• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

최근 사이버 공격의 트렌드, 파워셸 통해 숨기 2016.04.18

얼마 전까지 ‘고급’ 공격이었던 파워셸 익스플로잇, 대세되는 중
안전이 제일 중요하다면 파워셸 사용 전면 금지도 고려해봄직

[보안뉴스 문가용] 운영체제에 기본으로 탑재되어 있는 툴들을 활용해 공격을 숨기는 방식이 점점 유행하고 있다. 그 중에서도 사이버 범죄자들 사이에서 가장 많은 사랑을 받고 있는 건 파워셸(PowerShell)이라는 명령 셸로, MS가 2009년부터 윈도우 OS에 삽입하기 시작한 것이다.


보안 전문업체인 카본 블랙(Carbon Black)은 최근 1100건의 보안 관련 사건들을 분석해 파워셸의 악용이 사이버 공격자들 사이에서 얼마나 확대되고 있는지 파악했는데, 해당 사건들의 피해자 중 31%가 파워셸 익스플로잇에 대해 잘 모르거나, 전문가의 수사가 있기 전까진 알아채지 못했다고 답했다. 공격의 1/3이 적어도 파워셸로 인해 성공적으로 ‘숨겨진다’는 것.

파워셸을 통한 공격으로 범죄자들이 하는 활동 중 가장 흔한 건 C&C 통신이다. 또한 한 번 침투에 성공한 공격자들이 네트워트 내에서 동-서로 움직이려고 할 때 역시 파워셸을 많이 활용하는 것으로도 드러났다. 로그인 정보를 노리거나 권한 상승 공격을 하려는 범죄자들 역시 이 파워셸 공격을 상당히 애용하는 것으로 조사됐다.

파워셸을 악용하는 공격들 중 85% 이상이 클릭사기, 랜섬웨어, 가짜 백신 등 ‘평범한’ 공격들이었다. 공격 목적은 고객 정보 혹은 금융 정보를 훔치는 것이 대부분이었으며 지적재산이 그 뒤를 이었다. 서비스 방해 및 영업 방해 등의 공격도 있었다. 13%는 표적형 공격이었다고 카본 블랙은 밝히고 있다.

파워셸은 반복적인 업무를 자동으로 처리할 때 주로 사용되는 것으로 시스템 관리 기능에 주로 활용된다. 그러므로 원격에서 시스템에 접속하려는 관리자들이 주로 활용하는 툴이기도 하다. 또한 윈도우 환경에서 굉장히 널리 활용되고 있으며 합법적인 활동에 대부분 사용되므로 범죄자들이 자신들의 행적을 숨기기에 안성맞춤이다.

“파일 시스템을 건드리지 않고도 코드를 유동적으로 로드하고 실행할 수 있게해주는 파워셸은 사실 ‘편리’를 바탕으로 하고 있는 기능이라 ‘보안’과 많이 동떨어져 있습니다. 실제로 안전하게 만드는 것이 상당히 어려운 기능이기도 합니다.” 카본 블랙의 설명이다.

가장 흔한 공격 방식은 피싱 이메일 및 소셜 엔지니어링 기법이다. 특히 MS 오피스 문서가 첨부되어 있는 경우가 많다. 첨부되어 있지 않은 경우 다운로드가 가능한 링크가 메일 내에 삽입되어 있다. 이 문서를 열 경우 사용자들은 ‘매크로 보안 기능을 해제하라’는 메시지를 접하게 된다.

“매크로 기능을 활용하는 기업들이 굉장히 많죠. 사실 그래서 매크로 보안 기능을 해제할 필요도 없는 사용자가 많습니다.” 카본 블랙의 수석 위협 분석가인 리코 발데즈(Rico Valdez)의 설명이다. “게다가 이미 피싱에 속았을 정도면 해당 파일을 전혀 의심하지 않고 있다고 봐도 무방합니다. 결국 매크로를 통한 악성 행위가 재빨리 퍼질 환경이 마련되는 것입니다.”

“파워셸을 이용한 공격은 비교적 최근까지도 ‘고난이도’ 공격으로 간주되었습니다. 하지만 이번 분석결과가 보여주듯, 비교적 평범하고 널리 알려진 공격들과 접목이 되고 있죠. 공격 기술의 발전이 그만큼 빠르다는 겁니다. 고차원이었던 기술이 한 순간에 ‘주류’ 혹은 ‘평범한’ 공격이 되어버리죠.” 카본 블랙의 설명이다. “이는 여러 툴킷의 발전 때문에 가능해지는데요, 파워스플로잇(PowerSploit), 파워셸 엠파이어(PowerShell Empire), 폰드쉘(p0wnedShell) 등이 구하기도 쉽고 널리 사용되고 있습니다.”

이는 기업들이 파워셸의 사용에 대한 정책이나 표준을 마련해야 한다는 것으로 이어진다. 또한 회사가 승인한 스크립트만 실행할 수 있도록 하는, 다소 빡빡한 사칙도 마련해서 지켜질 수 있도록 해야 한다. “파워셸 실행과 관련된 로그를 저장해서 모니터링할 필요도 있습니다.” 심지어 파워셸 사용을 전면 금지하는 것도 나쁘지 않은 선택이라고 발데즈는 설명한다. “극단적인만큼 부정적인 면도 있지만, 기업에서 다루는 정보가 중요하다면 생각해봄직한 옵션입니다.”

하지만 기본 중 기본은 ‘네 자신을 알라.’ “파워셸이 현재 환경에서 어떤 식으로 활용되고 있는지 낱낱이 파악하고 이해하는 게 중요합니다. 또한 진행되고 있는 업무들에 맞춰 필요한 것과 그렇지 않은 것을 솎아내야죠. 그렇게 ‘나’를 정확히 알고 나면 비정상적인 행위가 무엇인지 비교적 쉽게 간파할 수 있게 됩니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>