2020-08-04 17:15 (화)
악성코드 창궐시대...세이프브라우징에 대한 전망
상태바
악성코드 창궐시대...세이프브라우징에 대한 전망
  • 길민권
  • 승인 2013.12.18 17:51
이 기사를 공유합니다

향후 세이프브라우징, 인터넷접속 통제정책으로 확대 정착될 것
망분리정책을 상호보완하는 방식으로 진화할 것으로 기대
지금까지 인터넷접속통제는 웹사이트 카테고리 중심으로 이뤄져왔다. 웹사이트를 카테고리화 하고, 이 중 음란, 도박, 게임, 웹하드, P2P 등 업무생산성을 저하하는 카테고리를 차단하는 것이다.
 
그러나 2010년 7.7 DDoS공격, 2011년 3.4 DDoS공격, 2013년 3.20사이버테러 등 악성코드로 인한 대형사고 후 인터넷접속통제 수준이 급격히 강화되어졌다. 특히 2013년 3.20 테러 이후에는 인터넷접속통제의 중요성이 극적으로 상승했다. 극단적 보호방식 중 하나가 화이트리스트기반 접속통제이다.
 
업무에 방해되는 사이트(블랙리스트)에 못 가게 하는 것이 아니라 업무에 필요한 사이트(화이트리스트)를 한정하고 그 안에서만 움직이게 하는 방식이다. 보안을 엄마로 비유한다면 PC방 못 가게 하는 엄마가 아니라 집과 학교 외엔 아무 데도 못 가게 하는 엄마라 할 수 있다.
 
◇화이트리스트 기반 접속통제 문제점=이러한 화이트리스트 기반 접속통제에는 세가지 문제가 있다고 전문가들은 말한다.
첫째, 몇몇 경우(군대, 특수기관, 특정 해킹대응 시기)를 제외하고는 업무가용성을 해칠 수 있다. 화이트리스트모드에서는 포털을 열어주는 것 자체가 인터넷을 열어주는 것이 되기 때문에 네이버, 다음까지 차단해야만 한다. 현실적으로 웹서핑 자체가 불가능하기 때문에 서비스기업, 제조업, 통신기업까지 확대하기에는 어려움이 있다.
 
둘째, 급변하는 웹상에서 업무에 필요한 사이트(화이트리스트)를 정의하고 지속적으로 업데이트하는 것은 매우 난해한 일이다. 따라서 화이트리스트의 객관성에 대한 내부불만이 지속적으로 발생하며 결과적으로 직원들의 보안을 우회하려는 욕구를 자극하게 된다.
 
셋째, 가장 심각한 문제는 화이트리스트에서도 악성코드가 배포된다는 것이다. 실제, 악성코드배포 사이트목록을 검출해보면 유수기관 및 기업 사이트들이 상당수 포함돼 있다는 것을 알 수 있다. 예를 들어 골프장, 날씨정보사이트, 지역맛집사이트, 여행사사이트, 유명 언론사 사이트, 커뮤니티사이트 등등. 악성코드차단을 목적으로 업무효율저하, 내부불만, 관리상 어려움들을 감수하고 택한 화이트리스트에서 악성코드가 배포되고 있는 것이다.
 
이는 악성코드차단이 목적이라면 화이트리스트방식 보안은 적합하지 않음을 말해준다. 전문가들은 접속통제는 업무기준이 아니라 악성코드 배포 가능성을 기준으로 이뤄져야 하며 업무가용성을 저해하지 않도록 악성코드의 배포, 소멸과 함께 실시간으로 차단과 허용이 다이나믹하게 이뤄져야 한다.
 
현재 악성코드 유포 사이트 접속통제에서 가장 효과적인 방법은 ‘세이프브라우징’이라는 용어로 압축할 수 있다. ‘세이프브라우징’은 ‘안전웹접속’으로 번역할 수 있다.
 
◇세이프브라우징의 3가지 특징=세이프브라우징의 특징은 세가지로 요약할 수 있다.
첫째, 이제까지 분리되어있었던 비업무사이트 카테고리 통제 및 악성코드 배포사이트 통제를 합쳐서 안전한 웹브라우징을 보장한다. 7.7 DDoS, 3.4 DDoS의 원인은 웹하드에 접속한 PC가 악성코드감염으로 좀비PC화된 것이다.
 
미국에서의 조사에 따르면 악성코드 배포의 가장 일반적인 원인은 음란사이트 접속이라고 한다. 모 공공기관 통계에 따르면 음란사이트, 웹하드 접속을 통제하는 것만으로도 악성코드감염율이 70% 이상 줄어든다는 조사도 나왔다. 세이프브라우징에서 음란, P2P, 웹하드 등 카테고리 기반의 인터넷 접속통제는 여전히 중요하다.
 
둘째, 악성코드가 등장하면 접속을 차단하고 소멸하면 접속을 허용한다. 세이프브라우징은 실시간대응체계로 차단과 허용이 다이나믹하게 반복되며 차단리스트에서도 특정 사이트가 추가, 삭제되는 것을 반복한다.
 
셋째, 세이프브라우징은 어느 한 업체가 독점할 수 있는 용어가 아니다. 보안업체의 분석, 구글DB, KISA 등 한국 공공기관의 분석 등 여러 회사와 기관이 산출한 전문데이터를 합쳐서 세이프브라우징이라는 결과를 뽑아내게 된다.
 
악성코드 배포사이트 접속통제를 하다보면 모든 것이 모호해진다. 보안담당자는 구름 속에 빠진 듯, 보이지 않는 적을 쫓는 듯 불확실성 속에서 지쳐만 간다고 토로한다.
 
첫째, 악성코드 배포사이트라고 해서 언제나 악성코드가 배포되는 것은 아니다. 악성코드는 게릴라처럼 치고 빠지기를 반복한다. 언제 출몰했다 언제 사라질지 알 수 없다. 악성코드는 30분 혹은 1시간 단위로 배포와 중단을 반복하기 때문에 30분 전 악성코드 배포사이트라 해서 지금 이순간도 배포하고 있으리라는 보장이 없다.
 
둘째, 악성코드 배포사이트에 접속했다고 해서 PC가 감염되는 것이 아니다. 이는 PC의 면역력 즉 보안패치수준에 달려있다. 드라이브바이다운로드공격은 파일다운로드 없이 웹사이트접속만으로 악성코드를 감염시키는 공격을 이르는 말이다. 업계에서는 드라이브바이다운로드공격으로 인한 악성코드 감염율을 일반적으로 3%~5% 정도로 본다. 만일 감염율이 30%가 넘어가면 조직의 보안수준에 심각한 결함이 있는 것이다.
 
셋째, 악성코드 배포사이트로 판단, 차단할 경우 판단근거를 제시하기가 쉽지 않다. 보안담당자가 직접 악성코드를 분석하고 판단근거를 직접 제시하는 것이 가능할까? 악성코드 판단근거를 제시하는 일은 실제 악성코드를 만들어낸 해커수준의 실력이 필요한 일이다. 실력이 있다 해도 다른 업무를 할 시간을 악성코드 분석에 쏟아야 하는 어려움이 있다.
 
◇악성코드 분석방법=악성코드 분석방법은 크게 정적분석과 동적분석으로 나눌 수 있다.
‘정적분석(Static Analysis)’의 사전적 의미는 어떤 프로그램을 분석할 때 프로그램을 실행시키지 않고 그 자체를 분석하는 것이다. 악성코드분석에 있어 정적분석은 바이러스토탈(www.virustotal.com)을 들 수 있다. 바이러스토탈은 악성코드파일을 입력하면 악성코드감염여부를 판단해주는 사이트다. 악성코드를 열어서 실행시키지 않고 exe파일의 시그니처, 메타정보, 기존자료를 보고 판단한다.

‘정적분석’은 악성코드분석의 근간이 되는 방식으로 백신의 분석방식이기도 하다. 그러나 최근에는 APT공격으로 한 사람만을 겨냥한 악성코드가 개발되어지고 해커들이 사전에 바이러스토탈에 악성코드파일을 입력해보고 적발여부를 사전테스트한 후 침투시키면서 정적분석 무용론까지 나오게 되었다.
 
‘동적분석(Dynamic Analysis)’은 정적분석과 반대로 프로그램을 실행시키면서 단계적으로 분석 평가하는 것이다. 악성코드분석에 있어 동적분석은 ‘샌드박스’로 대표된다. 샌드박스는 미국 가정집 뒷 뜰에서 아이가 다치지 않고 놀도록 만들어놓은 모래통(Sandbox)에서 유래한 용어이다.
 
외부에서 받은 프로그램을 마치 샌드박스처럼 업무환경과 분리하여 가상화로 구성한 한정된 영역 안에 가둔 뒤 작동시키는 방법을 말한다.
 
실제 동적분석은 일부러 악성코드를 유입시킨 후 샌드박스 환경에서 실행시켜가면서 PC의 감염여부를 확인하여 악성코드여부, 감염경로를 추적한다. 아무런 보안조치를 취하지 않는 무방비상태를 만들어놓고 고의적으로 악성코드를 들러붙게 한 후 정체를 파악한다 해서 허니팟(HoneyPot, 꿀단지) 혹은 허니클라이언트라고도 한다.

동적분석의 정적분석 대비 장점은 PC감염이라는 결과를 보고 역추적하므로 신규등장 악성코드를 잡아낼 수 있다는 점이다.
 
◇국내 보안업체의 자체적인 동적, 정적 분석능력과 신속한 대응체계 필요=악성코드가 한사람을 겨냥해 맞춤화되고, 전통적 공식에 의존하지 않고 개별화, 다양화되면서 누가 가장 많은 인터넷 접속데이터를 가장 빨리 수집해서 종합적으로 분석한 후 가장 빨리 배포하느냐? 누가 그런 인프라를 갖추었느냐?가 악성코드 분석의 관건이 되고 있다.
 
끝없이 모호함과 싸워야 하는 악성코드분석은 완벽할 수가 없으며 확률을 최대한 끌어올리는 작업이다. 정확성의 확률을 높이기 위해서는 정적분석과 동적분석을 병행해야 하며 국내 업체 뿐만 아니라 글로벌 보안기업이 산출한 데이터, KISA 등 공공기관이 산출한 데이터 등 가능한 많은 데이터를 실시간으로 획득하는 능력, 그 데이터를 다양한 기준을 종합해 총체적으로 분석하는 능력이 무엇보다 중요하다.
 
또한 악성코드를 한번 배포한 사이트는 잠재적 배포 사이트로 간주, 특별 관리를 해야 한다. 일종의 악성코드배포사이트 전과자명단을 만든다고 볼 수 있다.
 
세이프브라우징 초기에는 구글의 세이프브라우징 DB가 시작점이 될 가능성도 있다. 구글의 브랜드와 기술력에 대한 신뢰 때문이다. 현재, 구글은 약 80만개의 악성코드 배포사이트 DB를 보유하고 있으며, 우리나라에서 자주 방문하는 사이트 200만개를 분석해 주간 200여개~ 3천여 개 사이트를 악성코드 차단리스트에 추가 및 삭제하고 있다.
 
향후에는 우리나라 보안업체의 자체적인 동적, 정적 분석능력과 신속한 대응체계가 확대될 것으로 기대된다.
 
전통적인 유해사이트 차단업체, 바이러스 업체가 이 시장에서 영역을 확대하고 있으며 국가기관에서도 자체적으로 분석인프라를 구축해 산하기관에 서비스하고 있다. 향후 세이프브라우징은 인터넷접속 통제정책으로 확대 정착될 것으로 예측되며, 망분리정책을 상호보완하는 방식으로 진화할 것으로 기대해본다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com