실시간
뉴스

인터뷰

“사이버공격 기술 상향평준화…‘해킹팀’자료, 범죄자들에겐 최고의 선물”

[인터뷰] 최상명 하우리 CERT 실장

- “신규 취약점 이용한 악성코드 유포 확산, 보안업데이트 필수”

[디지털데일리 이유지기자] “해킹팀 자료 유출로 사이버공격 기술이 상향평준화 시대가 됐다.”

전세계 사이버공격자들과 사이버범죄조직들이 이탈리아 업체인 ‘해킹팀’에서 유출된 보안취약점과 정교한 공격수법을 적극 활용하기 시작했다.

이를 두고 최상명 하우리 CERT(침해사고대응팀) 실장은 ‘공격 기술이 상향 평준화’ 됐다며 “해킹팀이 전세계 사이버 범죄자들에게 최고의 선물을 안겨줬다”고 지적했다.

해킹팀이 해킹을 당하면서 여러 최신 제로데이 취약점과 악성코드 제작기법, 스파이 툴 소스코드 등이 담긴 내부자료가 공개됐다. 이같은 정보는 고스란히 사이버범죄자들 수중에 들어갔다.

최 실장은 “최근 국내 웹을 통해 취약점으로 유포되는 악성코드의 99%가 해킹팀에서 유출된 플래시 취약점을 사용하고 있다”며 “랜섬웨어, 파밍, RAT(원격제어 악성코드) 등 온갖 악성코드가 전부 해킹팀 취약점으로 유포되고 있으며, 중국·러시아·북한 등도 사용하고 있다”고 말했다.

보안업계 분석에 따르면, 해킹팀 자료가 지난달 초 공개된 이후 시점에 웹을 통한 악성코드 유포 등 위협 활동이 이례적으로 감소하는 추세를 나타냈다. 악성코드 유포 건수가 줄어들었고, 특히 웹을 통해 뿌려지는 파밍 악성코드가 크게 감소했다.

하지만 이같은 상황은 곧바로 반전됐다. 지난 6일부터 9일까지 주말 사이에 국내 웹사이트 1000여가 해킹팀 플래시 취약점에 의해 악성코드를 유포하는 경유지로 악용됐다는 분석이 나왔다.

최 실장은 “국내에서 발견되는 웹을 통한 악성코드의 90% 이상은 파밍 악성코드로, 보름동안 잠시 주춤하는 듯 했지만 7월 마지막 주 종교 관련 웹사이트 등에서 해킹팀 보안취약점을 이용한 정보 유출하는 원격제어 악성코드 유포를 시작으로 관련위협 활동이 크게 증가하고 있다”고 지적했다. 랜섬웨어 유포 역시 더욱 두드러졌다는 것이 그의 설명이다.

그는 “어도비 플래시 취약점이 이젠 범용적으로 사용되는 상황이 됐기 때문에 악성코드 위협에 노출되기 쉽다”며 “사용자들의 보안 업데이트는 필수”라고 강조했다.

파이어아이, 카스퍼스키랩, 트렌드마이크로 등 해외 보안업체들은 최근 중국, 러시아 등 악명을 떨치는 사이버범죄조직들이 해킹팀에서 유출된 보안취약점을 이용한 사이버공격 사례를 포착했다.

이들을 포함해 보안업계에서는 앞서 전세계 사이버공격자들이 해킹팀의 제로데이 보안취약점과 악성코드 제작기법 등을 활용해 정교한 사이버공격을 벌일 것이라는 전망과 우려를 내놓은 바 있다.

우리나라뿐만 아니라 일본, 대만, 홍콩 등 취약한 웹사이트에서 해킹팀 보안취약점을 이용해 만든 악성코드가 심어져 유포되고 있다. 대부분 어도비 플래시 플레이어 취약점을 악용하고 있는 것으로 분석됐다.

해킹팀 이슈가 아니더라도 이미 새로운 악성코드는 시시각각 쏟아져 나오고 있던 상황이다.

매일 10만개 이상 신규 악성코드가 등장하는 환경에서 최 실장은 사용자들의 모바일과 PC 환경을 위협으로부터 보호하기 위해 최근 몇년간 공격에 악용되는 취약점을 차단하는 방법을 연구하는데 주력해 왔다.

그 결과 하우리가 개발한 것이 ‘바이로봇 APT쉴드’이다. APT쉴드는 행위기반 기술을 적용해 패턴 업데이트 없이도 취약점을 이용한 공격을 사전 차단한다. 시그니처 기반의 보안 솔루션의 한계를 넘어 제로데이 공격 차단에 효과적이다.

최 실장은 “이제는 악성코드를 막기 위해 '백신'에 일일이 패턴을 업데이트하는 것은 사실상 힘들다”며 “악성코드 감염 원인을 제거하면 안전하다. 보안 업데이트만 해도 80%는 감염되는 사례를 막을 수 있다. 이용자들의 보안 업데이트를 강제할 수 없기 때문에 취약점을 차단, 취약점 발생 위치에서 취약점을 막아 알려지지 않은 위협으로부터 보호하는 방식”이라고 설명했다.

지난 한 해 동안 APT쉴드가 막은 알려지지 않은 위협은 45만건에 달했다.

최 실장은 “APT쉴드는 지난 2007년부터 연구해 2012년에 개발했다”며 “APT쉴드를 사용하면 해킹팀에서 나온 새로운 보안취약점에 모두 대응할 수 있다. 물론 ‘바이로봇’ 백신에도 300개 이상 관련 패턴을 업데이트했다”고 덧붙였다.

하우리는 지금까지 APT쉴드를 개인들에게는 무료로 배포해 왔다. 최근 ‘바이로봇7.0’ 최신 제품을 출시하면서 ‘APT쉴드2.0’을 통합했다. 이와 함께 ‘바이로봇7.0’은 클라우드 기반 악성코드 분석을 거쳐 업데이트되고 있다.

최 실장은 논란이 되기도 했던 백신의 역할과 필요성에 대해 “APT쉴드는 취약점을 막는다. 하지만 보안업데이트나 APT쉴드같은 기술을 사용하더라도 이메일 첨부파일 등을 통해 유입되는 악성코드, 실행파일(exe)로 돼 있는 악성코드를 사용자가 직접 클릭해 설치하는 경우는 여전히 시그니처로 진단할 수밖에 없다”며 “백신은 기본적으로 필요하며, 여기에 APT쉴드같은 신규·지능형위협 대응 기술을 추가로 사용해야 한다”고 강조했다.

<이유지 기자>yjlee@ddaily.co.kr

디지털데일리 네이버 메인추가
x