"빅 데이터, 가시성, 그리고 매니지먼트가 관건"

2012.04.04

 

안녕하세요. 안랩인입니다. 3월 7일, 서울 코엑스 인터콘티넨탈 호텔 하모니룸에서 진행된 ‘제11회 Next Generation Network Security Vision 2012’에서 이호웅 안랩 시큐리티대응센터장은 <2012년 보안 위협 예측과 대응 방안>이라는 주제로 기조연설에 나섰습니다. 이호웅 센터장은 ‘빅 데이터(Big Data)’와 이에 대한 ‘가시성(Visibility)’, 그리고 거버넌스와 컴플라이언스 이슈에 따른 ‘매니지먼트(Management)’를 올해 보안 위협의 키워드로 꼽았습니다. 또한 고도화된 악성코드를 이용한 지능형 타깃 공격 APT(Advanced Persistent Threat)가 지속적으로 발생할 것이라고 경고하고, 스마트 디바이스에 대한 보안 위협들이 이슈로 제기될 것이라고 예측했습니다.

2011년 보안 관련 키워드로 ▲DDoS ▲APT ▲스턱스넷(Stuxnet) ▲소셜 엔지니어링(Social Engineering)▲악성코드의 진화를 꼽을 수 있습니다.

2011년 3월, 또 다시 대규모 DDoS 공격이 발생해 기업들을 긴장시켰습니다. 그러나 안랩을 비롯한 보안 업체들과 정부 기관의 공조를 통해 3•4 DDoS 공격은 사실상 실패로 돌아갔습니다.

4월부터는 고도화된 지능형 공격인 APT로 인한 기업 보안 침해 사고가 잇따라 발생하면서 전 세계적으로 APT가 화두가 되었습니다. 대표적으로 2011년 4월에 발생한 EMC RSA 사례가 있습니다. 당시 플래시 취약점을 이용한 악성코드를 통해 EMC RSA의 2팩터 인증(2-factor authentication) 메커니즘이 유출돼 미국 군수 업체 록히드마틴(Lockheed Martin)사의 2팩터 인증을 해킹하려는 공격 시도로 이어진 바 있습니다. 국내의 경우, APT는 언론을 통해 ‘기업 보안 침해 사고’라는 용어로 불리는데, 지난 해 대규모 정보 유출 사건은 APT 공격으로 분류됩니다.

또 다른 키워드인 스턱스넷은 넓은 의미에서 APT 공격의 일종입니다. 2011년 발견되어 스턱스넷의 일종으로 알려진 듀큐(Duqu) 악성코드의 소스가 스턱스넷과 상당히 유사한 것으로 밝혀졌습니다. 이호웅 센터장은 “스턱스넷과 달리 듀큐는 시스템 제어나 마비가 목적이 아니라 정보 탈취가 목적이라는 점에 주목할 필요가 있다”고 말했습니다.

결국 공격의 시작은 악성코드

이호웅 센터장은 “DDoS나 APT 등은 결과, 즉 증상일 뿐”이라며 “이에 앞서 어떤 악성코드가 어떠한 취약점을 통해 감염되었는지가 중요하다”고 강조했습니다.

최근 주로 PDF나 플래시 등의 취약점을 이용해 많은 공격이 발생하고 있다. 사회공학적 기법(Social Engineering)을 이용해 악성코드가 유포되기도 합니다. 이때 유명인 사망 등 사회적으로 이슈가 된 사건이 주로 이용되며, 페이스북이나 트위터 링크를 통해 유포되는 경우가 많습니다. 이 밖에도 정상적인 소프트웨어 업데이트로 위장하여 악성코드가 유포된 사례는 해킹을 통해 시스템 내부에서 정상적인 트래픽으로 위장하여 악성코드를 감염시키는 방식이었다고 설명했습니다.

한편 2011년 중•하반기부터 루트킷에 이어 부트킷이 극성을 부렸다. 부트킷(Bootkit)이란 컴퓨터 하드디스크의 부트 섹터(Boot Sector)를 감염시키는 악성코드입니다. 부트킷은 MBR((Master Boot Record) 영역을 파괴해 결과적으로 하드디스크 데이터 파괴를 초래합니다.

이러한 악성코드 대응과 관련해 이호웅 센터장은 “셸코드가 동작하는 것을 어떻게 감지하여 차단할 것인가가 관건입니다. 문제는 셸코드 감지 시점이 언제인가 하는 것이다”라고 강조했습니다. 또한 셸코드 탐지의 퍼포먼스는 상당히 리소스 소모적이기 때문에 올해 많은 보안 업체들이 악성코드 탐지를 위한 셸코드 탐지 기술 또는 제품을 내놓을 것으로 전망했습니다. <Ahn>

* 더 자세한 내용은 안랩홈페이지를 참고하세요.