|
영화 ‘감기’의 충고, “최초 감염자를 찾아라!” AhnLab / 2016-08-01
“사상 최악의 바이러스가 대한민국을 덮친다!”
지난 2013년 8월 개봉한 영화 '감기'의 메인 포스터에 등장하는 카피다. 이 영화는 지난 2015년 메르스 사태가 발생하면서 재조명되기도 했다. 최근 3년 전에 봤던 이 영화의 포스터를 우연히 마주치게 됐다. 그리고는 직업병 덕분에(?) 엉뚱한 생각을 하고 말았다. ‘이 영화 카피에서 단어 몇 개만 바꿔도 IT 관련 기사 제목으로 쓸 수 있겠는데? 사상 최악의 랜섬웨어가 한국을 덮치다!’
알다시피 IT 보안 용어 중에는 의학 용어를 차용한 표현들이 많다. 바이러스, 격리, 최초 감염자(Patient Zero) 등이 바로 여기에 해당된다. 국내에서는 악성코드 치료 프로그램을 안티바이러스(Anti-virus)나 안티멀웨어(Anti-malware) 대신 이해하기 쉬운 ‘백신’이라고 부르고, 이와 함께 ‘치료’라는 표현을 사용하고 있다. 이렇다 보니 의학 관련 영화를 볼 때면 묘하게 낯익은 용어들 때문에 이런 저런 엉뚱한 상상으로 이어진다. 이 글에서는 영화 '감기'와 묘하게 닮은 최근의 보안 위협 트렌드를 이야기하고자 한다.
▲ 영화 '감기' 포스터
본론으로 들어가기에 앞서 영화의 줄거리부터 간단히 되짚어보자. 2013년은 홍콩발 조류독감이 화두가 되던 시기였다. 마침 이 영화는 홍콩에서 코리안 드림을 꿈꾸는 외국인 노동자들이 컨테이너 박스에 몸을 싣고 한국으로 밀입국하는 장면부터 시작한다. 그들 중 감기에 걸린 사람이 섞여 있었고, 한국으로 오는 도중 이것이 엄청난 바이러스형 독감으로 변이 된다. 결국 이들이 한국에 도착했을 때에는 단 한 명만을 제외하고 모두 죽게 된다.
그러나 진짜 문제는 살아남은 이 한 사람이 연신 기침을 하며 길거리를 돌아다니면서 발생한다. 변이된 바이러스를 온 동네로 퍼뜨리게 된 것이다. 정부의 안일한 대응까지 한몫 거들면서 결국 이 치명적인 바이러스에 수많은 사람들이 희생된다. 이 영화는 이런저런 우여곡절 끝에 항체를 발견하고 백신을 개발하여 대응한다는 내용으로 끝을 맺는다.
기존 체계를 우회하여 침투
영화 초반에 밀입국 브로커로 보이는 한 선원이 출항 전 밀입국자들의 최종 인원 점검을 하는 장면이 나온다. 아픈 사람이 있는지 묻는 선원에게 다들 아프지 않다고 답하는데, 감기에 걸린 환자마저 자신이 감기에 걸린 것을 숨긴다. 선원은 별다른 의심 없이 인원 점검을 마친다.
이것만으로 벌써 감이 오는 사람들도 있을 것이다. 인원 점검을 하는 선원은 시그니처 매칭 방식으로 탐지하는 기존의 보안 솔루션으로 비유할 수 있다. 단순한 독감 바이러스에 감염된 밀입국자는 바로 각종 보안 솔루션의 탐지를 우회해 내부 침입에 성공한 악성코드로 볼 수 있다.
단순 시그니처 매칭 방식의 보안 솔루션들은 신•변종 악성코드나 알려지지 않은 방식으로 침입하는 공격에 대해 방어하기 어렵다.
내부 침입에 성공한 후 치명적인 악성코드로 업그레이드!
단순한 독감 바이러스에 감염된 밀입국자를 싣고 있는 컨테이너 박스는 일종의 배양소 역할을 한다. 한국으로 밀항하는 동안, 그 속에서 독감 바이러스는 치명적인 바이러스로 변이하게 된다. 이것은 내부 침입에 성공한 단순한 형태의 악성코드가 시스템 내에서 공격자 서버(C&C Server: Command & Control Server)와 암호화 통신을 하면서 치명적인 악성코드로 업그레이드되는 것과 매우 유사하다. 최근 급증하고 있는 랜섬웨어는 C&C 통신을 통해 공개키(Public Key)를 다운받은 후 감염된 PC 내에 있는 파일을 암호화한다. 악성코드가 C&C 통신 시 사용하는 암호화된 패킷은 별도의 트래픽 복호화 솔루션이 없다면 검사가 불가능하다.
대응하려면 ‘최초 감염자’부터 찾아라!
치명적인 바이러스가 확산되면서 심각한 피해가 발생하자 백신 개발이 시급한 문제로 대두된다. 백신 개발에 필요한 항체를 확보하려면 먼저 유의미한 샘플을 채취해야 한다. 영화에서는 군•관이 힘을 합하여 밀입국한 최초 감염자(Patient Zero)를 필사적으로 찾아 나선다. 이것은 보안 업체에서 악성코드 샘플을 수집하여 시그니처를 제작하고, 백신 등 보안 솔루션에 반영하여 대응하는 프로세스와 동일하다.
여기에서 주목해야 할 부분은 최초 감염자(Patient Zero) 또는 첫 번째 희생자(First Victim)로, 이는 IT 보안에서 큰 의미를 지닌다. 첫 번째 희생자, 즉 최초 감염된 PC를 확보해야만 샘플을 채취할 수 있으며, 채취된 샘플을 보안 업체로 전달해야 보안 업체가 시그니처를 제작해 사용자들에게 배포함으로써 위협에 대응할 수 있기 때문이다. 이것이 현재의 일반적인 보안 대응 체계다.
그러나 랜섬웨어 등 최근의 보안 위협은 일반적인 체계만으로 대응하기 어렵다. 랜섬웨어는 PC에 침입하자마자 파일을 암호화하는데, 일단 암호화된 파일은 거의 복구가 불가능하다. 즉, 이제는 첫 번째 희생자(First Victim)도 포기해서는 안되는 상황이 된 것이다.
최신 보안 위협, 첫 번째 희생자를 포기해야만 하는가
신•변종이 잇따라 등장하고 있는 랜섬웨어는 점차 지능형 위협(Advanced Persistent Threat?, APT) 형태로 변모하고 있다. 이러한 지능형 랜섬웨어에 대한 최선의 대응책은 ‘예방’과 ‘선제적인 방어’다. 따라서 기존의 보안 솔루션으로는 신•변종 악성코드 및 랜섬웨어에 대응하기 어려운 부분을 해소하기 위해 네트워크 샌드박스(Network Sandbox) 기반으로 탐지하고 분석할 수 있는 솔루션이 필요하다. 이와 함께 첫 번째 희생자의 피해를 막기 위해 엔드포인트(endpoint)와 연계할 수 있는 대응책도 반드시 필요하다. |
'<정보 및 지식> > ◈ 컴퓨터 & IT' 카테고리의 다른 글
| 열대야로 잠 못 드는 밤, ‘꿀잠’을 위한 IT 아이템 (0) | 2016.08.18 |
|---|---|
| 당신은 안녕하십니까…기계로 대체될 직업은? (0) | 2016.08.13 |
| 2016년 하반기 보안 위협, ‘이것’을 주목하라! (0) | 2016.08.06 |
| 포켓몬 GO! 악성코드 GO?! (0) | 2016.08.03 |
| 디지털 휴가족을 위한 '취향저격' IT기기 (0) | 2016.08.02 |