두 보안 회사의 연구원들 멀웨어 4개 직접 제작

5가지 실험 솔루션 모두 뚫은 샘플 곧 공개 예정

[보안뉴스 문가용] 최고의 성능을 자랑하는 위협 감지 제품들이 테스터들이 직접 제작한 멀웨어를 감지하는 데에 실패했다. 크라이시스(CrySyS)의 연구원들과 MRG 에피타스(MRG Effitas)는 함께 다섯 가지 유명 위협 감지 제품의 성능을 시험했는데, 보다 정확히 말하면 ‘새로운 방식의 위협’에 대한 제품들의 적응력을 알아보기 위함이었다. 다섯 가지 제품의 정확한 이름은 알려지지 않고 있다.

연구원들은 네 개의 멀웨어 샘플을 제작했고, 그 중 하나는 다섯 가지 제품 전부를 무사통과하는 데 성공했다. 또 다른 하나는 다섯 가지 제품 중 세 가지를 통과했고 가장 기초적인 성능을 가지고 있던 멀웨어 샘플 두 가지는 다섯 가지 제품 모두에게 발각되었다. 하지만 다 발각되었다고 해도 경고 수위는 제각각이었다.

결국 이번 실험으로 얻어낸 결론은 “새로운 멀웨어에 대해서는 기존 보안 툴이 무력하다”는 사실을 확인한 것이다. “일반 사용자들은 이런 솔루션 하나만 있으면 철옹성을 둘러 쳐놓은 것처럼 느낍니다. 즉 보안 및 안전에 대해 사실과는 전혀 다른 ‘체감’을 하게 되는 것이죠.” MRG 에피타스의 보안 연구원인 졸탄 발라스(Zoltan Balazs)의 설명이다.

그럼에도 이런 솔루션은 없는 것보다 있는 것이 훨씬 안전하다. “소위 말하는 레이어드 시큐리티, 즉 다구조 혹은 다층 보안의 일부로서는 꼭 필요합니다. 그 어떤 솔루션도 하나만으로는 완벽한 방비책이 될 수 없습니다. 겹겹이 둘러싸야 한다는 것이죠. 공격이라고 꼭 새로운 방법으로만 들어오는 것도 아니고요. 그러니 이번 실험 대상이 되었던 솔루션들도 분명히 가치가 있습니다.”

이번 실험에 사용되었던 멀웨어 샘플들은 전부 전형적인 RAT 기능, 즉 원격 코드 실행 기능, 파일 다운로드 및 업로드 기능을 갖추도록 만들어졌다. 이중 밥제로(BAB0)라는 이름의 샘플은 다섯 개 제품 모두에게 발각되지 않은 것으로, 공격을 받은 시스템이 웹 페이지로부터 다운로드받는 방식으로 숨어들었다. 그런 후 스테가노그래피를 활용해 이미지 뒤에 존재를 감춘 채 잠복했다. 이런 식으로 HTTP 요청 안에 C&C 트래픽을 감추기도 했다.

연구원들은 밥제로의 요소들 중 일부를 공개해 비슷한 종류의 위협 감지 실험을 도울 계획이다. 또한 일반 회산 조직들에게도 필요한 경우 네트워크 침입 방지 실험 등에 사용할 수 있도록 공개할 예정이라고 한다.

“저희끼리 만든 멀웨어로 모든 제품을 그냥 통과할 수 있었다면 해커들 역시 마찬가지일 겁니다. 방법 자체야 다를 수 있겠지만요. 어쩌면 저희보다 훨씬 간단하게 통과하고 있을지도 모르죠.” 크라이시스의 레벤트 부티얀(Levente Buttyan)의 말이다. “그러니 이제 보안 솔루션 업체들은 최대한 많은 테스터들을 끌어들여 자사의 제품을 실험해야 합니다. 훨씬 자주요. 그런데 테스터들이나 제품 개발회사나 이런 것을 굉장히 꺼려합니다. 바꿔가야 할 부분입니다.”

그러나 이번 실험에서 이런 부정적인 결과만 나온 건 아니다. 각 제품마다 특별한 장점과 효과를 충분히 가지고 있었다는 게 크라이시스의 볼디자르 벵크사스(Boldizsar Bencsath)의 설명이다.

또한 트렌드 마이크로의 최고 사이버 보안 책임자인 톰 켈러만(Tom Kellermann)은 자사의 제품은 딥 디스커버리(Deep Discovery) 제품은 이번 실험에 포함되지 않았다고 주장했다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>