백신에 탐지되지 않는 악성코드 공격에 기업들이 맥없이 무너지고 있다. 네이트 해킹이 APT공격이었든 범죄자 입장에서 운좋게 걸려든 행운의 공격이었든 중요한 것이 아니다. 현재 백신들이 탐지해 내지 못하는 악성코드를 만들어 이를 가지고 공격하는 것을 어떻게 막아낼까, 이 문제가 해결되지 않는 한 제2의 네이트 해킹은 계속 발생할 것이다.
(사진출처. www.flickr.com /  by The US Army)
 
◇백신, 시그니처 방식으로는 한계=기존 백신의 일반적인 탐지 방식은 시그니처 방식이다. 시그니처 방식은 사고발생 후 혹은 샘플이 수집된 후에 패턴을 업데이트해 백신에 적용하는 방식이다. 따라서 사후대응만 가능하다. 이 방식으로는 새로운 악성코드에 선제대응을 할 수 없다.
 
또 휴리스틱 방식은 악성코드 특징을 기반으로 변종을 탐지하기 위한 방식이다. 하지만 알려지지 않은 악성코드를 탐지하기에는 역부족이다. 클라우드 기반 백신은 사후 대응이지만 샘플 수집을 보다 빨리 할 수 있는 효과는 있지만 사전탐지는 힘든 방식이다.
 
최근 백신업체들에서 많이 연구하고 적용하는 방식이 바로 행위기반 방식이다. 악성코드 내부에는 어떤 행위를 할 수 있도록 정해놓은 코드들이 삽입돼 있다. 악성행위를 하는 코드들을 미리 정해놓은 후 거기에 해당되는 코드가 포함돼 있으면 악성으로 분류하는 방식이다. 따라서 새로운 형태의 악성코드라 할지라도 내부에 포함된 코드중 악성으로 분류된 코드가 삽입돼 있다면 악성코드로 탐지돼 실행전에 탐지가 가능할 수 있다. 물론 100%는 막을 수 없다.
 
안철수연구소 관계자는 “시그니처 방식이든 행위기반 방식이든 새로운 변종 악성코드를 탐지하기는 힘들다. 백신을 피해가기 위해 제작된 악성코드이기 때문에 어떤 형태의 백신이라도 탐지는 힘들 것”이라며 “최대한 샘플을 빨리 채취해 신속하게 업데이트해서 피해범위를 최소화하는 것이 무엇보다 중요하다”고 강조했다.
 
또 그는 “현재 V3라이트와 365클리닉 등 개인용 유·무료 버전에 안랩 스마트 디펜스 기능이 적용돼 있다”며 “이 기능은 파일의 유형을 몇 천만개 보유하고 파일 DNA를 유형화해서 사용자가 가지고 있는 파일의 악성여부를 판단해 내는 기능이다. 또 사용자들 PC가 얼마나 감염돼 있는지를 추적해서 조기에 어디에서 악성코드가 유포되는지 파악해 내는 기술이 적용되고 있다”고 소개했다.
 
김정수 하우리 보안대응센터장은 “농협과 네이트 해킹은 모두 악성코드에 의해 이루어진 사건들이다. 백신 시그니처에 해당 악성코드가 포함되지 않아 진단이 안된 상황”이라며 “현재로는 행위기반 방식이 최선일 것”이라고 설명했다.
 
김 센터장은 “행위기반은 악성코드가 하는 행위를 보고 판단하는 것이다. 예를 들어 악성코드 룰을 정해놓고 룰 10개 중에서 7~8가지의 악성행위 룰이 코드 내에 포함돼 있으면 이를 악성코드로 탐지해 내는 방식”이라며 “이 방식이 제품에 탑재됐을 때 오진이 없도록 현재 최선의 노력을 하고 있고 제품에 적용 중”이라고 설명했다.
 
또 그는 “악성코드 유입의 형태는 너무도 다양하다. 취약점을 이용해 감염될 수도 있고 메일이나 USB 등 유입경로가 너무나 많기 때문에 그런 다양한 경우에 대비해 행위기반 백신이 오진 없이 탐지해 낼 수 있도록 계속 연구하고 있다”며 “발전적인 백신의 방향은 향후 시그니처 방식을 기본으로 휴리스틱과 행위기반 방식이 복합된 형태의 백신이다. 이 백신으로 신종 악성코드 공격을 차단할 수 있을 뿐 아니라, 보다 적극적으로 예방할 수 있을 것”이라고 밝혔다.

모 외국계 백신업체 관계자는 “시그니처 방식으로 새로운 악성코드를 탐지하는 것은 어렵다. 대부분 범죄자들이 시그니처 방식의 백신을 우회하는 방법을 알고 있고 정확하게 검사한 후 공격을 하기 때문에 속수무책으로 당할 수밖에 없다”며 “내부에 한명만 감염돼도 시스템 장악이 가능하기 때문에 모든 직원이 신뢰할 수 없는 파일 실행이나 유포가 이루어지고 있는 사이트에 접근하지 않는 것이 최선”이라고 말했다.
 
기존 시그니처 방식만으로는 새로운 악성코드에 대응은 힘들다. 사고가 터진 다음 업데이트가 되기 때문에 뒷 수습에 불과하다. 현재 가장 필요한 방식은 시그니처 방식에 휴리스틱과 클라우드 기반, 행위기반 방식이 모두 복합된 형태의 백신이 필요하다. 그렇다고 해서 100% 막을 수는 없다. 백신도 진화해야 하고 기업의 직원 보안교육이 보다 더욱 강화돼야 할 것이다.
 
◇관제서비스, 범위넓히고 변화해야 한다=김정수 하우리 보안대응센터장은 “APT 공격은 시그니처 방식의 백신을 우회한다. 또 행위기반 방식의 백신이라도 악성코드가 잠복하거나 동작하지 않으면 탐지가 힘들다”며 “이 부분을 관제쪽에서 감지해 줘야 한다. 악성코드가 유입되기 전까지 이상징후를 파악해 내는 것이 관제업체의 역량이고 더 중요한 부분은 직원들과 전국민의 인터넷 이용에 대한 보안교육이 철저하게 이루어져야 한다. 이것이 안되면 아무리 좋은 백신과 관제 서비스를 받고 있다 하더라도 APT 공격을 막기는 힘들 것이며 최고의 예방은 사용자의 관심과 보안의식임을 잊지 말아야 한다”라고 강조했다.
 
외국계 보안업체 관계자는 “백신의 사전탐지 능력도 중요하지만 관제업체의 이상징후 탐지 능력을 키우는 것도 필요하다”며 또한 “상시적 보안이 중요하다. 농협도 3~6개월 단위로 스캔을 했지만 뚫렸다. 현재 MS 보안패치가 한달에 한번씩 나오고 어도비 패치도 계속 되고 있다. 기업에서는 패치점검만 해도 한달에 한번 이상 해야한다. 몇 개월만에 한번 해서는 그 사이 어떤 위험상황이 발생했는지 알 수 없다”고 상시적 보안을 강조했다.
 
또 그는 “직원 교육이 무엇보다 중요하다. 퇴근시에 PC를 켜놓고 가는 것도 전력 낭비만 생각할 것이 아니라 밤사이 범죄자가 드나들 수 있는 통로을 열어놓고 있는 것이라고 볼 수 있다”며 “직원들의 사소한 행동 하나하나가 모여 기업을 무너뜨리는 커다란 해킹사고로 이어지는 것”이라고 전했다.
 
SK인포섹 관계자는 “악성코드에 감염되면 운영자 PC에 여러 악성코드가 설치된다. 당연히 백신을 우회하기 위한 백신우회 프로그램이 설치되고 키로깅 프로그램도 설치된다. 그렇게 되면 백신도 탐지 못하는 사이에 운영자 패스워드가 유출된다”며 “현재 대부분 관제서비스는 직원 PC까지 관제를 하지 않고 있다. 직원 PC에 악성코드를 제거하는 작업도 정기적으로 이루어져야하고 관제범위도 앞으로는 오피스 PC단까지 볼 수 있어야 한다. 이를 위해서는 관련 프로그램 개발도 필요하다”고 강조했다.  [데일리시큐=길민권 기자]