사이버 범죄자 또는 국가 단위의 악성 파일 제작이 일상화 된 인터넷 공간에서 보안 제품들은 하루에도 수만개 이상의 신종 악성 파일을 감시하기 위해 클라우드(Cloud) 기반으로 전환을 시도하고 있습니다.
그 중에서도 제품에서 실시간으로 수집되는 데이터(파일)에 대한 정보를 공개하고 있는 대표적인 제품이 Kaspersky, AhnLab Next V3 보안 제품이 아닌가 싶습니다.
특히 러시아에서 제작된 Kaspersky 보안 제품은 성능면에서 세계 최고의 보호 기술을 통해 많은 신뢰감과 좋은 성적으로 각종 언론을 통해 보도가 이루어지고 있습니다.
Kaspersky Anti-Virus 2013 보안 제품의 "클라우드 보호" 메뉴를 살펴보면 차세대 클라우드 보호 기술인 "Kaspersky Security Network(KSN)"를 통해 수집된 안전한 데이터(643백만), 위험한 데이터(249백만), 처리 중(58백만)인 정보가 약 15~30분 간격으로 자동 갱신이 이루어지고 있습니다.(※ 현재 약 9억 5천만개 수준으로 집계되고 있습니다.)
"Kaspersky Security Network(KSN)" 기술에 대한 정보를 살펴보면 Kaspersky 제품 사용자와 연결되어 의심스럽거나 알 수 없는 데이터를 발견할 경우 자동으로 전송이 이루어지고 있으며, 개인 정보는 수집, 저장, 처리하지 않는다고 명시되어 있습니다.
하지만 AhnLab Next V3 보안 제품은 사용자 PC에서 발견된 파일 중 ASD 네트워크에 등록되지 않은 파일을 자동으로 전송한 결과에 대해 투명하게 정보를 제공하는 반면, Kaspersky 보안 제품은 사용자 PC에서 전송되는 정보를 확인할 방법이 없습니다.
이런 문제로 인해 궁금증을 해결하기 위해 "Kaspersky Security Network(KSN)"를 통해 전송되는 파일에 대해 확인을 하던 중 개인 정보가 포함된 문서, 그림, 동영상, 음악 파일도 전송될 수 있는 부분이 확인되었습니다.
Kaspersky 보안 제품에서 수집된 파일인지 여부를 확인할 수 있는 방법은 사용자가 지정한 파일에 마우스 우클릭을 통해 생성된 메뉴 중 "KSN의 평판 확인" 메뉴가 생성된 경우입니다.
- KSN의 평판 확인 메뉴가 생성되는 파일 확장자 예시 : exe, dll, bat, cmd, vbs, cpl, js 등
- KSN의 평판 확인 메뉴가 생성되지 않는 파일 확장자 예시 : sys, scr, com 등
"KSN의 평판 확인" 정보를 확인해보면 파일 사용자 수, 최초 보고, 지역에 대한 정보를 통해 대략적인 파일 수집과 사용자 수를 예측할 수 있습니다.
그렇다면 개인 정보가 포함될 수 있는 문서 파일은 Kaspersky Security Network(KSN)에서 수집이 이루어질 수 있는가에 대해 확인을 해 보았습니다.
기본적으로 문서 파일(PDF 문서)을 선택하여 확인해보면 "KSN의 평판 확인" 메뉴가 생성되지 않으므로 해당 파일에 대한 수집 여부를 알 수가 없습니다.
하지만 문서 파일의 확장자 명을 Kaspersky Security Network(KSN)에서 수집 가능한 확장자명으로 변경을 하였을 경우에는 "KSN의 평판 확인" 창이 생성되는 것을 확인할 수 있습니다.
이를 통해 확인해보면 해당 파일은 "최초 보고 : 오늘"로 기록되면서 파일이 수집되는 것으로 보입니다.
또한 파일 검사에서도 KSN 정보에서는 "10명 이내의 KSN 사용자가 이 애플리케이션을 사용했습니다. 오늘 보고된 파일입니다."로 표시되어 실제 수집되었음을 알 수 있습니다.
다들 알고 계시겠지만 PDF 문서 포맷(.pdf)을 실행 파일(.exe)로 변경한다고 파일 자체가 실행 가능한 파일(PE 파일)로 변경되는 것이 아니며, 악의적인 기능을 포함하지 않은 매우 정상적인 파일이 exe 확장자를 가졌다고 수집을 하는 것이 Kaspersky Security Network(KSN) 파일 수집 기능임을 간접적으로 확인할 수 있습니다.
반대로 AhnLab Next V3 보안 제품을 통해 해당 PDF 문서의 확장자를 변경하여 수집된 정보를 확인해보면 전혀 수집이 이루어지지 않는 것을 통해 정상적인 문서 파일은 확장자에 관계없이 수집되지 않는 것을 알 수 있습니다.
이번에는 음악 파일(wma)을 대상으로 파일 확장자 명을 실행 파일(exe)로 변경하여 평판 확인을 진행해 보았습니다.
해당 음악 파일의 경우에는 이미 최초 보고 일자가 1년 전에 수집된 파일로 표시가 이루어지고 있는 것을 확인할 수 있으며, 과거부터 Kaspersky Security Network(KSN) 파일 수집은 정상적인 문서, 음악, 동영상, 그림 파일 등에 대해 수집이 가능할 수도 있음을 알 수 있습니다.
이렇게 평판 확인을 하는 과정에서 Kaspersky 보안 제품은 암호화된 연결 방식으로 중국(CN)에 위치한 서버로 정보를 확인하는 것을 알 수 있습니다.
반대로 Kaspersky Security Network(KSN) 파일 수집에 대한 부분을 확인하던 중 실행 가능한 파일(PE 파일)에 대해 평판을 확인할 수 없는 부분도 알 수 있습니다.
그 중 대표적인 포맷으로 악성 파일에서 사용될 수 있는 com, sys, scr 파일의 경우에는 "KSN의 평판 확인" 메뉴가 존재하지 않으며, 파일 검사에서도 평판 정보를 제시하지 않는 것을 알 수 있습니다.
또 다른 한 가지는 2012년 11월 15일경에 설치된 해외 유명 프로그램의 dll 파일의 평판에서는 최초 보고가 "오늘"로 기록되는 것을 보아 파일 수집이 exe 파일에 집중되는 것이 아닌가 의심이 됩니다.
실제 테스트 과정에서는 1개월 전에 공개된 프로그램을 설치한 경우 해당 프로그램의 실행 파일은 평판 정보에서 정상적으로 확인할 수 있는 반면 프로그램의 dll 파일 상당수는 보고가 이루어지지 않은 것을 확인할 수도 있었습니다.
이런 부분은 실제 국내에서 제작된 OpenCapture 프로그램이 2013년 2월 15일경 7.5 버전에서 8.0 버전으로 업데이트가 이루어졌는데, 업데이트 과정에서 임시 폴더에 생성된 exe 실행 파일은 정확하고 빠르게 수집이 이루어졌음을 평판 정보를 통해 확인할 수 있습니다.
결론적으로 Kaspersky Security Network(KSN) 파일 수집은 파일 확장자명을 기준으로 수집되며 그 중에서도 exe 파일 수집에 집중하고 있다고 볼 수 있습니다. 또한 파일 확장자 기준으로 수집되는 과정에서 개인 정보가 포함된 파일(문서, 동영상, 음악, 그림)도 확장자만 변경될 경우 의도치 않게 모두 수집이 되므로 매우 주의할 필요가 있습니다.
예를 들어 악성 파일이 Kaspersky Security Network(KSN) 기능을 혼란스럽게 만들 목적으로 감염된 시스템에서 문서, 동영상 파일명을 exe 파일로 일괄 변환할 경우도 발생할 수 있으리라 생각됩니다.
또한 이런 파일 수집 정책 문제로 인해 KSN 통계 정보는 다른 보안 제품보다 더 높은 통계치를 보여줄 수도 있습니다.