바이러스 알파고 백신으로 대응하다

바이러스 알파고 백신으로 대응하다

발전하는 바이러스, 진화하는 백신

한때 백신 업계는 노이즈 마케팅을 한 적이 있다. 바로 백신은 죽었다 였다. 백신 무용론이 아니라 백신의 진화를 강조하기 위한 말로 해서괴며 전통적인 보안기술 뿐 아니라 고도화된 악성코드 탐지기술을 접목시키면서 지능화된 공격을 막을 수 있는 기술로 자리 잡고 있따는 뜻을 내포하고 있다. 엔드포인트 보안의 기본인 백신은 대부분의 사이버 공격을 차단하기 때문에 절대로 죽을 수 없는 솔루션이라고 하겠다.

2015년 이탈리아 스파이웨어 공급업체 해킹팀이 해킹을 당해 고객정보가 공개되었다. 고객 리스트에 우리날 국가정보원이 포함돼 있어 큰 파장이 일었다. 국정원은 해킹팀의 모바일 원격제어 소프트웨어 RCS 를 구입했는데, RCS는 PC나 모바일 기기에 사용자 몰래 설치되며, 사용자의 일거수 일투족을 감시할 수 있고, 사용자 단말을 마음대로 조작해 파일을 삭제하거나 유출할 수 있다. 이 제품은 스마트폰을 공장초기회해도 삭제할 수 없는 것으로 알려져 가장 사악한 해킹 프로그램 이라는 별명을 얻기도 했다.

2014년 말 부터 2015년 여름까지 원전반대그룹이 한국 수력원자력을 해킹해 빼낸 자료를 공개하면서 정부에 돈ㅇ을 요구해 국가 기간시설 보안에 비상등이 켜졌다. 이 공격은 한국수력원자력 지원에게 업무와 연관 있는 것으로 위장한 이메일에 악성파일을 첨부하는 스피어피싱 공격으로 자료를 탈취한 것이다.

위의 두 사건은 모두 악성코드를 이용해 사용자 단말의 정보를 유출하고 원격에서 조종한 것으로, 전 사회적으로 큰 파장을 몰고 왔다. 악성코드는 지속적으로 진화하고 있으며, PC, 모바일 기기 등 사용자 단말에 숨어 들어가 금융, 개인정보를 유출해 전자금융사기를 일으키고, 중요한 파일이나 시스템을 암호화한 후 돈을 요구하는 랜섬웨어 공격도 진행한다.

사용자 단말을 노리는 악성코드는 하루에도 수십만개 이상 새롭게 발견된다. 카스퍼스키랩이 2015년 전 세계에서 수집한 악성코드는 하루 평균 32만개에 이르며, 시만텍이 발견한 악성코드는 하루 100만개에 이른다. 파이어아이 보고서에서는 이러한 악성코드가 기업에 침투해 공격을 진행하기 시작하면서부터 탐지되기까지 걸리는 기간이 평균 205일이며, 탐지 후 침해대응에 소요되는 기간은 32일 가량 걸리는 것으로 분석했다. 69%의 기업은 피해사실을 외부기관을 통해 알게 되며, 피해를 입은 기업/기관의 100%가 안티파이러스, 방화벽 등 보안 시스템을 구축한 상황이다. 악성코드에 감염되는 경로는 주로 이메일과 웹사이트이며, 웹광고를 이용하는 멀버타이징과 잠재적 유해 프로그램 기법이 확산되고 있다.

최대 취약처 안드로이드 모바일 기기

모바일 특히 안드로이드 기반 스마트폰은 공격에 매우 취약한데, 사설 앱스토어나 인터넷을 통해 애플리케이션을 다운받아 실행할 수 있기 때문에 스파이웨어가 몰래 설치돼 실행되기 쉽다. 국정원이 해킹팀으로부터 구입한 스파이웨어는 스마트폰이 꺼져있는 상태에서도 타깃을 감시하는 등 스마트폰을 자유롭게 조작할 수 있는 것으로 알려진다. 또한 공장초기화해도 사라지지 않아 공격자가 스파이웨어를 제거하지 않는 한 스마트폰에서 삭제할 수 없다.

안드로이드 기반 스마트폰은 노리는 악성코드는 하루에도 수천종 이상 발견되며, 신뢰할 수 있는 애플리케이션을 교묘하게 위장하는 경우도 많다. 안랩은 어도비 플래시 플레이어 업데이트를 위장한 악성앱을 발견해 사용자의 중의 경고하기도 했다. 이 악성앱은 스마트폰에서 정상적으로 삭제되지 않으며, 공인인증서와 개인정보를 탈취하고 사용자 데이터를 조작한다.

안드로이드 사용자가 iOS 사용자보다 압도적으로 많은 우리나라는 안드로이드 기반 공격에 더욱 취앿하다. 특히 우리나라 스마트폰 사용자들은 거의 대부분 모바일 메신저 카카오톡을 사용하고 있어 카카오톡을 통한 이슈 전파력이 매우 강력해 악성링크를 배포하고 감염시키기 쉽다. 

구글플레이에 정식 등록된 앱도 위헙하기는 마찬기자다. 에스이웍스가 분석한 바에 따르면 구글플레이에서 가장 많이 사용되는 무료앱 200개 중 85%, 유료앱 100 중 83%, 무료 게임앱 100개 중 87%, 무료 일반앱 80%가 디컴파일 가능하다. 리버스 엔지니어링이 가능한 앱은 무료앱 200개 중 95%, 유료앱 100개 중 82%에 이른다. 에스이웍스는 디컴파일과 리버스엔지니어링을 통해 앱의 중요한 정보가 노출되면 소스코드를 복재해 해적판 앱을 제작할 수 있으며, 앱에 악성코드가 주입돼 이용자에게 피해를 입힐 수 있다고 설명했다.

블루코트의 2015모바일 멀웨어 리포트 에서는 모바일 랜섬웨어의 등장을 경고했으며, 앞으로 모바일 결제 시스템이 확산되고 비접촉결제 서비스를 노리는 공격이 성행할 것이라고 내다봤다. 또한 공격을 당한 기기들은 OS 업데이트를 받지 않은 것으로 나타나고 있으며, 기기 취약성 문제를 해결하기 위해 OTA 업데이트를 서두르고 있지만, 모바일 시장이 성숙기에 접어들 때까지 어느정도 시간이 소요될 것으로 예상된다.

애플 iOS는 안전하다?

모바일 악성코드 위협은 안드로이드 기기 혹은 탈옥한 iOS 기기에만 해당한느 것은 아니다. 정상 iOS에서도 악성코드가 발결돼 충격을 주었다. 2015년 9월 중국 애플 앱스토어의 다수 앱에서 엑스코드고스트 악성코드가 발견됐으며, iOS 기기를 통해 백업된 파일이 유출되는 공격도 나타났다.

엑스코드고스트는 파이어아이가 최초로 발견해 보고한 것으로, 애플 개발자를 위한 iOS 개발 툴 키트 엑스코드를 무단으로 사용하거나 손상된 버전이 중국 클라우드 파일 공유 서비스 바이두에 올라왔으며, 이를 개발자들이 내려 받아 사용하면서 확산됐다. 문제는 악성코드가 포함된 앱이 애플의 코드 검토 과정을 통과해 앱스토어에 등록됐다는 사실이다. 팔로알토네트웍스가 분석한 바에 라르면 위챗, 윈집, 디디추싱, 레일웨이, 12306, 차이나 유니콤 모바일 오피스 등 50개 이상의 앱이 감염됐다.

애플은 감염된 앱을 앱스토어에서 차단하고 iOS를 업데이트 했지만, 변종공격에 추가 공격이 꾸준히 발젼되고 있따. 파이어아이의 11월 분석 보고서에서는 당시 최신버전 iOS에 영향을 미치는 변종이 발견됐으며, 210개의 기업 네트워크에서 엑스코드고스트 감염앱이 작동이 탐지됐고, 2만 8000번이 넘는 C&C서버 연결이 감지됐따. 나아가 파이어아이는 애플 앱스토어에서 백도어로 이용될 수 있는 악성 광고 라이브러리도 발견했다. 이를 제작한 공격그룹은 감뎜된 라이브러리를 통해 사용자 기기와 정보에 악의적으로 접근할 수 있다고 밝혔으며, 3000개 가까운 iOS앱이 해당 라이브러리를 포함하고 있는 것으로 조사됐다.

팔로알토가 발견한 백스텝은 사용자의 컴퓨터에 저장된 모바일 기기 백업 파일로부터 개인 정보를 빼느는 공격으로, iOS모바일 기기를 주요 타겟으로 한다. iOS는 컴퓨터와 모바일 기기 연결 시 자동으로 동기화 하도록 하고, 아이튜즈가 백업 파일들을 지정된 공간에 저장할때 파일들을 암호화하는 기능을 꺼 놓도록 기본 설정 돼 있다.

팔로알토는 백스탭 공격이 원격 접속을 위한 멀웨어의 진화를 보여주는 사례라고 밝혔다. 이 공격은 문자 메시지, 사진, 위치 정보 등 모바일 기기에 저장된 거의 모든 유형의 정보를 포착하는 데 사용되며, 특히 해킹 그룹뿐만 아리라 사법 기관에서도 사용되고 있는 것으로 추정된다.

독점은 공격을 낳는다

사이버 공격은 조직화된 사이버 범죄 집단에 의해 진행되며, 전 세계 주요 국가의 IDC와 클라우드를 경우하기 때문에 공격이 발생해도 공격자를 추적하기 어렵다. 또한 공격에 사용되는 악성코드는 자동화된 툴을 사용해 빠르고 쉽게 만들어진다. 전 세계에서 발생하는 모든 악성코드를 시그니처로 만드는 것은 불가능하다. 시그니처가 많으면 PC 리소스를 많이 사용하고 탐지에 시간이 걸리며, 과다한 탐지로 업무에 지장을 준다. 또한 악성코드는 백신 시그니처를 우회하도록 제작되기 때문에 백신만으로 막을 수도 없다. 백신이 완벽하지 않다고 해서 백신을 사용할 필요가 없다는 뜻은 아니다. 백신 무용론은 2014년 브라이언 다이 시만텍 정보보호 수석부사장이 백신은 죽었다고 발언하면서 백신 무용론에 불을 붙였다. 아이 부사장의 실제 발언의 뜻은 백신 솔루션 기업들이 타성에 젖어 시그니처를 개발하고 있는 상황을 지적한 것으로 백신에는 시그니처 뿐 아니라 행동기반 기술, 평판기반 기술, 보안 인텔리전스, 암호화 유입되는 공격에 대한 가시성 기술 등 다양한 기술이 함께 적용돼야 한다는 점을 강조한 것이다. 그러나 비 시그니처 방식의 악성코드 탐지 솔루션 기업들이 백신은 죽었다 는 발언만을 인용하면서 백신 무용론에 부채질 한 것이다.

백신은 죽지 않았고, 죽을 수도 없다. 하루에 새롭게 생성된 악성코드가 수십만개에 이르지만, 모든 공격이 신종 악성코드만을 사용하는 것은 아니다. 이미 시그니처에 등록된 악성코드도 공격에 사용되고 있으며, 보안패치가 이뤄진 오래된 취약점을 이용해서도 공격이 진행된다. 시그니처 기반 백신으로 차단하는 공격이 90% 이상이며, 나머지 10%의 경곡이 시그니처로 막을 수 없는 새로운 공격이다. 새로운 공격을 위해 제안되는 새로운 기술이 APT 방어 솔루션 이라는 이름으로 공그되고 있지만, 시그니처 기반 보안 제품이 없으면 수많은 공격을 차단하는데 어려움을 겪게 된다. 백신 무용론 에 대한 반박으로 카스퍼스키랩 창립자인 유진 카스퍼스키는 에어백이 있으면 안전벨트를 안해도 되나 라고 반문한다. 백신은 모든 보아위협의 기본이며, 사이버 보안의 첨병이라는 것이 백신 업계 전문가들의 주장이다.

통합 보안의 장 엔드포인트 보안 시장

기업용 백신 업계의 대표주자인 시만텍의 시만텍 엔드포인트 프로텍션은 통합 엔드포인트 보안 기술과 가상환경까지 지원한다. 네트워크 접근 제어, 애플리케이션 제어, 백신, 안티스파이웨어, 데스크톱 방화벽, 호스트 및 네트워크 침입 방지, 디바이스 제어와 같은 다양한 보안 기술들을 하나로 통합했다. 다수의 엔트포인트 보안 제품들을 관리할 때 발생할 수 있는 시간, 비용, 인력 자원 낭비를 방지하고 다양한 이기종 플랫폼 지원을 통해 운영 효율성을 극돼화한다.

SEP는 네트워크 위협 보호 기능을 탑재해 사용자 기기에서 처리되기 이전에 네트워크로 들어오는 데이터를 미리 분석해 네트워크 내의 취약한 소프트웨 혹은 사용자들에게 영향을 미치기 전에 표적 공격을 예방할 수 있다. 더불어 평판분석 기술 인사이트를 통해 악성으로 보고된 인바운드 소프트웨어 파일을 자동 차단하며, 행위분석기술 소나로 모든 소프트웨어 행위를 모니터링하고, 표적공격과 같은 행위를 하는 소프트웨어를 탐지하기 위해 각 애플리케이션의 행위를 실시간으로 분석한다. 이처럼 여러 분석엔진을 탑재하고도 SEP는 경쟁제품 중 가장 가볍고 빠른 백샌으로 꼽힌다.

개인용 백신 노턴 시큐리티는 윈도우 PC, 맥, 안드로이드 스마트폰 및 태블릿, 아이폰, 아이패드 등 다양한 플랫폼에서 사용할 수 있으며, 기업용 제품에 적용된 인사이트, 소나 엔진을 탑재하고 있다. 세이프 웹, 스캠 인사이트 다운로드 인사이트, 안티피싱 기술을 통해 웹을 통한 공격도 차단한다. 우리나라 백신 제품의 대명사 안랩 V3 제품군은 다차원 분석 플랫폼을 기반으로 다양한 보안위협으로부터 사용자 PC를 보호한다. 기업용 제품인 V3 엔드포인트시큐리티는 악성 URL / IP를 탐지해 악성코드가 PC에 다운로드되기 전 시그니처 업데이트 없이 차단하며, 액티브 디펜스 기반 탐지 기술인 DNA 스캔으로 변종을 진단한다. 평판기반 탐지기술과 행위기반 탐지기술도 함께 탑해했다. 안랩 엔드포인트 솔루션을 통합운영하는 안랩 EMS 와 중앙관리 솔루션 안랩 폴리시센터를 통해 기업의 보안현황을 한눈에 파악하고, 자동화된 관리정책을 제공할 수 있다.

시스템 백신 킬러의 탄생

백신 무용론의 핵심은 시그니처 기반 방어 기술의 한계에 있다. 시그니처는 보안 솔루션을 개발하는 기업이 악성코드 의심 샘플을 분석해 분명한 악성행위가 일어나면 DB에 등록한다. 오탐, 과탐을 줄이기 위해 해당 악성코드가 일정기간 이상 반복적으로 발견되고, 앞으로도 발생할 것으로 보이는 것을 등록하며, 때로는 일시적으로 대량의 피해를 일으키는 것을 긴급하게 시그니처로 배포하는 경우도 있다. 시그니처는 DB 에 등록되는데 시간이 걸리며, 시그니처에 등록된 후 고객에게 배포되고 고객이 이를 패치하기 까지도 오랜 시간이 소요된다. 이 시간 동안 진행되는 제로데이 공격을 막을 수 없다. 공격자들이 악성코드 제작툴킷을 이용해 신변종 악성코드를 단 몇 분 만에 만들 수 있는 환경에서, 시간이 로래 걸리는 시그니처 기반 기술로 새로운 공격을 막지 못하는 것은 사실이다. 공격자들은 타깃 시스템에서 사용하는 백신만을 우회하는 공격도 자주 사용한다. 해당 시스템에서 A사 제품을 사용하고 있다면, 바이러스토탈과 같은 악성코드 DB공유 사이트에 악성코드를 제작해 올려 A사 제품이 이를 차단하는지 살펴보고, 차단하지 않으면 이것을 이용해 공격을 진행한다. A사의 경쟁제품이 해당 악성코드를 차단한다 해도, 타깃 시스템에서 사용하는 A사 제품만을 우회하면 공격에 성공할 수 있다.

시그니처 기반 방어 시스템의 한계는 분명하지만, 모든 백신 솔루션이 시그니처만으로 위협을 차단하지는 않는다. 백신 솔루션은 시그니처 외에도 휴리스틱 기술, 행위기반 분석, 평판분석, 컨텍스트 인지, 콘텐츠 인지, 변경 감지, 핑거프린트, 해시 분석 등 다양한 기술을 탑재하고 있다. 코드서명 기술을 이용해 안전성이 인정된 프로그램은 별도의 검사 없이 통과해 백신 엔진 부하를 줄이며, 감염지표와 포렌식 기술을 이용해 침해흔적을 찾아내며, 그룹화된 시그니처로 악성코드의 유사성을 분석한다. 이처럼 다양한 분석엔진을 탑재하고도 백신은 가벽고 안정적이며 빠른 검사속도를 유지해야 하며, 백신 무력화와 우회공격을 막을 수 있는 기술을 갖춰야 한다. 이러한 요건에 맞춘 백신 제품이 지속적으로 출시되면서 시장을 발전시키고 있다.

공격이 진화했다. 백신은 또다시 고도화 되었다.

시만텍 엔드포인트 프로텍션과 노턴 인텔시큐리티의 맥아피 엔드포인트 시큐리티, 트렌드마이크로 오피스 스캔, 카스퍼스키랩 카스퍼스키 인터넷 시큐리티 는 글러볼 백신 시장의 순위를 다투는 솔루션들이다. 진화하는 악성코드 탐지를 위한 다양한 기술을 탑재하고 있으며, 빠른 검사속도와 가벼운 무게를 강점으로 내세운다. 국내 백신시장은 토종 기업이 막강한 장악력을 갖고 있음에도 불구하고 글로벌 백신이 한국 진출을 끊임없이 타진하는 이유는 인터넷이 발달해 있고, 다양한 수법의 지능형 공격을 많이 당하고 있어, 우리나라에서 공격방어 역량을 입증 받으면 다른 국가로 시장을 확장하는데 도움이 된다는 판단 때문이다.

삼성전자, LG전자 등 글로벌 다지털 기기 제조사와의 협력이 이뤄진다면 전 세계 엔드포인트 보안시장의 주도권을 자을 수 있다는 계산도 깔려있다. 스마트폰 뿐만 아니라 스마트TV등 디지털 가전에 탑재돼 스마트홈, 사물인터넷 보안 플랫폼으로 활용돼 시장 확장력을 높일 수 있기 때문이다.

카스퍼스키랩, 어베스트, 비트디펜더, 소포스, 이셋등도 각자 자사 경쟁력을 강조하면서 국내 시장을 공략하는데, 저렴한 가격을 제안하면서 SMB 시장을 타깃으로 영업을 전개하고 있다. 이들은 사이버 공격 피해를 가장 많이 입는 중소기업들이 토종백신에 의존하지 않고 기능성과 편리성을 갖춘 외산 솔루션으로 관심을 돌리고 있어 이 시장을 집중 공략한다는 계획을 밝혔다. 더불어 백신 솔루션 기업들은 신종공격 방어 기능과 함께 랜섬웨어 차단 기능도 추가하면서 차별점을 강조하고있다. 랜섬웨어에 사용되는 악성코드를 차단하며, 파일에 대한 무단변경과 삭제시도를 차단하고, 안전하지 않은 애플리케이션, 웹사이트 접근을 차단하는 방식이다. 모바일 기기 공격도 심각해지면서 모바일 백신 시장 경쟁도 치열해지고 있다. 모바일 백신은 모바일 기기에 기본으로 탑재되기 때문에 제조사와의 협럭이 중요하다. 안랩의 V3모바일은 국내에 출시되는 스마트폰에 기본으로 탑재되며, 모바일 결제, 모바일 뱅킹 등에도 설치, 운용된다. 인텔시큐리티의 맥아피 모바일 시큐리티는 LG전자의 G3, G4, V10에 탑재되며, 악성프로그램 감시, 추적잠금 삭제 기능, 위치추적 및 경보기능, 백업 기능 등을 제공한다.

중국 치후360의 계열사 360시큐리티에서 제공하는 안드로이드 백신은 글로벌 시장확장을 염두에 두고 2015년 우리나라에 진출했다. 백신 솔루션중 처음으로 TV광고를 진행하며 대대적인 홍보마케팅 활동을 벌이면서 인지도를 높이고 있다. 치후360은 안티바이러스 성능 테스트 기관에서 실시간 성능을 조작해 물의를 빚은 바 있으며, 360시큐리티는 과도한 앱 권한 설정을 요구해 논란을 일으키고 있지만 유명 배우와 웹툰작가를 앞세운 홍보를 계속 할 예정이다.

이 세상의 모든 사물은 연결되어 가고 있다. 스마트 기기는 물론이고 심지어 에어컨, 보일러까지 네트워크로 연결되어가고 있다. 업계에서 IOT라는 화두를 던지고 그 시장을 만들어가는데 10년 이상이 걸렸고 이제는 그 결실을 맺으려 하고 있다. 하지만 걸림돌이 생겼다. 보안적인 측면에서 자칫 감당할 수 없는 수준의 재앙을 초래할 수도 있다. 이에 보안, 그 중에서도 엔드포인트를 담당하는 백신 시장은 앞으로도 커질 수 밖에 없을 것이다. 진화하는 공격자들을 기술은 진화를 거듭해 고도화 하고 또 고도화 해야할 것이다.