손보형 이글루시큐리티 원격관제팀 부장

▲ 손보형 이글루시큐리티 원격관제팀 부장

A 기업 보안 담당자는 최근 급증하고 있는 랜섬웨어에 대비하기 위해 고가의 내부 보안 솔루션을 구축했다. 사용자에게 보내지는 악성 메일을 검사하고 감염된 메일을 필터링하면서 최종적으로는 메일을 통해 들어오는 랜섬웨어 공격을 차단해내기 위함이었다. 그러나 얼마 지나지 않아 A 기업 내 사용자는 랜섬웨어에 감염됐고, 사고 조사 결과 사용자의 유해 사이트 접속으로 인한 감염으로 확인됐다.

[아이티데일리] 최근 4차 산업혁명의 도래와 함께 비즈니스의 디지털화가 가속화되고 있는 가운데, 정보 관리의 중요성이 높아지면서 강력한 보안 환경의 구축은 비즈니스 필수 요소 중 하나로 자리 잡았다. 이에 다수의 기관 및 기업들은 정보보안에 대한 투자를 늘리고 있는 추세이지만, 이러한 막대한 투자를 비웃기라도 한 듯 여전히 다양한 형태의 해커 침입, 악성코드, 보안 취약점 등 사이버 공격이 끊이질 않고 있다. 일부 보안 담당자는 고성능의 보안 솔루션 또는 보안 장비만 있다면 모두 해결할 수 있을 것이라 믿는다.

그러나 앞의 A기업의 사고 시나리오를 통해서도 알 수 있듯이 기술적인 보완만으로 진화된 사이버 공격을 완벽히 방어해내기는 현실적으로 불가능하다.

사실 사이버 공격으로부터 정보자산을 보호하기 위한 대비책은 꾸준히 마련돼 오고 있다. 기업들은 웹 서비스 해킹 및 정보 유출 등의 사고로 인한 이미지 손상, 막대한 경제적 손실을 막기 위해 정보보안 전담 부서, 팀을 조직한다.

또 국가적인 차원에서는 국가 안보와 관련해 사이버 보안의 중요성을 인식하고 국가적 대응책을 정보통신망법, 개인정보보호법 등의 법률을 제정해 관리해나가고 있다. 그러나 이러한 노력에도 불구하고 날로 늘어만 가는 사이버 공격에 어떻게 대응하는 것이 현명할지 우리는 다시금 생각해볼 필요가 있다. 그리고 그 해답을 찾기 위해 과거부터 현재까지의 공격을 되돌아보면서, 향후 어떠한 전략을 수립하는 것이 좋을지 그 방안에 대해 논해보는 시간을 가져보고자 한다.


어떠한 공격이 있었고 또 어떻게 대응해왔는가?

어느 한 공격이 발생하면 이는 사이버 공격의 카테고리 중 하나로 자리매김하게 된다. 왜냐하면 보통 사이버 공격들은 과거에 발생했다고 해서, 이제는 더 이상 위협적이지 않게 되는 것이 아니기 때문이다. 오히려 처음보다 더 보완되고 진화해 한층 강력해진 모습으로 다시금 나타나는 경우가 많다.

1) 국가대표급 사이버 공격, DDoS 공격
보안에 대해 잘 모르는 사람들도 한 번쯤은 ‘DDoS’라는 말을 들어본 적 있을 것이다. 한때 세상을 뜨겁게 달구었던 DDoS 공격은 지금도 사이버 공격들 중 가장 쉽게 또 자주 사용되는 방법 중 하나다. DDoS 공격은 공격자가 광범위한 네트워크를 활용해 여러 공격 지점에서 동시에 한곳을 공격해 단시간에 과부화를 일으킴으로써 서버를 마비시키는, 분산 서비스 거부(Distribute Denial of Service) 공격을 말한다. 이에 관제요원들은 보안관제 시, 유입되는 트래픽과 웹 서버에 접근되는 로그 등을 모니터링해 비정상적인 증가가 발견되면 이를 DDoS 공격으로 의심하고 대응해나가게 된다.

대표적인 DDoS 공격 사례로는 ▲1.25 인터넷 대란 ▲7.7 DDoS ▲3.4 DDoS 등이 있는데 이들은 모두가 DDoS 공격이라는 공통점을 갖고 있지만 시간이 흐름에 따라 점차 진화된 공격 성향을 갖추고 발생하였다는 것에 주목할 필요가 있다.

▲ 국내 주요 DDoS 사건 사례(출처: 이글루시큐리티)

더욱이 최근에는 모든 사물이 연결되는 사물인터넷(IoT)이 확산되고 있는 가운데 DDoS 공격 역시 이를 악용한 대규모 공격으로 진화되는 양상을 보인다. 지난 2016년 말 발생한 ‘미라이 봇넷’이 대표적인 예다. 뉴욕타임스, 트위터 등 1,200여개의 사이트를 일제히 마비시킨 미라이 봇넷은 PC가 아닌 IoT 기기를 봇으로 활용한 DDoS 공격이었다. 그리고 수많은 변종들이 탄생해 지금까지도 이어지면서 IoT 기기를 감염시키고 DDoS 공격을 발생시키는 등 크고 작은 사건사고를 일으키고 있다.

날로 강력해지는 DDoS 공격에 오늘날 기업들은 보안 솔루션을 구축하면서 DDoS 대응 훈련을 실시하고, 또 사용자의 보안 인식과 더불어 PC 보안을 한층 강화하기 위해 노력하고 있다. 한국인터넷진흥원(KISA)에서는 2010년 10월부터 DDoS 사이버 긴급 대피소를 운영하는 등 개인과 기업, 그리고 기관이 다 함께 대응해나가는 모습을 보이고 있다.

이에 물론 현재까지도 DDoS 공격은 지속 발생하고 있지만 앞서 언급한 사례들처럼 큰 피해를 야기한 사고는 감소하는 추세다. 사용자의 보안 인식 강화와 더불어 전방위적으로 이뤄진 적극적인 대처가 조금은 도움이 되지 않았을까 생각된다.

2) 은밀하고 정교한 사이버 공격, APT 공격
악성코드를 감염시켜 봇으로 만들고 이를 활용하는 DDoS 공격과 마찬가지로, 은밀하게 침투해 정보를 유출시키거나 데이터를 암호화해 금전적 이득을 취하는 공격 역시 과거부터 지금까지 꾸준히 발생하고 있는 사이버 공격 중 하나다. 이러한 유형을 APT(Advanced Persistent Threat, 지능형 지속 위협) 공격이라 칭하는데 2004년 6월 트로이 목마 악성코드 유포를 시작으로 두각을 드러내기 시작했다.

APT 공격은 애플리케이션 취약점이나 사용자의 이메일, 악성 웹 페이지 등을 통해 시스템을 감염시키고 지속적인 탐색을 통해 악성 활동(정보 유출 등)을 수행한 후, 시스템을 파괴하거나 권한을 상승해 다차원적 피해를 초래하는 공격이다. 즉 지능형 지속 위협이라는 이름에 걸맞게 지능적인 공격기법을 동시다발적으로 활용, 타깃으로 삼은 대상에 몰래 접근해 정보 탈취 등 꾸준하게 공격을 수행하는 은밀하면서도 정교한 사이버 공격이라 할 수 있겠다.

이러한 APT 공격의 대표적인 사례로는 지난 2011년 발생한 농협 전산망 마비 사태를 들 수 있다. 유지보수 직원의 노트북을 좀비 PC로 감염시키고 약 8개월가량 추가 악성 프로그램을 심은 후, 원격제어 명령을 통해 30분 만에 서버 운영 시스템 절반을 파괴시킨 대규모 해킹 사건이었다.

APT 공격의 근본이 되는 악성코드의 감염 경로는 다양하지만 웹 서비스의 취약성을 악용하거나 사용자의 메일 또는 악성 URL을 통해 이뤄지는 경우가 대부분이다. 이글루시큐리티 원격관제센터의 2018년도 평균 공격 시도 유형 조사 결과에 따르면, 웹 애플리케이션 취약점 및 시스템과 DB 인젝션(Injection) 공격이 가장 많이 집계됐음을 확인할 수 있다.

▲ 2018년 이글루시큐리티 원격관제 공격 시도 통계 자료(출처: 이글루시큐리티 원격관제팀)

APT 공격에 대응하는 방법은 기존의 악성코드 공격을 막는 방법과 크게 다르지 않다. 그러나 단순히 IPS, 웹 방화벽 등의 보안 장비에만 의존해서는 안 된다. 진화하고 변화되는 공격을 지속적으로 파악하고 탐지 정책에 대한 최적화가 이뤄져야만, 그래야 보다 정확한 탐지와 대응이 가능해진다.

더 나아가 사용자의 취약성을 노리는 공격은 정상적인 서비스를 가장해 내부 인프라로 침입하게 되므로 아웃바운드(OUTBOUND) 트래픽에 대한 모니터링에도 소홀히 해서는 안 된다. 일부 기업들은 인바운드(INBOUND) 공격에만 집중해 감염된 내부 인프라에서의 악성 행위에 대해 빠르게 인지하지 못하고 결국엔 더 큰 피해로의 확산을 초래한다.

사실 취약성을 이용한 공격은 취약점이 발표됐을 때 즉시 패치하는 것이 가장 바람직하지만 서비스 운영 특성상 수시로 취약성에 대한 패치가 어려운 상황이라면 공격 탐지에 대한 모니터링에 더욱 신경 써야 할 것이다.


최근 사이버 공격의 성격은?

최근 주목 받는 사이버 공격을 하나 꼽아보자면 크리덴셜 스터핑(Credential Stuffing)을 들 수 있다. 크리덴셜 스터핑은 어떤 사이트에서 유출된 유효 인증 정보를 다른 사이트에 대입해 접속을 시도하는 공격이다.

다시 말해 일반적으로 사용자가 여러 사이트에서 동일한 계정과 비밀번호를 쓰기 때문에 그다지 중요하지 않은 사이트에서 훔친 정보가 민감한 데이터를 가진 서비스에서도 유효할 확률이 높다는 점을 악용해 정보를 유출해내는 해킹 수법인 것이다. 악성코드를 삽입해 공격을 시도하는 일반 해킹과는 조금 다른 성격의 2차 공격으로, 1차 정보 유출 공격 시 탈취한 정보의 양이 많다면 크리덴셜 스터핑의 성공률도 그만큼 더 높아지게 된다.

▲ 크리덴셜 스터핑 공격 개요도(출처: 이글루시큐리티 원격관제팀)

위협분석기업 S2W랩의 조사에 따르면 최근 1년 동안 다크웹에서 확인된 국내 개인정보는 300만 건 이상으로 확인됐다. 300만 건이 넘는 각양각색의 개인정보들이 유출돼 무분별하게 유통되고 더 나아가 보이스피싱이나 크리덴셜 스터핑과 같은 2차 공격의 소스로 활용되고 있다. 지난해 발생한 A은행의 5만 6,000건 고객정보유출 사고 역시 이전 유출된 개인정보를 이용한 크리덴셜 스터핑 공격이 원인이었으며, ‘아카마이 2019 인터넷 현황 보고서: 금융 서비스 공격’에 따르면, 2017년 11월부터 2019년 4월까지 금융권 대상 발생한 크리덴셜 스터핑 공격은 총 35억 건에 달한다.

이와 같이 크리덴셜 스터핑 공격은 금융 서비스업과 같이 민감한 개인정보를 다루는 곳을 대상으로 특히나 활발한 모습을 보인다. 이에 금융사는 FDS(이상금융거래탐지시스템)를 통해 대비해나가고 있지만 그 밖의 일반 기업에서는 제한된 예산 안에 이렇듯 다양한 사이버 공격을 방어하기 위한 다수의 시스템을 갖추기에 한계가 있다. 공격의 위험도를 알고 있음에도 불구하고 이에 대한 대대적인 대응이 사실상 쉽지만은 않은 현실인 것이다.


효과적인 보안 전략 위해 환경을 파악하고, 사전 대비에 집중하자

오늘날의 사이버 공격은 참으로 다양한 모습을 보인다. 과거부터 이어져 온 공격이 새로운 기술과 합쳐져 더욱 정교해지기도 하고 또 전에는 볼 수 없었던 형태의 공격이 새롭게 나타나기도 한다. 예전에 비해 복잡해지는 IT 환경 속에 보안의 중요성이 한층 강조되고 있으며 이에 여러 기관 및 기업들이 다양한 보안 장비를 구축하고 보안 관리에 힘을 쓰고 있는 건 어쩌면 너무나 당연한 일이 됐다.

그러나 보안을 위해 얼마나 많은 활동을 하느냐 가 아닌 어떻게 이를 운영해나가느냐 가 무엇보다 중요하다는 사실을 간과해서는 안 된다. IPS 및 웹 방화벽 등에서 기본적으로 공격에 대한 탐지나 차단을 수행하기도 한다. 그러나 동시다발적으로 발생하는 수많은 이벤트들에 일일이 대응해주길 바라는 것은 현실적으로 불가능한 일이다. 이글루시큐리티 원격관제센터에 따르면 하루 평균 13만 건의 공격이 탐지된다. 보안로그는 70억 건이 저장되며 그 용량은 210GB에 달한다. 통합보안관리 솔루션 SIEM의 경보는 1만 3,432건 발생하고 보안 보고서는 371건 발행된다.

▲ 일일 발생 이벤트 평균 분석도(출처: 이글루시큐리티 원격관제팀)

하루에 평균적으로 보안 시스템에 의해 탐지되고 수집되는 정보의 양은 실로 어마어마한 수치를 보인다. 그만큼 오늘날 보안 담당자가 신경 써야 할 것들은 너무나도 많은데 그럴수록 보안의 가장 기본적이면서 핵심적인 활동에 충실해야 함을 명심하도록 하자. 효과적인 보안 전략을 위해서는 첫째 환경을 파악하고 둘째 사전 대비에 집중해야 한다.

1) 인프라 환경 파악을 통한 최적화
어떠한 전략을 수립하는 데 있어 이를 둘러싼 환경에 대한 이해는 가장 기본 중의 기본이 된다. 효과적인 보안 전략을 수립하고자 한다면, 그 전략이 수행될 보안 인프라 환경에 대한 이해가 반드시 선행돼야 할 것이다. 현재 공격으로 탐지된 이벤트가 자사 인프라 환경에서 사용되고 있는지, 그 여부를 알고 있다면 해당되지 않는 이벤트에 대한 예외 처리를 통해 최적화할 수 있다. 또 애플리케이션 패치가 적절한 시기에 수행되지 못하고 있는 상황이라면 관련 탐지 이벤트는 집중 모니터링돼야 할 것이다.

뿐만 아니라 인프라 환경 내 각 시스템의 특성들 또한 빠짐없이 파악함으로써 특정 서비스 이외의 행위에 대해서도 사전에 확인할 수 있어야 한다. 시스템 및 사용자의 평균 사용량을 확인하고 연내 서비스 집중 시기를 미리 파악해 그 이상의 임계치에 대해서는 집중 분석이 이뤄지도록 한다. 서비스되고 있는 방화벽 정책을 충분히 이해하고 그 이외의 포트 사용에 대해서는 지속적인 모니터링이 수행돼야 할 것이다. 그리고 인프라 환경에 대한 정확한 이해를 기반으로 수립된 보안 운영 전략은 각각의 환경에 가장 알맞은 전략이 돼주기 때문에 한마디로 최적의 정보보안 전략이라 할 수 있겠다.

2) 사전 예방에 게을리하지 않는다
과거 정보보안은 공격 이후의 사후 대응에 중점을 두는 경우가 많았다. 그렇지만 현재의 정보보안 활동은 사전 대비에 집중하는 추세다. 조직 내 인프라 정보를 토대로, CTI(Cyber Threat Intelligence)를 활용해 과거의 위협과 외부에서 발생되고 있는 위협을 사전에 수집하고 분석하며 대응해나간다. 대체로 사이버 공격은 정보 수집, 내부 침투, 내부 인프라 장악, 데이터 탈취 및 시스템 파괴 등 단계별로 행해지기 때문에 사전 대비만 철저히 한다면 사이버 공격의 시작점인 정보 수집 단계에서도 쉽게 탐지하고 방어해낼 수 있을 것이다. 외부에서 발생되고 있는 공격을 수시로 파악하는 것에서 더 나아가 조직 내 인프라의 취약점은 없는지 또한 미리미리 체크해 전반적으로 빈틈없는 만반의 방어태세를 갖추도록 하자.

날로 지능화되는 보안 위협은 단순 기술적인 보완만으로 대비하기 어렵고 초래하는 피해의 규모 역시 작지 않다. 이에 이미 일어난 공격에 대한 신속한 대응도 중요하지만 그보다 한 발짝 더 나아가 지금 우리 인프라 내 발생 가능한 공격 행위를 사전에 파악할 수 있어야 한다. 보안 인프라 환경 분석을 기반으로 이를 보완해줄 수 있는 다양한 사항들을 검토하고. 사전적인 보안 강화가 가능한 정보보안 전략을 수립함으로써 변해가는 사이버 공격에 철저하게 대응해 나가야 할 시점인 것이다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지