“랜섬웨어·APT…공격자는 무엇이든 할 수 있다”

윤삼수 파이어아이코리아 전무 “악성코드에 천착하지 말고 공격 전반 가시성 확보하고 대응해야”

“워너크라이, 페트야 등 전 세계가 랜섬웨어 피해를 입고 있는데, 심각한 문제는 랜섬웨어가 아니라 공격자가 시스템 제어권을 손 안에 넣었다는 점이다. 공격자는 랜섬웨어든 APT든 무엇이든 할 수 있는 환경을 만들었으며, 실제 피해로 이어지지 않기 위해서는 공격 전반에서 대응할 수 있는 방법이 필요하다.”

윤삼수 파이어아이코리아 전무는 “폭탄은 이미 우리 손에 들어와있다. 옆 사람에게 폭탄돌리기를 한다고 해서 폭탄의 피해를 막을 수 있는 것은 아니다. 공격자의 위협 수준이 매우 높아졌다는 점을 알아야 한다”고 역설했다.

“악성코드, 공격의 일부일 뿐”

윤 전무는 “공격자가 무엇이든 할 수 있는 때가 됐다”고 강력하게 경고했다. 워너크라이를 통해 일시에 전 세계에서 대규모 랜섬웨어 공격이 발생할 수 있다는 사실이 입증됐으며, 페트야를 통해 폐쇄망도 공격을 당할 수 있다는 사실이 알려지게 됐다. 공격자는 수년간 기업/기관의 네트워크에 숨어 들키지 않고 공격을 벌이고 있지만, 방어하는 쪽에서는 장님 코끼리 만지듯 공격 일부만을 보고 대응하는 한계가 있다.

윤 전무는 “악성코드만 찾으면 침해대응이 끝났다고 생각하기 쉽지만, 악성코드는 공격의 일부일 뿐, 전부가 아니다. 악성코드를 찾는데 천착해서는 침해사고에 대응하지 못한다”고 거듭 강조하면서 공격 전반을 아우르는 대응 전략이 필요하다고 역설했다.

▲윤삼수 파이어아이코리아 전무는 “공격자는 악성코드만을 갖고 공격하지 않으며, 악성코드에만 천착해서는 공격을 막을 수 없다. 공격 전반의 가시성을 확보하고, 위협 인텔리전스와 IOC를 이용해 대응하며, 써드파티를 포함한 보안 자동화로 사람의 실수에 의한 리스크를 줄여야 한다”고 말했다.

윤 전무는 침해사고 조사 과정에서 상시적으로 발생하는 치명적인 실수에 대해 자세히 설명했다.

침해사고 조사 중 A 직원의 PC에서 악성코드 감염 흔적이 발견되면, 해당 PC를 격리하고 발견된 악성코드를 분석하고, 이 PC를 포맷하는 것으로 끝낸다. 그러나 공격자는 A직원 PC로 침투해 네트워크에 연결된 다른 직원의 PC로 이동한다. 중요 정보를 갖고 있는 직원 B, 혹은 중요 서버 접근 권한을 가진 직원 C의 PC로 옮겨가서 정보를 유출한다.

동시에 또 다른 직원들의 PC에 거점을 마련하고, 최초 침투 지점인 A 직원 PC가 포맷되면 다른 직원 PC를 통해 B, C 직원 PC에서 정보를 빼낸다. 악성코드는 A 직원 PC에만 사용되며, 다른 직원 PC로 이동할 때는 접근권한을 탈취해 정상적인 명령어를 이용한다.

윤 전무는 “악성코드만 조사하는 침해대응은 A 직원 PC를 격리하는 것으로 끝낸다. 공격자는 다른 거점을 여러개 만들어 계속 공격을 이어가지만, 기업은 침해사고 조사만으로 대응이 완료됐다고 생각한다”고 지적했다.

“공격자는 부지런하고 성실하다”

실제로 이 같은 사고는 현장에서 다수 발견된다. 인터넷 포털 사이트를 운영하는 D사는 침해사고가 의심되는 정황이 발견돼 침해조사를 의뢰했다. 조사 결과 3년 전 최초 침입이 있었으며, 3년 동안 중요 시스템을 찾아 이동해 온 흔적이 발견됐다. 중요 시스템 접근 시도가 감지돼 사고가 발생하기 전 막을 수 있었다.

E사는 글로벌 사업을 위해 신규 런칭하는 서비스 전반을 점검했는데, 신규 서비스 뿐 아니라 기존 서비스에서도 수년 전부터 공격자가 침투해 데이터를 유출하려는 시도가 다수 발견됐다.

윤 전무는 “APT 공격자는 최초 침투 후 시스템을 돌아다니면서 곳곳에 거점을 숨겨둔다. 하나의 거점이 파괴되면 다른 거점을 통해 공격 준비를 해 나가는 방식”이라며 “공격자는 부지런히 공격 포인트를 찾아 공격을 이어나가며, 침해 사실을 들키지 않기 위해 장기간 은밀하게 진행한다”고 설명했다.

이와 같은 지능적이고 지속적인 공격을 막기 위해서는 공격 전반의 가시성을 확보하는 것이 중요하다. 최초 침투가 일어나기 전에 공격인 인지하고 차단하는 것이 첫번째이며, 모든 엔드포인트와 네트워크에서 침해 흔적을 찾아 조사해 가시성을 확보하는 것도 필요하다. IOC와 위협 인텔리전스를 활용해 기존 공격 및 최신 공격과 동일하거나 유사한 공격을 찾아내고 대응하며, 추가/변형 공격에 대응할 전략을 마련하는 것이 필요하다.

파이어아이는 샌드박스를 기반으로 한 APT 대응 제품군과 함께 위협 인텔리전스인 ‘아이사이트’, 침해대응 서비스 ‘맨디언트’를 제공하며, 보안운영을 자동화하는 ‘힐릭스’를 통해 공격 전반에서 효율적으로 대응할 수 있게 한다.

윤 전무는 “파이어아이는 자체 제품과 서비스를 통해 지능형 공격에 대응할 수 있을 뿐 아니라 써드파티와의 유연한 연동을 통해 효율적이고 자동적으로 보안을 운영할 수 있게 한다”고 강조했다.

김선애 기자 다른기사 보기