딕 부셔(Dick Bussiere) 엔터라시스 아태지역 CTO
인프라 보호를 위해 요구되는 적절한 방어(defense)가 정확히 무엇인지를 놓고 많은 혼란이 IT 업계에 존재하고 있다. 진실을 알지 못할 때 “나는 바이러스 스캐너를 갖고 있기 때문에 방어책이 필요 없어”라는 말들이 종종 나온다. 이러한 혼란의 대부분은 인프라를 감염시키는 공격들의 유형이 너무 다양한 데서 기인한다는 것이다. 이 글에서는 두 종류의 공격 유형과 그 공격을 탐지하고 완화시키는 방안을 모색해 본다. <편집자>
콘텐츠 기반 공격(Contents Based Attacks)은 콘텐츠가 멀웨어(malware), 즉 악의적인 소프트웨어(malicious software)를 내포하고 있다. 이 유형의 공격은 다음과 같다.
· 잘 알려진 매크로(macro) 공격 : 마이크로소프트 오피스 파일 내 유해 매크로
· 트로이 실행 : 유용하고 재미있어 보이지만 악성 코드를 포함한 프로그램
· 악성 액티브X와 자바 기반 공격
대부분의 사람들은 이메일을 통해 유포되는 콘텐츠 기반 공격을 오염된 첨부파일로 인식한다. 흔히 이것은 바이러스가 주소록에 기재된 모든 사람들에게 이메일을 전송하기 때문에 ‘휴먼 엔지니어링(human engineering)’ 요소가 있으며, 수신자가 발신자를 신뢰함으로써 감염이 이뤄지고 광범위하게 유포된다.
다른 감염 형태도 존재한다. 신뢰가 결여된(un-trusted) 네트워크로부터의 실행 파일 다운로딩은 멀웨어가 유포되는 손쉬운 경로다. 카자(Kazza)와 같은 피어 투 피어(peer to peer) 네트워크는 라이선스 소프트웨어의 크랙(crack) 버전과 라이선스 소프트웨어, 프리웨어, 쉐어웨어의 결함을 가져다주는 프로그램 등을 포함한 실행 파일을 보유한다. 피어 투 피어 네트워크 상의 실행 파일 가운데 약 60%가 결함을 지닌 것으로 추정되며 또한 악성 코드를 갖고 있다. 아시아 일부 지역에서 여전히 사용되는 불법 CD-롬도 사정은 마찬가지다.
콘텐츠 기반 공격은 일반적인 FTP, HTTP, SMTP 또는 피어 투 피어 트래픽을 타고 이뤄진다. 분명히 트래픽 자체에는 문제가 없다. 콘텐츠를 전송하는 트래픽은 완벽히 정상적이다. 콘텐츠(페이로드)가 문제인 것이다. 더 나가 콘텐츠는 수 백 혹은 수 천 개의 정상적인 메시지를 통해 유포된다. 콘텐츠 기반 공격을 막기 위해서는 다음과 같은 요소를 고려해야 한다.
· 패킷은 재조립돼야 한다.
· 트래픽에 포함된 파일은 재조립돼야 하며 적당한 명령에 따라 원본 콘텐츠를 복사해야 한다.
· 재조립된 콘텐츠는 그것이 악성 코드를 내포하고 있는지 전체적인 관점에서 검증돼야 한다.
실시간으로 콘텐츠 검사 기능을 수행하기 위해 인-라인(in-line) 네트워크 기기를 도입하는 것은 실용적이지 않다. 왜냐면 이 과정을 수행하기 위해서는 엄청난 CPU 파워와 스토리지 용량이 필요하기 때문이다. 이 검사 과정은 다음과 같은 장비를 통해 이뤄져야 한다.
· 이메일 혹은 웹 트래픽 검사만을 위해 고안된 전용 콘텐츠 검사 컴퓨터
· 바이러스 스캐닝을 위한 엔드 스테이션
물론 또 다른 대응책으로는 간단하게 콘텐츠 전송에 사용되는 트래픽을 허용하지 않는 것이다. FTP, 피어 투 피어가 이에 주로 해당한다. 그러나 불행히도 SMTP, HTTP 등을 허용하지 않을 수 없다. 따라서 이 방법은 부분적으로만 효과적일 뿐이다.
요약하면 콘텐츠 기반 공격을 방어하기 위해서는 콘텐츠의 의도를 파악하기 위한 전체적인 관점에서의 검증이 요구된다. 콘텐츠 전부를 파악하지 못하는 패킷당 검사는 효과적이지 않다. 바이러스 스캐너와 같은 이메일 스캐닝 게이트웨이, 호스트 기반 콘텐츠 검사 툴이 필요하며 배치돼야 한다.
네트워크 기반 공격
네트워크 기반 공격(Network Based Attacks)은 네트워크 페이싱(network facing) 애플리케이션 혹은 운영 시스템 상의 취약성(vulnerabilities)을 최대한 이용한다. 전형적으로 이 취약성은 데이터를 위해 사용되는 체크되지 않은 임시 스토리지 영역과 같은 버그다. 네트워크 기반 공격은 실행되는 콘텐츠를 보내는 것이 아니라 교활한 패킷을 장비에 전송해 공격을 감행하기 때문에 콘텐츠 기반 공격과는 차이가 있다.
네트워크 기반 공격의 한 예를 들자면 FTP 서버에 엄청 큰 패스워드를 보내 패스워드에 할당된 스토리지 공간을 범람하게 하고, 그 결과 FTP 서버는 파괴된다. 지금은 거의 사용되지는 않지만 또 다른 손쉬운 방법의 한 가지는 /etc/passwd 공격이다. 이렇게 하면 URL은 웹 브라우저가 유닉스 패스워드를 포함한 파일을 반송시키도록 만든다.
http://www.brokensite.com/../../etc/passwd
마지막 예는 400바이트 페이로드를 이용해 취약한 호스트를 공격하는 슬래머(Slammer)다. 대부분의 경우 이러한 공격들은 그 특징적인 시그니쳐(signature)와 관련된 단일 패킷을 검사함으로써 탐지될 수 있다. 다른 유형의 네트워크 공격들은 수상한 트래픽 패턴 또는 이상한 TCP/IP 패킷을 살펴봄으로써 알아낼 수 있다.
이 공격들은 네트워크 페이싱 애플리케이션 또는 운영 시스템 상의 버그를 최대한 이용하기 때문에 그 원인과 영향이 공격을 당한 장비 깊숙한 곳에 은신해 있으며 콘텐츠 스캐닝 장비로부터도 숨겨져 있다. 따라서 이런 유형의 공격을 탐지하고 완화시키는 데 콘텐츠 스캐닝 기술은 완전 무용지물이다. 따라서 바이러스 스캐너가 아닌 정밀한 패킷 검사 방화벽, 침임 탐지, 혹은 침입방지시스템과 같은 네트워크 기반 기술이 필요하다.
무엇을 해야 하나?
두 유형의 공격 차이와 서로 다른 유형의 공격을 막기 위해 그 유형의 맞는 기술을 이해하는 일이 중요하다. 콘텐츠 기반 공격은 콘텐츠 검사 기술에 의해 완화된다. 네트워크 기반 공격은 실시간 인-라인 네트워크 보안 기술에 의해 완화된다. 두 기술 모두를 조화롭게 사용하는 것이 중요하다.
완벽한 보안 솔루션을 확립하는 최선의 방법은 당신의 보안 창고 안에 콘텐츠와 네트워크 기반 검사 기술 모두를 갖추고 있는 것이다. 그렇게 하지 않는다면 당신을 위험에 빠뜨릴 구멍은 계속 존재할 것이다.
다음의 세 단어를 명심하라. ‘Defense in Depth!’ 
