완벽한 예방책은 있을 수 없으니 집요한 사후대책 필요
가장 깔끔한 멀웨어 척결은 곧 다음 공격을 막는 것

[보안뉴스 문가용] 세상이 완벽하다면 멀웨어라는 건 퍼지기도 전에 감지되어 뿌리 뽑힐 것이다. 보안담당자에게 세상이 바라는 건 바로 이런 모습이다. 하지만 우리가 사는 세상에서는 절대 가능한 그림이 아니다. 멀웨어는 항상 방어막을 뚫고 들어와 시스템을 더럽힌다. 그리고 원하는 바를 이뤄낸다. 그렇기 때문에 방어책만큼 사후대책 방안도 필요하다. 그게 현실이다.
 


사후대책이란 감지된 멀웨어를 지워내고 시스템을 다시 원상복귀 시키는 것만으로는 불충분하다. 이제는 온갖 사물들과 컴퓨터가 함께 인터넷이라는 공간 안에서 연결되어 있고, 그렇기 때문에 요즘의 멀웨어는 전염성도 강하기 때문이다. 즉 하나의 시스템에서 발견된 멀웨어가 네트워크를 타고 다른 시스템에도 전염된 건 아닌지 살피는 것도 필수사항이 되었다. 이에 대한 다섯 가지 방안을 마련해보았다.

1. 가장 지독한 부분을 먼저 없애고 고친다
멀웨어 감지 및 대응 전문기업인 담발라(Damballa)의 CTO인 브라이언 포스터(Brian Foster) 씨는 한 고객사가 하루에 겪는 감염의 횟수는 평균 97회에 달한다고 한다. “하루에 멀웨어가 하나씩만 발견된다 하더라도 일이 훨씬 쉬워질 겁니다. 하지만 현실은 그렇지 않죠. 그렇다면 어떤 것부터 없앨지 우선순위를 정해야 합니다.”

그렇다면 무엇을 기준으로 우선순위를 정해야 할까? ‘무엇이’ 감염되었는지를 살펴야 한다. 그 ‘무엇이’ 사업 전체에 있어 어떠한 가치를 가지고 있는지를 판단해야 하는 것이다. “리셉션 데스크에 앉은 사원의 랩탑이 감염되었다면 리스크가 비교적 낮죠. POS 시스템이 감염된 것이라면 피해가 훨씬 커질 수 있습니다.”

혹은 멀웨어 자체가 가진 기능의 강력함, 멀웨어의 종류 등도 고려해야 한다. 업체에 따라 잘못된 클릭을 유도하는 피싱메일이 더 위험할 수 있고, 암호를 훔치는 멀웨어가 더 위험할 수도 있다. 또한 감염된 시스템으로부터 멀웨어의 C&C 채널을 통해 정보가 몇 바이트나 오고가는지도 확인해야 한다.

2. 리이미징, 오래되고 익숙한 방법
한번 감염된 기기를 복구시키는 가장 간편한 방법 중 하나는 리이미징이다. 하지만 아무리 간단하고 효과적인 방법이라도 정기적인 백업과 복구 시스템이 뒷받침 되어야 그 효력을 발휘할 수 있다. “백업이 제대로 되어 있지 않다면 멀웨어를 함부로 지울 수도 없게 됩니다. 아무리 기초적인 멀웨어라도 말입니다.” ICSA 랩스의 로저 톰슨(Roger Thompson) 씨의 설명이다.

최근 기승을 부리고 있는 랜섬웨어가 리이미징을 함부로 할 수 없는 경우의 좋은 예가 된다. “백업을 미리미리 해두지 않으면 랜섬웨어를 통한 공격이 들어왔을 때 꼼짝없이 정보를 인질로 내어주어야 합니다. 그리고 몸값을 내는 수밖에 없게 되죠. 아니면 암호화 코딩이 허술하기만을 바라는 것만이 답입니다.”


3. 자동화로 할 일, 사람이 할 일
백업이 잘 되어 있다고 해서 리이미징에만 기댈 수도 없다는 게 인빈시아(Invincea)의 CEO인 아넙 고시(Anup Ghosh) 씨의 주장이다. “그래서 많은 솔루션들이 지금도 개발되어 시장에 나오는 것이죠. 저희 인빈시아도 그 중 하나고요.” 파이어아이, 크라우드스트라이크, 카운터택, 피델리스 등 얼른 떠올릴 수 있는 업체가 이미 하나 둘이 아니다.

요즘처럼 공격이 시도 때도 없이 이루어지는 시대에 솔루션을 도입해 자동으로 공격을 감지하고 방어할 수 있는 시스템을 구축하는 건 필수에 가까운 일이다. 하지만 자동화 솔루션에 기대어 해이해지는 것은 오히려 자동화 장치를 마련하지 않는 것만 못하다. 결국 사람이 가장 큰 취약점이기 때문이다. “아무리 기기와 솔루션이 발달해도 사람의 손길과 판단이 미쳐야 하는 부분은 항상 존재할 겁니다.”

말웨어가 갈수록 교묘하게 파고들기 때문에 기계의 판단보다 사람의 판단이 더 정확한 경우도 아직 많고, 디지털 포렌식의 경우는 기계보다는 사람이 더 중요한 역할을 담당한다. “자동화 솔루션과 사람은 파트너십을 맺어서 함께 일해야 합니다. 어느 것이 더 중요하다고 말할 수는 없습니다.”

4. 멀웨어 분석
멀웨어를 몰아내고 시스템이 원상복귀 되면 대부분 그 사건에 대해서는 손을 놓는다. 하지만 멀웨어를 분석하는 과정이 항상 뒤따라야 한다. “정보가 유출됐는지, 어떤 정보가 유출됐는지를 파악해야 하고, 어디까지 유출되었는지도 가능하다면 파악해야 합니다. 또한 멀웨어의 영향력이 어디까지 미치고 있는지, 누가 어떤 의도로 공격을 감행했는지도 알아내야 할 것들입니다.”

이렇게 분석을 해야 2차 감염을 막을 수 있을 뿐 아니라 시스템 깊숙이 여전히 숨어 도사리고 있을지 모르는 작은 조각들까지도 발견할 수 있다. 물론 이런 분석까지도 알아서 해주는 자동화 솔루션이 존재한다. 하지만 이런 사후처리에야말로 사람의 손길이 필요하다. “최근에는 다단계로 멀웨어를 침투시키는 게 유행처럼 번지고 있거든요.” 액세스데이터(AccessData)의 방어 전략가인 루카스 자이크코프스키(Lucas Zaichkowsky) 씨의 설명이다.

“이런 경우 첫 번째 멀웨어는 두 번째 멀웨어를 설치하고, 두 번째 멀웨어는 진짜 기능을 발휘하는 세 번째 멀웨어를 설치하는 단순한 기능을 가졌기 때문에 여러 차례의 꼼꼼한 감시가 없다면 세 번째 멀웨어를 발견하기가 어렵습니다.” 자이크코프스키 씨는 무료 윈도우 툴인 프로세스 익스플로러(Process Explorer), 프로세스 모니터(Process Monitor), 네트워크 모니터(Network Monitor), 어페이트DNS(ApateDNS) 등을 권장했다.

“이 툴들은 로그 파일을 분석해서 굉장히 정확하게 인디케이터들을 발견합니다. 또한 여전히 남아있을 수 있는 흔적들과 변종들까지도 짚어주죠. 지금부터라도 사용법을 익혀두시면 분명 도움이 될 것입니다.”

5. 네트워크 정보 수집
리이미징만으로 충분한 대처가 되지 못하는 건 결국 네트워크 때문이다. 네트워크를 통해 멀웨어가 어디까지 퍼졌는지 모르면 그것이 돌고 돌아 다시 내 시스템으로 올 수도 있다. “보안담당자의 진정한 역할은 여기서부터입니다. 바로 멀웨어를 네트워크를 거슬러 올라가며 추적하는 것이죠.” 고시 씨의 설명이다. “리이미징만 한다는 건 귀중한 포렌식 정보를 놓치는 꼴입니다.”

보안 사고가 늘어나면서 기업 차원에서 포렌식 정보를 수집하고 저장해두는 것이 중요해지고 있다. 물론 포렌식을 전문적으로 집행하는 기관이나 업체와 함께 일을 도모하는 경우가 대부분이지만 그럴지라도 내부적으로 모아둔 정보는 어떤 식으로 힘을 발휘하게 될지 모른다. 요즘은 정보가 힘인 시대인 것이다. “또한 그런 정보들을 합치다보면 감염을 야기한 내부 네트워크의 보편적인 약점이나 특성이 드러나는 경우가 왕왕 발생합니다. 멀웨어가 감염된 데에는 분명 어떤 시작점이 존재하기 마련이죠.”

마찬가지로 외부 트래픽에 대한 정보 역시 소중하다. 외부에서 들어온 경로를 추적하다보면 시스템에서 말끔하게 지워내지 못한 부분을 발견하기가 보다 용이해지기 때문이다. “최대한 많은 것을 분석해 정보를 모아보십시오. 희미하나마 공격자의 의도나 모습을 읽어낼 수 있을 것입니다. 그게 물리적인 체포로 이어지지 않더라도 다음 공격을 막는 데에 엄청난 도움이 됩니다.”

결국 멀웨어를 깨끗하게 지워낸다는 건 다음 공격까지도 차단한다는 것 아닐까. 공격이 다방면으로 이루어지는 만큼 더 집요한 사후처리가 요구되고 있다.
ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>