오랫만에 새로운 보안 솔루션의 제품출시 세미나에 다녀왔다. 사실..얼마만인지 모르겠다. -.- 첫 직장이나 다름없는 곳에서 만나 오랜 인연을 맺고 있는 유클릭의 이재헌 부장의 초청으로 참가신청을 하고 오랫만에 얼굴도 볼겸 다녀오게 되었다.
난 서버를 직접만지는 보안일을 하기에 사실 네트워크 보안에는 별 관심이 없었지만 최근 정보보안기사 시험준비를 하며 보안업계가 실질적인 중요정보가 저장되는 서버보다는 “네트워크”에서의 침해 행위 탐지에 더 관심이 많다는 것을 다시한번 절감하고 있던 차에 네트워크 보안을 다시한번 보게되는 기회가 되었다. 그리고 많은 보안솔루션기업들이 네트워크에서 “서버”나 “개인업무용PC”에 감염되는 멀웨어(악성코드)를 탐지하고 방어하기 위해 얼마나 안간힘을 쓰고 있는가를 알게되었다.
글로벌 보안 기업 맥아피에서 새롭게 출시한 MATD(McAfee Advanced Threat Defense)는 한마디로 “지속 지능형 공격(APT공격)”에서 현재까지 알려지지 않은 악성코드(멀웨어)를 탐지하고 방어하기 위한 솔루션이다.
MATD는 지금까지 맥아피에서 출시한 여러 보안솔루션과 함께 구현되어야 최적의 효과를 낼 수 있는 솔루션이다. 맥아피의 IPS 및 웹방화벽 그리고 차세대 방화벽과 MATD가 연동되어 새롭게 탐지된 멀웨어의 침투를 차단하도록 웹방화벽의 룰셋을 자동 생성할 수 있는 것으로 보인다.
MATD의 핵심은 “계층적 멀웨어 탐지 시스템”이다. “계층적”이라는 의미는 지금까지 보안업계에서 내어놓은 멀웨어(악성코드) 탐지기술을 “계층적”으로 적용한다는 의미다. 특정 파일이 네트워크를 통해 다운로드되면 MATD는 다음과 같은 절차에 따라 다운로드된 파일이 멀웨어(악성코드)인지를 확인하다.
1. Whitelist 기반 검증
McAfee가 보유하고 있는 안전한 파일(운영체제 및 애플리케이션)의 목록에 포함된 파일인지를 비교하여 안전한 파일로 판단되면 더 이상의 검증을 하지 않는다. 아마도 이 기법에는 안전한 파일들에 대한 McAfee의 데이터베이스가 활용되는 것으로 보인다. 다운로드 되는 파일의 MD(Message Digest)를 생성한 뒤 McAfee에서 보관하고 있는 MD 데이터베이스에서 조회하면 되는 단순한 구조일 것이므로 검증속도도 상당히 빠를 것으로 보이며 가장 확실한 오탐방지 솔루션 중 하나일 것으로 예상된다.
2. 시그니처 기반 탐지
내부 네트워크로 전송되는 파일이 안전한 파일 목록에 없다면 멀웨어인지 확인하는 절차가 필요하다. 이때는 패턴기반의 고전적인 검증방법이 동원된다. 세미나에서는 McAfee에서 보유하고 있는 3억건의 블랙리스트와 비교한다고 한 것으로 기억된다. (많기도 하다.. -.- 그 악성코드를 만드는 노력을 인류평화와 발전에 썼다면 어떨까…) 하여튼 이 과정에서 탐지되는 멀웨어는 현재까지 알려진 멀웨어다.
3. 평판 기반 탐지
사실 이 단계에서부터가 진정한 APT 방어 솔루션의 기능이라고 볼 수 있다. 평판기반 탐지는 최근 안랩에서도적용한 기술이다. 안랩의 평판분석 기능은 각각의 PC에 설치된 백신이 새롭게 설치되는 의심스런 파일들을 안랩의 악성코드 분석센터로 전송하여 보다 세밀한 분석을 한 뒤 악성코드일 경우 새로운 패턴을 배포하는 형태로 동작하게 된다. 악성코드에 감염되어 피해가 발생한 PC에서 악성코드 샘플을 채취하여 갖고간뒤 분석하는 과거의 악성코드 샘플링 및 분석과 패턴 배포 과정이 자동화 되어 보다 신속하게 멀웨어에 대응할 수 있도록 만든 자동화 시스템을 “평판 분석”이라고 한다. (보안업계는 정말 그럴 듯한 용어를 잘 생산해 낸다.) McAfee의 MATD도 이러한 평판 기반 탐지가 구현되어 있는 솔루션이다.
4. 동적 샌드박스 분석
샌드박스란 Java 1.0 에서부터 존재하는 악성코드 탐지 솔루션이다. 사실 새로운 것이 아닌데 APT 공격에서 이슈가 되는 제로데이 취약성을 탐지하기 위해 보안업계에서 활용하면서 많이 이슈가 된 탐지 기법이다. 샌드박스는 다운로드 받은 Java Script나 Java Applet을 Java의 격리된 가상머신을 하나 더 구동하여 그 가상머신에서 Applet을 실행시켜 “공격”을 하는 행위를 하는지를 검사하는 형태의 탐지기법을 말한다.
McAfee의 MATD는 동적 샌드박스 분석을 위해 어플라이언스 1 대에서 최대 60개 가지의 가상머신(골드이미지:Windows계열 및 안드로이드 OS)을 동시에 구동하여 다운로드 받은 파일을 그 안에서 실행하고 침해행위(레지스트리 수정, 부트로더 파괴, 다른 실행파일 생성/감염)수행 여부를 검사하여 멀웨어 인지 아닌지를 판단한다.
이 동적 샌드박스 분석은 어플라이언스에 큰 부하를 줄 가능성이 높다. 따라서 업무시간의 지연을 초래할 가능성도 있기 때문에 무조건 수행되는 것이 아니라 1, 2, 3의 다양한 기존 방식으로 검사를 수행하고 기존 방식으로도 판단하기 어려운 경우에만 수행되도록 최적화 되어 있는 것으로 보인다.
5. 정적 코드 분석
정적 코드 분석이란 실행파일에 대한 목적코드를 분석하여 멀웨어 여부를 판단하는 기법이다.(리버스엔지니어링을 정적코드 분석의 일종으로 보기도 한다.) 하지만 대부분의 신종 멀웨어들은 이러한 정적코드분석을 하지 못하도록 패킹(packing)하는 경우가 많다. McAfee의 MATD는 최고의 언패킹(Unpacking) 기술을 갖고 있기 때문에 패킹된 악성코드도 언패킹하여 정적코드분석을 실행할 수 있다고 한다.
McAfee의 MATD는 지금까지 나와있는 네트워크 기반 보안 솔루션이 할 수 있는 모든 멀웨어탐지/방어솔루션에 동적샌드박싱과 정적코드분석 기법을 적용한 새로운 통합 APT 방어솔루션 쯤 된다고 할 수 있다.
오랫만에 참석한 보안 세미나였다.
자주 좀 공부하러 다녔으면 좋겠다.