일전에 말씀드린 바와 같이 전세계적으로 표적형 공격이 증가 추세에 있는데요, 일본 특집 기사 시리즈로 '바이러스 대책 소프트웨어로는 효과 없음' 이라는 제목의 기사가 올라왔네요.
이 기사에는 흥미로운 연구 결과가 포함되어 있습니다.
일본 침해사고 대응 센터(JPCERT)와 텔레콤 ISAC (통신업체 연합 보안 대응 센터)은 2005년 4월과 5월에 걸쳐 인터넷에 취약한 시스템을 올려두어 바이러스 감염 현황을 파악했는데요, 감염된 바이러스의 약 80% 가 기존 백신으로 검출되지 않는 바이러스였다고 합니다.
( 바이러스 감염 현황 통계 )
이런 결과가 나온 것은 바이러스 제작자들도 VirusTotal 같은 서비스, 백신 업체의 인터넷 진단 서비스, 다운로드 가능한 백신 평가판 등을 이용해 미리 돌려본 후 탐지되지 않는 바이러스를 퍼뜨리고 있기 때문입니다 (일본 ISS사 CTO 타카하시 씨의 견해).
또한 100 달러~ 5,000 달러 정도의 금액에 Zero-day 취약점 정보를 구매할 수 있는 암시장이 존재하기 때문에 표적형 공격을 수행하기 훨씬 수월해졌습니다(미국 SonicWall 존 쿤 매니저 견해).
반면 보안 회사 입장에서는 표적형 공격이 몇 명~몇 십명 정도의 소수만을 겨냥해 이루어지기 때문에 공격 사실을 알기 어렵습니다. 공격 대상이 된 사람 중 IT 와 보안에 대한 지식이 해박한 전문가가 있다면, 보안 회사 전문가들이 출동하고 샘플을 입수해 백신 진단 패턴에 포함되겠지요. 그러나 이럴 가능성은 극히 낮습니다.
우연한 기회에 운이 좋아 발견했다 하더라도, 공격자가 공격 도구에 조금의 변화를 주어 실시간으로 업데이트해버리면 발견이 더욱 어려워집니다. 일본 보안 회사 담당자 말로는 '하루에 4번이나 신규 업데이트를 하는 봇넷 제작자도 있었다' 고 하네요.
( 백신 제작자와 봇넷 제작자의 업데이트 경쟁 )
위 그림을 보시면 백신 탐지를 회피하기 위해 지속적으로 업데이트를 수행하는 것을 보실 수 있습니다.
점점 Stealth 화 해가고, 소수를 공격 대상으로 이루어지는 표적형 공격은 보안 업체의 감시 범위를 넘어가고 있어 대응이 나날이 힘들어지고 있다는 정도로 요약할 수 있겠네요.
이 기사에는 흥미로운 연구 결과가 포함되어 있습니다.
일본 침해사고 대응 센터(JPCERT)와 텔레콤 ISAC (통신업체 연합 보안 대응 센터)은 2005년 4월과 5월에 걸쳐 인터넷에 취약한 시스템을 올려두어 바이러스 감염 현황을 파악했는데요, 감염된 바이러스의 약 80% 가 기존 백신으로 검출되지 않는 바이러스였다고 합니다.
( 바이러스 감염 현황 통계 )
이런 결과가 나온 것은 바이러스 제작자들도 VirusTotal 같은 서비스, 백신 업체의 인터넷 진단 서비스, 다운로드 가능한 백신 평가판 등을 이용해 미리 돌려본 후 탐지되지 않는 바이러스를 퍼뜨리고 있기 때문입니다 (일본 ISS사 CTO 타카하시 씨의 견해).
또한 100 달러~ 5,000 달러 정도의 금액에 Zero-day 취약점 정보를 구매할 수 있는 암시장이 존재하기 때문에 표적형 공격을 수행하기 훨씬 수월해졌습니다(미국 SonicWall 존 쿤 매니저 견해).
반면 보안 회사 입장에서는 표적형 공격이 몇 명~몇 십명 정도의 소수만을 겨냥해 이루어지기 때문에 공격 사실을 알기 어렵습니다. 공격 대상이 된 사람 중 IT 와 보안에 대한 지식이 해박한 전문가가 있다면, 보안 회사 전문가들이 출동하고 샘플을 입수해 백신 진단 패턴에 포함되겠지요. 그러나 이럴 가능성은 극히 낮습니다.
우연한 기회에 운이 좋아 발견했다 하더라도, 공격자가 공격 도구에 조금의 변화를 주어 실시간으로 업데이트해버리면 발견이 더욱 어려워집니다. 일본 보안 회사 담당자 말로는 '하루에 4번이나 신규 업데이트를 하는 봇넷 제작자도 있었다' 고 하네요.
( 백신 제작자와 봇넷 제작자의 업데이트 경쟁 )
위 그림을 보시면 백신 탐지를 회피하기 위해 지속적으로 업데이트를 수행하는 것을 보실 수 있습니다.
점점 Stealth 화 해가고, 소수를 공격 대상으로 이루어지는 표적형 공격은 보안 업체의 감시 범위를 넘어가고 있어 대응이 나날이 힘들어지고 있다는 정도로 요약할 수 있겠네요.
덧글