Home > 전체기사
APT 공격 거센데...클라우드 기반 악성코드 차단 가능할까
  |  입력 : 2018-04-09 16:33
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
행위기반 분석, 가상머신이나 샌드박스 환경 인식해 악성행위 안 하면 무용지물
악성코드의 행위, 위치, 위협표시 식별 등 전체 라이프사이클에 걸쳐 탐지돼야


[보안뉴스= 함명묵 가천대학교 교수] 오늘날 고도화된 공격자들은 다양한 리소스와 전문지식으로 무장한 채 다양한 악성코드를 만들어 공격하고 있다. 과거 무작위 공격이 주를 이뤘던 데서 벗어나 현재는 특정 대상을 타깃으로 기존에 개발된 기술들을 결합하고 응용해 장기간에 걸친 기획침투 및 잠복, 정보유출 등 지능화 기법과 고도화된 기술을 동원하는 지능형 지속 위협(APT: Advanced Persistent Threats) 공격이 증가하고 있다.

[이미지=iclickart]


APT 공격은 개인 해커의 단순한 기술수준 과시나 호기심 충족이 아닌, 정부 또는 특정 회사의 중요 정보 획득, 정치적 목적, 사이버 테러 등을 목적으로 하는 범죄 그룹에 의해 사이트, 기업, 개인을 상대로 지속적으로 공격하는 형태를 의미한다.

APT 공격에 자주 사용되는 신종 악성코드에 대해 많은 APT 대응 솔루션 벤더들은 신종 악성코드(unknown malware) 탐지를 위해 시그니처 리스(signature-less) 기술을 강조하고 있다. 이들 벤더들이 사용하고 있는 기술은 가상 머신(Virtual Machine)이나 샌드박스(Sandbox) 기반의 ‘행위 분석 기술’이다.

하지만 국내 보안업체들의 분석으로는 샌드박스 기반의 ‘행위 분석 기술’에 의존해서 신종 악성코드를 탐지하는 것은 더 이상 효과적이지 않을 것으로 예상하고 있다. 최근 공격자들은 자동화된 행위 분석 시스템을 우회하기 위해 새로운 방식을 사용하는 악성코드 제작에 주력하고 있기 때문에 악성코드는 점점 더 강력해지고 있다.

대표적으로 사용자가 악성 PDF 파일을 단순히 열기만 해서는 악성 행위(behavior)가 발생하지 않고, 사용자가 특정 페이지로 스크롤해야만 악성 행위가 발생하는 경우도 있다. 또한, PC가 악성코드에 감염된 상태에서 악성코드는 사용자가 ‘마우스를 클릭(click)’하거나 특정 방향으로 이동하는 등 입력장치의 변화를 감지했을 때 비로소 악성행위를 하기도 한다.

이러한 악성코드는 사용자가 특정 행위(activity)를 하기 전까지는 의심 행위(behavior)가 없기 때문에 ‘샌드박스 기반의 행위 분석 기술’을 사용하고 있는 APT 대응 솔루션에서는 탐지가 어렵다.

이러한 가운데 국내 보안업체에서 새로운 기술이 개발됐다. 해당 기술은 메모리(memory) 영역에서 어셈블리 코드(assembly code) 기반의 분석을 수행한다. 이 기술을 이용해 애플리케이션의 취약점 공격 단계(exploitation phase)에서 악성코드 여부를 탐지할 수 있으며, 새로운 제로데이(zero-day) 취약점을 이용한 악성코드도 탐지할 수 있게 됐다.

하지만 특정 애플리케이션의 취약점을 공격하는 악성코드가 정상적으로 취약점을 익스플로잇(exploit)해 악성행위를 한다고 가정할 경우 악성코드가 최종적으로 악성행위가 발생하기까지의 과정은 악성코드 자체의 실행 전단계(pre-exploitation phase)와 악성코드 실행 시점(exploitation phase)으로 세분화돼 제대로 탐지하지 못하게 된다.

[사진=가천대학교 함명묵 교수]

이는 악성코드가 실행 전단계에서 정상적으로 동작하지 않거나 악성코드 실행 시점에서 가상 머신이나 샌드박스 환경을 인식해서 악성행위를 하지 않는다면 ‘행위 기반 분석’ 기술은 무용지물이 된다는 얘기다. 따라서 악성행위 발생 여부와 관계없이 악성코드 실행 전단계 또는 악성코드 실행 단계에서도 악성코드를 탐지할 수 있는 방법이 필요하다.

이렇듯 앞서의 행위 기반 분석 기술은 기존 한계를 극복하고 익스플로잇이 일어나기 전 단계에서 악성코드를 탐지하기 위해 개발된 것으로 알려졌다. 즉, 방어자는 시간당 수만 개의 새로운 악성코드 샘플에 직면하게 되는 만큼 이에 능동적으로 대처하기 위해 처리기술과 탐지방법에 대한 뒷받침이 이루어져야 한다.

한편, 기존 엔드포인트 보안 공급업체는 고객에게 더 나은 서비스를 제공하기 위해 시그니처 데이터베이스를 클라우드에 옮기는 ‘클라우드 기반의 바이러스 차단’ 기능을 도입하기도 했다. 다만, 해당 기능은 기존 시그니처 기반의 탐지를 회피하는 등 공격자의 지능도가 높아짐에 따라 등장한 것으로 악성파일이 확인된 특정 시점에서의 초기 탐지에만 초점을 두고 있다. 따라서 악성코드 수행 작업과 위치 등을 파악하고, 악성코드의 행동과 위협표시를 식별할 수 있도록 전체 라이프사이클에 걸쳐 악성코드를 탐지·분석하는 새로운 방법이 필요하다.
[글_ 함명묵 가천대학교 교수/한국인터넷정보학회 이사(mmhan@gachon.ac.kr)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)