“지능형 보안 위협이 지속적으로 증가하고 있는 상황에서 위협 요인을 가능한 빨리 탐지하고 대응하는 지능형 통합 보안 시스템 구축이 필요하다”

크리스 라센 블루코트 수석 연구원은 한국정보기술연구원(KITRI) 산하의 BOB(Best Of the Best) 센터에서 보안전문가를 대상으로 ‘빠르게 변화하는 웹 환경을 위한 보안 대응 전략(THE WEB CHANGES EVEN FASTER THAN YOU THOUGHT)’이라는 주제로 특별 강연을 진행했다.

크리스 라센 수석 연구원은 “생성된지 몇년된 오래된 사이트라도 트래픽이 오늘부터 새롭게 발생했다면 트래픽 발생 위치 및 IP 주소 등을 철저히 분석해 보안 상 문제가 없는지 지속적으로 확인해 안정성을 검증해야 한다”며 “하지만 보안 관리자들은 시간적으로 전체 보안 위협 요인을 확인하는 것은 실제적으로 불가능하기에 이제 안전한 보안 환경 구축을 위해 자동화된 보안 환경 분석 시스템을 활용해야만 한다”고 강조했다.

또한 그는 “이러한 자동화된 보안 환경 분석 시스템을 운영하기 위해 블루코트는 하루에 10억개 URL을 10년 이상 분석하고 있고 이러한 분석 정보를 전세계 1만5000여개 고객사 및 7500만 사용자들이 새로운 보안 위협에 대한 정보 인텔리전스를 공유하는 네트워크인 ‘블루코트 글로벌 인텔리전스 네트워크(Blue Coat Global Intelligence Network)’를 통해 제공해 사이버 테러 발생여지가 있는 알려지지 않은 위협을 신속하게 확인, 대처함으로써 IT 인프라를 안정적으로 최적화시킬 수 있도록 지원한다”고 말했다.

크리스 라센 수석연구원은 이번 특별 강연을 통해 ▲원히트 원더(One-hit wonder) 사이트에 대한 위험성 인식 필요 ▲ 원데이 원더(One-Day Wonders) 사이트가 악성코드 진원지 등이 포함한 전세계 보안 시장 현황에 대해 발표했다.

먼저 크리스 라센 수석연구원은 최근 자사 연구소인 ‘블루코트 시큐리티 랩(the Blue Coat Security Labs)’이 평균 24시간(1일) 동안 600만개 URL(메인 및 서브 도메인과 IP주소 포함)을 분석한 결과 1개 이상의 멀웨어를 포함하고 있는 비율이 66%나 됐다묘 원래 원데이 원더는 특정가수가 히트곡을 1곡만 낸 경우를 뜻하는 영문 표현으로서 블루코트는 멀웨어를 1개만 발견했지만 향후 잠재적으로 파급력이 큰 악성URL로 발전될 가능성이 큰 사이트들을 원데이 원더 사이트로 명명했다고 설명했다.

특히 새롭게 생성된 호스트의 경우 18%는 정상적이지 못한 멀웨어를 1개 이상 가지고 있었으며 이것들은 현재는 위험성이 낮은 호스트로 분류돼 있으나 향후 조용하면서도 시간이 흐름에 따라 APT 공격이나 악성코드 등으로 진화할 가능성이 있었고 이러한 원히트 원더 호스트는 일반 블로그나 도메인을 비롯해 IP어드레스의 1/5에 해당하는 것으로 분석돼 매우 광범위하게 위험에 노출돼 있음을 알 수 있다고 강조했다.

또한 그는 전세계 7500만 사용자들이 방문한 바 있는 6억6000만개의 호스트네임(네트워크에 접속돼 있는 각각의 컴퓨터 이름)을 분석한 결과 전세계 웹사이트의 71%에 해당하는 4억7000만개의 호스트네임이 1일 이내에 사라지고 있다고 발표하며 이를 원데이 원더라고 명명했다고 밝혔다.

이러한 단발성 호스트네임을 가장 많이 생성하고 있는 진원지는 구글, 아마존, 야후 등의 대형 사이트들이며 이 밖에 콘텐츠 서비스 속도를 높이기 위한 웹 최적화 기업들도 주요 원인으로 분석됐고 원데이-원더 생성 사이트 상위 10곳에 최대 규모의 포르노 관련 웹사이트가 포함되기도 했다고 크리스 라센 수석연구원은 설명했다.

한편 블부코트의 조사에 따르면 원데이 원더를 생성하는 상위 50개의 페어런트 도메인중 22%는 악성으로 조사됐다. 이 도메인들은 ‘새롭게 발생한’ 혹은 ‘알려지지 않은’ 특성을 이용해 보안 솔루션의 감시망을 벗어남으로써 사이버 공격을 실행하거나 봇넷(좀비PC로 구성된 네트워크)을 관리하는 용도로 사용됐다. 예를 들어 동적 명령어(dynamic command)를 구축하고 확장 가능한 아키텍처를 제어하는데 활용되거나 스팸 필터의 탐지망을 벗어나기 위한 서브도메인을 생성하는데 사용된 것으로 분석됐다.

또한 이러한 원데이 원더 사이트는 주로 .com이나 .net, .info 도메인으로서 방대한 양의 도메인이 생성되어 보안 솔루션 통제 범위를 벗어날 수 있는 확률을 높이고 있다.

크리스 라센 수석 연구원은 “사이버 공격 방식이 점점 진화하고 있는 상황에서 단일 보안 솔루션만으로 진화하는 APT 공격을 방어하는 데에는 여러 한계점이 존재한다”며 “보안의 특징상 999개의 공격을 아무리 잘 막아도 단 1개의 취약점 및 악성코드로 사내 보안이 뚫린다면 기존 차단은 무용지물이 되기에 보다 완벽한 방어를 위해서는 내·외부 네트워크는 물론 클라우드 서비스, 최종 사용자 기기인 모바일 장치에 이르기까지 전방위적인 보안 위협 요인을 탐지하고 대응이 가능한 통합적인 지능형 보안 시스템 구축이 반드시 필요하다”고 강조했다.