악성코드가 갈수록 무서워지고 있다. 일국을 흔들 정도로 파괴력을 키운 반면, 그 행방은 종잡을 수가 없다. 해킹의 목적이 ‘능력과시’에서 ‘금전갈취’로 이동하면서 나온 결과다. 오늘날 사이버 범죄자들은 자신들의 충실한 부하인 악성코드에게 ‘은폐능력’을 탑재하고 있다.
이 같은 은폐가 가능한 까닭은 악성코드가 그 서식지를 ‘사용자 모드’에서 ‘커널 모드’로 옮겼기 때문이다. 안철수연구소 유승열 선임 연구원은 “악성코드 은폐방식 중 90% 이상이 커널모드를 이용하고 있다”고 밝혔다.
커널 점령 악성코드, 백신도 무력화
커널이란 사용자 모드로는 접근할 수 없게 한 시스템 핵심 영역으로 하드웨어와 밀접해 있다. 한정된 시스템 자원을 프로그램마다 효과적으로 분배하며, 복잡한 인터페이스를 정리해서 하드웨어에 제공한다.
커널이 사용자 모드와 분리된 까닭은 보안성을 확보하기 위함이다. 만약, 사용자가 커널모드에 수시로 접속한다면 메모리 할당과 같은 민감한 부분을 건드려 피해를 입을 수 있다. 이 때문에 사용자는 일반 모드에서는 평소 자유롭게 활동하고, 꼭 필요할 때만 커널에 명령을 요청하는 것이다. 백신이 시스템 검사를 요청하는 곳도 바로 이 커널이다.
그런데 이 커널을 악성코드들이 점령하기 시작했다. 이제 백신이 시스템을 검사하려 해도, 숨어들은 악성코드가 커널 대신 거부 명령을 내린다. 백신이 패턴을 알고 있는 악성코드가 들어와도 커널에서 나오는 응답은 ‘그런 파일이 없다’이다. 분명히 PC는 느려졌는데 검사결과는 깨끗해 답답하다면 이런 경우를 의심할 필요가 있다.
또 리눅스의 경우 커널에 침투한 악성코드들은 자신이 감염시킨 특정 포트를 숨긴다. 포트 현황을 검색하는 ‘Netstat’ 명령어를 입력해도 커널에서는 악성코드 감염 부분은 빼고 응답한다.
시만텍/안랩 등 은폐형 위협 방어 매진
이렇게 백신을 조롱하며 숨어있는 악성코드를 향한 보압업체들의 반격도 시작됐다.
시만텍은 2005년 135억달러에 인수한 스토리지SW 업체 ‘베리타스’에서 묘안을 찾아냈다. 디스크 스캐닝에 있어 세계 선두권을 지켜온 베리타스 ‘VxMS’ 기술을 백신에 탑재한 것. 이는 곧 백신이 커널에 의존하지 않고 직접 디스크를 검색할 수 있음을 뜻한다.
시만텍 윤광택 부장은 “과거에는 커널모드 악성코드 탐지가 힘들었던 것이 사실”이라며 “하지만 VxMS를 탑재하면서 문제가 해결됐다”고 밝혔다.
올해 시만텍이 발표한 ‘노턴360’과 ‘시만텍 엔드포인트 프로텍션 11.0’ 등은 모두 이 기술이 적용돼 있다.
안철수연수소도 은폐형 악성코드를 무력화시키는 전용 백신을 제공하고 있다. 하지만 은폐 악성코드 다양화에 대응해 기술 종류를 늘리려 하고 있다. 현재 파일, 레지스트리, 네트워크에 적용할 수 있는 기술들을 연구 중이며, 이를 합쳐 기존 제품군에 적용한다는 계획이다.
한편, 백신뿐 아니라 기밀유출방지 DRM 부문에서 커널보안 제품이 나와 주목받고 있다. 마크애니가 이달 발표한 DocumentSAFER 3.0은 커널모드 상에서 파일을 실시간으로 암복호화 할 수 있는 제품이다.
마크애니 김남철 팀장은 “그간 문서보안 업체들은 사용자와 커널간 통신 안정성 확보가 어려워 관련 보안을 구현하지 못했다”며 “이런 문제를 해결한 신제품이 각광받을 것”이라고 기대했다.
이 제품은 현재 2건의 국제특허가 신청돼 있으며, 특히 시만텍 자문위원 출신 인사가 개발에 참가해 주목받았다. @