[보안컬럼]웹기반 악성코드 탐지와 빠른 서비스 복구

Photo Image
임채호 빛스캔 연구소장

북한과 중국은 물론 국내 해커는 대부분 금전을 목표로 사이버 공격을 감행한다. 북한은 정부·공공기관 테러를 일으키기도 하지만 최근에는 경제성 이익 추구에 집중하고 있다. 이런 공격은 산업시대 정보기술(IT)과 경제 발전에 악영향을 미친다.

사이버 위협은 가능한 한 빨리 탐지하고 복구해야 한다. 스스로 취약점을 보완하고 사회공학 사기 수법에 속지 말아야 한다. 사이버 공격을 실시간으로 감지·대응해야 한다. 시시각각 바뀌는 동태 공격 기법도 방어해야 한다.

IBM은 신종 악성코드(80%)와 웹SQL 인젝션·크로스사이트스크립트(XSS)(10%) 공격이 심각하다고 지적했다. 악성코드 주공격 경로는 이메일(40%)과 웹(60%)이다. 전문 해킹 지식이 없어도 누구든 사이버 공격을 시도할 수 있다. 사이버 지하경제인 다크웹에서 웹 공격 도구를 쉽게 살 수 있다. 1주일에 100달러로 공격 도구를 대여하는 시대다.

기업이 직접 관리하는 로컬 메일 서버는 피싱 등 사기성 메일을 스스로 관리한다. 이 때문에 보안 관리가 부실한 수백만개 웹 서버가 주된 악성코드 감염 경로가 된다.

보안 인식이 낮은 임직원, 외부 협력업체, 공급업체와 관련된 침해 사고도 해마다 증가하고 있다. 휴렛팩커드(HP)는 183개 글로벌 기업 가운데 보안 전략을 갖추지 않은 곳이 82%에 이른다고 분석했다. 실시간 침해 대응 감시 체제가 없는 곳도 87%나 된다. 사이버 공격의 특징은 자동화다. 사람이 보면서 막아낼 수 있는 수준이 아니다. 그런 만큼 대응에도 자동화가 필요하다. 사람이 아닌 기계가 감시해야 할 필요성이 커졌다.

4차 산업혁명 시대에는 산업 인공지능(AI)이 물리 센서(IoT) 정보를 빅데이터로 처리한다. 엄청난 생산성 향상이 기대된다. 동시에 이런 구조는 사이버 위협에 취약하다. 사이버 위협으로 시스템이 마비되면 생산성은 낮아진다. 고객 정보 등 개인 정보가 유출될 가능성도 있다.

파이어아이는 보안 빅데이터를 처리, 인텔리전스를 만든다. 파이어아이는 사이버 탄력성을 주장한다. 악성코드의 공격을 완벽히 막을 수 없기 때문에 신속하게 서비스를 복구하는 체제가 중요하다는 주장이다. 파이어아이 인텔리전스는 꾸준히 관리해 온 사이버 위협 자산과 공격 기법, 공격자, 의도를 분석한 데이터베이스(DB)다.

빛스캔은 웹의 취약점과 악성코드 공격을 실시간으로 탐지해 온 빅데이터 인텔리전스 DB를 운영한다. 웹 서버가 악성코드에 감염됐는지 여부를 HTML 웹 소스를 통해 분석한다. 해당 서버를 직접 분석하는 게 아니라 법 관련 문제가 없는 방법을 택했다. 구글과 네이버가 검색하는 방법과 같은 형태다. 공격자는 하루에도 3~4번 이상 웹 서버를 변조한다. 이에 맞춰 감시는 실시간으로 이뤄진다.

빛스캔은 하루에 16회 이상 웹 서버의 비정상 여부를 분석한다. 하나의 악성 URL은 여러 사용자를 감염시킨다. 기업이 스스로 관리하는 도메인에서 취약한 웹서버가 자주 출몰한다. 빛스캔은 올해부터 400곳 이상의 웹 취약점을 점검한다.

보안 담당자는 개발자가 만든 웹 코드가 안전한 지 매일 점검하기 어렵다. 비용도 많이 든다. SQL 인젝션 신규 취약점은 50가지가 넘는다.

빛스캔은 수시로 변동되는 악성 통합자원식별자(URI) 정보를 분석한다. URI 공격 명령&제어(C&C) 서버에 정보를 제공한다. 자기도 모르게 감염된 사용자 정보를 가려낸다. 전용 어플라이언스는 웹 정보를 실시간 갱신, 내부 직원이 감염 우려 없이 인터넷을 이용하는 환경을 제공한다. 감염 정보를 받으면 그 즉시 연결을 차단한다.

임채호 빛스캔 연구소장 skscogh@naver.com


브랜드 뉴스룸