해커들 사이 최근 유행은 보안 소프트웨어 통한 우회 공격

보안 소프트웨어에 있는 기능이 오히려 해킹에 도움 되기도

[보안뉴스 문가용] 보안이라는 임무가 앞으로 더 어려워질 전망이다. 해커들이 IT 업계에서 흔히 사용하는 툴 혹은 서비스를 통해 자신들의 공격 행위를 살짝 가려내기 때문이다. 이미 이를 감지한 보안 전문가들은 드롭박스나 워드프레스 등 일반 사용자가 광범위하게 퍼져 있는 툴이 해커들의 아지트로 전락하는 걸 계속해서 관찰해왔다.

이러한 예로는 작년 뉴욕 타임즈를 공격했던 DNSCalc라는 그룹이 있다. 이들은 드롭박스를 통해 멀웨어를 퍼트리고, 워드프레스를 C&C 인프라처럼 사용해 감염된 시스템을 공격했다.

최근 블루코트랩스(Blue Coat Labs)와 캐스퍼스키에서 근무하고 있는 연구원들은 인셉션(Inseption)이라는 사이버 스파잉 캠페인에 주목하기 시작했다. 클라우드미(CloudMe)라는 무료 호스팅 서비스와 가상 사설 네트워크를 가지고 시스템에 침투해 원격 조정을 구현했기 때문이다.

이처럼 감지를 우회하기 위한 해커들의 방식이 사용자가 많은 툴 및 서비스로까지 확대되고 있다는 게 보안 전문가들의 분석이다. 보안 및 위기 관리 컨설팅 회사인 네오햅시스(Neohapsis)는 공격 툴과 방어 툴의 경계가 확실하게 무너지고 있다고 말 할 정도다. 2015년을 전망하는 보고서에서 네오햅시스는 해커들이 심지어 포렌식 툴들도 사용해 암호를 훔치고 데이터 위치를 파악할 것이라고 내다봤다. “합법적이고 강력한 보안 툴을 정 반대의 목적으로 사용한 공격이 등장할 것 같습니다.”

예를 들어 중앙화된 패치 관리 시스템을 사용해 악성 코드를 배포한다거나 로컬에 설치된 백신 프로그램을 사용해 프로세스를 스캔할 수 있다거나 하는 등의 공격이 이제 이루어질 것이라는 뜻이다. 취약점 스캐닝 시스템을 활용한다면 어떻게 될까? 네트워크 전체에 대한 지도를 손쉽게 구할 수 있게 된다. “실력 좋은 해커들이라면, 어차피 저희가 사용하는 보안 툴들도 다 소프트웨어의 일종이니 쉽게 뚫어낼 수 있습니다.”

해커들이 이렇게 하는 목적은 당연하다. 이상 행위와 정상 행위의 구분을 모호하게 만드는 것이다. 그래야 감지 시스템을 눈 멀게 할 수 있으니까 말이다. 비욘드트러스트(BeyondTrust)의 마크 마이프렛(Marc Maiffret)은 다음과 같이 말한다. “기존의 시스템 툴을 오히려 역으로 활용하려는 움직임이 해커들 사이에서 일고 있습니다. 공략이 어렵긴 하지만 한 번만 성공하면 운신의 폭이 상상하기 힘들 정도로 넓어지니까요.”

해커들 입장에서 네트워크를 공격할 수 있는 신박한 코드를 창조하려고 고심하는 대신 이미 누군가 만들어놓고 사용자가 깔아놓기까지 한 IT 툴들과 운영 시스템의 기능을 활용하는 편이 더 효율이 높기도 하다. 최초 진입점이 되는 곳 하나만 뚫어낼 수 있을 정도의 코딩 고민만 있으면 되기 때문이다. 어떻게든 한 번만 뚫어내면 기존의 IT 툴들을 통해서 전체 네트워크를 손바닥 위에 올려놓을 수 있게 된다.

당연하지만 이는 결코 희소식이 될 수 없다. 특히 요즘처럼 공격자들이 눈에 띄든 말든 거의 ‘힘’으로 뚫고 들어오다시피 해서 빠르게 필요한 걸 빼가는 방식이 아니라 천천히, 그것도 대단히 천천히, 중요한 데이터를 빼내는 시대에는 더욱 그렇다. 올해 타깃(Target), 홈데포(Home Depot), 미국 우체국 등에서 발생한 굵직굵직한 자료 도난 해킹 행위는 전부 장시간에 걸쳐 중요한 정보들이 빠져나간 사건이었다. 불법 정보 전송이라는 행위가 네트워크 상에서 이루어지는 기타 정상 트래픽과 구분하기가 힘들 정도인 상태가 꽤나 유지되었기 때문에 가능한 일이었다.

이전 해커들의 주요 목표는 시스템에 침입하고 정보를 훔친 후 빠르게 발을 빼는 것이었다는 게 네오햅시스의 조셉 슈마허(Joseph Schumacher)의 설명이다. 그런 노력이 계속되다보니 클라우드 서비스나 아카마이(Akamai)와 같은 CDN을 악용해 멀웨어를 퍼트리는 방식이 유행했다. 이는 마침 대용량이나 클라우드에 대한 기업 생산 부서의 수요가 늘어나면서 더 빠르게 퍼졌다. “아마존 클라우드 같은 걸 사용하면 가상 기기를 복제해 하나의 인스턴스가 다운 되었을 때 곧바로 나머지 인스턴스를 통해 거의 즉시 복구시키는 게 가능하니 편리합니다.”

그러나 해커들은 여기에 만족하지 않았다. 그리고 클라우드를 넘어 시스템 관리자들이 흔히 사용하는 툴들을 사용해 보다 활발한 공격을 펼치는 지경에까지 이르렀다. 좋은 예로 시스인터널즈(Sysinternals)라는 툴이 있다. 이는 관리자들이 보안 점검을 하기 위해 사용하는 화이트 해킹 툴이다. 이 툴에 로그인만하면 합법적으로 원격 컴퓨터로의 조정이 가능해진다. 당연히 해커들이 군침을 흘릴만한 기능이 아닐 수 없다.

“원격 조정이라니, 해커들이 제일 좋아하는 거 아닙니까? 관리자도 마찬가지고요.” 오늘날 백신 프로그램 대부분이 정상 툴까지도 해킹 툴이라고 감지하는데, 이는 전적으로 공격자들의 상상을 뛰어넘는 활용성 때문이다. 모든 툴을 잠재적 해킹 툴이라고 결론내려야 할 시대인 것이다. 비슷한 이유로 해커들의 주요 목표가 되고 있는 것에는 윈도우 리모트 데스크톱도 있다. “아직 악성 해커들이 윈도우 리모트 데스크톱 사용하는 걸 별로 본 적이 없습니다만, 워낙에 기본 기능이라 누구나 잘 알고 있는 것이기도 합니다. 언제든지 악용의 소지가 있는 것이죠.”

가뜩이나 사람도 없고 할 일은 넘쳐나는 보안 업계에 비상등이 또 하나 켜졌다. 문제가 더 복잡해지고 따라서 난이도도 올라갔다. 하지만 관리자들이 이에 대해 충분한 지식을 가지고 있다면 공격의 지각 전체가 흔들릴 정도로 큰 사건은 아니라는 게 슈마허(Schumacher)의 평가다. “이게 그리 큰 발견이라고 보지는 않습니다. 우회로가 하나 더 생긴 것이고 달아볼 무게가 조금 늘었다는 뜻입니다. 지각변동으로까지 표현할 만한 내용은 아닌 듯 합니다.”

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>