[Special Report] APT 대응, 승패는 ‘분석’에 달렸다

2013.03.06

 

2011년 이란 원전 마비부터 2012년 국내 금융기관 전산망 마비, 2010년 구글 등을 해킹한 오퍼레이션 오로라부터 최근 국내 주요 포털사이트 및 게임사 개인정보 유출 사건까지. 발생 국가와 시기, 피해 규모, 공격에 사용된 기술은 다르지만 모두 한 가지 용어로 분류된다. 고도화된 타깃 위협 APT(Advanced Persistent Threat)가 그것이다.

 

그런데 국가도 공격 방식도 각기 다른 이들 APT 공격에는 한 가지 공통점이 있다. 공격의 기법이나 수준이 나날이 다양화, 고도화되고 있는 것은 분명하지만 모든 공격의 시발점은 여전히 ‘악성코드’라는 것이다. 문제는 시그니처 기반의 전통적인 보안 솔루션만으로는 알려지지 않은 신·변종 악성코드 대응에 한계가 있다는 점이다. 이 때문에 전 세계 기업들은 고도화된 악성코드를 기반으로 한 위협 대응 방안 마련을 위해 고심하고 있다.

 

안랩은 APT 대응 전략으로 다차원적인 악성코드 분석 기술을 내세워 지난 2월 미국 샌프란시스코에서 개최된 RSA 콘퍼런스 2013에서 세계의 이목을 집중시켰다. 다차원 분석 기술을 기반으로 한 안랩 트러스와처(AhnLab TrusWatcher, 이하 트러스와처)의 APT 대응 전략을 살펴보자.

 

 

APT라는 용어로 대표되는 최근의 사이버 위협은 다양한 기술을 이용해 특정한 대상에게 지속적으로 고도화된 공격을 가한다. PDF나 MS워드 등의 애플리케이션 취약점을 이용, 악의적인 실행 파일을 삽입해 이메일에 첨부하는 방식이 대표적이다. MS워드 등 문서 파일의 아이콘으로 위장한 뒤 사용자들의 의심을 피해 exe 등의 확장자를 가진 실행 파일을 유포하는 형태도 종종 볼 수 있다.

 

 

이러한 APT 공격 기법이 지난 2012년을 기점으로 다시 한 번 진화했다. 타깃 기업의 직원들이 많이 사용하는 운영체제나 프로그램을 파악해, 이른바 ‘맞춤형 악성코드’를 제작해 유포한 형태가 발견된 것이다. 심지어 타깃 기관에서 이용하는 특정 프로그램의 업데이트 서버를 이용해 해당 기관으로 악성코드를 유입시킨 교묘한 사례도 발생했다. 해외에서는 악성코드를 일반 애플리케이션의 설치 파일과 함께 한 번 더 실행 압축하여, 정상적인 설치 파일이 실행되는 것처럼 위장한 사례도 나타났다. 이 밖에도 윈도우의 도움말 파일(HLP)에 악성코드들을 삽입한 사례 등이 있었다. 이처럼 다양한 기술을 통해 유포되는 악성코드들을 얼마나 신속하고 정확하게 분석하느냐, 이것이 바로 APT 공격 대응의 관건이라 할 수 있다.

 

 

평판 피드백부터 연관 분석까지, 다차원적인 행위 분석

 

주요 악성코드 분석 기법에는 정적(static) 분석과 동적(dynamic) 분석이 있다. 정적 분석은 PE 헤더(header) 등 파일의 외형적인 특징을 분석하거나 OllyDbg, IDA Pro 등 전문 툴을 이용해 코드를 하나 하나 분석하는 프로세스를 의미한다. 일반적으로 정적 분석은 악성코드 분석 전문가들에 의한 수동 분석으로, 충분한 분석 시간이 보장되어야 한다.

 

동적 분석은 분석 대상, 즉 샘플 파일을 통제된 분석 환경 내에서 실행하고 이 때 발생하는 행위를 모니터링 및 분석하는 프로세스를 말한다. 분석 시스템 내에서 샘플 파일을 실행하는 즉시 네트워크 행위, 레지스트리 변조, 파일 시스템 변조 등 다양한 운영체제(OS)의 변화를 확인할 수 있다. 다만, 확인된 OS의 변화 및 결과에 대한 해석을 통해 정상적인 행위나 악성 행위, 또는 의심스러운 행위를 판단하는 과정에서 있어 판단 기준에 따라 오탐 또는 미탐이 발생할 수 있다.

 

현재 대부분의 APT 대응 솔루션은 동적 분석 방식을 채택하고 있다. 동적 분석 방식을 통해 악성 또는 정상 행위를 즉각적으로 판단할 수 있기 때문이다. 특히 시그니처 기반으로는 판정하기 어려운 신·변종 악성코드는 가상 환경에서 샘플 파일을 실행하고 그 행위를 모니터링하는 과정이 필수적이라 할 수 있다.

 

트러스와처는 기업 네트워크로 유입되는 파일 중 90% 이상을 차지하는 알려진 파일에 대해서는 클라우드 기반의 ASD(AhnLab Smart Defense)로 탐지하고, 나머지 10% 이하의 알려지지 않은 신·변종 파일은 가상 머신 상에서 행위 기반 분석 기술로 탐지한다. 특히 OS의 변화가 생기는 것을 감지하기 위해 사용자 모드(user mode)와 커널 모드(kernel mode)에서 API 함수(function)를 후킹(hooking)하는 한편, 특정 이벤트가 발생할 때 시스템에서 자동으로 호출하는 이벤트 알림 루틴(notification routine)을 동시에 모니터링한다.

 

[그림 1] 트러스와처의 행위 분석 엔진 아키텍처

 

트러스와처는 행위 기반 분석 시 해당 파일의 행위만 분석하는 것이 아니라 해당 파일의 실행과 관련된 모든 연관 파일에 대한 시그니처 기반 악성 여부, 평판 정보까지 복합적으로 검토한다. 연관 파일에 대한 시그니처 기반 분석을 통해 악성 여부 판정부터 연관된 파일들이 접속하는 URL/IP의 위험도, 그리고 평판 정보 및 종합적인 행위를 다차원적으로 분석하는 것이 트러스와처의 가장 큰 특징이다.

 

[그림 2] 트러스와처의 다차원 분석

 

 

평판 기반 분석은 알려지지 않은 악성코드를 활용하는 타깃 공격을 감지하는데 있어 매우 중요한 역할을 한다. 기존의 분석 방법에 평판 기반 분석이라는 새로운 분석 벡터를 추가함으로써, 고도화된 악성코드에 대해 더욱 원천적인 대응이 가능하기 때문이다. 이와 관련해 트러스와처는 샘플 파일의 출처와 수집 시점, 해당 샘플을 사용하고 있는 사용자 수 등 샘플 파일 자체뿐만 아니라 해당 파일과 연관된 모든 정황 정보(contextual information)를 파일 분석에 활용한다. 또한 클라우드 기반의 악성코드 분석 시스템 ASD 데이터베이스의 평판 분석 피드백까지 다각도로 고려해 오탐 및 미탐을 최소화한다.

 

[그림 3] 멀티 벡터를 이용한 트러스와처의 정황 정보 분석

 

 

문서 등 비실행형 파일을 이용한 악성코드, ‘꼼짝 마!’

 

타깃 공격의 가장 두드러진 특징은 웹 브라우저 또는 웹 브라우저 플러그인, 문서 편집기 등 애플리케이션을 이용한다는 점이다. 얼마 전까지만 해도 공격자는 악성코드 자체를 이메일에 첨부하거나 악성코드를 유포하는 URL로 유도하는 방식만으로도 충분히 공격 대상에게 피해를 입힐 수 있었다. 그러나 웹 브라우저나 클라이언트 메일 프로그램에 보안 기능이 기본으로 탑재되거나 강화되면서 이러한 공격 방식은 더 이상 유효하지 않게 되었다.

 

이에 공격자들은 문서 파일과 같은 비실행형 파일(non-executable file)로 눈을 돌렸다. 셸코드(shellcode)가 삽입된 PDF 파일이나 MS 워드 파일을 이용하는 것이 기존의 공격 방법보다 쉽고 성공 가능성이 높다는 것을 알게 된 것이다. 공격자들은 애플리케이션 취약점 공격과 사회공학기법을 결합해 공격 대상이 별 다른 의심없이 파일을 열어보도록 유도함으로써 성공적으로 공격의 토대를 마련한다.

 

이 같은 비실행형(non-PE) 파일을 이용한 공격을 탐지하기 위해 트러스와처는 동적 콘텐츠 분석 기술 DICA(Dynamic Content Analysis)를 탑재했다. DICA는 안랩의 정적·동적 악성코드 분석 노하우가 반영된 특허 기술로 가상 환경 내에서 문서, 동영상, 스크립트 등 비실행형 파일을 직접 검증한다.

[그림 4] DICA 기술을 이용한 셸코드가 삽입된 문서 파일 탐지 사례

 

 

 

[그림 4]는 DICA 기술을 통해 문서 파일에 삽입된 셸코드를 탐지한 사례다. 해당 파일은 브랜치 모듈의 메모리 영역에 익스플로이트가 발생해 EIP가 정상적인 영역 외에 셸코드 영역을 동작시킨다. DICA 기술은 셸코드가 실행되기 전에 해당 파일의 EIP가 비정상적으로 동작하여 정상 메모리 영역(AcroRd32.exe)이 아닌 셸코드(0x05C50000) 영역으로 이동하는 것을 탐지했다.

 

DICA에 의해 악성으로 판정된 파일 또한 행위 기반 분석을 통해 구체적으로 어떤 의심 행위나 악의적인 행위를 수행하는지 등을 확인한다. 이 같은 다차원적인 분석 기술을 이용해 트러스와처는 알려지지 않은 파일 탐지 및 진단에 대한 신뢰성을 높였다. <Ahn>

* 이어지는 자세한 내용은 안랩홈페이지를 참조하세요