[데이터넷] SK쉴더스(대표 박진효)가 랩서스(LAPSUS$)의 해킹 기법과 대응 전략을 정리한 블로그를 30일 포스트했다. 랩서스는 지난해 처음 활동이 포착돼 중남미 지역 공공기관과 민간기업을 공격하다 올해 엔비디아, 삼성전자, LG전자, 마이크로소프트, 옥타 등을 잇달아 해킹하면서 세계적인 관심의 대상이 됐다. 특히 계정관리 전문기업 옥타의 관리자 계정을 해킹했다고 주장하면서 충격을 주기도 했다.

소유기반 2FA로 인증 강화해야

랩서스는 전형적인 APT 공격 방식을 따른다. 이들은 처음에 공격 목표가 된 조직의 임직원 계정정보를 입수하기 위해 노력한다. 다크웹을 통해 공격 대상 임직원 정보를 구매하거나, 구매한 정보를 이용해 공격 대상지에 계정 유출 기능 악성코드를 포함한 피싱 메일을 발송한다. 그 외에도 다양한 루트의 해킹 공격으로 계정 유출 기능 악성코드를 확산시켜 임직원 계정 정보를 습득한 것으로 파악된다. 이때 수집된 임직원 계정정보는 공격지 원격 접속을 가능하게 할 수 있는 VDI, VPN, 웹, 이메일 정보였을 것으로 추측된다.

계정정보 수집과 함께 공격대상 조직의 접속정보를 지속적으로 수집하며, 입수한 계정정보를 이용해 목표 시스템이나 사용자 PC로 접근했다. 원격지 이중요소인증(2FA)이 없거나 내부 정책에 의해 예외 처리돼 있는 PC를 찾아 기존 획득한 ID/PW로만 인증을 가능하게 했기 때문에 탈취한 계정정보로 접근할 수 있었던 것으로 보인다.

정당한 접근권한을 접속한 공격자는 내부 시스템이나 애플리케이션 접근을 위한 추가인증 정보를 수집했다. 소유기반 2FA를 사용하지 않고 시스템을 기반으로 추가인증하는 시스템을 노려 인증정보를 획득했으며, 형상관리 시스템의 취약점도 노린 것으로 파악된다. 지라(JIRA), 컨플루언스(Confluence) 등의 취약점을 사용했다고 랩서스는 공식 밝혔지만, 어떤 취약점인지는 공개하지 않았다.

랩서스는 공력 루트를 확보하고 이전에 확보한 계정을 대입하면서 계정별 정보를 확인한 것으로 파악된다. 이후 각 기업의 중요 파일들을 수집한 후 정보 유출지로 전송한 것으로 추정된다.

다크웹 모니터링으로 공격자 수집 정보파악·대응

SK쉴더스는 랩서스 공격 그룹 해킹에 대응하기 위한 방법으로, 우선 불법적인 정보수집을 차단하기 위해 다크웹 모니터링이 필수라고 조언했다. 자사 정보가 다크웹, 딥웹, 포럼, SNS 등에서 어떻게 유통되고 있는지 모니터링해야 한다. 이런 모니터링 체계를 통해서 어떠한 사용자 또는 시스템에서 정보가 유출되었는지 파악이 가능하며, 계정 변경 및 시스템 점검 통해 추가 피해를 예방할 수 있다.

최근 시스템 다이렉트(홈페이지, 원격 시스템) 접근의 시도는 많긴 하지만 그 성공 횟수는 줄어들고 있는 반면, 이메일 해킹 공격이 이전에 비해 훨씬 증가하고 있다. 다이렉트 접근 공격에 비해 손쉽고 공격 성공률도 높기 때문입니다. 따라서 사용자의 의식수준에 보안을 맡길 것이 아니라 시스템 의해 악성코드를 효과적으로 차단해 주고 위협을 제거해야 한다.

기업의 보안의 수준이 네트워크단에 머물러 있다면 그 저지선을 호스트단까지 내려야 한다. 패턴 기반의 보안성은 이제 한계에 다다랐다. 행위기반의 탐지로 패턴기반의 한계를 극복하고 보안의 가시성을 높여야 한다.

불필요한 원격접속 제거·데이터 관리 필수

랩서스가 이용한 공격 수단 중 하나가 원격접속 계정이었다. 코로나19로 비대면 환경이 늘어나면서 원격접속 수요도 증가하고 있는데, 관리되지 않고 방치된 원격접속 계정으로 인한 불법 접근 시도가 심각한 피해로 이어질 수 있다. 따라서 불필요한 원격 접속지는 없는지 현황을 정확하게 파악하고 불필요할 경우 차단하며, 불가하게 사용해야 할 경우는 최소한의 접근통제와 권한 부여를 통해 위협 요소를 제거해야 한다.

원격지에서 회사 내부로 접근해야 하는 경우라면 반드시 소유 기반 2FA를 필수로 적용해야 하며 현황 점검을 통해 예외처리 구간을 찾아 위협을 제거해야 한다.

또한 최신 보안 패치를 반드시 적용해야 한다. 보안패치 발표 후 빠르게 적용하는 것이 많은 보안 투자 없이 내부시스템을 위협으로부터 효과적으로 보호하는 방법이다. 패치로 인한 시스템 영향도를 파악하는 것도 중요하지만, 빠른 패치 적용 역시 중요하게 고려해야 한다.

정보유출을 방지하기 위해서는 데이터 파악과 분류, 보안등급 설정과 정책 적용이 반드시 필요하다. 대량 파일 암호화 해제 시 실시간 탐지·차단 모니터링 체계를 갖춰야 하며, 해커가 내부 정보를 훔쳐간다 해도 열어볼 수 없도록 암호화 키 관리를 철저히 해야 한다.

공격자는 최종 목적, 정보 유출을 시도할 때 대부분 압축 파일 형태의 작은 사이즈로 파일을 분할해서 정보를 유출시킨다. 이때 내부 SIEM 솔루션 등의 장비에 정보 유출 관련 정책을 등록하여 정보 유출이 조기 감지 및 차단될 수 있도록 해야 한다.

국가 차원 해킹 정보 공유 체계 필요

랩서스 공격을 비롯해 이전에 발생한 거의 대부분의 해킹 사고는 정확한 사고 원인이 제대로 공유되지 않았다. 그래서 유사한 공격에 잇달아 피해를 입기도 했다. 특히 국내의 경우 해외에 비해 해킹사고 정보공유에 극히 소극적인 편이어서 추가피해를 피하지 못한다. 따라서 빠른 사고 공유 체계를 통해서 국내 전반의 사고 영향도를 확인하고 대응할 수 있는 국가 차원의 기관이 필요하다.

사고 당사자가 공격당한 증거를 즉시 공유하고 적극 동참할 수 있도록 과태료·징계 감면 등을 제공하는 형태로 규제 개선이 이뤄져야 한다.

김병무 SK쉴더스 클라우드사업본부장은 “랩서스 해킹 조직과 같이 한 기업을 집중적으로 타깃한 공격은 사실상 막아 내기가 어렵다”면서도 “해커의 공격이 상시적으로 이뤄지고 있다는 가정하에 제로 트러스트 기반을 전제로 각 단계별 적절한 보안 솔루션을 도입하고 강력한 통제정책과 주기적인 모니터링이 필수적으로 이뤄져야 한다”고 밝혔다.

김선애 기자 다른기사 보기