본문 바로가기
AhnLab 보안in

[Special Report] 2부_APT 공격 대응, '넣고 빼기' 아닌 '어떻게'가 관건

by 보안세상 2020. 4. 15.

2012.10.16

 

지난 2011년부터 수천만 건에 달하는 대규모 개인정보 유출 사건이 잇따라 발생하고 있다. 전문가들은 이러한 개인정보 유출 사건의 주범으로 APT 공격을 지목한다. APT(Advanced Persistent Threat)는 '낙숫물로 댓돌을 뚫듯' 목적을 달성할 때까지 다양한 기술을 동원해 지속적으로 타깃을 공격한다. 따라서 기존의 대응 방식이 아닌 조직적이고 고도화된 대응 방법이 필요하다는 것이 중론이다. 이에 최근 시장에는 일명 APT 대응 솔루션, 또는 좀비PC 방지 솔루션이 속속 등장하고 있다. APT 대응 솔루션 선택 시 가장 중요한 기준은 무엇일까?

 

고도화된 지능형 타깃 공격 APT의 시작도 결국 악성코드다. 다양한 최신 기술을 이용해 방화벽, IPS, 안티바이러스와 같은 전통적인 보안 솔루션의 탐지를 우회하는 악성코드가 지능화된 타깃 공격의 성공 여부를 가른다.

 


물론 기존과 같이 수집된 악성코드의 샘플 분석을 통해 시그니처(Signature)를 생성하고, 해당 시그니처를 보안솔루션에 업데이트함으로써 익히 알려진 악성코드에 대한 탐지는 가능하다. 그러나 하루에도 수천 개 이상의 신종, 변종 악성코드가 제작되는 상황에서 샘플이 수집되지 않은 악성코드에 대해서는 탐지가 불가능하다. 이에 최근 시장의 APT 대응 솔루션은 알려지지 않은(Unknown) 악성코드를 신속하고 정확하게 탐지할 수 있는 지에 초점을 맞춰 기술적인 발전을 꾀하고 있다.  동시에 기존 시그니처 기반의 악성코드 탐지 기법의 실효성은 부정하고 있다. 대신 행위기반 등 다양한 최첨단 기술로 무장해 APT라는 용어 못지 않게 기업의 보안 관리자들의 골치를 아프게 하고 있다.

 


문제는 그 다양한 기술들이 실제 악성코드 탐지에 충분한 제 기량을 발휘하지 못 하는 경우가 허다하다는 점이다.

 

 

시그니처 기반 탐지 무용론의 허와 실

 


일부 제품들은 ‘APT 위협 = 알려지지 않은 악성코드 = 시그니처 기반 탐지의 무용론’을 근거로 제시하면서 시그니처리스(Signautre-less) 제품임을 강조하고 있다. 그러나 네트워크로 유입되는 90% 이상의 파일은 알려진 정상 파일 또는 악성코드로 구성되어 있기 때문에 보안장비의 실효성 측면에서 필수적으로 시그니처 엔진의 탑재가 필요하다.

 


가트너(Gartner) 자료에 따르면, 시그니처 기반 악성코드 탐지 엔진을 통해서도 알려지지 않은 악성코드의 50%는 감지가 가능하며, 일부에 소량(Low volume) 유포된 악성코드나 타깃형(Targeted) 악성코드 또한 20% 정도는 탐지 가능하다.

 

[그림 1] EPP technology trend(출처: Gartner)

 

 

 

적재적소 기술 배치가 고효율의 기본

 


성능 관점에서 시그니처 기반 엔진의 필요성을 보다 구체적으로 살펴보자.

 


[그림 2]는 단위 시간 기준, 가상 OS 환경(VM, Virtual Machine)에서 동작하는 전통적인 시그니처 기반의 악성코드 분석 엔진과 다른 두 가지 종류의 엔진의 분석 건수를 비교한 표이다.

 


[그림 2] 엔진별 악성코드 분석 건수(기준 1초)

 

트러스와처(AhnLab TrusWatcher)는 알려지지 않은 악성코드를 탐지하기 위해서 VM 기반의 행위 분석 및 동적 컨텐츠 분석을 수행한다. 또한 장비 1대 기준으로 행위 기반 분석에 의해서 초당 약 0.2건 ~ 1건의 샘플 처리가 가능하다. 반면에 알려진 악성코드 및 정상파일에 대해서는 시그니처 기반 엔진을 통해서 초당 약 3,500건의 분석 성능을 제공하고 있다.

 


즉, 시그니처 기반 분석 없이 VM 기반의 엔진만으로 알려진 악성코드 및 정상 파일을 분석할 경우 1초만에 분석할 수 있는 상황이 최대 5시간을 기다려야 하는 상황으로 바뀌게 된다(3,500건/0.2건/60초/60분=약 5시간). Ahn

 

 

*이어지는 자세한 내용은 안랩 홈페이지를 참고해 주세요