파이어아이코리아, 자체 장비 통한 탐지·분석 리포트 발표

파이어아이코리아(지사장 전수홍, www.fireeye.com)가 25일 주요 정부기관의 전산 시스템을 마비시킨 소위 '625 사이버테러'에 대한 분석 리포트를 발표했다.

625 사이버테러는 웹하드 파일을 변조하는 방법을 통해 악성코드를 다량으로 유포했으며 유포된 악성코드를 통해 좀비PC를 생성하고 대규모 봇넷을 구성해 지정된 시간에 DDoS 공격을 수행하도록 동작된 것으로 밝혀졌다.

파이어아이에 따르면 이번 사이버테러에 사용한 악성코드는 기업들이 기존에 사용하던 보안 기술을 무력화하기 위해 이전에 비해 매우 진화되고 지능적인 기술이 사용됐다. 또 지난 320 사태와 같이 사용자가 신뢰할 수 있는 사이트를 통해 악성코드가 배포됐다.

이번 악성코드는 최근의 사이버 공격의 주요한 흐름인 '알려지지 않은 악성코드'여서 대부분의 백신에서도 탐지가 되지 않는다. 여기에서 한 단계 더 진화해 가장 최신의 악성코드 탐지 기술로 알려진 가상화 기반의 샌드박스에서는 악성행위를 하지 않음으로 해당 보안기술을 우회하는 치밀함까지 보여줬다.

더군다나 안티-디버깅(Anti-Debugging) 등의 기능이 포함된 'themida packer'라는 팩킹 기술을 활용해 분석 및 탐지를 어렵게 해 범용 가상화 기반의 샌드박스에서는 분석이 거의 불가능하게 만들어졌다.

즉, 이전에 발견된 악성코드들과 달리 매우 지능적으로 악성행위를 하므로 백신은 물론 현재 APT 솔루션이라고 분류되는 대다수의 장비에서도 탐지가 불가능할 것으로 추정된다.

반면 파이어아이는 자사가 개발한 고유한 가상화 기반의 행위분석 기술(MVX: Multi-Vector Virtual Excution)을 통해 금번 악성코드의 탐지 및 분석이 가능하다. 이는 누구나 쉽게 접할 수 있는 범용 가상화 제품 기반 탐지 기술로는 빠르게 진화하는 지능형 악성코드와 그로 인해 발생하는 신종 사이버 공격을 막기에는 어려움이 있다는 것을 단적으로 보여주는 것이다.

전수홍 파이어아이코리아 지사장은 "이번 625 사이버테러는 다수의 개인 PC가 악성코드에 의해 좀비PC화 돼 사이버 공격에 사용됐으나 향후 기업 및 공공 기관의 내부 PC가 유사한 악성코드에 의해 장악되는 경우 그 피해는 심각한 재난으로 이어질 수 있다"며 "이번 사건을 계기로 기업 및 공공 기관의 보안부서는 알려지지 않은 지능형 악성코드 방어를 위해 새로운 기술 도입과 통합 방어 시스템 구현 검토가 시급히 요청된다"고 밝혔다.

그는 또 "현재 파이어아이는 자사의 장비들이 정상적으로 해당 악성코드 탐지를 하므로 이로 인해 고객사들이 추가적인 공격에 대응이 가능하다"고 덧붙였다.

한편 파이어아이에서 분석한 공격 방법 및 악성코드 분석 내용은 ▲파일공유 사이트인 Simdisk 해킹 ▲해당 사이트에서 파일다운로드 시 사용되는 실행파일인 Simdisk.exe 파일에 대한 변조(해킹) ▲해당 사이트 접속한 사용자에 의한 다운로드 ▲사용자 PC에 다운로드 된 Simdisk.exe에서 www.habang.co.kr/images/korea/c.jpg 다운로드 실행 ▲c.jpg가 추가로 악성행위가 내포된 파일들을 다운로드해 해당 PC를 좀비PC화시킴 ▲이후 추가적으로 생성되는 파일에서 시스템의 시간을 체크해 2013-06-25 10:00가 되었을 때 DDoS공격이 감행되도록 동작 ▲최종적으로 DNS 서버 공격 감행(.gcc.go.kr)에 대한 대대적인 공격으로 주요 정부사이트 마비 등을 포함하고 있다.

이번의 공격의 최종 형태는 DDoS 형태를 보이고 있지만 실제로는 해커 그룹이 생성한 악성코드를 이용해서 다수의 PC를 좀비화 시키고 대규모 봇넷을 구성한 후에 특정 사이트를 DDoS로 공격한 사례다.