보안사고 80%, 관리권한 가진 계정서 발생…안랩 “상반기 사고 67%, 인포스틸러”
[데이터넷] 계정과 접근권한은 최근 공격자들이 가장 많이 사용하는 침투 기법이다. 정상 계정과 권한을 이용하기 때문에 보안 시스템을 쉽게 우회할 수 있으며, 타깃 맞춤형 악성코드보다 빠르고 쉽게 공격할 수 있다는 장점이 있다. 이에 제로 트러스트 원칙의 보안 기술과 정책이 필수로 요구된다. 비즈니스를 방해하지 않고 사용자 편의성을 해치지 않으면서 계정과 접근권한을 보호하는 방법을 알아본다.<편집자>
차량공유 서비스 기업 우버가 10대 해커에게 해킹당한 사실이 알려졌다. 해커는 사회공학 기법으로 우버의 사건대응 팀 소속 지원의 크리덴셜을 확보했으며, 이메일, 클라우드 저장소, 코드 리포지터리 등에 접근했다고 주장했다. 해킹 증거로 제시한 스크린샷을 보면, 버그바운티 플랫폼을 통해 외부 보안 전문가들이 찾아낸 우버 취약점 정보까지 파악했을 가능성도 있다. 보안 전문가들이 이 사고를 분석한 후 내놓은 의견은 해커가 직원 크리덴셜을 이용해 로그인하고, VPN 용 이중인증을 무력화시켰다는 것이다.
최근 공격자는 개발에 시간과 비용이 소요되고 탐지될 가능성도 높은 악성코드를 이용하기보다 즉시 공격 가능한 내부직원의 계정과 권한을 이용해 접근한다. 실제로 데이터 유출 사고의 81%가 취약한 패스워드와 탈취된 계정에 의해 발생했으며, 피싱공격의 91%가 사용자 계정을 노린 것이었다. 또한 보안 사고의 80%는 관리권한을 가진 계정에서 발생했다.
안랩시큐리티대응센터(ASEC)가 올해 상반기 탐지·대응 한 해킹 사고 중 66.7%가 ‘인포스틸러(Infostealer)’였다. 인포스틸러는 사용자 웹 브라우저의 계정 정보와 암호화폐 지갑 정보, 이메일·VPN 클라이언트 정보 등 다양한 사용자 정보를 탈취하며, 다크웹 등에서 판매하거나 내부자 계정을 이용해 침투하기 위한 것이다. IBM 조사에서도 우리나라 데이터 유출사고의 20%가 사용자 인증정보를 이용해 최초 침 투한 것으로 나타났다.
피싱 통한 계정 탈취 공격 성행
계정 탈취 공격은 주로 사회공학기법을 이용한 피싱을 통해 이뤄진다. 이력서, 견적서, 택배 확인증 등으로 위장한 피싱 기법이 많이 알려지면서 성공률이 낮아지자 공격자들은 피해자와 여러 차례 연락하면서 신뢰를 쌓은 후 공격을 진행한다.
이스트시큐리티가 분석한 한 공격 사례를 보면, 현직 교수의 대학교 이메일이나 개인용 무료 웹메일 주소로 타깃 피해자에게 메일을 보낸다. 처음에는 논문이나 학술지 심사 관련 내용으로 메일을 보낸 후 피해자가 회신하면 그 내용에 따라 적당히 대응하면서 시간을 두고 악성메일을 보낸다.
피싱 메일은 계정탈취를 위한 위장 사이트로 유인하는데, 해당 대학의 로그인 화면처럼 보이도록 정교하게 꾸며 피해자가 의심할 수 없게 한다. 포털 사이트 로그인 화면으로 꾸미는 공격도 오래 전부터 높은 성공률을 보여왔다.
지난 5월 얀루오왕(Yanluowang)이라는 공격그룹이 ‘시스코를 해킹해 2.8GB 규모의 데이터를 탈취했다’고 공개했는데, 이들은 시스코 직원의 구글 계정을 탈취한 후 다중인증을 우회해 시스코 VPN 자격증명을 획득한 것으로 알려진다.
맨디언트에 따르면 이들은 시스코 내부 시스템으로 침투한 후 권한을 관리자급으로 상승시키고 여러 공격도구를 활용해 데이터를 탈취하고자 했으며, 직원의 박스(Box) 폴더에 접근해 데이 터를 빼낸 것으로 보인다. 시스코는 탈취된 데이터에 중요 정보는 없다고 해명했다.
공격자, 불특정 대중 대상 계정탈취 시도
피싱 시도는 공격자가 목표로 하는 조직의 임직원만을 대상으로 이뤄지는 것은 아니다. 아카마이 조사에 따르면 공격자들은 사용자를 가리지 않고 피싱을 시도하는 것으로 나타난다.
아카마이가 전 세계 수백만대 기기의 악성 DNS 트래픽을 분석한 결과, 기업과 가정에서 사용하는 기기의 12.3%가 악성코드나 랜섬웨어와 관련된 도메인과 한 번 이상 통신한 것으로 파악됐으며, 이 기기의 63%는 악성 프로그램 또는 랜섬웨어 도메인과, 32%는 피싱 도메인과, 5%는 C2 도메인과 통신한 것으로 나타났다.
피싱 도메인과 통신했다는 것 만으로 사용자가 감염됐다고 보기는 어렵지만, 공격 캠페인의 80.7%는 소비자를 대상으로 하고 있으며, 지하시장에서 판매하는 개인계정 정보의 상당수가 이 같은 피싱을 통해 진행된 다는 점을 보면 광범위한 피싱 시도를 통해 개인정보가 유출될 가능성이 높다고 유추할 수 있다. 이렇게 유출된 정보 중에서는 기업의 중요한 관리자 정보나 시스템 접근 정보도 포함돼 있을 수 있다.
피싱으로 인한 피해를 막기 위해서는 사용자 스스로 의심스러운 메일의 첨부파일을 다운로드하거나 외부 링크를 클릭하지 말아야 하지만, 정교하게 정상내용으로 위장한 메일을 모두 차단할 수 없다.
정상 메일로 위장한 악성메일을 차단하는 방법으로 리얼시큐는 SMTP 응답코드를 분석해 사칭메일 여부를 확인하는 기술을 제안한다. 이 기술이 적용된 ‘리얼 메일’은 수신 메일의 SMTP 응답코드를 분석해 사설메 일서버에서 발송된 메일인지 여부를 확인한다. 대부분의 사칭메일이 사설메일서버에서 발송되기 때문이다. 이 기술은 국내 특허 등록, 미국 특허 출원 상태이며, 국내 여러 기업·기관에 공급됐다.
