[박춘식 교수의 보안이야기] 기존 맬웨어 대책의 세계에서는 어떻게 하던지 맬웨어의 정보를 입수하는 것이 대책의 승패를 좌우하는 것이라고 해 왔다. 그러나 최근 맬웨어의 수가 비약적으로 증가하였기 때문에 정보 수집에 더해서 그의 자세한 분석과 동향 파악도 중요하게 될 것 같다.
 
증가하는 “미래 동향 예측”에 대한 수요　
맬웨어 대책이 앞으로 어떻게 진화를 해 갈 것인지 분명한 방향성을 아직 보이지 않고 있다. 지금까지, 맬웨어 탐지 수법으로써 가장 널리 사용되어 온 시그니처(Signature) 기반의 파일 스캔은 계속해서 출현하는 막대한 신종 맬웨어 앞에 그 유효성을 잃어버리고 있다.
 
그러나 이것에 대한 유효한 수단은 아직 확립되어 있지 않은 채 많은 기업용 바이러스 대책 제품은 계속해서 시그니처에 강하게 의존하고 있는 것이 현실이다. 단지, 지금에서야 변화가 보이기 시작하고 있다.
 
맬웨어 작성자의 맬웨어 거동이나 출소를 종래보다도 상세하게 분석하여, 장래의 동향을 예측할 수 있도록 할 필요가 있다고 벤더들이 인식하기 시작하고 있는 것이다.
 
시큐리티 관련 컨설팅 서비스나 관리서비스를 제공하는 캐나다 토론토 기업, 센트리 메트릭스의 CEO를 맡고 있는 데이브 미리아에 의하면 “많은 맬웨어 대책 밴더는 지금, 출현하는 위협의 하나 하나에 관심을 가지는 것이 아니라 데이터를 수집해서 일정 기간에 있어서 전반적인 경향을 분석하는 것으로 되어 있다”고 한다.
 
이것은 비교적 새로운 기술에 의해서 실현되고 있다고 한다. “구제적으로는 네트워크 레벨에서 데이터를 수집하여 모든 대량의 데이터를 시큐리티의 관점에서 활용하려는 것이다. 종래는 이와 같은 방법으로 데이터를 이용하는 것은 할 수 없었다”고 밝혔다.
 
센트리 메트릭스가 협업하고 있는 시큐리티 벤더 중 하나인 미국의 소스파이어에서는 맬웨어 대책은 기본적으로 빅데이터 문제에 있다고 생각하고 있다. 이 회사가 최근 발표한 클라우드 기반의 기업용 시큐리티 제품 「FireAMP」는 맬웨어 특징을 크게 잡아서 의심스러운 행동 패턴의 전체적인 경향을 인식하는 것으로 맬웨어를 검출하는 시큐리티의 네트워크를 넓히고 있다고 한다.
 
또한 이 회사가 기계 학습이라고 불리는 기술에 의해서 앞으로 출현할 가능성이 있는 맬웨어를 모델화하는 것도 가능해지고 있다. 게다가 맬웨어의 감염 확대시에 네트워크 전체에서 무엇이 일어나고 있었던 가를 과거로 돌아가서 확인하는 것도 가능하다.
 
이 기능은 시큐리티 목적만이 아니며 법적 조치를 준비하기 위한 증거보전의 수단으로써도 효과를 발휘한다.　 소스 파일의 클라우드 기술 그룹 담당 부회장은 “이 클라우드 기반의 제품은 End Point의 소위 Private Recoder로써 기능한다. 즉, End Point에 있어서 거의 모든 파일 액티비티를 기록하여 파일의 변경 검사용의 데이터로써 클라우드에 보존하는 방식이다”라고 제품 특징을 설명한다.
 
FireAMP에서는 어플리케이션의 설치 또는 실행시에 데이터를 클라우드로 송신하기 위한 커넥터가 엔드포인트에 설치된다. 이 기업 관계자는 “미래에는 맬웨어 감염이 발생한 경우에, 그 맬웨어가 어디로부터 침입해 어디로 이동했는지, 최초로 감염한 것은 어느 엔드포인트인지, 새로운 감염처는 어디인지, 어느 정도의 피해가 발생했는지 등을 파악할 수 있게 되도록 할 예정이다”라고 밝혔다.
 
데이터 수집?분석 툴도 진화
동일한 맬웨어 대책 밴더인 트랜드마이크로도 클라우드나 온라인 커뮤니티를 이용한 새로운 인텔리전스 기능의 개발에 힘을 쏟고 있다. 트랜드마이크로 법인에서 제품 및 서비스 담당을 맡고 있는 톰 모스에 의하면 “이것은 적이 갖고 있는 동일한 무기를 가지고 맬웨어에 대항하는 방법”이라고 한다. 그는 “봇넷 관리자는 클라우드나 인터넷을 이용해서 막대한 수의 컴퓨터를 제어하고 있다. 한편 우리들은 트랜드마이크로 제품을 도입하고 있는 컴퓨터의 네트워크를 이용해서 맬웨어의 거동이나 통신처에 관한 정보를 모으고 있다”고 밝혔다.
 
트랜드마이크로가 데이터를 수집하는 것은 역시 분석을 행하는 것이 목적이다. 이 회사 제품에서는 맬웨어의 등장을 조사하기 위해서 신원조사를 행하고 있으며, 도메인 등록처 사업자, 동일 인물이 등록하고 있는 다른 도메일, 그 도메인이 관련되어 있는 IP주소의 변경 빈도 등을 검사하고 있다고 설명하고 있다.
 
대량 데이터의 분석은 맬웨어 대책의 일부가 되고 있지만, 시큐리티 업계도 빅데이터를 취급하는 다른 업계와 동일한 과제에 직면하고 있다고 한다.
 
엄밀한 분석을 행하는 데에는 모든 데이터를 1개소에 집약하는 것이 바람직하다. 단지, 원래 그대로(raw)의 정보가 대량으로 있으면, 의미있는 분석의 실행이 어렵게 되고 말 것이라고 한다.
 
대량의 데이터를 효과적으로 분석하여 검색할 수 있도록 하는 것에는 데이터의 인덱스화와 Sort가 불가피하다. 그러나 그렇게 하면 비구조화 데이터의 유연성이 잃어버리고 만다. 그럴지라도 종합적으로 보면, 시큐리티 데이터의 수집이나 분석을 위한 툴은 최근 수년에서 비약적으로 개선되고 있다고 전문가들은 말한다.
 
덕분에 얻어진 정보의 상세함과 광대함이 크게 향상되었다고 한다. 현재에는 네트워크에서 실제로 일어나고 있는 것을 이전보다도 꽤 상세하게 조사하게 되었으며 방화벽만이 아니라 네트워크 레벨에서도 시스템 레벨에서도 더욱이 어플리케이션 레벨에서도 정보를 취득하는 것이 가능하다. 맬웨어의 검출을 신속화한다는 당초의 목표는 착실하게 달성되어 가고 있다고 봐야 한다. (CIO. 2012.07.02)
[글. 박춘식 서울여자대학교 정보보호학과 교수]