2024년에 제정되어 곧 시행을 앞둔 AI 기본법은 한국에서 인공지능을 포괄적으로 다루는 첫 번째 종합 법률이다. 이 법은 단순히 기술 개발을 촉진하는 진흥법이 아니라, 산업적 활용과 사회적 위험 관리라는 두 가지 목적을 동시에 담고 있다는 점에서 주목할 만하다. 주요 내용에는 인공지능의 정의와 범위, 개발·활용 단계에서의 안전성 확보, 자동화된 의사결정의 투명성과 책임성 강화, 공공과 민간 부문의 데이터 활용 체계 정립 등이 포함된다. 동시에 개인정보 침해, 알고리즘 편향, 안전성 문제 등 AI가 불러올 수 있는 사회적 위험을 제도적으로 예방할 수 있도록 감독 장치도 마련되어 있다. 따라서 AI 기본법은 기술 진흥과 인권 보호라는 상반된 목표를 하나의 법률 체계 안에서 동시에 조율하려는 시도라고 할 수 있다.
웹 애플리케이션의 발전으로 개인 정보와 민감한 데이터의 디지털화가 급격히 진행되면서 웹 보안은 현대 정보 기술 환경에서 가장 중요한 요소 중 하나로 자리 잡았다. 그중에서도 크로스 사이트 스크립팅(이하 XSS)은 웹 애플리케이션의 취약점을 악용하여 사용자와 서버 간의 신뢰를 깨뜨리고 데이터를 탈취하거나 악성코드를 실행하도록 유도하는 대표적인 공격 방식으로, 전 세계적으로 빈번히 발생하고 있다. 예를 들어, OWASP(Open Web Application Security Project)에서 발표한 데이터에 따르면, XSS는 웹 애플리케이션 보안 취약점 중 꾸준히 상위 10위 안에 포함될 만큼 주요한 위협으로 평가받고 있다. 실제로, 유명한 소셜 미디어 플랫폼에서 발생한 XSS 공격으로 인해 수백만 명의 사용자 데이터가 유출된 사례는 XSS 취약점의 심각성을 잘 보여준다.
원격 접속 도구(RAT)는 본래 Remote Access Tool/Remote Administrator Tool의 약어로 사용되었으나, 최근 악성 파일에서는 Remote Access Trojan의 약어로 사용되는 추세이다. ‘Trojan’이라는 단어로 트로이 목마형 공격과의 연관을 유추할 수 있다.
RAT는 감염된 시스템의 백도어 생성을 위해 쓰이는 경우가 많다. 정상 프로그램에 공격자가 만든 악성코드를 삽입하여 재유포하거나, 이메일을 이용한 공격, 파일 공유 사이트에 악성코드 배포 등 다양한 방법으로 유포가 진행 중이다.
“WhatsApp”은 세계에서 가장 널리 사용되는 메신저 애플리케이션 중 하나로, 사용자들 간의 무료 메시지 전송, 음성 및 영상 통화, 사진과 동영상 공유 등의 기능을 제공한다. 해당 앱은 전 세계적으로 20억 명 이상의 사용자를 보유하고 있으며, 사용자들 간의 안전한 통신을 위해 종단 간 암호화(end-to-end encryption)를 기본으로 지원하여 보안과 프라이버시를 보장한다. 하지만 이러한 대중적인 애플리케이션을 기반으로 한 다양한 변형된 버전들이 존재하며, 이중 일부는 악성코드를 포함한 APK 파일로 배포된다.
SMB 프로토콜이란?
SMB(Server Message Block)는 네트워크에서 파일과 프린터를 공유하기 위한 프로토콜이다. 클라이언트는 SMB를 통해 서버의 파일·디렉터리에 접근해 생성, 수정, 삭제 작업을 수행할 수 있으며, 프린터 공유도 가능하다. 만약 SMB 구현 또는 설정에 취약점이 존재하면, 같은 네트워크의 공격자가 트래픽을 가로채거나 인증을 중계(relay)하여 관리자 권한을 획득할 수 있다.
안드로이드 운영체제는 개방성이 높은 만큼, 악성 애플리케이션(APK)을 통한 위협이 증가하고 있다.
안드로이드 악성코드는 단순한 광고성 애드웨어부터 금융 정보를 탈취하는 뱅킹 트로이 목마, 원격 제어를 가능하게 하는 RAT(Remote Access Trojan)까지 다양하게 존재한다. 특히 RAT 계열의 악성코드는 공격자가 피해자의 기기를 원격으로 제어하기 때문에 카메라 및 마이크를 활성화하거나, 문자 메시지를 가로채는 등의 민감한 데이터를 탈취하는 심각한 보안 위협을 초래한다.
해당 칼럼에서는 (1)대표적인 안드로이드 악성 APK 파일을 직접 분석하고, (2)RAT 악성코드를 이해하며, (3)그 동작 방식과 위협 요소를 알아보고자 한다.
디지털 포렌식에서 네트워크 분석은 필수입니다.
네트워크를 타고 흐르는 패킷에는 사용자 행위의 흔적이 그대로 남기 때문입니다.
하지만 프로토콜에 대한 제대로 된 이해가 선행되지 않은 채 실습부터 하게 된다면 막히는 부분이 많이 생길 수밖에 없습니다.
예를 들자면, 스푸핑이나 디도스 공격 실습 과정 중에 HTTP와 HTTPS의 차이를
잘 몰라 두 프로토콜을 혼동하는 경우가 있을 수 있습니다.
(사실 제 경험이기는 한데…)
이번 글에서는 HTTP와 HTTPS 프로토콜에 대해 알아보고, Wireshark를 활용하여 HTTP와 HTTPS 패킷을 직접 비교하고, 로그인 정보가 어떻게 노출되거나 보호되는지 확인해보겠습니다.