스피어피싱 대응을 위한 행위기반 판별에 대한 연구 - 서론 -

스피어 피싱 대응을 위한 행위기반 판별에 대한 연구 

Ⅰ. 서론

   최근 APT 사이버 공격(Advanced Persistent Threat)은 더욱 지능적이고 다양화되고 있다. 또한, 악성코드 자동화 제작 도구로 인해 대량으로 생산되어 국가와 산업에 막대한 손실을 입히고 있다. APT 사이버 공격은 다양하고 복합적인 방법으로 공격한다. 그중 공격자가 선호하는 공격 방법은 이메일을 활용한 스피어피싱이다. 스피어피싱은 조직의 정보보안 방어 연결 고리 중 가장 약한 사람을 선정하여 공격하기에 방어하기 가장 어려운 공격이다. 하루 평균 100만 건 이상의 신ㆍ변종 악성코드가 발생하고 있으며 공격 대상자의 50% 이상이 스피어피싱 이메일에 삽입된 첨부파일을 클릭하여 사고가 발생하는 것으로 알려져 있다. 또한, 많은 양의 스팸 메일보다 스피어피싱 이메일을 클릭할 확률이 10배 이상 높아 매우 심각하다.

본 연구는 APT 사이버 공격에 가장 많이 사용되고 있는 스피어피싱 메일을 가상환경을 활용해 사전에 분석ㆍ탐지하여 기업의 정보 유출을 방지하고 업무의 기밀성을 높이는 것이 연구의 목적이다. 공격자는 스피어피싱으로 사용자를 다양한 방법으로 속이기 위해 급여명세서나 이력서, 경찰서의 자동차 벌금 통지서, 이동통신사의 요금고지서 등의 이메일을 가장해 악성코드를 삽입한 첨부파일을 특정 기업과 기관의 임직원에게 발송하여 접근한다. 첨부파일을 실행한 악성코드는 사용자의 PC 환경을 탐색하고 운영체제 버전과 패치, 소프트웨어, 네트워크 구성을 조사해 공격자에게 전송한다. 공격자는 조사한 정보를 바탕으로 소프트웨어의 알려지지 않은 취약점을 악용하여 기업을 해킹한다. 이러한 해킹은 소프트웨어 제조사가 개선된 파일을 배포하여 패치(Path) 하기 전에는 사실상 방어하기 어렵다. 조직의 구성과 직무, 직책, 담당 업무를 분석하여 원하는 정보를 담당하는 담당자 누구인지 선별하여 최종 목표로 정한다. 정보를 취득하지 못할 경우 해당 정보를 득할 때까지 오랜 기간 잠복하고 해당 기업을 관찰한다. 이러한 행위의 출발점이 바로 스피어피싱에서 부터 출발하는 것이다. 해킹은 네트워크에 연결되어 있어야만 가능하고 사용자의 PC를 통해 이루어져야 한다는 공통점이 있다. 프로그래밍이 아닌 운영체제와 네트워크의 행위를 구분하여 분석한다면 사전에 탐지하여 차단할 수 있다는 것이 본 연구의 본론이다.

   연구는 가상환경을 활용하여 유해 행위를 효율적으로 탐지하는 방법을 중심으로 진행하였다. 먼저 사이버 공격이 사회에 미치는 심각성을 확인하기 위해 먼저 과거의 사고 사례를 살펴보고 전반적으로 APT 사이버 공격의 과정과 악성코드 배포 경로를 조사하였으며 스피어피싱에 대응하기 위해 기존의 악성코드 분석환경에 대해 장단점을 살펴보고 이메일의 첨부파일을 분석하기 위한 가상환경 구축방법과 기능에 관해 서술하였다. 그리고 악성코드가 삽입된 첨부파일의 행위를 분류하기 위해 운영체제의 프로세스와 레지스터리, 파일시스템, 네트워크를 활용한 탐지방법에 관해 연구하였으며 탐지된 행위를 구분하여 일련번호(Sequence)를 부여하는 방법과 유해 행위를 미리 정의된 시나리오 기반으로 가중치를 계산하고 적절성 비교를 통해 유사ㆍ변종 악성코드를 판별하는 방법에 대해 연구하였다. 

   마지막으로 최근에는 가상환경을 인지해 행위를 멈추거나 사용자의 키보드 입력 및 마우스 이동, 클릭 등 사용자 개입을 인지하는 악성코드가 발견되고 있다. 이를 보완하기 위해 대응 기술을 연구하고 있지만 아직은 명확한 대안이 없는 것이 사실이다. 이는 사용자 개입이 없는 가상환경의 단점을 보완하기 위한 연구로 향후 흥미로운 주제가 될 수 있으며, 향후 이러한 주제의 연구가 계속된다면 가상환경을 활용한 행위기반 판별의 단점을 보완하고 성능을 더욱 향상할 수 있을 것으로 생각된다.