[不信의 보안] ① 불신이 신뢰의 시작, '제로 트러스트' 보안

2022-04-26 00:00
  • 글자크기 설정

해킹 조직 랩서스, 유출된 업무 계정으로 시스템 무단 접근

아무도 믿지 않는다는 '제로 트러스트' 전략으로 단계적 대응

[사진=게티이미지뱅크]

미국 이동통신사 T모바일(T-Mobile)이 23일(현지시간) 랩서스로(Lapsus$)부터 공격받았다고 공식 발표했다. T모바일에 따르면 랩서스는 임직원 계정 정보를 악용해 최소 몇 주 전부터 내부 시스템에 접근했으며, T모바일은 이를 파악하고 네트워크 접근 차단 및 해킹에 쓰인 계정을 차단했다고 밝혔다. 이번 해킹으로 민감한 정보는 유출되지 않았다고 덧붙였다.

랩서스는 최근 몇 개월간 엔비디아, 삼성전자, LG전자, 마이크로소프트 등 주요 기업을 해킹해, 기밀 자료를 유출했다고 주장하며 악명을 떨친 사이버공격 조직이다. 공격 대상 역시 반도체, 전자, 소프트웨어, 통신 등 분야를 가리지 않는다.

다수의 보안 기업에 따르면 랩서스 조직은 공격을 위해 유출된 임직원 계정 정보, 일명 '손상된 자격증명'을 악용한 것으로 나타났다. SK쉴더스 침해사고대응팀 Top-CERT에 따르면 랩서스 조직은 공격 수행 시 공격 대상 임직원 계정 정보를 입수하는 데 큰 노력을 기울였다.

랩서스는 공격 전 다크웹을 통해 공격 대상의 업무용 계정 정보를 획득했다. 다크웹은 우리가 일반적으로 사용하는 인터넷(표면웹)과 달리, 특정 소프트웨어를 이용해 접속할 수 있는 웹 공간이다. 익명성이 보장되기 때문에 각종 불법 정보가 거래되기도 하며, 해킹을 통해 유출된 계정 정보 역시 거래 품목 중 하나다.

뿐만 아니라 SK쉴더스는 랩서스 조직이 피싱 이메일이나 가짜 웹 사이트 등 다양한 경로로 계정 유출 기능이 있는 악성코드를 유포해 임직원 계정 정보를 습득한 것으로 분석했다. 이렇게 수집한 임직원 계정 정보를 통해 랩서스는 공격 대상의 사용자 PC에 손쉽게 접근했으며 이후 내부 정보를 탈취했다는 설명이다.

보안 기업 S2W 역시 유사한 분석 결과를 내놨다. S2W는 랩서스가 기업의 강력한 보안 망을 뚫기 위해 유출된 계정을 활용한 것으로 분석했다. 랩서스가 공개한 스크린샷과 채팅 기록 등에는 실제로 유출된 가상사설망(VPN) 계정, 원격 데스크톱 프로토콜 접근 권한 등과 함께 애저, AWS 등 클라우드 기반 업무 서비스 계정 등이 포함돼 있다는 점이 그 이유다.

특히 VPN은 오늘날 원격근무에서 쓰이는 대표적인 보안 수단이지만, 계정이 유출되면서 공격자의 침입을 용이하게 만드는 도구가 됐다. VPN은 회사 서버와 원격근무자 PC 사이에 일종의 전용 터널을 만드는 기술로, ID와 비밀번호를 이용해 '터널' 이용 권한을 인증하는 방식이 주로 쓰인다. 하지만, ID와 비밀번호를 사이버공격자가 입수할 경우 공격자는 아무런 저지 없이 시스템에 접근할 수 있다.

이처럼 손상된 자격증명은 오늘날 기업이 마주한 대표적인 보안 위협이다. 이러한 위협에 대응하기 위해 최근 '제로 트러스트' 보안 모델이 다시 주목받고 있다.

과학기술정보통신부는 최근 발생한 침해사고 유형이 최초 침투→내부망 접근→정보 유출로 이어지는 형태가 많다며, 제로 트러스트 관점에서 단계별 보안 강화를 권고했다.

제로 트러스트란 아무도 믿지 않는 것을 전제로 하는 보안 방법론으로, ID와 비밀번호를 입력해 접근하는 사용자라 할지라도 해커일 가능성을 염두에 두고 최소한의 권한만을 부여하는 방식이다. 사용자는 철저한 인증을 통해 신원을 증명하고, 증명 이후에도 정해진 범위에서만 활동할 수 있도록 제한한다. 따라서 해커가 유출된 계정을 악용하더라도 로그인 시도 자체를 막거나, 침투에 성공하더라도 공격할 수 있는 범위가 제한된다.

제로 트러스트는 특정 기술에 대한 명칭이 아니며, 이를 구현하는 방법도 다양하다. 대표적으로 거론되는 것은 다요소 인증(2단계 인증, MFA)이다. ID와 비밀번호 외에 사용자가 보유한 추가 인증 수단을 이용하는 방식을 말한다.

FIDO얼라이언스에 따르면 이러한 인증 방식은 크게 지식기반, 소유기반, 특징기반으로 나뉜다. 지식기반이란 사용자가 알고 있는 정보를 통해 인증하는 방식으로, ID와 비밀번호가 대표적인 사례다. 소유기반 인증은 사용자가 소유한 물건을 통해 추가적인 인증을 진행하는 것으로, 스마트폰 문자 메시지로 받은 6자리 인증번호가 대표적이다. 특징기반은 사용자의 신체적 특징을 이용하는 방식으로 지문인식이 대표적인 수단이다. 이밖에 최근에는 수기 서명이나 이용 패턴 등을 분석하는 행위기반 인증도 연구되고 있다.

©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지

0개의 댓글
0 / 300

로그인 후 댓글작성이 가능합니다.
로그인 하시겠습니까?

닫기

댓글을 삭제 하시겠습니까?

닫기

이미 참여하셨습니다.

닫기

이미 신고 접수한 게시물입니다.

닫기
신고사유
0 / 100
닫기

신고접수가 완료되었습니다. 담당자가 확인후 신속히 처리하도록 하겠습니다.

닫기

차단해제 하시겠습니까?

닫기

사용자 차단 시 현재 사용자의 게시물을 보실 수 없습니다.

닫기
공유하기
닫기
기사 이미지 확대 보기
닫기
언어선택
  • 중국어
  • 영어
  • 일본어
  • 베트남어
닫기