[APT②] HW에 백도어 심은 공격자
상태바
[APT②] HW에 백도어 심은 공격자
  • 김선애 기자
  • 승인 2018.10.06 13:31
  • 댓글 0
이 기사를 공유합니다

HW부터 서비스까지 전 단계 보안 방법 마련해야…OT·IoT 타깃 공격도 심각

블룸버그 비즈니스위크는 미국 수퍼마이크로의 마더보드에 백도어 역할을 하는 마이크로칩이 삽입돼 있었다는 사실을 보도했다. 중국 하청업체를 통해 생산된 수퍼마이크로 마더보드에 이 칩이 삽입돼 있었으며, 미국의 중요 은행, 정부기관 및 제조사 등에서 사용됐다고 밝혔다.

이 사실은 2015년 아마존이 엘리멘탈 테크놀로지 인수를 검토하던 중 발견한 사실로, 미국 정부는 이 때 부터 수사에 착수한 결과 엘리멘탈 테크놀로지가 사용한 수퍼마이크로 마더보드에 마이크로칩이 삽입돼 있었으며, 모든 네트워크와 시스템에서 백도어를 만들 수 있으며, 아마존, 애플, 미 국방부, CIA 등에서 사용됐다. 

이효승 네오와인 대표이사는 “사이버 스파이 활동을 위해 기기 제조 단계에서 스파이웨어를 심으면 대응할 수 있는 방법이 없다. 특히 이 사건처럼 하드웨어 단에서 백도어를 만들어 놓는다면 소프트웨어 보안 기술로는 해결하지 못한다”며 “모든 시스템은 해킹당할 수 있다는 것을 전제로 하고 하드웨어 단 부터 철저한 보안 전략을 마련해야 한다”고 말했다.

다단계 방어로 공격 어렵게 만들어야

사이버 세상은 공격자에게 최적의 환경을 제공해준다. 사이버 세상에서는 자신의 신분을 속이고 활동할 수 있으며, 여러 명의 신분을 사용해 활동할 수도 있다. 앞서 예로 든 것처럼 기기 제조단계에서부터 의도를 갖고 백도어를 만들어놓는다면, 해당 기기를 사용하는 한 공격을 피할 수 없다.

이처럼 공급망 공격은 IT 제품이 개발되고 제조, 유통, 배포, 사용하는 과정에서 취약점을 이용하는 것으로, 취약점이 있다는 사실을 알아차리기 힘들다. 국가 혹은 특정 단체의 후원을 받는 범죄조직들이 치밀하게 계획해 이와 같은 공격을 벌인다.

사회공학적 기법을 이용하는 공격은 사람들의 심리나 습관을 이용하기 때문에 피하기가 어렵다. 업무와 밀접한 연관이 있는 메일, 문서, 자료 등을 이용하며, 보안 시스템을 우회하는 기법을 사용한다.

이렇게 지능화되고 고도화되는 공격에 대응할 수 있는 방법은 ‘다단계 보안’이다. 공격자가 접근할 수 있는 모든 지점에서 이상행위를 차단하고, 데이터와 트래픽, 사용자 행위를 연계분석해 보안 탐지를 우회하는 공격을 정밀하게 탐지한다. 또한 위협헌팅으로 전체 네트워크와 엔드포인트를 조사해 이미 진행된 공격 흔적을 찾아내 공격 확산을 중단시키는 한편 유사한 공격이 추가로 진행되지 않도록 조치한다.

특히 최근 새로운 공격 방식으로 주목받고 있는 IoT 취약점을 이용하는 공격에 대한 대응도 필요하다. IoT 기기 제조 단계에서부터 보안칩과 같은 하드웨어 기반 보안 기술을 탑재해 기기가 공격자에게 장악당하지 않도록 해야 하며, 통신의 무결성을 보장하고 기기의 행위를 분석해 이상징후를 미연에 감지하는 것이 필요하다.

보안 기술 역분석하는 공격자

보안 기술이 끊임없이 진화하고 있지만, 공격 피해는 줄어들지 않고 있다. 공격자들은 보안 기술이 새롭게 등장하면 역분석 해 취약점을 찾아내거나 보호되지 않고 방치된 보안홀을 찾아내 공격을 진행하기 때문이다. 최근 알려지지 않은 실행파일을 분석하는 샌드박스 기술이 사용되자 공격자들은 비실행파일 혹은 파일 없는 악성코드를 이용해 샌드박스를 무력화하고 있는 것이 그 대표적인 예이다.

최근 공격자들이 ‘애호’하는 타깃은 암호화폐이다. 지난해 말 암호화폐 가치가 급상승할 때에는 암호화폐 탈취 공격이 집중됐지만, 암호화폐 가격이 안정세에 접어들자 사용자 컴퓨팅 리소스를 무단으로 점유해 채굴하는 크립토마이닝에 더 집중하고 있다. 공격자들은 들킬 염려가 없고 잡힌다 해도 사법적인 처벌이 불가능한 크립토마이닝을 좋아한다는 분석 보고서도 발표된 바 있다.

IT가 운영기술(OT) 영역까지 확대되면서 OT 타깃 위험도 급증하고 있다. 시스코의 ‘2018 아태지역 보안 역량 벤치마크 보고서’에 따르면 조사에 응한 아시아 태평양지역 기업/기관 IT 담당자 30%가 운영기술 분야에서 사이버 공격을 당했으며, 50%는 앞으로 비슷한 공격이 증가할 것이라고 답했다. 또한 자신들이 몸담고 있는 기업의 운영 인프라 기술이 현 상태로 유지된다면 비즈니스 전반에 타격이 있을 것이라고 답한 사람이 41%에 달했다.

▲공개된 SCADA 취약점 비교(자료: 트렌드마이크로 ‘2018 중간 보안 위협 보고서’)

산업제어시스템(ICS) 역시 심각한 보안위협에 처해있다. ICS는 원칙적으로 인터넷에 연결돼 있지 않으며 전용망을 이용하지만 최근 스마트팩토리가 확산되면서 ICS에도 인터넷 접점이 빠르게 늘어나고 있다. 즉 공격자들이 더 쉽게 ICS에 접근할 수 있게 됐다는 뜻이다.

공격이 다양해지고 피해 규모도 커지고 있는데 기업의 대응은 여전히 안이한 수준이다. 시스코 보고서에 따르면 국내 기업의 61%가 매일 5000건 이상의 사이버 보안 경고를 받고 있으나 그 중 30%만 조사하고 있으며, 이 중 16%만 실제 위협으로 판단하고, 위협으로 판단된 것 중에서도 실제로 해결하는 비율은 40% 뿐이다. 이는 글로벌 평균 50%, 아태지역 평균 53%보다 현격하게 낮은 수준이다. 또한 보안 공격을 겪은 국내 응답자의 절반(49%)이 평균 100만~500만 달러(약 11.1억~55.7억원)의 경제적 손실을 입었다고 답했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.