[2016년 정보보호 핫이슈 10] ⑥엔드포인트 보안

IoT 확산으로 더욱 지능화되는 엔드포인트 타깃 공격…EDR‧백신 결합해 공격 방어 효과 높여

2016년 새해에도 사이버 공격은 끝없이 진화하고 있다. 특히 잘 관리된 게이트웨이가 아니라 사람, 단말, 웹 등 관리되지 않는 취약점을 공격한다. 2016년 정보보호 분야에서 가장 뜨거운 이슈 10개를 선정해 집중 분석하면서 대응 방안을 찾아본다.<편집자>

공격 시작되는 엔드포인트, 보호 어려워

사이버 공격은 악성코드를 이용해 이뤄지며, 악성코드는 보안 시스템을 우회하기 위해 신변종 코드로 제작된다. 전체 공격의 90%는 알려진 악성코드를 통해 진행되며 시그니처 기반 보안 시스템으로 막을 수 있지만, 10% 가량의 신종·타깃 공격은 시그니처로 못막는다.

그래서 샌드박스 기술을 이용한 신종 악성코드 분석 기술이 나왔지만, 샌드박스는 쉽게 우회할 수 있다는 치명적인 결함이 있어 평판분석기술, 휴리스틱, 머신러닝, 행위분석 기술 등 다양한 기술을 추가하면서 악성코드 탐지에 집중하고 있다.

악성코드 하나하나에만 집착하는 것은 비효율적이다. 악성코드를 제작하는 자동화된 툴은 지하세계에서 저렴하게 구입할 수 있다. 하루에 새롭게 발견되는 악성코드는 100만개가 넘으며, 기존 보안 시스템이 탐지하지 못하는 고도의 회피기술을 사용한다.

악성코드가 설치되는 지점인 엔드포인트에서 공격을 차단하기 위해 수많은 분석엔진을 적용한 보안 솔루션을 설치할 수는 없기 때문에 엔드포인트를 지나 네트워크단에서 공격을 탐지한다. 그러나 엔드포인트에 저장된 정보는 보호하지 못하며, 네트워크 경계에서 탐지하지 못하면 곧바로 시스템으로 들어가기 때문에 공겨 위협에 노출되고 만다.

▲최근 10년간 발생한 새로운 멀웨어(2007-2016) (자료: AV테스트 www.av-test.org)

백신‧EDR 결합하며 방어 효과 높여

보안 기술은 그래서 다시 엔드포인트에 집중하게 됐다. 엔드포인트에서 더 가볍고 정교하게 악성코드를 탐지하는 방법을 찾고 있는 것이다. 전 세계 악성코드 정보를 수집·분석해 빠르게 시그니처를 제작해 배포하며, 엔드포인트 행위를 분석해 이상행위는 격리한 후 클라우드에서 다시 분석하고, 공격이면 엔드포인트에서 삭제하는 동시에 위협 인텔리전스를 통해 시그니처로 만들어 전 세계 고객에게 배포하는 방식이 이상적인 악성코드 탐지 기법으로 알려진다.

엔드포인트의 침해흔적을 찾아 피해확산을 막는 엔드포인트 탐지 및 대응(EDR) 시스템도 주목을 받는다. 침해흔적이 발견되면 이를 추적해 감염된 시스템을 격리하고, 피해를 입은 내용을 파악해 대책을 마련하게 한다. 회귀분석 기술까지 적용해 공격을 역추적해 공격이 일어난 지점의 취약점을 해결한다.

악성코드가 아니라 익스플로잇을 탐지하는 기술도 등장했다. 신종 악성코드는 하루 100만개씩 생기지만, 실제 공격이 진행되는 익스플로잇은 몇 백개 수준이며, 공격에 많이 이용되는 익스플로잇은 100개 미만이다. 익스플로잇을 찾아내 제거하면 보다 효과적으로 공격을 차단할 수 있게 된다.

IoT 기기 노리는 지능형 악성코드

이상적인 공격 탐지 기술은 다양하게 제안되지만, 그만큼 공격도 빠르게 발전하고 있어 모든 공격을 다 막을 수는 없다. 특히 모바일 기기를 노리는 공격은 심각한 상황인데, 안랩에 따르면 2015년 모바일 애드웨어는 전년대비 2.5배 증가해 기존의 스미싱 차단 기법으로는 막을 수 없는 상황이 됐다.

모바일 애드웨어는 팝업창을 띄우는 등 사용자를 귀찮게 하는 수준이 아니라, 과도하게 개인정보를 수집하고, 앱을 바꿔치기하고, 루트권한을 획득해 삭제를 방해하는 등 진화된 기법을 보이고 있다.

모바일 기기 보안위협은 안드로이드에 집중돼있지만, 윈도우, iOS를 노리는 공격도 꾸준히 증가하고 있다. 특히 iOS는 애플의 강력한 보안정책으로 안전하게 보호된다고 믿고 있지만, 앱스토어를 통해 배포되는 앱에 악성코드가 숨어있는 액스코드고스트 공격, 아이튠즈로 동기화된 백업 파일에서 개인정보를 탈취하는 백스탭 등이 발견되면서 탈옥하지 않은 아이폰 보안에도 비상등이 켜진 상황이다.

엔드포인트 보안은 IoT 보안과 직결되는 문제로, 헤드리스 IoT 기기는 보안 기술을 탑재하기 어려운 환경으로, 보안이 강화된 임베디드 하드웨어를 사용해야 한다. 또한 화이트리스트 기법을 적용해 애초 설계할 때허용된 행위만을 수행하도록 하는 등 기능을 제한하는 것이 좋다.

KISA의 ‘산업체가 주목해야 할 10대 정보보호 기술’에서는 ‘디바이스 및 소프트웨어 취약성 분석 기술’에 주목해야 한다고 강조하고 있는데, IoT 기기와 서비스의 백도어 하드웨어·소프트웨어 취약점을 사전에 탐지하는 기술이 필요하다고 설명했다.

무선공유기 해킹으로 DDoS 공격에 이용당했던 사고와 같이, 펌웨어 혹은 OS·애플리케이션 취약점을 이용해 공격을 진행할 수 있다. IoT 기기는 전용 백신이 없고 백신을 설치할 수 있는 OS가 아니며, 하드웨어 리소스가 충분하지 않기 때문에 공격에 속수무책으로 당할 수 밖에 없다 따라서 취약점을 사전에 탐지해 침입경로를 차단하는 기술이 중요해 질 것으로 예상된다.

김선애 기자 다른기사 보기