백신회사도 노리는 지능형 공격, 어떻게 막나?

악성코드를 잡아야하는 백신회사가 오히려 공격대상이 돼왔던 것이 어제 오늘 일은 아니다. 이 중에서도 최근 글로벌 IT매체에 이름을 올렸던 회사 중 하나가 카스퍼스키랩이다. 내부 시스템을 노린 해킹에 노출됐다는 얘기가 나오는가 하면, 경쟁사 제품이 정상 파일을 악성코드로 오탐(false positive)하도록 했다는 주장도 제기됐다.

더구나 지난 6월 미국 국가안보국(NSA)의 감시활동 폭로자인 에드워드 스노든이 공개한 최신 문서에 따르면 NSA와 영국 정보통신본부(GCHQ) 등과 같은 정보기관은 카스퍼스키랩은 물론 비트디펜더, 어베스트, 체크포인트와 함께 국내 안랩, 하우리 등에 대해서까지 리버스엔지니어링을 통해 백신 프로그램을 우회할 수 있는 취약점에 대한 연구를 진행해 왔던 것으로 나타났다. 일명 '캠버다다(Camberdada)'라고 불리는 프로젝트가 그것이다.

국내서는 3.20 사이버테러 당시 국내 백신회사들이 제공해왔던 패치관리시스템(PMS)이 악성코드 배포에 악용되기도 하는 등 주요 기업, 기관은 물론 백신회사들까지 공격대상이 되고 있는 실정이다.

7일 방한한 카스퍼스키랩 유리 나메스트니코프 책임연구원은 "이러한 공격들에 대응하기 위해서는 기본적으로 내부시스템에 대한 보안정책과 보안감사를 수행하고 있으며, 사법기관들과 정보를 공유하면서 공격을 막아내고 있다"고 밝혔다.

보안회사 입장에서 공격을 시도한 범인을 직접 찾아내기 어려운 만큼 내부에서 쉬쉬하고 있기보다는 사법기관과 적극적인 공조를 통해 문제를 해결해나갈 필요가 있다는 설명이다.

이 연구원은 최근 자사 시스템을 공격한 지능형 공격인 일명 '듀큐2.0'에 대해 "APT공격 대응을 위한 솔루션을 테스트 하는 중 감염사실을 발견했다"며 "최대한 정보를 수집한 다음에 공개적으로 관련 내용을 발표하게됐다"고 설명했다. 그는 "듀큐2.0이 이란 핵시설 등과 연계돼 있는 만큼 돈을 목적으로 했다기 보다는 정부의 지원을 받는 공격이었던 것으로 추정하고 있다"고 밝혔다. 더구나 이 공격은 카스퍼스키랩 뿐만 아니라 다른 백신회사들까지도 공격대상이 된 바 있다.

이어 최근 논란이 됐던 경쟁사 오탐 유도 논란에 대해서는 "시만텍 직원이 자신의 트위터에 직접 해당 내용을 확인해 본 결과 사실무근인 것으로 판명났다"고 밝혔다.

백신회사를 대상으로 한 분산서비스거부(DDoS) 공격도 공격자들이 자주 악용하는 수법 중 하나다. 카스퍼스키랩은 다른 글로벌 보안회사들과 마찬가지로 전 세계에서 클라우드 기반 보안정보공유서비스를 제공하고 있기 때문에 이러한 공격에 노출될 경우 심각한 피해가 올 수 있다.

이와 관련 카스퍼스키랩은 DDoS 공격으로 인해 30초~1분까지 일부 시스템이 다운된 적은 있어도 자체 구축한 방어솔루션을 통해 공격 트래픽을 우선적으로 다른 곳으로 돌리는 방식으로 대응하고 있다고 설명했다.

나메스트니코프 연구원은 이어 "백신회사 등을 공격대상으로 삼은 듀큐2.0과 같이 다른 나라 정부의 지원을 받는 것으로 추정되는 공격은 기본적으로 취약점이 배포되지 않은 제로데이 악성코드를 사용하며, 고도화된 암호화 알고리즘을 사용해 추적을 회피, 디지털인증서와 함께 운영체제(OS)의 커널단을 공격하는 등 고도의 수법을 쓴다는 점에서 돈을 노리는 사이버범죄 등과 구분된다"고 덧붙였다.

그는 이러한 백신회사까지 공격대상으로 삼는 이러한 지능형 공격을 막기위해서 크게 3가지 기본사항을 지켜야한다고 강조했다. 백신회사라고해서 예외는 없는 셈이다.

먼저 사람들에 대한 교육이다. 아무리 강화된 보안시스템을 갖추고 있더라도 사용자가 이를 무시하고 이메일에 첨부된 악성파일을 실행하거나 비트토렌트 등을 사용하고, 비밀번호를 주기적으로 바꾸지 않는다면 소용이 없다는 것이다.