모순(矛盾)이란 말이 있다. 삼척동자도 알고 있는 고사성어 『모순』. 이 고사성어는 모든 것을 뚫을 수 있는 창과 어떤 창이라도 막을 수 있는 방패를 파는 장사꾼이야기에서 유래되었다. 나는 이 고사성어를 들을 때마다 『앞뒤가 맞지 않음』이라는 그 본래의 의미보다 온라인범죄를 일삼는 해커(크래커)와 보안업체와의 끝없는 싸움이 연상된다. 세상의 어떤 것도 뚫을 수 있는 창을 가진 해커. 그리고 그 창을 막을 수 있는 방패를 가진 보안업체. 이 두 집단이 한 번씩 주거니 받거니 하며 끝없는 싸움을 하고 있다. 개인적으로는 지금까진 해커집단의 우세라고 생각한다. 그도 그럴 수 밖에 없는 것이 공격자 입장에서는 단 한 곳의 허술한 부분을 찾으면 뚫을 수 있는 것이고, 수비자 입장에서는 단 한 곳이라도 허술하면 뚫리기 때문이다.

해커가 가진 네 가지 창 

첫 번째 창
해커들이 찾아낸 허점, 사실 그냥 허점이라고 하기엔 너무나 강력해서 세상의 모든 방패도 뚫어 버리는 강력한 창, 해커는 이런 것을 몇 개씩이나 가지고 있다. 그 중 대표적인 것은 이제는 너무나도 유명해져 버린 DDoS공격이다. 지난달 우리나라는 정체불명의 괴한(?) 또는 괴집단으로부터 목적을 알 수 없는 DDoS공격을 받았다. 주요기관과 회사들의 홈페이지가 마비되는 불편함을 격어야 했다. TV뉴스를 포함해서 각종 언론에서 연일 다루는 바람에 전국민이 DDoS를 어떻게 발음해야 하는지 알게 되었을 정도다. 이들 해커 아니 온라인범죄자에게 있어 DDoS는 아주 훌륭한 공격도구다. 완벽한 대응방법이 없기 때문이다. 서버의 앞 단에 설치되는 스위치, 라우터 등의 네트워크장비나 방화벽, IPS, UTM등의 보안장비 들 중에 뭔가 하나가 한계 성능에 도달하면 홈페이지 접속이 불가능해진다. 더욱이 이 모든 장비가 충분히 갖추어져 있어도 준비된 대역폭을 넘는 패킷이 들어오면 장비들은 모두 온전히 살아있지만 홈페이지는 접속되지 않는 우울한 상황이 계속된다.

두 번째 창
해커가 찾아낸 두 번째 허점은 제로데이공격이다. 이는 시스템에 존재하는 취약점을 공격하는 것이다. 취약점이 발표되면 그로부터 수시간 내에 악성코드로 제작되어 배포되는 것으로 알려져 있다. 이렇게 제작된 악성코드는 패치가 개발되고 시스템에 설치되기 전까지 유효하다. 특히 스팸이나 피싱, 트로이목마와는 달리 사용자의 오감(五感)으로 공격을 감지해낼 방법이 낼 방법이 없는 경우가 태반이다. 쥐도 새도 모르게 당해 버린다고 할까? 발표된 취약점 또는 패치를 자동으로 분석해서 공격도구를 만드는 수준까지 도달했다고 하니 참으로 걱정이 아니 될 수 없다.

세 번째 창
세 번째는 변종을 포함해서 엄청나게 늘어나는 악성코드의 수다. 도대체 하루에 얼마만큼의 악성코드가 발견되는지 알 수가 없다. 2009년에는 하루에 2~3만개의 악성코드가 나타나는 것으로 추정하고 있을 뿐이다. 한정된 인력으로 구성된 분석팀에 처리할 수 있는 것 이상으로 많은 샘플쏟아 부어지고 있다. 악성코드분석팀에 DDoS공격을 하는 셈이다. 이외에도 루트킷이다 뭐다 더 많지만 필자가 정말 걱정하는 건 따로 있다.

네 번째 창
바로 특정인을 대상으로 한 공격이다. 금전이나 중요한 정보의 침탈을 목적으로 특정인을 공격한다면 과연 당해낼 자가 있을지 의문이다. 온/오프라인을 곁들여서 전화와 우편, 인터넷을 섞어서 그리고 미리 알아내둔 개인정보를 활용해서 공격한다면 속수무책으로 당할 수 밖에 없다. 최근에 일부 기관에서 고위층 이름으로 발송된 허위 메일이 발견되었다는 이야기를 들은 적이 있다. 이메일의 이름을 바꿔서 속이는 거야 너무나도 간단하니 해킹이라 할 거리도 없다. 당신이 오늘 상급자에게 받은 메일이 진짜 일까? 당신이 상급자로부터 받은 메일에 첨부된 실행파일을 실행하는 순간 당신PC에 저장된 기밀문서가 해커의 손으로 넘어가 버릴지도 모른다. 요즘 세상엔 믿을게 하나도 없다.

보안 업체가 가진 네 가지 방패

첫 번째 방패
최근 2~3년 동안 보안업체는 완전히 수세에 몰려있었던 것 같다. 폭발적으로 늘어나는 악성코드를 처리하기에 급급했었다. 전통적인 AV제품은 블랙리스트방식이다. 이는 악성코드로 의심되는 샘플을 수집하고 샘플을 분석하여 악성코드로 확인되면 파일을 특정부분을 코드화하여 시그니처로 엔진에 탑재하여 사용자PC에 배포하는 방식이다. 이 방식은 안철수의장님이 의사생활을 하면서 밤새 프로그래밍하던 시절부터 몇 년 전 하루에 악성코드가 수십 개 정도 발견되던 시절까지 매우 효과적인 방법이었다. 그러나 지금은 상황이 다르다. 처음 부딪힌 문제는 분석량이었다. 하루에 도착하는 수천 건의 샘플을 인간이 손으로 어떻게 다 분석한단 말인가? 자동화에 자동화를 거쳐서 분석문제가 줄어들자 두 번째 부딪힌 문제는 엔진크기 문제였다. 많이 잡으면 잡을 수록 엔진크기도 같이 늘어난다. 엔진이 커지면 메모리도 많이 쓰게 되고 CPU도 많이 쓰게 된다. PC가 느려지는 것이다. 따라서 엔진의 다이어트가 시급해 졌다. 엔진크키가 커지면 업데이트시 네트워크 대역폭도 많이 쓰게 되고 자동분석으로 하루에도 수 차례 이상 업데이트가 이뤄지면서 트래픽도 자연스레 늘게 되었다. 또 다이어트한 엔진의 크기도 어느덧 다시 한계가 가까워지고 있었다.

두 번째 방패
이 때 혜성처럼 나타난 것이 클라우드 시큐리티다. 클라우드 컴퓨팅에서 아이디어를 얻어서 시작된 이 기술은 이제 막 알에서 깨어난 상태로 무궁무진한 발전가능성이 있다. 해커들에게 한방 날린 것이라 할 수 있다. 이 기술은 서버쪽에 데이터를 두고 PC쪽에는 탐지와 실행을 주로 담당하게 한다. 시그니처 데이터가 모두 서버에 있고 PC에서는 필요할 때 마다 서버에 접근해서 확인함으로써 PC에 모든 시그니처를 둘 필요가 없어졌다. 기하급수적으로 늘어나는 악성코드 때문에 엔진크기를 걱정해야 할 필요가 없어져 버린 것이다. 더욱이 샘플의 수집과 분석 과정이 자동으로 일어나기 때문에 그 어느 때 보다 빠른 대처가 가능해졌다. 빠른 샘플의 수집과 대응으로 서버쪽 장비를 증설하는 것으로 일관했던 DDoS대응방식을 PC단말에서 DDoS공격의 원천을 차단하는 방식으로 전환이 가능해졌다. 이상행위를 수행하는 악성코드를 탐지하고 보고하기 때문에 동시 다발적으로 발생하는 이상행위에 대해서 DDoS공격 경보를 할 수도 있게 된 것이다. 드디어 보안업체도 멋진 방패를 하나 가지게 되었다.

세 번째 방패
방패는 많으면 많을수록 좋다. 이에 나타난 세 번째 방패는 화이트리스트기반, 평판기반보안이다. 앞서 언급한 블랙리스트개념과는 정반대의 개념이다. 알려진 안전한 어플리케이션목록을 만들고 이 목록에 들어가지 않는 어플리케이션은 악성코드로 간주하는 것이다. 이 개념은 이론적으론 너무나도 완벽하다. 내가 쓰는 한정된 프로그램이 아니면 다 악성코드로 간주해버린다면 내 PC에 악성코드는 발을 못 붙인다. 특정인을 공격하도록 작성된 악성코드도 실행이 안되니 무용지물일 뿐이다. 악성코드가 빠져나갈 구멍이 없어 보이지 않는가? 이론적으로는 매우 간단해 보이지만 실제로는 만만치가 않다. 좋은 프로그램과 나쁜 프로그램은 어떻게 구분할 것이며 마찬가지로 내가 쓰는 프로그램과 내가 쓰지 않는 프로그램은 또 어떻게 구분할 것인가?라는 난제가 있다. PC에 있는 파일을 식별하는 것이 관건이다. 파일을 누가 개발해서 배포한 것인지 어떤 제품에 속해 있는지를 알아내야 한다. 파일을 제작한 회사가 인증서로 서명 한 번만 해주면 쉽게 해결될 일 이지만 대부분의 중소 소프트웨어벤더는 서명을 하고 있지 않다(참고로 마이크로소프트의 모든 PE파일에는 서명이 되어있다). 완벽하진 않지만 해외에서 Bit9이란 회사가 이 분야를 전문적으로 하고 있다. 이 분야에서도 안철수연구소의 그레이제로를 비롯하여 여러 시도가 되고 있으며 시만텍의 내년도 제품에는 평판기능이 들어가 있다.

네 번째 방패
보안 업체가 보유한 마지막 방패는 HIPS(Host-based Intrusion Prevention)이다. 이는 너무도 막강해서 잘못 쓰면 주화입마 돼버린다. 이 기술도 화이트리스트기반이다. 두 번째와 다른 것이 있다면 파일 뿐만 아니라 행동기반으로 개별행위까지도 화이트리스트에 근거해서 차단해 버린다는 것이다. 세 번째 HIPS기술은 매우 중요하다. 앞의 두 방패는 제로데이공격을 막을 수 없기 때문이다. HIPS는 사전방어적인 기술로 잘 사용되면 매우 강력히 악성코드를 막을 수 있다. 예를 들어서 임의의 프로세스가 시스템 프로세스를 조작하려고 하면 가차없이 차단해 버린다. 이 또한 개념이 단순하고 깔끔하다. 그러나 문제는 정상적인 프로그램도 시스템 프로세스를 조작할 수 있다는 것이다. 이 기술을 도입한 제품은 정상적인 프로그램과 악성프로그램을 구별하는 것을 사용자가 결정하도록 알림창을 띄운다. 문제는 사용자가 알림창을 본다고 해도 악성인지 정상인지를 알 길이 없다는 것이다. 게다가 알림창은 엄청나게 자주 뜬다. 문제가 이렇다 보니 HIPS기반 제품에서는 인증서로 서명된 프로세스의 행위는 허용하도록 하는 정책을 통해서 이 문제의 해결을 시도하고 있다. 그러나 여전히 서명된 프로그램의 숫자가 매우 적기 때문에 미진한 부분이 있다.

과거 수년간 확실히 악성코드는 맹위를 떨쳐왔다. 그러나, 지금 우리는 수년간의 고생 끝에 그 들에 대항 할 수 있는 그리고 판도를 뒤집을 수 있는 기술을 찾았다. 클라우드 컴퓨팅과 평판기반 보안, 행동기반 HIPS와 같은 무엇이라도 막을 수 있는 방패 같은 기술을 손에 막 넣기 시작했다. 아직은 미완성상태이지만 올해 그리고 내년쯤엔 이 기술들이 서로 잘 어우러져 완성된 모습을 갖출 것이다. 그리고 이는 단지 시간문제다. 내년 이맘때쯤엔 온라인으로 못된 짓을 하는 범죄자들에게 카운터펀치를 먹일 수 있기를 희망한다.@

지난 2009년 7월 9일 늦은 밤 7월 10일 0 시 이후 하드디스크 데이터를 파괴하는 악성코드에 대한 주의가 언론을 통해 대대적으로 홍보되었다. 이른바 7.7 DDoS 공격에 이용된 악성코드 중 하드 디스크 데이터 파괴 기능을 가진 악성코드의 증상 날짜가 확인된 것이다. 언론을 통한 대대적인 홍보에 많은 사람들이 7월 10일 이전으로 날짜를 변경했다. 이런 시스템 날짜 변경은 악성코드 대처에 얼마나 도움이 될까?

특정일 활동 악성코드

컴퓨터 바이러스가 일반에 제대로 알려지기 전인 1988년 초에 13일의 금요일에 실행되는 파일을 삭제하는 예루살렘 바이러스(Jerusalem virus)에 대한 경고가 있었지만 바이러스가 널리 퍼지지 않아서인지 피해보고가 거의 되지 않았고 컴퓨터 바이러스는 존재하지 않는 신화라는 주장도 나왔다. 그후 언론에 대대적으로 특정일 경고로 알려진 바이러스는 미켈란젤로 바이러스이다. 1991년에 발견된 미켈란젤로 바이러스는 매년 3월 6일에 사용하는 디스크 데이터를 파괴하는데 첫 활동일인 1992년 3월 6일이 다가오면서 시스템 날짜를 3월 6일 이전이나 이후로 바꾸라는 내용이 언론을 통해 알려진다. 미켈란젤로 바이러스로부터 시스템을 보호하기 위해 3월 6일 이전이나 이후로 바꾸는 방법은 1997년까지 국내에 기사화 되었다. 

초기 악성코드 제작자들은 사람들을 깜짝 놀라게할 목적으로 악성코드를 제작하는 경우가 많아 자신의 생일이나 마음에 들어하는 사람의 생일 등 의미있는 날짜에 증상을 일으키는 경우가 많았다. 하지만, 악성코드 제작 목적이 금전적 이득으로 바뀌면서 이런 특정일 활동 악성코드는 거의 사라지게 된다.

감염일이 아닌 활동일

많은 사람들은 날짜를 변경하라는 말에 특정 날짜에 컴퓨터를 사용하면 악성코드에 감염되는 것으로 오해한다. 하지만, 보통 악성코드는 다른 날에도 감염 활동을 하며 감염되어 있을 경우에만 특정 조건(trigger) 일 때 증상(payload)을 일으키게 된다.

즉, 특정일에 컴퓨터를 사용한다고 해서 악성코드에 감염되는게 아니라 시스템이 특정 악성코드에 감염되어 있을 때만 메시지 출력이나 데이터 파괴 같은 특징적인 증상이 나타나게 된다. 반대로 얘기하면 악성코드에 감염되어 있지 않다면 굳이 날짜를 변경할 필요가 없다.

불필요해진 바이러스 달력

바이러스 활동일을 담은 바이러스 달력 은 한때 유행했고 악성코드에 대한 주의를 환기 시키는 용도로는 어느 정도 도움이 되었다. 하지만, 전체 악성코드를 대상으로 한다면 이미 1993년에 발표된 바이러스 달력에도 바이러스로부터 안전할 날은 29일에 불과했다. 따라서, 달력을 만들 때마다 모든 악성코드가 아닌 현재 유행하는 악성코드를 달력에 담아야하는 작업이 필요하다. 또, 특정일 뿐 아니라 특정 요일, 특정 시, 특정 분에 활동하는 악성코드도 있기 때문에 365 일 안전한 날은 없기 때문에 실질적인 악성코드 예방 효과는 없다.

이런 바이러스 달력은 바이러스에 대한 주의를 환기시키는 목적으로 이용되었지만 특정일에 증상을 나타내는 악성코드가 거의 나타나지 않고 지나치게 불안감을 조성할 수 있다는 이유로 악성코드 활동일을 담은 바이러스 달력은 사라지게 된다.

날짜 변경보다 보안 습관

‘날짜 바꾸면 안전한가 ?’라는 질문에 대한 답이라면 임시 방편으로는 유용하다이다. 하지만, 이런 행동은 장기적인 보안 관점에는 도움이 되지 않는다.

어떤 위협에 있어 지나친 불감증도 문제이지만 지나치게 공포감을 느낄 필요는 없다. 악성코드에 대해 지나친 공포감을 가질 필요는 없으며 평소 보안 업데이트를하고 최신 보안 프로그램을 사용하면서 보안 수칙을 잘 지키며 컴퓨터를 이용하는게 단순히 날짜를 변경하는 것보다 훨씬 도움이 된다.

[1] http://www.munhwa.com/news/view.html?no=19970305267
[2] http://contents.dt.co.kr/images/200302/2003021702011160614002.jpg

백신 프로그램의 한계

백신 프로그램은 악성코드 진단/치료(삭제)에 가장 쉽게 널리 사용되어 유용하지만 몇 가지 한계가 존재한다. 

1. 어떤 백신 프로그램도 모든 악성코드를 진단하지 못한다.
2. 신종 악성코드에 대비하기 위해 꾸준한 업데이트가 필요하다.
3. 악성코드 위협과 대응 사이에 시간이 필요하다.
4. 정상 파일을 악성코드로 진단하는 오진이 발생할 수 있다.
5. 치료 후 감염 파일이나 시스템이 악성코드 감염 이전과 동일하지 않을 수 있다.

첫째, 어떤 백신 프로그램도 모든 악성코드를 진단하지 못한다. 백신 프로그램은 새롭게 발견된 악성코드의 고유 시그니처를 추가해서 진단/치료하는 프로그램이다. 신종 악성코드에는 취약하다는 단점에 유사 변형을 진단하는 특성진단(Generic detection) 및 의심스러운 코드를 진단하는 휴리스틱 진단(Heuristic detection) 등으로 알려지지 않은 악성코드를 진단할 수 있다. 하지만, 악성코드 제작자 역시 백신 프로그램으로 테스트하며 진단 회피 방안을 계속 마련하고 있으므로 이들 기술로도 완벽하지 않다.

둘째, 신종 악성코드에 대비하기 위해 꾸준한 업데이트가 필요하다. 백신 프로그램은 새로운 악성코드를 진단할 수 없기 때문에 꾸준한 업데이트가 필요하다.

1991년에는 일년에 4차례 업데이트가 이뤄졌다. 1996년에는 한 달에 한번 업데이트를 권했으며 1998년에는 매주 업데이트를 권했다. 하지만, 1999년에는 매일 업데이트를 진행한 업체가 등장했으며 2004년에는 매시간, 2008년에는 매 5-15분 업데이트 주기 제품이 등장했다.

표 1 백신 프로그램의 업데이트 주기

업데이트 과정에서 시스템에 부하를 줄 수 있다. 이에 사용자 컴퓨터가 쉴 경우에만 업데이트를 하는 방식으로 사용자 부하를 줄이기 위해 노력하고 있다.

셋째, 악성코드 위협과 대응 시간에 격차가 존재한다. 악성코드 수가 증가함에 따라 백신 업체는 업데이트 주기를 단축하기 위해 노력하고 있다. 하지만, 현재와 같은 ‘접수’ –> ‘분석’ –> ‘시그니처 작성’ –> ‘테스트’ –> ‘배포’ 과정까지 빠르면 3시간 정도에서 늦으면 하루에서 며칠씩 걸릴 수 있다. 새로운 시그니처 작성 시간 동안 사용자의 컴퓨터는 신종 악성코드에 감염되어 피해를 당할 수 있다.

넷째, 정상 파일을 악성코드로 진단하는 오진이 발생할 수 있다. 잘 알려지지 않은 프로그램에서 시스템의 중요 파일을 악성코드로 오인해 삭제할 수 있다. 백신 업체에서는 오진을 줄이기 위해 노력하고 있지만 사용자들 역시 평소 잘 사용하던 프로그램이 악성코드로 진단되면 오진을 의심해 봐야 한다.

다섯째, 치료 후 감염 파일이나 시스템이 악성코드 감염 이전과 동일하지 않을 수 있다. 정상 파일에 바이러스가 감염되면 파일 내용 중 일부가 변하는데 감염 되기 전 데이터를 보관하지 않을 경우 치료 후에도 이전 값으로 동일하게 돌아가지 않을 수 있다. 또, 악성코드에 감염되면서 변경하거나 추가한 레지스트리나 파일 내용이 남아 있을 수 있다. 이런 특히 쓰레기 파일이 완전히 복원되지 않아 악성코드를 치료한 후에 에러 메시지가 뜨거나 파일이 정상적으로 실행되지 않을 수 있다.

백신 프로그램은 이렇게 몇 가지 한계가 있지만 초보자부터 파워 유저까지 악성코드에 감염된 시스템과 파일을 진단/치료하는데 큰 도움을 주는 프로그램이다. 다만, 백신 프로그램만 너무 맹신하는 것보다 백신 프로그램의 한계를 잘 이해하고 평소 보안 습관을 잘 지키는 것이 안전한 컴퓨터 사용을 위해 무엇보다 중요할 것이다.@

참고자료

[1] Andreas Marx, ‘The Usual Suspects – Part 1’, Virus Bulletin, December 2000
[2] Dr. Richard Ford, ‘All Virus Disinfection is Evil’, Virus Bulletin, May 2001
[3] Nick FitzGerald, ‘Some Disinfection is Evil’, Virus Bulletin, May 2001