“보안 완벽하다”던 대기업 시스템에서 500개의 악성코드가!

[사람중심] 네트워크의 발달과 무선 인터넷 접속의 확산은 필연적으로 사이버 공격의 확산을 가져오기 마련입니다. 지난 2006년과 비교해 2012년에는 사이버 공격이 6.5배나 많아졌다고 합니다. 2012년을 기점으로 이러한 사이버 공격은 더욱 기승을 부렸는데, 가장 주목할 만한 것이 바로 APT(Advanced persistent threat: 지능형 지속 해킹)입니다.

APT는 특정 공격 방식은 아니고, 이전보다 훨씬 지능적으로 사이버 공격을 하는 경향이라고 보면 될 것 같습니다. 검증되지 않은 웹사이트에 접속하거나, 안정성이 떨어지는 프로그램을 다운로드하거나, e메일에 첨부된 링크를 클릭하는 순간 사용자의 PC에 악성코드를 심어 둡니다. 그리고 이 악성코드를 여러 방식으로 활용합니다. 사용자의 정보를 해커의 서버로 전송하거나, 관리자 계정을 탈취해 기업 전체의 개인정보를 가로챌 수도 있습니다. 다수의 악성코드를 심어뒀다가 일시에 기업의 시스템을 마비시키기도 합니다. 

해킹 위의 해킹 APT

APT는 이처럼 악성코드를 기업 내부 PC에 침투시키는 방법도, 침투한 악성코드가 동작을 하는 방식도 기존의 사이버 공격보다 훨씬 지능적이고 다양하기 때문에 '해킹 위의 해킹'이라고도 부릅니다. 한 예로, 지난해 1월 구글, 어도비, 야후 등 34개 글로벌 기업의 임직원 PC에서 첨단 기술 관련 데이터가 새어나가는 일이 일어났습니다. 해커들은 이들 기업의 직원에게 링크가 첨부된 메일을 보낸 뒤, 이 링크를 클릭하는 순간 PC에 악성코드를 심었습니다. 그리고 이를 원격조종해 기밀 데이터를 빼간 것입니다. 정보보안에 만전을 기하고 있다고 자부하던 글로벌 기업들이 발칵 뒤집힌 것은 당연한 결과였습니다. 

이란의 원자력발전소를 공격했고, 중국 내 1000여개 주요 산업시설을 무력화시켰던 스턱스넷은 현재까지 알려진 최악의 APT 공격인데, ‘사이버 미사일’이라고 부르기도 합니다. 한 나라의 주요 국가기반시설을 IT 기술로 무력화시킬 수 있음을 보여주었기 때문입니다.

최고 기술을 자랑하는 수많은 보안기술 기업들도 APT에는 속수무책입니다. '이것은 공격이다'하고 보고되지 않은 공격이 너무 많고, 기업의 네트워크 관문을 오가는 트래픽은 갈수록 많아지고 있기 때문입니다. "기업의 95% 이상이 자신들이 안전하다고 생각한 네트워크 안에서 손상된 호스트를 발견했다."는 한 시장조사기관의 보고서는 APT 공격의 위험성이 어느 정도인지 보여줍니다.

이런 가운데, APT 방어 기술로 주목을 받는 벤처기업이 있습니다. 바로, 파이어아이(FireEye)입니다. 2004년 출범해 2010년부터 지능형 공격의 대두와 함께 본격적인 성장을 시작한 이 회사는 포춘 100대 기업의 80%를 고객으로 확보하고 있는데, 역사상 가장 짧은 기간 안에 매출 3억 달러를 돌파할 것이 유력시되고 있습니다. 태국 푸켓에서 진행되고 있는 '넷이벤츠 아시아태평양 2013'에서 파이어아이 아태지역 영업을 총괄하는 더글라스 슐츠 부사장을 만날 수 있었습니다(슐츠 부사장은 어머님이 한국사람이라고 합니다. 한국말과 영어가 뒤섞인 인터뷰여서 매우 유쾌했습니다.). 

알려지지 않은 공격 잡아내는 파이어아이(FireEye)의 가상화 기술

파이어아이가 기존 보안 장비들과 다른 점은 악성코드가 어떤 경로로 이동할지를 정확히 모니터링하고, 사용자 PC에서 일어나는 행위들을 파악해서 일목요연하게 보여준다는 점입니다. 

기존 보안시스템이 사이버 공격에 대응하는 방법은 이미 알려진, 즉 '정의된' 악성코드에 한해서 탐지 및 식별하는 것인데(이것을 '시그니처 기반의 방어'라고 합니다), 이런 방식으로는 '정의되지 않은' 공격에 대응하기가 어렵습니다. 의심되는 파일은 수작업으로 분석해서 시그니처를 생성하기에 시간이 오래 걸릴 수밖에 없습니다. 하나의 공격툴이 등장하고 나면 그 다음날 곧바로 변종 악성코드가 등장하는 상황에서 시그니처를 생성하는 도중에 이미 공격을 당하게 됩니다. 기업의 사이버 안전을 지켜주기가 힘든 것이죠.

이와 달리, 파이어아이는 '정의되지 않은' 이상 트래픽이 들어올 경우, 장배 내부의 가상머신으로 보내서 실시간으로 분석하게 되고, 악성코드로 판단되면 시그니처 업데이트를 통해 전세계 파이어아이 장비에 정보를 공유합니다. 

이전에도 가상머신에서 실시간 분석을 하는 기술은 있었지만, 1~2대의 가상머신을 돌릴 수 있는 수준이었고, 처리할 수 있는 트래픽의 이론적인 최대치도 100Mbps 정도였습니다. 하지만 파이어아이는 최대 96대의 가상머신을 돌릴 수 있고 이미 1Gps를 처리할 수 있는 하드웨어를 제공하고 있습니다. 

“보안 완벽하다”던 대기업 시스템에서 500개의 악성코드가!

파이어아이의 APT 방어 솔루션은 특정 사용자가 어떤 URL에 접속을 했으며, 어떤 링크를 클릭했을 때 악성코드에 감염됐는지, 사용자 PC에 어떤 수정이 가해졌는지를 모두 저장합니다. 또, 악성코드가 어떤 식으로 감염됐는지를 동영상으로 보여주는 기능도 지원됩니다. 

최근의 APT 공격은 악성코드를 기업 내부에 심어놓은 뒤, 이와 악성코드와 통신해서 명령을 내리고 정보를 빼가는 ‘콜백 서버’를 수시로 변경해서 추적이 불가능하게 만드는 단계로 진화하고 있습니다. 파이어아이의 MPS 어플라이언스는 악성코드가 어떤 서버와 통신하는지 콜백 도메인을 실시간 탐색할 뿐 아니라, 콜백 서버가 변경되더라도 도메인이 어떻게 변경됐는지 콜백 패턴을 파악해서 찾아냅니다. 경로 추적을 통해 전체적인 가시성이 확보하기 때문에 콜백 서버 변경에 능동적으로 대응할 수 있는 것입니다.

이 같은 장점 때문에 파이어아이는 최근 2년 간 눈부신 성장을 거듭하고 있습니다. 시스코, 주니퍼, F5네트웍스 같은 세계 유수의 네트워크/보안 전문업체를 비롯해 구글, 페이스북, 트위터, 야후, ebay 같은 인터넷 기업, , 푸르덴셜과 베리사인 같은 금융 기업, CIAsk FBI 같은 미국의 주요 정보기관들이 고객명단에 이름을 올리고 있습니다. 삼성전자도 파이어아이의 고객입니다.

첨단 무기들의 시대에 만리장성은 그저 관광지일 뿐입니다.

파이어아이 한국지사는 2012년 한 해 동안 매출이 400%나 성장했는데, "고객의 네트워크에 파이어아이 장비를 연결해서 테스트해보면 사지 않을 수가 없다"는 것이 더글라스 슐츠 아태지역 영업담당 부사장의 설명입니다. 모 국내 대기업의 경우 다양한 보안 시스템을 갖추고 있다는 이유로 파이어아이 장비에 관심을 보이지 않았는데, 장비를 연결해 500개가 넘는 악성코드가 발견되자 그자리에서 계약을 체결했다고 합니다. 중견기업의 경우에는 30분 정도면 스캐닝이 끝나는데 평균 50~60개 정도의 악성코드가 존재한다는군요. 전수홍 한국지사장은 "일본의 NTT도꼬모나 NEC 같은 기업도 이런 과정을 거쳐 고객이 된 사례"라고 설명했습니다.

오늘 완벽했던 정보보안, 내일 안심할 수 있을까?

IT 기업 가운데, 역대 네번째로 성장세가 빠르다고 하는 파이어아이는 보안 전문업체들에게도 러브콜을 받고 있습니다. 이미 맥아피, RSA 같은 기업들과 파트너십을 맺고 있는데, "파이어아이의 소프트웨어 모듈을 우리 보안 장비에 탑재하고 싶다"는 요청이 늘어나고 있다는 설명입니다. 파이어아이는 얼마 전 이슈가 됐던 오라클 자바의 제로데이 취약점 가장 먼저 발견해서 오라클에 알려주기도 했습니다.

가트너는 전세계 기업의 95%가 APT에 감염되어 있다고 발표한 바 있습니다. 그런데, APT는 등장한 지 얼마 되지 않았고, 지금 겪고 있는 사이버 공격은 이제 시작일 뿐이라고 합니다. 전세계적으로 매일 9000개 이상의 새로운 웹사이트가 악성코드에 감염되고 있습니다. 201년 11월에는 전세계 사이버 공격 가운데 알려진 공격이 55%, 알려지지 않은 공격이 45%였지만, 2012년 중반에 이미 알려지지 않은 공격의 비중이 60%에 육박했을 정도로 기업들은 위협에 노출되어 있습니다.

'모든 것이 완벽할 수는 없다'는 얘기를 많이 합니다만, 정보보안의 경우 99개의 악성코드를 차단했다 하더라도, 단 하나의 악성코드가 기업 내부시스템에 침투하면 하나도 차단하지 못한 것과 다름이 없습니다. 그렇게 생각하면 기업의 정보보안 담당자는 참으로 피곤한 직업인 것 같습니다. "우리는 안전하다"고 자신하는 대기업의 내부시스템에서 500개 이상의 악성코드를 찾아냈다는 이 보안시스템마저도 무력화시킬, 더욱 지능화된 사이버 공격이 조만간 나타날 수도 있으니 말입니다.

하지만 정체가 밝혀지지 않은, 엄청나게 많은 양의 트래픽들을 실시간으로 분석해 낼 수 있다면, 그리고 그 장비의 트래픽 처리량을 더욱 확장할 수 있다면, ‘보안시스템 투자는 잘 해야 본전’이라던 기존의 통념을 어쩌면 수정해야 될 지도 모르겠습니다.

<김재철 기자>mykoreaone@bitnews.co.kr