국제 해커그룹 공격 방법 유형 및 대응 방안은?

[디지털비즈온 이은광 기자] 중국·북한·러시아 등 국가적 지원을 받는 국제 해커집단의 공격에 대응하기 위해서는 네트워크 및 엔드포인트 데이터 보안솔루션을 갖춰야 한다는 보고서가 나왔다.

위협헌팅 전문 보안기업 '씨큐비스타' 가 '국가지원 해커그룹 및 대응방안'이란 주제의 첫번째 보안보고서 '씨큐리포트'를 통해, 중국, 북한, 러시아 등 국가적 차원의 지원을 받는 해커들의 공격을 효과적으로 예방하고 방어하려면 기존 보안관제로 막기 힘든 정교한 20%의 공격행위를 능동적으로 관리할 수 있는 풍부한 네트워크 데이터 및 엔드포인트 데이터를 제공하는 도구가 필수적이라고 밝혔다.

이를 위해서는 공격자의 유입경로를 파악하는 일과 잠복기에 있는 위협의 진행과 흔적을 사전에 파악, 제거하고, 보안사고 발생 또는 징후를 파악한 후에도 잔여 흔적과 잠복기에 해당하는 여러 징후들을 파악하여 선제적으로 대응하는 것이 중요하며, 실시간 분석을 지원하는 동시에 네트워크 기반 탐지 및 대응과 엔드포인트 기반 탐지 및 대응 솔루션을 동시에 활용해야 한다고 강조했다.

씨큐비스타가 발표한 첫번째 보안보고서 씨큐리포트 '국가지원 해커그룹 및 대응방안'의 내용을 소개한다.

◇국가 차원의 지원을 받는 해커그룹, 그들은 누구인가?

국가의 지시에 따라 또는 국가의 지원을 받아 컴퓨터 네트워크 작업을 수행하는 그룹으로서, 고도로 숙련되고 자금이 풍부하다는 특징이 있으며, 타국 정부 기관 및 중요 인프라 제공업체와 같은 높은 가치의 표적을 노리는 경향이 있다.

이들의 공작 방식에는 간첩 행위와 사보타주(Sabotage: '비밀 파괴 공작'이란 뜻으로 비밀리에 적의 산업 시설이나 직장에 대한 직접적인 시설 파괴를 행하는 것을 의미)가 포함되는 경우가 많으며 일반적으로 정교한 도구와 기술을 사용하여 대상 시스템에 접근한다.

그들은 자국 정부를 위해 일하는 조직이며 공격 대상 정부, 조직 또는 개인을 방해하거나 침해하여 귀중한 데이터나 정보에 접근하고 국제적으로 중요한 사건을 일으킬 수 있다.

◇국제 해커 그룹의 공격 방법 및 대응 방안

미국 국가 안보국 (NSA: National Security Agency) 산하의 Top 해커 그룹에 따르면, 그들은 네트워크를 구축하고 운영하는 사람들보다도 더 네트워크를 상세히 파악함으로써 공격에 항상 성공한다고 밝혔다.

NSA 산하의 Top 해커 그룹은 다음의 6단계를 통하여 자신들의 목적을 달성한다고 밝힌바 있다. 그들의 방법을 참고하면 보다 상세히 국가 차원의 지원을 받는 해커 그룹의 공격 방법을 파악할 수 있다.

1) Initial Reconnaissance (초기 정찰)

공격방법으로는 해커는 호스트 및 운영체제를 식별하고 취약점에 대한조사를 수행하기 할 수 있는 수많은 네트워크 스캔도구를 보유하고 있는데, 해커가 취약한OS, 클라이언트 데이터베이스, 민감한 데이터를 처리하기 위한 기술을 식별할 수 있다면 이미 문제가 심각한 상황이다.

대응방안으로는 최소한 실행되고 있는 스캐닝 방법을 탐지 또는 방지할 수 있어야 한다. 중요 자산과 자산에 접촉하는 사람을 지속적으로 모니터링 하기위한 시스템, 기술 및 절차를 확보해야한다. 내부 네트워크내의 시스템간통신(east-west)을 지속적으로 모니터링 할 수 있는 능력을 확보해 해커 보다 네트워크를 상세히 파악해 관리하는게 특히 중요하다.

2) Initial Exploitation (초기 익스플로잇)

공격방법으로 NSA에 따르면Zero-day 익스플로잇과 새로운 네트워크 침해기법의 중요성은 지나치게 과장 되어있으며, 실제로는 대부분의 침입은 2가지초기공격 벡터중 하나를 이용하여 공격하는데, 이메일 첨부파일 및 클릭유도와, 악의적인 웹사이트 접속을통한 불법컨텐츠를 실행하는 방법을대부분 사용한다고 밝혔다.

대응방안으로는 네트워크를 위험에 빠뜨리는 내부 네트워크 트래픽 및 계정사용을 모니터링 하여야 하며, 이미 감염된 사용자 계정에 의한 의심스러운 행위를 모니터링 해야한다고 밝히고 있다.

3) Establish Persistence (지속성 확립)

공격방법으로는 해커가 일 네트워크 침입에 성공하면, 추가적인 백도어를 생성하여 보다 강력한 발판을 다지며 일반적으로 탐지나 축출을 어렵게 만든다. 지속성은 더높은 권한에 대한 인증정보(계정)를 탈취하고 삭제해도 재설치되는 악성코드를 이용할수있다.

대응방안으로는‘정상네트워크행위’를 구성하는 사용자, 세그먼트, 업무구역을 파악 함으로써, 해커가 보안 요원들에게 들키지 않고 장시간 인가되지 않은 접속을 유지하는 것을 어렵게 만들어야 하며, 애플리케이션 및 사용자행위 에 대한 지속적 모니터링을 통하여 베이스라인을 수립하여 이를 기반으로 네트워크를 상세히 모니터링 해야한다.

4) Install Tools (추가 공격 도구 설치)

공격방법으로는 공격자는 시스템에 소프트 웨어도구를 설치함으로써 데이터를 유출하거나 또는 공격행위를 확고히 하는데 도움이 될 수 있는 추가적인소프트웨어를 다운로드 하도록 하는 것이 일반적이다.

대응방안은 파일 평판서비스를 활용하면, 알려진 실행파일에 대한 클라우드기반 데이터베이스를 이용하여 해당프로그램이 스팸, 악성코드, 피싱행위를 하는지를 검사 할 수 있다.

일부 평판서비스는 특정 소프트웨어가 호출하는 도메인 이름도 확인하기 때문에 클라이언트가 특정 도메인을 호출하는 경우 멀웨어‘C&C’(명령및제어) 일수 있다는 경고를 확보할 수 있다. NSA는 파일 평판 및 도메인평판을 활용할 것을 권고 하고있다.

5) Move Laterally (내부망 이동)

공격방법으로는 공격자는침입하기 쉬운지점에 우선 침입한후, 민감한 네트워크 공유 또는 데이터베이스로 이동하기 때문에 네트워크는 언제든지 침해될수있다고 생각하여야 하며, 따라서 네트워크에서 의심스러운 측면 이동(Lateral Mov.)을 탐지 할수있어야 한다.

대응방안으로는 이미 네트워크가 침해 되었다고 가정하고, 침입자가 네트워크 내에서 무엇을 하는지 파악 알수있어야 공격자를 방해 할수있는데, 특히내부동서(East-West)간의 트래픽을 감시하는 것이 중요하다

6) Collect, Exfil, and Exploit (수집, 유출 및 추가 해킹)

공격방법으로는 이단계까지 진행 되었다면 이미 사고가 발생한 상황이므로 보안담당자가 할수있는 것은 거의없다. 하지만 이미 어려운 상황 이지만 포기할 수는 없다.

대응방안으로 이미 침해 사고를 당한 상황보다 더 악화될 수 있으므로 대응 계획이 수립이 필요하다. 데이터 손상, 데이터 조작, 데이터파괴를 어떻게 처리 할것인가에 대한 사전계획수립을 통하여 피해를 최소화 해야한다.

또 실시간으로 네트워크 활동을 모니터링하여 해커가 이용하고 있는 목표 시스템 및 대상을 파악하여야 한다. 특히, 해커가 노릴 만한, ‘중요 자산’에 접근을 실시간에 상세히 모니터링함으로써 해커의 접근을 잠재적으로 차단하여야 한다.

이처럼 지능형 해커의 네트워크 침입 과정을 요약하면, 2) 및 4) 단계는 악성코드 탐지와 관련이 있으며, 1), 3), 5) 및 6) 단계는 네트워크통신 세션분석과 관련이있다.

즉, 효과적으로 기존 보안관제에서 놓칠수 있는 위협을 관리하기위해서는 2) 및4) 단계 악성코드 위협탐지를 보강할 필요가 있으며, 1), 3), 5) 및6) 단계의 네트워크 통신세션을 고속으로 정확하게 분석할 필요가있다.

위 방법을 살펴보면 2), 4) 단계는 주로 악성코드를 이용한 공격으로 파일 평판 서비스를 사용할 것을 권고하고 있으며, 1), 3), 5), 6) 단계는 네트워크 통신과 주요 정보 자산에 대한 통신 활동을 면밀히 감시할 것을 권고하고 있다.

◇국가 차원의 지원을 받는 해커그룹, 통합보안 관제로는 관리할 수 없을까?

정교한 위협은 자동화된 사이버 보안 및 보안 관제를 우회할 수 있다. IBM에 따르면 자동화된 보안 도구 및 Tier 1~2 보안 운영 센터(SOC) 보안관제 요원들이 약 80%의 위협은 처리할 수 있지만, 나머지 20%는 처리하기 힘들다. 즉 기존 보안관제 방법으로는 정교한 20% 위협 및 공격행위는 관리할 수 없다.

◇ 기존 보안으로 처리할 수 없는 20%에 대한 위협 관리 방안

위협 대응 측면에서 사이버보안은 공격자의 유입 경로를 파악하는 일과 함께 잠복기에 있는 위협의 진행과 흔적을 사전에 파악, 제거하고, 보안 사고 발생 또는 징후를 파악한 후에도 잔여 흔적과 잠복기에 해당하는 여러 징후들을 파악하여 선제적으로 대응하는 것이 중요하다.

Wikipedia에 따르면 위협 헌팅의 정의는 “기존 보안 솔루션을 회피하는 지능형 위협을 탐지하고 격리하기 위해 네트워크를 능동적이고 반복적으로 검색하는 프로세스”이다. “잠재적인 위협에 대한 경고가 발생하거나 사고가 발생한 후에 조사를 수행하는 방화벽, 침입탐지시스템 (IDS), 맬웨어 샌드박스 및 SIEM 시스템 등과 같은 기존 보안관리 방법과는 대조적이다”라고 밝히고 있다. 즉, 기존 보안방법으로는 관리할 수 없는 20%의 위협과 진행 중인 침해 활동을 능동적으로 관리하기 위한 방법이다.

즉, 보안관제에서 놓치는 20%의 위협을 피해가 발생하기 이전에 탐지하여 대응하기 위한 위협 헌팅 활동을 수행하여야 하는데, 위협 헌터들은 보안 관제요원들이 사용하는 도구와는 완전히 다른 별도의 풍부한 네트워크 데이터 및 엔드포인트 데이터를 제공하는 도구가 필요하다.

이를 위해서는 실시간 분석을 지원하는 동시에 풍부한 정보를 제공하는 네트워크 기반 탐지 및 대응과 엔드포인트 기반 탐지 및 대응 솔루션을 동시에 활용하여야 한다. 이러한 도구들을 활용하여 능동적이고 적극적인 위협 헌팅 활동을 통하여 기존 보안관제에서 놓치는 20% 위협에 대한 관리활동을 능동적으로 수행하여야 한다고 보고서는 소개했다.

전덕조 씨큐비스타 대표는 "최근 북한과 러시아, 중국, 이란 등 국가의 지원을 받는 해커집단의 공격이 크게 늘고 있고 이에 따른 피해도 급증하고 있는 추세"라며 "이들 국가 지원 해커 공격을 막기 위해서는 기존 보안관제 외에 실시간 분석과 네트워크 및 엔드포인트 기반 탐지, 대응 솔루션을 동시에 활용해야 한다"고 덧붙였다.