• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

보안 전문가들의 관심사와 현실의 위험 사이에 간극이 존재한다 2020.07.03

보안 전문가들의 주된 관심사는 트로이목마, 백도어, 드로퍼인 것으로 나타나
트로이목마는 가장 빈번히 나타나는 위협 맞으나 백도어와 드로퍼는 미비한 수준

[보안뉴스 문가용 기자] 보안 전문가들 사이에서 가장 많이 연구되는 멀웨어는 무엇일까? 보안 업체 카스퍼스키(Kaspersky)가 발표한 보고서에 의하면 트로이목마, 백도어, 드로퍼라고 한다. 이는 카스퍼스키 위협 첩보 포탈(Kaspersky Threat Intelligence Portal)로 들어온 익명의 요청들을 분석해서 나온 결과다. 전체 요청의 72%가 바로 이 세 가지에 관한 것이었다고 한다.

[이미지 = utoimage]


카스퍼스키는 보고서를 통해 “공격과 위협을 조사할 때 가장 먼저 해야 할 것은 악성 행위 탐지”라고 강조했다. 그러면서 “대응 및 위협 완화 조치를 강화하려면 보안 분석가들이 공격 표적과 악성 객체의 출처, 또한 그 악성 객체의 인기도를 알아내야 한다”고 설명하기도 했다. 그리고 “현재 가장 많이 나타나는 ‘악성 객체’는 트로이목마”라고 덧붙였다. 위협 포털에 제출되는 요청 중 트로이목마에 관한 것이 25%를 차지하고 있기도 했다.

백도어는 공격자들이 특정 네트워크나 시스템에 지속적으로 접근할 수 있게 해주는 장치로, 이에 대한 문의는 트로이목마와 비슷한 24%를 차지했다. 드로퍼는 추가 멀웨어를 시스템에 설치해주는 ‘배달 멀웨어’로, 보안 전문가들이 첩보 포탈을 통해 약 23%의 비율로 문의하는 것으로 나타났다. 즉 보안 전문가들의 관심이 트로이목마, 백도어, 드로퍼 순으로 가장 높다는 것이다.

하지만 실제 우리의 사이버 공간에 돌아다니는 멀웨어들은 무엇일까? 카스퍼스키의 엔드포인트 제품을 통해 조사된 바에 의하면 일단 트로이목마가 가장 활개를 치는 것은 맞는다고 한다. 보안 전문가들의 관심사와 현실이 맞아 떨어지는 부분이다. 그러나 백도어는 실제 상황에서 발견되는 비율이 7%, 드로퍼는 3%에 그친다고 한다. 연구자들의 관심사와 공격자들의 선호도 사이에서 큰 차이가 나타난다는 것이다.

왜 이런 차이가 생기는 걸까? 카스퍼스키는 “보안 전문가들은 공격의 최종 목표에 관심을 갖는 것이 보통이고, 엔드포인트 보호 제품들은 공격의 초기 단계에 무력화시키는 걸 목표로 하고 있기 때문”이라고 추측한다. 엔드포인트 보호 제품은 사용자가 악성 이메일을 열거나 악성 링크를 따라가지 못하도록 하니까 자연스럽게 백도어나 드로퍼가 실제 엔드포인트에 설치되는 사례가 적게 기록될 수밖에 없다는 것이다.

뉴스에 자주 실리는 소식이 이런 불균형을 초래하는 부분도 있다고 카스퍼스키는 추가했다. 예를 들어 위협 첩보 포탈에서 이모텟(Emotet)에 대한 문의가 꽤나 많은 편인데, 이는 최근 몇 개월 동안 이모텟에 대해 각종 뉴스 매체에서 활발하게 보도했기 때문으로 보인다고 한다. 이는 다시 말해 보안 분석가들이 보안 관련 보도 내용에도 관심이 많다는 뜻이 된다.

정말로 흔히 나타나는 공격의 유형은 이미 잘 알려진 것들이라고 카스퍼스키는 강조한다. “저희 포털에 들어오는 요청들 중 바이러스에 관한 문의나 다른 프로그램에 스스로를 주입하는 악성 코드에 관한 문의는 1%도 되지 않습니다. 하지만 엔드포인트 솔루션에서 가장 많이 탐지되는 건 바로 이런 부류의 공격입니다. 바이러스와 악성 코드 말이죠. 이게 너무 오래된 주제고, 따라서 식상하다고 생각한다는 건, 사실 현실을 외면하는 것과 다름이 없습니다.”

바이러스와 악성 코드는 주로 스스로 복제 및 증식할 수 있으며, 따라서 감염된 시스템 내에서 다량의 악성 파일을 탄생시키기도 한다고 카스퍼스키는 경고했다. 너무 흔한 주제고, 따라서 업계나 매체의 관심을 받지 않는 분야라고 해서 보안 담당자들마저 소홀히 여긴다는 건 안 될 일이라고 카스퍼스키는 보고서를 통해 결론을 내렸다.

4줄 요약
1. 현재 엔드포인트 솔루션에서 가장 많이 차단되는 건 트로이목마.
2. 현재 보안 전문가들이 가장 높은 관심을 보이는 것도 트로이목마.
3. 하지만 그 외에는 현실과 관심사 사이에 간극 존재.
4. 보안 연구가 유행과 새로운 것만을 좇아서는 현실을 보호하지 못해.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>