Home > 전체기사

스턱스넷부터 다크호텔까지 망분리 시스템 공격한 멀웨어 분석했더니

  |  입력 : 2021-12-06 17:34
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
물리적으로 분리해 놓은 시스템도 사이버 공격자들의 공략 대상이다. 인터넷과 내부 망에서 분리된 컴퓨터를 공격자들은 어떻게 해킹하는 것일까? 이들이 주로 사용하는 17개의 프레임워크를 분해했더니 꽤나 분명한 공통점들이 나왔다.

[보안뉴스 문가용 기자] 네트워크와 인터넷에서 분리된 시스템들이라도 공격이 가능하다. 심지어 방법도 여러가지가 존재한다. 그 모든 방법들에 한 가지 공통점이 있는데, 그건 바로 USB 저장소다. 이란의 핵 시설을 무력화했던 스턱스넷(Stuxnet) 공격 역시 USB의 활용이 있었기에 가능한 일이었다.

[이미지 = utoimage]


보안 업체 이셋(ESET)이 지난 십여 년 동안 사이버 공격자들이 분리된 시스템을 공격하는 데에 사용해 왔던 프레임워크 17개를 조사 및 분석했다. 다양한 전술과 전략, 도구들이 사용되었는데 단 하나의 예외 없이 UAB가 사용되었음이 드러났다. 공격자들은 USB를 사용해 멀웨어를 심고 정보를 빼돌렸다. 그러므로 이셋은 분리된 시스템에서의 USB 사용 현황을 모니터링하고 제어하면 보안을 강화할 수 있다고 강조한다.

이셋의 보안 첩보 수석인 알렉시스 도래용카(Alexis Dorais-Joncas)는 “망분리 시스템을 사이버 공격으로부터 지킨다는 건, 보안과 IT의 여러 분야를 망라해야 한다는 것”이라며 “꽤나 복잡한 주제”라고 설명한다. “특히 망분리 시스템에서의 멀웨어들이 어떤 식으로 작동하는지를 이해하는 것이 방어와 보안 강화에 있어 중요합니다.” 그것이 이번 프레임워크 조사의 동기였다.

대부분의 조직들은 중요한 시스템을 망에서부터 물리적으로 분리하는 것만으로 방어가 되었다고 생각한다. 공격자가 인터넷을 통해, 회사 네트워크를 타고 들어와 해당 시스템에 들어가는 통로를 차단하는 것이다. 실제로 공격자들은 이렇게 했을 때 횡적 움직임이나 권한 상승 등의 공격으로 해당 시스템에 접속할 수 없게 된다.

하지만 그렇다고 해서 공격이 불가능하게 되는 건 아니다. 이를 보여주는 가장 대표적인 사례가 이른 바 스턱스넷(Stuxnet) 공격이다. 망으로부터 분리된 이란 핵 시설의 시스템을 누군가 사이버 공격으로 망가트린 것인데(미국과 이스라엘의 공격으로 여겨지고 있다), 당시 공격자들은 멀웨어가 담긴 USB를 활용했었다. 이 악성 USB는 CVE-2010-2568이라는 취약점을 공략했고, 이란의 핵 시설은 심각하게 손상됐다.

그로부터 망분리 시스템을 공략하기 위한 수많은 공격 프레임워크가 등장했다. 한국의 해킹 그룹으로 알려져 있는 다크호텔(DarkHotel)이 사용하는 렘세이(Ramsay), 중국의 무스탕판다(Mustang Panda)가 사용하는 플러그엑스(PlugX), NSA와 관련이 있는 공격 단체 이퀘이젼그룹(Equation Group)의 패니(Fanny), 중국의 고블린판다(Goblin Panda)가 사용하는 USB컬프릿(USBCulprit) 등이 대표적이다. 이셋은 이런 대표 프레임워크에 더해 덜 유명한 프레임워크인 프로젝트사우론(ProjectSauron), 에이전트비티지(agent.btz) 등을 이번에 전부 분석했다. 특히 멀웨어가 어떻게 실행되고, 어떤 기능을 실행하는지를 중점적으로 살폈다고 한다.

분석을 다 하니 생각보다 높은 유사성이 발견됐다. 15년 전에 등장한 것이나 현대에 나온 것이나 마찬가지였다. 그건 바로 USB와 APT의 존재였다. 즉 물리적으로 공격을 가능케 하는 도구와, 고난이도 공격을 성공시킬 정도의 실력자들이 모든 망분리 시스템 공격용 프레임워크에 관여되어 있었다는 것이다. 또한 대부분 윈도 기반 시스템들을 공격하는 데에 초점이 맞춰져 있었으며, 필요한 파일들을 빼돌리는 것에 주력하고 있었다. 75%의 경우 LNK 파일이나 자동실행 파일들이 USB에 삽입되어 있었고, 이 때문에 USB가 시스템에 꽂히는 순간 악성 행위가 시작됐다.

도래용카는 “이번 연구를 통해 얻어낸 가장 중요한 성과는, 망분리 시스템을 공략하는 유일한 방법이 USB라는 것을 확인했다는 것”이라고 강조한다. 따라서 중요한 시스템을 인터넷과 네트워크로부터 분리해냈다면, 그와 더불어 USB에 대한 보호 방책도 강구해야 더욱 단단히 중요한 정보를 보호할 수 있게 된다는 것이다. “USB 환경에 대한 보호 대책 마련과 도입에 집중하는 것이 높은 효과를 보일 수 있다는 뜻입니다. 아무나 분리된 시스템에서 USB를 사용할 수 없게 한다는 등 규정을 만들어 두어야 합니다.”

또한 원데이 취약점들이 주로 익스플로잇 되고 있었다는 것도 눈에 띄는 공통점이다. “원데이 취약점이란, 공격이 시작됐을 때 패치가 존재하는 취약점들을 말합니다. 제로데이는 패치가 없는 취약점들이죠. 따라서 망분리 시스템에 대한 패치 관리를 보다 철저히 하는 것 역시 보안에 큰 도움이 됩니다.”

도레용카는 “USB 관리나 패치 관리 모두 쉽지 않다”고 지적한다. “USB는 누구나 가지고 있고, 어느 책상에서나 쉽게 발견되는 장비입니다. 업무에도 거의 항상 사용되고, 사용이 대단히 편리하죠. 이걸 단순히 못 쓰게 한다고 될 일이 아닙니다. 생산성에 직접적인 타격이 올 수도 있거든요. 그래서 ‘USB를 어떻게 안전하게 사용하게 만들 수 있을까’에 대한 고민은 업무 프로세스와도 밀접한 관련이 있습니다. 망분리가 된 시스템의 패치마저도 USB로 진행될 때가 많다는 것도 기억해야 합니다.”

3줄 요약
1. 유명 망분리 공격 프레임워크 17개 분석했더니 USB라는 공통점 나옴.
2. 다시 말해 USB만 잘 막으면 망분리 시스템 보호가 더 완벽히 된다는 뜻.
3. 공격자들이 USB 통해 원데이 취약점들을 대부분 노린다는 것도 참고해야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
파워비즈배너 시작 11월6일 20181105-20200131위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2022년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
다크웹의 대중화 추세, 사이버범죄의 확산을 이끌다
월패드 등 가정집 노리는 해킹, IoT 보안의 패러다임을 바꿔라
클라우드 확산에 따른 보안 위협, 이제부터가 진짜 시작
전략의 혁신으로 중흥기 맞은 랜섬웨어
분산 네트워크와 제로트러스트의 대두
대선·올림픽·월드컵 등 대형 이벤트 노린 사이버공격 대응
메타버스·NFT 등 가상세계 플랫폼 확산과 보안위협
수술실·지하철·요양원까지... CCTV 의무 설치 확대
중대재해처벌법 시행에 따른 안전과 보안장비의 융합
비대면 트렌드에 따른 인증수단 다양화와 보안 강화