'CPU 자체에서 랜섬웨어 잡는다'… '인텔 TDT' 위협 탐지 기능 분석

인텔의 11세대 모바일 프로세서에 내장된 새로운 원격 측정과 머신러닝 프로세스를 활용하면 기존 탐지 기술을 회피하는 정교한 랜섬웨어 프로그램을 더 잘 탐지해 차단할 수 있다. 이 기능은 v프로(vPro) 기능 세트를 포함하는 비즈니스용으로 설계된 인텔 코어 CPU에 내장돼 있다.
 

v프로 플랫폼은 IT 관리 기능 외에도 하드웨어 쉴드(Hardware Shield)라는 이름으로 강화된 여러 가지 하드웨어 보안 기능을 제공한다. 여기에는 안전한 실행과 가상화, 메모리 암호화, 런타임 BIOS 복원, 위협 탐지 기술인 '인텔 TDT' 등이 포함된다.
 

인텔 TDT 작동 방식

인텔 TDT는 CPU의 PMU(Performance Monitoring Unit)의 원격 측정 데이터를 가속화된 머신러닝 휴리스틱과 결합해 잠재적 위협을 탐지한다. 일부 유형의 악성 프로그램은 실행하는 작업 유형 때문에 CPU 성능에 영향을 미친다.

성능 영향은 PMU 원격 측정 데이터에 반영되며, 머신러닝 모델은 이를 사용해 잠재적으로 의심스럽거나 비정상적인 동작을 식별하는 방식으로 악성코드를 찾아낸다. OS 내부에서 실행되는 보안 제품은 인텔 TDT의 신호를 사용해 추가 스캐닝과 복구 워크플로우를 실행할 수 있다. 기본적으로 이를 통해 CPU 수준에서 동작 기반 악성코드 탐지가 가능하다.

인텔 비즈니스 클라이언트 그룹의 전략 기획 및 아키텍처 수석 이사 마이클 노드퀴스트는 “일반적인 방어는 피싱 방지, 백업, 기타 사전 예방적 방법 등 보안을 강화하는 데 초점을 맞추고 있다. 훌륭한 방법이지만 결국 공격이 성공할 수 있다. 반면 인텔 TDT는 가장 널리 퍼진 랜섬웨어 변종을 파일 암호화 시작부터 탐지할 수 있으며, 공격을 치료하기 위해 AV/EDR 소프트웨어에 즉시 신호를 보낼 수 있다. 이는 감염된 엔드포인트의 손상을 최소화할 뿐만 아니라 다른 엔드포인트에 대한 손상, 혹은 네트워크나 클라우드/SaaS 기반 앱으로 악성 코드가 퍼지는 것을 방지할 수 있다”라고 말했다.
 

랜섬웨어가 기존 탐지를 피하는 방법

랜섬웨어 프로그램을 탐지하기는 결코 쉽지 않으며, 공격자는 항상 보안 제품을 회피하는 방법을 찾아왔다. 정교한 공격 그룹은 수동 해킹을 사용해 기업 네트워크 내에서 수개월 동안 정찰하고 내부망 이동(Lateral Movement)을 수행한다. 이들은 공격 대상이 사용 중인 악성코드 탐지 소프트웨어를 잘 알고 있으며, 페이로드가 탐지되지 않게 미리 테스트할 수 있다. 랜섬웨어가 기업에 미치는 피해가 크고 파괴적인 이유다.

보안 제품은 시그니처 기반 탐지 외에도 파일 활동의 비정상적인 패턴을 모니터링해 랜섬웨어와 유사한 동작을 탐지한다. 예를 들어, 특정 디렉토리에 있는 파일이나 특정 유형의 파일을 연속적으로 빠르게 읽고 쓰는 것은 의심스러운 활동이다. 또한, 암호화된 파일은 원본 파일과 완전히 다르게 보이기 때문에, 덮어쓴 파일의 내용에 상당한 차이가 있을 수 있고, VSS(Volume Shadow Copy Service) 백업 삭제 시도 역시 랜섬웨어의 활동일 수 있다. 이 모든 신호를 사용해 랜섬웨어를 탐지할 수 있지만, 공격자는 파일 암호화 속도를 늦추고 일괄 실행하는 방식 등으로 여전히 숨을 수 있다.

일부 랜섬웨어 그룹은 더 정교하게 공격한다. 예를 들어 라그나 락커(Ragnar Locker)와 메이즈(Maze)를 만든 공격자는 가상화 기술을 악용해 메모리에 공격 프로세스를 숨기기 시작했다. 이를 위해, 오라클 버추얼박스(VirtualBox)를 피해자의 컴퓨터에 배포하고 가벼운 윈도우 가상 머신을 설정한 후, 호스트 OS의 전체 하드 디스크에 대한 액세스 권한을 부여한 다음, 대부분의 바이러스 백신 프로그램이 탐지할 수 없는 가상 머신 내에서 랜섬웨어를 실행했다.

보안 공급업체 사이버리즌(Cyvereason)의 CTO 요나탄 스트리엠 아밋은 “VM의 사용은 대부분 메모리를 숨기기 위해 수행되므로, ‘보안’ 소프트웨어가 랜섬웨어 메모리를 스캔할 수 없지만, 랜섬웨어 프로그램은 여전히 파일 시스템과 상호 작용해 암호화를 실행하는 똑같은 종류의 명령을 실행해야 한다. 행동 신호뿐만 아니라 인텔 성능 카운터도 프로세스를 읽을 수 있는지 여부에 상관 없이 속임수를 꿰뚫어 볼 수 있다. 이 시점에서 프로세스 메모리는 덜 중요한 지표이므로, VM 기술을 사용해 숨는 효과도 훨씬 떨어진다”라고 설명했다.
 

인텔 TDT, 머신러닝을 GPU로 오프로드

최신 CPU 대부분은 DMA(Direct Memory Access)라는 기능을 통해 컴퓨터의 물리적 RAM을 읽을 수 있는 GPU가 내장돼 있다. 이를 통해 GPU는 프로세스를 더 빨리 수행하고 호스트 OS와 RAM을 공유할 수 있다. 인텔 TDT는 이 기능을 활용해 통합 인텔 아이리스 Xe(Intel Iris Xe) 그래픽 장치에서 실행해 탐지에 사용하는 컴퓨팅 집약적인 머신러닝 모델을 가속화하므로, 다른 작업을 위해 CPU 사용량을 최소화할 수 있다.

스트리엠 아밋은 “이제 운영 체제의 기존 신호와 애플리케이션 동작을 결합해 CPU 수준의 성능 지표와 더 복잡한 머신러닝 모델을 인라인으로 구축하고 실행할 수 있는 기능을 통해, 어느 때보다 높은 정확도로 랜섬웨어를 탐지할 수 있다. OS 수준의 가시성과 CPU 수준의 성능 카운터를 결합해 랜섬웨어 활동이 있는지 실제로 이해할 수 있는 기술이다”라고 말했다.

인텔 TDT는 2018년에 처음 공개된 후 일부 기능은 이미 마이크로소프트 디펜더(Microsoft Defender), 센티넬원 싱귤러리티(SentinelOne Singularity), 블랙베리 옵틱스(Blackberry Optics) 등의 다른 보안 솔루션에 채택됐다. 11세대 인텔 v프로(11th Gen Intel vPro) 지원 CPU에 추가된 개선 사항은 이 위협의 광범위한 특성과 최근 몇 년 동안 전 세계 기업에 미친 심각한 영향을 고려할 때, 랜섬웨어 탐지에 도움이 될 것으로 보인다. editor@itworld.co.kr