공격자 성향을 파악하고 선제적인 대응에 안성맞춤 멀웨어 탐지에는 탁월 하지만 그 후의 대응은 부족

[보안뉴스 주소형] 사이버 범죄 산업의 몸집이 점점 커지고 있다. 이제 시장의 주도권은 확실히 공격자가 쥔 듯하다. 하지만 당하고 있을 수만은 없기에 만든 시스템이 있다. 바로 공격자를 유인하고 속이는 툴인 ‘허니팟(honeypot)’이다. 특히 이란과 클라우드 제공업체가 허니팟 활용에 적극적인 모습을 보이고 있다.
 


허니팟에 대한 평가는 날로 높아지고 있다. 이에 비영리 보안 연구단체인 허니넷 프로젝트(Honeynet Project)는 몇 년에 걸쳐 허니팟을 연구개발하며 적용 범위를 확장하고 있다. 최근 들어서는 더욱 허니팟에 대한 니즈가 높아지는 모양새다. 공격자의 행동을 파악하고 선제적인 대응에 나서는 데 안성맞춤이기 때문이다.

그런데 이 같은 허니팟도 한계에 봉착했다. 멀웨어 감염을 자동적으로 탐지할 수는 있지만 이로는 충분치 못하는 지적이 나오기 시작한 것. 예를 들어 허니팟이 공격을 감지하고 공격자를 허니팟으로 유인했다 치자, 그 후에 허니팟이 할 수 있는 것은 고작 a) 알람을 울린다던지 b) 포렌식 데이터를 만들어내는 수준에 그치고 있기 때문이다.
 
적응력이 뛰어난 해커들의 특성상 어느 순간부터는 반대로 허니팟의 움직임까지 계산해 공격하지 말라는 법도 없다. 이게 아주 불가능한 발상이 아닌 것이 결국 허니팟이란 건 실재하지 않는 가상의 플랫폼이기 때문이다. 쉽게 말해 허니팟은 서비스와 같은 개념으로 한 개의 시스템이 갖고 있는 능력을 그대로 모방하여 똑같이 행동되도록 만드는 것이다. 그러니 멀웨어와 자동화 툴을 탐지에는 매우 유용해도 그 이상을 기대하는 건 무리다.

즉 허니팟이 갖고 있는 본질에 대한 발상 자체는 매우 훌륭하지만 공격 패턴과 방법이 빠르게 진화하는 현 환경에서는 허니팟 기술에 대한 업그레이드도 절실하다는 것.

한편, 보안전문가인 딘 시스먼(Dean Sysman)과 이따마르 셜(Itamar Sher)은 지문이 활용된 허니팟을 통해 공격자를 어떻게 유인하여 리소스들을 빼낼 수 있는지 블랙햇 2015에서 시연할 예정으로, 관련 자료가 나오는 대로 본지에서도 보도할 예정이다.
Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>