7년~9년 전에 등장했던 멀웨어가 현재도 공격에 성공하고 있다.
마이클 센토나스 맥아피 아태 지역 담당 최고기술경영자(CTO)는 지디넷 코리아 주최로 서울 역삼동 포스코P&S에서 개최된 '맥아피 솔루션 데이 2013'에서 기조 연설을 마친 뒤 본지와 인터뷰에서 최근 해킹 트렌드를 이 같이 설명했다.
국내에서 발생한 3.20, 6.25 사이버 테러는 기존에 발견됐던 악성코드의 변종으로 확인됐다. 트위터, 뉴욕타임스 등을 해킹한 시리아 전자군 역시 새로운 기법이 아니라 웹사이트 변조, 분산서비스거부(DDoS) 공격 등 잘 알려진 수법을 활용했다.
문제는 수년 전에 발견됐던 공격기법들이 아직까지도 변종 형태로 국내외에 피해를 입히고 있다는 점이다.
센토나스 CTO는 마스터부트레코드(MBR)를 공격하는 멀웨어와 같이 정보 탈취 뒤 시스템을 파괴하는 악성코드는 대응이 어렵고 복구하기도 어렵다고 밝혔다.
앞서 맥아피는 국내에서 발생한 3.20, 6.25 사이버 테러에 대해 '오퍼레이션 트로이(Operation Troy)'라고 명명했다. 이 회사는 2009년 이후 국내에서 발생한 멀웨어를 분석한 결과 주한미군, 한국군의 군사기밀을 노린 공격이라고 주장했다.
과거에 사용됐던 멀웨어를 활용한 공격은 국내 뿐 아니라 아시아, 호주 등지에서도 발생하고 있다. 센토나스 CTO는 최근 아시아의 인터넷 망에서 발견된 공격은 7년~9년 전에 등장했던 SQL인젝션 기법이 사용됐다며 이로 인해 망 전체가 마비되는 사건이 발생했다고 밝혔다. 굳이 최신 기법을 사용하지 않더라도 언제든 해킹 위협에 노출될 수 있다는 것이다.
이 같은 '올드멀웨어(old malware)'를 기존 보안체계에서 발견할 수 없는 이유에 대해 그는 멀웨어가 압축(packed)됐기 때문이라고 설명했다. 기존 보안체계에서는 멀웨어의 지문에 해당하는 시그니처를 기반으로 탐지를 수행한다. 그러나 이를 우회할 수 있는 방법이 압축 기법이다. 멀웨어의 시그니처를 교묘하게 바꾸거나 멀웨어 자체를 압축시켜 탐지를 우회한다. 또한 샌드박스와 같이 가상환경에서 미리 악성 여부를 확인하는 작업 역시 여러가지 우회할 수 있는 기법들이 등장했다는 설명이다.
이를 방어하기 위해서는 결국 개인PC, 네트워크, 내부 시스템 등을 총체적으로 관리할 수 있는 보안체계가 요구된다.
센토나스 CTO는 기존에 맥아피가 보유하고 있는 방화벽, 가상사설망(VPN), 침입방지시스템(IPS) 등을 토대로 보안정보이벤트관리(SIEM) 솔루션과 연동을 통해 이러한 문제를 해결하기 위해 노력하고 있다고 말했다. 그는 1년 전 고객사였던 나이트로를 인수한 뒤로 여러가지 보안 이벤트에 대해 연동해 분석할 수 있는 SIEM을 통합해 가상머신, 하드웨어, 소프트웨어 등 전 영역에 걸친 보안문제를 해결하기 위한 플랫폼을 구축했다고 밝혔다.
관련기사
- 美 NSA 중동 방송사 내부 해킹2013.09.04
- 테러 수준의 사이버 위협, 새로운 대응방안은...2013.09.04
- 시리아 전자군, 트위터·뉴욕타임스 해킹2013.09.04
- 을지훈련D-7, 6.25 사이버테러조직 활동 재개2013.09.04
이밖에 새로운 공격 트렌드로 그는 아태 지역에서 랜섬웨어가 출현하고 있다고 덧붙였다. 랜섬웨어는 데이터를 인질 삼아 댓가를 요구하는 방식의 해킹 기법을 말한다. 수년 전 유럽 등지에서 발생했던 공격이 미국을 거쳐 아태 지역으로 옮겨가고 있는 추세라는 것이다.
또한 그는 핵티비즘, 사이버 테러 관점에서는 시리아 전자군의 출현이 우려스럽다고 설명했다. 미국의 경우 이로 인한 피해가 굉장히 컸고, 실제로 이 조직은 굉장한 동기부여가 돼있고, 사이버 테러를 수행할 만한 충분한 자원을 갖추고 있다고 말했다.
