우리는 네트워크와 컴퓨터 불안의 세계에 살고 있다. 컴퓨터와 네트워크 위협, 또한 이들에 대한 대응 기술은 시간이 흐르며 상당히 발전되어왔다. 그러나 우리는 또 다른 위험의 한 복판에 있으며 그것의 영향은 그 어느 때보다 파괴적일 수도 있다. 현재의 위험을 이전의 것과 구분하게 하는것이 동기, 즉‘돈’이기 때문이다.

컴퓨터 바이러스, 웜, 트로이 목마, 스파이웨어 등을 포함하는 맬웨어는 각기 다른 경로로 빠르게 퍼지고 있지만 그들의 주요 목적은 금전적인 이득이다. 맬웨어는 훨씬 더 악성이 되고 있고 쉬지 않고 진화하고 있으며 감지를 피하기 위해 예술의 경지에 가까운 기술을 사용하고 있다. 맬웨어를 퍼뜨리는 경로도 또한 훨씬 더 교묘해지고 있다. 그들과 싸우기 위해 전통적인 보안 업체들은 최선을 다하고 있지만 맬웨어의 규모와 그것의 이동경로는 너무나 위협적이다.

사이버 범죄의 생태계

이것은 옳지 못한 순환이긴 하지만 수요와 공급의 합법적인 비즈니스 생태계와 크게 다르지 않다(그림 1참조).

첫째, 자본가(financier)들이 있다. 그들은 맬웨어를 구입하거나 맬웨어 개발을 위해 돈을 지불한다. 그 후 그들은 그것의 배포를 위해 돈을 지불하고 금전적인 이익을 만들어내며 좀 더 교묘한 맬웨어와 배포 기술을 위해 재투자한다. 맬웨어는 사용자의 컴퓨터에 자리 잡고 앉아 은행 계좌 번호, 사용자 ID 및 패스워드 등과 같은 금전적·개인적 정보를 수집하고 그것을 핵심 위치로 보낸다. 이러한 정보는 피해자의 은행 계좌나 금융 시설에서 예금을 빼내기 위해 사용된다.

자본가들은 또한 피싱과 제품 및 주식 스팸 이메일을 발송하는 비용도 지불한다. 피싱 이메일은 피해자의 개인적인 금융 정보를 얻기 위한 또 다른 방법이다. 제품 스팸 이메일은 실제 제품을 발송하거나 발송하지 않으면서 돈을 탈취하기 위해 사용된다. 또한 주식 스팸 이메일은 “펌프 앤 덤프(Pump-and-dump)”라고도 불리는데 이것은 사람들이 충분히 특정한 주식을 사들일 때 그 주식의 값을 올리기 위해 사용되며 그 주식을 팔아치움으로써 금전적 이득을 본다.

이러한 자본가들은 법망을 피하기 위해 교묘한 소셜 엔지니어링을 채택한다. 즉, ‘운반책(mule)’이라고 불리는 중간자를 고용하는데 그들은 피해자들의 돈을 수거하여 몫을 떼어낸 후 나머지를 자본가에게 건넨다. 운반자들이 자본가에 대한 정보를 전혀 모르는 방식으로 자본가와 중간자의 관계가 조심스럽게 관리된다. 사법망이 은행의 흔적을 추적할 경우 그들은 겨우 중간자만 잡을 수 있을 뿐, 그들 뒤의 자본가는 잡지 못 한다.

또한, 어떤 맬웨어는 부정 클릭(click-fraud : 누군가가 광고를 볼 의도가 없으면서도 광고주에게 피해를 주려는 의도로 해당 검색결과를 과다하게 클릭 하는 행위)으로 사용되는데 클릭 수를 늘리기 위해 웹 액세스를 특정한 사이트로 방향을 바꾸는 식으로 로컬 DNS 캐시가 수정된다. 최근 또 다른 맬웨어가 나타났다. 이것은 피해자의 컴퓨터 내의 모든 파일을 암호화한 후 해독 키나 패스워드에 대한 대가를 요구한다. 기업의 사용자나 시스템의 경우 민감한 정보가 손상될 수 있어 그 결과가 충격적일 수 있다.

유령 단체나 독자적인 프로그래머가 맬웨어 개발자들을 고용할 수도 있다. 독립 개발자들은 암시장에서 자신들의 맬웨어를 팔거나 사이버 범죄 행위를 위한 봇넷 타임 슬롯을 대여, 또는 이메일 주소 판매, 신용 카드 번호등과 같은 금융 정보 판매, 사회보장번호와 같은 개인 정보 판매로 돈을 번다.

봇넷이 스팸 이메일 또는 DDoS 공격의 주요 배포 메커니즘으로 사용됨에 따라 훌륭한 크기의 봇넷을 소유하는 것이 사이버 범죄 행위에 있어 결정적인 것이 되었으며 맬웨어 개발자들은 또한 거의 봇넷 허더(herder)라고도 할 수 있다. 그들은 실행 가능한 첨부 파일이나 악성 코드가 있는 웹사이트 링크를 포함한 스팸 이메일을 발송함으로써 호스트 컴퓨터를 감염시킨다.

그들은 또한 악성 코드가 있는 웹사이트의 소유하고 있거나 방문자의 컴퓨터를 감염시키는 악성 코드를 삽입하기 위해 합법적인 웹사이트를 해킹한다. 그들은 감지를 피하기 위해 전통적인 IRC 네트워크 대신 맬웨어를 암호화하거나 네트워크 트래픽을 암호화하기, 또는 P2P를 사용하는 등 다른 방식을 사용한다.

특히 현재의 봇넷 세트는 패스트 플럭스(Fast Flux) 기술을 사용하는데(그림 2 참조), 봇넷의 좀비들이 그들의 주소를 싱글 DNS 네임 용 DNS 레코드 리스트의 일부로 등록하거나 등록을 취소한다. 라운드 로빈 IP 주소(round-robin IP address)와 매우 짧은 TTL(Time-To-Live : 지속시간)을 결합하여 해당 싱글 DNS 네임을 위해 지속적으로 변화하는 수신지 주소 리스트를 생성한다. 더 나쁜 것은 이러한 좀비들이 바로 블라인드 프록시 리디렉션을 제공하며 트래픽을 실제 컨텐츠와 함께 또 다른 서버로 리디렉트한다는 점이다. 패스트 플럭스는 봇넷 서버 감지를 거의 불가능하게 만든다.

최근 또 다른 형태의 배포는 디지털 제품으로 출시된 플래시 카드와 같은 이동 장치를 통해 이루어졌다. 지난 크리스마스 시즌에는 디지털 포토 프레임이 포함된 보안 디지털 카드에 수많은 맬웨어가 나타났다.

금전적 이익과 암시장 규모의 성장으로 자본가들의 사업 경쟁(?)도 치열해졌으며 그에 따라 봇넷과 맬웨어의 추가 생산도 더욱 교묘해져 감지하기가 더욱 어려워졌다.

위협에 대한 대비

초기의 컴퓨터 바이러스들은 오직 개개인의 컴퓨터만 감염시켰으며 플로피 디스크와 같은 이동 장치를 통해 전파되었다. 그것이 안티 바이러스와 같은 현재의 대부분의 호스트기반 보안 솔루션을 탄생시켰다. 이것은 이메일이나 컴퓨터에 저장된 파일을 스캐닝하거나 실행 시간으로 감지하기 위해 서명 또는 맬웨어 패턴을 사용한다. 수많은 호스트기반 솔루션 기업들이 세계적인 수준의 안티바이러스 소프트웨어, 안티 스파이웨어 소프트웨어 등을 생산하고 있다.

호스트 기반 솔루션은 대부분의 맬웨어를 잘 막아낸다. 그러나 이것의 내재된 문제는 서명이 필요하다는 점이다. 만일 위협이 알려지지 않은 것이라면 서명은 개발될 수 없으며, 만일 알려진 서명이 없다면 그것은 감지될 수 없다. 심지어 어떤 맬웨어는 스스로를 암호화하거나 보안 소프트웨어 또는 보안 웹사이트에 대한 접근을 거부하는 등 호스트 기반 솔루션에 대한 자체적인 디펜스 메커니즘을 갖고 있기도 하다. 그럼에도 불구하고 호스트 기반 보안 소프트웨어를 확보하고 매우 빈번하게 업데이트 되는 서명을 확보하는 것은 중요하다.

또 다른 방어는 네트워크의 경계, 즉 WAN 액세스 링크를 보호하는 것이다. 방화벽은 경계 방어의 훌륭한 예라 할 수 있다. 방화벽은 데이터 패킷의 다섯 요소- 소스 IP 주소, 수신지 IP 주소, 소스 포트, 수신지 포트, 프로토콜 넘버-를 검사하고 트래픽을 수용할 것인지 혹은 거부할 것인지를 결정한다. 올바르게 설정되어 있기만 하면 방화벽은 잘 작동한다.

대부분의 경우 방화벽은 제대로 작동하지만 범죄자들은 네트워크에 침투하기 위해 HTTP용 포트 80과 같이 잘 알려진 포트를 사용할 수 있는 방법들을 찾아내었다. 이러한 경우를 위해 IP/TCP/UDP 헤더 정보 너머의 데이터 패킷을 스캔하고 위협을 감지하기 위해 알려진 서명을 사용하는 UTM이나 IPS, IDS 제품들이 있다. 그러나 이들도 서명에 의존하고 있기 때문에 호스트 기반 솔루션과 동일한 약점을 갖고 있어 알려지지 않은 서명을 지닌 알려지지 않은 위협에 대해서는 무용지물이다.

데이터 패킷을 어셈블하고 바이너리 파일을 추출하며 그것을 네트워크 경계 레벨에서 바이러스를 스캔하는 게이트웨이 안티바이러스 제품들도 또한 동일한 서명 기반의 약점을 공유하고 있다.

정찰 조사의 필요

허니팟(honey pot)과 리버스 엔지니어링 맬웨어(REM : reverse engineering malware)와 같은 몇몇 방법들은 위협에 대한 매우 효과적인 자료 수집 인텔리전스다. 허니팟은 공격자와 맬웨어에 의도적으로 노출된 컴퓨터들의 집합이다. 보안 연구자들은 허니팟에 의해 포착된 공격과 맬웨어를 사용해 그들의 행위와 위협 경향, 봇넷 명령 및 컨트롤 서버, 봇넷 허더(herder)를 연구한다. 이것은 또한 완화 솔루션이나 서명을 개발하기 위해 사용된다.

리버스 엔지니어링 맬웨어는 특히 흥미로운 것으로, 이것은 엄청난 양의 가치 있는 정보를 밝혀낸다. 무엇을 하려고 하는지, 어떻게 작동되는지, 어떤 트래픽이 발생되는지, 무엇이 어디에 설치되었는지, 어떤 프로토콜이 사용되고 있는지, 무엇을 찾고 있는지, 호스트에서 어떤 것이 수정되었는지, 어떻게 시작되는지, 얼마나 작동되는지, 어떻게 전파되는지, 어떤 포트에 주의하고 있는 지 등등…. 그러나 다른 모든 포렌식 작업과 마찬가지로 이것은 매우 시간 소모적이다. 이것은 시간과 헌신을 필요로 한다.

한편, 넷 상에는 정보와 자신들이 발견한 것을 공유하는 보안 전문가들의 공동의 노력이 있다. 인터넷 스톰 센터(Internet Storm Center-http://ics.sans.org)나 쉐도우서버 파운데이션(Shadowserver Foundation-http://www.shadowserver.org)과 같은 웹사이트들은 정보를 수집하고 공유하며 잠재적인 위협을 식별하고 대중을 교육하기 위해 전 세계의 보안 전문가들과 자원 봉사자들에 의존하고 있다.

그러나 패스트 플럭스와 자신, 또는 타인의 수많은 창작물 강화하며 수많은 변이를 생산해내는  맬웨어 프로그래머들과 같은 교묘한 기술과 대면함에 있어 모든 대응 노력이 계속 지속될 수 없다. 필자가 칼럼을 통해 여러 번 언급했던 것처럼 우리 보안 전문가들 앞에는 어려운 일이 놓여있다. 또한 네트워크와 컴퓨터 보안에 관한 대중 교육은 먼 길을 가야할 수도 있다.

<글·정양섭 기가핀네트웍스(GigaFin Networks) 제품 매니저(yang@gigafin.com)>