시간: 2020 년 6 월 15 일 출처: CERT

　　　　　　　　　 위협은 네가 나를 다투는 전쟁이다. 능력은 새로운 나와 낡은 나의 반복이다. 작별과 환영은 자신을 암시하는 구령이다. 20 년간의 안보 위협은 친력자의 공로가 아니라 바로 눈앞에 기세를 부리고 출발을 기다리는 동력이다. 인터넷 보안 20 년 동안의 위협 사건을 기록하고, 한 기업의 연마와 견지를 읽고, 한 길의 왕래와 앞날을 읽다.

　　　　　　　　　 안천팀은 2000 년에 창업하여 민간 기술 실험실을 모델로 한 10 년과 기업화 운영의 10 년을 겪었다. 운영 방식의 변화에 관계없이 안천은 시종 위협 대항의 최전선에 서 있다. 지난 20 년은 정보화의 급속한 발전과 보안 위협이 격렬하게 진화한 20 년이다. 안천은 필요에 따라 변화하고 위협 모니터링, 캡처 기능을 지속적으로 개선하며 트래픽 모니터링, 허니팟 캡처, 미끼 사서함, 정보 공유 등 10 여 개 링크를 포함한 프런트 엔드 인식 시스템을 구축했습니다. 자동화 분석 및 처리 능력을 지속적으로 향상시키고 일일 처리량이 백만 수준 이상인 자동화 처리 플랫폼을 점진적으로 구축하여 초대형 위협 지식지도와 안천TID 위협 정보 플랫폼을 형성하고 있습니다. 안천은 적색 코드에서’ 마법굴 (WannaCry)’ 등 주요 안전사건에 대항하는 과정에서’ 첫 번째 시작’ 과 동시에 다중선 위협, 3 체계 연계, 4 작업면 시너지’ 에 대한 응급대응 메커니즘을 형성하고 있다.

　　　　　　　　　 현재 사이버 공간 분야의 투쟁은 이미 대국 게임과 지정안전에서 정상화된 존재이며, 사이버 공간은 정치 군사 경제 등 분야 투쟁의 선발’ 전장’ 이며, 능력형 사이버 안전기업은 끊임없이 자신에 대한 사명요구를 높여야 한다. 2010 년부터 안천은 여러 APT (고급 지속성 위협) 공격 및 공격 조직을 심도 있게 추적하고 TID 위협 정보 플랫폼 및 추적 위협 분석 시스템 등의 제품과 함께 대량의 분석 작업을 벌여 여러 편의 중량급 분석 보고서를 발표하여 우리나라가 겪은 APT 공격을 폭로했다.

　　　　　　　　　 안천은 과거 악성 코드와 맞닥뜨린 작은 폐쇄 루프에서 고객을 전면적으로 보완하고 고객이 방어체계를 구축하고 위협에 효과적으로 대응할 수 있도록 도와주는 큰 폐쇄 루프로 나아가고 있다. (윌리엄 셰익스피어, 윈스턴, 악성 코드, 악성 코드, 악성 코드, 악성 코드, 악성 코드) 안천에게 이것은 어려운 과정이자 반드시 달성해야 할 돌파구이다.

　　　　　　　　　 이 글은 지난 20 년간 안보 위협에 대항하는 과정에 대한 안천의 회고와 반성이며, 우리는 지속적인 기술 축적과 자기반성을 가지고 더욱 명확한 책임 사명에 직면할 것이다. 아침저녁으로 보이는 길을 줍고, 비바람도 초심을 저버리지 않는다.

　　　　　　　　　 2000 년 정보기술 발전은 특수한 시기였으며, 개인용 컴퓨터 혁명의 고조와 정보 고속도로의 출현이 겹치고 격동되었다. 독립 실행형 운영 체제인 DOS 는 네트워크 통신을 완벽하게 지원하는 Windows 9x 운영 체제의 광범위한 사용을 위해 완전히 퇴장했습니다. Windows NT 는 또한 전통적인 유닉스 시장, 웹 서비스, FTP 서비스, 이메일 서비스를 완전히 잠식하고 있으며 상아탑의 사치품에서 일반 사용자가 정보를 얻고 교환하는 방식으로 바뀌고 있다. 이러한 변화는 거대한 혁명 변혁을 가져오는 동시에, 컴퓨터 악성 코드도 이를 통해 대규모로 유행한다.

　　　　　　　　　 DOS 시대에는 감염된 바이러스 (Virus), 웜 (Worm), 트로이 목마 (Trojan) 가 상대적으로 좁은 밴드와 상호 배타적인 기술 개념이었다. 형태상 감염형 바이러스는 코드 단편으로 숙주 프로그램이나 디스크 부팅 기록에 감염해야 하고, 웜은 숙주 프로그램에 감염되지 않고 자신을 전파하는 독립 프로그램이며, 목마는 사전 설정된 악성 논리이지만 전파능력이 없는 프로그램이다. 이 기간 동안 디스크는 데이터 교환의 주요 방식이며, 감염된 바이러스는 종류와 수량면에서 주류를 이루고 있습니다. 이 상황은 Win9x 시스템의 부상과 함께 크게 변했다. 악성 코드 작성자의 상상력이 프로그램 숙주 공간의 한계를 돌파했고, Happy99 웜은 이메일을 납치하는 방식으로 전파되고 빠르게 유행해 웜 시대의 막을 열었다. 코드명’ 죽은 소 제례’ 를 부르는 해커 단체는 백 오피스 2000 트로이 목마 (BO) 를 발표하고 오픈소스를 공개했고, BO 는 국내 획기적인 사이버 공격 도구가 되면서 트로이 목마 중 가장 큰 분기인 RAT (RAT) 를 활성화시켰다.

　　　　　　　　　 이후 악성 코드가 진화함에 따라 감염형 바이러스가 점점 작아지면서 웜은 주류 위협 유형이 되어 5~8 년 동안 계속되었다. 이후 트로이 목마의 수는 이익 중심 모드에서 기하급수적으로 증가하기 시작했다. 이 시점에서’ 바이러스’ 는 좁은 의미의 감염형 바이러스 개념에서 각종 악성 프로그램에 대한 통칭으로 전환되어 언론에 널리 사용되고 있지만, 학술문헌에서는 악성 코드 (Malicious code, Malware) 개념으로 이러한 위협을 표현한다.

　　2.1 웜 대폭발 시대 (2000~2005)

　　　　　　　　　 2001 년 8 월 6 일, 레드 코드 웜 변종인’ 레드 코드 II’ 가 국내에서 폭발하면서 안천은 처음으로 긴급 대응을 시작했다. 빨간색 코드는 기존의 바이러스 백신 작업자의 일반적인 인식을 완전히 초월합니다. 웜은 파일 전달체가 없습니다. 대신 IIS 서비스의 오버플로우 취약점에 의존하여 시스템 메모리에서 살아남습니다. 웜이 시스템에 들어가면 악성 파일이 생성되지만 이 악성 파일은 웜의 파일 엔티티가 아닌 뒷문을 만드는 데 사용됩니다. 안천이 국내 일부 IDC 호스트에 배포한 모니터링 프로브가 처음으로 빨간색 코드 II 의 포트 스캔 동작을 발견하자 바이러스 분석팀 (현재 안천안전연구와 응급처리센터, CERT) 이 즉각 분석했다. 6 시간 후 안천은 공개적으로 분석 보고서를 발표하고, 전용 살인 도구를 제공하고, 주관 부서에서 스캐닝 조사 도구를 개발하도록 도왔다.

　　

　　그림 2-1 빨간색 코드 II 전용 도구 인터페이스 (2001)

　　　　　　　　　 2002 년 안천은 하공대 관련 연구실과 공동으로 바이러스 방향 연구를 실시하고 하공대-안천연합 CERT 팀을 결성했다. 이 기간 동안 안천은 고속 네트워크에 적용되는 전체 규칙 필터링 기능을 갖춘 안티바이러스 엔진을 개발했다.

　　　　　　　　　 2003 년 3 월 8 일 하공대-안천연합 CERT 팀은 여러 모니터링 노드에서 비정상적인 네트워크 동작을 발견하고 나중에 암호 웜 (Dvldr) 이라는 악성 코드 샘플을 수집했습니다. 연합팀은 샘플 분석 및 사건 처리 작업을 긴급히 시작하여 전용 살인, 검증 도구 및 면역 도구를 발표했다. 이후 연합팀은 최근 3 개월간의 분석을 통해 국내 감염 노드 4 만 7000 개를 조사하여 일부 전파 타이밍을 복원했다.

　　

　　그림 2-2 암호 웜 보고서 (2003)

　　　　　　　　　 Antiancert 가 막 시작되었을 때, 몇 명의 분석가만 있는 상황에서 여러 주요 사건의 분석 임무를 순차적으로 완수했다. 지속적인 증거 수집, 분석, 추적 실전에서 CERT 는 점차 성장하고 있으며, 경험한 시련과 축적된 경험은 앞으로의 응급대응 작업 과정을 위한 든든한 토대를 마련했다.

　　

　　그림 2-3antian 웜 위협 사건에 대한 긴급 대응 절차 (2004)

　　　　　　　　　 제품 기술 변화의 관점에서 볼 때, 이 시기는 웜 사건으로 인해 네트워크 측 제품 기술의 발전을 주도하고 있다. 2000 년 초, 사이버 위협은 happy99 와 같은 메일 웜, 코드 레드로 대표되는 스캔 오버플로우형 웜을 위주로 했다. 그러나 이 시점에서 네트워크 모니터링 장비의 전달체 처리 능력은 낙관적이지 않으며, 직로 장비의 처리량은 여전히 100 조 수준에 기반을 두고 있습니다. 탐지하고 필터링할 수 있는 객체는 주로 콘텐츠가 아니라 패킷 헤더 수준에서 트래픽의 전체 복원을 논할 수 있습니다. 우회 장치가 트래픽 복원을 실현하는 데 필요한 병렬 스택 등의 기술도 미성숙하다. Antian 은 2002 년부터 패킷 수준에서 사전 프로세서에 의존하지 않는 전체 규칙 엔진을 구축하고 기가비트의 회선 속도에 도달하려고 시도했으며, 바이러스 백신 엔진은 프로토콜 복원에 의존해야 하는 파일 감지의 한계를 뛰어넘어 기가비트 제로 복사 기술을 수용할 수 있게 되었습니다. 2004 년 Antian 은 이 엔진을 사용하는 트래픽 감지 시스템의 이름을 VDS (네트워크 바이러스 감지 시스템) 로 지정했으며, 시스템은 우회 액세스 방식에 따라 네트워크 측 트래픽을 복원 및 감지했습니다. 이 시스템은 우리나라가 대규모 악성 코드 활동을 감시하기 위한 기술 기반을 마련했으며, 안천탐해 위협 탐지 시스템은 바로 이 시스템을 기반으로 개발되었다.

　　　　　　　　　 Antian 은 악성 코드 분석 작업에서 악성 코드 지식을 체계화한 종이 비행기의 공식 사이트 다운로드 주소가 어디에 좋은지 악성 코드 백과사전을 형성하고 공개 조회 (Virusview.net) 를 제공했다.

　　

　　그림 2-4antian 바이러스 백과 사전 (2005)세계 랭킹 1 위오피스타공식 입구는 어떻게 찾나요?

　　2.2 트로이 범람 시대 (2005~2010)

　　　　　　　　　 2005 년부터 0day 취약점은 웜을 작성하는 데 사용되지 않고 공격자에 의해 방향 공격이나 대량 배치 악성 코드에 사용되었습니다. 엔드포인트 시스템의 보안은 WindowsXP 와 같은 시스템이 광범위하게 적용됨에 따라 DEP, ALSR 등의 보호 기술이 시스템의 기본 보안 구성이 되었습니다. 인터넷 웜의 영향이 쇠약해지면서 트로이 목마의 수가 폭발적으로 증가하기 시작했다. 소셜 소프트웨어, 온라인 게임 이용자 수가 계속 늘어남에 따라 악성 코드 작가의 이익성이 현기, 심리적 만족, 프라이버시 엿보기 등 사이버 공격 활동의 기본 동력을 대신해 사이버 공격 활동의 주요 의도가 되고 있다. 인터넷 자격 증명, 게임 계정, telegram 의 중국어판을 훔쳐 다운로드한 사이트가 어떤 방식인지 등을 훔치는 수익행위가 보편화되기 시작했다. 이러한 악성 코드는 고대 그리스 트로이 전쟁에서 유명한’ 목마계’ 처럼 컴퓨터에서 은밀하게 은밀히 활동하고 있다. (윌리엄 셰익스피어, 트로이, 트로이, 전쟁, 전쟁, 전쟁, 전쟁, 전쟁, 전쟁)

　　　　　　　　　 2005 년, 회색 비둘기로 대표되는 원격 제어 프로그램은 기술적으로 성숙해지고 감염 건수가 계속 증가하면서 안천센트는 이런 원격 제어 프로그램에 대해 대량의 분석과 연구를 진행하였으며, 관련 부서가 네트워크를 통해 원격 제어 프로그램의 사용 현황을 감시하는 데 도움을 주었다. 2006 년 6 월 9 일 안천은 국내 최초로 강탈을 목적으로 하는 레드플러스 목마를 포착했다. 이 악성 코드는 오늘날 범람하고 있는 협박 소프트웨어의 프로토타입이다. 같은 해 8 월 14 일, 마법파 사건에서 안천은 3 시간 이내에 초보적인 분석을 완료하고, 경보와 분석 보고서를 제때 발표하고, 특살도구를 제공하여 우리나라에서 마보 바이러스가 격노하는 것을 전면 막고, 국내에서 감염된 바이러스를 신속하게 제거했다. 같은 해 판다가 분향을 일으켜 단기간에 전 세계 대량의 컴퓨터를 감염시켰고, 피해 호스트의 실행 파일 아이콘이 판다가 세 개의 향을 들고 있는 모습으로 바뀌었다. Antiancert 는 팬더가 향을 피우는 다양한 변종의 전파 방식, 감염 방식 등을 적시에 분석하고 전문 살인 및 복구 도구를 신속하게 발표했다.

　　

　　그림 2-5 팬더 분향 감염 후의 파일 아이콘 (2006)

　　　　　　　　　 2007 년부터 2009 년까지 지하경제운영은 점점 성숙해져 악성 코드가 더 이상 민간에만 속하지 않고’ 직업기술팀’ 방향으로 개발과 연구를 발전시켜 이 기술 지원 하에 회색 산업 체인을 형성했다. 이 단계에서 각종 목마가 창궐하여 폭발의 성수기를 맞아 전파 범위가 특히 넓다. 판다향을 대표하는 웜 악성 코드도 이 단계에서 점차 사라지고 역사의 무대에서 물러나기 시작했다. 소셜 소프트웨어, 온라인 게임이 성황함에 따라 인터넷 자격 증명, 게임 계정, telegram 의 중국어 버전 다운로드 사이트를 훔치는 악성 코드가 유행하기 시작했다. 또 광고물, 좀비 인터넷, 다운로더 등 악성 코드도’ 곳곳에 꽃이 피었다’ 고 밝혔다. 계정 범주를 훔치는 것은 주로 QQ 자격 증명 (QQpass 제품군), 온라인 게임 자격 증명 (OnlineGames 제품군) 을 훔치는 것을 위주로 하며, 전파 방식 주로 웹 말, USB 디스크를 위주로 한다. 이 시기에 바이러스 백신 소프트웨어는 온라인 게임 도호목마에 대한 감시조사를 강화하기 시작했고, 이어’ AV 종결자’ 목마가 터져 2007 년 상반기’ 독왕’ 으로 당선됐다. AV 종결자의 주요 특징은 USB 를 통해 전파되고, 바이러스 백신 소프트웨어 등 관련 보안 프로그램과 맞서고, 안전패턴을 파괴하고, 대량의 도적목마를 다운로드하고, 그 변종이 디스크 면역을 파괴할 수 있다는 것이다. 안천은 2007 년부터 2009 년까지 대량의 유행목마를 분석했다.

　　　　　　　　　 목마 수의 급증은 백엔드 분석 지원 체계의 개선을 촉발시켰다. 반악성 코드 기술은 빙산과 같습니다. 엔진과 프런트 엔드 제품은 빙산의 수면 위에 있는 부분일 뿐, 더 큰 부분인 악성 코드 백그라운드 분석 처리 메커니즘은 수면 아래에 있습니다. 이것은 대량의 컴퓨팅 노드를 기반으로 한 거대한 분산 처리 시스템입니다. 2005 년부터 인터넷이 널리 보급되어 응용 프로그램 수가 급속히 증가하고 있는 반면, 지하경제활동이 만연해 목마 수가 급격히 팽창하고, 바이러스 백신 업체들이 매일 포착한 알 수 없는 파일 수가 만량급에서 10 만, 백만 양급으로 급속히 증가하고 있다. 거대한 샘플 식별 압력이 바이러스 백신 종사자 앞에 가로놓여 있으며, 인공 분석 응답을 전면적으로 채택하면 작업량이 수렴할 수 없게 된다. 안천은 기존 배치 샘플 자동화 분석 라인을 기반으로 대량 샘플용 자동화 파이프라인 분석 플랫폼을 구축하고 보완하기 시작했습니다. 가상 실행 분석, 형식 인식 및 깊이 정적 해체, 비교 스캔, 파일 신뢰성 테스트, 터미널 신뢰성 테스트 등을 도입함으로써 전체 시스템의 검증 능력을 점진적으로 향상시킬 수 있습니다. 전체 파일에 대해 자동화된’ 검증-규칙-테스트’ 를 실현할 수 있습니다.

　　

　　그림 2-6 자동화 파이프라인 분석 플랫폼 (2005)

　　2.3 telegram 의 중국어판 다운로드 사이트가 무엇이고 은밀한 인터넷이 이끄는 협박과 새로운 대립 (2010~2020)

　　　　　　　　　 2010 년 전후로 악성 코드는 완전히 산업화되어 지하경제체계와의 심도 있는 융합을 통해 새로운 위협 형태를 형성했다. 조기 도난 목마, 광고 타악기, 브라우저 홈페이지 잠금기와 같은 악성 코드는 시스템 안전을 심각하게 위태롭게하지만 시스템을 직접 정지시키지는 않지만 2013 년부터 협박 소프트웨어, 광산 목마가 점차 범람해 새로운 대항국면을 열었다. 이 시기의 협박 소프트웨어는 비트코인을 몸값으로, 암망을 추적할 수 없는 지불 링크로, AES, RSA 등 해독하기 어려운 강력한 암호화 알고리즘을 사용하여 사용자 데이터를 암호화하여 깨기 어려운’ 철삼각형’ 을 형성한다. 한편, 광산 목마는 텔레그램의 중국어판으로 다운로드한 사이트가 무엇이고, 암망 거래 등의 수단을 이용해 은밀성과 원천성을 높이고 있다.

　　　　　　　　　 2010 년 3 월 9 일 안천은 관련 부처의 의뢰를 받아 2 개월간 조사를 진행한 끝에’ 중국 인터넷 블랙 사이버 안전산업 체인 상황 보고 및 대책’ 을 보고했다. 이번 조사 연구는 방대한 터미널 시스템을 바탕으로 거시적인 파노라마를 선보이며 현재 지하산업 경제 현황 조사 연구 보고서 및 여러 편의 관련 목마 심도 분석 보고서를 형성했다. 이 조사 보고서는 지하산업 네트워크 시스템이 현실 사회에 주는 피해를 전면적으로 밝히고 인터넷 산업의 건강과 질서 있는 발전을 촉진하기 위한 간단한 대응책을 제시했다.

　　

　　그림 2-7 트로이 산업 체인 (2010)

　　　　　　　　　 2015 년 8 월 안천은 여러 해 동안 각종 협박 소프트웨어에 대한 심도 있는 분석을 바탕으로’ 협박 소프트웨어의 진면목을 밝히다’ 는 보고서를 발표했다. 이 보고서는 전파 수단, 표현, 분류 상황, 진화 역사, 새로운 변화 추세 등의 관점에서 협박 소프트웨어를 종합적으로 분석하고 다양한 사용자와 시나리오에 대한 해결책과 제안을 제시했다.

　　　　　　　　　 2016 년 2 월 18 일, telegram 의 다운로드 방법은 어떻게 Tiancert 가’ Locky’ 라는 중국 힌트가 있는 첫 번째 협박 소프트웨어 제품군을 발견했는가. (윌리엄 셰익스피어, Northern Exposure (미국 TV 드라마), 남녀명언) 이것은 협박 소프트웨어 작성자가 겨냥한 목표 범위가 점차 확대되고 있으며, 협박 소프트웨어가 더 많은 현지화 버전을 개발할 것임을 예고하고 있다.

　　　　　　　　　 CERT 는 2017 년 4 월 14 일 발표된’ 2016 년 사이버 보안 위협의 회고와 전망’ 에서’ 사이버 무기’ 확산이 공격자의 공격 비용을 전면적으로 낮출 것이며, 협박 패턴이 웜의 회조를 불가피하게 이끌 수 있다는 견해를 언급했다. 그 결과 한 달도 채 안 되어 안천이 예측한’ 협박 소프트웨어+웜’ 의 전파 방식 소식이 불우한다. 2017 년 5 월 12 일 밤,’ 마법굴’ 협박 소프트웨어가 전 세계적으로 폭발했다. 중국의 대규모 산업 기업 네트워크는 대규모로 감염되었습니다. 안천은 첫 시간에’ 레벨 A 재해 대응’ 을 시작하고, 첫 번째는 주관 부서에 에스컬레이션하고, 사용자 현장에 도착한다. 다음날 새벽 6 시, 처음으로’ 안천이 웜을 협박하는’ 마법굴’ 에 대한 심도 분석 보고서를 발표하고 임시 해결책을 제시했다. 이후 안천은 계속해서 여러 편의 보고서와 전살, 면역, 암호 해독 도구를 차례로 발표했다. 마굴 사건의 발발은 우리의 안전보호에 대한 깊은 생각을 불러일으켰고, 인트라넷 안전체계의 능력 결함은 안전제품이 전면적으로 배포되고 효과적으로 사용되지 않는 반면, 계획건설에서는’ 삼동기’ 원칙을 이행하지 않고 기초적인 안전구조가 부족하다는 것이다. 방어의 효과는 결국 공격자와의 대결에서 검증해야 한다. 이번 사건으로 인한 피해는 이미 매우 고통스럽지만, 더 깊고 은밀한 핵심 정보 인프라에 대한 공격은 여전히 얕은 수준의 위험이라는 점을 더욱 경계해야 한다.종심방어 체계와 능력을 효과적으로 개선하는 것이 필수적이다.

　　

　　그림 2-8 강탈 소프트웨어’ 마법굴’ 운영 절차 (2017)

　　　　　　　　　 그 후 몇 년 동안 Antiancert 는 분석 협박 소프트웨어를 지속적으로 추적하고 GANDCRAB, GlobeImposter, Sodinokibi, Phobos, WannaRen, ProLock 등을 포함한 여러 가지 인기 협박 소프트웨어 보고서를 발표했습니다.

　　　　　　　　　 2013 년, 안천용 일반화 (Malware/Other) 라는 단어는 보안 위협이 스마트 기기 등 새로운 분야로 진화하는 것을 설명하는 데 사용되었습니다. 이후 일반화 (Malware/Other) 가 주요 위협 추세로 사용되어 사회가 점차’ 만물 상호 연결’ 의 시대로 접어들고 있습니다. 이 시점에서 악성 코드의 영향 범위는 개인 사용자에서 정부 기업 네트워크로 확대되었으며, 트로이 목마는 더 이상 악성 코드 유형이 아니라 전형적인 지하 경제 모델이 되었습니다.

　　　　　　　　　종이비행기의 공식 다운로드가 어떻게 2015 년 9 월을 찾았는지, Xcode 비공식 버전의 악성 코드 오염 사건이 발생했는데, 이 사건은’ XCODE 고스트’ 라고 불린다. Xcode 는 Apple 이 발표한 운영 체제 Mac OS X 에서 실행되는 통합 개발 도구 (IDE) 로 Mac OS 및 iOS 어플리케이션 개발을 위한 메인스트림 도구입니다. 공격자는 Xcode 를 조작하고 악성 모듈을 추가하며 다양한 전파 활동을 수행함으로써 많은 개발자가 오염된 버전을 사용하여 개발 환경을 구축하게 되었습니다. 이 사태의 심각성을 감안하여 CERT 는 안천이동안전회사와 공동분석팀을 구성해 이 사건에 대한 보고서를 분석하고 발표했다.

　　

　　그림 2-9 Xcode 비공식 공급망 오염 이벤트 다이어그램 (2015)

　　　　　　　　　 2016 년 10 월 22 일 오후 안천은 미국 동해안 DNS 서비스업체인 Dyn 이 DDoS 공격을 당한 사건에 대해 후속 분석을 진행했다. 이 사건은 IoT(Internet of Things) 장비 보안 등 다양한 요소를 다루고 있으며, 이는 2015 년 안천논술한’ 위협이 인터넷+’와 함께 심도 있는 분야로 확산되고 일반화될 것’ 이라는 관점도 확인한다. 우리가 우려하는 바와 같이 스마트 웨어러블, 스마트 홈

　　　　　　　　　 2019 년, WannaMine 광산 목마가 폭발했고, 같은 해 5 월 안천은 어떤 중요한 부서의 도움을 받았고, 그 안에서 임무를 수행하는 수백 대의 호스트가 자주 패닉, 재시작, 블루 스크린 등의 현상이 발생했다. 사용자가 배포하는 바이러스 백신 소프트웨어는 악성 코드 경보를 찾아낼 수 있지만, 성공적으로 제거되면 악성 코드가 곧 다시 나타날 수 있음을 보여준다. (윌리엄 셰익스피어, 햄릿, 악성 코드, 악성 코드, 악성 코드, 악성 코드, 악성 코드, 악성 코드) 안천은 이날 저녁 고객 현장으로 날아와 신속하게 문제를 해결한 뒤’ 6 시간 동안 광충을 파는 인트라넷 대규모 감염 사건’ 에 대한 대응 보고서를 발표했다. (윌리엄 셰익스피어, Northern Exposure (미국 TV 드라마), 과학명언)

　　　　　　　　　 최근 10 년 동안 Antiancert 는 대규모 자동화 분석 처리 시스템의 역분석, 상관 분석, 동원분석 등의 플랫폼을 통해 대량의 분석 보고서를 발표해’ 첫 번째 시동과 동시에 다중선 위협, 3 체계 연계, 4 작업면 협력’ 에 대비한 응급체계를 구축했다.

　　　　　　　　　 Antiancert 는 협박 소프트웨어에 대한 많은 분석과 연구를 실시했습니다. 방어적 관점에서 볼 때, 협박 소프트웨어에 대한 보호는 네트워크 차단에만 의존하는 것만으로는 충분하지 않습니다. 종점의 마지막 방어선을 강화해야 합니다. 반드시 효과적인 터미널 방어로 돌아가야 합니다. 안천은 계속해서 협박 소프트웨어 위협 메커니즘을 연구하고, 거의 100 가지 협박 소프트웨어 행동 특징을 수집하여 여러 가지 규칙 계발적 협박 소프트웨어 탐지 모델을 형성하였다. 2017 년 5 월 발발한 마굴 사건에 직면하여 2016 년 1 월 버전의 안천지갈은 효과적인 보호를 실현할 수 있다. 안천지갑 단말기 방어 시스템 (IEP) 에는 안천이 자체 개발한 차세대 위협 감지 엔진이 내장되어 있으며 흑백 이중 제어 모드 기반 보안 정책으로 터미널 감지 및 응답을 효과적으로 지원합니다.

　　　　　　　　　 2010 년 지진망 사건이 드러나면서 사이버 공격 뒤의 사이버 공국/지역 행동체가 수면 위로 떠오르기 시작했다. 체계적인 작업 능력, 엄청난 비용의 감당력, 그리고 확고한 작업 의지를 갖추고 있다. 전략적 이익화는 트로이 목마가 공격 무기에 대한 발전을 촉진하여 광범위하게 포괄하는 것에서 정밀 타격에 이르는 것을 촉진시켰다. 2010 년부터 2012 년까지 안천은 스턱네트 (Stuxnet), Duqu (독곡), 화염 (Flame) 등에 대한 마라톤식 분석에 많은 인력과 시간을 투입했지만 일부 분석 성과는 5% 미만의 바이러스 모듈만 포괄할 수 있어 안천이 이런 역샘플 모듈별 스택을 촉발시켰다. 2013 년부터 안천은 단순한 샘플 모듈 분석에서 공격 장비에 대한 전반적인 분석으로 고급 악성 코드 시스템 분석 단계로 접어들면서 관련 전문가의 지도 아래 위협 프레임워크를 도입하여’ 나무만 보고 숲을 보지 않는다’ 는 병목 현상에서 벗어나려고 노력했다.

　　3.1 샘플 분석의 관점에서 APT 시대 분석 시작 (2010~2012)

　　　　　　　　　 안천은 2010 년 7 월 15 일 지진망 웜 APT 의 첫 변종을 포착해 9 월 27 일’ Stuxnet 웜 공격 산업통제시스템 사건에 대한 종합 분석 보고서’ 를 발표했다. 국내 최초의 심도기술 분석 보고서인’ 지진망’ 공격의 진상과 세부 사항을 국내 대중이 이해하는 중요한 참고 자료가 됐다. 2011 년 독곡이 수면 위로 떠오르자 안천 엔지니어는 분석을 통해 독곡과 진망에 동원성이 있을 수 있다는 추측을 내놓았다. 2012 년 5 월,’ 화염’ 은 화염이 지진망보다 더 복잡한 구성 요소 목마로 밝혀졌으며, 지진망과 연관이 있을 수 있다. 이 악성 코드는 카스퍼스키에서’ 지금까지 가장 복잡한 컴퓨터 바이러스’ 라고 불린다. 안천은 화염에 대한 분석팀을 구성해 수개월간 마라톤식 분석을 시작해 100 페이지에 가까운’ 플래임 웜 샘플세트 분석 보고서’ 를 발표했다. 그러나 분석 결과의 범위는 여전히 매우 좁고, 우리의 반성과 자기비판을 불러일으켰다.

　　　　　　　　　 2010 년, 진망이 이란의 핵 과정을 좌절함에 따라 APT 는 0day 허점, 은밀한 통신, 서명 모조품, 공격자의 비용 부담 능력, 공격 의지의 단호함에 따라 전례 없는 보안 시스템에 대한 충격과 심리적 공황이 전례 없는 수준에 이르렀다. 이러한 스트레스는 전통적인 바이러스 백신 업체들의 제품 및 기술 개선을 이끌었다. 안천은 업계 내 제품 경험을 바탕으로 전통적인 네트워크 측 감지 장치와 샌드박스가 결합된 제품 형태를 점진적으로 탐구하기 시작했다. 그 핵심 가치는 실행 개체를 장치와 함께 제공되는 가상 환경에 직접 투입하는 것뿐만 아니라, 행동 판정을 하는 것이다. 더욱 중요한 것은 이 가상 환경을 이용하여 다른 분석기 버전을 활용하고 파일 형식 유출을 유발하는 것이다. 이 이념을 바탕으로 안천은 추영 위협 분석 시스템을 내놓았다.

　　

　　그림 3-1 스턱스웜은 7 개의 구성 데이터를 통해 USB 디스크 감염 여부를 판단합니다 (2010)

　　　　　　　　　 몇 년 만이지만, 지진망 사건은 줄곧 우리의 연구 시야에 있었고, 2019 년 안천은 지진망 사건에 대해 전면적인 복판과 반성을 하여, 우리가 진정한 의미의 틀화 방법이 부족하다는 것을 발견하였다. 관련 전문가의 지도 아래 우리는 사이버 공게임, 적정에 대해 새로운 깨달음을 갖게 되었으며, 점차 위협 프레임워크의 시각에서 방법론으로 전환하여 자기능력의 완벽을 실현하였다. (윌리엄 셰익스피어, 스튜어트, 자기관리명언) 위협프레임워크라는 시각으로 여전히 복잡해 보이는’ 어제의 전쟁’ 을 해석하길 바란다. 안천은 2019 년 9 월’ 지진망 사건의 9 년 재복판과 사고’ 보고서를 공식 발표했는데, 이번 복판에서 우리는 고급 악성 코드가 탐지 엔진과 위협 정보에 대한 도전에 초점을 맞추기를 희망하고 있다. 전통적인 위협 정보에 많은 짧은 판이 존재하기 때문에 안천은 2016 년부터 차세대 위협 탐지 엔진을 개발해 안천의 전통적인 엔진 형식 인식, 심층 분석 등의 특징을 심화시켰다. 대량의 악성 코드에 대한 정확한 분류-변종 인식 능력을 계승하다. 또한 신뢰할 수 있는 형식과 개체가 없다는 전제하에 탐지된 객체에 대한 전체 형식 인식을 형성하고 더 많은 중점 형식에 대한 깊이 분석 기능을 형성합니다. 호출 링크 출력에 대한 평가 결과뿐만 아니라 테스트 개체의 벡터를 구조적 출력으로 분해하여 제품 장면과 상황 인식 시나리오를 지원하고 분석, 연결 및 추적하는 데이터 리소스를 형성할 수 있습니다. 탐지 엔진과 위협 정보의 더 나은 결합을 탐구하고, 보다 신뢰할 수 있는 기본 식별 기능과 대응 메커니즘을 구축하고, TTP 를 보다 효과적으로 지원하고, 인력 조직과 관련된 정보를 제공합니다.보다 완벽한 지식공학 운영 체계를 구축하는 것은 우리에게 장기적인 노력이 필요한 방향이 될 것이다.

　　

　　그림 3-2 지진 네트워크 이벤트 일정 (2019)

　　3.2 고급 악성 코드 시스템 분석 (2013~ 현재)

　　　　　　　　　 2013 년부터 Antiancert 는 점차 단일 모듈식 샘플 분석에서 체계적인 공격 장비 전체 분석으로 이동하고 있으며, 중국을 겨냥한 각종 CERT 공격 활동을 지속적으로 모니터링, 분석, 추적하고 있다. 안천TID 위협 정보 플랫폼과 추영 위협 분석 시스템 등을 결합해 대량의 분석 작업을 벌여’ 해련화 (APT-TOCS)’,’ 백상 (White Elephant)’,’ 방정식 (Equation)’ 등의 공격을 조심스럽게 공개했다

　　　　　　　　　 2013 년 7 월, 안천은 남아시아의 한 나라에서 온 사이버 공격 샘플을 속속 캡처하여 추적 분석을 계속했습니다. 추적 추적 추적 추적 및 상관 분석을 통해 우리는 이 일련의 사이버 공격 조직과 행동을’ 코끼리 무리’ 라고 부르며 여러 편의 분석 보고서를 발표하여 우리나라 교육 군사 과학 연구에 대한 이 일련의 방향성 공격 사건을 공개했다. (윌리엄 셰익스피어, Northern Exposure (미국 TV 드라마), Northern Exposure (미국 TV 드라마), 과학명언) 지속적인 공격은 우리 나라가 우리 측의 과학 기술 성과에 대한 획득과 표절 모방에 대한 관심이 낮고, 더욱 심도 있는 전체 공급망 안전에 대한 관심도가 부족하다는 것을 반영하고 있다. 중국의 핵심 인프라 시스템은 심각한 도전에 직면 해 있으며 사이버 공간 보안의 시각은 "국가 주권, 안보 및 개발 이익 보호" 로 전환되어야하며 "과학 기술 안보" 에 더 많은 관심을 기울일 필요가있다.

　　　　　　　　　 2015 년 5 월 27 일 안천은 중국 정부기관에 대한 준APT 공격 사건을 발견했다. 이 공격과 Cobalt Strike 플랫폼과의 관계를 감안하여 안천은 이 공격 사건을 APT-TOCS 라고 명명했다. 2018 년 안천은 중국 사용자를 겨냥한 악성 매크로 문서 공격 샘플을 잇달아 포착해 2019 년 3 월’ 해련조직이 중국 APT 공격에 대한 최신 샘플을 발표한 분석’ 보고서를 발표했다. 이 일련의 사건들은 사이버 공격 기술이 복제 비용이 매우 낮다는 점을 일깨워 준다. 상업 침투 공격 테스트 플랫폼 및 사이버 군비 상업 확산의 출현으로’ 노출을 분석하는 방식을 통해 APT 공격 조직의 행동 수렴을 강요하는 효과’ 는 이미 크게 할인되어 간단한 타산진호를 포기해야 한다. 적을 삼사의 환상을 피하고 필요한 사이버 보안 방어 능력을 전면적으로 건설하여 동적으로 종합된 사이버 보안 방어 체계를 형성할 수 있다.

　　

　　그림 3-3antian 에 의한 APT-TOCS 공격의 시각적 재현 (2015)

　　　　　　　　　 2015 년 12 월 우크라이나 전력 부문은 악성 코드 공격을 받았다. 안천, 사중계보, 복단대는 2016 년 1 월 공동분석팀을 구성해 이번 사건에 대한 분석을 본격적으로 시작했고, 2016 년 2 월’ 우크라이나 전력시스템 공격사건 종합분석 보고서’ 를 공식 발표했다. 특히, 이번 공격의 공격 지점은 전력 인프라의 심도 있는 위치에 있지 않고 0Day 허점을 사용하지 않고 악성 코드를 통해 PC 링크 배치 및 이식을 통해 이뤄졌다는 점에 유의해야 한다. (윌리엄 셰익스피어, Northern Exposure (미국 TV 드라마), 악성 코드, 악성 코드, 악성 코드 등) 공격 비용은 지진망, 방정식 등 공격에 비해 현저히 낮아졌지만, 마찬가지로 직접적인 효과가 있다. 이 사건은 인프라 시스템의 PC 노드와 TCP/IP 네트워크를 효과적으로 개선하기 위해 네트워크 캡처 및 감지, 샌드박스 자동화 분석, 방화벽, 터미널 보호 제품, 보안 서비스 등을 통해 심층 방어 능력을 높여야 한다는 점을 일깨워 줍니다.

　　

　　그림 3-4 우크라이나 정전 공격 전 과정 도표 (2016)

　　　　　　　　　 2013 년부터 Antian 은 샘플 분석에서 전체 플랫폼 부하 공격 기능을 갖춘 공격 조직이 있다는 사실을 점진적으로 발견하고 여러 플랫폼의 샘플을 점진적으로 분석했습니다. 이 과정에서 안천은 크고 보이지 않는 슈퍼공격 조직의 존재를 느꼈지만 공격 배경을 찾지 못했다. 2017 년까지 안천은 방정식 조직에 관한 4 편의 분석 보고서를 연달아 발표하고, 분석 결과에 따라 관련 전문가의 건의에 따라 하나의 방정식 조직 호스트 작업에 대한 모듈 블록 다이어그램을 형성했다. 초보적으로’ 원자화’ 로 분할된 모듈 조합에 따라 조립되어 초고망 공위협 행위체의 모듈식 작동 패턴을 드러낸다. 지난 몇 년 동안 방정식 조직에 대한 지속적인 추적 분석은 안천이 초고급 공격자 (즉, A2PT) 를 이해하는 데 매우 드문 경험이었다. 슈퍼비용 지지와 선진이념이 이끄는 슈퍼공격자를 심도 있게 연구하는 것은 안천탐해, 지갑, 추영 등 고급 위협 탐지 및 방어 제품의 방어능력을 개선하고 강화하는 데도 중요하다. 우리는 경계하지만, 결코 두려워하지 않는다. 한 차례의 방어전에서는 탄탄한 구조, 방어, 분석 작업 외에 필승의 신념이 가장 큰 전제조건이다. 보이지 않는 자는 반드시 그림자도 없고, 안천이 그림자를 쫓고, 그림을 그리는 것은 아니다.

　　

　　그림 3-5 방정식 구성 호스트 운영 모드 빌딩 블록 다이어그램 (2017)

　　　　　　　　　 2018 년 안천은 1 년 동안 매달’ 미국 사이버 공간 공격과 주동적인 방어 능력’ 특집 보고서를 지속적으로 갱신해’ 인터넷신 군민 융합’ 잡지 양회 전문지에 12 기 총 30,000 여 자를 게재했다. 이 주제는 사이버 공간에서 미국의 정보 수집, 공격 및 방어 능력을 계층적으로 밝히고, 사이버 공간 보안 분야에서 미국의 능력 체계를 최대한 명확하게 보여주며, 우리나라 사이버 공간 보안 발전에 유익한 참고와 본보기를 제공한다.

　　

　　그림 3-6 미국 네트워크 항공 운영 기술 프로세스와 일부 엔지니어링 및 장비 역할 매핑 (2018)

　　　　　　　　　 안천은 지난 2018 년 9 월 최근 통제한 공격 단서에 따라 역사 비축과 결합해 고급 공격 조직인 그린스팟에 대한 심도 있는 분석을 하고’ 그린스팟’ 행동-다년간의 공격’ 을 발표했다. 이 조직의 공격에서 낡은 허점을 재사용하고 호스트를 침범한 뒤 암호화와 동적 로딩 등 기술적 수단을 통해 진입을 시도했다 안천은 앞서 APT 공격조직이 관련 허점을 사용하는 공격 창기간이 공격대상이 될 수 있는 미대응 허점 복구의 공격 창기간과 겹치면 단순한 허점 복구 문제가 아니라 심도 있는 수사와 양 손실, 손실 중지 문제를 반복적으로 강조했다.

　　　　　　　　　 2019 년 6 월, 안천은 다년간의 지속적인 추적 분석을 바탕으로 초고능망 공위협행위체의 분석 성과를 분석하고 그림자 브로커가 유출한 정보와 결합해 태태태태태태세 인식의 관점에서 중동 최대 SWIFT 서비스 EastNets 를 공격하는 전체 과정을 조직했다. 위협 프레임워크에 따라 전체 공격 프로세스의 동작을 하나씩 세분화하고 각 공격 분해 단계를 재생하여 인프라 보안 작업, 방어 심층 설정, 이벤트 수집 및 보존, 시스템 구성 전략, 보안 제품 배치 등에 대한 각 공격 단계의 방어자 부족을 분석합니다. A2PT 수준 공격의 맥락에서’ 실전화’ 보안 운영 환경에서 방어 능력을 검증하고 지속적으로 높여야 한다. 자산 안전 운영 및 유지 보수 플랫폼으로 자산의 밑수를 분명히 하고, 사이버 공지형을 형성하고, 통합 보안 패치, 통합 보안 정책 배포 조정을 구축하여 효과적인 자산 보안 강화를 실현하다. 종단점, 네트워크측, 분석측의 효과적인 데이터 수집, 정보 생산을 통해 건설태세 인식 플랫폼 시스템을 통해 데이터 집계 및 분석을 수행함으로써 효과적인 보안 전략을 형성하고 대응 조치를 고발합니다. 안천이 개발하고 있는 전술적 태세 인식 플랫폼은 안천 전 라인 제품 체계의 지원을 받아 전면적인 모니터링과 발견, 자동 선별과 판단 위협, 보조 자산 안전 운영 유지, 다중 소스 위협 정보 및 민영화 생산의 내부 정보 활용, 고객 지원, 고객이 네트워크 보안 방어 체계의 구축과 방어 능력을 지속적으로 향상시킬 수 있도록 돕고 있습니다. (윌리엄 셰익스피어, Northern Exposure (미국 TV 드라마), 안전명언)

　　

　　그림 3-7 EastNets 네트워크에 대한 포뮬러 조직의 전체 공격 프로세스 복제 (2019)

　　　　　　　　　 2019 년 안천은 남아시아 다국적 군사, 정부, 교육 등 실체에 대한 공격 샘플을 연달아 포착했고, 샘플 사이에는 일정한 연관이 있어 공격자는 뚜렷한 절도의도를 가지고 피해자가 파키스탄 등 남아시아 국가에 집중되었다. 이러한 공격 샘플은 안천이’ 유상’ 으로 명명한 조직 (조직공격 수법이 간단하고 하중이 미숙하다는 점을 감안하면 이를’ 유상’ 으로 명명함) 에서 유래한 것으로, 그 수법과 장비는’ 백상’ 조직과 약간의 차이가 있으며 2020 년 1 월 15 일’ 종이접기’ 를 공식 발표했다.

　　　　　　　　　 지난 10 년 동안 Antiancert 는 대량의 CERT 사건을 분석하고 추적 추적 과정을 분석하는 과정에서 좌절과 경험을 쌓았다. APT 및 A2PT 공격 분석과 대립하면서 점차’ 적 포함’ 을 기초로 한 적정을 정하기 시작했고, 방어측은 방어조치가 실효되는 상황을 충분히 고려해야 한다는 것을 깨닫고’ 실효 지향 설계’ 를 기본 원칙으로 방어를 지도해야 한다는 것을 깨달았다. 합리적인 네트워크 구조에 깊이 방비된 방어 조치, 모니터링 조치는 공격 행동을 제한, 차단, 늦추는 효과적인 방법이다.

　　　　　　　　　 현재 사이버 공간 분야의 투쟁은 이미 대국 게임과 지정안전의 정상화 존재이며, 사이버 공간은 정치 군사 경제 등 분야 투쟁의 첫 전장이다. 우리나라가 직면한 글로벌 및 지정학적 안전 위험은 대국 경합을 주요 선율로 하는 동시에 지정안전 핫스팟을 둘러싸고 전개되고, 지정학적 이익 경쟁측이 많고, 여러 가지 갈등이 복잡하게 얽혀 있다. (윌리엄 셰익스피어, 윈스턴, 지정학, 지정학, 지정학, 지정학, 과학명언) 사이버 보안 위협은 단순한 기술적 위험이 아니며, 그 위험과 사건 판단도 단순한 분야 내 판단이 아니다. 이는 공격 개시자와 잠재적 상대의 전략적 의도, 기술능력, 종합 국력 등 복합적인 요인과 밀접한 관련이 있다. 과거의 보안 위협은 바이러스, 트로이 목마, DNS 공격, 웹 사이트 변조 등과 같은 단일 포인트 위협입니다. 오늘날 정보기술이 발달하고, 정보체계가 복잡해지고, 정보자산이 점점 더 커지고 있으며, 보안 위협도 진화하고 있습니다. 우리는 과거에 발생한 사이버 침입 공격을 단순한 네트워크 보안 사건으로 취급하는 경우가 많으며, 전반적인 국가 안보의 여러 측면을 종합적으로 분석하지 않고 상대방의 의도에 대한 분석 깊이가 부족하다. 앞으로 사이버 공격이 우리나라 정치안전, 군사안전, 과학기술안전 등에 미치는 종합적인 영향에 대한 연구가 전면적으로 강화되어 종합분석, 전면적인 손실, 효과적인 정지손실을 실현할 필요가 있다.

　　　　　　　　　 미래의 네트워크 보안 작업은 "네트워크 보안은 전체적이고 분리되지 않습니다.", "정적이 아니라 동적입니다.", "폐쇄가 아니라 개방적입니다.", "절대적이지 않고 상대적입니다.", "고립되지 않고 공통적입니다." 의 주요 특징을 따라야 합니다. 더 많은 투자에서 체계적이고 시기적절하며 목표성을 높여야 합니다.

　　　　　　　　　 보안 위협에 직면하여 효과적인 방어 능력을 형성해야 한다. 정보화 발전에서, 많은 재고 시스템이 건설할 때 대부분 네트워크 보안 문제를 충분히 고려하지 않아 대량의’ 보충 수업’ 비용을 투입해야 한다. 디지털 경제가 호황을 누리면서 클라우드 컴퓨팅, 5G, 인공지능, IoT 등의 기술이 발달하면서 차세대 정보기술 진화로 인한 인프라, 기존 인프라 변환 업그레이드 지원 및 혁신 인프라를 대표하는 새로운 인프라 내포가 더욱 풍부해지고, 적용 범위가 넓어지고, 디지털 경제의 특성을 더 잘 반영하고, 중국 경제의 변화와 업그레이드를 더 잘 추진하며, 보안 보호에 대한 요구도 높아지고 있다. 또한 네트워크 보안 동기화 계획, 동시 건설, 동시 운영 및 유지 관리를 위한 방법론과 해당 예산 보장이 필요합니다. 또한 계획 지침을 통해 방어 능력을 전면적으로 향상시키고, 예산 투입을 통해 네트워크 보안 분야의 역량 건설을 지원해야 합니다. 새로운 인프라의 방어 능력 요구 사항을 충족하고 중국 디지털 경제를 호스팅하는 인프라를 보장할 수 있습니다.

　　　　　　　　　 현재의 네트워크 보안 보호 수준과 기술 역량은 여전히 ​​더 큰 향상 공간을 가지고 있으며, 국토 안보의 관점에서 정보 전쟁에 대응하고 핵심 인프라에 대한 방어 능력을 향상시키는 것은 중국이 네트워크 강국으로 나아가는 과정에서 반드시 완성해야 할 일이다. 이 후속 과정은 복잡하고 어렵고 도전적일 것이며,’ 아침저녁만 다투는’ 긴박함뿐만 아니라’ 사오화’ 의 노력도 필요하다.