사건 대응 팀 전문가들이 말하길, “조용한 방어가 중요”

APT 공격자들 수준 나날이 높아져...백업 C&C 인프라는 이미 ‘표준’
합법적인 시스템 도구 사용한 공격 기술 적용하는 사례 늘어나고 있어

[보안뉴스 문가용 기자] 수준이 높은 공격의 경우, 공격자들은 대부분 백업 C&C 인프라를 마련한다고 한다. 즉, 사건 대응 팀이 성공적인 방어를 해놓고, ‘잘했어, 수고했어’라고 서로를 축하할 동안 새로운 공격을 시작한다는 것이다. 전체적으로 봤을 때 이런 식의 후차 공격이 발생하는 경우가 절반 정도 된다고 한다.

[이미지 = iclickart]

보안 업체 카본블랙(Carbon Black)의 사건 대응 팀은, “이런 식의 일은 사건 대응 팀이 겪는 수많은 일들 중 하나에 불과하다”고 말한다. 최근 카본블랙은 크롤(Kroll)과 래피드7(Rapid7)과 같은 보안 업체들의 사건 대응 팀 파트너들과 함께 사분기 사건 대응 위협 보고서(Quarterly Incident Response Threat Report)를 발표했는데, 2017년 한 해 동안 최소 하루 한 건의 사건 대응 조사를 실시한 팀들이라고 한다.

“64%의 경우 두 번째 C&C 인프라가 어디엔가 숨어 있어 두 번째 공격을 노리고 있었다”고 카본 블랙의 CSO인 톰 켈러만(Tom Kellermann)은 말한다. “단순 좀도둑이던 해커들이, 이제 조직적이고 치밀한 침입을 시도하고 있음을 알 수 있습니다. 물건을 노리고 가져오는 것만이 아니라, 그걸 방해하려는 시도도 무력화시키려는 것이죠.”

이러한 고급 공격의 가장 주요한 원천은 러시아와 중국인 것으로 나타났다. 사건 대응 전문가들의 81%가 “러시아가 가장 많은 공격을 한다”고 답했으며, 76%가 “중국의 공격이 가장 많다”고 꼽았다. 그렇다고 해서 사건 대응 팀들이 맡은 사건 대부분이 ‘사이버 스파잉’ 행위에 국한된 것은 아니다. 사이버 스파이 공격은 3위에 그쳤을 뿐이다. 80%의 응답자는 금융권이 가장 많은 공격을 받고 있다고 답했으며, 그 다음은 의료 기관(73%)인 것으로 나타났다.

또한 최근 공격의 60%는 횡적 움직임도 포함하고 있다는 사실도 드러났다. 즉, 공격자가 처음 침투 성공한 장비로부터 시작해 네트워크를 타고 다른 기기들에까지도 공격을 가한다는 뜻이다. 파워셸(PowerShell)이 이러한 횡적 움직임에 가장 많이 사용되는 툴이라고 사건 대응 전문가들은 밝혔다. 또한 윈도우 자동화 및 환경설정 관리 툴을 이용한 공격을 봤다는 전문가 역시 100%였고, 윈도우 관리 인터페이스(WMI)을 활용한 공격을 경험했다는 전문가는 84%였다.

이런 식으로, 합법적으로 사용 가능한 툴들을 활용해 악의적인 공격에 적용하는 건, 시스템 내 오랫동안 남아서 정찰이나 정보 수집을 하고자 하는 APT 공격자들의 오래된 수법이라고 한다. 사건 대응 전문가 54%는 “정상 툴들이 공격에 사용되는 사례를 보아왔다”고 답했으며, 드롭박스(Dropbox)라는 유명 클라우드 서비스를 사용해 횡적인 움직임을 보인 공격을 목격했다는 전문가도 16%였다.

켈러만은 “공격자들의 WMI 사용 비율이 높아져간다는 건 걱정해야 할 부분”이라고 짚는다. “뿐만 아니라 프로세스 할로잉(process-hollowing) 기법과 서명되지 않은 디지털 인증서의 사용량이 증가하고 있다는 것도 경계해야 할 일입니다. 방어를 어떻게 할까에 대한 고민은 둘째치더라도, 공격자들의 실력이 굉장히 높아졌다는 뜻이기 때문입니다.”

한편 공격에 당한 피해자의 36%는 “공급망에 있는 다른 기업이나 기관을 노리기 위해 먼저 해킹을 당한 것”이라고 한다. 즉 서드파티 공격을 위해, 마치 본격적인 공격의 발판으로서 당한 기업이 36%에 달한다는 것이다.

이렇게 치밀하게 공격하고 들어와 오랜 시간 머무르려고 하는 공격자들을 막아내려면 수사를 조용히 진행하고, 결정적인 순간에, 순식간에 잡아내는 것이라고 전문가들은 답한다. 즉, APT 공격자들이 툴이나 전략을 바꿀 시간을 주지 않는 것이 핵심이라는 것이다. 켈러만은 “방어를 조금 더 조용하게 하는 방법을 익히는 것이 현대 보안의 관건이라고 생각한다”고 밝혔다.

조용하게 방어한다는 건 “C&C를 발견하자마자 폐쇄시키는 게 아니라, 우리 역시 은밀히 조사를 진행한다거나 하는 것을 말한다”고 켈러만은 덧붙였다. 카본 블랙이 이번에 발표한 보고서에 의하면 “방어자의 존재를 드러내는 타이밍이 굉장히 중요하다”고 써 있기도 하다. “이제 방어자들의 움직임까지 계산한 공격이 표준처럼 굳어져가고 있기 때문입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)