2024-03-29 15:30 (금)
[3.20 해킹] 악성코드 정보공유센터 ISAC구축 필요해!
상태바
[3.20 해킹] 악성코드 정보공유센터 ISAC구축 필요해!
  • 길민권
  • 승인 2013.04.11 16:15
이 기사를 공유합니다

턱없이 부족한 악성코드 분석규모…정보공유로 시너지 내야
3.20 해킹의 출발점은 역시 악성코드였다. 따라서 악성코드 유입을 막아내지 못한다면 계속 이번과 같은 사태는 재발될 수밖에 없는 상황이다. 연간 1억4천만 개의 악성코드가 지구상에 유포되고 있다. 이중 차단되는 악성코드의 수는 4천만개에 불과하며 1억개 이상의 악성코드는 백신에 탐지되지 않은 채 유효한 힘을 가지고 감염을 시도하고 있는 상황이다.
 
이번 3.20 해킹사건에 대한 민관군 합동대응팀은 감염장비에서 발견된 악성코드가 76종이라고 발표했다. 모 전문가는 “76종이란 것은 경찰이 포렌식 분석을 통해 복원에 성공한 악성코드 수에 불과하다”며 “공격자가 중간에 탐지를 피하기 위해 삭제한 악성코드는 더 많았을 것”이라고 밝혔다.
 
해킹의 출발점인 악성코드 유입을 효과적으로 차단할 수 있는 방법은 없는 것일까?
모 대기업 보안팀장은 “악성코드가 들어오는 것을 막을 수는 없다. 백신을 우회해서 들어오기 때문”이라며 “악성코드가 들어오는 것을 막는 것은 포기한 상태다. 현재는 악성코드가 유입돼 이상행위를 할 때 계층별 보안장비와 모니터링을 통해 차단하는 방법밖에 없다”고 힘겨워했다.  
 
합동대응팀 관계자도 “악성코드가 유입되는 경로인 웹사이트나 이메일 등에 대한 적극적인 모니터링 방법 뿐”이라며 “이용자는 불편하더라도 웹사이트 접근을 제한하거나 이메일 첨부파일 등을 분석해 이상행위를 검증하고 알려주는 방법이 필요하다”고 말한다.
 
라온시큐어 박찬암 팀장은 “해커들은 공격성공을 위해 들키지 않도록 백신을 우회하는 악성코드를 이용한다”며 “백신은 꼭 필요하지만 백신만으로 모든 것을 막을 수는 없다. 새로운 악성코드에 대한 대응은 힘들다. 백신 이외 APT 방어장비 및 다양한 단계적 보안장비를 견고하게 하고 이를 제대로 분석해서 대응할 수 있는 전문가들을 내부에 배치해야 한다”고 강조했다.
 
빛스캔 전상훈 이사는 “신규로 내려오는 악성코드는 백신이 탐지하지 못한다. 그렇다면 악성코드 유입 자체를 제한하는 것이 필요하다”며 “최근 웹사이트 접속시 바로 악성코드 감염이 이루어지는 경우가 많기 때문에 악성링크나 악성코드를 직접 유포하는 사이트에 접근을 차단하는 것이 가장 효과적이다. 관련 장비나 분석보고서 등을 통해 사전에 악성코드 유포 사이트 정보를 입수해 내부에서 차단하는 노력들이 필요하다”고 설명했다.
 
고려대 이경호 교수는 “국내 백신업체의 악성코드 분석인력은 업체당 몇십명에 불과하다. 자동화 툴도 있겠지만 모든 악성코드를 분석하는데는 한계가 있다. 또 고객의 신고에 의한 악성코드 분석이 대부분이며 해외정보에서 입수한 정보 등으로 분석하고 있다”며 “실질적으로 분석량이 부족한 실정이다. 이번 3.20 사건에 사용된 악성코드를 보면 백신에 탐지되지 않은 코드들이다. 1년 전에 사용된 것이 재사용된 경우도 있다. 지금보다 향상된 악성코드 분석체계를 갖추는 것이 필요하다”고 강조했다.
 
이 교수는 “엄청난 양의 악성코드를 분석하는데 지금 상황을 개선하기 위해서는 민관군 및 학계 등을 아우르는 분석센터가 필요하다”며 “즉 여러 기업과 기관의 악성코드 정보를 쉐어하고 시너지를 낼 수 있는 정보공유센터인 악성코드 분석 ISAC 설립이 필요하다. 긴급 상황에서만 필요한 것이 아니라 평상시에 악성코드 분석 컨트롤 타워가 절실하다. 악성코드 정보공유에 대한 근본적인 체계를 만들어야 한다”고 덧붙였다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★