인공지능의 발전으로 주춤한 탐지 기술 발전에 다시 순풍 예상
[보안뉴스 문가용] 증거값 혹은 signature라는 말이 정보보안 업계 사람들에게서 점점 멀어지고 있다. 그렇다고 증거값 분석 기술이 최근 정보보안에서 배척되고 있는 것도 아닌데 말이다. 그렇다고 기업들이 소비자들을 속이고 있는 건 아니다. 증거값 분석이라는 게 조금씩 변하고 있는데, 이를 구구절절이 설명하는 것보다 새로운 단어로 대체하는 게 훨씬 더 쉬울 뿐이다.
지난 수년 동안 증거값에 기반을 두었던 시스템들은 모두 변화하고 발전했다. 하지만 그 핵심 개념만은 아직도 현대의 최첨단 탐지 시스템에 고스란히 남아있다. 그리고 아마 당분간은 계속해서 그럴 것이다. 그렇다면 증거값에 기반을 둔 시스템이 무엇인지를 이해해야 하는데, 이는 탐지라는 것이 어떤 식으로 변화해왔는지를 이해해야만 한다.
1차원 증거값 : 증거값을 기반으로한 탐지 시스템 중 가장 1차원적인 것을 꼽으라면 단연 블랙리스트와 화이트리스트 기법이다. 이 방법은 거의 모든 탐지 및 보호 시스템에 어떤 형태로든 적용되고 있다. 가장 빠르고 가장 효과적인 데이터 분류 기법 중 하나다. 직관적이기도 하다. 이 목록에 있느냐 없느냐 둘 중 하나만 판단하면 되기 때문이다.
2차원 증거값 : 정규표현식(regular expression)과 스트링 매칭(string matching)이 가장 좋은 예라고 할 수 있다. 안티멀웨어, 침입 탐지, 데이터 유출 탐지 시스템의 핵심 기능이며 가장 기본이 되는 바탕이다. 2차원 증거값은 바이너리 파일을 검색해 알려진 스트링을 찾아낸다. 그럼으로써 어떤 유형의 위협인지를 판단한다. 특히 네트워크에 적용되는 위협을 탐지할 때 효과적인 것으로 알려져 있다. 또한 이미 잘 알려진 익스플로잇 및 해킹 기법에 두 번 당하지 않도록 하는 데에도 효과적이다.
데이터 유출 방지(DLP) 시스템은 2차원 증거값 시스템 중 비교적 최신이라고 부를 만한 보안 기술로 메시지와 첨부파일을 스캐닝해서 특정 스트링의 유무를 판별하거나 구축 형식(construction format)을 파악한다. 예를 들어 주민등록번호의 구축 형식이라면 nnnnnn-nnnnnnn일 수 있겠고, 생년월일이라면 nnnn-nn-nn가 될 수 있는데, 파일이나 트래픽에 이런 형식의 문자열이나 내용이 있는지를 파악하는 것이다.
다차원 증거값 : 보안업체들은 위협의 방식과 종류가 다양해지고 공격자들의 자신의 공격을 여러 방법으로 감춤에 따라 하이브리드 시스템을 개발하기에 이르렀다. 즉 1차원, 2차원 증거값 탐지 방식을 해커들이 넘어서게 되었다는 것이다. 그래서 한 가지 증거값에 반응을 하는 것이 아니라 다차원적으로 여러 요소들을 살피고 고려하는 탐지 기법들이 나오기 시작했다. 샌드박싱과 네트워크 행동 모니터링 기법 등이 좋은 예다.
증거값 기반 시스템의 특징은 빠르게 위협을 알아채고 그것의 정체를 밝히는 것이다. 이미 가지고 있던 블랙리스트에 비교를 해보든, 스트링 데이터베이스와 매칭을 시켜보든, 네트워크 안에서 이뤄지는 행위들을 모니터링 하든, 아무튼 제때 발견해 올바로 분류해내는 것이 그 존재의의라는 것이다.
이런 증거값 기반 시스템들이 발전하면 할수록 당연히 더 많은 위협들을 빠르고 올바르게 탐지할 수 있게 되었다. 또한 다양한 증거값 기반 시스템을 함께 사용해 생각지도 못한 시너지를 내기도 한다. 그러나 증거값 시스템이 완벽한 건 아니다. 일단 경보가 대단히 많이 발생한다. 경보만 처리하고 분석하는 데에 사실 보안팀이 총력을 기울여야 될 정도라, 다른 일을 할 수가 없다. 증거값 기반 시스템이 ‘좋기는 하나 부담스러운’ 이유다.
또, 이런 증거값 기반 시스템은 다른 면에서도 인력을 반드시 필요로 한다. 새롭게 추가되는 위협에 대해 엔지니어나 보안 전문가가 고유의 증거값을 만들어 붙여야 하기 때문이다. 저 먼 옛날 아담이라는 인물이 동물들에게 최초의 이름을 쭉 붙였다고 하는데, 엔지니어가 위협이 새롭게 등장할 때마다 이런 역할을 해야 한다는 것. 그러므로 해커들이 새로운 위협거리를 만들어내면 낼수록 이런 역할을 해야 하는 전문가가 더 필요하게 된다. 하지만 어디 사람 늘리기가 말처럼 그리 쉬운가.
덕분에 증거값을 기반으로 한 탐지기법은 현존하는 거의 모든 탐지 기법의 핵심과 근간을 이루고 있으나 인력부족으로 인해 위기를 맞고 있다. 그런데 머신 러닝이라는 ‘학습하는 기계’ 기술이 점점 발전하기 시작하면서 새로운 희망이 보이기 시작했다. 다차원 증거값 탐지 방식이 현대의 산물이라면, 곧이어 인공지능 증거값 탐지 기능이 나올 차례다. 마침 경제적인 이유와도 맞물리기 때문에 증거값 탐지 기능 산업은 중흥기를 맞이할 것으로 보인다.
글 : 건터 올만(Gunter Ollmann)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>