기존 시그니처·행위 기반 대응, 의심 콘텐츠 제거만으로는 완전 차단 역부족
고도화된 공격의 경우 리버스 엔지니어링 기술로 근원적인 취약점 원인 탐지해야

[보안뉴스 김경애 기자] 최근 취약점을 이용한 익스플로잇 공격이 기승을 부리면서 점차 고도화되고 있는 악성코드 공격의 경우 백신 등 기존 솔루션만으로 차단하기에는 한계가 있다는 의견이 제기되고 있다. 특히, 알려지지 않은 공격의 상당수는 취약점을 악용한 공격으로 드러나 기업과 기관에서는 피해 예방대책 마련에 세심한 주의를 기울여야 할 것으로 보인다.


이는 알려진 공격에 대한 대응, 의심 콘텐츠 제거, 행위 분석 등 기존 악성코드 탐지 방식만으로는 고도화된 악성코드 탐지에 한계가 있기 때문이다.

이러한 가운데 모니터랩이 지난 25일 개최한 IASF 2018에서 시큐레터 임차성 대표는 ‘비실행 파일을 이용한 해킹 공격과 대안’이란 발표를 통해 “백신은 알려진 공격을 패턴화해 악성코드를 탐지하고, 콘텐츠 무해화 솔루션은 문서 내 콘텐츠만 제거하는 한계로 인해 알려지지 않은 악성코드를 탐지하기가 쉽지 않다”며 “또한, 행위기반 분석은 가상화 환경에서 행위를 분석해 악성코드를 탐지하기 때문에 공격자가 5분~30분 이후 악성행위가 실행되도록 제작한 악성코드의 경우 탐지가 쉽지 않다”고 밝혔다.

이러한 지능화된 악성코드를 이용한 공격의 특징은 알려지지 않은 공격, 행위 기반 우회 공격, 폰트 취약점을 통한 공격 등으로 실행 파일이 아닌 비실행형(Non-PE) 파일을 이용한 방식이 주를 이루고 있다.

이와 관련 임차성 대표는 “최근 악성코드 공격은 Non-PE 파일을 이용한 공격이 대부분을 차지한다”며 “공격자는 행위를 발생하지 않는 악성코드 제작→ 악성코드 파일 메일 발송→ 행위기반 분석을 진행하나 악성코드가 탐지되지 않아 타깃이 된 기업과 기관이 악성코드에 감염된다”고 설명했다.

그럼 이러한 지능적인 악성코드 공격에 어떻게 대응해야 할까? 이와 관련 임차성 대표는 “Non-PE 파일에서 발생하는 악성코드는 리버스 엔지니어링 기술로 근본적인 취약점 발생 원인을 탐지해야 한다”며 “리버스 엔지니어링 기술을 자동화해 Non-PE 파일에서 발생하는 취약점 발생 원인을 근본적으로 탐지하고, 알려지지 않은 공격과 악성행위가 없는 악성코드를 정확하게 분석 및 탐지해야 한다”고 강조했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>