[데이터넷] 최근 공격 트렌드는 실행파일 형태의 악성코드를 사용하지 않고, 악성문서와 같은 비 실행파일 형태로 진행된다. 트렌드마이크로의 ‘2019 중간 보안 위협 보고서’에 따르면 올해 상반기 탐지된 파일리스 공격은 전년 동기대비 265% 증가했다. 또한 트렌드마이크로가 올해 상반기 탐지한 위협은 268억건이며, 이 중 91%는 이메일을 통해 침입했다.
파일리스 공격은 이메일의 악성 첨부파일이나 웹사이트를 통한 다운로드, 망연계 구간, 이동식 디스크, 클라우드 등을 통해 유입되며, 주로 공격 초반 타깃 사용자를 감염시키기 위해 사용된다. 파일 내부에 악의적인 코드와 참조가 포함된 URL이나, 스크립트 등을 숨겨 유포하며, 매크로, VBS, JAVA, 파워쉘 등을 이용해 악의적인 행위가 일어나도록 한다. 문서 프로그램의 취약점이나 폰트 취약점을 이용해 문서를 열면 자동으로 감염시킨다.
정상문서로 교묘하게 위장하는 악성문서
악성문서를 이용할 때에는 실행파일 확장자를 정상 오피스 문서와 HWP 문서로 위장해 무심포 실행하도록 유도하는 방법을 가장 많이 사용한다. 파일 확장자를 .hwp, docx, pptx 등으로 보이도록 해 정상 문서 파일로 인식되도록 한다.
이스트시큐리티가 분석한 ‘넴티(Nemty)’ 랜섬웨어는 ‘(사용자 이름)이력서.hwp’라는 파일명으로 유포되는데, 실제 이 파일은 문서가 아니라 악성실행파일이다. .hwp가 확장자가 아니라 파일명 중 하나이며, .hwp 뒤에 긴 공백을 두어 .exe라는 확장자를 사용자가 볼 수 없게 만든다.
기업·기관에 이미 많은 보안 솔루션이 설치돼 있지만, 파일 없는 형태의 공격을 차단하는 마땅한 수단은 마련돼 있지 않다. 그래서 보안 기업들은 파일 없는 공격도 차단할 수 있도록 시그니처를 업데이트하지만, 시그니처 방식 보안 탐지는 많은 한계가 있다.
여러 보안 기능을 가진 보안 솔루션을 다양하게 구비하고 있다 해도 공격에 완벽하게 대응하는 것도 쉽지 않은 일이다. 어택아이큐와 포네몬연구소가 진행한 ‘기업 보안 전략 평가 연구’에 따르면 기업은 평균 47종의 보안 솔루션을 운영하고 있지만 이를 통해 침해사고를 막을 수 있다고 답한 사람은 절반도 되지 않는다.
기업이 보안에 투자하는 금액은 평균 1840만달러(약 222억원)이며 내년에는 보안 예산을 14% 늘릴 계획이다. 그러나 53%의 IT 담당자는 이렇게 구축된 보안 솔루션이 잘 작동하는지 확신하지 못한다고 보고 있다.
보안 투자를 아무리 늘려도 위협 대응 역량을 갖췄다고 확신하지 못한다면 보안에 투자해야 할 이유를 찾지 못하게 된다. 그렇다고 해서 보안 투자를 소홀하게 되면 비즈니스에 심각한 영향을 주는 위협에 직면할 수 있다. 보안에 투자를 한다 해도 완벽한 방어 전략을 수립할 수 없지만, 투자를 하지 않으면 높은 리스크를 떠안아야 하는 딜레마에 빠져있는 셈이다.
무해화·격리로 ‘제로 트러스트’ 구현
정상적인 업무 프로세스와 정상적인 문서, 정상적인 윈도우 프로세스를 이용하는 공격은 기존 보안 솔루션으로 막기 어렵다. 이 공격은 시그니처에 등록돼 있지 않아 시그니처 기반 차단 솔루션으로 탐지할 수 없으며, 샌드박스 분석도 지능적으로 우회한다.
정상적인 프로세스를 이용하는 지능적인 공격에 대응하기 위해서는 모든 것을 신뢰하지 않는 ‘제로 트러스트’ 보안 모델에 따른 보안 정책이 등장했다. 제로 트러스트는 포레스터 리서치가 제시한 개념으로, 모든 것을 신뢰하지 않고 의심하고 점검하는 것을 말한다.
제로 트러스트 모델 기반 보안 기술은 무해화(Disarm)와 격리(Isolation)가대표적이다. 무해화는 외부에서 유입되는 모든 요소에서 악성요소와 악성인지 아닌지 판단하지 못하는 것을 제거하고 안전성이 입증된 것만 허락하는 보안 방법을 말한다. 격리는 외부 콘텐츠를 가상화 영역 안에서 실행시켜 악성 행위가 업무 시스템에 영향을 미치지 못하도록 하는 기술이다.
무해화, 격리 기술은 위협 탐지 중심 보안 정책의 한계를 해결하기 위해 제안되는 기술이다. 탐지 중심의 보안 정책을 운영하다 보면, ‘셀 수 없이 많은 보안 위협을 모두 다 찾아내야 공격으로부터 자산을 보호할 수 있는가’라는 근본적인 의문이 생긴다. 모든 위협을 다 탐지할 수 없으며, 미탐 부분에서 발생할 수 있는 리스크와 오탐으로 인해 리소스가 낭비된다. 이러한 사실을 따져보면 모든 위협을 가려내고 일일이 대응하는 것이 효과적이지 않다는 결론에 이르게 된다.
그래서 확실하게 안전한 ‘화이트리스트’만을 제외하고 확실한 악성 영역과 악성인지 아닌지 확실하지 않은 그레이 영역은 제거하거나 격리해 중요 시스템에 영향을 미치지 않도록 하는 것이 무해화와 격리가 제안된다. 제로 트러스트 보안 모델을 기반으로 모든 외부 요소를 점검해 안전성이 입증된 것만 허락하는 방식으로 내부 시스템을 안전하게 보호할 수 있다.
클라우드서 유용한 무해화와 격리
위협 탐지 중심 보안 대응의 한계를 보완하기 위한 무해화와 격리 기술의 적용 사례를 살펴보면 ▲외부에서 파일이 유입되면 다중 스캐닝 기술로 알려진 위협을 가장 먼저 차단하고 ▲핑거 프린트 기술을 이용해 파일 속성을 분석하고 가짜 파일을 차단하며 ▲파일을 오브젝트로 분리해 파일 속성에 필요한 요소만을 골라 조합해 복원하는 콘텐츠 무해화(CDR)를 적용하고 ▲위험한 것으로 의심되거나 판단하지 못하는 것은 격리된 공간에서 실행시켜 본다.
허효승 소프트와이드시큐리티 기술본부 이사는 “무해화와 격리는 함께 사용할 때 시너지가 높은 기술”이라며 “외부 유입 파일에서 안전한 콘텐츠만을 남기고 나머지는 제거하고, 악성인지 아닌지 판단하지 못하는 것은 격리된 공간에서 실행시키는 방식으로 보안 정책을 유지하면 고도화된 보안 우회 시도도 무력화 할 수 있다”고 설명했다.
무해화와 격리는 제로 트러스트 보안 모델을 현실화 할 수 있다. 특히 지메일, 오피스365 등 클라우드 기반 업무 프로그램을 사용할 때 별도의 보안 솔루션을 추가하기 어렵다면 무해화를 통해 보안을 강화할 수 있다.
그러나 무해화와 격리는 업무에 직접 개입해 동작하기 때문에 업무에 영향을 줄 수 있다. 무해화로 재조합된 문서가 원본문서와 100% 동일하게 재구성될 수 있다고 장담할 수 없으며, 무해화와 격리에 시간이 걸려 실시간 업무에 다소 지장을 줄 수도 있다. 따라서 무해화와 격리를 도입할 때 속도 지연이나 원본 문서와 동일하지 않다는 문제는 업무에 지장이 있는 수준으로 발생하지 않는지 살펴야 한다.
