패턴 매치 기반 보안솔루션의 문제점을 알 수 있는 가장 최근의 사례로 '사이버 6.25' 사태가 있다. 당시 청와대 홈페이지가 해킹당하는 보안 사고가 발생했는데, 해당 사고의 핵심은 홈페이지가 변조되고 나서야 해킹 사실이 알려졌다는 점이다.

 
청와대가 IDS, IPS, 웹방화벽 등의 보안솔루션 중 최소 하나 이상의 보안솔루션을 사용하고 있다고 가정했을 때, 홈페이지가 변조되고 나서야 해킹 사실이 알려졌다는 얘기는 보안솔루션이 해커의 공격 시도를 탐지하지 못했거나, 탐지는 했지만 그 탐지로그를 적시에 확인하지 못했음을 의미한다.
 
여기서 우리는 패턴 매치 기법의 두 가지 문제점을 알 수 있다.
 
첫 번째는 공격 시도를 탐지하지 못하는 현상, 즉 미탐(False Negative, 2종 오류라는 학술적 용어도 가끔 쓰인다)의 발생이다. 알려진 공격 패턴이 없으면 룰을 만들 수 없고, 룰이 없으면 당연히 트래픽 패턴과 비교할 대상이 없기 때문에 탐지가 불가능하다. 인류가 방패보다 칼을 먼저 발명한 것처럼, 공격이 알려져야만 방어를 할 수 있는 패턴 매치 기법의 태생적 한계라고 할 수 있다.
 
두 번째는 공격 시도가 아닌데 공격으로 오인하는 현상, 즉 오탐(False Positive, 1종 오류)의 발생이다. 패턴 매치 기법은 알려진 공격 패턴을 기록한 룰과 트래픽 패턴을 비교하는 방식이다. 알려진 공격 패턴으로 룰을 만들었는데 왜 공격이 아닐까?
 
앞서 얘기했듯이 패턴 매치 기법은 컴퓨터가 주고 받는 정보를 구성하는 문자열 패턴을 검사한다. '가방'이란 문자열 패턴을 검사하는 룰이 있다고 가정해 보자. 잘못된 띄어쓰기에 의해서 의미가 달라진 다음 문장을 컴퓨터는 어떻게 이해할까?
 
'친구가방에 들어갔다.'
 
룰 기반 보안솔루션, 즉 컴퓨터는 정보를 구성하는 문장의 맥락을 이해하지 못하고 룰에 기록된 패턴과의 일치 여부만을 검사한다. 결국 '가방' 공격이 발생하고 만다. 극단적인 사례로 보이겠지만 현장에서 가장 흔하게 볼 수 있는 오탐 사례이자, 패턴 매치 기법의 가장 심각한 문제점이 되겠다.
 
그런데 이 문제점은 사실 꽤나 오래 전부터 제기되어 왔었다. 다음 그림은 '오탐'을 핵심 이유로 2003년 미국에서 제기된 'IDS 무용론' 기사의 복사본이다(web.archive.org/web/20031204111139/http://www.gartner.com/5_about/press_releases/)

 
IDS를 직접 만든 미국조차 '오탐'때문에 '무용'하다는 판단을 내렸음을 알 수 있다. 'IDS 무용론'이 이슈가 된 후 여전히 패턴 매치 기반에서 동작하지만, 차단 기능을 추가한 IPS나 웹서버 방어에 특화된 웹방화벽 등 IDS와의 차별화를 주장하는 보안솔루션들이 출시되기 시작한다. 여기서 주목할 점은 IDS와의 차별화를 주장하는 어떤 보안솔루션도 패턴 매치 기법의 문제, 특히 오탐 문제를 해결하지 못했다는 것이다.
 
지난 연재에서 KISA가 배포한 웹쉘 공격 패턴으로 룰을 만들었음에도 발생한 탐지로그의 약 80%가 오탐이었음을 기억할 것이다. 오탐이 많이 발생하면 어떤 일이 벌어질까?
 
'월리를 찾아라'라는 게임에서 월리를 찾기 어려운 이유는 월리라는 사람이 다른 수많은 사람들과 함께 섞여 있기 때문이다. 마찬가지로 모든 로그에 대해서 룰 패턴을 포함한 전체 메시지의 의미를 분석해야 하는 상황에서,
① 오탐의 증가로 인해 전체 로그의 발생량이 증가하면,
② 그 중에서 진짜 공격 시도를 찾아낼 가능성은 점점 줄어들게 되며,
③ 로그가 누적될수록 공격 시도를 적시에 찾아낼 가능성은 더욱 줄어들게 된다.
 
이 얘기는 오탐이 증가하면 공격 시도가 있었다는 사실 자체를 아예 모를 가능성이 높아진다는 뜻이다. 그런 의미에서 공격 사실을 알 수 있게끔 홈페이지를 변조하는 공격자는 고마운 공격자라고 할 수 있다.
 
패턴 매치 기법의 치명적인 문제점이 밝혀졌다. 그런데 이상하지 않은가? IDS가 무용하다는 판단, 기반 기술인 패턴 매치 기법이 무용하다는 판단이 나왔고, 그 문제가 해결되지 않았음에도 IPS, 웹방화벽 등 대부분의 보안솔루션들은 여전히 패턴 매치 기법을 사용하고 있다. 왜일까?
 
그 이유는 패턴 매치 기법이 문제가 있음을 알지만, 즉 특정 문자열 패턴으로 전체 문장의 위협 여부를 판단하는 방식이 불완전하지만 현존하는 보안 기술 중에서는 그나마 가장 효율적이고 정확하기 때문이다. 선택의 여지가 없는 것이다.
 
그렇기 때문에 우리는 CPU 속도, 클라우드, 평판, 빅데이터 등에 의존하기 전에 보다 근본적인 문제, 즉 패턴 매치 기법의 효과적인 사용 방법을 찾아야 한다. 다음 시간에는 그 방법을 찾아보도록 하겠다.
 
글. <빅데이터 분석으로 살펴본 IDS와 보안관제의 완성> 저자 강명훈 truese@hanmail.net