IoT Security

2016. 09

안랩 온라인 보안 매거진

2

3

6

1 2

1 5

1 8

2 0

2 2

2 4

월간

C O N T E N T S

E X P E R T C O L U M N

영화 ‘제이슨 본’, 현실과 얼마나 닮았나

S P E C I A L R E P O R T

IoT 보안 위협과 대응 방안

IoT 플랫폼에서의 보안 해결책은?

P R O D U C T I S S U E

안랩, V3 제품군 랜섬웨어 대응 기능 업그레이드

V3, 랜섬웨어 대응도 한발 앞서다

F O C U S I N - D E P T H

안랩, 랜섬웨어 대응에 '적응형 보안' 제안

T H R E AT A N A LY S I S

포켓몬고 게임으로 위장한 랜섬웨어

포켓몬 잡으랬더니 내 파일을…!

I T & L I F E

개인정보 유출 사고에 대처하는 우리의 자세

S TAT I S T I C S

2016년 7월 보안 통계 및 이슈

A H N L A B N E W S

안랩, 2018 평창 동계올림픽대회에 보안 솔루션 공식 후원

안랩, 무료 급식 봉사활동 ‘행복한 밥상’ 진행

2016. 09

3

영화 ‘제이슨 본’, 현실과 얼마나 닮았나

E X P E R T C O L U M N Movie & Security

올해 개봉한 영화 ‘제이슨 본’은 시리즈의 근간인 ‘주인공의 정체성 찾기’를 중심으로, 디지털 시대의 ‘국가 안보와 사생활(또는 개인정보,

Privacy)의 대립’이라는 다소 무거운 주제를 담고 있다. 이 영화에서는 미국 중앙정보국(CIA)이 민간인의 온라인 활동 내역을 감시하고 정보를

수집하는, 일명 ‘아이언 핸드’라는 감시 프로그램을 위해 유명 IT 기업이 새로 출시하는 인터넷 플랫폼 서비스를 이용하려는 음모를 주요 소재

로 이야기를 풀어간다.

이 부분에서 흥미로웠던 점은 성공한 IT 기업으로 등장하는 ‘딥드림

(Deep Dream)’이란 기업에 대한 설정이었다. 의도한 것인지는 알 수

없지만 전형적인 인도계 미국인의 이미지로 등장한 딥드림의 CEO

는 구글(Google) CEO인 순다 피차이(Sundar Pichai)를 연상시킨다.

심지어 ‘딥드림’이라는 회사명도 구글의 인공지능인 ‘딥드림’(Deep

Dream)에서 차용한 것이 아닐까 싶다.

리버스 쉘(Reverse Shell)

영화 초반, 전직 CIA 요원이 CIA 노트북을 이용해 원격으로 CIA 중앙

시스템을 해킹하는 장면이 등장한다. 영화 속 CIA는 파기 처리된, 즉

인가되지 않은(Unauthorized) 자산(노트북)이 백도어(Backdoor)를

통해 내부 시스템에 접속한 것을 실시간으로 감지(Detection)하고

대응(Response)에 나선다.

이 과정에서 CIA는 침입한 시스템(노트북)의 위치를 확인하는 한편,

침입자가 탈취하려는 문서 폴더에 황급히 ‘리버스 쉘(Reverse Shell)’

이 포함된 악성코드(Malware)를 심는다(영화 자막에는 ‘멀웨어’라고

영어 그대로 표현하고 있지만, 이 글에서는 ‘악성코드’로 표현한다).

영화 속 CIA는 왜 ‘리버스 쉘’을 사용했을까? ‘쉘(Shell)’은 일종의 명

령어로, 원격의 시스템(클라이언트)에서 어떤 동작이 실행되도록 하

기 위해 네트워크를 통해 명령을 전달하고 결과를 응답받을 수 있는

채널을 구축하는 것을 의미한다. 리버스 쉘(Reverse Shell)은 말 그대

로 네트워크의 연결 방향이 쉘(Shell)과 반대(Reverse)로 이루어 진다

고 이해하면 된다.

제이슨 본(Jason Bourne), 무려 9년 만에 그가 돌아왔다! 광고 포스터만 봐도 귓가에 주제곡이 들리는 ‘본(Bourne)’ 시리즈의 열혈 팬

으로서 영화가 개봉하자마자 설레는 마음으로 극장을 찾았다. 그런데 막상 영화가 시작되자 곳곳에 등장하는 요소들에 좀 더 관심이

기울었다. 전작에서도 해킹이나 감시, 감청 등이 등장했지만 극의 전개를 위한 보조 장치로 쓰였던 반면, 이번에는 초반부터 사이버 공

격이 등장하고 영화 전반에 걸쳐 정보기술(IT)을 이용한 민간인 감시 및 감청을 진지하게 다루고 있기 때문이다. 또 실제 사건을 배경

으로 한 영화가 아님에도 불구하고, 몇 년 전에 발생했던 사건이나 뉴스를 떠올리게 하는 에피소드나 배경도 잇따라 등장한다.

이 글에서는 영화 ‘제이슨 본’에 등장하는 IT 보안에 관한 내용이 현실 세계와 어떻게, 얼마나 닮았는지 이야기하고자 한다. 다만 아직

영화를 보지 못한 이들을 위해 줄거리는 최대한 생략하며, 이 글이 영화를 보다 재미있게 감상하는데 도움이 되기를 기대해본다.

[그림 1] 영화 ‘제이슨 본’ 포스터 (*출처: http://jasonbourne.kr)

4

리버스 쉘의 통신은 방화벽(Firewall)의 특성과 관련 있다. 일반적으로 방화벽은 외부에서 내부로의 접속을 통제하는 네트워크 접근통제 솔루

션이다. 물론 내부에서 외부로의 네트워크 접근도 통제하지만 전자에 비해 상대적으로 유연한 편이다. 이 점을 이용해 내부에서 외부의 특정

네트워크로 연결하기 위한 채널을 생성하여 외부와 통신하는 방식이 바로 리버스 쉘이다. 원격 지원을 통한 AS 서비스나 솔루션 등이 리버스

쉘을 정상적으로 이용하는 예라고 볼 수 있다. 반면 해커들은 이 방식을 이용해 악성코드를 타깃 시스템의 내부에 유입시킨 후 C&C 통신을 통

해 내부 정보를 열람하거나 외부로 유출할 수 있으며, 심지어 2차 공격을 위한 또 다른 악성코드까지 추가로 다운로드할 수 있다. 이와 같이 리

버스 쉘을 사용하면 목표한 내부 시스템에 접속하여 주요 권한을 획득한 후 여러 악의적인 행위를 할 수 있기 때문에 실제로 다양한 공격에 이

용되고 있다. 영화에서는 리버스 쉘이 포함된 악성코드가 이후 제이슨 본의 위치를 추적하는데 핵심적인 역할을 한다.

에드워드 스노든(Edward Snowden)과 민간인 사찰

영화 ‘제이슨 본’에는 실제 인물의 이름과 사건이 잠깐 언급되기도 한다. 영화 초반의 해킹 사건을 CIA 국장에게 보고하는 장면으로, 국장이 얼

마나 심각한 것이냐고 묻자 보고자는 “스노든 때보다 더 심각할 수도 있다(Could be worse than Snowden)”고 대답한다.

2013년 전세계를 떠들썩하게 했던 실존 인물인 에드워드 스노든(Edward Snowden)은 NSA(미국 국가 안보국) 직원이었으나 CIA로 발령이 나

면서 ‘프리즘(PRISM)’이라는 프로그램을 알게 된다. 프리즘은 9.11 테러 후 ‘테러 방지’ 명목으로 NSA가 미국의 주요 IT 기업들이 운영하는 서

버에 접속하여 사용자 정보를 수집하고 분석하는, 정보 수집을 위한 프로그램이다. 더 충격적이었던 것은 미국뿐만 아니라 전세계에 걸쳐 민

감한 개인정보를 수집하고 분석했다는 점이다. 이 사실을 알게 된 에드워드 스노든은 NSA로 복귀한 이후 프리즘과 관련된 정보를 수집하고,

2013년 가디언지를 통해 전세계에 관련 사실을 폭로했다.

이 프리즘 프로그램이 영화 ‘제이슨 본’에서 CIA의 민간인 사찰 프로그램인 ‘아이언 핸드’의 모습으로 다시 나타난 것이다. 이러한 맥락에서 이

영화는 등장 인물의 대사를 통해 직접적으로 ‘스노든 사건’을 언급하고 있다. 최근 방한했던 이 영화의 주인공인 맷 데이먼(Matt Damon)도 한

언론사와의 인터뷰에서 이에 대해 언급하기도 했다.

한편, 영화 속 CIA가 테러 방지의 명분으로 민간인 사찰을 위해 IT 기업의 서비스 플랫폼을 기반으로 빅데이터를 수집하려는 모습에서 연상되

는 기업이 있다. 바로 ‘팔란티어 테크놀로지(Palantir Technologies, 이하 팔란티어)’이다. 팔란티어는 빅데이터 기반의 범죄 예측 시스템을 개

발한 업체로, CIA, FBI, NSA 등에서 첩보 및 테러 방지를 위해 이 업체의 솔루션을 사용하고 있다. 국내에서는 다소 생소한 이름이지만, 기업

가치가 약 200억 달러로 평가되는 팔란티어는 전세계적으로 가장 핫(hot)한 ‘유니콘(기업 가치가 10억 달러 이상인 비상장기업)’ 중 하나다. 그

러나 미국 정부 기관과 주요 기업이 민간인 감시를 위해 팔란티어의 기술을 활용하고 있다 보니 이 업체도 ‘국가 안보와 개인정보의 균형’이라

는 난제로부터 자유롭지 못한 상황이다.

영화보다 더 영화 같은 현실 속 사이버 공격

이 밖에도 영화 ‘제이슨 본’에는 현실을 모방한 다양한 보안 관련 이슈가 등장한다. 동일한 네트워크에 존재하는 다른 기기(스마트폰)를 통해

원격으로 다른 시스템을 제어하거나 데이터를 삭제하는 장면이나 소형 디지털 기기를 이용해 사용자의 위치를 추적하고 통신을 감청하는 장

[그림 2] 쉘 vs. 리버스 쉘

“물론 그 실제 인물(에드워드 스노든)에 관한 이야기는 아니다. 하지만 우리가 스노든 이후의 세계를 살고 있는 만큼 우리 모두에게

던져진 매우 복잡한 질문을 담고 있다고 할 수 있다. 말하자면 시민 사회의 구성원으로서 우리가 안보의 중요성을 위해 포기할 수 있

는 선은 과연 어디까지인가 하는 것이다” - 맷 데이먼 인터뷰 중에서

5

면은 모바일 및 IoT 기기의 보안 위협을 보여준다.

영화 속 IT 기업인 딥드림과 CIA의 불편한 관계는 얼마 전 미국 연방수사국(FBI)이 테러 용의자 수사를 목적으로 애플에 아이폰 잠금 장치를 해

제해 달라고 요구했던 사건을 떠올리게 한다. 또 그리스의 디폴트(채무불이행) 사태와 관련된 야간 시위 현장이 등장하는 장면에서 정부 기관

이 정보 통제를 위해 소셜 미디어(Social Media)를 차단하는 내용은 2011년 이집트 시위나 2014년 홍콩 민주화 시위를 연상시킨다.

영화 속 CIA는 민간인 사찰을 위한 개인정보 수집에 소셜 미디어를 이용하는데, 현실에서도 소셜 미디어 상의 개인정보는 정보 주체의 의도와

상관없이 악의적으로 이용될 수 있다. 특히, 특정한 타깃을 노리는 공격을 위해 타깃과 관련된 정보 수집에 유용한 경로가 바로 소셜 미디어다.

최근 전세계 주요 기관 및 기업을 대상으로 지속적으로 발생하고 있는 지능형 보안 위협(Advanced Persistent Threat)의 대부분은 타깃 기관

및 기업의 임직원을 공략하는 것에서 시작된다. 타깃 기업의 특정 인물을 겨냥해 관심을 끌만한 내용으로 위장한 이메일을 발송하는 스피어

피싱(Spear Phishing) 등을 이용하면 공격 성공률이 높아지기 때문이다. 이를 위해 공격자들은 소셜 미디어를 통해 공격 대상의 취미, 관심 분

야는 물론 주변인의 정보 및 관계까지 파악한다. 이렇게 파악된 정보를 이용해 관심을 끌만한 내용과 지인이나 업무 관련 인물의 발신자로 위

장한 메일을 발송함으로써 타깃 시스템 내부로 침투하는 것이다.

이러한 타깃 공격이 아니더라도 어쩌면 우리는 이미 직·간접적으로 감시 당하고 있을지도 모른다. 많은 사람들이 1개 이상의 소셜 미디어를 이

용하고 있으며, 우리의 의도와 상관없이 우리의 사생활은 지인들은 물론 내가 알지 못 하는 사람들에게까지 공유되고 있다. 또 잇따라 발생하

는 온라인 개인정보 유출 사건으로 “개인정보는 공공재”라는 우스갯소리도 나오고 있다. 이제 우리는 물리적인 장치나 형태로 존재하는 정보

뿐만 아니라 서버에 저장된 보이지 않는 정보에 대해서도 관리해야 하는 복잡한 시대, 무엇이 사실이고 허구인지 구분하기 어려운 시대를 살

고 있다. 그래서 이 영화를 보는 내내 섬뜩함을 느꼈는지도 모르겠다. 너무나 현실을 닮아 있어 영화와 현실의 경계가 점차 모호해진 탓이다.

끝으로, 보안 업계 종사자라면 흥미, 혹은 반가움을 느낄 장면 하나를 소개한다. 영화의 긴장이 최고조에 달할 즈음, 갈등의 주역들이 라스베이

거스의 한 호텔에서 개최되는 ‘엑소콘(ExoCon)’이라는 행사장에 모여든다. 주인공 뒤편으로 낯익은 보안 업체들의 이름이 선명하게 드러나는

이 엑소콘은 매년 라스베이거스에서 개최되는 ‘데프콘(DefCon)’이라는 해킹 컨퍼런스와 ‘블랙햇(Black Hat)’이라는 보안 컨퍼런스의 이름과 컨

셉을 따온 것으로 보인다. ‘엑소콘’이라는 이름에서 유명 아이돌 그룹의 콘서트(Exo Concert)가 아닌 해킹 컨퍼런스를 떠올린 것은 결코 ‘아재’

라서가 아니라 직업적 환경 때문인 것이 확실하다.

참고 자료

http://news.kbiz.or.kr/news/articleView.html?idxno=41991

http://blog.naver.com/jayzjay/220720443882

https://deepmind.com/

http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist=1&seq=25399

https://en.wikipedia.org/wiki/DeepDream

http://news1.kr/articles/?2602024

S P E C I A L R E P O R T IoT Security

IoT 보안 위협과 대응 방안

사물인터넷(Internet of Things, 이하 IoT)은 환경이 변화하면서 기존의 기술이 ICT(Information and Communication Technologies)

로 융합되고 분리되는 과정에서 나온 새로운 용어일 뿐 특별히 새로운 개념은 아니다. 그러나 최근 디바이스 기술이 빠르게 발전됨에

따라 네트워크로 단말을 제어하여 단순한 정보만을 제공했던 과거와 달리 다양한 정보를 생산해내는 역할로 확대되어가고 있어 보안

의 접근에 있어서도 변화가 필요한 상황이다.

이 글에서는 IoT 환경에서 고객의 비즈니스를 어떻게 안전하게 보호할 수 있는지에 대해 알아보고 안랩의 IoT 보안 플랫폼에 대해서

살펴본다.

IoT 플랫폼에서의 보안 해결책은?

6

ICT의 발달은 우리 주변의 다양한 사물들의 네트워크화를 촉진시켜 모든 것이 연결되는 초연결사회를 도래시켰다. 초기 IoT는 M2M(Machine

to Machine), 즉 주로 대규모 인프라 설비나 산업 시설을 대상으로 설비의 운영 효율을 높이는데 초점을 맞췄다. 그러나 최근 IoT 환경은 모바

일, 클라우드, 빅데이터와 같은 다른 IT 기술과의 연계를 통해 한 단계 더 진보된 사업 모델을 제시하는 것에 초점이 맞춰져 있다.

글로벌 기업의 IoT 플랫폼 기반 서비스

그럼 IoT 플랫폼 기반의 서비스를 진행하는 글로벌 기업들은 어떻게 접근을 하고 있을까?

애플은 지난 2015년 스마트폰으로 집안의 기기들을 제어하는 스마트홈 플랫폼인 ‘홈킷(HomeKit)’을 출시했다. 이를 통해 집안의 조명과 온도

조절은 물론 창문의 그늘까지도 제어할 수 있는 서비스를 제공한다. 홈킷은 iOS9부터 지원되며 스마트기기를 제어하는 허브 역할을 주도하고

있다. 특히 아이폰, 아이패드 등 애플의 디바이스를 비롯해 이와 연결된 아이클라우드(iCloud), 아이튠즈(iTunes) 등과의 결합으로 스마트홈 영

역의 IoT 플랫폼 서비스를 보여주었다.

구글도 지난 2015년 스마트홈 관련 새로운 IoT 플랫폼을 발표했다. 기존 스마트홈 플랫폼인 ‘네스트(Nest)’보다 진화된 IoT 전용 운영체제인

‘브릴로(Brillo)’, 개방형 표준 통신 규약인 ‘위브(Weave)’ 등이다. 즉, 구글의 IoT 플랫폼에서 브릴로는 IoT 시스템의 구동을, 위브는 IoT 기기와

클라우드 서버, 스마트폰 사이의 통신을 담당한다.

삼성전자도 초소형 규격 그리고 최고 수준의 저전력 IoT 통합 개방형 플랫폼인 ‘아틱(ARTIK)’을 전세계에 공개했다. 아틱은 내장된 기능에 따

라 조금씩 차이는 있으나 CPU를 비롯하여 D램, 낸드플래시, 블루투스 등을 통합시킨 SoC(System-on-Chip) 형태의 통합형 개발보드이다. 여

기에 개방형 하드웨어 위에서 동작하는 소프트웨어 플랫폼인 ‘아두이노(Arduino) OS’를 접목했다. 더불어 오픈 클라우드 영역에 스마트싱스

(SmartThings)의 ‘사미(SAMI)’를 결합시킴으로써 아틱 플랫폼 기반 하에서 어떠한 기기와도 연동이 가능하도록 접근성을 높였다.

IoT 산업의 성장과 보안 위협

위에서 언급한 것과 같이 글로벌 기업마다 IoT 플랫폼 기반의 서비스를 마련하는 이유는 IoT 디바이스 수나 시장 규모의 예측을 통해서 확인할

수 있다.

글로벌 리서치 기관인 가트너는 IoT 디바이스 수가 2016년 64억개에서 2020년까지 208억개로 증가할 것으로 예측했다. 또한 IoT 디바이스의

개당 평균 가격을 대략 145달러로 추정했을 때 2020년 시장 규모를 총 3조 달러로 전망했다. 이 밖에 프리스티지 애널리틱스에서는 스마트홈

시장을 2016년 690억 달러에서 2020년 1,115억 달러로 확대될 것으로 내다봤다.

이렇게 큰 폭의 성장이 예상되는 IoT 산업은 ICT 기반 기술과의 융합을 동반하는 복잡한 기술생태계를 형성하고 있기 때문에 영역을 넘나드는

크로스 도메인(Cross Domain)과 크로스 계층(Cross Hierarchy)의 보안 기술 개발이 필요하다.

77

현재 TV와 냉장고 같은 가전제품에서부터 자동차 해킹을 통한 원격제어에 이르기까지 IoT 디바이스의 확대로 인한 보안의 위협이 지속적으로

증가하고 있다. 그로 인한 기업의 비즈니스 문제와 국가 차원의 사회적 문제까지로 크게 확대되어 이슈화될 것으로 예상된다.

실제 발생한 사례를 보면, 10만 개의 가전제품이 대량의 스팸 메일에 악용되어 정상적인 서비스가 불가능하게 하고, 차량의 펌웨어를 변조하

여 제어권을 획득한 후 차량의 안전을 위협하는 일들이 발생했다([그림 1] 참고).

이러한 보안 위협은 가전, 차량과 같은 특정 도메인에만 국한된 것이 아니라 다양한 산업 영역에서도 발생되고 있다. 예를 들어 ▲개인정보나

스마트홈과 같은 단말기 영역 ▲취약한 공유기 해킹과 같은 네트워크 ▲ 산업용 제어시스템과 같은 기반시설의 공격 등에서 이러한 양상이 나

타나고 있는 상황이다.

이렇게 발생된 주요 해킹의 공격 방법은 주로 네트워크 취약점을 해킹하거나 직접적으로 디바이스를 해킹하여 제어권을 뺏는 방식이다. 이를

디바이스 해킹이라고 하며, 하드웨어를 제어하는 소프트웨어인 펌웨어를 해킹하는 것으로 응용 SW의 제어권이 해커에게 넘어가게 되는 것을

의미한다.

또한 사물인터넷 서비스 확산으로 인터넷에 연결된 디바이스 자체가 사이버 해킹의 대상이 됨에 따라 보안에 대한 위협이 더욱 증가했다. 실

제 국내외에서 여러 해킹 사례가 있었으나 저전력과 저사양의 플랫폼 제약으로 인해 전통적인 보안 방법으로 이러한 환경을 보호하기에는 아

직 충분하지 않은 상황이다. 따라서 IoT 플랫폼에 적합한 다양한 보안 기술이 적용되어야 할 필요성이 생겨나기 시작했다.

공격 위협의 접근 방식 측면으로 IoT 보안 위협을 살펴보면 ▲물리적 접근 위협 ▲논리적 접근 위협 ▲네트워크 공격 위협 등 3가지가 있다([그

림 2] 참고).

우선 물리적 접근 위협으로는 저장장치 자체를 직접 탈취하여 펌웨어를 분석한 후 취약점을 발견하여 암호키 유출, 파일 위∙변조, 데이터 변조∙

유출, 악성코드 삽입 등의 행위가 가능하다. 또한 논리적 접근 위협으로는 대표적으로 인젝션 공격을 들 수 있다. 이는 정상적인 프로세스의 인

젝션 공격을 통해 루트(Root) 권한을 획득할 수 있으며, 이를 통해 암호키 유출이나 데이터 변조∙유출 행위를 할 수 있다. 이외에도 네트워크

도∙감청을 통해 획득된 정보를 외부 C&C 서버와 통신하여 데이터를 유출할 수 있는 네트워크 공격도 발생할 수 있다.

물론 이러한 각각의 보안 위협에 따라 인증, 권한 제어, 암호화 같은 전통적인 보안기술이 존재한다. 하지만 IoT 플랫폼에는 구조적 제약 사항

들이 있다.

[그림 1] IoT 보안 위협 사례

[그림 2] 공격 위협의 접근 방식으로 살펴본 IoT 보안 위협

88

첫째, 급증하는 악성코드에 대해 기존의 시그니처 매칭 기술로 대응하기에는 한계가 있다. 둘째, IoT 플랫폼에 최적화하여 소형화된 반도체에

기존의 복잡한 보안 기술을 적용하는데 어려움이 있다. 셋째, 최신의 보안 상태를 유지하기 위한 보안 업데이트나 패치를 수행할 경우 재인증

과 같은 비용이 많이 소요된다. 결론적으로, 최근 다양한 IoT 플랫폼에 기존 고비용의 보안 기술을 적용하기에는 적합하지 않다는 것이다.

IoT 공통보안 7대 원칙

그렇다면 IoT 플랫폼에서의 보안 문제는 어떻게 해결해야 할 것인가.

앞서 언급한 것과 같이 IoT 플랫폼 환경에서의 보안의 문제가 대두되고 있지만, 지금까지는 기본적으로 고려되어야 하는 공통보안 원칙이

없었다. 그러나 이러한 문제를 해결하기 위해 IoT 국제 표준 인증인 원엠투엠(oneM2M)이 생겨났으며, 올신 얼라이언스(AllSeen Alliance),

OIC(Open Interconnect Consortium) 등을 통해 다양한 기업들이 비즈니스 환경을 주도하기 위한 표준화 경쟁에 나서고 있다.

국내에서는 지난 2014년 10월 미래부에서 ‘IoT 정보보호 로드맵’을 수립하여, 하드웨어 기반의 경량∙저전력 암호모듈 사용과 SW 위∙변조 방지

기능이 내재된 보안운영체제로 사물 보안문제를 해결하도록 제시했다. 여기에는 IoT 플랫폼과 서비스에 대한 설계, 유통과 공급, 유지보수에

이르기까지 모든 단계에 걸쳐 보안을 내재화하는 내용을 담고 있다. 또한, KISA 주관으로 구성된 IoT 보안얼라이언스에서는 「IoT 공통보안 7대

원칙」을 제정하여 IoT 보안에 대한 세부 가이드라인을 공유했다.

[표 1] IoT 공통보안 7대 원칙 (*출처: KISA)

이 7대 원칙에는 IoT 장치와 서비스의 제공자(개발자) 그리고 사용자가 제품설계에서부터 침해사고 발생 시 책임 추적성까지 전체 영역의 보안

요구사항을 고려해야 하는 내용이 포함되어 있다.

IoT 플랫폼 보호를 위한 보안 요소 기술

사물인터넷 정보보호 로드맵에서 제시하고 있는 IoT 플랫폼에 대한 보안 대책은 사실 새로운 보안 기술은 아니다. 이미 2003년 인텔, AMD,

IBM 등이 설립한 트러스티드 컴퓨팅 그룹(Trusted Computing Group, TCG)에서 관련 기술 표준을 만들어 배포한 바 있다. 이러한 표준에 근

거하여 실제 애플의 iOS 보안 아키텍처나 삼성의 녹스(Knox) 보안 플랫폼에 적용되기도 했다.

구분 내용

1 정보보호와 프라이버시 강화를 고려한 IoT 제품ㆍ서비스 설계

2 안전한 소프트웨어 및 하드웨어 개발 기술 적용 및 검증

3 안전한 초기 보안 설정 방안 제공

4 보안 프로토콜 준수 및 안전한 파라미터 설정

5 IoT 제품ㆍ서비스의 취약점 보안패치 및 업데이트 지속 이행

6 안전한 운영ㆍ관리를 위한 정보보호 및 프라이버시 관리체계 마련

7 IoT 침해사고 대응체계 및 책임 추적성 확보 방안 마련

[그림 3] IoT 보안 플랫폼 (*출처: Trusted Computing Group)

99

이 TCG 표준에는 시스템온칩(SoC)의 형태인 TPM(Trusted Platform Module)과 같은 하드웨어 영역의 보안부터 시큐어 OS, 암호화∙인증, 통

합 관리 영역까지 대표적으로 7개의 보안 영역이 포함되어 있다.

지금부터 이 7개의 보안 영역에 대해 자세히 살펴보자.

■ TPM(Trusted Platform Module)

IoT 환경은 사물(Things)에 대한 접근이 용이하여, 아무리 강력한 인증체계와 암호를 사용한다해도 키(Key)를 소프트웨어로 저장할 경우 쉽게

해독이 가능하여 위험에 노출될 확률이 높다. 따라서 키의 복제나 변조가 불가능하도록 하드웨어 기술을 사용해야 하는데 이 부분에 TPM을

활용한다. TPM은 마이크로소프트, 인텔 등이 참여하는 트러스티드 컴퓨팅 그룹(TCG)에서 만든 표준기술로 소프트웨어 기반 보안기술의 한계

를 극복하기 위해 등장했다. TPM은 국제표준(ISO/IEC 11889)의 보안전용 마이크로프로세서로 디바이스 식별과 인증 그리고 암호화와 장치의

무결성을 보장하는 시큐어부팅 기술을 이용할 수 있다. 시큐어부팅 과정에서 UEFI, OS 로더, 커널, 시스템 드라이버, 시스템 파일 등을 각각 암

호화한 고유의 해시값을 TPM에 저장한다. 그 뒤 IoT 기기를 부팅하거나 새로운 실행 명령이 내려질 때마다 내부 소스코드에 대한 고유 해시값

을 TPM에 저장한 해시값과 대조해 위·변조 여부를 확인한다. 그러나 TPM의 경우 보안성이 뛰어나고 응용할 수 있는 부분도 다양하지만 상대

적으로 고가라는 단점이 있다. TPM의 대안으로 AES(Advanced Encryption Standard)나 ECC(Error Correction Code)와 같은 알고리즘 등을

적용한 소형 암호 인증 전용 칩을 사용하면 가격 부담 없이 강력한 인증과 암호 기능을 적용할 수 있다.

■ 시큐어 부트(Secure Boot)

‘시큐어 부트’ 역시 TCG에서 개발한 안전 부팅 기술이다. 소프트웨어의 무결성을 훼손하는 위·변조 행위를 탐지·복구함으로써 제로데이 공격이

나 봇, 백도어 등의 위협에 미탐이나 오탐 없이 대응할 수 있다. 디바이스에서 전원을 켜고 OS가 시스템 통제권을 가져가기 전에 리눅스커널과

시스템의 암호화된 서명을 확인하고, 보안 인증된 파일의 경우에만 실행하게 한다. 부팅이 완료된 후에는 수시로 커널과 시스템 파일을 체크해

훼손된 경우 원래의 이미지로 복원시켜 시스템의 무결성을 확보하는 것이다.

■ MAC(Mandatory Access Control)

강제적 접근 제어(Mandatory Access Control, MAC)는 낮은 수준의 주체가 높은 수준의 객체의 정보에 접근하는 것을 제한하는 접근 제어기

술이다. 정상적인 애플리케이션은 리소스 접근에 대해 리눅스 커널에서 제공되는 SMACK(Simple Mandatory Access Control Kernel)이라는

모듈을 통해 허용이 가능하다. 반면 악성코드가 포함된 비정상적인 애플리케이션은 사전에 정의된 허용 가능한 접근 정책, 즉, 화이트리스트

정책이 없기 때문에 리소스 접근을 거부(Deny) 당하게 된다. 이 기술을 좀 더 자세히 설명하면, LSM(Linux Security Module) 인터페이스를 통

해 리소스 접근을 할 때 기본적으로 리눅스 커널에서 제공되는 보안 모듈을 이용하게 된다. 이때 사용자가 정의한 화이트리스트의 유무에 따

라 리소스 접근을 허용하거나 거부할 수 있게 하는 커널 보안 기술로 기존에 알려지지 않은 악성코드나 지능형 위협(APT) 공격과 같은 대응에

강력한 보안을 제공하는 특징을 갖는다.

■ 파일 시스템 암호화(File System Encryption) 및 통신 암호화(Communication Encryption)

앞서 언급했듯이 IoT 플랫폼의 경우, 저장 장치를 떼어내어 쉽게 정보를 획득할 수 있기 때문에 개인정보나 금융정보 등 중요 정보의 탈취

를 예방하기 위해 반드시 암호화가 필요하다. 파일 암호화 관련 공개 기술은 eCryptFS를 사용할 수 있다. 통신 암호화는 공개된 SSL(Secure

Socket Layer), IPSec 표준 암호화 프로토콜 등을 이용하여 IPSec VPN과 SSL VPN을 활용하여 센서와 게이트웨이간 또는 센서와 서버간 통신

을 암호화하여 중요정보 유출이나 가로채기 공격 등을 방어할 수 있다.

■ 인증(Authentication)

사용자·기기·애플리케이션 인증의 경우, 제조사 서명 검증과 같은 애플리케이션단의 기기인증과 OTP/패스워드와 같은 사용자 인증이 있다.

최근에는 기존 패스워드와 같은 보안 방법에 추가적으로 보안을 높이기 위해 FIDO(Fast Identity Online)와 같은 인증 프로토콜을 사용한다.

대표적인 것으로 삼성페이와 같은 모바일 결제 서비스에서 사용자 인증으로 활용되고 있다.

■ 보안 관리(Security Management)

마지막으로 살펴볼 것이 관리와 운영측면에서의 보안이다. 기존의 대부분 사물(Things)은 패치나 업그레이드 시의 보안 문제에 대해 제대

로 구현된 사례가 많지 않다. 하지만 업데이트 서버 해킹을 통한 업데이트 파일 변조는 동시 다발적인 오작동을 유발하여 대형사고로까지 이

어질 수 있는 매우 심각한 문제이다. 따라서 단말에 대해 전자서명을 이용한 패치 파일 무결성을 보장하고 디바이스 위치와 상태추적, 장

애발생 감시, 성능검사, 펌웨어 업그레이드 등을 위해 TR-069(Technical Report 069) 프로토콜, OMA-DM(Open Mobile Alliance-Device

Management) 프로토콜을 사용한다. 디바이스에 대한 전반적인 보안관리를 중앙 서버에서 모니터링을 하면서 최신 보안 정책을 유지하는 것

이 중요하다.

지금까지 IoT 플랫폼을 전체적으로 보호할 수 있는 보안 요소기술을 살펴보았다. 이론적으로는 보안 하드웨어, 보안 OS, 개발환경 통합 등 다

양한 보안 요소 기술을 적용하면 안전한 IoT 플랫폼을 구현할 수 있다. 하지만 앞서 소개한 모든 기술을 최소화된 단말에 적용하기란 현실적인

어려움이 존재한다. 따라서 비즈니스에 적합한 플랫폼을 선정하고 해당 하드웨어, OS 환경에 최적화된 보안 표준 요소기술을 활용하는 것이

무엇보다 중요하다.

1010

IoT 보안 이슈와 사례: 스마트홈 보안 위협

지금부터는 IoT 플랫폼 영역의 하나인 스마트홈 영역에 대해 좀 더 알아보고자 한다. 2000년대 초반 가전업체들은 전력선을 활용해 집안의 냉

장고·세탁기를 원격 조정하는 시스템을 선보였다. 여기에 ‘스마트(Smart)’라는 단어가 붙으면서 확장되어 불리게 된 것은 2010년 이후다.

세계적인 수준인 한국의 스마트 가전과 네트워크 통신 기술에 비해 스마트홈은 아직 저조한 보급률을 보이고 있다. 하지만 스마트홈 시장은

네트워크 연결 가속화에 따라 국내 스마트 가전과 통신 업체들로부터 새로운 성장 동력으로 기대를 모으고 있는 상황이다. 이러한 변화 속에

서 통신사들은 스마트홈 시장의 주도권을 선점하기 위해 LTE 무선망이나 기가급 유선망을 통한 홈네트워크 시스템 개발에 주력하고 있다.

이러한 스마트홈 환경에 있어서의 보안은 과연 안전할까?

안랩은 공동주택에서 홈네트워크의 허브 역할을 하고 있는 월패드 시스템에서 발생할 수 있는 보안 위협을 분석했으며, 대표적으로 3가지 형

태의 공격을 확인했다. 월패드를 이용한 공격 3가지는 ▲강제 패킷 전송을 통한 기기 제어 ▲월패드 권한 획득을 통한 제어권 장악 ▲원격으로

PC와 스마트폰을 이용한 공격 등이다.

그럼 각각의 공격과 대응을 위해서는 어떤 보안 기술을 사용할 수 있는지 살펴보자.

■ 강제 패킷 전송을 통한 기기 제어 공격과 대응 방법

공격자는 동일 세대의 네트워크 망의 패킷을 캡처한 후 변조된 패킷을 발생시켜 월패드 접속한다. 이를 통해 집안 내의 조명과 도어락 등의 기

기를 제어하며, 도청과 도촬도 가능하다.

이 경우의 보안 방법으로는 앞에서 소개한 커널 접근제어 기술인 LSM의 MAC 방식을 이용하는 것이다. 이 기술을 통해 네트워크에서 보내는

패킷의 상태를 확인하여 해당 패킷의 정상 유무를 확인하고 비정상적 접근의 경우 제어 명령을 차단시키는 것이 가능하다.

■ 월패드 권한 획득을 통한 제어권 장악 공격과 대응 방법

공격자는 월패드의 계정정보를 탈취하여 월패드의 제어권을 장악한 후 감염된 월패드 실행파일을 실행시켜 홈네트워크에 연결된 스마트기기

에 임의의 공격을 시도할 수 있다.

이에 대해 화이트리스트 검사를 통한 실행파일 변조 여부 확인 후 커널 접근제어 기술인 MAC을 이용하여 파일 시스템 변조 공격에 대한 방어

가 가능하다.

■ 원격으로 PC와 스마트폰을 이용한 공격과 대응 방법

공격자가 원격에서 월패드 시스템 서버에 접근할 때 비 암호화 통신이나 네트워크 로그인 세션관리에서의 취약점을 이용하여 공격을 시도할

수 있다. 이는 통신 시 아이디, 패스워드가 그대로 노출된 정보를 활용하거나 데이터 재생 공격 등을 통해 제어가 가능하다.

이에 대한 보안 대책은 기기 인증이나 사용자 인증을 통해 1차로 방어가 가능하고, 추가적으로 통신 구간 자체를 암호화하는 방법으로 원격제

어 공격을 원천적으로 예방할 수 있다.

안랩이 분석한 3가지 공격 방법 이외의 다른 공격을 예방하기 위해서는 전 세대의 기기의 안정성을 유지해야 한다. 이를 위해 전자서명을 이용

한 업데이트나 패치 파일을 중앙에서 제공함으로써 최신의 보안 정책이 실시간 적용될 수 있어야 한다.

안랩의 IoT 보안 플랫폼

지금까지 TCG 기반의 IoT 플랫폼의 보안 요소 기술과 스마트홈 보안 위협에 대해 알아보았다. IoT 보안 위협은 아직 멀게 느껴지지만 실제로

취약점이 존재하고 이를 악용한 보안 사고들이 발생하고 있다. 특히, IoT 보안 위협은 금전적인 손해 정도로 그치는 것이 아니라 프라이버시

침해, 사회적 재해, 인명 사고로 이어질 수 있을 만큼 위협적이므로 지금이라도 보안에 대한 준비가 필요하다.

[그림 4] 월패드를 악용한 공격 시나리오

1111

[그림 5] 안랩 IoT 보안 플랫폼

안랩은 IoT 플랫폼을 안전하게 보호하기 위해서 FIDO와 같은 진보된 사용자 인증은 물론 데이터 암호화나 통신 암호화 기술에서부터 애플리

케이션 및 네트워크 기반의 커널 보안 기술까지 IoT 플랫폼의 전체 영역에 대해서 보안을 제공하기 위해 노력하고 있다. 특히, 스마트홈과 관

련된 비즈니스 분야에서 다양한 IoT 디바이스 제조사나 소프트웨어 개발사들과의 협력을 통해 안전한 IoT 환경을 만들어 나가는데 주력할 방

침이다.

12

P R O D U C T I S S U E V3 & Ransomware Response

12

안랩, V3 제품군의 랜섬웨어 대응 기술 및 기능 업그레이드

랜섬웨어에 감염되어 파일이 암호화되고 나면 공격자에게 돈을 지불하지 않는 한 파일 복구가 거의 불가능하다는 것은 널리 알려진

사실이다. 결국 감염되지 않도록 예방하는 것만이 최선이지만, 전세계적으로 신•변종 랜섬웨어가 급격하게 증가하는 반면 마땅한 예방

책은 없는 실정이다.

안랩은 자사 기술과 제품을 기반으로 ‘랜섬웨어 멀티레이어드 대응(Multi-Layered Detection & Response)’ 체계를 마련하고, 다양한

진단 기술과 기능 추가를 통해 랜섬웨어 대응력을 지속적으로 강화하고 있다. 특히 지난 6월 V3 제품군에 디코이 진단 기술을 적용한

데 이어, 최근에는 ‘랜섬웨어 보안 폴더’ 기능을 추가하는 등 엔드포인트에서의 능동적인 랜섬웨어 대응 강화를 꾀하고 있다.

V3, 랜섬웨어 대응도 한발 앞서다

안랩이 자사 윈도우용 V3 제품군의 랜섬웨어 대응 강화를 위해 ‘랜섬웨어 보안 폴더’ 기능을 추가했다. 새로 추가된 랜섬웨어 보안 폴더는 V3

365 클리닉, V3 Lite를 비롯해 V3 인터넷 시큐리티 9.0(V3 Internet Security 9.0), V3 엔드포인트 시큐리티 9.0(V3 Endpoint Security 9.0),

V3 넷 포 윈도우 서버 9.0(V3 Net for Windows Server 9.0) 등 개인 및 기업용 V3 제품군에서 이용할 수 있다.

파일 암호화 방지의 키, ‘랜섬웨어 보안 폴더’

V3에 새롭게 추가된 ‘랜섬웨어 보안 폴더’ 기능은 사용자가 지정한 폴더에 허용하지 않은 프로세스가 접근하는 것을 차단하는 기능이다. 사용

자가 중요한 파일이 저장된 폴더를 ‘랜섬웨어 보안 폴더’로 설정하면 해당 폴더 내 파일에 대한 수정이나 삭제, 또는 해당 폴더 안에 새로운 파

일을 생성하는 것을 방지한다. 따라서 만일 랜섬웨어가 PC에 유입되더라도 보안 폴더로 지정된 폴더 내의 파일은 암호화하지 못 한다.

USB나 외장하드 등을 이용한 번거로운 백업 작업이나 복잡한 PC 복구 설정과 달리, 간단한 설정만으로 중요한 파일이 암호화되는 것을 방지

할 수 있어 랜섬웨어 피해 예방에 실질적인 효과를 발휘할 전망이다. 또 별도의 복구 솔루션 도입도 필요하지 않아 기업의 보안 비용 부담과

운영 및 관리 부담까지 해소할 수 있을 것으로 기대된다.

1313

랜섬웨어 보안 폴더 기능은 [그림 1]과 같이 ‘환경설정’에서 사용 여부를 선택(On/Off)할 수 있으며, 마찬가지로 환경설정에서 보호할 폴더의

경로를 지정할 수 있다. ‘랜섬웨어 보안 폴더 대상 설정’에서 ‘추가’ 버튼을 통해 최대 100개까지 폴더 지정이 가능하다. 단, 운영체제 구동과 관

련된 폴더 및 파일은 수시로 변경이 필요하기 때문에 해당 폴더는 랜섬웨어 보안 폴더로 설정할 수 없다.

랜섬웨어 보안 폴더로 지정된 폴더에 허용되지 않은 프로세스, 즉 편집 시도가 발생할 경우 [그림 2]의 왼쪽과 같은 ‘접근 차단’ 알림창이 나타

난다. 또 랜섬웨어가 주로 사용하는 프로세스가 확인될 경우, 알림창([그림 2] 오른쪽)을 통해 상세한 안내를 제공한다. 랜섬웨어가 주로 사용하

는 프로세스는 허용 프로세스로 추가할 수 없다.

신•변종 랜섬웨어에 대해 보다 강력하게 대응하기 위해 ‘랜섬웨어 보안 폴더’로 설정된 폴더 내 파일에 대한 편집이 원천적으로 제한된다. 사용

자가 해당 폴더 내의 파일을 수정 등 편집하기 위해서는 환경설정에서 ‘랜섬웨어 보안 폴더 사용’을 비활성화하거나 ‘허용 프로세스 설정’ 기능

을 통해 수정을 원하는 파일에 대해 예외 처리를 해야한다. 단, 이 경우 랜섬웨어 감염 시 해당 파일이 암호화될 우려가 있다. 편의를 위해서는

가급적 수정이 완료된 중요 문서나 수정이 불필요한 사진, 영상 등이 보관된 폴더를 보안 폴더로 지정하는 것이 좋다.

‘미끼’를 물어버리게 하는 디코이 기술

안랩은 지난 6월, V3 제품의 신•변종 랜섬웨어 진단 강화를 위해 ‘디코이(Decoy) 진단’ 기술을 새롭게 적용했다. 디코이 진단이란 말 그대로 랜

섬웨어를 유인하는 미끼(Decoy)를 이용하는 기술로, 특정한 파일 및 폴더를 이용해 암호화 또는 파일명 변경 등을 시도하는 프로그램을 탐지

및 차단한다.

안랩은 V3 제품군의 디코이 진단 기술 적용 후 2개월 여간 사용자 의견을 수집하였으며, 9월 중 패치를 통해 디코이 기능의 사용자 편의성을

[그림 1] V3 ‘랜섬웨어 보안 폴더 설정’

[그림 2] V3 랜섬웨어 보안 폴더 알림창

1414

강화하고 최신 랜섬웨어 동향을 반영할 예정이다. 기존에는 ‘숨김 폴더’ 속성을 이용해 루트(Root) 경로에 디코이 폴더를 생성하는 방식이었으

나, 이번 업데이트를 통해 숨김 폴더 옵션을 활성화(On)하더라도 사용자에게는 디코이 폴더와 파일이 보이지 않도록 변경함으로써 불편함을

최소화했다.

또 다중 문서 변조 행위를 기반으로 랜섬웨어를 탐지하는 기능도 추가된다. 최근 일부 랜섬웨어는 기존의 랜섬웨어와 달리 PC 감염 후 랜덤한

순서로 파일 및 폴더를 암호화한다. V3는 다수의 문서를 변경하는 행위를 탐지함으로써 효과적으로 대응한다. 이 밖에도 최신 랜섬웨어를 포함

해 시스템 재부팅 시 함께 시작되도록 설정하는 기능을 가진 악성코드를 차단하는 기능이 추가되는 등 V3의 악성코드 대응력을 한층 강화했다.

안랩은 강력한 랜섬웨어 대응을 위해 V3 제품군 및 MDS를 비롯한 다양한 자사 제품의 진단 기술과 기능을 지속적으로 개발 및 개선하고 있

다. 기업 환경 및 비즈니스 특성에 따라 V3와 지능형 위협 대응 솔루션 AhnLab MDS를 따로, 또 같이 이용함으로써 더욱 강력한 멀티레이어

드 대응(Multi-Layered Detection & Response)이 가능하다. 또한 안랩은 지난 7월부터 자사 홈페이지를 통해 신∙변종 랜섬웨어 탐지 및 격리

프로그램인 ‘안티 랜섬웨어 툴‘ 베타 버전을 개인 및 기업에 무료로 제공하고 있다.

한편 이번 V3 제품군 업데이트와 관련해 이호웅 안랩 연구소장은 “V3 제품군은 이미 시그니처, 클라우드, 행위 기반, 디코이 진단 등 랜섬웨어

를 비롯한 최신 보안 위협 대응 기술을 제공하고 있다”며, “이번 업데이트로 개인과 조직의 전반적인 보안 위협 대응 수준을 향상시킬 수 있을

것으로 기대한다”고 말했다.

15

디지털 비즈니스 시대의 보안

바야흐로 디지털 비즈니스 시대가 본격화됐다. 디지털 세계와 물리적 세계의 경계를 무너뜨린 디지털 비즈니스의 성장은 단순히 기존 비즈

니스에 IT 기술을 접목시킨 것이 아닌, 새로운 비즈니스 모델을 탄생시키고 있다. 한발 더 나아가 최근에는 클라우드(Cloud), 소셜 미디어

(Social Media), 인공지능(Artificial Intelligence), 사물인터넷(IoT), 빅데이터(Big Data) 등 IT 기술을 활용한 디지털 트랜스포메이션(Digital

Transformation)이 화두가 되고 있다. 디지털 트랜스포메이션은 기술(Technology)뿐만 아니라 사람(People), 프로세스(Process)의 변화까지

포함하는 것으로, 기업의 경우 비즈니스 전반에 걸친 변혁이 요구되는 길고 험난한 여정이다. 그럼에도 불구하고 많은 기업들은 이러한 급격한

변화를 그 어느 때보다도 빠르고 적극적으로 수용함으로써 자신들이 속한 비즈니스 생태계에서의 생존과 더불어 새로운 시장 발굴의 기회를

모색하고 있다.

보안 측면에서도 디지털 비즈니스의 확대는 기존과 전혀 다른 시각의 접근이 필요하다. 디지털 비지니스의 확대는 단순히 기존 위협(Risk)의

확대가 아닌 지금까지 예측할 수 없었던 새로운 디지털 위협(Digital Risk)의 발생을 예고하고 있다. 따라서 예측하기 어려운 알려지지 않은 위

협이라면 사전 방어는 더욱 어려울 수 밖에 없다. 이에 글로벌 리서치 기관인 가트너는 새로운 위협이 등장하는 시대에는 사전 대응을 중심으

로 하기 보다 보안 사고가 발생하더라도 유연하게 대응할 수 있는 복원 능력(Resilience) 관점의 보안 전략을 수립해야 한다고 강조하고 있다.

즉, 이제 기업의 보안 또한 디지털 비즈니스가 가져오는 변화에 대한 흡수력을 갖추는 동시에 변화의 적응 과정에서 잠시 발을 헛디디더라도

금세 일어나 대응할 수 있는 회복 탄력성을 갖추는 것이 중요하다는 것이다.

F O C U S I N - D E P T H AhnLab EPP Strategy

AhnLab Endpoint Protection Platform Strategy

안랩, 랜섬웨어 대응에 ‘적응형 보안’ 제안

[그림 1] 보안 패러다임의 변화 (*출처: Gartner)

16

[그림 2] 안랩의 랜섬웨어 대응 전략: 네트워크 샌드박스와 엔드포인트 보안 연계

고객이 현재 겪고 있는 보안 위협, 랜섬웨어

보안 업체는 곧 닥칠 디지털 비즈니스 시대의 새로운 위협에 대해 준비해야 하는 숙명을 안고 있다. 그러나 그에 앞서 고객이 현재 겪고 있는

보안 위협에 대응하는 것도 보안 업체의 최우선 과제다. 현재 전세계 수많은 기업들은 랜섬웨어(Ransomware)라는 악랄한 악성코드에 위협

당하고 있으며, 이를 해결해줄 솔루션을 찾고 있다.

최근 급격히 증가하고 있는 랜섬웨어가 기업의 핵심적인 비즈니스 자산을 생성 및 관리하는 시스템을 장악하는 사건이 잇따라 발생하고 있다.

이제 랜섬웨어는 전세계적으로 가장 심각한 보안 위협이 되었다.

2015년 10월에 발간된 사이버 위협 얼라이언스(Cyber Threat Alliance)의 ‘수익성 좋은 랜섬웨어 공격: 크립토월 3.0 위협 분석(Lucrative

Ransomware Attacks: Analysis of the CryptoWall Version 3 Threat)’ 보고서에 의하면, 크립토월 3.0의 제작자는 전세계적으로 3.25억 달러

(한화 3900억 원)의 수익을 올린 것으로 추정된다. 해당 보고서가 지난 2015년 1월에 크립토월 3.0이 발견된 후 9개월이 지나 발간되었다는

점을 고려하면 크립토월 3.0은 한 달에 약 350억 원 이상의 범죄 수익을 발생시킨 것이다. 크립토월 외에도 수많은 랜섬웨어가 지속적으로 나

타나고 있어 랜섬웨어에 의한 전체 피해액은 족히 수조 원 이상에 달할 것으로 추론된다.

랜섬웨어는 일반적인 소프트웨어처럼 기능 등을 보완한 업그레이드 버전을 계속 내놓는가 하면, 백신 프로그램을 우회하기 위해 다양한 공격

기법과 신∙변종 악성코드를 활용하는 지능형 위협 공격(Advanced Persistent Threats)의 양상을 띠는 등 무서운 속도로 진화하고 있다. 그러나

대개 장기적으로 잠복하는 ‘지능형 악성코드’와 달리 랜섬웨어는 파일 암호화 등을 위한 최소한의 사전 작업 이후에는 스스로를 노출하고 제한

된 시간 내에 신속하게 금전 결제를 하도록 유도하는 적극성을 띤다. 이러한 이유때문에 기존의 보안 솔루션만으로는 랜섬웨어의 유입을 사전

에 완벽하고 차단하고 탐지하기에는 한계가 있다.

안랩의 랜섬웨어 대응책, V3 + MDS

안랩은 엔드포인트 보안 솔루션인 V3 인터넷 시큐리티(V3 Internet Security, 이하 V3)와 지능형 위협 대응 솔루션인 MDS의 상호 연동을 통

해 랜섬웨어에 효과적으로 대응한다. V3는 시그니처와 클라우드 기반의 위협 인텔리전스를 기반으로 평판 및 행위 기반 등의 진단 기술을 이

용해 랜섬웨어를 탐지 및 차단한다. 특히 행위 기반 진단 기술을 고도화해 랜섬웨어의 유입, 실행, 파일 암호화 과정 등 전 단계에 걸쳐 랜섬웨

어의 행위를 방어한다.

지능형 위협 대응 솔루션인 MDS는 기업 내부로 유입되는 파일을 네트워크 레벨에서 수집 및 탐지하고 샌드박스를 기반으로 신종 악성코드

및 익스플로잇에 대해 정적 및 동적 분석을 수행한다. 또한 MDS는 엔드포인트 레벨에서 ‘실행 보류(Execution Holding)’ 기능을 이용한 능동

적인 대응을 제공한다. 실행 보류 기능은 의심스러운 파일이 MDS에서 분석되는 동안 해당 파일이 PC 상에서 악의적인 행위를 하지 못하도록,

말 그대로 ‘실행’을 방지하는 것이다.

즉, 이 기능은 신∙변종 랜섬웨어로 의심되는 파일이 PC에 저장된 문서, 사진, 영상 등의 파일을 암호화시키는 등의 랜섬웨어 행위를 하지 못하

도록 사전에 차단하는 한편 정밀한 분석을 통해 악성 여부를 판단함으로써 랜섬웨어의 위협을 확연히 줄여준다. MDS의 분석 결과 해당 파일

이 랜섬웨어로 판정되면 실행을 차단한 상태에서 관리자에게 분석 결과를 알려준다. 해당 파일이 정상 파일로 판명 날 경우에는 실행 보류를

해제하여 사용자가 파일을 정상적으로 사용할 수 있도록 허용한다.

지금까지의 랜섬웨어 공격 사례를 살펴보면 랜섬웨어가 결국에는 엔드포인트를 타깃으로 공격을 시도한다는 것을 알 수 있다. 안랩은 이러한

엔드포인트 타깃 공격에 대비하기 위해 제로데이(Zero Day) 공격과 악성코드 체류 기간(Dwell time)을 현격히 줄여주는 엔드포인트 시큐리티

하드닝(Endpoint Security Hardening) 솔루션을 제공하고 있다. 대표적인 솔루션으로는 안티바이러스 솔루션인 V3 인터넷 시큐리티 9.0, 운

영체제(OS)와 주요 애플리케이션의 취약점에 대한 자동 패치 관리 솔루션인 안랩 패치 매니지먼트(AhnLab Patch Management, APM) PC

취약점 자동 점검 솔루션인 안랩 내PC지키미 등이 있다.

17

[그림 3] 안랩의 랜섬웨어 대응 전략: 단말의 공격 표면 최소화를 위한 안랩의 엔드포인트 보안

[그림 4] 적응형 보안을 위한 안랩 EPP 아키텍처

고객 사례: A사의 APT 공격과 랜섬웨어 대응 전략

안랩의 고객인 A사는 APT 공격 방어와 랜섬웨어 차단을 위해서 안랩 MDS와 V3인터넷 시큐리티 9.0을 도입하여 운영하고 있다. A사는 2015

년 안랩 MDS를, 2016년에는 안랩 V3를 잇따라 도입했다. A사의 경우 MDS를 악성코드로 의심되는 파일을 사전에 탐지하고 유입 경로를 확

인하는 솔루션으로 활용하고 있다. 또 안티바이러스 솔루션인 V3는 혹시나 전사 네트워크 어딘가에 남아 있을지도 모르는 악성코드를 신속하

게 찾아내 보안 위협을 제거해주는 솔루션으로서의 역할을 톡톡히 하고 있다.

A사의 보안 담당자는 “안랩의 MDS와 V3 도입 이후 랜섬웨어로부터 자유로워졌다. 네트워크 샌드박스 장비인 MDS와 안티바이러스 솔루션인

V3의 연동 효과가 탁월하며, 특히 디코이(Decoy) 진단 기법 등 최신 행위 기반 진단 기법이 지속적으로 추가되고 있어 더욱 신뢰할 수 있다”

고 설명했다.

A사는 MDS와 V3 도입 후 달라진 변화에 대해 어떤 악성코드가 어디서부터 어디로 유입이 되었는지 신속하게 탐지하고 정확하게 보안 조치를

할 수 있게 되었으며, 특히 악성코드 유입 경로를 파악하여 방화벽 등을 통해 유입 경로를 차단함으로써 추가적인 악성코드 감염을 예방할 수

있게 되어 보안 위협 해결을 위해 투입되는 시간을 절감할 수 있었다고 평가했다.

안랩의 EPP(Endpoint Protection Platform) 전략

많은 보안 전문가들은 기하급수적인 신∙변종 악성코드와 다양하고 고도화된 공격 기법을 이용하는 보안 위협을 100% 예방하거나 방어할 수

없다고 얘기하고 있다. 글로벌 리서치 기관인 가트너 또한 현재의 보안 위협은 특정한 보안 영역에 한정된 기술만으로 완벽하게 대응할 수 없

으므로 지속적으로 부족한 부분을 개선해 나가는 ‘적응형 보안(Adaptive Security Architecture)’이 필수임을 강조하고 있다.

안랩은 적응형 보안 아키텍처 완성을 위한 각 보안 요소 기술에 맞는 보안 제품을 선보이고 있으며, 그 영역을 확대하기 위한 기술 개발에 박

차를 가하고 있다. 특히, 안랩은 기존 엔드포인트 보안(Endpoint Security) 영역에서의 단순 제품 공급업체(Product provider)를 넘어 위협 인

텔리전스(Threat Intelligence)를 지향하는 플랫폼 제공업체(Platform provider)로의 변화를 꾀하고 있다. 안랩은 적응형 보안 관점에서 자사

의 보안 솔루션을 연동하고, 애널리틱스(Analytics)와 모니터링(monitoring) 기술을 지속적으로 발전시켜 나갈 계획이다. 또한 고객의 지속 가

능한 사업을 영위하기 위한 보안 구현을 우선 순위에 놓고, 보안 위협 대응의 리드 타임을 최소화하여 신속하게 비즈니스를 정상화할 수 있는

EDR(Endpoint Detection & Response) 체계를 구현하고 실행하는 것을 목표로 두고 있다.

18

RansomwareT H R E A T A N A L Y S I S

랜섬웨어 유포 방식이 나날이 교묘해지고 있다. 특히 더 많은 사용자들의 감염을 유도하기 위해 최신 핫 트렌드와 관련된 파일로 위

장하여 유포하는 사례가 늘어나고 있다. 최근에는 전세계적으로 선풍적인 인기를 끌고 있는 ‘포켓몬고(Pokemon Go)’ 게임으로 위장

한 랜섬웨어가 등장하여 사용자들을 위협하고 있다.

포켓몬 잡으랬더니 내 파일을…!

포켓몬고 게임으로 위장한 랜섬웨어

포켓몬고는 현실 세계에서 직접 즐기는 모바일용 증강 현실 게임이

다. 애니메이션 ‘포켓몬스터’ 속의 친근한 캐릭터와 스토리에 증강 현

실 기술을 접목했다. 한국에서는 아직 공식 출시되지 않았다. 하지만

강원도 속초, 울산 간절곶에서 포켓몬고가 실행된다는 소식이 퍼지자

많은 게임 유저들이 게임을 하기 위해 속초, 울산에 방문하는 진풍경

이 펼쳐질 만큼 한국에서도 단연 화젯거리다.

출시 한 달 만에 폭발적인 매출과 다운로드 수를 기록하고, 5개 분야

에서 신기록을 달성하여 기네스북에 등재되기까지 했다. 한국뿐 아니

라 세계적으로 인기를 얻고 있는 이 게임으로 위장한 랜섬웨어까지

등장해 사용자들의 각별한 주의가 필요하다.

해당 랜섬웨어는 [그림 1]과 같이 게임 대표 캐릭터를 아이콘으로 사

용했다. 사용자가 정상적인 게임으로 인식하도록 위장한 것이다. 하

지만 실체는 시스템 내 파일을 암호화하는 랜섬웨어다.

[그림 1] 포켓몬고로 위장한 랜섬웨어 파일

[그림 2] 자동 실행 프로그램

[표 1] 파일 생성 정보

파일을 실행하면 악성 행위를 시작한다. 감염된 시스템 내 모든 드라

이브 루트 경로에 자기 자신을 복사하고, [표 1]의 경로에 추가 악성

파일을 생성한다. \시작프로그램\ 경로에 악성 파일을 생성했다.

생성된 악성 파일은 [그림 2]에서 보듯 시스템이 시작할 때마다 자동

실행되도록 설정된다.

이후에는 레지스트리 항목을 변경한다. UserList 항목에 “Hack3r”이

라는 레지스트리를 추가하여, [표 2]와 같이 시스템 내 “Hack3r”이라

는 관리자 계정을 생성한다. 레지스트리 값을 0으로 설정한 것을 볼

때, 사용자에게 해당 계정이 보이지 않게 숨기고자 했음을 알 수 있다.

C:\Documents and Settings\Administrator\시작 메뉴\프로그

램\시작프로그램\87121.exe

Drive Root:\PokemonGo.exe

19

[표 2] 변경된 관리자 계정 레지스트리 항목

[표 3] 네트워크 연결 정보

[표 5] 랜섬웨어 감염 예방법

HKLM\Software\Microsoft\Windows NT\CurrentVersion\

Winlogon\SpecialAccounts\UserList

Hack3r = “0”

10.25.0.169:80

- 의심스러운 메일의 첨부 파일 열람 금지

- 콘텐츠 불법 다운로드 금지

- 문서(*.doc, *.ppt, *.pdf, *.hwp), 사진 파일 등 중요 파일의 백업

- 소프트웨어 및 보안 업데이트 수시 적용 - 상당수의 랜섬웨어는 소프트

웨어 취약점을 이용한 드라이브 바이 다운로드(Drive-by-download) 방

식으로 유포됨

[표 2]의 레지스트리 항목 추가로 인해 “hack3r”이라는 이름의 관리

자 계정이 생성되었음을 [그림 3]에서 확인할 수 있다.

분석 결과, 이 랜섬웨어는 교육용으로 제작하여 공개된 히든티어

(Hidden-Tear) 랜섬웨어의 소스코드를 활용하여 제작됐음이 밝혀졌

다. 교육용으로 제작된 소스코드까지 악용하여 사용자에게 피해를 주

는 만큼, 다음 예방법을 참고하여 랜섬웨어에 감염되지 않도록 주의

해야 한다.

V3 제품에서는 해당 랜섬웨어를 다음과 같은 진단명으로 탐지하고

있다.

<V3 제품군의 진단명>

Trojan/Win32.Ryzerlo (2016.08.17.00)

Trojan/Win32.Ransom (2016.08.18.04)

해당 랜섬웨어는 [표 3]의 주소로 네트워크 연결을 시도하나, 분석 당

시에는 네트워크 연결로 인한 추가 악성 행위는 이뤄지지 않았다.

이 랜섬웨어에 감염되면 시스템 전체 화면이 [그림 4]와 같이 변경된

다. 게임 캐릭터와 함께 아랍어 메시지가 나타난다. 아랍어를 쓰는 국

가 사용자들을 대상으로 했음을 알 수 있다. 아랍어 메시지를 번역해

보면 ‘PC 내 파일들이 암호화됐으니, 암호화된 파일을 복구하려면 메

일로 접촉하라’는 내용이다.

변경된 화면이 시스템 전체 화면을 가득 채우고 있으므로 다른 작업

에도 방해를 받지만, 작업관리자(단축키: Ctrl+Alt+Del)에서 실행 중

인 악성 파일을 종료시키면 [그림 4]의 화면은 사라진다.

해당 랜섬웨어는 [표 4]의 확장자를 가진 파일들을 암호화한다.

[그림 3] Hack3r 관리자 계정

[그림 4] 감염 후 변경된 시스템 전체 화면

[표 4] 암호화 대상 파일 확장자

*.txt, *.rtf, *.doc, *.pdf, *.mht, *.docx, *.xls, *.xlsx, *.ppt, *.pptx,

*.png , *.odt, *.jpg, *.png, *.csv, *.sql, *.mdb, *.sln, *.php, *.asp,

*.aspx, *.html, *.xml, *.psd, *.htm, *.gif

20

내 정보가 유출됐다면 진짜 중요한 것은 그 이후부터다. 유출된 개인

정보를 이용한 2차, 3차 피해가 발생할 수 있기 때문이다. 개인정보

유출 사고가 발생했을 때, 기업의 조치와는 별개로 개인이 해야 하는

것은 무엇인지 살펴보도록 하자.

혹시 내 정보도? 유출 여부 확인부터!

자신이 가입한 사이트의 개인정보 유출 사고 소식을 들으면 제일 먼

저 자신의 정보가 유출됐는지부터 확인해야 한다. 개인정보 유출 사

고가 발생한 시점과 언론을 통해 보도되는 시점은 다를 수 있으므로

뉴스를 듣는 즉시 파악하는 것이 바람직하다. 해당 사이트에 접속해

로그인하면 개인정보 유출 여부 및 유출된 정보의 종류 등을 확인할

수 있다.

개인정보 유출이 의심된다면?

개인정보를 처리하는 기업 및 기관은 개인정보 유출이 발생했을 경

우, 홈페이지 등을 통해 지체 없이 정보 주체에게 정보 유출과 관련된

사항에 대해 알려야 한다. 그러나 해당 소식이 언론을 통해 알려지기

까지는 일정한 시간이 소요된다. 언론에 보도되지 않는 개인정보 유

출 사고도 있을 수 있다.

해킹으로 인한 아이디 도용이나 갑자기 증가한 스팸 문자, 보이스 피

싱 등으로 개인정보 유출이 의심된다면 경찰청 사이버안전국(국번없

이 182), 개인정보 침해신고센터(국번없이 118), 대검찰청 사이버 범

죄 수사단(02-2480-3571)으로 신고 및 상담을 요청하면 된다. 또 한

국인터넷진흥원(KISA)이 운영하는 ‘개인정보 침해신고센터’ 사이트를

통해 개인정보 침해 신고에 관한 도움을 받을 수 있다.

I T & L I F E

개인정보 유출 사고에 대처하는 우리의 자세

최근 국내 유명 인터넷 쇼핑몰 가입자의 개인정보가 대량으로 유출되는 사고가 발생했다. 사실 개인정보 유출 사고는 어제 오늘 일이

아니다. 매년 최악의 개인정보 유출 사고 기록이 갱신(?)되고, 그 사고가 잊혀질 즈음 또 다른 사고가 터지곤 한다. 이제는 제법 큰 규

모가 아니고서는 제대로 된 언론의 관심조차 받지 못할 정도다. 개인정보 유출 사고가 발생하면 해당 기업에 대한 비판과 함께 얼마나

많은 양의 정보가 어떤 경로를 통해 유출됐는지, 기업은 어떤 조치를 취하고 있는지에 대한 기사가 쏟아진다. 그런데 정작 개인정보 유

출 피해자인 우리(개인)는 ‘이번에도 또?'라는 생각뿐, 강 건너 불구경 하듯 안일한 생각을 하고 있지는 않은가?

21

같은 아이디와 비밀번호를 사용하는 사이트도 챙겨야

유출 여부를 확인했다면 2차 피해를 막기 위한 조치가 필요하다. 일단 개인정보가 유출된 사이트를 계속 이용할 계획이라면 바로 비밀번호를

변경하는 것이 안전하다. 유출된 아이디와 개인정보를 이용해 접속하려는 시도가 발생할 수 있기 때문이다. 앞으로 해당 사이트를 이용하지 않

을 생각이라면 확실하게 탈퇴를 해두는 것도 방법이다.

또한 유출된 사이트와 같은 아이디와 비밀번호를 사용하는 다른 사이트의 비밀번호도 변경하길 권한다. 타 사이트에 접속하려는 시도가 있을

수 있기 때문이다. 이때 변경하는 비밀번호는 타인이 유추하기 어려운 임의적인 구성의 조합으로 만드는 것이 안전하다.

보이스피싱, 스팸, 피싱, 스미싱 등 2차 피해 주의해야

유출된 개인정보는 또 다른 범죄에 악용될 수 있다. 이름, 핸드폰 번

호, 주소 등의 개인정보를 토대로 보이스피싱, 스미싱, 파밍 등의 범

죄를 시도해 2차, 3차 피해가 발생할 우려가 있으므로 특히 주의해야

한다. 유출 사고 이후 공공기관이나 카드사, 통신사 등을 사칭해 이

름, 카드번호, 은행 계좌번호 등을 언급하며 개인정보나 금융정보를

요청하더라도 절대 알려줘서는 안된다.

또한 솔깃한 내용의 문자나 택배, 초대장 등을 사칭한 문자나 이메일

을 받더라도 절대 메시지의 인터넷 주소를 클릭해서는 안 된다. 만일

개인정보 유출로 불법 현금 인출 및 카드 도용 등의 2차 피해가 발생

했다면 즉시 카드사와 금융감독원에 알려야 한다.

<개인정보 오남용 피해 방지를 위한 10계명>

● 개인정보처리방침 및 이용약관 꼼꼼히 살피기

● 비밀번호는 문자와 숫자로 8자리 이상

● 비밀번호는 주기적으로 변경하기

● 회원가입은 주민번호 대신 I-PIN 사용

● 명의도용확인 서비스 이용해 가입 정보 확인

● 개인정보는 친구에게도 알려주지 않기

● P2P 공유 폴더에 개인정보 저장하지 않기

● PC방에서 금융거래 하지 않기

● 출처가 불명확한 자료는 다운로드 금지

● 개인정보 침해 신고 적극 활용하기

(*출처: 개인정보보호 종합포털)

22

보안 통계와 이슈 S T A T I S T I C S

[그림 2]는 2016년 7월 한 달간 유포된 악성코드를 주요 유형별로

집계한 결과이다. 불필요한 프로그램인 PUP(Potentially Unwanted

Program)가 28.76%로 가장 높은 비중을 차지했고, 트로이목마

(Trojan) 계열의 악성코드가 25.69%, 웜(Worm)이 2.19%의 비율로

그 뒤를 이었다.

지난 7월 한 달간 탐지된 모바일 악성코드는 40만 1건으로 집계됐다.

안랩 시큐리티대응센터(이하 ASEC)는 최근 ASEC Report Vol.79를 통해 지난 2016년 7월의 보안 통계 및 이슈를 전했다. 지난 7월

의 주요 보안 이슈를 살펴본다.

바로가기 파일(.LNK) 형태로 유포되는

랜섬웨어 주의

안랩, 7월 악성코드 통계 및 보안 이슈 발표

[그림 1] 악성코드 추이(2016년 5월~2016년 7월)

ASEC이 집계한 바에 따르면, 2016년 7월 한 달간 탐지된 악성코드

수는 974만 8,954건으로 나타났다. 이는 전월 1,046만 7,643건에 비

해 71만 8,689건 감소한 수치다. 한편 7월에 수집된 악성코드 샘플

수는 612만 1,096건이다.

샘플 수집 수탐지 건수

[그림 2] 2016년 7월 주요 악성코드 유형

Worm DownloaderAdwareTrojanPUPetc

[그림 3] 모바일 악성코드 추이(2016년 5월 ~ 2016년 7월)

11.8%

25.69%

28.76%

29.89%2.19%

1.67%

5,000,000

6,000,000

10,000,000

20,000,000

30,000,000

40,000,000

1,000,000

2,000,000

3,000,000

4,000,000

7월6월5월

6,12

1,09

6

3,02

2,20

6

2,95

7,21

2

9,748,95410,467,64312,129,597

100,000

200,000

300,000

500,000

600,000

700,000

400,000

0

7월6월5월

400,001

321,654

208,702

23

또한 지난 7월 악성코드 유포지로 악용된 도메인은 605개, URL은

1,860개로 집계됐다. 7월의 악성 도메인 및 URL 차단 건수는 총 542

만 4,036건이다.

바로가기 파일(.LNK) 형태로 유포되는 랜섬웨어 등장

최근 바로가기 파일(.LNK)의 확장자로 위장한 랜섬웨어가 발견됐다.

윈도우의 바로가기 파일은 특정 파일의 대상 위치를 가지고 있는 파일

로, 실행을 위해 매개 변수 사용이 가능하다. 이 매개 변수에 특정 문

자열을 추가해 의도한 동작을 수행하도록 할 수 있는데, 최근 이를 악

용한 랜섬웨어가 등장했다.

[그림 5]는 최근 발견된 바로가기 파일 형태의 랜섬웨어로, 이 랜섬웨

어는 명령 프롬프트(cmd.exe)에 자바스크립트(JavaScript) 소스를 입

력하여 악성 스크립트를 실행한다. 악성 스크립트가 실행되면 특정

URL로 연결하여 문자열 정보를 수신한다. 수신된 문자열 정보는 [그

림 6]과 같으며, 이를 통해 자바스크립트(Javascript) 형태로 작성된

랜섬웨어 악성코드임을 알 수 있다.

해당 악성 스크립트 파일은 윈도우 응용 프로그램인 wscript.exe를

통해 실행된다. 이렇게 실행된 랜섬웨어는 PC의 파일을 암호화한 뒤

감염 안내 메시지를 통해 금전 지급을 요구한다.

V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지하고

있다.

<V3 제품군의 진단명>

VBS/Raalocker (2016.07.07.04)

LNK/Downloader (2016.07.07 .09)

공격자들은 점점 다양한 방법을 통해 지속적으로 고도화된 랜섬웨어

를 제작 및 유포하고 있다. 랜섬웨어에 의한 피해를 방지하기 위해서

는 평소 사용하는 백신 프로그램의 엔진을 최신 상태로 유지하는 한

편, OS 및 주요 프로그램의 최신 보안 업데이트를 적용하여 드라이

브-바이-다운로드(Drive-by-download) 공격을 방지하는 것이 필요

하다. 또한 중요한 파일은 평소 외장하드 등을 통해 별도로 백업해두

는 것이 바람직하다.

[그림 5] 바로가기 파일의 매개 변수에 포함된 문자열

[그림 4] 악성코드 유포 도메인/URL 탐지 및 차단 건수(2016년 5월 ~ 2016년 7월)

악성 도메인/URL 차단 건수 악성코드 유포 URL 수악성코드 유포 도메인 수

[그림 6] 수신된 문자열 정보

10,000

20,000

30,000

8,000,000

9,000,000

40,000

7,000,000

6,000,000

5,000,000

4,000,000

07월

1,8601,682 6053402,691961

6월5월

5,424,036

5,031,326

6,109,635

2424

A H N L A B N E W S

안랩은 ‘2018 평창 동계올림픽대회 및 동계패럴림픽대회 조직위원

회’(이하 조직위)와 ‘공식 IT보안 소프트웨어 서포터(Official Anti-

Malware Software Supporter)’ 협약을 체결했다.

안랩은 이번 후원 협약으로 ▲V3 Internet Security(V3 인터넷 시

큐리티) 9.0 ▲AhnLab Patch Management(안랩 패치 매니지먼트)

▲AhnLab 내PC지키미 등 PC보안 솔루션과 스마트폰용 보안 솔루

션인 ▲V3 Mobile Enterprise(V3 모바일 엔터프라이즈), 윈도우 서

버용 백신인 ▲V3 Net for Windows server(V3 넷 포 윈도우 서버)

9.0 등의 보안 솔루션을 ‘2018 평창 동계올림픽대회 및 동계패럴림

픽대회’에 제공할 예정이다.

이와 함께 안랩은 조직위로부터 평창 동계올림픽 관련 지식재산권

사용 권리와 독점적 서비스 공급 권리, 후원사 로고 노출 권리 등

다양한 마케팅 권리를 인정받게 된다.

권치중 안랩 대표이사는 “‘안전해서 더욱 자유로운 세상’이라는 안

랩의 새 비전처럼 이번 보안 솔루션 후원으로 2018 평창 동계올림

픽이 안전하게 개최될 수 있도록 최선을 다하겠다”고 말했다. 또한

조직위는 “최근 지능형 보안 위협이 지속적으로 증가하는 가운데

안랩의 보안 솔루션을 통해 안정성이 한층 강화된 올림픽 환경을

구축하겠다”고 전했다.

안랩이 지난달 18일, 사단법인 전국천사무료급식소의 서울 종로지

점에서 무료 급식 봉사활동인 ‘행복한 밥상’ 활동을 진행했다.

이번 활동은 임직원 감성지능 교육 프로그램인 ‘1℃’의 일환으로 이날

안랩 임직원은 독거 어르신 약 300여명을 대상으로 점심식사 재료

준비와 배식, 설거지 등의 봉사활동을 하며 따뜻한 온정을 나눴다.

이번 봉사활동에 참여한 박제석 안랩 IT인프라팀 팀장은 “평소 누군

가가 차려준 식사를 하다가, 내가 준비한 식사를 어르신들께서 맛있

게 드시는 모습을 보니 마음의 온도가 1℃ 올라간 것 같다”고 말했다.

안랩은 ‘1℃’ 프로그램의 나눔 활동의 일환으로 지난 3월 ‘소외계층

가정 대청소’에 이어 4월 ‘발달 장애 청소년과 함께하는 나들이 활동’,

6월에는 ‘시각 장애 아동 농촌체험학습 활동’ 등 다양한 임직원 나눔

활동을 지속 전개하고 있다.

안랩, 2018 평창 동계올림픽대회에

보안 솔루션 공식 후원

안랩, 무료 급식 봉사활동

‘행복한 밥상’ 진행

▲ 안랩 임직원들이 독거 어르신들께 점심식사를 배식하고 있다.

발행인 : 권치중

발행처 : 주식회사 안랩

경기도 성남시 분당구 판교역로 220

T. 031-722-8000 F. 031-722-8901

편집인 : 안랩 콘텐츠기획팀

디자인 : 안랩 디자인팀

© 2016 AhnLab, Inc. All rights reserved.

본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제, 복사, 검색 시스템

으로 저장 또는 전송될 수 없습니다. 안랩, 안랩 로고는 안랩의 등록상표입

니다. 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상

표일 수 있습니다. 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다.

경기도 성남시 분당구 판교역로 220

T. 031-722-8000 F. 031-722-8901

© 2016 AhnLab, Inc. All rights reserved.

http://www.ahnlab.com

http://blog.ahnlab.com

http://twitter.com/ahnlab_man