설, 추석, 크리스마스 이럴때마다 매체에서 나오는 기사 “비상체제 가동”  사실 그런 비상체제 시간에 보안 사건이 있었다는 것은 내 기억에 별로 없다.

예전 조사에 의하면, 새벽시간에 보안이벤트가 많은 것으로 조사 되었었다. 그 이유는 해커는 남들이 모니터링 하고 있지 않는 그런 빈 시간을 노리기 때문에 새벽 시간에 공격이 가장 빈번하다는 이야기다. 그런데 그 내용도 난 신뢰할수 없다. 미국 조사시간으로 한다면 새벽이겠지만 한국기준시간으로 하면 낮이기 때문이다. 미국해커는 미국만 공격한다는 시나리오란 말인가?

보안은 365 X 7 X 24 인 것이다. 그것이 명절이라고 해서, 그런 모니터링이 약할것이라는 시간을 공격한다는 논리는 좀 맞지 않다는 내 견해다. 방송에서 해커를 촬영하면 꼭 어두운 곳에서 검은색 바탕에 과거 DOS시절 dir 명령이나 또는 매트릭스와 같이 문자열이 올라가는 그런 화면을 보여준다. 어두운 측면을 보여주려 하는 것 같다.

그런데 혹시 재택근무를 해본적인 있는가? 재택근무를 하면 처음엔 편한복장에 세수도 안하고 대충 잠옷입고 일한다. 그러다 보면 실제 일을 할수가 없다. 그러다가 다른 방법을 취하는건 아침에 운동가고, 아침먹고 그리고 옷 깨끗이 입고 일을 시작한다는 것이다. 그렇지 않으면 주어진 업무를 할수가 없기 때문이다. 해커도 마찮가지일것이다. 게으른 해커가 공격에 성공할것 같은가?

악성코드 분석팀장이 인터뷰를 이렇게 했다. “명절 아침에 차례지내다가 비상연락받고 차례도 끝마치지 못하고 사무실에 복귀한적이 있습니다.” 차례 지내는 시간 얼마나 걸린다고 그것을 못 마치고 사무실로 가야한다니 안타까울 따름이다.

그러니 혹 해커! 이글을 읽는다면 우리 쉴때 같이 쉬자, 난 휴가도 가고 싶고, 주말에는 가족과 함께 있고 싶고, 명절엔 부모님과 함께 조상님께 차례를 지내고 싶다. 당신이 있다는 것은 역시 부모가 있었다는 것,

우린 아마추어가 아니잖아!

제목을 보고, 내용을 보고 있다면 저에게 낚인것입니다.

오늘은 피싱에 대해서 이야기 하려고 합니다. 피싱 Phishing = Private Information + Fishing 이죠. 즉 개인정보를 빼내어가 가는 것을 보통 이야기 합니다. 오늘 주제를 피싱으로 선택한 이유는 보이스 피싱에 대한 내용이 많이 나오기 때문에 왜 그런 보이스 피싱에 걸려 돈을 송금할까?를 이야기 하려는 것입니다.

보이스 피싱이건, 인터넷 피싱이건 왜 그런 수법에 걸려 넘어가게 될까요? 사람이 취약하기 때문입니다. 무엇에 취약할까요? 보이스 피싱의 경우 제가 제목과 같이 “공짜”라는 단어에 넘어간것이죠. 공짜를 싫어할 사람은 없겠지만, 그건 공짜 즉 사람이 선호하는 것을 통해 무엇인가 사기치는 것이지요.
아마도 “왜 내게 이런 공짜를 권하는 것일까? 세상에는 공짜는 없겠지”라고 생각했더라면 이렇게 사기극에 잘 넘어가지는 않겠지요.
어디 TV인터뷰에 보이스 피싱에 넘어간 주부는 본인을 다음과 같이 탓하더군요. “내가 대학교도 나오고 나름 똑똑하다고 생각하고 살았는데, 그리고 그런 보이스 피싱을 보면서 누가 저런 수법에 당하나 생각했는데, 내가 당하고 말았다고 속아서 송금한 돈보다 내 자신이 더 바보같아 속상하다고…”

컴퓨터피싱은 왜 걸리게 될까요? 컴퓨터에 특히 이메일로 보내는 피싱메일은 사용자로 하여금 계정을 업데이트 하라, 유명 누구가 어떻게 되었다 그 기사를 보려면 여기로 가라..그런것이 있는데, 그런 웹사이트에 가면 마치 본인이 사용하는 그 웹사이트와 동일하게 만들어 놓았던가 또는 그 사이트를 방문하는 것만으로도 악성코드에 감염이 되어 귀중한 개인정보가 빠져나간다는 것입니다. 이것도 사람이 취약하기 때문인거죠. 보여지는 웹사이트가 본인이 사용하는 은행사이트와 동일하게 만들어져 있다는 것입니다. 즉 눈에 보이는 것을 다 믿기 때문이죠. 피싱을 만드는 사람을 피셔라고 하는데, 그 피셔는 지금 피싱을 당하는 사람이 당하도록 똑 같이 만들어 놓는다는 것입니다. 이것은 너무 간단한 것이거든요.

사람의 취약점을 가지고 피셔들은 공격을 합니다. 공짜로 유혹하거나 또는 은행/쇼핑몰등의 계정을 업데이트 하라, 또는 특정 기사의 내용을 통해 사이트를 방문하라는 그런 내용은 언제나 한번쯤 의심해 보고 진행하세요. 너무 자신을 과신하는 것이 곧 속는 지름길입니다. 또한 이렇게 취약하기 때문에 시만테과 같은 보안회사가 안티피싱 기능을 제공하기도 합니다. 그리고 충분히 효과가 있지요.

사람이기에 취약한 당신.

어느 기관 웹사이트에 방문했더니, 신종플루 예방수칙이 나와있다.

가리고: 기침할때는 화장지로 입과 코를 가리고:

버리고: 사용한 화장지는 바로 휴지통에 버리고:

손씻고: 손은 비누를 이용해 깨끗이 자주 씻고

신고하고: 37.8도의 발열이 나거나 기침, 목아픔등의 여러가지 증상이 발생하면 의사에게 말하거나 가까운 보건소 또는 의료기관에서 진료를 받아야 한다.

그럼 컴퓨터는 어떻까? 인간용 바이러스가 컴퓨터에서 발생하면 그것을 컴퓨터바이러스라고 부른다. 아침에 출근하다보니, 2명의 여성이 마스크를 쓰고 지나가는 모습을 보았다.

가리고: 인터넷을 할때는 아무리 유명한 웹사이트를 방문한다 하여도 그대로 믿지 말고, 항상 주의하면서 웹서핑을 하고, 반드시 컴퓨터의 OS는 패치를 하고 안티바이러스는 최신의 정의파일을 유지한다.

버리고: 의심스러운 링크는 함부로 클릭하지 아니하며, 컴퓨터에서 받는 파일은 가급적 필요한 경우가 아니라면 그냥 버려리고

손씻고: 최신의 정의파일을 이용하여 가끔 컴퓨터를 검사하고, 출처가 불분명하거나 이상한 파일을 함부로 실행하지 않고

신고하고: 컴퓨터가 이상하게 느려지고, 최신의 정의파일로 점검을 해봐도 점검결과가 나오지 않는 경우는 안티바이러스 회사에 신고하여 이상유무를 확인한다.

출근시 목격한 두 여성은 신종플루로 감염되어 본인이 죽거나 또는 사랑하는 가족에게 전파하여 죽음으로 인도하기 싫어서 예방차원일 것이다. 컴퓨터에도 얼마나 중요한것이 있으냐에 따라 그 정보가 중요하다면 위에서처럼 예방수칙을 잘 지킬것이고, 그렇지 않으면 마구잡이로 인터넷서핑하다가 가끔씩 한번 밀어버릴수도 있을것이다.
그러나 감염되어 복원하는 노력은 그리 쉽지만은 않다. 백업도 되어 있어야 하고, 또 복원하기 위한 시간도 만만치 않다.

그러니 예방이 최선이다. 다른일을 하게 될때 혹 그것이 시간이 조금 걸린다면, 안티바이러스에서 최신정의파일로 업데이트 한다음 전체검사를 실행시켜 놓자. 그러면 돌아왔을땐 검사가 다 끝나 있을 것이다. 그리고 OS패치도 꼭 잊지말자.

곧 여름 휴가를 떠나려고 한다. 그런데 문득 여름 휴가때 무엇을 하는것이 좋은가 한번 생각해 보았다.

우선 집에서 사용하는 인터넷 연결 모뎀을 다 꺼 두도록 하죠. 물론 공유기도 꺼두도록 하자.

혹시 집에서 사용하는 PC를 항상 켜두는 사람이라면, 이것도 꺼 두도록 하자.

그리고 휴가지에서 혹시 아이디/패스워드를 요청하는 사이트에 접속해야 한다면 임시로 패스워드를 바꾸어 놓자. 이유는 이후에 설명한다.

휴가지에서 인터넷을 접속해야 할땐 어떻게 해야 할까? 물론 본인 PC를 가져가게 되면 어느정도는 보안 위험에 노출되어 있는 PC를 사용하는 위험은 줄어들수 있다. 하지만 이때 고려해야 할 부분도 있다.

1) 우선 인터넷을 연결해야 하는데, 다른 HSDPA모뎀등을 사용하지 않고 혹시 무선 인터넷(wi-fi)를 찾고 있지는 않는가요? 이런 공짜 인터넷을 사용하는건 공짜의 짜릿함도 있지만, 한편으로는 위험할수도 있다는 것입니다. 누군가 무선공유기를 설치해 놓고, 여려분이 인터넷 연결을 하여 사용한다면, 그때는 해커가 원하는 모든 것을 얻을 것입니다. 너무 공짜만 좋아하지 맙시다.

2) 휴가지에서 준비해 놓은 PC를 사용하지 않고, 거기에 연결되어 있는 인터넷 라인을 본인이 가져간 notebook으로 연결할때 혹시 인터넷 연결을 위한 아이디/패스워드를 요구할수 있다. 나는 메가패스를 이용하는데, 이 시스템이 바뀌면서 PC가 바뀌면(사실 MAC이 바뀌면) 인증을 요청한다. 본인이 사용하는 인터넷브로드밴드의 아이디/패스워드를 기억해가면 유용할수 있다.

3) 휴가지에서 준비해 준 PC를 사용할땐 더더욱 조심해야 한다. 난 한번도 여행지나 또는 여러 사람이 공동으로 사용하는 PC에서 보안패치가 잘 되어 있거나 또는 안티바이러스 프로그램 하나 제대로 설치되어 있는 것을 보지 못했다. 심지어 악성코드가 감염되어 있는 PC를 더 많이 보았다. 그리고 설치되어 있는 악성코드 제거 툴이 있긴한대, 어찌 이것도 사기성 프로그램을 사용하는 경우가 더 많았다.

http://security.symantec.com/sscv6/WelcomePage.asp 시만텍에서는 공짜로 스캐닝 툴을 제공한다. 설치하여 검색하여 보자 어떤 무료 제품보다도 좋을 것이다. 그리고 악성코드를 발견하게 되면 사용하지 말자. 안전하다고 검색결과가 나왔다더라도 방심하지는 말자. 그냥 정보만 검색하면 좋겠다. 혹시 로긴을 해야하는 사이트에 접속해야 한다면 미리 바꾸어둔 패스워드로 접속하자.

4) PC에 설치되어 있는 여러가지 프로그램은 하지 말자. 왜냐면 해커는 여러분이 소일거리로 실행해볼꺼라는 카드놀이를 바탕화면에 만들어 놓은 다음 여러분이 카드놀이를 실행하면 카드놀이도 실행시켜주지만 다른 해커가 원하는 악성 프로그램이 실행하도록 만들어 놓기도 하기 때문이다.

5) 인터넷을 사용했다면, 집으로 귀향하기 전에는 인터넷 브라우져를 실행하여 방문히스토리 또는 캐쉬 데이타를 지워버리는 것이 좋다.

집으로 돌아오면 무엇을 하여야 할까?

우선 PC를 켰다면 본인이 사용하는 안티바이러스를 최신의 정의파일으로 업데이트 한후 검색을 한번 해보자.

그리고 휴가지에서 패스워드를 이용했다면 그 패스워드를 사용하는 사이트의 패스워드를 다시 바꾸자. 혹시나 내가 사용한 패스워드가 해커가 해 놓은 키로거에 노출되었을까 하기 때문이다.

해커도 휴가를 갈테고, 거기서 아무것도 안하는 해커도 있을것이고, 또 어떤 해커는 휴가지에 가서는 자기의 비지니스를 할지도 모른다.

Zero-Day 공격 주의가 있었다. 7월 23일자 블로그에 올렸었다.

아도비사의 Acrobat Reader와 Flash player에 취약점이 알려졌고, 그 취약점을 공격하는 코드가 이미 공개되었기 때문이다. 지금 해당 벤더사에서 패치가 나왔다.

Acrobat Reader는 프로그램을 실행한후, 도움말 메뉴에서 업데이트 하기 메뉴를 실행하여 업데이트 할 수 있다.

또한 Flash Player는 http://www.adobe.com/support/security/bulletins/apsb09-10.html 링크를 클릭하여 http://www.adobe.com/software/flash/about/ 이곳으로 이동하면 본인이 설치되어 있는 플래쉬의 버전을 알수 있다. 그리고 취약한 버전이라면 업데이트 하면 된다.

지금 당장하는 것을 권고한다.

DDoS세미나를 진행하고 고객과 함께 이야기 하는 시간을 가졌다. 당연 고객의 입장에서는 DDoS를 차단할 수 있느냐에 대한 답을 듣고 싶어 했다.

그러나 DDoS의 모든 것을 다 차단하거나 막는다면, 그 제품을 사는것이 현명할 것이다. 그러나 그렇지 못한것이 현실이다. 차단가능한 부분도 있고 차단 불가능한 부분이 있기 때문이다. 물론 방어하는 측면에서는 어느정도 되는 부분이 있다면 그것 정도는 해 놓아야 된다. 왜 그것이 최선책일테니까.

이번 DDoS의 위험을 이야기 할때, 다들 7.7 대란이라고 표현된 부분만 걱정하고 준비하려고 한다. 즉 DoS공격을 막거나 차단하고 싶어한다는 것이다. 그러나 마지막 공격은 무엇이었는지 기억하는가? 그것은 바로 정보 파괴였다. 문서를 파괴하고 복원이 불가능하게 하는 것이다. 물론 이에 대한 방안은 PC백업 일것이다.

더 큰 문제는 사실 거기에 있지 않다. 더 큰문제는 이와 같은 bot의 형태는 자기가 어떤 공격을 하게되는지 결정된바 없다는 것이다. 이번 공격과 같이 DoS공격을 할수도 있고, 잘 알려진 것처럼 스팸을 발송할 수도 있으며, 또 기밀정보를 빼나갈 수도 있다는 것이다.
다시한번 말하자면, 그냥 좀비만 심어져 있고, 향후에 공격방향은 공격자가 결정한 것을 공격하도록 만들어져 있다는 것이다. 그러니 얼마나 위험한가?

그렇다면 그렇게 좀비에 걸리지 않으려면 어떻게 해야 할까?

1. 우선 PC가 최신의 상태를 유지해야 한다. 이 최신의 상태란 OS 또는 Application을 최신으로 유지해야 한다. 물론 zero-day공격이 있으니 최신으로 해도 위험하다는 것도 유념하자.
2. 보안제품을 설치하자. 안티바이러스/스파이웨어/방화벽/침입차단 등의 사용을 좀더 세밀하게 설정하자. 처음부터 강하게 설정하지는 말고, 서서히 보안수준을 강화하자. 더불어 개별 솔루션 보다는 통합보안으로 만들어진 것을 선택하자. 그렇지 않으면 서로 충돌이 발생하거나 또는 빈틈이 생기게 된다. 물론 안티바이러스의 경우 최신의 정의 파일을 유지하도록 업데이트를 하자.
3. 웹이나 또는 이동저장매체가 악성코드 감염 비율이 높아지므로, 항상 주의해야 한다. 신뢰된 웹사이트라 할지라도 항상 위험이 있을지 모른다는 생각으로 서핑하도록 하자.
4. 시스템에 함부로 애플리케이션을 설치하지 말자. 요즘은 인터넷의 공짜 프로그램을 통해 감염시키거나 또는 그런 것을 배포한는 곳에서 악성코드가 유포된다. 항상 유의하자.
5. 애플리케이션을 설치할때 EULA(end user license agreement)를 세밀하게 읽어보고 진행하자.

언제나 감기바이러스에 걸릴수 있듯이 컴퓨터에도 바이러스가 감염될수 있다는 것 또한 명심하자.

인터넷을 처음 접했을때, WWW 이것을 World Wide Web이니 그런 용어를 외우곤 했다. 그리고 웹을 할때 www을 꼭 붙여야만 하는줄 알았다. 처음 www을 할땐 56K모뎀으로 전화접속을 하여 인터넷을 했고, 인터넷을 할수 있다는 것만으로 대단한 것을 할수 있는듯 보였던 시절이 있다.

그 시절 웹서핑을 할땐 아무런 걱정없이 속도에만 신경쓰고, 검색을 어떻게 해야 잘 하는지 그것만 신경쓰고 자료를 찾았다. 그러면서 와~ 이런 정보까지 인터넷에서 얻을수 있구나 하고 정보의 보고로 인식되는 시절이었다. 또 그때는 웹서버의 관리자만 publisher로 활동했고, 관리자가 허용해준 게시판 정도가 정보를 게시할수 있는 그런 것이었다.

그렇게 정보가 많아지게 되고, 사람들이 그 정보를 많이 이용하기 위해 인터넷 사용이 많아 지면서 offline에서 online으로 많은 것이 바뀌게 되었다.

그런데 또 하나 바뀐것이 있다. 웹이 위험해진것이다. 그 편리했던 그 유용했던 웹이 이제 여기저기에 해커가 쳐 놓은 덫이 널려있게 된 것이다. 사람들이 안전하다고 믿고 찾는 그런 사이트들도 위험에 노출이 되어 있어, 마음놓고 인터넷 하기가 힘들어진 것이다.
문득 어린 시절이 생각난다. 어릴때 이런 여름날이 되면, 모기가 너무너무 많았다. 밤에는 모기장 없이는 잠을 잘수가 없었다. 그런데 밤에 화장실에 가야하는 일이 생기면 정말 무섭다. 화장실에 있는 모기가 무서운것이다. 유독 화장실에는 모기도 많았고, 푸세식이라고 하는 그 화장실에 쭈그려 앉아 볼일을 볼 때면, 또 하나의 적 모기와 싸움을 해야 했다. 그렇다고 화장실에 안갈수도 없고, 가서 앉아 있자니 볼일보며 모기를 쫒아야만 했다. 볼일이 끝나고 나올땐, 배속의 후련함도 있지만, 전쟁의 상처로 인해 엉덩이에 남긴 상처란 너무 심했다.

지금의 인터넷이 어릴적 야간 화장실같다. 안갈수도 없고, 가자니 모기가 기다리고 있고 가끔 뉴스에서 나오는 일본뇌염모기 방송…보고 싶은 내용을 보기 위해 열심히 서핑하고 있느라면, 모기에도 물린것도 모르고 한참을 열중한다. 그럼 벌써 모기는 내 피를 가져갔고, 따가움에 모기에 물린 사실을 알게된다.

인터넷으로 인해 악성코드에 감염율이 점점 증가한다. 해커는 웹으로 눈을 돌렸다. 웹은 보통 방화벽에서도 허용해주는 것이라 그 http프로토콜을 이용하여 bot이 명령을하거나 제어를 하게 된다. 게다가 웹을 할때 도와주는 웹브라우저에 취약점을 이용하여 공격을 하게되고, 또 그 웹브라우저에 플러그인되는 애플리케이션의 취약점을 통해 공격을 한다. 몇일전 아도비사의 플래쉬 재생기의 제로데이 공격이 유명한 웹사이트에 이용된다면 그 피해규모는 어마어마하게 클 것이다.

이런 위험을 줄이기 위해 사실 안티바이러스 하나로는 부족하다. 시그니쳐 방식은 아무리 해도 늦을수 밖에 없고, 그래서 브라우져를 보호하는 기술이 개발이 되어 사용되고, 또한 안전한 프로세스만 허용하게 하는 화이트 리스팅기술, 그런 화이트리스팅 기술을 가능하게 하는 평판기능등이 사용된다. 그래도 인터넷을 할땐 언제나 악성코드에 감염될것을 염두해 두자. 모기는 주로 피만 가져가지만, 인터넷에 있는 바이러스는 개인정보, 기밀정보, DoS공격, 스팸 발송, 파일 삭제, 디스크 파괴등 다양한 것을 할수 있다. 언제나 조심조심.

Tip: 한여름밤 푸세식 화장실 이용팁.
우선 변비에 걸리면 안된다. 굵고 짧게 하는 것이 가장 좋다. 상황이 그렇지 못하다면, 양손으로 모기가 물고 있을지 모르는 엉덩이 맨살을 쓰다듬어 모기를 쫒는다. 개인능력에 따라 엉덩이를 흔들어주면 도움이 된다.

또다시 Adobe가 도마에 올랐다. zero-day공격이 나타난 것이다. zero-day공격이 알려진지 얼마 되지 않았는데 또 다시 해커들은 아도비에 관심을 가졌다.

지금 내 컴퓨터에 설치되어 있는 adobe acrobat reader는 9.12이다. 얼마전 취약점이 나와서 조마조마하면서 패치가 나오길 기대했는데, 패치하고 얼마 지나지 않아서 또 zero-day 공격이 나타난 것이다.

zero-day공격이란, 취약점이 나왔고, 그에 대한 공격코드가 알려져 있는데도 패치가 없는 것을 보통 말한다. 이번 케이스가 또 그런 것이다.

그럼 왜 자꾸 공격자들은 abobe에 관심을 가질까? 그건 많은 사람들이 사용하기 때문에 OS 다음에 많이 사용하는 것이 무엇일까? 가장 많이 사용하는 application이 아닐까? 그럼 MS office 또 아크로뱃리더등이 그 다음이지 않을까?
즉, 물고기가 많은 곳에 가서 낚시 하겠다는 것이다. 물고기도 몇마리 없는 곳에 낚시를 드리우더라도, 잡을 가능성이 없으니, 물반 고기반 있는 곳에 관심을 가지는 것이다.

그럼 abobe사의 zero-day는 어떤 상태일까? 쉽게 비유하자면, 사채빌려 해결사가 온다는데, 문고리가 고장난 것이다. 언제 해결사가 들어오면 큰일인것이다. 문고리를 잡고 있는것도 한계가 있는 것이다. 즉 문수리 할 때까지 긴장하면서 살아야 하는 것이다.

그럼 지금 컴퓨터세상은 어떤가? 해결사=공격자인것이다. 방문하느냐 안하느냐는 해결사의 마음이다. 간단하게 생각해보면, Acrobat이니까, PDF만 열어보지 않는다면 문제가 없지 않을까? 이렇게 생각하면 큰 오산이다. 인터넷도 하지 말아야 한다. 이번 취약점은 사실 Adobe사의 flash player에 문제가 있는것이다. PDF파일에 flash player을 추가 할수 있기 때문에 adobe acrobat reader가 문제있다고 하는 것이다. 그런데 요즘 웹페이지에 글자만 있는 곳을 보지 못했다. 다 움직이는 것은 거의다 플래쉬로 만들었기 때문이다. 그러니까 공격자는 방문자가 많이 방문하는 사이트를 공격하여 이번 zero-day공격 플래쉬를 만들어 링크를 해 놓으면, 웹을 방문하자마다 웹브라우저는 글자를 로딩하고 플래쉬를 실행하게 된다. 이때 공격자의 의도해 놓은 코드가 컴퓨터에서 실행이 되는 것이다.
뭐가 실행되냐고? 그건 공격자가 트로이목마일수도, bot일수도, 웜일수도, 키로거일수도..무엇이든 다 된다는 것이다.

뭐 그렇다고 너무 낙담은 이르다.
그럼 어떻게 하면 이 위험을 줄일수 있을까?
가장 좋은 방법은 acrobat reader도 안쓰고, 즉 열어보지 않고, 또 웹브라우져에 설치되어 있는 flash player를 uninstall하면 된다. 그럼 우선은 안전하다. 다만 웹서핑시 자꾸 flash를 설치하라고 메세지가 나오겠지만 패치가 나올때 까지만 참아야 한다.
그리고 혹 그렇게는 못하겠다면, 시만텍은 이미 이번 공격에 대한 탐지하는 정의파일을 생성해서 전세계에 업데이트 했다. 시만텍 안티바이러스를 사용하면 탐지는 가능하다. 그러나 사실 이것도 도박하는 것과 같다. 시만텍에서는 이번 악성코드를 Tojan.Pidief.G로 명명했다. 그리고 이 악성코드는 아래 링크에 대한 외부접속을 시도한다. 아래 있는 링크를 엔터프라이즈 방화벽에서 차단하거나 또는 개인용방화벽에서 차단하자
http://aop1.homelinux.com
http://connectproxy.3322.org
http://csport.2288.org

그리고 Adobe사가 패치를 빨리 만들어 배포하기를 기다리자.
http://blogs.adobe.com/psirt/2009/07/potential_adobe_reader_and_fla.html

얼마전 DDoS로 한창 국가적인 이슈가 되었다. 여러가지 이야기도 많았고 아직도 밝혀진것은 언제 어느 시간에 어디를 공격했고, 마지막으로 어떻게 숨져는지만 알려졌을뿐 여러가지 이야기가 난무하다.

이제까지 알려진것 처럼 이 좀비가 특정 시간대에 특정 사이트를 공격하도록 시나리오가 짜여있었고, 또 맨 마지막에는 알려진바와 같이 특정 확장자의 파일을 찾아 지워버리고 또 최종으로는 부팅영역까지 파괴하여 복구가 불가능하게 만들어 놓았다.

좀더 특이한 점은 digital forensic에서 보면, 파일의 삭제는 실제 데이타가 지워진것이 아니라 파일의 위치 정보만 삭제한 것이기 때문에 사실 복원이 가능하다는 것이다. 그래서 Disk 복구 센터가 그런 역할을 하는 것이다. 그런데 이번 좀비는 특이하게도 복원이 불가능하게끔, 특정확장자를 찾아 사이즈를 확인하고, 파일의 앞 부분에 zero라는 값을 연속으로 채웠다는 것이다. 즉 복원했다고 하더라도 앞부분 5메가 영역은 없어진것이다. 물론 이것도 기술적으로는 복원이 가능하다고 하지만 그리 쉽지만은 않을 것이다. 그리고 또 마스터 부트레코드값을 파괴하여 부팅까지도 불가능하게 하는 것이 이번 DDoS좀비의 마지막 임무였던 것이다.

이번 악성코드를 만든 제작자는 참으로 시나리오를 잘 쓴것 같다. DDoS의 기술 또는 전파 뭐 이런것이 그리 고도의 기술력을 필요로 하지 않는 기술이지만, 구성상으로 보자면 너무나 잘 짜여진 구성이다. 특정시간 공격을 하고 중지하고 또 다른 시간에 다른 사이트를 공격하고, 중간에 국내 안티바이러스 제작 벤더를 공격하고 그러나 우리나라가 우와좌왕할때 쯤, 자폭을 하는 시나리오. 게다가 악성코드 분석을 해도 몇시간 전에 그 앞에 내용을 알아내도록 하여 대응시간을 주지 않은 점도 아주 높은 점수를 주고 싶다.

그럼 정말로 이 모든 시나리오가 명령제어서버 없이 만들어졌단 말인가? 그렇다면 난 이 공격자에게 A++를 주련다.

어느 기사에 이런 글귀가 있었던것 같다. “만약 이번 DDoS좀비가 실제 공격을 하기위한 리허설에 불과하고 또 이번 리허설을 통해 대응능력이 파악되었을것이니, 아마 앞으로 다가올 공격은 더 큰 재앙이 되지 않을까?”

마지막 시나리오에 대한 답은 백업이었따. 시스템 백업도 중요했지만 PC에 저장되어 있는 데이타백업의 중요성, 그리고 그런 개인 데이타를 주기적으로 백업했더라면, 이번 좀비의 마지막 공격인 데이타파괴는 되었더라도 복원은 가능했을 것이다. 데스크탑에 대한 백업과 복원이 한층 더 중요하게 인식되어야 할것 같은데, 아직 그런 백업이나 복구에 대한 것은 많이 인지되지 않아 보인다. 지금도 늦지 않았다. PC백업 해두자. 미래를 위해서…

DDoS좀비의 마지막 유언은 “나를 찾지마세요”였다.

‘노턴 인터넷 시큐리티 2010′, ‘노턴 안티바이러스 2010′ 베타 버전이 나왔습니다. 훨씬 빠르고 강력해진 기능을 한번 맛보세요. 윈도우 7 완벽히 지원합니다.

베타 버전을 다운로드해 테스트 해보세요. => 다운로드