다양해지는 멀웨어, 하지만 대세 방어법은 고리타분
이전 기록 가지고 탐지하는 방법에는 한계가 분명하게 존재

[보안뉴스 홍나경 기자] 멀웨어의 종류가 계속 다양해지고 있는 건 도무지 해결의 기미가 보이지 않는 문제다. 요즘에는 심지어 DIY 멀웨어까지 등장하여 초보 해커들도 쉽게 심화된 형태의 멀웨어를 만들 수 있게 됐다고 한다. 지금의 쏟아지는 첩보도 감당하지 못하고 있는 게 보안 업계의 현실인데, 가야할 길이 첩첩산중이다.


최근까지 멀웨어를 탐지하는 방법 중 대세라면, 파일 해싱을 꼽을 수 있다. 파일 해싱은 보안 전문가들이 수상한 위협을 감지했을 때 이전 공격에 대조해 볼 수 있게 해주는 파일의 고유 특징인 핑거프린트(Fingerprint, 지문)를 생성해 내는 방식을 통해 만들어진 파일 해시를 사용하여 위협을 탐지하는 방식이다.

파일 해싱의 단점은 파일의 비트가 1개만 변하더라도 덩달아 해시의 가치들이 다 바뀐다는 것이다. 해시는 블랙리스트 데이터베이스에 의존하여 악성 해시들을 탐지할 수 있었는데 해당 단점으로 인해 현재 위협 첩보 전체가 100% 신뢰도를 갖추기 어렵다.

반면 오늘날 다른 보안 위협 탐지 업계는 계속해서 변하고 있는 악성 멀웨어에 이미 적응하여 이미 알려진 멀웨어와 비슷한 유형의 위협이 엔드포인트 또는 샌드박스에 나타나면 이를 감지할 수 있는 제품을 제작하고 있다. 따라서 파일 해싱(화이트리스팅)을 1차 거름망 정도로만 생각해야 할 듯하다.

하지만 파일 해싱이 하락세라고 해서 이쪽 산업이 완전히 가치를 잃었다고 말할 수는 없다. 모든 멀웨어가 다 독특한 것이지도 않으며 실제로 APT 공격 같은 경우도 네트워크에 오랫동안 잠복해 있다가 나타나는 공격이다. 만약 APT 공격이 매우 특이한 성향을 보였다면 이미 보안 전문가들이 발견했을 것이 아니겠는가.

그렇다고 해도 멀웨어는 확실히 다양해지고 있으며, 양적으로도 많이 생성되고 있다. 버라이즌이 발표했던 2015년 보고서만 봐도 멀웨어 해시에 대해 언급할 때 특히나 강조하여 70~90%의 멀웨어가 이전에 없었던 독특한 형태로 나타난다고 말했다. 심지어 버라이즌은 이전 주장을 다시 정정하여 2017년 보고서를 통해 99%의 멀웨어 파일이 특이한 바이너리로 나타났다고 언급했다.

변화무쌍한 해커들의 공격에 대응할 수 있는 방법이 필요하다. 우린 너무 예전 방법들에 느낀 만족에 집착하고 있는 건 아닌가 우려스럽다. 예전 방법이 통하는 곳도 분명히 있겠지만, 그렇지 않은 곳에선 과감한 탈피가 필요하다.

글 : 폴 쇼모(Paul Shomo)
[국제부 홍나경 기자(hnk726@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>