2020-12-03 10:30 (목)
“3.20 전산망 대란, 백신의 무결성 확보가 관건”
상태바
“3.20 전산망 대란, 백신의 무결성 확보가 관건”
  • 길민권
  • 승인 2013.03.27 15:04
이 기사를 공유합니다

SGA, “초기 변종 악성코드가 정상모듈로 배포되지 못 하게 해야”
통합보안기업 SGA(대표 은유진 www.viruschaser.com)는 3.20 전산망 대란 이후 공공, 기업, 일반 사용자에게 제공하는 자사 엔드포인트 보안솔루션에서 정보 전산망 마비를 차단하는 기술적 업데이트를 마쳤다고 27일 밝혔다. SGA는 APT공격에 대응하는 후속조치보다는 초기에 변종 악성코드가 정상모듈로 배포되지 못 하는데 초점을 맞춰 자사 백신인 바이러스체이서의 무결성이 확보됐다고 설명했다.
 
 SGA가 이번 사태를 원천적으로 막는데 활용한 기술은 바이러스체이서 백신의 사전차단기능의 완벽한 구현과 공개키 기반의 전자서명을 사용하는 통합보안관리솔루션 ‘SGA-SC(Security Center)’를 활용한 업데이트 서버의 컨텐츠 무결성 확보로 요약된다
 
먼저 SGA는 바이러스체이서 백신의 실시간 검사를 통해 PC전사용자에게 주의를 당부했다. 기존 PC백신은 바이러스에 감염됐을 때에만 비로소 패턴 제작과 업데이트를 시작하는 반면에, 바이러스체이서 백신은 별도의 패턴 업데이트 없이 시스템에 유입되는 대부분의 악성코드를 사전차단 하는 것이 가장 큰 특징이다. 3.20 전산망 대란 때도 진단 패턴이 없는 상황이었지만 ‘Malicious.DemageMBR’로 이미 사전방역 및 치료를 하고 있었던 것. SGA는 최근 후속사고에 대한 위험성이 계속 감지되는 만큼 패턴 위주의 시그니처 방식 뿐 아니라 사전차단기능을 시행할 수 있는 실시간 단계에서 자사 백신의 모든 기술적 업데이트를 마쳤다.


<3.20 해킹 사고 당시 바이러스체이서 ProActive 사전 방역 모습>
 
두번째 적용된 기술은 ‘SGA-SC(Security Center)’의 무결성 확보이다. SGA-SC는 바이러스체이서(안티바이러스)와 패치체이서(PMS 및 자산관리)를 통합적으로 관리하는 프로그램이다. SGA는 이번에 문제가 된 오류가 있는 모듈의 자동배포를 막기 위해 SGA-SC에 공개키 기반의 전자서명 기술 적용 완료를 마쳤다. 따라서 SGA-SC의 관리자 권한이 탈취되었을 지라도 전자서명이 안 된 프로그램을 배포하지 못하도록 설계가 돼있으므로 전자서명이 없는 악성코드나 불법적인 전자서명이 되어있는 프로그램을 배포할 수 없다. 이번 3.20 전산망 대란에서 발견된 악성코드 샘플에서는 이러한 전자서명을 발견할 수 없는 불법 모듈인 것으로 나타났다.
 
현재 SGA는 비상대응체제 속에서 이번에 사고가 난 MBC에서 직접 확인한 샘플을 중점 분석하는 한편, 이번 해킹 사고로 불안해하는 고객 및 일반 사용자를 위해 컴퓨터 오작동 검사 확인 및 온라인 상담 등을 진행하고 있다. 사용자는 사전차단 기능이 있는 바이러스체이서 백신의 실시간 감시 기능을 켜두고, 공공 및 기업에서는 불법 모듈의 자동배포를 막는 SGA-SC를 활용하면 후속 사고는 막을 수 있다.
 
SGA 엔드포인트 보안사업 부문 나상국 부사장은 “이번 사고는 지능형지속위협(APT)공격이나 업데이트 서버의 해킹여부가 문제가 아니라 백신 업데이트 모듈을 정상파일로 인식해 업데이트 서버에서 내려 보낸 것이 더 큰 문제라는 인식에서 고객사 대응을 마쳤다”며, 현재 바이러스체이서가 사전차단하고 있는 MBR의 악의적 차단을 완벽히 막기 위해 향후 자사 서버보안솔루션을 활용해 MBR 접근시 서버보안의 접근통제 기술을 적용함으로써 비정상행위를 사전에 감지하는 다양한 기술적 해결책을 마련하겠다”고 말했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com