표적화 모듈화 다형성 기법 구사하는 악성코드란 '놈'


이호웅·손동식·윤광택 보안 전문가 3인이 진단한 악성코드 트렌드

[김수연기자]"계속해서 모습을 바꿔가며 정체를 숨긴 채 표적을 향해 돌진하는 놈"

이호웅 안랩 시큐리티대응센터장, 손동식 윈스테크넷 침해사고대응센터장, 윤광택 시만텍코리 보안담당 이사 등 보안 전문가들이 악성코드 트렌드에 대해 공통적으로 내린 진단이다.

이들은 표적이 분명하다는 점, 공격 실행 기능을 하나의 악성파일에 모두 담지 않고 여러 파일로 분산시키고, 코드 자체를 암호화시켜 정체를 파악하기 힘들게 한다는 점, 매번 공격할 때마다 변종돼 전통적인 악성코드 차단 방식을 무력화 한다는 점 등을 주목해야할 악성코드 트렌드로 꼽았다.

해킹 능력을 과시하려는 목적으로 정체를 드러내며 불특정 다수를 공격하던 예전과는 다른 모습과 성격으로 악성코드가 사이버 공간을 위협하고 있는 것이다.

◆ 악성코드 트렌드 #1 – 표적이 분명한 타깃형 악성코드

이호웅 안랩 시큐리티대응센터장은 요즘 악성코드들은 표적이 분명한 공격을 실행한다고 설명했다.

이호웅 센터장은 "최근 등장하는 악성코드들은 특정 IP대역을 타깃으로 배포되고 있다"며 "이전에는 공격자가 자기 과시용 수단으로 악성코드를 개발해 무분별하게 다량으로 뿌렸다면, 이제는 타깃으로 삼은 PC 등 공격 표적을 정확히 찾아가고자 심어놓은 수단으로 악성코드를 배포하고 있다"고 말했다.

그는 "이러한 점에서 요즘 악성코드들이 특정 기업이나 조직 네트워크에 침투해 활동 거점을 마련한 후 기밀정보를 수집해 지속적으로 빼돌리는 지능형지속위협(APT) 공격을 감행하기 위한 1차적 무기 역할을 하고 있다"고 분석했다.

손동식 윈스테크넷 침해사고대응센터장은 "타깃형 악성코드들의 대부분은 금전적 이득을 취하는 것에 목적을 두고 있고 특히 이를 달성할 때까지 추가 공격을 지속한다는 점에서 일회성 공격을 실행하는 데 그쳤던 과거의 악성코드들과 다르다"고 설명했다.

윤광택 시만텍코리아 이사 역시 "과거 해커들은 몇 개의 악성코드로 몇 대의 PC를 감염시켰는가를 중시했지만 지금은 금전적 이득이나, 경쟁사의 기밀 확보, 기반시설 마비 등의 목적을 달성했는지 여부가 해커들에게 더 중시되고 있다"고 전했다.

◆ 악성코드 트렌드 #2 – 모듈화·암호화로 정체를 숨긴 채 침투

손동식 윈스테크넷 침해사고대응센터장이 강조한 악성코드 트렌드는 모듈화·암호화다. 악성코드 한 개에 여러 공격 기능들이 포함돼 있던 과거와 달리, 요즘은 공격 기능이 다수 파일로 분산된 형태로 배포된다는 것이다. 이렇게 모듈화된 악성코드들이 암호화돼 있어 이를 분석하는 시간도 지연되고 있다고 그는 지적했다.

손동식 센터장은 "과거에는 악성코드 하나에 대다수의 공격 기능들이 포함돼 있어 해당 악성코드만 분석하면 이것이 어떤 피해를 주는지, 어떤 공격명령 서버(C&C 서버)에 접속하는지 등을 파악할 수 있었지만 이제는 해커들이 악성코드의 공격 기능을 여러개로 쪼개 악성인지 아닌지 판단이 안 설 정도의 경량의 프로그램으로 감염시키고 있다"고 말했다.

그는 "분산돼 있는 여러 개의 모듈을 합쳐봐야 해당 코드의 악성 여부를 판단하고, 기능을 파악할 수 있고 각각의 모듈들도 암호화돼 있어 해당 코드를 판독하기가 더욱 어려워지고 있다"고 덧붙였다.

손 센터장에 따르면 현재 블랙마켓을 통해 스크립트를 난독화시키는 '카이신(Kaixin)', 지능화된 난독화 방식을 사용하는 '공다(Gonda)' 등 익스플로잇 팩(pack)이 활발히 거래되고 있다. '카이신'은 국내 다수의 웹사이트에 삽입돼 있고 MS취약점에 공다를 이용한 공격이 국내에서 많이 발견되고 있다.

이호웅 안랩 센터장은 "악성코드의 기능이 분산돼 있고 모듈화된 각각의 파일들이 C&C 서버로부터 공격 명령을 받아 새로운 악성코드를 생성해 내고 있다"며 "악성코드를 추적해 나가는 과정이 더 복잡해져 흩어진 악성 파일들을 빨리 수집해내는 기술이 필요하다"고 강조했다.

윤광택 시만텍코리아 이사는 "요즘 악성코드들은 작은 사이즈의 프로그램 형태로 사용자 단말에 선(先)침투한 뒤 C&C서버와 접속해 키로깅, 디스크 파괴 등 공격 명령을 이행한다"며 "이 때문에 사용자는 자신의 단말기가 감염됐는지도 모른 채 계속해서 추가 공격을 당하게 된다"고 말했다.

◆ 악성코드 트렌드 #3 – 다형성 기법으로 변신을 거듭하는 악성코드

공격자의 웹사이트에서 자동으로 돌연변이를 만들어내며 백신을 무력화 시킨다는 점도 눈여겨 봐야할 악성코드 트렌드로 지목됐다.

최근 악성코드 내부 구조나 내용물을 지속적으로 변화시켜 변종 악성코드를 만들어내는 다형성(polymorphic) 기법이 활용되면서 백신을 우회하는 새로운 악성 프로그램이 빠른 속도로 생성되고 있다는 것.

윤광택 시만텍코리아 이사는 "요즘 발생하는 보안 공격의 대부분이 매번 기존 위협과 조금씩 다르게 형태를 바꾼다"며 "이러한 다형성 기법과 인터넷 환경이 만나 변종 위협이 광범위하게 확산되고 있고 이 때문에 전통적인 보안체계의 한계가 드러나고 있다"고 밝혔다.

시그니처 탐지 방식 중심의 전통적인 보안체계로는 알려지지 않은 보안결함을 공격하는 제로데이 공격, 변종 악성코드 등을 제대로 잡아낼 수 없다는 설명이다.

시그니처 탐지 방식은 악성코드가 수행하는 고유 행위를 분석하고, 이를 통해 악성코드를 탐지 하는 시그니처를 생성하는 것으로, 원본파일에서 몇 백 바이트만 변경되더라도 전혀 다른 파일로 인지되기 때문에 미탐(False Negative)이 발생한다는 단점이 있다.

시그니처 탐지 방식이 갖는 한계를 극복하기 위한 방안으로 행위기반, 평판기반 탐지 기술 등 다차원적인 탐지 기술이 필요하다는 게 윤 이사가 강조하는 바다.

행위기반 탐지 기법은 악성코드로 의심되는 파일을 가상 환경 등에서 직접 실행해 해당 파일의 행위를 사전에 분석하는 것으로 평판기반 탐지 기법은 잘 알려지지 않은 파일에 대한 평판점수를 제공해 준다. 평판점수는 파일 다운로드 수, 파일 생성 시점, 다운로드 소스, 기존 악성코드와의 연관성 등의 정보를 취합해 부여된다.

이와 관련해 이호웅 안랩 시큐리티대응센터장은 "이미 잡아낸 악성코드라 해도 변종되면 특징이 달라져 시그니처 탐지 방식으로는 진단할 수 없다"며 "보안 업계에서는 행위기반 탐지 기법 등 보다 다차원적인 감지 기술을 확보하기 위한 연구들을 활발히 진행하고 있다"고 밝혔다.

손동식 윈스테크넷 침해사고대응센터장은 "공격자들은 악성코드의 소스코드나 특정 함수만 바꿔 변종 악성코드를 생성해 백신을 우회하고 자신이 개발한 악성코드의 수명을 연장시키고 있다"며 "악성코드 분석가들이 따라잡기 힘들 정도로 변종 악성코드 생성 속도가 빨라지는 추세"라고 말했다.

◆ 악성코드 트렌드 #그리고...

세 가지 주요 트렌드와 더불어 눈여겨 봐야 할 악성코드의 모습은 다양하다.

이호웅 안랩 시큐리티대응센터장은 타깃화된 악성코드의 증가와 함께 사회공학적 기법과 제로데이 취약점을 결합한 악성코드가 증가하고 안드로이드 기반 디바이스 보급 확대로 애플리케이션 거래가 활성화되면서 모바일 악성코드 또한 기하급수적으로 증가하고 있다고 지적했다.

특히 올해에는 한국, 미국의 대선 이슈에 맞춰 관련 내용으로 위장한 문서를 이메일로 발송, 제로데이 취약점을 악용한 악성코드들이 많이 유포될 것으로 그는 전망했다.

손동식 윈스테크넷 침해사고대응센터장은 모듈화·암호화와 함께 '크로스플랫폼형 악성코드'의 등장을 최신 악성코드 트렌드로 꼽았다.

그는 특정 운영체제에 국한되지 않고 어떠한 클라이언트 환경에서나 감염시킬 수 있는 악성코드를 '크로스플랫폼형 악성코드'로 정의하고 "공격자들은 과거 맥, 리눅스, 윈도용 악성코드를 각각 개발했지만, 이제는 모든 클라이언트 환경에서 실행 가능한 악성코드를 유포하고 있다"고 설명했다.

윤광택 시만텍코리아 이사는 악성코드들이 소셜 미디어 플랫폼들을 유포 경로로 삼아 빠르게 확산되고 있다는 점도 악성코드 트렌드로 굳혀지고 있다고 보고 있다.

공격자들이 친구맺기와 정보공유를 근간으로 소셜미디어의 특성을 악용해 악성코드를 빠른 속도로 확산하고 있다는 것이다.

시만텍이 조사한 바에 따르면 소셜네트워크서비스(SNS)를 악용한 공격의 절반 이상이 감염된 블로그, 웹 커뮤니케이션 사이트에서 호스팅한 악성코드와 관련됐다. 감염 웹사이트에 대한 하이퍼링크가 SNS를 통해 공유되고 있다는 분석이다.

김수연기자 newsyouth@inews24.com 사진 정소희기자 ss082@inews24.com 조성우기자 ds3fan@inews24.com







포토뉴스