세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
미꾸라지 같은 멀웨어 공격 막기 위한 3겹 방어
  |  입력 : 2017-04-03 12:44
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
직원들 교육과 네트워크 세그멘테이션, 자동 모니터링
멀웨어, 조금이라도 변하면 탐지해내기 매우 어려워져


[보안뉴스 문가용 기자] 당신의 네트워크는 무단 접근으로부터 얼마나 안전한가? 이 질문에 답하기 위해 당신은 아마도 현재 가지고 있는 방화벽이나 백신 소프트웨어의 성능을 머릿속으로 떠올려봤을 것이다. 그런데 여기에 적절한 ‘마이너스’까지 했는지? 최근 빠르게 변하고 있는 멀웨어 기술 때문에 우리가 믿고 있는 기술들은 빛의 속도로 구식이 되어가고 있다는 걸 반영했냐는 말이다.


점점 그 수뿐만이 아니라 실력까지도 늘어가고 있는 해커들은 다양한 멀웨어를 직접 만들어 공격을 하기 시작했다. 누군가 만들어 놓은 멀웨어를 그냥 가져다 대량 살포하고 누군가 걸려들기를 기다리는 것이 아니라, 금융이면 금융, 의료면 의료, 정부 조직이면 정부 조직, 표적을 딱 정해서 그에 맞는 멀웨어를 제작해 공격할 정도로 수준이 올랐다는 것이다. 그러나 다행이도, 방어가 불가능한 수준은 아직 아니다.

맞춤형 멀웨어는 뭐가 다른가?
맞춤형 멀웨어는 악성 소프트웨어의 일종으로 전통의 보안 기술들을 우회하거나 회피하기 위해 특별히 조작된 것을 말한다. 맞춤형 멀웨어는 여러 가지 형태로 나타나는데, 여기에는 그 유명한 랜섬웨어도 포함된다. 가장 흔한 배포 방식은 이메일로, 이러한 공격을 피싱이나 스피어피싱이라고 칭한다. 기존의 백신이나 안티멀웨어 제품들은 ‘시그니처 기반’이라 이미 널리 알려진 멀웨어들만 탐지할 줄 아는데, 이는 즉 ‘조작된 맞춤형 멀웨어’에는 아무런 힘도 못 쓴다는 걸 의미한다.

그래서 새로운 멀웨어 변종이 발견될 때마다 패치라는 게 진행되는데, 이는 단순히 말해 ‘시그니처’를 늘리는 작업이라고 볼 수 있다. 시그니처를 늘려 발견 확률과 범위를 확장시키는 것이다. 그래서 권한이 높은 계정 소유자나 중요 데이터를 다루는 시스템에는 이러한 패치를 최대한 빨리 하라고 강조하는 게 보통이다. 그러나 새로운 변종이 발견되는 시점과 그에 대한 분석이 이루어져 패치가 배포되기까지에는 약 30~90일의 차이가 있다. 즉, 기업들은 대부분 한 달 넘게 취약한 상태로 노출되어 있다는 것이다.

물론 이런 류의 ‘탐지 불가능한 위협’이 문제가 된 것이 어제 오늘 일은 아니다. 그 유명한 타깃(Target) 사건도 맞춤형 멀웨어가 저지른 무시무시한 일이다. 당시 타깃에 침투한 멀웨어는 동유럽 해커들의 작품이었고, 이들은 해당 멀웨어를 통해 타깃의 시스템에 대한 정보를 방대하게 수집하는 데 성공했으며, 결국은 4천만 건의 신용카드 정보를 훔쳐내기에 이르렀다. 정찰과 탈취, 그 모든 과정에서 단 한 번도 발각된 적이 없었다.

타깃 공격이 있은 후 얼마 지나지 않아 미국의 비밀경호국은 수사를 시작했고, 보안업체인 아이사이트 파트너즈(iSIGHT Partners)가 포렌식을 도왔다. 그리고 2014년 1월 이에 대한 보고서를 발행했다. 당시 타깃을 공격한 멀웨어 변종의 탐지율이 0%였다는 내용도 담겨 있었다. 멀웨어의 조작과 커스터마이징을 통해 보안 기술의 시야에서 완전히 사라지는 것이 이미 예전부터 가능했었다는 것이다.

어떻게 해야 위험을 완화시킬 수 있는가
이렇듯 맞춤형 멀웨어의 가장 큰 특징은 안티멀웨어나 백신 기술을 무력화시킨다는 것이다. 그렇기에 방어하는 입장에서는 방어막을 여러 겹 씌워놓아야 한다. 백신만으로 엔드포인트가 안전할 거라고 믿는 게 아니라, 사용자 교육, 위협 요소 격리 기술 도입, 네트워크 모니터링 등 다각도로 방비를 취해야한다는 것이다. 그 중 반드시라고 해도 될 만큼 꼭 필요한 것들을 추려서 정리해본다.

1) 교육 : 변종 멀웨어든 알려진 멀웨어든 아무튼 멀웨어들은 피싱 공격과 스피어피싱 공격을 통해 가장 많이 퍼진다. 그렇기에 피싱 공격에 대해 교육을 하면 멀웨어 공격을 상당히 막는 게 가능해진다. 관리자들은 단기 아르바이트생부터 최고 고위 임원까지, 사람들이야말로 가장 연약하고 유력한 멀웨어 감염 통로라는 걸 기억해야 한다. 그러니 교육이야 말로 가장 적극적이고 능동적인 감염 방지 방안이다. 교육 효과를 높이려면 구체적이고 실용적이어야 한다.

그 다음으로 해야 할 건 훈련이다. 교육으로 지식을 전파했다면, 훈련을 통해 회사 내 보안 정책과 실천사항들을 몸으로 익히게 하는 것이다. 그러므로 훈련용 커리큘럼은 회사 정책과 잘 맞아떨어져야 한다. 어떤 행위는 금지되어 있는지, 금지 행위를 했을 때 어떤 결과가 기다리고 있는지 알려줘야 한다. 사용자들은 ‘애매하게 알고 있는 걸’ 절대 실천에 옮기지 못한다.

2) 격리 : 교육을 통해 어느 정보 방어 효과를 높이는 게 가능하긴 하지만, 당장 내일 발생할지도 모르는 멀웨어 공격에 대해서는 큰 실효를 거두기가 어렵다. 게다가 장기적으로 봐도 맞춤형 멀웨어 공격이 완전히 사라지는 것도 아니다. 효과적인 네트워크 세그멘테이션(분리)을 한다면 공격자들을 특정 구역에 가두어 격리시키는 게 가능해진다. 물론 분리 후 각 구역에 대한 접근을 엄격히 관리한다면 말이다. 보통은 중요한 정보가 저장된 영역을 따로 만들어놓고, 그 부분에 대한 접근은 소수 인원에게만 허용해주는 방식이 많이 사용된다.

이는 은행을 생각하면 이해가 쉬워진다. 은행 창구 직원과 손님 사이에는 데스크가 있다. 나라에 따라서는 아예 유리로 나눠진 곳도 많다. 그 창구 직원 데스크(혹은 유리벽)를 경계로 이쪽엔 외부에서 유입되는 고객들만이 있고, 반대편에는 여러 전산 시스템과 주요 임직원의 사무실도 있다. 당연히 외부 고객이 그 너머로 들어가지 못한다. 세그멘테이션이란 게 정확히 이런 개념이다.

3) 모니터링 : 위 두 가지로도 많은 위협들을 제거하거나 막아설 수 있지만, 그렇다고 모든 것이 완벽해지는 건 아니다. 교육을 하고 네트워크도 분리해놓았다면 그 다음부터는 관리에 들어가야 한다. 관리에 있어서 제일 중요한 게 바로 모니터링이다. 수상한 행위들이나 현상이 네트워크 내에서 벌어지면 알아챌 수 있어야 대처가 가능해진다. 물론 맞춤형 멀웨어들이 ‘탐지가 되지 않는다’는 특징 때문에 모니터링이 무슨 소용이냐, 라고 말할 수 있다. 하지만 모니터링은 멀웨어의 페이로드를 탐지해내는 게 아니라, 그런 멀웨어들이 하는 행위들을 알아채는 것이다. 아무리 잘 숨어들어도 언젠가 수상한 행위를 하기 위해 침투한 것이 멀웨어라는 걸 기억해야 한다.

네트워크 모니터링이란 결국 고객정보와 같이 중요한 데이터베이스에 누가 어떤 식으로 접근하는지 꾸준히 관찰하는 것을 말한다. 멀웨어의 정체를 발견하든 못 하든 결국 누군가 무단 접근을 실시한다면, 그건 그것 자체로 이미 수상한 거다. 또한 모니터링은 자동화로 처리해 실시간으로 경보가 발생되어야 가치를 갖게 된다. 또한 그러한 경보를 빠르게 처리할 전문인력 역시 필수요소다.

글 : 존 모이니한(John Moynihan)
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#멀웨어   #탐지   #기술   #3겹   #멀티레이어   


보안 전문가 2명 중 1명은 주말에도 일합니다. 여름 휴가도 마찬가지일 것 같은데요. 보안 인력의 휴식권에 대해 어떻게 생각하시나요?
제대로 쉬려면 보안 인력을 늘리는 수밖에 없다
보안 업무의 특성상 휴식권을 보장하기 어렵다. 감수해야 한다
국가적 차원에서 보안 인력의 근로 조건을 개선해야 한다
제대로 못 쉬는 대신 금전적으로 보상하면 된다
보안 인력에 대한 인식과 처우가 낮다는 게 근본적인 문제다
기타(댓글로)