보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

지능형 위협, 통합과 연계로 돌파하라

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2020-08-31
랜섬웨어, 신․변종 악성코드, 피싱 메일, 타깃 공격 등 친숙하지만 달갑지 않은 위협들로 인해 보안 사고 소식이 꽤 자주 들려온다. 해커들은 금전적 수익 혹은 이를 창출할 수 있는 정보를 탈취할 수 있다면 다양한 유형의 공격을 언제 어디서든 수행한다. 조직의 보안담당자들도 이를 잘 알고 있다. 그래서 필요에 따라 다양한 솔루션을 도입해 운영하며 조직의 자산을 지켜내기 위해 만반의 준비를 한다. 

그럼에도 불구하고 보안 사고는 계속 발생한다. 각각의 보안 솔루션은 제 역할을 하고 있지만, 문제는 해커들도 이미 이를 알고 새로운 우회 공격 방법을 끊임없이 개발한다는 것 이다. 안랩의 데이터에 따르면, 전체 공격의 약 5%는 구축된 솔루션을 우회해 공격에 성공하는 것으로 나타났다. 그렇다면 이 5%에 해당하는 ‘지능적인’ 위협에 효과적으로 대응하고 해커와의 끊임없는 싸움에서 우위를 점하려면 어떻게 해야 할까? 

이 글에서는 지능형 위협의 주요 대상과 공격 방법, 보안 솔루션에 대한 요구사항 및 조직 이 위협에 효과적으로 대응하기 위해 견지해야 할 관점에 대해 자세히 조명하고자 한다.

 


 

 

우선, 지능형 위협의 주요 대상은 크게 이메일, 네트워크, 엔드포인트를 꼽을 수 있다. 

 

주요 공격 대상 1: 이메일 

이메일 주소만 알면 누구나 쉽게 공격을 시도할 수 있기 때문에 가장 빈번하게 공격이 발생한다. 흔히 사내 메일을 공격 대상으로 여기지만, 사외 메일을 웹이나 아웃룩을 통해 열람하면서 발생하는 사고도 빈번하게 일어난다. 이메일을 대상으로 하는 공격은 해커가 들이는 노력 대비 공격 성공률도 높기 때문에 앞으로도 계속 증가할 전망이다. 

 


 

이메일 공격 중 흔히 사용되는 방법은 첨부 파일을 통한 공격이다. 실행 파일, 문서 파일, 압축 파일이 대부분을 차지하며, 이 중 한글, MS Office, PDF 등 문서 파일의 비중이 가장 높다. 수신자가 이메일에 첨부된 악성 문서 파일을 실행하면 악성코드에 감염되는 형태의 공격 사례가 빈번하게 포착된다. 

 

가까운 예로 지난 8월, 안랩이 ‘원산지 조사 자율 점검표’를 위장한 악성 한글 문서 파일(hwp)을 발견하고 주의를 당부한 바 있다. 해당 문서는 실제 법령에 있는 서식 내용을 담고 있어 악성 문서임을 인지하기 어렵고, 이메일 공격에 사용되는 다른 첨부 파일들 역시 수신자가 쉽게 식별 할 수 없도록 교묘하게 위장하는 것이 특징이다.

 

 

 

최근에는 메일의 첨부 파일을 제한하는 경우가 늘어, 메일 본문 링크를 활용한 공격도 잦아지고 있다. 파일을 직접 첨부하는 대신 외부 대용량 다운로드 링크를 삽입하거나, 계정 탈취를 위해 피싱사이트 접속을 유도한다. 혹은 취약점이 숨겨져 있는 웹사이트 링크를 전송하는 공격도 감행된다.

 

첨부 파일이나 링크 없이 메일 본문의 텍스트 만을 이용한 공격도 있으며, 주로 금전 탈취를 목적으로 한다. PC를 감염시켰다고 주장하면서 주소록의 모든 메일 계정으로 사용자의 인터넷 접속기록이나 동영상 재생 목록을 보내겠다고 협박해 돈을 요구하는가 하면, 사업 관련 투자금을 모집한다고 속이기도 한다. 또한, 조직이 거래처와 주고 받은 메일 본문에 회신해, 대금 계좌번호가 변경되었다고 속여 다른 계좌로 입금을 요청하는 경우도 있다. 많은 기업들이 이와 같은 공격으로 인해 크고 작은 금전적 손해를 보는 것으로 알려져 있다. 또한, 치밀한 사전조사를 거쳐 진행되기 때문에 공격 성공률도 높은 편이다. 

 

주요 공격 대상 2: 네트워크 

네트워크를 대상으로 한 공격은 메일보다 고도의 기술이 필요하다. 타깃으로 설정한 사용자가 직접 악성 웹사이트에 접속하도록 유도해야 하기 때문이다. 

 

네트워크 공격은 기본적으로 파일 형태의 악성코드를 활용한다. 웹브라우저 취약점을 이용하거나 블로그 혹은 SNS를 활용해 정상 프로그램으로 위장한 악성 실행 파일을 배포한다. 매크로와 취약점을 포함한 문서 파일이나 이미지, 동영상도 활용된다. 위 공격들은 대부분 웹을 통한 경로로 발생하며 일부는 FTP를 활용하기도 한다. 최근에는 IoT 인프라가 확산되면서 이를 통한 공격도 점차 증가하고 있다.

 

악성코드를 활용하지 않는 네트워크 공격도 종종 수행된다. 외부 네트워크에서 주요 내부 서버를 타깃으로 한 취약점 공격이나 IP/Port 스캔, 웹셸(webshell) 공격이 많이 발생하는 편이다. 내부에서 외부로 향하는 악성 트래픽도 위험 요소로 꼽힌다. 사용자의 부주의로 접속하게 되는 악성 웹사이트나 이미 감염된 PC를 통해 해커에게 개인정보나 대외비 정보를 외부로 유출하는 경우가 이에 해당한다. 

 

네트워크 보안 측면에서 한 가지 짚고 넘어가야 할 점은, 많은 조직들이 사용하고 있는 망분리가 좋은 보안 수단이지만 만능 해결책은 아니라는 것이다. 업무 관련 내용으로 위장한 악성 메일이나 파일을 망연계 솔루션을 통해 업무망에서 열람할 경우 악성코드에 감염될 위험이 있다. 또한, 해커가 네트워크를 우회해 엔드포인트로 직접 공격을 감행하는 방법 등 망분리만으론 대처할 수 없는 여러 위협들이 존재한다. 

 

주요 공격 대상 3: 엔드포인트

조직의 중요한 데이터가 집약되어 있는 엔드포인트는 공격자들의 최종 공격 대상이라고도 볼 수 있다. 엔드포인트 대상 공격에 노출돼 민감 데이터나 회사 기밀에 대한 접근을 허용한다면 기업은 가늠할 수 없는 피해를 입게 된다. 

 

현재 행해지는 엔드포인트 공격은 사내 사무용 PC, 모바일 기기, 서버, 생산설비 및 사외에서 사용 가능한 노트북을 주요 대상으로 한다. 공격자들은 하나의 엔드포인트에서 여러 단말 기기로 피해를 확산시켜 공격 효과를 극대화할 수 있는 방법을 주로 택한다. 보편적으로는 USB를 악성코드에 감염시켜 연결되는 PC, 노트북 및 생산 설비까지 퍼뜨리는 수법이 있으며, OS 취약점을 악용해 동일 네트워크에 연결된 PC들로 감염을 확산시키기도 한다. 또한, 악성코드를 이용하지 않고 PC에서 구동 중인 정상 프로그램으로 랜섬웨어와 같은 악성 행위를 유발하는 파일리스(fileless) 공격도 있다.

 

엔드포인트 대상 공격은 앞으로 점점 고도화되고 보안의 복잡성도 심화될 전망이다. 시장조사기관 프로스트 앤 설리번은 지난 7월 발간한 ‘5G and its Cybersecurity Implications for Enterprises’ 보고서를 통해 5G 시대에 기업들이 마주할 보안의 도전 과제 중 하나로 공격 지점 확대를 꼽았다. 5G 네트워크를 사용하는 기업들은 전통적인 엔드포인트를 넘어 OT 환경과 같은 새로운 영역의 기기와 애플리케이션을 사용하게 되고 불가피하게 공격 지점이 확대될 수밖에 없다는 의미다.

 

보안 솔루션에 대한 요구사항은? 

이제 위와 같은 지능형 위협에 보안 솔루션이 효과적으로 대응하려면 어떤 요구사항들을 충족해야 하는지 알아보자.

 

우선, 이메일 대상 공격의 경우 기본적으로 메일 지연 최소화를 위해 문서 파일에 대한 빠른 분석 처리가 가능해야 한다. 메일에 포함된 링크로부터 파일을 다운로드 받아 분석하고 평판 정보를 활용해 악성 여부를 빠르게 필터링 해야 하며, 평판 정보가 없는 경우에는 솔루션 내에서 자체적으로 링크를 분석하는 역량도 갖춰야 한다. 메일 본문 키워드 분석을 통해 스캠(Scam) 메일도 탐지할 수 있어야 한다. 이 밖에, 국내에서 유통되는 알집 확장자 압축 파일과 암호화 압축 파일에 대한 대응 방안도 함께 지원해야 한다. 위 사항들은 사내 및 사외 메일에 모두 적용된다.

 

네트워크 보안 솔루션은 사용자가 네트워크를 통해 다운로드 또는 업로드하는 파일을 놓치지 않고 전수 검사해 ‘가시성’을 확보해야 한다. 솔루션의 분석 엔진은 백신에서 탐지되지 않는 신/변종 악성코드를 분석하고 다양한 파일 분석을 위해 파일 형식별로 최적화된 분석 로직도 갖춰야 된다. 아울러, 네트워크를 오가는 내․외부 트래픽을 빠짐없이 모니터링 하여 외부에서 감행하는 공격과 내부에서 외부로 향하는 악성 패킷을 모두 탐지해야 한다. 

 

마지막으로, 엔드포인트 부문에서는 각 기기에 대한 실시간 모니터링이 필요하다. 사외에 있는 PC도 외부에서 감염된 상태로 내부 시스템에 접속할 가능성이 있으므로 내부와 동일한 수준의 보안을 유지해야 한다. 또한, USB에 대한 검사가 병행되어야 하며 취약점 차단 및 파일리스 공격 실시간 탐지 기능도 확보해야 한다. 

 

이 모든 것들을 고려하다 보면 한 가지 어려운 질문에 봉착하게 된다. ‘이 많은 사항들을 모두 충족하는 것이 가능할까?’ 또한, 보안 확립을 위해 영역 별로 분산된 솔루션을 도입하면 가시성 확보와 관리 효율성 제고에 어려움을 겪을 확률이 높다. 

 

지능형 위협에 ‘유기적’으로 대응하는 AhnLab MDS 

고도화되는 지능형 위협에 효과적으로 대응하기 위해선 각 영역 별 보안 기능을 연계하는 통합 솔루션이 필요하다. 하나의 솔루션이 독자적으로 모든 지점을 보호하기는 어려운 만큼, 다양한 공격의 특성을 고려해 기존의 보안 솔루션과 유기적으로 연계하는 사이버 킬체인(Cyber Kill Chain) 확보가 필수적이다.

 

AhnLab MDS(이하 MDS)는 직관적이면서도 포괄적인 위협 가시성과 ‘수집 → 분석 & 탐지 → 모니터링 → 대응’으로 이어지는 프로세스를 구축한다. 이를 바탕으로, 네트워크와 엔드포인트간 유기적인 대응 역량을 제공하고 여러 경로를 통해 들어오는 지능형 위협을 효과적으로 차단한다. 다음은 MDS의 주요 역량을 정리한 것이다. 

 

1. 멀티엔진 분석 

2. 샌드박스 기반 동적 분석 

3. 네트워크 트래픽 분석 

4. 이메일 분석 

5. PC 공격 대응 

6. V3 + MDS 통합 에이전

 

 


1. 멀티엔진 분석: 

MDS는 멀티엔진을 기반으로 기존 알려진 위협부터 알려지지 않은 신․변종 위협까지 정확하고 효율적으로 탐지 및 분석한다. 전체 위협 중 약 90%를 차지하는 알려진 위협은 유해 사이트와 C&C(Command and Control) 트래픽을 탐지하는 시그니처 엔진을 필두로 실시간 클라우드 연결을 통해 악성 파일을 신속히 필터링 하는 평판 엔진, 그리고 YARA, Hash, IP/도메인 등 관리자가 사전 정의한 규칙을 바탕으로 빠르게 분석이 완료된다. 

 

나머지 10%에 해당하는 알려지지 않은 위협은 머신러닝과 샌드박스(비시그니처) 엔진을 통해 상세하게 분석한다. 머신러닝 엔진은 문서형 파일의 데이터를 분석해 악성 여부를 탐지하며, 샌드박스 엔진은 가상머신 환경에서 대상 파일의 종류에 따라 특화된 분석 엔진을 구동한다. 

 

2. 샌드박스 기반 동적 분석: 

MDS의 샌드박스 기반 동적 분석은 행위와 콘텐츠 분석으로 나뉜다. 

 

동적 행위 분석 엔진은 실행 파일을 가상머신에서 분석한다. 파일, 프로세스, 레지스트리, 네트워크의 변화를 실시간으로 모니터링하며, 모든 연관 파일의 행위, 평판 및 기타 정보를 기록하고 종합적으로 분석해 악성 여부를 판단한다. 전후 행위를 분석하는 동시에 클라우드 상 평판 정보를 활용해 통신을 시도하는 IP, URL, 프로세스, 파일의 악성/정상 여부까지 실시간으로 진단하기 때문에 오탐을 최소화할 수 있다.

 

동적 콘텐츠 분석 엔진은 비실행형 파일, 즉 문서 파일과 js, vbs, wsf 등 스크립트 파일을 분석한다. 문서에 포함된 매크로, 삽입 객체, 취약점 코드를 분리해 분석을 진행하며 행위 분석 대비 신속하게 악성 여부를 판단할 수 있다. 이메일의 첨부 파일 및 망연계 전송 파일이 많은 환경에 서 사용이 용이하다. 

 


 

3. 네트워크 트래픽 분석: 

MDS는 C&C 서버, 악성코드 배포 사이트 등 이상 지점에서 발생하는 악성 트래픽을 네트워크 레벨에서 차단한다. 이를 위해, 모든 패킷을 실시간으로 검열해 네트워크 트래픽을 분석하며, 트래픽의 출처와 목적지, IP, URL 등의 정보를 클라우드로 전송하고 평판 정보를 활용해 빠르게 필터링한다. 또한, 외부 공격자로부터 시도되는 공격을 분류하고 내부의 감염 PC에서 외부로 전송되는 악성 패킷도 탐지해낸다. MDS는 탐지한 악성 트래픽을 즉시 차단해 추가적인 연결을 막는다. 

 

4. 이메일 분석: 

MDS는 유입된 이메일에 대해 첨부 파일 동적 분석뿐 아니라 본문 내 악성 URL과 스크립트에 대한 블랙/화이트 리스트 및 평판 정보 기반의 다차원 분석을 수행한다. 

 

첨부 파일의 경우, 앞서 언급한 멀티엔진을 활용해 신속하고 정확하게 분석한다. 이 중, 대부분을 차지하는 문서 파일은 샌드박스 동적 콘텐츠 분석 엔진을 통해 단시간에 대량의 파일을 분석할 수 있다. 

 

이메일 본문에 포함된 링크에 대해서도 다각도의 분석이 진행된다. 다운로드 링크에서 파일을 직접 다운로드하여 이상 여부를 확인하며, 클라우드를 활용한 피싱사이트 분석, 의심 URL 접속을 통한 취약점 공격 사이트 분석도 병행한다. 아울러, 이메일 본문 및 제목 키워드를 분석해 스캠(Scam) 메일도 탐지할 수 있다. 

 

이처럼 다양한 엔진의 분석을 거쳐 악성으로 판별된 이메일은 MDS 솔루션에 격리된다. 

 

5. PC 공격 대응:

MDS는 전용 에이전트(Agent)를 통해 PC 공격 대응의 일환으로 ▲실행 보류 ▲취약점 탐지 & 차단 기능을 제공한다. 

 

우선, MDS 에이전트의 실행 보류(Execution Holding, EH) 기능은 악성 여부가 확인되지 않은 파일 실행을 방지하고 최초 감염에 대한 피해를 예방한다. USB 혹은 다른 경로를 통해 PC에 유입된 파일이 실행되는 시점에 파일의 악성 여부를 분석하고 결과 확인 이후에 실행을 허용하기 때문에 탐지된 악성코드를 감염 전에 선제적으로 대응할 수 있다. 

 

또한, 취약점을 악용해 발생하는 다양한 공격에 대한 탐지 및 대응 기능도 제공한다. 기본적으로 공격에 대한 실시간 모니터링을 수행하며, 감지 시 악성 행위의 발현을 사전에 차단해 사용자는 실행 보류 기능과 유사한 효과를 누릴 수 있다. 또한, MDS 에이전트의 세분화된 예외 처리 기능은 오진 및 사용자가 겪을 수 있는 여러 불편을 최소화한다. 


6. V3 + MDS 통합 에이전트:

MDS 에이전트는 사용자 환경에 따라 V3와 연계하여 통합 에이전트로 동작한다. 알려진 악성코드 및 악성행위는 V3, 알려지지 않은 신․변종 악성코드는 MDS를 통해 탐지 및 대응하는 유기적인 방어 체계를 구축하는 것이다. 타 백신을 사용하는 환경에서는 MDS 에이전트 단독 설치를 지원하는 유연성도 갖추고 있다. 

 

위협 탐지율 99.1%... AhnLab MDS를 주목해야 하는 이유 

MDS 솔루션의 성패는 신․변종 공격 탐지 여부에 달렸다고 해도 과언이 아니다. 다양한 기능을 갖추고 기존의 공격에 효과적으로 대응하는 것도 중요하지만, 점점 고도화되는 새로운 공격을 제대로 탐지할 수 없다면 그 가치가 하락할 수밖에 없다.

 

MDS는 지난 2019년 3분기, 글로벌 보안 평가 기관 ICSA Labs가 실시한 지능형 위협 대응(Advanced Threat Defense, ATD) 테스트에서 알려지지 않은 위협 탐지율 99.1%, 오탐율 0%를 기록하며 모든 평가 항목에서 높은 성적으로 인증을 획득했다. 안랩은 다양한 공격에 효과적으로 대응하기 위한 기능들을 개발하는 동시에 이를 객관적으로 증명하고자 하는 노력을 계속해오고 있다.

 

 

 

이 밖에, AhnLab MDS를 눈 여겨 볼만한 차별화된 장점은 아래와 같다.

● 관리 리소스 최적화: MDS는 구간 별로 탐지되는 모든 위협에 대해 자동 대응 기능을 제공한다. 즉, 사용자는 대응이 완료된 후 확인하고 오탐에 대해서만 복원 조치하면 된다. 

● 비용 효율성: MDS는 ‘올인원(All-in-one)’ 장비를 통해 다양한 구간에서 모니터링, 분석 및 대응을 지원한다. 추가적으로 관리자가 직접 의심 파일 혹은 악성 IP/URL을 분석하는 핀포인트 검사 기능도 활용 가능하며, 타 솔루션과 연동할 수 있는 표준화된 API를 지원한다. 

● 맞춤화된 정책 분리: MDS는 조직 별로 정책을 분리 적용할 수 있다. 조직의 특성에 따라 적합한 정책 강도 적용이 가능하고, 지역별 네트워크 대역폭을 고려해 분석 파일 크기도 관리할 수 있다. 

● 전문 서비스: MDS는 단순히 솔루션만 제공하는 것이라 아니라 안랩 전문가들의 서비스와 연계해 공격에 대응한다. 서비스 종류는 크게 세 가지로, 전문가가 직접 악성코드를 상세하게 분석해 보고서를 제공하는 ‘악성코드 전문가 분석 서비스’, 감염이 의심되는 대상의 침해 내역을 분석해 진단 보고서를 제공하는 ‘의심 시스템 진단 서비스’, 탐지 로그를 분석해 영역별 위험도 및 정책 최적화 가이드를 공유하는 ‘데이터 분석 서비스’가 있다.

 

핵심은 통합과 연계 고도화되는 비즈니스 환경과 새로이 등장하는 위협은 오늘도 보안 담당자들의 어깨를 더욱 무겁게 한다. 앞서 언급했듯, 수 많은 솔루션 운영으로 인한 가시성 및 관리 효율성 저하는 조속히 해결해야 할 과제로 꼽힌다. 

 

이를 해결할 핵심 키워드는 ‘통합’과 ‘연계’다. 이제 네트워크, 엔드포인트, 이메일 등 모든 구간에 각각의 보안 솔루션을 배치해 빈틈 없이 방어하는 것은 거의 불가능에 가깝다. 따라서, 통합 보안 솔루션을 통해 기존 분산된 솔루션을 연계하고 신속하면서도 포괄적인 보안 프로세스를 구축해야 한다. 이 과정에서 조직의 보안 니즈를 명확히 파악한 뒤 적합한 보안 솔루션과 정책을 선택하는 절차가 필수적으로 선행되어야 한다.

 

위 사항들을 성공적으로 실현한다면, 조직의 안전한 보안 환경 조성에 한 걸음 더 다가갈 수 있을 것이다.

 

  • AhnLab 로고
  • EP컨설팅팀 이종현 차장
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

지금 마케팅 안내 수신 동의하고
선물 받아가세요!

이벤트 내용 더 보기
세미나/제품/이벤트 안내

더 알아보기

개인정보 수집 및 이용 동의서

선물 발송을 위해 아래와 같이 개인정보를 수집 및 사용합니다.
동의를 거부할 수 있으나, 동의 거부 시 이벤트 참여가 불가능 합니다.

  1. ㆍ수집 항목 : 이름, 휴대전화번호
  2. ㆍ수집 목적 : 참여자 중복 확인, 공지 발송, 경품 발송
  3. ㆍ보유기간 : 이벤트 종료 후 지체 없이 파기(단, 당첨자의 경우 경품 배송 후 30일)
  4. ㆍ경품 발송 위탁: 쿠프마케팅 (모바일상품권 발송업체)
참여하기
닫기