새로운 케르베르 변종, 정적 머신 러닝 툴 우회 기능 가지고 있어
아직 정보보안에서의 머신 러닝 효용 가치는 의문스러워...더 개발되어야
.jpg)
[보안뉴스 문가용 기자] 사이버 범죄자들은 보안 통제 장치를 피해가거나 넘어가기 위해 자신들을 끊임없이 개발시켜왔다. 그리고 그 과정에서 각종 산업의 데이터와 기밀들이 전리품처럼 들어왔다. 새로운 무기가 필요한 업체들이 머신 러닝을 장착하기 위해 애쓰는 것에는 이런 이유가 있다. 그런데 이 머신 러닝조차 안전하지 못하다는 주장이 제기되었다.
보안 전문업체인 트렌드 마이크로(Trend Micro)는 최근 새로운 버전의 케르베르(Cerber) 랜섬웨어 샘플을 발견해 확보하는 데에 성공했다. 분석 결과, 머신 러닝 알고리즘을 회피하는 데에 특화된 것이었다. “케르베르의 이러한 변화는 정말 놀라운 수준입니다. 방어하는 우리들이 새로운 무기를 들고 오는 족족 파훼된다는 의미를 가지고 있는 움직임이라 소름끼치기까지 하죠.” 트렌드 마이크로의 부회장인 마크 누니크호벤(Mark Nunnikhoven)의 설명이다.
이 케르베르 최신 버전은 여러 개의 파일로 구성되어 있으며, 운영 중인 프로세스에 역동적으로 주입되는 게 가능하다. 즉 현존하는 탐지 방법들에 어지간하면 걸리지 않도록 설계되어 있는 것이다.
하지만 배포 방법은 일반 랜섬웨어와 별반 다르지 않다. 주로 이메일로 퍼지는 것이다. 이런 이메일에는 악성 링크가 포함되어 있고, 이 링크를 클릭하면 드롭박스(Dropbox) 계정에 저장된 자동 압축 해제 파일이 실행된다. 당연히 이 계정은 공격자들이 조정하고 있다. 압축 파일에는 세 가지 파일이 들어 있는데, 각각 비주얼 베이직 스크립트, DLL, 바이너리가 담겨 있다. 스크립트는 DLL을 로딩하도록 되어 있으며, DLL이 로딩되면 바이너리 파일을 실행시킨다. 바이너리 파일은 새로운 로더를 실행시키는데, 이때 케르베르 감염이 시작된다.
로더는 케르베르를 로딩하기 전에 먼저 스스로가 샌드박스 환경에서 실행되고 있는지를 확인한다. 일반 컴퓨팅 환경임이 밝혀지면, 케르베르 바이너리 전체를 운영 중에 있는 프로세스에 주입시킨다. “이번 케르베르는 새로운 환경설정 옵션들을 가지고 있습니다. 정적 머신 러닝에 기반을 두고 있는 툴들을 무력화시키기 위함이죠. 정적 머신 러닝 툴들은 1) 파일 콘텐츠를 들여다보고, 2) 그 콘텐츠와 악성 행위나 특성을 매칭시켜 평가를 하죠. 그런데 콘텐츠의 나쁜 부분이 암호화 등을 통해 볼 수 없도록 되어 있거나 실시간으로 합법적인 프로세스에 주입된다면, 콘텐츠 평가 과정을 진행시킬 수 없습니다. 이번 케르베르가 현존하는 머신 러닝에 면역인 이유입니다.”
누니크호벤 부회장은 다음과 같은 예를 든다. “누군가 뒷짐을 진채로 당신 대문 앞에 서있습니다. 단춧구멍으로 그 사람이 보이긴 하지만 뒤에 감춰둔 손에 뭐가 들려 있는지는 보이지 않죠. 그러니 ‘감춰져 있다’고 생각하지 않고, ‘내 눈에 위협거리가 보이지 않는다’고 현상을 파악하는 겁니다. 그리고 문을 열어주죠. 그리고 그가 뒤에 감춰둔 무기를 꺼내들 때까지 뭐가 잘못된 건지 모르는 겁니다.”
케르베르의 이런 변화를 통해 정적 머신 러닝 툴들도 온전치 못하게 되었다고 누니크호벤은 평가한다. “물론 머신 러닝의 미래가 암울하다거나, 너무 과도평가 되어 있다고 결론을 내릴 수는 없습니다. 다만 여기서 우리가 주목해야 할 것은, 공격자들 역시 기술 발전에 민감하다는 겁니다. 우리만 공부하는 게 아니에요.”
최근 또 다른 보안 전문업체인 카본블랙(Carbon Black)은 “아직 많은 기업들이 AI나 머신 러닝을 도입하는 데에 있어 확신을 갖고 있지 못하다”는 내용의 보고서를 발표한 바 있다. 해당 보고서에 따르면 410명의 보안 전문가들 중 약 75%가 AI 기반 보안 툴에 대해 “오류가 많다”고 답했고, 70%는 “머신 러닝 시스템이라 해도 공격자들이 쉽게 우회할 수 있을 것”이라고 답했다.
카본블랙의 CTO인 마이크 비스쿠소(Mike Viscuso)는 “현존하는 머신 러닝 안티멀웨어 솔루션들은 대부분 파일 내부 콘텐츠를 검사하는 방식에 머물고 있다”며 “파일의 행동 방식을 분석하는 방식을 취하는 솔루션은 거의 없다”고 설명한다. “그러니 현재 급증하고 있는 ‘무파일 공격(fileless attack)’에 속수무책으로 당할 수밖에 없지요.” 즉 아직까지도 머신 러닝이나 인공지능이 보안에 쓸모가 있는 건 ‘압도적인 데이터양을 처리하는 경우’에 한해서지, 새로운 유형의 공격에 대해서는 그리 대단한 수준이 아니라는 것이다.
그렇기에 비스쿠소는 “머신 러닝을 사용해 파일 하나하나 검사하는 것보다는 애플리케이션과 서비스 활동 패턴, 통신 패턴, 프로세스 등을 모니터링하는 게 더 효과적”이라고 주장한다. “보안의 역할이라는 게 결국 악성 바이너리 하나 찾는 게 아니지 않습니까? 이건 정보보안의 정체성과도 관련된 문제입니다. 멀웨어나 바이너리에만 집중해서는 보안 담당자가 될 수 없습니다. 공격자들도 변하는데, 우리도 변해야죠.”
[국제부 문가용 기자(globoan@boannews.com)]
아직 정보보안에서의 머신 러닝 효용 가치는 의문스러워...더 개발되어야
[보안뉴스 문가용 기자] 사이버 범죄자들은 보안 통제 장치를 피해가거나 넘어가기 위해 자신들을 끊임없이 개발시켜왔다. 그리고 그 과정에서 각종 산업의 데이터와 기밀들이 전리품처럼 들어왔다. 새로운 무기가 필요한 업체들이 머신 러닝을 장착하기 위해 애쓰는 것에는 이런 이유가 있다. 그런데 이 머신 러닝조차 안전하지 못하다는 주장이 제기되었다.
보안 전문업체인 트렌드 마이크로(Trend Micro)는 최근 새로운 버전의 케르베르(Cerber) 랜섬웨어 샘플을 발견해 확보하는 데에 성공했다. 분석 결과, 머신 러닝 알고리즘을 회피하는 데에 특화된 것이었다. “케르베르의 이러한 변화는 정말 놀라운 수준입니다. 방어하는 우리들이 새로운 무기를 들고 오는 족족 파훼된다는 의미를 가지고 있는 움직임이라 소름끼치기까지 하죠.” 트렌드 마이크로의 부회장인 마크 누니크호벤(Mark Nunnikhoven)의 설명이다.
이 케르베르 최신 버전은 여러 개의 파일로 구성되어 있으며, 운영 중인 프로세스에 역동적으로 주입되는 게 가능하다. 즉 현존하는 탐지 방법들에 어지간하면 걸리지 않도록 설계되어 있는 것이다.
하지만 배포 방법은 일반 랜섬웨어와 별반 다르지 않다. 주로 이메일로 퍼지는 것이다. 이런 이메일에는 악성 링크가 포함되어 있고, 이 링크를 클릭하면 드롭박스(Dropbox) 계정에 저장된 자동 압축 해제 파일이 실행된다. 당연히 이 계정은 공격자들이 조정하고 있다. 압축 파일에는 세 가지 파일이 들어 있는데, 각각 비주얼 베이직 스크립트, DLL, 바이너리가 담겨 있다. 스크립트는 DLL을 로딩하도록 되어 있으며, DLL이 로딩되면 바이너리 파일을 실행시킨다. 바이너리 파일은 새로운 로더를 실행시키는데, 이때 케르베르 감염이 시작된다.
로더는 케르베르를 로딩하기 전에 먼저 스스로가 샌드박스 환경에서 실행되고 있는지를 확인한다. 일반 컴퓨팅 환경임이 밝혀지면, 케르베르 바이너리 전체를 운영 중에 있는 프로세스에 주입시킨다. “이번 케르베르는 새로운 환경설정 옵션들을 가지고 있습니다. 정적 머신 러닝에 기반을 두고 있는 툴들을 무력화시키기 위함이죠. 정적 머신 러닝 툴들은 1) 파일 콘텐츠를 들여다보고, 2) 그 콘텐츠와 악성 행위나 특성을 매칭시켜 평가를 하죠. 그런데 콘텐츠의 나쁜 부분이 암호화 등을 통해 볼 수 없도록 되어 있거나 실시간으로 합법적인 프로세스에 주입된다면, 콘텐츠 평가 과정을 진행시킬 수 없습니다. 이번 케르베르가 현존하는 머신 러닝에 면역인 이유입니다.”
누니크호벤 부회장은 다음과 같은 예를 든다. “누군가 뒷짐을 진채로 당신 대문 앞에 서있습니다. 단춧구멍으로 그 사람이 보이긴 하지만 뒤에 감춰둔 손에 뭐가 들려 있는지는 보이지 않죠. 그러니 ‘감춰져 있다’고 생각하지 않고, ‘내 눈에 위협거리가 보이지 않는다’고 현상을 파악하는 겁니다. 그리고 문을 열어주죠. 그리고 그가 뒤에 감춰둔 무기를 꺼내들 때까지 뭐가 잘못된 건지 모르는 겁니다.”
케르베르의 이런 변화를 통해 정적 머신 러닝 툴들도 온전치 못하게 되었다고 누니크호벤은 평가한다. “물론 머신 러닝의 미래가 암울하다거나, 너무 과도평가 되어 있다고 결론을 내릴 수는 없습니다. 다만 여기서 우리가 주목해야 할 것은, 공격자들 역시 기술 발전에 민감하다는 겁니다. 우리만 공부하는 게 아니에요.”
최근 또 다른 보안 전문업체인 카본블랙(Carbon Black)은 “아직 많은 기업들이 AI나 머신 러닝을 도입하는 데에 있어 확신을 갖고 있지 못하다”는 내용의 보고서를 발표한 바 있다. 해당 보고서에 따르면 410명의 보안 전문가들 중 약 75%가 AI 기반 보안 툴에 대해 “오류가 많다”고 답했고, 70%는 “머신 러닝 시스템이라 해도 공격자들이 쉽게 우회할 수 있을 것”이라고 답했다.
카본블랙의 CTO인 마이크 비스쿠소(Mike Viscuso)는 “현존하는 머신 러닝 안티멀웨어 솔루션들은 대부분 파일 내부 콘텐츠를 검사하는 방식에 머물고 있다”며 “파일의 행동 방식을 분석하는 방식을 취하는 솔루션은 거의 없다”고 설명한다. “그러니 현재 급증하고 있는 ‘무파일 공격(fileless attack)’에 속수무책으로 당할 수밖에 없지요.” 즉 아직까지도 머신 러닝이나 인공지능이 보안에 쓸모가 있는 건 ‘압도적인 데이터양을 처리하는 경우’에 한해서지, 새로운 유형의 공격에 대해서는 그리 대단한 수준이 아니라는 것이다.
그렇기에 비스쿠소는 “머신 러닝을 사용해 파일 하나하나 검사하는 것보다는 애플리케이션과 서비스 활동 패턴, 통신 패턴, 프로세스 등을 모니터링하는 게 더 효과적”이라고 주장한다. “보안의 역할이라는 게 결국 악성 바이너리 하나 찾는 게 아니지 않습니까? 이건 정보보안의 정체성과도 관련된 문제입니다. 멀웨어나 바이너리에만 집중해서는 보안 담당자가 될 수 없습니다. 공격자들도 변하는데, 우리도 변해야죠.”
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
