이번 호부터 연재되는 ‘엔드포인트 보안 기술 동향’에서는 다양한 엔드포인트들을 위한 글로벌 보안 기술을 이용한 해결책을 제시하고자 한다. 엔드포인트 대상의 보안 위협은 과거 해커들의 능력 과시 보다는 금전적 이익을 추구하는 사이버 범죄로 변화하면서 사이버보안 프로그램으로부터 스스로를 은폐하는 등 지능화되어 가고 있다. 이에 따라 기존 바이러스 패턴, 즉 시그니처를 가지고 탐지하는데 어려움을 더욱 증가시키고 있다.

전 세계적으로 아이폰을 비롯하여 안드로이드폰과 같은 스마트폰이 휴대전화의 영역뿐만 아니라 모바일 인터넷 디바이스(MID)로서 기업 업무를 접목하여 활용할 수 있는 시대로 접어들고 있다. 현재 많은 기업들이 직원들의 스마트폰에서의 보안통제 방안에 대해 고민하고 있으며 따라서 스마트폰을 업무에 적용하여 사용할 경우에 발생되는 각종 보안 이슈들에 대해 기업내의 보안 정책에 기반해 통제할 수 있는 솔루션이 주목을 받기 시작했다.

또한 전자업체를 중심으로 생산라인에서 운영되는 낮은 하드웨어 사양의 자동화머신들의 멀웨어로부터의 보안을 효과적으로 구축해야 되는지에 대해 많은 문의를 해오고 있다. 왜냐하면 공장자동화에 운영되고 있는 머신들은 대부분 하드웨어 사양이 낮을 뿐만 아니라 매일 바이러스 패턴 업데이트에 따르는 네트워크 대역폭 및 업데이트되는 패턴의 신뢰성으로 시스템의 안정성에 문제를 발생시키지 않을까 하는 등의 이슈로 기존 바이러스 백신 소프트웨어로는 문제를 안고 있기 때문이다.

이러한 환경에서는 바이러스 백신 소프트웨어에서 사용되는 ‘블랙리스트’가 아닌 인가된 애플리케이션의 실행만을 허용하고 비인가된 일체의 실행 프로그램들을 차단할 수 있는 ‘화이트리스트’가 더욱 효과적일 수 있다. 이번 호부터 연재되는 ‘엔드포인트 보안 기술 동향’에서는 스마트폰에서의 보안 통제 방안, 낮은 하드웨어 사양을 가지고 있는 시스템들을 위한 화이트리스트 기반의 솔루션을 비롯하여 PC 및 서버의 클라우드 기술기반의 예측방어 등과 같은 다양한 엔드포인트들을 위한 글로벌 보안 기술을 이용한 해결책을 제시하고자 한다.  첫 번째 주제로 글로벌 클라우드 기술을 이용한 예측 방어에 대해 살펴보기로 한다.

엔드포인트 보안의 획기적인 방법 요구

지난 2009년에 발생한 7.7 DDoS 대란의 경험을 통해서 얻었듯이 엔드포인트의 보안 관리는 다시 IT 보안의 핵심과제로 떠오르고 있다. 1980년대만 하더라도 바이러스와 같은 멀웨어에 대응하는 기술은 사후대응(Reactive) 접근의 시그너처 기반의 탐지 기술로 충분했었다.

즉 바이러스 백신 프로그램을 설치한 후 패턴 업데이트만 잘 이루어지면 큰 문제는 없었다. 1997년도에 발생한 ‘코드레드’와 2003년도의 ‘SQL 슬래머’웜은 시스템의 취약성을 통해서 급속하게 전파되는 즉 알려지지 않은 공격이라는 새로운 개념의 대응 방식을 필요로 했다. 대다수의 기업들은 침입방지 시스템(IPS)을 서둘러 도입함으로써 이러한 위협에 대응하기 위해 안간힘을 써왔다.

작년에 발생한 7.7 DDoS 대란은 이전에 코드레드 혹은 SQL 슬래머와 같이 서버를 매개체로 한 전파가 아닌 대규모의 PC를 매개체로 하여 공격이 이루어지다 보니 이제까지의 능동대응(reactive)만으로는 충분치 않았음이 증명되었다. 맥아피(McAfee)는 이러한 위협에 대응하기 위해서는 기존의 능동대응에서 한 단계 더 발전한 예측 대응(predictive)의 필요성을 인식하여 이미 오래전부터 30개국에 350여명으로 이루어진 글로벌 위협대응센터를 갖추고 대비해 왔다.

올해 IT 분야에서의 핵심적인 키워드 중의 하나는 클라우드 기술이다. 보안분야에서도 클라우드 기술은 글로벌 위협에 대응할 수 있는 주요한 기술로 인식되고 있다. 엔드포인트를 대상으로 하는 보안 위협은 과거에 해커들의 능력 과시 보다는 금전적 이익을 추구하는 방향으로 변화하면서 사이버 범죄 형태로 진화하고 있다. 특히 보안 프로그램으로부터 스스로를 은폐하는 등 지능화되어 감에 따라 기존 바이러스 패턴 즉, 시그너처를 가지고 탐지하는데 어려움을 더욱 증가시키고 있다. 2008년도에 마이크로소프트의 취약성(MS08-067)을 통해 급속도로 전파된 컨피커웜을 비롯하여 트로이 목마 형태의 악성웨어들이 연간 200만개 이상이 보고되는 것을 볼때 매일 평균 6,000개 이상이 출현하고 있는 셈이다.

이러한 이유로 이제 엔드포인트 보안을 위해 획기적인 접근방법이 요구되고 있다.

바이러스 백신 소프트웨어에서 멀웨어를 탐지해내기 위하여 하루 평균 6,000개 이상의 멀웨어가 발견되고 있는 시점에서 볼때 이제는 패턴에 의존하여 탐지하고 차단할 수 있는 한계를 넘어섰다고 할 수 있다. 매년 6~8만개 정도의 멀웨어가 보고되었던 2006년까지는 가능했지만 이제 클라우드 기술 없이는 불가능할 수 밖에 없다.

기존 패턴 방식에서는 먼저 멀웨어가 출현해야만 해당 샘플확보가 가능하다. 발견된 샘플은 바이러스 백신 업체에 보내져서 분석과정을 거쳐 패턴을 만드는데에는 2~4시간이 소요된다. 업데이트된 패턴을 다운로드 받아서 조직내의 모든 PC 및 서버에 배포하기까지 빠르게는 6시간에서 큰 조직의 경우에는 약 72시간이 소요된다.

즉 모든 PC 및 서버에 패턴의 업데이트가 완전히 이루어지기 전까지의 72시간은 보안의 공백이 생기는 셈이다. 클라우드 기술의 실시간 탐지 및 차단 기술은 이러한 72시간의 공백을 ‘실시간’으로 획기적으로 줄여 줄 수 있는 최첨단의 기술이다. 클라우드 기술의 전제 조건은 전 세계의 방대한 악성 멀웨어에 대해 수집하고 분석할 수 있는 글로벌 조직이 있어야 가능하다는 것이다. 이러한 기술은 몇십명의 로컬 대응조직으로는 대응이 불가능하기 때문이다.

첫째, 맥아피의 Artemis라고 불리우는 클라우드 기반의 엔드포인트 보안 기술은 인터넷을 통해 다운로드 받은 파일들이 멀웨어 패턴중에는 발견되지 않았지만 의심스러운 행위가 감지되게 되면 실시간으로 글로벌 위협 센터로 해당 파일의 지문을 생성하여 전송하게 되고 해당 파일이 멀웨어로 등록되어져 있을 경우에 즉시 탐지하고 차단할 수 있는 기술이다. 2009년도에 실시된 해외 전문기관(ComputerBild)에 의한 바이러스를 비롯한 멀웨어 탐지 테스트 결과, 맥아피의 클라우드 기반의 멀웨어 탐지 기술은 99.8%의 최고 높은 탐지율을 기록하여 기술이 입증된 바 있다. 

평판기반 실시간 차단 솔루션 활용

두번째, 글로벌 보안 기술로서 평판기반 실시간 차단 솔루션으로 불리우는 ‘TrustedSource’를 이용한 위협 차단 기술이 있다. 평판기반 기술은 우리가 은행에서 개인의 신용상태를 평가하는 신용 점수와 비슷한 방식을 사용한다. 즉 전세계 120개국 이상에서 이메일 및 웹 트래픽을 분석하여 누가 사이버 평판이 좋은지 나쁜지를 판단하여 점수를 매기게 된다. 120개국 이상에서 평판 점수를 매기기 위해 수집되는 정보의 양은 매일 테라바이트에 이르며 연구원들만 350여명에 이르는 조직을 운용하고 있다.

‘TrustedSource’ 기술은 업계 최초의 다중 신원 평판 시스템으로서 우리가 사용하는 모든 인터넷 객체들인 IP 주소, URL, 이메일 도메인 등에 대해 멀웨어 전파 시도, 공격탐지 결과 등에 따라 평판점수가 실시간 업데이트가 이루어지고 있으며 독자 여러분들도 www.trustedsource.org에서 특정 IP 주소, 도메인 혹은 URL 등을 입력하여 사이버 평판 점수를 조회할 수 있다.

아래의 자료는 TrustedSource 기술을 이용하여 예방 예측의 효과를 입증한 결과로서 2009년 7.7 DDoS 대란 시에 공격의 매개체로 이용된 20만대 이상의 좀비 머신에서의 봇넷이 감염되기 시작한 5월 29일경부터 위협이 감지되기 시작해 TrustedSource 기술을 활성화시켜 놓은 조직에서는 80% 이상의 봇넷 PC로부터의 트래픽들에 대하여 자동 차단이 이루어져 위협으로부터 효과적으로 활용되었던 사례이다.

세번째, 글로벌 보안 기술로서 웹 사이트의 안전성 여부를 사전에 알려줌으로써 사용자로 하여금 악성코드가 은닉된 위험한 사이트를 방문할 경우에 경고를 해줄 수 있는 ‘SiteAdvisor’라는 글로벌 보안 기술이 있다. SiteAdvisor는 매일, 하루에도 수천번씩 웹 사이트를 방문하여 포괄적인 보안 위협을 테스트하여 전 세계적으로 웹사이트의 안전성을 일일이 검사하여 데이터베이스를 유지하고 있다.

즉 접속하고자 하는 웹사이트에 번거로운 팝업의 실행여부, 사용자 ID 를 도용할 수 있는 백도어 트로이 목마, 피싱 사이트, 전자상거래 취약성에 이르기까지 사용자보다 먼저 위험 영역을 식별하게 된다.

SiteAdvisor 는 웹 브라우저와 통합되어 검색 결과에 작은 사이트 등급 아이콘과 브라우저 단추 및 선택적 검색 상자가 추가될 뿐만 아니라 야후, 구글 등에서 인터넷 검색시 검색 결과 바로 옆에 사이트 안전성이 표시되도록 함으로써 사용자가 위험 사이트 방문을 회피할 수 있도록 하는 기술이다. 사용자들은 www.siteadvisor.com 웹사이트에서 프로그램을 무료로 다운로드받아 사용할 수 있다.

이번호에서는 클라우드 기술을 이용한 예측방어라는 주제로 McAfee의 글로벌 보안 기술의 핵심인 실시간 멀웨어 탐지 및 차단 기술인 Artemis를 비롯하여 평판점수에 의거하여 웹사이트 접속, 멀웨어 유입을 차단하는 TrustedSource 기술, 마지막으로 웹 사이트의 안전성 여부를 사전에 알려줄 수 있는 SiteAdvisor 기술을 살펴보았다.

다음 호에서는 바이러스 백신 프로그램에서 사용하는 블랙리스트가 아닌 허가된 애플리케이션들만 실행을 허용할 수 있는 화이트리스트 기반의 엔드포인트 보안 솔루션에 대하여 살펴보기로 하겠다.

<글 : 김현수 한국맥아피 이사, CISA, CISSP(Hyunsoo_Kim@McAfee.com)>

[월간 정보보호21c 통권 제119호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>