안랩 온라인 보안 매거진 - ahnlab,...
TRANSCRIPT
Critical Infrastructure Threats
2016 06
안랩 온라인 보안 매거진
2
3
5
1 0
1 4
2 0
2 3
2 5
2 7
월간
C O N T E N T S
E X P E R T C O L U M N
영화 같은 은행 해킹 사건
S P E C I A L R E P O R T
눈 앞에 나타난 사회기반시설 공격의 lsquo실체rsquo
S P O T L I G H T
안랩 산업군별 ISF Square 2016 진행
고객의 고민을 듣다 대응 전략을 나누다
T H R E AT A N A LY S I S
CryptXXX 랜섬웨어 분석 보고서
[1부] DLL 이용한 CryptXXX 랜섬웨어 분석 완료
[2부] CryptXXX 암호화 비밀과 복구 툴 공개
F O C U S I N - D E P T H
별점으로 살펴본 lsquo개정rsquo 개인정보보호 관련 법령
I T amp L I F E
내 아이를 지키는 rsquo디지털 페어런팅rsquo
S TAT I S T I C S
2016년 4월 보안 통계 및 이슈
A H N L A B N E W S
현대오토에버 lsquo우수 개발협력사rsquo로 안랩 선정
안랩 lsquoAWS 서밋 서울 2016rsquo에서 클라우드 보안관제 서비스 소개
2016 06
3
영화 같은 은행 해킹 사건
E X P E R T C O L U M N Fraud
은행이 직접 공격당하는 일이 처음은 아니다 러시아 갱단으로 추정되는 조직이 2013년부터 30개국 100개 은행을 해킹해 최대 10억 달러(약
1조 1천억 원)를 훔친 것으로 알려졌다 하지만 한 번에 1천억 원 가까운 거액이 털린 건 처음이다 특히 이번 사건은 이체 시스템을 조작한 게
내부자의 짓인지 악성코드가 사용되었는지 처음에는 알려지지 않았다
4월 25일 영국 배시스템(Baesystem)에서 공격에 사용된 것으로 알려진 악성코드 분석 정보를 공개했다 공격자는 은행 내부 시스템에 침투
해 글로벌 금융거래 정보를 안전한 환경에서 교환할 수 있게 은행과 기타 금융기관 간 연결 네트워크를 제공하는 단체인 스위프트(SWIFT
Society for Worldwide Interbank Financial Telecommunication)에서 국제간 거래시 이용하도록 제공하는 시스템을 조작할 수 있는 악성코
드를 만들었다 이는 공격자가 목표 은행의 운영에 대한 깊은 수준의 지식을 가지고 있음을 알 수 있다 이 악성코드 정보가 알려지면서 은행
과 거래 시스템 제작 업체 간 책임 공방도 있었다 스위프트 시스템의 안전성에 문제가 있다는 의견이 나오면서 스위프트는 자사의 네트워크
가 해킹당한 게 아니라는 보도자료를 배포한다 5월 13일에는 과거 사건과 연관된 악성코드와의 유사점이 나오면서 특정 국가의 소행이 아니
냐는 의심도 제기되었다 이는 2014년 소니 픽처스 공격에 사용된 악성코드와 유사한 악성코드가 발견되었기 때문이나 이미 공개된 악성코드
라 의도적으로 비슷하게 만들었을 가능성도 있다는 의견도 있다
사건의 파장은 점점 커지고 방글라데시 은행뿐만 아니라 다른 은행에서도 공격이 있었음이 알려진다 2015년 12월 베트남 은행에서도 비슷한
공격 시도가 있었으며 관련 악성코드도 공개된다 베트남 은행 공격에 사용된 것으로 알려진 악성코드가 방글라데시 은행 해킹에 사용된 악성
코드와 유사하다는 점에서 동일 그룹의 소행일 가능성이 높다 게다가 에콰도르 은행도 2015년에 유사 사건이 있었음이 뒤늦게 밝혀졌고 필
리핀 은행의 피해도 알려졌다 따라서 은행을 노린 유사 공격이 더 존재할 수도 있다
2016년 2월 미국 연방준비은행에 보관된 방글라데시 중앙은행 계좌에서 8100만 달러(약 966억 원)가 사라졌다는 영화 같은 뉴스가 보도된
다 누군가 은행 내부 이체 시스템을 조작해 1억 달러가 넘는 돈을 필리핀과 스리랑카 은행 계좌로 이체했다 필리핀 은행으로 송금된 8100만
달러는 성공적으로 이체되었지만 스리랑카 은행에 2000만 달러(약 231억 원)를 이체할 때 영어 단어를 잘못 써 이를 확인하던 중 발견되었
다 이 사건으로 방글라데시 중앙은행 총재 등은 책임을 지고 사임했다고 한다
방글라데시 중앙은행 총재 기자 회견(출처 AP 연합뉴스)
4
필자는 이번 사건을 보며 몇 가지 생각이 떠올랐다
첫째 완벽한 보안은 역시 없다 우리는 완벽한 보안은 존재하지 않는다고 알고 있지만 그래도 돈을 관리하는 은행이므로 다른 곳보다는 보안
이 완벽할 거라고 믿고 있다 하지만 개인의 인터넷 뱅킹 계좌 해킹이 아니라 다수의 은행 시스템이 해킹되었다는 점에서 다시 한 번 완벽한
보안은 세상에 존재하지 않는다는 깨달음을 얻을 수 있었다
둘째 어떻게 감염되었을까 이체 조작에 악성코드가 이용되었는데 그렇다면 반드시 내부 시스템이 악성코드에 감염되어야만 한다 따라서
어떻게 내부 시스템이 악성코드에 감염되었느냐는 매우 중요하다 지금까지 예상하지 못했던 방법으로 은행 내부 시스템이 감염되었다면 다른
은행도 공격 당할 가능성이 있으니 그 방법에 맞는 새로운 대응 방안을 만들어야겠지만 새로울 게 없는 방법으로 보안이 뚫렸다면 책임 소재
에 대한 비판을 피할 수 없다 하지만 현재까지 어떻게 은행 시스템에 침투했는지 알려진 바는 없다
셋째 공격자는 어디까지 침투해 있을까 방글라데시 은행 해킹 사건을 보면 공격자는 내부 시스템과 이체 절차를 충분히 알고 있었다 따라서
내부자의 도움이 있었거나 공격자가 스스로 알아냈을 수 있다 만약 공격자가 내부자 도움 없이 은행 거래를 지켜보면서 이체 방식을 익혔다
면 오랜 기간 은행 내부 시스템이 악성코드에 감염되었다고 볼 수 있다 이것도 문제지만 은행간 거래와 같이 특수 목적에 사용되는 시스템도
공격자가 조금만 노력하면 충분히 보안 체계를 우회할 수 있다는 점에서 다른 특수 목적 시스템도 안전을 보장할 수 없다
넷째 분석가들도 특수 목적에 사용되는 프로그램이나 절차에 대해 알아야 한다 베트남 은행 해킹에 사용된 악성코드는 2015년 12월 보안 업
체에 전달되었다 하지만 5개월 동안 해당 악성코드는 정상 파일로 분류되어 있었다 만약 방글라데시 중앙은행 해킹과 관련된 악성코드가 알
려지지 않았다면 해당 악성코드는 지금도 정상 파일로 분류되고 있을 가능성이 있다 왜 이런 일이 발생할까 일단 해당 악성코드는 일반적인
악성코드와는 다르게 동작한다 특정 프로그램이 설치된 환경에서만 악성코드가 제대로 실행되기 때문에 특정 프로그램이 설치되어 있지 않은
분석 시스템에서는 별다른 이상을 발견할 수 없다 시스템이 아닌 사람이 분석할 때는 어떨까 우선 분석가는 스위프트에 대해 모를 가능성이
높다 특수 목적으로 사용되는 소프트웨어는 특정 직군의 사람에게는 친숙하겠지만 이외의 사람들은 존재조차 모를 수 있다 스위프트에 대해
안다고 해도 이런 악성코드를 제대로 분석하려면 스위프트 프로그램이 있어야 하고 이체 과정에 대한 지식도 있어야 한다 일반 보안 회사에
서 이런 특수 목적 프로그램을 보유하고 있을 가능성은 낮다 이제 몇몇 분석가들은 스위프트에 대해 알게 되겠지만 다른 특수 목적 사용 시스
템을 노린 악성코드를 분석하면 또다시 정상 파일로 판단할 가능성도 여전히 존재한다 따라서 앞으로 보안 업체는 다양한 산업 분야와 좀 더
긴밀하게 협력해야 하지 않을까 싶다
다섯째 시스템 운영 회사의 신뢰도 하락이다 우선 방글라데시 은행에서 사용하는 보안 프로그램이 궁금했다 해당 보안 회사는 공격을 막지
못했다는 점 때문에 전전긍긍하고 있지 않을까 싶다 보안 프로그램이 모든 공격을 예방할 수 없지만 일반인은 특정 보안 제품이 공격을 막지
못했다고만 기억하게 된다 스위프트 측도 마찬가지인데 악성코드에 일단 감염되면 사람이 컴퓨터로 할 수 있는 대부분의 일을 할 수 있고 기
술적으로도 악성코드가 보안 체계를 우회하기 쉽다 이번 해킹도 악성코드 감염이 은행 과실이라고 해도 서비스를 제공하는 스위프트가 해킹
당했거나 보안에 취약하다고 오해받을 수 있다 실제로 사건 발생 후 금융권의 스위프트 이용 제한 소식도 들려온다
이런 공격을 예방하기 위해서는 악성코드에 감염되지 않기 위해 노력하고 감염되더라도 빨리 이상을 파악해야 하지만 내부 시스템을 모두 관
리하는 건 불가능에 가깝다 따라서 중요 시스템에 대해서만이라도 정기검진처럼 정기적으로 이상 유무를 검사하는 프로세스가 필요하다 단
점검하는 사람도 포렌식이나 악성코드 분석 경험이 충분하고 내부에서 사용하는 프로그램이나 절차에 대해서도 잘 알고 있어야 한다
이 글을 마감하는 5월 말까지 피해를 당한 은행은 4곳이다 하지만 이 글이 공개될 때쯤 어떤 은행이 추가 피해를 입었을지는 아무도 알 수 없
다 영화처럼 천억 원이 넘는 돈이 사라졌지만 범인은 오리무중인 시대에 우리는 살고 있다
참고 자료
Bangladesh bank says hackers stole $100M from its New York Fed accont (httpnypostcom20160307bangladesh-bank-says-hackers-stole-100m-from-its-new-york-fed-account)
8100만달러 해킹∙∙∙물러난 방글라데시 중앙은행 총재 (httpswwwhankookilbocomva22d16d7ee8d49a982857ed8d1952a1f )
The Great Bank Robby Carbanak cybergang steals $1bn from 100financial institutions worldwide (httpwwwkasperskycomaboutnewsvirus2015Carbanak-cybergang-steals-1-bn-USD-from-100-
financial-institutions-worldwide)
TWO BYIES TO $951M (httpbaesystemsaiblogspotcom201604two-bytes-to-951mhtml)
방글라데시 경찰 ldquoSWIFT가 은행 취약하게 해rdquo (httpwwwboannewscommediaviewaspidx=50549ampkind=0)
Statement on recent allegations (httpswwwswiftcominsightspress-releasesswift-statement)
Cyber Heist Attribution (httpbaesystemsaiblogspotkr201605cyber-heist-attributionhtml)
SWIFT Warns Banks Coordinated Malware Attacks Underway (httpwwwbankinfosecuritycomswift-warns-banks-coordinated-malware-attacks-underway-a-9101)
No impact on SWIFT network core messaging services or software (httpswwwswiftcominsightspress-releasesswift-customer-communication_customer-security-issues)
Vietnamrsquos Tien Phong Bank says it was second bank hit by SWIFT cyberattack (httpwwwcnbccom20160515vietnams-tien-phong-bank-says-it-was-second-bank-hit-by-swift-cyber-attackhtml)
제2의 방글라데시 중앙은행 공격 사건 일어났다 (httpwwwboannewscommediaviewaspidx=50602)
Now Itrsquos Three Ecuador Bank Hacked via Swift (httpwwwwsjcomarticleslawsuit-claims-another-global-banking-hack-1463695820)
S P E C I A L R E P O R T Critical Infrastructure Threats
사회기반시설 공격 동향 및 보안에 관한 제언
지난 4월 여수 시내의 한 버스 정류장에 설치된 버스정보안내 시스템에서 약 40여 분간 음란 동영상이 재생되는 사고가 발생했다
최근 미국에서도 텍사스주의 고속도로 전광판이 해킹돼 대선 후보인 트럼프를 조롱하는 문구 등이 밤새 노출되었다 두 사건 모두 별
다른 피해는 없었지만 교통 관련 시설이 해킹되었다는 점은 주목할 필요가 있다 만일 교통 신호등 제어 시스템이나 공항 철도 발전
소의 시스템이었다면 이 글에서는 국내middot외 주요 사회기반시설 공격 동향을 통해 사회기반시설 보안의 시사점을 알아본다
눈 앞에 나타난 사회기반시설 공격의 lsquo실체rsquo
5
사회기반시설은 lsquo기반 시설rsquo lsquo기간 시설rsquo lsquo사회 공공 기반시설rsquo 등으로 불리며 사회 및 경제 활동의 기반을 형성하는 중요 시설을 의미한다 흔
히 lsquo인프라(Infra Infrastructure)rsquo라고도 부르며 최근에는 학교나 병원 공원과 같은 사회 복지 및 생활 환경 관련 시설도 사회기반시설로 분
류하기도 한다
사회 유지에 근간이 되는 이들 시설 또는 시스템이 사이버 공격에 피해를 입을 경우 단순히 재산상의 피해에 그치는 것이 아니라 사회적 혼
란을 야기하거나 시민들의 안전 더 나아가 국가 안보에 심각한 위협이 될 수 있다 실제로 지난 2012년 세계적인 석유 기업인 사우디 아람코
(Saudi Aramco) 해킹 2015년 우크라이나 정전 사태 등은 막대한 재산상의 피해는 물론 사회적 혼란까지 가져왔다
미국 국토안보국(Department of Homeland Security)은 사회기반시설을 16개 주요 분야로 나누고 그중 식료 농업 서비스를 제외한 14개
분야에 대한 주요 보안 리스크를 [표 1]과 같이 분류하고 있다
분야 사이버 보안 위협
화학 bull 화학제품 공정 제어를 위한 네트워크 기반 시스템
통신bull 통신시스템 공격에 따른 글로벌 연결성 저해
bull 통신 인프라 영향
주요 제조 시설 bull 제어 시스템 및 데이터베이스 해킹
댐 bull 댐 제어 시스템 해킹
방위 산업bull 안보 기지 인프라에 대한 DDOS 공격
bull 시스템 오작동 등 국가 안보 기밀 유출
응급 서비스 bull 응급 서비스 통신 시스템 및 네트워크 GPS에 대한 공격
에너지bull 전기 전력 그리드 및 운영 시설 공격
bull 석유 및 천연가스 에너지 관리 시스템 공격
금융 서비스bull 금융 정보 기구의 개인정보 유출
bull 금융 시스템 공격을 통한 대규모 금융 피해
정부 시설bull 자동 보안 제어 시스템 및 데이터베이스 공격
bull 정부 시설 시스템 공격에 따른 기밀 및 개인정보 유출
헬스케어 및 공공의료 bull 진료 시스템 공격으로 의료보험 검진 기록 유출
IT 시설bull IT 시스템 관리 콘텐츠 정보 통신 등 다양한 부분에서의 정보 유출
bull 신분 인증 시스템 공격에 따른 사회 기반 시스템 운영 위협
핵발전 및 처리 시설 bull 핵 시설 제어 시스템 공격
교통 bull 공중 육상 해상 교통 제어 시스템 공격
수자원 및 수처리 시스템 bull 수자원 및 수처리 제어 시스템
[표 1] 미국 국토안보국의 사회기반시설 분류
66
국내middot외 주요 사회기반시설 공격 사례
2000년대 초에도 특정 국가나 사회기반시설을 노린 악성코드가 존재했다 지난 2001년 7월 발견된 코드레드(CodeRed) 웜으로 인해 미국 백
악관 홈페이지에 서비스거부(DoS) 공격이 발생했다 국내에서는 2003년 1월 25일 슬래머(Slammer) 웜에 의한 인터넷 장애가 발생했다 이
를 lsquo125 인터넷 대란rsquo이라 부른다
본격적인 사회기반시설에 대한 사이버 공격은 2000년대 중반 이후에 나타났다 2007년 4월 27일 에스토니아(Estonia) 공화국의 정부 언론
방송 은행의 전산망이 일제히 분산서비스거부(Distribute Denial of Service 이하 DDoS) 공격을 받았다 이 공격으로 대통령궁을 비롯해 의
회 정부기관 은행 이동통신 네트워크 등 에스토니아의 국가 시스템 전체가 약 3주간 마비되는 사태가 발생했다
2008년 6월에는 조지아(Georgia 러시아명 lsquo그루지아rsquo)의 정부 홈페이지 언론사 포털 사이트 등이 대규모 DDoS 공격을 받았다 평균 2시간
15분 최장 6시간 동안 공격이 지속되었으며 사흘간 이어진 공격으로 금융 시스템 장애가 발생하는 등 사회가 마비되었다
2010년부터는 단순한 서비스 장애 유발이 아닌 사회기반시설에 대한 직접적인 공격이 발생한다 가장 대표적인 사례는 2010년 6월 발견된
스턱스넷(Stuxnet)이다 스턱스넷은 지멘스(SIEMENS)사의 산업자동화제어시스템(PCS7)을 타깃으로 하는 악성코드로 2010년 9월 이란의 원
자력 발전소 마비 사태의 주범으로 알려졌다
에너지 분야를 노린 사이버 공격의 또 다른 사례로는 2012년 사우디에서 발생한 사우디 아람코(Saudi Aramco) 해킹이 있다 같은 해 8월 27
일에는 카타르(Qatari) 천연가스 기업인 라스가스(RasGas)도 사이버 공격을 당했다는 사실이 언론을 통해 알려졌다 이후 2015년 우크라이나
에서는 발전소 해킹에 의한 대규모 정전 사태가 발생하기도 했다
우크라이나 정전 사태와 같이 최근에는 교통 및 항공 시설 전력 시설을 노린 사이버 공격으로 인해 일반 시민들이 생활에 불편을 겪거나 심각
한 피해를 입고 있다 최근 국내에서 발생한 사고와 유사한 일이 브라질에서도 발생한 바 있다 브라질의 버스 정류장 안내 시스템이 해킹되어
약 15분간 음란 동영상이 노출된 것이다 항공 시설과 관련해서는 지난 2015년 6월 폴란드 공항이 DDoS 공격을 당해 비행 계획 시스템이 5
시간 동안 마비되었으며 약 1400여 명의 승객이 공항에서 발이 묶인 사건도 있다
[그림 1] 국내외 주요사회기반시설 공격 사례
[그림 2] 해킹된 브라질 버스 안내 시스템(출처 SecurityWeek)
77
이 밖에도 프랑스 방송사 떼베생몽드(TV5Monde) 해킹 및 방송 송출 장애 이스라엘 방송국 해킹 지난 2013년 국내 주요 은행 및 방송국을
노린 3bull20 전산망 마비 최근 발생한 방글라데시 중앙은행 해킹 미국 뉴욕댐 전산망 해킹 미국 내 다수 병원의 랜섬웨어 감염 등 사회기반시
설을 노리는 공격들이 다방면에서 지속적으로 발생하고 있다
사회기반시설 공격에 사용된 악성코드의 실체
앞서 언급한 사례 중 우크라이나 발전소 해킹과 정유 회사 사우디 아람코 해킹 사례를 중심으로 실제 사회기반시설 공격에 사용된 악성코드와
공격 방식에 대해 알아보자
1 우크라이나 발전소 해킹
지난 2015년 12월 23일 우크라이나의 키보브레네르고(Kyivoblenergo) 발전소에 문제가 발생해 이날 오후 3시 35분부터 3시간 동안 약 8만
가구에 전력 공급이 중단됐다 또한 우크라이나 서부 지역의 프리카르파티아오블레네르고(Prykarpattyaoblenergo) 발전소에서도 문제가 발
생해 주변 지역에 대규모 정전 사태가 발생했던 것으로 알려졌다 전화 시스템에도 장애가 발생해 전화 통화도 정상적으로 이루어지지 않았다
정전 직후 언론과 우크라이나 정보부(Security Service of Ukraine)는 사이버 공격의 가능성을 언급했다
우크라이나의 정전이 사이버 공격에 의해 발생했다는 정황이 계속 나타남에 따라 미국 정부도 관련 조사에 착수했다 지난 2016년 1월 미국
국토안보국은 우크라이나 정전 사태의 원인이 사이버 공격으로 드러났다고 발표했으며 3월 18일에는 관련 분석 보고서가 추가로 공개됐다
이 보고서에 따르면 공격자는 이미 6개월 전부터 발전소 내부 시스템에 침입해 관련 정보를 수집하고 악의적인 펌웨어(Firmware)를 개발하
는 등 철저한 준비 후 공격을 수행한 것으로 보인다
이와 관련해 SANS ICS팀과 해외 보안 업체 이셋(Eset)은 우크라이나 정전 사태와 블랙에너지(BlackEnergy) 악성코드가 밀접한 관계가 있다
고 발표했다 한편 우크라이나 정전 사건이 발생하기 한 달 전인 2015년 11월 우크라이나 사이버침해대응센터(CERT Computer Emergency
Response Team)는 우크라이나 선거 기간 동안 언론사를 공격한 블랙에너지 악성코드에 관해 언급한 바 있다 따라서 우크라이나에 대한 블
랙에너지 공격은 정전 사태 이전부터 진행되었음을 예상할 수 있다
블랙에너지는 다양한 변화를 겪어온 악성코드이다 2007년 DDoS 공격에 처음 이용되었으며 2008년 조지아(Georgia) 공격에도 사용되었던
것으로 알려졌다 드라이버 파일로 구성되어 있다는 것이 특징이며 현재에도 꾸준히 변형이 나타나고 있다
우크라이나 발전소를 공격한 것으로 알려져 있는 블랙에너지 악성코드는 악성코드를 떨어뜨리는 드롭퍼와 실제 악성 행위를 수행하는 난독화
된 드라이버 파일로 구성되어 있으며 FONTCACHEDAT 등의 파일이 생성된다
또한 해당 공격에서 공격자는 악성 매크로를 포함한 엑셀 파일을 이용한 것으로 알려졌다 문서를 열어본 사용자가 보안 경고 메시지의 lsquo콘텐
츠 사용rsquo을 선택하면 매크로가 실행된다 매크로가 실행되면 temp 폴더에 vba_macroexe 파일이 생성된다
[그림 3] 우크라이나 발전소 공격에 사용된 엑셀 파일의 매크로 기능
[그림 4] Winpcap 관련 파일로 위장
이렇게 생성된 vba_macroexe가 실행되면 FONTCACHEDAT 파일이 시스템에 생성된다 이 파일은 윈도우 패킷 캡쳐 프로그램인 WinPcap
와 관련된 파일로 위장하고 있다 내부 문자열 또한 Winpcap 관련 파일처럼 가장하고 있다
88
익스포트(export) 함수도 모두 정상 프로그램처럼 되어 있지만 PacketAllocatePacket 코드가 실행되면 암호를 풀면서 실행되며 플러그인 파
일을 다운로드하여 추가적인 기능을 수행한다
2 사우디 아람코(Saudi Aramco) 해킹
지난 2012년 8월 15일 세계 최대 규모의 석유 기업 중 하나인 사우디 아람코(Saudi Aramco)가 사이버 공격으로 약 3만 대의 시스템에 장애
가 발생하는 피해를 입었다 같은 날 자신들을 lsquo정의의 검(Cutting Sword of Justice)rsquo이라고 자칭하는 단체가 아람코 해킹이 자신들의 소행이
라고 주장했다
사우디 아람코 해킹에 사용된 악성코드는 lsquo샤문(Shamoon)rsquo 또는 lsquo디스트트랙(Disttrack)rsquo 등으로 불리며 사전에 내부 시스템을 파악하고 데이
터를 삭제하기 위해 제작된 악성코드이다 공격자가 어떻게 내부 시스템에 침입했는지는 아직 알려지지 않았다
샤문 악성코드의 구조는 [그림 6]과 같다 드롭퍼(Dropper)는 하드디스크 파괴 악성코드를 시스템에 떨어뜨리는 역할을 하며 데이터 삭제 기
능과 보고 기능만 가지고 있다 파일 속성 정보를 살펴보면 lsquoDistributed Link Tracking Serverrsquo라는 설명과 함께 마이크로소프트에서 제작한
파일로 가장하고 있다
[그림 5] 아람코 해킹에 관한 lsquo정의의 검(Cutting Sword of Justice)rsquo의 주장
[그림 6] 샤문(Shamoon) 악성코드 구조
[그림 7] 샤문 악성코드의 드롭퍼 등록 정보
99
데이터 파괴 파일은 lsquoCShamoonArabianGulfwiperreleasewuperpdbrsquo와 같은 PDB 정보를 가지고 있다 lsquoArabianGulfrsquo와 같은 문자열을
통해 명확한 공격 대상을 가진 악성코드임을 짐작할 수 있다
데이터 삭제 파일이 실행되면 드라이버 파일(drdisksys)을 생성하고 파일 목록을 얻는다 이후 시스템에 존재하는 파일을 JPEG 이미지로 덮어
쓴다 끝으로 하드디스크 MBR을 덮어써 시스템을 사용할 수 없게 하고 lsquoshutdown -r -f -t 2rsquo로 종료시킨다 한편 이 악성코드는 피해 시스템
수 등을 보고하는 기능도 갖고 있다
사회기반시설 보안에 관한 제언
지난해 말 안랩을 비롯한 국내외 보안 업체들은 2016년에 발생할 수 있는 보안 위협 중 하나로 사이버테러 및 국가기반시설 보안 위협을 꼽
은 바 있다 그리고 2016년 초부터 방글라데시 중앙은행의 해킹 국내 버스정류장 안내 시스템 해킹 등이 발생했다
사회기반시설은 사회의 근간을 이루는 중요한 시설인 만큼 강력한 보안이 동반되어야 한다는 것은 두말할 필요도 없다 그러나 실제로는 보안
인력이 부족한 경우나 내부 보안 인력의 전문성이 부족한 경우가 있다 또는 시설의 시스템 자체가 적절한 보안이 고려되지 않은 채 설계되었
거나 보안에 취약한 구형 시스템으로 운영되는 경우도 있다
외부 공격으로부터 사회기반시설을 안전하게 보호하기 위해서는 우선 구성원들이 준수할 수 있는 현실성 있는 보안 정책을 수립해야 한다 이
와 함께 적절한 보안 시스템을 구축해 내부로 유입되는 위협을 모니터링 및 차단하고 내부에서 확산되는 위협을 분석 및 대응할 수 있어야 한
다 일반적으로 악성코드의 내부 시스템 침입부터 시스템 파괴 등 악의적인 결과를 가져오기까지는 어느 정도의 시간이 소요된다 수많은 내부
시스템을 파악하고 하나씩 장악해야 하기 때문에 보통 6개월 정도가 걸린다 따라서 공격에 의한 피해가 발생하는 것을 방지하기 위해서는 주
요 시스템에 대한 정기 점검을 통해 이상 징후를 빨리 파악할 수 있어야 한다 이를 위해 전문성을 가진 인력의 양성과 활용이 필요하다 또한
협력 업체에 대한 강력한 보안 방안을 마련해야 한다 공격자들은 침입이 까다로운 사회기반시설을 직접적으로 공격하는 대신 협력 업체를 해
킹하는 등의 우회 공격을 시도할 수 있기 때문이다
한편 사회기반시설 공격 동향에 관한 보다 상세한 내용은 안랩 시큐리티 대응센터 분석팀에서 발표한 lsquo사회기반시설 공격 동향 분석 보고서rsquo
에서 확인할 수 있다
lsquo사회기반시설 공격 동향 분석 보고서rsquo 전문 보기
[그림 8] PDB 정보 내의 특징적인 문자열
참고 자료
- Data breach digest (httpwwwverizoneenterprisecomresourcesreportsrp_data-breach-digest_xg_enpdf )
- Analysis of the Cyber Attack on the Ukrainian Power Grid (httpsicssansorgmediaE-ISAC_SANS_Ukraine_DUC_5pdf )
- 도시철도 안전 및 유지관리 실태 감사결과 (httpgovseoulgokrarchives86261)
- 감사원 국가 사이버안전 관리 실태 (httpwwwbaigokrbaiindexdo)
- 강은성 lsquo망분리는 만병통치약인가rsquo (wwwciokoreacomnews25437)
- 미국 국토안보국 Sector Risk Snapshotsrsquo(httpswwwhsdlorgviewampdid=754033)
- httpwwwsecurityweekcomhackers-broadcast-porn-tv-screens-brazil-bus-depot
- httpafricanspotlightcom20150808hackers-broadcast-porn-on-tv-screens-at-brazil-bus-station-photos
- httpsmonthlychosuncomclientnewsviwaspnNewsNumb=200908100021
- httpsenwikipediaorgwikiCyberattacks_during_the_Russo-Georgian_War
- httpwwweconomistcomnode17147818
- httpmoneycnncom20150805technologyaramco-hack
- httprutsnuaukrayinaiz-za-hakerskoy-ataki-obestochilo-polovinu-ivano-frankovskoy-oblasti-550406html
- SANS httpsicssansorgblog20160101potential-sample-of-malware-from-the-ukrainian-cyber-attack-uncovered
- Ukraine CERT httpcertgovuap=2370
- httpwwwmtagokrpolicyitsmanagement_signjsp
- httpwwwittodaycokrnewsarticleViewhtmlidxno=42719
- httpssecurelistcomblogincidents57854shamoon-the-wiper-copycats-at-work
10
안랩 산업군별 ISF Square 2016 진행
고객의 고민을 듣다 대응 전략을 나누다
S P O T L I G H T AhnLab ISF Square 2016
안랩은 ISF 스퀘어 2016을 통해 각 산업 분야가 직면하고 있는 주요 보안 이슈와 위협 동향 정보를 공유하고 산업별 비즈니스에 최적화된 대
응 방안을 소개하고 있다 지난 4월 27일부터 5월까지 다섯 차례에 걸쳐 진행된 이번 행사에 각 산업 분야의 CISO 및 보안책임자 100여 명이
참석했다
권치중 안랩 대표이사는 환영사를 통해 ldquo신종 공격 기법이 끊임없이 나타나고 있어 고객사 자체가 또는 보안 벤더만으로 최신 보안 위협에 대
응하는 것은 사실상 불가능하다rdquo며 ldquoISF 스퀘어를 통해 고객을 직접 만나 실제 현장에서 느끼고 계신 고민과 어려움을 나누고 산업별로 특화
된 정보를 공유함으로써 실질적이고 최적화된 해법을 찾을 수 있으리라 기대한다rdquo고 말했다
안랩이 최근 한 달 여에 걸쳐 산업군별 정보보호최고책임자(CISO) 및 보안책임자를 대상으로 lsquo안랩 ISF Square 2016(이하 ISF 스퀘어
2016)rsquo을 개최하고 있다 ISF 스퀘어는 안랩이 지난 2009년부터 진행해오던 자사의 융합 보안 컨퍼런스 lsquo안랩 ISFrsquo를 산업별로 세분화
하여 개편한 보안 전략 세미나다 다양한 산업군별 고객사의 특성에 맞춰 lsquo맞춤형 보안 전략 및 솔루션rsquo을 제공하기 위한 목적이다
이번 ISF 스퀘어 2016은 지난 4월 27일 은행 및 카드사를 시작으로 28일에는 보험사 5월 11일과 18일 25일에는 각각 증권사와
건설사 유통사를 대상으로 진행됐다 6월 8일에는 공공 및 교육 기관의 보안책임자를 대상으로 진행할 예정이다
ISF 스퀘어 2016에 산업군별 CISO 100여 명이 참석한 가운데 권치중 안랩 대표이사는 ldquo고객의 목소리에 귀를 기울이고 고민을 나누는 것이 ISF 스퀘어의 목적rdquo이라고 전했다
11
한창규 실장과 김경희 실장(왼쪽부터)은 CISO들이 가장 궁금해하는 랜섬웨어를 비롯한 최신 공격 동향을 공유했다
안병무 차장과 백민경 차장(왼쪽부터)은 기업이 직면하고 있는 보안 위협을 살펴보고 이에 따른 안랩의 솔루션을 제시했다
이와 관련해 한창규 안랩 시큐리티대응센터(ASEC) 실장이 ldquo랜섬웨어로 대표되는 최신 위협 동향rdquo이라는 주제 발표를 통해 CISO의 궁금증에
답했다 한창규 실장은 실제 사례를 통해 신bull변종 랜섬웨어의 감염 경로 동작 원리 등을 설명했다 이어 ldquo랜섬웨어는 더 이상 일시적인 유행이
나 단발성 이슈가 아니다rdquo라며 ldquo기업에서도 이제 랜섬웨어에 대한 대응책을 마련해야 할 때rdquo라고 강조했다
이어 김경희 안랩 플랫폼개발실 실장은 랜섬웨어의 서비스화(RaaS Ransomware-as-a-Service)를 비롯해 모바일 랜섬웨어 맥(Mac) OS X를
노리는 랜섬웨어 등 진화하는 랜섬웨어의 흐름을 설명했다 김경희 실장의 설명에 따르면 랜섬웨어는 비대칭 키를 사용하기 때문에 실제 공격
자를 잡아 서버를 수거하지 않는 한 암호를 풀 수 없다 일단 감염되면 피해를 피할 수 없다는 것 특히 현재 일부 업체가 제공하는 lsquo랜섬웨어
복구 서비스rsquo의 대부분은 지불 대행 서비스로 공격자에게 비트코인을 대신 납부해주고 키를 받아 파일을 복구하는 방식에 불과하다 이와 관
련해 김경희 안랩 플랫폼개발실 실장은 ldquo돈을 주고 복구할수록 몸값이 올라갈 뿐만 아니라 돈을 많이 주는 기업을 노리게 된다rdquo고 지적했다
문제는 일반적인 보안 솔루션만으로는 랜섬웨어 대응이 쉽지 않다는 것 이와 관련해 안병무 안랩 제품기획팀 차장은 지능형 위협 대응 솔루
션인 안랩 MDS를 제안했다 안병무 차장은 ldquo최초 감염(First Victim) 방어 포기할 것인가rdquo라는 주제 발표를 통해 랜섬웨어에 대한 최선의 대
응책은 lsquo예방rsquo과 lsquo선제적 방어rsquo라고 전제했다 이어 ldquo랜섬웨어를 비롯해 고도화된 최신 공격 대응에서 놓치지 말아야 할 부분은 첫 번째 희생자
(First Victim)가 발생할 가능성을 최소화하는 것rdquo이라고 강조하고 ldquo안랩 MDS의 lsquo실행보류(Execution Holding) 기능을 이용해 랜섬웨어가 동
작하는 것 자체를 방지할 수 있다rdquo고 설명했다
랜섬웨어는 공통분모hellip산업별 보안 위협은
랜섬웨어는 개인과 기업 산업 분야를 막론하고 공통된 보안 위협이라는 데는 이견이 없다 그러나 기업의 비즈니스에 따라 최우선 보안 과제
는 각기 다르다
기업으로 눈 돌리는 랜섬웨어 그 실체는
산업 분야를 막론하고 현재 가장 심각한 보안 이슈는 역시 랜섬웨어였다 특히 최근 미국의 주요 병원들의 랜섬웨어 감염 사례를 시작으로 랜
섬웨어의 표적이 개인 중심의 불특정 다수에서 막대한 자금을 보유하고 있는 기업군으로 옮겨갈 것이라는 예측도 있어 기업 보안책임자들의
고민이 깊은 실정이다
12
김창희 팀장과 한태수 실장(왼쪽부터)은 각각 유통 분야와 건설 분야의 보안 위협 요인과 대응 방안에 대해 공유했다
정청환 실장은 안랩의 제품 개발부터 관리까지 전 과정에 대한 안랩의 독자적인 보안 체계를 소개해 참석자들의 이목을 집중시켰다
유통 분야를 위한 ISF 스퀘어 2016에서는 최근 또다시 화두가 되고 있는 POS 시스템 보안 위협에 대한 상세한 정보가 공유됐다 김창희 안랩
제품기획팀 팀장은 ldquoPOS 및 단말 보안을 위한 효과적인 대응 방안rdquo이라는 주제 발표를 통해 수많은 고객의 신용카드 정보 등 민감한 정보를
다루는 POS 단말기가 해킹되면 실생활에 직결되는 사회적 경제적으로 치명적인 위험이 될 것이라고 단언했다 그러나 POS 시스템 등 산업
용 단말에는 일반적인 보안 정책이나 솔루션을 적용하는 것은 현실적이지 않다rdquo고 지적하고 ldquo안정적인 비즈니스 운영을 위해 안랩 EPS와 같은
전용 보안 솔루션을 도입하는 것이 바람직하다고 조언했다
한태수 안랩 매니지먼트개발 실장의 ldquo사물인터넷(IoT) 보안 위협과 대응 방안rdquo에 대한 발표는 특히 건설 분야 CISO의 눈과 귀를 사로잡았다
한태수 실장은 ldquo사물인터넷은 스마트가전 스마트헬스 특히 스마트홈 등 통신과 건설 분야에서 더욱 중요한 요소로 부각되고 있다rdquo며 ldquo이제
관련 산업 분야에서는 서비스 준비 단계에서부터 IoT 관련 개방형 표준에 근거한 정보보호 프라이버시 보호에 대해 필수적으로 고민해야만
한다rdquo고 강조했다 또한 ldquo설계도면이나 기술 정보 등 중요 정보가 많은 건설사의 특성상 지능형 보안 위협에 노출되면 피해가 커질 수 있다rdquo고
지적한 뒤 ldquo안랩은 이미 스마트홈 등과 관련해 실제 발생할 수 있는 다양한 공격 시나리오를 연구해왔으며 이에 대한 전방위적인 대응 방안을
마련하고 있다rdquo고 말했다
안랩은 금융 분야부터 유통 건설 그리고 공공 분야까지 각 산업 분야의 주요 보안 위협과 관련해 최적의 보안 솔루션을 제공하고 있다 안랩
의 다양한 솔루션의 근간에는 원천 기술을 보유한 RampD 센터와 인프라가 있다 이와 관련해 정청환 안랩 엔드포인트개발 실장은 그동안 많은
고객들이 궁금해했던 안랩의 보안 제품 개발과 개발 인프라 보안 관리 체계를 소개했다 정청환 실장은 특히 보안 업체 자체를 노리는 공격이
종종 등장하는 것과 관련해 안랩의 대비책은 물론 제품 개발부터 관리까지 무결성을 보장하기 위한 안랩의 자체적인 보안 체계를 상세하게
설명해 참석자들의 큰 호응을 얻었다
백민경 안랩 제품기획팀 차장은 은행 증권사 카드사 등 금융기관이 직면한 위기로 lsquo이용자 PC를 노리는 전자금융사기rsquo를 꼽았다 백민경 차장
은 실제 금융기관 보안 침해 사례를 통해 파밍 다이어 악성코드 공유기 공격 메모리 해킹 등 전자금융사기 기법을 설명하고 모바일과 온라
인으로 금융 서비스를 이용하는 비율이 증가하는 자율 금융 시대를 맞아 명확한 위험요소를 파악하고 그에 따른 적절한 솔루션 도입 등 이용
자 보호와 금융 시스템 보안을 위한 철저한 철학을 갖추는 것이 필요하다고 강조했다
13
세션 발표 후 진행된 라운드 테이블 프로그램을 통해 안랩의 권치중 대표 강석균 전무 배민 상무 방인구 상무가 고객사 CISO와 자유롭고 다양한 논의를 이어나갔다
안랩은 오는 6월 8일 서울 양재동 엘타워에서 공공 및 교육기관의 보안책임자를 대상으로 ISF 스퀘어 2016을 이어나갈 예정이다 또한 안랩은
서울에서 진행되는 행사에 참석하기 어려운 각 지역의 고객사를 위해 lsquo파트너와 함께 찾아가는 고객 세미나rsquo도 동시에 진행하고 있다 지난 5
월 24일 전주 지역에 이어 오는 6월 16일에는 대구 21일에는 대전에서 고객사의 보안책임자를 초청해 최신 보안 위협 동향과 대응 방안을 공
유할 예정이다
고객의 생생한 목소리를 듣다
여타 보안 세미나와 안랩 ISF 스퀘어의 가장 큰 차별점은 제품 기획자부터 제품 개발 책임자 그리고 대표이사에 이르기까지 한 자리에서 고객
과 직접 소통한다는 점이다 이번 ISF 스퀘어 2016에서도 안랩 EP사업부문 총괄인 강석균 전무 EP영업본부 총괄 배민 상무 서비스사업부 총
괄 방인구 상무 등이 총출동해 고객의 고민을 듣고 의견을 나눴다
14
CryptXXX RansomwareT H R E A T A N A L Y S I S
최근 lsquo크립트엑스엑스엑스 랜섬웨어rsquo가 대량 유포되면서 피해 사례가 늘어나고 있다 크립트엑스엑스엑스의 특징은 기존 랜섬웨어와
달리 실행 파일(EXE) 형태가 아닌 동적 링크 라이브러리(DLL) 형태로 유포되고 있다는 점이다 DLL 형태로의 유포는 정상적인 프로
세스와 함께 동작하는 구조여서 감염 사실을 알아차리기조차 어렵다
월간 lsquo안rsquo에서는 1부와 2부에 걸쳐 크립트엑스엑스엑스의 동작 방식과 주요 기능 암호화 방식 복구 툴 등 자세한 내용을 소개한다
lt연재 목차gt
1부_ DLL 이용한 CryptXXX 랜섬웨어 분석 완료
2부_ CryptXXX 암호화 비밀과 복구 툴 공개
DLL 이용한 CryptXXX 랜섬웨어 분석 완료
CryptXXX 랜섬웨어 분석 보고서_1부
크립트엑스엑스엑스 랜섬웨어(진단명 TrojanWin32CryptXXX
이하 크립트엑스엑스엑스)는 컴퓨터에 있는 파일을 암호화한 뒤
lsquocryptrsquo 확장자로 변경하여 사용자에게 비트코인을 요구하는 랜섬웨
어다 [그림 1]은 크립트엑스엑스엑스의 동작 방식이다
크립트엑스엑스엑스의 경우 다른 랜섬웨어와의 차이점은 DLL(동
적 링크 라이브러리 Dynamic Linking Library)로 동작한다는 점이
다 크립트엑스엑스엑스는 정상 rundll32exe를 악성 DLL이 있는 경
로에 svchostexe로 이름을 바꾸어 복사한 뒤 악성 DLL의 내보내기
(Export) 함수를 인자값으로 호출하여 동작한다
이 악성코드는 피해자의 컴퓨터를 감염시킬 때 lsquoRecovery_사용자
IDtxtrsquo lsquoRecovery_사용자IDhtmlrsquo lsquoRecovery_사용자IDbmprsquo 형
식의 파일을 생성하며 내용은 [그림 3] [그림 4]와 같다
[그림 1] 크립트엑스엑스엑스 동작 방식
[그림 3] 크립트엑스엑스엑스 결제 안내 페이지
[그림 2] svchostexe(정상 rundll32exe)로 로드되어 동작하는 악성 DLL
15
CampC 통신
크립트엑스엑스엑스는 파일을 암호화하기 전 CampC에 악성코드가 생
성한 사용자 ID를 전송한다
암호화된 환경
크립트엑스엑스엑스는 암호화가 완료된 파일의 수정한 날짜와 시간
정보를 백업된 원본의 수정한 날짜로 변경한다
[그림 4] 크립트엑스엑스엑스 결제 안내 텍스트
[표 1] 자동 실행 등록을 위한 바로가기 링크 파일 생성
[표 3] 암호화 대상 확장자
[표 4] 암호화 제외 대상 경로
[표 2] 암호화 대상 드라이브
[그림 5] 자동 실행 등록 정보
[그림 6] CampC 통신 패킷 정보
크립트엑스엑스엑스 주요 기능
자동 실행 등록
크립트엑스엑스엑스는 [표 1]과 같이 시작프로그램에 바로가기 링크
파일을 생성한다 [그림 5]에서 알 수 있듯이 해당 링크 파일에 의해
실행되는 파일은 크립트엑스엑스엑스이며 lsquoMS114rsquo라는 이름의 함수
를 호출하는 기능을 한다
자동 실행 등록
파일
CDocuments and Settings프로그램시작프로그램[사용자ID]lnk
암호화 대상 드라이브
고정식 드라이브 이동식 드라이브 네트워크 드라이브
악성 DLL 내부에 암호화된 CampC는 2개이며 첫 번째 IP에 접속이 되
지 않았을 경우 두 번째 IP로 연결된다
- 1447821443
- 9311876443
CampC 접속 여부와 관계없이 패킷을 전송한 후에는 파일 암호화가 진
행된다
파일 암호화 대상
분석된 크립트엑스엑스엑스로부터 확인된 암호화 대상은 [표 2]와 같다
Z 부터 A 까지 마운트된 모든 드라이브 중 다음의 암호화 대상 드
라이브만 감염이 진행된다
암호화 대상 확장자
3DM 3DS AES APK APP ARC ASC ASM ASP ASPX BRD BZ2 C
CER CFG CFM CGI CGM CMD CPP CRT CSR CSS CSV CUE DB
DBF DCH DCU DIF DIP DJV DJVU DOC DOCB DOCM DOCX DOT DOTM
DOTX DTD DWG DXF EML EPS FDB FLA FRM GBK GBR GED GPG
GPX H HTM HTML HWP IBD INDD JAR JAVA JKS JSP KEY KML
KMZ LAY LAY6 LDF LUA M MAX MDB MDF MFD MML H MS11
MSI MYD MYI NEF NOTE OBJ ODB ODG ODP ODS ODT OTG OTP
OTS OTT P12 PAQ PAS PCT PDB PDF PEM PHP PIF POT POTM
POTX PPAM PPS PPSM PPSX PPT PPTM PPTX PRF PRIV PSD RAR RAW
RSS RTF SCH SDF SITX SLDX SLK SLN SQL STC STD STI STW
SVG SWF SXC SXD SXI SXM SXW TAR TBK TEX TGZ TLB TXT
UOP UOT VB VBS VCF VDI VMDK VMX WKS WPD WPS WSF XLC
XLM XLR XLS XLSB XLSM XLSX XLT XLTM XLTX XLW XML ZIP ZIPX
ACCDB CLASS GADGET IBOOKS PAGES PLUGIN PRIVATE
QCOW2 SQLITE3 SQLITEDB VCXPROJ XCODEPROJ XHTML
암호화 대상 확장자
폴더
WINDOWS BOOT EFI CONFIGMSI
WINNT RECOVERY PROGRA^1 GOOGLE
RECYCLER$RECYCLE
BINPROGRA^2 TEMP
SYSTEM^1 PERFLOGS
16
[그림 7] 암호화 된 파일의 파일의 시간 정보 변경 코드
[그림 8] 암호화된 파일의 시간 정보 변경 전(왼쪽) 및 변경 후(오른쪽)
[그림 13] 암호화 완료 후 화면
[그림 12] 결제 안내 파일의 시간 정보 변경 전(좌) 및 변경 후(우)
[그림 9] 암호화 후 확장자 변경
[그림 11] 결제 안내 파일의 시간 정보 변경 코드
[그림 10] 암호화된 파일과 생성된 결제 안내 파일(BMP HTML TXT)
[그림 7]에서 붉은색 박스로 표현한 부분의 데이터(A4 80 BC 4B 36
B0 D1 01)는 SetFileTime API를 사용하여 백업된 원본의 수정한 날
짜로 변경된다
생성한 결제 안내 파일의 시간 정보를 [그림 12]와 같이 변경한다 암
호화가 완료되면 [그림 13]과 같은 화면을 띄우고 스크린이 잠기게
하여 사용자가 어떠한 동작도 할 수 없게 한다
이때 시간 정보가 변경된 파일은 MoveFileW API를 사용하여 [원본
파일명]crypt로 확장자가 변경된다
크립트엑스엑스엑스는 일반적으로 웹사이트 다운로드 등으로 유포되
는 경우가 많다 따라서 사용자는 출처를 알 수 없는 메일에 첨부된 파
일의 실행이나 불필요한 사이트 접근을 삼가는 등의 주의가 필요하다
해당 악성코드 감염을 막기 위해서는 항상 윈도우 보안 패치 및 V3
백신 프로그램을 최신 업데이트 상태로 유지하는 것이 필요하다
안랩은 원본 파일을 복구하는 툴을 랜섬웨어 보안센터를 통해 무료로
제공하고 있다
안랩 랜섬웨어 보안센터 바로가기
그리고 암호화된 파일이 있는 경로마다 결제 안내 파일들을 생성한다
앞서 언급했듯이 SetFileTime API를 이용하여 [그림 11]에 있는 붉은
색 박스에 있는 데이터(00 00 00 00 71 37 00 00)는 1601년 3월 12
일 월요일 10시 17분 27초로 변경된다
17
CryptXXX RansomwareT H R E A T A N A L Y S I S
크립트엑스엑스엑스(CryptXXX) 랜섬웨어는 정상 파일을 암호화한 후 lsquocryptrsquo 확장자로 변경하여 사용자에게 비트코인을 요구하는
랜섬웨어다 이 랜섬웨어는 현재까지 버전 1x 2x 3x 세 가지 형태가 알려져 있다 안랩은 현재 크립트엑스엑스엑스 2x 버전에 의
해 암호화된 파일에 대한 복구 툴을 제공하고 있다 특히 국내 사용자들이 많이 사용하고 있으나 기존 복구 툴이 지원하지 않는 한글
파일(HWP)의 복구도 가능하다는 점이 주목할만하다
월간 lsquo안rsquo에서는 1부와 2부에 걸쳐 크립트엑스엑스엑스의 동작 방식과 주요 기능 암호화 방식 복구 툴 등 자세한 내용을 소개한다
lt연재 목차gt
1부_ DLL 이용한 CryptXXX 랜섬웨어 분석 완료
2부_ CryptXXX 암호화 비밀과 복구 툴 공개
CryptXXX 암호화 비밀과 복구 툴 공개
CryptXXX 랜섬웨어 분석 보고서_2부
1 암호화 방식
[그림 1]은 크립트엑스엑스엑스에 의해 암호화된 lsquoPhotojpgrsquo 파일을
나타낸다 암호화는 고정 크기(0x1FFF)의 블록 단위로 순차적으로 이
뤄지며 암호화 최대 크기는 0xD012FE(대략 13M)로 이후의 데이터
는 원본과 동일하다
암호화된 파일은 원본 파일과 비교하여 260(=0x104)바이트가 증가
한 형태이며 이는 파일 끝부분에 삽입된 키 테이블(Key Table) 정보
로 인한 것이다([그림 1]에서 붉은색 블록 참고) 이 키 테이블 정보
는 블록 단위의 암호를 복호화하는 데 핵심이 되는 데이터로 공개키
를 통해 암호화되어 저장된다 즉 구조적으로는 해당 공개키에 매칭
되는 개인키 정보 없이는 해당 키 테이블 정보를 복호화할 수 없고
파일 복구가 불가능하다 하지만 해당 키 테이블 정보는 개인키 없이
도 원본 파일 시작 부분의 일부 데이터(예를 들면 파일 포맷별 Magic
정보)를 통해 파일의 형태를 확인할 수 있으며 그것을 토대로 유추할
수 있는 키 값으로 복구가 가능하다
2 Key Table 생성 방식과 취약성
[그림 2]는 파일 끝에 삽입된 0x104바이트 크기의 키 테이블이 생성
되는 과정을 나타낸다 이 그림에서 노란색 부분이 공개키로 암호화
된 KeyTable_A[0x40]이며 CryptEncrypt() API를 통해 공개키로 암
호화 시 원본 0x40바이트 크기의 데이터가 최종 0x80바이트 크기로
증가된다
[그림 1] 크립트엑스엑스엑스 암호화 방식
[그림 2] 키 테이블 생성 과정
18
[그림 2]에서 언급된 암호화에 사용되는 핵심 정보 3가지는 lsquo4바이
트 SEED 값rsquo lsquoKeyTable_A[0x40]rsquo lsquoKeyTable_B[0x100]rsquo이며 최초
4바이트 크기의 SEED 값으로부터 이후 정보들이 순차적으로 만들
어지는 구조를 갖는다 키 생성 과정의 최상위에 위치하는 SEED 값
은 감염 시점의 시스템 시간(SystemTime) 정보 중에서 시(wHour)
분(wMinute) 초(Second) 밀리초(Millisecond)를 이용하여 얻어지
며 이 SEED 값으로부터 0x40바이트 크기의 KeyTable_A[0x40] 데
이터가 생성된다 바로 이 부분에서 제작자가 의도하지 않은 취약성
이 존재하며 SEED 값이 동일하면 매번 동일한 KeyTable_A[0x40]
가 생성되는 구조를 갖는다 최종 블록 단위의 암호화에 사용되는
KeyTable_B[0x100]의 데이터와 원본 파일로부터 읽은 블록과의
XOR(배타적 논리합)을 통해 암호화가 수행된다
즉 SEED 값이 동일하면 매번 생성되는 최종 키 테이블 정보가 동일
한 점과 암호화 방식이 XOR이라는 2가지 포인트를 바탕으로 복구 대
상 파일의 Magic 정보가 존재한다면 역으로 키를 유추할 수 있는 구
조다 [그림 3]은 SEED 값이 0x02978CAC일 때 생성되는 키 테이블
A B의 예를 나타낸다
3 키 테이블 생성 함수
크립트엑스엑스엑스 랜섬웨어에서 파일 암호화 시 사용되는 핵심 정
보 3가지의 생성 함수는 다음과 같다
(1) SEED 값 생성
[그림 4]는 SystemTime 정보를 통해 4바이트 크기의 SEED 값을 생
성하는 함수를 나타낸다
KeyTable_A[0x40] 데이터가 생성되는 방식은 다음의 2가지 기본 테
이블 중 델파이 랜덤(Delphi Random) 함수를 통해 얻은 랜덤값을
바탕으로 하나의 값이 선택되어 구성되는 구조를 갖는다
(1) QWERTYUIOPASDFGHJKLZXCVBNMltgt$^amp()_+~|
(2) qwertyuiop[]asdfghjklzxcvbnm`1234567890-=
크립트엑스엑스엑스는 총 2번의 델파이 랜덤 함수를 사용하여 아래
의 Index(A)와 Index(B)를 얻게 된다 이때 Index(A)는 위 기본 테이
블 중 하나를 선택하기 위한 목적으로 Index(B)는 선택된 테이블의
데이터 중 하나를 선택하기 위한 목적으로 사용된다
Index(A) DelphiRandom(3) - 0 ~ 2 범위의 랜덤 값 생성(0 2인 경우 -gt
(1)번 1인 경우 -gt (2))
Index(B) DelphiRandom(44) - 0 ~ 43 범위의 랜덤 값 생성
예를 들어 Index(A) == 0이고 Index(B) == 3이면 lsquoRrsquo 문자열이 선택
된다
(2) 키 테이블(A) 생성
[그림 5]는 SEED 값을 바탕으로 0x40바이트 크기의 키 테이블을 생
성하는 함수이며 do-while 문을 통해 생성되는 0x40바이트 크기의
데이터가 SEED 값이 동일하면 동일한 형태로 생성되는 취약성이 존
재하는 부분이다
(3) 키 테이블(B) 생성
[그림 6]은 키 테이블(A)로부터 0x100바이트 크기의 최종 키 테이블
(B)가 생성되는 함수를 나타낸다 이 키 테이블 정보는 1바이트 단위
의 블록 단위의 암호화 시 XOR 키 값으로 사용된다
[그림 3] 키 테이블 A B 예제
[그림 4] SEED 값 생성 함수
[그림 5] 키 테이블(A) 생성 함수
19
[그림 6] 키 테이블(B) 생성 함수
[그림 7] 크립트엑스엑스엑스 복구 과정
4 복구 방식
시 분 초 밀리초 정보를 통해 계산되는 SEED 값의 범위는 다음과
같다
- 최소값 0000000000 -gt 0 최대값 235959999 -gt 0x5265bff
사용자마다 그리고 암호화된 파일마다 서로 다른 SEED 값을 유추하
기 위해 0 ~ 0x5265bff 범위의 SEED를 순차적으로 선택하며 이를
바탕으로 암호화에 사용된 키 테이블을 생성하거나 복호화를 시도
한다 첫 번째 블록에 대한 복호화를 통해 파일의 고유한 식별 정보
(Magic)가 확인되면 유효한 SEED 값으로 판단하고 전체 파일에 대
한 블록 단위의 복구를 시도한다 우선 첫 번째 파일이 복구에 성공하
면 두 번째 파일부터는 SEED의 범위를 제한하여 좀 더 빠른 복구가
가능하도록 했다 이러한 설정은 복구 대상 파일들이 동일 시간대에
감염된 형태가 대부분일 것으로 가정하여 이루어진 것으로 복구 대
상 파일들이 서로 다른 시스템에서 다른 시간대에 수집된 형태의 경
우 복구 시간이 더 오래 걸리는 특징을 갖는다
5 복구 대상 리스트
복구 툴을 통해 복구 가능한 크립트엑스엑스엑스 버전은 2x로 제한
적이며 우선 다음의 확장자들에 대한 복구가 가능하도록 제작되었
다 특히 국내 사용자들이 많이 사용하고 있으나 기존 복구 툴이 지
원하지 않는 한글 파일(HWP)의 복구가 가능하다 이 외에도 원본 파
일의 고유한 식별 정보만 알 수 있다면 복구가 가능한 구조이기 때문
에 추후 복구 대상으로 추가될 수 있다
CHM AI HWP PDB PDF RTF HTM HTML PHP XML DWG PS
WSF KEY CSR CRT WAV MP3 OGG WMA WMV AVI ASF MP4
MOV MID MPG FLV PNG GIF BMP TIF JPG JPEG ZIP RAR BZ2
7Z GZ JAR APK TGZ ODS DOC DOT PPT POT PPS XLS XLT
DOCX DOCM DOTX DOTM PPTX PPTM POTM POTX PPSM
XLSX XLSB XLSM XLTM XLTX EPS ISO SQLITE3 MDB MSI APP
FDB ACCDB SLN CLASS VCXPROJ
6 복구 툴 경로
안랩은 크립트엑스엑스엑스 랜섬웨어 2x 버전에 대한 복구 툴을 랜
섬웨어 보안센터를 통해 무료로 제공하고 있다
안랩 랜섬웨어 보안센터 바로가기
[그림 7]은 크립트엑스엑스엑스 복구 툴에서 파일 복구를 위해 이루
어지는 과정을 나타낸 것이다 구조상 첫 번째 파일을 복구하는 데 오
랜 시간이 소요되며 이후 파일부터는 빠르게 복구가 가능하다
20
F O C U S I N - D E P T H Compliance
20
1 개인정보보호법
1) 정보주체 이외로부터 수집한 개인정보의 수집 출처 고지 의무화
ldquo따르릉~ 여보세요 홍길동 고객님이시죠 여기는 보험사인데
요~ 알지도 못하는 보험사로부터 이런 전화를 받아 본 경험이 혹시
있었는지 모르겠다 어디서 내 전화번호를 입수한 것인지 물어보면 정
확히 대답하지 않거나 얼버무리는 경우도 많다 개정안이 시행되는 9
월 30일부터 이런 식의 연락은 더 이상 받지 않게 될 것 같다 일정 규
모 이상이 되는 기업(5만 명 이상의 민감 정보 또는 고유식별정보 처
리 100만 명 이상의 개인정보처리)이 정보주체로부터 직접 수집하지
않고 개인정보를 처리할 때는 반드시 ①정보수집출처 ②개인정보처리
목적 ③개인정보 처리정지 요구권이 있다는 사실을 최초 수집 후 3개
월 이내에 정보주체에게 고지해야만 하기 때문이다 불법으로 입수한
개인정보라면 애초에 고지도 못할 테지만 적법하게 제공받은 경우라
하더라도 고객에게 일일이 고지하기란 큰 부담이 될 것이다 고객이 제
3자 제공 동의를 해서 개인정보를 제공했다는 사실을 증명하라고 요구
하면 그 또한 큰일이다 필자 견해로는 이 개정안에 대한 대응이 본 기
사를 통틀어 제일 큰일일 듯 싶다
2) 민감정보의 안전성 확보조치 명시적 요구
민감정보란 개인의 사상middot신념 노동조합middot정당의 가입middot탈퇴 정치
적 견해 건강 유전 정보나 범죄 경력처럼 사생활을 현저히 침해할
우려가 있는 정보를 말한다 기존에도 고유식별 정보와 더불어 수집
이용하지 않는 것이 원칙이고 별도의 동의를 얻어 처리해야 하며 안
전성확보 조치를 통해 보호해야 할 대상이었다 이번 개정안에서는
민감정보에 대한 안전성 확보 조치를 명시적으로 요구하고 있을 뿐
기업 입장에서 달리 조치해야 할 사항은 없어 보인다 (기존 법에 따
라 잘 조치하고 있었을 경우에는 그렇다는 뜻이다)
3) 개인정보처리방침과 개인정보취급방침 구성 요건 동기화
개인정보보호법의 lsquo개인정보처리방침rsquo은 정보통신망법(이후 lsquo정통망
법rsquo)의 lsquo개인정보취급방침rsquo과 이름도 다르고 구성 요건에도 약간의 차
이가 있었다 이번 개정안에서는 방침 구성 내용에 정통망법 일부 사
꼭 챙겨야 할 개인정보보호 법령
지난 3월 8일 발간된 월간 lsquo안rsquo 2016년 3월호에 lsquo2016년에 챙겨봐야 할 개인정보보호 법령 5가지rsquo란 제목으로 개인정보보호 법령에 대
해 소개한 바 있다 이후 3월 22일과 29일에 정보통신망법과 개인정보보호법이 또 개정되어 2016년에 챙겨야 할 법령이 더 늘어났다
이번 호에서는 두 가지 법의 개정사항의 중요도를 별점으로 매겨가며 정리하고자 한다 단 중요도의 기준은 필자의 주관에 따른 것이므
로 참고만 하는 것이 좋겠다 개정된 내용 중 기업과 관련이 적은 사항은 따로 적지 않았다
별점으로 살펴본
lsquo개정rsquo 개인정보보호 관련 법령
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
중요도 업무영향도 대응업무부하
처 벌
- 미이행 시 3000만 원 이하의 과태료
- 미이행 상태에서 유출 사고 발생 시 2년 이하의 징역 또는 2000만 원 이하
의 벌금
중요도 업무영향도 대응업무부하
처 벌 해당 없음
기업에서 대응해야 할 업무 절차
1 법 시행 시점 이후 수집 보유 중인 개인정보 중 정보주체에게 직접 입수한 것이 아닌
개인정보 식별(정보주체 외 입수 경로 제3자 제공 동의 여부 확인)
2 1에서 식별된 개인정보 중 연락처가 있는 개인정보 식별
3 2에서 식별된 정보주체에게 개인정보 수집 및 이용 사실 고지(파기요청 수집)
구체적인 고지 시기 방법은 시행령이 나와야 알 수 있음
4 3의 절차에서 파기 요청 시 파기 시행
기업에서 대응해야 할 업무 절차
1 보유 중인 개인정보 중 민감정보 식별
2 1에서 식별된 민감정보에 대한 안전성 확보 조치 수준 점검
3 2절차에서 법 기준에 미흡한 경우 보완 조치 이행
2121
항을 반영하여 유사한 구조를 갖추도록 했으며 정통망법 또한 lsquo개인
정보처리방침rsquo으로 명칭을 변경함으로써 개인정보보호법과 일원화할
수 있게 되었다 개인정보보호법 개인정보처리방침에 추가된 사항은
다음과 같다
2 정보통신망 이용촉진 및 정보보호 등에 관한 법(이하 lsquo정
통망법)
1) 정보주체의 이동통신 단말장치 내 정보 및 기능에 대한 접근 시 동
의절차 의무화
스마트폰 메신저 앱을 생각해 보자 메신저 앱의 핵심적인 기능은 다
른 사람과 메시지를 주고받는 것이다 메신저를 편히 쓰려면 연락처
를 일일이 입력하기보다는 스마트폰에 있는 연락처 정보를 이용하는
게 필요할텐데 개정된 법은 그렇게 메신저 앱이 서비스를 이용하기
위해 스마트폰에 저장된 정보에 접근할 경우에 반드시 정보주체의 동
의를 받아야 한다는 것이다
핵심 서비스를 위해 필요한 정보나 접근권한에도 동의를 받으라고 하
는 상황인데 그 외의 목적이라면 당연히 동의를 요구할 수밖에 없다
이 경우에는 사용자가 동의를 거부할 권한이 있고 동의를 안했다고
해서 기업이 서비스 제공을 거부할 수 없도록 하고 있다(거부하면 과
태료 처벌을 받을 수 있다)
이 법의 요구사항은 흔히 알고 있는 개인정보 수집이용 동의와 개념
이 다르기 때문에 기업에서도 상당한 고민과 부담이 있을 것으로 예
상된다 (예를 들면 휴대전화에 저장된 연락처는 휴대전화 주인의 개
인정보가 아니므로 정보주체의 개인정보 수집이용 동의로 대체할 수
없다) 휴대전화 기능에 대한 접근권한 역시 개인정보 수집이용 동의
와는 다른 사항이므로 동의 절차를 새롭게 설정해야 할 가능성이 높
다 이런 동의와 철회 방법에 대한 구현 책임은 이동통신단말장치 소
프트웨어 제조업자와 공급자에게 부과하고 있으며 위반 시 과태료 처
벌을 할 수 있도록 되어 있다
2) 개인정보 처리업무 수탁자가 재위탁할 경우 원 위탁자의 동의를 받
는 경우에만 가능함
이번 정통망법 개정안에서는 개인정보 처리 위탁 관련 조항이 특히
많이 수정되었다 대부분 용어가 lsquo취급rsquo에서 lsquo처리rsquo로 바뀐 사항이 많
고 일부 조항은 개인정보보호법과 동일한 수준으로 바뀌었다 예컨대
수탁자에 대한 관리 감독 책임에 lsquo교육rsquo을 별도로 명시한다거나 수탁
자에게 위탁을 할 경우에는 문서에 의하여야 한다는 내용들이 그러하
다 개인정보보호법보다 조금 엄격하게 느껴질 만한 것은 제25조 7
항으로 수탁자의 재위탁은 위탁자로부터 동의를 받은 경우에 한한다
는 내용이다 (개인정보보호법은 시행령 제28조에서 lsquo재위탁 제한에
관한 사항rsquo을 위탁 시 작성해야 할 문서에 기재하도록 하고 있다)
3) 전화 권유 판매 시 개인정보 수집출처 고지 의무 부과
정통망법에 따르면 전자적 전송매체를 이용하여 영리목적의 광고성 정
보를 전송할 때 수신자의 명시적인 사전 동의를 받아야만 한다 사전
동의를 받지 않을 수 있는 예외가 두 가지 있는데 lsquo방문판매 등에 관한
③ 이동통신단말장치의 기본 운영체제(이동통신단말장치에서 소프트웨어를 실행할 수 있는
기반 환경을 말한다)를 제작하여 공급하는 자와 이동통신단말장치 제조업자 및 이동통신단
말장치의 소프트웨어를 제작하여 공급하는 자는 정보통신서비스 제공자가 이동통신단말장
치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근하려는 경우 접근
권한에 대한 이용자의 동의 및 철회방법을 마련하는 등 이용자 정보 보호에 필요한 조치를
하여야 한다
2 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
다 접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실
② 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 반드시 필요하지 아니한 접근
권한을 설정하는 데 이용자가 동의하지 아니한다는 이유로 이용자에게 해당 서비스의 제공
을 거부하여서는 아니 된다
중요도 업무영향도 대응업무부하
처 벌 2000만 원 이하의 과태료
- 수탁자가 위탁자의 동의 없이 재위탁을 한 경우
기업에서 대응해야 할 업무 절차
1 운영개발 중인 모바일 앱(App) 현황 파악(앱이 설치된 모바일 기기 내 이용 정보 및 기
능 내역)
2 1에서 식별된 모바일 기기 내 정보 및 기기에 대해 서비스 이용에 필수선택 항목 식별
3 모바일 앱 설치 시 동의이용 중 철회 절차 검토 및 보완
1) 필수항목과 선택항목의 구분
2) 법 제22조의2제1항1호2호의 사항을 고지사항에 반영
4 이용자 정보 보호에 필요한 기타 조치 사항 반영
5 3과 4에서 도출된 사항을 모바일 앱에 적용 업데이트
6 기존 운영 중인 앱의 경우 고객에게 업데이트 고지(동의 또는 재동의 절차 적용)
⑦ 수탁자는 개인정보 처리위탁을 한 정보통신서비스 제공자 등의 동의를 받은 경우에 한
하여 제1항에 따라 위탁받은 업무를 제3자에게 재위탁할 수 있다 lt신설 2016322gt
기업에서 대응해야 할 업무 절차
1 수탁자의 경우 위탁받은 개인정보의 처리 업무 중 재위탁 현황 파악
2 재위탁 사실이 있고 위탁자의 동의 증적이 없는 경우 파악
3 2에서 파악된 미동의 재위탁 건에 대해 위탁자에게 고지 및 동의 확보
6 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항
을 처리하는 부서의 명칭과 전화번호 등 연락처
7 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치middot운영 및 그 거부에
관한 사항(해당하는 경우)에만 정한다
중요도 업무영향도 대응업무부하
처 벌
3000만 원 이하의 과태료
- 반드시 필요하지 않은 접근권한 설정에 정보주체가 동의하지 않는다는 이유
로 서비스 제공을 거부할 경우
- 접근권한에 대한 동의 및 철회방법을 마련하는 등 조치를 하지 않은 경우
제22조의2(접근권한에 대한 동의) ① 정보통신서비스 제공자는 해당 서비스를 제공하기 위
하여 이용자의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신 단말장치에 설치된
기능에 대하여 접근할 수 있는 권한(이하 ldquo접근권한rdquo이라 한다)이 필요한 경우 다음 각 호의
사항을 이용자가 명확하게 인지할 수 있도록 알리고 이용자의 동의를 받아야 한다
1 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한인 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
2222
법률rsquo에 따른 전화 권유 판매자가 육성으로 전화 권유를 하는 경우가
그 중 하나였다 개정 법에서는 lsquo수신자에게 개인정보의 수집출처를 고
지하고rsquo라는 조건이 추가됨으로써 한결 까다로워졌다
4) 개인정보의 국외 이전 유형에 따른 동의 요건 완화
모처럼 개인정보보호 담당자한테 반가운 개선 조항이 생겼다 개인정
보의 국외 이전은 정통망법에서 논란이 되던 문제였다 개인정보보호
법은 국외에 제3자 제공할 경우만 정보주체의 동의 받으라고 되어 있
는데 정통망법에선 lsquo이전rsquo할 때 동의를 받으라고만 되어 있었기 때문에
제3자 제공과 위탁의 경우를 달리 적용하기 어려웠던 것이다 개정안
에서는 lsquo국외로 이전하려면rsquo이라고 되어 있던 조항을 lsquo국외에 제공(조회
되는 경우를 포함한다)middot처리위탁middot보관(이하 이 조에서 ldquo이전rdquo이라 한
다)하려면rsquo이라고 풀어서 표현하고 lsquo다만 정보통신서비스의 제공에 관
한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서
제3항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자
우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는
개인정보 처리위탁middot보관에 따른 동의절차를 거치지 아니할 수 있다rsquo라
는 단서 조항을 더 함으로써 국외 이전의 경우에도 위탁업무일 경우엔
동의 받지 않고 처리할 수 있도록 하였다 (개인정보보호법과 일치시킨
셈이다)
5) 노출된 개인정보의 삭제 차단 조치 의무화
웹사이트에서 시험 합격자 명단 등을 공개할 때 관리자의 부주의로 주
민번호와 같은 고유식별정보를 포함시키는 일이 종종 발생하곤 한다
기존 법령에서도 개인정보의 노출을 통제할 책임은 정보처리자에게 부
여하고 있으나 이번 개정안에서는 별도의 조항으로 명시함으로써 책임
성을 부각하고 있다 관련 처벌이 따르지 않아 규범적 조항인 점이 그
나마 다행스럽다
6) 기타 사항
이상 중요한 사항은 짚어 보았고 다른 사항은 대부분 개인정보보호법
과 균형을 맞추기 위한 내용들이다 lsquo개인정보관리책임자rsquo란 용어는
개인정보보호법과 마찬가지로 lsquo개인정보보호책임자rsquo란 용어로 바뀌
었고 처벌 수준에 있어서도 주요 법 위반 시 위반행위에 관련된 이익
의 몰수 추징 조항이 신설되었다 내용의 파급력으로 보자면 충격이
클 수도 있는 제32조 제2항의 징벌적 손해배상도 이미 개인정보보호
법에 들어간 내용이기 때문에 기업 입장에서 새롭게 고민할 사항은
적을 듯하다
전기통신사업자와 정보통신서비스 제공자를 대상으로 하는 정보통신
망법과 일반법으로 적용되는 개인정보보호법은 개인정보보호의 규준
을 이루는 양대 법률이다 기업 입장에선 지나치게 자주 개정되어 정보
보호 업무 부담을 더하는 측면도 있다 하지만 이번 개정안은 두 법의
용어와 조항 처벌 수준 등을 통일함으로써 법 적용을 돕는 긍정적인
면이 훨씬 많을 듯하다 아무쪼록 이번 개정안이 적극 반영되어 사회
전반에서 더욱 안전한 개인정보보호 환경이 갖추어지기를 기대한다
기업에서 대응해야 할 업무 절차
1 전화 권유 판매 시 정보주체 사전 동의 획득 여부 확인
2 사전동의 미 획득 케이스인 경우 개인정보 수집출처 확인
3 개인정보 수집출처가 확인되지 않은 경우 개인정보 이용 중지
4 개인정보 수집출처가 확인된 경우 수집출처를 고객에게 고지하고 전화 권유 판매
기업에서 대응해야 할 업무 절차
1 개인정보의 해외 이전 유형 식별(제공처리위탁보관)
2 이전 유형 중 처리위탁보관의 경우 고지공개 여부 확인
3 이전 유형 중 제공의 경우 동의 여부 확인
4 2 3단계에서 미흡 사항 발견 시 개선 조치
중요도 업무영향도 대응업무부하
처 벌 없음
제32조의3(노출된 개인정보의 삭제middot차단) ① 정보통신서비스 제공자 등은 주민등록번호
계좌정보 신용카드정보 등 이용자의 개인정보가 정보통신망을 통하여 공중에 노출되지 않
도록 하여야 한다
② 정보통신서비스 제공자 등의 고의 또는 중대한 과실로 인하여 개인정보가 분실middot도난middot
유출middot위조middot변조 또는 훼손된 경우로서 이용자에게 손해가 발생한 때에는 법원은 그 손
해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다 다만 정보통신서비스
제공자 등이 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다 lt신설
2016322gt
기업에서 대응해야 할 업무 절차
1 시스템 내 개인정보 노출 현황 파악 (노출정보유형목적노출기간주관부서 등 현황 파악)
2 노출된 고유식별정보 및 금융정보 발견 시 삭제 또는 보호(마스킹 등) 조치
3 1~2의 반복적 이행 가급적 시스템화하는 것이 바람직함
중요도 업무영향도 대응업무부하
처 벌
- 2000만 원 이하의 과태료 공개나 고지 없이 개인정보를 국외에 처리위탁
보관한 경우
- 과징금 부과 정보주체의 동의 없이 개인정보를 국외에 제공한 경우
23
어릴 때부터 각종 디지털 기기의 사용이 능숙한 lsquo디지털 키즈(Digital kids)rsquo인 우리 자녀들을 위한 똑똑한 lsquo디지털 페어런팅(육아법)rsquo을 소개한
다 식당이나 카페에서 어린 자녀에게 스마트폰은 보여주고 있거나 자녀가 어린이날 선물로 스마트폰을 사달라고 조르는 경우 스마트폰 게임
이나 SNS에 빠져 있는 자녀 때문에 걱정인 부모들에게 필요한 자녀의 연령에 맞는 디지털 페어런팅이다 자녀가 성숙한 디지털 기기 사용 습
관을 기를 수 있도록 도와주는 것은 부모가 반드시 해야 하는 역할 중 하나다
몸짓을 이미지로 기억해 엄마의 의도를 파악한다 그다음 좌뇌가 발달하는데 좌뇌가 발달하기 시작하면 언어 발달이 이루어진다 그런데 이 시
기에 과도하게 스마트폰에 노출되면 우뇌가 충분히 발달하지 않은 상태에서 좌뇌가 발달하게 된다
우뇌가 제대로 발달하지 못하면 감정을 담당하는 뇌 발달에 영향을 줄 수 있는데 이는 다른 사람의 마음을 헤아리는 능력 다른 사람과 생각이
나 느낌을 주고 받는 능력 사고력 감정 조절력 부족으로 이어질 수 있다 우는 아이를 달래려고 부모가 편하게 밥을 먹기 위해서 흥미로운
자극을 주고 싶다는 이유로 이 시기 아이에게 건넨 스마트폰은 아이의 뇌에 치명적인 후유증을 남길 수 있음을 기억해야 한다
3~6세 유아기 부모의 통제 하에 사용해야
전문가들은 이 시기 아이에게도 디지털 기기의 사용을 권장하지는 않는다 하지만 현실적으로 쉽지 않다면 차선책을 선택해야 한다 부모가 디
지털 기기의 이용 시간 및 콘텐츠 등에 대해 확실한 기준을 갖고 있어야 한다 lsquo하루 30분 이상 넘기지 않으며 아이가 좋아하는 애니메이션 영상
과 동요 율동 영상만 본다rsquo는 식으로 말이다 아이의 손에 스마트폰을 맡겨버리면 의도하지 않은 영상에까지 노출될 우려가 있으니 주의해야 한다
약속한 시간 외에는 스마트폰을 아이의 손에 닿지 않는 곳에 두는 것이 좋다 이를 위해서는 부모 역시 스마트 기기 사용을 절제할 수 있어야
한다 아이들은 부모를 롤 모델로 삼아 그 태도와 습관을 배우기 때문이다 하지만 이 시기 아이가 스마트폰을 보여 달라고 강하게 떼를 쓰는
등 통제가 되지 않을 때는 당분간 아예 아이에게서 스마트폰을 분리하는 것이 효과적이다 스마트폰이 아닌 다른 방법으로 아이와 시간을 보
내는 법을 고민하는 것은 부모의 몫이다
0~3세 영유아기 스마트폰 잠시 건네는 것도 안 돼
이제 걸음마를 시작할 법한 아이가 스마트폰에 집중해 있는 모습을
본 적이 있을 것이다 우는 아이를 달래기 위해서 식당이나 카페에서
아이를 조용히 앉혀놓을 요량으로 부모는 어린 자녀의 손에 스마트폰
을 쥐여준다 하지만 전문가들은 이 시기의 아이에게 디지털 기기를
노출시키는 건 ldquo안 된다rdquo고 입을 모은다 lsquo영유아 스마트폰 증후군rsquo 등
의 부작용이 우려되기 때문이다
lsquo영유아 스마트폰 증후군rsquo이란 6세 미만의 아이들이 영상 게임 등의
지속적인 자극에 오랜 시간 노출되어 우뇌가 발달해야 하는 시기에
좌뇌가 지나치게 발달해 좌middot우뇌의 균형이 틀어지는 것을 말한다
영아기 아이는 우뇌가 먼저 발달하는데 엄마의 표정 목소리 눈짓
I T amp L I F E
내 아이를 지키는 rsquo디지털 페어런팅rsquo
스티브 잡스가 자녀에게 아이폰 아이패드와 같은 디지털 기기의 사용을 허락하지 않았다는 건 잘 알려진 사실이다 드론을 만드는 3D
로보틱스 CEO 크리스 앤더슨은 아이들이 사용하는 전자 기기의 사용 시간을 제한하고 부모가 통제할 수 있는 장치를 부착했다고 한
다 그는 ldquo테크놀로지의 위험을 잘 알고 있으며 아이들에게 그런 일이 일어나는 것을 원치 않는다rdquo며 그 이유를 설명했다 이들의 자녀
교육법이 전적으로 옳다고 말할 수는 없지만 어릴 때부터 디지털 기기 사용이 너무나 익숙한 우리 자녀들의 모습은 한 번쯤 돌아볼 필
요가 있다
24
6~10세 미만 디지털 기기 사용 가이드라인에 대해 설명해줘야
부모가 디지털 기기 사용 시간 및 사용 및 목록의 한계에 대한 가이드라인을 정하고 이에 대해 아이가 이해할 수 있도록 설명해주는 것이 좋
다 가이드 라인을 정할 때 아이의 생각을 들어보고 반영하는 것도 방법이다 디지털 기기 사용 가이드라인이 지켜질 수 있도록 온 가족이 노력
해야 함은 물론이다 TV를 보고 스마트 기기를 가지고 노는 것 자체가 문제가 될 수도 있지만 이로 인해 친구들과 뛰어놀며 신체활동을 하는
즐거움을 빼앗기지 않도록 하는 것도 중요함을 잊지 말아야 한다
10세 이상의 초등학생 스스로 규칙을 정하고 지킬 수 있도
록 동기 부여
부모들의 고민 중 하나는 lsquo아이에게 스마트폰을 언제 사줄 것인가rsquo다
아이의 하교 후 학원에서 학원으로 이동할 때마다 연락을 주고받기
위해 휴대전화가 필요할 수도 있다 요즘은 초등학교 입학과 함께 스
마트폰을 사주는 가정도 많다 친구들도 다 있다며 사달라고 떼를 쓰
는 아이의 마음도 이해 못 하는 바 아니지만 자녀에게 스마트폰을 사
주는 적당한 시기는 부모가 잘 판단해야 한다 아이가 스마트폰 사용
규칙을 지킬 수 있을 만큼 성숙한 상태여야 한다는 의미다 하고 싶어
도 참을 수 있는 절제력과 충동조절능력 좌절인내력이 바탕이 돼야
만 스스로 규칙을 지킬 수 있다
구글 애플 마이크로소프트 등 글로벌 IT 기업의 자녀들이 많이 다니
는 실리콘밸리에 발도로프 학교에는 컴퓨터가 없다 스크린 보드 빔
프로젝터 등의 멀티미디어 기기도 없으며 연필과 종이 분필 등을 이
용한 아날로그식 수업이 진행된다 이들은 우리나라 나이로 중학교 3
학년이 되는 8학년이 돼서야 컴퓨터를 서서히 배우기 시작한다 학생
들이 학교에 디지털 기기를 가져올 수도 없다 lsquo디지털 세상이 아이를
아프게 한다rsquo의 저자인 신의진 정신과 박사는 ldquo언제 자녀가 스마트폰
을 사용하면 좋냐rdquo는 질문에 ldquo늦을수록 좋다rdquo고 답한다
우리 자녀 세대는 지금 우리보다 훨씬 더 디지털 기기와 가깝게 지낼
것이다 시대가 변하고 있기 때문이다 더 흥미로운 기기들이 쏟아질
것이고 그에 맞는 교육 및 놀이 앱이 넘쳐날 것이다 하지만 시대가
변해도 변하지 않는 것은 존재한다 부모가 자녀와 디지털 생활에 대
해 이야기를 나눌 수 있는 환경은 신뢰를 바탕으로 한 그들의 아날로
그 생활에서의 환경이 조성하는 법이다 가족과 함께 서로의 디지털
생활에 대한 이야기를 나눠보는 시간을 갖는 것은 어떨까
자녀와 함께 TV 컴퓨터 스마트폰 등에 대한 이용 규칙을 정하고 스스로 통제할 수 있도록 동기를 부여해주는 것이 좋다 만약 약속을 어겼을
경우 벌칙도 명확히 해둔다 예를 들어 주말에만 컴퓨터 게임을 하기로 했는데 어겼다면 다음 주말 컴퓨터 이용 시간을 줄이는 식이다 초등학
교 3~4학년만 돼도 아이들은 SNS에 흥미를 느끼기 시작한다 이때 부모는 아이가 어떤 게시물을 올리고 다운로드하는지 관심을 가질 필요가
있다 인터넷상에 올린 글이나 영상은 쉽게 공유될 수 있으며 지우는 것도 쉽지 않다는 점에 대해서도 알려줘야 한다
중middot고등학생 자율성 존중하되 방치해선 안 돼
ldquo스마트폰 그만하고 공부해rdquo와 같은 강압적인 지시는 되레 부작용을 낳을 수 있다 중middot고등학생의 자녀와의 디지털 페어런팅에서 가장 중요한
것은 자율성을 존중하되 방치해서는 안 된다는 점이다 아이가 적당히 조절하며 디지털 기기를 사용하고 있다면 문제 없지만 걱정할 정도로 몰
입돼 있는 상황이라면 가정의 디지털 페어런팅 방식을 다시 점검해봐야 한다 과몰입 상태는 적절한 교육으로 가정에서 바로 잡을 수 있지만 중
독의 수준이라면 상황이 달라진다 이런 경우 아이가 디지털 기기에 빠진 원인을 찾고 이를 해결하기 위해 전문가 상담 및 치료를 받아야 한다
[그림 1] 컴퓨터가 없는 발도로프 학교에 대해 다룬 뉴욕타임즈 기사
(출처 httpwwwnytimescom20111023technologyat-waldorf-school-in-silicon-valley-technology-can-waithtml)
참고 자료
신의진(2013) 디지털 세상이 아이를 아프게 한다 북클라우드
구본권(2014) 당신을 공유하시겠습니까 어크로스
25
보안 통계와 이슈 S T A T I S T I C S
[그림 2]는 2016년 4월 한 달간 유포된 악성코드를 주요 유형별로 집
계한 결과이다 불필요한 프로그램인 PUP(Potentially Unwanted
Program)가 5948로 가장 높은 비중을 차지했고 트로이목마
(Trojan) 계열의 악성코드가 168 웜(Worm)이 347의 비율로
그 뒤를 이었다
지난 4월 한 달간 탐지된 모바일 악성코드는 24만 7847건으로 집계
됐다
안랩 시큐리티대응센터(이하 ASEC)는 최근 ASEC Report Vol76를 통해 지난 2016년 4월의 보안 통계 및 이슈를 전했다 지난 4월
의 주요 보안 이슈를 살펴본다
파일 속성 변경하는 리눅스 악성코드 등장
안랩 4월 악성코드 통계 및 보안 이슈 발표
[그림 1] 악성코드 추이(2016년 2월~2016년 4월)
ASEC이 집계한 바에 따르면 2016년 4월 한 달간 탐지된 악성코드
수는 1156만 4967건으로 나타났다 이는 전월 1321만 2012건에
비해 164만 7045건 감소한 수치다 한편 4월에 수집된 악성코드 샘
플 수는 324만 5837건이다
샘플 수집 수탐지 건수
[그림 2] 2016년 4월 주요 악성코드 유형
Adware DownloaderWormTrojanetcPUP
[그림 3] 모바일 악성코드 추이(2016년 2월 ~ 2016년 4월)
5000000
6000000
10000000
20000000
30000000
40000000
1000000
2000000
3000000
4000000
4월3월2월
11830547 1156496713212012
324
583
7
354
858
1
349
346
8
347
168
1939
5948072
014
100000
200000
300000
500000
600000
700000
400000
0
4월3월2월
247847256512
323301
26
또한 지난 4월 악성코드 유포지로 악용된 도메인은 648개 URL은
2216개로 집계됐다 4월의 악성 도메인 및 URL 차단 건수는 총 637
만 3536건이다
이와 같은 경우 lsquolsattrrsquo 명령을 통해 해당 파일의 속성을 조회하면 [그
림 7]과 같이 lsquoirsquo 속성이 추가되어 있음을 확인할 수 있다
리눅스 악성코드 lsquo빌게이츠 봇넷rsquo 발견
최근 리눅스(Linux) 운영체제에서 감염 시스템의 정보 수집 시스
템 파일 교체 DDoS 공격 등을 수행하는 lsquo빌게이츠 봇넷(BillGates
botnet)rsquo이 발견됐다 해당 악성코드는 감염 시스템 내에서 속성이 변
경되어 삭제가 불가능해 리눅스 사용자들의 피해가 우려된다
빌게이츠 봇넷은 서버에 침입 후 파일의 속성을 변경하여 악성코드를
삭제할 수 없도록 설정한다 리눅스 시스템에서 악성코드 감염에 의
해 파일 속성이 변경된 경우 이를 삭제할 수 있는 방법을 자세히 살
펴보자
먼저 공격자가 파일의 속성을 변경한 후 [그림 5]와 같이 삭제 시도를
하면 lsquo실행이 허가되지 않았다(Operation not permitted)rsquo라는 메시
지가 출력되며 해당 파일이 삭제되지 않는다
이처럼 lsquoirsquo 속성이 추가되어 있는 경우에는 [그림 8]과 같이 루트 권한
으로 lsquochattrrsquo 명령을 통해 해당 파일의 속성을 변경한 후 다시 삭제
를 시도하면 해당 파일이 정상적으로 삭제된다
파일의 속성 추가(chattr)는 lsquo+[추가할 속성]rsquo 제거는 lsquondash[제거할 속성]rsquo
을 통하여 수행할 수 있으며 lsquo-Rrsquo 옵션을 추가로 부여하는 경우에는
하위 디렉터리까지 모두 포함되어 적용된다 이는 윈도우(Windows)
운영체제의 lsquoattirbrsquo 명령과 유사하다
이때 만일 관리자가 파일이 삭제되지 않는 원인을 파일 권한 문제라
고 생각하고 파일 시스템에 기록된 정보를 이용하여 루트 계정 및
inode를 제거하는 방법으로 다시 삭제를 시도하면 마찬가지로 동일
한 메시지가 발생하며 파일이 삭제되지 않는다
이번 리눅스 악성코드 사례와 같이 파일의 속성이 변경되어 삭제가
불가한 경우가 있어 권한 뿐만 아니라 파일 속성에 대해서도 다시 한
번 확인하는 것이 필요하다 단 중요 파일이나 로그 파일 등은 lsquoirsquo나
lsquoarsquo 속성을 적용하는 정상적인 경우도 있다 즉 이러한 속성이 적용되
어 있는 파일이라고 해서 모두 악성 파일은 아니므로 정확히 악성으
로 확인된 파일에 대해서만 삭제를 진행할 것을 권장한다
최근 리눅스 운영체제를 노리는 악성코드가 꾸준히 증가하고 있다
DDoS 공격이나 백도어 등 리눅스 악성코드의 기능도 다양해지고 있
으며 앞으로 더욱 고도화될 것으로 예상된다 리눅스 시스템도 안전
하게 이용하기 위해서는 반드시 암호를 설정해야 하며 최신 보안 업
데이트를 적용해야 한다
V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지하고
있다
ltV3 제품군의 진단명gt
LinuxBackdoor1223123B
[그림 5] RM 명령어를 통한 삭제 시도
[그림 6] INODE 제거를 통한 삭제 시도
[그림 4] 악성코드 유포 도메인URL 탐지 및 차단 건수(2016년 2월 ~ 2016년 4월)
악성 도메인URL 차단 건수 악성코드 유포 URL 수악성코드 유포 도메인 수
10000
20000
30000
8000000
9000000
40000
7000000
6000000
5000000
4000000
04월
221681467900
6481587936
3월2월
6373536
7157616
6355582
[그림 7] 파일 속성 조회
[표 1] 리눅스 파일 속성 및 lsquoCHATTRrsquo 명령어 예시
[그림 8] 파일 속성 변경 후 제거 시도
[명령어 예시 (i S 속성 추가)]
chattr + iS samples
[파일 속성명 중 일부] [설명]
a (CAP LINUX IMMUTABLE capability) 추가 작성만 가능 삭제 불가
I (CAP LINUX IMMUTABLE capability) 삭제 변경 링크 파일 생성 등
S 파일이 변경되면 디스크 동기화
u 파일 삭제 시 내용 백업
2727
A H N L A B N E W S
현대자동차 그룹 IT서비스 전문업체인 현대오토에버가 최근 lsquo5스타
우수 개발협력사rsquo로 안랩을 선정했다
lsquo현대오토에버 우수 개발협력사rsquo는 현대오토에버가 협력사와 공동
으로 수행한 전년도 사업의 수행 실적에 따라 1스타부터 5스타까지
우수협력사를 선정하고 이에 따른 다양한 인센티브를 제공하는 프
로그램이다
안랩은 현대오토에버의 개발컨설팅 협력사로서 프로젝트 평가 및
업체 종합 평가 등에서 안정적이고 우수한 프로젝트 성과를 인정받
아 최고 등급인 lsquo5스타rsquo 우수 개발협력사로 선정됐다 안랩 서비스
사업부를 총괄하는 방인구 상무는 ldquo안랩은 핵심가치인 lsquo고객만족rsquo을
기준으로 맡은 사업에 대해 언제나 최선을 다하고 있다rdquo며 ldquo안랩을
신뢰해주시는 여러 회사와 함께 동반성장할 수 있도록 노력하겠다rdquo
고 말했다
안랩이 지난달 17일 코엑스 컨벤션센터에서 열린 lsquo아마존 웹 서비
스 글로벌 서밋 서울 2016(이하 AWS 서밋 서울 2016)rsquo에서 다양
한 산업 관계자를 대상으로 lsquo안랩 AWS 고객 원격 보안관제 서비스rsquo
를 소개했다
AWS 서밋 서울 2016은 아마존 웹 서비스가 제공하는 클라우드 컴
퓨팅 서비스에 대한 지식을 공유하고 IT 업계의 최신 기술 트렌드 등
을 소개하는 행사로 지난해 첫 국내 개최에 이어 두 번째로 열렸다
이번 행사에 참가한 안랩은 전용 부스를 운영하며 lsquo안랩 AWS 고객
원격 보안관제 서비스rsquo에 대한 개별 고객 상담 및 서비스 체험 신청
등을 진행했다 안랩 AWS 고객 원격 보안관제 서비스는 네트워크
및 웹 서비스 등에 대한 보안을 안랩의 침해대응(CERT) 전문인력이
원격으로 모니터링 및 관리해주는 서비스다
또한 별도 발표장에서 진행된 미니 발표 세션에서 안랩 서비스상
품기획팀 김준호 대리는 안랩 AWS 고객 원격 보안관제 서비스의
개요 및 구성을 비롯하여 탐지를 넘어 위협 분석까지 제공하는
침해사고 대응 프로세스 미디어사 O2O(Online to Offline 온오
프라인 연결) 서비스 제조 분야의 실제 고객 사례를 통한 다양한
산업별 서비스 적용 방안 등 lsquo안랩 AWS 고객 원격 보안관제 서비
스rsquo의 개념과 강점을 소개했다
안랩 김준호 대리는 ldquo안랩은 lsquoAWS 고객 원격 보안관제 서비스rsquo를
지난 1월 출시한 이후 약 4개월 여 만에 이미 복수의 대형 고객사
를 확보하는 등 검증된 서비스를 제공하고 있다rdquo며 ldquo이는 많은 고객
사에서 단순 탐지를 넘어 위협 분석 및 대응까지 가능한 안랩의 전
문성을 인정한 것으로 볼 수 있다rdquo고 강조했다
현대오토에버
lsquo우수 개발협력사rsquo로 안랩 선정
안랩 lsquoAWS 서밋 서울 2016rsquo에서
클라우드 보안관제 서비스 소개
안랩은 AWS 서밋 서울 2016 행사에서 전용 부스와 발표 세션을 통해 안랩 AWS 고객 원격 보안관제 서비스를 소개했다
발행인 권치중
발행처 주식회사 안랩
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
편집인 안랩 콘텐츠기획팀
디자인 안랩 디자인팀
copy 2016 AhnLab Inc All rights reserved
본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제 복사 검색 시스템
으로 저장 또는 전송될 수 없습니다 안랩 안랩 로고는 안랩의 등록상표입
니다 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상
표일 수 있습니다 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
copy 2016 AhnLab Inc All rights reserved
httpwwwahnlabcom
httpblogahnlabcom
httptwittercomahnlab_man
2
3
5
1 0
1 4
2 0
2 3
2 5
2 7
월간
C O N T E N T S
E X P E R T C O L U M N
영화 같은 은행 해킹 사건
S P E C I A L R E P O R T
눈 앞에 나타난 사회기반시설 공격의 lsquo실체rsquo
S P O T L I G H T
안랩 산업군별 ISF Square 2016 진행
고객의 고민을 듣다 대응 전략을 나누다
T H R E AT A N A LY S I S
CryptXXX 랜섬웨어 분석 보고서
[1부] DLL 이용한 CryptXXX 랜섬웨어 분석 완료
[2부] CryptXXX 암호화 비밀과 복구 툴 공개
F O C U S I N - D E P T H
별점으로 살펴본 lsquo개정rsquo 개인정보보호 관련 법령
I T amp L I F E
내 아이를 지키는 rsquo디지털 페어런팅rsquo
S TAT I S T I C S
2016년 4월 보안 통계 및 이슈
A H N L A B N E W S
현대오토에버 lsquo우수 개발협력사rsquo로 안랩 선정
안랩 lsquoAWS 서밋 서울 2016rsquo에서 클라우드 보안관제 서비스 소개
2016 06
3
영화 같은 은행 해킹 사건
E X P E R T C O L U M N Fraud
은행이 직접 공격당하는 일이 처음은 아니다 러시아 갱단으로 추정되는 조직이 2013년부터 30개국 100개 은행을 해킹해 최대 10억 달러(약
1조 1천억 원)를 훔친 것으로 알려졌다 하지만 한 번에 1천억 원 가까운 거액이 털린 건 처음이다 특히 이번 사건은 이체 시스템을 조작한 게
내부자의 짓인지 악성코드가 사용되었는지 처음에는 알려지지 않았다
4월 25일 영국 배시스템(Baesystem)에서 공격에 사용된 것으로 알려진 악성코드 분석 정보를 공개했다 공격자는 은행 내부 시스템에 침투
해 글로벌 금융거래 정보를 안전한 환경에서 교환할 수 있게 은행과 기타 금융기관 간 연결 네트워크를 제공하는 단체인 스위프트(SWIFT
Society for Worldwide Interbank Financial Telecommunication)에서 국제간 거래시 이용하도록 제공하는 시스템을 조작할 수 있는 악성코
드를 만들었다 이는 공격자가 목표 은행의 운영에 대한 깊은 수준의 지식을 가지고 있음을 알 수 있다 이 악성코드 정보가 알려지면서 은행
과 거래 시스템 제작 업체 간 책임 공방도 있었다 스위프트 시스템의 안전성에 문제가 있다는 의견이 나오면서 스위프트는 자사의 네트워크
가 해킹당한 게 아니라는 보도자료를 배포한다 5월 13일에는 과거 사건과 연관된 악성코드와의 유사점이 나오면서 특정 국가의 소행이 아니
냐는 의심도 제기되었다 이는 2014년 소니 픽처스 공격에 사용된 악성코드와 유사한 악성코드가 발견되었기 때문이나 이미 공개된 악성코드
라 의도적으로 비슷하게 만들었을 가능성도 있다는 의견도 있다
사건의 파장은 점점 커지고 방글라데시 은행뿐만 아니라 다른 은행에서도 공격이 있었음이 알려진다 2015년 12월 베트남 은행에서도 비슷한
공격 시도가 있었으며 관련 악성코드도 공개된다 베트남 은행 공격에 사용된 것으로 알려진 악성코드가 방글라데시 은행 해킹에 사용된 악성
코드와 유사하다는 점에서 동일 그룹의 소행일 가능성이 높다 게다가 에콰도르 은행도 2015년에 유사 사건이 있었음이 뒤늦게 밝혀졌고 필
리핀 은행의 피해도 알려졌다 따라서 은행을 노린 유사 공격이 더 존재할 수도 있다
2016년 2월 미국 연방준비은행에 보관된 방글라데시 중앙은행 계좌에서 8100만 달러(약 966억 원)가 사라졌다는 영화 같은 뉴스가 보도된
다 누군가 은행 내부 이체 시스템을 조작해 1억 달러가 넘는 돈을 필리핀과 스리랑카 은행 계좌로 이체했다 필리핀 은행으로 송금된 8100만
달러는 성공적으로 이체되었지만 스리랑카 은행에 2000만 달러(약 231억 원)를 이체할 때 영어 단어를 잘못 써 이를 확인하던 중 발견되었
다 이 사건으로 방글라데시 중앙은행 총재 등은 책임을 지고 사임했다고 한다
방글라데시 중앙은행 총재 기자 회견(출처 AP 연합뉴스)
4
필자는 이번 사건을 보며 몇 가지 생각이 떠올랐다
첫째 완벽한 보안은 역시 없다 우리는 완벽한 보안은 존재하지 않는다고 알고 있지만 그래도 돈을 관리하는 은행이므로 다른 곳보다는 보안
이 완벽할 거라고 믿고 있다 하지만 개인의 인터넷 뱅킹 계좌 해킹이 아니라 다수의 은행 시스템이 해킹되었다는 점에서 다시 한 번 완벽한
보안은 세상에 존재하지 않는다는 깨달음을 얻을 수 있었다
둘째 어떻게 감염되었을까 이체 조작에 악성코드가 이용되었는데 그렇다면 반드시 내부 시스템이 악성코드에 감염되어야만 한다 따라서
어떻게 내부 시스템이 악성코드에 감염되었느냐는 매우 중요하다 지금까지 예상하지 못했던 방법으로 은행 내부 시스템이 감염되었다면 다른
은행도 공격 당할 가능성이 있으니 그 방법에 맞는 새로운 대응 방안을 만들어야겠지만 새로울 게 없는 방법으로 보안이 뚫렸다면 책임 소재
에 대한 비판을 피할 수 없다 하지만 현재까지 어떻게 은행 시스템에 침투했는지 알려진 바는 없다
셋째 공격자는 어디까지 침투해 있을까 방글라데시 은행 해킹 사건을 보면 공격자는 내부 시스템과 이체 절차를 충분히 알고 있었다 따라서
내부자의 도움이 있었거나 공격자가 스스로 알아냈을 수 있다 만약 공격자가 내부자 도움 없이 은행 거래를 지켜보면서 이체 방식을 익혔다
면 오랜 기간 은행 내부 시스템이 악성코드에 감염되었다고 볼 수 있다 이것도 문제지만 은행간 거래와 같이 특수 목적에 사용되는 시스템도
공격자가 조금만 노력하면 충분히 보안 체계를 우회할 수 있다는 점에서 다른 특수 목적 시스템도 안전을 보장할 수 없다
넷째 분석가들도 특수 목적에 사용되는 프로그램이나 절차에 대해 알아야 한다 베트남 은행 해킹에 사용된 악성코드는 2015년 12월 보안 업
체에 전달되었다 하지만 5개월 동안 해당 악성코드는 정상 파일로 분류되어 있었다 만약 방글라데시 중앙은행 해킹과 관련된 악성코드가 알
려지지 않았다면 해당 악성코드는 지금도 정상 파일로 분류되고 있을 가능성이 있다 왜 이런 일이 발생할까 일단 해당 악성코드는 일반적인
악성코드와는 다르게 동작한다 특정 프로그램이 설치된 환경에서만 악성코드가 제대로 실행되기 때문에 특정 프로그램이 설치되어 있지 않은
분석 시스템에서는 별다른 이상을 발견할 수 없다 시스템이 아닌 사람이 분석할 때는 어떨까 우선 분석가는 스위프트에 대해 모를 가능성이
높다 특수 목적으로 사용되는 소프트웨어는 특정 직군의 사람에게는 친숙하겠지만 이외의 사람들은 존재조차 모를 수 있다 스위프트에 대해
안다고 해도 이런 악성코드를 제대로 분석하려면 스위프트 프로그램이 있어야 하고 이체 과정에 대한 지식도 있어야 한다 일반 보안 회사에
서 이런 특수 목적 프로그램을 보유하고 있을 가능성은 낮다 이제 몇몇 분석가들은 스위프트에 대해 알게 되겠지만 다른 특수 목적 사용 시스
템을 노린 악성코드를 분석하면 또다시 정상 파일로 판단할 가능성도 여전히 존재한다 따라서 앞으로 보안 업체는 다양한 산업 분야와 좀 더
긴밀하게 협력해야 하지 않을까 싶다
다섯째 시스템 운영 회사의 신뢰도 하락이다 우선 방글라데시 은행에서 사용하는 보안 프로그램이 궁금했다 해당 보안 회사는 공격을 막지
못했다는 점 때문에 전전긍긍하고 있지 않을까 싶다 보안 프로그램이 모든 공격을 예방할 수 없지만 일반인은 특정 보안 제품이 공격을 막지
못했다고만 기억하게 된다 스위프트 측도 마찬가지인데 악성코드에 일단 감염되면 사람이 컴퓨터로 할 수 있는 대부분의 일을 할 수 있고 기
술적으로도 악성코드가 보안 체계를 우회하기 쉽다 이번 해킹도 악성코드 감염이 은행 과실이라고 해도 서비스를 제공하는 스위프트가 해킹
당했거나 보안에 취약하다고 오해받을 수 있다 실제로 사건 발생 후 금융권의 스위프트 이용 제한 소식도 들려온다
이런 공격을 예방하기 위해서는 악성코드에 감염되지 않기 위해 노력하고 감염되더라도 빨리 이상을 파악해야 하지만 내부 시스템을 모두 관
리하는 건 불가능에 가깝다 따라서 중요 시스템에 대해서만이라도 정기검진처럼 정기적으로 이상 유무를 검사하는 프로세스가 필요하다 단
점검하는 사람도 포렌식이나 악성코드 분석 경험이 충분하고 내부에서 사용하는 프로그램이나 절차에 대해서도 잘 알고 있어야 한다
이 글을 마감하는 5월 말까지 피해를 당한 은행은 4곳이다 하지만 이 글이 공개될 때쯤 어떤 은행이 추가 피해를 입었을지는 아무도 알 수 없
다 영화처럼 천억 원이 넘는 돈이 사라졌지만 범인은 오리무중인 시대에 우리는 살고 있다
참고 자료
Bangladesh bank says hackers stole $100M from its New York Fed accont (httpnypostcom20160307bangladesh-bank-says-hackers-stole-100m-from-its-new-york-fed-account)
8100만달러 해킹∙∙∙물러난 방글라데시 중앙은행 총재 (httpswwwhankookilbocomva22d16d7ee8d49a982857ed8d1952a1f )
The Great Bank Robby Carbanak cybergang steals $1bn from 100financial institutions worldwide (httpwwwkasperskycomaboutnewsvirus2015Carbanak-cybergang-steals-1-bn-USD-from-100-
financial-institutions-worldwide)
TWO BYIES TO $951M (httpbaesystemsaiblogspotcom201604two-bytes-to-951mhtml)
방글라데시 경찰 ldquoSWIFT가 은행 취약하게 해rdquo (httpwwwboannewscommediaviewaspidx=50549ampkind=0)
Statement on recent allegations (httpswwwswiftcominsightspress-releasesswift-statement)
Cyber Heist Attribution (httpbaesystemsaiblogspotkr201605cyber-heist-attributionhtml)
SWIFT Warns Banks Coordinated Malware Attacks Underway (httpwwwbankinfosecuritycomswift-warns-banks-coordinated-malware-attacks-underway-a-9101)
No impact on SWIFT network core messaging services or software (httpswwwswiftcominsightspress-releasesswift-customer-communication_customer-security-issues)
Vietnamrsquos Tien Phong Bank says it was second bank hit by SWIFT cyberattack (httpwwwcnbccom20160515vietnams-tien-phong-bank-says-it-was-second-bank-hit-by-swift-cyber-attackhtml)
제2의 방글라데시 중앙은행 공격 사건 일어났다 (httpwwwboannewscommediaviewaspidx=50602)
Now Itrsquos Three Ecuador Bank Hacked via Swift (httpwwwwsjcomarticleslawsuit-claims-another-global-banking-hack-1463695820)
S P E C I A L R E P O R T Critical Infrastructure Threats
사회기반시설 공격 동향 및 보안에 관한 제언
지난 4월 여수 시내의 한 버스 정류장에 설치된 버스정보안내 시스템에서 약 40여 분간 음란 동영상이 재생되는 사고가 발생했다
최근 미국에서도 텍사스주의 고속도로 전광판이 해킹돼 대선 후보인 트럼프를 조롱하는 문구 등이 밤새 노출되었다 두 사건 모두 별
다른 피해는 없었지만 교통 관련 시설이 해킹되었다는 점은 주목할 필요가 있다 만일 교통 신호등 제어 시스템이나 공항 철도 발전
소의 시스템이었다면 이 글에서는 국내middot외 주요 사회기반시설 공격 동향을 통해 사회기반시설 보안의 시사점을 알아본다
눈 앞에 나타난 사회기반시설 공격의 lsquo실체rsquo
5
사회기반시설은 lsquo기반 시설rsquo lsquo기간 시설rsquo lsquo사회 공공 기반시설rsquo 등으로 불리며 사회 및 경제 활동의 기반을 형성하는 중요 시설을 의미한다 흔
히 lsquo인프라(Infra Infrastructure)rsquo라고도 부르며 최근에는 학교나 병원 공원과 같은 사회 복지 및 생활 환경 관련 시설도 사회기반시설로 분
류하기도 한다
사회 유지에 근간이 되는 이들 시설 또는 시스템이 사이버 공격에 피해를 입을 경우 단순히 재산상의 피해에 그치는 것이 아니라 사회적 혼
란을 야기하거나 시민들의 안전 더 나아가 국가 안보에 심각한 위협이 될 수 있다 실제로 지난 2012년 세계적인 석유 기업인 사우디 아람코
(Saudi Aramco) 해킹 2015년 우크라이나 정전 사태 등은 막대한 재산상의 피해는 물론 사회적 혼란까지 가져왔다
미국 국토안보국(Department of Homeland Security)은 사회기반시설을 16개 주요 분야로 나누고 그중 식료 농업 서비스를 제외한 14개
분야에 대한 주요 보안 리스크를 [표 1]과 같이 분류하고 있다
분야 사이버 보안 위협
화학 bull 화학제품 공정 제어를 위한 네트워크 기반 시스템
통신bull 통신시스템 공격에 따른 글로벌 연결성 저해
bull 통신 인프라 영향
주요 제조 시설 bull 제어 시스템 및 데이터베이스 해킹
댐 bull 댐 제어 시스템 해킹
방위 산업bull 안보 기지 인프라에 대한 DDOS 공격
bull 시스템 오작동 등 국가 안보 기밀 유출
응급 서비스 bull 응급 서비스 통신 시스템 및 네트워크 GPS에 대한 공격
에너지bull 전기 전력 그리드 및 운영 시설 공격
bull 석유 및 천연가스 에너지 관리 시스템 공격
금융 서비스bull 금융 정보 기구의 개인정보 유출
bull 금융 시스템 공격을 통한 대규모 금융 피해
정부 시설bull 자동 보안 제어 시스템 및 데이터베이스 공격
bull 정부 시설 시스템 공격에 따른 기밀 및 개인정보 유출
헬스케어 및 공공의료 bull 진료 시스템 공격으로 의료보험 검진 기록 유출
IT 시설bull IT 시스템 관리 콘텐츠 정보 통신 등 다양한 부분에서의 정보 유출
bull 신분 인증 시스템 공격에 따른 사회 기반 시스템 운영 위협
핵발전 및 처리 시설 bull 핵 시설 제어 시스템 공격
교통 bull 공중 육상 해상 교통 제어 시스템 공격
수자원 및 수처리 시스템 bull 수자원 및 수처리 제어 시스템
[표 1] 미국 국토안보국의 사회기반시설 분류
66
국내middot외 주요 사회기반시설 공격 사례
2000년대 초에도 특정 국가나 사회기반시설을 노린 악성코드가 존재했다 지난 2001년 7월 발견된 코드레드(CodeRed) 웜으로 인해 미국 백
악관 홈페이지에 서비스거부(DoS) 공격이 발생했다 국내에서는 2003년 1월 25일 슬래머(Slammer) 웜에 의한 인터넷 장애가 발생했다 이
를 lsquo125 인터넷 대란rsquo이라 부른다
본격적인 사회기반시설에 대한 사이버 공격은 2000년대 중반 이후에 나타났다 2007년 4월 27일 에스토니아(Estonia) 공화국의 정부 언론
방송 은행의 전산망이 일제히 분산서비스거부(Distribute Denial of Service 이하 DDoS) 공격을 받았다 이 공격으로 대통령궁을 비롯해 의
회 정부기관 은행 이동통신 네트워크 등 에스토니아의 국가 시스템 전체가 약 3주간 마비되는 사태가 발생했다
2008년 6월에는 조지아(Georgia 러시아명 lsquo그루지아rsquo)의 정부 홈페이지 언론사 포털 사이트 등이 대규모 DDoS 공격을 받았다 평균 2시간
15분 최장 6시간 동안 공격이 지속되었으며 사흘간 이어진 공격으로 금융 시스템 장애가 발생하는 등 사회가 마비되었다
2010년부터는 단순한 서비스 장애 유발이 아닌 사회기반시설에 대한 직접적인 공격이 발생한다 가장 대표적인 사례는 2010년 6월 발견된
스턱스넷(Stuxnet)이다 스턱스넷은 지멘스(SIEMENS)사의 산업자동화제어시스템(PCS7)을 타깃으로 하는 악성코드로 2010년 9월 이란의 원
자력 발전소 마비 사태의 주범으로 알려졌다
에너지 분야를 노린 사이버 공격의 또 다른 사례로는 2012년 사우디에서 발생한 사우디 아람코(Saudi Aramco) 해킹이 있다 같은 해 8월 27
일에는 카타르(Qatari) 천연가스 기업인 라스가스(RasGas)도 사이버 공격을 당했다는 사실이 언론을 통해 알려졌다 이후 2015년 우크라이나
에서는 발전소 해킹에 의한 대규모 정전 사태가 발생하기도 했다
우크라이나 정전 사태와 같이 최근에는 교통 및 항공 시설 전력 시설을 노린 사이버 공격으로 인해 일반 시민들이 생활에 불편을 겪거나 심각
한 피해를 입고 있다 최근 국내에서 발생한 사고와 유사한 일이 브라질에서도 발생한 바 있다 브라질의 버스 정류장 안내 시스템이 해킹되어
약 15분간 음란 동영상이 노출된 것이다 항공 시설과 관련해서는 지난 2015년 6월 폴란드 공항이 DDoS 공격을 당해 비행 계획 시스템이 5
시간 동안 마비되었으며 약 1400여 명의 승객이 공항에서 발이 묶인 사건도 있다
[그림 1] 국내외 주요사회기반시설 공격 사례
[그림 2] 해킹된 브라질 버스 안내 시스템(출처 SecurityWeek)
77
이 밖에도 프랑스 방송사 떼베생몽드(TV5Monde) 해킹 및 방송 송출 장애 이스라엘 방송국 해킹 지난 2013년 국내 주요 은행 및 방송국을
노린 3bull20 전산망 마비 최근 발생한 방글라데시 중앙은행 해킹 미국 뉴욕댐 전산망 해킹 미국 내 다수 병원의 랜섬웨어 감염 등 사회기반시
설을 노리는 공격들이 다방면에서 지속적으로 발생하고 있다
사회기반시설 공격에 사용된 악성코드의 실체
앞서 언급한 사례 중 우크라이나 발전소 해킹과 정유 회사 사우디 아람코 해킹 사례를 중심으로 실제 사회기반시설 공격에 사용된 악성코드와
공격 방식에 대해 알아보자
1 우크라이나 발전소 해킹
지난 2015년 12월 23일 우크라이나의 키보브레네르고(Kyivoblenergo) 발전소에 문제가 발생해 이날 오후 3시 35분부터 3시간 동안 약 8만
가구에 전력 공급이 중단됐다 또한 우크라이나 서부 지역의 프리카르파티아오블레네르고(Prykarpattyaoblenergo) 발전소에서도 문제가 발
생해 주변 지역에 대규모 정전 사태가 발생했던 것으로 알려졌다 전화 시스템에도 장애가 발생해 전화 통화도 정상적으로 이루어지지 않았다
정전 직후 언론과 우크라이나 정보부(Security Service of Ukraine)는 사이버 공격의 가능성을 언급했다
우크라이나의 정전이 사이버 공격에 의해 발생했다는 정황이 계속 나타남에 따라 미국 정부도 관련 조사에 착수했다 지난 2016년 1월 미국
국토안보국은 우크라이나 정전 사태의 원인이 사이버 공격으로 드러났다고 발표했으며 3월 18일에는 관련 분석 보고서가 추가로 공개됐다
이 보고서에 따르면 공격자는 이미 6개월 전부터 발전소 내부 시스템에 침입해 관련 정보를 수집하고 악의적인 펌웨어(Firmware)를 개발하
는 등 철저한 준비 후 공격을 수행한 것으로 보인다
이와 관련해 SANS ICS팀과 해외 보안 업체 이셋(Eset)은 우크라이나 정전 사태와 블랙에너지(BlackEnergy) 악성코드가 밀접한 관계가 있다
고 발표했다 한편 우크라이나 정전 사건이 발생하기 한 달 전인 2015년 11월 우크라이나 사이버침해대응센터(CERT Computer Emergency
Response Team)는 우크라이나 선거 기간 동안 언론사를 공격한 블랙에너지 악성코드에 관해 언급한 바 있다 따라서 우크라이나에 대한 블
랙에너지 공격은 정전 사태 이전부터 진행되었음을 예상할 수 있다
블랙에너지는 다양한 변화를 겪어온 악성코드이다 2007년 DDoS 공격에 처음 이용되었으며 2008년 조지아(Georgia) 공격에도 사용되었던
것으로 알려졌다 드라이버 파일로 구성되어 있다는 것이 특징이며 현재에도 꾸준히 변형이 나타나고 있다
우크라이나 발전소를 공격한 것으로 알려져 있는 블랙에너지 악성코드는 악성코드를 떨어뜨리는 드롭퍼와 실제 악성 행위를 수행하는 난독화
된 드라이버 파일로 구성되어 있으며 FONTCACHEDAT 등의 파일이 생성된다
또한 해당 공격에서 공격자는 악성 매크로를 포함한 엑셀 파일을 이용한 것으로 알려졌다 문서를 열어본 사용자가 보안 경고 메시지의 lsquo콘텐
츠 사용rsquo을 선택하면 매크로가 실행된다 매크로가 실행되면 temp 폴더에 vba_macroexe 파일이 생성된다
[그림 3] 우크라이나 발전소 공격에 사용된 엑셀 파일의 매크로 기능
[그림 4] Winpcap 관련 파일로 위장
이렇게 생성된 vba_macroexe가 실행되면 FONTCACHEDAT 파일이 시스템에 생성된다 이 파일은 윈도우 패킷 캡쳐 프로그램인 WinPcap
와 관련된 파일로 위장하고 있다 내부 문자열 또한 Winpcap 관련 파일처럼 가장하고 있다
88
익스포트(export) 함수도 모두 정상 프로그램처럼 되어 있지만 PacketAllocatePacket 코드가 실행되면 암호를 풀면서 실행되며 플러그인 파
일을 다운로드하여 추가적인 기능을 수행한다
2 사우디 아람코(Saudi Aramco) 해킹
지난 2012년 8월 15일 세계 최대 규모의 석유 기업 중 하나인 사우디 아람코(Saudi Aramco)가 사이버 공격으로 약 3만 대의 시스템에 장애
가 발생하는 피해를 입었다 같은 날 자신들을 lsquo정의의 검(Cutting Sword of Justice)rsquo이라고 자칭하는 단체가 아람코 해킹이 자신들의 소행이
라고 주장했다
사우디 아람코 해킹에 사용된 악성코드는 lsquo샤문(Shamoon)rsquo 또는 lsquo디스트트랙(Disttrack)rsquo 등으로 불리며 사전에 내부 시스템을 파악하고 데이
터를 삭제하기 위해 제작된 악성코드이다 공격자가 어떻게 내부 시스템에 침입했는지는 아직 알려지지 않았다
샤문 악성코드의 구조는 [그림 6]과 같다 드롭퍼(Dropper)는 하드디스크 파괴 악성코드를 시스템에 떨어뜨리는 역할을 하며 데이터 삭제 기
능과 보고 기능만 가지고 있다 파일 속성 정보를 살펴보면 lsquoDistributed Link Tracking Serverrsquo라는 설명과 함께 마이크로소프트에서 제작한
파일로 가장하고 있다
[그림 5] 아람코 해킹에 관한 lsquo정의의 검(Cutting Sword of Justice)rsquo의 주장
[그림 6] 샤문(Shamoon) 악성코드 구조
[그림 7] 샤문 악성코드의 드롭퍼 등록 정보
99
데이터 파괴 파일은 lsquoCShamoonArabianGulfwiperreleasewuperpdbrsquo와 같은 PDB 정보를 가지고 있다 lsquoArabianGulfrsquo와 같은 문자열을
통해 명확한 공격 대상을 가진 악성코드임을 짐작할 수 있다
데이터 삭제 파일이 실행되면 드라이버 파일(drdisksys)을 생성하고 파일 목록을 얻는다 이후 시스템에 존재하는 파일을 JPEG 이미지로 덮어
쓴다 끝으로 하드디스크 MBR을 덮어써 시스템을 사용할 수 없게 하고 lsquoshutdown -r -f -t 2rsquo로 종료시킨다 한편 이 악성코드는 피해 시스템
수 등을 보고하는 기능도 갖고 있다
사회기반시설 보안에 관한 제언
지난해 말 안랩을 비롯한 국내외 보안 업체들은 2016년에 발생할 수 있는 보안 위협 중 하나로 사이버테러 및 국가기반시설 보안 위협을 꼽
은 바 있다 그리고 2016년 초부터 방글라데시 중앙은행의 해킹 국내 버스정류장 안내 시스템 해킹 등이 발생했다
사회기반시설은 사회의 근간을 이루는 중요한 시설인 만큼 강력한 보안이 동반되어야 한다는 것은 두말할 필요도 없다 그러나 실제로는 보안
인력이 부족한 경우나 내부 보안 인력의 전문성이 부족한 경우가 있다 또는 시설의 시스템 자체가 적절한 보안이 고려되지 않은 채 설계되었
거나 보안에 취약한 구형 시스템으로 운영되는 경우도 있다
외부 공격으로부터 사회기반시설을 안전하게 보호하기 위해서는 우선 구성원들이 준수할 수 있는 현실성 있는 보안 정책을 수립해야 한다 이
와 함께 적절한 보안 시스템을 구축해 내부로 유입되는 위협을 모니터링 및 차단하고 내부에서 확산되는 위협을 분석 및 대응할 수 있어야 한
다 일반적으로 악성코드의 내부 시스템 침입부터 시스템 파괴 등 악의적인 결과를 가져오기까지는 어느 정도의 시간이 소요된다 수많은 내부
시스템을 파악하고 하나씩 장악해야 하기 때문에 보통 6개월 정도가 걸린다 따라서 공격에 의한 피해가 발생하는 것을 방지하기 위해서는 주
요 시스템에 대한 정기 점검을 통해 이상 징후를 빨리 파악할 수 있어야 한다 이를 위해 전문성을 가진 인력의 양성과 활용이 필요하다 또한
협력 업체에 대한 강력한 보안 방안을 마련해야 한다 공격자들은 침입이 까다로운 사회기반시설을 직접적으로 공격하는 대신 협력 업체를 해
킹하는 등의 우회 공격을 시도할 수 있기 때문이다
한편 사회기반시설 공격 동향에 관한 보다 상세한 내용은 안랩 시큐리티 대응센터 분석팀에서 발표한 lsquo사회기반시설 공격 동향 분석 보고서rsquo
에서 확인할 수 있다
lsquo사회기반시설 공격 동향 분석 보고서rsquo 전문 보기
[그림 8] PDB 정보 내의 특징적인 문자열
참고 자료
- Data breach digest (httpwwwverizoneenterprisecomresourcesreportsrp_data-breach-digest_xg_enpdf )
- Analysis of the Cyber Attack on the Ukrainian Power Grid (httpsicssansorgmediaE-ISAC_SANS_Ukraine_DUC_5pdf )
- 도시철도 안전 및 유지관리 실태 감사결과 (httpgovseoulgokrarchives86261)
- 감사원 국가 사이버안전 관리 실태 (httpwwwbaigokrbaiindexdo)
- 강은성 lsquo망분리는 만병통치약인가rsquo (wwwciokoreacomnews25437)
- 미국 국토안보국 Sector Risk Snapshotsrsquo(httpswwwhsdlorgviewampdid=754033)
- httpwwwsecurityweekcomhackers-broadcast-porn-tv-screens-brazil-bus-depot
- httpafricanspotlightcom20150808hackers-broadcast-porn-on-tv-screens-at-brazil-bus-station-photos
- httpsmonthlychosuncomclientnewsviwaspnNewsNumb=200908100021
- httpsenwikipediaorgwikiCyberattacks_during_the_Russo-Georgian_War
- httpwwweconomistcomnode17147818
- httpmoneycnncom20150805technologyaramco-hack
- httprutsnuaukrayinaiz-za-hakerskoy-ataki-obestochilo-polovinu-ivano-frankovskoy-oblasti-550406html
- SANS httpsicssansorgblog20160101potential-sample-of-malware-from-the-ukrainian-cyber-attack-uncovered
- Ukraine CERT httpcertgovuap=2370
- httpwwwmtagokrpolicyitsmanagement_signjsp
- httpwwwittodaycokrnewsarticleViewhtmlidxno=42719
- httpssecurelistcomblogincidents57854shamoon-the-wiper-copycats-at-work
10
안랩 산업군별 ISF Square 2016 진행
고객의 고민을 듣다 대응 전략을 나누다
S P O T L I G H T AhnLab ISF Square 2016
안랩은 ISF 스퀘어 2016을 통해 각 산업 분야가 직면하고 있는 주요 보안 이슈와 위협 동향 정보를 공유하고 산업별 비즈니스에 최적화된 대
응 방안을 소개하고 있다 지난 4월 27일부터 5월까지 다섯 차례에 걸쳐 진행된 이번 행사에 각 산업 분야의 CISO 및 보안책임자 100여 명이
참석했다
권치중 안랩 대표이사는 환영사를 통해 ldquo신종 공격 기법이 끊임없이 나타나고 있어 고객사 자체가 또는 보안 벤더만으로 최신 보안 위협에 대
응하는 것은 사실상 불가능하다rdquo며 ldquoISF 스퀘어를 통해 고객을 직접 만나 실제 현장에서 느끼고 계신 고민과 어려움을 나누고 산업별로 특화
된 정보를 공유함으로써 실질적이고 최적화된 해법을 찾을 수 있으리라 기대한다rdquo고 말했다
안랩이 최근 한 달 여에 걸쳐 산업군별 정보보호최고책임자(CISO) 및 보안책임자를 대상으로 lsquo안랩 ISF Square 2016(이하 ISF 스퀘어
2016)rsquo을 개최하고 있다 ISF 스퀘어는 안랩이 지난 2009년부터 진행해오던 자사의 융합 보안 컨퍼런스 lsquo안랩 ISFrsquo를 산업별로 세분화
하여 개편한 보안 전략 세미나다 다양한 산업군별 고객사의 특성에 맞춰 lsquo맞춤형 보안 전략 및 솔루션rsquo을 제공하기 위한 목적이다
이번 ISF 스퀘어 2016은 지난 4월 27일 은행 및 카드사를 시작으로 28일에는 보험사 5월 11일과 18일 25일에는 각각 증권사와
건설사 유통사를 대상으로 진행됐다 6월 8일에는 공공 및 교육 기관의 보안책임자를 대상으로 진행할 예정이다
ISF 스퀘어 2016에 산업군별 CISO 100여 명이 참석한 가운데 권치중 안랩 대표이사는 ldquo고객의 목소리에 귀를 기울이고 고민을 나누는 것이 ISF 스퀘어의 목적rdquo이라고 전했다
11
한창규 실장과 김경희 실장(왼쪽부터)은 CISO들이 가장 궁금해하는 랜섬웨어를 비롯한 최신 공격 동향을 공유했다
안병무 차장과 백민경 차장(왼쪽부터)은 기업이 직면하고 있는 보안 위협을 살펴보고 이에 따른 안랩의 솔루션을 제시했다
이와 관련해 한창규 안랩 시큐리티대응센터(ASEC) 실장이 ldquo랜섬웨어로 대표되는 최신 위협 동향rdquo이라는 주제 발표를 통해 CISO의 궁금증에
답했다 한창규 실장은 실제 사례를 통해 신bull변종 랜섬웨어의 감염 경로 동작 원리 등을 설명했다 이어 ldquo랜섬웨어는 더 이상 일시적인 유행이
나 단발성 이슈가 아니다rdquo라며 ldquo기업에서도 이제 랜섬웨어에 대한 대응책을 마련해야 할 때rdquo라고 강조했다
이어 김경희 안랩 플랫폼개발실 실장은 랜섬웨어의 서비스화(RaaS Ransomware-as-a-Service)를 비롯해 모바일 랜섬웨어 맥(Mac) OS X를
노리는 랜섬웨어 등 진화하는 랜섬웨어의 흐름을 설명했다 김경희 실장의 설명에 따르면 랜섬웨어는 비대칭 키를 사용하기 때문에 실제 공격
자를 잡아 서버를 수거하지 않는 한 암호를 풀 수 없다 일단 감염되면 피해를 피할 수 없다는 것 특히 현재 일부 업체가 제공하는 lsquo랜섬웨어
복구 서비스rsquo의 대부분은 지불 대행 서비스로 공격자에게 비트코인을 대신 납부해주고 키를 받아 파일을 복구하는 방식에 불과하다 이와 관
련해 김경희 안랩 플랫폼개발실 실장은 ldquo돈을 주고 복구할수록 몸값이 올라갈 뿐만 아니라 돈을 많이 주는 기업을 노리게 된다rdquo고 지적했다
문제는 일반적인 보안 솔루션만으로는 랜섬웨어 대응이 쉽지 않다는 것 이와 관련해 안병무 안랩 제품기획팀 차장은 지능형 위협 대응 솔루
션인 안랩 MDS를 제안했다 안병무 차장은 ldquo최초 감염(First Victim) 방어 포기할 것인가rdquo라는 주제 발표를 통해 랜섬웨어에 대한 최선의 대
응책은 lsquo예방rsquo과 lsquo선제적 방어rsquo라고 전제했다 이어 ldquo랜섬웨어를 비롯해 고도화된 최신 공격 대응에서 놓치지 말아야 할 부분은 첫 번째 희생자
(First Victim)가 발생할 가능성을 최소화하는 것rdquo이라고 강조하고 ldquo안랩 MDS의 lsquo실행보류(Execution Holding) 기능을 이용해 랜섬웨어가 동
작하는 것 자체를 방지할 수 있다rdquo고 설명했다
랜섬웨어는 공통분모hellip산업별 보안 위협은
랜섬웨어는 개인과 기업 산업 분야를 막론하고 공통된 보안 위협이라는 데는 이견이 없다 그러나 기업의 비즈니스에 따라 최우선 보안 과제
는 각기 다르다
기업으로 눈 돌리는 랜섬웨어 그 실체는
산업 분야를 막론하고 현재 가장 심각한 보안 이슈는 역시 랜섬웨어였다 특히 최근 미국의 주요 병원들의 랜섬웨어 감염 사례를 시작으로 랜
섬웨어의 표적이 개인 중심의 불특정 다수에서 막대한 자금을 보유하고 있는 기업군으로 옮겨갈 것이라는 예측도 있어 기업 보안책임자들의
고민이 깊은 실정이다
12
김창희 팀장과 한태수 실장(왼쪽부터)은 각각 유통 분야와 건설 분야의 보안 위협 요인과 대응 방안에 대해 공유했다
정청환 실장은 안랩의 제품 개발부터 관리까지 전 과정에 대한 안랩의 독자적인 보안 체계를 소개해 참석자들의 이목을 집중시켰다
유통 분야를 위한 ISF 스퀘어 2016에서는 최근 또다시 화두가 되고 있는 POS 시스템 보안 위협에 대한 상세한 정보가 공유됐다 김창희 안랩
제품기획팀 팀장은 ldquoPOS 및 단말 보안을 위한 효과적인 대응 방안rdquo이라는 주제 발표를 통해 수많은 고객의 신용카드 정보 등 민감한 정보를
다루는 POS 단말기가 해킹되면 실생활에 직결되는 사회적 경제적으로 치명적인 위험이 될 것이라고 단언했다 그러나 POS 시스템 등 산업
용 단말에는 일반적인 보안 정책이나 솔루션을 적용하는 것은 현실적이지 않다rdquo고 지적하고 ldquo안정적인 비즈니스 운영을 위해 안랩 EPS와 같은
전용 보안 솔루션을 도입하는 것이 바람직하다고 조언했다
한태수 안랩 매니지먼트개발 실장의 ldquo사물인터넷(IoT) 보안 위협과 대응 방안rdquo에 대한 발표는 특히 건설 분야 CISO의 눈과 귀를 사로잡았다
한태수 실장은 ldquo사물인터넷은 스마트가전 스마트헬스 특히 스마트홈 등 통신과 건설 분야에서 더욱 중요한 요소로 부각되고 있다rdquo며 ldquo이제
관련 산업 분야에서는 서비스 준비 단계에서부터 IoT 관련 개방형 표준에 근거한 정보보호 프라이버시 보호에 대해 필수적으로 고민해야만
한다rdquo고 강조했다 또한 ldquo설계도면이나 기술 정보 등 중요 정보가 많은 건설사의 특성상 지능형 보안 위협에 노출되면 피해가 커질 수 있다rdquo고
지적한 뒤 ldquo안랩은 이미 스마트홈 등과 관련해 실제 발생할 수 있는 다양한 공격 시나리오를 연구해왔으며 이에 대한 전방위적인 대응 방안을
마련하고 있다rdquo고 말했다
안랩은 금융 분야부터 유통 건설 그리고 공공 분야까지 각 산업 분야의 주요 보안 위협과 관련해 최적의 보안 솔루션을 제공하고 있다 안랩
의 다양한 솔루션의 근간에는 원천 기술을 보유한 RampD 센터와 인프라가 있다 이와 관련해 정청환 안랩 엔드포인트개발 실장은 그동안 많은
고객들이 궁금해했던 안랩의 보안 제품 개발과 개발 인프라 보안 관리 체계를 소개했다 정청환 실장은 특히 보안 업체 자체를 노리는 공격이
종종 등장하는 것과 관련해 안랩의 대비책은 물론 제품 개발부터 관리까지 무결성을 보장하기 위한 안랩의 자체적인 보안 체계를 상세하게
설명해 참석자들의 큰 호응을 얻었다
백민경 안랩 제품기획팀 차장은 은행 증권사 카드사 등 금융기관이 직면한 위기로 lsquo이용자 PC를 노리는 전자금융사기rsquo를 꼽았다 백민경 차장
은 실제 금융기관 보안 침해 사례를 통해 파밍 다이어 악성코드 공유기 공격 메모리 해킹 등 전자금융사기 기법을 설명하고 모바일과 온라
인으로 금융 서비스를 이용하는 비율이 증가하는 자율 금융 시대를 맞아 명확한 위험요소를 파악하고 그에 따른 적절한 솔루션 도입 등 이용
자 보호와 금융 시스템 보안을 위한 철저한 철학을 갖추는 것이 필요하다고 강조했다
13
세션 발표 후 진행된 라운드 테이블 프로그램을 통해 안랩의 권치중 대표 강석균 전무 배민 상무 방인구 상무가 고객사 CISO와 자유롭고 다양한 논의를 이어나갔다
안랩은 오는 6월 8일 서울 양재동 엘타워에서 공공 및 교육기관의 보안책임자를 대상으로 ISF 스퀘어 2016을 이어나갈 예정이다 또한 안랩은
서울에서 진행되는 행사에 참석하기 어려운 각 지역의 고객사를 위해 lsquo파트너와 함께 찾아가는 고객 세미나rsquo도 동시에 진행하고 있다 지난 5
월 24일 전주 지역에 이어 오는 6월 16일에는 대구 21일에는 대전에서 고객사의 보안책임자를 초청해 최신 보안 위협 동향과 대응 방안을 공
유할 예정이다
고객의 생생한 목소리를 듣다
여타 보안 세미나와 안랩 ISF 스퀘어의 가장 큰 차별점은 제품 기획자부터 제품 개발 책임자 그리고 대표이사에 이르기까지 한 자리에서 고객
과 직접 소통한다는 점이다 이번 ISF 스퀘어 2016에서도 안랩 EP사업부문 총괄인 강석균 전무 EP영업본부 총괄 배민 상무 서비스사업부 총
괄 방인구 상무 등이 총출동해 고객의 고민을 듣고 의견을 나눴다
14
CryptXXX RansomwareT H R E A T A N A L Y S I S
최근 lsquo크립트엑스엑스엑스 랜섬웨어rsquo가 대량 유포되면서 피해 사례가 늘어나고 있다 크립트엑스엑스엑스의 특징은 기존 랜섬웨어와
달리 실행 파일(EXE) 형태가 아닌 동적 링크 라이브러리(DLL) 형태로 유포되고 있다는 점이다 DLL 형태로의 유포는 정상적인 프로
세스와 함께 동작하는 구조여서 감염 사실을 알아차리기조차 어렵다
월간 lsquo안rsquo에서는 1부와 2부에 걸쳐 크립트엑스엑스엑스의 동작 방식과 주요 기능 암호화 방식 복구 툴 등 자세한 내용을 소개한다
lt연재 목차gt
1부_ DLL 이용한 CryptXXX 랜섬웨어 분석 완료
2부_ CryptXXX 암호화 비밀과 복구 툴 공개
DLL 이용한 CryptXXX 랜섬웨어 분석 완료
CryptXXX 랜섬웨어 분석 보고서_1부
크립트엑스엑스엑스 랜섬웨어(진단명 TrojanWin32CryptXXX
이하 크립트엑스엑스엑스)는 컴퓨터에 있는 파일을 암호화한 뒤
lsquocryptrsquo 확장자로 변경하여 사용자에게 비트코인을 요구하는 랜섬웨
어다 [그림 1]은 크립트엑스엑스엑스의 동작 방식이다
크립트엑스엑스엑스의 경우 다른 랜섬웨어와의 차이점은 DLL(동
적 링크 라이브러리 Dynamic Linking Library)로 동작한다는 점이
다 크립트엑스엑스엑스는 정상 rundll32exe를 악성 DLL이 있는 경
로에 svchostexe로 이름을 바꾸어 복사한 뒤 악성 DLL의 내보내기
(Export) 함수를 인자값으로 호출하여 동작한다
이 악성코드는 피해자의 컴퓨터를 감염시킬 때 lsquoRecovery_사용자
IDtxtrsquo lsquoRecovery_사용자IDhtmlrsquo lsquoRecovery_사용자IDbmprsquo 형
식의 파일을 생성하며 내용은 [그림 3] [그림 4]와 같다
[그림 1] 크립트엑스엑스엑스 동작 방식
[그림 3] 크립트엑스엑스엑스 결제 안내 페이지
[그림 2] svchostexe(정상 rundll32exe)로 로드되어 동작하는 악성 DLL
15
CampC 통신
크립트엑스엑스엑스는 파일을 암호화하기 전 CampC에 악성코드가 생
성한 사용자 ID를 전송한다
암호화된 환경
크립트엑스엑스엑스는 암호화가 완료된 파일의 수정한 날짜와 시간
정보를 백업된 원본의 수정한 날짜로 변경한다
[그림 4] 크립트엑스엑스엑스 결제 안내 텍스트
[표 1] 자동 실행 등록을 위한 바로가기 링크 파일 생성
[표 3] 암호화 대상 확장자
[표 4] 암호화 제외 대상 경로
[표 2] 암호화 대상 드라이브
[그림 5] 자동 실행 등록 정보
[그림 6] CampC 통신 패킷 정보
크립트엑스엑스엑스 주요 기능
자동 실행 등록
크립트엑스엑스엑스는 [표 1]과 같이 시작프로그램에 바로가기 링크
파일을 생성한다 [그림 5]에서 알 수 있듯이 해당 링크 파일에 의해
실행되는 파일은 크립트엑스엑스엑스이며 lsquoMS114rsquo라는 이름의 함수
를 호출하는 기능을 한다
자동 실행 등록
파일
CDocuments and Settings프로그램시작프로그램[사용자ID]lnk
암호화 대상 드라이브
고정식 드라이브 이동식 드라이브 네트워크 드라이브
악성 DLL 내부에 암호화된 CampC는 2개이며 첫 번째 IP에 접속이 되
지 않았을 경우 두 번째 IP로 연결된다
- 1447821443
- 9311876443
CampC 접속 여부와 관계없이 패킷을 전송한 후에는 파일 암호화가 진
행된다
파일 암호화 대상
분석된 크립트엑스엑스엑스로부터 확인된 암호화 대상은 [표 2]와 같다
Z 부터 A 까지 마운트된 모든 드라이브 중 다음의 암호화 대상 드
라이브만 감염이 진행된다
암호화 대상 확장자
3DM 3DS AES APK APP ARC ASC ASM ASP ASPX BRD BZ2 C
CER CFG CFM CGI CGM CMD CPP CRT CSR CSS CSV CUE DB
DBF DCH DCU DIF DIP DJV DJVU DOC DOCB DOCM DOCX DOT DOTM
DOTX DTD DWG DXF EML EPS FDB FLA FRM GBK GBR GED GPG
GPX H HTM HTML HWP IBD INDD JAR JAVA JKS JSP KEY KML
KMZ LAY LAY6 LDF LUA M MAX MDB MDF MFD MML H MS11
MSI MYD MYI NEF NOTE OBJ ODB ODG ODP ODS ODT OTG OTP
OTS OTT P12 PAQ PAS PCT PDB PDF PEM PHP PIF POT POTM
POTX PPAM PPS PPSM PPSX PPT PPTM PPTX PRF PRIV PSD RAR RAW
RSS RTF SCH SDF SITX SLDX SLK SLN SQL STC STD STI STW
SVG SWF SXC SXD SXI SXM SXW TAR TBK TEX TGZ TLB TXT
UOP UOT VB VBS VCF VDI VMDK VMX WKS WPD WPS WSF XLC
XLM XLR XLS XLSB XLSM XLSX XLT XLTM XLTX XLW XML ZIP ZIPX
ACCDB CLASS GADGET IBOOKS PAGES PLUGIN PRIVATE
QCOW2 SQLITE3 SQLITEDB VCXPROJ XCODEPROJ XHTML
암호화 대상 확장자
폴더
WINDOWS BOOT EFI CONFIGMSI
WINNT RECOVERY PROGRA^1 GOOGLE
RECYCLER$RECYCLE
BINPROGRA^2 TEMP
SYSTEM^1 PERFLOGS
16
[그림 7] 암호화 된 파일의 파일의 시간 정보 변경 코드
[그림 8] 암호화된 파일의 시간 정보 변경 전(왼쪽) 및 변경 후(오른쪽)
[그림 13] 암호화 완료 후 화면
[그림 12] 결제 안내 파일의 시간 정보 변경 전(좌) 및 변경 후(우)
[그림 9] 암호화 후 확장자 변경
[그림 11] 결제 안내 파일의 시간 정보 변경 코드
[그림 10] 암호화된 파일과 생성된 결제 안내 파일(BMP HTML TXT)
[그림 7]에서 붉은색 박스로 표현한 부분의 데이터(A4 80 BC 4B 36
B0 D1 01)는 SetFileTime API를 사용하여 백업된 원본의 수정한 날
짜로 변경된다
생성한 결제 안내 파일의 시간 정보를 [그림 12]와 같이 변경한다 암
호화가 완료되면 [그림 13]과 같은 화면을 띄우고 스크린이 잠기게
하여 사용자가 어떠한 동작도 할 수 없게 한다
이때 시간 정보가 변경된 파일은 MoveFileW API를 사용하여 [원본
파일명]crypt로 확장자가 변경된다
크립트엑스엑스엑스는 일반적으로 웹사이트 다운로드 등으로 유포되
는 경우가 많다 따라서 사용자는 출처를 알 수 없는 메일에 첨부된 파
일의 실행이나 불필요한 사이트 접근을 삼가는 등의 주의가 필요하다
해당 악성코드 감염을 막기 위해서는 항상 윈도우 보안 패치 및 V3
백신 프로그램을 최신 업데이트 상태로 유지하는 것이 필요하다
안랩은 원본 파일을 복구하는 툴을 랜섬웨어 보안센터를 통해 무료로
제공하고 있다
안랩 랜섬웨어 보안센터 바로가기
그리고 암호화된 파일이 있는 경로마다 결제 안내 파일들을 생성한다
앞서 언급했듯이 SetFileTime API를 이용하여 [그림 11]에 있는 붉은
색 박스에 있는 데이터(00 00 00 00 71 37 00 00)는 1601년 3월 12
일 월요일 10시 17분 27초로 변경된다
17
CryptXXX RansomwareT H R E A T A N A L Y S I S
크립트엑스엑스엑스(CryptXXX) 랜섬웨어는 정상 파일을 암호화한 후 lsquocryptrsquo 확장자로 변경하여 사용자에게 비트코인을 요구하는
랜섬웨어다 이 랜섬웨어는 현재까지 버전 1x 2x 3x 세 가지 형태가 알려져 있다 안랩은 현재 크립트엑스엑스엑스 2x 버전에 의
해 암호화된 파일에 대한 복구 툴을 제공하고 있다 특히 국내 사용자들이 많이 사용하고 있으나 기존 복구 툴이 지원하지 않는 한글
파일(HWP)의 복구도 가능하다는 점이 주목할만하다
월간 lsquo안rsquo에서는 1부와 2부에 걸쳐 크립트엑스엑스엑스의 동작 방식과 주요 기능 암호화 방식 복구 툴 등 자세한 내용을 소개한다
lt연재 목차gt
1부_ DLL 이용한 CryptXXX 랜섬웨어 분석 완료
2부_ CryptXXX 암호화 비밀과 복구 툴 공개
CryptXXX 암호화 비밀과 복구 툴 공개
CryptXXX 랜섬웨어 분석 보고서_2부
1 암호화 방식
[그림 1]은 크립트엑스엑스엑스에 의해 암호화된 lsquoPhotojpgrsquo 파일을
나타낸다 암호화는 고정 크기(0x1FFF)의 블록 단위로 순차적으로 이
뤄지며 암호화 최대 크기는 0xD012FE(대략 13M)로 이후의 데이터
는 원본과 동일하다
암호화된 파일은 원본 파일과 비교하여 260(=0x104)바이트가 증가
한 형태이며 이는 파일 끝부분에 삽입된 키 테이블(Key Table) 정보
로 인한 것이다([그림 1]에서 붉은색 블록 참고) 이 키 테이블 정보
는 블록 단위의 암호를 복호화하는 데 핵심이 되는 데이터로 공개키
를 통해 암호화되어 저장된다 즉 구조적으로는 해당 공개키에 매칭
되는 개인키 정보 없이는 해당 키 테이블 정보를 복호화할 수 없고
파일 복구가 불가능하다 하지만 해당 키 테이블 정보는 개인키 없이
도 원본 파일 시작 부분의 일부 데이터(예를 들면 파일 포맷별 Magic
정보)를 통해 파일의 형태를 확인할 수 있으며 그것을 토대로 유추할
수 있는 키 값으로 복구가 가능하다
2 Key Table 생성 방식과 취약성
[그림 2]는 파일 끝에 삽입된 0x104바이트 크기의 키 테이블이 생성
되는 과정을 나타낸다 이 그림에서 노란색 부분이 공개키로 암호화
된 KeyTable_A[0x40]이며 CryptEncrypt() API를 통해 공개키로 암
호화 시 원본 0x40바이트 크기의 데이터가 최종 0x80바이트 크기로
증가된다
[그림 1] 크립트엑스엑스엑스 암호화 방식
[그림 2] 키 테이블 생성 과정
18
[그림 2]에서 언급된 암호화에 사용되는 핵심 정보 3가지는 lsquo4바이
트 SEED 값rsquo lsquoKeyTable_A[0x40]rsquo lsquoKeyTable_B[0x100]rsquo이며 최초
4바이트 크기의 SEED 값으로부터 이후 정보들이 순차적으로 만들
어지는 구조를 갖는다 키 생성 과정의 최상위에 위치하는 SEED 값
은 감염 시점의 시스템 시간(SystemTime) 정보 중에서 시(wHour)
분(wMinute) 초(Second) 밀리초(Millisecond)를 이용하여 얻어지
며 이 SEED 값으로부터 0x40바이트 크기의 KeyTable_A[0x40] 데
이터가 생성된다 바로 이 부분에서 제작자가 의도하지 않은 취약성
이 존재하며 SEED 값이 동일하면 매번 동일한 KeyTable_A[0x40]
가 생성되는 구조를 갖는다 최종 블록 단위의 암호화에 사용되는
KeyTable_B[0x100]의 데이터와 원본 파일로부터 읽은 블록과의
XOR(배타적 논리합)을 통해 암호화가 수행된다
즉 SEED 값이 동일하면 매번 생성되는 최종 키 테이블 정보가 동일
한 점과 암호화 방식이 XOR이라는 2가지 포인트를 바탕으로 복구 대
상 파일의 Magic 정보가 존재한다면 역으로 키를 유추할 수 있는 구
조다 [그림 3]은 SEED 값이 0x02978CAC일 때 생성되는 키 테이블
A B의 예를 나타낸다
3 키 테이블 생성 함수
크립트엑스엑스엑스 랜섬웨어에서 파일 암호화 시 사용되는 핵심 정
보 3가지의 생성 함수는 다음과 같다
(1) SEED 값 생성
[그림 4]는 SystemTime 정보를 통해 4바이트 크기의 SEED 값을 생
성하는 함수를 나타낸다
KeyTable_A[0x40] 데이터가 생성되는 방식은 다음의 2가지 기본 테
이블 중 델파이 랜덤(Delphi Random) 함수를 통해 얻은 랜덤값을
바탕으로 하나의 값이 선택되어 구성되는 구조를 갖는다
(1) QWERTYUIOPASDFGHJKLZXCVBNMltgt$^amp()_+~|
(2) qwertyuiop[]asdfghjklzxcvbnm`1234567890-=
크립트엑스엑스엑스는 총 2번의 델파이 랜덤 함수를 사용하여 아래
의 Index(A)와 Index(B)를 얻게 된다 이때 Index(A)는 위 기본 테이
블 중 하나를 선택하기 위한 목적으로 Index(B)는 선택된 테이블의
데이터 중 하나를 선택하기 위한 목적으로 사용된다
Index(A) DelphiRandom(3) - 0 ~ 2 범위의 랜덤 값 생성(0 2인 경우 -gt
(1)번 1인 경우 -gt (2))
Index(B) DelphiRandom(44) - 0 ~ 43 범위의 랜덤 값 생성
예를 들어 Index(A) == 0이고 Index(B) == 3이면 lsquoRrsquo 문자열이 선택
된다
(2) 키 테이블(A) 생성
[그림 5]는 SEED 값을 바탕으로 0x40바이트 크기의 키 테이블을 생
성하는 함수이며 do-while 문을 통해 생성되는 0x40바이트 크기의
데이터가 SEED 값이 동일하면 동일한 형태로 생성되는 취약성이 존
재하는 부분이다
(3) 키 테이블(B) 생성
[그림 6]은 키 테이블(A)로부터 0x100바이트 크기의 최종 키 테이블
(B)가 생성되는 함수를 나타낸다 이 키 테이블 정보는 1바이트 단위
의 블록 단위의 암호화 시 XOR 키 값으로 사용된다
[그림 3] 키 테이블 A B 예제
[그림 4] SEED 값 생성 함수
[그림 5] 키 테이블(A) 생성 함수
19
[그림 6] 키 테이블(B) 생성 함수
[그림 7] 크립트엑스엑스엑스 복구 과정
4 복구 방식
시 분 초 밀리초 정보를 통해 계산되는 SEED 값의 범위는 다음과
같다
- 최소값 0000000000 -gt 0 최대값 235959999 -gt 0x5265bff
사용자마다 그리고 암호화된 파일마다 서로 다른 SEED 값을 유추하
기 위해 0 ~ 0x5265bff 범위의 SEED를 순차적으로 선택하며 이를
바탕으로 암호화에 사용된 키 테이블을 생성하거나 복호화를 시도
한다 첫 번째 블록에 대한 복호화를 통해 파일의 고유한 식별 정보
(Magic)가 확인되면 유효한 SEED 값으로 판단하고 전체 파일에 대
한 블록 단위의 복구를 시도한다 우선 첫 번째 파일이 복구에 성공하
면 두 번째 파일부터는 SEED의 범위를 제한하여 좀 더 빠른 복구가
가능하도록 했다 이러한 설정은 복구 대상 파일들이 동일 시간대에
감염된 형태가 대부분일 것으로 가정하여 이루어진 것으로 복구 대
상 파일들이 서로 다른 시스템에서 다른 시간대에 수집된 형태의 경
우 복구 시간이 더 오래 걸리는 특징을 갖는다
5 복구 대상 리스트
복구 툴을 통해 복구 가능한 크립트엑스엑스엑스 버전은 2x로 제한
적이며 우선 다음의 확장자들에 대한 복구가 가능하도록 제작되었
다 특히 국내 사용자들이 많이 사용하고 있으나 기존 복구 툴이 지
원하지 않는 한글 파일(HWP)의 복구가 가능하다 이 외에도 원본 파
일의 고유한 식별 정보만 알 수 있다면 복구가 가능한 구조이기 때문
에 추후 복구 대상으로 추가될 수 있다
CHM AI HWP PDB PDF RTF HTM HTML PHP XML DWG PS
WSF KEY CSR CRT WAV MP3 OGG WMA WMV AVI ASF MP4
MOV MID MPG FLV PNG GIF BMP TIF JPG JPEG ZIP RAR BZ2
7Z GZ JAR APK TGZ ODS DOC DOT PPT POT PPS XLS XLT
DOCX DOCM DOTX DOTM PPTX PPTM POTM POTX PPSM
XLSX XLSB XLSM XLTM XLTX EPS ISO SQLITE3 MDB MSI APP
FDB ACCDB SLN CLASS VCXPROJ
6 복구 툴 경로
안랩은 크립트엑스엑스엑스 랜섬웨어 2x 버전에 대한 복구 툴을 랜
섬웨어 보안센터를 통해 무료로 제공하고 있다
안랩 랜섬웨어 보안센터 바로가기
[그림 7]은 크립트엑스엑스엑스 복구 툴에서 파일 복구를 위해 이루
어지는 과정을 나타낸 것이다 구조상 첫 번째 파일을 복구하는 데 오
랜 시간이 소요되며 이후 파일부터는 빠르게 복구가 가능하다
20
F O C U S I N - D E P T H Compliance
20
1 개인정보보호법
1) 정보주체 이외로부터 수집한 개인정보의 수집 출처 고지 의무화
ldquo따르릉~ 여보세요 홍길동 고객님이시죠 여기는 보험사인데
요~ 알지도 못하는 보험사로부터 이런 전화를 받아 본 경험이 혹시
있었는지 모르겠다 어디서 내 전화번호를 입수한 것인지 물어보면 정
확히 대답하지 않거나 얼버무리는 경우도 많다 개정안이 시행되는 9
월 30일부터 이런 식의 연락은 더 이상 받지 않게 될 것 같다 일정 규
모 이상이 되는 기업(5만 명 이상의 민감 정보 또는 고유식별정보 처
리 100만 명 이상의 개인정보처리)이 정보주체로부터 직접 수집하지
않고 개인정보를 처리할 때는 반드시 ①정보수집출처 ②개인정보처리
목적 ③개인정보 처리정지 요구권이 있다는 사실을 최초 수집 후 3개
월 이내에 정보주체에게 고지해야만 하기 때문이다 불법으로 입수한
개인정보라면 애초에 고지도 못할 테지만 적법하게 제공받은 경우라
하더라도 고객에게 일일이 고지하기란 큰 부담이 될 것이다 고객이 제
3자 제공 동의를 해서 개인정보를 제공했다는 사실을 증명하라고 요구
하면 그 또한 큰일이다 필자 견해로는 이 개정안에 대한 대응이 본 기
사를 통틀어 제일 큰일일 듯 싶다
2) 민감정보의 안전성 확보조치 명시적 요구
민감정보란 개인의 사상middot신념 노동조합middot정당의 가입middot탈퇴 정치
적 견해 건강 유전 정보나 범죄 경력처럼 사생활을 현저히 침해할
우려가 있는 정보를 말한다 기존에도 고유식별 정보와 더불어 수집
이용하지 않는 것이 원칙이고 별도의 동의를 얻어 처리해야 하며 안
전성확보 조치를 통해 보호해야 할 대상이었다 이번 개정안에서는
민감정보에 대한 안전성 확보 조치를 명시적으로 요구하고 있을 뿐
기업 입장에서 달리 조치해야 할 사항은 없어 보인다 (기존 법에 따
라 잘 조치하고 있었을 경우에는 그렇다는 뜻이다)
3) 개인정보처리방침과 개인정보취급방침 구성 요건 동기화
개인정보보호법의 lsquo개인정보처리방침rsquo은 정보통신망법(이후 lsquo정통망
법rsquo)의 lsquo개인정보취급방침rsquo과 이름도 다르고 구성 요건에도 약간의 차
이가 있었다 이번 개정안에서는 방침 구성 내용에 정통망법 일부 사
꼭 챙겨야 할 개인정보보호 법령
지난 3월 8일 발간된 월간 lsquo안rsquo 2016년 3월호에 lsquo2016년에 챙겨봐야 할 개인정보보호 법령 5가지rsquo란 제목으로 개인정보보호 법령에 대
해 소개한 바 있다 이후 3월 22일과 29일에 정보통신망법과 개인정보보호법이 또 개정되어 2016년에 챙겨야 할 법령이 더 늘어났다
이번 호에서는 두 가지 법의 개정사항의 중요도를 별점으로 매겨가며 정리하고자 한다 단 중요도의 기준은 필자의 주관에 따른 것이므
로 참고만 하는 것이 좋겠다 개정된 내용 중 기업과 관련이 적은 사항은 따로 적지 않았다
별점으로 살펴본
lsquo개정rsquo 개인정보보호 관련 법령
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
중요도 업무영향도 대응업무부하
처 벌
- 미이행 시 3000만 원 이하의 과태료
- 미이행 상태에서 유출 사고 발생 시 2년 이하의 징역 또는 2000만 원 이하
의 벌금
중요도 업무영향도 대응업무부하
처 벌 해당 없음
기업에서 대응해야 할 업무 절차
1 법 시행 시점 이후 수집 보유 중인 개인정보 중 정보주체에게 직접 입수한 것이 아닌
개인정보 식별(정보주체 외 입수 경로 제3자 제공 동의 여부 확인)
2 1에서 식별된 개인정보 중 연락처가 있는 개인정보 식별
3 2에서 식별된 정보주체에게 개인정보 수집 및 이용 사실 고지(파기요청 수집)
구체적인 고지 시기 방법은 시행령이 나와야 알 수 있음
4 3의 절차에서 파기 요청 시 파기 시행
기업에서 대응해야 할 업무 절차
1 보유 중인 개인정보 중 민감정보 식별
2 1에서 식별된 민감정보에 대한 안전성 확보 조치 수준 점검
3 2절차에서 법 기준에 미흡한 경우 보완 조치 이행
2121
항을 반영하여 유사한 구조를 갖추도록 했으며 정통망법 또한 lsquo개인
정보처리방침rsquo으로 명칭을 변경함으로써 개인정보보호법과 일원화할
수 있게 되었다 개인정보보호법 개인정보처리방침에 추가된 사항은
다음과 같다
2 정보통신망 이용촉진 및 정보보호 등에 관한 법(이하 lsquo정
통망법)
1) 정보주체의 이동통신 단말장치 내 정보 및 기능에 대한 접근 시 동
의절차 의무화
스마트폰 메신저 앱을 생각해 보자 메신저 앱의 핵심적인 기능은 다
른 사람과 메시지를 주고받는 것이다 메신저를 편히 쓰려면 연락처
를 일일이 입력하기보다는 스마트폰에 있는 연락처 정보를 이용하는
게 필요할텐데 개정된 법은 그렇게 메신저 앱이 서비스를 이용하기
위해 스마트폰에 저장된 정보에 접근할 경우에 반드시 정보주체의 동
의를 받아야 한다는 것이다
핵심 서비스를 위해 필요한 정보나 접근권한에도 동의를 받으라고 하
는 상황인데 그 외의 목적이라면 당연히 동의를 요구할 수밖에 없다
이 경우에는 사용자가 동의를 거부할 권한이 있고 동의를 안했다고
해서 기업이 서비스 제공을 거부할 수 없도록 하고 있다(거부하면 과
태료 처벌을 받을 수 있다)
이 법의 요구사항은 흔히 알고 있는 개인정보 수집이용 동의와 개념
이 다르기 때문에 기업에서도 상당한 고민과 부담이 있을 것으로 예
상된다 (예를 들면 휴대전화에 저장된 연락처는 휴대전화 주인의 개
인정보가 아니므로 정보주체의 개인정보 수집이용 동의로 대체할 수
없다) 휴대전화 기능에 대한 접근권한 역시 개인정보 수집이용 동의
와는 다른 사항이므로 동의 절차를 새롭게 설정해야 할 가능성이 높
다 이런 동의와 철회 방법에 대한 구현 책임은 이동통신단말장치 소
프트웨어 제조업자와 공급자에게 부과하고 있으며 위반 시 과태료 처
벌을 할 수 있도록 되어 있다
2) 개인정보 처리업무 수탁자가 재위탁할 경우 원 위탁자의 동의를 받
는 경우에만 가능함
이번 정통망법 개정안에서는 개인정보 처리 위탁 관련 조항이 특히
많이 수정되었다 대부분 용어가 lsquo취급rsquo에서 lsquo처리rsquo로 바뀐 사항이 많
고 일부 조항은 개인정보보호법과 동일한 수준으로 바뀌었다 예컨대
수탁자에 대한 관리 감독 책임에 lsquo교육rsquo을 별도로 명시한다거나 수탁
자에게 위탁을 할 경우에는 문서에 의하여야 한다는 내용들이 그러하
다 개인정보보호법보다 조금 엄격하게 느껴질 만한 것은 제25조 7
항으로 수탁자의 재위탁은 위탁자로부터 동의를 받은 경우에 한한다
는 내용이다 (개인정보보호법은 시행령 제28조에서 lsquo재위탁 제한에
관한 사항rsquo을 위탁 시 작성해야 할 문서에 기재하도록 하고 있다)
3) 전화 권유 판매 시 개인정보 수집출처 고지 의무 부과
정통망법에 따르면 전자적 전송매체를 이용하여 영리목적의 광고성 정
보를 전송할 때 수신자의 명시적인 사전 동의를 받아야만 한다 사전
동의를 받지 않을 수 있는 예외가 두 가지 있는데 lsquo방문판매 등에 관한
③ 이동통신단말장치의 기본 운영체제(이동통신단말장치에서 소프트웨어를 실행할 수 있는
기반 환경을 말한다)를 제작하여 공급하는 자와 이동통신단말장치 제조업자 및 이동통신단
말장치의 소프트웨어를 제작하여 공급하는 자는 정보통신서비스 제공자가 이동통신단말장
치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근하려는 경우 접근
권한에 대한 이용자의 동의 및 철회방법을 마련하는 등 이용자 정보 보호에 필요한 조치를
하여야 한다
2 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
다 접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실
② 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 반드시 필요하지 아니한 접근
권한을 설정하는 데 이용자가 동의하지 아니한다는 이유로 이용자에게 해당 서비스의 제공
을 거부하여서는 아니 된다
중요도 업무영향도 대응업무부하
처 벌 2000만 원 이하의 과태료
- 수탁자가 위탁자의 동의 없이 재위탁을 한 경우
기업에서 대응해야 할 업무 절차
1 운영개발 중인 모바일 앱(App) 현황 파악(앱이 설치된 모바일 기기 내 이용 정보 및 기
능 내역)
2 1에서 식별된 모바일 기기 내 정보 및 기기에 대해 서비스 이용에 필수선택 항목 식별
3 모바일 앱 설치 시 동의이용 중 철회 절차 검토 및 보완
1) 필수항목과 선택항목의 구분
2) 법 제22조의2제1항1호2호의 사항을 고지사항에 반영
4 이용자 정보 보호에 필요한 기타 조치 사항 반영
5 3과 4에서 도출된 사항을 모바일 앱에 적용 업데이트
6 기존 운영 중인 앱의 경우 고객에게 업데이트 고지(동의 또는 재동의 절차 적용)
⑦ 수탁자는 개인정보 처리위탁을 한 정보통신서비스 제공자 등의 동의를 받은 경우에 한
하여 제1항에 따라 위탁받은 업무를 제3자에게 재위탁할 수 있다 lt신설 2016322gt
기업에서 대응해야 할 업무 절차
1 수탁자의 경우 위탁받은 개인정보의 처리 업무 중 재위탁 현황 파악
2 재위탁 사실이 있고 위탁자의 동의 증적이 없는 경우 파악
3 2에서 파악된 미동의 재위탁 건에 대해 위탁자에게 고지 및 동의 확보
6 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항
을 처리하는 부서의 명칭과 전화번호 등 연락처
7 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치middot운영 및 그 거부에
관한 사항(해당하는 경우)에만 정한다
중요도 업무영향도 대응업무부하
처 벌
3000만 원 이하의 과태료
- 반드시 필요하지 않은 접근권한 설정에 정보주체가 동의하지 않는다는 이유
로 서비스 제공을 거부할 경우
- 접근권한에 대한 동의 및 철회방법을 마련하는 등 조치를 하지 않은 경우
제22조의2(접근권한에 대한 동의) ① 정보통신서비스 제공자는 해당 서비스를 제공하기 위
하여 이용자의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신 단말장치에 설치된
기능에 대하여 접근할 수 있는 권한(이하 ldquo접근권한rdquo이라 한다)이 필요한 경우 다음 각 호의
사항을 이용자가 명확하게 인지할 수 있도록 알리고 이용자의 동의를 받아야 한다
1 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한인 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
2222
법률rsquo에 따른 전화 권유 판매자가 육성으로 전화 권유를 하는 경우가
그 중 하나였다 개정 법에서는 lsquo수신자에게 개인정보의 수집출처를 고
지하고rsquo라는 조건이 추가됨으로써 한결 까다로워졌다
4) 개인정보의 국외 이전 유형에 따른 동의 요건 완화
모처럼 개인정보보호 담당자한테 반가운 개선 조항이 생겼다 개인정
보의 국외 이전은 정통망법에서 논란이 되던 문제였다 개인정보보호
법은 국외에 제3자 제공할 경우만 정보주체의 동의 받으라고 되어 있
는데 정통망법에선 lsquo이전rsquo할 때 동의를 받으라고만 되어 있었기 때문에
제3자 제공과 위탁의 경우를 달리 적용하기 어려웠던 것이다 개정안
에서는 lsquo국외로 이전하려면rsquo이라고 되어 있던 조항을 lsquo국외에 제공(조회
되는 경우를 포함한다)middot처리위탁middot보관(이하 이 조에서 ldquo이전rdquo이라 한
다)하려면rsquo이라고 풀어서 표현하고 lsquo다만 정보통신서비스의 제공에 관
한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서
제3항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자
우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는
개인정보 처리위탁middot보관에 따른 동의절차를 거치지 아니할 수 있다rsquo라
는 단서 조항을 더 함으로써 국외 이전의 경우에도 위탁업무일 경우엔
동의 받지 않고 처리할 수 있도록 하였다 (개인정보보호법과 일치시킨
셈이다)
5) 노출된 개인정보의 삭제 차단 조치 의무화
웹사이트에서 시험 합격자 명단 등을 공개할 때 관리자의 부주의로 주
민번호와 같은 고유식별정보를 포함시키는 일이 종종 발생하곤 한다
기존 법령에서도 개인정보의 노출을 통제할 책임은 정보처리자에게 부
여하고 있으나 이번 개정안에서는 별도의 조항으로 명시함으로써 책임
성을 부각하고 있다 관련 처벌이 따르지 않아 규범적 조항인 점이 그
나마 다행스럽다
6) 기타 사항
이상 중요한 사항은 짚어 보았고 다른 사항은 대부분 개인정보보호법
과 균형을 맞추기 위한 내용들이다 lsquo개인정보관리책임자rsquo란 용어는
개인정보보호법과 마찬가지로 lsquo개인정보보호책임자rsquo란 용어로 바뀌
었고 처벌 수준에 있어서도 주요 법 위반 시 위반행위에 관련된 이익
의 몰수 추징 조항이 신설되었다 내용의 파급력으로 보자면 충격이
클 수도 있는 제32조 제2항의 징벌적 손해배상도 이미 개인정보보호
법에 들어간 내용이기 때문에 기업 입장에서 새롭게 고민할 사항은
적을 듯하다
전기통신사업자와 정보통신서비스 제공자를 대상으로 하는 정보통신
망법과 일반법으로 적용되는 개인정보보호법은 개인정보보호의 규준
을 이루는 양대 법률이다 기업 입장에선 지나치게 자주 개정되어 정보
보호 업무 부담을 더하는 측면도 있다 하지만 이번 개정안은 두 법의
용어와 조항 처벌 수준 등을 통일함으로써 법 적용을 돕는 긍정적인
면이 훨씬 많을 듯하다 아무쪼록 이번 개정안이 적극 반영되어 사회
전반에서 더욱 안전한 개인정보보호 환경이 갖추어지기를 기대한다
기업에서 대응해야 할 업무 절차
1 전화 권유 판매 시 정보주체 사전 동의 획득 여부 확인
2 사전동의 미 획득 케이스인 경우 개인정보 수집출처 확인
3 개인정보 수집출처가 확인되지 않은 경우 개인정보 이용 중지
4 개인정보 수집출처가 확인된 경우 수집출처를 고객에게 고지하고 전화 권유 판매
기업에서 대응해야 할 업무 절차
1 개인정보의 해외 이전 유형 식별(제공처리위탁보관)
2 이전 유형 중 처리위탁보관의 경우 고지공개 여부 확인
3 이전 유형 중 제공의 경우 동의 여부 확인
4 2 3단계에서 미흡 사항 발견 시 개선 조치
중요도 업무영향도 대응업무부하
처 벌 없음
제32조의3(노출된 개인정보의 삭제middot차단) ① 정보통신서비스 제공자 등은 주민등록번호
계좌정보 신용카드정보 등 이용자의 개인정보가 정보통신망을 통하여 공중에 노출되지 않
도록 하여야 한다
② 정보통신서비스 제공자 등의 고의 또는 중대한 과실로 인하여 개인정보가 분실middot도난middot
유출middot위조middot변조 또는 훼손된 경우로서 이용자에게 손해가 발생한 때에는 법원은 그 손
해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다 다만 정보통신서비스
제공자 등이 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다 lt신설
2016322gt
기업에서 대응해야 할 업무 절차
1 시스템 내 개인정보 노출 현황 파악 (노출정보유형목적노출기간주관부서 등 현황 파악)
2 노출된 고유식별정보 및 금융정보 발견 시 삭제 또는 보호(마스킹 등) 조치
3 1~2의 반복적 이행 가급적 시스템화하는 것이 바람직함
중요도 업무영향도 대응업무부하
처 벌
- 2000만 원 이하의 과태료 공개나 고지 없이 개인정보를 국외에 처리위탁
보관한 경우
- 과징금 부과 정보주체의 동의 없이 개인정보를 국외에 제공한 경우
23
어릴 때부터 각종 디지털 기기의 사용이 능숙한 lsquo디지털 키즈(Digital kids)rsquo인 우리 자녀들을 위한 똑똑한 lsquo디지털 페어런팅(육아법)rsquo을 소개한
다 식당이나 카페에서 어린 자녀에게 스마트폰은 보여주고 있거나 자녀가 어린이날 선물로 스마트폰을 사달라고 조르는 경우 스마트폰 게임
이나 SNS에 빠져 있는 자녀 때문에 걱정인 부모들에게 필요한 자녀의 연령에 맞는 디지털 페어런팅이다 자녀가 성숙한 디지털 기기 사용 습
관을 기를 수 있도록 도와주는 것은 부모가 반드시 해야 하는 역할 중 하나다
몸짓을 이미지로 기억해 엄마의 의도를 파악한다 그다음 좌뇌가 발달하는데 좌뇌가 발달하기 시작하면 언어 발달이 이루어진다 그런데 이 시
기에 과도하게 스마트폰에 노출되면 우뇌가 충분히 발달하지 않은 상태에서 좌뇌가 발달하게 된다
우뇌가 제대로 발달하지 못하면 감정을 담당하는 뇌 발달에 영향을 줄 수 있는데 이는 다른 사람의 마음을 헤아리는 능력 다른 사람과 생각이
나 느낌을 주고 받는 능력 사고력 감정 조절력 부족으로 이어질 수 있다 우는 아이를 달래려고 부모가 편하게 밥을 먹기 위해서 흥미로운
자극을 주고 싶다는 이유로 이 시기 아이에게 건넨 스마트폰은 아이의 뇌에 치명적인 후유증을 남길 수 있음을 기억해야 한다
3~6세 유아기 부모의 통제 하에 사용해야
전문가들은 이 시기 아이에게도 디지털 기기의 사용을 권장하지는 않는다 하지만 현실적으로 쉽지 않다면 차선책을 선택해야 한다 부모가 디
지털 기기의 이용 시간 및 콘텐츠 등에 대해 확실한 기준을 갖고 있어야 한다 lsquo하루 30분 이상 넘기지 않으며 아이가 좋아하는 애니메이션 영상
과 동요 율동 영상만 본다rsquo는 식으로 말이다 아이의 손에 스마트폰을 맡겨버리면 의도하지 않은 영상에까지 노출될 우려가 있으니 주의해야 한다
약속한 시간 외에는 스마트폰을 아이의 손에 닿지 않는 곳에 두는 것이 좋다 이를 위해서는 부모 역시 스마트 기기 사용을 절제할 수 있어야
한다 아이들은 부모를 롤 모델로 삼아 그 태도와 습관을 배우기 때문이다 하지만 이 시기 아이가 스마트폰을 보여 달라고 강하게 떼를 쓰는
등 통제가 되지 않을 때는 당분간 아예 아이에게서 스마트폰을 분리하는 것이 효과적이다 스마트폰이 아닌 다른 방법으로 아이와 시간을 보
내는 법을 고민하는 것은 부모의 몫이다
0~3세 영유아기 스마트폰 잠시 건네는 것도 안 돼
이제 걸음마를 시작할 법한 아이가 스마트폰에 집중해 있는 모습을
본 적이 있을 것이다 우는 아이를 달래기 위해서 식당이나 카페에서
아이를 조용히 앉혀놓을 요량으로 부모는 어린 자녀의 손에 스마트폰
을 쥐여준다 하지만 전문가들은 이 시기의 아이에게 디지털 기기를
노출시키는 건 ldquo안 된다rdquo고 입을 모은다 lsquo영유아 스마트폰 증후군rsquo 등
의 부작용이 우려되기 때문이다
lsquo영유아 스마트폰 증후군rsquo이란 6세 미만의 아이들이 영상 게임 등의
지속적인 자극에 오랜 시간 노출되어 우뇌가 발달해야 하는 시기에
좌뇌가 지나치게 발달해 좌middot우뇌의 균형이 틀어지는 것을 말한다
영아기 아이는 우뇌가 먼저 발달하는데 엄마의 표정 목소리 눈짓
I T amp L I F E
내 아이를 지키는 rsquo디지털 페어런팅rsquo
스티브 잡스가 자녀에게 아이폰 아이패드와 같은 디지털 기기의 사용을 허락하지 않았다는 건 잘 알려진 사실이다 드론을 만드는 3D
로보틱스 CEO 크리스 앤더슨은 아이들이 사용하는 전자 기기의 사용 시간을 제한하고 부모가 통제할 수 있는 장치를 부착했다고 한
다 그는 ldquo테크놀로지의 위험을 잘 알고 있으며 아이들에게 그런 일이 일어나는 것을 원치 않는다rdquo며 그 이유를 설명했다 이들의 자녀
교육법이 전적으로 옳다고 말할 수는 없지만 어릴 때부터 디지털 기기 사용이 너무나 익숙한 우리 자녀들의 모습은 한 번쯤 돌아볼 필
요가 있다
24
6~10세 미만 디지털 기기 사용 가이드라인에 대해 설명해줘야
부모가 디지털 기기 사용 시간 및 사용 및 목록의 한계에 대한 가이드라인을 정하고 이에 대해 아이가 이해할 수 있도록 설명해주는 것이 좋
다 가이드 라인을 정할 때 아이의 생각을 들어보고 반영하는 것도 방법이다 디지털 기기 사용 가이드라인이 지켜질 수 있도록 온 가족이 노력
해야 함은 물론이다 TV를 보고 스마트 기기를 가지고 노는 것 자체가 문제가 될 수도 있지만 이로 인해 친구들과 뛰어놀며 신체활동을 하는
즐거움을 빼앗기지 않도록 하는 것도 중요함을 잊지 말아야 한다
10세 이상의 초등학생 스스로 규칙을 정하고 지킬 수 있도
록 동기 부여
부모들의 고민 중 하나는 lsquo아이에게 스마트폰을 언제 사줄 것인가rsquo다
아이의 하교 후 학원에서 학원으로 이동할 때마다 연락을 주고받기
위해 휴대전화가 필요할 수도 있다 요즘은 초등학교 입학과 함께 스
마트폰을 사주는 가정도 많다 친구들도 다 있다며 사달라고 떼를 쓰
는 아이의 마음도 이해 못 하는 바 아니지만 자녀에게 스마트폰을 사
주는 적당한 시기는 부모가 잘 판단해야 한다 아이가 스마트폰 사용
규칙을 지킬 수 있을 만큼 성숙한 상태여야 한다는 의미다 하고 싶어
도 참을 수 있는 절제력과 충동조절능력 좌절인내력이 바탕이 돼야
만 스스로 규칙을 지킬 수 있다
구글 애플 마이크로소프트 등 글로벌 IT 기업의 자녀들이 많이 다니
는 실리콘밸리에 발도로프 학교에는 컴퓨터가 없다 스크린 보드 빔
프로젝터 등의 멀티미디어 기기도 없으며 연필과 종이 분필 등을 이
용한 아날로그식 수업이 진행된다 이들은 우리나라 나이로 중학교 3
학년이 되는 8학년이 돼서야 컴퓨터를 서서히 배우기 시작한다 학생
들이 학교에 디지털 기기를 가져올 수도 없다 lsquo디지털 세상이 아이를
아프게 한다rsquo의 저자인 신의진 정신과 박사는 ldquo언제 자녀가 스마트폰
을 사용하면 좋냐rdquo는 질문에 ldquo늦을수록 좋다rdquo고 답한다
우리 자녀 세대는 지금 우리보다 훨씬 더 디지털 기기와 가깝게 지낼
것이다 시대가 변하고 있기 때문이다 더 흥미로운 기기들이 쏟아질
것이고 그에 맞는 교육 및 놀이 앱이 넘쳐날 것이다 하지만 시대가
변해도 변하지 않는 것은 존재한다 부모가 자녀와 디지털 생활에 대
해 이야기를 나눌 수 있는 환경은 신뢰를 바탕으로 한 그들의 아날로
그 생활에서의 환경이 조성하는 법이다 가족과 함께 서로의 디지털
생활에 대한 이야기를 나눠보는 시간을 갖는 것은 어떨까
자녀와 함께 TV 컴퓨터 스마트폰 등에 대한 이용 규칙을 정하고 스스로 통제할 수 있도록 동기를 부여해주는 것이 좋다 만약 약속을 어겼을
경우 벌칙도 명확히 해둔다 예를 들어 주말에만 컴퓨터 게임을 하기로 했는데 어겼다면 다음 주말 컴퓨터 이용 시간을 줄이는 식이다 초등학
교 3~4학년만 돼도 아이들은 SNS에 흥미를 느끼기 시작한다 이때 부모는 아이가 어떤 게시물을 올리고 다운로드하는지 관심을 가질 필요가
있다 인터넷상에 올린 글이나 영상은 쉽게 공유될 수 있으며 지우는 것도 쉽지 않다는 점에 대해서도 알려줘야 한다
중middot고등학생 자율성 존중하되 방치해선 안 돼
ldquo스마트폰 그만하고 공부해rdquo와 같은 강압적인 지시는 되레 부작용을 낳을 수 있다 중middot고등학생의 자녀와의 디지털 페어런팅에서 가장 중요한
것은 자율성을 존중하되 방치해서는 안 된다는 점이다 아이가 적당히 조절하며 디지털 기기를 사용하고 있다면 문제 없지만 걱정할 정도로 몰
입돼 있는 상황이라면 가정의 디지털 페어런팅 방식을 다시 점검해봐야 한다 과몰입 상태는 적절한 교육으로 가정에서 바로 잡을 수 있지만 중
독의 수준이라면 상황이 달라진다 이런 경우 아이가 디지털 기기에 빠진 원인을 찾고 이를 해결하기 위해 전문가 상담 및 치료를 받아야 한다
[그림 1] 컴퓨터가 없는 발도로프 학교에 대해 다룬 뉴욕타임즈 기사
(출처 httpwwwnytimescom20111023technologyat-waldorf-school-in-silicon-valley-technology-can-waithtml)
참고 자료
신의진(2013) 디지털 세상이 아이를 아프게 한다 북클라우드
구본권(2014) 당신을 공유하시겠습니까 어크로스
25
보안 통계와 이슈 S T A T I S T I C S
[그림 2]는 2016년 4월 한 달간 유포된 악성코드를 주요 유형별로 집
계한 결과이다 불필요한 프로그램인 PUP(Potentially Unwanted
Program)가 5948로 가장 높은 비중을 차지했고 트로이목마
(Trojan) 계열의 악성코드가 168 웜(Worm)이 347의 비율로
그 뒤를 이었다
지난 4월 한 달간 탐지된 모바일 악성코드는 24만 7847건으로 집계
됐다
안랩 시큐리티대응센터(이하 ASEC)는 최근 ASEC Report Vol76를 통해 지난 2016년 4월의 보안 통계 및 이슈를 전했다 지난 4월
의 주요 보안 이슈를 살펴본다
파일 속성 변경하는 리눅스 악성코드 등장
안랩 4월 악성코드 통계 및 보안 이슈 발표
[그림 1] 악성코드 추이(2016년 2월~2016년 4월)
ASEC이 집계한 바에 따르면 2016년 4월 한 달간 탐지된 악성코드
수는 1156만 4967건으로 나타났다 이는 전월 1321만 2012건에
비해 164만 7045건 감소한 수치다 한편 4월에 수집된 악성코드 샘
플 수는 324만 5837건이다
샘플 수집 수탐지 건수
[그림 2] 2016년 4월 주요 악성코드 유형
Adware DownloaderWormTrojanetcPUP
[그림 3] 모바일 악성코드 추이(2016년 2월 ~ 2016년 4월)
5000000
6000000
10000000
20000000
30000000
40000000
1000000
2000000
3000000
4000000
4월3월2월
11830547 1156496713212012
324
583
7
354
858
1
349
346
8
347
168
1939
5948072
014
100000
200000
300000
500000
600000
700000
400000
0
4월3월2월
247847256512
323301
26
또한 지난 4월 악성코드 유포지로 악용된 도메인은 648개 URL은
2216개로 집계됐다 4월의 악성 도메인 및 URL 차단 건수는 총 637
만 3536건이다
이와 같은 경우 lsquolsattrrsquo 명령을 통해 해당 파일의 속성을 조회하면 [그
림 7]과 같이 lsquoirsquo 속성이 추가되어 있음을 확인할 수 있다
리눅스 악성코드 lsquo빌게이츠 봇넷rsquo 발견
최근 리눅스(Linux) 운영체제에서 감염 시스템의 정보 수집 시스
템 파일 교체 DDoS 공격 등을 수행하는 lsquo빌게이츠 봇넷(BillGates
botnet)rsquo이 발견됐다 해당 악성코드는 감염 시스템 내에서 속성이 변
경되어 삭제가 불가능해 리눅스 사용자들의 피해가 우려된다
빌게이츠 봇넷은 서버에 침입 후 파일의 속성을 변경하여 악성코드를
삭제할 수 없도록 설정한다 리눅스 시스템에서 악성코드 감염에 의
해 파일 속성이 변경된 경우 이를 삭제할 수 있는 방법을 자세히 살
펴보자
먼저 공격자가 파일의 속성을 변경한 후 [그림 5]와 같이 삭제 시도를
하면 lsquo실행이 허가되지 않았다(Operation not permitted)rsquo라는 메시
지가 출력되며 해당 파일이 삭제되지 않는다
이처럼 lsquoirsquo 속성이 추가되어 있는 경우에는 [그림 8]과 같이 루트 권한
으로 lsquochattrrsquo 명령을 통해 해당 파일의 속성을 변경한 후 다시 삭제
를 시도하면 해당 파일이 정상적으로 삭제된다
파일의 속성 추가(chattr)는 lsquo+[추가할 속성]rsquo 제거는 lsquondash[제거할 속성]rsquo
을 통하여 수행할 수 있으며 lsquo-Rrsquo 옵션을 추가로 부여하는 경우에는
하위 디렉터리까지 모두 포함되어 적용된다 이는 윈도우(Windows)
운영체제의 lsquoattirbrsquo 명령과 유사하다
이때 만일 관리자가 파일이 삭제되지 않는 원인을 파일 권한 문제라
고 생각하고 파일 시스템에 기록된 정보를 이용하여 루트 계정 및
inode를 제거하는 방법으로 다시 삭제를 시도하면 마찬가지로 동일
한 메시지가 발생하며 파일이 삭제되지 않는다
이번 리눅스 악성코드 사례와 같이 파일의 속성이 변경되어 삭제가
불가한 경우가 있어 권한 뿐만 아니라 파일 속성에 대해서도 다시 한
번 확인하는 것이 필요하다 단 중요 파일이나 로그 파일 등은 lsquoirsquo나
lsquoarsquo 속성을 적용하는 정상적인 경우도 있다 즉 이러한 속성이 적용되
어 있는 파일이라고 해서 모두 악성 파일은 아니므로 정확히 악성으
로 확인된 파일에 대해서만 삭제를 진행할 것을 권장한다
최근 리눅스 운영체제를 노리는 악성코드가 꾸준히 증가하고 있다
DDoS 공격이나 백도어 등 리눅스 악성코드의 기능도 다양해지고 있
으며 앞으로 더욱 고도화될 것으로 예상된다 리눅스 시스템도 안전
하게 이용하기 위해서는 반드시 암호를 설정해야 하며 최신 보안 업
데이트를 적용해야 한다
V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지하고
있다
ltV3 제품군의 진단명gt
LinuxBackdoor1223123B
[그림 5] RM 명령어를 통한 삭제 시도
[그림 6] INODE 제거를 통한 삭제 시도
[그림 4] 악성코드 유포 도메인URL 탐지 및 차단 건수(2016년 2월 ~ 2016년 4월)
악성 도메인URL 차단 건수 악성코드 유포 URL 수악성코드 유포 도메인 수
10000
20000
30000
8000000
9000000
40000
7000000
6000000
5000000
4000000
04월
221681467900
6481587936
3월2월
6373536
7157616
6355582
[그림 7] 파일 속성 조회
[표 1] 리눅스 파일 속성 및 lsquoCHATTRrsquo 명령어 예시
[그림 8] 파일 속성 변경 후 제거 시도
[명령어 예시 (i S 속성 추가)]
chattr + iS samples
[파일 속성명 중 일부] [설명]
a (CAP LINUX IMMUTABLE capability) 추가 작성만 가능 삭제 불가
I (CAP LINUX IMMUTABLE capability) 삭제 변경 링크 파일 생성 등
S 파일이 변경되면 디스크 동기화
u 파일 삭제 시 내용 백업
2727
A H N L A B N E W S
현대자동차 그룹 IT서비스 전문업체인 현대오토에버가 최근 lsquo5스타
우수 개발협력사rsquo로 안랩을 선정했다
lsquo현대오토에버 우수 개발협력사rsquo는 현대오토에버가 협력사와 공동
으로 수행한 전년도 사업의 수행 실적에 따라 1스타부터 5스타까지
우수협력사를 선정하고 이에 따른 다양한 인센티브를 제공하는 프
로그램이다
안랩은 현대오토에버의 개발컨설팅 협력사로서 프로젝트 평가 및
업체 종합 평가 등에서 안정적이고 우수한 프로젝트 성과를 인정받
아 최고 등급인 lsquo5스타rsquo 우수 개발협력사로 선정됐다 안랩 서비스
사업부를 총괄하는 방인구 상무는 ldquo안랩은 핵심가치인 lsquo고객만족rsquo을
기준으로 맡은 사업에 대해 언제나 최선을 다하고 있다rdquo며 ldquo안랩을
신뢰해주시는 여러 회사와 함께 동반성장할 수 있도록 노력하겠다rdquo
고 말했다
안랩이 지난달 17일 코엑스 컨벤션센터에서 열린 lsquo아마존 웹 서비
스 글로벌 서밋 서울 2016(이하 AWS 서밋 서울 2016)rsquo에서 다양
한 산업 관계자를 대상으로 lsquo안랩 AWS 고객 원격 보안관제 서비스rsquo
를 소개했다
AWS 서밋 서울 2016은 아마존 웹 서비스가 제공하는 클라우드 컴
퓨팅 서비스에 대한 지식을 공유하고 IT 업계의 최신 기술 트렌드 등
을 소개하는 행사로 지난해 첫 국내 개최에 이어 두 번째로 열렸다
이번 행사에 참가한 안랩은 전용 부스를 운영하며 lsquo안랩 AWS 고객
원격 보안관제 서비스rsquo에 대한 개별 고객 상담 및 서비스 체험 신청
등을 진행했다 안랩 AWS 고객 원격 보안관제 서비스는 네트워크
및 웹 서비스 등에 대한 보안을 안랩의 침해대응(CERT) 전문인력이
원격으로 모니터링 및 관리해주는 서비스다
또한 별도 발표장에서 진행된 미니 발표 세션에서 안랩 서비스상
품기획팀 김준호 대리는 안랩 AWS 고객 원격 보안관제 서비스의
개요 및 구성을 비롯하여 탐지를 넘어 위협 분석까지 제공하는
침해사고 대응 프로세스 미디어사 O2O(Online to Offline 온오
프라인 연결) 서비스 제조 분야의 실제 고객 사례를 통한 다양한
산업별 서비스 적용 방안 등 lsquo안랩 AWS 고객 원격 보안관제 서비
스rsquo의 개념과 강점을 소개했다
안랩 김준호 대리는 ldquo안랩은 lsquoAWS 고객 원격 보안관제 서비스rsquo를
지난 1월 출시한 이후 약 4개월 여 만에 이미 복수의 대형 고객사
를 확보하는 등 검증된 서비스를 제공하고 있다rdquo며 ldquo이는 많은 고객
사에서 단순 탐지를 넘어 위협 분석 및 대응까지 가능한 안랩의 전
문성을 인정한 것으로 볼 수 있다rdquo고 강조했다
현대오토에버
lsquo우수 개발협력사rsquo로 안랩 선정
안랩 lsquoAWS 서밋 서울 2016rsquo에서
클라우드 보안관제 서비스 소개
안랩은 AWS 서밋 서울 2016 행사에서 전용 부스와 발표 세션을 통해 안랩 AWS 고객 원격 보안관제 서비스를 소개했다
발행인 권치중
발행처 주식회사 안랩
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
편집인 안랩 콘텐츠기획팀
디자인 안랩 디자인팀
copy 2016 AhnLab Inc All rights reserved
본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제 복사 검색 시스템
으로 저장 또는 전송될 수 없습니다 안랩 안랩 로고는 안랩의 등록상표입
니다 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상
표일 수 있습니다 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
copy 2016 AhnLab Inc All rights reserved
httpwwwahnlabcom
httpblogahnlabcom
httptwittercomahnlab_man
3
영화 같은 은행 해킹 사건
E X P E R T C O L U M N Fraud
은행이 직접 공격당하는 일이 처음은 아니다 러시아 갱단으로 추정되는 조직이 2013년부터 30개국 100개 은행을 해킹해 최대 10억 달러(약
1조 1천억 원)를 훔친 것으로 알려졌다 하지만 한 번에 1천억 원 가까운 거액이 털린 건 처음이다 특히 이번 사건은 이체 시스템을 조작한 게
내부자의 짓인지 악성코드가 사용되었는지 처음에는 알려지지 않았다
4월 25일 영국 배시스템(Baesystem)에서 공격에 사용된 것으로 알려진 악성코드 분석 정보를 공개했다 공격자는 은행 내부 시스템에 침투
해 글로벌 금융거래 정보를 안전한 환경에서 교환할 수 있게 은행과 기타 금융기관 간 연결 네트워크를 제공하는 단체인 스위프트(SWIFT
Society for Worldwide Interbank Financial Telecommunication)에서 국제간 거래시 이용하도록 제공하는 시스템을 조작할 수 있는 악성코
드를 만들었다 이는 공격자가 목표 은행의 운영에 대한 깊은 수준의 지식을 가지고 있음을 알 수 있다 이 악성코드 정보가 알려지면서 은행
과 거래 시스템 제작 업체 간 책임 공방도 있었다 스위프트 시스템의 안전성에 문제가 있다는 의견이 나오면서 스위프트는 자사의 네트워크
가 해킹당한 게 아니라는 보도자료를 배포한다 5월 13일에는 과거 사건과 연관된 악성코드와의 유사점이 나오면서 특정 국가의 소행이 아니
냐는 의심도 제기되었다 이는 2014년 소니 픽처스 공격에 사용된 악성코드와 유사한 악성코드가 발견되었기 때문이나 이미 공개된 악성코드
라 의도적으로 비슷하게 만들었을 가능성도 있다는 의견도 있다
사건의 파장은 점점 커지고 방글라데시 은행뿐만 아니라 다른 은행에서도 공격이 있었음이 알려진다 2015년 12월 베트남 은행에서도 비슷한
공격 시도가 있었으며 관련 악성코드도 공개된다 베트남 은행 공격에 사용된 것으로 알려진 악성코드가 방글라데시 은행 해킹에 사용된 악성
코드와 유사하다는 점에서 동일 그룹의 소행일 가능성이 높다 게다가 에콰도르 은행도 2015년에 유사 사건이 있었음이 뒤늦게 밝혀졌고 필
리핀 은행의 피해도 알려졌다 따라서 은행을 노린 유사 공격이 더 존재할 수도 있다
2016년 2월 미국 연방준비은행에 보관된 방글라데시 중앙은행 계좌에서 8100만 달러(약 966억 원)가 사라졌다는 영화 같은 뉴스가 보도된
다 누군가 은행 내부 이체 시스템을 조작해 1억 달러가 넘는 돈을 필리핀과 스리랑카 은행 계좌로 이체했다 필리핀 은행으로 송금된 8100만
달러는 성공적으로 이체되었지만 스리랑카 은행에 2000만 달러(약 231억 원)를 이체할 때 영어 단어를 잘못 써 이를 확인하던 중 발견되었
다 이 사건으로 방글라데시 중앙은행 총재 등은 책임을 지고 사임했다고 한다
방글라데시 중앙은행 총재 기자 회견(출처 AP 연합뉴스)
4
필자는 이번 사건을 보며 몇 가지 생각이 떠올랐다
첫째 완벽한 보안은 역시 없다 우리는 완벽한 보안은 존재하지 않는다고 알고 있지만 그래도 돈을 관리하는 은행이므로 다른 곳보다는 보안
이 완벽할 거라고 믿고 있다 하지만 개인의 인터넷 뱅킹 계좌 해킹이 아니라 다수의 은행 시스템이 해킹되었다는 점에서 다시 한 번 완벽한
보안은 세상에 존재하지 않는다는 깨달음을 얻을 수 있었다
둘째 어떻게 감염되었을까 이체 조작에 악성코드가 이용되었는데 그렇다면 반드시 내부 시스템이 악성코드에 감염되어야만 한다 따라서
어떻게 내부 시스템이 악성코드에 감염되었느냐는 매우 중요하다 지금까지 예상하지 못했던 방법으로 은행 내부 시스템이 감염되었다면 다른
은행도 공격 당할 가능성이 있으니 그 방법에 맞는 새로운 대응 방안을 만들어야겠지만 새로울 게 없는 방법으로 보안이 뚫렸다면 책임 소재
에 대한 비판을 피할 수 없다 하지만 현재까지 어떻게 은행 시스템에 침투했는지 알려진 바는 없다
셋째 공격자는 어디까지 침투해 있을까 방글라데시 은행 해킹 사건을 보면 공격자는 내부 시스템과 이체 절차를 충분히 알고 있었다 따라서
내부자의 도움이 있었거나 공격자가 스스로 알아냈을 수 있다 만약 공격자가 내부자 도움 없이 은행 거래를 지켜보면서 이체 방식을 익혔다
면 오랜 기간 은행 내부 시스템이 악성코드에 감염되었다고 볼 수 있다 이것도 문제지만 은행간 거래와 같이 특수 목적에 사용되는 시스템도
공격자가 조금만 노력하면 충분히 보안 체계를 우회할 수 있다는 점에서 다른 특수 목적 시스템도 안전을 보장할 수 없다
넷째 분석가들도 특수 목적에 사용되는 프로그램이나 절차에 대해 알아야 한다 베트남 은행 해킹에 사용된 악성코드는 2015년 12월 보안 업
체에 전달되었다 하지만 5개월 동안 해당 악성코드는 정상 파일로 분류되어 있었다 만약 방글라데시 중앙은행 해킹과 관련된 악성코드가 알
려지지 않았다면 해당 악성코드는 지금도 정상 파일로 분류되고 있을 가능성이 있다 왜 이런 일이 발생할까 일단 해당 악성코드는 일반적인
악성코드와는 다르게 동작한다 특정 프로그램이 설치된 환경에서만 악성코드가 제대로 실행되기 때문에 특정 프로그램이 설치되어 있지 않은
분석 시스템에서는 별다른 이상을 발견할 수 없다 시스템이 아닌 사람이 분석할 때는 어떨까 우선 분석가는 스위프트에 대해 모를 가능성이
높다 특수 목적으로 사용되는 소프트웨어는 특정 직군의 사람에게는 친숙하겠지만 이외의 사람들은 존재조차 모를 수 있다 스위프트에 대해
안다고 해도 이런 악성코드를 제대로 분석하려면 스위프트 프로그램이 있어야 하고 이체 과정에 대한 지식도 있어야 한다 일반 보안 회사에
서 이런 특수 목적 프로그램을 보유하고 있을 가능성은 낮다 이제 몇몇 분석가들은 스위프트에 대해 알게 되겠지만 다른 특수 목적 사용 시스
템을 노린 악성코드를 분석하면 또다시 정상 파일로 판단할 가능성도 여전히 존재한다 따라서 앞으로 보안 업체는 다양한 산업 분야와 좀 더
긴밀하게 협력해야 하지 않을까 싶다
다섯째 시스템 운영 회사의 신뢰도 하락이다 우선 방글라데시 은행에서 사용하는 보안 프로그램이 궁금했다 해당 보안 회사는 공격을 막지
못했다는 점 때문에 전전긍긍하고 있지 않을까 싶다 보안 프로그램이 모든 공격을 예방할 수 없지만 일반인은 특정 보안 제품이 공격을 막지
못했다고만 기억하게 된다 스위프트 측도 마찬가지인데 악성코드에 일단 감염되면 사람이 컴퓨터로 할 수 있는 대부분의 일을 할 수 있고 기
술적으로도 악성코드가 보안 체계를 우회하기 쉽다 이번 해킹도 악성코드 감염이 은행 과실이라고 해도 서비스를 제공하는 스위프트가 해킹
당했거나 보안에 취약하다고 오해받을 수 있다 실제로 사건 발생 후 금융권의 스위프트 이용 제한 소식도 들려온다
이런 공격을 예방하기 위해서는 악성코드에 감염되지 않기 위해 노력하고 감염되더라도 빨리 이상을 파악해야 하지만 내부 시스템을 모두 관
리하는 건 불가능에 가깝다 따라서 중요 시스템에 대해서만이라도 정기검진처럼 정기적으로 이상 유무를 검사하는 프로세스가 필요하다 단
점검하는 사람도 포렌식이나 악성코드 분석 경험이 충분하고 내부에서 사용하는 프로그램이나 절차에 대해서도 잘 알고 있어야 한다
이 글을 마감하는 5월 말까지 피해를 당한 은행은 4곳이다 하지만 이 글이 공개될 때쯤 어떤 은행이 추가 피해를 입었을지는 아무도 알 수 없
다 영화처럼 천억 원이 넘는 돈이 사라졌지만 범인은 오리무중인 시대에 우리는 살고 있다
참고 자료
Bangladesh bank says hackers stole $100M from its New York Fed accont (httpnypostcom20160307bangladesh-bank-says-hackers-stole-100m-from-its-new-york-fed-account)
8100만달러 해킹∙∙∙물러난 방글라데시 중앙은행 총재 (httpswwwhankookilbocomva22d16d7ee8d49a982857ed8d1952a1f )
The Great Bank Robby Carbanak cybergang steals $1bn from 100financial institutions worldwide (httpwwwkasperskycomaboutnewsvirus2015Carbanak-cybergang-steals-1-bn-USD-from-100-
financial-institutions-worldwide)
TWO BYIES TO $951M (httpbaesystemsaiblogspotcom201604two-bytes-to-951mhtml)
방글라데시 경찰 ldquoSWIFT가 은행 취약하게 해rdquo (httpwwwboannewscommediaviewaspidx=50549ampkind=0)
Statement on recent allegations (httpswwwswiftcominsightspress-releasesswift-statement)
Cyber Heist Attribution (httpbaesystemsaiblogspotkr201605cyber-heist-attributionhtml)
SWIFT Warns Banks Coordinated Malware Attacks Underway (httpwwwbankinfosecuritycomswift-warns-banks-coordinated-malware-attacks-underway-a-9101)
No impact on SWIFT network core messaging services or software (httpswwwswiftcominsightspress-releasesswift-customer-communication_customer-security-issues)
Vietnamrsquos Tien Phong Bank says it was second bank hit by SWIFT cyberattack (httpwwwcnbccom20160515vietnams-tien-phong-bank-says-it-was-second-bank-hit-by-swift-cyber-attackhtml)
제2의 방글라데시 중앙은행 공격 사건 일어났다 (httpwwwboannewscommediaviewaspidx=50602)
Now Itrsquos Three Ecuador Bank Hacked via Swift (httpwwwwsjcomarticleslawsuit-claims-another-global-banking-hack-1463695820)
S P E C I A L R E P O R T Critical Infrastructure Threats
사회기반시설 공격 동향 및 보안에 관한 제언
지난 4월 여수 시내의 한 버스 정류장에 설치된 버스정보안내 시스템에서 약 40여 분간 음란 동영상이 재생되는 사고가 발생했다
최근 미국에서도 텍사스주의 고속도로 전광판이 해킹돼 대선 후보인 트럼프를 조롱하는 문구 등이 밤새 노출되었다 두 사건 모두 별
다른 피해는 없었지만 교통 관련 시설이 해킹되었다는 점은 주목할 필요가 있다 만일 교통 신호등 제어 시스템이나 공항 철도 발전
소의 시스템이었다면 이 글에서는 국내middot외 주요 사회기반시설 공격 동향을 통해 사회기반시설 보안의 시사점을 알아본다
눈 앞에 나타난 사회기반시설 공격의 lsquo실체rsquo
5
사회기반시설은 lsquo기반 시설rsquo lsquo기간 시설rsquo lsquo사회 공공 기반시설rsquo 등으로 불리며 사회 및 경제 활동의 기반을 형성하는 중요 시설을 의미한다 흔
히 lsquo인프라(Infra Infrastructure)rsquo라고도 부르며 최근에는 학교나 병원 공원과 같은 사회 복지 및 생활 환경 관련 시설도 사회기반시설로 분
류하기도 한다
사회 유지에 근간이 되는 이들 시설 또는 시스템이 사이버 공격에 피해를 입을 경우 단순히 재산상의 피해에 그치는 것이 아니라 사회적 혼
란을 야기하거나 시민들의 안전 더 나아가 국가 안보에 심각한 위협이 될 수 있다 실제로 지난 2012년 세계적인 석유 기업인 사우디 아람코
(Saudi Aramco) 해킹 2015년 우크라이나 정전 사태 등은 막대한 재산상의 피해는 물론 사회적 혼란까지 가져왔다
미국 국토안보국(Department of Homeland Security)은 사회기반시설을 16개 주요 분야로 나누고 그중 식료 농업 서비스를 제외한 14개
분야에 대한 주요 보안 리스크를 [표 1]과 같이 분류하고 있다
분야 사이버 보안 위협
화학 bull 화학제품 공정 제어를 위한 네트워크 기반 시스템
통신bull 통신시스템 공격에 따른 글로벌 연결성 저해
bull 통신 인프라 영향
주요 제조 시설 bull 제어 시스템 및 데이터베이스 해킹
댐 bull 댐 제어 시스템 해킹
방위 산업bull 안보 기지 인프라에 대한 DDOS 공격
bull 시스템 오작동 등 국가 안보 기밀 유출
응급 서비스 bull 응급 서비스 통신 시스템 및 네트워크 GPS에 대한 공격
에너지bull 전기 전력 그리드 및 운영 시설 공격
bull 석유 및 천연가스 에너지 관리 시스템 공격
금융 서비스bull 금융 정보 기구의 개인정보 유출
bull 금융 시스템 공격을 통한 대규모 금융 피해
정부 시설bull 자동 보안 제어 시스템 및 데이터베이스 공격
bull 정부 시설 시스템 공격에 따른 기밀 및 개인정보 유출
헬스케어 및 공공의료 bull 진료 시스템 공격으로 의료보험 검진 기록 유출
IT 시설bull IT 시스템 관리 콘텐츠 정보 통신 등 다양한 부분에서의 정보 유출
bull 신분 인증 시스템 공격에 따른 사회 기반 시스템 운영 위협
핵발전 및 처리 시설 bull 핵 시설 제어 시스템 공격
교통 bull 공중 육상 해상 교통 제어 시스템 공격
수자원 및 수처리 시스템 bull 수자원 및 수처리 제어 시스템
[표 1] 미국 국토안보국의 사회기반시설 분류
66
국내middot외 주요 사회기반시설 공격 사례
2000년대 초에도 특정 국가나 사회기반시설을 노린 악성코드가 존재했다 지난 2001년 7월 발견된 코드레드(CodeRed) 웜으로 인해 미국 백
악관 홈페이지에 서비스거부(DoS) 공격이 발생했다 국내에서는 2003년 1월 25일 슬래머(Slammer) 웜에 의한 인터넷 장애가 발생했다 이
를 lsquo125 인터넷 대란rsquo이라 부른다
본격적인 사회기반시설에 대한 사이버 공격은 2000년대 중반 이후에 나타났다 2007년 4월 27일 에스토니아(Estonia) 공화국의 정부 언론
방송 은행의 전산망이 일제히 분산서비스거부(Distribute Denial of Service 이하 DDoS) 공격을 받았다 이 공격으로 대통령궁을 비롯해 의
회 정부기관 은행 이동통신 네트워크 등 에스토니아의 국가 시스템 전체가 약 3주간 마비되는 사태가 발생했다
2008년 6월에는 조지아(Georgia 러시아명 lsquo그루지아rsquo)의 정부 홈페이지 언론사 포털 사이트 등이 대규모 DDoS 공격을 받았다 평균 2시간
15분 최장 6시간 동안 공격이 지속되었으며 사흘간 이어진 공격으로 금융 시스템 장애가 발생하는 등 사회가 마비되었다
2010년부터는 단순한 서비스 장애 유발이 아닌 사회기반시설에 대한 직접적인 공격이 발생한다 가장 대표적인 사례는 2010년 6월 발견된
스턱스넷(Stuxnet)이다 스턱스넷은 지멘스(SIEMENS)사의 산업자동화제어시스템(PCS7)을 타깃으로 하는 악성코드로 2010년 9월 이란의 원
자력 발전소 마비 사태의 주범으로 알려졌다
에너지 분야를 노린 사이버 공격의 또 다른 사례로는 2012년 사우디에서 발생한 사우디 아람코(Saudi Aramco) 해킹이 있다 같은 해 8월 27
일에는 카타르(Qatari) 천연가스 기업인 라스가스(RasGas)도 사이버 공격을 당했다는 사실이 언론을 통해 알려졌다 이후 2015년 우크라이나
에서는 발전소 해킹에 의한 대규모 정전 사태가 발생하기도 했다
우크라이나 정전 사태와 같이 최근에는 교통 및 항공 시설 전력 시설을 노린 사이버 공격으로 인해 일반 시민들이 생활에 불편을 겪거나 심각
한 피해를 입고 있다 최근 국내에서 발생한 사고와 유사한 일이 브라질에서도 발생한 바 있다 브라질의 버스 정류장 안내 시스템이 해킹되어
약 15분간 음란 동영상이 노출된 것이다 항공 시설과 관련해서는 지난 2015년 6월 폴란드 공항이 DDoS 공격을 당해 비행 계획 시스템이 5
시간 동안 마비되었으며 약 1400여 명의 승객이 공항에서 발이 묶인 사건도 있다
[그림 1] 국내외 주요사회기반시설 공격 사례
[그림 2] 해킹된 브라질 버스 안내 시스템(출처 SecurityWeek)
77
이 밖에도 프랑스 방송사 떼베생몽드(TV5Monde) 해킹 및 방송 송출 장애 이스라엘 방송국 해킹 지난 2013년 국내 주요 은행 및 방송국을
노린 3bull20 전산망 마비 최근 발생한 방글라데시 중앙은행 해킹 미국 뉴욕댐 전산망 해킹 미국 내 다수 병원의 랜섬웨어 감염 등 사회기반시
설을 노리는 공격들이 다방면에서 지속적으로 발생하고 있다
사회기반시설 공격에 사용된 악성코드의 실체
앞서 언급한 사례 중 우크라이나 발전소 해킹과 정유 회사 사우디 아람코 해킹 사례를 중심으로 실제 사회기반시설 공격에 사용된 악성코드와
공격 방식에 대해 알아보자
1 우크라이나 발전소 해킹
지난 2015년 12월 23일 우크라이나의 키보브레네르고(Kyivoblenergo) 발전소에 문제가 발생해 이날 오후 3시 35분부터 3시간 동안 약 8만
가구에 전력 공급이 중단됐다 또한 우크라이나 서부 지역의 프리카르파티아오블레네르고(Prykarpattyaoblenergo) 발전소에서도 문제가 발
생해 주변 지역에 대규모 정전 사태가 발생했던 것으로 알려졌다 전화 시스템에도 장애가 발생해 전화 통화도 정상적으로 이루어지지 않았다
정전 직후 언론과 우크라이나 정보부(Security Service of Ukraine)는 사이버 공격의 가능성을 언급했다
우크라이나의 정전이 사이버 공격에 의해 발생했다는 정황이 계속 나타남에 따라 미국 정부도 관련 조사에 착수했다 지난 2016년 1월 미국
국토안보국은 우크라이나 정전 사태의 원인이 사이버 공격으로 드러났다고 발표했으며 3월 18일에는 관련 분석 보고서가 추가로 공개됐다
이 보고서에 따르면 공격자는 이미 6개월 전부터 발전소 내부 시스템에 침입해 관련 정보를 수집하고 악의적인 펌웨어(Firmware)를 개발하
는 등 철저한 준비 후 공격을 수행한 것으로 보인다
이와 관련해 SANS ICS팀과 해외 보안 업체 이셋(Eset)은 우크라이나 정전 사태와 블랙에너지(BlackEnergy) 악성코드가 밀접한 관계가 있다
고 발표했다 한편 우크라이나 정전 사건이 발생하기 한 달 전인 2015년 11월 우크라이나 사이버침해대응센터(CERT Computer Emergency
Response Team)는 우크라이나 선거 기간 동안 언론사를 공격한 블랙에너지 악성코드에 관해 언급한 바 있다 따라서 우크라이나에 대한 블
랙에너지 공격은 정전 사태 이전부터 진행되었음을 예상할 수 있다
블랙에너지는 다양한 변화를 겪어온 악성코드이다 2007년 DDoS 공격에 처음 이용되었으며 2008년 조지아(Georgia) 공격에도 사용되었던
것으로 알려졌다 드라이버 파일로 구성되어 있다는 것이 특징이며 현재에도 꾸준히 변형이 나타나고 있다
우크라이나 발전소를 공격한 것으로 알려져 있는 블랙에너지 악성코드는 악성코드를 떨어뜨리는 드롭퍼와 실제 악성 행위를 수행하는 난독화
된 드라이버 파일로 구성되어 있으며 FONTCACHEDAT 등의 파일이 생성된다
또한 해당 공격에서 공격자는 악성 매크로를 포함한 엑셀 파일을 이용한 것으로 알려졌다 문서를 열어본 사용자가 보안 경고 메시지의 lsquo콘텐
츠 사용rsquo을 선택하면 매크로가 실행된다 매크로가 실행되면 temp 폴더에 vba_macroexe 파일이 생성된다
[그림 3] 우크라이나 발전소 공격에 사용된 엑셀 파일의 매크로 기능
[그림 4] Winpcap 관련 파일로 위장
이렇게 생성된 vba_macroexe가 실행되면 FONTCACHEDAT 파일이 시스템에 생성된다 이 파일은 윈도우 패킷 캡쳐 프로그램인 WinPcap
와 관련된 파일로 위장하고 있다 내부 문자열 또한 Winpcap 관련 파일처럼 가장하고 있다
88
익스포트(export) 함수도 모두 정상 프로그램처럼 되어 있지만 PacketAllocatePacket 코드가 실행되면 암호를 풀면서 실행되며 플러그인 파
일을 다운로드하여 추가적인 기능을 수행한다
2 사우디 아람코(Saudi Aramco) 해킹
지난 2012년 8월 15일 세계 최대 규모의 석유 기업 중 하나인 사우디 아람코(Saudi Aramco)가 사이버 공격으로 약 3만 대의 시스템에 장애
가 발생하는 피해를 입었다 같은 날 자신들을 lsquo정의의 검(Cutting Sword of Justice)rsquo이라고 자칭하는 단체가 아람코 해킹이 자신들의 소행이
라고 주장했다
사우디 아람코 해킹에 사용된 악성코드는 lsquo샤문(Shamoon)rsquo 또는 lsquo디스트트랙(Disttrack)rsquo 등으로 불리며 사전에 내부 시스템을 파악하고 데이
터를 삭제하기 위해 제작된 악성코드이다 공격자가 어떻게 내부 시스템에 침입했는지는 아직 알려지지 않았다
샤문 악성코드의 구조는 [그림 6]과 같다 드롭퍼(Dropper)는 하드디스크 파괴 악성코드를 시스템에 떨어뜨리는 역할을 하며 데이터 삭제 기
능과 보고 기능만 가지고 있다 파일 속성 정보를 살펴보면 lsquoDistributed Link Tracking Serverrsquo라는 설명과 함께 마이크로소프트에서 제작한
파일로 가장하고 있다
[그림 5] 아람코 해킹에 관한 lsquo정의의 검(Cutting Sword of Justice)rsquo의 주장
[그림 6] 샤문(Shamoon) 악성코드 구조
[그림 7] 샤문 악성코드의 드롭퍼 등록 정보
99
데이터 파괴 파일은 lsquoCShamoonArabianGulfwiperreleasewuperpdbrsquo와 같은 PDB 정보를 가지고 있다 lsquoArabianGulfrsquo와 같은 문자열을
통해 명확한 공격 대상을 가진 악성코드임을 짐작할 수 있다
데이터 삭제 파일이 실행되면 드라이버 파일(drdisksys)을 생성하고 파일 목록을 얻는다 이후 시스템에 존재하는 파일을 JPEG 이미지로 덮어
쓴다 끝으로 하드디스크 MBR을 덮어써 시스템을 사용할 수 없게 하고 lsquoshutdown -r -f -t 2rsquo로 종료시킨다 한편 이 악성코드는 피해 시스템
수 등을 보고하는 기능도 갖고 있다
사회기반시설 보안에 관한 제언
지난해 말 안랩을 비롯한 국내외 보안 업체들은 2016년에 발생할 수 있는 보안 위협 중 하나로 사이버테러 및 국가기반시설 보안 위협을 꼽
은 바 있다 그리고 2016년 초부터 방글라데시 중앙은행의 해킹 국내 버스정류장 안내 시스템 해킹 등이 발생했다
사회기반시설은 사회의 근간을 이루는 중요한 시설인 만큼 강력한 보안이 동반되어야 한다는 것은 두말할 필요도 없다 그러나 실제로는 보안
인력이 부족한 경우나 내부 보안 인력의 전문성이 부족한 경우가 있다 또는 시설의 시스템 자체가 적절한 보안이 고려되지 않은 채 설계되었
거나 보안에 취약한 구형 시스템으로 운영되는 경우도 있다
외부 공격으로부터 사회기반시설을 안전하게 보호하기 위해서는 우선 구성원들이 준수할 수 있는 현실성 있는 보안 정책을 수립해야 한다 이
와 함께 적절한 보안 시스템을 구축해 내부로 유입되는 위협을 모니터링 및 차단하고 내부에서 확산되는 위협을 분석 및 대응할 수 있어야 한
다 일반적으로 악성코드의 내부 시스템 침입부터 시스템 파괴 등 악의적인 결과를 가져오기까지는 어느 정도의 시간이 소요된다 수많은 내부
시스템을 파악하고 하나씩 장악해야 하기 때문에 보통 6개월 정도가 걸린다 따라서 공격에 의한 피해가 발생하는 것을 방지하기 위해서는 주
요 시스템에 대한 정기 점검을 통해 이상 징후를 빨리 파악할 수 있어야 한다 이를 위해 전문성을 가진 인력의 양성과 활용이 필요하다 또한
협력 업체에 대한 강력한 보안 방안을 마련해야 한다 공격자들은 침입이 까다로운 사회기반시설을 직접적으로 공격하는 대신 협력 업체를 해
킹하는 등의 우회 공격을 시도할 수 있기 때문이다
한편 사회기반시설 공격 동향에 관한 보다 상세한 내용은 안랩 시큐리티 대응센터 분석팀에서 발표한 lsquo사회기반시설 공격 동향 분석 보고서rsquo
에서 확인할 수 있다
lsquo사회기반시설 공격 동향 분석 보고서rsquo 전문 보기
[그림 8] PDB 정보 내의 특징적인 문자열
참고 자료
- Data breach digest (httpwwwverizoneenterprisecomresourcesreportsrp_data-breach-digest_xg_enpdf )
- Analysis of the Cyber Attack on the Ukrainian Power Grid (httpsicssansorgmediaE-ISAC_SANS_Ukraine_DUC_5pdf )
- 도시철도 안전 및 유지관리 실태 감사결과 (httpgovseoulgokrarchives86261)
- 감사원 국가 사이버안전 관리 실태 (httpwwwbaigokrbaiindexdo)
- 강은성 lsquo망분리는 만병통치약인가rsquo (wwwciokoreacomnews25437)
- 미국 국토안보국 Sector Risk Snapshotsrsquo(httpswwwhsdlorgviewampdid=754033)
- httpwwwsecurityweekcomhackers-broadcast-porn-tv-screens-brazil-bus-depot
- httpafricanspotlightcom20150808hackers-broadcast-porn-on-tv-screens-at-brazil-bus-station-photos
- httpsmonthlychosuncomclientnewsviwaspnNewsNumb=200908100021
- httpsenwikipediaorgwikiCyberattacks_during_the_Russo-Georgian_War
- httpwwweconomistcomnode17147818
- httpmoneycnncom20150805technologyaramco-hack
- httprutsnuaukrayinaiz-za-hakerskoy-ataki-obestochilo-polovinu-ivano-frankovskoy-oblasti-550406html
- SANS httpsicssansorgblog20160101potential-sample-of-malware-from-the-ukrainian-cyber-attack-uncovered
- Ukraine CERT httpcertgovuap=2370
- httpwwwmtagokrpolicyitsmanagement_signjsp
- httpwwwittodaycokrnewsarticleViewhtmlidxno=42719
- httpssecurelistcomblogincidents57854shamoon-the-wiper-copycats-at-work
10
안랩 산업군별 ISF Square 2016 진행
고객의 고민을 듣다 대응 전략을 나누다
S P O T L I G H T AhnLab ISF Square 2016
안랩은 ISF 스퀘어 2016을 통해 각 산업 분야가 직면하고 있는 주요 보안 이슈와 위협 동향 정보를 공유하고 산업별 비즈니스에 최적화된 대
응 방안을 소개하고 있다 지난 4월 27일부터 5월까지 다섯 차례에 걸쳐 진행된 이번 행사에 각 산업 분야의 CISO 및 보안책임자 100여 명이
참석했다
권치중 안랩 대표이사는 환영사를 통해 ldquo신종 공격 기법이 끊임없이 나타나고 있어 고객사 자체가 또는 보안 벤더만으로 최신 보안 위협에 대
응하는 것은 사실상 불가능하다rdquo며 ldquoISF 스퀘어를 통해 고객을 직접 만나 실제 현장에서 느끼고 계신 고민과 어려움을 나누고 산업별로 특화
된 정보를 공유함으로써 실질적이고 최적화된 해법을 찾을 수 있으리라 기대한다rdquo고 말했다
안랩이 최근 한 달 여에 걸쳐 산업군별 정보보호최고책임자(CISO) 및 보안책임자를 대상으로 lsquo안랩 ISF Square 2016(이하 ISF 스퀘어
2016)rsquo을 개최하고 있다 ISF 스퀘어는 안랩이 지난 2009년부터 진행해오던 자사의 융합 보안 컨퍼런스 lsquo안랩 ISFrsquo를 산업별로 세분화
하여 개편한 보안 전략 세미나다 다양한 산업군별 고객사의 특성에 맞춰 lsquo맞춤형 보안 전략 및 솔루션rsquo을 제공하기 위한 목적이다
이번 ISF 스퀘어 2016은 지난 4월 27일 은행 및 카드사를 시작으로 28일에는 보험사 5월 11일과 18일 25일에는 각각 증권사와
건설사 유통사를 대상으로 진행됐다 6월 8일에는 공공 및 교육 기관의 보안책임자를 대상으로 진행할 예정이다
ISF 스퀘어 2016에 산업군별 CISO 100여 명이 참석한 가운데 권치중 안랩 대표이사는 ldquo고객의 목소리에 귀를 기울이고 고민을 나누는 것이 ISF 스퀘어의 목적rdquo이라고 전했다
11
한창규 실장과 김경희 실장(왼쪽부터)은 CISO들이 가장 궁금해하는 랜섬웨어를 비롯한 최신 공격 동향을 공유했다
안병무 차장과 백민경 차장(왼쪽부터)은 기업이 직면하고 있는 보안 위협을 살펴보고 이에 따른 안랩의 솔루션을 제시했다
이와 관련해 한창규 안랩 시큐리티대응센터(ASEC) 실장이 ldquo랜섬웨어로 대표되는 최신 위협 동향rdquo이라는 주제 발표를 통해 CISO의 궁금증에
답했다 한창규 실장은 실제 사례를 통해 신bull변종 랜섬웨어의 감염 경로 동작 원리 등을 설명했다 이어 ldquo랜섬웨어는 더 이상 일시적인 유행이
나 단발성 이슈가 아니다rdquo라며 ldquo기업에서도 이제 랜섬웨어에 대한 대응책을 마련해야 할 때rdquo라고 강조했다
이어 김경희 안랩 플랫폼개발실 실장은 랜섬웨어의 서비스화(RaaS Ransomware-as-a-Service)를 비롯해 모바일 랜섬웨어 맥(Mac) OS X를
노리는 랜섬웨어 등 진화하는 랜섬웨어의 흐름을 설명했다 김경희 실장의 설명에 따르면 랜섬웨어는 비대칭 키를 사용하기 때문에 실제 공격
자를 잡아 서버를 수거하지 않는 한 암호를 풀 수 없다 일단 감염되면 피해를 피할 수 없다는 것 특히 현재 일부 업체가 제공하는 lsquo랜섬웨어
복구 서비스rsquo의 대부분은 지불 대행 서비스로 공격자에게 비트코인을 대신 납부해주고 키를 받아 파일을 복구하는 방식에 불과하다 이와 관
련해 김경희 안랩 플랫폼개발실 실장은 ldquo돈을 주고 복구할수록 몸값이 올라갈 뿐만 아니라 돈을 많이 주는 기업을 노리게 된다rdquo고 지적했다
문제는 일반적인 보안 솔루션만으로는 랜섬웨어 대응이 쉽지 않다는 것 이와 관련해 안병무 안랩 제품기획팀 차장은 지능형 위협 대응 솔루
션인 안랩 MDS를 제안했다 안병무 차장은 ldquo최초 감염(First Victim) 방어 포기할 것인가rdquo라는 주제 발표를 통해 랜섬웨어에 대한 최선의 대
응책은 lsquo예방rsquo과 lsquo선제적 방어rsquo라고 전제했다 이어 ldquo랜섬웨어를 비롯해 고도화된 최신 공격 대응에서 놓치지 말아야 할 부분은 첫 번째 희생자
(First Victim)가 발생할 가능성을 최소화하는 것rdquo이라고 강조하고 ldquo안랩 MDS의 lsquo실행보류(Execution Holding) 기능을 이용해 랜섬웨어가 동
작하는 것 자체를 방지할 수 있다rdquo고 설명했다
랜섬웨어는 공통분모hellip산업별 보안 위협은
랜섬웨어는 개인과 기업 산업 분야를 막론하고 공통된 보안 위협이라는 데는 이견이 없다 그러나 기업의 비즈니스에 따라 최우선 보안 과제
는 각기 다르다
기업으로 눈 돌리는 랜섬웨어 그 실체는
산업 분야를 막론하고 현재 가장 심각한 보안 이슈는 역시 랜섬웨어였다 특히 최근 미국의 주요 병원들의 랜섬웨어 감염 사례를 시작으로 랜
섬웨어의 표적이 개인 중심의 불특정 다수에서 막대한 자금을 보유하고 있는 기업군으로 옮겨갈 것이라는 예측도 있어 기업 보안책임자들의
고민이 깊은 실정이다
12
김창희 팀장과 한태수 실장(왼쪽부터)은 각각 유통 분야와 건설 분야의 보안 위협 요인과 대응 방안에 대해 공유했다
정청환 실장은 안랩의 제품 개발부터 관리까지 전 과정에 대한 안랩의 독자적인 보안 체계를 소개해 참석자들의 이목을 집중시켰다
유통 분야를 위한 ISF 스퀘어 2016에서는 최근 또다시 화두가 되고 있는 POS 시스템 보안 위협에 대한 상세한 정보가 공유됐다 김창희 안랩
제품기획팀 팀장은 ldquoPOS 및 단말 보안을 위한 효과적인 대응 방안rdquo이라는 주제 발표를 통해 수많은 고객의 신용카드 정보 등 민감한 정보를
다루는 POS 단말기가 해킹되면 실생활에 직결되는 사회적 경제적으로 치명적인 위험이 될 것이라고 단언했다 그러나 POS 시스템 등 산업
용 단말에는 일반적인 보안 정책이나 솔루션을 적용하는 것은 현실적이지 않다rdquo고 지적하고 ldquo안정적인 비즈니스 운영을 위해 안랩 EPS와 같은
전용 보안 솔루션을 도입하는 것이 바람직하다고 조언했다
한태수 안랩 매니지먼트개발 실장의 ldquo사물인터넷(IoT) 보안 위협과 대응 방안rdquo에 대한 발표는 특히 건설 분야 CISO의 눈과 귀를 사로잡았다
한태수 실장은 ldquo사물인터넷은 스마트가전 스마트헬스 특히 스마트홈 등 통신과 건설 분야에서 더욱 중요한 요소로 부각되고 있다rdquo며 ldquo이제
관련 산업 분야에서는 서비스 준비 단계에서부터 IoT 관련 개방형 표준에 근거한 정보보호 프라이버시 보호에 대해 필수적으로 고민해야만
한다rdquo고 강조했다 또한 ldquo설계도면이나 기술 정보 등 중요 정보가 많은 건설사의 특성상 지능형 보안 위협에 노출되면 피해가 커질 수 있다rdquo고
지적한 뒤 ldquo안랩은 이미 스마트홈 등과 관련해 실제 발생할 수 있는 다양한 공격 시나리오를 연구해왔으며 이에 대한 전방위적인 대응 방안을
마련하고 있다rdquo고 말했다
안랩은 금융 분야부터 유통 건설 그리고 공공 분야까지 각 산업 분야의 주요 보안 위협과 관련해 최적의 보안 솔루션을 제공하고 있다 안랩
의 다양한 솔루션의 근간에는 원천 기술을 보유한 RampD 센터와 인프라가 있다 이와 관련해 정청환 안랩 엔드포인트개발 실장은 그동안 많은
고객들이 궁금해했던 안랩의 보안 제품 개발과 개발 인프라 보안 관리 체계를 소개했다 정청환 실장은 특히 보안 업체 자체를 노리는 공격이
종종 등장하는 것과 관련해 안랩의 대비책은 물론 제품 개발부터 관리까지 무결성을 보장하기 위한 안랩의 자체적인 보안 체계를 상세하게
설명해 참석자들의 큰 호응을 얻었다
백민경 안랩 제품기획팀 차장은 은행 증권사 카드사 등 금융기관이 직면한 위기로 lsquo이용자 PC를 노리는 전자금융사기rsquo를 꼽았다 백민경 차장
은 실제 금융기관 보안 침해 사례를 통해 파밍 다이어 악성코드 공유기 공격 메모리 해킹 등 전자금융사기 기법을 설명하고 모바일과 온라
인으로 금융 서비스를 이용하는 비율이 증가하는 자율 금융 시대를 맞아 명확한 위험요소를 파악하고 그에 따른 적절한 솔루션 도입 등 이용
자 보호와 금융 시스템 보안을 위한 철저한 철학을 갖추는 것이 필요하다고 강조했다
13
세션 발표 후 진행된 라운드 테이블 프로그램을 통해 안랩의 권치중 대표 강석균 전무 배민 상무 방인구 상무가 고객사 CISO와 자유롭고 다양한 논의를 이어나갔다
안랩은 오는 6월 8일 서울 양재동 엘타워에서 공공 및 교육기관의 보안책임자를 대상으로 ISF 스퀘어 2016을 이어나갈 예정이다 또한 안랩은
서울에서 진행되는 행사에 참석하기 어려운 각 지역의 고객사를 위해 lsquo파트너와 함께 찾아가는 고객 세미나rsquo도 동시에 진행하고 있다 지난 5
월 24일 전주 지역에 이어 오는 6월 16일에는 대구 21일에는 대전에서 고객사의 보안책임자를 초청해 최신 보안 위협 동향과 대응 방안을 공
유할 예정이다
고객의 생생한 목소리를 듣다
여타 보안 세미나와 안랩 ISF 스퀘어의 가장 큰 차별점은 제품 기획자부터 제품 개발 책임자 그리고 대표이사에 이르기까지 한 자리에서 고객
과 직접 소통한다는 점이다 이번 ISF 스퀘어 2016에서도 안랩 EP사업부문 총괄인 강석균 전무 EP영업본부 총괄 배민 상무 서비스사업부 총
괄 방인구 상무 등이 총출동해 고객의 고민을 듣고 의견을 나눴다
14
CryptXXX RansomwareT H R E A T A N A L Y S I S
최근 lsquo크립트엑스엑스엑스 랜섬웨어rsquo가 대량 유포되면서 피해 사례가 늘어나고 있다 크립트엑스엑스엑스의 특징은 기존 랜섬웨어와
달리 실행 파일(EXE) 형태가 아닌 동적 링크 라이브러리(DLL) 형태로 유포되고 있다는 점이다 DLL 형태로의 유포는 정상적인 프로
세스와 함께 동작하는 구조여서 감염 사실을 알아차리기조차 어렵다
월간 lsquo안rsquo에서는 1부와 2부에 걸쳐 크립트엑스엑스엑스의 동작 방식과 주요 기능 암호화 방식 복구 툴 등 자세한 내용을 소개한다
lt연재 목차gt
1부_ DLL 이용한 CryptXXX 랜섬웨어 분석 완료
2부_ CryptXXX 암호화 비밀과 복구 툴 공개
DLL 이용한 CryptXXX 랜섬웨어 분석 완료
CryptXXX 랜섬웨어 분석 보고서_1부
크립트엑스엑스엑스 랜섬웨어(진단명 TrojanWin32CryptXXX
이하 크립트엑스엑스엑스)는 컴퓨터에 있는 파일을 암호화한 뒤
lsquocryptrsquo 확장자로 변경하여 사용자에게 비트코인을 요구하는 랜섬웨
어다 [그림 1]은 크립트엑스엑스엑스의 동작 방식이다
크립트엑스엑스엑스의 경우 다른 랜섬웨어와의 차이점은 DLL(동
적 링크 라이브러리 Dynamic Linking Library)로 동작한다는 점이
다 크립트엑스엑스엑스는 정상 rundll32exe를 악성 DLL이 있는 경
로에 svchostexe로 이름을 바꾸어 복사한 뒤 악성 DLL의 내보내기
(Export) 함수를 인자값으로 호출하여 동작한다
이 악성코드는 피해자의 컴퓨터를 감염시킬 때 lsquoRecovery_사용자
IDtxtrsquo lsquoRecovery_사용자IDhtmlrsquo lsquoRecovery_사용자IDbmprsquo 형
식의 파일을 생성하며 내용은 [그림 3] [그림 4]와 같다
[그림 1] 크립트엑스엑스엑스 동작 방식
[그림 3] 크립트엑스엑스엑스 결제 안내 페이지
[그림 2] svchostexe(정상 rundll32exe)로 로드되어 동작하는 악성 DLL
15
CampC 통신
크립트엑스엑스엑스는 파일을 암호화하기 전 CampC에 악성코드가 생
성한 사용자 ID를 전송한다
암호화된 환경
크립트엑스엑스엑스는 암호화가 완료된 파일의 수정한 날짜와 시간
정보를 백업된 원본의 수정한 날짜로 변경한다
[그림 4] 크립트엑스엑스엑스 결제 안내 텍스트
[표 1] 자동 실행 등록을 위한 바로가기 링크 파일 생성
[표 3] 암호화 대상 확장자
[표 4] 암호화 제외 대상 경로
[표 2] 암호화 대상 드라이브
[그림 5] 자동 실행 등록 정보
[그림 6] CampC 통신 패킷 정보
크립트엑스엑스엑스 주요 기능
자동 실행 등록
크립트엑스엑스엑스는 [표 1]과 같이 시작프로그램에 바로가기 링크
파일을 생성한다 [그림 5]에서 알 수 있듯이 해당 링크 파일에 의해
실행되는 파일은 크립트엑스엑스엑스이며 lsquoMS114rsquo라는 이름의 함수
를 호출하는 기능을 한다
자동 실행 등록
파일
CDocuments and Settings프로그램시작프로그램[사용자ID]lnk
암호화 대상 드라이브
고정식 드라이브 이동식 드라이브 네트워크 드라이브
악성 DLL 내부에 암호화된 CampC는 2개이며 첫 번째 IP에 접속이 되
지 않았을 경우 두 번째 IP로 연결된다
- 1447821443
- 9311876443
CampC 접속 여부와 관계없이 패킷을 전송한 후에는 파일 암호화가 진
행된다
파일 암호화 대상
분석된 크립트엑스엑스엑스로부터 확인된 암호화 대상은 [표 2]와 같다
Z 부터 A 까지 마운트된 모든 드라이브 중 다음의 암호화 대상 드
라이브만 감염이 진행된다
암호화 대상 확장자
3DM 3DS AES APK APP ARC ASC ASM ASP ASPX BRD BZ2 C
CER CFG CFM CGI CGM CMD CPP CRT CSR CSS CSV CUE DB
DBF DCH DCU DIF DIP DJV DJVU DOC DOCB DOCM DOCX DOT DOTM
DOTX DTD DWG DXF EML EPS FDB FLA FRM GBK GBR GED GPG
GPX H HTM HTML HWP IBD INDD JAR JAVA JKS JSP KEY KML
KMZ LAY LAY6 LDF LUA M MAX MDB MDF MFD MML H MS11
MSI MYD MYI NEF NOTE OBJ ODB ODG ODP ODS ODT OTG OTP
OTS OTT P12 PAQ PAS PCT PDB PDF PEM PHP PIF POT POTM
POTX PPAM PPS PPSM PPSX PPT PPTM PPTX PRF PRIV PSD RAR RAW
RSS RTF SCH SDF SITX SLDX SLK SLN SQL STC STD STI STW
SVG SWF SXC SXD SXI SXM SXW TAR TBK TEX TGZ TLB TXT
UOP UOT VB VBS VCF VDI VMDK VMX WKS WPD WPS WSF XLC
XLM XLR XLS XLSB XLSM XLSX XLT XLTM XLTX XLW XML ZIP ZIPX
ACCDB CLASS GADGET IBOOKS PAGES PLUGIN PRIVATE
QCOW2 SQLITE3 SQLITEDB VCXPROJ XCODEPROJ XHTML
암호화 대상 확장자
폴더
WINDOWS BOOT EFI CONFIGMSI
WINNT RECOVERY PROGRA^1 GOOGLE
RECYCLER$RECYCLE
BINPROGRA^2 TEMP
SYSTEM^1 PERFLOGS
16
[그림 7] 암호화 된 파일의 파일의 시간 정보 변경 코드
[그림 8] 암호화된 파일의 시간 정보 변경 전(왼쪽) 및 변경 후(오른쪽)
[그림 13] 암호화 완료 후 화면
[그림 12] 결제 안내 파일의 시간 정보 변경 전(좌) 및 변경 후(우)
[그림 9] 암호화 후 확장자 변경
[그림 11] 결제 안내 파일의 시간 정보 변경 코드
[그림 10] 암호화된 파일과 생성된 결제 안내 파일(BMP HTML TXT)
[그림 7]에서 붉은색 박스로 표현한 부분의 데이터(A4 80 BC 4B 36
B0 D1 01)는 SetFileTime API를 사용하여 백업된 원본의 수정한 날
짜로 변경된다
생성한 결제 안내 파일의 시간 정보를 [그림 12]와 같이 변경한다 암
호화가 완료되면 [그림 13]과 같은 화면을 띄우고 스크린이 잠기게
하여 사용자가 어떠한 동작도 할 수 없게 한다
이때 시간 정보가 변경된 파일은 MoveFileW API를 사용하여 [원본
파일명]crypt로 확장자가 변경된다
크립트엑스엑스엑스는 일반적으로 웹사이트 다운로드 등으로 유포되
는 경우가 많다 따라서 사용자는 출처를 알 수 없는 메일에 첨부된 파
일의 실행이나 불필요한 사이트 접근을 삼가는 등의 주의가 필요하다
해당 악성코드 감염을 막기 위해서는 항상 윈도우 보안 패치 및 V3
백신 프로그램을 최신 업데이트 상태로 유지하는 것이 필요하다
안랩은 원본 파일을 복구하는 툴을 랜섬웨어 보안센터를 통해 무료로
제공하고 있다
안랩 랜섬웨어 보안센터 바로가기
그리고 암호화된 파일이 있는 경로마다 결제 안내 파일들을 생성한다
앞서 언급했듯이 SetFileTime API를 이용하여 [그림 11]에 있는 붉은
색 박스에 있는 데이터(00 00 00 00 71 37 00 00)는 1601년 3월 12
일 월요일 10시 17분 27초로 변경된다
17
CryptXXX RansomwareT H R E A T A N A L Y S I S
크립트엑스엑스엑스(CryptXXX) 랜섬웨어는 정상 파일을 암호화한 후 lsquocryptrsquo 확장자로 변경하여 사용자에게 비트코인을 요구하는
랜섬웨어다 이 랜섬웨어는 현재까지 버전 1x 2x 3x 세 가지 형태가 알려져 있다 안랩은 현재 크립트엑스엑스엑스 2x 버전에 의
해 암호화된 파일에 대한 복구 툴을 제공하고 있다 특히 국내 사용자들이 많이 사용하고 있으나 기존 복구 툴이 지원하지 않는 한글
파일(HWP)의 복구도 가능하다는 점이 주목할만하다
월간 lsquo안rsquo에서는 1부와 2부에 걸쳐 크립트엑스엑스엑스의 동작 방식과 주요 기능 암호화 방식 복구 툴 등 자세한 내용을 소개한다
lt연재 목차gt
1부_ DLL 이용한 CryptXXX 랜섬웨어 분석 완료
2부_ CryptXXX 암호화 비밀과 복구 툴 공개
CryptXXX 암호화 비밀과 복구 툴 공개
CryptXXX 랜섬웨어 분석 보고서_2부
1 암호화 방식
[그림 1]은 크립트엑스엑스엑스에 의해 암호화된 lsquoPhotojpgrsquo 파일을
나타낸다 암호화는 고정 크기(0x1FFF)의 블록 단위로 순차적으로 이
뤄지며 암호화 최대 크기는 0xD012FE(대략 13M)로 이후의 데이터
는 원본과 동일하다
암호화된 파일은 원본 파일과 비교하여 260(=0x104)바이트가 증가
한 형태이며 이는 파일 끝부분에 삽입된 키 테이블(Key Table) 정보
로 인한 것이다([그림 1]에서 붉은색 블록 참고) 이 키 테이블 정보
는 블록 단위의 암호를 복호화하는 데 핵심이 되는 데이터로 공개키
를 통해 암호화되어 저장된다 즉 구조적으로는 해당 공개키에 매칭
되는 개인키 정보 없이는 해당 키 테이블 정보를 복호화할 수 없고
파일 복구가 불가능하다 하지만 해당 키 테이블 정보는 개인키 없이
도 원본 파일 시작 부분의 일부 데이터(예를 들면 파일 포맷별 Magic
정보)를 통해 파일의 형태를 확인할 수 있으며 그것을 토대로 유추할
수 있는 키 값으로 복구가 가능하다
2 Key Table 생성 방식과 취약성
[그림 2]는 파일 끝에 삽입된 0x104바이트 크기의 키 테이블이 생성
되는 과정을 나타낸다 이 그림에서 노란색 부분이 공개키로 암호화
된 KeyTable_A[0x40]이며 CryptEncrypt() API를 통해 공개키로 암
호화 시 원본 0x40바이트 크기의 데이터가 최종 0x80바이트 크기로
증가된다
[그림 1] 크립트엑스엑스엑스 암호화 방식
[그림 2] 키 테이블 생성 과정
18
[그림 2]에서 언급된 암호화에 사용되는 핵심 정보 3가지는 lsquo4바이
트 SEED 값rsquo lsquoKeyTable_A[0x40]rsquo lsquoKeyTable_B[0x100]rsquo이며 최초
4바이트 크기의 SEED 값으로부터 이후 정보들이 순차적으로 만들
어지는 구조를 갖는다 키 생성 과정의 최상위에 위치하는 SEED 값
은 감염 시점의 시스템 시간(SystemTime) 정보 중에서 시(wHour)
분(wMinute) 초(Second) 밀리초(Millisecond)를 이용하여 얻어지
며 이 SEED 값으로부터 0x40바이트 크기의 KeyTable_A[0x40] 데
이터가 생성된다 바로 이 부분에서 제작자가 의도하지 않은 취약성
이 존재하며 SEED 값이 동일하면 매번 동일한 KeyTable_A[0x40]
가 생성되는 구조를 갖는다 최종 블록 단위의 암호화에 사용되는
KeyTable_B[0x100]의 데이터와 원본 파일로부터 읽은 블록과의
XOR(배타적 논리합)을 통해 암호화가 수행된다
즉 SEED 값이 동일하면 매번 생성되는 최종 키 테이블 정보가 동일
한 점과 암호화 방식이 XOR이라는 2가지 포인트를 바탕으로 복구 대
상 파일의 Magic 정보가 존재한다면 역으로 키를 유추할 수 있는 구
조다 [그림 3]은 SEED 값이 0x02978CAC일 때 생성되는 키 테이블
A B의 예를 나타낸다
3 키 테이블 생성 함수
크립트엑스엑스엑스 랜섬웨어에서 파일 암호화 시 사용되는 핵심 정
보 3가지의 생성 함수는 다음과 같다
(1) SEED 값 생성
[그림 4]는 SystemTime 정보를 통해 4바이트 크기의 SEED 값을 생
성하는 함수를 나타낸다
KeyTable_A[0x40] 데이터가 생성되는 방식은 다음의 2가지 기본 테
이블 중 델파이 랜덤(Delphi Random) 함수를 통해 얻은 랜덤값을
바탕으로 하나의 값이 선택되어 구성되는 구조를 갖는다
(1) QWERTYUIOPASDFGHJKLZXCVBNMltgt$^amp()_+~|
(2) qwertyuiop[]asdfghjklzxcvbnm`1234567890-=
크립트엑스엑스엑스는 총 2번의 델파이 랜덤 함수를 사용하여 아래
의 Index(A)와 Index(B)를 얻게 된다 이때 Index(A)는 위 기본 테이
블 중 하나를 선택하기 위한 목적으로 Index(B)는 선택된 테이블의
데이터 중 하나를 선택하기 위한 목적으로 사용된다
Index(A) DelphiRandom(3) - 0 ~ 2 범위의 랜덤 값 생성(0 2인 경우 -gt
(1)번 1인 경우 -gt (2))
Index(B) DelphiRandom(44) - 0 ~ 43 범위의 랜덤 값 생성
예를 들어 Index(A) == 0이고 Index(B) == 3이면 lsquoRrsquo 문자열이 선택
된다
(2) 키 테이블(A) 생성
[그림 5]는 SEED 값을 바탕으로 0x40바이트 크기의 키 테이블을 생
성하는 함수이며 do-while 문을 통해 생성되는 0x40바이트 크기의
데이터가 SEED 값이 동일하면 동일한 형태로 생성되는 취약성이 존
재하는 부분이다
(3) 키 테이블(B) 생성
[그림 6]은 키 테이블(A)로부터 0x100바이트 크기의 최종 키 테이블
(B)가 생성되는 함수를 나타낸다 이 키 테이블 정보는 1바이트 단위
의 블록 단위의 암호화 시 XOR 키 값으로 사용된다
[그림 3] 키 테이블 A B 예제
[그림 4] SEED 값 생성 함수
[그림 5] 키 테이블(A) 생성 함수
19
[그림 6] 키 테이블(B) 생성 함수
[그림 7] 크립트엑스엑스엑스 복구 과정
4 복구 방식
시 분 초 밀리초 정보를 통해 계산되는 SEED 값의 범위는 다음과
같다
- 최소값 0000000000 -gt 0 최대값 235959999 -gt 0x5265bff
사용자마다 그리고 암호화된 파일마다 서로 다른 SEED 값을 유추하
기 위해 0 ~ 0x5265bff 범위의 SEED를 순차적으로 선택하며 이를
바탕으로 암호화에 사용된 키 테이블을 생성하거나 복호화를 시도
한다 첫 번째 블록에 대한 복호화를 통해 파일의 고유한 식별 정보
(Magic)가 확인되면 유효한 SEED 값으로 판단하고 전체 파일에 대
한 블록 단위의 복구를 시도한다 우선 첫 번째 파일이 복구에 성공하
면 두 번째 파일부터는 SEED의 범위를 제한하여 좀 더 빠른 복구가
가능하도록 했다 이러한 설정은 복구 대상 파일들이 동일 시간대에
감염된 형태가 대부분일 것으로 가정하여 이루어진 것으로 복구 대
상 파일들이 서로 다른 시스템에서 다른 시간대에 수집된 형태의 경
우 복구 시간이 더 오래 걸리는 특징을 갖는다
5 복구 대상 리스트
복구 툴을 통해 복구 가능한 크립트엑스엑스엑스 버전은 2x로 제한
적이며 우선 다음의 확장자들에 대한 복구가 가능하도록 제작되었
다 특히 국내 사용자들이 많이 사용하고 있으나 기존 복구 툴이 지
원하지 않는 한글 파일(HWP)의 복구가 가능하다 이 외에도 원본 파
일의 고유한 식별 정보만 알 수 있다면 복구가 가능한 구조이기 때문
에 추후 복구 대상으로 추가될 수 있다
CHM AI HWP PDB PDF RTF HTM HTML PHP XML DWG PS
WSF KEY CSR CRT WAV MP3 OGG WMA WMV AVI ASF MP4
MOV MID MPG FLV PNG GIF BMP TIF JPG JPEG ZIP RAR BZ2
7Z GZ JAR APK TGZ ODS DOC DOT PPT POT PPS XLS XLT
DOCX DOCM DOTX DOTM PPTX PPTM POTM POTX PPSM
XLSX XLSB XLSM XLTM XLTX EPS ISO SQLITE3 MDB MSI APP
FDB ACCDB SLN CLASS VCXPROJ
6 복구 툴 경로
안랩은 크립트엑스엑스엑스 랜섬웨어 2x 버전에 대한 복구 툴을 랜
섬웨어 보안센터를 통해 무료로 제공하고 있다
안랩 랜섬웨어 보안센터 바로가기
[그림 7]은 크립트엑스엑스엑스 복구 툴에서 파일 복구를 위해 이루
어지는 과정을 나타낸 것이다 구조상 첫 번째 파일을 복구하는 데 오
랜 시간이 소요되며 이후 파일부터는 빠르게 복구가 가능하다
20
F O C U S I N - D E P T H Compliance
20
1 개인정보보호법
1) 정보주체 이외로부터 수집한 개인정보의 수집 출처 고지 의무화
ldquo따르릉~ 여보세요 홍길동 고객님이시죠 여기는 보험사인데
요~ 알지도 못하는 보험사로부터 이런 전화를 받아 본 경험이 혹시
있었는지 모르겠다 어디서 내 전화번호를 입수한 것인지 물어보면 정
확히 대답하지 않거나 얼버무리는 경우도 많다 개정안이 시행되는 9
월 30일부터 이런 식의 연락은 더 이상 받지 않게 될 것 같다 일정 규
모 이상이 되는 기업(5만 명 이상의 민감 정보 또는 고유식별정보 처
리 100만 명 이상의 개인정보처리)이 정보주체로부터 직접 수집하지
않고 개인정보를 처리할 때는 반드시 ①정보수집출처 ②개인정보처리
목적 ③개인정보 처리정지 요구권이 있다는 사실을 최초 수집 후 3개
월 이내에 정보주체에게 고지해야만 하기 때문이다 불법으로 입수한
개인정보라면 애초에 고지도 못할 테지만 적법하게 제공받은 경우라
하더라도 고객에게 일일이 고지하기란 큰 부담이 될 것이다 고객이 제
3자 제공 동의를 해서 개인정보를 제공했다는 사실을 증명하라고 요구
하면 그 또한 큰일이다 필자 견해로는 이 개정안에 대한 대응이 본 기
사를 통틀어 제일 큰일일 듯 싶다
2) 민감정보의 안전성 확보조치 명시적 요구
민감정보란 개인의 사상middot신념 노동조합middot정당의 가입middot탈퇴 정치
적 견해 건강 유전 정보나 범죄 경력처럼 사생활을 현저히 침해할
우려가 있는 정보를 말한다 기존에도 고유식별 정보와 더불어 수집
이용하지 않는 것이 원칙이고 별도의 동의를 얻어 처리해야 하며 안
전성확보 조치를 통해 보호해야 할 대상이었다 이번 개정안에서는
민감정보에 대한 안전성 확보 조치를 명시적으로 요구하고 있을 뿐
기업 입장에서 달리 조치해야 할 사항은 없어 보인다 (기존 법에 따
라 잘 조치하고 있었을 경우에는 그렇다는 뜻이다)
3) 개인정보처리방침과 개인정보취급방침 구성 요건 동기화
개인정보보호법의 lsquo개인정보처리방침rsquo은 정보통신망법(이후 lsquo정통망
법rsquo)의 lsquo개인정보취급방침rsquo과 이름도 다르고 구성 요건에도 약간의 차
이가 있었다 이번 개정안에서는 방침 구성 내용에 정통망법 일부 사
꼭 챙겨야 할 개인정보보호 법령
지난 3월 8일 발간된 월간 lsquo안rsquo 2016년 3월호에 lsquo2016년에 챙겨봐야 할 개인정보보호 법령 5가지rsquo란 제목으로 개인정보보호 법령에 대
해 소개한 바 있다 이후 3월 22일과 29일에 정보통신망법과 개인정보보호법이 또 개정되어 2016년에 챙겨야 할 법령이 더 늘어났다
이번 호에서는 두 가지 법의 개정사항의 중요도를 별점으로 매겨가며 정리하고자 한다 단 중요도의 기준은 필자의 주관에 따른 것이므
로 참고만 하는 것이 좋겠다 개정된 내용 중 기업과 관련이 적은 사항은 따로 적지 않았다
별점으로 살펴본
lsquo개정rsquo 개인정보보호 관련 법령
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
중요도 업무영향도 대응업무부하
처 벌
- 미이행 시 3000만 원 이하의 과태료
- 미이행 상태에서 유출 사고 발생 시 2년 이하의 징역 또는 2000만 원 이하
의 벌금
중요도 업무영향도 대응업무부하
처 벌 해당 없음
기업에서 대응해야 할 업무 절차
1 법 시행 시점 이후 수집 보유 중인 개인정보 중 정보주체에게 직접 입수한 것이 아닌
개인정보 식별(정보주체 외 입수 경로 제3자 제공 동의 여부 확인)
2 1에서 식별된 개인정보 중 연락처가 있는 개인정보 식별
3 2에서 식별된 정보주체에게 개인정보 수집 및 이용 사실 고지(파기요청 수집)
구체적인 고지 시기 방법은 시행령이 나와야 알 수 있음
4 3의 절차에서 파기 요청 시 파기 시행
기업에서 대응해야 할 업무 절차
1 보유 중인 개인정보 중 민감정보 식별
2 1에서 식별된 민감정보에 대한 안전성 확보 조치 수준 점검
3 2절차에서 법 기준에 미흡한 경우 보완 조치 이행
2121
항을 반영하여 유사한 구조를 갖추도록 했으며 정통망법 또한 lsquo개인
정보처리방침rsquo으로 명칭을 변경함으로써 개인정보보호법과 일원화할
수 있게 되었다 개인정보보호법 개인정보처리방침에 추가된 사항은
다음과 같다
2 정보통신망 이용촉진 및 정보보호 등에 관한 법(이하 lsquo정
통망법)
1) 정보주체의 이동통신 단말장치 내 정보 및 기능에 대한 접근 시 동
의절차 의무화
스마트폰 메신저 앱을 생각해 보자 메신저 앱의 핵심적인 기능은 다
른 사람과 메시지를 주고받는 것이다 메신저를 편히 쓰려면 연락처
를 일일이 입력하기보다는 스마트폰에 있는 연락처 정보를 이용하는
게 필요할텐데 개정된 법은 그렇게 메신저 앱이 서비스를 이용하기
위해 스마트폰에 저장된 정보에 접근할 경우에 반드시 정보주체의 동
의를 받아야 한다는 것이다
핵심 서비스를 위해 필요한 정보나 접근권한에도 동의를 받으라고 하
는 상황인데 그 외의 목적이라면 당연히 동의를 요구할 수밖에 없다
이 경우에는 사용자가 동의를 거부할 권한이 있고 동의를 안했다고
해서 기업이 서비스 제공을 거부할 수 없도록 하고 있다(거부하면 과
태료 처벌을 받을 수 있다)
이 법의 요구사항은 흔히 알고 있는 개인정보 수집이용 동의와 개념
이 다르기 때문에 기업에서도 상당한 고민과 부담이 있을 것으로 예
상된다 (예를 들면 휴대전화에 저장된 연락처는 휴대전화 주인의 개
인정보가 아니므로 정보주체의 개인정보 수집이용 동의로 대체할 수
없다) 휴대전화 기능에 대한 접근권한 역시 개인정보 수집이용 동의
와는 다른 사항이므로 동의 절차를 새롭게 설정해야 할 가능성이 높
다 이런 동의와 철회 방법에 대한 구현 책임은 이동통신단말장치 소
프트웨어 제조업자와 공급자에게 부과하고 있으며 위반 시 과태료 처
벌을 할 수 있도록 되어 있다
2) 개인정보 처리업무 수탁자가 재위탁할 경우 원 위탁자의 동의를 받
는 경우에만 가능함
이번 정통망법 개정안에서는 개인정보 처리 위탁 관련 조항이 특히
많이 수정되었다 대부분 용어가 lsquo취급rsquo에서 lsquo처리rsquo로 바뀐 사항이 많
고 일부 조항은 개인정보보호법과 동일한 수준으로 바뀌었다 예컨대
수탁자에 대한 관리 감독 책임에 lsquo교육rsquo을 별도로 명시한다거나 수탁
자에게 위탁을 할 경우에는 문서에 의하여야 한다는 내용들이 그러하
다 개인정보보호법보다 조금 엄격하게 느껴질 만한 것은 제25조 7
항으로 수탁자의 재위탁은 위탁자로부터 동의를 받은 경우에 한한다
는 내용이다 (개인정보보호법은 시행령 제28조에서 lsquo재위탁 제한에
관한 사항rsquo을 위탁 시 작성해야 할 문서에 기재하도록 하고 있다)
3) 전화 권유 판매 시 개인정보 수집출처 고지 의무 부과
정통망법에 따르면 전자적 전송매체를 이용하여 영리목적의 광고성 정
보를 전송할 때 수신자의 명시적인 사전 동의를 받아야만 한다 사전
동의를 받지 않을 수 있는 예외가 두 가지 있는데 lsquo방문판매 등에 관한
③ 이동통신단말장치의 기본 운영체제(이동통신단말장치에서 소프트웨어를 실행할 수 있는
기반 환경을 말한다)를 제작하여 공급하는 자와 이동통신단말장치 제조업자 및 이동통신단
말장치의 소프트웨어를 제작하여 공급하는 자는 정보통신서비스 제공자가 이동통신단말장
치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근하려는 경우 접근
권한에 대한 이용자의 동의 및 철회방법을 마련하는 등 이용자 정보 보호에 필요한 조치를
하여야 한다
2 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
다 접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실
② 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 반드시 필요하지 아니한 접근
권한을 설정하는 데 이용자가 동의하지 아니한다는 이유로 이용자에게 해당 서비스의 제공
을 거부하여서는 아니 된다
중요도 업무영향도 대응업무부하
처 벌 2000만 원 이하의 과태료
- 수탁자가 위탁자의 동의 없이 재위탁을 한 경우
기업에서 대응해야 할 업무 절차
1 운영개발 중인 모바일 앱(App) 현황 파악(앱이 설치된 모바일 기기 내 이용 정보 및 기
능 내역)
2 1에서 식별된 모바일 기기 내 정보 및 기기에 대해 서비스 이용에 필수선택 항목 식별
3 모바일 앱 설치 시 동의이용 중 철회 절차 검토 및 보완
1) 필수항목과 선택항목의 구분
2) 법 제22조의2제1항1호2호의 사항을 고지사항에 반영
4 이용자 정보 보호에 필요한 기타 조치 사항 반영
5 3과 4에서 도출된 사항을 모바일 앱에 적용 업데이트
6 기존 운영 중인 앱의 경우 고객에게 업데이트 고지(동의 또는 재동의 절차 적용)
⑦ 수탁자는 개인정보 처리위탁을 한 정보통신서비스 제공자 등의 동의를 받은 경우에 한
하여 제1항에 따라 위탁받은 업무를 제3자에게 재위탁할 수 있다 lt신설 2016322gt
기업에서 대응해야 할 업무 절차
1 수탁자의 경우 위탁받은 개인정보의 처리 업무 중 재위탁 현황 파악
2 재위탁 사실이 있고 위탁자의 동의 증적이 없는 경우 파악
3 2에서 파악된 미동의 재위탁 건에 대해 위탁자에게 고지 및 동의 확보
6 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항
을 처리하는 부서의 명칭과 전화번호 등 연락처
7 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치middot운영 및 그 거부에
관한 사항(해당하는 경우)에만 정한다
중요도 업무영향도 대응업무부하
처 벌
3000만 원 이하의 과태료
- 반드시 필요하지 않은 접근권한 설정에 정보주체가 동의하지 않는다는 이유
로 서비스 제공을 거부할 경우
- 접근권한에 대한 동의 및 철회방법을 마련하는 등 조치를 하지 않은 경우
제22조의2(접근권한에 대한 동의) ① 정보통신서비스 제공자는 해당 서비스를 제공하기 위
하여 이용자의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신 단말장치에 설치된
기능에 대하여 접근할 수 있는 권한(이하 ldquo접근권한rdquo이라 한다)이 필요한 경우 다음 각 호의
사항을 이용자가 명확하게 인지할 수 있도록 알리고 이용자의 동의를 받아야 한다
1 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한인 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
2222
법률rsquo에 따른 전화 권유 판매자가 육성으로 전화 권유를 하는 경우가
그 중 하나였다 개정 법에서는 lsquo수신자에게 개인정보의 수집출처를 고
지하고rsquo라는 조건이 추가됨으로써 한결 까다로워졌다
4) 개인정보의 국외 이전 유형에 따른 동의 요건 완화
모처럼 개인정보보호 담당자한테 반가운 개선 조항이 생겼다 개인정
보의 국외 이전은 정통망법에서 논란이 되던 문제였다 개인정보보호
법은 국외에 제3자 제공할 경우만 정보주체의 동의 받으라고 되어 있
는데 정통망법에선 lsquo이전rsquo할 때 동의를 받으라고만 되어 있었기 때문에
제3자 제공과 위탁의 경우를 달리 적용하기 어려웠던 것이다 개정안
에서는 lsquo국외로 이전하려면rsquo이라고 되어 있던 조항을 lsquo국외에 제공(조회
되는 경우를 포함한다)middot처리위탁middot보관(이하 이 조에서 ldquo이전rdquo이라 한
다)하려면rsquo이라고 풀어서 표현하고 lsquo다만 정보통신서비스의 제공에 관
한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서
제3항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자
우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는
개인정보 처리위탁middot보관에 따른 동의절차를 거치지 아니할 수 있다rsquo라
는 단서 조항을 더 함으로써 국외 이전의 경우에도 위탁업무일 경우엔
동의 받지 않고 처리할 수 있도록 하였다 (개인정보보호법과 일치시킨
셈이다)
5) 노출된 개인정보의 삭제 차단 조치 의무화
웹사이트에서 시험 합격자 명단 등을 공개할 때 관리자의 부주의로 주
민번호와 같은 고유식별정보를 포함시키는 일이 종종 발생하곤 한다
기존 법령에서도 개인정보의 노출을 통제할 책임은 정보처리자에게 부
여하고 있으나 이번 개정안에서는 별도의 조항으로 명시함으로써 책임
성을 부각하고 있다 관련 처벌이 따르지 않아 규범적 조항인 점이 그
나마 다행스럽다
6) 기타 사항
이상 중요한 사항은 짚어 보았고 다른 사항은 대부분 개인정보보호법
과 균형을 맞추기 위한 내용들이다 lsquo개인정보관리책임자rsquo란 용어는
개인정보보호법과 마찬가지로 lsquo개인정보보호책임자rsquo란 용어로 바뀌
었고 처벌 수준에 있어서도 주요 법 위반 시 위반행위에 관련된 이익
의 몰수 추징 조항이 신설되었다 내용의 파급력으로 보자면 충격이
클 수도 있는 제32조 제2항의 징벌적 손해배상도 이미 개인정보보호
법에 들어간 내용이기 때문에 기업 입장에서 새롭게 고민할 사항은
적을 듯하다
전기통신사업자와 정보통신서비스 제공자를 대상으로 하는 정보통신
망법과 일반법으로 적용되는 개인정보보호법은 개인정보보호의 규준
을 이루는 양대 법률이다 기업 입장에선 지나치게 자주 개정되어 정보
보호 업무 부담을 더하는 측면도 있다 하지만 이번 개정안은 두 법의
용어와 조항 처벌 수준 등을 통일함으로써 법 적용을 돕는 긍정적인
면이 훨씬 많을 듯하다 아무쪼록 이번 개정안이 적극 반영되어 사회
전반에서 더욱 안전한 개인정보보호 환경이 갖추어지기를 기대한다
기업에서 대응해야 할 업무 절차
1 전화 권유 판매 시 정보주체 사전 동의 획득 여부 확인
2 사전동의 미 획득 케이스인 경우 개인정보 수집출처 확인
3 개인정보 수집출처가 확인되지 않은 경우 개인정보 이용 중지
4 개인정보 수집출처가 확인된 경우 수집출처를 고객에게 고지하고 전화 권유 판매
기업에서 대응해야 할 업무 절차
1 개인정보의 해외 이전 유형 식별(제공처리위탁보관)
2 이전 유형 중 처리위탁보관의 경우 고지공개 여부 확인
3 이전 유형 중 제공의 경우 동의 여부 확인
4 2 3단계에서 미흡 사항 발견 시 개선 조치
중요도 업무영향도 대응업무부하
처 벌 없음
제32조의3(노출된 개인정보의 삭제middot차단) ① 정보통신서비스 제공자 등은 주민등록번호
계좌정보 신용카드정보 등 이용자의 개인정보가 정보통신망을 통하여 공중에 노출되지 않
도록 하여야 한다
② 정보통신서비스 제공자 등의 고의 또는 중대한 과실로 인하여 개인정보가 분실middot도난middot
유출middot위조middot변조 또는 훼손된 경우로서 이용자에게 손해가 발생한 때에는 법원은 그 손
해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다 다만 정보통신서비스
제공자 등이 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다 lt신설
2016322gt
기업에서 대응해야 할 업무 절차
1 시스템 내 개인정보 노출 현황 파악 (노출정보유형목적노출기간주관부서 등 현황 파악)
2 노출된 고유식별정보 및 금융정보 발견 시 삭제 또는 보호(마스킹 등) 조치
3 1~2의 반복적 이행 가급적 시스템화하는 것이 바람직함
중요도 업무영향도 대응업무부하
처 벌
- 2000만 원 이하의 과태료 공개나 고지 없이 개인정보를 국외에 처리위탁
보관한 경우
- 과징금 부과 정보주체의 동의 없이 개인정보를 국외에 제공한 경우
23
어릴 때부터 각종 디지털 기기의 사용이 능숙한 lsquo디지털 키즈(Digital kids)rsquo인 우리 자녀들을 위한 똑똑한 lsquo디지털 페어런팅(육아법)rsquo을 소개한
다 식당이나 카페에서 어린 자녀에게 스마트폰은 보여주고 있거나 자녀가 어린이날 선물로 스마트폰을 사달라고 조르는 경우 스마트폰 게임
이나 SNS에 빠져 있는 자녀 때문에 걱정인 부모들에게 필요한 자녀의 연령에 맞는 디지털 페어런팅이다 자녀가 성숙한 디지털 기기 사용 습
관을 기를 수 있도록 도와주는 것은 부모가 반드시 해야 하는 역할 중 하나다
몸짓을 이미지로 기억해 엄마의 의도를 파악한다 그다음 좌뇌가 발달하는데 좌뇌가 발달하기 시작하면 언어 발달이 이루어진다 그런데 이 시
기에 과도하게 스마트폰에 노출되면 우뇌가 충분히 발달하지 않은 상태에서 좌뇌가 발달하게 된다
우뇌가 제대로 발달하지 못하면 감정을 담당하는 뇌 발달에 영향을 줄 수 있는데 이는 다른 사람의 마음을 헤아리는 능력 다른 사람과 생각이
나 느낌을 주고 받는 능력 사고력 감정 조절력 부족으로 이어질 수 있다 우는 아이를 달래려고 부모가 편하게 밥을 먹기 위해서 흥미로운
자극을 주고 싶다는 이유로 이 시기 아이에게 건넨 스마트폰은 아이의 뇌에 치명적인 후유증을 남길 수 있음을 기억해야 한다
3~6세 유아기 부모의 통제 하에 사용해야
전문가들은 이 시기 아이에게도 디지털 기기의 사용을 권장하지는 않는다 하지만 현실적으로 쉽지 않다면 차선책을 선택해야 한다 부모가 디
지털 기기의 이용 시간 및 콘텐츠 등에 대해 확실한 기준을 갖고 있어야 한다 lsquo하루 30분 이상 넘기지 않으며 아이가 좋아하는 애니메이션 영상
과 동요 율동 영상만 본다rsquo는 식으로 말이다 아이의 손에 스마트폰을 맡겨버리면 의도하지 않은 영상에까지 노출될 우려가 있으니 주의해야 한다
약속한 시간 외에는 스마트폰을 아이의 손에 닿지 않는 곳에 두는 것이 좋다 이를 위해서는 부모 역시 스마트 기기 사용을 절제할 수 있어야
한다 아이들은 부모를 롤 모델로 삼아 그 태도와 습관을 배우기 때문이다 하지만 이 시기 아이가 스마트폰을 보여 달라고 강하게 떼를 쓰는
등 통제가 되지 않을 때는 당분간 아예 아이에게서 스마트폰을 분리하는 것이 효과적이다 스마트폰이 아닌 다른 방법으로 아이와 시간을 보
내는 법을 고민하는 것은 부모의 몫이다
0~3세 영유아기 스마트폰 잠시 건네는 것도 안 돼
이제 걸음마를 시작할 법한 아이가 스마트폰에 집중해 있는 모습을
본 적이 있을 것이다 우는 아이를 달래기 위해서 식당이나 카페에서
아이를 조용히 앉혀놓을 요량으로 부모는 어린 자녀의 손에 스마트폰
을 쥐여준다 하지만 전문가들은 이 시기의 아이에게 디지털 기기를
노출시키는 건 ldquo안 된다rdquo고 입을 모은다 lsquo영유아 스마트폰 증후군rsquo 등
의 부작용이 우려되기 때문이다
lsquo영유아 스마트폰 증후군rsquo이란 6세 미만의 아이들이 영상 게임 등의
지속적인 자극에 오랜 시간 노출되어 우뇌가 발달해야 하는 시기에
좌뇌가 지나치게 발달해 좌middot우뇌의 균형이 틀어지는 것을 말한다
영아기 아이는 우뇌가 먼저 발달하는데 엄마의 표정 목소리 눈짓
I T amp L I F E
내 아이를 지키는 rsquo디지털 페어런팅rsquo
스티브 잡스가 자녀에게 아이폰 아이패드와 같은 디지털 기기의 사용을 허락하지 않았다는 건 잘 알려진 사실이다 드론을 만드는 3D
로보틱스 CEO 크리스 앤더슨은 아이들이 사용하는 전자 기기의 사용 시간을 제한하고 부모가 통제할 수 있는 장치를 부착했다고 한
다 그는 ldquo테크놀로지의 위험을 잘 알고 있으며 아이들에게 그런 일이 일어나는 것을 원치 않는다rdquo며 그 이유를 설명했다 이들의 자녀
교육법이 전적으로 옳다고 말할 수는 없지만 어릴 때부터 디지털 기기 사용이 너무나 익숙한 우리 자녀들의 모습은 한 번쯤 돌아볼 필
요가 있다
24
6~10세 미만 디지털 기기 사용 가이드라인에 대해 설명해줘야
부모가 디지털 기기 사용 시간 및 사용 및 목록의 한계에 대한 가이드라인을 정하고 이에 대해 아이가 이해할 수 있도록 설명해주는 것이 좋
다 가이드 라인을 정할 때 아이의 생각을 들어보고 반영하는 것도 방법이다 디지털 기기 사용 가이드라인이 지켜질 수 있도록 온 가족이 노력
해야 함은 물론이다 TV를 보고 스마트 기기를 가지고 노는 것 자체가 문제가 될 수도 있지만 이로 인해 친구들과 뛰어놀며 신체활동을 하는
즐거움을 빼앗기지 않도록 하는 것도 중요함을 잊지 말아야 한다
10세 이상의 초등학생 스스로 규칙을 정하고 지킬 수 있도
록 동기 부여
부모들의 고민 중 하나는 lsquo아이에게 스마트폰을 언제 사줄 것인가rsquo다
아이의 하교 후 학원에서 학원으로 이동할 때마다 연락을 주고받기
위해 휴대전화가 필요할 수도 있다 요즘은 초등학교 입학과 함께 스
마트폰을 사주는 가정도 많다 친구들도 다 있다며 사달라고 떼를 쓰
는 아이의 마음도 이해 못 하는 바 아니지만 자녀에게 스마트폰을 사
주는 적당한 시기는 부모가 잘 판단해야 한다 아이가 스마트폰 사용
규칙을 지킬 수 있을 만큼 성숙한 상태여야 한다는 의미다 하고 싶어
도 참을 수 있는 절제력과 충동조절능력 좌절인내력이 바탕이 돼야
만 스스로 규칙을 지킬 수 있다
구글 애플 마이크로소프트 등 글로벌 IT 기업의 자녀들이 많이 다니
는 실리콘밸리에 발도로프 학교에는 컴퓨터가 없다 스크린 보드 빔
프로젝터 등의 멀티미디어 기기도 없으며 연필과 종이 분필 등을 이
용한 아날로그식 수업이 진행된다 이들은 우리나라 나이로 중학교 3
학년이 되는 8학년이 돼서야 컴퓨터를 서서히 배우기 시작한다 학생
들이 학교에 디지털 기기를 가져올 수도 없다 lsquo디지털 세상이 아이를
아프게 한다rsquo의 저자인 신의진 정신과 박사는 ldquo언제 자녀가 스마트폰
을 사용하면 좋냐rdquo는 질문에 ldquo늦을수록 좋다rdquo고 답한다
우리 자녀 세대는 지금 우리보다 훨씬 더 디지털 기기와 가깝게 지낼
것이다 시대가 변하고 있기 때문이다 더 흥미로운 기기들이 쏟아질
것이고 그에 맞는 교육 및 놀이 앱이 넘쳐날 것이다 하지만 시대가
변해도 변하지 않는 것은 존재한다 부모가 자녀와 디지털 생활에 대
해 이야기를 나눌 수 있는 환경은 신뢰를 바탕으로 한 그들의 아날로
그 생활에서의 환경이 조성하는 법이다 가족과 함께 서로의 디지털
생활에 대한 이야기를 나눠보는 시간을 갖는 것은 어떨까
자녀와 함께 TV 컴퓨터 스마트폰 등에 대한 이용 규칙을 정하고 스스로 통제할 수 있도록 동기를 부여해주는 것이 좋다 만약 약속을 어겼을
경우 벌칙도 명확히 해둔다 예를 들어 주말에만 컴퓨터 게임을 하기로 했는데 어겼다면 다음 주말 컴퓨터 이용 시간을 줄이는 식이다 초등학
교 3~4학년만 돼도 아이들은 SNS에 흥미를 느끼기 시작한다 이때 부모는 아이가 어떤 게시물을 올리고 다운로드하는지 관심을 가질 필요가
있다 인터넷상에 올린 글이나 영상은 쉽게 공유될 수 있으며 지우는 것도 쉽지 않다는 점에 대해서도 알려줘야 한다
중middot고등학생 자율성 존중하되 방치해선 안 돼
ldquo스마트폰 그만하고 공부해rdquo와 같은 강압적인 지시는 되레 부작용을 낳을 수 있다 중middot고등학생의 자녀와의 디지털 페어런팅에서 가장 중요한
것은 자율성을 존중하되 방치해서는 안 된다는 점이다 아이가 적당히 조절하며 디지털 기기를 사용하고 있다면 문제 없지만 걱정할 정도로 몰
입돼 있는 상황이라면 가정의 디지털 페어런팅 방식을 다시 점검해봐야 한다 과몰입 상태는 적절한 교육으로 가정에서 바로 잡을 수 있지만 중
독의 수준이라면 상황이 달라진다 이런 경우 아이가 디지털 기기에 빠진 원인을 찾고 이를 해결하기 위해 전문가 상담 및 치료를 받아야 한다
[그림 1] 컴퓨터가 없는 발도로프 학교에 대해 다룬 뉴욕타임즈 기사
(출처 httpwwwnytimescom20111023technologyat-waldorf-school-in-silicon-valley-technology-can-waithtml)
참고 자료
신의진(2013) 디지털 세상이 아이를 아프게 한다 북클라우드
구본권(2014) 당신을 공유하시겠습니까 어크로스
25
보안 통계와 이슈 S T A T I S T I C S
[그림 2]는 2016년 4월 한 달간 유포된 악성코드를 주요 유형별로 집
계한 결과이다 불필요한 프로그램인 PUP(Potentially Unwanted
Program)가 5948로 가장 높은 비중을 차지했고 트로이목마
(Trojan) 계열의 악성코드가 168 웜(Worm)이 347의 비율로
그 뒤를 이었다
지난 4월 한 달간 탐지된 모바일 악성코드는 24만 7847건으로 집계
됐다
안랩 시큐리티대응센터(이하 ASEC)는 최근 ASEC Report Vol76를 통해 지난 2016년 4월의 보안 통계 및 이슈를 전했다 지난 4월
의 주요 보안 이슈를 살펴본다
파일 속성 변경하는 리눅스 악성코드 등장
안랩 4월 악성코드 통계 및 보안 이슈 발표
[그림 1] 악성코드 추이(2016년 2월~2016년 4월)
ASEC이 집계한 바에 따르면 2016년 4월 한 달간 탐지된 악성코드
수는 1156만 4967건으로 나타났다 이는 전월 1321만 2012건에
비해 164만 7045건 감소한 수치다 한편 4월에 수집된 악성코드 샘
플 수는 324만 5837건이다
샘플 수집 수탐지 건수
[그림 2] 2016년 4월 주요 악성코드 유형
Adware DownloaderWormTrojanetcPUP
[그림 3] 모바일 악성코드 추이(2016년 2월 ~ 2016년 4월)
5000000
6000000
10000000
20000000
30000000
40000000
1000000
2000000
3000000
4000000
4월3월2월
11830547 1156496713212012
324
583
7
354
858
1
349
346
8
347
168
1939
5948072
014
100000
200000
300000
500000
600000
700000
400000
0
4월3월2월
247847256512
323301
26
또한 지난 4월 악성코드 유포지로 악용된 도메인은 648개 URL은
2216개로 집계됐다 4월의 악성 도메인 및 URL 차단 건수는 총 637
만 3536건이다
이와 같은 경우 lsquolsattrrsquo 명령을 통해 해당 파일의 속성을 조회하면 [그
림 7]과 같이 lsquoirsquo 속성이 추가되어 있음을 확인할 수 있다
리눅스 악성코드 lsquo빌게이츠 봇넷rsquo 발견
최근 리눅스(Linux) 운영체제에서 감염 시스템의 정보 수집 시스
템 파일 교체 DDoS 공격 등을 수행하는 lsquo빌게이츠 봇넷(BillGates
botnet)rsquo이 발견됐다 해당 악성코드는 감염 시스템 내에서 속성이 변
경되어 삭제가 불가능해 리눅스 사용자들의 피해가 우려된다
빌게이츠 봇넷은 서버에 침입 후 파일의 속성을 변경하여 악성코드를
삭제할 수 없도록 설정한다 리눅스 시스템에서 악성코드 감염에 의
해 파일 속성이 변경된 경우 이를 삭제할 수 있는 방법을 자세히 살
펴보자
먼저 공격자가 파일의 속성을 변경한 후 [그림 5]와 같이 삭제 시도를
하면 lsquo실행이 허가되지 않았다(Operation not permitted)rsquo라는 메시
지가 출력되며 해당 파일이 삭제되지 않는다
이처럼 lsquoirsquo 속성이 추가되어 있는 경우에는 [그림 8]과 같이 루트 권한
으로 lsquochattrrsquo 명령을 통해 해당 파일의 속성을 변경한 후 다시 삭제
를 시도하면 해당 파일이 정상적으로 삭제된다
파일의 속성 추가(chattr)는 lsquo+[추가할 속성]rsquo 제거는 lsquondash[제거할 속성]rsquo
을 통하여 수행할 수 있으며 lsquo-Rrsquo 옵션을 추가로 부여하는 경우에는
하위 디렉터리까지 모두 포함되어 적용된다 이는 윈도우(Windows)
운영체제의 lsquoattirbrsquo 명령과 유사하다
이때 만일 관리자가 파일이 삭제되지 않는 원인을 파일 권한 문제라
고 생각하고 파일 시스템에 기록된 정보를 이용하여 루트 계정 및
inode를 제거하는 방법으로 다시 삭제를 시도하면 마찬가지로 동일
한 메시지가 발생하며 파일이 삭제되지 않는다
이번 리눅스 악성코드 사례와 같이 파일의 속성이 변경되어 삭제가
불가한 경우가 있어 권한 뿐만 아니라 파일 속성에 대해서도 다시 한
번 확인하는 것이 필요하다 단 중요 파일이나 로그 파일 등은 lsquoirsquo나
lsquoarsquo 속성을 적용하는 정상적인 경우도 있다 즉 이러한 속성이 적용되
어 있는 파일이라고 해서 모두 악성 파일은 아니므로 정확히 악성으
로 확인된 파일에 대해서만 삭제를 진행할 것을 권장한다
최근 리눅스 운영체제를 노리는 악성코드가 꾸준히 증가하고 있다
DDoS 공격이나 백도어 등 리눅스 악성코드의 기능도 다양해지고 있
으며 앞으로 더욱 고도화될 것으로 예상된다 리눅스 시스템도 안전
하게 이용하기 위해서는 반드시 암호를 설정해야 하며 최신 보안 업
데이트를 적용해야 한다
V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지하고
있다
ltV3 제품군의 진단명gt
LinuxBackdoor1223123B
[그림 5] RM 명령어를 통한 삭제 시도
[그림 6] INODE 제거를 통한 삭제 시도
[그림 4] 악성코드 유포 도메인URL 탐지 및 차단 건수(2016년 2월 ~ 2016년 4월)
악성 도메인URL 차단 건수 악성코드 유포 URL 수악성코드 유포 도메인 수
10000
20000
30000
8000000
9000000
40000
7000000
6000000
5000000
4000000
04월
221681467900
6481587936
3월2월
6373536
7157616
6355582
[그림 7] 파일 속성 조회
[표 1] 리눅스 파일 속성 및 lsquoCHATTRrsquo 명령어 예시
[그림 8] 파일 속성 변경 후 제거 시도
[명령어 예시 (i S 속성 추가)]
chattr + iS samples
[파일 속성명 중 일부] [설명]
a (CAP LINUX IMMUTABLE capability) 추가 작성만 가능 삭제 불가
I (CAP LINUX IMMUTABLE capability) 삭제 변경 링크 파일 생성 등
S 파일이 변경되면 디스크 동기화
u 파일 삭제 시 내용 백업
2727
A H N L A B N E W S
현대자동차 그룹 IT서비스 전문업체인 현대오토에버가 최근 lsquo5스타
우수 개발협력사rsquo로 안랩을 선정했다
lsquo현대오토에버 우수 개발협력사rsquo는 현대오토에버가 협력사와 공동
으로 수행한 전년도 사업의 수행 실적에 따라 1스타부터 5스타까지
우수협력사를 선정하고 이에 따른 다양한 인센티브를 제공하는 프
로그램이다
안랩은 현대오토에버의 개발컨설팅 협력사로서 프로젝트 평가 및
업체 종합 평가 등에서 안정적이고 우수한 프로젝트 성과를 인정받
아 최고 등급인 lsquo5스타rsquo 우수 개발협력사로 선정됐다 안랩 서비스
사업부를 총괄하는 방인구 상무는 ldquo안랩은 핵심가치인 lsquo고객만족rsquo을
기준으로 맡은 사업에 대해 언제나 최선을 다하고 있다rdquo며 ldquo안랩을
신뢰해주시는 여러 회사와 함께 동반성장할 수 있도록 노력하겠다rdquo
고 말했다
안랩이 지난달 17일 코엑스 컨벤션센터에서 열린 lsquo아마존 웹 서비
스 글로벌 서밋 서울 2016(이하 AWS 서밋 서울 2016)rsquo에서 다양
한 산업 관계자를 대상으로 lsquo안랩 AWS 고객 원격 보안관제 서비스rsquo
를 소개했다
AWS 서밋 서울 2016은 아마존 웹 서비스가 제공하는 클라우드 컴
퓨팅 서비스에 대한 지식을 공유하고 IT 업계의 최신 기술 트렌드 등
을 소개하는 행사로 지난해 첫 국내 개최에 이어 두 번째로 열렸다
이번 행사에 참가한 안랩은 전용 부스를 운영하며 lsquo안랩 AWS 고객
원격 보안관제 서비스rsquo에 대한 개별 고객 상담 및 서비스 체험 신청
등을 진행했다 안랩 AWS 고객 원격 보안관제 서비스는 네트워크
및 웹 서비스 등에 대한 보안을 안랩의 침해대응(CERT) 전문인력이
원격으로 모니터링 및 관리해주는 서비스다
또한 별도 발표장에서 진행된 미니 발표 세션에서 안랩 서비스상
품기획팀 김준호 대리는 안랩 AWS 고객 원격 보안관제 서비스의
개요 및 구성을 비롯하여 탐지를 넘어 위협 분석까지 제공하는
침해사고 대응 프로세스 미디어사 O2O(Online to Offline 온오
프라인 연결) 서비스 제조 분야의 실제 고객 사례를 통한 다양한
산업별 서비스 적용 방안 등 lsquo안랩 AWS 고객 원격 보안관제 서비
스rsquo의 개념과 강점을 소개했다
안랩 김준호 대리는 ldquo안랩은 lsquoAWS 고객 원격 보안관제 서비스rsquo를
지난 1월 출시한 이후 약 4개월 여 만에 이미 복수의 대형 고객사
를 확보하는 등 검증된 서비스를 제공하고 있다rdquo며 ldquo이는 많은 고객
사에서 단순 탐지를 넘어 위협 분석 및 대응까지 가능한 안랩의 전
문성을 인정한 것으로 볼 수 있다rdquo고 강조했다
현대오토에버
lsquo우수 개발협력사rsquo로 안랩 선정
안랩 lsquoAWS 서밋 서울 2016rsquo에서
클라우드 보안관제 서비스 소개
안랩은 AWS 서밋 서울 2016 행사에서 전용 부스와 발표 세션을 통해 안랩 AWS 고객 원격 보안관제 서비스를 소개했다
발행인 권치중
발행처 주식회사 안랩
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
편집인 안랩 콘텐츠기획팀
디자인 안랩 디자인팀
copy 2016 AhnLab Inc All rights reserved
본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제 복사 검색 시스템
으로 저장 또는 전송될 수 없습니다 안랩 안랩 로고는 안랩의 등록상표입
니다 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상
표일 수 있습니다 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
copy 2016 AhnLab Inc All rights reserved
httpwwwahnlabcom
httpblogahnlabcom
httptwittercomahnlab_man
4
필자는 이번 사건을 보며 몇 가지 생각이 떠올랐다
첫째 완벽한 보안은 역시 없다 우리는 완벽한 보안은 존재하지 않는다고 알고 있지만 그래도 돈을 관리하는 은행이므로 다른 곳보다는 보안
이 완벽할 거라고 믿고 있다 하지만 개인의 인터넷 뱅킹 계좌 해킹이 아니라 다수의 은행 시스템이 해킹되었다는 점에서 다시 한 번 완벽한
보안은 세상에 존재하지 않는다는 깨달음을 얻을 수 있었다
둘째 어떻게 감염되었을까 이체 조작에 악성코드가 이용되었는데 그렇다면 반드시 내부 시스템이 악성코드에 감염되어야만 한다 따라서
어떻게 내부 시스템이 악성코드에 감염되었느냐는 매우 중요하다 지금까지 예상하지 못했던 방법으로 은행 내부 시스템이 감염되었다면 다른
은행도 공격 당할 가능성이 있으니 그 방법에 맞는 새로운 대응 방안을 만들어야겠지만 새로울 게 없는 방법으로 보안이 뚫렸다면 책임 소재
에 대한 비판을 피할 수 없다 하지만 현재까지 어떻게 은행 시스템에 침투했는지 알려진 바는 없다
셋째 공격자는 어디까지 침투해 있을까 방글라데시 은행 해킹 사건을 보면 공격자는 내부 시스템과 이체 절차를 충분히 알고 있었다 따라서
내부자의 도움이 있었거나 공격자가 스스로 알아냈을 수 있다 만약 공격자가 내부자 도움 없이 은행 거래를 지켜보면서 이체 방식을 익혔다
면 오랜 기간 은행 내부 시스템이 악성코드에 감염되었다고 볼 수 있다 이것도 문제지만 은행간 거래와 같이 특수 목적에 사용되는 시스템도
공격자가 조금만 노력하면 충분히 보안 체계를 우회할 수 있다는 점에서 다른 특수 목적 시스템도 안전을 보장할 수 없다
넷째 분석가들도 특수 목적에 사용되는 프로그램이나 절차에 대해 알아야 한다 베트남 은행 해킹에 사용된 악성코드는 2015년 12월 보안 업
체에 전달되었다 하지만 5개월 동안 해당 악성코드는 정상 파일로 분류되어 있었다 만약 방글라데시 중앙은행 해킹과 관련된 악성코드가 알
려지지 않았다면 해당 악성코드는 지금도 정상 파일로 분류되고 있을 가능성이 있다 왜 이런 일이 발생할까 일단 해당 악성코드는 일반적인
악성코드와는 다르게 동작한다 특정 프로그램이 설치된 환경에서만 악성코드가 제대로 실행되기 때문에 특정 프로그램이 설치되어 있지 않은
분석 시스템에서는 별다른 이상을 발견할 수 없다 시스템이 아닌 사람이 분석할 때는 어떨까 우선 분석가는 스위프트에 대해 모를 가능성이
높다 특수 목적으로 사용되는 소프트웨어는 특정 직군의 사람에게는 친숙하겠지만 이외의 사람들은 존재조차 모를 수 있다 스위프트에 대해
안다고 해도 이런 악성코드를 제대로 분석하려면 스위프트 프로그램이 있어야 하고 이체 과정에 대한 지식도 있어야 한다 일반 보안 회사에
서 이런 특수 목적 프로그램을 보유하고 있을 가능성은 낮다 이제 몇몇 분석가들은 스위프트에 대해 알게 되겠지만 다른 특수 목적 사용 시스
템을 노린 악성코드를 분석하면 또다시 정상 파일로 판단할 가능성도 여전히 존재한다 따라서 앞으로 보안 업체는 다양한 산업 분야와 좀 더
긴밀하게 협력해야 하지 않을까 싶다
다섯째 시스템 운영 회사의 신뢰도 하락이다 우선 방글라데시 은행에서 사용하는 보안 프로그램이 궁금했다 해당 보안 회사는 공격을 막지
못했다는 점 때문에 전전긍긍하고 있지 않을까 싶다 보안 프로그램이 모든 공격을 예방할 수 없지만 일반인은 특정 보안 제품이 공격을 막지
못했다고만 기억하게 된다 스위프트 측도 마찬가지인데 악성코드에 일단 감염되면 사람이 컴퓨터로 할 수 있는 대부분의 일을 할 수 있고 기
술적으로도 악성코드가 보안 체계를 우회하기 쉽다 이번 해킹도 악성코드 감염이 은행 과실이라고 해도 서비스를 제공하는 스위프트가 해킹
당했거나 보안에 취약하다고 오해받을 수 있다 실제로 사건 발생 후 금융권의 스위프트 이용 제한 소식도 들려온다
이런 공격을 예방하기 위해서는 악성코드에 감염되지 않기 위해 노력하고 감염되더라도 빨리 이상을 파악해야 하지만 내부 시스템을 모두 관
리하는 건 불가능에 가깝다 따라서 중요 시스템에 대해서만이라도 정기검진처럼 정기적으로 이상 유무를 검사하는 프로세스가 필요하다 단
점검하는 사람도 포렌식이나 악성코드 분석 경험이 충분하고 내부에서 사용하는 프로그램이나 절차에 대해서도 잘 알고 있어야 한다
이 글을 마감하는 5월 말까지 피해를 당한 은행은 4곳이다 하지만 이 글이 공개될 때쯤 어떤 은행이 추가 피해를 입었을지는 아무도 알 수 없
다 영화처럼 천억 원이 넘는 돈이 사라졌지만 범인은 오리무중인 시대에 우리는 살고 있다
참고 자료
Bangladesh bank says hackers stole $100M from its New York Fed accont (httpnypostcom20160307bangladesh-bank-says-hackers-stole-100m-from-its-new-york-fed-account)
8100만달러 해킹∙∙∙물러난 방글라데시 중앙은행 총재 (httpswwwhankookilbocomva22d16d7ee8d49a982857ed8d1952a1f )
The Great Bank Robby Carbanak cybergang steals $1bn from 100financial institutions worldwide (httpwwwkasperskycomaboutnewsvirus2015Carbanak-cybergang-steals-1-bn-USD-from-100-
financial-institutions-worldwide)
TWO BYIES TO $951M (httpbaesystemsaiblogspotcom201604two-bytes-to-951mhtml)
방글라데시 경찰 ldquoSWIFT가 은행 취약하게 해rdquo (httpwwwboannewscommediaviewaspidx=50549ampkind=0)
Statement on recent allegations (httpswwwswiftcominsightspress-releasesswift-statement)
Cyber Heist Attribution (httpbaesystemsaiblogspotkr201605cyber-heist-attributionhtml)
SWIFT Warns Banks Coordinated Malware Attacks Underway (httpwwwbankinfosecuritycomswift-warns-banks-coordinated-malware-attacks-underway-a-9101)
No impact on SWIFT network core messaging services or software (httpswwwswiftcominsightspress-releasesswift-customer-communication_customer-security-issues)
Vietnamrsquos Tien Phong Bank says it was second bank hit by SWIFT cyberattack (httpwwwcnbccom20160515vietnams-tien-phong-bank-says-it-was-second-bank-hit-by-swift-cyber-attackhtml)
제2의 방글라데시 중앙은행 공격 사건 일어났다 (httpwwwboannewscommediaviewaspidx=50602)
Now Itrsquos Three Ecuador Bank Hacked via Swift (httpwwwwsjcomarticleslawsuit-claims-another-global-banking-hack-1463695820)
S P E C I A L R E P O R T Critical Infrastructure Threats
사회기반시설 공격 동향 및 보안에 관한 제언
지난 4월 여수 시내의 한 버스 정류장에 설치된 버스정보안내 시스템에서 약 40여 분간 음란 동영상이 재생되는 사고가 발생했다
최근 미국에서도 텍사스주의 고속도로 전광판이 해킹돼 대선 후보인 트럼프를 조롱하는 문구 등이 밤새 노출되었다 두 사건 모두 별
다른 피해는 없었지만 교통 관련 시설이 해킹되었다는 점은 주목할 필요가 있다 만일 교통 신호등 제어 시스템이나 공항 철도 발전
소의 시스템이었다면 이 글에서는 국내middot외 주요 사회기반시설 공격 동향을 통해 사회기반시설 보안의 시사점을 알아본다
눈 앞에 나타난 사회기반시설 공격의 lsquo실체rsquo
5
사회기반시설은 lsquo기반 시설rsquo lsquo기간 시설rsquo lsquo사회 공공 기반시설rsquo 등으로 불리며 사회 및 경제 활동의 기반을 형성하는 중요 시설을 의미한다 흔
히 lsquo인프라(Infra Infrastructure)rsquo라고도 부르며 최근에는 학교나 병원 공원과 같은 사회 복지 및 생활 환경 관련 시설도 사회기반시설로 분
류하기도 한다
사회 유지에 근간이 되는 이들 시설 또는 시스템이 사이버 공격에 피해를 입을 경우 단순히 재산상의 피해에 그치는 것이 아니라 사회적 혼
란을 야기하거나 시민들의 안전 더 나아가 국가 안보에 심각한 위협이 될 수 있다 실제로 지난 2012년 세계적인 석유 기업인 사우디 아람코
(Saudi Aramco) 해킹 2015년 우크라이나 정전 사태 등은 막대한 재산상의 피해는 물론 사회적 혼란까지 가져왔다
미국 국토안보국(Department of Homeland Security)은 사회기반시설을 16개 주요 분야로 나누고 그중 식료 농업 서비스를 제외한 14개
분야에 대한 주요 보안 리스크를 [표 1]과 같이 분류하고 있다
분야 사이버 보안 위협
화학 bull 화학제품 공정 제어를 위한 네트워크 기반 시스템
통신bull 통신시스템 공격에 따른 글로벌 연결성 저해
bull 통신 인프라 영향
주요 제조 시설 bull 제어 시스템 및 데이터베이스 해킹
댐 bull 댐 제어 시스템 해킹
방위 산업bull 안보 기지 인프라에 대한 DDOS 공격
bull 시스템 오작동 등 국가 안보 기밀 유출
응급 서비스 bull 응급 서비스 통신 시스템 및 네트워크 GPS에 대한 공격
에너지bull 전기 전력 그리드 및 운영 시설 공격
bull 석유 및 천연가스 에너지 관리 시스템 공격
금융 서비스bull 금융 정보 기구의 개인정보 유출
bull 금융 시스템 공격을 통한 대규모 금융 피해
정부 시설bull 자동 보안 제어 시스템 및 데이터베이스 공격
bull 정부 시설 시스템 공격에 따른 기밀 및 개인정보 유출
헬스케어 및 공공의료 bull 진료 시스템 공격으로 의료보험 검진 기록 유출
IT 시설bull IT 시스템 관리 콘텐츠 정보 통신 등 다양한 부분에서의 정보 유출
bull 신분 인증 시스템 공격에 따른 사회 기반 시스템 운영 위협
핵발전 및 처리 시설 bull 핵 시설 제어 시스템 공격
교통 bull 공중 육상 해상 교통 제어 시스템 공격
수자원 및 수처리 시스템 bull 수자원 및 수처리 제어 시스템
[표 1] 미국 국토안보국의 사회기반시설 분류
66
국내middot외 주요 사회기반시설 공격 사례
2000년대 초에도 특정 국가나 사회기반시설을 노린 악성코드가 존재했다 지난 2001년 7월 발견된 코드레드(CodeRed) 웜으로 인해 미국 백
악관 홈페이지에 서비스거부(DoS) 공격이 발생했다 국내에서는 2003년 1월 25일 슬래머(Slammer) 웜에 의한 인터넷 장애가 발생했다 이
를 lsquo125 인터넷 대란rsquo이라 부른다
본격적인 사회기반시설에 대한 사이버 공격은 2000년대 중반 이후에 나타났다 2007년 4월 27일 에스토니아(Estonia) 공화국의 정부 언론
방송 은행의 전산망이 일제히 분산서비스거부(Distribute Denial of Service 이하 DDoS) 공격을 받았다 이 공격으로 대통령궁을 비롯해 의
회 정부기관 은행 이동통신 네트워크 등 에스토니아의 국가 시스템 전체가 약 3주간 마비되는 사태가 발생했다
2008년 6월에는 조지아(Georgia 러시아명 lsquo그루지아rsquo)의 정부 홈페이지 언론사 포털 사이트 등이 대규모 DDoS 공격을 받았다 평균 2시간
15분 최장 6시간 동안 공격이 지속되었으며 사흘간 이어진 공격으로 금융 시스템 장애가 발생하는 등 사회가 마비되었다
2010년부터는 단순한 서비스 장애 유발이 아닌 사회기반시설에 대한 직접적인 공격이 발생한다 가장 대표적인 사례는 2010년 6월 발견된
스턱스넷(Stuxnet)이다 스턱스넷은 지멘스(SIEMENS)사의 산업자동화제어시스템(PCS7)을 타깃으로 하는 악성코드로 2010년 9월 이란의 원
자력 발전소 마비 사태의 주범으로 알려졌다
에너지 분야를 노린 사이버 공격의 또 다른 사례로는 2012년 사우디에서 발생한 사우디 아람코(Saudi Aramco) 해킹이 있다 같은 해 8월 27
일에는 카타르(Qatari) 천연가스 기업인 라스가스(RasGas)도 사이버 공격을 당했다는 사실이 언론을 통해 알려졌다 이후 2015년 우크라이나
에서는 발전소 해킹에 의한 대규모 정전 사태가 발생하기도 했다
우크라이나 정전 사태와 같이 최근에는 교통 및 항공 시설 전력 시설을 노린 사이버 공격으로 인해 일반 시민들이 생활에 불편을 겪거나 심각
한 피해를 입고 있다 최근 국내에서 발생한 사고와 유사한 일이 브라질에서도 발생한 바 있다 브라질의 버스 정류장 안내 시스템이 해킹되어
약 15분간 음란 동영상이 노출된 것이다 항공 시설과 관련해서는 지난 2015년 6월 폴란드 공항이 DDoS 공격을 당해 비행 계획 시스템이 5
시간 동안 마비되었으며 약 1400여 명의 승객이 공항에서 발이 묶인 사건도 있다
[그림 1] 국내외 주요사회기반시설 공격 사례
[그림 2] 해킹된 브라질 버스 안내 시스템(출처 SecurityWeek)
77
이 밖에도 프랑스 방송사 떼베생몽드(TV5Monde) 해킹 및 방송 송출 장애 이스라엘 방송국 해킹 지난 2013년 국내 주요 은행 및 방송국을
노린 3bull20 전산망 마비 최근 발생한 방글라데시 중앙은행 해킹 미국 뉴욕댐 전산망 해킹 미국 내 다수 병원의 랜섬웨어 감염 등 사회기반시
설을 노리는 공격들이 다방면에서 지속적으로 발생하고 있다
사회기반시설 공격에 사용된 악성코드의 실체
앞서 언급한 사례 중 우크라이나 발전소 해킹과 정유 회사 사우디 아람코 해킹 사례를 중심으로 실제 사회기반시설 공격에 사용된 악성코드와
공격 방식에 대해 알아보자
1 우크라이나 발전소 해킹
지난 2015년 12월 23일 우크라이나의 키보브레네르고(Kyivoblenergo) 발전소에 문제가 발생해 이날 오후 3시 35분부터 3시간 동안 약 8만
가구에 전력 공급이 중단됐다 또한 우크라이나 서부 지역의 프리카르파티아오블레네르고(Prykarpattyaoblenergo) 발전소에서도 문제가 발
생해 주변 지역에 대규모 정전 사태가 발생했던 것으로 알려졌다 전화 시스템에도 장애가 발생해 전화 통화도 정상적으로 이루어지지 않았다
정전 직후 언론과 우크라이나 정보부(Security Service of Ukraine)는 사이버 공격의 가능성을 언급했다
우크라이나의 정전이 사이버 공격에 의해 발생했다는 정황이 계속 나타남에 따라 미국 정부도 관련 조사에 착수했다 지난 2016년 1월 미국
국토안보국은 우크라이나 정전 사태의 원인이 사이버 공격으로 드러났다고 발표했으며 3월 18일에는 관련 분석 보고서가 추가로 공개됐다
이 보고서에 따르면 공격자는 이미 6개월 전부터 발전소 내부 시스템에 침입해 관련 정보를 수집하고 악의적인 펌웨어(Firmware)를 개발하
는 등 철저한 준비 후 공격을 수행한 것으로 보인다
이와 관련해 SANS ICS팀과 해외 보안 업체 이셋(Eset)은 우크라이나 정전 사태와 블랙에너지(BlackEnergy) 악성코드가 밀접한 관계가 있다
고 발표했다 한편 우크라이나 정전 사건이 발생하기 한 달 전인 2015년 11월 우크라이나 사이버침해대응센터(CERT Computer Emergency
Response Team)는 우크라이나 선거 기간 동안 언론사를 공격한 블랙에너지 악성코드에 관해 언급한 바 있다 따라서 우크라이나에 대한 블
랙에너지 공격은 정전 사태 이전부터 진행되었음을 예상할 수 있다
블랙에너지는 다양한 변화를 겪어온 악성코드이다 2007년 DDoS 공격에 처음 이용되었으며 2008년 조지아(Georgia) 공격에도 사용되었던
것으로 알려졌다 드라이버 파일로 구성되어 있다는 것이 특징이며 현재에도 꾸준히 변형이 나타나고 있다
우크라이나 발전소를 공격한 것으로 알려져 있는 블랙에너지 악성코드는 악성코드를 떨어뜨리는 드롭퍼와 실제 악성 행위를 수행하는 난독화
된 드라이버 파일로 구성되어 있으며 FONTCACHEDAT 등의 파일이 생성된다
또한 해당 공격에서 공격자는 악성 매크로를 포함한 엑셀 파일을 이용한 것으로 알려졌다 문서를 열어본 사용자가 보안 경고 메시지의 lsquo콘텐
츠 사용rsquo을 선택하면 매크로가 실행된다 매크로가 실행되면 temp 폴더에 vba_macroexe 파일이 생성된다
[그림 3] 우크라이나 발전소 공격에 사용된 엑셀 파일의 매크로 기능
[그림 4] Winpcap 관련 파일로 위장
이렇게 생성된 vba_macroexe가 실행되면 FONTCACHEDAT 파일이 시스템에 생성된다 이 파일은 윈도우 패킷 캡쳐 프로그램인 WinPcap
와 관련된 파일로 위장하고 있다 내부 문자열 또한 Winpcap 관련 파일처럼 가장하고 있다
88
익스포트(export) 함수도 모두 정상 프로그램처럼 되어 있지만 PacketAllocatePacket 코드가 실행되면 암호를 풀면서 실행되며 플러그인 파
일을 다운로드하여 추가적인 기능을 수행한다
2 사우디 아람코(Saudi Aramco) 해킹
지난 2012년 8월 15일 세계 최대 규모의 석유 기업 중 하나인 사우디 아람코(Saudi Aramco)가 사이버 공격으로 약 3만 대의 시스템에 장애
가 발생하는 피해를 입었다 같은 날 자신들을 lsquo정의의 검(Cutting Sword of Justice)rsquo이라고 자칭하는 단체가 아람코 해킹이 자신들의 소행이
라고 주장했다
사우디 아람코 해킹에 사용된 악성코드는 lsquo샤문(Shamoon)rsquo 또는 lsquo디스트트랙(Disttrack)rsquo 등으로 불리며 사전에 내부 시스템을 파악하고 데이
터를 삭제하기 위해 제작된 악성코드이다 공격자가 어떻게 내부 시스템에 침입했는지는 아직 알려지지 않았다
샤문 악성코드의 구조는 [그림 6]과 같다 드롭퍼(Dropper)는 하드디스크 파괴 악성코드를 시스템에 떨어뜨리는 역할을 하며 데이터 삭제 기
능과 보고 기능만 가지고 있다 파일 속성 정보를 살펴보면 lsquoDistributed Link Tracking Serverrsquo라는 설명과 함께 마이크로소프트에서 제작한
파일로 가장하고 있다
[그림 5] 아람코 해킹에 관한 lsquo정의의 검(Cutting Sword of Justice)rsquo의 주장
[그림 6] 샤문(Shamoon) 악성코드 구조
[그림 7] 샤문 악성코드의 드롭퍼 등록 정보
99
데이터 파괴 파일은 lsquoCShamoonArabianGulfwiperreleasewuperpdbrsquo와 같은 PDB 정보를 가지고 있다 lsquoArabianGulfrsquo와 같은 문자열을
통해 명확한 공격 대상을 가진 악성코드임을 짐작할 수 있다
데이터 삭제 파일이 실행되면 드라이버 파일(drdisksys)을 생성하고 파일 목록을 얻는다 이후 시스템에 존재하는 파일을 JPEG 이미지로 덮어
쓴다 끝으로 하드디스크 MBR을 덮어써 시스템을 사용할 수 없게 하고 lsquoshutdown -r -f -t 2rsquo로 종료시킨다 한편 이 악성코드는 피해 시스템
수 등을 보고하는 기능도 갖고 있다
사회기반시설 보안에 관한 제언
지난해 말 안랩을 비롯한 국내외 보안 업체들은 2016년에 발생할 수 있는 보안 위협 중 하나로 사이버테러 및 국가기반시설 보안 위협을 꼽
은 바 있다 그리고 2016년 초부터 방글라데시 중앙은행의 해킹 국내 버스정류장 안내 시스템 해킹 등이 발생했다
사회기반시설은 사회의 근간을 이루는 중요한 시설인 만큼 강력한 보안이 동반되어야 한다는 것은 두말할 필요도 없다 그러나 실제로는 보안
인력이 부족한 경우나 내부 보안 인력의 전문성이 부족한 경우가 있다 또는 시설의 시스템 자체가 적절한 보안이 고려되지 않은 채 설계되었
거나 보안에 취약한 구형 시스템으로 운영되는 경우도 있다
외부 공격으로부터 사회기반시설을 안전하게 보호하기 위해서는 우선 구성원들이 준수할 수 있는 현실성 있는 보안 정책을 수립해야 한다 이
와 함께 적절한 보안 시스템을 구축해 내부로 유입되는 위협을 모니터링 및 차단하고 내부에서 확산되는 위협을 분석 및 대응할 수 있어야 한
다 일반적으로 악성코드의 내부 시스템 침입부터 시스템 파괴 등 악의적인 결과를 가져오기까지는 어느 정도의 시간이 소요된다 수많은 내부
시스템을 파악하고 하나씩 장악해야 하기 때문에 보통 6개월 정도가 걸린다 따라서 공격에 의한 피해가 발생하는 것을 방지하기 위해서는 주
요 시스템에 대한 정기 점검을 통해 이상 징후를 빨리 파악할 수 있어야 한다 이를 위해 전문성을 가진 인력의 양성과 활용이 필요하다 또한
협력 업체에 대한 강력한 보안 방안을 마련해야 한다 공격자들은 침입이 까다로운 사회기반시설을 직접적으로 공격하는 대신 협력 업체를 해
킹하는 등의 우회 공격을 시도할 수 있기 때문이다
한편 사회기반시설 공격 동향에 관한 보다 상세한 내용은 안랩 시큐리티 대응센터 분석팀에서 발표한 lsquo사회기반시설 공격 동향 분석 보고서rsquo
에서 확인할 수 있다
lsquo사회기반시설 공격 동향 분석 보고서rsquo 전문 보기
[그림 8] PDB 정보 내의 특징적인 문자열
참고 자료
- Data breach digest (httpwwwverizoneenterprisecomresourcesreportsrp_data-breach-digest_xg_enpdf )
- Analysis of the Cyber Attack on the Ukrainian Power Grid (httpsicssansorgmediaE-ISAC_SANS_Ukraine_DUC_5pdf )
- 도시철도 안전 및 유지관리 실태 감사결과 (httpgovseoulgokrarchives86261)
- 감사원 국가 사이버안전 관리 실태 (httpwwwbaigokrbaiindexdo)
- 강은성 lsquo망분리는 만병통치약인가rsquo (wwwciokoreacomnews25437)
- 미국 국토안보국 Sector Risk Snapshotsrsquo(httpswwwhsdlorgviewampdid=754033)
- httpwwwsecurityweekcomhackers-broadcast-porn-tv-screens-brazil-bus-depot
- httpafricanspotlightcom20150808hackers-broadcast-porn-on-tv-screens-at-brazil-bus-station-photos
- httpsmonthlychosuncomclientnewsviwaspnNewsNumb=200908100021
- httpsenwikipediaorgwikiCyberattacks_during_the_Russo-Georgian_War
- httpwwweconomistcomnode17147818
- httpmoneycnncom20150805technologyaramco-hack
- httprutsnuaukrayinaiz-za-hakerskoy-ataki-obestochilo-polovinu-ivano-frankovskoy-oblasti-550406html
- SANS httpsicssansorgblog20160101potential-sample-of-malware-from-the-ukrainian-cyber-attack-uncovered
- Ukraine CERT httpcertgovuap=2370
- httpwwwmtagokrpolicyitsmanagement_signjsp
- httpwwwittodaycokrnewsarticleViewhtmlidxno=42719
- httpssecurelistcomblogincidents57854shamoon-the-wiper-copycats-at-work
10
안랩 산업군별 ISF Square 2016 진행
고객의 고민을 듣다 대응 전략을 나누다
S P O T L I G H T AhnLab ISF Square 2016
안랩은 ISF 스퀘어 2016을 통해 각 산업 분야가 직면하고 있는 주요 보안 이슈와 위협 동향 정보를 공유하고 산업별 비즈니스에 최적화된 대
응 방안을 소개하고 있다 지난 4월 27일부터 5월까지 다섯 차례에 걸쳐 진행된 이번 행사에 각 산업 분야의 CISO 및 보안책임자 100여 명이
참석했다
권치중 안랩 대표이사는 환영사를 통해 ldquo신종 공격 기법이 끊임없이 나타나고 있어 고객사 자체가 또는 보안 벤더만으로 최신 보안 위협에 대
응하는 것은 사실상 불가능하다rdquo며 ldquoISF 스퀘어를 통해 고객을 직접 만나 실제 현장에서 느끼고 계신 고민과 어려움을 나누고 산업별로 특화
된 정보를 공유함으로써 실질적이고 최적화된 해법을 찾을 수 있으리라 기대한다rdquo고 말했다
안랩이 최근 한 달 여에 걸쳐 산업군별 정보보호최고책임자(CISO) 및 보안책임자를 대상으로 lsquo안랩 ISF Square 2016(이하 ISF 스퀘어
2016)rsquo을 개최하고 있다 ISF 스퀘어는 안랩이 지난 2009년부터 진행해오던 자사의 융합 보안 컨퍼런스 lsquo안랩 ISFrsquo를 산업별로 세분화
하여 개편한 보안 전략 세미나다 다양한 산업군별 고객사의 특성에 맞춰 lsquo맞춤형 보안 전략 및 솔루션rsquo을 제공하기 위한 목적이다
이번 ISF 스퀘어 2016은 지난 4월 27일 은행 및 카드사를 시작으로 28일에는 보험사 5월 11일과 18일 25일에는 각각 증권사와
건설사 유통사를 대상으로 진행됐다 6월 8일에는 공공 및 교육 기관의 보안책임자를 대상으로 진행할 예정이다
ISF 스퀘어 2016에 산업군별 CISO 100여 명이 참석한 가운데 권치중 안랩 대표이사는 ldquo고객의 목소리에 귀를 기울이고 고민을 나누는 것이 ISF 스퀘어의 목적rdquo이라고 전했다
11
한창규 실장과 김경희 실장(왼쪽부터)은 CISO들이 가장 궁금해하는 랜섬웨어를 비롯한 최신 공격 동향을 공유했다
안병무 차장과 백민경 차장(왼쪽부터)은 기업이 직면하고 있는 보안 위협을 살펴보고 이에 따른 안랩의 솔루션을 제시했다
이와 관련해 한창규 안랩 시큐리티대응센터(ASEC) 실장이 ldquo랜섬웨어로 대표되는 최신 위협 동향rdquo이라는 주제 발표를 통해 CISO의 궁금증에
답했다 한창규 실장은 실제 사례를 통해 신bull변종 랜섬웨어의 감염 경로 동작 원리 등을 설명했다 이어 ldquo랜섬웨어는 더 이상 일시적인 유행이
나 단발성 이슈가 아니다rdquo라며 ldquo기업에서도 이제 랜섬웨어에 대한 대응책을 마련해야 할 때rdquo라고 강조했다
이어 김경희 안랩 플랫폼개발실 실장은 랜섬웨어의 서비스화(RaaS Ransomware-as-a-Service)를 비롯해 모바일 랜섬웨어 맥(Mac) OS X를
노리는 랜섬웨어 등 진화하는 랜섬웨어의 흐름을 설명했다 김경희 실장의 설명에 따르면 랜섬웨어는 비대칭 키를 사용하기 때문에 실제 공격
자를 잡아 서버를 수거하지 않는 한 암호를 풀 수 없다 일단 감염되면 피해를 피할 수 없다는 것 특히 현재 일부 업체가 제공하는 lsquo랜섬웨어
복구 서비스rsquo의 대부분은 지불 대행 서비스로 공격자에게 비트코인을 대신 납부해주고 키를 받아 파일을 복구하는 방식에 불과하다 이와 관
련해 김경희 안랩 플랫폼개발실 실장은 ldquo돈을 주고 복구할수록 몸값이 올라갈 뿐만 아니라 돈을 많이 주는 기업을 노리게 된다rdquo고 지적했다
문제는 일반적인 보안 솔루션만으로는 랜섬웨어 대응이 쉽지 않다는 것 이와 관련해 안병무 안랩 제품기획팀 차장은 지능형 위협 대응 솔루
션인 안랩 MDS를 제안했다 안병무 차장은 ldquo최초 감염(First Victim) 방어 포기할 것인가rdquo라는 주제 발표를 통해 랜섬웨어에 대한 최선의 대
응책은 lsquo예방rsquo과 lsquo선제적 방어rsquo라고 전제했다 이어 ldquo랜섬웨어를 비롯해 고도화된 최신 공격 대응에서 놓치지 말아야 할 부분은 첫 번째 희생자
(First Victim)가 발생할 가능성을 최소화하는 것rdquo이라고 강조하고 ldquo안랩 MDS의 lsquo실행보류(Execution Holding) 기능을 이용해 랜섬웨어가 동
작하는 것 자체를 방지할 수 있다rdquo고 설명했다
랜섬웨어는 공통분모hellip산업별 보안 위협은
랜섬웨어는 개인과 기업 산업 분야를 막론하고 공통된 보안 위협이라는 데는 이견이 없다 그러나 기업의 비즈니스에 따라 최우선 보안 과제
는 각기 다르다
기업으로 눈 돌리는 랜섬웨어 그 실체는
산업 분야를 막론하고 현재 가장 심각한 보안 이슈는 역시 랜섬웨어였다 특히 최근 미국의 주요 병원들의 랜섬웨어 감염 사례를 시작으로 랜
섬웨어의 표적이 개인 중심의 불특정 다수에서 막대한 자금을 보유하고 있는 기업군으로 옮겨갈 것이라는 예측도 있어 기업 보안책임자들의
고민이 깊은 실정이다
12
김창희 팀장과 한태수 실장(왼쪽부터)은 각각 유통 분야와 건설 분야의 보안 위협 요인과 대응 방안에 대해 공유했다
정청환 실장은 안랩의 제품 개발부터 관리까지 전 과정에 대한 안랩의 독자적인 보안 체계를 소개해 참석자들의 이목을 집중시켰다
유통 분야를 위한 ISF 스퀘어 2016에서는 최근 또다시 화두가 되고 있는 POS 시스템 보안 위협에 대한 상세한 정보가 공유됐다 김창희 안랩
제품기획팀 팀장은 ldquoPOS 및 단말 보안을 위한 효과적인 대응 방안rdquo이라는 주제 발표를 통해 수많은 고객의 신용카드 정보 등 민감한 정보를
다루는 POS 단말기가 해킹되면 실생활에 직결되는 사회적 경제적으로 치명적인 위험이 될 것이라고 단언했다 그러나 POS 시스템 등 산업
용 단말에는 일반적인 보안 정책이나 솔루션을 적용하는 것은 현실적이지 않다rdquo고 지적하고 ldquo안정적인 비즈니스 운영을 위해 안랩 EPS와 같은
전용 보안 솔루션을 도입하는 것이 바람직하다고 조언했다
한태수 안랩 매니지먼트개발 실장의 ldquo사물인터넷(IoT) 보안 위협과 대응 방안rdquo에 대한 발표는 특히 건설 분야 CISO의 눈과 귀를 사로잡았다
한태수 실장은 ldquo사물인터넷은 스마트가전 스마트헬스 특히 스마트홈 등 통신과 건설 분야에서 더욱 중요한 요소로 부각되고 있다rdquo며 ldquo이제
관련 산업 분야에서는 서비스 준비 단계에서부터 IoT 관련 개방형 표준에 근거한 정보보호 프라이버시 보호에 대해 필수적으로 고민해야만
한다rdquo고 강조했다 또한 ldquo설계도면이나 기술 정보 등 중요 정보가 많은 건설사의 특성상 지능형 보안 위협에 노출되면 피해가 커질 수 있다rdquo고
지적한 뒤 ldquo안랩은 이미 스마트홈 등과 관련해 실제 발생할 수 있는 다양한 공격 시나리오를 연구해왔으며 이에 대한 전방위적인 대응 방안을
마련하고 있다rdquo고 말했다
안랩은 금융 분야부터 유통 건설 그리고 공공 분야까지 각 산업 분야의 주요 보안 위협과 관련해 최적의 보안 솔루션을 제공하고 있다 안랩
의 다양한 솔루션의 근간에는 원천 기술을 보유한 RampD 센터와 인프라가 있다 이와 관련해 정청환 안랩 엔드포인트개발 실장은 그동안 많은
고객들이 궁금해했던 안랩의 보안 제품 개발과 개발 인프라 보안 관리 체계를 소개했다 정청환 실장은 특히 보안 업체 자체를 노리는 공격이
종종 등장하는 것과 관련해 안랩의 대비책은 물론 제품 개발부터 관리까지 무결성을 보장하기 위한 안랩의 자체적인 보안 체계를 상세하게
설명해 참석자들의 큰 호응을 얻었다
백민경 안랩 제품기획팀 차장은 은행 증권사 카드사 등 금융기관이 직면한 위기로 lsquo이용자 PC를 노리는 전자금융사기rsquo를 꼽았다 백민경 차장
은 실제 금융기관 보안 침해 사례를 통해 파밍 다이어 악성코드 공유기 공격 메모리 해킹 등 전자금융사기 기법을 설명하고 모바일과 온라
인으로 금융 서비스를 이용하는 비율이 증가하는 자율 금융 시대를 맞아 명확한 위험요소를 파악하고 그에 따른 적절한 솔루션 도입 등 이용
자 보호와 금융 시스템 보안을 위한 철저한 철학을 갖추는 것이 필요하다고 강조했다
13
세션 발표 후 진행된 라운드 테이블 프로그램을 통해 안랩의 권치중 대표 강석균 전무 배민 상무 방인구 상무가 고객사 CISO와 자유롭고 다양한 논의를 이어나갔다
안랩은 오는 6월 8일 서울 양재동 엘타워에서 공공 및 교육기관의 보안책임자를 대상으로 ISF 스퀘어 2016을 이어나갈 예정이다 또한 안랩은
서울에서 진행되는 행사에 참석하기 어려운 각 지역의 고객사를 위해 lsquo파트너와 함께 찾아가는 고객 세미나rsquo도 동시에 진행하고 있다 지난 5
월 24일 전주 지역에 이어 오는 6월 16일에는 대구 21일에는 대전에서 고객사의 보안책임자를 초청해 최신 보안 위협 동향과 대응 방안을 공
유할 예정이다
고객의 생생한 목소리를 듣다
여타 보안 세미나와 안랩 ISF 스퀘어의 가장 큰 차별점은 제품 기획자부터 제품 개발 책임자 그리고 대표이사에 이르기까지 한 자리에서 고객
과 직접 소통한다는 점이다 이번 ISF 스퀘어 2016에서도 안랩 EP사업부문 총괄인 강석균 전무 EP영업본부 총괄 배민 상무 서비스사업부 총
괄 방인구 상무 등이 총출동해 고객의 고민을 듣고 의견을 나눴다
14
CryptXXX RansomwareT H R E A T A N A L Y S I S
최근 lsquo크립트엑스엑스엑스 랜섬웨어rsquo가 대량 유포되면서 피해 사례가 늘어나고 있다 크립트엑스엑스엑스의 특징은 기존 랜섬웨어와
달리 실행 파일(EXE) 형태가 아닌 동적 링크 라이브러리(DLL) 형태로 유포되고 있다는 점이다 DLL 형태로의 유포는 정상적인 프로
세스와 함께 동작하는 구조여서 감염 사실을 알아차리기조차 어렵다
월간 lsquo안rsquo에서는 1부와 2부에 걸쳐 크립트엑스엑스엑스의 동작 방식과 주요 기능 암호화 방식 복구 툴 등 자세한 내용을 소개한다
lt연재 목차gt
1부_ DLL 이용한 CryptXXX 랜섬웨어 분석 완료
2부_ CryptXXX 암호화 비밀과 복구 툴 공개
DLL 이용한 CryptXXX 랜섬웨어 분석 완료
CryptXXX 랜섬웨어 분석 보고서_1부
크립트엑스엑스엑스 랜섬웨어(진단명 TrojanWin32CryptXXX
이하 크립트엑스엑스엑스)는 컴퓨터에 있는 파일을 암호화한 뒤
lsquocryptrsquo 확장자로 변경하여 사용자에게 비트코인을 요구하는 랜섬웨
어다 [그림 1]은 크립트엑스엑스엑스의 동작 방식이다
크립트엑스엑스엑스의 경우 다른 랜섬웨어와의 차이점은 DLL(동
적 링크 라이브러리 Dynamic Linking Library)로 동작한다는 점이
다 크립트엑스엑스엑스는 정상 rundll32exe를 악성 DLL이 있는 경
로에 svchostexe로 이름을 바꾸어 복사한 뒤 악성 DLL의 내보내기
(Export) 함수를 인자값으로 호출하여 동작한다
이 악성코드는 피해자의 컴퓨터를 감염시킬 때 lsquoRecovery_사용자
IDtxtrsquo lsquoRecovery_사용자IDhtmlrsquo lsquoRecovery_사용자IDbmprsquo 형
식의 파일을 생성하며 내용은 [그림 3] [그림 4]와 같다
[그림 1] 크립트엑스엑스엑스 동작 방식
[그림 3] 크립트엑스엑스엑스 결제 안내 페이지
[그림 2] svchostexe(정상 rundll32exe)로 로드되어 동작하는 악성 DLL
15
CampC 통신
크립트엑스엑스엑스는 파일을 암호화하기 전 CampC에 악성코드가 생
성한 사용자 ID를 전송한다
암호화된 환경
크립트엑스엑스엑스는 암호화가 완료된 파일의 수정한 날짜와 시간
정보를 백업된 원본의 수정한 날짜로 변경한다
[그림 4] 크립트엑스엑스엑스 결제 안내 텍스트
[표 1] 자동 실행 등록을 위한 바로가기 링크 파일 생성
[표 3] 암호화 대상 확장자
[표 4] 암호화 제외 대상 경로
[표 2] 암호화 대상 드라이브
[그림 5] 자동 실행 등록 정보
[그림 6] CampC 통신 패킷 정보
크립트엑스엑스엑스 주요 기능
자동 실행 등록
크립트엑스엑스엑스는 [표 1]과 같이 시작프로그램에 바로가기 링크
파일을 생성한다 [그림 5]에서 알 수 있듯이 해당 링크 파일에 의해
실행되는 파일은 크립트엑스엑스엑스이며 lsquoMS114rsquo라는 이름의 함수
를 호출하는 기능을 한다
자동 실행 등록
파일
CDocuments and Settings프로그램시작프로그램[사용자ID]lnk
암호화 대상 드라이브
고정식 드라이브 이동식 드라이브 네트워크 드라이브
악성 DLL 내부에 암호화된 CampC는 2개이며 첫 번째 IP에 접속이 되
지 않았을 경우 두 번째 IP로 연결된다
- 1447821443
- 9311876443
CampC 접속 여부와 관계없이 패킷을 전송한 후에는 파일 암호화가 진
행된다
파일 암호화 대상
분석된 크립트엑스엑스엑스로부터 확인된 암호화 대상은 [표 2]와 같다
Z 부터 A 까지 마운트된 모든 드라이브 중 다음의 암호화 대상 드
라이브만 감염이 진행된다
암호화 대상 확장자
3DM 3DS AES APK APP ARC ASC ASM ASP ASPX BRD BZ2 C
CER CFG CFM CGI CGM CMD CPP CRT CSR CSS CSV CUE DB
DBF DCH DCU DIF DIP DJV DJVU DOC DOCB DOCM DOCX DOT DOTM
DOTX DTD DWG DXF EML EPS FDB FLA FRM GBK GBR GED GPG
GPX H HTM HTML HWP IBD INDD JAR JAVA JKS JSP KEY KML
KMZ LAY LAY6 LDF LUA M MAX MDB MDF MFD MML H MS11
MSI MYD MYI NEF NOTE OBJ ODB ODG ODP ODS ODT OTG OTP
OTS OTT P12 PAQ PAS PCT PDB PDF PEM PHP PIF POT POTM
POTX PPAM PPS PPSM PPSX PPT PPTM PPTX PRF PRIV PSD RAR RAW
RSS RTF SCH SDF SITX SLDX SLK SLN SQL STC STD STI STW
SVG SWF SXC SXD SXI SXM SXW TAR TBK TEX TGZ TLB TXT
UOP UOT VB VBS VCF VDI VMDK VMX WKS WPD WPS WSF XLC
XLM XLR XLS XLSB XLSM XLSX XLT XLTM XLTX XLW XML ZIP ZIPX
ACCDB CLASS GADGET IBOOKS PAGES PLUGIN PRIVATE
QCOW2 SQLITE3 SQLITEDB VCXPROJ XCODEPROJ XHTML
암호화 대상 확장자
폴더
WINDOWS BOOT EFI CONFIGMSI
WINNT RECOVERY PROGRA^1 GOOGLE
RECYCLER$RECYCLE
BINPROGRA^2 TEMP
SYSTEM^1 PERFLOGS
16
[그림 7] 암호화 된 파일의 파일의 시간 정보 변경 코드
[그림 8] 암호화된 파일의 시간 정보 변경 전(왼쪽) 및 변경 후(오른쪽)
[그림 13] 암호화 완료 후 화면
[그림 12] 결제 안내 파일의 시간 정보 변경 전(좌) 및 변경 후(우)
[그림 9] 암호화 후 확장자 변경
[그림 11] 결제 안내 파일의 시간 정보 변경 코드
[그림 10] 암호화된 파일과 생성된 결제 안내 파일(BMP HTML TXT)
[그림 7]에서 붉은색 박스로 표현한 부분의 데이터(A4 80 BC 4B 36
B0 D1 01)는 SetFileTime API를 사용하여 백업된 원본의 수정한 날
짜로 변경된다
생성한 결제 안내 파일의 시간 정보를 [그림 12]와 같이 변경한다 암
호화가 완료되면 [그림 13]과 같은 화면을 띄우고 스크린이 잠기게
하여 사용자가 어떠한 동작도 할 수 없게 한다
이때 시간 정보가 변경된 파일은 MoveFileW API를 사용하여 [원본
파일명]crypt로 확장자가 변경된다
크립트엑스엑스엑스는 일반적으로 웹사이트 다운로드 등으로 유포되
는 경우가 많다 따라서 사용자는 출처를 알 수 없는 메일에 첨부된 파
일의 실행이나 불필요한 사이트 접근을 삼가는 등의 주의가 필요하다
해당 악성코드 감염을 막기 위해서는 항상 윈도우 보안 패치 및 V3
백신 프로그램을 최신 업데이트 상태로 유지하는 것이 필요하다
안랩은 원본 파일을 복구하는 툴을 랜섬웨어 보안센터를 통해 무료로
제공하고 있다
안랩 랜섬웨어 보안센터 바로가기
그리고 암호화된 파일이 있는 경로마다 결제 안내 파일들을 생성한다
앞서 언급했듯이 SetFileTime API를 이용하여 [그림 11]에 있는 붉은
색 박스에 있는 데이터(00 00 00 00 71 37 00 00)는 1601년 3월 12
일 월요일 10시 17분 27초로 변경된다
17
CryptXXX RansomwareT H R E A T A N A L Y S I S
크립트엑스엑스엑스(CryptXXX) 랜섬웨어는 정상 파일을 암호화한 후 lsquocryptrsquo 확장자로 변경하여 사용자에게 비트코인을 요구하는
랜섬웨어다 이 랜섬웨어는 현재까지 버전 1x 2x 3x 세 가지 형태가 알려져 있다 안랩은 현재 크립트엑스엑스엑스 2x 버전에 의
해 암호화된 파일에 대한 복구 툴을 제공하고 있다 특히 국내 사용자들이 많이 사용하고 있으나 기존 복구 툴이 지원하지 않는 한글
파일(HWP)의 복구도 가능하다는 점이 주목할만하다
월간 lsquo안rsquo에서는 1부와 2부에 걸쳐 크립트엑스엑스엑스의 동작 방식과 주요 기능 암호화 방식 복구 툴 등 자세한 내용을 소개한다
lt연재 목차gt
1부_ DLL 이용한 CryptXXX 랜섬웨어 분석 완료
2부_ CryptXXX 암호화 비밀과 복구 툴 공개
CryptXXX 암호화 비밀과 복구 툴 공개
CryptXXX 랜섬웨어 분석 보고서_2부
1 암호화 방식
[그림 1]은 크립트엑스엑스엑스에 의해 암호화된 lsquoPhotojpgrsquo 파일을
나타낸다 암호화는 고정 크기(0x1FFF)의 블록 단위로 순차적으로 이
뤄지며 암호화 최대 크기는 0xD012FE(대략 13M)로 이후의 데이터
는 원본과 동일하다
암호화된 파일은 원본 파일과 비교하여 260(=0x104)바이트가 증가
한 형태이며 이는 파일 끝부분에 삽입된 키 테이블(Key Table) 정보
로 인한 것이다([그림 1]에서 붉은색 블록 참고) 이 키 테이블 정보
는 블록 단위의 암호를 복호화하는 데 핵심이 되는 데이터로 공개키
를 통해 암호화되어 저장된다 즉 구조적으로는 해당 공개키에 매칭
되는 개인키 정보 없이는 해당 키 테이블 정보를 복호화할 수 없고
파일 복구가 불가능하다 하지만 해당 키 테이블 정보는 개인키 없이
도 원본 파일 시작 부분의 일부 데이터(예를 들면 파일 포맷별 Magic
정보)를 통해 파일의 형태를 확인할 수 있으며 그것을 토대로 유추할
수 있는 키 값으로 복구가 가능하다
2 Key Table 생성 방식과 취약성
[그림 2]는 파일 끝에 삽입된 0x104바이트 크기의 키 테이블이 생성
되는 과정을 나타낸다 이 그림에서 노란색 부분이 공개키로 암호화
된 KeyTable_A[0x40]이며 CryptEncrypt() API를 통해 공개키로 암
호화 시 원본 0x40바이트 크기의 데이터가 최종 0x80바이트 크기로
증가된다
[그림 1] 크립트엑스엑스엑스 암호화 방식
[그림 2] 키 테이블 생성 과정
18
[그림 2]에서 언급된 암호화에 사용되는 핵심 정보 3가지는 lsquo4바이
트 SEED 값rsquo lsquoKeyTable_A[0x40]rsquo lsquoKeyTable_B[0x100]rsquo이며 최초
4바이트 크기의 SEED 값으로부터 이후 정보들이 순차적으로 만들
어지는 구조를 갖는다 키 생성 과정의 최상위에 위치하는 SEED 값
은 감염 시점의 시스템 시간(SystemTime) 정보 중에서 시(wHour)
분(wMinute) 초(Second) 밀리초(Millisecond)를 이용하여 얻어지
며 이 SEED 값으로부터 0x40바이트 크기의 KeyTable_A[0x40] 데
이터가 생성된다 바로 이 부분에서 제작자가 의도하지 않은 취약성
이 존재하며 SEED 값이 동일하면 매번 동일한 KeyTable_A[0x40]
가 생성되는 구조를 갖는다 최종 블록 단위의 암호화에 사용되는
KeyTable_B[0x100]의 데이터와 원본 파일로부터 읽은 블록과의
XOR(배타적 논리합)을 통해 암호화가 수행된다
즉 SEED 값이 동일하면 매번 생성되는 최종 키 테이블 정보가 동일
한 점과 암호화 방식이 XOR이라는 2가지 포인트를 바탕으로 복구 대
상 파일의 Magic 정보가 존재한다면 역으로 키를 유추할 수 있는 구
조다 [그림 3]은 SEED 값이 0x02978CAC일 때 생성되는 키 테이블
A B의 예를 나타낸다
3 키 테이블 생성 함수
크립트엑스엑스엑스 랜섬웨어에서 파일 암호화 시 사용되는 핵심 정
보 3가지의 생성 함수는 다음과 같다
(1) SEED 값 생성
[그림 4]는 SystemTime 정보를 통해 4바이트 크기의 SEED 값을 생
성하는 함수를 나타낸다
KeyTable_A[0x40] 데이터가 생성되는 방식은 다음의 2가지 기본 테
이블 중 델파이 랜덤(Delphi Random) 함수를 통해 얻은 랜덤값을
바탕으로 하나의 값이 선택되어 구성되는 구조를 갖는다
(1) QWERTYUIOPASDFGHJKLZXCVBNMltgt$^amp()_+~|
(2) qwertyuiop[]asdfghjklzxcvbnm`1234567890-=
크립트엑스엑스엑스는 총 2번의 델파이 랜덤 함수를 사용하여 아래
의 Index(A)와 Index(B)를 얻게 된다 이때 Index(A)는 위 기본 테이
블 중 하나를 선택하기 위한 목적으로 Index(B)는 선택된 테이블의
데이터 중 하나를 선택하기 위한 목적으로 사용된다
Index(A) DelphiRandom(3) - 0 ~ 2 범위의 랜덤 값 생성(0 2인 경우 -gt
(1)번 1인 경우 -gt (2))
Index(B) DelphiRandom(44) - 0 ~ 43 범위의 랜덤 값 생성
예를 들어 Index(A) == 0이고 Index(B) == 3이면 lsquoRrsquo 문자열이 선택
된다
(2) 키 테이블(A) 생성
[그림 5]는 SEED 값을 바탕으로 0x40바이트 크기의 키 테이블을 생
성하는 함수이며 do-while 문을 통해 생성되는 0x40바이트 크기의
데이터가 SEED 값이 동일하면 동일한 형태로 생성되는 취약성이 존
재하는 부분이다
(3) 키 테이블(B) 생성
[그림 6]은 키 테이블(A)로부터 0x100바이트 크기의 최종 키 테이블
(B)가 생성되는 함수를 나타낸다 이 키 테이블 정보는 1바이트 단위
의 블록 단위의 암호화 시 XOR 키 값으로 사용된다
[그림 3] 키 테이블 A B 예제
[그림 4] SEED 값 생성 함수
[그림 5] 키 테이블(A) 생성 함수
19
[그림 6] 키 테이블(B) 생성 함수
[그림 7] 크립트엑스엑스엑스 복구 과정
4 복구 방식
시 분 초 밀리초 정보를 통해 계산되는 SEED 값의 범위는 다음과
같다
- 최소값 0000000000 -gt 0 최대값 235959999 -gt 0x5265bff
사용자마다 그리고 암호화된 파일마다 서로 다른 SEED 값을 유추하
기 위해 0 ~ 0x5265bff 범위의 SEED를 순차적으로 선택하며 이를
바탕으로 암호화에 사용된 키 테이블을 생성하거나 복호화를 시도
한다 첫 번째 블록에 대한 복호화를 통해 파일의 고유한 식별 정보
(Magic)가 확인되면 유효한 SEED 값으로 판단하고 전체 파일에 대
한 블록 단위의 복구를 시도한다 우선 첫 번째 파일이 복구에 성공하
면 두 번째 파일부터는 SEED의 범위를 제한하여 좀 더 빠른 복구가
가능하도록 했다 이러한 설정은 복구 대상 파일들이 동일 시간대에
감염된 형태가 대부분일 것으로 가정하여 이루어진 것으로 복구 대
상 파일들이 서로 다른 시스템에서 다른 시간대에 수집된 형태의 경
우 복구 시간이 더 오래 걸리는 특징을 갖는다
5 복구 대상 리스트
복구 툴을 통해 복구 가능한 크립트엑스엑스엑스 버전은 2x로 제한
적이며 우선 다음의 확장자들에 대한 복구가 가능하도록 제작되었
다 특히 국내 사용자들이 많이 사용하고 있으나 기존 복구 툴이 지
원하지 않는 한글 파일(HWP)의 복구가 가능하다 이 외에도 원본 파
일의 고유한 식별 정보만 알 수 있다면 복구가 가능한 구조이기 때문
에 추후 복구 대상으로 추가될 수 있다
CHM AI HWP PDB PDF RTF HTM HTML PHP XML DWG PS
WSF KEY CSR CRT WAV MP3 OGG WMA WMV AVI ASF MP4
MOV MID MPG FLV PNG GIF BMP TIF JPG JPEG ZIP RAR BZ2
7Z GZ JAR APK TGZ ODS DOC DOT PPT POT PPS XLS XLT
DOCX DOCM DOTX DOTM PPTX PPTM POTM POTX PPSM
XLSX XLSB XLSM XLTM XLTX EPS ISO SQLITE3 MDB MSI APP
FDB ACCDB SLN CLASS VCXPROJ
6 복구 툴 경로
안랩은 크립트엑스엑스엑스 랜섬웨어 2x 버전에 대한 복구 툴을 랜
섬웨어 보안센터를 통해 무료로 제공하고 있다
안랩 랜섬웨어 보안센터 바로가기
[그림 7]은 크립트엑스엑스엑스 복구 툴에서 파일 복구를 위해 이루
어지는 과정을 나타낸 것이다 구조상 첫 번째 파일을 복구하는 데 오
랜 시간이 소요되며 이후 파일부터는 빠르게 복구가 가능하다
20
F O C U S I N - D E P T H Compliance
20
1 개인정보보호법
1) 정보주체 이외로부터 수집한 개인정보의 수집 출처 고지 의무화
ldquo따르릉~ 여보세요 홍길동 고객님이시죠 여기는 보험사인데
요~ 알지도 못하는 보험사로부터 이런 전화를 받아 본 경험이 혹시
있었는지 모르겠다 어디서 내 전화번호를 입수한 것인지 물어보면 정
확히 대답하지 않거나 얼버무리는 경우도 많다 개정안이 시행되는 9
월 30일부터 이런 식의 연락은 더 이상 받지 않게 될 것 같다 일정 규
모 이상이 되는 기업(5만 명 이상의 민감 정보 또는 고유식별정보 처
리 100만 명 이상의 개인정보처리)이 정보주체로부터 직접 수집하지
않고 개인정보를 처리할 때는 반드시 ①정보수집출처 ②개인정보처리
목적 ③개인정보 처리정지 요구권이 있다는 사실을 최초 수집 후 3개
월 이내에 정보주체에게 고지해야만 하기 때문이다 불법으로 입수한
개인정보라면 애초에 고지도 못할 테지만 적법하게 제공받은 경우라
하더라도 고객에게 일일이 고지하기란 큰 부담이 될 것이다 고객이 제
3자 제공 동의를 해서 개인정보를 제공했다는 사실을 증명하라고 요구
하면 그 또한 큰일이다 필자 견해로는 이 개정안에 대한 대응이 본 기
사를 통틀어 제일 큰일일 듯 싶다
2) 민감정보의 안전성 확보조치 명시적 요구
민감정보란 개인의 사상middot신념 노동조합middot정당의 가입middot탈퇴 정치
적 견해 건강 유전 정보나 범죄 경력처럼 사생활을 현저히 침해할
우려가 있는 정보를 말한다 기존에도 고유식별 정보와 더불어 수집
이용하지 않는 것이 원칙이고 별도의 동의를 얻어 처리해야 하며 안
전성확보 조치를 통해 보호해야 할 대상이었다 이번 개정안에서는
민감정보에 대한 안전성 확보 조치를 명시적으로 요구하고 있을 뿐
기업 입장에서 달리 조치해야 할 사항은 없어 보인다 (기존 법에 따
라 잘 조치하고 있었을 경우에는 그렇다는 뜻이다)
3) 개인정보처리방침과 개인정보취급방침 구성 요건 동기화
개인정보보호법의 lsquo개인정보처리방침rsquo은 정보통신망법(이후 lsquo정통망
법rsquo)의 lsquo개인정보취급방침rsquo과 이름도 다르고 구성 요건에도 약간의 차
이가 있었다 이번 개정안에서는 방침 구성 내용에 정통망법 일부 사
꼭 챙겨야 할 개인정보보호 법령
지난 3월 8일 발간된 월간 lsquo안rsquo 2016년 3월호에 lsquo2016년에 챙겨봐야 할 개인정보보호 법령 5가지rsquo란 제목으로 개인정보보호 법령에 대
해 소개한 바 있다 이후 3월 22일과 29일에 정보통신망법과 개인정보보호법이 또 개정되어 2016년에 챙겨야 할 법령이 더 늘어났다
이번 호에서는 두 가지 법의 개정사항의 중요도를 별점으로 매겨가며 정리하고자 한다 단 중요도의 기준은 필자의 주관에 따른 것이므
로 참고만 하는 것이 좋겠다 개정된 내용 중 기업과 관련이 적은 사항은 따로 적지 않았다
별점으로 살펴본
lsquo개정rsquo 개인정보보호 관련 법령
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
중요도 업무영향도 대응업무부하
처 벌
- 미이행 시 3000만 원 이하의 과태료
- 미이행 상태에서 유출 사고 발생 시 2년 이하의 징역 또는 2000만 원 이하
의 벌금
중요도 업무영향도 대응업무부하
처 벌 해당 없음
기업에서 대응해야 할 업무 절차
1 법 시행 시점 이후 수집 보유 중인 개인정보 중 정보주체에게 직접 입수한 것이 아닌
개인정보 식별(정보주체 외 입수 경로 제3자 제공 동의 여부 확인)
2 1에서 식별된 개인정보 중 연락처가 있는 개인정보 식별
3 2에서 식별된 정보주체에게 개인정보 수집 및 이용 사실 고지(파기요청 수집)
구체적인 고지 시기 방법은 시행령이 나와야 알 수 있음
4 3의 절차에서 파기 요청 시 파기 시행
기업에서 대응해야 할 업무 절차
1 보유 중인 개인정보 중 민감정보 식별
2 1에서 식별된 민감정보에 대한 안전성 확보 조치 수준 점검
3 2절차에서 법 기준에 미흡한 경우 보완 조치 이행
2121
항을 반영하여 유사한 구조를 갖추도록 했으며 정통망법 또한 lsquo개인
정보처리방침rsquo으로 명칭을 변경함으로써 개인정보보호법과 일원화할
수 있게 되었다 개인정보보호법 개인정보처리방침에 추가된 사항은
다음과 같다
2 정보통신망 이용촉진 및 정보보호 등에 관한 법(이하 lsquo정
통망법)
1) 정보주체의 이동통신 단말장치 내 정보 및 기능에 대한 접근 시 동
의절차 의무화
스마트폰 메신저 앱을 생각해 보자 메신저 앱의 핵심적인 기능은 다
른 사람과 메시지를 주고받는 것이다 메신저를 편히 쓰려면 연락처
를 일일이 입력하기보다는 스마트폰에 있는 연락처 정보를 이용하는
게 필요할텐데 개정된 법은 그렇게 메신저 앱이 서비스를 이용하기
위해 스마트폰에 저장된 정보에 접근할 경우에 반드시 정보주체의 동
의를 받아야 한다는 것이다
핵심 서비스를 위해 필요한 정보나 접근권한에도 동의를 받으라고 하
는 상황인데 그 외의 목적이라면 당연히 동의를 요구할 수밖에 없다
이 경우에는 사용자가 동의를 거부할 권한이 있고 동의를 안했다고
해서 기업이 서비스 제공을 거부할 수 없도록 하고 있다(거부하면 과
태료 처벌을 받을 수 있다)
이 법의 요구사항은 흔히 알고 있는 개인정보 수집이용 동의와 개념
이 다르기 때문에 기업에서도 상당한 고민과 부담이 있을 것으로 예
상된다 (예를 들면 휴대전화에 저장된 연락처는 휴대전화 주인의 개
인정보가 아니므로 정보주체의 개인정보 수집이용 동의로 대체할 수
없다) 휴대전화 기능에 대한 접근권한 역시 개인정보 수집이용 동의
와는 다른 사항이므로 동의 절차를 새롭게 설정해야 할 가능성이 높
다 이런 동의와 철회 방법에 대한 구현 책임은 이동통신단말장치 소
프트웨어 제조업자와 공급자에게 부과하고 있으며 위반 시 과태료 처
벌을 할 수 있도록 되어 있다
2) 개인정보 처리업무 수탁자가 재위탁할 경우 원 위탁자의 동의를 받
는 경우에만 가능함
이번 정통망법 개정안에서는 개인정보 처리 위탁 관련 조항이 특히
많이 수정되었다 대부분 용어가 lsquo취급rsquo에서 lsquo처리rsquo로 바뀐 사항이 많
고 일부 조항은 개인정보보호법과 동일한 수준으로 바뀌었다 예컨대
수탁자에 대한 관리 감독 책임에 lsquo교육rsquo을 별도로 명시한다거나 수탁
자에게 위탁을 할 경우에는 문서에 의하여야 한다는 내용들이 그러하
다 개인정보보호법보다 조금 엄격하게 느껴질 만한 것은 제25조 7
항으로 수탁자의 재위탁은 위탁자로부터 동의를 받은 경우에 한한다
는 내용이다 (개인정보보호법은 시행령 제28조에서 lsquo재위탁 제한에
관한 사항rsquo을 위탁 시 작성해야 할 문서에 기재하도록 하고 있다)
3) 전화 권유 판매 시 개인정보 수집출처 고지 의무 부과
정통망법에 따르면 전자적 전송매체를 이용하여 영리목적의 광고성 정
보를 전송할 때 수신자의 명시적인 사전 동의를 받아야만 한다 사전
동의를 받지 않을 수 있는 예외가 두 가지 있는데 lsquo방문판매 등에 관한
③ 이동통신단말장치의 기본 운영체제(이동통신단말장치에서 소프트웨어를 실행할 수 있는
기반 환경을 말한다)를 제작하여 공급하는 자와 이동통신단말장치 제조업자 및 이동통신단
말장치의 소프트웨어를 제작하여 공급하는 자는 정보통신서비스 제공자가 이동통신단말장
치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근하려는 경우 접근
권한에 대한 이용자의 동의 및 철회방법을 마련하는 등 이용자 정보 보호에 필요한 조치를
하여야 한다
2 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
다 접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실
② 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 반드시 필요하지 아니한 접근
권한을 설정하는 데 이용자가 동의하지 아니한다는 이유로 이용자에게 해당 서비스의 제공
을 거부하여서는 아니 된다
중요도 업무영향도 대응업무부하
처 벌 2000만 원 이하의 과태료
- 수탁자가 위탁자의 동의 없이 재위탁을 한 경우
기업에서 대응해야 할 업무 절차
1 운영개발 중인 모바일 앱(App) 현황 파악(앱이 설치된 모바일 기기 내 이용 정보 및 기
능 내역)
2 1에서 식별된 모바일 기기 내 정보 및 기기에 대해 서비스 이용에 필수선택 항목 식별
3 모바일 앱 설치 시 동의이용 중 철회 절차 검토 및 보완
1) 필수항목과 선택항목의 구분
2) 법 제22조의2제1항1호2호의 사항을 고지사항에 반영
4 이용자 정보 보호에 필요한 기타 조치 사항 반영
5 3과 4에서 도출된 사항을 모바일 앱에 적용 업데이트
6 기존 운영 중인 앱의 경우 고객에게 업데이트 고지(동의 또는 재동의 절차 적용)
⑦ 수탁자는 개인정보 처리위탁을 한 정보통신서비스 제공자 등의 동의를 받은 경우에 한
하여 제1항에 따라 위탁받은 업무를 제3자에게 재위탁할 수 있다 lt신설 2016322gt
기업에서 대응해야 할 업무 절차
1 수탁자의 경우 위탁받은 개인정보의 처리 업무 중 재위탁 현황 파악
2 재위탁 사실이 있고 위탁자의 동의 증적이 없는 경우 파악
3 2에서 파악된 미동의 재위탁 건에 대해 위탁자에게 고지 및 동의 확보
6 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항
을 처리하는 부서의 명칭과 전화번호 등 연락처
7 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치middot운영 및 그 거부에
관한 사항(해당하는 경우)에만 정한다
중요도 업무영향도 대응업무부하
처 벌
3000만 원 이하의 과태료
- 반드시 필요하지 않은 접근권한 설정에 정보주체가 동의하지 않는다는 이유
로 서비스 제공을 거부할 경우
- 접근권한에 대한 동의 및 철회방법을 마련하는 등 조치를 하지 않은 경우
제22조의2(접근권한에 대한 동의) ① 정보통신서비스 제공자는 해당 서비스를 제공하기 위
하여 이용자의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신 단말장치에 설치된
기능에 대하여 접근할 수 있는 권한(이하 ldquo접근권한rdquo이라 한다)이 필요한 경우 다음 각 호의
사항을 이용자가 명확하게 인지할 수 있도록 알리고 이용자의 동의를 받아야 한다
1 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한인 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
2222
법률rsquo에 따른 전화 권유 판매자가 육성으로 전화 권유를 하는 경우가
그 중 하나였다 개정 법에서는 lsquo수신자에게 개인정보의 수집출처를 고
지하고rsquo라는 조건이 추가됨으로써 한결 까다로워졌다
4) 개인정보의 국외 이전 유형에 따른 동의 요건 완화
모처럼 개인정보보호 담당자한테 반가운 개선 조항이 생겼다 개인정
보의 국외 이전은 정통망법에서 논란이 되던 문제였다 개인정보보호
법은 국외에 제3자 제공할 경우만 정보주체의 동의 받으라고 되어 있
는데 정통망법에선 lsquo이전rsquo할 때 동의를 받으라고만 되어 있었기 때문에
제3자 제공과 위탁의 경우를 달리 적용하기 어려웠던 것이다 개정안
에서는 lsquo국외로 이전하려면rsquo이라고 되어 있던 조항을 lsquo국외에 제공(조회
되는 경우를 포함한다)middot처리위탁middot보관(이하 이 조에서 ldquo이전rdquo이라 한
다)하려면rsquo이라고 풀어서 표현하고 lsquo다만 정보통신서비스의 제공에 관
한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서
제3항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자
우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는
개인정보 처리위탁middot보관에 따른 동의절차를 거치지 아니할 수 있다rsquo라
는 단서 조항을 더 함으로써 국외 이전의 경우에도 위탁업무일 경우엔
동의 받지 않고 처리할 수 있도록 하였다 (개인정보보호법과 일치시킨
셈이다)
5) 노출된 개인정보의 삭제 차단 조치 의무화
웹사이트에서 시험 합격자 명단 등을 공개할 때 관리자의 부주의로 주
민번호와 같은 고유식별정보를 포함시키는 일이 종종 발생하곤 한다
기존 법령에서도 개인정보의 노출을 통제할 책임은 정보처리자에게 부
여하고 있으나 이번 개정안에서는 별도의 조항으로 명시함으로써 책임
성을 부각하고 있다 관련 처벌이 따르지 않아 규범적 조항인 점이 그
나마 다행스럽다
6) 기타 사항
이상 중요한 사항은 짚어 보았고 다른 사항은 대부분 개인정보보호법
과 균형을 맞추기 위한 내용들이다 lsquo개인정보관리책임자rsquo란 용어는
개인정보보호법과 마찬가지로 lsquo개인정보보호책임자rsquo란 용어로 바뀌
었고 처벌 수준에 있어서도 주요 법 위반 시 위반행위에 관련된 이익
의 몰수 추징 조항이 신설되었다 내용의 파급력으로 보자면 충격이
클 수도 있는 제32조 제2항의 징벌적 손해배상도 이미 개인정보보호
법에 들어간 내용이기 때문에 기업 입장에서 새롭게 고민할 사항은
적을 듯하다
전기통신사업자와 정보통신서비스 제공자를 대상으로 하는 정보통신
망법과 일반법으로 적용되는 개인정보보호법은 개인정보보호의 규준
을 이루는 양대 법률이다 기업 입장에선 지나치게 자주 개정되어 정보
보호 업무 부담을 더하는 측면도 있다 하지만 이번 개정안은 두 법의
용어와 조항 처벌 수준 등을 통일함으로써 법 적용을 돕는 긍정적인
면이 훨씬 많을 듯하다 아무쪼록 이번 개정안이 적극 반영되어 사회
전반에서 더욱 안전한 개인정보보호 환경이 갖추어지기를 기대한다
기업에서 대응해야 할 업무 절차
1 전화 권유 판매 시 정보주체 사전 동의 획득 여부 확인
2 사전동의 미 획득 케이스인 경우 개인정보 수집출처 확인
3 개인정보 수집출처가 확인되지 않은 경우 개인정보 이용 중지
4 개인정보 수집출처가 확인된 경우 수집출처를 고객에게 고지하고 전화 권유 판매
기업에서 대응해야 할 업무 절차
1 개인정보의 해외 이전 유형 식별(제공처리위탁보관)
2 이전 유형 중 처리위탁보관의 경우 고지공개 여부 확인
3 이전 유형 중 제공의 경우 동의 여부 확인
4 2 3단계에서 미흡 사항 발견 시 개선 조치
중요도 업무영향도 대응업무부하
처 벌 없음
제32조의3(노출된 개인정보의 삭제middot차단) ① 정보통신서비스 제공자 등은 주민등록번호
계좌정보 신용카드정보 등 이용자의 개인정보가 정보통신망을 통하여 공중에 노출되지 않
도록 하여야 한다
② 정보통신서비스 제공자 등의 고의 또는 중대한 과실로 인하여 개인정보가 분실middot도난middot
유출middot위조middot변조 또는 훼손된 경우로서 이용자에게 손해가 발생한 때에는 법원은 그 손
해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다 다만 정보통신서비스
제공자 등이 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다 lt신설
2016322gt
기업에서 대응해야 할 업무 절차
1 시스템 내 개인정보 노출 현황 파악 (노출정보유형목적노출기간주관부서 등 현황 파악)
2 노출된 고유식별정보 및 금융정보 발견 시 삭제 또는 보호(마스킹 등) 조치
3 1~2의 반복적 이행 가급적 시스템화하는 것이 바람직함
중요도 업무영향도 대응업무부하
처 벌
- 2000만 원 이하의 과태료 공개나 고지 없이 개인정보를 국외에 처리위탁
보관한 경우
- 과징금 부과 정보주체의 동의 없이 개인정보를 국외에 제공한 경우
23
어릴 때부터 각종 디지털 기기의 사용이 능숙한 lsquo디지털 키즈(Digital kids)rsquo인 우리 자녀들을 위한 똑똑한 lsquo디지털 페어런팅(육아법)rsquo을 소개한
다 식당이나 카페에서 어린 자녀에게 스마트폰은 보여주고 있거나 자녀가 어린이날 선물로 스마트폰을 사달라고 조르는 경우 스마트폰 게임
이나 SNS에 빠져 있는 자녀 때문에 걱정인 부모들에게 필요한 자녀의 연령에 맞는 디지털 페어런팅이다 자녀가 성숙한 디지털 기기 사용 습
관을 기를 수 있도록 도와주는 것은 부모가 반드시 해야 하는 역할 중 하나다
몸짓을 이미지로 기억해 엄마의 의도를 파악한다 그다음 좌뇌가 발달하는데 좌뇌가 발달하기 시작하면 언어 발달이 이루어진다 그런데 이 시
기에 과도하게 스마트폰에 노출되면 우뇌가 충분히 발달하지 않은 상태에서 좌뇌가 발달하게 된다
우뇌가 제대로 발달하지 못하면 감정을 담당하는 뇌 발달에 영향을 줄 수 있는데 이는 다른 사람의 마음을 헤아리는 능력 다른 사람과 생각이
나 느낌을 주고 받는 능력 사고력 감정 조절력 부족으로 이어질 수 있다 우는 아이를 달래려고 부모가 편하게 밥을 먹기 위해서 흥미로운
자극을 주고 싶다는 이유로 이 시기 아이에게 건넨 스마트폰은 아이의 뇌에 치명적인 후유증을 남길 수 있음을 기억해야 한다
3~6세 유아기 부모의 통제 하에 사용해야
전문가들은 이 시기 아이에게도 디지털 기기의 사용을 권장하지는 않는다 하지만 현실적으로 쉽지 않다면 차선책을 선택해야 한다 부모가 디
지털 기기의 이용 시간 및 콘텐츠 등에 대해 확실한 기준을 갖고 있어야 한다 lsquo하루 30분 이상 넘기지 않으며 아이가 좋아하는 애니메이션 영상
과 동요 율동 영상만 본다rsquo는 식으로 말이다 아이의 손에 스마트폰을 맡겨버리면 의도하지 않은 영상에까지 노출될 우려가 있으니 주의해야 한다
약속한 시간 외에는 스마트폰을 아이의 손에 닿지 않는 곳에 두는 것이 좋다 이를 위해서는 부모 역시 스마트 기기 사용을 절제할 수 있어야
한다 아이들은 부모를 롤 모델로 삼아 그 태도와 습관을 배우기 때문이다 하지만 이 시기 아이가 스마트폰을 보여 달라고 강하게 떼를 쓰는
등 통제가 되지 않을 때는 당분간 아예 아이에게서 스마트폰을 분리하는 것이 효과적이다 스마트폰이 아닌 다른 방법으로 아이와 시간을 보
내는 법을 고민하는 것은 부모의 몫이다
0~3세 영유아기 스마트폰 잠시 건네는 것도 안 돼
이제 걸음마를 시작할 법한 아이가 스마트폰에 집중해 있는 모습을
본 적이 있을 것이다 우는 아이를 달래기 위해서 식당이나 카페에서
아이를 조용히 앉혀놓을 요량으로 부모는 어린 자녀의 손에 스마트폰
을 쥐여준다 하지만 전문가들은 이 시기의 아이에게 디지털 기기를
노출시키는 건 ldquo안 된다rdquo고 입을 모은다 lsquo영유아 스마트폰 증후군rsquo 등
의 부작용이 우려되기 때문이다
lsquo영유아 스마트폰 증후군rsquo이란 6세 미만의 아이들이 영상 게임 등의
지속적인 자극에 오랜 시간 노출되어 우뇌가 발달해야 하는 시기에
좌뇌가 지나치게 발달해 좌middot우뇌의 균형이 틀어지는 것을 말한다
영아기 아이는 우뇌가 먼저 발달하는데 엄마의 표정 목소리 눈짓
I T amp L I F E
내 아이를 지키는 rsquo디지털 페어런팅rsquo
스티브 잡스가 자녀에게 아이폰 아이패드와 같은 디지털 기기의 사용을 허락하지 않았다는 건 잘 알려진 사실이다 드론을 만드는 3D
로보틱스 CEO 크리스 앤더슨은 아이들이 사용하는 전자 기기의 사용 시간을 제한하고 부모가 통제할 수 있는 장치를 부착했다고 한
다 그는 ldquo테크놀로지의 위험을 잘 알고 있으며 아이들에게 그런 일이 일어나는 것을 원치 않는다rdquo며 그 이유를 설명했다 이들의 자녀
교육법이 전적으로 옳다고 말할 수는 없지만 어릴 때부터 디지털 기기 사용이 너무나 익숙한 우리 자녀들의 모습은 한 번쯤 돌아볼 필
요가 있다
24
6~10세 미만 디지털 기기 사용 가이드라인에 대해 설명해줘야
부모가 디지털 기기 사용 시간 및 사용 및 목록의 한계에 대한 가이드라인을 정하고 이에 대해 아이가 이해할 수 있도록 설명해주는 것이 좋
다 가이드 라인을 정할 때 아이의 생각을 들어보고 반영하는 것도 방법이다 디지털 기기 사용 가이드라인이 지켜질 수 있도록 온 가족이 노력
해야 함은 물론이다 TV를 보고 스마트 기기를 가지고 노는 것 자체가 문제가 될 수도 있지만 이로 인해 친구들과 뛰어놀며 신체활동을 하는
즐거움을 빼앗기지 않도록 하는 것도 중요함을 잊지 말아야 한다
10세 이상의 초등학생 스스로 규칙을 정하고 지킬 수 있도
록 동기 부여
부모들의 고민 중 하나는 lsquo아이에게 스마트폰을 언제 사줄 것인가rsquo다
아이의 하교 후 학원에서 학원으로 이동할 때마다 연락을 주고받기
위해 휴대전화가 필요할 수도 있다 요즘은 초등학교 입학과 함께 스
마트폰을 사주는 가정도 많다 친구들도 다 있다며 사달라고 떼를 쓰
는 아이의 마음도 이해 못 하는 바 아니지만 자녀에게 스마트폰을 사
주는 적당한 시기는 부모가 잘 판단해야 한다 아이가 스마트폰 사용
규칙을 지킬 수 있을 만큼 성숙한 상태여야 한다는 의미다 하고 싶어
도 참을 수 있는 절제력과 충동조절능력 좌절인내력이 바탕이 돼야
만 스스로 규칙을 지킬 수 있다
구글 애플 마이크로소프트 등 글로벌 IT 기업의 자녀들이 많이 다니
는 실리콘밸리에 발도로프 학교에는 컴퓨터가 없다 스크린 보드 빔
프로젝터 등의 멀티미디어 기기도 없으며 연필과 종이 분필 등을 이
용한 아날로그식 수업이 진행된다 이들은 우리나라 나이로 중학교 3
학년이 되는 8학년이 돼서야 컴퓨터를 서서히 배우기 시작한다 학생
들이 학교에 디지털 기기를 가져올 수도 없다 lsquo디지털 세상이 아이를
아프게 한다rsquo의 저자인 신의진 정신과 박사는 ldquo언제 자녀가 스마트폰
을 사용하면 좋냐rdquo는 질문에 ldquo늦을수록 좋다rdquo고 답한다
우리 자녀 세대는 지금 우리보다 훨씬 더 디지털 기기와 가깝게 지낼
것이다 시대가 변하고 있기 때문이다 더 흥미로운 기기들이 쏟아질
것이고 그에 맞는 교육 및 놀이 앱이 넘쳐날 것이다 하지만 시대가
변해도 변하지 않는 것은 존재한다 부모가 자녀와 디지털 생활에 대
해 이야기를 나눌 수 있는 환경은 신뢰를 바탕으로 한 그들의 아날로
그 생활에서의 환경이 조성하는 법이다 가족과 함께 서로의 디지털
생활에 대한 이야기를 나눠보는 시간을 갖는 것은 어떨까
자녀와 함께 TV 컴퓨터 스마트폰 등에 대한 이용 규칙을 정하고 스스로 통제할 수 있도록 동기를 부여해주는 것이 좋다 만약 약속을 어겼을
경우 벌칙도 명확히 해둔다 예를 들어 주말에만 컴퓨터 게임을 하기로 했는데 어겼다면 다음 주말 컴퓨터 이용 시간을 줄이는 식이다 초등학
교 3~4학년만 돼도 아이들은 SNS에 흥미를 느끼기 시작한다 이때 부모는 아이가 어떤 게시물을 올리고 다운로드하는지 관심을 가질 필요가
있다 인터넷상에 올린 글이나 영상은 쉽게 공유될 수 있으며 지우는 것도 쉽지 않다는 점에 대해서도 알려줘야 한다
중middot고등학생 자율성 존중하되 방치해선 안 돼
ldquo스마트폰 그만하고 공부해rdquo와 같은 강압적인 지시는 되레 부작용을 낳을 수 있다 중middot고등학생의 자녀와의 디지털 페어런팅에서 가장 중요한
것은 자율성을 존중하되 방치해서는 안 된다는 점이다 아이가 적당히 조절하며 디지털 기기를 사용하고 있다면 문제 없지만 걱정할 정도로 몰
입돼 있는 상황이라면 가정의 디지털 페어런팅 방식을 다시 점검해봐야 한다 과몰입 상태는 적절한 교육으로 가정에서 바로 잡을 수 있지만 중
독의 수준이라면 상황이 달라진다 이런 경우 아이가 디지털 기기에 빠진 원인을 찾고 이를 해결하기 위해 전문가 상담 및 치료를 받아야 한다
[그림 1] 컴퓨터가 없는 발도로프 학교에 대해 다룬 뉴욕타임즈 기사
(출처 httpwwwnytimescom20111023technologyat-waldorf-school-in-silicon-valley-technology-can-waithtml)
참고 자료
신의진(2013) 디지털 세상이 아이를 아프게 한다 북클라우드
구본권(2014) 당신을 공유하시겠습니까 어크로스
25
보안 통계와 이슈 S T A T I S T I C S
[그림 2]는 2016년 4월 한 달간 유포된 악성코드를 주요 유형별로 집
계한 결과이다 불필요한 프로그램인 PUP(Potentially Unwanted
Program)가 5948로 가장 높은 비중을 차지했고 트로이목마
(Trojan) 계열의 악성코드가 168 웜(Worm)이 347의 비율로
그 뒤를 이었다
지난 4월 한 달간 탐지된 모바일 악성코드는 24만 7847건으로 집계
됐다
안랩 시큐리티대응센터(이하 ASEC)는 최근 ASEC Report Vol76를 통해 지난 2016년 4월의 보안 통계 및 이슈를 전했다 지난 4월
의 주요 보안 이슈를 살펴본다
파일 속성 변경하는 리눅스 악성코드 등장
안랩 4월 악성코드 통계 및 보안 이슈 발표
[그림 1] 악성코드 추이(2016년 2월~2016년 4월)
ASEC이 집계한 바에 따르면 2016년 4월 한 달간 탐지된 악성코드
수는 1156만 4967건으로 나타났다 이는 전월 1321만 2012건에
비해 164만 7045건 감소한 수치다 한편 4월에 수집된 악성코드 샘
플 수는 324만 5837건이다
샘플 수집 수탐지 건수
[그림 2] 2016년 4월 주요 악성코드 유형
Adware DownloaderWormTrojanetcPUP
[그림 3] 모바일 악성코드 추이(2016년 2월 ~ 2016년 4월)
5000000
6000000
10000000
20000000
30000000
40000000
1000000
2000000
3000000
4000000
4월3월2월
11830547 1156496713212012
324
583
7
354
858
1
349
346
8
347
168
1939
5948072
014
100000
200000
300000
500000
600000
700000
400000
0
4월3월2월
247847256512
323301
26
또한 지난 4월 악성코드 유포지로 악용된 도메인은 648개 URL은
2216개로 집계됐다 4월의 악성 도메인 및 URL 차단 건수는 총 637
만 3536건이다
이와 같은 경우 lsquolsattrrsquo 명령을 통해 해당 파일의 속성을 조회하면 [그
림 7]과 같이 lsquoirsquo 속성이 추가되어 있음을 확인할 수 있다
리눅스 악성코드 lsquo빌게이츠 봇넷rsquo 발견
최근 리눅스(Linux) 운영체제에서 감염 시스템의 정보 수집 시스
템 파일 교체 DDoS 공격 등을 수행하는 lsquo빌게이츠 봇넷(BillGates
botnet)rsquo이 발견됐다 해당 악성코드는 감염 시스템 내에서 속성이 변
경되어 삭제가 불가능해 리눅스 사용자들의 피해가 우려된다
빌게이츠 봇넷은 서버에 침입 후 파일의 속성을 변경하여 악성코드를
삭제할 수 없도록 설정한다 리눅스 시스템에서 악성코드 감염에 의
해 파일 속성이 변경된 경우 이를 삭제할 수 있는 방법을 자세히 살
펴보자
먼저 공격자가 파일의 속성을 변경한 후 [그림 5]와 같이 삭제 시도를
하면 lsquo실행이 허가되지 않았다(Operation not permitted)rsquo라는 메시
지가 출력되며 해당 파일이 삭제되지 않는다
이처럼 lsquoirsquo 속성이 추가되어 있는 경우에는 [그림 8]과 같이 루트 권한
으로 lsquochattrrsquo 명령을 통해 해당 파일의 속성을 변경한 후 다시 삭제
를 시도하면 해당 파일이 정상적으로 삭제된다
파일의 속성 추가(chattr)는 lsquo+[추가할 속성]rsquo 제거는 lsquondash[제거할 속성]rsquo
을 통하여 수행할 수 있으며 lsquo-Rrsquo 옵션을 추가로 부여하는 경우에는
하위 디렉터리까지 모두 포함되어 적용된다 이는 윈도우(Windows)
운영체제의 lsquoattirbrsquo 명령과 유사하다
이때 만일 관리자가 파일이 삭제되지 않는 원인을 파일 권한 문제라
고 생각하고 파일 시스템에 기록된 정보를 이용하여 루트 계정 및
inode를 제거하는 방법으로 다시 삭제를 시도하면 마찬가지로 동일
한 메시지가 발생하며 파일이 삭제되지 않는다
이번 리눅스 악성코드 사례와 같이 파일의 속성이 변경되어 삭제가
불가한 경우가 있어 권한 뿐만 아니라 파일 속성에 대해서도 다시 한
번 확인하는 것이 필요하다 단 중요 파일이나 로그 파일 등은 lsquoirsquo나
lsquoarsquo 속성을 적용하는 정상적인 경우도 있다 즉 이러한 속성이 적용되
어 있는 파일이라고 해서 모두 악성 파일은 아니므로 정확히 악성으
로 확인된 파일에 대해서만 삭제를 진행할 것을 권장한다
최근 리눅스 운영체제를 노리는 악성코드가 꾸준히 증가하고 있다
DDoS 공격이나 백도어 등 리눅스 악성코드의 기능도 다양해지고 있
으며 앞으로 더욱 고도화될 것으로 예상된다 리눅스 시스템도 안전
하게 이용하기 위해서는 반드시 암호를 설정해야 하며 최신 보안 업
데이트를 적용해야 한다
V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지하고
있다
ltV3 제품군의 진단명gt
LinuxBackdoor1223123B
[그림 5] RM 명령어를 통한 삭제 시도
[그림 6] INODE 제거를 통한 삭제 시도
[그림 4] 악성코드 유포 도메인URL 탐지 및 차단 건수(2016년 2월 ~ 2016년 4월)
악성 도메인URL 차단 건수 악성코드 유포 URL 수악성코드 유포 도메인 수
10000
20000
30000
8000000
9000000
40000
7000000
6000000
5000000
4000000
04월
221681467900
6481587936
3월2월
6373536
7157616
6355582
[그림 7] 파일 속성 조회
[표 1] 리눅스 파일 속성 및 lsquoCHATTRrsquo 명령어 예시
[그림 8] 파일 속성 변경 후 제거 시도
[명령어 예시 (i S 속성 추가)]
chattr + iS samples
[파일 속성명 중 일부] [설명]
a (CAP LINUX IMMUTABLE capability) 추가 작성만 가능 삭제 불가
I (CAP LINUX IMMUTABLE capability) 삭제 변경 링크 파일 생성 등
S 파일이 변경되면 디스크 동기화
u 파일 삭제 시 내용 백업
2727
A H N L A B N E W S
현대자동차 그룹 IT서비스 전문업체인 현대오토에버가 최근 lsquo5스타
우수 개발협력사rsquo로 안랩을 선정했다
lsquo현대오토에버 우수 개발협력사rsquo는 현대오토에버가 협력사와 공동
으로 수행한 전년도 사업의 수행 실적에 따라 1스타부터 5스타까지
우수협력사를 선정하고 이에 따른 다양한 인센티브를 제공하는 프
로그램이다
안랩은 현대오토에버의 개발컨설팅 협력사로서 프로젝트 평가 및
업체 종합 평가 등에서 안정적이고 우수한 프로젝트 성과를 인정받
아 최고 등급인 lsquo5스타rsquo 우수 개발협력사로 선정됐다 안랩 서비스
사업부를 총괄하는 방인구 상무는 ldquo안랩은 핵심가치인 lsquo고객만족rsquo을
기준으로 맡은 사업에 대해 언제나 최선을 다하고 있다rdquo며 ldquo안랩을
신뢰해주시는 여러 회사와 함께 동반성장할 수 있도록 노력하겠다rdquo
고 말했다
안랩이 지난달 17일 코엑스 컨벤션센터에서 열린 lsquo아마존 웹 서비
스 글로벌 서밋 서울 2016(이하 AWS 서밋 서울 2016)rsquo에서 다양
한 산업 관계자를 대상으로 lsquo안랩 AWS 고객 원격 보안관제 서비스rsquo
를 소개했다
AWS 서밋 서울 2016은 아마존 웹 서비스가 제공하는 클라우드 컴
퓨팅 서비스에 대한 지식을 공유하고 IT 업계의 최신 기술 트렌드 등
을 소개하는 행사로 지난해 첫 국내 개최에 이어 두 번째로 열렸다
이번 행사에 참가한 안랩은 전용 부스를 운영하며 lsquo안랩 AWS 고객
원격 보안관제 서비스rsquo에 대한 개별 고객 상담 및 서비스 체험 신청
등을 진행했다 안랩 AWS 고객 원격 보안관제 서비스는 네트워크
및 웹 서비스 등에 대한 보안을 안랩의 침해대응(CERT) 전문인력이
원격으로 모니터링 및 관리해주는 서비스다
또한 별도 발표장에서 진행된 미니 발표 세션에서 안랩 서비스상
품기획팀 김준호 대리는 안랩 AWS 고객 원격 보안관제 서비스의
개요 및 구성을 비롯하여 탐지를 넘어 위협 분석까지 제공하는
침해사고 대응 프로세스 미디어사 O2O(Online to Offline 온오
프라인 연결) 서비스 제조 분야의 실제 고객 사례를 통한 다양한
산업별 서비스 적용 방안 등 lsquo안랩 AWS 고객 원격 보안관제 서비
스rsquo의 개념과 강점을 소개했다
안랩 김준호 대리는 ldquo안랩은 lsquoAWS 고객 원격 보안관제 서비스rsquo를
지난 1월 출시한 이후 약 4개월 여 만에 이미 복수의 대형 고객사
를 확보하는 등 검증된 서비스를 제공하고 있다rdquo며 ldquo이는 많은 고객
사에서 단순 탐지를 넘어 위협 분석 및 대응까지 가능한 안랩의 전
문성을 인정한 것으로 볼 수 있다rdquo고 강조했다
현대오토에버
lsquo우수 개발협력사rsquo로 안랩 선정
안랩 lsquoAWS 서밋 서울 2016rsquo에서
클라우드 보안관제 서비스 소개
안랩은 AWS 서밋 서울 2016 행사에서 전용 부스와 발표 세션을 통해 안랩 AWS 고객 원격 보안관제 서비스를 소개했다
발행인 권치중
발행처 주식회사 안랩
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
편집인 안랩 콘텐츠기획팀
디자인 안랩 디자인팀
copy 2016 AhnLab Inc All rights reserved
본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제 복사 검색 시스템
으로 저장 또는 전송될 수 없습니다 안랩 안랩 로고는 안랩의 등록상표입
니다 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상
표일 수 있습니다 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
copy 2016 AhnLab Inc All rights reserved
httpwwwahnlabcom
httpblogahnlabcom
httptwittercomahnlab_man
S P E C I A L R E P O R T Critical Infrastructure Threats
사회기반시설 공격 동향 및 보안에 관한 제언
지난 4월 여수 시내의 한 버스 정류장에 설치된 버스정보안내 시스템에서 약 40여 분간 음란 동영상이 재생되는 사고가 발생했다
최근 미국에서도 텍사스주의 고속도로 전광판이 해킹돼 대선 후보인 트럼프를 조롱하는 문구 등이 밤새 노출되었다 두 사건 모두 별
다른 피해는 없었지만 교통 관련 시설이 해킹되었다는 점은 주목할 필요가 있다 만일 교통 신호등 제어 시스템이나 공항 철도 발전
소의 시스템이었다면 이 글에서는 국내middot외 주요 사회기반시설 공격 동향을 통해 사회기반시설 보안의 시사점을 알아본다
눈 앞에 나타난 사회기반시설 공격의 lsquo실체rsquo
5
사회기반시설은 lsquo기반 시설rsquo lsquo기간 시설rsquo lsquo사회 공공 기반시설rsquo 등으로 불리며 사회 및 경제 활동의 기반을 형성하는 중요 시설을 의미한다 흔
히 lsquo인프라(Infra Infrastructure)rsquo라고도 부르며 최근에는 학교나 병원 공원과 같은 사회 복지 및 생활 환경 관련 시설도 사회기반시설로 분
류하기도 한다
사회 유지에 근간이 되는 이들 시설 또는 시스템이 사이버 공격에 피해를 입을 경우 단순히 재산상의 피해에 그치는 것이 아니라 사회적 혼
란을 야기하거나 시민들의 안전 더 나아가 국가 안보에 심각한 위협이 될 수 있다 실제로 지난 2012년 세계적인 석유 기업인 사우디 아람코
(Saudi Aramco) 해킹 2015년 우크라이나 정전 사태 등은 막대한 재산상의 피해는 물론 사회적 혼란까지 가져왔다
미국 국토안보국(Department of Homeland Security)은 사회기반시설을 16개 주요 분야로 나누고 그중 식료 농업 서비스를 제외한 14개
분야에 대한 주요 보안 리스크를 [표 1]과 같이 분류하고 있다
분야 사이버 보안 위협
화학 bull 화학제품 공정 제어를 위한 네트워크 기반 시스템
통신bull 통신시스템 공격에 따른 글로벌 연결성 저해
bull 통신 인프라 영향
주요 제조 시설 bull 제어 시스템 및 데이터베이스 해킹
댐 bull 댐 제어 시스템 해킹
방위 산업bull 안보 기지 인프라에 대한 DDOS 공격
bull 시스템 오작동 등 국가 안보 기밀 유출
응급 서비스 bull 응급 서비스 통신 시스템 및 네트워크 GPS에 대한 공격
에너지bull 전기 전력 그리드 및 운영 시설 공격
bull 석유 및 천연가스 에너지 관리 시스템 공격
금융 서비스bull 금융 정보 기구의 개인정보 유출
bull 금융 시스템 공격을 통한 대규모 금융 피해
정부 시설bull 자동 보안 제어 시스템 및 데이터베이스 공격
bull 정부 시설 시스템 공격에 따른 기밀 및 개인정보 유출
헬스케어 및 공공의료 bull 진료 시스템 공격으로 의료보험 검진 기록 유출
IT 시설bull IT 시스템 관리 콘텐츠 정보 통신 등 다양한 부분에서의 정보 유출
bull 신분 인증 시스템 공격에 따른 사회 기반 시스템 운영 위협
핵발전 및 처리 시설 bull 핵 시설 제어 시스템 공격
교통 bull 공중 육상 해상 교통 제어 시스템 공격
수자원 및 수처리 시스템 bull 수자원 및 수처리 제어 시스템
[표 1] 미국 국토안보국의 사회기반시설 분류
66
국내middot외 주요 사회기반시설 공격 사례
2000년대 초에도 특정 국가나 사회기반시설을 노린 악성코드가 존재했다 지난 2001년 7월 발견된 코드레드(CodeRed) 웜으로 인해 미국 백
악관 홈페이지에 서비스거부(DoS) 공격이 발생했다 국내에서는 2003년 1월 25일 슬래머(Slammer) 웜에 의한 인터넷 장애가 발생했다 이
를 lsquo125 인터넷 대란rsquo이라 부른다
본격적인 사회기반시설에 대한 사이버 공격은 2000년대 중반 이후에 나타났다 2007년 4월 27일 에스토니아(Estonia) 공화국의 정부 언론
방송 은행의 전산망이 일제히 분산서비스거부(Distribute Denial of Service 이하 DDoS) 공격을 받았다 이 공격으로 대통령궁을 비롯해 의
회 정부기관 은행 이동통신 네트워크 등 에스토니아의 국가 시스템 전체가 약 3주간 마비되는 사태가 발생했다
2008년 6월에는 조지아(Georgia 러시아명 lsquo그루지아rsquo)의 정부 홈페이지 언론사 포털 사이트 등이 대규모 DDoS 공격을 받았다 평균 2시간
15분 최장 6시간 동안 공격이 지속되었으며 사흘간 이어진 공격으로 금융 시스템 장애가 발생하는 등 사회가 마비되었다
2010년부터는 단순한 서비스 장애 유발이 아닌 사회기반시설에 대한 직접적인 공격이 발생한다 가장 대표적인 사례는 2010년 6월 발견된
스턱스넷(Stuxnet)이다 스턱스넷은 지멘스(SIEMENS)사의 산업자동화제어시스템(PCS7)을 타깃으로 하는 악성코드로 2010년 9월 이란의 원
자력 발전소 마비 사태의 주범으로 알려졌다
에너지 분야를 노린 사이버 공격의 또 다른 사례로는 2012년 사우디에서 발생한 사우디 아람코(Saudi Aramco) 해킹이 있다 같은 해 8월 27
일에는 카타르(Qatari) 천연가스 기업인 라스가스(RasGas)도 사이버 공격을 당했다는 사실이 언론을 통해 알려졌다 이후 2015년 우크라이나
에서는 발전소 해킹에 의한 대규모 정전 사태가 발생하기도 했다
우크라이나 정전 사태와 같이 최근에는 교통 및 항공 시설 전력 시설을 노린 사이버 공격으로 인해 일반 시민들이 생활에 불편을 겪거나 심각
한 피해를 입고 있다 최근 국내에서 발생한 사고와 유사한 일이 브라질에서도 발생한 바 있다 브라질의 버스 정류장 안내 시스템이 해킹되어
약 15분간 음란 동영상이 노출된 것이다 항공 시설과 관련해서는 지난 2015년 6월 폴란드 공항이 DDoS 공격을 당해 비행 계획 시스템이 5
시간 동안 마비되었으며 약 1400여 명의 승객이 공항에서 발이 묶인 사건도 있다
[그림 1] 국내외 주요사회기반시설 공격 사례
[그림 2] 해킹된 브라질 버스 안내 시스템(출처 SecurityWeek)
77
이 밖에도 프랑스 방송사 떼베생몽드(TV5Monde) 해킹 및 방송 송출 장애 이스라엘 방송국 해킹 지난 2013년 국내 주요 은행 및 방송국을
노린 3bull20 전산망 마비 최근 발생한 방글라데시 중앙은행 해킹 미국 뉴욕댐 전산망 해킹 미국 내 다수 병원의 랜섬웨어 감염 등 사회기반시
설을 노리는 공격들이 다방면에서 지속적으로 발생하고 있다
사회기반시설 공격에 사용된 악성코드의 실체
앞서 언급한 사례 중 우크라이나 발전소 해킹과 정유 회사 사우디 아람코 해킹 사례를 중심으로 실제 사회기반시설 공격에 사용된 악성코드와
공격 방식에 대해 알아보자
1 우크라이나 발전소 해킹
지난 2015년 12월 23일 우크라이나의 키보브레네르고(Kyivoblenergo) 발전소에 문제가 발생해 이날 오후 3시 35분부터 3시간 동안 약 8만
가구에 전력 공급이 중단됐다 또한 우크라이나 서부 지역의 프리카르파티아오블레네르고(Prykarpattyaoblenergo) 발전소에서도 문제가 발
생해 주변 지역에 대규모 정전 사태가 발생했던 것으로 알려졌다 전화 시스템에도 장애가 발생해 전화 통화도 정상적으로 이루어지지 않았다
정전 직후 언론과 우크라이나 정보부(Security Service of Ukraine)는 사이버 공격의 가능성을 언급했다
우크라이나의 정전이 사이버 공격에 의해 발생했다는 정황이 계속 나타남에 따라 미국 정부도 관련 조사에 착수했다 지난 2016년 1월 미국
국토안보국은 우크라이나 정전 사태의 원인이 사이버 공격으로 드러났다고 발표했으며 3월 18일에는 관련 분석 보고서가 추가로 공개됐다
이 보고서에 따르면 공격자는 이미 6개월 전부터 발전소 내부 시스템에 침입해 관련 정보를 수집하고 악의적인 펌웨어(Firmware)를 개발하
는 등 철저한 준비 후 공격을 수행한 것으로 보인다
이와 관련해 SANS ICS팀과 해외 보안 업체 이셋(Eset)은 우크라이나 정전 사태와 블랙에너지(BlackEnergy) 악성코드가 밀접한 관계가 있다
고 발표했다 한편 우크라이나 정전 사건이 발생하기 한 달 전인 2015년 11월 우크라이나 사이버침해대응센터(CERT Computer Emergency
Response Team)는 우크라이나 선거 기간 동안 언론사를 공격한 블랙에너지 악성코드에 관해 언급한 바 있다 따라서 우크라이나에 대한 블
랙에너지 공격은 정전 사태 이전부터 진행되었음을 예상할 수 있다
블랙에너지는 다양한 변화를 겪어온 악성코드이다 2007년 DDoS 공격에 처음 이용되었으며 2008년 조지아(Georgia) 공격에도 사용되었던
것으로 알려졌다 드라이버 파일로 구성되어 있다는 것이 특징이며 현재에도 꾸준히 변형이 나타나고 있다
우크라이나 발전소를 공격한 것으로 알려져 있는 블랙에너지 악성코드는 악성코드를 떨어뜨리는 드롭퍼와 실제 악성 행위를 수행하는 난독화
된 드라이버 파일로 구성되어 있으며 FONTCACHEDAT 등의 파일이 생성된다
또한 해당 공격에서 공격자는 악성 매크로를 포함한 엑셀 파일을 이용한 것으로 알려졌다 문서를 열어본 사용자가 보안 경고 메시지의 lsquo콘텐
츠 사용rsquo을 선택하면 매크로가 실행된다 매크로가 실행되면 temp 폴더에 vba_macroexe 파일이 생성된다
[그림 3] 우크라이나 발전소 공격에 사용된 엑셀 파일의 매크로 기능
[그림 4] Winpcap 관련 파일로 위장
이렇게 생성된 vba_macroexe가 실행되면 FONTCACHEDAT 파일이 시스템에 생성된다 이 파일은 윈도우 패킷 캡쳐 프로그램인 WinPcap
와 관련된 파일로 위장하고 있다 내부 문자열 또한 Winpcap 관련 파일처럼 가장하고 있다
88
익스포트(export) 함수도 모두 정상 프로그램처럼 되어 있지만 PacketAllocatePacket 코드가 실행되면 암호를 풀면서 실행되며 플러그인 파
일을 다운로드하여 추가적인 기능을 수행한다
2 사우디 아람코(Saudi Aramco) 해킹
지난 2012년 8월 15일 세계 최대 규모의 석유 기업 중 하나인 사우디 아람코(Saudi Aramco)가 사이버 공격으로 약 3만 대의 시스템에 장애
가 발생하는 피해를 입었다 같은 날 자신들을 lsquo정의의 검(Cutting Sword of Justice)rsquo이라고 자칭하는 단체가 아람코 해킹이 자신들의 소행이
라고 주장했다
사우디 아람코 해킹에 사용된 악성코드는 lsquo샤문(Shamoon)rsquo 또는 lsquo디스트트랙(Disttrack)rsquo 등으로 불리며 사전에 내부 시스템을 파악하고 데이
터를 삭제하기 위해 제작된 악성코드이다 공격자가 어떻게 내부 시스템에 침입했는지는 아직 알려지지 않았다
샤문 악성코드의 구조는 [그림 6]과 같다 드롭퍼(Dropper)는 하드디스크 파괴 악성코드를 시스템에 떨어뜨리는 역할을 하며 데이터 삭제 기
능과 보고 기능만 가지고 있다 파일 속성 정보를 살펴보면 lsquoDistributed Link Tracking Serverrsquo라는 설명과 함께 마이크로소프트에서 제작한
파일로 가장하고 있다
[그림 5] 아람코 해킹에 관한 lsquo정의의 검(Cutting Sword of Justice)rsquo의 주장
[그림 6] 샤문(Shamoon) 악성코드 구조
[그림 7] 샤문 악성코드의 드롭퍼 등록 정보
99
데이터 파괴 파일은 lsquoCShamoonArabianGulfwiperreleasewuperpdbrsquo와 같은 PDB 정보를 가지고 있다 lsquoArabianGulfrsquo와 같은 문자열을
통해 명확한 공격 대상을 가진 악성코드임을 짐작할 수 있다
데이터 삭제 파일이 실행되면 드라이버 파일(drdisksys)을 생성하고 파일 목록을 얻는다 이후 시스템에 존재하는 파일을 JPEG 이미지로 덮어
쓴다 끝으로 하드디스크 MBR을 덮어써 시스템을 사용할 수 없게 하고 lsquoshutdown -r -f -t 2rsquo로 종료시킨다 한편 이 악성코드는 피해 시스템
수 등을 보고하는 기능도 갖고 있다
사회기반시설 보안에 관한 제언
지난해 말 안랩을 비롯한 국내외 보안 업체들은 2016년에 발생할 수 있는 보안 위협 중 하나로 사이버테러 및 국가기반시설 보안 위협을 꼽
은 바 있다 그리고 2016년 초부터 방글라데시 중앙은행의 해킹 국내 버스정류장 안내 시스템 해킹 등이 발생했다
사회기반시설은 사회의 근간을 이루는 중요한 시설인 만큼 강력한 보안이 동반되어야 한다는 것은 두말할 필요도 없다 그러나 실제로는 보안
인력이 부족한 경우나 내부 보안 인력의 전문성이 부족한 경우가 있다 또는 시설의 시스템 자체가 적절한 보안이 고려되지 않은 채 설계되었
거나 보안에 취약한 구형 시스템으로 운영되는 경우도 있다
외부 공격으로부터 사회기반시설을 안전하게 보호하기 위해서는 우선 구성원들이 준수할 수 있는 현실성 있는 보안 정책을 수립해야 한다 이
와 함께 적절한 보안 시스템을 구축해 내부로 유입되는 위협을 모니터링 및 차단하고 내부에서 확산되는 위협을 분석 및 대응할 수 있어야 한
다 일반적으로 악성코드의 내부 시스템 침입부터 시스템 파괴 등 악의적인 결과를 가져오기까지는 어느 정도의 시간이 소요된다 수많은 내부
시스템을 파악하고 하나씩 장악해야 하기 때문에 보통 6개월 정도가 걸린다 따라서 공격에 의한 피해가 발생하는 것을 방지하기 위해서는 주
요 시스템에 대한 정기 점검을 통해 이상 징후를 빨리 파악할 수 있어야 한다 이를 위해 전문성을 가진 인력의 양성과 활용이 필요하다 또한
협력 업체에 대한 강력한 보안 방안을 마련해야 한다 공격자들은 침입이 까다로운 사회기반시설을 직접적으로 공격하는 대신 협력 업체를 해
킹하는 등의 우회 공격을 시도할 수 있기 때문이다
한편 사회기반시설 공격 동향에 관한 보다 상세한 내용은 안랩 시큐리티 대응센터 분석팀에서 발표한 lsquo사회기반시설 공격 동향 분석 보고서rsquo
에서 확인할 수 있다
lsquo사회기반시설 공격 동향 분석 보고서rsquo 전문 보기
[그림 8] PDB 정보 내의 특징적인 문자열
참고 자료
- Data breach digest (httpwwwverizoneenterprisecomresourcesreportsrp_data-breach-digest_xg_enpdf )
- Analysis of the Cyber Attack on the Ukrainian Power Grid (httpsicssansorgmediaE-ISAC_SANS_Ukraine_DUC_5pdf )
- 도시철도 안전 및 유지관리 실태 감사결과 (httpgovseoulgokrarchives86261)
- 감사원 국가 사이버안전 관리 실태 (httpwwwbaigokrbaiindexdo)
- 강은성 lsquo망분리는 만병통치약인가rsquo (wwwciokoreacomnews25437)
- 미국 국토안보국 Sector Risk Snapshotsrsquo(httpswwwhsdlorgviewampdid=754033)
- httpwwwsecurityweekcomhackers-broadcast-porn-tv-screens-brazil-bus-depot
- httpafricanspotlightcom20150808hackers-broadcast-porn-on-tv-screens-at-brazil-bus-station-photos
- httpsmonthlychosuncomclientnewsviwaspnNewsNumb=200908100021
- httpsenwikipediaorgwikiCyberattacks_during_the_Russo-Georgian_War
- httpwwweconomistcomnode17147818
- httpmoneycnncom20150805technologyaramco-hack
- httprutsnuaukrayinaiz-za-hakerskoy-ataki-obestochilo-polovinu-ivano-frankovskoy-oblasti-550406html
- SANS httpsicssansorgblog20160101potential-sample-of-malware-from-the-ukrainian-cyber-attack-uncovered
- Ukraine CERT httpcertgovuap=2370
- httpwwwmtagokrpolicyitsmanagement_signjsp
- httpwwwittodaycokrnewsarticleViewhtmlidxno=42719
- httpssecurelistcomblogincidents57854shamoon-the-wiper-copycats-at-work
10
안랩 산업군별 ISF Square 2016 진행
고객의 고민을 듣다 대응 전략을 나누다
S P O T L I G H T AhnLab ISF Square 2016
안랩은 ISF 스퀘어 2016을 통해 각 산업 분야가 직면하고 있는 주요 보안 이슈와 위협 동향 정보를 공유하고 산업별 비즈니스에 최적화된 대
응 방안을 소개하고 있다 지난 4월 27일부터 5월까지 다섯 차례에 걸쳐 진행된 이번 행사에 각 산업 분야의 CISO 및 보안책임자 100여 명이
참석했다
권치중 안랩 대표이사는 환영사를 통해 ldquo신종 공격 기법이 끊임없이 나타나고 있어 고객사 자체가 또는 보안 벤더만으로 최신 보안 위협에 대
응하는 것은 사실상 불가능하다rdquo며 ldquoISF 스퀘어를 통해 고객을 직접 만나 실제 현장에서 느끼고 계신 고민과 어려움을 나누고 산업별로 특화
된 정보를 공유함으로써 실질적이고 최적화된 해법을 찾을 수 있으리라 기대한다rdquo고 말했다
안랩이 최근 한 달 여에 걸쳐 산업군별 정보보호최고책임자(CISO) 및 보안책임자를 대상으로 lsquo안랩 ISF Square 2016(이하 ISF 스퀘어
2016)rsquo을 개최하고 있다 ISF 스퀘어는 안랩이 지난 2009년부터 진행해오던 자사의 융합 보안 컨퍼런스 lsquo안랩 ISFrsquo를 산업별로 세분화
하여 개편한 보안 전략 세미나다 다양한 산업군별 고객사의 특성에 맞춰 lsquo맞춤형 보안 전략 및 솔루션rsquo을 제공하기 위한 목적이다
이번 ISF 스퀘어 2016은 지난 4월 27일 은행 및 카드사를 시작으로 28일에는 보험사 5월 11일과 18일 25일에는 각각 증권사와
건설사 유통사를 대상으로 진행됐다 6월 8일에는 공공 및 교육 기관의 보안책임자를 대상으로 진행할 예정이다
ISF 스퀘어 2016에 산업군별 CISO 100여 명이 참석한 가운데 권치중 안랩 대표이사는 ldquo고객의 목소리에 귀를 기울이고 고민을 나누는 것이 ISF 스퀘어의 목적rdquo이라고 전했다
11
한창규 실장과 김경희 실장(왼쪽부터)은 CISO들이 가장 궁금해하는 랜섬웨어를 비롯한 최신 공격 동향을 공유했다
안병무 차장과 백민경 차장(왼쪽부터)은 기업이 직면하고 있는 보안 위협을 살펴보고 이에 따른 안랩의 솔루션을 제시했다
이와 관련해 한창규 안랩 시큐리티대응센터(ASEC) 실장이 ldquo랜섬웨어로 대표되는 최신 위협 동향rdquo이라는 주제 발표를 통해 CISO의 궁금증에
답했다 한창규 실장은 실제 사례를 통해 신bull변종 랜섬웨어의 감염 경로 동작 원리 등을 설명했다 이어 ldquo랜섬웨어는 더 이상 일시적인 유행이
나 단발성 이슈가 아니다rdquo라며 ldquo기업에서도 이제 랜섬웨어에 대한 대응책을 마련해야 할 때rdquo라고 강조했다
이어 김경희 안랩 플랫폼개발실 실장은 랜섬웨어의 서비스화(RaaS Ransomware-as-a-Service)를 비롯해 모바일 랜섬웨어 맥(Mac) OS X를
노리는 랜섬웨어 등 진화하는 랜섬웨어의 흐름을 설명했다 김경희 실장의 설명에 따르면 랜섬웨어는 비대칭 키를 사용하기 때문에 실제 공격
자를 잡아 서버를 수거하지 않는 한 암호를 풀 수 없다 일단 감염되면 피해를 피할 수 없다는 것 특히 현재 일부 업체가 제공하는 lsquo랜섬웨어
복구 서비스rsquo의 대부분은 지불 대행 서비스로 공격자에게 비트코인을 대신 납부해주고 키를 받아 파일을 복구하는 방식에 불과하다 이와 관
련해 김경희 안랩 플랫폼개발실 실장은 ldquo돈을 주고 복구할수록 몸값이 올라갈 뿐만 아니라 돈을 많이 주는 기업을 노리게 된다rdquo고 지적했다
문제는 일반적인 보안 솔루션만으로는 랜섬웨어 대응이 쉽지 않다는 것 이와 관련해 안병무 안랩 제품기획팀 차장은 지능형 위협 대응 솔루
션인 안랩 MDS를 제안했다 안병무 차장은 ldquo최초 감염(First Victim) 방어 포기할 것인가rdquo라는 주제 발표를 통해 랜섬웨어에 대한 최선의 대
응책은 lsquo예방rsquo과 lsquo선제적 방어rsquo라고 전제했다 이어 ldquo랜섬웨어를 비롯해 고도화된 최신 공격 대응에서 놓치지 말아야 할 부분은 첫 번째 희생자
(First Victim)가 발생할 가능성을 최소화하는 것rdquo이라고 강조하고 ldquo안랩 MDS의 lsquo실행보류(Execution Holding) 기능을 이용해 랜섬웨어가 동
작하는 것 자체를 방지할 수 있다rdquo고 설명했다
랜섬웨어는 공통분모hellip산업별 보안 위협은
랜섬웨어는 개인과 기업 산업 분야를 막론하고 공통된 보안 위협이라는 데는 이견이 없다 그러나 기업의 비즈니스에 따라 최우선 보안 과제
는 각기 다르다
기업으로 눈 돌리는 랜섬웨어 그 실체는
산업 분야를 막론하고 현재 가장 심각한 보안 이슈는 역시 랜섬웨어였다 특히 최근 미국의 주요 병원들의 랜섬웨어 감염 사례를 시작으로 랜
섬웨어의 표적이 개인 중심의 불특정 다수에서 막대한 자금을 보유하고 있는 기업군으로 옮겨갈 것이라는 예측도 있어 기업 보안책임자들의
고민이 깊은 실정이다
12
김창희 팀장과 한태수 실장(왼쪽부터)은 각각 유통 분야와 건설 분야의 보안 위협 요인과 대응 방안에 대해 공유했다
정청환 실장은 안랩의 제품 개발부터 관리까지 전 과정에 대한 안랩의 독자적인 보안 체계를 소개해 참석자들의 이목을 집중시켰다
유통 분야를 위한 ISF 스퀘어 2016에서는 최근 또다시 화두가 되고 있는 POS 시스템 보안 위협에 대한 상세한 정보가 공유됐다 김창희 안랩
제품기획팀 팀장은 ldquoPOS 및 단말 보안을 위한 효과적인 대응 방안rdquo이라는 주제 발표를 통해 수많은 고객의 신용카드 정보 등 민감한 정보를
다루는 POS 단말기가 해킹되면 실생활에 직결되는 사회적 경제적으로 치명적인 위험이 될 것이라고 단언했다 그러나 POS 시스템 등 산업
용 단말에는 일반적인 보안 정책이나 솔루션을 적용하는 것은 현실적이지 않다rdquo고 지적하고 ldquo안정적인 비즈니스 운영을 위해 안랩 EPS와 같은
전용 보안 솔루션을 도입하는 것이 바람직하다고 조언했다
한태수 안랩 매니지먼트개발 실장의 ldquo사물인터넷(IoT) 보안 위협과 대응 방안rdquo에 대한 발표는 특히 건설 분야 CISO의 눈과 귀를 사로잡았다
한태수 실장은 ldquo사물인터넷은 스마트가전 스마트헬스 특히 스마트홈 등 통신과 건설 분야에서 더욱 중요한 요소로 부각되고 있다rdquo며 ldquo이제
관련 산업 분야에서는 서비스 준비 단계에서부터 IoT 관련 개방형 표준에 근거한 정보보호 프라이버시 보호에 대해 필수적으로 고민해야만
한다rdquo고 강조했다 또한 ldquo설계도면이나 기술 정보 등 중요 정보가 많은 건설사의 특성상 지능형 보안 위협에 노출되면 피해가 커질 수 있다rdquo고
지적한 뒤 ldquo안랩은 이미 스마트홈 등과 관련해 실제 발생할 수 있는 다양한 공격 시나리오를 연구해왔으며 이에 대한 전방위적인 대응 방안을
마련하고 있다rdquo고 말했다
안랩은 금융 분야부터 유통 건설 그리고 공공 분야까지 각 산업 분야의 주요 보안 위협과 관련해 최적의 보안 솔루션을 제공하고 있다 안랩
의 다양한 솔루션의 근간에는 원천 기술을 보유한 RampD 센터와 인프라가 있다 이와 관련해 정청환 안랩 엔드포인트개발 실장은 그동안 많은
고객들이 궁금해했던 안랩의 보안 제품 개발과 개발 인프라 보안 관리 체계를 소개했다 정청환 실장은 특히 보안 업체 자체를 노리는 공격이
종종 등장하는 것과 관련해 안랩의 대비책은 물론 제품 개발부터 관리까지 무결성을 보장하기 위한 안랩의 자체적인 보안 체계를 상세하게
설명해 참석자들의 큰 호응을 얻었다
백민경 안랩 제품기획팀 차장은 은행 증권사 카드사 등 금융기관이 직면한 위기로 lsquo이용자 PC를 노리는 전자금융사기rsquo를 꼽았다 백민경 차장
은 실제 금융기관 보안 침해 사례를 통해 파밍 다이어 악성코드 공유기 공격 메모리 해킹 등 전자금융사기 기법을 설명하고 모바일과 온라
인으로 금융 서비스를 이용하는 비율이 증가하는 자율 금융 시대를 맞아 명확한 위험요소를 파악하고 그에 따른 적절한 솔루션 도입 등 이용
자 보호와 금융 시스템 보안을 위한 철저한 철학을 갖추는 것이 필요하다고 강조했다
13
세션 발표 후 진행된 라운드 테이블 프로그램을 통해 안랩의 권치중 대표 강석균 전무 배민 상무 방인구 상무가 고객사 CISO와 자유롭고 다양한 논의를 이어나갔다
안랩은 오는 6월 8일 서울 양재동 엘타워에서 공공 및 교육기관의 보안책임자를 대상으로 ISF 스퀘어 2016을 이어나갈 예정이다 또한 안랩은
서울에서 진행되는 행사에 참석하기 어려운 각 지역의 고객사를 위해 lsquo파트너와 함께 찾아가는 고객 세미나rsquo도 동시에 진행하고 있다 지난 5
월 24일 전주 지역에 이어 오는 6월 16일에는 대구 21일에는 대전에서 고객사의 보안책임자를 초청해 최신 보안 위협 동향과 대응 방안을 공
유할 예정이다
고객의 생생한 목소리를 듣다
여타 보안 세미나와 안랩 ISF 스퀘어의 가장 큰 차별점은 제품 기획자부터 제품 개발 책임자 그리고 대표이사에 이르기까지 한 자리에서 고객
과 직접 소통한다는 점이다 이번 ISF 스퀘어 2016에서도 안랩 EP사업부문 총괄인 강석균 전무 EP영업본부 총괄 배민 상무 서비스사업부 총
괄 방인구 상무 등이 총출동해 고객의 고민을 듣고 의견을 나눴다
14
CryptXXX RansomwareT H R E A T A N A L Y S I S
최근 lsquo크립트엑스엑스엑스 랜섬웨어rsquo가 대량 유포되면서 피해 사례가 늘어나고 있다 크립트엑스엑스엑스의 특징은 기존 랜섬웨어와
달리 실행 파일(EXE) 형태가 아닌 동적 링크 라이브러리(DLL) 형태로 유포되고 있다는 점이다 DLL 형태로의 유포는 정상적인 프로
세스와 함께 동작하는 구조여서 감염 사실을 알아차리기조차 어렵다
월간 lsquo안rsquo에서는 1부와 2부에 걸쳐 크립트엑스엑스엑스의 동작 방식과 주요 기능 암호화 방식 복구 툴 등 자세한 내용을 소개한다
lt연재 목차gt
1부_ DLL 이용한 CryptXXX 랜섬웨어 분석 완료
2부_ CryptXXX 암호화 비밀과 복구 툴 공개
DLL 이용한 CryptXXX 랜섬웨어 분석 완료
CryptXXX 랜섬웨어 분석 보고서_1부
크립트엑스엑스엑스 랜섬웨어(진단명 TrojanWin32CryptXXX
이하 크립트엑스엑스엑스)는 컴퓨터에 있는 파일을 암호화한 뒤
lsquocryptrsquo 확장자로 변경하여 사용자에게 비트코인을 요구하는 랜섬웨
어다 [그림 1]은 크립트엑스엑스엑스의 동작 방식이다
크립트엑스엑스엑스의 경우 다른 랜섬웨어와의 차이점은 DLL(동
적 링크 라이브러리 Dynamic Linking Library)로 동작한다는 점이
다 크립트엑스엑스엑스는 정상 rundll32exe를 악성 DLL이 있는 경
로에 svchostexe로 이름을 바꾸어 복사한 뒤 악성 DLL의 내보내기
(Export) 함수를 인자값으로 호출하여 동작한다
이 악성코드는 피해자의 컴퓨터를 감염시킬 때 lsquoRecovery_사용자
IDtxtrsquo lsquoRecovery_사용자IDhtmlrsquo lsquoRecovery_사용자IDbmprsquo 형
식의 파일을 생성하며 내용은 [그림 3] [그림 4]와 같다
[그림 1] 크립트엑스엑스엑스 동작 방식
[그림 3] 크립트엑스엑스엑스 결제 안내 페이지
[그림 2] svchostexe(정상 rundll32exe)로 로드되어 동작하는 악성 DLL
15
CampC 통신
크립트엑스엑스엑스는 파일을 암호화하기 전 CampC에 악성코드가 생
성한 사용자 ID를 전송한다
암호화된 환경
크립트엑스엑스엑스는 암호화가 완료된 파일의 수정한 날짜와 시간
정보를 백업된 원본의 수정한 날짜로 변경한다
[그림 4] 크립트엑스엑스엑스 결제 안내 텍스트
[표 1] 자동 실행 등록을 위한 바로가기 링크 파일 생성
[표 3] 암호화 대상 확장자
[표 4] 암호화 제외 대상 경로
[표 2] 암호화 대상 드라이브
[그림 5] 자동 실행 등록 정보
[그림 6] CampC 통신 패킷 정보
크립트엑스엑스엑스 주요 기능
자동 실행 등록
크립트엑스엑스엑스는 [표 1]과 같이 시작프로그램에 바로가기 링크
파일을 생성한다 [그림 5]에서 알 수 있듯이 해당 링크 파일에 의해
실행되는 파일은 크립트엑스엑스엑스이며 lsquoMS114rsquo라는 이름의 함수
를 호출하는 기능을 한다
자동 실행 등록
파일
CDocuments and Settings프로그램시작프로그램[사용자ID]lnk
암호화 대상 드라이브
고정식 드라이브 이동식 드라이브 네트워크 드라이브
악성 DLL 내부에 암호화된 CampC는 2개이며 첫 번째 IP에 접속이 되
지 않았을 경우 두 번째 IP로 연결된다
- 1447821443
- 9311876443
CampC 접속 여부와 관계없이 패킷을 전송한 후에는 파일 암호화가 진
행된다
파일 암호화 대상
분석된 크립트엑스엑스엑스로부터 확인된 암호화 대상은 [표 2]와 같다
Z 부터 A 까지 마운트된 모든 드라이브 중 다음의 암호화 대상 드
라이브만 감염이 진행된다
암호화 대상 확장자
3DM 3DS AES APK APP ARC ASC ASM ASP ASPX BRD BZ2 C
CER CFG CFM CGI CGM CMD CPP CRT CSR CSS CSV CUE DB
DBF DCH DCU DIF DIP DJV DJVU DOC DOCB DOCM DOCX DOT DOTM
DOTX DTD DWG DXF EML EPS FDB FLA FRM GBK GBR GED GPG
GPX H HTM HTML HWP IBD INDD JAR JAVA JKS JSP KEY KML
KMZ LAY LAY6 LDF LUA M MAX MDB MDF MFD MML H MS11
MSI MYD MYI NEF NOTE OBJ ODB ODG ODP ODS ODT OTG OTP
OTS OTT P12 PAQ PAS PCT PDB PDF PEM PHP PIF POT POTM
POTX PPAM PPS PPSM PPSX PPT PPTM PPTX PRF PRIV PSD RAR RAW
RSS RTF SCH SDF SITX SLDX SLK SLN SQL STC STD STI STW
SVG SWF SXC SXD SXI SXM SXW TAR TBK TEX TGZ TLB TXT
UOP UOT VB VBS VCF VDI VMDK VMX WKS WPD WPS WSF XLC
XLM XLR XLS XLSB XLSM XLSX XLT XLTM XLTX XLW XML ZIP ZIPX
ACCDB CLASS GADGET IBOOKS PAGES PLUGIN PRIVATE
QCOW2 SQLITE3 SQLITEDB VCXPROJ XCODEPROJ XHTML
암호화 대상 확장자
폴더
WINDOWS BOOT EFI CONFIGMSI
WINNT RECOVERY PROGRA^1 GOOGLE
RECYCLER$RECYCLE
BINPROGRA^2 TEMP
SYSTEM^1 PERFLOGS
16
[그림 7] 암호화 된 파일의 파일의 시간 정보 변경 코드
[그림 8] 암호화된 파일의 시간 정보 변경 전(왼쪽) 및 변경 후(오른쪽)
[그림 13] 암호화 완료 후 화면
[그림 12] 결제 안내 파일의 시간 정보 변경 전(좌) 및 변경 후(우)
[그림 9] 암호화 후 확장자 변경
[그림 11] 결제 안내 파일의 시간 정보 변경 코드
[그림 10] 암호화된 파일과 생성된 결제 안내 파일(BMP HTML TXT)
[그림 7]에서 붉은색 박스로 표현한 부분의 데이터(A4 80 BC 4B 36
B0 D1 01)는 SetFileTime API를 사용하여 백업된 원본의 수정한 날
짜로 변경된다
생성한 결제 안내 파일의 시간 정보를 [그림 12]와 같이 변경한다 암
호화가 완료되면 [그림 13]과 같은 화면을 띄우고 스크린이 잠기게
하여 사용자가 어떠한 동작도 할 수 없게 한다
이때 시간 정보가 변경된 파일은 MoveFileW API를 사용하여 [원본
파일명]crypt로 확장자가 변경된다
크립트엑스엑스엑스는 일반적으로 웹사이트 다운로드 등으로 유포되
는 경우가 많다 따라서 사용자는 출처를 알 수 없는 메일에 첨부된 파
일의 실행이나 불필요한 사이트 접근을 삼가는 등의 주의가 필요하다
해당 악성코드 감염을 막기 위해서는 항상 윈도우 보안 패치 및 V3
백신 프로그램을 최신 업데이트 상태로 유지하는 것이 필요하다
안랩은 원본 파일을 복구하는 툴을 랜섬웨어 보안센터를 통해 무료로
제공하고 있다
안랩 랜섬웨어 보안센터 바로가기
그리고 암호화된 파일이 있는 경로마다 결제 안내 파일들을 생성한다
앞서 언급했듯이 SetFileTime API를 이용하여 [그림 11]에 있는 붉은
색 박스에 있는 데이터(00 00 00 00 71 37 00 00)는 1601년 3월 12
일 월요일 10시 17분 27초로 변경된다
17
CryptXXX RansomwareT H R E A T A N A L Y S I S
크립트엑스엑스엑스(CryptXXX) 랜섬웨어는 정상 파일을 암호화한 후 lsquocryptrsquo 확장자로 변경하여 사용자에게 비트코인을 요구하는
랜섬웨어다 이 랜섬웨어는 현재까지 버전 1x 2x 3x 세 가지 형태가 알려져 있다 안랩은 현재 크립트엑스엑스엑스 2x 버전에 의
해 암호화된 파일에 대한 복구 툴을 제공하고 있다 특히 국내 사용자들이 많이 사용하고 있으나 기존 복구 툴이 지원하지 않는 한글
파일(HWP)의 복구도 가능하다는 점이 주목할만하다
월간 lsquo안rsquo에서는 1부와 2부에 걸쳐 크립트엑스엑스엑스의 동작 방식과 주요 기능 암호화 방식 복구 툴 등 자세한 내용을 소개한다
lt연재 목차gt
1부_ DLL 이용한 CryptXXX 랜섬웨어 분석 완료
2부_ CryptXXX 암호화 비밀과 복구 툴 공개
CryptXXX 암호화 비밀과 복구 툴 공개
CryptXXX 랜섬웨어 분석 보고서_2부
1 암호화 방식
[그림 1]은 크립트엑스엑스엑스에 의해 암호화된 lsquoPhotojpgrsquo 파일을
나타낸다 암호화는 고정 크기(0x1FFF)의 블록 단위로 순차적으로 이
뤄지며 암호화 최대 크기는 0xD012FE(대략 13M)로 이후의 데이터
는 원본과 동일하다
암호화된 파일은 원본 파일과 비교하여 260(=0x104)바이트가 증가
한 형태이며 이는 파일 끝부분에 삽입된 키 테이블(Key Table) 정보
로 인한 것이다([그림 1]에서 붉은색 블록 참고) 이 키 테이블 정보
는 블록 단위의 암호를 복호화하는 데 핵심이 되는 데이터로 공개키
를 통해 암호화되어 저장된다 즉 구조적으로는 해당 공개키에 매칭
되는 개인키 정보 없이는 해당 키 테이블 정보를 복호화할 수 없고
파일 복구가 불가능하다 하지만 해당 키 테이블 정보는 개인키 없이
도 원본 파일 시작 부분의 일부 데이터(예를 들면 파일 포맷별 Magic
정보)를 통해 파일의 형태를 확인할 수 있으며 그것을 토대로 유추할
수 있는 키 값으로 복구가 가능하다
2 Key Table 생성 방식과 취약성
[그림 2]는 파일 끝에 삽입된 0x104바이트 크기의 키 테이블이 생성
되는 과정을 나타낸다 이 그림에서 노란색 부분이 공개키로 암호화
된 KeyTable_A[0x40]이며 CryptEncrypt() API를 통해 공개키로 암
호화 시 원본 0x40바이트 크기의 데이터가 최종 0x80바이트 크기로
증가된다
[그림 1] 크립트엑스엑스엑스 암호화 방식
[그림 2] 키 테이블 생성 과정
18
[그림 2]에서 언급된 암호화에 사용되는 핵심 정보 3가지는 lsquo4바이
트 SEED 값rsquo lsquoKeyTable_A[0x40]rsquo lsquoKeyTable_B[0x100]rsquo이며 최초
4바이트 크기의 SEED 값으로부터 이후 정보들이 순차적으로 만들
어지는 구조를 갖는다 키 생성 과정의 최상위에 위치하는 SEED 값
은 감염 시점의 시스템 시간(SystemTime) 정보 중에서 시(wHour)
분(wMinute) 초(Second) 밀리초(Millisecond)를 이용하여 얻어지
며 이 SEED 값으로부터 0x40바이트 크기의 KeyTable_A[0x40] 데
이터가 생성된다 바로 이 부분에서 제작자가 의도하지 않은 취약성
이 존재하며 SEED 값이 동일하면 매번 동일한 KeyTable_A[0x40]
가 생성되는 구조를 갖는다 최종 블록 단위의 암호화에 사용되는
KeyTable_B[0x100]의 데이터와 원본 파일로부터 읽은 블록과의
XOR(배타적 논리합)을 통해 암호화가 수행된다
즉 SEED 값이 동일하면 매번 생성되는 최종 키 테이블 정보가 동일
한 점과 암호화 방식이 XOR이라는 2가지 포인트를 바탕으로 복구 대
상 파일의 Magic 정보가 존재한다면 역으로 키를 유추할 수 있는 구
조다 [그림 3]은 SEED 값이 0x02978CAC일 때 생성되는 키 테이블
A B의 예를 나타낸다
3 키 테이블 생성 함수
크립트엑스엑스엑스 랜섬웨어에서 파일 암호화 시 사용되는 핵심 정
보 3가지의 생성 함수는 다음과 같다
(1) SEED 값 생성
[그림 4]는 SystemTime 정보를 통해 4바이트 크기의 SEED 값을 생
성하는 함수를 나타낸다
KeyTable_A[0x40] 데이터가 생성되는 방식은 다음의 2가지 기본 테
이블 중 델파이 랜덤(Delphi Random) 함수를 통해 얻은 랜덤값을
바탕으로 하나의 값이 선택되어 구성되는 구조를 갖는다
(1) QWERTYUIOPASDFGHJKLZXCVBNMltgt$^amp()_+~|
(2) qwertyuiop[]asdfghjklzxcvbnm`1234567890-=
크립트엑스엑스엑스는 총 2번의 델파이 랜덤 함수를 사용하여 아래
의 Index(A)와 Index(B)를 얻게 된다 이때 Index(A)는 위 기본 테이
블 중 하나를 선택하기 위한 목적으로 Index(B)는 선택된 테이블의
데이터 중 하나를 선택하기 위한 목적으로 사용된다
Index(A) DelphiRandom(3) - 0 ~ 2 범위의 랜덤 값 생성(0 2인 경우 -gt
(1)번 1인 경우 -gt (2))
Index(B) DelphiRandom(44) - 0 ~ 43 범위의 랜덤 값 생성
예를 들어 Index(A) == 0이고 Index(B) == 3이면 lsquoRrsquo 문자열이 선택
된다
(2) 키 테이블(A) 생성
[그림 5]는 SEED 값을 바탕으로 0x40바이트 크기의 키 테이블을 생
성하는 함수이며 do-while 문을 통해 생성되는 0x40바이트 크기의
데이터가 SEED 값이 동일하면 동일한 형태로 생성되는 취약성이 존
재하는 부분이다
(3) 키 테이블(B) 생성
[그림 6]은 키 테이블(A)로부터 0x100바이트 크기의 최종 키 테이블
(B)가 생성되는 함수를 나타낸다 이 키 테이블 정보는 1바이트 단위
의 블록 단위의 암호화 시 XOR 키 값으로 사용된다
[그림 3] 키 테이블 A B 예제
[그림 4] SEED 값 생성 함수
[그림 5] 키 테이블(A) 생성 함수
19
[그림 6] 키 테이블(B) 생성 함수
[그림 7] 크립트엑스엑스엑스 복구 과정
4 복구 방식
시 분 초 밀리초 정보를 통해 계산되는 SEED 값의 범위는 다음과
같다
- 최소값 0000000000 -gt 0 최대값 235959999 -gt 0x5265bff
사용자마다 그리고 암호화된 파일마다 서로 다른 SEED 값을 유추하
기 위해 0 ~ 0x5265bff 범위의 SEED를 순차적으로 선택하며 이를
바탕으로 암호화에 사용된 키 테이블을 생성하거나 복호화를 시도
한다 첫 번째 블록에 대한 복호화를 통해 파일의 고유한 식별 정보
(Magic)가 확인되면 유효한 SEED 값으로 판단하고 전체 파일에 대
한 블록 단위의 복구를 시도한다 우선 첫 번째 파일이 복구에 성공하
면 두 번째 파일부터는 SEED의 범위를 제한하여 좀 더 빠른 복구가
가능하도록 했다 이러한 설정은 복구 대상 파일들이 동일 시간대에
감염된 형태가 대부분일 것으로 가정하여 이루어진 것으로 복구 대
상 파일들이 서로 다른 시스템에서 다른 시간대에 수집된 형태의 경
우 복구 시간이 더 오래 걸리는 특징을 갖는다
5 복구 대상 리스트
복구 툴을 통해 복구 가능한 크립트엑스엑스엑스 버전은 2x로 제한
적이며 우선 다음의 확장자들에 대한 복구가 가능하도록 제작되었
다 특히 국내 사용자들이 많이 사용하고 있으나 기존 복구 툴이 지
원하지 않는 한글 파일(HWP)의 복구가 가능하다 이 외에도 원본 파
일의 고유한 식별 정보만 알 수 있다면 복구가 가능한 구조이기 때문
에 추후 복구 대상으로 추가될 수 있다
CHM AI HWP PDB PDF RTF HTM HTML PHP XML DWG PS
WSF KEY CSR CRT WAV MP3 OGG WMA WMV AVI ASF MP4
MOV MID MPG FLV PNG GIF BMP TIF JPG JPEG ZIP RAR BZ2
7Z GZ JAR APK TGZ ODS DOC DOT PPT POT PPS XLS XLT
DOCX DOCM DOTX DOTM PPTX PPTM POTM POTX PPSM
XLSX XLSB XLSM XLTM XLTX EPS ISO SQLITE3 MDB MSI APP
FDB ACCDB SLN CLASS VCXPROJ
6 복구 툴 경로
안랩은 크립트엑스엑스엑스 랜섬웨어 2x 버전에 대한 복구 툴을 랜
섬웨어 보안센터를 통해 무료로 제공하고 있다
안랩 랜섬웨어 보안센터 바로가기
[그림 7]은 크립트엑스엑스엑스 복구 툴에서 파일 복구를 위해 이루
어지는 과정을 나타낸 것이다 구조상 첫 번째 파일을 복구하는 데 오
랜 시간이 소요되며 이후 파일부터는 빠르게 복구가 가능하다
20
F O C U S I N - D E P T H Compliance
20
1 개인정보보호법
1) 정보주체 이외로부터 수집한 개인정보의 수집 출처 고지 의무화
ldquo따르릉~ 여보세요 홍길동 고객님이시죠 여기는 보험사인데
요~ 알지도 못하는 보험사로부터 이런 전화를 받아 본 경험이 혹시
있었는지 모르겠다 어디서 내 전화번호를 입수한 것인지 물어보면 정
확히 대답하지 않거나 얼버무리는 경우도 많다 개정안이 시행되는 9
월 30일부터 이런 식의 연락은 더 이상 받지 않게 될 것 같다 일정 규
모 이상이 되는 기업(5만 명 이상의 민감 정보 또는 고유식별정보 처
리 100만 명 이상의 개인정보처리)이 정보주체로부터 직접 수집하지
않고 개인정보를 처리할 때는 반드시 ①정보수집출처 ②개인정보처리
목적 ③개인정보 처리정지 요구권이 있다는 사실을 최초 수집 후 3개
월 이내에 정보주체에게 고지해야만 하기 때문이다 불법으로 입수한
개인정보라면 애초에 고지도 못할 테지만 적법하게 제공받은 경우라
하더라도 고객에게 일일이 고지하기란 큰 부담이 될 것이다 고객이 제
3자 제공 동의를 해서 개인정보를 제공했다는 사실을 증명하라고 요구
하면 그 또한 큰일이다 필자 견해로는 이 개정안에 대한 대응이 본 기
사를 통틀어 제일 큰일일 듯 싶다
2) 민감정보의 안전성 확보조치 명시적 요구
민감정보란 개인의 사상middot신념 노동조합middot정당의 가입middot탈퇴 정치
적 견해 건강 유전 정보나 범죄 경력처럼 사생활을 현저히 침해할
우려가 있는 정보를 말한다 기존에도 고유식별 정보와 더불어 수집
이용하지 않는 것이 원칙이고 별도의 동의를 얻어 처리해야 하며 안
전성확보 조치를 통해 보호해야 할 대상이었다 이번 개정안에서는
민감정보에 대한 안전성 확보 조치를 명시적으로 요구하고 있을 뿐
기업 입장에서 달리 조치해야 할 사항은 없어 보인다 (기존 법에 따
라 잘 조치하고 있었을 경우에는 그렇다는 뜻이다)
3) 개인정보처리방침과 개인정보취급방침 구성 요건 동기화
개인정보보호법의 lsquo개인정보처리방침rsquo은 정보통신망법(이후 lsquo정통망
법rsquo)의 lsquo개인정보취급방침rsquo과 이름도 다르고 구성 요건에도 약간의 차
이가 있었다 이번 개정안에서는 방침 구성 내용에 정통망법 일부 사
꼭 챙겨야 할 개인정보보호 법령
지난 3월 8일 발간된 월간 lsquo안rsquo 2016년 3월호에 lsquo2016년에 챙겨봐야 할 개인정보보호 법령 5가지rsquo란 제목으로 개인정보보호 법령에 대
해 소개한 바 있다 이후 3월 22일과 29일에 정보통신망법과 개인정보보호법이 또 개정되어 2016년에 챙겨야 할 법령이 더 늘어났다
이번 호에서는 두 가지 법의 개정사항의 중요도를 별점으로 매겨가며 정리하고자 한다 단 중요도의 기준은 필자의 주관에 따른 것이므
로 참고만 하는 것이 좋겠다 개정된 내용 중 기업과 관련이 적은 사항은 따로 적지 않았다
별점으로 살펴본
lsquo개정rsquo 개인정보보호 관련 법령
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
중요도 업무영향도 대응업무부하
처 벌
- 미이행 시 3000만 원 이하의 과태료
- 미이행 상태에서 유출 사고 발생 시 2년 이하의 징역 또는 2000만 원 이하
의 벌금
중요도 업무영향도 대응업무부하
처 벌 해당 없음
기업에서 대응해야 할 업무 절차
1 법 시행 시점 이후 수집 보유 중인 개인정보 중 정보주체에게 직접 입수한 것이 아닌
개인정보 식별(정보주체 외 입수 경로 제3자 제공 동의 여부 확인)
2 1에서 식별된 개인정보 중 연락처가 있는 개인정보 식별
3 2에서 식별된 정보주체에게 개인정보 수집 및 이용 사실 고지(파기요청 수집)
구체적인 고지 시기 방법은 시행령이 나와야 알 수 있음
4 3의 절차에서 파기 요청 시 파기 시행
기업에서 대응해야 할 업무 절차
1 보유 중인 개인정보 중 민감정보 식별
2 1에서 식별된 민감정보에 대한 안전성 확보 조치 수준 점검
3 2절차에서 법 기준에 미흡한 경우 보완 조치 이행
2121
항을 반영하여 유사한 구조를 갖추도록 했으며 정통망법 또한 lsquo개인
정보처리방침rsquo으로 명칭을 변경함으로써 개인정보보호법과 일원화할
수 있게 되었다 개인정보보호법 개인정보처리방침에 추가된 사항은
다음과 같다
2 정보통신망 이용촉진 및 정보보호 등에 관한 법(이하 lsquo정
통망법)
1) 정보주체의 이동통신 단말장치 내 정보 및 기능에 대한 접근 시 동
의절차 의무화
스마트폰 메신저 앱을 생각해 보자 메신저 앱의 핵심적인 기능은 다
른 사람과 메시지를 주고받는 것이다 메신저를 편히 쓰려면 연락처
를 일일이 입력하기보다는 스마트폰에 있는 연락처 정보를 이용하는
게 필요할텐데 개정된 법은 그렇게 메신저 앱이 서비스를 이용하기
위해 스마트폰에 저장된 정보에 접근할 경우에 반드시 정보주체의 동
의를 받아야 한다는 것이다
핵심 서비스를 위해 필요한 정보나 접근권한에도 동의를 받으라고 하
는 상황인데 그 외의 목적이라면 당연히 동의를 요구할 수밖에 없다
이 경우에는 사용자가 동의를 거부할 권한이 있고 동의를 안했다고
해서 기업이 서비스 제공을 거부할 수 없도록 하고 있다(거부하면 과
태료 처벌을 받을 수 있다)
이 법의 요구사항은 흔히 알고 있는 개인정보 수집이용 동의와 개념
이 다르기 때문에 기업에서도 상당한 고민과 부담이 있을 것으로 예
상된다 (예를 들면 휴대전화에 저장된 연락처는 휴대전화 주인의 개
인정보가 아니므로 정보주체의 개인정보 수집이용 동의로 대체할 수
없다) 휴대전화 기능에 대한 접근권한 역시 개인정보 수집이용 동의
와는 다른 사항이므로 동의 절차를 새롭게 설정해야 할 가능성이 높
다 이런 동의와 철회 방법에 대한 구현 책임은 이동통신단말장치 소
프트웨어 제조업자와 공급자에게 부과하고 있으며 위반 시 과태료 처
벌을 할 수 있도록 되어 있다
2) 개인정보 처리업무 수탁자가 재위탁할 경우 원 위탁자의 동의를 받
는 경우에만 가능함
이번 정통망법 개정안에서는 개인정보 처리 위탁 관련 조항이 특히
많이 수정되었다 대부분 용어가 lsquo취급rsquo에서 lsquo처리rsquo로 바뀐 사항이 많
고 일부 조항은 개인정보보호법과 동일한 수준으로 바뀌었다 예컨대
수탁자에 대한 관리 감독 책임에 lsquo교육rsquo을 별도로 명시한다거나 수탁
자에게 위탁을 할 경우에는 문서에 의하여야 한다는 내용들이 그러하
다 개인정보보호법보다 조금 엄격하게 느껴질 만한 것은 제25조 7
항으로 수탁자의 재위탁은 위탁자로부터 동의를 받은 경우에 한한다
는 내용이다 (개인정보보호법은 시행령 제28조에서 lsquo재위탁 제한에
관한 사항rsquo을 위탁 시 작성해야 할 문서에 기재하도록 하고 있다)
3) 전화 권유 판매 시 개인정보 수집출처 고지 의무 부과
정통망법에 따르면 전자적 전송매체를 이용하여 영리목적의 광고성 정
보를 전송할 때 수신자의 명시적인 사전 동의를 받아야만 한다 사전
동의를 받지 않을 수 있는 예외가 두 가지 있는데 lsquo방문판매 등에 관한
③ 이동통신단말장치의 기본 운영체제(이동통신단말장치에서 소프트웨어를 실행할 수 있는
기반 환경을 말한다)를 제작하여 공급하는 자와 이동통신단말장치 제조업자 및 이동통신단
말장치의 소프트웨어를 제작하여 공급하는 자는 정보통신서비스 제공자가 이동통신단말장
치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근하려는 경우 접근
권한에 대한 이용자의 동의 및 철회방법을 마련하는 등 이용자 정보 보호에 필요한 조치를
하여야 한다
2 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
다 접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실
② 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 반드시 필요하지 아니한 접근
권한을 설정하는 데 이용자가 동의하지 아니한다는 이유로 이용자에게 해당 서비스의 제공
을 거부하여서는 아니 된다
중요도 업무영향도 대응업무부하
처 벌 2000만 원 이하의 과태료
- 수탁자가 위탁자의 동의 없이 재위탁을 한 경우
기업에서 대응해야 할 업무 절차
1 운영개발 중인 모바일 앱(App) 현황 파악(앱이 설치된 모바일 기기 내 이용 정보 및 기
능 내역)
2 1에서 식별된 모바일 기기 내 정보 및 기기에 대해 서비스 이용에 필수선택 항목 식별
3 모바일 앱 설치 시 동의이용 중 철회 절차 검토 및 보완
1) 필수항목과 선택항목의 구분
2) 법 제22조의2제1항1호2호의 사항을 고지사항에 반영
4 이용자 정보 보호에 필요한 기타 조치 사항 반영
5 3과 4에서 도출된 사항을 모바일 앱에 적용 업데이트
6 기존 운영 중인 앱의 경우 고객에게 업데이트 고지(동의 또는 재동의 절차 적용)
⑦ 수탁자는 개인정보 처리위탁을 한 정보통신서비스 제공자 등의 동의를 받은 경우에 한
하여 제1항에 따라 위탁받은 업무를 제3자에게 재위탁할 수 있다 lt신설 2016322gt
기업에서 대응해야 할 업무 절차
1 수탁자의 경우 위탁받은 개인정보의 처리 업무 중 재위탁 현황 파악
2 재위탁 사실이 있고 위탁자의 동의 증적이 없는 경우 파악
3 2에서 파악된 미동의 재위탁 건에 대해 위탁자에게 고지 및 동의 확보
6 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항
을 처리하는 부서의 명칭과 전화번호 등 연락처
7 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치middot운영 및 그 거부에
관한 사항(해당하는 경우)에만 정한다
중요도 업무영향도 대응업무부하
처 벌
3000만 원 이하의 과태료
- 반드시 필요하지 않은 접근권한 설정에 정보주체가 동의하지 않는다는 이유
로 서비스 제공을 거부할 경우
- 접근권한에 대한 동의 및 철회방법을 마련하는 등 조치를 하지 않은 경우
제22조의2(접근권한에 대한 동의) ① 정보통신서비스 제공자는 해당 서비스를 제공하기 위
하여 이용자의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신 단말장치에 설치된
기능에 대하여 접근할 수 있는 권한(이하 ldquo접근권한rdquo이라 한다)이 필요한 경우 다음 각 호의
사항을 이용자가 명확하게 인지할 수 있도록 알리고 이용자의 동의를 받아야 한다
1 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한인 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
2222
법률rsquo에 따른 전화 권유 판매자가 육성으로 전화 권유를 하는 경우가
그 중 하나였다 개정 법에서는 lsquo수신자에게 개인정보의 수집출처를 고
지하고rsquo라는 조건이 추가됨으로써 한결 까다로워졌다
4) 개인정보의 국외 이전 유형에 따른 동의 요건 완화
모처럼 개인정보보호 담당자한테 반가운 개선 조항이 생겼다 개인정
보의 국외 이전은 정통망법에서 논란이 되던 문제였다 개인정보보호
법은 국외에 제3자 제공할 경우만 정보주체의 동의 받으라고 되어 있
는데 정통망법에선 lsquo이전rsquo할 때 동의를 받으라고만 되어 있었기 때문에
제3자 제공과 위탁의 경우를 달리 적용하기 어려웠던 것이다 개정안
에서는 lsquo국외로 이전하려면rsquo이라고 되어 있던 조항을 lsquo국외에 제공(조회
되는 경우를 포함한다)middot처리위탁middot보관(이하 이 조에서 ldquo이전rdquo이라 한
다)하려면rsquo이라고 풀어서 표현하고 lsquo다만 정보통신서비스의 제공에 관
한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서
제3항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자
우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는
개인정보 처리위탁middot보관에 따른 동의절차를 거치지 아니할 수 있다rsquo라
는 단서 조항을 더 함으로써 국외 이전의 경우에도 위탁업무일 경우엔
동의 받지 않고 처리할 수 있도록 하였다 (개인정보보호법과 일치시킨
셈이다)
5) 노출된 개인정보의 삭제 차단 조치 의무화
웹사이트에서 시험 합격자 명단 등을 공개할 때 관리자의 부주의로 주
민번호와 같은 고유식별정보를 포함시키는 일이 종종 발생하곤 한다
기존 법령에서도 개인정보의 노출을 통제할 책임은 정보처리자에게 부
여하고 있으나 이번 개정안에서는 별도의 조항으로 명시함으로써 책임
성을 부각하고 있다 관련 처벌이 따르지 않아 규범적 조항인 점이 그
나마 다행스럽다
6) 기타 사항
이상 중요한 사항은 짚어 보았고 다른 사항은 대부분 개인정보보호법
과 균형을 맞추기 위한 내용들이다 lsquo개인정보관리책임자rsquo란 용어는
개인정보보호법과 마찬가지로 lsquo개인정보보호책임자rsquo란 용어로 바뀌
었고 처벌 수준에 있어서도 주요 법 위반 시 위반행위에 관련된 이익
의 몰수 추징 조항이 신설되었다 내용의 파급력으로 보자면 충격이
클 수도 있는 제32조 제2항의 징벌적 손해배상도 이미 개인정보보호
법에 들어간 내용이기 때문에 기업 입장에서 새롭게 고민할 사항은
적을 듯하다
전기통신사업자와 정보통신서비스 제공자를 대상으로 하는 정보통신
망법과 일반법으로 적용되는 개인정보보호법은 개인정보보호의 규준
을 이루는 양대 법률이다 기업 입장에선 지나치게 자주 개정되어 정보
보호 업무 부담을 더하는 측면도 있다 하지만 이번 개정안은 두 법의
용어와 조항 처벌 수준 등을 통일함으로써 법 적용을 돕는 긍정적인
면이 훨씬 많을 듯하다 아무쪼록 이번 개정안이 적극 반영되어 사회
전반에서 더욱 안전한 개인정보보호 환경이 갖추어지기를 기대한다
기업에서 대응해야 할 업무 절차
1 전화 권유 판매 시 정보주체 사전 동의 획득 여부 확인
2 사전동의 미 획득 케이스인 경우 개인정보 수집출처 확인
3 개인정보 수집출처가 확인되지 않은 경우 개인정보 이용 중지
4 개인정보 수집출처가 확인된 경우 수집출처를 고객에게 고지하고 전화 권유 판매
기업에서 대응해야 할 업무 절차
1 개인정보의 해외 이전 유형 식별(제공처리위탁보관)
2 이전 유형 중 처리위탁보관의 경우 고지공개 여부 확인
3 이전 유형 중 제공의 경우 동의 여부 확인
4 2 3단계에서 미흡 사항 발견 시 개선 조치
중요도 업무영향도 대응업무부하
처 벌 없음
제32조의3(노출된 개인정보의 삭제middot차단) ① 정보통신서비스 제공자 등은 주민등록번호
계좌정보 신용카드정보 등 이용자의 개인정보가 정보통신망을 통하여 공중에 노출되지 않
도록 하여야 한다
② 정보통신서비스 제공자 등의 고의 또는 중대한 과실로 인하여 개인정보가 분실middot도난middot
유출middot위조middot변조 또는 훼손된 경우로서 이용자에게 손해가 발생한 때에는 법원은 그 손
해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다 다만 정보통신서비스
제공자 등이 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다 lt신설
2016322gt
기업에서 대응해야 할 업무 절차
1 시스템 내 개인정보 노출 현황 파악 (노출정보유형목적노출기간주관부서 등 현황 파악)
2 노출된 고유식별정보 및 금융정보 발견 시 삭제 또는 보호(마스킹 등) 조치
3 1~2의 반복적 이행 가급적 시스템화하는 것이 바람직함
중요도 업무영향도 대응업무부하
처 벌
- 2000만 원 이하의 과태료 공개나 고지 없이 개인정보를 국외에 처리위탁
보관한 경우
- 과징금 부과 정보주체의 동의 없이 개인정보를 국외에 제공한 경우
23
어릴 때부터 각종 디지털 기기의 사용이 능숙한 lsquo디지털 키즈(Digital kids)rsquo인 우리 자녀들을 위한 똑똑한 lsquo디지털 페어런팅(육아법)rsquo을 소개한
다 식당이나 카페에서 어린 자녀에게 스마트폰은 보여주고 있거나 자녀가 어린이날 선물로 스마트폰을 사달라고 조르는 경우 스마트폰 게임
이나 SNS에 빠져 있는 자녀 때문에 걱정인 부모들에게 필요한 자녀의 연령에 맞는 디지털 페어런팅이다 자녀가 성숙한 디지털 기기 사용 습
관을 기를 수 있도록 도와주는 것은 부모가 반드시 해야 하는 역할 중 하나다
몸짓을 이미지로 기억해 엄마의 의도를 파악한다 그다음 좌뇌가 발달하는데 좌뇌가 발달하기 시작하면 언어 발달이 이루어진다 그런데 이 시
기에 과도하게 스마트폰에 노출되면 우뇌가 충분히 발달하지 않은 상태에서 좌뇌가 발달하게 된다
우뇌가 제대로 발달하지 못하면 감정을 담당하는 뇌 발달에 영향을 줄 수 있는데 이는 다른 사람의 마음을 헤아리는 능력 다른 사람과 생각이
나 느낌을 주고 받는 능력 사고력 감정 조절력 부족으로 이어질 수 있다 우는 아이를 달래려고 부모가 편하게 밥을 먹기 위해서 흥미로운
자극을 주고 싶다는 이유로 이 시기 아이에게 건넨 스마트폰은 아이의 뇌에 치명적인 후유증을 남길 수 있음을 기억해야 한다
3~6세 유아기 부모의 통제 하에 사용해야
전문가들은 이 시기 아이에게도 디지털 기기의 사용을 권장하지는 않는다 하지만 현실적으로 쉽지 않다면 차선책을 선택해야 한다 부모가 디
지털 기기의 이용 시간 및 콘텐츠 등에 대해 확실한 기준을 갖고 있어야 한다 lsquo하루 30분 이상 넘기지 않으며 아이가 좋아하는 애니메이션 영상
과 동요 율동 영상만 본다rsquo는 식으로 말이다 아이의 손에 스마트폰을 맡겨버리면 의도하지 않은 영상에까지 노출될 우려가 있으니 주의해야 한다
약속한 시간 외에는 스마트폰을 아이의 손에 닿지 않는 곳에 두는 것이 좋다 이를 위해서는 부모 역시 스마트 기기 사용을 절제할 수 있어야
한다 아이들은 부모를 롤 모델로 삼아 그 태도와 습관을 배우기 때문이다 하지만 이 시기 아이가 스마트폰을 보여 달라고 강하게 떼를 쓰는
등 통제가 되지 않을 때는 당분간 아예 아이에게서 스마트폰을 분리하는 것이 효과적이다 스마트폰이 아닌 다른 방법으로 아이와 시간을 보
내는 법을 고민하는 것은 부모의 몫이다
0~3세 영유아기 스마트폰 잠시 건네는 것도 안 돼
이제 걸음마를 시작할 법한 아이가 스마트폰에 집중해 있는 모습을
본 적이 있을 것이다 우는 아이를 달래기 위해서 식당이나 카페에서
아이를 조용히 앉혀놓을 요량으로 부모는 어린 자녀의 손에 스마트폰
을 쥐여준다 하지만 전문가들은 이 시기의 아이에게 디지털 기기를
노출시키는 건 ldquo안 된다rdquo고 입을 모은다 lsquo영유아 스마트폰 증후군rsquo 등
의 부작용이 우려되기 때문이다
lsquo영유아 스마트폰 증후군rsquo이란 6세 미만의 아이들이 영상 게임 등의
지속적인 자극에 오랜 시간 노출되어 우뇌가 발달해야 하는 시기에
좌뇌가 지나치게 발달해 좌middot우뇌의 균형이 틀어지는 것을 말한다
영아기 아이는 우뇌가 먼저 발달하는데 엄마의 표정 목소리 눈짓
I T amp L I F E
내 아이를 지키는 rsquo디지털 페어런팅rsquo
스티브 잡스가 자녀에게 아이폰 아이패드와 같은 디지털 기기의 사용을 허락하지 않았다는 건 잘 알려진 사실이다 드론을 만드는 3D
로보틱스 CEO 크리스 앤더슨은 아이들이 사용하는 전자 기기의 사용 시간을 제한하고 부모가 통제할 수 있는 장치를 부착했다고 한
다 그는 ldquo테크놀로지의 위험을 잘 알고 있으며 아이들에게 그런 일이 일어나는 것을 원치 않는다rdquo며 그 이유를 설명했다 이들의 자녀
교육법이 전적으로 옳다고 말할 수는 없지만 어릴 때부터 디지털 기기 사용이 너무나 익숙한 우리 자녀들의 모습은 한 번쯤 돌아볼 필
요가 있다
24
6~10세 미만 디지털 기기 사용 가이드라인에 대해 설명해줘야
부모가 디지털 기기 사용 시간 및 사용 및 목록의 한계에 대한 가이드라인을 정하고 이에 대해 아이가 이해할 수 있도록 설명해주는 것이 좋
다 가이드 라인을 정할 때 아이의 생각을 들어보고 반영하는 것도 방법이다 디지털 기기 사용 가이드라인이 지켜질 수 있도록 온 가족이 노력
해야 함은 물론이다 TV를 보고 스마트 기기를 가지고 노는 것 자체가 문제가 될 수도 있지만 이로 인해 친구들과 뛰어놀며 신체활동을 하는
즐거움을 빼앗기지 않도록 하는 것도 중요함을 잊지 말아야 한다
10세 이상의 초등학생 스스로 규칙을 정하고 지킬 수 있도
록 동기 부여
부모들의 고민 중 하나는 lsquo아이에게 스마트폰을 언제 사줄 것인가rsquo다
아이의 하교 후 학원에서 학원으로 이동할 때마다 연락을 주고받기
위해 휴대전화가 필요할 수도 있다 요즘은 초등학교 입학과 함께 스
마트폰을 사주는 가정도 많다 친구들도 다 있다며 사달라고 떼를 쓰
는 아이의 마음도 이해 못 하는 바 아니지만 자녀에게 스마트폰을 사
주는 적당한 시기는 부모가 잘 판단해야 한다 아이가 스마트폰 사용
규칙을 지킬 수 있을 만큼 성숙한 상태여야 한다는 의미다 하고 싶어
도 참을 수 있는 절제력과 충동조절능력 좌절인내력이 바탕이 돼야
만 스스로 규칙을 지킬 수 있다
구글 애플 마이크로소프트 등 글로벌 IT 기업의 자녀들이 많이 다니
는 실리콘밸리에 발도로프 학교에는 컴퓨터가 없다 스크린 보드 빔
프로젝터 등의 멀티미디어 기기도 없으며 연필과 종이 분필 등을 이
용한 아날로그식 수업이 진행된다 이들은 우리나라 나이로 중학교 3
학년이 되는 8학년이 돼서야 컴퓨터를 서서히 배우기 시작한다 학생
들이 학교에 디지털 기기를 가져올 수도 없다 lsquo디지털 세상이 아이를
아프게 한다rsquo의 저자인 신의진 정신과 박사는 ldquo언제 자녀가 스마트폰
을 사용하면 좋냐rdquo는 질문에 ldquo늦을수록 좋다rdquo고 답한다
우리 자녀 세대는 지금 우리보다 훨씬 더 디지털 기기와 가깝게 지낼
것이다 시대가 변하고 있기 때문이다 더 흥미로운 기기들이 쏟아질
것이고 그에 맞는 교육 및 놀이 앱이 넘쳐날 것이다 하지만 시대가
변해도 변하지 않는 것은 존재한다 부모가 자녀와 디지털 생활에 대
해 이야기를 나눌 수 있는 환경은 신뢰를 바탕으로 한 그들의 아날로
그 생활에서의 환경이 조성하는 법이다 가족과 함께 서로의 디지털
생활에 대한 이야기를 나눠보는 시간을 갖는 것은 어떨까
자녀와 함께 TV 컴퓨터 스마트폰 등에 대한 이용 규칙을 정하고 스스로 통제할 수 있도록 동기를 부여해주는 것이 좋다 만약 약속을 어겼을
경우 벌칙도 명확히 해둔다 예를 들어 주말에만 컴퓨터 게임을 하기로 했는데 어겼다면 다음 주말 컴퓨터 이용 시간을 줄이는 식이다 초등학
교 3~4학년만 돼도 아이들은 SNS에 흥미를 느끼기 시작한다 이때 부모는 아이가 어떤 게시물을 올리고 다운로드하는지 관심을 가질 필요가
있다 인터넷상에 올린 글이나 영상은 쉽게 공유될 수 있으며 지우는 것도 쉽지 않다는 점에 대해서도 알려줘야 한다
중middot고등학생 자율성 존중하되 방치해선 안 돼
ldquo스마트폰 그만하고 공부해rdquo와 같은 강압적인 지시는 되레 부작용을 낳을 수 있다 중middot고등학생의 자녀와의 디지털 페어런팅에서 가장 중요한
것은 자율성을 존중하되 방치해서는 안 된다는 점이다 아이가 적당히 조절하며 디지털 기기를 사용하고 있다면 문제 없지만 걱정할 정도로 몰
입돼 있는 상황이라면 가정의 디지털 페어런팅 방식을 다시 점검해봐야 한다 과몰입 상태는 적절한 교육으로 가정에서 바로 잡을 수 있지만 중
독의 수준이라면 상황이 달라진다 이런 경우 아이가 디지털 기기에 빠진 원인을 찾고 이를 해결하기 위해 전문가 상담 및 치료를 받아야 한다
[그림 1] 컴퓨터가 없는 발도로프 학교에 대해 다룬 뉴욕타임즈 기사
(출처 httpwwwnytimescom20111023technologyat-waldorf-school-in-silicon-valley-technology-can-waithtml)
참고 자료
신의진(2013) 디지털 세상이 아이를 아프게 한다 북클라우드
구본권(2014) 당신을 공유하시겠습니까 어크로스
25
보안 통계와 이슈 S T A T I S T I C S
[그림 2]는 2016년 4월 한 달간 유포된 악성코드를 주요 유형별로 집
계한 결과이다 불필요한 프로그램인 PUP(Potentially Unwanted
Program)가 5948로 가장 높은 비중을 차지했고 트로이목마
(Trojan) 계열의 악성코드가 168 웜(Worm)이 347의 비율로
그 뒤를 이었다
지난 4월 한 달간 탐지된 모바일 악성코드는 24만 7847건으로 집계
됐다
안랩 시큐리티대응센터(이하 ASEC)는 최근 ASEC Report Vol76를 통해 지난 2016년 4월의 보안 통계 및 이슈를 전했다 지난 4월
의 주요 보안 이슈를 살펴본다
파일 속성 변경하는 리눅스 악성코드 등장
안랩 4월 악성코드 통계 및 보안 이슈 발표
[그림 1] 악성코드 추이(2016년 2월~2016년 4월)
ASEC이 집계한 바에 따르면 2016년 4월 한 달간 탐지된 악성코드
수는 1156만 4967건으로 나타났다 이는 전월 1321만 2012건에
비해 164만 7045건 감소한 수치다 한편 4월에 수집된 악성코드 샘
플 수는 324만 5837건이다
샘플 수집 수탐지 건수
[그림 2] 2016년 4월 주요 악성코드 유형
Adware DownloaderWormTrojanetcPUP
[그림 3] 모바일 악성코드 추이(2016년 2월 ~ 2016년 4월)
5000000
6000000
10000000
20000000
30000000
40000000
1000000
2000000
3000000
4000000
4월3월2월
11830547 1156496713212012
324
583
7
354
858
1
349
346
8
347
168
1939
5948072
014
100000
200000
300000
500000
600000
700000
400000
0
4월3월2월
247847256512
323301
26
또한 지난 4월 악성코드 유포지로 악용된 도메인은 648개 URL은
2216개로 집계됐다 4월의 악성 도메인 및 URL 차단 건수는 총 637
만 3536건이다
이와 같은 경우 lsquolsattrrsquo 명령을 통해 해당 파일의 속성을 조회하면 [그
림 7]과 같이 lsquoirsquo 속성이 추가되어 있음을 확인할 수 있다
리눅스 악성코드 lsquo빌게이츠 봇넷rsquo 발견
최근 리눅스(Linux) 운영체제에서 감염 시스템의 정보 수집 시스
템 파일 교체 DDoS 공격 등을 수행하는 lsquo빌게이츠 봇넷(BillGates
botnet)rsquo이 발견됐다 해당 악성코드는 감염 시스템 내에서 속성이 변
경되어 삭제가 불가능해 리눅스 사용자들의 피해가 우려된다
빌게이츠 봇넷은 서버에 침입 후 파일의 속성을 변경하여 악성코드를
삭제할 수 없도록 설정한다 리눅스 시스템에서 악성코드 감염에 의
해 파일 속성이 변경된 경우 이를 삭제할 수 있는 방법을 자세히 살
펴보자
먼저 공격자가 파일의 속성을 변경한 후 [그림 5]와 같이 삭제 시도를
하면 lsquo실행이 허가되지 않았다(Operation not permitted)rsquo라는 메시
지가 출력되며 해당 파일이 삭제되지 않는다
이처럼 lsquoirsquo 속성이 추가되어 있는 경우에는 [그림 8]과 같이 루트 권한
으로 lsquochattrrsquo 명령을 통해 해당 파일의 속성을 변경한 후 다시 삭제
를 시도하면 해당 파일이 정상적으로 삭제된다
파일의 속성 추가(chattr)는 lsquo+[추가할 속성]rsquo 제거는 lsquondash[제거할 속성]rsquo
을 통하여 수행할 수 있으며 lsquo-Rrsquo 옵션을 추가로 부여하는 경우에는
하위 디렉터리까지 모두 포함되어 적용된다 이는 윈도우(Windows)
운영체제의 lsquoattirbrsquo 명령과 유사하다
이때 만일 관리자가 파일이 삭제되지 않는 원인을 파일 권한 문제라
고 생각하고 파일 시스템에 기록된 정보를 이용하여 루트 계정 및
inode를 제거하는 방법으로 다시 삭제를 시도하면 마찬가지로 동일
한 메시지가 발생하며 파일이 삭제되지 않는다
이번 리눅스 악성코드 사례와 같이 파일의 속성이 변경되어 삭제가
불가한 경우가 있어 권한 뿐만 아니라 파일 속성에 대해서도 다시 한
번 확인하는 것이 필요하다 단 중요 파일이나 로그 파일 등은 lsquoirsquo나
lsquoarsquo 속성을 적용하는 정상적인 경우도 있다 즉 이러한 속성이 적용되
어 있는 파일이라고 해서 모두 악성 파일은 아니므로 정확히 악성으
로 확인된 파일에 대해서만 삭제를 진행할 것을 권장한다
최근 리눅스 운영체제를 노리는 악성코드가 꾸준히 증가하고 있다
DDoS 공격이나 백도어 등 리눅스 악성코드의 기능도 다양해지고 있
으며 앞으로 더욱 고도화될 것으로 예상된다 리눅스 시스템도 안전
하게 이용하기 위해서는 반드시 암호를 설정해야 하며 최신 보안 업
데이트를 적용해야 한다
V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지하고
있다
ltV3 제품군의 진단명gt
LinuxBackdoor1223123B
[그림 5] RM 명령어를 통한 삭제 시도
[그림 6] INODE 제거를 통한 삭제 시도
[그림 4] 악성코드 유포 도메인URL 탐지 및 차단 건수(2016년 2월 ~ 2016년 4월)
악성 도메인URL 차단 건수 악성코드 유포 URL 수악성코드 유포 도메인 수
10000
20000
30000
8000000
9000000
40000
7000000
6000000
5000000
4000000
04월
221681467900
6481587936
3월2월
6373536
7157616
6355582
[그림 7] 파일 속성 조회
[표 1] 리눅스 파일 속성 및 lsquoCHATTRrsquo 명령어 예시
[그림 8] 파일 속성 변경 후 제거 시도
[명령어 예시 (i S 속성 추가)]
chattr + iS samples
[파일 속성명 중 일부] [설명]
a (CAP LINUX IMMUTABLE capability) 추가 작성만 가능 삭제 불가
I (CAP LINUX IMMUTABLE capability) 삭제 변경 링크 파일 생성 등
S 파일이 변경되면 디스크 동기화
u 파일 삭제 시 내용 백업
2727
A H N L A B N E W S
현대자동차 그룹 IT서비스 전문업체인 현대오토에버가 최근 lsquo5스타
우수 개발협력사rsquo로 안랩을 선정했다
lsquo현대오토에버 우수 개발협력사rsquo는 현대오토에버가 협력사와 공동
으로 수행한 전년도 사업의 수행 실적에 따라 1스타부터 5스타까지
우수협력사를 선정하고 이에 따른 다양한 인센티브를 제공하는 프
로그램이다
안랩은 현대오토에버의 개발컨설팅 협력사로서 프로젝트 평가 및
업체 종합 평가 등에서 안정적이고 우수한 프로젝트 성과를 인정받
아 최고 등급인 lsquo5스타rsquo 우수 개발협력사로 선정됐다 안랩 서비스
사업부를 총괄하는 방인구 상무는 ldquo안랩은 핵심가치인 lsquo고객만족rsquo을
기준으로 맡은 사업에 대해 언제나 최선을 다하고 있다rdquo며 ldquo안랩을
신뢰해주시는 여러 회사와 함께 동반성장할 수 있도록 노력하겠다rdquo
고 말했다
안랩이 지난달 17일 코엑스 컨벤션센터에서 열린 lsquo아마존 웹 서비
스 글로벌 서밋 서울 2016(이하 AWS 서밋 서울 2016)rsquo에서 다양
한 산업 관계자를 대상으로 lsquo안랩 AWS 고객 원격 보안관제 서비스rsquo
를 소개했다
AWS 서밋 서울 2016은 아마존 웹 서비스가 제공하는 클라우드 컴
퓨팅 서비스에 대한 지식을 공유하고 IT 업계의 최신 기술 트렌드 등
을 소개하는 행사로 지난해 첫 국내 개최에 이어 두 번째로 열렸다
이번 행사에 참가한 안랩은 전용 부스를 운영하며 lsquo안랩 AWS 고객
원격 보안관제 서비스rsquo에 대한 개별 고객 상담 및 서비스 체험 신청
등을 진행했다 안랩 AWS 고객 원격 보안관제 서비스는 네트워크
및 웹 서비스 등에 대한 보안을 안랩의 침해대응(CERT) 전문인력이
원격으로 모니터링 및 관리해주는 서비스다
또한 별도 발표장에서 진행된 미니 발표 세션에서 안랩 서비스상
품기획팀 김준호 대리는 안랩 AWS 고객 원격 보안관제 서비스의
개요 및 구성을 비롯하여 탐지를 넘어 위협 분석까지 제공하는
침해사고 대응 프로세스 미디어사 O2O(Online to Offline 온오
프라인 연결) 서비스 제조 분야의 실제 고객 사례를 통한 다양한
산업별 서비스 적용 방안 등 lsquo안랩 AWS 고객 원격 보안관제 서비
스rsquo의 개념과 강점을 소개했다
안랩 김준호 대리는 ldquo안랩은 lsquoAWS 고객 원격 보안관제 서비스rsquo를
지난 1월 출시한 이후 약 4개월 여 만에 이미 복수의 대형 고객사
를 확보하는 등 검증된 서비스를 제공하고 있다rdquo며 ldquo이는 많은 고객
사에서 단순 탐지를 넘어 위협 분석 및 대응까지 가능한 안랩의 전
문성을 인정한 것으로 볼 수 있다rdquo고 강조했다
현대오토에버
lsquo우수 개발협력사rsquo로 안랩 선정
안랩 lsquoAWS 서밋 서울 2016rsquo에서
클라우드 보안관제 서비스 소개
안랩은 AWS 서밋 서울 2016 행사에서 전용 부스와 발표 세션을 통해 안랩 AWS 고객 원격 보안관제 서비스를 소개했다
발행인 권치중
발행처 주식회사 안랩
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
편집인 안랩 콘텐츠기획팀
디자인 안랩 디자인팀
copy 2016 AhnLab Inc All rights reserved
본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제 복사 검색 시스템
으로 저장 또는 전송될 수 없습니다 안랩 안랩 로고는 안랩의 등록상표입
니다 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상
표일 수 있습니다 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
copy 2016 AhnLab Inc All rights reserved
httpwwwahnlabcom
httpblogahnlabcom
httptwittercomahnlab_man
66
국내middot외 주요 사회기반시설 공격 사례
2000년대 초에도 특정 국가나 사회기반시설을 노린 악성코드가 존재했다 지난 2001년 7월 발견된 코드레드(CodeRed) 웜으로 인해 미국 백
악관 홈페이지에 서비스거부(DoS) 공격이 발생했다 국내에서는 2003년 1월 25일 슬래머(Slammer) 웜에 의한 인터넷 장애가 발생했다 이
를 lsquo125 인터넷 대란rsquo이라 부른다
본격적인 사회기반시설에 대한 사이버 공격은 2000년대 중반 이후에 나타났다 2007년 4월 27일 에스토니아(Estonia) 공화국의 정부 언론
방송 은행의 전산망이 일제히 분산서비스거부(Distribute Denial of Service 이하 DDoS) 공격을 받았다 이 공격으로 대통령궁을 비롯해 의
회 정부기관 은행 이동통신 네트워크 등 에스토니아의 국가 시스템 전체가 약 3주간 마비되는 사태가 발생했다
2008년 6월에는 조지아(Georgia 러시아명 lsquo그루지아rsquo)의 정부 홈페이지 언론사 포털 사이트 등이 대규모 DDoS 공격을 받았다 평균 2시간
15분 최장 6시간 동안 공격이 지속되었으며 사흘간 이어진 공격으로 금융 시스템 장애가 발생하는 등 사회가 마비되었다
2010년부터는 단순한 서비스 장애 유발이 아닌 사회기반시설에 대한 직접적인 공격이 발생한다 가장 대표적인 사례는 2010년 6월 발견된
스턱스넷(Stuxnet)이다 스턱스넷은 지멘스(SIEMENS)사의 산업자동화제어시스템(PCS7)을 타깃으로 하는 악성코드로 2010년 9월 이란의 원
자력 발전소 마비 사태의 주범으로 알려졌다
에너지 분야를 노린 사이버 공격의 또 다른 사례로는 2012년 사우디에서 발생한 사우디 아람코(Saudi Aramco) 해킹이 있다 같은 해 8월 27
일에는 카타르(Qatari) 천연가스 기업인 라스가스(RasGas)도 사이버 공격을 당했다는 사실이 언론을 통해 알려졌다 이후 2015년 우크라이나
에서는 발전소 해킹에 의한 대규모 정전 사태가 발생하기도 했다
우크라이나 정전 사태와 같이 최근에는 교통 및 항공 시설 전력 시설을 노린 사이버 공격으로 인해 일반 시민들이 생활에 불편을 겪거나 심각
한 피해를 입고 있다 최근 국내에서 발생한 사고와 유사한 일이 브라질에서도 발생한 바 있다 브라질의 버스 정류장 안내 시스템이 해킹되어
약 15분간 음란 동영상이 노출된 것이다 항공 시설과 관련해서는 지난 2015년 6월 폴란드 공항이 DDoS 공격을 당해 비행 계획 시스템이 5
시간 동안 마비되었으며 약 1400여 명의 승객이 공항에서 발이 묶인 사건도 있다
[그림 1] 국내외 주요사회기반시설 공격 사례
[그림 2] 해킹된 브라질 버스 안내 시스템(출처 SecurityWeek)
77
이 밖에도 프랑스 방송사 떼베생몽드(TV5Monde) 해킹 및 방송 송출 장애 이스라엘 방송국 해킹 지난 2013년 국내 주요 은행 및 방송국을
노린 3bull20 전산망 마비 최근 발생한 방글라데시 중앙은행 해킹 미국 뉴욕댐 전산망 해킹 미국 내 다수 병원의 랜섬웨어 감염 등 사회기반시
설을 노리는 공격들이 다방면에서 지속적으로 발생하고 있다
사회기반시설 공격에 사용된 악성코드의 실체
앞서 언급한 사례 중 우크라이나 발전소 해킹과 정유 회사 사우디 아람코 해킹 사례를 중심으로 실제 사회기반시설 공격에 사용된 악성코드와
공격 방식에 대해 알아보자
1 우크라이나 발전소 해킹
지난 2015년 12월 23일 우크라이나의 키보브레네르고(Kyivoblenergo) 발전소에 문제가 발생해 이날 오후 3시 35분부터 3시간 동안 약 8만
가구에 전력 공급이 중단됐다 또한 우크라이나 서부 지역의 프리카르파티아오블레네르고(Prykarpattyaoblenergo) 발전소에서도 문제가 발
생해 주변 지역에 대규모 정전 사태가 발생했던 것으로 알려졌다 전화 시스템에도 장애가 발생해 전화 통화도 정상적으로 이루어지지 않았다
정전 직후 언론과 우크라이나 정보부(Security Service of Ukraine)는 사이버 공격의 가능성을 언급했다
우크라이나의 정전이 사이버 공격에 의해 발생했다는 정황이 계속 나타남에 따라 미국 정부도 관련 조사에 착수했다 지난 2016년 1월 미국
국토안보국은 우크라이나 정전 사태의 원인이 사이버 공격으로 드러났다고 발표했으며 3월 18일에는 관련 분석 보고서가 추가로 공개됐다
이 보고서에 따르면 공격자는 이미 6개월 전부터 발전소 내부 시스템에 침입해 관련 정보를 수집하고 악의적인 펌웨어(Firmware)를 개발하
는 등 철저한 준비 후 공격을 수행한 것으로 보인다
이와 관련해 SANS ICS팀과 해외 보안 업체 이셋(Eset)은 우크라이나 정전 사태와 블랙에너지(BlackEnergy) 악성코드가 밀접한 관계가 있다
고 발표했다 한편 우크라이나 정전 사건이 발생하기 한 달 전인 2015년 11월 우크라이나 사이버침해대응센터(CERT Computer Emergency
Response Team)는 우크라이나 선거 기간 동안 언론사를 공격한 블랙에너지 악성코드에 관해 언급한 바 있다 따라서 우크라이나에 대한 블
랙에너지 공격은 정전 사태 이전부터 진행되었음을 예상할 수 있다
블랙에너지는 다양한 변화를 겪어온 악성코드이다 2007년 DDoS 공격에 처음 이용되었으며 2008년 조지아(Georgia) 공격에도 사용되었던
것으로 알려졌다 드라이버 파일로 구성되어 있다는 것이 특징이며 현재에도 꾸준히 변형이 나타나고 있다
우크라이나 발전소를 공격한 것으로 알려져 있는 블랙에너지 악성코드는 악성코드를 떨어뜨리는 드롭퍼와 실제 악성 행위를 수행하는 난독화
된 드라이버 파일로 구성되어 있으며 FONTCACHEDAT 등의 파일이 생성된다
또한 해당 공격에서 공격자는 악성 매크로를 포함한 엑셀 파일을 이용한 것으로 알려졌다 문서를 열어본 사용자가 보안 경고 메시지의 lsquo콘텐
츠 사용rsquo을 선택하면 매크로가 실행된다 매크로가 실행되면 temp 폴더에 vba_macroexe 파일이 생성된다
[그림 3] 우크라이나 발전소 공격에 사용된 엑셀 파일의 매크로 기능
[그림 4] Winpcap 관련 파일로 위장
이렇게 생성된 vba_macroexe가 실행되면 FONTCACHEDAT 파일이 시스템에 생성된다 이 파일은 윈도우 패킷 캡쳐 프로그램인 WinPcap
와 관련된 파일로 위장하고 있다 내부 문자열 또한 Winpcap 관련 파일처럼 가장하고 있다
88
익스포트(export) 함수도 모두 정상 프로그램처럼 되어 있지만 PacketAllocatePacket 코드가 실행되면 암호를 풀면서 실행되며 플러그인 파
일을 다운로드하여 추가적인 기능을 수행한다
2 사우디 아람코(Saudi Aramco) 해킹
지난 2012년 8월 15일 세계 최대 규모의 석유 기업 중 하나인 사우디 아람코(Saudi Aramco)가 사이버 공격으로 약 3만 대의 시스템에 장애
가 발생하는 피해를 입었다 같은 날 자신들을 lsquo정의의 검(Cutting Sword of Justice)rsquo이라고 자칭하는 단체가 아람코 해킹이 자신들의 소행이
라고 주장했다
사우디 아람코 해킹에 사용된 악성코드는 lsquo샤문(Shamoon)rsquo 또는 lsquo디스트트랙(Disttrack)rsquo 등으로 불리며 사전에 내부 시스템을 파악하고 데이
터를 삭제하기 위해 제작된 악성코드이다 공격자가 어떻게 내부 시스템에 침입했는지는 아직 알려지지 않았다
샤문 악성코드의 구조는 [그림 6]과 같다 드롭퍼(Dropper)는 하드디스크 파괴 악성코드를 시스템에 떨어뜨리는 역할을 하며 데이터 삭제 기
능과 보고 기능만 가지고 있다 파일 속성 정보를 살펴보면 lsquoDistributed Link Tracking Serverrsquo라는 설명과 함께 마이크로소프트에서 제작한
파일로 가장하고 있다
[그림 5] 아람코 해킹에 관한 lsquo정의의 검(Cutting Sword of Justice)rsquo의 주장
[그림 6] 샤문(Shamoon) 악성코드 구조
[그림 7] 샤문 악성코드의 드롭퍼 등록 정보
99
데이터 파괴 파일은 lsquoCShamoonArabianGulfwiperreleasewuperpdbrsquo와 같은 PDB 정보를 가지고 있다 lsquoArabianGulfrsquo와 같은 문자열을
통해 명확한 공격 대상을 가진 악성코드임을 짐작할 수 있다
데이터 삭제 파일이 실행되면 드라이버 파일(drdisksys)을 생성하고 파일 목록을 얻는다 이후 시스템에 존재하는 파일을 JPEG 이미지로 덮어
쓴다 끝으로 하드디스크 MBR을 덮어써 시스템을 사용할 수 없게 하고 lsquoshutdown -r -f -t 2rsquo로 종료시킨다 한편 이 악성코드는 피해 시스템
수 등을 보고하는 기능도 갖고 있다
사회기반시설 보안에 관한 제언
지난해 말 안랩을 비롯한 국내외 보안 업체들은 2016년에 발생할 수 있는 보안 위협 중 하나로 사이버테러 및 국가기반시설 보안 위협을 꼽
은 바 있다 그리고 2016년 초부터 방글라데시 중앙은행의 해킹 국내 버스정류장 안내 시스템 해킹 등이 발생했다
사회기반시설은 사회의 근간을 이루는 중요한 시설인 만큼 강력한 보안이 동반되어야 한다는 것은 두말할 필요도 없다 그러나 실제로는 보안
인력이 부족한 경우나 내부 보안 인력의 전문성이 부족한 경우가 있다 또는 시설의 시스템 자체가 적절한 보안이 고려되지 않은 채 설계되었
거나 보안에 취약한 구형 시스템으로 운영되는 경우도 있다
외부 공격으로부터 사회기반시설을 안전하게 보호하기 위해서는 우선 구성원들이 준수할 수 있는 현실성 있는 보안 정책을 수립해야 한다 이
와 함께 적절한 보안 시스템을 구축해 내부로 유입되는 위협을 모니터링 및 차단하고 내부에서 확산되는 위협을 분석 및 대응할 수 있어야 한
다 일반적으로 악성코드의 내부 시스템 침입부터 시스템 파괴 등 악의적인 결과를 가져오기까지는 어느 정도의 시간이 소요된다 수많은 내부
시스템을 파악하고 하나씩 장악해야 하기 때문에 보통 6개월 정도가 걸린다 따라서 공격에 의한 피해가 발생하는 것을 방지하기 위해서는 주
요 시스템에 대한 정기 점검을 통해 이상 징후를 빨리 파악할 수 있어야 한다 이를 위해 전문성을 가진 인력의 양성과 활용이 필요하다 또한
협력 업체에 대한 강력한 보안 방안을 마련해야 한다 공격자들은 침입이 까다로운 사회기반시설을 직접적으로 공격하는 대신 협력 업체를 해
킹하는 등의 우회 공격을 시도할 수 있기 때문이다
한편 사회기반시설 공격 동향에 관한 보다 상세한 내용은 안랩 시큐리티 대응센터 분석팀에서 발표한 lsquo사회기반시설 공격 동향 분석 보고서rsquo
에서 확인할 수 있다
lsquo사회기반시설 공격 동향 분석 보고서rsquo 전문 보기
[그림 8] PDB 정보 내의 특징적인 문자열
참고 자료
- Data breach digest (httpwwwverizoneenterprisecomresourcesreportsrp_data-breach-digest_xg_enpdf )
- Analysis of the Cyber Attack on the Ukrainian Power Grid (httpsicssansorgmediaE-ISAC_SANS_Ukraine_DUC_5pdf )
- 도시철도 안전 및 유지관리 실태 감사결과 (httpgovseoulgokrarchives86261)
- 감사원 국가 사이버안전 관리 실태 (httpwwwbaigokrbaiindexdo)
- 강은성 lsquo망분리는 만병통치약인가rsquo (wwwciokoreacomnews25437)
- 미국 국토안보국 Sector Risk Snapshotsrsquo(httpswwwhsdlorgviewampdid=754033)
- httpwwwsecurityweekcomhackers-broadcast-porn-tv-screens-brazil-bus-depot
- httpafricanspotlightcom20150808hackers-broadcast-porn-on-tv-screens-at-brazil-bus-station-photos
- httpsmonthlychosuncomclientnewsviwaspnNewsNumb=200908100021
- httpsenwikipediaorgwikiCyberattacks_during_the_Russo-Georgian_War
- httpwwweconomistcomnode17147818
- httpmoneycnncom20150805technologyaramco-hack
- httprutsnuaukrayinaiz-za-hakerskoy-ataki-obestochilo-polovinu-ivano-frankovskoy-oblasti-550406html
- SANS httpsicssansorgblog20160101potential-sample-of-malware-from-the-ukrainian-cyber-attack-uncovered
- Ukraine CERT httpcertgovuap=2370
- httpwwwmtagokrpolicyitsmanagement_signjsp
- httpwwwittodaycokrnewsarticleViewhtmlidxno=42719
- httpssecurelistcomblogincidents57854shamoon-the-wiper-copycats-at-work
10
안랩 산업군별 ISF Square 2016 진행
고객의 고민을 듣다 대응 전략을 나누다
S P O T L I G H T AhnLab ISF Square 2016
안랩은 ISF 스퀘어 2016을 통해 각 산업 분야가 직면하고 있는 주요 보안 이슈와 위협 동향 정보를 공유하고 산업별 비즈니스에 최적화된 대
응 방안을 소개하고 있다 지난 4월 27일부터 5월까지 다섯 차례에 걸쳐 진행된 이번 행사에 각 산업 분야의 CISO 및 보안책임자 100여 명이
참석했다
권치중 안랩 대표이사는 환영사를 통해 ldquo신종 공격 기법이 끊임없이 나타나고 있어 고객사 자체가 또는 보안 벤더만으로 최신 보안 위협에 대
응하는 것은 사실상 불가능하다rdquo며 ldquoISF 스퀘어를 통해 고객을 직접 만나 실제 현장에서 느끼고 계신 고민과 어려움을 나누고 산업별로 특화
된 정보를 공유함으로써 실질적이고 최적화된 해법을 찾을 수 있으리라 기대한다rdquo고 말했다
안랩이 최근 한 달 여에 걸쳐 산업군별 정보보호최고책임자(CISO) 및 보안책임자를 대상으로 lsquo안랩 ISF Square 2016(이하 ISF 스퀘어
2016)rsquo을 개최하고 있다 ISF 스퀘어는 안랩이 지난 2009년부터 진행해오던 자사의 융합 보안 컨퍼런스 lsquo안랩 ISFrsquo를 산업별로 세분화
하여 개편한 보안 전략 세미나다 다양한 산업군별 고객사의 특성에 맞춰 lsquo맞춤형 보안 전략 및 솔루션rsquo을 제공하기 위한 목적이다
이번 ISF 스퀘어 2016은 지난 4월 27일 은행 및 카드사를 시작으로 28일에는 보험사 5월 11일과 18일 25일에는 각각 증권사와
건설사 유통사를 대상으로 진행됐다 6월 8일에는 공공 및 교육 기관의 보안책임자를 대상으로 진행할 예정이다
ISF 스퀘어 2016에 산업군별 CISO 100여 명이 참석한 가운데 권치중 안랩 대표이사는 ldquo고객의 목소리에 귀를 기울이고 고민을 나누는 것이 ISF 스퀘어의 목적rdquo이라고 전했다
11
한창규 실장과 김경희 실장(왼쪽부터)은 CISO들이 가장 궁금해하는 랜섬웨어를 비롯한 최신 공격 동향을 공유했다
안병무 차장과 백민경 차장(왼쪽부터)은 기업이 직면하고 있는 보안 위협을 살펴보고 이에 따른 안랩의 솔루션을 제시했다
이와 관련해 한창규 안랩 시큐리티대응센터(ASEC) 실장이 ldquo랜섬웨어로 대표되는 최신 위협 동향rdquo이라는 주제 발표를 통해 CISO의 궁금증에
답했다 한창규 실장은 실제 사례를 통해 신bull변종 랜섬웨어의 감염 경로 동작 원리 등을 설명했다 이어 ldquo랜섬웨어는 더 이상 일시적인 유행이
나 단발성 이슈가 아니다rdquo라며 ldquo기업에서도 이제 랜섬웨어에 대한 대응책을 마련해야 할 때rdquo라고 강조했다
이어 김경희 안랩 플랫폼개발실 실장은 랜섬웨어의 서비스화(RaaS Ransomware-as-a-Service)를 비롯해 모바일 랜섬웨어 맥(Mac) OS X를
노리는 랜섬웨어 등 진화하는 랜섬웨어의 흐름을 설명했다 김경희 실장의 설명에 따르면 랜섬웨어는 비대칭 키를 사용하기 때문에 실제 공격
자를 잡아 서버를 수거하지 않는 한 암호를 풀 수 없다 일단 감염되면 피해를 피할 수 없다는 것 특히 현재 일부 업체가 제공하는 lsquo랜섬웨어
복구 서비스rsquo의 대부분은 지불 대행 서비스로 공격자에게 비트코인을 대신 납부해주고 키를 받아 파일을 복구하는 방식에 불과하다 이와 관
련해 김경희 안랩 플랫폼개발실 실장은 ldquo돈을 주고 복구할수록 몸값이 올라갈 뿐만 아니라 돈을 많이 주는 기업을 노리게 된다rdquo고 지적했다
문제는 일반적인 보안 솔루션만으로는 랜섬웨어 대응이 쉽지 않다는 것 이와 관련해 안병무 안랩 제품기획팀 차장은 지능형 위협 대응 솔루
션인 안랩 MDS를 제안했다 안병무 차장은 ldquo최초 감염(First Victim) 방어 포기할 것인가rdquo라는 주제 발표를 통해 랜섬웨어에 대한 최선의 대
응책은 lsquo예방rsquo과 lsquo선제적 방어rsquo라고 전제했다 이어 ldquo랜섬웨어를 비롯해 고도화된 최신 공격 대응에서 놓치지 말아야 할 부분은 첫 번째 희생자
(First Victim)가 발생할 가능성을 최소화하는 것rdquo이라고 강조하고 ldquo안랩 MDS의 lsquo실행보류(Execution Holding) 기능을 이용해 랜섬웨어가 동
작하는 것 자체를 방지할 수 있다rdquo고 설명했다
랜섬웨어는 공통분모hellip산업별 보안 위협은
랜섬웨어는 개인과 기업 산업 분야를 막론하고 공통된 보안 위협이라는 데는 이견이 없다 그러나 기업의 비즈니스에 따라 최우선 보안 과제
는 각기 다르다
기업으로 눈 돌리는 랜섬웨어 그 실체는
산업 분야를 막론하고 현재 가장 심각한 보안 이슈는 역시 랜섬웨어였다 특히 최근 미국의 주요 병원들의 랜섬웨어 감염 사례를 시작으로 랜
섬웨어의 표적이 개인 중심의 불특정 다수에서 막대한 자금을 보유하고 있는 기업군으로 옮겨갈 것이라는 예측도 있어 기업 보안책임자들의
고민이 깊은 실정이다
12
김창희 팀장과 한태수 실장(왼쪽부터)은 각각 유통 분야와 건설 분야의 보안 위협 요인과 대응 방안에 대해 공유했다
정청환 실장은 안랩의 제품 개발부터 관리까지 전 과정에 대한 안랩의 독자적인 보안 체계를 소개해 참석자들의 이목을 집중시켰다
유통 분야를 위한 ISF 스퀘어 2016에서는 최근 또다시 화두가 되고 있는 POS 시스템 보안 위협에 대한 상세한 정보가 공유됐다 김창희 안랩
제품기획팀 팀장은 ldquoPOS 및 단말 보안을 위한 효과적인 대응 방안rdquo이라는 주제 발표를 통해 수많은 고객의 신용카드 정보 등 민감한 정보를
다루는 POS 단말기가 해킹되면 실생활에 직결되는 사회적 경제적으로 치명적인 위험이 될 것이라고 단언했다 그러나 POS 시스템 등 산업
용 단말에는 일반적인 보안 정책이나 솔루션을 적용하는 것은 현실적이지 않다rdquo고 지적하고 ldquo안정적인 비즈니스 운영을 위해 안랩 EPS와 같은
전용 보안 솔루션을 도입하는 것이 바람직하다고 조언했다
한태수 안랩 매니지먼트개발 실장의 ldquo사물인터넷(IoT) 보안 위협과 대응 방안rdquo에 대한 발표는 특히 건설 분야 CISO의 눈과 귀를 사로잡았다
한태수 실장은 ldquo사물인터넷은 스마트가전 스마트헬스 특히 스마트홈 등 통신과 건설 분야에서 더욱 중요한 요소로 부각되고 있다rdquo며 ldquo이제
관련 산업 분야에서는 서비스 준비 단계에서부터 IoT 관련 개방형 표준에 근거한 정보보호 프라이버시 보호에 대해 필수적으로 고민해야만
한다rdquo고 강조했다 또한 ldquo설계도면이나 기술 정보 등 중요 정보가 많은 건설사의 특성상 지능형 보안 위협에 노출되면 피해가 커질 수 있다rdquo고
지적한 뒤 ldquo안랩은 이미 스마트홈 등과 관련해 실제 발생할 수 있는 다양한 공격 시나리오를 연구해왔으며 이에 대한 전방위적인 대응 방안을
마련하고 있다rdquo고 말했다
안랩은 금융 분야부터 유통 건설 그리고 공공 분야까지 각 산업 분야의 주요 보안 위협과 관련해 최적의 보안 솔루션을 제공하고 있다 안랩
의 다양한 솔루션의 근간에는 원천 기술을 보유한 RampD 센터와 인프라가 있다 이와 관련해 정청환 안랩 엔드포인트개발 실장은 그동안 많은
고객들이 궁금해했던 안랩의 보안 제품 개발과 개발 인프라 보안 관리 체계를 소개했다 정청환 실장은 특히 보안 업체 자체를 노리는 공격이
종종 등장하는 것과 관련해 안랩의 대비책은 물론 제품 개발부터 관리까지 무결성을 보장하기 위한 안랩의 자체적인 보안 체계를 상세하게
설명해 참석자들의 큰 호응을 얻었다
백민경 안랩 제품기획팀 차장은 은행 증권사 카드사 등 금융기관이 직면한 위기로 lsquo이용자 PC를 노리는 전자금융사기rsquo를 꼽았다 백민경 차장
은 실제 금융기관 보안 침해 사례를 통해 파밍 다이어 악성코드 공유기 공격 메모리 해킹 등 전자금융사기 기법을 설명하고 모바일과 온라
인으로 금융 서비스를 이용하는 비율이 증가하는 자율 금융 시대를 맞아 명확한 위험요소를 파악하고 그에 따른 적절한 솔루션 도입 등 이용
자 보호와 금융 시스템 보안을 위한 철저한 철학을 갖추는 것이 필요하다고 강조했다
13
세션 발표 후 진행된 라운드 테이블 프로그램을 통해 안랩의 권치중 대표 강석균 전무 배민 상무 방인구 상무가 고객사 CISO와 자유롭고 다양한 논의를 이어나갔다
안랩은 오는 6월 8일 서울 양재동 엘타워에서 공공 및 교육기관의 보안책임자를 대상으로 ISF 스퀘어 2016을 이어나갈 예정이다 또한 안랩은
서울에서 진행되는 행사에 참석하기 어려운 각 지역의 고객사를 위해 lsquo파트너와 함께 찾아가는 고객 세미나rsquo도 동시에 진행하고 있다 지난 5
월 24일 전주 지역에 이어 오는 6월 16일에는 대구 21일에는 대전에서 고객사의 보안책임자를 초청해 최신 보안 위협 동향과 대응 방안을 공
유할 예정이다
고객의 생생한 목소리를 듣다
여타 보안 세미나와 안랩 ISF 스퀘어의 가장 큰 차별점은 제품 기획자부터 제품 개발 책임자 그리고 대표이사에 이르기까지 한 자리에서 고객
과 직접 소통한다는 점이다 이번 ISF 스퀘어 2016에서도 안랩 EP사업부문 총괄인 강석균 전무 EP영업본부 총괄 배민 상무 서비스사업부 총
괄 방인구 상무 등이 총출동해 고객의 고민을 듣고 의견을 나눴다
14
CryptXXX RansomwareT H R E A T A N A L Y S I S
최근 lsquo크립트엑스엑스엑스 랜섬웨어rsquo가 대량 유포되면서 피해 사례가 늘어나고 있다 크립트엑스엑스엑스의 특징은 기존 랜섬웨어와
달리 실행 파일(EXE) 형태가 아닌 동적 링크 라이브러리(DLL) 형태로 유포되고 있다는 점이다 DLL 형태로의 유포는 정상적인 프로
세스와 함께 동작하는 구조여서 감염 사실을 알아차리기조차 어렵다
월간 lsquo안rsquo에서는 1부와 2부에 걸쳐 크립트엑스엑스엑스의 동작 방식과 주요 기능 암호화 방식 복구 툴 등 자세한 내용을 소개한다
lt연재 목차gt
1부_ DLL 이용한 CryptXXX 랜섬웨어 분석 완료
2부_ CryptXXX 암호화 비밀과 복구 툴 공개
DLL 이용한 CryptXXX 랜섬웨어 분석 완료
CryptXXX 랜섬웨어 분석 보고서_1부
크립트엑스엑스엑스 랜섬웨어(진단명 TrojanWin32CryptXXX
이하 크립트엑스엑스엑스)는 컴퓨터에 있는 파일을 암호화한 뒤
lsquocryptrsquo 확장자로 변경하여 사용자에게 비트코인을 요구하는 랜섬웨
어다 [그림 1]은 크립트엑스엑스엑스의 동작 방식이다
크립트엑스엑스엑스의 경우 다른 랜섬웨어와의 차이점은 DLL(동
적 링크 라이브러리 Dynamic Linking Library)로 동작한다는 점이
다 크립트엑스엑스엑스는 정상 rundll32exe를 악성 DLL이 있는 경
로에 svchostexe로 이름을 바꾸어 복사한 뒤 악성 DLL의 내보내기
(Export) 함수를 인자값으로 호출하여 동작한다
이 악성코드는 피해자의 컴퓨터를 감염시킬 때 lsquoRecovery_사용자
IDtxtrsquo lsquoRecovery_사용자IDhtmlrsquo lsquoRecovery_사용자IDbmprsquo 형
식의 파일을 생성하며 내용은 [그림 3] [그림 4]와 같다
[그림 1] 크립트엑스엑스엑스 동작 방식
[그림 3] 크립트엑스엑스엑스 결제 안내 페이지
[그림 2] svchostexe(정상 rundll32exe)로 로드되어 동작하는 악성 DLL
15
CampC 통신
크립트엑스엑스엑스는 파일을 암호화하기 전 CampC에 악성코드가 생
성한 사용자 ID를 전송한다
암호화된 환경
크립트엑스엑스엑스는 암호화가 완료된 파일의 수정한 날짜와 시간
정보를 백업된 원본의 수정한 날짜로 변경한다
[그림 4] 크립트엑스엑스엑스 결제 안내 텍스트
[표 1] 자동 실행 등록을 위한 바로가기 링크 파일 생성
[표 3] 암호화 대상 확장자
[표 4] 암호화 제외 대상 경로
[표 2] 암호화 대상 드라이브
[그림 5] 자동 실행 등록 정보
[그림 6] CampC 통신 패킷 정보
크립트엑스엑스엑스 주요 기능
자동 실행 등록
크립트엑스엑스엑스는 [표 1]과 같이 시작프로그램에 바로가기 링크
파일을 생성한다 [그림 5]에서 알 수 있듯이 해당 링크 파일에 의해
실행되는 파일은 크립트엑스엑스엑스이며 lsquoMS114rsquo라는 이름의 함수
를 호출하는 기능을 한다
자동 실행 등록
파일
CDocuments and Settings프로그램시작프로그램[사용자ID]lnk
암호화 대상 드라이브
고정식 드라이브 이동식 드라이브 네트워크 드라이브
악성 DLL 내부에 암호화된 CampC는 2개이며 첫 번째 IP에 접속이 되
지 않았을 경우 두 번째 IP로 연결된다
- 1447821443
- 9311876443
CampC 접속 여부와 관계없이 패킷을 전송한 후에는 파일 암호화가 진
행된다
파일 암호화 대상
분석된 크립트엑스엑스엑스로부터 확인된 암호화 대상은 [표 2]와 같다
Z 부터 A 까지 마운트된 모든 드라이브 중 다음의 암호화 대상 드
라이브만 감염이 진행된다
암호화 대상 확장자
3DM 3DS AES APK APP ARC ASC ASM ASP ASPX BRD BZ2 C
CER CFG CFM CGI CGM CMD CPP CRT CSR CSS CSV CUE DB
DBF DCH DCU DIF DIP DJV DJVU DOC DOCB DOCM DOCX DOT DOTM
DOTX DTD DWG DXF EML EPS FDB FLA FRM GBK GBR GED GPG
GPX H HTM HTML HWP IBD INDD JAR JAVA JKS JSP KEY KML
KMZ LAY LAY6 LDF LUA M MAX MDB MDF MFD MML H MS11
MSI MYD MYI NEF NOTE OBJ ODB ODG ODP ODS ODT OTG OTP
OTS OTT P12 PAQ PAS PCT PDB PDF PEM PHP PIF POT POTM
POTX PPAM PPS PPSM PPSX PPT PPTM PPTX PRF PRIV PSD RAR RAW
RSS RTF SCH SDF SITX SLDX SLK SLN SQL STC STD STI STW
SVG SWF SXC SXD SXI SXM SXW TAR TBK TEX TGZ TLB TXT
UOP UOT VB VBS VCF VDI VMDK VMX WKS WPD WPS WSF XLC
XLM XLR XLS XLSB XLSM XLSX XLT XLTM XLTX XLW XML ZIP ZIPX
ACCDB CLASS GADGET IBOOKS PAGES PLUGIN PRIVATE
QCOW2 SQLITE3 SQLITEDB VCXPROJ XCODEPROJ XHTML
암호화 대상 확장자
폴더
WINDOWS BOOT EFI CONFIGMSI
WINNT RECOVERY PROGRA^1 GOOGLE
RECYCLER$RECYCLE
BINPROGRA^2 TEMP
SYSTEM^1 PERFLOGS
16
[그림 7] 암호화 된 파일의 파일의 시간 정보 변경 코드
[그림 8] 암호화된 파일의 시간 정보 변경 전(왼쪽) 및 변경 후(오른쪽)
[그림 13] 암호화 완료 후 화면
[그림 12] 결제 안내 파일의 시간 정보 변경 전(좌) 및 변경 후(우)
[그림 9] 암호화 후 확장자 변경
[그림 11] 결제 안내 파일의 시간 정보 변경 코드
[그림 10] 암호화된 파일과 생성된 결제 안내 파일(BMP HTML TXT)
[그림 7]에서 붉은색 박스로 표현한 부분의 데이터(A4 80 BC 4B 36
B0 D1 01)는 SetFileTime API를 사용하여 백업된 원본의 수정한 날
짜로 변경된다
생성한 결제 안내 파일의 시간 정보를 [그림 12]와 같이 변경한다 암
호화가 완료되면 [그림 13]과 같은 화면을 띄우고 스크린이 잠기게
하여 사용자가 어떠한 동작도 할 수 없게 한다
이때 시간 정보가 변경된 파일은 MoveFileW API를 사용하여 [원본
파일명]crypt로 확장자가 변경된다
크립트엑스엑스엑스는 일반적으로 웹사이트 다운로드 등으로 유포되
는 경우가 많다 따라서 사용자는 출처를 알 수 없는 메일에 첨부된 파
일의 실행이나 불필요한 사이트 접근을 삼가는 등의 주의가 필요하다
해당 악성코드 감염을 막기 위해서는 항상 윈도우 보안 패치 및 V3
백신 프로그램을 최신 업데이트 상태로 유지하는 것이 필요하다
안랩은 원본 파일을 복구하는 툴을 랜섬웨어 보안센터를 통해 무료로
제공하고 있다
안랩 랜섬웨어 보안센터 바로가기
그리고 암호화된 파일이 있는 경로마다 결제 안내 파일들을 생성한다
앞서 언급했듯이 SetFileTime API를 이용하여 [그림 11]에 있는 붉은
색 박스에 있는 데이터(00 00 00 00 71 37 00 00)는 1601년 3월 12
일 월요일 10시 17분 27초로 변경된다
17
CryptXXX RansomwareT H R E A T A N A L Y S I S
크립트엑스엑스엑스(CryptXXX) 랜섬웨어는 정상 파일을 암호화한 후 lsquocryptrsquo 확장자로 변경하여 사용자에게 비트코인을 요구하는
랜섬웨어다 이 랜섬웨어는 현재까지 버전 1x 2x 3x 세 가지 형태가 알려져 있다 안랩은 현재 크립트엑스엑스엑스 2x 버전에 의
해 암호화된 파일에 대한 복구 툴을 제공하고 있다 특히 국내 사용자들이 많이 사용하고 있으나 기존 복구 툴이 지원하지 않는 한글
파일(HWP)의 복구도 가능하다는 점이 주목할만하다
월간 lsquo안rsquo에서는 1부와 2부에 걸쳐 크립트엑스엑스엑스의 동작 방식과 주요 기능 암호화 방식 복구 툴 등 자세한 내용을 소개한다
lt연재 목차gt
1부_ DLL 이용한 CryptXXX 랜섬웨어 분석 완료
2부_ CryptXXX 암호화 비밀과 복구 툴 공개
CryptXXX 암호화 비밀과 복구 툴 공개
CryptXXX 랜섬웨어 분석 보고서_2부
1 암호화 방식
[그림 1]은 크립트엑스엑스엑스에 의해 암호화된 lsquoPhotojpgrsquo 파일을
나타낸다 암호화는 고정 크기(0x1FFF)의 블록 단위로 순차적으로 이
뤄지며 암호화 최대 크기는 0xD012FE(대략 13M)로 이후의 데이터
는 원본과 동일하다
암호화된 파일은 원본 파일과 비교하여 260(=0x104)바이트가 증가
한 형태이며 이는 파일 끝부분에 삽입된 키 테이블(Key Table) 정보
로 인한 것이다([그림 1]에서 붉은색 블록 참고) 이 키 테이블 정보
는 블록 단위의 암호를 복호화하는 데 핵심이 되는 데이터로 공개키
를 통해 암호화되어 저장된다 즉 구조적으로는 해당 공개키에 매칭
되는 개인키 정보 없이는 해당 키 테이블 정보를 복호화할 수 없고
파일 복구가 불가능하다 하지만 해당 키 테이블 정보는 개인키 없이
도 원본 파일 시작 부분의 일부 데이터(예를 들면 파일 포맷별 Magic
정보)를 통해 파일의 형태를 확인할 수 있으며 그것을 토대로 유추할
수 있는 키 값으로 복구가 가능하다
2 Key Table 생성 방식과 취약성
[그림 2]는 파일 끝에 삽입된 0x104바이트 크기의 키 테이블이 생성
되는 과정을 나타낸다 이 그림에서 노란색 부분이 공개키로 암호화
된 KeyTable_A[0x40]이며 CryptEncrypt() API를 통해 공개키로 암
호화 시 원본 0x40바이트 크기의 데이터가 최종 0x80바이트 크기로
증가된다
[그림 1] 크립트엑스엑스엑스 암호화 방식
[그림 2] 키 테이블 생성 과정
18
[그림 2]에서 언급된 암호화에 사용되는 핵심 정보 3가지는 lsquo4바이
트 SEED 값rsquo lsquoKeyTable_A[0x40]rsquo lsquoKeyTable_B[0x100]rsquo이며 최초
4바이트 크기의 SEED 값으로부터 이후 정보들이 순차적으로 만들
어지는 구조를 갖는다 키 생성 과정의 최상위에 위치하는 SEED 값
은 감염 시점의 시스템 시간(SystemTime) 정보 중에서 시(wHour)
분(wMinute) 초(Second) 밀리초(Millisecond)를 이용하여 얻어지
며 이 SEED 값으로부터 0x40바이트 크기의 KeyTable_A[0x40] 데
이터가 생성된다 바로 이 부분에서 제작자가 의도하지 않은 취약성
이 존재하며 SEED 값이 동일하면 매번 동일한 KeyTable_A[0x40]
가 생성되는 구조를 갖는다 최종 블록 단위의 암호화에 사용되는
KeyTable_B[0x100]의 데이터와 원본 파일로부터 읽은 블록과의
XOR(배타적 논리합)을 통해 암호화가 수행된다
즉 SEED 값이 동일하면 매번 생성되는 최종 키 테이블 정보가 동일
한 점과 암호화 방식이 XOR이라는 2가지 포인트를 바탕으로 복구 대
상 파일의 Magic 정보가 존재한다면 역으로 키를 유추할 수 있는 구
조다 [그림 3]은 SEED 값이 0x02978CAC일 때 생성되는 키 테이블
A B의 예를 나타낸다
3 키 테이블 생성 함수
크립트엑스엑스엑스 랜섬웨어에서 파일 암호화 시 사용되는 핵심 정
보 3가지의 생성 함수는 다음과 같다
(1) SEED 값 생성
[그림 4]는 SystemTime 정보를 통해 4바이트 크기의 SEED 값을 생
성하는 함수를 나타낸다
KeyTable_A[0x40] 데이터가 생성되는 방식은 다음의 2가지 기본 테
이블 중 델파이 랜덤(Delphi Random) 함수를 통해 얻은 랜덤값을
바탕으로 하나의 값이 선택되어 구성되는 구조를 갖는다
(1) QWERTYUIOPASDFGHJKLZXCVBNMltgt$^amp()_+~|
(2) qwertyuiop[]asdfghjklzxcvbnm`1234567890-=
크립트엑스엑스엑스는 총 2번의 델파이 랜덤 함수를 사용하여 아래
의 Index(A)와 Index(B)를 얻게 된다 이때 Index(A)는 위 기본 테이
블 중 하나를 선택하기 위한 목적으로 Index(B)는 선택된 테이블의
데이터 중 하나를 선택하기 위한 목적으로 사용된다
Index(A) DelphiRandom(3) - 0 ~ 2 범위의 랜덤 값 생성(0 2인 경우 -gt
(1)번 1인 경우 -gt (2))
Index(B) DelphiRandom(44) - 0 ~ 43 범위의 랜덤 값 생성
예를 들어 Index(A) == 0이고 Index(B) == 3이면 lsquoRrsquo 문자열이 선택
된다
(2) 키 테이블(A) 생성
[그림 5]는 SEED 값을 바탕으로 0x40바이트 크기의 키 테이블을 생
성하는 함수이며 do-while 문을 통해 생성되는 0x40바이트 크기의
데이터가 SEED 값이 동일하면 동일한 형태로 생성되는 취약성이 존
재하는 부분이다
(3) 키 테이블(B) 생성
[그림 6]은 키 테이블(A)로부터 0x100바이트 크기의 최종 키 테이블
(B)가 생성되는 함수를 나타낸다 이 키 테이블 정보는 1바이트 단위
의 블록 단위의 암호화 시 XOR 키 값으로 사용된다
[그림 3] 키 테이블 A B 예제
[그림 4] SEED 값 생성 함수
[그림 5] 키 테이블(A) 생성 함수
19
[그림 6] 키 테이블(B) 생성 함수
[그림 7] 크립트엑스엑스엑스 복구 과정
4 복구 방식
시 분 초 밀리초 정보를 통해 계산되는 SEED 값의 범위는 다음과
같다
- 최소값 0000000000 -gt 0 최대값 235959999 -gt 0x5265bff
사용자마다 그리고 암호화된 파일마다 서로 다른 SEED 값을 유추하
기 위해 0 ~ 0x5265bff 범위의 SEED를 순차적으로 선택하며 이를
바탕으로 암호화에 사용된 키 테이블을 생성하거나 복호화를 시도
한다 첫 번째 블록에 대한 복호화를 통해 파일의 고유한 식별 정보
(Magic)가 확인되면 유효한 SEED 값으로 판단하고 전체 파일에 대
한 블록 단위의 복구를 시도한다 우선 첫 번째 파일이 복구에 성공하
면 두 번째 파일부터는 SEED의 범위를 제한하여 좀 더 빠른 복구가
가능하도록 했다 이러한 설정은 복구 대상 파일들이 동일 시간대에
감염된 형태가 대부분일 것으로 가정하여 이루어진 것으로 복구 대
상 파일들이 서로 다른 시스템에서 다른 시간대에 수집된 형태의 경
우 복구 시간이 더 오래 걸리는 특징을 갖는다
5 복구 대상 리스트
복구 툴을 통해 복구 가능한 크립트엑스엑스엑스 버전은 2x로 제한
적이며 우선 다음의 확장자들에 대한 복구가 가능하도록 제작되었
다 특히 국내 사용자들이 많이 사용하고 있으나 기존 복구 툴이 지
원하지 않는 한글 파일(HWP)의 복구가 가능하다 이 외에도 원본 파
일의 고유한 식별 정보만 알 수 있다면 복구가 가능한 구조이기 때문
에 추후 복구 대상으로 추가될 수 있다
CHM AI HWP PDB PDF RTF HTM HTML PHP XML DWG PS
WSF KEY CSR CRT WAV MP3 OGG WMA WMV AVI ASF MP4
MOV MID MPG FLV PNG GIF BMP TIF JPG JPEG ZIP RAR BZ2
7Z GZ JAR APK TGZ ODS DOC DOT PPT POT PPS XLS XLT
DOCX DOCM DOTX DOTM PPTX PPTM POTM POTX PPSM
XLSX XLSB XLSM XLTM XLTX EPS ISO SQLITE3 MDB MSI APP
FDB ACCDB SLN CLASS VCXPROJ
6 복구 툴 경로
안랩은 크립트엑스엑스엑스 랜섬웨어 2x 버전에 대한 복구 툴을 랜
섬웨어 보안센터를 통해 무료로 제공하고 있다
안랩 랜섬웨어 보안센터 바로가기
[그림 7]은 크립트엑스엑스엑스 복구 툴에서 파일 복구를 위해 이루
어지는 과정을 나타낸 것이다 구조상 첫 번째 파일을 복구하는 데 오
랜 시간이 소요되며 이후 파일부터는 빠르게 복구가 가능하다
20
F O C U S I N - D E P T H Compliance
20
1 개인정보보호법
1) 정보주체 이외로부터 수집한 개인정보의 수집 출처 고지 의무화
ldquo따르릉~ 여보세요 홍길동 고객님이시죠 여기는 보험사인데
요~ 알지도 못하는 보험사로부터 이런 전화를 받아 본 경험이 혹시
있었는지 모르겠다 어디서 내 전화번호를 입수한 것인지 물어보면 정
확히 대답하지 않거나 얼버무리는 경우도 많다 개정안이 시행되는 9
월 30일부터 이런 식의 연락은 더 이상 받지 않게 될 것 같다 일정 규
모 이상이 되는 기업(5만 명 이상의 민감 정보 또는 고유식별정보 처
리 100만 명 이상의 개인정보처리)이 정보주체로부터 직접 수집하지
않고 개인정보를 처리할 때는 반드시 ①정보수집출처 ②개인정보처리
목적 ③개인정보 처리정지 요구권이 있다는 사실을 최초 수집 후 3개
월 이내에 정보주체에게 고지해야만 하기 때문이다 불법으로 입수한
개인정보라면 애초에 고지도 못할 테지만 적법하게 제공받은 경우라
하더라도 고객에게 일일이 고지하기란 큰 부담이 될 것이다 고객이 제
3자 제공 동의를 해서 개인정보를 제공했다는 사실을 증명하라고 요구
하면 그 또한 큰일이다 필자 견해로는 이 개정안에 대한 대응이 본 기
사를 통틀어 제일 큰일일 듯 싶다
2) 민감정보의 안전성 확보조치 명시적 요구
민감정보란 개인의 사상middot신념 노동조합middot정당의 가입middot탈퇴 정치
적 견해 건강 유전 정보나 범죄 경력처럼 사생활을 현저히 침해할
우려가 있는 정보를 말한다 기존에도 고유식별 정보와 더불어 수집
이용하지 않는 것이 원칙이고 별도의 동의를 얻어 처리해야 하며 안
전성확보 조치를 통해 보호해야 할 대상이었다 이번 개정안에서는
민감정보에 대한 안전성 확보 조치를 명시적으로 요구하고 있을 뿐
기업 입장에서 달리 조치해야 할 사항은 없어 보인다 (기존 법에 따
라 잘 조치하고 있었을 경우에는 그렇다는 뜻이다)
3) 개인정보처리방침과 개인정보취급방침 구성 요건 동기화
개인정보보호법의 lsquo개인정보처리방침rsquo은 정보통신망법(이후 lsquo정통망
법rsquo)의 lsquo개인정보취급방침rsquo과 이름도 다르고 구성 요건에도 약간의 차
이가 있었다 이번 개정안에서는 방침 구성 내용에 정통망법 일부 사
꼭 챙겨야 할 개인정보보호 법령
지난 3월 8일 발간된 월간 lsquo안rsquo 2016년 3월호에 lsquo2016년에 챙겨봐야 할 개인정보보호 법령 5가지rsquo란 제목으로 개인정보보호 법령에 대
해 소개한 바 있다 이후 3월 22일과 29일에 정보통신망법과 개인정보보호법이 또 개정되어 2016년에 챙겨야 할 법령이 더 늘어났다
이번 호에서는 두 가지 법의 개정사항의 중요도를 별점으로 매겨가며 정리하고자 한다 단 중요도의 기준은 필자의 주관에 따른 것이므
로 참고만 하는 것이 좋겠다 개정된 내용 중 기업과 관련이 적은 사항은 따로 적지 않았다
별점으로 살펴본
lsquo개정rsquo 개인정보보호 관련 법령
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
중요도 업무영향도 대응업무부하
처 벌
- 미이행 시 3000만 원 이하의 과태료
- 미이행 상태에서 유출 사고 발생 시 2년 이하의 징역 또는 2000만 원 이하
의 벌금
중요도 업무영향도 대응업무부하
처 벌 해당 없음
기업에서 대응해야 할 업무 절차
1 법 시행 시점 이후 수집 보유 중인 개인정보 중 정보주체에게 직접 입수한 것이 아닌
개인정보 식별(정보주체 외 입수 경로 제3자 제공 동의 여부 확인)
2 1에서 식별된 개인정보 중 연락처가 있는 개인정보 식별
3 2에서 식별된 정보주체에게 개인정보 수집 및 이용 사실 고지(파기요청 수집)
구체적인 고지 시기 방법은 시행령이 나와야 알 수 있음
4 3의 절차에서 파기 요청 시 파기 시행
기업에서 대응해야 할 업무 절차
1 보유 중인 개인정보 중 민감정보 식별
2 1에서 식별된 민감정보에 대한 안전성 확보 조치 수준 점검
3 2절차에서 법 기준에 미흡한 경우 보완 조치 이행
2121
항을 반영하여 유사한 구조를 갖추도록 했으며 정통망법 또한 lsquo개인
정보처리방침rsquo으로 명칭을 변경함으로써 개인정보보호법과 일원화할
수 있게 되었다 개인정보보호법 개인정보처리방침에 추가된 사항은
다음과 같다
2 정보통신망 이용촉진 및 정보보호 등에 관한 법(이하 lsquo정
통망법)
1) 정보주체의 이동통신 단말장치 내 정보 및 기능에 대한 접근 시 동
의절차 의무화
스마트폰 메신저 앱을 생각해 보자 메신저 앱의 핵심적인 기능은 다
른 사람과 메시지를 주고받는 것이다 메신저를 편히 쓰려면 연락처
를 일일이 입력하기보다는 스마트폰에 있는 연락처 정보를 이용하는
게 필요할텐데 개정된 법은 그렇게 메신저 앱이 서비스를 이용하기
위해 스마트폰에 저장된 정보에 접근할 경우에 반드시 정보주체의 동
의를 받아야 한다는 것이다
핵심 서비스를 위해 필요한 정보나 접근권한에도 동의를 받으라고 하
는 상황인데 그 외의 목적이라면 당연히 동의를 요구할 수밖에 없다
이 경우에는 사용자가 동의를 거부할 권한이 있고 동의를 안했다고
해서 기업이 서비스 제공을 거부할 수 없도록 하고 있다(거부하면 과
태료 처벌을 받을 수 있다)
이 법의 요구사항은 흔히 알고 있는 개인정보 수집이용 동의와 개념
이 다르기 때문에 기업에서도 상당한 고민과 부담이 있을 것으로 예
상된다 (예를 들면 휴대전화에 저장된 연락처는 휴대전화 주인의 개
인정보가 아니므로 정보주체의 개인정보 수집이용 동의로 대체할 수
없다) 휴대전화 기능에 대한 접근권한 역시 개인정보 수집이용 동의
와는 다른 사항이므로 동의 절차를 새롭게 설정해야 할 가능성이 높
다 이런 동의와 철회 방법에 대한 구현 책임은 이동통신단말장치 소
프트웨어 제조업자와 공급자에게 부과하고 있으며 위반 시 과태료 처
벌을 할 수 있도록 되어 있다
2) 개인정보 처리업무 수탁자가 재위탁할 경우 원 위탁자의 동의를 받
는 경우에만 가능함
이번 정통망법 개정안에서는 개인정보 처리 위탁 관련 조항이 특히
많이 수정되었다 대부분 용어가 lsquo취급rsquo에서 lsquo처리rsquo로 바뀐 사항이 많
고 일부 조항은 개인정보보호법과 동일한 수준으로 바뀌었다 예컨대
수탁자에 대한 관리 감독 책임에 lsquo교육rsquo을 별도로 명시한다거나 수탁
자에게 위탁을 할 경우에는 문서에 의하여야 한다는 내용들이 그러하
다 개인정보보호법보다 조금 엄격하게 느껴질 만한 것은 제25조 7
항으로 수탁자의 재위탁은 위탁자로부터 동의를 받은 경우에 한한다
는 내용이다 (개인정보보호법은 시행령 제28조에서 lsquo재위탁 제한에
관한 사항rsquo을 위탁 시 작성해야 할 문서에 기재하도록 하고 있다)
3) 전화 권유 판매 시 개인정보 수집출처 고지 의무 부과
정통망법에 따르면 전자적 전송매체를 이용하여 영리목적의 광고성 정
보를 전송할 때 수신자의 명시적인 사전 동의를 받아야만 한다 사전
동의를 받지 않을 수 있는 예외가 두 가지 있는데 lsquo방문판매 등에 관한
③ 이동통신단말장치의 기본 운영체제(이동통신단말장치에서 소프트웨어를 실행할 수 있는
기반 환경을 말한다)를 제작하여 공급하는 자와 이동통신단말장치 제조업자 및 이동통신단
말장치의 소프트웨어를 제작하여 공급하는 자는 정보통신서비스 제공자가 이동통신단말장
치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근하려는 경우 접근
권한에 대한 이용자의 동의 및 철회방법을 마련하는 등 이용자 정보 보호에 필요한 조치를
하여야 한다
2 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
다 접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실
② 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 반드시 필요하지 아니한 접근
권한을 설정하는 데 이용자가 동의하지 아니한다는 이유로 이용자에게 해당 서비스의 제공
을 거부하여서는 아니 된다
중요도 업무영향도 대응업무부하
처 벌 2000만 원 이하의 과태료
- 수탁자가 위탁자의 동의 없이 재위탁을 한 경우
기업에서 대응해야 할 업무 절차
1 운영개발 중인 모바일 앱(App) 현황 파악(앱이 설치된 모바일 기기 내 이용 정보 및 기
능 내역)
2 1에서 식별된 모바일 기기 내 정보 및 기기에 대해 서비스 이용에 필수선택 항목 식별
3 모바일 앱 설치 시 동의이용 중 철회 절차 검토 및 보완
1) 필수항목과 선택항목의 구분
2) 법 제22조의2제1항1호2호의 사항을 고지사항에 반영
4 이용자 정보 보호에 필요한 기타 조치 사항 반영
5 3과 4에서 도출된 사항을 모바일 앱에 적용 업데이트
6 기존 운영 중인 앱의 경우 고객에게 업데이트 고지(동의 또는 재동의 절차 적용)
⑦ 수탁자는 개인정보 처리위탁을 한 정보통신서비스 제공자 등의 동의를 받은 경우에 한
하여 제1항에 따라 위탁받은 업무를 제3자에게 재위탁할 수 있다 lt신설 2016322gt
기업에서 대응해야 할 업무 절차
1 수탁자의 경우 위탁받은 개인정보의 처리 업무 중 재위탁 현황 파악
2 재위탁 사실이 있고 위탁자의 동의 증적이 없는 경우 파악
3 2에서 파악된 미동의 재위탁 건에 대해 위탁자에게 고지 및 동의 확보
6 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항
을 처리하는 부서의 명칭과 전화번호 등 연락처
7 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치middot운영 및 그 거부에
관한 사항(해당하는 경우)에만 정한다
중요도 업무영향도 대응업무부하
처 벌
3000만 원 이하의 과태료
- 반드시 필요하지 않은 접근권한 설정에 정보주체가 동의하지 않는다는 이유
로 서비스 제공을 거부할 경우
- 접근권한에 대한 동의 및 철회방법을 마련하는 등 조치를 하지 않은 경우
제22조의2(접근권한에 대한 동의) ① 정보통신서비스 제공자는 해당 서비스를 제공하기 위
하여 이용자의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신 단말장치에 설치된
기능에 대하여 접근할 수 있는 권한(이하 ldquo접근권한rdquo이라 한다)이 필요한 경우 다음 각 호의
사항을 이용자가 명확하게 인지할 수 있도록 알리고 이용자의 동의를 받아야 한다
1 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한인 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
2222
법률rsquo에 따른 전화 권유 판매자가 육성으로 전화 권유를 하는 경우가
그 중 하나였다 개정 법에서는 lsquo수신자에게 개인정보의 수집출처를 고
지하고rsquo라는 조건이 추가됨으로써 한결 까다로워졌다
4) 개인정보의 국외 이전 유형에 따른 동의 요건 완화
모처럼 개인정보보호 담당자한테 반가운 개선 조항이 생겼다 개인정
보의 국외 이전은 정통망법에서 논란이 되던 문제였다 개인정보보호
법은 국외에 제3자 제공할 경우만 정보주체의 동의 받으라고 되어 있
는데 정통망법에선 lsquo이전rsquo할 때 동의를 받으라고만 되어 있었기 때문에
제3자 제공과 위탁의 경우를 달리 적용하기 어려웠던 것이다 개정안
에서는 lsquo국외로 이전하려면rsquo이라고 되어 있던 조항을 lsquo국외에 제공(조회
되는 경우를 포함한다)middot처리위탁middot보관(이하 이 조에서 ldquo이전rdquo이라 한
다)하려면rsquo이라고 풀어서 표현하고 lsquo다만 정보통신서비스의 제공에 관
한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서
제3항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자
우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는
개인정보 처리위탁middot보관에 따른 동의절차를 거치지 아니할 수 있다rsquo라
는 단서 조항을 더 함으로써 국외 이전의 경우에도 위탁업무일 경우엔
동의 받지 않고 처리할 수 있도록 하였다 (개인정보보호법과 일치시킨
셈이다)
5) 노출된 개인정보의 삭제 차단 조치 의무화
웹사이트에서 시험 합격자 명단 등을 공개할 때 관리자의 부주의로 주
민번호와 같은 고유식별정보를 포함시키는 일이 종종 발생하곤 한다
기존 법령에서도 개인정보의 노출을 통제할 책임은 정보처리자에게 부
여하고 있으나 이번 개정안에서는 별도의 조항으로 명시함으로써 책임
성을 부각하고 있다 관련 처벌이 따르지 않아 규범적 조항인 점이 그
나마 다행스럽다
6) 기타 사항
이상 중요한 사항은 짚어 보았고 다른 사항은 대부분 개인정보보호법
과 균형을 맞추기 위한 내용들이다 lsquo개인정보관리책임자rsquo란 용어는
개인정보보호법과 마찬가지로 lsquo개인정보보호책임자rsquo란 용어로 바뀌
었고 처벌 수준에 있어서도 주요 법 위반 시 위반행위에 관련된 이익
의 몰수 추징 조항이 신설되었다 내용의 파급력으로 보자면 충격이
클 수도 있는 제32조 제2항의 징벌적 손해배상도 이미 개인정보보호
법에 들어간 내용이기 때문에 기업 입장에서 새롭게 고민할 사항은
적을 듯하다
전기통신사업자와 정보통신서비스 제공자를 대상으로 하는 정보통신
망법과 일반법으로 적용되는 개인정보보호법은 개인정보보호의 규준
을 이루는 양대 법률이다 기업 입장에선 지나치게 자주 개정되어 정보
보호 업무 부담을 더하는 측면도 있다 하지만 이번 개정안은 두 법의
용어와 조항 처벌 수준 등을 통일함으로써 법 적용을 돕는 긍정적인
면이 훨씬 많을 듯하다 아무쪼록 이번 개정안이 적극 반영되어 사회
전반에서 더욱 안전한 개인정보보호 환경이 갖추어지기를 기대한다
기업에서 대응해야 할 업무 절차
1 전화 권유 판매 시 정보주체 사전 동의 획득 여부 확인
2 사전동의 미 획득 케이스인 경우 개인정보 수집출처 확인
3 개인정보 수집출처가 확인되지 않은 경우 개인정보 이용 중지
4 개인정보 수집출처가 확인된 경우 수집출처를 고객에게 고지하고 전화 권유 판매
기업에서 대응해야 할 업무 절차
1 개인정보의 해외 이전 유형 식별(제공처리위탁보관)
2 이전 유형 중 처리위탁보관의 경우 고지공개 여부 확인
3 이전 유형 중 제공의 경우 동의 여부 확인
4 2 3단계에서 미흡 사항 발견 시 개선 조치
중요도 업무영향도 대응업무부하
처 벌 없음
제32조의3(노출된 개인정보의 삭제middot차단) ① 정보통신서비스 제공자 등은 주민등록번호
계좌정보 신용카드정보 등 이용자의 개인정보가 정보통신망을 통하여 공중에 노출되지 않
도록 하여야 한다
② 정보통신서비스 제공자 등의 고의 또는 중대한 과실로 인하여 개인정보가 분실middot도난middot
유출middot위조middot변조 또는 훼손된 경우로서 이용자에게 손해가 발생한 때에는 법원은 그 손
해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다 다만 정보통신서비스
제공자 등이 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다 lt신설
2016322gt
기업에서 대응해야 할 업무 절차
1 시스템 내 개인정보 노출 현황 파악 (노출정보유형목적노출기간주관부서 등 현황 파악)
2 노출된 고유식별정보 및 금융정보 발견 시 삭제 또는 보호(마스킹 등) 조치
3 1~2의 반복적 이행 가급적 시스템화하는 것이 바람직함
중요도 업무영향도 대응업무부하
처 벌
- 2000만 원 이하의 과태료 공개나 고지 없이 개인정보를 국외에 처리위탁
보관한 경우
- 과징금 부과 정보주체의 동의 없이 개인정보를 국외에 제공한 경우
23
어릴 때부터 각종 디지털 기기의 사용이 능숙한 lsquo디지털 키즈(Digital kids)rsquo인 우리 자녀들을 위한 똑똑한 lsquo디지털 페어런팅(육아법)rsquo을 소개한
다 식당이나 카페에서 어린 자녀에게 스마트폰은 보여주고 있거나 자녀가 어린이날 선물로 스마트폰을 사달라고 조르는 경우 스마트폰 게임
이나 SNS에 빠져 있는 자녀 때문에 걱정인 부모들에게 필요한 자녀의 연령에 맞는 디지털 페어런팅이다 자녀가 성숙한 디지털 기기 사용 습
관을 기를 수 있도록 도와주는 것은 부모가 반드시 해야 하는 역할 중 하나다
몸짓을 이미지로 기억해 엄마의 의도를 파악한다 그다음 좌뇌가 발달하는데 좌뇌가 발달하기 시작하면 언어 발달이 이루어진다 그런데 이 시
기에 과도하게 스마트폰에 노출되면 우뇌가 충분히 발달하지 않은 상태에서 좌뇌가 발달하게 된다
우뇌가 제대로 발달하지 못하면 감정을 담당하는 뇌 발달에 영향을 줄 수 있는데 이는 다른 사람의 마음을 헤아리는 능력 다른 사람과 생각이
나 느낌을 주고 받는 능력 사고력 감정 조절력 부족으로 이어질 수 있다 우는 아이를 달래려고 부모가 편하게 밥을 먹기 위해서 흥미로운
자극을 주고 싶다는 이유로 이 시기 아이에게 건넨 스마트폰은 아이의 뇌에 치명적인 후유증을 남길 수 있음을 기억해야 한다
3~6세 유아기 부모의 통제 하에 사용해야
전문가들은 이 시기 아이에게도 디지털 기기의 사용을 권장하지는 않는다 하지만 현실적으로 쉽지 않다면 차선책을 선택해야 한다 부모가 디
지털 기기의 이용 시간 및 콘텐츠 등에 대해 확실한 기준을 갖고 있어야 한다 lsquo하루 30분 이상 넘기지 않으며 아이가 좋아하는 애니메이션 영상
과 동요 율동 영상만 본다rsquo는 식으로 말이다 아이의 손에 스마트폰을 맡겨버리면 의도하지 않은 영상에까지 노출될 우려가 있으니 주의해야 한다
약속한 시간 외에는 스마트폰을 아이의 손에 닿지 않는 곳에 두는 것이 좋다 이를 위해서는 부모 역시 스마트 기기 사용을 절제할 수 있어야
한다 아이들은 부모를 롤 모델로 삼아 그 태도와 습관을 배우기 때문이다 하지만 이 시기 아이가 스마트폰을 보여 달라고 강하게 떼를 쓰는
등 통제가 되지 않을 때는 당분간 아예 아이에게서 스마트폰을 분리하는 것이 효과적이다 스마트폰이 아닌 다른 방법으로 아이와 시간을 보
내는 법을 고민하는 것은 부모의 몫이다
0~3세 영유아기 스마트폰 잠시 건네는 것도 안 돼
이제 걸음마를 시작할 법한 아이가 스마트폰에 집중해 있는 모습을
본 적이 있을 것이다 우는 아이를 달래기 위해서 식당이나 카페에서
아이를 조용히 앉혀놓을 요량으로 부모는 어린 자녀의 손에 스마트폰
을 쥐여준다 하지만 전문가들은 이 시기의 아이에게 디지털 기기를
노출시키는 건 ldquo안 된다rdquo고 입을 모은다 lsquo영유아 스마트폰 증후군rsquo 등
의 부작용이 우려되기 때문이다
lsquo영유아 스마트폰 증후군rsquo이란 6세 미만의 아이들이 영상 게임 등의
지속적인 자극에 오랜 시간 노출되어 우뇌가 발달해야 하는 시기에
좌뇌가 지나치게 발달해 좌middot우뇌의 균형이 틀어지는 것을 말한다
영아기 아이는 우뇌가 먼저 발달하는데 엄마의 표정 목소리 눈짓
I T amp L I F E
내 아이를 지키는 rsquo디지털 페어런팅rsquo
스티브 잡스가 자녀에게 아이폰 아이패드와 같은 디지털 기기의 사용을 허락하지 않았다는 건 잘 알려진 사실이다 드론을 만드는 3D
로보틱스 CEO 크리스 앤더슨은 아이들이 사용하는 전자 기기의 사용 시간을 제한하고 부모가 통제할 수 있는 장치를 부착했다고 한
다 그는 ldquo테크놀로지의 위험을 잘 알고 있으며 아이들에게 그런 일이 일어나는 것을 원치 않는다rdquo며 그 이유를 설명했다 이들의 자녀
교육법이 전적으로 옳다고 말할 수는 없지만 어릴 때부터 디지털 기기 사용이 너무나 익숙한 우리 자녀들의 모습은 한 번쯤 돌아볼 필
요가 있다
24
6~10세 미만 디지털 기기 사용 가이드라인에 대해 설명해줘야
부모가 디지털 기기 사용 시간 및 사용 및 목록의 한계에 대한 가이드라인을 정하고 이에 대해 아이가 이해할 수 있도록 설명해주는 것이 좋
다 가이드 라인을 정할 때 아이의 생각을 들어보고 반영하는 것도 방법이다 디지털 기기 사용 가이드라인이 지켜질 수 있도록 온 가족이 노력
해야 함은 물론이다 TV를 보고 스마트 기기를 가지고 노는 것 자체가 문제가 될 수도 있지만 이로 인해 친구들과 뛰어놀며 신체활동을 하는
즐거움을 빼앗기지 않도록 하는 것도 중요함을 잊지 말아야 한다
10세 이상의 초등학생 스스로 규칙을 정하고 지킬 수 있도
록 동기 부여
부모들의 고민 중 하나는 lsquo아이에게 스마트폰을 언제 사줄 것인가rsquo다
아이의 하교 후 학원에서 학원으로 이동할 때마다 연락을 주고받기
위해 휴대전화가 필요할 수도 있다 요즘은 초등학교 입학과 함께 스
마트폰을 사주는 가정도 많다 친구들도 다 있다며 사달라고 떼를 쓰
는 아이의 마음도 이해 못 하는 바 아니지만 자녀에게 스마트폰을 사
주는 적당한 시기는 부모가 잘 판단해야 한다 아이가 스마트폰 사용
규칙을 지킬 수 있을 만큼 성숙한 상태여야 한다는 의미다 하고 싶어
도 참을 수 있는 절제력과 충동조절능력 좌절인내력이 바탕이 돼야
만 스스로 규칙을 지킬 수 있다
구글 애플 마이크로소프트 등 글로벌 IT 기업의 자녀들이 많이 다니
는 실리콘밸리에 발도로프 학교에는 컴퓨터가 없다 스크린 보드 빔
프로젝터 등의 멀티미디어 기기도 없으며 연필과 종이 분필 등을 이
용한 아날로그식 수업이 진행된다 이들은 우리나라 나이로 중학교 3
학년이 되는 8학년이 돼서야 컴퓨터를 서서히 배우기 시작한다 학생
들이 학교에 디지털 기기를 가져올 수도 없다 lsquo디지털 세상이 아이를
아프게 한다rsquo의 저자인 신의진 정신과 박사는 ldquo언제 자녀가 스마트폰
을 사용하면 좋냐rdquo는 질문에 ldquo늦을수록 좋다rdquo고 답한다
우리 자녀 세대는 지금 우리보다 훨씬 더 디지털 기기와 가깝게 지낼
것이다 시대가 변하고 있기 때문이다 더 흥미로운 기기들이 쏟아질
것이고 그에 맞는 교육 및 놀이 앱이 넘쳐날 것이다 하지만 시대가
변해도 변하지 않는 것은 존재한다 부모가 자녀와 디지털 생활에 대
해 이야기를 나눌 수 있는 환경은 신뢰를 바탕으로 한 그들의 아날로
그 생활에서의 환경이 조성하는 법이다 가족과 함께 서로의 디지털
생활에 대한 이야기를 나눠보는 시간을 갖는 것은 어떨까
자녀와 함께 TV 컴퓨터 스마트폰 등에 대한 이용 규칙을 정하고 스스로 통제할 수 있도록 동기를 부여해주는 것이 좋다 만약 약속을 어겼을
경우 벌칙도 명확히 해둔다 예를 들어 주말에만 컴퓨터 게임을 하기로 했는데 어겼다면 다음 주말 컴퓨터 이용 시간을 줄이는 식이다 초등학
교 3~4학년만 돼도 아이들은 SNS에 흥미를 느끼기 시작한다 이때 부모는 아이가 어떤 게시물을 올리고 다운로드하는지 관심을 가질 필요가
있다 인터넷상에 올린 글이나 영상은 쉽게 공유될 수 있으며 지우는 것도 쉽지 않다는 점에 대해서도 알려줘야 한다
중middot고등학생 자율성 존중하되 방치해선 안 돼
ldquo스마트폰 그만하고 공부해rdquo와 같은 강압적인 지시는 되레 부작용을 낳을 수 있다 중middot고등학생의 자녀와의 디지털 페어런팅에서 가장 중요한
것은 자율성을 존중하되 방치해서는 안 된다는 점이다 아이가 적당히 조절하며 디지털 기기를 사용하고 있다면 문제 없지만 걱정할 정도로 몰
입돼 있는 상황이라면 가정의 디지털 페어런팅 방식을 다시 점검해봐야 한다 과몰입 상태는 적절한 교육으로 가정에서 바로 잡을 수 있지만 중
독의 수준이라면 상황이 달라진다 이런 경우 아이가 디지털 기기에 빠진 원인을 찾고 이를 해결하기 위해 전문가 상담 및 치료를 받아야 한다
[그림 1] 컴퓨터가 없는 발도로프 학교에 대해 다룬 뉴욕타임즈 기사
(출처 httpwwwnytimescom20111023technologyat-waldorf-school-in-silicon-valley-technology-can-waithtml)
참고 자료
신의진(2013) 디지털 세상이 아이를 아프게 한다 북클라우드
구본권(2014) 당신을 공유하시겠습니까 어크로스
25
보안 통계와 이슈 S T A T I S T I C S
[그림 2]는 2016년 4월 한 달간 유포된 악성코드를 주요 유형별로 집
계한 결과이다 불필요한 프로그램인 PUP(Potentially Unwanted
Program)가 5948로 가장 높은 비중을 차지했고 트로이목마
(Trojan) 계열의 악성코드가 168 웜(Worm)이 347의 비율로
그 뒤를 이었다
지난 4월 한 달간 탐지된 모바일 악성코드는 24만 7847건으로 집계
됐다
안랩 시큐리티대응센터(이하 ASEC)는 최근 ASEC Report Vol76를 통해 지난 2016년 4월의 보안 통계 및 이슈를 전했다 지난 4월
의 주요 보안 이슈를 살펴본다
파일 속성 변경하는 리눅스 악성코드 등장
안랩 4월 악성코드 통계 및 보안 이슈 발표
[그림 1] 악성코드 추이(2016년 2월~2016년 4월)
ASEC이 집계한 바에 따르면 2016년 4월 한 달간 탐지된 악성코드
수는 1156만 4967건으로 나타났다 이는 전월 1321만 2012건에
비해 164만 7045건 감소한 수치다 한편 4월에 수집된 악성코드 샘
플 수는 324만 5837건이다
샘플 수집 수탐지 건수
[그림 2] 2016년 4월 주요 악성코드 유형
Adware DownloaderWormTrojanetcPUP
[그림 3] 모바일 악성코드 추이(2016년 2월 ~ 2016년 4월)
5000000
6000000
10000000
20000000
30000000
40000000
1000000
2000000
3000000
4000000
4월3월2월
11830547 1156496713212012
324
583
7
354
858
1
349
346
8
347
168
1939
5948072
014
100000
200000
300000
500000
600000
700000
400000
0
4월3월2월
247847256512
323301
26
또한 지난 4월 악성코드 유포지로 악용된 도메인은 648개 URL은
2216개로 집계됐다 4월의 악성 도메인 및 URL 차단 건수는 총 637
만 3536건이다
이와 같은 경우 lsquolsattrrsquo 명령을 통해 해당 파일의 속성을 조회하면 [그
림 7]과 같이 lsquoirsquo 속성이 추가되어 있음을 확인할 수 있다
리눅스 악성코드 lsquo빌게이츠 봇넷rsquo 발견
최근 리눅스(Linux) 운영체제에서 감염 시스템의 정보 수집 시스
템 파일 교체 DDoS 공격 등을 수행하는 lsquo빌게이츠 봇넷(BillGates
botnet)rsquo이 발견됐다 해당 악성코드는 감염 시스템 내에서 속성이 변
경되어 삭제가 불가능해 리눅스 사용자들의 피해가 우려된다
빌게이츠 봇넷은 서버에 침입 후 파일의 속성을 변경하여 악성코드를
삭제할 수 없도록 설정한다 리눅스 시스템에서 악성코드 감염에 의
해 파일 속성이 변경된 경우 이를 삭제할 수 있는 방법을 자세히 살
펴보자
먼저 공격자가 파일의 속성을 변경한 후 [그림 5]와 같이 삭제 시도를
하면 lsquo실행이 허가되지 않았다(Operation not permitted)rsquo라는 메시
지가 출력되며 해당 파일이 삭제되지 않는다
이처럼 lsquoirsquo 속성이 추가되어 있는 경우에는 [그림 8]과 같이 루트 권한
으로 lsquochattrrsquo 명령을 통해 해당 파일의 속성을 변경한 후 다시 삭제
를 시도하면 해당 파일이 정상적으로 삭제된다
파일의 속성 추가(chattr)는 lsquo+[추가할 속성]rsquo 제거는 lsquondash[제거할 속성]rsquo
을 통하여 수행할 수 있으며 lsquo-Rrsquo 옵션을 추가로 부여하는 경우에는
하위 디렉터리까지 모두 포함되어 적용된다 이는 윈도우(Windows)
운영체제의 lsquoattirbrsquo 명령과 유사하다
이때 만일 관리자가 파일이 삭제되지 않는 원인을 파일 권한 문제라
고 생각하고 파일 시스템에 기록된 정보를 이용하여 루트 계정 및
inode를 제거하는 방법으로 다시 삭제를 시도하면 마찬가지로 동일
한 메시지가 발생하며 파일이 삭제되지 않는다
이번 리눅스 악성코드 사례와 같이 파일의 속성이 변경되어 삭제가
불가한 경우가 있어 권한 뿐만 아니라 파일 속성에 대해서도 다시 한
번 확인하는 것이 필요하다 단 중요 파일이나 로그 파일 등은 lsquoirsquo나
lsquoarsquo 속성을 적용하는 정상적인 경우도 있다 즉 이러한 속성이 적용되
어 있는 파일이라고 해서 모두 악성 파일은 아니므로 정확히 악성으
로 확인된 파일에 대해서만 삭제를 진행할 것을 권장한다
최근 리눅스 운영체제를 노리는 악성코드가 꾸준히 증가하고 있다
DDoS 공격이나 백도어 등 리눅스 악성코드의 기능도 다양해지고 있
으며 앞으로 더욱 고도화될 것으로 예상된다 리눅스 시스템도 안전
하게 이용하기 위해서는 반드시 암호를 설정해야 하며 최신 보안 업
데이트를 적용해야 한다
V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지하고
있다
ltV3 제품군의 진단명gt
LinuxBackdoor1223123B
[그림 5] RM 명령어를 통한 삭제 시도
[그림 6] INODE 제거를 통한 삭제 시도
[그림 4] 악성코드 유포 도메인URL 탐지 및 차단 건수(2016년 2월 ~ 2016년 4월)
악성 도메인URL 차단 건수 악성코드 유포 URL 수악성코드 유포 도메인 수
10000
20000
30000
8000000
9000000
40000
7000000
6000000
5000000
4000000
04월
221681467900
6481587936
3월2월
6373536
7157616
6355582
[그림 7] 파일 속성 조회
[표 1] 리눅스 파일 속성 및 lsquoCHATTRrsquo 명령어 예시
[그림 8] 파일 속성 변경 후 제거 시도
[명령어 예시 (i S 속성 추가)]
chattr + iS samples
[파일 속성명 중 일부] [설명]
a (CAP LINUX IMMUTABLE capability) 추가 작성만 가능 삭제 불가
I (CAP LINUX IMMUTABLE capability) 삭제 변경 링크 파일 생성 등
S 파일이 변경되면 디스크 동기화
u 파일 삭제 시 내용 백업
2727
A H N L A B N E W S
현대자동차 그룹 IT서비스 전문업체인 현대오토에버가 최근 lsquo5스타
우수 개발협력사rsquo로 안랩을 선정했다
lsquo현대오토에버 우수 개발협력사rsquo는 현대오토에버가 협력사와 공동
으로 수행한 전년도 사업의 수행 실적에 따라 1스타부터 5스타까지
우수협력사를 선정하고 이에 따른 다양한 인센티브를 제공하는 프
로그램이다
안랩은 현대오토에버의 개발컨설팅 협력사로서 프로젝트 평가 및
업체 종합 평가 등에서 안정적이고 우수한 프로젝트 성과를 인정받
아 최고 등급인 lsquo5스타rsquo 우수 개발협력사로 선정됐다 안랩 서비스
사업부를 총괄하는 방인구 상무는 ldquo안랩은 핵심가치인 lsquo고객만족rsquo을
기준으로 맡은 사업에 대해 언제나 최선을 다하고 있다rdquo며 ldquo안랩을
신뢰해주시는 여러 회사와 함께 동반성장할 수 있도록 노력하겠다rdquo
고 말했다
안랩이 지난달 17일 코엑스 컨벤션센터에서 열린 lsquo아마존 웹 서비
스 글로벌 서밋 서울 2016(이하 AWS 서밋 서울 2016)rsquo에서 다양
한 산업 관계자를 대상으로 lsquo안랩 AWS 고객 원격 보안관제 서비스rsquo
를 소개했다
AWS 서밋 서울 2016은 아마존 웹 서비스가 제공하는 클라우드 컴
퓨팅 서비스에 대한 지식을 공유하고 IT 업계의 최신 기술 트렌드 등
을 소개하는 행사로 지난해 첫 국내 개최에 이어 두 번째로 열렸다
이번 행사에 참가한 안랩은 전용 부스를 운영하며 lsquo안랩 AWS 고객
원격 보안관제 서비스rsquo에 대한 개별 고객 상담 및 서비스 체험 신청
등을 진행했다 안랩 AWS 고객 원격 보안관제 서비스는 네트워크
및 웹 서비스 등에 대한 보안을 안랩의 침해대응(CERT) 전문인력이
원격으로 모니터링 및 관리해주는 서비스다
또한 별도 발표장에서 진행된 미니 발표 세션에서 안랩 서비스상
품기획팀 김준호 대리는 안랩 AWS 고객 원격 보안관제 서비스의
개요 및 구성을 비롯하여 탐지를 넘어 위협 분석까지 제공하는
침해사고 대응 프로세스 미디어사 O2O(Online to Offline 온오
프라인 연결) 서비스 제조 분야의 실제 고객 사례를 통한 다양한
산업별 서비스 적용 방안 등 lsquo안랩 AWS 고객 원격 보안관제 서비
스rsquo의 개념과 강점을 소개했다
안랩 김준호 대리는 ldquo안랩은 lsquoAWS 고객 원격 보안관제 서비스rsquo를
지난 1월 출시한 이후 약 4개월 여 만에 이미 복수의 대형 고객사
를 확보하는 등 검증된 서비스를 제공하고 있다rdquo며 ldquo이는 많은 고객
사에서 단순 탐지를 넘어 위협 분석 및 대응까지 가능한 안랩의 전
문성을 인정한 것으로 볼 수 있다rdquo고 강조했다
현대오토에버
lsquo우수 개발협력사rsquo로 안랩 선정
안랩 lsquoAWS 서밋 서울 2016rsquo에서
클라우드 보안관제 서비스 소개
안랩은 AWS 서밋 서울 2016 행사에서 전용 부스와 발표 세션을 통해 안랩 AWS 고객 원격 보안관제 서비스를 소개했다
발행인 권치중
발행처 주식회사 안랩
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
편집인 안랩 콘텐츠기획팀
디자인 안랩 디자인팀
copy 2016 AhnLab Inc All rights reserved
본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제 복사 검색 시스템
으로 저장 또는 전송될 수 없습니다 안랩 안랩 로고는 안랩의 등록상표입
니다 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상
표일 수 있습니다 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
copy 2016 AhnLab Inc All rights reserved
httpwwwahnlabcom
httpblogahnlabcom
httptwittercomahnlab_man
77
이 밖에도 프랑스 방송사 떼베생몽드(TV5Monde) 해킹 및 방송 송출 장애 이스라엘 방송국 해킹 지난 2013년 국내 주요 은행 및 방송국을
노린 3bull20 전산망 마비 최근 발생한 방글라데시 중앙은행 해킹 미국 뉴욕댐 전산망 해킹 미국 내 다수 병원의 랜섬웨어 감염 등 사회기반시
설을 노리는 공격들이 다방면에서 지속적으로 발생하고 있다
사회기반시설 공격에 사용된 악성코드의 실체
앞서 언급한 사례 중 우크라이나 발전소 해킹과 정유 회사 사우디 아람코 해킹 사례를 중심으로 실제 사회기반시설 공격에 사용된 악성코드와
공격 방식에 대해 알아보자
1 우크라이나 발전소 해킹
지난 2015년 12월 23일 우크라이나의 키보브레네르고(Kyivoblenergo) 발전소에 문제가 발생해 이날 오후 3시 35분부터 3시간 동안 약 8만
가구에 전력 공급이 중단됐다 또한 우크라이나 서부 지역의 프리카르파티아오블레네르고(Prykarpattyaoblenergo) 발전소에서도 문제가 발
생해 주변 지역에 대규모 정전 사태가 발생했던 것으로 알려졌다 전화 시스템에도 장애가 발생해 전화 통화도 정상적으로 이루어지지 않았다
정전 직후 언론과 우크라이나 정보부(Security Service of Ukraine)는 사이버 공격의 가능성을 언급했다
우크라이나의 정전이 사이버 공격에 의해 발생했다는 정황이 계속 나타남에 따라 미국 정부도 관련 조사에 착수했다 지난 2016년 1월 미국
국토안보국은 우크라이나 정전 사태의 원인이 사이버 공격으로 드러났다고 발표했으며 3월 18일에는 관련 분석 보고서가 추가로 공개됐다
이 보고서에 따르면 공격자는 이미 6개월 전부터 발전소 내부 시스템에 침입해 관련 정보를 수집하고 악의적인 펌웨어(Firmware)를 개발하
는 등 철저한 준비 후 공격을 수행한 것으로 보인다
이와 관련해 SANS ICS팀과 해외 보안 업체 이셋(Eset)은 우크라이나 정전 사태와 블랙에너지(BlackEnergy) 악성코드가 밀접한 관계가 있다
고 발표했다 한편 우크라이나 정전 사건이 발생하기 한 달 전인 2015년 11월 우크라이나 사이버침해대응센터(CERT Computer Emergency
Response Team)는 우크라이나 선거 기간 동안 언론사를 공격한 블랙에너지 악성코드에 관해 언급한 바 있다 따라서 우크라이나에 대한 블
랙에너지 공격은 정전 사태 이전부터 진행되었음을 예상할 수 있다
블랙에너지는 다양한 변화를 겪어온 악성코드이다 2007년 DDoS 공격에 처음 이용되었으며 2008년 조지아(Georgia) 공격에도 사용되었던
것으로 알려졌다 드라이버 파일로 구성되어 있다는 것이 특징이며 현재에도 꾸준히 변형이 나타나고 있다
우크라이나 발전소를 공격한 것으로 알려져 있는 블랙에너지 악성코드는 악성코드를 떨어뜨리는 드롭퍼와 실제 악성 행위를 수행하는 난독화
된 드라이버 파일로 구성되어 있으며 FONTCACHEDAT 등의 파일이 생성된다
또한 해당 공격에서 공격자는 악성 매크로를 포함한 엑셀 파일을 이용한 것으로 알려졌다 문서를 열어본 사용자가 보안 경고 메시지의 lsquo콘텐
츠 사용rsquo을 선택하면 매크로가 실행된다 매크로가 실행되면 temp 폴더에 vba_macroexe 파일이 생성된다
[그림 3] 우크라이나 발전소 공격에 사용된 엑셀 파일의 매크로 기능
[그림 4] Winpcap 관련 파일로 위장
이렇게 생성된 vba_macroexe가 실행되면 FONTCACHEDAT 파일이 시스템에 생성된다 이 파일은 윈도우 패킷 캡쳐 프로그램인 WinPcap
와 관련된 파일로 위장하고 있다 내부 문자열 또한 Winpcap 관련 파일처럼 가장하고 있다
88
익스포트(export) 함수도 모두 정상 프로그램처럼 되어 있지만 PacketAllocatePacket 코드가 실행되면 암호를 풀면서 실행되며 플러그인 파
일을 다운로드하여 추가적인 기능을 수행한다
2 사우디 아람코(Saudi Aramco) 해킹
지난 2012년 8월 15일 세계 최대 규모의 석유 기업 중 하나인 사우디 아람코(Saudi Aramco)가 사이버 공격으로 약 3만 대의 시스템에 장애
가 발생하는 피해를 입었다 같은 날 자신들을 lsquo정의의 검(Cutting Sword of Justice)rsquo이라고 자칭하는 단체가 아람코 해킹이 자신들의 소행이
라고 주장했다
사우디 아람코 해킹에 사용된 악성코드는 lsquo샤문(Shamoon)rsquo 또는 lsquo디스트트랙(Disttrack)rsquo 등으로 불리며 사전에 내부 시스템을 파악하고 데이
터를 삭제하기 위해 제작된 악성코드이다 공격자가 어떻게 내부 시스템에 침입했는지는 아직 알려지지 않았다
샤문 악성코드의 구조는 [그림 6]과 같다 드롭퍼(Dropper)는 하드디스크 파괴 악성코드를 시스템에 떨어뜨리는 역할을 하며 데이터 삭제 기
능과 보고 기능만 가지고 있다 파일 속성 정보를 살펴보면 lsquoDistributed Link Tracking Serverrsquo라는 설명과 함께 마이크로소프트에서 제작한
파일로 가장하고 있다
[그림 5] 아람코 해킹에 관한 lsquo정의의 검(Cutting Sword of Justice)rsquo의 주장
[그림 6] 샤문(Shamoon) 악성코드 구조
[그림 7] 샤문 악성코드의 드롭퍼 등록 정보
99
데이터 파괴 파일은 lsquoCShamoonArabianGulfwiperreleasewuperpdbrsquo와 같은 PDB 정보를 가지고 있다 lsquoArabianGulfrsquo와 같은 문자열을
통해 명확한 공격 대상을 가진 악성코드임을 짐작할 수 있다
데이터 삭제 파일이 실행되면 드라이버 파일(drdisksys)을 생성하고 파일 목록을 얻는다 이후 시스템에 존재하는 파일을 JPEG 이미지로 덮어
쓴다 끝으로 하드디스크 MBR을 덮어써 시스템을 사용할 수 없게 하고 lsquoshutdown -r -f -t 2rsquo로 종료시킨다 한편 이 악성코드는 피해 시스템
수 등을 보고하는 기능도 갖고 있다
사회기반시설 보안에 관한 제언
지난해 말 안랩을 비롯한 국내외 보안 업체들은 2016년에 발생할 수 있는 보안 위협 중 하나로 사이버테러 및 국가기반시설 보안 위협을 꼽
은 바 있다 그리고 2016년 초부터 방글라데시 중앙은행의 해킹 국내 버스정류장 안내 시스템 해킹 등이 발생했다
사회기반시설은 사회의 근간을 이루는 중요한 시설인 만큼 강력한 보안이 동반되어야 한다는 것은 두말할 필요도 없다 그러나 실제로는 보안
인력이 부족한 경우나 내부 보안 인력의 전문성이 부족한 경우가 있다 또는 시설의 시스템 자체가 적절한 보안이 고려되지 않은 채 설계되었
거나 보안에 취약한 구형 시스템으로 운영되는 경우도 있다
외부 공격으로부터 사회기반시설을 안전하게 보호하기 위해서는 우선 구성원들이 준수할 수 있는 현실성 있는 보안 정책을 수립해야 한다 이
와 함께 적절한 보안 시스템을 구축해 내부로 유입되는 위협을 모니터링 및 차단하고 내부에서 확산되는 위협을 분석 및 대응할 수 있어야 한
다 일반적으로 악성코드의 내부 시스템 침입부터 시스템 파괴 등 악의적인 결과를 가져오기까지는 어느 정도의 시간이 소요된다 수많은 내부
시스템을 파악하고 하나씩 장악해야 하기 때문에 보통 6개월 정도가 걸린다 따라서 공격에 의한 피해가 발생하는 것을 방지하기 위해서는 주
요 시스템에 대한 정기 점검을 통해 이상 징후를 빨리 파악할 수 있어야 한다 이를 위해 전문성을 가진 인력의 양성과 활용이 필요하다 또한
협력 업체에 대한 강력한 보안 방안을 마련해야 한다 공격자들은 침입이 까다로운 사회기반시설을 직접적으로 공격하는 대신 협력 업체를 해
킹하는 등의 우회 공격을 시도할 수 있기 때문이다
한편 사회기반시설 공격 동향에 관한 보다 상세한 내용은 안랩 시큐리티 대응센터 분석팀에서 발표한 lsquo사회기반시설 공격 동향 분석 보고서rsquo
에서 확인할 수 있다
lsquo사회기반시설 공격 동향 분석 보고서rsquo 전문 보기
[그림 8] PDB 정보 내의 특징적인 문자열
참고 자료
- Data breach digest (httpwwwverizoneenterprisecomresourcesreportsrp_data-breach-digest_xg_enpdf )
- Analysis of the Cyber Attack on the Ukrainian Power Grid (httpsicssansorgmediaE-ISAC_SANS_Ukraine_DUC_5pdf )
- 도시철도 안전 및 유지관리 실태 감사결과 (httpgovseoulgokrarchives86261)
- 감사원 국가 사이버안전 관리 실태 (httpwwwbaigokrbaiindexdo)
- 강은성 lsquo망분리는 만병통치약인가rsquo (wwwciokoreacomnews25437)
- 미국 국토안보국 Sector Risk Snapshotsrsquo(httpswwwhsdlorgviewampdid=754033)
- httpwwwsecurityweekcomhackers-broadcast-porn-tv-screens-brazil-bus-depot
- httpafricanspotlightcom20150808hackers-broadcast-porn-on-tv-screens-at-brazil-bus-station-photos
- httpsmonthlychosuncomclientnewsviwaspnNewsNumb=200908100021
- httpsenwikipediaorgwikiCyberattacks_during_the_Russo-Georgian_War
- httpwwweconomistcomnode17147818
- httpmoneycnncom20150805technologyaramco-hack
- httprutsnuaukrayinaiz-za-hakerskoy-ataki-obestochilo-polovinu-ivano-frankovskoy-oblasti-550406html
- SANS httpsicssansorgblog20160101potential-sample-of-malware-from-the-ukrainian-cyber-attack-uncovered
- Ukraine CERT httpcertgovuap=2370
- httpwwwmtagokrpolicyitsmanagement_signjsp
- httpwwwittodaycokrnewsarticleViewhtmlidxno=42719
- httpssecurelistcomblogincidents57854shamoon-the-wiper-copycats-at-work
10
안랩 산업군별 ISF Square 2016 진행
고객의 고민을 듣다 대응 전략을 나누다
S P O T L I G H T AhnLab ISF Square 2016
안랩은 ISF 스퀘어 2016을 통해 각 산업 분야가 직면하고 있는 주요 보안 이슈와 위협 동향 정보를 공유하고 산업별 비즈니스에 최적화된 대
응 방안을 소개하고 있다 지난 4월 27일부터 5월까지 다섯 차례에 걸쳐 진행된 이번 행사에 각 산업 분야의 CISO 및 보안책임자 100여 명이
참석했다
권치중 안랩 대표이사는 환영사를 통해 ldquo신종 공격 기법이 끊임없이 나타나고 있어 고객사 자체가 또는 보안 벤더만으로 최신 보안 위협에 대
응하는 것은 사실상 불가능하다rdquo며 ldquoISF 스퀘어를 통해 고객을 직접 만나 실제 현장에서 느끼고 계신 고민과 어려움을 나누고 산업별로 특화
된 정보를 공유함으로써 실질적이고 최적화된 해법을 찾을 수 있으리라 기대한다rdquo고 말했다
안랩이 최근 한 달 여에 걸쳐 산업군별 정보보호최고책임자(CISO) 및 보안책임자를 대상으로 lsquo안랩 ISF Square 2016(이하 ISF 스퀘어
2016)rsquo을 개최하고 있다 ISF 스퀘어는 안랩이 지난 2009년부터 진행해오던 자사의 융합 보안 컨퍼런스 lsquo안랩 ISFrsquo를 산업별로 세분화
하여 개편한 보안 전략 세미나다 다양한 산업군별 고객사의 특성에 맞춰 lsquo맞춤형 보안 전략 및 솔루션rsquo을 제공하기 위한 목적이다
이번 ISF 스퀘어 2016은 지난 4월 27일 은행 및 카드사를 시작으로 28일에는 보험사 5월 11일과 18일 25일에는 각각 증권사와
건설사 유통사를 대상으로 진행됐다 6월 8일에는 공공 및 교육 기관의 보안책임자를 대상으로 진행할 예정이다
ISF 스퀘어 2016에 산업군별 CISO 100여 명이 참석한 가운데 권치중 안랩 대표이사는 ldquo고객의 목소리에 귀를 기울이고 고민을 나누는 것이 ISF 스퀘어의 목적rdquo이라고 전했다
11
한창규 실장과 김경희 실장(왼쪽부터)은 CISO들이 가장 궁금해하는 랜섬웨어를 비롯한 최신 공격 동향을 공유했다
안병무 차장과 백민경 차장(왼쪽부터)은 기업이 직면하고 있는 보안 위협을 살펴보고 이에 따른 안랩의 솔루션을 제시했다
이와 관련해 한창규 안랩 시큐리티대응센터(ASEC) 실장이 ldquo랜섬웨어로 대표되는 최신 위협 동향rdquo이라는 주제 발표를 통해 CISO의 궁금증에
답했다 한창규 실장은 실제 사례를 통해 신bull변종 랜섬웨어의 감염 경로 동작 원리 등을 설명했다 이어 ldquo랜섬웨어는 더 이상 일시적인 유행이
나 단발성 이슈가 아니다rdquo라며 ldquo기업에서도 이제 랜섬웨어에 대한 대응책을 마련해야 할 때rdquo라고 강조했다
이어 김경희 안랩 플랫폼개발실 실장은 랜섬웨어의 서비스화(RaaS Ransomware-as-a-Service)를 비롯해 모바일 랜섬웨어 맥(Mac) OS X를
노리는 랜섬웨어 등 진화하는 랜섬웨어의 흐름을 설명했다 김경희 실장의 설명에 따르면 랜섬웨어는 비대칭 키를 사용하기 때문에 실제 공격
자를 잡아 서버를 수거하지 않는 한 암호를 풀 수 없다 일단 감염되면 피해를 피할 수 없다는 것 특히 현재 일부 업체가 제공하는 lsquo랜섬웨어
복구 서비스rsquo의 대부분은 지불 대행 서비스로 공격자에게 비트코인을 대신 납부해주고 키를 받아 파일을 복구하는 방식에 불과하다 이와 관
련해 김경희 안랩 플랫폼개발실 실장은 ldquo돈을 주고 복구할수록 몸값이 올라갈 뿐만 아니라 돈을 많이 주는 기업을 노리게 된다rdquo고 지적했다
문제는 일반적인 보안 솔루션만으로는 랜섬웨어 대응이 쉽지 않다는 것 이와 관련해 안병무 안랩 제품기획팀 차장은 지능형 위협 대응 솔루
션인 안랩 MDS를 제안했다 안병무 차장은 ldquo최초 감염(First Victim) 방어 포기할 것인가rdquo라는 주제 발표를 통해 랜섬웨어에 대한 최선의 대
응책은 lsquo예방rsquo과 lsquo선제적 방어rsquo라고 전제했다 이어 ldquo랜섬웨어를 비롯해 고도화된 최신 공격 대응에서 놓치지 말아야 할 부분은 첫 번째 희생자
(First Victim)가 발생할 가능성을 최소화하는 것rdquo이라고 강조하고 ldquo안랩 MDS의 lsquo실행보류(Execution Holding) 기능을 이용해 랜섬웨어가 동
작하는 것 자체를 방지할 수 있다rdquo고 설명했다
랜섬웨어는 공통분모hellip산업별 보안 위협은
랜섬웨어는 개인과 기업 산업 분야를 막론하고 공통된 보안 위협이라는 데는 이견이 없다 그러나 기업의 비즈니스에 따라 최우선 보안 과제
는 각기 다르다
기업으로 눈 돌리는 랜섬웨어 그 실체는
산업 분야를 막론하고 현재 가장 심각한 보안 이슈는 역시 랜섬웨어였다 특히 최근 미국의 주요 병원들의 랜섬웨어 감염 사례를 시작으로 랜
섬웨어의 표적이 개인 중심의 불특정 다수에서 막대한 자금을 보유하고 있는 기업군으로 옮겨갈 것이라는 예측도 있어 기업 보안책임자들의
고민이 깊은 실정이다
12
김창희 팀장과 한태수 실장(왼쪽부터)은 각각 유통 분야와 건설 분야의 보안 위협 요인과 대응 방안에 대해 공유했다
정청환 실장은 안랩의 제품 개발부터 관리까지 전 과정에 대한 안랩의 독자적인 보안 체계를 소개해 참석자들의 이목을 집중시켰다
유통 분야를 위한 ISF 스퀘어 2016에서는 최근 또다시 화두가 되고 있는 POS 시스템 보안 위협에 대한 상세한 정보가 공유됐다 김창희 안랩
제품기획팀 팀장은 ldquoPOS 및 단말 보안을 위한 효과적인 대응 방안rdquo이라는 주제 발표를 통해 수많은 고객의 신용카드 정보 등 민감한 정보를
다루는 POS 단말기가 해킹되면 실생활에 직결되는 사회적 경제적으로 치명적인 위험이 될 것이라고 단언했다 그러나 POS 시스템 등 산업
용 단말에는 일반적인 보안 정책이나 솔루션을 적용하는 것은 현실적이지 않다rdquo고 지적하고 ldquo안정적인 비즈니스 운영을 위해 안랩 EPS와 같은
전용 보안 솔루션을 도입하는 것이 바람직하다고 조언했다
한태수 안랩 매니지먼트개발 실장의 ldquo사물인터넷(IoT) 보안 위협과 대응 방안rdquo에 대한 발표는 특히 건설 분야 CISO의 눈과 귀를 사로잡았다
한태수 실장은 ldquo사물인터넷은 스마트가전 스마트헬스 특히 스마트홈 등 통신과 건설 분야에서 더욱 중요한 요소로 부각되고 있다rdquo며 ldquo이제
관련 산업 분야에서는 서비스 준비 단계에서부터 IoT 관련 개방형 표준에 근거한 정보보호 프라이버시 보호에 대해 필수적으로 고민해야만
한다rdquo고 강조했다 또한 ldquo설계도면이나 기술 정보 등 중요 정보가 많은 건설사의 특성상 지능형 보안 위협에 노출되면 피해가 커질 수 있다rdquo고
지적한 뒤 ldquo안랩은 이미 스마트홈 등과 관련해 실제 발생할 수 있는 다양한 공격 시나리오를 연구해왔으며 이에 대한 전방위적인 대응 방안을
마련하고 있다rdquo고 말했다
안랩은 금융 분야부터 유통 건설 그리고 공공 분야까지 각 산업 분야의 주요 보안 위협과 관련해 최적의 보안 솔루션을 제공하고 있다 안랩
의 다양한 솔루션의 근간에는 원천 기술을 보유한 RampD 센터와 인프라가 있다 이와 관련해 정청환 안랩 엔드포인트개발 실장은 그동안 많은
고객들이 궁금해했던 안랩의 보안 제품 개발과 개발 인프라 보안 관리 체계를 소개했다 정청환 실장은 특히 보안 업체 자체를 노리는 공격이
종종 등장하는 것과 관련해 안랩의 대비책은 물론 제품 개발부터 관리까지 무결성을 보장하기 위한 안랩의 자체적인 보안 체계를 상세하게
설명해 참석자들의 큰 호응을 얻었다
백민경 안랩 제품기획팀 차장은 은행 증권사 카드사 등 금융기관이 직면한 위기로 lsquo이용자 PC를 노리는 전자금융사기rsquo를 꼽았다 백민경 차장
은 실제 금융기관 보안 침해 사례를 통해 파밍 다이어 악성코드 공유기 공격 메모리 해킹 등 전자금융사기 기법을 설명하고 모바일과 온라
인으로 금융 서비스를 이용하는 비율이 증가하는 자율 금융 시대를 맞아 명확한 위험요소를 파악하고 그에 따른 적절한 솔루션 도입 등 이용
자 보호와 금융 시스템 보안을 위한 철저한 철학을 갖추는 것이 필요하다고 강조했다
13
세션 발표 후 진행된 라운드 테이블 프로그램을 통해 안랩의 권치중 대표 강석균 전무 배민 상무 방인구 상무가 고객사 CISO와 자유롭고 다양한 논의를 이어나갔다
안랩은 오는 6월 8일 서울 양재동 엘타워에서 공공 및 교육기관의 보안책임자를 대상으로 ISF 스퀘어 2016을 이어나갈 예정이다 또한 안랩은
서울에서 진행되는 행사에 참석하기 어려운 각 지역의 고객사를 위해 lsquo파트너와 함께 찾아가는 고객 세미나rsquo도 동시에 진행하고 있다 지난 5
월 24일 전주 지역에 이어 오는 6월 16일에는 대구 21일에는 대전에서 고객사의 보안책임자를 초청해 최신 보안 위협 동향과 대응 방안을 공
유할 예정이다
고객의 생생한 목소리를 듣다
여타 보안 세미나와 안랩 ISF 스퀘어의 가장 큰 차별점은 제품 기획자부터 제품 개발 책임자 그리고 대표이사에 이르기까지 한 자리에서 고객
과 직접 소통한다는 점이다 이번 ISF 스퀘어 2016에서도 안랩 EP사업부문 총괄인 강석균 전무 EP영업본부 총괄 배민 상무 서비스사업부 총
괄 방인구 상무 등이 총출동해 고객의 고민을 듣고 의견을 나눴다
14
CryptXXX RansomwareT H R E A T A N A L Y S I S
최근 lsquo크립트엑스엑스엑스 랜섬웨어rsquo가 대량 유포되면서 피해 사례가 늘어나고 있다 크립트엑스엑스엑스의 특징은 기존 랜섬웨어와
달리 실행 파일(EXE) 형태가 아닌 동적 링크 라이브러리(DLL) 형태로 유포되고 있다는 점이다 DLL 형태로의 유포는 정상적인 프로
세스와 함께 동작하는 구조여서 감염 사실을 알아차리기조차 어렵다
월간 lsquo안rsquo에서는 1부와 2부에 걸쳐 크립트엑스엑스엑스의 동작 방식과 주요 기능 암호화 방식 복구 툴 등 자세한 내용을 소개한다
lt연재 목차gt
1부_ DLL 이용한 CryptXXX 랜섬웨어 분석 완료
2부_ CryptXXX 암호화 비밀과 복구 툴 공개
DLL 이용한 CryptXXX 랜섬웨어 분석 완료
CryptXXX 랜섬웨어 분석 보고서_1부
크립트엑스엑스엑스 랜섬웨어(진단명 TrojanWin32CryptXXX
이하 크립트엑스엑스엑스)는 컴퓨터에 있는 파일을 암호화한 뒤
lsquocryptrsquo 확장자로 변경하여 사용자에게 비트코인을 요구하는 랜섬웨
어다 [그림 1]은 크립트엑스엑스엑스의 동작 방식이다
크립트엑스엑스엑스의 경우 다른 랜섬웨어와의 차이점은 DLL(동
적 링크 라이브러리 Dynamic Linking Library)로 동작한다는 점이
다 크립트엑스엑스엑스는 정상 rundll32exe를 악성 DLL이 있는 경
로에 svchostexe로 이름을 바꾸어 복사한 뒤 악성 DLL의 내보내기
(Export) 함수를 인자값으로 호출하여 동작한다
이 악성코드는 피해자의 컴퓨터를 감염시킬 때 lsquoRecovery_사용자
IDtxtrsquo lsquoRecovery_사용자IDhtmlrsquo lsquoRecovery_사용자IDbmprsquo 형
식의 파일을 생성하며 내용은 [그림 3] [그림 4]와 같다
[그림 1] 크립트엑스엑스엑스 동작 방식
[그림 3] 크립트엑스엑스엑스 결제 안내 페이지
[그림 2] svchostexe(정상 rundll32exe)로 로드되어 동작하는 악성 DLL
15
CampC 통신
크립트엑스엑스엑스는 파일을 암호화하기 전 CampC에 악성코드가 생
성한 사용자 ID를 전송한다
암호화된 환경
크립트엑스엑스엑스는 암호화가 완료된 파일의 수정한 날짜와 시간
정보를 백업된 원본의 수정한 날짜로 변경한다
[그림 4] 크립트엑스엑스엑스 결제 안내 텍스트
[표 1] 자동 실행 등록을 위한 바로가기 링크 파일 생성
[표 3] 암호화 대상 확장자
[표 4] 암호화 제외 대상 경로
[표 2] 암호화 대상 드라이브
[그림 5] 자동 실행 등록 정보
[그림 6] CampC 통신 패킷 정보
크립트엑스엑스엑스 주요 기능
자동 실행 등록
크립트엑스엑스엑스는 [표 1]과 같이 시작프로그램에 바로가기 링크
파일을 생성한다 [그림 5]에서 알 수 있듯이 해당 링크 파일에 의해
실행되는 파일은 크립트엑스엑스엑스이며 lsquoMS114rsquo라는 이름의 함수
를 호출하는 기능을 한다
자동 실행 등록
파일
CDocuments and Settings프로그램시작프로그램[사용자ID]lnk
암호화 대상 드라이브
고정식 드라이브 이동식 드라이브 네트워크 드라이브
악성 DLL 내부에 암호화된 CampC는 2개이며 첫 번째 IP에 접속이 되
지 않았을 경우 두 번째 IP로 연결된다
- 1447821443
- 9311876443
CampC 접속 여부와 관계없이 패킷을 전송한 후에는 파일 암호화가 진
행된다
파일 암호화 대상
분석된 크립트엑스엑스엑스로부터 확인된 암호화 대상은 [표 2]와 같다
Z 부터 A 까지 마운트된 모든 드라이브 중 다음의 암호화 대상 드
라이브만 감염이 진행된다
암호화 대상 확장자
3DM 3DS AES APK APP ARC ASC ASM ASP ASPX BRD BZ2 C
CER CFG CFM CGI CGM CMD CPP CRT CSR CSS CSV CUE DB
DBF DCH DCU DIF DIP DJV DJVU DOC DOCB DOCM DOCX DOT DOTM
DOTX DTD DWG DXF EML EPS FDB FLA FRM GBK GBR GED GPG
GPX H HTM HTML HWP IBD INDD JAR JAVA JKS JSP KEY KML
KMZ LAY LAY6 LDF LUA M MAX MDB MDF MFD MML H MS11
MSI MYD MYI NEF NOTE OBJ ODB ODG ODP ODS ODT OTG OTP
OTS OTT P12 PAQ PAS PCT PDB PDF PEM PHP PIF POT POTM
POTX PPAM PPS PPSM PPSX PPT PPTM PPTX PRF PRIV PSD RAR RAW
RSS RTF SCH SDF SITX SLDX SLK SLN SQL STC STD STI STW
SVG SWF SXC SXD SXI SXM SXW TAR TBK TEX TGZ TLB TXT
UOP UOT VB VBS VCF VDI VMDK VMX WKS WPD WPS WSF XLC
XLM XLR XLS XLSB XLSM XLSX XLT XLTM XLTX XLW XML ZIP ZIPX
ACCDB CLASS GADGET IBOOKS PAGES PLUGIN PRIVATE
QCOW2 SQLITE3 SQLITEDB VCXPROJ XCODEPROJ XHTML
암호화 대상 확장자
폴더
WINDOWS BOOT EFI CONFIGMSI
WINNT RECOVERY PROGRA^1 GOOGLE
RECYCLER$RECYCLE
BINPROGRA^2 TEMP
SYSTEM^1 PERFLOGS
16
[그림 7] 암호화 된 파일의 파일의 시간 정보 변경 코드
[그림 8] 암호화된 파일의 시간 정보 변경 전(왼쪽) 및 변경 후(오른쪽)
[그림 13] 암호화 완료 후 화면
[그림 12] 결제 안내 파일의 시간 정보 변경 전(좌) 및 변경 후(우)
[그림 9] 암호화 후 확장자 변경
[그림 11] 결제 안내 파일의 시간 정보 변경 코드
[그림 10] 암호화된 파일과 생성된 결제 안내 파일(BMP HTML TXT)
[그림 7]에서 붉은색 박스로 표현한 부분의 데이터(A4 80 BC 4B 36
B0 D1 01)는 SetFileTime API를 사용하여 백업된 원본의 수정한 날
짜로 변경된다
생성한 결제 안내 파일의 시간 정보를 [그림 12]와 같이 변경한다 암
호화가 완료되면 [그림 13]과 같은 화면을 띄우고 스크린이 잠기게
하여 사용자가 어떠한 동작도 할 수 없게 한다
이때 시간 정보가 변경된 파일은 MoveFileW API를 사용하여 [원본
파일명]crypt로 확장자가 변경된다
크립트엑스엑스엑스는 일반적으로 웹사이트 다운로드 등으로 유포되
는 경우가 많다 따라서 사용자는 출처를 알 수 없는 메일에 첨부된 파
일의 실행이나 불필요한 사이트 접근을 삼가는 등의 주의가 필요하다
해당 악성코드 감염을 막기 위해서는 항상 윈도우 보안 패치 및 V3
백신 프로그램을 최신 업데이트 상태로 유지하는 것이 필요하다
안랩은 원본 파일을 복구하는 툴을 랜섬웨어 보안센터를 통해 무료로
제공하고 있다
안랩 랜섬웨어 보안센터 바로가기
그리고 암호화된 파일이 있는 경로마다 결제 안내 파일들을 생성한다
앞서 언급했듯이 SetFileTime API를 이용하여 [그림 11]에 있는 붉은
색 박스에 있는 데이터(00 00 00 00 71 37 00 00)는 1601년 3월 12
일 월요일 10시 17분 27초로 변경된다
17
CryptXXX RansomwareT H R E A T A N A L Y S I S
크립트엑스엑스엑스(CryptXXX) 랜섬웨어는 정상 파일을 암호화한 후 lsquocryptrsquo 확장자로 변경하여 사용자에게 비트코인을 요구하는
랜섬웨어다 이 랜섬웨어는 현재까지 버전 1x 2x 3x 세 가지 형태가 알려져 있다 안랩은 현재 크립트엑스엑스엑스 2x 버전에 의
해 암호화된 파일에 대한 복구 툴을 제공하고 있다 특히 국내 사용자들이 많이 사용하고 있으나 기존 복구 툴이 지원하지 않는 한글
파일(HWP)의 복구도 가능하다는 점이 주목할만하다
월간 lsquo안rsquo에서는 1부와 2부에 걸쳐 크립트엑스엑스엑스의 동작 방식과 주요 기능 암호화 방식 복구 툴 등 자세한 내용을 소개한다
lt연재 목차gt
1부_ DLL 이용한 CryptXXX 랜섬웨어 분석 완료
2부_ CryptXXX 암호화 비밀과 복구 툴 공개
CryptXXX 암호화 비밀과 복구 툴 공개
CryptXXX 랜섬웨어 분석 보고서_2부
1 암호화 방식
[그림 1]은 크립트엑스엑스엑스에 의해 암호화된 lsquoPhotojpgrsquo 파일을
나타낸다 암호화는 고정 크기(0x1FFF)의 블록 단위로 순차적으로 이
뤄지며 암호화 최대 크기는 0xD012FE(대략 13M)로 이후의 데이터
는 원본과 동일하다
암호화된 파일은 원본 파일과 비교하여 260(=0x104)바이트가 증가
한 형태이며 이는 파일 끝부분에 삽입된 키 테이블(Key Table) 정보
로 인한 것이다([그림 1]에서 붉은색 블록 참고) 이 키 테이블 정보
는 블록 단위의 암호를 복호화하는 데 핵심이 되는 데이터로 공개키
를 통해 암호화되어 저장된다 즉 구조적으로는 해당 공개키에 매칭
되는 개인키 정보 없이는 해당 키 테이블 정보를 복호화할 수 없고
파일 복구가 불가능하다 하지만 해당 키 테이블 정보는 개인키 없이
도 원본 파일 시작 부분의 일부 데이터(예를 들면 파일 포맷별 Magic
정보)를 통해 파일의 형태를 확인할 수 있으며 그것을 토대로 유추할
수 있는 키 값으로 복구가 가능하다
2 Key Table 생성 방식과 취약성
[그림 2]는 파일 끝에 삽입된 0x104바이트 크기의 키 테이블이 생성
되는 과정을 나타낸다 이 그림에서 노란색 부분이 공개키로 암호화
된 KeyTable_A[0x40]이며 CryptEncrypt() API를 통해 공개키로 암
호화 시 원본 0x40바이트 크기의 데이터가 최종 0x80바이트 크기로
증가된다
[그림 1] 크립트엑스엑스엑스 암호화 방식
[그림 2] 키 테이블 생성 과정
18
[그림 2]에서 언급된 암호화에 사용되는 핵심 정보 3가지는 lsquo4바이
트 SEED 값rsquo lsquoKeyTable_A[0x40]rsquo lsquoKeyTable_B[0x100]rsquo이며 최초
4바이트 크기의 SEED 값으로부터 이후 정보들이 순차적으로 만들
어지는 구조를 갖는다 키 생성 과정의 최상위에 위치하는 SEED 값
은 감염 시점의 시스템 시간(SystemTime) 정보 중에서 시(wHour)
분(wMinute) 초(Second) 밀리초(Millisecond)를 이용하여 얻어지
며 이 SEED 값으로부터 0x40바이트 크기의 KeyTable_A[0x40] 데
이터가 생성된다 바로 이 부분에서 제작자가 의도하지 않은 취약성
이 존재하며 SEED 값이 동일하면 매번 동일한 KeyTable_A[0x40]
가 생성되는 구조를 갖는다 최종 블록 단위의 암호화에 사용되는
KeyTable_B[0x100]의 데이터와 원본 파일로부터 읽은 블록과의
XOR(배타적 논리합)을 통해 암호화가 수행된다
즉 SEED 값이 동일하면 매번 생성되는 최종 키 테이블 정보가 동일
한 점과 암호화 방식이 XOR이라는 2가지 포인트를 바탕으로 복구 대
상 파일의 Magic 정보가 존재한다면 역으로 키를 유추할 수 있는 구
조다 [그림 3]은 SEED 값이 0x02978CAC일 때 생성되는 키 테이블
A B의 예를 나타낸다
3 키 테이블 생성 함수
크립트엑스엑스엑스 랜섬웨어에서 파일 암호화 시 사용되는 핵심 정
보 3가지의 생성 함수는 다음과 같다
(1) SEED 값 생성
[그림 4]는 SystemTime 정보를 통해 4바이트 크기의 SEED 값을 생
성하는 함수를 나타낸다
KeyTable_A[0x40] 데이터가 생성되는 방식은 다음의 2가지 기본 테
이블 중 델파이 랜덤(Delphi Random) 함수를 통해 얻은 랜덤값을
바탕으로 하나의 값이 선택되어 구성되는 구조를 갖는다
(1) QWERTYUIOPASDFGHJKLZXCVBNMltgt$^amp()_+~|
(2) qwertyuiop[]asdfghjklzxcvbnm`1234567890-=
크립트엑스엑스엑스는 총 2번의 델파이 랜덤 함수를 사용하여 아래
의 Index(A)와 Index(B)를 얻게 된다 이때 Index(A)는 위 기본 테이
블 중 하나를 선택하기 위한 목적으로 Index(B)는 선택된 테이블의
데이터 중 하나를 선택하기 위한 목적으로 사용된다
Index(A) DelphiRandom(3) - 0 ~ 2 범위의 랜덤 값 생성(0 2인 경우 -gt
(1)번 1인 경우 -gt (2))
Index(B) DelphiRandom(44) - 0 ~ 43 범위의 랜덤 값 생성
예를 들어 Index(A) == 0이고 Index(B) == 3이면 lsquoRrsquo 문자열이 선택
된다
(2) 키 테이블(A) 생성
[그림 5]는 SEED 값을 바탕으로 0x40바이트 크기의 키 테이블을 생
성하는 함수이며 do-while 문을 통해 생성되는 0x40바이트 크기의
데이터가 SEED 값이 동일하면 동일한 형태로 생성되는 취약성이 존
재하는 부분이다
(3) 키 테이블(B) 생성
[그림 6]은 키 테이블(A)로부터 0x100바이트 크기의 최종 키 테이블
(B)가 생성되는 함수를 나타낸다 이 키 테이블 정보는 1바이트 단위
의 블록 단위의 암호화 시 XOR 키 값으로 사용된다
[그림 3] 키 테이블 A B 예제
[그림 4] SEED 값 생성 함수
[그림 5] 키 테이블(A) 생성 함수
19
[그림 6] 키 테이블(B) 생성 함수
[그림 7] 크립트엑스엑스엑스 복구 과정
4 복구 방식
시 분 초 밀리초 정보를 통해 계산되는 SEED 값의 범위는 다음과
같다
- 최소값 0000000000 -gt 0 최대값 235959999 -gt 0x5265bff
사용자마다 그리고 암호화된 파일마다 서로 다른 SEED 값을 유추하
기 위해 0 ~ 0x5265bff 범위의 SEED를 순차적으로 선택하며 이를
바탕으로 암호화에 사용된 키 테이블을 생성하거나 복호화를 시도
한다 첫 번째 블록에 대한 복호화를 통해 파일의 고유한 식별 정보
(Magic)가 확인되면 유효한 SEED 값으로 판단하고 전체 파일에 대
한 블록 단위의 복구를 시도한다 우선 첫 번째 파일이 복구에 성공하
면 두 번째 파일부터는 SEED의 범위를 제한하여 좀 더 빠른 복구가
가능하도록 했다 이러한 설정은 복구 대상 파일들이 동일 시간대에
감염된 형태가 대부분일 것으로 가정하여 이루어진 것으로 복구 대
상 파일들이 서로 다른 시스템에서 다른 시간대에 수집된 형태의 경
우 복구 시간이 더 오래 걸리는 특징을 갖는다
5 복구 대상 리스트
복구 툴을 통해 복구 가능한 크립트엑스엑스엑스 버전은 2x로 제한
적이며 우선 다음의 확장자들에 대한 복구가 가능하도록 제작되었
다 특히 국내 사용자들이 많이 사용하고 있으나 기존 복구 툴이 지
원하지 않는 한글 파일(HWP)의 복구가 가능하다 이 외에도 원본 파
일의 고유한 식별 정보만 알 수 있다면 복구가 가능한 구조이기 때문
에 추후 복구 대상으로 추가될 수 있다
CHM AI HWP PDB PDF RTF HTM HTML PHP XML DWG PS
WSF KEY CSR CRT WAV MP3 OGG WMA WMV AVI ASF MP4
MOV MID MPG FLV PNG GIF BMP TIF JPG JPEG ZIP RAR BZ2
7Z GZ JAR APK TGZ ODS DOC DOT PPT POT PPS XLS XLT
DOCX DOCM DOTX DOTM PPTX PPTM POTM POTX PPSM
XLSX XLSB XLSM XLTM XLTX EPS ISO SQLITE3 MDB MSI APP
FDB ACCDB SLN CLASS VCXPROJ
6 복구 툴 경로
안랩은 크립트엑스엑스엑스 랜섬웨어 2x 버전에 대한 복구 툴을 랜
섬웨어 보안센터를 통해 무료로 제공하고 있다
안랩 랜섬웨어 보안센터 바로가기
[그림 7]은 크립트엑스엑스엑스 복구 툴에서 파일 복구를 위해 이루
어지는 과정을 나타낸 것이다 구조상 첫 번째 파일을 복구하는 데 오
랜 시간이 소요되며 이후 파일부터는 빠르게 복구가 가능하다
20
F O C U S I N - D E P T H Compliance
20
1 개인정보보호법
1) 정보주체 이외로부터 수집한 개인정보의 수집 출처 고지 의무화
ldquo따르릉~ 여보세요 홍길동 고객님이시죠 여기는 보험사인데
요~ 알지도 못하는 보험사로부터 이런 전화를 받아 본 경험이 혹시
있었는지 모르겠다 어디서 내 전화번호를 입수한 것인지 물어보면 정
확히 대답하지 않거나 얼버무리는 경우도 많다 개정안이 시행되는 9
월 30일부터 이런 식의 연락은 더 이상 받지 않게 될 것 같다 일정 규
모 이상이 되는 기업(5만 명 이상의 민감 정보 또는 고유식별정보 처
리 100만 명 이상의 개인정보처리)이 정보주체로부터 직접 수집하지
않고 개인정보를 처리할 때는 반드시 ①정보수집출처 ②개인정보처리
목적 ③개인정보 처리정지 요구권이 있다는 사실을 최초 수집 후 3개
월 이내에 정보주체에게 고지해야만 하기 때문이다 불법으로 입수한
개인정보라면 애초에 고지도 못할 테지만 적법하게 제공받은 경우라
하더라도 고객에게 일일이 고지하기란 큰 부담이 될 것이다 고객이 제
3자 제공 동의를 해서 개인정보를 제공했다는 사실을 증명하라고 요구
하면 그 또한 큰일이다 필자 견해로는 이 개정안에 대한 대응이 본 기
사를 통틀어 제일 큰일일 듯 싶다
2) 민감정보의 안전성 확보조치 명시적 요구
민감정보란 개인의 사상middot신념 노동조합middot정당의 가입middot탈퇴 정치
적 견해 건강 유전 정보나 범죄 경력처럼 사생활을 현저히 침해할
우려가 있는 정보를 말한다 기존에도 고유식별 정보와 더불어 수집
이용하지 않는 것이 원칙이고 별도의 동의를 얻어 처리해야 하며 안
전성확보 조치를 통해 보호해야 할 대상이었다 이번 개정안에서는
민감정보에 대한 안전성 확보 조치를 명시적으로 요구하고 있을 뿐
기업 입장에서 달리 조치해야 할 사항은 없어 보인다 (기존 법에 따
라 잘 조치하고 있었을 경우에는 그렇다는 뜻이다)
3) 개인정보처리방침과 개인정보취급방침 구성 요건 동기화
개인정보보호법의 lsquo개인정보처리방침rsquo은 정보통신망법(이후 lsquo정통망
법rsquo)의 lsquo개인정보취급방침rsquo과 이름도 다르고 구성 요건에도 약간의 차
이가 있었다 이번 개정안에서는 방침 구성 내용에 정통망법 일부 사
꼭 챙겨야 할 개인정보보호 법령
지난 3월 8일 발간된 월간 lsquo안rsquo 2016년 3월호에 lsquo2016년에 챙겨봐야 할 개인정보보호 법령 5가지rsquo란 제목으로 개인정보보호 법령에 대
해 소개한 바 있다 이후 3월 22일과 29일에 정보통신망법과 개인정보보호법이 또 개정되어 2016년에 챙겨야 할 법령이 더 늘어났다
이번 호에서는 두 가지 법의 개정사항의 중요도를 별점으로 매겨가며 정리하고자 한다 단 중요도의 기준은 필자의 주관에 따른 것이므
로 참고만 하는 것이 좋겠다 개정된 내용 중 기업과 관련이 적은 사항은 따로 적지 않았다
별점으로 살펴본
lsquo개정rsquo 개인정보보호 관련 법령
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
중요도 업무영향도 대응업무부하
처 벌
- 미이행 시 3000만 원 이하의 과태료
- 미이행 상태에서 유출 사고 발생 시 2년 이하의 징역 또는 2000만 원 이하
의 벌금
중요도 업무영향도 대응업무부하
처 벌 해당 없음
기업에서 대응해야 할 업무 절차
1 법 시행 시점 이후 수집 보유 중인 개인정보 중 정보주체에게 직접 입수한 것이 아닌
개인정보 식별(정보주체 외 입수 경로 제3자 제공 동의 여부 확인)
2 1에서 식별된 개인정보 중 연락처가 있는 개인정보 식별
3 2에서 식별된 정보주체에게 개인정보 수집 및 이용 사실 고지(파기요청 수집)
구체적인 고지 시기 방법은 시행령이 나와야 알 수 있음
4 3의 절차에서 파기 요청 시 파기 시행
기업에서 대응해야 할 업무 절차
1 보유 중인 개인정보 중 민감정보 식별
2 1에서 식별된 민감정보에 대한 안전성 확보 조치 수준 점검
3 2절차에서 법 기준에 미흡한 경우 보완 조치 이행
2121
항을 반영하여 유사한 구조를 갖추도록 했으며 정통망법 또한 lsquo개인
정보처리방침rsquo으로 명칭을 변경함으로써 개인정보보호법과 일원화할
수 있게 되었다 개인정보보호법 개인정보처리방침에 추가된 사항은
다음과 같다
2 정보통신망 이용촉진 및 정보보호 등에 관한 법(이하 lsquo정
통망법)
1) 정보주체의 이동통신 단말장치 내 정보 및 기능에 대한 접근 시 동
의절차 의무화
스마트폰 메신저 앱을 생각해 보자 메신저 앱의 핵심적인 기능은 다
른 사람과 메시지를 주고받는 것이다 메신저를 편히 쓰려면 연락처
를 일일이 입력하기보다는 스마트폰에 있는 연락처 정보를 이용하는
게 필요할텐데 개정된 법은 그렇게 메신저 앱이 서비스를 이용하기
위해 스마트폰에 저장된 정보에 접근할 경우에 반드시 정보주체의 동
의를 받아야 한다는 것이다
핵심 서비스를 위해 필요한 정보나 접근권한에도 동의를 받으라고 하
는 상황인데 그 외의 목적이라면 당연히 동의를 요구할 수밖에 없다
이 경우에는 사용자가 동의를 거부할 권한이 있고 동의를 안했다고
해서 기업이 서비스 제공을 거부할 수 없도록 하고 있다(거부하면 과
태료 처벌을 받을 수 있다)
이 법의 요구사항은 흔히 알고 있는 개인정보 수집이용 동의와 개념
이 다르기 때문에 기업에서도 상당한 고민과 부담이 있을 것으로 예
상된다 (예를 들면 휴대전화에 저장된 연락처는 휴대전화 주인의 개
인정보가 아니므로 정보주체의 개인정보 수집이용 동의로 대체할 수
없다) 휴대전화 기능에 대한 접근권한 역시 개인정보 수집이용 동의
와는 다른 사항이므로 동의 절차를 새롭게 설정해야 할 가능성이 높
다 이런 동의와 철회 방법에 대한 구현 책임은 이동통신단말장치 소
프트웨어 제조업자와 공급자에게 부과하고 있으며 위반 시 과태료 처
벌을 할 수 있도록 되어 있다
2) 개인정보 처리업무 수탁자가 재위탁할 경우 원 위탁자의 동의를 받
는 경우에만 가능함
이번 정통망법 개정안에서는 개인정보 처리 위탁 관련 조항이 특히
많이 수정되었다 대부분 용어가 lsquo취급rsquo에서 lsquo처리rsquo로 바뀐 사항이 많
고 일부 조항은 개인정보보호법과 동일한 수준으로 바뀌었다 예컨대
수탁자에 대한 관리 감독 책임에 lsquo교육rsquo을 별도로 명시한다거나 수탁
자에게 위탁을 할 경우에는 문서에 의하여야 한다는 내용들이 그러하
다 개인정보보호법보다 조금 엄격하게 느껴질 만한 것은 제25조 7
항으로 수탁자의 재위탁은 위탁자로부터 동의를 받은 경우에 한한다
는 내용이다 (개인정보보호법은 시행령 제28조에서 lsquo재위탁 제한에
관한 사항rsquo을 위탁 시 작성해야 할 문서에 기재하도록 하고 있다)
3) 전화 권유 판매 시 개인정보 수집출처 고지 의무 부과
정통망법에 따르면 전자적 전송매체를 이용하여 영리목적의 광고성 정
보를 전송할 때 수신자의 명시적인 사전 동의를 받아야만 한다 사전
동의를 받지 않을 수 있는 예외가 두 가지 있는데 lsquo방문판매 등에 관한
③ 이동통신단말장치의 기본 운영체제(이동통신단말장치에서 소프트웨어를 실행할 수 있는
기반 환경을 말한다)를 제작하여 공급하는 자와 이동통신단말장치 제조업자 및 이동통신단
말장치의 소프트웨어를 제작하여 공급하는 자는 정보통신서비스 제공자가 이동통신단말장
치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근하려는 경우 접근
권한에 대한 이용자의 동의 및 철회방법을 마련하는 등 이용자 정보 보호에 필요한 조치를
하여야 한다
2 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
다 접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실
② 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 반드시 필요하지 아니한 접근
권한을 설정하는 데 이용자가 동의하지 아니한다는 이유로 이용자에게 해당 서비스의 제공
을 거부하여서는 아니 된다
중요도 업무영향도 대응업무부하
처 벌 2000만 원 이하의 과태료
- 수탁자가 위탁자의 동의 없이 재위탁을 한 경우
기업에서 대응해야 할 업무 절차
1 운영개발 중인 모바일 앱(App) 현황 파악(앱이 설치된 모바일 기기 내 이용 정보 및 기
능 내역)
2 1에서 식별된 모바일 기기 내 정보 및 기기에 대해 서비스 이용에 필수선택 항목 식별
3 모바일 앱 설치 시 동의이용 중 철회 절차 검토 및 보완
1) 필수항목과 선택항목의 구분
2) 법 제22조의2제1항1호2호의 사항을 고지사항에 반영
4 이용자 정보 보호에 필요한 기타 조치 사항 반영
5 3과 4에서 도출된 사항을 모바일 앱에 적용 업데이트
6 기존 운영 중인 앱의 경우 고객에게 업데이트 고지(동의 또는 재동의 절차 적용)
⑦ 수탁자는 개인정보 처리위탁을 한 정보통신서비스 제공자 등의 동의를 받은 경우에 한
하여 제1항에 따라 위탁받은 업무를 제3자에게 재위탁할 수 있다 lt신설 2016322gt
기업에서 대응해야 할 업무 절차
1 수탁자의 경우 위탁받은 개인정보의 처리 업무 중 재위탁 현황 파악
2 재위탁 사실이 있고 위탁자의 동의 증적이 없는 경우 파악
3 2에서 파악된 미동의 재위탁 건에 대해 위탁자에게 고지 및 동의 확보
6 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항
을 처리하는 부서의 명칭과 전화번호 등 연락처
7 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치middot운영 및 그 거부에
관한 사항(해당하는 경우)에만 정한다
중요도 업무영향도 대응업무부하
처 벌
3000만 원 이하의 과태료
- 반드시 필요하지 않은 접근권한 설정에 정보주체가 동의하지 않는다는 이유
로 서비스 제공을 거부할 경우
- 접근권한에 대한 동의 및 철회방법을 마련하는 등 조치를 하지 않은 경우
제22조의2(접근권한에 대한 동의) ① 정보통신서비스 제공자는 해당 서비스를 제공하기 위
하여 이용자의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신 단말장치에 설치된
기능에 대하여 접근할 수 있는 권한(이하 ldquo접근권한rdquo이라 한다)이 필요한 경우 다음 각 호의
사항을 이용자가 명확하게 인지할 수 있도록 알리고 이용자의 동의를 받아야 한다
1 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한인 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
2222
법률rsquo에 따른 전화 권유 판매자가 육성으로 전화 권유를 하는 경우가
그 중 하나였다 개정 법에서는 lsquo수신자에게 개인정보의 수집출처를 고
지하고rsquo라는 조건이 추가됨으로써 한결 까다로워졌다
4) 개인정보의 국외 이전 유형에 따른 동의 요건 완화
모처럼 개인정보보호 담당자한테 반가운 개선 조항이 생겼다 개인정
보의 국외 이전은 정통망법에서 논란이 되던 문제였다 개인정보보호
법은 국외에 제3자 제공할 경우만 정보주체의 동의 받으라고 되어 있
는데 정통망법에선 lsquo이전rsquo할 때 동의를 받으라고만 되어 있었기 때문에
제3자 제공과 위탁의 경우를 달리 적용하기 어려웠던 것이다 개정안
에서는 lsquo국외로 이전하려면rsquo이라고 되어 있던 조항을 lsquo국외에 제공(조회
되는 경우를 포함한다)middot처리위탁middot보관(이하 이 조에서 ldquo이전rdquo이라 한
다)하려면rsquo이라고 풀어서 표현하고 lsquo다만 정보통신서비스의 제공에 관
한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서
제3항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자
우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는
개인정보 처리위탁middot보관에 따른 동의절차를 거치지 아니할 수 있다rsquo라
는 단서 조항을 더 함으로써 국외 이전의 경우에도 위탁업무일 경우엔
동의 받지 않고 처리할 수 있도록 하였다 (개인정보보호법과 일치시킨
셈이다)
5) 노출된 개인정보의 삭제 차단 조치 의무화
웹사이트에서 시험 합격자 명단 등을 공개할 때 관리자의 부주의로 주
민번호와 같은 고유식별정보를 포함시키는 일이 종종 발생하곤 한다
기존 법령에서도 개인정보의 노출을 통제할 책임은 정보처리자에게 부
여하고 있으나 이번 개정안에서는 별도의 조항으로 명시함으로써 책임
성을 부각하고 있다 관련 처벌이 따르지 않아 규범적 조항인 점이 그
나마 다행스럽다
6) 기타 사항
이상 중요한 사항은 짚어 보았고 다른 사항은 대부분 개인정보보호법
과 균형을 맞추기 위한 내용들이다 lsquo개인정보관리책임자rsquo란 용어는
개인정보보호법과 마찬가지로 lsquo개인정보보호책임자rsquo란 용어로 바뀌
었고 처벌 수준에 있어서도 주요 법 위반 시 위반행위에 관련된 이익
의 몰수 추징 조항이 신설되었다 내용의 파급력으로 보자면 충격이
클 수도 있는 제32조 제2항의 징벌적 손해배상도 이미 개인정보보호
법에 들어간 내용이기 때문에 기업 입장에서 새롭게 고민할 사항은
적을 듯하다
전기통신사업자와 정보통신서비스 제공자를 대상으로 하는 정보통신
망법과 일반법으로 적용되는 개인정보보호법은 개인정보보호의 규준
을 이루는 양대 법률이다 기업 입장에선 지나치게 자주 개정되어 정보
보호 업무 부담을 더하는 측면도 있다 하지만 이번 개정안은 두 법의
용어와 조항 처벌 수준 등을 통일함으로써 법 적용을 돕는 긍정적인
면이 훨씬 많을 듯하다 아무쪼록 이번 개정안이 적극 반영되어 사회
전반에서 더욱 안전한 개인정보보호 환경이 갖추어지기를 기대한다
기업에서 대응해야 할 업무 절차
1 전화 권유 판매 시 정보주체 사전 동의 획득 여부 확인
2 사전동의 미 획득 케이스인 경우 개인정보 수집출처 확인
3 개인정보 수집출처가 확인되지 않은 경우 개인정보 이용 중지
4 개인정보 수집출처가 확인된 경우 수집출처를 고객에게 고지하고 전화 권유 판매
기업에서 대응해야 할 업무 절차
1 개인정보의 해외 이전 유형 식별(제공처리위탁보관)
2 이전 유형 중 처리위탁보관의 경우 고지공개 여부 확인
3 이전 유형 중 제공의 경우 동의 여부 확인
4 2 3단계에서 미흡 사항 발견 시 개선 조치
중요도 업무영향도 대응업무부하
처 벌 없음
제32조의3(노출된 개인정보의 삭제middot차단) ① 정보통신서비스 제공자 등은 주민등록번호
계좌정보 신용카드정보 등 이용자의 개인정보가 정보통신망을 통하여 공중에 노출되지 않
도록 하여야 한다
② 정보통신서비스 제공자 등의 고의 또는 중대한 과실로 인하여 개인정보가 분실middot도난middot
유출middot위조middot변조 또는 훼손된 경우로서 이용자에게 손해가 발생한 때에는 법원은 그 손
해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다 다만 정보통신서비스
제공자 등이 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다 lt신설
2016322gt
기업에서 대응해야 할 업무 절차
1 시스템 내 개인정보 노출 현황 파악 (노출정보유형목적노출기간주관부서 등 현황 파악)
2 노출된 고유식별정보 및 금융정보 발견 시 삭제 또는 보호(마스킹 등) 조치
3 1~2의 반복적 이행 가급적 시스템화하는 것이 바람직함
중요도 업무영향도 대응업무부하
처 벌
- 2000만 원 이하의 과태료 공개나 고지 없이 개인정보를 국외에 처리위탁
보관한 경우
- 과징금 부과 정보주체의 동의 없이 개인정보를 국외에 제공한 경우
23
어릴 때부터 각종 디지털 기기의 사용이 능숙한 lsquo디지털 키즈(Digital kids)rsquo인 우리 자녀들을 위한 똑똑한 lsquo디지털 페어런팅(육아법)rsquo을 소개한
다 식당이나 카페에서 어린 자녀에게 스마트폰은 보여주고 있거나 자녀가 어린이날 선물로 스마트폰을 사달라고 조르는 경우 스마트폰 게임
이나 SNS에 빠져 있는 자녀 때문에 걱정인 부모들에게 필요한 자녀의 연령에 맞는 디지털 페어런팅이다 자녀가 성숙한 디지털 기기 사용 습
관을 기를 수 있도록 도와주는 것은 부모가 반드시 해야 하는 역할 중 하나다
몸짓을 이미지로 기억해 엄마의 의도를 파악한다 그다음 좌뇌가 발달하는데 좌뇌가 발달하기 시작하면 언어 발달이 이루어진다 그런데 이 시
기에 과도하게 스마트폰에 노출되면 우뇌가 충분히 발달하지 않은 상태에서 좌뇌가 발달하게 된다
우뇌가 제대로 발달하지 못하면 감정을 담당하는 뇌 발달에 영향을 줄 수 있는데 이는 다른 사람의 마음을 헤아리는 능력 다른 사람과 생각이
나 느낌을 주고 받는 능력 사고력 감정 조절력 부족으로 이어질 수 있다 우는 아이를 달래려고 부모가 편하게 밥을 먹기 위해서 흥미로운
자극을 주고 싶다는 이유로 이 시기 아이에게 건넨 스마트폰은 아이의 뇌에 치명적인 후유증을 남길 수 있음을 기억해야 한다
3~6세 유아기 부모의 통제 하에 사용해야
전문가들은 이 시기 아이에게도 디지털 기기의 사용을 권장하지는 않는다 하지만 현실적으로 쉽지 않다면 차선책을 선택해야 한다 부모가 디
지털 기기의 이용 시간 및 콘텐츠 등에 대해 확실한 기준을 갖고 있어야 한다 lsquo하루 30분 이상 넘기지 않으며 아이가 좋아하는 애니메이션 영상
과 동요 율동 영상만 본다rsquo는 식으로 말이다 아이의 손에 스마트폰을 맡겨버리면 의도하지 않은 영상에까지 노출될 우려가 있으니 주의해야 한다
약속한 시간 외에는 스마트폰을 아이의 손에 닿지 않는 곳에 두는 것이 좋다 이를 위해서는 부모 역시 스마트 기기 사용을 절제할 수 있어야
한다 아이들은 부모를 롤 모델로 삼아 그 태도와 습관을 배우기 때문이다 하지만 이 시기 아이가 스마트폰을 보여 달라고 강하게 떼를 쓰는
등 통제가 되지 않을 때는 당분간 아예 아이에게서 스마트폰을 분리하는 것이 효과적이다 스마트폰이 아닌 다른 방법으로 아이와 시간을 보
내는 법을 고민하는 것은 부모의 몫이다
0~3세 영유아기 스마트폰 잠시 건네는 것도 안 돼
이제 걸음마를 시작할 법한 아이가 스마트폰에 집중해 있는 모습을
본 적이 있을 것이다 우는 아이를 달래기 위해서 식당이나 카페에서
아이를 조용히 앉혀놓을 요량으로 부모는 어린 자녀의 손에 스마트폰
을 쥐여준다 하지만 전문가들은 이 시기의 아이에게 디지털 기기를
노출시키는 건 ldquo안 된다rdquo고 입을 모은다 lsquo영유아 스마트폰 증후군rsquo 등
의 부작용이 우려되기 때문이다
lsquo영유아 스마트폰 증후군rsquo이란 6세 미만의 아이들이 영상 게임 등의
지속적인 자극에 오랜 시간 노출되어 우뇌가 발달해야 하는 시기에
좌뇌가 지나치게 발달해 좌middot우뇌의 균형이 틀어지는 것을 말한다
영아기 아이는 우뇌가 먼저 발달하는데 엄마의 표정 목소리 눈짓
I T amp L I F E
내 아이를 지키는 rsquo디지털 페어런팅rsquo
스티브 잡스가 자녀에게 아이폰 아이패드와 같은 디지털 기기의 사용을 허락하지 않았다는 건 잘 알려진 사실이다 드론을 만드는 3D
로보틱스 CEO 크리스 앤더슨은 아이들이 사용하는 전자 기기의 사용 시간을 제한하고 부모가 통제할 수 있는 장치를 부착했다고 한
다 그는 ldquo테크놀로지의 위험을 잘 알고 있으며 아이들에게 그런 일이 일어나는 것을 원치 않는다rdquo며 그 이유를 설명했다 이들의 자녀
교육법이 전적으로 옳다고 말할 수는 없지만 어릴 때부터 디지털 기기 사용이 너무나 익숙한 우리 자녀들의 모습은 한 번쯤 돌아볼 필
요가 있다
24
6~10세 미만 디지털 기기 사용 가이드라인에 대해 설명해줘야
부모가 디지털 기기 사용 시간 및 사용 및 목록의 한계에 대한 가이드라인을 정하고 이에 대해 아이가 이해할 수 있도록 설명해주는 것이 좋
다 가이드 라인을 정할 때 아이의 생각을 들어보고 반영하는 것도 방법이다 디지털 기기 사용 가이드라인이 지켜질 수 있도록 온 가족이 노력
해야 함은 물론이다 TV를 보고 스마트 기기를 가지고 노는 것 자체가 문제가 될 수도 있지만 이로 인해 친구들과 뛰어놀며 신체활동을 하는
즐거움을 빼앗기지 않도록 하는 것도 중요함을 잊지 말아야 한다
10세 이상의 초등학생 스스로 규칙을 정하고 지킬 수 있도
록 동기 부여
부모들의 고민 중 하나는 lsquo아이에게 스마트폰을 언제 사줄 것인가rsquo다
아이의 하교 후 학원에서 학원으로 이동할 때마다 연락을 주고받기
위해 휴대전화가 필요할 수도 있다 요즘은 초등학교 입학과 함께 스
마트폰을 사주는 가정도 많다 친구들도 다 있다며 사달라고 떼를 쓰
는 아이의 마음도 이해 못 하는 바 아니지만 자녀에게 스마트폰을 사
주는 적당한 시기는 부모가 잘 판단해야 한다 아이가 스마트폰 사용
규칙을 지킬 수 있을 만큼 성숙한 상태여야 한다는 의미다 하고 싶어
도 참을 수 있는 절제력과 충동조절능력 좌절인내력이 바탕이 돼야
만 스스로 규칙을 지킬 수 있다
구글 애플 마이크로소프트 등 글로벌 IT 기업의 자녀들이 많이 다니
는 실리콘밸리에 발도로프 학교에는 컴퓨터가 없다 스크린 보드 빔
프로젝터 등의 멀티미디어 기기도 없으며 연필과 종이 분필 등을 이
용한 아날로그식 수업이 진행된다 이들은 우리나라 나이로 중학교 3
학년이 되는 8학년이 돼서야 컴퓨터를 서서히 배우기 시작한다 학생
들이 학교에 디지털 기기를 가져올 수도 없다 lsquo디지털 세상이 아이를
아프게 한다rsquo의 저자인 신의진 정신과 박사는 ldquo언제 자녀가 스마트폰
을 사용하면 좋냐rdquo는 질문에 ldquo늦을수록 좋다rdquo고 답한다
우리 자녀 세대는 지금 우리보다 훨씬 더 디지털 기기와 가깝게 지낼
것이다 시대가 변하고 있기 때문이다 더 흥미로운 기기들이 쏟아질
것이고 그에 맞는 교육 및 놀이 앱이 넘쳐날 것이다 하지만 시대가
변해도 변하지 않는 것은 존재한다 부모가 자녀와 디지털 생활에 대
해 이야기를 나눌 수 있는 환경은 신뢰를 바탕으로 한 그들의 아날로
그 생활에서의 환경이 조성하는 법이다 가족과 함께 서로의 디지털
생활에 대한 이야기를 나눠보는 시간을 갖는 것은 어떨까
자녀와 함께 TV 컴퓨터 스마트폰 등에 대한 이용 규칙을 정하고 스스로 통제할 수 있도록 동기를 부여해주는 것이 좋다 만약 약속을 어겼을
경우 벌칙도 명확히 해둔다 예를 들어 주말에만 컴퓨터 게임을 하기로 했는데 어겼다면 다음 주말 컴퓨터 이용 시간을 줄이는 식이다 초등학
교 3~4학년만 돼도 아이들은 SNS에 흥미를 느끼기 시작한다 이때 부모는 아이가 어떤 게시물을 올리고 다운로드하는지 관심을 가질 필요가
있다 인터넷상에 올린 글이나 영상은 쉽게 공유될 수 있으며 지우는 것도 쉽지 않다는 점에 대해서도 알려줘야 한다
중middot고등학생 자율성 존중하되 방치해선 안 돼
ldquo스마트폰 그만하고 공부해rdquo와 같은 강압적인 지시는 되레 부작용을 낳을 수 있다 중middot고등학생의 자녀와의 디지털 페어런팅에서 가장 중요한
것은 자율성을 존중하되 방치해서는 안 된다는 점이다 아이가 적당히 조절하며 디지털 기기를 사용하고 있다면 문제 없지만 걱정할 정도로 몰
입돼 있는 상황이라면 가정의 디지털 페어런팅 방식을 다시 점검해봐야 한다 과몰입 상태는 적절한 교육으로 가정에서 바로 잡을 수 있지만 중
독의 수준이라면 상황이 달라진다 이런 경우 아이가 디지털 기기에 빠진 원인을 찾고 이를 해결하기 위해 전문가 상담 및 치료를 받아야 한다
[그림 1] 컴퓨터가 없는 발도로프 학교에 대해 다룬 뉴욕타임즈 기사
(출처 httpwwwnytimescom20111023technologyat-waldorf-school-in-silicon-valley-technology-can-waithtml)
참고 자료
신의진(2013) 디지털 세상이 아이를 아프게 한다 북클라우드
구본권(2014) 당신을 공유하시겠습니까 어크로스
25
보안 통계와 이슈 S T A T I S T I C S
[그림 2]는 2016년 4월 한 달간 유포된 악성코드를 주요 유형별로 집
계한 결과이다 불필요한 프로그램인 PUP(Potentially Unwanted
Program)가 5948로 가장 높은 비중을 차지했고 트로이목마
(Trojan) 계열의 악성코드가 168 웜(Worm)이 347의 비율로
그 뒤를 이었다
지난 4월 한 달간 탐지된 모바일 악성코드는 24만 7847건으로 집계
됐다
안랩 시큐리티대응센터(이하 ASEC)는 최근 ASEC Report Vol76를 통해 지난 2016년 4월의 보안 통계 및 이슈를 전했다 지난 4월
의 주요 보안 이슈를 살펴본다
파일 속성 변경하는 리눅스 악성코드 등장
안랩 4월 악성코드 통계 및 보안 이슈 발표
[그림 1] 악성코드 추이(2016년 2월~2016년 4월)
ASEC이 집계한 바에 따르면 2016년 4월 한 달간 탐지된 악성코드
수는 1156만 4967건으로 나타났다 이는 전월 1321만 2012건에
비해 164만 7045건 감소한 수치다 한편 4월에 수집된 악성코드 샘
플 수는 324만 5837건이다
샘플 수집 수탐지 건수
[그림 2] 2016년 4월 주요 악성코드 유형
Adware DownloaderWormTrojanetcPUP
[그림 3] 모바일 악성코드 추이(2016년 2월 ~ 2016년 4월)
5000000
6000000
10000000
20000000
30000000
40000000
1000000
2000000
3000000
4000000
4월3월2월
11830547 1156496713212012
324
583
7
354
858
1
349
346
8
347
168
1939
5948072
014
100000
200000
300000
500000
600000
700000
400000
0
4월3월2월
247847256512
323301
26
또한 지난 4월 악성코드 유포지로 악용된 도메인은 648개 URL은
2216개로 집계됐다 4월의 악성 도메인 및 URL 차단 건수는 총 637
만 3536건이다
이와 같은 경우 lsquolsattrrsquo 명령을 통해 해당 파일의 속성을 조회하면 [그
림 7]과 같이 lsquoirsquo 속성이 추가되어 있음을 확인할 수 있다
리눅스 악성코드 lsquo빌게이츠 봇넷rsquo 발견
최근 리눅스(Linux) 운영체제에서 감염 시스템의 정보 수집 시스
템 파일 교체 DDoS 공격 등을 수행하는 lsquo빌게이츠 봇넷(BillGates
botnet)rsquo이 발견됐다 해당 악성코드는 감염 시스템 내에서 속성이 변
경되어 삭제가 불가능해 리눅스 사용자들의 피해가 우려된다
빌게이츠 봇넷은 서버에 침입 후 파일의 속성을 변경하여 악성코드를
삭제할 수 없도록 설정한다 리눅스 시스템에서 악성코드 감염에 의
해 파일 속성이 변경된 경우 이를 삭제할 수 있는 방법을 자세히 살
펴보자
먼저 공격자가 파일의 속성을 변경한 후 [그림 5]와 같이 삭제 시도를
하면 lsquo실행이 허가되지 않았다(Operation not permitted)rsquo라는 메시
지가 출력되며 해당 파일이 삭제되지 않는다
이처럼 lsquoirsquo 속성이 추가되어 있는 경우에는 [그림 8]과 같이 루트 권한
으로 lsquochattrrsquo 명령을 통해 해당 파일의 속성을 변경한 후 다시 삭제
를 시도하면 해당 파일이 정상적으로 삭제된다
파일의 속성 추가(chattr)는 lsquo+[추가할 속성]rsquo 제거는 lsquondash[제거할 속성]rsquo
을 통하여 수행할 수 있으며 lsquo-Rrsquo 옵션을 추가로 부여하는 경우에는
하위 디렉터리까지 모두 포함되어 적용된다 이는 윈도우(Windows)
운영체제의 lsquoattirbrsquo 명령과 유사하다
이때 만일 관리자가 파일이 삭제되지 않는 원인을 파일 권한 문제라
고 생각하고 파일 시스템에 기록된 정보를 이용하여 루트 계정 및
inode를 제거하는 방법으로 다시 삭제를 시도하면 마찬가지로 동일
한 메시지가 발생하며 파일이 삭제되지 않는다
이번 리눅스 악성코드 사례와 같이 파일의 속성이 변경되어 삭제가
불가한 경우가 있어 권한 뿐만 아니라 파일 속성에 대해서도 다시 한
번 확인하는 것이 필요하다 단 중요 파일이나 로그 파일 등은 lsquoirsquo나
lsquoarsquo 속성을 적용하는 정상적인 경우도 있다 즉 이러한 속성이 적용되
어 있는 파일이라고 해서 모두 악성 파일은 아니므로 정확히 악성으
로 확인된 파일에 대해서만 삭제를 진행할 것을 권장한다
최근 리눅스 운영체제를 노리는 악성코드가 꾸준히 증가하고 있다
DDoS 공격이나 백도어 등 리눅스 악성코드의 기능도 다양해지고 있
으며 앞으로 더욱 고도화될 것으로 예상된다 리눅스 시스템도 안전
하게 이용하기 위해서는 반드시 암호를 설정해야 하며 최신 보안 업
데이트를 적용해야 한다
V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지하고
있다
ltV3 제품군의 진단명gt
LinuxBackdoor1223123B
[그림 5] RM 명령어를 통한 삭제 시도
[그림 6] INODE 제거를 통한 삭제 시도
[그림 4] 악성코드 유포 도메인URL 탐지 및 차단 건수(2016년 2월 ~ 2016년 4월)
악성 도메인URL 차단 건수 악성코드 유포 URL 수악성코드 유포 도메인 수
10000
20000
30000
8000000
9000000
40000
7000000
6000000
5000000
4000000
04월
221681467900
6481587936
3월2월
6373536
7157616
6355582
[그림 7] 파일 속성 조회
[표 1] 리눅스 파일 속성 및 lsquoCHATTRrsquo 명령어 예시
[그림 8] 파일 속성 변경 후 제거 시도
[명령어 예시 (i S 속성 추가)]
chattr + iS samples
[파일 속성명 중 일부] [설명]
a (CAP LINUX IMMUTABLE capability) 추가 작성만 가능 삭제 불가
I (CAP LINUX IMMUTABLE capability) 삭제 변경 링크 파일 생성 등
S 파일이 변경되면 디스크 동기화
u 파일 삭제 시 내용 백업
2727
A H N L A B N E W S
현대자동차 그룹 IT서비스 전문업체인 현대오토에버가 최근 lsquo5스타
우수 개발협력사rsquo로 안랩을 선정했다
lsquo현대오토에버 우수 개발협력사rsquo는 현대오토에버가 협력사와 공동
으로 수행한 전년도 사업의 수행 실적에 따라 1스타부터 5스타까지
우수협력사를 선정하고 이에 따른 다양한 인센티브를 제공하는 프
로그램이다
안랩은 현대오토에버의 개발컨설팅 협력사로서 프로젝트 평가 및
업체 종합 평가 등에서 안정적이고 우수한 프로젝트 성과를 인정받
아 최고 등급인 lsquo5스타rsquo 우수 개발협력사로 선정됐다 안랩 서비스
사업부를 총괄하는 방인구 상무는 ldquo안랩은 핵심가치인 lsquo고객만족rsquo을
기준으로 맡은 사업에 대해 언제나 최선을 다하고 있다rdquo며 ldquo안랩을
신뢰해주시는 여러 회사와 함께 동반성장할 수 있도록 노력하겠다rdquo
고 말했다
안랩이 지난달 17일 코엑스 컨벤션센터에서 열린 lsquo아마존 웹 서비
스 글로벌 서밋 서울 2016(이하 AWS 서밋 서울 2016)rsquo에서 다양
한 산업 관계자를 대상으로 lsquo안랩 AWS 고객 원격 보안관제 서비스rsquo
를 소개했다
AWS 서밋 서울 2016은 아마존 웹 서비스가 제공하는 클라우드 컴
퓨팅 서비스에 대한 지식을 공유하고 IT 업계의 최신 기술 트렌드 등
을 소개하는 행사로 지난해 첫 국내 개최에 이어 두 번째로 열렸다
이번 행사에 참가한 안랩은 전용 부스를 운영하며 lsquo안랩 AWS 고객
원격 보안관제 서비스rsquo에 대한 개별 고객 상담 및 서비스 체험 신청
등을 진행했다 안랩 AWS 고객 원격 보안관제 서비스는 네트워크
및 웹 서비스 등에 대한 보안을 안랩의 침해대응(CERT) 전문인력이
원격으로 모니터링 및 관리해주는 서비스다
또한 별도 발표장에서 진행된 미니 발표 세션에서 안랩 서비스상
품기획팀 김준호 대리는 안랩 AWS 고객 원격 보안관제 서비스의
개요 및 구성을 비롯하여 탐지를 넘어 위협 분석까지 제공하는
침해사고 대응 프로세스 미디어사 O2O(Online to Offline 온오
프라인 연결) 서비스 제조 분야의 실제 고객 사례를 통한 다양한
산업별 서비스 적용 방안 등 lsquo안랩 AWS 고객 원격 보안관제 서비
스rsquo의 개념과 강점을 소개했다
안랩 김준호 대리는 ldquo안랩은 lsquoAWS 고객 원격 보안관제 서비스rsquo를
지난 1월 출시한 이후 약 4개월 여 만에 이미 복수의 대형 고객사
를 확보하는 등 검증된 서비스를 제공하고 있다rdquo며 ldquo이는 많은 고객
사에서 단순 탐지를 넘어 위협 분석 및 대응까지 가능한 안랩의 전
문성을 인정한 것으로 볼 수 있다rdquo고 강조했다
현대오토에버
lsquo우수 개발협력사rsquo로 안랩 선정
안랩 lsquoAWS 서밋 서울 2016rsquo에서
클라우드 보안관제 서비스 소개
안랩은 AWS 서밋 서울 2016 행사에서 전용 부스와 발표 세션을 통해 안랩 AWS 고객 원격 보안관제 서비스를 소개했다
발행인 권치중
발행처 주식회사 안랩
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
편집인 안랩 콘텐츠기획팀
디자인 안랩 디자인팀
copy 2016 AhnLab Inc All rights reserved
본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제 복사 검색 시스템
으로 저장 또는 전송될 수 없습니다 안랩 안랩 로고는 안랩의 등록상표입
니다 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상
표일 수 있습니다 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
copy 2016 AhnLab Inc All rights reserved
httpwwwahnlabcom
httpblogahnlabcom
httptwittercomahnlab_man
88
익스포트(export) 함수도 모두 정상 프로그램처럼 되어 있지만 PacketAllocatePacket 코드가 실행되면 암호를 풀면서 실행되며 플러그인 파
일을 다운로드하여 추가적인 기능을 수행한다
2 사우디 아람코(Saudi Aramco) 해킹
지난 2012년 8월 15일 세계 최대 규모의 석유 기업 중 하나인 사우디 아람코(Saudi Aramco)가 사이버 공격으로 약 3만 대의 시스템에 장애
가 발생하는 피해를 입었다 같은 날 자신들을 lsquo정의의 검(Cutting Sword of Justice)rsquo이라고 자칭하는 단체가 아람코 해킹이 자신들의 소행이
라고 주장했다
사우디 아람코 해킹에 사용된 악성코드는 lsquo샤문(Shamoon)rsquo 또는 lsquo디스트트랙(Disttrack)rsquo 등으로 불리며 사전에 내부 시스템을 파악하고 데이
터를 삭제하기 위해 제작된 악성코드이다 공격자가 어떻게 내부 시스템에 침입했는지는 아직 알려지지 않았다
샤문 악성코드의 구조는 [그림 6]과 같다 드롭퍼(Dropper)는 하드디스크 파괴 악성코드를 시스템에 떨어뜨리는 역할을 하며 데이터 삭제 기
능과 보고 기능만 가지고 있다 파일 속성 정보를 살펴보면 lsquoDistributed Link Tracking Serverrsquo라는 설명과 함께 마이크로소프트에서 제작한
파일로 가장하고 있다
[그림 5] 아람코 해킹에 관한 lsquo정의의 검(Cutting Sword of Justice)rsquo의 주장
[그림 6] 샤문(Shamoon) 악성코드 구조
[그림 7] 샤문 악성코드의 드롭퍼 등록 정보
99
데이터 파괴 파일은 lsquoCShamoonArabianGulfwiperreleasewuperpdbrsquo와 같은 PDB 정보를 가지고 있다 lsquoArabianGulfrsquo와 같은 문자열을
통해 명확한 공격 대상을 가진 악성코드임을 짐작할 수 있다
데이터 삭제 파일이 실행되면 드라이버 파일(drdisksys)을 생성하고 파일 목록을 얻는다 이후 시스템에 존재하는 파일을 JPEG 이미지로 덮어
쓴다 끝으로 하드디스크 MBR을 덮어써 시스템을 사용할 수 없게 하고 lsquoshutdown -r -f -t 2rsquo로 종료시킨다 한편 이 악성코드는 피해 시스템
수 등을 보고하는 기능도 갖고 있다
사회기반시설 보안에 관한 제언
지난해 말 안랩을 비롯한 국내외 보안 업체들은 2016년에 발생할 수 있는 보안 위협 중 하나로 사이버테러 및 국가기반시설 보안 위협을 꼽
은 바 있다 그리고 2016년 초부터 방글라데시 중앙은행의 해킹 국내 버스정류장 안내 시스템 해킹 등이 발생했다
사회기반시설은 사회의 근간을 이루는 중요한 시설인 만큼 강력한 보안이 동반되어야 한다는 것은 두말할 필요도 없다 그러나 실제로는 보안
인력이 부족한 경우나 내부 보안 인력의 전문성이 부족한 경우가 있다 또는 시설의 시스템 자체가 적절한 보안이 고려되지 않은 채 설계되었
거나 보안에 취약한 구형 시스템으로 운영되는 경우도 있다
외부 공격으로부터 사회기반시설을 안전하게 보호하기 위해서는 우선 구성원들이 준수할 수 있는 현실성 있는 보안 정책을 수립해야 한다 이
와 함께 적절한 보안 시스템을 구축해 내부로 유입되는 위협을 모니터링 및 차단하고 내부에서 확산되는 위협을 분석 및 대응할 수 있어야 한
다 일반적으로 악성코드의 내부 시스템 침입부터 시스템 파괴 등 악의적인 결과를 가져오기까지는 어느 정도의 시간이 소요된다 수많은 내부
시스템을 파악하고 하나씩 장악해야 하기 때문에 보통 6개월 정도가 걸린다 따라서 공격에 의한 피해가 발생하는 것을 방지하기 위해서는 주
요 시스템에 대한 정기 점검을 통해 이상 징후를 빨리 파악할 수 있어야 한다 이를 위해 전문성을 가진 인력의 양성과 활용이 필요하다 또한
협력 업체에 대한 강력한 보안 방안을 마련해야 한다 공격자들은 침입이 까다로운 사회기반시설을 직접적으로 공격하는 대신 협력 업체를 해
킹하는 등의 우회 공격을 시도할 수 있기 때문이다
한편 사회기반시설 공격 동향에 관한 보다 상세한 내용은 안랩 시큐리티 대응센터 분석팀에서 발표한 lsquo사회기반시설 공격 동향 분석 보고서rsquo
에서 확인할 수 있다
lsquo사회기반시설 공격 동향 분석 보고서rsquo 전문 보기
[그림 8] PDB 정보 내의 특징적인 문자열
참고 자료
- Data breach digest (httpwwwverizoneenterprisecomresourcesreportsrp_data-breach-digest_xg_enpdf )
- Analysis of the Cyber Attack on the Ukrainian Power Grid (httpsicssansorgmediaE-ISAC_SANS_Ukraine_DUC_5pdf )
- 도시철도 안전 및 유지관리 실태 감사결과 (httpgovseoulgokrarchives86261)
- 감사원 국가 사이버안전 관리 실태 (httpwwwbaigokrbaiindexdo)
- 강은성 lsquo망분리는 만병통치약인가rsquo (wwwciokoreacomnews25437)
- 미국 국토안보국 Sector Risk Snapshotsrsquo(httpswwwhsdlorgviewampdid=754033)
- httpwwwsecurityweekcomhackers-broadcast-porn-tv-screens-brazil-bus-depot
- httpafricanspotlightcom20150808hackers-broadcast-porn-on-tv-screens-at-brazil-bus-station-photos
- httpsmonthlychosuncomclientnewsviwaspnNewsNumb=200908100021
- httpsenwikipediaorgwikiCyberattacks_during_the_Russo-Georgian_War
- httpwwweconomistcomnode17147818
- httpmoneycnncom20150805technologyaramco-hack
- httprutsnuaukrayinaiz-za-hakerskoy-ataki-obestochilo-polovinu-ivano-frankovskoy-oblasti-550406html
- SANS httpsicssansorgblog20160101potential-sample-of-malware-from-the-ukrainian-cyber-attack-uncovered
- Ukraine CERT httpcertgovuap=2370
- httpwwwmtagokrpolicyitsmanagement_signjsp
- httpwwwittodaycokrnewsarticleViewhtmlidxno=42719
- httpssecurelistcomblogincidents57854shamoon-the-wiper-copycats-at-work
10
안랩 산업군별 ISF Square 2016 진행
고객의 고민을 듣다 대응 전략을 나누다
S P O T L I G H T AhnLab ISF Square 2016
안랩은 ISF 스퀘어 2016을 통해 각 산업 분야가 직면하고 있는 주요 보안 이슈와 위협 동향 정보를 공유하고 산업별 비즈니스에 최적화된 대
응 방안을 소개하고 있다 지난 4월 27일부터 5월까지 다섯 차례에 걸쳐 진행된 이번 행사에 각 산업 분야의 CISO 및 보안책임자 100여 명이
참석했다
권치중 안랩 대표이사는 환영사를 통해 ldquo신종 공격 기법이 끊임없이 나타나고 있어 고객사 자체가 또는 보안 벤더만으로 최신 보안 위협에 대
응하는 것은 사실상 불가능하다rdquo며 ldquoISF 스퀘어를 통해 고객을 직접 만나 실제 현장에서 느끼고 계신 고민과 어려움을 나누고 산업별로 특화
된 정보를 공유함으로써 실질적이고 최적화된 해법을 찾을 수 있으리라 기대한다rdquo고 말했다
안랩이 최근 한 달 여에 걸쳐 산업군별 정보보호최고책임자(CISO) 및 보안책임자를 대상으로 lsquo안랩 ISF Square 2016(이하 ISF 스퀘어
2016)rsquo을 개최하고 있다 ISF 스퀘어는 안랩이 지난 2009년부터 진행해오던 자사의 융합 보안 컨퍼런스 lsquo안랩 ISFrsquo를 산업별로 세분화
하여 개편한 보안 전략 세미나다 다양한 산업군별 고객사의 특성에 맞춰 lsquo맞춤형 보안 전략 및 솔루션rsquo을 제공하기 위한 목적이다
이번 ISF 스퀘어 2016은 지난 4월 27일 은행 및 카드사를 시작으로 28일에는 보험사 5월 11일과 18일 25일에는 각각 증권사와
건설사 유통사를 대상으로 진행됐다 6월 8일에는 공공 및 교육 기관의 보안책임자를 대상으로 진행할 예정이다
ISF 스퀘어 2016에 산업군별 CISO 100여 명이 참석한 가운데 권치중 안랩 대표이사는 ldquo고객의 목소리에 귀를 기울이고 고민을 나누는 것이 ISF 스퀘어의 목적rdquo이라고 전했다
11
한창규 실장과 김경희 실장(왼쪽부터)은 CISO들이 가장 궁금해하는 랜섬웨어를 비롯한 최신 공격 동향을 공유했다
안병무 차장과 백민경 차장(왼쪽부터)은 기업이 직면하고 있는 보안 위협을 살펴보고 이에 따른 안랩의 솔루션을 제시했다
이와 관련해 한창규 안랩 시큐리티대응센터(ASEC) 실장이 ldquo랜섬웨어로 대표되는 최신 위협 동향rdquo이라는 주제 발표를 통해 CISO의 궁금증에
답했다 한창규 실장은 실제 사례를 통해 신bull변종 랜섬웨어의 감염 경로 동작 원리 등을 설명했다 이어 ldquo랜섬웨어는 더 이상 일시적인 유행이
나 단발성 이슈가 아니다rdquo라며 ldquo기업에서도 이제 랜섬웨어에 대한 대응책을 마련해야 할 때rdquo라고 강조했다
이어 김경희 안랩 플랫폼개발실 실장은 랜섬웨어의 서비스화(RaaS Ransomware-as-a-Service)를 비롯해 모바일 랜섬웨어 맥(Mac) OS X를
노리는 랜섬웨어 등 진화하는 랜섬웨어의 흐름을 설명했다 김경희 실장의 설명에 따르면 랜섬웨어는 비대칭 키를 사용하기 때문에 실제 공격
자를 잡아 서버를 수거하지 않는 한 암호를 풀 수 없다 일단 감염되면 피해를 피할 수 없다는 것 특히 현재 일부 업체가 제공하는 lsquo랜섬웨어
복구 서비스rsquo의 대부분은 지불 대행 서비스로 공격자에게 비트코인을 대신 납부해주고 키를 받아 파일을 복구하는 방식에 불과하다 이와 관
련해 김경희 안랩 플랫폼개발실 실장은 ldquo돈을 주고 복구할수록 몸값이 올라갈 뿐만 아니라 돈을 많이 주는 기업을 노리게 된다rdquo고 지적했다
문제는 일반적인 보안 솔루션만으로는 랜섬웨어 대응이 쉽지 않다는 것 이와 관련해 안병무 안랩 제품기획팀 차장은 지능형 위협 대응 솔루
션인 안랩 MDS를 제안했다 안병무 차장은 ldquo최초 감염(First Victim) 방어 포기할 것인가rdquo라는 주제 발표를 통해 랜섬웨어에 대한 최선의 대
응책은 lsquo예방rsquo과 lsquo선제적 방어rsquo라고 전제했다 이어 ldquo랜섬웨어를 비롯해 고도화된 최신 공격 대응에서 놓치지 말아야 할 부분은 첫 번째 희생자
(First Victim)가 발생할 가능성을 최소화하는 것rdquo이라고 강조하고 ldquo안랩 MDS의 lsquo실행보류(Execution Holding) 기능을 이용해 랜섬웨어가 동
작하는 것 자체를 방지할 수 있다rdquo고 설명했다
랜섬웨어는 공통분모hellip산업별 보안 위협은
랜섬웨어는 개인과 기업 산업 분야를 막론하고 공통된 보안 위협이라는 데는 이견이 없다 그러나 기업의 비즈니스에 따라 최우선 보안 과제
는 각기 다르다
기업으로 눈 돌리는 랜섬웨어 그 실체는
산업 분야를 막론하고 현재 가장 심각한 보안 이슈는 역시 랜섬웨어였다 특히 최근 미국의 주요 병원들의 랜섬웨어 감염 사례를 시작으로 랜
섬웨어의 표적이 개인 중심의 불특정 다수에서 막대한 자금을 보유하고 있는 기업군으로 옮겨갈 것이라는 예측도 있어 기업 보안책임자들의
고민이 깊은 실정이다
12
김창희 팀장과 한태수 실장(왼쪽부터)은 각각 유통 분야와 건설 분야의 보안 위협 요인과 대응 방안에 대해 공유했다
정청환 실장은 안랩의 제품 개발부터 관리까지 전 과정에 대한 안랩의 독자적인 보안 체계를 소개해 참석자들의 이목을 집중시켰다
유통 분야를 위한 ISF 스퀘어 2016에서는 최근 또다시 화두가 되고 있는 POS 시스템 보안 위협에 대한 상세한 정보가 공유됐다 김창희 안랩
제품기획팀 팀장은 ldquoPOS 및 단말 보안을 위한 효과적인 대응 방안rdquo이라는 주제 발표를 통해 수많은 고객의 신용카드 정보 등 민감한 정보를
다루는 POS 단말기가 해킹되면 실생활에 직결되는 사회적 경제적으로 치명적인 위험이 될 것이라고 단언했다 그러나 POS 시스템 등 산업
용 단말에는 일반적인 보안 정책이나 솔루션을 적용하는 것은 현실적이지 않다rdquo고 지적하고 ldquo안정적인 비즈니스 운영을 위해 안랩 EPS와 같은
전용 보안 솔루션을 도입하는 것이 바람직하다고 조언했다
한태수 안랩 매니지먼트개발 실장의 ldquo사물인터넷(IoT) 보안 위협과 대응 방안rdquo에 대한 발표는 특히 건설 분야 CISO의 눈과 귀를 사로잡았다
한태수 실장은 ldquo사물인터넷은 스마트가전 스마트헬스 특히 스마트홈 등 통신과 건설 분야에서 더욱 중요한 요소로 부각되고 있다rdquo며 ldquo이제
관련 산업 분야에서는 서비스 준비 단계에서부터 IoT 관련 개방형 표준에 근거한 정보보호 프라이버시 보호에 대해 필수적으로 고민해야만
한다rdquo고 강조했다 또한 ldquo설계도면이나 기술 정보 등 중요 정보가 많은 건설사의 특성상 지능형 보안 위협에 노출되면 피해가 커질 수 있다rdquo고
지적한 뒤 ldquo안랩은 이미 스마트홈 등과 관련해 실제 발생할 수 있는 다양한 공격 시나리오를 연구해왔으며 이에 대한 전방위적인 대응 방안을
마련하고 있다rdquo고 말했다
안랩은 금융 분야부터 유통 건설 그리고 공공 분야까지 각 산업 분야의 주요 보안 위협과 관련해 최적의 보안 솔루션을 제공하고 있다 안랩
의 다양한 솔루션의 근간에는 원천 기술을 보유한 RampD 센터와 인프라가 있다 이와 관련해 정청환 안랩 엔드포인트개발 실장은 그동안 많은
고객들이 궁금해했던 안랩의 보안 제품 개발과 개발 인프라 보안 관리 체계를 소개했다 정청환 실장은 특히 보안 업체 자체를 노리는 공격이
종종 등장하는 것과 관련해 안랩의 대비책은 물론 제품 개발부터 관리까지 무결성을 보장하기 위한 안랩의 자체적인 보안 체계를 상세하게
설명해 참석자들의 큰 호응을 얻었다
백민경 안랩 제품기획팀 차장은 은행 증권사 카드사 등 금융기관이 직면한 위기로 lsquo이용자 PC를 노리는 전자금융사기rsquo를 꼽았다 백민경 차장
은 실제 금융기관 보안 침해 사례를 통해 파밍 다이어 악성코드 공유기 공격 메모리 해킹 등 전자금융사기 기법을 설명하고 모바일과 온라
인으로 금융 서비스를 이용하는 비율이 증가하는 자율 금융 시대를 맞아 명확한 위험요소를 파악하고 그에 따른 적절한 솔루션 도입 등 이용
자 보호와 금융 시스템 보안을 위한 철저한 철학을 갖추는 것이 필요하다고 강조했다
13
세션 발표 후 진행된 라운드 테이블 프로그램을 통해 안랩의 권치중 대표 강석균 전무 배민 상무 방인구 상무가 고객사 CISO와 자유롭고 다양한 논의를 이어나갔다
안랩은 오는 6월 8일 서울 양재동 엘타워에서 공공 및 교육기관의 보안책임자를 대상으로 ISF 스퀘어 2016을 이어나갈 예정이다 또한 안랩은
서울에서 진행되는 행사에 참석하기 어려운 각 지역의 고객사를 위해 lsquo파트너와 함께 찾아가는 고객 세미나rsquo도 동시에 진행하고 있다 지난 5
월 24일 전주 지역에 이어 오는 6월 16일에는 대구 21일에는 대전에서 고객사의 보안책임자를 초청해 최신 보안 위협 동향과 대응 방안을 공
유할 예정이다
고객의 생생한 목소리를 듣다
여타 보안 세미나와 안랩 ISF 스퀘어의 가장 큰 차별점은 제품 기획자부터 제품 개발 책임자 그리고 대표이사에 이르기까지 한 자리에서 고객
과 직접 소통한다는 점이다 이번 ISF 스퀘어 2016에서도 안랩 EP사업부문 총괄인 강석균 전무 EP영업본부 총괄 배민 상무 서비스사업부 총
괄 방인구 상무 등이 총출동해 고객의 고민을 듣고 의견을 나눴다
14
CryptXXX RansomwareT H R E A T A N A L Y S I S
최근 lsquo크립트엑스엑스엑스 랜섬웨어rsquo가 대량 유포되면서 피해 사례가 늘어나고 있다 크립트엑스엑스엑스의 특징은 기존 랜섬웨어와
달리 실행 파일(EXE) 형태가 아닌 동적 링크 라이브러리(DLL) 형태로 유포되고 있다는 점이다 DLL 형태로의 유포는 정상적인 프로
세스와 함께 동작하는 구조여서 감염 사실을 알아차리기조차 어렵다
월간 lsquo안rsquo에서는 1부와 2부에 걸쳐 크립트엑스엑스엑스의 동작 방식과 주요 기능 암호화 방식 복구 툴 등 자세한 내용을 소개한다
lt연재 목차gt
1부_ DLL 이용한 CryptXXX 랜섬웨어 분석 완료
2부_ CryptXXX 암호화 비밀과 복구 툴 공개
DLL 이용한 CryptXXX 랜섬웨어 분석 완료
CryptXXX 랜섬웨어 분석 보고서_1부
크립트엑스엑스엑스 랜섬웨어(진단명 TrojanWin32CryptXXX
이하 크립트엑스엑스엑스)는 컴퓨터에 있는 파일을 암호화한 뒤
lsquocryptrsquo 확장자로 변경하여 사용자에게 비트코인을 요구하는 랜섬웨
어다 [그림 1]은 크립트엑스엑스엑스의 동작 방식이다
크립트엑스엑스엑스의 경우 다른 랜섬웨어와의 차이점은 DLL(동
적 링크 라이브러리 Dynamic Linking Library)로 동작한다는 점이
다 크립트엑스엑스엑스는 정상 rundll32exe를 악성 DLL이 있는 경
로에 svchostexe로 이름을 바꾸어 복사한 뒤 악성 DLL의 내보내기
(Export) 함수를 인자값으로 호출하여 동작한다
이 악성코드는 피해자의 컴퓨터를 감염시킬 때 lsquoRecovery_사용자
IDtxtrsquo lsquoRecovery_사용자IDhtmlrsquo lsquoRecovery_사용자IDbmprsquo 형
식의 파일을 생성하며 내용은 [그림 3] [그림 4]와 같다
[그림 1] 크립트엑스엑스엑스 동작 방식
[그림 3] 크립트엑스엑스엑스 결제 안내 페이지
[그림 2] svchostexe(정상 rundll32exe)로 로드되어 동작하는 악성 DLL
15
CampC 통신
크립트엑스엑스엑스는 파일을 암호화하기 전 CampC에 악성코드가 생
성한 사용자 ID를 전송한다
암호화된 환경
크립트엑스엑스엑스는 암호화가 완료된 파일의 수정한 날짜와 시간
정보를 백업된 원본의 수정한 날짜로 변경한다
[그림 4] 크립트엑스엑스엑스 결제 안내 텍스트
[표 1] 자동 실행 등록을 위한 바로가기 링크 파일 생성
[표 3] 암호화 대상 확장자
[표 4] 암호화 제외 대상 경로
[표 2] 암호화 대상 드라이브
[그림 5] 자동 실행 등록 정보
[그림 6] CampC 통신 패킷 정보
크립트엑스엑스엑스 주요 기능
자동 실행 등록
크립트엑스엑스엑스는 [표 1]과 같이 시작프로그램에 바로가기 링크
파일을 생성한다 [그림 5]에서 알 수 있듯이 해당 링크 파일에 의해
실행되는 파일은 크립트엑스엑스엑스이며 lsquoMS114rsquo라는 이름의 함수
를 호출하는 기능을 한다
자동 실행 등록
파일
CDocuments and Settings프로그램시작프로그램[사용자ID]lnk
암호화 대상 드라이브
고정식 드라이브 이동식 드라이브 네트워크 드라이브
악성 DLL 내부에 암호화된 CampC는 2개이며 첫 번째 IP에 접속이 되
지 않았을 경우 두 번째 IP로 연결된다
- 1447821443
- 9311876443
CampC 접속 여부와 관계없이 패킷을 전송한 후에는 파일 암호화가 진
행된다
파일 암호화 대상
분석된 크립트엑스엑스엑스로부터 확인된 암호화 대상은 [표 2]와 같다
Z 부터 A 까지 마운트된 모든 드라이브 중 다음의 암호화 대상 드
라이브만 감염이 진행된다
암호화 대상 확장자
3DM 3DS AES APK APP ARC ASC ASM ASP ASPX BRD BZ2 C
CER CFG CFM CGI CGM CMD CPP CRT CSR CSS CSV CUE DB
DBF DCH DCU DIF DIP DJV DJVU DOC DOCB DOCM DOCX DOT DOTM
DOTX DTD DWG DXF EML EPS FDB FLA FRM GBK GBR GED GPG
GPX H HTM HTML HWP IBD INDD JAR JAVA JKS JSP KEY KML
KMZ LAY LAY6 LDF LUA M MAX MDB MDF MFD MML H MS11
MSI MYD MYI NEF NOTE OBJ ODB ODG ODP ODS ODT OTG OTP
OTS OTT P12 PAQ PAS PCT PDB PDF PEM PHP PIF POT POTM
POTX PPAM PPS PPSM PPSX PPT PPTM PPTX PRF PRIV PSD RAR RAW
RSS RTF SCH SDF SITX SLDX SLK SLN SQL STC STD STI STW
SVG SWF SXC SXD SXI SXM SXW TAR TBK TEX TGZ TLB TXT
UOP UOT VB VBS VCF VDI VMDK VMX WKS WPD WPS WSF XLC
XLM XLR XLS XLSB XLSM XLSX XLT XLTM XLTX XLW XML ZIP ZIPX
ACCDB CLASS GADGET IBOOKS PAGES PLUGIN PRIVATE
QCOW2 SQLITE3 SQLITEDB VCXPROJ XCODEPROJ XHTML
암호화 대상 확장자
폴더
WINDOWS BOOT EFI CONFIGMSI
WINNT RECOVERY PROGRA^1 GOOGLE
RECYCLER$RECYCLE
BINPROGRA^2 TEMP
SYSTEM^1 PERFLOGS
16
[그림 7] 암호화 된 파일의 파일의 시간 정보 변경 코드
[그림 8] 암호화된 파일의 시간 정보 변경 전(왼쪽) 및 변경 후(오른쪽)
[그림 13] 암호화 완료 후 화면
[그림 12] 결제 안내 파일의 시간 정보 변경 전(좌) 및 변경 후(우)
[그림 9] 암호화 후 확장자 변경
[그림 11] 결제 안내 파일의 시간 정보 변경 코드
[그림 10] 암호화된 파일과 생성된 결제 안내 파일(BMP HTML TXT)
[그림 7]에서 붉은색 박스로 표현한 부분의 데이터(A4 80 BC 4B 36
B0 D1 01)는 SetFileTime API를 사용하여 백업된 원본의 수정한 날
짜로 변경된다
생성한 결제 안내 파일의 시간 정보를 [그림 12]와 같이 변경한다 암
호화가 완료되면 [그림 13]과 같은 화면을 띄우고 스크린이 잠기게
하여 사용자가 어떠한 동작도 할 수 없게 한다
이때 시간 정보가 변경된 파일은 MoveFileW API를 사용하여 [원본
파일명]crypt로 확장자가 변경된다
크립트엑스엑스엑스는 일반적으로 웹사이트 다운로드 등으로 유포되
는 경우가 많다 따라서 사용자는 출처를 알 수 없는 메일에 첨부된 파
일의 실행이나 불필요한 사이트 접근을 삼가는 등의 주의가 필요하다
해당 악성코드 감염을 막기 위해서는 항상 윈도우 보안 패치 및 V3
백신 프로그램을 최신 업데이트 상태로 유지하는 것이 필요하다
안랩은 원본 파일을 복구하는 툴을 랜섬웨어 보안센터를 통해 무료로
제공하고 있다
안랩 랜섬웨어 보안센터 바로가기
그리고 암호화된 파일이 있는 경로마다 결제 안내 파일들을 생성한다
앞서 언급했듯이 SetFileTime API를 이용하여 [그림 11]에 있는 붉은
색 박스에 있는 데이터(00 00 00 00 71 37 00 00)는 1601년 3월 12
일 월요일 10시 17분 27초로 변경된다
17
CryptXXX RansomwareT H R E A T A N A L Y S I S
크립트엑스엑스엑스(CryptXXX) 랜섬웨어는 정상 파일을 암호화한 후 lsquocryptrsquo 확장자로 변경하여 사용자에게 비트코인을 요구하는
랜섬웨어다 이 랜섬웨어는 현재까지 버전 1x 2x 3x 세 가지 형태가 알려져 있다 안랩은 현재 크립트엑스엑스엑스 2x 버전에 의
해 암호화된 파일에 대한 복구 툴을 제공하고 있다 특히 국내 사용자들이 많이 사용하고 있으나 기존 복구 툴이 지원하지 않는 한글
파일(HWP)의 복구도 가능하다는 점이 주목할만하다
월간 lsquo안rsquo에서는 1부와 2부에 걸쳐 크립트엑스엑스엑스의 동작 방식과 주요 기능 암호화 방식 복구 툴 등 자세한 내용을 소개한다
lt연재 목차gt
1부_ DLL 이용한 CryptXXX 랜섬웨어 분석 완료
2부_ CryptXXX 암호화 비밀과 복구 툴 공개
CryptXXX 암호화 비밀과 복구 툴 공개
CryptXXX 랜섬웨어 분석 보고서_2부
1 암호화 방식
[그림 1]은 크립트엑스엑스엑스에 의해 암호화된 lsquoPhotojpgrsquo 파일을
나타낸다 암호화는 고정 크기(0x1FFF)의 블록 단위로 순차적으로 이
뤄지며 암호화 최대 크기는 0xD012FE(대략 13M)로 이후의 데이터
는 원본과 동일하다
암호화된 파일은 원본 파일과 비교하여 260(=0x104)바이트가 증가
한 형태이며 이는 파일 끝부분에 삽입된 키 테이블(Key Table) 정보
로 인한 것이다([그림 1]에서 붉은색 블록 참고) 이 키 테이블 정보
는 블록 단위의 암호를 복호화하는 데 핵심이 되는 데이터로 공개키
를 통해 암호화되어 저장된다 즉 구조적으로는 해당 공개키에 매칭
되는 개인키 정보 없이는 해당 키 테이블 정보를 복호화할 수 없고
파일 복구가 불가능하다 하지만 해당 키 테이블 정보는 개인키 없이
도 원본 파일 시작 부분의 일부 데이터(예를 들면 파일 포맷별 Magic
정보)를 통해 파일의 형태를 확인할 수 있으며 그것을 토대로 유추할
수 있는 키 값으로 복구가 가능하다
2 Key Table 생성 방식과 취약성
[그림 2]는 파일 끝에 삽입된 0x104바이트 크기의 키 테이블이 생성
되는 과정을 나타낸다 이 그림에서 노란색 부분이 공개키로 암호화
된 KeyTable_A[0x40]이며 CryptEncrypt() API를 통해 공개키로 암
호화 시 원본 0x40바이트 크기의 데이터가 최종 0x80바이트 크기로
증가된다
[그림 1] 크립트엑스엑스엑스 암호화 방식
[그림 2] 키 테이블 생성 과정
18
[그림 2]에서 언급된 암호화에 사용되는 핵심 정보 3가지는 lsquo4바이
트 SEED 값rsquo lsquoKeyTable_A[0x40]rsquo lsquoKeyTable_B[0x100]rsquo이며 최초
4바이트 크기의 SEED 값으로부터 이후 정보들이 순차적으로 만들
어지는 구조를 갖는다 키 생성 과정의 최상위에 위치하는 SEED 값
은 감염 시점의 시스템 시간(SystemTime) 정보 중에서 시(wHour)
분(wMinute) 초(Second) 밀리초(Millisecond)를 이용하여 얻어지
며 이 SEED 값으로부터 0x40바이트 크기의 KeyTable_A[0x40] 데
이터가 생성된다 바로 이 부분에서 제작자가 의도하지 않은 취약성
이 존재하며 SEED 값이 동일하면 매번 동일한 KeyTable_A[0x40]
가 생성되는 구조를 갖는다 최종 블록 단위의 암호화에 사용되는
KeyTable_B[0x100]의 데이터와 원본 파일로부터 읽은 블록과의
XOR(배타적 논리합)을 통해 암호화가 수행된다
즉 SEED 값이 동일하면 매번 생성되는 최종 키 테이블 정보가 동일
한 점과 암호화 방식이 XOR이라는 2가지 포인트를 바탕으로 복구 대
상 파일의 Magic 정보가 존재한다면 역으로 키를 유추할 수 있는 구
조다 [그림 3]은 SEED 값이 0x02978CAC일 때 생성되는 키 테이블
A B의 예를 나타낸다
3 키 테이블 생성 함수
크립트엑스엑스엑스 랜섬웨어에서 파일 암호화 시 사용되는 핵심 정
보 3가지의 생성 함수는 다음과 같다
(1) SEED 값 생성
[그림 4]는 SystemTime 정보를 통해 4바이트 크기의 SEED 값을 생
성하는 함수를 나타낸다
KeyTable_A[0x40] 데이터가 생성되는 방식은 다음의 2가지 기본 테
이블 중 델파이 랜덤(Delphi Random) 함수를 통해 얻은 랜덤값을
바탕으로 하나의 값이 선택되어 구성되는 구조를 갖는다
(1) QWERTYUIOPASDFGHJKLZXCVBNMltgt$^amp()_+~|
(2) qwertyuiop[]asdfghjklzxcvbnm`1234567890-=
크립트엑스엑스엑스는 총 2번의 델파이 랜덤 함수를 사용하여 아래
의 Index(A)와 Index(B)를 얻게 된다 이때 Index(A)는 위 기본 테이
블 중 하나를 선택하기 위한 목적으로 Index(B)는 선택된 테이블의
데이터 중 하나를 선택하기 위한 목적으로 사용된다
Index(A) DelphiRandom(3) - 0 ~ 2 범위의 랜덤 값 생성(0 2인 경우 -gt
(1)번 1인 경우 -gt (2))
Index(B) DelphiRandom(44) - 0 ~ 43 범위의 랜덤 값 생성
예를 들어 Index(A) == 0이고 Index(B) == 3이면 lsquoRrsquo 문자열이 선택
된다
(2) 키 테이블(A) 생성
[그림 5]는 SEED 값을 바탕으로 0x40바이트 크기의 키 테이블을 생
성하는 함수이며 do-while 문을 통해 생성되는 0x40바이트 크기의
데이터가 SEED 값이 동일하면 동일한 형태로 생성되는 취약성이 존
재하는 부분이다
(3) 키 테이블(B) 생성
[그림 6]은 키 테이블(A)로부터 0x100바이트 크기의 최종 키 테이블
(B)가 생성되는 함수를 나타낸다 이 키 테이블 정보는 1바이트 단위
의 블록 단위의 암호화 시 XOR 키 값으로 사용된다
[그림 3] 키 테이블 A B 예제
[그림 4] SEED 값 생성 함수
[그림 5] 키 테이블(A) 생성 함수
19
[그림 6] 키 테이블(B) 생성 함수
[그림 7] 크립트엑스엑스엑스 복구 과정
4 복구 방식
시 분 초 밀리초 정보를 통해 계산되는 SEED 값의 범위는 다음과
같다
- 최소값 0000000000 -gt 0 최대값 235959999 -gt 0x5265bff
사용자마다 그리고 암호화된 파일마다 서로 다른 SEED 값을 유추하
기 위해 0 ~ 0x5265bff 범위의 SEED를 순차적으로 선택하며 이를
바탕으로 암호화에 사용된 키 테이블을 생성하거나 복호화를 시도
한다 첫 번째 블록에 대한 복호화를 통해 파일의 고유한 식별 정보
(Magic)가 확인되면 유효한 SEED 값으로 판단하고 전체 파일에 대
한 블록 단위의 복구를 시도한다 우선 첫 번째 파일이 복구에 성공하
면 두 번째 파일부터는 SEED의 범위를 제한하여 좀 더 빠른 복구가
가능하도록 했다 이러한 설정은 복구 대상 파일들이 동일 시간대에
감염된 형태가 대부분일 것으로 가정하여 이루어진 것으로 복구 대
상 파일들이 서로 다른 시스템에서 다른 시간대에 수집된 형태의 경
우 복구 시간이 더 오래 걸리는 특징을 갖는다
5 복구 대상 리스트
복구 툴을 통해 복구 가능한 크립트엑스엑스엑스 버전은 2x로 제한
적이며 우선 다음의 확장자들에 대한 복구가 가능하도록 제작되었
다 특히 국내 사용자들이 많이 사용하고 있으나 기존 복구 툴이 지
원하지 않는 한글 파일(HWP)의 복구가 가능하다 이 외에도 원본 파
일의 고유한 식별 정보만 알 수 있다면 복구가 가능한 구조이기 때문
에 추후 복구 대상으로 추가될 수 있다
CHM AI HWP PDB PDF RTF HTM HTML PHP XML DWG PS
WSF KEY CSR CRT WAV MP3 OGG WMA WMV AVI ASF MP4
MOV MID MPG FLV PNG GIF BMP TIF JPG JPEG ZIP RAR BZ2
7Z GZ JAR APK TGZ ODS DOC DOT PPT POT PPS XLS XLT
DOCX DOCM DOTX DOTM PPTX PPTM POTM POTX PPSM
XLSX XLSB XLSM XLTM XLTX EPS ISO SQLITE3 MDB MSI APP
FDB ACCDB SLN CLASS VCXPROJ
6 복구 툴 경로
안랩은 크립트엑스엑스엑스 랜섬웨어 2x 버전에 대한 복구 툴을 랜
섬웨어 보안센터를 통해 무료로 제공하고 있다
안랩 랜섬웨어 보안센터 바로가기
[그림 7]은 크립트엑스엑스엑스 복구 툴에서 파일 복구를 위해 이루
어지는 과정을 나타낸 것이다 구조상 첫 번째 파일을 복구하는 데 오
랜 시간이 소요되며 이후 파일부터는 빠르게 복구가 가능하다
20
F O C U S I N - D E P T H Compliance
20
1 개인정보보호법
1) 정보주체 이외로부터 수집한 개인정보의 수집 출처 고지 의무화
ldquo따르릉~ 여보세요 홍길동 고객님이시죠 여기는 보험사인데
요~ 알지도 못하는 보험사로부터 이런 전화를 받아 본 경험이 혹시
있었는지 모르겠다 어디서 내 전화번호를 입수한 것인지 물어보면 정
확히 대답하지 않거나 얼버무리는 경우도 많다 개정안이 시행되는 9
월 30일부터 이런 식의 연락은 더 이상 받지 않게 될 것 같다 일정 규
모 이상이 되는 기업(5만 명 이상의 민감 정보 또는 고유식별정보 처
리 100만 명 이상의 개인정보처리)이 정보주체로부터 직접 수집하지
않고 개인정보를 처리할 때는 반드시 ①정보수집출처 ②개인정보처리
목적 ③개인정보 처리정지 요구권이 있다는 사실을 최초 수집 후 3개
월 이내에 정보주체에게 고지해야만 하기 때문이다 불법으로 입수한
개인정보라면 애초에 고지도 못할 테지만 적법하게 제공받은 경우라
하더라도 고객에게 일일이 고지하기란 큰 부담이 될 것이다 고객이 제
3자 제공 동의를 해서 개인정보를 제공했다는 사실을 증명하라고 요구
하면 그 또한 큰일이다 필자 견해로는 이 개정안에 대한 대응이 본 기
사를 통틀어 제일 큰일일 듯 싶다
2) 민감정보의 안전성 확보조치 명시적 요구
민감정보란 개인의 사상middot신념 노동조합middot정당의 가입middot탈퇴 정치
적 견해 건강 유전 정보나 범죄 경력처럼 사생활을 현저히 침해할
우려가 있는 정보를 말한다 기존에도 고유식별 정보와 더불어 수집
이용하지 않는 것이 원칙이고 별도의 동의를 얻어 처리해야 하며 안
전성확보 조치를 통해 보호해야 할 대상이었다 이번 개정안에서는
민감정보에 대한 안전성 확보 조치를 명시적으로 요구하고 있을 뿐
기업 입장에서 달리 조치해야 할 사항은 없어 보인다 (기존 법에 따
라 잘 조치하고 있었을 경우에는 그렇다는 뜻이다)
3) 개인정보처리방침과 개인정보취급방침 구성 요건 동기화
개인정보보호법의 lsquo개인정보처리방침rsquo은 정보통신망법(이후 lsquo정통망
법rsquo)의 lsquo개인정보취급방침rsquo과 이름도 다르고 구성 요건에도 약간의 차
이가 있었다 이번 개정안에서는 방침 구성 내용에 정통망법 일부 사
꼭 챙겨야 할 개인정보보호 법령
지난 3월 8일 발간된 월간 lsquo안rsquo 2016년 3월호에 lsquo2016년에 챙겨봐야 할 개인정보보호 법령 5가지rsquo란 제목으로 개인정보보호 법령에 대
해 소개한 바 있다 이후 3월 22일과 29일에 정보통신망법과 개인정보보호법이 또 개정되어 2016년에 챙겨야 할 법령이 더 늘어났다
이번 호에서는 두 가지 법의 개정사항의 중요도를 별점으로 매겨가며 정리하고자 한다 단 중요도의 기준은 필자의 주관에 따른 것이므
로 참고만 하는 것이 좋겠다 개정된 내용 중 기업과 관련이 적은 사항은 따로 적지 않았다
별점으로 살펴본
lsquo개정rsquo 개인정보보호 관련 법령
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
중요도 업무영향도 대응업무부하
처 벌
- 미이행 시 3000만 원 이하의 과태료
- 미이행 상태에서 유출 사고 발생 시 2년 이하의 징역 또는 2000만 원 이하
의 벌금
중요도 업무영향도 대응업무부하
처 벌 해당 없음
기업에서 대응해야 할 업무 절차
1 법 시행 시점 이후 수집 보유 중인 개인정보 중 정보주체에게 직접 입수한 것이 아닌
개인정보 식별(정보주체 외 입수 경로 제3자 제공 동의 여부 확인)
2 1에서 식별된 개인정보 중 연락처가 있는 개인정보 식별
3 2에서 식별된 정보주체에게 개인정보 수집 및 이용 사실 고지(파기요청 수집)
구체적인 고지 시기 방법은 시행령이 나와야 알 수 있음
4 3의 절차에서 파기 요청 시 파기 시행
기업에서 대응해야 할 업무 절차
1 보유 중인 개인정보 중 민감정보 식별
2 1에서 식별된 민감정보에 대한 안전성 확보 조치 수준 점검
3 2절차에서 법 기준에 미흡한 경우 보완 조치 이행
2121
항을 반영하여 유사한 구조를 갖추도록 했으며 정통망법 또한 lsquo개인
정보처리방침rsquo으로 명칭을 변경함으로써 개인정보보호법과 일원화할
수 있게 되었다 개인정보보호법 개인정보처리방침에 추가된 사항은
다음과 같다
2 정보통신망 이용촉진 및 정보보호 등에 관한 법(이하 lsquo정
통망법)
1) 정보주체의 이동통신 단말장치 내 정보 및 기능에 대한 접근 시 동
의절차 의무화
스마트폰 메신저 앱을 생각해 보자 메신저 앱의 핵심적인 기능은 다
른 사람과 메시지를 주고받는 것이다 메신저를 편히 쓰려면 연락처
를 일일이 입력하기보다는 스마트폰에 있는 연락처 정보를 이용하는
게 필요할텐데 개정된 법은 그렇게 메신저 앱이 서비스를 이용하기
위해 스마트폰에 저장된 정보에 접근할 경우에 반드시 정보주체의 동
의를 받아야 한다는 것이다
핵심 서비스를 위해 필요한 정보나 접근권한에도 동의를 받으라고 하
는 상황인데 그 외의 목적이라면 당연히 동의를 요구할 수밖에 없다
이 경우에는 사용자가 동의를 거부할 권한이 있고 동의를 안했다고
해서 기업이 서비스 제공을 거부할 수 없도록 하고 있다(거부하면 과
태료 처벌을 받을 수 있다)
이 법의 요구사항은 흔히 알고 있는 개인정보 수집이용 동의와 개념
이 다르기 때문에 기업에서도 상당한 고민과 부담이 있을 것으로 예
상된다 (예를 들면 휴대전화에 저장된 연락처는 휴대전화 주인의 개
인정보가 아니므로 정보주체의 개인정보 수집이용 동의로 대체할 수
없다) 휴대전화 기능에 대한 접근권한 역시 개인정보 수집이용 동의
와는 다른 사항이므로 동의 절차를 새롭게 설정해야 할 가능성이 높
다 이런 동의와 철회 방법에 대한 구현 책임은 이동통신단말장치 소
프트웨어 제조업자와 공급자에게 부과하고 있으며 위반 시 과태료 처
벌을 할 수 있도록 되어 있다
2) 개인정보 처리업무 수탁자가 재위탁할 경우 원 위탁자의 동의를 받
는 경우에만 가능함
이번 정통망법 개정안에서는 개인정보 처리 위탁 관련 조항이 특히
많이 수정되었다 대부분 용어가 lsquo취급rsquo에서 lsquo처리rsquo로 바뀐 사항이 많
고 일부 조항은 개인정보보호법과 동일한 수준으로 바뀌었다 예컨대
수탁자에 대한 관리 감독 책임에 lsquo교육rsquo을 별도로 명시한다거나 수탁
자에게 위탁을 할 경우에는 문서에 의하여야 한다는 내용들이 그러하
다 개인정보보호법보다 조금 엄격하게 느껴질 만한 것은 제25조 7
항으로 수탁자의 재위탁은 위탁자로부터 동의를 받은 경우에 한한다
는 내용이다 (개인정보보호법은 시행령 제28조에서 lsquo재위탁 제한에
관한 사항rsquo을 위탁 시 작성해야 할 문서에 기재하도록 하고 있다)
3) 전화 권유 판매 시 개인정보 수집출처 고지 의무 부과
정통망법에 따르면 전자적 전송매체를 이용하여 영리목적의 광고성 정
보를 전송할 때 수신자의 명시적인 사전 동의를 받아야만 한다 사전
동의를 받지 않을 수 있는 예외가 두 가지 있는데 lsquo방문판매 등에 관한
③ 이동통신단말장치의 기본 운영체제(이동통신단말장치에서 소프트웨어를 실행할 수 있는
기반 환경을 말한다)를 제작하여 공급하는 자와 이동통신단말장치 제조업자 및 이동통신단
말장치의 소프트웨어를 제작하여 공급하는 자는 정보통신서비스 제공자가 이동통신단말장
치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근하려는 경우 접근
권한에 대한 이용자의 동의 및 철회방법을 마련하는 등 이용자 정보 보호에 필요한 조치를
하여야 한다
2 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
다 접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실
② 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 반드시 필요하지 아니한 접근
권한을 설정하는 데 이용자가 동의하지 아니한다는 이유로 이용자에게 해당 서비스의 제공
을 거부하여서는 아니 된다
중요도 업무영향도 대응업무부하
처 벌 2000만 원 이하의 과태료
- 수탁자가 위탁자의 동의 없이 재위탁을 한 경우
기업에서 대응해야 할 업무 절차
1 운영개발 중인 모바일 앱(App) 현황 파악(앱이 설치된 모바일 기기 내 이용 정보 및 기
능 내역)
2 1에서 식별된 모바일 기기 내 정보 및 기기에 대해 서비스 이용에 필수선택 항목 식별
3 모바일 앱 설치 시 동의이용 중 철회 절차 검토 및 보완
1) 필수항목과 선택항목의 구분
2) 법 제22조의2제1항1호2호의 사항을 고지사항에 반영
4 이용자 정보 보호에 필요한 기타 조치 사항 반영
5 3과 4에서 도출된 사항을 모바일 앱에 적용 업데이트
6 기존 운영 중인 앱의 경우 고객에게 업데이트 고지(동의 또는 재동의 절차 적용)
⑦ 수탁자는 개인정보 처리위탁을 한 정보통신서비스 제공자 등의 동의를 받은 경우에 한
하여 제1항에 따라 위탁받은 업무를 제3자에게 재위탁할 수 있다 lt신설 2016322gt
기업에서 대응해야 할 업무 절차
1 수탁자의 경우 위탁받은 개인정보의 처리 업무 중 재위탁 현황 파악
2 재위탁 사실이 있고 위탁자의 동의 증적이 없는 경우 파악
3 2에서 파악된 미동의 재위탁 건에 대해 위탁자에게 고지 및 동의 확보
6 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항
을 처리하는 부서의 명칭과 전화번호 등 연락처
7 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치middot운영 및 그 거부에
관한 사항(해당하는 경우)에만 정한다
중요도 업무영향도 대응업무부하
처 벌
3000만 원 이하의 과태료
- 반드시 필요하지 않은 접근권한 설정에 정보주체가 동의하지 않는다는 이유
로 서비스 제공을 거부할 경우
- 접근권한에 대한 동의 및 철회방법을 마련하는 등 조치를 하지 않은 경우
제22조의2(접근권한에 대한 동의) ① 정보통신서비스 제공자는 해당 서비스를 제공하기 위
하여 이용자의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신 단말장치에 설치된
기능에 대하여 접근할 수 있는 권한(이하 ldquo접근권한rdquo이라 한다)이 필요한 경우 다음 각 호의
사항을 이용자가 명확하게 인지할 수 있도록 알리고 이용자의 동의를 받아야 한다
1 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한인 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
2222
법률rsquo에 따른 전화 권유 판매자가 육성으로 전화 권유를 하는 경우가
그 중 하나였다 개정 법에서는 lsquo수신자에게 개인정보의 수집출처를 고
지하고rsquo라는 조건이 추가됨으로써 한결 까다로워졌다
4) 개인정보의 국외 이전 유형에 따른 동의 요건 완화
모처럼 개인정보보호 담당자한테 반가운 개선 조항이 생겼다 개인정
보의 국외 이전은 정통망법에서 논란이 되던 문제였다 개인정보보호
법은 국외에 제3자 제공할 경우만 정보주체의 동의 받으라고 되어 있
는데 정통망법에선 lsquo이전rsquo할 때 동의를 받으라고만 되어 있었기 때문에
제3자 제공과 위탁의 경우를 달리 적용하기 어려웠던 것이다 개정안
에서는 lsquo국외로 이전하려면rsquo이라고 되어 있던 조항을 lsquo국외에 제공(조회
되는 경우를 포함한다)middot처리위탁middot보관(이하 이 조에서 ldquo이전rdquo이라 한
다)하려면rsquo이라고 풀어서 표현하고 lsquo다만 정보통신서비스의 제공에 관
한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서
제3항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자
우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는
개인정보 처리위탁middot보관에 따른 동의절차를 거치지 아니할 수 있다rsquo라
는 단서 조항을 더 함으로써 국외 이전의 경우에도 위탁업무일 경우엔
동의 받지 않고 처리할 수 있도록 하였다 (개인정보보호법과 일치시킨
셈이다)
5) 노출된 개인정보의 삭제 차단 조치 의무화
웹사이트에서 시험 합격자 명단 등을 공개할 때 관리자의 부주의로 주
민번호와 같은 고유식별정보를 포함시키는 일이 종종 발생하곤 한다
기존 법령에서도 개인정보의 노출을 통제할 책임은 정보처리자에게 부
여하고 있으나 이번 개정안에서는 별도의 조항으로 명시함으로써 책임
성을 부각하고 있다 관련 처벌이 따르지 않아 규범적 조항인 점이 그
나마 다행스럽다
6) 기타 사항
이상 중요한 사항은 짚어 보았고 다른 사항은 대부분 개인정보보호법
과 균형을 맞추기 위한 내용들이다 lsquo개인정보관리책임자rsquo란 용어는
개인정보보호법과 마찬가지로 lsquo개인정보보호책임자rsquo란 용어로 바뀌
었고 처벌 수준에 있어서도 주요 법 위반 시 위반행위에 관련된 이익
의 몰수 추징 조항이 신설되었다 내용의 파급력으로 보자면 충격이
클 수도 있는 제32조 제2항의 징벌적 손해배상도 이미 개인정보보호
법에 들어간 내용이기 때문에 기업 입장에서 새롭게 고민할 사항은
적을 듯하다
전기통신사업자와 정보통신서비스 제공자를 대상으로 하는 정보통신
망법과 일반법으로 적용되는 개인정보보호법은 개인정보보호의 규준
을 이루는 양대 법률이다 기업 입장에선 지나치게 자주 개정되어 정보
보호 업무 부담을 더하는 측면도 있다 하지만 이번 개정안은 두 법의
용어와 조항 처벌 수준 등을 통일함으로써 법 적용을 돕는 긍정적인
면이 훨씬 많을 듯하다 아무쪼록 이번 개정안이 적극 반영되어 사회
전반에서 더욱 안전한 개인정보보호 환경이 갖추어지기를 기대한다
기업에서 대응해야 할 업무 절차
1 전화 권유 판매 시 정보주체 사전 동의 획득 여부 확인
2 사전동의 미 획득 케이스인 경우 개인정보 수집출처 확인
3 개인정보 수집출처가 확인되지 않은 경우 개인정보 이용 중지
4 개인정보 수집출처가 확인된 경우 수집출처를 고객에게 고지하고 전화 권유 판매
기업에서 대응해야 할 업무 절차
1 개인정보의 해외 이전 유형 식별(제공처리위탁보관)
2 이전 유형 중 처리위탁보관의 경우 고지공개 여부 확인
3 이전 유형 중 제공의 경우 동의 여부 확인
4 2 3단계에서 미흡 사항 발견 시 개선 조치
중요도 업무영향도 대응업무부하
처 벌 없음
제32조의3(노출된 개인정보의 삭제middot차단) ① 정보통신서비스 제공자 등은 주민등록번호
계좌정보 신용카드정보 등 이용자의 개인정보가 정보통신망을 통하여 공중에 노출되지 않
도록 하여야 한다
② 정보통신서비스 제공자 등의 고의 또는 중대한 과실로 인하여 개인정보가 분실middot도난middot
유출middot위조middot변조 또는 훼손된 경우로서 이용자에게 손해가 발생한 때에는 법원은 그 손
해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다 다만 정보통신서비스
제공자 등이 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다 lt신설
2016322gt
기업에서 대응해야 할 업무 절차
1 시스템 내 개인정보 노출 현황 파악 (노출정보유형목적노출기간주관부서 등 현황 파악)
2 노출된 고유식별정보 및 금융정보 발견 시 삭제 또는 보호(마스킹 등) 조치
3 1~2의 반복적 이행 가급적 시스템화하는 것이 바람직함
중요도 업무영향도 대응업무부하
처 벌
- 2000만 원 이하의 과태료 공개나 고지 없이 개인정보를 국외에 처리위탁
보관한 경우
- 과징금 부과 정보주체의 동의 없이 개인정보를 국외에 제공한 경우
23
어릴 때부터 각종 디지털 기기의 사용이 능숙한 lsquo디지털 키즈(Digital kids)rsquo인 우리 자녀들을 위한 똑똑한 lsquo디지털 페어런팅(육아법)rsquo을 소개한
다 식당이나 카페에서 어린 자녀에게 스마트폰은 보여주고 있거나 자녀가 어린이날 선물로 스마트폰을 사달라고 조르는 경우 스마트폰 게임
이나 SNS에 빠져 있는 자녀 때문에 걱정인 부모들에게 필요한 자녀의 연령에 맞는 디지털 페어런팅이다 자녀가 성숙한 디지털 기기 사용 습
관을 기를 수 있도록 도와주는 것은 부모가 반드시 해야 하는 역할 중 하나다
몸짓을 이미지로 기억해 엄마의 의도를 파악한다 그다음 좌뇌가 발달하는데 좌뇌가 발달하기 시작하면 언어 발달이 이루어진다 그런데 이 시
기에 과도하게 스마트폰에 노출되면 우뇌가 충분히 발달하지 않은 상태에서 좌뇌가 발달하게 된다
우뇌가 제대로 발달하지 못하면 감정을 담당하는 뇌 발달에 영향을 줄 수 있는데 이는 다른 사람의 마음을 헤아리는 능력 다른 사람과 생각이
나 느낌을 주고 받는 능력 사고력 감정 조절력 부족으로 이어질 수 있다 우는 아이를 달래려고 부모가 편하게 밥을 먹기 위해서 흥미로운
자극을 주고 싶다는 이유로 이 시기 아이에게 건넨 스마트폰은 아이의 뇌에 치명적인 후유증을 남길 수 있음을 기억해야 한다
3~6세 유아기 부모의 통제 하에 사용해야
전문가들은 이 시기 아이에게도 디지털 기기의 사용을 권장하지는 않는다 하지만 현실적으로 쉽지 않다면 차선책을 선택해야 한다 부모가 디
지털 기기의 이용 시간 및 콘텐츠 등에 대해 확실한 기준을 갖고 있어야 한다 lsquo하루 30분 이상 넘기지 않으며 아이가 좋아하는 애니메이션 영상
과 동요 율동 영상만 본다rsquo는 식으로 말이다 아이의 손에 스마트폰을 맡겨버리면 의도하지 않은 영상에까지 노출될 우려가 있으니 주의해야 한다
약속한 시간 외에는 스마트폰을 아이의 손에 닿지 않는 곳에 두는 것이 좋다 이를 위해서는 부모 역시 스마트 기기 사용을 절제할 수 있어야
한다 아이들은 부모를 롤 모델로 삼아 그 태도와 습관을 배우기 때문이다 하지만 이 시기 아이가 스마트폰을 보여 달라고 강하게 떼를 쓰는
등 통제가 되지 않을 때는 당분간 아예 아이에게서 스마트폰을 분리하는 것이 효과적이다 스마트폰이 아닌 다른 방법으로 아이와 시간을 보
내는 법을 고민하는 것은 부모의 몫이다
0~3세 영유아기 스마트폰 잠시 건네는 것도 안 돼
이제 걸음마를 시작할 법한 아이가 스마트폰에 집중해 있는 모습을
본 적이 있을 것이다 우는 아이를 달래기 위해서 식당이나 카페에서
아이를 조용히 앉혀놓을 요량으로 부모는 어린 자녀의 손에 스마트폰
을 쥐여준다 하지만 전문가들은 이 시기의 아이에게 디지털 기기를
노출시키는 건 ldquo안 된다rdquo고 입을 모은다 lsquo영유아 스마트폰 증후군rsquo 등
의 부작용이 우려되기 때문이다
lsquo영유아 스마트폰 증후군rsquo이란 6세 미만의 아이들이 영상 게임 등의
지속적인 자극에 오랜 시간 노출되어 우뇌가 발달해야 하는 시기에
좌뇌가 지나치게 발달해 좌middot우뇌의 균형이 틀어지는 것을 말한다
영아기 아이는 우뇌가 먼저 발달하는데 엄마의 표정 목소리 눈짓
I T amp L I F E
내 아이를 지키는 rsquo디지털 페어런팅rsquo
스티브 잡스가 자녀에게 아이폰 아이패드와 같은 디지털 기기의 사용을 허락하지 않았다는 건 잘 알려진 사실이다 드론을 만드는 3D
로보틱스 CEO 크리스 앤더슨은 아이들이 사용하는 전자 기기의 사용 시간을 제한하고 부모가 통제할 수 있는 장치를 부착했다고 한
다 그는 ldquo테크놀로지의 위험을 잘 알고 있으며 아이들에게 그런 일이 일어나는 것을 원치 않는다rdquo며 그 이유를 설명했다 이들의 자녀
교육법이 전적으로 옳다고 말할 수는 없지만 어릴 때부터 디지털 기기 사용이 너무나 익숙한 우리 자녀들의 모습은 한 번쯤 돌아볼 필
요가 있다
24
6~10세 미만 디지털 기기 사용 가이드라인에 대해 설명해줘야
부모가 디지털 기기 사용 시간 및 사용 및 목록의 한계에 대한 가이드라인을 정하고 이에 대해 아이가 이해할 수 있도록 설명해주는 것이 좋
다 가이드 라인을 정할 때 아이의 생각을 들어보고 반영하는 것도 방법이다 디지털 기기 사용 가이드라인이 지켜질 수 있도록 온 가족이 노력
해야 함은 물론이다 TV를 보고 스마트 기기를 가지고 노는 것 자체가 문제가 될 수도 있지만 이로 인해 친구들과 뛰어놀며 신체활동을 하는
즐거움을 빼앗기지 않도록 하는 것도 중요함을 잊지 말아야 한다
10세 이상의 초등학생 스스로 규칙을 정하고 지킬 수 있도
록 동기 부여
부모들의 고민 중 하나는 lsquo아이에게 스마트폰을 언제 사줄 것인가rsquo다
아이의 하교 후 학원에서 학원으로 이동할 때마다 연락을 주고받기
위해 휴대전화가 필요할 수도 있다 요즘은 초등학교 입학과 함께 스
마트폰을 사주는 가정도 많다 친구들도 다 있다며 사달라고 떼를 쓰
는 아이의 마음도 이해 못 하는 바 아니지만 자녀에게 스마트폰을 사
주는 적당한 시기는 부모가 잘 판단해야 한다 아이가 스마트폰 사용
규칙을 지킬 수 있을 만큼 성숙한 상태여야 한다는 의미다 하고 싶어
도 참을 수 있는 절제력과 충동조절능력 좌절인내력이 바탕이 돼야
만 스스로 규칙을 지킬 수 있다
구글 애플 마이크로소프트 등 글로벌 IT 기업의 자녀들이 많이 다니
는 실리콘밸리에 발도로프 학교에는 컴퓨터가 없다 스크린 보드 빔
프로젝터 등의 멀티미디어 기기도 없으며 연필과 종이 분필 등을 이
용한 아날로그식 수업이 진행된다 이들은 우리나라 나이로 중학교 3
학년이 되는 8학년이 돼서야 컴퓨터를 서서히 배우기 시작한다 학생
들이 학교에 디지털 기기를 가져올 수도 없다 lsquo디지털 세상이 아이를
아프게 한다rsquo의 저자인 신의진 정신과 박사는 ldquo언제 자녀가 스마트폰
을 사용하면 좋냐rdquo는 질문에 ldquo늦을수록 좋다rdquo고 답한다
우리 자녀 세대는 지금 우리보다 훨씬 더 디지털 기기와 가깝게 지낼
것이다 시대가 변하고 있기 때문이다 더 흥미로운 기기들이 쏟아질
것이고 그에 맞는 교육 및 놀이 앱이 넘쳐날 것이다 하지만 시대가
변해도 변하지 않는 것은 존재한다 부모가 자녀와 디지털 생활에 대
해 이야기를 나눌 수 있는 환경은 신뢰를 바탕으로 한 그들의 아날로
그 생활에서의 환경이 조성하는 법이다 가족과 함께 서로의 디지털
생활에 대한 이야기를 나눠보는 시간을 갖는 것은 어떨까
자녀와 함께 TV 컴퓨터 스마트폰 등에 대한 이용 규칙을 정하고 스스로 통제할 수 있도록 동기를 부여해주는 것이 좋다 만약 약속을 어겼을
경우 벌칙도 명확히 해둔다 예를 들어 주말에만 컴퓨터 게임을 하기로 했는데 어겼다면 다음 주말 컴퓨터 이용 시간을 줄이는 식이다 초등학
교 3~4학년만 돼도 아이들은 SNS에 흥미를 느끼기 시작한다 이때 부모는 아이가 어떤 게시물을 올리고 다운로드하는지 관심을 가질 필요가
있다 인터넷상에 올린 글이나 영상은 쉽게 공유될 수 있으며 지우는 것도 쉽지 않다는 점에 대해서도 알려줘야 한다
중middot고등학생 자율성 존중하되 방치해선 안 돼
ldquo스마트폰 그만하고 공부해rdquo와 같은 강압적인 지시는 되레 부작용을 낳을 수 있다 중middot고등학생의 자녀와의 디지털 페어런팅에서 가장 중요한
것은 자율성을 존중하되 방치해서는 안 된다는 점이다 아이가 적당히 조절하며 디지털 기기를 사용하고 있다면 문제 없지만 걱정할 정도로 몰
입돼 있는 상황이라면 가정의 디지털 페어런팅 방식을 다시 점검해봐야 한다 과몰입 상태는 적절한 교육으로 가정에서 바로 잡을 수 있지만 중
독의 수준이라면 상황이 달라진다 이런 경우 아이가 디지털 기기에 빠진 원인을 찾고 이를 해결하기 위해 전문가 상담 및 치료를 받아야 한다
[그림 1] 컴퓨터가 없는 발도로프 학교에 대해 다룬 뉴욕타임즈 기사
(출처 httpwwwnytimescom20111023technologyat-waldorf-school-in-silicon-valley-technology-can-waithtml)
참고 자료
신의진(2013) 디지털 세상이 아이를 아프게 한다 북클라우드
구본권(2014) 당신을 공유하시겠습니까 어크로스
25
보안 통계와 이슈 S T A T I S T I C S
[그림 2]는 2016년 4월 한 달간 유포된 악성코드를 주요 유형별로 집
계한 결과이다 불필요한 프로그램인 PUP(Potentially Unwanted
Program)가 5948로 가장 높은 비중을 차지했고 트로이목마
(Trojan) 계열의 악성코드가 168 웜(Worm)이 347의 비율로
그 뒤를 이었다
지난 4월 한 달간 탐지된 모바일 악성코드는 24만 7847건으로 집계
됐다
안랩 시큐리티대응센터(이하 ASEC)는 최근 ASEC Report Vol76를 통해 지난 2016년 4월의 보안 통계 및 이슈를 전했다 지난 4월
의 주요 보안 이슈를 살펴본다
파일 속성 변경하는 리눅스 악성코드 등장
안랩 4월 악성코드 통계 및 보안 이슈 발표
[그림 1] 악성코드 추이(2016년 2월~2016년 4월)
ASEC이 집계한 바에 따르면 2016년 4월 한 달간 탐지된 악성코드
수는 1156만 4967건으로 나타났다 이는 전월 1321만 2012건에
비해 164만 7045건 감소한 수치다 한편 4월에 수집된 악성코드 샘
플 수는 324만 5837건이다
샘플 수집 수탐지 건수
[그림 2] 2016년 4월 주요 악성코드 유형
Adware DownloaderWormTrojanetcPUP
[그림 3] 모바일 악성코드 추이(2016년 2월 ~ 2016년 4월)
5000000
6000000
10000000
20000000
30000000
40000000
1000000
2000000
3000000
4000000
4월3월2월
11830547 1156496713212012
324
583
7
354
858
1
349
346
8
347
168
1939
5948072
014
100000
200000
300000
500000
600000
700000
400000
0
4월3월2월
247847256512
323301
26
또한 지난 4월 악성코드 유포지로 악용된 도메인은 648개 URL은
2216개로 집계됐다 4월의 악성 도메인 및 URL 차단 건수는 총 637
만 3536건이다
이와 같은 경우 lsquolsattrrsquo 명령을 통해 해당 파일의 속성을 조회하면 [그
림 7]과 같이 lsquoirsquo 속성이 추가되어 있음을 확인할 수 있다
리눅스 악성코드 lsquo빌게이츠 봇넷rsquo 발견
최근 리눅스(Linux) 운영체제에서 감염 시스템의 정보 수집 시스
템 파일 교체 DDoS 공격 등을 수행하는 lsquo빌게이츠 봇넷(BillGates
botnet)rsquo이 발견됐다 해당 악성코드는 감염 시스템 내에서 속성이 변
경되어 삭제가 불가능해 리눅스 사용자들의 피해가 우려된다
빌게이츠 봇넷은 서버에 침입 후 파일의 속성을 변경하여 악성코드를
삭제할 수 없도록 설정한다 리눅스 시스템에서 악성코드 감염에 의
해 파일 속성이 변경된 경우 이를 삭제할 수 있는 방법을 자세히 살
펴보자
먼저 공격자가 파일의 속성을 변경한 후 [그림 5]와 같이 삭제 시도를
하면 lsquo실행이 허가되지 않았다(Operation not permitted)rsquo라는 메시
지가 출력되며 해당 파일이 삭제되지 않는다
이처럼 lsquoirsquo 속성이 추가되어 있는 경우에는 [그림 8]과 같이 루트 권한
으로 lsquochattrrsquo 명령을 통해 해당 파일의 속성을 변경한 후 다시 삭제
를 시도하면 해당 파일이 정상적으로 삭제된다
파일의 속성 추가(chattr)는 lsquo+[추가할 속성]rsquo 제거는 lsquondash[제거할 속성]rsquo
을 통하여 수행할 수 있으며 lsquo-Rrsquo 옵션을 추가로 부여하는 경우에는
하위 디렉터리까지 모두 포함되어 적용된다 이는 윈도우(Windows)
운영체제의 lsquoattirbrsquo 명령과 유사하다
이때 만일 관리자가 파일이 삭제되지 않는 원인을 파일 권한 문제라
고 생각하고 파일 시스템에 기록된 정보를 이용하여 루트 계정 및
inode를 제거하는 방법으로 다시 삭제를 시도하면 마찬가지로 동일
한 메시지가 발생하며 파일이 삭제되지 않는다
이번 리눅스 악성코드 사례와 같이 파일의 속성이 변경되어 삭제가
불가한 경우가 있어 권한 뿐만 아니라 파일 속성에 대해서도 다시 한
번 확인하는 것이 필요하다 단 중요 파일이나 로그 파일 등은 lsquoirsquo나
lsquoarsquo 속성을 적용하는 정상적인 경우도 있다 즉 이러한 속성이 적용되
어 있는 파일이라고 해서 모두 악성 파일은 아니므로 정확히 악성으
로 확인된 파일에 대해서만 삭제를 진행할 것을 권장한다
최근 리눅스 운영체제를 노리는 악성코드가 꾸준히 증가하고 있다
DDoS 공격이나 백도어 등 리눅스 악성코드의 기능도 다양해지고 있
으며 앞으로 더욱 고도화될 것으로 예상된다 리눅스 시스템도 안전
하게 이용하기 위해서는 반드시 암호를 설정해야 하며 최신 보안 업
데이트를 적용해야 한다
V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지하고
있다
ltV3 제품군의 진단명gt
LinuxBackdoor1223123B
[그림 5] RM 명령어를 통한 삭제 시도
[그림 6] INODE 제거를 통한 삭제 시도
[그림 4] 악성코드 유포 도메인URL 탐지 및 차단 건수(2016년 2월 ~ 2016년 4월)
악성 도메인URL 차단 건수 악성코드 유포 URL 수악성코드 유포 도메인 수
10000
20000
30000
8000000
9000000
40000
7000000
6000000
5000000
4000000
04월
221681467900
6481587936
3월2월
6373536
7157616
6355582
[그림 7] 파일 속성 조회
[표 1] 리눅스 파일 속성 및 lsquoCHATTRrsquo 명령어 예시
[그림 8] 파일 속성 변경 후 제거 시도
[명령어 예시 (i S 속성 추가)]
chattr + iS samples
[파일 속성명 중 일부] [설명]
a (CAP LINUX IMMUTABLE capability) 추가 작성만 가능 삭제 불가
I (CAP LINUX IMMUTABLE capability) 삭제 변경 링크 파일 생성 등
S 파일이 변경되면 디스크 동기화
u 파일 삭제 시 내용 백업
2727
A H N L A B N E W S
현대자동차 그룹 IT서비스 전문업체인 현대오토에버가 최근 lsquo5스타
우수 개발협력사rsquo로 안랩을 선정했다
lsquo현대오토에버 우수 개발협력사rsquo는 현대오토에버가 협력사와 공동
으로 수행한 전년도 사업의 수행 실적에 따라 1스타부터 5스타까지
우수협력사를 선정하고 이에 따른 다양한 인센티브를 제공하는 프
로그램이다
안랩은 현대오토에버의 개발컨설팅 협력사로서 프로젝트 평가 및
업체 종합 평가 등에서 안정적이고 우수한 프로젝트 성과를 인정받
아 최고 등급인 lsquo5스타rsquo 우수 개발협력사로 선정됐다 안랩 서비스
사업부를 총괄하는 방인구 상무는 ldquo안랩은 핵심가치인 lsquo고객만족rsquo을
기준으로 맡은 사업에 대해 언제나 최선을 다하고 있다rdquo며 ldquo안랩을
신뢰해주시는 여러 회사와 함께 동반성장할 수 있도록 노력하겠다rdquo
고 말했다
안랩이 지난달 17일 코엑스 컨벤션센터에서 열린 lsquo아마존 웹 서비
스 글로벌 서밋 서울 2016(이하 AWS 서밋 서울 2016)rsquo에서 다양
한 산업 관계자를 대상으로 lsquo안랩 AWS 고객 원격 보안관제 서비스rsquo
를 소개했다
AWS 서밋 서울 2016은 아마존 웹 서비스가 제공하는 클라우드 컴
퓨팅 서비스에 대한 지식을 공유하고 IT 업계의 최신 기술 트렌드 등
을 소개하는 행사로 지난해 첫 국내 개최에 이어 두 번째로 열렸다
이번 행사에 참가한 안랩은 전용 부스를 운영하며 lsquo안랩 AWS 고객
원격 보안관제 서비스rsquo에 대한 개별 고객 상담 및 서비스 체험 신청
등을 진행했다 안랩 AWS 고객 원격 보안관제 서비스는 네트워크
및 웹 서비스 등에 대한 보안을 안랩의 침해대응(CERT) 전문인력이
원격으로 모니터링 및 관리해주는 서비스다
또한 별도 발표장에서 진행된 미니 발표 세션에서 안랩 서비스상
품기획팀 김준호 대리는 안랩 AWS 고객 원격 보안관제 서비스의
개요 및 구성을 비롯하여 탐지를 넘어 위협 분석까지 제공하는
침해사고 대응 프로세스 미디어사 O2O(Online to Offline 온오
프라인 연결) 서비스 제조 분야의 실제 고객 사례를 통한 다양한
산업별 서비스 적용 방안 등 lsquo안랩 AWS 고객 원격 보안관제 서비
스rsquo의 개념과 강점을 소개했다
안랩 김준호 대리는 ldquo안랩은 lsquoAWS 고객 원격 보안관제 서비스rsquo를
지난 1월 출시한 이후 약 4개월 여 만에 이미 복수의 대형 고객사
를 확보하는 등 검증된 서비스를 제공하고 있다rdquo며 ldquo이는 많은 고객
사에서 단순 탐지를 넘어 위협 분석 및 대응까지 가능한 안랩의 전
문성을 인정한 것으로 볼 수 있다rdquo고 강조했다
현대오토에버
lsquo우수 개발협력사rsquo로 안랩 선정
안랩 lsquoAWS 서밋 서울 2016rsquo에서
클라우드 보안관제 서비스 소개
안랩은 AWS 서밋 서울 2016 행사에서 전용 부스와 발표 세션을 통해 안랩 AWS 고객 원격 보안관제 서비스를 소개했다
발행인 권치중
발행처 주식회사 안랩
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
편집인 안랩 콘텐츠기획팀
디자인 안랩 디자인팀
copy 2016 AhnLab Inc All rights reserved
본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제 복사 검색 시스템
으로 저장 또는 전송될 수 없습니다 안랩 안랩 로고는 안랩의 등록상표입
니다 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상
표일 수 있습니다 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
copy 2016 AhnLab Inc All rights reserved
httpwwwahnlabcom
httpblogahnlabcom
httptwittercomahnlab_man
99
데이터 파괴 파일은 lsquoCShamoonArabianGulfwiperreleasewuperpdbrsquo와 같은 PDB 정보를 가지고 있다 lsquoArabianGulfrsquo와 같은 문자열을
통해 명확한 공격 대상을 가진 악성코드임을 짐작할 수 있다
데이터 삭제 파일이 실행되면 드라이버 파일(drdisksys)을 생성하고 파일 목록을 얻는다 이후 시스템에 존재하는 파일을 JPEG 이미지로 덮어
쓴다 끝으로 하드디스크 MBR을 덮어써 시스템을 사용할 수 없게 하고 lsquoshutdown -r -f -t 2rsquo로 종료시킨다 한편 이 악성코드는 피해 시스템
수 등을 보고하는 기능도 갖고 있다
사회기반시설 보안에 관한 제언
지난해 말 안랩을 비롯한 국내외 보안 업체들은 2016년에 발생할 수 있는 보안 위협 중 하나로 사이버테러 및 국가기반시설 보안 위협을 꼽
은 바 있다 그리고 2016년 초부터 방글라데시 중앙은행의 해킹 국내 버스정류장 안내 시스템 해킹 등이 발생했다
사회기반시설은 사회의 근간을 이루는 중요한 시설인 만큼 강력한 보안이 동반되어야 한다는 것은 두말할 필요도 없다 그러나 실제로는 보안
인력이 부족한 경우나 내부 보안 인력의 전문성이 부족한 경우가 있다 또는 시설의 시스템 자체가 적절한 보안이 고려되지 않은 채 설계되었
거나 보안에 취약한 구형 시스템으로 운영되는 경우도 있다
외부 공격으로부터 사회기반시설을 안전하게 보호하기 위해서는 우선 구성원들이 준수할 수 있는 현실성 있는 보안 정책을 수립해야 한다 이
와 함께 적절한 보안 시스템을 구축해 내부로 유입되는 위협을 모니터링 및 차단하고 내부에서 확산되는 위협을 분석 및 대응할 수 있어야 한
다 일반적으로 악성코드의 내부 시스템 침입부터 시스템 파괴 등 악의적인 결과를 가져오기까지는 어느 정도의 시간이 소요된다 수많은 내부
시스템을 파악하고 하나씩 장악해야 하기 때문에 보통 6개월 정도가 걸린다 따라서 공격에 의한 피해가 발생하는 것을 방지하기 위해서는 주
요 시스템에 대한 정기 점검을 통해 이상 징후를 빨리 파악할 수 있어야 한다 이를 위해 전문성을 가진 인력의 양성과 활용이 필요하다 또한
협력 업체에 대한 강력한 보안 방안을 마련해야 한다 공격자들은 침입이 까다로운 사회기반시설을 직접적으로 공격하는 대신 협력 업체를 해
킹하는 등의 우회 공격을 시도할 수 있기 때문이다
한편 사회기반시설 공격 동향에 관한 보다 상세한 내용은 안랩 시큐리티 대응센터 분석팀에서 발표한 lsquo사회기반시설 공격 동향 분석 보고서rsquo
에서 확인할 수 있다
lsquo사회기반시설 공격 동향 분석 보고서rsquo 전문 보기
[그림 8] PDB 정보 내의 특징적인 문자열
참고 자료
- Data breach digest (httpwwwverizoneenterprisecomresourcesreportsrp_data-breach-digest_xg_enpdf )
- Analysis of the Cyber Attack on the Ukrainian Power Grid (httpsicssansorgmediaE-ISAC_SANS_Ukraine_DUC_5pdf )
- 도시철도 안전 및 유지관리 실태 감사결과 (httpgovseoulgokrarchives86261)
- 감사원 국가 사이버안전 관리 실태 (httpwwwbaigokrbaiindexdo)
- 강은성 lsquo망분리는 만병통치약인가rsquo (wwwciokoreacomnews25437)
- 미국 국토안보국 Sector Risk Snapshotsrsquo(httpswwwhsdlorgviewampdid=754033)
- httpwwwsecurityweekcomhackers-broadcast-porn-tv-screens-brazil-bus-depot
- httpafricanspotlightcom20150808hackers-broadcast-porn-on-tv-screens-at-brazil-bus-station-photos
- httpsmonthlychosuncomclientnewsviwaspnNewsNumb=200908100021
- httpsenwikipediaorgwikiCyberattacks_during_the_Russo-Georgian_War
- httpwwweconomistcomnode17147818
- httpmoneycnncom20150805technologyaramco-hack
- httprutsnuaukrayinaiz-za-hakerskoy-ataki-obestochilo-polovinu-ivano-frankovskoy-oblasti-550406html
- SANS httpsicssansorgblog20160101potential-sample-of-malware-from-the-ukrainian-cyber-attack-uncovered
- Ukraine CERT httpcertgovuap=2370
- httpwwwmtagokrpolicyitsmanagement_signjsp
- httpwwwittodaycokrnewsarticleViewhtmlidxno=42719
- httpssecurelistcomblogincidents57854shamoon-the-wiper-copycats-at-work
10
안랩 산업군별 ISF Square 2016 진행
고객의 고민을 듣다 대응 전략을 나누다
S P O T L I G H T AhnLab ISF Square 2016
안랩은 ISF 스퀘어 2016을 통해 각 산업 분야가 직면하고 있는 주요 보안 이슈와 위협 동향 정보를 공유하고 산업별 비즈니스에 최적화된 대
응 방안을 소개하고 있다 지난 4월 27일부터 5월까지 다섯 차례에 걸쳐 진행된 이번 행사에 각 산업 분야의 CISO 및 보안책임자 100여 명이
참석했다
권치중 안랩 대표이사는 환영사를 통해 ldquo신종 공격 기법이 끊임없이 나타나고 있어 고객사 자체가 또는 보안 벤더만으로 최신 보안 위협에 대
응하는 것은 사실상 불가능하다rdquo며 ldquoISF 스퀘어를 통해 고객을 직접 만나 실제 현장에서 느끼고 계신 고민과 어려움을 나누고 산업별로 특화
된 정보를 공유함으로써 실질적이고 최적화된 해법을 찾을 수 있으리라 기대한다rdquo고 말했다
안랩이 최근 한 달 여에 걸쳐 산업군별 정보보호최고책임자(CISO) 및 보안책임자를 대상으로 lsquo안랩 ISF Square 2016(이하 ISF 스퀘어
2016)rsquo을 개최하고 있다 ISF 스퀘어는 안랩이 지난 2009년부터 진행해오던 자사의 융합 보안 컨퍼런스 lsquo안랩 ISFrsquo를 산업별로 세분화
하여 개편한 보안 전략 세미나다 다양한 산업군별 고객사의 특성에 맞춰 lsquo맞춤형 보안 전략 및 솔루션rsquo을 제공하기 위한 목적이다
이번 ISF 스퀘어 2016은 지난 4월 27일 은행 및 카드사를 시작으로 28일에는 보험사 5월 11일과 18일 25일에는 각각 증권사와
건설사 유통사를 대상으로 진행됐다 6월 8일에는 공공 및 교육 기관의 보안책임자를 대상으로 진행할 예정이다
ISF 스퀘어 2016에 산업군별 CISO 100여 명이 참석한 가운데 권치중 안랩 대표이사는 ldquo고객의 목소리에 귀를 기울이고 고민을 나누는 것이 ISF 스퀘어의 목적rdquo이라고 전했다
11
한창규 실장과 김경희 실장(왼쪽부터)은 CISO들이 가장 궁금해하는 랜섬웨어를 비롯한 최신 공격 동향을 공유했다
안병무 차장과 백민경 차장(왼쪽부터)은 기업이 직면하고 있는 보안 위협을 살펴보고 이에 따른 안랩의 솔루션을 제시했다
이와 관련해 한창규 안랩 시큐리티대응센터(ASEC) 실장이 ldquo랜섬웨어로 대표되는 최신 위협 동향rdquo이라는 주제 발표를 통해 CISO의 궁금증에
답했다 한창규 실장은 실제 사례를 통해 신bull변종 랜섬웨어의 감염 경로 동작 원리 등을 설명했다 이어 ldquo랜섬웨어는 더 이상 일시적인 유행이
나 단발성 이슈가 아니다rdquo라며 ldquo기업에서도 이제 랜섬웨어에 대한 대응책을 마련해야 할 때rdquo라고 강조했다
이어 김경희 안랩 플랫폼개발실 실장은 랜섬웨어의 서비스화(RaaS Ransomware-as-a-Service)를 비롯해 모바일 랜섬웨어 맥(Mac) OS X를
노리는 랜섬웨어 등 진화하는 랜섬웨어의 흐름을 설명했다 김경희 실장의 설명에 따르면 랜섬웨어는 비대칭 키를 사용하기 때문에 실제 공격
자를 잡아 서버를 수거하지 않는 한 암호를 풀 수 없다 일단 감염되면 피해를 피할 수 없다는 것 특히 현재 일부 업체가 제공하는 lsquo랜섬웨어
복구 서비스rsquo의 대부분은 지불 대행 서비스로 공격자에게 비트코인을 대신 납부해주고 키를 받아 파일을 복구하는 방식에 불과하다 이와 관
련해 김경희 안랩 플랫폼개발실 실장은 ldquo돈을 주고 복구할수록 몸값이 올라갈 뿐만 아니라 돈을 많이 주는 기업을 노리게 된다rdquo고 지적했다
문제는 일반적인 보안 솔루션만으로는 랜섬웨어 대응이 쉽지 않다는 것 이와 관련해 안병무 안랩 제품기획팀 차장은 지능형 위협 대응 솔루
션인 안랩 MDS를 제안했다 안병무 차장은 ldquo최초 감염(First Victim) 방어 포기할 것인가rdquo라는 주제 발표를 통해 랜섬웨어에 대한 최선의 대
응책은 lsquo예방rsquo과 lsquo선제적 방어rsquo라고 전제했다 이어 ldquo랜섬웨어를 비롯해 고도화된 최신 공격 대응에서 놓치지 말아야 할 부분은 첫 번째 희생자
(First Victim)가 발생할 가능성을 최소화하는 것rdquo이라고 강조하고 ldquo안랩 MDS의 lsquo실행보류(Execution Holding) 기능을 이용해 랜섬웨어가 동
작하는 것 자체를 방지할 수 있다rdquo고 설명했다
랜섬웨어는 공통분모hellip산업별 보안 위협은
랜섬웨어는 개인과 기업 산업 분야를 막론하고 공통된 보안 위협이라는 데는 이견이 없다 그러나 기업의 비즈니스에 따라 최우선 보안 과제
는 각기 다르다
기업으로 눈 돌리는 랜섬웨어 그 실체는
산업 분야를 막론하고 현재 가장 심각한 보안 이슈는 역시 랜섬웨어였다 특히 최근 미국의 주요 병원들의 랜섬웨어 감염 사례를 시작으로 랜
섬웨어의 표적이 개인 중심의 불특정 다수에서 막대한 자금을 보유하고 있는 기업군으로 옮겨갈 것이라는 예측도 있어 기업 보안책임자들의
고민이 깊은 실정이다
12
김창희 팀장과 한태수 실장(왼쪽부터)은 각각 유통 분야와 건설 분야의 보안 위협 요인과 대응 방안에 대해 공유했다
정청환 실장은 안랩의 제품 개발부터 관리까지 전 과정에 대한 안랩의 독자적인 보안 체계를 소개해 참석자들의 이목을 집중시켰다
유통 분야를 위한 ISF 스퀘어 2016에서는 최근 또다시 화두가 되고 있는 POS 시스템 보안 위협에 대한 상세한 정보가 공유됐다 김창희 안랩
제품기획팀 팀장은 ldquoPOS 및 단말 보안을 위한 효과적인 대응 방안rdquo이라는 주제 발표를 통해 수많은 고객의 신용카드 정보 등 민감한 정보를
다루는 POS 단말기가 해킹되면 실생활에 직결되는 사회적 경제적으로 치명적인 위험이 될 것이라고 단언했다 그러나 POS 시스템 등 산업
용 단말에는 일반적인 보안 정책이나 솔루션을 적용하는 것은 현실적이지 않다rdquo고 지적하고 ldquo안정적인 비즈니스 운영을 위해 안랩 EPS와 같은
전용 보안 솔루션을 도입하는 것이 바람직하다고 조언했다
한태수 안랩 매니지먼트개발 실장의 ldquo사물인터넷(IoT) 보안 위협과 대응 방안rdquo에 대한 발표는 특히 건설 분야 CISO의 눈과 귀를 사로잡았다
한태수 실장은 ldquo사물인터넷은 스마트가전 스마트헬스 특히 스마트홈 등 통신과 건설 분야에서 더욱 중요한 요소로 부각되고 있다rdquo며 ldquo이제
관련 산업 분야에서는 서비스 준비 단계에서부터 IoT 관련 개방형 표준에 근거한 정보보호 프라이버시 보호에 대해 필수적으로 고민해야만
한다rdquo고 강조했다 또한 ldquo설계도면이나 기술 정보 등 중요 정보가 많은 건설사의 특성상 지능형 보안 위협에 노출되면 피해가 커질 수 있다rdquo고
지적한 뒤 ldquo안랩은 이미 스마트홈 등과 관련해 실제 발생할 수 있는 다양한 공격 시나리오를 연구해왔으며 이에 대한 전방위적인 대응 방안을
마련하고 있다rdquo고 말했다
안랩은 금융 분야부터 유통 건설 그리고 공공 분야까지 각 산업 분야의 주요 보안 위협과 관련해 최적의 보안 솔루션을 제공하고 있다 안랩
의 다양한 솔루션의 근간에는 원천 기술을 보유한 RampD 센터와 인프라가 있다 이와 관련해 정청환 안랩 엔드포인트개발 실장은 그동안 많은
고객들이 궁금해했던 안랩의 보안 제품 개발과 개발 인프라 보안 관리 체계를 소개했다 정청환 실장은 특히 보안 업체 자체를 노리는 공격이
종종 등장하는 것과 관련해 안랩의 대비책은 물론 제품 개발부터 관리까지 무결성을 보장하기 위한 안랩의 자체적인 보안 체계를 상세하게
설명해 참석자들의 큰 호응을 얻었다
백민경 안랩 제품기획팀 차장은 은행 증권사 카드사 등 금융기관이 직면한 위기로 lsquo이용자 PC를 노리는 전자금융사기rsquo를 꼽았다 백민경 차장
은 실제 금융기관 보안 침해 사례를 통해 파밍 다이어 악성코드 공유기 공격 메모리 해킹 등 전자금융사기 기법을 설명하고 모바일과 온라
인으로 금융 서비스를 이용하는 비율이 증가하는 자율 금융 시대를 맞아 명확한 위험요소를 파악하고 그에 따른 적절한 솔루션 도입 등 이용
자 보호와 금융 시스템 보안을 위한 철저한 철학을 갖추는 것이 필요하다고 강조했다
13
세션 발표 후 진행된 라운드 테이블 프로그램을 통해 안랩의 권치중 대표 강석균 전무 배민 상무 방인구 상무가 고객사 CISO와 자유롭고 다양한 논의를 이어나갔다
안랩은 오는 6월 8일 서울 양재동 엘타워에서 공공 및 교육기관의 보안책임자를 대상으로 ISF 스퀘어 2016을 이어나갈 예정이다 또한 안랩은
서울에서 진행되는 행사에 참석하기 어려운 각 지역의 고객사를 위해 lsquo파트너와 함께 찾아가는 고객 세미나rsquo도 동시에 진행하고 있다 지난 5
월 24일 전주 지역에 이어 오는 6월 16일에는 대구 21일에는 대전에서 고객사의 보안책임자를 초청해 최신 보안 위협 동향과 대응 방안을 공
유할 예정이다
고객의 생생한 목소리를 듣다
여타 보안 세미나와 안랩 ISF 스퀘어의 가장 큰 차별점은 제품 기획자부터 제품 개발 책임자 그리고 대표이사에 이르기까지 한 자리에서 고객
과 직접 소통한다는 점이다 이번 ISF 스퀘어 2016에서도 안랩 EP사업부문 총괄인 강석균 전무 EP영업본부 총괄 배민 상무 서비스사업부 총
괄 방인구 상무 등이 총출동해 고객의 고민을 듣고 의견을 나눴다
14
CryptXXX RansomwareT H R E A T A N A L Y S I S
최근 lsquo크립트엑스엑스엑스 랜섬웨어rsquo가 대량 유포되면서 피해 사례가 늘어나고 있다 크립트엑스엑스엑스의 특징은 기존 랜섬웨어와
달리 실행 파일(EXE) 형태가 아닌 동적 링크 라이브러리(DLL) 형태로 유포되고 있다는 점이다 DLL 형태로의 유포는 정상적인 프로
세스와 함께 동작하는 구조여서 감염 사실을 알아차리기조차 어렵다
월간 lsquo안rsquo에서는 1부와 2부에 걸쳐 크립트엑스엑스엑스의 동작 방식과 주요 기능 암호화 방식 복구 툴 등 자세한 내용을 소개한다
lt연재 목차gt
1부_ DLL 이용한 CryptXXX 랜섬웨어 분석 완료
2부_ CryptXXX 암호화 비밀과 복구 툴 공개
DLL 이용한 CryptXXX 랜섬웨어 분석 완료
CryptXXX 랜섬웨어 분석 보고서_1부
크립트엑스엑스엑스 랜섬웨어(진단명 TrojanWin32CryptXXX
이하 크립트엑스엑스엑스)는 컴퓨터에 있는 파일을 암호화한 뒤
lsquocryptrsquo 확장자로 변경하여 사용자에게 비트코인을 요구하는 랜섬웨
어다 [그림 1]은 크립트엑스엑스엑스의 동작 방식이다
크립트엑스엑스엑스의 경우 다른 랜섬웨어와의 차이점은 DLL(동
적 링크 라이브러리 Dynamic Linking Library)로 동작한다는 점이
다 크립트엑스엑스엑스는 정상 rundll32exe를 악성 DLL이 있는 경
로에 svchostexe로 이름을 바꾸어 복사한 뒤 악성 DLL의 내보내기
(Export) 함수를 인자값으로 호출하여 동작한다
이 악성코드는 피해자의 컴퓨터를 감염시킬 때 lsquoRecovery_사용자
IDtxtrsquo lsquoRecovery_사용자IDhtmlrsquo lsquoRecovery_사용자IDbmprsquo 형
식의 파일을 생성하며 내용은 [그림 3] [그림 4]와 같다
[그림 1] 크립트엑스엑스엑스 동작 방식
[그림 3] 크립트엑스엑스엑스 결제 안내 페이지
[그림 2] svchostexe(정상 rundll32exe)로 로드되어 동작하는 악성 DLL
15
CampC 통신
크립트엑스엑스엑스는 파일을 암호화하기 전 CampC에 악성코드가 생
성한 사용자 ID를 전송한다
암호화된 환경
크립트엑스엑스엑스는 암호화가 완료된 파일의 수정한 날짜와 시간
정보를 백업된 원본의 수정한 날짜로 변경한다
[그림 4] 크립트엑스엑스엑스 결제 안내 텍스트
[표 1] 자동 실행 등록을 위한 바로가기 링크 파일 생성
[표 3] 암호화 대상 확장자
[표 4] 암호화 제외 대상 경로
[표 2] 암호화 대상 드라이브
[그림 5] 자동 실행 등록 정보
[그림 6] CampC 통신 패킷 정보
크립트엑스엑스엑스 주요 기능
자동 실행 등록
크립트엑스엑스엑스는 [표 1]과 같이 시작프로그램에 바로가기 링크
파일을 생성한다 [그림 5]에서 알 수 있듯이 해당 링크 파일에 의해
실행되는 파일은 크립트엑스엑스엑스이며 lsquoMS114rsquo라는 이름의 함수
를 호출하는 기능을 한다
자동 실행 등록
파일
CDocuments and Settings프로그램시작프로그램[사용자ID]lnk
암호화 대상 드라이브
고정식 드라이브 이동식 드라이브 네트워크 드라이브
악성 DLL 내부에 암호화된 CampC는 2개이며 첫 번째 IP에 접속이 되
지 않았을 경우 두 번째 IP로 연결된다
- 1447821443
- 9311876443
CampC 접속 여부와 관계없이 패킷을 전송한 후에는 파일 암호화가 진
행된다
파일 암호화 대상
분석된 크립트엑스엑스엑스로부터 확인된 암호화 대상은 [표 2]와 같다
Z 부터 A 까지 마운트된 모든 드라이브 중 다음의 암호화 대상 드
라이브만 감염이 진행된다
암호화 대상 확장자
3DM 3DS AES APK APP ARC ASC ASM ASP ASPX BRD BZ2 C
CER CFG CFM CGI CGM CMD CPP CRT CSR CSS CSV CUE DB
DBF DCH DCU DIF DIP DJV DJVU DOC DOCB DOCM DOCX DOT DOTM
DOTX DTD DWG DXF EML EPS FDB FLA FRM GBK GBR GED GPG
GPX H HTM HTML HWP IBD INDD JAR JAVA JKS JSP KEY KML
KMZ LAY LAY6 LDF LUA M MAX MDB MDF MFD MML H MS11
MSI MYD MYI NEF NOTE OBJ ODB ODG ODP ODS ODT OTG OTP
OTS OTT P12 PAQ PAS PCT PDB PDF PEM PHP PIF POT POTM
POTX PPAM PPS PPSM PPSX PPT PPTM PPTX PRF PRIV PSD RAR RAW
RSS RTF SCH SDF SITX SLDX SLK SLN SQL STC STD STI STW
SVG SWF SXC SXD SXI SXM SXW TAR TBK TEX TGZ TLB TXT
UOP UOT VB VBS VCF VDI VMDK VMX WKS WPD WPS WSF XLC
XLM XLR XLS XLSB XLSM XLSX XLT XLTM XLTX XLW XML ZIP ZIPX
ACCDB CLASS GADGET IBOOKS PAGES PLUGIN PRIVATE
QCOW2 SQLITE3 SQLITEDB VCXPROJ XCODEPROJ XHTML
암호화 대상 확장자
폴더
WINDOWS BOOT EFI CONFIGMSI
WINNT RECOVERY PROGRA^1 GOOGLE
RECYCLER$RECYCLE
BINPROGRA^2 TEMP
SYSTEM^1 PERFLOGS
16
[그림 7] 암호화 된 파일의 파일의 시간 정보 변경 코드
[그림 8] 암호화된 파일의 시간 정보 변경 전(왼쪽) 및 변경 후(오른쪽)
[그림 13] 암호화 완료 후 화면
[그림 12] 결제 안내 파일의 시간 정보 변경 전(좌) 및 변경 후(우)
[그림 9] 암호화 후 확장자 변경
[그림 11] 결제 안내 파일의 시간 정보 변경 코드
[그림 10] 암호화된 파일과 생성된 결제 안내 파일(BMP HTML TXT)
[그림 7]에서 붉은색 박스로 표현한 부분의 데이터(A4 80 BC 4B 36
B0 D1 01)는 SetFileTime API를 사용하여 백업된 원본의 수정한 날
짜로 변경된다
생성한 결제 안내 파일의 시간 정보를 [그림 12]와 같이 변경한다 암
호화가 완료되면 [그림 13]과 같은 화면을 띄우고 스크린이 잠기게
하여 사용자가 어떠한 동작도 할 수 없게 한다
이때 시간 정보가 변경된 파일은 MoveFileW API를 사용하여 [원본
파일명]crypt로 확장자가 변경된다
크립트엑스엑스엑스는 일반적으로 웹사이트 다운로드 등으로 유포되
는 경우가 많다 따라서 사용자는 출처를 알 수 없는 메일에 첨부된 파
일의 실행이나 불필요한 사이트 접근을 삼가는 등의 주의가 필요하다
해당 악성코드 감염을 막기 위해서는 항상 윈도우 보안 패치 및 V3
백신 프로그램을 최신 업데이트 상태로 유지하는 것이 필요하다
안랩은 원본 파일을 복구하는 툴을 랜섬웨어 보안센터를 통해 무료로
제공하고 있다
안랩 랜섬웨어 보안센터 바로가기
그리고 암호화된 파일이 있는 경로마다 결제 안내 파일들을 생성한다
앞서 언급했듯이 SetFileTime API를 이용하여 [그림 11]에 있는 붉은
색 박스에 있는 데이터(00 00 00 00 71 37 00 00)는 1601년 3월 12
일 월요일 10시 17분 27초로 변경된다
17
CryptXXX RansomwareT H R E A T A N A L Y S I S
크립트엑스엑스엑스(CryptXXX) 랜섬웨어는 정상 파일을 암호화한 후 lsquocryptrsquo 확장자로 변경하여 사용자에게 비트코인을 요구하는
랜섬웨어다 이 랜섬웨어는 현재까지 버전 1x 2x 3x 세 가지 형태가 알려져 있다 안랩은 현재 크립트엑스엑스엑스 2x 버전에 의
해 암호화된 파일에 대한 복구 툴을 제공하고 있다 특히 국내 사용자들이 많이 사용하고 있으나 기존 복구 툴이 지원하지 않는 한글
파일(HWP)의 복구도 가능하다는 점이 주목할만하다
월간 lsquo안rsquo에서는 1부와 2부에 걸쳐 크립트엑스엑스엑스의 동작 방식과 주요 기능 암호화 방식 복구 툴 등 자세한 내용을 소개한다
lt연재 목차gt
1부_ DLL 이용한 CryptXXX 랜섬웨어 분석 완료
2부_ CryptXXX 암호화 비밀과 복구 툴 공개
CryptXXX 암호화 비밀과 복구 툴 공개
CryptXXX 랜섬웨어 분석 보고서_2부
1 암호화 방식
[그림 1]은 크립트엑스엑스엑스에 의해 암호화된 lsquoPhotojpgrsquo 파일을
나타낸다 암호화는 고정 크기(0x1FFF)의 블록 단위로 순차적으로 이
뤄지며 암호화 최대 크기는 0xD012FE(대략 13M)로 이후의 데이터
는 원본과 동일하다
암호화된 파일은 원본 파일과 비교하여 260(=0x104)바이트가 증가
한 형태이며 이는 파일 끝부분에 삽입된 키 테이블(Key Table) 정보
로 인한 것이다([그림 1]에서 붉은색 블록 참고) 이 키 테이블 정보
는 블록 단위의 암호를 복호화하는 데 핵심이 되는 데이터로 공개키
를 통해 암호화되어 저장된다 즉 구조적으로는 해당 공개키에 매칭
되는 개인키 정보 없이는 해당 키 테이블 정보를 복호화할 수 없고
파일 복구가 불가능하다 하지만 해당 키 테이블 정보는 개인키 없이
도 원본 파일 시작 부분의 일부 데이터(예를 들면 파일 포맷별 Magic
정보)를 통해 파일의 형태를 확인할 수 있으며 그것을 토대로 유추할
수 있는 키 값으로 복구가 가능하다
2 Key Table 생성 방식과 취약성
[그림 2]는 파일 끝에 삽입된 0x104바이트 크기의 키 테이블이 생성
되는 과정을 나타낸다 이 그림에서 노란색 부분이 공개키로 암호화
된 KeyTable_A[0x40]이며 CryptEncrypt() API를 통해 공개키로 암
호화 시 원본 0x40바이트 크기의 데이터가 최종 0x80바이트 크기로
증가된다
[그림 1] 크립트엑스엑스엑스 암호화 방식
[그림 2] 키 테이블 생성 과정
18
[그림 2]에서 언급된 암호화에 사용되는 핵심 정보 3가지는 lsquo4바이
트 SEED 값rsquo lsquoKeyTable_A[0x40]rsquo lsquoKeyTable_B[0x100]rsquo이며 최초
4바이트 크기의 SEED 값으로부터 이후 정보들이 순차적으로 만들
어지는 구조를 갖는다 키 생성 과정의 최상위에 위치하는 SEED 값
은 감염 시점의 시스템 시간(SystemTime) 정보 중에서 시(wHour)
분(wMinute) 초(Second) 밀리초(Millisecond)를 이용하여 얻어지
며 이 SEED 값으로부터 0x40바이트 크기의 KeyTable_A[0x40] 데
이터가 생성된다 바로 이 부분에서 제작자가 의도하지 않은 취약성
이 존재하며 SEED 값이 동일하면 매번 동일한 KeyTable_A[0x40]
가 생성되는 구조를 갖는다 최종 블록 단위의 암호화에 사용되는
KeyTable_B[0x100]의 데이터와 원본 파일로부터 읽은 블록과의
XOR(배타적 논리합)을 통해 암호화가 수행된다
즉 SEED 값이 동일하면 매번 생성되는 최종 키 테이블 정보가 동일
한 점과 암호화 방식이 XOR이라는 2가지 포인트를 바탕으로 복구 대
상 파일의 Magic 정보가 존재한다면 역으로 키를 유추할 수 있는 구
조다 [그림 3]은 SEED 값이 0x02978CAC일 때 생성되는 키 테이블
A B의 예를 나타낸다
3 키 테이블 생성 함수
크립트엑스엑스엑스 랜섬웨어에서 파일 암호화 시 사용되는 핵심 정
보 3가지의 생성 함수는 다음과 같다
(1) SEED 값 생성
[그림 4]는 SystemTime 정보를 통해 4바이트 크기의 SEED 값을 생
성하는 함수를 나타낸다
KeyTable_A[0x40] 데이터가 생성되는 방식은 다음의 2가지 기본 테
이블 중 델파이 랜덤(Delphi Random) 함수를 통해 얻은 랜덤값을
바탕으로 하나의 값이 선택되어 구성되는 구조를 갖는다
(1) QWERTYUIOPASDFGHJKLZXCVBNMltgt$^amp()_+~|
(2) qwertyuiop[]asdfghjklzxcvbnm`1234567890-=
크립트엑스엑스엑스는 총 2번의 델파이 랜덤 함수를 사용하여 아래
의 Index(A)와 Index(B)를 얻게 된다 이때 Index(A)는 위 기본 테이
블 중 하나를 선택하기 위한 목적으로 Index(B)는 선택된 테이블의
데이터 중 하나를 선택하기 위한 목적으로 사용된다
Index(A) DelphiRandom(3) - 0 ~ 2 범위의 랜덤 값 생성(0 2인 경우 -gt
(1)번 1인 경우 -gt (2))
Index(B) DelphiRandom(44) - 0 ~ 43 범위의 랜덤 값 생성
예를 들어 Index(A) == 0이고 Index(B) == 3이면 lsquoRrsquo 문자열이 선택
된다
(2) 키 테이블(A) 생성
[그림 5]는 SEED 값을 바탕으로 0x40바이트 크기의 키 테이블을 생
성하는 함수이며 do-while 문을 통해 생성되는 0x40바이트 크기의
데이터가 SEED 값이 동일하면 동일한 형태로 생성되는 취약성이 존
재하는 부분이다
(3) 키 테이블(B) 생성
[그림 6]은 키 테이블(A)로부터 0x100바이트 크기의 최종 키 테이블
(B)가 생성되는 함수를 나타낸다 이 키 테이블 정보는 1바이트 단위
의 블록 단위의 암호화 시 XOR 키 값으로 사용된다
[그림 3] 키 테이블 A B 예제
[그림 4] SEED 값 생성 함수
[그림 5] 키 테이블(A) 생성 함수
19
[그림 6] 키 테이블(B) 생성 함수
[그림 7] 크립트엑스엑스엑스 복구 과정
4 복구 방식
시 분 초 밀리초 정보를 통해 계산되는 SEED 값의 범위는 다음과
같다
- 최소값 0000000000 -gt 0 최대값 235959999 -gt 0x5265bff
사용자마다 그리고 암호화된 파일마다 서로 다른 SEED 값을 유추하
기 위해 0 ~ 0x5265bff 범위의 SEED를 순차적으로 선택하며 이를
바탕으로 암호화에 사용된 키 테이블을 생성하거나 복호화를 시도
한다 첫 번째 블록에 대한 복호화를 통해 파일의 고유한 식별 정보
(Magic)가 확인되면 유효한 SEED 값으로 판단하고 전체 파일에 대
한 블록 단위의 복구를 시도한다 우선 첫 번째 파일이 복구에 성공하
면 두 번째 파일부터는 SEED의 범위를 제한하여 좀 더 빠른 복구가
가능하도록 했다 이러한 설정은 복구 대상 파일들이 동일 시간대에
감염된 형태가 대부분일 것으로 가정하여 이루어진 것으로 복구 대
상 파일들이 서로 다른 시스템에서 다른 시간대에 수집된 형태의 경
우 복구 시간이 더 오래 걸리는 특징을 갖는다
5 복구 대상 리스트
복구 툴을 통해 복구 가능한 크립트엑스엑스엑스 버전은 2x로 제한
적이며 우선 다음의 확장자들에 대한 복구가 가능하도록 제작되었
다 특히 국내 사용자들이 많이 사용하고 있으나 기존 복구 툴이 지
원하지 않는 한글 파일(HWP)의 복구가 가능하다 이 외에도 원본 파
일의 고유한 식별 정보만 알 수 있다면 복구가 가능한 구조이기 때문
에 추후 복구 대상으로 추가될 수 있다
CHM AI HWP PDB PDF RTF HTM HTML PHP XML DWG PS
WSF KEY CSR CRT WAV MP3 OGG WMA WMV AVI ASF MP4
MOV MID MPG FLV PNG GIF BMP TIF JPG JPEG ZIP RAR BZ2
7Z GZ JAR APK TGZ ODS DOC DOT PPT POT PPS XLS XLT
DOCX DOCM DOTX DOTM PPTX PPTM POTM POTX PPSM
XLSX XLSB XLSM XLTM XLTX EPS ISO SQLITE3 MDB MSI APP
FDB ACCDB SLN CLASS VCXPROJ
6 복구 툴 경로
안랩은 크립트엑스엑스엑스 랜섬웨어 2x 버전에 대한 복구 툴을 랜
섬웨어 보안센터를 통해 무료로 제공하고 있다
안랩 랜섬웨어 보안센터 바로가기
[그림 7]은 크립트엑스엑스엑스 복구 툴에서 파일 복구를 위해 이루
어지는 과정을 나타낸 것이다 구조상 첫 번째 파일을 복구하는 데 오
랜 시간이 소요되며 이후 파일부터는 빠르게 복구가 가능하다
20
F O C U S I N - D E P T H Compliance
20
1 개인정보보호법
1) 정보주체 이외로부터 수집한 개인정보의 수집 출처 고지 의무화
ldquo따르릉~ 여보세요 홍길동 고객님이시죠 여기는 보험사인데
요~ 알지도 못하는 보험사로부터 이런 전화를 받아 본 경험이 혹시
있었는지 모르겠다 어디서 내 전화번호를 입수한 것인지 물어보면 정
확히 대답하지 않거나 얼버무리는 경우도 많다 개정안이 시행되는 9
월 30일부터 이런 식의 연락은 더 이상 받지 않게 될 것 같다 일정 규
모 이상이 되는 기업(5만 명 이상의 민감 정보 또는 고유식별정보 처
리 100만 명 이상의 개인정보처리)이 정보주체로부터 직접 수집하지
않고 개인정보를 처리할 때는 반드시 ①정보수집출처 ②개인정보처리
목적 ③개인정보 처리정지 요구권이 있다는 사실을 최초 수집 후 3개
월 이내에 정보주체에게 고지해야만 하기 때문이다 불법으로 입수한
개인정보라면 애초에 고지도 못할 테지만 적법하게 제공받은 경우라
하더라도 고객에게 일일이 고지하기란 큰 부담이 될 것이다 고객이 제
3자 제공 동의를 해서 개인정보를 제공했다는 사실을 증명하라고 요구
하면 그 또한 큰일이다 필자 견해로는 이 개정안에 대한 대응이 본 기
사를 통틀어 제일 큰일일 듯 싶다
2) 민감정보의 안전성 확보조치 명시적 요구
민감정보란 개인의 사상middot신념 노동조합middot정당의 가입middot탈퇴 정치
적 견해 건강 유전 정보나 범죄 경력처럼 사생활을 현저히 침해할
우려가 있는 정보를 말한다 기존에도 고유식별 정보와 더불어 수집
이용하지 않는 것이 원칙이고 별도의 동의를 얻어 처리해야 하며 안
전성확보 조치를 통해 보호해야 할 대상이었다 이번 개정안에서는
민감정보에 대한 안전성 확보 조치를 명시적으로 요구하고 있을 뿐
기업 입장에서 달리 조치해야 할 사항은 없어 보인다 (기존 법에 따
라 잘 조치하고 있었을 경우에는 그렇다는 뜻이다)
3) 개인정보처리방침과 개인정보취급방침 구성 요건 동기화
개인정보보호법의 lsquo개인정보처리방침rsquo은 정보통신망법(이후 lsquo정통망
법rsquo)의 lsquo개인정보취급방침rsquo과 이름도 다르고 구성 요건에도 약간의 차
이가 있었다 이번 개정안에서는 방침 구성 내용에 정통망법 일부 사
꼭 챙겨야 할 개인정보보호 법령
지난 3월 8일 발간된 월간 lsquo안rsquo 2016년 3월호에 lsquo2016년에 챙겨봐야 할 개인정보보호 법령 5가지rsquo란 제목으로 개인정보보호 법령에 대
해 소개한 바 있다 이후 3월 22일과 29일에 정보통신망법과 개인정보보호법이 또 개정되어 2016년에 챙겨야 할 법령이 더 늘어났다
이번 호에서는 두 가지 법의 개정사항의 중요도를 별점으로 매겨가며 정리하고자 한다 단 중요도의 기준은 필자의 주관에 따른 것이므
로 참고만 하는 것이 좋겠다 개정된 내용 중 기업과 관련이 적은 사항은 따로 적지 않았다
별점으로 살펴본
lsquo개정rsquo 개인정보보호 관련 법령
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
중요도 업무영향도 대응업무부하
처 벌
- 미이행 시 3000만 원 이하의 과태료
- 미이행 상태에서 유출 사고 발생 시 2년 이하의 징역 또는 2000만 원 이하
의 벌금
중요도 업무영향도 대응업무부하
처 벌 해당 없음
기업에서 대응해야 할 업무 절차
1 법 시행 시점 이후 수집 보유 중인 개인정보 중 정보주체에게 직접 입수한 것이 아닌
개인정보 식별(정보주체 외 입수 경로 제3자 제공 동의 여부 확인)
2 1에서 식별된 개인정보 중 연락처가 있는 개인정보 식별
3 2에서 식별된 정보주체에게 개인정보 수집 및 이용 사실 고지(파기요청 수집)
구체적인 고지 시기 방법은 시행령이 나와야 알 수 있음
4 3의 절차에서 파기 요청 시 파기 시행
기업에서 대응해야 할 업무 절차
1 보유 중인 개인정보 중 민감정보 식별
2 1에서 식별된 민감정보에 대한 안전성 확보 조치 수준 점검
3 2절차에서 법 기준에 미흡한 경우 보완 조치 이행
2121
항을 반영하여 유사한 구조를 갖추도록 했으며 정통망법 또한 lsquo개인
정보처리방침rsquo으로 명칭을 변경함으로써 개인정보보호법과 일원화할
수 있게 되었다 개인정보보호법 개인정보처리방침에 추가된 사항은
다음과 같다
2 정보통신망 이용촉진 및 정보보호 등에 관한 법(이하 lsquo정
통망법)
1) 정보주체의 이동통신 단말장치 내 정보 및 기능에 대한 접근 시 동
의절차 의무화
스마트폰 메신저 앱을 생각해 보자 메신저 앱의 핵심적인 기능은 다
른 사람과 메시지를 주고받는 것이다 메신저를 편히 쓰려면 연락처
를 일일이 입력하기보다는 스마트폰에 있는 연락처 정보를 이용하는
게 필요할텐데 개정된 법은 그렇게 메신저 앱이 서비스를 이용하기
위해 스마트폰에 저장된 정보에 접근할 경우에 반드시 정보주체의 동
의를 받아야 한다는 것이다
핵심 서비스를 위해 필요한 정보나 접근권한에도 동의를 받으라고 하
는 상황인데 그 외의 목적이라면 당연히 동의를 요구할 수밖에 없다
이 경우에는 사용자가 동의를 거부할 권한이 있고 동의를 안했다고
해서 기업이 서비스 제공을 거부할 수 없도록 하고 있다(거부하면 과
태료 처벌을 받을 수 있다)
이 법의 요구사항은 흔히 알고 있는 개인정보 수집이용 동의와 개념
이 다르기 때문에 기업에서도 상당한 고민과 부담이 있을 것으로 예
상된다 (예를 들면 휴대전화에 저장된 연락처는 휴대전화 주인의 개
인정보가 아니므로 정보주체의 개인정보 수집이용 동의로 대체할 수
없다) 휴대전화 기능에 대한 접근권한 역시 개인정보 수집이용 동의
와는 다른 사항이므로 동의 절차를 새롭게 설정해야 할 가능성이 높
다 이런 동의와 철회 방법에 대한 구현 책임은 이동통신단말장치 소
프트웨어 제조업자와 공급자에게 부과하고 있으며 위반 시 과태료 처
벌을 할 수 있도록 되어 있다
2) 개인정보 처리업무 수탁자가 재위탁할 경우 원 위탁자의 동의를 받
는 경우에만 가능함
이번 정통망법 개정안에서는 개인정보 처리 위탁 관련 조항이 특히
많이 수정되었다 대부분 용어가 lsquo취급rsquo에서 lsquo처리rsquo로 바뀐 사항이 많
고 일부 조항은 개인정보보호법과 동일한 수준으로 바뀌었다 예컨대
수탁자에 대한 관리 감독 책임에 lsquo교육rsquo을 별도로 명시한다거나 수탁
자에게 위탁을 할 경우에는 문서에 의하여야 한다는 내용들이 그러하
다 개인정보보호법보다 조금 엄격하게 느껴질 만한 것은 제25조 7
항으로 수탁자의 재위탁은 위탁자로부터 동의를 받은 경우에 한한다
는 내용이다 (개인정보보호법은 시행령 제28조에서 lsquo재위탁 제한에
관한 사항rsquo을 위탁 시 작성해야 할 문서에 기재하도록 하고 있다)
3) 전화 권유 판매 시 개인정보 수집출처 고지 의무 부과
정통망법에 따르면 전자적 전송매체를 이용하여 영리목적의 광고성 정
보를 전송할 때 수신자의 명시적인 사전 동의를 받아야만 한다 사전
동의를 받지 않을 수 있는 예외가 두 가지 있는데 lsquo방문판매 등에 관한
③ 이동통신단말장치의 기본 운영체제(이동통신단말장치에서 소프트웨어를 실행할 수 있는
기반 환경을 말한다)를 제작하여 공급하는 자와 이동통신단말장치 제조업자 및 이동통신단
말장치의 소프트웨어를 제작하여 공급하는 자는 정보통신서비스 제공자가 이동통신단말장
치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근하려는 경우 접근
권한에 대한 이용자의 동의 및 철회방법을 마련하는 등 이용자 정보 보호에 필요한 조치를
하여야 한다
2 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
다 접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실
② 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 반드시 필요하지 아니한 접근
권한을 설정하는 데 이용자가 동의하지 아니한다는 이유로 이용자에게 해당 서비스의 제공
을 거부하여서는 아니 된다
중요도 업무영향도 대응업무부하
처 벌 2000만 원 이하의 과태료
- 수탁자가 위탁자의 동의 없이 재위탁을 한 경우
기업에서 대응해야 할 업무 절차
1 운영개발 중인 모바일 앱(App) 현황 파악(앱이 설치된 모바일 기기 내 이용 정보 및 기
능 내역)
2 1에서 식별된 모바일 기기 내 정보 및 기기에 대해 서비스 이용에 필수선택 항목 식별
3 모바일 앱 설치 시 동의이용 중 철회 절차 검토 및 보완
1) 필수항목과 선택항목의 구분
2) 법 제22조의2제1항1호2호의 사항을 고지사항에 반영
4 이용자 정보 보호에 필요한 기타 조치 사항 반영
5 3과 4에서 도출된 사항을 모바일 앱에 적용 업데이트
6 기존 운영 중인 앱의 경우 고객에게 업데이트 고지(동의 또는 재동의 절차 적용)
⑦ 수탁자는 개인정보 처리위탁을 한 정보통신서비스 제공자 등의 동의를 받은 경우에 한
하여 제1항에 따라 위탁받은 업무를 제3자에게 재위탁할 수 있다 lt신설 2016322gt
기업에서 대응해야 할 업무 절차
1 수탁자의 경우 위탁받은 개인정보의 처리 업무 중 재위탁 현황 파악
2 재위탁 사실이 있고 위탁자의 동의 증적이 없는 경우 파악
3 2에서 파악된 미동의 재위탁 건에 대해 위탁자에게 고지 및 동의 확보
6 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항
을 처리하는 부서의 명칭과 전화번호 등 연락처
7 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치middot운영 및 그 거부에
관한 사항(해당하는 경우)에만 정한다
중요도 업무영향도 대응업무부하
처 벌
3000만 원 이하의 과태료
- 반드시 필요하지 않은 접근권한 설정에 정보주체가 동의하지 않는다는 이유
로 서비스 제공을 거부할 경우
- 접근권한에 대한 동의 및 철회방법을 마련하는 등 조치를 하지 않은 경우
제22조의2(접근권한에 대한 동의) ① 정보통신서비스 제공자는 해당 서비스를 제공하기 위
하여 이용자의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신 단말장치에 설치된
기능에 대하여 접근할 수 있는 권한(이하 ldquo접근권한rdquo이라 한다)이 필요한 경우 다음 각 호의
사항을 이용자가 명확하게 인지할 수 있도록 알리고 이용자의 동의를 받아야 한다
1 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한인 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
2222
법률rsquo에 따른 전화 권유 판매자가 육성으로 전화 권유를 하는 경우가
그 중 하나였다 개정 법에서는 lsquo수신자에게 개인정보의 수집출처를 고
지하고rsquo라는 조건이 추가됨으로써 한결 까다로워졌다
4) 개인정보의 국외 이전 유형에 따른 동의 요건 완화
모처럼 개인정보보호 담당자한테 반가운 개선 조항이 생겼다 개인정
보의 국외 이전은 정통망법에서 논란이 되던 문제였다 개인정보보호
법은 국외에 제3자 제공할 경우만 정보주체의 동의 받으라고 되어 있
는데 정통망법에선 lsquo이전rsquo할 때 동의를 받으라고만 되어 있었기 때문에
제3자 제공과 위탁의 경우를 달리 적용하기 어려웠던 것이다 개정안
에서는 lsquo국외로 이전하려면rsquo이라고 되어 있던 조항을 lsquo국외에 제공(조회
되는 경우를 포함한다)middot처리위탁middot보관(이하 이 조에서 ldquo이전rdquo이라 한
다)하려면rsquo이라고 풀어서 표현하고 lsquo다만 정보통신서비스의 제공에 관
한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서
제3항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자
우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는
개인정보 처리위탁middot보관에 따른 동의절차를 거치지 아니할 수 있다rsquo라
는 단서 조항을 더 함으로써 국외 이전의 경우에도 위탁업무일 경우엔
동의 받지 않고 처리할 수 있도록 하였다 (개인정보보호법과 일치시킨
셈이다)
5) 노출된 개인정보의 삭제 차단 조치 의무화
웹사이트에서 시험 합격자 명단 등을 공개할 때 관리자의 부주의로 주
민번호와 같은 고유식별정보를 포함시키는 일이 종종 발생하곤 한다
기존 법령에서도 개인정보의 노출을 통제할 책임은 정보처리자에게 부
여하고 있으나 이번 개정안에서는 별도의 조항으로 명시함으로써 책임
성을 부각하고 있다 관련 처벌이 따르지 않아 규범적 조항인 점이 그
나마 다행스럽다
6) 기타 사항
이상 중요한 사항은 짚어 보았고 다른 사항은 대부분 개인정보보호법
과 균형을 맞추기 위한 내용들이다 lsquo개인정보관리책임자rsquo란 용어는
개인정보보호법과 마찬가지로 lsquo개인정보보호책임자rsquo란 용어로 바뀌
었고 처벌 수준에 있어서도 주요 법 위반 시 위반행위에 관련된 이익
의 몰수 추징 조항이 신설되었다 내용의 파급력으로 보자면 충격이
클 수도 있는 제32조 제2항의 징벌적 손해배상도 이미 개인정보보호
법에 들어간 내용이기 때문에 기업 입장에서 새롭게 고민할 사항은
적을 듯하다
전기통신사업자와 정보통신서비스 제공자를 대상으로 하는 정보통신
망법과 일반법으로 적용되는 개인정보보호법은 개인정보보호의 규준
을 이루는 양대 법률이다 기업 입장에선 지나치게 자주 개정되어 정보
보호 업무 부담을 더하는 측면도 있다 하지만 이번 개정안은 두 법의
용어와 조항 처벌 수준 등을 통일함으로써 법 적용을 돕는 긍정적인
면이 훨씬 많을 듯하다 아무쪼록 이번 개정안이 적극 반영되어 사회
전반에서 더욱 안전한 개인정보보호 환경이 갖추어지기를 기대한다
기업에서 대응해야 할 업무 절차
1 전화 권유 판매 시 정보주체 사전 동의 획득 여부 확인
2 사전동의 미 획득 케이스인 경우 개인정보 수집출처 확인
3 개인정보 수집출처가 확인되지 않은 경우 개인정보 이용 중지
4 개인정보 수집출처가 확인된 경우 수집출처를 고객에게 고지하고 전화 권유 판매
기업에서 대응해야 할 업무 절차
1 개인정보의 해외 이전 유형 식별(제공처리위탁보관)
2 이전 유형 중 처리위탁보관의 경우 고지공개 여부 확인
3 이전 유형 중 제공의 경우 동의 여부 확인
4 2 3단계에서 미흡 사항 발견 시 개선 조치
중요도 업무영향도 대응업무부하
처 벌 없음
제32조의3(노출된 개인정보의 삭제middot차단) ① 정보통신서비스 제공자 등은 주민등록번호
계좌정보 신용카드정보 등 이용자의 개인정보가 정보통신망을 통하여 공중에 노출되지 않
도록 하여야 한다
② 정보통신서비스 제공자 등의 고의 또는 중대한 과실로 인하여 개인정보가 분실middot도난middot
유출middot위조middot변조 또는 훼손된 경우로서 이용자에게 손해가 발생한 때에는 법원은 그 손
해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다 다만 정보통신서비스
제공자 등이 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다 lt신설
2016322gt
기업에서 대응해야 할 업무 절차
1 시스템 내 개인정보 노출 현황 파악 (노출정보유형목적노출기간주관부서 등 현황 파악)
2 노출된 고유식별정보 및 금융정보 발견 시 삭제 또는 보호(마스킹 등) 조치
3 1~2의 반복적 이행 가급적 시스템화하는 것이 바람직함
중요도 업무영향도 대응업무부하
처 벌
- 2000만 원 이하의 과태료 공개나 고지 없이 개인정보를 국외에 처리위탁
보관한 경우
- 과징금 부과 정보주체의 동의 없이 개인정보를 국외에 제공한 경우
23
어릴 때부터 각종 디지털 기기의 사용이 능숙한 lsquo디지털 키즈(Digital kids)rsquo인 우리 자녀들을 위한 똑똑한 lsquo디지털 페어런팅(육아법)rsquo을 소개한
다 식당이나 카페에서 어린 자녀에게 스마트폰은 보여주고 있거나 자녀가 어린이날 선물로 스마트폰을 사달라고 조르는 경우 스마트폰 게임
이나 SNS에 빠져 있는 자녀 때문에 걱정인 부모들에게 필요한 자녀의 연령에 맞는 디지털 페어런팅이다 자녀가 성숙한 디지털 기기 사용 습
관을 기를 수 있도록 도와주는 것은 부모가 반드시 해야 하는 역할 중 하나다
몸짓을 이미지로 기억해 엄마의 의도를 파악한다 그다음 좌뇌가 발달하는데 좌뇌가 발달하기 시작하면 언어 발달이 이루어진다 그런데 이 시
기에 과도하게 스마트폰에 노출되면 우뇌가 충분히 발달하지 않은 상태에서 좌뇌가 발달하게 된다
우뇌가 제대로 발달하지 못하면 감정을 담당하는 뇌 발달에 영향을 줄 수 있는데 이는 다른 사람의 마음을 헤아리는 능력 다른 사람과 생각이
나 느낌을 주고 받는 능력 사고력 감정 조절력 부족으로 이어질 수 있다 우는 아이를 달래려고 부모가 편하게 밥을 먹기 위해서 흥미로운
자극을 주고 싶다는 이유로 이 시기 아이에게 건넨 스마트폰은 아이의 뇌에 치명적인 후유증을 남길 수 있음을 기억해야 한다
3~6세 유아기 부모의 통제 하에 사용해야
전문가들은 이 시기 아이에게도 디지털 기기의 사용을 권장하지는 않는다 하지만 현실적으로 쉽지 않다면 차선책을 선택해야 한다 부모가 디
지털 기기의 이용 시간 및 콘텐츠 등에 대해 확실한 기준을 갖고 있어야 한다 lsquo하루 30분 이상 넘기지 않으며 아이가 좋아하는 애니메이션 영상
과 동요 율동 영상만 본다rsquo는 식으로 말이다 아이의 손에 스마트폰을 맡겨버리면 의도하지 않은 영상에까지 노출될 우려가 있으니 주의해야 한다
약속한 시간 외에는 스마트폰을 아이의 손에 닿지 않는 곳에 두는 것이 좋다 이를 위해서는 부모 역시 스마트 기기 사용을 절제할 수 있어야
한다 아이들은 부모를 롤 모델로 삼아 그 태도와 습관을 배우기 때문이다 하지만 이 시기 아이가 스마트폰을 보여 달라고 강하게 떼를 쓰는
등 통제가 되지 않을 때는 당분간 아예 아이에게서 스마트폰을 분리하는 것이 효과적이다 스마트폰이 아닌 다른 방법으로 아이와 시간을 보
내는 법을 고민하는 것은 부모의 몫이다
0~3세 영유아기 스마트폰 잠시 건네는 것도 안 돼
이제 걸음마를 시작할 법한 아이가 스마트폰에 집중해 있는 모습을
본 적이 있을 것이다 우는 아이를 달래기 위해서 식당이나 카페에서
아이를 조용히 앉혀놓을 요량으로 부모는 어린 자녀의 손에 스마트폰
을 쥐여준다 하지만 전문가들은 이 시기의 아이에게 디지털 기기를
노출시키는 건 ldquo안 된다rdquo고 입을 모은다 lsquo영유아 스마트폰 증후군rsquo 등
의 부작용이 우려되기 때문이다
lsquo영유아 스마트폰 증후군rsquo이란 6세 미만의 아이들이 영상 게임 등의
지속적인 자극에 오랜 시간 노출되어 우뇌가 발달해야 하는 시기에
좌뇌가 지나치게 발달해 좌middot우뇌의 균형이 틀어지는 것을 말한다
영아기 아이는 우뇌가 먼저 발달하는데 엄마의 표정 목소리 눈짓
I T amp L I F E
내 아이를 지키는 rsquo디지털 페어런팅rsquo
스티브 잡스가 자녀에게 아이폰 아이패드와 같은 디지털 기기의 사용을 허락하지 않았다는 건 잘 알려진 사실이다 드론을 만드는 3D
로보틱스 CEO 크리스 앤더슨은 아이들이 사용하는 전자 기기의 사용 시간을 제한하고 부모가 통제할 수 있는 장치를 부착했다고 한
다 그는 ldquo테크놀로지의 위험을 잘 알고 있으며 아이들에게 그런 일이 일어나는 것을 원치 않는다rdquo며 그 이유를 설명했다 이들의 자녀
교육법이 전적으로 옳다고 말할 수는 없지만 어릴 때부터 디지털 기기 사용이 너무나 익숙한 우리 자녀들의 모습은 한 번쯤 돌아볼 필
요가 있다
24
6~10세 미만 디지털 기기 사용 가이드라인에 대해 설명해줘야
부모가 디지털 기기 사용 시간 및 사용 및 목록의 한계에 대한 가이드라인을 정하고 이에 대해 아이가 이해할 수 있도록 설명해주는 것이 좋
다 가이드 라인을 정할 때 아이의 생각을 들어보고 반영하는 것도 방법이다 디지털 기기 사용 가이드라인이 지켜질 수 있도록 온 가족이 노력
해야 함은 물론이다 TV를 보고 스마트 기기를 가지고 노는 것 자체가 문제가 될 수도 있지만 이로 인해 친구들과 뛰어놀며 신체활동을 하는
즐거움을 빼앗기지 않도록 하는 것도 중요함을 잊지 말아야 한다
10세 이상의 초등학생 스스로 규칙을 정하고 지킬 수 있도
록 동기 부여
부모들의 고민 중 하나는 lsquo아이에게 스마트폰을 언제 사줄 것인가rsquo다
아이의 하교 후 학원에서 학원으로 이동할 때마다 연락을 주고받기
위해 휴대전화가 필요할 수도 있다 요즘은 초등학교 입학과 함께 스
마트폰을 사주는 가정도 많다 친구들도 다 있다며 사달라고 떼를 쓰
는 아이의 마음도 이해 못 하는 바 아니지만 자녀에게 스마트폰을 사
주는 적당한 시기는 부모가 잘 판단해야 한다 아이가 스마트폰 사용
규칙을 지킬 수 있을 만큼 성숙한 상태여야 한다는 의미다 하고 싶어
도 참을 수 있는 절제력과 충동조절능력 좌절인내력이 바탕이 돼야
만 스스로 규칙을 지킬 수 있다
구글 애플 마이크로소프트 등 글로벌 IT 기업의 자녀들이 많이 다니
는 실리콘밸리에 발도로프 학교에는 컴퓨터가 없다 스크린 보드 빔
프로젝터 등의 멀티미디어 기기도 없으며 연필과 종이 분필 등을 이
용한 아날로그식 수업이 진행된다 이들은 우리나라 나이로 중학교 3
학년이 되는 8학년이 돼서야 컴퓨터를 서서히 배우기 시작한다 학생
들이 학교에 디지털 기기를 가져올 수도 없다 lsquo디지털 세상이 아이를
아프게 한다rsquo의 저자인 신의진 정신과 박사는 ldquo언제 자녀가 스마트폰
을 사용하면 좋냐rdquo는 질문에 ldquo늦을수록 좋다rdquo고 답한다
우리 자녀 세대는 지금 우리보다 훨씬 더 디지털 기기와 가깝게 지낼
것이다 시대가 변하고 있기 때문이다 더 흥미로운 기기들이 쏟아질
것이고 그에 맞는 교육 및 놀이 앱이 넘쳐날 것이다 하지만 시대가
변해도 변하지 않는 것은 존재한다 부모가 자녀와 디지털 생활에 대
해 이야기를 나눌 수 있는 환경은 신뢰를 바탕으로 한 그들의 아날로
그 생활에서의 환경이 조성하는 법이다 가족과 함께 서로의 디지털
생활에 대한 이야기를 나눠보는 시간을 갖는 것은 어떨까
자녀와 함께 TV 컴퓨터 스마트폰 등에 대한 이용 규칙을 정하고 스스로 통제할 수 있도록 동기를 부여해주는 것이 좋다 만약 약속을 어겼을
경우 벌칙도 명확히 해둔다 예를 들어 주말에만 컴퓨터 게임을 하기로 했는데 어겼다면 다음 주말 컴퓨터 이용 시간을 줄이는 식이다 초등학
교 3~4학년만 돼도 아이들은 SNS에 흥미를 느끼기 시작한다 이때 부모는 아이가 어떤 게시물을 올리고 다운로드하는지 관심을 가질 필요가
있다 인터넷상에 올린 글이나 영상은 쉽게 공유될 수 있으며 지우는 것도 쉽지 않다는 점에 대해서도 알려줘야 한다
중middot고등학생 자율성 존중하되 방치해선 안 돼
ldquo스마트폰 그만하고 공부해rdquo와 같은 강압적인 지시는 되레 부작용을 낳을 수 있다 중middot고등학생의 자녀와의 디지털 페어런팅에서 가장 중요한
것은 자율성을 존중하되 방치해서는 안 된다는 점이다 아이가 적당히 조절하며 디지털 기기를 사용하고 있다면 문제 없지만 걱정할 정도로 몰
입돼 있는 상황이라면 가정의 디지털 페어런팅 방식을 다시 점검해봐야 한다 과몰입 상태는 적절한 교육으로 가정에서 바로 잡을 수 있지만 중
독의 수준이라면 상황이 달라진다 이런 경우 아이가 디지털 기기에 빠진 원인을 찾고 이를 해결하기 위해 전문가 상담 및 치료를 받아야 한다
[그림 1] 컴퓨터가 없는 발도로프 학교에 대해 다룬 뉴욕타임즈 기사
(출처 httpwwwnytimescom20111023technologyat-waldorf-school-in-silicon-valley-technology-can-waithtml)
참고 자료
신의진(2013) 디지털 세상이 아이를 아프게 한다 북클라우드
구본권(2014) 당신을 공유하시겠습니까 어크로스
25
보안 통계와 이슈 S T A T I S T I C S
[그림 2]는 2016년 4월 한 달간 유포된 악성코드를 주요 유형별로 집
계한 결과이다 불필요한 프로그램인 PUP(Potentially Unwanted
Program)가 5948로 가장 높은 비중을 차지했고 트로이목마
(Trojan) 계열의 악성코드가 168 웜(Worm)이 347의 비율로
그 뒤를 이었다
지난 4월 한 달간 탐지된 모바일 악성코드는 24만 7847건으로 집계
됐다
안랩 시큐리티대응센터(이하 ASEC)는 최근 ASEC Report Vol76를 통해 지난 2016년 4월의 보안 통계 및 이슈를 전했다 지난 4월
의 주요 보안 이슈를 살펴본다
파일 속성 변경하는 리눅스 악성코드 등장
안랩 4월 악성코드 통계 및 보안 이슈 발표
[그림 1] 악성코드 추이(2016년 2월~2016년 4월)
ASEC이 집계한 바에 따르면 2016년 4월 한 달간 탐지된 악성코드
수는 1156만 4967건으로 나타났다 이는 전월 1321만 2012건에
비해 164만 7045건 감소한 수치다 한편 4월에 수집된 악성코드 샘
플 수는 324만 5837건이다
샘플 수집 수탐지 건수
[그림 2] 2016년 4월 주요 악성코드 유형
Adware DownloaderWormTrojanetcPUP
[그림 3] 모바일 악성코드 추이(2016년 2월 ~ 2016년 4월)
5000000
6000000
10000000
20000000
30000000
40000000
1000000
2000000
3000000
4000000
4월3월2월
11830547 1156496713212012
324
583
7
354
858
1
349
346
8
347
168
1939
5948072
014
100000
200000
300000
500000
600000
700000
400000
0
4월3월2월
247847256512
323301
26
또한 지난 4월 악성코드 유포지로 악용된 도메인은 648개 URL은
2216개로 집계됐다 4월의 악성 도메인 및 URL 차단 건수는 총 637
만 3536건이다
이와 같은 경우 lsquolsattrrsquo 명령을 통해 해당 파일의 속성을 조회하면 [그
림 7]과 같이 lsquoirsquo 속성이 추가되어 있음을 확인할 수 있다
리눅스 악성코드 lsquo빌게이츠 봇넷rsquo 발견
최근 리눅스(Linux) 운영체제에서 감염 시스템의 정보 수집 시스
템 파일 교체 DDoS 공격 등을 수행하는 lsquo빌게이츠 봇넷(BillGates
botnet)rsquo이 발견됐다 해당 악성코드는 감염 시스템 내에서 속성이 변
경되어 삭제가 불가능해 리눅스 사용자들의 피해가 우려된다
빌게이츠 봇넷은 서버에 침입 후 파일의 속성을 변경하여 악성코드를
삭제할 수 없도록 설정한다 리눅스 시스템에서 악성코드 감염에 의
해 파일 속성이 변경된 경우 이를 삭제할 수 있는 방법을 자세히 살
펴보자
먼저 공격자가 파일의 속성을 변경한 후 [그림 5]와 같이 삭제 시도를
하면 lsquo실행이 허가되지 않았다(Operation not permitted)rsquo라는 메시
지가 출력되며 해당 파일이 삭제되지 않는다
이처럼 lsquoirsquo 속성이 추가되어 있는 경우에는 [그림 8]과 같이 루트 권한
으로 lsquochattrrsquo 명령을 통해 해당 파일의 속성을 변경한 후 다시 삭제
를 시도하면 해당 파일이 정상적으로 삭제된다
파일의 속성 추가(chattr)는 lsquo+[추가할 속성]rsquo 제거는 lsquondash[제거할 속성]rsquo
을 통하여 수행할 수 있으며 lsquo-Rrsquo 옵션을 추가로 부여하는 경우에는
하위 디렉터리까지 모두 포함되어 적용된다 이는 윈도우(Windows)
운영체제의 lsquoattirbrsquo 명령과 유사하다
이때 만일 관리자가 파일이 삭제되지 않는 원인을 파일 권한 문제라
고 생각하고 파일 시스템에 기록된 정보를 이용하여 루트 계정 및
inode를 제거하는 방법으로 다시 삭제를 시도하면 마찬가지로 동일
한 메시지가 발생하며 파일이 삭제되지 않는다
이번 리눅스 악성코드 사례와 같이 파일의 속성이 변경되어 삭제가
불가한 경우가 있어 권한 뿐만 아니라 파일 속성에 대해서도 다시 한
번 확인하는 것이 필요하다 단 중요 파일이나 로그 파일 등은 lsquoirsquo나
lsquoarsquo 속성을 적용하는 정상적인 경우도 있다 즉 이러한 속성이 적용되
어 있는 파일이라고 해서 모두 악성 파일은 아니므로 정확히 악성으
로 확인된 파일에 대해서만 삭제를 진행할 것을 권장한다
최근 리눅스 운영체제를 노리는 악성코드가 꾸준히 증가하고 있다
DDoS 공격이나 백도어 등 리눅스 악성코드의 기능도 다양해지고 있
으며 앞으로 더욱 고도화될 것으로 예상된다 리눅스 시스템도 안전
하게 이용하기 위해서는 반드시 암호를 설정해야 하며 최신 보안 업
데이트를 적용해야 한다
V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지하고
있다
ltV3 제품군의 진단명gt
LinuxBackdoor1223123B
[그림 5] RM 명령어를 통한 삭제 시도
[그림 6] INODE 제거를 통한 삭제 시도
[그림 4] 악성코드 유포 도메인URL 탐지 및 차단 건수(2016년 2월 ~ 2016년 4월)
악성 도메인URL 차단 건수 악성코드 유포 URL 수악성코드 유포 도메인 수
10000
20000
30000
8000000
9000000
40000
7000000
6000000
5000000
4000000
04월
221681467900
6481587936
3월2월
6373536
7157616
6355582
[그림 7] 파일 속성 조회
[표 1] 리눅스 파일 속성 및 lsquoCHATTRrsquo 명령어 예시
[그림 8] 파일 속성 변경 후 제거 시도
[명령어 예시 (i S 속성 추가)]
chattr + iS samples
[파일 속성명 중 일부] [설명]
a (CAP LINUX IMMUTABLE capability) 추가 작성만 가능 삭제 불가
I (CAP LINUX IMMUTABLE capability) 삭제 변경 링크 파일 생성 등
S 파일이 변경되면 디스크 동기화
u 파일 삭제 시 내용 백업
2727
A H N L A B N E W S
현대자동차 그룹 IT서비스 전문업체인 현대오토에버가 최근 lsquo5스타
우수 개발협력사rsquo로 안랩을 선정했다
lsquo현대오토에버 우수 개발협력사rsquo는 현대오토에버가 협력사와 공동
으로 수행한 전년도 사업의 수행 실적에 따라 1스타부터 5스타까지
우수협력사를 선정하고 이에 따른 다양한 인센티브를 제공하는 프
로그램이다
안랩은 현대오토에버의 개발컨설팅 협력사로서 프로젝트 평가 및
업체 종합 평가 등에서 안정적이고 우수한 프로젝트 성과를 인정받
아 최고 등급인 lsquo5스타rsquo 우수 개발협력사로 선정됐다 안랩 서비스
사업부를 총괄하는 방인구 상무는 ldquo안랩은 핵심가치인 lsquo고객만족rsquo을
기준으로 맡은 사업에 대해 언제나 최선을 다하고 있다rdquo며 ldquo안랩을
신뢰해주시는 여러 회사와 함께 동반성장할 수 있도록 노력하겠다rdquo
고 말했다
안랩이 지난달 17일 코엑스 컨벤션센터에서 열린 lsquo아마존 웹 서비
스 글로벌 서밋 서울 2016(이하 AWS 서밋 서울 2016)rsquo에서 다양
한 산업 관계자를 대상으로 lsquo안랩 AWS 고객 원격 보안관제 서비스rsquo
를 소개했다
AWS 서밋 서울 2016은 아마존 웹 서비스가 제공하는 클라우드 컴
퓨팅 서비스에 대한 지식을 공유하고 IT 업계의 최신 기술 트렌드 등
을 소개하는 행사로 지난해 첫 국내 개최에 이어 두 번째로 열렸다
이번 행사에 참가한 안랩은 전용 부스를 운영하며 lsquo안랩 AWS 고객
원격 보안관제 서비스rsquo에 대한 개별 고객 상담 및 서비스 체험 신청
등을 진행했다 안랩 AWS 고객 원격 보안관제 서비스는 네트워크
및 웹 서비스 등에 대한 보안을 안랩의 침해대응(CERT) 전문인력이
원격으로 모니터링 및 관리해주는 서비스다
또한 별도 발표장에서 진행된 미니 발표 세션에서 안랩 서비스상
품기획팀 김준호 대리는 안랩 AWS 고객 원격 보안관제 서비스의
개요 및 구성을 비롯하여 탐지를 넘어 위협 분석까지 제공하는
침해사고 대응 프로세스 미디어사 O2O(Online to Offline 온오
프라인 연결) 서비스 제조 분야의 실제 고객 사례를 통한 다양한
산업별 서비스 적용 방안 등 lsquo안랩 AWS 고객 원격 보안관제 서비
스rsquo의 개념과 강점을 소개했다
안랩 김준호 대리는 ldquo안랩은 lsquoAWS 고객 원격 보안관제 서비스rsquo를
지난 1월 출시한 이후 약 4개월 여 만에 이미 복수의 대형 고객사
를 확보하는 등 검증된 서비스를 제공하고 있다rdquo며 ldquo이는 많은 고객
사에서 단순 탐지를 넘어 위협 분석 및 대응까지 가능한 안랩의 전
문성을 인정한 것으로 볼 수 있다rdquo고 강조했다
현대오토에버
lsquo우수 개발협력사rsquo로 안랩 선정
안랩 lsquoAWS 서밋 서울 2016rsquo에서
클라우드 보안관제 서비스 소개
안랩은 AWS 서밋 서울 2016 행사에서 전용 부스와 발표 세션을 통해 안랩 AWS 고객 원격 보안관제 서비스를 소개했다
발행인 권치중
발행처 주식회사 안랩
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
편집인 안랩 콘텐츠기획팀
디자인 안랩 디자인팀
copy 2016 AhnLab Inc All rights reserved
본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제 복사 검색 시스템
으로 저장 또는 전송될 수 없습니다 안랩 안랩 로고는 안랩의 등록상표입
니다 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상
표일 수 있습니다 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
copy 2016 AhnLab Inc All rights reserved
httpwwwahnlabcom
httpblogahnlabcom
httptwittercomahnlab_man
10
안랩 산업군별 ISF Square 2016 진행
고객의 고민을 듣다 대응 전략을 나누다
S P O T L I G H T AhnLab ISF Square 2016
안랩은 ISF 스퀘어 2016을 통해 각 산업 분야가 직면하고 있는 주요 보안 이슈와 위협 동향 정보를 공유하고 산업별 비즈니스에 최적화된 대
응 방안을 소개하고 있다 지난 4월 27일부터 5월까지 다섯 차례에 걸쳐 진행된 이번 행사에 각 산업 분야의 CISO 및 보안책임자 100여 명이
참석했다
권치중 안랩 대표이사는 환영사를 통해 ldquo신종 공격 기법이 끊임없이 나타나고 있어 고객사 자체가 또는 보안 벤더만으로 최신 보안 위협에 대
응하는 것은 사실상 불가능하다rdquo며 ldquoISF 스퀘어를 통해 고객을 직접 만나 실제 현장에서 느끼고 계신 고민과 어려움을 나누고 산업별로 특화
된 정보를 공유함으로써 실질적이고 최적화된 해법을 찾을 수 있으리라 기대한다rdquo고 말했다
안랩이 최근 한 달 여에 걸쳐 산업군별 정보보호최고책임자(CISO) 및 보안책임자를 대상으로 lsquo안랩 ISF Square 2016(이하 ISF 스퀘어
2016)rsquo을 개최하고 있다 ISF 스퀘어는 안랩이 지난 2009년부터 진행해오던 자사의 융합 보안 컨퍼런스 lsquo안랩 ISFrsquo를 산업별로 세분화
하여 개편한 보안 전략 세미나다 다양한 산업군별 고객사의 특성에 맞춰 lsquo맞춤형 보안 전략 및 솔루션rsquo을 제공하기 위한 목적이다
이번 ISF 스퀘어 2016은 지난 4월 27일 은행 및 카드사를 시작으로 28일에는 보험사 5월 11일과 18일 25일에는 각각 증권사와
건설사 유통사를 대상으로 진행됐다 6월 8일에는 공공 및 교육 기관의 보안책임자를 대상으로 진행할 예정이다
ISF 스퀘어 2016에 산업군별 CISO 100여 명이 참석한 가운데 권치중 안랩 대표이사는 ldquo고객의 목소리에 귀를 기울이고 고민을 나누는 것이 ISF 스퀘어의 목적rdquo이라고 전했다
11
한창규 실장과 김경희 실장(왼쪽부터)은 CISO들이 가장 궁금해하는 랜섬웨어를 비롯한 최신 공격 동향을 공유했다
안병무 차장과 백민경 차장(왼쪽부터)은 기업이 직면하고 있는 보안 위협을 살펴보고 이에 따른 안랩의 솔루션을 제시했다
이와 관련해 한창규 안랩 시큐리티대응센터(ASEC) 실장이 ldquo랜섬웨어로 대표되는 최신 위협 동향rdquo이라는 주제 발표를 통해 CISO의 궁금증에
답했다 한창규 실장은 실제 사례를 통해 신bull변종 랜섬웨어의 감염 경로 동작 원리 등을 설명했다 이어 ldquo랜섬웨어는 더 이상 일시적인 유행이
나 단발성 이슈가 아니다rdquo라며 ldquo기업에서도 이제 랜섬웨어에 대한 대응책을 마련해야 할 때rdquo라고 강조했다
이어 김경희 안랩 플랫폼개발실 실장은 랜섬웨어의 서비스화(RaaS Ransomware-as-a-Service)를 비롯해 모바일 랜섬웨어 맥(Mac) OS X를
노리는 랜섬웨어 등 진화하는 랜섬웨어의 흐름을 설명했다 김경희 실장의 설명에 따르면 랜섬웨어는 비대칭 키를 사용하기 때문에 실제 공격
자를 잡아 서버를 수거하지 않는 한 암호를 풀 수 없다 일단 감염되면 피해를 피할 수 없다는 것 특히 현재 일부 업체가 제공하는 lsquo랜섬웨어
복구 서비스rsquo의 대부분은 지불 대행 서비스로 공격자에게 비트코인을 대신 납부해주고 키를 받아 파일을 복구하는 방식에 불과하다 이와 관
련해 김경희 안랩 플랫폼개발실 실장은 ldquo돈을 주고 복구할수록 몸값이 올라갈 뿐만 아니라 돈을 많이 주는 기업을 노리게 된다rdquo고 지적했다
문제는 일반적인 보안 솔루션만으로는 랜섬웨어 대응이 쉽지 않다는 것 이와 관련해 안병무 안랩 제품기획팀 차장은 지능형 위협 대응 솔루
션인 안랩 MDS를 제안했다 안병무 차장은 ldquo최초 감염(First Victim) 방어 포기할 것인가rdquo라는 주제 발표를 통해 랜섬웨어에 대한 최선의 대
응책은 lsquo예방rsquo과 lsquo선제적 방어rsquo라고 전제했다 이어 ldquo랜섬웨어를 비롯해 고도화된 최신 공격 대응에서 놓치지 말아야 할 부분은 첫 번째 희생자
(First Victim)가 발생할 가능성을 최소화하는 것rdquo이라고 강조하고 ldquo안랩 MDS의 lsquo실행보류(Execution Holding) 기능을 이용해 랜섬웨어가 동
작하는 것 자체를 방지할 수 있다rdquo고 설명했다
랜섬웨어는 공통분모hellip산업별 보안 위협은
랜섬웨어는 개인과 기업 산업 분야를 막론하고 공통된 보안 위협이라는 데는 이견이 없다 그러나 기업의 비즈니스에 따라 최우선 보안 과제
는 각기 다르다
기업으로 눈 돌리는 랜섬웨어 그 실체는
산업 분야를 막론하고 현재 가장 심각한 보안 이슈는 역시 랜섬웨어였다 특히 최근 미국의 주요 병원들의 랜섬웨어 감염 사례를 시작으로 랜
섬웨어의 표적이 개인 중심의 불특정 다수에서 막대한 자금을 보유하고 있는 기업군으로 옮겨갈 것이라는 예측도 있어 기업 보안책임자들의
고민이 깊은 실정이다
12
김창희 팀장과 한태수 실장(왼쪽부터)은 각각 유통 분야와 건설 분야의 보안 위협 요인과 대응 방안에 대해 공유했다
정청환 실장은 안랩의 제품 개발부터 관리까지 전 과정에 대한 안랩의 독자적인 보안 체계를 소개해 참석자들의 이목을 집중시켰다
유통 분야를 위한 ISF 스퀘어 2016에서는 최근 또다시 화두가 되고 있는 POS 시스템 보안 위협에 대한 상세한 정보가 공유됐다 김창희 안랩
제품기획팀 팀장은 ldquoPOS 및 단말 보안을 위한 효과적인 대응 방안rdquo이라는 주제 발표를 통해 수많은 고객의 신용카드 정보 등 민감한 정보를
다루는 POS 단말기가 해킹되면 실생활에 직결되는 사회적 경제적으로 치명적인 위험이 될 것이라고 단언했다 그러나 POS 시스템 등 산업
용 단말에는 일반적인 보안 정책이나 솔루션을 적용하는 것은 현실적이지 않다rdquo고 지적하고 ldquo안정적인 비즈니스 운영을 위해 안랩 EPS와 같은
전용 보안 솔루션을 도입하는 것이 바람직하다고 조언했다
한태수 안랩 매니지먼트개발 실장의 ldquo사물인터넷(IoT) 보안 위협과 대응 방안rdquo에 대한 발표는 특히 건설 분야 CISO의 눈과 귀를 사로잡았다
한태수 실장은 ldquo사물인터넷은 스마트가전 스마트헬스 특히 스마트홈 등 통신과 건설 분야에서 더욱 중요한 요소로 부각되고 있다rdquo며 ldquo이제
관련 산업 분야에서는 서비스 준비 단계에서부터 IoT 관련 개방형 표준에 근거한 정보보호 프라이버시 보호에 대해 필수적으로 고민해야만
한다rdquo고 강조했다 또한 ldquo설계도면이나 기술 정보 등 중요 정보가 많은 건설사의 특성상 지능형 보안 위협에 노출되면 피해가 커질 수 있다rdquo고
지적한 뒤 ldquo안랩은 이미 스마트홈 등과 관련해 실제 발생할 수 있는 다양한 공격 시나리오를 연구해왔으며 이에 대한 전방위적인 대응 방안을
마련하고 있다rdquo고 말했다
안랩은 금융 분야부터 유통 건설 그리고 공공 분야까지 각 산업 분야의 주요 보안 위협과 관련해 최적의 보안 솔루션을 제공하고 있다 안랩
의 다양한 솔루션의 근간에는 원천 기술을 보유한 RampD 센터와 인프라가 있다 이와 관련해 정청환 안랩 엔드포인트개발 실장은 그동안 많은
고객들이 궁금해했던 안랩의 보안 제품 개발과 개발 인프라 보안 관리 체계를 소개했다 정청환 실장은 특히 보안 업체 자체를 노리는 공격이
종종 등장하는 것과 관련해 안랩의 대비책은 물론 제품 개발부터 관리까지 무결성을 보장하기 위한 안랩의 자체적인 보안 체계를 상세하게
설명해 참석자들의 큰 호응을 얻었다
백민경 안랩 제품기획팀 차장은 은행 증권사 카드사 등 금융기관이 직면한 위기로 lsquo이용자 PC를 노리는 전자금융사기rsquo를 꼽았다 백민경 차장
은 실제 금융기관 보안 침해 사례를 통해 파밍 다이어 악성코드 공유기 공격 메모리 해킹 등 전자금융사기 기법을 설명하고 모바일과 온라
인으로 금융 서비스를 이용하는 비율이 증가하는 자율 금융 시대를 맞아 명확한 위험요소를 파악하고 그에 따른 적절한 솔루션 도입 등 이용
자 보호와 금융 시스템 보안을 위한 철저한 철학을 갖추는 것이 필요하다고 강조했다
13
세션 발표 후 진행된 라운드 테이블 프로그램을 통해 안랩의 권치중 대표 강석균 전무 배민 상무 방인구 상무가 고객사 CISO와 자유롭고 다양한 논의를 이어나갔다
안랩은 오는 6월 8일 서울 양재동 엘타워에서 공공 및 교육기관의 보안책임자를 대상으로 ISF 스퀘어 2016을 이어나갈 예정이다 또한 안랩은
서울에서 진행되는 행사에 참석하기 어려운 각 지역의 고객사를 위해 lsquo파트너와 함께 찾아가는 고객 세미나rsquo도 동시에 진행하고 있다 지난 5
월 24일 전주 지역에 이어 오는 6월 16일에는 대구 21일에는 대전에서 고객사의 보안책임자를 초청해 최신 보안 위협 동향과 대응 방안을 공
유할 예정이다
고객의 생생한 목소리를 듣다
여타 보안 세미나와 안랩 ISF 스퀘어의 가장 큰 차별점은 제품 기획자부터 제품 개발 책임자 그리고 대표이사에 이르기까지 한 자리에서 고객
과 직접 소통한다는 점이다 이번 ISF 스퀘어 2016에서도 안랩 EP사업부문 총괄인 강석균 전무 EP영업본부 총괄 배민 상무 서비스사업부 총
괄 방인구 상무 등이 총출동해 고객의 고민을 듣고 의견을 나눴다
14
CryptXXX RansomwareT H R E A T A N A L Y S I S
최근 lsquo크립트엑스엑스엑스 랜섬웨어rsquo가 대량 유포되면서 피해 사례가 늘어나고 있다 크립트엑스엑스엑스의 특징은 기존 랜섬웨어와
달리 실행 파일(EXE) 형태가 아닌 동적 링크 라이브러리(DLL) 형태로 유포되고 있다는 점이다 DLL 형태로의 유포는 정상적인 프로
세스와 함께 동작하는 구조여서 감염 사실을 알아차리기조차 어렵다
월간 lsquo안rsquo에서는 1부와 2부에 걸쳐 크립트엑스엑스엑스의 동작 방식과 주요 기능 암호화 방식 복구 툴 등 자세한 내용을 소개한다
lt연재 목차gt
1부_ DLL 이용한 CryptXXX 랜섬웨어 분석 완료
2부_ CryptXXX 암호화 비밀과 복구 툴 공개
DLL 이용한 CryptXXX 랜섬웨어 분석 완료
CryptXXX 랜섬웨어 분석 보고서_1부
크립트엑스엑스엑스 랜섬웨어(진단명 TrojanWin32CryptXXX
이하 크립트엑스엑스엑스)는 컴퓨터에 있는 파일을 암호화한 뒤
lsquocryptrsquo 확장자로 변경하여 사용자에게 비트코인을 요구하는 랜섬웨
어다 [그림 1]은 크립트엑스엑스엑스의 동작 방식이다
크립트엑스엑스엑스의 경우 다른 랜섬웨어와의 차이점은 DLL(동
적 링크 라이브러리 Dynamic Linking Library)로 동작한다는 점이
다 크립트엑스엑스엑스는 정상 rundll32exe를 악성 DLL이 있는 경
로에 svchostexe로 이름을 바꾸어 복사한 뒤 악성 DLL의 내보내기
(Export) 함수를 인자값으로 호출하여 동작한다
이 악성코드는 피해자의 컴퓨터를 감염시킬 때 lsquoRecovery_사용자
IDtxtrsquo lsquoRecovery_사용자IDhtmlrsquo lsquoRecovery_사용자IDbmprsquo 형
식의 파일을 생성하며 내용은 [그림 3] [그림 4]와 같다
[그림 1] 크립트엑스엑스엑스 동작 방식
[그림 3] 크립트엑스엑스엑스 결제 안내 페이지
[그림 2] svchostexe(정상 rundll32exe)로 로드되어 동작하는 악성 DLL
15
CampC 통신
크립트엑스엑스엑스는 파일을 암호화하기 전 CampC에 악성코드가 생
성한 사용자 ID를 전송한다
암호화된 환경
크립트엑스엑스엑스는 암호화가 완료된 파일의 수정한 날짜와 시간
정보를 백업된 원본의 수정한 날짜로 변경한다
[그림 4] 크립트엑스엑스엑스 결제 안내 텍스트
[표 1] 자동 실행 등록을 위한 바로가기 링크 파일 생성
[표 3] 암호화 대상 확장자
[표 4] 암호화 제외 대상 경로
[표 2] 암호화 대상 드라이브
[그림 5] 자동 실행 등록 정보
[그림 6] CampC 통신 패킷 정보
크립트엑스엑스엑스 주요 기능
자동 실행 등록
크립트엑스엑스엑스는 [표 1]과 같이 시작프로그램에 바로가기 링크
파일을 생성한다 [그림 5]에서 알 수 있듯이 해당 링크 파일에 의해
실행되는 파일은 크립트엑스엑스엑스이며 lsquoMS114rsquo라는 이름의 함수
를 호출하는 기능을 한다
자동 실행 등록
파일
CDocuments and Settings프로그램시작프로그램[사용자ID]lnk
암호화 대상 드라이브
고정식 드라이브 이동식 드라이브 네트워크 드라이브
악성 DLL 내부에 암호화된 CampC는 2개이며 첫 번째 IP에 접속이 되
지 않았을 경우 두 번째 IP로 연결된다
- 1447821443
- 9311876443
CampC 접속 여부와 관계없이 패킷을 전송한 후에는 파일 암호화가 진
행된다
파일 암호화 대상
분석된 크립트엑스엑스엑스로부터 확인된 암호화 대상은 [표 2]와 같다
Z 부터 A 까지 마운트된 모든 드라이브 중 다음의 암호화 대상 드
라이브만 감염이 진행된다
암호화 대상 확장자
3DM 3DS AES APK APP ARC ASC ASM ASP ASPX BRD BZ2 C
CER CFG CFM CGI CGM CMD CPP CRT CSR CSS CSV CUE DB
DBF DCH DCU DIF DIP DJV DJVU DOC DOCB DOCM DOCX DOT DOTM
DOTX DTD DWG DXF EML EPS FDB FLA FRM GBK GBR GED GPG
GPX H HTM HTML HWP IBD INDD JAR JAVA JKS JSP KEY KML
KMZ LAY LAY6 LDF LUA M MAX MDB MDF MFD MML H MS11
MSI MYD MYI NEF NOTE OBJ ODB ODG ODP ODS ODT OTG OTP
OTS OTT P12 PAQ PAS PCT PDB PDF PEM PHP PIF POT POTM
POTX PPAM PPS PPSM PPSX PPT PPTM PPTX PRF PRIV PSD RAR RAW
RSS RTF SCH SDF SITX SLDX SLK SLN SQL STC STD STI STW
SVG SWF SXC SXD SXI SXM SXW TAR TBK TEX TGZ TLB TXT
UOP UOT VB VBS VCF VDI VMDK VMX WKS WPD WPS WSF XLC
XLM XLR XLS XLSB XLSM XLSX XLT XLTM XLTX XLW XML ZIP ZIPX
ACCDB CLASS GADGET IBOOKS PAGES PLUGIN PRIVATE
QCOW2 SQLITE3 SQLITEDB VCXPROJ XCODEPROJ XHTML
암호화 대상 확장자
폴더
WINDOWS BOOT EFI CONFIGMSI
WINNT RECOVERY PROGRA^1 GOOGLE
RECYCLER$RECYCLE
BINPROGRA^2 TEMP
SYSTEM^1 PERFLOGS
16
[그림 7] 암호화 된 파일의 파일의 시간 정보 변경 코드
[그림 8] 암호화된 파일의 시간 정보 변경 전(왼쪽) 및 변경 후(오른쪽)
[그림 13] 암호화 완료 후 화면
[그림 12] 결제 안내 파일의 시간 정보 변경 전(좌) 및 변경 후(우)
[그림 9] 암호화 후 확장자 변경
[그림 11] 결제 안내 파일의 시간 정보 변경 코드
[그림 10] 암호화된 파일과 생성된 결제 안내 파일(BMP HTML TXT)
[그림 7]에서 붉은색 박스로 표현한 부분의 데이터(A4 80 BC 4B 36
B0 D1 01)는 SetFileTime API를 사용하여 백업된 원본의 수정한 날
짜로 변경된다
생성한 결제 안내 파일의 시간 정보를 [그림 12]와 같이 변경한다 암
호화가 완료되면 [그림 13]과 같은 화면을 띄우고 스크린이 잠기게
하여 사용자가 어떠한 동작도 할 수 없게 한다
이때 시간 정보가 변경된 파일은 MoveFileW API를 사용하여 [원본
파일명]crypt로 확장자가 변경된다
크립트엑스엑스엑스는 일반적으로 웹사이트 다운로드 등으로 유포되
는 경우가 많다 따라서 사용자는 출처를 알 수 없는 메일에 첨부된 파
일의 실행이나 불필요한 사이트 접근을 삼가는 등의 주의가 필요하다
해당 악성코드 감염을 막기 위해서는 항상 윈도우 보안 패치 및 V3
백신 프로그램을 최신 업데이트 상태로 유지하는 것이 필요하다
안랩은 원본 파일을 복구하는 툴을 랜섬웨어 보안센터를 통해 무료로
제공하고 있다
안랩 랜섬웨어 보안센터 바로가기
그리고 암호화된 파일이 있는 경로마다 결제 안내 파일들을 생성한다
앞서 언급했듯이 SetFileTime API를 이용하여 [그림 11]에 있는 붉은
색 박스에 있는 데이터(00 00 00 00 71 37 00 00)는 1601년 3월 12
일 월요일 10시 17분 27초로 변경된다
17
CryptXXX RansomwareT H R E A T A N A L Y S I S
크립트엑스엑스엑스(CryptXXX) 랜섬웨어는 정상 파일을 암호화한 후 lsquocryptrsquo 확장자로 변경하여 사용자에게 비트코인을 요구하는
랜섬웨어다 이 랜섬웨어는 현재까지 버전 1x 2x 3x 세 가지 형태가 알려져 있다 안랩은 현재 크립트엑스엑스엑스 2x 버전에 의
해 암호화된 파일에 대한 복구 툴을 제공하고 있다 특히 국내 사용자들이 많이 사용하고 있으나 기존 복구 툴이 지원하지 않는 한글
파일(HWP)의 복구도 가능하다는 점이 주목할만하다
월간 lsquo안rsquo에서는 1부와 2부에 걸쳐 크립트엑스엑스엑스의 동작 방식과 주요 기능 암호화 방식 복구 툴 등 자세한 내용을 소개한다
lt연재 목차gt
1부_ DLL 이용한 CryptXXX 랜섬웨어 분석 완료
2부_ CryptXXX 암호화 비밀과 복구 툴 공개
CryptXXX 암호화 비밀과 복구 툴 공개
CryptXXX 랜섬웨어 분석 보고서_2부
1 암호화 방식
[그림 1]은 크립트엑스엑스엑스에 의해 암호화된 lsquoPhotojpgrsquo 파일을
나타낸다 암호화는 고정 크기(0x1FFF)의 블록 단위로 순차적으로 이
뤄지며 암호화 최대 크기는 0xD012FE(대략 13M)로 이후의 데이터
는 원본과 동일하다
암호화된 파일은 원본 파일과 비교하여 260(=0x104)바이트가 증가
한 형태이며 이는 파일 끝부분에 삽입된 키 테이블(Key Table) 정보
로 인한 것이다([그림 1]에서 붉은색 블록 참고) 이 키 테이블 정보
는 블록 단위의 암호를 복호화하는 데 핵심이 되는 데이터로 공개키
를 통해 암호화되어 저장된다 즉 구조적으로는 해당 공개키에 매칭
되는 개인키 정보 없이는 해당 키 테이블 정보를 복호화할 수 없고
파일 복구가 불가능하다 하지만 해당 키 테이블 정보는 개인키 없이
도 원본 파일 시작 부분의 일부 데이터(예를 들면 파일 포맷별 Magic
정보)를 통해 파일의 형태를 확인할 수 있으며 그것을 토대로 유추할
수 있는 키 값으로 복구가 가능하다
2 Key Table 생성 방식과 취약성
[그림 2]는 파일 끝에 삽입된 0x104바이트 크기의 키 테이블이 생성
되는 과정을 나타낸다 이 그림에서 노란색 부분이 공개키로 암호화
된 KeyTable_A[0x40]이며 CryptEncrypt() API를 통해 공개키로 암
호화 시 원본 0x40바이트 크기의 데이터가 최종 0x80바이트 크기로
증가된다
[그림 1] 크립트엑스엑스엑스 암호화 방식
[그림 2] 키 테이블 생성 과정
18
[그림 2]에서 언급된 암호화에 사용되는 핵심 정보 3가지는 lsquo4바이
트 SEED 값rsquo lsquoKeyTable_A[0x40]rsquo lsquoKeyTable_B[0x100]rsquo이며 최초
4바이트 크기의 SEED 값으로부터 이후 정보들이 순차적으로 만들
어지는 구조를 갖는다 키 생성 과정의 최상위에 위치하는 SEED 값
은 감염 시점의 시스템 시간(SystemTime) 정보 중에서 시(wHour)
분(wMinute) 초(Second) 밀리초(Millisecond)를 이용하여 얻어지
며 이 SEED 값으로부터 0x40바이트 크기의 KeyTable_A[0x40] 데
이터가 생성된다 바로 이 부분에서 제작자가 의도하지 않은 취약성
이 존재하며 SEED 값이 동일하면 매번 동일한 KeyTable_A[0x40]
가 생성되는 구조를 갖는다 최종 블록 단위의 암호화에 사용되는
KeyTable_B[0x100]의 데이터와 원본 파일로부터 읽은 블록과의
XOR(배타적 논리합)을 통해 암호화가 수행된다
즉 SEED 값이 동일하면 매번 생성되는 최종 키 테이블 정보가 동일
한 점과 암호화 방식이 XOR이라는 2가지 포인트를 바탕으로 복구 대
상 파일의 Magic 정보가 존재한다면 역으로 키를 유추할 수 있는 구
조다 [그림 3]은 SEED 값이 0x02978CAC일 때 생성되는 키 테이블
A B의 예를 나타낸다
3 키 테이블 생성 함수
크립트엑스엑스엑스 랜섬웨어에서 파일 암호화 시 사용되는 핵심 정
보 3가지의 생성 함수는 다음과 같다
(1) SEED 값 생성
[그림 4]는 SystemTime 정보를 통해 4바이트 크기의 SEED 값을 생
성하는 함수를 나타낸다
KeyTable_A[0x40] 데이터가 생성되는 방식은 다음의 2가지 기본 테
이블 중 델파이 랜덤(Delphi Random) 함수를 통해 얻은 랜덤값을
바탕으로 하나의 값이 선택되어 구성되는 구조를 갖는다
(1) QWERTYUIOPASDFGHJKLZXCVBNMltgt$^amp()_+~|
(2) qwertyuiop[]asdfghjklzxcvbnm`1234567890-=
크립트엑스엑스엑스는 총 2번의 델파이 랜덤 함수를 사용하여 아래
의 Index(A)와 Index(B)를 얻게 된다 이때 Index(A)는 위 기본 테이
블 중 하나를 선택하기 위한 목적으로 Index(B)는 선택된 테이블의
데이터 중 하나를 선택하기 위한 목적으로 사용된다
Index(A) DelphiRandom(3) - 0 ~ 2 범위의 랜덤 값 생성(0 2인 경우 -gt
(1)번 1인 경우 -gt (2))
Index(B) DelphiRandom(44) - 0 ~ 43 범위의 랜덤 값 생성
예를 들어 Index(A) == 0이고 Index(B) == 3이면 lsquoRrsquo 문자열이 선택
된다
(2) 키 테이블(A) 생성
[그림 5]는 SEED 값을 바탕으로 0x40바이트 크기의 키 테이블을 생
성하는 함수이며 do-while 문을 통해 생성되는 0x40바이트 크기의
데이터가 SEED 값이 동일하면 동일한 형태로 생성되는 취약성이 존
재하는 부분이다
(3) 키 테이블(B) 생성
[그림 6]은 키 테이블(A)로부터 0x100바이트 크기의 최종 키 테이블
(B)가 생성되는 함수를 나타낸다 이 키 테이블 정보는 1바이트 단위
의 블록 단위의 암호화 시 XOR 키 값으로 사용된다
[그림 3] 키 테이블 A B 예제
[그림 4] SEED 값 생성 함수
[그림 5] 키 테이블(A) 생성 함수
19
[그림 6] 키 테이블(B) 생성 함수
[그림 7] 크립트엑스엑스엑스 복구 과정
4 복구 방식
시 분 초 밀리초 정보를 통해 계산되는 SEED 값의 범위는 다음과
같다
- 최소값 0000000000 -gt 0 최대값 235959999 -gt 0x5265bff
사용자마다 그리고 암호화된 파일마다 서로 다른 SEED 값을 유추하
기 위해 0 ~ 0x5265bff 범위의 SEED를 순차적으로 선택하며 이를
바탕으로 암호화에 사용된 키 테이블을 생성하거나 복호화를 시도
한다 첫 번째 블록에 대한 복호화를 통해 파일의 고유한 식별 정보
(Magic)가 확인되면 유효한 SEED 값으로 판단하고 전체 파일에 대
한 블록 단위의 복구를 시도한다 우선 첫 번째 파일이 복구에 성공하
면 두 번째 파일부터는 SEED의 범위를 제한하여 좀 더 빠른 복구가
가능하도록 했다 이러한 설정은 복구 대상 파일들이 동일 시간대에
감염된 형태가 대부분일 것으로 가정하여 이루어진 것으로 복구 대
상 파일들이 서로 다른 시스템에서 다른 시간대에 수집된 형태의 경
우 복구 시간이 더 오래 걸리는 특징을 갖는다
5 복구 대상 리스트
복구 툴을 통해 복구 가능한 크립트엑스엑스엑스 버전은 2x로 제한
적이며 우선 다음의 확장자들에 대한 복구가 가능하도록 제작되었
다 특히 국내 사용자들이 많이 사용하고 있으나 기존 복구 툴이 지
원하지 않는 한글 파일(HWP)의 복구가 가능하다 이 외에도 원본 파
일의 고유한 식별 정보만 알 수 있다면 복구가 가능한 구조이기 때문
에 추후 복구 대상으로 추가될 수 있다
CHM AI HWP PDB PDF RTF HTM HTML PHP XML DWG PS
WSF KEY CSR CRT WAV MP3 OGG WMA WMV AVI ASF MP4
MOV MID MPG FLV PNG GIF BMP TIF JPG JPEG ZIP RAR BZ2
7Z GZ JAR APK TGZ ODS DOC DOT PPT POT PPS XLS XLT
DOCX DOCM DOTX DOTM PPTX PPTM POTM POTX PPSM
XLSX XLSB XLSM XLTM XLTX EPS ISO SQLITE3 MDB MSI APP
FDB ACCDB SLN CLASS VCXPROJ
6 복구 툴 경로
안랩은 크립트엑스엑스엑스 랜섬웨어 2x 버전에 대한 복구 툴을 랜
섬웨어 보안센터를 통해 무료로 제공하고 있다
안랩 랜섬웨어 보안센터 바로가기
[그림 7]은 크립트엑스엑스엑스 복구 툴에서 파일 복구를 위해 이루
어지는 과정을 나타낸 것이다 구조상 첫 번째 파일을 복구하는 데 오
랜 시간이 소요되며 이후 파일부터는 빠르게 복구가 가능하다
20
F O C U S I N - D E P T H Compliance
20
1 개인정보보호법
1) 정보주체 이외로부터 수집한 개인정보의 수집 출처 고지 의무화
ldquo따르릉~ 여보세요 홍길동 고객님이시죠 여기는 보험사인데
요~ 알지도 못하는 보험사로부터 이런 전화를 받아 본 경험이 혹시
있었는지 모르겠다 어디서 내 전화번호를 입수한 것인지 물어보면 정
확히 대답하지 않거나 얼버무리는 경우도 많다 개정안이 시행되는 9
월 30일부터 이런 식의 연락은 더 이상 받지 않게 될 것 같다 일정 규
모 이상이 되는 기업(5만 명 이상의 민감 정보 또는 고유식별정보 처
리 100만 명 이상의 개인정보처리)이 정보주체로부터 직접 수집하지
않고 개인정보를 처리할 때는 반드시 ①정보수집출처 ②개인정보처리
목적 ③개인정보 처리정지 요구권이 있다는 사실을 최초 수집 후 3개
월 이내에 정보주체에게 고지해야만 하기 때문이다 불법으로 입수한
개인정보라면 애초에 고지도 못할 테지만 적법하게 제공받은 경우라
하더라도 고객에게 일일이 고지하기란 큰 부담이 될 것이다 고객이 제
3자 제공 동의를 해서 개인정보를 제공했다는 사실을 증명하라고 요구
하면 그 또한 큰일이다 필자 견해로는 이 개정안에 대한 대응이 본 기
사를 통틀어 제일 큰일일 듯 싶다
2) 민감정보의 안전성 확보조치 명시적 요구
민감정보란 개인의 사상middot신념 노동조합middot정당의 가입middot탈퇴 정치
적 견해 건강 유전 정보나 범죄 경력처럼 사생활을 현저히 침해할
우려가 있는 정보를 말한다 기존에도 고유식별 정보와 더불어 수집
이용하지 않는 것이 원칙이고 별도의 동의를 얻어 처리해야 하며 안
전성확보 조치를 통해 보호해야 할 대상이었다 이번 개정안에서는
민감정보에 대한 안전성 확보 조치를 명시적으로 요구하고 있을 뿐
기업 입장에서 달리 조치해야 할 사항은 없어 보인다 (기존 법에 따
라 잘 조치하고 있었을 경우에는 그렇다는 뜻이다)
3) 개인정보처리방침과 개인정보취급방침 구성 요건 동기화
개인정보보호법의 lsquo개인정보처리방침rsquo은 정보통신망법(이후 lsquo정통망
법rsquo)의 lsquo개인정보취급방침rsquo과 이름도 다르고 구성 요건에도 약간의 차
이가 있었다 이번 개정안에서는 방침 구성 내용에 정통망법 일부 사
꼭 챙겨야 할 개인정보보호 법령
지난 3월 8일 발간된 월간 lsquo안rsquo 2016년 3월호에 lsquo2016년에 챙겨봐야 할 개인정보보호 법령 5가지rsquo란 제목으로 개인정보보호 법령에 대
해 소개한 바 있다 이후 3월 22일과 29일에 정보통신망법과 개인정보보호법이 또 개정되어 2016년에 챙겨야 할 법령이 더 늘어났다
이번 호에서는 두 가지 법의 개정사항의 중요도를 별점으로 매겨가며 정리하고자 한다 단 중요도의 기준은 필자의 주관에 따른 것이므
로 참고만 하는 것이 좋겠다 개정된 내용 중 기업과 관련이 적은 사항은 따로 적지 않았다
별점으로 살펴본
lsquo개정rsquo 개인정보보호 관련 법령
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
중요도 업무영향도 대응업무부하
처 벌
- 미이행 시 3000만 원 이하의 과태료
- 미이행 상태에서 유출 사고 발생 시 2년 이하의 징역 또는 2000만 원 이하
의 벌금
중요도 업무영향도 대응업무부하
처 벌 해당 없음
기업에서 대응해야 할 업무 절차
1 법 시행 시점 이후 수집 보유 중인 개인정보 중 정보주체에게 직접 입수한 것이 아닌
개인정보 식별(정보주체 외 입수 경로 제3자 제공 동의 여부 확인)
2 1에서 식별된 개인정보 중 연락처가 있는 개인정보 식별
3 2에서 식별된 정보주체에게 개인정보 수집 및 이용 사실 고지(파기요청 수집)
구체적인 고지 시기 방법은 시행령이 나와야 알 수 있음
4 3의 절차에서 파기 요청 시 파기 시행
기업에서 대응해야 할 업무 절차
1 보유 중인 개인정보 중 민감정보 식별
2 1에서 식별된 민감정보에 대한 안전성 확보 조치 수준 점검
3 2절차에서 법 기준에 미흡한 경우 보완 조치 이행
2121
항을 반영하여 유사한 구조를 갖추도록 했으며 정통망법 또한 lsquo개인
정보처리방침rsquo으로 명칭을 변경함으로써 개인정보보호법과 일원화할
수 있게 되었다 개인정보보호법 개인정보처리방침에 추가된 사항은
다음과 같다
2 정보통신망 이용촉진 및 정보보호 등에 관한 법(이하 lsquo정
통망법)
1) 정보주체의 이동통신 단말장치 내 정보 및 기능에 대한 접근 시 동
의절차 의무화
스마트폰 메신저 앱을 생각해 보자 메신저 앱의 핵심적인 기능은 다
른 사람과 메시지를 주고받는 것이다 메신저를 편히 쓰려면 연락처
를 일일이 입력하기보다는 스마트폰에 있는 연락처 정보를 이용하는
게 필요할텐데 개정된 법은 그렇게 메신저 앱이 서비스를 이용하기
위해 스마트폰에 저장된 정보에 접근할 경우에 반드시 정보주체의 동
의를 받아야 한다는 것이다
핵심 서비스를 위해 필요한 정보나 접근권한에도 동의를 받으라고 하
는 상황인데 그 외의 목적이라면 당연히 동의를 요구할 수밖에 없다
이 경우에는 사용자가 동의를 거부할 권한이 있고 동의를 안했다고
해서 기업이 서비스 제공을 거부할 수 없도록 하고 있다(거부하면 과
태료 처벌을 받을 수 있다)
이 법의 요구사항은 흔히 알고 있는 개인정보 수집이용 동의와 개념
이 다르기 때문에 기업에서도 상당한 고민과 부담이 있을 것으로 예
상된다 (예를 들면 휴대전화에 저장된 연락처는 휴대전화 주인의 개
인정보가 아니므로 정보주체의 개인정보 수집이용 동의로 대체할 수
없다) 휴대전화 기능에 대한 접근권한 역시 개인정보 수집이용 동의
와는 다른 사항이므로 동의 절차를 새롭게 설정해야 할 가능성이 높
다 이런 동의와 철회 방법에 대한 구현 책임은 이동통신단말장치 소
프트웨어 제조업자와 공급자에게 부과하고 있으며 위반 시 과태료 처
벌을 할 수 있도록 되어 있다
2) 개인정보 처리업무 수탁자가 재위탁할 경우 원 위탁자의 동의를 받
는 경우에만 가능함
이번 정통망법 개정안에서는 개인정보 처리 위탁 관련 조항이 특히
많이 수정되었다 대부분 용어가 lsquo취급rsquo에서 lsquo처리rsquo로 바뀐 사항이 많
고 일부 조항은 개인정보보호법과 동일한 수준으로 바뀌었다 예컨대
수탁자에 대한 관리 감독 책임에 lsquo교육rsquo을 별도로 명시한다거나 수탁
자에게 위탁을 할 경우에는 문서에 의하여야 한다는 내용들이 그러하
다 개인정보보호법보다 조금 엄격하게 느껴질 만한 것은 제25조 7
항으로 수탁자의 재위탁은 위탁자로부터 동의를 받은 경우에 한한다
는 내용이다 (개인정보보호법은 시행령 제28조에서 lsquo재위탁 제한에
관한 사항rsquo을 위탁 시 작성해야 할 문서에 기재하도록 하고 있다)
3) 전화 권유 판매 시 개인정보 수집출처 고지 의무 부과
정통망법에 따르면 전자적 전송매체를 이용하여 영리목적의 광고성 정
보를 전송할 때 수신자의 명시적인 사전 동의를 받아야만 한다 사전
동의를 받지 않을 수 있는 예외가 두 가지 있는데 lsquo방문판매 등에 관한
③ 이동통신단말장치의 기본 운영체제(이동통신단말장치에서 소프트웨어를 실행할 수 있는
기반 환경을 말한다)를 제작하여 공급하는 자와 이동통신단말장치 제조업자 및 이동통신단
말장치의 소프트웨어를 제작하여 공급하는 자는 정보통신서비스 제공자가 이동통신단말장
치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근하려는 경우 접근
권한에 대한 이용자의 동의 및 철회방법을 마련하는 등 이용자 정보 보호에 필요한 조치를
하여야 한다
2 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
다 접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실
② 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 반드시 필요하지 아니한 접근
권한을 설정하는 데 이용자가 동의하지 아니한다는 이유로 이용자에게 해당 서비스의 제공
을 거부하여서는 아니 된다
중요도 업무영향도 대응업무부하
처 벌 2000만 원 이하의 과태료
- 수탁자가 위탁자의 동의 없이 재위탁을 한 경우
기업에서 대응해야 할 업무 절차
1 운영개발 중인 모바일 앱(App) 현황 파악(앱이 설치된 모바일 기기 내 이용 정보 및 기
능 내역)
2 1에서 식별된 모바일 기기 내 정보 및 기기에 대해 서비스 이용에 필수선택 항목 식별
3 모바일 앱 설치 시 동의이용 중 철회 절차 검토 및 보완
1) 필수항목과 선택항목의 구분
2) 법 제22조의2제1항1호2호의 사항을 고지사항에 반영
4 이용자 정보 보호에 필요한 기타 조치 사항 반영
5 3과 4에서 도출된 사항을 모바일 앱에 적용 업데이트
6 기존 운영 중인 앱의 경우 고객에게 업데이트 고지(동의 또는 재동의 절차 적용)
⑦ 수탁자는 개인정보 처리위탁을 한 정보통신서비스 제공자 등의 동의를 받은 경우에 한
하여 제1항에 따라 위탁받은 업무를 제3자에게 재위탁할 수 있다 lt신설 2016322gt
기업에서 대응해야 할 업무 절차
1 수탁자의 경우 위탁받은 개인정보의 처리 업무 중 재위탁 현황 파악
2 재위탁 사실이 있고 위탁자의 동의 증적이 없는 경우 파악
3 2에서 파악된 미동의 재위탁 건에 대해 위탁자에게 고지 및 동의 확보
6 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항
을 처리하는 부서의 명칭과 전화번호 등 연락처
7 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치middot운영 및 그 거부에
관한 사항(해당하는 경우)에만 정한다
중요도 업무영향도 대응업무부하
처 벌
3000만 원 이하의 과태료
- 반드시 필요하지 않은 접근권한 설정에 정보주체가 동의하지 않는다는 이유
로 서비스 제공을 거부할 경우
- 접근권한에 대한 동의 및 철회방법을 마련하는 등 조치를 하지 않은 경우
제22조의2(접근권한에 대한 동의) ① 정보통신서비스 제공자는 해당 서비스를 제공하기 위
하여 이용자의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신 단말장치에 설치된
기능에 대하여 접근할 수 있는 권한(이하 ldquo접근권한rdquo이라 한다)이 필요한 경우 다음 각 호의
사항을 이용자가 명확하게 인지할 수 있도록 알리고 이용자의 동의를 받아야 한다
1 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한인 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
2222
법률rsquo에 따른 전화 권유 판매자가 육성으로 전화 권유를 하는 경우가
그 중 하나였다 개정 법에서는 lsquo수신자에게 개인정보의 수집출처를 고
지하고rsquo라는 조건이 추가됨으로써 한결 까다로워졌다
4) 개인정보의 국외 이전 유형에 따른 동의 요건 완화
모처럼 개인정보보호 담당자한테 반가운 개선 조항이 생겼다 개인정
보의 국외 이전은 정통망법에서 논란이 되던 문제였다 개인정보보호
법은 국외에 제3자 제공할 경우만 정보주체의 동의 받으라고 되어 있
는데 정통망법에선 lsquo이전rsquo할 때 동의를 받으라고만 되어 있었기 때문에
제3자 제공과 위탁의 경우를 달리 적용하기 어려웠던 것이다 개정안
에서는 lsquo국외로 이전하려면rsquo이라고 되어 있던 조항을 lsquo국외에 제공(조회
되는 경우를 포함한다)middot처리위탁middot보관(이하 이 조에서 ldquo이전rdquo이라 한
다)하려면rsquo이라고 풀어서 표현하고 lsquo다만 정보통신서비스의 제공에 관
한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서
제3항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자
우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는
개인정보 처리위탁middot보관에 따른 동의절차를 거치지 아니할 수 있다rsquo라
는 단서 조항을 더 함으로써 국외 이전의 경우에도 위탁업무일 경우엔
동의 받지 않고 처리할 수 있도록 하였다 (개인정보보호법과 일치시킨
셈이다)
5) 노출된 개인정보의 삭제 차단 조치 의무화
웹사이트에서 시험 합격자 명단 등을 공개할 때 관리자의 부주의로 주
민번호와 같은 고유식별정보를 포함시키는 일이 종종 발생하곤 한다
기존 법령에서도 개인정보의 노출을 통제할 책임은 정보처리자에게 부
여하고 있으나 이번 개정안에서는 별도의 조항으로 명시함으로써 책임
성을 부각하고 있다 관련 처벌이 따르지 않아 규범적 조항인 점이 그
나마 다행스럽다
6) 기타 사항
이상 중요한 사항은 짚어 보았고 다른 사항은 대부분 개인정보보호법
과 균형을 맞추기 위한 내용들이다 lsquo개인정보관리책임자rsquo란 용어는
개인정보보호법과 마찬가지로 lsquo개인정보보호책임자rsquo란 용어로 바뀌
었고 처벌 수준에 있어서도 주요 법 위반 시 위반행위에 관련된 이익
의 몰수 추징 조항이 신설되었다 내용의 파급력으로 보자면 충격이
클 수도 있는 제32조 제2항의 징벌적 손해배상도 이미 개인정보보호
법에 들어간 내용이기 때문에 기업 입장에서 새롭게 고민할 사항은
적을 듯하다
전기통신사업자와 정보통신서비스 제공자를 대상으로 하는 정보통신
망법과 일반법으로 적용되는 개인정보보호법은 개인정보보호의 규준
을 이루는 양대 법률이다 기업 입장에선 지나치게 자주 개정되어 정보
보호 업무 부담을 더하는 측면도 있다 하지만 이번 개정안은 두 법의
용어와 조항 처벌 수준 등을 통일함으로써 법 적용을 돕는 긍정적인
면이 훨씬 많을 듯하다 아무쪼록 이번 개정안이 적극 반영되어 사회
전반에서 더욱 안전한 개인정보보호 환경이 갖추어지기를 기대한다
기업에서 대응해야 할 업무 절차
1 전화 권유 판매 시 정보주체 사전 동의 획득 여부 확인
2 사전동의 미 획득 케이스인 경우 개인정보 수집출처 확인
3 개인정보 수집출처가 확인되지 않은 경우 개인정보 이용 중지
4 개인정보 수집출처가 확인된 경우 수집출처를 고객에게 고지하고 전화 권유 판매
기업에서 대응해야 할 업무 절차
1 개인정보의 해외 이전 유형 식별(제공처리위탁보관)
2 이전 유형 중 처리위탁보관의 경우 고지공개 여부 확인
3 이전 유형 중 제공의 경우 동의 여부 확인
4 2 3단계에서 미흡 사항 발견 시 개선 조치
중요도 업무영향도 대응업무부하
처 벌 없음
제32조의3(노출된 개인정보의 삭제middot차단) ① 정보통신서비스 제공자 등은 주민등록번호
계좌정보 신용카드정보 등 이용자의 개인정보가 정보통신망을 통하여 공중에 노출되지 않
도록 하여야 한다
② 정보통신서비스 제공자 등의 고의 또는 중대한 과실로 인하여 개인정보가 분실middot도난middot
유출middot위조middot변조 또는 훼손된 경우로서 이용자에게 손해가 발생한 때에는 법원은 그 손
해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다 다만 정보통신서비스
제공자 등이 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다 lt신설
2016322gt
기업에서 대응해야 할 업무 절차
1 시스템 내 개인정보 노출 현황 파악 (노출정보유형목적노출기간주관부서 등 현황 파악)
2 노출된 고유식별정보 및 금융정보 발견 시 삭제 또는 보호(마스킹 등) 조치
3 1~2의 반복적 이행 가급적 시스템화하는 것이 바람직함
중요도 업무영향도 대응업무부하
처 벌
- 2000만 원 이하의 과태료 공개나 고지 없이 개인정보를 국외에 처리위탁
보관한 경우
- 과징금 부과 정보주체의 동의 없이 개인정보를 국외에 제공한 경우
23
어릴 때부터 각종 디지털 기기의 사용이 능숙한 lsquo디지털 키즈(Digital kids)rsquo인 우리 자녀들을 위한 똑똑한 lsquo디지털 페어런팅(육아법)rsquo을 소개한
다 식당이나 카페에서 어린 자녀에게 스마트폰은 보여주고 있거나 자녀가 어린이날 선물로 스마트폰을 사달라고 조르는 경우 스마트폰 게임
이나 SNS에 빠져 있는 자녀 때문에 걱정인 부모들에게 필요한 자녀의 연령에 맞는 디지털 페어런팅이다 자녀가 성숙한 디지털 기기 사용 습
관을 기를 수 있도록 도와주는 것은 부모가 반드시 해야 하는 역할 중 하나다
몸짓을 이미지로 기억해 엄마의 의도를 파악한다 그다음 좌뇌가 발달하는데 좌뇌가 발달하기 시작하면 언어 발달이 이루어진다 그런데 이 시
기에 과도하게 스마트폰에 노출되면 우뇌가 충분히 발달하지 않은 상태에서 좌뇌가 발달하게 된다
우뇌가 제대로 발달하지 못하면 감정을 담당하는 뇌 발달에 영향을 줄 수 있는데 이는 다른 사람의 마음을 헤아리는 능력 다른 사람과 생각이
나 느낌을 주고 받는 능력 사고력 감정 조절력 부족으로 이어질 수 있다 우는 아이를 달래려고 부모가 편하게 밥을 먹기 위해서 흥미로운
자극을 주고 싶다는 이유로 이 시기 아이에게 건넨 스마트폰은 아이의 뇌에 치명적인 후유증을 남길 수 있음을 기억해야 한다
3~6세 유아기 부모의 통제 하에 사용해야
전문가들은 이 시기 아이에게도 디지털 기기의 사용을 권장하지는 않는다 하지만 현실적으로 쉽지 않다면 차선책을 선택해야 한다 부모가 디
지털 기기의 이용 시간 및 콘텐츠 등에 대해 확실한 기준을 갖고 있어야 한다 lsquo하루 30분 이상 넘기지 않으며 아이가 좋아하는 애니메이션 영상
과 동요 율동 영상만 본다rsquo는 식으로 말이다 아이의 손에 스마트폰을 맡겨버리면 의도하지 않은 영상에까지 노출될 우려가 있으니 주의해야 한다
약속한 시간 외에는 스마트폰을 아이의 손에 닿지 않는 곳에 두는 것이 좋다 이를 위해서는 부모 역시 스마트 기기 사용을 절제할 수 있어야
한다 아이들은 부모를 롤 모델로 삼아 그 태도와 습관을 배우기 때문이다 하지만 이 시기 아이가 스마트폰을 보여 달라고 강하게 떼를 쓰는
등 통제가 되지 않을 때는 당분간 아예 아이에게서 스마트폰을 분리하는 것이 효과적이다 스마트폰이 아닌 다른 방법으로 아이와 시간을 보
내는 법을 고민하는 것은 부모의 몫이다
0~3세 영유아기 스마트폰 잠시 건네는 것도 안 돼
이제 걸음마를 시작할 법한 아이가 스마트폰에 집중해 있는 모습을
본 적이 있을 것이다 우는 아이를 달래기 위해서 식당이나 카페에서
아이를 조용히 앉혀놓을 요량으로 부모는 어린 자녀의 손에 스마트폰
을 쥐여준다 하지만 전문가들은 이 시기의 아이에게 디지털 기기를
노출시키는 건 ldquo안 된다rdquo고 입을 모은다 lsquo영유아 스마트폰 증후군rsquo 등
의 부작용이 우려되기 때문이다
lsquo영유아 스마트폰 증후군rsquo이란 6세 미만의 아이들이 영상 게임 등의
지속적인 자극에 오랜 시간 노출되어 우뇌가 발달해야 하는 시기에
좌뇌가 지나치게 발달해 좌middot우뇌의 균형이 틀어지는 것을 말한다
영아기 아이는 우뇌가 먼저 발달하는데 엄마의 표정 목소리 눈짓
I T amp L I F E
내 아이를 지키는 rsquo디지털 페어런팅rsquo
스티브 잡스가 자녀에게 아이폰 아이패드와 같은 디지털 기기의 사용을 허락하지 않았다는 건 잘 알려진 사실이다 드론을 만드는 3D
로보틱스 CEO 크리스 앤더슨은 아이들이 사용하는 전자 기기의 사용 시간을 제한하고 부모가 통제할 수 있는 장치를 부착했다고 한
다 그는 ldquo테크놀로지의 위험을 잘 알고 있으며 아이들에게 그런 일이 일어나는 것을 원치 않는다rdquo며 그 이유를 설명했다 이들의 자녀
교육법이 전적으로 옳다고 말할 수는 없지만 어릴 때부터 디지털 기기 사용이 너무나 익숙한 우리 자녀들의 모습은 한 번쯤 돌아볼 필
요가 있다
24
6~10세 미만 디지털 기기 사용 가이드라인에 대해 설명해줘야
부모가 디지털 기기 사용 시간 및 사용 및 목록의 한계에 대한 가이드라인을 정하고 이에 대해 아이가 이해할 수 있도록 설명해주는 것이 좋
다 가이드 라인을 정할 때 아이의 생각을 들어보고 반영하는 것도 방법이다 디지털 기기 사용 가이드라인이 지켜질 수 있도록 온 가족이 노력
해야 함은 물론이다 TV를 보고 스마트 기기를 가지고 노는 것 자체가 문제가 될 수도 있지만 이로 인해 친구들과 뛰어놀며 신체활동을 하는
즐거움을 빼앗기지 않도록 하는 것도 중요함을 잊지 말아야 한다
10세 이상의 초등학생 스스로 규칙을 정하고 지킬 수 있도
록 동기 부여
부모들의 고민 중 하나는 lsquo아이에게 스마트폰을 언제 사줄 것인가rsquo다
아이의 하교 후 학원에서 학원으로 이동할 때마다 연락을 주고받기
위해 휴대전화가 필요할 수도 있다 요즘은 초등학교 입학과 함께 스
마트폰을 사주는 가정도 많다 친구들도 다 있다며 사달라고 떼를 쓰
는 아이의 마음도 이해 못 하는 바 아니지만 자녀에게 스마트폰을 사
주는 적당한 시기는 부모가 잘 판단해야 한다 아이가 스마트폰 사용
규칙을 지킬 수 있을 만큼 성숙한 상태여야 한다는 의미다 하고 싶어
도 참을 수 있는 절제력과 충동조절능력 좌절인내력이 바탕이 돼야
만 스스로 규칙을 지킬 수 있다
구글 애플 마이크로소프트 등 글로벌 IT 기업의 자녀들이 많이 다니
는 실리콘밸리에 발도로프 학교에는 컴퓨터가 없다 스크린 보드 빔
프로젝터 등의 멀티미디어 기기도 없으며 연필과 종이 분필 등을 이
용한 아날로그식 수업이 진행된다 이들은 우리나라 나이로 중학교 3
학년이 되는 8학년이 돼서야 컴퓨터를 서서히 배우기 시작한다 학생
들이 학교에 디지털 기기를 가져올 수도 없다 lsquo디지털 세상이 아이를
아프게 한다rsquo의 저자인 신의진 정신과 박사는 ldquo언제 자녀가 스마트폰
을 사용하면 좋냐rdquo는 질문에 ldquo늦을수록 좋다rdquo고 답한다
우리 자녀 세대는 지금 우리보다 훨씬 더 디지털 기기와 가깝게 지낼
것이다 시대가 변하고 있기 때문이다 더 흥미로운 기기들이 쏟아질
것이고 그에 맞는 교육 및 놀이 앱이 넘쳐날 것이다 하지만 시대가
변해도 변하지 않는 것은 존재한다 부모가 자녀와 디지털 생활에 대
해 이야기를 나눌 수 있는 환경은 신뢰를 바탕으로 한 그들의 아날로
그 생활에서의 환경이 조성하는 법이다 가족과 함께 서로의 디지털
생활에 대한 이야기를 나눠보는 시간을 갖는 것은 어떨까
자녀와 함께 TV 컴퓨터 스마트폰 등에 대한 이용 규칙을 정하고 스스로 통제할 수 있도록 동기를 부여해주는 것이 좋다 만약 약속을 어겼을
경우 벌칙도 명확히 해둔다 예를 들어 주말에만 컴퓨터 게임을 하기로 했는데 어겼다면 다음 주말 컴퓨터 이용 시간을 줄이는 식이다 초등학
교 3~4학년만 돼도 아이들은 SNS에 흥미를 느끼기 시작한다 이때 부모는 아이가 어떤 게시물을 올리고 다운로드하는지 관심을 가질 필요가
있다 인터넷상에 올린 글이나 영상은 쉽게 공유될 수 있으며 지우는 것도 쉽지 않다는 점에 대해서도 알려줘야 한다
중middot고등학생 자율성 존중하되 방치해선 안 돼
ldquo스마트폰 그만하고 공부해rdquo와 같은 강압적인 지시는 되레 부작용을 낳을 수 있다 중middot고등학생의 자녀와의 디지털 페어런팅에서 가장 중요한
것은 자율성을 존중하되 방치해서는 안 된다는 점이다 아이가 적당히 조절하며 디지털 기기를 사용하고 있다면 문제 없지만 걱정할 정도로 몰
입돼 있는 상황이라면 가정의 디지털 페어런팅 방식을 다시 점검해봐야 한다 과몰입 상태는 적절한 교육으로 가정에서 바로 잡을 수 있지만 중
독의 수준이라면 상황이 달라진다 이런 경우 아이가 디지털 기기에 빠진 원인을 찾고 이를 해결하기 위해 전문가 상담 및 치료를 받아야 한다
[그림 1] 컴퓨터가 없는 발도로프 학교에 대해 다룬 뉴욕타임즈 기사
(출처 httpwwwnytimescom20111023technologyat-waldorf-school-in-silicon-valley-technology-can-waithtml)
참고 자료
신의진(2013) 디지털 세상이 아이를 아프게 한다 북클라우드
구본권(2014) 당신을 공유하시겠습니까 어크로스
25
보안 통계와 이슈 S T A T I S T I C S
[그림 2]는 2016년 4월 한 달간 유포된 악성코드를 주요 유형별로 집
계한 결과이다 불필요한 프로그램인 PUP(Potentially Unwanted
Program)가 5948로 가장 높은 비중을 차지했고 트로이목마
(Trojan) 계열의 악성코드가 168 웜(Worm)이 347의 비율로
그 뒤를 이었다
지난 4월 한 달간 탐지된 모바일 악성코드는 24만 7847건으로 집계
됐다
안랩 시큐리티대응센터(이하 ASEC)는 최근 ASEC Report Vol76를 통해 지난 2016년 4월의 보안 통계 및 이슈를 전했다 지난 4월
의 주요 보안 이슈를 살펴본다
파일 속성 변경하는 리눅스 악성코드 등장
안랩 4월 악성코드 통계 및 보안 이슈 발표
[그림 1] 악성코드 추이(2016년 2월~2016년 4월)
ASEC이 집계한 바에 따르면 2016년 4월 한 달간 탐지된 악성코드
수는 1156만 4967건으로 나타났다 이는 전월 1321만 2012건에
비해 164만 7045건 감소한 수치다 한편 4월에 수집된 악성코드 샘
플 수는 324만 5837건이다
샘플 수집 수탐지 건수
[그림 2] 2016년 4월 주요 악성코드 유형
Adware DownloaderWormTrojanetcPUP
[그림 3] 모바일 악성코드 추이(2016년 2월 ~ 2016년 4월)
5000000
6000000
10000000
20000000
30000000
40000000
1000000
2000000
3000000
4000000
4월3월2월
11830547 1156496713212012
324
583
7
354
858
1
349
346
8
347
168
1939
5948072
014
100000
200000
300000
500000
600000
700000
400000
0
4월3월2월
247847256512
323301
26
또한 지난 4월 악성코드 유포지로 악용된 도메인은 648개 URL은
2216개로 집계됐다 4월의 악성 도메인 및 URL 차단 건수는 총 637
만 3536건이다
이와 같은 경우 lsquolsattrrsquo 명령을 통해 해당 파일의 속성을 조회하면 [그
림 7]과 같이 lsquoirsquo 속성이 추가되어 있음을 확인할 수 있다
리눅스 악성코드 lsquo빌게이츠 봇넷rsquo 발견
최근 리눅스(Linux) 운영체제에서 감염 시스템의 정보 수집 시스
템 파일 교체 DDoS 공격 등을 수행하는 lsquo빌게이츠 봇넷(BillGates
botnet)rsquo이 발견됐다 해당 악성코드는 감염 시스템 내에서 속성이 변
경되어 삭제가 불가능해 리눅스 사용자들의 피해가 우려된다
빌게이츠 봇넷은 서버에 침입 후 파일의 속성을 변경하여 악성코드를
삭제할 수 없도록 설정한다 리눅스 시스템에서 악성코드 감염에 의
해 파일 속성이 변경된 경우 이를 삭제할 수 있는 방법을 자세히 살
펴보자
먼저 공격자가 파일의 속성을 변경한 후 [그림 5]와 같이 삭제 시도를
하면 lsquo실행이 허가되지 않았다(Operation not permitted)rsquo라는 메시
지가 출력되며 해당 파일이 삭제되지 않는다
이처럼 lsquoirsquo 속성이 추가되어 있는 경우에는 [그림 8]과 같이 루트 권한
으로 lsquochattrrsquo 명령을 통해 해당 파일의 속성을 변경한 후 다시 삭제
를 시도하면 해당 파일이 정상적으로 삭제된다
파일의 속성 추가(chattr)는 lsquo+[추가할 속성]rsquo 제거는 lsquondash[제거할 속성]rsquo
을 통하여 수행할 수 있으며 lsquo-Rrsquo 옵션을 추가로 부여하는 경우에는
하위 디렉터리까지 모두 포함되어 적용된다 이는 윈도우(Windows)
운영체제의 lsquoattirbrsquo 명령과 유사하다
이때 만일 관리자가 파일이 삭제되지 않는 원인을 파일 권한 문제라
고 생각하고 파일 시스템에 기록된 정보를 이용하여 루트 계정 및
inode를 제거하는 방법으로 다시 삭제를 시도하면 마찬가지로 동일
한 메시지가 발생하며 파일이 삭제되지 않는다
이번 리눅스 악성코드 사례와 같이 파일의 속성이 변경되어 삭제가
불가한 경우가 있어 권한 뿐만 아니라 파일 속성에 대해서도 다시 한
번 확인하는 것이 필요하다 단 중요 파일이나 로그 파일 등은 lsquoirsquo나
lsquoarsquo 속성을 적용하는 정상적인 경우도 있다 즉 이러한 속성이 적용되
어 있는 파일이라고 해서 모두 악성 파일은 아니므로 정확히 악성으
로 확인된 파일에 대해서만 삭제를 진행할 것을 권장한다
최근 리눅스 운영체제를 노리는 악성코드가 꾸준히 증가하고 있다
DDoS 공격이나 백도어 등 리눅스 악성코드의 기능도 다양해지고 있
으며 앞으로 더욱 고도화될 것으로 예상된다 리눅스 시스템도 안전
하게 이용하기 위해서는 반드시 암호를 설정해야 하며 최신 보안 업
데이트를 적용해야 한다
V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지하고
있다
ltV3 제품군의 진단명gt
LinuxBackdoor1223123B
[그림 5] RM 명령어를 통한 삭제 시도
[그림 6] INODE 제거를 통한 삭제 시도
[그림 4] 악성코드 유포 도메인URL 탐지 및 차단 건수(2016년 2월 ~ 2016년 4월)
악성 도메인URL 차단 건수 악성코드 유포 URL 수악성코드 유포 도메인 수
10000
20000
30000
8000000
9000000
40000
7000000
6000000
5000000
4000000
04월
221681467900
6481587936
3월2월
6373536
7157616
6355582
[그림 7] 파일 속성 조회
[표 1] 리눅스 파일 속성 및 lsquoCHATTRrsquo 명령어 예시
[그림 8] 파일 속성 변경 후 제거 시도
[명령어 예시 (i S 속성 추가)]
chattr + iS samples
[파일 속성명 중 일부] [설명]
a (CAP LINUX IMMUTABLE capability) 추가 작성만 가능 삭제 불가
I (CAP LINUX IMMUTABLE capability) 삭제 변경 링크 파일 생성 등
S 파일이 변경되면 디스크 동기화
u 파일 삭제 시 내용 백업
2727
A H N L A B N E W S
현대자동차 그룹 IT서비스 전문업체인 현대오토에버가 최근 lsquo5스타
우수 개발협력사rsquo로 안랩을 선정했다
lsquo현대오토에버 우수 개발협력사rsquo는 현대오토에버가 협력사와 공동
으로 수행한 전년도 사업의 수행 실적에 따라 1스타부터 5스타까지
우수협력사를 선정하고 이에 따른 다양한 인센티브를 제공하는 프
로그램이다
안랩은 현대오토에버의 개발컨설팅 협력사로서 프로젝트 평가 및
업체 종합 평가 등에서 안정적이고 우수한 프로젝트 성과를 인정받
아 최고 등급인 lsquo5스타rsquo 우수 개발협력사로 선정됐다 안랩 서비스
사업부를 총괄하는 방인구 상무는 ldquo안랩은 핵심가치인 lsquo고객만족rsquo을
기준으로 맡은 사업에 대해 언제나 최선을 다하고 있다rdquo며 ldquo안랩을
신뢰해주시는 여러 회사와 함께 동반성장할 수 있도록 노력하겠다rdquo
고 말했다
안랩이 지난달 17일 코엑스 컨벤션센터에서 열린 lsquo아마존 웹 서비
스 글로벌 서밋 서울 2016(이하 AWS 서밋 서울 2016)rsquo에서 다양
한 산업 관계자를 대상으로 lsquo안랩 AWS 고객 원격 보안관제 서비스rsquo
를 소개했다
AWS 서밋 서울 2016은 아마존 웹 서비스가 제공하는 클라우드 컴
퓨팅 서비스에 대한 지식을 공유하고 IT 업계의 최신 기술 트렌드 등
을 소개하는 행사로 지난해 첫 국내 개최에 이어 두 번째로 열렸다
이번 행사에 참가한 안랩은 전용 부스를 운영하며 lsquo안랩 AWS 고객
원격 보안관제 서비스rsquo에 대한 개별 고객 상담 및 서비스 체험 신청
등을 진행했다 안랩 AWS 고객 원격 보안관제 서비스는 네트워크
및 웹 서비스 등에 대한 보안을 안랩의 침해대응(CERT) 전문인력이
원격으로 모니터링 및 관리해주는 서비스다
또한 별도 발표장에서 진행된 미니 발표 세션에서 안랩 서비스상
품기획팀 김준호 대리는 안랩 AWS 고객 원격 보안관제 서비스의
개요 및 구성을 비롯하여 탐지를 넘어 위협 분석까지 제공하는
침해사고 대응 프로세스 미디어사 O2O(Online to Offline 온오
프라인 연결) 서비스 제조 분야의 실제 고객 사례를 통한 다양한
산업별 서비스 적용 방안 등 lsquo안랩 AWS 고객 원격 보안관제 서비
스rsquo의 개념과 강점을 소개했다
안랩 김준호 대리는 ldquo안랩은 lsquoAWS 고객 원격 보안관제 서비스rsquo를
지난 1월 출시한 이후 약 4개월 여 만에 이미 복수의 대형 고객사
를 확보하는 등 검증된 서비스를 제공하고 있다rdquo며 ldquo이는 많은 고객
사에서 단순 탐지를 넘어 위협 분석 및 대응까지 가능한 안랩의 전
문성을 인정한 것으로 볼 수 있다rdquo고 강조했다
현대오토에버
lsquo우수 개발협력사rsquo로 안랩 선정
안랩 lsquoAWS 서밋 서울 2016rsquo에서
클라우드 보안관제 서비스 소개
안랩은 AWS 서밋 서울 2016 행사에서 전용 부스와 발표 세션을 통해 안랩 AWS 고객 원격 보안관제 서비스를 소개했다
발행인 권치중
발행처 주식회사 안랩
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
편집인 안랩 콘텐츠기획팀
디자인 안랩 디자인팀
copy 2016 AhnLab Inc All rights reserved
본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제 복사 검색 시스템
으로 저장 또는 전송될 수 없습니다 안랩 안랩 로고는 안랩의 등록상표입
니다 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상
표일 수 있습니다 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
copy 2016 AhnLab Inc All rights reserved
httpwwwahnlabcom
httpblogahnlabcom
httptwittercomahnlab_man
11
한창규 실장과 김경희 실장(왼쪽부터)은 CISO들이 가장 궁금해하는 랜섬웨어를 비롯한 최신 공격 동향을 공유했다
안병무 차장과 백민경 차장(왼쪽부터)은 기업이 직면하고 있는 보안 위협을 살펴보고 이에 따른 안랩의 솔루션을 제시했다
이와 관련해 한창규 안랩 시큐리티대응센터(ASEC) 실장이 ldquo랜섬웨어로 대표되는 최신 위협 동향rdquo이라는 주제 발표를 통해 CISO의 궁금증에
답했다 한창규 실장은 실제 사례를 통해 신bull변종 랜섬웨어의 감염 경로 동작 원리 등을 설명했다 이어 ldquo랜섬웨어는 더 이상 일시적인 유행이
나 단발성 이슈가 아니다rdquo라며 ldquo기업에서도 이제 랜섬웨어에 대한 대응책을 마련해야 할 때rdquo라고 강조했다
이어 김경희 안랩 플랫폼개발실 실장은 랜섬웨어의 서비스화(RaaS Ransomware-as-a-Service)를 비롯해 모바일 랜섬웨어 맥(Mac) OS X를
노리는 랜섬웨어 등 진화하는 랜섬웨어의 흐름을 설명했다 김경희 실장의 설명에 따르면 랜섬웨어는 비대칭 키를 사용하기 때문에 실제 공격
자를 잡아 서버를 수거하지 않는 한 암호를 풀 수 없다 일단 감염되면 피해를 피할 수 없다는 것 특히 현재 일부 업체가 제공하는 lsquo랜섬웨어
복구 서비스rsquo의 대부분은 지불 대행 서비스로 공격자에게 비트코인을 대신 납부해주고 키를 받아 파일을 복구하는 방식에 불과하다 이와 관
련해 김경희 안랩 플랫폼개발실 실장은 ldquo돈을 주고 복구할수록 몸값이 올라갈 뿐만 아니라 돈을 많이 주는 기업을 노리게 된다rdquo고 지적했다
문제는 일반적인 보안 솔루션만으로는 랜섬웨어 대응이 쉽지 않다는 것 이와 관련해 안병무 안랩 제품기획팀 차장은 지능형 위협 대응 솔루
션인 안랩 MDS를 제안했다 안병무 차장은 ldquo최초 감염(First Victim) 방어 포기할 것인가rdquo라는 주제 발표를 통해 랜섬웨어에 대한 최선의 대
응책은 lsquo예방rsquo과 lsquo선제적 방어rsquo라고 전제했다 이어 ldquo랜섬웨어를 비롯해 고도화된 최신 공격 대응에서 놓치지 말아야 할 부분은 첫 번째 희생자
(First Victim)가 발생할 가능성을 최소화하는 것rdquo이라고 강조하고 ldquo안랩 MDS의 lsquo실행보류(Execution Holding) 기능을 이용해 랜섬웨어가 동
작하는 것 자체를 방지할 수 있다rdquo고 설명했다
랜섬웨어는 공통분모hellip산업별 보안 위협은
랜섬웨어는 개인과 기업 산업 분야를 막론하고 공통된 보안 위협이라는 데는 이견이 없다 그러나 기업의 비즈니스에 따라 최우선 보안 과제
는 각기 다르다
기업으로 눈 돌리는 랜섬웨어 그 실체는
산업 분야를 막론하고 현재 가장 심각한 보안 이슈는 역시 랜섬웨어였다 특히 최근 미국의 주요 병원들의 랜섬웨어 감염 사례를 시작으로 랜
섬웨어의 표적이 개인 중심의 불특정 다수에서 막대한 자금을 보유하고 있는 기업군으로 옮겨갈 것이라는 예측도 있어 기업 보안책임자들의
고민이 깊은 실정이다
12
김창희 팀장과 한태수 실장(왼쪽부터)은 각각 유통 분야와 건설 분야의 보안 위협 요인과 대응 방안에 대해 공유했다
정청환 실장은 안랩의 제품 개발부터 관리까지 전 과정에 대한 안랩의 독자적인 보안 체계를 소개해 참석자들의 이목을 집중시켰다
유통 분야를 위한 ISF 스퀘어 2016에서는 최근 또다시 화두가 되고 있는 POS 시스템 보안 위협에 대한 상세한 정보가 공유됐다 김창희 안랩
제품기획팀 팀장은 ldquoPOS 및 단말 보안을 위한 효과적인 대응 방안rdquo이라는 주제 발표를 통해 수많은 고객의 신용카드 정보 등 민감한 정보를
다루는 POS 단말기가 해킹되면 실생활에 직결되는 사회적 경제적으로 치명적인 위험이 될 것이라고 단언했다 그러나 POS 시스템 등 산업
용 단말에는 일반적인 보안 정책이나 솔루션을 적용하는 것은 현실적이지 않다rdquo고 지적하고 ldquo안정적인 비즈니스 운영을 위해 안랩 EPS와 같은
전용 보안 솔루션을 도입하는 것이 바람직하다고 조언했다
한태수 안랩 매니지먼트개발 실장의 ldquo사물인터넷(IoT) 보안 위협과 대응 방안rdquo에 대한 발표는 특히 건설 분야 CISO의 눈과 귀를 사로잡았다
한태수 실장은 ldquo사물인터넷은 스마트가전 스마트헬스 특히 스마트홈 등 통신과 건설 분야에서 더욱 중요한 요소로 부각되고 있다rdquo며 ldquo이제
관련 산업 분야에서는 서비스 준비 단계에서부터 IoT 관련 개방형 표준에 근거한 정보보호 프라이버시 보호에 대해 필수적으로 고민해야만
한다rdquo고 강조했다 또한 ldquo설계도면이나 기술 정보 등 중요 정보가 많은 건설사의 특성상 지능형 보안 위협에 노출되면 피해가 커질 수 있다rdquo고
지적한 뒤 ldquo안랩은 이미 스마트홈 등과 관련해 실제 발생할 수 있는 다양한 공격 시나리오를 연구해왔으며 이에 대한 전방위적인 대응 방안을
마련하고 있다rdquo고 말했다
안랩은 금융 분야부터 유통 건설 그리고 공공 분야까지 각 산업 분야의 주요 보안 위협과 관련해 최적의 보안 솔루션을 제공하고 있다 안랩
의 다양한 솔루션의 근간에는 원천 기술을 보유한 RampD 센터와 인프라가 있다 이와 관련해 정청환 안랩 엔드포인트개발 실장은 그동안 많은
고객들이 궁금해했던 안랩의 보안 제품 개발과 개발 인프라 보안 관리 체계를 소개했다 정청환 실장은 특히 보안 업체 자체를 노리는 공격이
종종 등장하는 것과 관련해 안랩의 대비책은 물론 제품 개발부터 관리까지 무결성을 보장하기 위한 안랩의 자체적인 보안 체계를 상세하게
설명해 참석자들의 큰 호응을 얻었다
백민경 안랩 제품기획팀 차장은 은행 증권사 카드사 등 금융기관이 직면한 위기로 lsquo이용자 PC를 노리는 전자금융사기rsquo를 꼽았다 백민경 차장
은 실제 금융기관 보안 침해 사례를 통해 파밍 다이어 악성코드 공유기 공격 메모리 해킹 등 전자금융사기 기법을 설명하고 모바일과 온라
인으로 금융 서비스를 이용하는 비율이 증가하는 자율 금융 시대를 맞아 명확한 위험요소를 파악하고 그에 따른 적절한 솔루션 도입 등 이용
자 보호와 금융 시스템 보안을 위한 철저한 철학을 갖추는 것이 필요하다고 강조했다
13
세션 발표 후 진행된 라운드 테이블 프로그램을 통해 안랩의 권치중 대표 강석균 전무 배민 상무 방인구 상무가 고객사 CISO와 자유롭고 다양한 논의를 이어나갔다
안랩은 오는 6월 8일 서울 양재동 엘타워에서 공공 및 교육기관의 보안책임자를 대상으로 ISF 스퀘어 2016을 이어나갈 예정이다 또한 안랩은
서울에서 진행되는 행사에 참석하기 어려운 각 지역의 고객사를 위해 lsquo파트너와 함께 찾아가는 고객 세미나rsquo도 동시에 진행하고 있다 지난 5
월 24일 전주 지역에 이어 오는 6월 16일에는 대구 21일에는 대전에서 고객사의 보안책임자를 초청해 최신 보안 위협 동향과 대응 방안을 공
유할 예정이다
고객의 생생한 목소리를 듣다
여타 보안 세미나와 안랩 ISF 스퀘어의 가장 큰 차별점은 제품 기획자부터 제품 개발 책임자 그리고 대표이사에 이르기까지 한 자리에서 고객
과 직접 소통한다는 점이다 이번 ISF 스퀘어 2016에서도 안랩 EP사업부문 총괄인 강석균 전무 EP영업본부 총괄 배민 상무 서비스사업부 총
괄 방인구 상무 등이 총출동해 고객의 고민을 듣고 의견을 나눴다
14
CryptXXX RansomwareT H R E A T A N A L Y S I S
최근 lsquo크립트엑스엑스엑스 랜섬웨어rsquo가 대량 유포되면서 피해 사례가 늘어나고 있다 크립트엑스엑스엑스의 특징은 기존 랜섬웨어와
달리 실행 파일(EXE) 형태가 아닌 동적 링크 라이브러리(DLL) 형태로 유포되고 있다는 점이다 DLL 형태로의 유포는 정상적인 프로
세스와 함께 동작하는 구조여서 감염 사실을 알아차리기조차 어렵다
월간 lsquo안rsquo에서는 1부와 2부에 걸쳐 크립트엑스엑스엑스의 동작 방식과 주요 기능 암호화 방식 복구 툴 등 자세한 내용을 소개한다
lt연재 목차gt
1부_ DLL 이용한 CryptXXX 랜섬웨어 분석 완료
2부_ CryptXXX 암호화 비밀과 복구 툴 공개
DLL 이용한 CryptXXX 랜섬웨어 분석 완료
CryptXXX 랜섬웨어 분석 보고서_1부
크립트엑스엑스엑스 랜섬웨어(진단명 TrojanWin32CryptXXX
이하 크립트엑스엑스엑스)는 컴퓨터에 있는 파일을 암호화한 뒤
lsquocryptrsquo 확장자로 변경하여 사용자에게 비트코인을 요구하는 랜섬웨
어다 [그림 1]은 크립트엑스엑스엑스의 동작 방식이다
크립트엑스엑스엑스의 경우 다른 랜섬웨어와의 차이점은 DLL(동
적 링크 라이브러리 Dynamic Linking Library)로 동작한다는 점이
다 크립트엑스엑스엑스는 정상 rundll32exe를 악성 DLL이 있는 경
로에 svchostexe로 이름을 바꾸어 복사한 뒤 악성 DLL의 내보내기
(Export) 함수를 인자값으로 호출하여 동작한다
이 악성코드는 피해자의 컴퓨터를 감염시킬 때 lsquoRecovery_사용자
IDtxtrsquo lsquoRecovery_사용자IDhtmlrsquo lsquoRecovery_사용자IDbmprsquo 형
식의 파일을 생성하며 내용은 [그림 3] [그림 4]와 같다
[그림 1] 크립트엑스엑스엑스 동작 방식
[그림 3] 크립트엑스엑스엑스 결제 안내 페이지
[그림 2] svchostexe(정상 rundll32exe)로 로드되어 동작하는 악성 DLL
15
CampC 통신
크립트엑스엑스엑스는 파일을 암호화하기 전 CampC에 악성코드가 생
성한 사용자 ID를 전송한다
암호화된 환경
크립트엑스엑스엑스는 암호화가 완료된 파일의 수정한 날짜와 시간
정보를 백업된 원본의 수정한 날짜로 변경한다
[그림 4] 크립트엑스엑스엑스 결제 안내 텍스트
[표 1] 자동 실행 등록을 위한 바로가기 링크 파일 생성
[표 3] 암호화 대상 확장자
[표 4] 암호화 제외 대상 경로
[표 2] 암호화 대상 드라이브
[그림 5] 자동 실행 등록 정보
[그림 6] CampC 통신 패킷 정보
크립트엑스엑스엑스 주요 기능
자동 실행 등록
크립트엑스엑스엑스는 [표 1]과 같이 시작프로그램에 바로가기 링크
파일을 생성한다 [그림 5]에서 알 수 있듯이 해당 링크 파일에 의해
실행되는 파일은 크립트엑스엑스엑스이며 lsquoMS114rsquo라는 이름의 함수
를 호출하는 기능을 한다
자동 실행 등록
파일
CDocuments and Settings프로그램시작프로그램[사용자ID]lnk
암호화 대상 드라이브
고정식 드라이브 이동식 드라이브 네트워크 드라이브
악성 DLL 내부에 암호화된 CampC는 2개이며 첫 번째 IP에 접속이 되
지 않았을 경우 두 번째 IP로 연결된다
- 1447821443
- 9311876443
CampC 접속 여부와 관계없이 패킷을 전송한 후에는 파일 암호화가 진
행된다
파일 암호화 대상
분석된 크립트엑스엑스엑스로부터 확인된 암호화 대상은 [표 2]와 같다
Z 부터 A 까지 마운트된 모든 드라이브 중 다음의 암호화 대상 드
라이브만 감염이 진행된다
암호화 대상 확장자
3DM 3DS AES APK APP ARC ASC ASM ASP ASPX BRD BZ2 C
CER CFG CFM CGI CGM CMD CPP CRT CSR CSS CSV CUE DB
DBF DCH DCU DIF DIP DJV DJVU DOC DOCB DOCM DOCX DOT DOTM
DOTX DTD DWG DXF EML EPS FDB FLA FRM GBK GBR GED GPG
GPX H HTM HTML HWP IBD INDD JAR JAVA JKS JSP KEY KML
KMZ LAY LAY6 LDF LUA M MAX MDB MDF MFD MML H MS11
MSI MYD MYI NEF NOTE OBJ ODB ODG ODP ODS ODT OTG OTP
OTS OTT P12 PAQ PAS PCT PDB PDF PEM PHP PIF POT POTM
POTX PPAM PPS PPSM PPSX PPT PPTM PPTX PRF PRIV PSD RAR RAW
RSS RTF SCH SDF SITX SLDX SLK SLN SQL STC STD STI STW
SVG SWF SXC SXD SXI SXM SXW TAR TBK TEX TGZ TLB TXT
UOP UOT VB VBS VCF VDI VMDK VMX WKS WPD WPS WSF XLC
XLM XLR XLS XLSB XLSM XLSX XLT XLTM XLTX XLW XML ZIP ZIPX
ACCDB CLASS GADGET IBOOKS PAGES PLUGIN PRIVATE
QCOW2 SQLITE3 SQLITEDB VCXPROJ XCODEPROJ XHTML
암호화 대상 확장자
폴더
WINDOWS BOOT EFI CONFIGMSI
WINNT RECOVERY PROGRA^1 GOOGLE
RECYCLER$RECYCLE
BINPROGRA^2 TEMP
SYSTEM^1 PERFLOGS
16
[그림 7] 암호화 된 파일의 파일의 시간 정보 변경 코드
[그림 8] 암호화된 파일의 시간 정보 변경 전(왼쪽) 및 변경 후(오른쪽)
[그림 13] 암호화 완료 후 화면
[그림 12] 결제 안내 파일의 시간 정보 변경 전(좌) 및 변경 후(우)
[그림 9] 암호화 후 확장자 변경
[그림 11] 결제 안내 파일의 시간 정보 변경 코드
[그림 10] 암호화된 파일과 생성된 결제 안내 파일(BMP HTML TXT)
[그림 7]에서 붉은색 박스로 표현한 부분의 데이터(A4 80 BC 4B 36
B0 D1 01)는 SetFileTime API를 사용하여 백업된 원본의 수정한 날
짜로 변경된다
생성한 결제 안내 파일의 시간 정보를 [그림 12]와 같이 변경한다 암
호화가 완료되면 [그림 13]과 같은 화면을 띄우고 스크린이 잠기게
하여 사용자가 어떠한 동작도 할 수 없게 한다
이때 시간 정보가 변경된 파일은 MoveFileW API를 사용하여 [원본
파일명]crypt로 확장자가 변경된다
크립트엑스엑스엑스는 일반적으로 웹사이트 다운로드 등으로 유포되
는 경우가 많다 따라서 사용자는 출처를 알 수 없는 메일에 첨부된 파
일의 실행이나 불필요한 사이트 접근을 삼가는 등의 주의가 필요하다
해당 악성코드 감염을 막기 위해서는 항상 윈도우 보안 패치 및 V3
백신 프로그램을 최신 업데이트 상태로 유지하는 것이 필요하다
안랩은 원본 파일을 복구하는 툴을 랜섬웨어 보안센터를 통해 무료로
제공하고 있다
안랩 랜섬웨어 보안센터 바로가기
그리고 암호화된 파일이 있는 경로마다 결제 안내 파일들을 생성한다
앞서 언급했듯이 SetFileTime API를 이용하여 [그림 11]에 있는 붉은
색 박스에 있는 데이터(00 00 00 00 71 37 00 00)는 1601년 3월 12
일 월요일 10시 17분 27초로 변경된다
17
CryptXXX RansomwareT H R E A T A N A L Y S I S
크립트엑스엑스엑스(CryptXXX) 랜섬웨어는 정상 파일을 암호화한 후 lsquocryptrsquo 확장자로 변경하여 사용자에게 비트코인을 요구하는
랜섬웨어다 이 랜섬웨어는 현재까지 버전 1x 2x 3x 세 가지 형태가 알려져 있다 안랩은 현재 크립트엑스엑스엑스 2x 버전에 의
해 암호화된 파일에 대한 복구 툴을 제공하고 있다 특히 국내 사용자들이 많이 사용하고 있으나 기존 복구 툴이 지원하지 않는 한글
파일(HWP)의 복구도 가능하다는 점이 주목할만하다
월간 lsquo안rsquo에서는 1부와 2부에 걸쳐 크립트엑스엑스엑스의 동작 방식과 주요 기능 암호화 방식 복구 툴 등 자세한 내용을 소개한다
lt연재 목차gt
1부_ DLL 이용한 CryptXXX 랜섬웨어 분석 완료
2부_ CryptXXX 암호화 비밀과 복구 툴 공개
CryptXXX 암호화 비밀과 복구 툴 공개
CryptXXX 랜섬웨어 분석 보고서_2부
1 암호화 방식
[그림 1]은 크립트엑스엑스엑스에 의해 암호화된 lsquoPhotojpgrsquo 파일을
나타낸다 암호화는 고정 크기(0x1FFF)의 블록 단위로 순차적으로 이
뤄지며 암호화 최대 크기는 0xD012FE(대략 13M)로 이후의 데이터
는 원본과 동일하다
암호화된 파일은 원본 파일과 비교하여 260(=0x104)바이트가 증가
한 형태이며 이는 파일 끝부분에 삽입된 키 테이블(Key Table) 정보
로 인한 것이다([그림 1]에서 붉은색 블록 참고) 이 키 테이블 정보
는 블록 단위의 암호를 복호화하는 데 핵심이 되는 데이터로 공개키
를 통해 암호화되어 저장된다 즉 구조적으로는 해당 공개키에 매칭
되는 개인키 정보 없이는 해당 키 테이블 정보를 복호화할 수 없고
파일 복구가 불가능하다 하지만 해당 키 테이블 정보는 개인키 없이
도 원본 파일 시작 부분의 일부 데이터(예를 들면 파일 포맷별 Magic
정보)를 통해 파일의 형태를 확인할 수 있으며 그것을 토대로 유추할
수 있는 키 값으로 복구가 가능하다
2 Key Table 생성 방식과 취약성
[그림 2]는 파일 끝에 삽입된 0x104바이트 크기의 키 테이블이 생성
되는 과정을 나타낸다 이 그림에서 노란색 부분이 공개키로 암호화
된 KeyTable_A[0x40]이며 CryptEncrypt() API를 통해 공개키로 암
호화 시 원본 0x40바이트 크기의 데이터가 최종 0x80바이트 크기로
증가된다
[그림 1] 크립트엑스엑스엑스 암호화 방식
[그림 2] 키 테이블 생성 과정
18
[그림 2]에서 언급된 암호화에 사용되는 핵심 정보 3가지는 lsquo4바이
트 SEED 값rsquo lsquoKeyTable_A[0x40]rsquo lsquoKeyTable_B[0x100]rsquo이며 최초
4바이트 크기의 SEED 값으로부터 이후 정보들이 순차적으로 만들
어지는 구조를 갖는다 키 생성 과정의 최상위에 위치하는 SEED 값
은 감염 시점의 시스템 시간(SystemTime) 정보 중에서 시(wHour)
분(wMinute) 초(Second) 밀리초(Millisecond)를 이용하여 얻어지
며 이 SEED 값으로부터 0x40바이트 크기의 KeyTable_A[0x40] 데
이터가 생성된다 바로 이 부분에서 제작자가 의도하지 않은 취약성
이 존재하며 SEED 값이 동일하면 매번 동일한 KeyTable_A[0x40]
가 생성되는 구조를 갖는다 최종 블록 단위의 암호화에 사용되는
KeyTable_B[0x100]의 데이터와 원본 파일로부터 읽은 블록과의
XOR(배타적 논리합)을 통해 암호화가 수행된다
즉 SEED 값이 동일하면 매번 생성되는 최종 키 테이블 정보가 동일
한 점과 암호화 방식이 XOR이라는 2가지 포인트를 바탕으로 복구 대
상 파일의 Magic 정보가 존재한다면 역으로 키를 유추할 수 있는 구
조다 [그림 3]은 SEED 값이 0x02978CAC일 때 생성되는 키 테이블
A B의 예를 나타낸다
3 키 테이블 생성 함수
크립트엑스엑스엑스 랜섬웨어에서 파일 암호화 시 사용되는 핵심 정
보 3가지의 생성 함수는 다음과 같다
(1) SEED 값 생성
[그림 4]는 SystemTime 정보를 통해 4바이트 크기의 SEED 값을 생
성하는 함수를 나타낸다
KeyTable_A[0x40] 데이터가 생성되는 방식은 다음의 2가지 기본 테
이블 중 델파이 랜덤(Delphi Random) 함수를 통해 얻은 랜덤값을
바탕으로 하나의 값이 선택되어 구성되는 구조를 갖는다
(1) QWERTYUIOPASDFGHJKLZXCVBNMltgt$^amp()_+~|
(2) qwertyuiop[]asdfghjklzxcvbnm`1234567890-=
크립트엑스엑스엑스는 총 2번의 델파이 랜덤 함수를 사용하여 아래
의 Index(A)와 Index(B)를 얻게 된다 이때 Index(A)는 위 기본 테이
블 중 하나를 선택하기 위한 목적으로 Index(B)는 선택된 테이블의
데이터 중 하나를 선택하기 위한 목적으로 사용된다
Index(A) DelphiRandom(3) - 0 ~ 2 범위의 랜덤 값 생성(0 2인 경우 -gt
(1)번 1인 경우 -gt (2))
Index(B) DelphiRandom(44) - 0 ~ 43 범위의 랜덤 값 생성
예를 들어 Index(A) == 0이고 Index(B) == 3이면 lsquoRrsquo 문자열이 선택
된다
(2) 키 테이블(A) 생성
[그림 5]는 SEED 값을 바탕으로 0x40바이트 크기의 키 테이블을 생
성하는 함수이며 do-while 문을 통해 생성되는 0x40바이트 크기의
데이터가 SEED 값이 동일하면 동일한 형태로 생성되는 취약성이 존
재하는 부분이다
(3) 키 테이블(B) 생성
[그림 6]은 키 테이블(A)로부터 0x100바이트 크기의 최종 키 테이블
(B)가 생성되는 함수를 나타낸다 이 키 테이블 정보는 1바이트 단위
의 블록 단위의 암호화 시 XOR 키 값으로 사용된다
[그림 3] 키 테이블 A B 예제
[그림 4] SEED 값 생성 함수
[그림 5] 키 테이블(A) 생성 함수
19
[그림 6] 키 테이블(B) 생성 함수
[그림 7] 크립트엑스엑스엑스 복구 과정
4 복구 방식
시 분 초 밀리초 정보를 통해 계산되는 SEED 값의 범위는 다음과
같다
- 최소값 0000000000 -gt 0 최대값 235959999 -gt 0x5265bff
사용자마다 그리고 암호화된 파일마다 서로 다른 SEED 값을 유추하
기 위해 0 ~ 0x5265bff 범위의 SEED를 순차적으로 선택하며 이를
바탕으로 암호화에 사용된 키 테이블을 생성하거나 복호화를 시도
한다 첫 번째 블록에 대한 복호화를 통해 파일의 고유한 식별 정보
(Magic)가 확인되면 유효한 SEED 값으로 판단하고 전체 파일에 대
한 블록 단위의 복구를 시도한다 우선 첫 번째 파일이 복구에 성공하
면 두 번째 파일부터는 SEED의 범위를 제한하여 좀 더 빠른 복구가
가능하도록 했다 이러한 설정은 복구 대상 파일들이 동일 시간대에
감염된 형태가 대부분일 것으로 가정하여 이루어진 것으로 복구 대
상 파일들이 서로 다른 시스템에서 다른 시간대에 수집된 형태의 경
우 복구 시간이 더 오래 걸리는 특징을 갖는다
5 복구 대상 리스트
복구 툴을 통해 복구 가능한 크립트엑스엑스엑스 버전은 2x로 제한
적이며 우선 다음의 확장자들에 대한 복구가 가능하도록 제작되었
다 특히 국내 사용자들이 많이 사용하고 있으나 기존 복구 툴이 지
원하지 않는 한글 파일(HWP)의 복구가 가능하다 이 외에도 원본 파
일의 고유한 식별 정보만 알 수 있다면 복구가 가능한 구조이기 때문
에 추후 복구 대상으로 추가될 수 있다
CHM AI HWP PDB PDF RTF HTM HTML PHP XML DWG PS
WSF KEY CSR CRT WAV MP3 OGG WMA WMV AVI ASF MP4
MOV MID MPG FLV PNG GIF BMP TIF JPG JPEG ZIP RAR BZ2
7Z GZ JAR APK TGZ ODS DOC DOT PPT POT PPS XLS XLT
DOCX DOCM DOTX DOTM PPTX PPTM POTM POTX PPSM
XLSX XLSB XLSM XLTM XLTX EPS ISO SQLITE3 MDB MSI APP
FDB ACCDB SLN CLASS VCXPROJ
6 복구 툴 경로
안랩은 크립트엑스엑스엑스 랜섬웨어 2x 버전에 대한 복구 툴을 랜
섬웨어 보안센터를 통해 무료로 제공하고 있다
안랩 랜섬웨어 보안센터 바로가기
[그림 7]은 크립트엑스엑스엑스 복구 툴에서 파일 복구를 위해 이루
어지는 과정을 나타낸 것이다 구조상 첫 번째 파일을 복구하는 데 오
랜 시간이 소요되며 이후 파일부터는 빠르게 복구가 가능하다
20
F O C U S I N - D E P T H Compliance
20
1 개인정보보호법
1) 정보주체 이외로부터 수집한 개인정보의 수집 출처 고지 의무화
ldquo따르릉~ 여보세요 홍길동 고객님이시죠 여기는 보험사인데
요~ 알지도 못하는 보험사로부터 이런 전화를 받아 본 경험이 혹시
있었는지 모르겠다 어디서 내 전화번호를 입수한 것인지 물어보면 정
확히 대답하지 않거나 얼버무리는 경우도 많다 개정안이 시행되는 9
월 30일부터 이런 식의 연락은 더 이상 받지 않게 될 것 같다 일정 규
모 이상이 되는 기업(5만 명 이상의 민감 정보 또는 고유식별정보 처
리 100만 명 이상의 개인정보처리)이 정보주체로부터 직접 수집하지
않고 개인정보를 처리할 때는 반드시 ①정보수집출처 ②개인정보처리
목적 ③개인정보 처리정지 요구권이 있다는 사실을 최초 수집 후 3개
월 이내에 정보주체에게 고지해야만 하기 때문이다 불법으로 입수한
개인정보라면 애초에 고지도 못할 테지만 적법하게 제공받은 경우라
하더라도 고객에게 일일이 고지하기란 큰 부담이 될 것이다 고객이 제
3자 제공 동의를 해서 개인정보를 제공했다는 사실을 증명하라고 요구
하면 그 또한 큰일이다 필자 견해로는 이 개정안에 대한 대응이 본 기
사를 통틀어 제일 큰일일 듯 싶다
2) 민감정보의 안전성 확보조치 명시적 요구
민감정보란 개인의 사상middot신념 노동조합middot정당의 가입middot탈퇴 정치
적 견해 건강 유전 정보나 범죄 경력처럼 사생활을 현저히 침해할
우려가 있는 정보를 말한다 기존에도 고유식별 정보와 더불어 수집
이용하지 않는 것이 원칙이고 별도의 동의를 얻어 처리해야 하며 안
전성확보 조치를 통해 보호해야 할 대상이었다 이번 개정안에서는
민감정보에 대한 안전성 확보 조치를 명시적으로 요구하고 있을 뿐
기업 입장에서 달리 조치해야 할 사항은 없어 보인다 (기존 법에 따
라 잘 조치하고 있었을 경우에는 그렇다는 뜻이다)
3) 개인정보처리방침과 개인정보취급방침 구성 요건 동기화
개인정보보호법의 lsquo개인정보처리방침rsquo은 정보통신망법(이후 lsquo정통망
법rsquo)의 lsquo개인정보취급방침rsquo과 이름도 다르고 구성 요건에도 약간의 차
이가 있었다 이번 개정안에서는 방침 구성 내용에 정통망법 일부 사
꼭 챙겨야 할 개인정보보호 법령
지난 3월 8일 발간된 월간 lsquo안rsquo 2016년 3월호에 lsquo2016년에 챙겨봐야 할 개인정보보호 법령 5가지rsquo란 제목으로 개인정보보호 법령에 대
해 소개한 바 있다 이후 3월 22일과 29일에 정보통신망법과 개인정보보호법이 또 개정되어 2016년에 챙겨야 할 법령이 더 늘어났다
이번 호에서는 두 가지 법의 개정사항의 중요도를 별점으로 매겨가며 정리하고자 한다 단 중요도의 기준은 필자의 주관에 따른 것이므
로 참고만 하는 것이 좋겠다 개정된 내용 중 기업과 관련이 적은 사항은 따로 적지 않았다
별점으로 살펴본
lsquo개정rsquo 개인정보보호 관련 법령
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
중요도 업무영향도 대응업무부하
처 벌
- 미이행 시 3000만 원 이하의 과태료
- 미이행 상태에서 유출 사고 발생 시 2년 이하의 징역 또는 2000만 원 이하
의 벌금
중요도 업무영향도 대응업무부하
처 벌 해당 없음
기업에서 대응해야 할 업무 절차
1 법 시행 시점 이후 수집 보유 중인 개인정보 중 정보주체에게 직접 입수한 것이 아닌
개인정보 식별(정보주체 외 입수 경로 제3자 제공 동의 여부 확인)
2 1에서 식별된 개인정보 중 연락처가 있는 개인정보 식별
3 2에서 식별된 정보주체에게 개인정보 수집 및 이용 사실 고지(파기요청 수집)
구체적인 고지 시기 방법은 시행령이 나와야 알 수 있음
4 3의 절차에서 파기 요청 시 파기 시행
기업에서 대응해야 할 업무 절차
1 보유 중인 개인정보 중 민감정보 식별
2 1에서 식별된 민감정보에 대한 안전성 확보 조치 수준 점검
3 2절차에서 법 기준에 미흡한 경우 보완 조치 이행
2121
항을 반영하여 유사한 구조를 갖추도록 했으며 정통망법 또한 lsquo개인
정보처리방침rsquo으로 명칭을 변경함으로써 개인정보보호법과 일원화할
수 있게 되었다 개인정보보호법 개인정보처리방침에 추가된 사항은
다음과 같다
2 정보통신망 이용촉진 및 정보보호 등에 관한 법(이하 lsquo정
통망법)
1) 정보주체의 이동통신 단말장치 내 정보 및 기능에 대한 접근 시 동
의절차 의무화
스마트폰 메신저 앱을 생각해 보자 메신저 앱의 핵심적인 기능은 다
른 사람과 메시지를 주고받는 것이다 메신저를 편히 쓰려면 연락처
를 일일이 입력하기보다는 스마트폰에 있는 연락처 정보를 이용하는
게 필요할텐데 개정된 법은 그렇게 메신저 앱이 서비스를 이용하기
위해 스마트폰에 저장된 정보에 접근할 경우에 반드시 정보주체의 동
의를 받아야 한다는 것이다
핵심 서비스를 위해 필요한 정보나 접근권한에도 동의를 받으라고 하
는 상황인데 그 외의 목적이라면 당연히 동의를 요구할 수밖에 없다
이 경우에는 사용자가 동의를 거부할 권한이 있고 동의를 안했다고
해서 기업이 서비스 제공을 거부할 수 없도록 하고 있다(거부하면 과
태료 처벌을 받을 수 있다)
이 법의 요구사항은 흔히 알고 있는 개인정보 수집이용 동의와 개념
이 다르기 때문에 기업에서도 상당한 고민과 부담이 있을 것으로 예
상된다 (예를 들면 휴대전화에 저장된 연락처는 휴대전화 주인의 개
인정보가 아니므로 정보주체의 개인정보 수집이용 동의로 대체할 수
없다) 휴대전화 기능에 대한 접근권한 역시 개인정보 수집이용 동의
와는 다른 사항이므로 동의 절차를 새롭게 설정해야 할 가능성이 높
다 이런 동의와 철회 방법에 대한 구현 책임은 이동통신단말장치 소
프트웨어 제조업자와 공급자에게 부과하고 있으며 위반 시 과태료 처
벌을 할 수 있도록 되어 있다
2) 개인정보 처리업무 수탁자가 재위탁할 경우 원 위탁자의 동의를 받
는 경우에만 가능함
이번 정통망법 개정안에서는 개인정보 처리 위탁 관련 조항이 특히
많이 수정되었다 대부분 용어가 lsquo취급rsquo에서 lsquo처리rsquo로 바뀐 사항이 많
고 일부 조항은 개인정보보호법과 동일한 수준으로 바뀌었다 예컨대
수탁자에 대한 관리 감독 책임에 lsquo교육rsquo을 별도로 명시한다거나 수탁
자에게 위탁을 할 경우에는 문서에 의하여야 한다는 내용들이 그러하
다 개인정보보호법보다 조금 엄격하게 느껴질 만한 것은 제25조 7
항으로 수탁자의 재위탁은 위탁자로부터 동의를 받은 경우에 한한다
는 내용이다 (개인정보보호법은 시행령 제28조에서 lsquo재위탁 제한에
관한 사항rsquo을 위탁 시 작성해야 할 문서에 기재하도록 하고 있다)
3) 전화 권유 판매 시 개인정보 수집출처 고지 의무 부과
정통망법에 따르면 전자적 전송매체를 이용하여 영리목적의 광고성 정
보를 전송할 때 수신자의 명시적인 사전 동의를 받아야만 한다 사전
동의를 받지 않을 수 있는 예외가 두 가지 있는데 lsquo방문판매 등에 관한
③ 이동통신단말장치의 기본 운영체제(이동통신단말장치에서 소프트웨어를 실행할 수 있는
기반 환경을 말한다)를 제작하여 공급하는 자와 이동통신단말장치 제조업자 및 이동통신단
말장치의 소프트웨어를 제작하여 공급하는 자는 정보통신서비스 제공자가 이동통신단말장
치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근하려는 경우 접근
권한에 대한 이용자의 동의 및 철회방법을 마련하는 등 이용자 정보 보호에 필요한 조치를
하여야 한다
2 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
다 접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실
② 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 반드시 필요하지 아니한 접근
권한을 설정하는 데 이용자가 동의하지 아니한다는 이유로 이용자에게 해당 서비스의 제공
을 거부하여서는 아니 된다
중요도 업무영향도 대응업무부하
처 벌 2000만 원 이하의 과태료
- 수탁자가 위탁자의 동의 없이 재위탁을 한 경우
기업에서 대응해야 할 업무 절차
1 운영개발 중인 모바일 앱(App) 현황 파악(앱이 설치된 모바일 기기 내 이용 정보 및 기
능 내역)
2 1에서 식별된 모바일 기기 내 정보 및 기기에 대해 서비스 이용에 필수선택 항목 식별
3 모바일 앱 설치 시 동의이용 중 철회 절차 검토 및 보완
1) 필수항목과 선택항목의 구분
2) 법 제22조의2제1항1호2호의 사항을 고지사항에 반영
4 이용자 정보 보호에 필요한 기타 조치 사항 반영
5 3과 4에서 도출된 사항을 모바일 앱에 적용 업데이트
6 기존 운영 중인 앱의 경우 고객에게 업데이트 고지(동의 또는 재동의 절차 적용)
⑦ 수탁자는 개인정보 처리위탁을 한 정보통신서비스 제공자 등의 동의를 받은 경우에 한
하여 제1항에 따라 위탁받은 업무를 제3자에게 재위탁할 수 있다 lt신설 2016322gt
기업에서 대응해야 할 업무 절차
1 수탁자의 경우 위탁받은 개인정보의 처리 업무 중 재위탁 현황 파악
2 재위탁 사실이 있고 위탁자의 동의 증적이 없는 경우 파악
3 2에서 파악된 미동의 재위탁 건에 대해 위탁자에게 고지 및 동의 확보
6 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항
을 처리하는 부서의 명칭과 전화번호 등 연락처
7 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치middot운영 및 그 거부에
관한 사항(해당하는 경우)에만 정한다
중요도 업무영향도 대응업무부하
처 벌
3000만 원 이하의 과태료
- 반드시 필요하지 않은 접근권한 설정에 정보주체가 동의하지 않는다는 이유
로 서비스 제공을 거부할 경우
- 접근권한에 대한 동의 및 철회방법을 마련하는 등 조치를 하지 않은 경우
제22조의2(접근권한에 대한 동의) ① 정보통신서비스 제공자는 해당 서비스를 제공하기 위
하여 이용자의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신 단말장치에 설치된
기능에 대하여 접근할 수 있는 권한(이하 ldquo접근권한rdquo이라 한다)이 필요한 경우 다음 각 호의
사항을 이용자가 명확하게 인지할 수 있도록 알리고 이용자의 동의를 받아야 한다
1 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한인 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
2222
법률rsquo에 따른 전화 권유 판매자가 육성으로 전화 권유를 하는 경우가
그 중 하나였다 개정 법에서는 lsquo수신자에게 개인정보의 수집출처를 고
지하고rsquo라는 조건이 추가됨으로써 한결 까다로워졌다
4) 개인정보의 국외 이전 유형에 따른 동의 요건 완화
모처럼 개인정보보호 담당자한테 반가운 개선 조항이 생겼다 개인정
보의 국외 이전은 정통망법에서 논란이 되던 문제였다 개인정보보호
법은 국외에 제3자 제공할 경우만 정보주체의 동의 받으라고 되어 있
는데 정통망법에선 lsquo이전rsquo할 때 동의를 받으라고만 되어 있었기 때문에
제3자 제공과 위탁의 경우를 달리 적용하기 어려웠던 것이다 개정안
에서는 lsquo국외로 이전하려면rsquo이라고 되어 있던 조항을 lsquo국외에 제공(조회
되는 경우를 포함한다)middot처리위탁middot보관(이하 이 조에서 ldquo이전rdquo이라 한
다)하려면rsquo이라고 풀어서 표현하고 lsquo다만 정보통신서비스의 제공에 관
한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서
제3항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자
우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는
개인정보 처리위탁middot보관에 따른 동의절차를 거치지 아니할 수 있다rsquo라
는 단서 조항을 더 함으로써 국외 이전의 경우에도 위탁업무일 경우엔
동의 받지 않고 처리할 수 있도록 하였다 (개인정보보호법과 일치시킨
셈이다)
5) 노출된 개인정보의 삭제 차단 조치 의무화
웹사이트에서 시험 합격자 명단 등을 공개할 때 관리자의 부주의로 주
민번호와 같은 고유식별정보를 포함시키는 일이 종종 발생하곤 한다
기존 법령에서도 개인정보의 노출을 통제할 책임은 정보처리자에게 부
여하고 있으나 이번 개정안에서는 별도의 조항으로 명시함으로써 책임
성을 부각하고 있다 관련 처벌이 따르지 않아 규범적 조항인 점이 그
나마 다행스럽다
6) 기타 사항
이상 중요한 사항은 짚어 보았고 다른 사항은 대부분 개인정보보호법
과 균형을 맞추기 위한 내용들이다 lsquo개인정보관리책임자rsquo란 용어는
개인정보보호법과 마찬가지로 lsquo개인정보보호책임자rsquo란 용어로 바뀌
었고 처벌 수준에 있어서도 주요 법 위반 시 위반행위에 관련된 이익
의 몰수 추징 조항이 신설되었다 내용의 파급력으로 보자면 충격이
클 수도 있는 제32조 제2항의 징벌적 손해배상도 이미 개인정보보호
법에 들어간 내용이기 때문에 기업 입장에서 새롭게 고민할 사항은
적을 듯하다
전기통신사업자와 정보통신서비스 제공자를 대상으로 하는 정보통신
망법과 일반법으로 적용되는 개인정보보호법은 개인정보보호의 규준
을 이루는 양대 법률이다 기업 입장에선 지나치게 자주 개정되어 정보
보호 업무 부담을 더하는 측면도 있다 하지만 이번 개정안은 두 법의
용어와 조항 처벌 수준 등을 통일함으로써 법 적용을 돕는 긍정적인
면이 훨씬 많을 듯하다 아무쪼록 이번 개정안이 적극 반영되어 사회
전반에서 더욱 안전한 개인정보보호 환경이 갖추어지기를 기대한다
기업에서 대응해야 할 업무 절차
1 전화 권유 판매 시 정보주체 사전 동의 획득 여부 확인
2 사전동의 미 획득 케이스인 경우 개인정보 수집출처 확인
3 개인정보 수집출처가 확인되지 않은 경우 개인정보 이용 중지
4 개인정보 수집출처가 확인된 경우 수집출처를 고객에게 고지하고 전화 권유 판매
기업에서 대응해야 할 업무 절차
1 개인정보의 해외 이전 유형 식별(제공처리위탁보관)
2 이전 유형 중 처리위탁보관의 경우 고지공개 여부 확인
3 이전 유형 중 제공의 경우 동의 여부 확인
4 2 3단계에서 미흡 사항 발견 시 개선 조치
중요도 업무영향도 대응업무부하
처 벌 없음
제32조의3(노출된 개인정보의 삭제middot차단) ① 정보통신서비스 제공자 등은 주민등록번호
계좌정보 신용카드정보 등 이용자의 개인정보가 정보통신망을 통하여 공중에 노출되지 않
도록 하여야 한다
② 정보통신서비스 제공자 등의 고의 또는 중대한 과실로 인하여 개인정보가 분실middot도난middot
유출middot위조middot변조 또는 훼손된 경우로서 이용자에게 손해가 발생한 때에는 법원은 그 손
해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다 다만 정보통신서비스
제공자 등이 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다 lt신설
2016322gt
기업에서 대응해야 할 업무 절차
1 시스템 내 개인정보 노출 현황 파악 (노출정보유형목적노출기간주관부서 등 현황 파악)
2 노출된 고유식별정보 및 금융정보 발견 시 삭제 또는 보호(마스킹 등) 조치
3 1~2의 반복적 이행 가급적 시스템화하는 것이 바람직함
중요도 업무영향도 대응업무부하
처 벌
- 2000만 원 이하의 과태료 공개나 고지 없이 개인정보를 국외에 처리위탁
보관한 경우
- 과징금 부과 정보주체의 동의 없이 개인정보를 국외에 제공한 경우
23
어릴 때부터 각종 디지털 기기의 사용이 능숙한 lsquo디지털 키즈(Digital kids)rsquo인 우리 자녀들을 위한 똑똑한 lsquo디지털 페어런팅(육아법)rsquo을 소개한
다 식당이나 카페에서 어린 자녀에게 스마트폰은 보여주고 있거나 자녀가 어린이날 선물로 스마트폰을 사달라고 조르는 경우 스마트폰 게임
이나 SNS에 빠져 있는 자녀 때문에 걱정인 부모들에게 필요한 자녀의 연령에 맞는 디지털 페어런팅이다 자녀가 성숙한 디지털 기기 사용 습
관을 기를 수 있도록 도와주는 것은 부모가 반드시 해야 하는 역할 중 하나다
몸짓을 이미지로 기억해 엄마의 의도를 파악한다 그다음 좌뇌가 발달하는데 좌뇌가 발달하기 시작하면 언어 발달이 이루어진다 그런데 이 시
기에 과도하게 스마트폰에 노출되면 우뇌가 충분히 발달하지 않은 상태에서 좌뇌가 발달하게 된다
우뇌가 제대로 발달하지 못하면 감정을 담당하는 뇌 발달에 영향을 줄 수 있는데 이는 다른 사람의 마음을 헤아리는 능력 다른 사람과 생각이
나 느낌을 주고 받는 능력 사고력 감정 조절력 부족으로 이어질 수 있다 우는 아이를 달래려고 부모가 편하게 밥을 먹기 위해서 흥미로운
자극을 주고 싶다는 이유로 이 시기 아이에게 건넨 스마트폰은 아이의 뇌에 치명적인 후유증을 남길 수 있음을 기억해야 한다
3~6세 유아기 부모의 통제 하에 사용해야
전문가들은 이 시기 아이에게도 디지털 기기의 사용을 권장하지는 않는다 하지만 현실적으로 쉽지 않다면 차선책을 선택해야 한다 부모가 디
지털 기기의 이용 시간 및 콘텐츠 등에 대해 확실한 기준을 갖고 있어야 한다 lsquo하루 30분 이상 넘기지 않으며 아이가 좋아하는 애니메이션 영상
과 동요 율동 영상만 본다rsquo는 식으로 말이다 아이의 손에 스마트폰을 맡겨버리면 의도하지 않은 영상에까지 노출될 우려가 있으니 주의해야 한다
약속한 시간 외에는 스마트폰을 아이의 손에 닿지 않는 곳에 두는 것이 좋다 이를 위해서는 부모 역시 스마트 기기 사용을 절제할 수 있어야
한다 아이들은 부모를 롤 모델로 삼아 그 태도와 습관을 배우기 때문이다 하지만 이 시기 아이가 스마트폰을 보여 달라고 강하게 떼를 쓰는
등 통제가 되지 않을 때는 당분간 아예 아이에게서 스마트폰을 분리하는 것이 효과적이다 스마트폰이 아닌 다른 방법으로 아이와 시간을 보
내는 법을 고민하는 것은 부모의 몫이다
0~3세 영유아기 스마트폰 잠시 건네는 것도 안 돼
이제 걸음마를 시작할 법한 아이가 스마트폰에 집중해 있는 모습을
본 적이 있을 것이다 우는 아이를 달래기 위해서 식당이나 카페에서
아이를 조용히 앉혀놓을 요량으로 부모는 어린 자녀의 손에 스마트폰
을 쥐여준다 하지만 전문가들은 이 시기의 아이에게 디지털 기기를
노출시키는 건 ldquo안 된다rdquo고 입을 모은다 lsquo영유아 스마트폰 증후군rsquo 등
의 부작용이 우려되기 때문이다
lsquo영유아 스마트폰 증후군rsquo이란 6세 미만의 아이들이 영상 게임 등의
지속적인 자극에 오랜 시간 노출되어 우뇌가 발달해야 하는 시기에
좌뇌가 지나치게 발달해 좌middot우뇌의 균형이 틀어지는 것을 말한다
영아기 아이는 우뇌가 먼저 발달하는데 엄마의 표정 목소리 눈짓
I T amp L I F E
내 아이를 지키는 rsquo디지털 페어런팅rsquo
스티브 잡스가 자녀에게 아이폰 아이패드와 같은 디지털 기기의 사용을 허락하지 않았다는 건 잘 알려진 사실이다 드론을 만드는 3D
로보틱스 CEO 크리스 앤더슨은 아이들이 사용하는 전자 기기의 사용 시간을 제한하고 부모가 통제할 수 있는 장치를 부착했다고 한
다 그는 ldquo테크놀로지의 위험을 잘 알고 있으며 아이들에게 그런 일이 일어나는 것을 원치 않는다rdquo며 그 이유를 설명했다 이들의 자녀
교육법이 전적으로 옳다고 말할 수는 없지만 어릴 때부터 디지털 기기 사용이 너무나 익숙한 우리 자녀들의 모습은 한 번쯤 돌아볼 필
요가 있다
24
6~10세 미만 디지털 기기 사용 가이드라인에 대해 설명해줘야
부모가 디지털 기기 사용 시간 및 사용 및 목록의 한계에 대한 가이드라인을 정하고 이에 대해 아이가 이해할 수 있도록 설명해주는 것이 좋
다 가이드 라인을 정할 때 아이의 생각을 들어보고 반영하는 것도 방법이다 디지털 기기 사용 가이드라인이 지켜질 수 있도록 온 가족이 노력
해야 함은 물론이다 TV를 보고 스마트 기기를 가지고 노는 것 자체가 문제가 될 수도 있지만 이로 인해 친구들과 뛰어놀며 신체활동을 하는
즐거움을 빼앗기지 않도록 하는 것도 중요함을 잊지 말아야 한다
10세 이상의 초등학생 스스로 규칙을 정하고 지킬 수 있도
록 동기 부여
부모들의 고민 중 하나는 lsquo아이에게 스마트폰을 언제 사줄 것인가rsquo다
아이의 하교 후 학원에서 학원으로 이동할 때마다 연락을 주고받기
위해 휴대전화가 필요할 수도 있다 요즘은 초등학교 입학과 함께 스
마트폰을 사주는 가정도 많다 친구들도 다 있다며 사달라고 떼를 쓰
는 아이의 마음도 이해 못 하는 바 아니지만 자녀에게 스마트폰을 사
주는 적당한 시기는 부모가 잘 판단해야 한다 아이가 스마트폰 사용
규칙을 지킬 수 있을 만큼 성숙한 상태여야 한다는 의미다 하고 싶어
도 참을 수 있는 절제력과 충동조절능력 좌절인내력이 바탕이 돼야
만 스스로 규칙을 지킬 수 있다
구글 애플 마이크로소프트 등 글로벌 IT 기업의 자녀들이 많이 다니
는 실리콘밸리에 발도로프 학교에는 컴퓨터가 없다 스크린 보드 빔
프로젝터 등의 멀티미디어 기기도 없으며 연필과 종이 분필 등을 이
용한 아날로그식 수업이 진행된다 이들은 우리나라 나이로 중학교 3
학년이 되는 8학년이 돼서야 컴퓨터를 서서히 배우기 시작한다 학생
들이 학교에 디지털 기기를 가져올 수도 없다 lsquo디지털 세상이 아이를
아프게 한다rsquo의 저자인 신의진 정신과 박사는 ldquo언제 자녀가 스마트폰
을 사용하면 좋냐rdquo는 질문에 ldquo늦을수록 좋다rdquo고 답한다
우리 자녀 세대는 지금 우리보다 훨씬 더 디지털 기기와 가깝게 지낼
것이다 시대가 변하고 있기 때문이다 더 흥미로운 기기들이 쏟아질
것이고 그에 맞는 교육 및 놀이 앱이 넘쳐날 것이다 하지만 시대가
변해도 변하지 않는 것은 존재한다 부모가 자녀와 디지털 생활에 대
해 이야기를 나눌 수 있는 환경은 신뢰를 바탕으로 한 그들의 아날로
그 생활에서의 환경이 조성하는 법이다 가족과 함께 서로의 디지털
생활에 대한 이야기를 나눠보는 시간을 갖는 것은 어떨까
자녀와 함께 TV 컴퓨터 스마트폰 등에 대한 이용 규칙을 정하고 스스로 통제할 수 있도록 동기를 부여해주는 것이 좋다 만약 약속을 어겼을
경우 벌칙도 명확히 해둔다 예를 들어 주말에만 컴퓨터 게임을 하기로 했는데 어겼다면 다음 주말 컴퓨터 이용 시간을 줄이는 식이다 초등학
교 3~4학년만 돼도 아이들은 SNS에 흥미를 느끼기 시작한다 이때 부모는 아이가 어떤 게시물을 올리고 다운로드하는지 관심을 가질 필요가
있다 인터넷상에 올린 글이나 영상은 쉽게 공유될 수 있으며 지우는 것도 쉽지 않다는 점에 대해서도 알려줘야 한다
중middot고등학생 자율성 존중하되 방치해선 안 돼
ldquo스마트폰 그만하고 공부해rdquo와 같은 강압적인 지시는 되레 부작용을 낳을 수 있다 중middot고등학생의 자녀와의 디지털 페어런팅에서 가장 중요한
것은 자율성을 존중하되 방치해서는 안 된다는 점이다 아이가 적당히 조절하며 디지털 기기를 사용하고 있다면 문제 없지만 걱정할 정도로 몰
입돼 있는 상황이라면 가정의 디지털 페어런팅 방식을 다시 점검해봐야 한다 과몰입 상태는 적절한 교육으로 가정에서 바로 잡을 수 있지만 중
독의 수준이라면 상황이 달라진다 이런 경우 아이가 디지털 기기에 빠진 원인을 찾고 이를 해결하기 위해 전문가 상담 및 치료를 받아야 한다
[그림 1] 컴퓨터가 없는 발도로프 학교에 대해 다룬 뉴욕타임즈 기사
(출처 httpwwwnytimescom20111023technologyat-waldorf-school-in-silicon-valley-technology-can-waithtml)
참고 자료
신의진(2013) 디지털 세상이 아이를 아프게 한다 북클라우드
구본권(2014) 당신을 공유하시겠습니까 어크로스
25
보안 통계와 이슈 S T A T I S T I C S
[그림 2]는 2016년 4월 한 달간 유포된 악성코드를 주요 유형별로 집
계한 결과이다 불필요한 프로그램인 PUP(Potentially Unwanted
Program)가 5948로 가장 높은 비중을 차지했고 트로이목마
(Trojan) 계열의 악성코드가 168 웜(Worm)이 347의 비율로
그 뒤를 이었다
지난 4월 한 달간 탐지된 모바일 악성코드는 24만 7847건으로 집계
됐다
안랩 시큐리티대응센터(이하 ASEC)는 최근 ASEC Report Vol76를 통해 지난 2016년 4월의 보안 통계 및 이슈를 전했다 지난 4월
의 주요 보안 이슈를 살펴본다
파일 속성 변경하는 리눅스 악성코드 등장
안랩 4월 악성코드 통계 및 보안 이슈 발표
[그림 1] 악성코드 추이(2016년 2월~2016년 4월)
ASEC이 집계한 바에 따르면 2016년 4월 한 달간 탐지된 악성코드
수는 1156만 4967건으로 나타났다 이는 전월 1321만 2012건에
비해 164만 7045건 감소한 수치다 한편 4월에 수집된 악성코드 샘
플 수는 324만 5837건이다
샘플 수집 수탐지 건수
[그림 2] 2016년 4월 주요 악성코드 유형
Adware DownloaderWormTrojanetcPUP
[그림 3] 모바일 악성코드 추이(2016년 2월 ~ 2016년 4월)
5000000
6000000
10000000
20000000
30000000
40000000
1000000
2000000
3000000
4000000
4월3월2월
11830547 1156496713212012
324
583
7
354
858
1
349
346
8
347
168
1939
5948072
014
100000
200000
300000
500000
600000
700000
400000
0
4월3월2월
247847256512
323301
26
또한 지난 4월 악성코드 유포지로 악용된 도메인은 648개 URL은
2216개로 집계됐다 4월의 악성 도메인 및 URL 차단 건수는 총 637
만 3536건이다
이와 같은 경우 lsquolsattrrsquo 명령을 통해 해당 파일의 속성을 조회하면 [그
림 7]과 같이 lsquoirsquo 속성이 추가되어 있음을 확인할 수 있다
리눅스 악성코드 lsquo빌게이츠 봇넷rsquo 발견
최근 리눅스(Linux) 운영체제에서 감염 시스템의 정보 수집 시스
템 파일 교체 DDoS 공격 등을 수행하는 lsquo빌게이츠 봇넷(BillGates
botnet)rsquo이 발견됐다 해당 악성코드는 감염 시스템 내에서 속성이 변
경되어 삭제가 불가능해 리눅스 사용자들의 피해가 우려된다
빌게이츠 봇넷은 서버에 침입 후 파일의 속성을 변경하여 악성코드를
삭제할 수 없도록 설정한다 리눅스 시스템에서 악성코드 감염에 의
해 파일 속성이 변경된 경우 이를 삭제할 수 있는 방법을 자세히 살
펴보자
먼저 공격자가 파일의 속성을 변경한 후 [그림 5]와 같이 삭제 시도를
하면 lsquo실행이 허가되지 않았다(Operation not permitted)rsquo라는 메시
지가 출력되며 해당 파일이 삭제되지 않는다
이처럼 lsquoirsquo 속성이 추가되어 있는 경우에는 [그림 8]과 같이 루트 권한
으로 lsquochattrrsquo 명령을 통해 해당 파일의 속성을 변경한 후 다시 삭제
를 시도하면 해당 파일이 정상적으로 삭제된다
파일의 속성 추가(chattr)는 lsquo+[추가할 속성]rsquo 제거는 lsquondash[제거할 속성]rsquo
을 통하여 수행할 수 있으며 lsquo-Rrsquo 옵션을 추가로 부여하는 경우에는
하위 디렉터리까지 모두 포함되어 적용된다 이는 윈도우(Windows)
운영체제의 lsquoattirbrsquo 명령과 유사하다
이때 만일 관리자가 파일이 삭제되지 않는 원인을 파일 권한 문제라
고 생각하고 파일 시스템에 기록된 정보를 이용하여 루트 계정 및
inode를 제거하는 방법으로 다시 삭제를 시도하면 마찬가지로 동일
한 메시지가 발생하며 파일이 삭제되지 않는다
이번 리눅스 악성코드 사례와 같이 파일의 속성이 변경되어 삭제가
불가한 경우가 있어 권한 뿐만 아니라 파일 속성에 대해서도 다시 한
번 확인하는 것이 필요하다 단 중요 파일이나 로그 파일 등은 lsquoirsquo나
lsquoarsquo 속성을 적용하는 정상적인 경우도 있다 즉 이러한 속성이 적용되
어 있는 파일이라고 해서 모두 악성 파일은 아니므로 정확히 악성으
로 확인된 파일에 대해서만 삭제를 진행할 것을 권장한다
최근 리눅스 운영체제를 노리는 악성코드가 꾸준히 증가하고 있다
DDoS 공격이나 백도어 등 리눅스 악성코드의 기능도 다양해지고 있
으며 앞으로 더욱 고도화될 것으로 예상된다 리눅스 시스템도 안전
하게 이용하기 위해서는 반드시 암호를 설정해야 하며 최신 보안 업
데이트를 적용해야 한다
V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지하고
있다
ltV3 제품군의 진단명gt
LinuxBackdoor1223123B
[그림 5] RM 명령어를 통한 삭제 시도
[그림 6] INODE 제거를 통한 삭제 시도
[그림 4] 악성코드 유포 도메인URL 탐지 및 차단 건수(2016년 2월 ~ 2016년 4월)
악성 도메인URL 차단 건수 악성코드 유포 URL 수악성코드 유포 도메인 수
10000
20000
30000
8000000
9000000
40000
7000000
6000000
5000000
4000000
04월
221681467900
6481587936
3월2월
6373536
7157616
6355582
[그림 7] 파일 속성 조회
[표 1] 리눅스 파일 속성 및 lsquoCHATTRrsquo 명령어 예시
[그림 8] 파일 속성 변경 후 제거 시도
[명령어 예시 (i S 속성 추가)]
chattr + iS samples
[파일 속성명 중 일부] [설명]
a (CAP LINUX IMMUTABLE capability) 추가 작성만 가능 삭제 불가
I (CAP LINUX IMMUTABLE capability) 삭제 변경 링크 파일 생성 등
S 파일이 변경되면 디스크 동기화
u 파일 삭제 시 내용 백업
2727
A H N L A B N E W S
현대자동차 그룹 IT서비스 전문업체인 현대오토에버가 최근 lsquo5스타
우수 개발협력사rsquo로 안랩을 선정했다
lsquo현대오토에버 우수 개발협력사rsquo는 현대오토에버가 협력사와 공동
으로 수행한 전년도 사업의 수행 실적에 따라 1스타부터 5스타까지
우수협력사를 선정하고 이에 따른 다양한 인센티브를 제공하는 프
로그램이다
안랩은 현대오토에버의 개발컨설팅 협력사로서 프로젝트 평가 및
업체 종합 평가 등에서 안정적이고 우수한 프로젝트 성과를 인정받
아 최고 등급인 lsquo5스타rsquo 우수 개발협력사로 선정됐다 안랩 서비스
사업부를 총괄하는 방인구 상무는 ldquo안랩은 핵심가치인 lsquo고객만족rsquo을
기준으로 맡은 사업에 대해 언제나 최선을 다하고 있다rdquo며 ldquo안랩을
신뢰해주시는 여러 회사와 함께 동반성장할 수 있도록 노력하겠다rdquo
고 말했다
안랩이 지난달 17일 코엑스 컨벤션센터에서 열린 lsquo아마존 웹 서비
스 글로벌 서밋 서울 2016(이하 AWS 서밋 서울 2016)rsquo에서 다양
한 산업 관계자를 대상으로 lsquo안랩 AWS 고객 원격 보안관제 서비스rsquo
를 소개했다
AWS 서밋 서울 2016은 아마존 웹 서비스가 제공하는 클라우드 컴
퓨팅 서비스에 대한 지식을 공유하고 IT 업계의 최신 기술 트렌드 등
을 소개하는 행사로 지난해 첫 국내 개최에 이어 두 번째로 열렸다
이번 행사에 참가한 안랩은 전용 부스를 운영하며 lsquo안랩 AWS 고객
원격 보안관제 서비스rsquo에 대한 개별 고객 상담 및 서비스 체험 신청
등을 진행했다 안랩 AWS 고객 원격 보안관제 서비스는 네트워크
및 웹 서비스 등에 대한 보안을 안랩의 침해대응(CERT) 전문인력이
원격으로 모니터링 및 관리해주는 서비스다
또한 별도 발표장에서 진행된 미니 발표 세션에서 안랩 서비스상
품기획팀 김준호 대리는 안랩 AWS 고객 원격 보안관제 서비스의
개요 및 구성을 비롯하여 탐지를 넘어 위협 분석까지 제공하는
침해사고 대응 프로세스 미디어사 O2O(Online to Offline 온오
프라인 연결) 서비스 제조 분야의 실제 고객 사례를 통한 다양한
산업별 서비스 적용 방안 등 lsquo안랩 AWS 고객 원격 보안관제 서비
스rsquo의 개념과 강점을 소개했다
안랩 김준호 대리는 ldquo안랩은 lsquoAWS 고객 원격 보안관제 서비스rsquo를
지난 1월 출시한 이후 약 4개월 여 만에 이미 복수의 대형 고객사
를 확보하는 등 검증된 서비스를 제공하고 있다rdquo며 ldquo이는 많은 고객
사에서 단순 탐지를 넘어 위협 분석 및 대응까지 가능한 안랩의 전
문성을 인정한 것으로 볼 수 있다rdquo고 강조했다
현대오토에버
lsquo우수 개발협력사rsquo로 안랩 선정
안랩 lsquoAWS 서밋 서울 2016rsquo에서
클라우드 보안관제 서비스 소개
안랩은 AWS 서밋 서울 2016 행사에서 전용 부스와 발표 세션을 통해 안랩 AWS 고객 원격 보안관제 서비스를 소개했다
발행인 권치중
발행처 주식회사 안랩
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
편집인 안랩 콘텐츠기획팀
디자인 안랩 디자인팀
copy 2016 AhnLab Inc All rights reserved
본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제 복사 검색 시스템
으로 저장 또는 전송될 수 없습니다 안랩 안랩 로고는 안랩의 등록상표입
니다 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상
표일 수 있습니다 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
copy 2016 AhnLab Inc All rights reserved
httpwwwahnlabcom
httpblogahnlabcom
httptwittercomahnlab_man
12
김창희 팀장과 한태수 실장(왼쪽부터)은 각각 유통 분야와 건설 분야의 보안 위협 요인과 대응 방안에 대해 공유했다
정청환 실장은 안랩의 제품 개발부터 관리까지 전 과정에 대한 안랩의 독자적인 보안 체계를 소개해 참석자들의 이목을 집중시켰다
유통 분야를 위한 ISF 스퀘어 2016에서는 최근 또다시 화두가 되고 있는 POS 시스템 보안 위협에 대한 상세한 정보가 공유됐다 김창희 안랩
제품기획팀 팀장은 ldquoPOS 및 단말 보안을 위한 효과적인 대응 방안rdquo이라는 주제 발표를 통해 수많은 고객의 신용카드 정보 등 민감한 정보를
다루는 POS 단말기가 해킹되면 실생활에 직결되는 사회적 경제적으로 치명적인 위험이 될 것이라고 단언했다 그러나 POS 시스템 등 산업
용 단말에는 일반적인 보안 정책이나 솔루션을 적용하는 것은 현실적이지 않다rdquo고 지적하고 ldquo안정적인 비즈니스 운영을 위해 안랩 EPS와 같은
전용 보안 솔루션을 도입하는 것이 바람직하다고 조언했다
한태수 안랩 매니지먼트개발 실장의 ldquo사물인터넷(IoT) 보안 위협과 대응 방안rdquo에 대한 발표는 특히 건설 분야 CISO의 눈과 귀를 사로잡았다
한태수 실장은 ldquo사물인터넷은 스마트가전 스마트헬스 특히 스마트홈 등 통신과 건설 분야에서 더욱 중요한 요소로 부각되고 있다rdquo며 ldquo이제
관련 산업 분야에서는 서비스 준비 단계에서부터 IoT 관련 개방형 표준에 근거한 정보보호 프라이버시 보호에 대해 필수적으로 고민해야만
한다rdquo고 강조했다 또한 ldquo설계도면이나 기술 정보 등 중요 정보가 많은 건설사의 특성상 지능형 보안 위협에 노출되면 피해가 커질 수 있다rdquo고
지적한 뒤 ldquo안랩은 이미 스마트홈 등과 관련해 실제 발생할 수 있는 다양한 공격 시나리오를 연구해왔으며 이에 대한 전방위적인 대응 방안을
마련하고 있다rdquo고 말했다
안랩은 금융 분야부터 유통 건설 그리고 공공 분야까지 각 산업 분야의 주요 보안 위협과 관련해 최적의 보안 솔루션을 제공하고 있다 안랩
의 다양한 솔루션의 근간에는 원천 기술을 보유한 RampD 센터와 인프라가 있다 이와 관련해 정청환 안랩 엔드포인트개발 실장은 그동안 많은
고객들이 궁금해했던 안랩의 보안 제품 개발과 개발 인프라 보안 관리 체계를 소개했다 정청환 실장은 특히 보안 업체 자체를 노리는 공격이
종종 등장하는 것과 관련해 안랩의 대비책은 물론 제품 개발부터 관리까지 무결성을 보장하기 위한 안랩의 자체적인 보안 체계를 상세하게
설명해 참석자들의 큰 호응을 얻었다
백민경 안랩 제품기획팀 차장은 은행 증권사 카드사 등 금융기관이 직면한 위기로 lsquo이용자 PC를 노리는 전자금융사기rsquo를 꼽았다 백민경 차장
은 실제 금융기관 보안 침해 사례를 통해 파밍 다이어 악성코드 공유기 공격 메모리 해킹 등 전자금융사기 기법을 설명하고 모바일과 온라
인으로 금융 서비스를 이용하는 비율이 증가하는 자율 금융 시대를 맞아 명확한 위험요소를 파악하고 그에 따른 적절한 솔루션 도입 등 이용
자 보호와 금융 시스템 보안을 위한 철저한 철학을 갖추는 것이 필요하다고 강조했다
13
세션 발표 후 진행된 라운드 테이블 프로그램을 통해 안랩의 권치중 대표 강석균 전무 배민 상무 방인구 상무가 고객사 CISO와 자유롭고 다양한 논의를 이어나갔다
안랩은 오는 6월 8일 서울 양재동 엘타워에서 공공 및 교육기관의 보안책임자를 대상으로 ISF 스퀘어 2016을 이어나갈 예정이다 또한 안랩은
서울에서 진행되는 행사에 참석하기 어려운 각 지역의 고객사를 위해 lsquo파트너와 함께 찾아가는 고객 세미나rsquo도 동시에 진행하고 있다 지난 5
월 24일 전주 지역에 이어 오는 6월 16일에는 대구 21일에는 대전에서 고객사의 보안책임자를 초청해 최신 보안 위협 동향과 대응 방안을 공
유할 예정이다
고객의 생생한 목소리를 듣다
여타 보안 세미나와 안랩 ISF 스퀘어의 가장 큰 차별점은 제품 기획자부터 제품 개발 책임자 그리고 대표이사에 이르기까지 한 자리에서 고객
과 직접 소통한다는 점이다 이번 ISF 스퀘어 2016에서도 안랩 EP사업부문 총괄인 강석균 전무 EP영업본부 총괄 배민 상무 서비스사업부 총
괄 방인구 상무 등이 총출동해 고객의 고민을 듣고 의견을 나눴다
14
CryptXXX RansomwareT H R E A T A N A L Y S I S
최근 lsquo크립트엑스엑스엑스 랜섬웨어rsquo가 대량 유포되면서 피해 사례가 늘어나고 있다 크립트엑스엑스엑스의 특징은 기존 랜섬웨어와
달리 실행 파일(EXE) 형태가 아닌 동적 링크 라이브러리(DLL) 형태로 유포되고 있다는 점이다 DLL 형태로의 유포는 정상적인 프로
세스와 함께 동작하는 구조여서 감염 사실을 알아차리기조차 어렵다
월간 lsquo안rsquo에서는 1부와 2부에 걸쳐 크립트엑스엑스엑스의 동작 방식과 주요 기능 암호화 방식 복구 툴 등 자세한 내용을 소개한다
lt연재 목차gt
1부_ DLL 이용한 CryptXXX 랜섬웨어 분석 완료
2부_ CryptXXX 암호화 비밀과 복구 툴 공개
DLL 이용한 CryptXXX 랜섬웨어 분석 완료
CryptXXX 랜섬웨어 분석 보고서_1부
크립트엑스엑스엑스 랜섬웨어(진단명 TrojanWin32CryptXXX
이하 크립트엑스엑스엑스)는 컴퓨터에 있는 파일을 암호화한 뒤
lsquocryptrsquo 확장자로 변경하여 사용자에게 비트코인을 요구하는 랜섬웨
어다 [그림 1]은 크립트엑스엑스엑스의 동작 방식이다
크립트엑스엑스엑스의 경우 다른 랜섬웨어와의 차이점은 DLL(동
적 링크 라이브러리 Dynamic Linking Library)로 동작한다는 점이
다 크립트엑스엑스엑스는 정상 rundll32exe를 악성 DLL이 있는 경
로에 svchostexe로 이름을 바꾸어 복사한 뒤 악성 DLL의 내보내기
(Export) 함수를 인자값으로 호출하여 동작한다
이 악성코드는 피해자의 컴퓨터를 감염시킬 때 lsquoRecovery_사용자
IDtxtrsquo lsquoRecovery_사용자IDhtmlrsquo lsquoRecovery_사용자IDbmprsquo 형
식의 파일을 생성하며 내용은 [그림 3] [그림 4]와 같다
[그림 1] 크립트엑스엑스엑스 동작 방식
[그림 3] 크립트엑스엑스엑스 결제 안내 페이지
[그림 2] svchostexe(정상 rundll32exe)로 로드되어 동작하는 악성 DLL
15
CampC 통신
크립트엑스엑스엑스는 파일을 암호화하기 전 CampC에 악성코드가 생
성한 사용자 ID를 전송한다
암호화된 환경
크립트엑스엑스엑스는 암호화가 완료된 파일의 수정한 날짜와 시간
정보를 백업된 원본의 수정한 날짜로 변경한다
[그림 4] 크립트엑스엑스엑스 결제 안내 텍스트
[표 1] 자동 실행 등록을 위한 바로가기 링크 파일 생성
[표 3] 암호화 대상 확장자
[표 4] 암호화 제외 대상 경로
[표 2] 암호화 대상 드라이브
[그림 5] 자동 실행 등록 정보
[그림 6] CampC 통신 패킷 정보
크립트엑스엑스엑스 주요 기능
자동 실행 등록
크립트엑스엑스엑스는 [표 1]과 같이 시작프로그램에 바로가기 링크
파일을 생성한다 [그림 5]에서 알 수 있듯이 해당 링크 파일에 의해
실행되는 파일은 크립트엑스엑스엑스이며 lsquoMS114rsquo라는 이름의 함수
를 호출하는 기능을 한다
자동 실행 등록
파일
CDocuments and Settings프로그램시작프로그램[사용자ID]lnk
암호화 대상 드라이브
고정식 드라이브 이동식 드라이브 네트워크 드라이브
악성 DLL 내부에 암호화된 CampC는 2개이며 첫 번째 IP에 접속이 되
지 않았을 경우 두 번째 IP로 연결된다
- 1447821443
- 9311876443
CampC 접속 여부와 관계없이 패킷을 전송한 후에는 파일 암호화가 진
행된다
파일 암호화 대상
분석된 크립트엑스엑스엑스로부터 확인된 암호화 대상은 [표 2]와 같다
Z 부터 A 까지 마운트된 모든 드라이브 중 다음의 암호화 대상 드
라이브만 감염이 진행된다
암호화 대상 확장자
3DM 3DS AES APK APP ARC ASC ASM ASP ASPX BRD BZ2 C
CER CFG CFM CGI CGM CMD CPP CRT CSR CSS CSV CUE DB
DBF DCH DCU DIF DIP DJV DJVU DOC DOCB DOCM DOCX DOT DOTM
DOTX DTD DWG DXF EML EPS FDB FLA FRM GBK GBR GED GPG
GPX H HTM HTML HWP IBD INDD JAR JAVA JKS JSP KEY KML
KMZ LAY LAY6 LDF LUA M MAX MDB MDF MFD MML H MS11
MSI MYD MYI NEF NOTE OBJ ODB ODG ODP ODS ODT OTG OTP
OTS OTT P12 PAQ PAS PCT PDB PDF PEM PHP PIF POT POTM
POTX PPAM PPS PPSM PPSX PPT PPTM PPTX PRF PRIV PSD RAR RAW
RSS RTF SCH SDF SITX SLDX SLK SLN SQL STC STD STI STW
SVG SWF SXC SXD SXI SXM SXW TAR TBK TEX TGZ TLB TXT
UOP UOT VB VBS VCF VDI VMDK VMX WKS WPD WPS WSF XLC
XLM XLR XLS XLSB XLSM XLSX XLT XLTM XLTX XLW XML ZIP ZIPX
ACCDB CLASS GADGET IBOOKS PAGES PLUGIN PRIVATE
QCOW2 SQLITE3 SQLITEDB VCXPROJ XCODEPROJ XHTML
암호화 대상 확장자
폴더
WINDOWS BOOT EFI CONFIGMSI
WINNT RECOVERY PROGRA^1 GOOGLE
RECYCLER$RECYCLE
BINPROGRA^2 TEMP
SYSTEM^1 PERFLOGS
16
[그림 7] 암호화 된 파일의 파일의 시간 정보 변경 코드
[그림 8] 암호화된 파일의 시간 정보 변경 전(왼쪽) 및 변경 후(오른쪽)
[그림 13] 암호화 완료 후 화면
[그림 12] 결제 안내 파일의 시간 정보 변경 전(좌) 및 변경 후(우)
[그림 9] 암호화 후 확장자 변경
[그림 11] 결제 안내 파일의 시간 정보 변경 코드
[그림 10] 암호화된 파일과 생성된 결제 안내 파일(BMP HTML TXT)
[그림 7]에서 붉은색 박스로 표현한 부분의 데이터(A4 80 BC 4B 36
B0 D1 01)는 SetFileTime API를 사용하여 백업된 원본의 수정한 날
짜로 변경된다
생성한 결제 안내 파일의 시간 정보를 [그림 12]와 같이 변경한다 암
호화가 완료되면 [그림 13]과 같은 화면을 띄우고 스크린이 잠기게
하여 사용자가 어떠한 동작도 할 수 없게 한다
이때 시간 정보가 변경된 파일은 MoveFileW API를 사용하여 [원본
파일명]crypt로 확장자가 변경된다
크립트엑스엑스엑스는 일반적으로 웹사이트 다운로드 등으로 유포되
는 경우가 많다 따라서 사용자는 출처를 알 수 없는 메일에 첨부된 파
일의 실행이나 불필요한 사이트 접근을 삼가는 등의 주의가 필요하다
해당 악성코드 감염을 막기 위해서는 항상 윈도우 보안 패치 및 V3
백신 프로그램을 최신 업데이트 상태로 유지하는 것이 필요하다
안랩은 원본 파일을 복구하는 툴을 랜섬웨어 보안센터를 통해 무료로
제공하고 있다
안랩 랜섬웨어 보안센터 바로가기
그리고 암호화된 파일이 있는 경로마다 결제 안내 파일들을 생성한다
앞서 언급했듯이 SetFileTime API를 이용하여 [그림 11]에 있는 붉은
색 박스에 있는 데이터(00 00 00 00 71 37 00 00)는 1601년 3월 12
일 월요일 10시 17분 27초로 변경된다
17
CryptXXX RansomwareT H R E A T A N A L Y S I S
크립트엑스엑스엑스(CryptXXX) 랜섬웨어는 정상 파일을 암호화한 후 lsquocryptrsquo 확장자로 변경하여 사용자에게 비트코인을 요구하는
랜섬웨어다 이 랜섬웨어는 현재까지 버전 1x 2x 3x 세 가지 형태가 알려져 있다 안랩은 현재 크립트엑스엑스엑스 2x 버전에 의
해 암호화된 파일에 대한 복구 툴을 제공하고 있다 특히 국내 사용자들이 많이 사용하고 있으나 기존 복구 툴이 지원하지 않는 한글
파일(HWP)의 복구도 가능하다는 점이 주목할만하다
월간 lsquo안rsquo에서는 1부와 2부에 걸쳐 크립트엑스엑스엑스의 동작 방식과 주요 기능 암호화 방식 복구 툴 등 자세한 내용을 소개한다
lt연재 목차gt
1부_ DLL 이용한 CryptXXX 랜섬웨어 분석 완료
2부_ CryptXXX 암호화 비밀과 복구 툴 공개
CryptXXX 암호화 비밀과 복구 툴 공개
CryptXXX 랜섬웨어 분석 보고서_2부
1 암호화 방식
[그림 1]은 크립트엑스엑스엑스에 의해 암호화된 lsquoPhotojpgrsquo 파일을
나타낸다 암호화는 고정 크기(0x1FFF)의 블록 단위로 순차적으로 이
뤄지며 암호화 최대 크기는 0xD012FE(대략 13M)로 이후의 데이터
는 원본과 동일하다
암호화된 파일은 원본 파일과 비교하여 260(=0x104)바이트가 증가
한 형태이며 이는 파일 끝부분에 삽입된 키 테이블(Key Table) 정보
로 인한 것이다([그림 1]에서 붉은색 블록 참고) 이 키 테이블 정보
는 블록 단위의 암호를 복호화하는 데 핵심이 되는 데이터로 공개키
를 통해 암호화되어 저장된다 즉 구조적으로는 해당 공개키에 매칭
되는 개인키 정보 없이는 해당 키 테이블 정보를 복호화할 수 없고
파일 복구가 불가능하다 하지만 해당 키 테이블 정보는 개인키 없이
도 원본 파일 시작 부분의 일부 데이터(예를 들면 파일 포맷별 Magic
정보)를 통해 파일의 형태를 확인할 수 있으며 그것을 토대로 유추할
수 있는 키 값으로 복구가 가능하다
2 Key Table 생성 방식과 취약성
[그림 2]는 파일 끝에 삽입된 0x104바이트 크기의 키 테이블이 생성
되는 과정을 나타낸다 이 그림에서 노란색 부분이 공개키로 암호화
된 KeyTable_A[0x40]이며 CryptEncrypt() API를 통해 공개키로 암
호화 시 원본 0x40바이트 크기의 데이터가 최종 0x80바이트 크기로
증가된다
[그림 1] 크립트엑스엑스엑스 암호화 방식
[그림 2] 키 테이블 생성 과정
18
[그림 2]에서 언급된 암호화에 사용되는 핵심 정보 3가지는 lsquo4바이
트 SEED 값rsquo lsquoKeyTable_A[0x40]rsquo lsquoKeyTable_B[0x100]rsquo이며 최초
4바이트 크기의 SEED 값으로부터 이후 정보들이 순차적으로 만들
어지는 구조를 갖는다 키 생성 과정의 최상위에 위치하는 SEED 값
은 감염 시점의 시스템 시간(SystemTime) 정보 중에서 시(wHour)
분(wMinute) 초(Second) 밀리초(Millisecond)를 이용하여 얻어지
며 이 SEED 값으로부터 0x40바이트 크기의 KeyTable_A[0x40] 데
이터가 생성된다 바로 이 부분에서 제작자가 의도하지 않은 취약성
이 존재하며 SEED 값이 동일하면 매번 동일한 KeyTable_A[0x40]
가 생성되는 구조를 갖는다 최종 블록 단위의 암호화에 사용되는
KeyTable_B[0x100]의 데이터와 원본 파일로부터 읽은 블록과의
XOR(배타적 논리합)을 통해 암호화가 수행된다
즉 SEED 값이 동일하면 매번 생성되는 최종 키 테이블 정보가 동일
한 점과 암호화 방식이 XOR이라는 2가지 포인트를 바탕으로 복구 대
상 파일의 Magic 정보가 존재한다면 역으로 키를 유추할 수 있는 구
조다 [그림 3]은 SEED 값이 0x02978CAC일 때 생성되는 키 테이블
A B의 예를 나타낸다
3 키 테이블 생성 함수
크립트엑스엑스엑스 랜섬웨어에서 파일 암호화 시 사용되는 핵심 정
보 3가지의 생성 함수는 다음과 같다
(1) SEED 값 생성
[그림 4]는 SystemTime 정보를 통해 4바이트 크기의 SEED 값을 생
성하는 함수를 나타낸다
KeyTable_A[0x40] 데이터가 생성되는 방식은 다음의 2가지 기본 테
이블 중 델파이 랜덤(Delphi Random) 함수를 통해 얻은 랜덤값을
바탕으로 하나의 값이 선택되어 구성되는 구조를 갖는다
(1) QWERTYUIOPASDFGHJKLZXCVBNMltgt$^amp()_+~|
(2) qwertyuiop[]asdfghjklzxcvbnm`1234567890-=
크립트엑스엑스엑스는 총 2번의 델파이 랜덤 함수를 사용하여 아래
의 Index(A)와 Index(B)를 얻게 된다 이때 Index(A)는 위 기본 테이
블 중 하나를 선택하기 위한 목적으로 Index(B)는 선택된 테이블의
데이터 중 하나를 선택하기 위한 목적으로 사용된다
Index(A) DelphiRandom(3) - 0 ~ 2 범위의 랜덤 값 생성(0 2인 경우 -gt
(1)번 1인 경우 -gt (2))
Index(B) DelphiRandom(44) - 0 ~ 43 범위의 랜덤 값 생성
예를 들어 Index(A) == 0이고 Index(B) == 3이면 lsquoRrsquo 문자열이 선택
된다
(2) 키 테이블(A) 생성
[그림 5]는 SEED 값을 바탕으로 0x40바이트 크기의 키 테이블을 생
성하는 함수이며 do-while 문을 통해 생성되는 0x40바이트 크기의
데이터가 SEED 값이 동일하면 동일한 형태로 생성되는 취약성이 존
재하는 부분이다
(3) 키 테이블(B) 생성
[그림 6]은 키 테이블(A)로부터 0x100바이트 크기의 최종 키 테이블
(B)가 생성되는 함수를 나타낸다 이 키 테이블 정보는 1바이트 단위
의 블록 단위의 암호화 시 XOR 키 값으로 사용된다
[그림 3] 키 테이블 A B 예제
[그림 4] SEED 값 생성 함수
[그림 5] 키 테이블(A) 생성 함수
19
[그림 6] 키 테이블(B) 생성 함수
[그림 7] 크립트엑스엑스엑스 복구 과정
4 복구 방식
시 분 초 밀리초 정보를 통해 계산되는 SEED 값의 범위는 다음과
같다
- 최소값 0000000000 -gt 0 최대값 235959999 -gt 0x5265bff
사용자마다 그리고 암호화된 파일마다 서로 다른 SEED 값을 유추하
기 위해 0 ~ 0x5265bff 범위의 SEED를 순차적으로 선택하며 이를
바탕으로 암호화에 사용된 키 테이블을 생성하거나 복호화를 시도
한다 첫 번째 블록에 대한 복호화를 통해 파일의 고유한 식별 정보
(Magic)가 확인되면 유효한 SEED 값으로 판단하고 전체 파일에 대
한 블록 단위의 복구를 시도한다 우선 첫 번째 파일이 복구에 성공하
면 두 번째 파일부터는 SEED의 범위를 제한하여 좀 더 빠른 복구가
가능하도록 했다 이러한 설정은 복구 대상 파일들이 동일 시간대에
감염된 형태가 대부분일 것으로 가정하여 이루어진 것으로 복구 대
상 파일들이 서로 다른 시스템에서 다른 시간대에 수집된 형태의 경
우 복구 시간이 더 오래 걸리는 특징을 갖는다
5 복구 대상 리스트
복구 툴을 통해 복구 가능한 크립트엑스엑스엑스 버전은 2x로 제한
적이며 우선 다음의 확장자들에 대한 복구가 가능하도록 제작되었
다 특히 국내 사용자들이 많이 사용하고 있으나 기존 복구 툴이 지
원하지 않는 한글 파일(HWP)의 복구가 가능하다 이 외에도 원본 파
일의 고유한 식별 정보만 알 수 있다면 복구가 가능한 구조이기 때문
에 추후 복구 대상으로 추가될 수 있다
CHM AI HWP PDB PDF RTF HTM HTML PHP XML DWG PS
WSF KEY CSR CRT WAV MP3 OGG WMA WMV AVI ASF MP4
MOV MID MPG FLV PNG GIF BMP TIF JPG JPEG ZIP RAR BZ2
7Z GZ JAR APK TGZ ODS DOC DOT PPT POT PPS XLS XLT
DOCX DOCM DOTX DOTM PPTX PPTM POTM POTX PPSM
XLSX XLSB XLSM XLTM XLTX EPS ISO SQLITE3 MDB MSI APP
FDB ACCDB SLN CLASS VCXPROJ
6 복구 툴 경로
안랩은 크립트엑스엑스엑스 랜섬웨어 2x 버전에 대한 복구 툴을 랜
섬웨어 보안센터를 통해 무료로 제공하고 있다
안랩 랜섬웨어 보안센터 바로가기
[그림 7]은 크립트엑스엑스엑스 복구 툴에서 파일 복구를 위해 이루
어지는 과정을 나타낸 것이다 구조상 첫 번째 파일을 복구하는 데 오
랜 시간이 소요되며 이후 파일부터는 빠르게 복구가 가능하다
20
F O C U S I N - D E P T H Compliance
20
1 개인정보보호법
1) 정보주체 이외로부터 수집한 개인정보의 수집 출처 고지 의무화
ldquo따르릉~ 여보세요 홍길동 고객님이시죠 여기는 보험사인데
요~ 알지도 못하는 보험사로부터 이런 전화를 받아 본 경험이 혹시
있었는지 모르겠다 어디서 내 전화번호를 입수한 것인지 물어보면 정
확히 대답하지 않거나 얼버무리는 경우도 많다 개정안이 시행되는 9
월 30일부터 이런 식의 연락은 더 이상 받지 않게 될 것 같다 일정 규
모 이상이 되는 기업(5만 명 이상의 민감 정보 또는 고유식별정보 처
리 100만 명 이상의 개인정보처리)이 정보주체로부터 직접 수집하지
않고 개인정보를 처리할 때는 반드시 ①정보수집출처 ②개인정보처리
목적 ③개인정보 처리정지 요구권이 있다는 사실을 최초 수집 후 3개
월 이내에 정보주체에게 고지해야만 하기 때문이다 불법으로 입수한
개인정보라면 애초에 고지도 못할 테지만 적법하게 제공받은 경우라
하더라도 고객에게 일일이 고지하기란 큰 부담이 될 것이다 고객이 제
3자 제공 동의를 해서 개인정보를 제공했다는 사실을 증명하라고 요구
하면 그 또한 큰일이다 필자 견해로는 이 개정안에 대한 대응이 본 기
사를 통틀어 제일 큰일일 듯 싶다
2) 민감정보의 안전성 확보조치 명시적 요구
민감정보란 개인의 사상middot신념 노동조합middot정당의 가입middot탈퇴 정치
적 견해 건강 유전 정보나 범죄 경력처럼 사생활을 현저히 침해할
우려가 있는 정보를 말한다 기존에도 고유식별 정보와 더불어 수집
이용하지 않는 것이 원칙이고 별도의 동의를 얻어 처리해야 하며 안
전성확보 조치를 통해 보호해야 할 대상이었다 이번 개정안에서는
민감정보에 대한 안전성 확보 조치를 명시적으로 요구하고 있을 뿐
기업 입장에서 달리 조치해야 할 사항은 없어 보인다 (기존 법에 따
라 잘 조치하고 있었을 경우에는 그렇다는 뜻이다)
3) 개인정보처리방침과 개인정보취급방침 구성 요건 동기화
개인정보보호법의 lsquo개인정보처리방침rsquo은 정보통신망법(이후 lsquo정통망
법rsquo)의 lsquo개인정보취급방침rsquo과 이름도 다르고 구성 요건에도 약간의 차
이가 있었다 이번 개정안에서는 방침 구성 내용에 정통망법 일부 사
꼭 챙겨야 할 개인정보보호 법령
지난 3월 8일 발간된 월간 lsquo안rsquo 2016년 3월호에 lsquo2016년에 챙겨봐야 할 개인정보보호 법령 5가지rsquo란 제목으로 개인정보보호 법령에 대
해 소개한 바 있다 이후 3월 22일과 29일에 정보통신망법과 개인정보보호법이 또 개정되어 2016년에 챙겨야 할 법령이 더 늘어났다
이번 호에서는 두 가지 법의 개정사항의 중요도를 별점으로 매겨가며 정리하고자 한다 단 중요도의 기준은 필자의 주관에 따른 것이므
로 참고만 하는 것이 좋겠다 개정된 내용 중 기업과 관련이 적은 사항은 따로 적지 않았다
별점으로 살펴본
lsquo개정rsquo 개인정보보호 관련 법령
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
중요도 업무영향도 대응업무부하
처 벌
- 미이행 시 3000만 원 이하의 과태료
- 미이행 상태에서 유출 사고 발생 시 2년 이하의 징역 또는 2000만 원 이하
의 벌금
중요도 업무영향도 대응업무부하
처 벌 해당 없음
기업에서 대응해야 할 업무 절차
1 법 시행 시점 이후 수집 보유 중인 개인정보 중 정보주체에게 직접 입수한 것이 아닌
개인정보 식별(정보주체 외 입수 경로 제3자 제공 동의 여부 확인)
2 1에서 식별된 개인정보 중 연락처가 있는 개인정보 식별
3 2에서 식별된 정보주체에게 개인정보 수집 및 이용 사실 고지(파기요청 수집)
구체적인 고지 시기 방법은 시행령이 나와야 알 수 있음
4 3의 절차에서 파기 요청 시 파기 시행
기업에서 대응해야 할 업무 절차
1 보유 중인 개인정보 중 민감정보 식별
2 1에서 식별된 민감정보에 대한 안전성 확보 조치 수준 점검
3 2절차에서 법 기준에 미흡한 경우 보완 조치 이행
2121
항을 반영하여 유사한 구조를 갖추도록 했으며 정통망법 또한 lsquo개인
정보처리방침rsquo으로 명칭을 변경함으로써 개인정보보호법과 일원화할
수 있게 되었다 개인정보보호법 개인정보처리방침에 추가된 사항은
다음과 같다
2 정보통신망 이용촉진 및 정보보호 등에 관한 법(이하 lsquo정
통망법)
1) 정보주체의 이동통신 단말장치 내 정보 및 기능에 대한 접근 시 동
의절차 의무화
스마트폰 메신저 앱을 생각해 보자 메신저 앱의 핵심적인 기능은 다
른 사람과 메시지를 주고받는 것이다 메신저를 편히 쓰려면 연락처
를 일일이 입력하기보다는 스마트폰에 있는 연락처 정보를 이용하는
게 필요할텐데 개정된 법은 그렇게 메신저 앱이 서비스를 이용하기
위해 스마트폰에 저장된 정보에 접근할 경우에 반드시 정보주체의 동
의를 받아야 한다는 것이다
핵심 서비스를 위해 필요한 정보나 접근권한에도 동의를 받으라고 하
는 상황인데 그 외의 목적이라면 당연히 동의를 요구할 수밖에 없다
이 경우에는 사용자가 동의를 거부할 권한이 있고 동의를 안했다고
해서 기업이 서비스 제공을 거부할 수 없도록 하고 있다(거부하면 과
태료 처벌을 받을 수 있다)
이 법의 요구사항은 흔히 알고 있는 개인정보 수집이용 동의와 개념
이 다르기 때문에 기업에서도 상당한 고민과 부담이 있을 것으로 예
상된다 (예를 들면 휴대전화에 저장된 연락처는 휴대전화 주인의 개
인정보가 아니므로 정보주체의 개인정보 수집이용 동의로 대체할 수
없다) 휴대전화 기능에 대한 접근권한 역시 개인정보 수집이용 동의
와는 다른 사항이므로 동의 절차를 새롭게 설정해야 할 가능성이 높
다 이런 동의와 철회 방법에 대한 구현 책임은 이동통신단말장치 소
프트웨어 제조업자와 공급자에게 부과하고 있으며 위반 시 과태료 처
벌을 할 수 있도록 되어 있다
2) 개인정보 처리업무 수탁자가 재위탁할 경우 원 위탁자의 동의를 받
는 경우에만 가능함
이번 정통망법 개정안에서는 개인정보 처리 위탁 관련 조항이 특히
많이 수정되었다 대부분 용어가 lsquo취급rsquo에서 lsquo처리rsquo로 바뀐 사항이 많
고 일부 조항은 개인정보보호법과 동일한 수준으로 바뀌었다 예컨대
수탁자에 대한 관리 감독 책임에 lsquo교육rsquo을 별도로 명시한다거나 수탁
자에게 위탁을 할 경우에는 문서에 의하여야 한다는 내용들이 그러하
다 개인정보보호법보다 조금 엄격하게 느껴질 만한 것은 제25조 7
항으로 수탁자의 재위탁은 위탁자로부터 동의를 받은 경우에 한한다
는 내용이다 (개인정보보호법은 시행령 제28조에서 lsquo재위탁 제한에
관한 사항rsquo을 위탁 시 작성해야 할 문서에 기재하도록 하고 있다)
3) 전화 권유 판매 시 개인정보 수집출처 고지 의무 부과
정통망법에 따르면 전자적 전송매체를 이용하여 영리목적의 광고성 정
보를 전송할 때 수신자의 명시적인 사전 동의를 받아야만 한다 사전
동의를 받지 않을 수 있는 예외가 두 가지 있는데 lsquo방문판매 등에 관한
③ 이동통신단말장치의 기본 운영체제(이동통신단말장치에서 소프트웨어를 실행할 수 있는
기반 환경을 말한다)를 제작하여 공급하는 자와 이동통신단말장치 제조업자 및 이동통신단
말장치의 소프트웨어를 제작하여 공급하는 자는 정보통신서비스 제공자가 이동통신단말장
치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근하려는 경우 접근
권한에 대한 이용자의 동의 및 철회방법을 마련하는 등 이용자 정보 보호에 필요한 조치를
하여야 한다
2 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
다 접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실
② 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 반드시 필요하지 아니한 접근
권한을 설정하는 데 이용자가 동의하지 아니한다는 이유로 이용자에게 해당 서비스의 제공
을 거부하여서는 아니 된다
중요도 업무영향도 대응업무부하
처 벌 2000만 원 이하의 과태료
- 수탁자가 위탁자의 동의 없이 재위탁을 한 경우
기업에서 대응해야 할 업무 절차
1 운영개발 중인 모바일 앱(App) 현황 파악(앱이 설치된 모바일 기기 내 이용 정보 및 기
능 내역)
2 1에서 식별된 모바일 기기 내 정보 및 기기에 대해 서비스 이용에 필수선택 항목 식별
3 모바일 앱 설치 시 동의이용 중 철회 절차 검토 및 보완
1) 필수항목과 선택항목의 구분
2) 법 제22조의2제1항1호2호의 사항을 고지사항에 반영
4 이용자 정보 보호에 필요한 기타 조치 사항 반영
5 3과 4에서 도출된 사항을 모바일 앱에 적용 업데이트
6 기존 운영 중인 앱의 경우 고객에게 업데이트 고지(동의 또는 재동의 절차 적용)
⑦ 수탁자는 개인정보 처리위탁을 한 정보통신서비스 제공자 등의 동의를 받은 경우에 한
하여 제1항에 따라 위탁받은 업무를 제3자에게 재위탁할 수 있다 lt신설 2016322gt
기업에서 대응해야 할 업무 절차
1 수탁자의 경우 위탁받은 개인정보의 처리 업무 중 재위탁 현황 파악
2 재위탁 사실이 있고 위탁자의 동의 증적이 없는 경우 파악
3 2에서 파악된 미동의 재위탁 건에 대해 위탁자에게 고지 및 동의 확보
6 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항
을 처리하는 부서의 명칭과 전화번호 등 연락처
7 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치middot운영 및 그 거부에
관한 사항(해당하는 경우)에만 정한다
중요도 업무영향도 대응업무부하
처 벌
3000만 원 이하의 과태료
- 반드시 필요하지 않은 접근권한 설정에 정보주체가 동의하지 않는다는 이유
로 서비스 제공을 거부할 경우
- 접근권한에 대한 동의 및 철회방법을 마련하는 등 조치를 하지 않은 경우
제22조의2(접근권한에 대한 동의) ① 정보통신서비스 제공자는 해당 서비스를 제공하기 위
하여 이용자의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신 단말장치에 설치된
기능에 대하여 접근할 수 있는 권한(이하 ldquo접근권한rdquo이라 한다)이 필요한 경우 다음 각 호의
사항을 이용자가 명확하게 인지할 수 있도록 알리고 이용자의 동의를 받아야 한다
1 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한인 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
2222
법률rsquo에 따른 전화 권유 판매자가 육성으로 전화 권유를 하는 경우가
그 중 하나였다 개정 법에서는 lsquo수신자에게 개인정보의 수집출처를 고
지하고rsquo라는 조건이 추가됨으로써 한결 까다로워졌다
4) 개인정보의 국외 이전 유형에 따른 동의 요건 완화
모처럼 개인정보보호 담당자한테 반가운 개선 조항이 생겼다 개인정
보의 국외 이전은 정통망법에서 논란이 되던 문제였다 개인정보보호
법은 국외에 제3자 제공할 경우만 정보주체의 동의 받으라고 되어 있
는데 정통망법에선 lsquo이전rsquo할 때 동의를 받으라고만 되어 있었기 때문에
제3자 제공과 위탁의 경우를 달리 적용하기 어려웠던 것이다 개정안
에서는 lsquo국외로 이전하려면rsquo이라고 되어 있던 조항을 lsquo국외에 제공(조회
되는 경우를 포함한다)middot처리위탁middot보관(이하 이 조에서 ldquo이전rdquo이라 한
다)하려면rsquo이라고 풀어서 표현하고 lsquo다만 정보통신서비스의 제공에 관
한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서
제3항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자
우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는
개인정보 처리위탁middot보관에 따른 동의절차를 거치지 아니할 수 있다rsquo라
는 단서 조항을 더 함으로써 국외 이전의 경우에도 위탁업무일 경우엔
동의 받지 않고 처리할 수 있도록 하였다 (개인정보보호법과 일치시킨
셈이다)
5) 노출된 개인정보의 삭제 차단 조치 의무화
웹사이트에서 시험 합격자 명단 등을 공개할 때 관리자의 부주의로 주
민번호와 같은 고유식별정보를 포함시키는 일이 종종 발생하곤 한다
기존 법령에서도 개인정보의 노출을 통제할 책임은 정보처리자에게 부
여하고 있으나 이번 개정안에서는 별도의 조항으로 명시함으로써 책임
성을 부각하고 있다 관련 처벌이 따르지 않아 규범적 조항인 점이 그
나마 다행스럽다
6) 기타 사항
이상 중요한 사항은 짚어 보았고 다른 사항은 대부분 개인정보보호법
과 균형을 맞추기 위한 내용들이다 lsquo개인정보관리책임자rsquo란 용어는
개인정보보호법과 마찬가지로 lsquo개인정보보호책임자rsquo란 용어로 바뀌
었고 처벌 수준에 있어서도 주요 법 위반 시 위반행위에 관련된 이익
의 몰수 추징 조항이 신설되었다 내용의 파급력으로 보자면 충격이
클 수도 있는 제32조 제2항의 징벌적 손해배상도 이미 개인정보보호
법에 들어간 내용이기 때문에 기업 입장에서 새롭게 고민할 사항은
적을 듯하다
전기통신사업자와 정보통신서비스 제공자를 대상으로 하는 정보통신
망법과 일반법으로 적용되는 개인정보보호법은 개인정보보호의 규준
을 이루는 양대 법률이다 기업 입장에선 지나치게 자주 개정되어 정보
보호 업무 부담을 더하는 측면도 있다 하지만 이번 개정안은 두 법의
용어와 조항 처벌 수준 등을 통일함으로써 법 적용을 돕는 긍정적인
면이 훨씬 많을 듯하다 아무쪼록 이번 개정안이 적극 반영되어 사회
전반에서 더욱 안전한 개인정보보호 환경이 갖추어지기를 기대한다
기업에서 대응해야 할 업무 절차
1 전화 권유 판매 시 정보주체 사전 동의 획득 여부 확인
2 사전동의 미 획득 케이스인 경우 개인정보 수집출처 확인
3 개인정보 수집출처가 확인되지 않은 경우 개인정보 이용 중지
4 개인정보 수집출처가 확인된 경우 수집출처를 고객에게 고지하고 전화 권유 판매
기업에서 대응해야 할 업무 절차
1 개인정보의 해외 이전 유형 식별(제공처리위탁보관)
2 이전 유형 중 처리위탁보관의 경우 고지공개 여부 확인
3 이전 유형 중 제공의 경우 동의 여부 확인
4 2 3단계에서 미흡 사항 발견 시 개선 조치
중요도 업무영향도 대응업무부하
처 벌 없음
제32조의3(노출된 개인정보의 삭제middot차단) ① 정보통신서비스 제공자 등은 주민등록번호
계좌정보 신용카드정보 등 이용자의 개인정보가 정보통신망을 통하여 공중에 노출되지 않
도록 하여야 한다
② 정보통신서비스 제공자 등의 고의 또는 중대한 과실로 인하여 개인정보가 분실middot도난middot
유출middot위조middot변조 또는 훼손된 경우로서 이용자에게 손해가 발생한 때에는 법원은 그 손
해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다 다만 정보통신서비스
제공자 등이 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다 lt신설
2016322gt
기업에서 대응해야 할 업무 절차
1 시스템 내 개인정보 노출 현황 파악 (노출정보유형목적노출기간주관부서 등 현황 파악)
2 노출된 고유식별정보 및 금융정보 발견 시 삭제 또는 보호(마스킹 등) 조치
3 1~2의 반복적 이행 가급적 시스템화하는 것이 바람직함
중요도 업무영향도 대응업무부하
처 벌
- 2000만 원 이하의 과태료 공개나 고지 없이 개인정보를 국외에 처리위탁
보관한 경우
- 과징금 부과 정보주체의 동의 없이 개인정보를 국외에 제공한 경우
23
어릴 때부터 각종 디지털 기기의 사용이 능숙한 lsquo디지털 키즈(Digital kids)rsquo인 우리 자녀들을 위한 똑똑한 lsquo디지털 페어런팅(육아법)rsquo을 소개한
다 식당이나 카페에서 어린 자녀에게 스마트폰은 보여주고 있거나 자녀가 어린이날 선물로 스마트폰을 사달라고 조르는 경우 스마트폰 게임
이나 SNS에 빠져 있는 자녀 때문에 걱정인 부모들에게 필요한 자녀의 연령에 맞는 디지털 페어런팅이다 자녀가 성숙한 디지털 기기 사용 습
관을 기를 수 있도록 도와주는 것은 부모가 반드시 해야 하는 역할 중 하나다
몸짓을 이미지로 기억해 엄마의 의도를 파악한다 그다음 좌뇌가 발달하는데 좌뇌가 발달하기 시작하면 언어 발달이 이루어진다 그런데 이 시
기에 과도하게 스마트폰에 노출되면 우뇌가 충분히 발달하지 않은 상태에서 좌뇌가 발달하게 된다
우뇌가 제대로 발달하지 못하면 감정을 담당하는 뇌 발달에 영향을 줄 수 있는데 이는 다른 사람의 마음을 헤아리는 능력 다른 사람과 생각이
나 느낌을 주고 받는 능력 사고력 감정 조절력 부족으로 이어질 수 있다 우는 아이를 달래려고 부모가 편하게 밥을 먹기 위해서 흥미로운
자극을 주고 싶다는 이유로 이 시기 아이에게 건넨 스마트폰은 아이의 뇌에 치명적인 후유증을 남길 수 있음을 기억해야 한다
3~6세 유아기 부모의 통제 하에 사용해야
전문가들은 이 시기 아이에게도 디지털 기기의 사용을 권장하지는 않는다 하지만 현실적으로 쉽지 않다면 차선책을 선택해야 한다 부모가 디
지털 기기의 이용 시간 및 콘텐츠 등에 대해 확실한 기준을 갖고 있어야 한다 lsquo하루 30분 이상 넘기지 않으며 아이가 좋아하는 애니메이션 영상
과 동요 율동 영상만 본다rsquo는 식으로 말이다 아이의 손에 스마트폰을 맡겨버리면 의도하지 않은 영상에까지 노출될 우려가 있으니 주의해야 한다
약속한 시간 외에는 스마트폰을 아이의 손에 닿지 않는 곳에 두는 것이 좋다 이를 위해서는 부모 역시 스마트 기기 사용을 절제할 수 있어야
한다 아이들은 부모를 롤 모델로 삼아 그 태도와 습관을 배우기 때문이다 하지만 이 시기 아이가 스마트폰을 보여 달라고 강하게 떼를 쓰는
등 통제가 되지 않을 때는 당분간 아예 아이에게서 스마트폰을 분리하는 것이 효과적이다 스마트폰이 아닌 다른 방법으로 아이와 시간을 보
내는 법을 고민하는 것은 부모의 몫이다
0~3세 영유아기 스마트폰 잠시 건네는 것도 안 돼
이제 걸음마를 시작할 법한 아이가 스마트폰에 집중해 있는 모습을
본 적이 있을 것이다 우는 아이를 달래기 위해서 식당이나 카페에서
아이를 조용히 앉혀놓을 요량으로 부모는 어린 자녀의 손에 스마트폰
을 쥐여준다 하지만 전문가들은 이 시기의 아이에게 디지털 기기를
노출시키는 건 ldquo안 된다rdquo고 입을 모은다 lsquo영유아 스마트폰 증후군rsquo 등
의 부작용이 우려되기 때문이다
lsquo영유아 스마트폰 증후군rsquo이란 6세 미만의 아이들이 영상 게임 등의
지속적인 자극에 오랜 시간 노출되어 우뇌가 발달해야 하는 시기에
좌뇌가 지나치게 발달해 좌middot우뇌의 균형이 틀어지는 것을 말한다
영아기 아이는 우뇌가 먼저 발달하는데 엄마의 표정 목소리 눈짓
I T amp L I F E
내 아이를 지키는 rsquo디지털 페어런팅rsquo
스티브 잡스가 자녀에게 아이폰 아이패드와 같은 디지털 기기의 사용을 허락하지 않았다는 건 잘 알려진 사실이다 드론을 만드는 3D
로보틱스 CEO 크리스 앤더슨은 아이들이 사용하는 전자 기기의 사용 시간을 제한하고 부모가 통제할 수 있는 장치를 부착했다고 한
다 그는 ldquo테크놀로지의 위험을 잘 알고 있으며 아이들에게 그런 일이 일어나는 것을 원치 않는다rdquo며 그 이유를 설명했다 이들의 자녀
교육법이 전적으로 옳다고 말할 수는 없지만 어릴 때부터 디지털 기기 사용이 너무나 익숙한 우리 자녀들의 모습은 한 번쯤 돌아볼 필
요가 있다
24
6~10세 미만 디지털 기기 사용 가이드라인에 대해 설명해줘야
부모가 디지털 기기 사용 시간 및 사용 및 목록의 한계에 대한 가이드라인을 정하고 이에 대해 아이가 이해할 수 있도록 설명해주는 것이 좋
다 가이드 라인을 정할 때 아이의 생각을 들어보고 반영하는 것도 방법이다 디지털 기기 사용 가이드라인이 지켜질 수 있도록 온 가족이 노력
해야 함은 물론이다 TV를 보고 스마트 기기를 가지고 노는 것 자체가 문제가 될 수도 있지만 이로 인해 친구들과 뛰어놀며 신체활동을 하는
즐거움을 빼앗기지 않도록 하는 것도 중요함을 잊지 말아야 한다
10세 이상의 초등학생 스스로 규칙을 정하고 지킬 수 있도
록 동기 부여
부모들의 고민 중 하나는 lsquo아이에게 스마트폰을 언제 사줄 것인가rsquo다
아이의 하교 후 학원에서 학원으로 이동할 때마다 연락을 주고받기
위해 휴대전화가 필요할 수도 있다 요즘은 초등학교 입학과 함께 스
마트폰을 사주는 가정도 많다 친구들도 다 있다며 사달라고 떼를 쓰
는 아이의 마음도 이해 못 하는 바 아니지만 자녀에게 스마트폰을 사
주는 적당한 시기는 부모가 잘 판단해야 한다 아이가 스마트폰 사용
규칙을 지킬 수 있을 만큼 성숙한 상태여야 한다는 의미다 하고 싶어
도 참을 수 있는 절제력과 충동조절능력 좌절인내력이 바탕이 돼야
만 스스로 규칙을 지킬 수 있다
구글 애플 마이크로소프트 등 글로벌 IT 기업의 자녀들이 많이 다니
는 실리콘밸리에 발도로프 학교에는 컴퓨터가 없다 스크린 보드 빔
프로젝터 등의 멀티미디어 기기도 없으며 연필과 종이 분필 등을 이
용한 아날로그식 수업이 진행된다 이들은 우리나라 나이로 중학교 3
학년이 되는 8학년이 돼서야 컴퓨터를 서서히 배우기 시작한다 학생
들이 학교에 디지털 기기를 가져올 수도 없다 lsquo디지털 세상이 아이를
아프게 한다rsquo의 저자인 신의진 정신과 박사는 ldquo언제 자녀가 스마트폰
을 사용하면 좋냐rdquo는 질문에 ldquo늦을수록 좋다rdquo고 답한다
우리 자녀 세대는 지금 우리보다 훨씬 더 디지털 기기와 가깝게 지낼
것이다 시대가 변하고 있기 때문이다 더 흥미로운 기기들이 쏟아질
것이고 그에 맞는 교육 및 놀이 앱이 넘쳐날 것이다 하지만 시대가
변해도 변하지 않는 것은 존재한다 부모가 자녀와 디지털 생활에 대
해 이야기를 나눌 수 있는 환경은 신뢰를 바탕으로 한 그들의 아날로
그 생활에서의 환경이 조성하는 법이다 가족과 함께 서로의 디지털
생활에 대한 이야기를 나눠보는 시간을 갖는 것은 어떨까
자녀와 함께 TV 컴퓨터 스마트폰 등에 대한 이용 규칙을 정하고 스스로 통제할 수 있도록 동기를 부여해주는 것이 좋다 만약 약속을 어겼을
경우 벌칙도 명확히 해둔다 예를 들어 주말에만 컴퓨터 게임을 하기로 했는데 어겼다면 다음 주말 컴퓨터 이용 시간을 줄이는 식이다 초등학
교 3~4학년만 돼도 아이들은 SNS에 흥미를 느끼기 시작한다 이때 부모는 아이가 어떤 게시물을 올리고 다운로드하는지 관심을 가질 필요가
있다 인터넷상에 올린 글이나 영상은 쉽게 공유될 수 있으며 지우는 것도 쉽지 않다는 점에 대해서도 알려줘야 한다
중middot고등학생 자율성 존중하되 방치해선 안 돼
ldquo스마트폰 그만하고 공부해rdquo와 같은 강압적인 지시는 되레 부작용을 낳을 수 있다 중middot고등학생의 자녀와의 디지털 페어런팅에서 가장 중요한
것은 자율성을 존중하되 방치해서는 안 된다는 점이다 아이가 적당히 조절하며 디지털 기기를 사용하고 있다면 문제 없지만 걱정할 정도로 몰
입돼 있는 상황이라면 가정의 디지털 페어런팅 방식을 다시 점검해봐야 한다 과몰입 상태는 적절한 교육으로 가정에서 바로 잡을 수 있지만 중
독의 수준이라면 상황이 달라진다 이런 경우 아이가 디지털 기기에 빠진 원인을 찾고 이를 해결하기 위해 전문가 상담 및 치료를 받아야 한다
[그림 1] 컴퓨터가 없는 발도로프 학교에 대해 다룬 뉴욕타임즈 기사
(출처 httpwwwnytimescom20111023technologyat-waldorf-school-in-silicon-valley-technology-can-waithtml)
참고 자료
신의진(2013) 디지털 세상이 아이를 아프게 한다 북클라우드
구본권(2014) 당신을 공유하시겠습니까 어크로스
25
보안 통계와 이슈 S T A T I S T I C S
[그림 2]는 2016년 4월 한 달간 유포된 악성코드를 주요 유형별로 집
계한 결과이다 불필요한 프로그램인 PUP(Potentially Unwanted
Program)가 5948로 가장 높은 비중을 차지했고 트로이목마
(Trojan) 계열의 악성코드가 168 웜(Worm)이 347의 비율로
그 뒤를 이었다
지난 4월 한 달간 탐지된 모바일 악성코드는 24만 7847건으로 집계
됐다
안랩 시큐리티대응센터(이하 ASEC)는 최근 ASEC Report Vol76를 통해 지난 2016년 4월의 보안 통계 및 이슈를 전했다 지난 4월
의 주요 보안 이슈를 살펴본다
파일 속성 변경하는 리눅스 악성코드 등장
안랩 4월 악성코드 통계 및 보안 이슈 발표
[그림 1] 악성코드 추이(2016년 2월~2016년 4월)
ASEC이 집계한 바에 따르면 2016년 4월 한 달간 탐지된 악성코드
수는 1156만 4967건으로 나타났다 이는 전월 1321만 2012건에
비해 164만 7045건 감소한 수치다 한편 4월에 수집된 악성코드 샘
플 수는 324만 5837건이다
샘플 수집 수탐지 건수
[그림 2] 2016년 4월 주요 악성코드 유형
Adware DownloaderWormTrojanetcPUP
[그림 3] 모바일 악성코드 추이(2016년 2월 ~ 2016년 4월)
5000000
6000000
10000000
20000000
30000000
40000000
1000000
2000000
3000000
4000000
4월3월2월
11830547 1156496713212012
324
583
7
354
858
1
349
346
8
347
168
1939
5948072
014
100000
200000
300000
500000
600000
700000
400000
0
4월3월2월
247847256512
323301
26
또한 지난 4월 악성코드 유포지로 악용된 도메인은 648개 URL은
2216개로 집계됐다 4월의 악성 도메인 및 URL 차단 건수는 총 637
만 3536건이다
이와 같은 경우 lsquolsattrrsquo 명령을 통해 해당 파일의 속성을 조회하면 [그
림 7]과 같이 lsquoirsquo 속성이 추가되어 있음을 확인할 수 있다
리눅스 악성코드 lsquo빌게이츠 봇넷rsquo 발견
최근 리눅스(Linux) 운영체제에서 감염 시스템의 정보 수집 시스
템 파일 교체 DDoS 공격 등을 수행하는 lsquo빌게이츠 봇넷(BillGates
botnet)rsquo이 발견됐다 해당 악성코드는 감염 시스템 내에서 속성이 변
경되어 삭제가 불가능해 리눅스 사용자들의 피해가 우려된다
빌게이츠 봇넷은 서버에 침입 후 파일의 속성을 변경하여 악성코드를
삭제할 수 없도록 설정한다 리눅스 시스템에서 악성코드 감염에 의
해 파일 속성이 변경된 경우 이를 삭제할 수 있는 방법을 자세히 살
펴보자
먼저 공격자가 파일의 속성을 변경한 후 [그림 5]와 같이 삭제 시도를
하면 lsquo실행이 허가되지 않았다(Operation not permitted)rsquo라는 메시
지가 출력되며 해당 파일이 삭제되지 않는다
이처럼 lsquoirsquo 속성이 추가되어 있는 경우에는 [그림 8]과 같이 루트 권한
으로 lsquochattrrsquo 명령을 통해 해당 파일의 속성을 변경한 후 다시 삭제
를 시도하면 해당 파일이 정상적으로 삭제된다
파일의 속성 추가(chattr)는 lsquo+[추가할 속성]rsquo 제거는 lsquondash[제거할 속성]rsquo
을 통하여 수행할 수 있으며 lsquo-Rrsquo 옵션을 추가로 부여하는 경우에는
하위 디렉터리까지 모두 포함되어 적용된다 이는 윈도우(Windows)
운영체제의 lsquoattirbrsquo 명령과 유사하다
이때 만일 관리자가 파일이 삭제되지 않는 원인을 파일 권한 문제라
고 생각하고 파일 시스템에 기록된 정보를 이용하여 루트 계정 및
inode를 제거하는 방법으로 다시 삭제를 시도하면 마찬가지로 동일
한 메시지가 발생하며 파일이 삭제되지 않는다
이번 리눅스 악성코드 사례와 같이 파일의 속성이 변경되어 삭제가
불가한 경우가 있어 권한 뿐만 아니라 파일 속성에 대해서도 다시 한
번 확인하는 것이 필요하다 단 중요 파일이나 로그 파일 등은 lsquoirsquo나
lsquoarsquo 속성을 적용하는 정상적인 경우도 있다 즉 이러한 속성이 적용되
어 있는 파일이라고 해서 모두 악성 파일은 아니므로 정확히 악성으
로 확인된 파일에 대해서만 삭제를 진행할 것을 권장한다
최근 리눅스 운영체제를 노리는 악성코드가 꾸준히 증가하고 있다
DDoS 공격이나 백도어 등 리눅스 악성코드의 기능도 다양해지고 있
으며 앞으로 더욱 고도화될 것으로 예상된다 리눅스 시스템도 안전
하게 이용하기 위해서는 반드시 암호를 설정해야 하며 최신 보안 업
데이트를 적용해야 한다
V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지하고
있다
ltV3 제품군의 진단명gt
LinuxBackdoor1223123B
[그림 5] RM 명령어를 통한 삭제 시도
[그림 6] INODE 제거를 통한 삭제 시도
[그림 4] 악성코드 유포 도메인URL 탐지 및 차단 건수(2016년 2월 ~ 2016년 4월)
악성 도메인URL 차단 건수 악성코드 유포 URL 수악성코드 유포 도메인 수
10000
20000
30000
8000000
9000000
40000
7000000
6000000
5000000
4000000
04월
221681467900
6481587936
3월2월
6373536
7157616
6355582
[그림 7] 파일 속성 조회
[표 1] 리눅스 파일 속성 및 lsquoCHATTRrsquo 명령어 예시
[그림 8] 파일 속성 변경 후 제거 시도
[명령어 예시 (i S 속성 추가)]
chattr + iS samples
[파일 속성명 중 일부] [설명]
a (CAP LINUX IMMUTABLE capability) 추가 작성만 가능 삭제 불가
I (CAP LINUX IMMUTABLE capability) 삭제 변경 링크 파일 생성 등
S 파일이 변경되면 디스크 동기화
u 파일 삭제 시 내용 백업
2727
A H N L A B N E W S
현대자동차 그룹 IT서비스 전문업체인 현대오토에버가 최근 lsquo5스타
우수 개발협력사rsquo로 안랩을 선정했다
lsquo현대오토에버 우수 개발협력사rsquo는 현대오토에버가 협력사와 공동
으로 수행한 전년도 사업의 수행 실적에 따라 1스타부터 5스타까지
우수협력사를 선정하고 이에 따른 다양한 인센티브를 제공하는 프
로그램이다
안랩은 현대오토에버의 개발컨설팅 협력사로서 프로젝트 평가 및
업체 종합 평가 등에서 안정적이고 우수한 프로젝트 성과를 인정받
아 최고 등급인 lsquo5스타rsquo 우수 개발협력사로 선정됐다 안랩 서비스
사업부를 총괄하는 방인구 상무는 ldquo안랩은 핵심가치인 lsquo고객만족rsquo을
기준으로 맡은 사업에 대해 언제나 최선을 다하고 있다rdquo며 ldquo안랩을
신뢰해주시는 여러 회사와 함께 동반성장할 수 있도록 노력하겠다rdquo
고 말했다
안랩이 지난달 17일 코엑스 컨벤션센터에서 열린 lsquo아마존 웹 서비
스 글로벌 서밋 서울 2016(이하 AWS 서밋 서울 2016)rsquo에서 다양
한 산업 관계자를 대상으로 lsquo안랩 AWS 고객 원격 보안관제 서비스rsquo
를 소개했다
AWS 서밋 서울 2016은 아마존 웹 서비스가 제공하는 클라우드 컴
퓨팅 서비스에 대한 지식을 공유하고 IT 업계의 최신 기술 트렌드 등
을 소개하는 행사로 지난해 첫 국내 개최에 이어 두 번째로 열렸다
이번 행사에 참가한 안랩은 전용 부스를 운영하며 lsquo안랩 AWS 고객
원격 보안관제 서비스rsquo에 대한 개별 고객 상담 및 서비스 체험 신청
등을 진행했다 안랩 AWS 고객 원격 보안관제 서비스는 네트워크
및 웹 서비스 등에 대한 보안을 안랩의 침해대응(CERT) 전문인력이
원격으로 모니터링 및 관리해주는 서비스다
또한 별도 발표장에서 진행된 미니 발표 세션에서 안랩 서비스상
품기획팀 김준호 대리는 안랩 AWS 고객 원격 보안관제 서비스의
개요 및 구성을 비롯하여 탐지를 넘어 위협 분석까지 제공하는
침해사고 대응 프로세스 미디어사 O2O(Online to Offline 온오
프라인 연결) 서비스 제조 분야의 실제 고객 사례를 통한 다양한
산업별 서비스 적용 방안 등 lsquo안랩 AWS 고객 원격 보안관제 서비
스rsquo의 개념과 강점을 소개했다
안랩 김준호 대리는 ldquo안랩은 lsquoAWS 고객 원격 보안관제 서비스rsquo를
지난 1월 출시한 이후 약 4개월 여 만에 이미 복수의 대형 고객사
를 확보하는 등 검증된 서비스를 제공하고 있다rdquo며 ldquo이는 많은 고객
사에서 단순 탐지를 넘어 위협 분석 및 대응까지 가능한 안랩의 전
문성을 인정한 것으로 볼 수 있다rdquo고 강조했다
현대오토에버
lsquo우수 개발협력사rsquo로 안랩 선정
안랩 lsquoAWS 서밋 서울 2016rsquo에서
클라우드 보안관제 서비스 소개
안랩은 AWS 서밋 서울 2016 행사에서 전용 부스와 발표 세션을 통해 안랩 AWS 고객 원격 보안관제 서비스를 소개했다
발행인 권치중
발행처 주식회사 안랩
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
편집인 안랩 콘텐츠기획팀
디자인 안랩 디자인팀
copy 2016 AhnLab Inc All rights reserved
본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제 복사 검색 시스템
으로 저장 또는 전송될 수 없습니다 안랩 안랩 로고는 안랩의 등록상표입
니다 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상
표일 수 있습니다 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
copy 2016 AhnLab Inc All rights reserved
httpwwwahnlabcom
httpblogahnlabcom
httptwittercomahnlab_man
13
세션 발표 후 진행된 라운드 테이블 프로그램을 통해 안랩의 권치중 대표 강석균 전무 배민 상무 방인구 상무가 고객사 CISO와 자유롭고 다양한 논의를 이어나갔다
안랩은 오는 6월 8일 서울 양재동 엘타워에서 공공 및 교육기관의 보안책임자를 대상으로 ISF 스퀘어 2016을 이어나갈 예정이다 또한 안랩은
서울에서 진행되는 행사에 참석하기 어려운 각 지역의 고객사를 위해 lsquo파트너와 함께 찾아가는 고객 세미나rsquo도 동시에 진행하고 있다 지난 5
월 24일 전주 지역에 이어 오는 6월 16일에는 대구 21일에는 대전에서 고객사의 보안책임자를 초청해 최신 보안 위협 동향과 대응 방안을 공
유할 예정이다
고객의 생생한 목소리를 듣다
여타 보안 세미나와 안랩 ISF 스퀘어의 가장 큰 차별점은 제품 기획자부터 제품 개발 책임자 그리고 대표이사에 이르기까지 한 자리에서 고객
과 직접 소통한다는 점이다 이번 ISF 스퀘어 2016에서도 안랩 EP사업부문 총괄인 강석균 전무 EP영업본부 총괄 배민 상무 서비스사업부 총
괄 방인구 상무 등이 총출동해 고객의 고민을 듣고 의견을 나눴다
14
CryptXXX RansomwareT H R E A T A N A L Y S I S
최근 lsquo크립트엑스엑스엑스 랜섬웨어rsquo가 대량 유포되면서 피해 사례가 늘어나고 있다 크립트엑스엑스엑스의 특징은 기존 랜섬웨어와
달리 실행 파일(EXE) 형태가 아닌 동적 링크 라이브러리(DLL) 형태로 유포되고 있다는 점이다 DLL 형태로의 유포는 정상적인 프로
세스와 함께 동작하는 구조여서 감염 사실을 알아차리기조차 어렵다
월간 lsquo안rsquo에서는 1부와 2부에 걸쳐 크립트엑스엑스엑스의 동작 방식과 주요 기능 암호화 방식 복구 툴 등 자세한 내용을 소개한다
lt연재 목차gt
1부_ DLL 이용한 CryptXXX 랜섬웨어 분석 완료
2부_ CryptXXX 암호화 비밀과 복구 툴 공개
DLL 이용한 CryptXXX 랜섬웨어 분석 완료
CryptXXX 랜섬웨어 분석 보고서_1부
크립트엑스엑스엑스 랜섬웨어(진단명 TrojanWin32CryptXXX
이하 크립트엑스엑스엑스)는 컴퓨터에 있는 파일을 암호화한 뒤
lsquocryptrsquo 확장자로 변경하여 사용자에게 비트코인을 요구하는 랜섬웨
어다 [그림 1]은 크립트엑스엑스엑스의 동작 방식이다
크립트엑스엑스엑스의 경우 다른 랜섬웨어와의 차이점은 DLL(동
적 링크 라이브러리 Dynamic Linking Library)로 동작한다는 점이
다 크립트엑스엑스엑스는 정상 rundll32exe를 악성 DLL이 있는 경
로에 svchostexe로 이름을 바꾸어 복사한 뒤 악성 DLL의 내보내기
(Export) 함수를 인자값으로 호출하여 동작한다
이 악성코드는 피해자의 컴퓨터를 감염시킬 때 lsquoRecovery_사용자
IDtxtrsquo lsquoRecovery_사용자IDhtmlrsquo lsquoRecovery_사용자IDbmprsquo 형
식의 파일을 생성하며 내용은 [그림 3] [그림 4]와 같다
[그림 1] 크립트엑스엑스엑스 동작 방식
[그림 3] 크립트엑스엑스엑스 결제 안내 페이지
[그림 2] svchostexe(정상 rundll32exe)로 로드되어 동작하는 악성 DLL
15
CampC 통신
크립트엑스엑스엑스는 파일을 암호화하기 전 CampC에 악성코드가 생
성한 사용자 ID를 전송한다
암호화된 환경
크립트엑스엑스엑스는 암호화가 완료된 파일의 수정한 날짜와 시간
정보를 백업된 원본의 수정한 날짜로 변경한다
[그림 4] 크립트엑스엑스엑스 결제 안내 텍스트
[표 1] 자동 실행 등록을 위한 바로가기 링크 파일 생성
[표 3] 암호화 대상 확장자
[표 4] 암호화 제외 대상 경로
[표 2] 암호화 대상 드라이브
[그림 5] 자동 실행 등록 정보
[그림 6] CampC 통신 패킷 정보
크립트엑스엑스엑스 주요 기능
자동 실행 등록
크립트엑스엑스엑스는 [표 1]과 같이 시작프로그램에 바로가기 링크
파일을 생성한다 [그림 5]에서 알 수 있듯이 해당 링크 파일에 의해
실행되는 파일은 크립트엑스엑스엑스이며 lsquoMS114rsquo라는 이름의 함수
를 호출하는 기능을 한다
자동 실행 등록
파일
CDocuments and Settings프로그램시작프로그램[사용자ID]lnk
암호화 대상 드라이브
고정식 드라이브 이동식 드라이브 네트워크 드라이브
악성 DLL 내부에 암호화된 CampC는 2개이며 첫 번째 IP에 접속이 되
지 않았을 경우 두 번째 IP로 연결된다
- 1447821443
- 9311876443
CampC 접속 여부와 관계없이 패킷을 전송한 후에는 파일 암호화가 진
행된다
파일 암호화 대상
분석된 크립트엑스엑스엑스로부터 확인된 암호화 대상은 [표 2]와 같다
Z 부터 A 까지 마운트된 모든 드라이브 중 다음의 암호화 대상 드
라이브만 감염이 진행된다
암호화 대상 확장자
3DM 3DS AES APK APP ARC ASC ASM ASP ASPX BRD BZ2 C
CER CFG CFM CGI CGM CMD CPP CRT CSR CSS CSV CUE DB
DBF DCH DCU DIF DIP DJV DJVU DOC DOCB DOCM DOCX DOT DOTM
DOTX DTD DWG DXF EML EPS FDB FLA FRM GBK GBR GED GPG
GPX H HTM HTML HWP IBD INDD JAR JAVA JKS JSP KEY KML
KMZ LAY LAY6 LDF LUA M MAX MDB MDF MFD MML H MS11
MSI MYD MYI NEF NOTE OBJ ODB ODG ODP ODS ODT OTG OTP
OTS OTT P12 PAQ PAS PCT PDB PDF PEM PHP PIF POT POTM
POTX PPAM PPS PPSM PPSX PPT PPTM PPTX PRF PRIV PSD RAR RAW
RSS RTF SCH SDF SITX SLDX SLK SLN SQL STC STD STI STW
SVG SWF SXC SXD SXI SXM SXW TAR TBK TEX TGZ TLB TXT
UOP UOT VB VBS VCF VDI VMDK VMX WKS WPD WPS WSF XLC
XLM XLR XLS XLSB XLSM XLSX XLT XLTM XLTX XLW XML ZIP ZIPX
ACCDB CLASS GADGET IBOOKS PAGES PLUGIN PRIVATE
QCOW2 SQLITE3 SQLITEDB VCXPROJ XCODEPROJ XHTML
암호화 대상 확장자
폴더
WINDOWS BOOT EFI CONFIGMSI
WINNT RECOVERY PROGRA^1 GOOGLE
RECYCLER$RECYCLE
BINPROGRA^2 TEMP
SYSTEM^1 PERFLOGS
16
[그림 7] 암호화 된 파일의 파일의 시간 정보 변경 코드
[그림 8] 암호화된 파일의 시간 정보 변경 전(왼쪽) 및 변경 후(오른쪽)
[그림 13] 암호화 완료 후 화면
[그림 12] 결제 안내 파일의 시간 정보 변경 전(좌) 및 변경 후(우)
[그림 9] 암호화 후 확장자 변경
[그림 11] 결제 안내 파일의 시간 정보 변경 코드
[그림 10] 암호화된 파일과 생성된 결제 안내 파일(BMP HTML TXT)
[그림 7]에서 붉은색 박스로 표현한 부분의 데이터(A4 80 BC 4B 36
B0 D1 01)는 SetFileTime API를 사용하여 백업된 원본의 수정한 날
짜로 변경된다
생성한 결제 안내 파일의 시간 정보를 [그림 12]와 같이 변경한다 암
호화가 완료되면 [그림 13]과 같은 화면을 띄우고 스크린이 잠기게
하여 사용자가 어떠한 동작도 할 수 없게 한다
이때 시간 정보가 변경된 파일은 MoveFileW API를 사용하여 [원본
파일명]crypt로 확장자가 변경된다
크립트엑스엑스엑스는 일반적으로 웹사이트 다운로드 등으로 유포되
는 경우가 많다 따라서 사용자는 출처를 알 수 없는 메일에 첨부된 파
일의 실행이나 불필요한 사이트 접근을 삼가는 등의 주의가 필요하다
해당 악성코드 감염을 막기 위해서는 항상 윈도우 보안 패치 및 V3
백신 프로그램을 최신 업데이트 상태로 유지하는 것이 필요하다
안랩은 원본 파일을 복구하는 툴을 랜섬웨어 보안센터를 통해 무료로
제공하고 있다
안랩 랜섬웨어 보안센터 바로가기
그리고 암호화된 파일이 있는 경로마다 결제 안내 파일들을 생성한다
앞서 언급했듯이 SetFileTime API를 이용하여 [그림 11]에 있는 붉은
색 박스에 있는 데이터(00 00 00 00 71 37 00 00)는 1601년 3월 12
일 월요일 10시 17분 27초로 변경된다
17
CryptXXX RansomwareT H R E A T A N A L Y S I S
크립트엑스엑스엑스(CryptXXX) 랜섬웨어는 정상 파일을 암호화한 후 lsquocryptrsquo 확장자로 변경하여 사용자에게 비트코인을 요구하는
랜섬웨어다 이 랜섬웨어는 현재까지 버전 1x 2x 3x 세 가지 형태가 알려져 있다 안랩은 현재 크립트엑스엑스엑스 2x 버전에 의
해 암호화된 파일에 대한 복구 툴을 제공하고 있다 특히 국내 사용자들이 많이 사용하고 있으나 기존 복구 툴이 지원하지 않는 한글
파일(HWP)의 복구도 가능하다는 점이 주목할만하다
월간 lsquo안rsquo에서는 1부와 2부에 걸쳐 크립트엑스엑스엑스의 동작 방식과 주요 기능 암호화 방식 복구 툴 등 자세한 내용을 소개한다
lt연재 목차gt
1부_ DLL 이용한 CryptXXX 랜섬웨어 분석 완료
2부_ CryptXXX 암호화 비밀과 복구 툴 공개
CryptXXX 암호화 비밀과 복구 툴 공개
CryptXXX 랜섬웨어 분석 보고서_2부
1 암호화 방식
[그림 1]은 크립트엑스엑스엑스에 의해 암호화된 lsquoPhotojpgrsquo 파일을
나타낸다 암호화는 고정 크기(0x1FFF)의 블록 단위로 순차적으로 이
뤄지며 암호화 최대 크기는 0xD012FE(대략 13M)로 이후의 데이터
는 원본과 동일하다
암호화된 파일은 원본 파일과 비교하여 260(=0x104)바이트가 증가
한 형태이며 이는 파일 끝부분에 삽입된 키 테이블(Key Table) 정보
로 인한 것이다([그림 1]에서 붉은색 블록 참고) 이 키 테이블 정보
는 블록 단위의 암호를 복호화하는 데 핵심이 되는 데이터로 공개키
를 통해 암호화되어 저장된다 즉 구조적으로는 해당 공개키에 매칭
되는 개인키 정보 없이는 해당 키 테이블 정보를 복호화할 수 없고
파일 복구가 불가능하다 하지만 해당 키 테이블 정보는 개인키 없이
도 원본 파일 시작 부분의 일부 데이터(예를 들면 파일 포맷별 Magic
정보)를 통해 파일의 형태를 확인할 수 있으며 그것을 토대로 유추할
수 있는 키 값으로 복구가 가능하다
2 Key Table 생성 방식과 취약성
[그림 2]는 파일 끝에 삽입된 0x104바이트 크기의 키 테이블이 생성
되는 과정을 나타낸다 이 그림에서 노란색 부분이 공개키로 암호화
된 KeyTable_A[0x40]이며 CryptEncrypt() API를 통해 공개키로 암
호화 시 원본 0x40바이트 크기의 데이터가 최종 0x80바이트 크기로
증가된다
[그림 1] 크립트엑스엑스엑스 암호화 방식
[그림 2] 키 테이블 생성 과정
18
[그림 2]에서 언급된 암호화에 사용되는 핵심 정보 3가지는 lsquo4바이
트 SEED 값rsquo lsquoKeyTable_A[0x40]rsquo lsquoKeyTable_B[0x100]rsquo이며 최초
4바이트 크기의 SEED 값으로부터 이후 정보들이 순차적으로 만들
어지는 구조를 갖는다 키 생성 과정의 최상위에 위치하는 SEED 값
은 감염 시점의 시스템 시간(SystemTime) 정보 중에서 시(wHour)
분(wMinute) 초(Second) 밀리초(Millisecond)를 이용하여 얻어지
며 이 SEED 값으로부터 0x40바이트 크기의 KeyTable_A[0x40] 데
이터가 생성된다 바로 이 부분에서 제작자가 의도하지 않은 취약성
이 존재하며 SEED 값이 동일하면 매번 동일한 KeyTable_A[0x40]
가 생성되는 구조를 갖는다 최종 블록 단위의 암호화에 사용되는
KeyTable_B[0x100]의 데이터와 원본 파일로부터 읽은 블록과의
XOR(배타적 논리합)을 통해 암호화가 수행된다
즉 SEED 값이 동일하면 매번 생성되는 최종 키 테이블 정보가 동일
한 점과 암호화 방식이 XOR이라는 2가지 포인트를 바탕으로 복구 대
상 파일의 Magic 정보가 존재한다면 역으로 키를 유추할 수 있는 구
조다 [그림 3]은 SEED 값이 0x02978CAC일 때 생성되는 키 테이블
A B의 예를 나타낸다
3 키 테이블 생성 함수
크립트엑스엑스엑스 랜섬웨어에서 파일 암호화 시 사용되는 핵심 정
보 3가지의 생성 함수는 다음과 같다
(1) SEED 값 생성
[그림 4]는 SystemTime 정보를 통해 4바이트 크기의 SEED 값을 생
성하는 함수를 나타낸다
KeyTable_A[0x40] 데이터가 생성되는 방식은 다음의 2가지 기본 테
이블 중 델파이 랜덤(Delphi Random) 함수를 통해 얻은 랜덤값을
바탕으로 하나의 값이 선택되어 구성되는 구조를 갖는다
(1) QWERTYUIOPASDFGHJKLZXCVBNMltgt$^amp()_+~|
(2) qwertyuiop[]asdfghjklzxcvbnm`1234567890-=
크립트엑스엑스엑스는 총 2번의 델파이 랜덤 함수를 사용하여 아래
의 Index(A)와 Index(B)를 얻게 된다 이때 Index(A)는 위 기본 테이
블 중 하나를 선택하기 위한 목적으로 Index(B)는 선택된 테이블의
데이터 중 하나를 선택하기 위한 목적으로 사용된다
Index(A) DelphiRandom(3) - 0 ~ 2 범위의 랜덤 값 생성(0 2인 경우 -gt
(1)번 1인 경우 -gt (2))
Index(B) DelphiRandom(44) - 0 ~ 43 범위의 랜덤 값 생성
예를 들어 Index(A) == 0이고 Index(B) == 3이면 lsquoRrsquo 문자열이 선택
된다
(2) 키 테이블(A) 생성
[그림 5]는 SEED 값을 바탕으로 0x40바이트 크기의 키 테이블을 생
성하는 함수이며 do-while 문을 통해 생성되는 0x40바이트 크기의
데이터가 SEED 값이 동일하면 동일한 형태로 생성되는 취약성이 존
재하는 부분이다
(3) 키 테이블(B) 생성
[그림 6]은 키 테이블(A)로부터 0x100바이트 크기의 최종 키 테이블
(B)가 생성되는 함수를 나타낸다 이 키 테이블 정보는 1바이트 단위
의 블록 단위의 암호화 시 XOR 키 값으로 사용된다
[그림 3] 키 테이블 A B 예제
[그림 4] SEED 값 생성 함수
[그림 5] 키 테이블(A) 생성 함수
19
[그림 6] 키 테이블(B) 생성 함수
[그림 7] 크립트엑스엑스엑스 복구 과정
4 복구 방식
시 분 초 밀리초 정보를 통해 계산되는 SEED 값의 범위는 다음과
같다
- 최소값 0000000000 -gt 0 최대값 235959999 -gt 0x5265bff
사용자마다 그리고 암호화된 파일마다 서로 다른 SEED 값을 유추하
기 위해 0 ~ 0x5265bff 범위의 SEED를 순차적으로 선택하며 이를
바탕으로 암호화에 사용된 키 테이블을 생성하거나 복호화를 시도
한다 첫 번째 블록에 대한 복호화를 통해 파일의 고유한 식별 정보
(Magic)가 확인되면 유효한 SEED 값으로 판단하고 전체 파일에 대
한 블록 단위의 복구를 시도한다 우선 첫 번째 파일이 복구에 성공하
면 두 번째 파일부터는 SEED의 범위를 제한하여 좀 더 빠른 복구가
가능하도록 했다 이러한 설정은 복구 대상 파일들이 동일 시간대에
감염된 형태가 대부분일 것으로 가정하여 이루어진 것으로 복구 대
상 파일들이 서로 다른 시스템에서 다른 시간대에 수집된 형태의 경
우 복구 시간이 더 오래 걸리는 특징을 갖는다
5 복구 대상 리스트
복구 툴을 통해 복구 가능한 크립트엑스엑스엑스 버전은 2x로 제한
적이며 우선 다음의 확장자들에 대한 복구가 가능하도록 제작되었
다 특히 국내 사용자들이 많이 사용하고 있으나 기존 복구 툴이 지
원하지 않는 한글 파일(HWP)의 복구가 가능하다 이 외에도 원본 파
일의 고유한 식별 정보만 알 수 있다면 복구가 가능한 구조이기 때문
에 추후 복구 대상으로 추가될 수 있다
CHM AI HWP PDB PDF RTF HTM HTML PHP XML DWG PS
WSF KEY CSR CRT WAV MP3 OGG WMA WMV AVI ASF MP4
MOV MID MPG FLV PNG GIF BMP TIF JPG JPEG ZIP RAR BZ2
7Z GZ JAR APK TGZ ODS DOC DOT PPT POT PPS XLS XLT
DOCX DOCM DOTX DOTM PPTX PPTM POTM POTX PPSM
XLSX XLSB XLSM XLTM XLTX EPS ISO SQLITE3 MDB MSI APP
FDB ACCDB SLN CLASS VCXPROJ
6 복구 툴 경로
안랩은 크립트엑스엑스엑스 랜섬웨어 2x 버전에 대한 복구 툴을 랜
섬웨어 보안센터를 통해 무료로 제공하고 있다
안랩 랜섬웨어 보안센터 바로가기
[그림 7]은 크립트엑스엑스엑스 복구 툴에서 파일 복구를 위해 이루
어지는 과정을 나타낸 것이다 구조상 첫 번째 파일을 복구하는 데 오
랜 시간이 소요되며 이후 파일부터는 빠르게 복구가 가능하다
20
F O C U S I N - D E P T H Compliance
20
1 개인정보보호법
1) 정보주체 이외로부터 수집한 개인정보의 수집 출처 고지 의무화
ldquo따르릉~ 여보세요 홍길동 고객님이시죠 여기는 보험사인데
요~ 알지도 못하는 보험사로부터 이런 전화를 받아 본 경험이 혹시
있었는지 모르겠다 어디서 내 전화번호를 입수한 것인지 물어보면 정
확히 대답하지 않거나 얼버무리는 경우도 많다 개정안이 시행되는 9
월 30일부터 이런 식의 연락은 더 이상 받지 않게 될 것 같다 일정 규
모 이상이 되는 기업(5만 명 이상의 민감 정보 또는 고유식별정보 처
리 100만 명 이상의 개인정보처리)이 정보주체로부터 직접 수집하지
않고 개인정보를 처리할 때는 반드시 ①정보수집출처 ②개인정보처리
목적 ③개인정보 처리정지 요구권이 있다는 사실을 최초 수집 후 3개
월 이내에 정보주체에게 고지해야만 하기 때문이다 불법으로 입수한
개인정보라면 애초에 고지도 못할 테지만 적법하게 제공받은 경우라
하더라도 고객에게 일일이 고지하기란 큰 부담이 될 것이다 고객이 제
3자 제공 동의를 해서 개인정보를 제공했다는 사실을 증명하라고 요구
하면 그 또한 큰일이다 필자 견해로는 이 개정안에 대한 대응이 본 기
사를 통틀어 제일 큰일일 듯 싶다
2) 민감정보의 안전성 확보조치 명시적 요구
민감정보란 개인의 사상middot신념 노동조합middot정당의 가입middot탈퇴 정치
적 견해 건강 유전 정보나 범죄 경력처럼 사생활을 현저히 침해할
우려가 있는 정보를 말한다 기존에도 고유식별 정보와 더불어 수집
이용하지 않는 것이 원칙이고 별도의 동의를 얻어 처리해야 하며 안
전성확보 조치를 통해 보호해야 할 대상이었다 이번 개정안에서는
민감정보에 대한 안전성 확보 조치를 명시적으로 요구하고 있을 뿐
기업 입장에서 달리 조치해야 할 사항은 없어 보인다 (기존 법에 따
라 잘 조치하고 있었을 경우에는 그렇다는 뜻이다)
3) 개인정보처리방침과 개인정보취급방침 구성 요건 동기화
개인정보보호법의 lsquo개인정보처리방침rsquo은 정보통신망법(이후 lsquo정통망
법rsquo)의 lsquo개인정보취급방침rsquo과 이름도 다르고 구성 요건에도 약간의 차
이가 있었다 이번 개정안에서는 방침 구성 내용에 정통망법 일부 사
꼭 챙겨야 할 개인정보보호 법령
지난 3월 8일 발간된 월간 lsquo안rsquo 2016년 3월호에 lsquo2016년에 챙겨봐야 할 개인정보보호 법령 5가지rsquo란 제목으로 개인정보보호 법령에 대
해 소개한 바 있다 이후 3월 22일과 29일에 정보통신망법과 개인정보보호법이 또 개정되어 2016년에 챙겨야 할 법령이 더 늘어났다
이번 호에서는 두 가지 법의 개정사항의 중요도를 별점으로 매겨가며 정리하고자 한다 단 중요도의 기준은 필자의 주관에 따른 것이므
로 참고만 하는 것이 좋겠다 개정된 내용 중 기업과 관련이 적은 사항은 따로 적지 않았다
별점으로 살펴본
lsquo개정rsquo 개인정보보호 관련 법령
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
중요도 업무영향도 대응업무부하
처 벌
- 미이행 시 3000만 원 이하의 과태료
- 미이행 상태에서 유출 사고 발생 시 2년 이하의 징역 또는 2000만 원 이하
의 벌금
중요도 업무영향도 대응업무부하
처 벌 해당 없음
기업에서 대응해야 할 업무 절차
1 법 시행 시점 이후 수집 보유 중인 개인정보 중 정보주체에게 직접 입수한 것이 아닌
개인정보 식별(정보주체 외 입수 경로 제3자 제공 동의 여부 확인)
2 1에서 식별된 개인정보 중 연락처가 있는 개인정보 식별
3 2에서 식별된 정보주체에게 개인정보 수집 및 이용 사실 고지(파기요청 수집)
구체적인 고지 시기 방법은 시행령이 나와야 알 수 있음
4 3의 절차에서 파기 요청 시 파기 시행
기업에서 대응해야 할 업무 절차
1 보유 중인 개인정보 중 민감정보 식별
2 1에서 식별된 민감정보에 대한 안전성 확보 조치 수준 점검
3 2절차에서 법 기준에 미흡한 경우 보완 조치 이행
2121
항을 반영하여 유사한 구조를 갖추도록 했으며 정통망법 또한 lsquo개인
정보처리방침rsquo으로 명칭을 변경함으로써 개인정보보호법과 일원화할
수 있게 되었다 개인정보보호법 개인정보처리방침에 추가된 사항은
다음과 같다
2 정보통신망 이용촉진 및 정보보호 등에 관한 법(이하 lsquo정
통망법)
1) 정보주체의 이동통신 단말장치 내 정보 및 기능에 대한 접근 시 동
의절차 의무화
스마트폰 메신저 앱을 생각해 보자 메신저 앱의 핵심적인 기능은 다
른 사람과 메시지를 주고받는 것이다 메신저를 편히 쓰려면 연락처
를 일일이 입력하기보다는 스마트폰에 있는 연락처 정보를 이용하는
게 필요할텐데 개정된 법은 그렇게 메신저 앱이 서비스를 이용하기
위해 스마트폰에 저장된 정보에 접근할 경우에 반드시 정보주체의 동
의를 받아야 한다는 것이다
핵심 서비스를 위해 필요한 정보나 접근권한에도 동의를 받으라고 하
는 상황인데 그 외의 목적이라면 당연히 동의를 요구할 수밖에 없다
이 경우에는 사용자가 동의를 거부할 권한이 있고 동의를 안했다고
해서 기업이 서비스 제공을 거부할 수 없도록 하고 있다(거부하면 과
태료 처벌을 받을 수 있다)
이 법의 요구사항은 흔히 알고 있는 개인정보 수집이용 동의와 개념
이 다르기 때문에 기업에서도 상당한 고민과 부담이 있을 것으로 예
상된다 (예를 들면 휴대전화에 저장된 연락처는 휴대전화 주인의 개
인정보가 아니므로 정보주체의 개인정보 수집이용 동의로 대체할 수
없다) 휴대전화 기능에 대한 접근권한 역시 개인정보 수집이용 동의
와는 다른 사항이므로 동의 절차를 새롭게 설정해야 할 가능성이 높
다 이런 동의와 철회 방법에 대한 구현 책임은 이동통신단말장치 소
프트웨어 제조업자와 공급자에게 부과하고 있으며 위반 시 과태료 처
벌을 할 수 있도록 되어 있다
2) 개인정보 처리업무 수탁자가 재위탁할 경우 원 위탁자의 동의를 받
는 경우에만 가능함
이번 정통망법 개정안에서는 개인정보 처리 위탁 관련 조항이 특히
많이 수정되었다 대부분 용어가 lsquo취급rsquo에서 lsquo처리rsquo로 바뀐 사항이 많
고 일부 조항은 개인정보보호법과 동일한 수준으로 바뀌었다 예컨대
수탁자에 대한 관리 감독 책임에 lsquo교육rsquo을 별도로 명시한다거나 수탁
자에게 위탁을 할 경우에는 문서에 의하여야 한다는 내용들이 그러하
다 개인정보보호법보다 조금 엄격하게 느껴질 만한 것은 제25조 7
항으로 수탁자의 재위탁은 위탁자로부터 동의를 받은 경우에 한한다
는 내용이다 (개인정보보호법은 시행령 제28조에서 lsquo재위탁 제한에
관한 사항rsquo을 위탁 시 작성해야 할 문서에 기재하도록 하고 있다)
3) 전화 권유 판매 시 개인정보 수집출처 고지 의무 부과
정통망법에 따르면 전자적 전송매체를 이용하여 영리목적의 광고성 정
보를 전송할 때 수신자의 명시적인 사전 동의를 받아야만 한다 사전
동의를 받지 않을 수 있는 예외가 두 가지 있는데 lsquo방문판매 등에 관한
③ 이동통신단말장치의 기본 운영체제(이동통신단말장치에서 소프트웨어를 실행할 수 있는
기반 환경을 말한다)를 제작하여 공급하는 자와 이동통신단말장치 제조업자 및 이동통신단
말장치의 소프트웨어를 제작하여 공급하는 자는 정보통신서비스 제공자가 이동통신단말장
치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근하려는 경우 접근
권한에 대한 이용자의 동의 및 철회방법을 마련하는 등 이용자 정보 보호에 필요한 조치를
하여야 한다
2 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
다 접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실
② 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 반드시 필요하지 아니한 접근
권한을 설정하는 데 이용자가 동의하지 아니한다는 이유로 이용자에게 해당 서비스의 제공
을 거부하여서는 아니 된다
중요도 업무영향도 대응업무부하
처 벌 2000만 원 이하의 과태료
- 수탁자가 위탁자의 동의 없이 재위탁을 한 경우
기업에서 대응해야 할 업무 절차
1 운영개발 중인 모바일 앱(App) 현황 파악(앱이 설치된 모바일 기기 내 이용 정보 및 기
능 내역)
2 1에서 식별된 모바일 기기 내 정보 및 기기에 대해 서비스 이용에 필수선택 항목 식별
3 모바일 앱 설치 시 동의이용 중 철회 절차 검토 및 보완
1) 필수항목과 선택항목의 구분
2) 법 제22조의2제1항1호2호의 사항을 고지사항에 반영
4 이용자 정보 보호에 필요한 기타 조치 사항 반영
5 3과 4에서 도출된 사항을 모바일 앱에 적용 업데이트
6 기존 운영 중인 앱의 경우 고객에게 업데이트 고지(동의 또는 재동의 절차 적용)
⑦ 수탁자는 개인정보 처리위탁을 한 정보통신서비스 제공자 등의 동의를 받은 경우에 한
하여 제1항에 따라 위탁받은 업무를 제3자에게 재위탁할 수 있다 lt신설 2016322gt
기업에서 대응해야 할 업무 절차
1 수탁자의 경우 위탁받은 개인정보의 처리 업무 중 재위탁 현황 파악
2 재위탁 사실이 있고 위탁자의 동의 증적이 없는 경우 파악
3 2에서 파악된 미동의 재위탁 건에 대해 위탁자에게 고지 및 동의 확보
6 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항
을 처리하는 부서의 명칭과 전화번호 등 연락처
7 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치middot운영 및 그 거부에
관한 사항(해당하는 경우)에만 정한다
중요도 업무영향도 대응업무부하
처 벌
3000만 원 이하의 과태료
- 반드시 필요하지 않은 접근권한 설정에 정보주체가 동의하지 않는다는 이유
로 서비스 제공을 거부할 경우
- 접근권한에 대한 동의 및 철회방법을 마련하는 등 조치를 하지 않은 경우
제22조의2(접근권한에 대한 동의) ① 정보통신서비스 제공자는 해당 서비스를 제공하기 위
하여 이용자의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신 단말장치에 설치된
기능에 대하여 접근할 수 있는 권한(이하 ldquo접근권한rdquo이라 한다)이 필요한 경우 다음 각 호의
사항을 이용자가 명확하게 인지할 수 있도록 알리고 이용자의 동의를 받아야 한다
1 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한인 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
2222
법률rsquo에 따른 전화 권유 판매자가 육성으로 전화 권유를 하는 경우가
그 중 하나였다 개정 법에서는 lsquo수신자에게 개인정보의 수집출처를 고
지하고rsquo라는 조건이 추가됨으로써 한결 까다로워졌다
4) 개인정보의 국외 이전 유형에 따른 동의 요건 완화
모처럼 개인정보보호 담당자한테 반가운 개선 조항이 생겼다 개인정
보의 국외 이전은 정통망법에서 논란이 되던 문제였다 개인정보보호
법은 국외에 제3자 제공할 경우만 정보주체의 동의 받으라고 되어 있
는데 정통망법에선 lsquo이전rsquo할 때 동의를 받으라고만 되어 있었기 때문에
제3자 제공과 위탁의 경우를 달리 적용하기 어려웠던 것이다 개정안
에서는 lsquo국외로 이전하려면rsquo이라고 되어 있던 조항을 lsquo국외에 제공(조회
되는 경우를 포함한다)middot처리위탁middot보관(이하 이 조에서 ldquo이전rdquo이라 한
다)하려면rsquo이라고 풀어서 표현하고 lsquo다만 정보통신서비스의 제공에 관
한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서
제3항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자
우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는
개인정보 처리위탁middot보관에 따른 동의절차를 거치지 아니할 수 있다rsquo라
는 단서 조항을 더 함으로써 국외 이전의 경우에도 위탁업무일 경우엔
동의 받지 않고 처리할 수 있도록 하였다 (개인정보보호법과 일치시킨
셈이다)
5) 노출된 개인정보의 삭제 차단 조치 의무화
웹사이트에서 시험 합격자 명단 등을 공개할 때 관리자의 부주의로 주
민번호와 같은 고유식별정보를 포함시키는 일이 종종 발생하곤 한다
기존 법령에서도 개인정보의 노출을 통제할 책임은 정보처리자에게 부
여하고 있으나 이번 개정안에서는 별도의 조항으로 명시함으로써 책임
성을 부각하고 있다 관련 처벌이 따르지 않아 규범적 조항인 점이 그
나마 다행스럽다
6) 기타 사항
이상 중요한 사항은 짚어 보았고 다른 사항은 대부분 개인정보보호법
과 균형을 맞추기 위한 내용들이다 lsquo개인정보관리책임자rsquo란 용어는
개인정보보호법과 마찬가지로 lsquo개인정보보호책임자rsquo란 용어로 바뀌
었고 처벌 수준에 있어서도 주요 법 위반 시 위반행위에 관련된 이익
의 몰수 추징 조항이 신설되었다 내용의 파급력으로 보자면 충격이
클 수도 있는 제32조 제2항의 징벌적 손해배상도 이미 개인정보보호
법에 들어간 내용이기 때문에 기업 입장에서 새롭게 고민할 사항은
적을 듯하다
전기통신사업자와 정보통신서비스 제공자를 대상으로 하는 정보통신
망법과 일반법으로 적용되는 개인정보보호법은 개인정보보호의 규준
을 이루는 양대 법률이다 기업 입장에선 지나치게 자주 개정되어 정보
보호 업무 부담을 더하는 측면도 있다 하지만 이번 개정안은 두 법의
용어와 조항 처벌 수준 등을 통일함으로써 법 적용을 돕는 긍정적인
면이 훨씬 많을 듯하다 아무쪼록 이번 개정안이 적극 반영되어 사회
전반에서 더욱 안전한 개인정보보호 환경이 갖추어지기를 기대한다
기업에서 대응해야 할 업무 절차
1 전화 권유 판매 시 정보주체 사전 동의 획득 여부 확인
2 사전동의 미 획득 케이스인 경우 개인정보 수집출처 확인
3 개인정보 수집출처가 확인되지 않은 경우 개인정보 이용 중지
4 개인정보 수집출처가 확인된 경우 수집출처를 고객에게 고지하고 전화 권유 판매
기업에서 대응해야 할 업무 절차
1 개인정보의 해외 이전 유형 식별(제공처리위탁보관)
2 이전 유형 중 처리위탁보관의 경우 고지공개 여부 확인
3 이전 유형 중 제공의 경우 동의 여부 확인
4 2 3단계에서 미흡 사항 발견 시 개선 조치
중요도 업무영향도 대응업무부하
처 벌 없음
제32조의3(노출된 개인정보의 삭제middot차단) ① 정보통신서비스 제공자 등은 주민등록번호
계좌정보 신용카드정보 등 이용자의 개인정보가 정보통신망을 통하여 공중에 노출되지 않
도록 하여야 한다
② 정보통신서비스 제공자 등의 고의 또는 중대한 과실로 인하여 개인정보가 분실middot도난middot
유출middot위조middot변조 또는 훼손된 경우로서 이용자에게 손해가 발생한 때에는 법원은 그 손
해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다 다만 정보통신서비스
제공자 등이 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다 lt신설
2016322gt
기업에서 대응해야 할 업무 절차
1 시스템 내 개인정보 노출 현황 파악 (노출정보유형목적노출기간주관부서 등 현황 파악)
2 노출된 고유식별정보 및 금융정보 발견 시 삭제 또는 보호(마스킹 등) 조치
3 1~2의 반복적 이행 가급적 시스템화하는 것이 바람직함
중요도 업무영향도 대응업무부하
처 벌
- 2000만 원 이하의 과태료 공개나 고지 없이 개인정보를 국외에 처리위탁
보관한 경우
- 과징금 부과 정보주체의 동의 없이 개인정보를 국외에 제공한 경우
23
어릴 때부터 각종 디지털 기기의 사용이 능숙한 lsquo디지털 키즈(Digital kids)rsquo인 우리 자녀들을 위한 똑똑한 lsquo디지털 페어런팅(육아법)rsquo을 소개한
다 식당이나 카페에서 어린 자녀에게 스마트폰은 보여주고 있거나 자녀가 어린이날 선물로 스마트폰을 사달라고 조르는 경우 스마트폰 게임
이나 SNS에 빠져 있는 자녀 때문에 걱정인 부모들에게 필요한 자녀의 연령에 맞는 디지털 페어런팅이다 자녀가 성숙한 디지털 기기 사용 습
관을 기를 수 있도록 도와주는 것은 부모가 반드시 해야 하는 역할 중 하나다
몸짓을 이미지로 기억해 엄마의 의도를 파악한다 그다음 좌뇌가 발달하는데 좌뇌가 발달하기 시작하면 언어 발달이 이루어진다 그런데 이 시
기에 과도하게 스마트폰에 노출되면 우뇌가 충분히 발달하지 않은 상태에서 좌뇌가 발달하게 된다
우뇌가 제대로 발달하지 못하면 감정을 담당하는 뇌 발달에 영향을 줄 수 있는데 이는 다른 사람의 마음을 헤아리는 능력 다른 사람과 생각이
나 느낌을 주고 받는 능력 사고력 감정 조절력 부족으로 이어질 수 있다 우는 아이를 달래려고 부모가 편하게 밥을 먹기 위해서 흥미로운
자극을 주고 싶다는 이유로 이 시기 아이에게 건넨 스마트폰은 아이의 뇌에 치명적인 후유증을 남길 수 있음을 기억해야 한다
3~6세 유아기 부모의 통제 하에 사용해야
전문가들은 이 시기 아이에게도 디지털 기기의 사용을 권장하지는 않는다 하지만 현실적으로 쉽지 않다면 차선책을 선택해야 한다 부모가 디
지털 기기의 이용 시간 및 콘텐츠 등에 대해 확실한 기준을 갖고 있어야 한다 lsquo하루 30분 이상 넘기지 않으며 아이가 좋아하는 애니메이션 영상
과 동요 율동 영상만 본다rsquo는 식으로 말이다 아이의 손에 스마트폰을 맡겨버리면 의도하지 않은 영상에까지 노출될 우려가 있으니 주의해야 한다
약속한 시간 외에는 스마트폰을 아이의 손에 닿지 않는 곳에 두는 것이 좋다 이를 위해서는 부모 역시 스마트 기기 사용을 절제할 수 있어야
한다 아이들은 부모를 롤 모델로 삼아 그 태도와 습관을 배우기 때문이다 하지만 이 시기 아이가 스마트폰을 보여 달라고 강하게 떼를 쓰는
등 통제가 되지 않을 때는 당분간 아예 아이에게서 스마트폰을 분리하는 것이 효과적이다 스마트폰이 아닌 다른 방법으로 아이와 시간을 보
내는 법을 고민하는 것은 부모의 몫이다
0~3세 영유아기 스마트폰 잠시 건네는 것도 안 돼
이제 걸음마를 시작할 법한 아이가 스마트폰에 집중해 있는 모습을
본 적이 있을 것이다 우는 아이를 달래기 위해서 식당이나 카페에서
아이를 조용히 앉혀놓을 요량으로 부모는 어린 자녀의 손에 스마트폰
을 쥐여준다 하지만 전문가들은 이 시기의 아이에게 디지털 기기를
노출시키는 건 ldquo안 된다rdquo고 입을 모은다 lsquo영유아 스마트폰 증후군rsquo 등
의 부작용이 우려되기 때문이다
lsquo영유아 스마트폰 증후군rsquo이란 6세 미만의 아이들이 영상 게임 등의
지속적인 자극에 오랜 시간 노출되어 우뇌가 발달해야 하는 시기에
좌뇌가 지나치게 발달해 좌middot우뇌의 균형이 틀어지는 것을 말한다
영아기 아이는 우뇌가 먼저 발달하는데 엄마의 표정 목소리 눈짓
I T amp L I F E
내 아이를 지키는 rsquo디지털 페어런팅rsquo
스티브 잡스가 자녀에게 아이폰 아이패드와 같은 디지털 기기의 사용을 허락하지 않았다는 건 잘 알려진 사실이다 드론을 만드는 3D
로보틱스 CEO 크리스 앤더슨은 아이들이 사용하는 전자 기기의 사용 시간을 제한하고 부모가 통제할 수 있는 장치를 부착했다고 한
다 그는 ldquo테크놀로지의 위험을 잘 알고 있으며 아이들에게 그런 일이 일어나는 것을 원치 않는다rdquo며 그 이유를 설명했다 이들의 자녀
교육법이 전적으로 옳다고 말할 수는 없지만 어릴 때부터 디지털 기기 사용이 너무나 익숙한 우리 자녀들의 모습은 한 번쯤 돌아볼 필
요가 있다
24
6~10세 미만 디지털 기기 사용 가이드라인에 대해 설명해줘야
부모가 디지털 기기 사용 시간 및 사용 및 목록의 한계에 대한 가이드라인을 정하고 이에 대해 아이가 이해할 수 있도록 설명해주는 것이 좋
다 가이드 라인을 정할 때 아이의 생각을 들어보고 반영하는 것도 방법이다 디지털 기기 사용 가이드라인이 지켜질 수 있도록 온 가족이 노력
해야 함은 물론이다 TV를 보고 스마트 기기를 가지고 노는 것 자체가 문제가 될 수도 있지만 이로 인해 친구들과 뛰어놀며 신체활동을 하는
즐거움을 빼앗기지 않도록 하는 것도 중요함을 잊지 말아야 한다
10세 이상의 초등학생 스스로 규칙을 정하고 지킬 수 있도
록 동기 부여
부모들의 고민 중 하나는 lsquo아이에게 스마트폰을 언제 사줄 것인가rsquo다
아이의 하교 후 학원에서 학원으로 이동할 때마다 연락을 주고받기
위해 휴대전화가 필요할 수도 있다 요즘은 초등학교 입학과 함께 스
마트폰을 사주는 가정도 많다 친구들도 다 있다며 사달라고 떼를 쓰
는 아이의 마음도 이해 못 하는 바 아니지만 자녀에게 스마트폰을 사
주는 적당한 시기는 부모가 잘 판단해야 한다 아이가 스마트폰 사용
규칙을 지킬 수 있을 만큼 성숙한 상태여야 한다는 의미다 하고 싶어
도 참을 수 있는 절제력과 충동조절능력 좌절인내력이 바탕이 돼야
만 스스로 규칙을 지킬 수 있다
구글 애플 마이크로소프트 등 글로벌 IT 기업의 자녀들이 많이 다니
는 실리콘밸리에 발도로프 학교에는 컴퓨터가 없다 스크린 보드 빔
프로젝터 등의 멀티미디어 기기도 없으며 연필과 종이 분필 등을 이
용한 아날로그식 수업이 진행된다 이들은 우리나라 나이로 중학교 3
학년이 되는 8학년이 돼서야 컴퓨터를 서서히 배우기 시작한다 학생
들이 학교에 디지털 기기를 가져올 수도 없다 lsquo디지털 세상이 아이를
아프게 한다rsquo의 저자인 신의진 정신과 박사는 ldquo언제 자녀가 스마트폰
을 사용하면 좋냐rdquo는 질문에 ldquo늦을수록 좋다rdquo고 답한다
우리 자녀 세대는 지금 우리보다 훨씬 더 디지털 기기와 가깝게 지낼
것이다 시대가 변하고 있기 때문이다 더 흥미로운 기기들이 쏟아질
것이고 그에 맞는 교육 및 놀이 앱이 넘쳐날 것이다 하지만 시대가
변해도 변하지 않는 것은 존재한다 부모가 자녀와 디지털 생활에 대
해 이야기를 나눌 수 있는 환경은 신뢰를 바탕으로 한 그들의 아날로
그 생활에서의 환경이 조성하는 법이다 가족과 함께 서로의 디지털
생활에 대한 이야기를 나눠보는 시간을 갖는 것은 어떨까
자녀와 함께 TV 컴퓨터 스마트폰 등에 대한 이용 규칙을 정하고 스스로 통제할 수 있도록 동기를 부여해주는 것이 좋다 만약 약속을 어겼을
경우 벌칙도 명확히 해둔다 예를 들어 주말에만 컴퓨터 게임을 하기로 했는데 어겼다면 다음 주말 컴퓨터 이용 시간을 줄이는 식이다 초등학
교 3~4학년만 돼도 아이들은 SNS에 흥미를 느끼기 시작한다 이때 부모는 아이가 어떤 게시물을 올리고 다운로드하는지 관심을 가질 필요가
있다 인터넷상에 올린 글이나 영상은 쉽게 공유될 수 있으며 지우는 것도 쉽지 않다는 점에 대해서도 알려줘야 한다
중middot고등학생 자율성 존중하되 방치해선 안 돼
ldquo스마트폰 그만하고 공부해rdquo와 같은 강압적인 지시는 되레 부작용을 낳을 수 있다 중middot고등학생의 자녀와의 디지털 페어런팅에서 가장 중요한
것은 자율성을 존중하되 방치해서는 안 된다는 점이다 아이가 적당히 조절하며 디지털 기기를 사용하고 있다면 문제 없지만 걱정할 정도로 몰
입돼 있는 상황이라면 가정의 디지털 페어런팅 방식을 다시 점검해봐야 한다 과몰입 상태는 적절한 교육으로 가정에서 바로 잡을 수 있지만 중
독의 수준이라면 상황이 달라진다 이런 경우 아이가 디지털 기기에 빠진 원인을 찾고 이를 해결하기 위해 전문가 상담 및 치료를 받아야 한다
[그림 1] 컴퓨터가 없는 발도로프 학교에 대해 다룬 뉴욕타임즈 기사
(출처 httpwwwnytimescom20111023technologyat-waldorf-school-in-silicon-valley-technology-can-waithtml)
참고 자료
신의진(2013) 디지털 세상이 아이를 아프게 한다 북클라우드
구본권(2014) 당신을 공유하시겠습니까 어크로스
25
보안 통계와 이슈 S T A T I S T I C S
[그림 2]는 2016년 4월 한 달간 유포된 악성코드를 주요 유형별로 집
계한 결과이다 불필요한 프로그램인 PUP(Potentially Unwanted
Program)가 5948로 가장 높은 비중을 차지했고 트로이목마
(Trojan) 계열의 악성코드가 168 웜(Worm)이 347의 비율로
그 뒤를 이었다
지난 4월 한 달간 탐지된 모바일 악성코드는 24만 7847건으로 집계
됐다
안랩 시큐리티대응센터(이하 ASEC)는 최근 ASEC Report Vol76를 통해 지난 2016년 4월의 보안 통계 및 이슈를 전했다 지난 4월
의 주요 보안 이슈를 살펴본다
파일 속성 변경하는 리눅스 악성코드 등장
안랩 4월 악성코드 통계 및 보안 이슈 발표
[그림 1] 악성코드 추이(2016년 2월~2016년 4월)
ASEC이 집계한 바에 따르면 2016년 4월 한 달간 탐지된 악성코드
수는 1156만 4967건으로 나타났다 이는 전월 1321만 2012건에
비해 164만 7045건 감소한 수치다 한편 4월에 수집된 악성코드 샘
플 수는 324만 5837건이다
샘플 수집 수탐지 건수
[그림 2] 2016년 4월 주요 악성코드 유형
Adware DownloaderWormTrojanetcPUP
[그림 3] 모바일 악성코드 추이(2016년 2월 ~ 2016년 4월)
5000000
6000000
10000000
20000000
30000000
40000000
1000000
2000000
3000000
4000000
4월3월2월
11830547 1156496713212012
324
583
7
354
858
1
349
346
8
347
168
1939
5948072
014
100000
200000
300000
500000
600000
700000
400000
0
4월3월2월
247847256512
323301
26
또한 지난 4월 악성코드 유포지로 악용된 도메인은 648개 URL은
2216개로 집계됐다 4월의 악성 도메인 및 URL 차단 건수는 총 637
만 3536건이다
이와 같은 경우 lsquolsattrrsquo 명령을 통해 해당 파일의 속성을 조회하면 [그
림 7]과 같이 lsquoirsquo 속성이 추가되어 있음을 확인할 수 있다
리눅스 악성코드 lsquo빌게이츠 봇넷rsquo 발견
최근 리눅스(Linux) 운영체제에서 감염 시스템의 정보 수집 시스
템 파일 교체 DDoS 공격 등을 수행하는 lsquo빌게이츠 봇넷(BillGates
botnet)rsquo이 발견됐다 해당 악성코드는 감염 시스템 내에서 속성이 변
경되어 삭제가 불가능해 리눅스 사용자들의 피해가 우려된다
빌게이츠 봇넷은 서버에 침입 후 파일의 속성을 변경하여 악성코드를
삭제할 수 없도록 설정한다 리눅스 시스템에서 악성코드 감염에 의
해 파일 속성이 변경된 경우 이를 삭제할 수 있는 방법을 자세히 살
펴보자
먼저 공격자가 파일의 속성을 변경한 후 [그림 5]와 같이 삭제 시도를
하면 lsquo실행이 허가되지 않았다(Operation not permitted)rsquo라는 메시
지가 출력되며 해당 파일이 삭제되지 않는다
이처럼 lsquoirsquo 속성이 추가되어 있는 경우에는 [그림 8]과 같이 루트 권한
으로 lsquochattrrsquo 명령을 통해 해당 파일의 속성을 변경한 후 다시 삭제
를 시도하면 해당 파일이 정상적으로 삭제된다
파일의 속성 추가(chattr)는 lsquo+[추가할 속성]rsquo 제거는 lsquondash[제거할 속성]rsquo
을 통하여 수행할 수 있으며 lsquo-Rrsquo 옵션을 추가로 부여하는 경우에는
하위 디렉터리까지 모두 포함되어 적용된다 이는 윈도우(Windows)
운영체제의 lsquoattirbrsquo 명령과 유사하다
이때 만일 관리자가 파일이 삭제되지 않는 원인을 파일 권한 문제라
고 생각하고 파일 시스템에 기록된 정보를 이용하여 루트 계정 및
inode를 제거하는 방법으로 다시 삭제를 시도하면 마찬가지로 동일
한 메시지가 발생하며 파일이 삭제되지 않는다
이번 리눅스 악성코드 사례와 같이 파일의 속성이 변경되어 삭제가
불가한 경우가 있어 권한 뿐만 아니라 파일 속성에 대해서도 다시 한
번 확인하는 것이 필요하다 단 중요 파일이나 로그 파일 등은 lsquoirsquo나
lsquoarsquo 속성을 적용하는 정상적인 경우도 있다 즉 이러한 속성이 적용되
어 있는 파일이라고 해서 모두 악성 파일은 아니므로 정확히 악성으
로 확인된 파일에 대해서만 삭제를 진행할 것을 권장한다
최근 리눅스 운영체제를 노리는 악성코드가 꾸준히 증가하고 있다
DDoS 공격이나 백도어 등 리눅스 악성코드의 기능도 다양해지고 있
으며 앞으로 더욱 고도화될 것으로 예상된다 리눅스 시스템도 안전
하게 이용하기 위해서는 반드시 암호를 설정해야 하며 최신 보안 업
데이트를 적용해야 한다
V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지하고
있다
ltV3 제품군의 진단명gt
LinuxBackdoor1223123B
[그림 5] RM 명령어를 통한 삭제 시도
[그림 6] INODE 제거를 통한 삭제 시도
[그림 4] 악성코드 유포 도메인URL 탐지 및 차단 건수(2016년 2월 ~ 2016년 4월)
악성 도메인URL 차단 건수 악성코드 유포 URL 수악성코드 유포 도메인 수
10000
20000
30000
8000000
9000000
40000
7000000
6000000
5000000
4000000
04월
221681467900
6481587936
3월2월
6373536
7157616
6355582
[그림 7] 파일 속성 조회
[표 1] 리눅스 파일 속성 및 lsquoCHATTRrsquo 명령어 예시
[그림 8] 파일 속성 변경 후 제거 시도
[명령어 예시 (i S 속성 추가)]
chattr + iS samples
[파일 속성명 중 일부] [설명]
a (CAP LINUX IMMUTABLE capability) 추가 작성만 가능 삭제 불가
I (CAP LINUX IMMUTABLE capability) 삭제 변경 링크 파일 생성 등
S 파일이 변경되면 디스크 동기화
u 파일 삭제 시 내용 백업
2727
A H N L A B N E W S
현대자동차 그룹 IT서비스 전문업체인 현대오토에버가 최근 lsquo5스타
우수 개발협력사rsquo로 안랩을 선정했다
lsquo현대오토에버 우수 개발협력사rsquo는 현대오토에버가 협력사와 공동
으로 수행한 전년도 사업의 수행 실적에 따라 1스타부터 5스타까지
우수협력사를 선정하고 이에 따른 다양한 인센티브를 제공하는 프
로그램이다
안랩은 현대오토에버의 개발컨설팅 협력사로서 프로젝트 평가 및
업체 종합 평가 등에서 안정적이고 우수한 프로젝트 성과를 인정받
아 최고 등급인 lsquo5스타rsquo 우수 개발협력사로 선정됐다 안랩 서비스
사업부를 총괄하는 방인구 상무는 ldquo안랩은 핵심가치인 lsquo고객만족rsquo을
기준으로 맡은 사업에 대해 언제나 최선을 다하고 있다rdquo며 ldquo안랩을
신뢰해주시는 여러 회사와 함께 동반성장할 수 있도록 노력하겠다rdquo
고 말했다
안랩이 지난달 17일 코엑스 컨벤션센터에서 열린 lsquo아마존 웹 서비
스 글로벌 서밋 서울 2016(이하 AWS 서밋 서울 2016)rsquo에서 다양
한 산업 관계자를 대상으로 lsquo안랩 AWS 고객 원격 보안관제 서비스rsquo
를 소개했다
AWS 서밋 서울 2016은 아마존 웹 서비스가 제공하는 클라우드 컴
퓨팅 서비스에 대한 지식을 공유하고 IT 업계의 최신 기술 트렌드 등
을 소개하는 행사로 지난해 첫 국내 개최에 이어 두 번째로 열렸다
이번 행사에 참가한 안랩은 전용 부스를 운영하며 lsquo안랩 AWS 고객
원격 보안관제 서비스rsquo에 대한 개별 고객 상담 및 서비스 체험 신청
등을 진행했다 안랩 AWS 고객 원격 보안관제 서비스는 네트워크
및 웹 서비스 등에 대한 보안을 안랩의 침해대응(CERT) 전문인력이
원격으로 모니터링 및 관리해주는 서비스다
또한 별도 발표장에서 진행된 미니 발표 세션에서 안랩 서비스상
품기획팀 김준호 대리는 안랩 AWS 고객 원격 보안관제 서비스의
개요 및 구성을 비롯하여 탐지를 넘어 위협 분석까지 제공하는
침해사고 대응 프로세스 미디어사 O2O(Online to Offline 온오
프라인 연결) 서비스 제조 분야의 실제 고객 사례를 통한 다양한
산업별 서비스 적용 방안 등 lsquo안랩 AWS 고객 원격 보안관제 서비
스rsquo의 개념과 강점을 소개했다
안랩 김준호 대리는 ldquo안랩은 lsquoAWS 고객 원격 보안관제 서비스rsquo를
지난 1월 출시한 이후 약 4개월 여 만에 이미 복수의 대형 고객사
를 확보하는 등 검증된 서비스를 제공하고 있다rdquo며 ldquo이는 많은 고객
사에서 단순 탐지를 넘어 위협 분석 및 대응까지 가능한 안랩의 전
문성을 인정한 것으로 볼 수 있다rdquo고 강조했다
현대오토에버
lsquo우수 개발협력사rsquo로 안랩 선정
안랩 lsquoAWS 서밋 서울 2016rsquo에서
클라우드 보안관제 서비스 소개
안랩은 AWS 서밋 서울 2016 행사에서 전용 부스와 발표 세션을 통해 안랩 AWS 고객 원격 보안관제 서비스를 소개했다
발행인 권치중
발행처 주식회사 안랩
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
편집인 안랩 콘텐츠기획팀
디자인 안랩 디자인팀
copy 2016 AhnLab Inc All rights reserved
본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제 복사 검색 시스템
으로 저장 또는 전송될 수 없습니다 안랩 안랩 로고는 안랩의 등록상표입
니다 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상
표일 수 있습니다 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
copy 2016 AhnLab Inc All rights reserved
httpwwwahnlabcom
httpblogahnlabcom
httptwittercomahnlab_man
14
CryptXXX RansomwareT H R E A T A N A L Y S I S
최근 lsquo크립트엑스엑스엑스 랜섬웨어rsquo가 대량 유포되면서 피해 사례가 늘어나고 있다 크립트엑스엑스엑스의 특징은 기존 랜섬웨어와
달리 실행 파일(EXE) 형태가 아닌 동적 링크 라이브러리(DLL) 형태로 유포되고 있다는 점이다 DLL 형태로의 유포는 정상적인 프로
세스와 함께 동작하는 구조여서 감염 사실을 알아차리기조차 어렵다
월간 lsquo안rsquo에서는 1부와 2부에 걸쳐 크립트엑스엑스엑스의 동작 방식과 주요 기능 암호화 방식 복구 툴 등 자세한 내용을 소개한다
lt연재 목차gt
1부_ DLL 이용한 CryptXXX 랜섬웨어 분석 완료
2부_ CryptXXX 암호화 비밀과 복구 툴 공개
DLL 이용한 CryptXXX 랜섬웨어 분석 완료
CryptXXX 랜섬웨어 분석 보고서_1부
크립트엑스엑스엑스 랜섬웨어(진단명 TrojanWin32CryptXXX
이하 크립트엑스엑스엑스)는 컴퓨터에 있는 파일을 암호화한 뒤
lsquocryptrsquo 확장자로 변경하여 사용자에게 비트코인을 요구하는 랜섬웨
어다 [그림 1]은 크립트엑스엑스엑스의 동작 방식이다
크립트엑스엑스엑스의 경우 다른 랜섬웨어와의 차이점은 DLL(동
적 링크 라이브러리 Dynamic Linking Library)로 동작한다는 점이
다 크립트엑스엑스엑스는 정상 rundll32exe를 악성 DLL이 있는 경
로에 svchostexe로 이름을 바꾸어 복사한 뒤 악성 DLL의 내보내기
(Export) 함수를 인자값으로 호출하여 동작한다
이 악성코드는 피해자의 컴퓨터를 감염시킬 때 lsquoRecovery_사용자
IDtxtrsquo lsquoRecovery_사용자IDhtmlrsquo lsquoRecovery_사용자IDbmprsquo 형
식의 파일을 생성하며 내용은 [그림 3] [그림 4]와 같다
[그림 1] 크립트엑스엑스엑스 동작 방식
[그림 3] 크립트엑스엑스엑스 결제 안내 페이지
[그림 2] svchostexe(정상 rundll32exe)로 로드되어 동작하는 악성 DLL
15
CampC 통신
크립트엑스엑스엑스는 파일을 암호화하기 전 CampC에 악성코드가 생
성한 사용자 ID를 전송한다
암호화된 환경
크립트엑스엑스엑스는 암호화가 완료된 파일의 수정한 날짜와 시간
정보를 백업된 원본의 수정한 날짜로 변경한다
[그림 4] 크립트엑스엑스엑스 결제 안내 텍스트
[표 1] 자동 실행 등록을 위한 바로가기 링크 파일 생성
[표 3] 암호화 대상 확장자
[표 4] 암호화 제외 대상 경로
[표 2] 암호화 대상 드라이브
[그림 5] 자동 실행 등록 정보
[그림 6] CampC 통신 패킷 정보
크립트엑스엑스엑스 주요 기능
자동 실행 등록
크립트엑스엑스엑스는 [표 1]과 같이 시작프로그램에 바로가기 링크
파일을 생성한다 [그림 5]에서 알 수 있듯이 해당 링크 파일에 의해
실행되는 파일은 크립트엑스엑스엑스이며 lsquoMS114rsquo라는 이름의 함수
를 호출하는 기능을 한다
자동 실행 등록
파일
CDocuments and Settings프로그램시작프로그램[사용자ID]lnk
암호화 대상 드라이브
고정식 드라이브 이동식 드라이브 네트워크 드라이브
악성 DLL 내부에 암호화된 CampC는 2개이며 첫 번째 IP에 접속이 되
지 않았을 경우 두 번째 IP로 연결된다
- 1447821443
- 9311876443
CampC 접속 여부와 관계없이 패킷을 전송한 후에는 파일 암호화가 진
행된다
파일 암호화 대상
분석된 크립트엑스엑스엑스로부터 확인된 암호화 대상은 [표 2]와 같다
Z 부터 A 까지 마운트된 모든 드라이브 중 다음의 암호화 대상 드
라이브만 감염이 진행된다
암호화 대상 확장자
3DM 3DS AES APK APP ARC ASC ASM ASP ASPX BRD BZ2 C
CER CFG CFM CGI CGM CMD CPP CRT CSR CSS CSV CUE DB
DBF DCH DCU DIF DIP DJV DJVU DOC DOCB DOCM DOCX DOT DOTM
DOTX DTD DWG DXF EML EPS FDB FLA FRM GBK GBR GED GPG
GPX H HTM HTML HWP IBD INDD JAR JAVA JKS JSP KEY KML
KMZ LAY LAY6 LDF LUA M MAX MDB MDF MFD MML H MS11
MSI MYD MYI NEF NOTE OBJ ODB ODG ODP ODS ODT OTG OTP
OTS OTT P12 PAQ PAS PCT PDB PDF PEM PHP PIF POT POTM
POTX PPAM PPS PPSM PPSX PPT PPTM PPTX PRF PRIV PSD RAR RAW
RSS RTF SCH SDF SITX SLDX SLK SLN SQL STC STD STI STW
SVG SWF SXC SXD SXI SXM SXW TAR TBK TEX TGZ TLB TXT
UOP UOT VB VBS VCF VDI VMDK VMX WKS WPD WPS WSF XLC
XLM XLR XLS XLSB XLSM XLSX XLT XLTM XLTX XLW XML ZIP ZIPX
ACCDB CLASS GADGET IBOOKS PAGES PLUGIN PRIVATE
QCOW2 SQLITE3 SQLITEDB VCXPROJ XCODEPROJ XHTML
암호화 대상 확장자
폴더
WINDOWS BOOT EFI CONFIGMSI
WINNT RECOVERY PROGRA^1 GOOGLE
RECYCLER$RECYCLE
BINPROGRA^2 TEMP
SYSTEM^1 PERFLOGS
16
[그림 7] 암호화 된 파일의 파일의 시간 정보 변경 코드
[그림 8] 암호화된 파일의 시간 정보 변경 전(왼쪽) 및 변경 후(오른쪽)
[그림 13] 암호화 완료 후 화면
[그림 12] 결제 안내 파일의 시간 정보 변경 전(좌) 및 변경 후(우)
[그림 9] 암호화 후 확장자 변경
[그림 11] 결제 안내 파일의 시간 정보 변경 코드
[그림 10] 암호화된 파일과 생성된 결제 안내 파일(BMP HTML TXT)
[그림 7]에서 붉은색 박스로 표현한 부분의 데이터(A4 80 BC 4B 36
B0 D1 01)는 SetFileTime API를 사용하여 백업된 원본의 수정한 날
짜로 변경된다
생성한 결제 안내 파일의 시간 정보를 [그림 12]와 같이 변경한다 암
호화가 완료되면 [그림 13]과 같은 화면을 띄우고 스크린이 잠기게
하여 사용자가 어떠한 동작도 할 수 없게 한다
이때 시간 정보가 변경된 파일은 MoveFileW API를 사용하여 [원본
파일명]crypt로 확장자가 변경된다
크립트엑스엑스엑스는 일반적으로 웹사이트 다운로드 등으로 유포되
는 경우가 많다 따라서 사용자는 출처를 알 수 없는 메일에 첨부된 파
일의 실행이나 불필요한 사이트 접근을 삼가는 등의 주의가 필요하다
해당 악성코드 감염을 막기 위해서는 항상 윈도우 보안 패치 및 V3
백신 프로그램을 최신 업데이트 상태로 유지하는 것이 필요하다
안랩은 원본 파일을 복구하는 툴을 랜섬웨어 보안센터를 통해 무료로
제공하고 있다
안랩 랜섬웨어 보안센터 바로가기
그리고 암호화된 파일이 있는 경로마다 결제 안내 파일들을 생성한다
앞서 언급했듯이 SetFileTime API를 이용하여 [그림 11]에 있는 붉은
색 박스에 있는 데이터(00 00 00 00 71 37 00 00)는 1601년 3월 12
일 월요일 10시 17분 27초로 변경된다
17
CryptXXX RansomwareT H R E A T A N A L Y S I S
크립트엑스엑스엑스(CryptXXX) 랜섬웨어는 정상 파일을 암호화한 후 lsquocryptrsquo 확장자로 변경하여 사용자에게 비트코인을 요구하는
랜섬웨어다 이 랜섬웨어는 현재까지 버전 1x 2x 3x 세 가지 형태가 알려져 있다 안랩은 현재 크립트엑스엑스엑스 2x 버전에 의
해 암호화된 파일에 대한 복구 툴을 제공하고 있다 특히 국내 사용자들이 많이 사용하고 있으나 기존 복구 툴이 지원하지 않는 한글
파일(HWP)의 복구도 가능하다는 점이 주목할만하다
월간 lsquo안rsquo에서는 1부와 2부에 걸쳐 크립트엑스엑스엑스의 동작 방식과 주요 기능 암호화 방식 복구 툴 등 자세한 내용을 소개한다
lt연재 목차gt
1부_ DLL 이용한 CryptXXX 랜섬웨어 분석 완료
2부_ CryptXXX 암호화 비밀과 복구 툴 공개
CryptXXX 암호화 비밀과 복구 툴 공개
CryptXXX 랜섬웨어 분석 보고서_2부
1 암호화 방식
[그림 1]은 크립트엑스엑스엑스에 의해 암호화된 lsquoPhotojpgrsquo 파일을
나타낸다 암호화는 고정 크기(0x1FFF)의 블록 단위로 순차적으로 이
뤄지며 암호화 최대 크기는 0xD012FE(대략 13M)로 이후의 데이터
는 원본과 동일하다
암호화된 파일은 원본 파일과 비교하여 260(=0x104)바이트가 증가
한 형태이며 이는 파일 끝부분에 삽입된 키 테이블(Key Table) 정보
로 인한 것이다([그림 1]에서 붉은색 블록 참고) 이 키 테이블 정보
는 블록 단위의 암호를 복호화하는 데 핵심이 되는 데이터로 공개키
를 통해 암호화되어 저장된다 즉 구조적으로는 해당 공개키에 매칭
되는 개인키 정보 없이는 해당 키 테이블 정보를 복호화할 수 없고
파일 복구가 불가능하다 하지만 해당 키 테이블 정보는 개인키 없이
도 원본 파일 시작 부분의 일부 데이터(예를 들면 파일 포맷별 Magic
정보)를 통해 파일의 형태를 확인할 수 있으며 그것을 토대로 유추할
수 있는 키 값으로 복구가 가능하다
2 Key Table 생성 방식과 취약성
[그림 2]는 파일 끝에 삽입된 0x104바이트 크기의 키 테이블이 생성
되는 과정을 나타낸다 이 그림에서 노란색 부분이 공개키로 암호화
된 KeyTable_A[0x40]이며 CryptEncrypt() API를 통해 공개키로 암
호화 시 원본 0x40바이트 크기의 데이터가 최종 0x80바이트 크기로
증가된다
[그림 1] 크립트엑스엑스엑스 암호화 방식
[그림 2] 키 테이블 생성 과정
18
[그림 2]에서 언급된 암호화에 사용되는 핵심 정보 3가지는 lsquo4바이
트 SEED 값rsquo lsquoKeyTable_A[0x40]rsquo lsquoKeyTable_B[0x100]rsquo이며 최초
4바이트 크기의 SEED 값으로부터 이후 정보들이 순차적으로 만들
어지는 구조를 갖는다 키 생성 과정의 최상위에 위치하는 SEED 값
은 감염 시점의 시스템 시간(SystemTime) 정보 중에서 시(wHour)
분(wMinute) 초(Second) 밀리초(Millisecond)를 이용하여 얻어지
며 이 SEED 값으로부터 0x40바이트 크기의 KeyTable_A[0x40] 데
이터가 생성된다 바로 이 부분에서 제작자가 의도하지 않은 취약성
이 존재하며 SEED 값이 동일하면 매번 동일한 KeyTable_A[0x40]
가 생성되는 구조를 갖는다 최종 블록 단위의 암호화에 사용되는
KeyTable_B[0x100]의 데이터와 원본 파일로부터 읽은 블록과의
XOR(배타적 논리합)을 통해 암호화가 수행된다
즉 SEED 값이 동일하면 매번 생성되는 최종 키 테이블 정보가 동일
한 점과 암호화 방식이 XOR이라는 2가지 포인트를 바탕으로 복구 대
상 파일의 Magic 정보가 존재한다면 역으로 키를 유추할 수 있는 구
조다 [그림 3]은 SEED 값이 0x02978CAC일 때 생성되는 키 테이블
A B의 예를 나타낸다
3 키 테이블 생성 함수
크립트엑스엑스엑스 랜섬웨어에서 파일 암호화 시 사용되는 핵심 정
보 3가지의 생성 함수는 다음과 같다
(1) SEED 값 생성
[그림 4]는 SystemTime 정보를 통해 4바이트 크기의 SEED 값을 생
성하는 함수를 나타낸다
KeyTable_A[0x40] 데이터가 생성되는 방식은 다음의 2가지 기본 테
이블 중 델파이 랜덤(Delphi Random) 함수를 통해 얻은 랜덤값을
바탕으로 하나의 값이 선택되어 구성되는 구조를 갖는다
(1) QWERTYUIOPASDFGHJKLZXCVBNMltgt$^amp()_+~|
(2) qwertyuiop[]asdfghjklzxcvbnm`1234567890-=
크립트엑스엑스엑스는 총 2번의 델파이 랜덤 함수를 사용하여 아래
의 Index(A)와 Index(B)를 얻게 된다 이때 Index(A)는 위 기본 테이
블 중 하나를 선택하기 위한 목적으로 Index(B)는 선택된 테이블의
데이터 중 하나를 선택하기 위한 목적으로 사용된다
Index(A) DelphiRandom(3) - 0 ~ 2 범위의 랜덤 값 생성(0 2인 경우 -gt
(1)번 1인 경우 -gt (2))
Index(B) DelphiRandom(44) - 0 ~ 43 범위의 랜덤 값 생성
예를 들어 Index(A) == 0이고 Index(B) == 3이면 lsquoRrsquo 문자열이 선택
된다
(2) 키 테이블(A) 생성
[그림 5]는 SEED 값을 바탕으로 0x40바이트 크기의 키 테이블을 생
성하는 함수이며 do-while 문을 통해 생성되는 0x40바이트 크기의
데이터가 SEED 값이 동일하면 동일한 형태로 생성되는 취약성이 존
재하는 부분이다
(3) 키 테이블(B) 생성
[그림 6]은 키 테이블(A)로부터 0x100바이트 크기의 최종 키 테이블
(B)가 생성되는 함수를 나타낸다 이 키 테이블 정보는 1바이트 단위
의 블록 단위의 암호화 시 XOR 키 값으로 사용된다
[그림 3] 키 테이블 A B 예제
[그림 4] SEED 값 생성 함수
[그림 5] 키 테이블(A) 생성 함수
19
[그림 6] 키 테이블(B) 생성 함수
[그림 7] 크립트엑스엑스엑스 복구 과정
4 복구 방식
시 분 초 밀리초 정보를 통해 계산되는 SEED 값의 범위는 다음과
같다
- 최소값 0000000000 -gt 0 최대값 235959999 -gt 0x5265bff
사용자마다 그리고 암호화된 파일마다 서로 다른 SEED 값을 유추하
기 위해 0 ~ 0x5265bff 범위의 SEED를 순차적으로 선택하며 이를
바탕으로 암호화에 사용된 키 테이블을 생성하거나 복호화를 시도
한다 첫 번째 블록에 대한 복호화를 통해 파일의 고유한 식별 정보
(Magic)가 확인되면 유효한 SEED 값으로 판단하고 전체 파일에 대
한 블록 단위의 복구를 시도한다 우선 첫 번째 파일이 복구에 성공하
면 두 번째 파일부터는 SEED의 범위를 제한하여 좀 더 빠른 복구가
가능하도록 했다 이러한 설정은 복구 대상 파일들이 동일 시간대에
감염된 형태가 대부분일 것으로 가정하여 이루어진 것으로 복구 대
상 파일들이 서로 다른 시스템에서 다른 시간대에 수집된 형태의 경
우 복구 시간이 더 오래 걸리는 특징을 갖는다
5 복구 대상 리스트
복구 툴을 통해 복구 가능한 크립트엑스엑스엑스 버전은 2x로 제한
적이며 우선 다음의 확장자들에 대한 복구가 가능하도록 제작되었
다 특히 국내 사용자들이 많이 사용하고 있으나 기존 복구 툴이 지
원하지 않는 한글 파일(HWP)의 복구가 가능하다 이 외에도 원본 파
일의 고유한 식별 정보만 알 수 있다면 복구가 가능한 구조이기 때문
에 추후 복구 대상으로 추가될 수 있다
CHM AI HWP PDB PDF RTF HTM HTML PHP XML DWG PS
WSF KEY CSR CRT WAV MP3 OGG WMA WMV AVI ASF MP4
MOV MID MPG FLV PNG GIF BMP TIF JPG JPEG ZIP RAR BZ2
7Z GZ JAR APK TGZ ODS DOC DOT PPT POT PPS XLS XLT
DOCX DOCM DOTX DOTM PPTX PPTM POTM POTX PPSM
XLSX XLSB XLSM XLTM XLTX EPS ISO SQLITE3 MDB MSI APP
FDB ACCDB SLN CLASS VCXPROJ
6 복구 툴 경로
안랩은 크립트엑스엑스엑스 랜섬웨어 2x 버전에 대한 복구 툴을 랜
섬웨어 보안센터를 통해 무료로 제공하고 있다
안랩 랜섬웨어 보안센터 바로가기
[그림 7]은 크립트엑스엑스엑스 복구 툴에서 파일 복구를 위해 이루
어지는 과정을 나타낸 것이다 구조상 첫 번째 파일을 복구하는 데 오
랜 시간이 소요되며 이후 파일부터는 빠르게 복구가 가능하다
20
F O C U S I N - D E P T H Compliance
20
1 개인정보보호법
1) 정보주체 이외로부터 수집한 개인정보의 수집 출처 고지 의무화
ldquo따르릉~ 여보세요 홍길동 고객님이시죠 여기는 보험사인데
요~ 알지도 못하는 보험사로부터 이런 전화를 받아 본 경험이 혹시
있었는지 모르겠다 어디서 내 전화번호를 입수한 것인지 물어보면 정
확히 대답하지 않거나 얼버무리는 경우도 많다 개정안이 시행되는 9
월 30일부터 이런 식의 연락은 더 이상 받지 않게 될 것 같다 일정 규
모 이상이 되는 기업(5만 명 이상의 민감 정보 또는 고유식별정보 처
리 100만 명 이상의 개인정보처리)이 정보주체로부터 직접 수집하지
않고 개인정보를 처리할 때는 반드시 ①정보수집출처 ②개인정보처리
목적 ③개인정보 처리정지 요구권이 있다는 사실을 최초 수집 후 3개
월 이내에 정보주체에게 고지해야만 하기 때문이다 불법으로 입수한
개인정보라면 애초에 고지도 못할 테지만 적법하게 제공받은 경우라
하더라도 고객에게 일일이 고지하기란 큰 부담이 될 것이다 고객이 제
3자 제공 동의를 해서 개인정보를 제공했다는 사실을 증명하라고 요구
하면 그 또한 큰일이다 필자 견해로는 이 개정안에 대한 대응이 본 기
사를 통틀어 제일 큰일일 듯 싶다
2) 민감정보의 안전성 확보조치 명시적 요구
민감정보란 개인의 사상middot신념 노동조합middot정당의 가입middot탈퇴 정치
적 견해 건강 유전 정보나 범죄 경력처럼 사생활을 현저히 침해할
우려가 있는 정보를 말한다 기존에도 고유식별 정보와 더불어 수집
이용하지 않는 것이 원칙이고 별도의 동의를 얻어 처리해야 하며 안
전성확보 조치를 통해 보호해야 할 대상이었다 이번 개정안에서는
민감정보에 대한 안전성 확보 조치를 명시적으로 요구하고 있을 뿐
기업 입장에서 달리 조치해야 할 사항은 없어 보인다 (기존 법에 따
라 잘 조치하고 있었을 경우에는 그렇다는 뜻이다)
3) 개인정보처리방침과 개인정보취급방침 구성 요건 동기화
개인정보보호법의 lsquo개인정보처리방침rsquo은 정보통신망법(이후 lsquo정통망
법rsquo)의 lsquo개인정보취급방침rsquo과 이름도 다르고 구성 요건에도 약간의 차
이가 있었다 이번 개정안에서는 방침 구성 내용에 정통망법 일부 사
꼭 챙겨야 할 개인정보보호 법령
지난 3월 8일 발간된 월간 lsquo안rsquo 2016년 3월호에 lsquo2016년에 챙겨봐야 할 개인정보보호 법령 5가지rsquo란 제목으로 개인정보보호 법령에 대
해 소개한 바 있다 이후 3월 22일과 29일에 정보통신망법과 개인정보보호법이 또 개정되어 2016년에 챙겨야 할 법령이 더 늘어났다
이번 호에서는 두 가지 법의 개정사항의 중요도를 별점으로 매겨가며 정리하고자 한다 단 중요도의 기준은 필자의 주관에 따른 것이므
로 참고만 하는 것이 좋겠다 개정된 내용 중 기업과 관련이 적은 사항은 따로 적지 않았다
별점으로 살펴본
lsquo개정rsquo 개인정보보호 관련 법령
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
중요도 업무영향도 대응업무부하
처 벌
- 미이행 시 3000만 원 이하의 과태료
- 미이행 상태에서 유출 사고 발생 시 2년 이하의 징역 또는 2000만 원 이하
의 벌금
중요도 업무영향도 대응업무부하
처 벌 해당 없음
기업에서 대응해야 할 업무 절차
1 법 시행 시점 이후 수집 보유 중인 개인정보 중 정보주체에게 직접 입수한 것이 아닌
개인정보 식별(정보주체 외 입수 경로 제3자 제공 동의 여부 확인)
2 1에서 식별된 개인정보 중 연락처가 있는 개인정보 식별
3 2에서 식별된 정보주체에게 개인정보 수집 및 이용 사실 고지(파기요청 수집)
구체적인 고지 시기 방법은 시행령이 나와야 알 수 있음
4 3의 절차에서 파기 요청 시 파기 시행
기업에서 대응해야 할 업무 절차
1 보유 중인 개인정보 중 민감정보 식별
2 1에서 식별된 민감정보에 대한 안전성 확보 조치 수준 점검
3 2절차에서 법 기준에 미흡한 경우 보완 조치 이행
2121
항을 반영하여 유사한 구조를 갖추도록 했으며 정통망법 또한 lsquo개인
정보처리방침rsquo으로 명칭을 변경함으로써 개인정보보호법과 일원화할
수 있게 되었다 개인정보보호법 개인정보처리방침에 추가된 사항은
다음과 같다
2 정보통신망 이용촉진 및 정보보호 등에 관한 법(이하 lsquo정
통망법)
1) 정보주체의 이동통신 단말장치 내 정보 및 기능에 대한 접근 시 동
의절차 의무화
스마트폰 메신저 앱을 생각해 보자 메신저 앱의 핵심적인 기능은 다
른 사람과 메시지를 주고받는 것이다 메신저를 편히 쓰려면 연락처
를 일일이 입력하기보다는 스마트폰에 있는 연락처 정보를 이용하는
게 필요할텐데 개정된 법은 그렇게 메신저 앱이 서비스를 이용하기
위해 스마트폰에 저장된 정보에 접근할 경우에 반드시 정보주체의 동
의를 받아야 한다는 것이다
핵심 서비스를 위해 필요한 정보나 접근권한에도 동의를 받으라고 하
는 상황인데 그 외의 목적이라면 당연히 동의를 요구할 수밖에 없다
이 경우에는 사용자가 동의를 거부할 권한이 있고 동의를 안했다고
해서 기업이 서비스 제공을 거부할 수 없도록 하고 있다(거부하면 과
태료 처벌을 받을 수 있다)
이 법의 요구사항은 흔히 알고 있는 개인정보 수집이용 동의와 개념
이 다르기 때문에 기업에서도 상당한 고민과 부담이 있을 것으로 예
상된다 (예를 들면 휴대전화에 저장된 연락처는 휴대전화 주인의 개
인정보가 아니므로 정보주체의 개인정보 수집이용 동의로 대체할 수
없다) 휴대전화 기능에 대한 접근권한 역시 개인정보 수집이용 동의
와는 다른 사항이므로 동의 절차를 새롭게 설정해야 할 가능성이 높
다 이런 동의와 철회 방법에 대한 구현 책임은 이동통신단말장치 소
프트웨어 제조업자와 공급자에게 부과하고 있으며 위반 시 과태료 처
벌을 할 수 있도록 되어 있다
2) 개인정보 처리업무 수탁자가 재위탁할 경우 원 위탁자의 동의를 받
는 경우에만 가능함
이번 정통망법 개정안에서는 개인정보 처리 위탁 관련 조항이 특히
많이 수정되었다 대부분 용어가 lsquo취급rsquo에서 lsquo처리rsquo로 바뀐 사항이 많
고 일부 조항은 개인정보보호법과 동일한 수준으로 바뀌었다 예컨대
수탁자에 대한 관리 감독 책임에 lsquo교육rsquo을 별도로 명시한다거나 수탁
자에게 위탁을 할 경우에는 문서에 의하여야 한다는 내용들이 그러하
다 개인정보보호법보다 조금 엄격하게 느껴질 만한 것은 제25조 7
항으로 수탁자의 재위탁은 위탁자로부터 동의를 받은 경우에 한한다
는 내용이다 (개인정보보호법은 시행령 제28조에서 lsquo재위탁 제한에
관한 사항rsquo을 위탁 시 작성해야 할 문서에 기재하도록 하고 있다)
3) 전화 권유 판매 시 개인정보 수집출처 고지 의무 부과
정통망법에 따르면 전자적 전송매체를 이용하여 영리목적의 광고성 정
보를 전송할 때 수신자의 명시적인 사전 동의를 받아야만 한다 사전
동의를 받지 않을 수 있는 예외가 두 가지 있는데 lsquo방문판매 등에 관한
③ 이동통신단말장치의 기본 운영체제(이동통신단말장치에서 소프트웨어를 실행할 수 있는
기반 환경을 말한다)를 제작하여 공급하는 자와 이동통신단말장치 제조업자 및 이동통신단
말장치의 소프트웨어를 제작하여 공급하는 자는 정보통신서비스 제공자가 이동통신단말장
치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근하려는 경우 접근
권한에 대한 이용자의 동의 및 철회방법을 마련하는 등 이용자 정보 보호에 필요한 조치를
하여야 한다
2 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
다 접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실
② 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 반드시 필요하지 아니한 접근
권한을 설정하는 데 이용자가 동의하지 아니한다는 이유로 이용자에게 해당 서비스의 제공
을 거부하여서는 아니 된다
중요도 업무영향도 대응업무부하
처 벌 2000만 원 이하의 과태료
- 수탁자가 위탁자의 동의 없이 재위탁을 한 경우
기업에서 대응해야 할 업무 절차
1 운영개발 중인 모바일 앱(App) 현황 파악(앱이 설치된 모바일 기기 내 이용 정보 및 기
능 내역)
2 1에서 식별된 모바일 기기 내 정보 및 기기에 대해 서비스 이용에 필수선택 항목 식별
3 모바일 앱 설치 시 동의이용 중 철회 절차 검토 및 보완
1) 필수항목과 선택항목의 구분
2) 법 제22조의2제1항1호2호의 사항을 고지사항에 반영
4 이용자 정보 보호에 필요한 기타 조치 사항 반영
5 3과 4에서 도출된 사항을 모바일 앱에 적용 업데이트
6 기존 운영 중인 앱의 경우 고객에게 업데이트 고지(동의 또는 재동의 절차 적용)
⑦ 수탁자는 개인정보 처리위탁을 한 정보통신서비스 제공자 등의 동의를 받은 경우에 한
하여 제1항에 따라 위탁받은 업무를 제3자에게 재위탁할 수 있다 lt신설 2016322gt
기업에서 대응해야 할 업무 절차
1 수탁자의 경우 위탁받은 개인정보의 처리 업무 중 재위탁 현황 파악
2 재위탁 사실이 있고 위탁자의 동의 증적이 없는 경우 파악
3 2에서 파악된 미동의 재위탁 건에 대해 위탁자에게 고지 및 동의 확보
6 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항
을 처리하는 부서의 명칭과 전화번호 등 연락처
7 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치middot운영 및 그 거부에
관한 사항(해당하는 경우)에만 정한다
중요도 업무영향도 대응업무부하
처 벌
3000만 원 이하의 과태료
- 반드시 필요하지 않은 접근권한 설정에 정보주체가 동의하지 않는다는 이유
로 서비스 제공을 거부할 경우
- 접근권한에 대한 동의 및 철회방법을 마련하는 등 조치를 하지 않은 경우
제22조의2(접근권한에 대한 동의) ① 정보통신서비스 제공자는 해당 서비스를 제공하기 위
하여 이용자의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신 단말장치에 설치된
기능에 대하여 접근할 수 있는 권한(이하 ldquo접근권한rdquo이라 한다)이 필요한 경우 다음 각 호의
사항을 이용자가 명확하게 인지할 수 있도록 알리고 이용자의 동의를 받아야 한다
1 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한인 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
2222
법률rsquo에 따른 전화 권유 판매자가 육성으로 전화 권유를 하는 경우가
그 중 하나였다 개정 법에서는 lsquo수신자에게 개인정보의 수집출처를 고
지하고rsquo라는 조건이 추가됨으로써 한결 까다로워졌다
4) 개인정보의 국외 이전 유형에 따른 동의 요건 완화
모처럼 개인정보보호 담당자한테 반가운 개선 조항이 생겼다 개인정
보의 국외 이전은 정통망법에서 논란이 되던 문제였다 개인정보보호
법은 국외에 제3자 제공할 경우만 정보주체의 동의 받으라고 되어 있
는데 정통망법에선 lsquo이전rsquo할 때 동의를 받으라고만 되어 있었기 때문에
제3자 제공과 위탁의 경우를 달리 적용하기 어려웠던 것이다 개정안
에서는 lsquo국외로 이전하려면rsquo이라고 되어 있던 조항을 lsquo국외에 제공(조회
되는 경우를 포함한다)middot처리위탁middot보관(이하 이 조에서 ldquo이전rdquo이라 한
다)하려면rsquo이라고 풀어서 표현하고 lsquo다만 정보통신서비스의 제공에 관
한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서
제3항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자
우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는
개인정보 처리위탁middot보관에 따른 동의절차를 거치지 아니할 수 있다rsquo라
는 단서 조항을 더 함으로써 국외 이전의 경우에도 위탁업무일 경우엔
동의 받지 않고 처리할 수 있도록 하였다 (개인정보보호법과 일치시킨
셈이다)
5) 노출된 개인정보의 삭제 차단 조치 의무화
웹사이트에서 시험 합격자 명단 등을 공개할 때 관리자의 부주의로 주
민번호와 같은 고유식별정보를 포함시키는 일이 종종 발생하곤 한다
기존 법령에서도 개인정보의 노출을 통제할 책임은 정보처리자에게 부
여하고 있으나 이번 개정안에서는 별도의 조항으로 명시함으로써 책임
성을 부각하고 있다 관련 처벌이 따르지 않아 규범적 조항인 점이 그
나마 다행스럽다
6) 기타 사항
이상 중요한 사항은 짚어 보았고 다른 사항은 대부분 개인정보보호법
과 균형을 맞추기 위한 내용들이다 lsquo개인정보관리책임자rsquo란 용어는
개인정보보호법과 마찬가지로 lsquo개인정보보호책임자rsquo란 용어로 바뀌
었고 처벌 수준에 있어서도 주요 법 위반 시 위반행위에 관련된 이익
의 몰수 추징 조항이 신설되었다 내용의 파급력으로 보자면 충격이
클 수도 있는 제32조 제2항의 징벌적 손해배상도 이미 개인정보보호
법에 들어간 내용이기 때문에 기업 입장에서 새롭게 고민할 사항은
적을 듯하다
전기통신사업자와 정보통신서비스 제공자를 대상으로 하는 정보통신
망법과 일반법으로 적용되는 개인정보보호법은 개인정보보호의 규준
을 이루는 양대 법률이다 기업 입장에선 지나치게 자주 개정되어 정보
보호 업무 부담을 더하는 측면도 있다 하지만 이번 개정안은 두 법의
용어와 조항 처벌 수준 등을 통일함으로써 법 적용을 돕는 긍정적인
면이 훨씬 많을 듯하다 아무쪼록 이번 개정안이 적극 반영되어 사회
전반에서 더욱 안전한 개인정보보호 환경이 갖추어지기를 기대한다
기업에서 대응해야 할 업무 절차
1 전화 권유 판매 시 정보주체 사전 동의 획득 여부 확인
2 사전동의 미 획득 케이스인 경우 개인정보 수집출처 확인
3 개인정보 수집출처가 확인되지 않은 경우 개인정보 이용 중지
4 개인정보 수집출처가 확인된 경우 수집출처를 고객에게 고지하고 전화 권유 판매
기업에서 대응해야 할 업무 절차
1 개인정보의 해외 이전 유형 식별(제공처리위탁보관)
2 이전 유형 중 처리위탁보관의 경우 고지공개 여부 확인
3 이전 유형 중 제공의 경우 동의 여부 확인
4 2 3단계에서 미흡 사항 발견 시 개선 조치
중요도 업무영향도 대응업무부하
처 벌 없음
제32조의3(노출된 개인정보의 삭제middot차단) ① 정보통신서비스 제공자 등은 주민등록번호
계좌정보 신용카드정보 등 이용자의 개인정보가 정보통신망을 통하여 공중에 노출되지 않
도록 하여야 한다
② 정보통신서비스 제공자 등의 고의 또는 중대한 과실로 인하여 개인정보가 분실middot도난middot
유출middot위조middot변조 또는 훼손된 경우로서 이용자에게 손해가 발생한 때에는 법원은 그 손
해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다 다만 정보통신서비스
제공자 등이 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다 lt신설
2016322gt
기업에서 대응해야 할 업무 절차
1 시스템 내 개인정보 노출 현황 파악 (노출정보유형목적노출기간주관부서 등 현황 파악)
2 노출된 고유식별정보 및 금융정보 발견 시 삭제 또는 보호(마스킹 등) 조치
3 1~2의 반복적 이행 가급적 시스템화하는 것이 바람직함
중요도 업무영향도 대응업무부하
처 벌
- 2000만 원 이하의 과태료 공개나 고지 없이 개인정보를 국외에 처리위탁
보관한 경우
- 과징금 부과 정보주체의 동의 없이 개인정보를 국외에 제공한 경우
23
어릴 때부터 각종 디지털 기기의 사용이 능숙한 lsquo디지털 키즈(Digital kids)rsquo인 우리 자녀들을 위한 똑똑한 lsquo디지털 페어런팅(육아법)rsquo을 소개한
다 식당이나 카페에서 어린 자녀에게 스마트폰은 보여주고 있거나 자녀가 어린이날 선물로 스마트폰을 사달라고 조르는 경우 스마트폰 게임
이나 SNS에 빠져 있는 자녀 때문에 걱정인 부모들에게 필요한 자녀의 연령에 맞는 디지털 페어런팅이다 자녀가 성숙한 디지털 기기 사용 습
관을 기를 수 있도록 도와주는 것은 부모가 반드시 해야 하는 역할 중 하나다
몸짓을 이미지로 기억해 엄마의 의도를 파악한다 그다음 좌뇌가 발달하는데 좌뇌가 발달하기 시작하면 언어 발달이 이루어진다 그런데 이 시
기에 과도하게 스마트폰에 노출되면 우뇌가 충분히 발달하지 않은 상태에서 좌뇌가 발달하게 된다
우뇌가 제대로 발달하지 못하면 감정을 담당하는 뇌 발달에 영향을 줄 수 있는데 이는 다른 사람의 마음을 헤아리는 능력 다른 사람과 생각이
나 느낌을 주고 받는 능력 사고력 감정 조절력 부족으로 이어질 수 있다 우는 아이를 달래려고 부모가 편하게 밥을 먹기 위해서 흥미로운
자극을 주고 싶다는 이유로 이 시기 아이에게 건넨 스마트폰은 아이의 뇌에 치명적인 후유증을 남길 수 있음을 기억해야 한다
3~6세 유아기 부모의 통제 하에 사용해야
전문가들은 이 시기 아이에게도 디지털 기기의 사용을 권장하지는 않는다 하지만 현실적으로 쉽지 않다면 차선책을 선택해야 한다 부모가 디
지털 기기의 이용 시간 및 콘텐츠 등에 대해 확실한 기준을 갖고 있어야 한다 lsquo하루 30분 이상 넘기지 않으며 아이가 좋아하는 애니메이션 영상
과 동요 율동 영상만 본다rsquo는 식으로 말이다 아이의 손에 스마트폰을 맡겨버리면 의도하지 않은 영상에까지 노출될 우려가 있으니 주의해야 한다
약속한 시간 외에는 스마트폰을 아이의 손에 닿지 않는 곳에 두는 것이 좋다 이를 위해서는 부모 역시 스마트 기기 사용을 절제할 수 있어야
한다 아이들은 부모를 롤 모델로 삼아 그 태도와 습관을 배우기 때문이다 하지만 이 시기 아이가 스마트폰을 보여 달라고 강하게 떼를 쓰는
등 통제가 되지 않을 때는 당분간 아예 아이에게서 스마트폰을 분리하는 것이 효과적이다 스마트폰이 아닌 다른 방법으로 아이와 시간을 보
내는 법을 고민하는 것은 부모의 몫이다
0~3세 영유아기 스마트폰 잠시 건네는 것도 안 돼
이제 걸음마를 시작할 법한 아이가 스마트폰에 집중해 있는 모습을
본 적이 있을 것이다 우는 아이를 달래기 위해서 식당이나 카페에서
아이를 조용히 앉혀놓을 요량으로 부모는 어린 자녀의 손에 스마트폰
을 쥐여준다 하지만 전문가들은 이 시기의 아이에게 디지털 기기를
노출시키는 건 ldquo안 된다rdquo고 입을 모은다 lsquo영유아 스마트폰 증후군rsquo 등
의 부작용이 우려되기 때문이다
lsquo영유아 스마트폰 증후군rsquo이란 6세 미만의 아이들이 영상 게임 등의
지속적인 자극에 오랜 시간 노출되어 우뇌가 발달해야 하는 시기에
좌뇌가 지나치게 발달해 좌middot우뇌의 균형이 틀어지는 것을 말한다
영아기 아이는 우뇌가 먼저 발달하는데 엄마의 표정 목소리 눈짓
I T amp L I F E
내 아이를 지키는 rsquo디지털 페어런팅rsquo
스티브 잡스가 자녀에게 아이폰 아이패드와 같은 디지털 기기의 사용을 허락하지 않았다는 건 잘 알려진 사실이다 드론을 만드는 3D
로보틱스 CEO 크리스 앤더슨은 아이들이 사용하는 전자 기기의 사용 시간을 제한하고 부모가 통제할 수 있는 장치를 부착했다고 한
다 그는 ldquo테크놀로지의 위험을 잘 알고 있으며 아이들에게 그런 일이 일어나는 것을 원치 않는다rdquo며 그 이유를 설명했다 이들의 자녀
교육법이 전적으로 옳다고 말할 수는 없지만 어릴 때부터 디지털 기기 사용이 너무나 익숙한 우리 자녀들의 모습은 한 번쯤 돌아볼 필
요가 있다
24
6~10세 미만 디지털 기기 사용 가이드라인에 대해 설명해줘야
부모가 디지털 기기 사용 시간 및 사용 및 목록의 한계에 대한 가이드라인을 정하고 이에 대해 아이가 이해할 수 있도록 설명해주는 것이 좋
다 가이드 라인을 정할 때 아이의 생각을 들어보고 반영하는 것도 방법이다 디지털 기기 사용 가이드라인이 지켜질 수 있도록 온 가족이 노력
해야 함은 물론이다 TV를 보고 스마트 기기를 가지고 노는 것 자체가 문제가 될 수도 있지만 이로 인해 친구들과 뛰어놀며 신체활동을 하는
즐거움을 빼앗기지 않도록 하는 것도 중요함을 잊지 말아야 한다
10세 이상의 초등학생 스스로 규칙을 정하고 지킬 수 있도
록 동기 부여
부모들의 고민 중 하나는 lsquo아이에게 스마트폰을 언제 사줄 것인가rsquo다
아이의 하교 후 학원에서 학원으로 이동할 때마다 연락을 주고받기
위해 휴대전화가 필요할 수도 있다 요즘은 초등학교 입학과 함께 스
마트폰을 사주는 가정도 많다 친구들도 다 있다며 사달라고 떼를 쓰
는 아이의 마음도 이해 못 하는 바 아니지만 자녀에게 스마트폰을 사
주는 적당한 시기는 부모가 잘 판단해야 한다 아이가 스마트폰 사용
규칙을 지킬 수 있을 만큼 성숙한 상태여야 한다는 의미다 하고 싶어
도 참을 수 있는 절제력과 충동조절능력 좌절인내력이 바탕이 돼야
만 스스로 규칙을 지킬 수 있다
구글 애플 마이크로소프트 등 글로벌 IT 기업의 자녀들이 많이 다니
는 실리콘밸리에 발도로프 학교에는 컴퓨터가 없다 스크린 보드 빔
프로젝터 등의 멀티미디어 기기도 없으며 연필과 종이 분필 등을 이
용한 아날로그식 수업이 진행된다 이들은 우리나라 나이로 중학교 3
학년이 되는 8학년이 돼서야 컴퓨터를 서서히 배우기 시작한다 학생
들이 학교에 디지털 기기를 가져올 수도 없다 lsquo디지털 세상이 아이를
아프게 한다rsquo의 저자인 신의진 정신과 박사는 ldquo언제 자녀가 스마트폰
을 사용하면 좋냐rdquo는 질문에 ldquo늦을수록 좋다rdquo고 답한다
우리 자녀 세대는 지금 우리보다 훨씬 더 디지털 기기와 가깝게 지낼
것이다 시대가 변하고 있기 때문이다 더 흥미로운 기기들이 쏟아질
것이고 그에 맞는 교육 및 놀이 앱이 넘쳐날 것이다 하지만 시대가
변해도 변하지 않는 것은 존재한다 부모가 자녀와 디지털 생활에 대
해 이야기를 나눌 수 있는 환경은 신뢰를 바탕으로 한 그들의 아날로
그 생활에서의 환경이 조성하는 법이다 가족과 함께 서로의 디지털
생활에 대한 이야기를 나눠보는 시간을 갖는 것은 어떨까
자녀와 함께 TV 컴퓨터 스마트폰 등에 대한 이용 규칙을 정하고 스스로 통제할 수 있도록 동기를 부여해주는 것이 좋다 만약 약속을 어겼을
경우 벌칙도 명확히 해둔다 예를 들어 주말에만 컴퓨터 게임을 하기로 했는데 어겼다면 다음 주말 컴퓨터 이용 시간을 줄이는 식이다 초등학
교 3~4학년만 돼도 아이들은 SNS에 흥미를 느끼기 시작한다 이때 부모는 아이가 어떤 게시물을 올리고 다운로드하는지 관심을 가질 필요가
있다 인터넷상에 올린 글이나 영상은 쉽게 공유될 수 있으며 지우는 것도 쉽지 않다는 점에 대해서도 알려줘야 한다
중middot고등학생 자율성 존중하되 방치해선 안 돼
ldquo스마트폰 그만하고 공부해rdquo와 같은 강압적인 지시는 되레 부작용을 낳을 수 있다 중middot고등학생의 자녀와의 디지털 페어런팅에서 가장 중요한
것은 자율성을 존중하되 방치해서는 안 된다는 점이다 아이가 적당히 조절하며 디지털 기기를 사용하고 있다면 문제 없지만 걱정할 정도로 몰
입돼 있는 상황이라면 가정의 디지털 페어런팅 방식을 다시 점검해봐야 한다 과몰입 상태는 적절한 교육으로 가정에서 바로 잡을 수 있지만 중
독의 수준이라면 상황이 달라진다 이런 경우 아이가 디지털 기기에 빠진 원인을 찾고 이를 해결하기 위해 전문가 상담 및 치료를 받아야 한다
[그림 1] 컴퓨터가 없는 발도로프 학교에 대해 다룬 뉴욕타임즈 기사
(출처 httpwwwnytimescom20111023technologyat-waldorf-school-in-silicon-valley-technology-can-waithtml)
참고 자료
신의진(2013) 디지털 세상이 아이를 아프게 한다 북클라우드
구본권(2014) 당신을 공유하시겠습니까 어크로스
25
보안 통계와 이슈 S T A T I S T I C S
[그림 2]는 2016년 4월 한 달간 유포된 악성코드를 주요 유형별로 집
계한 결과이다 불필요한 프로그램인 PUP(Potentially Unwanted
Program)가 5948로 가장 높은 비중을 차지했고 트로이목마
(Trojan) 계열의 악성코드가 168 웜(Worm)이 347의 비율로
그 뒤를 이었다
지난 4월 한 달간 탐지된 모바일 악성코드는 24만 7847건으로 집계
됐다
안랩 시큐리티대응센터(이하 ASEC)는 최근 ASEC Report Vol76를 통해 지난 2016년 4월의 보안 통계 및 이슈를 전했다 지난 4월
의 주요 보안 이슈를 살펴본다
파일 속성 변경하는 리눅스 악성코드 등장
안랩 4월 악성코드 통계 및 보안 이슈 발표
[그림 1] 악성코드 추이(2016년 2월~2016년 4월)
ASEC이 집계한 바에 따르면 2016년 4월 한 달간 탐지된 악성코드
수는 1156만 4967건으로 나타났다 이는 전월 1321만 2012건에
비해 164만 7045건 감소한 수치다 한편 4월에 수집된 악성코드 샘
플 수는 324만 5837건이다
샘플 수집 수탐지 건수
[그림 2] 2016년 4월 주요 악성코드 유형
Adware DownloaderWormTrojanetcPUP
[그림 3] 모바일 악성코드 추이(2016년 2월 ~ 2016년 4월)
5000000
6000000
10000000
20000000
30000000
40000000
1000000
2000000
3000000
4000000
4월3월2월
11830547 1156496713212012
324
583
7
354
858
1
349
346
8
347
168
1939
5948072
014
100000
200000
300000
500000
600000
700000
400000
0
4월3월2월
247847256512
323301
26
또한 지난 4월 악성코드 유포지로 악용된 도메인은 648개 URL은
2216개로 집계됐다 4월의 악성 도메인 및 URL 차단 건수는 총 637
만 3536건이다
이와 같은 경우 lsquolsattrrsquo 명령을 통해 해당 파일의 속성을 조회하면 [그
림 7]과 같이 lsquoirsquo 속성이 추가되어 있음을 확인할 수 있다
리눅스 악성코드 lsquo빌게이츠 봇넷rsquo 발견
최근 리눅스(Linux) 운영체제에서 감염 시스템의 정보 수집 시스
템 파일 교체 DDoS 공격 등을 수행하는 lsquo빌게이츠 봇넷(BillGates
botnet)rsquo이 발견됐다 해당 악성코드는 감염 시스템 내에서 속성이 변
경되어 삭제가 불가능해 리눅스 사용자들의 피해가 우려된다
빌게이츠 봇넷은 서버에 침입 후 파일의 속성을 변경하여 악성코드를
삭제할 수 없도록 설정한다 리눅스 시스템에서 악성코드 감염에 의
해 파일 속성이 변경된 경우 이를 삭제할 수 있는 방법을 자세히 살
펴보자
먼저 공격자가 파일의 속성을 변경한 후 [그림 5]와 같이 삭제 시도를
하면 lsquo실행이 허가되지 않았다(Operation not permitted)rsquo라는 메시
지가 출력되며 해당 파일이 삭제되지 않는다
이처럼 lsquoirsquo 속성이 추가되어 있는 경우에는 [그림 8]과 같이 루트 권한
으로 lsquochattrrsquo 명령을 통해 해당 파일의 속성을 변경한 후 다시 삭제
를 시도하면 해당 파일이 정상적으로 삭제된다
파일의 속성 추가(chattr)는 lsquo+[추가할 속성]rsquo 제거는 lsquondash[제거할 속성]rsquo
을 통하여 수행할 수 있으며 lsquo-Rrsquo 옵션을 추가로 부여하는 경우에는
하위 디렉터리까지 모두 포함되어 적용된다 이는 윈도우(Windows)
운영체제의 lsquoattirbrsquo 명령과 유사하다
이때 만일 관리자가 파일이 삭제되지 않는 원인을 파일 권한 문제라
고 생각하고 파일 시스템에 기록된 정보를 이용하여 루트 계정 및
inode를 제거하는 방법으로 다시 삭제를 시도하면 마찬가지로 동일
한 메시지가 발생하며 파일이 삭제되지 않는다
이번 리눅스 악성코드 사례와 같이 파일의 속성이 변경되어 삭제가
불가한 경우가 있어 권한 뿐만 아니라 파일 속성에 대해서도 다시 한
번 확인하는 것이 필요하다 단 중요 파일이나 로그 파일 등은 lsquoirsquo나
lsquoarsquo 속성을 적용하는 정상적인 경우도 있다 즉 이러한 속성이 적용되
어 있는 파일이라고 해서 모두 악성 파일은 아니므로 정확히 악성으
로 확인된 파일에 대해서만 삭제를 진행할 것을 권장한다
최근 리눅스 운영체제를 노리는 악성코드가 꾸준히 증가하고 있다
DDoS 공격이나 백도어 등 리눅스 악성코드의 기능도 다양해지고 있
으며 앞으로 더욱 고도화될 것으로 예상된다 리눅스 시스템도 안전
하게 이용하기 위해서는 반드시 암호를 설정해야 하며 최신 보안 업
데이트를 적용해야 한다
V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지하고
있다
ltV3 제품군의 진단명gt
LinuxBackdoor1223123B
[그림 5] RM 명령어를 통한 삭제 시도
[그림 6] INODE 제거를 통한 삭제 시도
[그림 4] 악성코드 유포 도메인URL 탐지 및 차단 건수(2016년 2월 ~ 2016년 4월)
악성 도메인URL 차단 건수 악성코드 유포 URL 수악성코드 유포 도메인 수
10000
20000
30000
8000000
9000000
40000
7000000
6000000
5000000
4000000
04월
221681467900
6481587936
3월2월
6373536
7157616
6355582
[그림 7] 파일 속성 조회
[표 1] 리눅스 파일 속성 및 lsquoCHATTRrsquo 명령어 예시
[그림 8] 파일 속성 변경 후 제거 시도
[명령어 예시 (i S 속성 추가)]
chattr + iS samples
[파일 속성명 중 일부] [설명]
a (CAP LINUX IMMUTABLE capability) 추가 작성만 가능 삭제 불가
I (CAP LINUX IMMUTABLE capability) 삭제 변경 링크 파일 생성 등
S 파일이 변경되면 디스크 동기화
u 파일 삭제 시 내용 백업
2727
A H N L A B N E W S
현대자동차 그룹 IT서비스 전문업체인 현대오토에버가 최근 lsquo5스타
우수 개발협력사rsquo로 안랩을 선정했다
lsquo현대오토에버 우수 개발협력사rsquo는 현대오토에버가 협력사와 공동
으로 수행한 전년도 사업의 수행 실적에 따라 1스타부터 5스타까지
우수협력사를 선정하고 이에 따른 다양한 인센티브를 제공하는 프
로그램이다
안랩은 현대오토에버의 개발컨설팅 협력사로서 프로젝트 평가 및
업체 종합 평가 등에서 안정적이고 우수한 프로젝트 성과를 인정받
아 최고 등급인 lsquo5스타rsquo 우수 개발협력사로 선정됐다 안랩 서비스
사업부를 총괄하는 방인구 상무는 ldquo안랩은 핵심가치인 lsquo고객만족rsquo을
기준으로 맡은 사업에 대해 언제나 최선을 다하고 있다rdquo며 ldquo안랩을
신뢰해주시는 여러 회사와 함께 동반성장할 수 있도록 노력하겠다rdquo
고 말했다
안랩이 지난달 17일 코엑스 컨벤션센터에서 열린 lsquo아마존 웹 서비
스 글로벌 서밋 서울 2016(이하 AWS 서밋 서울 2016)rsquo에서 다양
한 산업 관계자를 대상으로 lsquo안랩 AWS 고객 원격 보안관제 서비스rsquo
를 소개했다
AWS 서밋 서울 2016은 아마존 웹 서비스가 제공하는 클라우드 컴
퓨팅 서비스에 대한 지식을 공유하고 IT 업계의 최신 기술 트렌드 등
을 소개하는 행사로 지난해 첫 국내 개최에 이어 두 번째로 열렸다
이번 행사에 참가한 안랩은 전용 부스를 운영하며 lsquo안랩 AWS 고객
원격 보안관제 서비스rsquo에 대한 개별 고객 상담 및 서비스 체험 신청
등을 진행했다 안랩 AWS 고객 원격 보안관제 서비스는 네트워크
및 웹 서비스 등에 대한 보안을 안랩의 침해대응(CERT) 전문인력이
원격으로 모니터링 및 관리해주는 서비스다
또한 별도 발표장에서 진행된 미니 발표 세션에서 안랩 서비스상
품기획팀 김준호 대리는 안랩 AWS 고객 원격 보안관제 서비스의
개요 및 구성을 비롯하여 탐지를 넘어 위협 분석까지 제공하는
침해사고 대응 프로세스 미디어사 O2O(Online to Offline 온오
프라인 연결) 서비스 제조 분야의 실제 고객 사례를 통한 다양한
산업별 서비스 적용 방안 등 lsquo안랩 AWS 고객 원격 보안관제 서비
스rsquo의 개념과 강점을 소개했다
안랩 김준호 대리는 ldquo안랩은 lsquoAWS 고객 원격 보안관제 서비스rsquo를
지난 1월 출시한 이후 약 4개월 여 만에 이미 복수의 대형 고객사
를 확보하는 등 검증된 서비스를 제공하고 있다rdquo며 ldquo이는 많은 고객
사에서 단순 탐지를 넘어 위협 분석 및 대응까지 가능한 안랩의 전
문성을 인정한 것으로 볼 수 있다rdquo고 강조했다
현대오토에버
lsquo우수 개발협력사rsquo로 안랩 선정
안랩 lsquoAWS 서밋 서울 2016rsquo에서
클라우드 보안관제 서비스 소개
안랩은 AWS 서밋 서울 2016 행사에서 전용 부스와 발표 세션을 통해 안랩 AWS 고객 원격 보안관제 서비스를 소개했다
발행인 권치중
발행처 주식회사 안랩
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
편집인 안랩 콘텐츠기획팀
디자인 안랩 디자인팀
copy 2016 AhnLab Inc All rights reserved
본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제 복사 검색 시스템
으로 저장 또는 전송될 수 없습니다 안랩 안랩 로고는 안랩의 등록상표입
니다 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상
표일 수 있습니다 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
copy 2016 AhnLab Inc All rights reserved
httpwwwahnlabcom
httpblogahnlabcom
httptwittercomahnlab_man
15
CampC 통신
크립트엑스엑스엑스는 파일을 암호화하기 전 CampC에 악성코드가 생
성한 사용자 ID를 전송한다
암호화된 환경
크립트엑스엑스엑스는 암호화가 완료된 파일의 수정한 날짜와 시간
정보를 백업된 원본의 수정한 날짜로 변경한다
[그림 4] 크립트엑스엑스엑스 결제 안내 텍스트
[표 1] 자동 실행 등록을 위한 바로가기 링크 파일 생성
[표 3] 암호화 대상 확장자
[표 4] 암호화 제외 대상 경로
[표 2] 암호화 대상 드라이브
[그림 5] 자동 실행 등록 정보
[그림 6] CampC 통신 패킷 정보
크립트엑스엑스엑스 주요 기능
자동 실행 등록
크립트엑스엑스엑스는 [표 1]과 같이 시작프로그램에 바로가기 링크
파일을 생성한다 [그림 5]에서 알 수 있듯이 해당 링크 파일에 의해
실행되는 파일은 크립트엑스엑스엑스이며 lsquoMS114rsquo라는 이름의 함수
를 호출하는 기능을 한다
자동 실행 등록
파일
CDocuments and Settings프로그램시작프로그램[사용자ID]lnk
암호화 대상 드라이브
고정식 드라이브 이동식 드라이브 네트워크 드라이브
악성 DLL 내부에 암호화된 CampC는 2개이며 첫 번째 IP에 접속이 되
지 않았을 경우 두 번째 IP로 연결된다
- 1447821443
- 9311876443
CampC 접속 여부와 관계없이 패킷을 전송한 후에는 파일 암호화가 진
행된다
파일 암호화 대상
분석된 크립트엑스엑스엑스로부터 확인된 암호화 대상은 [표 2]와 같다
Z 부터 A 까지 마운트된 모든 드라이브 중 다음의 암호화 대상 드
라이브만 감염이 진행된다
암호화 대상 확장자
3DM 3DS AES APK APP ARC ASC ASM ASP ASPX BRD BZ2 C
CER CFG CFM CGI CGM CMD CPP CRT CSR CSS CSV CUE DB
DBF DCH DCU DIF DIP DJV DJVU DOC DOCB DOCM DOCX DOT DOTM
DOTX DTD DWG DXF EML EPS FDB FLA FRM GBK GBR GED GPG
GPX H HTM HTML HWP IBD INDD JAR JAVA JKS JSP KEY KML
KMZ LAY LAY6 LDF LUA M MAX MDB MDF MFD MML H MS11
MSI MYD MYI NEF NOTE OBJ ODB ODG ODP ODS ODT OTG OTP
OTS OTT P12 PAQ PAS PCT PDB PDF PEM PHP PIF POT POTM
POTX PPAM PPS PPSM PPSX PPT PPTM PPTX PRF PRIV PSD RAR RAW
RSS RTF SCH SDF SITX SLDX SLK SLN SQL STC STD STI STW
SVG SWF SXC SXD SXI SXM SXW TAR TBK TEX TGZ TLB TXT
UOP UOT VB VBS VCF VDI VMDK VMX WKS WPD WPS WSF XLC
XLM XLR XLS XLSB XLSM XLSX XLT XLTM XLTX XLW XML ZIP ZIPX
ACCDB CLASS GADGET IBOOKS PAGES PLUGIN PRIVATE
QCOW2 SQLITE3 SQLITEDB VCXPROJ XCODEPROJ XHTML
암호화 대상 확장자
폴더
WINDOWS BOOT EFI CONFIGMSI
WINNT RECOVERY PROGRA^1 GOOGLE
RECYCLER$RECYCLE
BINPROGRA^2 TEMP
SYSTEM^1 PERFLOGS
16
[그림 7] 암호화 된 파일의 파일의 시간 정보 변경 코드
[그림 8] 암호화된 파일의 시간 정보 변경 전(왼쪽) 및 변경 후(오른쪽)
[그림 13] 암호화 완료 후 화면
[그림 12] 결제 안내 파일의 시간 정보 변경 전(좌) 및 변경 후(우)
[그림 9] 암호화 후 확장자 변경
[그림 11] 결제 안내 파일의 시간 정보 변경 코드
[그림 10] 암호화된 파일과 생성된 결제 안내 파일(BMP HTML TXT)
[그림 7]에서 붉은색 박스로 표현한 부분의 데이터(A4 80 BC 4B 36
B0 D1 01)는 SetFileTime API를 사용하여 백업된 원본의 수정한 날
짜로 변경된다
생성한 결제 안내 파일의 시간 정보를 [그림 12]와 같이 변경한다 암
호화가 완료되면 [그림 13]과 같은 화면을 띄우고 스크린이 잠기게
하여 사용자가 어떠한 동작도 할 수 없게 한다
이때 시간 정보가 변경된 파일은 MoveFileW API를 사용하여 [원본
파일명]crypt로 확장자가 변경된다
크립트엑스엑스엑스는 일반적으로 웹사이트 다운로드 등으로 유포되
는 경우가 많다 따라서 사용자는 출처를 알 수 없는 메일에 첨부된 파
일의 실행이나 불필요한 사이트 접근을 삼가는 등의 주의가 필요하다
해당 악성코드 감염을 막기 위해서는 항상 윈도우 보안 패치 및 V3
백신 프로그램을 최신 업데이트 상태로 유지하는 것이 필요하다
안랩은 원본 파일을 복구하는 툴을 랜섬웨어 보안센터를 통해 무료로
제공하고 있다
안랩 랜섬웨어 보안센터 바로가기
그리고 암호화된 파일이 있는 경로마다 결제 안내 파일들을 생성한다
앞서 언급했듯이 SetFileTime API를 이용하여 [그림 11]에 있는 붉은
색 박스에 있는 데이터(00 00 00 00 71 37 00 00)는 1601년 3월 12
일 월요일 10시 17분 27초로 변경된다
17
CryptXXX RansomwareT H R E A T A N A L Y S I S
크립트엑스엑스엑스(CryptXXX) 랜섬웨어는 정상 파일을 암호화한 후 lsquocryptrsquo 확장자로 변경하여 사용자에게 비트코인을 요구하는
랜섬웨어다 이 랜섬웨어는 현재까지 버전 1x 2x 3x 세 가지 형태가 알려져 있다 안랩은 현재 크립트엑스엑스엑스 2x 버전에 의
해 암호화된 파일에 대한 복구 툴을 제공하고 있다 특히 국내 사용자들이 많이 사용하고 있으나 기존 복구 툴이 지원하지 않는 한글
파일(HWP)의 복구도 가능하다는 점이 주목할만하다
월간 lsquo안rsquo에서는 1부와 2부에 걸쳐 크립트엑스엑스엑스의 동작 방식과 주요 기능 암호화 방식 복구 툴 등 자세한 내용을 소개한다
lt연재 목차gt
1부_ DLL 이용한 CryptXXX 랜섬웨어 분석 완료
2부_ CryptXXX 암호화 비밀과 복구 툴 공개
CryptXXX 암호화 비밀과 복구 툴 공개
CryptXXX 랜섬웨어 분석 보고서_2부
1 암호화 방식
[그림 1]은 크립트엑스엑스엑스에 의해 암호화된 lsquoPhotojpgrsquo 파일을
나타낸다 암호화는 고정 크기(0x1FFF)의 블록 단위로 순차적으로 이
뤄지며 암호화 최대 크기는 0xD012FE(대략 13M)로 이후의 데이터
는 원본과 동일하다
암호화된 파일은 원본 파일과 비교하여 260(=0x104)바이트가 증가
한 형태이며 이는 파일 끝부분에 삽입된 키 테이블(Key Table) 정보
로 인한 것이다([그림 1]에서 붉은색 블록 참고) 이 키 테이블 정보
는 블록 단위의 암호를 복호화하는 데 핵심이 되는 데이터로 공개키
를 통해 암호화되어 저장된다 즉 구조적으로는 해당 공개키에 매칭
되는 개인키 정보 없이는 해당 키 테이블 정보를 복호화할 수 없고
파일 복구가 불가능하다 하지만 해당 키 테이블 정보는 개인키 없이
도 원본 파일 시작 부분의 일부 데이터(예를 들면 파일 포맷별 Magic
정보)를 통해 파일의 형태를 확인할 수 있으며 그것을 토대로 유추할
수 있는 키 값으로 복구가 가능하다
2 Key Table 생성 방식과 취약성
[그림 2]는 파일 끝에 삽입된 0x104바이트 크기의 키 테이블이 생성
되는 과정을 나타낸다 이 그림에서 노란색 부분이 공개키로 암호화
된 KeyTable_A[0x40]이며 CryptEncrypt() API를 통해 공개키로 암
호화 시 원본 0x40바이트 크기의 데이터가 최종 0x80바이트 크기로
증가된다
[그림 1] 크립트엑스엑스엑스 암호화 방식
[그림 2] 키 테이블 생성 과정
18
[그림 2]에서 언급된 암호화에 사용되는 핵심 정보 3가지는 lsquo4바이
트 SEED 값rsquo lsquoKeyTable_A[0x40]rsquo lsquoKeyTable_B[0x100]rsquo이며 최초
4바이트 크기의 SEED 값으로부터 이후 정보들이 순차적으로 만들
어지는 구조를 갖는다 키 생성 과정의 최상위에 위치하는 SEED 값
은 감염 시점의 시스템 시간(SystemTime) 정보 중에서 시(wHour)
분(wMinute) 초(Second) 밀리초(Millisecond)를 이용하여 얻어지
며 이 SEED 값으로부터 0x40바이트 크기의 KeyTable_A[0x40] 데
이터가 생성된다 바로 이 부분에서 제작자가 의도하지 않은 취약성
이 존재하며 SEED 값이 동일하면 매번 동일한 KeyTable_A[0x40]
가 생성되는 구조를 갖는다 최종 블록 단위의 암호화에 사용되는
KeyTable_B[0x100]의 데이터와 원본 파일로부터 읽은 블록과의
XOR(배타적 논리합)을 통해 암호화가 수행된다
즉 SEED 값이 동일하면 매번 생성되는 최종 키 테이블 정보가 동일
한 점과 암호화 방식이 XOR이라는 2가지 포인트를 바탕으로 복구 대
상 파일의 Magic 정보가 존재한다면 역으로 키를 유추할 수 있는 구
조다 [그림 3]은 SEED 값이 0x02978CAC일 때 생성되는 키 테이블
A B의 예를 나타낸다
3 키 테이블 생성 함수
크립트엑스엑스엑스 랜섬웨어에서 파일 암호화 시 사용되는 핵심 정
보 3가지의 생성 함수는 다음과 같다
(1) SEED 값 생성
[그림 4]는 SystemTime 정보를 통해 4바이트 크기의 SEED 값을 생
성하는 함수를 나타낸다
KeyTable_A[0x40] 데이터가 생성되는 방식은 다음의 2가지 기본 테
이블 중 델파이 랜덤(Delphi Random) 함수를 통해 얻은 랜덤값을
바탕으로 하나의 값이 선택되어 구성되는 구조를 갖는다
(1) QWERTYUIOPASDFGHJKLZXCVBNMltgt$^amp()_+~|
(2) qwertyuiop[]asdfghjklzxcvbnm`1234567890-=
크립트엑스엑스엑스는 총 2번의 델파이 랜덤 함수를 사용하여 아래
의 Index(A)와 Index(B)를 얻게 된다 이때 Index(A)는 위 기본 테이
블 중 하나를 선택하기 위한 목적으로 Index(B)는 선택된 테이블의
데이터 중 하나를 선택하기 위한 목적으로 사용된다
Index(A) DelphiRandom(3) - 0 ~ 2 범위의 랜덤 값 생성(0 2인 경우 -gt
(1)번 1인 경우 -gt (2))
Index(B) DelphiRandom(44) - 0 ~ 43 범위의 랜덤 값 생성
예를 들어 Index(A) == 0이고 Index(B) == 3이면 lsquoRrsquo 문자열이 선택
된다
(2) 키 테이블(A) 생성
[그림 5]는 SEED 값을 바탕으로 0x40바이트 크기의 키 테이블을 생
성하는 함수이며 do-while 문을 통해 생성되는 0x40바이트 크기의
데이터가 SEED 값이 동일하면 동일한 형태로 생성되는 취약성이 존
재하는 부분이다
(3) 키 테이블(B) 생성
[그림 6]은 키 테이블(A)로부터 0x100바이트 크기의 최종 키 테이블
(B)가 생성되는 함수를 나타낸다 이 키 테이블 정보는 1바이트 단위
의 블록 단위의 암호화 시 XOR 키 값으로 사용된다
[그림 3] 키 테이블 A B 예제
[그림 4] SEED 값 생성 함수
[그림 5] 키 테이블(A) 생성 함수
19
[그림 6] 키 테이블(B) 생성 함수
[그림 7] 크립트엑스엑스엑스 복구 과정
4 복구 방식
시 분 초 밀리초 정보를 통해 계산되는 SEED 값의 범위는 다음과
같다
- 최소값 0000000000 -gt 0 최대값 235959999 -gt 0x5265bff
사용자마다 그리고 암호화된 파일마다 서로 다른 SEED 값을 유추하
기 위해 0 ~ 0x5265bff 범위의 SEED를 순차적으로 선택하며 이를
바탕으로 암호화에 사용된 키 테이블을 생성하거나 복호화를 시도
한다 첫 번째 블록에 대한 복호화를 통해 파일의 고유한 식별 정보
(Magic)가 확인되면 유효한 SEED 값으로 판단하고 전체 파일에 대
한 블록 단위의 복구를 시도한다 우선 첫 번째 파일이 복구에 성공하
면 두 번째 파일부터는 SEED의 범위를 제한하여 좀 더 빠른 복구가
가능하도록 했다 이러한 설정은 복구 대상 파일들이 동일 시간대에
감염된 형태가 대부분일 것으로 가정하여 이루어진 것으로 복구 대
상 파일들이 서로 다른 시스템에서 다른 시간대에 수집된 형태의 경
우 복구 시간이 더 오래 걸리는 특징을 갖는다
5 복구 대상 리스트
복구 툴을 통해 복구 가능한 크립트엑스엑스엑스 버전은 2x로 제한
적이며 우선 다음의 확장자들에 대한 복구가 가능하도록 제작되었
다 특히 국내 사용자들이 많이 사용하고 있으나 기존 복구 툴이 지
원하지 않는 한글 파일(HWP)의 복구가 가능하다 이 외에도 원본 파
일의 고유한 식별 정보만 알 수 있다면 복구가 가능한 구조이기 때문
에 추후 복구 대상으로 추가될 수 있다
CHM AI HWP PDB PDF RTF HTM HTML PHP XML DWG PS
WSF KEY CSR CRT WAV MP3 OGG WMA WMV AVI ASF MP4
MOV MID MPG FLV PNG GIF BMP TIF JPG JPEG ZIP RAR BZ2
7Z GZ JAR APK TGZ ODS DOC DOT PPT POT PPS XLS XLT
DOCX DOCM DOTX DOTM PPTX PPTM POTM POTX PPSM
XLSX XLSB XLSM XLTM XLTX EPS ISO SQLITE3 MDB MSI APP
FDB ACCDB SLN CLASS VCXPROJ
6 복구 툴 경로
안랩은 크립트엑스엑스엑스 랜섬웨어 2x 버전에 대한 복구 툴을 랜
섬웨어 보안센터를 통해 무료로 제공하고 있다
안랩 랜섬웨어 보안센터 바로가기
[그림 7]은 크립트엑스엑스엑스 복구 툴에서 파일 복구를 위해 이루
어지는 과정을 나타낸 것이다 구조상 첫 번째 파일을 복구하는 데 오
랜 시간이 소요되며 이후 파일부터는 빠르게 복구가 가능하다
20
F O C U S I N - D E P T H Compliance
20
1 개인정보보호법
1) 정보주체 이외로부터 수집한 개인정보의 수집 출처 고지 의무화
ldquo따르릉~ 여보세요 홍길동 고객님이시죠 여기는 보험사인데
요~ 알지도 못하는 보험사로부터 이런 전화를 받아 본 경험이 혹시
있었는지 모르겠다 어디서 내 전화번호를 입수한 것인지 물어보면 정
확히 대답하지 않거나 얼버무리는 경우도 많다 개정안이 시행되는 9
월 30일부터 이런 식의 연락은 더 이상 받지 않게 될 것 같다 일정 규
모 이상이 되는 기업(5만 명 이상의 민감 정보 또는 고유식별정보 처
리 100만 명 이상의 개인정보처리)이 정보주체로부터 직접 수집하지
않고 개인정보를 처리할 때는 반드시 ①정보수집출처 ②개인정보처리
목적 ③개인정보 처리정지 요구권이 있다는 사실을 최초 수집 후 3개
월 이내에 정보주체에게 고지해야만 하기 때문이다 불법으로 입수한
개인정보라면 애초에 고지도 못할 테지만 적법하게 제공받은 경우라
하더라도 고객에게 일일이 고지하기란 큰 부담이 될 것이다 고객이 제
3자 제공 동의를 해서 개인정보를 제공했다는 사실을 증명하라고 요구
하면 그 또한 큰일이다 필자 견해로는 이 개정안에 대한 대응이 본 기
사를 통틀어 제일 큰일일 듯 싶다
2) 민감정보의 안전성 확보조치 명시적 요구
민감정보란 개인의 사상middot신념 노동조합middot정당의 가입middot탈퇴 정치
적 견해 건강 유전 정보나 범죄 경력처럼 사생활을 현저히 침해할
우려가 있는 정보를 말한다 기존에도 고유식별 정보와 더불어 수집
이용하지 않는 것이 원칙이고 별도의 동의를 얻어 처리해야 하며 안
전성확보 조치를 통해 보호해야 할 대상이었다 이번 개정안에서는
민감정보에 대한 안전성 확보 조치를 명시적으로 요구하고 있을 뿐
기업 입장에서 달리 조치해야 할 사항은 없어 보인다 (기존 법에 따
라 잘 조치하고 있었을 경우에는 그렇다는 뜻이다)
3) 개인정보처리방침과 개인정보취급방침 구성 요건 동기화
개인정보보호법의 lsquo개인정보처리방침rsquo은 정보통신망법(이후 lsquo정통망
법rsquo)의 lsquo개인정보취급방침rsquo과 이름도 다르고 구성 요건에도 약간의 차
이가 있었다 이번 개정안에서는 방침 구성 내용에 정통망법 일부 사
꼭 챙겨야 할 개인정보보호 법령
지난 3월 8일 발간된 월간 lsquo안rsquo 2016년 3월호에 lsquo2016년에 챙겨봐야 할 개인정보보호 법령 5가지rsquo란 제목으로 개인정보보호 법령에 대
해 소개한 바 있다 이후 3월 22일과 29일에 정보통신망법과 개인정보보호법이 또 개정되어 2016년에 챙겨야 할 법령이 더 늘어났다
이번 호에서는 두 가지 법의 개정사항의 중요도를 별점으로 매겨가며 정리하고자 한다 단 중요도의 기준은 필자의 주관에 따른 것이므
로 참고만 하는 것이 좋겠다 개정된 내용 중 기업과 관련이 적은 사항은 따로 적지 않았다
별점으로 살펴본
lsquo개정rsquo 개인정보보호 관련 법령
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
중요도 업무영향도 대응업무부하
처 벌
- 미이행 시 3000만 원 이하의 과태료
- 미이행 상태에서 유출 사고 발생 시 2년 이하의 징역 또는 2000만 원 이하
의 벌금
중요도 업무영향도 대응업무부하
처 벌 해당 없음
기업에서 대응해야 할 업무 절차
1 법 시행 시점 이후 수집 보유 중인 개인정보 중 정보주체에게 직접 입수한 것이 아닌
개인정보 식별(정보주체 외 입수 경로 제3자 제공 동의 여부 확인)
2 1에서 식별된 개인정보 중 연락처가 있는 개인정보 식별
3 2에서 식별된 정보주체에게 개인정보 수집 및 이용 사실 고지(파기요청 수집)
구체적인 고지 시기 방법은 시행령이 나와야 알 수 있음
4 3의 절차에서 파기 요청 시 파기 시행
기업에서 대응해야 할 업무 절차
1 보유 중인 개인정보 중 민감정보 식별
2 1에서 식별된 민감정보에 대한 안전성 확보 조치 수준 점검
3 2절차에서 법 기준에 미흡한 경우 보완 조치 이행
2121
항을 반영하여 유사한 구조를 갖추도록 했으며 정통망법 또한 lsquo개인
정보처리방침rsquo으로 명칭을 변경함으로써 개인정보보호법과 일원화할
수 있게 되었다 개인정보보호법 개인정보처리방침에 추가된 사항은
다음과 같다
2 정보통신망 이용촉진 및 정보보호 등에 관한 법(이하 lsquo정
통망법)
1) 정보주체의 이동통신 단말장치 내 정보 및 기능에 대한 접근 시 동
의절차 의무화
스마트폰 메신저 앱을 생각해 보자 메신저 앱의 핵심적인 기능은 다
른 사람과 메시지를 주고받는 것이다 메신저를 편히 쓰려면 연락처
를 일일이 입력하기보다는 스마트폰에 있는 연락처 정보를 이용하는
게 필요할텐데 개정된 법은 그렇게 메신저 앱이 서비스를 이용하기
위해 스마트폰에 저장된 정보에 접근할 경우에 반드시 정보주체의 동
의를 받아야 한다는 것이다
핵심 서비스를 위해 필요한 정보나 접근권한에도 동의를 받으라고 하
는 상황인데 그 외의 목적이라면 당연히 동의를 요구할 수밖에 없다
이 경우에는 사용자가 동의를 거부할 권한이 있고 동의를 안했다고
해서 기업이 서비스 제공을 거부할 수 없도록 하고 있다(거부하면 과
태료 처벌을 받을 수 있다)
이 법의 요구사항은 흔히 알고 있는 개인정보 수집이용 동의와 개념
이 다르기 때문에 기업에서도 상당한 고민과 부담이 있을 것으로 예
상된다 (예를 들면 휴대전화에 저장된 연락처는 휴대전화 주인의 개
인정보가 아니므로 정보주체의 개인정보 수집이용 동의로 대체할 수
없다) 휴대전화 기능에 대한 접근권한 역시 개인정보 수집이용 동의
와는 다른 사항이므로 동의 절차를 새롭게 설정해야 할 가능성이 높
다 이런 동의와 철회 방법에 대한 구현 책임은 이동통신단말장치 소
프트웨어 제조업자와 공급자에게 부과하고 있으며 위반 시 과태료 처
벌을 할 수 있도록 되어 있다
2) 개인정보 처리업무 수탁자가 재위탁할 경우 원 위탁자의 동의를 받
는 경우에만 가능함
이번 정통망법 개정안에서는 개인정보 처리 위탁 관련 조항이 특히
많이 수정되었다 대부분 용어가 lsquo취급rsquo에서 lsquo처리rsquo로 바뀐 사항이 많
고 일부 조항은 개인정보보호법과 동일한 수준으로 바뀌었다 예컨대
수탁자에 대한 관리 감독 책임에 lsquo교육rsquo을 별도로 명시한다거나 수탁
자에게 위탁을 할 경우에는 문서에 의하여야 한다는 내용들이 그러하
다 개인정보보호법보다 조금 엄격하게 느껴질 만한 것은 제25조 7
항으로 수탁자의 재위탁은 위탁자로부터 동의를 받은 경우에 한한다
는 내용이다 (개인정보보호법은 시행령 제28조에서 lsquo재위탁 제한에
관한 사항rsquo을 위탁 시 작성해야 할 문서에 기재하도록 하고 있다)
3) 전화 권유 판매 시 개인정보 수집출처 고지 의무 부과
정통망법에 따르면 전자적 전송매체를 이용하여 영리목적의 광고성 정
보를 전송할 때 수신자의 명시적인 사전 동의를 받아야만 한다 사전
동의를 받지 않을 수 있는 예외가 두 가지 있는데 lsquo방문판매 등에 관한
③ 이동통신단말장치의 기본 운영체제(이동통신단말장치에서 소프트웨어를 실행할 수 있는
기반 환경을 말한다)를 제작하여 공급하는 자와 이동통신단말장치 제조업자 및 이동통신단
말장치의 소프트웨어를 제작하여 공급하는 자는 정보통신서비스 제공자가 이동통신단말장
치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근하려는 경우 접근
권한에 대한 이용자의 동의 및 철회방법을 마련하는 등 이용자 정보 보호에 필요한 조치를
하여야 한다
2 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
다 접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실
② 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 반드시 필요하지 아니한 접근
권한을 설정하는 데 이용자가 동의하지 아니한다는 이유로 이용자에게 해당 서비스의 제공
을 거부하여서는 아니 된다
중요도 업무영향도 대응업무부하
처 벌 2000만 원 이하의 과태료
- 수탁자가 위탁자의 동의 없이 재위탁을 한 경우
기업에서 대응해야 할 업무 절차
1 운영개발 중인 모바일 앱(App) 현황 파악(앱이 설치된 모바일 기기 내 이용 정보 및 기
능 내역)
2 1에서 식별된 모바일 기기 내 정보 및 기기에 대해 서비스 이용에 필수선택 항목 식별
3 모바일 앱 설치 시 동의이용 중 철회 절차 검토 및 보완
1) 필수항목과 선택항목의 구분
2) 법 제22조의2제1항1호2호의 사항을 고지사항에 반영
4 이용자 정보 보호에 필요한 기타 조치 사항 반영
5 3과 4에서 도출된 사항을 모바일 앱에 적용 업데이트
6 기존 운영 중인 앱의 경우 고객에게 업데이트 고지(동의 또는 재동의 절차 적용)
⑦ 수탁자는 개인정보 처리위탁을 한 정보통신서비스 제공자 등의 동의를 받은 경우에 한
하여 제1항에 따라 위탁받은 업무를 제3자에게 재위탁할 수 있다 lt신설 2016322gt
기업에서 대응해야 할 업무 절차
1 수탁자의 경우 위탁받은 개인정보의 처리 업무 중 재위탁 현황 파악
2 재위탁 사실이 있고 위탁자의 동의 증적이 없는 경우 파악
3 2에서 파악된 미동의 재위탁 건에 대해 위탁자에게 고지 및 동의 확보
6 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항
을 처리하는 부서의 명칭과 전화번호 등 연락처
7 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치middot운영 및 그 거부에
관한 사항(해당하는 경우)에만 정한다
중요도 업무영향도 대응업무부하
처 벌
3000만 원 이하의 과태료
- 반드시 필요하지 않은 접근권한 설정에 정보주체가 동의하지 않는다는 이유
로 서비스 제공을 거부할 경우
- 접근권한에 대한 동의 및 철회방법을 마련하는 등 조치를 하지 않은 경우
제22조의2(접근권한에 대한 동의) ① 정보통신서비스 제공자는 해당 서비스를 제공하기 위
하여 이용자의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신 단말장치에 설치된
기능에 대하여 접근할 수 있는 권한(이하 ldquo접근권한rdquo이라 한다)이 필요한 경우 다음 각 호의
사항을 이용자가 명확하게 인지할 수 있도록 알리고 이용자의 동의를 받아야 한다
1 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한인 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
2222
법률rsquo에 따른 전화 권유 판매자가 육성으로 전화 권유를 하는 경우가
그 중 하나였다 개정 법에서는 lsquo수신자에게 개인정보의 수집출처를 고
지하고rsquo라는 조건이 추가됨으로써 한결 까다로워졌다
4) 개인정보의 국외 이전 유형에 따른 동의 요건 완화
모처럼 개인정보보호 담당자한테 반가운 개선 조항이 생겼다 개인정
보의 국외 이전은 정통망법에서 논란이 되던 문제였다 개인정보보호
법은 국외에 제3자 제공할 경우만 정보주체의 동의 받으라고 되어 있
는데 정통망법에선 lsquo이전rsquo할 때 동의를 받으라고만 되어 있었기 때문에
제3자 제공과 위탁의 경우를 달리 적용하기 어려웠던 것이다 개정안
에서는 lsquo국외로 이전하려면rsquo이라고 되어 있던 조항을 lsquo국외에 제공(조회
되는 경우를 포함한다)middot처리위탁middot보관(이하 이 조에서 ldquo이전rdquo이라 한
다)하려면rsquo이라고 풀어서 표현하고 lsquo다만 정보통신서비스의 제공에 관
한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서
제3항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자
우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는
개인정보 처리위탁middot보관에 따른 동의절차를 거치지 아니할 수 있다rsquo라
는 단서 조항을 더 함으로써 국외 이전의 경우에도 위탁업무일 경우엔
동의 받지 않고 처리할 수 있도록 하였다 (개인정보보호법과 일치시킨
셈이다)
5) 노출된 개인정보의 삭제 차단 조치 의무화
웹사이트에서 시험 합격자 명단 등을 공개할 때 관리자의 부주의로 주
민번호와 같은 고유식별정보를 포함시키는 일이 종종 발생하곤 한다
기존 법령에서도 개인정보의 노출을 통제할 책임은 정보처리자에게 부
여하고 있으나 이번 개정안에서는 별도의 조항으로 명시함으로써 책임
성을 부각하고 있다 관련 처벌이 따르지 않아 규범적 조항인 점이 그
나마 다행스럽다
6) 기타 사항
이상 중요한 사항은 짚어 보았고 다른 사항은 대부분 개인정보보호법
과 균형을 맞추기 위한 내용들이다 lsquo개인정보관리책임자rsquo란 용어는
개인정보보호법과 마찬가지로 lsquo개인정보보호책임자rsquo란 용어로 바뀌
었고 처벌 수준에 있어서도 주요 법 위반 시 위반행위에 관련된 이익
의 몰수 추징 조항이 신설되었다 내용의 파급력으로 보자면 충격이
클 수도 있는 제32조 제2항의 징벌적 손해배상도 이미 개인정보보호
법에 들어간 내용이기 때문에 기업 입장에서 새롭게 고민할 사항은
적을 듯하다
전기통신사업자와 정보통신서비스 제공자를 대상으로 하는 정보통신
망법과 일반법으로 적용되는 개인정보보호법은 개인정보보호의 규준
을 이루는 양대 법률이다 기업 입장에선 지나치게 자주 개정되어 정보
보호 업무 부담을 더하는 측면도 있다 하지만 이번 개정안은 두 법의
용어와 조항 처벌 수준 등을 통일함으로써 법 적용을 돕는 긍정적인
면이 훨씬 많을 듯하다 아무쪼록 이번 개정안이 적극 반영되어 사회
전반에서 더욱 안전한 개인정보보호 환경이 갖추어지기를 기대한다
기업에서 대응해야 할 업무 절차
1 전화 권유 판매 시 정보주체 사전 동의 획득 여부 확인
2 사전동의 미 획득 케이스인 경우 개인정보 수집출처 확인
3 개인정보 수집출처가 확인되지 않은 경우 개인정보 이용 중지
4 개인정보 수집출처가 확인된 경우 수집출처를 고객에게 고지하고 전화 권유 판매
기업에서 대응해야 할 업무 절차
1 개인정보의 해외 이전 유형 식별(제공처리위탁보관)
2 이전 유형 중 처리위탁보관의 경우 고지공개 여부 확인
3 이전 유형 중 제공의 경우 동의 여부 확인
4 2 3단계에서 미흡 사항 발견 시 개선 조치
중요도 업무영향도 대응업무부하
처 벌 없음
제32조의3(노출된 개인정보의 삭제middot차단) ① 정보통신서비스 제공자 등은 주민등록번호
계좌정보 신용카드정보 등 이용자의 개인정보가 정보통신망을 통하여 공중에 노출되지 않
도록 하여야 한다
② 정보통신서비스 제공자 등의 고의 또는 중대한 과실로 인하여 개인정보가 분실middot도난middot
유출middot위조middot변조 또는 훼손된 경우로서 이용자에게 손해가 발생한 때에는 법원은 그 손
해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다 다만 정보통신서비스
제공자 등이 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다 lt신설
2016322gt
기업에서 대응해야 할 업무 절차
1 시스템 내 개인정보 노출 현황 파악 (노출정보유형목적노출기간주관부서 등 현황 파악)
2 노출된 고유식별정보 및 금융정보 발견 시 삭제 또는 보호(마스킹 등) 조치
3 1~2의 반복적 이행 가급적 시스템화하는 것이 바람직함
중요도 업무영향도 대응업무부하
처 벌
- 2000만 원 이하의 과태료 공개나 고지 없이 개인정보를 국외에 처리위탁
보관한 경우
- 과징금 부과 정보주체의 동의 없이 개인정보를 국외에 제공한 경우
23
어릴 때부터 각종 디지털 기기의 사용이 능숙한 lsquo디지털 키즈(Digital kids)rsquo인 우리 자녀들을 위한 똑똑한 lsquo디지털 페어런팅(육아법)rsquo을 소개한
다 식당이나 카페에서 어린 자녀에게 스마트폰은 보여주고 있거나 자녀가 어린이날 선물로 스마트폰을 사달라고 조르는 경우 스마트폰 게임
이나 SNS에 빠져 있는 자녀 때문에 걱정인 부모들에게 필요한 자녀의 연령에 맞는 디지털 페어런팅이다 자녀가 성숙한 디지털 기기 사용 습
관을 기를 수 있도록 도와주는 것은 부모가 반드시 해야 하는 역할 중 하나다
몸짓을 이미지로 기억해 엄마의 의도를 파악한다 그다음 좌뇌가 발달하는데 좌뇌가 발달하기 시작하면 언어 발달이 이루어진다 그런데 이 시
기에 과도하게 스마트폰에 노출되면 우뇌가 충분히 발달하지 않은 상태에서 좌뇌가 발달하게 된다
우뇌가 제대로 발달하지 못하면 감정을 담당하는 뇌 발달에 영향을 줄 수 있는데 이는 다른 사람의 마음을 헤아리는 능력 다른 사람과 생각이
나 느낌을 주고 받는 능력 사고력 감정 조절력 부족으로 이어질 수 있다 우는 아이를 달래려고 부모가 편하게 밥을 먹기 위해서 흥미로운
자극을 주고 싶다는 이유로 이 시기 아이에게 건넨 스마트폰은 아이의 뇌에 치명적인 후유증을 남길 수 있음을 기억해야 한다
3~6세 유아기 부모의 통제 하에 사용해야
전문가들은 이 시기 아이에게도 디지털 기기의 사용을 권장하지는 않는다 하지만 현실적으로 쉽지 않다면 차선책을 선택해야 한다 부모가 디
지털 기기의 이용 시간 및 콘텐츠 등에 대해 확실한 기준을 갖고 있어야 한다 lsquo하루 30분 이상 넘기지 않으며 아이가 좋아하는 애니메이션 영상
과 동요 율동 영상만 본다rsquo는 식으로 말이다 아이의 손에 스마트폰을 맡겨버리면 의도하지 않은 영상에까지 노출될 우려가 있으니 주의해야 한다
약속한 시간 외에는 스마트폰을 아이의 손에 닿지 않는 곳에 두는 것이 좋다 이를 위해서는 부모 역시 스마트 기기 사용을 절제할 수 있어야
한다 아이들은 부모를 롤 모델로 삼아 그 태도와 습관을 배우기 때문이다 하지만 이 시기 아이가 스마트폰을 보여 달라고 강하게 떼를 쓰는
등 통제가 되지 않을 때는 당분간 아예 아이에게서 스마트폰을 분리하는 것이 효과적이다 스마트폰이 아닌 다른 방법으로 아이와 시간을 보
내는 법을 고민하는 것은 부모의 몫이다
0~3세 영유아기 스마트폰 잠시 건네는 것도 안 돼
이제 걸음마를 시작할 법한 아이가 스마트폰에 집중해 있는 모습을
본 적이 있을 것이다 우는 아이를 달래기 위해서 식당이나 카페에서
아이를 조용히 앉혀놓을 요량으로 부모는 어린 자녀의 손에 스마트폰
을 쥐여준다 하지만 전문가들은 이 시기의 아이에게 디지털 기기를
노출시키는 건 ldquo안 된다rdquo고 입을 모은다 lsquo영유아 스마트폰 증후군rsquo 등
의 부작용이 우려되기 때문이다
lsquo영유아 스마트폰 증후군rsquo이란 6세 미만의 아이들이 영상 게임 등의
지속적인 자극에 오랜 시간 노출되어 우뇌가 발달해야 하는 시기에
좌뇌가 지나치게 발달해 좌middot우뇌의 균형이 틀어지는 것을 말한다
영아기 아이는 우뇌가 먼저 발달하는데 엄마의 표정 목소리 눈짓
I T amp L I F E
내 아이를 지키는 rsquo디지털 페어런팅rsquo
스티브 잡스가 자녀에게 아이폰 아이패드와 같은 디지털 기기의 사용을 허락하지 않았다는 건 잘 알려진 사실이다 드론을 만드는 3D
로보틱스 CEO 크리스 앤더슨은 아이들이 사용하는 전자 기기의 사용 시간을 제한하고 부모가 통제할 수 있는 장치를 부착했다고 한
다 그는 ldquo테크놀로지의 위험을 잘 알고 있으며 아이들에게 그런 일이 일어나는 것을 원치 않는다rdquo며 그 이유를 설명했다 이들의 자녀
교육법이 전적으로 옳다고 말할 수는 없지만 어릴 때부터 디지털 기기 사용이 너무나 익숙한 우리 자녀들의 모습은 한 번쯤 돌아볼 필
요가 있다
24
6~10세 미만 디지털 기기 사용 가이드라인에 대해 설명해줘야
부모가 디지털 기기 사용 시간 및 사용 및 목록의 한계에 대한 가이드라인을 정하고 이에 대해 아이가 이해할 수 있도록 설명해주는 것이 좋
다 가이드 라인을 정할 때 아이의 생각을 들어보고 반영하는 것도 방법이다 디지털 기기 사용 가이드라인이 지켜질 수 있도록 온 가족이 노력
해야 함은 물론이다 TV를 보고 스마트 기기를 가지고 노는 것 자체가 문제가 될 수도 있지만 이로 인해 친구들과 뛰어놀며 신체활동을 하는
즐거움을 빼앗기지 않도록 하는 것도 중요함을 잊지 말아야 한다
10세 이상의 초등학생 스스로 규칙을 정하고 지킬 수 있도
록 동기 부여
부모들의 고민 중 하나는 lsquo아이에게 스마트폰을 언제 사줄 것인가rsquo다
아이의 하교 후 학원에서 학원으로 이동할 때마다 연락을 주고받기
위해 휴대전화가 필요할 수도 있다 요즘은 초등학교 입학과 함께 스
마트폰을 사주는 가정도 많다 친구들도 다 있다며 사달라고 떼를 쓰
는 아이의 마음도 이해 못 하는 바 아니지만 자녀에게 스마트폰을 사
주는 적당한 시기는 부모가 잘 판단해야 한다 아이가 스마트폰 사용
규칙을 지킬 수 있을 만큼 성숙한 상태여야 한다는 의미다 하고 싶어
도 참을 수 있는 절제력과 충동조절능력 좌절인내력이 바탕이 돼야
만 스스로 규칙을 지킬 수 있다
구글 애플 마이크로소프트 등 글로벌 IT 기업의 자녀들이 많이 다니
는 실리콘밸리에 발도로프 학교에는 컴퓨터가 없다 스크린 보드 빔
프로젝터 등의 멀티미디어 기기도 없으며 연필과 종이 분필 등을 이
용한 아날로그식 수업이 진행된다 이들은 우리나라 나이로 중학교 3
학년이 되는 8학년이 돼서야 컴퓨터를 서서히 배우기 시작한다 학생
들이 학교에 디지털 기기를 가져올 수도 없다 lsquo디지털 세상이 아이를
아프게 한다rsquo의 저자인 신의진 정신과 박사는 ldquo언제 자녀가 스마트폰
을 사용하면 좋냐rdquo는 질문에 ldquo늦을수록 좋다rdquo고 답한다
우리 자녀 세대는 지금 우리보다 훨씬 더 디지털 기기와 가깝게 지낼
것이다 시대가 변하고 있기 때문이다 더 흥미로운 기기들이 쏟아질
것이고 그에 맞는 교육 및 놀이 앱이 넘쳐날 것이다 하지만 시대가
변해도 변하지 않는 것은 존재한다 부모가 자녀와 디지털 생활에 대
해 이야기를 나눌 수 있는 환경은 신뢰를 바탕으로 한 그들의 아날로
그 생활에서의 환경이 조성하는 법이다 가족과 함께 서로의 디지털
생활에 대한 이야기를 나눠보는 시간을 갖는 것은 어떨까
자녀와 함께 TV 컴퓨터 스마트폰 등에 대한 이용 규칙을 정하고 스스로 통제할 수 있도록 동기를 부여해주는 것이 좋다 만약 약속을 어겼을
경우 벌칙도 명확히 해둔다 예를 들어 주말에만 컴퓨터 게임을 하기로 했는데 어겼다면 다음 주말 컴퓨터 이용 시간을 줄이는 식이다 초등학
교 3~4학년만 돼도 아이들은 SNS에 흥미를 느끼기 시작한다 이때 부모는 아이가 어떤 게시물을 올리고 다운로드하는지 관심을 가질 필요가
있다 인터넷상에 올린 글이나 영상은 쉽게 공유될 수 있으며 지우는 것도 쉽지 않다는 점에 대해서도 알려줘야 한다
중middot고등학생 자율성 존중하되 방치해선 안 돼
ldquo스마트폰 그만하고 공부해rdquo와 같은 강압적인 지시는 되레 부작용을 낳을 수 있다 중middot고등학생의 자녀와의 디지털 페어런팅에서 가장 중요한
것은 자율성을 존중하되 방치해서는 안 된다는 점이다 아이가 적당히 조절하며 디지털 기기를 사용하고 있다면 문제 없지만 걱정할 정도로 몰
입돼 있는 상황이라면 가정의 디지털 페어런팅 방식을 다시 점검해봐야 한다 과몰입 상태는 적절한 교육으로 가정에서 바로 잡을 수 있지만 중
독의 수준이라면 상황이 달라진다 이런 경우 아이가 디지털 기기에 빠진 원인을 찾고 이를 해결하기 위해 전문가 상담 및 치료를 받아야 한다
[그림 1] 컴퓨터가 없는 발도로프 학교에 대해 다룬 뉴욕타임즈 기사
(출처 httpwwwnytimescom20111023technologyat-waldorf-school-in-silicon-valley-technology-can-waithtml)
참고 자료
신의진(2013) 디지털 세상이 아이를 아프게 한다 북클라우드
구본권(2014) 당신을 공유하시겠습니까 어크로스
25
보안 통계와 이슈 S T A T I S T I C S
[그림 2]는 2016년 4월 한 달간 유포된 악성코드를 주요 유형별로 집
계한 결과이다 불필요한 프로그램인 PUP(Potentially Unwanted
Program)가 5948로 가장 높은 비중을 차지했고 트로이목마
(Trojan) 계열의 악성코드가 168 웜(Worm)이 347의 비율로
그 뒤를 이었다
지난 4월 한 달간 탐지된 모바일 악성코드는 24만 7847건으로 집계
됐다
안랩 시큐리티대응센터(이하 ASEC)는 최근 ASEC Report Vol76를 통해 지난 2016년 4월의 보안 통계 및 이슈를 전했다 지난 4월
의 주요 보안 이슈를 살펴본다
파일 속성 변경하는 리눅스 악성코드 등장
안랩 4월 악성코드 통계 및 보안 이슈 발표
[그림 1] 악성코드 추이(2016년 2월~2016년 4월)
ASEC이 집계한 바에 따르면 2016년 4월 한 달간 탐지된 악성코드
수는 1156만 4967건으로 나타났다 이는 전월 1321만 2012건에
비해 164만 7045건 감소한 수치다 한편 4월에 수집된 악성코드 샘
플 수는 324만 5837건이다
샘플 수집 수탐지 건수
[그림 2] 2016년 4월 주요 악성코드 유형
Adware DownloaderWormTrojanetcPUP
[그림 3] 모바일 악성코드 추이(2016년 2월 ~ 2016년 4월)
5000000
6000000
10000000
20000000
30000000
40000000
1000000
2000000
3000000
4000000
4월3월2월
11830547 1156496713212012
324
583
7
354
858
1
349
346
8
347
168
1939
5948072
014
100000
200000
300000
500000
600000
700000
400000
0
4월3월2월
247847256512
323301
26
또한 지난 4월 악성코드 유포지로 악용된 도메인은 648개 URL은
2216개로 집계됐다 4월의 악성 도메인 및 URL 차단 건수는 총 637
만 3536건이다
이와 같은 경우 lsquolsattrrsquo 명령을 통해 해당 파일의 속성을 조회하면 [그
림 7]과 같이 lsquoirsquo 속성이 추가되어 있음을 확인할 수 있다
리눅스 악성코드 lsquo빌게이츠 봇넷rsquo 발견
최근 리눅스(Linux) 운영체제에서 감염 시스템의 정보 수집 시스
템 파일 교체 DDoS 공격 등을 수행하는 lsquo빌게이츠 봇넷(BillGates
botnet)rsquo이 발견됐다 해당 악성코드는 감염 시스템 내에서 속성이 변
경되어 삭제가 불가능해 리눅스 사용자들의 피해가 우려된다
빌게이츠 봇넷은 서버에 침입 후 파일의 속성을 변경하여 악성코드를
삭제할 수 없도록 설정한다 리눅스 시스템에서 악성코드 감염에 의
해 파일 속성이 변경된 경우 이를 삭제할 수 있는 방법을 자세히 살
펴보자
먼저 공격자가 파일의 속성을 변경한 후 [그림 5]와 같이 삭제 시도를
하면 lsquo실행이 허가되지 않았다(Operation not permitted)rsquo라는 메시
지가 출력되며 해당 파일이 삭제되지 않는다
이처럼 lsquoirsquo 속성이 추가되어 있는 경우에는 [그림 8]과 같이 루트 권한
으로 lsquochattrrsquo 명령을 통해 해당 파일의 속성을 변경한 후 다시 삭제
를 시도하면 해당 파일이 정상적으로 삭제된다
파일의 속성 추가(chattr)는 lsquo+[추가할 속성]rsquo 제거는 lsquondash[제거할 속성]rsquo
을 통하여 수행할 수 있으며 lsquo-Rrsquo 옵션을 추가로 부여하는 경우에는
하위 디렉터리까지 모두 포함되어 적용된다 이는 윈도우(Windows)
운영체제의 lsquoattirbrsquo 명령과 유사하다
이때 만일 관리자가 파일이 삭제되지 않는 원인을 파일 권한 문제라
고 생각하고 파일 시스템에 기록된 정보를 이용하여 루트 계정 및
inode를 제거하는 방법으로 다시 삭제를 시도하면 마찬가지로 동일
한 메시지가 발생하며 파일이 삭제되지 않는다
이번 리눅스 악성코드 사례와 같이 파일의 속성이 변경되어 삭제가
불가한 경우가 있어 권한 뿐만 아니라 파일 속성에 대해서도 다시 한
번 확인하는 것이 필요하다 단 중요 파일이나 로그 파일 등은 lsquoirsquo나
lsquoarsquo 속성을 적용하는 정상적인 경우도 있다 즉 이러한 속성이 적용되
어 있는 파일이라고 해서 모두 악성 파일은 아니므로 정확히 악성으
로 확인된 파일에 대해서만 삭제를 진행할 것을 권장한다
최근 리눅스 운영체제를 노리는 악성코드가 꾸준히 증가하고 있다
DDoS 공격이나 백도어 등 리눅스 악성코드의 기능도 다양해지고 있
으며 앞으로 더욱 고도화될 것으로 예상된다 리눅스 시스템도 안전
하게 이용하기 위해서는 반드시 암호를 설정해야 하며 최신 보안 업
데이트를 적용해야 한다
V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지하고
있다
ltV3 제품군의 진단명gt
LinuxBackdoor1223123B
[그림 5] RM 명령어를 통한 삭제 시도
[그림 6] INODE 제거를 통한 삭제 시도
[그림 4] 악성코드 유포 도메인URL 탐지 및 차단 건수(2016년 2월 ~ 2016년 4월)
악성 도메인URL 차단 건수 악성코드 유포 URL 수악성코드 유포 도메인 수
10000
20000
30000
8000000
9000000
40000
7000000
6000000
5000000
4000000
04월
221681467900
6481587936
3월2월
6373536
7157616
6355582
[그림 7] 파일 속성 조회
[표 1] 리눅스 파일 속성 및 lsquoCHATTRrsquo 명령어 예시
[그림 8] 파일 속성 변경 후 제거 시도
[명령어 예시 (i S 속성 추가)]
chattr + iS samples
[파일 속성명 중 일부] [설명]
a (CAP LINUX IMMUTABLE capability) 추가 작성만 가능 삭제 불가
I (CAP LINUX IMMUTABLE capability) 삭제 변경 링크 파일 생성 등
S 파일이 변경되면 디스크 동기화
u 파일 삭제 시 내용 백업
2727
A H N L A B N E W S
현대자동차 그룹 IT서비스 전문업체인 현대오토에버가 최근 lsquo5스타
우수 개발협력사rsquo로 안랩을 선정했다
lsquo현대오토에버 우수 개발협력사rsquo는 현대오토에버가 협력사와 공동
으로 수행한 전년도 사업의 수행 실적에 따라 1스타부터 5스타까지
우수협력사를 선정하고 이에 따른 다양한 인센티브를 제공하는 프
로그램이다
안랩은 현대오토에버의 개발컨설팅 협력사로서 프로젝트 평가 및
업체 종합 평가 등에서 안정적이고 우수한 프로젝트 성과를 인정받
아 최고 등급인 lsquo5스타rsquo 우수 개발협력사로 선정됐다 안랩 서비스
사업부를 총괄하는 방인구 상무는 ldquo안랩은 핵심가치인 lsquo고객만족rsquo을
기준으로 맡은 사업에 대해 언제나 최선을 다하고 있다rdquo며 ldquo안랩을
신뢰해주시는 여러 회사와 함께 동반성장할 수 있도록 노력하겠다rdquo
고 말했다
안랩이 지난달 17일 코엑스 컨벤션센터에서 열린 lsquo아마존 웹 서비
스 글로벌 서밋 서울 2016(이하 AWS 서밋 서울 2016)rsquo에서 다양
한 산업 관계자를 대상으로 lsquo안랩 AWS 고객 원격 보안관제 서비스rsquo
를 소개했다
AWS 서밋 서울 2016은 아마존 웹 서비스가 제공하는 클라우드 컴
퓨팅 서비스에 대한 지식을 공유하고 IT 업계의 최신 기술 트렌드 등
을 소개하는 행사로 지난해 첫 국내 개최에 이어 두 번째로 열렸다
이번 행사에 참가한 안랩은 전용 부스를 운영하며 lsquo안랩 AWS 고객
원격 보안관제 서비스rsquo에 대한 개별 고객 상담 및 서비스 체험 신청
등을 진행했다 안랩 AWS 고객 원격 보안관제 서비스는 네트워크
및 웹 서비스 등에 대한 보안을 안랩의 침해대응(CERT) 전문인력이
원격으로 모니터링 및 관리해주는 서비스다
또한 별도 발표장에서 진행된 미니 발표 세션에서 안랩 서비스상
품기획팀 김준호 대리는 안랩 AWS 고객 원격 보안관제 서비스의
개요 및 구성을 비롯하여 탐지를 넘어 위협 분석까지 제공하는
침해사고 대응 프로세스 미디어사 O2O(Online to Offline 온오
프라인 연결) 서비스 제조 분야의 실제 고객 사례를 통한 다양한
산업별 서비스 적용 방안 등 lsquo안랩 AWS 고객 원격 보안관제 서비
스rsquo의 개념과 강점을 소개했다
안랩 김준호 대리는 ldquo안랩은 lsquoAWS 고객 원격 보안관제 서비스rsquo를
지난 1월 출시한 이후 약 4개월 여 만에 이미 복수의 대형 고객사
를 확보하는 등 검증된 서비스를 제공하고 있다rdquo며 ldquo이는 많은 고객
사에서 단순 탐지를 넘어 위협 분석 및 대응까지 가능한 안랩의 전
문성을 인정한 것으로 볼 수 있다rdquo고 강조했다
현대오토에버
lsquo우수 개발협력사rsquo로 안랩 선정
안랩 lsquoAWS 서밋 서울 2016rsquo에서
클라우드 보안관제 서비스 소개
안랩은 AWS 서밋 서울 2016 행사에서 전용 부스와 발표 세션을 통해 안랩 AWS 고객 원격 보안관제 서비스를 소개했다
발행인 권치중
발행처 주식회사 안랩
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
편집인 안랩 콘텐츠기획팀
디자인 안랩 디자인팀
copy 2016 AhnLab Inc All rights reserved
본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제 복사 검색 시스템
으로 저장 또는 전송될 수 없습니다 안랩 안랩 로고는 안랩의 등록상표입
니다 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상
표일 수 있습니다 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
copy 2016 AhnLab Inc All rights reserved
httpwwwahnlabcom
httpblogahnlabcom
httptwittercomahnlab_man
16
[그림 7] 암호화 된 파일의 파일의 시간 정보 변경 코드
[그림 8] 암호화된 파일의 시간 정보 변경 전(왼쪽) 및 변경 후(오른쪽)
[그림 13] 암호화 완료 후 화면
[그림 12] 결제 안내 파일의 시간 정보 변경 전(좌) 및 변경 후(우)
[그림 9] 암호화 후 확장자 변경
[그림 11] 결제 안내 파일의 시간 정보 변경 코드
[그림 10] 암호화된 파일과 생성된 결제 안내 파일(BMP HTML TXT)
[그림 7]에서 붉은색 박스로 표현한 부분의 데이터(A4 80 BC 4B 36
B0 D1 01)는 SetFileTime API를 사용하여 백업된 원본의 수정한 날
짜로 변경된다
생성한 결제 안내 파일의 시간 정보를 [그림 12]와 같이 변경한다 암
호화가 완료되면 [그림 13]과 같은 화면을 띄우고 스크린이 잠기게
하여 사용자가 어떠한 동작도 할 수 없게 한다
이때 시간 정보가 변경된 파일은 MoveFileW API를 사용하여 [원본
파일명]crypt로 확장자가 변경된다
크립트엑스엑스엑스는 일반적으로 웹사이트 다운로드 등으로 유포되
는 경우가 많다 따라서 사용자는 출처를 알 수 없는 메일에 첨부된 파
일의 실행이나 불필요한 사이트 접근을 삼가는 등의 주의가 필요하다
해당 악성코드 감염을 막기 위해서는 항상 윈도우 보안 패치 및 V3
백신 프로그램을 최신 업데이트 상태로 유지하는 것이 필요하다
안랩은 원본 파일을 복구하는 툴을 랜섬웨어 보안센터를 통해 무료로
제공하고 있다
안랩 랜섬웨어 보안센터 바로가기
그리고 암호화된 파일이 있는 경로마다 결제 안내 파일들을 생성한다
앞서 언급했듯이 SetFileTime API를 이용하여 [그림 11]에 있는 붉은
색 박스에 있는 데이터(00 00 00 00 71 37 00 00)는 1601년 3월 12
일 월요일 10시 17분 27초로 변경된다
17
CryptXXX RansomwareT H R E A T A N A L Y S I S
크립트엑스엑스엑스(CryptXXX) 랜섬웨어는 정상 파일을 암호화한 후 lsquocryptrsquo 확장자로 변경하여 사용자에게 비트코인을 요구하는
랜섬웨어다 이 랜섬웨어는 현재까지 버전 1x 2x 3x 세 가지 형태가 알려져 있다 안랩은 현재 크립트엑스엑스엑스 2x 버전에 의
해 암호화된 파일에 대한 복구 툴을 제공하고 있다 특히 국내 사용자들이 많이 사용하고 있으나 기존 복구 툴이 지원하지 않는 한글
파일(HWP)의 복구도 가능하다는 점이 주목할만하다
월간 lsquo안rsquo에서는 1부와 2부에 걸쳐 크립트엑스엑스엑스의 동작 방식과 주요 기능 암호화 방식 복구 툴 등 자세한 내용을 소개한다
lt연재 목차gt
1부_ DLL 이용한 CryptXXX 랜섬웨어 분석 완료
2부_ CryptXXX 암호화 비밀과 복구 툴 공개
CryptXXX 암호화 비밀과 복구 툴 공개
CryptXXX 랜섬웨어 분석 보고서_2부
1 암호화 방식
[그림 1]은 크립트엑스엑스엑스에 의해 암호화된 lsquoPhotojpgrsquo 파일을
나타낸다 암호화는 고정 크기(0x1FFF)의 블록 단위로 순차적으로 이
뤄지며 암호화 최대 크기는 0xD012FE(대략 13M)로 이후의 데이터
는 원본과 동일하다
암호화된 파일은 원본 파일과 비교하여 260(=0x104)바이트가 증가
한 형태이며 이는 파일 끝부분에 삽입된 키 테이블(Key Table) 정보
로 인한 것이다([그림 1]에서 붉은색 블록 참고) 이 키 테이블 정보
는 블록 단위의 암호를 복호화하는 데 핵심이 되는 데이터로 공개키
를 통해 암호화되어 저장된다 즉 구조적으로는 해당 공개키에 매칭
되는 개인키 정보 없이는 해당 키 테이블 정보를 복호화할 수 없고
파일 복구가 불가능하다 하지만 해당 키 테이블 정보는 개인키 없이
도 원본 파일 시작 부분의 일부 데이터(예를 들면 파일 포맷별 Magic
정보)를 통해 파일의 형태를 확인할 수 있으며 그것을 토대로 유추할
수 있는 키 값으로 복구가 가능하다
2 Key Table 생성 방식과 취약성
[그림 2]는 파일 끝에 삽입된 0x104바이트 크기의 키 테이블이 생성
되는 과정을 나타낸다 이 그림에서 노란색 부분이 공개키로 암호화
된 KeyTable_A[0x40]이며 CryptEncrypt() API를 통해 공개키로 암
호화 시 원본 0x40바이트 크기의 데이터가 최종 0x80바이트 크기로
증가된다
[그림 1] 크립트엑스엑스엑스 암호화 방식
[그림 2] 키 테이블 생성 과정
18
[그림 2]에서 언급된 암호화에 사용되는 핵심 정보 3가지는 lsquo4바이
트 SEED 값rsquo lsquoKeyTable_A[0x40]rsquo lsquoKeyTable_B[0x100]rsquo이며 최초
4바이트 크기의 SEED 값으로부터 이후 정보들이 순차적으로 만들
어지는 구조를 갖는다 키 생성 과정의 최상위에 위치하는 SEED 값
은 감염 시점의 시스템 시간(SystemTime) 정보 중에서 시(wHour)
분(wMinute) 초(Second) 밀리초(Millisecond)를 이용하여 얻어지
며 이 SEED 값으로부터 0x40바이트 크기의 KeyTable_A[0x40] 데
이터가 생성된다 바로 이 부분에서 제작자가 의도하지 않은 취약성
이 존재하며 SEED 값이 동일하면 매번 동일한 KeyTable_A[0x40]
가 생성되는 구조를 갖는다 최종 블록 단위의 암호화에 사용되는
KeyTable_B[0x100]의 데이터와 원본 파일로부터 읽은 블록과의
XOR(배타적 논리합)을 통해 암호화가 수행된다
즉 SEED 값이 동일하면 매번 생성되는 최종 키 테이블 정보가 동일
한 점과 암호화 방식이 XOR이라는 2가지 포인트를 바탕으로 복구 대
상 파일의 Magic 정보가 존재한다면 역으로 키를 유추할 수 있는 구
조다 [그림 3]은 SEED 값이 0x02978CAC일 때 생성되는 키 테이블
A B의 예를 나타낸다
3 키 테이블 생성 함수
크립트엑스엑스엑스 랜섬웨어에서 파일 암호화 시 사용되는 핵심 정
보 3가지의 생성 함수는 다음과 같다
(1) SEED 값 생성
[그림 4]는 SystemTime 정보를 통해 4바이트 크기의 SEED 값을 생
성하는 함수를 나타낸다
KeyTable_A[0x40] 데이터가 생성되는 방식은 다음의 2가지 기본 테
이블 중 델파이 랜덤(Delphi Random) 함수를 통해 얻은 랜덤값을
바탕으로 하나의 값이 선택되어 구성되는 구조를 갖는다
(1) QWERTYUIOPASDFGHJKLZXCVBNMltgt$^amp()_+~|
(2) qwertyuiop[]asdfghjklzxcvbnm`1234567890-=
크립트엑스엑스엑스는 총 2번의 델파이 랜덤 함수를 사용하여 아래
의 Index(A)와 Index(B)를 얻게 된다 이때 Index(A)는 위 기본 테이
블 중 하나를 선택하기 위한 목적으로 Index(B)는 선택된 테이블의
데이터 중 하나를 선택하기 위한 목적으로 사용된다
Index(A) DelphiRandom(3) - 0 ~ 2 범위의 랜덤 값 생성(0 2인 경우 -gt
(1)번 1인 경우 -gt (2))
Index(B) DelphiRandom(44) - 0 ~ 43 범위의 랜덤 값 생성
예를 들어 Index(A) == 0이고 Index(B) == 3이면 lsquoRrsquo 문자열이 선택
된다
(2) 키 테이블(A) 생성
[그림 5]는 SEED 값을 바탕으로 0x40바이트 크기의 키 테이블을 생
성하는 함수이며 do-while 문을 통해 생성되는 0x40바이트 크기의
데이터가 SEED 값이 동일하면 동일한 형태로 생성되는 취약성이 존
재하는 부분이다
(3) 키 테이블(B) 생성
[그림 6]은 키 테이블(A)로부터 0x100바이트 크기의 최종 키 테이블
(B)가 생성되는 함수를 나타낸다 이 키 테이블 정보는 1바이트 단위
의 블록 단위의 암호화 시 XOR 키 값으로 사용된다
[그림 3] 키 테이블 A B 예제
[그림 4] SEED 값 생성 함수
[그림 5] 키 테이블(A) 생성 함수
19
[그림 6] 키 테이블(B) 생성 함수
[그림 7] 크립트엑스엑스엑스 복구 과정
4 복구 방식
시 분 초 밀리초 정보를 통해 계산되는 SEED 값의 범위는 다음과
같다
- 최소값 0000000000 -gt 0 최대값 235959999 -gt 0x5265bff
사용자마다 그리고 암호화된 파일마다 서로 다른 SEED 값을 유추하
기 위해 0 ~ 0x5265bff 범위의 SEED를 순차적으로 선택하며 이를
바탕으로 암호화에 사용된 키 테이블을 생성하거나 복호화를 시도
한다 첫 번째 블록에 대한 복호화를 통해 파일의 고유한 식별 정보
(Magic)가 확인되면 유효한 SEED 값으로 판단하고 전체 파일에 대
한 블록 단위의 복구를 시도한다 우선 첫 번째 파일이 복구에 성공하
면 두 번째 파일부터는 SEED의 범위를 제한하여 좀 더 빠른 복구가
가능하도록 했다 이러한 설정은 복구 대상 파일들이 동일 시간대에
감염된 형태가 대부분일 것으로 가정하여 이루어진 것으로 복구 대
상 파일들이 서로 다른 시스템에서 다른 시간대에 수집된 형태의 경
우 복구 시간이 더 오래 걸리는 특징을 갖는다
5 복구 대상 리스트
복구 툴을 통해 복구 가능한 크립트엑스엑스엑스 버전은 2x로 제한
적이며 우선 다음의 확장자들에 대한 복구가 가능하도록 제작되었
다 특히 국내 사용자들이 많이 사용하고 있으나 기존 복구 툴이 지
원하지 않는 한글 파일(HWP)의 복구가 가능하다 이 외에도 원본 파
일의 고유한 식별 정보만 알 수 있다면 복구가 가능한 구조이기 때문
에 추후 복구 대상으로 추가될 수 있다
CHM AI HWP PDB PDF RTF HTM HTML PHP XML DWG PS
WSF KEY CSR CRT WAV MP3 OGG WMA WMV AVI ASF MP4
MOV MID MPG FLV PNG GIF BMP TIF JPG JPEG ZIP RAR BZ2
7Z GZ JAR APK TGZ ODS DOC DOT PPT POT PPS XLS XLT
DOCX DOCM DOTX DOTM PPTX PPTM POTM POTX PPSM
XLSX XLSB XLSM XLTM XLTX EPS ISO SQLITE3 MDB MSI APP
FDB ACCDB SLN CLASS VCXPROJ
6 복구 툴 경로
안랩은 크립트엑스엑스엑스 랜섬웨어 2x 버전에 대한 복구 툴을 랜
섬웨어 보안센터를 통해 무료로 제공하고 있다
안랩 랜섬웨어 보안센터 바로가기
[그림 7]은 크립트엑스엑스엑스 복구 툴에서 파일 복구를 위해 이루
어지는 과정을 나타낸 것이다 구조상 첫 번째 파일을 복구하는 데 오
랜 시간이 소요되며 이후 파일부터는 빠르게 복구가 가능하다
20
F O C U S I N - D E P T H Compliance
20
1 개인정보보호법
1) 정보주체 이외로부터 수집한 개인정보의 수집 출처 고지 의무화
ldquo따르릉~ 여보세요 홍길동 고객님이시죠 여기는 보험사인데
요~ 알지도 못하는 보험사로부터 이런 전화를 받아 본 경험이 혹시
있었는지 모르겠다 어디서 내 전화번호를 입수한 것인지 물어보면 정
확히 대답하지 않거나 얼버무리는 경우도 많다 개정안이 시행되는 9
월 30일부터 이런 식의 연락은 더 이상 받지 않게 될 것 같다 일정 규
모 이상이 되는 기업(5만 명 이상의 민감 정보 또는 고유식별정보 처
리 100만 명 이상의 개인정보처리)이 정보주체로부터 직접 수집하지
않고 개인정보를 처리할 때는 반드시 ①정보수집출처 ②개인정보처리
목적 ③개인정보 처리정지 요구권이 있다는 사실을 최초 수집 후 3개
월 이내에 정보주체에게 고지해야만 하기 때문이다 불법으로 입수한
개인정보라면 애초에 고지도 못할 테지만 적법하게 제공받은 경우라
하더라도 고객에게 일일이 고지하기란 큰 부담이 될 것이다 고객이 제
3자 제공 동의를 해서 개인정보를 제공했다는 사실을 증명하라고 요구
하면 그 또한 큰일이다 필자 견해로는 이 개정안에 대한 대응이 본 기
사를 통틀어 제일 큰일일 듯 싶다
2) 민감정보의 안전성 확보조치 명시적 요구
민감정보란 개인의 사상middot신념 노동조합middot정당의 가입middot탈퇴 정치
적 견해 건강 유전 정보나 범죄 경력처럼 사생활을 현저히 침해할
우려가 있는 정보를 말한다 기존에도 고유식별 정보와 더불어 수집
이용하지 않는 것이 원칙이고 별도의 동의를 얻어 처리해야 하며 안
전성확보 조치를 통해 보호해야 할 대상이었다 이번 개정안에서는
민감정보에 대한 안전성 확보 조치를 명시적으로 요구하고 있을 뿐
기업 입장에서 달리 조치해야 할 사항은 없어 보인다 (기존 법에 따
라 잘 조치하고 있었을 경우에는 그렇다는 뜻이다)
3) 개인정보처리방침과 개인정보취급방침 구성 요건 동기화
개인정보보호법의 lsquo개인정보처리방침rsquo은 정보통신망법(이후 lsquo정통망
법rsquo)의 lsquo개인정보취급방침rsquo과 이름도 다르고 구성 요건에도 약간의 차
이가 있었다 이번 개정안에서는 방침 구성 내용에 정통망법 일부 사
꼭 챙겨야 할 개인정보보호 법령
지난 3월 8일 발간된 월간 lsquo안rsquo 2016년 3월호에 lsquo2016년에 챙겨봐야 할 개인정보보호 법령 5가지rsquo란 제목으로 개인정보보호 법령에 대
해 소개한 바 있다 이후 3월 22일과 29일에 정보통신망법과 개인정보보호법이 또 개정되어 2016년에 챙겨야 할 법령이 더 늘어났다
이번 호에서는 두 가지 법의 개정사항의 중요도를 별점으로 매겨가며 정리하고자 한다 단 중요도의 기준은 필자의 주관에 따른 것이므
로 참고만 하는 것이 좋겠다 개정된 내용 중 기업과 관련이 적은 사항은 따로 적지 않았다
별점으로 살펴본
lsquo개정rsquo 개인정보보호 관련 법령
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
중요도 업무영향도 대응업무부하
처 벌
- 미이행 시 3000만 원 이하의 과태료
- 미이행 상태에서 유출 사고 발생 시 2년 이하의 징역 또는 2000만 원 이하
의 벌금
중요도 업무영향도 대응업무부하
처 벌 해당 없음
기업에서 대응해야 할 업무 절차
1 법 시행 시점 이후 수집 보유 중인 개인정보 중 정보주체에게 직접 입수한 것이 아닌
개인정보 식별(정보주체 외 입수 경로 제3자 제공 동의 여부 확인)
2 1에서 식별된 개인정보 중 연락처가 있는 개인정보 식별
3 2에서 식별된 정보주체에게 개인정보 수집 및 이용 사실 고지(파기요청 수집)
구체적인 고지 시기 방법은 시행령이 나와야 알 수 있음
4 3의 절차에서 파기 요청 시 파기 시행
기업에서 대응해야 할 업무 절차
1 보유 중인 개인정보 중 민감정보 식별
2 1에서 식별된 민감정보에 대한 안전성 확보 조치 수준 점검
3 2절차에서 법 기준에 미흡한 경우 보완 조치 이행
2121
항을 반영하여 유사한 구조를 갖추도록 했으며 정통망법 또한 lsquo개인
정보처리방침rsquo으로 명칭을 변경함으로써 개인정보보호법과 일원화할
수 있게 되었다 개인정보보호법 개인정보처리방침에 추가된 사항은
다음과 같다
2 정보통신망 이용촉진 및 정보보호 등에 관한 법(이하 lsquo정
통망법)
1) 정보주체의 이동통신 단말장치 내 정보 및 기능에 대한 접근 시 동
의절차 의무화
스마트폰 메신저 앱을 생각해 보자 메신저 앱의 핵심적인 기능은 다
른 사람과 메시지를 주고받는 것이다 메신저를 편히 쓰려면 연락처
를 일일이 입력하기보다는 스마트폰에 있는 연락처 정보를 이용하는
게 필요할텐데 개정된 법은 그렇게 메신저 앱이 서비스를 이용하기
위해 스마트폰에 저장된 정보에 접근할 경우에 반드시 정보주체의 동
의를 받아야 한다는 것이다
핵심 서비스를 위해 필요한 정보나 접근권한에도 동의를 받으라고 하
는 상황인데 그 외의 목적이라면 당연히 동의를 요구할 수밖에 없다
이 경우에는 사용자가 동의를 거부할 권한이 있고 동의를 안했다고
해서 기업이 서비스 제공을 거부할 수 없도록 하고 있다(거부하면 과
태료 처벌을 받을 수 있다)
이 법의 요구사항은 흔히 알고 있는 개인정보 수집이용 동의와 개념
이 다르기 때문에 기업에서도 상당한 고민과 부담이 있을 것으로 예
상된다 (예를 들면 휴대전화에 저장된 연락처는 휴대전화 주인의 개
인정보가 아니므로 정보주체의 개인정보 수집이용 동의로 대체할 수
없다) 휴대전화 기능에 대한 접근권한 역시 개인정보 수집이용 동의
와는 다른 사항이므로 동의 절차를 새롭게 설정해야 할 가능성이 높
다 이런 동의와 철회 방법에 대한 구현 책임은 이동통신단말장치 소
프트웨어 제조업자와 공급자에게 부과하고 있으며 위반 시 과태료 처
벌을 할 수 있도록 되어 있다
2) 개인정보 처리업무 수탁자가 재위탁할 경우 원 위탁자의 동의를 받
는 경우에만 가능함
이번 정통망법 개정안에서는 개인정보 처리 위탁 관련 조항이 특히
많이 수정되었다 대부분 용어가 lsquo취급rsquo에서 lsquo처리rsquo로 바뀐 사항이 많
고 일부 조항은 개인정보보호법과 동일한 수준으로 바뀌었다 예컨대
수탁자에 대한 관리 감독 책임에 lsquo교육rsquo을 별도로 명시한다거나 수탁
자에게 위탁을 할 경우에는 문서에 의하여야 한다는 내용들이 그러하
다 개인정보보호법보다 조금 엄격하게 느껴질 만한 것은 제25조 7
항으로 수탁자의 재위탁은 위탁자로부터 동의를 받은 경우에 한한다
는 내용이다 (개인정보보호법은 시행령 제28조에서 lsquo재위탁 제한에
관한 사항rsquo을 위탁 시 작성해야 할 문서에 기재하도록 하고 있다)
3) 전화 권유 판매 시 개인정보 수집출처 고지 의무 부과
정통망법에 따르면 전자적 전송매체를 이용하여 영리목적의 광고성 정
보를 전송할 때 수신자의 명시적인 사전 동의를 받아야만 한다 사전
동의를 받지 않을 수 있는 예외가 두 가지 있는데 lsquo방문판매 등에 관한
③ 이동통신단말장치의 기본 운영체제(이동통신단말장치에서 소프트웨어를 실행할 수 있는
기반 환경을 말한다)를 제작하여 공급하는 자와 이동통신단말장치 제조업자 및 이동통신단
말장치의 소프트웨어를 제작하여 공급하는 자는 정보통신서비스 제공자가 이동통신단말장
치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근하려는 경우 접근
권한에 대한 이용자의 동의 및 철회방법을 마련하는 등 이용자 정보 보호에 필요한 조치를
하여야 한다
2 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
다 접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실
② 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 반드시 필요하지 아니한 접근
권한을 설정하는 데 이용자가 동의하지 아니한다는 이유로 이용자에게 해당 서비스의 제공
을 거부하여서는 아니 된다
중요도 업무영향도 대응업무부하
처 벌 2000만 원 이하의 과태료
- 수탁자가 위탁자의 동의 없이 재위탁을 한 경우
기업에서 대응해야 할 업무 절차
1 운영개발 중인 모바일 앱(App) 현황 파악(앱이 설치된 모바일 기기 내 이용 정보 및 기
능 내역)
2 1에서 식별된 모바일 기기 내 정보 및 기기에 대해 서비스 이용에 필수선택 항목 식별
3 모바일 앱 설치 시 동의이용 중 철회 절차 검토 및 보완
1) 필수항목과 선택항목의 구분
2) 법 제22조의2제1항1호2호의 사항을 고지사항에 반영
4 이용자 정보 보호에 필요한 기타 조치 사항 반영
5 3과 4에서 도출된 사항을 모바일 앱에 적용 업데이트
6 기존 운영 중인 앱의 경우 고객에게 업데이트 고지(동의 또는 재동의 절차 적용)
⑦ 수탁자는 개인정보 처리위탁을 한 정보통신서비스 제공자 등의 동의를 받은 경우에 한
하여 제1항에 따라 위탁받은 업무를 제3자에게 재위탁할 수 있다 lt신설 2016322gt
기업에서 대응해야 할 업무 절차
1 수탁자의 경우 위탁받은 개인정보의 처리 업무 중 재위탁 현황 파악
2 재위탁 사실이 있고 위탁자의 동의 증적이 없는 경우 파악
3 2에서 파악된 미동의 재위탁 건에 대해 위탁자에게 고지 및 동의 확보
6 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항
을 처리하는 부서의 명칭과 전화번호 등 연락처
7 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치middot운영 및 그 거부에
관한 사항(해당하는 경우)에만 정한다
중요도 업무영향도 대응업무부하
처 벌
3000만 원 이하의 과태료
- 반드시 필요하지 않은 접근권한 설정에 정보주체가 동의하지 않는다는 이유
로 서비스 제공을 거부할 경우
- 접근권한에 대한 동의 및 철회방법을 마련하는 등 조치를 하지 않은 경우
제22조의2(접근권한에 대한 동의) ① 정보통신서비스 제공자는 해당 서비스를 제공하기 위
하여 이용자의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신 단말장치에 설치된
기능에 대하여 접근할 수 있는 권한(이하 ldquo접근권한rdquo이라 한다)이 필요한 경우 다음 각 호의
사항을 이용자가 명확하게 인지할 수 있도록 알리고 이용자의 동의를 받아야 한다
1 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한인 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
2222
법률rsquo에 따른 전화 권유 판매자가 육성으로 전화 권유를 하는 경우가
그 중 하나였다 개정 법에서는 lsquo수신자에게 개인정보의 수집출처를 고
지하고rsquo라는 조건이 추가됨으로써 한결 까다로워졌다
4) 개인정보의 국외 이전 유형에 따른 동의 요건 완화
모처럼 개인정보보호 담당자한테 반가운 개선 조항이 생겼다 개인정
보의 국외 이전은 정통망법에서 논란이 되던 문제였다 개인정보보호
법은 국외에 제3자 제공할 경우만 정보주체의 동의 받으라고 되어 있
는데 정통망법에선 lsquo이전rsquo할 때 동의를 받으라고만 되어 있었기 때문에
제3자 제공과 위탁의 경우를 달리 적용하기 어려웠던 것이다 개정안
에서는 lsquo국외로 이전하려면rsquo이라고 되어 있던 조항을 lsquo국외에 제공(조회
되는 경우를 포함한다)middot처리위탁middot보관(이하 이 조에서 ldquo이전rdquo이라 한
다)하려면rsquo이라고 풀어서 표현하고 lsquo다만 정보통신서비스의 제공에 관
한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서
제3항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자
우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는
개인정보 처리위탁middot보관에 따른 동의절차를 거치지 아니할 수 있다rsquo라
는 단서 조항을 더 함으로써 국외 이전의 경우에도 위탁업무일 경우엔
동의 받지 않고 처리할 수 있도록 하였다 (개인정보보호법과 일치시킨
셈이다)
5) 노출된 개인정보의 삭제 차단 조치 의무화
웹사이트에서 시험 합격자 명단 등을 공개할 때 관리자의 부주의로 주
민번호와 같은 고유식별정보를 포함시키는 일이 종종 발생하곤 한다
기존 법령에서도 개인정보의 노출을 통제할 책임은 정보처리자에게 부
여하고 있으나 이번 개정안에서는 별도의 조항으로 명시함으로써 책임
성을 부각하고 있다 관련 처벌이 따르지 않아 규범적 조항인 점이 그
나마 다행스럽다
6) 기타 사항
이상 중요한 사항은 짚어 보았고 다른 사항은 대부분 개인정보보호법
과 균형을 맞추기 위한 내용들이다 lsquo개인정보관리책임자rsquo란 용어는
개인정보보호법과 마찬가지로 lsquo개인정보보호책임자rsquo란 용어로 바뀌
었고 처벌 수준에 있어서도 주요 법 위반 시 위반행위에 관련된 이익
의 몰수 추징 조항이 신설되었다 내용의 파급력으로 보자면 충격이
클 수도 있는 제32조 제2항의 징벌적 손해배상도 이미 개인정보보호
법에 들어간 내용이기 때문에 기업 입장에서 새롭게 고민할 사항은
적을 듯하다
전기통신사업자와 정보통신서비스 제공자를 대상으로 하는 정보통신
망법과 일반법으로 적용되는 개인정보보호법은 개인정보보호의 규준
을 이루는 양대 법률이다 기업 입장에선 지나치게 자주 개정되어 정보
보호 업무 부담을 더하는 측면도 있다 하지만 이번 개정안은 두 법의
용어와 조항 처벌 수준 등을 통일함으로써 법 적용을 돕는 긍정적인
면이 훨씬 많을 듯하다 아무쪼록 이번 개정안이 적극 반영되어 사회
전반에서 더욱 안전한 개인정보보호 환경이 갖추어지기를 기대한다
기업에서 대응해야 할 업무 절차
1 전화 권유 판매 시 정보주체 사전 동의 획득 여부 확인
2 사전동의 미 획득 케이스인 경우 개인정보 수집출처 확인
3 개인정보 수집출처가 확인되지 않은 경우 개인정보 이용 중지
4 개인정보 수집출처가 확인된 경우 수집출처를 고객에게 고지하고 전화 권유 판매
기업에서 대응해야 할 업무 절차
1 개인정보의 해외 이전 유형 식별(제공처리위탁보관)
2 이전 유형 중 처리위탁보관의 경우 고지공개 여부 확인
3 이전 유형 중 제공의 경우 동의 여부 확인
4 2 3단계에서 미흡 사항 발견 시 개선 조치
중요도 업무영향도 대응업무부하
처 벌 없음
제32조의3(노출된 개인정보의 삭제middot차단) ① 정보통신서비스 제공자 등은 주민등록번호
계좌정보 신용카드정보 등 이용자의 개인정보가 정보통신망을 통하여 공중에 노출되지 않
도록 하여야 한다
② 정보통신서비스 제공자 등의 고의 또는 중대한 과실로 인하여 개인정보가 분실middot도난middot
유출middot위조middot변조 또는 훼손된 경우로서 이용자에게 손해가 발생한 때에는 법원은 그 손
해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다 다만 정보통신서비스
제공자 등이 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다 lt신설
2016322gt
기업에서 대응해야 할 업무 절차
1 시스템 내 개인정보 노출 현황 파악 (노출정보유형목적노출기간주관부서 등 현황 파악)
2 노출된 고유식별정보 및 금융정보 발견 시 삭제 또는 보호(마스킹 등) 조치
3 1~2의 반복적 이행 가급적 시스템화하는 것이 바람직함
중요도 업무영향도 대응업무부하
처 벌
- 2000만 원 이하의 과태료 공개나 고지 없이 개인정보를 국외에 처리위탁
보관한 경우
- 과징금 부과 정보주체의 동의 없이 개인정보를 국외에 제공한 경우
23
어릴 때부터 각종 디지털 기기의 사용이 능숙한 lsquo디지털 키즈(Digital kids)rsquo인 우리 자녀들을 위한 똑똑한 lsquo디지털 페어런팅(육아법)rsquo을 소개한
다 식당이나 카페에서 어린 자녀에게 스마트폰은 보여주고 있거나 자녀가 어린이날 선물로 스마트폰을 사달라고 조르는 경우 스마트폰 게임
이나 SNS에 빠져 있는 자녀 때문에 걱정인 부모들에게 필요한 자녀의 연령에 맞는 디지털 페어런팅이다 자녀가 성숙한 디지털 기기 사용 습
관을 기를 수 있도록 도와주는 것은 부모가 반드시 해야 하는 역할 중 하나다
몸짓을 이미지로 기억해 엄마의 의도를 파악한다 그다음 좌뇌가 발달하는데 좌뇌가 발달하기 시작하면 언어 발달이 이루어진다 그런데 이 시
기에 과도하게 스마트폰에 노출되면 우뇌가 충분히 발달하지 않은 상태에서 좌뇌가 발달하게 된다
우뇌가 제대로 발달하지 못하면 감정을 담당하는 뇌 발달에 영향을 줄 수 있는데 이는 다른 사람의 마음을 헤아리는 능력 다른 사람과 생각이
나 느낌을 주고 받는 능력 사고력 감정 조절력 부족으로 이어질 수 있다 우는 아이를 달래려고 부모가 편하게 밥을 먹기 위해서 흥미로운
자극을 주고 싶다는 이유로 이 시기 아이에게 건넨 스마트폰은 아이의 뇌에 치명적인 후유증을 남길 수 있음을 기억해야 한다
3~6세 유아기 부모의 통제 하에 사용해야
전문가들은 이 시기 아이에게도 디지털 기기의 사용을 권장하지는 않는다 하지만 현실적으로 쉽지 않다면 차선책을 선택해야 한다 부모가 디
지털 기기의 이용 시간 및 콘텐츠 등에 대해 확실한 기준을 갖고 있어야 한다 lsquo하루 30분 이상 넘기지 않으며 아이가 좋아하는 애니메이션 영상
과 동요 율동 영상만 본다rsquo는 식으로 말이다 아이의 손에 스마트폰을 맡겨버리면 의도하지 않은 영상에까지 노출될 우려가 있으니 주의해야 한다
약속한 시간 외에는 스마트폰을 아이의 손에 닿지 않는 곳에 두는 것이 좋다 이를 위해서는 부모 역시 스마트 기기 사용을 절제할 수 있어야
한다 아이들은 부모를 롤 모델로 삼아 그 태도와 습관을 배우기 때문이다 하지만 이 시기 아이가 스마트폰을 보여 달라고 강하게 떼를 쓰는
등 통제가 되지 않을 때는 당분간 아예 아이에게서 스마트폰을 분리하는 것이 효과적이다 스마트폰이 아닌 다른 방법으로 아이와 시간을 보
내는 법을 고민하는 것은 부모의 몫이다
0~3세 영유아기 스마트폰 잠시 건네는 것도 안 돼
이제 걸음마를 시작할 법한 아이가 스마트폰에 집중해 있는 모습을
본 적이 있을 것이다 우는 아이를 달래기 위해서 식당이나 카페에서
아이를 조용히 앉혀놓을 요량으로 부모는 어린 자녀의 손에 스마트폰
을 쥐여준다 하지만 전문가들은 이 시기의 아이에게 디지털 기기를
노출시키는 건 ldquo안 된다rdquo고 입을 모은다 lsquo영유아 스마트폰 증후군rsquo 등
의 부작용이 우려되기 때문이다
lsquo영유아 스마트폰 증후군rsquo이란 6세 미만의 아이들이 영상 게임 등의
지속적인 자극에 오랜 시간 노출되어 우뇌가 발달해야 하는 시기에
좌뇌가 지나치게 발달해 좌middot우뇌의 균형이 틀어지는 것을 말한다
영아기 아이는 우뇌가 먼저 발달하는데 엄마의 표정 목소리 눈짓
I T amp L I F E
내 아이를 지키는 rsquo디지털 페어런팅rsquo
스티브 잡스가 자녀에게 아이폰 아이패드와 같은 디지털 기기의 사용을 허락하지 않았다는 건 잘 알려진 사실이다 드론을 만드는 3D
로보틱스 CEO 크리스 앤더슨은 아이들이 사용하는 전자 기기의 사용 시간을 제한하고 부모가 통제할 수 있는 장치를 부착했다고 한
다 그는 ldquo테크놀로지의 위험을 잘 알고 있으며 아이들에게 그런 일이 일어나는 것을 원치 않는다rdquo며 그 이유를 설명했다 이들의 자녀
교육법이 전적으로 옳다고 말할 수는 없지만 어릴 때부터 디지털 기기 사용이 너무나 익숙한 우리 자녀들의 모습은 한 번쯤 돌아볼 필
요가 있다
24
6~10세 미만 디지털 기기 사용 가이드라인에 대해 설명해줘야
부모가 디지털 기기 사용 시간 및 사용 및 목록의 한계에 대한 가이드라인을 정하고 이에 대해 아이가 이해할 수 있도록 설명해주는 것이 좋
다 가이드 라인을 정할 때 아이의 생각을 들어보고 반영하는 것도 방법이다 디지털 기기 사용 가이드라인이 지켜질 수 있도록 온 가족이 노력
해야 함은 물론이다 TV를 보고 스마트 기기를 가지고 노는 것 자체가 문제가 될 수도 있지만 이로 인해 친구들과 뛰어놀며 신체활동을 하는
즐거움을 빼앗기지 않도록 하는 것도 중요함을 잊지 말아야 한다
10세 이상의 초등학생 스스로 규칙을 정하고 지킬 수 있도
록 동기 부여
부모들의 고민 중 하나는 lsquo아이에게 스마트폰을 언제 사줄 것인가rsquo다
아이의 하교 후 학원에서 학원으로 이동할 때마다 연락을 주고받기
위해 휴대전화가 필요할 수도 있다 요즘은 초등학교 입학과 함께 스
마트폰을 사주는 가정도 많다 친구들도 다 있다며 사달라고 떼를 쓰
는 아이의 마음도 이해 못 하는 바 아니지만 자녀에게 스마트폰을 사
주는 적당한 시기는 부모가 잘 판단해야 한다 아이가 스마트폰 사용
규칙을 지킬 수 있을 만큼 성숙한 상태여야 한다는 의미다 하고 싶어
도 참을 수 있는 절제력과 충동조절능력 좌절인내력이 바탕이 돼야
만 스스로 규칙을 지킬 수 있다
구글 애플 마이크로소프트 등 글로벌 IT 기업의 자녀들이 많이 다니
는 실리콘밸리에 발도로프 학교에는 컴퓨터가 없다 스크린 보드 빔
프로젝터 등의 멀티미디어 기기도 없으며 연필과 종이 분필 등을 이
용한 아날로그식 수업이 진행된다 이들은 우리나라 나이로 중학교 3
학년이 되는 8학년이 돼서야 컴퓨터를 서서히 배우기 시작한다 학생
들이 학교에 디지털 기기를 가져올 수도 없다 lsquo디지털 세상이 아이를
아프게 한다rsquo의 저자인 신의진 정신과 박사는 ldquo언제 자녀가 스마트폰
을 사용하면 좋냐rdquo는 질문에 ldquo늦을수록 좋다rdquo고 답한다
우리 자녀 세대는 지금 우리보다 훨씬 더 디지털 기기와 가깝게 지낼
것이다 시대가 변하고 있기 때문이다 더 흥미로운 기기들이 쏟아질
것이고 그에 맞는 교육 및 놀이 앱이 넘쳐날 것이다 하지만 시대가
변해도 변하지 않는 것은 존재한다 부모가 자녀와 디지털 생활에 대
해 이야기를 나눌 수 있는 환경은 신뢰를 바탕으로 한 그들의 아날로
그 생활에서의 환경이 조성하는 법이다 가족과 함께 서로의 디지털
생활에 대한 이야기를 나눠보는 시간을 갖는 것은 어떨까
자녀와 함께 TV 컴퓨터 스마트폰 등에 대한 이용 규칙을 정하고 스스로 통제할 수 있도록 동기를 부여해주는 것이 좋다 만약 약속을 어겼을
경우 벌칙도 명확히 해둔다 예를 들어 주말에만 컴퓨터 게임을 하기로 했는데 어겼다면 다음 주말 컴퓨터 이용 시간을 줄이는 식이다 초등학
교 3~4학년만 돼도 아이들은 SNS에 흥미를 느끼기 시작한다 이때 부모는 아이가 어떤 게시물을 올리고 다운로드하는지 관심을 가질 필요가
있다 인터넷상에 올린 글이나 영상은 쉽게 공유될 수 있으며 지우는 것도 쉽지 않다는 점에 대해서도 알려줘야 한다
중middot고등학생 자율성 존중하되 방치해선 안 돼
ldquo스마트폰 그만하고 공부해rdquo와 같은 강압적인 지시는 되레 부작용을 낳을 수 있다 중middot고등학생의 자녀와의 디지털 페어런팅에서 가장 중요한
것은 자율성을 존중하되 방치해서는 안 된다는 점이다 아이가 적당히 조절하며 디지털 기기를 사용하고 있다면 문제 없지만 걱정할 정도로 몰
입돼 있는 상황이라면 가정의 디지털 페어런팅 방식을 다시 점검해봐야 한다 과몰입 상태는 적절한 교육으로 가정에서 바로 잡을 수 있지만 중
독의 수준이라면 상황이 달라진다 이런 경우 아이가 디지털 기기에 빠진 원인을 찾고 이를 해결하기 위해 전문가 상담 및 치료를 받아야 한다
[그림 1] 컴퓨터가 없는 발도로프 학교에 대해 다룬 뉴욕타임즈 기사
(출처 httpwwwnytimescom20111023technologyat-waldorf-school-in-silicon-valley-technology-can-waithtml)
참고 자료
신의진(2013) 디지털 세상이 아이를 아프게 한다 북클라우드
구본권(2014) 당신을 공유하시겠습니까 어크로스
25
보안 통계와 이슈 S T A T I S T I C S
[그림 2]는 2016년 4월 한 달간 유포된 악성코드를 주요 유형별로 집
계한 결과이다 불필요한 프로그램인 PUP(Potentially Unwanted
Program)가 5948로 가장 높은 비중을 차지했고 트로이목마
(Trojan) 계열의 악성코드가 168 웜(Worm)이 347의 비율로
그 뒤를 이었다
지난 4월 한 달간 탐지된 모바일 악성코드는 24만 7847건으로 집계
됐다
안랩 시큐리티대응센터(이하 ASEC)는 최근 ASEC Report Vol76를 통해 지난 2016년 4월의 보안 통계 및 이슈를 전했다 지난 4월
의 주요 보안 이슈를 살펴본다
파일 속성 변경하는 리눅스 악성코드 등장
안랩 4월 악성코드 통계 및 보안 이슈 발표
[그림 1] 악성코드 추이(2016년 2월~2016년 4월)
ASEC이 집계한 바에 따르면 2016년 4월 한 달간 탐지된 악성코드
수는 1156만 4967건으로 나타났다 이는 전월 1321만 2012건에
비해 164만 7045건 감소한 수치다 한편 4월에 수집된 악성코드 샘
플 수는 324만 5837건이다
샘플 수집 수탐지 건수
[그림 2] 2016년 4월 주요 악성코드 유형
Adware DownloaderWormTrojanetcPUP
[그림 3] 모바일 악성코드 추이(2016년 2월 ~ 2016년 4월)
5000000
6000000
10000000
20000000
30000000
40000000
1000000
2000000
3000000
4000000
4월3월2월
11830547 1156496713212012
324
583
7
354
858
1
349
346
8
347
168
1939
5948072
014
100000
200000
300000
500000
600000
700000
400000
0
4월3월2월
247847256512
323301
26
또한 지난 4월 악성코드 유포지로 악용된 도메인은 648개 URL은
2216개로 집계됐다 4월의 악성 도메인 및 URL 차단 건수는 총 637
만 3536건이다
이와 같은 경우 lsquolsattrrsquo 명령을 통해 해당 파일의 속성을 조회하면 [그
림 7]과 같이 lsquoirsquo 속성이 추가되어 있음을 확인할 수 있다
리눅스 악성코드 lsquo빌게이츠 봇넷rsquo 발견
최근 리눅스(Linux) 운영체제에서 감염 시스템의 정보 수집 시스
템 파일 교체 DDoS 공격 등을 수행하는 lsquo빌게이츠 봇넷(BillGates
botnet)rsquo이 발견됐다 해당 악성코드는 감염 시스템 내에서 속성이 변
경되어 삭제가 불가능해 리눅스 사용자들의 피해가 우려된다
빌게이츠 봇넷은 서버에 침입 후 파일의 속성을 변경하여 악성코드를
삭제할 수 없도록 설정한다 리눅스 시스템에서 악성코드 감염에 의
해 파일 속성이 변경된 경우 이를 삭제할 수 있는 방법을 자세히 살
펴보자
먼저 공격자가 파일의 속성을 변경한 후 [그림 5]와 같이 삭제 시도를
하면 lsquo실행이 허가되지 않았다(Operation not permitted)rsquo라는 메시
지가 출력되며 해당 파일이 삭제되지 않는다
이처럼 lsquoirsquo 속성이 추가되어 있는 경우에는 [그림 8]과 같이 루트 권한
으로 lsquochattrrsquo 명령을 통해 해당 파일의 속성을 변경한 후 다시 삭제
를 시도하면 해당 파일이 정상적으로 삭제된다
파일의 속성 추가(chattr)는 lsquo+[추가할 속성]rsquo 제거는 lsquondash[제거할 속성]rsquo
을 통하여 수행할 수 있으며 lsquo-Rrsquo 옵션을 추가로 부여하는 경우에는
하위 디렉터리까지 모두 포함되어 적용된다 이는 윈도우(Windows)
운영체제의 lsquoattirbrsquo 명령과 유사하다
이때 만일 관리자가 파일이 삭제되지 않는 원인을 파일 권한 문제라
고 생각하고 파일 시스템에 기록된 정보를 이용하여 루트 계정 및
inode를 제거하는 방법으로 다시 삭제를 시도하면 마찬가지로 동일
한 메시지가 발생하며 파일이 삭제되지 않는다
이번 리눅스 악성코드 사례와 같이 파일의 속성이 변경되어 삭제가
불가한 경우가 있어 권한 뿐만 아니라 파일 속성에 대해서도 다시 한
번 확인하는 것이 필요하다 단 중요 파일이나 로그 파일 등은 lsquoirsquo나
lsquoarsquo 속성을 적용하는 정상적인 경우도 있다 즉 이러한 속성이 적용되
어 있는 파일이라고 해서 모두 악성 파일은 아니므로 정확히 악성으
로 확인된 파일에 대해서만 삭제를 진행할 것을 권장한다
최근 리눅스 운영체제를 노리는 악성코드가 꾸준히 증가하고 있다
DDoS 공격이나 백도어 등 리눅스 악성코드의 기능도 다양해지고 있
으며 앞으로 더욱 고도화될 것으로 예상된다 리눅스 시스템도 안전
하게 이용하기 위해서는 반드시 암호를 설정해야 하며 최신 보안 업
데이트를 적용해야 한다
V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지하고
있다
ltV3 제품군의 진단명gt
LinuxBackdoor1223123B
[그림 5] RM 명령어를 통한 삭제 시도
[그림 6] INODE 제거를 통한 삭제 시도
[그림 4] 악성코드 유포 도메인URL 탐지 및 차단 건수(2016년 2월 ~ 2016년 4월)
악성 도메인URL 차단 건수 악성코드 유포 URL 수악성코드 유포 도메인 수
10000
20000
30000
8000000
9000000
40000
7000000
6000000
5000000
4000000
04월
221681467900
6481587936
3월2월
6373536
7157616
6355582
[그림 7] 파일 속성 조회
[표 1] 리눅스 파일 속성 및 lsquoCHATTRrsquo 명령어 예시
[그림 8] 파일 속성 변경 후 제거 시도
[명령어 예시 (i S 속성 추가)]
chattr + iS samples
[파일 속성명 중 일부] [설명]
a (CAP LINUX IMMUTABLE capability) 추가 작성만 가능 삭제 불가
I (CAP LINUX IMMUTABLE capability) 삭제 변경 링크 파일 생성 등
S 파일이 변경되면 디스크 동기화
u 파일 삭제 시 내용 백업
2727
A H N L A B N E W S
현대자동차 그룹 IT서비스 전문업체인 현대오토에버가 최근 lsquo5스타
우수 개발협력사rsquo로 안랩을 선정했다
lsquo현대오토에버 우수 개발협력사rsquo는 현대오토에버가 협력사와 공동
으로 수행한 전년도 사업의 수행 실적에 따라 1스타부터 5스타까지
우수협력사를 선정하고 이에 따른 다양한 인센티브를 제공하는 프
로그램이다
안랩은 현대오토에버의 개발컨설팅 협력사로서 프로젝트 평가 및
업체 종합 평가 등에서 안정적이고 우수한 프로젝트 성과를 인정받
아 최고 등급인 lsquo5스타rsquo 우수 개발협력사로 선정됐다 안랩 서비스
사업부를 총괄하는 방인구 상무는 ldquo안랩은 핵심가치인 lsquo고객만족rsquo을
기준으로 맡은 사업에 대해 언제나 최선을 다하고 있다rdquo며 ldquo안랩을
신뢰해주시는 여러 회사와 함께 동반성장할 수 있도록 노력하겠다rdquo
고 말했다
안랩이 지난달 17일 코엑스 컨벤션센터에서 열린 lsquo아마존 웹 서비
스 글로벌 서밋 서울 2016(이하 AWS 서밋 서울 2016)rsquo에서 다양
한 산업 관계자를 대상으로 lsquo안랩 AWS 고객 원격 보안관제 서비스rsquo
를 소개했다
AWS 서밋 서울 2016은 아마존 웹 서비스가 제공하는 클라우드 컴
퓨팅 서비스에 대한 지식을 공유하고 IT 업계의 최신 기술 트렌드 등
을 소개하는 행사로 지난해 첫 국내 개최에 이어 두 번째로 열렸다
이번 행사에 참가한 안랩은 전용 부스를 운영하며 lsquo안랩 AWS 고객
원격 보안관제 서비스rsquo에 대한 개별 고객 상담 및 서비스 체험 신청
등을 진행했다 안랩 AWS 고객 원격 보안관제 서비스는 네트워크
및 웹 서비스 등에 대한 보안을 안랩의 침해대응(CERT) 전문인력이
원격으로 모니터링 및 관리해주는 서비스다
또한 별도 발표장에서 진행된 미니 발표 세션에서 안랩 서비스상
품기획팀 김준호 대리는 안랩 AWS 고객 원격 보안관제 서비스의
개요 및 구성을 비롯하여 탐지를 넘어 위협 분석까지 제공하는
침해사고 대응 프로세스 미디어사 O2O(Online to Offline 온오
프라인 연결) 서비스 제조 분야의 실제 고객 사례를 통한 다양한
산업별 서비스 적용 방안 등 lsquo안랩 AWS 고객 원격 보안관제 서비
스rsquo의 개념과 강점을 소개했다
안랩 김준호 대리는 ldquo안랩은 lsquoAWS 고객 원격 보안관제 서비스rsquo를
지난 1월 출시한 이후 약 4개월 여 만에 이미 복수의 대형 고객사
를 확보하는 등 검증된 서비스를 제공하고 있다rdquo며 ldquo이는 많은 고객
사에서 단순 탐지를 넘어 위협 분석 및 대응까지 가능한 안랩의 전
문성을 인정한 것으로 볼 수 있다rdquo고 강조했다
현대오토에버
lsquo우수 개발협력사rsquo로 안랩 선정
안랩 lsquoAWS 서밋 서울 2016rsquo에서
클라우드 보안관제 서비스 소개
안랩은 AWS 서밋 서울 2016 행사에서 전용 부스와 발표 세션을 통해 안랩 AWS 고객 원격 보안관제 서비스를 소개했다
발행인 권치중
발행처 주식회사 안랩
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
편집인 안랩 콘텐츠기획팀
디자인 안랩 디자인팀
copy 2016 AhnLab Inc All rights reserved
본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제 복사 검색 시스템
으로 저장 또는 전송될 수 없습니다 안랩 안랩 로고는 안랩의 등록상표입
니다 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상
표일 수 있습니다 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
copy 2016 AhnLab Inc All rights reserved
httpwwwahnlabcom
httpblogahnlabcom
httptwittercomahnlab_man
17
CryptXXX RansomwareT H R E A T A N A L Y S I S
크립트엑스엑스엑스(CryptXXX) 랜섬웨어는 정상 파일을 암호화한 후 lsquocryptrsquo 확장자로 변경하여 사용자에게 비트코인을 요구하는
랜섬웨어다 이 랜섬웨어는 현재까지 버전 1x 2x 3x 세 가지 형태가 알려져 있다 안랩은 현재 크립트엑스엑스엑스 2x 버전에 의
해 암호화된 파일에 대한 복구 툴을 제공하고 있다 특히 국내 사용자들이 많이 사용하고 있으나 기존 복구 툴이 지원하지 않는 한글
파일(HWP)의 복구도 가능하다는 점이 주목할만하다
월간 lsquo안rsquo에서는 1부와 2부에 걸쳐 크립트엑스엑스엑스의 동작 방식과 주요 기능 암호화 방식 복구 툴 등 자세한 내용을 소개한다
lt연재 목차gt
1부_ DLL 이용한 CryptXXX 랜섬웨어 분석 완료
2부_ CryptXXX 암호화 비밀과 복구 툴 공개
CryptXXX 암호화 비밀과 복구 툴 공개
CryptXXX 랜섬웨어 분석 보고서_2부
1 암호화 방식
[그림 1]은 크립트엑스엑스엑스에 의해 암호화된 lsquoPhotojpgrsquo 파일을
나타낸다 암호화는 고정 크기(0x1FFF)의 블록 단위로 순차적으로 이
뤄지며 암호화 최대 크기는 0xD012FE(대략 13M)로 이후의 데이터
는 원본과 동일하다
암호화된 파일은 원본 파일과 비교하여 260(=0x104)바이트가 증가
한 형태이며 이는 파일 끝부분에 삽입된 키 테이블(Key Table) 정보
로 인한 것이다([그림 1]에서 붉은색 블록 참고) 이 키 테이블 정보
는 블록 단위의 암호를 복호화하는 데 핵심이 되는 데이터로 공개키
를 통해 암호화되어 저장된다 즉 구조적으로는 해당 공개키에 매칭
되는 개인키 정보 없이는 해당 키 테이블 정보를 복호화할 수 없고
파일 복구가 불가능하다 하지만 해당 키 테이블 정보는 개인키 없이
도 원본 파일 시작 부분의 일부 데이터(예를 들면 파일 포맷별 Magic
정보)를 통해 파일의 형태를 확인할 수 있으며 그것을 토대로 유추할
수 있는 키 값으로 복구가 가능하다
2 Key Table 생성 방식과 취약성
[그림 2]는 파일 끝에 삽입된 0x104바이트 크기의 키 테이블이 생성
되는 과정을 나타낸다 이 그림에서 노란색 부분이 공개키로 암호화
된 KeyTable_A[0x40]이며 CryptEncrypt() API를 통해 공개키로 암
호화 시 원본 0x40바이트 크기의 데이터가 최종 0x80바이트 크기로
증가된다
[그림 1] 크립트엑스엑스엑스 암호화 방식
[그림 2] 키 테이블 생성 과정
18
[그림 2]에서 언급된 암호화에 사용되는 핵심 정보 3가지는 lsquo4바이
트 SEED 값rsquo lsquoKeyTable_A[0x40]rsquo lsquoKeyTable_B[0x100]rsquo이며 최초
4바이트 크기의 SEED 값으로부터 이후 정보들이 순차적으로 만들
어지는 구조를 갖는다 키 생성 과정의 최상위에 위치하는 SEED 값
은 감염 시점의 시스템 시간(SystemTime) 정보 중에서 시(wHour)
분(wMinute) 초(Second) 밀리초(Millisecond)를 이용하여 얻어지
며 이 SEED 값으로부터 0x40바이트 크기의 KeyTable_A[0x40] 데
이터가 생성된다 바로 이 부분에서 제작자가 의도하지 않은 취약성
이 존재하며 SEED 값이 동일하면 매번 동일한 KeyTable_A[0x40]
가 생성되는 구조를 갖는다 최종 블록 단위의 암호화에 사용되는
KeyTable_B[0x100]의 데이터와 원본 파일로부터 읽은 블록과의
XOR(배타적 논리합)을 통해 암호화가 수행된다
즉 SEED 값이 동일하면 매번 생성되는 최종 키 테이블 정보가 동일
한 점과 암호화 방식이 XOR이라는 2가지 포인트를 바탕으로 복구 대
상 파일의 Magic 정보가 존재한다면 역으로 키를 유추할 수 있는 구
조다 [그림 3]은 SEED 값이 0x02978CAC일 때 생성되는 키 테이블
A B의 예를 나타낸다
3 키 테이블 생성 함수
크립트엑스엑스엑스 랜섬웨어에서 파일 암호화 시 사용되는 핵심 정
보 3가지의 생성 함수는 다음과 같다
(1) SEED 값 생성
[그림 4]는 SystemTime 정보를 통해 4바이트 크기의 SEED 값을 생
성하는 함수를 나타낸다
KeyTable_A[0x40] 데이터가 생성되는 방식은 다음의 2가지 기본 테
이블 중 델파이 랜덤(Delphi Random) 함수를 통해 얻은 랜덤값을
바탕으로 하나의 값이 선택되어 구성되는 구조를 갖는다
(1) QWERTYUIOPASDFGHJKLZXCVBNMltgt$^amp()_+~|
(2) qwertyuiop[]asdfghjklzxcvbnm`1234567890-=
크립트엑스엑스엑스는 총 2번의 델파이 랜덤 함수를 사용하여 아래
의 Index(A)와 Index(B)를 얻게 된다 이때 Index(A)는 위 기본 테이
블 중 하나를 선택하기 위한 목적으로 Index(B)는 선택된 테이블의
데이터 중 하나를 선택하기 위한 목적으로 사용된다
Index(A) DelphiRandom(3) - 0 ~ 2 범위의 랜덤 값 생성(0 2인 경우 -gt
(1)번 1인 경우 -gt (2))
Index(B) DelphiRandom(44) - 0 ~ 43 범위의 랜덤 값 생성
예를 들어 Index(A) == 0이고 Index(B) == 3이면 lsquoRrsquo 문자열이 선택
된다
(2) 키 테이블(A) 생성
[그림 5]는 SEED 값을 바탕으로 0x40바이트 크기의 키 테이블을 생
성하는 함수이며 do-while 문을 통해 생성되는 0x40바이트 크기의
데이터가 SEED 값이 동일하면 동일한 형태로 생성되는 취약성이 존
재하는 부분이다
(3) 키 테이블(B) 생성
[그림 6]은 키 테이블(A)로부터 0x100바이트 크기의 최종 키 테이블
(B)가 생성되는 함수를 나타낸다 이 키 테이블 정보는 1바이트 단위
의 블록 단위의 암호화 시 XOR 키 값으로 사용된다
[그림 3] 키 테이블 A B 예제
[그림 4] SEED 값 생성 함수
[그림 5] 키 테이블(A) 생성 함수
19
[그림 6] 키 테이블(B) 생성 함수
[그림 7] 크립트엑스엑스엑스 복구 과정
4 복구 방식
시 분 초 밀리초 정보를 통해 계산되는 SEED 값의 범위는 다음과
같다
- 최소값 0000000000 -gt 0 최대값 235959999 -gt 0x5265bff
사용자마다 그리고 암호화된 파일마다 서로 다른 SEED 값을 유추하
기 위해 0 ~ 0x5265bff 범위의 SEED를 순차적으로 선택하며 이를
바탕으로 암호화에 사용된 키 테이블을 생성하거나 복호화를 시도
한다 첫 번째 블록에 대한 복호화를 통해 파일의 고유한 식별 정보
(Magic)가 확인되면 유효한 SEED 값으로 판단하고 전체 파일에 대
한 블록 단위의 복구를 시도한다 우선 첫 번째 파일이 복구에 성공하
면 두 번째 파일부터는 SEED의 범위를 제한하여 좀 더 빠른 복구가
가능하도록 했다 이러한 설정은 복구 대상 파일들이 동일 시간대에
감염된 형태가 대부분일 것으로 가정하여 이루어진 것으로 복구 대
상 파일들이 서로 다른 시스템에서 다른 시간대에 수집된 형태의 경
우 복구 시간이 더 오래 걸리는 특징을 갖는다
5 복구 대상 리스트
복구 툴을 통해 복구 가능한 크립트엑스엑스엑스 버전은 2x로 제한
적이며 우선 다음의 확장자들에 대한 복구가 가능하도록 제작되었
다 특히 국내 사용자들이 많이 사용하고 있으나 기존 복구 툴이 지
원하지 않는 한글 파일(HWP)의 복구가 가능하다 이 외에도 원본 파
일의 고유한 식별 정보만 알 수 있다면 복구가 가능한 구조이기 때문
에 추후 복구 대상으로 추가될 수 있다
CHM AI HWP PDB PDF RTF HTM HTML PHP XML DWG PS
WSF KEY CSR CRT WAV MP3 OGG WMA WMV AVI ASF MP4
MOV MID MPG FLV PNG GIF BMP TIF JPG JPEG ZIP RAR BZ2
7Z GZ JAR APK TGZ ODS DOC DOT PPT POT PPS XLS XLT
DOCX DOCM DOTX DOTM PPTX PPTM POTM POTX PPSM
XLSX XLSB XLSM XLTM XLTX EPS ISO SQLITE3 MDB MSI APP
FDB ACCDB SLN CLASS VCXPROJ
6 복구 툴 경로
안랩은 크립트엑스엑스엑스 랜섬웨어 2x 버전에 대한 복구 툴을 랜
섬웨어 보안센터를 통해 무료로 제공하고 있다
안랩 랜섬웨어 보안센터 바로가기
[그림 7]은 크립트엑스엑스엑스 복구 툴에서 파일 복구를 위해 이루
어지는 과정을 나타낸 것이다 구조상 첫 번째 파일을 복구하는 데 오
랜 시간이 소요되며 이후 파일부터는 빠르게 복구가 가능하다
20
F O C U S I N - D E P T H Compliance
20
1 개인정보보호법
1) 정보주체 이외로부터 수집한 개인정보의 수집 출처 고지 의무화
ldquo따르릉~ 여보세요 홍길동 고객님이시죠 여기는 보험사인데
요~ 알지도 못하는 보험사로부터 이런 전화를 받아 본 경험이 혹시
있었는지 모르겠다 어디서 내 전화번호를 입수한 것인지 물어보면 정
확히 대답하지 않거나 얼버무리는 경우도 많다 개정안이 시행되는 9
월 30일부터 이런 식의 연락은 더 이상 받지 않게 될 것 같다 일정 규
모 이상이 되는 기업(5만 명 이상의 민감 정보 또는 고유식별정보 처
리 100만 명 이상의 개인정보처리)이 정보주체로부터 직접 수집하지
않고 개인정보를 처리할 때는 반드시 ①정보수집출처 ②개인정보처리
목적 ③개인정보 처리정지 요구권이 있다는 사실을 최초 수집 후 3개
월 이내에 정보주체에게 고지해야만 하기 때문이다 불법으로 입수한
개인정보라면 애초에 고지도 못할 테지만 적법하게 제공받은 경우라
하더라도 고객에게 일일이 고지하기란 큰 부담이 될 것이다 고객이 제
3자 제공 동의를 해서 개인정보를 제공했다는 사실을 증명하라고 요구
하면 그 또한 큰일이다 필자 견해로는 이 개정안에 대한 대응이 본 기
사를 통틀어 제일 큰일일 듯 싶다
2) 민감정보의 안전성 확보조치 명시적 요구
민감정보란 개인의 사상middot신념 노동조합middot정당의 가입middot탈퇴 정치
적 견해 건강 유전 정보나 범죄 경력처럼 사생활을 현저히 침해할
우려가 있는 정보를 말한다 기존에도 고유식별 정보와 더불어 수집
이용하지 않는 것이 원칙이고 별도의 동의를 얻어 처리해야 하며 안
전성확보 조치를 통해 보호해야 할 대상이었다 이번 개정안에서는
민감정보에 대한 안전성 확보 조치를 명시적으로 요구하고 있을 뿐
기업 입장에서 달리 조치해야 할 사항은 없어 보인다 (기존 법에 따
라 잘 조치하고 있었을 경우에는 그렇다는 뜻이다)
3) 개인정보처리방침과 개인정보취급방침 구성 요건 동기화
개인정보보호법의 lsquo개인정보처리방침rsquo은 정보통신망법(이후 lsquo정통망
법rsquo)의 lsquo개인정보취급방침rsquo과 이름도 다르고 구성 요건에도 약간의 차
이가 있었다 이번 개정안에서는 방침 구성 내용에 정통망법 일부 사
꼭 챙겨야 할 개인정보보호 법령
지난 3월 8일 발간된 월간 lsquo안rsquo 2016년 3월호에 lsquo2016년에 챙겨봐야 할 개인정보보호 법령 5가지rsquo란 제목으로 개인정보보호 법령에 대
해 소개한 바 있다 이후 3월 22일과 29일에 정보통신망법과 개인정보보호법이 또 개정되어 2016년에 챙겨야 할 법령이 더 늘어났다
이번 호에서는 두 가지 법의 개정사항의 중요도를 별점으로 매겨가며 정리하고자 한다 단 중요도의 기준은 필자의 주관에 따른 것이므
로 참고만 하는 것이 좋겠다 개정된 내용 중 기업과 관련이 적은 사항은 따로 적지 않았다
별점으로 살펴본
lsquo개정rsquo 개인정보보호 관련 법령
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
중요도 업무영향도 대응업무부하
처 벌
- 미이행 시 3000만 원 이하의 과태료
- 미이행 상태에서 유출 사고 발생 시 2년 이하의 징역 또는 2000만 원 이하
의 벌금
중요도 업무영향도 대응업무부하
처 벌 해당 없음
기업에서 대응해야 할 업무 절차
1 법 시행 시점 이후 수집 보유 중인 개인정보 중 정보주체에게 직접 입수한 것이 아닌
개인정보 식별(정보주체 외 입수 경로 제3자 제공 동의 여부 확인)
2 1에서 식별된 개인정보 중 연락처가 있는 개인정보 식별
3 2에서 식별된 정보주체에게 개인정보 수집 및 이용 사실 고지(파기요청 수집)
구체적인 고지 시기 방법은 시행령이 나와야 알 수 있음
4 3의 절차에서 파기 요청 시 파기 시행
기업에서 대응해야 할 업무 절차
1 보유 중인 개인정보 중 민감정보 식별
2 1에서 식별된 민감정보에 대한 안전성 확보 조치 수준 점검
3 2절차에서 법 기준에 미흡한 경우 보완 조치 이행
2121
항을 반영하여 유사한 구조를 갖추도록 했으며 정통망법 또한 lsquo개인
정보처리방침rsquo으로 명칭을 변경함으로써 개인정보보호법과 일원화할
수 있게 되었다 개인정보보호법 개인정보처리방침에 추가된 사항은
다음과 같다
2 정보통신망 이용촉진 및 정보보호 등에 관한 법(이하 lsquo정
통망법)
1) 정보주체의 이동통신 단말장치 내 정보 및 기능에 대한 접근 시 동
의절차 의무화
스마트폰 메신저 앱을 생각해 보자 메신저 앱의 핵심적인 기능은 다
른 사람과 메시지를 주고받는 것이다 메신저를 편히 쓰려면 연락처
를 일일이 입력하기보다는 스마트폰에 있는 연락처 정보를 이용하는
게 필요할텐데 개정된 법은 그렇게 메신저 앱이 서비스를 이용하기
위해 스마트폰에 저장된 정보에 접근할 경우에 반드시 정보주체의 동
의를 받아야 한다는 것이다
핵심 서비스를 위해 필요한 정보나 접근권한에도 동의를 받으라고 하
는 상황인데 그 외의 목적이라면 당연히 동의를 요구할 수밖에 없다
이 경우에는 사용자가 동의를 거부할 권한이 있고 동의를 안했다고
해서 기업이 서비스 제공을 거부할 수 없도록 하고 있다(거부하면 과
태료 처벌을 받을 수 있다)
이 법의 요구사항은 흔히 알고 있는 개인정보 수집이용 동의와 개념
이 다르기 때문에 기업에서도 상당한 고민과 부담이 있을 것으로 예
상된다 (예를 들면 휴대전화에 저장된 연락처는 휴대전화 주인의 개
인정보가 아니므로 정보주체의 개인정보 수집이용 동의로 대체할 수
없다) 휴대전화 기능에 대한 접근권한 역시 개인정보 수집이용 동의
와는 다른 사항이므로 동의 절차를 새롭게 설정해야 할 가능성이 높
다 이런 동의와 철회 방법에 대한 구현 책임은 이동통신단말장치 소
프트웨어 제조업자와 공급자에게 부과하고 있으며 위반 시 과태료 처
벌을 할 수 있도록 되어 있다
2) 개인정보 처리업무 수탁자가 재위탁할 경우 원 위탁자의 동의를 받
는 경우에만 가능함
이번 정통망법 개정안에서는 개인정보 처리 위탁 관련 조항이 특히
많이 수정되었다 대부분 용어가 lsquo취급rsquo에서 lsquo처리rsquo로 바뀐 사항이 많
고 일부 조항은 개인정보보호법과 동일한 수준으로 바뀌었다 예컨대
수탁자에 대한 관리 감독 책임에 lsquo교육rsquo을 별도로 명시한다거나 수탁
자에게 위탁을 할 경우에는 문서에 의하여야 한다는 내용들이 그러하
다 개인정보보호법보다 조금 엄격하게 느껴질 만한 것은 제25조 7
항으로 수탁자의 재위탁은 위탁자로부터 동의를 받은 경우에 한한다
는 내용이다 (개인정보보호법은 시행령 제28조에서 lsquo재위탁 제한에
관한 사항rsquo을 위탁 시 작성해야 할 문서에 기재하도록 하고 있다)
3) 전화 권유 판매 시 개인정보 수집출처 고지 의무 부과
정통망법에 따르면 전자적 전송매체를 이용하여 영리목적의 광고성 정
보를 전송할 때 수신자의 명시적인 사전 동의를 받아야만 한다 사전
동의를 받지 않을 수 있는 예외가 두 가지 있는데 lsquo방문판매 등에 관한
③ 이동통신단말장치의 기본 운영체제(이동통신단말장치에서 소프트웨어를 실행할 수 있는
기반 환경을 말한다)를 제작하여 공급하는 자와 이동통신단말장치 제조업자 및 이동통신단
말장치의 소프트웨어를 제작하여 공급하는 자는 정보통신서비스 제공자가 이동통신단말장
치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근하려는 경우 접근
권한에 대한 이용자의 동의 및 철회방법을 마련하는 등 이용자 정보 보호에 필요한 조치를
하여야 한다
2 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
다 접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실
② 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 반드시 필요하지 아니한 접근
권한을 설정하는 데 이용자가 동의하지 아니한다는 이유로 이용자에게 해당 서비스의 제공
을 거부하여서는 아니 된다
중요도 업무영향도 대응업무부하
처 벌 2000만 원 이하의 과태료
- 수탁자가 위탁자의 동의 없이 재위탁을 한 경우
기업에서 대응해야 할 업무 절차
1 운영개발 중인 모바일 앱(App) 현황 파악(앱이 설치된 모바일 기기 내 이용 정보 및 기
능 내역)
2 1에서 식별된 모바일 기기 내 정보 및 기기에 대해 서비스 이용에 필수선택 항목 식별
3 모바일 앱 설치 시 동의이용 중 철회 절차 검토 및 보완
1) 필수항목과 선택항목의 구분
2) 법 제22조의2제1항1호2호의 사항을 고지사항에 반영
4 이용자 정보 보호에 필요한 기타 조치 사항 반영
5 3과 4에서 도출된 사항을 모바일 앱에 적용 업데이트
6 기존 운영 중인 앱의 경우 고객에게 업데이트 고지(동의 또는 재동의 절차 적용)
⑦ 수탁자는 개인정보 처리위탁을 한 정보통신서비스 제공자 등의 동의를 받은 경우에 한
하여 제1항에 따라 위탁받은 업무를 제3자에게 재위탁할 수 있다 lt신설 2016322gt
기업에서 대응해야 할 업무 절차
1 수탁자의 경우 위탁받은 개인정보의 처리 업무 중 재위탁 현황 파악
2 재위탁 사실이 있고 위탁자의 동의 증적이 없는 경우 파악
3 2에서 파악된 미동의 재위탁 건에 대해 위탁자에게 고지 및 동의 확보
6 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항
을 처리하는 부서의 명칭과 전화번호 등 연락처
7 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치middot운영 및 그 거부에
관한 사항(해당하는 경우)에만 정한다
중요도 업무영향도 대응업무부하
처 벌
3000만 원 이하의 과태료
- 반드시 필요하지 않은 접근권한 설정에 정보주체가 동의하지 않는다는 이유
로 서비스 제공을 거부할 경우
- 접근권한에 대한 동의 및 철회방법을 마련하는 등 조치를 하지 않은 경우
제22조의2(접근권한에 대한 동의) ① 정보통신서비스 제공자는 해당 서비스를 제공하기 위
하여 이용자의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신 단말장치에 설치된
기능에 대하여 접근할 수 있는 권한(이하 ldquo접근권한rdquo이라 한다)이 필요한 경우 다음 각 호의
사항을 이용자가 명확하게 인지할 수 있도록 알리고 이용자의 동의를 받아야 한다
1 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한인 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
2222
법률rsquo에 따른 전화 권유 판매자가 육성으로 전화 권유를 하는 경우가
그 중 하나였다 개정 법에서는 lsquo수신자에게 개인정보의 수집출처를 고
지하고rsquo라는 조건이 추가됨으로써 한결 까다로워졌다
4) 개인정보의 국외 이전 유형에 따른 동의 요건 완화
모처럼 개인정보보호 담당자한테 반가운 개선 조항이 생겼다 개인정
보의 국외 이전은 정통망법에서 논란이 되던 문제였다 개인정보보호
법은 국외에 제3자 제공할 경우만 정보주체의 동의 받으라고 되어 있
는데 정통망법에선 lsquo이전rsquo할 때 동의를 받으라고만 되어 있었기 때문에
제3자 제공과 위탁의 경우를 달리 적용하기 어려웠던 것이다 개정안
에서는 lsquo국외로 이전하려면rsquo이라고 되어 있던 조항을 lsquo국외에 제공(조회
되는 경우를 포함한다)middot처리위탁middot보관(이하 이 조에서 ldquo이전rdquo이라 한
다)하려면rsquo이라고 풀어서 표현하고 lsquo다만 정보통신서비스의 제공에 관
한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서
제3항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자
우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는
개인정보 처리위탁middot보관에 따른 동의절차를 거치지 아니할 수 있다rsquo라
는 단서 조항을 더 함으로써 국외 이전의 경우에도 위탁업무일 경우엔
동의 받지 않고 처리할 수 있도록 하였다 (개인정보보호법과 일치시킨
셈이다)
5) 노출된 개인정보의 삭제 차단 조치 의무화
웹사이트에서 시험 합격자 명단 등을 공개할 때 관리자의 부주의로 주
민번호와 같은 고유식별정보를 포함시키는 일이 종종 발생하곤 한다
기존 법령에서도 개인정보의 노출을 통제할 책임은 정보처리자에게 부
여하고 있으나 이번 개정안에서는 별도의 조항으로 명시함으로써 책임
성을 부각하고 있다 관련 처벌이 따르지 않아 규범적 조항인 점이 그
나마 다행스럽다
6) 기타 사항
이상 중요한 사항은 짚어 보았고 다른 사항은 대부분 개인정보보호법
과 균형을 맞추기 위한 내용들이다 lsquo개인정보관리책임자rsquo란 용어는
개인정보보호법과 마찬가지로 lsquo개인정보보호책임자rsquo란 용어로 바뀌
었고 처벌 수준에 있어서도 주요 법 위반 시 위반행위에 관련된 이익
의 몰수 추징 조항이 신설되었다 내용의 파급력으로 보자면 충격이
클 수도 있는 제32조 제2항의 징벌적 손해배상도 이미 개인정보보호
법에 들어간 내용이기 때문에 기업 입장에서 새롭게 고민할 사항은
적을 듯하다
전기통신사업자와 정보통신서비스 제공자를 대상으로 하는 정보통신
망법과 일반법으로 적용되는 개인정보보호법은 개인정보보호의 규준
을 이루는 양대 법률이다 기업 입장에선 지나치게 자주 개정되어 정보
보호 업무 부담을 더하는 측면도 있다 하지만 이번 개정안은 두 법의
용어와 조항 처벌 수준 등을 통일함으로써 법 적용을 돕는 긍정적인
면이 훨씬 많을 듯하다 아무쪼록 이번 개정안이 적극 반영되어 사회
전반에서 더욱 안전한 개인정보보호 환경이 갖추어지기를 기대한다
기업에서 대응해야 할 업무 절차
1 전화 권유 판매 시 정보주체 사전 동의 획득 여부 확인
2 사전동의 미 획득 케이스인 경우 개인정보 수집출처 확인
3 개인정보 수집출처가 확인되지 않은 경우 개인정보 이용 중지
4 개인정보 수집출처가 확인된 경우 수집출처를 고객에게 고지하고 전화 권유 판매
기업에서 대응해야 할 업무 절차
1 개인정보의 해외 이전 유형 식별(제공처리위탁보관)
2 이전 유형 중 처리위탁보관의 경우 고지공개 여부 확인
3 이전 유형 중 제공의 경우 동의 여부 확인
4 2 3단계에서 미흡 사항 발견 시 개선 조치
중요도 업무영향도 대응업무부하
처 벌 없음
제32조의3(노출된 개인정보의 삭제middot차단) ① 정보통신서비스 제공자 등은 주민등록번호
계좌정보 신용카드정보 등 이용자의 개인정보가 정보통신망을 통하여 공중에 노출되지 않
도록 하여야 한다
② 정보통신서비스 제공자 등의 고의 또는 중대한 과실로 인하여 개인정보가 분실middot도난middot
유출middot위조middot변조 또는 훼손된 경우로서 이용자에게 손해가 발생한 때에는 법원은 그 손
해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다 다만 정보통신서비스
제공자 등이 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다 lt신설
2016322gt
기업에서 대응해야 할 업무 절차
1 시스템 내 개인정보 노출 현황 파악 (노출정보유형목적노출기간주관부서 등 현황 파악)
2 노출된 고유식별정보 및 금융정보 발견 시 삭제 또는 보호(마스킹 등) 조치
3 1~2의 반복적 이행 가급적 시스템화하는 것이 바람직함
중요도 업무영향도 대응업무부하
처 벌
- 2000만 원 이하의 과태료 공개나 고지 없이 개인정보를 국외에 처리위탁
보관한 경우
- 과징금 부과 정보주체의 동의 없이 개인정보를 국외에 제공한 경우
23
어릴 때부터 각종 디지털 기기의 사용이 능숙한 lsquo디지털 키즈(Digital kids)rsquo인 우리 자녀들을 위한 똑똑한 lsquo디지털 페어런팅(육아법)rsquo을 소개한
다 식당이나 카페에서 어린 자녀에게 스마트폰은 보여주고 있거나 자녀가 어린이날 선물로 스마트폰을 사달라고 조르는 경우 스마트폰 게임
이나 SNS에 빠져 있는 자녀 때문에 걱정인 부모들에게 필요한 자녀의 연령에 맞는 디지털 페어런팅이다 자녀가 성숙한 디지털 기기 사용 습
관을 기를 수 있도록 도와주는 것은 부모가 반드시 해야 하는 역할 중 하나다
몸짓을 이미지로 기억해 엄마의 의도를 파악한다 그다음 좌뇌가 발달하는데 좌뇌가 발달하기 시작하면 언어 발달이 이루어진다 그런데 이 시
기에 과도하게 스마트폰에 노출되면 우뇌가 충분히 발달하지 않은 상태에서 좌뇌가 발달하게 된다
우뇌가 제대로 발달하지 못하면 감정을 담당하는 뇌 발달에 영향을 줄 수 있는데 이는 다른 사람의 마음을 헤아리는 능력 다른 사람과 생각이
나 느낌을 주고 받는 능력 사고력 감정 조절력 부족으로 이어질 수 있다 우는 아이를 달래려고 부모가 편하게 밥을 먹기 위해서 흥미로운
자극을 주고 싶다는 이유로 이 시기 아이에게 건넨 스마트폰은 아이의 뇌에 치명적인 후유증을 남길 수 있음을 기억해야 한다
3~6세 유아기 부모의 통제 하에 사용해야
전문가들은 이 시기 아이에게도 디지털 기기의 사용을 권장하지는 않는다 하지만 현실적으로 쉽지 않다면 차선책을 선택해야 한다 부모가 디
지털 기기의 이용 시간 및 콘텐츠 등에 대해 확실한 기준을 갖고 있어야 한다 lsquo하루 30분 이상 넘기지 않으며 아이가 좋아하는 애니메이션 영상
과 동요 율동 영상만 본다rsquo는 식으로 말이다 아이의 손에 스마트폰을 맡겨버리면 의도하지 않은 영상에까지 노출될 우려가 있으니 주의해야 한다
약속한 시간 외에는 스마트폰을 아이의 손에 닿지 않는 곳에 두는 것이 좋다 이를 위해서는 부모 역시 스마트 기기 사용을 절제할 수 있어야
한다 아이들은 부모를 롤 모델로 삼아 그 태도와 습관을 배우기 때문이다 하지만 이 시기 아이가 스마트폰을 보여 달라고 강하게 떼를 쓰는
등 통제가 되지 않을 때는 당분간 아예 아이에게서 스마트폰을 분리하는 것이 효과적이다 스마트폰이 아닌 다른 방법으로 아이와 시간을 보
내는 법을 고민하는 것은 부모의 몫이다
0~3세 영유아기 스마트폰 잠시 건네는 것도 안 돼
이제 걸음마를 시작할 법한 아이가 스마트폰에 집중해 있는 모습을
본 적이 있을 것이다 우는 아이를 달래기 위해서 식당이나 카페에서
아이를 조용히 앉혀놓을 요량으로 부모는 어린 자녀의 손에 스마트폰
을 쥐여준다 하지만 전문가들은 이 시기의 아이에게 디지털 기기를
노출시키는 건 ldquo안 된다rdquo고 입을 모은다 lsquo영유아 스마트폰 증후군rsquo 등
의 부작용이 우려되기 때문이다
lsquo영유아 스마트폰 증후군rsquo이란 6세 미만의 아이들이 영상 게임 등의
지속적인 자극에 오랜 시간 노출되어 우뇌가 발달해야 하는 시기에
좌뇌가 지나치게 발달해 좌middot우뇌의 균형이 틀어지는 것을 말한다
영아기 아이는 우뇌가 먼저 발달하는데 엄마의 표정 목소리 눈짓
I T amp L I F E
내 아이를 지키는 rsquo디지털 페어런팅rsquo
스티브 잡스가 자녀에게 아이폰 아이패드와 같은 디지털 기기의 사용을 허락하지 않았다는 건 잘 알려진 사실이다 드론을 만드는 3D
로보틱스 CEO 크리스 앤더슨은 아이들이 사용하는 전자 기기의 사용 시간을 제한하고 부모가 통제할 수 있는 장치를 부착했다고 한
다 그는 ldquo테크놀로지의 위험을 잘 알고 있으며 아이들에게 그런 일이 일어나는 것을 원치 않는다rdquo며 그 이유를 설명했다 이들의 자녀
교육법이 전적으로 옳다고 말할 수는 없지만 어릴 때부터 디지털 기기 사용이 너무나 익숙한 우리 자녀들의 모습은 한 번쯤 돌아볼 필
요가 있다
24
6~10세 미만 디지털 기기 사용 가이드라인에 대해 설명해줘야
부모가 디지털 기기 사용 시간 및 사용 및 목록의 한계에 대한 가이드라인을 정하고 이에 대해 아이가 이해할 수 있도록 설명해주는 것이 좋
다 가이드 라인을 정할 때 아이의 생각을 들어보고 반영하는 것도 방법이다 디지털 기기 사용 가이드라인이 지켜질 수 있도록 온 가족이 노력
해야 함은 물론이다 TV를 보고 스마트 기기를 가지고 노는 것 자체가 문제가 될 수도 있지만 이로 인해 친구들과 뛰어놀며 신체활동을 하는
즐거움을 빼앗기지 않도록 하는 것도 중요함을 잊지 말아야 한다
10세 이상의 초등학생 스스로 규칙을 정하고 지킬 수 있도
록 동기 부여
부모들의 고민 중 하나는 lsquo아이에게 스마트폰을 언제 사줄 것인가rsquo다
아이의 하교 후 학원에서 학원으로 이동할 때마다 연락을 주고받기
위해 휴대전화가 필요할 수도 있다 요즘은 초등학교 입학과 함께 스
마트폰을 사주는 가정도 많다 친구들도 다 있다며 사달라고 떼를 쓰
는 아이의 마음도 이해 못 하는 바 아니지만 자녀에게 스마트폰을 사
주는 적당한 시기는 부모가 잘 판단해야 한다 아이가 스마트폰 사용
규칙을 지킬 수 있을 만큼 성숙한 상태여야 한다는 의미다 하고 싶어
도 참을 수 있는 절제력과 충동조절능력 좌절인내력이 바탕이 돼야
만 스스로 규칙을 지킬 수 있다
구글 애플 마이크로소프트 등 글로벌 IT 기업의 자녀들이 많이 다니
는 실리콘밸리에 발도로프 학교에는 컴퓨터가 없다 스크린 보드 빔
프로젝터 등의 멀티미디어 기기도 없으며 연필과 종이 분필 등을 이
용한 아날로그식 수업이 진행된다 이들은 우리나라 나이로 중학교 3
학년이 되는 8학년이 돼서야 컴퓨터를 서서히 배우기 시작한다 학생
들이 학교에 디지털 기기를 가져올 수도 없다 lsquo디지털 세상이 아이를
아프게 한다rsquo의 저자인 신의진 정신과 박사는 ldquo언제 자녀가 스마트폰
을 사용하면 좋냐rdquo는 질문에 ldquo늦을수록 좋다rdquo고 답한다
우리 자녀 세대는 지금 우리보다 훨씬 더 디지털 기기와 가깝게 지낼
것이다 시대가 변하고 있기 때문이다 더 흥미로운 기기들이 쏟아질
것이고 그에 맞는 교육 및 놀이 앱이 넘쳐날 것이다 하지만 시대가
변해도 변하지 않는 것은 존재한다 부모가 자녀와 디지털 생활에 대
해 이야기를 나눌 수 있는 환경은 신뢰를 바탕으로 한 그들의 아날로
그 생활에서의 환경이 조성하는 법이다 가족과 함께 서로의 디지털
생활에 대한 이야기를 나눠보는 시간을 갖는 것은 어떨까
자녀와 함께 TV 컴퓨터 스마트폰 등에 대한 이용 규칙을 정하고 스스로 통제할 수 있도록 동기를 부여해주는 것이 좋다 만약 약속을 어겼을
경우 벌칙도 명확히 해둔다 예를 들어 주말에만 컴퓨터 게임을 하기로 했는데 어겼다면 다음 주말 컴퓨터 이용 시간을 줄이는 식이다 초등학
교 3~4학년만 돼도 아이들은 SNS에 흥미를 느끼기 시작한다 이때 부모는 아이가 어떤 게시물을 올리고 다운로드하는지 관심을 가질 필요가
있다 인터넷상에 올린 글이나 영상은 쉽게 공유될 수 있으며 지우는 것도 쉽지 않다는 점에 대해서도 알려줘야 한다
중middot고등학생 자율성 존중하되 방치해선 안 돼
ldquo스마트폰 그만하고 공부해rdquo와 같은 강압적인 지시는 되레 부작용을 낳을 수 있다 중middot고등학생의 자녀와의 디지털 페어런팅에서 가장 중요한
것은 자율성을 존중하되 방치해서는 안 된다는 점이다 아이가 적당히 조절하며 디지털 기기를 사용하고 있다면 문제 없지만 걱정할 정도로 몰
입돼 있는 상황이라면 가정의 디지털 페어런팅 방식을 다시 점검해봐야 한다 과몰입 상태는 적절한 교육으로 가정에서 바로 잡을 수 있지만 중
독의 수준이라면 상황이 달라진다 이런 경우 아이가 디지털 기기에 빠진 원인을 찾고 이를 해결하기 위해 전문가 상담 및 치료를 받아야 한다
[그림 1] 컴퓨터가 없는 발도로프 학교에 대해 다룬 뉴욕타임즈 기사
(출처 httpwwwnytimescom20111023technologyat-waldorf-school-in-silicon-valley-technology-can-waithtml)
참고 자료
신의진(2013) 디지털 세상이 아이를 아프게 한다 북클라우드
구본권(2014) 당신을 공유하시겠습니까 어크로스
25
보안 통계와 이슈 S T A T I S T I C S
[그림 2]는 2016년 4월 한 달간 유포된 악성코드를 주요 유형별로 집
계한 결과이다 불필요한 프로그램인 PUP(Potentially Unwanted
Program)가 5948로 가장 높은 비중을 차지했고 트로이목마
(Trojan) 계열의 악성코드가 168 웜(Worm)이 347의 비율로
그 뒤를 이었다
지난 4월 한 달간 탐지된 모바일 악성코드는 24만 7847건으로 집계
됐다
안랩 시큐리티대응센터(이하 ASEC)는 최근 ASEC Report Vol76를 통해 지난 2016년 4월의 보안 통계 및 이슈를 전했다 지난 4월
의 주요 보안 이슈를 살펴본다
파일 속성 변경하는 리눅스 악성코드 등장
안랩 4월 악성코드 통계 및 보안 이슈 발표
[그림 1] 악성코드 추이(2016년 2월~2016년 4월)
ASEC이 집계한 바에 따르면 2016년 4월 한 달간 탐지된 악성코드
수는 1156만 4967건으로 나타났다 이는 전월 1321만 2012건에
비해 164만 7045건 감소한 수치다 한편 4월에 수집된 악성코드 샘
플 수는 324만 5837건이다
샘플 수집 수탐지 건수
[그림 2] 2016년 4월 주요 악성코드 유형
Adware DownloaderWormTrojanetcPUP
[그림 3] 모바일 악성코드 추이(2016년 2월 ~ 2016년 4월)
5000000
6000000
10000000
20000000
30000000
40000000
1000000
2000000
3000000
4000000
4월3월2월
11830547 1156496713212012
324
583
7
354
858
1
349
346
8
347
168
1939
5948072
014
100000
200000
300000
500000
600000
700000
400000
0
4월3월2월
247847256512
323301
26
또한 지난 4월 악성코드 유포지로 악용된 도메인은 648개 URL은
2216개로 집계됐다 4월의 악성 도메인 및 URL 차단 건수는 총 637
만 3536건이다
이와 같은 경우 lsquolsattrrsquo 명령을 통해 해당 파일의 속성을 조회하면 [그
림 7]과 같이 lsquoirsquo 속성이 추가되어 있음을 확인할 수 있다
리눅스 악성코드 lsquo빌게이츠 봇넷rsquo 발견
최근 리눅스(Linux) 운영체제에서 감염 시스템의 정보 수집 시스
템 파일 교체 DDoS 공격 등을 수행하는 lsquo빌게이츠 봇넷(BillGates
botnet)rsquo이 발견됐다 해당 악성코드는 감염 시스템 내에서 속성이 변
경되어 삭제가 불가능해 리눅스 사용자들의 피해가 우려된다
빌게이츠 봇넷은 서버에 침입 후 파일의 속성을 변경하여 악성코드를
삭제할 수 없도록 설정한다 리눅스 시스템에서 악성코드 감염에 의
해 파일 속성이 변경된 경우 이를 삭제할 수 있는 방법을 자세히 살
펴보자
먼저 공격자가 파일의 속성을 변경한 후 [그림 5]와 같이 삭제 시도를
하면 lsquo실행이 허가되지 않았다(Operation not permitted)rsquo라는 메시
지가 출력되며 해당 파일이 삭제되지 않는다
이처럼 lsquoirsquo 속성이 추가되어 있는 경우에는 [그림 8]과 같이 루트 권한
으로 lsquochattrrsquo 명령을 통해 해당 파일의 속성을 변경한 후 다시 삭제
를 시도하면 해당 파일이 정상적으로 삭제된다
파일의 속성 추가(chattr)는 lsquo+[추가할 속성]rsquo 제거는 lsquondash[제거할 속성]rsquo
을 통하여 수행할 수 있으며 lsquo-Rrsquo 옵션을 추가로 부여하는 경우에는
하위 디렉터리까지 모두 포함되어 적용된다 이는 윈도우(Windows)
운영체제의 lsquoattirbrsquo 명령과 유사하다
이때 만일 관리자가 파일이 삭제되지 않는 원인을 파일 권한 문제라
고 생각하고 파일 시스템에 기록된 정보를 이용하여 루트 계정 및
inode를 제거하는 방법으로 다시 삭제를 시도하면 마찬가지로 동일
한 메시지가 발생하며 파일이 삭제되지 않는다
이번 리눅스 악성코드 사례와 같이 파일의 속성이 변경되어 삭제가
불가한 경우가 있어 권한 뿐만 아니라 파일 속성에 대해서도 다시 한
번 확인하는 것이 필요하다 단 중요 파일이나 로그 파일 등은 lsquoirsquo나
lsquoarsquo 속성을 적용하는 정상적인 경우도 있다 즉 이러한 속성이 적용되
어 있는 파일이라고 해서 모두 악성 파일은 아니므로 정확히 악성으
로 확인된 파일에 대해서만 삭제를 진행할 것을 권장한다
최근 리눅스 운영체제를 노리는 악성코드가 꾸준히 증가하고 있다
DDoS 공격이나 백도어 등 리눅스 악성코드의 기능도 다양해지고 있
으며 앞으로 더욱 고도화될 것으로 예상된다 리눅스 시스템도 안전
하게 이용하기 위해서는 반드시 암호를 설정해야 하며 최신 보안 업
데이트를 적용해야 한다
V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지하고
있다
ltV3 제품군의 진단명gt
LinuxBackdoor1223123B
[그림 5] RM 명령어를 통한 삭제 시도
[그림 6] INODE 제거를 통한 삭제 시도
[그림 4] 악성코드 유포 도메인URL 탐지 및 차단 건수(2016년 2월 ~ 2016년 4월)
악성 도메인URL 차단 건수 악성코드 유포 URL 수악성코드 유포 도메인 수
10000
20000
30000
8000000
9000000
40000
7000000
6000000
5000000
4000000
04월
221681467900
6481587936
3월2월
6373536
7157616
6355582
[그림 7] 파일 속성 조회
[표 1] 리눅스 파일 속성 및 lsquoCHATTRrsquo 명령어 예시
[그림 8] 파일 속성 변경 후 제거 시도
[명령어 예시 (i S 속성 추가)]
chattr + iS samples
[파일 속성명 중 일부] [설명]
a (CAP LINUX IMMUTABLE capability) 추가 작성만 가능 삭제 불가
I (CAP LINUX IMMUTABLE capability) 삭제 변경 링크 파일 생성 등
S 파일이 변경되면 디스크 동기화
u 파일 삭제 시 내용 백업
2727
A H N L A B N E W S
현대자동차 그룹 IT서비스 전문업체인 현대오토에버가 최근 lsquo5스타
우수 개발협력사rsquo로 안랩을 선정했다
lsquo현대오토에버 우수 개발협력사rsquo는 현대오토에버가 협력사와 공동
으로 수행한 전년도 사업의 수행 실적에 따라 1스타부터 5스타까지
우수협력사를 선정하고 이에 따른 다양한 인센티브를 제공하는 프
로그램이다
안랩은 현대오토에버의 개발컨설팅 협력사로서 프로젝트 평가 및
업체 종합 평가 등에서 안정적이고 우수한 프로젝트 성과를 인정받
아 최고 등급인 lsquo5스타rsquo 우수 개발협력사로 선정됐다 안랩 서비스
사업부를 총괄하는 방인구 상무는 ldquo안랩은 핵심가치인 lsquo고객만족rsquo을
기준으로 맡은 사업에 대해 언제나 최선을 다하고 있다rdquo며 ldquo안랩을
신뢰해주시는 여러 회사와 함께 동반성장할 수 있도록 노력하겠다rdquo
고 말했다
안랩이 지난달 17일 코엑스 컨벤션센터에서 열린 lsquo아마존 웹 서비
스 글로벌 서밋 서울 2016(이하 AWS 서밋 서울 2016)rsquo에서 다양
한 산업 관계자를 대상으로 lsquo안랩 AWS 고객 원격 보안관제 서비스rsquo
를 소개했다
AWS 서밋 서울 2016은 아마존 웹 서비스가 제공하는 클라우드 컴
퓨팅 서비스에 대한 지식을 공유하고 IT 업계의 최신 기술 트렌드 등
을 소개하는 행사로 지난해 첫 국내 개최에 이어 두 번째로 열렸다
이번 행사에 참가한 안랩은 전용 부스를 운영하며 lsquo안랩 AWS 고객
원격 보안관제 서비스rsquo에 대한 개별 고객 상담 및 서비스 체험 신청
등을 진행했다 안랩 AWS 고객 원격 보안관제 서비스는 네트워크
및 웹 서비스 등에 대한 보안을 안랩의 침해대응(CERT) 전문인력이
원격으로 모니터링 및 관리해주는 서비스다
또한 별도 발표장에서 진행된 미니 발표 세션에서 안랩 서비스상
품기획팀 김준호 대리는 안랩 AWS 고객 원격 보안관제 서비스의
개요 및 구성을 비롯하여 탐지를 넘어 위협 분석까지 제공하는
침해사고 대응 프로세스 미디어사 O2O(Online to Offline 온오
프라인 연결) 서비스 제조 분야의 실제 고객 사례를 통한 다양한
산업별 서비스 적용 방안 등 lsquo안랩 AWS 고객 원격 보안관제 서비
스rsquo의 개념과 강점을 소개했다
안랩 김준호 대리는 ldquo안랩은 lsquoAWS 고객 원격 보안관제 서비스rsquo를
지난 1월 출시한 이후 약 4개월 여 만에 이미 복수의 대형 고객사
를 확보하는 등 검증된 서비스를 제공하고 있다rdquo며 ldquo이는 많은 고객
사에서 단순 탐지를 넘어 위협 분석 및 대응까지 가능한 안랩의 전
문성을 인정한 것으로 볼 수 있다rdquo고 강조했다
현대오토에버
lsquo우수 개발협력사rsquo로 안랩 선정
안랩 lsquoAWS 서밋 서울 2016rsquo에서
클라우드 보안관제 서비스 소개
안랩은 AWS 서밋 서울 2016 행사에서 전용 부스와 발표 세션을 통해 안랩 AWS 고객 원격 보안관제 서비스를 소개했다
발행인 권치중
발행처 주식회사 안랩
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
편집인 안랩 콘텐츠기획팀
디자인 안랩 디자인팀
copy 2016 AhnLab Inc All rights reserved
본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제 복사 검색 시스템
으로 저장 또는 전송될 수 없습니다 안랩 안랩 로고는 안랩의 등록상표입
니다 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상
표일 수 있습니다 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
copy 2016 AhnLab Inc All rights reserved
httpwwwahnlabcom
httpblogahnlabcom
httptwittercomahnlab_man
18
[그림 2]에서 언급된 암호화에 사용되는 핵심 정보 3가지는 lsquo4바이
트 SEED 값rsquo lsquoKeyTable_A[0x40]rsquo lsquoKeyTable_B[0x100]rsquo이며 최초
4바이트 크기의 SEED 값으로부터 이후 정보들이 순차적으로 만들
어지는 구조를 갖는다 키 생성 과정의 최상위에 위치하는 SEED 값
은 감염 시점의 시스템 시간(SystemTime) 정보 중에서 시(wHour)
분(wMinute) 초(Second) 밀리초(Millisecond)를 이용하여 얻어지
며 이 SEED 값으로부터 0x40바이트 크기의 KeyTable_A[0x40] 데
이터가 생성된다 바로 이 부분에서 제작자가 의도하지 않은 취약성
이 존재하며 SEED 값이 동일하면 매번 동일한 KeyTable_A[0x40]
가 생성되는 구조를 갖는다 최종 블록 단위의 암호화에 사용되는
KeyTable_B[0x100]의 데이터와 원본 파일로부터 읽은 블록과의
XOR(배타적 논리합)을 통해 암호화가 수행된다
즉 SEED 값이 동일하면 매번 생성되는 최종 키 테이블 정보가 동일
한 점과 암호화 방식이 XOR이라는 2가지 포인트를 바탕으로 복구 대
상 파일의 Magic 정보가 존재한다면 역으로 키를 유추할 수 있는 구
조다 [그림 3]은 SEED 값이 0x02978CAC일 때 생성되는 키 테이블
A B의 예를 나타낸다
3 키 테이블 생성 함수
크립트엑스엑스엑스 랜섬웨어에서 파일 암호화 시 사용되는 핵심 정
보 3가지의 생성 함수는 다음과 같다
(1) SEED 값 생성
[그림 4]는 SystemTime 정보를 통해 4바이트 크기의 SEED 값을 생
성하는 함수를 나타낸다
KeyTable_A[0x40] 데이터가 생성되는 방식은 다음의 2가지 기본 테
이블 중 델파이 랜덤(Delphi Random) 함수를 통해 얻은 랜덤값을
바탕으로 하나의 값이 선택되어 구성되는 구조를 갖는다
(1) QWERTYUIOPASDFGHJKLZXCVBNMltgt$^amp()_+~|
(2) qwertyuiop[]asdfghjklzxcvbnm`1234567890-=
크립트엑스엑스엑스는 총 2번의 델파이 랜덤 함수를 사용하여 아래
의 Index(A)와 Index(B)를 얻게 된다 이때 Index(A)는 위 기본 테이
블 중 하나를 선택하기 위한 목적으로 Index(B)는 선택된 테이블의
데이터 중 하나를 선택하기 위한 목적으로 사용된다
Index(A) DelphiRandom(3) - 0 ~ 2 범위의 랜덤 값 생성(0 2인 경우 -gt
(1)번 1인 경우 -gt (2))
Index(B) DelphiRandom(44) - 0 ~ 43 범위의 랜덤 값 생성
예를 들어 Index(A) == 0이고 Index(B) == 3이면 lsquoRrsquo 문자열이 선택
된다
(2) 키 테이블(A) 생성
[그림 5]는 SEED 값을 바탕으로 0x40바이트 크기의 키 테이블을 생
성하는 함수이며 do-while 문을 통해 생성되는 0x40바이트 크기의
데이터가 SEED 값이 동일하면 동일한 형태로 생성되는 취약성이 존
재하는 부분이다
(3) 키 테이블(B) 생성
[그림 6]은 키 테이블(A)로부터 0x100바이트 크기의 최종 키 테이블
(B)가 생성되는 함수를 나타낸다 이 키 테이블 정보는 1바이트 단위
의 블록 단위의 암호화 시 XOR 키 값으로 사용된다
[그림 3] 키 테이블 A B 예제
[그림 4] SEED 값 생성 함수
[그림 5] 키 테이블(A) 생성 함수
19
[그림 6] 키 테이블(B) 생성 함수
[그림 7] 크립트엑스엑스엑스 복구 과정
4 복구 방식
시 분 초 밀리초 정보를 통해 계산되는 SEED 값의 범위는 다음과
같다
- 최소값 0000000000 -gt 0 최대값 235959999 -gt 0x5265bff
사용자마다 그리고 암호화된 파일마다 서로 다른 SEED 값을 유추하
기 위해 0 ~ 0x5265bff 범위의 SEED를 순차적으로 선택하며 이를
바탕으로 암호화에 사용된 키 테이블을 생성하거나 복호화를 시도
한다 첫 번째 블록에 대한 복호화를 통해 파일의 고유한 식별 정보
(Magic)가 확인되면 유효한 SEED 값으로 판단하고 전체 파일에 대
한 블록 단위의 복구를 시도한다 우선 첫 번째 파일이 복구에 성공하
면 두 번째 파일부터는 SEED의 범위를 제한하여 좀 더 빠른 복구가
가능하도록 했다 이러한 설정은 복구 대상 파일들이 동일 시간대에
감염된 형태가 대부분일 것으로 가정하여 이루어진 것으로 복구 대
상 파일들이 서로 다른 시스템에서 다른 시간대에 수집된 형태의 경
우 복구 시간이 더 오래 걸리는 특징을 갖는다
5 복구 대상 리스트
복구 툴을 통해 복구 가능한 크립트엑스엑스엑스 버전은 2x로 제한
적이며 우선 다음의 확장자들에 대한 복구가 가능하도록 제작되었
다 특히 국내 사용자들이 많이 사용하고 있으나 기존 복구 툴이 지
원하지 않는 한글 파일(HWP)의 복구가 가능하다 이 외에도 원본 파
일의 고유한 식별 정보만 알 수 있다면 복구가 가능한 구조이기 때문
에 추후 복구 대상으로 추가될 수 있다
CHM AI HWP PDB PDF RTF HTM HTML PHP XML DWG PS
WSF KEY CSR CRT WAV MP3 OGG WMA WMV AVI ASF MP4
MOV MID MPG FLV PNG GIF BMP TIF JPG JPEG ZIP RAR BZ2
7Z GZ JAR APK TGZ ODS DOC DOT PPT POT PPS XLS XLT
DOCX DOCM DOTX DOTM PPTX PPTM POTM POTX PPSM
XLSX XLSB XLSM XLTM XLTX EPS ISO SQLITE3 MDB MSI APP
FDB ACCDB SLN CLASS VCXPROJ
6 복구 툴 경로
안랩은 크립트엑스엑스엑스 랜섬웨어 2x 버전에 대한 복구 툴을 랜
섬웨어 보안센터를 통해 무료로 제공하고 있다
안랩 랜섬웨어 보안센터 바로가기
[그림 7]은 크립트엑스엑스엑스 복구 툴에서 파일 복구를 위해 이루
어지는 과정을 나타낸 것이다 구조상 첫 번째 파일을 복구하는 데 오
랜 시간이 소요되며 이후 파일부터는 빠르게 복구가 가능하다
20
F O C U S I N - D E P T H Compliance
20
1 개인정보보호법
1) 정보주체 이외로부터 수집한 개인정보의 수집 출처 고지 의무화
ldquo따르릉~ 여보세요 홍길동 고객님이시죠 여기는 보험사인데
요~ 알지도 못하는 보험사로부터 이런 전화를 받아 본 경험이 혹시
있었는지 모르겠다 어디서 내 전화번호를 입수한 것인지 물어보면 정
확히 대답하지 않거나 얼버무리는 경우도 많다 개정안이 시행되는 9
월 30일부터 이런 식의 연락은 더 이상 받지 않게 될 것 같다 일정 규
모 이상이 되는 기업(5만 명 이상의 민감 정보 또는 고유식별정보 처
리 100만 명 이상의 개인정보처리)이 정보주체로부터 직접 수집하지
않고 개인정보를 처리할 때는 반드시 ①정보수집출처 ②개인정보처리
목적 ③개인정보 처리정지 요구권이 있다는 사실을 최초 수집 후 3개
월 이내에 정보주체에게 고지해야만 하기 때문이다 불법으로 입수한
개인정보라면 애초에 고지도 못할 테지만 적법하게 제공받은 경우라
하더라도 고객에게 일일이 고지하기란 큰 부담이 될 것이다 고객이 제
3자 제공 동의를 해서 개인정보를 제공했다는 사실을 증명하라고 요구
하면 그 또한 큰일이다 필자 견해로는 이 개정안에 대한 대응이 본 기
사를 통틀어 제일 큰일일 듯 싶다
2) 민감정보의 안전성 확보조치 명시적 요구
민감정보란 개인의 사상middot신념 노동조합middot정당의 가입middot탈퇴 정치
적 견해 건강 유전 정보나 범죄 경력처럼 사생활을 현저히 침해할
우려가 있는 정보를 말한다 기존에도 고유식별 정보와 더불어 수집
이용하지 않는 것이 원칙이고 별도의 동의를 얻어 처리해야 하며 안
전성확보 조치를 통해 보호해야 할 대상이었다 이번 개정안에서는
민감정보에 대한 안전성 확보 조치를 명시적으로 요구하고 있을 뿐
기업 입장에서 달리 조치해야 할 사항은 없어 보인다 (기존 법에 따
라 잘 조치하고 있었을 경우에는 그렇다는 뜻이다)
3) 개인정보처리방침과 개인정보취급방침 구성 요건 동기화
개인정보보호법의 lsquo개인정보처리방침rsquo은 정보통신망법(이후 lsquo정통망
법rsquo)의 lsquo개인정보취급방침rsquo과 이름도 다르고 구성 요건에도 약간의 차
이가 있었다 이번 개정안에서는 방침 구성 내용에 정통망법 일부 사
꼭 챙겨야 할 개인정보보호 법령
지난 3월 8일 발간된 월간 lsquo안rsquo 2016년 3월호에 lsquo2016년에 챙겨봐야 할 개인정보보호 법령 5가지rsquo란 제목으로 개인정보보호 법령에 대
해 소개한 바 있다 이후 3월 22일과 29일에 정보통신망법과 개인정보보호법이 또 개정되어 2016년에 챙겨야 할 법령이 더 늘어났다
이번 호에서는 두 가지 법의 개정사항의 중요도를 별점으로 매겨가며 정리하고자 한다 단 중요도의 기준은 필자의 주관에 따른 것이므
로 참고만 하는 것이 좋겠다 개정된 내용 중 기업과 관련이 적은 사항은 따로 적지 않았다
별점으로 살펴본
lsquo개정rsquo 개인정보보호 관련 법령
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
중요도 업무영향도 대응업무부하
처 벌
- 미이행 시 3000만 원 이하의 과태료
- 미이행 상태에서 유출 사고 발생 시 2년 이하의 징역 또는 2000만 원 이하
의 벌금
중요도 업무영향도 대응업무부하
처 벌 해당 없음
기업에서 대응해야 할 업무 절차
1 법 시행 시점 이후 수집 보유 중인 개인정보 중 정보주체에게 직접 입수한 것이 아닌
개인정보 식별(정보주체 외 입수 경로 제3자 제공 동의 여부 확인)
2 1에서 식별된 개인정보 중 연락처가 있는 개인정보 식별
3 2에서 식별된 정보주체에게 개인정보 수집 및 이용 사실 고지(파기요청 수집)
구체적인 고지 시기 방법은 시행령이 나와야 알 수 있음
4 3의 절차에서 파기 요청 시 파기 시행
기업에서 대응해야 할 업무 절차
1 보유 중인 개인정보 중 민감정보 식별
2 1에서 식별된 민감정보에 대한 안전성 확보 조치 수준 점검
3 2절차에서 법 기준에 미흡한 경우 보완 조치 이행
2121
항을 반영하여 유사한 구조를 갖추도록 했으며 정통망법 또한 lsquo개인
정보처리방침rsquo으로 명칭을 변경함으로써 개인정보보호법과 일원화할
수 있게 되었다 개인정보보호법 개인정보처리방침에 추가된 사항은
다음과 같다
2 정보통신망 이용촉진 및 정보보호 등에 관한 법(이하 lsquo정
통망법)
1) 정보주체의 이동통신 단말장치 내 정보 및 기능에 대한 접근 시 동
의절차 의무화
스마트폰 메신저 앱을 생각해 보자 메신저 앱의 핵심적인 기능은 다
른 사람과 메시지를 주고받는 것이다 메신저를 편히 쓰려면 연락처
를 일일이 입력하기보다는 스마트폰에 있는 연락처 정보를 이용하는
게 필요할텐데 개정된 법은 그렇게 메신저 앱이 서비스를 이용하기
위해 스마트폰에 저장된 정보에 접근할 경우에 반드시 정보주체의 동
의를 받아야 한다는 것이다
핵심 서비스를 위해 필요한 정보나 접근권한에도 동의를 받으라고 하
는 상황인데 그 외의 목적이라면 당연히 동의를 요구할 수밖에 없다
이 경우에는 사용자가 동의를 거부할 권한이 있고 동의를 안했다고
해서 기업이 서비스 제공을 거부할 수 없도록 하고 있다(거부하면 과
태료 처벌을 받을 수 있다)
이 법의 요구사항은 흔히 알고 있는 개인정보 수집이용 동의와 개념
이 다르기 때문에 기업에서도 상당한 고민과 부담이 있을 것으로 예
상된다 (예를 들면 휴대전화에 저장된 연락처는 휴대전화 주인의 개
인정보가 아니므로 정보주체의 개인정보 수집이용 동의로 대체할 수
없다) 휴대전화 기능에 대한 접근권한 역시 개인정보 수집이용 동의
와는 다른 사항이므로 동의 절차를 새롭게 설정해야 할 가능성이 높
다 이런 동의와 철회 방법에 대한 구현 책임은 이동통신단말장치 소
프트웨어 제조업자와 공급자에게 부과하고 있으며 위반 시 과태료 처
벌을 할 수 있도록 되어 있다
2) 개인정보 처리업무 수탁자가 재위탁할 경우 원 위탁자의 동의를 받
는 경우에만 가능함
이번 정통망법 개정안에서는 개인정보 처리 위탁 관련 조항이 특히
많이 수정되었다 대부분 용어가 lsquo취급rsquo에서 lsquo처리rsquo로 바뀐 사항이 많
고 일부 조항은 개인정보보호법과 동일한 수준으로 바뀌었다 예컨대
수탁자에 대한 관리 감독 책임에 lsquo교육rsquo을 별도로 명시한다거나 수탁
자에게 위탁을 할 경우에는 문서에 의하여야 한다는 내용들이 그러하
다 개인정보보호법보다 조금 엄격하게 느껴질 만한 것은 제25조 7
항으로 수탁자의 재위탁은 위탁자로부터 동의를 받은 경우에 한한다
는 내용이다 (개인정보보호법은 시행령 제28조에서 lsquo재위탁 제한에
관한 사항rsquo을 위탁 시 작성해야 할 문서에 기재하도록 하고 있다)
3) 전화 권유 판매 시 개인정보 수집출처 고지 의무 부과
정통망법에 따르면 전자적 전송매체를 이용하여 영리목적의 광고성 정
보를 전송할 때 수신자의 명시적인 사전 동의를 받아야만 한다 사전
동의를 받지 않을 수 있는 예외가 두 가지 있는데 lsquo방문판매 등에 관한
③ 이동통신단말장치의 기본 운영체제(이동통신단말장치에서 소프트웨어를 실행할 수 있는
기반 환경을 말한다)를 제작하여 공급하는 자와 이동통신단말장치 제조업자 및 이동통신단
말장치의 소프트웨어를 제작하여 공급하는 자는 정보통신서비스 제공자가 이동통신단말장
치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근하려는 경우 접근
권한에 대한 이용자의 동의 및 철회방법을 마련하는 등 이용자 정보 보호에 필요한 조치를
하여야 한다
2 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
다 접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실
② 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 반드시 필요하지 아니한 접근
권한을 설정하는 데 이용자가 동의하지 아니한다는 이유로 이용자에게 해당 서비스의 제공
을 거부하여서는 아니 된다
중요도 업무영향도 대응업무부하
처 벌 2000만 원 이하의 과태료
- 수탁자가 위탁자의 동의 없이 재위탁을 한 경우
기업에서 대응해야 할 업무 절차
1 운영개발 중인 모바일 앱(App) 현황 파악(앱이 설치된 모바일 기기 내 이용 정보 및 기
능 내역)
2 1에서 식별된 모바일 기기 내 정보 및 기기에 대해 서비스 이용에 필수선택 항목 식별
3 모바일 앱 설치 시 동의이용 중 철회 절차 검토 및 보완
1) 필수항목과 선택항목의 구분
2) 법 제22조의2제1항1호2호의 사항을 고지사항에 반영
4 이용자 정보 보호에 필요한 기타 조치 사항 반영
5 3과 4에서 도출된 사항을 모바일 앱에 적용 업데이트
6 기존 운영 중인 앱의 경우 고객에게 업데이트 고지(동의 또는 재동의 절차 적용)
⑦ 수탁자는 개인정보 처리위탁을 한 정보통신서비스 제공자 등의 동의를 받은 경우에 한
하여 제1항에 따라 위탁받은 업무를 제3자에게 재위탁할 수 있다 lt신설 2016322gt
기업에서 대응해야 할 업무 절차
1 수탁자의 경우 위탁받은 개인정보의 처리 업무 중 재위탁 현황 파악
2 재위탁 사실이 있고 위탁자의 동의 증적이 없는 경우 파악
3 2에서 파악된 미동의 재위탁 건에 대해 위탁자에게 고지 및 동의 확보
6 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항
을 처리하는 부서의 명칭과 전화번호 등 연락처
7 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치middot운영 및 그 거부에
관한 사항(해당하는 경우)에만 정한다
중요도 업무영향도 대응업무부하
처 벌
3000만 원 이하의 과태료
- 반드시 필요하지 않은 접근권한 설정에 정보주체가 동의하지 않는다는 이유
로 서비스 제공을 거부할 경우
- 접근권한에 대한 동의 및 철회방법을 마련하는 등 조치를 하지 않은 경우
제22조의2(접근권한에 대한 동의) ① 정보통신서비스 제공자는 해당 서비스를 제공하기 위
하여 이용자의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신 단말장치에 설치된
기능에 대하여 접근할 수 있는 권한(이하 ldquo접근권한rdquo이라 한다)이 필요한 경우 다음 각 호의
사항을 이용자가 명확하게 인지할 수 있도록 알리고 이용자의 동의를 받아야 한다
1 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한인 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
2222
법률rsquo에 따른 전화 권유 판매자가 육성으로 전화 권유를 하는 경우가
그 중 하나였다 개정 법에서는 lsquo수신자에게 개인정보의 수집출처를 고
지하고rsquo라는 조건이 추가됨으로써 한결 까다로워졌다
4) 개인정보의 국외 이전 유형에 따른 동의 요건 완화
모처럼 개인정보보호 담당자한테 반가운 개선 조항이 생겼다 개인정
보의 국외 이전은 정통망법에서 논란이 되던 문제였다 개인정보보호
법은 국외에 제3자 제공할 경우만 정보주체의 동의 받으라고 되어 있
는데 정통망법에선 lsquo이전rsquo할 때 동의를 받으라고만 되어 있었기 때문에
제3자 제공과 위탁의 경우를 달리 적용하기 어려웠던 것이다 개정안
에서는 lsquo국외로 이전하려면rsquo이라고 되어 있던 조항을 lsquo국외에 제공(조회
되는 경우를 포함한다)middot처리위탁middot보관(이하 이 조에서 ldquo이전rdquo이라 한
다)하려면rsquo이라고 풀어서 표현하고 lsquo다만 정보통신서비스의 제공에 관
한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서
제3항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자
우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는
개인정보 처리위탁middot보관에 따른 동의절차를 거치지 아니할 수 있다rsquo라
는 단서 조항을 더 함으로써 국외 이전의 경우에도 위탁업무일 경우엔
동의 받지 않고 처리할 수 있도록 하였다 (개인정보보호법과 일치시킨
셈이다)
5) 노출된 개인정보의 삭제 차단 조치 의무화
웹사이트에서 시험 합격자 명단 등을 공개할 때 관리자의 부주의로 주
민번호와 같은 고유식별정보를 포함시키는 일이 종종 발생하곤 한다
기존 법령에서도 개인정보의 노출을 통제할 책임은 정보처리자에게 부
여하고 있으나 이번 개정안에서는 별도의 조항으로 명시함으로써 책임
성을 부각하고 있다 관련 처벌이 따르지 않아 규범적 조항인 점이 그
나마 다행스럽다
6) 기타 사항
이상 중요한 사항은 짚어 보았고 다른 사항은 대부분 개인정보보호법
과 균형을 맞추기 위한 내용들이다 lsquo개인정보관리책임자rsquo란 용어는
개인정보보호법과 마찬가지로 lsquo개인정보보호책임자rsquo란 용어로 바뀌
었고 처벌 수준에 있어서도 주요 법 위반 시 위반행위에 관련된 이익
의 몰수 추징 조항이 신설되었다 내용의 파급력으로 보자면 충격이
클 수도 있는 제32조 제2항의 징벌적 손해배상도 이미 개인정보보호
법에 들어간 내용이기 때문에 기업 입장에서 새롭게 고민할 사항은
적을 듯하다
전기통신사업자와 정보통신서비스 제공자를 대상으로 하는 정보통신
망법과 일반법으로 적용되는 개인정보보호법은 개인정보보호의 규준
을 이루는 양대 법률이다 기업 입장에선 지나치게 자주 개정되어 정보
보호 업무 부담을 더하는 측면도 있다 하지만 이번 개정안은 두 법의
용어와 조항 처벌 수준 등을 통일함으로써 법 적용을 돕는 긍정적인
면이 훨씬 많을 듯하다 아무쪼록 이번 개정안이 적극 반영되어 사회
전반에서 더욱 안전한 개인정보보호 환경이 갖추어지기를 기대한다
기업에서 대응해야 할 업무 절차
1 전화 권유 판매 시 정보주체 사전 동의 획득 여부 확인
2 사전동의 미 획득 케이스인 경우 개인정보 수집출처 확인
3 개인정보 수집출처가 확인되지 않은 경우 개인정보 이용 중지
4 개인정보 수집출처가 확인된 경우 수집출처를 고객에게 고지하고 전화 권유 판매
기업에서 대응해야 할 업무 절차
1 개인정보의 해외 이전 유형 식별(제공처리위탁보관)
2 이전 유형 중 처리위탁보관의 경우 고지공개 여부 확인
3 이전 유형 중 제공의 경우 동의 여부 확인
4 2 3단계에서 미흡 사항 발견 시 개선 조치
중요도 업무영향도 대응업무부하
처 벌 없음
제32조의3(노출된 개인정보의 삭제middot차단) ① 정보통신서비스 제공자 등은 주민등록번호
계좌정보 신용카드정보 등 이용자의 개인정보가 정보통신망을 통하여 공중에 노출되지 않
도록 하여야 한다
② 정보통신서비스 제공자 등의 고의 또는 중대한 과실로 인하여 개인정보가 분실middot도난middot
유출middot위조middot변조 또는 훼손된 경우로서 이용자에게 손해가 발생한 때에는 법원은 그 손
해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다 다만 정보통신서비스
제공자 등이 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다 lt신설
2016322gt
기업에서 대응해야 할 업무 절차
1 시스템 내 개인정보 노출 현황 파악 (노출정보유형목적노출기간주관부서 등 현황 파악)
2 노출된 고유식별정보 및 금융정보 발견 시 삭제 또는 보호(마스킹 등) 조치
3 1~2의 반복적 이행 가급적 시스템화하는 것이 바람직함
중요도 업무영향도 대응업무부하
처 벌
- 2000만 원 이하의 과태료 공개나 고지 없이 개인정보를 국외에 처리위탁
보관한 경우
- 과징금 부과 정보주체의 동의 없이 개인정보를 국외에 제공한 경우
23
어릴 때부터 각종 디지털 기기의 사용이 능숙한 lsquo디지털 키즈(Digital kids)rsquo인 우리 자녀들을 위한 똑똑한 lsquo디지털 페어런팅(육아법)rsquo을 소개한
다 식당이나 카페에서 어린 자녀에게 스마트폰은 보여주고 있거나 자녀가 어린이날 선물로 스마트폰을 사달라고 조르는 경우 스마트폰 게임
이나 SNS에 빠져 있는 자녀 때문에 걱정인 부모들에게 필요한 자녀의 연령에 맞는 디지털 페어런팅이다 자녀가 성숙한 디지털 기기 사용 습
관을 기를 수 있도록 도와주는 것은 부모가 반드시 해야 하는 역할 중 하나다
몸짓을 이미지로 기억해 엄마의 의도를 파악한다 그다음 좌뇌가 발달하는데 좌뇌가 발달하기 시작하면 언어 발달이 이루어진다 그런데 이 시
기에 과도하게 스마트폰에 노출되면 우뇌가 충분히 발달하지 않은 상태에서 좌뇌가 발달하게 된다
우뇌가 제대로 발달하지 못하면 감정을 담당하는 뇌 발달에 영향을 줄 수 있는데 이는 다른 사람의 마음을 헤아리는 능력 다른 사람과 생각이
나 느낌을 주고 받는 능력 사고력 감정 조절력 부족으로 이어질 수 있다 우는 아이를 달래려고 부모가 편하게 밥을 먹기 위해서 흥미로운
자극을 주고 싶다는 이유로 이 시기 아이에게 건넨 스마트폰은 아이의 뇌에 치명적인 후유증을 남길 수 있음을 기억해야 한다
3~6세 유아기 부모의 통제 하에 사용해야
전문가들은 이 시기 아이에게도 디지털 기기의 사용을 권장하지는 않는다 하지만 현실적으로 쉽지 않다면 차선책을 선택해야 한다 부모가 디
지털 기기의 이용 시간 및 콘텐츠 등에 대해 확실한 기준을 갖고 있어야 한다 lsquo하루 30분 이상 넘기지 않으며 아이가 좋아하는 애니메이션 영상
과 동요 율동 영상만 본다rsquo는 식으로 말이다 아이의 손에 스마트폰을 맡겨버리면 의도하지 않은 영상에까지 노출될 우려가 있으니 주의해야 한다
약속한 시간 외에는 스마트폰을 아이의 손에 닿지 않는 곳에 두는 것이 좋다 이를 위해서는 부모 역시 스마트 기기 사용을 절제할 수 있어야
한다 아이들은 부모를 롤 모델로 삼아 그 태도와 습관을 배우기 때문이다 하지만 이 시기 아이가 스마트폰을 보여 달라고 강하게 떼를 쓰는
등 통제가 되지 않을 때는 당분간 아예 아이에게서 스마트폰을 분리하는 것이 효과적이다 스마트폰이 아닌 다른 방법으로 아이와 시간을 보
내는 법을 고민하는 것은 부모의 몫이다
0~3세 영유아기 스마트폰 잠시 건네는 것도 안 돼
이제 걸음마를 시작할 법한 아이가 스마트폰에 집중해 있는 모습을
본 적이 있을 것이다 우는 아이를 달래기 위해서 식당이나 카페에서
아이를 조용히 앉혀놓을 요량으로 부모는 어린 자녀의 손에 스마트폰
을 쥐여준다 하지만 전문가들은 이 시기의 아이에게 디지털 기기를
노출시키는 건 ldquo안 된다rdquo고 입을 모은다 lsquo영유아 스마트폰 증후군rsquo 등
의 부작용이 우려되기 때문이다
lsquo영유아 스마트폰 증후군rsquo이란 6세 미만의 아이들이 영상 게임 등의
지속적인 자극에 오랜 시간 노출되어 우뇌가 발달해야 하는 시기에
좌뇌가 지나치게 발달해 좌middot우뇌의 균형이 틀어지는 것을 말한다
영아기 아이는 우뇌가 먼저 발달하는데 엄마의 표정 목소리 눈짓
I T amp L I F E
내 아이를 지키는 rsquo디지털 페어런팅rsquo
스티브 잡스가 자녀에게 아이폰 아이패드와 같은 디지털 기기의 사용을 허락하지 않았다는 건 잘 알려진 사실이다 드론을 만드는 3D
로보틱스 CEO 크리스 앤더슨은 아이들이 사용하는 전자 기기의 사용 시간을 제한하고 부모가 통제할 수 있는 장치를 부착했다고 한
다 그는 ldquo테크놀로지의 위험을 잘 알고 있으며 아이들에게 그런 일이 일어나는 것을 원치 않는다rdquo며 그 이유를 설명했다 이들의 자녀
교육법이 전적으로 옳다고 말할 수는 없지만 어릴 때부터 디지털 기기 사용이 너무나 익숙한 우리 자녀들의 모습은 한 번쯤 돌아볼 필
요가 있다
24
6~10세 미만 디지털 기기 사용 가이드라인에 대해 설명해줘야
부모가 디지털 기기 사용 시간 및 사용 및 목록의 한계에 대한 가이드라인을 정하고 이에 대해 아이가 이해할 수 있도록 설명해주는 것이 좋
다 가이드 라인을 정할 때 아이의 생각을 들어보고 반영하는 것도 방법이다 디지털 기기 사용 가이드라인이 지켜질 수 있도록 온 가족이 노력
해야 함은 물론이다 TV를 보고 스마트 기기를 가지고 노는 것 자체가 문제가 될 수도 있지만 이로 인해 친구들과 뛰어놀며 신체활동을 하는
즐거움을 빼앗기지 않도록 하는 것도 중요함을 잊지 말아야 한다
10세 이상의 초등학생 스스로 규칙을 정하고 지킬 수 있도
록 동기 부여
부모들의 고민 중 하나는 lsquo아이에게 스마트폰을 언제 사줄 것인가rsquo다
아이의 하교 후 학원에서 학원으로 이동할 때마다 연락을 주고받기
위해 휴대전화가 필요할 수도 있다 요즘은 초등학교 입학과 함께 스
마트폰을 사주는 가정도 많다 친구들도 다 있다며 사달라고 떼를 쓰
는 아이의 마음도 이해 못 하는 바 아니지만 자녀에게 스마트폰을 사
주는 적당한 시기는 부모가 잘 판단해야 한다 아이가 스마트폰 사용
규칙을 지킬 수 있을 만큼 성숙한 상태여야 한다는 의미다 하고 싶어
도 참을 수 있는 절제력과 충동조절능력 좌절인내력이 바탕이 돼야
만 스스로 규칙을 지킬 수 있다
구글 애플 마이크로소프트 등 글로벌 IT 기업의 자녀들이 많이 다니
는 실리콘밸리에 발도로프 학교에는 컴퓨터가 없다 스크린 보드 빔
프로젝터 등의 멀티미디어 기기도 없으며 연필과 종이 분필 등을 이
용한 아날로그식 수업이 진행된다 이들은 우리나라 나이로 중학교 3
학년이 되는 8학년이 돼서야 컴퓨터를 서서히 배우기 시작한다 학생
들이 학교에 디지털 기기를 가져올 수도 없다 lsquo디지털 세상이 아이를
아프게 한다rsquo의 저자인 신의진 정신과 박사는 ldquo언제 자녀가 스마트폰
을 사용하면 좋냐rdquo는 질문에 ldquo늦을수록 좋다rdquo고 답한다
우리 자녀 세대는 지금 우리보다 훨씬 더 디지털 기기와 가깝게 지낼
것이다 시대가 변하고 있기 때문이다 더 흥미로운 기기들이 쏟아질
것이고 그에 맞는 교육 및 놀이 앱이 넘쳐날 것이다 하지만 시대가
변해도 변하지 않는 것은 존재한다 부모가 자녀와 디지털 생활에 대
해 이야기를 나눌 수 있는 환경은 신뢰를 바탕으로 한 그들의 아날로
그 생활에서의 환경이 조성하는 법이다 가족과 함께 서로의 디지털
생활에 대한 이야기를 나눠보는 시간을 갖는 것은 어떨까
자녀와 함께 TV 컴퓨터 스마트폰 등에 대한 이용 규칙을 정하고 스스로 통제할 수 있도록 동기를 부여해주는 것이 좋다 만약 약속을 어겼을
경우 벌칙도 명확히 해둔다 예를 들어 주말에만 컴퓨터 게임을 하기로 했는데 어겼다면 다음 주말 컴퓨터 이용 시간을 줄이는 식이다 초등학
교 3~4학년만 돼도 아이들은 SNS에 흥미를 느끼기 시작한다 이때 부모는 아이가 어떤 게시물을 올리고 다운로드하는지 관심을 가질 필요가
있다 인터넷상에 올린 글이나 영상은 쉽게 공유될 수 있으며 지우는 것도 쉽지 않다는 점에 대해서도 알려줘야 한다
중middot고등학생 자율성 존중하되 방치해선 안 돼
ldquo스마트폰 그만하고 공부해rdquo와 같은 강압적인 지시는 되레 부작용을 낳을 수 있다 중middot고등학생의 자녀와의 디지털 페어런팅에서 가장 중요한
것은 자율성을 존중하되 방치해서는 안 된다는 점이다 아이가 적당히 조절하며 디지털 기기를 사용하고 있다면 문제 없지만 걱정할 정도로 몰
입돼 있는 상황이라면 가정의 디지털 페어런팅 방식을 다시 점검해봐야 한다 과몰입 상태는 적절한 교육으로 가정에서 바로 잡을 수 있지만 중
독의 수준이라면 상황이 달라진다 이런 경우 아이가 디지털 기기에 빠진 원인을 찾고 이를 해결하기 위해 전문가 상담 및 치료를 받아야 한다
[그림 1] 컴퓨터가 없는 발도로프 학교에 대해 다룬 뉴욕타임즈 기사
(출처 httpwwwnytimescom20111023technologyat-waldorf-school-in-silicon-valley-technology-can-waithtml)
참고 자료
신의진(2013) 디지털 세상이 아이를 아프게 한다 북클라우드
구본권(2014) 당신을 공유하시겠습니까 어크로스
25
보안 통계와 이슈 S T A T I S T I C S
[그림 2]는 2016년 4월 한 달간 유포된 악성코드를 주요 유형별로 집
계한 결과이다 불필요한 프로그램인 PUP(Potentially Unwanted
Program)가 5948로 가장 높은 비중을 차지했고 트로이목마
(Trojan) 계열의 악성코드가 168 웜(Worm)이 347의 비율로
그 뒤를 이었다
지난 4월 한 달간 탐지된 모바일 악성코드는 24만 7847건으로 집계
됐다
안랩 시큐리티대응센터(이하 ASEC)는 최근 ASEC Report Vol76를 통해 지난 2016년 4월의 보안 통계 및 이슈를 전했다 지난 4월
의 주요 보안 이슈를 살펴본다
파일 속성 변경하는 리눅스 악성코드 등장
안랩 4월 악성코드 통계 및 보안 이슈 발표
[그림 1] 악성코드 추이(2016년 2월~2016년 4월)
ASEC이 집계한 바에 따르면 2016년 4월 한 달간 탐지된 악성코드
수는 1156만 4967건으로 나타났다 이는 전월 1321만 2012건에
비해 164만 7045건 감소한 수치다 한편 4월에 수집된 악성코드 샘
플 수는 324만 5837건이다
샘플 수집 수탐지 건수
[그림 2] 2016년 4월 주요 악성코드 유형
Adware DownloaderWormTrojanetcPUP
[그림 3] 모바일 악성코드 추이(2016년 2월 ~ 2016년 4월)
5000000
6000000
10000000
20000000
30000000
40000000
1000000
2000000
3000000
4000000
4월3월2월
11830547 1156496713212012
324
583
7
354
858
1
349
346
8
347
168
1939
5948072
014
100000
200000
300000
500000
600000
700000
400000
0
4월3월2월
247847256512
323301
26
또한 지난 4월 악성코드 유포지로 악용된 도메인은 648개 URL은
2216개로 집계됐다 4월의 악성 도메인 및 URL 차단 건수는 총 637
만 3536건이다
이와 같은 경우 lsquolsattrrsquo 명령을 통해 해당 파일의 속성을 조회하면 [그
림 7]과 같이 lsquoirsquo 속성이 추가되어 있음을 확인할 수 있다
리눅스 악성코드 lsquo빌게이츠 봇넷rsquo 발견
최근 리눅스(Linux) 운영체제에서 감염 시스템의 정보 수집 시스
템 파일 교체 DDoS 공격 등을 수행하는 lsquo빌게이츠 봇넷(BillGates
botnet)rsquo이 발견됐다 해당 악성코드는 감염 시스템 내에서 속성이 변
경되어 삭제가 불가능해 리눅스 사용자들의 피해가 우려된다
빌게이츠 봇넷은 서버에 침입 후 파일의 속성을 변경하여 악성코드를
삭제할 수 없도록 설정한다 리눅스 시스템에서 악성코드 감염에 의
해 파일 속성이 변경된 경우 이를 삭제할 수 있는 방법을 자세히 살
펴보자
먼저 공격자가 파일의 속성을 변경한 후 [그림 5]와 같이 삭제 시도를
하면 lsquo실행이 허가되지 않았다(Operation not permitted)rsquo라는 메시
지가 출력되며 해당 파일이 삭제되지 않는다
이처럼 lsquoirsquo 속성이 추가되어 있는 경우에는 [그림 8]과 같이 루트 권한
으로 lsquochattrrsquo 명령을 통해 해당 파일의 속성을 변경한 후 다시 삭제
를 시도하면 해당 파일이 정상적으로 삭제된다
파일의 속성 추가(chattr)는 lsquo+[추가할 속성]rsquo 제거는 lsquondash[제거할 속성]rsquo
을 통하여 수행할 수 있으며 lsquo-Rrsquo 옵션을 추가로 부여하는 경우에는
하위 디렉터리까지 모두 포함되어 적용된다 이는 윈도우(Windows)
운영체제의 lsquoattirbrsquo 명령과 유사하다
이때 만일 관리자가 파일이 삭제되지 않는 원인을 파일 권한 문제라
고 생각하고 파일 시스템에 기록된 정보를 이용하여 루트 계정 및
inode를 제거하는 방법으로 다시 삭제를 시도하면 마찬가지로 동일
한 메시지가 발생하며 파일이 삭제되지 않는다
이번 리눅스 악성코드 사례와 같이 파일의 속성이 변경되어 삭제가
불가한 경우가 있어 권한 뿐만 아니라 파일 속성에 대해서도 다시 한
번 확인하는 것이 필요하다 단 중요 파일이나 로그 파일 등은 lsquoirsquo나
lsquoarsquo 속성을 적용하는 정상적인 경우도 있다 즉 이러한 속성이 적용되
어 있는 파일이라고 해서 모두 악성 파일은 아니므로 정확히 악성으
로 확인된 파일에 대해서만 삭제를 진행할 것을 권장한다
최근 리눅스 운영체제를 노리는 악성코드가 꾸준히 증가하고 있다
DDoS 공격이나 백도어 등 리눅스 악성코드의 기능도 다양해지고 있
으며 앞으로 더욱 고도화될 것으로 예상된다 리눅스 시스템도 안전
하게 이용하기 위해서는 반드시 암호를 설정해야 하며 최신 보안 업
데이트를 적용해야 한다
V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지하고
있다
ltV3 제품군의 진단명gt
LinuxBackdoor1223123B
[그림 5] RM 명령어를 통한 삭제 시도
[그림 6] INODE 제거를 통한 삭제 시도
[그림 4] 악성코드 유포 도메인URL 탐지 및 차단 건수(2016년 2월 ~ 2016년 4월)
악성 도메인URL 차단 건수 악성코드 유포 URL 수악성코드 유포 도메인 수
10000
20000
30000
8000000
9000000
40000
7000000
6000000
5000000
4000000
04월
221681467900
6481587936
3월2월
6373536
7157616
6355582
[그림 7] 파일 속성 조회
[표 1] 리눅스 파일 속성 및 lsquoCHATTRrsquo 명령어 예시
[그림 8] 파일 속성 변경 후 제거 시도
[명령어 예시 (i S 속성 추가)]
chattr + iS samples
[파일 속성명 중 일부] [설명]
a (CAP LINUX IMMUTABLE capability) 추가 작성만 가능 삭제 불가
I (CAP LINUX IMMUTABLE capability) 삭제 변경 링크 파일 생성 등
S 파일이 변경되면 디스크 동기화
u 파일 삭제 시 내용 백업
2727
A H N L A B N E W S
현대자동차 그룹 IT서비스 전문업체인 현대오토에버가 최근 lsquo5스타
우수 개발협력사rsquo로 안랩을 선정했다
lsquo현대오토에버 우수 개발협력사rsquo는 현대오토에버가 협력사와 공동
으로 수행한 전년도 사업의 수행 실적에 따라 1스타부터 5스타까지
우수협력사를 선정하고 이에 따른 다양한 인센티브를 제공하는 프
로그램이다
안랩은 현대오토에버의 개발컨설팅 협력사로서 프로젝트 평가 및
업체 종합 평가 등에서 안정적이고 우수한 프로젝트 성과를 인정받
아 최고 등급인 lsquo5스타rsquo 우수 개발협력사로 선정됐다 안랩 서비스
사업부를 총괄하는 방인구 상무는 ldquo안랩은 핵심가치인 lsquo고객만족rsquo을
기준으로 맡은 사업에 대해 언제나 최선을 다하고 있다rdquo며 ldquo안랩을
신뢰해주시는 여러 회사와 함께 동반성장할 수 있도록 노력하겠다rdquo
고 말했다
안랩이 지난달 17일 코엑스 컨벤션센터에서 열린 lsquo아마존 웹 서비
스 글로벌 서밋 서울 2016(이하 AWS 서밋 서울 2016)rsquo에서 다양
한 산업 관계자를 대상으로 lsquo안랩 AWS 고객 원격 보안관제 서비스rsquo
를 소개했다
AWS 서밋 서울 2016은 아마존 웹 서비스가 제공하는 클라우드 컴
퓨팅 서비스에 대한 지식을 공유하고 IT 업계의 최신 기술 트렌드 등
을 소개하는 행사로 지난해 첫 국내 개최에 이어 두 번째로 열렸다
이번 행사에 참가한 안랩은 전용 부스를 운영하며 lsquo안랩 AWS 고객
원격 보안관제 서비스rsquo에 대한 개별 고객 상담 및 서비스 체험 신청
등을 진행했다 안랩 AWS 고객 원격 보안관제 서비스는 네트워크
및 웹 서비스 등에 대한 보안을 안랩의 침해대응(CERT) 전문인력이
원격으로 모니터링 및 관리해주는 서비스다
또한 별도 발표장에서 진행된 미니 발표 세션에서 안랩 서비스상
품기획팀 김준호 대리는 안랩 AWS 고객 원격 보안관제 서비스의
개요 및 구성을 비롯하여 탐지를 넘어 위협 분석까지 제공하는
침해사고 대응 프로세스 미디어사 O2O(Online to Offline 온오
프라인 연결) 서비스 제조 분야의 실제 고객 사례를 통한 다양한
산업별 서비스 적용 방안 등 lsquo안랩 AWS 고객 원격 보안관제 서비
스rsquo의 개념과 강점을 소개했다
안랩 김준호 대리는 ldquo안랩은 lsquoAWS 고객 원격 보안관제 서비스rsquo를
지난 1월 출시한 이후 약 4개월 여 만에 이미 복수의 대형 고객사
를 확보하는 등 검증된 서비스를 제공하고 있다rdquo며 ldquo이는 많은 고객
사에서 단순 탐지를 넘어 위협 분석 및 대응까지 가능한 안랩의 전
문성을 인정한 것으로 볼 수 있다rdquo고 강조했다
현대오토에버
lsquo우수 개발협력사rsquo로 안랩 선정
안랩 lsquoAWS 서밋 서울 2016rsquo에서
클라우드 보안관제 서비스 소개
안랩은 AWS 서밋 서울 2016 행사에서 전용 부스와 발표 세션을 통해 안랩 AWS 고객 원격 보안관제 서비스를 소개했다
발행인 권치중
발행처 주식회사 안랩
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
편집인 안랩 콘텐츠기획팀
디자인 안랩 디자인팀
copy 2016 AhnLab Inc All rights reserved
본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제 복사 검색 시스템
으로 저장 또는 전송될 수 없습니다 안랩 안랩 로고는 안랩의 등록상표입
니다 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상
표일 수 있습니다 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
copy 2016 AhnLab Inc All rights reserved
httpwwwahnlabcom
httpblogahnlabcom
httptwittercomahnlab_man
19
[그림 6] 키 테이블(B) 생성 함수
[그림 7] 크립트엑스엑스엑스 복구 과정
4 복구 방식
시 분 초 밀리초 정보를 통해 계산되는 SEED 값의 범위는 다음과
같다
- 최소값 0000000000 -gt 0 최대값 235959999 -gt 0x5265bff
사용자마다 그리고 암호화된 파일마다 서로 다른 SEED 값을 유추하
기 위해 0 ~ 0x5265bff 범위의 SEED를 순차적으로 선택하며 이를
바탕으로 암호화에 사용된 키 테이블을 생성하거나 복호화를 시도
한다 첫 번째 블록에 대한 복호화를 통해 파일의 고유한 식별 정보
(Magic)가 확인되면 유효한 SEED 값으로 판단하고 전체 파일에 대
한 블록 단위의 복구를 시도한다 우선 첫 번째 파일이 복구에 성공하
면 두 번째 파일부터는 SEED의 범위를 제한하여 좀 더 빠른 복구가
가능하도록 했다 이러한 설정은 복구 대상 파일들이 동일 시간대에
감염된 형태가 대부분일 것으로 가정하여 이루어진 것으로 복구 대
상 파일들이 서로 다른 시스템에서 다른 시간대에 수집된 형태의 경
우 복구 시간이 더 오래 걸리는 특징을 갖는다
5 복구 대상 리스트
복구 툴을 통해 복구 가능한 크립트엑스엑스엑스 버전은 2x로 제한
적이며 우선 다음의 확장자들에 대한 복구가 가능하도록 제작되었
다 특히 국내 사용자들이 많이 사용하고 있으나 기존 복구 툴이 지
원하지 않는 한글 파일(HWP)의 복구가 가능하다 이 외에도 원본 파
일의 고유한 식별 정보만 알 수 있다면 복구가 가능한 구조이기 때문
에 추후 복구 대상으로 추가될 수 있다
CHM AI HWP PDB PDF RTF HTM HTML PHP XML DWG PS
WSF KEY CSR CRT WAV MP3 OGG WMA WMV AVI ASF MP4
MOV MID MPG FLV PNG GIF BMP TIF JPG JPEG ZIP RAR BZ2
7Z GZ JAR APK TGZ ODS DOC DOT PPT POT PPS XLS XLT
DOCX DOCM DOTX DOTM PPTX PPTM POTM POTX PPSM
XLSX XLSB XLSM XLTM XLTX EPS ISO SQLITE3 MDB MSI APP
FDB ACCDB SLN CLASS VCXPROJ
6 복구 툴 경로
안랩은 크립트엑스엑스엑스 랜섬웨어 2x 버전에 대한 복구 툴을 랜
섬웨어 보안센터를 통해 무료로 제공하고 있다
안랩 랜섬웨어 보안센터 바로가기
[그림 7]은 크립트엑스엑스엑스 복구 툴에서 파일 복구를 위해 이루
어지는 과정을 나타낸 것이다 구조상 첫 번째 파일을 복구하는 데 오
랜 시간이 소요되며 이후 파일부터는 빠르게 복구가 가능하다
20
F O C U S I N - D E P T H Compliance
20
1 개인정보보호법
1) 정보주체 이외로부터 수집한 개인정보의 수집 출처 고지 의무화
ldquo따르릉~ 여보세요 홍길동 고객님이시죠 여기는 보험사인데
요~ 알지도 못하는 보험사로부터 이런 전화를 받아 본 경험이 혹시
있었는지 모르겠다 어디서 내 전화번호를 입수한 것인지 물어보면 정
확히 대답하지 않거나 얼버무리는 경우도 많다 개정안이 시행되는 9
월 30일부터 이런 식의 연락은 더 이상 받지 않게 될 것 같다 일정 규
모 이상이 되는 기업(5만 명 이상의 민감 정보 또는 고유식별정보 처
리 100만 명 이상의 개인정보처리)이 정보주체로부터 직접 수집하지
않고 개인정보를 처리할 때는 반드시 ①정보수집출처 ②개인정보처리
목적 ③개인정보 처리정지 요구권이 있다는 사실을 최초 수집 후 3개
월 이내에 정보주체에게 고지해야만 하기 때문이다 불법으로 입수한
개인정보라면 애초에 고지도 못할 테지만 적법하게 제공받은 경우라
하더라도 고객에게 일일이 고지하기란 큰 부담이 될 것이다 고객이 제
3자 제공 동의를 해서 개인정보를 제공했다는 사실을 증명하라고 요구
하면 그 또한 큰일이다 필자 견해로는 이 개정안에 대한 대응이 본 기
사를 통틀어 제일 큰일일 듯 싶다
2) 민감정보의 안전성 확보조치 명시적 요구
민감정보란 개인의 사상middot신념 노동조합middot정당의 가입middot탈퇴 정치
적 견해 건강 유전 정보나 범죄 경력처럼 사생활을 현저히 침해할
우려가 있는 정보를 말한다 기존에도 고유식별 정보와 더불어 수집
이용하지 않는 것이 원칙이고 별도의 동의를 얻어 처리해야 하며 안
전성확보 조치를 통해 보호해야 할 대상이었다 이번 개정안에서는
민감정보에 대한 안전성 확보 조치를 명시적으로 요구하고 있을 뿐
기업 입장에서 달리 조치해야 할 사항은 없어 보인다 (기존 법에 따
라 잘 조치하고 있었을 경우에는 그렇다는 뜻이다)
3) 개인정보처리방침과 개인정보취급방침 구성 요건 동기화
개인정보보호법의 lsquo개인정보처리방침rsquo은 정보통신망법(이후 lsquo정통망
법rsquo)의 lsquo개인정보취급방침rsquo과 이름도 다르고 구성 요건에도 약간의 차
이가 있었다 이번 개정안에서는 방침 구성 내용에 정통망법 일부 사
꼭 챙겨야 할 개인정보보호 법령
지난 3월 8일 발간된 월간 lsquo안rsquo 2016년 3월호에 lsquo2016년에 챙겨봐야 할 개인정보보호 법령 5가지rsquo란 제목으로 개인정보보호 법령에 대
해 소개한 바 있다 이후 3월 22일과 29일에 정보통신망법과 개인정보보호법이 또 개정되어 2016년에 챙겨야 할 법령이 더 늘어났다
이번 호에서는 두 가지 법의 개정사항의 중요도를 별점으로 매겨가며 정리하고자 한다 단 중요도의 기준은 필자의 주관에 따른 것이므
로 참고만 하는 것이 좋겠다 개정된 내용 중 기업과 관련이 적은 사항은 따로 적지 않았다
별점으로 살펴본
lsquo개정rsquo 개인정보보호 관련 법령
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
중요도 업무영향도 대응업무부하
처 벌
- 미이행 시 3000만 원 이하의 과태료
- 미이행 상태에서 유출 사고 발생 시 2년 이하의 징역 또는 2000만 원 이하
의 벌금
중요도 업무영향도 대응업무부하
처 벌 해당 없음
기업에서 대응해야 할 업무 절차
1 법 시행 시점 이후 수집 보유 중인 개인정보 중 정보주체에게 직접 입수한 것이 아닌
개인정보 식별(정보주체 외 입수 경로 제3자 제공 동의 여부 확인)
2 1에서 식별된 개인정보 중 연락처가 있는 개인정보 식별
3 2에서 식별된 정보주체에게 개인정보 수집 및 이용 사실 고지(파기요청 수집)
구체적인 고지 시기 방법은 시행령이 나와야 알 수 있음
4 3의 절차에서 파기 요청 시 파기 시행
기업에서 대응해야 할 업무 절차
1 보유 중인 개인정보 중 민감정보 식별
2 1에서 식별된 민감정보에 대한 안전성 확보 조치 수준 점검
3 2절차에서 법 기준에 미흡한 경우 보완 조치 이행
2121
항을 반영하여 유사한 구조를 갖추도록 했으며 정통망법 또한 lsquo개인
정보처리방침rsquo으로 명칭을 변경함으로써 개인정보보호법과 일원화할
수 있게 되었다 개인정보보호법 개인정보처리방침에 추가된 사항은
다음과 같다
2 정보통신망 이용촉진 및 정보보호 등에 관한 법(이하 lsquo정
통망법)
1) 정보주체의 이동통신 단말장치 내 정보 및 기능에 대한 접근 시 동
의절차 의무화
스마트폰 메신저 앱을 생각해 보자 메신저 앱의 핵심적인 기능은 다
른 사람과 메시지를 주고받는 것이다 메신저를 편히 쓰려면 연락처
를 일일이 입력하기보다는 스마트폰에 있는 연락처 정보를 이용하는
게 필요할텐데 개정된 법은 그렇게 메신저 앱이 서비스를 이용하기
위해 스마트폰에 저장된 정보에 접근할 경우에 반드시 정보주체의 동
의를 받아야 한다는 것이다
핵심 서비스를 위해 필요한 정보나 접근권한에도 동의를 받으라고 하
는 상황인데 그 외의 목적이라면 당연히 동의를 요구할 수밖에 없다
이 경우에는 사용자가 동의를 거부할 권한이 있고 동의를 안했다고
해서 기업이 서비스 제공을 거부할 수 없도록 하고 있다(거부하면 과
태료 처벌을 받을 수 있다)
이 법의 요구사항은 흔히 알고 있는 개인정보 수집이용 동의와 개념
이 다르기 때문에 기업에서도 상당한 고민과 부담이 있을 것으로 예
상된다 (예를 들면 휴대전화에 저장된 연락처는 휴대전화 주인의 개
인정보가 아니므로 정보주체의 개인정보 수집이용 동의로 대체할 수
없다) 휴대전화 기능에 대한 접근권한 역시 개인정보 수집이용 동의
와는 다른 사항이므로 동의 절차를 새롭게 설정해야 할 가능성이 높
다 이런 동의와 철회 방법에 대한 구현 책임은 이동통신단말장치 소
프트웨어 제조업자와 공급자에게 부과하고 있으며 위반 시 과태료 처
벌을 할 수 있도록 되어 있다
2) 개인정보 처리업무 수탁자가 재위탁할 경우 원 위탁자의 동의를 받
는 경우에만 가능함
이번 정통망법 개정안에서는 개인정보 처리 위탁 관련 조항이 특히
많이 수정되었다 대부분 용어가 lsquo취급rsquo에서 lsquo처리rsquo로 바뀐 사항이 많
고 일부 조항은 개인정보보호법과 동일한 수준으로 바뀌었다 예컨대
수탁자에 대한 관리 감독 책임에 lsquo교육rsquo을 별도로 명시한다거나 수탁
자에게 위탁을 할 경우에는 문서에 의하여야 한다는 내용들이 그러하
다 개인정보보호법보다 조금 엄격하게 느껴질 만한 것은 제25조 7
항으로 수탁자의 재위탁은 위탁자로부터 동의를 받은 경우에 한한다
는 내용이다 (개인정보보호법은 시행령 제28조에서 lsquo재위탁 제한에
관한 사항rsquo을 위탁 시 작성해야 할 문서에 기재하도록 하고 있다)
3) 전화 권유 판매 시 개인정보 수집출처 고지 의무 부과
정통망법에 따르면 전자적 전송매체를 이용하여 영리목적의 광고성 정
보를 전송할 때 수신자의 명시적인 사전 동의를 받아야만 한다 사전
동의를 받지 않을 수 있는 예외가 두 가지 있는데 lsquo방문판매 등에 관한
③ 이동통신단말장치의 기본 운영체제(이동통신단말장치에서 소프트웨어를 실행할 수 있는
기반 환경을 말한다)를 제작하여 공급하는 자와 이동통신단말장치 제조업자 및 이동통신단
말장치의 소프트웨어를 제작하여 공급하는 자는 정보통신서비스 제공자가 이동통신단말장
치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근하려는 경우 접근
권한에 대한 이용자의 동의 및 철회방법을 마련하는 등 이용자 정보 보호에 필요한 조치를
하여야 한다
2 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
다 접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실
② 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 반드시 필요하지 아니한 접근
권한을 설정하는 데 이용자가 동의하지 아니한다는 이유로 이용자에게 해당 서비스의 제공
을 거부하여서는 아니 된다
중요도 업무영향도 대응업무부하
처 벌 2000만 원 이하의 과태료
- 수탁자가 위탁자의 동의 없이 재위탁을 한 경우
기업에서 대응해야 할 업무 절차
1 운영개발 중인 모바일 앱(App) 현황 파악(앱이 설치된 모바일 기기 내 이용 정보 및 기
능 내역)
2 1에서 식별된 모바일 기기 내 정보 및 기기에 대해 서비스 이용에 필수선택 항목 식별
3 모바일 앱 설치 시 동의이용 중 철회 절차 검토 및 보완
1) 필수항목과 선택항목의 구분
2) 법 제22조의2제1항1호2호의 사항을 고지사항에 반영
4 이용자 정보 보호에 필요한 기타 조치 사항 반영
5 3과 4에서 도출된 사항을 모바일 앱에 적용 업데이트
6 기존 운영 중인 앱의 경우 고객에게 업데이트 고지(동의 또는 재동의 절차 적용)
⑦ 수탁자는 개인정보 처리위탁을 한 정보통신서비스 제공자 등의 동의를 받은 경우에 한
하여 제1항에 따라 위탁받은 업무를 제3자에게 재위탁할 수 있다 lt신설 2016322gt
기업에서 대응해야 할 업무 절차
1 수탁자의 경우 위탁받은 개인정보의 처리 업무 중 재위탁 현황 파악
2 재위탁 사실이 있고 위탁자의 동의 증적이 없는 경우 파악
3 2에서 파악된 미동의 재위탁 건에 대해 위탁자에게 고지 및 동의 확보
6 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항
을 처리하는 부서의 명칭과 전화번호 등 연락처
7 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치middot운영 및 그 거부에
관한 사항(해당하는 경우)에만 정한다
중요도 업무영향도 대응업무부하
처 벌
3000만 원 이하의 과태료
- 반드시 필요하지 않은 접근권한 설정에 정보주체가 동의하지 않는다는 이유
로 서비스 제공을 거부할 경우
- 접근권한에 대한 동의 및 철회방법을 마련하는 등 조치를 하지 않은 경우
제22조의2(접근권한에 대한 동의) ① 정보통신서비스 제공자는 해당 서비스를 제공하기 위
하여 이용자의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신 단말장치에 설치된
기능에 대하여 접근할 수 있는 권한(이하 ldquo접근권한rdquo이라 한다)이 필요한 경우 다음 각 호의
사항을 이용자가 명확하게 인지할 수 있도록 알리고 이용자의 동의를 받아야 한다
1 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한인 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
2222
법률rsquo에 따른 전화 권유 판매자가 육성으로 전화 권유를 하는 경우가
그 중 하나였다 개정 법에서는 lsquo수신자에게 개인정보의 수집출처를 고
지하고rsquo라는 조건이 추가됨으로써 한결 까다로워졌다
4) 개인정보의 국외 이전 유형에 따른 동의 요건 완화
모처럼 개인정보보호 담당자한테 반가운 개선 조항이 생겼다 개인정
보의 국외 이전은 정통망법에서 논란이 되던 문제였다 개인정보보호
법은 국외에 제3자 제공할 경우만 정보주체의 동의 받으라고 되어 있
는데 정통망법에선 lsquo이전rsquo할 때 동의를 받으라고만 되어 있었기 때문에
제3자 제공과 위탁의 경우를 달리 적용하기 어려웠던 것이다 개정안
에서는 lsquo국외로 이전하려면rsquo이라고 되어 있던 조항을 lsquo국외에 제공(조회
되는 경우를 포함한다)middot처리위탁middot보관(이하 이 조에서 ldquo이전rdquo이라 한
다)하려면rsquo이라고 풀어서 표현하고 lsquo다만 정보통신서비스의 제공에 관
한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서
제3항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자
우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는
개인정보 처리위탁middot보관에 따른 동의절차를 거치지 아니할 수 있다rsquo라
는 단서 조항을 더 함으로써 국외 이전의 경우에도 위탁업무일 경우엔
동의 받지 않고 처리할 수 있도록 하였다 (개인정보보호법과 일치시킨
셈이다)
5) 노출된 개인정보의 삭제 차단 조치 의무화
웹사이트에서 시험 합격자 명단 등을 공개할 때 관리자의 부주의로 주
민번호와 같은 고유식별정보를 포함시키는 일이 종종 발생하곤 한다
기존 법령에서도 개인정보의 노출을 통제할 책임은 정보처리자에게 부
여하고 있으나 이번 개정안에서는 별도의 조항으로 명시함으로써 책임
성을 부각하고 있다 관련 처벌이 따르지 않아 규범적 조항인 점이 그
나마 다행스럽다
6) 기타 사항
이상 중요한 사항은 짚어 보았고 다른 사항은 대부분 개인정보보호법
과 균형을 맞추기 위한 내용들이다 lsquo개인정보관리책임자rsquo란 용어는
개인정보보호법과 마찬가지로 lsquo개인정보보호책임자rsquo란 용어로 바뀌
었고 처벌 수준에 있어서도 주요 법 위반 시 위반행위에 관련된 이익
의 몰수 추징 조항이 신설되었다 내용의 파급력으로 보자면 충격이
클 수도 있는 제32조 제2항의 징벌적 손해배상도 이미 개인정보보호
법에 들어간 내용이기 때문에 기업 입장에서 새롭게 고민할 사항은
적을 듯하다
전기통신사업자와 정보통신서비스 제공자를 대상으로 하는 정보통신
망법과 일반법으로 적용되는 개인정보보호법은 개인정보보호의 규준
을 이루는 양대 법률이다 기업 입장에선 지나치게 자주 개정되어 정보
보호 업무 부담을 더하는 측면도 있다 하지만 이번 개정안은 두 법의
용어와 조항 처벌 수준 등을 통일함으로써 법 적용을 돕는 긍정적인
면이 훨씬 많을 듯하다 아무쪼록 이번 개정안이 적극 반영되어 사회
전반에서 더욱 안전한 개인정보보호 환경이 갖추어지기를 기대한다
기업에서 대응해야 할 업무 절차
1 전화 권유 판매 시 정보주체 사전 동의 획득 여부 확인
2 사전동의 미 획득 케이스인 경우 개인정보 수집출처 확인
3 개인정보 수집출처가 확인되지 않은 경우 개인정보 이용 중지
4 개인정보 수집출처가 확인된 경우 수집출처를 고객에게 고지하고 전화 권유 판매
기업에서 대응해야 할 업무 절차
1 개인정보의 해외 이전 유형 식별(제공처리위탁보관)
2 이전 유형 중 처리위탁보관의 경우 고지공개 여부 확인
3 이전 유형 중 제공의 경우 동의 여부 확인
4 2 3단계에서 미흡 사항 발견 시 개선 조치
중요도 업무영향도 대응업무부하
처 벌 없음
제32조의3(노출된 개인정보의 삭제middot차단) ① 정보통신서비스 제공자 등은 주민등록번호
계좌정보 신용카드정보 등 이용자의 개인정보가 정보통신망을 통하여 공중에 노출되지 않
도록 하여야 한다
② 정보통신서비스 제공자 등의 고의 또는 중대한 과실로 인하여 개인정보가 분실middot도난middot
유출middot위조middot변조 또는 훼손된 경우로서 이용자에게 손해가 발생한 때에는 법원은 그 손
해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다 다만 정보통신서비스
제공자 등이 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다 lt신설
2016322gt
기업에서 대응해야 할 업무 절차
1 시스템 내 개인정보 노출 현황 파악 (노출정보유형목적노출기간주관부서 등 현황 파악)
2 노출된 고유식별정보 및 금융정보 발견 시 삭제 또는 보호(마스킹 등) 조치
3 1~2의 반복적 이행 가급적 시스템화하는 것이 바람직함
중요도 업무영향도 대응업무부하
처 벌
- 2000만 원 이하의 과태료 공개나 고지 없이 개인정보를 국외에 처리위탁
보관한 경우
- 과징금 부과 정보주체의 동의 없이 개인정보를 국외에 제공한 경우
23
어릴 때부터 각종 디지털 기기의 사용이 능숙한 lsquo디지털 키즈(Digital kids)rsquo인 우리 자녀들을 위한 똑똑한 lsquo디지털 페어런팅(육아법)rsquo을 소개한
다 식당이나 카페에서 어린 자녀에게 스마트폰은 보여주고 있거나 자녀가 어린이날 선물로 스마트폰을 사달라고 조르는 경우 스마트폰 게임
이나 SNS에 빠져 있는 자녀 때문에 걱정인 부모들에게 필요한 자녀의 연령에 맞는 디지털 페어런팅이다 자녀가 성숙한 디지털 기기 사용 습
관을 기를 수 있도록 도와주는 것은 부모가 반드시 해야 하는 역할 중 하나다
몸짓을 이미지로 기억해 엄마의 의도를 파악한다 그다음 좌뇌가 발달하는데 좌뇌가 발달하기 시작하면 언어 발달이 이루어진다 그런데 이 시
기에 과도하게 스마트폰에 노출되면 우뇌가 충분히 발달하지 않은 상태에서 좌뇌가 발달하게 된다
우뇌가 제대로 발달하지 못하면 감정을 담당하는 뇌 발달에 영향을 줄 수 있는데 이는 다른 사람의 마음을 헤아리는 능력 다른 사람과 생각이
나 느낌을 주고 받는 능력 사고력 감정 조절력 부족으로 이어질 수 있다 우는 아이를 달래려고 부모가 편하게 밥을 먹기 위해서 흥미로운
자극을 주고 싶다는 이유로 이 시기 아이에게 건넨 스마트폰은 아이의 뇌에 치명적인 후유증을 남길 수 있음을 기억해야 한다
3~6세 유아기 부모의 통제 하에 사용해야
전문가들은 이 시기 아이에게도 디지털 기기의 사용을 권장하지는 않는다 하지만 현실적으로 쉽지 않다면 차선책을 선택해야 한다 부모가 디
지털 기기의 이용 시간 및 콘텐츠 등에 대해 확실한 기준을 갖고 있어야 한다 lsquo하루 30분 이상 넘기지 않으며 아이가 좋아하는 애니메이션 영상
과 동요 율동 영상만 본다rsquo는 식으로 말이다 아이의 손에 스마트폰을 맡겨버리면 의도하지 않은 영상에까지 노출될 우려가 있으니 주의해야 한다
약속한 시간 외에는 스마트폰을 아이의 손에 닿지 않는 곳에 두는 것이 좋다 이를 위해서는 부모 역시 스마트 기기 사용을 절제할 수 있어야
한다 아이들은 부모를 롤 모델로 삼아 그 태도와 습관을 배우기 때문이다 하지만 이 시기 아이가 스마트폰을 보여 달라고 강하게 떼를 쓰는
등 통제가 되지 않을 때는 당분간 아예 아이에게서 스마트폰을 분리하는 것이 효과적이다 스마트폰이 아닌 다른 방법으로 아이와 시간을 보
내는 법을 고민하는 것은 부모의 몫이다
0~3세 영유아기 스마트폰 잠시 건네는 것도 안 돼
이제 걸음마를 시작할 법한 아이가 스마트폰에 집중해 있는 모습을
본 적이 있을 것이다 우는 아이를 달래기 위해서 식당이나 카페에서
아이를 조용히 앉혀놓을 요량으로 부모는 어린 자녀의 손에 스마트폰
을 쥐여준다 하지만 전문가들은 이 시기의 아이에게 디지털 기기를
노출시키는 건 ldquo안 된다rdquo고 입을 모은다 lsquo영유아 스마트폰 증후군rsquo 등
의 부작용이 우려되기 때문이다
lsquo영유아 스마트폰 증후군rsquo이란 6세 미만의 아이들이 영상 게임 등의
지속적인 자극에 오랜 시간 노출되어 우뇌가 발달해야 하는 시기에
좌뇌가 지나치게 발달해 좌middot우뇌의 균형이 틀어지는 것을 말한다
영아기 아이는 우뇌가 먼저 발달하는데 엄마의 표정 목소리 눈짓
I T amp L I F E
내 아이를 지키는 rsquo디지털 페어런팅rsquo
스티브 잡스가 자녀에게 아이폰 아이패드와 같은 디지털 기기의 사용을 허락하지 않았다는 건 잘 알려진 사실이다 드론을 만드는 3D
로보틱스 CEO 크리스 앤더슨은 아이들이 사용하는 전자 기기의 사용 시간을 제한하고 부모가 통제할 수 있는 장치를 부착했다고 한
다 그는 ldquo테크놀로지의 위험을 잘 알고 있으며 아이들에게 그런 일이 일어나는 것을 원치 않는다rdquo며 그 이유를 설명했다 이들의 자녀
교육법이 전적으로 옳다고 말할 수는 없지만 어릴 때부터 디지털 기기 사용이 너무나 익숙한 우리 자녀들의 모습은 한 번쯤 돌아볼 필
요가 있다
24
6~10세 미만 디지털 기기 사용 가이드라인에 대해 설명해줘야
부모가 디지털 기기 사용 시간 및 사용 및 목록의 한계에 대한 가이드라인을 정하고 이에 대해 아이가 이해할 수 있도록 설명해주는 것이 좋
다 가이드 라인을 정할 때 아이의 생각을 들어보고 반영하는 것도 방법이다 디지털 기기 사용 가이드라인이 지켜질 수 있도록 온 가족이 노력
해야 함은 물론이다 TV를 보고 스마트 기기를 가지고 노는 것 자체가 문제가 될 수도 있지만 이로 인해 친구들과 뛰어놀며 신체활동을 하는
즐거움을 빼앗기지 않도록 하는 것도 중요함을 잊지 말아야 한다
10세 이상의 초등학생 스스로 규칙을 정하고 지킬 수 있도
록 동기 부여
부모들의 고민 중 하나는 lsquo아이에게 스마트폰을 언제 사줄 것인가rsquo다
아이의 하교 후 학원에서 학원으로 이동할 때마다 연락을 주고받기
위해 휴대전화가 필요할 수도 있다 요즘은 초등학교 입학과 함께 스
마트폰을 사주는 가정도 많다 친구들도 다 있다며 사달라고 떼를 쓰
는 아이의 마음도 이해 못 하는 바 아니지만 자녀에게 스마트폰을 사
주는 적당한 시기는 부모가 잘 판단해야 한다 아이가 스마트폰 사용
규칙을 지킬 수 있을 만큼 성숙한 상태여야 한다는 의미다 하고 싶어
도 참을 수 있는 절제력과 충동조절능력 좌절인내력이 바탕이 돼야
만 스스로 규칙을 지킬 수 있다
구글 애플 마이크로소프트 등 글로벌 IT 기업의 자녀들이 많이 다니
는 실리콘밸리에 발도로프 학교에는 컴퓨터가 없다 스크린 보드 빔
프로젝터 등의 멀티미디어 기기도 없으며 연필과 종이 분필 등을 이
용한 아날로그식 수업이 진행된다 이들은 우리나라 나이로 중학교 3
학년이 되는 8학년이 돼서야 컴퓨터를 서서히 배우기 시작한다 학생
들이 학교에 디지털 기기를 가져올 수도 없다 lsquo디지털 세상이 아이를
아프게 한다rsquo의 저자인 신의진 정신과 박사는 ldquo언제 자녀가 스마트폰
을 사용하면 좋냐rdquo는 질문에 ldquo늦을수록 좋다rdquo고 답한다
우리 자녀 세대는 지금 우리보다 훨씬 더 디지털 기기와 가깝게 지낼
것이다 시대가 변하고 있기 때문이다 더 흥미로운 기기들이 쏟아질
것이고 그에 맞는 교육 및 놀이 앱이 넘쳐날 것이다 하지만 시대가
변해도 변하지 않는 것은 존재한다 부모가 자녀와 디지털 생활에 대
해 이야기를 나눌 수 있는 환경은 신뢰를 바탕으로 한 그들의 아날로
그 생활에서의 환경이 조성하는 법이다 가족과 함께 서로의 디지털
생활에 대한 이야기를 나눠보는 시간을 갖는 것은 어떨까
자녀와 함께 TV 컴퓨터 스마트폰 등에 대한 이용 규칙을 정하고 스스로 통제할 수 있도록 동기를 부여해주는 것이 좋다 만약 약속을 어겼을
경우 벌칙도 명확히 해둔다 예를 들어 주말에만 컴퓨터 게임을 하기로 했는데 어겼다면 다음 주말 컴퓨터 이용 시간을 줄이는 식이다 초등학
교 3~4학년만 돼도 아이들은 SNS에 흥미를 느끼기 시작한다 이때 부모는 아이가 어떤 게시물을 올리고 다운로드하는지 관심을 가질 필요가
있다 인터넷상에 올린 글이나 영상은 쉽게 공유될 수 있으며 지우는 것도 쉽지 않다는 점에 대해서도 알려줘야 한다
중middot고등학생 자율성 존중하되 방치해선 안 돼
ldquo스마트폰 그만하고 공부해rdquo와 같은 강압적인 지시는 되레 부작용을 낳을 수 있다 중middot고등학생의 자녀와의 디지털 페어런팅에서 가장 중요한
것은 자율성을 존중하되 방치해서는 안 된다는 점이다 아이가 적당히 조절하며 디지털 기기를 사용하고 있다면 문제 없지만 걱정할 정도로 몰
입돼 있는 상황이라면 가정의 디지털 페어런팅 방식을 다시 점검해봐야 한다 과몰입 상태는 적절한 교육으로 가정에서 바로 잡을 수 있지만 중
독의 수준이라면 상황이 달라진다 이런 경우 아이가 디지털 기기에 빠진 원인을 찾고 이를 해결하기 위해 전문가 상담 및 치료를 받아야 한다
[그림 1] 컴퓨터가 없는 발도로프 학교에 대해 다룬 뉴욕타임즈 기사
(출처 httpwwwnytimescom20111023technologyat-waldorf-school-in-silicon-valley-technology-can-waithtml)
참고 자료
신의진(2013) 디지털 세상이 아이를 아프게 한다 북클라우드
구본권(2014) 당신을 공유하시겠습니까 어크로스
25
보안 통계와 이슈 S T A T I S T I C S
[그림 2]는 2016년 4월 한 달간 유포된 악성코드를 주요 유형별로 집
계한 결과이다 불필요한 프로그램인 PUP(Potentially Unwanted
Program)가 5948로 가장 높은 비중을 차지했고 트로이목마
(Trojan) 계열의 악성코드가 168 웜(Worm)이 347의 비율로
그 뒤를 이었다
지난 4월 한 달간 탐지된 모바일 악성코드는 24만 7847건으로 집계
됐다
안랩 시큐리티대응센터(이하 ASEC)는 최근 ASEC Report Vol76를 통해 지난 2016년 4월의 보안 통계 및 이슈를 전했다 지난 4월
의 주요 보안 이슈를 살펴본다
파일 속성 변경하는 리눅스 악성코드 등장
안랩 4월 악성코드 통계 및 보안 이슈 발표
[그림 1] 악성코드 추이(2016년 2월~2016년 4월)
ASEC이 집계한 바에 따르면 2016년 4월 한 달간 탐지된 악성코드
수는 1156만 4967건으로 나타났다 이는 전월 1321만 2012건에
비해 164만 7045건 감소한 수치다 한편 4월에 수집된 악성코드 샘
플 수는 324만 5837건이다
샘플 수집 수탐지 건수
[그림 2] 2016년 4월 주요 악성코드 유형
Adware DownloaderWormTrojanetcPUP
[그림 3] 모바일 악성코드 추이(2016년 2월 ~ 2016년 4월)
5000000
6000000
10000000
20000000
30000000
40000000
1000000
2000000
3000000
4000000
4월3월2월
11830547 1156496713212012
324
583
7
354
858
1
349
346
8
347
168
1939
5948072
014
100000
200000
300000
500000
600000
700000
400000
0
4월3월2월
247847256512
323301
26
또한 지난 4월 악성코드 유포지로 악용된 도메인은 648개 URL은
2216개로 집계됐다 4월의 악성 도메인 및 URL 차단 건수는 총 637
만 3536건이다
이와 같은 경우 lsquolsattrrsquo 명령을 통해 해당 파일의 속성을 조회하면 [그
림 7]과 같이 lsquoirsquo 속성이 추가되어 있음을 확인할 수 있다
리눅스 악성코드 lsquo빌게이츠 봇넷rsquo 발견
최근 리눅스(Linux) 운영체제에서 감염 시스템의 정보 수집 시스
템 파일 교체 DDoS 공격 등을 수행하는 lsquo빌게이츠 봇넷(BillGates
botnet)rsquo이 발견됐다 해당 악성코드는 감염 시스템 내에서 속성이 변
경되어 삭제가 불가능해 리눅스 사용자들의 피해가 우려된다
빌게이츠 봇넷은 서버에 침입 후 파일의 속성을 변경하여 악성코드를
삭제할 수 없도록 설정한다 리눅스 시스템에서 악성코드 감염에 의
해 파일 속성이 변경된 경우 이를 삭제할 수 있는 방법을 자세히 살
펴보자
먼저 공격자가 파일의 속성을 변경한 후 [그림 5]와 같이 삭제 시도를
하면 lsquo실행이 허가되지 않았다(Operation not permitted)rsquo라는 메시
지가 출력되며 해당 파일이 삭제되지 않는다
이처럼 lsquoirsquo 속성이 추가되어 있는 경우에는 [그림 8]과 같이 루트 권한
으로 lsquochattrrsquo 명령을 통해 해당 파일의 속성을 변경한 후 다시 삭제
를 시도하면 해당 파일이 정상적으로 삭제된다
파일의 속성 추가(chattr)는 lsquo+[추가할 속성]rsquo 제거는 lsquondash[제거할 속성]rsquo
을 통하여 수행할 수 있으며 lsquo-Rrsquo 옵션을 추가로 부여하는 경우에는
하위 디렉터리까지 모두 포함되어 적용된다 이는 윈도우(Windows)
운영체제의 lsquoattirbrsquo 명령과 유사하다
이때 만일 관리자가 파일이 삭제되지 않는 원인을 파일 권한 문제라
고 생각하고 파일 시스템에 기록된 정보를 이용하여 루트 계정 및
inode를 제거하는 방법으로 다시 삭제를 시도하면 마찬가지로 동일
한 메시지가 발생하며 파일이 삭제되지 않는다
이번 리눅스 악성코드 사례와 같이 파일의 속성이 변경되어 삭제가
불가한 경우가 있어 권한 뿐만 아니라 파일 속성에 대해서도 다시 한
번 확인하는 것이 필요하다 단 중요 파일이나 로그 파일 등은 lsquoirsquo나
lsquoarsquo 속성을 적용하는 정상적인 경우도 있다 즉 이러한 속성이 적용되
어 있는 파일이라고 해서 모두 악성 파일은 아니므로 정확히 악성으
로 확인된 파일에 대해서만 삭제를 진행할 것을 권장한다
최근 리눅스 운영체제를 노리는 악성코드가 꾸준히 증가하고 있다
DDoS 공격이나 백도어 등 리눅스 악성코드의 기능도 다양해지고 있
으며 앞으로 더욱 고도화될 것으로 예상된다 리눅스 시스템도 안전
하게 이용하기 위해서는 반드시 암호를 설정해야 하며 최신 보안 업
데이트를 적용해야 한다
V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지하고
있다
ltV3 제품군의 진단명gt
LinuxBackdoor1223123B
[그림 5] RM 명령어를 통한 삭제 시도
[그림 6] INODE 제거를 통한 삭제 시도
[그림 4] 악성코드 유포 도메인URL 탐지 및 차단 건수(2016년 2월 ~ 2016년 4월)
악성 도메인URL 차단 건수 악성코드 유포 URL 수악성코드 유포 도메인 수
10000
20000
30000
8000000
9000000
40000
7000000
6000000
5000000
4000000
04월
221681467900
6481587936
3월2월
6373536
7157616
6355582
[그림 7] 파일 속성 조회
[표 1] 리눅스 파일 속성 및 lsquoCHATTRrsquo 명령어 예시
[그림 8] 파일 속성 변경 후 제거 시도
[명령어 예시 (i S 속성 추가)]
chattr + iS samples
[파일 속성명 중 일부] [설명]
a (CAP LINUX IMMUTABLE capability) 추가 작성만 가능 삭제 불가
I (CAP LINUX IMMUTABLE capability) 삭제 변경 링크 파일 생성 등
S 파일이 변경되면 디스크 동기화
u 파일 삭제 시 내용 백업
2727
A H N L A B N E W S
현대자동차 그룹 IT서비스 전문업체인 현대오토에버가 최근 lsquo5스타
우수 개발협력사rsquo로 안랩을 선정했다
lsquo현대오토에버 우수 개발협력사rsquo는 현대오토에버가 협력사와 공동
으로 수행한 전년도 사업의 수행 실적에 따라 1스타부터 5스타까지
우수협력사를 선정하고 이에 따른 다양한 인센티브를 제공하는 프
로그램이다
안랩은 현대오토에버의 개발컨설팅 협력사로서 프로젝트 평가 및
업체 종합 평가 등에서 안정적이고 우수한 프로젝트 성과를 인정받
아 최고 등급인 lsquo5스타rsquo 우수 개발협력사로 선정됐다 안랩 서비스
사업부를 총괄하는 방인구 상무는 ldquo안랩은 핵심가치인 lsquo고객만족rsquo을
기준으로 맡은 사업에 대해 언제나 최선을 다하고 있다rdquo며 ldquo안랩을
신뢰해주시는 여러 회사와 함께 동반성장할 수 있도록 노력하겠다rdquo
고 말했다
안랩이 지난달 17일 코엑스 컨벤션센터에서 열린 lsquo아마존 웹 서비
스 글로벌 서밋 서울 2016(이하 AWS 서밋 서울 2016)rsquo에서 다양
한 산업 관계자를 대상으로 lsquo안랩 AWS 고객 원격 보안관제 서비스rsquo
를 소개했다
AWS 서밋 서울 2016은 아마존 웹 서비스가 제공하는 클라우드 컴
퓨팅 서비스에 대한 지식을 공유하고 IT 업계의 최신 기술 트렌드 등
을 소개하는 행사로 지난해 첫 국내 개최에 이어 두 번째로 열렸다
이번 행사에 참가한 안랩은 전용 부스를 운영하며 lsquo안랩 AWS 고객
원격 보안관제 서비스rsquo에 대한 개별 고객 상담 및 서비스 체험 신청
등을 진행했다 안랩 AWS 고객 원격 보안관제 서비스는 네트워크
및 웹 서비스 등에 대한 보안을 안랩의 침해대응(CERT) 전문인력이
원격으로 모니터링 및 관리해주는 서비스다
또한 별도 발표장에서 진행된 미니 발표 세션에서 안랩 서비스상
품기획팀 김준호 대리는 안랩 AWS 고객 원격 보안관제 서비스의
개요 및 구성을 비롯하여 탐지를 넘어 위협 분석까지 제공하는
침해사고 대응 프로세스 미디어사 O2O(Online to Offline 온오
프라인 연결) 서비스 제조 분야의 실제 고객 사례를 통한 다양한
산업별 서비스 적용 방안 등 lsquo안랩 AWS 고객 원격 보안관제 서비
스rsquo의 개념과 강점을 소개했다
안랩 김준호 대리는 ldquo안랩은 lsquoAWS 고객 원격 보안관제 서비스rsquo를
지난 1월 출시한 이후 약 4개월 여 만에 이미 복수의 대형 고객사
를 확보하는 등 검증된 서비스를 제공하고 있다rdquo며 ldquo이는 많은 고객
사에서 단순 탐지를 넘어 위협 분석 및 대응까지 가능한 안랩의 전
문성을 인정한 것으로 볼 수 있다rdquo고 강조했다
현대오토에버
lsquo우수 개발협력사rsquo로 안랩 선정
안랩 lsquoAWS 서밋 서울 2016rsquo에서
클라우드 보안관제 서비스 소개
안랩은 AWS 서밋 서울 2016 행사에서 전용 부스와 발표 세션을 통해 안랩 AWS 고객 원격 보안관제 서비스를 소개했다
발행인 권치중
발행처 주식회사 안랩
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
편집인 안랩 콘텐츠기획팀
디자인 안랩 디자인팀
copy 2016 AhnLab Inc All rights reserved
본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제 복사 검색 시스템
으로 저장 또는 전송될 수 없습니다 안랩 안랩 로고는 안랩의 등록상표입
니다 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상
표일 수 있습니다 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
copy 2016 AhnLab Inc All rights reserved
httpwwwahnlabcom
httpblogahnlabcom
httptwittercomahnlab_man
20
F O C U S I N - D E P T H Compliance
20
1 개인정보보호법
1) 정보주체 이외로부터 수집한 개인정보의 수집 출처 고지 의무화
ldquo따르릉~ 여보세요 홍길동 고객님이시죠 여기는 보험사인데
요~ 알지도 못하는 보험사로부터 이런 전화를 받아 본 경험이 혹시
있었는지 모르겠다 어디서 내 전화번호를 입수한 것인지 물어보면 정
확히 대답하지 않거나 얼버무리는 경우도 많다 개정안이 시행되는 9
월 30일부터 이런 식의 연락은 더 이상 받지 않게 될 것 같다 일정 규
모 이상이 되는 기업(5만 명 이상의 민감 정보 또는 고유식별정보 처
리 100만 명 이상의 개인정보처리)이 정보주체로부터 직접 수집하지
않고 개인정보를 처리할 때는 반드시 ①정보수집출처 ②개인정보처리
목적 ③개인정보 처리정지 요구권이 있다는 사실을 최초 수집 후 3개
월 이내에 정보주체에게 고지해야만 하기 때문이다 불법으로 입수한
개인정보라면 애초에 고지도 못할 테지만 적법하게 제공받은 경우라
하더라도 고객에게 일일이 고지하기란 큰 부담이 될 것이다 고객이 제
3자 제공 동의를 해서 개인정보를 제공했다는 사실을 증명하라고 요구
하면 그 또한 큰일이다 필자 견해로는 이 개정안에 대한 대응이 본 기
사를 통틀어 제일 큰일일 듯 싶다
2) 민감정보의 안전성 확보조치 명시적 요구
민감정보란 개인의 사상middot신념 노동조합middot정당의 가입middot탈퇴 정치
적 견해 건강 유전 정보나 범죄 경력처럼 사생활을 현저히 침해할
우려가 있는 정보를 말한다 기존에도 고유식별 정보와 더불어 수집
이용하지 않는 것이 원칙이고 별도의 동의를 얻어 처리해야 하며 안
전성확보 조치를 통해 보호해야 할 대상이었다 이번 개정안에서는
민감정보에 대한 안전성 확보 조치를 명시적으로 요구하고 있을 뿐
기업 입장에서 달리 조치해야 할 사항은 없어 보인다 (기존 법에 따
라 잘 조치하고 있었을 경우에는 그렇다는 뜻이다)
3) 개인정보처리방침과 개인정보취급방침 구성 요건 동기화
개인정보보호법의 lsquo개인정보처리방침rsquo은 정보통신망법(이후 lsquo정통망
법rsquo)의 lsquo개인정보취급방침rsquo과 이름도 다르고 구성 요건에도 약간의 차
이가 있었다 이번 개정안에서는 방침 구성 내용에 정통망법 일부 사
꼭 챙겨야 할 개인정보보호 법령
지난 3월 8일 발간된 월간 lsquo안rsquo 2016년 3월호에 lsquo2016년에 챙겨봐야 할 개인정보보호 법령 5가지rsquo란 제목으로 개인정보보호 법령에 대
해 소개한 바 있다 이후 3월 22일과 29일에 정보통신망법과 개인정보보호법이 또 개정되어 2016년에 챙겨야 할 법령이 더 늘어났다
이번 호에서는 두 가지 법의 개정사항의 중요도를 별점으로 매겨가며 정리하고자 한다 단 중요도의 기준은 필자의 주관에 따른 것이므
로 참고만 하는 것이 좋겠다 개정된 내용 중 기업과 관련이 적은 사항은 따로 적지 않았다
별점으로 살펴본
lsquo개정rsquo 개인정보보호 관련 법령
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
중요도 업무영향도 대응업무부하
처 벌
- 미이행 시 3000만 원 이하의 과태료
- 미이행 상태에서 유출 사고 발생 시 2년 이하의 징역 또는 2000만 원 이하
의 벌금
중요도 업무영향도 대응업무부하
처 벌 해당 없음
기업에서 대응해야 할 업무 절차
1 법 시행 시점 이후 수집 보유 중인 개인정보 중 정보주체에게 직접 입수한 것이 아닌
개인정보 식별(정보주체 외 입수 경로 제3자 제공 동의 여부 확인)
2 1에서 식별된 개인정보 중 연락처가 있는 개인정보 식별
3 2에서 식별된 정보주체에게 개인정보 수집 및 이용 사실 고지(파기요청 수집)
구체적인 고지 시기 방법은 시행령이 나와야 알 수 있음
4 3의 절차에서 파기 요청 시 파기 시행
기업에서 대응해야 할 업무 절차
1 보유 중인 개인정보 중 민감정보 식별
2 1에서 식별된 민감정보에 대한 안전성 확보 조치 수준 점검
3 2절차에서 법 기준에 미흡한 경우 보완 조치 이행
2121
항을 반영하여 유사한 구조를 갖추도록 했으며 정통망법 또한 lsquo개인
정보처리방침rsquo으로 명칭을 변경함으로써 개인정보보호법과 일원화할
수 있게 되었다 개인정보보호법 개인정보처리방침에 추가된 사항은
다음과 같다
2 정보통신망 이용촉진 및 정보보호 등에 관한 법(이하 lsquo정
통망법)
1) 정보주체의 이동통신 단말장치 내 정보 및 기능에 대한 접근 시 동
의절차 의무화
스마트폰 메신저 앱을 생각해 보자 메신저 앱의 핵심적인 기능은 다
른 사람과 메시지를 주고받는 것이다 메신저를 편히 쓰려면 연락처
를 일일이 입력하기보다는 스마트폰에 있는 연락처 정보를 이용하는
게 필요할텐데 개정된 법은 그렇게 메신저 앱이 서비스를 이용하기
위해 스마트폰에 저장된 정보에 접근할 경우에 반드시 정보주체의 동
의를 받아야 한다는 것이다
핵심 서비스를 위해 필요한 정보나 접근권한에도 동의를 받으라고 하
는 상황인데 그 외의 목적이라면 당연히 동의를 요구할 수밖에 없다
이 경우에는 사용자가 동의를 거부할 권한이 있고 동의를 안했다고
해서 기업이 서비스 제공을 거부할 수 없도록 하고 있다(거부하면 과
태료 처벌을 받을 수 있다)
이 법의 요구사항은 흔히 알고 있는 개인정보 수집이용 동의와 개념
이 다르기 때문에 기업에서도 상당한 고민과 부담이 있을 것으로 예
상된다 (예를 들면 휴대전화에 저장된 연락처는 휴대전화 주인의 개
인정보가 아니므로 정보주체의 개인정보 수집이용 동의로 대체할 수
없다) 휴대전화 기능에 대한 접근권한 역시 개인정보 수집이용 동의
와는 다른 사항이므로 동의 절차를 새롭게 설정해야 할 가능성이 높
다 이런 동의와 철회 방법에 대한 구현 책임은 이동통신단말장치 소
프트웨어 제조업자와 공급자에게 부과하고 있으며 위반 시 과태료 처
벌을 할 수 있도록 되어 있다
2) 개인정보 처리업무 수탁자가 재위탁할 경우 원 위탁자의 동의를 받
는 경우에만 가능함
이번 정통망법 개정안에서는 개인정보 처리 위탁 관련 조항이 특히
많이 수정되었다 대부분 용어가 lsquo취급rsquo에서 lsquo처리rsquo로 바뀐 사항이 많
고 일부 조항은 개인정보보호법과 동일한 수준으로 바뀌었다 예컨대
수탁자에 대한 관리 감독 책임에 lsquo교육rsquo을 별도로 명시한다거나 수탁
자에게 위탁을 할 경우에는 문서에 의하여야 한다는 내용들이 그러하
다 개인정보보호법보다 조금 엄격하게 느껴질 만한 것은 제25조 7
항으로 수탁자의 재위탁은 위탁자로부터 동의를 받은 경우에 한한다
는 내용이다 (개인정보보호법은 시행령 제28조에서 lsquo재위탁 제한에
관한 사항rsquo을 위탁 시 작성해야 할 문서에 기재하도록 하고 있다)
3) 전화 권유 판매 시 개인정보 수집출처 고지 의무 부과
정통망법에 따르면 전자적 전송매체를 이용하여 영리목적의 광고성 정
보를 전송할 때 수신자의 명시적인 사전 동의를 받아야만 한다 사전
동의를 받지 않을 수 있는 예외가 두 가지 있는데 lsquo방문판매 등에 관한
③ 이동통신단말장치의 기본 운영체제(이동통신단말장치에서 소프트웨어를 실행할 수 있는
기반 환경을 말한다)를 제작하여 공급하는 자와 이동통신단말장치 제조업자 및 이동통신단
말장치의 소프트웨어를 제작하여 공급하는 자는 정보통신서비스 제공자가 이동통신단말장
치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근하려는 경우 접근
권한에 대한 이용자의 동의 및 철회방법을 마련하는 등 이용자 정보 보호에 필요한 조치를
하여야 한다
2 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
다 접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실
② 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 반드시 필요하지 아니한 접근
권한을 설정하는 데 이용자가 동의하지 아니한다는 이유로 이용자에게 해당 서비스의 제공
을 거부하여서는 아니 된다
중요도 업무영향도 대응업무부하
처 벌 2000만 원 이하의 과태료
- 수탁자가 위탁자의 동의 없이 재위탁을 한 경우
기업에서 대응해야 할 업무 절차
1 운영개발 중인 모바일 앱(App) 현황 파악(앱이 설치된 모바일 기기 내 이용 정보 및 기
능 내역)
2 1에서 식별된 모바일 기기 내 정보 및 기기에 대해 서비스 이용에 필수선택 항목 식별
3 모바일 앱 설치 시 동의이용 중 철회 절차 검토 및 보완
1) 필수항목과 선택항목의 구분
2) 법 제22조의2제1항1호2호의 사항을 고지사항에 반영
4 이용자 정보 보호에 필요한 기타 조치 사항 반영
5 3과 4에서 도출된 사항을 모바일 앱에 적용 업데이트
6 기존 운영 중인 앱의 경우 고객에게 업데이트 고지(동의 또는 재동의 절차 적용)
⑦ 수탁자는 개인정보 처리위탁을 한 정보통신서비스 제공자 등의 동의를 받은 경우에 한
하여 제1항에 따라 위탁받은 업무를 제3자에게 재위탁할 수 있다 lt신설 2016322gt
기업에서 대응해야 할 업무 절차
1 수탁자의 경우 위탁받은 개인정보의 처리 업무 중 재위탁 현황 파악
2 재위탁 사실이 있고 위탁자의 동의 증적이 없는 경우 파악
3 2에서 파악된 미동의 재위탁 건에 대해 위탁자에게 고지 및 동의 확보
6 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항
을 처리하는 부서의 명칭과 전화번호 등 연락처
7 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치middot운영 및 그 거부에
관한 사항(해당하는 경우)에만 정한다
중요도 업무영향도 대응업무부하
처 벌
3000만 원 이하의 과태료
- 반드시 필요하지 않은 접근권한 설정에 정보주체가 동의하지 않는다는 이유
로 서비스 제공을 거부할 경우
- 접근권한에 대한 동의 및 철회방법을 마련하는 등 조치를 하지 않은 경우
제22조의2(접근권한에 대한 동의) ① 정보통신서비스 제공자는 해당 서비스를 제공하기 위
하여 이용자의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신 단말장치에 설치된
기능에 대하여 접근할 수 있는 권한(이하 ldquo접근권한rdquo이라 한다)이 필요한 경우 다음 각 호의
사항을 이용자가 명확하게 인지할 수 있도록 알리고 이용자의 동의를 받아야 한다
1 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한인 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
2222
법률rsquo에 따른 전화 권유 판매자가 육성으로 전화 권유를 하는 경우가
그 중 하나였다 개정 법에서는 lsquo수신자에게 개인정보의 수집출처를 고
지하고rsquo라는 조건이 추가됨으로써 한결 까다로워졌다
4) 개인정보의 국외 이전 유형에 따른 동의 요건 완화
모처럼 개인정보보호 담당자한테 반가운 개선 조항이 생겼다 개인정
보의 국외 이전은 정통망법에서 논란이 되던 문제였다 개인정보보호
법은 국외에 제3자 제공할 경우만 정보주체의 동의 받으라고 되어 있
는데 정통망법에선 lsquo이전rsquo할 때 동의를 받으라고만 되어 있었기 때문에
제3자 제공과 위탁의 경우를 달리 적용하기 어려웠던 것이다 개정안
에서는 lsquo국외로 이전하려면rsquo이라고 되어 있던 조항을 lsquo국외에 제공(조회
되는 경우를 포함한다)middot처리위탁middot보관(이하 이 조에서 ldquo이전rdquo이라 한
다)하려면rsquo이라고 풀어서 표현하고 lsquo다만 정보통신서비스의 제공에 관
한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서
제3항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자
우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는
개인정보 처리위탁middot보관에 따른 동의절차를 거치지 아니할 수 있다rsquo라
는 단서 조항을 더 함으로써 국외 이전의 경우에도 위탁업무일 경우엔
동의 받지 않고 처리할 수 있도록 하였다 (개인정보보호법과 일치시킨
셈이다)
5) 노출된 개인정보의 삭제 차단 조치 의무화
웹사이트에서 시험 합격자 명단 등을 공개할 때 관리자의 부주의로 주
민번호와 같은 고유식별정보를 포함시키는 일이 종종 발생하곤 한다
기존 법령에서도 개인정보의 노출을 통제할 책임은 정보처리자에게 부
여하고 있으나 이번 개정안에서는 별도의 조항으로 명시함으로써 책임
성을 부각하고 있다 관련 처벌이 따르지 않아 규범적 조항인 점이 그
나마 다행스럽다
6) 기타 사항
이상 중요한 사항은 짚어 보았고 다른 사항은 대부분 개인정보보호법
과 균형을 맞추기 위한 내용들이다 lsquo개인정보관리책임자rsquo란 용어는
개인정보보호법과 마찬가지로 lsquo개인정보보호책임자rsquo란 용어로 바뀌
었고 처벌 수준에 있어서도 주요 법 위반 시 위반행위에 관련된 이익
의 몰수 추징 조항이 신설되었다 내용의 파급력으로 보자면 충격이
클 수도 있는 제32조 제2항의 징벌적 손해배상도 이미 개인정보보호
법에 들어간 내용이기 때문에 기업 입장에서 새롭게 고민할 사항은
적을 듯하다
전기통신사업자와 정보통신서비스 제공자를 대상으로 하는 정보통신
망법과 일반법으로 적용되는 개인정보보호법은 개인정보보호의 규준
을 이루는 양대 법률이다 기업 입장에선 지나치게 자주 개정되어 정보
보호 업무 부담을 더하는 측면도 있다 하지만 이번 개정안은 두 법의
용어와 조항 처벌 수준 등을 통일함으로써 법 적용을 돕는 긍정적인
면이 훨씬 많을 듯하다 아무쪼록 이번 개정안이 적극 반영되어 사회
전반에서 더욱 안전한 개인정보보호 환경이 갖추어지기를 기대한다
기업에서 대응해야 할 업무 절차
1 전화 권유 판매 시 정보주체 사전 동의 획득 여부 확인
2 사전동의 미 획득 케이스인 경우 개인정보 수집출처 확인
3 개인정보 수집출처가 확인되지 않은 경우 개인정보 이용 중지
4 개인정보 수집출처가 확인된 경우 수집출처를 고객에게 고지하고 전화 권유 판매
기업에서 대응해야 할 업무 절차
1 개인정보의 해외 이전 유형 식별(제공처리위탁보관)
2 이전 유형 중 처리위탁보관의 경우 고지공개 여부 확인
3 이전 유형 중 제공의 경우 동의 여부 확인
4 2 3단계에서 미흡 사항 발견 시 개선 조치
중요도 업무영향도 대응업무부하
처 벌 없음
제32조의3(노출된 개인정보의 삭제middot차단) ① 정보통신서비스 제공자 등은 주민등록번호
계좌정보 신용카드정보 등 이용자의 개인정보가 정보통신망을 통하여 공중에 노출되지 않
도록 하여야 한다
② 정보통신서비스 제공자 등의 고의 또는 중대한 과실로 인하여 개인정보가 분실middot도난middot
유출middot위조middot변조 또는 훼손된 경우로서 이용자에게 손해가 발생한 때에는 법원은 그 손
해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다 다만 정보통신서비스
제공자 등이 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다 lt신설
2016322gt
기업에서 대응해야 할 업무 절차
1 시스템 내 개인정보 노출 현황 파악 (노출정보유형목적노출기간주관부서 등 현황 파악)
2 노출된 고유식별정보 및 금융정보 발견 시 삭제 또는 보호(마스킹 등) 조치
3 1~2의 반복적 이행 가급적 시스템화하는 것이 바람직함
중요도 업무영향도 대응업무부하
처 벌
- 2000만 원 이하의 과태료 공개나 고지 없이 개인정보를 국외에 처리위탁
보관한 경우
- 과징금 부과 정보주체의 동의 없이 개인정보를 국외에 제공한 경우
23
어릴 때부터 각종 디지털 기기의 사용이 능숙한 lsquo디지털 키즈(Digital kids)rsquo인 우리 자녀들을 위한 똑똑한 lsquo디지털 페어런팅(육아법)rsquo을 소개한
다 식당이나 카페에서 어린 자녀에게 스마트폰은 보여주고 있거나 자녀가 어린이날 선물로 스마트폰을 사달라고 조르는 경우 스마트폰 게임
이나 SNS에 빠져 있는 자녀 때문에 걱정인 부모들에게 필요한 자녀의 연령에 맞는 디지털 페어런팅이다 자녀가 성숙한 디지털 기기 사용 습
관을 기를 수 있도록 도와주는 것은 부모가 반드시 해야 하는 역할 중 하나다
몸짓을 이미지로 기억해 엄마의 의도를 파악한다 그다음 좌뇌가 발달하는데 좌뇌가 발달하기 시작하면 언어 발달이 이루어진다 그런데 이 시
기에 과도하게 스마트폰에 노출되면 우뇌가 충분히 발달하지 않은 상태에서 좌뇌가 발달하게 된다
우뇌가 제대로 발달하지 못하면 감정을 담당하는 뇌 발달에 영향을 줄 수 있는데 이는 다른 사람의 마음을 헤아리는 능력 다른 사람과 생각이
나 느낌을 주고 받는 능력 사고력 감정 조절력 부족으로 이어질 수 있다 우는 아이를 달래려고 부모가 편하게 밥을 먹기 위해서 흥미로운
자극을 주고 싶다는 이유로 이 시기 아이에게 건넨 스마트폰은 아이의 뇌에 치명적인 후유증을 남길 수 있음을 기억해야 한다
3~6세 유아기 부모의 통제 하에 사용해야
전문가들은 이 시기 아이에게도 디지털 기기의 사용을 권장하지는 않는다 하지만 현실적으로 쉽지 않다면 차선책을 선택해야 한다 부모가 디
지털 기기의 이용 시간 및 콘텐츠 등에 대해 확실한 기준을 갖고 있어야 한다 lsquo하루 30분 이상 넘기지 않으며 아이가 좋아하는 애니메이션 영상
과 동요 율동 영상만 본다rsquo는 식으로 말이다 아이의 손에 스마트폰을 맡겨버리면 의도하지 않은 영상에까지 노출될 우려가 있으니 주의해야 한다
약속한 시간 외에는 스마트폰을 아이의 손에 닿지 않는 곳에 두는 것이 좋다 이를 위해서는 부모 역시 스마트 기기 사용을 절제할 수 있어야
한다 아이들은 부모를 롤 모델로 삼아 그 태도와 습관을 배우기 때문이다 하지만 이 시기 아이가 스마트폰을 보여 달라고 강하게 떼를 쓰는
등 통제가 되지 않을 때는 당분간 아예 아이에게서 스마트폰을 분리하는 것이 효과적이다 스마트폰이 아닌 다른 방법으로 아이와 시간을 보
내는 법을 고민하는 것은 부모의 몫이다
0~3세 영유아기 스마트폰 잠시 건네는 것도 안 돼
이제 걸음마를 시작할 법한 아이가 스마트폰에 집중해 있는 모습을
본 적이 있을 것이다 우는 아이를 달래기 위해서 식당이나 카페에서
아이를 조용히 앉혀놓을 요량으로 부모는 어린 자녀의 손에 스마트폰
을 쥐여준다 하지만 전문가들은 이 시기의 아이에게 디지털 기기를
노출시키는 건 ldquo안 된다rdquo고 입을 모은다 lsquo영유아 스마트폰 증후군rsquo 등
의 부작용이 우려되기 때문이다
lsquo영유아 스마트폰 증후군rsquo이란 6세 미만의 아이들이 영상 게임 등의
지속적인 자극에 오랜 시간 노출되어 우뇌가 발달해야 하는 시기에
좌뇌가 지나치게 발달해 좌middot우뇌의 균형이 틀어지는 것을 말한다
영아기 아이는 우뇌가 먼저 발달하는데 엄마의 표정 목소리 눈짓
I T amp L I F E
내 아이를 지키는 rsquo디지털 페어런팅rsquo
스티브 잡스가 자녀에게 아이폰 아이패드와 같은 디지털 기기의 사용을 허락하지 않았다는 건 잘 알려진 사실이다 드론을 만드는 3D
로보틱스 CEO 크리스 앤더슨은 아이들이 사용하는 전자 기기의 사용 시간을 제한하고 부모가 통제할 수 있는 장치를 부착했다고 한
다 그는 ldquo테크놀로지의 위험을 잘 알고 있으며 아이들에게 그런 일이 일어나는 것을 원치 않는다rdquo며 그 이유를 설명했다 이들의 자녀
교육법이 전적으로 옳다고 말할 수는 없지만 어릴 때부터 디지털 기기 사용이 너무나 익숙한 우리 자녀들의 모습은 한 번쯤 돌아볼 필
요가 있다
24
6~10세 미만 디지털 기기 사용 가이드라인에 대해 설명해줘야
부모가 디지털 기기 사용 시간 및 사용 및 목록의 한계에 대한 가이드라인을 정하고 이에 대해 아이가 이해할 수 있도록 설명해주는 것이 좋
다 가이드 라인을 정할 때 아이의 생각을 들어보고 반영하는 것도 방법이다 디지털 기기 사용 가이드라인이 지켜질 수 있도록 온 가족이 노력
해야 함은 물론이다 TV를 보고 스마트 기기를 가지고 노는 것 자체가 문제가 될 수도 있지만 이로 인해 친구들과 뛰어놀며 신체활동을 하는
즐거움을 빼앗기지 않도록 하는 것도 중요함을 잊지 말아야 한다
10세 이상의 초등학생 스스로 규칙을 정하고 지킬 수 있도
록 동기 부여
부모들의 고민 중 하나는 lsquo아이에게 스마트폰을 언제 사줄 것인가rsquo다
아이의 하교 후 학원에서 학원으로 이동할 때마다 연락을 주고받기
위해 휴대전화가 필요할 수도 있다 요즘은 초등학교 입학과 함께 스
마트폰을 사주는 가정도 많다 친구들도 다 있다며 사달라고 떼를 쓰
는 아이의 마음도 이해 못 하는 바 아니지만 자녀에게 스마트폰을 사
주는 적당한 시기는 부모가 잘 판단해야 한다 아이가 스마트폰 사용
규칙을 지킬 수 있을 만큼 성숙한 상태여야 한다는 의미다 하고 싶어
도 참을 수 있는 절제력과 충동조절능력 좌절인내력이 바탕이 돼야
만 스스로 규칙을 지킬 수 있다
구글 애플 마이크로소프트 등 글로벌 IT 기업의 자녀들이 많이 다니
는 실리콘밸리에 발도로프 학교에는 컴퓨터가 없다 스크린 보드 빔
프로젝터 등의 멀티미디어 기기도 없으며 연필과 종이 분필 등을 이
용한 아날로그식 수업이 진행된다 이들은 우리나라 나이로 중학교 3
학년이 되는 8학년이 돼서야 컴퓨터를 서서히 배우기 시작한다 학생
들이 학교에 디지털 기기를 가져올 수도 없다 lsquo디지털 세상이 아이를
아프게 한다rsquo의 저자인 신의진 정신과 박사는 ldquo언제 자녀가 스마트폰
을 사용하면 좋냐rdquo는 질문에 ldquo늦을수록 좋다rdquo고 답한다
우리 자녀 세대는 지금 우리보다 훨씬 더 디지털 기기와 가깝게 지낼
것이다 시대가 변하고 있기 때문이다 더 흥미로운 기기들이 쏟아질
것이고 그에 맞는 교육 및 놀이 앱이 넘쳐날 것이다 하지만 시대가
변해도 변하지 않는 것은 존재한다 부모가 자녀와 디지털 생활에 대
해 이야기를 나눌 수 있는 환경은 신뢰를 바탕으로 한 그들의 아날로
그 생활에서의 환경이 조성하는 법이다 가족과 함께 서로의 디지털
생활에 대한 이야기를 나눠보는 시간을 갖는 것은 어떨까
자녀와 함께 TV 컴퓨터 스마트폰 등에 대한 이용 규칙을 정하고 스스로 통제할 수 있도록 동기를 부여해주는 것이 좋다 만약 약속을 어겼을
경우 벌칙도 명확히 해둔다 예를 들어 주말에만 컴퓨터 게임을 하기로 했는데 어겼다면 다음 주말 컴퓨터 이용 시간을 줄이는 식이다 초등학
교 3~4학년만 돼도 아이들은 SNS에 흥미를 느끼기 시작한다 이때 부모는 아이가 어떤 게시물을 올리고 다운로드하는지 관심을 가질 필요가
있다 인터넷상에 올린 글이나 영상은 쉽게 공유될 수 있으며 지우는 것도 쉽지 않다는 점에 대해서도 알려줘야 한다
중middot고등학생 자율성 존중하되 방치해선 안 돼
ldquo스마트폰 그만하고 공부해rdquo와 같은 강압적인 지시는 되레 부작용을 낳을 수 있다 중middot고등학생의 자녀와의 디지털 페어런팅에서 가장 중요한
것은 자율성을 존중하되 방치해서는 안 된다는 점이다 아이가 적당히 조절하며 디지털 기기를 사용하고 있다면 문제 없지만 걱정할 정도로 몰
입돼 있는 상황이라면 가정의 디지털 페어런팅 방식을 다시 점검해봐야 한다 과몰입 상태는 적절한 교육으로 가정에서 바로 잡을 수 있지만 중
독의 수준이라면 상황이 달라진다 이런 경우 아이가 디지털 기기에 빠진 원인을 찾고 이를 해결하기 위해 전문가 상담 및 치료를 받아야 한다
[그림 1] 컴퓨터가 없는 발도로프 학교에 대해 다룬 뉴욕타임즈 기사
(출처 httpwwwnytimescom20111023technologyat-waldorf-school-in-silicon-valley-technology-can-waithtml)
참고 자료
신의진(2013) 디지털 세상이 아이를 아프게 한다 북클라우드
구본권(2014) 당신을 공유하시겠습니까 어크로스
25
보안 통계와 이슈 S T A T I S T I C S
[그림 2]는 2016년 4월 한 달간 유포된 악성코드를 주요 유형별로 집
계한 결과이다 불필요한 프로그램인 PUP(Potentially Unwanted
Program)가 5948로 가장 높은 비중을 차지했고 트로이목마
(Trojan) 계열의 악성코드가 168 웜(Worm)이 347의 비율로
그 뒤를 이었다
지난 4월 한 달간 탐지된 모바일 악성코드는 24만 7847건으로 집계
됐다
안랩 시큐리티대응센터(이하 ASEC)는 최근 ASEC Report Vol76를 통해 지난 2016년 4월의 보안 통계 및 이슈를 전했다 지난 4월
의 주요 보안 이슈를 살펴본다
파일 속성 변경하는 리눅스 악성코드 등장
안랩 4월 악성코드 통계 및 보안 이슈 발표
[그림 1] 악성코드 추이(2016년 2월~2016년 4월)
ASEC이 집계한 바에 따르면 2016년 4월 한 달간 탐지된 악성코드
수는 1156만 4967건으로 나타났다 이는 전월 1321만 2012건에
비해 164만 7045건 감소한 수치다 한편 4월에 수집된 악성코드 샘
플 수는 324만 5837건이다
샘플 수집 수탐지 건수
[그림 2] 2016년 4월 주요 악성코드 유형
Adware DownloaderWormTrojanetcPUP
[그림 3] 모바일 악성코드 추이(2016년 2월 ~ 2016년 4월)
5000000
6000000
10000000
20000000
30000000
40000000
1000000
2000000
3000000
4000000
4월3월2월
11830547 1156496713212012
324
583
7
354
858
1
349
346
8
347
168
1939
5948072
014
100000
200000
300000
500000
600000
700000
400000
0
4월3월2월
247847256512
323301
26
또한 지난 4월 악성코드 유포지로 악용된 도메인은 648개 URL은
2216개로 집계됐다 4월의 악성 도메인 및 URL 차단 건수는 총 637
만 3536건이다
이와 같은 경우 lsquolsattrrsquo 명령을 통해 해당 파일의 속성을 조회하면 [그
림 7]과 같이 lsquoirsquo 속성이 추가되어 있음을 확인할 수 있다
리눅스 악성코드 lsquo빌게이츠 봇넷rsquo 발견
최근 리눅스(Linux) 운영체제에서 감염 시스템의 정보 수집 시스
템 파일 교체 DDoS 공격 등을 수행하는 lsquo빌게이츠 봇넷(BillGates
botnet)rsquo이 발견됐다 해당 악성코드는 감염 시스템 내에서 속성이 변
경되어 삭제가 불가능해 리눅스 사용자들의 피해가 우려된다
빌게이츠 봇넷은 서버에 침입 후 파일의 속성을 변경하여 악성코드를
삭제할 수 없도록 설정한다 리눅스 시스템에서 악성코드 감염에 의
해 파일 속성이 변경된 경우 이를 삭제할 수 있는 방법을 자세히 살
펴보자
먼저 공격자가 파일의 속성을 변경한 후 [그림 5]와 같이 삭제 시도를
하면 lsquo실행이 허가되지 않았다(Operation not permitted)rsquo라는 메시
지가 출력되며 해당 파일이 삭제되지 않는다
이처럼 lsquoirsquo 속성이 추가되어 있는 경우에는 [그림 8]과 같이 루트 권한
으로 lsquochattrrsquo 명령을 통해 해당 파일의 속성을 변경한 후 다시 삭제
를 시도하면 해당 파일이 정상적으로 삭제된다
파일의 속성 추가(chattr)는 lsquo+[추가할 속성]rsquo 제거는 lsquondash[제거할 속성]rsquo
을 통하여 수행할 수 있으며 lsquo-Rrsquo 옵션을 추가로 부여하는 경우에는
하위 디렉터리까지 모두 포함되어 적용된다 이는 윈도우(Windows)
운영체제의 lsquoattirbrsquo 명령과 유사하다
이때 만일 관리자가 파일이 삭제되지 않는 원인을 파일 권한 문제라
고 생각하고 파일 시스템에 기록된 정보를 이용하여 루트 계정 및
inode를 제거하는 방법으로 다시 삭제를 시도하면 마찬가지로 동일
한 메시지가 발생하며 파일이 삭제되지 않는다
이번 리눅스 악성코드 사례와 같이 파일의 속성이 변경되어 삭제가
불가한 경우가 있어 권한 뿐만 아니라 파일 속성에 대해서도 다시 한
번 확인하는 것이 필요하다 단 중요 파일이나 로그 파일 등은 lsquoirsquo나
lsquoarsquo 속성을 적용하는 정상적인 경우도 있다 즉 이러한 속성이 적용되
어 있는 파일이라고 해서 모두 악성 파일은 아니므로 정확히 악성으
로 확인된 파일에 대해서만 삭제를 진행할 것을 권장한다
최근 리눅스 운영체제를 노리는 악성코드가 꾸준히 증가하고 있다
DDoS 공격이나 백도어 등 리눅스 악성코드의 기능도 다양해지고 있
으며 앞으로 더욱 고도화될 것으로 예상된다 리눅스 시스템도 안전
하게 이용하기 위해서는 반드시 암호를 설정해야 하며 최신 보안 업
데이트를 적용해야 한다
V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지하고
있다
ltV3 제품군의 진단명gt
LinuxBackdoor1223123B
[그림 5] RM 명령어를 통한 삭제 시도
[그림 6] INODE 제거를 통한 삭제 시도
[그림 4] 악성코드 유포 도메인URL 탐지 및 차단 건수(2016년 2월 ~ 2016년 4월)
악성 도메인URL 차단 건수 악성코드 유포 URL 수악성코드 유포 도메인 수
10000
20000
30000
8000000
9000000
40000
7000000
6000000
5000000
4000000
04월
221681467900
6481587936
3월2월
6373536
7157616
6355582
[그림 7] 파일 속성 조회
[표 1] 리눅스 파일 속성 및 lsquoCHATTRrsquo 명령어 예시
[그림 8] 파일 속성 변경 후 제거 시도
[명령어 예시 (i S 속성 추가)]
chattr + iS samples
[파일 속성명 중 일부] [설명]
a (CAP LINUX IMMUTABLE capability) 추가 작성만 가능 삭제 불가
I (CAP LINUX IMMUTABLE capability) 삭제 변경 링크 파일 생성 등
S 파일이 변경되면 디스크 동기화
u 파일 삭제 시 내용 백업
2727
A H N L A B N E W S
현대자동차 그룹 IT서비스 전문업체인 현대오토에버가 최근 lsquo5스타
우수 개발협력사rsquo로 안랩을 선정했다
lsquo현대오토에버 우수 개발협력사rsquo는 현대오토에버가 협력사와 공동
으로 수행한 전년도 사업의 수행 실적에 따라 1스타부터 5스타까지
우수협력사를 선정하고 이에 따른 다양한 인센티브를 제공하는 프
로그램이다
안랩은 현대오토에버의 개발컨설팅 협력사로서 프로젝트 평가 및
업체 종합 평가 등에서 안정적이고 우수한 프로젝트 성과를 인정받
아 최고 등급인 lsquo5스타rsquo 우수 개발협력사로 선정됐다 안랩 서비스
사업부를 총괄하는 방인구 상무는 ldquo안랩은 핵심가치인 lsquo고객만족rsquo을
기준으로 맡은 사업에 대해 언제나 최선을 다하고 있다rdquo며 ldquo안랩을
신뢰해주시는 여러 회사와 함께 동반성장할 수 있도록 노력하겠다rdquo
고 말했다
안랩이 지난달 17일 코엑스 컨벤션센터에서 열린 lsquo아마존 웹 서비
스 글로벌 서밋 서울 2016(이하 AWS 서밋 서울 2016)rsquo에서 다양
한 산업 관계자를 대상으로 lsquo안랩 AWS 고객 원격 보안관제 서비스rsquo
를 소개했다
AWS 서밋 서울 2016은 아마존 웹 서비스가 제공하는 클라우드 컴
퓨팅 서비스에 대한 지식을 공유하고 IT 업계의 최신 기술 트렌드 등
을 소개하는 행사로 지난해 첫 국내 개최에 이어 두 번째로 열렸다
이번 행사에 참가한 안랩은 전용 부스를 운영하며 lsquo안랩 AWS 고객
원격 보안관제 서비스rsquo에 대한 개별 고객 상담 및 서비스 체험 신청
등을 진행했다 안랩 AWS 고객 원격 보안관제 서비스는 네트워크
및 웹 서비스 등에 대한 보안을 안랩의 침해대응(CERT) 전문인력이
원격으로 모니터링 및 관리해주는 서비스다
또한 별도 발표장에서 진행된 미니 발표 세션에서 안랩 서비스상
품기획팀 김준호 대리는 안랩 AWS 고객 원격 보안관제 서비스의
개요 및 구성을 비롯하여 탐지를 넘어 위협 분석까지 제공하는
침해사고 대응 프로세스 미디어사 O2O(Online to Offline 온오
프라인 연결) 서비스 제조 분야의 실제 고객 사례를 통한 다양한
산업별 서비스 적용 방안 등 lsquo안랩 AWS 고객 원격 보안관제 서비
스rsquo의 개념과 강점을 소개했다
안랩 김준호 대리는 ldquo안랩은 lsquoAWS 고객 원격 보안관제 서비스rsquo를
지난 1월 출시한 이후 약 4개월 여 만에 이미 복수의 대형 고객사
를 확보하는 등 검증된 서비스를 제공하고 있다rdquo며 ldquo이는 많은 고객
사에서 단순 탐지를 넘어 위협 분석 및 대응까지 가능한 안랩의 전
문성을 인정한 것으로 볼 수 있다rdquo고 강조했다
현대오토에버
lsquo우수 개발협력사rsquo로 안랩 선정
안랩 lsquoAWS 서밋 서울 2016rsquo에서
클라우드 보안관제 서비스 소개
안랩은 AWS 서밋 서울 2016 행사에서 전용 부스와 발표 세션을 통해 안랩 AWS 고객 원격 보안관제 서비스를 소개했다
발행인 권치중
발행처 주식회사 안랩
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
편집인 안랩 콘텐츠기획팀
디자인 안랩 디자인팀
copy 2016 AhnLab Inc All rights reserved
본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제 복사 검색 시스템
으로 저장 또는 전송될 수 없습니다 안랩 안랩 로고는 안랩의 등록상표입
니다 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상
표일 수 있습니다 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
copy 2016 AhnLab Inc All rights reserved
httpwwwahnlabcom
httpblogahnlabcom
httptwittercomahnlab_man
2121
항을 반영하여 유사한 구조를 갖추도록 했으며 정통망법 또한 lsquo개인
정보처리방침rsquo으로 명칭을 변경함으로써 개인정보보호법과 일원화할
수 있게 되었다 개인정보보호법 개인정보처리방침에 추가된 사항은
다음과 같다
2 정보통신망 이용촉진 및 정보보호 등에 관한 법(이하 lsquo정
통망법)
1) 정보주체의 이동통신 단말장치 내 정보 및 기능에 대한 접근 시 동
의절차 의무화
스마트폰 메신저 앱을 생각해 보자 메신저 앱의 핵심적인 기능은 다
른 사람과 메시지를 주고받는 것이다 메신저를 편히 쓰려면 연락처
를 일일이 입력하기보다는 스마트폰에 있는 연락처 정보를 이용하는
게 필요할텐데 개정된 법은 그렇게 메신저 앱이 서비스를 이용하기
위해 스마트폰에 저장된 정보에 접근할 경우에 반드시 정보주체의 동
의를 받아야 한다는 것이다
핵심 서비스를 위해 필요한 정보나 접근권한에도 동의를 받으라고 하
는 상황인데 그 외의 목적이라면 당연히 동의를 요구할 수밖에 없다
이 경우에는 사용자가 동의를 거부할 권한이 있고 동의를 안했다고
해서 기업이 서비스 제공을 거부할 수 없도록 하고 있다(거부하면 과
태료 처벌을 받을 수 있다)
이 법의 요구사항은 흔히 알고 있는 개인정보 수집이용 동의와 개념
이 다르기 때문에 기업에서도 상당한 고민과 부담이 있을 것으로 예
상된다 (예를 들면 휴대전화에 저장된 연락처는 휴대전화 주인의 개
인정보가 아니므로 정보주체의 개인정보 수집이용 동의로 대체할 수
없다) 휴대전화 기능에 대한 접근권한 역시 개인정보 수집이용 동의
와는 다른 사항이므로 동의 절차를 새롭게 설정해야 할 가능성이 높
다 이런 동의와 철회 방법에 대한 구현 책임은 이동통신단말장치 소
프트웨어 제조업자와 공급자에게 부과하고 있으며 위반 시 과태료 처
벌을 할 수 있도록 되어 있다
2) 개인정보 처리업무 수탁자가 재위탁할 경우 원 위탁자의 동의를 받
는 경우에만 가능함
이번 정통망법 개정안에서는 개인정보 처리 위탁 관련 조항이 특히
많이 수정되었다 대부분 용어가 lsquo취급rsquo에서 lsquo처리rsquo로 바뀐 사항이 많
고 일부 조항은 개인정보보호법과 동일한 수준으로 바뀌었다 예컨대
수탁자에 대한 관리 감독 책임에 lsquo교육rsquo을 별도로 명시한다거나 수탁
자에게 위탁을 할 경우에는 문서에 의하여야 한다는 내용들이 그러하
다 개인정보보호법보다 조금 엄격하게 느껴질 만한 것은 제25조 7
항으로 수탁자의 재위탁은 위탁자로부터 동의를 받은 경우에 한한다
는 내용이다 (개인정보보호법은 시행령 제28조에서 lsquo재위탁 제한에
관한 사항rsquo을 위탁 시 작성해야 할 문서에 기재하도록 하고 있다)
3) 전화 권유 판매 시 개인정보 수집출처 고지 의무 부과
정통망법에 따르면 전자적 전송매체를 이용하여 영리목적의 광고성 정
보를 전송할 때 수신자의 명시적인 사전 동의를 받아야만 한다 사전
동의를 받지 않을 수 있는 예외가 두 가지 있는데 lsquo방문판매 등에 관한
③ 이동통신단말장치의 기본 운영체제(이동통신단말장치에서 소프트웨어를 실행할 수 있는
기반 환경을 말한다)를 제작하여 공급하는 자와 이동통신단말장치 제조업자 및 이동통신단
말장치의 소프트웨어를 제작하여 공급하는 자는 정보통신서비스 제공자가 이동통신단말장
치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근하려는 경우 접근
권한에 대한 이용자의 동의 및 철회방법을 마련하는 등 이용자 정보 보호에 필요한 조치를
하여야 한다
2 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
다 접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실
② 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 반드시 필요하지 아니한 접근
권한을 설정하는 데 이용자가 동의하지 아니한다는 이유로 이용자에게 해당 서비스의 제공
을 거부하여서는 아니 된다
중요도 업무영향도 대응업무부하
처 벌 2000만 원 이하의 과태료
- 수탁자가 위탁자의 동의 없이 재위탁을 한 경우
기업에서 대응해야 할 업무 절차
1 운영개발 중인 모바일 앱(App) 현황 파악(앱이 설치된 모바일 기기 내 이용 정보 및 기
능 내역)
2 1에서 식별된 모바일 기기 내 정보 및 기기에 대해 서비스 이용에 필수선택 항목 식별
3 모바일 앱 설치 시 동의이용 중 철회 절차 검토 및 보완
1) 필수항목과 선택항목의 구분
2) 법 제22조의2제1항1호2호의 사항을 고지사항에 반영
4 이용자 정보 보호에 필요한 기타 조치 사항 반영
5 3과 4에서 도출된 사항을 모바일 앱에 적용 업데이트
6 기존 운영 중인 앱의 경우 고객에게 업데이트 고지(동의 또는 재동의 절차 적용)
⑦ 수탁자는 개인정보 처리위탁을 한 정보통신서비스 제공자 등의 동의를 받은 경우에 한
하여 제1항에 따라 위탁받은 업무를 제3자에게 재위탁할 수 있다 lt신설 2016322gt
기업에서 대응해야 할 업무 절차
1 수탁자의 경우 위탁받은 개인정보의 처리 업무 중 재위탁 현황 파악
2 재위탁 사실이 있고 위탁자의 동의 증적이 없는 경우 파악
3 2에서 파악된 미동의 재위탁 건에 대해 위탁자에게 고지 및 동의 확보
6 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항
을 처리하는 부서의 명칭과 전화번호 등 연락처
7 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치middot운영 및 그 거부에
관한 사항(해당하는 경우)에만 정한다
중요도 업무영향도 대응업무부하
처 벌
3000만 원 이하의 과태료
- 반드시 필요하지 않은 접근권한 설정에 정보주체가 동의하지 않는다는 이유
로 서비스 제공을 거부할 경우
- 접근권한에 대한 동의 및 철회방법을 마련하는 등 조치를 하지 않은 경우
제22조의2(접근권한에 대한 동의) ① 정보통신서비스 제공자는 해당 서비스를 제공하기 위
하여 이용자의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신 단말장치에 설치된
기능에 대하여 접근할 수 있는 권한(이하 ldquo접근권한rdquo이라 한다)이 필요한 경우 다음 각 호의
사항을 이용자가 명확하게 인지할 수 있도록 알리고 이용자의 동의를 받아야 한다
1 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한인 경우
가 접근권한이 필요한 정보 및 기능의 항목
나 접근권한이 필요한 이유
중요도 업무영향도 대응업무부하
처 벌 3000만 원 이하의 과태료
2222
법률rsquo에 따른 전화 권유 판매자가 육성으로 전화 권유를 하는 경우가
그 중 하나였다 개정 법에서는 lsquo수신자에게 개인정보의 수집출처를 고
지하고rsquo라는 조건이 추가됨으로써 한결 까다로워졌다
4) 개인정보의 국외 이전 유형에 따른 동의 요건 완화
모처럼 개인정보보호 담당자한테 반가운 개선 조항이 생겼다 개인정
보의 국외 이전은 정통망법에서 논란이 되던 문제였다 개인정보보호
법은 국외에 제3자 제공할 경우만 정보주체의 동의 받으라고 되어 있
는데 정통망법에선 lsquo이전rsquo할 때 동의를 받으라고만 되어 있었기 때문에
제3자 제공과 위탁의 경우를 달리 적용하기 어려웠던 것이다 개정안
에서는 lsquo국외로 이전하려면rsquo이라고 되어 있던 조항을 lsquo국외에 제공(조회
되는 경우를 포함한다)middot처리위탁middot보관(이하 이 조에서 ldquo이전rdquo이라 한
다)하려면rsquo이라고 풀어서 표현하고 lsquo다만 정보통신서비스의 제공에 관
한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서
제3항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자
우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는
개인정보 처리위탁middot보관에 따른 동의절차를 거치지 아니할 수 있다rsquo라
는 단서 조항을 더 함으로써 국외 이전의 경우에도 위탁업무일 경우엔
동의 받지 않고 처리할 수 있도록 하였다 (개인정보보호법과 일치시킨
셈이다)
5) 노출된 개인정보의 삭제 차단 조치 의무화
웹사이트에서 시험 합격자 명단 등을 공개할 때 관리자의 부주의로 주
민번호와 같은 고유식별정보를 포함시키는 일이 종종 발생하곤 한다
기존 법령에서도 개인정보의 노출을 통제할 책임은 정보처리자에게 부
여하고 있으나 이번 개정안에서는 별도의 조항으로 명시함으로써 책임
성을 부각하고 있다 관련 처벌이 따르지 않아 규범적 조항인 점이 그
나마 다행스럽다
6) 기타 사항
이상 중요한 사항은 짚어 보았고 다른 사항은 대부분 개인정보보호법
과 균형을 맞추기 위한 내용들이다 lsquo개인정보관리책임자rsquo란 용어는
개인정보보호법과 마찬가지로 lsquo개인정보보호책임자rsquo란 용어로 바뀌
었고 처벌 수준에 있어서도 주요 법 위반 시 위반행위에 관련된 이익
의 몰수 추징 조항이 신설되었다 내용의 파급력으로 보자면 충격이
클 수도 있는 제32조 제2항의 징벌적 손해배상도 이미 개인정보보호
법에 들어간 내용이기 때문에 기업 입장에서 새롭게 고민할 사항은
적을 듯하다
전기통신사업자와 정보통신서비스 제공자를 대상으로 하는 정보통신
망법과 일반법으로 적용되는 개인정보보호법은 개인정보보호의 규준
을 이루는 양대 법률이다 기업 입장에선 지나치게 자주 개정되어 정보
보호 업무 부담을 더하는 측면도 있다 하지만 이번 개정안은 두 법의
용어와 조항 처벌 수준 등을 통일함으로써 법 적용을 돕는 긍정적인
면이 훨씬 많을 듯하다 아무쪼록 이번 개정안이 적극 반영되어 사회
전반에서 더욱 안전한 개인정보보호 환경이 갖추어지기를 기대한다
기업에서 대응해야 할 업무 절차
1 전화 권유 판매 시 정보주체 사전 동의 획득 여부 확인
2 사전동의 미 획득 케이스인 경우 개인정보 수집출처 확인
3 개인정보 수집출처가 확인되지 않은 경우 개인정보 이용 중지
4 개인정보 수집출처가 확인된 경우 수집출처를 고객에게 고지하고 전화 권유 판매
기업에서 대응해야 할 업무 절차
1 개인정보의 해외 이전 유형 식별(제공처리위탁보관)
2 이전 유형 중 처리위탁보관의 경우 고지공개 여부 확인
3 이전 유형 중 제공의 경우 동의 여부 확인
4 2 3단계에서 미흡 사항 발견 시 개선 조치
중요도 업무영향도 대응업무부하
처 벌 없음
제32조의3(노출된 개인정보의 삭제middot차단) ① 정보통신서비스 제공자 등은 주민등록번호
계좌정보 신용카드정보 등 이용자의 개인정보가 정보통신망을 통하여 공중에 노출되지 않
도록 하여야 한다
② 정보통신서비스 제공자 등의 고의 또는 중대한 과실로 인하여 개인정보가 분실middot도난middot
유출middot위조middot변조 또는 훼손된 경우로서 이용자에게 손해가 발생한 때에는 법원은 그 손
해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다 다만 정보통신서비스
제공자 등이 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다 lt신설
2016322gt
기업에서 대응해야 할 업무 절차
1 시스템 내 개인정보 노출 현황 파악 (노출정보유형목적노출기간주관부서 등 현황 파악)
2 노출된 고유식별정보 및 금융정보 발견 시 삭제 또는 보호(마스킹 등) 조치
3 1~2의 반복적 이행 가급적 시스템화하는 것이 바람직함
중요도 업무영향도 대응업무부하
처 벌
- 2000만 원 이하의 과태료 공개나 고지 없이 개인정보를 국외에 처리위탁
보관한 경우
- 과징금 부과 정보주체의 동의 없이 개인정보를 국외에 제공한 경우
23
어릴 때부터 각종 디지털 기기의 사용이 능숙한 lsquo디지털 키즈(Digital kids)rsquo인 우리 자녀들을 위한 똑똑한 lsquo디지털 페어런팅(육아법)rsquo을 소개한
다 식당이나 카페에서 어린 자녀에게 스마트폰은 보여주고 있거나 자녀가 어린이날 선물로 스마트폰을 사달라고 조르는 경우 스마트폰 게임
이나 SNS에 빠져 있는 자녀 때문에 걱정인 부모들에게 필요한 자녀의 연령에 맞는 디지털 페어런팅이다 자녀가 성숙한 디지털 기기 사용 습
관을 기를 수 있도록 도와주는 것은 부모가 반드시 해야 하는 역할 중 하나다
몸짓을 이미지로 기억해 엄마의 의도를 파악한다 그다음 좌뇌가 발달하는데 좌뇌가 발달하기 시작하면 언어 발달이 이루어진다 그런데 이 시
기에 과도하게 스마트폰에 노출되면 우뇌가 충분히 발달하지 않은 상태에서 좌뇌가 발달하게 된다
우뇌가 제대로 발달하지 못하면 감정을 담당하는 뇌 발달에 영향을 줄 수 있는데 이는 다른 사람의 마음을 헤아리는 능력 다른 사람과 생각이
나 느낌을 주고 받는 능력 사고력 감정 조절력 부족으로 이어질 수 있다 우는 아이를 달래려고 부모가 편하게 밥을 먹기 위해서 흥미로운
자극을 주고 싶다는 이유로 이 시기 아이에게 건넨 스마트폰은 아이의 뇌에 치명적인 후유증을 남길 수 있음을 기억해야 한다
3~6세 유아기 부모의 통제 하에 사용해야
전문가들은 이 시기 아이에게도 디지털 기기의 사용을 권장하지는 않는다 하지만 현실적으로 쉽지 않다면 차선책을 선택해야 한다 부모가 디
지털 기기의 이용 시간 및 콘텐츠 등에 대해 확실한 기준을 갖고 있어야 한다 lsquo하루 30분 이상 넘기지 않으며 아이가 좋아하는 애니메이션 영상
과 동요 율동 영상만 본다rsquo는 식으로 말이다 아이의 손에 스마트폰을 맡겨버리면 의도하지 않은 영상에까지 노출될 우려가 있으니 주의해야 한다
약속한 시간 외에는 스마트폰을 아이의 손에 닿지 않는 곳에 두는 것이 좋다 이를 위해서는 부모 역시 스마트 기기 사용을 절제할 수 있어야
한다 아이들은 부모를 롤 모델로 삼아 그 태도와 습관을 배우기 때문이다 하지만 이 시기 아이가 스마트폰을 보여 달라고 강하게 떼를 쓰는
등 통제가 되지 않을 때는 당분간 아예 아이에게서 스마트폰을 분리하는 것이 효과적이다 스마트폰이 아닌 다른 방법으로 아이와 시간을 보
내는 법을 고민하는 것은 부모의 몫이다
0~3세 영유아기 스마트폰 잠시 건네는 것도 안 돼
이제 걸음마를 시작할 법한 아이가 스마트폰에 집중해 있는 모습을
본 적이 있을 것이다 우는 아이를 달래기 위해서 식당이나 카페에서
아이를 조용히 앉혀놓을 요량으로 부모는 어린 자녀의 손에 스마트폰
을 쥐여준다 하지만 전문가들은 이 시기의 아이에게 디지털 기기를
노출시키는 건 ldquo안 된다rdquo고 입을 모은다 lsquo영유아 스마트폰 증후군rsquo 등
의 부작용이 우려되기 때문이다
lsquo영유아 스마트폰 증후군rsquo이란 6세 미만의 아이들이 영상 게임 등의
지속적인 자극에 오랜 시간 노출되어 우뇌가 발달해야 하는 시기에
좌뇌가 지나치게 발달해 좌middot우뇌의 균형이 틀어지는 것을 말한다
영아기 아이는 우뇌가 먼저 발달하는데 엄마의 표정 목소리 눈짓
I T amp L I F E
내 아이를 지키는 rsquo디지털 페어런팅rsquo
스티브 잡스가 자녀에게 아이폰 아이패드와 같은 디지털 기기의 사용을 허락하지 않았다는 건 잘 알려진 사실이다 드론을 만드는 3D
로보틱스 CEO 크리스 앤더슨은 아이들이 사용하는 전자 기기의 사용 시간을 제한하고 부모가 통제할 수 있는 장치를 부착했다고 한
다 그는 ldquo테크놀로지의 위험을 잘 알고 있으며 아이들에게 그런 일이 일어나는 것을 원치 않는다rdquo며 그 이유를 설명했다 이들의 자녀
교육법이 전적으로 옳다고 말할 수는 없지만 어릴 때부터 디지털 기기 사용이 너무나 익숙한 우리 자녀들의 모습은 한 번쯤 돌아볼 필
요가 있다
24
6~10세 미만 디지털 기기 사용 가이드라인에 대해 설명해줘야
부모가 디지털 기기 사용 시간 및 사용 및 목록의 한계에 대한 가이드라인을 정하고 이에 대해 아이가 이해할 수 있도록 설명해주는 것이 좋
다 가이드 라인을 정할 때 아이의 생각을 들어보고 반영하는 것도 방법이다 디지털 기기 사용 가이드라인이 지켜질 수 있도록 온 가족이 노력
해야 함은 물론이다 TV를 보고 스마트 기기를 가지고 노는 것 자체가 문제가 될 수도 있지만 이로 인해 친구들과 뛰어놀며 신체활동을 하는
즐거움을 빼앗기지 않도록 하는 것도 중요함을 잊지 말아야 한다
10세 이상의 초등학생 스스로 규칙을 정하고 지킬 수 있도
록 동기 부여
부모들의 고민 중 하나는 lsquo아이에게 스마트폰을 언제 사줄 것인가rsquo다
아이의 하교 후 학원에서 학원으로 이동할 때마다 연락을 주고받기
위해 휴대전화가 필요할 수도 있다 요즘은 초등학교 입학과 함께 스
마트폰을 사주는 가정도 많다 친구들도 다 있다며 사달라고 떼를 쓰
는 아이의 마음도 이해 못 하는 바 아니지만 자녀에게 스마트폰을 사
주는 적당한 시기는 부모가 잘 판단해야 한다 아이가 스마트폰 사용
규칙을 지킬 수 있을 만큼 성숙한 상태여야 한다는 의미다 하고 싶어
도 참을 수 있는 절제력과 충동조절능력 좌절인내력이 바탕이 돼야
만 스스로 규칙을 지킬 수 있다
구글 애플 마이크로소프트 등 글로벌 IT 기업의 자녀들이 많이 다니
는 실리콘밸리에 발도로프 학교에는 컴퓨터가 없다 스크린 보드 빔
프로젝터 등의 멀티미디어 기기도 없으며 연필과 종이 분필 등을 이
용한 아날로그식 수업이 진행된다 이들은 우리나라 나이로 중학교 3
학년이 되는 8학년이 돼서야 컴퓨터를 서서히 배우기 시작한다 학생
들이 학교에 디지털 기기를 가져올 수도 없다 lsquo디지털 세상이 아이를
아프게 한다rsquo의 저자인 신의진 정신과 박사는 ldquo언제 자녀가 스마트폰
을 사용하면 좋냐rdquo는 질문에 ldquo늦을수록 좋다rdquo고 답한다
우리 자녀 세대는 지금 우리보다 훨씬 더 디지털 기기와 가깝게 지낼
것이다 시대가 변하고 있기 때문이다 더 흥미로운 기기들이 쏟아질
것이고 그에 맞는 교육 및 놀이 앱이 넘쳐날 것이다 하지만 시대가
변해도 변하지 않는 것은 존재한다 부모가 자녀와 디지털 생활에 대
해 이야기를 나눌 수 있는 환경은 신뢰를 바탕으로 한 그들의 아날로
그 생활에서의 환경이 조성하는 법이다 가족과 함께 서로의 디지털
생활에 대한 이야기를 나눠보는 시간을 갖는 것은 어떨까
자녀와 함께 TV 컴퓨터 스마트폰 등에 대한 이용 규칙을 정하고 스스로 통제할 수 있도록 동기를 부여해주는 것이 좋다 만약 약속을 어겼을
경우 벌칙도 명확히 해둔다 예를 들어 주말에만 컴퓨터 게임을 하기로 했는데 어겼다면 다음 주말 컴퓨터 이용 시간을 줄이는 식이다 초등학
교 3~4학년만 돼도 아이들은 SNS에 흥미를 느끼기 시작한다 이때 부모는 아이가 어떤 게시물을 올리고 다운로드하는지 관심을 가질 필요가
있다 인터넷상에 올린 글이나 영상은 쉽게 공유될 수 있으며 지우는 것도 쉽지 않다는 점에 대해서도 알려줘야 한다
중middot고등학생 자율성 존중하되 방치해선 안 돼
ldquo스마트폰 그만하고 공부해rdquo와 같은 강압적인 지시는 되레 부작용을 낳을 수 있다 중middot고등학생의 자녀와의 디지털 페어런팅에서 가장 중요한
것은 자율성을 존중하되 방치해서는 안 된다는 점이다 아이가 적당히 조절하며 디지털 기기를 사용하고 있다면 문제 없지만 걱정할 정도로 몰
입돼 있는 상황이라면 가정의 디지털 페어런팅 방식을 다시 점검해봐야 한다 과몰입 상태는 적절한 교육으로 가정에서 바로 잡을 수 있지만 중
독의 수준이라면 상황이 달라진다 이런 경우 아이가 디지털 기기에 빠진 원인을 찾고 이를 해결하기 위해 전문가 상담 및 치료를 받아야 한다
[그림 1] 컴퓨터가 없는 발도로프 학교에 대해 다룬 뉴욕타임즈 기사
(출처 httpwwwnytimescom20111023technologyat-waldorf-school-in-silicon-valley-technology-can-waithtml)
참고 자료
신의진(2013) 디지털 세상이 아이를 아프게 한다 북클라우드
구본권(2014) 당신을 공유하시겠습니까 어크로스
25
보안 통계와 이슈 S T A T I S T I C S
[그림 2]는 2016년 4월 한 달간 유포된 악성코드를 주요 유형별로 집
계한 결과이다 불필요한 프로그램인 PUP(Potentially Unwanted
Program)가 5948로 가장 높은 비중을 차지했고 트로이목마
(Trojan) 계열의 악성코드가 168 웜(Worm)이 347의 비율로
그 뒤를 이었다
지난 4월 한 달간 탐지된 모바일 악성코드는 24만 7847건으로 집계
됐다
안랩 시큐리티대응센터(이하 ASEC)는 최근 ASEC Report Vol76를 통해 지난 2016년 4월의 보안 통계 및 이슈를 전했다 지난 4월
의 주요 보안 이슈를 살펴본다
파일 속성 변경하는 리눅스 악성코드 등장
안랩 4월 악성코드 통계 및 보안 이슈 발표
[그림 1] 악성코드 추이(2016년 2월~2016년 4월)
ASEC이 집계한 바에 따르면 2016년 4월 한 달간 탐지된 악성코드
수는 1156만 4967건으로 나타났다 이는 전월 1321만 2012건에
비해 164만 7045건 감소한 수치다 한편 4월에 수집된 악성코드 샘
플 수는 324만 5837건이다
샘플 수집 수탐지 건수
[그림 2] 2016년 4월 주요 악성코드 유형
Adware DownloaderWormTrojanetcPUP
[그림 3] 모바일 악성코드 추이(2016년 2월 ~ 2016년 4월)
5000000
6000000
10000000
20000000
30000000
40000000
1000000
2000000
3000000
4000000
4월3월2월
11830547 1156496713212012
324
583
7
354
858
1
349
346
8
347
168
1939
5948072
014
100000
200000
300000
500000
600000
700000
400000
0
4월3월2월
247847256512
323301
26
또한 지난 4월 악성코드 유포지로 악용된 도메인은 648개 URL은
2216개로 집계됐다 4월의 악성 도메인 및 URL 차단 건수는 총 637
만 3536건이다
이와 같은 경우 lsquolsattrrsquo 명령을 통해 해당 파일의 속성을 조회하면 [그
림 7]과 같이 lsquoirsquo 속성이 추가되어 있음을 확인할 수 있다
리눅스 악성코드 lsquo빌게이츠 봇넷rsquo 발견
최근 리눅스(Linux) 운영체제에서 감염 시스템의 정보 수집 시스
템 파일 교체 DDoS 공격 등을 수행하는 lsquo빌게이츠 봇넷(BillGates
botnet)rsquo이 발견됐다 해당 악성코드는 감염 시스템 내에서 속성이 변
경되어 삭제가 불가능해 리눅스 사용자들의 피해가 우려된다
빌게이츠 봇넷은 서버에 침입 후 파일의 속성을 변경하여 악성코드를
삭제할 수 없도록 설정한다 리눅스 시스템에서 악성코드 감염에 의
해 파일 속성이 변경된 경우 이를 삭제할 수 있는 방법을 자세히 살
펴보자
먼저 공격자가 파일의 속성을 변경한 후 [그림 5]와 같이 삭제 시도를
하면 lsquo실행이 허가되지 않았다(Operation not permitted)rsquo라는 메시
지가 출력되며 해당 파일이 삭제되지 않는다
이처럼 lsquoirsquo 속성이 추가되어 있는 경우에는 [그림 8]과 같이 루트 권한
으로 lsquochattrrsquo 명령을 통해 해당 파일의 속성을 변경한 후 다시 삭제
를 시도하면 해당 파일이 정상적으로 삭제된다
파일의 속성 추가(chattr)는 lsquo+[추가할 속성]rsquo 제거는 lsquondash[제거할 속성]rsquo
을 통하여 수행할 수 있으며 lsquo-Rrsquo 옵션을 추가로 부여하는 경우에는
하위 디렉터리까지 모두 포함되어 적용된다 이는 윈도우(Windows)
운영체제의 lsquoattirbrsquo 명령과 유사하다
이때 만일 관리자가 파일이 삭제되지 않는 원인을 파일 권한 문제라
고 생각하고 파일 시스템에 기록된 정보를 이용하여 루트 계정 및
inode를 제거하는 방법으로 다시 삭제를 시도하면 마찬가지로 동일
한 메시지가 발생하며 파일이 삭제되지 않는다
이번 리눅스 악성코드 사례와 같이 파일의 속성이 변경되어 삭제가
불가한 경우가 있어 권한 뿐만 아니라 파일 속성에 대해서도 다시 한
번 확인하는 것이 필요하다 단 중요 파일이나 로그 파일 등은 lsquoirsquo나
lsquoarsquo 속성을 적용하는 정상적인 경우도 있다 즉 이러한 속성이 적용되
어 있는 파일이라고 해서 모두 악성 파일은 아니므로 정확히 악성으
로 확인된 파일에 대해서만 삭제를 진행할 것을 권장한다
최근 리눅스 운영체제를 노리는 악성코드가 꾸준히 증가하고 있다
DDoS 공격이나 백도어 등 리눅스 악성코드의 기능도 다양해지고 있
으며 앞으로 더욱 고도화될 것으로 예상된다 리눅스 시스템도 안전
하게 이용하기 위해서는 반드시 암호를 설정해야 하며 최신 보안 업
데이트를 적용해야 한다
V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지하고
있다
ltV3 제품군의 진단명gt
LinuxBackdoor1223123B
[그림 5] RM 명령어를 통한 삭제 시도
[그림 6] INODE 제거를 통한 삭제 시도
[그림 4] 악성코드 유포 도메인URL 탐지 및 차단 건수(2016년 2월 ~ 2016년 4월)
악성 도메인URL 차단 건수 악성코드 유포 URL 수악성코드 유포 도메인 수
10000
20000
30000
8000000
9000000
40000
7000000
6000000
5000000
4000000
04월
221681467900
6481587936
3월2월
6373536
7157616
6355582
[그림 7] 파일 속성 조회
[표 1] 리눅스 파일 속성 및 lsquoCHATTRrsquo 명령어 예시
[그림 8] 파일 속성 변경 후 제거 시도
[명령어 예시 (i S 속성 추가)]
chattr + iS samples
[파일 속성명 중 일부] [설명]
a (CAP LINUX IMMUTABLE capability) 추가 작성만 가능 삭제 불가
I (CAP LINUX IMMUTABLE capability) 삭제 변경 링크 파일 생성 등
S 파일이 변경되면 디스크 동기화
u 파일 삭제 시 내용 백업
2727
A H N L A B N E W S
현대자동차 그룹 IT서비스 전문업체인 현대오토에버가 최근 lsquo5스타
우수 개발협력사rsquo로 안랩을 선정했다
lsquo현대오토에버 우수 개발협력사rsquo는 현대오토에버가 협력사와 공동
으로 수행한 전년도 사업의 수행 실적에 따라 1스타부터 5스타까지
우수협력사를 선정하고 이에 따른 다양한 인센티브를 제공하는 프
로그램이다
안랩은 현대오토에버의 개발컨설팅 협력사로서 프로젝트 평가 및
업체 종합 평가 등에서 안정적이고 우수한 프로젝트 성과를 인정받
아 최고 등급인 lsquo5스타rsquo 우수 개발협력사로 선정됐다 안랩 서비스
사업부를 총괄하는 방인구 상무는 ldquo안랩은 핵심가치인 lsquo고객만족rsquo을
기준으로 맡은 사업에 대해 언제나 최선을 다하고 있다rdquo며 ldquo안랩을
신뢰해주시는 여러 회사와 함께 동반성장할 수 있도록 노력하겠다rdquo
고 말했다
안랩이 지난달 17일 코엑스 컨벤션센터에서 열린 lsquo아마존 웹 서비
스 글로벌 서밋 서울 2016(이하 AWS 서밋 서울 2016)rsquo에서 다양
한 산업 관계자를 대상으로 lsquo안랩 AWS 고객 원격 보안관제 서비스rsquo
를 소개했다
AWS 서밋 서울 2016은 아마존 웹 서비스가 제공하는 클라우드 컴
퓨팅 서비스에 대한 지식을 공유하고 IT 업계의 최신 기술 트렌드 등
을 소개하는 행사로 지난해 첫 국내 개최에 이어 두 번째로 열렸다
이번 행사에 참가한 안랩은 전용 부스를 운영하며 lsquo안랩 AWS 고객
원격 보안관제 서비스rsquo에 대한 개별 고객 상담 및 서비스 체험 신청
등을 진행했다 안랩 AWS 고객 원격 보안관제 서비스는 네트워크
및 웹 서비스 등에 대한 보안을 안랩의 침해대응(CERT) 전문인력이
원격으로 모니터링 및 관리해주는 서비스다
또한 별도 발표장에서 진행된 미니 발표 세션에서 안랩 서비스상
품기획팀 김준호 대리는 안랩 AWS 고객 원격 보안관제 서비스의
개요 및 구성을 비롯하여 탐지를 넘어 위협 분석까지 제공하는
침해사고 대응 프로세스 미디어사 O2O(Online to Offline 온오
프라인 연결) 서비스 제조 분야의 실제 고객 사례를 통한 다양한
산업별 서비스 적용 방안 등 lsquo안랩 AWS 고객 원격 보안관제 서비
스rsquo의 개념과 강점을 소개했다
안랩 김준호 대리는 ldquo안랩은 lsquoAWS 고객 원격 보안관제 서비스rsquo를
지난 1월 출시한 이후 약 4개월 여 만에 이미 복수의 대형 고객사
를 확보하는 등 검증된 서비스를 제공하고 있다rdquo며 ldquo이는 많은 고객
사에서 단순 탐지를 넘어 위협 분석 및 대응까지 가능한 안랩의 전
문성을 인정한 것으로 볼 수 있다rdquo고 강조했다
현대오토에버
lsquo우수 개발협력사rsquo로 안랩 선정
안랩 lsquoAWS 서밋 서울 2016rsquo에서
클라우드 보안관제 서비스 소개
안랩은 AWS 서밋 서울 2016 행사에서 전용 부스와 발표 세션을 통해 안랩 AWS 고객 원격 보안관제 서비스를 소개했다
발행인 권치중
발행처 주식회사 안랩
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
편집인 안랩 콘텐츠기획팀
디자인 안랩 디자인팀
copy 2016 AhnLab Inc All rights reserved
본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제 복사 검색 시스템
으로 저장 또는 전송될 수 없습니다 안랩 안랩 로고는 안랩의 등록상표입
니다 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상
표일 수 있습니다 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
copy 2016 AhnLab Inc All rights reserved
httpwwwahnlabcom
httpblogahnlabcom
httptwittercomahnlab_man
2222
법률rsquo에 따른 전화 권유 판매자가 육성으로 전화 권유를 하는 경우가
그 중 하나였다 개정 법에서는 lsquo수신자에게 개인정보의 수집출처를 고
지하고rsquo라는 조건이 추가됨으로써 한결 까다로워졌다
4) 개인정보의 국외 이전 유형에 따른 동의 요건 완화
모처럼 개인정보보호 담당자한테 반가운 개선 조항이 생겼다 개인정
보의 국외 이전은 정통망법에서 논란이 되던 문제였다 개인정보보호
법은 국외에 제3자 제공할 경우만 정보주체의 동의 받으라고 되어 있
는데 정통망법에선 lsquo이전rsquo할 때 동의를 받으라고만 되어 있었기 때문에
제3자 제공과 위탁의 경우를 달리 적용하기 어려웠던 것이다 개정안
에서는 lsquo국외로 이전하려면rsquo이라고 되어 있던 조항을 lsquo국외에 제공(조회
되는 경우를 포함한다)middot처리위탁middot보관(이하 이 조에서 ldquo이전rdquo이라 한
다)하려면rsquo이라고 풀어서 표현하고 lsquo다만 정보통신서비스의 제공에 관
한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서
제3항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자
우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는
개인정보 처리위탁middot보관에 따른 동의절차를 거치지 아니할 수 있다rsquo라
는 단서 조항을 더 함으로써 국외 이전의 경우에도 위탁업무일 경우엔
동의 받지 않고 처리할 수 있도록 하였다 (개인정보보호법과 일치시킨
셈이다)
5) 노출된 개인정보의 삭제 차단 조치 의무화
웹사이트에서 시험 합격자 명단 등을 공개할 때 관리자의 부주의로 주
민번호와 같은 고유식별정보를 포함시키는 일이 종종 발생하곤 한다
기존 법령에서도 개인정보의 노출을 통제할 책임은 정보처리자에게 부
여하고 있으나 이번 개정안에서는 별도의 조항으로 명시함으로써 책임
성을 부각하고 있다 관련 처벌이 따르지 않아 규범적 조항인 점이 그
나마 다행스럽다
6) 기타 사항
이상 중요한 사항은 짚어 보았고 다른 사항은 대부분 개인정보보호법
과 균형을 맞추기 위한 내용들이다 lsquo개인정보관리책임자rsquo란 용어는
개인정보보호법과 마찬가지로 lsquo개인정보보호책임자rsquo란 용어로 바뀌
었고 처벌 수준에 있어서도 주요 법 위반 시 위반행위에 관련된 이익
의 몰수 추징 조항이 신설되었다 내용의 파급력으로 보자면 충격이
클 수도 있는 제32조 제2항의 징벌적 손해배상도 이미 개인정보보호
법에 들어간 내용이기 때문에 기업 입장에서 새롭게 고민할 사항은
적을 듯하다
전기통신사업자와 정보통신서비스 제공자를 대상으로 하는 정보통신
망법과 일반법으로 적용되는 개인정보보호법은 개인정보보호의 규준
을 이루는 양대 법률이다 기업 입장에선 지나치게 자주 개정되어 정보
보호 업무 부담을 더하는 측면도 있다 하지만 이번 개정안은 두 법의
용어와 조항 처벌 수준 등을 통일함으로써 법 적용을 돕는 긍정적인
면이 훨씬 많을 듯하다 아무쪼록 이번 개정안이 적극 반영되어 사회
전반에서 더욱 안전한 개인정보보호 환경이 갖추어지기를 기대한다
기업에서 대응해야 할 업무 절차
1 전화 권유 판매 시 정보주체 사전 동의 획득 여부 확인
2 사전동의 미 획득 케이스인 경우 개인정보 수집출처 확인
3 개인정보 수집출처가 확인되지 않은 경우 개인정보 이용 중지
4 개인정보 수집출처가 확인된 경우 수집출처를 고객에게 고지하고 전화 권유 판매
기업에서 대응해야 할 업무 절차
1 개인정보의 해외 이전 유형 식별(제공처리위탁보관)
2 이전 유형 중 처리위탁보관의 경우 고지공개 여부 확인
3 이전 유형 중 제공의 경우 동의 여부 확인
4 2 3단계에서 미흡 사항 발견 시 개선 조치
중요도 업무영향도 대응업무부하
처 벌 없음
제32조의3(노출된 개인정보의 삭제middot차단) ① 정보통신서비스 제공자 등은 주민등록번호
계좌정보 신용카드정보 등 이용자의 개인정보가 정보통신망을 통하여 공중에 노출되지 않
도록 하여야 한다
② 정보통신서비스 제공자 등의 고의 또는 중대한 과실로 인하여 개인정보가 분실middot도난middot
유출middot위조middot변조 또는 훼손된 경우로서 이용자에게 손해가 발생한 때에는 법원은 그 손
해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다 다만 정보통신서비스
제공자 등이 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다 lt신설
2016322gt
기업에서 대응해야 할 업무 절차
1 시스템 내 개인정보 노출 현황 파악 (노출정보유형목적노출기간주관부서 등 현황 파악)
2 노출된 고유식별정보 및 금융정보 발견 시 삭제 또는 보호(마스킹 등) 조치
3 1~2의 반복적 이행 가급적 시스템화하는 것이 바람직함
중요도 업무영향도 대응업무부하
처 벌
- 2000만 원 이하의 과태료 공개나 고지 없이 개인정보를 국외에 처리위탁
보관한 경우
- 과징금 부과 정보주체의 동의 없이 개인정보를 국외에 제공한 경우
23
어릴 때부터 각종 디지털 기기의 사용이 능숙한 lsquo디지털 키즈(Digital kids)rsquo인 우리 자녀들을 위한 똑똑한 lsquo디지털 페어런팅(육아법)rsquo을 소개한
다 식당이나 카페에서 어린 자녀에게 스마트폰은 보여주고 있거나 자녀가 어린이날 선물로 스마트폰을 사달라고 조르는 경우 스마트폰 게임
이나 SNS에 빠져 있는 자녀 때문에 걱정인 부모들에게 필요한 자녀의 연령에 맞는 디지털 페어런팅이다 자녀가 성숙한 디지털 기기 사용 습
관을 기를 수 있도록 도와주는 것은 부모가 반드시 해야 하는 역할 중 하나다
몸짓을 이미지로 기억해 엄마의 의도를 파악한다 그다음 좌뇌가 발달하는데 좌뇌가 발달하기 시작하면 언어 발달이 이루어진다 그런데 이 시
기에 과도하게 스마트폰에 노출되면 우뇌가 충분히 발달하지 않은 상태에서 좌뇌가 발달하게 된다
우뇌가 제대로 발달하지 못하면 감정을 담당하는 뇌 발달에 영향을 줄 수 있는데 이는 다른 사람의 마음을 헤아리는 능력 다른 사람과 생각이
나 느낌을 주고 받는 능력 사고력 감정 조절력 부족으로 이어질 수 있다 우는 아이를 달래려고 부모가 편하게 밥을 먹기 위해서 흥미로운
자극을 주고 싶다는 이유로 이 시기 아이에게 건넨 스마트폰은 아이의 뇌에 치명적인 후유증을 남길 수 있음을 기억해야 한다
3~6세 유아기 부모의 통제 하에 사용해야
전문가들은 이 시기 아이에게도 디지털 기기의 사용을 권장하지는 않는다 하지만 현실적으로 쉽지 않다면 차선책을 선택해야 한다 부모가 디
지털 기기의 이용 시간 및 콘텐츠 등에 대해 확실한 기준을 갖고 있어야 한다 lsquo하루 30분 이상 넘기지 않으며 아이가 좋아하는 애니메이션 영상
과 동요 율동 영상만 본다rsquo는 식으로 말이다 아이의 손에 스마트폰을 맡겨버리면 의도하지 않은 영상에까지 노출될 우려가 있으니 주의해야 한다
약속한 시간 외에는 스마트폰을 아이의 손에 닿지 않는 곳에 두는 것이 좋다 이를 위해서는 부모 역시 스마트 기기 사용을 절제할 수 있어야
한다 아이들은 부모를 롤 모델로 삼아 그 태도와 습관을 배우기 때문이다 하지만 이 시기 아이가 스마트폰을 보여 달라고 강하게 떼를 쓰는
등 통제가 되지 않을 때는 당분간 아예 아이에게서 스마트폰을 분리하는 것이 효과적이다 스마트폰이 아닌 다른 방법으로 아이와 시간을 보
내는 법을 고민하는 것은 부모의 몫이다
0~3세 영유아기 스마트폰 잠시 건네는 것도 안 돼
이제 걸음마를 시작할 법한 아이가 스마트폰에 집중해 있는 모습을
본 적이 있을 것이다 우는 아이를 달래기 위해서 식당이나 카페에서
아이를 조용히 앉혀놓을 요량으로 부모는 어린 자녀의 손에 스마트폰
을 쥐여준다 하지만 전문가들은 이 시기의 아이에게 디지털 기기를
노출시키는 건 ldquo안 된다rdquo고 입을 모은다 lsquo영유아 스마트폰 증후군rsquo 등
의 부작용이 우려되기 때문이다
lsquo영유아 스마트폰 증후군rsquo이란 6세 미만의 아이들이 영상 게임 등의
지속적인 자극에 오랜 시간 노출되어 우뇌가 발달해야 하는 시기에
좌뇌가 지나치게 발달해 좌middot우뇌의 균형이 틀어지는 것을 말한다
영아기 아이는 우뇌가 먼저 발달하는데 엄마의 표정 목소리 눈짓
I T amp L I F E
내 아이를 지키는 rsquo디지털 페어런팅rsquo
스티브 잡스가 자녀에게 아이폰 아이패드와 같은 디지털 기기의 사용을 허락하지 않았다는 건 잘 알려진 사실이다 드론을 만드는 3D
로보틱스 CEO 크리스 앤더슨은 아이들이 사용하는 전자 기기의 사용 시간을 제한하고 부모가 통제할 수 있는 장치를 부착했다고 한
다 그는 ldquo테크놀로지의 위험을 잘 알고 있으며 아이들에게 그런 일이 일어나는 것을 원치 않는다rdquo며 그 이유를 설명했다 이들의 자녀
교육법이 전적으로 옳다고 말할 수는 없지만 어릴 때부터 디지털 기기 사용이 너무나 익숙한 우리 자녀들의 모습은 한 번쯤 돌아볼 필
요가 있다
24
6~10세 미만 디지털 기기 사용 가이드라인에 대해 설명해줘야
부모가 디지털 기기 사용 시간 및 사용 및 목록의 한계에 대한 가이드라인을 정하고 이에 대해 아이가 이해할 수 있도록 설명해주는 것이 좋
다 가이드 라인을 정할 때 아이의 생각을 들어보고 반영하는 것도 방법이다 디지털 기기 사용 가이드라인이 지켜질 수 있도록 온 가족이 노력
해야 함은 물론이다 TV를 보고 스마트 기기를 가지고 노는 것 자체가 문제가 될 수도 있지만 이로 인해 친구들과 뛰어놀며 신체활동을 하는
즐거움을 빼앗기지 않도록 하는 것도 중요함을 잊지 말아야 한다
10세 이상의 초등학생 스스로 규칙을 정하고 지킬 수 있도
록 동기 부여
부모들의 고민 중 하나는 lsquo아이에게 스마트폰을 언제 사줄 것인가rsquo다
아이의 하교 후 학원에서 학원으로 이동할 때마다 연락을 주고받기
위해 휴대전화가 필요할 수도 있다 요즘은 초등학교 입학과 함께 스
마트폰을 사주는 가정도 많다 친구들도 다 있다며 사달라고 떼를 쓰
는 아이의 마음도 이해 못 하는 바 아니지만 자녀에게 스마트폰을 사
주는 적당한 시기는 부모가 잘 판단해야 한다 아이가 스마트폰 사용
규칙을 지킬 수 있을 만큼 성숙한 상태여야 한다는 의미다 하고 싶어
도 참을 수 있는 절제력과 충동조절능력 좌절인내력이 바탕이 돼야
만 스스로 규칙을 지킬 수 있다
구글 애플 마이크로소프트 등 글로벌 IT 기업의 자녀들이 많이 다니
는 실리콘밸리에 발도로프 학교에는 컴퓨터가 없다 스크린 보드 빔
프로젝터 등의 멀티미디어 기기도 없으며 연필과 종이 분필 등을 이
용한 아날로그식 수업이 진행된다 이들은 우리나라 나이로 중학교 3
학년이 되는 8학년이 돼서야 컴퓨터를 서서히 배우기 시작한다 학생
들이 학교에 디지털 기기를 가져올 수도 없다 lsquo디지털 세상이 아이를
아프게 한다rsquo의 저자인 신의진 정신과 박사는 ldquo언제 자녀가 스마트폰
을 사용하면 좋냐rdquo는 질문에 ldquo늦을수록 좋다rdquo고 답한다
우리 자녀 세대는 지금 우리보다 훨씬 더 디지털 기기와 가깝게 지낼
것이다 시대가 변하고 있기 때문이다 더 흥미로운 기기들이 쏟아질
것이고 그에 맞는 교육 및 놀이 앱이 넘쳐날 것이다 하지만 시대가
변해도 변하지 않는 것은 존재한다 부모가 자녀와 디지털 생활에 대
해 이야기를 나눌 수 있는 환경은 신뢰를 바탕으로 한 그들의 아날로
그 생활에서의 환경이 조성하는 법이다 가족과 함께 서로의 디지털
생활에 대한 이야기를 나눠보는 시간을 갖는 것은 어떨까
자녀와 함께 TV 컴퓨터 스마트폰 등에 대한 이용 규칙을 정하고 스스로 통제할 수 있도록 동기를 부여해주는 것이 좋다 만약 약속을 어겼을
경우 벌칙도 명확히 해둔다 예를 들어 주말에만 컴퓨터 게임을 하기로 했는데 어겼다면 다음 주말 컴퓨터 이용 시간을 줄이는 식이다 초등학
교 3~4학년만 돼도 아이들은 SNS에 흥미를 느끼기 시작한다 이때 부모는 아이가 어떤 게시물을 올리고 다운로드하는지 관심을 가질 필요가
있다 인터넷상에 올린 글이나 영상은 쉽게 공유될 수 있으며 지우는 것도 쉽지 않다는 점에 대해서도 알려줘야 한다
중middot고등학생 자율성 존중하되 방치해선 안 돼
ldquo스마트폰 그만하고 공부해rdquo와 같은 강압적인 지시는 되레 부작용을 낳을 수 있다 중middot고등학생의 자녀와의 디지털 페어런팅에서 가장 중요한
것은 자율성을 존중하되 방치해서는 안 된다는 점이다 아이가 적당히 조절하며 디지털 기기를 사용하고 있다면 문제 없지만 걱정할 정도로 몰
입돼 있는 상황이라면 가정의 디지털 페어런팅 방식을 다시 점검해봐야 한다 과몰입 상태는 적절한 교육으로 가정에서 바로 잡을 수 있지만 중
독의 수준이라면 상황이 달라진다 이런 경우 아이가 디지털 기기에 빠진 원인을 찾고 이를 해결하기 위해 전문가 상담 및 치료를 받아야 한다
[그림 1] 컴퓨터가 없는 발도로프 학교에 대해 다룬 뉴욕타임즈 기사
(출처 httpwwwnytimescom20111023technologyat-waldorf-school-in-silicon-valley-technology-can-waithtml)
참고 자료
신의진(2013) 디지털 세상이 아이를 아프게 한다 북클라우드
구본권(2014) 당신을 공유하시겠습니까 어크로스
25
보안 통계와 이슈 S T A T I S T I C S
[그림 2]는 2016년 4월 한 달간 유포된 악성코드를 주요 유형별로 집
계한 결과이다 불필요한 프로그램인 PUP(Potentially Unwanted
Program)가 5948로 가장 높은 비중을 차지했고 트로이목마
(Trojan) 계열의 악성코드가 168 웜(Worm)이 347의 비율로
그 뒤를 이었다
지난 4월 한 달간 탐지된 모바일 악성코드는 24만 7847건으로 집계
됐다
안랩 시큐리티대응센터(이하 ASEC)는 최근 ASEC Report Vol76를 통해 지난 2016년 4월의 보안 통계 및 이슈를 전했다 지난 4월
의 주요 보안 이슈를 살펴본다
파일 속성 변경하는 리눅스 악성코드 등장
안랩 4월 악성코드 통계 및 보안 이슈 발표
[그림 1] 악성코드 추이(2016년 2월~2016년 4월)
ASEC이 집계한 바에 따르면 2016년 4월 한 달간 탐지된 악성코드
수는 1156만 4967건으로 나타났다 이는 전월 1321만 2012건에
비해 164만 7045건 감소한 수치다 한편 4월에 수집된 악성코드 샘
플 수는 324만 5837건이다
샘플 수집 수탐지 건수
[그림 2] 2016년 4월 주요 악성코드 유형
Adware DownloaderWormTrojanetcPUP
[그림 3] 모바일 악성코드 추이(2016년 2월 ~ 2016년 4월)
5000000
6000000
10000000
20000000
30000000
40000000
1000000
2000000
3000000
4000000
4월3월2월
11830547 1156496713212012
324
583
7
354
858
1
349
346
8
347
168
1939
5948072
014
100000
200000
300000
500000
600000
700000
400000
0
4월3월2월
247847256512
323301
26
또한 지난 4월 악성코드 유포지로 악용된 도메인은 648개 URL은
2216개로 집계됐다 4월의 악성 도메인 및 URL 차단 건수는 총 637
만 3536건이다
이와 같은 경우 lsquolsattrrsquo 명령을 통해 해당 파일의 속성을 조회하면 [그
림 7]과 같이 lsquoirsquo 속성이 추가되어 있음을 확인할 수 있다
리눅스 악성코드 lsquo빌게이츠 봇넷rsquo 발견
최근 리눅스(Linux) 운영체제에서 감염 시스템의 정보 수집 시스
템 파일 교체 DDoS 공격 등을 수행하는 lsquo빌게이츠 봇넷(BillGates
botnet)rsquo이 발견됐다 해당 악성코드는 감염 시스템 내에서 속성이 변
경되어 삭제가 불가능해 리눅스 사용자들의 피해가 우려된다
빌게이츠 봇넷은 서버에 침입 후 파일의 속성을 변경하여 악성코드를
삭제할 수 없도록 설정한다 리눅스 시스템에서 악성코드 감염에 의
해 파일 속성이 변경된 경우 이를 삭제할 수 있는 방법을 자세히 살
펴보자
먼저 공격자가 파일의 속성을 변경한 후 [그림 5]와 같이 삭제 시도를
하면 lsquo실행이 허가되지 않았다(Operation not permitted)rsquo라는 메시
지가 출력되며 해당 파일이 삭제되지 않는다
이처럼 lsquoirsquo 속성이 추가되어 있는 경우에는 [그림 8]과 같이 루트 권한
으로 lsquochattrrsquo 명령을 통해 해당 파일의 속성을 변경한 후 다시 삭제
를 시도하면 해당 파일이 정상적으로 삭제된다
파일의 속성 추가(chattr)는 lsquo+[추가할 속성]rsquo 제거는 lsquondash[제거할 속성]rsquo
을 통하여 수행할 수 있으며 lsquo-Rrsquo 옵션을 추가로 부여하는 경우에는
하위 디렉터리까지 모두 포함되어 적용된다 이는 윈도우(Windows)
운영체제의 lsquoattirbrsquo 명령과 유사하다
이때 만일 관리자가 파일이 삭제되지 않는 원인을 파일 권한 문제라
고 생각하고 파일 시스템에 기록된 정보를 이용하여 루트 계정 및
inode를 제거하는 방법으로 다시 삭제를 시도하면 마찬가지로 동일
한 메시지가 발생하며 파일이 삭제되지 않는다
이번 리눅스 악성코드 사례와 같이 파일의 속성이 변경되어 삭제가
불가한 경우가 있어 권한 뿐만 아니라 파일 속성에 대해서도 다시 한
번 확인하는 것이 필요하다 단 중요 파일이나 로그 파일 등은 lsquoirsquo나
lsquoarsquo 속성을 적용하는 정상적인 경우도 있다 즉 이러한 속성이 적용되
어 있는 파일이라고 해서 모두 악성 파일은 아니므로 정확히 악성으
로 확인된 파일에 대해서만 삭제를 진행할 것을 권장한다
최근 리눅스 운영체제를 노리는 악성코드가 꾸준히 증가하고 있다
DDoS 공격이나 백도어 등 리눅스 악성코드의 기능도 다양해지고 있
으며 앞으로 더욱 고도화될 것으로 예상된다 리눅스 시스템도 안전
하게 이용하기 위해서는 반드시 암호를 설정해야 하며 최신 보안 업
데이트를 적용해야 한다
V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지하고
있다
ltV3 제품군의 진단명gt
LinuxBackdoor1223123B
[그림 5] RM 명령어를 통한 삭제 시도
[그림 6] INODE 제거를 통한 삭제 시도
[그림 4] 악성코드 유포 도메인URL 탐지 및 차단 건수(2016년 2월 ~ 2016년 4월)
악성 도메인URL 차단 건수 악성코드 유포 URL 수악성코드 유포 도메인 수
10000
20000
30000
8000000
9000000
40000
7000000
6000000
5000000
4000000
04월
221681467900
6481587936
3월2월
6373536
7157616
6355582
[그림 7] 파일 속성 조회
[표 1] 리눅스 파일 속성 및 lsquoCHATTRrsquo 명령어 예시
[그림 8] 파일 속성 변경 후 제거 시도
[명령어 예시 (i S 속성 추가)]
chattr + iS samples
[파일 속성명 중 일부] [설명]
a (CAP LINUX IMMUTABLE capability) 추가 작성만 가능 삭제 불가
I (CAP LINUX IMMUTABLE capability) 삭제 변경 링크 파일 생성 등
S 파일이 변경되면 디스크 동기화
u 파일 삭제 시 내용 백업
2727
A H N L A B N E W S
현대자동차 그룹 IT서비스 전문업체인 현대오토에버가 최근 lsquo5스타
우수 개발협력사rsquo로 안랩을 선정했다
lsquo현대오토에버 우수 개발협력사rsquo는 현대오토에버가 협력사와 공동
으로 수행한 전년도 사업의 수행 실적에 따라 1스타부터 5스타까지
우수협력사를 선정하고 이에 따른 다양한 인센티브를 제공하는 프
로그램이다
안랩은 현대오토에버의 개발컨설팅 협력사로서 프로젝트 평가 및
업체 종합 평가 등에서 안정적이고 우수한 프로젝트 성과를 인정받
아 최고 등급인 lsquo5스타rsquo 우수 개발협력사로 선정됐다 안랩 서비스
사업부를 총괄하는 방인구 상무는 ldquo안랩은 핵심가치인 lsquo고객만족rsquo을
기준으로 맡은 사업에 대해 언제나 최선을 다하고 있다rdquo며 ldquo안랩을
신뢰해주시는 여러 회사와 함께 동반성장할 수 있도록 노력하겠다rdquo
고 말했다
안랩이 지난달 17일 코엑스 컨벤션센터에서 열린 lsquo아마존 웹 서비
스 글로벌 서밋 서울 2016(이하 AWS 서밋 서울 2016)rsquo에서 다양
한 산업 관계자를 대상으로 lsquo안랩 AWS 고객 원격 보안관제 서비스rsquo
를 소개했다
AWS 서밋 서울 2016은 아마존 웹 서비스가 제공하는 클라우드 컴
퓨팅 서비스에 대한 지식을 공유하고 IT 업계의 최신 기술 트렌드 등
을 소개하는 행사로 지난해 첫 국내 개최에 이어 두 번째로 열렸다
이번 행사에 참가한 안랩은 전용 부스를 운영하며 lsquo안랩 AWS 고객
원격 보안관제 서비스rsquo에 대한 개별 고객 상담 및 서비스 체험 신청
등을 진행했다 안랩 AWS 고객 원격 보안관제 서비스는 네트워크
및 웹 서비스 등에 대한 보안을 안랩의 침해대응(CERT) 전문인력이
원격으로 모니터링 및 관리해주는 서비스다
또한 별도 발표장에서 진행된 미니 발표 세션에서 안랩 서비스상
품기획팀 김준호 대리는 안랩 AWS 고객 원격 보안관제 서비스의
개요 및 구성을 비롯하여 탐지를 넘어 위협 분석까지 제공하는
침해사고 대응 프로세스 미디어사 O2O(Online to Offline 온오
프라인 연결) 서비스 제조 분야의 실제 고객 사례를 통한 다양한
산업별 서비스 적용 방안 등 lsquo안랩 AWS 고객 원격 보안관제 서비
스rsquo의 개념과 강점을 소개했다
안랩 김준호 대리는 ldquo안랩은 lsquoAWS 고객 원격 보안관제 서비스rsquo를
지난 1월 출시한 이후 약 4개월 여 만에 이미 복수의 대형 고객사
를 확보하는 등 검증된 서비스를 제공하고 있다rdquo며 ldquo이는 많은 고객
사에서 단순 탐지를 넘어 위협 분석 및 대응까지 가능한 안랩의 전
문성을 인정한 것으로 볼 수 있다rdquo고 강조했다
현대오토에버
lsquo우수 개발협력사rsquo로 안랩 선정
안랩 lsquoAWS 서밋 서울 2016rsquo에서
클라우드 보안관제 서비스 소개
안랩은 AWS 서밋 서울 2016 행사에서 전용 부스와 발표 세션을 통해 안랩 AWS 고객 원격 보안관제 서비스를 소개했다
발행인 권치중
발행처 주식회사 안랩
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
편집인 안랩 콘텐츠기획팀
디자인 안랩 디자인팀
copy 2016 AhnLab Inc All rights reserved
본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제 복사 검색 시스템
으로 저장 또는 전송될 수 없습니다 안랩 안랩 로고는 안랩의 등록상표입
니다 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상
표일 수 있습니다 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
copy 2016 AhnLab Inc All rights reserved
httpwwwahnlabcom
httpblogahnlabcom
httptwittercomahnlab_man
23
어릴 때부터 각종 디지털 기기의 사용이 능숙한 lsquo디지털 키즈(Digital kids)rsquo인 우리 자녀들을 위한 똑똑한 lsquo디지털 페어런팅(육아법)rsquo을 소개한
다 식당이나 카페에서 어린 자녀에게 스마트폰은 보여주고 있거나 자녀가 어린이날 선물로 스마트폰을 사달라고 조르는 경우 스마트폰 게임
이나 SNS에 빠져 있는 자녀 때문에 걱정인 부모들에게 필요한 자녀의 연령에 맞는 디지털 페어런팅이다 자녀가 성숙한 디지털 기기 사용 습
관을 기를 수 있도록 도와주는 것은 부모가 반드시 해야 하는 역할 중 하나다
몸짓을 이미지로 기억해 엄마의 의도를 파악한다 그다음 좌뇌가 발달하는데 좌뇌가 발달하기 시작하면 언어 발달이 이루어진다 그런데 이 시
기에 과도하게 스마트폰에 노출되면 우뇌가 충분히 발달하지 않은 상태에서 좌뇌가 발달하게 된다
우뇌가 제대로 발달하지 못하면 감정을 담당하는 뇌 발달에 영향을 줄 수 있는데 이는 다른 사람의 마음을 헤아리는 능력 다른 사람과 생각이
나 느낌을 주고 받는 능력 사고력 감정 조절력 부족으로 이어질 수 있다 우는 아이를 달래려고 부모가 편하게 밥을 먹기 위해서 흥미로운
자극을 주고 싶다는 이유로 이 시기 아이에게 건넨 스마트폰은 아이의 뇌에 치명적인 후유증을 남길 수 있음을 기억해야 한다
3~6세 유아기 부모의 통제 하에 사용해야
전문가들은 이 시기 아이에게도 디지털 기기의 사용을 권장하지는 않는다 하지만 현실적으로 쉽지 않다면 차선책을 선택해야 한다 부모가 디
지털 기기의 이용 시간 및 콘텐츠 등에 대해 확실한 기준을 갖고 있어야 한다 lsquo하루 30분 이상 넘기지 않으며 아이가 좋아하는 애니메이션 영상
과 동요 율동 영상만 본다rsquo는 식으로 말이다 아이의 손에 스마트폰을 맡겨버리면 의도하지 않은 영상에까지 노출될 우려가 있으니 주의해야 한다
약속한 시간 외에는 스마트폰을 아이의 손에 닿지 않는 곳에 두는 것이 좋다 이를 위해서는 부모 역시 스마트 기기 사용을 절제할 수 있어야
한다 아이들은 부모를 롤 모델로 삼아 그 태도와 습관을 배우기 때문이다 하지만 이 시기 아이가 스마트폰을 보여 달라고 강하게 떼를 쓰는
등 통제가 되지 않을 때는 당분간 아예 아이에게서 스마트폰을 분리하는 것이 효과적이다 스마트폰이 아닌 다른 방법으로 아이와 시간을 보
내는 법을 고민하는 것은 부모의 몫이다
0~3세 영유아기 스마트폰 잠시 건네는 것도 안 돼
이제 걸음마를 시작할 법한 아이가 스마트폰에 집중해 있는 모습을
본 적이 있을 것이다 우는 아이를 달래기 위해서 식당이나 카페에서
아이를 조용히 앉혀놓을 요량으로 부모는 어린 자녀의 손에 스마트폰
을 쥐여준다 하지만 전문가들은 이 시기의 아이에게 디지털 기기를
노출시키는 건 ldquo안 된다rdquo고 입을 모은다 lsquo영유아 스마트폰 증후군rsquo 등
의 부작용이 우려되기 때문이다
lsquo영유아 스마트폰 증후군rsquo이란 6세 미만의 아이들이 영상 게임 등의
지속적인 자극에 오랜 시간 노출되어 우뇌가 발달해야 하는 시기에
좌뇌가 지나치게 발달해 좌middot우뇌의 균형이 틀어지는 것을 말한다
영아기 아이는 우뇌가 먼저 발달하는데 엄마의 표정 목소리 눈짓
I T amp L I F E
내 아이를 지키는 rsquo디지털 페어런팅rsquo
스티브 잡스가 자녀에게 아이폰 아이패드와 같은 디지털 기기의 사용을 허락하지 않았다는 건 잘 알려진 사실이다 드론을 만드는 3D
로보틱스 CEO 크리스 앤더슨은 아이들이 사용하는 전자 기기의 사용 시간을 제한하고 부모가 통제할 수 있는 장치를 부착했다고 한
다 그는 ldquo테크놀로지의 위험을 잘 알고 있으며 아이들에게 그런 일이 일어나는 것을 원치 않는다rdquo며 그 이유를 설명했다 이들의 자녀
교육법이 전적으로 옳다고 말할 수는 없지만 어릴 때부터 디지털 기기 사용이 너무나 익숙한 우리 자녀들의 모습은 한 번쯤 돌아볼 필
요가 있다
24
6~10세 미만 디지털 기기 사용 가이드라인에 대해 설명해줘야
부모가 디지털 기기 사용 시간 및 사용 및 목록의 한계에 대한 가이드라인을 정하고 이에 대해 아이가 이해할 수 있도록 설명해주는 것이 좋
다 가이드 라인을 정할 때 아이의 생각을 들어보고 반영하는 것도 방법이다 디지털 기기 사용 가이드라인이 지켜질 수 있도록 온 가족이 노력
해야 함은 물론이다 TV를 보고 스마트 기기를 가지고 노는 것 자체가 문제가 될 수도 있지만 이로 인해 친구들과 뛰어놀며 신체활동을 하는
즐거움을 빼앗기지 않도록 하는 것도 중요함을 잊지 말아야 한다
10세 이상의 초등학생 스스로 규칙을 정하고 지킬 수 있도
록 동기 부여
부모들의 고민 중 하나는 lsquo아이에게 스마트폰을 언제 사줄 것인가rsquo다
아이의 하교 후 학원에서 학원으로 이동할 때마다 연락을 주고받기
위해 휴대전화가 필요할 수도 있다 요즘은 초등학교 입학과 함께 스
마트폰을 사주는 가정도 많다 친구들도 다 있다며 사달라고 떼를 쓰
는 아이의 마음도 이해 못 하는 바 아니지만 자녀에게 스마트폰을 사
주는 적당한 시기는 부모가 잘 판단해야 한다 아이가 스마트폰 사용
규칙을 지킬 수 있을 만큼 성숙한 상태여야 한다는 의미다 하고 싶어
도 참을 수 있는 절제력과 충동조절능력 좌절인내력이 바탕이 돼야
만 스스로 규칙을 지킬 수 있다
구글 애플 마이크로소프트 등 글로벌 IT 기업의 자녀들이 많이 다니
는 실리콘밸리에 발도로프 학교에는 컴퓨터가 없다 스크린 보드 빔
프로젝터 등의 멀티미디어 기기도 없으며 연필과 종이 분필 등을 이
용한 아날로그식 수업이 진행된다 이들은 우리나라 나이로 중학교 3
학년이 되는 8학년이 돼서야 컴퓨터를 서서히 배우기 시작한다 학생
들이 학교에 디지털 기기를 가져올 수도 없다 lsquo디지털 세상이 아이를
아프게 한다rsquo의 저자인 신의진 정신과 박사는 ldquo언제 자녀가 스마트폰
을 사용하면 좋냐rdquo는 질문에 ldquo늦을수록 좋다rdquo고 답한다
우리 자녀 세대는 지금 우리보다 훨씬 더 디지털 기기와 가깝게 지낼
것이다 시대가 변하고 있기 때문이다 더 흥미로운 기기들이 쏟아질
것이고 그에 맞는 교육 및 놀이 앱이 넘쳐날 것이다 하지만 시대가
변해도 변하지 않는 것은 존재한다 부모가 자녀와 디지털 생활에 대
해 이야기를 나눌 수 있는 환경은 신뢰를 바탕으로 한 그들의 아날로
그 생활에서의 환경이 조성하는 법이다 가족과 함께 서로의 디지털
생활에 대한 이야기를 나눠보는 시간을 갖는 것은 어떨까
자녀와 함께 TV 컴퓨터 스마트폰 등에 대한 이용 규칙을 정하고 스스로 통제할 수 있도록 동기를 부여해주는 것이 좋다 만약 약속을 어겼을
경우 벌칙도 명확히 해둔다 예를 들어 주말에만 컴퓨터 게임을 하기로 했는데 어겼다면 다음 주말 컴퓨터 이용 시간을 줄이는 식이다 초등학
교 3~4학년만 돼도 아이들은 SNS에 흥미를 느끼기 시작한다 이때 부모는 아이가 어떤 게시물을 올리고 다운로드하는지 관심을 가질 필요가
있다 인터넷상에 올린 글이나 영상은 쉽게 공유될 수 있으며 지우는 것도 쉽지 않다는 점에 대해서도 알려줘야 한다
중middot고등학생 자율성 존중하되 방치해선 안 돼
ldquo스마트폰 그만하고 공부해rdquo와 같은 강압적인 지시는 되레 부작용을 낳을 수 있다 중middot고등학생의 자녀와의 디지털 페어런팅에서 가장 중요한
것은 자율성을 존중하되 방치해서는 안 된다는 점이다 아이가 적당히 조절하며 디지털 기기를 사용하고 있다면 문제 없지만 걱정할 정도로 몰
입돼 있는 상황이라면 가정의 디지털 페어런팅 방식을 다시 점검해봐야 한다 과몰입 상태는 적절한 교육으로 가정에서 바로 잡을 수 있지만 중
독의 수준이라면 상황이 달라진다 이런 경우 아이가 디지털 기기에 빠진 원인을 찾고 이를 해결하기 위해 전문가 상담 및 치료를 받아야 한다
[그림 1] 컴퓨터가 없는 발도로프 학교에 대해 다룬 뉴욕타임즈 기사
(출처 httpwwwnytimescom20111023technologyat-waldorf-school-in-silicon-valley-technology-can-waithtml)
참고 자료
신의진(2013) 디지털 세상이 아이를 아프게 한다 북클라우드
구본권(2014) 당신을 공유하시겠습니까 어크로스
25
보안 통계와 이슈 S T A T I S T I C S
[그림 2]는 2016년 4월 한 달간 유포된 악성코드를 주요 유형별로 집
계한 결과이다 불필요한 프로그램인 PUP(Potentially Unwanted
Program)가 5948로 가장 높은 비중을 차지했고 트로이목마
(Trojan) 계열의 악성코드가 168 웜(Worm)이 347의 비율로
그 뒤를 이었다
지난 4월 한 달간 탐지된 모바일 악성코드는 24만 7847건으로 집계
됐다
안랩 시큐리티대응센터(이하 ASEC)는 최근 ASEC Report Vol76를 통해 지난 2016년 4월의 보안 통계 및 이슈를 전했다 지난 4월
의 주요 보안 이슈를 살펴본다
파일 속성 변경하는 리눅스 악성코드 등장
안랩 4월 악성코드 통계 및 보안 이슈 발표
[그림 1] 악성코드 추이(2016년 2월~2016년 4월)
ASEC이 집계한 바에 따르면 2016년 4월 한 달간 탐지된 악성코드
수는 1156만 4967건으로 나타났다 이는 전월 1321만 2012건에
비해 164만 7045건 감소한 수치다 한편 4월에 수집된 악성코드 샘
플 수는 324만 5837건이다
샘플 수집 수탐지 건수
[그림 2] 2016년 4월 주요 악성코드 유형
Adware DownloaderWormTrojanetcPUP
[그림 3] 모바일 악성코드 추이(2016년 2월 ~ 2016년 4월)
5000000
6000000
10000000
20000000
30000000
40000000
1000000
2000000
3000000
4000000
4월3월2월
11830547 1156496713212012
324
583
7
354
858
1
349
346
8
347
168
1939
5948072
014
100000
200000
300000
500000
600000
700000
400000
0
4월3월2월
247847256512
323301
26
또한 지난 4월 악성코드 유포지로 악용된 도메인은 648개 URL은
2216개로 집계됐다 4월의 악성 도메인 및 URL 차단 건수는 총 637
만 3536건이다
이와 같은 경우 lsquolsattrrsquo 명령을 통해 해당 파일의 속성을 조회하면 [그
림 7]과 같이 lsquoirsquo 속성이 추가되어 있음을 확인할 수 있다
리눅스 악성코드 lsquo빌게이츠 봇넷rsquo 발견
최근 리눅스(Linux) 운영체제에서 감염 시스템의 정보 수집 시스
템 파일 교체 DDoS 공격 등을 수행하는 lsquo빌게이츠 봇넷(BillGates
botnet)rsquo이 발견됐다 해당 악성코드는 감염 시스템 내에서 속성이 변
경되어 삭제가 불가능해 리눅스 사용자들의 피해가 우려된다
빌게이츠 봇넷은 서버에 침입 후 파일의 속성을 변경하여 악성코드를
삭제할 수 없도록 설정한다 리눅스 시스템에서 악성코드 감염에 의
해 파일 속성이 변경된 경우 이를 삭제할 수 있는 방법을 자세히 살
펴보자
먼저 공격자가 파일의 속성을 변경한 후 [그림 5]와 같이 삭제 시도를
하면 lsquo실행이 허가되지 않았다(Operation not permitted)rsquo라는 메시
지가 출력되며 해당 파일이 삭제되지 않는다
이처럼 lsquoirsquo 속성이 추가되어 있는 경우에는 [그림 8]과 같이 루트 권한
으로 lsquochattrrsquo 명령을 통해 해당 파일의 속성을 변경한 후 다시 삭제
를 시도하면 해당 파일이 정상적으로 삭제된다
파일의 속성 추가(chattr)는 lsquo+[추가할 속성]rsquo 제거는 lsquondash[제거할 속성]rsquo
을 통하여 수행할 수 있으며 lsquo-Rrsquo 옵션을 추가로 부여하는 경우에는
하위 디렉터리까지 모두 포함되어 적용된다 이는 윈도우(Windows)
운영체제의 lsquoattirbrsquo 명령과 유사하다
이때 만일 관리자가 파일이 삭제되지 않는 원인을 파일 권한 문제라
고 생각하고 파일 시스템에 기록된 정보를 이용하여 루트 계정 및
inode를 제거하는 방법으로 다시 삭제를 시도하면 마찬가지로 동일
한 메시지가 발생하며 파일이 삭제되지 않는다
이번 리눅스 악성코드 사례와 같이 파일의 속성이 변경되어 삭제가
불가한 경우가 있어 권한 뿐만 아니라 파일 속성에 대해서도 다시 한
번 확인하는 것이 필요하다 단 중요 파일이나 로그 파일 등은 lsquoirsquo나
lsquoarsquo 속성을 적용하는 정상적인 경우도 있다 즉 이러한 속성이 적용되
어 있는 파일이라고 해서 모두 악성 파일은 아니므로 정확히 악성으
로 확인된 파일에 대해서만 삭제를 진행할 것을 권장한다
최근 리눅스 운영체제를 노리는 악성코드가 꾸준히 증가하고 있다
DDoS 공격이나 백도어 등 리눅스 악성코드의 기능도 다양해지고 있
으며 앞으로 더욱 고도화될 것으로 예상된다 리눅스 시스템도 안전
하게 이용하기 위해서는 반드시 암호를 설정해야 하며 최신 보안 업
데이트를 적용해야 한다
V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지하고
있다
ltV3 제품군의 진단명gt
LinuxBackdoor1223123B
[그림 5] RM 명령어를 통한 삭제 시도
[그림 6] INODE 제거를 통한 삭제 시도
[그림 4] 악성코드 유포 도메인URL 탐지 및 차단 건수(2016년 2월 ~ 2016년 4월)
악성 도메인URL 차단 건수 악성코드 유포 URL 수악성코드 유포 도메인 수
10000
20000
30000
8000000
9000000
40000
7000000
6000000
5000000
4000000
04월
221681467900
6481587936
3월2월
6373536
7157616
6355582
[그림 7] 파일 속성 조회
[표 1] 리눅스 파일 속성 및 lsquoCHATTRrsquo 명령어 예시
[그림 8] 파일 속성 변경 후 제거 시도
[명령어 예시 (i S 속성 추가)]
chattr + iS samples
[파일 속성명 중 일부] [설명]
a (CAP LINUX IMMUTABLE capability) 추가 작성만 가능 삭제 불가
I (CAP LINUX IMMUTABLE capability) 삭제 변경 링크 파일 생성 등
S 파일이 변경되면 디스크 동기화
u 파일 삭제 시 내용 백업
2727
A H N L A B N E W S
현대자동차 그룹 IT서비스 전문업체인 현대오토에버가 최근 lsquo5스타
우수 개발협력사rsquo로 안랩을 선정했다
lsquo현대오토에버 우수 개발협력사rsquo는 현대오토에버가 협력사와 공동
으로 수행한 전년도 사업의 수행 실적에 따라 1스타부터 5스타까지
우수협력사를 선정하고 이에 따른 다양한 인센티브를 제공하는 프
로그램이다
안랩은 현대오토에버의 개발컨설팅 협력사로서 프로젝트 평가 및
업체 종합 평가 등에서 안정적이고 우수한 프로젝트 성과를 인정받
아 최고 등급인 lsquo5스타rsquo 우수 개발협력사로 선정됐다 안랩 서비스
사업부를 총괄하는 방인구 상무는 ldquo안랩은 핵심가치인 lsquo고객만족rsquo을
기준으로 맡은 사업에 대해 언제나 최선을 다하고 있다rdquo며 ldquo안랩을
신뢰해주시는 여러 회사와 함께 동반성장할 수 있도록 노력하겠다rdquo
고 말했다
안랩이 지난달 17일 코엑스 컨벤션센터에서 열린 lsquo아마존 웹 서비
스 글로벌 서밋 서울 2016(이하 AWS 서밋 서울 2016)rsquo에서 다양
한 산업 관계자를 대상으로 lsquo안랩 AWS 고객 원격 보안관제 서비스rsquo
를 소개했다
AWS 서밋 서울 2016은 아마존 웹 서비스가 제공하는 클라우드 컴
퓨팅 서비스에 대한 지식을 공유하고 IT 업계의 최신 기술 트렌드 등
을 소개하는 행사로 지난해 첫 국내 개최에 이어 두 번째로 열렸다
이번 행사에 참가한 안랩은 전용 부스를 운영하며 lsquo안랩 AWS 고객
원격 보안관제 서비스rsquo에 대한 개별 고객 상담 및 서비스 체험 신청
등을 진행했다 안랩 AWS 고객 원격 보안관제 서비스는 네트워크
및 웹 서비스 등에 대한 보안을 안랩의 침해대응(CERT) 전문인력이
원격으로 모니터링 및 관리해주는 서비스다
또한 별도 발표장에서 진행된 미니 발표 세션에서 안랩 서비스상
품기획팀 김준호 대리는 안랩 AWS 고객 원격 보안관제 서비스의
개요 및 구성을 비롯하여 탐지를 넘어 위협 분석까지 제공하는
침해사고 대응 프로세스 미디어사 O2O(Online to Offline 온오
프라인 연결) 서비스 제조 분야의 실제 고객 사례를 통한 다양한
산업별 서비스 적용 방안 등 lsquo안랩 AWS 고객 원격 보안관제 서비
스rsquo의 개념과 강점을 소개했다
안랩 김준호 대리는 ldquo안랩은 lsquoAWS 고객 원격 보안관제 서비스rsquo를
지난 1월 출시한 이후 약 4개월 여 만에 이미 복수의 대형 고객사
를 확보하는 등 검증된 서비스를 제공하고 있다rdquo며 ldquo이는 많은 고객
사에서 단순 탐지를 넘어 위협 분석 및 대응까지 가능한 안랩의 전
문성을 인정한 것으로 볼 수 있다rdquo고 강조했다
현대오토에버
lsquo우수 개발협력사rsquo로 안랩 선정
안랩 lsquoAWS 서밋 서울 2016rsquo에서
클라우드 보안관제 서비스 소개
안랩은 AWS 서밋 서울 2016 행사에서 전용 부스와 발표 세션을 통해 안랩 AWS 고객 원격 보안관제 서비스를 소개했다
발행인 권치중
발행처 주식회사 안랩
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
편집인 안랩 콘텐츠기획팀
디자인 안랩 디자인팀
copy 2016 AhnLab Inc All rights reserved
본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제 복사 검색 시스템
으로 저장 또는 전송될 수 없습니다 안랩 안랩 로고는 안랩의 등록상표입
니다 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상
표일 수 있습니다 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
copy 2016 AhnLab Inc All rights reserved
httpwwwahnlabcom
httpblogahnlabcom
httptwittercomahnlab_man
24
6~10세 미만 디지털 기기 사용 가이드라인에 대해 설명해줘야
부모가 디지털 기기 사용 시간 및 사용 및 목록의 한계에 대한 가이드라인을 정하고 이에 대해 아이가 이해할 수 있도록 설명해주는 것이 좋
다 가이드 라인을 정할 때 아이의 생각을 들어보고 반영하는 것도 방법이다 디지털 기기 사용 가이드라인이 지켜질 수 있도록 온 가족이 노력
해야 함은 물론이다 TV를 보고 스마트 기기를 가지고 노는 것 자체가 문제가 될 수도 있지만 이로 인해 친구들과 뛰어놀며 신체활동을 하는
즐거움을 빼앗기지 않도록 하는 것도 중요함을 잊지 말아야 한다
10세 이상의 초등학생 스스로 규칙을 정하고 지킬 수 있도
록 동기 부여
부모들의 고민 중 하나는 lsquo아이에게 스마트폰을 언제 사줄 것인가rsquo다
아이의 하교 후 학원에서 학원으로 이동할 때마다 연락을 주고받기
위해 휴대전화가 필요할 수도 있다 요즘은 초등학교 입학과 함께 스
마트폰을 사주는 가정도 많다 친구들도 다 있다며 사달라고 떼를 쓰
는 아이의 마음도 이해 못 하는 바 아니지만 자녀에게 스마트폰을 사
주는 적당한 시기는 부모가 잘 판단해야 한다 아이가 스마트폰 사용
규칙을 지킬 수 있을 만큼 성숙한 상태여야 한다는 의미다 하고 싶어
도 참을 수 있는 절제력과 충동조절능력 좌절인내력이 바탕이 돼야
만 스스로 규칙을 지킬 수 있다
구글 애플 마이크로소프트 등 글로벌 IT 기업의 자녀들이 많이 다니
는 실리콘밸리에 발도로프 학교에는 컴퓨터가 없다 스크린 보드 빔
프로젝터 등의 멀티미디어 기기도 없으며 연필과 종이 분필 등을 이
용한 아날로그식 수업이 진행된다 이들은 우리나라 나이로 중학교 3
학년이 되는 8학년이 돼서야 컴퓨터를 서서히 배우기 시작한다 학생
들이 학교에 디지털 기기를 가져올 수도 없다 lsquo디지털 세상이 아이를
아프게 한다rsquo의 저자인 신의진 정신과 박사는 ldquo언제 자녀가 스마트폰
을 사용하면 좋냐rdquo는 질문에 ldquo늦을수록 좋다rdquo고 답한다
우리 자녀 세대는 지금 우리보다 훨씬 더 디지털 기기와 가깝게 지낼
것이다 시대가 변하고 있기 때문이다 더 흥미로운 기기들이 쏟아질
것이고 그에 맞는 교육 및 놀이 앱이 넘쳐날 것이다 하지만 시대가
변해도 변하지 않는 것은 존재한다 부모가 자녀와 디지털 생활에 대
해 이야기를 나눌 수 있는 환경은 신뢰를 바탕으로 한 그들의 아날로
그 생활에서의 환경이 조성하는 법이다 가족과 함께 서로의 디지털
생활에 대한 이야기를 나눠보는 시간을 갖는 것은 어떨까
자녀와 함께 TV 컴퓨터 스마트폰 등에 대한 이용 규칙을 정하고 스스로 통제할 수 있도록 동기를 부여해주는 것이 좋다 만약 약속을 어겼을
경우 벌칙도 명확히 해둔다 예를 들어 주말에만 컴퓨터 게임을 하기로 했는데 어겼다면 다음 주말 컴퓨터 이용 시간을 줄이는 식이다 초등학
교 3~4학년만 돼도 아이들은 SNS에 흥미를 느끼기 시작한다 이때 부모는 아이가 어떤 게시물을 올리고 다운로드하는지 관심을 가질 필요가
있다 인터넷상에 올린 글이나 영상은 쉽게 공유될 수 있으며 지우는 것도 쉽지 않다는 점에 대해서도 알려줘야 한다
중middot고등학생 자율성 존중하되 방치해선 안 돼
ldquo스마트폰 그만하고 공부해rdquo와 같은 강압적인 지시는 되레 부작용을 낳을 수 있다 중middot고등학생의 자녀와의 디지털 페어런팅에서 가장 중요한
것은 자율성을 존중하되 방치해서는 안 된다는 점이다 아이가 적당히 조절하며 디지털 기기를 사용하고 있다면 문제 없지만 걱정할 정도로 몰
입돼 있는 상황이라면 가정의 디지털 페어런팅 방식을 다시 점검해봐야 한다 과몰입 상태는 적절한 교육으로 가정에서 바로 잡을 수 있지만 중
독의 수준이라면 상황이 달라진다 이런 경우 아이가 디지털 기기에 빠진 원인을 찾고 이를 해결하기 위해 전문가 상담 및 치료를 받아야 한다
[그림 1] 컴퓨터가 없는 발도로프 학교에 대해 다룬 뉴욕타임즈 기사
(출처 httpwwwnytimescom20111023technologyat-waldorf-school-in-silicon-valley-technology-can-waithtml)
참고 자료
신의진(2013) 디지털 세상이 아이를 아프게 한다 북클라우드
구본권(2014) 당신을 공유하시겠습니까 어크로스
25
보안 통계와 이슈 S T A T I S T I C S
[그림 2]는 2016년 4월 한 달간 유포된 악성코드를 주요 유형별로 집
계한 결과이다 불필요한 프로그램인 PUP(Potentially Unwanted
Program)가 5948로 가장 높은 비중을 차지했고 트로이목마
(Trojan) 계열의 악성코드가 168 웜(Worm)이 347의 비율로
그 뒤를 이었다
지난 4월 한 달간 탐지된 모바일 악성코드는 24만 7847건으로 집계
됐다
안랩 시큐리티대응센터(이하 ASEC)는 최근 ASEC Report Vol76를 통해 지난 2016년 4월의 보안 통계 및 이슈를 전했다 지난 4월
의 주요 보안 이슈를 살펴본다
파일 속성 변경하는 리눅스 악성코드 등장
안랩 4월 악성코드 통계 및 보안 이슈 발표
[그림 1] 악성코드 추이(2016년 2월~2016년 4월)
ASEC이 집계한 바에 따르면 2016년 4월 한 달간 탐지된 악성코드
수는 1156만 4967건으로 나타났다 이는 전월 1321만 2012건에
비해 164만 7045건 감소한 수치다 한편 4월에 수집된 악성코드 샘
플 수는 324만 5837건이다
샘플 수집 수탐지 건수
[그림 2] 2016년 4월 주요 악성코드 유형
Adware DownloaderWormTrojanetcPUP
[그림 3] 모바일 악성코드 추이(2016년 2월 ~ 2016년 4월)
5000000
6000000
10000000
20000000
30000000
40000000
1000000
2000000
3000000
4000000
4월3월2월
11830547 1156496713212012
324
583
7
354
858
1
349
346
8
347
168
1939
5948072
014
100000
200000
300000
500000
600000
700000
400000
0
4월3월2월
247847256512
323301
26
또한 지난 4월 악성코드 유포지로 악용된 도메인은 648개 URL은
2216개로 집계됐다 4월의 악성 도메인 및 URL 차단 건수는 총 637
만 3536건이다
이와 같은 경우 lsquolsattrrsquo 명령을 통해 해당 파일의 속성을 조회하면 [그
림 7]과 같이 lsquoirsquo 속성이 추가되어 있음을 확인할 수 있다
리눅스 악성코드 lsquo빌게이츠 봇넷rsquo 발견
최근 리눅스(Linux) 운영체제에서 감염 시스템의 정보 수집 시스
템 파일 교체 DDoS 공격 등을 수행하는 lsquo빌게이츠 봇넷(BillGates
botnet)rsquo이 발견됐다 해당 악성코드는 감염 시스템 내에서 속성이 변
경되어 삭제가 불가능해 리눅스 사용자들의 피해가 우려된다
빌게이츠 봇넷은 서버에 침입 후 파일의 속성을 변경하여 악성코드를
삭제할 수 없도록 설정한다 리눅스 시스템에서 악성코드 감염에 의
해 파일 속성이 변경된 경우 이를 삭제할 수 있는 방법을 자세히 살
펴보자
먼저 공격자가 파일의 속성을 변경한 후 [그림 5]와 같이 삭제 시도를
하면 lsquo실행이 허가되지 않았다(Operation not permitted)rsquo라는 메시
지가 출력되며 해당 파일이 삭제되지 않는다
이처럼 lsquoirsquo 속성이 추가되어 있는 경우에는 [그림 8]과 같이 루트 권한
으로 lsquochattrrsquo 명령을 통해 해당 파일의 속성을 변경한 후 다시 삭제
를 시도하면 해당 파일이 정상적으로 삭제된다
파일의 속성 추가(chattr)는 lsquo+[추가할 속성]rsquo 제거는 lsquondash[제거할 속성]rsquo
을 통하여 수행할 수 있으며 lsquo-Rrsquo 옵션을 추가로 부여하는 경우에는
하위 디렉터리까지 모두 포함되어 적용된다 이는 윈도우(Windows)
운영체제의 lsquoattirbrsquo 명령과 유사하다
이때 만일 관리자가 파일이 삭제되지 않는 원인을 파일 권한 문제라
고 생각하고 파일 시스템에 기록된 정보를 이용하여 루트 계정 및
inode를 제거하는 방법으로 다시 삭제를 시도하면 마찬가지로 동일
한 메시지가 발생하며 파일이 삭제되지 않는다
이번 리눅스 악성코드 사례와 같이 파일의 속성이 변경되어 삭제가
불가한 경우가 있어 권한 뿐만 아니라 파일 속성에 대해서도 다시 한
번 확인하는 것이 필요하다 단 중요 파일이나 로그 파일 등은 lsquoirsquo나
lsquoarsquo 속성을 적용하는 정상적인 경우도 있다 즉 이러한 속성이 적용되
어 있는 파일이라고 해서 모두 악성 파일은 아니므로 정확히 악성으
로 확인된 파일에 대해서만 삭제를 진행할 것을 권장한다
최근 리눅스 운영체제를 노리는 악성코드가 꾸준히 증가하고 있다
DDoS 공격이나 백도어 등 리눅스 악성코드의 기능도 다양해지고 있
으며 앞으로 더욱 고도화될 것으로 예상된다 리눅스 시스템도 안전
하게 이용하기 위해서는 반드시 암호를 설정해야 하며 최신 보안 업
데이트를 적용해야 한다
V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지하고
있다
ltV3 제품군의 진단명gt
LinuxBackdoor1223123B
[그림 5] RM 명령어를 통한 삭제 시도
[그림 6] INODE 제거를 통한 삭제 시도
[그림 4] 악성코드 유포 도메인URL 탐지 및 차단 건수(2016년 2월 ~ 2016년 4월)
악성 도메인URL 차단 건수 악성코드 유포 URL 수악성코드 유포 도메인 수
10000
20000
30000
8000000
9000000
40000
7000000
6000000
5000000
4000000
04월
221681467900
6481587936
3월2월
6373536
7157616
6355582
[그림 7] 파일 속성 조회
[표 1] 리눅스 파일 속성 및 lsquoCHATTRrsquo 명령어 예시
[그림 8] 파일 속성 변경 후 제거 시도
[명령어 예시 (i S 속성 추가)]
chattr + iS samples
[파일 속성명 중 일부] [설명]
a (CAP LINUX IMMUTABLE capability) 추가 작성만 가능 삭제 불가
I (CAP LINUX IMMUTABLE capability) 삭제 변경 링크 파일 생성 등
S 파일이 변경되면 디스크 동기화
u 파일 삭제 시 내용 백업
2727
A H N L A B N E W S
현대자동차 그룹 IT서비스 전문업체인 현대오토에버가 최근 lsquo5스타
우수 개발협력사rsquo로 안랩을 선정했다
lsquo현대오토에버 우수 개발협력사rsquo는 현대오토에버가 협력사와 공동
으로 수행한 전년도 사업의 수행 실적에 따라 1스타부터 5스타까지
우수협력사를 선정하고 이에 따른 다양한 인센티브를 제공하는 프
로그램이다
안랩은 현대오토에버의 개발컨설팅 협력사로서 프로젝트 평가 및
업체 종합 평가 등에서 안정적이고 우수한 프로젝트 성과를 인정받
아 최고 등급인 lsquo5스타rsquo 우수 개발협력사로 선정됐다 안랩 서비스
사업부를 총괄하는 방인구 상무는 ldquo안랩은 핵심가치인 lsquo고객만족rsquo을
기준으로 맡은 사업에 대해 언제나 최선을 다하고 있다rdquo며 ldquo안랩을
신뢰해주시는 여러 회사와 함께 동반성장할 수 있도록 노력하겠다rdquo
고 말했다
안랩이 지난달 17일 코엑스 컨벤션센터에서 열린 lsquo아마존 웹 서비
스 글로벌 서밋 서울 2016(이하 AWS 서밋 서울 2016)rsquo에서 다양
한 산업 관계자를 대상으로 lsquo안랩 AWS 고객 원격 보안관제 서비스rsquo
를 소개했다
AWS 서밋 서울 2016은 아마존 웹 서비스가 제공하는 클라우드 컴
퓨팅 서비스에 대한 지식을 공유하고 IT 업계의 최신 기술 트렌드 등
을 소개하는 행사로 지난해 첫 국내 개최에 이어 두 번째로 열렸다
이번 행사에 참가한 안랩은 전용 부스를 운영하며 lsquo안랩 AWS 고객
원격 보안관제 서비스rsquo에 대한 개별 고객 상담 및 서비스 체험 신청
등을 진행했다 안랩 AWS 고객 원격 보안관제 서비스는 네트워크
및 웹 서비스 등에 대한 보안을 안랩의 침해대응(CERT) 전문인력이
원격으로 모니터링 및 관리해주는 서비스다
또한 별도 발표장에서 진행된 미니 발표 세션에서 안랩 서비스상
품기획팀 김준호 대리는 안랩 AWS 고객 원격 보안관제 서비스의
개요 및 구성을 비롯하여 탐지를 넘어 위협 분석까지 제공하는
침해사고 대응 프로세스 미디어사 O2O(Online to Offline 온오
프라인 연결) 서비스 제조 분야의 실제 고객 사례를 통한 다양한
산업별 서비스 적용 방안 등 lsquo안랩 AWS 고객 원격 보안관제 서비
스rsquo의 개념과 강점을 소개했다
안랩 김준호 대리는 ldquo안랩은 lsquoAWS 고객 원격 보안관제 서비스rsquo를
지난 1월 출시한 이후 약 4개월 여 만에 이미 복수의 대형 고객사
를 확보하는 등 검증된 서비스를 제공하고 있다rdquo며 ldquo이는 많은 고객
사에서 단순 탐지를 넘어 위협 분석 및 대응까지 가능한 안랩의 전
문성을 인정한 것으로 볼 수 있다rdquo고 강조했다
현대오토에버
lsquo우수 개발협력사rsquo로 안랩 선정
안랩 lsquoAWS 서밋 서울 2016rsquo에서
클라우드 보안관제 서비스 소개
안랩은 AWS 서밋 서울 2016 행사에서 전용 부스와 발표 세션을 통해 안랩 AWS 고객 원격 보안관제 서비스를 소개했다
발행인 권치중
발행처 주식회사 안랩
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
편집인 안랩 콘텐츠기획팀
디자인 안랩 디자인팀
copy 2016 AhnLab Inc All rights reserved
본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제 복사 검색 시스템
으로 저장 또는 전송될 수 없습니다 안랩 안랩 로고는 안랩의 등록상표입
니다 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상
표일 수 있습니다 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
copy 2016 AhnLab Inc All rights reserved
httpwwwahnlabcom
httpblogahnlabcom
httptwittercomahnlab_man
25
보안 통계와 이슈 S T A T I S T I C S
[그림 2]는 2016년 4월 한 달간 유포된 악성코드를 주요 유형별로 집
계한 결과이다 불필요한 프로그램인 PUP(Potentially Unwanted
Program)가 5948로 가장 높은 비중을 차지했고 트로이목마
(Trojan) 계열의 악성코드가 168 웜(Worm)이 347의 비율로
그 뒤를 이었다
지난 4월 한 달간 탐지된 모바일 악성코드는 24만 7847건으로 집계
됐다
안랩 시큐리티대응센터(이하 ASEC)는 최근 ASEC Report Vol76를 통해 지난 2016년 4월의 보안 통계 및 이슈를 전했다 지난 4월
의 주요 보안 이슈를 살펴본다
파일 속성 변경하는 리눅스 악성코드 등장
안랩 4월 악성코드 통계 및 보안 이슈 발표
[그림 1] 악성코드 추이(2016년 2월~2016년 4월)
ASEC이 집계한 바에 따르면 2016년 4월 한 달간 탐지된 악성코드
수는 1156만 4967건으로 나타났다 이는 전월 1321만 2012건에
비해 164만 7045건 감소한 수치다 한편 4월에 수집된 악성코드 샘
플 수는 324만 5837건이다
샘플 수집 수탐지 건수
[그림 2] 2016년 4월 주요 악성코드 유형
Adware DownloaderWormTrojanetcPUP
[그림 3] 모바일 악성코드 추이(2016년 2월 ~ 2016년 4월)
5000000
6000000
10000000
20000000
30000000
40000000
1000000
2000000
3000000
4000000
4월3월2월
11830547 1156496713212012
324
583
7
354
858
1
349
346
8
347
168
1939
5948072
014
100000
200000
300000
500000
600000
700000
400000
0
4월3월2월
247847256512
323301
26
또한 지난 4월 악성코드 유포지로 악용된 도메인은 648개 URL은
2216개로 집계됐다 4월의 악성 도메인 및 URL 차단 건수는 총 637
만 3536건이다
이와 같은 경우 lsquolsattrrsquo 명령을 통해 해당 파일의 속성을 조회하면 [그
림 7]과 같이 lsquoirsquo 속성이 추가되어 있음을 확인할 수 있다
리눅스 악성코드 lsquo빌게이츠 봇넷rsquo 발견
최근 리눅스(Linux) 운영체제에서 감염 시스템의 정보 수집 시스
템 파일 교체 DDoS 공격 등을 수행하는 lsquo빌게이츠 봇넷(BillGates
botnet)rsquo이 발견됐다 해당 악성코드는 감염 시스템 내에서 속성이 변
경되어 삭제가 불가능해 리눅스 사용자들의 피해가 우려된다
빌게이츠 봇넷은 서버에 침입 후 파일의 속성을 변경하여 악성코드를
삭제할 수 없도록 설정한다 리눅스 시스템에서 악성코드 감염에 의
해 파일 속성이 변경된 경우 이를 삭제할 수 있는 방법을 자세히 살
펴보자
먼저 공격자가 파일의 속성을 변경한 후 [그림 5]와 같이 삭제 시도를
하면 lsquo실행이 허가되지 않았다(Operation not permitted)rsquo라는 메시
지가 출력되며 해당 파일이 삭제되지 않는다
이처럼 lsquoirsquo 속성이 추가되어 있는 경우에는 [그림 8]과 같이 루트 권한
으로 lsquochattrrsquo 명령을 통해 해당 파일의 속성을 변경한 후 다시 삭제
를 시도하면 해당 파일이 정상적으로 삭제된다
파일의 속성 추가(chattr)는 lsquo+[추가할 속성]rsquo 제거는 lsquondash[제거할 속성]rsquo
을 통하여 수행할 수 있으며 lsquo-Rrsquo 옵션을 추가로 부여하는 경우에는
하위 디렉터리까지 모두 포함되어 적용된다 이는 윈도우(Windows)
운영체제의 lsquoattirbrsquo 명령과 유사하다
이때 만일 관리자가 파일이 삭제되지 않는 원인을 파일 권한 문제라
고 생각하고 파일 시스템에 기록된 정보를 이용하여 루트 계정 및
inode를 제거하는 방법으로 다시 삭제를 시도하면 마찬가지로 동일
한 메시지가 발생하며 파일이 삭제되지 않는다
이번 리눅스 악성코드 사례와 같이 파일의 속성이 변경되어 삭제가
불가한 경우가 있어 권한 뿐만 아니라 파일 속성에 대해서도 다시 한
번 확인하는 것이 필요하다 단 중요 파일이나 로그 파일 등은 lsquoirsquo나
lsquoarsquo 속성을 적용하는 정상적인 경우도 있다 즉 이러한 속성이 적용되
어 있는 파일이라고 해서 모두 악성 파일은 아니므로 정확히 악성으
로 확인된 파일에 대해서만 삭제를 진행할 것을 권장한다
최근 리눅스 운영체제를 노리는 악성코드가 꾸준히 증가하고 있다
DDoS 공격이나 백도어 등 리눅스 악성코드의 기능도 다양해지고 있
으며 앞으로 더욱 고도화될 것으로 예상된다 리눅스 시스템도 안전
하게 이용하기 위해서는 반드시 암호를 설정해야 하며 최신 보안 업
데이트를 적용해야 한다
V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지하고
있다
ltV3 제품군의 진단명gt
LinuxBackdoor1223123B
[그림 5] RM 명령어를 통한 삭제 시도
[그림 6] INODE 제거를 통한 삭제 시도
[그림 4] 악성코드 유포 도메인URL 탐지 및 차단 건수(2016년 2월 ~ 2016년 4월)
악성 도메인URL 차단 건수 악성코드 유포 URL 수악성코드 유포 도메인 수
10000
20000
30000
8000000
9000000
40000
7000000
6000000
5000000
4000000
04월
221681467900
6481587936
3월2월
6373536
7157616
6355582
[그림 7] 파일 속성 조회
[표 1] 리눅스 파일 속성 및 lsquoCHATTRrsquo 명령어 예시
[그림 8] 파일 속성 변경 후 제거 시도
[명령어 예시 (i S 속성 추가)]
chattr + iS samples
[파일 속성명 중 일부] [설명]
a (CAP LINUX IMMUTABLE capability) 추가 작성만 가능 삭제 불가
I (CAP LINUX IMMUTABLE capability) 삭제 변경 링크 파일 생성 등
S 파일이 변경되면 디스크 동기화
u 파일 삭제 시 내용 백업
2727
A H N L A B N E W S
현대자동차 그룹 IT서비스 전문업체인 현대오토에버가 최근 lsquo5스타
우수 개발협력사rsquo로 안랩을 선정했다
lsquo현대오토에버 우수 개발협력사rsquo는 현대오토에버가 협력사와 공동
으로 수행한 전년도 사업의 수행 실적에 따라 1스타부터 5스타까지
우수협력사를 선정하고 이에 따른 다양한 인센티브를 제공하는 프
로그램이다
안랩은 현대오토에버의 개발컨설팅 협력사로서 프로젝트 평가 및
업체 종합 평가 등에서 안정적이고 우수한 프로젝트 성과를 인정받
아 최고 등급인 lsquo5스타rsquo 우수 개발협력사로 선정됐다 안랩 서비스
사업부를 총괄하는 방인구 상무는 ldquo안랩은 핵심가치인 lsquo고객만족rsquo을
기준으로 맡은 사업에 대해 언제나 최선을 다하고 있다rdquo며 ldquo안랩을
신뢰해주시는 여러 회사와 함께 동반성장할 수 있도록 노력하겠다rdquo
고 말했다
안랩이 지난달 17일 코엑스 컨벤션센터에서 열린 lsquo아마존 웹 서비
스 글로벌 서밋 서울 2016(이하 AWS 서밋 서울 2016)rsquo에서 다양
한 산업 관계자를 대상으로 lsquo안랩 AWS 고객 원격 보안관제 서비스rsquo
를 소개했다
AWS 서밋 서울 2016은 아마존 웹 서비스가 제공하는 클라우드 컴
퓨팅 서비스에 대한 지식을 공유하고 IT 업계의 최신 기술 트렌드 등
을 소개하는 행사로 지난해 첫 국내 개최에 이어 두 번째로 열렸다
이번 행사에 참가한 안랩은 전용 부스를 운영하며 lsquo안랩 AWS 고객
원격 보안관제 서비스rsquo에 대한 개별 고객 상담 및 서비스 체험 신청
등을 진행했다 안랩 AWS 고객 원격 보안관제 서비스는 네트워크
및 웹 서비스 등에 대한 보안을 안랩의 침해대응(CERT) 전문인력이
원격으로 모니터링 및 관리해주는 서비스다
또한 별도 발표장에서 진행된 미니 발표 세션에서 안랩 서비스상
품기획팀 김준호 대리는 안랩 AWS 고객 원격 보안관제 서비스의
개요 및 구성을 비롯하여 탐지를 넘어 위협 분석까지 제공하는
침해사고 대응 프로세스 미디어사 O2O(Online to Offline 온오
프라인 연결) 서비스 제조 분야의 실제 고객 사례를 통한 다양한
산업별 서비스 적용 방안 등 lsquo안랩 AWS 고객 원격 보안관제 서비
스rsquo의 개념과 강점을 소개했다
안랩 김준호 대리는 ldquo안랩은 lsquoAWS 고객 원격 보안관제 서비스rsquo를
지난 1월 출시한 이후 약 4개월 여 만에 이미 복수의 대형 고객사
를 확보하는 등 검증된 서비스를 제공하고 있다rdquo며 ldquo이는 많은 고객
사에서 단순 탐지를 넘어 위협 분석 및 대응까지 가능한 안랩의 전
문성을 인정한 것으로 볼 수 있다rdquo고 강조했다
현대오토에버
lsquo우수 개발협력사rsquo로 안랩 선정
안랩 lsquoAWS 서밋 서울 2016rsquo에서
클라우드 보안관제 서비스 소개
안랩은 AWS 서밋 서울 2016 행사에서 전용 부스와 발표 세션을 통해 안랩 AWS 고객 원격 보안관제 서비스를 소개했다
발행인 권치중
발행처 주식회사 안랩
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
편집인 안랩 콘텐츠기획팀
디자인 안랩 디자인팀
copy 2016 AhnLab Inc All rights reserved
본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제 복사 검색 시스템
으로 저장 또는 전송될 수 없습니다 안랩 안랩 로고는 안랩의 등록상표입
니다 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상
표일 수 있습니다 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
copy 2016 AhnLab Inc All rights reserved
httpwwwahnlabcom
httpblogahnlabcom
httptwittercomahnlab_man
26
또한 지난 4월 악성코드 유포지로 악용된 도메인은 648개 URL은
2216개로 집계됐다 4월의 악성 도메인 및 URL 차단 건수는 총 637
만 3536건이다
이와 같은 경우 lsquolsattrrsquo 명령을 통해 해당 파일의 속성을 조회하면 [그
림 7]과 같이 lsquoirsquo 속성이 추가되어 있음을 확인할 수 있다
리눅스 악성코드 lsquo빌게이츠 봇넷rsquo 발견
최근 리눅스(Linux) 운영체제에서 감염 시스템의 정보 수집 시스
템 파일 교체 DDoS 공격 등을 수행하는 lsquo빌게이츠 봇넷(BillGates
botnet)rsquo이 발견됐다 해당 악성코드는 감염 시스템 내에서 속성이 변
경되어 삭제가 불가능해 리눅스 사용자들의 피해가 우려된다
빌게이츠 봇넷은 서버에 침입 후 파일의 속성을 변경하여 악성코드를
삭제할 수 없도록 설정한다 리눅스 시스템에서 악성코드 감염에 의
해 파일 속성이 변경된 경우 이를 삭제할 수 있는 방법을 자세히 살
펴보자
먼저 공격자가 파일의 속성을 변경한 후 [그림 5]와 같이 삭제 시도를
하면 lsquo실행이 허가되지 않았다(Operation not permitted)rsquo라는 메시
지가 출력되며 해당 파일이 삭제되지 않는다
이처럼 lsquoirsquo 속성이 추가되어 있는 경우에는 [그림 8]과 같이 루트 권한
으로 lsquochattrrsquo 명령을 통해 해당 파일의 속성을 변경한 후 다시 삭제
를 시도하면 해당 파일이 정상적으로 삭제된다
파일의 속성 추가(chattr)는 lsquo+[추가할 속성]rsquo 제거는 lsquondash[제거할 속성]rsquo
을 통하여 수행할 수 있으며 lsquo-Rrsquo 옵션을 추가로 부여하는 경우에는
하위 디렉터리까지 모두 포함되어 적용된다 이는 윈도우(Windows)
운영체제의 lsquoattirbrsquo 명령과 유사하다
이때 만일 관리자가 파일이 삭제되지 않는 원인을 파일 권한 문제라
고 생각하고 파일 시스템에 기록된 정보를 이용하여 루트 계정 및
inode를 제거하는 방법으로 다시 삭제를 시도하면 마찬가지로 동일
한 메시지가 발생하며 파일이 삭제되지 않는다
이번 리눅스 악성코드 사례와 같이 파일의 속성이 변경되어 삭제가
불가한 경우가 있어 권한 뿐만 아니라 파일 속성에 대해서도 다시 한
번 확인하는 것이 필요하다 단 중요 파일이나 로그 파일 등은 lsquoirsquo나
lsquoarsquo 속성을 적용하는 정상적인 경우도 있다 즉 이러한 속성이 적용되
어 있는 파일이라고 해서 모두 악성 파일은 아니므로 정확히 악성으
로 확인된 파일에 대해서만 삭제를 진행할 것을 권장한다
최근 리눅스 운영체제를 노리는 악성코드가 꾸준히 증가하고 있다
DDoS 공격이나 백도어 등 리눅스 악성코드의 기능도 다양해지고 있
으며 앞으로 더욱 고도화될 것으로 예상된다 리눅스 시스템도 안전
하게 이용하기 위해서는 반드시 암호를 설정해야 하며 최신 보안 업
데이트를 적용해야 한다
V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지하고
있다
ltV3 제품군의 진단명gt
LinuxBackdoor1223123B
[그림 5] RM 명령어를 통한 삭제 시도
[그림 6] INODE 제거를 통한 삭제 시도
[그림 4] 악성코드 유포 도메인URL 탐지 및 차단 건수(2016년 2월 ~ 2016년 4월)
악성 도메인URL 차단 건수 악성코드 유포 URL 수악성코드 유포 도메인 수
10000
20000
30000
8000000
9000000
40000
7000000
6000000
5000000
4000000
04월
221681467900
6481587936
3월2월
6373536
7157616
6355582
[그림 7] 파일 속성 조회
[표 1] 리눅스 파일 속성 및 lsquoCHATTRrsquo 명령어 예시
[그림 8] 파일 속성 변경 후 제거 시도
[명령어 예시 (i S 속성 추가)]
chattr + iS samples
[파일 속성명 중 일부] [설명]
a (CAP LINUX IMMUTABLE capability) 추가 작성만 가능 삭제 불가
I (CAP LINUX IMMUTABLE capability) 삭제 변경 링크 파일 생성 등
S 파일이 변경되면 디스크 동기화
u 파일 삭제 시 내용 백업
2727
A H N L A B N E W S
현대자동차 그룹 IT서비스 전문업체인 현대오토에버가 최근 lsquo5스타
우수 개발협력사rsquo로 안랩을 선정했다
lsquo현대오토에버 우수 개발협력사rsquo는 현대오토에버가 협력사와 공동
으로 수행한 전년도 사업의 수행 실적에 따라 1스타부터 5스타까지
우수협력사를 선정하고 이에 따른 다양한 인센티브를 제공하는 프
로그램이다
안랩은 현대오토에버의 개발컨설팅 협력사로서 프로젝트 평가 및
업체 종합 평가 등에서 안정적이고 우수한 프로젝트 성과를 인정받
아 최고 등급인 lsquo5스타rsquo 우수 개발협력사로 선정됐다 안랩 서비스
사업부를 총괄하는 방인구 상무는 ldquo안랩은 핵심가치인 lsquo고객만족rsquo을
기준으로 맡은 사업에 대해 언제나 최선을 다하고 있다rdquo며 ldquo안랩을
신뢰해주시는 여러 회사와 함께 동반성장할 수 있도록 노력하겠다rdquo
고 말했다
안랩이 지난달 17일 코엑스 컨벤션센터에서 열린 lsquo아마존 웹 서비
스 글로벌 서밋 서울 2016(이하 AWS 서밋 서울 2016)rsquo에서 다양
한 산업 관계자를 대상으로 lsquo안랩 AWS 고객 원격 보안관제 서비스rsquo
를 소개했다
AWS 서밋 서울 2016은 아마존 웹 서비스가 제공하는 클라우드 컴
퓨팅 서비스에 대한 지식을 공유하고 IT 업계의 최신 기술 트렌드 등
을 소개하는 행사로 지난해 첫 국내 개최에 이어 두 번째로 열렸다
이번 행사에 참가한 안랩은 전용 부스를 운영하며 lsquo안랩 AWS 고객
원격 보안관제 서비스rsquo에 대한 개별 고객 상담 및 서비스 체험 신청
등을 진행했다 안랩 AWS 고객 원격 보안관제 서비스는 네트워크
및 웹 서비스 등에 대한 보안을 안랩의 침해대응(CERT) 전문인력이
원격으로 모니터링 및 관리해주는 서비스다
또한 별도 발표장에서 진행된 미니 발표 세션에서 안랩 서비스상
품기획팀 김준호 대리는 안랩 AWS 고객 원격 보안관제 서비스의
개요 및 구성을 비롯하여 탐지를 넘어 위협 분석까지 제공하는
침해사고 대응 프로세스 미디어사 O2O(Online to Offline 온오
프라인 연결) 서비스 제조 분야의 실제 고객 사례를 통한 다양한
산업별 서비스 적용 방안 등 lsquo안랩 AWS 고객 원격 보안관제 서비
스rsquo의 개념과 강점을 소개했다
안랩 김준호 대리는 ldquo안랩은 lsquoAWS 고객 원격 보안관제 서비스rsquo를
지난 1월 출시한 이후 약 4개월 여 만에 이미 복수의 대형 고객사
를 확보하는 등 검증된 서비스를 제공하고 있다rdquo며 ldquo이는 많은 고객
사에서 단순 탐지를 넘어 위협 분석 및 대응까지 가능한 안랩의 전
문성을 인정한 것으로 볼 수 있다rdquo고 강조했다
현대오토에버
lsquo우수 개발협력사rsquo로 안랩 선정
안랩 lsquoAWS 서밋 서울 2016rsquo에서
클라우드 보안관제 서비스 소개
안랩은 AWS 서밋 서울 2016 행사에서 전용 부스와 발표 세션을 통해 안랩 AWS 고객 원격 보안관제 서비스를 소개했다
발행인 권치중
발행처 주식회사 안랩
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
편집인 안랩 콘텐츠기획팀
디자인 안랩 디자인팀
copy 2016 AhnLab Inc All rights reserved
본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제 복사 검색 시스템
으로 저장 또는 전송될 수 없습니다 안랩 안랩 로고는 안랩의 등록상표입
니다 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상
표일 수 있습니다 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
copy 2016 AhnLab Inc All rights reserved
httpwwwahnlabcom
httpblogahnlabcom
httptwittercomahnlab_man
2727
A H N L A B N E W S
현대자동차 그룹 IT서비스 전문업체인 현대오토에버가 최근 lsquo5스타
우수 개발협력사rsquo로 안랩을 선정했다
lsquo현대오토에버 우수 개발협력사rsquo는 현대오토에버가 협력사와 공동
으로 수행한 전년도 사업의 수행 실적에 따라 1스타부터 5스타까지
우수협력사를 선정하고 이에 따른 다양한 인센티브를 제공하는 프
로그램이다
안랩은 현대오토에버의 개발컨설팅 협력사로서 프로젝트 평가 및
업체 종합 평가 등에서 안정적이고 우수한 프로젝트 성과를 인정받
아 최고 등급인 lsquo5스타rsquo 우수 개발협력사로 선정됐다 안랩 서비스
사업부를 총괄하는 방인구 상무는 ldquo안랩은 핵심가치인 lsquo고객만족rsquo을
기준으로 맡은 사업에 대해 언제나 최선을 다하고 있다rdquo며 ldquo안랩을
신뢰해주시는 여러 회사와 함께 동반성장할 수 있도록 노력하겠다rdquo
고 말했다
안랩이 지난달 17일 코엑스 컨벤션센터에서 열린 lsquo아마존 웹 서비
스 글로벌 서밋 서울 2016(이하 AWS 서밋 서울 2016)rsquo에서 다양
한 산업 관계자를 대상으로 lsquo안랩 AWS 고객 원격 보안관제 서비스rsquo
를 소개했다
AWS 서밋 서울 2016은 아마존 웹 서비스가 제공하는 클라우드 컴
퓨팅 서비스에 대한 지식을 공유하고 IT 업계의 최신 기술 트렌드 등
을 소개하는 행사로 지난해 첫 국내 개최에 이어 두 번째로 열렸다
이번 행사에 참가한 안랩은 전용 부스를 운영하며 lsquo안랩 AWS 고객
원격 보안관제 서비스rsquo에 대한 개별 고객 상담 및 서비스 체험 신청
등을 진행했다 안랩 AWS 고객 원격 보안관제 서비스는 네트워크
및 웹 서비스 등에 대한 보안을 안랩의 침해대응(CERT) 전문인력이
원격으로 모니터링 및 관리해주는 서비스다
또한 별도 발표장에서 진행된 미니 발표 세션에서 안랩 서비스상
품기획팀 김준호 대리는 안랩 AWS 고객 원격 보안관제 서비스의
개요 및 구성을 비롯하여 탐지를 넘어 위협 분석까지 제공하는
침해사고 대응 프로세스 미디어사 O2O(Online to Offline 온오
프라인 연결) 서비스 제조 분야의 실제 고객 사례를 통한 다양한
산업별 서비스 적용 방안 등 lsquo안랩 AWS 고객 원격 보안관제 서비
스rsquo의 개념과 강점을 소개했다
안랩 김준호 대리는 ldquo안랩은 lsquoAWS 고객 원격 보안관제 서비스rsquo를
지난 1월 출시한 이후 약 4개월 여 만에 이미 복수의 대형 고객사
를 확보하는 등 검증된 서비스를 제공하고 있다rdquo며 ldquo이는 많은 고객
사에서 단순 탐지를 넘어 위협 분석 및 대응까지 가능한 안랩의 전
문성을 인정한 것으로 볼 수 있다rdquo고 강조했다
현대오토에버
lsquo우수 개발협력사rsquo로 안랩 선정
안랩 lsquoAWS 서밋 서울 2016rsquo에서
클라우드 보안관제 서비스 소개
안랩은 AWS 서밋 서울 2016 행사에서 전용 부스와 발표 세션을 통해 안랩 AWS 고객 원격 보안관제 서비스를 소개했다
발행인 권치중
발행처 주식회사 안랩
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
편집인 안랩 콘텐츠기획팀
디자인 안랩 디자인팀
copy 2016 AhnLab Inc All rights reserved
본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제 복사 검색 시스템
으로 저장 또는 전송될 수 없습니다 안랩 안랩 로고는 안랩의 등록상표입
니다 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상
표일 수 있습니다 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
copy 2016 AhnLab Inc All rights reserved
httpwwwahnlabcom
httpblogahnlabcom
httptwittercomahnlab_man
발행인 권치중
발행처 주식회사 안랩
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
편집인 안랩 콘텐츠기획팀
디자인 안랩 디자인팀
copy 2016 AhnLab Inc All rights reserved
본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제 복사 검색 시스템
으로 저장 또는 전송될 수 없습니다 안랩 안랩 로고는 안랩의 등록상표입
니다 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상
표일 수 있습니다 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
copy 2016 AhnLab Inc All rights reserved
httpwwwahnlabcom
httpblogahnlabcom
httptwittercomahnlab_man
경기도 성남시 분당구 판교역로 220
T 031-722-8000 F 031-722-8901
copy 2016 AhnLab Inc All rights reserved
httpwwwahnlabcom
httpblogahnlabcom
httptwittercomahnlab_man