“좀비PC방지법 제정돼야...사전예방과 긴급대응 가능”

[보안뉴스 호애진] “DDoS공격과 APT공격으로 인한 개인정보 유출사고 등은 악성코드 감염으로 인한 좀비PC를 악용한 것으로, 이를 사전에 탐지 및 차단하고 치료하는 등 좀비PC의 확산을 막는다면 언제 터질지 모르는 대형사고를 막을 수 있습니다.”

최근 좀비PC를 악용한 사고가 많이 발생하고 있고 이로 인한 피해도 커지고 있어 사전 예방을 위한 대책 마련이 시급하다. IT가 발전하고 네트워크가 발달할수록 악성코드 또한 진화하고 있고, 감염경로가 다양화 되고 있어 좀비PC 감염이 증가하고 있는 것. 

한승철 엔피코어 대표는 “해커는 악성코드를 프로그램 코드 일부나 전체를 변경하는 방법인 난독화를 시키고, 지속적인 업데이트를 통해 파일을 변경시켜 백신의 차단을 우회해 탐지를 어렵게 한다”며, “또한 설치 후 백신소프트웨어를 파악하고 동작을 방해하는 한편, 통신을 차단해 신종 패턴에 대한 업데이트를 방해하고, 설치 환경에 따라 파일을 변경하는 등 보다 정교화·지능화되고 있다”고 밝혔다.

또 이를 탐지하는 기존 방식에는 한계가 있어 좀비PC를 탐지 및 차단하는 데 어려움이 있다고 그는 전했다. 행위 기반을 이용한 네트워크 방식의 경우 모든 트래픽에 대한 실시간 분석이 불가능하며, 암호화 통신 사용 시 탐지가 불가능하고, 다양한 우회 경로를 사용하는 등의 문제가 있다. 또한, 패턴을 이용한 클라이언트 방식은 발견이 선행돼야 하기 때문에 대응이 늦으며, 지속적인 악성코드의 변경에 대해 패턴 방식으로는 대응이 불가능하다는 것.

이에 그는 “해당 시스템에 직접 동작하며 불법 행위를 탐지하는 행위 기반만이 답”이라고 강조했다.

엔피코어가 출시한 좀비제로는 행위기반 방식을 이용해 악성코드의 외부 공격을 탐지 및 차단한다. 모든 트래픽을 관장하는 네트워크 드라이버에서 동작하며 PC에서 일어나는 모든 봇 행위를 감시하고, 역추적 방식을 통해 프로세서 생성 및 원천 파일을 치료함으로써 좀비PC에 대한 모든 대응 체계를 제공하게 된다.

아울러 지난 5월 좀비제로에 APT 공격에 의한 정보유출 탐지 및 차단 기능을 강화했다. 이 기술은 PC에서 발생하는 파일전송 시 행위기반을 이용, 정상 전송행위(사용자에 의한 전송)와 비정상 전송행위(악성코드)를 구분해 탐지 및 차단하는 기술로 악성코드에 의한 자료유출 행위를 원천적으로 차단한다.

그러나 그는 기술·관리적 대책뿐만 아니라 법제도 기반이 필요하다고 강조했다. 일명, 좀비PC방지법이 하루빨리 제정돼야 한다는 것이다.

좀비PC방지법은 좀비PC 감염 확산을 방지하기 위해 대규모 디도스 공격 발생 시 좀비PC의 인터넷 접속을 일부 제한하고 치료하고자 등장한 법안이다. 18대 국회에서 제정되지 못했으며 지난 6월 한선교 새누리당 의원이 재발의 했으나 개인정보와 사생활 침해 우려가 있다며 계류됐다.

한승철 대표는 “공격에 대한 사전예방과 긴급대응이 가능하고 이용자 사회적 책임을 강화할 수 있는 제도적 장치가 필요하다”며, “침해사고시 인터넷 이용자에 대한 차단이 아니라 접속경로를 차단하는 것이고, 일정규모 이상의 침해사고 발생시에만 인터넷 접속을 차단한다는 점에서 피해를 최소화 할 수 있다”고 설명했다.

좀비PC방지법이 제정되면, 관련 시장은 보다 커질 것으로 전망되고 있다. 현재 좀비PC 방지 솔루션 시장 규모는 약 100억원 정도로 추정된다. 2009년부터 행안부, 교과부 등 공공시장을 중심으로 성장을 해오다가 지난해부터 금융 및 엔터프라이즈 시장이 열리기 시작했다.

한승철 대표는 “엔피코어는 현재 원주시청, 상주시청 등 공공기관을 비롯해 조선대, 동덕여대 등 교육기관과 부산은행, 한국캐피탈 등에 제품을 공급했으며, 국내 시장은 물론 해외 시장 진출을 위해 적극 노력하고 있다”고 밝혔다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>