조지 오웰은 자신의 미래관을 담은 소설 '1984'에서 텔레스크린이란 장치로 가득한 전체국가를 예견했다.
텔레스크린이란 국가가 시민들을 감시하는 도구를 지칭한다. 그러나 PC와 모바일 장치들과 같은 현대 기술에 대한 높은 의존도와 광범위하게 접할 수 있는 크라임웨어 등을 생각해보면, 오늘날의 세상은 오웰의 상상을 초월한다.
크라임웨어란 대규모의 금융 범죄를 자동화하기 위해 특별히 설계된 악성코드 무리를 일컫는다. 현대 사람들은 오웰이 경고했던 텔레스크린의 현대 버전인 모바일 기기 형태로 항상 들고 다니는 셈이며, 그 안에는 카메라, 마이크, GPS가 내장되어 있고 사용자의 모든 상호작용들을 담고 있다.
시민들의 생활 면면을 감시하는 오웰의 전체국가는 없지만, 대신에 무수히 많은 개인 범죄자들과 적대국들이 있다. 전 지구상에 퍼져있는 그들은 우리의 모든 움직임과 대화, 행동 등을 추적하는 기술 범위 내에서 크라임웨어를 이용할 수 있다.
현재 보안 기술로는 방어에 급급
크라임웨어가 광범위하게 확산되면서 우리는 사실상 범죄자들, 경쟁자들, 적들이 원하는 일을 할 수 있도록 우리의 삶 전부를 전세계로 방송하고 있는 셈이다. 사생활 보호니 익명이니 하는 과거의 피곤한 개념들은 말할 것도 없고, 이제 과거의 보안 개념들은 더 이상 아무것도 통하지 않는다.
크라임웨어가 오늘날의 기술들을 성공적으로 약화시키는 것을 막을 수 있을만한 방법은 많지 않다. 그 가운데 하나로는 악성코드의 기술들을 역으로 이용해 궁극적인 제어권을 획득하기 위한 접전을 벌이는 이열치열 방식이 제안되고 있다.
이 크라임웨어 백신 접근법은 크라임웨어가 PC내에서 데이터를 빼내지 못하게 함으로써 크라임웨어를 좌절시키지만, 그것을 실질적으로 제거하지는 못한다.
한편 인텔과 맥아피는 최근에 현재의 프로세서 기술을 버리고 침입이 어려운 새 프로세서를 다시 설계하자고 제안했다. 프로세서 인프라 전체를 완전히 교체하고 업데이트하는데 얼마나 많은 시간과 비용이 들지는 상상에 맡기겠다.
하지만 어느 쪽이건 간에 크라임웨어가 얼마나 심각하게 우리 기술들을 침해하고 있으며, 크라임웨어와 맞서 싸우기 위해 얼마나 급진적인 사고가 요구되는지를 아는 것이 중요하다.
크라임웨어, 현대 텔레스크린의 기초
금융 악성코드, 은닉 악성코드, 뱅킹 트로이목마 등의 이름으로도 불리우는 크라임웨어는 2003년 첫 등장 이후, 일련의 진보를 거듭하며 진화해왔다. 크라임웨어는 기본적인 인터넷 방어의 세 주축인 SSL 암호화, 바이러스 백신, 이중 인증 시스템을 비롯해 기존의 모든 보안 방어책들을 모두 뛰어넘었다.
이런 진화의 결과로 고도로 민감한 인증 데이터를 대용량으로 수집할 수 있는 효율적인 공격용 툴이 나왔으며, 바로 제우스와 스파이아이가 대표적인 예들이다.
모든 애플리케이션들이 완전히 무방비하게 노출된 상태에서 범죄자들은 예상대로 그들에게 가장 직접적인 수익을 가져다 주는 애플리케이션들, 즉 온라인 뱅킹 계정을 알려주는 애플리케이션들을 집중적으로 공격하고 있다.
크라임웨어들이 얼마나 심각하게 들끓고 있는지 추정하기는 어렵지만, 현재 크라임웨어의 효과를 보여주기에 가장 좋은 방법은 제우스나 스파이아이의 복사본을 구해 새로운 변종을 하나 생성하고, 그것을 PC에 감염시킨 뒤 과연 현 PC 보안 기술들이 크라임웨어를 탐지하고 제거할 수 있는지 확인해보는 것이다.
대부분의 경우에 크라임웨어의 새 변종이 미치는 영향은 매우 효과적이며 또한 몹시 파괴적이기 때문에 완전히 처음부터 기기를 다시 조립하지 않고서는 크라임웨어의 제거를 보증할 수 없다.
크라임웨어의 발전
크라임웨어는 처음부터 다음의 세가지 핵심 기술을 기반으로 했다. 첫째, 수십 만개의 봇넷들을 조종할 수 있는 봇넷 컨트롤러와 둘째, 업데이트가 가능한 정교한 트로이목마, 그리고 마지막으로 매우 효과적인 데이터 수집이 바로 그것이다. 그 이후 크라임웨어는 2003년부터 8번의 중요한 발전 단계들을 겪으며 현재의 골치덩어리로 변모했다.
발전 1단계 - IE/윈도우를 구동하는 PC에 맞춘 폼-그래빙
이름만 봐도 알 수 있듯 폼 그래빙(Form grabbing)은 브라우저에서 사용자가 입력하는 웹 양식 데이터를 가로채는 크라임웨어 기술이다.
2003년 이전에는 악성코드에서 다양한 훅 기반의 키로깅(key-logging) 기술들을 사용, 감염된 PC들로부터 키 입력 기록들을 수집해왔다. 그러나 2003년 인터넷 익스플로러/윈도우를 구동하는 PC에 맞춰진 폼 그래빙 기술을 배치함으로써 키로깅의 함정들, 예를 들면 백스페이스, 수정, 잘못된 철자 등을 피해갔고 범죄자들은 수많은 온라인 뱅킹 계정의 IT와 비밀번호들을 수집할 수 있게 됐다.
범죄자들이 대규모로 은행 신용 정보들을 수집하는 것에 대응해 미국 연방금융기관조사위원회(FFIEC)는 2005년에 온라인 뱅킹에 비밀번호 기반의 인증(단일 요소)을 사용하는 것은 불충분하다고 선언하고, 이중 인증 등의 더 정교한 인증 기술을 사용해 온라인 계정에 접근할 수 있도록 요구했다. 그러나 크라임웨어는 신속하게 진화해 이중 인증까지 극복했다.
발전 2단계 - 안티 디텍션(Anti-detection)
크라임웨어에서 중요한 근본적인 발전은 바이러스 백신 소프트웨어나 다른 보안 기술의 탐지를 따돌리는 능력이었다. 가끔 은닉이라고 불리는 크라임웨어의 안티디텍션 능력은 전자서명 기반이나 행동 기반 기술, 즉 바이러스 백신이나 침입 탐지/예방 가운데 어떠한 것으로도 탐지하지 못하도록 한다.
크라임웨어는 크라임웨어를 탐지하는데 사용될 수 있는 모든 특성들, 예를 들면 레지스트리 위치, 파일 이름, CLSID, 서명, 프로토콜 등을 계속해서 변화시키면서 안티디텍션을 가능케 한다.
한편 은닉 기술들은 이런 특성들을 통해 기존의 바이러스 백신 제품들을 무용지물로 만들어버렸는데, 바이러스 백신 제품들이 매년 새로 생겨나는 수천만 변종을 탐지하고 제거한다는 것은 불가능한 일이기 때문이다.
발전 3단계 - 웹 인젝션
크라임웨어는 2009년에 인터넷 익스플로러/윈도우를 구동하는 PC에 웹 인젝션(맨 인 더 브라우져 공격이라고도 함)할 수 있는 능력을 추가로 갖췄다. 이를 이용하면 범죄자들은 침입한 PC 내에서 인증된 연결을 넘겨받을 수 있기 때문에 FFIEC가 신중하게 고려했던 이중 인증을 완전히 무력하게 만들었다.
웹 인젝션은 키 입력 기반의 인증 기술들을 완전히 뒤엎는 개념이다. 본질적으로 범죄자들이 내부에서 실시간으로 PC를 감시하면서 입력되는 데이터는 어떠한 것이든 조종할 수 있다. 사용자는 은행 서버에 인증 데이터를 직접 입력하고 있다고 믿고 있겠지만, 사실은 크라임웨어가 PC내에서 행해지는 인증을 가로채서 인증 데이터를 스스로에게 전달한다. 그러고 나면 이제 크라임웨어는 PC 내에서 사용자의 은행 접속을 제어한다.
발전 4단계 - 브라우저/OS 확장 지원
2010년 크라임웨어는 드디어 인터넷익스플로러/윈도우를 구동하는 PC보다 더 넓은 범위로 확장해갔다.
2010년 3월에는 윈도우 운영체제에서 파이어폭스를 구동하는 PC들을 지원하기 시작했고, 2010년 7월에는 크라임웨어 개발자들이 윈도우 OS에서 구동되는 파이어폭스를 겨냥한 맨 인 더 브라우저 공격을 지원하는 업그레이드 버전들을 배치했다.
이런 지원으로 크라임웨어에 취약한 PC들의 수는 압도적으로 증가했다. 그 이후 크라임웨어에 취약한 플랫폼들은 훨씬 많이 늘어났는데, 크롬, 오페라, 사파리 등의 브라우저와 애플 OS X와 같은 운영체제가 여기 해당된다.
발전 5단계 - 소스 코드 입수, 배포
가장 정교한 크라임웨어 가운데서도 제우스와 스파이아이의 소스 코드들은 각각 2010년과 2011년에 공개적으로 배포됐다. 이 덕분에 다른 개발자들이 제우스가 PC를 전복시키는데 사용했던 기존 것들을 활용할 수 있게 됐다.
그 결과 다른 크라임웨어와 악성코드 프로그램들이 계속해서 수정되면서 제우스와 스파이아이의 진보된 기술, 은닉, 폼 그래빙, 웹 인젝션 등을 추가하고 있다.
발전 6단계 - 크라임웨어 백신의 작동을 해제하거나 피해가는 능력
크라임웨어는 2010년에 스스로 은닉 기술들을 사용하지 않고도 악성코드 탐지 프로그램들의 작동을 해제시킬 수 있게 됐다.
또한 크라임웨어는 이런 악성코드 탐지 제품들을 피해가기도 하는데 이 제품들은 정상적으로 작동하는 것처럼 보이겠지만, 실제로는 악성코드가 그들의 기능을 망가트려 놓은 것이다. 실질적으로는 크라임웨어가 아닌 크라임웨어 백신 제품들이 은닉 기술들을 채택해야 할 필요가 있었다.
발전 7단계 - 모바일 기기로 확대
2011년에는 점점 더 많은 은행들이 아웃오브밴드 인증 기술들에 의존해 온라인 뱅킹 거래를 승인하면서, 맨 인 더 모바일(man in the mobile)이라고도 알려져 있는 새로운 크라임웨어는 은행들이 고객들의 온라인 뱅킹 거래를 승인하는데 사용한 모바일 기기들에서도 활용할 수 있게 됐다. .
웹 기반 뱅킹 거래를 승인하기 위해 대역폭 외 메시지들이 모바일 기기로 전송되면 맨 인 더 모바일 공격을 통해 사용자가 모르는 사이에 거래를 은밀히 승인하면서 사용자가 승인 요청을 보지 못하게 막는다.
예를 들어 은행에서 고객에게 온라인 뱅킹 사기 거래를 인증하기 위한 문자 요청을 보내도 모바일 기기 사용자에게는 그 요청이 나타나지 않으며, 기기 사용자가 전혀 모르는 사이에 그 모바일 기기는 은행에게 그 거래가 유효한 것이었음을 확인해줄 것이다.
발전 8단계 - 삭제 방지
보안 솔루션들이 감염된 PC들에서 크라임웨어를 탐지하고 제거하려고 안간힘을 쓰고 있는 가운데 악성코드 저작자들은 삭제를 당하더라도 PC에서 다시 생겨나도록 코드를 업데이트하고 있다. 지속성(persistence)라고도 알려져 있는 이 크라임웨어는 한번 감염된 PC는 계속해서 감염된 상태로 유지하는 게 목표다.
지금은 크라임웨어와의 전쟁 중
우리는 지금 PC, 모바일 기기, 인터넷을 더 이상 믿을 수 없는 시대에 살고 있다. 크라임웨어는 우리의 보안, 사생활, 익명을 침해하고 있다. 그것은 브라우저, 운영체제, 그리고 심지어 기기들 사이를 옮겨 다니며 모든 현 기술들을 위험에 빠트리고 있다.
이에 맞서 다음의 세 가지 행동으로 대처해야 한다.
첫째로 크라임웨어가 얼마나 심각하게 우리 기술들을 위협하고 있으며, 어떤 손실과 피해들이 크라임웨어에 기인하는 것인지를 알아야 한다. 간단히 말해 현 상황을 정확히 직시해야 한다. 오늘날 크라임웨어는 주식 시장, 은행, 정부를 조정하는데 사용되고 있는가?
둘째로 크라임웨어의 조작과 배포를 통제할 수 있는 새로운 접근법을 생각해내야 한다. 크라임웨어는 무기나 암호 해독, 도청만큼이나 위험하다. 요컨대 그것이 위험하지 않다면 왜 그것을 사이버 전쟁이라고 부르겠는가?
셋째로 미 연방 정부는 크라임웨어에 크라임웨어 백신 프로그램으로 대응할 수 있을 것이다. 크라임웨어 백신은 감염된 PC에서 크라임웨어를 탐지하고 제거하려고 애쓰는 크라임웨어의 기능을 대폭 해제시킨다. 이제 미 정부의 사이버 방어 전략들은 시민들과 기술들을 보호하는 데까지 범위를 충분히 확장시켜야 한다.
조지 오웰이나 다른 그 누구라고 하더라도 널리 퍼져있는 크라임웨어나 휴대용 텔레스크린의 확산을 상상하지는 못했을 것이다.
이제 보안은 완전히 새로운 국면에 접어들었으며 크라임웨어에 대한 취약성이나 국제적인 감시는 전례없는 수준으로 높아지고 있다. 아직까지는 이 상황을 해결할 수 있을만한 마법과 같은 기술은 존재하지 않는다. 아마도 가까운 장래에는 프로세서 통제권을 놓고 소프트웨어끼리 접전을 벌일 것으로 예상된다. editor@itworld.co.kr
*필립 T.멜링거(Philip T.Mellinger)는 현재 금융 업계를 위한 안티 크라임웨어 솔루션들을 만들고 있는 트러스티드 나이트 코퍼레이션의 연구소장을 맡고 있다. 그는 존스 홉킨스대와 조지 워싱턴대에서 컴퓨터과학 학위를 취득했고 사기 방지 기술에 관한 7개의 특허를 소유하고 있으며, 미국 안전 보장국(NSA)과 북대서양조약기구(NATO), 미 공군(US Air Force) 및 정부 연구소에서 근무한 경험이 있다.
원본 URL
앞으로 더 크게 발전될 해킹 양상 중 하나인 크라임웨어
인터넷에서 마구 다운받아서 설치하기 전에 왜 설치해야하는지, 정말 필요한지 다시 한번 관심을 가져야합니다
댓글 없음:
댓글 쓰기