센티넬프로토콜의 온라인 보안위협 색출 및 차단 절차 소개

By: 노블 탄, 센티넬프로토콜 보안대응 최고기술자

센티넬프로콜의 보안 사건/사고 분석방법을 ‘어떻게’ 하는지에 대한 소개에 앞서, 커뮤니티로부터 접수된 모든 개별 사건을 ‘왜’ 분석해야 하는지 이해할 필요가 있다.

일반 사용자들이 단순히 온라인 웹서핑을 할 때, 말웨어는 쉽게 컴퓨터로 침투하여 해킹의 위협을 받게 한다. 가장 위험한 말웨어 침투 시나리오는 온라인 다운로드, 이메일, 그리고 외장하드를 통해 제로데이공격이 급속히 전파되는 경우이다.

현실적으로, 제로데이공격을 방지할 수 있는 완벽한 해결책은 없다. 하지만 이러한 말웨어를 조기에 색출 할 수 있다면, 다른 사용자에게 확산되는 것을 방지하게 되고 피해를 최소화 할 수 있게 될 것이다. 결국, 최대한 빠르게 침해 사고의 증거(Indicator of Compromise : IOC)들을 확보/분석하고, 이를 모든 보안서비스제공자들과 공유 하는 것이 이러한 공격에 대응하는 중요한 핵심이 될 것이다.

크립토 보안 사건/사고도 앞서 설명한 말웨어 제로데이공격에 대한 대응논리와 크게 다르지 않으며, 접수된 모든 보안위협 정보 및 사건/사고 들을 신속히 분석하고 이를 공유함으로써 모든 암호화폐 사용자의 소중한 자산을 보호하고 발생한 보안위협의 피해를 최소화 하고자 하는데 센티넬프로토콜이 역할이 있다 하겠다.

무엇이 당신의 온라인보안을 위협하는가?

대부분은 사람들은 말웨어가 단순히 바이러스라고 믿지만, 바이러스는 다양한 말웨어의 형태 중 일부에 불과하다. 말웨어는 다양한 방식으로 침투하고 있으며 또 다른 여러가지 방법으로 확산된다.

가장 흔한 말웨어 형태는 아래와 같다.

1. Cryptojacking — 주로 Trojan 방식이나 웹사이트를 통한 다운로드를 유도해 설치되는 일반적인 말웨어 형태로서, 공격자는 임의로 사용자의 컴퓨터 자원을 비트코인이나 모네로 등의 암호화폐 채굴을 위해 사용하게 한다.

2. Keylogger — 말웨어의 일종으로 사용자의 키보드 입력 내용을 저장하여, 공격자ㄱ 사용자의 이름, 비밀번호, 신용카드 정보 그리고 그 밖의 개인적인 정보들(Personally Identifiable Information : PII)을 탈취한다.

3. Ransomware — 사용자의 시스템을 을 데이터를 암호화해 사용할 수 없도록 만든 뒤, 이를 인질로 금전을 요구하는 악성 프로그램 형태를 일컫는다. 대부분의 랜섬웨어의 지불방식은 추적이 어렵도록 암호화폐를 요구한다.

4. Trojan — Trojan은 일단 사용자의 시스템에 침투하게 되면, 공격자는 네트워크의 백도어를 통하여 사용자의 컴퓨터에 승인되지 않은 접근을 가능하도록 하기 때문에 가장 위험한 종류의 악성코드 중 하나로 알려져 있다.

5. Virus- 바이러스는 악성코드의 한 종류로서, 숙주가 되는 컴퓨터 프로그램과 파일을 변형시키고, 자기 자신이나 자신의 변형을 복사해 악성코드를 감염시킴으로써 컴퓨터 시스템을 파괴한다.

6. Cross-Site Scripting (XSS)- 해당 공격은 특정 웹서비스의 취약성을 통해 공격자가 악성코드를 사용자의 브라우저에 삽입함으로써 발생된다. 피싱 공격을 위한 악성코드를 유효한 웹 애플리케이션 URL이나 자바스크립트 등에 삽입하는 피싱 공격 기법이다.

분석 사이클

센티넬프로토콜의 포탈사이트를 통해 보고되는 대부분의 사건들은 내부의 보안분석가 집단과 ‘센티넬’들을 통해 검토된다. 센티넬들은 보안전문가 그룹으로서 자발적으로 해당 사건들의 보고들을 리뷰하고, 그들의 전문적인 분석 결과를 제공한다. 센테넬들의 판단은 그들의 조사와 확인된 증거에 기반하며, 보고된 데이터가 블랙리스트나 화이트리스트 중 어디에 포함 되야 하는지 결정된다.

이렇게 보고된 데이터가 블록체인 TRDB(Threat Reputation Database)에 최종적으로 작성되기 위해 웁살라재단은 2 단계의 검토 프로세스를 가지고 있다. 이렇게 이중 검토를 하는 이유는 다음과 같다. 첫번째 이유는 검토된 정보가 적합하고 검증 가능한 정보인지 확실히 할 필요가 있기 때문이고, 두번째로는 우리의 핵심적인 위협정보 데이터베이스에 오탐(False Positive) 정보가 포함될 가능성을 최소화하기 위함이다.

아래의 표1은 보고된 사건이 웁살라 보안 분석팀과 센티넬들에 의해 어떻게 리뷰 되는지를 보여주는 업무 흐름도이다.

우리는 무엇을 파악하는가?

URL’s

의심되는 URL을 보고받게 되면, 웁살라 보안분석팀은 별도의 샌드박스 환경을 통해 웹사이트에 접속하고, 모든 다운로드 받은 파일을 통해 악성행위들이 발견되는지 확인한다. 그후, 해당 웹페이지의 소스코드를 리뷰하여 해당 스크립트에 악성 코드가 있는지, 혹은 추후 다른 데이터로 변종 될 가능성이 있는지를 파악한다.

또한 우리는 적법한 웹사이트의 악의적 사칭을 방지하기 위한 조사도 수행하는데, 만약 여기서 독특한 소스코드 서명을 발견하게 되면, 이것에 대한 유해성 여부 판단을 위해 다양한 인터넷 아카이브 및 웹페이지 히스토리 등을 조사하게 된다.

예를 들면, ‘WHOIS’ 의 정보의 경우 행위자의 위치를 특정하고 해당 시설에서 호스팅되고 있는 악의적인 웹사이트를 찾는데 사용되는 등에 활용된다.

암호화폐주소

지갑주소는 알려진 암호화폐거래소와 같이 특정 독립 기관에 귀속된 정보로 증명된 것이 아니라면 주로 익명일 경우가 많다. 우리는 보고자들에 의해 전달받은 증거들을 바탕으로 해당 암호화폐주소가 다른 악성 사기행위에 이용되었는지 여부를 확인한다. 또한 자사 내부적으로 비트코인과 ERC20 토큰과 같은 암호화폐자금의 움직임을 추적을 할 수 있는 툴을 갖고 있으며, 다른 암호화폐에 대한 추적 기능은 향후 로드맵과 개발의 방향에 따라 추가 될 수도 있다.

말웨어

말웨어는 툴과 기술의 유효성 때문에 분석하기가 쉬운 편인데, OS 단의 이벤트들을 캡쳐하고, 시스템 파일 및 레지스트 변조/네트웍 콜백/기타 말웨어 감염될 가능성이 있는 각종 정보들을 캡쳐/분석 하기 위해 샌드박스 기술을 활용하고 있다. 더불어, 정적분석과 리버스 엔지니어링을 통해 악의적 위해요소가 있는 파일들의 근원적 위협을 분석하기도 한다.

이메일 주소

대부분의 알려져 있는 피싱 양식은 이메일 본문 또는 이메일 주소를 활용하는 것이다. 이메일 표준 포맷인 Multipurpose Internet Mail Extensions(MIME)은 잘 알려진 악성 이메일의 활동에 대한 서명을 찾는데 활용된다. 이메일의 진위 여부를 확인하기 위해 Sender Policy Framework(SPF), Domain Key Identified Mail(DKIM), 그리고 Domain-based Message Authentication Reporting & Conformance(DMARC)와 같은 식별자들을 가지고 악의적인 이메일 여부를 판단하게 된다. 이러한 식별자 외 피싱 URL 또한 이메일의 진위여부를 확인하는데 사용된다.