시그니처 기반 보안의 한계

안녕하세요! Chaning입니다.

오늘의 주제는 시그니처 기반 보안인데요.

시그니처 기반 보안은 지난 포스팅의 Defense in Depth와 마찬가지로 기업과 공공기관에서 가장 많이 사용하고 있는 솔루션입니다. 하지만 코로나 사태 이후로 늘어난 사이버 공격에 거의 대응하지 못하고 있습니다. 작년 1사분기에, 즉 3개월 동안 솔루션을 회피한 멀웨어가 약 74%나 된다는 조사 결과가 있었는데요. 어떤 한계점이 존재하는지 차근차근 알아보겠습니다.

무엇인지 알아보기 전에 시그니처라는 단어의 뜻부터 정리하고 가시죠.

시그니처 | Signature

영어로 서명 혹은 특징이라는 뜻입니다. 컴퓨터 보안 용어에서는 컴퓨터 네트워크 또는 시스템에 대한 악의적인 공격과 관련된 흔적, 패턴을 의미합니다. 이 패턴은 네트워크 트래픽의 파일(바이트 시퀀스)에 있는 일련의 바이트일 수 있습니다. 또한 승인되지 않은 소프트웨어 실행, 액세스, 디렉토리 액세스 또는 네트워크 권한 사용의 이상 징후를 나타낼 수도 있습니다.

마이클잭슨의 시그니처 문워크(?) — 저작권 때문이니까 이해 좀 해주세요 ㅎ;;

이해하기 쉬운 예를 들자면 체조 국가대표 선수인 양학선 선수의 양1, 마이클 잭슨의 문워크, 지네딘 지단의 마르세유 턴처럼 특정한 인물을 대표하는 기술이 있죠? 이것을 우리는 시그니처 기술이라고 하기도 합니다.

악성 코드나 해킹도 파일 내부 코드에 있는 특정 패턴이나 공격의 순서와 같은 특징을 시그니처라고 부릅니다.

그럼 시그니처 기반의 보안이 어떤 내용일지 감이 조금 오시죠?(그렇죠…?)

그 감이 맞는지 한번 보시죠!

시그니처 기반 보안

우선 각 파일에 대한 적절한 서명(패턴)을 만들고 저장소에 있는 알려진 서명(패턴)과 비교하기 시작합니다. 그 다음 네트워크 트래픽을 계속 모니터링하여 서명 일치 여부를 검색합니다. 만약 일치하는 파일이 발견되면 이 파일은 ‘위협’으로 분류되고 이 파일은 추가 작업을 수행할 수 없도록 차단됩니다.

시그니처 기반의 보안은 탐지가 가장 중요합니다. 시그니처 기반 탐지는 소프트웨어를 위협하는데에 사용되는 바이러스, 멀웨어, 웜, 트로이 목마 등을 찾아냅니다. 일반적으로는 백신 프로그램이 시그니처 기반 탐지를 사용합니다.(백신 아시죠?!)

깔끔하게 정리한 동작 순서를 보시죠.

동작 순서(백신ver.)

1. 새로운 유형의 악성 코드가 발견됩니다.
2. 악성코드의 데이터 조각이 데이터베이스에 추가됩니다.
3. 새 데이터베이스를 포함하도록 백신 프로그램이 업데이트됩니다.
4. 그런 다음 백신 프로그램은 악성코드의 데이터 조각을 검색하여 검사 중에 멀웨어를 찾을 수 있습니다.

시그니처 기반 탐지를 이용한 보안 솔루션은 방화벽, 침입 탐지 시스템(IDS) 등에서도 사용중입니다. 중요한 것은 공격을 탐지 했을 때, 데이터베이스(저장소)에 있는 공격 패턴과 비교하여 차단하거나 경고를 보내는 것입니다.

하지만 최근 들어 시그니처 기반 보안 전략의 허점이 드러나고 있습니다. 어떤 내용인지 함께 보시죠.

시그니처 기반 보안의 허점

요즘은 탐지를 회피한 공격, 제로데이 공격(알려지지 않은 취약점을 이용한 공격), 보안 솔루션 미업데이트로 인한 침해 사고 등 많은 허점이 드러나고 있습니다. 허점에서 가장 큰 부분은 저장소에 공격 패턴 즉, 시그니처가 없는 경우입니다.

1. 제로데이 공격: 드러나지 않은 취약점을 이용한 공격인 제로데이 공격은 시그니처 기반의 탐지에 잡히지 않습니다. 솔루션이 작동중이라도 저장소에 시그니처가 없기 때문에 탐지 자체를 할 수가 없는 것입니다.
2. 탐지 우회를 통한 공격: 심층 방어와 같은 구조에서 탐지하는 솔루션이 계층마다 배치되어 있지만 경로를 우회하는 방법은 존재할 수 있습니다. 이 경우 탐지 자체를 피하는 방법으로 침입하는 사이버 공격자는 시그니처 탐지 자체를 회피하여 시스템에 침입합니다. 한 예로 파일리스 공격은 파일을 사용하지 않고 메모리에서 실행만 시킬 수 있기 때문에 시스템에 피해를 입힙니다.
3. 공격 시그니처 미업데이트: 사용자, 관리자 측면에서의 허점입니다. 최신 버전의 업데이트가 출시되었지만 미처 업데이트를 하지 못했다면 새로운 공격에 대해서는 탐지를 할 수 없습니다. 저장소에 없기 때문입니다.
4. 멀웨어 리패킹 도구의 보급: 공격자들은 오래된 멀웨어를 리패킹하며 시그니처를 바꿉니다. 이 과정은 상당히 높은 수준의 작업인데요. 실력이 상당한 공격자들만 리패킹할 수 있었지만 요즘은 다크웹에서 리패킹 툴을 제공하고 있습니다. 이를 사용하면 멀웨어의 시그니처를 살짝 바꿔 공격에 활용할 수 있습니다.
5. 오탐 문제: 시그니처에 등록되어 있지 않은 의심 파일을 정상 파일임에도 삭제하고 치료하는 경우도 존재합니다. 정상 파일과 악성 코드를 구분하지 못한다는 것은 보안 장치로서는 치명적이죠.
6. 소 잃고 외양간 고치는 방식: 저장소에 시그니처가 담겨있다고 계속 말씀드리고 있는데요. 그렇다면 그 시그니처가 저장되는 순서는 어떻게 되는 걸까요? 일단 한번 피해를 입는 사용자가 발생해야 합니다. 피해가 발생하고 나서 멀웨어를 분석한 이후 저장소에 추가가 되면 업데이트 후 해당 시그니처를 탐지하고 방어할 수 있는 것입니다.

사이버 공격이 점점 더 많아지고 있는 상황에서 시그니처 기반 보안의 효과는 더 미미해질 것으로 보입니다.

시그니처 기반 보안과 지난 포스팅때 말씀드린 심층 방어, 이 둘의 공통점은 ‘수동적’이라는 키워드로 정리할 수 있는데요.

수동적인 보안 매커니즘이 가지는 문제점을 알려드리겠습니다.

수동적인 보안 매커니즘(a.k.a. 근무 환경의 변화)

시그니처 기반 보안 매커니즘이 잘 작동되고 효과 있었던 환경은 근무 환경이 회사일 때입니다. 즉 회사 내부망은 내부자 이외의 접속에 상당히 폐쇄적으로 동작합니다. 외부의 침입을 항상 감시하고 비정상적인 접속을 차단하는 것이죠. 내부에 물리적으로 진입하는 행위 자체가 어려울 뿐더러 외부 인터넷을 사용해서 침입하려면 회사 네트워크를 해킹해야 하기 때문입니다.

하지만 업무 문화의 흐름이 재택 근무로 변화하고 있습니다. 공격자들의 입장에서는 회사 네트워크로 진입하기 위해서 우회 경로를 찾는 방법보다 어딘가 취약점이 존재하는 사용자들의 홈 네트워크를 뚫는 것이 훨씬 쉽습니다. 시그니처 기반 보안 장치가 회사 네트워크에서 지속적으로 작동하고 있다고 해도 사용자 PC가 해킹당하게 된다면 사용자의 계정 정보를 탈취한 공격자는 탐지와는 관계 없이 회사 내부망으로 쉽게 접속할 수 있습니다.

공격이 발생하면 대응하는 수동적인 방식을 사용하고 있는 기존의 보안 매커니즘은 현재 과도기를 겪는 근무 환경과는 맞지 않습니다.

그 이유는 아래와 같이 간단하게 정리 하겠습니다.

1. 매일 발생하는 방대한 양의 공격에 대응이 불가능하다.
2. 보안의 적용 범위가 회사 네트워크와 엔드포인트(사용자)까지 넓어져야 한다.

그렇다면 앞으로 어떤 보안 매커니즘이 필요할까요?

발생한 공격에 대응하는 현재의 방식인 심층 방어와 시그니처 기반 보안 전략은 앞으로 다가올 미래에 대비하기는 어려워 보입니다.

수동적인 보안 매커니즘이 아닌 능동적으로 공격을 무산시킬 수 있는 새로운 전략이 필요해 보이네요.

아 맞다 ❗(어색)

마침 저희 스텔스솔루션에 안성맞춤이자 fit하고 엘레강스한 능동적인 보안 기술이 있는데요.(세상에 이런일이)

그 이름하야 스텔스MTD입니다. (링크 클릭 하세요!!!)

꼭! 읽어보시길 추천합니다.

오늘 포스팅은 여기까지입니다.

읽어주셔서 감사합니다.

Chaning이었습니다.(안녕!)