[데이터넷] 구글신은 모든 것을 알고 있다. 사이버 공격에 필요한 타깃 피해자의 정보도 구글에 물어보면 된다.

한국인터넷진흥원의 ‘TTPs#4 피싱 타깃 정찰과 공격 자원 분석’ 보고서에서는 공격자가 목표 기업의 정보를 수집하기 위해 공격 대상이 될 만한 인물이나 기업을 구글 등 검색엔진, SNS에서 찾는다. 스피어피싱 목표 이메일 계정, 기업 내부 인사 체계 등 공격에 필요한 대부분의 정보를 얻는다. 또한 피싱 페이지를 구성해 직원의 메일 계정 등을 수집한다.

이 보고서는 침해사고 대응 과정을 통해 공격자 TTP를 파악하고, 그 과정과 대응방안을 ATT&CK 프레임워크 기반으로 작성한 것이다. 보고서에 따르면 공격자는 단순한 IoC 지표와 관련된 공격 인프라를 쉽게 확보하고, 버리면서 추적을 따돌린다.

그러나 공격자는 주로 사용하는 전략·전술·프로세스(TTP)를 쉽게 버리지 않는다. 공격자들은 타깃의 방어환경을 무력화하기 위해 많은 시간을 들여 TTP를 학습하고 연습하며, 확보된 TTP를 지속적으로 활용할 수 있는 새로운 대상을 찾는다. 따라서 공격자의 TTP를 파악하는 것은 공격을 예측·방어하는데 유용하게 활용될 수 있다.

공격 위한 정보, 검색엔진·SNS서 찾아

이 보고서는 공격자가 해킹을 감행하기 전 사전 준비단계에서 무엇을 하는지 중점적으로 분석했다. 공격자가 인프라를 확보하고 공격에 활용하는 단계는 다음과 같다.

• 정찰: 공격자는 공격 대상을 선정하는 작업을 수행한다. 침투하고자 하는 목표 기업의 정보를 수집하기 위해 공격 대상이 될 만한 인물 또는 기업을 검색 엔진 및 SNS에 검색해 스피어피싱 목표 메일 계정, 기업의 내부 인사 체계 등 공격에 사용할 수 있는 정보를 찾는다.
• 자원 개발: 공격에 활용할 인프라를 구축한다. 정보 유출, 명령 제어 등을 위해 기존에 노출되지 않은 인프라를 확보한다. 영세한 기업의 서버를 탈취하거나 호스팅 및 도메인을 가상자산을 통해 임대하고 공격에 필요한 악성코드를 직접 제작해 사용한다. 동시에 상황에 맞게 유연한 공격을 위해 공개된 해킹 도구나 취약점 POC 코드를 준비한다.
  목표 기업의 성공적인 내부 장악을 위해 사전에 스피어피싱을 통해 탈취한 계정을 활용해서 주고 받는 메일을 들여다보거나 신뢰할만한 SNS 계정을 확보해서 실시간으로 기업 또는 직원의 정보를 확인하고 있다.
• 최초 침투: 정보 수집과 인프라 등 자원이 확보되면 침투를 시도한다. 사전에 탈취한 계정 정보를 활용해서 악성코드 또는 악성링크가 첨부된 해킹메일을 발송하는 등 최초 침투시에는 스피어 피싱 이메일을 많이 사용한다. 목표 기업에서 사용하는 공개된 소프트웨어의 정보와 취약점을 사전에 확보하여 침투에 사용한다.
• 실행: 원격제어 악성코드를 통해 공격자가 원하는 CMD명령을 수행하고 추가 악성코드를 실행한다.
• 지속성 유지: PC에 감염된 원격제어 악성코드에는 지속성 유지를 위해 레지스트리 등록을 통한 자동실행 기능이 포함되어있다. 이로 인해 PC가 부팅될때마다 악성코드를 실행한다.
• 자격 증명 확보: 계정정보 탈취를 위해 공격자는 키로깅, 패스워드 덤프 프로그램, 암호가 저장된 파일 탈취 등을 이용하며, OTP 등 이중 인증이 설정되어있는 계정은 자체 개발 프로그램을 이용하여 우회하여 탈취한다.
• 방어 회피: 공격자는 오랜 시간 내부에 머물기 위해 악성코드 및 공격자 서버의 주소를 위장하여 노출을 최소화한다. 백신 등 보안 장비 탐지 우회를 위해 자체 개발한 암호화 도구를 활용해서 악성코드를 암호화한다.
• 측면 이동: 내부 확산을 위해 수집된 정보 또는 사전에 탈취한 내부 직원을 위장한 피싱메일을 발송하는 방법을 통해 측면 이동을 시도한다.
• 내부 정보 수집: 기업 내부 정보를 수집하기 위해 감염 PC에서 원격제어 악성코드의 키로깅 기능을 사용하여 추가 계정정보를 탈취하거나 스크린 캡처 기능을 사용해 피해시스템 PC 상황을 주기적으로 확인한다. 그리고 탈취한 이메일 계정의 정보는 파일로 보관하거나 메일 관리 솔루션을 사용해 관리한다.
• 유출: 외부로 정보를 유출할 때 트래픽 노출 최소화를 위해 데이터가 일정 크기 이상일 경우 분할해 유출한다.

불필요한 개인정보 공개 말아야

보고서는 피싱을 통한 침투를 막음으로써 침해사고의 초기 위협을 완화할 수 있다고 설명하며, 기업과 직원이 모두 사이버 공격 방어 주체가 되어야 한다고 강조한다. 특히 홈페이지에 불필요한 정보가 게재됐는지, SNS에 불필요한 개인정보가 공개돼 있는지 확인한다. 정보를 외부에 노출해야 한다면, 직원 보안 강화 교육을 진행해야 한다. 정보인증을 요구하는 페이지가 정상적인 인증서를 보유하고 있는지 확인하며 링크 클릭이 아닌 브라우저 검색을 통해 페이지 연결하기 등의 습관을 길러야 한다.

계정 관리에서의 2단계 인증, 2단계 채널 등 다중 인증 방식이 유효하지만, 공격자는 이중인증을 우회할 수 있으므로, 개인 사용자는 계정 로그인 시 정상 URL 주소인지, 정상 인증서가 있는 페이지인지 확인을 해야한다. 또한 신뢰 된 기기에서만 로그인 할 수 있도록 로그인 가능 기기 등록을 사용하는 것을 권고한다. 메일을 서비스하고 있는 기업의 경우에는 2단계 인증 메시지를 사용자에게 전송할 때 사용자가 사이트 진위 여부(정상 인증서 사용 등)를 체크할 수 있도록 한번 더 안내하는 것도 도움이 될 것으로 보인다.

김선애 기자 다른기사 보기