지능화되는 사이버 공격에 대응하기 위해 선제방어는 완벽하지 않으며, 현재 진행되고 있는 공격을 탐지하고 빠르게 대응하는 것이 필요하다. 그러나 탐지·대응 역시 완벽하지는 않으며, 최근 공격자들은 공격 탐지 기술과 관제 서비스를 무력화하는 공격을 진행하고 있다.
한국인터넷진흥원(KISA)이 5일 발표한 ‘사이버 위협 인텔리전스가 선정한 7대 사이버 공격 전망’에 따르면 공격자들은 기존 탐지 시스템을 무력화하기 위해, 정상 통신이나 서비스를 위장하고 있다.
공격에 사용되는 악성코드는 타깃 시스템을 감염시킨 후 외부 C&C 서버와 통신하면서 실제 공격에 사용되는 도구(페이로드)를 다운받는다. 악성코드 탐지 시스템이나 관제 시스템은 알려진 C&C 서버와의 통신을 차단하고, 이전에 통신하지 않았던 의심스러운 외부 통신을 탐지해 공격여부를 확인한다.
최근 공격자들은 트위터, 페이스북 등 잘 알려진 SNS 서비스 혹은 정상 클라우드 서비스 등을 C&C 서버로 사용한다. 이러한 서비스는 신뢰할 수 있고, 정상적인 통신으로 진행되기 때문에 탐지 시스템은 정상 통신으로 간주하고 공격을 탐지하지 않을 수 있다.
문종현 이스트소프트 부장은 “공격자들은 점점 더 똑똑해지고 있다. 클라우드 서비스, SNS 등 정상 서비스를 통해 공격명령을 받고 데이터를 빼내 공격 탐지 시스템을 우회한다”며 “다양한 방법의 은닉공격을 시도하면서 탐지 기술을 무력화하고 있다”고 설명했다.
감염된 내부 시스템 공격서버로 이용해 탐지 무력화
내부 시스템을 C&C로 이용해 공격 탐지 시스템을 우회하는 공격도 늘고 있다. 내부 시스템을 감염시킨 후, 이를 공격 거점으로 삼는다. 외부 공격 서버와 통신을 최소화하고 내부 시스템을 통해 명령을 받도록 함으로써 관제 시스템에 탐지될 확률을 낮춘다.
공격을 더욱 효과적으로 하기 위해 시스템의 관리자 권한을 탈취하는 방법도 다양해지고 있다. 타깃 조직의 관리자가 자주 방문하는 커뮤니티를 해킹해 회원정보를 탈취하는 공격도 늘고 있다. 이 때문에 잘 알려지지 않은 소규모 커뮤니티에 대한 해킹 시도가 지속적으로 이어지고 있다.
패치관리 소프트웨어 기업을 해킹해 코드서명인증을 위조한 후 악성파일이 패치로 배포되도록 하는 공격은 올해 초부터 지속적으로 발견되고 있으며, 자산관리 중계 서버를 통한 내부 분리망을 침투하는 시도도 계속 이어질 것으로 보인다.
안창용 안랩 책임은 “악성코드가 다수 감염되면 외부 C&C 통신 트래픽이 많아져 탐지될 가능성이 높아진다. 공격자들은 이를 우회하기 위해 내부 시스템을 장악한 후 C&C로 사용한다. 공격 트래픽이 내부에서만 오가기 때문에 외부 통신을 모니터링하는 시스템에서 공격을 탐지하기 어렵다”며 “망분리 환경이라고 해서 안전한 것은 아니다. 공격자는 내부망과 외부망을 동시에 장악하고 통제한다”고 역설했다.
마케팅 전략 고도화하는 랜섬웨어
랜섬웨어 역시 기존 탐지 시스템을 무력화하기 위한 다양한 방법을 시도하고 있다. 특히 랜섬웨어는 산업화돼 발전하고 있으며, 공격조직은 고도의 경영기법을 사용해 수익성을 극대화한다. 랜섬웨어 공격 효과를 높이기 위해 마케팅 전략도 고도화 될 것으로 보인다.
정치·사회적인 이슈 혹은 업무·일상생활과 밀접한 내용으로 랜섬웨어 감염을 유도할 것이며, 감염된 후 피해자가 비트코인을 쉽고 빠르게 보낼 수 있도록 서비스 할 것이다. 고객센터를 운영해 비트코인 이체 방법을 안내하는 한편, 타임세일을 진행하면서 빠르게 돈을 보내면 금액을 깎아주는 등의 이벤트도 진행하고 있다.
오경 포티넷코리아 이사는 “랜섬웨어 공격조직이 별도의 개발조직(R&D)을 운영하는 한편, 고도의 경영기법을 적용한다는 것은 이미 알려진 현실이다. 앞으로는 마케팅 전문가를 고용해 공격 효과를 훨씬 더 높일 것으로 보인다”며 “정치인·연예인 등 더 많은 돈을 낼 수 있는 피해자에게 높은 금액을 요구하고, 중요한 산업제어시설을 공격해 수익을 극대화하는 한편, 불특정 다수를 대상으로 무작위로 악성코드를 배포해 ‘박리다매’ 방식의 수익을 얻을 것”이라고 설명했다.
