똑똑해진 공격자들의 툴, 공격 효율성 차원 다르게 높여
보안도 현대화 및 디지털 변혁 거쳐야 디지털 경제 누릴 수 있어

[보안뉴스 문가용 기자] 최근까지 사이버 범죄자들에게 있어 가장 큰 어려움은 자신이 가지고 있는 익스플로잇과 그것에 딱 맞는 표적을 찾는 것이었다. 물론 요즘 나오는 새로운 툴들은 많은 익스플로잇을 패키지로 담고 있긴 하다. 그럴지라도 ‘아무나 편하게 공격할 수 있는 건’ 아니다. 다수의 익스플로잇들을 통해 퍼지는 ‘웜’이라는 것도 있지만 웜에도 한계가 분명하다.


그런데 지난 수개월 동안 새로운 멀웨어 트렌드가 하나 생겼다. 최근 나타난 사물인터넷 봇넷인 리퍼(Reaper)와 하지메(Hajime)를 통해 알 수 있는데, 이 둘은 다양한 취약점들을 동시에 익스플로잇 하도록 설계되었을 뿐 아니라 꼭 맞는 공격 방법을 똑똑하게 선택해 효율적인 공격을 할 수도 있기 때문이다.

이렇게 유연한 리퍼의 프레임워크는 자기의 코드 업데이트를 진행하는 데에도 매우 적합하다. 그래서 새로운 공격 기법이 등장하고, 그것이 다크웹 등을 통해 널리 퍼지게 되면 리퍼에도 쉽게 적용이 가능하다. 작년 10월에 처음 등장한 리퍼의 익스플로잇 볼륨이 수일 만에 5만에서 2백 7십만으로 훌쩍 뛰게 된 것도 이러한 유연성 때문이라고 볼 수 있다.

자동 익스플로잇
그런데다가 최근에는 오토스플로잇(AutoSploit)이라는 새로운 툴킷도 등장했다. 대규모 익스플로잇을 자동으로 해주는 것이다. 온라인 검색 엔진인 쇼단이나 줌아이 등을 통해 특정 조건에 맞는 표적들을 대거 알아본 후, 원격 익스플로잇을 해주는 기능을 가지고 있다. 사용자가 환경설정을 통해 공격 표적 조건을 설정할 수 있다. 그렇게 해서 표적이 정해지면 메타스플로잇(Metasploit)이라는 침투 테스트 툴을 사용해 자동 침투도 실시한다.

이 툴 때문에 ‘서비스형 멀웨어’ 산업의 지평이 달라졌다. 오토스플로잇이 오픈소스라는 점이 크게 작용했다. 클릭만 할 줄 알면 아무라도 오토스플로잇을 다운로드 받을 수 있으며, 심오한 해킹 스킬이 없더라도 표적을 찾고 흔들어보는 공격을 편하게 실시할 수 있게 되었다.

스웜 네트워크(Swarm Network) 만들기
오토스플로잇이 등장한 덕분에 사실상 거의 모든 사람이 대규모 스웜 네트워크를 구축할 수 있게 되었다. 그저 기기 대수만 많은 ‘바보 같은 봇넷’이 아니라 일률적이고 통합적인 공격을 대규모로 실시하게 해주는 ‘똑똑한 네트워크’를 가질 수 있게 되었다는 뜻이다. 스웜 네트워크 내에 있는 스웜봇들은 일반 봇넷의 봇들과 달리 익스플로잇에 관한 정보를 실시간으로 공유함으로서 공격의 효율을 한 차원 더 높인다. 공격자의 시간이 갈수록 덜 낭비되고 투자한 만큼 되돌려 받을 수 있다는 것.

이렇게 공격이 간편하고 쉽게 변했다면, 이제 멀웨어를 숨길 차례다. 공격의 흔적을 얼마나 잘 숨기느냐로 해커의 수준이 판단되는 것이 일반적이다. 그리고 이미 범죄 시장에는 자신의 모습을 자동으로 감추는 어셈블러 멀웨어가 존재한다. 이는 인터넷 공간에서 코드 조각들을 모아 동적으로 합쳐낸다. 즉 한 개의 거대한 코드 덩어리를 봇에 심을 필요가 없게 된다는 것이다. 스웜봇에 필요한 건 특정 코드들을 꿰맬 수 있는 어셈블러일뿐이다.

여기에 간단한 머신 러닝 기능을 추가하면 트래픽 패턴을 흉내 냄으로써 행동 패턴을 탐지하는 보안 솔루션들을 바보로 만드는 것도 가능하다.

이런 상태에서 소비자들과 기업들이 점점 소프트웨어 정의 네트워크 및 클라우드, 모바일, 사물인터넷 등의 기술과 관련된 서비스와 제품을 사용하기 시작했다는 것도 문제다. 공격 표면이 대폭 증가한다는 뜻이기 때문이다. 이런 기기들을 통해 들어오는 자동 공격은 기존 탐지 제품으로는 잡아낼 수가 없다. 막는 건 아예 기대도 말아야 한다.

그렇다면 어떻게 해야 할까?
똑똑해진 스웜(스웜은 ‘떼’라는 뜻이다) 네트워크 공격은 ‘벌집 방어’를 필요로 한다. 보안을 위해 마련한 모든 요소들이 실시간으로 소통하는 방어 체계를 의미한다. 그들이 한 방향으로 모아, 통합적인 공격을 하니, 방어도 그렇게 해야 한다는 뜻이다. 이를 좀 더 구체적으로 풀면 다음과 같다.

1) 패치 : 오토스플로잇을 통한 자동화 표적 공격이 유행하고 있다는 건, 취약한 장비가 속속들이 노출되고 있다는 뜻이다. 이제 패치를 하지 않고도 ‘난 괜찮겠지’라는 생각은 정말로 어리석은 것이 되었다. 패치도 자동으로 할 수 있으면 그렇게 하는 편이 좋다. 기기가 너무 낡아서 패치가 있지도 않지만, 해도 별 소용이 없다면 교체해야 한다.

2) 망분리 : 망을 여러 단계로 구축하고, 단계마다 분리해놓는 것이 필수다. 그래야 기기 하나를 통해 네트워크 전체로 공격이 들어오는 일이 없어진다. 공격자들이 아주 적은 수고로 많은 것을 가져가지 못하게 하는 것이 바로 망분리다.

3) 보안 전략 : 크고 작은 보안 전략은 어느 조직에나 있다. 그러나 아직 ‘디지털 변혁’을 겪지 못한 것이 많다. 당신의 생산 시설과 운영 시스템에만 디지털 변혁이 필요한 게 아니라, 보안 전략 역시 디지털 변혁을 겪어야 한다. 네트워크를 하나의 유기적인 개체로 보는 관점에서의 유연한 적응형 보안 구조가 필요하다. 첩보와 관련된 최신 소식이 항상 접수되고, 이것이 실시간으로 각 장비에 적용되어야 한다. 디지털 혁신 아래 이러한 흐름이 가능해진다.

4) 레거시 보안 버리기 : 인정할 건 인정해야 편하다. 이전의 보안은 더 이상 통하지 않는다. 현대화 된 사이버 범죄자들을 이기기 위해서는 더 현대화 되어야 한다. 통합과 자동화, 적응형 방어에 관한 개념을 익히고 사용해봐야 한다. 보안의 현대화를 해내지 못하는 조직은 새로운 디지털 경제 시대에 살아남기 힘들 것이다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>