• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

사이버 공격자, 1번 성공 위해 100,000번 시도한다 2017.06.15

XSS로 회사 시스템 침해하는 데 매번 100,000번 시도
끈질긴 공격에 대응할만한 보안 역량 부족하고 피로감 높아
공격자, 한 번 뚫으면 6개월씩 머무르며 회사 정보 빼내

[보안뉴스 오다인 기자] 부지런한 부자는 하늘도 못 막는다 하고, 거지도 부지런해야 더운밥을 얻어먹는다 했던가. 누구보다 부지런한 자가 있으니, 바로 사이버 공격자들이다.

[이미지=iclickart]


사이버 공격자들은 성공할 때까지 끈질기게 시도하는 것으로 정평이 나있어, 보안 전담 부서는 이런 근면함(?)에 늘 골머리를 앓아왔다. 보안 업계는 사이버 공격자들이 목표 대상의 취약점을 찾아내기 위해 이제 자동화한 공격 툴까지 동원하고 있다고 오랫동안 경고해오기도 했다. 보안 업계 종사자들이 이런 사태에 대해 감 잡는 데 도움 되는 수치가 나왔다.

보안 스타트업 티셀(tCell)이 이번 주 발표한 바에 따르면, 공격자가 회사 시스템을 뚫는 데 성공하기까지 매번 100,000번 이상 시도하는 것으로 나타났다. 이 같은 시도를 위해 공격자는 교차 사이트 스크립팅(XSS: Cross Site Scripting) 공격을 사용하고 있다.

티셀은 12개 회사에서 실제 생산 중인 33개 웹 애플리케이션에 어떤 공격 패턴이 보이는지 30일 동안 살펴봤다. 그 결과, 공격자는 총 494,000번에 걸쳐 서버에 XSS를 시도했으며, 그 중 4번의 시도가 완전히 성공한 것으로 나타났다. 공격자가 100,000번 시도하면 1번은 완벽히 성공한다는 이야기다. 마치 브라우저라는 방에 들어오려고 문고리를 잡고 수십 번을 달그락거리다가 마침내 문을 열고 들어오는 데 성공하는 것과 같다고 할 수 있다. 방에 들어가면 공격자가 딱 필요로 했던 반응이 돌아오는 것이다.

“이 연구를 막 시작했을 때 예상 성패 비율을 물었다면, 저는 아마도 1000번 중에 1번 정도라고 대답했을 것 같습니다. 1000 대 1도 과장됐다고 생각하면서요. 하지만 실제로는 4번 성공하기 위해서 1,000,000번의 절반 가량을 시도했다는 사실을 발견하고 매우 놀랐습니다.” 티셀 CEO인 마이클 파이언탁(Michael Feiertag)은 “조사한 애플리케이션들은 지속적으로 공격에 노출됐고, 공격이 발생할 때마다 오밤중에 잠에서 깨 대응하러 나갈 순 없다”고 말한다. “이런 위협에 대응하려면 적재적소에 각 툴을 배치해둬야 하지만, 어디를 공격하면 치명적이라는 걸 공격자 역시 알고 있다는 게 문제입니다.”

잦은 경고로 인해 피로감이 누적된 건 오늘날 보안 세계의 큰 문제점이다. 데이터 연구 및 컨설팅 업체 이엠에이(EMA: Enterprise Management Associates)가 최근 조사한 바에 따르면, 보안 전담 부서의 79%가 보안 경고에 압도된 상태인 것으로 나타났다. 한편, 보안 경고 중 64%는 해당 부서에 의해 매일 무시되는 것으로도 드러났다.

EMA의 선임 분석가 데이비드 모나한(David Monahan)은 “보안 분석가들은 하루의 절반을 중요하거나 전혀 중요치 않은 문제들을 들여다보는 데 쓴다”며 “(이런 방식으론) 매일 매일 뒤처질 수밖에 없기 때문에 공격자가 침해를 위해 6개월씩 머무를 수 있는 것”이라고 지적했다.

한편, 공격자는 주요 계정을 별다른 제재 없이 뚫을 수 있었다. 티셀 분석에 따르면, 30일이라는 짧은 기간 동안에만 12개 기업 중 5개가 계정 탈취를 겪었다. 이 5개 기업은 하나 이상의 계정을 탈취 당했으며 어느 기업은 44건이나 탈취 당한 것으로 나타났다. 대부분 공격자는 사용자 계정을 침해했고 크리덴셜 스터핑(credential-stuffing)을 통해 공격했다. 크리덴셜 스터핑은 다른 데서 유출된 대규모 개인정보를 확보해 사용자 ID 및 비밀번호를 조합하는 공격 수법이다.

이런 식의 공격은 오늘날 사이버 범죄자에게 누워서 떡 먹기 수준이다. 버라이즌(Verizon)의 정보침해조사 연간보고서(10호)에 따르면, 현재 침해 성공의 81%가 도난됐거나 보안이 약한 비밀번호 때문인 것으로 드러났다. 크리덴셜 스터핑이 효과적인 이유는, 보통 인터넷 사용자가 평균적으로 130개 계정을 갖고 있으면서 그 대부분을 7자 또는 그 이하의 자릿수로 비밀번호를 설정하기 때문이다. 평균적인 계정 보유 개수와 비밀번호 자릿수에 대한 통계는 각각 비밀번호 관리 애플리케이션 대시레인(Dashlane)과 신원 관리 전문업체 기기야(Gigya)의 연구에 따른 것이다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>