최근 들어 악성코드에 의한 피해사례가 발생하고 있다. 늘 발생해왔던 터라 특별하게 생각하지 않고 넘어갈 수도 있겠지만, 최근 전세계적으로 이에 대한 대응 방안이 나오고 있어서 이에 대해서 검토해볼 여지가 있다.
첫번째는 사전 점검을 통한 대응 체계를 강화하는 방법이고, 두번째는 현존하는 악성코드 탐지 솔루션의 성능을 압도적으로 뛰어넘는 인공지능 기반의 악성코드 탐지 솔루션을 통한 탐지 강화 방법이다.
먼저 사전 점검이다.
공격이 발생하기 전, 타사나 관계사에서 발생했을 경우 즉시 자사의 대응 능력을 확인하고 대응할 수 있는 방법이다. 국내에 꾸준히 소개해왔던 ‘BAS(Breach and Attack Simulation)’가 바로 그것이다.
지난 9월 SK하이닉스 및 LG전자의 미국법인이 메이즈(maze) 렌섬웨어의 공격을 받았고 대량의 정보가 유출된 사건이 발생했다. 이때 많은 국내 CSO, CISO는 자사의 상황은 안전한지 심각하게 걱정했을 것이다.
가장 무서운 것은 우리가 구축해 놓은 보안 체계가 외부 공격에 대해서 잘 대응해줄 수 있는 있는지 아닌지에 대한 불안감이다. 설령 당장 문제가 있다고 하더라도 명확하게 문제가 무엇인지를 알고 있는 것이 덜 불안하고 대응책 마련에도 도움이 될 것이다.
세이프브리치(SafeBreach)는 메이즈 랜섬웨어에 대해 2019년 12월에 최초 플레이북을 제공했으며, 2020년 10월 26일자로 다양한 변종 공격을 플레이북으로 제작해 업데이트 해주고 있었다. 현재 버전으로 메이즈에 대한 테스트 플레이북이 433건에 달한다.
국내 1호 고객사인 모은행에서는 미국의 뉴욕지점이 메이즈 랜섬웨어 공격에 대응능력이 있는지를 검증하기 위해서 SafeBreach의 플레이북을 이용해 점검을 실시했다. 현황을 정확하게 파악하는데 큰 도움이 되었으며, 이를 통해서 조치 계획을 수립할 수 있었다고 했다. 그리고, 다른 운영 시스템들에도 조사를 진행할 예정이라고 한다.
최근 이랜드그룹을 대상으로 발생한 랜섬웨어 공격으로 영업중단 사태가 발생한 바 있다. 사내 전산망이 백화점 등 결제 단말기 등과도 연동되어서 오프라인 영업에 막대한 피해가 발생했다고 한다. 여기에 사용된 랜섬웨어는 클롭(CLOP)으로 확인되었다. 클롭은 작년 2월 22일 KISA에서 주의보까지 발령했던 랜섬웨어인 것으로 확인되었다. 지난 2월경부터 국내AD 등에 피해를 주기 시작한 것으로 알려져 있다.
세이프브리치는 자사에서 운영중인 다양한 보안솔루션들이 클롭 랜섬웨어를 잘 탐지 및 대응할 수 있는지를 확인할 수 있는 플레이북을 제공하고 있다. 현재 세이프브리치는 44개의 플레이북을 제공하고 있다. 최근 이랜드 공격으로 일부 누락되어 있던 항목들도 국내에서 요청하자마자 즉시 업데이트가 되었다.
BAS의 특징은 선제적으로 실제 공격에 대한 탐지 및 대응 능력을 확인하고, 자사의 보안 환경을 보완할 수 있도록 도와준다는 점이다. 전쟁 직전에 우리가 구축해 놨던 전쟁 대응 시스템을 고도의 전문가가 먼저 시뮬레이션을 하고 발생 가능한 모든 문제점을 사전에 찾아내고 개선 방안을 제시해 준다면 전쟁에서 쉽게 지지는 않을 것이다.
그리고 악성코드 변종에 대한 대응 능력이다.
현재도 초당 4개 이상의 악성코드이 변종이 생성된다고 한다. 위에서 언급했던 악성코드 뿐만 아니라 대다수의 악성코드가 한번 발현하면 추가적인 변종이 지속적으로 발생해 기존 보안 시스템을 무력화시키는 경우가 허다하다. 이것은 기존의 패턴 기반이나 샌드박스 기반의 한계점에서 기인한다고 할 수 있다.
최근 미국을 중심으로 악성코드 탐지에 인공지능 기술을 활용하기 시작했다.
현재 미국에서 이 분야에 가장 인기있는 회사가 불루헥사곤이다. 블루헥사곤은 딥러닝(CNN기반) 기반의 악성코드 탐지 솔루션으로 이미 여러 벤치마킹과 POC를 통해서 성능을 입증했다. 블루헥사곤은 바이러스토탈에서 보유하고 있는 17년치의 악성코드를 체계적으로 분류하고 이를 학습시킨 산물이다.
단순히 악성코드만 학습한 것이 아니라, 악성코드 동작시 발생하는 패킷들도 모두 학습을 시켰다. 또한 매일 최신의 샘플로 지속적 학습을 통해서 모듈을 자동 업데이트 해주고 있다.
불루헥사곤은 정교하고 빠른 탐지 성능으로 미국내에서도 이미 인정을 받아 기존 악성코드 탐지 및 대응 시스템들을 빠르게 대체하고 있다.
실행에 관련된 모든 파일, 변종파일, 문서파일, FileLess, Web Script, Archieve, 난독화된 파일, 빅사이즈 파일, C2와 통신하는 패킷(DNS, HTTP, SSL, SMTP, SSH 등 30여가지) 등의 거의 모든 형태가 탐지가 가능하고, 윈도우, 리눅스, 맥등 운영체제도 가리지 않는다. 또한, 탐지시간이 거의 0.125(BMT테스트에서)초로 실시간에 가까운 탐지 성능을 나타내고 있다.
일반 SSL, SSH 통신을 복원하거나 탐지하지는 못한다. 다만, 악성코드가 이러한 통신을 사용할 경우에는 학습된 내용을 기반으로 탐지한다는 의미이다. 예를 들어, HTTPS로 악성코드를 다운로드할 경우에는 탐지가 불가능하지만, 해당 악성코드가 실행되어 C2와 SSL 통신을 할 경우에는 이를 탐지할 수 있다는 의미다.
위 경쟁 제품들의 벤치마킹 결과뿐 아니라, 연관 솔루션들인 기존 EDR이나 백신 등에서 탐지 가능한 파일의 한계(대부분 실행파일만 가능함)를 뛰어넘고, 악성코드를 탐지하기 위한 정교한 필터를 10만개를 통해서 탐지를 수행해 위 테스트 결과에 따르면, 실제 오탐율이 0%, 미탐율이 0.3% 이내로 발생하는 놀라운 탐지 성능을 보여주었다. 이마저도 현재 지속적인 학습을 통해서 더욱 성능이 개선되고 있는 상황이다. (현재는 미탐율 역시 0% 수준으로 향상되고 있음)
블루헥사곤은 네트워크에서 미러링 형태로 탐지하므로 기존 시스템에도 어떠한 영향을 미치지 않으며, SIEM과 SOAR 연동에 가장 최적화된 악성코드 탐지 솔루션이라 할 수 있겠다. 해외에서는 다수의 기존 시스템과 연동을 성공적으로 하고 있으며 국내 백신이나 EDR 과도 연동에 무리가 없다.
0.1초대로 탐지 시간이 너무 짧고 오탐 가능성이 매우 낮다.(딥러닝으로 확률로 탐지 정확도를 구분할 수 있다. 즉, 정확도에 따라 다양한 대응 능력을 가질 수 있다.) 따라서 기존 백신이나 EDR 등과 연동시 기존 탐지 방식의 한계를 넘어설 수 있을 뿐만 아니라, 즉각적인 대응이 가능해질 수 있다.
이에, 블루헥사곤 제품을 현재 유일한 NG-NDR로 분류하기도 한다.
[글. 황석훈 타이거팀 대표 / h9430@tigerteam.kr]
★정보보안 대표 미디어 데일리시큐!★
