Gold Dragon 악성코드 주의



1. 개요 


최근, 국내에서 열렸던 2018년 평창 올림픽이 무사히 막을 내렸다. 올림픽 기간 중에도 보안과 관련된 이슈는 끊임없이 계속 발생하였지만 그 중, 흥미롭게도 해외 한 백신 업체에서 평창 올림픽을 겨냥한 것으로 추정되는 악성코드에 대한 보고서를 기재하였다.

게시된 글을 확인해보면 ‘Gold Dragon’ 이라고 불려지고 있는 파일에 대하여 내용이 다루어져 있다는 것을 확인할 수 있었는데, 이번 블로그에서는 해당 악성코드에 대해 어떠한 동작을 하는지 간단히 알아보도록 하자.







2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

[임의의 파일명].exe

파일크기

49,152 byte

진단명

Trojan/W32.Agent.49152.CRX

악성동작

정보 탈취 / 추가 악성코드 다운 및 실행













2-3. 실행 과정

해당 '[임의의 파일명].exe' 를 실행하면 특정 프로세스를 탐색하여 종료하고, 특정 경로에 파일을 생성한다. 생성된 파일에 사용자의 바탕화면 목록, 실행중인 프로세스 목록, 랜카드 정보 등의 다양한 정보를 15분 간격으로 수집하며 이외에도 추가적인 악성코드를 다운로드 받아 실행시킨다.







3. 악성 동작


3-1. 특정 프로세스 종료

해당 악성코드는 실행 시 현재 실행 중인 프로세스 목록을 불러와서 'v3.exe' 또는 'Cleaner.exe' 같은 사용자의 PC를 보호하기 위한 프로그램 종료를 시도한다


[그림 1] 특정 프로세스 종료 코드[그림 1] 특정 프로세스 종료 코드





3-2. 사용자 정보 탈취

실행된 악성코드는 '%AppData%\Microsoft' 하위에 'HNC' 라는 이름의 폴더를 생성하고 '1.hwp' 파일을 'HNC' 폴더 안에 생성한다.


[그림 2] 수집한 정보 임시저장 파일[그림 2] 수집한 정보 임시저장 파일





이후 명령프롬프트 창에 아래와 같은 명령어를 인자로 주어 실행시킨다. 이러한 방식을 이용하여 다양한 정보를 수집한 후에 이전에 생성했던 임시 저장 파일인 '1.hwp' 파일에 저장한다.


[그림 3] 정보 탈취 명령어의 일부[그림 3] 정보 탈취 명령어의 일부





저장되는 정보의 종류로는 기본적인 PC 의 관련된 정보와 함께 랜카드 정보, 바탕화면 목록, 최근 오픈한 문서파일 정보, 실행중인 프로세스 정보 등이 해당된다.


[그림 4] 탈취하는 정보의 일부[그림 4] 탈취하는 정보의 일부




[그림 5] 랜카드 정보[그림 5] 랜카드 정보






필요한 정보를 저장한 후에 저장한 정보를 인코딩하여 특정 도메인의 공격자 서버로 전송한다. 이러한 정보수집 및 전송 행위는 15분 간격으로 반복하여 수행하며, 그 때문에 계속해서 변화하는 정보를 수집할 수 있다.


[그림 6] 수집한 정보 전송[그림 6] 수집한 정보 전송






3-3. 추가 악성코드 다운로드 및 실행

추가 악성코드를 실행하기 위해서 이전의 정보를 전송했던 곳과 같은 도메인을 통해 추가적인 데이터를 다운로드 요청한다.


[그림 7] 다운로드 요청[그림 7] 다운로드 요청





추가적인 데이터를 다운 받을 경우 이를 이전에 생성했던 '%Appdata%\Microsoft\HNC' 경로 하위에 'hupdate.ex' 파일로 생성하여 받아온 데이터를 파일에 덮어씌운다.


[그림 8] 다운받은 파일[그림 8] 다운받은 파일





새롭게 생성한 'hupdate.ex' 파일을 프로세스로 실행한다. 현재는 서버와 연결되지 않아 추가 악성코드의 실행 위험은 없으나 서버가 활성화되면 언제라도 추가적으로 악성코드를 다운받아 실행할 수 있다.


[그림 9] 추가 다운로드 파일 실행 코드[그림 9] 추가 다운로드 파일 실행 코드






4. 결론

이번 보고서에서 알아 본 'GoldDragon' 악성코드는 사용자 PC 의 정보를 수집하고 추가 악성코드를 다운받아 실행함으로써 추후의 공격을 위한 정찰병과 같은 역할로 생각할 수 있다. 

평창 올림픽 기간처럼 특별한 기간을 노리는 악성코드들의 움직임들은 빈번히 발생되었다. 평상시에도 주의를 기울여야 하지만 올림픽 기간과 같이 전세계적으로 이목이 집중 되는 기간에는 좀 더 사용자들의 주의가 필요할 것으로 보여진다.
또한, 신뢰할 수 없는 이메일의 첨부파일이나 다운받은 파일들을 실행하지 않도록 하고 사용하고 있는 OS 나 백신 제품을 항상 최신 버전으로 업데이트 하도록 하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면














Posted by nProtect & TACHYON

잉카인터넷, TACHYON Endpoint Security VB100 인증 획득






잉카인터넷은 자사가 개발한 '타키온 엔드포인트 시큐리티(TACHYON Endpoint Security)가 국제 안티바이러스 평가 기관인 '바이러스 블러틴(Virus Bulletin)'에서 진행한 테스트를 통과해 'VB100' 인증을 획득했다고 밝혔다. 

VB100 인증 테스트는 세계적으로 두 곳 이상의 지역에서 실제로 감염 활동이나 발견 등의 보고가 있었던 악성코드 샘플그룹 '와일드리스트(Wild List)'를 단 1개의 오진 없이 100% 진단 및 탐지해내야 하는 엄격한 테스트 기준을 가지고 있다. 체크마크, ICSA와 함께 세계적으로 공인 받는 국제보안인증 중 하나다. 
  
이번 인증은 윈도우 7과 윈도우 10 환경에서 테스트가 이뤄졌으며, 잉카인터넷의 '타키온 엔드포인트 시큐리티'은 와일드리스트 악성코드를 100% 차단 및 탐지를 하고 RAP(Reactive Detection and Proactive Detection)부문에서 매우 인상적인 테스트 점수(89.9%)를 획득하여 제품의 우수성과 신뢰성을 입증했다. 

잉카인터넷은 "2017년 12월에 VB100 인증 획득에 이어 2018년 2월에도 VB100 테스트를 통과해 제품의 우수성을 제고하고 제품 기술력을 다시 한번 국제적으로 검증 받았다"며 "앞으로 지속적으로 연구 개발을 통해 엔드포인트 보안 시장에 더욱 박차를 가해 좋은 성과를 보이겠다"고 포부를 밝혔다.


Posted by nProtect & TACHYON

새로 생성되는 파일도 암호화 하는 Rapid 랜섬웨어 주의


1. 개요 


2017년과 비교하였을 때 2018년에 랜섬웨어의 공격 빈도는 상대적으로 많이 줄어들었지만 꾸준히 발견되고 있다. 이번에 발견된 'rapid ransomware' 역시도 기존 랜섬웨어와 같이 파일 암호화를 진행하며 파일을 복호화 하기위해 공격자에게 이메일을 보내도록 유도한다.


'rapid ransomware' 만이 가지는 특징은 아니지만 해당 랜섬웨어는 암호화를 끝낸 뒤에 활성화 상태를 유지하며 암호화 동작을 반복적으로 시행한다. 이런 동작으로 인하여 새롭게 생성되는 파일 역시 암호화 된다.

이번 보고서에서는 새롭게 생성되는 파일까지도 암호화 하는 'rapid ransomware' 에 대해 알아보자.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

rapid.exe

파일크기

921,088 byte

진단명

Ransom/W32.Rapid.921088

악성동작

파일 암호화













2-2. 유포 경로

‘rapid ransomware’의 정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 스팸 메일을 통해 불특정 다수를 대상으로 유포하고 있는 것으로 추정 된다.




2-3. 실행 과정

해당 랜섬웨어 숙주파일이 실행되면 사용자 PC의 ‘%AppData%’ 경로에 원본파일을 ‘info.exe’로 복사하여 윈도우 부팅 시 자동으로 시작하도록 만든다. 그 후 대상이 되는 파일을 찾아 암호화 동작을 수행하고 파일 암호화가 완료되면 '.rapid' 확장자를 덧붙인다. 그리고 활성화 상태를 계속 유지하여 새로운 파일이 생성 될 경우 해당 파일 또한 암호화 하도록 한다.


[그림 1] 복사 된 파일[그림 1] 복사 된 파일








3. 악성 동작


3-1. 자동 실행 등록

해당 랜섬웨어는 자기 자신을 자동 실행 레지스트리에 등록한다. 이를 통해 사용자가 PC를 재부팅 하더라도 다시 사용자가 PC에 로그온하면 실행되어 암호화 동작을 수행한다.


[그림 2] 자동시작 레지스트리 등록[그림 2] 자동시작 레지스트리 등록





3-2. 파일 암호화

해당 랜섬웨어는 대상이 되는 파일을 찾아 암호화를 진행한다. 암호화는 드라이브 하위에서 아래와 같은 파일을 제외하고 시행된다. 이때 확장자를 구분하지 않고 암호화를 진행한다.


[그림 3] 암호화 제외 파일[그림 3] 암호화 제외 파일




암호화된 파일은 아래와 같이 [원본파일명.확장자].rapid 형식으로 파일명 뒤에 rapid를 확장자로 붙여준다.


[그림 4] 암호화된 파일[그림 4] 암호화된 파일




또한, 파일 암호화 후에도 활성화 상태를 유지하여 반복적으로 암호화 동작을 수행한다. 이로 인하여 새로 생성되는 파일 또한 암호화가 되도록 한다.





3-3. 데이터베이스 관련 프로세스 종료

'rapid ransomware' 는 암호화와 함께 oracle이나 sqlite 및 sql 같은 데이터베이스와 연관된 프로세스를 종료한다. 이를 수행하기 위해 커맨드 프롬프트에 아래와 같은 명령어를 전달하여 실행한다.


[그림 5] 특정 프로세스 종료[그림 5] 특정 프로세스 종료





3-4. 볼륨 쉐도우 삭제

암호화를 진행한 후에 피해자가 PC를 복원하는 것을 방지하기 위해 3종류의 명령어를 사용하여 복원 지점을 삭제한다.


[그림 6] 복원지점 삭제[그림 6] 복원지점 삭제



3-5. 금전 요구

파일 암호화가 완료되면 해당 랜섬웨어는 암호화된 파일에 대해서 복호화 화기 위한 방법으로 랜섬노트에 기록되어 있는 E-MAIL 주소로 연락하라는 내용을 안내하고 있다.


[그림 7] 랜섬노트[그림 7] 랜섬노트






4. 결론

이번 보고서에서 알아 본 'rapid ransomware' 는 아직까지 큰 피해는 발생하지 않았지만 실제 몇몇 피해 및 신고 사례를 갖고있는 랜섬웨어이므로 각별한 주의가 필요하다. 외국 온라인 게시판에서 자신이 관리하는 서버가 타격을 입었다는 게시물들을 통해 서버까지 공격대상에 포함된다고 추정해 볼 수 있다. 이러한 피해를 예방하기 위해 중요한 파일을 백업해두고 신뢰할 수 없는 파일에 대한 실행을 피하는 것이 좋다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 

[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면





nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

(※ 랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)

[그림 9] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능[그림 9] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능


Posted by nProtect & TACHYON

파일 바이러스 Bloored 





1. 개요 


대부분 사용자들이 일반적으로 악성코드하면 ‘바이러스(Virus)’를 떠오르기 마련이다. 바이러스는 사전적으로 ‘프로그램을 통해 감염되는 악성 소프트웨어’를 말하는데 보통 바이러스 감염 후에 공격자에게 실질적인 이득을 주는 기능이나, 기능 확장을 위한 추가 모듈 다운로드 및 실행 기능을 포함한다. 본 보고서에서 다루게 될 악성코드 Bloored는 앞서 설명한 바이러스 형태의 악성코드이며, 구조가 다른 바이러스들에 비해 비교적 단순하다. 본 보고서를 통해 바이러스가 다른 파일을 감염하는 방식과 공격자가 이를 이용해 불법적으로 이득을 취하는 방법을 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Bloored.exe

파일크기

259,072 byte

진단명

Worm/W32.Bloored.Gen

악성동작

파일 바이러스, 드롭퍼, 다운로더, 이메일 웜

네트워크

www.k***a.com

 


2-2. 유포 경로

바이러스는 주로 감염 파일의 실행으로 유포되므로, 대체로 감염된 컴퓨터에 연결되었던 USB 등의 보조기억매체를 통해 유포되었을 확률이 높다. 게다가 Bloored는 이메일 웜(Email-worm) 기능을 포함하기 때문에 이메일을 통해 유포 되었을 확률도 있다.



2-3. 실행 과정


해당 악성코드 실행 시, Bloored가 기록해 놓은 시그니처(Signature)를 확인하여 감염 여부를 판단한다. 감염 파일일 경우 시그니처에 포함된 정보로 감염 대상인 파일의 원래 크기를 이용하여 %TEMP%에 정상 파일을 복원 후 실행 시키고, 악성 동작을 수행한다. 감염되지 않은 파일일 경우 위 동작을 건너뛰고, 악성 동작을 수행한다.





3. 악성 동작


3-1. 파일 감염

경로 ‘C:\’를 루트로 이하의 파일과 디렉토리 내부를 감염하며, [그림 1]과 같이 루트에서 15회 이상 깊게 들어가지 않는다. C 드라이브 외에는 감염하지 않는다.


[그림 1] 깊이 제한[그림 1] 깊이 제한



[그림 2]와 같이 임시 파일을 생성하여 ‘악성PE - 감염 대상 PE - Signature’ 순서로 입력한 뒤 감염 대상 경로 파일 명으로 복사하여 파일 감염을 수행한다.


[그림 2] 파일 감염 루틴[그림 2] 파일 감염 루틴


여기서 Bloored는 실행 된 파일의 감염 여부를 고려하지 않기 때문에, 이미 감염된 파일이 다른 정상 파일을 감염 시키면 계속해서 파일이 뒤로 붙는 구조이다.




3-2. 파일 다운로드 및 실행

[그림 3]과 같은 루틴으로 파일을 다운로드 및 실행시킨다

[그림 3] 파일 다운로드 및 실행 루틴[그림 3] 파일 다운로드 및 실행 루틴




3-3. 이메일 웜

레지스트리 키 ‘HKCU\Software\Microsoft\WAB\WAB4\Wab File Name’을 참조하여, Outlook에서 사용하는 주소록 파일 ‘.wab(Windows Address Book)’의 내용을 파싱해 아래 그림들과 같은 내용을 임의로 선택하여 전송한다.

[그림 4] 전송하는 계정 명[그림 4] 전송하는 계정 명


[그림 5] 메일 내용[그림 5] 메일 내용


[그림 6] 첨부 파일 명[그림 6] 첨부 파일 명


[그림 7] 첨부 파일 확장자[그림 7] 첨부 파일 확장자



첨부 파일은 확장자가 .zip일 경우 압축된 Bloored.exe를, 이외의 확장자일 경우는 압축되지 않은 Bloored.exe가 첨부된다.




3-4. 파일 드롭

C ~ X 드라이브 중 DRIVE_FIXED 또는 DRIVE_RAMDISK 타입인 드라이브를 탐색하여, 문자열 “shar” 또는 “mus”를 디렉토리 명에 포함하는 디렉토리 발견 시 bloored.exe 파일을 아래 [그림 8]의 파일 이름으로 복사한다.

[그림 8] 드롭 파일 명[그림 8] 드롭 파일 명



드라이브 탐색 중 아래와 같은 확장자 파일 발견 시, 이메일 주소를 파싱하여 ‘3-3. 이메일 웜’ 항목과 같이 메일을 전송한다.

[그림 9] 파싱 대상 파일[그림 9] 파싱 대상 파일





4. 결론


Bloored와 같은 바이러스는 정상 파일을 악성 파일로 만들기 때문에, 일반적인 악성코드의 치료방법인 ‘삭제’보다 치료 방법이 까다롭다. 그렇기 때문에, 감염 시 치료가 불가능한 파일이 비교적 많이 발생할 수 있어, 원본 파일을 삭제할 수 밖에 없는 상황이 생길 수 있다. 이런 바이러스에 감염되지 않도록 수시로 OS와 응용 프로그램들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 감염을 예방할 필요가 있다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[그림 11] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 11] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면







Posted by nProtect & TACHYON

샌프란시스코 지하철 해킹에 사용된 Mamba 랜섬웨어





1. 개요 


지난 11월 샌프란시스코 철도 시스템(일명 Muni)의 2,112 대 컴퓨터가 랜섬웨어에 감염되었다. 이로 인해 해당 역의 결제 시스템과 스케줄링 시스템을 사용할 수 없게 되었으며, 결국 전철을 임시로 무료 개방하는 상황에 이르렀다. 


이번 사태에 이용된 랜섬웨어는 바로 Mamba(또는 HDDCryptor) 랜섬웨어다. 해당 랜섬웨어는 파일을 암호화하는 것이 아니라 하드 디스크를 암호화하기 때문에 부팅 시 지정된 암호를 입력해야만 PC 를 부팅할 수 있게 된다. 이번 분석보고서에서는 Mamba 랜섬웨어에 대해 알아보고자 한다.



2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

mamba.exe (임의의 파일명)

파일크기

2,415,104 byte

진단명

Ransom/W32.Dcryptor.245104

악성동작

하드 디스크 암호화

 


2-2. 유포 경로

이번 사태에 대한 정확한 유포 경로는 아직 밝혀지지 않았다. 하지만 일반적으로 Mamba 랜섬웨어가 이메일에 첨부되어 유포되었다는 점에서 출처가 명확하지 않은 첨부 파일의 열람을 주의하여야 한다.



2-3. 실행 과정


해당 랜섬웨어가 실행되면 자기 자신을 서비스로 등록하여 백그라운드에서 사용자 모르게 디스크 암호화를 진행한다. 디스크 암호화에는 오픈 소스 암호화 도구인 Disk Cryptor 가 사용된다. 암호화가 완료된 후 사용자가 PC 부팅을 시도하면 디스크에 암호가 걸려있어 부팅할 수 없게 된다.





3. 악성 동작


3-1. 서비스 및 계정 등록

Mamba 랜섬웨어는 자기 자신을 ‘DefragmentService’ 라는 이름의 서비스로 등록한다. 해당 서비스는 PC 부팅 시 자동으로 실행되도록 되어 있으며 사용자의 하드 디스크를 암호화하는 역할을 한다.


[그림 1] 새로 등록된 서비스[그림 1] 새로 등록된 서비스



‘DefragmentService’ 서비스로 디스크를 암호화하기 위해, 서비스 등록 후 새로운 사용자 계정이 생성되고 PC가 강제로 재부팅된다. 이 계정에는 로그인 암호가 설정되어 있어 사용자의 로그인이 불가하다. 사용자가 로그인 화면에서 암호를 찾는 이 때, Mamba 랜섬웨어는 앞서 언급한 서비스로 디스크 암호화를 진행한다.


[그림 2] 새로 등록된 사용자 계정[그림 2] 새로 등록된 사용자 계정



3-2. 파일 드롭

랜섬웨어가 실행되면 “C:\DC22” 라는 폴더가 생성되며 그 안에 아래와 같은 파일이 드롭 된다. 드롭 된 파일 중 “’dc*” 라는 이름을 가지고 있는 파일은 모두 오픈 소스 암호화 도구인 ‘DiskCryptor’의 파일이다.

[그림 3] 드롭 되는 파일 목록[그림 3] 드롭 되는 파일 목록


dcrypt.exe를 실행하면 다음과 같이 DiskCryptor GUI 도구가 실행되는 것을 확인할 수 있다.


[그림 4] 오픈 소스 암호화 도구 ‘DiskCryptor’[그림 4] 오픈 소스 암호화 도구 ‘DiskCryptor’



3-3. 디스크 암호화

드롭 된 DiskCryptor 도구가 바로 암호화에 사용되며, Mamba는 서비스를 등록하여 사용자가 인지하지 못하도록 백그라운드에서 디스크 암호화를 진행한다. 암호화가 완료된 후 PC 를 부팅하면 다음과 같이 암호화 사실을 확인할 수 있다.

[그림 5] 암호화된 디스크[그림 5] 암호화된 디스크


패스워드 입력이 틀릴 경우 다음과 같이 ‘password incorrect’ 라는 문구가 출력되며 사용자는 PC 를 부팅할 수 없게 된다.

[그림 6] 비밀번호 입력[그림 6] 비밀번호 입력





4. 결론


제작자의 권리를 지키면서 원시 코드를 누구나 열람할 수 있는 오픈 소스는 다양한 도구로 여러 사람들에게 사용되며 영향력이 급속도로 확장되고 있다. 그러나, Hidden Tear나 Disk Cryptor와 같이 암호화 관련 오픈 소스는 공격자가 랜섬웨어 제작에 악용하는 사례가 점차 증가하고 있다. 


Mamba 랜섬웨어와 같이 디스크 자체를 암호화하는 랜섬웨어는 사용자가 계정의 암호를 찾지 못하는 이상 아무것도 할 수 없기 때문에 피해가 크다. 뿐만 아니라 이번 사례와 같이 Mamba 랜섬웨어가 철도와 같은 공공 시스템에 피해를 입혔기 때문에, 일반 사용자뿐만 아니라 기업이나 정부 관련 부서의 임직원도 랜섬웨어 피해에 각별히 주의하여야 한다. 


랜섬웨어가 유포되는 방법이 다양화되고 있는 만큼 사용자가 사전에 주의하는 것이 가장 중요하다. 랜섬웨어의 피해를 최소화 하기 위해서는 백신 제품을 설치하고 항상 최신 업데이트를 유지하여야 한다. 또한 취약한 웹페이지의 방문을 자제하여야 하며, 출처가 불분명한 이메일 첨부 파일의 경우 함부로 열어서는 안된다. 


해당 랜섬웨어는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)


[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면






Posted by nProtect & TACHYON

잉카인터넷, 미국 금융정보보호 콘퍼런스 ‘37th Annual Regulatory Compliance Conference’ 참가



잉카인터넷(대표 주영흠)은 10월 6일부터 9일 미국 캘리포니아 Rancho Mirage 에서 열리는 금융정보보호 콘퍼런스 ‘37th Annual Regulatory Compliance Conference’(이하 ARCC)에 참가해, 온라인 금융보안 솔루션 nProtect Online Security (이하 nProtect NOS)를 금융 관계자들에게 소개했다고 전했다.


ARCC는 캘리포니아 은행 협회가 해마다 주최하는 컴플라이언스 콘퍼런스로, 매년 캘리포니아 은행 협회에 소속된 약 200여 개의 금융사 관계자와 IT, 보안 및 컴플라이언스 담당자가 참여하는 행사이다. 이번 콘퍼런스는 금융기관이 반드시 준수해야 하는 컴플라이언스 내용과 신규 지침사항, 위험 관리에 관해 교육과 세미나를 마친 뒤 금융보안제품을 소개 했다.





nProtect NOS는 금융사기로부터 개인정보를 보호하기 위해 ▲안티바이러스 ▲키보드 보안 ▲안티파밍 ▲안티피싱 ▲네트워크 보호 ▲화면캡처 방지 등의 기능을 제공한다. 즉, 인터넷 뱅킹을 이용하는 사용자가 금융 서비스를 이용 시 보안 제품에 대해 안내 하고 보안 기능이 작동되어 실시간으로 고객 PC를 점검하여 사이버 범죄로부터 예방하는 서비스이다.


이날 잉카인터넷은 미국 금융관계자들 앞에서 금융보안 전문 제품인 nProtect NOS를 선보였다. 단순히 제품을 설명하는 것에서 끝나는 것이 아니라 실제 악성코드가 탐지되고 치료되는 과정을 자세히 보여주었다. 또한 인터넷 뱅킹 이용 시 피싱/파밍 공격에 대해 중점적으로 보여주고 이를 차단하는 것을 시연하여 많은 호응을 얻었다.


잉카인터넷 주영흠 대표는 “이번 콘퍼런스를 통해 미국 현지 금융 담당자들의 목소리를 들을 수 있었으며 nProtect NOS의 경쟁력을 알릴 수 있었다.”고 전했다. 또한, “이번 참가를 계기로 세계 시장에 더욱 적극적으로 나아갈 것”이라고 말했다.


한편 잉카인터넷은 최근 First National Bank에 nProtect NOS를 구축하였으며, 우드휴스턴은행, 뱅크오브아메리카 및 CBB은행 등 미국 금융시장에 고객사를 확대하고 있다.


Posted by nProtect & TACHYON
최근 매스컴을 통해 "해킹", "바이러스", "DDoS"등 악성 프로그램으로 인한 피해를 다룬 기사거리를 종종 볼 수 있는데, 과거에 비하면 그 빈도 수가 상당히 많아진 느낌입니다. 그만큼 PC가 우리의 생활에 중요한 역할로써 자리잡고 있으며 악성 프로그램도 더욱 위협적인 존재가 되었다고 볼 수 있겠죠. 과거엔 그저 파일을 감염시키던 단순한 악성 프로그램과는 달리 현대에는 개인정보 유출이나 사이버테러에까지 그 종류 및 공격방법도 다양해지고 있습니다.
이런 악성 프로그램의 위협을 잘 알고 있지만 어떻게 확인할 수 있으며, 또 어떻게 내 PC를 관리해야 할까요?
그래서 오늘은 악성 프로그램으로부터 내 PC를 든든하게 지켜줄 백신프로그램의 대해 다뤄보도록 하겠습니다. "지피지기 백전불태"란 말이 있듯, 백신프로그램의 사용법을 자세히 숙지하고 사용해야 갖은 위협들로부터 내 PC를 안전하게 지켜낼 수 있습니다. 그럼 내 PC를 안전하게 지켜줄 "nProtect Anti-Virus/Spyware 2007" 이하 "nProtect AVS 2007"의 사용법과 옵션 설정방법에 대해 집중적으로 다뤄보도록 하겠습니다. 

먼저 아래의 링크에서 프로그램을 다운로드받아 nProtect AVS 2007을 설치합니다.

▣ nProtect AVS 2007 제품소개 및 다운로드 받기
http://www.nprotect.com/service/avs2007/

아래는 "nProtect AVS 2007"이 실행된 모습 입니다.


nProtect AVS 2007은 메인화면 좌측에 보이는 것과 같이  크게 아래의 5가지의 메뉴로 구성되어 있으며, 각 메뉴의 간략한 설명 및 기능은 아래와 같습니다.

보안센터 : 현재 보안설정 상황을 한눈에 볼 수 있으며, 업데이트 및 제품정보에 관련된 설정을 빠르게 할 수 있습니다.
바이러스 / 스파이웨어 :  nProtect AVS 2007의 핵심 기능으로 실시간 감시기를 이용해 시스템을 검사할 수 있습니다.
시스템 청소 : 시스템에 불필요한 파일을 삭제하여 디스크 공간을 확보하고 PC를 최적화 시킵니다.
파일 관리 : 중요한 파일을 암호화 하여 안전하게 보호하고, 완전삭제가 필요한 파일은 복구가 불가능하도록 시스템에서
                      완전히 삭제할 수 있습니다. 
로그 및 알림 : 로그정보를 보거나 알림을 설정할 수 있습니다.

자, nProtect AVS 2007의 설치가 완료되었습니다. 이제 무엇을 해야 할까요?
바로 "업데이트"입니다. 백신프로그램의 주 기능인 "시스템 검사" 및 "실시간 검사" 기능도 업데이트 없이는 무용지물 일 뿐입니다.
업데이트는 컴퓨터백신에서 정말 중요한 작업으로, 최소한 하루에 한 번 업데이트하여 최신 버전을 유지해 주어야 합니다. 업데이트방법에는 "수동 업데이트"와 "자동 업데이트"가 있으며, 먼저 "수동 업데이트" 방법을 살펴보도록 하겠습니다.

"백신 업데이트"는 PC보안의 기본 
 
nProtect AVS 2007의 업데이트 메뉴는 메인메뉴 상단과 보안센터->제품정보 탭 총 두 곳에 위치하고 있으며, 업데이트 버튼을 클릭하여 업데이트 유틸리티 창을 띄우도록 합니다.

"업데이트 유틸리티"에서 업데이트 가능한 패턴과 제품을 확인하여 다음 "업데이트 시작"을 눌러 업데이트를 진행합니다. 파일 복사까지 완료 되면, nProtect AVS 2007이 재시작 후 업데이트가 완료 됩니다. 


제품 정보에서 최신 업데이트된 패턴 버전과 패턴 수량을 확인할 수 있는데, 최신 업데이트 패턴이 정상적으로 출력되면 업데이트가 정상적으로 완료 된 것 입니다.


위와같이 수동 업데이트는 매번 직접 업데이트 버튼을 클릭해야 하는 번거로움이 있으므로, 자동 업데이트를 이용하는 것이 좋습니다. 그러나 nProtect AVS 2007에는 이미 "자동 업데이트"가 기본으로 설정되어 있으므로, 업데이트 시간 및 정책설정만 변경 하도록 합니다. 아래는 "자동 업데이트" 설정 및 정책 변경방법 입니다.

"업데이트 유틸리티"에서 "옵션"을 클릭 합니다.


"자동 업데이트 사용"을 체크하면 자동 업데이트를 사용할 수 있으며, 아래 "업데이트 주기"는 기본 설정이 3시간 마다 업데이트를 체크하게 되어 있으며, 임의의 시간으로 변경 가능 합니다.


이제 최신 패턴 업데이트까지 완료가 되었다면 드디어 "시스템검사"를 해보도록 하겠습니다!

"시스템 검사"로 악성 프로그램을 박멸하자!

시스템검사는 "바이러스/스파이웨어" 메뉴의 "검사"에서 진행할 수 있습니다. 검사의 종류에는 "기본 검사", "전체 검사", "사용자 지정 검사"로 총 3개의 검사 방법이 있는데, 여기서 "전체 검사"는 말뜻 그대로 시스템 전체를 검사하기 때문에 시간이 오래 걸리는 단점은 있으나 시스템내의 모든 악성 프로그램을 진단할 수 있는 장점이 있어 nProtect AVS 2007 최초 설치 후 "전체 검사"로 시스템을 정밀 검사 하는것이 좋습니다.  

 먼저 "전체 검사"를 선택 후 "검사 시작" 버튼을 클릭합니다.


nProtect AVS 2007의 듀얼 엔진이 로드된 후 사용중인 프로세스, 레지스트리, 파일을 차례로 검사중 입니다.

검사가 완료 되면 검사된 악성 프로그램의 경로와 진단명 그리고 치료 유무에 대해서 아주 자세히 확인할 수 있습니다.
앗! 트로이목마가 발견 되었습니다! 트로이목마는 감염된 PC의 정보를 외부로 유출하는 악성 프로그램 입니다.
소중한 나의 정보가 외부로 유출될 수 있으니 빨리 치료 해보도록 하겠습니다. 아래의 치료버튼을 클릭합니다.


간단히 삭제로 치료가 완료되었습니다. 하지만 발견된 악성 프로그램의 종류에 따라 시스템 재부팅 후 완벽히 치료되는 악성 프로그램도 있으니 "상태" 메시지를 정확히 확인하여 치료가 정상적으로 완료할 수 있도록 해줍니다. 


이렇게 "전체 검사"를 통해 시스템을 진단하고 완벽히 치료까지 했습니다. 그 외 "기본 검사"와 "사용자 지정 검사" 또한 동일한 방법으로 쉽게 검사를 진행할 수 있으며, "기본 검사"는 시스템의 메모리와 주요 항목(윈도우 시스템 파일)만 빠르게 탐색하는 검사 방법이며, 만약 윈도우 시스템 파일에 악성 프로그램이 감염될 경우 시스템에 아주 치명적일 수 있기 때문에 가장 일반적으로 사용하는 검사 방법입니다. "사용자 지정 검사"는 감염 의심되는 디스크 및 폴더만 선택하여 검사를 빠르게 진행할 수 있어 "기본 검사"와 "전체 검사"의 장점을 두루 갖추었다고 볼 수 있습니다.

이제 검사부터 치료까지 모두 완료하여 악성 프로그램으로부터 PC가 안전해졌지만 언제든지 위와 같은 악성 프로그램에 감염될 수 있으므로 안심은 금물입니다. 무엇보다 감염을 사전 예방하여 위험을 최소화하는 것이 가장 완벽한 보안이라고 할 수 있습니다.
"시스템 검사"는 악성 프로그램에 의해 감염된 후 치료하였다면 이번에는 감염 전 미리 예방하는 방법에 대해 알아보도록 하겠습니다.


"실시간 검사"로 감염을 사전 예방하자!
 
"바이러스/스파이웨어" 메뉴의 "실시간 검사 사용"을 "On"에 놓으면 실시간 검사를 사용할 수 있습니다.


실시간 감시에는 등급이 있는데 등급이 높을수록 실시간 검사 시 더욱 정밀한 검사를 시행하지만 저 사양의 PC에선 시스템이 느려질 수 있으므로 자신의 시스템 상황에 따라 알맞게 설정합니다.
아래는 "내 문서"에 악성 프로그램이 있다는 가정하에 "내 문서"를 더블클릭하여 접근 시 악성 프로그램의 여부를 파악하여 경고창이 출력된 모습입니다. PC가 느려진다는 이유로 "실시간 검사"를 꺼두었다면, 악성 프로그램인지 모르고 아무런 의심 없이 파일을 실행하여 PC에 감염되었을지도 모르는 아찔한 상황입니다.

지금까지 nProtect AVS 2007의 "업데이트"부터 "시스템 검사", "실시간 검사"까지 알아보았습니다. 위에서 함께 살펴본 것과 같이 백신 프로그램은 설치만으로 그 기능을 제대로 발휘할 수 없습니다. 자신에게 맞는 옷이 있는 것 처럼 백신프로그램 또한 시스템에 맞는 설정이 필요하며, 아래 링크에 있는 "윈도우 업데이트"로 최신 보안업데이트까지 완료한다면 PC를 더욱더 안전하게 보호할 수 있습니다.

▣ "쉽게 배우는 윈도우 업데이트" 바로가기
http://erteam.nprotect.com/8
Posted by nProtect & TACHYON