백신 엔진을 이해하면 우회하는 멀웨어 만들기 쉬워

더 꼼꼼한 침투 실험을 거치고 나서 시중에 제품을 내놔야

[보안뉴스 문가용] 네트워크 보안 전문업체인 주니퍼 네트웍스(Juniper Networks)의 수석 연구원 카일 아담스(Kyle Adams) 씨는 장난 반 진심 반으로 멀웨어를 만들어 백신 프로그램들을 실험해보았다. 그리고 딱 한 개만 빼놓고는 그 어떤 백신 프로그램도 그 멀웨어를 감지하는 데에 성공하지 못하는 것을 확인할 수 있었다.

그래서 아담스 씨는 이 한 개의 백신 코드 엔진을 리버스 엔지니어링 했다. 그렇게 한 다음엔 그 백신마저도 우회할 수 있었다. 그리고 이 과정 중에 실제 해커들이 백신 프로그램을 이런 식으로 무력화시켜왔다는 걸 깨달았다.

“결국 현재의 엔진들로는 멀웨어를 충분히 막지 못한다는 것을 볼 수 있었습니다. 그래서 문제가 무엇인지 파악하려고 엔진들을 좀 더 면밀히 살피게 되는데, 그 과정에서 여태껏 알아채지 못한 공격의 흔적들을 발견할 수도 있었던 것입니다. 하지만 아직 코드 에뮬레이션 엔진 자체를 공격할 수단은 찾아내지 못했습니다.”

아담스 씨는 아직 자신의 멀웨어를 첫 단계에서부터 감지하지 못한 백신 프로그램들의 구체적인 이름을 밝히는 것은 꺼렸다. “백신 엔진의 원리만 안다면 우회하는 게 일도 아니거든요. 저는 그걸 알고 있었을 뿐입니다.”

중요한 건 현재의 백신 프로그램들에는 대대적인 개편이 필요하다는 것이다. “백신 엔진의 원리를 알고 있는 게 저만은 아니겠죠? 제가 우회 멀웨어를 뚝딱 만들 수 있다면 저만큼 엔진에 대한 이해도가 있는 사람들은 전부 백신을 무력화시킬 수 있다는 소리입니다. 업그레이드나 새로운 제품이 필요한 시점입니다.”

아담스 씨의 말처럼 이렇게 백신을 우회한 경우가 난생 처음 있는 일은 아니다. “해커들은 이미 옛날부터 이를 악용해왔습니다. 하지만 지금에라도 보안 산업에 종사하고 있는 사람들에게 이에 대해 알려야 합니다.”

쉽게 말해 다 지나간 일에 대해 왜 신경을 곤두세워야 할까? 효과가 좋은 패치를 위해서? “단순히 현재의 엔진에 대한 대책 마련 차원에서 그렇게 하자는 게 아닙니다. 이 문제를 통해 멀웨어를 제작하는 사람들이 어떤 식으로 문제에 접근하는지를 심리적으로 역추적할 수 있기 때문입니다.”

아담스 씨는 조만간 자신이 실험한 백신 프로그램들의 이름과 백지에서부터 멀웨어를 만드는 법에 대해 상세하게 공개할 예정이라고 한다. 그렇게 할 수 있는 건 이미 그의 멀웨어가 더 이상은 백신 프로그램을 우회할 수 없도록 조치가 되었기 때문이다. “다시 그 백신들을 우회하려면 멀웨어를 새롭게 만들어야 합니다. 아마 이미 많은 해커들이 일에 착수했을 겁니다.”

앞으로 백신 제조업자들은 아담스 씨의 발표를 어떻게 받아들여야 할까? “시중에 내놓기 전에 모의 침투 실험 같은 걸 좀 더 꼼꼼하게 운영하면 어떨까요. 저는 이번 실험을 진행하면서 그런 아쉬움을 가질 수밖에 없었습니다.”

그밖에 아담스 씨는 자신이 고안한 여러 다른 솔루션들도 함께 공개할 예정이다. 이는 백신 프로그램들을 ‘까기’ 위한 것이 아니다. 그랬다면 백신 업체에 미리 연락을 해 패치를 하도록 시간을 주지도 않았을 것이다. “솔직히 백신 업체들 무료로 백신을 뿌리는 경우가 대부분이잖아요. 그런 사람들에게 어찌 책임을 더 지라고 말할 수 있을까요?”

아직 정확한 발표 일정은 잡히지 않은 상태다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>