멀웨어의 다양한 기능을 통해 주요 엔드포인트에 도달하는 해커들
안티멀웨어, 최대한 공격자를 귀찮게, 공격을 비싸게

[보안뉴스 문가용 기자] 데이터센터의 엔드포인트인 웹 서버, 데이터베이스, 파일 서버 등에 안티멀웨어 소프트웨어를 설치하는 것이 얼마나 도움이 되겠느냐라고 묻는 사람들이 많다. 그렇게 보이는 것도 무리가 아니다. 데이터센터의 엔드포인트들은 사용자가 거의 24시간 붙어서 뭔가를 끊임없이 클릭해대는 일반 사무 환경의 데스크탑과 멀웨어 공격 측면에서 상황이 많이 다르기 때문이다. 그런 사용자들이 없기 때문에 데이터센터에 멀웨어가 침입할 확률도 훨씬 낮지 않겠냐고 하는데, 현실은 그런 데이터센터 엔드포인트도 늘 멀웨어 공격에 시달린다는 것이다.


▲ 이런 게 하나하나 쌓여 살과 살이 되고 또 살이 되고...

버라이즌에서 3000개의 데이터 유출 사고를 분석해서 올해 발간한 데이터 침해 수사 보고서(Data Breach Investigations Report)에 의하면 일반 사용자 데스크탑은 멀웨어에 감염되는 경우가 많다. 물론 일반 사용자 데스트탑에 저장된 데이터가 높은 가치를 지닌 경우는 많지 않다. 그래서 멀웨어들은 대부분 사용자 이름과 암호 등의 로그인 정보를 훔치는 기능을 가지고 있는 경우가 많다.

멀웨어를 심은 공격자들은 탈취한 로그인 정보를 가지고 네트워크에 접속해 POS 시스템, 데이터베이스, 웹 서버, 파일 서버에 도달하는 데에 성공한다. 그리고 이들이 노리는 값비싼 정보는 바로 여기에 저장되어 있다. 이 단계에서 공격자들은 또 다른 멀웨어를 심는다. 이번엔 C&C와의 통신을 하고 데이터를 빼내는 기능을 하는 것들이다.

이 경우, 공격자가 합법적인 로그인 정보를 사용하고 있기 때문에 아무런 경보가 울리지 않을 가능성이 높다. 그러므로 이 단계에서 안티멀웨어 소프트웨어가 한 번 더 발동되도록 한다면 공격자가 그 장치 파훼를 위해 한 번 더 일해야 함을 뜻한다. 그러므로 데이터센터 엔드포인트에도 안티멀웨어가 필요하다.

그렇다면 “우리 서버에는 대단한 자료들이 없으니 괜찮다”라고 말할 수도 있다. 하지만 공격자들이 데이터센터의 웹 서버 등에까지 도달했다고 했을 때 반드시 데이터 유출만을 노리는 건 아니다. 침투 성공한 서버를 중간 단계로 삼아 원래 공격하고자 했던 대상을 우회해 타격하는 것이 가능해진다. 웹 사이트를 장악하고, 그 웹 사이트에서부터 멀웨어를 배포하는 공격 방식은 이미 널리 퍼져 있다. 혹은 그러한 ‘중간 단계’ 서버를 다수 마련해 디도스 공격을 하는 것도 가능해진다. 이런 경우에도 안티멀웨어가 도움이 된다.

웹 사이트는 일반 PC 한 대가 가지고 있는 것보다 컴퓨팅 파워도 높고, 전파 광대역도 풍부하다. 그렇기 때문에 PC 한 대를 노리는 것보다 웹 사이트를 통해 공격을 하는 것이 훨씬 효과적이다. 그래서 공격자들의 빈번한 공격을 받는데, 그렇기 때문에라도 웹 서버에 안티멀웨어를 구축하면 공격을 훨씬 어렵게 만들 수 있다.

이와 같은 이유들 때문에 안티멀웨어는 기본적으로 설치해 두는 편이 좋다. 안티멀웨어는 공격을 완전히 방어하고 차단하는 데에 그 목적을 가지고 있지 않다. 공격자를 조금이라도 더 성가시게 해서, 나보다 더 쉬운 표적을 노리게끔 만드는 것이고, 공격의 비용과 수고를 높이는 것이다. 게다가 안티멀웨어는 보안에서 굉장히 기본적인 것이라 설치가 그리 어렵거나 비용이 높은 것도 아니다. 효율도 좋다는 뜻이다.

공격자들의 공격을 조금이라도 더 비싸게 만들고 조금이라도 지연시킬 수 있다는 게 중요하다. 그런 조금 조금의 노력들이 쌓여 공격자들을 내키지 않게 만들고, 공격의 경제 구조를 개편시키는 게 방어의 근본이기 때문이다. 안티멀웨어의 역할은 단독적으로 사용될 때보다 큰 그림의 일부라는 면에서 중요해진다.

글 : 제레미야 그로스만(Jeremiah Grossman)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>