세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
모의훈련용 악성코드 두고 ‘썰전’...실제 공격과 구분돼야 할까?
  |  입력 : 2017-08-11 10:59
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
악성코드 분석 보고서와 모의훈련용 프로그램 두고 논란
‘어니언덕(OnionDog)’ 분석 보고서: 분석능력 차이 vs. 오인할 수 밖에 없어
모의훈련용 프로그램: 악성코드와 구분돼야 vs. 그럴 필요 없다


[보안뉴스 김경애 기자] 최근 모의훈련용 프로그램을 악성코드로 분석한 중국 보안기업의 보고서와 모의훈련용 프로그램의 구분 여부를 두고 논란이 일고 있다. 훈련용 프로그램으로 표기되지 않아 악성코드로 쉽게 오인될 수밖에 없다는 주장과 악성코드를 분석해보면 모의훈련용이라는 사실을 알 수 있을텐데 이를 분석해내지 못했다는 점에서 해당 기업의 분석 능력이 부족하다는 주장이 맞서고 있는 상황이다.

▲중국 치후 360의 Helios 팀의 보고서를 분석한 트렌드마이크로 블로그 화면
[사진=트렌드마이크로블로그 캡처]


또 다른 논란은 모의훈련 프로그램이 실제 사이버 공격과 혼동되지 않도록 악성코드와 구분돼야 한다는 의견과 그럴 필요가 없다는 의견으로 나뉘고 있다. 특히, 오는 21일부터 시행되는 국가비상대비훈련인 ‘을지연습’을 앞두고 북한의 사이버 공격 정황이 잇따라 포착되는 상황에서 훈련용과 실제 공격에 있어 혼선이 발생할 수 있다는 우려의 목소리도 커지고 있다.

이와 관련 지난 9일 글로벌 보안업체 트렌드마이크로 블로그에 모의훈련용 프로그램을 악성코드로 잘못 분석한 중국 치후(Qihoo) 360의 Helios팀의 보고서가 올라왔다. ‘어니언덕(OnionDog)’ 악성 프로그램을 분석한 해당 보고서에는 한국 기관을 타깃으로 한 APT 공격이 발생했다고 주장하고 있다.

그러나 트렌드마이크로 측은 ‘어니언덕(OnionDog)’을 국정원 산하 국가사이버안전센터가 국내 공공기관을 대상으로 진행한 모의훈련용 프로그램으로 분석했다. 다만, 해당 프로그램에는 ‘훈련용’이라는 별도의 표기나 메시지가 없으며, 공격 기법은 해커들이 실제 사용하는 방법이 그대로 적용됐다. 만약 훈련 대상자가 메일에 첨부된 위장 파일을 실행한다면 프로그램은 대상자 모르게 감염 여부를 국가사이버안전센터로 보내고, 국가사이버안전센터는 어떤 기관에서 얼마만큼 감염됐는지 그 규모를 파악할 수 있게 된다.

이와 관련 카이스트(KAIST) 김용대 교수는 “최근 Threat Intelligence가 전 세계적으로 화두다. 그런 측면에서 볼 때 미국 정보기관은 국내 보안업체에게 특별한 정보를 주지 않는다. 이는 해당 업체의 Threat Intelligence 능력이기 때문이다. 그런 관점에서 해외 보안기업이 훈련용 프로그램을 사이버 공격으로 분석한다고 해도 큰 문제는 되지 않는다”는 생각을 전했다.

그러나 다른 견해를 가진 보안전문가는 치후 360의 Helios는 국내 정부 관계자가 여러 차례 훈련용 악성코드라는 내용을 전달하고, 트렌드마이크로 블로그에서 잘못된 것이라고 분석했음에도 여전히 오인하고 있다고 지적했다.

그러면서 그는 “UAC 우회나 토르(Tor) 네트워크를 이용한 통신 암호화 공격 기법은 실제 해커가 많이 사용하는 기법이다. 모의훈련에서 그대로 적용할 경우 분석가가 실제 악성코드로 의심하게 된다”며 “더군다나 외국 보안업체의 경우 한국어를 잘 모르고 문화가 다르기 때문에 분석 과정에서 동적 분석을 해도 신종 악성코드로 오해하기 쉽다. 악성코드 내부에 훈련용이라는 메시지나 표기 등으로 구분돼야 한다”고 강조했다.

이는 비단 국내 상황을 잘 모르는 외국 보안업체에만 해당되지는 않는다는 것. 국내 민간기업이나 공공기관, 그리고 보안기업 역시 모의훈련용으로 뿌려진 프로그램을 악성코드로 분석해 혼선을 빚는다는 게 그의 설명이다.

이와 관련 또 다른 보안전문가는 “민간기업 감사팀에서 보안팀이 사이버 보안을 잘 하고 있는지 훈련을 진행하는 경우에도 실제 공격으로 오인하는 경우가 종종 있다”며 “정보 공유가 전혀 되지 않아 악성코드로 분석되는 경우가 있다. 모의훈련 특성상 대상자에게는 알리지 않더라도 백신업체만이라도 정보가 공유돼야 한다”고 지적했다. 더욱이 예전에는 훈련용 코드를 크게 바꾸지 않아 구분이 가능했지만, 최근에는 토르까지 이용하고 있어 혼선이 더욱 가중되고 있다고 덧붙였다.

이와 반대로 구분하지 않아야 한다는 의견도 적지 않다. 그레이해쉬 강흥수 연구원은 모의훈련이 실제 상황으로 오인될 수 있다는 지적에 대해 “일반적으로 훈련용 샘플을 살펴보면 ‘걸리셨군요 함부로 파일을 여시면 안 됩니다’와 같은 메시지가 있었다”며 “대상자에게 추후 모의훈련 상황임을 알려줘도 괜찮을 것 같다. 실제 공격을 대비한 연습인 만큼 훈련시에는 구분하지 않는 것이 본연의 목적에 부합하는 것으로 본다”고 말했다. 물론 실제 공격과 모의훈련이 동시에 일어날 경우 인력이 분산되고 피해가 커질 수도 있지만 이는 가능성이 낮은 데다 훈련기관에 문의하거나 긴급공지 등을 통해 문제를 해결하면 된다는 얘기다.

카이스트 김용대 교수 역시 사전이든 사후이든 모의훈련 정보를 공유하거나 알릴 필요가 없다는 의견을 제시했다. 김 교수는 “민간 기업에서 사이버공격 대응능력을 확인하고, 백신업체, 관제업체, 인터넷진흥원 등의 유관기관과의 공조현황 등을 파악하는 것이 목표라면 당연히 실전과 연습이 구분되지 않는 것이 맞다”고 말했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



보안 전문가 2명 중 1명은 주말에도 일합니다. 여름 휴가도 마찬가지일 것 같은데요. 보안 인력의 휴식권에 대해 어떻게 생각하시나요?
제대로 쉬려면 보안 인력을 늘리는 수밖에 없다
보안 업무의 특성상 휴식권을 보장하기 어렵다. 감수해야 한다
국가적 차원에서 보안 인력의 근로 조건을 개선해야 한다
제대로 못 쉬는 대신 금전적으로 보상하면 된다
보안 인력에 대한 인식과 처우가 낮다는 게 근본적인 문제다
기타(댓글로)