• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

멀웨어 칵테일 시대, 취약점에 취하지 않으려면 2018.03.15

새로운 멀웨어 탄생하는 비율보다, 있던 멀웨어 섞이는 비율 높아
취약점은 항상 우리 곁에 있을 것...대처법 훈련하는 것이 맞는 방향

[보안뉴스 문가용 기자] 그 때는 좋았다. 2015년 멀웨어 공격 시도가 80억 번이었는데, 2016년에는 70억 번으로 줄어들어, 우리는 기뻤다. 하지만 그 즐거움은 짧았다. 2017년 우리는 90억 번이 넘는 멀웨어 공격을 보았던 것이다. 이는 보안 업체 소닉월(SonicWall)이 집계한 내용이다.

[이미지 = iclickart]


이 90억번의 공격에는 오래된 CVE 취약점들과 새로운 12500개의 CVE 취약점들이 모두, 골고루 활용되었다. 이중 78%는 네트워크 공격에 활용된 것이라고 소닉월은 분석했다. 보안 업체 맥아피(McAfee)도 새로운 위협 보고서를 발표했는데, 숫자 자체는 조금 차이가 나지만 공격 시도가 줄었다가 다시 확 늘어난 큰 맥락 자체는 동일하다.

소닉월의 CEO 빌 코너(Bill Conner)는 “예전 CVE들이 여전히 악용되고 있다는 것이 중요하다”고 짚는다. “이와 흐름을 같이하는 데이터가 하나 또 있는데, 새로운 멀웨어는 줄어들었지만, 예전 멀웨어의 변종은 오히려 증가했다는 겁니다. 하루에 약 500개꼴로 새로운 변종이 나타났어요.”

변종들이 그런 속도로 나타날 수 있었던 건 갑자기 멀웨어 제작자들의 창의력이 폭발적으로 증가했기 때문이 아니다. “기존 멀웨어들을 이리 섞고 저리 섞어서 ‘칵테일’을 만든 것뿐입니다. 심지어 맛있게 만들 필요도 없으니, 빠르게 섞어서 사용해보고, 잘 안 되면 버리는 순환이 일어난 겁니다.”

이렇게 멀웨어 ‘칵테일’ 현상이 급증한 것에는 몇 가지 이유가 있다. 코너는 그 중 하나가 서비스형 랜섬웨어인 RaaS라고 주장한다. “RaaS가 유행하면서 ‘프로그래밍을 잘 하지 못해도 사이버 공격을 할 수 있다’는 인식이 만연하게 되었습니다. 허들을 크게 낮춘 것이죠. 그게 정말 큽니다. 게다가 수익률이 나쁘지도 않았어요.”

멀웨어와 관련해 눈에 띄는 또 다른 현상은 암호화 기술이 많이 활용되고 있다는 것이다. 멀웨어 자체가 암호화되기도 하고, 멀웨어를 전송하는 트래픽이 암호화되기도 한다. 소닉월의 보고서에 의하면 암호화된 세션은 작년 한 해 24% 증가했고, 전체 세션의 68%를 차지하기도 했다. “암호화된 트래픽이 증가하고 있다는 건 보안이 향상했다는 뜻도 되지만, 이처럼 멀웨어의 통로가 하나 더 생겼다는 뜻도 됩니다.”

또한 코너는 “멀웨어 제작자들이 손쉽게 무료로 구할 수 있는 암호화 툴이 온라인에 600가지 이상 존재한다”고 말한다. “암호화된 트래픽이 흘러들어오면 안전하다는 사용자들의 인식도 문제입니다. 바로 그 안전하다고 믿는 흐름을 통해 멀웨어가 들어오기도 하는데 전혀 의심하지 않으니까요. 공격자들 입장에서 이렇게 좋은 공격 경로가 있을 수 없을 정도입니다.”

이런 현상 때문에 암호화 알고리즘의 강하기를 의도적으로 낮추어야 한다는 주장도 일각에선 일고 있다. 그게 불가능하다면 만약의 사태를 대비한 백도어를 심어두어야 한다는 목소리도 있다.

미국의 전 국토 안보부 장관인 마이클 쳐토프(Michael Chertoff)는 이런 주장에 반대하는 쪽이다. “사람들이 흔히 사용하는 암호화 알고리즘을 일부러 낮출 필요는 전혀 없어 보입니다. 왜냐하면 하드웨어 자체 제한 때문에 마냥 강력한 알고리즘을 사용할 수도 없기 때문입니다. 누구나 자기가 가지고 있는 시스템에 알맞은 알고리즘을 사용하게 하면 되는 일입니다.”

코너는 다시 멀웨어로 화제를 돌린다. “결국 중요한 건 취약점들을 공략한 멀웨어 공격이 전혀 줄어들지 않고 있다는 것입니다. 이는 각 기업과 산업의 대응이 중요하다는 뜻이 됩니다. 한 조직이 수사를 진행 중에 있다면 그것을 확실하게 천명하고, 발견된 취약점도 빠르게 공유해야 합니다. 그러면서 해결책과 피해 완화법도 개발하고 서로 나누는 것도 잊지 말아야죠. 빠르고 투명한 공유가 가장 중요합니다.”

이 투명성은 취약점을 누가 발견하든 상관없이 유지되어야 하는 덕목이다. 생산자가 자기 제품에서 발견하든, 보안 전문가가 발견하든, 정부가 발견하든 전부 말이다. “그렇다면 전략적인 이유로 취약점 정보가 비밀로 지켜져야 할까요, 아니면 빨리 경고하는 게 맞을까요?” 쳐토프가 묻는다. “상황마다 다른 답이 있을 수 있겠지만, 한 가지 확실한 건 취약점을 가지고 있다가 도둑이라도 맞게 된다면, 그 사람에게는 큰 책임이 있는 거겠죠.”

민감한 사안에 따라 취약점을 마냥 그대로 공개하기 힘들 수 있는 상황이 있을 수도 있다고 쳐토프는 말한다. “취약점은 탄저균과 같다고 생각합니다. 연구용으로 실험실 내에서 일부 배양하거나 키울 수 있어요. 그렇지만 큰 책임감을 가지고 연구에 임해야겠죠. 누군가 그걸 실험실 밖으로 무심코 혹은 일부러 가져가면 어떤 일이 발생하겠습니까.”

소닉월의 CTO인 존 무엔더(John Gmuender)는 “인간은 완전할 수 없는 존재”라며 “취약점은 사라지지 않을 것”이라고 말한다. “그러니까 취약점이 없어지길 바라는 것보다, 취약점에 대한 대처법을 훈련하는 것이 현명한 방향일 겁니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>