“최근 공격 공식, 이메일→SMB→AD 탈취”
상태바
“최근 공격 공식, 이메일→SMB→AD 탈취”
  • 김선애 기자
  • 승인 2019.07.18 11:02
  • 댓글 0
이 기사를 공유합니다

SK인포섹 EQST “이메일 악용 공격 심각…공격자, 정보 탈취·암호화폐 채굴·랜섬웨어 동시 진행”

[데이터넷] 국내 굴지의 제조사인 A사는 랜섬웨어와 암호화폐 채굴 악성코드 감염 공격을 동시에 받아 300여대의 시스템 장애 혹은 정지되고 공장 운영에도 수 일간 차질을 빚으면서 막대한 피해를 입었다.

업무 관련 이메일로 위장한 악성메일을 통한 공격에 당한 사례로, 공격자는 위장메일을 통해 해외 근무자의 PC를 감염시킨 후 SMB 취약점을 이용해 내부망으로 잠입한 후 MPLS를 통해 접근통제 시스템에 탐지되지 않고 핵심 시스템으로 접근했다.

이 처럼 이메일과 SMB 취약점을 이용해 랜섬웨어, 악성코드 채굴, 중요 정보 탈취 공격 피해를 입는 사례가 크게 늘고 있다. 또한 공격자가 내부망으로 접근한 후 중요 시스템 관리 권한을 탈취하거나 AD 관리자 권한을 훔쳐 또 다른 공격에 이용하는 사례가 늘어나고 있다.

특히 공격의 첫번째 수단으로 사용되는 악성메일이 급증하고 있는데, SK인포섹이 상반기 탐지한 악성메일은 17만1400건으로, 작년 한 해 동안 탐지한 16만3000여건을 상회하는 수준이다. 하반기까지 고려하면 악성메일은 작년보다 2배 이상 늘어날 것으로 예측된다. 이 같은 악성메일은 주로 ‘견적서’, ‘대금청구서’, ‘계약서’ 등의 제목으로 유포되며, 메일 제목에 일련번호처럼 숫자를 붙여 보안 시스템을 우회한다.

이재우 SK인포섹 EQST그룹장은 “최근 중요정보 탈취, 랜섬웨어, 채굴 악성코드 감염 등 여러 공격을 복합적으로 발생시키는 사례가 늘어나고 있다. 특히 보안에 취약한 제조공장이나 IoT 기기 등을 노리는 공격이 빠르게 늘고 있으며, 일상 생활에 피해를 주는 공격도 증가하고 있다”며 “더불어 클라우드를 이용한 공격도 다변화, 복합화되고 있다”고 설명했다.

▲이재우 SK인포섹 EQST그룹장은 “최근 중요정보 탈취, 랜섬웨어, 채굴 악성코드 감염 등 여러 공격을 복합적으로 발생시키는 사례가 늘어나고 있으며, 일상 생활에 피해를 주는 공격도 증가하고 있다”고 밝혔다.

공격자의 보물창고, ‘AD’

SK인포섹은 18일 기자간담회를 통해 최근 공격 동향에 대해 설명하며, 웹서버와 AD 취약점, 악성메일, 도커 컨테이너 등을 이용한 최근 공격 사례를 소개했다. 특히 AD를 악용하는 사례의 경우, 추가 피해가 발생할 수 있어 매우 위험하다. AD에는 회사 모든 임직원에 대한 상세 정보가 저장돼 있으며, 특히 높은 권한을 가진 임원의 계정과 주요 업무, 개인정보 등이 포함돼 있어 공격에 이용할 수 있는 유용한 소스를 제공한다.

DB서버, 메일 서버 등에 침입할 수 있는 관리자 권한을 획득한 공격자들은 이를 이용해 해당 기업의 중요정보를 탈취하거나 협력업체에 피해를 줄 수 있는 공격, 공급망 공격 등에 이용하기도 한다.

SK인포섹은 AD 취약점 공격을 벌이고 있는 ‘CHAD’라는 중국 공격 조직을 추적하고 있다. CHAD는 공격자가 사용한 패스워드 ‘chapchap’의 앞 두 글자와 AD를 합한 단어이다. 작년에 처음 발견된 CHAD 공격은 이메일 침투, AD서버 장악, SMB 전파 등 대규모 공격의 공통 분모를 갖고 있으며, 올해 초까지 4개 기업에 연달아 피해를 입혔다고 밝혔다.

김성동 EQST 침해사고대응팀장은 “이메일을 통해 침투한 후 SMB 취약점을 이용해 수평이동하면서 공격 범위를 확장하고, AD 서버 계정을 탈취하고 관리자 권한을 획득해 공격에 활용하는 것이 최근의 공격 공식”이라며 “회사에서 무심코 열어본 이메일이 큰 피해를 줄 수 있다. 이메일 공격을 효과적으로 차단할 수 있는 전용 솔루션을 도입할 필요가 있으며, 회사 임직원들이 이메일 공격에 대한 경각심을 가질 수 있도록 지속적인 모의 훈련이 병행되어야 한다”라고 말했다.

클라우드 보안위협 심각

도커 컨테이너 취약점을 이용하는 공격도 심각한 상황이다. 도커 허브 사이트에 채굴 악성코드가 포함된 도커 이미지를 업로드 한다. 조직의 개발자가 정상 이미지라고 판단하고 이를 서비스에 설치하면 클라우드에서 암호화폐 채굴이 일어난다.

이 행사에서 SK인포섹은 컨테이너를 이용한 공격 사례를 데모로 시연했다. 공격자는 도커 runC 취약점을 이용해 악성코드를 주입한 후 이를 도커허브에 업로드하고 이를 다운받은 사용자를 감염시킨다.

김태용 팀장은 “데브옵스의 지속적인 통합과 지속적인 배포(CI/CD) 방식은 자동화된 개발과 테스트, 배포를 거치기 때문에 배포되는 서비스의 보안을 점검하는 과정이 대부분 생략돼 있다. 이를 악용한 취약점 공격이 늘어나고 있다”며 “데브옵스 보안을 강화할 수 있는 취약점 점검, 강력한 권한 통제, 중요정보 암호화 등의 대책이 마련돼야 한다”고 말했다.

한편 SK인포섹은 상반기 AWS와 클라우드Z를 위한 클라우드 보안 가이드와 컨테이너 보안 가이드를 발간했으며, 하반기 MS애저와 구글 클라우드 플랫폼(GCP)를 위한 보안 가이드, ICS와 IoT 보안 진단 방법론 연구 및 가이드를 배포할 계획이다. 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.