미국 정부가 새로운 멀웨어 분석 플랫폼을 이번 주 공개하기로 했다. 바이러스토탈의 경쟁자로서 CISA가 입점할 줄은 아무도 몰랐다.

[보안뉴스 = 자이 비자얀 IT 칼럼니스트] 미국의 사이버 보안 전담 기구인 CISA가 악성으로 의심되는 파일이나 URL, IP 주소를 분석하기 위한 새로운 플랫폼을 만들어 공개했다. CISA가 사용해 오던 멀웨어차세대분석(Malware Next-Gen Analysis, MNGA)이라는 플랫폼으로, 이번 주부터는 누구나 이용할 수 있게 된다. 이 MNGA가 앞으로 바이러스토탈과 더불어 어떤 식으로 활용될 것인지에 관심이 쏠리고 있다.

[이미지 = gettyimagesbank]

MNGA 플랫폼은 동적 분석과 정적 분석 도구들을 활용하여 제출된 샘플들을 분석하여 악성 여부를 판단한다. 새로운 멀웨어 샘플들에 대한 정보를 제 시간에 얻을 수 있고, 따라서 필요한 조치를 취할 수 있을 가능성이 높아진다는 게 CISA의 설명이다. 위협을 미리 미리 찾아 해결하는 데에는 물론, 사건이 터졌을 때 긴급히 대응하는 데에도 큰 도움이 된다고 한다.

CISA의 사이버 보안 부문 부국장인 에릭 골드스타인(Eric Goldstein)은 “이번에 공개된 MNGA 플랫폼은 사이버 위협과 관련된 정보들을 분석하고 서로 연결시켜 첩보를 만들고 통찰하고 공유하도록 만들어져 있다”고 설명한다. “그러므로 사이버 사건 대응을 효율적으로 만들어주고 더 나아가 국가 인프라와 사회 안녕을 도모하는 데에도 큰 역할을 할 수 있습니다.”

CISA가 MNGA를 시작한 건 지난 해 10월의 일이다. 미국의 여러 정부 기관들에서 근무하는 사람들에게만 공개됐었고, 현재까지 약 400개의 샘플이 제출됐다. 파일로 치면 1600개 이상이다. 그 중 약 200개가 수상한 것으로 판명됐다. 이런 플랫폼이 이번 주부터 모든 사람들에게 공개됨으로써 이제 보안 전문가와 각 단체의 담당자들은 악성 파일을 제출할 곳이 한 군데 더 생겼다. 따라서 활발한 샘플 제출과 분석이 이뤄질 것으로 전망된다.

보안 업체 섹티고(Sectigo)의 부회장 제이슨 소로코(Jason Soroko)는 “MNGA의 가장 큰 장점은 ‘통찰을 제공한다’가 아닐까 한다”고 예측한다. “보통 멀웨어 분석 플랫폼이라고 하면 ‘이 멀웨어는 이전에 악의적인 목적으로 활용된 적이 있는가?’를 답하는 것에 주로 중점을 두고 있습니다. 하지만 CISA는 조금 다른 접근법을 사용한 듯이 보입니다. ‘이 샘플은 악의적인가? 어떤 기능을 가지고 있는가? 악의적으로 사용된 적이 있는가?’를 모두 답하는 것이 CISA의 방향인 듯 하거든요.”

멀웨어 분석 플랫폼
멀웨어 분석 플랫폼 중 가장 널리 알려진 건 바이러스토탈(VirusTotal)이다. 여러 백신 스캐너와 정적 및 동적 분석 도구들을 활용하여 사용자가 업로드한 파일이나 URL을 분석한다. 이미 발견되고 알려진 멀웨어 샘플들을 중앙에서 관리하는 플랫폼으로서 현재는 그 가치를 발현하고 있기도 하다. 보안 전문가들 치고 멀웨어 샘플에 대한 정보를 확인하기 위해 바이러스토탈이나 그와 비슷한 분석 플랫폼을 사용하지 않는 사람은 없다고 해도 무방할 정도다.

하지만 CISA의 MNGA는 아직까지 ‘미지의 서비스’로 남아있다. 사용해 본 사람들이 그리 많지 않기 때문이다. 따라서 MNGA가 공개된다고 했을 때 보안 커뮤니티에 미치는 영향을 쉽사리 예측할 수가 없다. “아직까지 미국 정부나 CISA는 MNGA에 대해 상세하게 설명한 적이 없습니다. 다만 미국 정부 기관들을 노린 멀웨어 샘플들에 대한 정보를 얻을 수 있다는 게 얼른 생각해볼 수 있는 MNGA의 특화된 점일 텐데요, 미국 정부가 받는 각종 공격을 생각했을 때 이는 적잖은 가치를 발휘할 수 있을 것으로 보입니다.”

차이 만들기
보안 업체 크리티컬스타트(CriticalStart)의 수석 위협 분석가인 캘리 ‚뵀?Callie Guenther)는 “어찌됐든 정부가 운영하는 플랫폼이라는 점 때문에 호불호가 갈릴 수 있다”고 말한다. “상황에 따라 정부가 볼 수 있는 곳에 파일을 제출한다는 것 자체를 껄끄러워할 수 있습니다. 반대로 정부가 배후에 있으니 오히려 더 신뢰할 수 있다고 느끼는 사람들도 얼마든지 있을 수 있겠고요. 결국에는 각자의 판단이겠고, 어떤 식으로 상황이 전개될지 예측하기가 어렵습니다만 기밀성을 더 중요시 하느냐 사회 전체적인 안전을 더 중요시 하느냐의 균형 문제로 귀결될 것으로 보입니다.”

보안 업체 퀄리스(Qualys)의 부회장인 소미트라 다스(Saumitra Das)는 “샌드박스를 회피하는 멀웨어 샘플들을 탐지할 수 있다면 여타 다른 멀웨어 분석 플랫폼과는 다른 차별성을 가져갈 수 있을 것”이라는 의견이다. “또한 요즘 리눅스 기반 시스템이 멀웨어의 폭격을 맞고 있는데, 이 부분에 특장점을 가져갈 수 있다면 MNGA에 일부러 등록해 사용자가 될 만할 겁니다. 만약 사용자를 늘리고 싶다면 MNGA가 가져갈 방향성은 아직 많이 남아 있습니다.”

글 : 자이 비자얀(Jai Vijayan), IT 칼럼니스트
[국제부 문정후 기자([email protected])]