대형·노출형 공격에서 국지적·은폐형 공격으로 변화 … 금전적 이익 노린 공격 증가
연재순서
1오늘날의 보안 위협 동향(이번호)
2. CTM의 정의와 필요성
3. CTM의 보안 구현방안
초기 보안 위협이 보안 장애물을 돌파함으로써 자신들의 실력을 시험하려는 젊은이들의 순수한 의도가 주를 이뤘다면, 최근의 보안 위협은 타인의 정보를 빼돌려 금전적 이익을 얻고자 하는 진정한 의미의 위협으로 변화하고 있다. 이에 따라 공격 유형도 눈에 잘 띄는 대형 공격에서 공격 여부를 탐지하기 어려운 은폐형으로 변호하고 있으며, 타깃 또한 인증 정보, 신용카드 정보 등으로 옮겨가고 있다. 이러한 위협의 변화는 대처 방식의 변화도 요구하고 있다. 점점 더 복잡해지고 위험도가 높아지는 공격과 이에 대한 효율적인 대처방안에 대해 살펴본다. <편집자>
윤광택
시만텍코리아 제품기술본부 차장
patrick_youn@symantec.com
전자상거래, 브로드밴드, 웹, 아이팟, 블로그, 블랙베리 등 현대인들은 디지털의 기반 위에서 네트워크로로 연결된 삶을 누리고 있다. 네트워크에 연결돼 있지 않다고 생각되는 환경이지만 사실은 네트워크에 연결돼 있는 경우가 많다. 예를 들어 우편물의 경우, 목적지에 도착하기까지 반복적인 스캔, 추적 작업을 거치게 된다. 또 네트워크를 통해 글로벌 공급망에 연결된 수퍼마켓에서는 제품이 모두 팔려버리는 즉시 새로운 상품으로 선반이 채워진다.
이렇듯 디지털 네트워크로 연결된 e-라이프의 시대가 열리면서 디지털과 분리된 생활은 상상하기 어려운 부문이다. 하지만, 디지털 네트워크가 생활과 점점 밀접해질수록 개인 사용자, 소규모 기업, 대기업 등 환경을 불문하고 시스템 정보, 기밀 파일 및 문서, 캐시에 저장된 인증 정보, 신용 카드 정보, 은행 계좌 정보 등을 노리는 위협 또한 시시각각 성장하고 있다.
2005년 7월1일부터 2005년 12월31일까지 기간 동안의 보안 환경 분석 결과를 담은 시만텍의 ‘인터넷 보안 위협 보고서’를 보면, 이제 사이버 범죄가 오늘날 가장 큰 보안 위협으로 떠오르고 있음을 여실히 보여주고 있다. 이 보고서에 따르면, 공격자들은 이제 방화벽, 라우터 등의 전통적인 경계 보안 장비를 타깃으로 한 다양한 목적을 가진 대량 공격 유형에서 벗어나고 있는 반면, 공격자들은 국지적 타깃으로 웹 애플리케이션, 데스크톱PC 등을 공격해 개인, 금융 및 중요 정보를 얻어내려 하고 있다.
또한 기존 위협들이 복합적 위협, 웜과 같이 그 활동이 눈에 띄고 요란한 성격이었던 것에 반해, 이제는 조용하고 추적이 어려우며 집중화된 공격이 주를 이루고 있다. 즉, 전통적인 공격이 데이터를 손상시키는 것을 목적으로 했다면, 이제 데이터를 훔쳐내 주로 금전적인 이득을 얻고자 하는 공격으로 변화하고 있는 것이다.
금전적 이득 노린 공격 강화
2005년 하반기 동안, 시만텍은 1만992 종의 Win32 바이러스 및 웜을 추가로 발견했다. 이 숫자는 2004년 동기의 7천360건에 비해 무려 49%가 증가한 결과다 2004년 이후로 윈32 바이러스에 대한 통계가 급격히 증가한 것은 공격자들이 금전적 이익을 노리고 봇 기능을 내장한 윈32 웜을 지속적으로 개발하고 있기 때문으로 분석된다.
윈32 바이러스와 웜의 수가 지속적으로 증가하고 있지만, 코드군은 2005년 하반기에 오히려 감소하는 추세를 보였다. 새로운 Win32 코드군은 대부분 일정한 수준을 유지해 왔지만 이번 2005년 하반기에는 새로운 코드군의 수가 170개에서 104개로 39%나 감소한 것. 이러한 사실은 과거와 달리 동일한 악성 코드군 내에서 많은 변종이 생성되고 있음을 의미한다.
2005년 12월31일을 기준으로 볼 때 Win32 바이러스 및 웜 변종의 수는 3만9천257개를 넘어섰으며, 시만텍은 2005년 한 해에만 2만1천830개 이상의 Win32 변종을 발견했다. 2005년 한 해 동안 Win32 바이러스 및 웜의 수가 두 배 이상 증가한 것으로 이러한 추세는 앞으로 당분간 악성 코드의 지배적인 경향으로 유지될 것으로 보인다.
악성 코드, 스탤스 성격으로 변화
2005년 하반기 동안 발견된 악성 코드 샘플 중 기밀 정보에 대한 위협으로 분류되는 악성 코드의 비율은 80%로, 전년 동기 대비 54%나 증가한 비율을 보였다. 모듈형 악성 코드도 증가했다. 2005년 하반기 모듈형 악성 코드는 악성 코드 샘플 상위 50개 중에서 88%를 차지, 상반기 통계인 77%에 비해 11% 증가했다. 이러한 모듈화된 악성 코드는 실제 악성 코드 자체가 가진 능력은 제한돼 있지만, 심각한 위협을 끼칠 수 있는 다른 코드를 다운받는 기능을 가졌기 때문에 위험성은 더욱 높다고 할 수 있다. 모듈형 악성 코드는 중요한 정보를 유출시키며, 명의 도용, 신용 카드 사기 및 다른 금융 범죄 활동에 활용될 수 있다.
사용자의 컴퓨터가 일단 악성 코드에 감염되고 나면, 악성 코드는 자신의 존재를 드러내지 않고 사용자가 눈치 채지 못하도록 활동을 개시하는데, 이러한 악성 코드는 자신의 존재를 은폐하기 위해 다양한 테크닉을 사용하고 있다. <그림 1>에서 볼 수 있듯 기밀 정보를 노리는 악성 코드는 꾸준히 증가하고 있으며, 특히 루트킷(rootkit)과 같은 방법을 활용하는 경우가 향후 늘어날 것으로 보인다.
루트킷이란 해커들이 네트워크에 침입한 사실을 숨긴 채 백도어(backdoor)를 통해 시스템의 관리자용 접근 권한을 획득하고, 네트워크의 다른 시스템의 정보를 수집하는 툴의 모음을 의미한다. 루트킷은 바이러스나 웜처럼 직접 감염시키지 않는 대신, 다른 악성 코드의 기능을 몰래 실행하는 데 필요한 환경을 제공한다.
해커들은 타깃 머신의 보안 취약점 또는 사회공학적(social engineering) 테크닉을 이용해 수동으로 루트킷 설치를 시도한다. 어떤 경우에는 악성 코드의 결과로 자동적으로 루트킷이 설치되기도 하고, 사용자가 악성 웹 사이트를 브라우징 하다가 자신도 모르는 사이에 루트킷을 다운로드할 수도 있다.
일단 설치된 루트킷은 시스템 리포팅 기능을 무력화시키고 공격자, 파일, 커뮤니케이션의 존재를 사용자가 알아차리지 못하도록 하며, 루트킷을 통해 공격자들은 원격 접근, 데이터 도난, 기밀 정보의 전송, 애드웨어/스파이웨어 설치 등과 같은 시스템의 모든 기능을 실행할 수 있게 된다.
루트킷 테크닉은 이미 판봇(Fanbot) 등의 악성 코드와 애드웨어, 스파이웨어 등에서 활용돼 왔다. 심지어, 루트킷 테크닉을 이용하여 컴퓨터 머더보드의 플래시 메모리에 악성 코드를 심는 방법이 논의되기도 했다. 보안 환경의 추세가 사이버 범죄 그리고 부당한 이익의 추구로 전환되며, 이를 위해 루트킷 테크닉을 활용하는 사례는 앞으로 점차 증가할 것으로 전망되고 있다.
웹 취약점 폭발적 증가
2005년 7월1일부터 6개월간 시만텍이 확인한 새로운 취약점은 총 1천896건이었다. 2005년 하반기에 시만텍은 45%의 새로운 취약점을 매우 심각한(Highly Severe) 수준으로 분류했는데, 이는 상반기의 49%보다 감소한 통계다. 하지만, 중간 수준의 심각성(Moderately Severe)을 갖는 취약점은 상반기의 48%에서 52%로 증가했다.
취약점 경향에서 눈여겨볼 사실은 웹 애플리케이션 및 웹 브라우저 취약점이 차지하는 비율이 점자 늘어가고 있다는 점이다. 2004년 하반기 웹 애플리케이션 및 웹 브라우저가 차지하는 취약점 비율은 49%였지만, 2005년 하반기 통계에서는 69%를 차지 1년만에 20%의 비중 증가를 보였다.
웹 애플리케이션은 브라우저를 사용자 인터페이스로 사용하며, 웹 서버 상에서 실행된다는 특성을 가져 이와 관련된 취약점은 방화벽과 같은 고전적인 보안 대책을 우회하는 공격이 가능하다는 점에서 더욱 위험하다. 하나의 시스템만이라도 침입에 성공하면 공격자는 전체 네트워크에 대한 접근 권한을 얻을 수가 있게 되며, 다른 서버에 접근하지 않고도 데이터베이스에 저장된 기밀 정보에 액세스하는 것이 가능하다.
특히 웹 브라우저 취약점은 온라인 사기에 활용될 수 있다는 점에서 매우 심각한 보안 문제로 취급되며, 브라우저의 보안 취약점은 스파이웨어, 애드웨어의 확산, 악성 웹 사이트를 통한 ‘drive-by’ 다운로드 등의 주된 수단으로 이용되기도 한다. 또한 웹 브라우저의 취약점은 해커들이 방화벽, 라우터 등의 고전적인 경계 보안 디바이스를 우회할 수 있는 경로를 제공해 개인 사용자와 기업 환경의 경계 보안이 점차 강화되고 있는 상황에서 웹 브라우저의 취약점은 해커들의 가장 쉬운 공격 수단으로 떠오르고 있다.
보안은 봇과 전쟁중
최근의 보안 위협 중 하나는 바로 봇(Bot)이다. 봇에 감염된 컴퓨터들은 공격자의 지휘아래 일괄적으로 움직이게 되며 그 수는 수백, 수천, 나아가 수만, 수십만대에 달할 수 있다. 봇에 감염된 컴퓨터는 추가로 감염시킬 수 있는 컴퓨터를 찾아내 감염시키고, 공격자의 명령에 따라 일괄적인 움직임을 통해 서비스 거부 공격(Dos, Denial of Service)을 시행할 수가 있다. 감염된 기기가 자동적으로 다른 기기를 감염시키는 특징을 가짐으로써 기업 방화벽 외부에서 봇에 감염된 노트북PC가 네트워크를 통해 내부에 연결되는 상황처럼 네트워크상에서 하나의 컴퓨터가 감염된 경우, 봇은 기업 내부 시스템을 전부 감염시킬 수 있다.
보안 관리자가 봇에 대항하는 것은 거의 전쟁에 가깝다. 보안 관리자들이 포트 블로킹과 같은 조치를 통해 봇과 봇 소유자 간의 커뮤니케이션을 차단하자, 공격자들은 다른 커뮤니케이션 채널 사용, 또는 캡처·삭제를 방지하기 위한 암호화 등과 같은 새로운 방법을 고안해 내고 있다. 이러한 공격자와 보안 관리자의 끝없는 싸움의 결과로 봇은 주기적인 증감을 보이고 있다. 보안 관리자가 봇을 방어하는 방법을 개발하면, 잠시 주춤하다가 방어를 우회하는 새로운 방법을 통해 다시 봇이 기승을 부리는 ‘붐앤버스트(boom & bust)’ 사이클을 그리고 있는 것이다.
현재는 봇이 다소 주춤한 상태지만, 앞서 언급한 것처럼 웹 애플리케이션 및 웹 브라우저 취약점의 증가하고 있는 현 상황은 봇 및 봇 네트워크의 급격한 증가를 초래할 가능성이 높다. 웹 브라우저의 취약점이 봇과 같은 악성 코드를 설치하기 위한 통로로 활용될 수 있기 때문이다.
웹 애플리케이션과 웹 브라우저 취약점의 활용 가능성을 고려할 때 웹 테크놀로지의 보안 취약점은 봇 네트워크의 급격한 증가의 원인으로 작용할 가능성은 충분하다. 또한 웹 애플리케이션과 웹 브라우저 취약점을 대상으로 하는 공격이 일반적으로 HTTP 프로토콜을 통해 수행됨으로써 웹 브라우저 공격이 네트워크 경계 지점의 필터링 메커니즘을 우회할 가능성이 높다는 점도 이를 통한 봇의 확산 가능성을 높게 만드는 요인이 된다. 최근에는 웹 애플리케이션에 대한 공격이 매우 정교해지면서 웹 애플리케이션을 타깃으로 하는 자기복제형 악성 코드의 개발 노력 확산도 보고되고 있다.
시만텍의 통계에 따르면, 2005년 하반기 동안 하루 평균 1천402개의 서비스 거부 공격(DoS)이 발견됐는데, 이는 상반기 통계보다 51%나 증가한 수치다. 이러한 서비스 거부 공격은 인터넷을 통해 중요 커뮤니케이션이 이루어지거나 매출을 올리는 기업들에게 있어 매우 심각한 보안 문제가 되고 있다.
DoS 공격의 급격한 증가는, 지하화된 공격자 커뮤니티가 리소스를 활용해 보다 조직화된 공격을 수행하기 시작함을 반증하는 증거다. 이러한 공격의 상당수는 봇 네트워크로 추정되는데, 봇 네트워크의 규모가 점점 커지고 조직화되면서, 또 기업이 협박에 굴복하기 시작하면서 DoS 공격은 향후에도 계속 증가할 것으로 예측된다.
인스턴트 메시징, 보안 취약 지점으로 등장
기업이 변화하는 보안 환경에 대응하기 위한 보안 조치를 강구하는 동안 공격자들은 보안망을 뚫기 위한 새로운 방법과 전략을 끊임없이 모색하고 있다. 보안망을 뚫기 위한 새로운 방법의 한 예가 바로 매우 빠르게 성장하고 있는 인스턴트 메시징(IM)을 통해 전파되는 악성 코드의 사례다.
인스턴트 메시징은 2005년 사용자 3억명을 돌파했으며, 2006년 말에는 트래픽 규모가 이메일 트래픽을 넘어설 것으로 전망되는 디지털 네트워크의 대표적인 커뮤니케이션 수단으로 자리매김하고 있다. 하지만, 인스턴트 메시징은 악성 코드를 배포하기에 좋은 경로의 하나다. 하나의 컴퓨터가 악성 코드에 감염되면, 해당 컴퓨터의 주소록에 등록된 모든 사용자에게 메시지가 전송돼 신속한 확산이 가능하기 때문이다. 또한 인스턴트 메시징을 통해 연결된 사용자들은 서로를 신뢰하는 경향이 강하므로 사회공학적인 기법이 유용하게 먹혀 들 수 있다.
구글토크(Google Talk) 서비스 등 다양한 인스턴트 메시징 클라이언트와 네트워크를 활용한 새로운 공격 경로가 개발될 것으로 예상된다. 또한 내부적인 인스턴트 메시징 네트워크를 구축한 기업이 퍼블릭 인스턴트 메시징 네트워크와 연결되면서 네트워크의 복잡성과 연결된 사용자 수가 급격하게 증가, 악성 코드의 타깃이 될 수 있는 인스턴트 메시징 환경의 취약점이 계속적으로 발견되고, 새로운 공격 경로를 이용하는 공격 활동이 증가하게 될 것으로 예상된다.
인스턴스 메시징 서비스 환경에서는 특히 피싱이 점점 더 중요한 보안 문제로 떠오르게 될 것으로 전망된다. 인스턴트 메시징 사용자들은 연락처 목록에 등록된 사람들을 신뢰하는 경향이 매우 강해 악의적인 목적으로 이용되고 있다는 것을 눈치채지 못할 가능성이 높기 때문이다. 인스턴트 메시징의 이러한 커뮤니케이션의 특성을 감안할 때 피싱은 인스턴트 메시징 사용자들에게 특히 위험하다고 할 수 있다.
지금까지 피싱은 주로 이메일, 특히 스팸 메시지를 통해 시도돼 왔지만 점차 인스턴트 메시징과 같은 새로운 전달 메커니즘을 활용하려는 시도가 관찰되기 시작했다. 시만텍은 2005년 인스턴트 메시징 네트워크를 이용한 피싱 시도를 4차례 발견했는데, 그 중 2건은 2005년 하반기에 발견한 것이다. 이 숫자는 매우 미미한 수준이지만, 공격자들이 인스턴트 메시징의 취약점을 인식하기 시작했다는 징후로 해석할 수 있다.
보안 접근 방식 전환 필요
살펴본 것처럼 최근 보안 위협은 과거와는 다른 양태를 보이고 있으며, 이러한 변화는 기업들에게 큰 과제로 떠오르고 있다. 이제까지 많은 기업이 보안 위협을 한 번에 한 개씩, 애드혹(ad-hoc) 방식으로 해결해 왔기 때문. 이러한 수동적 방식의 대응으로는 운영 효율이 크게 떨어질 뿐만 아니라 심각한 비즈니스 다운타임으로 이어질 수 있는 공격에 노출될 가능성이 높다.
패치 관리를 예로 들어보자. 과거에는 취약점 발견과 이에 대한 공격 발생 간에는 몇 달의 시간 차이가 있었다. 따라서 취약점에 대한 패치를 개발, 배포하고 이를 기업이 테스트해서 도입하는데 많은 여유가 있었지만, 오늘날의 상황은 이야기가 다르다.
시만텍 ‘인터넷 보안 위협 보고서’에 따르면, 2005년 하반기 동안 취약점 발표와 이에 대한 공격 코드가 나타나는 데는 평균 6.8일의 시간차가 존재한 반면, 취약점 발견과 보안 패치 배포 사이에는 49일의 차이가 있어 공격자들이 취약점을 공격할 충분한 여유를 주고 있다. 패치가 배포될 때까지 사용자 및 관리자들은 정식 패치가 아닌 예비로 마련된 임시 방안을 사용하고 있는데, 이 시기에는 네트워크가 감염의 위험에 노출되어 있을 수밖에 없다.
인터넷에서는 하루 평균 1억5천만개의 피싱 이메일이 전송되고, 매달 1만4천가지의 새로운 공격 방법이 시도된다. 공격자들은 가짜 웹 사이트를 만들어 놓고, 사용자들이 금융 정보를 입력하거나 기부금을 입금하도록 유도한다. 이러한 신분 도용으로 인해 발생하는 시간 및 금전적 비용은 엄청난 수준이다. 미 연방거래위원회에 따르면 매년 신분 도용으로 인해 기업이 입는 피해는 480억달러에 달하며, 2005년 소비자들은 6억 8천만달러의 피해를 입었다.
기업이 앞서 언급된 위협 요소를 포함해 수많은 보안 위협들로부터 고객을 보호하고, 신뢰할 수 있는 디지털 환경을 만들어내는데 실패한다면, 그 파급 효과는 디지털 경제만이 아닌 경제 전반에 미치게 될 것이다. 소비자가 기업에 대한 신뢰를 상실하는 것이야 말로 디지털 세계에 잠재한 가장 심각한 위협이기 때문이다. 따라서 기업이 해야 할 일은, 디지털 경제의 번영을 지속하기 위해 정보가 생성, 전송, 저장되는 엔터프라이즈 인프라스트럭처의 모든 측면을 보호하는 것이다. 또 디지털 세계의 기반을 이루는 관계, 그리고 그 상호작용을 보호할 수 있어야만 한다.
이제 기업들은 비효율적이고 수동적인 기존 대처 방식에서 벗어나, 보안에 대한 접근법을 바꿔야 한다. 그렇다면 기업들은 과연 어떠한 방법으로 점차 복잡해지고, 위협적으로 성장하고 있는 보안 과제를 풀 수 있을까. 다음 기고에서는 이러한 기업들의 고민을 위해 ‘포괄적 위협 관리(Comprehen sive Threat Management)’의 개념을 소개하고, 왜 이것이 향후 보안 시장에서 중요한 위치를 차지하는지 자세히 설명하도록 하겠다.
