구글 세이프 브라이징...91만개 이상의 위험성 있는 URL 정보 보유 

악성코드 유포에 이용되는 경로 파악이 보안위협 대응의 핵심  

[보안뉴스=조근영 빛스캔 연구원] 구글이 2006년부터 데이터와 비용을 제공해 운영 중인 사이트 ‘스톱배드웨어(Stopbadware)’가 있다. ‘세이프 브라우징(Safe Browsing)’ 이라는 이름으로, 인터넷 서핑 중에 악성코드 감염 가능성이 있는 도메인을 사용자에게 알려줌으로써 위험성을 사전에 인지하도록 하는 것이 주된 목적이다.

스톱배드웨어 사이트의 경우 2012년 8월 기준으로 91만여 개의 위험성이 있는 URL 정보를 보유하고 있다. 그 URL 정보의 대부분은 구글 검색과 밀접하게 연관이 되어 있다. 방문한 도메인을 색인화 하는 과정에서 악성코드 유포에 대한 흔적과 시도를 발견한 것들을 전 세계적으로 리스팅하고 있다.

악성코드 유포의 의미

악성코드를 유포한다는 것은 특정 웹사이트를 방문했을 때 액티브X이든 어떤 형태의 악성코드 감염 행위가 사용자의 PC에 발생된다는 것을 의미한다. 또한 유포하는 곳의 서버는 공격자의 손아귀에 있다고 보는 것이 맞다.

이 정보를 현재 활용하고 있는 파이어폭스(Firefox)와 크롬(Chrome), 페이팔(Paypal)에 이어 애플의 사파리가 추가됐다. 사파리 브라우저가 추가됐다는 의미는 스마트폰 환경의 절반 가량을 차지하고 있는 애플의 i-시리즈 모두에 적용되고 있다는 뜻이다. 또한, 모바일과 PC 인터넷 환경이 다를 것으로 예상되지만 전혀 다르지 않다.

예를 들면 스마트폰 운영체제를 PC 운영 체제가 따라가고 있는 형국이다. 따라서 공격도 동일한 효과를 가지게 되며 효율적인 전파 수단으로 웹이 사용되고 있다.

Why Google, Why Stopbadware?

구글은 이미 2006년부터 스톱배드웨어를 지원해 왔다. 악성코드 유포 행위의 심각성은 이 때부터라고 봐야 하는데 기업 규모에 비해 상당히 빠르게 움직였다. 초기에는 단순히 봇넷이나, 스팸메일, 악성코드를 직접 올려두고 사용자에게 배포하는 형태에 대해 초점을 맞추었을 것이다.

지금은 또 다른 체계에 의해 강력한 검색 DB와 이 결과에 기반한 악성코드 탐지 및 비정상행위 탐지를 통해 등록을 하고 있는 것으로 추정된다. 1~2억개 가량의 도메인을 크롤링하고 주기적으로 데이터를 수집하는 압도적인 검색 역량과 기술을 가지고 있는 구글에 대적할 기업은 없다.

또 구글은 이 기술을 다른 방향으로 활용하는 첫 분야로 이미 오래 전부터 보안을 선택한 것이다. 지금까지는 무료였으나 과연 이게 언제까지 무료로 될 것인가? 또한 그들만이 할 수 있는 기술은 은밀한 지배력을 더 크게 만들 것임은 분명한 일 아닌가?

최대 100만개 가량의 도메인이 악성코드 유포 행위 감지로 등록됐으며 현재는 90만개 가량의 도메인이 상시 유지되고 있는 상태인 스톱배드웨어의 데이터는 현재 공식적으로 브라우저 시장에서 오페라(Opera)와 인터넷익스플로러(IE)를 제외한 대부분의 브라우저에 적용되고 있다.

스톱배드웨어의 심각한 뒷북

그런데 만약 스톱배드웨어에서 수집하는 악성코드 유포 도메인이 무용지물이거나 심각한 뒷북이라면 판도는 어떻게 변할까? 또한 철석같이 믿고 있는 백신들에게 탐지되지 않는 악성코드라면 상황은 어떻게 변할까?

검색엔진을 통해 크롤링을 하고 색인화한 이후 위험성을 분류하는 시간까지 일정시간이 소요될 수 밖에 없다. 등록에는 보통 1일에서 일주일 정도 걸리며 반대로 등록해제에도 그 정도의 기간이 소요되는 것으로 추정된다.

공격자들은 이미 그 기간 이내에 악성코드 유포를 종료하고 다른 곳으로 옮겨간다. 구글이 차단을 해도 이미 공격 코드는 그 곳에 없다. 주말만 악성코드를 유포하거나 더 잦은 간격으로 악성코드를 유포한다면 구글이 탐지하고 대응할수 있을까? 그리고 위험에 대한 사전차단이 가능할까?

지금 당장 직면한 위협에 대해서도 한계가 있는 상황은 데이터가 누적되고 관찰되기 이전까지는 전 세계 그 어떤 회사도 이의제기를 할 수 없는 현실이다. 특히 그 회사가 구글이라면 더더욱 그러하다.

언제든 공격자가 변경된 악성코드를 수시로 유포할 수 있는 환경에서 악성코드를 뿌리는 사이트만 차단한다고 해서 대책이 될 수 있을까? 이 점은 서비스를 이용한 차단을 하는 구글이나 악성코드 분석을 통해 대응을 하는 백신업체들이나 마찬가지 문제를 가진다. 공격자들은 이미 이 두 가지 대응 방향을 충분히 농락하고 즐기는 상황이다.

즉시적인 적용과 차단이 가능한가? 또 백신들에 탐지가 안 되는 악성코드들도 형태에 관계없이 판별이 가능한지가 핵심이다. 아직 구글도 여기까지는 도달하지 못했다. 개선을 위해서는 악의적이라고 평가할 수 있는 판단기준의 변경과 악성코드 유포에 이용되는 경로를 찾아낼 수 있는지가 미래 대응 전략의 핵심과 경쟁력이 될 것이다.

사용자 입장에서 가장 좋은 방법은 악성코드 유포하는 사이트라는 경고 창이 뜨는 사이트는 접속을 하지 않는 것이다. 또한, 혹시나 모를 감염에 대비해 현재 공격에 자주 사용되는 취약점들은 JAVA, Flash, 운영체제 취약점이므로 반드시 이에 대한 최신 패치를 해야 한다.

[글 _ 조 근 영 빛스캔 연구원(re4lfl0w@bitscan.co.kr)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>