[보안뉴스 김경애] 뚫으려는 자와 막으려는 자. 지금까지는 창과 방패에서 창의 역할인 공격자가 이겼다고 해도 과언이 아니다. 지난 3.20 사이버테러의 경우만 보더라도 PC 3만2000여대가 파괴될 때까지 속수무책으로 당하기만 했다.

이는 APT(Advanced Persistent Threat, 지능형지속보안위협) 공격유형으로 특정 공격 대상을 정하고, 오랜 기간 지능적이고, 지속적으로 이뤄진 공격으로 교묘히 이뤄졌기 때문이다. 그렇다면 이러한 공격에 대해 좀더 효과적으로 방어할 순 없을까?

이에 대해 트루컷시큐리티의 심재승 대표는 지난 13일 서울 중구 대한상공회의소에서 열린 ‘2013 공공금융 보안솔루션 컨퍼런스’에서 ‘이젠 악성행위차단이다’란 주제 강연에서 “이전에는 악성코드 차단에 집중했다면 이젠 악성 행위에 대한 원천적인 차단이 이뤄져야 한다”며 “그렇지 않으면 악성코드 침입을 막을 수 없다”고 말했다. 

악성코드의 침입을 막을 수 없는 이유에 대해 그는 공격자의 입장과 사용자의 입장으로 구분했다. 공격자의 입장에서 보면 어디에든 악성코드를 숨겨 둘 수 있다는 것. 구축된 웹페이지 상태를 보며 분석하고, 취약점을 찾아 뚫는다는 것이다.

이를테면 공격자는 백신을 돌려보며 백신에 걸리는 악성코드는 모두 제외하고 걸리지 않는 악성코드만 제작해 공격한다는 것이다. 이는 뚫기만 하면된다는 명확한 목적이 있기 때문에 가능한 것으로 특정 타깃이 정해지면 취약점을 분석해 그에 맞는 맞춤형 공격이 이뤄지기 때문이라고 심 대표는 밝혔다.

이 때, 방어자의 입장에서 불리한 점은 근원적인 침입탐지 및 차단 기술이 없다고 그는 지적했다.  

심 대표는 “사람이 실수할 수 있는 Human Error 통제의 한계와 사회공학기법 무제한으로 어느 사이트든 방문할 수 있고 어떤 메일이든 열어 볼 수 있으며, 어떤 실수를 할지 알 수 없다”고 말했다. 그러면서 그는 “이젠 뚫릴 수 있다는 전제하에서 방어체계를 다시 구축해야 한다”고 강조했다. 즉 ‘사용자 입력행위기반’ 탐지를 통한 매카니즘에 따른 역접속 차단이 이뤄져야 한다는 것이다.

기존의 APT공격 진행과정을 살펴보면 대상을 물색하고 악성코드를 심는 준비단계와 들여다보기, 정보유출, 시스템 파괴 등의 공격단계로 나뉜다. 준비단계는 악성코드를 심는 한 번의 과정을 통해 단발성으로 끝나 버린다. 이는 적으로부터 근원적 차단이 불가능한 영역으로 감염되는 순간에 탐지하지 못하면 속수무책으로 당할 수밖에 없다는 것이다.

그러나 공격단계에서 정보유출 및 시스템 부팅영역을 파괴하려는 경우, 계속해서 반복적으로 시도되는 과정이라 기술적으로 탐지 및 차단이 가능하다. 이는 공격이 시도될 때마다 탐지가 가능한 정확한 영역이기 때문에 심 대표는 이 부분에 대한 방어가 중요하다고 지목했다. 하지만 현재 보안 솔루션의 방어체계를 살펴보면 대부분 외부 침입을 막는 것에만 치중돼 있다고 지적했다.

그동안 집중된 외부 침입 방어 구간을 살펴보면 인터넷구간의 경우, 유포지 차단과 지령 서버 차단에 실패했고, 네트워크 구간은 악성코드 침입 차단 및 트래픽 차단에 실패했다는 것이다.

그러나 엔드포인트 구간에 ‘사용자 입력행위기반’으로 보안시스템이 이뤄진다면 사용자의 조작없이 파일이 유출되려는 순간, 이를 차단할 수 있다고 강조했다. 즉 외부로 나가는 정보 및 자료를 차단하고, 사용자가 직접 컴퓨터를 조작해 내보내는 것만 허용한다면 사용자 모르게 정보가 새나가는 정보유출을 막을 수 있다는 것이다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>