공격자들을 속이는 기술 세 가지, 어떤 차이가 있을가?
최근 각광받고 있는 건 사이버 기만술...분석가 있어야 활용 가능

[보안뉴스 문가용 기자] 네트워크, 사이버 공격, 사이버 방어는 계속해서 변한다. 요즘 방어자들 사이에서 떠오르고 있는 건 ‘사이버 기만술(cyber deception)’이라는 것인데, 이 전략의 장점은 정보보안 전문가들이 공격자의 행동 패턴을 관찰하게 해준다는 것이다. 물론 관찰당하는 공격자는 스스로가 기업체의 네트워크를 공격하고 있다고 잘못 믿고 있는 상태로, 실제 피해는 발생하지 않는다.


사이버 기만술 혹은 사이버 디셉션이란 말이 널리 사용되기 시작한 건 겨우 작년의 일이다. 하지만 그 이전에도 공격자들을 위해 덫을 놓는다거나, 공격자를 속이려는 방법과 기술은 등장해왔다. 샌드박스나 허니팟이 대표적인 것이다. 그렇다면 샌드박스, 허니팟, 사이버 기만술 사이에는 어떤 차이가 있는 걸까? 그 차이를 조금 자세히 알아보자.

샌드박스
네트워크 트래픽과 네트워크 속 프로그램들을 분석해야 할 필요는 언제나 있어왔다. 샌드박스가 처음 등장한 건 무려 70년대로, 원래 인공지능 애플리케이션들을 실험하기 위해 만들어졌다. 지금은 닫힌 환경 속에서 멀웨어가 설치되고 실행될 수 있게 해준다. 그러면 분석가들이 멀웨어가 하는 행동을 관찰하고 위험을 분석할 수 있게 된다. 자연스레 방어책도 나오기 마련이다.

현대 샌드박스들은 주로 가상 호스트의 전용 가상 기계에서 실행된다. 또한 실제 네트워크와 분리된, 별도의 환경 속에서 실행되므로 다양한 OS에서 멀웨어를 안전하게 실험해볼 수 있게 된다. 보안 전문가들은 멀웨어를 분석할 때 샌드박스를 자주 사용하며, 고급 멀웨어 탐지 및 분석 툴에도 샌드박스 기능이 있어 어떤 파일이나 스크립트의 악성 여부를 보다 면밀히 파악할 수 있다. 요즘 멀웨어들은 복잡한 난독화 기술을 탑재하고 있기 때문에 샌드박스의 인기는 갈수록 높아지고 있다.

그렇다고 해도 대부분의 사용자 기업들은 보안 전문 회사나 연구원들처럼 멀웨어를 분석하거나 방어할 수 없다. 샌드박스 역시 일반 회사가 사용할 만한 보안 도구로 분류되기에는 아직 이르다고 할 수 있다. 대신 ‘서비스형 샌드박스(Sandboxing as a Service)’를 사용하는 건 검토해볼 만하다.

허니팟
허니팟과 허니넷(honeynet)은 일부로 취약하게 구성된 시스템이나 환경이다. 공격자들을 유인하는 덫이라고 볼 수 있다. 허니팟은 공격자들을 유혹하는 단개의 호스트를 말하고, 허니넷은 허니팟이 모여 있는 환경이다. 공격자들의 공격 방법, 전략, 과정을 보다 깊이 이해하기 위해 1999년경부터 마련됐다. 허니넷은 파일 서버와 웹 서버 등 실제 네트워크 요소를 거의 그대로 가지고 있다. 한 번 들어온 공격자라면 네트워크에 성공적으로 침투했다고 믿을 수밖에 없도록 만든 것이다. 사실은 현미경 위에 놓여있는 데 말이다.

샌드박스가 멀웨어를 안전하게 실행해보는 환경이라면, 허니팟은 실제 공격자의 행위를 라이브로 관찰할 수 있게 해주는 환경이다. 보안 전문가들은 목적에 따라 둘을 병행해서 사용하며, 공격자의 실제 행태를 관찰하기 위해서는 하니팟을, 멀웨어를 돌려보기 위해서는 샌드박스를 구분지어 쓴다. 보안 전문가가 아니더라도, 방어가 걱정인 IT 전문가들이라면 허니팟을 사용해보는 게 도움이 된다.

허니팟의 또 다른 장점은 공격자의 시간을 낭비한다는 것이다. 공격자들은 뭔가 성공을 한 것도 같지만 손에 얻는 것은 없는 기묘한 상태에서 네트워크를 떠난다. 허니팟은 표적형 공격에 자주 당하는 정부 기관이나 주요 사회 기반 시설에 잘 어울린다. 그렇다고 일반 중소기업이 쓰지 말란 법은 없다. 다만 허니팟을 잘 사용하려면 이를 잘 아는 사람이 필요하다.

사이버 기만술
사이버 기만술의 핵심 내용이 처음 언급된 것은 1989년의 일로, 퍼듀대학교위 진 스패포드(Gene Spafford)라는 인물이 주창했다. 보안 전문가들 중 사이버 기만술을 두고 ‘조금 더 현대화 된 허니넷을 말할뿐’이라고 주장하는 사람들이 있는데, 사실 이 말이 틀리지는 않다. 물론 아직 새로운 개념이라 합의된 정의가 존재하는 건 아니지만, 현재로서는 조금 더 발달된 허니팟이나 허니넷을 두고 사이버 기만술이라고 부르는 게 보편적이다. 한 마디로 이전보다 조금 더 자동화된 기능을 가지고 있는 허니팟인 것이다.

그렇지만 기만의 기술에는 여러 단계가 있다는 걸 기억해야 한다. 허니팟과 거의 다르지 않은 기만술도 있지만 실제 데이터와 장비까지도 고스란히 구현해 낸, 그래서 너무나 감쪽같은 가짜 네트워킹 기술도 있다. 사이버 기만술을 갖추면 다양한 유형의 트래픽을 분석하고 스푸핑할 수 있게 되며, 공격자에게 계정과 파일에 대한 가짜 접근권을 허용할 수도 있고, 내부 네트워크를 보다 더 그럴듯하게 흉내 낼 수 있게 된다.

또한 자동화를 기반으로 끝없는 루프를 생성해 공격자들을 계속해서 바쁘게 만들 수 있는 기술도 존재한다. 공격자는 파면 팔수록 정보가 취해지는 느낌일 테지만 사실은 아무 것도 얻어가는 게 없다. 그러는 동안 사용자들에게는 어떠한 대응을 취해야 할지를 알려주기도 한다. 이런 사이버 기만술 제품이 의도 그대로 작동한다면 해커들은 지치고 짜증이 나는 상태로 몰리게 된다.

사이버 기만술은 아직 초창기에 있다고 볼 수 있다. 대부분의 사이버 기술들이 그러했듯 처음에는 틈새시장을 공략하다가 점차 주류로 자리를 잡을 것으로 보인다. 현재는 보안이 가장 중요한 정부 기관, 금융 기관, 연구 단체 등에서 주로 사용한다. 이런 곳은 사이버 기만술을 통해 생성된 데이터를 분석할 수 있는 분석가도 존재한다. 분석가 없이는 이런 툴들이 있어봐야 소용이 없다는 뜻도 된다. 중소기업의 경우라면 사이버 기만술보다는 관제 및 위협 첩보 분석 서비스를 신청하는 게 더 나을 것이다.

글 : 마크 랄리버트(Marc Laliberte), WatchGuard Technologies

3줄 요약
1. 샌드박스 : 멀웨어를 실행해보기 위한 안전한 환경.
2. 허니팟 : 공격자들이 마음껏 활동할 수 있도록 일부러 취약하게 만들어진 환경.
3. 사이버 기만술 : 조금 더 자동화되고 현대화된 허니팟.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>