• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

기업 및 기관들, 여전히 경계근무에만 투자하고 있다 2017.12.06

네트워크 침투 방지하는 것도 좋지만 내부에서의 활동도 신경 써야
침투 방지, 유출 방지, 내부 활동 모니터링이 종합적으로 이뤄져야 탄탄

[보안뉴스 문가용 기자] 수많은 조직들이 여전히 네트워크의 외곽선을 경계하는 것으로 ‘필요한 보호조치를 다 취하고 있다’고 여긴다. 허가받지 않은 누군가가 이미 네트워크 안에 들어와 데이터를 빼내지만, 대부분 조직들의 눈은 최전방 경계선에만 닿아있다. 이에 대해 보안 업체 세이프브리치(SafeBreach)가 보고서를 발표했다.

[이미지 = iclickart]


세이프브리치는 1천 1백 5십만 건의 공격 시뮬레이션을 통해 3400가지 공격 방법을 분류해냈다. 그랬더니 성공한 공격의 60%가 멀웨어를 통해 침투한 종류의 것이었다. 멀웨어를 가지고 네트워크 내부로 침투하는 데에 성공한 공격자는 횡적 움직임을 감행할 수 있었고(70%), 그중 절반은 데이터를 네트워크 밖으로 빼돌리는 데에도 성공했다.

“네트워크의 가장 바깥 단을 단단히 하는 데에 정말 많은 투자가 이뤄지고 있었고, 내부의 실제 속살 부분은 거의 무시당하고 있었습니다. 성벽만 단단히 하고 있지 내부 결속은 전혀 이뤄지지 않은 것과 같았어요.” 세이프브리치의 보안 전략가인 크리스 웨버(Chris Webber)의 설명이다. “요즘 시대에 네트워크 외곽 부분을 뚫어내는 건 그리 어려운 일이 아닙니다. 내부를 휘젓고 다니는 것이 더 어려운데, 그걸 잘 해내는 게 현대의 해커들이죠.” 가장 간단한 증명은, 이번 보고서 작성을 위해 시도한 ‘시뮬레이션 공격’에조차 수많은 업체들이 뚫렸다는 것이다.

그렇다면 어떤 멀웨어들이 주로 높은 침투 성공률을 보였을까? 세이프브리치는 ‘패킹형’ 멀웨어가 침투 시도 시 50% 이상 성공했다고 말한다. 각종 실행문들이 스크립트 내부에 숨겨져 있는 걸 패킹형 멀웨어라고 이들은 분류했는데, 자바스크립트 내부에 실행문이 숨겨져 있을 때 침투 성공률은 60.9%나 됐다. VB스크립트의 경우는 56.5%, 컴파일된 HTML 파일 안에 숨겨진 경우 55.9%를 기록했다.

기법으로 따지자면 올 가을 워너크라이(WannaCry) 랜섬웨어가 보여준 윈도우 SMB 익스플로잇이 가장 높은 성공률을 자랑했다. 무려 63.4%의 성공률을 보인 이 기법은, 이번 보고서를 위해 실시한 여러 가지 공격 기법 중 가장 높은 성적을 거뒀다.

한편 구글의 앱 스크립트(App Script), 쉬트(Sheets), 폼(Forms) 등 클라우드를 기반으로 한 서비스들을 통해 멀웨어에 명령을 전달하는 기법도 제법 높은 순위를 기록했다. 이러한 방식으로 공격하는 가장 대표적인 멀웨어는 카르바낙(Carbanak)이 있다. “카르바낙의 경우 악성 파일을 스캔하도록 네트워크 제어장치를 설정해두면 엔드포인트나 호스트에 다다르기 전에 차단하는 게 가능합니다.”

웨버는 업체나 조직 입장에서 정말 걱정해야 할 건 네트워크에 일단 침투한 공격자가 네트워크 내부에서 여기저기 자유롭게 움직이고 돌아다니는 것(횡적 움직임)이라고 말한다. “하지만 이 부분은 크게 간과되고 있어요. 아예 처음부터 출입을 차단하는 것에 보안의 목적을 두고 있지, 그 다음 단계에 대해서는 고려하지 않고 있다는 뜻입니다.”

이러한 보안 관념은 빠르게 타파해야 한다고 세이프브리치는 주장한다. “페트야(Petya)나 이터널록스(EternalRocks) 공격을 생각해보세요. 둘 다 웜과 같은 기능을 가지고 있어요. 즉, 네트워크 내부에서 돌아다니는 것을 기본적으로 장착하고 있다는 겁니다.”

외부망을 뚫고 내부망에 도달한 공격자의 다음 도전 과제는 데이터를 바깥으로 빼돌리는 것이다. 이 때 공격자들은 보통 웹 트래픽을 스니핑하거나 웹 포트들을 점거한다. 가장 간단한 방법이기 때문이다. “대부분 아웃바운드 트래픽은 443번 포트(HTTPS)나 123번 포트(NTP)를 거칩니다. 암호화된 패킷 안에 데이터를 우겨넣고 도망 나가는 것이죠. 패킷 자체는 평범한 데이터처럼 보이게끔 만들고요.” 포트 중 123번을 통해 자료가 유출되는 경우가 63.1%였고, 443번은 53.7%였다.

웨버는 공격자들을 막으려고만 해서는 충분하지 않다고 거듭 강조한다. 심지어 들어오는 걸 가둬놓고 탈출을 하지 못하게 하는 것도 불가능에 가깝다. 그 모든 걸 다 하면서 내부에서 활동하는 것에도 눈길을 둬야 한다는 게 웨버의 설명이다. “물론 보안에 종합적으로 투자할 수 있을 만큼 자원에 여유가 있지 않다는 걸 잘 압니다. 하지만 결국 보안은 내가 속한 기업에 대해 얼마나 잘 이해하고 있는지에 따라 효율적으로 도모할 수 있습니다. 신용카드 정보를 많이 다루는 회사라면, 랜섬웨어보다는 거기에 집중해야 하고, 24 시간 서비스를 지속해야 하는 회사라면 그 무엇보다 디도스를 조심해야겠죠. 공격도 그렇지만 보안도 제한된 자원 안에서는 효율의 문제입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>