이상행위 탐지엔진 XBA ① 악성코드와 사이버 위협

Introduction

최근까지 사이버 위협에 대한 우리의 주된 대응 방식은 방어였습니다. 피해가 발생한 이후에서야 위협 분석, 방어 솔루션 또는 체계를 구축하기 시작하였습니다. PC를 포함하는 내부 자원이 외부 네트워크와 연결되면서 신규 위협이 발생하였고, 이를 방어하기 위해 방화벽이 개발되었습니다. 또한 악성코드가 시스템에 위험을 초래하자 안티바이러스(AV, Anti-Virus)를 개발하였습니다.

하지만 이러한 대응 방식은 특정 위협에만 제한적으로 효과적입니다. 지능형 지속 위협(APT, Advanced Persistent Threat) 등 복합적인 위협이 발생하는 경우 감지 및 대응이 어렵습니다. AV는 파일 기반의 알려진 악성코드에만 대응할 수 있습니다. 방화벽은 외부에서 내부로, 또는 내부에서 외부로 향하는 트래픽을 조사하고 통제할 수 있지만, 이미 내부로 침투한 공격에 대해서 아무런 대응을 할 수 없습니다.

SK인포섹의 ‘보안 위협 전망 보고서’에 따르면 보안 위협의 대상이 확장되고, 다양한 공격이 결합된 형태로 발전할 것이라고 예상하고 있습니다(상세한 사항은 그림1 참조).

우리가 이러한 공격에 대응하려면 모든 위협 포인트를 분석하고 대응할 수 있는 방법을 찾아야 합니다. 그러나 발생할 수 있는 모든 위협 포인트를 미리 예측할 수도 없으며, 공격자들은 신규 또는 변종의 공격 방법을 계속 생산해내고 있습니다.

I. 악성코드(Malware)와 위협의 증가

악성코드의 폭발적인 증가로 보안 관리자 및 보안 업체는 심각한 문제에 직면하였습니다. 매시간 수천에서 수만 개에 이르는 악성코드를 처리함에도 불구하고 더 많은 신종 악성코드가 만들어지고 있습니다. AV 제품을 테스트하고 있는 AV-test.org에 따르면 지난 2018년 한 해, 매일 35만 개의 악성코드가 수집되었다고 합니다(그림2 참조).

또 다른 문제는 악성코드의 전파 범위가 축소되고 있다는 점입니다. 글로벌 보안 업체 시만텍(Symantec)에서 발표한 내용에 따르면 APT 공격에 사용된 악성코드의 75%가 50대 이하의 컴퓨터에서 발견되었다고 합니다. 이렇게 악성코드의 전파 범위가 작으면 해당 악성코드의 수집이 어려워지며, 이것은 AV 엔진에 반영되기 어렵다는 것과 같은 의미로 해석될 수 있습니다.

이러한 특징은 랜섬웨어에도 동일하게 나타나고 있습니다. 과거 공격자들은 불특정 다수에게 랜섬웨어를 유포하는 방식을 선호하였습니다. 그러나 최근에는 불특정 다수보다 특정 기업을 목표로 하는 표적형 랜섬웨어가 빠르게 증가하고 있습니다. 2019년 초 세계 최대 알루미늄 제조사인 노르스크 하이드로(Norsk Hydro)를 대상으로 한 랜섬웨어 공격이 대표적입니다.

기업은 주요 정보의 복구 및 생산성 유지를 위해 막대한 복구비용을 집행하거나 어쩔 수 없이 몸값을 지불하는 경우가 많으며, 공격자는 성공률 및 수익이 높기 때문에 이러한 방식으로 공격 형태가 바뀌고 있는 추세입니다.

II. 악성코드 없는 위협의 증가 (Fileless, Non-Malware)

악성코드와 함께 주목해야 하는 보안 위협이 등장하였습니다. 그것은 파일리스(Fileless) 공격입니다. 이것은 메모리에 바로 탑재(로드)되어 악성 행위를 수행합니다. 따라서 저장되어 있는 파일들을 탐지하는 일반적인 AV로는 해당 공격을 찾기가 어렵습니다. 이미 승인된 애플리케이션을 이용하기 때문에 화이트 리스트(White List) 기반의 보안 솔루션을 우회할 수도 있습니다. 브라우저의 취약성을 이용하거나 Microsoft Word 매크로 또는 파워셸(Powershell) 유틸리티를 이용한 공격이 대표적인 사례입니다.

크라우드 스트라이크(CrowdStrike)는 보고서에서 성공한 10개의 공격 중 8개의 공격이 파일 리스 공격에 의한 것이라 밝히고 실제 파일 리스 공격의 사례를 소개하고 있습니다(상세한 사항은 3페이지 참조).

이러한 파일리스 공격은 증가하는 추세이며, 더욱 정교해지고 있습니다. Carbon Black은 침해 사고의 52%가 파일리스 공격에 의해 이루어졌다고 밝혔습니다. 가트너의 보안 분석가 아비바 리탄은 “파일 리스 악성코드 공격은 훨씬 더 보편화되고 있으며, 오늘날 배포되는 대부분의 엔드포인트 보호 및 탐지 도구를 우회한다”라고 말했습니다. 이러한 파일리스 공격은 다음 편에서 설명될 횡적 확산(Lateral Movement)과도 밀접한 관계가 있습니다.

지니언스는 COVID-19 시대 & 포스트 COVID-19시대에 행위 정보를 실시간 모니터링 하여 물리적 보안에서 CCTV를 통해 방어하듯이, 정보 보안에서도 실시간 행위 정보를 모니터링 하여 전체 시스템의 가시성을 확보하고, 이상행위를 탐지하고 대응할 수 있어야 한다고 생각합니다.

이러한 대응에 대한 해답 EDR 솔루션 , ‘이상행위 탐지엔진 XBA ② Genian 인사이츠E’를 다음 편에서 본격적으로 소개 합니다. 많이 기대해주세요!!!