우리는 왜 클라우드 보안을 말하는가?!

2010.09.29

 

사이버 공격은 ‘속도의 전쟁’이다.
하루에도 수천, 수만 개의 악성코드가 생성되고 있다. 공격자들이 만들어내는 신종 악성코드 수와 보안 업체들이 처리하는 시그니처 수의 격차는 좀처럼 좁혀 들지 않고 있다. 오히려 그 간격이 점차 커지고 있다는 것이 오늘날의 현실이다. 이와 같은 사이버 공격을 사람의 힘으로 대응하는 것은 불가능하며 자동화된 방식으로 신속하게 대처하더라도 불충분하다. 이러한 강력한 사이버 공격에 대처하기 위해서는 사전에 적극적으로 방어하는 기술이 필요하다.

이에 2회에 걸쳐 최근 사이버 공격의 특징과 기존 대응 방법을 문제점을 살펴본다. 그리고 이를 해결해 줄 클라우드 컴퓨팅 개념의 악성코드 대응 기술인 AhnLab Smart Defense에 대해 소개하고자 한다.


최근 보안 위협 동향 - 금전적 이득을 향한 입체적 공격

초기 악성코드는 제작자의 호기심 또는 자기 과시에서 제작되었다. 하지만 더 이상 제작의 목적이 악성코드를 만들어 유행시키는 것이 아니다. DDoS 공격, 개인정보 유출, 스팸메일 발송 등 ‘금전적 이득’을 목적으로 제작되고 있다.

금전적 이득을 목적으로 악성코드를 생산함에 따라 ‘대량 생산’, ‘자동 변종 생산’ 등 사업화 모습을 띄며 활발한 거래가 이루어지는 사이버 블랙 마켓이 형성되고 있다. 이렇게 악성코드 제작 툴이 저렴하게 거래되자, 악성코드의 숫자가 이전에는 상상할 수 없었을 정도로 폭발적인 증가세를 보이고 있다.

악성코드 제작이 금전적 이득으로 연결되자, 악성코드 제작도 시장 경제 원리로 움직이기 시작한다. 주민등록번호, 은행계좌번호, 신용카드 정보 등 개인 정보에 대한 거래가 활발해지면 개인정보 유출 악성코드의 제작/배포가 급증하게 되고, 특정 기업에 DDoS 공격을 감행하고 이를 미끼로 돈을 요구하는 사례가 늘어나면서 DDoS 공격에 이용되는 봇(Bot)의 제작이 유행처럼 늘어나게 된다.

 

[그림 1] 악성코드 증가 추세 (출처 AV-Test.org)

특히, 악성코드가 네트워크 공격에 이용되면서 DDoS 공격에서도 변화를 겪게 된다.

초기 DDoS 공격은 고난도의 해킹 기술은 이용한 시스템 자원을 고갈시키는 양상을 보이다 2007년도부터는 C&C (Command & Control) 서버 기반의 봇(Bot) 제어를 통한 DDoS 공격이 주를 이루었다. 특히 이 시점부터는 사이버 블랙 마켓에서 GUI 기반의 악성코드, 해킹, DDoS 공격 툴이 저렴하게 거래되면서 이러한 사이버 공격이 더욱 증가했다. 이는 전문 해커가 아닌 비전문가도 손쉽게 악성코드를 제작하여 사이버 공격을 감행할 수 있게 되었기 때문이다.

 

가장 주목해야 할 변화의 시점은 2009년 발생한 7•7 DDoS 대란이다. 7•7 DDoS 대란은 예전의 공격 형태와는 다른 양상을 보였다. 공격자가 중앙에서 공격을 제어하는 방식이 아닌 공격에 이용되는 PC가 직접 특정 시점에 공격 목표를 업데이트 받고 동시 다발적으로 다양한 목적지를 향하는 공격이 특징이었다.

 

7•7 DDoS 대란 이후 DDoS 공격의 가장 큰 특징은 네트워크와 PC의 복합 공격이 대세를 이루고 있다는 것이다. 즉, 해킹, 악성코드, 봇, 네트워크 공격 등이 결합되어 하나의 보안 솔루션만으로는 이를 방어하기 힘든 상황이 펼쳐지고 있다.  이러한 DDoS 공격을 방어하기 위해서는 공격 대상의 보호도 중요한 방법이지만, 공격을 실행하는 코드의 분석을 통한 좀비 PC 의 원천적인 치료가 필요하다. 또한 치료가 어려울 경우 공격이 발생이 되지 못하도록 하는 조치와 공격 트래픽의 사전 방어 등이 필요한 상황이다.

[그림 2] 최근 DDoS 공격 진화 형태

 

최근 보안 제품의 한계점

앞서 살펴본 것처럼 보안을 위협하는 악성코드가 급증하고 복합적인 공격 양상을 띠면서 기존 보안 솔루션만으로는 방어하는데 한계가 존재한다. 기존 안티바이러스 제품이 안고 있는 문제점을 살펴보자.
 

   ■ 진단율 이슈 

매시간 수백, 수천 개의 신종 악성코드를 처리함에도 불구하고, 점점 더 많은 변종 악성코드가 만들어 짐에 따라 기존에 악성코드를 수집하고, 분석하고, 엔진에 포함시키는 일련의 작업들 만으로는 모든 악성코드를 처리할 수 없게 되었다.

 

많은 안티바이러스 솔루션 개발사들이 이러한 악성코드에 대항하여 진단율을 높이기 위해 시그니처 기반의 블랙리스트(Blacklist) 방식 이외에도 'Heuristic Detection', 'Proactive Prevention', 'Sandbox' 등의 다양한 기법을 사용하고 있다. 허나 이러한 방식은 안티바이러스 솔루션이 설치되는 PC 환경의 다양성, PC 사양의 제한, 업데이트 관리, 그리고 오진 등의 이슈로 인해 범용적으로 사용하기에는 한계가 있는 게 사실이다.

 

또한 진단 개수 증가는 엔진 사이즈 증가와 더불어 검사 속도 증가 및 더 많은 메모리 사용을 필요로 하며, 그만큼 오진의 가능성을 높이고 있다.

 
   ■ 업데이트 속도 이슈 

이렇게 악성코드의 숫자가 많아질수록 빠른 업데이트가 상당히 중요해진다. 과거와 달리 이제는 단 한 시간 업데이트가 지연되어도 수 천 개 이상의 신종 악성코드에 감염될 위험에 노출된다.

 

이에 따라 악성코드의 숫자의 폭발적 증가에 대응하기 위해 안티바이러스 솔루션 개발 업체의 경우 업데이트 주기를 단축하는 방법을 우선적으로 사용하고 있다. 현재 대부분의 업체에서 이전에 일주엔 한번 업데이트를 제공하던 방식에서 하루에 한번 이상의 시그니처 업데이트를 제공하고 있는 중이다. 그러나 이러한 업데이트 주기 변경 만으로는 현재의 이슈를 해결하는 것은 불가능하다.

 

요약하면 현재 악성코드 대응 방식은 다음과 같은 문제점을 안고 있다. 

- 최신 업데이트 미 적용: 사용자가 PC에 자동업데이트 설정해 놓지 않아 최신 업데이트를 적용하지 않았다면 위험에 그대로 노출
- 엔진 대응: 악성코드 출현 시 샘플 수집에서 엔진 제작까지 여러 단계를 거쳐야 하므로 이 시간 동안 위협에 무방비 노출
- 엔진 배포: 업데이트 주기를 단축하는 방법을 사용하고 있으나 업데이트 시간차에 따른 위험 여전히 존재

 

네트워크 보안 제품의 경우 기본적으로 내부 네트워크로의 불법적인 접근제어 및 네트워크 기반 공격을 탐지•방어하는 기능을 수행함으로써, 네트워크의 무결성을 유지하는 역할을 한다.
하지만 이미 악성코드에 감염된 PC의 내부 네트워크 악성코드 확산 행위를 효과적으로 제어할 수 있는 방법이 없다. 감염된 PC의 악성 트래픽 유포 행위를 정확하게 탐지할 수 있는 방법이 없거나 있어도 오탐이 많아 서비스 가용성을 심각하게 침해할 수 있다. 또한 악성코드에 감염된 PC에 대한 효율적인 자동치료 기능이 없어, 별도의 안티바이러스 제품으로 해결할 수 밖에 없다.

 

최근 DDoS 공격은 시스템 레벨과 네트워크 레벨에서 동시에 발생한다. 하지만 네트워크 보안 제품은 네트워크 레벨에서 공격 트래픽을 제어하는 역할을 할 뿐이다. 공격 발생 근원지인 시스템 레벨을 제어하지 않으면 공격은 계속 발생하기 마련이다. 따라서 공격 발생 근원지인 좀비 PC에 대한 치료와 네트워크 레벨에 대한 방어가 입체적으로 진행되어야 한다.
이제 그 해법을 후편에서 소개하고자 한다.

[후편보기 : 안철수연구소의 클라우드 전략, ASD 심층 분석]

위 글은 안랩닷컴 보안정보에서도 제공됩니다.
 더 많은 보안 정보를 만나보실 수 있습니다.