• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

당신 네트워크 안의 은밀한 해골, 스켈레톤 키 2015.01.14

일반 사용자처럼 위장하기 때문에 행동 분석에서도 특이점 사라져

트래픽을 발생시키지 않아 네트워크 감시 시스템도 무용지물


[보안뉴스 문가용] 네트워크 내에서 공격자의 존재를 알려주는 두 가지 힌트가 있는데, 네트워크 감시 소프트웨어와 비정상적인 사용자 행동 패턴이다. 하지만 이 둘을 모두 통과하는 새로운 멀웨어가 나왔으니 바로 ‘스켈레톤 키(Skeleton Key)’라고 한다.


스켈레톤 키 멀웨어는 델 시큐어웍스의 위협대항팀(Counter Threat Unit : CTU)에서 발견한 것으로 다중인증이 아니라 단(單)중인증(single-factor authentication)을 사용하고 있는 액티브 디렉터리(Active Directory) 시스템은 우습게 통과한다. 델 시큐어웍스의 발표에 따르면 “스켈레톤 키는 피해자 컴퓨터에 있는 액티브 디렉터리 도메인 컨트롤러의 인메모리 패치인 것처럼 배포되며 이를 의심 없이 받은 사용자는 당연히 의심 없이 평소처럼 인승절차를 거칩니다”라고 한다.


그러니 공격자는 특별히 로그인 정보를 따로 훔칠 필요 없이 자연스럽게 보통의 사용자인 척 할 수 있게 된다. 피해자의 원래 암호를 바꿀 필요도 없어 나중에 피해자가 암호 때문에 관계 기관이나 업체에 신고나 질문글을 올리는 일도 방지할 수 있다.


스켈레톤 키가 그렇다고 완전무결한 건 아니다. 당연히 약점이 존재한다. 적어도 시큐어웍스가 발견한 샘플들에는 몇 가지 약점이 있었다. 가장 큰 약점은 실제 공격이 이루어지기 전에 네트워크의 관리자 계정에 접근할 수 있어야 한다는 것이다.


그러나 이는 커다란 의문이 생기게끔 한다. 관리자 계정에 접근할 수 있다면 왜 굳이 멀웨어를 설치해서 일반 사용자처럼 로그인하는 수고를 또 해야 하냐는 것이다. 그 이유 중 하나는 사용자 행동 분석을 빠져나가기 위해서다.


“스켈레톤 키 멀웨어의 가장 큰 장점은 행동 분석 시 공격자나 일반 사용자나 전혀 다르지 않게 보이게 만든다는 겁니다. 사용자의 기존 암호를 그대로 사용하니까요. 웹메일이나 VPN의 경우 원격에서도 실행할 수 있습니다. 자기 원래 암호로 로그인 하면 관리자가 보기에 그냥 평범한 활동으로밖에는 파악이 되지 않습니다. 의심이라는 걸 아예 발생시키지 않아요. 그래서 잡기가 참으로 까다로운 겁니다.”


공격자가 인사부 총괄 책임자의 계정으로 평소처럼 로그인했다면 어떻게 될까? 직원들의 데이터베이스에 접근하는 게 전혀 이상해보이지 않는다. 영업부서장처럼 로그인 했다면? 카드나 지불과 관련된 데이터베이스에 접근해도 일말의 의심도 받지 않는다. 나쁜 의도를 가진 공격자로서는 이보다 더 좋을 수가 없다.


스켈레톤 키의 또 다른 약점은 지속적인 공격을 하지 못한다는 것이다. 즉 도메인 컨트롤러가 새로 부팅되거나 하면 스켈레톤 키 역시 또 다시 설치되어야 한다. 그 말은 시스템에 남아 지속적인 공격을 할 수 있는 또 다른 멀웨어를 필요로 한다는 말과 같다. “짧게는 8시간 내에, 길게는 8일 안에 도메인 컨트롤러를 다시 시작했을 경우 공격자는 원격에서 시스템에 남아 접근을 하게 해주는 또 다른 멀웨어를 활용해서 스켈레톤 키를 다시 설치했습니다.”


스켈레톤 키를 감지해내는 게 어려운 또 다른 이유는 네트워크 트래픽을 전혀 발생시키지 않는다는 특성 때문이다. 네트워크를 감시하는 시스템인 IDS나 IPS와 같은 경우 스켈레톤 키 멀웨어 앞에 무용지물이 된다.


“요즘 해커들은 굉장히 장기간 캠페인을 벌입니다. 그래서 트래픽을 필요 이상으로 올리지 않고, 조금씩 조금씩 활동하는 것이죠. 도메인 로그인 정보를 계속해서 사용해 중요한 정보에 접근하면 네트워크 감시 프로그램에서 알아챕니다. 스켈레톤 키처럼 굉장히 잡아내기 힘든 멀웨어라도 계속해서 사용하다보면 도메인 컨트롤러 복제 문제가 발생하고, 이는 시스템을 껏다가 다시 켜야 해결할 수 있는 문제로 파악됩니다. 그래서 사용자가 시스템을 리부팅 시키죠. 그러면 스켈레톤 키 역시 사라집니다.”


그러나 제일 큰 약점은 이중인증만 적용해도 스켈레톤 키는 절대 활동이 불가능해진다는 것이다. 이중인증을 도입하면 이런 저런 생각하지 않아도 단번에 스켈레톤 키에서 자유로워질 수 있다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>