​

이번에 발견된 악성 워드는 아래와 같은 실행 흐름으로 동작한다. 놀랍게도 과거에 소개한 동작 방식과 동일하다.
우리는 수많은 보안 위협 속에 살고있다. 안랩이 자사 솔루션을 통해 탐지하는 보안 위협은 국내로만 한정해도 일 평균 약 43만 건에 달한다. 전 세계적으로 1년간 발견되는 신규 악성코드는 어림 잡아 1억 건이 넘는 상황이다. 이와 같이 넘쳐나는 보안 위협에 효과적으로 대응하기 위해서는 먼저 위협을 다양한 관점에서 바라보고 이해해야 한다.


위협에 대한 포괄적인 이해를 위해 요구되는 관점은 크게 ▲플랫폼 ▲악성코드 ▲공격 경로 ▲공격 그룹 등 네 가지가 있다.



플랫폼 관점에서의 위협: 떠오르는 OT와 클라우드​

먼저 플랫폼 관점에서 위협을 바라보는 것은 윈도우(Windows), 리눅스(Linux), 모바일(Mobile), 맥(Mac) 등 플랫폼 별로 분류하여, 원인을 파악하고 해결책을 강구하는 것을 뜻한다. 최근에는 OT(Operation Technology)와 클라우드 역시 주요 플랫폼으로 간주되고 있다.

본 문서에서는 최근 주목받고 있는 OT와 클라우드 환경을 위주로 설명할 예정이다. 윈도우, 리눅스 등 기존 플랫폼에 대한 보안 위협과 대응 방법론은 필자의 AhnLab ISF 2020 발표 영상을 통해 확인할 수 있다.

먼저, OT 환경에 대해 살펴보자. 보통 OT 환경은 발전소, 정유시설, 반도체 공장 등 산업 및 기반시설 환경을 일컫는다. OT 환경은 기존 IT 환경과 다른 몇 가지 특징이 있는데, 먼저 공장이나 설비가 멈추지 않고 작동할 수 있도록 ‘가용성’ 보장하는 것이 가장 중요하다. 이러한 시설들은 단시간 작동이 중지되는 것 만으로도 천문학적인 피해가 발생하기 때문이다. 또, 구축된 시스템 설비는 최소 수 십년 이상 유지되어야 하고, 취약점이나 보안 상 허점이 발견되어도 쉽게 패치를 진행할 수 없는 특징을 가지고 있다.

이와 같은 특징들로 인해 OT 환경에서는 크고 작은 보안 사고가 꾸준히 발생하고 있다. 대표적인 사례로, 2010년 이란 원자력 발전소 공격, 2012년 사우디 아람코 석유 생산시설 공격, 그리고 가장 최근인 2021년 미국 콜로니얼 송유관 랜섬웨어 감염 사례가 있다.

OT 환경에서 대표적인 악성코드로는 먼저 스턱스넷(Stuxnet) 악성코드를 꼽을 수 있다. 앞서 소개한 2010년 이란 원자력 발전소 공격에 사용된 악성코드로, 약 천여개의 원심분리기에 피해를 입힌 것으로 알려졌다. [그림 1]은 당시 안랩이 분석한 스턱스넷 악성코드 공격 구조도이다.

​
[그림 1] 스턱스넷 악성코드 공격 구조도

구조도를 간략히 살펴보면, 공격은 먼저 USB를 통한 개인 PC 감염을 통해 시작되었다. 이후, 공유폴더와 취약점을 통해 내부 네트워크 전파가 진행되었으며, 관리자 PC 가 감염된 후 최종적으로 제어 설비에 피해가 발생했다.

대부분의 OT 환경은 폐쇄망 혹은 독립망 구조이기 때문에 이론상으로는 안전한 환경으로 여겨질 수 있다. 하지만 공격의 대부분은 OT 환경과 연결된 IT 환경이나 사용자 PC를 먼저 감염시키고 내부 전파나 계정 탈취 등을 진행한 후에 OT 환경으로 침투한다. 따라서, OT 환경에서 비즈니스를 수행하는 기업들은 이와 같은 공격의 흐름을 파악하고, 견고한 보안 체계를 갖춰야 한다.

다음으로, 여러 비즈니스의 중추로 자리잡은 클라우드 환경에 대해 알아보자.

많은 기업들이 내부 인프라를 클라우드로 이전하고 있는데, 여기서 가장 어렵고 또 많은 고민을 하는 영역이 바로 보안이다. 안랩은 그간 여러 콘텐츠를 통해 효과적인 클라우드 보안 전략에 대해 조명해 왔는데, 이번 글에서는 기업들이 클라우드 보안 정책 수립에 앞서 필히 숙지해야 할 4가지 사항에 대해 간략히 다루고자 한다.

첫 번째는 클라우드 서비스 제공자(Cloud Service Provider: CSP)가 보안의 모든 부분을 책임져 주지 않는다는 것이다. CSP는 ‘책임공유모델(Shared Responsibility Model)’을 기준으로, CSP가 책임지는 영역과 서비스를 이용하는 기업이 책임질 영역을 명확히 구분해 놓고 있다.

​

​
[그림 2] AWS 책임공유모델 (출처: AWS)

이를테면, 하드웨어, 네트워크, 시스템 등의 보안은 CSP의 책임이고, 그 위에 고객이 직접 관리하는 영역의 보안, 예를 들어 네트워크 트래픽 관련 보안, 방화벽 설정, 암호화, 애플리케이션, 접근 제어, 데이터 보안 등은 고객의 책임인 것이다. 그리고, 책임의 범위는 IaaS, PaaS, SaaS 등 클라우드 서비스 유형에 따라 달라진다.

두 번째는 기존 온프레미스(On-Premise) 환경에서는 없었던, 클라우드 환경 고유의 보안 위협이 있다는 것이다. 클라우드는 필연적으로 기업 내부가 아닌 외부에 자산이 존재함으로, 이에 따른 다양한 위협이 존재한다. 예를 들면, 취약한 환경 설정, 계정 & 접근 관리, 컴플라이언스 미준수 등이 있다. 이에 관한 자세한 내용은 월간안 10월호 ‘클라우드 침해 원인의 80%는 이 것, 해결책은?’를 참고하면 된다.

세 번째로 온프레미스 환경에서 존재했던 보안 위협 역시 클라우드 환경에서도 그대로 존재한다. 물론, 클라우드 환경으로의 이전에 따라 기존 공격의 정도와 빈도수에 차이가 있을 수 있지만, 공격자 입장에서 공격을 성공시키는데 효과적이라 판단한다면 가능성은 항상 열려 있다고 봐야한다. 아울러, 최근 많은 기업들이 온프레미스와 클라우드 환경을 병행하여 비즈니스를 수행하기 때문에, 두 환경을 노리는 위협에 효과적으로 통합 대응할 수 있는 하이브리드 보안 전략 수립이 꼭 필요하다.

네 번째는 리눅스 보안에 대한 인식 강화다. 그간 리눅스는 비교적 안전한 플랫폼으로 여겨져 왔다. 윈도우를 중심으로 취약점이 알려져 왔고, 업데이트가 용이한 오픈소스의 특성 때문이기도 하다.

하지만, 클라우드 환경에서는 리눅스가 많이 사용되고 최근 리눅스를 노리는 악성코드가 급증하는 관계로 기업들의 주의가 요구된다. 상당수 기업들은 보안보다는 안정성을 더 중요하게 생각하여 보안 패치나 솔루션 도입에 소극적인 경향을 보이고 있다. 리눅스가 안전지대라는 인식에서 벗어나, 견고한 보안이 필요한 대상으로 우선순위를 높여야 한다.



악성코드 관점에서의 위협: 랜섬웨어 대유행​​

다음으로, 위협을 악성코드 관점에서 살펴보도록 하자. 전통적으로 악성코드는 바이러스(Virus), 웜(Worm), 트로잔(Trojan) 등 세 가지로 분류된다. 다만, 많은 이슈를 발생시키고 영향력이 큰 샘플들은 별도의 카테고리로 정의하기도 한다.

위에 해당하는 대표적인 예시가 바로 랜섬웨어다. 랜섬웨어는 공격의 빈도 수가 높고, 공격 성공 시 피해 규모가 크기 때문에 별도로 분류하고 있다. 보통은 위협 카테고리에 대한 계보를 정리하고 분석을 진행하는데, 최근에는 랜섬웨어의 변종이 워낙 많다 보니 계보도를 구조화하는 것이 큰 의미가 없을 정도로 수천 여종의 변종 랜섬웨어가 끊임없이 유포되고 있는 실정이다.


다만, 수많은 랜섬웨어 변종들 중에서도 상징적으로 중요한 의미를 갖는 랜섬웨어들이 존재한다.

첫 번째는 2013년 발견된 ‘크립토락커(CryptoLocker)’ 랜섬웨어다. 랜섬웨어는 크게 크립토락커 전과 후로 나눈다고 해도 과언이 아닐 정도로 상징성이 크다. 공개키 기반 암호화, 비트코인 지급, 타임 카운트(Time Count) 등 현재의 랜섬웨어를 대표하는 개념들이 상당 부분 크립토락커 랜섬웨어를 통해 처음 도입되었다.

다음으로 중요한 의미를 갖는 랜섬웨어는 2019년 발견된 클롭(CLOP) 랜섬웨어다. 클롭 랜섬웨어는 기업을 타겟으로 한다는 점, AD(Active Directory) 서버를 장악해 공격을 진행한다는 점, 지능형지속위협(Advanced Persistent Threat: APT)과 유사한 형태를 보인다는 점 두드러진 특징을 갖고 있다.

​
[그림 3] 클롭 랜섬웨어 공격 흐름도

[그림 3]의 클롭 랜섬웨어 공격 흐름도를 보면 이메일로 최초 침투를 시작해, 계정 탈취 및 내부 확산을 진행한다. 이후, 최종적으로 AD 서버를 장악해 기업 내부에 큰 피해를 주는 형태로 진행된다. 앞서 언급한 바와 같이 이는 전형적인 APT 공격 흐름이기도 하다.

최근 유행하는 랜섬웨어로는 클롭 랜섬웨어를 필두로 메이즈(Maze), 도플페이머(DopplePaymer), 바북(Babuk) 등이 있는데, 기본적으로 앞서 언급한 크립토락커와 클롭 랜섬웨어의 특징을 가지고 있다. 요즈음의 공격자들은 암호화 대신 탈취한 정보를 외부에 공개하겠다고 협박하는 형태로 금전적 이득을 노리고 있으며, 최근 국내에서도 많은 기업이 피해를 당하고 있다.


공격 경로 관점에서의 위협: 공급망 공격으로 전파 확대​​

IT 환경이 발달하고 인터넷 사용이 일반화되면서, 웹사이트 방문을 통한 감염은 과거부터 공격자들이 가장 선호하는 공격 경로 중 하나였다. 다만, 최근 기업을 노리는 공격의 경우 이메일을 통한 공격이 급속도로 증가하고 있다. 또한, AD 서버 등 중앙 관리 솔루션을 통한 공격과 공급망 공격으로 인한 피해가 커지고 있다.

먼저 중앙 관리 솔루션 공격을 살펴보면, 공격자 입장에서 볼 때 한 번만 성공하면 수 천, 수 만대에 이르는 내부 자산을 감염시킬 수 있기 때문에 굉장히 효율적인 공격 기법이다. 공격 과정을 정리하면 사용자 PC나 관리자 PC를 감염시켜 최초 유입에 성공한 후 내부 전파 과정을 통해 중앙 관리 솔루션으로 공격을 진행한다. 여기서, 대표적으로 많은 피해를 당하고 있는 것이 바로 AD 서버다.

​
[그림 4] 중앙 관리 솔루션 공격 흐름도

다음으로, 공급망 공격(Supply Chain Attack)은 기업에서 사용하고 있는 업무용 프로그램의 개발 및 업데이트 단계에 공격자가 개입하여 악성코드를 유포하는 공격 방식이다. 대부분의 사람들이 회사에서 지급받은 PC에 악성코드가 심어져 있거나, 업무용 프로그램을 업데이트하면서 악성코드에 감염될 거라고는 생각하지 않아 방어가 더욱 복잡한 측면이 있다.

공급망 공격 시, 공격자는 업무용 프로그램 개발 회사를 공격해 프로그램이 제작될 때 악성코드가 포함되도록 하거나, 해당 프로그램의 업데이트 서버를 해킹해 제품 업데이트 시 악성코드를 다운로드 받도록 한다. 대표적인 공급망 공격 사례로는 2020년 발생한 솔라윈즈(SolarWinds) 공격이 있으며, 솔라윈즈 소프트웨어 업데이트 과정에 악성코드를 삽입해 당사의 수많은 고객사 내부에 침투했다.

​
[그림 5] 공급망 공격 흐름도

또, 드물지만 유사한 사례로 금융 및 뱅킹 업무를 하는데 필요한 보안 프로그램이 설치될 때 악성코드를 포함하는 경우도 있다. 이와 같은 종류의 공격들은 손쉽게 수많은 시스템에 악성코드를 전파할 수 있기 때문에, 공격자에게는 매력적이고 기업에게는 치명적인 공격 방법이다. 공급망 공격이 성공하면 사용자가 아무리 보안 정책을 잘 준수하더라도 피해를 당할 수밖에 없기 때문에 범산업적 대응이 요구되고 있다.


공격 그룹 관점에서의 위협: 공격 그룹별 특징 추적​​

마지막으로, 다양한 보안 위협을 공격 그룹(Threat Actor) 관점에서 분석해 볼 수도 있다. 현재, 전 세계적으로 수백 여개의 공격 그룹이 활동하고 있는데 이들 중에는 특정 국가의 지원을 받는 그룹도 있고, 민간 주도 공격 그룹도 있다. 또한, 각 공격 그룹마다 공격 목적이나 방법 등이 조금씩 다를 수 있다.

방어의 관점에서 보면, 각 공격 그룹마다 자주 사용하는 공격 경로, 툴, 기법들이 있기 때문에 이를 역으로 분석해 분류하면 대응 체계를 갖추는데 큰 도움이 된다. 예를 들면, A라는 공격 그룹이 자주 사용하는 악성코드는 어떤 유형이고, 이메일 첨부파일을 통해 어떤 공격을 진행하며, 내부 전파에 활용하는 툴, C&C 통신에 사용하는 프로토콜 및 포트 정보를 미리 파악할 수 있다면 공격을 사전에 차단하거나 공격이 성공하더라도, 피해를 최소화하며 효과적인 재발 방지 대책을 수립할 수 있게 된다.

공격 그룹들은 전 세계적으로 다양하게 분포되어 있지만, 지역을 아시아로 좁혀보면 대표적으로 APT40과 라자루스(Lazarus) 그룹을 꼽을 수 있다. APT40은 중국 정부의 지원을 받는 것으로 추정되는 그룹으로 첨단기술 정보를 탈취하기 위해 공격을 감행해왔다. 또, 북한 정부의 지원을 받는 것으로 보이는 라자루스 그룹은 금융, 방위산업, 첨단기술 등 여러 분야에 걸쳐 해킹을 시도한다.

마이터어택(MITRE ATT&CK)에서는 글로벌 공격 그룹들의 공격 기법을 세분화하여 제시하고 있어 사용자 입장에서 보안 전략을 수립하는데 도움이 된다. 또, 안랩에서도 정부기관이나 기업을 대상으로 공격을 하거나, 이슈가 되는 공격 그룹을 별도로 관리해 모니터링하고 있다.

​
[그림 6] 안랩이 모니터링 중인 공격 그룹의 일부 발췌

[그림 6]은 안랩이 모니터링 중인 공격 그룹 중 일부를 발췌한 것으로, 앞서 언급한 APT40, 라자루스 공격 그룹 외에도, 김수키(Kimsuky), TA505 등 잘 알려진 공격 그룹들이 포함되어 있다.


안랩은 위협에 어떻게 대응하나?​​

지금까지 보안 위협을 바라보는 다양한 관점을 간략히 다뤄봤다. 안랩은 이처럼 다양한 보안 위협에 크게 3가지 전략을 기조로 대응하고 있다.

첫 번째는 위협 정보 및 데이터 수집 강화다. 안랩은 전 세계 50여개 이상의 보안 업체 및 정부기관과 정보를 교환하며 위협 정보를 확보하고 있다. 또한, MISP(Malware Information Sharing Platform)을 비롯해 다양한 공개 IoC 정보도 수집하여 보안 인텔리전스를 강화하고 있다.

두 번째는 수집된 데이터를 정제하고 변환하여 데이터 분석을 진행하는 것이다. 이 단계에서 다양한 분석 엔진을 활용하여 여러 관점에서 위협을 분석해 식별한다. 예를 들면, 평판 분석 엔진, 리스크 스코어링 엔진, 연관관계 분석 엔진, 머신러닝 엔진 등이 있고 이는 안랩의 통합 보안 플랫폼이 위협을 효과적으로 탐지해 대응하는 기반이 된다.

마지막은 전문가 중심의 자동화다. 안랩은 여느 보안 기업보다 많은 보안 전문가들을 보유하고 있으며, 이들이 두 번째 단계에서 식별한 보안 위협에 대해 자동화된 대응을 구현하는 작업을 계속해오고 있다. 현재 안랩은 실행파일 악성코드에 경우 90% 이상 자동 대응을 할 수 있는 체계를 구축했고, 다른 공격 기법에 대한 대응 자동화 역시 지속적인 연구를 통해 기술을 강화하고 대응력을 향상시키고 있다.


[출처 : 안랩(((www.ahnlab.com)]