• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

사이버 공격, 최선의 예방은 ‘사전 차단·제어’ 2013.04.26

‘실시간 클라우드 방어 시스템’으로 악성코드 사전 탐지·차단해야


[보안뉴스=김기태 블루코트 코리아 지사장] 이번 3.20 사이버 테러는 웹 서버 해킹 및 악성코드 삽입을 통한 유포방식이 사용되었으며 오랜 기간 동안 정보유출이 이루어져 기존 방화벽, IDS/IPS, 안티바이러스와 같은 특정 보안 솔루션만으로는 예방, 진단, 그리고 차단이 어려웠다.

       


특히, 기존의 웹 및 응용 애플리케이션의 취약점이 아니라 국내의 많은 웹사이트에서 많이 사용하는 Active X의 취약점을 이용해 모듈 업데이트 시 사용자들이 변조된 경로를 통한 악성코드 감염이 진행되어 그 심각성이 크게 대두되고 있다.


이번 3.20 사이버 테러에 이용된 APT(지능형 지속공격) 공격과 관련해 해킹 피해를 입은 기업의 경우 다음과 같은 시스템적 취약점이 드러난 것으로 분석되고 있다.


첫째, 내부 사용자 PC가 악성코드에 감염된 웹 사이트에 접속하는 것을 사전에 차단하는 시스템이 존재하지 않았다. 특히, 오늘날 모든 웹 공격의 2/3 이상은 악성코드(Malware)를 통해서 전파되고 있으며 이러한 악성코드는 중간의 매개 역할을 하는 익스플로잇(Exploit: 시스템 프로그래밍 과정에서 발생한 취약한 부분을 이용하여 명령어를 조작해 공격) 서버에 악성코드를 심어 놓고 일반 사용자들이 이를 다운로드 받도록 유도한다.


악성코드는 이미지, 동영상, 다운로드 파일 콘텐츠 등에 포함되어 있는데, 사용자 본인도 모르게 다운된다. 따라서 악성코드에 감염된 사이트 접속을 사전에 차단함으로써 내부에 악성코드에 감염된 봇PC가 설치되지 않도록 하는 것이 중요한데 이에 대한 부분이 간과된 것이라 할 수 있다.


둘째, 악성코드 사이트 접속 및 프로그램 다운로드가 이루어지는 것을 제대로 탐지 및 차단할 수 있는 시스템의 부재다. 사용자 PC에 안티 바이러스가 있다고 하더라도 이러한 탐지율은 높지 않다.


해당 시스템 외에 악성코드를 탐지·차단할 수 있는 환경이 충분히 구축되어 있지 않았다고 볼 수 있다. 이번 APT 공격의 경우 오랜 기간 동안 준비되어 내부 봇 PC와 C&C 서버 사이의 통신이 수없이 이루어지고 데이터가 유출됐으나 이를 탐지 및 차단할 수 있는 시스템의 존재하지 않았으며, 암호화된 형태로 데이터 유출이 이루어졌으나 이에 대한 탐지가 가능하지 않았다.


셋째, 내부의 악성코드 감염 시스템과 외부 C&C 서버와의 통신이 오랜 기간 지속되고 있었으나 이를 추적할 수 있는 포렌직 활동이 제대로 이루어지지 않았다고 할 수 있다. APT 공격의 특징상 장기간 지속되는 공격 및 데이터 유출이 이루어지고 있으나 이를 충분히 분석·확인하지 못함으로써 궁극적으로 이번 3.20 사이버테러와 같은 대규모 전산 장애가 발생했다고 할 수 있다.


무엇보다 이러한 시스템 취약점들은 APT 공격이 SSL 기반으로 트래픽을 암호화 후 공격을 수행하는 방향으로 진화할 가능성이 높은 상황에서 보안상의 문제가 자주 발생할 수 있다는 점에 주목해야 한다.


이는 현재 대부분의 APT 및 방화벽·IPS·IDS 등의 보안제품의 경우 암호화 트래픽에 대한 자체 복호화가 불가능하기 때문에 이와 연동되는 보안 시스템으로 기존 보안 장비들과 협업을 통해 APT 공격 차단 및 분석이 필요하다.


또한, 별도의 연동 없이도 고객들이 보유한 기존 장비 및 APT 장비들에서 분석하지 못하는 암호화된 웹(HTTPS) 트래픽에 대해서 SSL탭 기능 등으로 간단하게 보안 위협 요인을 분석할 수 있어야 한다.

특히, 무엇보다 선결되어야 하는 사항은 APT 공격 방어를 위해서는 무엇보다 내부 사용자가 악성코드에 감염되지 않는 것이 중요하므로 악성코드에 감염된 웹 사이트 또는 메일 등을 통해서 악성코드가 내부 유입 시 이를 탐지 차단하는 대응이 필요하다.


그러나 이미 악성코드가 내부에 감염되어 있고, 안티 바이러스 또는 APT 제품에서도 탐지가 되지 않는다면 내부 봇PC가 외부 C&C 서버와 통신하는 것을 차단하는 것이 필요하다.


이를 통해 정의된 카테고리 분류 외에 사이트 및 IP 접속을 차단하는 기능을 제공해 PC와 C&C 서버간의 통신을 차단해주어 악성코트 유포를 최대한 막아야 한다.


또한, 악성코드에 감염된 PC와 C&C서버가 통신하는 네트워크 기반의 포렌직 분석도 중요하다. 다만 포렌직 시스템의 경우도 암호화 트래픽에 대한 분석은 불가능하므로 연동된 시스템을 구축하는 것이 필요하다.


이번 3.20 사이버테러로 인해 공공기관을 비롯해 금융, 일반 기업 등이 모두 APT 공격에 대한 방어의 필요성을 인식하고 있다는 점은 참으로 다행이다.


이러한 공격이 발생하기 전에 해당 악성코드를 분석·식별하고 공격 발생 이후에도 지속적인 차단을 가능하게 해주는 실시간 클라우드 방어 시스템은 이러한 사이버 공격에 효과적으로 사용자를 보호해준다.


또한, 위치에 상관없이 모든 사용자에 대한 보안을 제공하고 악성코드를 사전에 조기 탐지, 차단할 수 있는 보안 시스템의 구축으로 악성코드를 이용한 공격에서 사용자와 시스템을 보호해줄 수 있는 최선의 해결책이다. 

[글_김 기 태 블루코트 코리아 지사장(keetae.kim@bluecoat.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>