파이어아이 코리아 ‘MPS 솔루션’, APC 서버 관리자 계정 탈취 탐지

[보안뉴스 김태형] 파이어아이 코리아(지사장 전수홍, www.fireeye.com)는 행위 기반 분석을 통해 이번 공격의 시작점인 APC 서버의 관리자 계정 탈취를 탐지했고 실제 대란의 직접적인 원인이 되었던 사용자 PC의 하드디스크를 파괴하는 악성코드를 탐지했다고 밝혔다.

이번 3.20 사이버 대란의 원인이 되었던 악성코드를 분석 및 추적하는 과정에서 자사의 MPS(Malware Protection System) 제품이 설치되어 있었다면 사전 탐지가 가능해 이번 사태와 같은 공격을 막을 수 있었다는 것.

회사 측은 “이번 공격 경로를 역 추정하는 과정에서 최초 APT 공격의 시작이었던 APC 서버의 관리자 계정이 탈취되는 것을 탐지할 수 있었기에 사이버 공격의 원천적인 예방이 가능했다”고 밝혔다.

즉 관리자 계정을 탈취하는 대부분의 악성코드는 파이어아이의 MPS를 통해서 실시간 탐지되어 조치되기 때문에 침입 자체가 불가능하다는 설명.

또한 파이어아이는 특허 기술인 멀티-벡터 가상 실행(MVX) 엔진에서의 분석을 통해 백신 없이도 고객사 내부로 악성코드가 확산되는 것을 사전에 예방할 수 있다고 밝혔다.

해당 악성코드가 윈도우 XP 계열에서는 시스템의 부팅 영역인 MBR(Master Boot Record)를 포함하는 디스크 손상을 유발하고 윈도우 7 에서 모든 디스크의 파일을 강제 삭제하는 행위를 가상실행엔진의 행위분석을 통해 미리 탐지 및 조치할 수 있다는 것이다.

현재 파이어아이는 해당 악성코드의 분석 및 탐지 결과를 고객사의 보안 담당자들에게 모두 배포한 상태다.

파이어아이는 이번에 발견된 악성 코드의 변종이 이미 만들어 지고 있는 것으로 파악하고, 이에 대한 백신이 배포된다 해도 변종 악성코드를 찾아내는 것이 불가능해 기업이 여전히 추가 공격의 위험에 노출돼 있다고 지적했다.

반면, 자사 고객의 경우 파이어아이 MPS의 행위 기반 분석에 의해 변종 악성코드 역시 탐지가 가능하므로 불시에 발생할 수 있는 추가 공격에도 위험을 차단할 수 있다고 설명했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>