[이코노미스트 강예슬 기자] “전통적인 보안은 특정 악성코드를 잘 탐지하는지 등을 중요하게 봤다면 지금은 공격 흐름 전체를 읽는 새로운 보안 패러다임과 전략이 필요합니다.”

양하영 안랩 실장은 24일 서울 중구 커뮤니티하우스 마실에서 열린 ‘이코노미스트 테크 포럼(Tech Forum)’ 2부 세션에서 “전통 보안은 개별 행위인 ‘점’(Point)을 보지만 최신 공격은 각각의 행위가 정상으로 인식된다”며 “각 행위를 연결했을 때 정상적이지 않은 부분을 파악할 수 있어 전체 ‘맥락’(Context)을 통해 공격을 탐지하는 전략이 필요하다”고 강조했다.

이날 ‘최신 위협 사례 및 인공지능(AI) 탐지 전략’을 주제로 발표한 양 실장은 최근 사이버 공격이 탐지 회피 중심으로 진화하고 있다고 진단했다. 

그는 ▲국가배후 공격 ▲랜섬웨어 ▲정보유출 악성코드 ▲LNK 파일 기반 공격 등 네 가지 보안 위협을 중심으로 최근 사이버 공격의 특징을 설명했다.

양 실장은 “전통적인 보안 제품은 시그니처나 행위 기반 탐지에 의존하지만, 정상 소프트웨어를 악용하거나 파일을 남기지 않는 공격이 늘면서 탐지가 점점 어려워지고 있다”고 말했다.

양 실장에 따르면 국가배후 공격의 경우 파일을 남기지 않는 ‘파일리스’(Fileless) 방식과 정상 프로그램을 악용하는 ‘LOLBins’ 기법이 확산하면서 기존 백신 기반 탐지가 무력화되고 있다. 

국내 주요 소프트웨어 취약점을 악용한 공격에서는 정상 프로세스 내부에 악성 코드를 삽입해 백도어를 실행하는 방식이 확인됐다고 양 실장은 설명했다.

랜섬웨어 역시 양상이 달라졌다. 과거에는 파일 암호화를 통해 금전을 요구했지만, 최근에는 내부 데이터를 유출해 협박 수단으로 활용하는 ‘랜섬웨어 3.0’ 단계라는 분석이다. 

양 실장은 “랜섬웨어는 보안업체에서 탐지하기 어려운 형태로 진화하고 있다”면서 “샌드박스나 EDR 등을 무력화하는 랜섬웨어가 다수 확인되며 취약점 관리가 굉장히 중요해졌다”고 했다.

그는 “전반적인 위협을 탐지하기 위해서는 AI를 이용해 취약점을 우선순위화한 뒤 이상 행위를 탐지하고 데이터가 외부로 유출되는 부분을 탐지하는 전략이 필요하다”고 덧붙였다.

정보유출 악성코드도 탐지가 까다로운 방향으로 진화했다. ▲텔레그램 ▲깃허브 ▲디스코드 등 정상 서비스가 데이터 유출 통로로 활용되면서 네트워크 차단만으로는 대응이 어려워졌기 때문이다.

양 실장은 “이제 공격자는 의심스러운 서버가 아니라 우리가 매일 사용하는 플랫폼을 이용한다”며 “정상 트래픽 속에서 비정상 행위를 가려내는 것이 핵심 과제”라고 설명했다.

최근 증가하는 LNK(바로가기) 파일 공격도 같은 맥락이다. 문서 파일로 위장된 링크를 실행하면 정상 문서가 열리는 동시에 백그라운드에서 악성 스크립트가 동작하는 방식이다. 파일 자체만으로는 정상과 구분이 어렵다는 점에서 기존 탐지 방식의 한계를 드러낸다.

공격이 ‘정상 위장’ 중심으로 고도화되면서 보안 패러다임 전환이 불가피하다는 게 양 실장의 결론이다.

그는 “이제는 개별 파일이나 행위를 기준으로 판단하는 방식으로는 대응이 불가능하다”며 “사용자 행위, 프로세스 흐름, 시간적 연속성을 모두 연결해 보는 ‘맥락 기반 탐지’가 필요하다”고 말했다.

이를 가능하게 하는 기술로는 AI가 지목됐다. AI는 수많은 이벤트를 종합해 공격 체인을 재구성하고, 이상 징후를 자동으로 식별할 수 있기 때문이다.

양 실장은 “하루에도 수백 개씩 쏟아지는 취약점을 사람이 모두 대응하는 것은 불가능하다”며 “AI를 통해 우선순위를 정하고, 이상 행위를 자동 탐지하는 체계로 전환해야 한다”고 언급했다.

그는 “보안은 특정 솔루션 하나로 해결되는 문제가 아니다”며 “다양한 데이터를 통합적으로 분석하고, 전체 흐름을 이해하는 방향으로 전략이 바뀌어야 한다”고 전했다.

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지