콘피커 웜, 기존 보안 방식 근본 변화 ‘요청’
상태바
콘피커 웜, 기존 보안 방식 근본 변화 ‘요청’
  • 오현식 기자
  • 승인 2009.05.31 21:02
  • 댓글 0
이 기사를 공유합니다

시시각각 변하는 변종으로 시그니처 한계 노출

오늘날 엔드포인트를 노리는 공격은 고도로 지능화된 모습을 보이고 있다. 특히 다운애드업(Downadup)이나 키도(Kido)라고도 불리는 콘피커(Conficker) 웜은 지능화된 공격을 보여주는 대표적인 악성코드. 시시각각 변화하는 다양한 변종으로 기본 안티바이러스 소프트웨어가 사용하던 시그니처 방식을 무용지물로 만들고 있는 콘피커 웜은 엔드포인트 보안의 근본적 변화를 요청하고 있다.

콘피커 웜이 발견된 지난해 11월 이후 수백만대의 엔드포인트 기기가 감염될 정도로 빠른 확산을 보이고 있다. 시만텍 인터넷 위협 보고서 제14호에 따르면, 콘피커 웜에 감염된 PC는 2008년 말 이미 100만대를 돌파했을 정도다. 콘피커 웜 감염기기 가운데는 최고의 보안을 자랑하는 각국의 군 기기도 다수 포함된 것으로 알려진다. 그야말로 놀라운 포식성이다.

콘피커 웜이 진정으로 무서운 까닭은 전파경로를 변화시키며, 다양한 악성활동을 수행하기 때문이다. 콘피커 웜의 작성자는 감염된 시스템에 원격으로 어떤 소프트웨어든 설치할 수 있으며, 봇넷을 형성해 스팸, DDoS 공격 등에 감염 기기를 이용할 수도 있다. 전파경로도 다양해 네트워크 상에서 콘피커 웜은 취약점을 지닌 컴퓨터를 발견해 자동 설치되는 방식으로 전파된다.

이렇듯 다양한 모습을 보이고 있기에 콘피커 웜은 기존의 시그니처 방식으로는 차단이 불가능하다. 행위기반 탐지를 이용하거나, 취약점에 의한 침입을 방지하는 IPS 기술을 통해 방어하는 다양한 보안 기술이 복합적으로 사용되는 통합보안 능력이 절실히 요구되는 것이다. 이에 혹자는 “콘피커 웜은 엔드포인트 보안이 나아갈 방향을 보여주는 미래”라고 평가하기도 했다.

콤피커 웜, “게임의 규칙을 바꿨다”
콘피커 웜의 예를 들지 않더라도 시그니처 방식의 전통적 모델의 한계는 뚜렷하게 나타나고 있다. 시만텍은 2008년 160만개의 새로운 악성 코드 시그니처를 생성, 전세계에서 매달 평균 2억4500만의 악성 코드 공격 시도를 막아냈다고 전했다. 하루 평균 4400여개, 시간당 180개, 분당 3개 이상의 시그니처를 생성해야 했던 것이다.

이는 인터넷 위협의 급증으로 인해 더 이상 시그니처 방식으로는 효율적인 방어가 어려움을 보여준다. 더욱이 시그니처가 단순히 생성해 배포할 수 있는 것이 아니라 반드시 안정성 등을 평가한 후 배포돼야 한다는 점을 고려하면 분당 3개꼴의 시그니처 생성은 말처럼 쉬운 일은 아니다. 오히려 불가능에 가까운 일로 시만텍을 비롯한 보안 기업들은 각고의 노력으로 2008년 불가능을 현실로 이뤄냈다고도 말할 수 있다 하지만, 이러한 기적을 더 이상 이어나가기는 어려운 일이다.

또한 최근의 공격이 보안 소프트웨어의 탐지를 회피하고, 공격의 성공률을 높이기 위해 타깃화된 소수를 대상으로 진행된다는 점도 시그니처 방식의 효용성을 감소시키고 있다. 최근의 위협들은 소수의 위협이 대량 확산되는 형태에서 수백만 개의 위협이 국지적으로 확산되는 형태로 변화해 하나의 시그니처가 보호할 수 있는 이용자의 범위도 점차 줄어들고 있다. 몇 년 전 하나의 시그니처로 수만 명의 이용자들을 보호할 수 있었던 것과 달리 현재는 하나의 시그니처로 보호할 수 있는 대상은 겨우 스무 명 남짓에 불과하다는 것이 보안 기업들의 토로다.

이에 대한 대안으로 꼽히는 것이 행위기반 기술이다. 지능화된 위협에 대응해 보안 기술에도 지능을 가미, 데이터의 행동패턴을 분석해 위협여부를 판단한다는 것이 바로 행위기반 탐지 기법이다. 이를 통해 현재 시그니처 기술을 보완, 빠르게 진화, 발전하는 사이버 위협에 대응할 수 있게 된다.

대표적인 보안 기업인 시만텍의 경우, 행위기반 탐지를 구현하는 SONAR(Symantec Online Network for Advancd Response) 기술을 선보인 이후 미래 경쟁력 확보를 위해 다수의 안티바이러스 기업들이 행위기반 탐지 기술 확보에 나서고 있다. 시만텍의 SONAR는 2007년 ‘스톰웜’으로 불린 ‘Trojan.Peacomm’를 빠르게 탐지, 대응하는 등 시그니처 없이도 알려지지 않는 위협에 대할 수 있는 능력을 과시하고 있다.

“문제는 신뢰성이다”
콘피커 웜과 같은 지능화된 공격은 엔드포인트 보안에 있어 게임 규칙의 변화를 강제하고 있다.

엔드포인트 보안 통합을 일찍부터 주장한 시만텍의 경우, 이미 개인용 방화벽, 개인용 IPS 등을 통합한 솔루션을 선보이고 있다. 또한 스톰웜 등의 탐지를 통해 행위기반 탐지, 차단기술인 SONAR 기술의 신뢰성도 확보하고 있다. 또한 VB100 평가에서 43회 연속 통과를 기록하는 등 신뢰성을 검증받고 있다.

시만텍과 마찬가지로 다양한 보안 기업들이 기존의 안티바이러스 소프트웨어에 방화벽과 IPS를 더하고, 행위기반 탐지기법과 웹 신뢰성 평가 서비스를 더하는 등 종합적인 에드포인트 보안 솔루션으로 발전시키고 있는 상황이다. 안철수연구소의 경우에도 안티바이러스는 물론 안티스팸, 안티스파이웨어는 물론, 개인용 방화벽과 IPS를 통합한 통합 보안 솔루션으로 발전시키고 있으며, 카스퍼스키랩 등의 보안 기업들도 단순히 안티바이러스 만이 아닌 다양한 기능을 통합하고 있다.

하지만 문제는 신뢰성이다. 보안 기술은 기술력을 평가하기가 쉽지 않지만, 행위기반 탐지 등 신기술은 더욱 신뢰평가가 쉽지 않다.

예를 들어 행위기반 탐지의 경우, 누구나 행위기반 탐지를 수행한다고 말하는 것은 가능하지만 실제 적용은 말처럼 쉽지 않다. 임의의 다운로드를 수행한다고 해서 무조건적으로 차단하거나 삭제한다면, 정상적인 애플리케이션에도 지장을 줄 수 있다. 오탐지로 윈도우 자동업데이트에 문제를 일으키거나, 윈도우 필수파일을 삭제하는 치명적 문제를 일으킬 수 있는 것.

지난해 안철수연구소의 오탐으로 수만대 PC가 문제를 일으켰던 것은 오탐의 피해를 보여주는 대표적인 사례라고 할 수 있다. 안철수연구소의 오탐은 잘못 제작된 시그니처로 인한 것이었지만, 오탐의 위험성을 극명하게 드러낸 것. 이러한 오탐은 제작된 시그니처에 기반하지 않은 행위기반 탐지 시에 더욱 빈번하게 나타날 우려가 있다.

따라서 최근 보안 시장에서 요청되는 변화는 엔드포인트 보안 소프트웨어 간 솔루션의 차이를 크게 부각시킬 것으로 전망된다. 기존 시그니처 기반의 보안 방식에서는 안티바이러스 솔루션 간 격차는 크지 않았다. 다른 기업으로부터 시그니처를 구입하는 등의 방법으로 격차를 줄일 수 있었기 때문이다. 하지만 최근의 변화는 개발 기업의 역량에 의해 크게 솔루션 간 차이가 크게 부각될 수밖에 없는 양상으로 변화되고 있다. 또한 보안 기업의 기술력은 물론 다양한 애플리케이션 기업과 협력할 수 있는 역량도 요구된다.

전문가들은 “가장 효과적인 엔드포인트 보안을 위해서는 솔루션을 제공하는 보안 기업에 대한 평가를 살펴볼 필요성이 더욱 증가하고 있다”고 지적한다. 꾸준히 높은 평가를 받는 기업의 솔루션을 선택해야 한다는 것이다.

더불어 공신력 있는 국제 평가를 살펴볼 필요성도 제기된다. 앞서 살핀 것처럼 오늘날 적용 기술은 실제 적용에서 큰 차이를 보일 수 있기 때문이다. 공신력을 지닌 평가기관의 평가를 보다 유의 깊게 살펴야 할 필요성이 존재한다고 말할 수 있다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.