포토샵, 플래시 플레이어 등으로 유명한 소프트웨어 기업 어도비의 본사 서버 해킹으로 290만명의 고객 개인정보가 유출되고, 아크로뱃과 콜드퓨전, 콜드퓨전 빌더 등의 소스코드까지 유출되는 최악의 사고가 발생했다. 이 사고를 ‘최악’이라고 단정할 수밖에 없는 이유는 어도비 사용자의 카드정보 등 금융정보가 포함돼 있는데다가 소소코드 유출로 소프트웨어 보안 취약성을 이용한 대규모 공격이 등장할 가능성이 높아졌기 때문이다.
소스코드가 유출된 아크로뱃 제품군은 PDF 파일을 작성·편집할 수 있으므로 악성코드를 심은 첨부파일 공격에 악용할 수 있다. 유출된 개인정보를 이용해 특정 사용자를 유인할 수 있으며, 클라우드 서비스와 연계돼 추가 피해가 일어날 가능성을 배제할 수 없다. 또한 플래시 플레이어나 플러그인 등 일반 사용자들이 많이 사용하는 소프트웨어 소스코드 유출까지 이어진다면 전 세계 인터넷 사용자를 상대로 한 초대규모 공격이 일어날 수도 있다.
APT, 사회공학 기법 이용해 교묘하게 발전
APT의 전형으로 알려진 스피어피싱은 타깃 사용자에게 악성코드가 숨어있는 파일을 첨부시키거나 이메일 본문에 악성링크를 보내고 해당 링크를 클릭하도록 만든다. 평소 타깃 사용자의 취미나 가족관계, 회사 업무 등을 파악한 후 그 사람이 관심을 가질만한 내용을 담은 이메일을 통해 사용자가 첨부파일을 열거나 링크를 클릭하는 순간 악성코드를 사용자 단말기에 설치시키는 것이 스피어피싱의 일반적인 방식이다.
이보다 진화된 방식은 시간차를 노리는 것이다. 메일서버에 수신되는 시점에는 정상적인 이메일이지만, 사용자가 메일을 확인하는 시점에는 악성링크를 숨기는 방식이다.
예를 들어 야구를 좋아하는 사용자를 타깃으로 하고 있다면, 주말에 야구와 관련된 내용을 안내하는 웹사이트 링크를 사용자에게 보낸다. 메일 서버가 해당 메일을 수신하는 시점에 링크된 웹사이트는 위험요소가 없는 정상적이고 안전한 사이트로, 메일서버는 위험요소가 없다고 판단하고 수신한다. 그리고 월요일 아침에 링크된 사이트에 악성코드를 심거나 공격 사이트로 리다이렉트 시키도록 하는 링크를 숨겨둔다. 월요일 아침에 이메일을 확인한 사용자가 해당 링크를 클릭하는 순간 악성코드에 감염된다.
이상혁 웹센스코리아 지사장은 “사이트 관리자 권한을 취득한 공격자들은 악성코드나 악성링크를 자유롭게 삽입하고 삭제할 수 있기 때문에 시간차를 이용한 공격이 얼마든지 가능하다. 개인의 취미생활과 관련된 내용이나 업무상 반드시 필요한 내용으로 위장하면 사용자가 공격을 피하기 매우 어렵다”고 말했다.
악성코드를 이용해 사용자의 PC나 중요한 문서를 암호화 한 후 비용을 청구하는 랜섬웨어도 지능적으로 발전하고 있다. 초기에는 PC 전체를 암호화해 사용하지 못하도록 했으나 최근에는 중요한 문서를 암호화 한 후 돈을 주지 않으면 해당 문서를 파기한다고 협박한다. 공격을 당한 문서는 암호화 키를 삭제해버리기 때문에 복구할 수 있는 방법이 없다. 사용자가 돈을 송금한다 해도 공격자가 PC나 문서를 원상복구해주지 않는다.
샌드박스, 의심스러운 파일 탐지에 최적
APT 공격 유형을 패턴화 할 수 없지만 대체로 취약점 탐색→유인→침투→수집·확산→정보유출 혹은 시스템 파괴의 순서를 밟는다. 공격자는 목표 시스템의 구석구석 살피면서 취약점을 찾아 시스템 내부로 침투한 후 중요정보를 수집해 빼가고 또 다른 공격을 위해 시스템 내부에서 영역을 확산시킨다.
많은 취약점 공격이 보안이 취약한 엔드포인트에 악성코드를 심는 것에서 시작하는데, 이메일을 통한 스피어피싱이나 웹사이트 방문만으로도 감염되는 드라이브 바이 다운로드, 워터링홀 공격을 사용한다. 엔드포인트에 악성코드가 실행되면 백도어를 만들고 공격자는 봇을 침투시켜 시스템 내부로 잠입해 자신의 명령을 수행하도록 한다.
APT 방어를 위해서는 최초 침입단계에서 악성코드에 감염되지 않도록 하고, 시스템 내부에 흘러다니는 봇을 탐지해 차단시키는 것이 중요하다. 이러한 악성코드나 봇은 멀웨어라고 불리는 소프트웨어로, 보안 솔루션의 위협 정보에 등록돼 있지 않기 때문에 기존의 보안 시스템으로는 막을 수 없다.
의심스러운 파일의 위험여부를 찾아내는데 가장 유용한 것으로 평가되는 기술이 샌드박스다. 위험하다고 의심되는 파일을 가상환경에서 구동시켜 보는 것으로, 백신 솔루션이 악성코드 패턴을 분석할 때 이용하는 기술이다.
샌드박스 기술을 독립시켜 ‘APT 방어 솔루션’이라는 새로운 시장을 개척한 파이어아이는 우리나라에서 2009년 7·7 DDoS와 2011년 3·4 DDOS 이후 좀비PC 방지를 위한 대책이 논의되면서 주목받기 시작해 빠른 속도로 성장했다.
그동안 보안 벤더들은 샌드박스에 주목하지 않았다. 샌드박스는 다양한 우회공격이 가능하며, 인라인 구성이 어려워 제로데이 공격을 막는데 한계가 있다. 의심파일을 미러링해 가상환경에서 분석하는 방식으로, 의심파일을 즉시 차단하지 않고 시스템 내부로 유입시킨다. 샌드박스 분석 결과 해당 파일에 위험한 요소가 있다고 판단되면 시스템 내로 흘러들어간 해당 파일을 다시 찾아서 삭제해야 하는데, 그 동안 해당 파일은 이미 공격을 시도했거나 자신을 은폐시켜 찾아낼 수 없도록 만든다.
그러나 APT 공격이 확산되면서 샌드박스가 ‘APT 방어 전용 솔루션’으로 인정받기 시작했다. 의심파일을 찾아내는데 샌드박스만큼 적절한 기술이 없기 때문이다. 특히 파이어아이의 샌드박스 기술을 비판해온 경쟁사들이 샌드박스 제품을 출시하면서 이 시장에 본격적인 경쟁구도가 형성되고 있다.
