[김혁준 나루시큐리티 대표] 2009년 발생한 7.7 DDoS 공격은 많은 부분에서 기존의 공격과 차별적인 모습을 보였다. 공격자는 기존의 공격에서 대부분 명확한 금전적 대가를 요구하는 사이버범죄의 양상을 보인 것과는 달리 사회적 혼란을 야기한 사이버테러 형태를 목표로 하였고 이는 이후 2011년 발생한 농협전산망해킹, 2013년 3.20 사이버테러 그리고 현재 진행형인 한수원 해킹 관련 원전반대그룹 사건까지 기존의 공격자와 방어자 간의 대칭적 균형이 무참히 깨지는 정보보호의 지형변화를 알리는 신호탄이 되었다.
 
이러한 비대칭성은 공격자와 방어자간 정보의 비 대칭성에서 발생한다. 공격자는 이제 개인이 아닌 단체 혹은 국가단위의 집단으로 형성되어 더 이상 단기적 수익에 집착하지 않고 방어자에 대한 중장기적 우위를 확보하기 위해 지속적 제로데이 취약점 확보, 단계적 침투, 장기은닉, 봇넷 인프라 구성 등의 프로세스를 통한 상대적 정보의 우위를 확보하고 있다.
 
더 이상 방어자의 지엽적, 단편적 대응으로는 국가와 집단화 되어가는 사이버 위협에 대응할 수 없다는 공감대가 형성되어 가고 있으며 해외에서는 바이러스토탈, 국내에서는 빛스캔, 멀웨어닷컴 등의 정보보호 인텔리전스 사업이 기지개를 펴고 있으나 사용자들은 내부정보와 적은 연관성, 불편한 사용방법 및 컨텍스트를 고려하지 않은 기술적 기계적 정보를 통해 얻을 수 있는 명확한 성과모델에 대한 의문과 다양한 사업자에 의해 제공되는 대량의 정보를 어떻게 사용해야 할 것인가에 대한 고민을 가지고 있다.
 
닫혀진 시스템에서는 반드시 무질서도가 증가한다는 것은 이미 열역학 제 2법칙을 통해 잘 알려져 있으며 이는 정보보호에서도 동일하게 적용된다. 외부 정보를 받아들이지 않고 내부의 정보만을 이용해 정보보호를 수행하고자 하는 것은 내부 시스템에 무질서도를 증가시켜 성과보다는 혼란만을 가중시키기에 정보보호 인텔리전스의 수용은 피할 수 없는 현실이지만 결국 문제는 이를 어떻게 받아들여야 하는 것이다.
 
막연한 정보보호 인텔리전스에 대한 필요성과 서비스가 이미 대량의 불필요한 정보 늪에 빠져있는 보안조직에 사용할 수 없는 더 많은 정보를 쏟아 붓는다면 이미 과도한 정보처리 부하에 빠져있는 보안조직에는 득보다는 해를 줄 수밖에 없기에 보다 명확한 적용모델에 대한 고민을 필요로 한다. 정보보호 인텔리전스는 보호대상 네트워크를 기준으로 내부 인텔리전스와 외부 인텔리전스로 나뉘며 외부 인텔리전스는 내부 호스트와 연결이 이루어진 외부 정보자산, 내부에 유입된 바이너리파일 등에 대한 정보를 제공하며 내부 인텔리전스는 내부망 자산현황, 운영 어플리케이션, 네트워크서비스 및 지속통신 등의 정보를 말한다.
 
이기는 정보보호를 위해서는 내부망 현황정보를 통해 자신의 네트워크를 구성하는 호스트, 어플리케이션, 네트워크서비스, 지속통신, 및 내부망 이동현황에 대한 명확한 정보를 획득하고 이에 대한 변화를 추적하여야 한다. 정보보호 매체를 통해 우리는 거의 매일 발생할 가능성이 있는 무수히 많은 위협에 대한 정보를 얻고 있으며 이 중 몇몇이라도 방어하기 위해 무수히 많은 시간과 노력을 투여하고 있다.
 
그러나 아무리 큰 위험이 가능하다고 보여도 실재 발생할 확률이 매우 희박한 수천, 수만가지의 보안사고에 대응하기보다는 내부망 현황을 정확히 파악하고 내부에 존재하는 위협에 대한 분석을 수행하는 것이 더욱 현실적이며 이러한 현황의 인식은 자칭 정보보호 전문가가 치장을 위해 뱉어내는 의 다양한 의견보다는 내부망에서 수집된 데이터를 기준으로 이루어져야 한다.
 
우리는 모든 예방체계가 결국 우회된다는 것은 2009년 이후 발생한 다수의 정보보호 사고를 통해 피부로 느끼고 있으나 이러한 예방체계를 우회한 공격에 대응하기 위한 노력은 극히 미미하였다. 정보보호 예방체계는 시그니처, IP, 등 알려진 방식을 사용하는 악성행위를 탐지하는 것으로 이는 모든 문제를 악성과 정상 두 가지로 분류하며 따라서 인텔리전스 보다는 인포메이션의 영역에 머문다. 정보보호 인텔리전스는 이러한 체계를 우회한 알려지지 않은 방법을 사용하는 공격에 대해 대응 의사결정을 이끌어 낼 수 있는 정보이며 이는 단순 차단을 넘어서는 격리, 우회, 배양 등의 다양한 방법의 존재한다.

 
위 그림은 약 5,000대 정도의 호스트가 존재하는 네트워크에 일별 유입되는 바이너리 파일의 수와 이를 다운로드 받은 호스트의 수를 나타낸 것으로 상대적으로 유입되는 바이너리 파일은 다수 존재하지만 이를 다운로드 받는 호스트 수는 상대적으로 적은 것을 알 수 있으며 유입된 바이너리에 대한 로컬백신 및 외부 인텔리전스와의 비교를 통해 내부에 운용중인 백신 프로그램의 효과도를 측정할 수 있다.
 
예방체계를 우회한 공격을 탐지하기 위해서는 샌드박스, 백신 등을 우회하여 성공적으로 내부 PC를 장악한 징후를 탐지하는 것으로 이러한 징후로는 존재하지 않던 지속통신 발생, 내부이동 징후 탐지, 등이 있다. 내부망에 존재하는 지속통신은 자동화된 통신을 말하며 비콘(beacon) 혹은 백도어 형태로 존재한다.
 
지속성을 가진 소프트웨어로 탐지되는 형태는 소프트웨어 업데이트, 흔히 광고성 소프트웨어로 분류되는 PUP/PUA, 보안 프로그램, 알려진 악성프로그램, 그리고 알려지지 않은 바이너리 등이 있다. 그림 2는 보호대상 네트워크에 존재하는 모든 지속형 통신정보를 나타낸 것으로 용처가 명확하지 않아 의심(SUSPICIOUS)로 분류된 통신은 상대적으로 적은 목적지 IP수(13)를 가지나 다수의 내부망호스트(458)와 지속적인 통신이 발생하고 있는 것을 알 수 있다.

 
 정보보호 인텔리전스 과정에서 가장 중요한 프로세스 중 하나는 상태의 변화를 추적하는 과정이며 각 상태별 획득되는 정보에 대한 연계 분석을 통해 막연한 기계적 징후를 분명한 침해사고의 징후로 발전시켜 나갈 수 있다. 앞에서 소개된 내부 유입 실행 바이너리파일 정보를 이용하면 내부에 유입되는 새로운 바이너리 파일 정보 및 해당 파일이 알려진 악성 바이너리 파일인가의 여부를 외부 인텔리전스와의 비교를 통해 알 수 있으나 알려지지 않은 바이너리파일이 전송되는 경우 이에 대한 즉각적인 판단을 내릴 수 없다. 그러나 앞에서 소개된 두 가지 과정에 대한연계 분석을 통해 알려지지 않은 바이너리전송 및 새로운 알려지지 않은 지속통신 발생이 탐지된다면 방어자는 해당 상황에 상대적으로 많은 자원을 투여하여 보다 집중적인 분석을 수행 할 수 있다.

 
그림 3은 예방체계를 우회하여 내부망에 성공적으로 침투하여 공격자가 내부 호스트를 제어할 수 있는 명령제어채널을 수립한 뒤 자신의 목표시스템으로 이동하는 단계에서 발생하는 이상징후를 탐지하기 위한 방법으로 내부 호스트간 발생하는 통신의 변화를 추적하는 것을 나타낸다.
 
만약 알려지지 않은 바이너리가 다운로드 되고, 이후 존재하지 않던 외부행 지속통신이 발생한 뒤 내부망 호스트에 대한 접근시도(비연결 호스트수)가 증가하고 이후 내부망 호스트간 존재하지 않던 지속통신이 탐지된다면(연결된 호스트수) 내부 정보보호 담당자는 예방체계를 성공적으로 우회한 공격자가 내부자산에 직접적인 피해를 발생시키기 전 대응 할 수 있는 절호의 기회를 갖게 되는 것으로 만약 공격자의 목표가 내부에 존재하는 민감정보를 탈취하기 위한 것이었다면 이러한 분석을 통해 공격에 대한 성공적 대응은 물론 이러한 공격으로 발생 할 수 있는 비즈니스에 대한 위협에 성공적으로 물리친 것으로 더 이상 정보보호가 비즈니스의 걸림돌이 아닌 필수요소임을 증명한 것으로 볼 수 있다.
 
어쩌면 많은 보안 담당자들이 마치 이길 수 없는 전투를 하고 있으며 마치 공격자가 작정하고 침투한다면 이를 막을 수 없다는 생각을 하고 있다는 생각이 들었다. 마치 러시안 룰랫과 같이 나의 노력과는 무관한 확률 게임을 하는 듯한 패배주의가 팽배해 있지만 지금까지 국내외 20곳이 넘는 네트워크에 대한 현장분석을 수행하면서 내부, 외부 인텔리전스 활용 및 이를 올바르게 사용할 수 있는 정보보호 프로세스와 연계한다면 이기는 정보보호를 수행할 수 있다는 확신이 들었다. 이는 우리가 아무리 건강에 신경을 써도 일년에 한 두번은 감기에 걸리지만 적절한 휴식과 치료를 통해 우리의 일상이 정지되는 사고를 막을 수 있는 것과 같다.
 
[글. 김혁준 나루시큐리티 대표이사 / joonkim@narusec.com]
 
◇저자약력
-김혁준 나루씨큐리티 대표
-CISA, CISSP, Security+, BS25999LA
-국군사이버사령부 자문위원
-민관합동조사단전문가
-국방부 침해사고 원인분석 공식 자문위원

★정보보안 대표 미디어 데일리시큐!★