[엔드포인트 보안] 최근 악성코드 얼마나 발전했을까?

[특집]악성코드의 진화속도와 대등한 대응기술 마련해야

악성코드는 DDoS 공격, 대규모 스팸 발송 등 대부분의 사이버 공격에 사용되고 있다. 최근 인터넷을 통해 악성코드 전문 제작 툴(Malware Construction Kit)이 보급됨에 따라 누구나 지능화된 탐지 회피 기술이 적용된 악성코드를 제작할 수 있게 되었고 그로 인해 신종 악성코드의 수가 급격히 증가하고 있다. 특히 최근의 악성코드가 진화속도는 매우 빠른 반면, 그에 대응하는 기술의 발전은 그 속도에 뒤처지고 있는 것이 사실이다. 앞으로의 악성코드가 어떻게 진화할지 예의주시하여 진화속도와 나란히 하는 대응기술을 마련함으로써 악성코드로 인한 피해를 줄여야 할 것이다.

악성코드는 DDoS 공격, 대규모 스팸 발송 등 대부분의 사이버 공격에 사용되고 있다. 최근 인터넷을 통해 악성코드 전문 제작 툴(Malware Construction Kit)이 보급됨에 따라 누구나 지능화된 탐지 회피 기술이 적용된 악성코드를 제작할 수 있게 되었고 그로 인해 신종 악성코드의 수가 급격히 증가하고 있다. 본고에서는 신종/변종 악성코드의 증가, 악성코드들의 역할분담 등 최근의 두드러진 특징을 살펴보고 악성코드들이 주로 사용하는 지능형 분석/회피 기술에 대해서 설명한다. 분석/회피 기술로써 루트킷, Anti-VM/디버거, 실행 압축 등 다양한 기술들이 사용되어 왔으나 최근 이슈가 되고 있는 정상 프로세스에 바이너리 코드 삽입, 가짜 gif 헤더를 이용한 원격 명령/제어 등에 대해 중점적으로 다룬다.

신종/변종 악성코드의 급격한 증가 : 악성코드 제작 툴의 보급

최근 유명 해킹 포럼, 비공개 뉴스그룹 등을 통해 악성코드 전문 제작 툴이 널리 유포되고 있다. 이들 툴을 이용할 경우, 전문적인 지식이 없는 초급 해커들도 실행압축, Anti-VM등 최신 분석 방해 기술이 적용된 악성코드를 쉽게 제작할 수 있어 그 심각성이 점차 증대하고 있다.

그림 1은 2008년부터 인터넷을 통해 쉽게 다운로드 받을 수 있는 대표적인 악성코드 제작 툴이며 해당 툴은 단순한 버튼 클릭을 통해서 실행압축, 커널 루트킷 등 최신 분석 회피/지연 기능을 쉽게 추가할 수 있다. 그림 2는 2009년 7월 미국에서 3백만대 이상의 PC를 감염시킨 Zeus 악성코드 관리 툴로서 악성코드 생성, 감염 호스트 정보 확인, 원격 명령 제어가 가능하다.

이러한 악성코드 제작 툴의 보급은 최근 신종/변종 악성코드 수의 급격한 증가의 원인으로 분석되고 있으며 2007년 1월부터 악성코드의 수가 급격히 증가하여 2008년 12월 한달 평균 75만개의 샘플(이 중 약 50만개가 중복 또는 변종으로 분류)이 수집되는 추이를 확인할 수 있다.

악성코드들의 역할 분담 : 다운로더, 루트킷, 스팸발송 등으로 구성된 악성코드 패밀리의 등장

과거 대부분의 악성코드는 하나의 실행 파일에 확산, 실행 정보 은닉, 코드 난독화 등의 기술들을 모두 포함하기 때문에 파일 사이즈가 컸었다. 이러한 악성코드는 바이너리 코드내에 다수의 악성기능 패턴을 보유하고 있어 안티 바이러스 제품이 비정상 파일로 쉽게 분류가 가능했다. 그러나 최근 악성코드는 바이너리 업데이트, 스팸 발송, DDoS 등 각각의 기능을 전담하는 모듈들로 나뉘고 각 모듈들이 유기적으로 협력하는 하나의 악성코드 패밀리 형태를 보이고 있다.

또한 90% 이상의 악성코드가 바이너리 내의 악성기능 패턴 정보를 숨기기 위한 실행압축(packing)기술이 적용되어 있다. 2009년 FaceBook, Twitter 등 유명 커뮤니티사이트를 통해 전파된 Koobface의 경우, 그림 3에서 보는 것과 같이 다운로더, 감염 확산 등의 역할을 담당하는 파일들로 나누어져 있는 것을 확인할 수 있다. 또한 그림 4의 Cutwail 역시 5개 이상의 악성 파일들이 역할을 분담하는 것을 확인할 수 있다.

고도화된 분석 회피 기술의 사용 : 실행 정보를 남기지 않기, 가짜 gif 헤더를 이용한 원격 명령/제어

악성코드는 안티바이러스 제품 등에 의한 탐지를 방해하기 위한 목적으로 루트킷(실행 정보를 은닉) 기능을 지속적으로 사용해 왔다. 루트킷의 대표적인 예로 악성코드 프로세스 정보를 조회하기 위한 Win 32 API 호출을 가로 챈 다음(Hooking), 호출 결과 값에서 악성 프로세스 정보를 삭제하는 기법과 커널레벨에서 직접 EPROCESS 구조체 값을 변경하여 프로세스 정보를 은닉하는 기법이 있다.

그러나 이와 같은 기법은 커널에서의 실행 프로세스 정보 저장 테이블(SSDT) 가상화, 커널 구조체 재생성 등의 기법을 이용하여 탐지가 가능하다. 그래서 최근에는 svchost.exe, winlogon.exe등의 윈도우 OS의 정상 프로세스에 악성 바이너리 코드를 삽입하여 동작하는 악성코드가 증가하고 있다. 대표적인 예로, 2009년 5월 전체 스팸 메일의 45.8%를 발송하고 있는 Cutwail은 윈도우 OS의 svchost.exe 프로세스에 실행 가능한 바이너리 코드(Executable Code)를 삽입하고 이를 통해 명령/제어 메시지 수신, 스팸 발송 등의 기능을 수행하였다.

또한 기존의 악성코드는 감염 호스트를 원격에서 제어하고 명령을 전달하기 위해 텍스트 기반의 명령어(Command) 전달 방식을 사용하였으나 최근 보안솔루션들이 응용 레벨의 프로토콜 파싱, 패턴 매칭 등의 기능을 제공함에 따라 명령 메시지들이 쉽게 차단 될 수 있다. 2009년 3월 Secureworks에 의해 보고된 Cimbot은 이러한 단점을 극복하기 위해 gif파일로 위장한 명령 메시지 사용한다.

그림 5와 같이 HTTP 응답 메시지의 Content-Type을 Image/gif로 설정하였기 때문에 대부분의 보안 장비에서 정상적인 메시지로 처리하게 되지만 실제로 HTTP Body의 16 바이트부터 복호화하기 위한 키와 암호화된 명령/제어 메시지, 스팸 발송을 위한 템플릿이 내장되어 있는 것을 확인할 수 있다.

그럼 어떻게 분석하고 대응해야 하는가?

최근의 추세에 따른 대응 방법으로는 크게 두 가지 요소가 선결되어야 할 것으로 판단된다. 첫째로 급속히 증가하는 악성코드를 적시에 분석하기 위한 자동화, 두 번째로 악성코드 패밀리의 정확한 파악 및 각 역할 분석을 위한 행위분석 기술이 적용되어야 할 것이다.

-자동화된 악성코드 분석 시스템

급격히 증가하고 있는 신종/변종 악성코드에 대응하기 위해 다양한 경로로 전파되는 악성코드의 수집, 분석, 시그니처 생성, 분류 등 일련의 과정을 자동화하여 대량의 악성코드를 적시에 분석/대응할 수 있는 시스템이 필요하다. 일부 전문가의 수동 분석이 필요한 부분에 있어서는 자동화 시스템과 연계하여 운용할 수 있을 것이다.

-지능형 악성코드 행위 분석 시스템

패밀리 형태로 역할이 분담되거나 정상 프로세스에 바이너리 코드를 삽입하는 등 지능형 악성코드 분석은 초기 수집된 악성코드의 정적분석으로는 전체적인 파악이 어려울 수 있다. 따라서 악성코드가 어떠한 행위를 하는지 분석하는 행위 분석 기술이 적용되어야 한다. 예를 들어 악성코드를 실행하여 다운받는 실행파일을 추출하고 분석을 요청하고 메모리 쓰기 행위를 추적해서 정상 프로세스 영역에 메모리 쓰기 이벤트가 발생할 경우 정상 프로세스를 분석 대상으로 추가해서 행위를 분석할 수 있다.

최근의 악성코드가 진화속도는 매우 빠른 반면, 그에 대응하는 기술의 발전은 그 속도에 뒤처지고 있는 것이 사실이다. 앞으로의 악성코드가 어떻게 진화할지 예의주시하여 진화속도와 나란히 하는 대응기술을 마련함으로써 악성코드로 인한 피해를 줄여야 할 것이다.

<글 : 임채태 한국인터넷진흥원 보호기술부 선임연구원(chtim@kisa.or.kr)>

[월간 정보보호21c 통권 제111호(info@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)