파이어아이, 6.25 해킹 샌드박싱도 우회

파이어아이는 25일 발생한 주요 정부기관 등에 대한 해킹이 지능적인 수법을 썼으며 샌드박싱 기능까지 우회했다고 밝혔다.

26일 파이어아이는 25일 해킹 사건에 대해 웹하드 파일을 변조하는 방법으로 악성코드가 대량 유포됐으며, 이를 통해 좀비 PC가 생성되고 대규모 봇넷을 구성해 분산서비스거부(DDoS) 공격을 수행토록 한 것이라고 설명했다. 이는 기존 국내 보안회사들의 분석 내용과 일치한다.

이 회사는 가상화 기반 샌드박스를 우회하는 기술, 패킹 기술이 사용돼 최근 도입된 지능형지속가능위협(APT) 대응 솔루션을 무력화 시켰다고 설명했다.

이는 지난 3.20 사이버 테러 당시와 마찬가지로 사용자가 신뢰할 수 있는 사이트를 통해 악성코드가 배포된 것으로 나타났다.

샌드박스는 인터넷 트래픽의 악성여부를 점검하기 위해 가상환경에서 미리 특정 파일 등을 실행해 본 뒤 문제가 없을때만 실제 네트워크를 통과할 수 있도록 하는 보안기술 중 하나다.

25일 공격에서 해커들은 샌드박스까지 우회하는 치밀함을 보였다고 이 회사는 설명했다. 안티-디버깅(Anti-Debugging) 등의 기능이 포함된 더미다 팩커(themida packer)라는 팩킹 기술을 활용해 분석 및 탐지를 어렵게 했다.

관련기사

파이어아이는 자사가 개발한 고유한 가상화 기반의 행위분석 기술(MVX: Multi-Vector Virtual Excution)을 통해 금번 악성코드의 탐지 및 분석이 가능하다. 이는 누구나 쉽게 접할 수 있는 범용 가상화 제품 기반 탐지 기술로는 빠르게 진화하는 지능형 악성코드와 그로 인해 발생하는 신종 사이버 공격을 막기에는 어려움이 있다는 것을 단적으로 보여주는 것이다.

전수홍 파이어아이 코리아 지사장은 6.25 사이버 테러는 다수의 개인 PC가 악성코드에 의해 좀비PC화 돼 사이버 공격에 사용됐으나 향후 기업 및 공공 기관의 내부 PC가 유사한 악성코드에 의해 장악되는 경우 그 피해는 심각한 재난으로 이어질 수 있다고 밝혔다. 전 지사장은 또한 이 사건을 계기로 기업 및 공공 기관의 보안 부서는 알려지지 않은 지능형 악성코드 방어를 위해 새로운 기술 도입과 통합 방어 시스템 구현 검토가 시급히 요청된다고 덧붙였다.