본문 바로가기
AhnLab 칼럼

사이버상의 4가지 창과 4가지 방패 뭘까?

by 보안세상 2020. 4. 21.

2009.09.02

 

사이버상의 4가지 창과 방패 뭘까?


모순(矛盾)이란 말이 있다. 삼척동자도 알고 있는 고사성어 『모순』. 이 고사성어는 모든 것을 뚫을 수 있는 창과 어떤 창이라도 막을 수 있는 방패를 파는 장사꾼이야기에서 유래되었다.

나는 이 고사성어를 들을 때마다 『앞뒤가 맞지 않음』이라는 그 본래의 의미보다 온라인범죄를 일삼는 해커(크래커)와 보안업체와의 끝없는 싸움이 연상된다.

세상의 어떤 것도 뚫을 수 있는 창을 가진 해커. 그리고 그 창을 막을 수 있는 방패를 가진 보안업체. 이 두 집단이 한 번씩 주거니 받거니 하며 끝없는 싸움을 하고 있다.

개인적으로는 지금까진 해커집단의 우세라고 생각한다. 그도 그럴 수 밖에 없는 것이 공격자 입장에서는 단 한 곳의 허술한 부분을 찾으면 뚫을 수 있는 것이고, 수비자 입장에서는 단 한 곳이라도 허술하면 뚫리기 때문이다.

 

해커가 가진 네 가지 창 

첫 번째 창 - DDoS 공격
해커들이 찾아낸 허점, 사실 그냥 허점이라고 하기엔 너무나 강력해서 세상의 모든 방패도 뚫어 버리는 강력한 창, 해커는 이런 것을 몇 개씩이나 가지고 있다. 그 중 대표적인 것은 이제는 너무나도 유명해져 버린 DDoS공격이다.

지난달 우리나라는 정체불명의 괴한(?) 또는 괴집단으로부터 목적을 알 수 없는 DDoS공격을 받았다. 주요기관과 회사들의 홈페이지가 마비되는 불편함을 격어야 했다. TV뉴스를 포함해서 각종 언론에서 연일 다루는 바람에 전국민이 DDoS를 어떻게 발음해야 하는지 알게 되었을 정도다.

이들 해커 아니 온라인범죄자에게 있어 DDoS는 아주 훌륭한 공격도구다. 완벽한 대응방법이 없기 때문이다. 서버의 앞 단에 설치되는 스위치, 라우터 등의 네트워크장비나 방화벽, IPS, UTM등의 보안장비 들 중에 뭔가 하나가 한계 성능에 도달하면 홈페이지 접속이 불가능해진다.

더욱이 이 모든 장비가 충분히 갖추어져 있어도 준비된 대역폭을 넘는 패킷이 들어오면 장비들은 모두 온전히 살아있지만 홈페이지는 접속되지 않는 우울한 상황이 계속된다.

 

 

두 번째 창 - 제로데이공격 
해커가 찾아낸 두 번째 허점은 제로데이공격이다. 이는 시스템에 존재하는 취약점을 공격하는 것이다. 취약점이 발표되면 그로부터 수시간 내에 악성코드로 제작되어 배포되는 것으로 알려져 있다.

이렇게 제작된 악성코드는 패치가 개발되고 시스템에 설치되기 전까지 유효하다. 특히 스팸이나 피싱, 트로이목마와는 달리 사용자의 오감(五感)으로 공격을 감지해낼 방법이 낼 방법이 없는 경우가 태반이다. 쥐도 새도 모르게 당해 버린다고 할까?

발표된 취약점 또는 패치를 자동으로 분석해서 공격도구를 만드는 수준까지 도달했다고 하니 참으로 걱정이 아니 될 수 없다.

 

 

세 번째 창 - 악성코드 급증
세 번째는 변종을 포함해서 엄청나게 늘어나는 악성코드의 수다. 도대체 하루에 얼마만큼의 악성코드가 발견되는지 알 수가 없다. 2009년에는 하루에 2~3만개의 악성코드가 나타나는 것으로 추정하고 있을 뿐이다.

한정된 인력으로 구성된 분석팀에 처리할 수 있는 것 이상으로 많은 샘플쏟아 부어지고 있다. 악성코드분석팀에 DDoS공격을 하는 셈이다. 이외에도 루트킷이다 뭐다 더 많지만 필자가 정말 걱정하는 건 따로 있다.

 

 

네 번째 창 - 개인정보 유출
바로 특정인을 대상으로 한 공격이다. 금전이나 중요한 정보의 침탈을 목적으로 특정인을 공격한다면 과연 당해낼 자가 있을지 의문이다. 온/오프라인을 곁들여서 전화와 우편, 인터넷을 섞어서 그리고 미리 알아내둔 개인정보를 활용해서 공격한다면 속수무책으로 당할 수 밖에 없다.

최근에 일부 기관에서 고위층 이름으로 발송된 허위 메일이 발견되었다는 이야기를 들은 적이 있다. 이메일의 이름을 바꿔서 속이는 거야 너무나도 간단하니 해킹이라 할 거리도 없다.

당신이 오늘 상급자에게 받은 메일이 진짜 일까? 당신이 상급자로부터 받은 메일에 첨부된 실행파일을 실행하는 순간 당신PC에 저장된 기밀문서가 해커의 손으로 넘어가 버릴지도 모른다. 요즘 세상엔 믿을게 하나도 없다.

 

 

보안 업체가 가진 네 가지 방패

첫 번째 방패 - 블랙리스트 방식
최근 2~3년 동안 보안업체는 완전히 수세에 몰려있었던 것 같다. 폭발적으로 늘어나는 악성코드를 처리하기에 급급했었다. 전통적인 백신(AV) 제품은 블랙리스트방식이다.

이는 악성코드로 의심되는 샘플을 수집하고 샘플을 분석하여 악성코드로 확인되면 파일을 특정부분을 코드화하여 시그니처로 엔진에 탑재하여 사용자PC에 배포하는 방식이다.

이 방식은 안철수 박사가 의사생활을 하면서 밤새 프로그래밍하던 시절부터 몇 년 전 하루에 악성코드가 수십 개 정도 발견되던 시절까지 매우 효과적인 방법이었다.

그러나 지금은 상황이 다르다. 처음 부딪힌 문제는 분석량이었다. 하루에 도착하는 수천 건의 샘플을 인간이 손으로 어떻게 다 분석한단 말인가?

자동화에 자동화를 거쳐서 분석문제가 줄어들자 두 번째 부딪힌 문제는 엔진크기 문제였다. 많이 잡으면 잡을 수록 엔진크기도 같이 늘어난다. 엔진이 커지면 메모리도 많이 쓰게 되고 CPU도 많이 쓰게 된다. PC가 느려지는 것이다. 따라서 엔진의 다이어트가 시급해 졌다.

엔진크키가 커지면 업데이트시 네트워크 대역폭도 많이 쓰게 되고 자동분석으로 하루에도 수 차례 이상 업데이트가 이뤄지면서 트래픽도 자연스레 늘게 되었다. 또 다이어트한 엔진의 크기도 어느덧 다시 한계가 가까워지고 있었다.

 

 

두 번째 방패 - 클라우드 시큐리티 
이 때 혜성처럼 나타난 것이 클라우드 시큐리티다. 클라우드 컴퓨팅에서 아이디어를 얻어서 시작된 이 기술은 이제 막 알에서 깨어난 상태로 무궁무진한 발전가능성이 있다. 해커들에게 한방 날린 것이라 할 수 있다.

이 기술은 서버쪽에 데이터를 두고 PC쪽에는 탐지와 실행을 주로 담당하게 한다. 시그니처 데이터가 모두 서버에 있고 PC에서는 필요할 때 마다 서버에 접근해서 확인함으로써 PC에 모든 시그니처를 둘 필요가 없어졌다. 기하급수적으로 늘어나는 악성코드 때문에 엔진크기를 걱정해야 할 필요가 없어져 버린 것이다.

더욱이 샘플의 수집과 분석 과정이 자동으로 일어나기 때문에 그 어느 때 보다 빠른 대처가 가능해졌다. 빠른 샘플의 수집과 대응으로 서버쪽 장비를 증설하는 것으로 일관했던 DDoS대응방식을 PC단말에서 DDoS공격의 원천을 차단하는 방식으로 전환이 가능해졌다.

이상행위를 수행하는 악성코드를 탐지하고 보고하기 때문에 동시 다발적으로 발생하는 이상행위에 대해서 DDoS공격 경보를 할 수도 있게 된 것이다. 드디어 보안업체도 멋진 방패를 하나 가지게 되었다.

 

 

세 번째 방패 - 화이트리스트 방식 
방패는 많으면 많을수록 좋다. 이에 나타난 세 번째 방패는 화이트리스트기반, 평판기반보안이다. 앞서 언급한 블랙리스트개념과는 정반대의 개념이다. 알려진 안전한 어플리케이션목록을 만들고 이 목록에 들어가지 않는 어플리케이션은 악성코드로 간주하는 것이다.

이 개념은 이론적으론 너무나도 완벽하다. 내가 쓰는 한정된 프로그램이 아니면 다 악성코드로 간주해버린다면 내 PC에 악성코드는 발을 못 붙인다. 특정인을 공격하도록 작성된 악성코드도 실행이 안되니 무용지물일 뿐이다. 악성코드가 빠져나갈 구멍이 없어 보이지 않는가?

이론적으로는 매우 간단해 보이지만 실제로는 만만치가 않다. 좋은 프로그램과 나쁜 프로그램은 어떻게 구분할 것이며 마찬가지로 내가 쓰는 프로그램과 내가 쓰지 않는 프로그램은 또 어떻게 구분할 것인가?라는 난제가 있다.

PC에 있는 파일을 식별하는 것이 관건이다. 파일을 누가 개발해서 배포한 것인지 어떤 제품에 속해 있는지를 알아내야 한다. 파일을 제작한 회사가 인증서로 서명 한 번만 해주면 쉽게 해결될 일 이지만 대부분의 중소 소프트웨어벤더는 서명을 하고 있지 않다(참고로 마이크로소프트의 모든 PE파일에는 서명이 되어있다).

완벽하진 않지만 해외에서 Bit9이란 회사가 이 분야를 전문적으로 하고 있다. 이 분야에서도 안철수연구소의 그레이제로를 비롯하여 여러 시도가 되고 있으며 시만텍의 내년도 제품에는 평판기능이 들어가 있다.

 

 

네 번째 방패 - HIPS 기술 
보안 업체가 보유한 마지막 방패는 HIPS(Host-based Intrusion Prevention)이다. 이는 너무도 막강해서 잘못 쓰면 주화입마 돼버린다. 이 기술도 화이트리스트기반이다. 두 번째와 다른 것이 있다면 파일 뿐만 아니라 행동기반으로 개별행위까지도 화이트리스트에 근거해서 차단해 버린다는 것이다.

세 번째 HIPS기술은 매우 중요하다. 앞의 두 방패는 제로데이공격을 막을 수 없기 때문이다. HIPS는 사전방어적인 기술로 잘 사용되면 매우 강력히 악성코드를 막을 수 있다. 예를 들어서 임의의 프로세스가 시스템 프로세스를 조작하려고 하면 가차없이 차단해 버린다. 이 또한 개념이 단순하고 깔끔하다.

그러나 문제는 정상적인 프로그램도 시스템 프로세스를 조작할 수 있다는 것이다. 이 기술을 도입한 제품은 정상적인 프로그램과 악성프로그램을 구별하는 것을 사용자가 결정하도록 알림창을 띄운다. 문제는 사용자가 알림창을 본다고 해도 악성인지 정상인지를 알 길이 없다는 것이다. 게다가 알림창은 엄청나게 자주 뜬다.

문제가 이렇다 보니 HIPS기반 제품에서는 인증서로 서명된 프로세스의 행위는 허용하도록 하는 정책을 통해서 이 문제의 해결을 시도하고 있다. 그러나 여전히 서명된 프로그램의 숫자가 매우 적기 때문에 미진한 부분이 있다.

 

과거 수년간 확실히 악성코드는 맹위를 떨쳐왔다. 그러나, 지금 우리는 수년간의 고생 끝에 그 들에 대항 할 수 있는 그리고 판도를 뒤집을 수 있는 기술을 찾았다.

클라우드 컴퓨팅과 평판기반 보안, 행동기반 HIPS와 같은 무엇이라도 막을 수 있는 방패 같은 기술을 손에 막 넣기 시작했다. 아직은 미완성상태이지만 올해 그리고 내년쯤엔 이 기술들이 서로 잘 어우러져 완성된 모습을 갖출 것이다.

그리고 이는 단지 시간문제다. 내년 이맘때쯤엔 온라인으로 못된 짓을 하는 범죄자들에게 카운터펀치를 먹일 수 있기를 희망한다.@


출처 : 안철수연구소

위 글은 안랩닷컴  

  페이지에서도 제공되고 있습니다.

보안에 대한 더 많은 정보 안랩닷컴에서 찾으세요 :D


안랩닷컴 보안정보 中 보안포커스 / 전문가 칼럼
http://kr.ahnlab.com/info/securityinfo/secuinfo/newSecuNewsView.ahn?category=001&mid_cate=001&cPage=1&seq=14837