지난 7월 7일 청와대를 비롯한 주요 몇몇 공공 기관과 국내 주요 웹사이트들을 겨냥해 시작된 DDoS 공격으로 온 나라가 떠들썩했다. 2003년 슬래머웜으로 인한 인터넷 대란을 떠올리게 하지만 2003년과는 상황이 많이 다르다. 당시의 인터넷 접속 장애는 악성 코드가 스스로 다른 PC를 감염시키는 과정에서 증가된 트래픽이 주요 원인이었다. 하지만 이번 사건은 뚜렷한 목적을 가진 개인 또는 단체가 불특정 다수를 대상으로 DoS 공격을 수행할 악성코드를 배포하고 이들 악성코드를 통제해 대량의 네트워크 트래픽을 유발시키는 방법으로 인터넷 망 접속을 방해했다.

지난 7월 7일 청와대를 비롯한 몇몇 공공 기관과 국내 주요 웹사이트들을 겨냥하여 시작된 DDoS 공격으로 온 나라가 떠들썩했다. 이는 2003년 슬래머웜으로 인한 인터넷 대란을 떠올리게 하는 대목이다. 하지만 2003년 당시와 올해는 상황이 많이 다르다. 당시의 인터넷 접속 장애는 악성 코드가 스스로 다른 PC를 감염시키는 과정에서 증가된 트래픽이 주요 원인이었다.

하지만 이번 사건은 뚜렷한 목적을 가진 개인 또는 단체가 불특정 다수를 대상으로 DoS 공격을 수행할 악성코드를 배포하고 이들 악성코드를 통제하여 대량의 네트워크 트래픽을 유발시키는 방법으로 인터넷 망 접속을 방해한 결과다. 이는 오늘날 악성코드의 제작 목적이나 사용 방법이 과거와는 많이 다름을 시사한다. 사실 새로울 것도 없다. 몇 해 전부터 해킹과 악성코드 제작의 목적이 개인적인 만족이나 과시에서 금전적 이득이나 첩보 활동 등으로 이동하고 있다는 것은 보안 업계에 이미 널리 알려진 사실이다.

해킹 목적의 변화에 대응방법 변해야

이처럼 해킹의 목적이 변화함에 따라 공격 방법도 과거와는 많은 차이점을 보이고 있다. 과거에는 정보처리 시스템의 결함을 이용한 공격이 주를 이루었지만 오늘날에는 주로 사회 공학적 기법을 이용하여 악성코드를 유포한 후 해당 악성 코드를 통해 목적을 달성하려는 경우가 상당수를 차지한다. 이는 방화벽, 침입차단 시스템, 패치관리 시스템 등의 보안 솔루션이 일반화되어 가고 있는 것과 무관하지 않다. 이들 보안 솔루션들로 인해 예전처럼 공격 초기 단계에서부터 정보처리 시스템의 취약점을 이용하기가 어려워졌기 때문이다. 반면 무관심, 부주의함, 호기심 등 보안의 관점에서 사람이 가지는 취약점은 공략하기 쉬울 뿐만 아니라 패치되는 것도 아니기 때문에 공격자들의 입장에서는 매우 매력적인 공격 대상이 될 수 있다. 이러한 이유로 오늘날의 공격자들은 이메일, 메신저, P2P 등을 이용해 또는 자주 방문하는 사이트에 악성코드를 심어두거나 호기심을 유발할 만한 문서나 동영상 등을 악성코드와 함께 배포하는 방법을 통해 몇몇 사용자의 PC를 감염시킨 후, 그것을 베이스 캠프 삼아 내부망을 해킹하기도 하고 이번 사건에서 처럼 다수의 PC를 악성코드에 감염시킨 뒤에 그들을 조정하여 DDoS 공격을 감행하거나 스팸메일을 발송하는데 활용하기도 한다.

이 쯤에서 하나의 의문이 생긴다. 대부분의 PC에 설치되어 있는 백신 프로그램은 왜 이러한 악성코드를 탐지 또는 차단하지 못하는 것일까? 이는 백신 프로그램의 기술적 한계에 기인한다. 백신 프로그램은 ‘알려진’ 악성 코드의 식별 가능한 특징, 즉 시그너처에 기반한 시그너처 기반 백신과 검사 대상이 되는 프로그램의 증상이나 동작 방식들을 분석하여 악성코드 여부를 판정하는 휴리스틱 어프로치(heuristic approach) 기반 백신이 존재한다.

후자의 방식은 기술적으로 구현이 난해하고 오탐이 많아 아직은 상업적으로 사용하기에 무리가 있지만, 전자의 경우 구현이 쉽고 오탐이 적기 때문에 널리 사용되고 있다. 문제는 시그너처 기반의 악성 코드는 ‘알려진’ 악성 코드만을 탐지할 수 있으며 동일한 기능을 가지고 있다 하더라도 시그너처가 다르다면 악성 코드를 탐지 할 수 없다는 단점을 가지고 있다. 바로 이것이 현재 우리가 사용하는 거의 모든 백신 프로그램이 가지는 문제점이다.

다시 말해 새롭게 등장한 악성코드를 백신이 탐지하기 위해서는 그 이전에 누군가에 의해 악성코드가 발견되어야 한다는 것이다. 또한 현재의 백신 프로그램으로는 악성코드가 별다른 증상을 보이지 않는 이른바 악성코드의 ‘잠복기’에는 악성코드를 탐지 할 수 없다. 탐지가 되었다 하더라도 시그너처만 변조하면 탐지를 피할 수 있는데 이게 바로 ‘변종’의 등장 이유이다. 더구나 오늘날의 악성코드들은 루트킷(rootkit) 기술을 이용하여 자신을 은폐하고 패킹(packing) 등을 통해 분석을 어렵게 하는 등의 다양한 보호 메커니즘을 가지고 있는데다 평소에는 별다른 증상을 보이지 않는 경우가 많아 탐지가 더욱 어려워지고 있는 실정이다.

그런데 악성코드를 대하는 우리는 어떠한가? 악성코드의 감염을 대수롭지 않게 생각한다. 백신 프로그램이 깨끗하게 치료해 줄 것이며 그 피해 범위 또한 감염된 PC에 한정되어 있다고 믿기 때문이다. 이러한 이유로 대부분의 조직들은 악성코드에 대한 대응 방안으로 백신 프로그램 이상을 생각하지 않는다. 하지만 오늘날에는 이러한 대응만으로는 부족함이 많다. 다음과 같은 이유에서이다.

① 악성코드에 감염되었다는 것은 탐지되지 않을 또 다른 악성코드에 감염될 수 있는 가능성이 존재한다는 것을 의미한다. 악성코드에 감염되었다면 해당 악성코드를 제거하는 것 이외에도 악성코드의 감염 경로를 파악하고 추후에 동일한 경로를 통해 더욱 심각한 피해를 끼칠지도 모르는 또 다른 악성코드에 감염될 가능성을 제거하려는 노력이 필요하다.

② 전술한 바와 같이 최근에 여러 목적의 해킹에 악성코드가 자주 동원되고 있다. 이는 우리가 발견한 악성코드 이면에 더 큰 그림이 숨어 있을 수도 있다는 것을 의미한다. 사내 인트라넷에 침투해 신상품 정보를 탈취하기 위한 과정에서 악성코드가 사용되었다면 중요한 것은 악성코드를 치료하는 것이 아닐 것이다. 이 경우에는 악성코드 사용 목적이 더 큰 의미를 가지게 된다. 만약 악성코드 이면에 어떠한 그림이 숨어있을 가능성이 있다면 당연히 악성코드의 감염 경로와 그 기능을 분석하려는 노력을 기울여야 할 것이다.

③ 주지했다시피 지금의 백신 프로그램들은 ‘알려진’ 악성코드만 탐지한다. 널리 배포하지 않고 특정 사이트에 침입하여 기밀을 빼내고자 하는 목적으로 특별히 제작된 악성 코드라면 공격이 상당 부분 진행되기 전까지 공격 사실 자체를 인지하지 못할 가능성이 크다. 실제로 필자가 경험한 침해 사고 중에는 그동안 발견되지 않은 악성코드를 이용하여 데이터베이스 접근을 시도했던 사건이 있었는데 침해 사고가 발생했다는 사실을 인지한 때는 악성코드가 최초 감염된 시각으로부터 무려 3개월이 지난 시점이었다.

전문 침해사고 대응팀 운용해야

작금의 상황은 악성코드에 대해 적극적인 침해 대응을 요구하고 있다. 침해대응은 침해사고 발생 시 피해 시스템의 가용성을 확보하고 사고의 원인과 경과를 정확하게 분석하여 피해 규모를 파악하며 진행 중인 공격의 확산을 방지하여 피해 규모를 줄임을 물론 추후 동일한 원인에 의한 피해가 발생하지 않도록 보완하는 일련의 활동이다.

악성코드 감염이라는 ‘침해 사고’를 만났을 때도 바로 이러한 침해대응이 이루어져야 하는 것이다. 사실 매번 악성코드에 감염되었을 때마다 이러한 형태의 대응을 하는 것은 현실적으로 쉽지 않은 것이 사실이다. 하지만 최소한 악성코드 감염 경로를 파악하고 이를 제거하려는 노력, 중요 시스템에 접근하는데 사용될 수 있는 정보처리 시스템에서 악성코드가 발견된 경우 정밀 분석을 통해 정확한 경위를 파악하려는 노력 정도는 해야 하지 않을까?

침해대응의 진정한 목적은 사고 뒷 수습에 있는 것이 아니다. 현재의 피해를 줄이고 향후 발생할 가능성이 있는 피해를 예방하는 보다 적극적인 보안 활동이 바로 침해대응이 되어야 한다. 이제 기업들도 전문 인력들로 구성된 침해사고 대응팀을 운용하고 조직을 특성을 반영한 침해사고 대응 방법론을 개발하여 발전시켜야 할 때이다. 

<글 : 김태일 이지스원시큐리티 보안교육팀장(zesrever@aegisone.co.kr)>

[월간 정보보호21c 통권 제108호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>