램닛 봇넷 상당 수 줄였으나 다시 살아나는 조짐 있어

사이버보안의 목표는 멀웨어의 박멸 아닌 약화라는 점 기억해야

[보안뉴스 문가용] 보안 커뮤니티에는 이런 유명한 격언이 있다. “유출사고가 있을 것인가 아닐 것인가 그것은 문제가 아니다. 언제 유출될 것인가가 문제다.” 결국 이 말은 무엇을 뜻하는가? 유출사고의 예방만이 전부가 아니라는 것이다. 사고 사실을 최대한 빨리 감지하고 충격을 줄이는 것도 보안의 역할 중 하나라는 걸 기억할 필요가 있다.

그러나 격언은 정말 그저 격언일 뿐인 걸까. 정작 일반 기업이나 대중, 즉 해킹에 피해를 입는 대다수의 대상들은 자신들이 해킹을 당했다는 사실을 인지조차 하지 못하고 넘어갈 때가 부지기수다. 심지어 당하고 있는 와중에도 모른다. 그래서 사건이 만천하에 드러났을 때는 이미 한참 늦은 경우가 대다수다. 돈은 돈대로 명성은 명성대로 다 잃고 난 뒤인 경우가 많은 것이다.

지식이 주요 자원으로 분류되는 시대에서 정보란 사람의 가장 큰 적이면서 동시에 가장 든든한 아군이다. 정보가 사람의 적이 될 때는 언제인가? 처리 능력보다 훨씬 많은 정보의 양을 주체하지 못할 때다. 그런 상황에서 내게 꼭 맞는 정보를 찾는다는 건 해변에서 바늘을 찾는 것과 다름이 없다. 보안업계에서 바늘이란 공격의 징후인 이상 현상이나 특이한 패턴을 말한다. 정상 범위에서 벗어난 현상들을 전부 확인할 수 있다면 대단히 안전한 환경을 만들 수 있는데, 애초에 정보의 양에 눌려서 아무 것도 못하는 사람들에게 이것을 바라기란 힘이 든다.

하지만 다루기가 까다로워서 그렇지 많은 경우 정보는 우리의 든든한 동맹이 된다. 특히 빅 데이터 기술이 최근 개발되고 계발됨에 따라 우리는 그 어느 때보다 정보와 가까운 사이가 되었다. 더 많은 기업들이 해변가에서 바늘을 찾는 것에 성공을 하고 있고, 찾으라는 바늘 말고도 더 많은 유해물질까지 제거하는 데 성공한 것이다.

이런 성공 사례가 최근 또 하나 생겼으니 지난 2월 유로폴과 MS, 시만텍, 아누비스네트웍스(AnubisNetworks)가 힘을 합해 램닛(Ramnit) 봇넷을 무력화시킨 사건이다. 이 경우 해변가를 가득 메운 모래에 해당하는 건 세계 곳곳에 퍼진 좀비 컴퓨터 사이, 좀비 컴퓨터와 C&C 서버들 사이에서 발생하는 무수한 통신이었다. 이중에서 공격자의 통신 하나를 딱 집어내는 것이 바로 바늘찾기였다. 그러려면 봇넷의 작동 원리, 구조, 통신 원리를 모두 이해해야 했다.

경찰 및 법 집행 기관들은 본격적으로 움직이기 전에 여러 가지 정보를 필요로 한다. 여기에는 위치, 멀웨어의 특성, C&C 인프라의 구성 정보 등이 포함된다. 말은 간단하지만 수집하려면 수개월이 걸려야 했다. 게다가 수집 후 거르고 분석하는 과정도 거쳐야 비로소 모두가 공유하고 활용할 수 있는 정보가 되는 건 당연했다. 실제로 법 집행 기관들과 이 작전에 참여한 모든 조직들이 이 정보 구축에 많은 힘을 썼다.

결국 작전은 성공적으로 진행되었고 C&C 인프라는 전부 법 집행 기관의 통제 아래로 들어왔다. 거기서부터 추가된 위협 정보를 다시 분석하고 정제해 효과적으로 램닛 감염을 줄여나갔다. 봇넷의 활동이 자연스럽게 축소되었고, 감염에서부터 해방된 시스템이 전 세계적으로 3백2십만 대에서 2십 5만 대로 줄어들었다.

그로부터 두어 달 뒤, 놀랍게도 램닛의 활동이 다시 시작되는 걸 목격할 수 있었다. 그러나 대대적인 소탕작전이 벌어지기 전에 비하면 미미한 정도였다. 교훈은 여기에 숨어있다. 혹자는 램닛이 결국 다시 등장했기 때문에 작전의 결과는 실패라고 쓴 소리를 하기도 하지만, 나는 반대다. 목을 아무리 잘라도 다시 자라나는 신화 속 괴물 히드라를 어떻게 죽였는가? 목을 멈추지 않고 계속 잘라서였다. C&C 서버를 가져오고 무력화시켜도 스멀스멀 다시 살아나는 램닛이 불멸의 히드라 같을 수는 있지만, 그렇기에 더더욱 감시의 끈을 놓지 않고 필요한 힘을 행사하면서 계속해서 제압해야 한다. 그런 노력이 있었기에 램닛의 부활이 미미한 수준에 그치고 있는 것이다.

또 다른 볼멘소리가 들려오는 듯 하다. “우리 회사는 MS만큼 크지가 않아서 그런 대규모 작전에 참여할 수가 없는데 어떻게 하죠?”

* 대부분 기업들이 내부 네트워크에만 신경을 쓴다. 내부 네트워크만 점검해서 유출사고 여부를 판단하려 한다는 것이다. 하지만 그럼에도 내부 정보 유출사고는 일어난다. 무슨 말인가? 내부 네트워크만 바라보는 것만으로는 부족하다는 것이다. 바깥에서부터 내부를 보는 시선, 혹은 아예 외부인의 객관적인 시선이 도움이 될 때가 많다. 한 마디로 시야를 여러 면에서 넓히면 의외의 소득이 생긴다는 것이다.

* 위협요소를 발견하는 것 혹은 처리하는 것을 조금 더 쉽게 하려면 의외로 기본 마음가짐부터 바꿔야 한다. ‘혹시 사고가 일어났을까?’의 의심부터 출발하는 게 아니라 ‘사고가 일어났어’라고 인정하는 것부터 시작해야 한다. 그러면 행동이 구체화가 된다. 우리 회사를 침입할 만한 주체는 누구인가, 추리하게 되고, 내가 그 사람 혹은 해커라면 어떤 식으로 침투를 했을까 골몰하게 된다.

* 결국 가장 약한 건 사람이다. 그러니 평소에 멀웨어나 침입지점을 찾아내는 것만큼 사람들을 교육시키는 것도 중요하다.

변명 같지만 봇넷은 싹 사라져 전멸되는 존재가 아니다. 구축 단계부터 이런 소탕 작전을 염두에 두고 최대한 저항하고 도망가고 숨을 수 있도록 만들어진 게 봇넷이다. 생명력 질기기로는 지구 최고인 바퀴벌레처럼 말이다. 그러면 우리가 할 수 있는 건 바퀴벌레 약 뿌리듯 ‘최대한 약화시키는 것’이다.

기업들도 이것을 기억해야 한다. 지금 사무 공간이 아무리 깨끗해도 바퀴벌레 한 마리 없는 상태는 아닐 것이다. 또 약을 뿌리고 설치해 벌레의 개체 수를 줄일 수는 있어도 완전 박멸을 기대할 수는 없다는 것도 알아야 한다. 언제고 벌레는 다시 찾아든다. 멀웨어도 마찬가지다.

글 : 프란시스코 폰세카(Francisco Fonseca)

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>