가상화폐에 대한 관심이 뜨겁게 달궈지고 있는 가운데 가상화폐 거래소와 이용자를 타깃으로 하는 공격이 증가하고 있으며, 일반 사용자 PC 리소스를 사용해 가상화폐를 채굴하는 마이닝 봇이 크게 늘어날 것이라는 전망이 잇달아 제기되고 있다.
SK인포섹의 전문가 그룹 이큐스트(EQST)가 발표한 ‘2018년 사이버 위협 전망’ 보고서에 따르면 지난해 가상화폐 마이닝 악성코드가 급증했는데, 가상화폐 가격이 최고조에 달한 11월 전체 보안사고의 31%가 이 공격으로 인한 것으로 파악됐다.
가상화폐 마이너 봇은 개방된 원격관리 포트 취약점 등 공격 가능한 취약점을 스캐닝해 사용자 PC나 서버에 가상화폐 마이너를 설치하고, 채굴한 가상화폐를 공격자 지갑으로 전송하는 방식을 사용한다. 공격에 이용하는 취약점은 아파치 스트러츠, 레디스 등 오픈소스 취약점과 RDP/SSH와 같은 무차별 대입 공격, 오라클, 웹로직 등의 DB 취약점 익스플로잇을 사용한다.
이재우 이큐스트 그룹장은 “가상화폐 마이너에 감염되면 CPU 리소스 사용이 높아지면서 시스템 사용이 어려워지는 피해를 입게 된다. 마이너에 감염된 후 공격자 지갑으로 전송하는 것을 SK인포섹 위협 인텔리전스에서 탐지해 분석하고 있으며, 지난해 말 부터 공격 빈도가 크게 늘어나고 있다”고 말했다.
이재우 그룹장은 “가상화폐에 대한 공격은 올해 더욱 기승을 부릴 것으로 예상되는데, 가상화폐 마이닝 뿐 아니라 사용자 지갑을 탈취하거나 거래소 서버를 장악하는 등의 공격 시도는 더욱 증가할 것이다”라며 “가상화폐 거래소는 금융기관과 같은 수준의 보안 시스템과 보안 체계를 운용해야 하며, 콜드월렛과 핫월렛 보안 관리에 특히 주의를 기울여야 한다”고 강조했다.
지능화된 신규 취약점 이용 공격 늘 것
이큐스트는 100여명의 전문가로 구성된 보안 분석 전문 조직이다. 이큐스트는 관제 플랫폼 ‘시큐디움 플랫폼’의 관제 데이터, 글로벌 위협 인텔리전스 조직 CTA의 정보와 SK인포섹이 자체 수집한 위협 데이터 프로파일링 분석 결과, 이큐스트가 수행한 해킹사고 대응 결과, 외부 리서치 등을 기반으로 ‘이큐스트 인사이트’ 연간 보고서를 작성한다.
18일 공개한 보고서에서는 지난해 발생한 주요 보안 사고 ▲관리서버에 대한 APT 공격 ▲아파이 스트러츠2 취약점을 이용한 사고 ▲다양한 랜섬웨어 악성코드 ▲가상화폐 마이너 악성코드 ▲원격관리 소프트웨어 해킹 사고 ▲보안 솔루션 우회 기법 고도화 ▲소프트웨어 공급망 구조적 취약점 공격 등을 꼽았다.
이를 바탕으로 올해 주요 위협 전망으로 ▲관리서버의 신규 취약점을 이용한 APT공격 ▲취약점 자동화 공격 도구 제로데이화 ▲범용 소프트웨어 자동화 공격 ▲소프트웨어 공급망 홀에 대한 공격 ▲대규모 랜섬웨어 감염을 위한 구조적 취약점 공격 등을 들었다.
◆ 관리서버의 신규 취약점을 이용한 APT 공격= 2011년부터 관리서버를 공격해 내부망에 악성코드를 전파하려는 시도가 지속적으로 증가하고 있다. 관리서버가 APT 공격에 지속적으로 사용되는 이유는 공격 효과가 높기 때문이다.
관리서버는 일반적으로 패치 및 자산관리, 파일 배포 등에 사용되기 때문에, 해커는 이 기능을 이용해 악성파일 배포를 하고 PC를 장악할 수 있다. 최근 몇 년 동안 해커는 관리 서버의 신규 취약점을 연구해 해당 서버를 공격하고 있으며, 이는 관리자가 사후에 발견 하더라도 어떤 취약점을 이용해서 공격 했는지 알 수 가 없기 때문에 대응 조치를 하기가 매우 어렵다.
관리 서버를 개발하는 국내 벤더의 개발·경영 환경이 어렵기 때문에 취약점을 사전에 발견 하더라도 패치에 장시간이 소요된다. 이런 특징 때문에 2018년에도 관리 서버에 대한 공격이 지속 될 것으로 보이며, 단순한 권한 획득이 아닌 제로데이 처럼 신규 취약점을 통해 공격을 시도 할 것으로 예상된다.
◆ 취약점 자동화 공격 도구 제로데이화= 새로운 취약점이 발표되면 보안장비를 패턴 업데이트하는데 평균 일주일의 시간이 소요된다. 이전에는 신규 취약점이 발표된 후 약 2~3일 후에 자동화 공격 툴이 만들어졌지만 최근에는 취약점이 발표되기도 전에 자동화 공격 도구(Tool)가 발견 되는 사례가 있었다. 제로데이 취약점 공격과 자동화 공격 도구를 이용한 공격이 동시에 행해지면 매우 큰 피해를 입힐 뿐만 아니라, 대응하는 입장에서도 매우 어려운 상황들이 발생하게 된다. 때문에 공격자는 적은 노력으로 매우 큰 효과를 볼 수 있는 제로데이 패키지 공격을 계속해서 시도할 것으로 예상된다.
◆ 범용 소프트웨어 자동화 공격= 최근 공격자들은 외부에 공개된 범용 소프트웨어를 스캐닝하고, 발견된 보안 취약점 및 취약 계정을 통해 침투 한 후 악성코드를 설치하거나 자동화된 공격을 감행하고 있다.
최근에는 오픈 소스 소프트웨어를 타깃한 공격들이 증가되고 있다. 보안에 취약한 오픈 소스 소프트웨어를 별도 망에 설치하고 테스트한 결과, 5시간도 되지 않아 악성코드가 설치되는 것을 확인했다. 범용 소프트웨어는 불특정 다수가 사용하고 있어 타깃 할 수 있는 대상이 많고, 자동화된 공격으로 큰 피해를 입힐 수 있기 때문에 심각한 위협이 될 것으로 전망하고 있다.
◆ 소프트웨어 공급망 홀에 대한 공격= 소프트웨어 공급망은 개발사, 총판, 리셀러, 협력업체, 구매회사로 이어지는 매우 복잡한 구조를 가지고 있다. 때문에 소프트웨어가 배포되는 과정에서 보안에 취약한 지점이 반드시 존재하며, 해커는 이 구조적인 취약점을 노려 악성코드를 설치하거나 원본 파일을 악성코드로 변경하는 공격을 감행하고 있다. 보안 수준이 높은 회사라 할지라도 악성코드로 변경된 소프트웨어의 악성 유무를 확인하기가 매우 어렵기 때문에 소프트웨어 공급망에 대한 공격이 늘어날 것으로 예상된다.
◆ 대규모 랜섬웨어 감염을 위한 구조적 취약점 공격= 대규모 시스템에 악성코드를 감염시켜 중요한 데이터를 인질 삼아 금전을 요구하는 랜섬웨어 공격은 계속 증가할 것으로 예상된다. 해커는 클라우드에서 사용되는 파일 공유 기능이나 파일 서버를 공격해 랜섬웨어에 감염시키려는 시도를 하고 있다. 특히 파일 배포 기능이 있는 관리서버나 자원을 공유해서 사용하는 서버 환경의 경우에는 랜섬웨어 감염 리스크가 높다고 볼 수 있다.
지난해 보안 사고 중에서 데스크톱 가상화(VDI) 서버 내에 있는 가상머신(VM) 전체가 감염돼 시스템 전체를 초기화 했던 사례가 있었다. 올해에도 이러한 구조적 취약점을 이용한 공격이 늘 것으로 예상된다.
사내 버그바운티 운영하며 공격면 축소 노력 전개
한편 SK인포섹은 이러한 위협에 대응하기 위해 ▲통합SOC 관제 기술의 고도화 ▲사이버 위협 인텔리전스 기반 탐지 대응 ▲이큐스트 랩 신규 취약점 연구와 정보공유 ▲엔드포인트 위협 탐지 및 대응 ▲다크웹 정보 수집과 분석 등을 중점적으로 추진하겠다고 설명했다.
특히 사내 버그바운티를 운영해 취약점을 제거하는 노력을 진행하겠다고 밝혀 주목된다. 버그바운티는 소프트웨어나 시스템의 취약점을 발견해 신고하는 프로그램으로, 최근 인텔 CPU의 멜트다운 취약점을 구글 연구원이 발견하고 조치를 취하도록 한 것이 대표적인 사례로 꼽힌다.
많은 글로벌 기업들은 버그바운티 프로그램을 운영하고 있으며, 버그바운티 전문 조직도 활발한 활동을 전개하고 있다. 우리나라에서는 한국인터넷진흥원(KISA)을 중심으로 IT 기업들이 활동을 하고 있지만, 개별 기업이 자체적으로 버그바운티를 운영하는 것은 SK인포섹이 처음이다.
이재우 그룹장은 “버그바운티 프로그램을 운영하기 위해서는 보안 취약점을 찾는 화이트해킹 능력과 함께 이를 패치할 수 있는 능력까지 갖춰야 하기 때문에 전문 역량이 없는 조직에서는 운영하기 어렵다. SK인포섹은 오랜 기간 쌓은 침해대응 역량과 위협 인텔리전스, 보안 전문가 조직을 갖추고 있어 이러한 업무를 수행하기에 최적의 조건을 갖췄다고 자신한다”며 “1분기 내에 버그바운티 프로그램을 만들어 운영하면서 IT 전반의 보안 취약점을 제거하고 공격면을 축소하는데 노력하겠다”고 말했다.
