하우리 로고 이미지

전체메뉴 열기

Boan News

보안뉴스 매체사 기사

보안매체 기사

인터넷 스캐닝, ‘튜닝’을 통해 훨씬 더 강력해질 수 있는 기본기
등록일 :
2021.11.04
인터넷 스캔 할 줄 모르는 보안 업체는 없다. 연구자들이나 해커들 모두 인터넷 스캔을 통해 각자의 목적을 달성한다. 하지만 인터넷 스캔의 목적은 좀 더 다양해져야 한다. 그러려면 필요에 따라 사용자 스스로가 조금씩의 ‘튜닝’을 할 수 있어야 한다. 그럴 때 스캐닝 기술은 보다 강력한 기술이 된다.

[보안뉴스 문가용 기자] 공격자들은 취약한 서버와 소프트웨어를 찾기 위해 인터넷을 자주 스캔한다. 보안 회사들과 대학 기관들은 열려진 포트와 환경 설정 오류를 찾기 위해 인터넷을 자주 스캔한다. 그런 가운데 보안 업체 이셋(ESET)은 자신들이 멀웨어 침해 여부를 확인하기 위해 인터넷을 스캔한다고 설명했다. 토론토에서 열리는 섹토르(SecTor)라는 보안 컨퍼런스에서였다.

[이미지 = utoimage]


이셋의 수석 멀웨어 분석가인 마끄에티엥느 레베이예(Marc-Etienne Léveillé)는 보안 분석과 연구를 위해 이셋이라는 기업이 자체적으로 어떤 과정을 거쳐 스캐닝 기술력을 키워왔는지 섹토르 컨퍼런스에서 공개했다. “지난 해 말 콜라보스(Kolabos)라는 멀웨어를 분석한 적이 있습니다. 그 과정에서 이 멀웨어에 감염된 시스템들을 탐지하게 해 주는 2단계 스캔 기법을 알아냈습니다. 그리고 콜라보스에 감염된 것도 모르는 기업들에 감염 사실을 알려줄 수 있었죠.”

인터넷 스캐닝이 뭐 그리 대단한 기술이냐는 반문이 있을 수 있다. 레베이예는 “하지만 이 인터넷 스캐닝을 적극 활용하는 보안 전문 업체가 생각보다 많이 있지 않다”고 반박한다. “인터넷 전체를 자유자재로 스캔할 수 있다는 건 위협을 탐지하고 특정 공격을 깊이 있게 파고드는 데에 큰 도움이 됩니다. 보안 기업들은 정보가 희박한 멀웨어 샘플을 종종 발견합니다. 공격자가 누구인지, 어떤 상황과 맥락 가운데 사용되었는지도 잘 모릅니다. 특히 윈도가 아닌 플랫폼에서 발견되는 멀웨어에 대해 조사할 때 정보 부족으로 고생이 많죠.”

보안 기업들은 주로 사물인터넷 장비의 설정 오류 문제를 탐지하기 위해 인터넷을 스캔하는 편이다. 가장 잘 알려진 스캔 도구는 쇼단(Shodan)으로, 인터넷에 공개된 포트들과 취약점이 패치되지 않은 시스템들을 찾아내는 데 주로 사용된다. 하지만 여러 대학 기관과 보안 업체들이 독자적인 인터넷 스캔 도구를 개발하기도 한다. 미시간대학의 경우 지맵(Zmap)을 개발하기도 했다. 시카고대학과 펜실베이니아대학의 보안 관련 기관들도 사물인터넷 연구 목적으로 인터넷 스캔을 자주 한다.

레베이예는 “그러한 인터넷 스캔 행위는 권장할 만한 것이긴 하지만, 멀웨어 연구를 위한 스캔과는 조금 다르다”고 말한다. “현존하는 인터넷 스캔 도구들 모두 각자의 특장점을 가지고 있습니다. 특정 멀웨어에 대한 스캔을 하려고 할 때, 스캔 도구의 개발사나 단체에 연락을 따로 해서 저희가 발견한 지표들을 알려주고, 개발자가 그 지표를 반영하도록 손을 봐야했죠. 멀웨어가 셀 수 없이 출현하는 지금, 이런 방식은 비효율적입니다. 커스터마이징이 손쉬운 스캔 도구가 필요합니다.”

멀웨어 분석을 위해 인터넷을 스캔하는 이유는 “분석 대상이 되는 멀웨어가 현재 인터넷에 어느 정도 퍼져 있는지 알아내야 하기 때문”이다. 이런 목적에 특화된 스캔 도구를 처음부터 따로 만든다고 했을 때 먼저는 네트워크 스캔을 허용하는 인터넷 서비스 제공 업체(ISP)를 찾는 것부터가 큰 어려움이 되었다. “ISP는 외부인이 자신의 네트워크를 스캔하는 걸 달가워하지 않습니다. 그렇다고 이미 존재하는 서드파티 스캔 도구를 고집하는 건 앞서 설명한 이유로 불가능하고요.”

실제 이셋이 스캔 도구를 개발하는 과정에서 네 군데의 ISP들이 스캔 행위를 불허했다. 그럼에도 이셋은 계속해서 다른 ISP들과 연락을 하며 스캔 행위에 대한 허락을 받아냈다고 한다. 허락을 구하는 행위는 아직도 이어지고 있으며, 참여하는 ISP가 많아질수록 인터넷 전체에 대한 가시성이 확보되고 있다고 한다.

결국 이셋은 2020년 중반부터 특정 멀웨어를 찾아내기 위한 인터넷 스캔을 할 수 있게 되었다. “사물인터넷 장비 등에서 시스템 설정 오류를 찾아내기 위한 스캔과 특정 멀웨어의 영향력을 조사하기 위해 실행하는 스캔은 상당히 다른 개념입니다. 특정 멀웨어를 찾아내는 스캐닝은 훨씬 더 ‘표적화’된 개념을 가지고 있죠. 찾아내려는 목표가 분명하다는 겁니다. 예를 들어 저희는 공격자들의 공격 인프라에 포함되는 IP 주소들을 찾아내는 대신 멀웨어의 C&C 서버들을 특정할 만한 정보들을 찾아냅니다.”

하지만 인터넷 스캐닝 기술의 확산이 장점만 가지고 있는 건 아니다. 2021년 보안 업체 팔로알토 네트웍스(Palo Alto Networks)는 “취약점이 공개되면 15분 내에 인터넷 스캔이 시작된다”고 발표한 바 있다. “중요한 취약점의 경우 5분 만에 스캔이 시작되기도 합니다.” 따라서 취약점을 찾기 위한 인터넷 스캔은 일종의 ‘경주’와 같다고 이셋은 강조한다. “누가 먼저 취약한 부분을 발견하고 손을 쓰느냐로 보안 사고가 터지느냐 혹은 성공적으로 방어하느냐가 결정됩니다. 보안 업체들이라면 독자적인 스캔 기술을 개발할 필요가 있다고 봅니다. 해커들은 그렇게 하고 있습니다.”

레베이예는 “인터넷 스캔을 통해 공격 표면과 통로를 효과적으로 줄일 수 있다”며 “인터넷을 관찰할 때 발견되는 큼직한 트렌드와 패턴이 방어에 분명히 도움이 된다”고 강조했다. “필요에 따라 스캔의 방식과 기술을 자유자재로 변경시킬 줄 아는 게 특히 중요합니다. 그 스캔의 기술이 보안 업체나 전문가로서의 정체성을 보다 견고히 만들어줄 수도 있습니다.”

3줄 요약
1. 인터넷 스캔, 이미 존재하는 기술이지만 필요에 따라 미세한 조정 필요.
2. 이미 해커들은 취약점 정보가 나올 때마다 재빠르게 스캔하기 시작.
3. 스캔 기술, 위협 추적과 방어에 필요한 기본 기술이지만 각자가 ‘맞춤형’으로 발전시켜야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  • - 본 정보에 대한 저작권은 '보안뉴스'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • - 본 정보에 대한 이용문의는 "보안뉴스(www.boannews.com)"로 문의하여 주십시오.

Top