이글루시큐리티 마케팅팀 이정원 팀장

(jwlee@igloosec.com)

최근 개봉한 영화 ‘쥬라기 월드’는 유전자 조작 공룡인 ‘인도미누스 렉스’가 공룡 테마파크인 쥬라기 월드에서 탈출하며 일어나는 인간과 공룡의 대결을 그린 작품이다. 인도미누스 렉스를 비롯 육해공을 장악하는 공룡들이 각각 등장해 위용을 뽐내는 모습은 매우 흥미진진했다. 그러나 무엇보다 가장 인상 깊었던 부분은 여러 공룡은 물론 개구리, 카멜레온 등 다른 종의 유전자까지 합쳐 만든 인도미누스 렉스가 체온을 자유자재로 조절해 열 감지 센서를 피하고 주변 환경에 맞춰 몸 색깔을 바꿔 위장하는 장면이었다. 최근 한층 정교해지며 기업에 큰 위협이 되고 있는 이메일 공격과 비슷한 면이 많았기 때문이다.

오늘날 이메일을 이용한 APT 공격은 관찰력과 영리함, 위장술까지 갖춘 인도미누스 렉스 맞먹는 수준으로 빠르게 진화하고 있다. ▷명확한 개별 시스템, 개인을 표적으로 삼아 수개월 간 정찰을 하고, ▷기업 내부에서 사용하는 이메일 및 공문 형식을 모방하며, ▷표적이 자주 사용하는 특정 운영체제(OS)나 프로그램의 알려지지 않은 취약점을 공략하는 등 한층 교묘해지고 복잡해지고 있는 모습이다. 즉, 구글, 알리바바, 호텔스닷컴 등 유명 사이트를 사칭한 URL을 통해 악성 코드 유포 사이트로의 연결을 유도하고, ‘연봉계약서’, ‘협조공문’ 등 사용자가 의심 없이 클릭할만한 이름의 파일에 악성코드를 숨겨 보내며, 어도비 플래시 취약점을 악용하는 등 자동화된 탐지를 우회할 수 있게 점점 고도화되고 있는 것이다.

또한, 압도적인 공격력을 과시하는 인도미누스 렉스처럼 공격 성공 시에는 기업의 주요 정보가 유출되고 시스템이 마비되는 등 막대한 피해를 야기하기도 한다. 표적에게 악성 이메일을 보내 PC를 장악한 후 지속적으로 시간을 들여 회사와 관련된 모든 정보를 살펴보고 목표로 삼은 특정 정보를 획득, 시스템을 무력화할 때까지 악성코드를 잠복, 은닉시키는 방법으로 그 장악력을 확대해 나가기 때문이다. 버라이즌의 ‘2014 데이터 유출 조사 보고서’에 따르면, APT 공격에 사용된 악성코드 중 80%가 이메일을 통해 유입된 것으로 나타났으며, 지난 4월에는 이메일 피싱 수법을 통해 국무부 이메일 계정을 해킹한 공격자가 백악관 이메일 저장소에 접근해 오바마 대통령의 이메일 내용을 유출하는 사건이 발생해 큰 화제가 되기도 했다.

이와 같이 이메일이 악성코드 감염의 주요 통로로 악용되고 그 위협이 갈수록 고도화됨에 따라, 이메일을 통한 APT 공격에 유연하게 맞설 수 있는 이메일 보안 체계 구축의 중요성이 대두되고 있다. 그 첫 단추는 이메일 본문 내 삽입된 악성 URL을 차단하는 것부터 시작한다. 많은 메일 수신자들이 정상 사이트를 가장한 악성 URL의 위협에 노출되어 있지만 그 위험성은 잘 인지하지 못하기 때문이다. 실제로, 버라이즌 보고서에 의하면, 악성 이메일을 받는 수신자 중 약 20%가 이메일에 포함된 악성 URL을 클릭하고 있는 것으로 나타났다. 따라서, 메일 수신자에게 메일이 도달하기 앞서, 메일의 악성 URL을 자동적으로 탐지, 차단하는 보안 기능이 우선적으로 뒷받침되어야 할 것으로 보인다.

또한, 안티바이러스(Anti-Virus)를 활용해 알려진 악성코드를 탐지, 차단하는 것 역시 매우 중요하다. 한수원 사고 등 알려진 악성코드를 활용한 지능형 표적공격이 지속적으로 발생하고 있는 까닭이다. 이를 위해서는 전 세계적으로 쏟아지는 방대한 위협 정보를 빠르고 정확하게 수집, 분석하여 백신에 업데이트하고, 공격의 유효성을 정확하게 검증할 수 있는 전문적 역량이 뒷받침되어야 한다. 필자가 몸담고 있는 이글루시큐리티 역시 최신 위협 정보를 수시로 취합하고 기업에 들어온 이메일 공격을 분석하는 전문적 서비스를 제공하고 있다.

다음으로, 알려지지 않은 악성 코드를 탐지하고 차단할 수 있어야 한다. 영화 속에서 인도미누스 렉스가 예상하지 못한 방법으로 탈출에 성공했듯이, 현실 속에서는 시그니처 기반의 방어 메커니즘을 빠져나가는 공격이 잇달아 발생하고 있다. 소프트웨어의 취약점에 대한 패치가 발표되기 전에 공격이 감행되는 제로데이 공격이 대표적이다.

알려지지 않은 악성코드는 어떻게 막아내야 할까? 1차적으로 가상화 환경을 활용하여 차단한다. 여러 운영체제 환경을 구현한 가상환경에서 파일, 프로세스, 레지스트리, 네트워크, API 등에 대한 행위기반 분석을 수행하여 이상유무를 판단하는 것이다. 그러나, 실행 환경이 실제인지 가상인지 판단해 악성 행위를 지연시키는 등 가상환경 기반 솔루션의 취약점을 파고드는 한층 진화된 형태의 공격도 발생하는 만큼, 악성코드 유포 경로로 가장 많이 이용되는 국내외 상용 소프트웨어와 응용 프로그램의 취약점 공격 행위 방어에 특화된 ‘안티-익스플로잇(Anti-Exploit)’ 기술을 도입해 보다 강력한 방어막을 마련할 필요가 있다.

업무와 관련된 상당수의 커뮤니케이션이 이메일을 통해 이루어지고 있는 만큼, 이메일을 통해 악성코드를 침투시키는 APT 공격은 지속적으로 증가할 것으로 보인다. 영화 속에서 철통 보안을 자부했던 쥬라기 월드가 인도미누스 렉스의 탈출로 한 순간에 혼란에 빠졌듯이, 무심코 클릭한 이메일을 통해 한 개인은 물론 기업 전체가 미처 대비하지 못한 APT 공격에 노출될 수 있다. 기업은 날로 정교해지는 이메일 위협에 원만하게 대응할 수 있도록 보다 선제적인 이메일 보안 체계를 하루바삐 구축해야 할 것이다.
​