[컴퓨터월드] 우리나라는 전국적으로 잘 보급된 IT 인프라로 인해 인터넷 접속률이 높지만, 보안에 대한 투자나 의식은 상대적으로 취약한 편이다. 특정 프로그램의 높은 사용률과 잦은 해킹 피해 발생은 웹 보안이 상대적으로 취약하다는 것을 보여주고 있으며, 외부 비업무사이트 및 유해사이트에 대한 정책 부재 등으로 위협에 대한 노출도 점차 커지고 있다. 특히 기존 패턴 분석 방법만으로는 대응할 수 없는 ‘알려지지 않은 위협’이 등장하면서, 점차 사전 탐지 및 예방의 필요성이 높아지고 있다.

파이어아이는 ‘2013 지능형 위협 보고서’에서 전 세계적으로 웹 경보를 이메일에서 추출한 경보보다 5배 더 많이 분석했으며, 국가별로도 웹 경보가 이메일 경보보다 3배 더 많이 관찰됐다고 밝혔을 정도로 강력한 사전 탐지 솔루션을 제공한다.

웹 취약성 이용한 APT 공격 사전 탐지

지난 2014년 1월 3일, Fox-IT는 야후 광고 서버가 해킹돼 악성코드 유포 경로로 사용됐다고 밝혔다. 사용자가 야후 페이지에 방문할 때마다 광고 페이지에 삽입된 악성 스크립트가 실행되면서 최종적으로 사용자 모르게 악성코드에 감염된 것. 야후 방문자 수를 고려했을 때 상당수의 방문자가 감염되었을 것으로 추정된다.

사용자가 야후 페이지 방문 시 아래와 같은 과정을 거쳐 최종적으로 자바 관련 취약점이 실행되며 백도어, 금융 정보 탈취, 무단 광고 등을 위한 악성코드에 감염된다.

파이어아이의 동적 위협 분석(Dynamic Threat Intelligence, DTI) 클라우드를 통해 확인한 결과 야후 서버 변조와 관련된 이벤트는 최초 2013년 12월 30일 13시15분 경 발생한 것으로 확인됐으며, 2014년 1월 4일 20시 09분 까지 약 6일 동안 지속된 것으로 확인됐다. 국내에서도 야후 서버 해킹과 관련된 9건의 악성코드 탐지 내역이 확인됐다.

추가 확인된 사항으로 최종적으로 다운로드 되는 악성코드는 암호화된 형태로(XOR encoding) 네트워크상으로 유입되며, 최종적으로 사용자 PC에서 복호화 되어 실행된다. 이렇게 암호화된 형태로 악성코드가 유입되는 사례는 패턴 방식의 보안 장비 회피를 위해 자주 사용되는 방법이며 실제 상당수의 APT 공격 사례 및 익스플로잇(Exploit)을 이용한 악성코드 감염 방식에서 사용된다.

워터링 홀 같은 알려지지 않은 위협도 사전 대응

웹 공격의 또 다른 예로는 사이버 공격 주체가 특정 기업의 정보를 얻기 위해서 그 기업의 관심사를 파악하고 내부 직원들이 자주 갈만한 사이트에 익스플로잇을 심어두는 APT 공격방법이 있다. 예를 들어 곧 회사의 주식을 상장할 경우 주식과 관련된 사이트에 익스플로잇을 심어두는 것. 이러한 공격방법을 워터링 홀(Watering Hole)이라고 부른다.

워터링 홀 공격으로 일단 익스플로잇의 실행지가 확보되면, 악성코드 유포 사이트를 확보하고 미리 만들어놓은 명령제어(C&C) 서버에 접속하여 해킹에 성공하게 된다. 최근 발생된 APT 공격은 이러한 내부 사용자 시스템이 거점이 되어 내부의 주요 서버들을 스캐닝하여 시스템 권한을 탈취하는 시도가 늘어나고 있다.

파이어아이는 가상환경에서 파일들을 실행하고 분석하는 멀티-벡터 가상 실행(MVX) 엔진을 통해 알려지지 않은 위협에 사전 대응하고 있다.

대부분의 안티 바이러스나 IPS 관련 보안업체들과 같은 경우 알려지지 않은 패턴이나 변종을 탐지하고 차단하기 위해 샌드박스 기반에서 악성코드 분석가가 수동으로 패턴을 분석하게 되지만, 파이어아이는 샌드박스 기술을 MVX 엔진을 통해 장비 내에서 구현함으로써 보다 빠른 시간 내에 제로데이 공격에 대처할 수 있다.

위협 탐지 차단 및 공격 세부 정보 확보

MVX 엔진은 범용 하이퍼바이저가 아니라 파이어아이에서 악성코드 탐지에 최적화된 성능을 제공하기 위해 별도로 개발했으며, 최대 192개까지의 가상머신(VM)을 동시에 동작시키기 때문에 성능 및 탐지율을 최대화하도록 설계됐다.

이는 운영체제, 응용 프로그램, 브라우저 및 플러그인을 포함한 다단계 탐지 엔진을 기반으로 실제 사용자와 유사한 환경에서 의심스러운 코드를 실행하는 완벽한 가상 테스트 환경을 사용함으로써 알려지지 않은 위협을 탐지 차단하며 공격에 대한 세부정보를 확보한다.

파이어아이의 웹 보안 솔루션 NX 시리즈는 MVX 엔진을 사용하여 제로데이 웹 익스플로잇과 다중 프로토콜 콜백을 방어하여 중요한 데이터와 시스템의 안전을 보장한다. NX 시리즈는 인라인 또는 대역 외(Out-of-band)로 모두 설치할 수 있으며 기업들이 멀티 기가비트를 사용하는 본사는 물론, 지사, 원격 및 이동 사무실에 설치된 다양한 시스템에 대한 지능형 위협(APT) 방어를 지원한다.

또한 가상 분석 환경 내에서 수행하는 제로데이 공격에 대한 동적 분석은 실시간으로 위협 인텔리전스를 생성하여 로컬 네트워크를 보호하고, DTI 클라우드를 통해 알려지지 않은 위협 정보를 교환함으로써 전 세계적으로 발생하는 공격의 시작부터 콜백 접속까지 전반적인 가시성을 확보할 수 있다.