그것이 궁금하다, AhnLab Smart Defense!
1부 – 왜 AhnLab Smart Defense인가
사이버 공격은 ‘속도의 전쟁’이다.
하루에도 수천, 수만 개의 악성코드가 생성되고 있다. 공격자들이 만들어내는 신종 악성코드 수와 보안 업체들이 처리하는 시그니처 수의 격차는 좀처럼 좁혀 들지 않고 있다. 오히려 그 간격이 점차 커지고 있다는 오늘날의 현실이다. 이와 같은 사이버 공격을 사람의 힘으로 대응하는 것은 불가능하며 자동화된 방식으로 신속하게 대처하더라도 불충분하다. 이러한 강력한 사이버 공격에 대처하기 위해서는 사전에 적극적으로 방어하는 기술이 필요하다.
이 글에서는 최근 사이버 공격의 특징과 기존 대응 방법을 문제점을 살펴본다. 그리고 이를 해결해 줄 클라우드 컴퓨팅 개념의 악성코드 대응 기술인 AhnLab Smart Defense(이하, ASD)에 대해 소개하고자 한다.
최근 보안 위협 동향
초기 악성코드는 제작자의 호기심 또는 자기 과시에서 제작되었다.
이러한 제작자의 성격이 변하기 시작했다. 더 이상 제작의 목적이 악성코드를 만들어 유행시키는 것이 아니다. 악성코드를 컨트롤하여 DDoS 공격, 개인정보 유출, 스팸메일 발송 등의 수단으로 이용하기 위함이다. 이는 악성코드가 ‘금전적 이득’을 목적으로 제작되고 있기 때문이다. 즉, 악성코드 제작자에게 악성코드는 ‘목적’에서 ‘수단’으로 변화한 것이다. 2005년 이후 이러한 추세는 더욱 두드러지게 나타나고 있다.
이러한 금전적 이득을 목적으로 악성코드를 생산함에 따라 악성코드가 급증하게 된다. 또한 악성코드를 대량생산하고 자동적으로 변종을 만들 수 있는 툴들이 악성코드 제작자들 사이에 만들어지고, 거래되면서 사이버 블랙 마켓이 형성되었다. 이렇게 악성코드 제작 툴이 저렴하게 거래되자, 악성코드의 숫자가 이전에는 상상할 수 없었을 정도로 폭발적인 증가세를 보이고 있다.

[그림 1] 악성코드 증가 추세 출처: AV-Test.org
안티바이러스 제품을 테스트 하고 있는 Av-test.org*에 따르면 신종 악성코드의 수는 2005년 333,000개, 2006년 972,000개, 2007년 5,490,000개로 증가하고 있다. 또한 ASEC* 2008 Annual Report에 의하면 2008년에도 한해 동안에만도 전세계적으로 800만개 이상의 악성코드가 만들어졌다고 한다.
이러한 전문기관의 분석 자료를 통해 알 수 있듯이 악성코드의 숫자는 이전에는 상상할 수 없는 수준으로 매년 기하급수적으로 증가하고 있다.
악성코드의 특성 변화
악성코드 제작이 금전적 이득으로 연결되자, 악성코드 제작도 사이버 블랙 마켓의 시장 경제 원리로 움직이기 시작한다. 주민등록번호, 은행계좌번호, 신용카드 정보 등 개인 정보에 대한 거래가 활발해지면 개인 정보를 빼내가는 악성코드의 제작•배포가 급증하게 된다. 또한 특정 기업에 DDoS 공격을 감행하고 이를 미끼로 돈을 요구하는 수법이 늘어나자 DDoS 공격에 이용되는 봇(Bot)의 제작이 늘어나게 된다.

[그림 2] 연도별 악성코드의 주요 특징 및 변천사
악성코드와 네트워크 공격과의 결합
특히, 악성코드가 네트워크 공격에 이용되면서 DDoS 공격에서도 변화를 겪게 된다.

[그림 3] 최근 DDoS 공격 진화 형태
[그림 3]과 같이 초기 DDoS 공격은 고난도의 해킹 기술은 이용한 시스템 자원을 고갈시키는 양상을 보였다. TCP Syn Flooding, UDP/ICMP Flooding 공격이 주를 이뤘으며, 공격 발생시에는 1~3Gbps 수준의 공격이 감행되었다.
2007년도부터는 C&C (Command & Control) 서버 기반의 봇(Bot) 제어를 통한 DDoS 공격이 주를 이루었다. 특히 이 시점부터는 사이버 블랙 마켓에서 GUI 기반의 악성코드, 해킹, DDoS 공격 툴이 저렴하게 거래되면서 이러한 사이버 공격이 더욱 증가했다. 이는 전문 해커가 아닌 비전문가도 손쉽게 악성코드를 제작하여 사이버 공격을 감행할 수 있게 되었기 때문이다.
가장 주목해야 할 것은 2009년 발생한 7•7 DDoS 대란이다. 7•7 DDoS 대란은 예전의 공격 형태와는 다른 양상을 보였다. 공격자가 중앙에서 공격을 제어하는 방식이 아닌 공격에 이용되는 PC가 직접 특정 시점에 공격 목표를 업데이트 받고 동시 다발적으로 다양한 목적지를 향하는 공격이 특징이었다.
7•7 DDoS 대란 이후 DDoS 공격의 가장 큰 특징은 네트워크와 PC의 복합 공격이 대세를 이루고 있다는 것이다. 즉, 해킹, 악성코드, 봇, 네트워크 공격 등이 결합되어 하나의 보안 솔루션만으로는 이를 방어하기 힘든 상황이 펼쳐지고 있다. 이러한 DDoS 공격을 방어하기 위해서는 공격 대상의 보호도 중요한 방법이지만, 공격을 실행하는 코드의 분석을 통한 좀비 PC 의 원천적인 치료가 필요하다. 또한 치료가 어려울 경우 공격이 발생이 되지 못하도록 하는 조치와 공격 트래픽의 사전 방어 등이 필요한 상황이다.
현재 보안 솔루션의 문제점
앞서 살펴본 것처럼 보안을 위협하는 악성코드가 급증하고 복합적인 공격 양상을 띠면서 포인트 보안 솔루션만으로는 방어하는데 한계가 존재한다. 대표적인 포인트 보안 솔루션인 안티바이러스 제품과 네트워크 보안 제품이 안고 있는 문제점을 살펴보자.
안티바이러스의 한계점
악성코드의 폭발적 증가는 모든 안티바이러스 업체에 기존에 경험해 보지 못한 새로운 이슈로 다가왔다. 악성코드의 숫자가 이전에는 상상할 수 없이 많아짐에 따라 결과적으로 기존에 크게 이슈가 되지 않았던 안티바이러스 소프트웨어의 두 가지 문제점이 부각되고 있다.
■ 진단율 이슈
매시간 수백 ~ 수천 개의 신종 악성코드를 처리함에도 불구하고, 점점 더 많은 변종 악성코드가 만들어 짐에 따라 기존에 악성코드를 수집하고, 분석하고, 엔진에 포함시키는 일련의 작업들 만으로는 모든 악성코드를 처리할 수 없게 되었다.
Av-test.org에 따르면 45개의 안티바이러스 제품을 분석해본 결과 신종 악성코드의 수는 2005년 333,000개, 2006년 972,000개, 2007년 5,490,000개로 기하급수적으로 증가하였다. 이에 비해 안티바이러스 제품의 시그니처 수 증가는 2005년 111,566개, 2006년 134,484개, 2007년 148,869개로 신종 악성코드 수에 턱없이 못 미치고 있다.

[그림 4] 연도별 신종 악성코드 수 출처: AV-test.org
많은 안티바이러스 솔루션 개발사들이 이러한 악성코드에 대항하여 진단율을 높이기 위해 시그니처 기반의 블랙리스트(Blacklist)* 방식 이외에도 Heuristic Detection*, Proactive Prevention*, Sandbox* 등의 다양한 기법을 사용하고 있다. 이러한 방식은 안티바이러스 솔루션이 설치되는 PC 환경의 다양성, PC 사양의 제한, 업데이트 관리, 그리고 오진 등의 이슈로 인해 범용적으로 사용하기에는 한계가 있는 게 사실이다.
또한 진단 개수 증가는 엔진 사이즈 증가와 더불어 검사 속도 증가 및 더 많은 메모리 사용을 필요로 하며, 그만큼 오진의 가능성을 높이고 있다.
■ 업데이트 속도 이슈
이렇게 악성코드의 숫자가 많아질수록 빠른 업데이트가 상당히 중요해진다. 과거와 달리 이제는 단 한 시간 업데이트가 지연되어도 수 천 개 이상의 신종 악성코드에 감염될 위험에 노출된다.
이에 따라 악성코드의 숫자의 폭발적 증가에 대응하기 위해 안티바이러스 솔루션 개발 업체의 경우 업데이트 주기를 단축하는 방법을 우선적으로 사용하고 있다. 현재 대부분의 업체에서 이전에 일주엔 한번 업데이트를 제공하던 방식에서 하루에 한번 이상의 시그니처 업데이트를 제공하고 있는 중이다. 그러나 이러한 업데이트 주기 변경 만으로는 현재의 이슈를 해결하는 것은 불가능하다.
현재 악성코드 대응 방식은 다음과 같은 문제점을 안고 있다.
최신 업데이트 미 적용: 사용자가 PC에 자동업데이트 설정해 놓지 않아 최신 업데이트를 적용하지 않았다면 위험에 그대로 노출
엔진 대응: 악성코드 출현 시 샘플 수집에서 엔진 제작까지 여러 단계를 거쳐야 하므로 이 시간 동안 위협에 무방비 노출
엔진 배포: 업데이트 주기를 단축하는 방법을 사용하고 있으나 업데이트 시간차에 따른 위험 여전히 존재
[그림 5]와 같이 새로운 위협에 대한 실시간 대응이 피해 최소화에 가장 중요한 역할을 하게 되는 현시점에서 기존의 안티바이러스 엔진 업데이트 방식은 개선되어야 할 당면 과제이다.

[그림 5] 실시간 대응과 피해 규모의 상관 관계
이 밖에도 대응 시그니처 수의 증가는 엔진 사이즈의 증가를 동반하고 있다. 과거 18개월간 대부분의 안티바이러스 솔루션들의 엔진 사이즈가 두 배로 증가되었으며, 심한 경우 3배까지도 증가했다고 한다. 또한 엔진 사이즈가 커지고, 업데이트 빈도가 늘어남에 따라 업데이트 사이즈도 기하급수적으로 증가하고 있다.
|
2005년 |
2006년 |
2007년 |
45개 백신업체 업데이트 사이즈 |
520GB |
1.0TB |
1.6TB |
[표] 백신업체 누적 시그니처 업데이트 사이즈 출처: AV-test.org
네트워크 보안 제품의 한계점
네트워크 보안 제품은 기본적으로 내부 네트워크로의 불법적인 접근제어 및 네트워크 기반 공격을 탐지•방어하는 기능을 수행함으로써, 네트워크의 무결성을 유지하는 역할을 한다. 하지만 이미 악성코드에 감염된 PC의 내부 네트워크 악성코드 확산 행위를 효과적으로 제어할 수 있는 방법이 없다. 감염된 PC의 악성 트래픽 유포 행위를 정확하게 탐지할 수 있는 방법이 없거나 있어도 오탐이 많아 서비스 가용성을 심각하게 침해할 수 있다. 또한 악성코드에 감염된 PC에 대한 효율적인 자동치료 기능이 없어, 별도의 안티바이러스 제품으로 해결할 수 밖에 없다.
DDoS 공격을 예를 들어 보자.

[그림 6] 기존 DDoS 대응 방식의 한계
[그림 6]과 같이 최근 DDoS 공격은 시스템 레벨과 네트워크 레벨에서 동시에 발생한다. 하지만 네트워크 보안 제품은 네트워크 레벨에서 공격 트래픽을 제어하는 역할을 할 뿐이다. 공격 발생 근원지인 시스템 레벨을 제어하지 않으면 공격은 계속 발생하기 마련이다. 따라서 공격 발생 근원지인 좀비 PC에 대한 치료와 네트워크 레벨에 대한 방어가 입체적으로 진행되어야 한다. @