사이버 위협 환경이 빠르게 진화함에 따라, 전통적인 서명 기반 탐지 시스템만으로는 공격을 효과적으로 차단하기 어렵다는 우려가 높아지고 있다. 특히, 중요 인프라를 노리는 공격은 회피 기술과 정교한 로딩 기법을 동반하며 탐지 자체를 우회하도록 설계되고 있다.

사이버 보안 기업 옵스왓(OPSWAT)은 '2025 위협 환경 보고서'에서 지난 1년간 수집된 89만 건 이상의 샌드박스 데이터를 기반으로 맬웨어 복잡성 증가와 기존 시스템의 탐지 한계를 구체적으로 제시했다.

다단계 맬웨어 탐지 정확도 향상

보고서에 따르면, 최근 12개월 동안 다단계 악성코드 복잡성은 127% 증가했다. 옵스왓은 난독화된 로더 ‘넷리액터(NetReactor)’와 같이 기존 탐지 시스템을 교란하는 다층적 위협을 포착했으며, 이러한 회피 중심의 위협은 단순한 패턴 탐지로는 식별이 어렵다. 옵스왓은 머신러닝 기반 행동 분석과 샌드박스 환경의 정밀 분석을 통해, 기존 시스템에서 ‘안전’으로 판단한 파일 14개 중 1개를 악성으로 재분류했다.

또한, 오픈소스 인텔리전스(OSINT) 대비 평균 24시간 앞선 선제적 악성 코드 재분류를 통해, 정적 기반 탐지 체계의 한계를 보완했다. 이러한 분석은 예측이 아닌 실행 파일 검증을 통해 이루어지며, 정교한 사전 탐지 기능을 제공한다.

위협 상관관계 분석과 행동 인텔리전스

옵스왓의 샌드박스 분석은 89만 건 이상의 위협 데이터를 통해 공통 전술(TTP), 재사용된 C2 인프라, 캠페인 전체에서 반복되는 행동 패턴 등을 파악했다. 이를 통해 보안 담당자는 단순한 위협 지표를 넘어 실행 가능한 맥락 기반 인텔리전스를 확보할 수 있다. 특히 PE 에뮬레이터를 통한 정밀 분석은 ▲클릭픽스(ClickFix) 기반 클립보드 하이재킹 ▲스테가노그래피로 암호화된 로더 ▲구글 서비스 기반 C2 채널 ▲스네이크 키로거(Snake Keylogger) 전달용 닷넷 비트맵(.NET Bitmap) 로더 등과 같은 고급 위협을 탐지했다:

이러한 분석 결과는 다층 분석 파이프라인의 효과를 입증하며, 기존 정적 탐지 시스템의 보완 수단으로 주목받고 있다.

옵스왓의 잰 밀러 CTO는 “정확한 탐지, 깊이 있는 행동 분석, 조기 위협 가시성 확보가 옵스왓의 차별화 포인트”라고 강조했다.

보고서는 중요 인프라, 공공기관, 민간 기업의 보안 담당자들이 진화하는 공격 환경에 대응하기 위해 ▲적응성 확보 ▲정보 공유 체계 강화 ▲기술 재평가 ▲행동 탐지 기반 보안 아키텍처 구축 등 네 가지를 우선시해야 한다고 밝혔다:

향후 옵스왓은 캠페인별 위협 인텔리전스 체계를 확장하고, 다층 보안 전략의 글로벌 표준화를 통해 보안 대응력 강화에 기여할 계획이다. 이를 통해 고도화되는 맬웨어 공격에 대한 산업 전반의 대응 체계를 재정립할 수 있을 것으로 기대된다.

맬웨어의 복잡성과 은폐 기법이 나날이 고도화되는 가운데, 다층적인 탐지 기술과 선제적 위협 인텔리전스는 사이버 보안 전략의 핵심으로 부상하고 있다. 단편적인 서명 기반 탐지를 넘어 행동 기반 탐지와 위협 상관관계를 통합한 플랫폼의 역할이 더욱 중요해지는 시점이다.

[알림] GTT KOREA GTT SHOW는 오는 8월 12일 오후 2시부터 3시까지 “피해 큰 BPF Door 같은 커널 기반 악성코드 막는 EDR과 마이크로세그멘테이션 실전 보안 전략”을 주제로 웨비나를 진행합니다. BPF Door 같은 커널 기반의 악성코드가 사용하는 공격 기법과 침투 단계별 위협의 소개, EDR과 마이크로세그멘테이션이 어떻게 상호보완적으로 작동하여 침입 초기 탐지부터 내부 확산 차단까지 이어지는 보안 체계의 구축 전략과 새로운 형태의 변종 공격에 유연하게 대응하는 제로 트러스트 기반 보안 전략을 실전 사례와 함께 제시합니다.