[데이터넷] 사이버 공격자는 탐지되기 쉬운 알려진 악성코드를 사용하기보다 윈도우의 정상 프로세스를 교묘하게 악용한다. 그래서 의심스러운 첨부파일을 실행하지 않고, 신뢰할 수 없는 사이트에 접속하지 않은 정상 사용자도 감염될 수 있다.

박정수 센티넬원코리아 이사는 <데이터넷TV> 웨비나 ‘알려지지 않은 악성코드 차단을 위한 자율형 AI기반 보안 솔루션’에서 최근 심각하게 문제가 됐던 공격 피해를 설명하며 “기존 백신 시스템으로는 정상 프로세스를 이용하는 지능적인 공격을 막을 수 없다. 공격자들은 윈도우 기본 기능, 액티브 디렉토리(AD), 모의해킹 도구 등 평소 사용하는 도구를 이용해 침투하며, 잠입 후 수동으로 공격 명령을 내려 탐지를 피한다”고 밝혔다.

정상 프로세스 이용하는 지능형 공격자

박정수 이사는 가장 먼저 다크사이드 랜섬웨어의 특징에 대해 설명했다. 다크사이드는 서비스형 랜섬웨어(RaaS)로, 해킹 전문가가 아니어도 누구나 공격할 수 있게 하고 있으며, 정식 프로그램처럼 버전 2도 발표했다. VPN·RDP, AD를 이용한 PC 제어 기능인 GPO, 모의해킹 툴인 코발트 스트라이크 등 정상 프로그램을 사용했다.

솔라윈즈 공급망 공격을 일으킨 선버스트는 정상 파일 DLL에 악성 백도어 코드를 삽입해 공격을 시작했으며, 감염 후 12일동안 아무 행위도 하지 않아 보안 분석을 우회했다. 그러면서 공격자는 시스템에 설치된 보안 프로그램이 어떤 행위를 차단하는지 파악해 리스트를 만들어 차단되는 행위는 하지 않는 치밀함을 보였다.

또 다른 사례로 자급자족형 공격(Living off the Land Attack)이 있다. 최초 사용자를 감염시켜 공격도구를 내려받아 교두보를 확보한 후, 추가 공격도구를 받거나 C&C와 통신하지 않고 잠입한 시스템 내에 있는 명령어를 사용해 공격하는 것이다. 셸코드, 스크립트 등을 사용하고, 메모리에 실행하는 이러한 공격은 보안 프로그램이나 위협 헌팅을 통해 찾아내는 것이 매우 어렵다.

박정수 이사는 “지능적인 공격은 사고를 인지하기 전에 선제적으로 방어하는 것이 어려우며, 사고 당한 후에야 샘플을 수집해 분석할 수 있다. 그러나 이 때는 피해입은 부분을 복구할 수 없다”고 지적했다.

엔드포인트 보안 솔루션은 지능형 공격을 막기 위해 시그니처 기반 방어 뿐 아니라, 다른 여러 분석 기능을 추가하고 있지만, 너무 많은 분석엔진이 결합되면서 엔드포인트 리소스를 과다하게 사용해 사용자를 불편하게 만든다. 또 백신은 악성코를 차단·삭제하기 때문에 악성코드가 어떻게 들어와서 어떤 프로세스를 이용해 공격을 이어가는지 확인할 수 없다.

박정수 이사는 “통합 엔드포인트 보안 플랫폼(EPP)과 엔드포인트 위협 탐지 및 차단(EDR)을 결합한 EPDR로 공격 전체를 가시화하고, 공격이 진행되기 전, 공격이 진행되는 중, 공격기 발생한 후 등 공격 전반에 대한 대응책을 마련해야 한다”고 강조했다.

폐쇄망서도 AI 분석 지원

센티넬원은 EPP·EDR을 통합하고 XDR 확장 계획까지 갖고 있는 차세대 엔드포인트 보안 기술을 제공한다. 경량 에이전트에 평판분석, 정적·동적 AI 분석, EDR을 결합한 센티넬원은 엔드포인트에서 일어나는 모든 행위를 기록하고 저장해 공격이 탐지됐을 때 침해 행위가 어떻게 시작되고 진행됐는지 확인하고 적절히 대응할 수 있게 한다.

전체 네트워크를 스캔해 에이전트가 설치되지 않은 기기를 찾아 보안 정책을 갖추도록 알려주는데, 일반 PC·노트북 뿐 아니라 스마트TV와 같은 다양한 IoT 기기까지 확인할 수 있다. 단일 에이전트, 단일 콘솔로 모든 기능을 수행하기 때문에 전 세계 분산된 업무환경에서도 중앙집중화되고 단순화된 관리 환경을 운영할 수 있다.

센티넬원은 ‘자율형 AI 기반 보안’을 강조한다. 보통 AI 분석은 컴퓨팅 리소스를 많이 사용하기 때문에 클라우드에서 수행한다. 센티넬원은 AI 엔진을 엔드포인트에 탑재해 클라우드와 연결되지 않은 상태, 완벽한 폐쇄망 상황에서도 AI 기반 분석을 수행할 수 있다.

박정수 이사는 “센티넬원은 수년동안 악성코드 행위를 집중 분석해 왔으며, 정확하게 공격을 탐지하는 AI 알고리즘을 만들어 경량 에이전트에 탑재했다”며 “공격자가 아무리 정상 행위로 위장해 공격을 이어간다 해도 어느 순간 공격으로 이어지는 특정 행위를 하게 된다. 이를 정확하게 탐지해 차단하고 추가 분석할 수 있도록 제공한다”고 설명했다.

공격행위 모두 기록해 추가 공격 대응

센티넬원의 중요 경쟁력 중 하나가 자동 복구 기능을 제공한다는 것이다. 최근 랜섬웨어는 침투 후 데이터를 탈취하고 백업 데이터를 파괴한 후 원본 데이터를 암호화 하고 협박한다. 센티넬원은 주기적으로 스냅샷을 남겨 공격이 탐지됐을 때 즉시 차단하고 암호화된 파일을 스냅샷을 이용해 복구해 공격이 피해로 이어지는 것을 막는다.

또 세세한 정책 설정과 운영도 지원한다. 위치기반 방화벽을 이용해 집에서 일할 때 더 강력한 보안정책을 적용하도록 하거나, 인터넷 익스플로러(IE)로 특정 사이트에 접속할 때 차단하지만 크롬을 이용하면 허용하도록 하고, 특정 벤더·특정 모델의 USB는 사용을 금지하는 등의 구체적인 보안 정책 설정이 가능하다.

센티넬원은 다양한 분석 기능과 위협 헌팅, 인텔리전스 등의 기능을 원활하게 사용할 수 있도록 클라우드 구성을 권고한다. 그러나 외부 연결이 제한되는 연구소, 생산망, 업무망 등을 위해 온프레미스와 하이브리드 방식의 운영도 지원한다.

박정수 이사는 “센티넬원은 공격의 시작부터 끝까지 추적하고 분석하며 모니터링 해 현재 진행중인 공격을 차단할 뿐 아니라 향후 발생 가능한 변형·추가 공격까지 대응할 수 있게 한다. 발생한 모든 공격 행위를 기록해, 다른 공격이 발생했을 때 이전에 탐지한 공격 형태와 비교해 적절하게 대응할 수 있게 한다”고 밝혔다.

전문기관서 높은 평가 받아

센티넬원은 최근 아주 뜨거운 주목을 받고 있다. 가트너 ‘2021년 EPP 분야 매직쿼드런트’에서 처음으로 리더 그룹에 올랐으며, 가트너의 ‘EPP 핵심 기능 2021’ 보고서에서 ▲신기술 도입에 적극적인 조직 ▲예산은 충분하지만 신기술 도입 사례를 충분히 검토한 후 도입하는 조직 ▲예산과 인력이 부족해 신기술 도입에 소극적인 조직 등 모든 유형의 조직에게 가장 적합한 솔루션으로 꼽혔다.

마이터(MITRE)가 시행하는 중요 APT 공격그룹 탐지 테스트에서 센티넬원은 설정 변경 없이, 탐지 지연 없이, 미탐 없이 정확하게 탐지하는 결과를 기록해 호평을 받았으며, 이외에도 바이러스불레틴, SE 랩스 어워드 등에서 뛰어난 점수를 기록했다.

7월 상장을 앞둔 센티넬원은 기업가치 8조원에 이를 것으로 기대받고 있기도 하다.

박정수 이사는 “공격 행위와 도구는 언제나 변한다. 보안 시스템을 속이고 무력화하며, 정상 프로세스를 이용해 정상 사용자처럼 행동한다. 정상적인 행위 속에서 이상행위를 찾아 정교하게 분석해 공격행위를 찾아내는 기술이 엔드포인트 보안에 반드시 필요하다”며 “전문기관으로부터 공인된 높은 탐지력, 가벼운 에이전트, 자유로운 구성이 가능한 엔드포인트 보안 솔루션으로 진화하는 위협에 대비하기 바란다”고 당부했다.

김선애 기자 다른기사 보기