실시간 뉴스



[김홍선의 보안이야기]창과 방패의 싸움


위협의 동향과 특성(1): 행동 형태(Behavior)

정보 보안과 위협의 관계는 창과 방패의 싸움으로 묘사된다. 사이버 전쟁이라는 신조어까지 생겨난 배경은 그만큼 싸움의 규모가 커지고 있기 때문이다. 사이버 공간에서의 싸움은 개인과 기업을 대상으로 하는 금전적 목적부터 국가 차원의 안보 문제에 이르기까지 다양하다. 특히 정보 기기에 대한 의존도가 높아질수록 사이버 전략이 더욱 중요해진다.

물론 위협은 의도적 공격뿐만 아니라 사용자의 부주의와 관리 부재 때문에 나타날 수도 있다. 부주의로 인해 이메일이나 중요 문서가 잘못 전달되고, 혹은 인터넷 상에 노출되어 누구나가 사용할 수 있는 검색 엔진만으로도 유출될 수 있다. 하루에 방대한 양의 정보를 처리하고 관리해야 하는 우리의 일상 업무를 고려해 보면, 결코 사용자만을 나무랄 수 없는 환경에서 우리는 살고 있다. '견물생심(見物生心)'이라고 취약점이 노출된 정보 시스템을 보면, 악의가 없었던 이들도 유혹을 받게 마련이다. 따라서, 이러한 관리 부실에 따른 정보 유출도 다른 차원에서 기술적으로나 관리적으로 조명해 보아야 한다.

그러나, 무엇보다 최근의 주 관심사는 돈벌이에 혈안이 된, 중국과 러시아를 중심으로 한 해커 집단이다. 그들의 공격을 들여다보면 개인이 아닌 조직적으로, 그리고 국제적으로 움직이는 것으로 추정되는 경우가 많다. 한 마디로 10년 전의 해킹은 고도의 기술을 가진 개인 간의 싸움이었다면, 지금은 확보할 수 있는 모든 도구를 총망라한, 더욱 광범위한 입체적인 전쟁이라고 할 수 있다.

과거에는 위협의 대상과 주체가 어느 정도 구분되어 있었다. 이를테면 바이러스는 PC의 약점을 공략하는 악성코드 제작자들이 유포했고, 네트워크와 시스템의 취약점을 공격하는 것은 해커들의 영역이었다. 해커들의 개별적 특성과 심리상태(mentality)도 차이가 있었다.

그러나, 브로드밴드가 일반 가정에도 보급되고 무선랜과 같은 다양한 네트워크를 통해 인터넷 접속이 가능해지자 PC, 네트워크, 시스템은 항시 네트워크로 연결되어 있는 상태(Always-On)가 되었다. 해커에게는 뻥 뚫린 이 공간을 자기 운동장처럼 활보할 수 있는 물꼬를 터 놓은 격이다. MITM(Man-in-the-middle), MITB(Man-in-the-browser)와 같은 공격은 PC가 인터넷에 상시 연결되어 있는 환경이 그 밑바탕을 깔아주었다고 할 수 있다.

이런 상황에서 현재 IT 환경에 위협이 되는 요소를 특성상 분류해서 보는 것은 의미가 있다. 위협의 스펙트럼을 이해해야 이에 대한 종합적 방어 대책을 구상할 수 있기 때문이다.

위협의 행동 형태 (Behavior)

조직적 범죄가 본격적으로 주류를 이룬 것을 2005년 전후로 본다. 그 이후 특징은 혼합형 위협(Blended Threat)이 급증하는 현상이다. 바이러스, 웜, 트로이 목마, 해킹은 나름대로 고유 개념을 가지고 출발했다. 그러나, 목적 달성을 위해서 해커들은 이런 공격을 정교하게 조합한다. 한 마디로 특정 분야만 방어해서는 종합적인 위협에 효과적으로 대응할 수 없다는 얘기다.

애당초 바이러스 제작자와 해커는 태생적으로 차이가 있었다. 바이러스 제작자는 자신이 만들어 낸 코드 때문에 많은 사람들이 어려움을 겪고, 그로 인해 자신의 이름이 드러나는 것에 희열을 느끼는 심리가 있었다. 반면 서버나 네트워크에 대한 호기심이 많은 젊은이들은 남들이 할 수 없는 것을 한다는 자부심에 해커가 되는 경우가 많았다. 또한 운영체제에 따라 위협의 종류도 달랐다. 소스 코드가 공개되지 않은 운영체제는 바이러스나 웜의 타깃이 되었고 오픈 소스나 내부 구조가 잘 알려진 유닉스 운영체제는 주로 해킹의 대상이 되었다.

그러나, 이제는 해킹 행위가 돈벌이가 되면서 공격 대상이 광범위해지고 위협 도구도 다양해지고 있다. 그래서 혼합형 위협이 급증하게 된 것이다. 또한 다양한 루트를 다단계로 공격한다. 예를 들어, 일단 키로거(Key-logger)를 통해 ID와 패스워드를 파악한 뒤, 적절한 기회를 봐서 공격의 목표를 취하기 위해 가능한 경로를 공략한다. 인터넷 뱅킹의 계좌라면 인증서나 보안 카드의 허점을 활용할 수도 있고, 정보 탈취라면 트로이목마를 사용하기도 한다. 피싱(Phishing)이나 파밍(Pharming)도 여전히 부분적으로 활용되는 도구다.

그러다 보니 PC와 네트워크를 넘나드는 형태로 위협이 더욱 진화하고 있다. 예를 들어, 봇넷(BotNet)의 경우 각 PC에 봇(Bot)이라는 악성코드를 설치해 은폐한 후, 특정 시간에 스팸 메일을 발송하거나 네트워크 해킹의 일종인 스캔 공격(Scan Attack)을 가한다. 이런 봇넷을 PC 보안 관점으로 보아야 할지, 네트워크 공격으로 보아야 할지 판단하기는 쉽지 않다.

최근에는 봇(Bot)이 워낙 보편화되고 고도화되는 상황이고 그 최종 공격도 정교한 DDoS 공격으로 확대되고 있다. 그래서인지 해외에서는 봇(Bot)을 지능적으로 차단하기 위해서 그 원인과 성격을 근원적으로 연구하는 프로젝트도 활발한 편이다. 악성코드가 박사 논문으로 등장한 것은 그만큼 지능적이고 예측하기 어려운 형태로 발달하고 있다는 것을 의미한다.

한편 작년 하반기에 급증했던 ARP 스푸핑(Spoofing) 같은 공격도 변종이 워낙 많아서 바이러스 백신만으로 막으려면 수많은 시그너처(Signature)를 동원해야 했다. 실제 PC에서 침입방지시스템(IPS)을 설정할 경우 근원적인 차단을 할 수 있었지만, 사용자들이 IPS 설정을 잘 하지 않는 습관을 간파한 공격 기법이었다. 우리가 웹을 들어가기만 해도 감염이 되는 아이프레임 인젝션(iFrame injection) 공격도 변종이 워낙 기하급수적으로 늘어나서 시그너처 방식으로는 대응이 거의 불가능한 지경이다.

최근에는 한 해커가 공격의 타겟으로 삼은 사이트의 직원을 공략한 사건이 일어났다. 그 해커는 직접 제작한 악성코드를 이메일에 첨부해 직원들에게 발송하고 결국 설치하는 데 성공했다. 이 PC는 그에게 필요한 정보를 체계적으로 전송하는 역할을 했다. 결국 그는 취약점을 알아내어 웹 공격(SQL Injection)과 서버 공격을 단계적으로 진행하였다. 이를 보면 공격을 위해 얼마나 종합적으로 모든 자원을 동원하는가를 알 수 있다. 보안 관리에 취약한 직원을 파악하는 것부터, 스스로 악성코드를 제작해서, 네트워크 해킹, 키로거 설치 등 생각할 수 있는 모든 수단을 활용하고 있다. 부분적인 대응으로는 이런 공격에 무력할 수밖에 없다.

따라서, 우리는 위협을 보는 관점을 입체적으로 바꾸는 발상의 전환을 해야 한다. 앞서 예를 든 경우를 통해 PC의 악성코드, 키로거, 네트워크/웹/서버 공격이 전방위적으로 이루어질 수 있음을 알 수 있다.

이미 많은 보안 제품이 상용화되었음에도 이러한 공격을 막아내지 못하는 이유는 무엇일까? 이들 보안 제품과 서비스는 특정 위협에 대응할 수 있도록 설계되어 있기 때문이다. 가령 관제 서비스는 네트워크와 웹 공격에 대응하는 데, 백신은 악성코드를 차단하는 데, 키보드 보안은 온라인 서비스를 보호하는 데 주 목적이 있다.

앞서 설명한 바와 같이 위협은 여러 영역을 넘나들며 입체적으로 진행된다. 문제는 종합적인 위협에 이런 제품과 서비스가 종합적으로 대응할 수 있느냐에 있다. 이것이 종합적이고 일관성 있는 위협 관리(Unified Threat Management)가 탄생하게 된 개념이다. 단순한 개념의 문제가 아니고 실질적인 대응 체제를 갖추어야 하고 제품도 그런 형태로 진화해야 한다. 이것이 2세대를 맞이하는 보안 제품과 서비스가 갖추어야 할 철학이다.

/김홍선 안철수연구소 대표이사 column_phil_kim@inews24.com







alert

댓글 쓰기 제목 [김홍선의 보안이야기]창과 방패의 싸움

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스