‘Cyber Security Forum’에서 최중섭 KISA 팀장 강연

[보안뉴스 오병민] 악성코드가 점점 지능화 돼, 대응기관의 분석이나 차단을 우회하고 있는 것으로 나타났다.

한국 마이크로소프트가 18일 잠실 롯데호텔 3층 에메랄드룸에서 주최한 ‘Microsoft Cyber Security Forum┖에 참석한 최중섭 KISA 팀장은 “지능화되고 있는 악성코드에 대한 대응이 필요하다”고 주장했다.

악성코드들이 점차 진화돼, 신규 인터넷 서비스나 사회공학적 관계 등을 악용해 영향력을 확대시키고 있다. 악성코드 개발자들은 악성코드의 생존력을 연장시키기 위한 기법들을 지속적으로 개발해 적용시키고 있기 때문이다. 아울러 응용프로그램의 취약점이나 응용서비스의 취약점도 지속적으로 증가해, 해킹의 위협도 계속 증가하고 있다.

최중섭 팀장은 “윈도우 등 운영체제의 발전에 따른 보안 환경이 개선되고 보안패치 업데이트 방법이 발전하면서, 악성코드는 점차 확산방법이나 자체의 형태를 변형하면서 진화하고 있다”고 설명했다. 

악성코드의 변형은 대응기관(ISP, 백신사 등)의 대응을 회피하기 위해 이뤄진다. 그 내용을 살펴보면 △DNS 싱크홀 등 악성봇에 대한 대응 회피 기술과 △백신사의 악성코드 분석 기술 회피 기술이 등장하고 있다. 이 외에도 패스트플럭스와 같은 도메인 가용성을 도입하거나 SNS 서비스와 같은 최신 인터넷 환경을 수용하면서 점차 진화를 거듭하고 있다.

아울러 악성 봇 등 최근 악성코드들은 자신을 분석하려는 대응활동들을 체계적으로 방해해 좀비PC들의 생존시간을 늘리려는 시도가 늘고 있다. 분석을 방해하는 방법으로는 실행압축 프로그램을 변조하는 방법을 이용되기도 하고, 디버거나 가상머신을 회피하는 등 역공학 도구를 회피하는 방법이 이용되기도 한다.

대응기관에서는 이런 악성 봇에 대한 대응으로, 조종서버의 차단하는 방법을 주로 이용하고 있다. 그러나 이마저도 방해하는 방법이 적용되고 있는 상황. 그 방법으로는, 대규모의 조종서버를 구축하거나 다단계의 조종서버를 구축해, 도메인가용성과 조종서버 가용성을 확보하고 있다. 쉽게 말하자면, 조종서버를 다단계로 구축하고 각 조종서버가 관리하는 좀비의 수를 줄여, 조종서버 발각 시 피해를 최소화하고 있는 것.

좀비PC를 확대하기 위한 방법도 진화를 거듭하고 있다. 특히 최근 들어서는 사회공학적인 기법을 이용이 크게 증가하고 있다. 주로 이용되는 사회공학적인 기법을 살펴보면, 인터넷상에서 가장 많이 이용하고 있는 이메일이나 검색엔진이 주 타깃이다. 이메일을 이용한 방법으로는, 감염된 PC의 주소록에 있는 주소를 대상으로 배달실패 확인메일(바운스 메일)을 보내거나 유용한 정보를 가장한 메일 내용과 PDF 등 문서 파일을 보내는 방법이 주로 이용되고 있다.

검색엔진을 이용하는 경우, 최근 관심사에 대한 사이트를 해킹하거나 새로 만들어 악성코드를 유포하는 방식이 기승을 부리고 있다. 노리는 대상은 금융정보나 게임정보가 주로 교환되는 사이트나 카페, 블로그 등이다.

최중섭 KISA 팀장은 “최근 해킹기술은 대응방법을 우회하기 위한 방법을 지속적으로 적용해 발전하고 있다”면서 “신규서비스 제공자, 응용시스템 구축 시 위협에 대한 정밀한 분석을 통해, 일반사용자들이 안심하고 사용할 수 있는 환경 제공이 필요하다”고 주장했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>