Offcanvas

가상화 / 보안

"악성코드, 이제는 가상머신 피하지 않는다”

2014.08.13 Jeremy Kirk  |  IDG News Service
많은 악성 코드들이 보안 검사를 피하기 위해 가상머신이 있다는 것을 탐지하면 금방 빠져나가는 것으로 알려져 있다. 하지만 시만텍 리서치에 따르면, 이제는 더 이상 그렇지 않은 것으로 나타났다.

기업의 가상머신 도입이 증가하면서 악성코드 제작자들 역시 이를 회피할 방안을 연구하고 있다. 그 결과 더 이상 가상머신이라는 이유만으로 악성코드가 피해가지 않는다는 설명이다.

시만텍은 2012년부터 고객들이 제시한 20만 건의 악성코드 샘플을 대상으로, 가성머신과 비 가상머신 상에서 샘플을 실행해 가상머신이 탐지됐을 때 어떻게 동작하는지를 연구했다. 시만텍의 보안 위협 연구원 캔디드 위스트는 블로그 포스트를 통해 단 18%의 악성코드 만이 가상머신을 탐지하고 실행을 멈췄다고 밝혔다.

위스트는 “악성코드 제작자들은 최대한 많은 시스템을 감염시키려고 애쓴다. 따라서 만약 악성코드가 가상머신 상에서 실행되지 않으면 감염시킬 수 있는 컴퓨터의 수가 제한된다”라며, “때문에 오늘날 악성코드 샘플의 대부분이 통상 가상머신에서도 구동되는 것은 놀라운 일이 아니다”라고 설명했다.

시만텍은 보고서를 통해 악성코드가 보안 소프트웨어에 의해 가상머신에서 쫓겨나는 것을 피하기 위한 방법 중 하나가 그저 기다리는 것이라고 밝히기도 했다. 새로운 파일이 처음 5~10분 동안 수상한 동작을 하지 않으면, 시스템은 이 파일을 무해한 것으로 판단한다는 것이다. 어떤 악성 코드는 일정 회수의 마우스 클릭이 일어날 때까지 기다리기도 했다.

위스트는 “이런 방법은 자동화된 시스템이 짧은 시간에 악성코드 여부를 판단하기 어렵거나 거의 불가능하게 만들 수 있다”고 덧붙였다.

우려되는 점은 악성코드가 가상머신을 넘어 호스트 서버까지 침범할 수 있다는 것이다. 크라이시스 악성코드가 바로 이런 목적으로 만들어진 코드인데, 윈도우나 OS X 상에서 구동하는 자바 파일로 소셜 엔지니어링을 통해 배포됐다.

시만텍에 따르면, 크라이시스는 로컬 서버에 저장되는 있는 가상머신으로 칩입하려 했는데, 취약점을 이용하지 않고 가상머신을 단지 호스트 서버 상의 파일로 이용했다. 비슷한 공격 방식의 악성코드로는 2009년에 발견된 클라우드버스트(CloudBurst)가 있다.

전체적으로 볼 때 악성코드의 이런 전략 변화는 보안 연구원들에게는 유리하게 작용할 수도 있는데, 이제 대부분의 악성코드가 가상머신 상에서 계속 구동되고 탐지될 것이기 때문이다. 하지만 시만텍은 가상머신을 회피하는 18%의 악성코드에도 주의를 기울여야 한다고 지적했다.  ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.