최신 보안 위협 트렌드, ‘이 영화’에서 만나다

최신 보안 위협 트렌드, ‘이 영화’에서 만나다

- AhnLab 보안정보  2016년 9월 30일 -

인류와 외계인의 대결을 그린 SF영화 ‘인디펜던스 데이’가 알고 보니 사이버 위협의 진화를 볼 수 있다? 

오리지널과 최근 개봉한 속편에서 사이버 위협과 보안 기술의 변화를 만나본다.

최근 할리우드의 속편 또는 리메이크 제작 붐이 일면서 영화 ‘인디펜던스 데이’가 정확히 20년만에 ‘인디펜던스 데이: 리써전스(Independence Day: Resurgence)’라는 제목으로 돌아왔다. 1996년에 봤던 오리지널 ‘인디펜던스 데이’의 재미를 떠올리며 반가워했지만 어쩌다 보니 극장에서 볼 기회는 놓치고 말았다. 결국 지난 추석 연휴를 이용해 오랜만에 가족과 모여 앉아 거금(?)을 들여 IPTV로 시청했다. 이미 알려진(?) 것처럼, 개인적으로도 속편은 스토리나 구성, 재미 측면에서 아쉬움이 컸다. 그 때문인지 어느새 내용에 집중하는 대신 영화 속 상황과 IT 보안을 연결 짓고 있었다.

이 글에서는 ‘인디펜던스 데이: 리써전스’와 오리지널 ‘인디펜던스 데이’에 등장하는 몇 가지 요소를 통해 사이버 위협 트렌드와 보안 기술이 어떻게 변화했는지 살펴본다. 

전편에 이어 20년만에 제작된 영화 ‘인디펜던스 데이:리써전스’는 20년 전 지구인들의 반격에 궁지에 몰린 외계인이 보냈던 구조 신호를 수신한 동족들이 재침공하면서 벌어지는 내용이다. 20년 전 외계인의 침공을 물리친 인류는 외계인의 기술력을 활용해 각종 방어 시스템과 무기를 개발하는 한편, 언제 다시 나타날지 모를 위협에 대응하기 위해 공조 체계를 구축했다. 특히 달 기지를 중심으로 수많은 공격 위성들을 배치한 방어 체계도 갖췄지만, 역시 원조(?)에는 당할 수 없는 것인지 또다시 침공한 외계인에게 손톱만큼의 타격도 주지 못한 채 맥없이 무너지게 된다. 

▲ [그림 1] 영화 ‘인디펜던스 데이:리써전스’ 한국  포스터 

(출처 : http://www.foxkorea.co.kr/independenceday)

공격의 ‘타이밍 (Timing)’

그런데 왜 외계인들은 매번 미국 독립기념일인 7월 4일에 침공할까? 당연히 미국에서 제작된 영화이기 때문에 한껏 미국적인 정서를 드러낸 것이라는 점에 대해서는 이견이 있을 수 없다. 이런 1차원적인 이유는 잠시 접어두고 공격 혹은 전쟁이라는 관점에서 생각해 보자. 

공격자는 성공률을 높이기 위해 방어가 다소 느슨한 순간을 노려야만 한다. 전편에서는 미국의 독립기념일을 며칠 앞두고 국민들뿐만 아니라 군인들이 휴가를 즐기고 있는 시기에 외계인의 침공이 벌어졌다. 물론 외계인들이 지구, 그 중에서도 특정 국가의 공휴일을 파악하고 있을 리 만무하지만 영화적으로 보더라도 평화롭고 한가한 시기에 닥친 위협은 더욱 극적인 효과를 발휘한다. ‘인디펜던스 데이:리써전스’에서는 미국 독립기념일이자 20년 전의 승리를 기념하는 성대한 행사로 한창 들뜬 분위기가 무르익었을 때 불현듯 외계인의 침공이 시작된다. 

현실 속 지구의 사이버 공격 그룹들도 이와 유사한 공격 타이밍을 노린다. 최근 발생한 주요 사이버 공격들은 주로 금요일 저녁 시간부터 주말 사이에 발생하고 있다. 지난해 국내 금융 기관에 발생한 유럽발 DDoS 공격도 매주 금요일에 발생해 한동안 보안 담당자들의 퇴근길을 힘겹게 했다. 또한 여름 휴가철이나 연말 크리스마스 시즌 등 연휴 기간 동안에는 스팸 메일 유포가 급격히 증가한다. 최근 전세계적으로 화두가 되고 있는 랜섬웨어(Ransomware) 역시 여름 휴가 또는 연말에 급증하는 양상을 보인다. 지난 2016년 2월의 어느 금요일 저녁에는 미국 할리우드 장로병원의 시스템이 랜섬웨어에 감염되어 병원 업무가 마비되는 상황이 벌어지기도 했다. 

▲ [그림 2] 2015년 1월~2016년 3월 랜섬웨어에 감염된 PC 수 추이 (출처 : ASEC 대응팀)

최후의 일격, 페이로드(Payload)

외계인에 대한 대대적인 보복 공격을 준비하는 인류는 상온핵융합탄(cold-fusion warheads)을 실은 폭격기를 이용해 외계인 함대의 방어벽(energy shield)을 뚫어 공격을 가한다는 전략을 세운다. 출정 직전, 비장한 분위기 속에서 딜런 힐러 대위(제시 어셔 분)가 공격 계획을 브리핑 하는 장면에서 유달리 낯익은 단어 하나가 필자의 귓가에 걸렸다. 

“Whoever gets to the target first will deliver the payload”. 

‘누구든 타깃에 먼저 도달하는 사람이 폭탄을 투하하라’는 의미인데, ‘폭탄(bomb)’이라는 표현에 ‘페이로드(payload)’라는 단어가 등장했다. '페이로드'는 탑재 화물, 탑재 장비 등의 의미와 함께 폭탄, 미사일 등의 폭발력을 의미하기도 한다.

‘페이로드’라는 단어는 최신 보안 위협 트렌드에서도 자주 등장한다. 전세계 주요 기업 및 기관을 타깃으로 하는 지능형 보안 위협(Advanced Persistent Threat, APT)에 대해 얘기할 때 항상 등장하는 용어가 바로 ‘익스플로잇(exploit)’과 ‘페이로드(payload)’다. 익스플로잇은 운영체제(이하 OS)나 웹 브라우저, 워드 프로그램 등 애플리케이션의 취약점을 이용해 프로그램의 흐름을 변경하고 공격자가 심어놓은 악의적인 코드가 사용자 몰래 실행되도록 하는 공격 기법을 의미한다. 사이버 공격에서의 페이로드는 익스플로잇이 발생된 후 생성되거나 추가로 다운로드되는 악성코드 및 공격자의 의도에 따라 발생하는 추가적인 행위 또는 피해를 의미한다. 

영화 속 공격 작전을 IT 보안의 관점에서 해석하자면 외계인 우주선의 취약점을 공격하고, 그 취약점을 이용하여 페이로드를 추가로 실행시켜 피해를 입히는 전략이다. 

인류의 반격은 ‘바이러스’

여기서 잠깐 20년 전 영화 ‘인디펜던스 데이’에 대한 기억을 더듬어 보자. 외계인 함대의 방어벽(energy shield) 때문에 번번이 공격에 실패한 인류는 이 방어벽을 무력화하는 것이 급선무라는 것을 깨닫는다. 방법을 찾기 위해 고심하던 레빈슨 박사(제프 골드브럼 분)는 우연히 ‘감기 바이러스’에서 힌트를 얻게 된다. 앞서 스티븐 힐러 대위(윌 스미스 분) 덕분에 확보할 수 있었던 외계인의 소형 전투기를 이용해 모선(Mother Ship)에 침투하여 직접 컴퓨터 바이러스를 감염시킴으로써 방어벽을 무력화한다는 전략이다. 밤낮없는 연구 끝에 레빈슨​ 박사는 컴퓨터 바이러스(악성코드)를 제작해 마침내 외계인을 격퇴하고 인류는 승리하게 된다.

아이러니하게도 이 내용 때문에 영화 ‘인디펜던스 데이’는 1996년 개봉 당시 전세계 박스오피스를 강타하는 흥행 돌풍을 일으키며 8억불이 넘는 수익을 거뒀음에도 불구하고 “황당한 결말이다”라는 평가를 들어야만 했다. 물론, 외계인이 윈도우(Windows)나 리눅스, 맥 OS 등 지구에서 사용되는 OS를 사용할 리 만무하다. 그러나 영화는 영화일 뿐이다. 영화 속의 레빈슨​ 박사는 천재적인 영감으로 외계 시스템의 OS까지 아우를 수 있는, 그야말로 멀티 OS를 지원하는 신개념의 악성코드를 제작해냈던 것이다! 그냥 그렇다 치고 넘어가자. 지금 우리의 관심은 ‘영화적 허용의 범위가 어디까지 인가’에 대한 것이 아니니 말이다. 

현재는 악성코드, 또는 멀웨어(Malware)라는 용어를 주로 사용하지만 영화 ‘인디펜던스 데이’가 제작됐던 1996년을 포함해 2000년대 초반까지는 컴퓨터 바이러스라는 용어가 주로 사용되었다. 한편 외계인의 소형 전투기를 이용해 그들의 의심을 피하고 시스템에 잠입하는 모습은 사이버 공격에서도 볼 수 있다. 최근 보안 침해 사례를 살펴보면, 정상 파일로 위장하여 보안 솔루션의 탐지를 우회하고 네트워크 내부에 침투한 후 타깃 시스템을 공격하는 방식이 주를 이루고 있다. 

공격과 대응 기술의 진화, 승자는?

2016년 ‘인디펜던스 데이: 리써전스’에서도 인류는 20년 전과 같은 방식으로 외계인 우주선에 침투하여 핵폭탄을 터뜨리려고 한다. 그러나 외계인의 보안 체계는 이미 한층 진화한 뒤였다. 그들은 폭탄을 싣고 온 폭격기가 우주선 내부로 침투할 수 있도록 유인한다. 그리고는 EMP(Electromagnetic pulse)를 이용해 폭격기와 전투기를 무력화시키는 한편 핵폭탄에 방어막을 씌워 원격 조정에 의한 폭발에도 대비한다. 외계인의 보안 체계가 새로운 위협에 대응하기 위해 진화한 것이다. 결국 외계인의 진화된 대응 기술로 인류의 공격은 무력화되고 만다. 

영화 속 외계인의 대응 기술과 유사한 개념을 IT 보안 솔루션에도 볼 수 있다. 적의 폭격기를 유인하듯, 최신 보안 솔루션은 지능형 위협에 대응하기 위해 디코이(Decoy) 기술을 이용해 시스템에 침입한 악성코드의 행위, 즉 페이로드(payload)를 유도한다. 안랩의 V3 제품군에도 신•변종 랜섬웨어 대응을 위한 디코이 진단 기술이 적용되어 있다. ‘디코이 진단’이란 말 그대로 랜섬웨어를 유인하는 ‘미끼(decoy)’를 이용하는 기술로, 특정한 파일 및 폴더를 이용해 암호화 또는 파일명 변경 등을 시도하는 프로그램을 탐지 및 차단한다. 

또 격리된 공간에서 핵폭탄이 폭파되도록 함으로써 피해를 차단한 것과 같이 지능형 위협 대응 솔루션은 가상환경(Virtual Machine 또는 Sandbox)에서 파일을 미리 실행해 악성 여부를 확인하고 대응한다. 안랩 MDS는 기업 내부로 유입되는 파일을 네트워크단뿐만 아니라 엔드포인트단에서 수집 및 탐지하고 샌드박스(Sandbox)를 기반으로 랜섬웨어를 비롯한 신•변종 악성코드 및 익스플로잇에 대해 정적 및 동적 분석을 수행한다. 

현재 전세계적으로 심각한 위협이 되고 있는 랜섬웨어는 시스템 내부에 유입되는 즉시 파일을 암호화하기 때문에 손쓸 겨를 없이 심각한 피해를 야기할 수 있다. 이에 안랩은 신·변종 랜섬웨어 탐지 및 격리 프로그램인 ‘안티 랜섬웨어 툴’을 제공하고 있는데, 안랩 안티 랜섬웨어 툴은 PC 내 별도의 가상 공간에 랜섬웨어로 의심되는 프로세스를 격리하여 실행을 방지함으로써 랜섬웨어 피해를 예방한다. 앞서 언급한 안랩 MDS의 경우, ‘실행 보류(Execution Holding)’ 기능을 통해 PC에 유입된 의심스러운 파일이 실행되는 것 자체를 방지하기 때문에 랜섬웨어 유입 단계부터 실질적인 대응이 가능하다. 

개인적으로 영화 ‘인디펜던스 데이: 리써전스’는 SF영화 매니아라 자처하는 필자의 기대에 미치지 못한 구성과 스토리로 아쉬움만 남겼다. 1편을 연출한 감독과 주요 배우들도 다시 합류하면서 오리지널의 여운을 이어가려고 부단히 노력한 흔적이 보이지만 아쉬움을 해소하기에는 역부족이었다. 윌 스미스가 나오지 않았기 때문일까? 하지만 이번 영화에는 인류와 외계인의 대립 구도와 더불어 또 다른 존재, 즉 제 3의 외계 존재(?)를 등장시킴으로써 3편 제작을 암시하고 있는 듯하다. 언제 제작될지 모를 3편에서는 부디 외계인과 인류의 더욱 진화한 공격과 대응이 그려 지기를 기대해 본다. 

<참고자료>

☞ http://news1.kr/articles/?2323901

☞ https://ko.wikipedia.org/wiki/%ED%8E%98%EC%9D%B4%EB%A1%9C%EB%93%9C 

☞ http://www.ahnlab.com/kr/site/securityinfo/ransomware/index.do#cont2

- AhnLab  안병무 제품기획팀 차장 -

<출처 : http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=25516>