어떤 공격그룹이 무슨 목적을 갖고 어떻게 공격하는지 파헤쳐야
세계적인 APT 공격 추적그룹 맨디언트 사례로 본 침해대응 방안 

[보안뉴스 김지언] APT 공격 등 점차 고도화되어 가는 사이버공격을 효과적으로 예방하고, 침해사고 발생시 해커그룹 등 사이버범죄자들을 보다 신속히 추적하기 위해서는 어떤 노력들이 필요할까? 

그럼 공격자들이 자신들이 탈취한 정보를 외부로 빼돌리기 위해 어떤 디렉토리를 선호하는지, 어떤 툴을 사용하는지 등을 솔루션에 그대로 녹여 솔루션을 통해서도 정상 사용자인지 여부를 파악할 수 있다는 파이어아이 보안컨설팅그룹 맨디언트는 어떤 방식으로 침해사고에 대응하고 있을까?  

맨디언트 그룹에 대한 소개에 이어 이번에는 그들만의 침해사고 대응 노하우를 동북아시아 침해대응을 총괄하고 있는 한국인 보안전문가 심영섭 이사를 통해 들어봤다. 

침해사고 발생시 맨디언트내 역할 분담_ 맨디언트는 업무 영역에 따라 악성코드 분석팀, 인텔리전스팀, 침해사고 조사 및 컨설팅팀 크게 3개 팀으로 나뉘어 있다.

기존 벤더들은 시그니처를 만들기 위해 분석하는 것이 주요 목적이라면 우리 악성코드 분석팀은 악성코드 안에서 침해지표를 찾는 것에 목적을 두고 있다. 악성코드 안에서 침해지표를 찾고 공격그룹의 특징을 뽑아내는 것이 이들이 하는 일이다. 이 악성코드가 무슨 목적으로 어떠한 기능을 하는지, 어떤 그룹과 연관되어 있는지를 조사한다. 정확하게는 인텔리전스와 관련된 부분은 인텔리전스팀이 악성코드에서 나온 자료를 바탕으로 분석하고 악성코드 분석팀은 침해지표를 만들어서 침해사고 조사팀에게 준다. 그렇기에 일반 악성코드가 발견되면 우선순위를 높게 두지 않고 표적형 공격에 사용된 악성코드에만 초점을 두고 있다.

인텔리전스팀은 각각의 공격그룹을 프로파일링하고 특징을 추적하는 팀이다. 따라서 해당 팀 구성원들은 인텔리전스 경험이 많은 전문가들로 구성돼 있다. 컴퓨터사이언스, 문화학, 언어학, 정치학, 경제학, 사회학 등 각각의 전문가들이 자신들의 전문지식을 바탕으로 공격그룹을 분석하는 것이다. 이들은 단순히 표적형 APT 공격이 발생했다는 정보가 아니라 어떤 공격그룹인지, 어떠한 동기를 갖고 공격을 감행한 것인지, 어떤 도구를 사용하는지 등을 프로파일링해 어떤 국가에서 어떤 그룹이, 어떠한 목적을 갖고 어떤 캠페인에 의해 공격을 한 것인지에 대한 인텔리전스를 제공한다. 또한 비슷한 규모의 다른 피해기업 통계를 분석해 침해사고 발생 기업이 어느 정도의 피해가 예상되는지와 어떠한 조치가 필요한지를 알려준다.

침해사고 조사팀은 그 기업에서 발견된 침해지표 제공하는 동시에 복구 대책을 제시하는 팀이다. 침해사고를 당한 기업에게 어떤 그룹이 어떠한 목적을 갖고 어떤 툴들을 이용해 내부에 들어왔는지, 어떤 호스트를 침해했으며, 어떤 계정을 탈취했는지, 공격그룹이 어떤 패턴을 갖고 있는지 등을 제공하며 복구대책과 권고사항을 제공하는 팀이라고 보면 된다. 일례로 해당 단말은 재설치가 필요하고, 유출된 계정은 재설정이 요구되며, VPN이 단일인증방식이기 때문에 이중인증이 필요하다는 것 등이다.

특정 호스트나 하드디스크만 조사하다보면 특정 호스트에 중점적으로 결과가 나올 수 밖에 없다. 그러나 우리는 전체 호스트를 조사하기 때문에 악성코드에 감염되지 않았더라도 침해 당한 호스트를 확인할 수 있으며, 최초 어디서부터 어떤 방법으로 침입해 내부에는 어떤 경로를 통해 침입한 것인지, APT 공격그룹이 자신들의 목적을 달성했는지, 유출된 데이터가 무엇인지까지 제공할 수 있다.

해커조직들의 공격단계_ 공격에는 각 단계가 있다. 예를 들어 초기단계에서는 침입을 위해 제로데이 취약점을 이용하는 방식 등을 취하며, 침입에 성공하면 외부에서 접속을 할 수 있도록 세션을 맺는다. 이후 권한상승을 한 뒤 최초 침입 PC가 최종 목적지가 아니라면 다시 기업 내부망을 조사해 목적지로 가기 위한 타깃을 찾고 그 타깃으로 가기 위해 공격을 한다. 이후 새로운 타깃이 된 시스템에서도 툴 설치 등 외부에서 안정적으로 접속할 수 있는 접근방법을 확인하고 이 시스템이 최종 목적지가 아닌 경우 최종 목적지에 다다를 때까지 계속 이동한다.

맨디언트의 침해사고 추적방식_  공격자들의 공격기법을 지난 10년간 추적해 오면서 공격자들이 일정한 특징을 갖고 있다는 것을 알게 됐다. 보통 공격그룹들은 유사하면서도 자신들만의 특정한 패턴을 따르는데 각 공격단계별로 공격자들이 남기는 흔적을 데이터베이스화 해두었다. 이를 침해지표(IOC)라 부르며, 맨디언트는 10년간의 침해사고 조사경험을 바탕으로 침해지표를 확보하고 있다.

공격자들은 공격하는 각 단계별로 남기는 흔적과 애용하는 툴이 있다. 예를 들어 최종 목적지에 도달해 자료를 갖고 나가기 위해서는 가지고 나갈 자료를 한곳에 모아두는데 각 APT 그룹별로 모아두는 디렉토리가 다르기에 하나의 흔적이 될 수 있다. 또한, 공격그룹들은 그 경로에 자료를 다 모아두고 압축하는 과정에서 대부분 암호를 설정해 두는데 그 암호도 그룹마다 모두 다르다.

원격 접속을 해 직접 들어오는 경우에도 원격 접속 PC 이름 등이 흔적이 될 수 있고, 공격그룹이 파일을 하나를 실행했더라고 흔적이 다 남는다. 이런 것을 침해사고 조사할 때마다 침해지표로 만들어 계속 업데이트하고 침해사고 투입 시 이를 이용해 침해흔적을 추적하게 된다.

그렇게 되면 흔적들이 조금씩 발견되는데 흔적이 발견된 PC를 좀 더 깊게 조사하면 기존에 발견하지 못했던 더 많은 흔적들을 발견할 수 있다. 이것을 이용해 또다시 침해지표를 만들고 다시 또 전체를 조사하는 과정을 반복한다. 이 과정에서 새로운 악성코드를 발견하게 되면 분석 후 침해지표를 만든다. 이러한 과정을 반복하다보면 침입자가 남긴 흔적을 통해 패턴을 알 수 있다. 이 패턴들이 특정 공격그룹에서 사용하는 패턴임을 알고 있다면 해당 그룹에게 공격을 당했을 가능성이 커지게 되는 것이다.

APT 공격시 침해대응 노하우_  대부분의 기업들은 사전예방적인 측면에 많은 투자를 하고 있다. 이 자체가 무의미한 것은 아니지만 투자가 너무 사전예방 탐지에만 집중돼 있다는 것이다. 그것도 시그니처 기반 탐지기술에만 말이다.

물론 공격자들도 이미 알려진 공격을 이용해 공격을 하기 때문에 시그니처 기반의 탐지도 중요하다. 그러나 문제는 이를 우회하는 경우다. 그 예로 입구에 보안정책을 아무리 잘하고 있어도 직원 PC를 통해 접근한다던지, 아웃소싱 업체나 파트너사와 같이 신뢰할 수 있는 통로를 통해 접근한다면 탐지가 쉽지 않다. 해당 기업 및 기관에서 가장 낮은 부문의 보안수준이 바로 해당 기업의 보안수준이 되기 때문이다. 

그래서 침해사고 이후 침해를 발견·분석·대응하는 부분에도 투자가 필요하다. 먼저 이미 알려진 공격에 대해서 탐지할 수 있는 것은 물론이고 제로데이와 알려지지 않은 공격에 대해서도 탐지할 수 있는 보안 솔루션에 대한 투자가 필요하다.

또한 침해가 발생했을 때 이를 분석할 수 있는 침해분석 솔루션이나 방법론 개발, 침해사고 분석 후 복구를 위한 투자 등도 요구된다.

이외에도 네트워크 전체나 공격 포인트에 대한 가시성을 확보하고 229일까지는 보관하지 못할지라도 적어도 몇 주 전이라도 과거 데이터를 유지하고 있어야 초기 어떤 경로로 침입해서 어디까지 피해를 입혔는지 추적할 수 있다.

네트워크 단에서 가시성을 확보하기 위해서는 가능한 전체 패킷을 보관하고 네트워크 세션정보와 통신정보를 유지해야 하며, 엔드포인트에서도 포렌식을 할 수 있는 자료를 최대한 많이 확보해 두어야 한다. 이 부분에 기업들이 많이 투자해야 한다.

어떤 식으로 침해사고가 발생할지 모르기 때문에 솔루션을 도입하고 알아서 막아 주겠지라는 생각에서 벗어나 침해사고가 발생했다는 사실을 탐지하는데 소요되는 시간과 해결하는데 걸리는 시간을 최소화함으로써 공격자가 목적 달성을 하지 못하게 하는데 초점을 맞춰야 한다.

주요 기간망 해킹시 해당 기관의 인지여부_ 예전 공격자들의 성향을 보면 일반 개인들이 자기 만족을 위해 해킹시도를 했다. 그러나 최근에는 기업적·국가적 형태로 공격성향이 변하고 있다. 기업화된 금융사업 형태나 국가기관에 직접적인 지원을 받으면서 국가간 사이버전쟁 형태로 발전하고 있는 것이다.

공격의 목적이 변모하면서 공격그룹들은 보안도구 우회 연구를 활발히 하고 있다. 이는 공격자들이 시그니처 기반 대응 솔루션을 뚫을 수 있는 대안이 있어 우회공격이 가능하다는 의미이기도 하다.

이들 공격그룹들은 기존의 IDS, 백신, IPS 등에 자신들의 공격이 탐지되지 않는 다는 경로를 확인한 뒤 공격도구들을 이용해 침입한다. 즉, 초기 공격 단계에서는 잘 준비된 조직이 장기간에 걸쳐 충분한 검토를 한 후 공격하기에 탐지가 매우 어렵다는 얘기다.

실제로 맨디언트는 매년 침해사고 조사결과를 모아 보고서를 발행하는데, 지난해 보고서에 따르면 실제 침해사고가 발생해서 확인하는 데 평균 229일이 걸렸다. 짧게는 수주만에 발견하거나 길게는 몇년이 지나도 침해사실을 전혀 알지 못한 경우도 있었다. 229일이 지났다는 것은 이미 해커들이 목적을 달성한 후라고 볼 수 있다.

흥미로운 점은 공격시도가 탐지되지 않은 기관이나 기업의 보안 솔루션은 최신 버전으로 업데이트돼 있었다. 국가적 차원에서 사이버 위협이 발생하고 있기에 일반적인 보안 솔루션으로 충분히 방어하고 신속히 대응하기가 쉽지 않다는 것이다. 

한 예로, 중동지역에서 군사적·정치적 목적으로 공격 캠페인이 벌어진 경우가 있었다. 당시 USB를 이용한다던지 특정한 국가기관 산업망에서만 동작하도록 설계되었다던지 등과 같이 특정 조건에서만 악성코드가 동작하도록 개발함으로써 탐지가 전혀되지 않았고, 결국 국가기관망이 부분적으로 마비된 사건이었다.

따라서 완벽한 사전예방이 불가능하다면 침해사고 발생 초기에 침해 여부를 발견하고, 침입자가 목적을 달성하기 전에 차단해야 피해를 최소화할 수 있다. 또 공격그룹들은 목적을 달성한 후에도 최신 정보를 업데이트 하기 위해 백도어를 설치하는 등 접속방법을 유지하며 기업의 최신 정보를 탈취해가기 때문에 빠른 시일 안에 침해 여부를 파악하고 대응하는 것이 중요하다.

한국 기업에게 필요한 대응자세_  그 동안 몰랐을 뿐이지 실제 공격그룹들은 미국만을 대상으로 공격하지 않았다. 한국과 일본 등에도 관심이 많다는 얘기다. 이들 공격그룹들은 유명기업을 대상으로 공격하는 것이 아니라, 핵심기술을 가진 중소기업 등도 공격목표로 정한다. 특히, 규모는 작지만 독점적인 기술을 가지고 큰 매출을 자랑하는 회사라면 언제든지 타깃이 될 수 있다. 따라서 우리는 공격 타깃이 되지 않겠지라는 안이한 생각에서 벗어나야 한다. 맨디언트의 10년간 축적된 기술을 잘 활용한다면 한국과 일본에서 활동하는 공격그룹들을 재빠르게 프로파일링할 수 있을 뿐더러 한국의 IT 및 정보보안 발전에도 상당히 도움이 되리라 예상한다.
[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>