Home > 전체기사
[주말판] 해커들을 투명인간으로 만들어주는 공격 기법
  |  입력 : 2019-04-27 14:19
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
최근 인기 가장 높고, 연구도 활발하게 이어지고 있는 두 가지 공격 기법
드라이브 바이 다운로드는 약간의 하락세, 파일레스는 가파른 성장세


[보안뉴스 문가용 기자] 보안 업체 왓치가드(WatchGuard)는 2018년 말에 2019년의 보안 지형도를 예상하는 보고서를 발표했다. 그 중에 베이퍼웜(vaporworm)의 등장에 대해 주의하라는 경고 메시지가 있었다. 왓치가드가 베이퍼웜이라고 부르는 건 웜처럼 자기 복제를 해가는 ‘파일레스 멀웨어’의 일종이었다. 파일을 디스크에 설치하지 않고, 오로지 메모리 내에서만 실행되는 ‘파일레스 멀웨어’가 당시 처음 등장한 건 절대 아니었지만, 그 위험성은 증가하고 있음이 분명하다고 지적하는 것이었다.

[이미지 = iclickart]


확실히 파일레스 멀웨어(fileless malware)는 커다란 위협으로 커가고 있다. 지난 몇 년 동안 가장 보편적으로 전파되던 보안 수칙은 “출처가 확실하지 않은 수상한 파일을 다운로드 받지 말라”였는데, 파일레스 멀웨어는 이를 본질적으로 무색하게 만드는 종류의 공격이기 때문이다. 그런 의미에서는 드라이브 바이 다운로드(drive-by download) 공격 또한 비슷한 위협이 되고 있다. 사용자 편에서의 행위를 거의 필요로 하지 않고 공격을 실시할 수 있는 이 두 가지 공격 기법은 현재 사이버 공격자들이 가장 선호하는 방식으로 자리를 잡아가고 있다. 그렇다면 이 두 가지 공격의 차이점은 무엇이며, 어떻게 막아야 하는 걸까?

사전적 정의로 보는 둘의 차이
파일레스 멀웨어 공격과 드라이브 바이 다운로드는 정확하게 어떤 차이를 가지고 있을까? 이름에서부터 볼 수 있듯이 이 둘은 확연하게 다른 공격 기법이다. 드라이브 바이 다운로드는 멀웨어를 피해자의 시스템에 전파하고, 설치한 후, 실행하는 것이고, 파일레스 멀웨어는 디스크에 물리적으로 장착되지 않고 오로지 메모리 내에서만 실행되는 것이다. 전기전자학회(IEEE)의 회원이자 플리머스대학의 교수인 스티븐 퍼넬(Steven Furnell)은 “정의상으로만 보면 혼동될 것이 없지만, 실제 현장에서는 둘 사이에 겹치는 부분이 많아 헷갈릴 여지가 충분하다”고 설명한다.

“파일레스 멀웨어라는 건 ‘운용 방식’에 관한 개념입니다. 드라이브 바이 다운로드는 ‘감염 경로’를 강조할 때가 많은 개념이고요. 예를 들면, 드라이브 바이 다운로드라는 감염 방식을 통해 파일레스 멀웨어를 심을 수 있게 되는 겁니다. 둘 다 ‘스텔스’와 ‘피해자 개입 최소화’라는 측면에서 큰 장점을 가지고 있기 때문에 헷갈릴 수 있지만 구분이 어려운 개념은 아닙니다.”

둘의 활동 내역
시장 조사 기관인 포네몬 인스티튜트(Ponemon Institute)는 2017년 엔드포인트 보안 위험을 조사하며 “54%의 기업들이 적어도 한 번 이상의 사이버 공격에 당했는데, 이 중 77%가 파일레스 멀웨어로 인한 것이었다”고 발표했었다. 그러면서 파일레스 멀웨어 공격이 파일을 디스크에 설치하는 공격보다 성공률이 10배 이상 높다고 강조했었다.

2018년 7월 러시아의 은행이 사이버 공격에 털리는 사건이 발생하기도 했었다. 범인은 머니테이커(MoneyTaker)라는 범죄 단체였고, 이들은 당시 자체 제작한 파일레스 멀웨어를 사용해 은행에서 돈을 탈취했다. 뿐만 아니라 그 후 다른 여러 가지 공격에도 파일레스 멀웨어를 활용하며 피해를 일으켰다. 머니테이커는 이러한 공격드로 총 1400만 달러라는 수익을 거둔 것으로 알려져 있으며, 사실상 파일레스 멀웨어 공격의 파괴력과 ‘수익성’을 범죄자들에게 다시 한 번 상기시킨 계기가 되었다.

보안 업체 센티넬원(SentinelOne)이 지난 해 상반기를 종합하며 발간한 보고서에 따르면 “파일레스 멀웨어 공격이 2018년 상반기 동안 94% 증가했다”고 한다. 파일레스 공격의 일종인 파워셸(PowerShell)을 통한 공격만 봐도 1000개 엔드포인트 당 2.5건에서 한 달 만에(5월에서 6월) 5.2로 증가했다는 내용도 있었다. 참고로 모든 파일레스 멀웨어 공격은 2018년 상반기 동안 1000개 엔드포인트 당 42개를 기록했다.

그러면 드라이브 바이 다운로드 공격은 어떨까? 결과부터 말하자면 파일레스 멀웨어 공격만큼 우울하다. 2017년 보안 업체 사일런스(Cylance)는 위협 현황 보고서를 발표하면서 “2017년 한 해 동안 익스플로잇 된 취약점들의 절반 이상이 최소 9개월 전에 공개되고 알려진 것”이라는 점을 강조함과 동시에 “가장 흔한 감염 방식은 드라이브 바이 다운로드”라고 짚었다. 바로 다음 해인 2018년에는 드라이브 바이 다운로드를 ‘서비스 형태’로 제공하는 키트가 해커들 사이에 등장하기도 했다. 이 키트의 이름은 블랙TDS(BlackTDS)였다.

즉, 파일레스 멀웨어나 드라이브 바이 다운로드나, 꽤나 오래 전부터 언급되어 온 공격 기법이라는 건데, 유행이 지나 긴커녕 오히려 더 활발하게 연구되고 활용되고 있다는 것이다. 이 장기적인 인기의 비결은 무엇일까?

예견되는 하락세와 성장세
둘 다 인기가 오른다고는 하지만 사실 둘 사이에는 조금의 차이가 있긴 하다. 드라이브 바이 다운로드 공격의 인기도 상승세가 조금씩 느려지고 있기 때문이다. 어느 정도 안정기를 찾아가고 있는 모습이기도 하다. 인터넷 브라우저 보안이 향상되면서, 드라이브 바이 다운로드 공격의 효율성이 떨어지는 것에 그 이유가 있다. 브라우저 개발자들 사이에서의 보안 인식이 서서히 높아지기 시작하면서 XSS나 아이프레임, 자바스크립트 등을 통한 사이트 조작 공격의 효율성이 낮아지면서 드라이브 바이 다운로드도 예전과 같은 성장세를 보이고 있지는 않다.

즉 드라이브 바이 다운로드 공격은 웹사이트의 조작이 얼마나 쉬운가, 브라우저를 익스플로잇 함으로써 충분히 실행할 수 있느냐에 따라 그 효율성이 결정된다는 것이다. 사이버 공격의 효율성이 낮아진다는 건 수익 대비 투자가 증가한다는 것으로, 사이버 범죄자들은 늘 효율이 높은 공격 방법을 찾아 나서는 습성을 가지고 있다. 실제로 사이버 범죄자들은 이런 현상을 깨닫고 ‘스텔스’라는 측면에서 비슷하고 효과가 높은 다른 공격법으로 눈을 돌리기 시작했고, 그것이 바로 파일레스 멀웨어 공격이다. 파일레스 멀웨어가 드라이브 바이 다운로드 공격의 대체자로서 성장하기 시작했다는 것이 두 공격을 헷갈리게 만드는 요인 중 하나다.

보안 업체 아이디펜스(iDefense)의 보안 수석인 마이클 입(Michael Yip)은 “파일레스 공격을 전체 캠페인 초기 부분에 사용하는 사례가 늘어나고 있다”고 설명한다. “요즘 사이버 공격자들은 표적 공격을 선호합니다. 표적을 신중히 골라서 맞춤형 공격을 하는 게 더 효과적이기 때문이죠. 그러려면 표적을 들키지 않고 오랜 시간 공부할 수 있으면 좋겠죠? 그렇기 때문에 파일레스 멀웨어를 먼저 사용한 뒤에 보다 고급 기능을 가진 멀웨어를 투입시킵니다.”

이 설명을 들으면 파일레스 멀웨어라는 게 잠깐 유행하고 말 위협이 아니라는 것을 알 수 있다. “파일레스 멀웨어의 가장 중요한 점은 ‘흔적이 남지 않는 위협’이라는 것입니다. 그렇다는 건 막기가 어렵다는 뜻이죠. 파일레스 멀웨어 공격으로 가장 많이 악용되고 있는 건 파워셸인데, 파워셸이라는 건 많은 시스템에 장착되어 있는 스크립트 및 명령어 관련 프로그램이죠. 그러니 파일레스 공격을 막으려면 파워셸을 모든 장비에서 제거하면 됩니다만, IT 시스템들을 관리하고 운영하는 면에서 적잖은 영향이 있을 겁니다. 공격자들은 파워셸 말고 다른 방법으로 파일레스 멀웨어 공격을 지속시킬 것이고요.”

브라우저가 완벽히 단단해지지 않는 이상 드라이브 바이 다운로드 공격법이 아예 사라지지 않을 것이고, 파일레스 멀웨어는 갈수록 극성일 것이 예상되는데, 일반 기업과 조직들은 어떻게 이에 대처해야 할까?

위험의 완화
먼저 쉬운 것부터 보자. 바로 드라이브 바이 다운로드 공격법이다. 위에서 설명했다시피 드라이브 바이 다운로드가 성립하려면 브라우저나 소프트웨어가 취약해야만 한다. 그러니 드라이브 바이 다운로드를 막는다는 건 최소한 이론상으로는 간단하다. 보안 업체 아이오액티브(IOActive)의 CTO인 케사르 세루도(Cesar Cerrudo)는 “플러그인, 브라우저, 애플리케이션을 단단하게 만드는 것부터 시작한다”고 설명한다.

그렇다고 개발자들에게 모든 책임이 있다는 건 아니다. “사용자 입장에서 앱들을 단단하게 만든다는 건, 여러 겹의 보안 장치들을 마련한다는 듯이 됩니다. 모든 소프트웨어를 업데이트하고, 주기적으로 위협을 모니터링 하며, 위협을 미리 사냥하는 등의 방법을 고루 동원해야 한다는 것입니다.”

드라이브 바이 다운로드를 막기 위해서는 “패치 관리 전략을 미리 짜는 게 가장 중요하다”고 세루도는 강조한다. “패치를 제대로 한다는 건 꼭 드라이브 바이 다운로드가 아니더라도 꼭 필요한 것이죠.” 그 다음은 계정의 권한을 조정하는 걸 짚는다. “계정 권한을 적당하게 조정함에 따라 침투한 공격자들의 움직임을 크게 제한할 수 있습니다. 특히 횡적 움직임을 불편하게 만들 수 있죠. 행동 패턴 모니터링과 분석을 실시할 수 있는 솔루션을 도입하는 것도 임의의 코드가 실행되거나 다른 프로세스에 주입되는 것과 같은 멀웨어의 수상한 행동들을 적발하는 데 큰 도움이 됩니다.”

파일레스 멀웨어는 어떨까? 드라이브 바이 다운로드 공격을 막는 것처럼 단순명료하지 않다. “파일레스 공격은 주로 파워셸, 윈도우 관리 도구(WMI), 워드 매크로 등과 같이 정상적인 기능을 통해 실시됩니다. 공격 통로를 막는답시고, 이런 기능들을 제한다고 생각해보세요. 워크플로우에 큰 차질이 빚어지겠죠. 공격이 너무 교묘하게 우리의 일상적인 행동 패턴과 맞물려 있기 때문에 도려내는 식의 접근법은 잘 통하지 않습니다.”

그래서 퍼넬 교수는 사용자의 행동 패턴을 분석하고, 그에 기반을 둔 탐지 기법이 좋은 시작점이 될 수 있다고 말한다. “파일레스 멀웨어의 경우 파일이 없기 때문에 멀웨어 자체를 탐지하는 건 힘듭니다. 하지만 파일이 있든 없든 멀웨어라면 뭔가 특수한 행동을 하기 마련이죠. 그냥 메모리에 저장되어 있기만 해서는 멀웨어라고 할 수 없으니까요. 바로 그 점을 공략해야 합니다. 파일레스 멀웨어가 발휘하려는 기능을 포착해야 한다는 겁니다.”

퍼넬 교수는 “형태가 없는 ‘악성 기능’을 탐지한다는 건 다시 말해 ‘실시간 방어 솔루션’에 대한 의존도가 높다는 걸 뜻한다”고 설명을 이어간다. “안타깝지만 이 ‘실시간’이란 개념에서 우리는 현실의 벽에 부딪힙니다. 행동 탐지는, 행동이 벌어진다는 걸 빠르게 파악한다는 걸 의미하는데요, 파일레스 멀웨어는 1초도 되지 않는 시간에 자기가 할 일을 하고 흔적도 없이 사라지기 때문입니다. 그러니 아무리 빨리 움직여도 늦는 사태가 자꾸만 발생하는 겁니다.”

“그렇기 때문에 우리는 메모리 스캔이라는 가능성을 모색하기 시작했습니다. 파일레스 멀웨어가 있는 곳을 찾아보자고 한 것이죠.” 마이클 입의 설명이다. “그런데 이것도 쉽지는 않습니다. 대부분의 파일레스 멀웨어들이 스캔에 딱 걸릴 정도로 순진한 모양을 하고 있지 않기 때문입니다. 문자열 암호화 등 여러 가지 난독화 기술이 고도로 개발되어 있습니다.” 그래서 전문가들은 기존 멀웨어 탐지와 분석에 대한 개념 자체가 바뀌어야만 파일레스 공격에 대한 대처가 마련될 수 있을 것이라고 입을 모은다.

“사실 아직 이렇다 할 방법이 나온 건 아닙니다. 그저 늘 해왔던 대로 장비와 시스템, OS, 앱, 플러그인을 업데이트 하고, 지속적인 모니터링을 통해 이상 현상을 최대한 빨리 탐지해내고, 위험한 요소가 발견되면 격리시키는 걸 할 뿐입니다. 다만 이러한 과정을 인간 담당자의 개입 전에 자동화로 처리하여 빠르게 해결하는 기술을 가다듬고 있는 중입니다. 어쩌면 인공지능 봇이 대신 싸워줘야 하는 때가 와야 파일레스 멀웨어 공격이 진정으로 해결될 수 있을지도 모르겠습니다.” 퍼넬 교수의 설명이다.

3줄 요약
1. 드라이브 바이 다운로드 공격, 소프트웨어와 브라우저 취약점 해결됨에 따라 점점 안정기 접어듦.
2. 그러면서 대체자가 된 것이 파일레스 멀웨어 공격임. 흔적을 남기지 않아 간단한 최초 침투에 많이 활용됨.
3. 드라이브 바이 다운로드는 방어법이 정립되어 있으나 파일레스 멀웨어 공격은 그렇지 않음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
6월 25~26일 열리는 국내 최대 규모 개인정보보호 축제 ‘2019 개인정보보호 페어’에서 가장 중점적으로 논의되어야 할 이슈는 무엇이라고 보시나요?
개인정보 손해배상책임보험(사이버 보험) 의무화
개인정보처리시스템 접속기록 보관기간 확대 등 개인정보의 안전성 확보조치 기준 개정
개인영상정보의 보호 또는 활용 위한 법제도 마련
클라우드 환경 확대에 따른 개인정보보호 이슈
이미지속 개인정보 유출 위험과 대응방안
개인정보보호 관련 한-EU 적정성 평가 논의
기타(댓글로)
      

유니뷰코리아
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
IR PTZ 카메라

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

보쉬시큐리티시스템즈
CCTV / 영상보안

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

AVIBILON
영상 보안 / 출입 통제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

테크어헤드
얼굴인식 소프트웨어

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

트루엔
IP 카메라

비전정보통신
IP카메라 / VMS / 폴

디비시스
CCTV토탈솔루션

엔토스정보통신
DVR / NVR / CCTV

에스카
CCTV / 영상개선

씨오피코리아
CCTV 영상 전송장비

구네보코리아
보안게이트

두현
DVR / CCTV / IP

옵티언스
IR 투광기

KPN
안티버그 카메라

지와이네트웍스
CCTV 영상분석

티에스아이솔루션
출입 통제 솔루션

디케이솔루션
메트릭스 / 망전송시스템

옵텍스코리아
실내 실외 센서

CCTV프랜즈
CCTV

엘세븐시큐리티
정보보안

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

씨아이즈
IP 카메라 / 비디오 컨트롤

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

엘림광통신
광전송링크

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

금성보안
CCTV / 출입통제 / NVR

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

퍼시픽솔루션
IP 카메라 / DVR

지에스티엔지니어링
게이트 / 스피드게이트

진명아이앤씨
CCTV / 카메라

유시스
CCTV 장애관리 POE

수퍼락
출입통제 시스템

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향