Virus에 해당하는글 7


바이러스 등 악성코드가 컴퓨터 하드웨어에 물리적인 손상을 가할 수 있는가. 이는 정보보안 분야에서 가장 널리 퍼진 동시에 터무니없다고 여겨지는 미신으로 이러한 이중적 속성으로 인해 오래도록 지속되고 있다. 20세기 후반에는 바이러스로 인해 CRT 모니터에 잘못된 신호가 전송되어 컴퓨터의 하드웨어가 구성요소가 타 버렸다든지 또는 맬웨어로 인해 하드디스크 드라이브가 격하게 진동하여 드라이브가 결국 파괴됐다든지 아니면 플로피 드라이브에 오버클럭이 걸려 과열이 발생했다든지 하는 식의 이야기가 퍼졌던 적이 있다. 이런 미신들은 안티바이러스 업체들에 의해 해체됐다. 물론 이들 중 몇몇의 경우 이론적으로는 나름 일리가 없진 않으나 컴퓨터에 내장된 보호기능으로 인해 이러한 사고는 발생할 여지가 없다.


하지만 하드웨어를 물리적으로 손상시키는 경우에 준하는 사례도 없진 않으며 그 사례로 1999년의 이른바 체르노빌 악성코드로 알려진 Win95.CIH 바이러스를 생각할 수 있다. Win95.CIH는 수천 대의 기기를 감염시켰으며 하드드라이브와 마더보드 BIOS 칩의 데이터를 손상시켰으며 이에 따라 일부 감염 기기들은 부팅 프로그램 손상으로 인해 작동 자체가 불가능해졌다. 이는 결국 BIOS 칩을 교체하고 데이터를 다시 입력해야 하는 결과로 이어지기도 했다. 사실 이 사례는 컴퓨터에 대한 물리적 타격은 아니다. 이러한 감염이 발생한 경우 마더보드는 몇 차례 조작을 가하고 나면 다시 사용 가능한 상태로 되돌릴 수 있다. 물론 이 문제는 가정에서 간단히 해결할 수 있는 수준은 아니며 별도의 특수 장비를 필요로 한다. 그렇지만 오늘날에는 문제가 훨씬 복잡한데 그 이유는 다음과 같다.


우선 오늘날 모든 독립 하드웨어는 재작성 가능한 마이크로프로그램과 함께 제작되며 이러한 프로그램은 둘 이상인 경우도 있다. 이들 마이크로프로그램은 수 년에 걸쳐 진화하여 오늘날에는 상당히 복잡한 소프트웨어가 됐으며 이는 결과적으로 공격가능성을 발생시켰다. 이 때 공격이 성공한다면 그 결과는 복구 불가능한 경우도 있다. 카스퍼스키 연구진은 Equation 사이버스파이 캠페인을 분석하는 과정에서 다양한 하드드라이브 모델의 마이크로프로그램 코드에 주입된 스파이웨어 모듈을 조사한 바 있다. 이들 맬웨어는 감염대상 디스크를 완전히 장악하는 데 사용됐으며 포맷으로도 제거 불가능했다.


실제로 펌웨어는 일반적인 툴로는 변경이 어려우며 그 자체로 업데이트하는 속성을 가지고 있다. 펌웨어를 본래 위치에서 변경시키려면 상당한 노력이 필요하다. 물론 특수 장비가 구비된 상태라면 어떤 마이크로프로그램이든 변경할 수 있지만 실제로는 이 정도 수준으로 드라이브라면 비용 측면에서 그냥 폐기하는 게 합리적이다. 이를 과연 물리적 피해로 볼 수 있을지에 대해서는 논란이 있을 수 있지만 하드웨어기반 취약점에 대한 사례가 계속하여 발생하고 있음은 분명하다.


그리고 '컴퓨터'의 정의 자체도 이제는 애매해졌다. 예컨대 현대 자동차는 어떤 면에서는 컴퓨터에 해당하며 본질적으로 바퀴 달린 커넥티드 컴퓨터라고 할 수 있다. 따라서 원격 해킹이나 침투에 노출될 수 있으며 실제로 Cherokee Jeep 차량에 대한 원격 해킹과정을 공개 시연된 바 있다. 물론 이 해킹에 어떤 바이러스가 사용되지는 않았으나 이는 자동차가 도로를 벗어나도록 하는 해킹 공격도 가능함을 의미한다. 이 또한 어떻게 보면 물리적 타격이라고 할 수 있겠다.


결국 바이러스가 컴퓨터 하드웨어를 물리적으로 손상시킬 수 있는지에 대한 대답은 '그렇다'라고 할 수 있겠으나 이는 '손상', '바이러스', '컴퓨터' 등의 용어를 어떻게 정의하느냐에 따라 달라지는 문제라고 할 수 있겠다.


<참고: 카스퍼스키 안티바이러스 상세정보>




Vladislav Biryukov, Fact or Fiction: can a virus actually damage PC hardware?, 9. 15. 2015.

https://usblog.kaspersky.com/fact-or-fiction-virus-damaging-hardware/5976/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>


COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.08.04 16:29


PC백신이 컴퓨터에서 바이러스 등 맬웨어를 포착하면 이를 완전히 삭제하지 않고 격리시킨다. 이 글에서는 그 이유를 소개한다.

 

질문: 안티바이러스 소프트웨어가 바이러스와 맬웨어를 완전히 제거하지 않고 격리하는 이유는 무엇인가. 컴퓨터에서 위험한 파일의 완전한 제거가

안전을 확실히 할 수 있는 방법이 아닌가. 격리된 악성코드를 수동으로 삭제하려면 어떻게 해야 하는가.

 

답변 1: 안티바이러스 어플리케이션이 격리 옵션을 제공하는 이유는 다음과 같다.

(1) 위협이 된다고 판단된 항목이 오인판정(false positive)된 경우에 대비하여 해당 항목의 백업을 유지. 정상적인 어플리케이션 파일과 드라이버가 악성으로 오인판정된 사례가 다양하게 존재한다.

(2) 위협 항목을 격리시켜 보관한다면 보다 제대로 된 조사가 가능해진다. 어떤 바이러스나 맬웨어가 기존에 알려진 시그내쳐(signature)에 부합한다 해서 그 시그내쳐와 완전히 동일하다고 단정할 수는 없으며 별도의 고유한 특성을 가지고 있을 수 있다.

 

답변 2: 바이러스나 맬웨어가 워드문서 등 사용자에게 필요한 파일에 내장될(embed) 경우 사용자 입장에서 이를 완전삭제하는 방법은 최악의 선택이다. 반면 격리시킬 경우 적어도 위험을 안고서라도 해당 파일의 내용을 복구할 수 있는 가능성이 남게 된다.

 


 

Akemi Iwaya, Why Does Antivirus Software Quarantine Viruses Instead of Deleting Them?, 7. 5. 2016.

http://www.howtogeek.com/261562/why-does-antivirus-software-quarantine-viruses-instead-of-deleting-them/

 

번역요약: madfox




참고링크 


<유료안티바이러스 제품소개>


COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.07 15:31



일반적인 회사는 매일 엄청나게 많은 사이버보안 경고에 시달리며 사이버공격을 통해 목표 시스템에 대한 맬웨어 침투의 성공가능성도 결코 작지 않다. 이렇게 보면 지능형 사이버공격 대응에는 왕도가 없다고 할 만하다. 최근 EMA 보고에 따르면 응답자의 88%가 하루에 받는 중요 사이버보안 경고는 최대 500건에 달하며 이들 중 80%는 이러한 경고를 일일 11~25건밖에 조사하지 못한다고 한다. 위협의 대부분이 조사조차 받지 않은 채 시스템에 머무를 수 있다는 의미다. IT부서에 수많은 인력을 투입해도 조사해야 할 위협의 양은 줄어들지 않으며 이는 잠재적 위협을 사전에 예상하기 위해 필요한 정보를 얻기가 대단히 곤란함을 뜻한다.

 

맬웨어가 시스템에 침투하는 과정은 이하의 세 가지 방법을 통해 진행된다.

파일기반 공격은 기존 파일을 변경하거나 또는 종래 탐지수단으로는 탐지되지 않는 위치로 옮김으로써 맬웨어를 숨긴다.

파일 없는 공격은 맬웨어 배포 또는 실행 과정에서 파일에 의존하지 않고 메모리에 머무르기 때문에 탐지가 더욱 어렵다.

맬웨어 없는 공격은 침탈된 계정정보를 활용하여 시스템에 접속하기 때문에 정상적인 사용자와 잠재적 공격을 분리해서 판단하는 데 어려움이 따른다.

 

 

파일기반 공격(File-based Attacks)

 

사이버공격의 대부분은 파일에 의존하는 방법을 사용하며 시그내쳐(signature) 탐지 엔진의 한계를 활용한다. 소프트웨어 패킹, 코드 다중변형, 코드 드롭/다운로드와 같은 지능형 수법의 경우 탐지코드의 신속한 변환을 방지할 수 있다. 이러한 공격이 통하는 이유는 침투대상의 보안전략에 사각지대가 존재하기 때문이다. 이렇게 시그내쳐 탐지를 우회할 수 있는 공격에 대해서는 행동기반 솔루션에 의한 실시간 탐지가 요구된다. 이 경우 다층방어대책이 큰 효과를 발휘할 수 있다.

 


파일 없는 공격(File-less Attacks)

 

파일 없는 공격은 기존 프로세스와 승인된 어플리케이션을 활용하여 공격을 실행한다. 파일 없는 공격은 별도로 파일을 유포하거나 기존 파일의 변경에 의존하지 않는 지능적 방식을 취하기 때문에 일반적인 엔드포인트 솔루션의 탐지를 피할 수 있다. 동적 맬웨어분석은 이러한 파일 없는 공격에 대한 방어를 강화할 수 있는 좋은 방법이다. 샌드박스를 사용한다면 행동관찰을 통해 탐지 및 예방을 동시에 챙길 수 있다. 하지만 고도로 지능화된 공격의 경우 가상화된 공간과 샌드박스를 탐지해 낼 수 있어서 이러한 동적 맬웨어분석을 회피해 버릴 수 있다. 이 경우 커널에서 구동되고 시스템 자체(네이티브)에서 작동하여 정교한 맬웨어와 VM탐지가능 코드의 탐지를 피할 수 있는 샌드박스가 가장 좋은 방법이다.


 

맬웨어 없는 공격(Malware-less Attacks)

 

차세대 맬웨어는 시스템 사이를 수평적으로 이동할 수 있기 때문에 가장 탐지하기 어렵다. 공격자는 침탈된 계정과 기존의 관계를 활용하여 탐지되지 않은 채 네트워크 내부에 침투할 수 있으며 계정정보와 툴을 조사, 판단, 수집하기 위해 자동수법과 수동수법을 모두 사용하게 된다. 대체로 공격자가 이 정도 단계에 이르고 나면 공격대상 환경에서 높은 수준의 자유도를 확보할 수 있기 때문에 기존 방법으로는 탐지가 대단히 어렵다.

 

이 경우 이상적인 해법은 기존 방어대책의 사각지대를 해소할 수 있는 실시간 행동양상 탐지에 있다. 발견된 위협과 네트워크 이상활동의 연관성을 식별 및 판단할 수 있는 지능형솔루션은 위와 같은 공격의 수평이동을 밝혀내는 데 도움이 된다. 완전한 네트워크 가시성은 지능형 공격 방지를 위해 필수적이며 방화벽 안쪽에서 은신하는 맬웨어를 잡아낼 수 있는 유일한 방법이다.


 

언제나 그렇듯 공격 탐지의 주안점은 정보를 최대한 많이 확보하는 데 있으며 이론적으로 생각하면 보안운영자는 이를 통해 유리한 고지를 선점할 수 있다. 하지만 현실적으로는 최대한 많은 정보의 수집은 지나치게 많은 정보로 이어진다. 하루에 주어진 시간도 제한될 뿐더러 보안인력도 제한되기 때문에 이렇게 많은 정보를 그대로 처리해서는 네트워크의 정확한 상황을 파악하기 곤란하다. 실제로 ThreatTrack에서 201510월 조사한 내용에 따르면 응답자의 44%는 기업보안에서 가장 어려운 부분으로 보안운영의 복잡성을 꼽았으며 또한 61%는 위협이 나날이 정교해짐으로 인해 기업의 공격에 노출될 위험이 늘어나고 있다고 응답했다.

 

이렇게 공격자에게 끌려가는 판세를 바꾸는 길은 바로 올바른 정보를 획득하고 상황의 종합적 이해를 구함으로써 패러다임을 전환하는 데 있으며 이는 신속한 탐지와 우선순위에 따른 대응이 예방만큼 중요하다는 사실을 인지함으로써 실현될 수 있다. 이러한 패러다임 전환을 도와줄 수 있는 내용은 다음과 같다.

사건을 단순히 알리는 데 그치지 않고 이들을 서로 연관시키는 서비스중심 관점을 채택한다.

커널기반 샌드박스를 사용하여 맬웨어 공격을 파악하고 지능형맬웨어에 의한 역탐지를 방지한다.


<참고: ThreatAnalyzer 맬웨어분석 샌드박스>


지능형공격의 네트워크 내 수평이동을 탐지할 수 있는 보안전략을 수립한다. 발견된 위협과 네트워크 이상활동의 관련성을 판단하여 가시성과 맥락정보를 확보한다.

지능형 보안솔루션을 평가하거나 또는 맥락정보와 반응시간 연장을 제공할 수 있는 솔루션 추가도입을 고려한다.

 

보안전략에서 어떤 단계에 있든 패러다임 전환은 어려운 일이지만 빠를수록 바람직하다는 점은 분명하다. 사이버공격의 가능성은 상존하며 나날이 지능화되는 사이버공격을 방지하기 위해서는 회사보안에 빈틈이 없어야 한다. 맥락정보를 많이 확보할수록 공격위험을 보다 빠르고 효과적으로 판단할 수 있으며 반응시간을 연장할 수 있고 현재 혹은 장래의 사건을 예상할 수 있다.

 

 


ThreatTrack Security CSO Blog, Advanced Attacks and How to Stop Them, 6. 8. 2016.

https://blog.threattrack.com/cso/advanced-attack-methods-stop/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.06.22 14:13




인터넷에서 파일을 다운받을 때 컴퓨터백신이 해당 파일을 바이러스로 판단하게 된다면 그 파일이 진짜로 바이러스 등 맬웨어일 수도 있고 아니면 정상적인 파일인데도 백신이 바이러스로 잘못 판단한 오인탐지(false positive)가 발생한 경우일 수도 있다. 이 때 해당 파일의 출처에서는 파일이 정상이므로 오인탐지 때문에 걱정할 필요가 없다고 주장할 수 있다. 그러나 이는 사이버공격자가 사용자를 안심시키려는 기만일 수도 있기 때문에 다운받은 파일이 진짜로 안전한지 확인할 수 있는 방법이 필요하다. 여기에서는 다운로드 파일의 신뢰성과 바이러스 오인탐지의 진위를 판단할 수 있는 몇몇 요령을 소개한다.

 

 

VirusTotal 통해 정보 수집

 

사실 다운받은 파일이 바이러스로 판정받을 때 안티바이러스 프로그램 하나만 가지고는 이를 섣불리 판단하기 어렵다. 그런데 만약 정상적인 파일을 악성으로 오인한 경우라면 다른 여러 안티바이러스 프로그램이 동일한 오류를 범할 가능성은 거의 없다. VirusTotal은 이에 착안하여 마련된 데이터베이스로 45종에 달하는 안티바이러스 프로그램을 통해 파일을 검사하여 여러 안티바이러스의 판단을 종합해 볼 수 있다. VirusTotal 웹사이트에서 의심되는 파일이나 URL을 입력하면 자동으로 다양한 안티바이러스 프로그램을 통한 검사가 진행되어 결과가 산출된다. 만약 안티바이러스 다수가 해당 파일에 문제가 있다는 결과를 내놓는다면 이는 옳은 판단일 가능성이 높으며 반대로 해당 파일을 악성으로 판단하는 안티바이러스가 많지 않다면 오인탐지일 가능서이 높다. 물론 이는 통계적으로 판단에 힘을 실어 주는 하나의 자료일 뿐 파일의 악성여부 판단을 보증하지는 못한다.

 

VirusTotal 웹사이트: https://www.virustotal.com/


 

 


다운로드 출처의 신뢰성 판단

 

다운로드 출처에 대한 평가도 중요하다. 만약 검색을 통해 어떤 프로그램을 다운받는데 제작사에 대해서는 전혀 알려진 정보가 없고 별도로 검색을 해도 나오는 내용이 별로 없다면 그 출처는 신뢰하기 어렵다. 또한 파일이 P2P 네트워크나 이메일을 통해 도달했다면 이는 맬웨어일 가능성이 높다. 예컨대 정상적인 은행이 고객에게 프로그램이 첨부된 이메일을 보내는 경우는 없다.

 

다운로드 페이지에 예를 들어 "안티바이러스 프로그램이 현재 이 파일이 악성이라고 판단하고 있으나 이는 오인탐지이므로 안심해도 무방하며 오인탐지 문제를 현재 해결 중이다."라는 식의 알림이 있을 수 있다. 이런 식의 경고는 해당 파일의 신뢰도를 높여주는 자료가 될 수 있으며 반대로 이러한 알림이 따로 없는데도 안티바이러스가 해당 파일을 악성으로 판단했다면 이는 실제 맬웨어일 가능성이 높아진다. 하지만 위와 같은 알림을 액면 그대로 받아들이지 말고 해당 출처의 제작사를 진짜로 신뢰할 수 있는지가 중요하다. 한편 그 제작사를 정말로 신뢰할 수 있다 해도 정상적인 웹사이트가 해킹됐거나 혹은 사용자를 기만하기 위한 가짜 웹사이트일 가능성도 없지 않다. 결국 다운로드 출처의 신뢰성도 다각적으로 변할 수 있는 부분이어서 하나의 판단자료일 뿐 절대적인 기준으로 삼기는 어렵다고 하겠다.

 

 

맬웨어 데이터베이스 확인

 

안티바이러스는 어떤 파일을 악성으로 판단할 때 구체적으로 어떤 유형의 맬웨어인지에 대한 정보를 제공한다. 이 유형정보를 검색하면 백신업체가 제작한 맬웨어 데이터베이스에 대한 링크로 연결될 수 있다. 여기에서 해당 파일이 구체적으로 어떤 맬웨어고 왜 차단됐는지 확인할 수 있다.

 

한편 실제로 정상적인 파일이라 해도 악의적 목적으로 악용돌 수 있다는 이유 때문에 맬웨어로 판정되어 차단되는 경우도 있다. 예를 들어 일부 안티바이러스는 VNC 서버 소프트웨어를 차단하게 되는데 이는 이 소프트웨어가 악의적으로 설치되어 사용자 컴퓨터에 원격으로 접속하는 수단으로 악용될 수 있기 때문이다. 물론 사용자가 VNC의 용도를 정확히 이해하고 이를 직접 설치하는 경우는 문제가 안 된다.


 

 



Chris Hoffman, How To Tell If a Virus Is Actually a False Positive, 1. 20. 2014.

http://www.howtogeek.com/180162/how-to-tell-if-a-virus-is-actually-a-false-positive/

 

번역요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.06.21 17:28



맬웨어

맬웨어(malware)란 악성소프트웨어(malicious software)의 준말이다. 보통 모든 종류의 유해 소프트웨어를 칭하는 말로 바이러스라는 단어가 사용되지만 사실 바이러스는 맬웨어의 한 종류며 유해 소프트웨어를 총괄하는 단어는 바로 맬웨어다.

 

바이러스

바이러스(virus)는 맬웨어의 일종으로 다른 파일을 감염시켜 자신을 복제하는 행동양상을 보인다. 이는 실제세계의 바이러스가 세포를 감염시킴으로써 자가복제하는 원리와 비슷하다. 바이러스는 백그라운드에서 암호탈취, 광고게시, 컴퓨터 작동중단 등 다양한 결과를 야기할 수 있으나 그 본질적인 속성은 전파방식에 있다. 바이러스는 실행되면 해당 컴퓨터의 프로그램 파일을 감염시키며 그 프로그램이 USB 등을 통해 다른 컴퓨터로 전달되면 그 컴퓨터의 프로그램 파일도 감염되는 식으로 번져 나가는 것이다.

 

(worm)은 감염시킨 컴퓨터에 여러 해로운 결과를 야기할 수 있다는 점에서 바이러스와 비슷하지만 전파방식이 다르다. 바이러스는 파일을 감염시키고 인간 행동에 의해 해당 파일이 이전되어 감염이 퍼지지만 웜은 컴퓨터 네트워크를 통해 인간 행동에 의존하지 않고 자체적으로 전파된다. 예를 들어 Blaster Sasser 웜의 경우 윈도XP가 많이 쓰이던 당시 빠르게 퍼졌는데 이는 윈도XP의 보안대책이 불충분하여 시스템서비스를 인터넷에 노출시켰기 때문이다. Blaster Sasser 웜은 인터넷을 통해 이렇게 노출된 시스템서비스에 접근하여 취약점을 악용함으로써 해당 컴퓨터를 감염시키며 이렇게 감염된 컴퓨터를 이용하여 자가복제를 지속하게 된다. 비록 요즘은 윈도에 방화벽이 기본적으로 설정돼 있어서 위와 같은 위협은 줄었으나 감염된 사용자의 주소록을 이용하여 대량의 이메일을 통해 전파되는 등의 방법이 있기 때문에 웜의 위협은 여전하다.

 

트로이목마

트로이목마(Trojan horse; Trojan)는 정상적인 파일로 가장하는 맬웨어를 가리킨다. 사용자가 어떤 프로그램을 다운받아 실행시킬 때 트로이목마가 백그라운드에서 실행되며 이 경우 제3자가 사용자 컴퓨터에 접속할 수 있다. 트로이목마 또한 감염대상 컴퓨터의 활동을 모니터링하거나 해당 컴퓨터를 좀비PC 네트워크인 봇넷에 편입시키는 데 활용되며 또한 감염대상 컴퓨터에 더욱 많은 맬웨어를 유입시키기도 한다. 트로이목마의 특징은 유용한 프로그램임을 가장하는 전파방식에 있다. 트로이목마는 다른 파일에 대해 자신을 복제시키거나 네트워크를 통해 전파되는 행동양상을 보이지는 않으며 이 점에서 바이러스나 웜과 다르다. 유해하지 않은 웹사이트에서 해적판 소프트웨어를 배포할 경우에도 해당 소프트웨어가 트로이목마가 포함돼 있을 수도 있다.


 

랜섬웨어

랜섬웨어(ransomware)란 대상컴퓨터의 파일을 인질삼아 돈을 뜯어내는 수법을 사용하는 비교적 신종의 맬웨어다. 맬웨어는 대부분 수익을 목적으로 제작되는데 랜섬웨어는 이를 가장 잘 보여준다. 랜섬웨어 중에는 단순히 컴퓨터를 계속 사용하려면 돈을 내라는 팝업을 띄우는 경우도 있지만 이는 안티바이러스 소프트웨어로 쉽게 방지할 수 있다. 그러나 CryptoLocker와 같은 랜섬웨어는 파일을 모조리 암호화하고 해당 파일에 대한 접근을 복구하는 대가로 돈을 요구하기 때문에 백업 등의 대책이 미리 구비되지 않은 이상 아주 위협적이다.


<참고: 랜섬웨어 차단 AVG 유료안티바이러스>


 

스파이웨어

스파이웨어(spyware)는 사용자 몰래 사용자를 감시하는 악성 소프트웨어로 종류에 따라 다양한 유형의 데이터를 수집한다. 스파이웨어는 트로이목마에 포함되어 키입력을 감시함으로써 금융데이터를 탈취하는 등 다양한 형태로 존재할 수 있다. 한편 합법적인 스파이웨어의 경우 무료 소프트웨어에 포함되어 웹브라우징 패턴을 모니터링하고 이 데이터를 광고서버에 전송함으로써 소프트웨어 제작자가 사용자 브라우징에 대한 정보를 판매하여 수익을 올리는 수단으로 쓰일 수도 있다.

 

애드웨어

애드웨어(adware)는 컴퓨터에 광고를 띄우는 모든 종류의 소프트웨어를 의미하며 대체로 스파이웨어와 함께 발견된다. 대체로 프로그램 내에 광고를 게시하는 프로그램은 그 자체만 가지고는 맬웨어라고 하지 않으며 어느 정도 용인될 수 있다. 실제로 정상적인 프로그램과 함께 애드웨어가 설치되는 일도 많으며 그 예로 오라클 자바 소프트웨어에 Ask 툴바가 포함된 경우를 꼽을 수 있다. 한편 허용되지 않는 경우에까지 시스템에 대한 접근을 악용하여 광고를 게시하는 애드웨어는 악성으로 보아야 하며 사용자가 아무런 활동도 안 하는데 광고가 뜬다든지 웹브라우징을 할 때 웹페이지에 추가 광고를 주입한다든지 하는 경우를 예로 들 수 있다. 애드웨어는 사용자 브라우징을 추적하는 스파이웨어를 동반하는 경우가 많다.

 

키로거

키로거(kelogger)는 백그라운드에서 구동되면서 사용자의 모든 키입력을 기록하는 맬웨어를 의미한다. 이러한 키입력을 통해 사용자 아이디, 비밀번호, 카드번호 등 각종 비밀정보를 알아낼 수 있다. 키로거는 이러한 키입력 기록을 악성서버로 전송하게 되며 그 서버에서 데이터를 분석함으로써 비밀번호와 카드번호 등의 정보를 탈취할 수 있게 된다. 바이러스, , 트로이목마 등도 키로거 기능을 가지고 작동할 수 있으며 키로거를 업무 모니터링 목적으로 의도적으로 설치하는 경우도 있을 수 있다.


 

, 봇넷

(bot)이란 특수한 맬웨어에 감염되어 외부로부터 중앙 제어를 받는 컴퓨터를 의미하며 봇넷(botnet)이란 이러한 봇이 대규모로 모여서 이루어진 컴퓨터 네트워크를 가리킨다. 봇 소프트웨어가 컴퓨터를 감염시키고 나면 중앙 제어서버에 접속하여 봇넷 생성자의 지시를 기다리게 되며 이를 통해 봇넷은 각종 악의적 용도로 활용될 수 있게 된다. 봇넷은 예를 들어 분산서비스거부(distributed denial of service, DDoS) 공격에 활용될 수도 있다. 봇넷의 각 컴퓨터가 특정 웹사이트나 서버에 한 차례씩 요청을 보내도록 하여 수백만 건에 달하는 요청으로 인해 목표 서버를 마비시키거나 응답불가 상태로 만드는 식이다. 봇넷 생성자는 봇넷에 대한 제어권한을 다른 악의적 주체에게 판매하여 수익을 올릴 수도 있다.

 

룻킷

룻킷(rootkit)은 말 그대로 컴퓨터의 핵심영역인 루트(root) 영역까지 깊숙이 침투하여 사용자와 보안프로그램에 의한 탐지를 피하는 맬웨어를 가리킨다.

룻킷은 윈도가 부팅되기 전에 실행되어 시스템에 침투하여 시스템 설정을 변경함으로써 보안프로그램에 의한 피해를 피할 수 있다.

 


이상의 내용에서 알 수 있듯 모든 종류의 맬웨어를 바이러스라고 부르는 게 보편화되긴 했지만 이는 기술적으로는 정확하지 않다. 마찬가지로 안티바이러스(antivirus) 소프트웨어라는 단어 또한 바이러스를 맬웨어 전체와의 동의어로 사용하기 때문에 나온 말이다. 안티바이러스 소프트웨어는 바이러스에 한정되지 않고 모든 종류의 맬웨어를 방지하므로 이를 보다 정확히 표기하려면 안티맬웨어(antimalware) 또는 보안(security) 소프트웨어라는 표현이 맞다.

 

 


Chris Hoffman, Not All “Viruses” Are Viruses: 10 Malware Terms Explained, 11. 4. 2013.

http://www.howtogeek.com/174985/not-all-viruses-are-viruses-10-malware-terms-explained/

 

번역요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.06.09 10:46

사진: memegenerator



문제제기

 

바이러스에 대해 그 많은 바이러스를 도대체 누가 만드는가라는 질문이 종종 생기며 이는 안티바이러스 업체들이 바이러스를 만들고 이를 이용해 수익을 올린다는 식의 음모론으로 이어진다. 하지만 실상은 훨씬 복잡한데 그런 상술이 비도덕적이고 불법적이라는 사실과는 별개로 백신 제작업체들이 그렇게 많은 양의 바이러스를 제작한다는 건 기술적으로 불가능하기 때문이다.

 

비용-수익 계산

 

현재 만들어지고 있는 바이러스, 트로이목마, 봇은 엄청난 프로그래밍 작업 결과물이다. 배포된 바이러스의 소스코드만 봐서는 추정만 가능할 뿐이지만 대체로 완전히 새로운 맬웨어가 만들어지려면 1~3개월 가량의 프로그래밍 작업이 필요하다. 물론 기존 맬웨어의 변종은 훨씬 쉽고 빠르게 만들어질 수 있다.

 

Emsisoft의 경우 매일 2만 건의 신종 맬웨어 지표(시그내쳐)를 데이터베이스에 등록하며 이는 월 50만 건 정도에 해당한다. 지난 역사를 돌아보면 신종위협의 수는 매년 두 배로 증가한다. Emsisoft는 현재 550만 건의 시그내쳐를 데이터베이스에 보유하고 있는데 여기에 포함된 지표는 동종 맬웨어의 변종을 탐색할 수 있으므로 실제 맬웨어 프로그램의 수는 지표 자체보다 더 많다.

 

만약 백신업체가 진짜로 마음을 먹고 바이러스를 만드려면 우선 바이러스를 제작할 인력을 새로 고용해야 한다. 또한 해당 바이러스가 미래 운영체제에서도 작동하도록 개발 및 관리를 담당하는 인력도 필요하다. 이렇게 바이러스를 하나 만들고 나면 유포시킨 후 자체 안티바이러스 데이터베이스에 등록시키게 된다. 1개월을 들여 바이러스 1건을 새로 만들어냈지만 이는 월 50만에 달하는 바이러스 중 하나일 뿐이다.

 

이렇게 보면 안티바이러스업체가 직접 바이러스를 생성한다는 발상은 전혀 수익성이 없음을 알 수 있다. 매월 50만 건씩 추가되는 바이러스의 수량을 생각한다면 직접 만든 바이러스를 하나 더 탐지함에 따른 이익은 너무도 작다. 개발도상국에서 프로그래머를 값싸게 고용한다 해도 이는 마찬가지다. 세계의 모든 안티바이러스 업체가 담합한다고 가정해도 현재 생성되는 신종맬웨어의 분량을 따라가기는 어렵다.

 

맬웨어 제작의 배후

 

맬웨어 제작자들은 안티바이러스 업체가 직접 맬웨어를 만드는 이상으로 엄청난 수익을 거둘 수 있다. 2000년대 초만 해도 맬웨어란 해커들이 자신들의 가능성을 시험하는 수단에 불과했다. 하지만 오늘날 맬웨어 제작의 배후에는 막대한 범죄역량과 기업이 있다. 수천 대에 달하는 PC가 중앙 통제되어 다양한 방법으로 악용될 수 있다. 이들 컴퓨터의 엄청난 연산성능은 스팸 및 피싱이메일 전송, 웹서버에 대한 합동 과부하공격(디도스, DDoS)을 통해 다른 업체를 압박하는 데 쓰일 수도 있고 불법활동의 흔적을 감추기 위한 프록시서버 네트워크로 활용될 수도 있다. Conficker, Rustock, Cutwail과 같은 대규모 봇넷은 백만이 넘는 좀비 컴퓨터로 구성된다. 한편 중요 개인데이터를 암호화하고 이를 복호화하는 대가로 돈을 받는 이른바 랜섬웨어라는 수법도 존재한다. 또한 몇몇 맬웨어의 경우 특정 업체나 시스템을 겨냥하기도 하며 대표적인 사례로 2010년 이란 원자력프로그램을 공격하기 위해 사용된 스턱스넷(Stuxnet) 맬웨어를 들 수 있다.

 

안티바이러스는 또다른 바이러스

 

가짜 혹은 불량 안티바이러스 제품이 늘어나고 있다는 사실 또한 안티바이러스 업체가 바이러스를 제작한다는 루머에 일조하고 있다. 이들은 유명 안티바이러스 브랜드과 비슷한 이름을 사용하고 실제로 바이러스를 탐지하는 것처럼 가장하여 사용자를 기만한다. 그리고 바이러스탐지를 가장하면서 정품을 구매하도록 돈을 요구하는 수법을 사용한다.

 

결론

 

이상의 내용을 종합하면 바이러스 제작에서 실제 맬웨어 제작자들이 안티바이러스 업체에 비해 훨씬 큰 수익을 가져감을 알 수 있다. 안티바이러스 업체가 직접 바이러스를 만들어 유포하는 행위가 도덕적 및 법적 책임으로 이어지고 평판 추락을 야기한다는 점도 당연하다. 한편 맬웨어 제작자들이 곧 백신업체의 밥줄이라는 주장도 있지만 이건 별개의 문제다.



 

Christian Mairoll, How many viruses are made by anti-virus companies?, 5. 24. 2011.

http://blog.emsisoft.com/2011/05/24/how-many-viruses-are-made-by-anti-virus-companies/?test=312

 

번역요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.05.30 13:27

VIPRE 안티바이러스 2016PC Antivirus Reviews에서 1위에 올랐습니다특히 안티바이러스 2016 외에 인터넷시큐리티 2016 또한 1위를 달성하여 

VIPRE 브랜드의 명성을 재확인했습니다.


PC Antivirus Reviews 2016년도 평가결과

http://www.pcantivirusreviews.com/

 


PC Antivirus Reviews는 전문적으로 안티바이러스 소프트웨어를 

평가하는 웹사이트로 2006년 처음 설립됐습니다.






VIPRE 안티바이러스 2016 평가결과 및 순위




VIPRE 안티바이러스 2016 상세평가

http://www.pcantivirusreviews.com/Reviews/ThreatTrack/VIPRE-Antivirus-Software/

 



VIPRE 안티바이러스 2016 평가결과 및 순위


 



VIPRE 인터넷시큐리티 2016 상세평가

http://www.pcantivirusreviews.com/Reviews/ThreatTrack/VIPRE-Internet-Security-Software/

 



VIPRE 안티바이러스 및 인터넷시큐리티 2016 바이러스 및 스파이웨어 차단 성능에서 

100점 만점에 96점을 기록하여 거의 완벽에 가까운 수준을 달성했습니다


안티바이러스와 인터넷시큐리티는 인터페이스와 시스템 성능 영향도 면에서도 좋은 평가를 받았으며 이렇게 각종 지표에서 우수한 성적을 기록하여 종합 100점 만점 95점의 평가를 받았습니다. PC Antivirus Reviews에서는 VIPRE 안타바이러스 및 인터넷시큐리티 2016의 최대 장점을 다음과 같이 요약하고 있습니다.

 

미국 본사 통한 완전 무료 기술지원

강력한 실시간 바이러스차단

시스템성능 영향 낮음

30일 환불보증

 

특히 VIPRE 브랜드의 기술지원 등 고객서비스는 다른 어떤 안티바이러스 업체에서도 찾아보기 힘든 파격적인 수준입니다. 바이러스 등 위협에 대한 사전예방도 우수하지만 사후처리까지 챙긴다는 면에서 VIPRE 안티바이러스를 선택할 이유는 분명해진다고 하겠습니다.


VIPRE는 이렇게 강력한 성능을 가지고 있음에도 엄청나게 저렴합니다. 가정용 안티바이러스 기준 연 30달러로 업계 최저 수준인데 VIPRE가 정상급 기능을 갖추고 있음을 생각한다면 이만한 선택도 없다고 할 정도입니다.


VIPRE 안티바이러스 2016 구매가격

http://www.vipreantivirus.com/buy-virus-protection-programs/




안티바이러스? 인터넷시큐리티?


인터넷시큐리티는 기본적으로 안티바이러스와 동일한 기능을 갖추고 있는데 왜 안티바이러스를 사는 대신 굳이 돈을 더 내고 인터넷시큐리티를 구매할까 하는 생각이 들 수도 있습니다인터넷시큐리티의 경우 방화벽페이스북 스캐너 및 기록정리 등 유용하면서도 보안상 중요한 추가기능을 보유하고 있습니다방화벽의 중요성이야 더 말할 필요가 없으며 요즘 거의 누구나 사용하는 페이스북은 사용자가 워낙 많다 보니 계정해킹이라든지 각종 불법광고 범람 등에 시달리는 실정인데 인터넷시큐리티의 페이스북 스캐너 기능은 이를 차단할 수 있습니다.

 

사실 안티바이러스를 구매하느냐 인터넷시큐리티를 구매하느냐는 결국 어느 정도 수준의 보안기능을 원하는지에 대한 개인의 선택 문제이지만 위와 같은 강력하면서도 유용한 기능을 생각한다면 돈을 약간 더 낸다 해도 인터넷시큐리티를 구매할 이유가 충분해진다고 하겠습니다.





VIPRE 안티바이러스 소개 및 구매안내

 

 


VIPRE 안티바이러스의 장점을 소개드리자면 다음과 같습니다.

 

1. VIPRE저렴한 가격으로 정상급 보안기능을 갖추고 있으며 이는 이미 수차례의 인증과 평가를 통해 입증됐습니다.

2. 또한 이렇게 강력한 성능 대비 시스템성능 저하가 적은 편으로 간단히 말해 강하면서도 가벼운 소프트웨어입니다.

3. 아울러 이 모든 부분 외에 다른 솔루션에서는 찾아보기 어려운 VIPRE만의 독보적인 장점은 바로 우수한 고객지원입니다. VIPRE는 아주 신속하게 미국 본사의 기술지원팀과 직접 접촉할 수 있는 서비스를 제공할 뿐 아니라 바이러스 감염 처리과정이 무상입니다. 다른 보안업체의 경우 기술지원 인력을 인도 등지에서 아웃소싱하며 또한 바이러스 감염 제거에 별도의 금액을 요구한다는 점에서 이는 파격적인 강점이라고 할 수 있습니다.


VIPRE 안티바이러스 웹사이트 

http://www.vipreantivirus.com/



한국에서 VIPRE 제품 구매는 ThreatTrack Security의 국내 총판인 소프트메이트를 통해 하실 수 있습니다. 제품의 성능, 사양, 사용방법, 가격정책, 구매 등에 대해서는 아래 경로를 통해 연락주시기 바랍니다.

 

웹페이지 www.gfi.kr

이메일 sales@gfi.kr

연락처 02-866-5709

COMMENT : 0 TRACKBACK : 0

카테고리

보안솔루션

날짜

2015.11.06 09:31

위로가기