NSA, 파괴형 멀웨어 대처법에 대한 보고서 새롭게 발간
사전 예방 강조하긴 했지만 내용이 크게 새롭지는 않아

[보안뉴스 문가용] 예방, 감지, 구금. 이 세 가지는 정보를 노리는 해커들의 공격을 방어할 수 있는 여러 가지 전략의 본질이며 기본이다. 그리고 이는 최근 미국국가안전보장국에서 발간한 보고서를 통해서도 다시 한 번 확인된 바 있다. 바로, 미국국가안전보장국(이하 NSA)의 정보보장국에서는 이번 소니 사태로 불거진 ‘파괴형 멀웨어’에 의한 피해를 어떻게 막을 것인가에 대한 연구를 진행해 발간한 보고서다. 아래에 내용을 요약하겠지만 이번 보고서의 전체 기조는 ‘사태 후 수습보다 사전 능동성이 더 필요하다’는 것이다.

“높은 권한을 가진 계정을 탈취하는 등 한 조직의 네트워크에 대한 제어권을 해커가 취득하게 될 경우, 그 네트워크 안에 있는 데이터를 훔쳐가거나 지우는 건 일도 아닙니다”라고 NSA는 보고서를 통해 말을 꺼냈다. 그리고 몇 가지 방어에 필요한 대안을 제시했는데, 이에는 이미 널리 알려진 것들도 포함되어 있다. 또한 능동성을 강조하고 있긴 하지만 최악의 상황을 시나리오로 만들어 그에 대한 대비를 하는 것도 꼭 필요하다고 NSA는 강조하고 있다.

피해를 줄여주는 툴들도 존재한다고 보고서에는 적혀있지만 공격자가 권한이 높은 계정 혹은 권한 자체를 아예 가질 수 없도록 하는 편이 훨씬 효율이 좋다는 점을 언급하고 있다. “공격을 일찍 감지하면 할수록 그 공격에 대한 피해를 줄이고 대처하기가 쉽습니다. 그러므로 피해 규모가 훨씬 줄어들 수밖에 없죠.”

NSA가 제안하는 전략 및 행동 지침 중 몇 가지는 사실 이전 NSA의 보고서에서도 등장하는 것들이다. 간략하게 소개해본다.
- 네트워크 시스템과 기능부를 분리시킨다. 공격이 한 부분을 통해 들어왔을 때 나머지 부분에도 쉽사리 들어가지 못하도록 하는 것이다.
- 관리자 권한을 가진 계정을 최소화시키고 잘 보호한다.
- 애플리케이션의 화이트리스트를 관리한다. 그러면 악성 코드의 실행을 방지할 수 있다.
- 워크스테이션 대 워크스테이션의 커뮤니케이션을 최소화 한다. 그래야 공격 경로가 줄어든다.
- 네트워크 주변부에도 방화벽을 설치하고 애플리케이션 층위를 관장하는 방화벽도 설치한다. 포워드 프록시와 샌드박싱, 혹은 다이내믹 트래픽과 코드 분석도 실행한다.
- 호스트 및 네트워크의 로깅을 모니터링한다.
- 패스 더 해시(pass the hash : 해킹 기술의 일종) 피해를 감소시킬 수 있는 장치를 설치한다.
- MS의 EMET을 실행하거나 비슷한 안티익스플로잇 키트를 실행한다.
- 백신 서비스를 적극 활용해서 기존의 백신 프로그램으로 찾을 수 없었던 것까지 잡아낸다.
- 호스트 침입 방지 시스템을 운영한다.
- 업데이트와 패치는 주기적으로 한다.

그러나 사전 예방이 늘 성공하는 건 아니며 그렇기에 사건 대응팀의 역할도 필수불가결의 요소이다. NSA는 이런 사건 대응팀의 운영에 대해 “사건 대응 계획과 일반 실험 계획을 모두 갖추는 것에서부터 출발해야”한다고 밝혔다. “오프라인 백업을 하고 평소에도 훈련이 잘된 사건 대응 팀이 있는 회사는 피해 규모를 대폭 줄일 수 있으며 빠르게 사업이나 웹 서비스를 원래대로 돌려놓을 수 있습니다.”

보고서 원문은 여기에서 열람이 가능하다.
@DARKReading
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>