[데이터넷] 사이버 공격을 방어하기 위해 안티바이러스(AV), EDR, 샌드박스 등 다양한 보호 기술이 적용되고 있지만, 공격자는 이미 이를 우회하는 방법을 잘 알고 있다. 그래서 ‘자동화된 이동형 타깃 방어(AMTD)’라는 새로운 기술이 등장했다. 가트너는 AMTD가 시스템과 네트워크의 공격표면을 지속적으로 변경시켜 공격자가 취약점을 식별하고 악용하는 것을 어렵게 만드는 기술이라고 설명한다.

가트너의 ‘신흥기술: 보안- AMTD로 전환되는 엔드포인트 보호’ 보고서에서는 현재 엔드포인트 보호 솔루션의 한계를 해결하기 위해 AMTD가 제안된다고 설명했다.

공격자는 익스플로잇을 사용해 리빙 오프더 랜드(LotL) 공격을 전개하고 있으며, 실행가능한 메모리에 오염된 페이로드를 주입하거나 명령줄에 조작된 명령 전달, 신뢰할 수 있는 제3자로 위장한 악성 콘텐츠 전달 등의 방법으로 공격을 진행한다. 이 방식으로 기존 엔드포인트 보안 솔루션을 효과적으로 우회할 수 있다.

AMTD는 하나의 형체를 전혀 다른 이미지로 변환시키는 모핑(Morphing)이나 무작위화를 통해 공격자가 타깃 시스템을 찾지 못하게 한다. 엔드포인트 실행 프로세스의 실시간 위험과 신뢰도를 평가하고, 메모리 스택의 런타임 메모리와 애플리케이션 코드, 다형성 무작위화를 적용한다.

AMTD가 적용되면 공격자가 익스플로잇을 실행시키기 위한 타깃 메모리를 찾지 못하며, 난독화가 적용돼 메모리에서 공격할 인젝션의 위치를 찾을 수 없다. 공격자가 익스플로잇을 수행하기 위해 라이브 환경에서 실행중인 실행파일에 다양한 기술을 사용하므로 공격격자를 쉽게 식별할 수 있다.

AMTD를 기밀 컴퓨팅(Confidential Computing)과 함께 사용하면 데이터가 처리되는 동안에도 소프트웨어와 데이터를 암호화해 민감한 데이터를 보호할 수 있다. 기밀 컴퓨팅은 클라우드 혹은 엔드포인트에서 실행될 수 있으며, 런타임 데이터를 암호화해 악성 프로세스가 원본 소프트웨어를 변조하지 못하게 한다.

데브섹옵스에도 AMTD가 효과를 발휘한다. 공격자가 익스플로잇을 하려해도 코드가 난독화 되어 있어 분석이 어려우며, 다형성 멀웨어를 이용해 EDR을 피하면서 기기를 감염시키려 해도 AMTD를 도입한 코드는 멀웨어를 통해 조작할 수 없으며, 익스플로잇이 가능한 매개 변수를 찾기 어렵게 만든다.

가트너는 AMTD가 엔드포인트 방어 전략을 확보하거나 구축하는데 집중할 수 있으며, 단순한 규정준수보다 예방을 우선시하는 정부기관, 금융 서비스, 의료·보험 등의 산업에 적합하다고 설명했다.

그러나 AMTD는 런타임 구현 시 CPU 사용량이 증가하거나 메모리 트래픽이 발생해 지연 시간이 늘어날 수 있으며, 애플리케이션과 OS 호환성에 제약이 있어 제대로 계획하고 설계하지 않으면 서비스 중단을 겪을 수 있다는 한계가 있다. 고급 에이전트 기술과 지원·유지보수 서비스가 필요해 운영비용을 증가시킬 수 있다.

김선애 기자 다른기사 보기