[CIO BIZ+/글로벌리포트]지능형 악성코드가 폭증한다

발행일 : 2013-03-11 03:00 업데이트 : 2014-02-14 22:01 지면 : 2013-03-11 19면

방화벽 같은 기존 보안시스템을 교묘하게 피해가는 지능형 사이버 공격이 급증하고 있다. 알려지지 않은 제로데이, 지능형 지속보안 위협(APT) 공격이 시도되는 때에 기업 보안에 구멍이 발생한다.

Photo Image — 차세대 위협 공격에 대응한 체계적 분석 대응 체계애플리케이션성능관리(APM) 솔루션을 적용하면 최종 사용자가 기업이 만든 애플리케이션을 사용하면서 장애가 발생했을 때서버 등 백엔드 시스템부터 전체 데이터 흐름 중 어느 부분에서 문제가 생겼는지 빠르게 파악할 수 있어 성능관리에 효과적이다.

차세대 위협방어(NGTP) 전문업체 파이어아이는 지능형 사이버 위협 현황과 이에 대응하는 보안 방안을 제시하고자 최근 `차세대 위협 방어 가이드`를 발간했다. 이 가이드는 파이어아이 멀웨어 프로텍션 시스템(MPS)에서 수집된 데이터를 기반으로 작성됐다.

◇방어 우회하는 지능형 악성코드 폭증=이 가이드에 따르면 최근 전통적인 보안 메커니즘을 우회하는 지능형 악성코드가 급증하고 있다. 세계적으로 매년 약 22조원이 IT 보안을 위해 지출되고 있지만 대부분 예산이 주로 알려진 위협을 차단하는 데 쓰인다. 이 때문에 여러 방어 시스템을 도입했음에도 불구하고 95%가 넘는 기업 사내 망에 지능형 악성 코드가 잠복할 가능성이 높다는 지적이다.

기존 보안 인프라에 침입해 표적 시스템을 감염시키는 웹 기반 악성코드 위협은 2012년 기준 매주 643건 발생하고 있다. 이는 웹과 이메일로 전달되는 파일 기반 위협도 포함한다. 실제로 MS워드 파일의 취약점을 이용한 러시아대 산하 우주과학연구소 해킹과 웹을 이용한 뉴욕타임tm, 워싱턴포스트와 같은 미디어 매체의 지능형 악성 코드 공격이 있었다.

김현준 파이어아이 기술이사는 “지속적으로 진화하고 있는 보안 위협 속에서 시그니처(알려진 위협) 기술에만 의존하면 피해가 점점 커질 것”이라며 “이러한 공격에 효과적으로 대처하기 위해서 지능형 공격과 동적 공격을 탐지·방어해 보안 취약점을 보완해야 한다”고 말했다.

그는 인터넷과 다양한 콘텐츠, 스피어 피싱 이메일로 침입하는 공격을 탐지해 방어해주는 솔루션이 절대적으로 필요해질 것으로 예상했다.

가이드는 차세대 위협에 대응하기 위해서는 비시그니처(알려지지 않은 위협) 기반, 선제 대응 기능, 실시간 탐지 기능을 갖춘 차세대 보안시스템으로 전환해야 한다고 강조했다. 차세대 보안 시스템은 공격의 시작부터 소멸까지 전 라이프사이클에서 의심되는 코드를 지속적으로 분석하고 다중 위협의 악성코드 유포를 차단한다.

◇전문 APT 보안 솔루션 필요=가이드는 기존 보안시스템이 차세대 보안 위협에 얼마나 취약한지 단계별로 나누어 설명했다.

IPS는 시그니처, 패킷 검사, DNS 분석, 휴리스틱(Heuristic)만으로는 제로데이 보안취약점을 탐지하기 어렵다. 특히 악성코드가 위장을 하거나 여러 단계로 전달되는 때에는 탐지가 거의 불가능하다.

안티바이러스(백신)와 웹 필터링도 마찬가지다. 취약점이 알려지지 않은 제로데이 공격 등의 진화된 악성코드를 탐지하기 어렵다.

이메일 스팸 필터링은 위장된 피싱 사이트는 동적 도메인과 URL을 사용하기 때문에 블랙리스트에 올리는 것만으로는 사이버 공격을 탐지할 수 없다. 평균적으로 피싱 사이트를 폐쇄하는 데 2일 이상 소요되는 것도 문제다.

또 악성코드는 노트북, USB, 클라우드 기반 파일 공유 시스템 등으로 전달된 후 네트워크로 연결돼 PC 감염, 추가 확산을 유발할 수 있다. 모바일 시스템은 흔히 DAT 파일과 패치를 업데이트하지 않는다. 따라서 이런 파일은 알려지지 않은 보안 취약점은 물론이고 알려진 보안 취약점에도 모두 취약하다.

데이터손실방지(DLP)는 주로 주민등록번호, 라이선스 번호, 건강기록과 같은 개인 신원 확인 정보(PII)를 위해 설계된다. 이는 해당 규칙에서만 유효해 탐지 인증 데이터나 지식재산의 유출 등을 탐지하기 어렵다. 콜백 채널을 암호화하면 데이터는 눈에 보이지 않게 빠져나간다. 이러한 정적 접근 방식으로는 차세대 위협에 대응할 수 없다.

가이드는 결국 급속히 진화하고 있는 차세대 위협은 기존 솔루션으로는 대응이 불가능하다고 강조한다. 따라서 새로운 위협 환경의 지속적 모니터링과 심도 높은 상관관계 분석이 필수라고 충고한다. 차세대 보안 위협은 기존 보안 시스템의 취약점을 우회해 공격한다. 이를 효과적으로 방어하기 위해서는 자체 가상 실행 엔진으로 체계적인 분석 대응력을 갖춘 전문 APT 보안 솔루션을 확보해야 한다.

안호천기자 hcan@etnews.com