지적재산 침해 없는 메타데이터 공유, 명성 관리 서비스 제공
[보안뉴스 문가용] 이미 익히 들어와서 알겠지만 정보보안 업계는 멀웨어 탐지에 큰 애를 먹고 있다. 무엇보다 자기뿐 아니라 파트너사의 실수나 결점으로도 보안 공격이 이뤄지는 때인데도 자기 회사 말고는 보안의 여러 가지 기능이나 정책에 별 다른 ‘간섭’을 할 수 없다는 것이 큰 문제로 대두되고 있다.
최근까지 솔루션을 ‘공동으로’ 개발한다는 개념은 ‘소프트웨어의 소유’라는 개념 때문에 많은 장애를 받아왔다. 게다가 공동으로 솔루션을 개발하려면 누구 하나 실수도 없어야 하고 투입되는 소프트웨어에는 오류 하나 없어야 하는데, 그게 어디 현실적인 이야기인가. 그래서 각자 소프트웨어를 개발해 각개전투를 해왔는데, 이는 소프트웨어로 생성되어 소프트웨어에 저장된 지적재산을 보호하는 데에 실패만을 가져왔다.
그런 상황에서 클라우드가 발전하고, 빅 데이터가 출현하니 지적재산은 더욱더 큰 위험에 처하게 되었다. 이런 때 필요한 건? 업계 전체의 보안을 관찰, 평가하고 누구에게나 열려 있는 안티멀웨어 관련 서비스를 만들고 제공할 수 있는 중립적이고 비영리적인 조직의 관할이다. 여기에 약간의 인간미를 더하면 금상첨화.
그런데 그것이 현실로 나타났다. IEEE(국제전기전자기술자협회)의 표준협의회(Standards Association)가 업계의 이런 필요를 재빠르게 파악하고 결과물을 낸 것이다. 이름은 안티멀웨어 지원서비스(Anti-Malware Support Service, AMSS). 현재 여기서이용이 가능하다.
AMSS의 개발은 이미 2009년부터 시작됐다. 그리고 본격적으로 서비스가 시작된 건 벌써 지난 해 말의 일이다. 하지만 아직도 이에 대해 모르는 사람이 더 많은 것 같다. 그래서 이 서비스에 대한 설명을 좀 늘어놓고자 한다. 사실 이 서비스는 많은 사람들이 참가하면 할수록 더욱 강력해지는 특성을 가지고 있는데, 이 기고의 목적이 바로 그것이기도 하다.
AMSS는 한 마디로 지원 서비스 여러 개를 하나로 뭉쳐놓은 것이라고 볼 수 있다. 즉 누군가 단독으로 만든 것일 수가 없는 것으로 실제로 컴퓨터 보안 업계의 ‘메이저 플레이어’들이 굉장히 많이 참여하기도 했다. 하지만 그러면서도 업계 전체는 물론 일개 보안 업체도 멀웨어의 위협에 빠르게 대처할 수 있도록 설계가 되었다.
AMSS의 개발 목적은 ‘위협에 대해 각개전투를 벌이는 것이 아니라 여러 사람이 한꺼번에 대처함으로써 효과를 높인다’는 것에 있다. 어디선가 나타나는 멀웨어가 ‘그 회사의 문제’가 아니라 ‘우리 모두의 문제’로 여기자는 선언과 같다. 방어가 점점 더 ‘공격적이고 능동적인’ 자세를 취해가고 있고 클라우드 기술은 날로 발전해가고 있는 이때에 예를 들어 모두가 깨끗한 파일을 사용하기에 애쓴다는 건 마치 아파트는 공동주택이니 층간소음을 발생시키지 말아야 한다는 것처럼 ‘꼭 지켜야 할 사항’이 되었다. 개 한 마리가 짖으면 아파트 전체가 잠을 못잔다. 누군가의 잘못된 파일 사용 하나가 클라우드 전체 혹은 업계 전체를 위협하는 시대인 것이다.
이런 전체 ‘위생’의 개념이나 공동의 솔루션을 개발하는 것에 있어 가장 극복하기 어렵고, 그럼에도 가장 먼저 극복해야 할 것은 바로 지적재산과 다름없는 정보를 모두와 공유한다는 점이었다. AMSS는 이를 어떻게 해결했을까? 참여자들에게 해시, 파일이름, 버전 정보 등의 메타데이터만 공유하도록 했다. 지적재산은 절대로 침해되지 않도록 했다.
AMSS는 크게 두 가지의 주요 서비스로 구성되어 있다. 하나는 클린 파일 메타데이터 교류(Clean File Metadata Exchange, CMX)이며 또 다른 하나는 태건트 시스템(Taggant System)이다.
CMX는 깨끗한 소프트웨어 메타데이터로의 접근을 실시간으로 제공한다. 소프트웨어가 공개되지 않은 때라도 상관이 없다. 이로써 안티멀웨어 소프트웨어의 긍정오류를 최소화한다. 현재 마이크로소프트는 윈도우 XP부터 10까지 OS와 관련된 메타데이터를 전부 포스팅 하고 있다. 새롭게 공개된 MS의 데이터들은 전부 CMX에 포스팅된다.
CMX 사용자는 크게 두 가지로 분류된다. 제공자와 소비자가 바로 그것이다. 제공자는 소프트웨어 애플리케이션을 최종적으로 공개하는 시점에 메타데이터를 제공한다. 제공자 자격을 얻으려면 초대를 받거나 Class 3 Digital Code Signing 인증서를 보유하고 있어야 한다. CMX는 이 메타데이터를 소비자에게 제공하고, 소비자는 이것을 받아 백엔드 시스템 보안 제품 혹은 다른 프로세싱에 사용한다.
태건트 시스템은 상업적인 소프트웨어 배포 패키징 프로그램 혹은 패커(packer)들이 만든, 패키지화 되고 난독화 처리까지 된 파일 내에 암호학적으로 안전한 ‘마커(marker)’를 심는다. 마커는 사용자가 파일을 만드는 데에 사용한 라이선스 키를 확인한다. 즉 사용자들은 ‘명성’을 얻게 된다. 반대로 라이선스 키에 대한 블랙리스팅 작업도 가능해진다. 멀웨어가 발견된 경우 해당 소프트웨어의 패커들은 태건트 시스템에 등록된다.
태건트 시스템의 사용자는 크게 두 가지로 분류된다. 상업적인 패키징 및 난독화 프로그램을 만드는 소프트웨어 패커 벤더(SPV)와 보안 솔루션을 제공하고 확인하고 블랙리스트와 대조해보는 보안 소프트웨어 벤더(SSV)가 바로 그것이다. 블랙리스트 정보에 접근하려면 태건트 시스템의 IEEE Public Root Key 라이선스를 받아야 한다.
현재 AMSS는 크게 두 가지 서비스를 제공하고 있다. AMSS 웹 페이지를 방문하여 서비스 구독 신청하기를 권장한다. IEEE나 특정 단체가 회원 증가에 따라 이득을 보거나 하지 않으니 안심해도 된다. 다만 한 사람이라도 더 여기에 참여해 더 많은 정보를 공유하면 할수록 우리가 가지고 있는 여러 문제들을 조금이라도 더 빨리 해결할 수 있을 거라는 게 이득이라면 이득이다.
글 : 마크 케네디(Mark Kennedy)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>