C-Secure, 신·변종 악성코드의 실시간 탐지 서비스 제공

C-Secure(대표 이토 켄이치, www.c-secure.com)는 웹 사이트의 악성코드 감지서비스 'C-Secure TotalScan(가칭)'을 출시했다고 밝혔다.

C-Secure TotalScan은 신·변종 악성코드의 실시간 탐지와 차단은 물론 격리, 삭제 기능을 제공하는 서비스이다.
C-Secure TotalScan은 의심스러운 파일과 URL을 분석하고 바이러스, 웜, 트로이 목마, 스파이웨어와 같은 모든 종류의 악성 코드를 쉽고, 빠르게 탐지할 수 있으며 탐지 기능을 무료로 제공하고 있다.

실시간 탐지기능은 40여개 이상의 백신의 장점을 조합한 멀티엔진 스캐닝 기술을 도입하여 기존 백신들이 감지하지 못하는 악성코드를 감지하며, 악성코드의 행위분석을 통해 신·변종 공격에 대응하는 엔진 구조 및 대응 프로세스로 알려지지 않은 공격과 웜 바이러스 확산 및 변조된 IP를 통한 유해 트래픽을 차단한다.

또한 사용자가 운영하는 외부 애플리케이션에 API를 연동하여 Flood, Large File, Process, Black IP, Black Port 같은 악성 파일 및 프로세스를 자동 추적해 격리하거나 삭제할 수 있도록 관리 기능을 제공한다.

다양한 정책 설정을 통해 악성코드의 공격을 감지하며, 악성 원격관리 프로세스도 탐지 및 차단이 가능하다. Symantec, McAfee, ESET와 같은 주요 보안업체의 블랙리스트 DB연계로 각종 위험도 분석을 통해 블랙리스트와 같은 이벤트 현황을 파악할 수 있다.

코사카 료헤이 연구원은 'C-Secure TotalScan은 실시간으로 변형되고 증가하는 악성프로그램 확산 방지를 위해 스스로도 변화하고 진화하는 솔루션으로 거듭나고자 한다'며 C-Secure TotalScan 서비스 개발의 의미를 설명했다.

C-Secure(대표 이토 켄이치, www.c-secure.com)는 최근 스미싱 악성코드에 감염된 스마트폰에서 탈취한 금융정보 및 개인정보를 수집하는 서버를 발견해 이를 관계기관에 공유했다며 30일 밝혔다.
이번에 발견된 정보수집 서버에는 공격자가 탈취한 것으로 보이는 피해자의 스마트폰용 금융 인증서 및 신용카드 번호, 보안카드 표 및 일련번호, 계좌번호, 비밀번호 등의 금융정보 및 개인정보 500여 건이 저장되어 있었다.

이와 함께, 해당서버에는 공격자가 감염된 스마트폰으로 수신되는 문자메시지를 수집한 내역도 다수 저장되어 있었다. 이는 공격자가 감염 스마트폰을 이용한 결제나 금융거래 시 사용되는 문자 인증메시지를 탈취하기 위한 것으로 추정된다. 이 서버에는 사용자가 문자에 있는 URL을 클릭해 해당 서버로 접속했을 때, 금융정보 탈취 기능의 악성 앱을 사용자의 스마트폰에 다운로드하는 기능도 있음을 확인했다고 C-Secure는 밝혔다.
현재 해당 서버는 관계기관의 신속한 대처로 차단된 상태이다.

C-Secure James 선임은 “해당 서버에 수집된 정보의 내용으로 미루어볼 때, 실제 금전 피해를 유발할 가능성이 있어, 스마트폰 사용자의 각별한 주의가 필요하다”며, “의심스러운 문자의 URL을 실행하는 것을 자제하고, 모바일 백신으로 정기적인 스마트폰 검사하는 등의 기본 보안수칙의 준수가 가장 필요하다”고 말했다.

취약점 분석은 사전에 구성된 패턴을 인식하여 분석하는 방식으로 다양한 범위의 취약점을 검출할 수 있다는 장점이 있지만, 어디까지나 표준화 된 정보를 기반으로 취약점을 분류화 하므로 스캐닝 엔진에 따라 일부 오탐이 발생하기도 합니다. 모의 침투 테스트는 실제 위협을 확인하기 위해 취약점을 공격하기 때문에, 해커가 실제로 악용 가능한 특정 취약점의 잠재적인 위험을 평가하고, 이를 통해 주의와 즉시 처리가 필요한 취약점을 우선 순위화 할 수 있도록 지원합니다. 때문에 취약점 분석과 모의 침투 테스트는 병행해서 수행해야 효율적인 검사를 수행할 수 있습니다.

취약점 분석 도구는 사전에 구성된 패턴을 인식하여 분석하는 방식으로 다양한 범위의 취약점을 검출할 수 있다는 장점이 있지만, 어디까지나 표준화 된 정보를 기반으로 취약점을 분류화 하므로 스캐닝 엔진에 따라 일부 오탐(false positive)이 발생하기도 합니다. 특정 프레임워크가 아닌 사용자지정의 개발 애플리케이션의 심각한 보안 결함을 발견하지 못합니다. 또한, 검사 된 네트워크에 특화되지 않기에 네트워크 요소 간의 어떠한 연결도 드러나지 않고 실제 위협되는지를 판단할 수 없기에 실제 해킹 위협과는 거리가 먼 부분이 있습니다.

취약점 분석은 자동화 된 도구가 한번에 하나의 문제를 질의하기 때문에 전체적인 흐름을 파악할 수 없습니다. 침투 테스트의 경우 전문 엔지니어의 경험과 판단 그리고 추론 및 기술을 바탕으로 자동화 도구와 상반되는 결과를 제공하기도 합니다. 예를 들면 로그인 폼을 보호하기 위한 CAPTCHA와 같은 보안 문자 기능을 사용하고 있는 경우, 취약점 분석 스캐너는 단순한 이미지로 판별하는 반면, 침투 테스트의 경우 해당 기능(Function)에 대한 취약점을 검출합니다. 만약, 고객의 아이디나 비밀번호 또는 계좌번호가 URL 매개 변수에서 사용되고 있다면, 보안 엔지니어는 비즈니스 로직을 이해하고 취약점과 대응 방법을 제출하겠지만 취약점 스캐너는 고객의 비즈니스 로직을 분석할 수 없습니다.

{SITE_NAME}는 최적의 정보 보안 서비스를 제공하는 것을 목적으로 합니다. 서비스 프로세스 및 테스트 방법론의 목표를 보안 투자에 대한 효율성에 중점을 두고 있으며, 충분한 커뮤니케이션을 통해 고객에게 적합한 방향을 제안합니다. 일반적인 외주 컨설팅과 모의 침투 테스트는 리포트만 관리될 뿐 취약점에 대한 이력관리가 안된다는 것이 가장 큰 문제였으며, 누가 담당하느냐에 따라 취약점 결과가 달라지는 경우가 대부분입니다. 이런 이유 때문에 {SITE_NAME}은 취약점에 대한 히스토리 관리를 중점으로 생각하며, 이러한 취약점 이력관리를 통해 기업은 취약점에 대한 체계적인 대응전략을 세우고 궁극적인 목적을 달성할 수 있습니다.

{SITE_NAME}는 결코 고객의 시간을 낭비하지 않습니다. 발생한 문제에 즉시 대응할 수 있도록, 상황을 파악하고 시나리오와 리포트를 작성합니다. 고객과의 커뮤니케이션을 통해 정리된 리포트의 항목들은 문제를 해결하는 방법에 대한 세부 사항(구체적인 예와 적절한 스크린 샷)을 유첨하고, 때로는 복잡하기도 한 프로그램 코딩 문제를 설명하기 위해 프로토타입 코딩으로 설명을 진행하기도 합니다.

치료 및 복구에 대한 지원을 합니다. 단순히 취약점을 보고하고 수정하는 게 아닌, 파손되거나 손실 된 데이터와 하드웨어의 복구를 지원합니다.

대부분의 경쟁 업체들은 네트워킹에 대한 배경 지식을 기반으로 하는 데에 비해, {SITE_NAME}는 보다 깊이 있는 침투 테스트를 위해 일정 레벨의 프로그래밍 지식을 갖고 있습니다. 때문에 애플리케이션에 대한 오류나 취약점을 찾는 데에 훨씬 용이합니다.

아무리 뛰어난 리포트라고 해도 고객이 프로그래밍에 대한 지식이 없다면 이해하기 어렵습니다. {SITE_NAME}의 리포트는 시스템 관리자 및 개발자 이외에 관리자들도 이해하기 쉽게 작성됩니다. {SITE_NAME}의 취약점 조치 가이드에는 취약점에 대한 설명, 조치방법, 다운로드 링크, 예상 소요시간 등의 취약점 조치에 필요한 상세정보가 포함됩니다.

모의 침투 테스트에서 대체적으로 높은 비용이 발생하는 요소는 경험이 풍부한 보안 전문 엔지니어입니다. {SITE_NAME}는 포괄적인 결과를 제공하는 것을 원칙으로 하고 있기 때문에, 모든 취약점을 위해 전문 침투 테스트 팀을 활용하고 다양한 형태의 접근 방식을 통해서 취약점을 검출합니다.

외주 컨설팅과 침투 테스트로는 취약점에 대한 체계적인 관리가 불가능합니다. 또한 업체에 따라 자동화 된 검사를 침투 테스트라고 서비스하거나 자동화 검출 프로그램에 의존한 리포트 관리만으로 마무리하곤 합니다. 이렇듯 아웃소싱 업체에 따라 내용과 품질은 크게 변화합니다. 취약점에 대한 이력관리가 되지 않는 경우 고객은 취약점에 대한 체계적인 대응전략을 세울 수가 없으며 보안의 목적이 사라집니다. 하지만, 아직도 많은 보안 담당자들은 가장 낮은 비용의 입찰자에게 회사의 보안 엔지니어 업무를 아웃소싱하고 있습니다.

진단을 통해 다양한 취약점과 문제점이 검출되면 그에 대한 대비를 해야 합니다. 때로는 검사가 반복되기도 하며 익스플로잇(Exploit) 등 대응 항목이 늘어나면서 높은 비용으로 이어질 수 있습니다. 하지만, 회사의 보안 담당자는 필요한 항목 만을 선별할 수 있는 권리가 있습니다. 때문에, 가장 저렴한 기본 단위의 항목 만을 선별하기도 합니다. 이러한 패러다임은 시스템 보안에 대한 부정확한 믿음으로 이어질 수 있습니다.

고객이 침투 테스트를 원하는 경우, {SITE_NAME}는 테스트 규정에 대한 준수 요구사항을 충족하는데 중점을 두고 있습니다. 테스트의 범위와 방법에 대한 세부 사항을 포함한 리포트를 제안하고 악용 가능성이 있는 민감한 세부 사항을 선별할 수 있습니다. 기업의 목적이 조직을 포함한 전반적인 보안의 개선에 있다면, 저희는 철저하게 보안에 대한 위협을 해결하기 위해 노력하고 네트워크 및 시스템 및 응용 프로그램 레이어를 포함한 테스트를 제공합니다.

계약이 체결되면 즉시 일정을 예약하는데 예약까지는 일반적으로 4~8주까지 소요될 수 있습니다. 통상적으로는 계약서 작성 시 고객과 일정을 조율합니다.

모의 침투 테스트의 기간은 시스템의 유형 및 볼륨, 환경에 따라 달라집니다. 일반적으로는 1 ~ 3주의 기간을 기준으로 진행됩니다.

• 웹 애플리케이션의 보안 취약점 점검과 조치를 위한 수정 권고안 및 보안/코딩 가이드라인 지원
• 모든 운영체제에서 운영되는 웹 서버 및 기반 기술(ASP, PHP, AJAX, NET 등)에 대한 인프라스트럭쳐 및 애플리케이션 점검 지원
• 빠른 취약점 업데이트와 제로데이 취약점 대응

{SITE_NAME}의 침투 테스트에 대한 방법론은 구체적으로 고객의 데이터 손실 및 다운타임과 위험을 완화하도록 설계되었습니다.

위협 모델링(Threat Modeling)과 취약점 분석(Vulnerbility Analysis)을 통해 시스템의 위험성과 손상여부를 예측하며 이 단계에서는 진행시 발생할 수 있는 시스템의 손상에 대한 가능성을 예측합니다. 그 후 침투 테스트에서 핵심적인 단계 중 하나인 Exploitation을 통해 실질적인 테스트가 진행되는데, 정밀함 보다는 brute force(무차별 대입) 형태로 종종 진행이 됩니다. Exploit은 해당 Exploit을 통해 공격이 성공할 것이라는 확신이 들때에 수행하게 됩니다.

테스트를 통해 발견한 취약점들을 어떻게 통제할 것인지, 어떤 액션들이 있었는지 무엇이 중요한지에 대한 커뮤니케이션을 report를 통해 하게 됩니다.
고객의 시스템에서 실질적인 취약점을 테스트하는 경우, 악용 가능성이 높은 취약점을 비롯하여 진행 방법을 문서화하여 고객에게 전달합니다.