유령처럼 흔적도 없이 사라져 탐지는 물론 분석도 어렵게 해
과거 사건 뒤져서 파일레스 공격 여부부터 확인하는 것이 좋은 훈련

[보안뉴스 문가용 기자] 파일이 없는 멀웨어 공격은 범죄자들에게 있어 완벽한 기회가 아닐 수 없다. 그저 흔하고 평범한 사업 관련 이메일에 영수증이나 소식지 같은 것들을 첨부하고, 그 안에 이를테면 자바스크립트 같은 것들이 삽입된 페이지로 가는 링크를 숨겨놓으면, 많은 사람을 속이고 원하는 걸 얻을 수 있다. 여기서 자바스크립트를 통해 파일이 없는 공격, 이른바 파일레스 공격을 실시하면 눈에 띄지 않은 채 배경에서 온갖 나쁜 짓을 저지를 수 있게 된다. 사용자의 크리덴셜을 훔치는 것도 또 다른 유형의 파일레스 공격을 탄생시킨다.


현대 기업 환경에 있는 네트워크와 컴퓨터들의 속도를 감안한다면, 사이버 공격 역시 수초 안에 피해를 주고 스스로 증식할 수 있다는 것이 그리 놀랍지 않다. 사이버 공격이 주는 피해의 종류는 다양하다. 그 결과는 회사가 완전히 망하게 할 정도로 치명적일 수 있다. 물론 다 그런 것은 아니다. 그렇기에 사이버 공격이 발생하면 보안 팀들이 조사에 나서는데, 파일레스 공격의 경우, 파일이 남지 않기 때문에 그 어떤 증거도 찾을 수 없게 된다. 마치 유령이 금고에 들어왔다 나간 것 같은 느낌이다.

그래서 파일레스 공격이라고 하면 ‘비현실적’으로 느껴지고, 따라서 실제 위협으로 체감되지 않는다. 현실적으로 느껴진다고 해도, 이런 최신식 공격이라면 내가 어찌 막으리오, 라고 생각하는 사람들도 꽤나 많다. 파일레스 공격이 위험하고 우리 주위에서 점점 그 수가 늘어나는 것도 사실이지만, 그렇다고 손도 못 쓸 정도로 대단한 건 아니다. 파일레스 공격이라고 할지라도 어느 정도 대비와 완화가 가능하다.

가장 먼저는 교육부터 시작해야 한다. 대상은 보안 팀이다. 파일을 가지고 실시하는 공격과 파일이 없는 공격이 완전히 다르다는 걸 이해해야 한다. 그러므로 파일이 있는 공격을 탐지하고 대응하는 데 사용했던 솔루션은 파일레스 공격을 막는 데 그리 효과적이지 못하다. 파일레스 공격의 위험성을 5가지로 정리해보면 다음과 같다.

1) 파일레스 공격 코드를 범운영체제적으로 분석하기 : 파일레스 공격은 보통 특정 OS에서만 작동하도록 설계되어 있다. 또한 특정 제품의 특정 패치 버전에서만 작동하는 것도 많다. 예를 들어 A라는 멀웨어는 특정 버전의 윈도우에서, 파이어폭스가 설치되어 있는 환경에서만 제대로 효과를 발휘할 수 있다. 물론 파이어폭스도 특정 버전 이하여야만 한다는 식의 제한 조건이 걸려있다. 이렇게 버전과 패치 수준을 정하고 공격을 할 때, 공격자들은 표적화된 공격을 실시할 수 있고, 샌드박스나 다양한 방어 도구 등을 피할 수 있게 된다.

2) 숨겨지고 난독화 처리된 코드 발견하고 분석하기 : 파일레스 공격은 멀웨어를 숨기거나 난독화시켜주는 다양한 방법을 동원한다. 탐지 툴이 악성 코드를 보지 못하게 하거나, 정상 코드인 것으로 착각하도록 만드는 것이다. 예를 들어 파일레스 익스플로잇 제작자들은 멀웨어 코드를 XOR이나 문자열 암호화 등의 기법을 통해 숨긴다. 얼른 보기에는 아무런 해가 없을 것 같은 PDF 문서나 MS 오피스 문서 속에 난독화되어 있을 때도 많다.

3) 네트워크와 호스트의 퍼포먼스에 아무런 영향 없이 파일레스 공격 탐지하기 : 파일레스 공격은 네트워크 내에서 발생하는 웹 기반 거래 행위들 내에 숨는다. 그러므로 정상 거래 행위들로부터 악성 공격을 격리시키려면 자바스크립트가 사용된 모든 웹 트래픽을 분석해야 한다. 그러나 이건 생각보다 어려운 일이다. 왜냐하면 사실상 거의 모든 웹 페이지들이 자바스크립트를 어느 정도 사용하고 있기 때문이다. 네트워크 기반 탐지 툴이 있더라도 1초에 많게는 수천 번씩 발생하는 자바스크립트 트래픽을 다 조사할 수는 없다. 호스트 기반의 탐지를 실시하면 최종 사용자의 장비에 과부하가 발생하고, 이는 정상적인 생산 행위를 저해한다.

4) 코드를 발견했다면, 코드가 실행됐을 때 정상적인 결과가 나올 것인가, 악성 결과가 나올 것인가 파악하기 : 정상 애플리케이션과 프로세스들은 스크립트를 사용해 정상적인 목적을 성취한다. 그런데 스크립트는 이런 일만 하지 않는다. 쿠키를 작성하고 시스템 내에서 다른 행위들을 함으로써 호스트에 변화를 가져온다. 파일레스 공격도 비슷하다. 그러므로 정상적인 코드 실행으로부터 생긴 변화와 그렇지 않은 변화를 구분해내야 하는데, 이것이 파일레스 공격 탐지의 가장 큰 어려움이다. 분석가들에게 있어 파일레스 공격은 굉장히 까다로운데, 파일레스 공격이 남기는 증거 자료가 없다시피 하기 때문이다. 게다가 파일레스 공격을 감행하는 자들의 기술력은 매일 새로워져서 공격과 정상 앱 기능 실행의 구분이 더욱 어려워지고 있다.

5) 실시간으로 위협 탐지하기 : 후처리 시스템은 사건이 발생한 후에 악성 행위를 탐지하도록 설계되어 있다. 샌드박스나 이상 징후 탐지 시스템 등에 여기에 속한다. 물론 이런 장치들도 결국에는 위협을 탐지하게 되어 있긴 하지만, 보통은 피해가 일단 발생한 후에야 발동된다. 공격자들도 이를 잘 알고 있고, 탐지와 대응까지 걸리는 시간의 빈틈을 최대한 활용한다. 게다가 파일레스 공격의 경우라면 네트워크에 흔적이 남아있지도 않다. 그래서 위험이 더 커진다.

파일레스 멀웨어라는 것이 완전히 새로운 위협은 아니다. 중요한 건 공격자들의 기술력과 공격 절대양이 계속해서 늘어나고 있다는 것이다. 그것도 대단히 빠른 속도로 말이다. 그런 숨 가쁜 공방의 환경 속에서, 앞서 언급한 다섯 가지 문제를 해결한다면, 보안 팀들은 파일레스 공격에 대한 방어의 기본기를 갖췄다고 말할 수 있다. 그러나 그것이 전부는 아니다.

더 중요한 건 훈련의 방식을 조금 바꿔야 한다는 것이다. 과거에 발생한 사건들 중 최초의 공격 벡터가 불확실 한 것들을 다시 끄집어내서 보다 종합적이고 포괄적인 검토를 다시 시작해야 한다. 그러한 사건들을 놓고 “파일레스 공격이었나?”라는 질문을 탐구하면서 하나하나 거르기 시작하면 앞으로 보안 팀은 어떤 점을 중점으로 훈련하고, 어디에 집중적으로 투자해야 하는지 알 수 있을 것이다. 그런 후에 현재의 문제로 되돌아오면 파일레스 공격을 막는 것이 한결 수월해졌음을 느낄 수 있을 것이다.

글 : 트라비스 로지엑(Travis Rosiek)

3줄 요약
1. 파일레스 공격은 파일을 기반으로 한 공격을 다루듯 방어할 수 없다.
2. 파일레스 공격은 분명히 사이버 공격자들 사이에서 증가하고 있다.
3. 탐지도 어렵고 분석도 어려운 파일레스 공격, 보안 업계가 풀어야 할 숙제.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>