해커는 시스템 내부에서 은밀하게 이동한다
2022-07-26 16:50
최근 사이버 공격에서 '은밀한 수평이동' 빈번하게 발견
KISA "해커 전술·기법 알아야 효과적인 방어 가능해"
KISA "해커 전술·기법 알아야 효과적인 방어 가능해"
해킹은 PC나 서버에 있는 데이터를 유출하는 것을 넘어 일상과 사회 인프라를 마비시키는 형태로 발전했다. 사물인터넷 등 지능형 기술이 우리 삶 곳곳에 들어오고, 기간시설이 IT를 통해 관리되는 만큼 해킹 피해가 사이버 공간을 넘어 현실 공간에도 피해를 주게 됐다.
이처럼 해킹으로 인한 피해가 치명적인 형태로 바뀌면서, 보안 요구사항 역시 까다로워졌다. 보안 체계에 인공지능과 기계학습 등이 도입되면서 해커의 침투에 자동으로 대응하는 것은 물론, 알려지지 않은 악성코드를 분석해 잠재적인 위협에도 대응한다.
국내 기업도 이에 맞춰 보안 투자를 늘리는 추세다. 삼성전자의 경우 지난해 6939억원을 정보보호에 투자했으며, 내부 보안 인력을 450명 운영하고 있다. 네이버나 카카오 등 빅테크 기업 역시 IT 부문 투자액의 3~4%를 정보보호에 투자하고 있으며, 40~50여명의 보안 전담 인력을 운영 중이다.
2022년 6월 30일을 기준 국내에 신고된 정보보호 최고책임자(CISO)는 2만4687명으로, 1만6000여명이던 2019년 11월과 비교해 크게 늘었다. 정부 역시 정보보호를 국가 안보 차원에서 전략산업으로 인식하고, 산업 육성과 인력 양성을 위한 정책을 추진하고 있다.
하지만 고도화된 보안 체계에도 불구하고 침해사고는 여전히 발생하고 있다. 보안이 진화함에 따라 사이버 공격자 역시 더 고도화한 방법으로 침투를 시도하기 때문이다. 그 때문에 보안 전문가들은 보안 부서가 공격자의 전술·기법·절차(TTPs)를 이해하고 이를 무력화할 수 있는 보안 전략을 펼쳐야 한다고 강조한다.
◆수 년간 숨어서 시스템 장악...서버 기능 악용해 악성코드 전파
한국인터넷진흥원(KISA)이 25일 발간한 보고서에 따르면 대형 쇼핑몰 랜섬웨어, 암호화폐 거래소 자산 탈취, 언론사 정보 탈취 등 국내에서 최근 몇 년간 발생한 주요 침해사고에서 원격제어에 쓰이는 관리 공유(SMB/Admin Share) 기능을 악용해 내부 전파를 시도한 흔적이 공통으로 발견됐다.
관리 공유 기능은 많은 기업에서 서버 간 자료 공유 편의성을 높이거나, 사용자 인증(액티브 디렉토리) 환경에서 정책을 전사적으로 배포하는 데 쓰인다. KISA에 따르면 관리자가 이 기능을 잘못 사용할 경우 보안상 큰 허점이 발생할 수 있으며, 공격자는 이를 노려 악성코드 내부 전파를 시도한다.
최근 여러 사이버 공격에서 나타난 동향을 살펴보면, 공격자가 시스템에 최초로 침입하는 방식은 다양하다. 피싱 등 여러 방식으로 악성코드가 설치되면, 악성코드는 해커가 만든 명령제어 서버와 통신하며 추가적인 파일과 명령어를 내려받아 시스템 장악을 시도한다. 특히 관리자 ID와 비밀번호를 알아내기 위해 무작위 대입 공격 도구를 설치하고, 자판 입력을 기록하는 키로거, 화면을 촬영해 저장하는 스크린 캡처 등을 통해 정보를 유출한다.
이러한 공격 과정은 시스템 내부에서 은밀하게 이뤄진다. 정상 프로그램 내부에 악성 명령어를 주입해 정상인 것처럼 위장한 상태로 악성코드를 실행한다. 또한 침투 이후에도 공격을 지속할 수 있도록 부팅 시 악성코드가 자동 실행되도록 설정하는 방식도 선택했다.
특히 공격자는 보안 체계를 회피하기 위해 다양한 위장 전술을 펼쳤다. 우선 원격제어를 위한 악성코드는 통신을 위한 설정 정보, 악성코드 내부 문자열 등을 암호화해 저장했다. 보안 담당자가 이를 분석하려면 암호화된 내용을 되돌려야 하기 때문에 대응에 시간이 걸린다.
또 소프트웨어의 신분증에 해당하는 코드사인 인증서도 위조 및 탈취해 사용했다. 코드서명 인증서는 개발사로부터 최종 사용자까지 전달된 코드가 손상되지 않았음을 제삼자로부터 증명하는 인증서로, 해당 인증서가 없으면 소프트웨어 실행 시 운영체제에서 경고 메시지가 나타난다. 하지만 공격자는 인증서를 위조하거나 인증기관에서 탈취한 인증서를 자신의 악성코드에 적용하고 백신 등이 이를 정상 소프트웨어로 인식하도록 해 탐지를 피했다.
이 밖에도 악성코드를 연결된 다른 서버 및 PC 등으로 전파하기 위해 수평 이동 기법을 사용했는데, 이 과정에서 관리 공유 기능의 약점을 악용했다. 앞서 언급한 것처럼 해당 기능은 서버 간 자료 공유 등에 쓰이며, 공격자는 이를 이용해 다른 서버로 악성코드를 전파한 셈이다.
KISA는 공격자의 최근 전술에 대응하기 위해서 관리자 계정마다 필요한 권한을 나눠서 적용해야 하며, 최상위 관리자 계정은 직접 사용하지 않을 것을 권고했다. 이 경우 권한이 낮은 관리자 계정이 탈취되더라도 수평 이동이 어렵기 때문이다.
특히 KISA는 많은 기업이 시스템 내부에서 해커의 은밀한 활동을 수 년간 파악하지 못했고, KISA가 피해 사실을 통보한 뒤 이를 인지했다고 밝혔다. 보안 인텔리전스 기업 맨디언트가 2022년 발표한 보안 동향 보고서에 따르면 아태지역에서 20% 이상 기업의 '드웰 타임(공격을 인지하기까지 공격자가 시스템에 존재한 기간)'은 700일이 넘어가는 것으로 나타났다.
그 때문에 방어자가 기업 시스템 감염 여부를 확인할 수 있도록 과거와 현재의 공격자를 파악하고, 잠재된 위험이 없는지 평가하는 CA(Compromise Assessment) 활동이 필요하다고 강조했다. CA는 미국 사이버 및 인프라 보안국(CISA)이 권고한 표준 점검 방안으로, 정기적인 수행을 통해 보안 요구사항을 충족할 수 있다는 설명이다.
이처럼 해킹으로 인한 피해가 치명적인 형태로 바뀌면서, 보안 요구사항 역시 까다로워졌다. 보안 체계에 인공지능과 기계학습 등이 도입되면서 해커의 침투에 자동으로 대응하는 것은 물론, 알려지지 않은 악성코드를 분석해 잠재적인 위협에도 대응한다.
국내 기업도 이에 맞춰 보안 투자를 늘리는 추세다. 삼성전자의 경우 지난해 6939억원을 정보보호에 투자했으며, 내부 보안 인력을 450명 운영하고 있다. 네이버나 카카오 등 빅테크 기업 역시 IT 부문 투자액의 3~4%를 정보보호에 투자하고 있으며, 40~50여명의 보안 전담 인력을 운영 중이다.
2022년 6월 30일을 기준 국내에 신고된 정보보호 최고책임자(CISO)는 2만4687명으로, 1만6000여명이던 2019년 11월과 비교해 크게 늘었다. 정부 역시 정보보호를 국가 안보 차원에서 전략산업으로 인식하고, 산업 육성과 인력 양성을 위한 정책을 추진하고 있다.
하지만 고도화된 보안 체계에도 불구하고 침해사고는 여전히 발생하고 있다. 보안이 진화함에 따라 사이버 공격자 역시 더 고도화한 방법으로 침투를 시도하기 때문이다. 그 때문에 보안 전문가들은 보안 부서가 공격자의 전술·기법·절차(TTPs)를 이해하고 이를 무력화할 수 있는 보안 전략을 펼쳐야 한다고 강조한다.
◆수 년간 숨어서 시스템 장악...서버 기능 악용해 악성코드 전파
한국인터넷진흥원(KISA)이 25일 발간한 보고서에 따르면 대형 쇼핑몰 랜섬웨어, 암호화폐 거래소 자산 탈취, 언론사 정보 탈취 등 국내에서 최근 몇 년간 발생한 주요 침해사고에서 원격제어에 쓰이는 관리 공유(SMB/Admin Share) 기능을 악용해 내부 전파를 시도한 흔적이 공통으로 발견됐다.
관리 공유 기능은 많은 기업에서 서버 간 자료 공유 편의성을 높이거나, 사용자 인증(액티브 디렉토리) 환경에서 정책을 전사적으로 배포하는 데 쓰인다. KISA에 따르면 관리자가 이 기능을 잘못 사용할 경우 보안상 큰 허점이 발생할 수 있으며, 공격자는 이를 노려 악성코드 내부 전파를 시도한다.
최근 여러 사이버 공격에서 나타난 동향을 살펴보면, 공격자가 시스템에 최초로 침입하는 방식은 다양하다. 피싱 등 여러 방식으로 악성코드가 설치되면, 악성코드는 해커가 만든 명령제어 서버와 통신하며 추가적인 파일과 명령어를 내려받아 시스템 장악을 시도한다. 특히 관리자 ID와 비밀번호를 알아내기 위해 무작위 대입 공격 도구를 설치하고, 자판 입력을 기록하는 키로거, 화면을 촬영해 저장하는 스크린 캡처 등을 통해 정보를 유출한다.
이러한 공격 과정은 시스템 내부에서 은밀하게 이뤄진다. 정상 프로그램 내부에 악성 명령어를 주입해 정상인 것처럼 위장한 상태로 악성코드를 실행한다. 또한 침투 이후에도 공격을 지속할 수 있도록 부팅 시 악성코드가 자동 실행되도록 설정하는 방식도 선택했다.
특히 공격자는 보안 체계를 회피하기 위해 다양한 위장 전술을 펼쳤다. 우선 원격제어를 위한 악성코드는 통신을 위한 설정 정보, 악성코드 내부 문자열 등을 암호화해 저장했다. 보안 담당자가 이를 분석하려면 암호화된 내용을 되돌려야 하기 때문에 대응에 시간이 걸린다.
또 소프트웨어의 신분증에 해당하는 코드사인 인증서도 위조 및 탈취해 사용했다. 코드서명 인증서는 개발사로부터 최종 사용자까지 전달된 코드가 손상되지 않았음을 제삼자로부터 증명하는 인증서로, 해당 인증서가 없으면 소프트웨어 실행 시 운영체제에서 경고 메시지가 나타난다. 하지만 공격자는 인증서를 위조하거나 인증기관에서 탈취한 인증서를 자신의 악성코드에 적용하고 백신 등이 이를 정상 소프트웨어로 인식하도록 해 탐지를 피했다.
이 밖에도 악성코드를 연결된 다른 서버 및 PC 등으로 전파하기 위해 수평 이동 기법을 사용했는데, 이 과정에서 관리 공유 기능의 약점을 악용했다. 앞서 언급한 것처럼 해당 기능은 서버 간 자료 공유 등에 쓰이며, 공격자는 이를 이용해 다른 서버로 악성코드를 전파한 셈이다.
KISA는 공격자의 최근 전술에 대응하기 위해서 관리자 계정마다 필요한 권한을 나눠서 적용해야 하며, 최상위 관리자 계정은 직접 사용하지 않을 것을 권고했다. 이 경우 권한이 낮은 관리자 계정이 탈취되더라도 수평 이동이 어렵기 때문이다.
특히 KISA는 많은 기업이 시스템 내부에서 해커의 은밀한 활동을 수 년간 파악하지 못했고, KISA가 피해 사실을 통보한 뒤 이를 인지했다고 밝혔다. 보안 인텔리전스 기업 맨디언트가 2022년 발표한 보안 동향 보고서에 따르면 아태지역에서 20% 이상 기업의 '드웰 타임(공격을 인지하기까지 공격자가 시스템에 존재한 기간)'은 700일이 넘어가는 것으로 나타났다.
그 때문에 방어자가 기업 시스템 감염 여부를 확인할 수 있도록 과거와 현재의 공격자를 파악하고, 잠재된 위험이 없는지 평가하는 CA(Compromise Assessment) 활동이 필요하다고 강조했다. CA는 미국 사이버 및 인프라 보안국(CISA)이 권고한 표준 점검 방안으로, 정기적인 수행을 통해 보안 요구사항을 충족할 수 있다는 설명이다.