다른 모든 방법이 실패하더라도 네트워크를 안전하게 지켜줄 수 있는 것, 바로 네트워크 행위 분석(NBA: Network Behavior Analysis)에 관해 살펴보는 것도 흥미로울 것 같다. 우선 우리가 유념해야 할 두 가지 중요한 원칙이 있다.
서명 기반 네트워크 보안 도구들은 본래 작용-반작용의 성격이라는 점과 100% 보안이라는 것은 없다는 사실이다.
오늘날 상당수의 네트워크 보안 문제는 맬웨어 때문이다. 맬웨어는 사용자의 명백한 동의 없이 컴퓨터 시스템에 손상을 가하기 위해 디자인 된 소프트웨어로 컴퓨터 바이러스, 웜, 트로이 목마 그리고 스파이웨어 등을 포함한다.
보다 더 큰 문제는 다른 상업용 소프트웨어만큼 맬웨어를 쉽게 구할 수 있으며 어느 정도의 컴퓨터와 인터넷 지식을 가진 사람이라면 누구라도 쉽게 구입하거나 가질 수 있고 그것을 매우 악의적으로 사용할 수 있다는 점이다. 엠팩(MPack)은 암시장, 즉 불법 웹사이트에서 약 1,000달러면 살 수 있어 상업용 소프트웨어 못지 않은 관리 콘솔 페이지를 포함하고 있고 개발자들이 기술 지원과 일정한 업데이트를 제공하며 모든 방문객을 감염시키는 웹 페이지를 소유할 수 있게 해준다.
암시장에서는 또한 단돈 700달러면 트로이 목마 프로그램을 살 수 있고 맬웨어의 암호화는 프로그램 당 약 5달러에 불과하다. 게다가 1M 이메일 주소들은 100달러면 살 수 있고 스팸 서버는 500달러에 대여된다. 따라서 설사 엠팩이 없더라도 악의적인 범죄자는 1,000달러도 들이지 않고 상당한 손상을 가할 수 있다.
맬웨어의 급증
구글 보안 팀의 닐 프로보스(Niels Provos)는 10억개의 웹사이트들 내의 악성 코드를 자세히 조사했고 최소 45만개의 악성 코드를 지닌 웹사이트들을 확인했다. 악성 코드는 의심스러운 사이트들에만 한정되는 것이 아니라 제3자 애플리케이션을 허용하는 대중적인 웹 2.0 사이트들에도 존재한다. 일례로 미국에서 상당히 인기 있는 소셜 네트워킹 웹사이트 페이스북(Facebook)에서 바이러스가 애플리케이션들 중 하나와 AOL 인스턴트 메신저를 통해 퍼졌다. 하지만 맨 처음 바이러스가 나타났을 때 어느 안티 바이러스 소프트웨어도 그것을 감지하지 못 했고 따라서 그것은 순식간에 번졌다.
일반적으로 사이버 범죄자들은 극히 적은 퍼센트의 피해자들을 계획한다. 예를 들어 만일 1M 피싱 이메일 수신자들 중 10%가 응답한다면 잠재 피해자들은 100K가 되고 만일 그 100K 사용자들의 10%가 실제로 개인 은행 정보를 주었다면 10K의 사람들이 피해자가 된다.
만일 사이버범죄자들이 각각의 피해자들로부터 단지 100달러만 취했더라도 그것은 이미 100만달러가 되며 피해자들은 100달러의 정당한 권한을 위해 그 사고를 보고할 시간조차 가질 수 없을 것이다. 그러므로 타겟의 1%만이라도(1M 타겟 중 10K) 피싱 이메일의 피해자로 전락한다면 누적되는 손상은 엄청나다.
스톰(Storm)이라고 불리는 가장 잘 알려진 봇넷 역시 매력적이고 시기적절한 제목의 스팸 이메일에 그 뿌리를 두고 있다. 최초의 이메일들은 실제 폭풍(storm)이 유럽을 통과하고 있을 때 ‘유럽을 난타한 폭풍으로 230명 사상’이라는 제목으로 발송됐다. 첨부 파일을 클릭 했던 사람들은 맬웨어에 감염됐고 그들의 PC들은 좀비화 됐다. 이후 그들은 제목과 첨부 파일명을 바꾸며 비슷한 전략을 사용하고 있다.
최근에도 ‘메리 크리스마스’나 ‘새해 복 많이’와 같은 공휴일·기념일 또는 명절 e-카드처럼 보이는 가짜 이메일을 보내고 있는데 그 이메일의 링크를 클릭하면 악성 코드가 있는 웹사이트로 연결된다. 또한 전형적으로 봇넷 실행자들은 좀비가 악성 코드를 위한 프록시나 호스트의 역할을 하는 곳에 패스트-플럭스 DNS(fast-flux DNS) 전략을 사용한다. 그들은 봇넷의 발견을 방지하기 위해 자신들의 DNS 기록을 바꾸며 끊임없이 순환한다. 지금까지도 스톰 봇넷의 정확한 규모나 그 뒤에 숨어있는 인물은 알려지지 않았다.
알려지지 않은 것을 두려워하라
위협들 중 최악의 것은 알려지지 않은, 혹은 감지할 수 없는 코드나 공격들이다. 어떤 공격이나 악성 코드가 알려진 것이라면 그것은 감지되거나 완화될 수 있다. 그러나 그것이 알려지지 않은 것이라면 페이스북의 바이러스 사건처럼 피해자들은 무기력할 수밖에 없다. 충분히(?) 많은 사람들이 감염되고 그 사고가 보고 된 후에야 픽스와 패치들이 만들어지고 배포된다.
만일 어떤 범죄자가 정말 똑똑하다면 그는 적은 수의 감염된 호스트(좀비)와 최소한의 공격들만 보관하여 그것들이 발견되지 않도록 할 것이다. 혹은 최소한의 대역폭을 사용하거나 사용자, 또는 네트워크 관리자에게 거의 들키지 않는 코드를 디자인 할 수도 있다. 그리고 악성 코드 획득의 용이함과 재정적인 수익을 비롯한 광범위한 유용성이 증명하듯 그러한 범죄자들을 따라잡는 것은 더욱 더 어려워질 것이다.
보안 업체들은 오직 알려진 공격이나 악성 코드들에 관한 패치들과 서명들을 배포할 수밖에 없으므로 본질적으로 반작용적일 수밖에 없다. 또한 알려지지 않은 공격이나 코드를 막을 수 없기 때문에 사실상 어떠한 종류의 보안에 있어서도 100%의 보안이란 존재하지 않는다. 서명 기반의 선천적인 특징인 양성 오류와 부정 오류들은 말할 것도 없다. 업계에 따라 보다 심각할 수도 있다.
어떤 고객은 너무 많은 오류 때문에 서명 기반 솔루션 사용을 포기하기도 한다. 그것이 바로 네트워크 관리자나 IT 매니저들이 다중 레이어 보안 장치를 갖춰야 하는 이유다. 게다가 과거의 봇넷 실행자들은 약간의, 혹은 거의 보안을 갖추지 않은 일반 가정 사용자들만을 타겟으로 했지만 최근에는 많은 기업 PC들 또한 맬웨어에 감염되어 있고 봇넷에 관련되어 있다고 보고되고 있다.
네트워크 보안의 최후 방어선 확보
네트워크 불안의 세계에서 네트워크 행동 분석은 최후의 방어선으로 여겨지고 있다. 네트워크 행위 분석(NBA : Network behavior analysis)은 네트워크 전반에 걸쳐 트래픽이나 플로우 정보를 서버 컬렉터로 모아 효과적인 방식으로 보여준다. 넷플로우(시스코), IPFIX, cFlow, sFlow 등과 같은 프로토콜들 중 하나, 혹은 조합을 통해 정보를 수집할 수 있는 많은 방법이 있다. 상업용, 또는 오픈 소스 컬렉터 소프트웨어가 시중에 많이 존재하기 때문에 고객들이 선택할 수 있는 솔루션은 이미 충분하다.
NBA는 네트워크에 대한 보다 명백한 가시성을 제공한다. 그것은 어떤 호스트가 얼마나 많은 대역폭을 사용하는지, 어떤 TCP나 UDP 포트를 사용하는지, 내/외부 호스트의 접촉 빈도, 또는 네트워크 내에서 주로 사용되는 프로토콜이 어떤 것인지 등을 알려줄 수 있다.
따라서 NBA는UDP 플러딩 공격의 신호, 즉 각기 다른 소스들로부터 하나의 목적지에 이르는 UDP 패킷의 급등을 감지하는데 사용될 수 있을 뿐만 아니라 내부나 외부의 공격을 모두 탐지할 수 있다. 이와 같은 방식으로 NBA는 TCP 플러딩과 같은 다양한 유형의 플러딩 공격들이나 포트 스캔, 혹은 그 이상의 것을 감지하는데 쓰일 수도 있다.
또한 수상하거나 알려지지 않은 외부 호스트와 반복적으로 접촉하는 내부 호스트를 감지하는데 사용할 수 있어 P2P 애플리케이션 작동이나 좀비화의 신호를 감지할 수 있다. 따라서 오직 NBA와 함께해야만 당신의 네트워크는 최대한 안전해질 수 있다. 아직까지 NBA 소프트웨어는 대부분 네트워크 보안에서 감지 목적으로 사용되고 있지만, NBA 소프트웨어 업체들이 완화 피처 또한 제공하기 시작하기까지는 그리 오래 걸리지 않을 것이다.
<글: 정양섭 기가핀네트웍스(GigaFin Networks) 제품 매니저>
[월간 정보보호21c 통권 제90호 배군득 기자(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
이올린에 북마크하기
