사이버 공격자의 초기 침투 비법은? 주로 파일업로드 기능 취약점 악용

사이버 공격자, 테스트페이지·에디터·파일전송모듈 등 업로드 기능 찾아 취약점 공격
공격대상 솔루션의 경우 주로 계정관리, 네트워크 접근통제, 서버접근통제 솔루션 노려
파일업로드 취약점 원인 제거, SSH포워딩 설정 해제, 공격대상 솔루션 패치 적용 필요

[보안뉴스 김경애 기자] 사이버 공격자 관점에서 공통적으로 초기 침투 시 파일 업로드를 활용하는 것으로 드러났다. 공격자는 재접속을 위해 웹셸, SSH를 이용했으며, PC 권한 탈취 후 조작을 위해서는 여러 종류의 RAT가 이용했다. 따라서 기업과 기관에서는 이러한 취약점에 대한 조치 및 대비를 통해 보안 위협을 제거하는 게 바람직하다.

[이미지=금융보안원]

1. 공격자 초기 침투, 업로드 기능 취약점 공격
금융보안원 RED IRIS팀이 발표한 ‘2023~2024 레드아이리스 인사이트 리포트 공격자 관점의 3rd Party 솔루션 취약점 프로파일링 Campaign Third Eye’에 따르면 공격자는 테스트 페이지, 에디터, 파일전송모듈 등 업로드 기능을 찾아 취약점을 공격한다고 밝혔다.

초기 침투를 위해 공격자는 사용자에게 보여지는 업로드 기능뿐 아니라 웹애플리케이션에서 업로드가 가능한 다양한 메뉴를 통해 공격을 시도한다. 특히 테스트 메뉴와 3rd Party 모듈의 숨겨진 업로드 기능 등은 방어자도 존재를 파악하지 못해 점검이나 보안조치가 되어 있지 않는 경우가 많다.

▲모의해킹 공격 캠패인 공통점[자료=금융보안원]

2. 공격자, 재접속 위해 웹셸, SSH 이용
이어 공격자는 재접속을 위해 기본적으로 웹셸, SSH를 많이 이용했다. 특히 비밀번호의 변경 없이 SSH 키를 등록하는 방법을 주로 사용했다. 또한 솔루션의 관리자 계정을 추가하는 방식도 사용했다.

PC 권한 탈취 후 조작을 위해서는 여러 종류의 RAT가 이용됐다. 안티바이러스에 의해 알려진 악성 도구는 대부분 탐지가 된다. 하지만 난독화, 패킹 등 다양한 조작을 통해 탐지 우회가 가능하다.

3. 공격자, 복호화 가능한 WAS 노리고 인증정보 획득
인증정보는 크게 직원의 업무시스템 인증정보, 서버 및 네트워크 장비 등 인프라 장비 인증 정보 등이 있다. 인증정보 획득은 공통적으로 웹셸 업로드 후 WAS 서버의 설정파일에서 DB접속 정보, WAS 관리자 계정정보를 획득했다. WAS의 경우 설정파일에 암호화 저장 기능을 제공하나 서버 내 키를 이용해 복호화가 가능해 노출을 방지하기가 어렵다.

백업 쉘 스크립트, 서버 내 설치 솔루션 에이전트 설정파일에서 다른 서버로 접속할 수 있는 인증정보를 획득했다. 이와 유사하게 평문으로 계정 정보가 하드코딩되어 있는 경우가 상당했다.

4. 외부망에서 내부 침투, 접근 네트워크 확장 위해 터널링 기술 사용
외부망에서 내부 침투 시에는 접근 네트워크 확장을 위해 터널링 기술을 사용했다. 터널링은 정상 프로토콜을 통해 이루어지며, 주로 사용되는 기법은 ICMP, DNS, HTTP, SSH 등이 존재한다.

공격자는 주로 HTTP와 SSH 터널링을 활용했다. SSH 터널링은 가장 잘 알려져 있는 터널링 기법으로, -D, -R 옵션 등을 이용해 socks proxy를 설정해 사용한다.

HTTP 터널링은 웹셸 업로드 후 가능한 기법으로, HTTP를 통해 TCP 트래픽을 전송할 수 있도록 해주는 별도 터널링 웹셸을 업로드해 사용한다. 이렇게 터널링을 맺게 되면 연결된 포트를 통해 패킷이 경유지를 거쳐가게 된다. 방화벽을 우회해 기존에 직접 접근하지 못하던 네트워크에도 접근이 가능해진다. 이러한 행위를 네트워크 피보팅(pivoting)이라 부른다. 여러 네트워크가 연결된 인프라 침투 시에는 필수로 피보팅을 통한 접근 네트워크 확장을 수행한다.

이렇듯 다양한 터널링을 통한 공격 수행 시에는 출발지 IP가 경유지로 변경되며 패킷이 암호화 되어 전송돼 침해사고 조사 시에도 어려움을 준다.

5. 많은 서버와 PC 권한 획득 위해 측면 이동
다음으로 측면 이동은 침투 이후 더 많은 서버와 PC의 권한을 획득하기 위한 과정으로, 동일 네트워크 상의 자산을 다양한 방법으로 공격한다. 이번 모의해킹에서 가장 많이 사용된 기법은 침투한 자산에서 정상 인증정보를 확보해 이용하는 방법과 솔루션 취약점 악용이다.

특히 계정관리 솔루션, 네트워크 접근통제 솔루션, 서버접근통제 솔루션 등 서버 집중 관리 솔루션의 관리자 권한이 탈취되면 다수의 서버에 높은 권한으로 접근이 가능해 파급력이 매우 크다.

이렇게 네트워크 확장 이후 측면 이동을 통해 내부 자산 침투에 성공하게 되면 더 많은 자원에 접근할 수 있어 큰 피해가 발생할 수 있다. 반대로 이 과정을 잘 차단한다면 피해를 줄일 수 있어 내부 보안의식의 중요성이 크다.

[자료=금융보안원]

△ 파일업로드 취약점 원인 제거 & 관리
해당 유형의 공격에 대한 대응방안으로 첫째, 파일업로드 취약점 원인을 제거하고 관리해야 한다. 파일업로드 방지 조치 예시로는 1) 업로드 허용 확장자, 타입, 용량 제한 2) 업로드 경로 실행권한 제거 3) 업로드 경로 분리 4) 파일명 랜덤 변환 5) 저장 확장자 강제 변환 6) 업로드 경로 데이터베이스에 저장 등이다.

△ 서버 내 인증정보 관리
서버 내에는 백업을 위한 스크립트, FTP 전송을 위한 스크립트, 솔루션 설정파일, WAS 설정파일 등 인증정보가 포함되어 있는 많은 파일들이 존재한다. 해당 파일들의 권한 설정이 미흡해 서버 내 다른 사용자 계정으로 파일 열람이 가능한 경우, 인증정보가 그대로 노출된다. 공격자에게 노출된 인증정보는 다른 서버 또는 PC등으로 침투할 때 매우 유용한 정보가 된다.

이에 따라 비밀번호는 가능한 하드코딩하지 않도록 해야 하며, 필요한 경우에는 암호화를 적용해야 한다. 또한 파일의 권한 설정을 엄격하게 설정하여 필요한 사용자 외에는 확인이 불가하도록 보호해야 한다.

△ 비밀번호 설정 및 점검 강화
사명, 이름 등 공격자가 유추하기 쉬운 키워드가 포함되지 않도록 해야 한다. 사명 또는 이름, 연속 키보드 문자 등을 사용하는 경우 길이가 길어도 손쉽게 크랙이 가능해진다. 비밀번호 정책 적용, 비밀번호 설정 가이드, 임직원 교육 등과 함께 실제 크랙을 통한 점검도 수반돼야만 효과적으로 예방할 수 있다.

△ 솔루션 점검 및 계정 모니터 강화
3rd Party 솔루션은 다수의 PC 및 서버와 연동되어 있고 일반적으로 권한도 높아 취약점 하나로 수많은 인프라를 탈취당하는 결과를 초래하게 된다. 이러한 공격을 막기 위해서는 솔루션 자체에 대해서도 중요 서버와 마찬가지로 계정, 포트, 정책 등 다양한 관점으로 점검이 필요하다.

▲핵심 조치 필요 사항[자료=금융보안원]

각 오퍼레이션에서 이용됐던 서버 계정 관리, 네트워크 접근통제, 서버접근통제 솔루션 등 중앙집중관리 솔루션의 경우에는 계정 관리에 특별히 신경써야 한다.

기본적으로 관리자 IP만 접근이 가능하도록 통제해야 한다. 방화벽 정책 뿐만 아니라 장비 자체 기능으로도 접근통제를 이중으로 하는 것이 좋다. 방화벽은 동일 네트워크의 다른 솔루션 침투 후 경유지를 통해 접근하는 경우 차단을 할 수 없기 때문이다.

▲핵심 조치 필요 사항[자료=금융보안원]

또한 제조사에서 제공하는 취약점 패치를 주기적으로 하더라도, 공격자가 먼저 발견한 제로데이 취약점에 의한 공격은 막을 수 없어 주의해야 한다. 공격자는 취약점 공격 이후 반드시 관리자 권한 획득을 목표로 추가 공격을 수행해 관리자 계정 추가 및 계정의 권한 변경을 시도하므로 중요한 계정 관련 사항에 대해서는 지속적인 모니터링을 수행하는 것이 효과적이다.
[김경애 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)