2010년 보안 트렌드, “평판”이 대세

2009.10.27

 

2010년의 단말 보안 제품의 키워드는 “평판”이다. 여러 회사에서 내년도 제품에 평판을 기반으로 한 기능을 탑재하였다. 시만텍과 카스퍼스키의 2010 제품에 주 기능으로 탑재하고 있으며 안랩에서도 평판기반기능을 탑재하기 위하여 준비 중이다. 사실 평판기반기술은 완전히 새로운 것은 아니다. 안철수연구소는 지난 2007년 초 평판기반 서비스 ‘그레이제로’를 발표한 바 있다. 과거의 평판기반기술이나 서비스의 목적이 사용자의 평가에 기반하여 어떤 제품이나 프로그램의 특성을 규정하는데 있었다고 한다면, 지금 도입되는 평판기반기술은 미처 수집/분석되지 못한 악성코드에 대처하는 것을 목적으로 한다. 새롭게 발표되는 평판기반기술에서는 사용자의 참여로 프로그램의 특성이 좌지우지되지는 않는다. 우리 PC를 한층 더 안전하게 지켜줄 기술, 평판기반에 대해 그 등장 배경부터 자세히 살펴보자.

 

그림 1 2007년 초 안랩이 발표한 평판기반서비스 '그레이제로'

 

빠른수집과 대응 노력만으로는 역부족
다양한 변종과 함께 한 해에만도 몇 천 만개씩 쏟아져 나오는 악성코드에 대한 기본적인 대응방법은 더 빨리 수집하고, 더 빨리 분석하고, 더 빨리 대응 엔진을 만들어 배포하는 것이다. 최근 수 년 동안 AV업계는 이 노력을 지속하고 있다. 악성코드가 등장하자 마자 최대한 빨리 대처하여 피해를 최소한으로 막는 것이다. 최초의 한 두 명이 감염될 수는 있겠지만 그 것이 퍼지지는 못하도록 하는 것이다.

 

각 보안업체는 샘플을 더 빠르게 수집하기 위해서 고객의 명시적 참여 동의 아래 자동으로 샘플을 수집하는 커뮤니티나 네트워크를 운영하고 있다. 컴퓨터를 망가트리거나 느려지게 했던 과거와 달리 오늘날의 악성코드는 사용자 모르게 쥐도 새도 모르게 침투하여 본연의 목적을 수행한다. 과거에는 사용자가 PC에 발생한 이상 징후, 즉 파일 삭제나 크래시를 쉽게 파악할 수 있었고 이를 해결하는 과정에서 악성코드로 의심되는 파일을 발견하여 신고 할 수 있었다. 게다가 네트워크로 서로 연결되어 있지 않아 전파 속도가 느렸다. 그러나 지금은 일단 감염되었는지 어떤지 증상이 없고, 악성코드가 스스로를 은폐하기 때문에 사용자가 발견하여 신고하는 것이 쉽지 않다. 게다가 유명 웹서버를 해킹하여 순식간에 전세계로 전파된다. 유일한 해결책은 자동으로 데이터를 신속하게 수집하여 악성인지 아닌지 분석하는 것뿐이다.

 

그림 2 카스퍼스키 시큐리티 네트워크 - 데이터 수집 동의서

 

이렇게 수집된 데이터는 자동으로 분석 처리된다. 도대체 얼마나 많은 데이터가 수집되고 처리되는 것일까? 이를 사람이 일일이 처리할 수는 없다. 게다가 수집되는 데이터에는 개인정보가 포함되어 있을 가능성도 있다. 구글의 스팸을 걸러내고 광고를 싣기 위하여 GMail이 자동으로 메일을 분석하여 개인정보를 보호하는 것처럼 보안업체도 자동분석시스템을 사용하여 신속하게 분석하고 개인정보를 보호한다. 리버싱을 통해 악성코드의 로직을 잘 분석하기만 하면 되었던 초창기와 달리 지금은 대용량 데이터 분석 및 처리과 서버 운영 능력까지 요구되고 있다. 안랩 만 해도 올해 7월 DDoS 대란 때 한 몫 했던, 클라우드 기반의 ASD(안랩 스마트 디펜스)서비스에 베타서비스 동안에만 수십 대의 서버를 사용했고, 정식으로 제품에 탑재되는 것에 대비하여 대규모 증설 계획 실행하고 있다.

 

그런데, 이제는 빨리 수집하고, 빨리 처리하고, 빨리 배포하는 것만으로는 부족해지기 시작했다. 악성코드가 불특정 다수를 대상으로 한 공격에서 특정한 부류나 심지어는 특정인을 대상으로 하는 방향으로 바뀌어 가고 있기 때문이다. 악성코드가 발견되기 전까지 감염되는 소수의 피해자와 특정인을 대상으로 한 공격의 피해자는 보호를 받기 어렵기 때문이다. 한정된 소수를 타겟으로 공격을 하면 자동 수집 대상에서 제외될 수 있다. 또, 어떤 보안상의 이유로 자동 수집 기능을 끄게 되면 해당 사이트에서 발생한 어떤 문제가 보안 센터로 통보되지 않기 때문에 해당 사이트를 타겟으로 한 공격에는 무방비상태에 놓이게 된다.

 

평판기반 기술로 사전에 PC를 보호하자

바로 이 부분, 미처 수집되고 분석되지 못한 악성코드에 대해서 어떻게 처리할 것인가? 이 물음에 대한 답이 평판기반이다. 평판을 기반으로 동작하는 시스템에서는 어떤 프로그램이 실행될 때 먼저 유해하지 않은 안전한 프로그램인지를 확인한다. 이 과정은 여러 종류의 프로그램 DB가 주로 사용되며 이 때 네트워크로 질의가 발생할 수도 있다. 안전한 프로그램으로 확인되지 않으면 서버로부터 이 프로그램의 정보를 내려 받는다. 이 프로그램이 언제 발견되었는지, 얼마나 많은 사람들이 사용하고 있는지, 어떤 사람들이 사용하는지, 어떤 행동을 하는 프로그램인지 등의 정보를 내려 받아 사용자에게 제공하고 실행할 것인지를 판단하게 한다.

 

과거의 행동기반 제품들은 어떤 팩트-프로그램의 저수준 행위를 나열하고 사용자에게 허용할 것인지 차단할 것인지 판단을 강요하는 알림창을 나타냈었다. 문제는 이런 알림창이 매우 빈번하게 나타났고 알림창의 설명만으로 어떤 판단을 내리는 건 보통 사람들에게는 거의 불가능한 일이었다.

 

새롭게 선보이는 평판기반기술은 다르다. 우선 경고창을 나타내긴 하되 그 빈도가 매우 적다. 그리고 과거의 어려운 기술적 내용에 기반한 중립적 메시지를 나타내지 않는다. “실행되려는 파일이 아직 분석되지 않았습니다. 분석될 때까지 차단하십시오.”와 같이 어떤 쉬운 근거를 제시하고 사용자가 어떤 결정-주로 차단을 하도록 유도한다. 그리고 그 유도된 결정이 잘못되어서 사용자가 불편을 겪는 빈도가 매우 낮다. 앞에서 언급한 빠른 데이터 수집과 자동 분석 그리고 방대한 화이트리스트 데이터베이스 덕분이다.

 

그림 3 노턴 2010에 탑재된 평판기반기능의 알림창

 

현재의 악성코드 분석능력은 빠르면 수십 분에서 늦어도 며칠이면 대부분 대처를 할 수 있는 수준이다. 단순하게 생각하면 새로 등장한 프로그램은 분석이 끝날 때까지 며칠만 실행 안 하면 그만이다. 또는 극소수만 쓰는 프로그램은 그 출처(예를 들면 제품 CD로 설치하는 경우처럼) 명확하지 않으면 분석될 때까지 안 쓰면 그만이다. 분석기간도 빠르면 몇 분 길어야 며칠이다. 급한 경우 분석센터에 직접 별도의 요청을 해도 될 것이다. OS 업데이트나 유명 프로그램의 경우 화이트리스트 DB를 사용하여 분석을 기다릴 필요 없이 바로 사용할 수 있는 것은 물론이다.

 

PC와 같은 어떤 시스템을 보호함에 있어서 가장 좋은 방법은 안전한 것으로 확인된 것만 허용하는 것이다. 화이트리스트 기반으로 잘 알려진 소프트웨어만 설치하고 확인된 프로그램만 실행되도록 하는 것이다. 과거에는 엄청나게 방대한 화이트리스트 데이터베이스를 구축하거나 관리할 방안이 없었기 때문에 블랙리스트 기반의 AV제품으로 PC를 보호하였다. 그러나 이제는 평판이라는 개념으로 화이트리스트 기반의 기능을 도입할 수 있게 되었다. 평판기반기술 덕분에 분석되기 전의 악성코드나 타겟팅 된 공격으로부터도 우리의 PC를 보호할 수 있게 되었다.@

 

글. 프로그래머 황용석
현재 인터넷을 통하여 알게 모르게 이루어지는 공격에 대응하기 위하여 시스템 가상화를 통하여 단말의 보안성을 높이기 위한 연구를 진행하고 있다. 새롭게 “안랩 칼럼니스트”에 합류하게 되었으며, 최근에 관심분야는 Virtualization, Behavior Detection, Parallel Computing이다.
 

위 글은 안랩닷컴  

  페이지에서도 제공되고 있습니다.
안랩닷컴 보안정보 中 보안포커스 / 전문가 칼럼
http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsList.do?menu_dist=3
보안에 대한 더 많은 정보 안랩닷컴에서 찾으세요 :D