악성코드들이 날뛰는 세상이다.컴퓨터 파일을 마음껏 열지 못하는 것은 물론 기업과 개개인의 정보도 안전하지 못하다.악성코드는 소리 없이 진화하며 호시탐탐 우리의 시스템과 정보를 노리고 있다.잠시라도 방심하면 당하는 것은 물론 범인 조차 잡아내기 어려운 세상이다.
그렇다고 무기력하게 당할 것인가. 악성코드 대응기술 역시 진화하고 있다.사이버 공간은 이미 악성코드와의 전쟁을 시작했다. 문제는 누가 어떻게 승기를 잡느냐에 있다.
날로 영악해져 가는 악성코드 피해 사례를 진단하고 이에 맞서 어떻게 승기를 잡을 수 있는지 종합 진단해 본다.[편집자 주]
[김수연기자] '악성코드 vs 보안'
날로 영악해지는 악성코드 때문에 기업들의 고민이 커지고 있다. 조직 내부 정보를 눈뜨고 도둑 맞거나 시스템이 마비되는 등 악성코드로 인해 유형, 무형의 피해가 끊임 없이 발생하고 있다.
지난 2011년에는 '철벽 보안'을 자랑하던 대 규모 기업 집단들마저 악성코드를 당해내지 못하는 사고들이 잇따랐다. 전보다 더 강력한 방패로 내부 시스템을 엄호했지만 악성코드는 더 예리해진 창끝으로 공격해 왔다.
쫓고 쫓기는 추격전 끝에 이제 악성코드와의 전쟁은 시작됐고 문제는 누가 승기를 잡느냐에 있다. 호시탐탐 기업의 전산망과 시스템을 노리는 악성코드와의 전쟁에서 이기려면 과연 어떻게 해야하는 것일까.
◆ 늘어나는 악성코드 피해, APT로 위력도 강해져
지금까지의 전쟁에서 악성코드는 단연 승기를 잡아 왔다. 이는 악성코드 감염 피해신고 건수가 증명하고 있다.
한국인터넷진흥원(원장 이기주, 이하 KISA)이 국내 주요 백신업체로 접수된 악성코드 피해신고 건수를 집계한 바에 따르면 지난 2009년에는 피해신고 건수가 1만여 건에 달했으나 2011년 2만 건을 넘어섰다. 2012년 들어서는 3분기까지 집계된 신고 건 수만도 1만5천459 건에 달하고 있다.
지난 해에는 특히 지능적 지속위협(Advanced Persistent Threat, APT) 공격으로 SK커뮤니케이션즈 회원 3천500만 명, 넥슨 회원 1천300만 명의 개인정보가 유출됐다.APT 공격은 표적으로 삼은 조직 네트워크에 침투, 오랜 잠복기간에 걸쳐 기밀 정보를 빼내는 양상으로 이뤄지고 있으며, 이를 통해 악성코드는 점점 더 힘을 키워가고 있다.
공격 방법 뿐 아니라 악성코드는 지능적으로도 진화하고 있다.
특정 IP대역을 이용해 타깃을 정확히 공격하도록 설계되는가 하면 공격 기능 역시 여러 개의 암호화된 파일로 모듈을 분산시키는 형태를 띠고 있다.모든 공격 모듈들을 종합적으로 검토한 후에야 코드가 악성인지 아닌지를 분간할 수 있어 악성코드라고 판단했을 때는 이미 시스템이 장악된 후가 되기도 한다.
악성코드의 내부 구조와 내용물을 변화시켜 변종을 만들어 내는 다형성(polymorphic) 기법도 활용되고 있다. 또한 운영체제(OS)나 응용프로그램의 취약점에 대한 패치가 제공되기 전에 공격을 감행하는 제로데이 공격은 패턴 매칭 방식의 탐지 기법까지도 무력화시킨다.
이밖에 특정 OS에 국한되지 않고 다양한 클라이언트 환경에서도 실행 가능하도록 설계되는 등 악성코드의 지능화는 계속되고 있다.
◆ 악성코드 - 과시용 수단에서 사이버전 무기로 진화
악성코드는 과거 해커의 실력 과시 수단에서 금전적 이익을 취하거나 기업 기밀정보를 갈취하는 범죄 무기로 진화해 왔다.
업계 전문가들은 악성코드 제작 동기가 해커의 실력과시에서 금전적 이익 취득으로 바뀐 시점을 지난 2005년으로 보고 있다.악성코드 제작자가 스팸 업체나 광고 업체에서 돈을 받아 악성코드를 이용한 스팸 메일을 발송하고 애드웨어를 설치하기 시작한 게 바로 이 시기라는 것이다.온라인 게임 계정과 비밀번호를 훔쳐 게임 아이템을 팔아 돈을 버는 이들도 이 때 등장했다.
2006년에는 각 국가별 인터넷 뱅킹 방식에 따라 국지성을 띤 악성코드가 대량으로 살포됐다.이후 금전적 이득과 조직의 기밀정보를 훔치는 데에 목적을 둔 공격의 수단으로 악성코드들이 사용되기 시작했다.
2007년에는 기업과 정부 등이 보유한 특정 정보를 노린 표적공격이 유행했고, 제로데이 취약점을 악용한 악성코드들이 표적 공격의 앞에 섰다.이 시기에는 취약점을 구매할 수 있는 블랙마켓도 형성됐다.
2010년에는 사이버전의 수단으로 활용되는 악성코드가 등장해 전세계의 이목을 끌었다. 같은 해 6월에 발견된 스턱스넷이 대표적이다. 스턱스넷은 이란 원전 건설을 방해하기 위한 목적으로 제작된 악성코드다.
이후 중동지역 국가 기간시설에 침투해 사이버 첩보 활동을 하는 플레임을 활용한 APT 공격이 발생하게 됐고 악성코드는 국가가 주도하는 사이버전의 중요 무기로 주목받기 시작했다.
이처럼 악성코드는 개인에서 기업, 국가 등 거대 조직으로 공격 대상을 넓혀 왔고 단순 과시용에서 금전이나 내부 기밀 정보 등 실질적 이득을 취하기 위한 수단으로 변모해 왔다.
바뀐 목적에 맞게 공격 양상도 일회성이 아닌 변종, 신종 등 알려지지 않은 악성코드들로 무장한 지속 공격으로 바뀌었다는 점도 주목할 만한 흐름이다.
◆ 악성코드 대응기술도 진화
악성코드가 변모하는 동안 악성코드 대응 기술도 진화해 왔다. 기술 진화의 초점은 알려지지 않은 악성코드에 대한 탐지, 차단에 있다.
1980년대에는 특정 바이러스에만 존재하는 문자열을 비교하는 문자열 진단 기술이 활용됐다. 이는 프로그램 시작부분에서 문자열만 단순 비교해 악성코드 여부를 판명하는 기술이다.
이 기술은 트로이목마, 웜 등 고급언어를 사용한 악성프로그램이 증가하면서 한계에 부딪혔다.
고급언어로 작성한 프로그램은 프로그램 시작부분을 비롯해 코드의 상당부분이 컴파일러(프로그램 개발 도구)가 만들어내는 코드로 구성돼 있는데 이러한 코드를 단순히 문자열만으로 진단할 경우 오진이 발생하기 때문이다.
1990년대에 개발된 대표적인 악성코드 대응 기술로는 실시간 감시 기술과 행위 차단 기술, 휴리스틱 등이 있다.
실시간 감시 기술은 파일을 복사하거나 실행할 때 해당 파일이 악성코드를 포함하고 있는지를 검사하는 방식으로 악성코드를 차단하는 기술이다. 백신 회사에 알려져 이미 진단 데이터가 존재하는 악성코드에 대해서만 탐지가 가능하다는 것이 이 기술의 한계다.
행위 차단 기술은 알려지지 않은 악성코드로부터 시스템을 보호하기 위해 개발된 기술이다. 악의적인 행동을 하는 프로그램이나 시스템을 우선 차단하고, 이후 사용자에게 해당 프로그램 삭제에 대한 동의를 구하는 방식이다.
이 기술은 파일 삭제, 디스크 포맷 등 사용자의 정상적인 행위도 의심 행위로 간주해 차단한다는 점 때문에 잘 활용되지 않다가 신종, 변종 악성코드가 급격히 증가한 2000년 대 중반부터 다시 주목받기 시작했다.
휴리스틱 기술은 변종 악성코드를 탐지해 내기 위해 개발된 기술이다. 원본 파일의 몇백 바이트만 변경돼도 전혀 다른 파일로 인지해버리는 기존 기술의 한계를 극복하기 위해 개발됐다.특정 코드의 행위 방식이 이미 알려진 악성코드의 행위 방식과 얼마나 유사한지를 분석해 알려지지 않은 악성코드를 탐지해 낸다.
2000년대에 접어들면서 파일이 아닌 네트워크 패킷에서 악성 유무를 검사하는 네트워크 검사 기술이 개발됐고, 백신 프로그램에 방화벽 기능이 탑재되기 시작했다.
또한 알려진 프로그램 이외에는 모두 악성코드나 의심 프로그램으로 판단하는 화이트리스트 기술이 활용되기 시작했고, 알려지지 않은 파일을 내려받으려는 사용자에게 파일에 대한 평판 점수를 제공하는 평판기반 탐지 기법도 등장했다.
평판기반 탐지 기법은 얼마나 많은 사람들이 해당 파일을 다운로드했는지, 파일이 발견된 지 얼마나 됐는지, 다운로드 소스가 어디인지, 기존 악성코드와 연관성이 있는지 등의 정보를 취합해 파일에 평판을 부여하는 방식이다.
최근에는 악성코드를 가상화된 공간에서 실행하고 위험 유무를 확인하는 가상화 탐지 기술과 악성코드 유무를 기존 클라이언트가 아닌 외부 서버에서 판단해 주는 클라우드 기반 탐지 기술이 활용되고 있다.
◆ 악성코드와의 전쟁, 어떻게 승리할 것인가
진화된 기술과 이를 적용한 보안 제품의 등장에도 불구하고 피해 사례가 이어지는 것은 악성코드 역시 해당 기술을 우회하는 방향으로 진화하고 있기 때문이다.보안 전문가들은 이러한 공격자와 방어자의 대결 구도는 사이버 공간이 존재하는 한 앞으로도 계속될 것이라 보고 있다.
악성코드가 승승장구할 수 있는 동력은 기하급수적으로 증가하는 신종 악성코드에 있다.\
1988년 국내에 유입된 첫 바이러스인 '브레인 바이러스' 출현 이후 계속해서 새로운 악성코드가 등장해 국내 사이버 공간을 어지럽혀 왔으며, 이러한 신종, 변종 악성코드는 빠른 속도로 끊임없이 생겨나고 있다. APT 공격의 1차적 무기로 사용되는 것 역시 바로 이러한 알려지지 않은 악성코드들이다.
실제 안랩(대표 김홍선)이 집계한 바에 따르면 올해 9월까지 발견된 신종 악성코드 수는 571만7천569개에 이른다. 하루 평균 2만943개의 신규 악성코드가 수집되고 있는 셈이다.
방어하는 입장에서 공격자의 특성을 파악하고 있어야 내부 자산 중 무엇을 우선적으로 보호할 것인지, 어떻게 보호할 것인지 제대로된 대책을 수립할 수 있다는 설명이다.
안랩 시큐리티대응센터 이호웅 센터장은 "악성코드에 대응하기 위해 지금 이 순간에도 악성코드 대응 기술이 개발되고 있다"며 "피해를 최소화하기 위해서는 내부 자산 중에 어떤 것을 어떻게 보호할 것인지를 명확하게 정하고 이에 맞는 솔루션을 구축해야 한다"고 강조했다.
하우리 기술연구소 최상명 선행연구팀장도 "사이버 공간이 제5의 전장으로 규정될 만큼 전문화된 악성코드가 등장하고 있지만 고도화된 대응 기술을 적용하고 기업 내부 구성원이 철저한 보안의식으로 무장하면 악성코드를 충분히 막을 수 있다"고 말했다.
김수연기자 newsyouth@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기