[3월 3주 뉴스쌈] US-CERT, 러 해커의 ICS 공격 경로 밝혀

미 ICS 노리는 러 사이버 킬 체인, 통신 암호화 업체 기소,
크롬 엔터프라이즈의 보안 기능 추가, 보안업체 인수 소식,
내부자 거래 혐의로 결국 기소된 에퀴팩스 전직 CIO

[보안뉴스 오다인 기자] 잊을 만하면 다시 들려오는 이름, 에퀴팩스(Equifax)입니다. 고객들에게 침해사고를 알리기 전에 자기 주식부터 팔아치웠다는 비판을 받았던 전직 임원이 결국 미국 증권거래위원회에 의해 기소됐다는 소식입니다. 이번에 기소된 임원은 무려 최고정보책임자(CIO)였다고 하니 실망감이 더욱 큽니다. 3월 셋째 주 뉴스쌈, 지금 출발합니다.

[이미지=iclickart]

러 해커의 사이버 킬 체인, US-CERT에서 경고 발행
러시아 정부가 미국 에너지 시설 등 핵심 사회기반시설을 겨냥해 사이버 공격을 펼치고 있다고 미국 침해사고대응팀(US-CERT)이 15일 경고했습니다. US-CERT는 미국 국토안보부(DHS)와 연방수사국(FBI)이 합동기술경보(joint Technical Alert) 팀을 구성해 분석한 결과, 러시아 정부가 미국 정부시설뿐만 아니라 에너지·핵·수력·항공 시설과 핵심 제조업을 겨냥해 공격을 펼치고 있다고 경고했습니다.

DHS와 FBI는 다단계로 설계된 침투 캠페인이라는 사실이 이번 공격에서 특기할 만한 점이라고 설명했습니다. 이른바 ‘사이버 킬 체인(Cyber Kill Chain)’이라고도 하죠. 러시아의 정부지원 해커들은 소규모 상업시설의 네트워크에 멀웨어를 깐 뒤 스피어 피싱을 수행하고 차츰 차츰 나아가 에너지 부문 네트워크까지 원격 접근합니다. 이때부터는 네트워크를 정찰하고 횡적 움직임(lateral movement)을 수행하거나 산업제어시스템(ICS)과 관계된 정보를 수집하는 것으로 나타났습니다.

러시아 정부지원 해커들은 적어도 2016년 3월부터 이 같은 캠페인을 진행해온 것으로 추정됩니다. 이와 관련해 US-CERT는 첫째 다단계(multi-stage 또는 staging)로 진행된다는 점과 둘째 의도적으로 선별된 타깃(intended targets)을 겨냥한다는 점 등 두 가지에 주목해야 한다고 짚었습니다. 최초 침투의 타깃으로는 서드파티 제공업체 등 네트워크 보안이 다소 떨어지는 주변 조직이 겨냥됩니다. 해커들은 이곳 네트워크에 똬리를 틀고 최종 타깃 겨냥에 성공할 때까지 여기에 멀웨어를 보관한다고 US-CERT는 분석했습니다.

▲ICS 공격 경로[출처=https://www.us-cert.gov/ncas/alerts/TA18-074A]

US-CERT는 이 공격자들의 수법과 특징으로 △스피어 피싱 이메일 △워터링 홀 도메인 △크리덴셜 탈취 △오픈소스 및 네트워크 정찰 △호스트 기반 익스플로잇 △ICS 겨냥 등을 지적했습니다.

마약 거래상 등 범죄자에게 암호화된 통신 제공한 업체, 기소
영미권의 오래된 속담 중에 “개와 함께 잠들면 벼룩과 함께 일어난다”는 말이 있습니다. 통신 암호화 전문업체 팬텀 시큐어(Phantom Secure)의 경우에 빗대면 “마약 거래상과 동침하면 기소장과 함께 잠에서 깬다” 정도가 되겠군요. 미국 연방 대배심에 따르면, 팬텀 시큐어의 최고경영자(CEO) 및 공모자들은 “마약을 국제적으로 수입 및 배포하는 범죄 기업에 암호화된 통신 서비스를 의도적으로 판매 및 제공하는 데 참여”한 혐의를 받고 있습니다.

미국 연방수사국(FBI)은 팬텀 시큐어가 2만 명이 넘는 유저들에게 암호화된 통신을 제공함으로써 지난 10년간 8000만 달러(약 855억 원) 이상을 벌어들였다고 추정하고 있습니다. 그런데 문제는 이 유저들이 전부 각종 범죄 활동에 연루된 사람들이었다는 것이죠. 팬텀 시큐어는 이들에게 서비스를 제공하면서 시중의 스마트폰을 받아다가 모든 일반적인 기능을 제거한 뒤 암호화된 이메일 시스템으로 바꿔주었는데요. 이렇게 조작된 스마트폰은 오직 팬텀 시큐어 네트워크 안에서만 통신이 가능하다고 합니다.

FBI는 “이 스마트폰들의 제한된 기능과 더불어 이 기기들이 밀폐된 범죄자 조직 내에서만 사용됐다는 사실을 고려할 때 팬텀 시큐어의 고객 전부는 심각한 범죄 활동에 연루돼 있는 것으로 추정된다”고 밝혔습니다. 팬텀 시큐어의 빈센트 라모스 CEO를 잡기 위해 FBI는 호주연방경찰(AFP), 캐나다연방경찰(RCMP), 파나마·홍콩·태국의 경찰기관 등과 공조했습니다.

▲팬텀 시큐어 수사결과[출처=https://www.fbi.gov/news/stories/phantom-secure-takedown-031618]

FBI의 크리스토퍼 레이(Christopher Wray) 국장은 성명서에서 “빈센트 라모스와 그 공모자들에 대한 기소는 국제 범죄를 제재하는 획기적인 사건”이라고 말했습니다. 또한, 미국 연방검사 아담 브레이버먼(Adam Braverman)은 “범죄자들이 모습을 숨기고 사법당국이 그들의 전화기를 모니터링하거나 증거물에 접근할 수 없을 때 범죄는 해결되지 않고 범죄자들은 멈추지 않으며 생명은 사라져간다”면서 “이번 기소에 따라 마약 거래상 및 기타 폭력 범죄자들에게 제공되던 통신 인프라를 폐쇄할 수 있을 것”이라고 말했습니다.

FBI는 팬텀 시큐어와 관련된 도메인 150개를 차단하고 휴대전화 1000개를 압수했다고 밝혔습니다.

구글, 크롬 엔터프라이즈에 보안 기능 추가
구글이 크롬 엔터프라이즈(Chrome Enterprise)에 보안 기능을 몇 가지 추가했습니다. 크롬 엔터프라이즈는 크롬 브라우저의 기업용 버전으로, 기업용 앱 스토어로의 접근과 추가적인 보안 제어, 24시간 지원, 클라우드 및 온프레미스 관리 툴과의 통합 등을 제공하려는 목적에서 2009년 출시됐습니다.

이번 업데이트는 △시스코 머라키(Cisco Meraki) △시트릭스 젠모바일(Citrix XenMobile) △IBM 마스360(IBM MaaS360) △매니지엔진 모바일 디바이스 매니저 플러스(ManageEngine Mobile Device Manager Plus) 등과의 새로운 EMM(Enterprise Mobility Management) 파트너십이 반영된 결과입니다. 앞서 지난해 구글은 VM웨어 에어워치(VMware AirWatch)와 첫 번째 EMM 파트너십을 체결한 바 있습니다.

이와 함께 구글은 레거시 인프라상의 크롬 OS 관리를 위한 지원도 추가했습니다. 관리자는 그룹 정책 개체(GPO)를 통해 매니지드 익스텐션(managed extensions)을 직접 구성할 수 있게 돼 크롬 브라우저 이용자들이 로컬 네트워크상에서 커베로스(Kerberos) 및 NTLMv2 엔드포인트로 인증하는 것이 가능해졌습니다.

크롬 브라우저 및 크롬 OS에 관리 제어 기능이 확장되기도 했습니다. 퍼-퍼미션 익스텐션 블랙리스팅(Per-permission extension blacklisting)은 관리자가 직원들로 하여금 크롬 웹 스토어 내의 더 많은 확장 프로그램에 접근하도록 승인하면서도 웹 자산에 대한 세밀한 제어를 유지하도록 해준다고 합니다. 업데이트 안 된 OS로부터의 접속은 차단되며, 관리자는 관리된 디바이스만 싱글 사인온(SSO) 서버에 연결되도록 설정할 수 있습니다.

크리티컬 스타트, 어드밴스드 쓰레트 애널리틱스 인수
보안관제 서비스 제공업체(MSSP) 크리티컬 스타트(Critical Start)가 보안 분석업체 어드밴스드 쓰레트 애널리틱스(ATA: Advanced Threat Analytics)를 인수한다고 15일 밝혔습니다. 두 업체는 이미 파트너십을 체결하고 있던 상태로, 보안관제센터(SOC)에서 ATA의 분석 플랫폼이 운영되고 있었다고 합니다. 계약의 세부사항은 알려지지 않았습니다.

크리티컬 스타트의 롭 데이비스(Rob Davis) 최고경영자(CEO)는 “이번에 성사된 계약은 레거시 MSSP들에 대한 쾌거”라며 “크리티컬 스타트의 사이버 보안관제센터와 애널리스트들, ATA 플랫폼이라는 조합은 모바일 퍼스트 및 제로 트러스트 플랫폼을 활용하고 완벽하게 투명한 프로세스를 제공함으로써 고객들에게 특별한 보안관제 서비스를 선사할 것”이라고 말했습니다.

미 증권거래위, 내부자 거래 혐의로 에퀴팩스 전직 임원 기소
미국 증권거래위원회(SEC)가 에퀴팩스(Equifax)의 전직 임원을 내부자 거래 혐의로 기소했습니다. 에퀴팩스의 미주 사업부 최고정보책임자(CIO)였던 준 잉(Jun Ying)은 지난해 9월 에퀴팩스가 대규모 정보유출 사실을 공표하기 전에 내부자 거래를 저질렀다는 혐의를 받고 있습니다.

SEC에 따르면, 잉은 회사의 기밀정보를 통해 에퀴팩스가 보안침해사고를 당했다고 판단한 뒤 사실 공표 이전에 자신이 갖고 있던 에퀴팩스의 스톡옵션을 행사하고 주식을 팔아치워 약 100만 달러(약 10억 6850만 원)를 확보했습니다. SEC는 에퀴팩스의 공표 이전에 주식을 팔아치움으로써 잉이 11만 7000달러(약 1억 2501만 원)이 넘는 손실을 피할 수 있었다고 설명했습니다.

SEC 애틀란타 지부의 리차드 베스트(Richard Best) 국장은 “사이버 침해사고에 대한 정보를 포함해 내부정보를 알게 된 기업 임직원은 자신의 재정적인 이윤을 위해 주주들을 배신해서는 안 된다”고 성명서에서 밝혔습니다. SEC는 미국 연방증권법의 반사기규정(anti-fraud provision) 위반 혐의로 잉을 기소했습니다.

한편, 이번 기소는 최근 SEC의 가이드 업데이트에 뒤따라 나온 것입니다. 2018년 2월 SEC는 기업이 투자자에게 사이버 보안사고 및 위험에 대해 더 많은 정보를 더 적절한 시점에 제공해야 한다고 짚었습니다. 또한, SEC는 기업 임원과 관리자 등의 내부자들이 기업 보안사고 사실을 일반에 공표하지 않았다면 주식을 거래해서는 안 된다고 명시했습니다.
[국제부 오다인 기자(boan2@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)