실시간 뉴스



"악성코드 잡아라"…더 높이 뜨는 보안기술들


[악성코드,당할 것인가 이길 것인가]사후대응에서 사전대응으로

[김수연기자] '뛰는 보안기술 위에 나는 악성코드 있다'

지능적인 신종, 변종 악성코드가 판치는 사이버 공간을 현 모습을 한 마디로 요약하면 이렇다.그동안 보안업체들은 악성코드를 잡기 위해 '놈'의 비행술을 분석해 왔고, 이를 넘어서기 위한 기술들을 개발해 왔다.

보안업체들이 분석한 바에 따르면, 악성코드는 표적화, 모듈화, 암호화, 다형성, 제로데이 취약점 악용, 크로스플랫폼 공격이라는 특징을 갖고 있으며 이를 통해 보안기술을 우회하고 있다.

이러한 악성코드에 맞서려면 사후 대응력은 물론, 사전 대응력을 강화해 나가야 한다는 게 보안업체들의 공통적인 목소리다.

현재 보안업체들은 악성코드에 대한 사후 대응력을 강화하기 위해 클라우드 기반 파일 탐지, 평판분석과 휴리스틱 기술, 행위기반 탐지 기술, 가상화 기술 등을 고도화시켜 보안 제품에 적용하고 있다.

◆ 보안기술 위를 날아다니는 악성코드들

사이버 공간에서는 지능화된 악성코드로 교묘하고도 끈질기게 공격을 감행하는 해커들을 상대할 수 있을 만큼의 강력한 보안이 요구되고 있다.

주목해야 할 점은 악성코드가 표적 PC를 찾아내는 데에 최적화돼 설계되고 있다는 점이다. '한 놈만 걸려도 좋다'가 아닌 '이 놈은 반드시 걸려야 한다'는 식의 타깃이 분명한 공격을 감행하도록 만들어진다는 것이다.

이에 대해 안랩(대표 김홍선) 이호웅 시큐리티대응센터장은 "무분별하게 다량으로 뿌려지는 게 아니라 특정 IP대역을 타깃으로 배포되고 있다는 점이 최근 발견되고 있는 악성코드들의 특징"이라며 "악성코드는 해커가 타깃 PC 등 표적을 정확히 찾아가고자 심어놓은 수단"이라고 설명했다.

또한 이러한 악성코드들은 공격 기능을 여러 파일로 분산시킨 모듈화된 모습으로 타깃 PC에 침투하고 있다. 이는 분석가들로 하여금 파일의 악성 여부를 파악하기 어렵도록 한 것이다.

윈스테크넷(대표 김대연) 손동식 침해사고대응센터장은 "악성코드 하나에 대다수의 공격 기능들이 포함돼 있었을 때에는 해당 악성코드 하나만 분석하면 문제를 해결할 수 있었지만 이제는 분산돼 있는 여러 개의 모듈을 합쳐 봐야 해당 코드의 악성 여부와 기능을 파악할 수 있다"고 말했다.

설상가상으로 해커들은 블랙마켓에서 거래되고 있는 '카이신(Kaixin)', '공다(Gonda)' 등의 익스플로잇 팩을 통해 각각의 모듈들을 암호화하고 있다.암호화된 하나하나의 모듈들은 C&C 서버로부터 공격 명령을 받아 새로운 악성코드들을 생성해 낸다.

또한 소스코드, 함수 등 악성코드의 내부 구조를 지속적으로 변화시켜 변종 악성코드를 만들어내는 다형성(polymorphic) 기법이 활용되면서 백신을 우회하는 새로운 악성코드가 빠른 속도로 생성되고 있다.

시만텍코리아(대표 정경원) 윤광택 보안담당 이사는 "매번 기존 위협과 조금씩 다르게 형태를 바꾼 악성코드들이 공격에 사용되고 있으며, 다형성 기법과 인터넷 환경이 만나 변종 위협이 광범위하게 확산되고 있다"고 밝혔다.

운영체제(OS)나 응용프로그램의 보안 취약점에 대한 패치가 제공되기 전에 공격을 감행하는 제로데이 공격을 통해 사용자 PC에 침투한 뒤, 공격자 명령에 따라 감염된 PC를 원격 제어하는 악성코드들도 끊임 없이 발견되고 있다.

이밖에 최근 악성코드들은 특정 운영체제에 국한되지 않고 어떠한 클라이언트 환경에서나 감염시킬 수 있는 '크로스 플랫폼형'으로 진화한 모습을 띠고 있다는 게 보안업체들의 분석이다.악성코드가 맥이든, 리눅스든, 윈도든 모든 클라이언트 환경에서 실행 가능한 형태로 진화됐다는 것이다.

해커들은 이러한 지능적인 악성코드들을 내부 구성원의 PC에 침투시켜 장기 잠복기간을 갖고 지속적으로 정보를 유출해 내는 지능적 지속 위협(APT) 공격을 실행하고 있다.

◆ 보안업체들 사전 대응력 강화 위한 보안기술 적용

'나는 놈' 위에서 날기 위해 보안업체들은 다양한 기술들을 개발, 고도화시켜 보안 제품에 적용하고 있다.

이러한 기술 가운데 대표적으로 언급되고 있는 것은 클라우드 컴퓨팅 기술을 활용한 파일진단과 평판분석이다. 휴리스틱 기술, 행위 기반 탐지 기술, 가상화 기술 등도 응용되고 있다.

사후 대응이 아닌 사전 대응을 지향한다는 게 이들 기술의 공통점이다. 전통적인 시그니처 탐지 기술로는 사후약방문 식의 대응 밖에 할 수 없으며, 이것만으로는 지능화되는 악성코드를 막을 수 없기 때문. 시그니처 탐지 기술은 이미 수집된 악성코드의 특징을 분석해 해당 악성코드를 탐지 하는 시그니처를 생성하는 것을 말한다.

백신이 사용자 PC에서 발견된 파일에 대한 악성 여부를 클라우드 서버에 물으면, 클라우드 서버에서 해당 파일의 데이터를 분석해 악성 여부를 확인해 준다.

악성코드에 대한 모든 데이터를 PC로 다운로드한 후, PC에서 처리하던 방식으로는 부하나 처리 속도 등의 문제로, 매 시간 수천 개씩 생성되는 신종 악성코드를 당해낼 수 없는 상황이라 해결책으로 클라우드 컴퓨팅 기술을 활용한 파일진단 기법이 적용되고 있는 것이다.

이러한 기술을 적용한 보안 시스템으로는 안랩의 '스마트 디펜스'가 대표적이다.

안랩은 대규모 파일 DB를 중앙서버에서 관리하는 '스마트 디펜스' 기술을 개발해 6억 개 이상의 정상, 악성 파일 DB를 수집했다. 또한 이 파일 DB에서 500억 개 이상의 악성코드 특징을 추출해 이를 패턴화시켜 악성코드 'DNA 맵'을 만들고 이 'DNA 맵'을 통해 신종, 변종 악성코드를 진단하고 있다.

클라우드 컴퓨팅 기술을 활용한 평판분석은 보안업체의 클라우드 서버를 통해 파일에 대한 평판 정보를 수집한다. 평판 DB란 얼마나 많은 사람들이 해당 파일을 다운로드 했는지, 파일이 발견된 지 얼마나 됐는지, 다운로드 소스가 어디인지, 기존 악성코드와 연관성이 있는지 등의 정보를 말한다.

PC에 어떠한 파일을 내려받으려 할 때, 해당 파일에 대한 평판 정보를 제공함으로써, 사용자가 악성파일을 다운로드할 확률을 낮춰주는 게 이 기술의 핵심이다.

시만텍의 '인사이트'는 클라우드 컴퓨팅 기반의 평판분석을 적용한 보안 시스템이다. '인사이트'에는 30억 개 이상의 실행 파일에 대한 보안 등급 DB가 저장돼 있다.

휴리스틱 기술은 이미 발견된 악성코드의 주요 속성에 바탕해 앞으로 발생할 악성코드를 예측하고 탐지해 내는 기술로 잉카인터넷(대표 주영흠)이 백신 제품에 적용한 '프로액티브 제너릭 디텍션' 기술이 이에 해당한다.

'프로액티브 제너릭 디텍션' 기술은 국내에서 발견된 온라인 게임 계정 탈취용 악성코드들에서 나타나는 공통적인 특성에 바탕해 시그니처 업데이트 작업 없이 악성코드들의 변종을 탐지해 낸다. 행위 기반 탐지 기술은 악성 행위를 실행하려는 파일을 찾아내고 차단한다.

이 기술로 시그니처 분석으로는 탐지하지 못했던 다형성 악성코드와 제로데이 공격을 차단할 수 있다는 게 업계의 설명이다.

현재 하우리(대표 김희천)가 국가기관을 대상으로 공급하고 있는 백신 제품에 이기술이 적용돼 있다. 하우리는 아직 시그니처가 생성되지 않은 악성코드를 탐지할 수 있다는 것을 이 기술의 강점으로 꼽고 있다.

가상화 기술은 보안 장비나 보안 소프트웨어 상에 가상의 실행 공간을 만들어 모든 의심 파일을 이 공간에서 실행하는 기술이다. 의심 파일을 사용자 PC에서 실제로 실행해 보기 전에 가상화 기반에서 먼저 실행함으로써 실제 사용자 환경을 보호한다.

라온시큐어, 안랩, 이글루시큐리티, 파이어아이, 포티넷, 안랩을 비롯한 다수의 보안 업체들이 이 기술을 보안 제품에 적용하고 있다.

김수연기자 newsyouth@inews24.com






alert

댓글 쓰기 제목 "악성코드 잡아라"…더 높이 뜨는 보안기술들

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스