“악성코드·익스플로잇, 탐지보다 예방이 중요”

“치료보다는 예방이 낫습니다. 무언가 일이 일어난 이후에 해결하는 것보다 일이 일어나기 전에 막는 것이 더 좋습니다.”

최원식 팔로알토네트웍스코리아 대표의 말이다. 최 대표는 사용자 환경에서 보안 침해를 방지하려면 5가지의 능력이 있다면서 이같이 말했다. 최 대표가 말한 5가지 능력은 ▲예방에 집중(Prevention Focused) ▲악성코드 예방(Malware Prevention) ▲익스플로잇 공격 예방(Exploit Prevention) ▲예방 자동화(Automated Prevention) ▲지속적인 예방(Persistent Protection)이다.

보안산업계는 사이버공격을 막기 위해 오랫동안 고군분투 했지만 크게 성공적이지 않았다. 엄청난 노력에도 불구하고 전세계는 랜섬웨어 공포에 떨고 있다. 최 대표는 “침해 탐지와 사고 대응이 보안 가치를 제공하지 않는다는 것은 아니지만 예방에 비해 부차적이어야 한다”고 강조했다.

최 대표는 우선 악성코드와 취약점을 구별하지 못하는 오류에서 벗어나야 한다고 설명했다. 이 둘은 명백히 다르기 때문에 각기 다른 방식으로 대응해야 한다고 지적했다.

악성코드는 자체적으로 실행할 수 있고, 타깃 서버로 이동 가능한 파일이다. 반면 익스플로잇은 악성코드를 집어넣을 수 있는 통로다. 도둑이 유리창문에 구멍을 뚫어 문을 열고 들어온다면, 그 구멍이 익스플로잇이란 게 그의 설명이다.

최 대표는 자사의 엔드포인트 보안 솔루션인 ‘트랩스’가 공격 예방을 위한 5가지 능력을 모두 보유하고 있으며, 멀웨어와 익스플로잇 모두의 위협에서 벗어날 수 있도록 한다고 강조했다.

트랩스는 ▲위협 인텔리전스(Threat Intelligence) ▲로컬분석(Local Analysis) ▲동적분석(Dynamic Analysis) ▲악성 프로세스 예방(Malicious Process Prevention) ▲랜섬웨어 보호(Ransomware Protection) 등 다층적 방법으로 멀웨어로부터 예방하도록 설계돼 있다.

특히 알려진 악성코드뿐 아니라 알려지지 않은 멀웨어도 예방할 수 있다고 최 대표는 강조했다. 최 대표에 따르면, 팔로알토네트웍스의 위협 인텔리전스 클라우드에는 매달 2억1500만개의 샘플이 올라온다. 여기에는 알려지지 않은 바이러스가 60~70%를 차지한다.

알려지지 않은 악성코드가 들어오면 로컬분석과 동적분석 시스템으로 넘겨진다. 로컬분석에서는 위협 인텔리전스에서 수집된 샘플을 학습모델(머신러닝)로 악성코드를 찾아낸다. 사인, 스캐닝, 행동분석에 의존하지 않는다. 동적분석은 가상 샌드박스다. 베어메탈 분석 기능을 통해 멀웨어로 의심되는 파일을 실행시켜 어떻게 행동하는지 분석할 수 있다. 샌드박스 우회 기술을 차단할 수 있다.

악성 프로세스 예방은 파일이 아닌 스크립스 형태의 공격을 막아준다. 이는 프로세스를 보고 판단한다. 차일드 프로세스를 모니터링 하고 있다가 적절치 않은 움직임을 할 경우 차단한다.

랜섬웨어 프로텍션은 허니팟 기술을 활용한다. 실제 환경에 시스템을 만들어 파일을 뿌려놓고 랜섬웨어가 암호화시키는지 살펴본다.

최 대표는 “99%의 멀웨어가 한번 발견된 후에는 변형되는데 기존의 레거시 기술(안티바이러스)은 한계가 있다”면서 “트랩스는 알려지지 않은 멀웨어를 대부분 예방할 수 있다”고 말했다.

최 대표는 트랩스가 익스플로잇도 예방할 수 있다고 설명했다. 최 대표에 따르면, 현재 익스플로잇을 만들 수 있는 기술은 24개 정도다. 이 24개를 다양하게 조합해 공격하는 것이다. 새로운 익스플로잇을 만든다고 해도 완전히 새로운 것을 만드는 것이 아니라 기존의 24개 기술 중 일부를 새로운 것을 조합해서 만든다.

팔로알토네트웍스는 여기에 착안했다. 트랩스는 24개의 익스플로잇 기술을 모니터링하는 방법으로 새로운 익스플로잇까지 예방한다. 이는 트랩스가 제로데이 공격을 막을 수 있다는 것을 의미한다. 제로데이란 취약점이 발견된 후 보안패치가 나오기 전까지의 기간을 말한다. 이용자들은 제로데이 공격에 속수무책일 수밖에 없는데, 트랩스는 이를 막을 수 있다. 새로운 익스플로잇도 24개의 기술 중 일부가 사용됐을 것이기 때문이다. 지난 2017년 마이크로소프트가 자사의 소프트웨어에 취약점이 있다고 인정했는데, 1년 전에 구매한 트랩스로 익스플로잇을 막은 사례가 있다.

이는 안티바이러스(백신)처럼 트랩스를 업데이트 할 필요가 없다는 것도 의미한다. 기존의 24개 기술이 사용됐는지만 보면 되기 때문이다.

최 대표는 “익스플로잇은 마이크로소프트, 어도비, 아래아한글과같은 일반적인 앱을 무기화하기 때문에 대책이 없다”면서 “이를 막기 위해서는 새로운 기술이 필요하고 그것이 바로 트랩스”라고 강조했다.

<심재석 기자>shimsky@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다