의심스러운 이메일 첨부파일의 시뮬레이션 분석 필요

[보안뉴스 김태형] 글로벌 보안 전문 기업 한국트렌드마이크로(www.trendmicro.co.kr)가 3.20 사이버 공격의 최초 감염경로가 된 신용카드 거래내역서를 위장한 악성코드 탐지 및 서버 파일의 위·변조를 차단하기 위해 서버 무결성 검사 솔루션이 요구된다는 대응책을 발표했다.

    ▲ 3월 20일 전산망 장애 공격 추정도

한국트렌드마이크로는 이미 3.20 전산장애 발생 이전에 이번 공격의 주요 경로로 추정되는 기업을 겨냥한 전자우편 악성코드를 자사 네트워크 모니터링 시스템을 통해 사전탐지 및 차단한 바 있다.

이번 공격에 사용된 악성코드는 기존에 알려져 있는 악성코드를 일부 수정해 재활용한 것으로, 동일한 샘플에 대해서만 진단, 치료하는 시그니처 방식의 백신으로는 선제적 대응이 불가능하다.

때문에 점점 진화하고 있는 APT 공격에 대응하기 위해 네트워크 행위기반 분석과 의심스러운 파일을 가상 시뮬레이션을 통해 분석하는 새로운 형태의 대응방안이 요구된다.

특히 표적공격의 90% 이상이 전자우편을 통해 이루어지는 만큼 종래의 단순 스팸 필터 기능이 아닌 첨부파일의 악성코드 유포를 긴밀하게 검사해야만 한다. 이번 공격에서 알 수 있듯 알려지지 않은 악성코드의 의심스러운 행위에 대한 가시성 확보는 물론, 구체적인 대응책을 마련해야 한다.

아울러 이번 공격에서 내부 자산관리 서버의 업데이트 및 배포 기능이 오히려 악성코드 배포에 악용된 것과 같이 내부 관리 서버의 배포파일에 대한 위·변조 방지 및 인증 기능도 요청된다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>