맨디언트 지능형 사이버공격자 트렌드 분석

: 기업이 가진 대량 개인식별정보(PII)를 타깃으로 표적공격을 일삼고 있다.
: 비즈니스를 방해하거나 기업에 타격을 입히는 데이터·시스템 파괴형 공격이 크게 증가하고 있다.
: 기업이 사용하는 네트워크 장비를 대상으로 한 공격도 크게 늘어났다.
: 공격자들은 외주 서비스 제공자를 경유하는 방식으로 지능형 표적공격을 지속적으로 수행하고 있다. 

파이어아이의 전문조직인 맨디언트가 작년 한 해 동안 수백 건의 실제 침해사고를 조사·대응한 결과 뽑아낸 사이버공격 트렌드는 이렇다.

맨디언트는 지난해 포착한 지능형 사이버공격자들의 행위를 분석해 ‘엠트렌드(M-Trend 2016)’라는 이름의 보고서로 취합해 발간했다.

파이어아이_CTO_1그레이 서머스(Gray Summers) 파이어아이 최고기술책임자(CTO)는 14일 삼성동 코엑스 인터콘티넨탈호텔에서 열린 파이어아이코리아 연례 행사인 ‘사이버 디펜스 라이브 2016’ 기조연설에서 ‘엠트렌드’ 보고서 내용을 바탕으로 지능형 사이버공격 트렌드와 대응 방안을 소개했다.

서머스 CTO는 가장 두드러진 공격 트렌드로 특정 국가에 기반을 둔 지능형 사이버공격 조직들이 타깃으로 삼은 정보 유형이 전환됐다는 점을 지목했다.

맨디언트는 지난해 중국 등 국가 후원을 받고 있는 조직이 대량 개인식별정보(PII) 탈취를 시도한 표적공격을 여러 건 발견했다. 이전에는 공격자들이 기업의 중요정보, 개인·금융정보처럼 돈이 되는 정보자산을 노렸던 것과는 달리 특정 기업을 대상으로 신원 확인에 사용할 수 있는 정보를 표적으로 삼아 대량 유출하기 위해 공격했다는 것을 발견했다.

조사결과 공격자들은 피싱 이메일을 통해 악성코드에 감염시켜 내부 환경에 침입, 거점을 확보한 뒤에 대량 PII가 들어있는 데이터베이스(DB)를 확보하기 위한 정찰 활동에 집중했다. 공격자는 피해자의 액티브디렉토리 정보를 이용해 DB 관리자와 컴퓨터를 식별·접속해 DB 내에 있는 사회보장번호, 생년월일 등 민감한 PII 정보를 대량 유출했다.

PII 표적공격서머스 CTO는 “중국 기반 공격자들의 PII 탈취 시도가 많았다. 무작위 포획이 이뤄지고 있다”며 “추적했던 중국 공격그룹은 큰 DB를 구축해 인텔리전스 수집 플랫폼을 강화하고 있었다. 이들은 정부기관 관련자, 제약사 연구개발(R&D) 책임자, 기업 엔지니어링 담당자를 파악하고자 했다. 예를 들어 이들 중에서 막대한 의료비로 인해 돈이 필요하지 않은지, 여행 예약 사이트를 공격해 언제 어느 곳에 있는 호텔에 예약하는지를 파악했다. 그 사람을 포섭해 정보를 유출하도록 설득을 시도하기 위한 것”이라고 설명했다.

파괴형 공격으로 비즈니스를 방해하거나 기업을 무력화시킨 사례도 많았다.

파괴형 공격은 유형이 다양하다. ‘랜섬웨어’로 기업의 데이터를 암호화해 금전을 요구하거나 기업의 주요 시스템과 데이터를 파괴하고 중요 데이터(이메일·직원정보)를 유출한 뒤 이를 공개하겠다고 협박하며 곤란한 상황에 처하게 만들기도 했다.

이러한 공격은 결과적으로 기업 비즈니스를 방해해 기업 이미지나 가치를 훼손하고 데이터 복구나 시스템 재구축에 많은 비용을 지불하도록 만들었다.

서머스 CTO는 “파괴형 공격은 피해자에게 손상을 입히겠다는 강한 동기를 갖고 있다”고 분석했다.

파괴형 공격의 한 종류로 분류된 ‘랜섬웨어’를 이용한 공격은 지속적으로 급증하고 있다.

파이어아이에 따르면, 랜섬웨어 공격의 최신 트렌드는 공격자가 네트워크에 몰래 잠입해 권한 확보, 핵심 시스템 판별, 백업 데이터 삭제 후, 관리자 계정을 이용해 액티브 디렉토리(Active Directory) 환경에 접근해 랜섬웨어를 네트워크에 유포하는 패턴이다. 이러한 방법은 전체 네트워크를 파괴하지 않았던 기존의 무차별적 랜섬웨어 공격과 상반된다.

랜섬웨어는 유포단계에서 무차별적으로 감염시킨다. 공격자는 공격시 대상을 타깃 국가의 위치 등과 같이 방대한 공격 조건을 설정해 공격을 감행한다. 이러한 트렌드는 모든 기관들이 랜섬웨어 공격으로 인해 운영상 방해나 데이터 파괴 위험에 처할 수 있다는 것을 의미한다.

지하경제에서 랜섬웨어는 상품화 단계에 있으며, 모든 공격자들이 이용할 수 있는 다양한 종류로 제공되고 있다. 랜섬웨어는 종종 제휴모델을 통해서 공급되는데, 제휴모델을 통해 공격자는 저렴한 가격 혹은 심지어 무료로 개발자로부터 랜섬웨어 페이로드를 공급받을 수 있다.

이같은 제휴모델은 ‘서비스형 랜섬웨어(RaaS, ransomware as a service)’라고도 불린다. 제휴모델을 통해 공급된 페이로드는 개발자로 하여금 공격자가 피해자로부터 받는 몸값(ransom)에서 얻는 수익의 일부를 취할 수 있도록 설계됐다. 이러한 제휴모델은 낮은 진입장벽으로 인해 랜섬웨어가 빠르게 유포될 수 있도록 지원하고 있다.

랜섬웨어 거래 시장은 기존에 악성코드 개발자들이 업그레이드된 페이로드 공급을 조건으로 공격자들의 수익을 일부 취하는 제휴 네트워크 형태에서 원스톱 숍(one-stop shops) 방식으로 발전하고 있다. 원스톱 숍은 익명 네트워크인 토르 네트워크를 서비스 거래 플랫폼으로 이용해 랜섬웨어 개발자들은 공격자들에게 맞춤화된 서비스를 제공하고, 공격자들은 주문 제작한 랜섬웨어 페이로드를 공급받고 개발자들에게 일정 비율의 수수료(percentage fee)를 지급하는 방식이다.

최근 몇 년간 지능형지속위협(APT) 공격자들이 스위치, 라우터, 방화벽 같은 네트워크 장비를 표적으로 삼아 공격하는 사례도 크게 증가했다.

네트워크 장비는 기업 내에서 전체 트래픽을 모니터링하고 있어 수많은 컴퓨팅 시스템의 데이터 접속을 좌우한다. 이 장비를 이용해 공격자는 효율적으로 수많은 컴퓨터 데이터에 접속하고 내부 정보를 확보할 수도 있다. 적용돼 있는 트래픽 경로를 바꾸거나 세션을 가로채 통신할 수 있고 액세스컨트롤리스트(ACL) 등 보안 정책을 변경할 수 있다. 장비에서 제공되는 기능을 변경·비활성화해 통신을 무력화하고 서비스 거부를 일으키도록 만들 수 있다.

맨디언트가 포착한 관련공격은 시스코 라우터 이미지 변경, 시스코 ASA VPN(가상사설망) 장비 크로스사이트스크립팅(XSS) 공격, 시스코 장비 운영체제(IOS) 라우터 백도어인 ‘신풀 낙(SYNful knock)’ 등이 대표적이다.

서머스 CTO는 “심플 낙 캠페인의 경우 시스코 IOS를 변경해 디바이스에 백도어가 만들어진 것으로, 우리는 시스코와 긴밀히 협력해 패치를 만들어 제공했다”며 “국가 후원을 받은 해커조직, 뛰어난 능력을 가진 공격자들이 이같은 공격을 벌이고 있으며, 앞으로 기업용 네트워크 디바이스 대상 공격은 더욱 증가할 것”이라고 전망했다.

맨디언트는 이들 세 가지 주요 지능형 공격 트렌드 외에 외주 서비스 제공업체를 경유해 특정 기업의 네트워크로 침투하는 방식이 꾸준히 나타나고 있다는 점도 지적했다.

지난해 나타난 관련공격 가운데 가장 피해가 컸던 것은 IT 아웃소싱(ITO) 제공업체를 경유한 공격들이었다. 맨디언트는 다양한 ITO 인프라에서 최소한 2년이 넘는 기간(한 사례는 5년) 침해를 지속한 다수의 지능형 공격그룹을 확인했다.

이들은 ITO 접속을 통해 해당 서비스를 사용하는 고객사(표적기업)에 거리낌 없이 접속해 민감한 정보를 유출하기도 했다.

공격자들은 외주 서비스 제공업체들이 고객 인프라를 지원하기 위해 사용하는 ITO 관리 서버에 접속하고 해당 접속을 유지한 상태에서 정찰을 수행해 표적회사 시스템에 접속할 수 있는 인증을 수집했다. ITO 관리자 권한을 이용해 네트워크상에서 이동하고 피해업체 네트워크 내부에 악성코드를 설치하기도 했다.

서머스 CTO는 “방화벽이나 라우터를 관리하는 제3자 서비스 제공업체의 보안이 취약할 경우, 이 업체를 경로로 삼아 고객사 네트워크에 들어올 수 있다. 외주 서비스제공업체 한 곳을 뚫는데 성공하면 공격자들은 그들의 다수 고객사에 침입할 수 있다”며 “ITO를 수행하고 있다면 ITO 제공업체의 보안을 계약서 의무사항에 명시해야 한다. 더불어 보안 환경을 구축해 보안관리를 제대로 하고 있는지 감사와 테스트를 실시해야 한다”고 강조했다.

외주서비스 경유 침해맨디언트는 이같은 공격 피해를 방지하기 위해서는 외주서비스 제공업체들이 다중 인증 체계를 적용해 고객사 네트워크 환경에 접속할 수 있도록 해야 한다고 권고했다. 또한 로컬 관리자·도메인 관리자·서비스 관리자 계정 등 권한이 있는 모든 계정은 공격자들에게 표적이 될 수 있기 때문에 반드시 모니터(탐지)해야 한다는 점도 지적했다.

서머스 CTO는 성공적인 보안을 위해 기업들이 ▲사용자·업무·조직별 네트워크 사용을 분리해 공격을 어렵게 할 것 ▲이메일과 VPN 원격접속 접속시 이중요소 인증을 적용할 것. 특히 특권 계정 관리 강화와 모니터링을 반드시 수행할 것 ▲서버 환경에서는 화이트리스트를 활용해 운영 환경을 제한할 것 ▲최고경영자(CEO)와 최고정보책임자(CIO)를 비롯한 이사회 차원에서 보안 문화를 조성할 것(정작 임원들이 이중인증 적용을 불편하다고 싫어하는 경우가 많다) ▲사용자들의 악성 이메일 클릭을 통한 공격이 가장 많으므로 피싱 방지 대책을 세울 것 ▲침해사고 대응계획을 수립해 사고가 나기 전에 반드시 전사적으로 테스트할 것(이를 테스트하는 기업이 20%로도 안되는 것으로 나타나고 있다) ▲지능형 멀웨어 차단을 위한 새로운 기술(시그니처 기반이 아닌 샌드박스 등)을 사용할 것을 제안했다.

지능형 사이버공격, 한국이 세계 평균보다 두 배 높아

사본 -지역별 지능형 사이버공격서머스 CTO는 기조연설 직후 이날 열린 기자간담회에서 국내 사이버공격 현황과 트렌드를 소개하기도 했다.

파이어아이에 따르면, 2015년 하반기 동안 국내기관의 38%가 지능형 사이버 공격의 타깃이 됐다. 이 수치는 전세계 평균의 두 배에 달하는 수치로, 미국 평균의 세 배에 육박한다.

2015년 1월부터, 파이어아이는 한국의 클라이언트(서버에 연결된 컴퓨터)를 대상으로 한 악성코드를 발견했으며, 이는 13개의 APT 그룹과 관련이 있었다. 또한 이와 더불어 APT로 분류되지 않은 20개의 또 다른 그룹과 연관된 악성코드를 탐지했다.

13개의 APT그룹 중 하나인 APT30은 중국을 기반으로 하며, 10년이 넘는 기간 동안 활발하게 사이버 공격을 감행하고 있다. APT30은 국내 기관들을 포함해 다양한 지역의 조직들을 타깃으로 하고 있으며, 내부적으로 긴밀히 협력이 가능하도록 잘 조직화된 그룹이다.

사이버공격에 표적이 된 국내 산업은 국내 경제에 핵심적인 역할을 하는 산업들이었다. 한국은 전세계에서 인터넷이 가장 많이 보급된 나라 중 하나로, 이 같은 특성은 공격 그룹들로 하여금 타깃 조직들에 쉽게 접근할 수 있도록 했다. 사이버 공격에 주 타깃이 된 조직은 정부기관, 첨단기술 산업, 통신업, 조선업, 건설 및 엔지니어링 산업, 항공우주 및 방위 산업 등에 속해있는 것으로 나타났다.

서머스 CTO는 행사 기조연설에서도 “4년 전만 해도 항공·우주, 금융 등 특정 산업을 대상으로 공격이 집중됐지만 이제는 교육, 제약, 유통, 미디어·엔터테인먼트, 하이테크 등 모든 산업이 공격 대상이 되고 있다”며 “모든 업종의 조직에서 침해사실을 인지하는데 걸리는 시간을 줄여 빠르게 대응할 수 있는 역량을 갖추는 것이 중요하다”고 강조했다.

표적산업[1]또한 한국의 발전된 기술 역량은 중국 기반 지능형 위협 조직들의 주요 관심사로, 그들은 사이버 공격을 통해 한국의 발전된 기술을 확보해 중국의 첨단 기술 산업과 통신업 등 핵심 산업에 공급하려고 시도하고 있다.

파이어아이는 남북한 긴장 상황에서 북한 기반 지능형 위협 조직이 비즈니스 방해형 공격을 통해 한국 대상 사이버공격을 감행한 것으로 추측하고 있다. 북한 정부는 방해·파괴형 사이버 공격과 같은 형태의 사이버 정보전을 군사 전략의 핵심 요소로 여기고 있는 것으로 짐작할 수 있다고 회사측은 설명했다.

그레디 서머스 파이어아이 CTO는 “많은 한국 기관들이 국가의 지원을 받는 지능형지속위협(APT) 조직의 표적이 되고 있지만, 한국 조직들은 아직까지 사이버 보안에 있어 방어에만 치중하는 전략을 취하고 있다. 더 이상 방어만으로 조직화된 사이버 군대의 공격에 대응하는 것은 불가능하다는 것을 깨달아야 할 때”라며 “지능화되는 사이버 공격에 효과적으로 대응하기 위해서는 공격 전, 공격 당시, 공격 후 모든 단계에서 조직을 보호할 수 있는 보안 전략이 필요하다”고 말했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다