- - 행위 기반 분석 MPS 솔루션 통해 이번 공격의 시작점인 APC 서버의 관리자 계정 탈취 탐지 및 실제 대란의 직접적인 원인이 되었던 사용자 PC 의 하드디스크를 파괴하는 악성코드 탐지
- 후속 공격 가능성 상존, 이에 대응할 수 있는 보안 솔루션 마련 시급
지능형 사이버 공격 방어 기술의 선도업체인 파이어아이 코리아(지사장 전수홍, www.fireeye.com)는 이번 3.20 사이버 공격 대란의 원인이 되었던 악성코드를 분석 및 추적하는 과정에서 자사의 MPS (Malware Protection System) 제품이 설치되어 있었다면 사전 탐지가 가능해 이번 사태와 같은 공격을 막을 수 있었다고 밝혔다.
파이어아이는 이번 사건의 경로를 역 추정하는 과정에서, 최초 APT 공격의 시작이었던 APC 서버의 관리자 계정이 탈취되는 것을 탐지할 수 있었다며, 이번 사이버 공격의 원천적인 예방이 가능했다는 입장을 밝혔다. 관리자 계정을 탈취하는 대부분의 악성코드는 파이어아이의 MPS 를 통해서 실시간 탐지되어 조치 되므로 침입 자체가 불가능하다는 설명이다.
파이어아이는 이번 사태의 원인이 되었던 악성 코드의 백신이 배포되기 전에 이미 해당 악성코드가 자사의 고객사에 설치된 MPS 에서 탐지되는 것을 확인했으며, 혹시 발생할 수도 있었던 고객의 추가 피해를 차단할 수 있었다고 밝혔다.
또한 파이어아이는 특허 기술인 멀티-벡터 가상 실행(MVX) 엔진에서의 분석을 통해 백신 없이도 고객사 내부로 악성코드가 확산되는 것을 사전에 예방할 수 있다고 밝혔다. 해당 악성코드가 Windows XP 계열에서는 시스템의 부팅 영역인 MBR (Master Boot Record)를 포함하는 디스크 손상을 유발하고 Windows 7 에서 모든 디스크의 파일을 강제 삭제하는 행위를 가상실행엔진의 행위분석을 통해 미리 탐지 및 조치할 수 있다는 것이다.
현재 파이어아이는 해당 악성코드의 분석 및 탐지 결과를 고객사의 보안 담당자들에게 모두 배포한 상태다.
파이어아이는 이번에 발견된 악성 코드의 변종이 이미 만들어 지고 있는 것으로 파악하고, 이에 대한 백신이 배포된다 해도 변종 악성코드를 찾아내는 것이 불가능해 기업이 여전히 추가 공격의 위험에 노출돼 있다고 지적했다. 반면, 자사 고객의 경우 파이어아이 MPS 의 행위 기반 분석에 의해 변종 악성코드 역시 탐지가 가능하므로 불시에 발생할 수 있는 추가 공격에도 위험을 차단할 수 있다고 설명했다.
파이어아이 코리아 전수홍 지사장은 “이번 3.20 사이버테러의 경우에서 볼 수 있듯이, 오늘날 사이버 위협은 공격의 대상과 피해 규모, 방식에서 과거와 비교가 되지 않을 정도로 위협적으로 진화하고 있다.”라며, “전형적인 APT 성격을 보이는 이 같은 사이버 공격에 있어 시그니처 기반의 백신으로는 더 이상 근본적인 방어가 불가할 것으로 보이며, 향후 이러한 공격에 발 빠르고 정확하게 탐지할 수 있는 보안 솔루션만이 시장의 요구에 부응하게 될 것”이라고 밝혔다.