“백신은 보안의 시작, ‘+α’로 지능형 공격 막아야”
상태바
“백신은 보안의 시작, ‘+α’로 지능형 공격 막아야”
  • 김선애 기자
  • 승인 2013.05.14 11:21
  • 댓글 0
이 기사를 공유합니다

보안의 기본 정책 마련하고 사람·프로세스 통제해야

지난 3·20 사고는 백신 솔루션의 업데이트 서버가 문제였다. 민·관·군 합동대응팀의 중간조사 발표에 의하면 공격자는 피해기관에 설치된 안랩·하우리의 백신 업데이트 서버로부터 악성코드가 배포되도록 했다. 농협에 공급된 안랩 관리서버인 APC는 관리자 인증 없이 업데이트를 진행할 수 있도록 하는 버그가 발견 됐다.

안티바이러스 업데이트 서버를 통해 악성코드가 유포됐다는 아이러니한 사고가 일어난 표면적인 원인은, 업데이트 파일 배포시 무결성 검증이 이뤄지지 않았기 때문이다. 무결성 검증은 업데이트 파일이 배포될 때 원본과 비교해 변동이 있는지 없는지 확인한 후 배포하되는 기능으로, 모든 업데이트 서버가 갖추고 있는 기본기능이다. 국정원 CC 인증에도 이 내용이 필수사항으로 포함돼 있다.

안랩측은 자사의 관리소홀로 인해 농협 APC 서버의 관리자 계정이 유출됐으며, 버그로 인해 변조된 파일이 업데이트 됐다고 해명했으나, 다른 기관의 경우는 어떻게 변조된 파일이 유포될 수 있었는지 명확히 밝혀지지 않았다.

이 문제에 대해 보안업계에서는 “경쟁사의 취약점을 공개적으로 비판하기는 어렵지만…”이라고 전제하면서 “만일 관리서버에서 위변조가 일어났을 경우 관리자에게 해당 내용을 반드시 알리도록 하는 것이 기본 기능이다. 이 기본기능이 작동되지 않았다는 것은 이해할 수 없는 일”이라고 꼬집는다.

“액티브X만 필요악인가”
이번 사고가 액티브X 모듈을 통해 이뤄졌다는 주장도 나와 고질적인 ‘액티브X’ 문제와 윈도우 의존도가 지나치게 높은 국내 웹 사용환경에 대한 비판도 줄을 잇고 있다. 일부 전문가들은 3·20 악성코드의 최초 유포지가 국내 공개 웹 게시판이라고 추정한 바 있다. 사이트 방문만으로도 악성코드에 감염되는 액티브X 취약점을 이용해 방문자 PC에 악성코드를 심었으며, 이 중 관리자 PC를 찾아 계정을 탈취하고, 관리서버를 통해 타깃 기관에 악성코드가 일괄 배포되도록 했다는 주장이다.

액티브X는 MS의 인터넷 익스플로러(IE) 구동시 추가적인 필요한 기능을 쉽게 설치할 수 있도록 하는 플러그인 기술이다. 우리나라에서는 짧은 기간에 효과적으로 전자정부와 전자상거래 등 인터넷 기반 서비스를 확산시키기 위해 액티브X 기술을 기반으로 한 웹 서비스가 확산됐다. 그래서 IE가 아니면 인터넷뱅킹이나 공공기관 서비스 이용이 어렵다. 특히 온라인 상에서 본인임을 입증하기 위한 신분증에 해당하는 공인인증서는 액티브X를 통해 내려받을 수 있다.

액티브X는 MS에서도 보안 취약점이 많아 장기적으로는 중단시킬 서비스라고 얘기하고 있으며, 차세대 웹표준인 HTML5가 확산되면 액티브X를 사용하지 않고 안전한 웹 서비스 이용이 가능하다. 우리나라에서 유독 액티브X가 문제가 되는 것은 모든 PC 환경이 MS 윈도우와 IE 기반으로 이뤄지기 때문이다. 액티브X 취약점을 이용하면 거의 모든 PC에 동일한 악성코드를 설치할 수 있다.

홍민표 에스이웍스 대표이사는 “3·20 사고에서 주목해서 봐야 할 점은 윈도우 기반 PC가 공격을 당했다는 것”이라며 “만일 사람들이 다양한 OS와 웹브라우저를 사용한다면, 악성코드 배포 방법을 여러가지 버전으로 만들어야 하기 때문에 악성코드 유포 속도를 늦출 수 있으며, 사고의 피해규모를 줄일 수 있다”고 말했다.

“PC·인터넷 사용 습관 개선해야”
무결성 검증이나 액티브X는 어떻게 보면 부가적인 문제일 수 있다. 해결방법을 알고 있기 때문이다. 3·20 사고와 같은 지능형 공격을 막기 위해 가장 쉽고 기본적이면서도, 해결이 불가능에 가깝다고 보는 난제는 개인의 PC 사용 습관을 변화시키는 것이다.

정경원 시만텍코리아 지사장은 “APT를 막는 가장 간단하고도 근본적인 방법은 신뢰할 수 없는 사이트는 방문하지 말고, 의심스러운 이메일은 열어보지 말고, P2P 사이트에서 불법적인 동영상과 파일을 다운로드 받지 않는 것”이라며 “PC와 인터넷 사용 습관을 바로 잡으면 악성코드를 이용한 APT는 원천적으로 방어할 수 있다”고 말했다.

이처럼 쉽고도 기본적인 방어법은 ‘불행하게도’ 불가능하다. 좀비PC 방지법이 발의됐을 당시에도 논란이 됐지만, 사람들의 PC·인터넷 사용 습관을 강제할 수 없다. 지나친 규제로 인해 인터넷 서비스 산업과 콘텐츠 산업이 위축되는 결과를 낳을 수도 있다.

BYOD 확산과 함께 모바일 기기가 다양한 분야에서 활용되고 있어 개인 사용자의 보안의식 강화만을 강요할 수 없다. 모바일 환경의 다양한 솔루션·서비스를 악용하는 지능적인 공격은 예측이 불가능하다. 지인으로부터 메시지를 받아 클릭했는데, 악성코드에 감염된 웹사이트에 방문하게 될 수 있다. 업무상 꼭 필요한 이메일이나 SMS로 위장하는 경우는 이미 많은 사례가 보고된 바 있다.

APT가 악성코드만을 이용하는 것도 아니다. APT는 지속적으로, 이용가능한 모든 공격을 동원해서 목표를 이루는 공격이며, 최근 악성코드를 이용한 공격방식이 많이 사용될 뿐이다.

김남욱 한국카스퍼스키랩 기술담당 이사는 “APT의 위험성은 악성코드 그 자체가 아니라 미처 파악하고 있지 못한 취약점을 파고든다는 점이다. 과거나 현재나 다름없이 해커들은 알려지지 않은 취약점을 공격하면서 원하는 목표를 달성해왔다”며 “취약점은 어느 지점에서 발견될 수 있을지 모르기 때문에 단일 솔루션으로는 해결할 수 없다. 지능화되는 공격을 방어하기 위해 사전방역 시스템을 갖추는 것이 중요하다”고 지적했다.

APT가 악성코드를 이용해 금전적인 이익을 얻거나 개인정보를 탈취하는 등의 공격을 주로 하는 것도 아니다. 원래 APT는 국가 기반시설을 노리는 사이버테러나 국가 기밀정보를 탈취하는 사이버 스파이 활동을 주로 많이 해왔다.

한국트렌드마이크로는 모의실험을 통해 APT가 전력, 가스, 수도 등 국가 기반 시설과 산업시설에 대한 사이버 공격에 이용될 수 있다는 것을 밝혀냈다고 경고한 바 있다. 이 회사의 모의실험은 산업설비 제어 시스템과 유사한 환경의 허니팟을 설치해 급수 펌프 시스템, 생산 시설, 공장 온도 조절 시스템 등으로 가정해 유입되는 타깃 공격을 모니터링했다. 조사결과 허니팟 설치 18시간 만에 첫 번째 공격이 유입됐으며, 28일 동안 14개 국가에서 총 39회의 공격이 발생했다.

허니팟에 유입된 공격 중 12회는 각각 별개의 표적 공격이었고, 13회는 동일 공격자에 의한 반복 공격이었다. 국가별로는 중국이 35%로 가장 많았으며, 미국 19%, 라오스 12% 등 순서로 집계됐다. 북한으로 추정된 공격도 2%를 차지하고 있어, 북한의 사이버 공격 그룹이 산업기간 시설 또한 사이버 공격 대상으로 검토하고 있음을 추정할 수 있다.

안티바이러스가 기본
최근 APT는 악성코드를 이용한 공격이 대부분이기 때문에 애초에 악성코드가 PC나 서버에 다운로드되지 않도록 하는 것이 가장 중요하다. 이러한 점에서 안티바이러스 솔루션은 APT 방어의 첨병이라고 할 수 있다. 안티바이러스는 기존에 보유하고 있는 시그니처와 비교해 악성코드는 차단하고, 악성코드로 의심되는 것은 연구소에 보고하거나 샌드박스에서 분석하도록 한다.

일부 보안 솔루션 기업에서는 APT가 알려지지 않은 악성코드, 혹은 제로데이 취약점을 이용하기 때문에 이미 알려진 시그니처를 기반의 안티바이러스는 APT 공격을 막을 수 없다고 주장한다. 그러나 APT가 악성코드만을 이용하는 것은 아니며, 알려진 악성코드를 이용하지 않는 것도 아니다.

사회공학적 기법을 활용한 APT가 늘어나면서 이미 알려진 악성코드를 이용해 기초적인 방법으로도 APT 공격이 일어나기도 한다. 3·20 사고 당시 몇 몇 보안 전문 기업들이 해당 악성코드는 1년이상 전에 나타난 것과 동일하거나 유사하다고 주장하면서 보안 시스템이 알려진 악성코드 시그니처를 철저히 업데이트 했으면 사고를 막을 수 있었을 것이라고 주장한 바 있다.

올해 가장 강력한 보안위협이 될 것으로 꼽히는 모바일도 안티바이러스가 기본으로 실시간 가동되고 있어야 한다. 안드로이드 기반 기기는 공식 애플리케이션 장터인 G플레이 뿐 아니라 개별적으로 게시된 사이트 등을 통해서도 앱을 내려받을 수 있기 때문에 보안위협에 무방비 상태로 노출돼 있다. 따라서 모바일 백신의 실시간 감시 기능을 켜놓아야 한다.

시만텍, 안랩, 이스트소프트 등 안티바이러스 기업들은 대부분 모바일 버전을 제공하고 있으며, 모바일 기기 제조사나 모바일 앱 운영기업과 협력을 맺고 백신의 실시간 감시 환경에서만 필요한 서비스가 이뤄지게 하는 등 강력한 정책을 구현하기도 한다.

브리존의 터보백신은 안드로이드 전용 ‘터보백신 모바일 2.0’을 출시하면서 모바일 보안을 강화한다고 밝혔다. 이 제품은 실시간 감시로 악성코드 유무를 확인하고 침투를 막아준다. 스팸차단 기능을 이용해 불필요한 문자메시지와 광고성 전화번호를 등록해 안전하게 모바일 기기를 사용할 수 있도록 한다.

안티바이러스 업계, 차별성 부각 안간힘
보안의 시작점인 안티바이러스는 대부분 평준화돼 제품별로 차별성을 부각시키기 어렵다. 특히 개인용 안티바이러스는 무료로 제공되는 제품이 대부분을 차지하고 있어 업체의 수익성은 매우 낮은 편이다.

안티바이러스 솔루션이 갖고 있는 기능은 실시간 탐지를 통한 악성코드 위협 탐지다. 빠른 검사속도와 보유하고 있는 악성코드 샘플 수, 행위기반 탐지·차단 엔진, 지능형 엔진으로 신·변종 악성코드 실행 차단 등을 특징으로 내세운다. 또한 가벼운 실행으로 PC 성능에 영향을 주지 않는다는 점과 PC에 설치된 다른 보안 에이전트와 충돌을 일으키지 않는다는 점도 강조한다.

토종 안티바이러스 솔루션은 윈도우 OS를 주로 지원하고 있으며, 외산 솔루션은 윈도우, 리눅스, Mac 등 다양한 OS를 지원한다. 모바일 백신은 안드로이드용이 다양한 벤더에서 출시돼 있지만, 애플 iOS 용은 거의 없다. 안티바이러스 솔루션 업체들은 애플이 애플리케이션을 전수검사하기 때문에 iOS에는 안티바이러스가 필요없다고 설명하지만, iOS를 노리는 공격도 상당한 규모로 감지되고 있어 iOS 지원을 위한 보안 대책도 필요하다.

안티바이러스 솔루션 자체의 기능이나 성능 면에서 차별성을 갖기 어렵기 때문에 업체들은 경쟁사와 조금이라도 다른 점을 집중 부각시키려고 노력한다.

SGA의 바이러스체이서는 패턴 시그니처 기반 탐지엔진과 행위기반 엔진 두개를 함께 구동시켜 알려진 악성코드와 알려지지 않은 악성코드를 탐지할 수 있다고 소개한다. 또한 패치관리 솔루션 ‘패치체이서’를 통해 강력한 패치관리 정책을 시행할 수 있도록 하며, 악성 소프트웨어와 소프트웨어 취약점을 찾아내고 서버 접근권한 감사·추적 기능을 활용한다.

SGA 엔드포인트보안사업부문 남보현 부장은 “행위기반 탐지 엔진은 자체개발하고, 패턴 매치 방식은 러시아 닥터웹의 엔진을 사용한다. 향후 나올 신제품은 엔진 하나를 더 추가해서 악성코드 오탐/미탐률을 획기적으로 줄일 것”이라며 “여러 엔진을 동시에 구동해도 성능저하나 충돌이 없다는 것이 바이러스체이서의 주목할만한 장점”이라고 말했다.

SGA는 서버보안 제품군으로 관리자 접근제어를 보다 강력하게 하며, 자체적으로 운영중인 침해사고대응팀을 통해 국내외 보안위협을 실시간으로 모니터링해 위협이 발생했을 때 즉각 대응할 수 있다는 점도 경쟁력으로 내세운다. APT 방어 솔루션을 공급하는 파이어아이와의 협력을 통해 보다 안전한 환경 만들기에 나서고 있다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.