공격그룹 특성 파악·정보 및 수사 공유로 범죄자 검거 성과 늘어
[데이터넷] 지난해 발생한 ‘사상 최악의 사이버 공격’은 올해 발생할 피해에 비하면 아무것도 아닐 것으로 보인다. 사이버 공격은 늘 진화했고, 늘 역대급 피해를 발생시켰다. 사이버 공격 동향 분석을 통해 향후 발생할 공격에 미리 대응할 수 있는 방안을 생각해본다.<편집자>
공격자들은 자주 사용하고 익숙한 도구와 방법을 주로 이용한다. 새 도구와 전략은 실수를 저지르기 쉽기 때문에 익숙한 방법을 이용해 짧은 시간에 효과적으로 공격하고 증거를 지우고 탈출한다.
SK쉴더스에 따르면 2021년 탐지된 공격 방식은 ▲악성코드 다운로드를 위한 위젯 ▲외부에서 원격 명령을 삽입하는 셸 커맨드 인젝션 ▲웹서버 권한을 탈취할 수 있는 OS 커맨드 인젝션 ▲SMBv2 취약점 공격 시도 ▲PHP 프레임워크인 ThinkPHP 원격 코드 삽입 공격 ▲SQL 인젝션 ▲파일 업로드 취약점 등이 사용됐다. 즉 자주 사용되는 공격 방식 대부분이 오래전부터 공격에 사용되던 것이라는 점을 알 수 있다.
홈페이지에 악성링크를 삽입하는 고전적인 공격 방식인 워터링홀이나 모바일 앱을 통한 악성코드 유포, 비즈니스 이메일 침해(BEC), 이메일 첨부파일에 악성코드를 삽입하는 스피어피싱도 오래전부터 사용되어 온 공격 방식이지만 여전히 효과적으로 사용된다.
파일리스 악성코드 역시 몇 년 전부터 샌드박스를 회피하기 위해 사용해 온 것이다. 메모리에서만 동작하는 인메모리 멀웨어, 파워셸과 같은 정상 시스템 도구, 탈취된 자격증명 등을 사용해 공격 흔적 없이 공격을 진행한다.
은밀히 정찰하고 침투하며 조심스럽게 확장
APT는 단 하나의 도구만을 사용하지 않는다. 공격자들은 정찰, 침투, 내부 확장, 권한 상승, 데이터 수집 및 유출, 증거 삭제 후 탈출의 과정을 거친다. 정찰은 목표 시스템에 침투할 수 있는 공개된 취약점, 노출된 원격접속 포트, 유출된 계정정보 등을 찾는다.
정찰 중 수집한 정보들을 매핑하고, 취약한 사용자와 운영체제, 페이로드를 실행할 수 있는 시스템 등을 찾아내며 일종의 인텔리전스를 만들어낸다. 그리고 액세스할 수 있는 대상과 목표 조직이 사용하는 보안 솔루션과 구성도 등을 파악하는데 윈도우 기본기능을 사용해 정찰 정황을 탐지하기 어렵게 만든다.
침투는 익스플로잇, 유출된 계정정보, 스피어피싱, 워터링홀, 노출된 서버와 공개된 포트 등을 이용한다. 네트워크 내부에서는 미리 입수했거나 정찰·침투 및 수평이동 과정에서 획득한 액세스 권한을 이용해 임의로 권한계정을 만들거나, 시스템 내 하드코딩된 계정정보를 이용해 중요 시스템으로 접근한다.
초기 침투에 필요한 계정정보는 구글링, 클라우드에 공개된 계정정보, 이전에 유출된 정보, 무작위 대입, 피싱 등을 통한 계정정보 탈취 등을 이용한다. 비밀번호 찾기를 이용해 공격자 이메일로 비밀번호 재설정 링크를 보내도록 하는 방법, 미미카츠 등의 도구를 이용해 감염시킨 기기 메모리에서 캐시된 일반 텍스트 암호와 인증서를 훔치기도 한다. 키로깅으로 사용자 입력값을 알아내는 것도 공격자들이 자주 사용하는 방법이다.
중요 시스템에 접근해 데이터를 수집한 공격자는 DLP 등 탐지 시스템에 걸리지 않고 유출하기 위해 조금씩 유출한다. DNS 쿼리에 포함시키거나 권한 내에서 실행 가능한 외부 링크로 데이터를 보내는 방법을 사용한다. 피해 기업에 협박이 가능한 충분한 데이터 유출이 이뤄진 후 데이터와 시스템을 암호화하고 협박을 시작한다.
긴밀한 정보 공유로 사이버 범죄 대응해야
그동안 사이버 세상은 범죄자에게 일방적으로 유리한 세상이라고 여겨져왔다. 범죄자들은 수만번의 시도 끝에 한 번만 성공하면 막대한 수익을 얻을 수 있지만, 보안조직은 수만번 막았어도 한 번 실패하면 실패한 셈이 됐기 때문이다.
범죄자는 범죄 행각이 드러났다 해도 익명의 사이버 공간에 숨었다가 다른 공격도구와 전술·전략을 갖고 복귀할 수 있어 추적을 더 어렵게 한다. 다크웹과 암호화폐를 이용하면 쉽게 공격해 돈을 벌고 자금세탁까지 가능하다.
그러나 AI를 비롯한 공격 탐지 도구가 상용화됐으며, 다크웹 범죄정보 수집과 대응 서비스가 상용화되고 있으며, 세계 각국 정부와 기업들인 긴밀하게 협조하면서 사이버 범죄 차단에 전력을 다하고 있어 공격자들의 운신의 폭이 좁아지고 있다. 공격자 별로 자주 사용하는 도구와 전략·전술이 있기 때문에 공격이 발견됐을 때 알려진 공격그룹의 형태와 비교해 사전에 피해를 차단하면서 공격자를 추적하는 방어 기법도 빠르게 발전하고 있다.
앞으로 더 광범위한 협력과 긴밀한 수사 공조, 지능화되고 지속적이 사이버 탐지와 대응을 통해 공격자들의 활동 범위를 축소시키고, 공격에 소요되는 비용과 시간을 늘리고 공격 수익성을 낮춰 다크웹 시장의 활력을 제거하는 것이 가장 효과적인 대응 방법이라고 할 수 있다.
