멀웨어는 정보보안에 맞서기 위해 진화하는데 우리는?

보안은 점점 일상적이고 창조적인 가치관을 덧입어야

[보안뉴스 문가용] 멀웨어는 IT의 오랜 적이었다. 게다가 시간이 갈수록 더 강력해지고 있다. 파괴력이나 성공률은 기존 멀웨어가 꿈도 꿀 수 없었던 수준에 이르렀고, 실제 올해 일어났던 대부분의 유출 사고에는 멀웨어가 그 중심이든 변두리에든 존재했다.

정보보안이 진화하고 있는 것만큼 멀웨어 역시 진화하고 있다. 멀웨어 개발자들은 정보를 훔치고 물리적인 손상을 입히는 기능을 탑재했고 감지 시스템을 피하고 장기간 시스템 내에서 활동하는 것도 가능하게 만들었다. 게다가 이런 고급 기능 멀웨어를 익스플로잇 툴킷이라는 이름으로 배포해서 기술력이 다소 부족한 해커라도 고차원 공격을 감행할 수 있도록 했다.

현대 멀웨어의 기능은 다채롭다. 때론 개인 사용자의 로그인 정보를 훔치거나 금융 거래 정보를 탈취한다. 혹은 데이터를 암호화해서 ‘유괴’한 후 사용자에게 돈을 요구하기도 한다. 그게 끝이 아니다. 비슷한 취미나 직업을 가진 사람을 추적해 ‘워터링 홀’이라고 하는 우회 공격까지도 실행할 수 있다. “공격자와 방어자 모두 혁신에 혁신을 거듭하고 있습니다. 그래서 더 무서운 거죠”라는 브로미움(Bromium)의 최고보안아키텍트인 라울 카시옙(Rahul Kashyap)의 설명이 정확하다.

‘고차원’이라고 항상 ‘새로운’ 것은 아니다

멀웨어가 ‘고차원’이라거나 ‘선진적’이라고 할 때, 이전에 없던 새로운 것을 항상 뜻하는 건 아니다. 오히려 감시망을 피해가는 방법이 이전보다 교묘해졌다거나 이전에는 흩어져있던 기술력이 한 데 모아져 시너지 효과가 난다는 뜻일 경우가 더 많다. 실제 여러 가지 기능을 단독으로 수행하는 멀웨어가 심심치 않게 등장하기도 한다. “코딩이 고급화되어 있다는 건 멀웨어가 기능과 유연성에서 이전 것보다 뛰어나다는 것을 의미합니다”라고 RSA-FirstWatch의 수석책임자인 알렉스 콕스(Alex Cox)는 설명한다.

사실 멀웨어가 윈도우를 사용하는 컴퓨터에 침입해 메모리로 들어가는 방법 자체는 크게 바뀌지 않았다. 오늘날의 PoS 멀웨어와 이미 한참 전부터 사용된 제우스를 비교해보면 이를 더 확실히 알 수 있다. “기법이나 기술은 조금씩 바뀌긴 했습니다만 전체 과정은 대동소이합니다.” 엔트러스트(Entrust)의 수석기술연구원인 제이슨 소로코(Jason Soroko)도 이에 동의한다.

실제로 멀웨어 제작자들은 예전 코드를 쓰고 또 쓴다. 게다가 소스코드도 여기 저기서 쉽게 구해서 베낄 수 있다. 개발자들이 서로의 노하우와 정보를 공유하는 것만큼 해커들도 정보를 공유한다. 그 공유 방법도 비슷한 게 사실이다. “개발자들이나 해커들이나 사실 코딩을 서로 베껴가며 정부를 공유하는 게 사실이죠.” 쓰레트그리드(ThreatGrid)의 CEO인 도브 요란(Dov Yoran)의 설명처럼 말이다.

감염 방법의 진화

‘감염’이라고 하면 거의 항상 운영 체제 어딘가에 멀웨어가 존재한다는 의미였다. 멀웨어가 존재한다는 건 어느 시점에 멀웨어가 그 시스템으로 침투했거나 주입되었다는 뜻이고 말이다. 그러나 요즘 멀웨어들은 직접 침투 혹은 주입 말고도 여러 가지 방법으로, 그것도 굉장히 은밀하게 침투할 수 있다. 커널을 우회할 뿐 아니라 마스터 부트 기록에 스스로를 접붙이기도 한다. 혹은 바이오스로 들어가기도 하고 블루투스를 통로로 활용하기도 한다. 즉 신기술이라는 이름으로 탄생하는 여러 가지 것들을 해커들도 활발하게 연구를 하고 있다는 뜻이다. “이전과 조금 다른 게 있다면 요즘 멀웨어 코드들에서는 운영 체제를 무시하고 그보다 더 밑바탕에 깔려있는 아키텍처로 들어가려는 노력들이 더 빈번해졌다는 겁니다.” 시스코의 수석기술연구원인 레비 군더트(Levi Gundert)의 설명이를 이를 뒷받침해준다.

운영 체제 단위에서 감염이 이뤄지지 않는다는 건 시스템을 아무리 자주 포맷하고 운영 체제를 다시 설치해도 소용이 없다는 뜻이다. 또한 소프트웨어 단위에서 멀웨어나 악성 코드를 감지하는 시스템 역시 무용지물이 될 공산이 크다는 의미가 된다. “이런 종류의 공격은 임베디드 기기들을 통해 더 노골적으로 늘어날 겁니다.”

멀웨어도 스마트 시대

또한 멀웨어는 훨씬 스마트해졌다. 사용자의 시스템을 분석해 어떤 종류의 페이로드를 실행할 것인지와 네트워크 상에서 어떻게 운신할 것인지도 선택할 수 있기 때문이다. 그런 유연함을 바탕으로 공격자들은 공격 대상도 쉽게 전환할 수 있게 되었다.

확실히 요즘 들어 사이버 범죄의 방향이 조금은 수정된 듯하다. 예전엔 트로이목마 바이러스 등을 통해 개인의 금융 정보 및 자산을 노린 게 많았다면 요즘엔 오히려 금융기관 자체를 노려 더 많은 자료를 수거해가는 것이다. 또한 예전엔 봇넷을 구축해 수천 명의 공격 대상자들을 일일이 공격했다면 요즘엔 업체 몇 군데를 노려 수백에서 수천만의 고객 정보를 대량으로 훔쳐간다. 그래서 최근 PoS에서 사고가 빈번하게 발생하는 것이다.

게다가 PoS 시스템을 활용하는 소매업 계통은 보안이 아직도 상당히 취약한 편이다. 그래서 해커들이 훨씬 간편하게 들고 날고 하며 공격을 감행하고 있다. PoS 터미널은 컴퓨터와는 조금 다른 시스템이긴 하지만 대부분 윈도우나 리눅스를 사용하고 있기 때문에 멀웨어 제작자로서는 그렇게 까다롭지 않다. 기존 PC에서처럼 PoS에 침투한 멀웨어도 여전히 메모리를 읽어서 정보를 전송한다.

앞서 언급한 워터링 홀이라는 우회 공격 회수가 증가하고 있고 멀버타이징까지 등장한 것을 보면 해커들이 얼마나 부지런하게 머리를 굴리는지 알 수 있다. 워터링 홀을 실행하려면 대상에 대한 철저한 분석과 꼼꼼한 계획이 있어야 가능하다. 대상을 직접 타격하는 것보다 우회해서 들어가기 때문에 그 궤도 계산이 정확해야 하기 때문이다. 멀버타이징도 마찬가지다. 멀버타이징의 경우 심지어 해커들이 광고비를 내기도 한다.

항상 매의 눈을 유지하며

멀웨어의 이런 변화는 결국 감시 체제 혹은 보안 체제에 적응해가는 과정이라고 볼 수 있다. 그렇기 때문에 아주 기초적인 기술을 활용하기도 하고 굉장히 새로운 기술을 개발하기도 한다. 당연히 멀웨어 코딩의 가장 기본은 ‘가장 인기있는 보안 소프트웨어에 대항하는 법’으로 구성되기 마련이다. 요즘처럼 타깃형 공격이 많은 때에는 굳이 인기 있는 보안 소프트웨어를 찾지 않아도 소셜 엔지니어링 작업을 통해 특정 공격 대상이 사용하는 보안 소프트웨어가 무엇인지 알아내면 된다.

또한 요즘 해커들은 멀웨어를 배포할 때 여러 경로 분산한다든지 시간을 들여 조금씩 퍼트린다. 사이버 방어는 대부분 ‘숫자 놀음’이고, 수상한 행위의 가장 눈에 띄는 징후는 갑작스럽게 늘어나는 숫자이기 때문이다. 숫자를 기반으로 운영되는 감지 시스템은 결국 이런 식의 ‘분산된’ 혹은 ‘느긋한’ 멀웨어 감염에 무딜 수밖에 없다. 더 독한 해커의 경우 공격 대상에 따라 1회성 맞춤형 멀웨어를 제작해서 공격이 끝난 후 멀웨어를 삭제하기까지 한다. 같은 공격을 반복하면 감지될 확률이 높기 때문이다.

포그라운드 시큐리티(Foreground Security)의 서비스 책임자인 조지 베이커(George Baker)는 다단계 배포 방식도 감지 확률을 굉장히 낮춘다고 한다. “1단계에서는 대상 시스템에 발자국 정도만 남깁니다. 침투 경로는 스팸메일, 피싱, 웹 다운로드 등 다양합니다. 다음 단계에서는 코드를 조금 다운 받아서 조금 더한 공격을 실행합니다. 그런 식으로 공격을 아주 조금씩, 눈에 안 띄게 심화시키는 것이죠.” 이렇게 ‘조용히’ 움직이는 멀웨어는 감지가 극히 어렵다. 그리고 신종 멀웨어일수록 이렇게 조용히 움크리고 있는 것에 능해지고 있다.

그렇다면 어떻게 방어하나?

이렇게 멀웨어의 변화에 대해 설명하기 시작하면 ‘기존 백신은 전부 무용지물이라는 소리인가?’라고 되묻는다. 감지가 저렇게 어려워진다면 돈을 들여 백신을 살 필요가 뭐가 있느냐는 의문은 당연하다. 그러나 콕스는 “그럼에도 기존 백신들은 여전히 유효하다”고 말한다. “전부 폐기처분한다는 건 말이 안 됩니다. 왜냐하면 요즘의 보안은 ‘레이어드 보안’으로 바뀌어가고 있고 백신은 그 중 한 단계(레이어)를 잘 담당할 수 있기 때문입니다.”

“조직이나 업체라면 정상적인 데이터 양이 어느 정도인지 파악하고 있어야 합니다. 그래야 비정상적인 사태가 발생했을 때 한 눈에 알아볼 수 있죠. 또한 가장 민감한 정보는 어디에 저장되어 있는지도 알고 있어야 하고 어떤 식으로 접근이 가능한지도 제대로 이해해야 합니다.” 방어는 평소에도 꾸준히 실행되어야 한다는 뜻이다.

레이테온(Raytheon)의 IT 보안 수석 담당자인 조슈아 더글라스(Joshua Douglas)는 “내부 위협에 대처하는 마음가짐”이 중요하다고 주장한다. “멀웨어가 일단 네트워크에 침투하면 그건 그대로 ‘내부 요소’가 됩니다. 그렇기 때문에 조직에서는 정적인 로그를 관찰하고 네트워크 내의 활동을 감시해야 합니다. 평소의 것과 대조해보면 분명히 이상한 점이 나올 것입니다. 예를 들어 근무 시간 외 활동이라든가, 흔히 사용하지 않는 애플리케이션이나 기기로부터의 로그인 기록 등 말입니다.”

또한 제일 중요한 정보는 꼭 암호화시켜야 한다는 주장도 잊지 않는다. “하지만 아무리 방어책이 훌륭해도 도둑 하나 못 잡는 게 어찌 보면 당연합니다. 그러니 방어에도 힘써야 하지만 범죄의 핵심이 되는 보석 자체에도 손을 써야 합니다. 민감한 정보의 암호화는 마지막 보루이면서 강력한 방어책입니다.” 다른 정보는 암호화시키지 않아도 된다는 뜻이 아니라 보호하려는 입장에서는 중요도의 우선순위를 정하는 게 효율적이라는 것이다.

엔트러스트의 소로코는 “당연한 말이지만 중요한 것끼리 모아두지 않는 것도 중요”하다고 강조한다. 최근 자주 발생하는 소매업계의 유출사고를 보면 중요한 정보를 따로 분리시켜 놓기만 했더라도 막을 수 있었던 경우가 대부분이었다. “내부 네트워크뿐 아니라 서드파티 업체와도 네트워크를 공유하는 경우도 많습니다. 해커 입장에서는 들어갈 통로가 엄청나게 확대되는 것이죠.”

멀웨어가 핵심이 아니다

멀웨어의 기능은 날이 갈수록 다양해진다. 하지만 해커들에게 있어서는 수많은 공격 도구들 중 하나일 뿐이다. 중간자 공격을 주로 활용하는 해커에게는 멀웨어가 필수품은 아니다. 공인된 소프트웨어의 취약점을 공략하는 해커들도 마찬가지다. 하지만 분명 인기 있는 툴이긴 하다.

그렇다면 멀웨어가 들어오는지 안 오는지 감시하는 게 정보 보안의 핵심이 되어서는 안 된다는 게 자명하다. 오히려 사용자의 행동 패턴이나 식별 정보에 더 초점을 맞추어야 한다. 사용자의 권한 설정이 어느 수준인지, 필요 이상의 권한을 가지고 있지는 않은지 검토하고 필요한 경우 수정해야 한다. 권한 없는 사용자가 중요한 정보를 받고 있지는 않은지 감시해야 한다. 이건 매일 해야 하는 작은 일들 중 하나다. 보안은 생각보다 작고 사소한 일들의 모임이다.

전문가들은 방어자가 공격자의 입장에서 생각하는 훈련을 해야 한다고 주장한다. 나라면 이 시스템을 어떻게 공격할 것인지, 창조적으로 상상해야 한다는 것이다. ISEC 2014에 참가한 질 슬레이 교수는 “정보보안 업무는 갈수록 창의력을 요하는 쪽으로 변하고 있다”고 인터뷰를 통해 밝히기도 했다.

하지만 그럼에도 어느 순간에 멀웨어가 시스템에 침입할 지 예견할 수는 없다. “그래서 사건 대응 매뉴얼을 갖추고 있어야 하죠.” 베이커의 설명이다. “이제 사후처리도 보안담당자의 책임이 되어가고 있습니다.” 그런 매뉴얼이나 사건 발생시 할 일에 대한 계획도 역시 평소부터 준비해야 할 일이다. “멀웨어가 계속 증가하고 발전하고 있다는 건 우리가 여태까지 고수해왔던 방어체계가 낡아있다는 뜻입니다. 이제는 다른 방법을 심각하게 고민할 때입니다. 더 늦게 전에 말입니다.”

글 : 파미다 라시드(Fahmida Rashid)

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>