남의 컴퓨터 몰래 활용하면 더 많은 데이터 훔칠 수 있어
암호화 화폐 채굴하려면 좋은 컴퓨터 가질수록 유리

[보안뉴스 홍나경 기자] 신용카드 정보, 의료기록, 유명인들의 이메일 등이 해커들에게 있어 매력적인 먹잇감인 것은 사실이다. 하지만 요즘 해커들의 최대 관심사는 기업들의 컴퓨팅 파워인 것으로 밝혀졌다. 왜 컴퓨팅 파워 하이재킹이 급부상을 하는 것일까? 그 이유는 1) 컴퓨팅 파워를 통해 해커들이 상당량의 데이터를 훔칠 수 있고 2) 불법적 거래에 쓰이는 암호화 화폐 채굴 사기가 급격한 성장을 하고 있기 때문이다.


컴퓨팅 파워가 필요한 해커들은 주로 데이터 센터를 노린다. 해커가 데이터 센터에 침입하게 되면 몇 달 동안 걸리지 않은 채로 숨어 있을 수 있는데 미국의 보안 회사인 맨디언트(Mandiant)에 따르면 심지어 해커가 시스템 내부에 침입하여 잠복하는 기간의 평균이 150일이나 된다. 게다가 해커들은 침입한 기업의 컴퓨팅 파워 일부분만 갖고도 공격을 감행할 수 있어 기업들 모르는 사이 하이재킹을 지속적으로 감행할 수 있다고 한다.

작년 한 중소기업 보험 회사가 자신들의 데이터 센터에 누군가가 침입한 것으로 판단하고 상황을 정확하게 확인하기 위해 한 보안 회사에 사건을 의뢰했다. 보안 기업 측에서는 보험 회사의 요청을 받고 자신들의 직원들을 보냈고 조사를 통해 발견한 문제점은 그들의 데이터 센터가 침입당했을 뿐만 아니라 해커들이 그들의 방화벽과 DNS 규칙들 조작하고 데이터 센터를 봇넷처럼 운영하고 있었다는 것이었다. 피해 보험 회사는 자신들도 모르는 사이 전 세계에 퍼져있는 10,000개가량의 기계를 봇넷으로 부리는 주체가 되어있었다.

이후 보안 회사는 데이터 센터 복구를 실행했고 복구 과정에서 해커들의 최종 목적과 왜 컴퓨팅 파워가 필요했는지를 알게 됐다. 그것은 다름 아닌 암호화 화폐 모네로(Monero) 채굴을 위해서였다.

모네로는 비트코인에서 파생된 또 다른 암호화 화폐이다. 모네로, 비트코인 채굴은 인터넷을 통해 암호화 화폐 거래를 진행하는 것을 의미한다. 마치 진짜 채굴을 위해 좋은 장비가 필요하듯, 암호화 화폐 채굴을 하는 이들에게도 중앙처리장치(CPU : Central Processing Unit), 그래픽처리프로세서(GPU : Graphic Processing Unit) 등을 동원한 컴퓨팅 파워가 치명적인 문제다. 그래서 데이터 센터 운영에 사용되는 컴퓨팅 파워가 필요한 것이다. 또한, 해커들은 하이재킹한 컴퓨팅 파워를 통해 모네로 채굴 거래 중계소를 운영하며 거래 수수료로 돈을 벌고 있는 것으로 밝혀졌다.

컴퓨팅 파워는 랜섬웨어나 디도스 공격를 포함한 다른 불법 온라인 범죄에도 쓰일 수 있을 뿐만 아니라 해커들이 디도스 공격을 감행한 위치를 감추는 데에도 사용 될 수 있다.

그렇다면 기업들이 이렇게 중요한 컴퓨팅 파워를 보호하기 위해서 할 수 있는 것이 무엇이 있을까? 외부를 지키는 방화벽 또는 침입방지시스템(IPS : Intrusion Prevention
Systems)도 분명 없어서 안 되는 것이긴 하나 해커들은 충분히 이것을 뚫고 데이터 센터 안에서 컴퓨터 파워 하이재킹을 감행할 수 있다. 데이터 센터 내부에 다양한 취약점이 존재하기 때문이다.

점점 더 클라우드 또는 하이브리드 데이터 센터 등을 통해 서버와 네트워크가 가상화되고 있는 현실에서, 데이터 센터 자체에 존재하는 취약점은 쉽게 악용되고 있다. 계속해서 증가하고 있는 트래픽, 네트워크 속도, 서버의 밀도 등이 더해져 관리자들은 전반적인 작업을 하는 동안 데이터 센터 내부에서 뭐가 잘못되고 있는지를 모르게 된다. 그렇기 때문에 해커들이 탐지를 피해 데이터 센터 내부에서 수평적으로 활동을 지속하면서 자신의 목표를 이룰 때까지 잠복해 있을 수 있는 것이다.

기업들은 침입방지시스템과 방화벽을 뚫고 들어 올 수 있는 이러한 공격들로부터 데이터 센터에 있는 중요한 정보를 지킬 수 있는 새로운 방법들이 필요하다. 가디코어(GuardiCore) 등 데이터 센터 위주의 보안 업체들도 점점 나타나는 추세이며 여러 방어 기술들도 성장하고 있어 보안 팀들이 이러한 것들을 활용하는 방법도 좋을 듯하다. 그렇다면 기업들이 침입방지시스템과 방화벽 외에 공격에 대비하여 취할 수 있는 다른 노력들에는 무엇이 있을까?

1. 분포된 해커 속이기(distributed deception) 혹은 역동적 해커 속이기(dynamic deception) : 이는 허니팟으로 대표되는 방어법이 한 차원 발전한 것을 말한다. 허니팟은 쉽게 말해 해커들을 위한 덫으로 기업 내 곳곳에 설치되는 것이 일반적이다. 그래서 필연적으로 엄청난 자원을 소모한다. 그래서 나온 것이 역동적인 속이기 전략이다. 허니팟을 중심부에 둔 네트워크를 기존의 생산 네트워크와 분리시켜, 네트워크 환경 전체에서 탐지된 이상 현상을 미리 이리로 돌려버리는 것이다. 즉, 허니팟 기술에 기존의 여러 탐지 기술과 망분리 기술을 덧입힌 것. 이미 있는 것을 활용하는 것이기 때문에 구축 및 유지 관리가 쉽다. 게다가 위협거리를 분명히 격리시키기 때문에 효과도 더 좋은 것으로 새롭게 주목받고 있다.

2. 평판 분석 : 최근 다시 새롭게 주목받고 있는 위협 탐지 툴로서, 위협 첩보를 공유하는 공동체 및 조직 내에서 마련한 화이트리스트에 크게 의존한다. 자기들끼리 수상하다고 결론을 내린 IP 주소, 도메인 이름, 활동 패턴, 파일 해시 등을 철저히 걸러내는 것을 기본 원리로 삼는다.

3. 데이터 센터 애플리케이션의 가상화 : 데이터 센터 내에서 작동하는 애플리케이션과 작업 플로우를 하나하나 가상화 처리하는 건 매우 중요한 일이다. 이 하나하나는 전부 별개의 정책을 적용시키는 것이 핵심인데 이를 마이크로세그멘테이션(mirco-segmentation)이라고도 한다. 특정 애플리케이션 그룹이나 데이터 항목에 접근할 때마다 그에 맞는 정책에 부합하는 방법과 절차를 거쳐야 한다. 물론 이걸 구현하려면 데이터 구조 및 상태에 대한 상세한 가시성이 있어야만 한다. 그리고 이는 쉬운 작업이 아니다. 하지만 이에 대한 좋은 툴들이 시장에 나오고 있으니 조사해보는 것도 괜찮을 듯 하다.
[국제부 홍나경 기자(hnk726@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>