2017.08.30

리뷰 | 가상 브라우저로 해킹 차단··· 참신한 접근법의 '비트디펜더 HVI'

John Breeden | CSO
해커가 가장 좋아하는 방법의 하나가 웹브라우저를 통해 시스템을 감염시키는 것이다. 피싱 이메일 대부분도 웹 브라우저를 매개체로 사용해 감염된 사이트를 방문하도록 유도한다. 이 사이트는 악성코드가 익스플로잇 공격을 시작하는 거점이 된다.



물론 다른 공격 방법도 있지만, 브라우저를 이용하는 것이 가장 효과적이다. 나중에 연결된 네트워크로 더 깊이 공격할 때 사용할 수 있고, 이를 통해 최종 표적 시스템에 침투할 수 있다. 최근 들어 브라우저 공격이 더 효율적이고 은밀해졌다. 많은 바이러스 백신 프로그램의 모니터링 대상인 파일 시스템을 피하고 메모리 공격을 이용하기 때문이다. 수많은 브라우저 플러그인과 확장기능도 악용된다. 그 자체가 공격 기반인 경우도 있다.

웹 브라우저는 곳곳에 존재한다. 상상할 수 있는 모든 기기에 웹 브라우저가 최소 한 종 이상 설치돼 있다. 그만큼 관리가 까다롭다. IT 팀은 수 많은 시스템과 기기에 최신 업데이트와 패치를 적용해야 한다. 그런데 쉬운 일이 아니다. 이렇게 해도 표적화된 첨단 공격을 늦추지 못한다.

이에 따라 대안으로 등장한 것이 '가상 브라우저'다. ‘데스크톱 클라이언트부터 파일 서버까지 모든 것을 가상머신으로 만들 수 있다면, 브라우저도 가상으로 구현하지 못할 이유가 없다’는 아이디어에서 시작됐다. 가상 브라우저가 침해를 당하면, 바로 삭제하거나 새롭고 깨끗한 버전으로 교체하면 된다. 만드는 방법도 간단하다. 클라이언트 시스템에 에이전트를 설치하거나 클라우드에 브라우저를 호스팅하면 그만이다.

단, 많은 리소스를 소비하고, 사용자의 선택권을 크게 제한하며 때로는 공격자에게 핵심 시스템에 숨어 들어갈 경로를 제공할 수 있다는 단점이 있다. 이런 장단점을 염두에 두고 비트디펜더 HVI에 대해 더 자세히 살펴보자.


비트디펜더 HVI의 작동 원리
온-프레미스 솔루션에서 완전한 브라우저 보안을 제공해 이런 문제를 해결할 수 있게 설계된 툴이 바로 비트디펜더 HVI(Hypervisor Introspection)이다. 시트릭스 젠앱(Citirix XenApp)과 시트릭스 젠서버(Citrix XenServer) 검사용 비트디펜더를 묶어 지원하는 방식이다. 단 시트릭스 서버를 실행해야 작동한다. 따라서 관련 구성 요소가 없다면 미리 구매해야 한다. 시트릭스 라이선스를 보유하고 있다면 네트워크에서 비트디펜더 HVI를 사용할 수 있다.

네트워크 측면에서 비트디펜더 HVI 구성은 크게 복잡하지 않다. 먼저 모든 브라우저 기능을 젠서버에서 실행되는 젠앱 사이트로 중앙화한다. 사용자 기기의 기본 브라우저를 젠앱 사이트에 호스팅된 브라우저로 설정한다. 즉 사용자가 크롬을 실행시키면 크롬은 가상 인스턴스의 서버에서 실행된다. 이를 제외한 기능에는 제약이 없다. 브라우저 작동이 0.25초 정도 조금 늦어진다. 이 정도면 사용자가 알아차리지 못할 수준이다.

이것만으로는 보호가 되지 않는다. 가상 브라우저도 감염될 수 있다. 차이점은 감염된 브라우저가 로컬 기기가 아닌 젠앱에서 실행되고 있다는 것이다. 여기에 비트디펜더 HVI가 도움을 준다. 공격자가 브라우저를 감염시킬 방법이 한정돼 있다. 가장 많이 사용되는 방법은 버퍼 오버플로우(Buffer overlfows)다. 이어 힙 스프레이(Heap sprays), 코드 주입(Code injection), API 후킹(API hooking) 순이다.

공격자는 이런 방법으로 사용자 공간과 커널 사이 영역에 침입해 시스템을 감염시킨다. 이때 비트디펜더 HVI는 하이퍼바이저 아래에 위치해 이런 ‘전술’을 사용하지 못하도록 만들고, 가상 브라우저를 감염으로부터 보호한다.

비트디펜더 HVI는 시트릭스에서만 작동된다. 젠서버에 고유의 보안 기능인 디렉트 인스펙트 API(Direct Inspect API)가 들어있기 때문이다. 다른 보안 업체가 하이퍼바이저 계층에서 메모리 검사(Memory introspection) 기법을 이용할 수 있는 기능이다. 이것이 비트디펜더가 하는 일이다. 사용자 공간을 감염시키려는 시도, 커널 수준으로 권한을 상승시키는 시도를 잡아낸다. 동시에 하이퍼바이저와 유사하게 게스트 운영 시스템과 분리된 상태를 유지한다. 악성코드가 직접 접근하거나 감염시킬 수 없는 것도 이 때문이다.

비트디펜더 HVI 테스트
테스트를 위해 몇 개의 윈도우 가상 인스턴스를 구성했다. 일부는 비트디펜더 HVI를 사용해 브라우저를 보호했고 나머지는 표준 설치 상태로 남겨뒀다. 감염된 웹사이트를 만들고 브라우저 익스플로잇 공격에 필요한 도구를 불러왔다. 더 현실적인 테스트를 위해 사이트 링크가 포함된 피싱 이메일을 발송했다.

피싱 이메일로 사용자를 감염된 웹사이트로 유도한다.

예상대로 보호를 하지 않은 기기의 브라우저는 금방 감염됐다. 그리고 악성코드 공격 시작과 계정 탈취에 사용됐다. 공격자는 1분 이내에 기기를 완전히 통제했다. 

보호하지 않은 기기의 브라우저는 금방 감염돼 해커가 통제권을 완전히 장악했다.

같은 이메일을 비트디펜더 HVI가 보호하는 기기로 발송했다. 이번 경우에는 브라우저 익스플로잇이 차단됐다. 테스트용 기기에서는 아무런 문제도 발생하지 않았다. 

같은 공격이 비트디펜더 HVI로 보호된 환경에서는 실패했다.

공격 시도를 포착하지 못했다는 의미는 아니다. 비트디펜더에는 비트디펜더 HVI에서 발생한 모든 것을 기록하는 그래비티존(GravityZone)이라는 콘솔이 내장돼 있다. 그래비티존은 공격이 실패한 경우를 포함해 알림을 생성한다. 로그를 확인해보니 API 후킹 공격을 시도한 감염된 웹사이트를 쉽게 확인할 수 있었다. 비트디펜더의 직접 보호하는 영역을 대상으로 한 공격 시도였지만 저지됐다. 모든 공격 시도가 로그로 기록됐다.

그래비티존은 공격이 성공하지 못한 경우를 포함해 수많은 정보를 제공한다. 이는 값진 위협 인텔리전스(정보)다. 관리자는 이런 정보를 이용해 알려진 감염 사이트를 차단하도록 방화벽 설정을 조정하고, 사용자에게 특정 피싱 이메일 캠페인에 대해 경고하는 등으로 기업 전체의 보안을 강화할 수 있다.

그래비티존에서는 사이버 위협 관련된 많은 정보를 확인할 수 있다.

비트디펜더 HVI는 유료이며 연간 구독(가입) 모델이다. 인프라 호스트가 사용하는 CPU 수에 따라 가격이 달라진다. 사용자 수에 제한이 없는 상품도 있다. 기업은 디렉트 인스펙트(Direct Inspect) API 프로세스가 실행되는 시트릭스 젠서버 엔터프라이즈 버전을 보유하고 있어야 한다.

비트디펜더 HVI는 꽤 혁신적인 기술이다. 클라이언트 시스템에 에이전트를 비롯해 어떤 것도 설치하지 않은 상태에서 원격으로 브라우저 기능과 보안을 구현할 수 있다. 지금은 시트릭스에서만 지원된다. 그러나 비트디펜더가 브라우저를 얼마나 잘 보호할 수 있는지 다른 가상머신 공급업체가 알게 되면 유사한 직접 검사 API 스캐닝을 도입할 가능성이 크다. ciokr@idg.co.kr 



2017.08.30

리뷰 | 가상 브라우저로 해킹 차단··· 참신한 접근법의 '비트디펜더 HVI'

John Breeden | CSO
해커가 가장 좋아하는 방법의 하나가 웹브라우저를 통해 시스템을 감염시키는 것이다. 피싱 이메일 대부분도 웹 브라우저를 매개체로 사용해 감염된 사이트를 방문하도록 유도한다. 이 사이트는 악성코드가 익스플로잇 공격을 시작하는 거점이 된다.



물론 다른 공격 방법도 있지만, 브라우저를 이용하는 것이 가장 효과적이다. 나중에 연결된 네트워크로 더 깊이 공격할 때 사용할 수 있고, 이를 통해 최종 표적 시스템에 침투할 수 있다. 최근 들어 브라우저 공격이 더 효율적이고 은밀해졌다. 많은 바이러스 백신 프로그램의 모니터링 대상인 파일 시스템을 피하고 메모리 공격을 이용하기 때문이다. 수많은 브라우저 플러그인과 확장기능도 악용된다. 그 자체가 공격 기반인 경우도 있다.

웹 브라우저는 곳곳에 존재한다. 상상할 수 있는 모든 기기에 웹 브라우저가 최소 한 종 이상 설치돼 있다. 그만큼 관리가 까다롭다. IT 팀은 수 많은 시스템과 기기에 최신 업데이트와 패치를 적용해야 한다. 그런데 쉬운 일이 아니다. 이렇게 해도 표적화된 첨단 공격을 늦추지 못한다.

이에 따라 대안으로 등장한 것이 '가상 브라우저'다. ‘데스크톱 클라이언트부터 파일 서버까지 모든 것을 가상머신으로 만들 수 있다면, 브라우저도 가상으로 구현하지 못할 이유가 없다’는 아이디어에서 시작됐다. 가상 브라우저가 침해를 당하면, 바로 삭제하거나 새롭고 깨끗한 버전으로 교체하면 된다. 만드는 방법도 간단하다. 클라이언트 시스템에 에이전트를 설치하거나 클라우드에 브라우저를 호스팅하면 그만이다.

단, 많은 리소스를 소비하고, 사용자의 선택권을 크게 제한하며 때로는 공격자에게 핵심 시스템에 숨어 들어갈 경로를 제공할 수 있다는 단점이 있다. 이런 장단점을 염두에 두고 비트디펜더 HVI에 대해 더 자세히 살펴보자.


비트디펜더 HVI의 작동 원리
온-프레미스 솔루션에서 완전한 브라우저 보안을 제공해 이런 문제를 해결할 수 있게 설계된 툴이 바로 비트디펜더 HVI(Hypervisor Introspection)이다. 시트릭스 젠앱(Citirix XenApp)과 시트릭스 젠서버(Citrix XenServer) 검사용 비트디펜더를 묶어 지원하는 방식이다. 단 시트릭스 서버를 실행해야 작동한다. 따라서 관련 구성 요소가 없다면 미리 구매해야 한다. 시트릭스 라이선스를 보유하고 있다면 네트워크에서 비트디펜더 HVI를 사용할 수 있다.

네트워크 측면에서 비트디펜더 HVI 구성은 크게 복잡하지 않다. 먼저 모든 브라우저 기능을 젠서버에서 실행되는 젠앱 사이트로 중앙화한다. 사용자 기기의 기본 브라우저를 젠앱 사이트에 호스팅된 브라우저로 설정한다. 즉 사용자가 크롬을 실행시키면 크롬은 가상 인스턴스의 서버에서 실행된다. 이를 제외한 기능에는 제약이 없다. 브라우저 작동이 0.25초 정도 조금 늦어진다. 이 정도면 사용자가 알아차리지 못할 수준이다.

이것만으로는 보호가 되지 않는다. 가상 브라우저도 감염될 수 있다. 차이점은 감염된 브라우저가 로컬 기기가 아닌 젠앱에서 실행되고 있다는 것이다. 여기에 비트디펜더 HVI가 도움을 준다. 공격자가 브라우저를 감염시킬 방법이 한정돼 있다. 가장 많이 사용되는 방법은 버퍼 오버플로우(Buffer overlfows)다. 이어 힙 스프레이(Heap sprays), 코드 주입(Code injection), API 후킹(API hooking) 순이다.

공격자는 이런 방법으로 사용자 공간과 커널 사이 영역에 침입해 시스템을 감염시킨다. 이때 비트디펜더 HVI는 하이퍼바이저 아래에 위치해 이런 ‘전술’을 사용하지 못하도록 만들고, 가상 브라우저를 감염으로부터 보호한다.

비트디펜더 HVI는 시트릭스에서만 작동된다. 젠서버에 고유의 보안 기능인 디렉트 인스펙트 API(Direct Inspect API)가 들어있기 때문이다. 다른 보안 업체가 하이퍼바이저 계층에서 메모리 검사(Memory introspection) 기법을 이용할 수 있는 기능이다. 이것이 비트디펜더가 하는 일이다. 사용자 공간을 감염시키려는 시도, 커널 수준으로 권한을 상승시키는 시도를 잡아낸다. 동시에 하이퍼바이저와 유사하게 게스트 운영 시스템과 분리된 상태를 유지한다. 악성코드가 직접 접근하거나 감염시킬 수 없는 것도 이 때문이다.

비트디펜더 HVI 테스트
테스트를 위해 몇 개의 윈도우 가상 인스턴스를 구성했다. 일부는 비트디펜더 HVI를 사용해 브라우저를 보호했고 나머지는 표준 설치 상태로 남겨뒀다. 감염된 웹사이트를 만들고 브라우저 익스플로잇 공격에 필요한 도구를 불러왔다. 더 현실적인 테스트를 위해 사이트 링크가 포함된 피싱 이메일을 발송했다.

피싱 이메일로 사용자를 감염된 웹사이트로 유도한다.

예상대로 보호를 하지 않은 기기의 브라우저는 금방 감염됐다. 그리고 악성코드 공격 시작과 계정 탈취에 사용됐다. 공격자는 1분 이내에 기기를 완전히 통제했다. 

보호하지 않은 기기의 브라우저는 금방 감염돼 해커가 통제권을 완전히 장악했다.

같은 이메일을 비트디펜더 HVI가 보호하는 기기로 발송했다. 이번 경우에는 브라우저 익스플로잇이 차단됐다. 테스트용 기기에서는 아무런 문제도 발생하지 않았다. 

같은 공격이 비트디펜더 HVI로 보호된 환경에서는 실패했다.

공격 시도를 포착하지 못했다는 의미는 아니다. 비트디펜더에는 비트디펜더 HVI에서 발생한 모든 것을 기록하는 그래비티존(GravityZone)이라는 콘솔이 내장돼 있다. 그래비티존은 공격이 실패한 경우를 포함해 알림을 생성한다. 로그를 확인해보니 API 후킹 공격을 시도한 감염된 웹사이트를 쉽게 확인할 수 있었다. 비트디펜더의 직접 보호하는 영역을 대상으로 한 공격 시도였지만 저지됐다. 모든 공격 시도가 로그로 기록됐다.

그래비티존은 공격이 성공하지 못한 경우를 포함해 수많은 정보를 제공한다. 이는 값진 위협 인텔리전스(정보)다. 관리자는 이런 정보를 이용해 알려진 감염 사이트를 차단하도록 방화벽 설정을 조정하고, 사용자에게 특정 피싱 이메일 캠페인에 대해 경고하는 등으로 기업 전체의 보안을 강화할 수 있다.

그래비티존에서는 사이버 위협 관련된 많은 정보를 확인할 수 있다.

비트디펜더 HVI는 유료이며 연간 구독(가입) 모델이다. 인프라 호스트가 사용하는 CPU 수에 따라 가격이 달라진다. 사용자 수에 제한이 없는 상품도 있다. 기업은 디렉트 인스펙트(Direct Inspect) API 프로세스가 실행되는 시트릭스 젠서버 엔터프라이즈 버전을 보유하고 있어야 한다.

비트디펜더 HVI는 꽤 혁신적인 기술이다. 클라이언트 시스템에 에이전트를 비롯해 어떤 것도 설치하지 않은 상태에서 원격으로 브라우저 기능과 보안을 구현할 수 있다. 지금은 시트릭스에서만 지원된다. 그러나 비트디펜더가 브라우저를 얼마나 잘 보호할 수 있는지 다른 가상머신 공급업체가 알게 되면 유사한 직접 검사 API 스캐닝을 도입할 가능성이 크다. ciokr@idg.co.kr 

X