2사분기 멀웨어 세계에 나타난 트렌드는 뚜렷했다. 암호화 트래픽을 이용하고, 리패키징 기술을 이용하고, 스크립트 기술을 이용하는 것이다. 이 세 가지 흐름에는 공통적인 목적과 동기가 존재한다.
[보안뉴스 문가용 기자] 암호화 처리된 네트워크 트래픽을 탐지하는 대책을 마련하지 못할 경우, 멀웨어들에 감염될 가능성이 매우 높은 것으로 조사됐다. 보안 업체 워치가드 테크놀로지스(WatchGuard Technologies)가 조사한 바에 따르면 2021년 2사분기에 탐지된 멀웨어의 91.5%가 HTTPS 기반 트래픽을 통해 피해자의 시스템을 감염시켰다고 한다. 하지만 HTTPS 트래픽을 복호화 해서 스캔할 수 있는 조직은 20% 불과했다.
[이미지 = utoimage]
워치가드의 CSO인 코리 나크라이너(Corey Nachreiner)에 따르면 네트워크 기반 HTTPS 복호화 기술을 도입한 조직이 많지 않은 이유는 “어렵기 때문”이라고 설명한다. “네트워크 기반 복호화 기술을 도입한다는 건 암호화 처리된 트래픽을 안전하게 보호해 주는 HTTPS 인증서들을 망가트린다는 뜻이 됩니다. 근데 그러면 안 되죠. HTTPS 인증서는 그대로 유지하면서 다른 중간자 혹은 최고 신용기관 인증서 확인 과정을 추가로 도입해야 합니다.”
HTTPS 인증서의 작동 방식을 유지하면서 다른 인증서들을 기존 인증 프로세스에 삽입하는 건 네트워크 상황에 따라 대단히 어려울 수도 있고 비교적 간단할 수도 있다고 나크라이너는 설명한다. “기술적인 설명을 다 뒤로하고 간단히 말하자면 처음 구축 단계에서는 꽤나 복잡한 작업을 수행하긴 해야 합니다. 그리고 구축한 것이 모든 상황에서 적절하게 작동하도록 한 동안 모니터링도 하고, 예외 규정도 설정해야 합니다. 많은 조직들이 손 댈 엄두를 못 내는 것에는 이유가 있습니다. 그러나 한 번 구축해 놓으면 네트워크가 상당히 안정적으로 변합니다.”
물론 암호화 트래픽을 모니터링 할 수 있게 되는 것 자체만으로 보안의 잠재력이 각성하여 깨어나는 건 아니다. 워치가드가 조사한 바에 따르면 “최근 멀웨어들이 거의 전부 암호화 트래픽에 숨어 들어오”며, 따라서 트래픽을 들여다볼 수 있게 됨으로써 멀웨어 방어 능력이 크게 올라가는 건 분명하다. “암호화 트래픽에 숨는 것만으로 탐지가 되지 않으니 각종 멀웨어들이 판을 칩니다. 지금은 그래서 게임이 성립되지 않는 수준입니다.”
게다가 스크립트 기반 멀웨어 혹은 파일레스 멀웨어도 급증하고 있다. 2020년 한 해 동안 발견된 모든 파일레스 멀웨어 공격의 80%가 이미 올 상반기 안에 다 일어났다. 2사분기의 경우 2020년 2사분기에 비해 파일레스 공격이 2배 늘어났다. 결국 탐지를 피하기 위한 공격자들의 기술력이 현재 최고 수준에 달하다시피 했는데, 방어자들은 암호화 트래픽 탐지 능력조차 갖추고 있지 않은 상태라는 것이다. “하드에 저장된 파일만 주구장창 분석해 봐야 소용이 없는 시대라는 뜻입니다.”
2사분기의 또 다른 특징은 제로데이 멀웨어가 1사분기에 9% 줄어들었다는 것이다. “하지만 그것만 봐서는 안 됩니다. 왜냐하면 2사분기에 발견된 멀웨어 샘플 전체의 64%가 여전히 제로데이 멀웨어였거든요. 제로데이 멀웨어라는 건 이전에 나타나지 않았던, 즉 전통적인 시그니처 기반 탐지 도구들이 알아보지 못하는 멀웨어를 말합니다. 시그니처 기반 백신에 의존하는 걸 추천하지 않는 이유가 바로 이것입니다.”
나크라이너는 제로데이 멀웨어를 만드는 일이 하나도 어렵지 않다고 설명한다. “멀웨어 리패키지 기술이 엄청나게 발전한 상황입니다. 자동으로 다 됩니다. 과거에 사용됐던 멀웨어라도 이 자동 리패킹 과정만 거치면 새로운 멀웨어가 됩니다.”
암호화 트래픽에 숨어드는 멀웨어가 늘어나고, 제로데이 멀웨어가 늘어나고, 파일레스 멀웨어가 늘어난다는 건 결국 “탐지의 난이도가 매우 높아지고 있다는 뜻”이라고 나크라이너는 정리한다. “멀웨어 방어를 위해서는 탐지 기술을 새로 도입해야 하는 상황입니다. 지금이 딱 그 과도기라고 봅니다. 그래서 머신러닝이나 행동 패턴 분석 기술에 기반을 둔 탐지 방법론들이 자꾸 거론되는 것입니다. 우리는 숨바꼭질을 하려고 하는데, 상대는 투명인간이 되는 묘약을 들고 나타난 것과 같습니다.”
3줄 요약
1. 암호화 트래픽 속에 몰래 끼어서 들어오는 멀웨어 많아짐.
2. 파일레스 멀웨어가 많아짐.
3. 제로데이 멀웨어가 많아짐.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 암호화 처리된 네트워크 트래픽을 탐지하는 대책을 마련하지 못할 경우, 멀웨어들에 감염될 가능성이 매우 높은 것으로 조사됐다. 보안 업체 워치가드 테크놀로지스(WatchGuard Technologies)가 조사한 바에 따르면 2021년 2사분기에 탐지된 멀웨어의 91.5%가 HTTPS 기반 트래픽을 통해 피해자의 시스템을 감염시켰다고 한다. 하지만 HTTPS 트래픽을 복호화 해서 스캔할 수 있는 조직은 20% 불과했다.
[이미지 = utoimage]
워치가드의 CSO인 코리 나크라이너(Corey Nachreiner)에 따르면 네트워크 기반 HTTPS 복호화 기술을 도입한 조직이 많지 않은 이유는 “어렵기 때문”이라고 설명한다. “네트워크 기반 복호화 기술을 도입한다는 건 암호화 처리된 트래픽을 안전하게 보호해 주는 HTTPS 인증서들을 망가트린다는 뜻이 됩니다. 근데 그러면 안 되죠. HTTPS 인증서는 그대로 유지하면서 다른 중간자 혹은 최고 신용기관 인증서 확인 과정을 추가로 도입해야 합니다.”
HTTPS 인증서의 작동 방식을 유지하면서 다른 인증서들을 기존 인증 프로세스에 삽입하는 건 네트워크 상황에 따라 대단히 어려울 수도 있고 비교적 간단할 수도 있다고 나크라이너는 설명한다. “기술적인 설명을 다 뒤로하고 간단히 말하자면 처음 구축 단계에서는 꽤나 복잡한 작업을 수행하긴 해야 합니다. 그리고 구축한 것이 모든 상황에서 적절하게 작동하도록 한 동안 모니터링도 하고, 예외 규정도 설정해야 합니다. 많은 조직들이 손 댈 엄두를 못 내는 것에는 이유가 있습니다. 그러나 한 번 구축해 놓으면 네트워크가 상당히 안정적으로 변합니다.”
물론 암호화 트래픽을 모니터링 할 수 있게 되는 것 자체만으로 보안의 잠재력이 각성하여 깨어나는 건 아니다. 워치가드가 조사한 바에 따르면 “최근 멀웨어들이 거의 전부 암호화 트래픽에 숨어 들어오”며, 따라서 트래픽을 들여다볼 수 있게 됨으로써 멀웨어 방어 능력이 크게 올라가는 건 분명하다. “암호화 트래픽에 숨는 것만으로 탐지가 되지 않으니 각종 멀웨어들이 판을 칩니다. 지금은 그래서 게임이 성립되지 않는 수준입니다.”
게다가 스크립트 기반 멀웨어 혹은 파일레스 멀웨어도 급증하고 있다. 2020년 한 해 동안 발견된 모든 파일레스 멀웨어 공격의 80%가 이미 올 상반기 안에 다 일어났다. 2사분기의 경우 2020년 2사분기에 비해 파일레스 공격이 2배 늘어났다. 결국 탐지를 피하기 위한 공격자들의 기술력이 현재 최고 수준에 달하다시피 했는데, 방어자들은 암호화 트래픽 탐지 능력조차 갖추고 있지 않은 상태라는 것이다. “하드에 저장된 파일만 주구장창 분석해 봐야 소용이 없는 시대라는 뜻입니다.”
2사분기의 또 다른 특징은 제로데이 멀웨어가 1사분기에 9% 줄어들었다는 것이다. “하지만 그것만 봐서는 안 됩니다. 왜냐하면 2사분기에 발견된 멀웨어 샘플 전체의 64%가 여전히 제로데이 멀웨어였거든요. 제로데이 멀웨어라는 건 이전에 나타나지 않았던, 즉 전통적인 시그니처 기반 탐지 도구들이 알아보지 못하는 멀웨어를 말합니다. 시그니처 기반 백신에 의존하는 걸 추천하지 않는 이유가 바로 이것입니다.”
나크라이너는 제로데이 멀웨어를 만드는 일이 하나도 어렵지 않다고 설명한다. “멀웨어 리패키지 기술이 엄청나게 발전한 상황입니다. 자동으로 다 됩니다. 과거에 사용됐던 멀웨어라도 이 자동 리패킹 과정만 거치면 새로운 멀웨어가 됩니다.”
암호화 트래픽에 숨어드는 멀웨어가 늘어나고, 제로데이 멀웨어가 늘어나고, 파일레스 멀웨어가 늘어난다는 건 결국 “탐지의 난이도가 매우 높아지고 있다는 뜻”이라고 나크라이너는 정리한다. “멀웨어 방어를 위해서는 탐지 기술을 새로 도입해야 하는 상황입니다. 지금이 딱 그 과도기라고 봅니다. 그래서 머신러닝이나 행동 패턴 분석 기술에 기반을 둔 탐지 방법론들이 자꾸 거론되는 것입니다. 우리는 숨바꼭질을 하려고 하는데, 상대는 투명인간이 되는 묘약을 들고 나타난 것과 같습니다.”
3줄 요약
1. 암호화 트래픽 속에 몰래 끼어서 들어오는 멀웨어 많아짐.
2. 파일레스 멀웨어가 많아짐.
3. 제로데이 멀웨어가 많아짐.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
