각종 암호만 공격해도 최소 60% 가까운 성공률
암호 관리만 철저히 해도 방어률 높일 수 있어... 네트워크 분리도 중요

[보안뉴스 문가용] 소프트웨어 취약점을 찾아내는 건 매우 중요한 일이긴 하다. 하지만 보안에 있어 제일 중요한 일은 아니다. 두 번째로 중요한 일도 아니다. 사이버 범죄자들이 가장 좋아하고 가장 즐겨 찾는 것 중 소프트웨어 취약점은 다섯 손가락 안에 들지 못한다. 정보보안 전문 업체인 프레토리안(Praetorian)의 보고 내용이다. “오히려 아이덴티티 및 크리덴셜에 신경 쓰는 편이 훨씬 효율적입니다.”


프레토리안은 이번 실험을 위해 침투 테스트를 약 100번에 걸쳐 진행했다. 그리고 대게 비슷한 방법으로 해킹에 성공했는데, “제로데이나 멀웨어를 사용한 공격은 아니”었다. 프레토리안의 보고서에 따르면 사이버 공격 중 가장 많이 나타나는 패턴 5가지는 다음과 같다.

1. 약한 도메인 사용자 암호 공격하기 – 프레토리안의 침투 테스트에서 66%의 성공률을 기록
2. 이름 분석 포이즈닝 방송(WPAD 같은) - 64% 성공률
3. 로컬 관리자 암호 공격 – 61% 성공률
4. 메모리 내 평문 암호 공격 – 59% 성공률
5. 불완전한 네트워크 세그멘테이션 – 52% 성공률

날카로운 독자라면 이미 알아챘겠지만 위 5가지 중 네 가지는 로그인 정보 및 크리덴셜을 훔치는 것과 관련이 있다. 그리고 로그인 정보 및 크리덴셜은 보통 피싱 공격이나 소셜 엔지니어링 공격으로 탈취가 가능하다.

“예를 들어 사용자의 1%는 악성 링크를 클릭한다고 해봅시다. 그러면 거기서부터 어떤 행동을 취해야 할까요?” 프레토리안의 조슈아 아브라함(Joshua Abraham)이 묻는다. 왜냐하면 누군가는 반드시 클릭을 하기 마련이고, 이로써 자신의 암호를 다른 사람의 손에 쥐어줄 게 분명하기 때문이다. “훔치는 걸 100% 막을 수는 없어요. 다만 훔친 후 덜 잃을 수는 있습니다.”

무슨 말이냐면 “암호 하나 잃었다고 해서 모든 유용한 정보들이 줄줄이 엮이면 안 된다”는 것이다. “로그인 정보를 공격자들이 주로 노리는 이유는 암호라는 것이 매우 취약한 보안 장치이기 때문이기도 하지만, 매우 유용하기 때문이기도 합니다. 이거 하나만 알아내면 다음 단계의 범죄가 대단히 쉬워진다는 것이죠. 즉, 암호를 뚫어내더라도 그 뒤 과정이 순탄하지 못하게 만든다면 되는 겁니다.”

이쯤에서 ‘실제 범죄자가 아니라 프레토리안이라는 보안 업체의 침투 테스트를 근거로 하고 있는 자료인데, 공격자들의 성향을 논하는 게 말이 되는가?’를 물을 수 있다. “프레토리안의 핵심 침투 테스터들은 NSA와 CIA에서 근무를 했던 적이 있는 인재들입니다. 즉, 각종 보안 전문가들이 보고서를 통해 발표하는 여러 가지 공격을 그대로 흉내 낼 수 있는 사람들인 것이죠.” 게다가 범죄자들의 멀웨어 사용률은 줄고 크리덴셜을 노린다는 사실 자체는 다른 여러 보고서에서도 동일하게 파악된 바다.

아브라함은 침투 테스터나 해킹 범죄자들이나 똑같이 소프트웨어 익스플로잇보다 시스템 자체의 취약점을 공격하는 걸 선호한다고 말한다. “그 이유는 1) 멀웨어는 시스템을 다운시키거나 오작동을 일으킬 수 있는데, 이 때문에 공격이 발각되기 쉽습니다. 2) 취약점을 스캐닝하는 건 노이즈를 일으킵니다. 3) 소프트웨어의 취약점은 시스템의 약점보다 패치가 빠르고 쉽습니다.”

이번 실험을 통해 얻어낸 결과물에 착안하면 비교적 값도 싸고 효과도 좋은 보안 방법들을 몇 가지 도출해낼 수 있다. “먼저 메모리에 있는 평문 암호들만 없애는 작업을 해도 충분히 효과를 볼 수 있습니다. 어쩌면 해커들에게 가장 손쉬운 암호 저장소가 메모리일 지도 모릅니다. 보다 상세하게 풀자면, 마이크로소프트의 랩스(LAPS)라는 툴을 사용하면 패스 더 해시(Pass the Hash) 공격을 효과적으로 방어하는 게 가능해집니다. 또 기본적인 레지스트리 청소 및 변경만으로도 메모리 내 평문 암호를 보호할 수 있습니다.”

이렇게 먼저 메모리 내 암호 문제를 해결했다면 도메인 사용자 암호와 이름 분석 포이즈닝 공격에 대한 대처법을 마련해야 한다. 여기까지 했다면 네트워크 세그멘테이션을 고민해야 한다. “네트워크 분리 혹은 세그멘테이션 작업은 시간이 비교적 오래 걸립니다. 순서상 제일 나중에 다뤄야 할 것으로 보입니다.”

그밖에 프레토리안이 제안한 저렴하고 효율적인 보안 강화 대책들은 다음과 같다.
1. 암호와 관련하여
- 액티브 디렉토리(Active Directory) 암호 길이를 최소 15자로 늘린다.
- 암호 정책을 강화한다(유효 기간을 짧게 한다든지)
- 모든 관리자 접근 및 원격 접근에 2중 인증을 도입한다.

2. 이름 분석 포이즈닝과 관련하여
- 최종 사용자의 워크스테이션에서는 LLMNR과 NetBIOS를 비활성화시킨다.
- DNS 서버를 모든 알려진 리소스 엔트리로 채워넣는다.

3. 네트워크 세그멘테이션과 관련하여
- 네트워크 접근 제어 목록을 도입해 미리 허가가 된 시스템에서만 접근이 가능하도록 한다. 차세대 방화벽을 사용해 기기 별, 사용자 별, VLAN 별로 ‘안전 목록’을 만든다.
- 네트워크 아키텍처와 네트워크 다이어그램을 업데이트해 새로운 접근 제어 목록이 빠르게 반영되도록 한다.

해당 보고서는 여기서 열람이 가능하다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>