐 사전에 인지할 수 있도록 하는 과정이 중요하다. 이와 함께 수집된 정보가 어떻게 보관되고 유출되지 않도록 관리할 수 있는 가이드 라인을 제공하는 것도 중요하다. 특히  안드로이드 기반 스마트폰이 국내에서 200만 대 이상 판매된 상황이기 때문에 앱 개발사들의 무분별한 개인정보 수집은 시장 확산에 걸림돌이 될 수도 있다.

무엇보다 중요한 것은 주무부처의 역할이다. 이상돈 애널의 의견처럼 국내 통신비밀보호법도 이에 맞춰 보다 정교하게 개정될 필요도 있다. 스마트폰이 아직 도입단계인 만큼 악성코드나 단말기 고유정보 유출에 대한 기준이 모호한 상황이다. 이 때문에 시장에서 혼란이 발생하고 있다.

법률적인 해석과 별도로 특정 애플리케이션이 굳이 IMEI 등 고유정보를 수집할 필요가 있느냐 하는 것은 여전히 의문이다. 지난달 네이트온이 MAC 주소와 컴퓨터이름을 수집하겠다고 공지해 수많은 이용자들을 들끓게 했던 사례가 떠올른다. 적지않은 안드로이드 앱이 MAC 주소 이상으로 악용될 우려가 높은 IMEI 정보 등을 수집한다는 사실을 알게됐을 때, 과연 사용자들은 이를 눈뜨고 바라보기만 할까.

방송통신위윈회가 운영하는 스마트폰 정보보호 민․관 합동대응반은 최근 해외(영국)에서 ‘무단으로 국제전화를 시도해 이용자에게 이용요금을 부과시킬 수 있는 윈도우 모바일 기반 스마트폰 악성코드’가 발견된 것과 관련하여 국내 유포여부를 점검(4.16.~20.)했으며, 그 결과 일부 가입자들의 스마트폰이 해당 악성코드의 피해유형과 유사한 증상을 나타내어 긴급 대응조치를 취하였다고 밝혔다.

이번 피해는 국내 모 블로거가 자신의 블로그에 중국의 애플리케이션 스토어인 판다앱닷컴(www.pandaapp.com)의 모바일 게임인 ‘3D 안티 테러리스트 액션’을 링크해 놓고 다운받아 사용하면서 발생한 문제로, 악성코드인 ‘트레드다이얼(TredDial)’이 어떤 경로로 이 게임에 삽입됐는 지는 파악하지 못한 것으로 알려졌다.

민관 합동대응반에 따르면 현재 국내 스마트폰 가입자 약 162만여명 중 6개 번호로 국제전화가 시도된 이용자는 총 155명으로 조사됐으나 해당 스마트폰의 국제전화 발신 제한 설정, 비실효적 번호 등의 사유로 통화가 이루어지지 않아 실제 과금 피해사례는 없는 것으로 확인되고 있다고 밝혔다.

처음 보고한 KT에 따르면 “쇼옴니아 2 사용자 중 17명 정도가 피해를 입었는데 모두 조치를 했다”고 밝혔다.

감염됐을 경우 삼성전자 윈도우 모바일 스마트폰 사용자는 http://kr.samsungmobile.com/index.do에, LG 전자 LG-SU210, LG-KU2100, LG-LU2100 모델 사용자는 http://www.cyon.co.kr/lgcyon/common/jsp/download_sw.jsp?filename=AMS_Setup.exe에 접속해 안철수연구소의 V3 Moblie을 내려받아 진단/치료하면 된다.

또한 그 외 다른 스마트폰 사용자는 전용백신을 안철수연구소(http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?webVaccBoardsVo.seq=96)에서 내려받아 검사/치료하면 된다. 아울러 평소 사용하지 않는다면 국제전화 발신 금지 기능을 설정해두는 것이 좋다.

안철수연구소  시큐리티대응센터 조시행 상무는 “이는  국내 최초의 스마트폰 악성코드 첫  피해 사례이다. 향후 이와 유사한 사례가  발생할 수 있으므로 애플리케이션을  설치한 후 실행 전에 악성코드를  검사하는 등 주의가 필요하다”라고  강조했다.

시만텍코리아는 1일 강남 파이낸스센터 본사에서 기자간담회를 열고, 시만텍 리서치랩에서 개발하고 있는 시만텍 모바일 평판 보안(이하 SMRS, Symantec Moblie Reputation Security) 기술을 선보였다. 산타누 고쉬 시만텍 인도지역 제품 총괄 부사장(사진)이 화상 연결을 통해 시만텍 리서치랩에서 개발 중인 SMRS의 프로토타입을 시연했다.

고쉬 부사장은 안드로이드 환경에서 사용자가 애플리케이션을 설치할 때 해당 애플리케이션의 평판과 신뢰도 수준, 애플리케이션 사용자 수 등의 정보를 제공하는 SMRS 클라이언트의 프로토타입을 시연했다. 신뢰도가 낮은 애플리케이션을 설치하려고 하면 바로 설치화면으로 넘어가지 않고 사용자에게 경고 메시지를 보여준다.

이통사나 플랫폼 제공업체 등 앱스토어 운영자가 활용할 수 있는 관리 프로그램도 선보였다. 화이트리스트와 블랙리스트를 활용해 애플리케이션을 관리하는 것은 물론 특정 신뢰도 기준을 설정하면 그 이상의 신뢰도를 갖춘 애플리케이션만 유통될 수 있도록 제한할 수 있다.

이미 유통되고 있는 애플리케이션의 경우에도 보안 문제가 발견되면 원격으로 애플리케이션을 제거하거나 네트워크 트래픽을 차단할 수 있도록 해준다.

평판 기반 보안 기술은 노턴 인터넷 시큐리티 2010에 처음 채용됐던 기술로, 처음 보거나 잘 알려지지 않은 파일과 애플리케이션이 등장했을 때 과연 신뢰하고 사용해도 되는지를 다른 사용자들의 평판을 통해 확인한다는 개념이다. 시그너처나 휴리스틱, 행위기반 탐지 등 기존 보안 기술을 보완하기 위한 시만텍의 신기술이다.

시만텍의 노턴 사용자 커뮤니티 회원, 소프트웨어 개발자, 기업고객 등 3천 5백만 명에 달하는 소스를 통해 데이터를 수집하고, 수십 가지 속성(파일 생성시간, 파일 다운로드 소스, 디지털 시그니처, 파일 확산 등)을 고려한 평판 통계 알고리즘으로 데이터를 분석해 안전성 및 신뢰성에 대한 평판 정보를 제공한다.

블랙리스트나 화이트리스트에 등록되어 있지 않은 파일들에 대해서도 컴퓨터 사용자, 커뮤니티, 보안기업들이 지속적으로 제공하는 정보를 수집해 평판 정보를 공유할 수 있다는 것이 강점이다. 알려지지 않은 보안 위협에 대해 크라우드 소싱 방식으로 대처하겠다는 것.

고쉬 부사장은 “2010년에는 스마트폰 출하량이 PC 출하량을 넘어설 것으로 예상된다”며, “기존의 평판 기반 보안 기술을 모바일에 적용한 SMRS 기술을 통해 이통사는 애플리케이션의 신뢰도를 관리할 수 있고, 사용자들은 보다 안전하면서도 원할하게 스마트폰을 사용할 수 있을 것”이라고 말했다.

한편, 이날 선보인 SMRS 기술은 프로토타입 수준으로 아직 구체적인 출시 일정은 정해지지 않았다. 시만텍코리아 측은 현재 개발 중인 ‘노턴 스마트폰 시큐리티 for 안드로이드’부터 적용될 가능성이 높다고 전했다. 향후 국내외 이통사 등을 통해 애플리케이션 관리 솔루션으로 활용될 가능성도 있다.

마이크로소프트는 22일 공식 보안 패치를 내놓으면서 피해를 최소화하기 위해 노력하고 있다. 하지만 이것만으로 악성코드에 대응책을 마련해 놨다고 볼 수 없다. 이에 안철수연구소는 인터넷 사용자들이 피해를 막기 위한 지켜야 할 필수 보안 수칙을 공개했다.

첫째, MS사가 제공하는 MS10-002 보안 패치를 반드시 설치한다. 이를 위해 자동 업데이트를 항상 실행한다.

둘째, 신뢰하지 않는 웹사이트 접속을 가급적 삼가고, 신뢰하지 않은 사용자에게 온 메일이나 웹사이트는 방문하지 말아야 한다.

셋째, 해킹, 바이러스, 스파이웨어 등을 종합적으로 막아주는 통합 백신을 하나 정도 설치해둔다. 설치 후 항상 최신 버전의 엔진으로 유지하고 부팅 후 보안 제품이 자동 업데이트되도록 하고 실시간 검사기능이 항상 작동하도록 설정한다

넷째, 윕사이트 방문 시 안철수연구소가 제공하는 위험 사이트 차단 무료 서비스인 ‘사이트가드’를 사용해 자신의 PC 시스템을 보호한다.

다섯째, 웹 서핑 때 ‘보안경고’ 창이 뜰 경우에는 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의하는 ‘예’를 클릭한다. 잘 모르는 프로그램을 설치하겠다는 경고가 나오면 ‘예’ ‘아니오’ 중 어느 것도 선택하지 말고 창을 닫는다.

한편, 현재까지 발견된 공격은 모두 특정 메신저와 이메일을 통해 악의적인 웹 사이트로 접속을 유도하는 타깃 공격이었다. 그러나 앞으로는 검색 엔진 최적화(SEO; Search Engine Optimization)를 악용하거나 소셜네트워킹서비스(SNS) 사이트의 댓글 등 다양한 방법으로 악의적 웹사이트에 접속하도록 유도하는 형태가 등장할 것으로 예측된다.

안연구소에 따르면 ‘미스리 메신저’가 설치된 PC는 메신저 로그인 이후 서비스 업데이트 공지와 함께 메신저 프로그램이 멈추는 등의 장애현상이 발생한다. 일부 PC에서는 장애 현상 이후 시스템 중단과 재부팅 등 바이러스 감염증상이 발견되기도 했다.

안연구소는 “미스리 메신저의 장애현상은 2가지 악성코드(Win-Trojan/ADS.13328, Win-Trojan/AvKiller.36864)가 설치되면서 피해가 발생한 것”이라고 설명했다. 또한 “응용프로그램 오류를 유발하는 이번 악성코드들은 잠재적으로 또 다른 해킹된 URL에 의해 전파 될 수 있다”며 사용자의 각별한 주의를 당부했다.

안철수연구소는 해당 악성코드를 최신 V3 백신 제품군에 반영하여 배포했으며, ADS악성코드에 대해서는 전용백신을 긴급제작해 별도 배포했다고 전했다. 미스리 관련 악성코드 감염이 의심스러운 사용자는 반드시 V3를 최신 엔진으로 업데이트하고, 안연구소의 전용백신 다운로드 페이지에서 ADS 전용백신(64번 항목)을 다운받아 별도로 설치해야 한다.

세계 최대 규모의 IT 전문블로그 기즈모도(gizmodo.com)가 악성코드에 감염됐다며 주의를 당부하는 공지를 올렸다. 기즈모도는 2002년 출범, 현재 하루 방문자만 3백만명이 넘는 유명 팀블로그다. 국내에서도 블로거들을 중심으로 매니아 독자층을 확보하고 있다.

기즈모도가 27일(미국 현지시각) 밝힌 공지에 따르면 기즈모도의 일부 광고에서 해커가 심어놓은 악성코드가 발견됐다. 기즈모도는 현재 조치를 취하고 있지만, 윈도우 PC 사용자라면 특히 악성코드가 감염될 수 있으니 주의해달라고 당부했다.

기즈모도에 따르면 사이트 방문시 팝업광고가 보인다면, 자신의 PC에 ‘qegasysguard.exe’ 파일이 설치됐는지 점검해야 한다.

이에앞서 설치형 블로그 툴로 세계적으로 가장 많은 사용자를 확보하고 있는  워드프레스(Wordpress.org)도 최근 보안 결함을 이용한 해커의 공격 위험성이 높다며 최신 버전으로 업그레이드할 것을 권고했다.

워드프레스는 미국에서만 6천만명, 세계적으로 2억개 이상의 사이트가 사용하고 있는 오픈소스 기반의 블로그 소프트웨어다.

최근 보안 업체들은 웹 사용자들이 늘어나면서 악성코드 감염에 걸리는 이용자들이 많아지고 있는 상황을 어떻게 하면 줄일 수 있을지 고민하고 있다. 안철수연구소가 사이트가드 서비스를 출시하고 나선 것도 바로 이런 경향 때문이다.

글로벌 보안 업체인 시만텍은 소프트웨어와 서버를 결합한 어플라이언스 제품을 제공하면서 이런 고객들이 문제를 해결하겠다고 나섰다. 시만텍이 ‘웹 게이트웨이(Web Gateway)’ 신제품을 출시했다. 웹 게이트웨이 어플라이언스는 시만텍 백신 엔진 등 다계층 멀웨어 차단 기술을 기반으로 포괄적인 보호를 제공해 봇넷과 다양한 웹 2.0 보안 위협으로부터 고객의 IT 환경을 안전하게 보호한다.

이 제품은 시만텍이 인수한 Mi5네트웍스의 웹게이트웨이 기술에 백신 엔진 등 다계층 악성코드 분석·차단 기술을 결합해 새로 개발된 제품으로 델의 서버 위에 가동된다. 시만텍은 소프트웨어에 집중하고 하드웨어는 델에게서 공급받는 모델을 이번 제품 출시에도 고수하고 있는 것.

웹 게이트웨이 장비는 내부 파이어월과 연동해 기업 내부 사용자들이 웹 서핑을 할 때 생길지도 모르는 악성 코드 감염이나 도박과 같은 특정 사이트에 접속하지 못하도록 지원한다. 웹 방화벽이 웹서버의 공격을 막는 것과는 정 반대의 역할을 하는 것으로 보면된다.

관련 분야는 블로코트나 아이런포트를 인수한 시스코 등이 관련 장비를 선보이고 있다.

시만텍에 따르면 2008년 한해동안 전세계적으로 월 평균 2억 4천 500만 건 이상의 악성코드 공격 시도가 탐지되었으며, 대다수의 공격이 웹을 통해 발생한 새로운 유형의 보안 위협으로 나타났다. 또한 시만텍은 상위 100대 사이트 중 60%, 합법적인 사이트 중 75%에서 멀웨어가 발견됐지만 이러한 보안 위협으로부터 인터넷 게이트웨이를 보호하는 곳은 30% 미만에 불과하다고 밝혔다.

‘시만텍 웹 게이트웨이’는 실시간 트래픽 검사 엔진을 바탕으로 악성코드가 네트워크 환경을 감염시키는데 악용되는 주요 경로들을 안전하게 차단해 기업 핵심 정보의 가용성을 보장해 주는 동시에 각종 보안 위협과 업무 중단으로부터 기업의 비즈니스 환경을 안전하게 보호해 준다.

뿐만 아니라 한층 강화된 다계층 보호기능으로 부적절하거나 악의적인 사이트, 액티브 콘텐츠, 애플리케이션 파일 다운로드등에 대한 포괄적인 보호 기능을 제공하며, 웹 리포팅과 경고 시스템, 전사적으로 유연한 정책 수립 과 통제가 가능한 것이 이점이다.

시만텍코리아 윤광택 이사는 “시만텍이 제공하는 인터넷 위협 보고서를 보면 악성코드에 감염되는 대부분의 경우가 웹을 활용할 때”라고 전하고 “국내에서는 4분기부터 고객에게 판매할 것”이라고 밝혔다.

1천명의 사용자를 기준으로 그 이하는 SWG 8450, 그 이상 고객들은 SWG 8490 모델을 구매하면 된다.

한편, 이번 제품 출시로 인해 시만텍과 델의 협력 모델도 관심을 끈다. 앞서 밝힌대로 시만텍은 소프트웨어를 제공하고 델은 시만텍이 원하는 하드웨어 부품들을 활용해 관련 서버를 제공한다. 만약 서버에 문제가 생기면 델코리아에서 서비스를 받을 수 있는 등 고객에 대한 지원 문제도 이미 협력하고 있다. 다른 업체들이 전용 어플라이언스를 출시하고 있는 것과 비교하면 각자의 장점을 최대한 결합시켜 시너지를 창출하겠다는 전략을 엿볼 수 있다.

2008년 12월 시만텍(Symantec)이 발표한 ‘2009년 주요 보안 전망’ 예측대로 올 상반기에는 담보대출 관련 사기와 미취업자를 노린 구인광고 위장 스팸메일 등을 통한 피싱과 사기피해가 증가한 가운데 악성코드 변종의 폭발적 증가, 소셜 네트워크(SNS)에 대한 보안 위협, 웹기반 위협의 발전 등 금전적 이득을 목적으로 하는 보안 위협이 갈수록 정교해지고 조직화되고 있는 것으로 나타났다.

새로운 악성코드 변종의 폭증

시만텍에 따르면 지난해에 이어 올 상반기에도 전세계적으로 월 평균 2억 4천 5백만건 이상의 악성코드 공격 시도가 탐지됐으며, 대다수의 공격이 웹을 통해 발생한 새로운 유형의 보안위협이었다.

해커들은 소수의 위협요소를 광범위하게 배포하는 기존 방식에서 수백만 가지의 위협요소를 소규모로 배포하는 공격방식으로 전환하고 있다. 이러한 새로운 종류의 악성코드는 파일공유와 이메일, 이동식 저장장치 등과 같은 다양한 경로를 통해 확산되면서 각기 다른 개별적 악성코드들을 무수히 발생시킨다.

이처럼 새롭게 등장하는 보안 위협으로 인해 휴리스틱(heuristics), 행위기반과 평판 기반의 보안 모델과 같이 기존 기술들을 보완할 수 있는 새로운 탐지기법의 필요성이 대두되고 있다.

경제 위기를 악용한 보안 위협

2009년 상반기에는 전세계적인 경제 위기를 틈타 이를 악용한 수많은 새로운 보안 공격이 발생했다. 지난해 시만텍이 예상했던 대로 ‘재택근무’ 사기뿐 아니라 구인 게시판 등을 겨냥하는 새로운 변종들이 등장했으며, 주택담보 대출자를 대상으로 하는 주택 관련 사기와 미취업자를 대상으로 한 스팸메일 사기 등도 지속적으로 증가하고 있는 것으로 나타났다.

소셜 네트워크에 대한 보안 위협

소셜 네트워크 사이트에 대한 피싱 등의 보안 위협도 증가한 것으로 나타났다. 일례로 최근 인기있는 한 소셜 네트워크 사이트에 피싱 공격자들이 계정을 만들고 이를 이용해 다른 사용자 계정 정보를 탈취하는 사례가 보고됐으며, 블로깅 사이트에 게임을 올려두고 참가자들에게 게임의 일부인 것처럼 개인정보를 요구해 탈취한 사례도 있었다.

소셜 네트워크 사이트에 대한 보안 위협은 앞으로도 더욱 증가할 것인 만큼 개인 및 기업들은 이러한 위협에 대해서 더욱 주의를 기울여야 한다고 시만텍은 조언한다.

스팸의 증가

2008년 시만텍은 대규모 스팸 유포의 근원지이었던 웹 호스팅 업체 맥콜로(McColo)의 서비스 중단 전후 48시간 동안 스팸의 양이 65% 정도 감소했지만, 2009년에는 전체 메일에서 스팸이 차지하는 비중이 75~80% 수준으로 다시 높아질 것으로 예측한 바 있다.

2009년 6월 초 미국연방통신위원회(FTC)는 악명높은 ISP 중의 하나인 프라이스워트(Pricewert)를 폐쇄하도록 연방법원을 설득해 임시제지명령을 내렸는데, 이는 보안 전문가들이 사이버범죄에 맞서기 위해 어떻게 협력할 수 있는지를 보여준 모범 사례라 할 수 있다.

하지만 이 같은 폐쇄조치에도 불구하고 지난 6월 전체 이메일에서 스팸 메시지가 차지하는 비중은 평균 90%에 달한 것으로 나타났다. 한편, 최근 스패머들이 애용하는 메시지로는 마이클 잭슨 자살, 신종감기, 이탈리아 지진 등으로 나타났다.

진화된 웹 기반 위협

웹 기반 보안 위협이 증가하고 있는 가운데 최근에는 공격자들이 합법적인 웹사이트를 조작해 일반 방문자들을 악성 콘텐츠를 유포하는 사이트로 유도해 감염시키는 형태의 공격들이 주를 이루고 있다. 이 같은 감염 방식 중 하나가 사용자 몰래 또는 허락 없이 악성 컨텐트를 사용자 컴퓨터로 다운로드 시키는 ‘드라이브 바이 다운로드(drive-by download)’이다.

소셜 네트워킹 환경을 통해 유명 도메인을 공격하는 웹 기반 공격도 주의를 기울일 필요가 있다. 최근 잘 알려진 공격 중 하나는 소셜 네트워킹 사이트 가짜 초대장에 대량 메일발송 웜을 첨부해 보내는 것이다. 기타 공격 유형들로는 악성 자바스크립트나 패치를 설치하지 않은 브라우저 대신 플러그인 애플리케이션과 크로스사이트 스크립팅 취약성을 이용하는 공격 유형들이 증가하고 있는 것으로 나타났다.

한편, 2009년 상반기에 부각된 주요 보안 이슈로는 과거 보안공격 기법의 재등장과 함께 사이버보안에 대처하기 위한 업계 전체의 공동대응 노력과 실제 비즈니스 거래를 모방해 방문자를 현혹하는 허위/위장 공격의 증가 등을 들 수 있다.

2009, 과거 보안 공격 기법의 재등장

2009년 상반기 중 가장 최근에 대대적으로 알려진 공격들을 살펴보면 과거에 사용된 공격 기법을 채용한 것이 특징이다. 소셜 네트워크를 통해 꾸준히 확산되고 있는 ‘쿱페이스(Koobface)’ 웜이나 최근 몇 년간의 보안 공격 중에서 가장 복잡하고 광범위하게 확산된 공격으로 꼽히고 있는 컨피커(Conficker) 웜에서 채용된 공격기법은 과거 대규모로 유포됐던 코드레드(CodeRed)나 님다(Nimda) 공격에서 사용된 공격기법을 사용하고 있는 것으로 나타났다.

최근의 보안 공격은 개인정보 도용, 가짜 안티바이러스 배포, 스팸 유포와 같이 금적적인 목적으로 행해진 것들이 대부분이다. 최근 한국과 미국 웹사이트에 대해 DDoS공격을 유발한 악성코드 ‘도저(Trojan.Dozer)’도 악의적인 목적을 가지고 있었다. 과거의 보안 공격기법은 최근의 공격 위협에서도 다시금 등장하고 있기 때문에, 전통적인 탐지 방식과 이를 보완하는 평판 기반의 보안 모델을 접목한 이른바 ‘다계층(multi-layered) 방어’ 체제를 구축하는 것이 중요하다.

사이버보안에 대처하기 위한 업계 전체의 협업 확대

보안 공격들이 점점 더 정교해짐에 따라 폭넓은 위협에 재빨리 대처하기 위한 업계간 협력도 더욱 공고해 지고 있다. 2009년 2월에는 산학연 협의체인 컨피커 워킹그룹이 설립돼 컨피커 웜의 위험성을 알리고 전세계적인 공동대응 방안을 마련하기 위해 노력하고 있다.

또한 보안 연구자들, ICANN(국제인터넷주소관리기구)와 DNS 내 운영자들과 공동으로 몇몇 업계 벤더들은 컨피커 웜이 겨냥한 도메인을 무력화하는 대응방안을 마련하기도 했다. 날로 심각해지는 보안 위협에 대응하기 위한 산학연과 정부기관의 협업 노력은 앞으로도 계속 이어질 전망이다.

실제 비즈니스 거래를 모방해 방문자를 현혹하는 허위 공격

보안 공격은 갈수록 정교해지고 조직적인 양상을 띄고 있는데, 최근에는 실제 비즈니스 거래까지 그대로 모방해 사용자들을 현혹시키고 있다. 주로 플래시 형태로 유포되는 악성 광고(malvertisements)는 방문자를 가짜 웹 페이지로 유도하고 있는데, 주류 비주류 웹 사이트에 상관 없이 모두 이러한 공격에 취약한 실정이다.

일명 ‘스캐어웨어(scareware)’ 또는 가짜 안티바이러스 프로그램으로 알려진 ‘허위 알림/위장 애플리케이션(misleading application)’은 컴퓨터의 보안 상태에 문제가 있다고 알려 사용자가 실제 존재하지 않거나 허위로 날조된 보안 위험을 제거하기 위해 가짜 보안 소프트웨어를 구입하도록 한다.

스캐어웨어는 실제로는 존재하지도 않는 악성코드에 감염되었다는 허위 시스템 알림을 통해 사용자를 속이고, 결국에는 이를 치료할 수 있다는 가짜 소프트웨어를 구매하는 주문 페이지로 사용자를 유인하고 있다.

시만텍코리아 윤광택 수석 컨설턴트는 “전세계 경제 위기를 틈타 금전적 이득을 목적하는 하는 각종보안 위협의 규모와 피해 정도가 갈수록 커지고 있다”며, “이러한 경향은 앞으로도 더욱 심해질 것인 만큼 보안 위협으로부터 소중한 정보를 안전하게 보호, 관리하기 위해 기업 및 개인 사용자는 새로운 보안 이슈에 항상 관심을 갖고 최선의 대응 방안을 강구해야 한다”고 강조했다.