Home > 전체기사
미꾸라지 같은 멀웨어 공격 막기 위한 3겹 방어
  |  입력 : 2017-04-03 12:44
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
직원들 교육과 네트워크 세그멘테이션, 자동 모니터링
멀웨어, 조금이라도 변하면 탐지해내기 매우 어려워져


[보안뉴스 문가용 기자] 당신의 네트워크는 무단 접근으로부터 얼마나 안전한가? 이 질문에 답하기 위해 당신은 아마도 현재 가지고 있는 방화벽이나 백신 소프트웨어의 성능을 머릿속으로 떠올려봤을 것이다. 그런데 여기에 적절한 ‘마이너스’까지 했는지? 최근 빠르게 변하고 있는 멀웨어 기술 때문에 우리가 믿고 있는 기술들은 빛의 속도로 구식이 되어가고 있다는 걸 반영했냐는 말이다.


점점 그 수뿐만이 아니라 실력까지도 늘어가고 있는 해커들은 다양한 멀웨어를 직접 만들어 공격을 하기 시작했다. 누군가 만들어 놓은 멀웨어를 그냥 가져다 대량 살포하고 누군가 걸려들기를 기다리는 것이 아니라, 금융이면 금융, 의료면 의료, 정부 조직이면 정부 조직, 표적을 딱 정해서 그에 맞는 멀웨어를 제작해 공격할 정도로 수준이 올랐다는 것이다. 그러나 다행이도, 방어가 불가능한 수준은 아직 아니다.

맞춤형 멀웨어는 뭐가 다른가?
맞춤형 멀웨어는 악성 소프트웨어의 일종으로 전통의 보안 기술들을 우회하거나 회피하기 위해 특별히 조작된 것을 말한다. 맞춤형 멀웨어는 여러 가지 형태로 나타나는데, 여기에는 그 유명한 랜섬웨어도 포함된다. 가장 흔한 배포 방식은 이메일로, 이러한 공격을 피싱이나 스피어피싱이라고 칭한다. 기존의 백신이나 안티멀웨어 제품들은 ‘시그니처 기반’이라 이미 널리 알려진 멀웨어들만 탐지할 줄 아는데, 이는 즉 ‘조작된 맞춤형 멀웨어’에는 아무런 힘도 못 쓴다는 걸 의미한다.

그래서 새로운 멀웨어 변종이 발견될 때마다 패치라는 게 진행되는데, 이는 단순히 말해 ‘시그니처’를 늘리는 작업이라고 볼 수 있다. 시그니처를 늘려 발견 확률과 범위를 확장시키는 것이다. 그래서 권한이 높은 계정 소유자나 중요 데이터를 다루는 시스템에는 이러한 패치를 최대한 빨리 하라고 강조하는 게 보통이다. 그러나 새로운 변종이 발견되는 시점과 그에 대한 분석이 이루어져 패치가 배포되기까지에는 약 30~90일의 차이가 있다. 즉, 기업들은 대부분 한 달 넘게 취약한 상태로 노출되어 있다는 것이다.

물론 이런 류의 ‘탐지 불가능한 위협’이 문제가 된 것이 어제 오늘 일은 아니다. 그 유명한 타깃(Target) 사건도 맞춤형 멀웨어가 저지른 무시무시한 일이다. 당시 타깃에 침투한 멀웨어는 동유럽 해커들의 작품이었고, 이들은 해당 멀웨어를 통해 타깃의 시스템에 대한 정보를 방대하게 수집하는 데 성공했으며, 결국은 4천만 건의 신용카드 정보를 훔쳐내기에 이르렀다. 정찰과 탈취, 그 모든 과정에서 단 한 번도 발각된 적이 없었다.

타깃 공격이 있은 후 얼마 지나지 않아 미국의 비밀경호국은 수사를 시작했고, 보안업체인 아이사이트 파트너즈(iSIGHT Partners)가 포렌식을 도왔다. 그리고 2014년 1월 이에 대한 보고서를 발행했다. 당시 타깃을 공격한 멀웨어 변종의 탐지율이 0%였다는 내용도 담겨 있었다. 멀웨어의 조작과 커스터마이징을 통해 보안 기술의 시야에서 완전히 사라지는 것이 이미 예전부터 가능했었다는 것이다.

어떻게 해야 위험을 완화시킬 수 있는가
이렇듯 맞춤형 멀웨어의 가장 큰 특징은 안티멀웨어나 백신 기술을 무력화시킨다는 것이다. 그렇기에 방어하는 입장에서는 방어막을 여러 겹 씌워놓아야 한다. 백신만으로 엔드포인트가 안전할 거라고 믿는 게 아니라, 사용자 교육, 위협 요소 격리 기술 도입, 네트워크 모니터링 등 다각도로 방비를 취해야한다는 것이다. 그 중 반드시라고 해도 될 만큼 꼭 필요한 것들을 추려서 정리해본다.

1) 교육 : 변종 멀웨어든 알려진 멀웨어든 아무튼 멀웨어들은 피싱 공격과 스피어피싱 공격을 통해 가장 많이 퍼진다. 그렇기에 피싱 공격에 대해 교육을 하면 멀웨어 공격을 상당히 막는 게 가능해진다. 관리자들은 단기 아르바이트생부터 최고 고위 임원까지, 사람들이야말로 가장 연약하고 유력한 멀웨어 감염 통로라는 걸 기억해야 한다. 그러니 교육이야 말로 가장 적극적이고 능동적인 감염 방지 방안이다. 교육 효과를 높이려면 구체적이고 실용적이어야 한다.

그 다음으로 해야 할 건 훈련이다. 교육으로 지식을 전파했다면, 훈련을 통해 회사 내 보안 정책과 실천사항들을 몸으로 익히게 하는 것이다. 그러므로 훈련용 커리큘럼은 회사 정책과 잘 맞아떨어져야 한다. 어떤 행위는 금지되어 있는지, 금지 행위를 했을 때 어떤 결과가 기다리고 있는지 알려줘야 한다. 사용자들은 ‘애매하게 알고 있는 걸’ 절대 실천에 옮기지 못한다.

2) 격리 : 교육을 통해 어느 정보 방어 효과를 높이는 게 가능하긴 하지만, 당장 내일 발생할지도 모르는 멀웨어 공격에 대해서는 큰 실효를 거두기가 어렵다. 게다가 장기적으로 봐도 맞춤형 멀웨어 공격이 완전히 사라지는 것도 아니다. 효과적인 네트워크 세그멘테이션(분리)을 한다면 공격자들을 특정 구역에 가두어 격리시키는 게 가능해진다. 물론 분리 후 각 구역에 대한 접근을 엄격히 관리한다면 말이다. 보통은 중요한 정보가 저장된 영역을 따로 만들어놓고, 그 부분에 대한 접근은 소수 인원에게만 허용해주는 방식이 많이 사용된다.

이는 은행을 생각하면 이해가 쉬워진다. 은행 창구 직원과 손님 사이에는 데스크가 있다. 나라에 따라서는 아예 유리로 나눠진 곳도 많다. 그 창구 직원 데스크(혹은 유리벽)를 경계로 이쪽엔 외부에서 유입되는 고객들만이 있고, 반대편에는 여러 전산 시스템과 주요 임직원의 사무실도 있다. 당연히 외부 고객이 그 너머로 들어가지 못한다. 세그멘테이션이란 게 정확히 이런 개념이다.

3) 모니터링 : 위 두 가지로도 많은 위협들을 제거하거나 막아설 수 있지만, 그렇다고 모든 것이 완벽해지는 건 아니다. 교육을 하고 네트워크도 분리해놓았다면 그 다음부터는 관리에 들어가야 한다. 관리에 있어서 제일 중요한 게 바로 모니터링이다. 수상한 행위들이나 현상이 네트워크 내에서 벌어지면 알아챌 수 있어야 대처가 가능해진다. 물론 맞춤형 멀웨어들이 ‘탐지가 되지 않는다’는 특징 때문에 모니터링이 무슨 소용이냐, 라고 말할 수 있다. 하지만 모니터링은 멀웨어의 페이로드를 탐지해내는 게 아니라, 그런 멀웨어들이 하는 행위들을 알아채는 것이다. 아무리 잘 숨어들어도 언젠가 수상한 행위를 하기 위해 침투한 것이 멀웨어라는 걸 기억해야 한다.

네트워크 모니터링이란 결국 고객정보와 같이 중요한 데이터베이스에 누가 어떤 식으로 접근하는지 꾸준히 관찰하는 것을 말한다. 멀웨어의 정체를 발견하든 못 하든 결국 누군가 무단 접근을 실시한다면, 그건 그것 자체로 이미 수상한 거다. 또한 모니터링은 자동화로 처리해 실시간으로 경보가 발생되어야 가치를 갖게 된다. 또한 그러한 경보를 빠르게 처리할 전문인력 역시 필수요소다.

글 : 존 모이니한(John Moynihan)
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 랜섬웨어 유포가 다시 기승을 부리고 있습니다. 여러분이 근무하거나 경영하는 회사 업무망이 랜섬웨어에 감염됐다면 어떤 선택을 하시겠습니까?
회사 업무에 큰 지장이 있으니 돈을 주고서라도 파일을 복호화할 것
불편함과 손실을 감수하더라도 자체적으로 해결하고자 노력할 것
      

보쉬시큐리티시스템즈
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

Videotec
PTZ 카메라

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

포소드
CCTV / 통합관제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

쿠도커뮤니케이션
스마트 관제 솔루션

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

테크어헤드
얼굴인식 소프트웨어

비전정보통신
IP카메라 / VMS / 폴

씨오피코리아
CCTV 영상 전송장비

트루엔
IP 카메라

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

두현
DVR / CCTV / IP

KPN
안티버그 카메라

에스카
CCTV / 영상개선

디케이솔루션
메트릭스 / 망전송시스템

인사이트테크놀러지
방폭카메라

구네보코리아
보안게이트

티에스아이솔루션
출입 통제 솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

사라다
지능형 객체 인식 시스템

아이큐스
지능형 CCTV

퍼시픽솔루션
IP 카메라 / DVR

유시스
CCTV 장애관리 POE

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

파이브지티
얼굴인식 시스템

케이티앤씨
CCTV / 모듈 / 도어락

지와이네트웍스
CCTV 영상분석

지에스티엔지니어링
게이트 / 스피드게이트

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

다원테크
CCTV / POLE / 브라켓

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

수퍼락
출입통제 시스템

유진시스템코리아
팬틸트 / 하우징

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스 시스템즈
스피드 돔 카메라

에프에스네트웍스
스피드 돔 카메라

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

창우
폴대

대원전광
렌즈

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향