미소띠움

늘 마음만 앞서고 자주 연락하지 못했던 친구, 어색함이 앞서서 감사한 마음을 표현하지 못했던 선후배나 은사… 크리스마스나 연말 연시만큼 이런 마음을 표현하는데 적합한 시기는 없을 것이다. 그러나 매년 연말 연시가 되면 이러한 순수한 마음을 악용하는 악성코드 또는 피싱 등의 보안 위협이 성행하기도 한다. 지난 2010년 12월 9일, 크리스마스 카드를 위장한 Prolaco(Ackantta)웜 변형이 해외에서 발견되어 사용자들의 각별한 주의가 요구된다. 이번에 유포된 “1st Christmas Card”라는 제목의 메일은 SnowFairy.zip (530,895 바이트)라는 첨부파일을 포함하고 있다. 이 파일을 실행하면 시스템에서 메일 주소를 수집하여 웜이 첨부된 메일 발송하며 시스템 설정 정보와 개인 정보..

OWASP(Open Web Application Security Project)에서는 웹 애플리케이션 환경에서 가장 중요한 위험 10가지를 선정하여 발표하고 있다. 안철수연구소 ASEC Report에서는 OWASP Top 10에 대해 집중 소개할 예정이다. 이를 통해 고객들이 웹 애플리케이션 보안의 취약점을 인지하고 예방할 수 있기를 기대한다. 지난 호 인젝션(Injection)에 이어 이번 호에는 XSS(Cross Site Scripting, 이하 XSS)에 대해 집중 소개한다. XSS 공격은 OWASP 2010 Top 10에서는 인젝션에 이어 위험도 2위를 차지했다. 웹 애플리케이션 해킹 공격 중 하나인 XSS 공격은 웹 사이트를 변조하거나 악의적인 사이트로 유도하는 행위를 한다. 이를 통해 악성코드..

IT 기술의 발달은 우리의 생활 전반적으로 큰 변화로 만들어 왔었다. 이미 여러 차례에 걸쳐 경제적인 부분과 사회적인 부분에서도 IT 기술의 효율성은 증명되었으며 우리의 실생활에서도 역시 밀접하게 와 닿아 있다는 것을 누구나 몸소 느끼고 있을 것이다. 고대 그리스의 철학자인 아리스토텔레스는 인간을 사회적인 동물이라 이야기하며 인간이 가지는 사회적인 성형과 특성들에 대해 잘 묘사한 명언을 남겼다고 한다. 여기서 언급한 인간의 독특한 성향은 인간은 혼자서 생활하는 것이 아니라 모여서 하나의 집단과 사회를 만들고 구성하게 된다는 것이며 이러한 일련의 성향적 특성들은 현대 산업 사회의 뼈대가 되어 있는 IT 기술과도 맞물려지게도 되었다. 이러한 대표적인 사례로 소셜 네트워크 서비스(Social Network S..

최근 스마트폰을 많이 사용하고 있습니다. 휴대 전화 기능은 기본이고 게임, 음악에 동영상 등등 그리고 언제 어디서든 인터넷이 가능하다는 점에서 매력적인 것은 분명해 보입니다. 폭발적인 스마트폰의 판매로 인해 앱이라 불리는 어플리케이션이 만들어지고, 컨텐츠 마켓이라는 새로운 비즈니스 모델이 생겨나고 있습니다. 그리고 언제 어디서든 인터넷을 즐기고 싶어하는 사용자의 요구에 따라 보다 많은 곳에 와이파이라고 불리는 무선랜이 설치 되고 있습니다. 또한 집이나 회사에서도 무선랜을 이용하기 위해서 무선공유기 혹은 AP(Acess point)를 설치하고 있고, 수많은 와이파이와 AP의 증가로 인터넷의 접근은 쉬워졌습니다. 하지만 쉬워진 만큼 간과한 것이 바로 보안 문제 입니다. 잠깐 인터넷 사용하는데 얼마나 문제가 ..

스마트폰의 위험 요소와 보안 스마트폰은 보통 손으로 들고 다니는 컴퓨터와 비교되곤 한다. 스마트폰은 하나의 장소에 고정돼 있거나 필요한 경우에만 들고 다니면서 이용하는 노트북과 달리 하루 24시간 내내 사용자의 곁을 1m 이상 떨어지지 않고 꺼 놓는 일도 거의 없는 완벽하게 개인화돼 가는 장치(Personalized Device)라고 할 수 있다. 그러나 너무 개인화된 기기이기 때문에 잃어버리거나 도난당했을 경우 돌이킬 수 없는 손실을 보게 된다. 피쳐폰(스마트폰이 아닌 일반 휴대전화기)을 분실했을 경우에는 주소록 등의 개인 정보가 없어지는 피해가 가장 크겠지만 스마트폰은 회사의 e메일과 주소록이 통째로 유출될 수 있으며 개인적으로 이용하는 수많은 서비스들이 비밀 번호를 바꾸기 전까지 고스란히 노출될 수..

스팸(Spam) 이란 전자 우편, 게시판, 문자 메시지, 전화, 인터넷 포털 사이트의 쪽지 기능 등을 통해 불특정 다수의 사람들에게 보내는 광고성 편지 또는 메시지를 말한다. (Wikipedia 참고) 지금 우리는 선택사항이 아닌 필수사항이 되어버린 것처럼 원하지도 않는 스팸메일을 받아보고 있다. 스팸메일은 일반적으로 불특정 다수에게 특정 광고를 노출함으로써 수익을 얻기 위해 사용된다. 또 특정 타켓 서버나 특정 네트워크를 공격하기 위한 목적의 DDoS 공격으로 이용되거나, 다른 악성코드 감염을 유도하는 용도로도 많이 사용된다. 7.7 분산서비스거부(DDoS) 공격을 유발한 악성코드가 스팸메일과 웹사이트를 통해 전파되었다는 내용은 이미 많이 알려진 사실이다. 이렇듯 공격자가 피해자를 공격하기 위한 하나의..

[안전 이용 10대 수칙] 일단 의심가면 내려받지 말고 열지 말아야 바이러스·악성코드 등 조짐 보이면 즉시 ☎118 연락을 새로운 디지털제품이 나오면 먼저 써봐야 직성이 풀리는 ‘얼리어답터’ 나정보씨는 지난해 말 큰 맘 먹고 스마트폰을 구입했다. 사용해 보니 기존 핸드폰과는 차원이 달랐다. 애플리케이션(응용 프로그램) 마켓에 올라와 있는 재밌고 다양한 프로그램을 내려받아 써 본 사람이라면 스마트폰을 왜 ‘손안에 PC’라고 하는지 공감이 갈 것이라고 여겼다. 하지만 애플리케이션을 맘껏 즐기고 싶어도 요금 때문에 망설여진다. 나정보씨는 인터넷 검색 중에 무료 애플리케이션도 많다는 글을 본 적이 있는데, ’한번 내려받아 볼까‘하는 유혹에 빠지기도 한다. 지난해 11월 애플의 아이폰이 국내에 첫 출시된 후 경쟁..

2-2. 제로데이(0-day) 취약점 공격 취약점은 악성코드들이 전파를 위해 사용하는 중요한 수단이기 때문에 취약점을 통한 악성코드 전파위협은 과거로부터 충분히 인식되어 왔다. 특히, 제로데이(0-day) 취약점은 예방과 방어책이 아직 존재하지 않기 때문에 공격자에게는 전파 성공률과 확산을 높이는 더할나위없이 좋은 환경을 제공한다.올해에는 유난히 다수의 제로데이 취약점이 발표되었고, 이를 악용한 많은 악성코드 배포사례들도 보고되었다. 올해 MS사의 보안권고문(MS Security Advisory)을 통해 공식적으로 발표된 제로데이 취약점은 대략 20여개 정도이고, 이 외에 기타 애플리케이션에서도 다수의 제로데이 취약점들이 발표되었다. 다음은 (주)안철수연구소 ASEC 보안권고문을 통해 제공된 대표적인 제..

지난해에는 특히 네트워크와 관련된 악성코드 이슈가 많았다. 온 나라를 시끄럽게 했던 7.7 DDoS 인터넷 대란은 2003년 1.25 대란을 잇는 큰 사건으로 국내 인터넷 역사에 기억될 것이다. 많은 수의 좀비PC가 동원된 것을 미루어 볼 때 오래전부터 치밀하게 준비된 것으로 예상해볼 수 있다. 좀비PC들은 시간대별 스케쥴링 기능을 통해 총 3일 동안 각기 다른 공격 사이트를 다양한 공격 방식을 통해 공략하였다. 악성코드의 위험성을 다시금 일깨워주는 좋은 사례가 되었고, 이를 계기로 일반 사용자들의 보안의식이 다소 높아질 수 있는 계기가 되었다. 또한, 전세계적으로 악명을 떨친 컨피커 웜 (Win32/Conficker.worm)은 윈도우 취약점 및 관리목적의 공유폴더 등의 다양한 공격경로를 활용하여 개인..

1. 윈도우7 악성코드 윈도우 Vista의 문제점을 많이 보완한 윈도우7이 2009년 출시되어 이용자들로부터 좋은 평가를 받고 있는 이유로 2010년에는 윈도우7으로의 윈도우 OS 교체가 많이 이루어 질 것으로 예상된다. 이에 따라 2010년에는 윈도우7 환경을 기반으로 한 악성코드 제작이 주를 이룰 것이며, 특히 64bit CPU 환경이 대중화됨에 따라 악성코드들 또한 64bit CPU 환경에서 동작할 수 있도록 진화할 것으로 보여진다. 윈도우7에서 UAC, Bitlocker 등 다양한 보안 요소들이 추가, 보강 되었지만 이들의 보안 요소를 무력화시키기 위해 2010년에도 해커들의 많은 연구, 시도들이 있을 것이다. 2. PC 기반의 다양한 단말기에서의 악성코드 활동 가능성 2009년에는 PC에 비해 ..