메모리 및 레지스트리에서만 작동하는 악성 페이로드, 탐지 어려워
합법 침투 테스트 툴과 윈도우 유틸리티 활용...배후 세력은 드러나지 않아

[보안뉴스 문가용 기자] 사이버 공격이 갈수록 은밀해지고 있다. 침투한 곳에 조금이라도 더 오래 머물고, 침투한 네트워크 내에서 조금 더 수평적으로 돌아다니는 게 공격자들에게 중요해지고 있기 때문이다. 그래서 이제 공격자들은 사이버 공간에서 만큼은 투명인간에 가까워지고 있다.

최근 카스퍼스키랩은 40개국의 금융 및 통신 업체 등에서 발견된 표적형 공격에 대해 발표했다. 이 공격은 일반적인 탐지 방법으로는 절대 발견이 불가능하다고 하며, 그렇기에 장기간 데이터를 유출시켰을 가능성이 높다고 한다.

카스퍼스키에 의하면 이 공격은 주로 은행과 통신 업체, 정부 기관들을 노리고 실행되었으며 보안 전문가들 사이에서 널리 사용되고 있는 합법 침투 테스트 툴인 미터프리터(Meterpreter)가 사용되었다고 한다. 이 툴은 파일이 없는 공격을 가능하게 해준다. 여기에 시스템 관리자들이 흔히 사용하는 윈도우 파워쉘 등 유틸리티들도 함께 사용되었다.

주목해야 할 것은 이번 공격에 악성 파일이 단 한 개도 피해자 시스템으로 로딩되지 않았다는 것이다. 공격용 코드는 전부 메모리 내에서만 실행되었고, 시스템이 꺼질 때마다 사라졌다. 이런 식의 파일레스(fileless) 공격은 기존의 보안 솔루션들로는 탐지가 극히 어렵고, 심지어 포렌식 솔루션 및 전문가들이 의미 있는 수사를 진행하기도 힘들게 만든다. 현재까지도 이 공격은 계속해서 진행되고 있으며, RAM이나 네트워크 및 레지스트리를 스캔하는 것 외에는 탐지가 불가능하다고 한다.

공격자들이 주로 빼내가는 정보로는 시스템 관리자 암호 등인 것으로 보이며, 최종 목표는 그런 치명적인 정보를 오랫동안 훔쳐내 결국엔 금융 관련 절차들에까지 손을 대는 것이라고 카스퍼스키는 짐작하고 있다. 현재까지 가장 많은 공격을 받은 국가는 미국, 프랑스, 영국, 러시아, 에콰도르, 케냐 등이다.

금융과 통신, 정부 기관이라면 보안이 매우 철저한 조직들이다. 그런데 왜 미터프리터로 누군가 네트워크를 탐지해 취약점을 찾아내는 행위를 알아채지 못하는 것일까? 카스퍼스키의 수석 보안 연구원인 커트 봄가트너(Kurt Baumgartner)는 “다양한 이유가 있다”며 “보안 조치가 잘 안 되어 있는 것일 수도 있고, 설정 오류가 있을 수도 있고, 퇴사한 직원의 계정이 방치되어 있을 수도 있고, 원래 네트워크는 보안 구멍투성입니다.”

게다가 미터프리터 자체가 워낙 널리 사용되는 툴이라, 기존 엔드포인트 보안 툴로서는 ‘이상하다’고 탐지하는 것이 더 이상한 현상이다. “이런 미터프리터에 공격자들은 독특한 암호 통신 기술들을 여럿 탑재시켰어요. 그래서 더 발견이 힘들게 됐죠. 악성 페이로드가 전송되고 있는 상황에서도 탐지가 될 수 없도록 조치를 취한 겁니다.”

그렇다면 카스퍼스키는 어떻게 이 공격을 발견했을까? “한 은행사 고객이 도메인 통제 시스템의 물리 메모리 내에 미터프리터가 남아 있는지 확인해달라는 요청을 했습니다. 미터프리터가 있으면 안 되는 상황이었거든요. 그걸 수사하다가 발견했습니다.”

하지만 아직도 누가 공격을 실행하고 있는 건지는 밝혀지지 않고 있다. “합법적인 윈도우 유틸리티를 사용하고 있고, 오픈소스 익스플로잇 코드가 활용되고 있어, 사실 누구라도 용의자로 꼽힐 수 있는 상황입니다. 다만 이런 식의 공격 작전을 과거에 활용했던 그룹으로는 카르바낙(Carbanak)이나 GC맨(GCMAN)이 있습니다. 둘 다 은행들을 주로 노린 그룹이었고요.”

카스퍼스키는 “40개국에서 발견된 피해 조직들이 전부가 아닐 가능성도 높다”며 “모든 정부 기관, 은행, 통신 업체들은 메모리 및 레지스트리 스캔을 주기적으로 시작해야 할 것”이라고 당부했다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>