지능형 타깃 공격을 막기 위해 방어 기술도 진화하고 있지만, 지능형 방어 기술을 우회하는 더 지능화된 공격이 빠르게 등장하고 있다. 공격자는 아주 단순하고 오래된 취약점 하나만으로도 공격에 성공할 수 있기 때문에 최신 사이버 공격을 차단하기는 매우 어려운 일이다.
예를 들어 공격자는 목표 기관에서 사용하는 APT 방어 솔루션이 탐지하지 않는 문서 프로그램의 취약점을 이용해 방어 시스템을 우회할 수 있다.
샌드박스 기반 APT 방어 솔루션은 의심파일을 실행시켜 악성행위를 탐지하기 때문에, 공격에 이용되는 MS 오피스, 어도비 플래시, PDF, 한글 등 모든 종류의 애플리케이션을 탑재하고 있어야 한다. 특히 각 애플리케이션마다 버전별로 취약점이 다르기 때문에 취약점이 있는 상태의 버전을 운영해야 한다.
만일 해당 샌드박스에서 지원하지 않는 애플리케이션의 특정 버전이 있다면, 해당 버전의 취약점을 이용한 공격이 가능하다. 국내 기업/기관을 타깃으로 하는 공격에 많이 사용되는 한글파일의 경우, 일부 샌드박스 솔루션이 한글의 ‘뷰어’ 기능만 이용하고 있어 스크립트로 삽입된 공격은 탐지하지 못한다.
이 문제는 한글의 정식 라이선스를 구입해 탑재하면 해결할 수 있지만, 라이선스 비용 문제나 인식 부족 등으로 취약점 공격에 노출된 상태에 있는 경우가 많다.
사용자 맞춤형 공격으로 진화
웹을 통해 유입되는 공격도 완벽한 차단은 불가능하다. 공격자들은 웹사이트 모니터링이 소홀한 시간대나 방문자가 많은 시간대에 악성링크를 몰래 숨기는데, 짧게는 한두시간, 길어도 이틀 이내에 공격을 마친다. 그리고 관리가 소홀한 틈에 다시 악성링크를 삽입하는 공격을 반복한다.
최근에는 사이트 접속기기의 OS를 파악해 PC라면 악성코드를 직접 다운로드 시키고, 안드로이드OS는 악성앱 설치를 유도하는 페이지를 띄우는 등 공격이 다변화되고 사용자 맞춤형으로 진화하고 있다.
문일준 빛스캔 대표이사는 “웹을 이용한 공격은 URL 속성이 하루 이틀 혹은 몇 시간만에 바뀌기 때문에 실시간 혹은 아주 짧은 간격을 두고 지속적인 모니터링을 해야 한다. 또한 업무와 관련 있는 사이트를 통해서도 공격이 진행되므로, 확실하게 공격이 나타날 때에만 경고/차단하는 방법으로 오탐·미탐을 없애야 한다”며 “악성 URL을 찾아내는 자동화된 툴과 함께 해당 URL에 공격요소가 있는지 확인할 수 있는 전문인력이 병행돼야 웹을 통한 공격을 효과적으로 차단할 수 있다”고 설명했다.
여러 기술 함께 사용해 공격 위협 낮춰
이처럼 진화하는 공격을 차단하기 위해서는 발견되는 취약점을 즉시 해결하는 것이 급선무이지만, 공격자 뒤를 쫓기만 해서는 피해를 줄일 수 없으며, 여러 방어 기술을 함께 적용해 공격위협을 낮춰야 한다.
악성파일을 통한 공격을 막기 위해서는 샌드박스의 행위기반 분석 기술 뿐만 아니라 휴리스틱 기술을 이용해 의심파일의 속성을 분석하고 공격요소가 있는지 파악하는 기술도 필요하다. 파일에서 안전한 텍스트와 이미지만 걸러내 문서를 재조립하는 기술도 악성코드 탐지 솔루션이 채택하고 있는 최신 기술이다.
웹을 통한 공격을 막기 위해서는 웹방화벽, URL 필터링, 모니터링, 시큐어코딩 등의 기술이 필요하다.
더불어 전 세계에서 발견되는 악성코드와 악성 URL을 찾아 차단하는 글로벌 보안 인텔리전스도 필수적인 사항으로 꼽히며, 국내에 맞춤형으로 진행되는 공격만을 정밀하게 분석하는 로컬 정보도 필수적으로 요구된다.
문일준 빛스캔 대표이사는 “글로벌 기업에서 제공하는 악성코드, 악성 URL 정보는 전 세계의 공격 정보를 제공해주지만, 로컬에서 일시적으로 발생하는 공격을 분석하는데 한계가 있다. 로컬에 특화돼 더욱 정밀하게 제공하는 정보도 함께 병행 운영해야 지능형 공격을 효과적을 차단할 수 있을 것”이라고 강조했다.
