4차산업혁명 보안① - 악성코드 ' 랜섬웨어는 무엇이고 왜 방어하기 힘든가 '

1. 최근 악성코드 위협 현황

악성코드의 물량공세

최근 악성코드로 큰 피해를 입은 기업들에 관한 뉴스를 심심치 않게 접하게 됩니다. 특히, 올해는 전 세계 100여 개국 30만 대의 컴퓨터를 감염시켰던 WannaCry, Petya와 같은 랜섬웨어의 등장으로 많은 이들에게 커다란 충격을 주었습니다.
(랜섬웨어: 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 하고, 이를 인질로 금전을 요구하는 악성 프로그램) 매년 악성코드의 생성 속도는 무섭게 증가한다는데 과연 그 생성 속도는 얼마나 빠른 것일까요? 독일의 보안업체 G-Data에 따르면 2017년 새롭게 발견된 악성코드는 1분기에만 무려 185만 개에 달하며, 이는 약 4초에 1개꼴로 악성코드가 생성되고 있는 셈이라고 합니다. 이런 급격한 증가세의 원흉은 단연코 랜섬웨어입니다. 2014년 이후 급격하게 늘어나기 시작한 랜섬웨어는 KISA 에 민원 신고되는 건수를 기준으로 전체 악성코드의 약 70%를 차지하면서 사이버 보안 분야의 가장 큰 골칫거리가 되었습니다.

랜섬웨어의 급격한 증가 원인은?

랜섬웨어는 이미 오래 전부터 존재했던 악성코드의 유형인데, 왜 최근 들어 이토록 유행을 하게 된 것일까요? 가장 큰 원인은 바로 비트코인의 등장입니다. 높은 익명성으로 추적이 매우 어려운 비트코인을 이용해 랜섬을 지급받을 수 있게 되면서 해커들이 수사기관의 추적을 걱정하지 않고 랜섬웨어를 무작위로 배포시킬 수 있게 된 것이죠. 결국 랜섬웨어는 해커들에게 실질적인 돈벌이가 되기 시작했고, 작년 한 해만도 FBI가 추산한 랜섬 지급액이 1조 원을 넘어섰다고 하니 가히 ‘랜섬웨어 산업’이라 불릴 만합니다. 현재 인터넷상의 블랙마켓을 통해서도 랜섬웨어 제작 툴을 쉽게 입수할 수 있다고 하니 마치 해커들의 랜섬웨어 공격을 부추기는 셈이기도 합니다.

랜섬웨어 방어, 왜 힘든가?

랜섬웨어를 두고 기존 방어 체계의 근간을 흔드는 “game changer”라는 표현을 많이 사용합니다. 그 이유는 과거 주류를 이루었던 ‘정보 유출형’ 악성코드나 ‘DDos형’ 악성코드와 랜섬웨어가 어떤 점에서 다른지를 살펴보면 알 수 있습니다.

첫째, 랜섬웨어는 잠복기가 없습니다. 감염되는 즉시 악성 행위가 일어나죠.
둘째, 랜섬웨어는 단 한 번의 실행으로 그 목적을 달성할 수 있습니다. 과거 다른 악성코드들처럼 자신을 숨긴 채 오랜 기간에 걸쳐 활동할 필요 없이 단순히 데이터를 암호화 시키고 랜섬을 요구하면 끝입니다.
셋째, 랜섬웨어에 의해 암호화된 데이터는 복구가 불가능합니다. 감염이 되면 데이터를 포기하거나 해커에게 랜섬을 지급하고 암호키를 사는 수밖에 없습니다.

위의 3가지를 종합해 보면, 과거 악성코드들은 사후탐지(감염 후 탐지)를 통해서라도 대처가 가능했던 반면, 랜섬웨어는 사후탐지가 무의미하며 결국 사전차단과 데이터 백업만이 유일한 대응 방안인 것입니다.

2. 악성코드 차단 체계의 한계

사전차단 체계 구성요소와 각각의 문제점

기업 내 모든 컴퓨터의 데이터를 실시간으로 백업하기란 비용적인 측면에서 불가능에 가깝습니다. 결국 핵심적인 데이터만을 선택적으로 백업할 수밖에 없으며, 그 외 데이터에 대한 랜섬웨어 공격을 방어하기 위해서는 사전차단에 집중해야만 합니다. 사전차단 방법에는 크게 ‘유입차단’과 ‘감염차단’ 2가지가 있습니다.

1) ‘유입차단’은 외부에서 기업 내부로 악성코드가 유입되는 경로를 차단하는 것으로 인터넷을 통한 유입차단, 이메일을 통한 유입차단, USB 등 외부 장치를 통한 유입차단이 있습니다.
- 인터넷을 통한 유입차단은 보통 네트워크 관제를 통해 이루어지는데 네트워크 성능상의 이슈로 실시간 차단에는 한계가 있습니다. 즉 네트워크 단에서 악성코드 탐지 경보가 뜨더라도 그 시점에는 악성코드가 사용자 PC에 이미 도달한 상태이기 때문에 잠복기가 없는 랜섬웨어를 방어하기에는 큰 허점이 있습니다. 또한 SSL과 같은 암호화 통신을 통해 악성코드가 유입될 경우 탐지가 불가능하다는 허점도 존재합니다.
- 이메일을 통한 유입차단 역시 비슷한 한계점을 가집니다. 보안장비 성능상의 이슈로 이메일 내 모든 첨부파일과 URL을 검사하기 어렵고, 또한 암호화 및 압축된 첨부파일에 대한 검사도 불가능합니다.

2) ‘감염차단’은 컴퓨터 내로 악성코드가 유입되더라도 실행되지 않도록 차단하는 것입니다. 앞서 말한 유입차단 체계가 실패했을 경우 최후의 방어선 역할을 하므로 악성코드 방어 체계에서 가장 중요한 위치에 있다고 할 수 있습니다.
이 감염차단은 보통 바이러스 백신 솔루션들이 담당하고 있는데, 현재 대부분의 국내 기업이나 개인들은 전통적인 시그니처 백신을 사용하고 있습니다. ‘시그니처 백신’이란 지금까지 알려진 악성코드 정보를 기반으로 사전에 입력된 악성코드만을 차단하는 백신으로 신종/변종 악성코드에는 매우 취약한 것으로 알려져 있습니다. 이유는 백신업체에서 아무리 열심히 악성코드를 분석하여 시그니처를 개발해도 4초에 1개꼴로 생성되는 악성코드의 속도를 따라가기에는 역부족이기 때문입니다.

사전차단 체계, 무엇을 먼저 개선해야 하나?

결국, 악성코드 사전차단 체계에서 ‘유입차단’과 ‘감염차단’ 모두 분명한 한계가 존재하므로 향후 상호 보완적으로 꾸준히 여러 한계점들을 극복해 나가야만 합니다. 다만 현시점에서 우선순위를 따지자면 당연히 최종 방어선 역할을 하는 감염차단 체계의 개선이 급선무라고 할 수 있습니다.
최근 감염차단을 담당하는 시그니처 백신의 한계를 극복하기 위해 가장 주목 받는 기술로 인공지능(AI)이 있습니다. 이는 기존 악성코드의 특성을 머신 러닝 기술로 학습하여 유사한 형태의 신종/변종 악성코드를 판별해낼 수 있기 때문에 시그니처 백신의 대안으로 급부상하고 있습니다.
많은 악성코드 전문가들도 시그니처 백신이 더 이상 그 기능을 하지 못할 것이라 예견하며, 최종 방어선을 지켜내기 위해서는 인공지능 기반의 백신 도입이 필요하다고 주장하고 있습니다.

다음 시간에는 기존 시그니처 백신의 탐지율 테스트 결과와 인공지능 백신에 대해 상세히 살펴보겠습니다.



▶   해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 기고자에 저작권이 있습니다.
▶   해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.