[주요 사이버 공격 그룹⑦] 지능적인 모방범죄 ‘성행’
상태바
[주요 사이버 공격 그룹⑦] 지능적인 모방범죄 ‘성행’
  • 김선애 기자
  • 승인 2018.07.07 08:59
  • 댓글 0
이 기사를 공유합니다

다른 조직 소행으로 뒤집어씌우는데 능한 공격자…공급망·클라우드, 가장 위험한 공격 통로

7월 정보보호의 달을 맞아 전 세계 주요 사이버 공격그룹의 활동과 공격 사례를 통해 최신 공격 동향과 공격 목표 등을 알아보고 공격 대응 방안을 모색해 본다. 목표를 달성하기 위해 수단과 방법을 가리지 않는 공격자들은 공격 증거를 위조하고 다른 조직에게 뒤집어씌운다. 이러한 공격기법을 잘 파악하고 공격자를 추적하는 방어조직의 노력을 살펴본다.<편집자>

“누구의 소행인지 파악하지 못하게 해”

공격자 프로파일이 완벽하게 정확하다고 할 수는 없다. 공격자들은 정교한 모방범죄를 통해 추적을 혼란스럽게 만들고 있기 때문이다.

스티브 부스 파이어아이 CSO는 “사이버 강국들은 공격이 누구의 소행인지 파악하지 못하도록 하기 위해 의도적으로 동맹국에게 공격 툴을 제공하고 공격 훈련을 제고하고 베스트 프랙티스를 공유한다”며 “사이버 공격이 발생했을 때 배후를 추적하지 못하게 해 국제적인 비난을 피할 수 있다”고 지적했다.

가장 성공적인 모방범죄로 의심받는 것 중 하나가 평창올림픽을 노린 ‘올림픽 파괴자’다. 공격에 사용된 도구가 라자루스 공격집단이 사용하는 것으로 밝혀졌다. 또한 평창동계올림픽 개최 전 남북관계를 생각하면 북한이 한국의 올림픽을 방해하기 위해 공격했을 가능성을 배제하기 어렵다.

많은 보안 기업들이 북한을 ‘올림픽 파괴자’의 배후에 있다고 선언했지만, 카스퍼스키랩은 더 정교하게 분석한 결과, 라자루스로 위장한 다른 공격그룹의 소행이라고 밝혔다. 공격자가 의도적으로 라자루스로 의심할 수 있을만한 증거를 남겨둔 것으로 확신할 수 있는 증거가 나왔으며, 라자루스와 일치하지 않는 증거가 발견됐다고 설명했다.

이 때문에 올림픽 파괴자 공격 배후로 러시아를 의심하는 의견에도 무게가 실리기도 했다. 평창올림픽 출전을 거부당한 러시아가 올림픽을 방해하기 위해 공격했다는 주장이다. 라자루스 공격집단의 배후에 북한이 아니라 러시아가 있다는 추정도 나오고 있기 때문에 이같은 가정도 가능성이 없는 것은 아니다.

공격자가 검거되고 공격 사실이 드러나지 않는 한 실제 공격자가 누구인지 정확하게 아는 것은 불가능하다. 사이버 범죄 증거는 얼마든지 조작할 수 있으며, 지하세계에서 판매되는 공격툴을 사용하면 다른 조직이 성공한 공격을 쉽게 모방할 수 있다.

합법과 불법의 경계를 넘나드는 써드파티 소프트웨어 개발사와 계약을 맺으면 정상적인 감사 툴 혹은 모의해킹 툴로 위장한 공격도구를 얻을 수 있다. 이러한 도구들은 해킹 전문성을 갖고 있지 않아도 쉽게 공격할 수 있다.

▲위협정보 분석·판단 과정(자료: 국가정보보호백서 2018)

비실행파일·익스플로잇 이용하는 지능형 공격

사이버 공격그룹을 분류하고 지능적으로 탐지하는 기술을 통해 이미 발생한 공격과 유사한 사례는 막을 수 있다. 그러나 완전히 새로운 공격을 막는 것은 어려운 일이다. 사이버 세상에서 ‘방어자는 뛰는놈, 공격자는 나는 놈’ 일 수 밖에 없다.

최근 공격은 실행파일 형태의 악성코드가 아니라 비실행파일(Non-PE) 형태로 진행된다. 파일리스 공격과 익스플로잇 등으로 보안 탐지를 우회한다. 포티넷 ‘2018년 1분기 글로벌 보안위협 전망 보고서’에 따르면 이 기간 동안 기업 당 공격 탐지 건수는 13% 떨어졌지만, 익스플로잇을 탐지한 건수는 11% 이상 증가했으며, 기업의 73%가 심각한 익스플로잇 공격을 당한 것으로 알려졌다.

또한 공격자들은 제로데이 공격과 같이 패치 되지 않은 잘 알려진 취약점을 악용할 때 효과가 높다는 점을 인식하고 있다. 마이크로소프트는 익스플로잇의 1위 타깃, 라우터는 전체 공격 양에서 2위 타깃을 차지했다. 제로데이 공격은 패치가 발표됐음에도 패치를 하지 않은 시스템을 노린다. 따라서 패치만 해도 상당한 보안 효과가 있는데, 단순한 패칭보다는 사이버 위생이 더 중요하다는 사실에도 주목해야 한다.

어도비 플래시 플레이어 취약점으로 인해 많은 브라우저들이 플래시 자동 실행을 차단하는 등 보안조치에 나서자 공격자들은 MS 오피스의 버그와 취약점을 이용하는 것으로 선회했다. 카스퍼스키랩의 1분기 보안위협 보고서에 따르면 MS 오피스 취약점 공격이 전년 동기 대비 4배 증가했다. 전체 익스플로잇 공격 중 MS 오피스 익스플로잇이 차지하는 비중이 50% 증가했는데, 이는 2017년 한해 동안 MS 오피스 익스플로잇 전체 비중의 2배에 달한다.

파일리스 공격은 PC 하드디스크에 설치하지 않고 메모리에서 직접 실행하는 방식으로, 단순 스크립트와 셸코드를 이용한다. 따라서 의심스러운 파일이 설치되고 외부 C&C 통신하는 정황을 탐지하는 샌드박스 기술로는 이 공격을 막을 수 없다.

가장 효과적인 공격 방법, 공급망 공격

국가 후원을 받는 사이버 공격 집단이 주목하고 있는 새로운 공격방식은 공급망 공격이다. 복잡한 소프트웨어 공급망을 감염시켜 대규모 공격을 효과적으로 성공시키는 방식이다. 소프트웨어 개발사, 써드파티 개발사, 유통사, PMS 중 한 곳만 감염시켜도 성공적으로 공격이 시작될 수 있다. 또한 소프트웨어 유지보수 환경을 해킹해 침투하는 것도 어렵지 않은 일이다. 보안홀은 외부 협력사나 일상적으로 이뤄지는 원격접속 환경에 다수 존재한다.

이동근 KISA 침해사고분석단장은 “4차산업혁명이 진행되면서 공급망 공격이 더욱 심각한 위협이 될 수 있다. 공급망에 있는 개발자 한 명만 감염되어도 다수의 사용자를 감염시킬 수 있기 때문”이라며 “보통 개발생산성을 높이기 위해 개발부서에는 보안 정책을 느슨하게 적용하는데, 이 때문에 쉽게 보안위협에 노출될 수 있다”고 경고했다.

클라우드 역시 매우 주의해야 할 타깃 시스템이다. 클라우드 서비스 기업 하나만 공격하면 다수의 기업에 피해를 입힐 수 있으며, 공격자는 막대한 금전적 이익이나 정치적 목적을 달성할 수 있다. 퍼블릭 클라우드는 대규모 사용자를 갖고 있으며, 일부 클라우드는 정부기관의 데이터까지 소유하고 있어 클라우드를 노리는 공격은 언제든 일어날 수 있다.

마틴 홀스트(Martin Holste) 파이어아이 기술 최고 책임자(CTO)는 ‘2018년 보안위협 예측’ 보고서에서 “국가 후원을 받는 공격자들은 피싱에 능하기 때문에 클라우드로 침투하는 것도 시간문제일 뿐”이라며 “인증정보가 유출되기 쉬우며, 멀티 클라우드 환경에서는 인증 사용자의 활동을 가시화하는 것도 쉽지 않다. 익스플로잇 중심 보안 시스템은 비즈니스 로직을 중심으로 바뀌어야 하지만, 그 과정이 순탄치는 않을 것”이라고 경고했다. 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.