노아 바요셉(Noa Bar-Yosef) 임퍼바(Imperva) 수석보안전략가-①

“대부분의 트로이목마 변종들, 이미 MitB 기능 갖고 있어”

[보안뉴스 김정완] 미국의 보안업체 임퍼바(Imperva)의 웹방화벽 ‘시큐어시피어(SecureSphere)’ 국내총판사인 싸이버텍홀딩스에 최근 노아 바요셉(Noa Bar-Yosef) 임퍼바 수석보안전략가가 방문했다. 임퍼바 애플리케이션 디펜스 센터 수석보안연구원을 역임한 그녀는 데이터베이스와 웹애플리케이션 취약점에 대한 연구를 했으며, 임퍼바 이전에는 대학에서 프로그래밍과 네트워크 보안과정을 가르친 경력을 가진 보안전문가다. 또한 임퍼바에서 일을 하는 동안에는 다양한 상용화된 애플리케이션의 여러 취약점을 발견했으며, 소프트웨어 벤더들과 이 분석에 대해 진행하고 있기도 하다. 이에 그녀를 직접 만나 미국 내 사이버침해 정도 등을 비롯해 최근 발생하고 있는 사이버침해에 대해 한국기업들이 어떠한 대책을 수립해야 하는지 등에 대해 들어봤다. 아울러 독자들의 독해를 위해 이번 인터뷰 기사는 2회에 걸쳐 게재됨을 밝힌다.

- 글로벌 보안회사들은 미국 내 사이버침해를 바탕으로 한 지하경제 규모가 적지 않은 수준이라고 하는데, 실제로는 어느 정도 수준인가?

2010년 디지털정보의 유출이 물리적 자산의 도난 규모를 넘어설 정도로 실제 사이버범죄로 인한 지하경제가 지속적으로 증가하고 있다.

신용카드 번호들이 여전히 거래되고 있지만 그 가치들은 떨어지고 있다. 우리가 실제로 주목해야 할 것은 신원증명 정보가 통용되는 높은 환율이다. 이것이 그 시장의 주요 거래 기준이다. 이유는 간단한데, 신원증명 정보를 통해 훨씬 쉽게 수익창출을 할 수 있기 때문이다. 당신이 하나의 신원증명을 가지고 있다면 유출된 은행 계좌번호를 획득해서 위조된 플라스틱 카드를 만들더라도 이후 추가 단계에서 막히게 된다. 범인은 은행 어플리케이션에 연결하기 위한 피해자의 신원증명 정보를 이용해 펀드를 이체시킬 수 있다. 그런데 전체적으로 해커들이 직접적인 금전을 다루는 활동보다 신원증명을 통해 할 수 있는 일들이 훨씬 많다.

예를 들어, 회사 네트워크에 대한 인증정보로 해커가 조직의 문서와 급여 시스템에 불법 접근하거나 네트워크에 있는 컴퓨터를 감염시키는 일들이 있고, 소셜 네트워크 계정의 신원증명 정보는 악성 코드를 배포하거나 또는 명의도용을 위해 사용될 수 있어서 높은 가치를 지니게 된다. 2010년 초를 기준으로 하나의 유출된 트위터 계정이 미화 천달러에 상당하는 가치를 지닌다고 하는 게 이젠 그리 놀라운 일이 아니다.

그러나 우리는 여기서 단순히 웹 해킹에 대한 이야기를 하는 게 아니다. 기업 내부 임직원들은 기업 데이터(지적 재산권, 고객 목록, 직원 세부정보 등)의 가치가 어느 정도인지를 파악하고 있다. 지난 2009년과 2010년 사이의 데이터 유출 통계를 보면 기업 내부자에 기인한 데이터 유출이 거의 100% 증가한 것으로 나온다. 때때로 회사내부의 비밀을 훔치도록 요청하려는 악의적인 사람들에게 있어서 해당 회사 임직원은 가장 효과적인 접근 대상이다.

다른 직원들은 회사가 강조하는 고객 기반이라는 경영목표가 직원들로 하여금 정당하게 데이터를 소유하는 것이라고 믿는 것에서 시작하는 것으로 이해된다. 회사가 자사의 데이터에 대한 접근통제를 이행하지 않는 한, 우리는 내부자에 의한 더 많은 데이터 유출을 보게 될 것이다.

- 제우스 봇은 자동적으로 대량 생산되는 봇의 근원이 되고 있다. 제우스 봇에 대한 생각과 제우스 봇의 변종을 차단할 수 있는 방법이 있다면?

제우스 봇은 단지 또 다른 봇이다. 많은 다른 트로이목마 프로그램이 있다는 것을 이해하는 것도 중요하지만 특히 제우스 봇은 최근 보여준 활동으로 언론을 통해 유명해졌다. 본 질문은 제우스 악성 프로그램의 변종들을 어떻게 막을 수 있는지에 대한 구체적인 질문이라기보다 오히려 봇으로부터 발생하는 자동화된 공격들을 어떻게 차단할 지에 대한 물음이 될 것이다. 회사는 다음과 같은 방법을 적용해야 한다.

◇ 자동화된 비트 공격(Beat automated attacks at their own game)

하나의 공격을 지연시켜서 느리게 만드는 것이 그것을 비효율적으로 만드는 최선의 방법이며 가장 자주 적용된다. 단 1초의 지연 효과는 대부분의 사용자에게 인식되지 않는다. 하지만 이것은 자동화된 공격에 있어 상당한 차이를 만들 수 있다. 그것은 봇으로 하여금 또 다른 가치 있는 목표를 찾아 이동하도록 만드는 충분한 차이다. 봇넷 활동을 지연시키는 방법의 몇 가지 예로 CAPTCHAs, 클라이언트 쪽의 컴퓨터 연산을 이용한 시도, 그리고 허위 정보가 포함된다. 후자는 사이트가 많은 가짜 링크를 포함하는 솔루션을 만드는 것을 의미한다. 자동화된 프로세스는 무한정 그것들을 찾아 따라가겠지만 사람은 그렇게 따라가지 않을 것이다.

◇ 통합적 평판 제어(Incorporate reputation controls)

악성소스와 봇넷들로부터 유래된 것으로 알려진 웹 트래픽을 필터링하는 것으로서, 일부 조직은 이 방법을 통해 공격 소스들로 알려진 특정 해커들의 최근 활동 업데이트를 유지한다. 기타 필수정보로서 익명의 프록시, TOR Relay 또는 기존에 침해당한 서버로부터 참조한 정보를 포함한다. 지난 활동에서 수집한 공격 관련 포렌식 정보와 활성화된 봇과 공격 벡터에 대한 정보를 제공해야 한다.

◇ 상황반응적 인증(Adaptive Authentication)

매우 민감한 트랜젝션을 처리하는 일부 자동화 기능 자체가 의심될 때 사용자에게 악성 프로그램이 브라우저에 잠입했을 수 있다는 통보를 해주어야 한다. 이런 통보는 사용자에게 비밀 번호를 반복 입력하거나 이전에 기록된 질문에 대한 답변을 제공하는 등의 추가적인 인증 정보를 요청하는 형태가 될 수 있다.

- 자동화된 봇을 이용한 봇넷 공격은 산업의 다양한 분야에서 피해가 나타날 수 있을 것으로 예상된다. 어떤 분야에서 어떤 피해가 나타날 수 있을 것이라 생각하나?

봇넷은 독특한 악의적 목적으로 사용된다. 예를 들어 그것들은 취약한 웹사이트를 검색, 공격해 신원증명 정보를 탈취, 스팸 전파, DDoS 공격을 수행하는 데 사용된다.

트로이 목마(취약한 시스템에 유입되어 봇으로 발전된 악성 코드)가 최근 몇 년 동안 진화되어 왔다. 처음에는, 사용자의 신원정보들을 기록하고 C&C 서버로 보낸다. 다음 단계는 트로이목마가 피해자의 전체 온라인세션을 기록하는데 사용되는 것이다. 최신의 정교한 트로이목마는 Man-in-the-Browser(MitB) 기능을 수행한다. 이런 형태의 트로이목마는 거머리처럼 브라우저에 달라붙어 세션 내부에 HTML 코드를 주입시킨다. 이런 상태에서도 사용자가 은행에 로그온 할 때, 그는 여전히 자신의 필요에 따라 자금을 이체시키고 있다고 믿는 것이다.

실제로 악성 프로그램은 사용자 요청을 변경해 자금이 해커의 제어 하에 있는 계정으로 이체되도록 한다. 사용자는 그런 사기행위를 완전히 인식하지 못하고 은행 역시 그들이 정상적으로 로그인 한 합법적인 사용자와 거래하고 있다고 확신한다. 대부분의 트로이목마 변종이 이미 MitB 기능을 갖고 있고 금융 기관들은 이런 새로운 위협을 감당해내고 관리하기 시작해야만 할 것이다. 그러나 역시 다른 온라인 어플리케이션도 이런 위협들을 관리하기 시작해야 한다. 예를 들면 페이팔과 이베이 등이 그렇다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>