표적 공격이냐 아니냐 여부가 정보보안 수사 방향 갈라

발견된 멀웨어를 발판 삼아 더 큰 맥락 짚어낼 수 있어야

[보안뉴스 문가용] 멀웨어 공격의 목표가 광고 클릭을 유도하기 위해서든, 봇넷을 구축하기 위해서든 아니면 하드웨어를 파괴하기 위해서든, 아무튼 ‘막아야 한다’ 내지는 ‘조치를 취해야 한다’는 것에는 모두가 동의하는 바일 것이다. 그런데 멀웨어의 목적이 다르듯 대처법도 달라져야 하는데, 이 부분을 아무도 고민하지 않는 것 같아 안타깝다. 특별히 표적 공격의 경우, 일반적인 멀웨어 대처와는 그 궤를 완전히 달리한다.

표적 공격의 경우 멀웨어는 대부분 ‘옵션’에 불과하다. 멀웨어를 사용하는 경우에라도 그것이 주요 공격수단이 되는 예는 극히 드물다. 표적 공격을 감행하는 해커들은 멀웨어 사용여부와는 상관없이 목표로 삼은 네트워크나 시스템에 침입하는 법을 알고 있다. 자동화된 공격 방식이 사용되는 예는 거의 없으며, 무엇보다 해커들이 단독으로 그저 ‘해킹’만을 위해서 표적 공격을 하는 예도 드문 편에 속한다. 이런 차이를 고민하지 않은 일반적인 멀웨어 대처법에는 그러므로 다음과 같은 실수가 반드시 일어난다.

1. 정보유출 감지와 멀웨어 감지를 동치한다

표적 공격의 목표는 정보에 도달하는 것이고, 그렇기에 목표를 이룰 때까지 끊임없이 침투행위를 반복하는 것이며, 이는 즉 대상 네트워크에 멀웨어 감지 솔루션이 있든 없든, 해커가 멀웨어를 사용하든 안 하든 언젠가는 모든 것을 뚫고 목표에 도달하기 마련이라는 뜻이 된다. 그래서 대부분은 엄청난 정찰활동이 사전에 이루어지며 한번 침투해서는 은밀하지만 왕성한 활동력을 보인다.

근데 방어하는 입장에서는 멀웨어를 발견했다손 치더라도 이게 표적 공격인 건지 불특정 다수를 향한 공격인 건지 구분하기가 너무나 어렵다. 멀웨어만 보고서는 이 판단 하기는 불가능하다고 볼 수 있다. 이 구분이 왜 중요하냐면, 표적 공격의 경우 멀웨어를 발견했다는 건 뒤이어 더 큰 공격이 몰려오고 있다는 가능성을 말하기 때문이다. 또한 표적 공격의 경우 멀웨어가 주요 공격 수단이 아니기 때문에 ‘멀웨어를 없앴으니 오늘은 두발 뻗고 자면 되겠다’는 순간의 안도가 더 큰 사태로 발전하기 마련이다. 즉, 해커의 의도야 어쨌든 표적 공격이라는 인지 없이 발견한 멀웨어는 오히려 보안담당자의 미끼처럼 작용할 때가 많다.

1-1. 이에 어떻게 대처해야 하는가?

표면적인 기술 하나하나에 집중하지 말고, 여태껏 발견된 것들을 가지고 보다 큰 그림을 상상하고 유추해보는 것이 중요하다. 이에는 해커의 행동 패턴이나 의도 등이 있다. 그러려면 시스템과 네트워크의 평소 상태에 대해 잘 알고 있어야 한다.

멀웨어나 악성코드를 발견했다고 수사를 끝내서는 안 된다. 말했다시피 이게 다가 아니기 때문이다. 멀웨어가 발견됐다면, “이 시스템에 혹은 이 네트워크나 기업에 훔쳐갈 만한 뭔가가 있는가?”로부터 다시 수사를 시작해야 한다. 혹은 “누군가 노릴 만한 주요 인물이 있는가?”, “또 다른 멀웨어가 어디 숨어있지는 않을까?”도 괜찮은 궁금증이다. 거기서부터 뭔가가 잡힌다면 표적 공격일 가능성이 높고, 아니면 그냥 흔히 돌아다니는 불특정 다수를 향한 공격일 가능성이 높다.

2. 멀웨어 없앴으니 문제가 모두 해결됐다고 여긴다

수상한 뭔가가 실제로 발견되었을 때 그 수상한 것을 없애거나 시스템을 격리시킨다고 해서 문제가 다 해결되지는 않는다. 심지어 크게 도움이 되는 것도 아니다. 일단 발견된 시점이 침입 시점이라는 보장도 없고, 통계상 그럴 가능성은 무척이나 희박하기 때문이다. 그런데도 대부분의 보안업체나 담당자들은 멀웨어를 없애는 것에 총력을 기울인다. 어떤 곳은 단거리 경주하듯 시간을 재는 곳도 본 적이 있다. 그리고 그 시간을 가지고 광고까지 하더라.

그러나 이 모든 게 ‘표적 공격’이라는 맥락 안에서 이루어진 것이라면 다 부질없는 짓이다. 그리고 높은 확률로 멀웨어 존재 여부와 상관없이 이미 공격자는 네트워크의 다른 부분을 휘젓고 있는 중일 것이다. 오랜 시간 공들여 침입한 곳에, 침입 경로를 한 군데만 만들어놓는 바보는 없다. 게다가 멀웨어가 없어지면 해커는 그것을 신호삼아 더 조심하기 시작한다. 경로 하나 없앴다고 승리감을 이르게 맛보는 건 오히려 해커의 비웃음만 살 뿐이다.

2-2. 어떻게 대처해야 하나?

멀웨어 없애는 것에 초점을 맞추지 말아야 한다. 시스템을 격리시키거나 포맷하거나 하는 사소한 문제로 법석을 떠는 것도 우선순위에 두어야 할 조치와는 거리가 멀다. 오히려 멀웨어를 통해 그 배후에 있는 ‘사용자’의 행동 패턴을 파악하는 편이 낫다. 또한 감염된 시스템이 가지고 있는 기능이나 역할은 무엇인지, 그것과 멀웨어의 기능 사이에 연관성이 있는지 등 알아낼 수 있는 정보를 최대한 알아낸 후 멀웨어 제거를 시작해도 늦지 않다.

발견된 것이 멀웨어든 코드든 이상 징후든 그것이 전부가 아니라 빙산의 일각이라는 것을 상정하고, 그것을 바탕으로 보다 큰 그림을 그려나가는 것이 사이버 수사나 문제 해결의 기본이 되어야 한다. 당연한 말이지만 잘 지켜지지 않고 있다. 아마도 멀웨어를 없애는 가시적인 성과를 모두가 요구하기 때문일 것이다.

우리가 가지고 있는 솔루션들의 기능성은 대부분의 경우 충분히 제 역할을 한다. 그것을 활용하는 자의 시선이 좁은 멀웨어에 갇혀 있는가 넓은 맥락을 찾느라 두리번 대고 있는가가 솔루션의 활용도를 달리한다. 즉, 기술력을 핑계 삼을 수는 없다는 것이다.

아무리 디지털 세대요, 정보화시대라고 하지만 정보유출 사고가 너무 많이 일어난다. 그리고 너무 많이 일어나서 당연시되고 있다. 그러면서 멀웨어를 지워냈다는 사소하고 비교적 간단한 성취에 만족하는 법이 자리 잡고 있다는 게 심히 우려스럽다. 그건 만족이 아니라 타협이며 포기일 뿐이다.

글 : 기오라 엥겔(Giora Engel)

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>