샌드박스가 각광받은 것도 벌써 10년 전의 일이다. 당시는 보안의 구세주로 떠올랐었다. 하지만 해커들이 가만히 있을 리 없다. 이미 여러 가지 파훼법이 나와 있는 상태다. 샌드박스에 대해 다시 한 번 생각해 볼 시점이다.
[보안뉴스 문가용 기자] 한 때 샌드박스 기술은 보안 업계에서 가장 기대를 한 몸에 받는 존재였다. 보안 전문가들 사이에서 널리 사용되고 있으며, 엔드포인트 탐지 및 대응 장치나 차세대 백신 등 각종 솔루션에도 임베드 되어 있다. 샌드박스 기술로 소프트웨어 개발을 하기도 하고, 정확히 뭔지 모르는 소프트웨어를 실험할 때도 샌드박스 기술을 사용한다. 샌드박스 시장은 2022년에 90억 달러로 성장할 것이라고 예견되고 있다.
[이미지 = utoimage]
하지만 가만히 생각해 보면 샌드박스라는 기술은 초창기의 약속을 제대로 지키지 못하고 있다. 샌드박스 기술의 약속은 무엇이었는가? 미지의 정체를 밝혀내는 것이었다. 하지만 오늘 날의 샌드박스 기술로도 탐지하지 못하는 위협들이 존재하고, 이 때문에 샌드박스만 믿고 있다가 뒤통수를 맞는 조직들이 적잖이 존재한다. 우리는 어느 정도나 샌드박스에 의존할 수 있는 것일까? 필자는 현 시점에서 샌드박스란 기술의 의의를 짚어보고자 한다.
샌드박스는 애플리케이션들이 시스템 자원과 데이터에 접근하지 못하도록 막는 역할을 담당한다. 그러므로 멀웨어 분석과 탐지를 능동적으로 시행할 수 있는 근간이 된다. 마치 방호 시설에서 폭탄의 위력을 마음껏 실험해 보는 것과 같다. 샌드박스 안에서 악성 코드들은 그 실체를 낱낱이 노출시킨다. 정적 분석과 동적 분석 모두 샌드박스가 있어서 안전하게 시행할 수 있게 된다. 요즘 나오는 샌드박스들은 위협을 탐지하고 제거하는 기능까지 갖추고 있다.
이렇기 때문에 약 10년 전 샌드박스는 화려한 조명을 받으며 온 보안 업계의 구원자처럼 두각을 나타내기 시작했다. 모든 보안 문제를 완벽히 해결해 줄 만한 마법과 같은 존재로서 인식되기 시작했다. 하지만 세상 모든 보안 솔루션은 공격자들의 철저한 분석에 당할 수밖에 없는 존재들이다. 샌드박스 역시 공격자들의 공략에 노출되기 시작했다. 그리고 지금, 모든 소프트웨어가 그렇듯 공략이 가능한 보안 솔루션 중 하나로 전락했다.
지금 시점에서 샌드박스를 무조건적으로 믿고 신뢰한다는 건 매우 불안전한 것이라고 말할 수 있다. 샌드박스만으로 보안 문제를 해결하기 힘든 때라는 것이다. 그 이유는 다음과 같다.
1) 수사 및 조사에 샌드박스를 활용하는 건 여전히 괜찮은 일이다. 하지만 위협 탐지에 있어서 샌드박스는 그리 안정적이지 않다. 샌드박스에서의 탐지에는 어느 정도의 시간이 필요하다. 멀웨어를 실제로 실행해서 악성 행위가 실제로 발동되도록 해야 하기 때문이다. 따라서 분석할 멀웨어 및 수상한 프로그램이 수도 없이 밀려드는 요즘과 같은 때에 샌드박스를 탐지 도구로서 활용하는 건 비효율적이다. 이미 멀웨어인 걸 아는 상태에서 조사와 분석을 이어가기에는 효과적인 도구다.
2) 샌드박스 탈출은 현대의 공격자들에게 그리 어렵지 않은 일이 됐다. 현존하는 익스플로잇들 중 권한 상승을 가능하게 하는 것이 셀 수 없을 정도로 많은데, 대부분이 윈도 커널과 관련이 되어 있는 것들이다. 커널 권한을 가져가게 되면 샌드박스를 탈출하는 게 가능하며, 공격자들 입장에서 권한 상승 익스플로잇 방법을 다크웹에서 찾아 구매하는 건 매우 간단한 일이다.
3) 샌드박스는 소셜엔지니어링 공격에 취약하다. 거의 모든 샌드박스 환경은 특정 사용자의 권한 아래 관리된다. 즉 관리를 담당하고 있는 사용자 한 명을 꼬드기거나 속여서 어떻게 해서든 특정 소프트웨어가 샌드박스를 통과하지 않도록 하면 아무리 튼튼한 샌드박스도 무력화 된다. 이는 소셜엔지니어링 공격을 통해 가능하게 되며, 사이버 공격자들은 소셜엔지니어링에 능수능란하다.
4) 샌드박스 인터페이스들은 불완전하다. 샌드박스 환경을 처음 다뤄보는 사람이나, 너무 익숙해서 조심성이 많이 사라진 사용자가 클릭 한 번 잘못하면 각종 멀웨어가 샌드박스라는 감옥에서 해방될 수 있다.
5) 최근 나오는 멀웨어들은 회피 탐지 및 우회 기술을 기본적으로 갖추고 있다. 지난 수년 동안 해커들이 연구한 결과다. 각종 난독화 기술을 가진 멀웨어들은 마우스와 키보드를 통한 입력 패턴을 분석해 샌드박스 환경임을 재빨리 간파한다. 그리고 작동을 멈춘다. 샌드박스를 피해서 호스트 환경에 직접 침투하기도 한다.
그렇다고 필자가 샌드박스의 폐지를 주장하는 건 아니다. 샌드박스가 무용지물이라고 말하는 것도 아니다. 다만 샌드박스라는 기술 역시 해커와 보안 업계 사이의 ‘군비 경쟁’에서 자유롭지 않다고 강조하는 것뿐이다. 우리는 늘 해커들보다 한 단계 우위에 서 있어야 하는데, 지금 상태의 샌드박스로는 그럴 수 없다. 그들이 지금은 현존하는 샌드박스보다 한 단계 위에 서 있는 상태다. 우리가 더 위에 서려면 방금 언급한 5가지 문제를 해결해야 한다.
그 때까지는 샌드박스를 방어 시스템의 기본 뼈대로서 갖추고 있는 모든 조직들이 ‘샌드박스는 현재 불안전한 기술이다’라는 점을 인지해야 한다. 그리고 그 사실을 바탕으로 새로운 방어 아키텍처를 구성해야 한다. 지금의 샌드박스가 해커들보다 한 발 앞서 나간다 하더라도 그 시간은 길지 않을 것이다. 해커들은 또 다시 연구를 통해 또 다시 치고나갈 것이기 때문이다. 우리는 장기적인 안목을 가지고 샌드박스를 보완하고 또 보안해야 한다.
글 : 질라드 데이비드(Gilad David), IT Writer
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 한 때 샌드박스 기술은 보안 업계에서 가장 기대를 한 몸에 받는 존재였다. 보안 전문가들 사이에서 널리 사용되고 있으며, 엔드포인트 탐지 및 대응 장치나 차세대 백신 등 각종 솔루션에도 임베드 되어 있다. 샌드박스 기술로 소프트웨어 개발을 하기도 하고, 정확히 뭔지 모르는 소프트웨어를 실험할 때도 샌드박스 기술을 사용한다. 샌드박스 시장은 2022년에 90억 달러로 성장할 것이라고 예견되고 있다.
[이미지 = utoimage]
하지만 가만히 생각해 보면 샌드박스라는 기술은 초창기의 약속을 제대로 지키지 못하고 있다. 샌드박스 기술의 약속은 무엇이었는가? 미지의 정체를 밝혀내는 것이었다. 하지만 오늘 날의 샌드박스 기술로도 탐지하지 못하는 위협들이 존재하고, 이 때문에 샌드박스만 믿고 있다가 뒤통수를 맞는 조직들이 적잖이 존재한다. 우리는 어느 정도나 샌드박스에 의존할 수 있는 것일까? 필자는 현 시점에서 샌드박스란 기술의 의의를 짚어보고자 한다.
샌드박스는 애플리케이션들이 시스템 자원과 데이터에 접근하지 못하도록 막는 역할을 담당한다. 그러므로 멀웨어 분석과 탐지를 능동적으로 시행할 수 있는 근간이 된다. 마치 방호 시설에서 폭탄의 위력을 마음껏 실험해 보는 것과 같다. 샌드박스 안에서 악성 코드들은 그 실체를 낱낱이 노출시킨다. 정적 분석과 동적 분석 모두 샌드박스가 있어서 안전하게 시행할 수 있게 된다. 요즘 나오는 샌드박스들은 위협을 탐지하고 제거하는 기능까지 갖추고 있다.
이렇기 때문에 약 10년 전 샌드박스는 화려한 조명을 받으며 온 보안 업계의 구원자처럼 두각을 나타내기 시작했다. 모든 보안 문제를 완벽히 해결해 줄 만한 마법과 같은 존재로서 인식되기 시작했다. 하지만 세상 모든 보안 솔루션은 공격자들의 철저한 분석에 당할 수밖에 없는 존재들이다. 샌드박스 역시 공격자들의 공략에 노출되기 시작했다. 그리고 지금, 모든 소프트웨어가 그렇듯 공략이 가능한 보안 솔루션 중 하나로 전락했다.
지금 시점에서 샌드박스를 무조건적으로 믿고 신뢰한다는 건 매우 불안전한 것이라고 말할 수 있다. 샌드박스만으로 보안 문제를 해결하기 힘든 때라는 것이다. 그 이유는 다음과 같다.
1) 수사 및 조사에 샌드박스를 활용하는 건 여전히 괜찮은 일이다. 하지만 위협 탐지에 있어서 샌드박스는 그리 안정적이지 않다. 샌드박스에서의 탐지에는 어느 정도의 시간이 필요하다. 멀웨어를 실제로 실행해서 악성 행위가 실제로 발동되도록 해야 하기 때문이다. 따라서 분석할 멀웨어 및 수상한 프로그램이 수도 없이 밀려드는 요즘과 같은 때에 샌드박스를 탐지 도구로서 활용하는 건 비효율적이다. 이미 멀웨어인 걸 아는 상태에서 조사와 분석을 이어가기에는 효과적인 도구다.
2) 샌드박스 탈출은 현대의 공격자들에게 그리 어렵지 않은 일이 됐다. 현존하는 익스플로잇들 중 권한 상승을 가능하게 하는 것이 셀 수 없을 정도로 많은데, 대부분이 윈도 커널과 관련이 되어 있는 것들이다. 커널 권한을 가져가게 되면 샌드박스를 탈출하는 게 가능하며, 공격자들 입장에서 권한 상승 익스플로잇 방법을 다크웹에서 찾아 구매하는 건 매우 간단한 일이다.
3) 샌드박스는 소셜엔지니어링 공격에 취약하다. 거의 모든 샌드박스 환경은 특정 사용자의 권한 아래 관리된다. 즉 관리를 담당하고 있는 사용자 한 명을 꼬드기거나 속여서 어떻게 해서든 특정 소프트웨어가 샌드박스를 통과하지 않도록 하면 아무리 튼튼한 샌드박스도 무력화 된다. 이는 소셜엔지니어링 공격을 통해 가능하게 되며, 사이버 공격자들은 소셜엔지니어링에 능수능란하다.
4) 샌드박스 인터페이스들은 불완전하다. 샌드박스 환경을 처음 다뤄보는 사람이나, 너무 익숙해서 조심성이 많이 사라진 사용자가 클릭 한 번 잘못하면 각종 멀웨어가 샌드박스라는 감옥에서 해방될 수 있다.
5) 최근 나오는 멀웨어들은 회피 탐지 및 우회 기술을 기본적으로 갖추고 있다. 지난 수년 동안 해커들이 연구한 결과다. 각종 난독화 기술을 가진 멀웨어들은 마우스와 키보드를 통한 입력 패턴을 분석해 샌드박스 환경임을 재빨리 간파한다. 그리고 작동을 멈춘다. 샌드박스를 피해서 호스트 환경에 직접 침투하기도 한다.
그렇다고 필자가 샌드박스의 폐지를 주장하는 건 아니다. 샌드박스가 무용지물이라고 말하는 것도 아니다. 다만 샌드박스라는 기술 역시 해커와 보안 업계 사이의 ‘군비 경쟁’에서 자유롭지 않다고 강조하는 것뿐이다. 우리는 늘 해커들보다 한 단계 우위에 서 있어야 하는데, 지금 상태의 샌드박스로는 그럴 수 없다. 그들이 지금은 현존하는 샌드박스보다 한 단계 위에 서 있는 상태다. 우리가 더 위에 서려면 방금 언급한 5가지 문제를 해결해야 한다.
그 때까지는 샌드박스를 방어 시스템의 기본 뼈대로서 갖추고 있는 모든 조직들이 ‘샌드박스는 현재 불안전한 기술이다’라는 점을 인지해야 한다. 그리고 그 사실을 바탕으로 새로운 방어 아키텍처를 구성해야 한다. 지금의 샌드박스가 해커들보다 한 발 앞서 나간다 하더라도 그 시간은 길지 않을 것이다. 해커들은 또 다시 연구를 통해 또 다시 치고나갈 것이기 때문이다. 우리는 장기적인 안목을 가지고 샌드박스를 보완하고 또 보안해야 한다.
글 : 질라드 데이비드(Gilad David), IT Writer
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
