지난 한 해 기업들 사이에서 발생한 정보 침해 사건 중 71%가 ‘조용히’ 일어났다. ‘조용히’ 일어났다는 건 공격자들이 특별한 도구를 사용하지 않고, 오히려 피해자들의 도구를 적극 활용했다는 뜻이 된다.

[보안뉴스 문정후 기자] 아무런 흔적도 남기지 않고, 아무런 소란도 떨지 않으면서 침투할 곳은 다 침투해 훔쳐갈 것을 다 훔쳐가는 데에 공격자들이 점점 능숙해지는 중이다. 이들은 보이지도 않고 느껴지지도 않는다. 보안 업체 크라우드스트라이크(CrowdStrike)의 CEO 조지 커츠(George Kurtz)는 2022년 한 해 동안 발생한 모든 사이버 공격의 71%가 멀웨어 없이 발생했다고 설명한다.


올해 RSAC의 강연자로 선 커츠는 무대에서 공격자들이 얼마나 쉽게 기업 네트워크에 침투하고 횡적으로 움직이는지를 선보였다. 침투하고, 횡적으로 움직이고, 계속 네트워크에 남아서 필요한 일들을 하는데 아무런 경보도 울리지 않고, 흔적도 남지 않음을 계속해서 강조했다. 그러므로 보안 담당자들은 보이지 않는 것을 보아야 하고, 느껴지지 않는 것을 느껴야 하는 상황에 처하게 된다고 그는 설명했다. “보이지도 않고 느껴지지 않는 건 멀웨어를 사용하지 않기 때문입니다.”

그러면서 커츠는 스파이더(Spider)라는 사이버 공격 단체를 예로 들었다. “스파이더는 대단히 영리하고 교묘하며 가진 자원도 풍부한 단체입니다. 무엇보다 피해자가 보유하고 있는 도구들을 상황에 맞게 활용하여 자신들의 목적을 달성하는 데 전문가죠. 피해자의 도구를 사용하니 경보가 울릴 리도 없고 흔적이 남을 리도 없습니다. 그러면서도 자신의 할 것은 알차게 다 할 수 있습니다. 강력한 미래형 멀웨어니 뭐니 개발할 필요도 없어지죠.”

멀웨어가 없는 공격이란
스파이더는 공격을 실시하기 전에 제일 먼저 표적에 대한 강도 높은 정찰을 진행한다. 커츠에 따르면 “범인들은 공격 표적이 된 회사의 고객 센터에 전화를 걸어 한 시간도 넘게 통화를 하고 질문을 하면서 내부 사정을 파악하려 애쓰기도 한다”고 한다. 웹사이트나 소셜미디어에서 얻을 수 있는 정보에 없는 것들을 찾아내는 게 이런 활동의 목표가 된다.

그렇게 성심성의껏 정찰을 진행한 후 특정 사용자를 공격 대상으로 지정한다. 공격 표적이 ‘한 기업’에서 ‘한 인물’로 구체화 되는 것이다. 스파이더는 그 인물과 음성 통화를 실시해 ‘당신의 크리덴셜이 침해됐다’고 알린다. 그리고 악성 링크를 전송해 ‘보다 정확한 확인을 위해 로그인 크리덴셜과 다중인증 정보를 입력하라’고 요구한다. 피해자가 속아서 정보를 정직하게 입력하면 스파이더는 쓸모 있는 정보를 보유하게 된다.

그 후 스파이더는 테일즈(Tails) OS와 이블징크스2(Evilginx2)라는 도구를 활용해 애니데스크(AnyDesk) 계정을 하나 만든다. 이 계정은 피해자의 크리덴셜을 가지고 만들어졌지만 공격자가 통제할 수 있게 된다. 애니데스크는 원격 데스크톱 지원 도구 중 하나로 일반 사용자들이나 공격자들 사이에서 모두 인기가 높다. “공격자가 애니데스크를 통해 접속해도 피해 기업 입장에서는 직원이 정상적으로 업무 도구를 사용해 접속하고 있는 것처럼 보입니다.”

그 외에도 스파이더는 디지털오션 드롭릿(DigitalOcean Droplet)과 같은 도구를 일종의 가상기계처럼 활용하기도 한다. 이 역시 정상적인 클라우드 및 가상기계 서비스이므로 수상하게 보이지 않는다. “이런 식으로 스파이더는 갖가지 ‘정상 도구’ 혹은 ‘피해자가 이미 설치해 사용하고 있는 도구’를 적극 활용함으로써 ‘지속적인 출입이 가능한 주체’가 됩니다. 피해자의 네트워크에 마음대로 접속했다가 마음대로 움직이고 마음대로 데이터를 빼낼 수 있게 됩니다. 그 피해자의 온프레미스 네트워크가 클라우드와 연동이라도 된다면 피해는 더 커질 수 있습니다.”

이 지점에서 커츠는 네트워크 관리자나 보안 담당자들이 흔히 하는 큰 오해를 하나 지적하며 바로잡는다. “공격자가 우리 네트워크에 접속해 새로운 사용자 계정을 하나 만들려고 할 때, 공격자가 반드시 관리자 권한을 가지고 있어야 한다고 많이들 생각합니다. 큰 오해입니다. 관리자 권한 없이도 공격자가 새로운 사용자 계정을 생성할 수 있습니다. 권한이라는 것을 위임할 수 있기 때문입니다. 예를 들어 고객 관리 시스템에서는 권한을 양도하거나 열어두는 경우가 비일비재 하죠. 관리자 권한을 가져오는 것보다 쉬운 방법들이 얼마든지 존재합니다.”

이런 식의 멀웨어 없는 공격, 어떻게 막는가?
멀웨어 없는 공격의 핵심은 공격자가 피해자의 네트워크에 카멜레온처럼 들어와 눈치를 챈다는 게 여간 힘든 일이 아니라는 것이다. 엔드포인트의 탐지 도구를 설치하거나 최신 멀웨어 탐지 도구를 사들여도 소용이 없다. 그도 그럴 것이 ‘멀웨어가 없으니까.’ 탐지할 것이 없는데, 탐지를 전문으로 하는 도구가 무슨 소용이 있겠는가.

“대신 엔드포인트에서부터 클라우드와 관리자 아이덴티티에 이르기까지 가능한 모든 텔레메트리 정보를 수집하세요. 아주 작은 세부 사항까지도 놓치지 말고요. 그런 데이터 사이에서는 분명 정상적이지 않은 뭔가가 있기 마련입니다. 멀웨어 탐지로는 찾을 수 없는 것들이 나타납니다.”

다만 이 방법의 문제는 업무량이 지나치게 늘어난다는 것이다. 방대한 양의 정보를 수집하는 것이나 분석하는 것이나, 재빠른 대처를 하기에는 부족한 방법이다. “그렇기 때문에 인공지능이나 머신러닝을 기반으로 한 도구를 활용하는 게 중요합니다. 방대한 데이터 속에는 은밀하게 생성된 계정, 수상한 시간에 이상한 주기로 접속하는 직원 한 명 등에 관한 것들이 있습니다. 이걸 찾으려면 이전과는 다른 기술을 활용해야 합니다.”

그러면서 커츠는 “다중인증 시스템을 유지하는 게 중요하다”고 설명을 덧붙인다. “요즘은 다중인증도 막 뚫립니다만, 그럼에도 다중인증을 유지하는 건 필수적인 일입니다. 그만큼 공격자들 편에서 투자해야 할 자원과 시간을 늘리는 것이기 때문입니다. 좋은 ‘보안 실천 사항’ 대부분 공격을 100% 막아준다는 면에서 의미를 갖는 게 아닙니다. 공격자들을 지연시키고 자원을 낭비시키는 것이죠. 그걸 우리 모두 전체가 한다면 공격자들의 움직임은 크게 위축될 겁니다.”

3줄 요약
1. 최근 늘어나고 있는 ‘멀웨어 없는’ 사이버 공격.
2. 이런 류의 공격은 공격자들이 피해자 환경에 녹아들어가 파악하기가 어렵다는 것이 강점.
3. 네트워크 내 수많은 데이터를 수집해 분석하면 이상한 점이 발견됨.
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>