파일무해화 솔루션 - 악성코드, APT 공격, 랜섬웨어 대응

    제품 이야기 2017.03.31 09:44


    매년 끊이지 않는 사이버테러!


    사이버테러의 공격 대부분은 성코드, APT 공격에 의해 일어나고 있는데요,

    최근 악성코드, APT 공격은 정보 유출로 끝나지 않고

    내부 시스템까지 파괴시키는 형태로도 나타나고 있기 때문에

    개인, 기업의 문제로 끝나는 것이 아닌 산업, 국가까지 큰 피해가 발생할 수 있습니다. 


    악성코드, APT 공격을 예방하기 위해선

    어떤 특징을 갖고 있는지, 어떻게 유입되는지 등을 알아야 할 텐데요~

    소프트캠프가 지금부터 자세히 알려드리겠습니다^^



    악성코드, APT 특징과 피해 사례

     

     

    악성코드, APT 공격은 과거와 달리 하나의 타겟을 정해서 성공할 때까지

    지속적으로 공격하는 것이 특징입니다. 


    악성코드, APT 공격의 특징은 대표적으로 4가지로 나눠질 수 있습니다. 


     ▲ Targeted

     - 특정 조직을 대상으로 뚜렷한 목적 달성을 위해 데이터를 훔치거나 피해를 주기 위해 설계

     - Elderwood Group(중국인민 해방군과 관련 있는 해커그룹)은 2009년 Google을 타겟으로 소스코드 공격 실행


     ▲ Persistent

     - 장기간 잠복하여 다양한 단계에 걸쳐 공격

     - Aurora 공격은 2009년 말 처음 발견되기 몇 달 전부터 감행되었으며 2010년 2월까지 지속되었음


     ▲ Evasive

     - 기존 보안제품들은 탐지방법을 피할 수 있도록 체계적으로 설계

     - Aurora 공격은 인터넷 익스플로러의 알려지지 않은 취약점을 착취하도록 특별제작 되었기 때문에 제로데이 공격을 

       감지하던 전통적인 보안제품들을 회피


     ▲ Complex

     - 공격대상의 허점을 공략하기 위해 다양한 공격방법을 조합하여 공격

     - Aurora 공격은 인터넷 익스플로러의 알려지지 않은 취약점을 바이너리 악성코드(Malware Binaries) 와 

       SSL 커넥션으로 가장한 비밀 커넥션을 사용하여 공격


    해커들은 악성코드, APT 공격을 위해 여러 가지 방법을 조합하여 사용하는데요,

    대표적으로 스피어 피싱, 제로데이, 사회공학적 기법이 있습니다. 


     ▲ 스피어 피싱(Spear Phishing)

     - 불특정 다수가 아닌 특정인 또는 조직을 표적으로, 신뢰할 만한 발신인이 보낸 것처럼 위장한 메일을 통해 

       악성 웹사이트로 유도 또는 악성 첨부파일로 악성코드에 감염시키는 일종의 온라인 사기행위


     ▲ 제로데이(Zero Day)

     - 운영체제나 네트워크 장비 등 핵심 시스템의 보안 취약점이 발견된 되 이를 막을 수 있는 패치가 발표되기 전에 
       그 취약점을 이용한 악성코드나 해킹 공격을 감행하는 수법


     ▲ 사회 공학적 기법(Social Engineering)

     - 시스템이 아닌 SNS나 가입 동호회 등 개인에 대한 장기간 조사로 자료를 수집한 후 관련자를 사칭하거나 

       상대의 관심과 호기심을 자극하는 기법


    악성코드, APT 공격 대부분이 스피어 피싱으로 시작되었는데요,

    문제는 장기간 치밀한 조사를 거쳐 진행하는 동안 악성코드를 끊임없이 변조시켜 탐지를 어렵게 하기 때문에 
    한번 감염되면 피하기 어렵습니다. 


    즉, 해커들이 공격할 표적을 정한 후 인터넷, SNS에 떠도는 표적의 정보를 수집하여 

    취미, 소속 조직과 관련된 신뢰할 만한 내용으로 메일을 보내는데

    이를 클릭하는 순간 악성코드에 감염되는 것 입니다. 


    또한, 개인 이메일로 실행파일이나 문서파일, 압축파일 등에 악성코드를 심어 보내서

    정보를 얻게 되면 그 PC를 장악해서 관리자의 권한을 얻고,

    기업의 다양한 정보를 빼내거나 네트워크를 쉽게 조작할 수 있게 되는 것이죠.



    악성코드 유입경로

     

     

    최근 이메일, USB, 스마트폰, 망간 자료전송 시스템 등

    다양한 경로를 통해 외부로부터 유입될 수 있는 파일의 경로가 다양해지고 있습니다. 


    예로 들어 2010년 이란의 원자력 발전소를 감염시킨 '스턱스넷' 도 USB 때문에 감염되었는데요,

    작은 USB 하나로 국가 기반시설이 해커에게 탈취될 수 있는 상황이 올 수 있다는 것을

    여실히 보여준 사례이기도 하며 우리나라 또한 간괴해서는 안되는 문제이기도 합니다. 


    또한 악성코드, APT 공격은 외부로부터 유입된 실행파일을 실행하는 것 뿐만 아니라

    악성코드가 포함된 문서를 여는 것 만으로도 감염이 됩니다. 


    이와 같이 악성코드, APT 공격은 

    점점 치밀하고 지능적으로 진화하고 있으며,

    개인, 기관/기업뿐만 아니라 국가도 그 공격 대상이 되고 있어

    이에 대한 통제와 관리가 매우 필요합니다. 



    망분리 환경에 특화된 파일무해화 솔루션, 실덱스(SHIELDEX)


     

    그럼 악성코드, APT 공격은 어떻게 막아야 할까요?


    문서, 이메일 USB 등 다양한 경로와 형태로 조직 내부로 유입되는데

    악성코드, APT 공격 막겠다고 이 모든 것을 아예 못쓰게 할 수도 없지요,


    소프트캠프 파일무해화 솔루션 실덱스(SHIELDEX)

    망이 분리된 환경에서 외부에서 유입될 수 있는 주요 경로를 통해

    유입되는 파일들을 무해화하여 안전한 콘텐츠만 내부로 들어올 수 있도록 하는 보안 솔루션 입니다. 


     

    이메일 첨부파일 뿐만 아니라 USB, 외장하드 등 외장장치를 통해 유입되는 파일을

    실덱스 무해화 처리 엔진이 Sanitization로 파일 구조 검사 후 

    안전한 콘텐츠만 남기고 문서를 재구성 합니다. 


    기존의 안티 바이러스나 악성코드, APT 대응 솔루션은

    악성코드의 패턴이나 파일정보 DB를 비교하는 정적분석(Static Analysis)과

    클라이언트 환경과 유사한 가상환경을 생성하여 악성여뷰를 검사하는 동적분석(Dynamic Analysis) 방식을 이용하여

    악성코드를 탐지 합니다. 


    정적분석은 신규 악성코드 DB가 업데이트 될 때까지 공격에 무방비하며,

    동적분석은 제로데이 공격에 취약한 점이 있는데요,

    실덱스는 콘텐츠 구조 분석 방식을 사용하여 콘텐츠의 구조를 분석하고

    안전한 컨텐츠만 추출하여 무해화/재구성을 하기 때문에

    기존의 솔루션들이 탐지할 수 없는 문서파일 형태의 악성코드에 대응할 수 있습니다.