하루 160만개의 악성코드와 그 변종이 전 세계적으로 발생하고 있다. 악성코드를 만드는 방법이 단순하고 쉽기 때문이라고 전문가들은 말하고 있다. 바이러스 제작자가 원본 바이러스를 제작하면 다른 제작자들이 툴을 이용해 쉽게 여러 변종을 생성한다. 이렇게 하나의 악성코드는 전혀 다른 악성코드로 수십, 수백개로 생성이 가능해 진다. 이런 상황에 파일 기반의 전통적인 탐지 기법은 더 이상 효과적인 대응책이 아닌 것이다.
 
시만텍코리아 양희선 차장은 “바이러스 제작자들의 전략이 진화하고 있다. 예전에 소수 악성코드의 무차별적인 배포로 전세계에 걸친 대규모 확산과 큰 피해를 일으켰다”며 “최근에는 많은 악성코드 변종들을 만들어 다양한 경로로 배포하고 있다. 또 원하는 대상에게 정교하게 악성코드를 배포하고 대규모 확산으로 연결되지 않는 방향으로 가고 있다”고 설명했다.
 
또 표적공격은 계속 증가하고 있다. 2012년에 비해 2013년까지 통계를 보면 91%가 증가했다. 직원수 2,501명 이상 기업이 50%를 차지했고 직원 1명~250명 이하 기업에서 표적공격이 31%를 차지한 것으로 조사됐다. 즉 대기업뿐만 아니라 중소기업을 타깃으로 한 표적공격도 증가하고 있음을 알 수 있다.

 
양 차장은 “표적공격은 기업에서 임원과 연구개발 인력을 중심으로 발생하고 있으며 침입한 사실을 알기까지 평균 소요기간은 243일이 걸리며 인지후 조치하는데는 4개월의 시간이 걸리고 있다”고 말했다.
 
대표적인 표적공격으로는 주로 표적 대상에게 이메일을 발송해 공격하는 ‘스피어 피싱’과 웹사이트를 감염시킨 후 잠복하는 ‘워터링 홀’ 공격이 있다.
 
2012년부터 유행하고 있는 워터링 홀 공격은 500개 이상 기업이 감염된 바 있으며 모두 24시간 이내 감염이 이루어진 것으로 조사됐다. 공격자들이 단시간내에 많은 피해자들을 양산하기 위한 목적으로 사용되고 있다.
 
지능형 위협을 대응하기 위한 방안으로 양희선 차장은 “정보보안팀은 올바른 조직구조, 전략 및 재능을 보유한 팀이 되어야 하며 대응팀은 효율적인 대응프로세스로 침해사고에 대해 빠르게 대응할 준비가 되어야 한다. 또 기업을 대상으로 하는 일반적인 공격 및 지능형 위협을 식별할 수 있는 인텔리전스를 통해 가시성을 확보해야 한다”고 조언했다.
 
또 “새로운 표적 공격을 발견할 수 있어야 하며 대응하고 보호하기 위한 시간을 최소화하는 것도 필요하다. 또 각각 다른 보안 이벤트로부터 표적공격을 구별해야 하며 오탐없이 공격을 차단해야 한다”고 강조했다.
 
특히 다단계 보호 기술 적용에 대해 강조했다. 그는 “우선 악성코드가 시스템에 유입되기 전에 악성코드의 42% 정도 네트워크 접근을 차단해야 하며 의심스러운 속성값 또는 시그니쳐에 의한 검색으로 50% 가량의 악성파일을 차단해야 한다”며 “다음 단계가 중요하다. 최후의 방어수단으로 데이터의 평판값을 이용해 악성파일 및 악성 웹사이트를 차단해야 하며 또 프로세스의 의심스러운 행동을 모니터링 해 악성코드를 차단하고 치료하는 것이 필요하다”고 전했다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com