[데이터넷] 지능형 지속위협(APT)이 다시 주목받고 있다. 랩서스라는 신흥 범죄집단이 잘 알려진 공격도구와 훔친 계정으로 글로벌 기업을 해킹하면서 세력을 확장하고 있다. 이들은 조직원 일부가 검거됐음에도 티모바일을 해킹하면서 여전히 왕성한 활동을 벌이고 있다고 주장한다.

이들은 목표조직의 시스템으로 들어가기 위한 계정을 탈취하려고 다크웹 계정정보를 구입하고 스피어피싱으로 사용자를 유인했으며, 내부자 매수, SIM 스와핑 등을 단행했다. 이들은 페이로드를 배치하지 않고 짧은 시간 동안 데이터를 유출·파괴하는 전략을 취하고 있으며, 소셜미디어를 통해 자신의 공격활동을 공개했다.

랩서스의 공격 피해를 입은 기업들은 보안에 막대한 투자를 단행하는 세계적인 기업들이다. 이 기업들이 전 세계에서 사업을 확장하고, 클라우드 사용을 늘리며, 다양한 협력업체, 외부직원과 일하면서 발생할 수 있는 보안홀을 랩서스 공격자들이 지능적으로 이용해 침투하고 있다. 그리고 자신의 성과를 공개하면서 실력을 과시하고 자신들의 영향력을 높이고 있는 것이다.

노출된 취약점·훔친 계정으로 쉽게 침투

APT 공격자들은 쉬운 공격 방식을 찾는다. 외부에 노출된 시스템의 취약점, 계정 정보가 그 대표적인 예이다. 맨디언트가 탐지·대응한 사건의 37%는 보안 취약점을 이용해 공격이 시작됐으며, 공급망 공격은 2020년 1% 미만에서 2021년 17%로 급증했다.

침투 가능한 취약점과 계정 정보를 탈취한 공격자는 본격적으로 침투 전략을 세운다. 가장 중요한 권한의 계정을 다크웹에서 구입하거나 사회공학 기법을 활용한 피싱·스피어피싱 등으로 계정을 탈취한다.

지하시장에는 정찰부터 침투까지 필요한 공격도구와 서비스를 저렴하게 이용할 수 있다. 마이크로소프트에 따르면 지하시장에서 판매되는 사용자 계정과 패스워드 쌍은 평균 1000개 0.97달러이며, 벌크로 판매되는 계정은 4억개 150달러 수준이다. 공격자들은 자동화된 크리덴셜 스터핑 도구를 이용해 이 중 유효한 계정을 찾아 공격에 이용한다. 스피어피싱으로 타깃 사용자의 계정을 탈취할 때는 성공한 계정 탈취 당 100달러에서 1000달러 정도 수준이다. 숙련된 공격자를 직접 고용한다면 공격당 250달러부터 시작한다.

계정탈취 공격을 피하기 위해 비밀번호를 안전하게 설정할 것을 권고하는데, 길고 복잡한 문자·숫자 조합으로 이뤄진 비밀번호는 안전하지 않다. 맨디언트는 올바른 비밀번호는 기억하기 쉽지만 길이가 긴 비밀번호를 방문하는 사이트마다 다르게 설정할 것과, 비밀번호 관리자 프로그램을 사용해 비밀번호를 저장하되, 데스크톱 문서에 저장하지 말 것을 권고했다.

그러나 사용자가 입력하는 방식의 비밀번호는 결코 안전하지 않다. 사용자는 자신이 설정한 비밀번호를 기억하지 못해 사이트 방문마다 비밀번호 찾기를 해야 하는데, 이메일로 새로운 비밀번호를 설정하도록 선택했다면 해커가 이 이메일을 해킹해 비밀번호를 무단으로 변경하거나 비밀번호 변경 이메일 주소를 공격자의 주소로 바꿔 비밀번호를 변경할 수 있다.

다중인증(MFA)이 비밀번호의 취약성을 해결할 수 있는 방법으로 제안되며, SMS 기반 MFA는 보안성이 훨씬 높다. 그러나 MFA도 완벽하게 안전한 것은 아니다. 맨디언트는 지난 몇 년간 모바일 푸시 기능을 악용하는 공격자가 늘어났다고 지적하며 MFA의 취약성에 대해서도 경고했다.

실제로 랩서스 공격자들이 MFA를 우회하는데 성공했는데, 마이크로소프트 조사에 따르면 이들은 목표 조직의 헬프데스크에 전화해 타깃 사용자의 자격증명을 재설정하는데 성공했다. 미리 탈취한 자격증명 정보를 이용해 정상적인 높은 액세스 권한을 입수해 빠른 시간 내에 중요 정보에 접근할 수 있었다. 또 랩서스 공격자들은 내부자를 매수해 실제 사용자 권한으로 접근하는 방식도 취했다.

사람의 심리 이용하는 지능적 공격자

공격자들이 목표 조직으로 침투하는 방법은 사람의 심리를 이용하는 것이다. 사회공학 기법을 이용하기도 하고, 광범위한 사이버 심리전을 펼치기도 한다. 사이버 심리전은 상대방을 혼란하게 만들고 방어를 무력화해 침투를 용이하게 한다. 레코디드퓨처는 러시아-우크라이나 전쟁 중, 러시아가 유포하는 가짜뉴스를 탐지하고 경고했다. 러시아는 우크라이나의 한 바이오연구소에서 생물학적 무기를 개발, 우크라이나 돈바스 지역과 러시아에 배치하려는 증거를 찾았다고 가짜뉴스를 퍼뜨렸다. 러시아는 이외에도 다양한 심리전을 펼치면서 우크라이나 여론을 혼란하게 만들고자 했으며, 일부 전략은 성공을 거두기도 했다.

맨디언트가 조사한 러시아 해킹그룹 UNC1151은 2년동안 우크라이나 군을 목표로 광범위한 공격을 시도했는데, 우크라이나 시민과 군인의 개인데이터를 악용해 정보작전을 벌였으며, 기밀문서를 탈취하고 조작해 잘못된 여론이 형성되도록 했다.

크라우드스트라이크가 분석한 엠버 베어(EMBER BEAR)는 유럽 정부와 군사조직에 대한 사이버 스파이 활동을 벌였으며, 기관에 대한 대중의 불신을 조장하고, 러시아 사이버 작전 대응 정부 능력을 저하시키며, 침입 중 확보한 액세스와 데이터를 무기화했다.

모든 공격행위는 이상징후를 발생시킨다

훔치거나 사용자를 속이고, 내부자를 매수해 획득한 계정과 권한을 이용하는 공격자를 초기에 완벽하게 막는 것을 불가능하다. 그러나 초기 접근 후 이들의 행위를 면밀하게 모니터링한다면 분명히 이상징후를 발견할 수 있다.

공격자가 계정을 탈취해 시스템에 잠입한 후, 해당 계정의 권한으로 접근할 수 있는 시스템의 범위와 시간, 빈도 등을 정확하게 파악하지 못한 상태이기 때문에 중요 시스템에 여러 차례 접근을 시도하고, 무단 권한상승을 시도하는 등 이상행위를 발생시킨다. SIEM 등 보안 시스템은 이를 이상행위로 탐지하지만, 폭증하는 보안 경보에 묻혀 분석되지 않고 지나간다.

멘로시큐리티 보고서에서는 공격자가 초기 침투 후 탐지되기까지 여러 번의 공격증거가 발견된다고 설명한다. 예를 들어 공격자가 랜섬웨어를 실행하기 전 데이터를 유출하는데, 이를 위해 계정을 탈취하고, 원격지에서 모니터링하고, 각종 실행 명령을 내린다. 충분히 데이터를 유출했다고 판단하면 그 때 랜섬웨어 공격을 진행해 공격 효과를 극대화한다.

이러한 이상행위의 흐름을 추적하면 충분히 공격이라는 사실을 알 수 있지만, 현재 보안 시스템은 거의 대부분 단절돼 있어 연계 분석이 어려우며, 보안조직은 경고피로에 시달리고 있어 위협 이벤트가 가진 의미를 제대로 파악하지 못한다.

김선애 기자 다른기사 보기