[기고] 2020, 샌드박스 기술 전망

[글=방혁준 | 쿤텍 대표] 

최근 발견되는 변종 멀웨어는 해시 검사나 서명 기반 기술로는 탐지하기 어렵다. 이에 세계적인 기업이나 주요기관, 산업제어 시스템과 같이 사이버 보안이 최고의 중요 전략인 곳에서는 변종 멀웨어에 대응 하기 위해 악성코드의 동적 행위 분석을 이용한 샌드박스 위협 인텔리전스 구축을 확대하고 있는 상황이다.

샌드박스 기술의 도전 : 더욱 똑똑해진 악성코드(상황 인식 멀웨어)

하지만 멀웨어가 더욱 똑똑해지고 주변 환경에 대한 인식 능력이 높아짐에 따라 멀웨어가 잘 동작하는 현실적인 분석환경을 만들고, 이를 유지 관리하기 위해선 많은 노력이 필요하다.

그리고 이러한 과정들은 진화하는 멀웨어에 대응하기 위한 글로벌 네트워크 보안 샌드박스 시장의 중요한 요소로, 현실적으로 매우 높은 비용을 발생시킨다.

더 악질적으로 정교해지는 멀웨어들은 시스템 정보를 활용하거나, 특정 지역에서만 작동되도록 제작되기도 한다. 또한 해커들은 샌드박스 환경을 이용해 멀웨어를 유포하기도 한다.

시스템 정보를 활용하는 멀웨어 ‘킬디스크(KillDisk)’는 하드 드라이브에서 데이터를 지우도록 설계된 변종 멀웨어로, 2015년 우크라이나의 ICS/SCADA 네트워크를 공격해 6시간 동안 정전을 발생시켜 약 20만 명이 피해를 입었다.

이후 킬디스크는 지속적으로 변종이 발견됐다. 특히 제어시스템에 특정 프로세스가 존재하지 않으면 원칙적으로 실행이 되지 않는 특성 때문에 일반적인 악성코드 분석환경에서는 탐지할 수 없다.

특정 지역에서만 동작되도록 제작된 멀웨어도 등장했다. 다나봇(Danabot)은 마이크로소프트 워드 문서에 삽입된 악성 매크로를 이용하는 트로이 목마 악성코드로, 이메일 피싱 방식으로 호주의 인터넷 사용자들을 공격했다.

또한 다나봇은 브라질 금융기관, 미국, 폴란드, 이탈리아 등에서 감지됐고, 컴퓨터들의 IP 주소를 수집해 대상을 특정한다. 이렇게 위치 정보를 활용하는 멀웨어는 분석이 더욱 어려워진다. 운영 중인 시스템과 네트워크로 연결된 샌드박스는 멀웨어의 유포지로 활용될 수도 있다.

따라서 샌드박스는 일반적으로 외부 프로그램에 대해 엄격하게 제한된 환경을 제공한다. 샌드박스는 멀웨어가 격리된 환경에서도 ‘인터넷을 통해 통신하고 있다’고 생각하도록 가상 네트워크를 통해 트래픽을 라우팅해야 한다.

악성코드에 맞춰 발전하는 샌드박스 보안 기술

앞으로 샌드박스 기술은 샌드박스 환경에서 특정 콘텐츠를 실행하거나, 직접적으로 샌드박스 환경을 구성하는 방식으로 활용될 수 있다.

샌드박스 환경에서 특정 콘텐츠를 실행하는 기술에는 대표적으로 웹브라우저 샌드박스가 있다. 이 기술은 이용자가 방문하는 웹페이지를 모두 샌드박스를 통해서만 열람하게 만들어, 악성코드의 컴퓨터 리소스 접근을 막고 악성 자바스크립트 코드 등을 실행할 수 없게 한다.

아울러 웹브라우저와 마찬가지로 PDF 등의 문서파일, 애플리케이션, 모바일 앱 등 악성코드의 유입 경로가 될 수 있는 콘텐츠들을 샌드박스 상에서 구동해 멀웨어, 랜섬웨어 등의 사이버 공격에 대응할 수 있다.

직접적으로 샌드박스 기술을 활용하는 방법은 VMware, VirtualBox 등의 가상머신(Virtual Machine) 프로그램을 통해 별도의 운영체제를 실행하는 방법이다. 현재도 이 방법은 논리적 망 분리의 형식으로 많은 기관과 기업들이 사용하고 있다.

특히 가상머신은 스냅샷 기능을 통해 내부 운영체제를 악성코드가 설치되기 이전의 특정 시점으로 되돌릴 수 있는 장점을 가진다.

또한 샌드박스 기술은 멀웨어 탐지와 분석에도 활용된다. 앞에서 언급한 킬디스크와 같이 특정 멀웨어는 샌드박스를 감지해 가동을 멈추는데, 샌드박스 환경을 통해 멀웨어를 직접 실행시켜 네트워크와 시스템 상에서 악성코드의 활동 방식을 정확히 파악할 수 있다.

이를 통해 위협에 대응할 수 있는 악성코드의 공격 경로, 침입 수법, 행동 양상 등의 정보를 기반으로 방어 대책을 수립할 수 있게 된다.

샌드박스 기술 시장, 연 평균 54.6%의 빠른 성장 예상

멀웨어들이 정교하게 진화함에 따라 많은 보안 기업들이 샌드박스 보안 기술에 열을 올리고 있고, 2020년엔 이러한 상황을 인식해 대처하는 멀웨어에 대비하기 위해 샌드박스 기술이 더욱 각광받을 것으로 보인다.

특히 맥시마이즈 마켓 리서치(Maximize Market Research) 조사에 따르면, 네트워크 보안 샌드박스 시장은 2017년부터 2027년까지 연평균 54.7% 이상의 빠른 성장을 보일 것으로 예상된다.

샌드박스 보안 기술은 단독 보안 솔루션으로 사용하기는 어렵지만 ▲상황인식 멀웨어가 동작할 수 있는 현실적인 샌드박스 환경 구성 ▲단일 형태의 보안 탐지 지양 ▲변종 멀웨어 대응을 위한 행위 기반 탐지 위협 인텔리전스 검사 ▲노이즈와 신호를 분리해 보안리소스를 한정된 자원에 집중 ▲무엇이든 항상 확인하는 제로트러스트 정책 도입 등을 통해 우리의 인터넷 환경을 더욱 안전하고 편리하게 만들어 줄 것이다.