본문 바로가기

보안 이야기

외부 보안 위협과 최신 대응 기술

 

개인 정보나 중요 정보를 다루고 있는 금융기관, 공공기관, 기업들은

망분리 뿐 아니라 다양한 보안 솔루션을 도입해서 내부 보안을 강화하고 있습니다.

 

그럼에도 불구하고, 중요 정보를 탈취하기 위해 고도화된 사이버 보안 위협들이

도처에서 도사리고 있는데요. 즉, 강력한 내부 보안을 구축하더라도

외부 위협으로부터 100% 안전하다고 확신할 수는 없는 것입니다.

 

이번 포스팅에서는 사이버 보안 위협 예방을 위해

다양한 외부 보안 위협과 유입 경로, 최신 대응기술에 대한 정보를 알려드리겠습니다.

 

 

ㅣ 다양한 외부 보안 위협

 

패커(Packer)

<악성코드 증가 추이>

 

매년 신종 악성코드가 급속도로 증가하고 있습니다.

2017년 멀웨어(Malware)는 7억 개를 돌파했고, 2018년에는 신종을 포함해 8억 개 이상의

멀웨어가 퍼질 것으로 예상하고 있습니다.

특히, 2010년 전후로 상용 패커(Packer)가 출연하면서 급증한 것을 위 그래프를 통해

확연히 보실 수 있습니다.

 

  패커(Packer)

  패커란 프로그래밍 언어로, 여러 플랫폼을 대상으로 하나의 소스 구성을 통해 동일한 머신 이미지를 

  만드는 도구

    ※ 출처 : 위키백과

 

좀 더 쉽게 설명하면,

패커란 실행파일의 크기를 줄이거나, 작성된 코드에 읽기 어렵게 만드는 도구입니다.

 

<패커를 이용한 악성코드>

 

패커를 사용하면 매우 손쉽게 다양한 패턴의 악성코드 생성이 가능합니다.

패턴이 바뀌게 되면 바이러스 백신으로도 탐지할 수 없는 가능성이 높습니다.

 

 

문서형 악성코드

 

 

 

  문서형 악성코드

  문서형 악성코드란 PDF, HWP, DOC, PPT 등과 같은 문서 속에 악성코드를 은익한 것입니다.

   ※ 출처 : 한국인터넷진흥원 블로그 (http://blog.naver.com/kisa118/221124275549)

 

최근에는 문서에 악성코드를 은닉, 위장하여 삽입하는 방식의 문서형 악성코드가 증가하고

신종 공격 방식으로 많이 이용되고 있습니다.

 

▲ 문서 파일 위장

    실행파일(exe) 확장자 이나 문서의 아이콘을 한글, doc, ppt 등으로 위장하여 사용자가 무심코

    실행하도록 유도하는 방식입니다.

▲ 악성 스크립트

    문서에 포함될 수 있는 매크로, VBS/JAVA/PowerShell Scrip 등에 악성 스크립트 삽입, 사용자에게

    실행하도록 유도합니다.

▲ 문서 편집 프로그램

    프로그램 취약점 이용하여 문서 열람 시 악성코드 실행, CVE(Common Vulnerabilities & Exposure)

    알려지지 않은 취약점 이용하여 악성코드를 은닉합니다.

 

대표적르로 문서형 악성코드를 이용한 공격 방법으로는

랜섬웨어, 스피어 피싱, APT 공격이 있습니다.

 

랜섬웨어

  워너크라이, 비너스락커, 이메일에 첨부된 이력서, 입사지원서, 발주서 등 문서

스피어피싱

  가상화폐거래소 해킹, 금감원 사칭한 이메일로 공문 위장한 파일

APT 공격

  이메일에 첨부된 매뉴얼로 위장

 

 

 

버퍼 오버플로(Buffer Overflow)

 

<버퍼 오버플로 이용 방식>

 

  버퍼 오버플로(Buffer Overflow)

  버퍼 오버플로란 서버에서 가동되고 있는 프로그램에, 설정되어 있는 수신 용량보다

  훨씬 큰 용량의 데이터를 한꺼번에 보낼 때 서비스가 정지되는 상태, 보낸 데이터에

  특수한 실행 프로그램을 넣어두면, 정지시킨 서비스가 관리자 권한으로 움직이는 경우에

  그 특수한 프로그램이 관리자 권한으로 동작한다. 이렇게 하여 서버에 침입하여 다양한

  공격을 한다. 버퍼 오버플로는 응용 프로그램을 이용하여 보내진 데이터가 수신 용량을

  넘는지는 체크하도록 해두면 막을 수 있다.

   ※ 출처 : 네이버 지식백

 

버퍼(Buffer)는 데이터가 저장되는 메모리 공간,

오버플로(Overflow)는 넘쳐흐른다는 의미를 가지고 있습니다.

즉, 버퍼 오버플로는 데이터가 저장되는 메모리 공간에

할당된 크기 이상으로 큰 데이터를 다른 메모리 공간까지 침범하여 저장하게 되는 취약점입니다.

 

 

 

외부 소프트웨어 개발 회사를 통한 공격

 

<외주 소프트웨어 개발 회사를 공격하여 침투하는 공격>

 

망분리 환경을 구축했거나, 보안을 강화한 조직인 경우 외부에서 침투하는 것이 쉽지 않습니다.

하여, 상대적으로 보안이 소홀한 외주 소프트웨어 개발사를 타깃으로 공격해서 침투하는데요.

타깃으로 하는 조직이 사용하는 외주 개발업체의 서버나 소프트웨어를 악성코드로 감염시킨 후,

감염된 소프트웨어를 내부로 반입하여 설치/패치하면 바로 서버에 접속하여

타깃 조직의 서버를 침투하고 장악합니다.

즉, 바이러스 검사만 우회해서 통과하면 내부망으로 바로 침투할 수 있는 것입니다.

 

 

 

ㅣ 외부  보안 위협 유입 경로 및 한계점

 

가장 강력한 보안 대응책으로 꼽히는 망분리 환경에서 발생할 수 있는

멀웨어의 유입 경로와 이에 대한 현재의 보안 조치를 살펴보면 다음 표와 같습니다.

 

망분리 환경에서 멀웨어(Malware)가 유입될 수 있는 경로와 현재 보안 조치

 

구분

유입 경로

보안 조치

USB 외장장치

 보안 USB 사용 지침

 내부 PC 복사 시 바이러스 검사

망연계 시스템

 인터넷망과 내부망

 스트리밍 / 파일 연계 시스템

 내부 전송 파일 바이러스 검사

대민 업무 시스템

 외부에서 파일 업로드 가능한 각종 민원시스템

 바이러스 검사

개발 공급 체인

 사용/외주 소프트웨어 공급 체인 소스 코드

 보안 취약점 분석

 바이러스 검사

 

망분리 환경에서 현재 가장 최선책으로 택하고 있는 보안조치는 바로 바이러스 검사입니다.

하지만, 이런 최선책이 바로 최소한의 대책이 될 수 있습니다.

왜냐하면, 바이러스 검사는 신종 악성코드를 탐지하기 어렵고,

모든 외부의 보안 위협을 다 막을 수 있다는 보장은 없기 때문입니다.

 

 

 

ㅣ 최신 대응 기술

 

 

<외부 보안 위협에 대한 최신 대응 기술>

 

바이러스 검사만으로 막을 수 없는 외부 보안 위협에 대응할 수 있는 최신 기술로

탐지 기술, 제거 기술, 격리 기술, 보안 관리 4가지 소개해 드리겠습니다.

 

탐지기술

 샌드박스

 실제와 격리된 가상환경에서 파일을 열람 또는 실행하고 

 이상 행위를 출처로부터 감시하여 알려지지 않은 보안 취약점

 악용 여부 확인

 위협 인텔리전스

 다양한 출처로부터의 위협 정보를 취합하여 공유/제공하는 서비스

 엔드포인트 탐지 대응

 비정상 행위에 대한 관리 솔루션

 엔드포인트단에서 비정상 행위를 분석해 알려지지 않은 위협 탐지, 

 피해 확산 빠르게 대응

제거기술

 파일 무해화 및 재구성 

 외부에서 유입되는 파일을 무해화 처리하고, 안전한 요소만 추출하여 재구성

 행위 분석/탐지, 패턴 분석이 아닌 검증된 콘텐츠로만 문서 재구성하여

 내부로  반입

격리기술

 브러우저 격리 

 PC 업무환경을 일반영역 vs 보안 영역 논리적으로 구분 및 분리하여

 보안 영역 드라이브 암호화

 문서 격리

 문서를 사용자 PC가 아닌 원격의 샌드박스 화면에서 열람할 수 있는 

 환경 제공

보안 관리

 개발 체인 격리 

 조직 내 배포, 설치, 패치되는 모든 프로그램의 위협요소를 사전에

 검출, 관리해주는 서비스 

 제어시스템 보안 관리

 정보통신 기반 시설 중에 제어시스템에 대한 보안 관리 규정 강화

 셀프 키오스크를 통해 외부 유입 저장매체 관리, 파일 검증,  내부 감염 원천 

 차단