• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

파일 없는 공격 늘어나는데, 시그니처도 못 막아 2017.05.01

멀웨어 파일 대동된 공격 제대로 못 막는 백신 엔진
파일 없는 공격이 전체 공격의 20%까지 늘어나

[보안뉴스 문가용 기자] 게이트웨이와 엔드포인트에서의 보안 장치들을 사이버 범죄자들과 스파이 그룹들이 점점 우습게 뚫어내고 있다. 그 이유는 악성 파일이 없는 공격이 늘어나고 있기 때문이라고 한다. 악성 파일을 탐지하는 것이 주요 기능인 솔루션은 이러한 공격에 아무런 힘을 쓸 수가 없다. 악성 파일이 사용되는 공격이라고 하더라도 전형적인 게이트웨이 필터링 기능은 쉽게 통과하기도 한다.

ⓒ iclickart


이 점에 대해 최근 보안 전문업체인 센티넬원(SentinelOne)이 조사를 해 기업 리스크 지표(Enterprise Risk Index)라는 보고서를 발표했다. 게이트웨이를 통과해 엔드포인트에 도달하는 최신 공격들을 조사한 것인데, 이번 조사를 통해 드러난 가장 충격적인 사실은 파일이 있는 멀웨어 공격이 게이트웨이에서 걸러지고 나면 대부분의 경우 백신들이 이를 전혀 탐지하지 못한다는 것이다.

“결국 백신 엔진에 시그니처가 등록된 멀웨어가 실제로는 굉장히 적다는 사실이 드러난 겁니다. 저희가 조사한 바에 따르면 실제 공격에 사용된 악성 파일의 시그니처 중 절반 정도만 멀웨어 저장소 등에 등록되고 있더군요. 멀웨어 저장소에 등록된 것들 중 백신 엔진에 등록되는 건 20%도 되지 않았고요.” 센티넬원의 보안 전략 최고 책임자인 예레미야 그로스만(Jeremiah Grossman)의 설명이다. “백신 업체가 게으르다거나 하는 의미가 아닙니다. 등록과 업데이트가 쫓아오지 못할 정도로 멀웨어 변종이 빠르게 등장하고 있다는 것이죠.”

그로스만의 이러한 설명이 있지만 전통의 시그니처 기반의 탐지 기법들이 이렇게나 무력하다는 사실이 놀라운 건 변함이 없다. 악성 파일 대신 시스템 메모리에 침투해 저장된 정보를 패내거나 파워쉘(PowerShell)이나 윈도우 레지스트리, 악성 매크로 기능을 활용하는 파일이 없는 공격에 대한 제대로 된 대처가 없는 것도 걱정인데, 파일이 있는 전통의 공격조차 속도에서 크게 뒤쳐지고 있다니 말이다.

센티넬원의 보고서에 따르면 현재 일어나고 있는 공격의 약 20%가 파일을 활용하지 않고 메모리의 정보를 탈취하는 유형에 속한다고 한다. 당연하지만, 이런 공격의 경우 백신 시스템이 아무리 빠르게 업데이트 돼도 공격 탐지가 불가능하다.

“메모리에 침투하는 공격은 파일 시스템에 아무런 흔적을 남기지 않습니다. 그렇기에 최신 안티멀웨어 솔루션들이라면 파일 시스템을 점검하는 것뿐만 아니라 시스템 내에서 돌아가고 있는 프로세스들을 살필 수 있어야 합니다.” 그로스만의 설명이다. “메모리 공격에 대한 방비책이 없으면 이제 주목을 많이 받는 시스템이나 기업, 단체부터 ‘확실하게’ 감염되기 시작할 겁니다. 20%라는 숫자는 그런 의미입니다.”

센티넬원은 해당 보고서를 작성하기 위해 약 4개월 동안 엔드포인트와 게이트웨이를 겨냥한 각종 공격 사례들을 수집해 분석했다. 그러는 동안 메모리를 겨냥한 공격이 2배 가까이 불어났다고 한다.

또 다른 보안 전문업체인 카본 블랙(Carbon Black) 역시 지난 달 비슷한 결과를 담은 보고서를 발표했다. 2016년부터 시작해 파일이 없는 공격이 눈에 띄게 증가했다는 것이다. 이는 메모리 공격만을 말하는 것이 아니라, 파워쉘이나 원격 로그인, 매크로 공격 등을 모두 포함한다.

카본 블랙의 CTO인 마이크 비스쿠소(Mike Viscuso)는 “대부분의 업체나 기관들이 디스크에 악성 파일이 도착하는 그 한 순간만을 노리는 방어법을 고수하고 있다”며 “하지만 요즘 ‘파일’이 등장하지 않는 공격도 부쩍 늘어나고 있다는 걸 알아야 한다”라고 경고한다.

“사이버 범죄자들은 현재 우리들이 가지고 있는 방어 체계를 간파했어요. 당연히 그 방어 체계를 무력화할 공격법을 고안할 수밖에 없는 것이죠. 그리고 그 현상이 지금 나타나는 겁니다. 한 번 침투에 성공한 공격자들은 네트워크 내에서 자유롭게 이동하는데, 이 때 OS 내에 합법적으로 장착된 툴들을 활용합니다. 결국 악성 ‘행위’를 탐지하지 못한다면, 공격에 당할 수밖에 없는 겁니다.”

보안 스타트업인 모비섹(Morphisec)의 경우 최근 이스라엘 조직들을 겨냥한 정치적 해킹 공격에 파일 없는 공격 기법이 대거 활용되었다는 보고서를 발표하기도 했다. 모피섹의 부회장인 마이클 고렐릭(Michael Gorelik)은 “벤구리온 대학(Ben-Gurion University)을 겨냥해 악성 워드 문서가 포함된 이메일이 대거 발송되었다”며 “단순 피싱 공격이 아니라, 합법적인 이메일 계정의 로그인 정보를 미리 탈취한 것이라 누가 봐도 수상하지 않은 메일이었다”고 말한다. 워드의 매크로 기능을 활용한 것이라 파일도 없었다.

“뻔한 피싱 공격에 당해주는 사람이 점점 줄어들고 있고, 느리지만 패치를 제대로 하는 단체들이 늘기 시작하니, 공격자들이 새로운 방식으로 옮겨갈 수밖에 없는 상황입니다. 기술적으로 앞선 공격자들은 취약점 익스플로잇보다는 매크로나 파워쉘을 활용한 파일 없는 공격에 더 집중할 것이라고 예상합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>