태풍 볼라벤 위력으로 해킹방어대회 입상한 동료들

한반도를 강타한 태풍 볼라벤의 영향으로 비바람이 몰아치던 날, 안랩에서는 새로운 역사를 써내려갈 소모임 하나가 만들어졌다. 태풍의 강력한 비바람을 뚫고 이들을 서점으로 향하게 만든 그날의 열정을 잊지 말자는 뜻에서 만들어진 팀볼라벤

이러한 열정과 함께 단순히 모니터링만 하는 관제팀이 아니라 분석하는 관제팀을 만들고 싶다는 취지가 합쳐져 탄생한 이 소모임은 만들어진 지 얼마 되지 않아 큰 업적을 남기게 되었다. 그 주인공은 바로 팀볼라벤의 양광삼 대리와 김준호 사원. 과연 이들이 남긴 업적은 무엇일까?

팀볼라벤의 양광삼 대리(좌), 김준호 사원(우)

수상 팀 중 유일하게 분석 아닌 관제 연구원

팀볼라벤은 처음 참가한 IT 정보보안 축제 코드게이트 2013’에서 방어기술 콘테스트 부문 3위라는 놀라운 성적을 거두었다. 매우 큰 규모의 대회였던 만큼 치열한 경쟁과 상당한 부담감이 있었음에도 당당히 3위에 이름을 올린 이들은 한번 해보자하는 정신으로 그 첫발을 내딛었다.

코드게이트에 관해 알아보던 중 생각보다 다양한 분야가 있다는 것을 알게 된 양광삼 대리와 김준호 사원은 특히 코드게이트 방어기술 콘테스트 부문에 흥미를 느끼게 된다. 그동안 소모임을 만들어 꾸준히 연구해 오던 부분 중 하나를 선택해 콘테스트에 나가기로 한 이들은 다른 무엇보다도 준비한 부분을 정해진 시간 내에 발표해야 한다는 점이 큰 부담으로 다가왔다고 했다. 때문에 좀더 효과적으로 연구 내용을 전달하기 위해 빔프로젝터를 빌려 연습을 할 정도로 발표 연습에 많은 시간을 투자했다. 

팀볼라벤 발표의 주요 주제는 공다팩이었다. 읽기 어렵게 꼬여 있는 공격 코드를 쉽게 풀 수 있도록 하는데 많은 노력을 기울였고, 한 발 더 나아가 자체적으로 툴을 제작해 자동으로 분석할 수 있도록 했다. 지금까지 웹 툴 킷을 푸는 사람은 있었지만 이 방법을 공개하는 이는 드물었다고 한다. 그래서 누구나 풀 수 있도록 그 방법을 자세하고 알기 쉽게 풀어나가는 과정에 집중한 결과 좋은 결과를 얻을 수 있었다.

팀볼라벤은 다른 수상 팀과 다르게 분석 업무가 아닌 관제 업무를 하는 유일한 팀이다. 혹여 이러한 점 때문에 힘든 점은 없었을까? 평소 공다팩과 관련한 연구는 계속 해오던 것이라 크게 힘들게 다가온 것은 아니었지만, 새로운 부분에 진입할 때 이끌어주는 사람이 있었으면 좋았겠다는 아쉬움이 있었다고 한다. 아직은 보안 분야가 정보 공유가 활발하지 않아 궁금할 때 물어볼 사람이 없다는 게 힘든 점이라고 했다.

좋아서 열심히 하면 이미 성공한 것

이번 대회에 참가하면서 이끌어줄 누군가의 필요성을 절실히 느낀 이들은 인터뷰 중 향후 보안 분야에 관심을 두는 이들에게 조언도 빠뜨리지 않았다

"보안 관련 분야가 매우 광범위해 조급하게 생각하는 사람이 많은 것 같다. 그렇게 생각하지 말고 여러 분야를 조금씩 경험해 보면서 자신이 가장 매력을 느끼는 분야가 어떤 분야인지 정확하게 파악하고 본인이 좋아서 열심히 하다보면 결국 성공한 것이나 다름없다."

일을 하면서도 끊임없이 노력하고 배울 수 있다는 점, 세상이 발전해 갈수록 커져가는 위험을 내가 있음으로써 최소한으로 막아낼 수 있다는 점, 이들은 이 두 가지를 보안 관련 분야만의 최대 매력으로 꼽았다. 때로는 어렵고 힘들기도 하지만 다양한 위협을 막기 위해 최전선에서 뛰고 있다는 자부심이 강하게 느껴졌다.

 

마지막으로 이들은 "보안이 위협을 100% 막을 순 없지만 이 위협의 피해를 최소화하고, 또 적절한 대응으로 피해를 최소화하기 위해 많은 노력을 기울여야 할 것"이라며 보안의 중요성을 다시 한번 강조했다. 개인은 조금씩이라도 보안에 관심을 높이고, 국가나 기업은 다양한 공익광고나 캠페인으로 지속적으로 보안 의식을 고취해야 한다는 의견이었다.

이번 대회 참가로 많은 것을 배웠다는 팀볼라벤은 앞으로도 다양한 대회와 공모전에 참가할 생각이라고 밝혔다. 첫 대회에서 3위의 큰 결과를 얻은 만큼 이들이 앞으로 거둘 성과가 더욱 기대된다. 이러한 기대감이 팀볼라벤에 기분 좋은 부담감으로 작용해 더욱 더 좋은 성과를 만들어가길 바란다. Ahn

 

 대학생기자  김민정 / 건국대 경제학과

 선택의 순간 나는 내가할 수 있는 최선의 선택을 하고,

 최선의 선택을 최고의 선택으로 만드는 것 역시 나 자신이다.

 

대학생기자 김수민 / 아주대 전자공학부 

 사진. 사내기자 황미경 / 안랩 커뮤니케이션팀 부장

 

 

 

댓글을 달아 주세요

  1. 쾌도난마 2013.09.27 13:00  Address |  Modify / Delete |  Reply

    대단합니다.^^

CEO 진단, 최신 APT 공격 어떻게 막을까

현장속으로/세미나 2013. 3. 25. 07:00

지난 3월 7일 코엑스 인터컨티넨탈호텔 하모니볼룸에서 <12th Next Generation Network Security Vision 2013 세미나>가 열렸다. 이날 열린 세미나에는 국내외 보안 업체들이 다수 참가해 세미나 발표 및 전시를 했다. 오전에는 안랩(AhnLab), 넷맨(NetMan), 팔로알토(Paloalto)가 차세대 보안 로드맵을 제시하고 앞으로의 효율적인 보안 대책을 발표했다. 안랩 김홍선 대표는 ‘보안 패러다임의 변화 및 차세대 보안 전략’이라는 주제로 세미나를 시작했다. 다음은 주요 내용.

현재 한 개인이 쓰는 디바이스는 과거에 비해 많아졌다. 또한 IT 대중화로 인해 사용자는 디바이스가 사용자 중심으로 좀더 편리하고 안정성 있게 운영되기를 원한다. 만약 이런 사용자의 욕구를 충족시키지 않는다면 사용자는 그 제품을 사용하지 않게 된다. 단순히 제품(Product)으로 보는 것이 아니라 새로운 형태로 비즈니스 형태로 봐야 한다”며 대중의 관점에서 살펴보는 필요성을 역설했다.

최근 보안 업계 트렌드도 바뀌고 있다. 과거에는 패시브한 방식으로 백신과 IPS과 같이 알려진 외부 공격에 대비하고 방어했다. 하지만 최근에는 APT(Advanced Persistent Threat)라는 알려지지 않은 공격에 대해 개인뿐 아니라 기업까지 공격당하고 있다.

APT는 알려지지 않은 방식으로 공격을 하기 때문에 기존 방식으로는 막기 어렵다. APT 공격은 이전과 달리 굉장히 치명적이기 때문에 지능적으로 막아야 한다.

보안 위협의 변화 또한 주시할 필요가 있다. 현재 글로벌 조직 범죄가 일어나고 있으며 해킹 도구의 브랜드화가 일어나 일반인도 어렵지 않게 사용 가능하게 됐다. 최근의 공격은 악성코드를 통해 이뤄지고 있다. 요즘 모든 디바이스가 네트워크로 연결돼 다양한 루트로 악성코드가 들어온다. 매일 약 15만 개의 악성코드가 발생하고, 악성코드의 라이프 사이클도 줄어들었다. 악성코드는 특정 기업/기관을 겨냥해 지능적으로 이루어지는 APT 공격과 연계돼있기 때문에 각 기업은 주의해야 한다.

알려지지 않은 방식으로 은밀하게 공격하는 APT

뉴욕타임즈는 지난 2월 중국 해커로부터 여러 기밀 정보가 유출되는 APT 공격을 받았다. 더 놀라운 것은 그 사실을 넉 달 이상 탐지하지 못한 것이었다. 뉴욕타임즈 외에도 워싱턴포스트, EMC 등 주요 기업이 공격당했다. 과거 APT 공격의 주된 목적은 정부 및 군사 기밀 정보 탈취였다. 그러나 최근에는 금전적 이득을 취하고자 개인 정보나 기업의 기밀 정보 유출을 목적으로 한다.

과거 APT는 단일한 형태로 하나의 PC를 공격했지만, 최근 APT는 모듈화한 악성코드로 공격한다. 또한 장기간에 걸쳐서 디바이스에 은닉해있기 때문에 APT 공격을 받았는지 탐지하기가 어렵다. APT 공격은 한 PC에 머물지 않고 공격 대상 PC에 도달하기 위해 여러 PC의 취약점에 전이돼 공격한다. 적어도 6개월 정도의 로그를 파악하고 분석해야 공격의 시발점을 이해할 수 있다.

네트워크 보안 장비는 특정 임계치를 가지고 악성코드를 통제한다. 그러나 APT는 임계치 이하의 트래픽으로 공격하기 때문에 기존 장비로는 탐지하기가 어려워졌다.

APT 공격은 정상적인 루트로 공격하기 때문에 예측하기가 어렵다. 특히 공격 대상이 속한 국가에서 사용빈도가 높은 소프트웨어의 취약점을 이용한다. 예를 들어 해당 지역에서 신뢰를 받는 소프트웨어는 사용자가 아무 의심 없이 실행하기 때문에 보안에 취약할 수 있다. 최근에는 보안이 취약한 업데이트 서버를 장악해 보안 패치를 받을 경우 역으로 결국 APT 공격을 받기도 한다. 정상적인 루트로 공격하기 때문에 APT 공격을 포착하기란 어렵다. 

따라서 이런 특성에 최적화한 솔루션이 필요하다. 안랩의 APT 방어 솔루션 '트러스와처'가 대표적이다. 트러스와처는 클라우드 기반 분석 엔진, 행위 기반 분석 엔진, 동적 콘텐츠 분석 엔진(DICA Engine, Dynamic Intelligent Contents Analysis Engine) 등 세 가지 엔진으로 다차원 악성코드 분석/탐지 기능을 제공한다. 메모리 보호 기능을 우회하는 ROP 공격을 포착해내는 기술도 탑재했다. 이는 최근 급증하는 제로데이 공격도 놓치지 않고 감지하는 세계적으로도 앞선 기술이다. 이러한 기술의 우수성을 인정 받아 세계적 권위의 정보보안 어워드인 ‘인포 시큐리티 글로벌 엑설런스 어워드’에서 ‘신제품 출시(New product launch)’ 부문 동상을 수상하기도 했다. 

 

방어자 아닌 공격자 관점에서 보아야 

앞으로 정보보안의 지향점을 세 가지로 볼 수 있다.

첫째는 지능성. 네트워크뿐 아니라 웹, 애플리케이션이 어떻게 맞물려 돌아가는지 알아야 한다. 정보의 라이프 사이클을, 무엇보다 공격 행위를 보고 분석하고 다음 활동이 없는지 끊임없이 살펴봐야 한다. 모든 것을 당연하다고 넘기는 것이 아니라 과거의 이력까지 함께 보는 관점이 필요하다.

둘째는 실효성. 악성코드를 탐지하는 안티바이러스 소프트웨어에만 의존하지는 말아야 한다. 여러 계층에서 복합적으로 보는 관점이 필요하다. 실시간 감시뿐 아니라 사후 분석까지 완벽히 해야 한다.

셋째는 최적화. 앞으로 네트워크 트래픽이 급증할 것에 대비해 네트워크 보안 솔루션이 안정적으로 운영될 수 있는지 점검해야 한다. Ahn

 

대학생기자 김수민 / 아주대 전자공학부 


댓글을 달아 주세요