오픈백신 이용 현황 공개 및 몇 가지 비판에 대한 반론
8월 18일 현재 총 5만대가 넘는 기기에 설치
발견되는 시그니쳐에 대한 지속적인 업데이트 진행
지난 8월 8일, (사)오픈넷, 진보네트워크센터, P2P재단코리아준비위원회는 안드로이드용 “오픈 백신”을 일반에 공개했습니다. 많은 분들이 오픈백신을 설치하셨고, 오픈백신 개발을 격려하고 후원도 해주셨습니다. 일부 언론과 SNS를 통해 오픈 백신에 대한 비판의 소리도 나왔습니다. 그래서 지금까지의 오픈백신의 업데이트 및 이용 현황을 공개하고, 오픈백신에 대한 몇 가지 비판에 대한 반론을 하고자 합니다.
오픈백신 업데이트 현황
지난 8월 8일, 오픈백신 1.0 버전을 공개한 이후 세 차례 업데이트가 이루어져 현재 플레이스토어에서 1.3 버전이 제공되고 있습니다.
- 초기 1.0 버전에서는 휴대전화 파일 시스템 내의 APK 파일만을 대상으로 검사가 이루어졌으나, 1.2 버전에서는 전체 파일 시스템을 대상으로, 그리고 1.3 버전에서는 APK와 실행파일을 대상으로 검사가 이루어지도록 변경되었습니다.
- 악성코드 여부를 판별하는 시그니쳐(Signature) 데이터베이스도 지속적으로 업데이트되고 있습니다. 유출된 해킹팀의 이메일에 첨부된 시그니쳐 데이터를 비롯하여, 시티즌랩에서 찾아낸 악성코드가 포함된 파일의 시그니쳐, 그리고 루크 시큐리티(rook security)[1]에서 찾아낸 시그니쳐 등이 추가되었습니다. 그리고 이 중 감염되지 않은 파일로 판단된 시그니쳐(2개)는 제거하였습니다.
오픈백신은 지속적으로 디자인이나 성능 측면에서 개선해나갈 예정입니다.
오픈백신 이용 현황
8월 8일 공개 이후, 8월 18일 현재까지 총 5만대가 넘는 기기에 설치되었습니다.
안드로이드 버전별 설치현황을 보면, 안드로이드 4.4 버전이 54.71%로 가장 많고, 안드로이드 5.0 버전이 27.25 %, 안드로이드 5.1 버전이 7.73%로 그 뒤를 잇고 있습니다.
또한 총 810분이 오픈백신에 대한 리뷰를 해주셨고, 대부분 오픈백신에 대한 격려를 보내주셨습니다. 오픈백신을 이용하고 격려해주신 분들께 감사드립니다.
해킹팀 RCS 탐지 여부
현재까지 해킹팀의 RCS에 감염되었다고 정확하게 확인된 사례는 없었습니다. 아직 오픈백신으로 검사된 기기의 수가 5만여 대에 불과하기 때문에, 좀 더 광범하게 오픈백신이 설치되어 탐지해볼 필요가 있습니다.
물론 설사 RCS에 감염되었던 기기라고 할지라도, 스파이웨어를 원격으로 삭제하였거나, 혹은 이용자가 다른 백신을 통하여 이미 삭제한 경우라면 발견되지 않을 수 있습니다. 국가정보원이 RCS 이용을 위해 얼마나 광범위하게 악성 코드를 배포하였는지 아직 확실하게 드러나지 않았기 때문에, 좀 더 많은 이용자들이 오픈백신을 설치해 확인해 볼 필요가 있는 상황입니다.
오픈백신 비판에 대한 반론
오픈백신 공개 이후에 일부 언론[2]에서 오픈백신을 분석한 기사를 실었습니다. 이 기사들에서 제기하고 있는 문제는 다음 세 가지입니다.
첫째, 현재 백신에 올라가 있는 시그니쳐는 4개뿐이다.
둘째,안드로이드폰 사용자가 설치한 앱은 탐지할 수 없다.
셋째, RCS의 소스코드를 변경한 변종 악성코드는 탐지하지 못한다.
첫 번째, 두 번째 비판은 사실과 다릅니다. 아마도 소스코드를 잘못 분석했거나 공개 이전의 과거의 소스코드를 분석한 것으로 판단됩니다. 오픈백신은 사용자가 설치한 앱 역시 모두 탐지하고 있으며, 앞서 설명드렸다시피, RCS와 관련된 현재까지의 모든 시그니쳐를 업데이트하고 있습니다(https://github.com/
세 번째 비판은 오픈백신의 목적에 대한 오해에서 비롯된 것입니다. 오픈백신은 모든 악성코드를 탐지하고 치료하는 일반적인 백신을 목적으로 하지 않습니다. 그것은 다른 상업적인 백신업체들이 해야 할 몫입니다. 오픈백신은 기존에 해킹팀이 만들고 국가정보원이 배포한 RCS의 악성코드를 탐지하여 국가기관에 의한 국민감시를 밝히는 것이지, 이를 변형한 다른 악의적인 공격자가 만든 모든 종류의 악성코드에 대응하려는 것이 아닙니다.
오픈백신이 여러 가지 측면에서 부족한 점이 있을 수 있습니다. 그래서 저희는 더 좋은 아이디어와 능력을 가지신 분이 함께 하기를 바랍니다. 중요한 것은 오픈백신이 좋고 나쁘고가 아니라, 국가기관에 의한 시민 감시 여부를 찾아내고, 향후에 시민 감시가 없는 제도를 만드는 것입니다. 질책은 언제나 중요하지만, 부족한 부분을 함께 채워나갈 수 있기를 기대합니다.
그리고 시민들은 앞으로도 지속적인 시그니쳐 업데이트가 이루어질 것이므로 오픈 백신이 업데이트 될 때마다 검사를 해보시기를 당부드립니다.
[1] https://github.com/RookLabs/
아.. 오픈 백신의 목적이 국가기관에 의한 시민 감시 여부를 찾아내고, 향후에 시민 감시가 없는 제도를 만드는 것이라고요?
그렇다면 오픈 백신이라는 단어를 사용하지 말았어야 합니다. 백신이라 하면, 기본적으로 탐지 기능뿐만 아니라 격리, 치료 기능까지 포함한 것을 의미합니다. 또한 국가기관에 의한 시민 감시 여부를 파악하기 위해서는 알려지지 않은 취약점을 탐지할 수 있는 방법 가운데 하나라도 갖고 있어야죠.
기존 보안 시스템이 죽었니, 마니 하는 얘기가 바로 시그니처 기반의 보안 체계의 한계때문입니다. 그런데 이를 기반으로 한 탐지만 하는 시스템으로 ‘오픈 백신’이라는 이름을 사용하다니요.
여기에 게재된 세 가지 비판에 대한 반박글이 하나도 반박이 되지 않습니다. 왠만하면 보안 전문가에게 한번 검수를 거치거나, 주변에 보안전문가 분이 없으면 페이스북에 수많은 보안 커뮤니티 가운데 하나에라도 올려서 검수를 받으시고 올리심이 좋을 듯합니다.
벌써 5만이라는 사용자가 사용하고 있다고요?
5만이라는 사용자가 백신도 아닌, 그렇다고 전문 탐지 앱도 아닌, 황당한 앱을 깔고는 자신의 스마트폰은 보안과 프라이버시 침해에 안전하다고 착각하고 있다는 겁니다.
시그니처 기반의 탐지 기법만으로는 절대로 목적에 합당하는 기능을 할 수 없습니다. 시그니처 이외에 평판 기반의 탐지 기법이라도 도입하시길 바랍니다.
안녕하세요 몇가지 질문이 있어서 글을 남깁니다.
1. 커밋 날짜를 보니 기존에 시그니처 4개밖에 없다가 언론에 뜨고나서 업데이트를 한게 아닌가요? 커밋을 늦게 했다는 그런뜻으로 해석을 해달라는 이야기인건가요 ?
2. 기존에 유포된 악성코드 시그니처야 당연히 보안업체들도 다 가지고 있고 해시 탐지정도야 간단하게 구현이 되는데 왜 굳이 오픈백신을 선택해야하는건가요 ? 저런 어플이 목표액 9백만원을 가지고 후원을 받고 있던데 언론이 크게 벌여놓은 이 기회에 돈이나 벌어보자라는 행동으로 밖에 보이지 않습니다.
해킹팀의 RCS는 목적자체가 불특정 다수에 대한 일반인의 감시로 보이지 않습니다. 최근에는 행위분석 시스템이 잘되어 있기 때문에 이상 행위는 보안업체 네트워크에 쉽게 탐지됩니다. 몇억씩이나 되는 감시프로그램과 제로데이를 포함한 익스플로잇을 네트워크에 쉽게 유포할 것이라고 생각하시나요 ? 국가기관이 네이버 뉴스나 보고 셀카나 찍고다니는 당신 핸드폰에 네트워크에 공개될 위험을 감수하고 몇억씩이나 되는 감시 프로그램을 설치할 것이라고 생각하시나요 ?
과연 이 오픈백신으로 RCS를 찾았다는 사람이 나올까요 ?
아니 올라온 댓글이 어의가 없어서 지나가다 한마디 남깁니다.
이번의 문제의 본질은 백신업체들이 이전과는 다르게 스파이웨어나 악성코드가 발견이 되면 재빠르게 전용백신을 만들거나 언론보도를 통해 대응을 해왔지만 이번 국정원 RCS관련 악성코드에 대해서는 각 보안업체나 관련 업체들이 조용하기만 했었고 그 이유는 모두가 알고 있듯이 보안업체들의 슈퍼갑이 국정원이라는 사실때문이라는 것은 공공연한 사실이었습니다. 그런 와중에 답답한 마음에 오픈넷을 비롯한 몇몇 단체들이 긴급하게 개발자를 모아 개발을 진행했다는 사실은 모두가 언론을 통해 알려진 것입니다. 사실 기존 보안업체가 국정원 RCS에 대응을 했다면 당연히 잘 했겠지요. 그건 영리를 목적으로 하는 회사가 지속적으로 모아온 시그니처나 기타 샘플을 많이 보유하고 있기 때문에 당연할 것입니다. 그렇게 했다면 아마도 시민단체들도 응원을 보냈을 겁니다.
하지만 보안업체가 그렇지 못한 것을 두고 그것을 비판하지 못할 망정 짧은 시간속에 만들어지고 정식배포발표도 언론에서 10일에 있었던 것을 두고 기능이 뭐가 문제니 뭐가 잘못되었느니 하지말고 그렇게 기술에 대해 잘 안다면 글쓴 사람이 직접 만들어서 배포를 했던가 해야 하는거 아닌가요?
전 기술적인 것은 잘 모르지만 국정원이라는 국가기관이 해킹프로그램을 거액을 주고 불법으로 사와서 몇년간 사용을 했다는 것이 해킹을 통해 만천하에 들어났는데 과연 누구를 대상으로 사용했는지 얼마나 광범위하게 사용되었는지 전혀 알 수 없는 상황에서 보안업체들이 꿀먹은 벙어리처럼 있었다는 것은 솔찍히 국민을 대상으로 돈을 버는 회사들의 도덕적인 직무유기 아닙니까! 그리고 해킹으로 밝혀지기 이전부터 이와 관련한 내용을 보안업체들이 샘플 등의 확보 등으로 알고 있었는데도 밝히지 않았던거라면 더욱 문제가 심각했던거 아닙니까!
이제와 RCS 악성코드를 찾을 수 있을지 없을지는 모르겠지만 직무유기했던 보안업체나 혹시라도 악성코드 샘플을 가지고 있었을지도 모를 보안업체의 신뢰는 이미 땅바닥으로 떨어졌다는 것을 모르겠나요?
그런 마당에 성능이 어쩌니 저쩌니 하는 것은 그냥 제가 보기엔 신뢰가 바닥으로 떨어진 보안업체의 편을 들고 싶어하는 사람이거나 관련된 업계의 사람으로밖에 안 보입니다.
정말 사람들이 양심이 있어야지 말이야 정말 한심해 보일뿐입니다. 진작에 잘하면 될 일을 하지않아 만들어진 것을 두고 남탓만 하는게 불쌍하기까지 하군요. 참 어의가 없어서…
1. 어의없다(x) -> 어이없다
2. 보안업계가 조용했다는건 본인 의견입니다. 보안업계에서도 언론에도 나기전부터 이슈였었고 샘플 분석을 진행한곳도 많습니다. 나중에 “언론에 난리”를 친곳이 정치권과 오픈백신이였지 해킹팀 유출사건은 그 전에도 보안업계에서 충분히 문제되고 있었습니다.
3. 오픈넷이 보안업계에서 욕을 먹고 있는 이유는 기존 보안솔루션으로 대응이 가능한데도 불구하고 마치 오픈백신이 진리인냥 기사화를 하고 보안업체에서는 못잡아내는것처럼 기사화가 되어서라고 생각합니다. 그런데 언론에서 이슈화가 된 뒤 막상 오픈백신의 소스코드를 분석해보니 단순한 기능밖에 없어서 질타를 받는 상황이 된 것 같습니다.
4. “국정원이라는 국가기관이 해킹프로그램을 거액을 주고 불법으로 사와서 몇년간 사용을 했다는 것이 해킹을 통해 만천하에 들어났는데 과연 누구를 대상으로 사용했는지 얼마나 광범위하게 사용되었는지 전혀 알 수 없는 상황에서 보안업체들이 꿀먹은 벙어리처럼 있었다는 것은 솔찍히 국민을 대상으로 돈을 버는 회사들의 도덕적인 직무유기 아닙니까! ”
역시나 본인생각이십니다. 위 댓글에서도 언급했듯이 최근에는 행위분석 시스템이 잘되어 있기 때문에 이상 행위는 보안업체 네트워크에 쉽게 탐지됩니다. 인터넷에 알려져있듯이 RCS 사용료를 몇억씩이나 지급했는데 그런 프로그램을 “광범위하게” 뿌리지는 않습니다. 쉽게 탐지될 수가 있기 때문이죠.
“보안업체들이 꿀먹은 벙어리처럼 있었다는 것은 솔찍히 국민을 대상으로 돈을 버는 회사들의 도덕적인 직무유기 아닙니까! ”
해외 보안솔루션이든 국내 보안솔루션이든 “해킹팀의 자료가 유출된 것”으로 이슈화 되었지 유출된 RCS나 익스플로잇이 “탐지가 어려워서” 이슈화 되지는 않았습니다. 즉 보안업계에서는 평소와 같이 대응을 한것인데 언론에서 기사화가 되면서 대응이 안된 것처럼 사람들이 생각하는 겁니다. 최근 포격도발 대응 논란이랑 비교해서 생각해보시기 바랍니다
1. 어의없다(x) -> 어이없다
2. 보안업계의 이슈였다면 증거를 대십시요. 과연 우리나라의 보안업계가 그전의 전용백신을 만들듯이 대응을 했거나 언론에 대응을 했다고 이전이든 이후든 국민들에게 알린적이 있나요? 지들끼리 모여서 얘기한게 다인거 아닙니까?
3. 같다는 얘기는 하지 마십시요. 오픈넷이 왜 욕을 먹어야 합니까? 과연 우리나라 보안업계가 그리도 도덕적으로 완벽합니까? 다른 나라에서는 팔리지도 않는 안랩이나 하우리 등등 솔찍히 국정원 아니면 어디다가 납품하고 돈벌고 합니까? 이리도 치졸합니까? 그리고 본인이 보안업계에 있는걸 이제 아주 까놓고 얘기하시는데 좋습니다. 그런데 뭐가 창피한건지는 압시다. 공자도 최소한 창피할줄은 알아야 한다고 합니다. 누구들처럼 얼굴에 철판깔고 살지는 맙시다.
4. “해킹팀의 RCS는 목적자체가 불특정 다수에 대한 일반인의 감시로 보이지 않습니다.”라고 이미 본인은 판단을 하시고 얘기를 했습니다. 그런 마당에 저라고 판단을 하면 안된다고요. 어디서 교만함을 들어냅니까? 잘못했으면 그냥 조용히 찌그러져서 가만히 있으세요. 어줍잖은 두둔으로 전체 보안업계에 먹칠은 하지 마시고요.
그리고 확인되지도 않은 포격도발을 여기다가 왜 가져다가 인용을 합니까? 어디 남북한 합의문에 그런 내용이라도 있나요? 제가 볼때는 닭강정 당신이 누군지 과연 궁금해지네요. 두둔을 하시려거든 이러저러한 정황을 끌어다가 여러 해석이 가능한 것을 가지고 얘기하는 것이 아니라 사실에 근거해서 얘기를 좀 하십시요. 어디서 되도 않는 글이나 올리고 마치 자신이 뭐 좀 알고 잘아는것처럼 얘기하는거 정말 꼴불견입니다. 사람은 많이 알수록 고개를 숙일주 아는 법입니다. 벽보고 눈감고 잘 생각해보십시요.
학생이면 학생답게 살아라!!! 더 해줄 얘기는 없다. 길게 얘기해봐야 손가락만 아프다. 이런데 댓글 달 시간있으면 책이나 한페이지 더 봐라. 자꾸 어른들 얘기하는데 끼지말고 그런다고 어른되는거 아니다. 그런데 글을 잘읽어보니 보안업계 돌아가는걸 그래도 아는척하네. 어의가 없어서 가만있으면 반은 간다.
아이고 사과나무님… 논쟁에서 털린다고 이렇게 나오시면 어떻게 합니까…
‘으~~른이 말쌈하시는데 어린노무 쒜끼가 어디서 감히’ <- ㅋㅋㅋ
그리고 또 어의라고 쓰셨네 ㅋㅋㅋ
우와 이거 전형적인 꼰대발언 ㅋㅋ대박이네요. 독재시절 민주화 운동하던 분들이 잡혀가서 귀아프게 듣던 소리 아닌가? ‘학생이면 학생답게 공부나 할것이지’ ㅋㅋㅋ 제가 다 쪽팔리네요.
그리고 ‘어이’라구요 ‘어이’
—————-
사과나무: “학생이면 학생답게 살아라!!! 더 해줄 얘기는 없다. 길게 얘기해봐야 손가락만 아프다. 이런데 댓글 달 시간있으면 책이나 한페이지 더 봐라. 자꾸 어른들 얘기하는데 끼지말고 그런다고 어른되는거 아니다. 그런데 글을 잘읽어보니 보안업계 돌아가는걸 그래도 아는척하네. 어의가 없어서 가만있으면 반은 간다.”
—————-
객관적으로 볼때 얘기가 너무 나갔네요.
일단은 사과나무님이 제기한 증거라고하는건 국민들을 대상으로 우리나라 보안업체의 대응을 얘기하신 것으로 보이는데 일단 닭강정님이 올려주신 것은 일반 국민을 대상으로 한 공지나 설명이 아니네요. 그래서 서로 딴말을 하고 있는 것이라 생각들고 보안업계에서의 언론에 대한 대응은 오픈넷이 오픈백신을 개발한다고 발표하고 나서 부터 나오기 시작한 것이 사실이며 당시 안철수의원도 보안업계에 대응을 몇차례 호소를 했지만 실제로 어떤한 대응도 적극적으로 하지 않았다는걸 언론보도를 찾아보면 알 수 있을 것이라 생각합니다. 그런 의미에서 얘기한 것이기에 닭강정님이 올려주신 링크는 의미가 없는 보안에 대해 어느정도 지식을 가진 분들만 이해할 수 있는 수준의 제로데이에 대해 설명한 것이고 플래쉬를 사용하지 말라는 정도의 내용으로 보여 국민들에 대한 적극적 대응이라 보기엔 무리가 있는 것이라 생각합니다. 그리고 이전에 보안사고가 발생했을때의 모습과는 전혀 달랐다는 것은 업계에 계신 분이라면 충분히 이해 하리라 생각합니다.
그런 의미에서 볼때 오픈백신은 의미가 있었다고 생각하며 그것을 폄하하는 것은 문제가 있다고 생각합니다.
그리고 닭강정님의 말중에 중학생 정도면 만들 수 있다는 등의 발언은 지극히 문제가 있다고 생각하고 그에 대한 사과나무님의 반응도 너무 흥분한 것이 아닌가 생각됩니다.
익명성이 있다고 해서 마구 감정적 발언을 쓰는 것은 바르지 않다고 생각합니다. 조금 자제들을 하시고 객관적 입장에서 전체를 보고 판단하며 다분히 감정적인 글들은 여기엔 안올라왔으면 좋겠습니다.
불구경2// 구경꾼으로서;; 너무 나갔다는 말씀에 어느정도는 동의합니다.
다만 ‘보안업체들이 그럼 뭘 했어야 했는가’ 생각을 해보면 지극히 상식적인 대응이었다고 보여집니다.
항상 하듯 악성코드를 분석 했고, 진단을 추가했죠.
이번 건을 대응할 때 3.3/7.7DDoS를 대하듯 할 순 없었을겁니다 당연히요.
이 건은 3.3/7.7/농협해킹처럼 (배후에 북한이 있다는) 어느 정도 증거나 정황이 있는 건이 아닙니다.
이메일 정황 가지고 보안업체가 “어 이거 코렁원이 국민사찰한거같네” 하고 기정사실화해서 보도자료 뿌리고 하는건 보안업체의 업무내용을 훨씬 넘어선 행위입니다.
‘이건 악성코드이니 진단하겠다’는건 당연하지만,
‘이거 정황상 코렁원이 국민 사찰한 것 같다, 확실하진 않지만’ 이런 발표를 보안업체가 하길 기대하시는건 아니죠? 그건 오픈넷같은 시민단체나 정치집단의 역할입니다.
안철수의원께서 보안업계에 요청한건 분석에 대한 도움이구요, 이미 그시점 이전에, 아니 유출된 이메일을 보시면 이 모든 건이 이슈화되기 전에 안랩이 이미 RCS를 진단하고 있단걸 알 수 있습니다.
국민에 대한 적극적인 대응이 뭔지 전 잘 모르겠습니다, 혹시 보도자료배포와 무료전용백신배포를 의미하시는건지?
RCS와 같은 감시소프트웨어는 해킹팀 말고도 있고, 꾸준히 분석 대상이 되어 왔습니다. 이번 건은 국정원이 사서 내국인을 사찰했다는데 뉴스거리와 의미가 있는건데, 백신업체에서는 진단만 하면 됐지 어차피 증명도 반증도 불가능한 싸움에 회사차원에서 뛰어들 이유가 전혀 없습니다. 거기에 끼어든다고 진단을 더 할 수 있는것도 아니고요.
주관적으로 볼때 닭고기님이 잘못표현하셨네요
오픈백신의 기능을 요약하면 쉘스크립트 한줄로도 만들 수 있답니다. 키보드만 누를 줄 알면 만들 수 있어요.
불구경2님의 글을 잘보면 관련 전공자 분이시고, 오픈백신의 폄하에 대해 상당히 발끈하신 점, 오픈넷을 대변하는 글 내용, 감정적인 글들은 `여기`에 안올라왔으면 좋겠다는 점을 보아 오픈넷 관련자라는걸 조심스럽게 이백프로 예상해봅니다.
결국 우려가 현실이 됐군요? 펀딩 도둑 오픈넷