하우리 로고 이미지

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

Protect Yourself From PDA Viruses (2)
등록일 :
2002.11.06

PDA OS 파일 구조와 바이러스의 감염 원리


File Streaming function






<그림7> 최신 Palm PDA기종 (Palm m130)
일반적으로 한국에서 사용되는 PDA의 운영체제는 크게 4가지이다.팜사(Palm)에서 제작한 팜 OS(Palm OS), 마이크로소프트에서 만든 윈도우 CE(Windows CE), 제이텔(Jtel)의 셀빅OS(Celvic OS), Psion의 EPOC 등이다. PDA OS에서 제공하는 File Streaming functions은 사용자의 일반 프로그램에서 다른 파일을 read , write , seek , truncate 할 수 있는 기능을 제공하므로 Desktop Computer 에서와 마찬가지로 파일 처리가 가능하다. 이와 같은 함수들은 PDA 상에서도 바이러스가 활동하는데 필요한 모든 기능을 제공 한다고 말할 수 있다.

Palm OS의 파일 구조
PDA중에 제일 많은 사용자와 많은 프로그램들을 확보하고 있는 Palm OS에 대한 File System을 다루어 보자.
Palm OS는 전통적인 파일 시스템을 사용하지 않는다. 사용되는 프로그램 역시 Desktop Computer와는 사뭇 다르다. PC에서 사용되는 실행 파일의 확장자가 .EXE나 .COM인데 비해, Palm OS에서 구동 되는 프로그램의 확장자명은 .psf, .prc, .pdb, .pqa file 등이 있는데, 이중에서 실행파일을 PRC(PalmPilot Runable Code)파일 이라고 부른다.
PRC file은 CODE 0, CODE 1, DATA 0, PREF 0, 등등의 여러 개의 Resource를 가지고 있다. 이런 Resource들은 제각기 다른 역할을 한다. 어떤 Resource는 대화상자 같이 화면에 나타나는 부분을 저장하고, 어떤 Resource는 프로그램 정보를 저장하고, CODE Resource에서는 실질적으로 프로그램이 실행되는 이진 바이너리를 가지고 있다. 이렇게 많은 Resource들로 하나의 파일이 이루어지는 것이다.
이러한 데이터들은 오직 Palm OS를 사용하는 PDA에서만 동작이 가능한 프로그램 코드와 데이터로 이루어져 있으므로, 일반 Desktop Computer에서는 실행되지 않는다. 뿐만 아니라 서로 다른 종류의 OS를 사용하는 PDA들간에는 소프트웨어의 호환성이 전혀 지원되지 않는다.
설치되는 프로그램들은 각각의 PDA 전용으로 제작된 것들이다. 바로 이러한 이유 때문에, PDA용 바이러스가 감염 시킬 수 있는 PDA기기 역시 한정 되어 있다.
Palm OS에는 아직까지 PRC파일과 Resource에 대한 어떤 고유한 접근에 대해서도 자체적으로 제어하는 기능이 포함되어 있지 않다. 일반적으로 OS에서 이런 기능을 지원하지 않다는 것은 바이러스가 쉽게 접근할 수 있는 환경을 제공하고 있는 뜻이다. 이처럼 일반적인 사용자 프로그램에 의해 아무런 제약 조건 없이 쉽게 변경되거나 수정될 수 있기 때문에, 악성 코드가 시스템 파일을 변경하는 것이 가능하다. 또한 시스템 파일을 엉뚱하게 변경하여 시스템을 파괴하는 것도 가능하다.


실제 Palm OS에서 발생한 바이러스의 실례와 분석


제일 처음의 바이러스인 Phage Virus






<그림8> Phage 바이러스에 감염된 PDA
PDA바이러스는 Palm OS 환경에서 가장 먼저 발견되었다. 바이러스에 감염되면 어떤 Resource에 악성 코드를 심어 놓는 것일까? 트로이 목마와 파일들을 삭제하는 바이러스외에 Phage 바이러스처럼 파일에 직접적으로 감염시키는 바이러스는 바로 PRC파일의 실행 코드를 담고 있는 CODE부분을 찾아 이 자리에 바이러스 코드를 심어 놓는다. 이 바이러스는 Overwrite 하는 형태로 실행 파일들을 감염시킨다.

바이러스 코드가 작동할 때 내부적으로 쓰이는 Palm OS 전용 API는 다음과 같다.



  1. 감염시킬 실행 파일을 찾는다.
    DmGetNextDatabaseByTypeCreator
  2. 목표 파일을 Open 한다.
    DmOpenDatabase
  3. Resource에서 CODE 부분을 찾는다.
    DmDatabaseInfo, DmGet1Resource
  4. CODE Resource를 바이러스 코드로 Overwrite 한다.
    DmResizeResource , DmWrite
  5. 목표 파일에 바이러스 코드를 완전히 쓰고 파일을 닫는다.
    DmCloseDatabase

위와 같이 바이러스는 일반적인 DM(Data and Resource Manager) API를 사용한다. 이렇게 감염된 파일은 바이러스 코드를 포함하게 되므로, 감염파일이 실행 될 때 원래의 프로그램이 아닌 바이러스 코드가 실행되어 또 다른 파일을 계속해서 감염시킨다.
이렇게 간단하게 바이러스를 제작할 수 있다는 사실을 감안하면, 바이러스 원리에 대한 최소한의 지식이 있고, Palm OS 프로그램을 한번이라도 접해본 사람이라면 누구나 쉽게 바이러스를 작 할 수 있다는 것 알 수 있다.
또한 Overwrite(겹쳐쓰기) 바이러스는 새로운 OS가 나올 때 발견되는 바이러스로써 거의 초창기에 만들어 지는 바이러스라고 할 수 있다. 이것보다 지능적인 정교한 바이러스가 나오는 것은 시간 문제이다.


무선 디바이스에 대한 바이러스의 위협 유형






<그림9>다양한 무선 기기들이 서버로부터 서비스를 받고 있는 모습
PDA나 여타의 다른 무선 기기를 사용함에 있어 바이러스 같은 악성 코드로부터 피해를 받을 수 있는데 이런 경우를 2가지 유형으로 나누어 볼 수 있다. 하나는 PDA 기기에 설치되는 전용 어플리케이션에 의한 자신의 PDA에 바이러스 감염이고 또 다른 하나는 PDA가 다양한 용도로 쓰기 위해서 제공 받을 수 있는 각종 서비스들에 대한 위협이다.

어플리케이션 위협
PDA 사용자가 인터넷, 네트워크, 적외선 통신 등을 이용해서 자신의 PDA로 프로그램을 설치할 때 실수로 바이러스를 설치 가능성은 농후하다. 이렇게 설치된 바이러스에 의해 PDA시스템이 감염되는 상황이 바로 어플리케이션에 의한 위협이다.
예) 1. 리버티 크랙 : 쉐어웨어 게임 프로그램을 정식 버전으로 바꿔 주는
프로그램으로 가장해서 , 실행 시 모든 소프트웨어 삭제함.
2. 페이지(Pahse) : 정상 프로그램 실행하지 못하게 만들고, 주변 프로그램을
감염시킴.


컨텐츠 위협
자체적으로 PDA 시스템을 파괴하는 것이 아니라 PDA로 받을 수 있는 각종 서비스에 대한 악영향을 뜻한다. 이런 유형의 바이러스에 감염되면 사용자의 동의나 허락 없이 PDA서비스를 이용해서 대량의 E-mail을 특정 서버에 한꺼번에 보내어 서버를 파괴 하거나 악의적인 내용을 담은 E-mail을 다른 사용자에게 전송하기도 한다.
예) 1. 티모포티카 : 스페인 최대 통신회사인 텔레포니카가 제공하는
무선네트워크상에서 발생함, E-mail 주소록에 등록된 다른
사람에게까지 무차별 전송함. 통신회사를 비방하는 SMS 메시지 첨부함
2. NTT도코모 I-mode : 사용자가 메시지를 수신하면 110번으로 전화를
걸게 하여 긴급전화시스템 다운 시킴.


어플리케이션/ 켄텐츠 혼합 유형
일반 PDA의 시스템 파일과 사용자 파일을 감염시키고 더 나아가 무선 통신 서비스를 가능하게 하는 Server에도 악영향을 미치는 형태이다. 아직까지 이런 종류의 공격기법을 이용하는 바이러스는 발견되지 않았지만, 통신 기술의 발달로 머지 않아 나타날 것으로 전망하고 있다.


바이러스 이외의 무선기기 개인 정보보호
바이러스처럼 악의적인 코드를 포함하여 사용자의 중요한 자료와 프로그램을 파괴하는 악성 프로그램이 있는가 하면, 본의 아니게 PDA에 저장된 정보를 잃을 수 있는 경우도 있다.
즉, 사용자의 실수로 PDA에 설치된 자료들이 파괴되는 것이다. 밧데리의 완전한 방전과 하드 리셋의 경우가 가장 자주 일어날 수 있는 실수이다.
하드웨어 리셋은 소프트웨어 리셋과 달리 공장에서 PDA가 출고 될 때의 상태, 즉 기본적인 프로그램만 설치된 상태로 초기화 되는 것을 뜻한다. 사용자가 부득이하게 이 기능을 사용하게 되면, 사용자가 직접 다운 받아 설치한 모든 기존 자료들은 완전히 삭제된다. 따라서 Desktop Computer와의 Sync를 통해 중요한 자료를 자주 백업할 필요가 있다. 이러한 수고를 통해 PDA에 저장된 개인적인 자료나 프로그램을 보호할 수 있기 때문이다.
PDA는 말 그대로 개인의 정보를 관리하기 위해 사용하는 만큼 자신의 정보를 타인으로부터 안전하게 지키는 문제도 중요하다. 그러기 위해서는 PDA에 비밀번호를 걸어 타인의 접근을 통제하는 지혜가 필요하다. 현재 쉽게 구입할 수 있는 셀빅이나 팜, Pocket PC 등 모든 PDA 기종에 개인 정보보호를 위한 비밀번호 설정기능이 내장되어 있다. 조금이나마 악의적인 것들로부터 자신의 재산을 보호하기 위해 이런 기능들을 사용하기를 적극 권장한다.


앞으로의 바이러스와 대응책







<그림 10> 언제 어디서나 무선 인터넷을 손쉽게 이용할 수 있다

무선 바이러스는 단순히 PC에서 PDA로 데이터를 내려 받는 형태를 통해서만 전염되는 것이 아니라, 무선 네트워크 환경 발달과 함께 모바일 기기로 직접 데이터를 수신할 수 있기 때문에 전문가들은 그 파급효과와 위력이 점차 커질 것으로 예상한다. 컴퓨터 보안 전문가들은 "휴대폰 등 무선통신기기에 심각한 피해를 끼치거나 휴대폰을 통해 개인정보를 빼내는 악의적인 변종 프로그램이 개발되는 것은 시간문제"라고 경고한다.
또 컴퓨터 바이러스 전가들은 "대중화된 무선기기가 표준화, 복잡화 할수록 파괴적인 바이러스의 공격에 취약해질 것"이라고 말한다.
이러한 공격에 대비하기 위해서 PDA를 사용하는 개개인의 준비가 필요한 것은 누구나 알고 있는 사실이다. 특히 PDA는 편리함과 동시에 아직까지 해결되지 않은 수많은 많은 취약점을 함께 가지고 있는 장치 기기들 중 하나이다. 물론 아직까지는 바이러스나 해커로부터 100% 안전한 디지털 장치는 존재하지 않는다. 그러나, PDA에 저장된 중요한 데이터를 유실하지 않고, 악의적인 코드로부터 자신의 소중한 데이터를 지키기 위해서는 보안 프로그램을 자신의 PDA에 설치하고 주기적으로 체크 하는 것이 최선의 방법이다.
혹시라도 자신에게 닥칠지 모를 재난을 미연에 방지할 수 있는 최선책이다.

  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top