안철수연구소는 2월9일 ‘파일 시스템 검사 장치 및 방법, 이 방법을 수행하는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체’와 ‘악성코드 진단 및 치료 장치 및 그 방법’에 대해 국내 특허를 획득했다고 발표했다.

출원번호 10-2009-0134842 ‘파일 시스템 검사 장치 및 방법, 이 방법을 수행하는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체’는 전체 검사 시간을 줄이면서 검사 신뢰도를 높이는 파일 시스템 검사 기술이다. 파일 시스템을 검사할 때 파일 단위로 검사하는 기존 검사와 달리 폴더 내 파일 변경을 파악해 변경된 파일만 검사한다.

출원번호 10-2010-0036775 ‘악성코드 진단 및 장치 및 그 방법’은 데이터 기반 진단-치료와 코드 기반 진단-치료의 장점이 접목된 기술이다. 일반적으로 악성코드 진단은 각 악성코드 파일의 패턴 데이터를 추가해 진단하는 데이터 기반 진단-치료 장치와, 진단-치료 코드를 작성해 엔진에 추가하는 코드 기반 진단-치료 장치로 구분된다. 이번 특허는 악성코드 대응을 더욱 신속하게 하면서, 백신 엔진의 안정성을 보장하고, 변종 악성코드 진단 성능을 높일 수 있다.

이 기술은 현재 V3 제품군은 물론 네트워크 보안 솔루션인 트러스가드 제품군에 탑재돼 있다.

안철수연구소는 ‘파일 시스템 검사 장치 및 방법, 이 방법을 수행하는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체’ 기술에 대해서는 V3 제품군에 탑재된 클라우드 컴퓨팅 개념 신기술인 ‘스마트 디펜스’에 적용할 예정이라고 밝혔다.

스마트 디펜스는 악성코드에 대한 모든 데이터를 엔진 업데이트를 통해 PC로 내려받은 뒤 PC에서 처리하던 기존 방식과 달리 대규모 파일 정보 DB를 중앙 서버에서 관리한다. PC에 설치돼 있는 스마트 디펜스 엔진에서 파일의 악성 여부에 대해 문의하면 이에 대해 응답하는 방식이다.

안철수연구소는 이번 국내 특허 취득으로 신종 악성코드에 대한 사전 대응력을 높이고, V3의 엔진 사이즈를 가볍게 할 수 있으며, 오진을 최소화할 수 있을 것으로 기대하고 있다.

안철수 서울대 융합과학기술대학원 원장은 보유한 안철수연구소 지분의 절반을 출연한 공익재단 ‘안철수재단’(가칭) 설립 계획을 서울 프레스센터에서 기자간담회를 열고 2월6일 발표했다. 지난해 11월14일 안철수연구소 직원에게 e메일로 약속한 내용을 지키는 첫 걸음인 셈이다.

안철수재단이라는 이름은 가칭이며, 2월6일부터 16일까지 임시 웹사이트(http://www.ahnfoundation.org)에서 공모를 진행해 이름을 확정할 계획이다. 서류 절차는 재단 이름이 정해진 이후에 진행될 예정이다.

아직 이름도 없지만, 재단 운영 방침은 이미 정해졌다. 안철수 원장은 소셜네트워크를 활용해 재단을 비영리 기부 플랫폼을 운영하는 것으로 윤곽을 잡았다. 안철수 원장의 전공인 IT를 재단 운영의 바탕으로 둔 셈이다.

안철수 원장은 “기부에 관심을 가진 지는 오래 됐으며, IT 분야에 전문성이 있다보니 해외에서의 동향에 굉장히 관심이 많았다”라며 “3, 4년 전 IT 쪽에 소셜네트워크가 등장하며 첨단 기술을 사회활동에 적극적으로 접목하고 도입해 굉장히 많은 성과를 거두는 모델이 등장하기 시작했는데 한국은 아직도 기부문화와 첨단 IT와 소셜네트워크가 활발하게 접목되는 쪽이 부족했던 것 같다”라며 재단을 기부플랫폼으로 만든 계기를 설명했다.

앞으로 진행 단계와 사업 구상을 살펴보자. 일단, 이달 내로 재단 설립을 위한 서류 절차를 마무리하면 재단은 ▲일자리 창출 기여와 ▲교육 지원 ▲세대간 재능 기부 3가지 사업을 중점적으로 추진할 계획이다. 먼저 일자리 창출 기여는 사회적기업 창업자를 선발해 일정기간 사무실을 무상으로 임대하거나 컨설팅과 교육을 통해 창업을 지원하는 인큐베이팅 사업으로 이루어질 예정이다. 이와 함께 사회적기업을 양성하는 교육 프로그램도 함께 추진된다.

교육 지원은 공동체를 위해 헌신한 사람과 사회적 약자의 자녀를 대상으로 사업으로 구체적인 방식은 계획 중에 있다. 세대간 재능 기부는 정보 격차를 해소하기 위한 교육 프로그램으로 마련된다. 이 사업은 노년층은 젊은이에게 경험을 나누고 젊은이는 재능을 기부해 소통이 단절된 세대간의 격차를 풀고 싶다는 게 재단의 설명이다.

이 중 먼저 실천할 수 있는 한 가지부터 시작하여 단계적으로 추진하겠다고 재단은 설명했다.

안철수 원장이 참고한 기부 플랫폼은 코지즈(http://www.causes.com)와 키바(http://www.kiva.org)이다. 키바와 코지즈는 설립된 지 100년이 넘는 사회활동 단체보다 더 활발하게 활동을 하는 것으로 평가받는 곳이다. 국내에 이와 비슷한 사이트로는 사회단체 활동에 대한 후원 사이트 ‘소셜펀치’가 있다.

이 중 키바는 미국의 비영리 마이크로파이낸싱 사이트로, 도움이 필요한 사람들은 이곳에 자기가 필요한 사항을 직접 올린다. 이를 보고 도와주고 싶은 사람은 자기가 도울 수 있는 만큼 돈을 대출해주는 식으로 기부한다. 키바에서 기부 받은 사람은 얼굴도 모를 사람에게 받은 돈을 되갚는다. 안철수 원장은 “키바는 1달러를 기부하면 8번 순환하여 8달러를 기부한 효과가 있는 곳”이라며 “키바의 일일 방문객은 적십자사의 하루 방문자보다 많다”라고 말했다.

또한 “키바는 사람들의 신용을 담보로 돈을 대출하고 돈으로 상환받는 돈의 선순환이 이루어지는 곳이라면, 재단은 희망을 담보로 기회를 대출하고 가치로 돌려받는 가치 선순환 구조를 만들겠다”고 안철수 원장은 다짐했다.

안철수 원장은 두 사이트를 참고하며 수평적인 기부 문화 조성에 주목한 눈치이다. 구체적인 사업부문과 운영방식을 공개되지 않았지만, 수혜자가 적극적으로 자기에게 필요한 부분에 대한 아이디어를 제안해 양방향적이고 수평적인 나눔을 실현하고자 한다고 재단쪽은 설명을 보탰다.

재단은 서류 작업과 운영위원을 꾸리기 전 이사진을 먼저 구성했다. 이사장은 박영숙 한국여성재단 고문이 맡으며 고성천 삼일회계법인 부대표와 김영 사이넥스 대표, 윤연수 KAIST 기술경영전문대학원 교수, 윤정숙 아름다운재단 상임이사가 재단 이사로 참여한다. 공식 출범은 서류작업이 끝나는 4월께 진행될 예정이며, 안철수 원장이 보유한 주식 처분은 이달 중으로 이뤄져 재단 사무실도 곧 마련될 계획이다. 당분간 재단은 안철수연구소 사회공헌팀의 사무 공간을 빌려 쓰게 된다.

안철수 원장은 2014년께 재단을 공익법인에서 성실공익법인으로 전환해 재단의 투명성을 높일 계획이다. 성실공익법인은 운용소득의 80% 이상을 공익 목적으로 사용하고 출연자나 특수 관계자가 이사의 5분의 1을 초과하지 않는 공익법인을 말한다.

한편, 안철수 원장은 박원순 시장과 사전 협의를 거친 것 아니느냐는 질문에 “사전 교류는 없었다”라며 “나는 우리 사회의 긍정적인 발전을 위해 어떤 것을 하는 게 좋을지 평생을 끊임없이 고민하며 살아온 사람이다. 그런 연장선상에서 봐주길 바란다”라며 재단 설립에 대한 정치적 해석에 대해 선을 그었다.

2월3일(현지기준) 구글은 코드네임 ‘바운서’라는 서비스를 선보인다고 발표했다. 이 서비스는 안드로이드마켓에 올라오는 앱이 악성코드를 포함하고 있는지를 탐지한다. 히로시 록하이머 구글 안드로이드 엔지니어링 수석 부사장은 “매년 안드로이드를 탑재한 기기가 250% 증가하면서 안드로이드 생태계가 급격하게 확장되고 있는 가운데, 어떡하면 보다 나은 안드로이드마켓을 선보일 수 있는지 고민하기 시작했다”라며 “보안을 좀 더 강화할 필요가 있다고 느껴 이번 서비스를 준비하게 됐다”라고 말했다.

▲ 사진 출처 플리카 ‘.RGB.’ CC BY

지난해 안철수연구소는 안드로이드 기반 스마트폰 악성코드가 급증하고 있다며 사용자들에게 주의를 당부한 바 있다. 시만텍도 ‘안드로이드 악성코드 공격 동기’ 백서를 출간하면서 안드로이드 기기를 노리는 공격 수법이 기하급수적으로 증가할 것으로 전망했다. 구글은 이번에 선보이는 서비스가 안전한 안드로이드마켓을 만드는데 기여할 것으로 기대하고 있다.

이날 공개된 바운서는 총 3단계에 거쳐 앱을 분석하고 보안 위험 여부를 탐지한다. 안드로이드마켓에 새로운 앱이 등장하면 악성코드, 스파이웨어, 트로이목마 같은 의심스러운 행위를 포함하고 있는지 분석한다. 그런 다음 이 앱이 어떻게 작동할 것인 예상되는 행동과 실제 이 앱이 작동하는 과정을 비교해 숨어 있는 악성코드는 없는지 살펴본다. 그리고 새로운 개발자 계정을 조사해 과거 악성코드를 유포한 경력이 있는 개발자가 이름만 바꿔 다시 앱을 출시한 것은 아닌지 조사한다. 각 과정에서 탐지된 악성코드를 포함한 앱은 차단, 삭제 조치된다.

구글은 애플 앱스토어나 윈도우 마켓플레이스 같은 앱 사전등록 심의는 하지 않을 것이라 밝혔다. 안드로마이드마켓의 원래 취지대로 개발자들이 앱을 자유롭게 만들어서 올릴 수 있는 환경을 고수했다.

그 대신 모의 시뮬레이션을 통해 보안 기능을 강화한다는 계획이다. 록하이머 수석 부사장은 “안드로이드마켓에 올라온 앱은 구글 클라우드 인프라에서 실행시킨 다음 해당 앱이 안드로이드 기기에서 어떻게 작동하는지를 살펴본다”라며 “구글은 앱과 개발자 계정 정보를 갖고 있기 때문에 분석이 가능하다”라고 설명했다.

본격적인 서비스 출시에 앞서 구글은 한동안 안드로이드마켓에 ‘바운서’ 서비스를 실험했다. 그 결과 지난해 1분기와 2분기에 발생한 악성 앱의 다운로드 횟수가 기존 대비 40% 줄어든 효과를 봤다고 전했다. 구글은 당분간 이 서비스를 통해 기존에 올라온 앱을 분석할 예정이다. 록하이머 수석 부사장은 “악성 앱 개발자를 원천적으로 차단할 순 없지만, 사용자 피해는 최소화할 수 있을 것으로 보고 있다”라고 말했다.

이번 구글의 서비스에 대해 기즈모도는 “바운서가 위장 앱과 같은 날이 갈수록 발전하는 악성코드를 차단할 수 있을지는 의문이 든다”라며 “그럼에도 불구하고 안드로이드 사용자에게는 이번 구글의 조치가 반가운 소식인 것은 분명하다”라고 말했다.

오사마 빈라덴, 마이클 잭슨, 스티브 잡스 사망 등 전세계적으로 이슈가 되는 유명 인사들의 소식을 이용해 악성코드가 유포되는 사례는 이전부터 있었다. 신뢰할 수 있는 사람으로 가장해 다른 사람들로 하여금 자신의 목적을 위해 행동하도록 만드는 ‘사회공학기법’은 악성코드 유포에 가장 흔하게 사용되는 수단이다. 김정일 국방위원장 사망 사건 역시 악성코드 유포자라면 놓칠 수 없는 이슈다.

이번에 김정일 국방위원장 사망 관련 소식으로 위장한 악성코드들의 위험 수준은 그리 높지 않다. 그럼에도 불구하고 주의가 요구되는 이유는 전파 속도가 빠르기 때문이다. 박태환 안철수연구소 시큐리티대응센터(ASEC) 대응팀장은 “김정일 국방위원장 사망과 관련해 등장한 악성코드들의 경우 심각한 피해를 유발하지는 않지만, 사람들이 쉽게 접할 수 있는 환경이 마련된다는데 문제가 있다”라고 말했다.

사람들은 굉장히 유명한 사회적 이슈에 대해 관심과 호기심을 갖기 마련이다. 악성코드 유포자들을 이같은 사용자들의 단순 클릭 행위를 악용해 개인정보를 가로채거나, 국가산업기반망을 무너뜨리는 공격을 감행할 수 있다.

박태환 대응팀장은 “유명인사가 죽거나 국가적으로 큰 행사가 있을 때 이를 이용한 악성코드의 등장 빈도가 평상시보다 2배 이상”이라고 말했다. 그리고 이렇게 악성코드를 통해 수집된 정보들은 러시아, 중국 등을 통해 돈만 있으면 손쉽게 거래된다고 한다.

악성코드 자체도 문제지만 사회적 이슈와 결합돼 배포가 빨리 이뤄지기 때문에 더 큰 주의가 필요하다.

이번에 김정일 위원장 사망 관련 발견된 악성 코드는 대략 6~7종류다. 그 중 현재 활발히 유통되고 있는 악성코드는 다음과 같다. 김정일 위원장의 사망 관련 동영상을 보여주는 것처럼 위장해 PC에 악성 소프트웨어를 몰래 설치하는 불법 광고 프로그램과 김정일 사망관련 소식을 전하는 e메일 뉴스로 위장해 사용자의 PC를 좀비로 만드는 화면보호기 파일 등이다.

불법 광고 프로그램은 유튜브 동영상으로 위장해 단축 인터넷주소(URL)을 클릭하면 김정일 국방위원장 사망 관련 소식을 볼 수 있는 것처럼 유도한다. 사용자가 동영상을 보려고 해당 URL을 클릭하면 동영상을 시청하기 위한 ‘Setup.exe’ 파일을 설치할 것을 권유한다. 멋모르고 프로그램을 설치하면 사용자의 인터넷 익스플로러에 광고용 툴바가 생기면서 악성코드가 설치된다. 이렇게 설치된 악성코드는 익스플로러의 시작 페이지를 특정 웹사이트로 변경하고 사용자가 입력하는 검색 키워드들을 가로채 특정 시스템으로 전송한다.

e메일은 해당 메일에 첨부된 ‘Brief introduction of Kim Jong-il.pdf’를 실행하면 김정일 위원장의 사망 관련 기사를 읽을 수 있는 것처럼 유도한다. 사용자가 PDF 파일을 실행시키면 실제로 김정일 위원장의 사진과 함께 그의 일생을 담고 있는 내용을 볼 수 있다. 하지만 PDF 파일이 실행됨과 동시에 사용자가 모르는 화면보호기 작동에 사용되는 ‘abc.scr’이 설치된다.

설치된 화면보호기 파일은 시스템 사용자 모르게 다른 파일인 ‘GoogleUpdate.exe’을 감염시킨다. 이렇게 생성된 악성코드는 시스템의 인터넷 접속 여부를 확인하기 위해 구글 웹 사이트로 접속을 반복적으로 수행한다. 그 다음 역접속을 통해 실행 중 프로세스 확인‧강제종료, CMD 셀 명령 수행, 파일 업‧다운로드‧삭제 등 악성코드 유포자가 지정한 명령들을 실행한다.

안철수 서울대 융합기술대학원장이 자신이 보유하고 있는 안철수연구소 지분 50%를 기부하겠다고 나선 가운데 안철수연구소도 사회공헌 활동 확대에 뜻을 같이 하고 나섰다. 안철수 원장의 주식 기부와는 상관없이 안철수연구소가 독자적으로 사회공헌 활동을 확대하겠다는 얘기다.

안철수연구소는 12월1일 경기도 판교 사옥에서 “고객에게 받은 사랑, 고객에게 다시 돌려주는게 당연하다”라며 사회공헌전담팀을 통해 사회공헌 활동에 본격적으로 나서겠다고 발표했다. 김홍선 안철수연구소 대표는 “세대별, 계층별, 글로벌 사회공헌 활동 프로그램을 통해 내년 1분기께 가시적인 활동을 보여줄 예정”이라며 “아름다운가게 등 기존에 진행하고 있던 활동은 강화하면서 실버스쿨, 사회공헌 아카데미 신설 등 새로운 프로그램을 통해 체계적이고 지속가능한 사회공헌 활동을 보여주겠다”라고 말했다.

이날 발표 자리에는 안철수 원장도 함께해 안철수연구소의 사회공헌 활동을 지지했다. 안철수 원장은 “안철수연구소의 사회공헌 활동은 무료 백신을 보급하기 시작한 1988년부터 시작했다고 생각한다”라며 “대표 자리에서 물러난 지 7년이 되어가지만, 안철수연구소의 훌륭한 경영자들이 계속해서 사회공헌 활동에 뜻을 이어오고 있는 것에 대해 기쁘다”라고 말했다.

이를 위해 안철수연구소는 기존 커뮤니케이션팀에서 실시하던 사회공헌 업무를 별도의 독립부서인 사회공헌전담팀을 신설해 진행할 계획이다. 새로운 사회공헌전담팀은 이르면 이달말에 완료돼 관련 예산을 편성한 뒤 구체적인 활동에 들어간다.

세대 계층별 지원 활동으로는 기존 청소년 대상 보안꿈나무 육성 프로그램인 보안교실 ‘v스쿨’, 대학생 대상 보안동아리 활동 지원을 강화할 방침이다. 여기에 어르신 계층 대상 실버 컴퓨터 교실인 ‘실버스쿨’을 신설해 세대간 정보격차 해소를 통한 사회적 재활 프로그램을 진행한다.

글로벌 사회공헌 활동으로는 ‘V3라이트’를 해외로 확대할 계획이다. 우선 일본, 중국, 동남아 지역에 우선 배포해 해외에서도 일반 개인이 무료로 백신프로그램을 설치해 사용할 수 있게 돕는다.

사회 여러 분야에서 기여할 수 있는 사회공헌 전문가를 육성하는 교육프로그램 ‘사회공헌 아카데미’(가칭)도 개설할 계획이다. 안철수연구소가 창업 이래 축적한 사회공헌 노하우와 혁신성을 접목한 교육 프로그램 개설을 통해 국내에서 최고수준의 역량을 갖춘 사회공헌 전문가를 육성한다는 전략이다. 이를 바탕으로 우리 사회에 바람직한 나눔과 기부문화 확산은 물론 사회 경쟁력 차원에서 사회공헌이 사회 전반체 파급효과를 거둘 수 있게 되기를 안철수연구소는 기대하고 있다. 이 아카데미는 2012년 설립된다.

내부 직원들의 사회공헌 활동도 장려할 방침이다. 안철수연구소는 전직원들이 사회공헌과 기부활동에 참여할 수 있는 제도적 기반을 마련키로 했다. 내년부터 안철수연구소 직원들은 자기가 참여하고 싶은 사회공헌 프로그램을 선택할 수 있고, 안철수연구소는 이 활동을 바탕으로 연말 우수사원을 포상할 계획이다.

안철수 원장은 “많은 분들이 재단에 관심을 가져주고 있다는 사실을 안다”라며 “아직 구체적으로 재단을 어떻게 운영할 것인지에 대한 계획이 서지 않았다”라고 말했다. 또한 “마이크로재단 등 다양한 방법을 고민하고 있으며, 제약을 덜 받으면서 자유롭게 사회공헌 활동을 할 수 있는 방법을 계속 찾고 있다”라고 덧붙였다.

올해를 시작으로 해마다 개최될 ‘안랩 코어’는 국내 대표 SW 기업이 SW 개발자를 위해 개최하는 행사라는 점에서 눈길을 끈다. 최근 정부도 하드웨어가 아닌 SW에 대한 적극적인 지원이 필요하다고 강조하고 나선 만큼, 안철수연구소도 이번 컨퍼런스를 통해 SW 부문 역량 강화에 주력할 모양새다.

10월25일 서울 양재동 엘타워에서 열리는 ‘안랩 코어’는 보안기술과 SW 개발 두 부문으로 나뉘어 모두 15개의 주제 발표로 진행된다. 보안부문에서는 보안 트렌드 분석과 대응 전략을 중심으로 이상철 팀장 등이 최신 해킹 공격 기법과 방어, 타임라인 기법을 이용한 침해사고 분석, 온라인게임 해킹, 네트워크 포렌식 분석 기술 등을 다룬다. 소프트웨어 개발 부문에서는 김재열 수석 등이 지금까지 안철수연구소가 소프트웨어 개발 프로세스를 개선해서 얻은 경험을 발표할 예정이다. 보안성을 고려해 개발 단계에서부터 효율적인 업데이트를 할 수 있는 기술도 소개한다.

인텔의 스폰서 발표를 뺀 나머지 14개 주제 모두 안철수연구소 직원들이 직접 진행한다는 점도 눈에 띈다. 황미경 안철수연구소 부장은 “내부 직원들 중에서도 발표를 원하는 사람이 꽤 많았다”라며 “나름 선별해서 뽑은 주제들로, 안철수연구소의 노하우를 경험할 수 있는 첫 자리가 될 것”이라고 말했다.

김흥선 안철수연구소 대표는 “안랩 코어는 안철수연구소가 소프트웨어 업계 맏형으로서 그에 부합하는 역할을 해야 한다는 책임의식에서 시작했다”라며 “소프트웨어를 기획, 개발, 검증, 사업화하는 노하우를 공개하고 전문가를 육성할 뿐 아니라 파트너로서 수평적 협력 관계를 만들어 바람직한 소프트웨어 생태계를 만들고자 한다”라고 개최 소감을 밝혔다.

안랩코어 행사는 소프트웨어와 보안 부문에 관심있는 사람들이라면 누구나 참석할 수 있다. 참가비는 현장등록 기준으로 일반인이 35만원, 학생이 10만원이다. 홈페이지를 통해 사전등록을 하면 좀 더 저렴하다.

안철수연구소는 이번 컨퍼런스와 더불어 보안 컨테스트 행사 ‘안랩시큐리티 웨이브’(AhnLab Security WAVE)도 처음 진행한다.

‘WAVE’는 ‘We Appreciate your Value and Effort’의 약자로 소프트웨어나 보안에 관심 있는 모든 이를 존중한다는 의미를 담았다. 대회 이름에 맞게 IT 보안 관련 문제뿐 아니라 다양한 SW 일반 상식 문제가 출제돼 전문 지식이 많지 않은 사람도 도전할 수 있다. 이 행사는 10월22일 열리며, 온라인으로 참가 신청해 참여할 수 있다. 시상식은 10월25일 ‘안랩 코어’에서 우승과 준우승자에 한해 열린다.

황미경 부장은 “안철수연구소가 ‘해커스 드림’이라는 해킹대회를 주최하고 있지만, 이 경우 전문가 수준의 사람들이 경쟁했다”라며 “이번 대회는 보안에 대한 대중적인 관심을 넓히고자 마련했다”라고 설명했다.

그래서였을까. 2006년 리니지 명의 도용, 2008년 옥션 해킹, 2010년 해킹된 개인정보 판매자 검거, 2011년 세티즌 해킹 등 대규모 개인정보 유출사고가 발생했지만, 기업과 정부는 개인정보를 보호하기 위해 노력하는 모습을 보이지 않았다. 이미 사고가 일어났으니 소용없다고 생각했는지도 모른다. 그러다 국민 절반 이상의 개인정보가 털리는 사건이 터졌다.

7월28일 SK커뮤니케이션즈는 싸이월드와 네이트 회원 3500만명의 개인정보가 유출된 사실을 공개했다. 해커가 가져간 정보는 아이디와 비밀번호, 실명, 암호화된 주민등록번호 등이었다. 해킹 사건을 공개하고 SK컴즈는 앞으로 회원가입 때 주민번호를 ‘저장하지’ 않겠다고 밝혔다.

그래도 사태는 가라앉지 않았다. 무조건적으로 회원가입 시 주민등록번호를 강제하는 정부에 대한 비판이 제기됐다. 이에 방송통신위원회는 “현재 이용자의 동의를 받아 누구나 주민번호를 수집할 수 있으나, 이를 원칙적으로 금지하고 예외적인 허용 정책으로 전환”하겠다며 ‘인터넷상 개인정보보호 강화 방안’을 8월8일 공개했다. 9월30일에는 ‘개인정보보호법’도 발효된다고 하니, 한결 마음이 놓인다.

그런데 ‘소 잃기 전 외양간을 튼튼하게 만들 순 없었던 건가’라는 의문이 든다. 정부는 ‘개인정보를 보호해야 한다’라는 당연한 얘기를 되새김질하지만, ‘개인정보를 쌓아두는 환경을 바꾸겠다’라는 구호는 찾기 어렵다. 이에 블로터닷넷은 개인정보를 위협하는 요인과 개인정보를 보호하기 위해 필요한 노력에 대해 생각해보는 자리를 마련했다.

• 일시: 2011년 8월30일
• 장소: 블로터닷넷 회의실
• 참가자: 민경배 경희사이버대학교 NGO학과 교수, 방인구 안철수연구소 컨설팅사업본부장, 오병일 진보네트워크 정책활동가, 이희욱/정보라 블로터닷넷 기자

이희욱 SK컴즈 해킹 사고가 터지고 방송통신위원회가 주민번호 수집을 ‘원칙적으로 금지’한다고 밝혔다. 인터넷 사업자가 주민번호를 수집할 필요가 없다는 해석을 내려준 건 이번이 처음 아닌가.

민경배 그 말은 3500만명의 개인정보가 털린 후에야 나왔다. 이제 주민번호를 수집하지 않아도 된다고 했지만, 이미 주민번호를 보유한 업체는 너무도 많다. 이런 곳들도 앞으로 SK컴즈 사고와 비슷한 사태가 일어날 가능성이 있다. 잠재적인 시한폭탄이다.

정부는 ‘주민번호를 이제 수집 안 해도 된다’고 말할 게 아니라 업체들이 주민번호 DB를 폐기하도록 조치를 취해야 한다. 진보네트워크에서 주장하듯 이미 유출된 주민번호가 악용되지 않도록 주민번호를 갱신하거나 제도 자체를 폐지하는 것까지 검토해야 한다.

이희욱 9월에 발효되는 개인정보보호법은 개인정보를 폐기하라는 내용이 포함됐는가.

오병일 보유기간이 지나면 파기하라는 조항은 있다. 그렇지만 개인정보보호법이 최근 발생한 해킹 사건을 막을 근본 대책이라고 보긴 어렵다. 이 법은 원칙적으로 개인정보 수집을 금지하지 않는다. 주민번호와 같은 고유식별정보를 이용자의 동의를 받으면 수집할 수 있다는 조항이 있다. 이 조항대로라면 의무적으로 주민번호를 수집하지 않아도 되는 곳이 주민번호를 수집하는 걸 허용하게 된다.

주민번호는 궁극적으로 폐지하는 게 맞다고 본다. 기업은 주민번호를 내부 DB 관리나 제휴 서비스 연동시 키(key)값으로 쓴다. 상황이 이러다 보니 기업은 주민번호 폐지에 난색을 표한다. 만약 주민번호를 수집하지 않도록 하는 작업이 옥션 사건 때부터 이루어졌다면 SK컴즈 사태는 나오지 않았을 것이다.

제21조(개인정보의 파기) ① 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다.

② 개인정보처리자가 제1항에 따라 개인정보를 파기할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.

③ 개인정보처리자가 제1항 단서에 따라 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여서 저장ㆍ관리하여야 한다.

④ 개인정보의 파기방법 및 절차 등에 필요한 사항은 대통령령으로 정한다.

민경배 주민번호 수집은 이제 문화로 자리잡은 느낌이다. 동네 제과점에서 포인트 카드를 하나 만들려해도 주민번호를 제공해야 한다. 서비스라곤 포인트 적립밖에 없는데도 당연한 듯 주민번호를 받으려 한다. 이처럼 굳이 활용할 곳이 없는데도 주민번호 수집하는 건, 주민번호가 신원을 확인하는 유일한 수단이 됐기 때문이다.

주민번호를 수집하는 문화부터 개선해야 한다. 물론 저절로, 단기간에 이뤄지진 않을 것이다. 그래서 법으로 강제할 필요가 있다. 주민번호 수집을 막는 데에야 말로 정부의 규제가 필요하다.

이희욱 이전에도 웹사이트에서 주민번호를 수집하는 관행은 있었지만, 일정 규모 이상의 웹사이트가 주민번호를 의무 수집하게 한 건 2007년 ‘제한적 본인확인제’(이하 인터넷 실명제)가 시행되면서부터다. 게시판 덧글을 달 때조차 실명 인증을 하는 게 한국만의 독특한 제도인지 궁금하다.

민경배 개인의 평생 신분 식별 번호를 주민번호로 운영하는 곳은 한국뿐이다. 그리고 주민번호 기반으로 본인 인증을 하는 곳도 한국 밖에 없다.

인터넷 실명제 도입 배경으로 내세웠던 ‘악플 완화’ 효과는 이미 효과가 없음이 검증됐다. 악플이 줄었다고 해도 많아봐야 3~4%다. 실명제를 도입하고 표현의 자유와 개인정보가 취약해지는 것에 비하면, 악성댓글 감소 효과는 너무 적다. 애초에 악성댓글을 없애려 했다면 인터넷 실명제가 아닌 다른 방법을 찾았어야 했다.

인터넷 실명제는 참여정부 시절부터 시작해 차츰 적용 대상이 확대됐다. 처음 실명제는 공공기관과 언론사, 포털사이트 등 하루 30만명 이상 방문하는 웹사이트를 대상으로 했다가, 하루 10만명 이상 방문하는 웹사이트로 단계별로 확대됐다. 이렇게 법률안이 개정되는 시점은 선거 같은 정치적으로 민감한 시기와 맞물렸다.

이렇듯 인터넷 실명제 대상이 확대된 추이를 보면 도입 목적이 ‘악성댓글로부터 국민 대다수를 보호한다’라기보다 선거 때 정치인의 피해를 줄이겠다는 데 있어 보인다. 정치인의 이기적인 의도가 엿보인다. 이렇듯 실명제는 의도 자체가 불순하다.

이희욱 실명제 적용 대상 웹사이트 중에서 아이핀을 도입한 비율이 상당히 낮다. 아이핀이 개인정보를 보호하는 데 효과가 있다면, 아이핀 도입 비율이 낮은 건 설명이 안 된다.

민경배 아이핀 자체가 주민번호를 제공해야 발급받는 방식이다. 쉽게 말하면, 문 하나 더 달아놓은 것에 불과하다. 아이핀은 이용자에게 번거로운 서비스다. 업체도 굳이 아이핀을 도입해야 할 동기를 느끼지 않았던 것 같다. 무엇보다 아이핀은 이를 발급해주는 신용정보업체에 개인정보를 몰아주는 또 다른 효과를 낳기 때문에 위험하다.

오병일 본인확인 방법에 아이핀만 있는 건 아니다. 휴대폰 인증과 공인인증 등 여러 수단이 있다고 정부는 말한다. 수단마다 기업과 개인이 드는 비용이 다른데, 그 중 주민번호는 비용은 적게 들고 보안은 가장 취약한 인증방식이다. 휴대폰과 공인인증 방식도 어찌보면 주민번호 인증과 다르지 않다. 휴대폰을 쓸 때 주민번호를 제공해 가입할 수 있고, 공인인증서도 마찬가지다. 그보다는 ‘인증을 반드시 해야만 하는가’, ‘하나의 인증방식만 도입해야 하는가’를 고민해야 한다.

이희욱 옥션과 리니지, 세티즌, SK컴즈 등 개인정보가 새나간 사례가 여럿 있었다. 최근 몇 년간 해킹 같은 사고가 빈번했다. 요즘 보안 위협 유형은 어떤가.

방인구 개인정보 유출사고는 결국 먹잇감이 있기 때문에 발생했다. 해킹 트렌드를 살펴보면, 최근 기술적 난이도가 상당히 높아졌다. 예전에는 악성코드를 뿌려서 걸리는 곳에 들어갔다면, 지금은 원하는 정보를 가진 곳을 정확히 겨냥해 장기간, 지속적으로, 집중 공격하는 모습이다. 그게 지능형 타깃 지속 공격(APT)이다. 한 번 타깃이 되면 당할 수 밖에 없는 수준에 이르렀다. 기술적으로만 막기에는 한계가 있다.

이희욱 기업은 개인정보를 보호하기 위해 어떠한 노력을 하고 있는가.

방인구 가장 앞단의 방화벽부터 시작해, 아이패스, 웹 방화벽을 마련하고 뒷단에 있는 DB서버에서는 DRM을 적용하고 암호화한다. 최근 보안쪽에선 개인 PC가 공격받는 게 이슈다. 해커들은 목표를 공격하기 위해 목표물을 둘러싼 PC를 공격해 악성코드를 심는다. 이러한 해킹에는 기술적으로 막는 것보다 네트워크에 대한 집중적인 모니터링이 필요하다. PC와 서버 모두를 지속적으로 감시하지 않으면 잡아내기 쉽지 않다.

이희욱 기업이 감시를 강화한다고 개인정보가 새나가는 걸 막을 수 있을지 의문이다. 공격하는 쪽은 다양한 방법을 사용해 지능적으로 공격하는데, 다양한 공격 유형에 대한 방어 책임을 기업에만 지울 수 있을까.

오병일 중요한 건, 보안 환경의 문제다. 물론 개별 기업이 보안에 얼마나 투자를 하는지, 성실하게 모니터링 하느냐도 중요하다. 헌데 정부는 기업에 단일한 보안 시스템을 강제하고, 보안 관련한 기준을 지나치게 세세하게 제공한다. 그러다보니 기업은 시키는 것만 따르면 책임을 면하게 된다. 이러한 보안 환경 탓에 보안 업체와 기업이 보안에 투자하고 보안 기술을 개발하려는 의욕이 꺾이지 않나 싶다.

이희욱 정부가 민간의 보안 노력을 막는다는 이야기도 들린다. 금융 웹사이트 키보드 보안프로그램은 이용자가 웹사이트를 접속하기 전 또는 후도 아닌 접속 순간에 깔려야 한다고 금융거래법 시행령에선 규정하고 있다. 다양한 보안 기술이 있는데도 이런 식으로 너무 세세한 부분까지 법이 지적하는 건, 민간의 보안 기술 연구와 창의성 발현을 제한한다. 그래서 ‘정부는 최소한의 가이드라인을 마련하고, 민간의 자율 규제로 가야 한다’라고 말하는 것 아닌가.

국내에서 웹표준을 따르는, 이른바 오픈뱅킹 서비스를 제공하려 해도 법이 의무화한 보안 프로그램을 만들어줄 업체를 찾기 힘들다고 한다. 키보드 보안프로그램이나 공인인증서 같은 플러그인은 대부분 액티브X 방식으로만 제공된다. 보안 업체들도 굳이 기존 거대한 시장을 두고 다른 OS나 웹브라우저를 지원하는 보안 플러그인에 기술과 노력, 시간을 들여 개발을 할 동인을 못 찾는다.

방인구 액티브X는 보안업체가 아닌 곳도 많이 쓴다. 디바이스 표준 등 기술적으로 액티브X를 쓰는 게 보안에 취약한 건 알지만 편하니까 관성적으로 쓰곤 한다. 최근에는 아이폰 같은 스마트폰이 도입되고 신기술 도입 속도가 빨라지면서 액티브X가 뜨지 않는 곳이 많아졌다. 이용자들이 불편해하고, 액티브X를 받아들이지 않는 플랫폼이나 서비스가 늘어나면서 자연스레 액티브X 비중도 줄어드는 추세다.

오병일 아이폰 도입은 국내 이용자들이 기존 환경이 정상적이지 않다는 걸 깨닫는 물꼬를 텄다. 우리나라는 유독 액티브X를 통해 보안을 제공하려 했다. 그런 점에서 정부는 가이드라인을 잘못 만든 책임이 있다. 보안업체도 전문가로서 정부에 적절한 정책 방향을 제안하고 솔루션을 제공하는 역할을 했어야 했다.

방인구 우리나라는 액티브X와 주민번호 인증을 너무 일찍 받아들였다. 두 시스템에 대한 위험과 영향을 초반에 정확하게 분석하지 않고 시작한 게 문제다. 현재 포털사이트를 비롯한 대다수의 웹사이트가 기본적으로 주민번호를 받고 있다. 업체들은 이렇게 받은 주민번호를 시스템에서 소프트웨어를 구현할 때 키값으로 쓰고 있다.

민경배 보안 업체는 기존에 하던 방식으로 가려는 관성이 있는 것 같다. 제가 속한 학교에서도 얼마 전 홈페이지를 개편하면서 웹표준과 호환성을 고려하자는 이야기가 나왔지만, 업체들이 개발 단가가 올라간다며 난색을 표했다. 이렇게 업체는 액티브X, 윈도우, IE 기반의 프레임 안에서만 개발하려 하는 것 같다. 그 이상의 다른 시도를 하지 않으려 하는 게 아쉽다.

방인구 규모를 따지지 않고 모든 기업에 똑같은 잣대로 보안 시스템을 강제하는 건 문제가 있다. 개인정보보호법 적용 대상 사업자는 약 350만이다. 그중 300만여곳이 비디오 대여점이나 세탁소와 같은 영세 지역 상인들이다. 이런 곳에 개인정보를 암호화하고 방화벽을 설치하라고 요구하는 건 현실적으로 어려운 일이다. 그래서 이런 소규모 업체들은 정보를 압축하는 것만으로도 인정하겠다는 이야기도 논의되고 있다.

나머지 50만에 해당하는 업체는 중소기업부터 대기업까지 규모가 매우 다양하다. 이들 업체에 대한 차등적인 적용도 필요하다. 앞으로 9월30일 개인정보보호법이 발효되고 어느 정도 유연성을 확보할지는 지켜봐야 한다.

이희욱 보안 업체로서, 개인정보보호법이 업계에 어떤 영향을 미칠 것으로 보고 있나.

방인구 기업들이 개인정보를 보호하는 수준은 높아지고, 이를 돕는 산업은 활성화될 것으로 생각한다. 개인정보보호법이 발효되면 보안 업체에는 많은 기회가 열린다. 개인정보보호법 제33조가 기업이 개인정보 영향평가를 받도록 한 것도 기회다.

개인정보 유출 사고가 나면 기업은 어디서부터 손을 대야 할 지 잘 모른다. 그래서 가장 먼저 취하는 조치가 보안업체에 문의하는 것이다. 실제로 기업 현장에 나가보면, 수집한 개인정보가 어떻게, 어떤 시스템에 있는지조차 파악 안 돼 있는 경우가 적잖다. 기업은 정보를 체계적으로 관리·보호하는 게 쉽지 않다. 앞으로 컨설팅과 자문이 많이 필요할 것으로 보인다.

이희욱 개인정보를 보호하려는 노력이 퍼지는 건 환영할 만하다. 그렇지만, 계속 지적됐듯이, 개인 정보를 과다하게 수집하는 게 문제 아닌가.

오병일 기업이든 정부든 개인정보 수집 자체를 안 할 순 없는 상황이다. 개인정보 보호 문제는 정보를 수집하기 전과 수집 후, 두 단계로 나눌 수 있다. 그중 수집 전 단계는 문제가 없는지에 대한 이야기를 하고 싶다.

2008년 옥션이 해킹당하고 개인정보가 유출됐을 때, 인터넷 실명제와 주민번호 수집에 대한 문제를 제기했다. 이번 SK컴즈 사고가 났을 때도 원인과 해결책은 3년 전과 똑같다. 서글픈 일이다. 무엇이 과도한 개인정보 수집인지는 기업마다 다르다고 본다. 문제는, 정부가 기업이 과도하게 개인정보를 수집하도록 강제하는 데 있다. 핵심은 주민번호 수집이다. 주민번호를 강요하는 게 실명제와 금융거래 관련 두 부분이다. 굳이 그 서비스에 필요하지 않은 데도 수집을 해야 하는 데에서 불필요한 개인정보 수집이라고 본다.

이희욱 개인정보보호법에는 최소한의 수집에 대한 내용이 있지만, 동의만 있으면 얼마든지 수집할 수 있다는 내용도 있다. 수집 자체를 제한적으로 하도록 법으로 강제할 필요가 있는 것 같다.

제16조(개인정보의 수집 제한) ① 개인정보처리자는 제15조제1항 각 호의 어느 하나에 해당하여 개인정보를 수집하는 경우에는 그 목적에 필요한 최소한의 개인정보를 수집하여야 한다. 이 경우 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담한다.

② 개인정보처리자는 정보주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다.

제15조(개인정보의 수집ㆍ이용) ① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.

오병일 ‘필요최소한의 정보만’ 수집한다는 원칙이 있어야 한다. 기업마다 상황이 달라, 어디까지가 필요최소한의 정보인지 범위를 규정하는 건 어려운 일이다. 그렇지만 ‘주민번호는 수집금지’라는 식의 원칙은 세울 수 있다고 본다.

민경배 주민번호는 번호 안에 이미 개인의 다양한 정보가 담겨 있으니, 궁극적으로 없애는 게 맞다.

오병일 정부는 주민번호를 폐지하는 데는 사회적 비용이 많이 든다고 말한다. 정부가 하는 말이 옳을 수 있지만, 생각해보자. 주민번호를 폐지하는 데 사회적 비용이 발생하는 환경을 만든 게 정부다. 당장 주민번호 제도를 바꾸는 게 어려우면, 민간과 공공영역에서라도 주민번호 활용을 줄여나가야 한다. 앞으로 더 큰 사회적 비용이 발생하지 않도록, 지금부터라도 장기 계획을 세워 단계적으로 바꿔나가자는 얘기다.

이희욱 인터넷 실명제로 논의를 옮겨보자. 인터넷 실명제를 법 자체로 강제하는 건 문제가 있는 것 같다. 시민사회가 지속적으로 문제를 제기하지만, 주민등록번호 자체를 키값으로 쓰는 걸 제도적으로 바꿀 대안을 제시해야 하지 않나 싶다.

오병일 ‘꼭 인증을 해야 하는가’라는 의문을 제기할 필요가 있다. 굳이 인증할 필요가 없는데도 인증을 해야 하나. 기업 입장에는 가능하면 확실한 정보가 더 가치 있을 것이다. 그래서 정보를 수집하려는 욕구를 가지고 있을 수도 있다.

기업이 과도하게 인증하지 않도록, 그리고 민간에서 주민번호를 사용하지 못하도록 사회적 환경이 바뀌어야 한다. 실명제뿐 아니라 전자상거래 관련한 곳도 검토가 필요하다. 그리고 현행 법률이 주민번호 보관을 의무화하는 것인지, 거래했다는 기록만 보관하면 되는 것인지에 대한 법적 해석이 명확하게 내려져야 한다.

일차적으로 주민번호 수집을 제한하는 것이 인증에 대한 강박을 벗어나게 하는 하나의 방법이다. 인증 자체를 강제할 필요는 없다고 본다. 왜 불필요하게 모든 웹사이트에 인증을 강요하는지를 생각해 봐야 한다. 블로터처럼 소셜댓글이 적합하다고 생각되면 그렇게 하면 된다. 인증하지 않든, 소셜 인증을 도입하든, 휴대폰 인증이든, 해당 서비스가 판단해 선택할 수 있게 해야 한다.

사회 전반에서 ‘인증을 해야 한다’라는 강박에서 벗어나면 좋겠다. 인증한다는 것 자체가 개인정보가 축적되는 거다. 이번에 행정안전부는 주민번호대신 주민등록증 발행번호로 대체하겠다는 대책을 내놓으며 전자주민증 법안을 통과하려고 한다. 이건 더 큰 문제가 있다. 전자주민증이 도입되면 인증 자체가 일상화될 것이다. 카드만 대면 인증이 되는데, 인식기가 있는 곳마다 개인의 인증기록이 남을 것이다.

이희욱 개인정보 수집과 인증을 최소화하며 온라인에서 신뢰있는 커뮤니케이션이 일어나게 할 묘안이 무엇인지 고민이 된다.

민경배 자율적으로 신뢰를 쌓는 문화가 있다. SLR클럽의 장터 문화를 보자. 여기에선 가격에 대한 의견 표현은 일체 못하도록 돼 있다. 상당히 야박한 장터다. 운영자가 처음부터 강제적으로 이렇게 한 건 아니었다. 이용자간에 이런 식으로 게시판을 운영하자는 식으로 문화가 조성됐고 나중에는 이용자 합의에 의해 규정됐다. 만약 처음부터 가격에 대한 이야기를 하지 못하도록 했다면 독재다. 지금 규정은 강제이긴 하지만, 합의에 의해 만들어졌다.

저 게시판은 실명게시판이 아니었던 시절에 저런 문화가 만들어졌다. SLR클럽처럼 다양한 모습이 나타날 수 있었는데 갑자기 일괄적으로 인터넷 실명제가 적용됐다. 이런 식으로 실험적인 모습이 나올 싹이 사라졌다.

희한하게 IT는 군사정권이 종식된 이후에 발달했는데 이상하게도 정부의 IT 정책은 군사정권 시절마냥 획일화돼 있다. 실명제 정책도 마찬가지다. 보안, 인증방식, 보안환경 등 오늘 나온 모든 이야기의 공통점은 결국은 개별성을 무시하고 정부가 일률적으로 ‘이렇게 해’라고 하면서 문제가 발생한 사례다.

주민번호를 없애자고 하면 격렬한 논란에 휘말릴 것이다. 주민번호를 기반으로 비즈니스 모델이 만들어진 기업과 이해가 맞물린 사람들, 보수진영에서도 반발이 나올 것이다.

이희욱 요새는 주민번호 기반으로 돈을 버는 웹서비스가 예전처럼 많진 않은 것 같다. 비즈니스 모델 자체가 많이 바뀌었다.

오병일 일반적인 본인확인도 문제이지만 주민번호가 중요한 인증 수단으로 쓰이는 쪽이 성인인증이다. 이것 때문에 상당기간 인증 제도가 남아있을 가능성이 크다. 이 부분은 이슈화되고 있지 않은 것 같다.

민경배 성인인증도 주민등록 제도가 있기 때문에 발상 가능한 규제다. 게임 셧다운제도 마찬가지다. 주민번호가 없었다면 이런 제도를 애초에 만들지 못했다. 사실 주민번호 하나만으로 성인여부를 판단할 수 없다.

이희욱 현재 개인정보보호법은 정확한 시행령은 나오진 않았다. 공개된 법령만 두고 봤을 때 보안 업체는 실효성 여부를 어떻게 보고 있나.

방인구 개인정보 보호책임자 부분은 긍정적으로 본다. IT가 중요한 증권과 은행에서 IT 담당자의 위상이 낮다. 보안 담당자는 그보다 더 낮다. 개인정보 보호에 있어 보안 담당자가 주도권을 갖기 힘든 구조를 바꾸는 뜻에서 위상과 직책을 높이는 것도 한 방법이라고 본다.

하지만 개인정보보호법은 개인정보를 보호하느라 산업 발전을 저해할 가능성이 있다. 일본을 보면, 개인정보보호법을 도입하고 학교와 직장에서 비상연락망을 돌리지 못했다. 비상연락망을 공유하려면 개인의 동의가 필요했다. 이렇게 개인정보를 보호하느라 소통을 막는 일이 잦아졌다. 이건 작은 예다. 우연찮게도 이러한 사례가 등장하기 시작하던 때가 일본 경제가 하락하던 시기와 맞물렸다. 현재 일본은 개인정보보호법 법령을 고쳐나가고 있다고 한다.

기업이 개인정보를 과도하게 수집하는 걸 막는 것도 좋지만, 산업 발전에 저해가 될 정도로 과도하게 보호하는 것도 생각해볼 문제다. 아직 개인정보보호법 시행령이 마련되지 않았는데, 산업 발전에 저해되지 않는 선에서 나오길 바란다.

오병일 기업 입장에서 개인정보 보호 노력을 비용이라고 볼 수도 있지만, 지금 당연히 해야하는 일이다. 기업이 개인정보를 수집했다고 치자. 한 번 수집한 정보는 활용하려 들기 마련이다. 그 정보를 제휴 업체에 넘겨 광고하게 하는 것도 충분히 가능하다. 과거에는 그게 가능했는데, 법적 규제 때문에 앞으로 어려워질 수 있다. 그게 기업 입장에서는 부담이거나, 비용을 더 들이게 하는 문제일수도 있다. 과도한 규제라고 할 순 없다. 개인정보를 어떻게 취급해야 하는지에 대한 기업 문화와 인식을 바꿔나가야할 일이다.

개인정보보호법은 2002년부터 논의가 이뤄졌고 2004년부터 3개 법안이 올라왔다. 올해 들어서야 발효되는데 이번 법은 과거 법안보다 후퇴했다. 어떤 의미에서는 몇 년간 요구한 개인정보보호법이 통과돼 일종의 성과를 보였다고 볼 수 있지만 아쉬운 부분이 많다.

특히, 개인정보보호위원회가 독립기관이 되지 못했다. 개인정보 보호에 대해서는 기업뿐 아니라 정부도 감시 대상이어야 한다고 생각한다. 그런데 개인정보보호위원회가 정부를 감시할 수 있을까. 정부에 권고하는 역할을 제대로 할 수 있을지, 그런 부분이 우려된다. 이후 모습을 지켜보며 우리도 견제하는 역할을 해야 할 것이다.

APT는 다양한 IT 기술과 방식을 이용해 조직적으로 경제적이거나 사회적인 목적을 위해 다양한 보안 위협을 이용해 특정 대상을 겨냥해 지속적으로 공격한다는 것이 특징이다. 또한 APT의 주된 타깃은 정부기관과 사회 기간 산업 시설, 정보통신 기업과 제조 기업과 금융기관 등이다. 이는 APT 공격자의 목적이 사회적 시위 또는 경제적 이익 확보임을 시사한다.

APT 공격의 대표적 사례로는 스턱스넷(Stuxnet)과 오퍼레이션 오로라(Operation Aurora), 나이트 드래곤(Night Dragon), EMC/RSA 공격이 꼽힌다. 국내의 경우 올 초 발생한 3.4 디도스 공격 이후 특정 대상을 노리는 공격이 증가하는 추세이다.

안철수연구소 김홍선 대표는 “APT 공격은 공격의 패러다임이 한 단계 진화했음을 보여준다. 그에 맞춰 보안 체계의 패러다임도 바뀌어야 한다. 안철수연구소는 이미 보유한 핵심 기술을 더욱 발전시켜 최적의 해법을 제시함으로써 글로벌 보안 리더의 면모를 다져나갈 것”라고 강조했다.

APT 공격자는 기초 정보 수집, 악성코드 침투, 기밀 정보 유출의 과정을 거친다. 즉, SNS 등 다양한 방법으로 공격 대상 조직에 대한 정보를 수집하고, 해당 조직 임직원에게 악성코드 이메일을 보내는 등 지속적인 타깃 공격을 한다. 이후 공격 목표인 조직 내부에서 사용하는 애플리케이션(응용 소프트웨어)의 취약점을 악용해 정보를 은밀하게 빼낸다. 이 같은 APT 공격에 대응하려면 여러 방면에서 전방위 대응이 필요하다.

기초 정보 수집에 대응하려면 ▲정책적으로 조직 내부 정보나 구성원의 신원 정보를 통제하고 ▲각종 보안 위협 징후에 대한 내외부 모니터링과 로그 분석이 지속적으로 이루어져야 한다. 또한 악성코드 침투에 대응하려면 ▲구성원이 P2P, 웹하드, SW 자동 업데이트 사이트 접속 시 악성코드에 감염되지 않도록 주기적으로 보안 교육을 하고 ▲PC(엔드포인트)에 설치된 보안 소프트웨어를 주기적으로 관리하고 감독해야 한다.

기업 내부에서 검토와 인증한 애플리케이션을 대상으로 화이트리스트(White List)를 작성한다. 이후 화이트리스트 이외 다른 애플리케이션이 설치/실행되지 않도록 차단한다. 또한 확인/인가되지 않은 계정이 중요 시스템에 접근하지 않도록 권한을 최소화/차단한다. 아울러 중요 시스템이 있는 네트워크 대역과 일반 임직원이 사용하는 네트워크 대역을 분리해 접근을 원천 차단한다.

아울러 기밀 정보 유출에 대응하려면 ▲PC에 설치된 운영체제와 애플리케이션의 취약점 패치와 관리를 주기적으로 하고 ▲접근 통제로 정보 유출을 차단하고 ▲데이터 암호화로 기밀 정보가 유출되어도 악용되지 않게 한다.

이와 함께 재발 방지 차원에서는 어떤 경로로 기업 내부 네트워크로 침입했고 어떤 시스템과 데이터에 접근을 시도했는지 파악하는 것이 필요하다. 최초 네트워크 내부의 비정상 패킷을 검출하고, 비정상 접근이나 데이터 전송이 발생한 시스템을 파악한 후 디지털 포렌식(Digital Forensic) 프로세스에 따라 자세한 분석을 한다.

한편, 공격을 당하는 기관/기업뿐 아니라 악성코드 유포 경로로 악용되는 SW 업데이트 서버의 보안 관리도 중요하다. SW 제공 업체는 업데이트 서버를 설계 단계부터 보안을 철저히 고려해야 하며, 주기적으로 취약점을 점검하고 24시간 365일 모니터링하는 등 철저히 대비해야 한다.

안철수연구소는 이처럼 고도의 보안 위협 패러다임 변화에 따라 전방위 융합 보안 체계를 구성해 보안을 강화할 필요가 있다고 역설했다. 융합 보안 체계란 외부에서 들어오는 공격과 내부에서 유출되는 것을 동시에 감시 및 대응하는 종합적인 대책을 말한다.

안철수연구소가 제시하는 융합 보안 체계는 2009년부터 준비해온 ‘ACCESS(AhnLab Cloud Computing E-Security Service)’ 전략에서 출발한다. ‘ACCESS’는 ASEC(시큐리티대응센터)의 악성코드 수집과 분석 능력과 CERT(침해사고대응팀)의 위협 모니터링과 대응 서비스를 지능형 기술로 받쳐주는 플랫폼이다. 위협의 근원인 악성코드와 해킹 기법을 실시간 수집/탐지/치료함은 물론 악성코드 DB를 생성해 ASEC과 CERT, 제품 과 서비스에 실시간 연계함으로써 신속하고 정확하게 일관된 종합 대응을 할 수 있다.

안철수연구소는 V3(엔드포인트 PC 보안 솔루션)와 트러스가드(네트워크 보안 솔루션)를 비롯해 트러스와처(좀비PC방지 솔루션), 트러스라인(화이트리스트 기반 산업용 시스템 전용 보안 솔루션), 트러스존(망분리 솔루션) 등 다양한 제품의 결합으로 APT 공격에 대응책을 제시한다. 향후에는 악성코드 조기 진단과 유포지 추적이 가능한 핵심 기술인 ASD(AhnLab Smart Defense)를 보안관제 서비스와 접목한 내부 관제 서비스를 출시할 계획이다.

1.     APT 공격의 목적

APT 공격의 목적은 사회적 시위 또는 경제적 이익 확보이다. 사회적 목적으로 정부 기관을 공격하는 경우는 기밀 문서를 탈취하거나 정부 정책과 관련된 정보를 확보하기 위해서이다. 또한 발전소 및 댐 등 사회 기간 산업 시설을 겨냥한 경우는 국가 혼란을 야기하려는 일종의 사이버 테러리즘으로 볼 수 있다. 경제적 목적으로 공격하는 경우는 특히 소프트웨어나 통신 장비 등을 생산하는 첨단 IT 기업을 비롯해 자동차, 선박, 가전 분야 제조 기업과 은행, 증권사 등 금융기관이 주된 타깃이다. 경쟁사 내부의 주요 소프트웨어 소스 코드나, 제품의 설계도, 재무 및 투자 계획 문서 등을 탈취해 경쟁사 비즈니스 치명적인 손실을 유발함으로써 반사 이익을 얻으려는 목적이 가장 크다.

2.     APT 공격의 대표 사례

* 스턱스넷(Stuxnet) : 2010년 7월 이란 원자력 발전소 작동을 방해한 악성코드로 SCADA(Supervisory Control And Data Acquisition) 시스템을 임의로 제어하는 데 사용됐다. 이 악성코드를 내부 폐쇄망에서 다른 시스템들로 유포하기 위해 여러 개의 취약점을 사용했다. 원자력 발전소 내부에서 사용하는 독일 지멘스 소프트웨어의 구조를 정확하게 파악하여 관련 파일을 변조했다.

* 오퍼레이션 오로라(Operation Aurora) : 2011년 1월 구글 본사는 기업 내부에 외부로부터 침해 사고 발생을 공개했다. 이 공격은 구글 외에 어도비, 주니퍼, 야후 등 34개 업체를 공격 대상으로 했다. 공격 목적은 기업 내부 첨단 기술 관련 기밀 데이터의 탈취였다. Internet Explorer의 제로 데이(Zero Day) 취약점이었던 MS10-002(CVE-2010-0249)를 악용했으며, 기업 임직원에게 취약한 웹 페이지의 주소를 전송해 악성코드에 감염되게 했다.

* 나이트 드래곤(Night Dragon) : 나이트 드래곤 공격은 2009년 11월 무렵부터 최소 1년 이상 카자흐스탄, 그리스, 대만과 미국에 위치한 글로벌 오일, 가스 및 석유 화학 업체를 대상으로 조직적으로 진행된 것으로 알려졌다. 웹 서버 해킹, 악성코드 제작 및 유포, 그리고 다양한 해킹 툴이 사용되었다.

* EMC/RSA 공격 : 2011년 3월 EMC/RSA 보안사업본부가 외부의 침입을 당해 인증 관련 정보가 외부로 유출되었다는 사실이 공개되었다. 이 공격은 SNS를 이용해 공격 목표에 대한 정보를 수집하고, 사회 공학 기법을 이용해 공격 목표에 악성코드를 감염시킨 후 범용 소프트웨어의 알려지지 않은 제로데이 취약점 등을 이용해 정보를 유출한 것이다.

안철수연구소 밝힌 2011년 상반기 10대 보안 위협 트렌드에 따르면 기업 대상의 악의적 해킹이 늘어나고 있고, 온라인 뱅킹을 겨냥한 시도들이 점차 대담해 지고 있다. 또 스마트폰과 태블릿 같은 기기들이 급증하는 가운데 이를 겨냥한 악성코드도 급증했고, 점차 시장 규모를 늘려가고 있는 애플의 맥 운영체제(OS)를 겨냥한 악성 코드들도 본격적으로 등장하고 있다.

상반기 글로벌 기업들은 해킹 그룹 룰즈섹(LulzSec)의 등장으로 진땀을 빼야했다. 소니의 경우는 대표적인 희생양. 미 정부 사이트도 공격 대상에서 예외가 아니었다. 최근 활동을 접겠다며 낭보(?)를 전했던 룰즈섹이 사라졌지만 갑자기 ‘어나니머스’라는 또 다른 해커 그룹이 등장했다. 보안에 제대로 대응하지 않으면 기업 가치는 물론 사업을 안정적으로 끌고 가기고 힘겨운 상황이다.

이에 따르면 올해 상반기 주요 이슈는 ▶기업 대상 악의적 해킹 시도 증가 ▶더욱 대담해진 온라인 뱅킹 해킹 ▶모바일 악성코드 기승 ▶SNS로 유포되는 악성코드 급증 ▶진짜 백신으로 위장한 가짜 백신 등장 ▶윈도우 시스템 파일을 패치하는 악성코드 증가 ▶악성코드 첨부 메일 증가 ▶웹 애플리케이션 취약점 악용한 악성코드 증가 ▶맥 OS 겨냥한 악성코드 본격화 ▶온라인 게임 해킹 툴 기법 지능화 등이다.

이호웅 안철수연구소 시큐리티대응센터 센터장은 “악성코드나 해킹이 점차 심각한 범죄로 확대되는 추세이다. SNS, 검색, 온라인 뱅킹, 온라인 게임 등 편리한 인터넷 환경 어디든 보안 위협이 지뢰처럼 묻혀 있다. 따라서 자신의 정보와 재산을 스스로 지킨다는 보안 의식이 중요하다. 또한 기업은 CEO가 앞장서 신뢰할 수 있는 비즈니스 환경을 만드는 것이 필수”라고 강조했다.

기업 대상 악의적 해킹 시도 증가

올해 상반기에는 기업 대상 해킹 시도가 증가했다. 글로벌 에너지 업체의 기밀 정보를 탈취하려는 나이트드래곤(Night Dragon) 위협, EMC/RSA에서 발생한 OTP(One Time Password) 관련 기밀 탈취 위협, 해킹 그룹 룰즈섹(LulzSec)이 소니(Sony)의 고객 정보를 대량 유출한 사고가 대표적이다. 국내에서도 대형 금융기관 대상의 악의적 해킹이 밝혀졌다. 이러한 해킹 시도는 그 피해의 여파가 과거에 비해 더 크며, 금전 탈취는 물론 자신들의 주장을 관철하려는 핵티비즘(Hacktivism) 성격으로까지 다양해지고 있는 것이 특징이다.

더욱 대담해진 온라인 뱅킹 해킹

온라인 뱅킹 중에 전송되는 금융 정보를 탈취하는 악성코드는 올해도 지속적으로 국내외에서 발견되고 있다. 국내에서는 온라인 뱅킹을 지원하는 국내 대부분의 은행 사이트를 대상으로 한 악성코드 뱅커(Banker)가 발견됐으며, 해외에서는 2010년에 심각한 금융 보안 사고를 유발한 악성코드 제우스(Zeus)의 변형을 제작할 수 있는 소스코드가 유출되기도 했다. 온라인 게임 아이템을 탈취한 후 이를 현금화하던 방식이 아닌, 단계를 거치지 않고 한 번에 금전을 탈취하는 대담한 범죄가 본격화한 것이다. 사용자는 더욱 세밀한 보안 설정과 관리를 해야 한다. 온라인 뱅킹 암호를 주기적으로 변경하고 공인인증서 관리에도 특별한 주의를 기울여야 한다.

모바일 악성코드 기승

올해 상반기 안드로이드(Android)용 악성코드가 크게 증가했다. 사용자 모르게 루트(Root) 권한을 획득하는 루팅(Rooting)을 수행하는 Zft, 사용자의 통화 목록과 문자 내역 그리고 웹사이트 방문 기록 등을 탈취하는 키드로거(KidLogger), 안드로이드 스마트폰을 원격에서 제어할 수 있는 드로이트쿵후(DroidKungFu)가 대표적이다. 이 밖에 탈옥(JailBreak)된 아이폰과 아이패드에 설치되어 키보드 입력값을 가로채는 상용 키로거(Keylogger)도 발견됐다. 모바일 악성코드는 감염 기법과 동작 방식이 점차 PC용 악성코드와 유사해져 향후 더 심각한 보안 위협이 될 것으로 예측된다.

SNS로 유포되는 악성코드 급증

올해부터 본격적으로 SNS(소셜 네트워크 서비스)가 악성코드 유포 경로로 악용되기 시작했다. 많은 사람의 주목을 끌어야 하는 만큼 당연히 사회적 이슈를 이용한 사회공학기법(Social Engineering)이 사용됐다. 일본 대지진 관련 기사나, 빈 라덴 사망 관련 동영상으로 위장한 가짜 백신들이 유포됐다. SNS는 그 특성상 사회공학기법을 악용한 악성코드와 피싱(Phishing) 등에 쉽게 노출된다. 그러므로 SNS로 전달되는 이슈가 보안 위협일 수도 있다는 보안 인식이 필요하다.

진짜 백신으로 위장한 가짜 백신 등장

가짜 백신이 이제는 버젓이 진짜 백신으로 위장하는 사례까지 등장했다. 해외 백신인 AVG, 비트디펜더(BitDefender)와 동일한 UI(사용자 인터페이스)와 아이콘을 그대로 도용한 가짜 백신이 발견됐다. 이는 사용자로 하여금 허위 진단 결과를 신뢰하게 하여 금전 획득의 가능성을 높이려는 의도이다. 또한 더 많은 PC를 감염시키기 위해 유포 방식도 지능화했다. 검색 엔진에서 검색한 이미지 파일을 클릭하면 가짜 백신 유포 웹사이트로 연결되게 한 것이다. 이는 일종의 ‘블랙햇 검색엔진최적화’(BlackHat Search Engine Optimization) 기법인데, 검색 결과를 조작해 가짜 백신 유포 사이트로 연결하는 종전 방식에서 변형된 형태이다.

윈도우 시스템 파일을 패치하는 악성코드 증가

2011년 상반기에 유포된 악성코드 중 윈도우 운영체제에 존재하는 정상 시스템 파일을 악의적 목적으로 패치(Patch)하거나 변경하는 악성코드가 급증했다. 윈도우 시스템 파일(imm32.dll, ksuser.dll, midimap.dll, comres.dll 등)을 패치하여 다른 악성코드를 감염시키거나 특정 온라인 게임의 사용자 정보를 탈취하는 악성코드가 다수 발견됐다. 일부 악성코드는 윈도우 시스템 파일뿐 아니라 백신이 사용하는 파일을 삭제 또는 변조하거나 윈도우 서비스를 강제 종료하는 등 보안 제품의 작동을 방해하기도 한다. 이런 유형은 악성코드를 삭제할 경우 시스템 자체를 손상시키므로, 백신의 진단/치료를 어렵게 하려는 목적으로 제작되었다고 볼 수 있다.

악성코드 첨부 메일 증가

악성코드를 첨부한 메일의 유포가 올해 2분기를 기점으로 다시 증가했다. 페이스북에서 발송하는 메일로 위장한 사례, UPS나 페덱스(FedEx)와 같은 택배 운송 업체의 메일로 위장한 사례가 대표적이다. 인터넷 쇼핑몰 주문 확인, 신용카드 한도 초과 안내 메일로 위장한 사례도 발견됐다. 이런 악성코드 대부분이 해외에서 제작된 가짜 백신을 설치하려는 목적으로 유포됐으며, 사용자가 많은 온라인 서비스로 위장한 점이 특징이다.

웹 애플리케이션 취약점 악용한 악성코드 증가

올해 상반기 악성코드에 악용된 취약점 대부분이 웹 애플리케이션과 관련되어 있다. 이로 인해 단기간에 많은 PC가 악성코드에 감염됐다. 특히 2분기에는 보안 패치가 제공되기 전에 발견된 제로 데이(Zero Day) 취약점 모두가 어도비 플래쉬 플레이어에서 발견됐다. 취약점을 악용하는 악성코드는 주로 온라인 게임 사용자의 정보를 탈취하거나 윈도우 시스템 파일을 패치한다. 그러므로 MS뿐 아니라 어도비가 제공하는 보안 패치도 빠짐없이 설치해야 악성코드 감염을 예방할 수 있다.

맥 OS 겨냥한 악성코드 본격화

현재 대부분의 악성코드는 윈도우 운영체제에 감염된다. 그러나 아이폰과 아이패드 사용자가 늘어남에 따라 맥(Mac)용 악성코드도 동반해서 증가하는 추세이다. 맥 OS에 가짜 백신을 설치하는 맥디펜더(MacDefender) 종류가 대표적이다. 이 악성코드들은 트위터로 유포됐으며, 시스템 전체를 검사하는 것처럼 위장하고 허위 감염 결과를 보여준다. 사용자는 애플사가 제공하는 보안 패치를 설치하고 악성코드 감염을 주의할 필요가 있다.

온라인 게임 해킹 툴 기법 지능화

비정상적인 방법으로 메모리, 게임 파일, 서버 등에 접근하여 데이터 등을 변조함으로써 게임 플레이를 불공정하게 이끄는 온라인 게임 해킹 툴은 보안 솔루션을 회피하기 위해 새로운 방식이 많이 적용되는 추세이다. 메모리 조작은 코드 조작에서 데이터 메모리 조작으로, 오토플레이는 키보드/마우스 관련 함수를 이용하는 방식에서 게임의 특정 기능을 수행하는 함수를 직접 호출해 오토플레이를 구현하는 방식으로 변화했다. 한편, 온라인 게임 해킹 툴은 작년 상반기에 1068개가 발견된 데 비해 올해 상반기에는 총 4050개로 약 300% 늘어났다. 해킹 유형 별로는 메모리 조작이 2575개로 비중이 가장 높고 오토플레이는 1274개로 집계됐다.

안철수연구소 김홍선 대표는 “미주지역은 매우 보수적이며, 세계적인 대형 보안업체가 각축을 벌이고 있는 시장이다. 이번 코스미사와의 계약은 안철수연구소가 이런 대형 경쟁에서 충분히 통할 수 있는 기술력을 갖추고 있다는 의미이다. 또한, 이번 계약을 통해 미국시장 진출을 가속화할 예정이며 앞으로도 지속적인 마케팅과 파트너 및 제품확대를 통해 미국시장의 공략 꾸준히 이어나갈 계획이다”라고 밝혔다.

안철수연구소가 소프트웨어의 본고장인 미국 시장에 진출한다. 방식은 미국 소프트웨어 전문 유통기업 ‘코스미’와의 협력이다. 코스미는 1982년 설립돼 약 27년의 역사를 가진 소프트웨어 전문 유통회사이다. 현재 월마트(Wal mart), 오피스디포(Office Depot), 베스트바이(Best Buy), 타겟(Target), 오피스 맥스 (Office Max), 킨코스 (Kinko’s) 등 대형 양판점과 파트너쉽을 맺고 다양한 소프트웨어를 공급하고 있다.

두 회사는 북미향 개인용 통합보안 제품인 ‘V3 인터넷 시큐리티 8.0’의 공급 계약을 체결 했다. 1대 설치용은 49.95 달러, 3대까지 설치가능한 제품 가격은 69.95 달러다.

오프라인 매장을 통해 미국 사용자들에게 다가서는 방식과 관련해 안연구소측은 “소프트웨어긴 하지만 북미 지역에서는 대형 할인 매장에서 구매하는 소비자들이 많다. 국내 TV 제조사들도 초기 이런 형태의 모델로 고객 인지도를 높인 만큼 서서히 시장에 다가설 것”이라고 밝혔다.

초기 수출 물량과 관련해서는 “코스미는 물량을 한꺼번에 구매해서 제공하는 형태가 아니라 대형 판매점들과 협상을 통해 물량을 조절한다. 현재 그런 협상이 진행중”이라고 덧붙였다.

이번 계약은 국내 소프트웨어업계 최초로 미국 내 대형 양판점 진출을 위한 발판을 마련 했다는 점에서 그 의미가 크다. 또한, 세계최대 소프트웨어 시장인 북미시장에 본격적인 진입과 세계적인 기술력을 인정받았다는 의미가 있다. 지난 2009년에 노트북 PC와 주변기기 전문 유통업체인 노트북샵닷컴에 제품을 공급하며 미국 소비자 시장을 개척한 바 있는 안철수연구소는 이번 계약으로 미국/캐나다 내 대형 양판점에 단계적인 진출을 노린다는 계획이다.

안철수연구소는 코스미와 계약을 통해, 미주지역 내 대형 양판점에 안정적인 유통망을 확보하고 제품공급에 나서게 됐다. 또한, 이번 계약을 발판으로, 향후 미주지역 파트너와의 적극적인 협력을 통해 마케팅을 강화하는 한편, 다양한 영역의 파트너 연계를 통한 판매방법의 다각화, 온/오프라인을 통한 제품 마케팅을 강화하여 점차적으로 고객층을 확장한다는 계획이다.

한편, 안연구소는 시장 조사 업체인 가트너와도 접촉중인 것으로 알려졌다. 가트너가 발표하는 보안 분야 매직쿼드런트에 등재될 수 있도록 자사의 제품과 전략들을 가트너의 보안 애널리스트에게 설명을 하고 있는 것. 이 결과도 어떻게 나올 지 주목되는 대목이다.

안드로이드 운영체제를 노린 악성코드가 폭발적으로 증가하고 있기 때문이다. 오픈소스의 장점과는 별개로 개방성의 약점이 점차 나타나고 있는 것.

안철수연구소는 최근 안드로이드 기반 스마트폰을 노리는 악성코드가 폭발적으로 증가해 사용자의 주의가 필요하다고 밝혔다.

안드로이드 기반 악성코드는 지난 2010년 하반기부터 본격적으로 발견되기 시작해 올해들어 폭발적으로 증가하고 있는 추세다. 안연구소에 따르면 2010년 하반기에 발견된 주요 안드로이드 악성코드가 16개인 데 반해 올해 상반기(6월 7일 기준)에는 무려 74개가 발견돼 약 5배의 증가세를 보였다.

이는 유해한 악성코드라고 보기 힘든 의심파일을 제외한 수치이며, 대부분 안드로이드 마켓에서 퇴출되거나 빠른 백신대응으로 아직 국내 피해사례는 신고되지 않았다.

이호웅 안철수연구소 시큐리티대응센터(ASEC)장은 “안드로이드 악성코드는 그 특성상 애플리케이션을 다운로드 받을 때 대부분 설치되며, 한번 설치되면 사용자 몰래 악성 행위가 진행되기 때문에 사용자가 피해사실을 인지하기가 매우 힘들다”라며, “따라서 사용자는 공인 마켓이 아닌 서드 파티 마켓에서 애플리케이션을 다운로드할 때 더욱 주의가 필요 하며, 다운로드 전 반드시 평판을 확인하거나 최신 버전의 스마트폰 전용 보안제품을 사용해 진단 후 실행하는 것이 좋다” 고 말했다.

최근 발견되는 안드로이드 악성코드의 주요 경향은 다양한 악성기능이 복합된 형태가 많고, PC용 악성코드와 유사한 형태가 등장했다는 것이다. 먼저, 대부분의 안드로이드 악성코드가 사용자 몰래 위치 정보나 단말기 정보 등 개인 정보를 유출하는 기능이 있고, 원격조종 기능과 이를 이용한 통화와 SMS 발송으로 무단 과금하는 기능, 사용자 동의 없이 루트권한을 얻는 강제루팅 기능 등이 복합되어있는 것으로 드러났다.

다음으로, PC용 악성코드와 비슷한 형태가 등장하고 있다. 최근 정상 애플리케이션인 것처럼 배포하여 설치 및 실행을 유도한 뒤 해당 애플리케이션이 실행되면 내부에 가지고 있는 악성코드를 설치하는 악성 앱이 발견 된바 있는데, 이는 PC에서 자주 발견되는 ‘드롭퍼(Dropper)’와 유사한 방식이다. 또한, ‘드로이드드림(DroidDream)’과 같이 예전에 퇴출되었던 악성코드가 다시 등장하는 경우도 발생했다.

이처럼 안드로이드 기반 악성코드가 증가하는 것은 안드로이드 마켓의 경우 검수 절차가 없고, 또한 사설 마켓인 서드파티 마켓(third party market)도 활성화되어 있어 악성프로그램을 퍼뜨리기가 상대적으로 수월하기 때문이다.

V3는 1988년 6월 당시 의대 박사 과정에 있던 안철수 현 서울대 융합과학기술대학원장이 세계 최초의 컴퓨터 바이러스인 ‘브레인’을 치료하기 위해 개발한 것이다. 안철수 박사는 자신의 컴퓨터에 감염된 브레인 바이러스를 컴퓨터 언어로 치료한 후 친구의 권유로 누구나 쉽게 쓸 수 있는 치료 소프트웨어를 만들어 ‘백신(Vaccine)’이라 이름 붙였다.

안티바이러스 소프트웨어를 백신 소프트웨어라고 부르게 된 것은 이때부터로, 고유 명사가 제품 전체를 의미하는 보통 명사로 확장된 경우이다. ‘V3’는 1991년 미켈란젤로 바이러스의 기승으로 대중적 인지도를 얻으면서부터 ‘Vaccine version.3’를 줄여 부르면서 대표 브랜드가 된 것이다.

안철수연구소는 급변하는 IT 환경의 흐름에서 V3가 23년 동안 정상의 자리를 변함없이 지켜온 것은 기술적 진화를 거듭했기 때문이라고 밝혔다.

김홍선 안철수연구소 대표는 “V3는 원천 기술의 혁신이 끊임없이 이루어지고, 다양한 보안 제품군에 필수 기반 기술로서 다각도로 활용되는 등 변화하는 환경에 능동적으로 대응해 왔다”면서 “앞으로도 국내 소프트웨어 업체들이 어려움을 겪는 가운데, 소프트웨어 기업의 비전을 제시해주는 롤 모델로서 역할을 다할 것”이라고 강조했다.

V3는 척박한 국내 환경에서 23년 간 자리를 지켜온 국가대표 소프트웨어이자, 가장 오래된 아시아 대표 보안 소프트웨어이기도 하다. 미국 보안 기업들이 세계 보안 시장 판도를 좌우하는 상황에서 자국(로컬) 시장을 50% 이상의 시장점유율로 지키는, 세계적으로 보기 드문 존재이다.

또한 V3는 순수 국산 기술로 개발돼 세계적 경쟁력을 가진 국내 유일의 보안 소프트웨어이다. 또한 VB 100% 어워드, 체크마크 등의 인증을 비서양권 업체 중 가장 많아 보유했으며, 북미, 중남미, 일본, 중국, 동남아 등 해외 각국에 자체 브랜드로 수출되는 거의 유일한 소프트웨어이다.

V3는 국내 IT 분야에서 독보적인 자리를 지키며 국가 차원의 사이버 재난이 있을 때마다 앞장서 손실을 막았다. 2003년 1.25 인터넷 대란과 2009년 7.7 디도스(DDoS) 대란, 2011년 3.4 디도스 사태에 이르기까지 사이버 공격의 사전 차단과 예방, 암호 해독과 해결책 제시 등 신속한 대응으로 주목을 받은 바 있다.

V3는 핵심 기술의 특허 획득을 시작으로 스마트 디펜스, DNA 스캔, V3 뉴 프레임워크 등 원천 기술의 혁신으로 높은 진단율과 빠른 검사 속도, 다양한 위협의 조기 차단 등 탁월한 성능을 제공하는 한편, 세계 보안 소프트웨어 중 가장 빠르고 가벼운 엔진을 보유하게 됐다.

또한 V3는 창의적인 연구개발 기술력에 기반해 다양한 고부가가치 제품으로 확장된다는 것이 특징이다. 스마트폰 백신(V3 모바일), 온라인 금융보안 서비스(안랩 온라인 시큐리티)를 비롯해 네트워크 보안 장비(트러스가드, 트러스와처), 망분리 솔루션(트러스존), 산업시설용 솔루션(트러스라인) 등에도 탑재돼 다양한 보안 소프트웨어와 하드웨어 장비로 재탄생했다.

한편, 안철수연구소는 V3 탄생 23주년을 맞아 트위터, 블로그, 웹사이트 상에서 다채로운 사은 이벤트를 진행한다. 우선 개인 고객이 6월 27일까지 ‘V3 365 클리닉 스탠다드’를 신규 구매한 고객 중 10명을 추첨해 아이패드2를 증정한다

또한 6월 30일까지 기업용 제품군을 신규 또는 재구매하는 모든 고객에게 사용 기간을 23일 연장해주고, 230명을 추첨해 간식(피자, 아이스크림, 도너츠) 상품권을 증정한다. 또한, 기업 공식 트위터(@AhnLab_man)에서는 6월 1일부터 1주일 간 매일 오후 2시 3분 ‘V3 타임’에 퀴즈와 사진 이벤트를 V3 관련 주제로 진행해 V3에 대한 친밀감을 높일 예정이다.

SK텔레콤은 안철수연구소, 맥아피, F5, 주니퍼네트웍스 등 국내외 보안 솔루션 업체와 제휴해 스마트 보안 사업을 강화한다고 밝혔다.

SK텔레콤 이형희 C&S사업단장은 “스마트폰이 대중화되면서 모바일 보안에 대한 중요성이 커지는 만큼, SK텔레콤이 국내외 최고 수준의 보안기업들과 손잡고 선도적으로 모바일 보안 시장 개척에 나설 것”이라며 “스마트 시큐리티를 도입한 기업 고객에게 모바일 보안 리스크를 획기적으로 줄일 수 있는 경험을 제공할 것이다. 이 같은 서비스 노하우를 기반으로 향후 시장 확대에 맞춰 제휴한 보안기업과 함께 글로벌 모바일 보안시장 진출도 추진할 수 있을 것으로 기대하고 있다”고 강조했다.

스마트 시큐리티는 SK텔레콤이 기업의 업무용 스마트폰에 대한 보안 강화를 목적으로 만든 모바일 보안 통합 솔루션이다. 기업이 구축하는 모바일 오피스의 정보 유출을 차단함으로써 스마트한 업무 환경을 제공할 수 있는 다양한 기능과 서비스를 담고 있다.

이미 SK텔레콤은 2010년 상반기에 SK그룹 15개 관계사 2만 5천명의 스마트폰을 대상으로 스마트 시큐리티에 대한 기능과 사업성에 대한 검증을 마치고, 올해부터 한독약품 및 현대중공업 등 다수의 기업과 계약을 맺고 솔루션을 공급하고 있다.

스마트 시큐리티는 SK텔레콤이 자체 개발한 단말제어 솔루션(MDM : Mobile Device management)인 SSM(Smart device Security Management)을 기반으로 세계 최고 수준의 국내외 보안 전문업체들인 안철수연구소, McAfee, F5, Juniper Networks 등과 제휴(Alliance)를 통해 각 보안 영역별 보안기술과 노하우를 확보하는 등 기업의 모바일 보안에 있어 최적의 기능과 서비스를 구현했다.

이번 보안 강화는 대부분 안드로이드 OS 탑재 스마트폰을 도입한 고객들을 대상으로 한 것이다. SK텔레콤은 그동안 600개 기업에 모바일 오피스를 구현했는데 대부분 안드로이드 기반으로 프로젝트가 진행됐다. 이번에 선보인 단말제어 솔루션의 경우도 안드로이드 단말만 제어가 가능하다.

스마트 시큐리티가 제공하는 보안 솔루션의 기능은 크게 ▲단말기(Device) 보안 ▲기업내 시스템 등 Network 보안 ▲문서 파일 등 Contents 보안 ▲사용자 인증 보안 등 4개 영역으로 구성돼 있다.

한편, 아이폰4와 아이패드를 유통하기 시작한 상황에서 애플의 디바이스 제어 관리는 빠져 있다. KT는 모바일아이런과 제휴를 한 상황이다. 이와 관련해 SK텔레콤 홍보팀은 “현재까지 안드로이드 기반 모바일 오피스에 주력해 왔다. 애플 디바이스 관리와 관련돼서는 아직 마련된 게 없는 상황”이라고 밝혔다.

SK텔레콤의 모바일 오피스 무게 중심이 안드로이드에 쏠려 있지만 기업 고객들이 애플의 디바이스도 원할 경우에 대비해 해당 전문 업체와의 협력은 피할 수 없을 것으로 보인다.

애플은 글로벌 MDM 업체들에게는 자사의 운영체제 API를 공개하고 있지만 국내 솔루션 파트너들에게는 아직까지 제공하지 않고 있다.

국내 대표 스마트폰과 정보보안 솔루션이 만났다.

안철수연구소(약칭 안랩)는 자사의 모바일 보안 제품인 ‘V3 모바일(V3 Mobile)’이 최근 삼성전자의 전략 스마트폰 ‘갤럭시S II’에 기본 애플리케이션으로 탑재됐다고 밝혔다.

국내의 대표적인 모바일 전용 보안 솔루션인 ‘V3 모바일’은 지난해 6월 출시돼 전세계적으로 1천 400만 대 이상 판매된 ‘갤럭시S’에 탑재된 바 있다. 이번에 최신 후속작인 ‘갤럭시S II’에 탑재됨에 따라 최근 빠르게 증가하는 스마트폰 악성코드에 대응해 국내 사용자의 안전한 스마트폰 환경을 이어가게 됐다.

김홍선 안철수연구소 대표는 “자유롭게 애플리케이션을 올리고 내려받는 스마트폰 특성 상 악성코드가 침투할 확률이 높으며, 이에 따른 전용 보안 프로그램이 필수적”이라면서 “이번 V3 모바일의 갤럭시S II 탑재로 사용자는 더욱 안전한 환경에서 스마트폰 생활을 누릴 수 있다”라고 말했다.

‘갤럭시S II’에 탑재된 ‘V3 모바일’은 사용자 접근성을 대폭 향상됐다는 것이 안랩의 설명. 설치 파일 형태로 탑재돼 사용자가 애플리케이션 설치를 별도로 해야 했던 ‘갤럭시S’와는 달리 기본 애플리케이션으로서 프리로드(pre-load) 방식으로 제공된다. 이에 따라 첫 화면에서 즉각 실행이 가능하다.

V3 모바일은 10년 이상 모바일 보안 솔루션을 개발, 제공해온 안철수연구소의 기술이 집약된 모바일 전용 보안 제품이다. 스마트폰의 특성을 고려해 프로그램 설치 사이즈 최소화, 애플리케이션의 행위에 기반한 진단을 통한 빠른 검색 속도 구현, 스마트폰 단말기 성능 저하 최소화 등의 탁월한 성능을 제공한다.

행정안전부가 주최하고 한국정보화진흥원(NIA)이 주관하는 ‘2011 웹접근성 향상 전략 세미나’가 5월2일 서울 코엑스 컨퍼런스룸에서 열렸다. 국내 개발자와 이용자, 기업과 공공기관 등이 웹접근성 관련 중요성을 일깨우고 적용할 수 있도록 NIA가 2005년부터 해마다 두 차례 정기 개최하는 행사다. 올해 행사엔 협회와 업계, 개인 개발자 등 400여명이 참석했다.

이날 기조연설을 맡은 김홍선 안철수연구소 대표는 장애인 접근성과 사용성을 보장하는 SW 설계의 중요성을 설명하는 데 대부분의 시간을 할애했다. 김 대표는 “지금은 스마트폰과 소셜미디어로 이용자가 정보를 주도적으로 제어할 수 있는 시대”라며 “SW와 콘텐츠 중심의 수평적 문화가 대세인 지금, 장애인 접근성을 보장하는 일은 선택이 아닌 필수”라고 말했다.

지난해 겪었던 ‘충격’도 곁들였다. “지난해 안연구소 SW를 수출하려고 미국시장에 들어가려다, 미국 재활법 508조에 가로막힌 경험을 하면서 뼈저리게 반성했습니다. 1998년에 제정된 미국 재활법 508조는 연방정부와 소속기관에서 SW를 구매할 때 장애인 접근성을 필수 요소로 규정하고 있습니다. 주정부나 민간 기업에서도 접근성을 중요한 요소도 다루고 있었고요. 그 때 깨달았습니다. 접근성을 보장하는 것은 기술적으로 어려운 문제가 아니라 관심의 문제라고. 우리 SW를 완전히 뜯어고쳐 다시 개발할 각오로, 접근성을 제대로 보장하겠다고 생각했어요.”

김 대표는 장애인 접근성을 보장하는 일은 곧 ‘인간 중심의 설계 사상’이라고 말했다. “화려함보다는 실용성에 초점을 맞춘 SW 설계가 중요한 때입니다. SW 기획 단계부터 지능적인 알고리즘을 활용하고, 디지털 약자에 대한 사소하지만 세심한 배려를 곁들이는 노력도 빼놓을 수 없습니다.”

NIA가 이날 공개한 자료에 따르면 국내 인터넷 이용자 비율은 78.3%이지만, 국내 250만 장애인 가운데 인터넷을 쓰는 사람은 절반이 조금 넘는 수준(53.5%)이다. 2008년 4월 발효된 ‘장애인차별금지및구제에관한법률’에 따라 개인 홈페이지를 뺀 모든 웹사이트는 2013년까지 장애인 웹접근성을 의무 보장해야 한다. 업계에선 웹접근성을 넘어 SW 접근성까지 의무 보장할 수 있도록 관련 법률과 제도를 보다 명확히 규정하는 단계로 나아가길 주문한다.

NIA는 지난해 12월 ‘한국형 웹 콘텐츠 접근성 지침 2.0′을 발표한 데 이어, 올해 상반기 안에 ‘모바일 애플리케이션 접근성 가이드라인’을 마련할 예정이다. 공공기관이나 민간 개발자를 대상으로 한 웹 접근성 교육과 웹접근성 모니터링단 운영, 웹접근성 실태조사와 품질마크 인증 제도도 꾸준히 확대할 계획이다.

안철수연구소는 지난 4월19일, NIA와 ‘국내외 정보격차 해소를 위한 양해각서’를 맺고, 자사 주요 제품에 장애인 접근성을 보장하고 관련 교육과 SW도 지원하기로 했다.

안연구소는 이같은 내용을 뼈대로 한 ‘국내외 정보격차 해소를 위한 양해각서’를 4월19일 한국정보화진흥원(NIA)과 맺었다.

이번 양해각서 체결은 국내 대표 SW 기업으로 꼽히는 안연구소가 국내 SW 장애인 접근성 개선에 적극 동참하고 나섰다는 점에서 눈길을 끈다.

이에 따라 안연구소와 NIA는 ▲장애인을 위한 SW 표준화 ▲정보통신 접근성 인식 제고 ▲국내외 정보소외계층 지원과 정보격차해소를 위한 사회공헌 활동 ▲SW 접근성 개선 활동 등에 협력하게 된다.

먼저 장애인 SW 표준화 작업을 위한 협력을 보자. 현재 국내엔 SW와 관련된 국가 표준이 마련돼 있지 않다. 단체표준만 만들어둔 상태다. 안연구소와 NIA는 SW 접근성 국가표준 마련을 위한 연구와 지원을 위해 공동 협력할 예정이다. 또한 ‘보안’을 이유로 장애인 접근성 보장을 소홀히하는 SW나 웹서비스를 대상으로 한 컨설팅과 기술 지원에도 함께 나선다. 정보통신 접근성 제고를 위한 공동 책자 발간도 고려하고 있다.

안연구소가 제공하는 개인·기업용 보안 제품의 장애인 접근성도 지금보다 높인다. 안연구소 주요 보안SW는 현재 국내 SW 가운데 장애인 접근성이 높은 편으로 평가되고 있다. 안연구소와 NIA는 비장애인과 다름 없이 장애인에게도 주요 기능을 쓸 수 있도록 접근성 수준을 더욱 높이는 작업을 공동 진행할 예정이다.

이 밖에 안연구소는 ▲NIA가 진행중인 ‘해외 인터넷 청년 봉사단 파견’이나 ‘사랑의 그린PC 보급’ 사업에 자사 보안 제품을 무료로 제공하고 ▲취약계층 보안 및 접근성 인식 제고를 위한 무료 교재를 발간하는 등 소외계층 지원에도 동참할 예정이다.

김성태 한국정보화진흥원장은 “국내 최고의 정보보안 기업인 안철수연구소와 정보통신 접근성과 정보격차해소 전문기관 한국정보화진흥원이 서로 협력함으로써 많은 시너지효과를 낼 수 있을 것”이라며 “장애인을 포함한 취약계층의 정보격차 해소는 물론, 생산적 정보활용에 많은 기여를 할 수 있을 것”이라고 기대했다.

김홍선 안철수연구소 대표도 “지식정보화 시대에 소프트웨어 접근성 개선을 비롯한 정보격차해소 활동은 큰 의미가 있다”라며 “국내 최고 소프트웨어 전문기업으로서 사명감을 갖고 국민들이 편안한 인터넷 생활을 영위할 수 있도록 노력하겠다”고 밝혔다.

김홍선 대표는 오는 5월2일 NIA가 주관하는 ‘웹 접근성 전략 세미나’에 참석해 기조연설을 갖고 SW 접근성 및 개인정보보호와 관련해 개발자들이 가져야 할 철학과 기본정신을 강조할 예정이다.

안드로이드 기반 스마트폰 악성코드의 경우 2010년 8월부터 연말까지 4개월 동안 16개가 국내서 발견된 데 비해 2011년 1월부터 3월 21일 현재까지 47개가 발견됐다. 이런 악성코드는 구글이 운영하는 공식 안드로이드 마켓은 물론 ‘써드 파티 마켓’(Third-party market; 제 3자가 운영하는 마켓)에서도 발견돼 사용자의 주의가 필요하다. 이 때문에 보안 업체들은 안드로이드 시장을 겨냥한 제품들을
출시하고 치열한 경쟁에 나서고 있다.

‘V3 모바일 2.0’은 기존 안티바이러스 기능 위주에서 물리적 보안을 포함한 종합적 보안 기능을 제공한다. 물리적 보안 영역인 도난 방지(Anti-Theft) 기능을 추가했고, 파일 암호화, 무선 인터넷 접속 제어, 스팸 차단, 데이터 백업 등 다양한 보안 사고에 대응할 수 있는 기능을 대거 탑재했다. 엔진도 신형으로 교체해 이전 제품 대비 검사 속도를 30% 가량 높였다.

아울러 컴퓨터 시스템 내에 침입하는 것 또는 상용 소프트웨어의 비밀을 풀어서 불법으로 복제하는 크랙(crack) 프로그램, 시스템 감시 프로그램 등 잠재적 위협이 되거나 사용에 불편을 초래할 수 있는 프로그램도 진단할 수 있다.

‘V3 모바일 2.0’은 삼성전자, LG전자, 모토로라, 팬택계열의 안드로이드 기반 스마트폰과 태블릿 PC에서 사용할 수 있으며, ‘V3 모바일 1.0’ 사용자는 무료로 업그레이드할 수 있다.

김홍선 안철수연구소 대표는 “V3 모바일 2.0은 백신 차원을 넘어선, 모바일 기기에 최적화한 종합 보안 프로그램이다. 이를 기반으로 한편, 새로운 해외 사업의 기회를 창출해나가겠다.”라고 말했다.

‘V3 모바일 2.0’의 주요 기능은 도난 방지, 파일 암호화, 무선 인터넷 접속 제어, 스팸 차단, 데이터 백업 등이다. 도난 방지 기능은 원격 잠금/삭제/초기화를 뜻한다. 스마트폰 분실 시 ‘잠금/삭제/초기화+미리 등록해둔 비밀번호’를 SMS(단문 메시지)로 본인 스마트폰에 전송하면 분실된 단말기를 원격으로 잠그거나 데이터 삭제 및 초기화 등을 할 수 있다. 파일 암호화는 스마트폰에 저장된 사진, 문서를 암호화하거나 비밀번호를 설정함으로써 타인의 스마트폰 사용을 제한할 수 다.

또한, 와이파이(Wi-Fi) 접근 제어, 데이터 사용량 모니터링 기능도 제공한다. 이 기능은 ‘V3 모바일 2.0’이 사전에 인가한 안전한 와이파이에만 접속하도록 해준다. 또한, 3G 또는 와이파이 기반으로 데이터 사용량을 모니터링하고, 특히 3G인 경우 설정해둔 데이터 사용량을 초과할 때 미리 알려주어 초과 요금 발생을 방지해준다.

스팸 차단 기능으로는 번호, 단어 별로 SMS, 전화 수신 등을 차단할 수 있다. 전화 수신의 경우 발신인이 불쾌하지 않도록 음성 안내가 나온다. 차단된 전화, SMS는 기록이 남아 향후 필요 시 다시 활용할 수 있다.

이러한 기능 외에도 분실된 스마트폰의 위치 정보를 웹 기반 지도에 표시하는 위치 추적 기능과, 웹 스토리지에 데이터를 백업하는 기능이 상반기에 추가될 예정이다. 안철수연구소는 또한 기업의 스마트워크 환경을 충족하는 기업용 모바일 보안 제품도 연내에 출시할 계획이다.

김홍선 안철수연구소 대표는 “안철수연구소는 어느 분야, 어느 기업보다 신뢰가 중요한 기업이다. 이번 일의 심각성을 전직원이 통감하고 있다. 안전한 IT 환경을 만들겠다는 사명감으로 일구어온 신뢰를 지키기 위해 각오를 새로이 하겠다”라고 밝혔다.

V3의 엔진 장애는 ‘V3 Lite’와 ‘V3 365 클리닉’이 설치된 PC에서 정상 파일을 악성코드(Trojan/Win32.OnlineGameHack)로 진단하는 오류였다. 기업/기관이 사용하는 V3 인터넷 시큐리티(Internet Security) 제품군은 해당되지 않았다.

안철수연구소는 이번 같은 V3 엔진 장애 재발을 방지하기 위해 ▲테스트 강화 ▲프로세스 정교화 ▲오류 조기 발견/차단 시스템 구축으로 3단계에 걸친 대책을 마련했다. 즉, 엔진 배포 전 테스트를 강화하고, 엔진 빌드(개발 및 배포) 과정의 자동화 프로세스를 더욱 정교하게 점검해 오류를 사전 차단할 방침이다. 또한 만에 하나 오류가 발생할 경우 즉시 발견해 확산을 방지하고, 최단 시간 내 정상 엔진으로 교체해 복구하는 실시간 안전 시스템을 개선할 계획이다.

아울러 정상 파일이 등록되는 데이터베이스(DB)인 ‘화이트리스트(White List)’와, 클라우드 기반 보안 신기술인 ‘스마트 디펜스(AhnLab Smart Defense)’를 강화할 계획이다. 현재 약 400테라바이트(409,600기가바이트)인 화이트리스트 용량을 올해 내에 1페타바이트(1,024테라바이트) 급으로 대폭 확장해 실시간 대응을 강화한다는 것이다.

한편, 안철수연구소는 이번에 V3 엔진 장애를 발견한 즉시 수정 복구 엔진을 개발해 재배포했다. 또한 전사 비상 체제를 가동해 전화, 휴대전화 문자, 홈페이지를 비롯해 트위터, 블로그, 페이스북, 미투데이 등의 소셜 미디어 등 다각적인 통로로 장애 사실과 조치 방법을 안내했다. 아울러 전직원이 장애 발생 직후인 11일부터 14일까지 주말 동안 24시간 전화 상담, 원격 점검, 복구 CD 배달, PC 복구 등 피해 최소화에 총력을 기울이고 있다.

13일 10시 현재 약 2천 540건의 장애 신고를 받아 PC를 정상화한 상태이다.

안철수연구소는 어제 밤 11시경 발생한 V3 엔진 업데이트 장애로 당시 PC를 사용중이던 V3 개인 사용자들에게 응용프로그램삭제 등 일부 PC 오류가 나타나, 12시경 즉각 긴급 수정 엔진을 배포했다.

PC 오류가 발생한 고객층은 무료백신 V3 Lite와 유료백신 V3 365 클리닉을 사용하는 개인 사용자이며, 기업이나 기관은 해당되지 않는다.

해당 증상은 V3 Lite와 V3 365 클리닉이 해당 PC에서 Trojan/Win32.OnlineGameHack라는 진단명으로 다수의 실행파일들을 진단하며 발생했다. 안철수연구소는 V3 수정 엔진을 배포해 당시 PC를 사용중이던 사용자들의 PC 오류를 정상화했다.

안철수연구소는 어제 밤 엔진 장애 발생 직후 트위터를 통해 즉시 장애 사실을 알리고 조치방법을 안내하는 동시에, 홈페이지에 장애 사실과 대처방법을 공지했다. 또한 전사 비상체제를 가동해 장애가 발생하는 사용자들의 전화상담(02-2186-6000, 유료 제품 사용자 고객은 02-2186-3000) 및 고객지원 등 각종 조치를 취하고 있다.

오류엔진 업데이트 시점인 10일 오후 10시 50분부터 11시 50분까지 PC를 사용하지 않았거나 V3 업데이트를 받지 않은 사용자는 문제없이 평상시대로 PC를 이용할 수 있다. 또한 실시간 검사창에 뜨는 악성코드 치료 버튼을 누르지 않은 사용자도 안전하다.

또한, 이전에 V3 Lite 혹은 V3 365로 PC 정밀검사와 빠른검사를 실행한 경우, 주요 실행파일들을 보호하는 화이트리스트 기능이 작동해 부팅 등 PC의 주요기능이 일반적으로 손상되지 않는다. 안철수연구소는 이 기술이 V3에 탑재돼 있어 부팅장애 등 주요기능 장애를 겪는 고객은 많지 않을 것이라고 밝혔다. 다만 전에 검사를 하지 않은 새로 생성된 파일일 경우 등 특수한 PC환경에서는 문제가 생길 수 있다.

안철수연구소는 사용자의 문서, 사진 등 자료는 PC 내부에 남아 있으니 부팅 장애가 발생한 고객은 컴퓨터를 포맷 하지 말고 안철수연구소(02-2186-6000, 유료 제품 사용자 고객은 02-2186-3000)로 연락할 것을 당부했다.

안철수연구소는 “엔진장애로 인해 PC이용에 불편을 드린 점 머리숙여 사과드립니다”라며 거듭 사과했다.

또한, 만약 PC가 켜진 상태에서 윈도가 정상화되지 않은 경우는 다음과 같이 조치하도록 안내했다.

<PC가 켜진 경우 오류 발생시 조치방법>
1. V3 실시간감시를 OFF 한다.
2. 윈도에서 제공하는 ‘시스템복원’ 기능을 통해 시스템복원을 한다.
3. V3를 최신버전(2011.03.11.02)으로 업데이트 한다.

그렇지만, 어제 밤 V3 오작동시 PC를 꺼버린 경우 재부팅시에는 일부 PC가 윈도가 정상적으로 동작하지 않을 수 있다.

<PC를 끈 후 켰을 때 PC 오류 발생시 조치방법>
1. 윈도를 안전모드로 부팅한다.
2. 윈도에서 제공하는 ‘시스템복원’ 기능을 통해 시스템복원을 한다.
3. V3를 최신버전(2011.03.11.02)으로 업데이트 한다.

안철수연구소의 진단이다.

안연구소는 지난 4일 오전 10시와 오후 6시 30분에 국내 40개 웹사이트를 대상으로 발생한 디도스 공격과 2009년 7월 7일 디도스 공격의 차이점과 유사점을 발표했다. 또한 4일 오후 6시 30분에 디도스 공격을 한 악성코드들의 파일 관계도를 공개했다.

이번 공격의 가장 큰 특징은 7.7 디도스 대란과 유사했지만 더욱 업그레이드된 공격을 했다는 것이다. 우선, 7.7 때는 마지막 디도스 공격 날인 10일 자정에 하드 디스크와 파일이 손상됐다. 당시 백신을 설치하지 않은 PC에서는 날짜를 변경하도록 안내했다.

그런데 이번에는 날짜를 이전으로 바꾸거나, 감염 시점을 기록한 noise03.dat 파일을 삭제할 경우에 하드 디스크와 파일이 손상된다. 그러나 공격자는 명령을 파일을 다운로드시켜서 즉시 손상되는 것으로 변경했다. 또한 손상시키는 운영체제도 7.7 때는 닷넷 프레임웍 기반인 윈도우 2000/XP/2003에 국한됐으나, 이번에는 모든 윈도우 운영체제가 해당된다.

아울러 7.7 때는 같은 파일 구성으로 여러 차례 공격했으나, 이번에는 공격 때마다 파일 구성이 달라지고 새로운 파일이 추가 제작돼 분석 및 대응에 시간과 노력이 더 들었다. 대응을 할 때마다 공격자가 실시간으로 작전을 변경한 셈이다. 공격 종료 시점이 명확했던 것과 달리 이번에는 종료 시점이 기록되지 않았다는 것도 차이점이다. 또한 호스트 파일 변조로 백신 업데이트를 방해해 치료하지 못 하게 하는 기능도 새로 추가된 것이다.

또한 이번 공격과 7.7 때의 유사점은 개인 사용자 PC가 디도스 공격자이고, 배포지로 P2P 사이트가 활용됐으며, 외부 서버로부터 명령을 받으며, 사전 계획대로 공격이 이루어졌다는 점이다. 또한 공격 형태와 대상이 유사하고, 공격 목적이 불명확하다는 점, 좀비 PC의 하드 디스크 및 파일이 손상되는 것으로 악성코드의 수명이 끝난다는 점이다.

안연구소가 분석한, 4일 오후 6시 30분에 디도스 공격을 유발한 악성코드들의 파일 관계도에 따르면 각기 역할이 다른 10여 개의 파일이 유기적으로 작동한다. SBUpdate.exe이 처음 설치된 후 해외의 특정 C&C 서버에 접속하는 동시에 ntcm63.dll, ntds50.dll 파일을 생성한다. 이 두 파일은 다시 7개의 파일을 생성해 실행한다. 이 7개의 파일은 역할이 각기 다르다.

즉, mopxsvc.dll 파일은 faultrep.dat(C&C서버 주소를 저장함) 파일을 참조해 C&C 서버에 접속해 명령을 받아온다. watcsvc.dll 파일은 tlntwye.dat 파일(디도스 공격 시각 정보를 담음), tljoqgv.dat 파일(공격 대상 웹사이트 40개의 정보를 담음)을 참조해 디도스 공격을 수행한다. 또한 soetsvc.dll 파일은 noise03.dat(최초 감염 시각을 저장함) 파일을 참조해 하드 디스크 및 파일을 손상시킨다. 4일 오전 10시에 발생한 공격 또한 이와 같은 방식으로 이루어진다. 한편, 5일 밤에는 해외의 특정 C&C 서버에서 clijproc.dll 파일이 새로 다운로드됐다. 이 파일이 다운로드되는 즉시 하드 디스크 및 파일이 손상됐다.

3월 7일 오전 10시 현재 하드 디스크 손상 신고 건수는 30여 건이다. 월요일 기업/기관의 업무 시작을 맞아 안철수연구소 웹사이트 접속이 폭주하고 있는데, 모든 V3 사용자는 실시간 사용 중이면 안심해도 되며, 여타 사용자만 전용백신을 내려받아 검사하면 된다.

한편, 안철수연구소는 현재까지 발견된 악성코드에서는 추가 디도스 공격에 대한 정보는 확인되지 않았으나, 변종 제작 등 유사한 사태가 벌어질 가능성에 대비해야 한다고 강조했다. 즉, 디도스 공격의 발원지인 PC에서 악성코드를 깨끗이 치료하는 것이 근원적인 해법이다. 또한 인터넷 서비스 제공자는 웹사이트가 디도스 공격을 받더라도 서비스 장애가 발생하지 않도록 전문 장비를 구축하고 네트워크 트래픽을 상시 모니터링하는 보안관제 서비스를 이용하는 등 전방위 보안 대책이 필요하다.

안철수연구소는 이번 디도스 공격이 7.7 때보다 교묘해졌음에도 피해가 적었던 것은 자사가 2009년부터 2년여에 걸쳐 투자와 연구한 클라우드 컴퓨팅(Cloud Computing) 개념 보안 전략인 액세스(ACCESS)와 ‘스마트 디펜스’ 기술이 제대로 효과를 발휘했기 때문이라고 평가했다.

즉, 그 동안의 적용 결과를 기반으로 한 자동화 시스템을 통해 악성코드 유포지를 조기에 발견했으며, 악성코드의 행위와 파일 DNA, 파일 관계 등을 신속히 분석했다. 이에 따라 전용백신 및 V3 엔진 업데이트를 신속히 할 수 있었다. ASEC(시큐리티대응센터)의 악성코드 수집과 분석 능력과 CERT(침해사고대응팀)의 위협 모니터링 및 대응 서비스가 유기적으로 작동한 것도 큰 역할을 했다. 아울러 정부 기관인 방통위, 한국인터넷진흥원(KISA), 국정원과 공조 등이 신속히 이루어진 것도 주효했다.

김홍선 안철수연구소 대표는 “보안을 단순히 제품으로 볼 것이 아니라 프로세스로 접근해야 한다. 이번 일을 계기로 각 기업과 기관은 날로 지능화하는 보안 위협에 대응할 수 있도록 글로벌 기준에 맞는 대응 프로세스를 구축해야 한다”라고 강조했다.