[보안뉴스= Snorre Fagerland 블루코트 선임보안연구원] 지난 2010년 초반부터 다수의 해커 그룹이 공격을 시도해 왔고 실제로 한국 대형 게임업체들이 타격을 입기도 했다. 이러한 사실들은 공격을 입은 기업들에 의해 밝혀지기도 했으나, 해당 기업 소유의 전자 서명 인증서(Code Signing Certificate)가 분실됨으로써 공격 사실이 알려졌다.

이러한 사이버 공격들은 게임 이외의 분야에도 영향을 미친다. 예를 들어 신원을 알 수 없는 공격자가 해당 게임의 관리자 권한을 획득한 뒤 접속자들에게 악성코드를 유포했다. 이 악성코드는 해커가 원격으로 감염된 PC를 조정할 수 있는 백도어와 금융정보 탈취를 위한 파밍 사이트로 유도하는 기능이 담긴 것으로 파악됐다.

최근에도 블루코트는 유사한 범죄 수법이 성행하고 있는 것을 확인했다. 정상적으로 보이는 악성 파일이 담긴 문서를 확인하는 방식으로 게임업체 내부 PC를 대상으로 하는 공격이 계속되고 있는 것이다. 사실 이러한 수법은 지난 2011년도부터 계속되어 왔으며 공격 방식이 점점 진화되고 있는 것으로 분석된다.

이러한 변종 악성코드는 백신에 의해 쉽게 탐지 되지 않아 장시간에 걸쳐 관리자 및 일반 사용자의 개인정보와 같은 다양한 데이터를 유출시키고 있다. 일반적으로 인젝션, 취약한 인증과 세션관리, 크로스 사이트 스크립팅(XSS), 안전하지 않은 직접 객체 참조 등의 웹 취약점을 활용한 거점 좀비 PC를 악용해 정보유출형 악성코드가 빈번히 설치되고 있다. 악성코드가 실행되면 임의의 서비스와 프로세스로 등록되고, 등록된 악성코드는 이를 기반으로 공격자가 정보를 수집하는 사이트로 주기적으로 정보를 유출한다.

실제로 블루코트가 최근 발견한 ZxShell이나 Gh0st 변종 악성코드들은 파일 형식의 자료를 다운받은 PC를 원격으로 조종하여 일반 사용자 정보를 탈취하는 것은 물론 게임 사이트에 접속해 아이템을 빼돌린 사례도 있었다. 특히 이러한 아이템 거래로 금전적 이득을 얻기 위해 해커들의 활동이 더욱 조직화되고 전문화되는 양상을 보이고 있다.

사이버 공격의 대응 시스템 강화 위한 고려사항

첫째, 사이버 공격 방어는 내부 사용자가 악성코드에 감염되지 않는 것이 중요하다. 이를 위해서는 악성코드 사이트 접속을 차단하는 것이 가장 기본적으로 필요하다. 블루코트 보안 웹 게이트웨이가 이러한 역할을 수행할 수 있으며, 클라우드 및 BYOD 환경에 따라서 스마트폰 또는 노트북을 통해서 외부에서 감염 후 내부에 다시 전파하는 문제가 발생하는 경우를 위해서 이미 클라우드 서비스도 제공하고 있다.

블루코트 보안 솔루션은 7,500만 사용자 이상으로 구성된 협업 클라우드 커뮤니티인 블루코트 웹 펄스(WebPulse)를 이용한다. 그래서 악성코드 네트워크를 능동적으로 탐지하여 실시간 대응을 가능케 한다. 특히, 블루코트의 웹 펄스(WebPulse)는 평판(기존에 알려진 악성코드 호스트와 연관된 IP Address, 의심스러운 도메인 네임 패턴, 히스토리컬 정보 등을 분석), 컨텐츠(7년이상 축적된 노하우를 바탕으로 실시간 감지), 행동패턴 분석(가상 VM에서 실행), 트래픽 패턴 분석, 서버나 사이트 DNA 분석 등의 5가지 기법을 적용하여 악성코드를 탐지한다.

블루코트의 Web Pulse는 전세계 약 7천 5백만명의 사용자로부터 약 10억개의 실시간 웹 요청을 처리하고 있다. 이런 실시간 요청들은 블루코트 제품을 사용하고 있는 전 세계 대학, 엔터프라이즈, 일반 사용자들을 통해 제공받아 Web Pulse가 정상적인 웹 트래픽과 비정상적 웹을 판단할 수 있는 좋은 지표를 마련할 수 있도록 소스를 제공한다.

또한, 약 10억개의 웹 요청에 대한 실시간 분석을 진행하고 있는데 여기에 한국어를 포함하여 약 55개의 언어를 지원하고 있다. Web Pulse는 인터넷에 존재하는 각 웹사이트들에 대한 분류를 효율적으로 하기 위해 84개의 카테고리를 제공하고 있으며 각 사이트별로 최대 4개까지의 다중 카테고리 분류를 제공한다.

둘째, 악성코드에 감염된 웹사이트 또는 메일 등을 통해서 악성코드가 내부로 유입 될 때 이를 탐지 차단하는 대응이 필요하다. 블루코트 안티바이러스 게이트웨이의 경우 고객사가 이미 보유하고 있는 호스트 안티바이러스 제품과 함께 설치하면 더욱 효과적으로 이를 탐지 및 차단할 수 있다. 또한 악성코드 자체를 차단하는 APT 제품의 도입도 필요하다. 다만 암호화된 공격의 경우 APT제품만으로는 탐지가 불가능하므로 이를 복호화 할 수 있는 보안 웹 게이트웨이와 연동하는 것이 APT 공격 방어를 위해서 필요하다.

셋째, 악성코드가 이미 내부에 감염되어 있고 안티바이러스 또는 APT 제품에서도 탐지가 되지 않는다면 내부 봇PC가 외부 C&C 서버와 통신하는 것을 차단하는 일이 필요하다. 블루코트 보안 웹게이트웨이의 경우 정의된 카테고리 분류 외에 사이트 및 IP 접속을 차단하는 기능을 제공해 봇 PC와 C&C 서버간의 통신을 차단해주어 악성코트 유포를 효과적으로 막아줄 수 있다.

마지막으로 악성코드에 감염된 PC와 C&C서버가 통신하는 네트워크 기반의 포렌식 분석도 중요하다. 다만 포렌식 시스템의 경우도 암호화 트래픽에 대한 분석은 불가능하므로 연동된 시스템을 구축 등이 필요하다. 블루코트의 보안 웹게이트웨이에서 차단하는 것 이외에 업계에서 유일하게 기존 타 보안제품(IPS, IDS, APT 전용 장비)에서 분석하지 못하는 암호화된 웹에 대한 분석이 가능하도록 복호화된 트래픽을 제공한다.

최근의 해킹 공격은 점점 진화하고 있으며 이에 따라 단일 솔루션만으로 갈수록 정교해지고 지능화되는 공격을 막는 것은 거의 불가능하다. 보안 침해사고의 특성상 999개의 공격을 아무리 잘 막아도 1개의 취약점으로 사내 보안이 뚫린다면 기존의 차단은 무용지물이 된다.

이제는 악성코드 사전 차단에서부터 웹 애플리케이션 제어, 실시간 악성코드 차단, 암호화 트래픽의 가시성 확보, 다른 보안솔루션과의 상관 관계분석에 이르기까지 보다 큰 그림의 방어시스템 구축이 필요한 시점이다. 이를 통해 최근의 보안 침해사고에 대응할 수 있는 보다 강력한 다계층의 협업 방어 시스템을 구축할 수 있다.

[글_ Snorre Fagerland 블루코트 선임보안연구원]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>