청와대를 포함한 정부기관을 노린 6.25 사이버 공격처럼 보안위협이 갈수록 지능화되고 있다. 지능형지속위협(APT)과 같은 표적공격을 포함, 최근의 사이버 공격들은 전통적인 시그니처 기반의 보안 탐지기법으로는 방어가 갈수록 불가능해 지고 있다. 이 때문에 빠르고 정확하게 탐지할 수 있는 평판 기술과 같은 새로운 방식의 보안 솔루션이 주목을 받고 있다.
현재 사이버 공격을 탐지하기 위해 사용되는 보안 기술로는 △파일 고유의 패턴을 분석해 판단하는 시그니처(Signiture) 기법 △파일의 특성과 속성을 분석하는 휴리스틱(Heuristics)기법 △운영 중인 프로세스의 행동을 분석해 이상 징후를 탐지하는 행위(Behavior) 기반 기법 △평판 점수를 이용하는 평판(Reputation) 기반 탐지 기법 등이 있다.
휴리스트 탐지기법은 해당 악성코드가 가지고 있는 특정한 행위 방식에 대한 분석을 통해 탐지하는 방식이다. 원본 악성코드에서 변경된 변종 형태의 악성코드에 대처하기 유용한 기술이다.
행위기반 탐지기법은 어떤 파일이 컴퓨터에서 실행되면서 발생되는 악성행위를 사전에 분석해 이를 탐지하는 기술로, 휴리스틱 기반 탐지 기법보다 한 단계 진보된 기술이라 할 수 있다. 행위기반 탐지 기법은 크게 시스템 기반 탐지 기법과 네트워크 기반 탐지 기법으로 나뉜다.
시스템 기반 탐지기법은 악성파일을 미리 실행해 해당 악성 프로세스가 사용하는 CPU, 메모리 등의 사용량을 확인하고 생성되는 레지스트리 값이나, 디바이스 ID 값을 확인한다.
네트워크 기반 탐지 기법은 악성코드를 실행할 경우 네트워크적인 공격(DDos)이 이뤄지는지 혹은 사용되는 네트워크 트래픽을 분석하고 이런 모든 값들을 분석 모듈로 보내어 전체적인 계산을 통해서 악성인지 아닌지를 판별하는 기술이다.
시그니처 기반 탐지기법은 가장 오랫동안 사용돼 온 악성코드 탐지 기법이다. 각 악성코드마다 샘플을 수집한 후 고유한 악성행위에 대한 시그니처를 생성한 뒤 이를 탐지해 낸다. 악성코드는 악성행위에 따라 바이러스(Virus), 트로이목마(Trojan), 백도어(backdoor), 윔(worm) 등으로 구분되며, 악성코드를 탐지하기 위해서 악성코드 시그니처와 검색 엔진(Scanning Engine)이 사용된다.
시그니처 기법은 정확한 탐지와 오진을 최소화하지만 모든 악성코드 마다 샘플 수집과 분석을 통해 시그니처를 업데이트해야 하므로 많은 시간이 소요된다. 또 알려지지 않은 보안결함을 공격하는 제로데이 공격과 같은 신종 악성코드에 대처가 어렵다.
오늘날 공격자들은 매일 60만개 이상의 새로운 변종 위협을 만들어 내고 있으며, 이들 보안 위협 대다수가 20대 미만의 시스템을 공격하고 있는 상황이다.
시만텍코리아의 윤광택 이사는 “평판 기반 보안 기술은 신뢰할 수 있는 대중의 지혜를 제공하는 클라우드에서 상호 정보교환을 통해 악성코드 탐지 해법을 찾는다는 점에서 가장 진보한 보안 탐지기법”이라고 소개했다.
김원석기자 stone201@etnews.com
