[블록체인] 1장, 사이버 위협 환경과 보안 과제

정보(information)는 경쟁우위와 지속적 성공을 얻는 핵심이다. 정보는 대용량의 데이터로부터 생성되며, 단순한 문제의 해답을 얻는 데 사용되곤 한다. 첩보(intelligence)는 정보 수집에 의해 개발되며, 의사결정 프로세스를 뒷받침할 수 있는 미래 예측을 제공한다. 첩보 수집은 미래를 예측하기 위한 가장 강력하고 효과적인 도구다. 시대와 기술을 막론하고, 첩보를 수집하는 목적은 적들로부터 한 발 앞서는 것이다.

 

잠재적 위협의 정도에 따라 주요 취약점에 우선순위를 매겨 대응해야 하는데, 이를 위해서는 위협 첩보에 고도로 숙련돼야 한다.

 

인터넷 이후로 가장 유명세를 타는 기술 용어는 바로 블록체인(blockchain)이다. 블록체인의 진정한 혁신성은 암호화폐에 국한되지 않는 응용 가능성에 있다.

 

[ 현재의 위협 환경 ]

공격자가 일단 취약점을 찾아내고 애플리케이션에 접근할 방법을 결정하고 나면 애플리케이션에 대한 익스플로잇(exploit)을 구축하는 데 필요한 모든 것을 가진 셈이다. 그러므로 강력한 취약점 관리를 개발하는 것이 매우 중요한다. 취약점 관리의 효과를 보기 위해서는 급증하는 보안 위협과 모형을 따라잡으려는 의지가 무엇보다 중요하다.

 

랜섬웨어

랜섬웨어(ransomware)는 희생자의 컴퓨터를 암호화한 뒤 접근을 위해 금품을 요구하는 맬웨어다. 랜섬웨어는 그 높은 수익 때문에 기승을 부리는 크라임웨어(crimeware)다. 지난 2년 위너크라이(WannaCry), 낫페트야(NotPetya), 록키(Lockey) 같은 랜섬웨어가 미디어에서 엄청난 유명세를 탔다.

 

랜섬웨어 제작자는 다크 웹(dark web)에서 서비스를 제공하며, 구매자가 맬웨어를 생성 및 수정할 수 있게 한다.

 

다크 웹은 인터넷의 일부이며 검색 엔진으로는 찾을 수 없고 토르(Tor)라는 익명성을 보장하는 브라우저가 필요하다. 달리 말해, 색인되지 않아 검색 엔진에서 사용할 수 없는 데이터를 전달하는 것이 다크 웹이다. 토르 브라우저는 사용자 정보를 여러 단계의 프록시 서버를 통해 전달함으로써 신원을 식별하거나 추적할 수 없게 만든다. 다크 웹 사이트는 .com, .net, .co 등의 최상위 도메인을 갖지 않고 .onion으로 끝나는 웹사이트를 사용한다.

 

해킹의 수익화

사이버 범죄자들은 더 이상 맬웨어를 직접 개발하지 않고, 다크 웹 시장을 통해 랜섬웨어 서비스를 구해서 이용한다.

 

공격자는 랜섬웨어 프로그램의 타이머를 미리 맞춰두고 그 시한까지 몸값을 받지 못하면 데이터를 파괴한다. 공격자는 지급 절차도 공유하는데, 비트코인 지갑을 주로 사용한다(디지털 암호화폐 지갑이 제공하는 익명성 때문이다).

 

위너크라이

가장 규모가 컸던 랜섬웨어 공격은 2017년 5월 12일에 발생한 위너크라이(WannaCry)다. NSA가 최초로 발겨한 윈도우 운영체제의 취약점을 이용해 섀도 브로커스(Shadow Brokers)가 위너크라이를 일으켰다. 그것은 윈도우 SMBv1과 SMBv2의 취약점을 악용해 네트워크 간에 횡적 이동(lateral movement)을 하도록 설계했다.

 

낫페트야

낫페트야(NotPetya)는 2017년 6월에 시작된 랜섬웨어 공격이다. 낫페트야 랜섬웨어는 파일을 암호화한 뒤, 파일을 복구하려면 비트코인을 달라는 화면을 띄우는 페트야(Petya) 바이러스와 여려 면에서 닮았다. 최초의 감염 방법은 우크라이나의 회계 소프트웨어인 M.E.Doc에 심어진 백도어였다.

 

심플로커

심플로커(SimpleLocker)는 컴퓨터 시스템이 아닌 휴대폰을 공격 대상으로 삼은 최초의 랜섬웨어다. 공격자는 안드로이드 운영체제를 선호했다. 바이러스는 구글 플레이 스토어를 통해 디바이스에 침투했다. 바이러스가 일단 설치되면 여러 파일 유형을 감염시키고 AES(Advanced Encryption Standard)를 사용해 암호화하며 파일 확장자를 .enc로 변경한다.

 

크립토로커

크립토로커(CryptoLocker)는 대규모 랜섬웨어로서 2013년 9월 5일에 인터넷에 처음 올라간 것으로 보이며 이메일 첨부 파일과 게임오버 제우스(Gameover Zeus) 봇넷을 통해 확산됐다. 사용자의 로컬 및 네트워크 드라이브에 있는 특정 유형의 파일을 RSA 암호화를 사용해 암호화했다. 크립토커스는 2014년 5월 하순에 게임오버 제우스 봇넷을 제압한 토바르(Tovar) 작전으로 제거됐다.

 

테슬라크립트

크립토로커가 등장한 지 일 년 뒤 테슬라크립트(TeslaCrypt)라는 새로운 위협이 등장했다. 이 랜선웨어는 하드코어 게이머를 대산으로 삼았다. 테슬라크립트는 비디오 게임과 관련된 부수적인 파일을 감염시켰다. 이 랜섬웨어의 독특한 점으로는 이 랜섬웨어의 제작자가 트로이목마의 효과를 지속적으로 개선했으며 공격을 진행하는 동안 약점을 보완했다는 것을 들 수 있다.

 

피씨 사이보그

1989년 피씨 사이보그(PC Cyborg)라는 이름의 트로이 목마가 발견됐는데, 그것은 C 드라이브에서 폴더를 숨기고 파일들의 이름을 암호화하는 능력이 있다.

 

[ 분산 서비스 거부 공격 ]

분산 서비스 거부(Distributed denial-of-service) 혹은 디도스 공격은 서버에 대량의 무작위 트래픽을 발생시킴으로써 적법한 사용자 트래픽을 방해하려는 악의적인 시도를 가리킨다. DDoS가 DoS와 다른 점으로는 분산적이라는 특징을 들 수 있는데, 해킹된 시스템들의 독립적인 네트워크로부터 목표를 공격한다. 점거된 컴퓨터 시스템들을 봇(bot)이라 하며, 그러한 봇들이 동일한 악의적인 행종을 하도록 조종하는 그룹을 봇넷(botnet)이라 한다.

 

디도스 공격은 복수를 하거나 갈취, 액티비즘, 심지어 사이버 전쟁에까지 사용되는 상습적인 수법으로 자리 잡았다.

 

다크 웹의 여러 공격자가 디도스 공격을 쉽게 만들어주는 서비스를 제안하고 있다.

 

내부자 위협 식별하기

CERT의 '내부자 위협 완화를 위한 상식 안내'에서는 현재 혹은 과거의 직원, 계약자, 비즈니스 파트너로서 다음 조건에 부합하는 사람을 내부자로 규정한다.

 

• 조직의 네트워크, 시스템, 데이터에 접근할 권한을 갖고 있거나 갖고 있었던 사람
• 조직한 정보 혹은 시스템에 불필요하게 접근하거나 의도적으로 기밀성, 무결성, 가용성에 해를 끼치는 방식으로 접근한 사람

내부자 위협 프로파일

이 공격은 주요 시스템에 접근할 수 있고 인가된 방법으로 보안을 우회할 수 있는 지식을 가진 사람들이 일으키기 때문에 다른 맬웨어보다 더 위험하다. 

 

[ 데이터 유출 ]

데이터 유출은 민감한 기업 문서, 기술 청사진, 지적 재산, 영업 비밀, 심지어 메일의 유출과 관련될 수 있다. 이것은 늘 큰 규모로 발생하며 비즈니스에 더욱 큰 영향을 끼친다. 정교한 공격자는 목표에 고도로 최적화된 맬웨어를 무기로 삼을 뿐 아니라 맬웨어를 은밀하게 전달한다.

 

데이터 유출이 발생하는 몇 가지 경로가 있으며, 가장 일반적인 이유는 다음과 같다.

 

• 악의적 공격: 적들이 맬웨어 또는 맬웨어 없는 공격을 실시해 애플리케이션 취약점을 활용해 민감한 정보를 탈취한다.
• 취약한 보안 시스템: 공격자는 더욱 지능적으고 집요해졌다. 공격자는 훔친 자격증명을 사용해 네트워크상에서 적법한 사용자로 보이게 될 수 있어 방화벽, 침입 방지 시스템(intrusion prevention system, IPS), 종단 보안과 같은 기존 보안 시스템을 우회할 수 있다.
• 인적 오류: 2017년 버라이즘 데이터 유출 조사 보고서에 따르면 데이터 유출의 88%가 인적 오류와 관련이 있었다. 인적 오류는 모든 조직에서 다워야 할 문제다.

데이터 유출의 파급력

독립 보안 연구 회사인 포네몬 연구소에서는 데이터 유출 피해를 입은 조직에 대해 데이터 유출로 인한 영향을 조사했다.

 

• 재정적 손실: 데이터 유출을 겪은 113개 회사는 평균 5%의 주가 하락과 고객 이탈을 경험했다.
• 브랜드 가치 하락: 최고 마케팅 책임자(CMO)의 61%는 데이터 유출의 가장 큰 대가는 브랜드 가치 하락이라고 답했다.
• 고객 신뢰 상실: 고객은 금융 기관, 헬스테어 제공자, 정부 기관이 그들의 정보와 프라이버시를 지켜줄 것으로 믿는다.

[ 지능형 지속 위협(APT) ]

APT는 네트워크에 침입하고, 탐지를 회피하며, 가치 있는 정보를 장기간에 걸쳐 획득하는 단계를 거친다.

 

• 지능형(Advanced): 공격자가 사용할 수 있는 광범위한 감염 벡터와 맬웨어 기술을 망라해서 시스템을 성공적으로 공격할 수 있다.
• 지속(Persistent): 공격의 위협이 상존한다.
• 위협(Threat): 이것은 일상적으로 일어나는 대수롭지 않은 시스템 손상과는 다르다. 고도로 조직화되고, 지금이 뒷받침되며, 범행 동기가 있을 뿐 아니라, 공격이 성공할 경우 일반적인 시스템 삭제를 넘어서는 심각한 결과를 초래할 수 있다는 점에서 실질적 위협이 된다.

기술 발전과 더불어 기업체 등을 스토킹하는 새로운 방식이 부상했다. 이것은 APT의 형태로 이뤄진다. APT는 조직의 네트워크에 접근하도록 인가되지 않은 사람들에 의해 네트워크에서 장기간 은밀하게 이뤄지는 공격이라 할 수 있다.

 

APT의 특징

APT는 대상 설정, 목적, 인적 요인에 있어서 일반적인 사이버 범죄와 다른 양상을 보인다.

• 대상: 금융, 정치, 지리, 감시, 보안 첩보에 의거해 고가치 정보를 획득하도록 선택된다.
• 목적: APT의 목표는 단순히 침투하기만 하는 것이 아니라 보안 관리자에게 탐지되지 않으면서 네트워크의 자원에 계속해서 접근하는 것이다.
• 인적 요인: APT는 스피어 피싱 또는 내부자 위협을 통해 발생하므로 인적 요인이 APT 실행의 주요 요소다.

[ 수비자의 관점 ]

새로운 위협 환경과 가장 효과적인 사이버 공격 기법 몇 가지를 이해했으면 우리 스스로를 지키려는 노력이 중요하다. 이러한 위협 그룹은 조직의 자산을 찾는 데 필요한 모든 것을 갖추고 무기로 삼을 취약점을 찾는다. 

 

정부 기관

정부 전자 시스템은 첩보를 수집하려는 외국 정보기관을 목표가 되곤 한다. 상호연결 기술의 발전에 힘입어 정부 시스템의 공격 표면이 증가하는 국면이다. 각국의 정부 기관은 주요 자산을 보호하는 데 심혈을 기울이고 있다.

 

기업체

종단 탐지 및 대응(EDR)

EDR(Endpoint detection and response)은 네트워크의 악의적인 활동을 탐지하고 제거하도록 설계된 솔루션이다. EDR 솔루션은 다음 네 가지 기능을 포함한다.

 

• 종단을 지속적으로 감시함으로써 위협을 탐지
• 로그를 수집하고 조사해서 각 종단의 활동으로부터 발생한 이벤트 내역과 비교하고 연관성을 찾음
• 자원의 위험한 시도에 대응하고 네트워크로부터 격리
• 종단의 비인가된 프로세스를 중단시켜 정상 상태로 되돌림

기만 기술

공격자로 하여금 가짜 대상 시스템에 침투하도록 하는 기술이다. 기업에서는 기만술을 통해 공격자를 탐지하고 그들의 습성과 흔적에 대한 단서를 확보해서 보안을 향상시킬 수 이싿. 이것은 네트워크 장치, 종단, 애플리케이션 드으이 다층구조로 확장될 수 있다.

 

사이버 위협 첩보

사이버 위협 첩보(CTI)란 적들의 능력을 분석하는 방식이다. 사이버 공간에서 CTI는 IOC(위험 노출 척도)의 형태로 구현되며, 여기에는 악의적인 IP 주소, 도메인 이름, 해시 등이 포함된다. 조직에서 위협 정보에 준비하고 방어능력을 키울 계획을 세우기 위해서는 자산, 인력, 연결된 서드파티를 이해하는 것이 중요하다.

 

[ DDE 공격 ]

마이크로소프트 오피스의 동적 데이터 교횐(DDE) 기능을 이용한 것이다. 사이버 킬 체인은 공격 단계를 기술하기 위해 사용된다. 사이버 킬 체인의 관덤에서 이 공격을 살펴보자.

 

• 정찰(reconnaissance): 이것은 계획 단계로서 공격자가 관찰이라든지 그 밖의 탐지 방법을 동원해 정보를 수집한다. 사이버 공격 계획과 정찰은 공격 대상에 대한 조사를 수행하는 것을 포함하는 경우가 많다. 구글과 쇼단(Shodan) 같은 오픈소스 정보 수집 도구를 사용하는 경우가 많으며, 공식 발표와 소셜 미디어, 회사 프롶필과 같은 공개된 데이터를 검색하고, 이메일 주소도 수집한다.
• 무기화(weaponization): 위협 행위자가 최적의 공격 방법을 계획하는 단계다. 위협 행위자는 직원 이메일을 피싱(phishing)하거나 드라이브 바이 다운로드(drive-by download) 공격을 통해 직원을 익스플로잇하는 것을 계획하기도 한다. 

■ 악성코드를 실행하는 워드 문서 작성

 

빈 문서에서 삽입 → 빠른 문서 요소 → 필드 탭을 선택한다.

 

㉮ DDE 익스플로잇 코드를 삽입하기 위해 필드 이름에서 = (Formula) 옵션을 선택한다.

 

㉯ 여기까지 하면 '!수식의 끝이 잘못되었습니다'라는 오류가 나타날 것이다. 이 필드를 대상으로 마우스 오른쪽 버튼을 클릭하고, 필드 코드 토글 옵션을 선택한다. DDE 개체 페이로드를 텍스트 필드에 넣으면 문서가 열릴 때 우리가 선택한 코드(맬웨어)가 실행된다. 

㉰ 텍스트 필드에 다음과 같은 코드를 입력한다. 그런 다음, 문서를 '재무 현황' 같은 그럴 듯한 이름으로 저장한다.

 

• 전달(delivery): 종단(endpoint)은 전달의 일차적 수단이며, 웹사이트로부터의 드라이브 바이 다운로드, 표적 피싱 공격, 혹은 보안된 가상 사설망(VPN)을 통해 직원 소유의 디바이스를 감염시킴으로써 이뤄진다.
• 익스플로잇과 설치(exploitation and installation): 이 단계에서 공격자는 실행할 페이로드(payload)를 얻기 위해 소프트웨어 또는 사람의 약점을 파고든다. DDE 익스플로잇에서 적들은 악성 문자를 포함한 이메일을 보냈다. 사용자가 문서를 실행하면 공격자는 희생자 머신의 리버스 셸을 얻는다.

공격자가 무기화 단계에서 어떻게 익스플로잇을 만들어 희생자의 머신에 접근하는지 살펴보자. 공격자는 악의적인 페이로드 문서를 생성하고 그것을 이메일을 통해 희생자에게 보낸다.

 

㉱  사용자가 문서를 열면 오류 메시지가 한 번 나타난 후 페이로드가 실행된다.

㉲ 사용자가 악의적인 문서를 시작할 것을 선택하면 페이로드가 실행되어 미터프리터 세션이 열린다.

㉳ 행동개시: 위협 행위자는 이러한 방식으로 조직의 민감한 파일에 접근할 수 있다. 공격자는 희생자의 머신으로부터 데이터를 탈취하려고 시도한다. 여기에는 기밀 정보를 담은 다수의 파일이 있으며 공격자는 이를 탈취하려고 시도한다.

적들은 다음과 같은 스크린샷을 찍어 희생자가 무엇을 하고 있는지, 머신에서 어떤 프로세스가 동작하는지 파악하려 한다.

 

새로운 보안 과제

• 뒤늦은 보안 적용: 네트워킹 및 클라우드 발전 속도에 비해 사이버 보안 솔루션의 발전은 더디다. 네트워크는 그 복잡성을 제거하는 방향으로 발전해서 전통적인 네트워크 세그멘테이션이 단순화하고 평면적인 아키텍처로 대체되는 추세다. 그러나 보안 솔루션들은 위협을 완화하기 위해 여전히 전통적인 제로 베이스 접근을 취한다.
• 인적 오류: IBM 보안 서비스 보고서에 따르면 사이버 사건의 95%가 시스템 구성 오류 및 불충분한 패치 관리 등의 인적 오류에 의해 발생했다.
• 제3자 벤더 보안 리스크: 상호연결된 비즈니스의 세계에서 조직들은 더 나은 비즈니스 운영을 위해 다른 조직들에 정보를 제공해서 사용하도록 하고 있는데, 이것으로 인해 리스크가 더 커질 수 있다. 만약 제3자가 장악되면 조직은 비즈니스 데이터 손실의 리스크에 처한다. 대부분의 공급망 공격은 정교한 공격 벡터를 사용해 기존 보안 시스템을 우회한다.

 

---

출처: 블록체인으로 구현하는 사이버 보안, 라즈니쉬 굽타 지음