0과 1의 비밀을 밝히는 악성코드 분석가 차민석 20151117_security plus 발표판

0과 1의 비밀을 밝히는
악성코드 분석가
2015.11.17 (v1.0)
안랩 시큐리티대응센터(ASEC) 분석팀
차민석 (車珉錫, CHA Minseok, Jacky Cha, mstoned7) 책임 연구원
악성코드 분석가 소개

© AhnLab, Inc. All rights reserved. 2
알림
• 본 발표 자료는 개인 의견으로
안랩의 공식 입장과 다를 수 있습니다.
•덕질 자료가 포함되어 있을 수 있습니다.

:~$whoami
Profile
− 차민석 (車珉錫, CHA Minseok, Jacky Cha, mstoned7)
− 1988년 1월 7일 : Apple ][+ 복제품으로 컴퓨터 시작
− 1989년 : Brain virus 변형 감염
− 1997년 : AhnLab 입사
− AhnLab 책임 연구원 (Senior Antivirus Researcher)
− 시큐리티 대응센터(ASEC) 분석팀에서
악성코드 분석 및 연구 중
- 민간합동 조사단, 사이버보안 전문단
- AVED, AMTSO, vforum 멤버
- Wildlist Reporter

• 보안이 완벽한 시스템은 이 세상에 없어
- 내용(2Depth)
* Source:WarGames(1983)

Contents
01
02
03
04
05
06
07
보안위협과 정보보안
정보보안 업계와 전망
악성코드 분석가의 일상
필요한 능력과 마음가짐
어떻게 준비할까 ?
맺음말

01
보안위협과 정보보안

보안 위협 (Security Threats)
• 보안 위협 종류
-자연및인간의의한위협존재 인간의경우악의적의도에따라나눔
-인간에의한위협의경우악의적의도에따라나눔
*Source:http://technet.microsoft.com/en-us/library/Cc723507.secthr01_big(l=en-us).gif

보안 위협 (Security Threats)
• 보안 위협
-적절한보안관리과정책으로차단가능
- 공격자는허점(보안취약점등)을이용한공격시도
출처:http://technet.microsoft.com/en-us/library/Cc723507.secthr02_big%28l=en-us%29.gif

정보보안(보호)
• 정의
- “사고또는고의에의한인가되지않은노출,전송,변경,또는파괴로부터정보를보호하는것“
- Theprotectionofinformationagainstunauthorizeddisclosure,transfer,modification,ordestruction,whetheraccidental
orintentional.”(InformationWarfare,July1996)
• 목표
- 기밀성,무결성,가용성을지키는일
공개로부터의 보호
변조로부터의 보호
파괴/지체로부터의 보호
Confidentiality
비밀성/기밀성
Integrity
무결성
Availability
가용성

정보보안(보호)
• 주요 목표
-기밀성(機密性,confidentiality):허락되지않은사용자또는객체가정보의내용을알수없도록함.비밀보장이
라고할수있음.원치않는정보의공개를막는다는의미에서프라이버시보호와밀접한관계
-무결성(無缺性,integrity):허락되지않은사용자또는객체가정보를함부로수정할수없도록하는것. 수신자
가정보를수신했을때,또는보관돼있던정보를꺼내보았을때그정보가중간에수정또는첨삭되지않았음을확
인
- 가용성(可用性,availability): 허락된사용자또는객체가정보에접근하려하고자할때이것이방해받지않도록
하는것.최근에네트워크의고도화로대중에많이알려진서비스거부공격(DoS공격,DenialofServiceAttack)이이
러한가용성을해치는공격

02
정보보안 업계와 전망

사이버 보안
• 분류
* Source:CodeEngnConference10_사이버보안커리어로드맵_[김경곤].

보안 업계
분야
• 물리적 보안
• 네트워크 보안
• PC 및 호스트 보안
• PatchManagement
• 보안관제
• 웹 보안
• DB 보안
•DRM
•암호 등

전망
미래 유망직종
• 미래 유망직종으로 분류
-대략1999년부터미래유망직종으로분류

전망
보안의 핵심은 제품이 아닌 인력
• 사고 터질 때마다
- 화이트해커,정보보안인력양상기사화

전망
• 분석가의 중요성
- 제품에의존한보안의종말
*source:http://www.dt.co.kr/contents.html?article_no=2011062102012251697001

전망
• 분석가를 필요로 하는 업체
-보안업체(백신,관제,침입탐지 등)
-기업(게임,대기업등)
-군
-공공기관
-국가기관
-연구소
-수사기관
-법률회사
-방산업체등

진로
• 보안업무 추천 ?
-
* Source:http://www.boannews.com/media/poll_02.asp?db&page=1&gpage=1&idx=149&search&find

바이러스 치료사 ? 보안 전문가 ?
• 바이러스 치료사
- 1990년중반새롭게나타난공식직업이름

상상

편견 혹은 오해
Difficult ?!
Hard ?!
Boring ?!

현실
• 일 시작 후 느낌
-자칫하면시그니처작성위주의단순반복업무라고느낄수있음
-높은업무강도
-보안은잘할때는표가안나지만못하거나실수하면비난
• 어느 정도 일했을 때 느낌
-새로운악성코드등장과기술적도전
-다양한업무
-협력의필요성
-외국어필요성

악성코드 분석가 업무
악성코드 분석 및 대응
- 악성코드 분석 및 연구
- signature/rule 및 전용 백신 제작
- 신종 악성코드 대응 방안 마련
- 악성코드와 경쟁사 동향 파악
- 인증
내부 지원
- 사고 조사 지원
- 제품 개발 지원
- 제품 문제 해결 지원
- BMT 지원
개발과 문서 작업
- 분석도구와 내부 시스템 개발
- 프로세스 개선
- 분석 정보, 기술 문서, 동향, 칼럼 작성
대외 협력
- 타 업체, 기관, 정부 등과 협력
- 학교 강의와 컨퍼런스 발표
- 언론 지원
- 기술자문
하는 일

• 예측
- 변화하는보안위협에서앞으로공격방식예측
*source:http://news1.kr/articles/1060747, http://www.segye.com/Articles/News/Opinion/Article.asp?aid=20130326004012

• 분석 보고서 작성
-
* Source:

• 언론 대응 및 인터뷰
- 사실여부확인

• 언론 지원 및 인터뷰
- 연출된사진들

주요 업무
• 발표
-
* Source:SERICEO

기술 자문
• 기술 자문
- 드라마,방송,영화등

04
악성코드 분석가의 일상

일상
• 하루 일과
-메일확인
-보안이슈파악
-보안이슈분석
-악성코드분석
-회의
-문서작성

05
필요한 능력과 마음가짐

윤리
백신 업체
• 병을 고치는 의사와 같이 전염병이 퍼져 돈을 벌어야 한다고 생각하지 않음
• 정보 교류는 신뢰할 수 있는 업체와 개인 연구원간에 이뤄지며 금품 거래는 없어야 함
• 악성코드 제작자와 직간접적으로 도움을 준 사람을 채용하지 않음
• 연구 목적이라 해도 바이러스/웜을 제작을 하지 않음
기사 : http://www.dt.co.kr/contents.htm?article_no=2012032002012269785002

윤리
금지 사항
• 악성코드 제작
-연구목적으로바이러스/웜제작
-공개된소스코드를이용한웜,바이러스제작
-트로이목마는가능한가라는논란존재
-취약점증명은어느정도허용되는분위기
• 악성코드 제작자에 도움을 줄 수 있는 행동
- 신뢰할수없는사람혹은단체에샘플제공
- 제작에필요한정보제공
-악성코드제작을조장하는발언

윤리
딜레마
• 모든 고객을 보호해야 하는가 ? (고객이 독재자라면 ?)
• 외국에 대해 애국심으로 행해지는 공격은 방관해야 하는가?
• 수사를 위해 제작된 악성코드에 대한 진단은 ?
• 자국 이익을 위해 제작한 악성코드에 대한 진단은?

윤리
올바른 윤리의식이 없을 경우
• 10대도 돈을 벌 수 있지만…
- 결국경찰서행
*source:http://news1.kr/articles/1063565

© AhnLab, Inc. All rights reserved.
LANGUAGE
SYSTEM
CODING
Reverse Engineering
Windows Internals
기본적인 보안 지식
강한 스트레스 내성
지속적인 연구
KNOWLEDGE
PASSION
C
윈도우 프로그래밍
Python
빠른 정보수집을 위한
외국어 능력(영어,
중국어, 러시아 등)
운영체제
시스템 프로그래밍
자료구조
Network
Analyst
필요한 능력

필요한 능력
• 덕력
-
* Source:http://www.zdnet.co.kr/news/news_view.asp?artice_id=20151026163442

필요한 능력
악성코드 분석
• ReverseEngineering
-시스템
-어셈블리
-분석도구사용법
-경험
• 악성코드 분석
- ReverseEngineering
- 악성코드기법
- 수집정보정리

필요한 능력
참고 도서
• 시스템
-WindowsInternals
-API로배우는Windows구조와원리
-Windows구조와원리
• 리버스 엔지니어링
- WindowsDebugging
- TheIDAPROBook
-리버싱핵심원리
• 보안
- VirusResearchandDefense
-악성코드그리고분석가들

필요한 능력
- 입문서

필요한 능력
-

필요한 능력
• WindowsInternals
-

필요한 능력
• Windows구조
-

필요한 능력
• OS X
-

마음가짐
필요한 자세
• 맨땅에 헤딩
• 인내와 끈기, 집중력
• 열정과 노력
• 재미, 동기 부여
• 믿음과 끊임 없는 노력
• 호기심, 관심

마음가짐
덕목
• 도덕성/윤리의식
- 그렇지않으면더위험한존재
• 신뢰감/자신감
- 고객과약속지켜야함
- 끝까지해낼수있다는자신감
• 도전 정신
- 확고한목표와관심
- 새로운보안위협에대응한계속된공부
• 사명감
- 위협으로부터고객의보호가당연한의무와책임
-일을즐겨라

마음가짐
관심과 열정

능력
행운
• 운도 능력
- 하지만,준비된사람에게운이다가갈가능성이높음

마음가짐

잠깐 !!
다양한 방법 중 하나 일 뿐
• 자신에게 맞는 방법 찾기
* Source : http://blog.daum.net/winnerheart/70

경험
정말 필요한 다양한 경험
* Source : http://hompy-img.dreamwiz.com/IMAGE/smart63/f00002/f163m/경험.jpg

결론
=
쉽지 않지만
관심을 가지고 꾸준히 노력한다면
결코
어렵지 않은 일 !

현재의 보안 문제
• Not reallya fair fight
* source:http://image-store.slidesharecdn.com/81268b95-5c3b-4604-9129-d83ab3dc4600-large.png

현재의 보안 문제
• 모두가 함께 해야 하는 보안
* source:http://www.security-marathon.be/?p=1786

Q&A
email : minseok.cha@ahnlab.com / mstoned7@gmail.com
http://xcoolcat7.tistory.com
https://twitter.com/xcoolcat7, https://twitter.com/mstoned7

D E S I G N Y O U R S E C U R I T Y

0과 1의 비밀을 밝히는 악성코드 분석가 차민석 20151117_security plus 발표판

Recommended

Recommended

More Related Content

What's hot

What's hot (7)

Viewers also liked

Viewers also liked (16)

Similar to 0과 1의 비밀을 밝히는 악성코드 분석가 차민석 20151117_security plus 발표판

Similar to 0과 1의 비밀을 밝히는 악성코드 분석가 차민석 20151117_security plus 발표판 (10)

More from Minseok(Jacky) Cha

More from Minseok(Jacky) Cha (6)

0과 1의 비밀을 밝히는 악성코드 분석가 차민석 20151117_security plus 발표판