‘안티바이러스 무용론’은 완전히 틀린 말이다. 안티바이러스가 완전한 기술은 아니지만 없어도 될 기술은 결코 아니다. 엔드포인트를 보호하기 위해서도 다단계 방어 전략이 필요하며, 공격을 인지하고 차단하며 보호해야 할 데이터를 안전하게 보호하는 방법이 필요하다. 엔드포인트에 대한 멀티벡터 방어 전략을 살펴본다.<편집자>
버라이즌의 ‘2016 데이터 유출 조사’에 따르면 2016년 발생한 사이버 보안 사고의 90%가 악성코드를 통해 진행됐으며, 성공한 공격의 80%는 수 분 내에 이뤄진다. 포네몬의 ‘멀웨어 탐지와 예방’ 리포트에서는 70%의 멀웨어가 안티바이러스로 탐지되지 않는다고 분석했다.
어떤 기관은 매년 6억개의 악성코드가 생겨나고 있으며, 보안 솔루션이 막으려면 매일 160만개의 시그니처를 만들어야 한다고 주장한다. 실제로 세계 최대의 안티바이러스 기업도 하루에 추가할 수 있는 시그니처는 아무리 많아도 300개를 넘지 못한다. 오탐의 우려도 있지만, 시그니처가 너무 많으면 백신 솔루션 구동 시간이 많이 걸려 업무에 방해가 되기 때문이다.
APT 방어 전략 무력화하는 악성코드
새로 발견된 악성코드가 몇 개인지는 중요하지 않다. 수많은 악성코드가 생겨나고 있으며, 실제 공격에 사용되지 않는 악성코드도 상당수에 이른다. 지하시장에서는 악성코드를 생성하는 자동화된 툴을 판매하고 있으며, 서비스 방식으로도 악성코드와 공격툴을 제공한다.
중요한 것은 악성코드를 이용한 공격을 차단하는 것이다. 이를 위해 수많은 기술이 개발되고 있지만, 공격자들은 이를 우회해 다시 공격한다. 몇 년 전 부터 보안 업계의 최대 화두가 됐던 APT 공격은 이미 패턴화 됐으며, 공격자들은 APT를 위한 멀웨어를 자동으로 만들어 대규모 유포하고 있다. APT 악성코드에 파일을 무단으로 암호화하는 기능까지 넣어 랜섬웨어 공격을 진행해 짭짤한 수익을 올리고 있다.
공격 자동화 기능은 적응형 학습기술까지 적용돼 사람처럼 인지하고 행동하는 멀웨어를 만들어낼 가능성도 점쳐지고 있다. 포티넷의 ‘2017 보안위협’ 전망에서는 사람과 같은 멀웨어가 등장해 기존의 APT 방어 전략을 무력화 할 것이라고 내다봤다.
카스퍼스키랩의 보안위협 보고서에서는 기성품화된 악성코드를 활용하지만 다양한 위장전술로 추적에 혼선을 주면서 APT 공격보다 한층 더 진화한 공격을 펼칠 것이라고 예상했다. 특히 최근 침해 탐지·대응 전략이 널리 확산되자 침해 탐지에 이용되는 침해지표(IOC)를 무력화하는 공격도 나타날 것이라는 예상도 내놨다. 공격자들은 새로운 공격도구를 사용해 IOC가 쓸모없어질 것이며, 보안 관리가 되지 않은 IoT 기기를 이용한 새로운 공격도 만들어낼 것으로 보인다.
지능형 공격, 완벽한 차단 기술 없어
지능화되는 공격을 완벽하게 차단할 수 있는 기술은 없다. 네트워크와 단절된 폐쇄망에서도 공격이 진행된다. C&C 통신을 하지 않으며, 커널 레벨에서 동작하는 악성코드를 이용해 폐쇄망도 공격자가 장악할 수 있다.
폐쇄망이라 할지라도 패치 업데이트나 원격관리를 위해 인터넷에 연결될 때가 있는데, 이 때 보안 모니터링이 제대로 이뤄지지 않으면 폐쇄망 데이터도 안전하지 않다. 이를 위한 악성코드가 별도로 제작되기 때문에 상용화된 보안 시스템은 이러한 종류의 악성코드를 탐지하지 못한다.
공격에 사용되는 악성코드는 보통 인터넷을 통해 유포된다. 이메일 첨부파일이나 웹사이트를 통해 유포되며, 온라인 광고를 통해서도 감염될 수 있다. 패치 업데이트 서버가 장악당하면 악성코드가 포함된 패치파일이 배포될 수 있다.
패치 파일과 악성코드는 동작 방식이 유사하기 때문에 안전한 코드서명이 있는 패치파일은 시스템에서 의심 없이 동작하도록 하고, 그렇지 않은 파일은 차단 시스템에 의해 걸러진다. 그러나 공격자들은 코드서명을 위조해 패치파일에 악성코드를 심어 유포하고 있다. 3·20 사고가 그 대표적인 경우이며, 올해 초 발생한 금융보안 모듈을 위장한 패치 역시 코드서명 위조를 통해 배포된 것이다.
관리자 계정 취약점을 이용하면 더 쉽게 공격할 수 있다. IoT 기기를 이용하는 미라이 봇넷은 ID/PW를 바꾸지 않은 IoT 기기를 장악해 대규모 DDoS 공격을 일으켰다. 국내에서는 PC방 중앙관리 서버의 관리자 계정이 장악당해 특정 제품이 정상작동하지 않아 상당수의 PC방이 영업을 중단하는 사고가 발생한 바 있다.
이러한 사고를 막기 위해 한국인터넷진흥원(KISA)은 ‘중앙관리 소프트웨어 보안 가이드’, ‘PC방 침해사고 예방을 위한 보안 가이드’, ‘온라인 광고를 통한 악성코드 유포대응 보안 가이드’를 발표했다. 보안 가이드의 주요 내용은 기업 내부파일 배포 기능에 대한 무결성 검증, 관리자 계정 접근관리, 광고 페이지 링크·파일의 악성여부 점검 등이다.
전방위 방어 시스템으로 공격 성공률 낮춰야
진화하는 공격에 대응하기 위해서는 공격이 진행되는 과정을 복잡하게 만들어 공격 성공률을 낮추고 비용과 시간을 많이 들게 해 공격자들이 쉽게 수익을 얻지 못하게 해야 한다.
공격자들은 상용화된 보안 시스템을 사용해 자신이 개발한 공격이 차단되는지 테스트해 보고 공격을 진행한다. 인공지능, 머신러닝 기술을 이용해 자동화된 우회공격을 찾아내고, 탐지 패턴을 분석해 정상패턴으로 위장한 공격을 진행한다.
방어 기술을 정확하게 파악하고 있는 공격자에 대항하기 위해서는 전방위 방어를 통해 공격을 어렵게 만드는 것이다. 가트너는 예방, 탐지, 대응, 예측의 4단계로 이뤄진 ‘적응형 보안’이 필요하다고 주장했으며, 록히드마틴은 전술 용어를 차용한 ‘사이버 킬 체인’의 7단계를 통해 공격 위협을 낮춰야 한다.
현재 제안되는 가장 이상적인 방법은 알려진 악성코드를 시그니처 기반 보안 솔루션으로 차단하고, 알려지지 않은 악성코드는 샌드박스와 행위분석 기술로 차단한다. 익스플로잇을 탐지해 공격행위를 원천적으로 차단하며, 이미 진행되고 있는 공격을 찾아내 확산을 막는 한편, 완료된 공격을 분석해 유사한 공격이 되풀이되는 것을 막는다.
공격 방어를 위한 첫번째 관문은 악성코드와 익스플로잇이다. 수많은 악성코드를 일제히 차단하는 방법은 없다. 악성코드가 감염되는 모든 경로, 즉 엔드포인트, 네트워크, 웹, 이메일 등에서 의심파일을 제거해나가는 한편, 동종 산업군이나 계열사의 위협 정보, 전 세계에서 발생하는 위협 정보를 공유하면서 유사한 피해가 발생했는지 살펴보고 차단하는 것이 필요하다.
악성코드는 분석 시스템을 통과하기 위해 몇 단계로 패킹하고, 암호화·압축하며, 가상환경을 인지해 샌드박스를 통과한다. 이를 차단하기 위해 진화한 에뮬레이션으로 패킹과 암호화·압축을 해제하고, 가상환경이 아니라 물리환경에서 분석하는 등의 대책이 필요하다.
