MS 익스체인지 사태로 드러난 지능화 공격 추세, 어떻게 맞서야 하나

사이버 공격의 지능화·다각화 추세, 공격 시도부터 사후 대응까지 수명주기 파악해 맞서야
공격 발생 후 차단에 주력하는 대응방식으로는 다변화하는 사이버 공격 대응에 공백 발생
맥아피 엠비전 인사이트, 다양한 소스 통해 공격 시도 인지하고 대응전략 제시

[보안뉴스 이상우 기자] 최근 특정 국가에서 지원하는 것으로 알려진 사이버 공격 조직 ‘하프늄(Hafnium)’이 MS 익스체인지 서버에 영향을 미치는 여러 취약점을 악용해 공격을 시도한 것으로 밝혀졌다. 사이버 보안 기업 볼렉시티(Volexity)는 이 공격에 대해 처음 보고하면서 여러 고객사의 MS 익스체인지 서버에서 비정상적인 활동을 감지했고, 취약점을 악용한 제로데이 공격이 실제로 펼쳐졌으며, 서버 요청 위조(SSRF: Server Side Request Forgery)나 이메일 콘텐츠 및 접근 권한 탈취 등이 실제 실행된 것으로 드러났다. 마이크로소프트는 새롭게 발견된 취약점 4개에 대해 긴급 패치를 진행했으며, 고객사에게 이를 즉시 적용하라고 권고한 바 있다.

▲일반적인 사이버 공격 수명주기[자료=맥아피]

공격 시도 발생 후 피해 확산을 차단하고 추가적인 사고를 예방하는 사후 대응 전략은 사이버 보안 구성 요소에서 핵심이지만, 공격을 시도 자체를 포착해 진압하는 데는 큰 효과를 기대하기 어렵다. 공격자는 새로운 도구와 기법을 통해 기존의 방어책을 회피할 수 있는 캠페인을 고안한다. 특히, 이 과정에서 사후 보안 대응 제품을 직접 사용하면서 자신의 공격 기법이 얼마나 효과적인지 검증하고, 해당 제품을 뚫을 수 있는지 파악하기도 한다. 이 때문에 기업은 공격 발생 이전에 대한 차단부터 발생 후 대응까지 전반적인 공격 수명주기를 파악해야 한다.

맥아피 엠비전 인사이트(Mcafee MVISION Insights)는 악성 공격 시나리오에 대해 보안 분석 자료를 제공한다. 10억 개의 센서에서 수집한 위험 인텔리전스를 바탕으로 경계 바깥에 있는 위협 요소를 예방적으로 식별해 산업 분야, 지리, 기업 엔드포인트 보안 태세에 따라 위협 요소 대응에 대한 우선순위를 지정할 수 있도록 지원한다.

▲악성 공격 시나리오에 대한 분석 자료 제공[자료=맥아피]

또한, 공격 시도 전에 위협 캠페인을 식별하고 단일 콘솔에서 위험 수준의 우선순위를 지정하며, 해결 권장 사항을 비롯해 보안 태세가 이러한 위협에 얼마나 적절하게 대응할 수 있는지 판단함으로써 실행 가능한 인텔리전스를 확보한다. 이 밖에도 탐지부터 해결까지의 평균 시간 단축을 위해 워크플로를 간소화하고, 추가적인 보호 조치를 더 빠르게 실행할 수 있도록 현재 엔드포인트 보안 태세를 평가하고, 대응 시간을 몇 시간 내로 단축할 수 있게 지원한다.

▲현재 실행 중인 공격 캠페인에 대한 분석 정보 제공[자료=맥아피]

최근 발생한 하프늄의 제로데이 공격에 대해서도 분석 정보를 제공한다. 대시보드에서 기본 정보에는 공격에 대한 상세 설명, 국가별 발생 현황, 산업 섹터별로 분석 정보를 제공하며, 분석한 지표는 보안 담당자가 해당 공격 캠페인의 존재를 감지하는데 활용할 수 있다. MD5, SHA356, IP, URL, Domain 등의 지표와 함께, MITER ATT&CK 지표에 자동 대입해 공격 사례에 대한 정보도 제공한다. 또한, 사용자 환경에서 해당 위협 지표가 감지될 경우 노출된 장치를 강조해 표시하고 이에 대해 보안 담당자가 조치할 수 있도록 지원한다.
[이상우 기자(boan@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)