간단하면서 효과적인 해킹 대표수법 8가지 정리
[보안뉴스 오다인 기자] 공격자는 크게 두 가지 유형으로 구분된다. 넓은 범위로 공격을 펼친 다음 누군가 걸려들길 기다리는 ‘기회주의’형이 하나고, 특정한 목적을 갖고 특정한 대상만 노리는 ‘타깃’형이 다른 하나다.
[이미지=iclickart]
먼저 기회주의형 공격자는 “피해자가 누군지 별로 신경 쓰지 않는다.” 보안 전문업체 비숍폭스(Bishop Fox)의 보안 어소시에이트 관리자 롭 레이건(Rob Ragan)은 설명한다. 레이건은 사이버 범죄를 구분하는 데 위의 두 카테고리를 사용한다. “기회주의형 공격자는 공격이 가능한 모든 기기에 접근하길 원합니다. 일단 양으로 승부한다고 할 수 있죠.”
타깃형 공격자는 다르다. 이 유형의 공격자는 특정 기기를 특정 이유로 접근하기 때문이다. 기회주의형 공격자가 주로 금전적인 목적에서 공격하는 것과 달리, 타깃형 공격자는 특정인을 속이려는 목적이나 어떤 정보를 빼내려는 목적으로 공격한다.
레이건은 공격자가 기회주의형이든 타깃형이든 공격을 기기 플랫폼을 중심으로 계획한다며, 이 때문에 페이로드 자체보다 운송 수단에 집중하여 방어하는 게 중요하다고 설명한다. “페이로드는 종류가 많아서 하나하나 대처하는 게 비효율적입니다. 그러나 주류 플랫폼으로 페이로드를 운반하는 방법은 정해져 있죠. 이메일 첨부파일을 열도록 사용자를 조종하는 것부터 패치 안 된 시스템을 익스플로잇하는 웜까지 몇 가지로 좁히는 게 가능합니다. 실제 현재 가장 빈번한 공격 방법은 수년 동안 피싱 메일이죠.”
컨설팅 업체 소셜엔지니어(Social-Engineer)의 COO인 미셸 핀처 역시 같은 맥락에서 설명을 보탰다. “기기를 해킹하려면 기술적인 감각이 뛰어나거나 물리적으로 해킹하려는 기기에 다가갈 수 있어야 하죠. 매우 어려운 난관입니다. 하지만 영리한 페이로드 운송법만 고안하면 사용자를 속여서 기기를 마치 해커처럼 다루도록 유도할 수 있죠. 그렇기에 해커들이 사용하는 무기 자체보다 그 무기를 휘두르는 방법이나 패턴에 집중하는 게 효율적입니다.”
또 다른 이유도 있다. 페이로드를 분석하는 건 일반 사용자가 거의 할 수 없는 일이지만 이 페이로드의 운송법은 일반 사용자도 익히고 방어할 수 있다는 것이다. 그래서 준비했다. 사이버 범죄자들이 엔드유저 기기를 공격하는 가장 쉽고도 효과적인 방법을 말이다.
1. 피싱
“사용자를 공격하는 가장 쉬운 방법은 여전히 피싱입니다.” 레이건은 말한다. 스피어 피싱은 악성 첨부파일을 통해 특정한 사용자들을 공격한다. 예를 들어, 매크로가 활성화된 MS 오피스 문서나 파워셸 스크립트 등을 통해서 시스템을 장악한다.
핀처는 쉬운 타깃을 찾는 사이버 범죄자들에게 피싱이 가장 간단한 수단이라는 데 동의한다. 핀처는 이메일이나 문자 속 링크를 사용자들이 지속적으로 클릭하고 있다고 말한다. 이런 공격은 일명 ‘스미싱’이라고 알려져 있다.
“비용이나 위협이 모두 낮은 수준이라, 기술적인 능력도 크게 요구되지 않습니다. 한 번에 많은 타깃에 도달할 위험성도 있는 것이죠.” 핀처는 덧붙인다.
2. 무선 납치 또는 차단
사이버 범죄자가 엔드유저 기기에 악성 페이로드를 삽입할 때, 또는 사용자 인터넷 트래픽을 공격하거나 멀웨어 설치로 방향을 틀 때 일어나는 공격이다. 레이건은 매우 다양한 툴이 있기 때문에 공격하기도 쉽다고 설명한다.
예를 들어, “와이파이 파인애플”은 무선 공격으로 엔드유저 기기를 공격할 수 있다. 이 툴을 통해 공격자는 엔드유저가 와이파이 네트워크에서 분리되게 만들고, 공격자가 쓰는 와이파이 네트워크로 연결시킨다. 이런 방법으로 공격자는 트래픽을 받아 악성 코드를 삽입하게 된다.
단, 공격 타깃과 물리적으로 가까이 있어야만 가능한 공격이라고 레이건은 지적한다. 무선 납치는 지리적으로 넓은 지역을 아울러 펼쳐질 순 없다.
3. 스미싱
“기기를 해킹할 때 두 가지 가장 큰 매개가 사용된다. 스미싱과 피싱이다.” 소셜엔지니어 CEO 크리스 해드나기(Chris Hadnagy)는 말한다. 탈옥폰이나 비정상적으로 설치한 애플리케이션 등은 위험을 높인다.
앞서 언급한 바처럼, 스미싱 공격은 사용자들이 문자 상의 악성 링크를 클릭해야만 성공한다. 해드나기는 최근 웰스파고(Wells fargo) 침해 사건을 예로 들어, 스미싱 사기의 폭증과 악성 링크들을 지적했다.
“개인 스마트기기를 회사 업무에 사용하는 BYOD와 관련한 정책이 회사 차원에서 충분하게 다뤄지지 않는다는 건 큰 위험입니다.” 핀처는 엔드유저가 일터에 기기를 가져오면서 이를 겨냥한 위협이 커지고 있다고 설명했다.
“수많은 기업들은 개인이 스마트폰, 노트북, 태블릿PC 등을 일터에 가져올 때 따르는 위험에 대해 아직 잘 모르고 있습니다. 일터에서 그런 기기들을 사용하기 전에 안전성을 검사하거나, 폰으로 회사 이메일을 확인하는 것이 괜찮은지 아닌지조차 명료하게 확인하지 않는 실정입니다.” 핀처는 말을 이었다.
엔드유저 공격은 단 한 번만 성공해도 회사 전체를 공격할 수 있다는 점에서 BYOD 위험성이 높다고 해드나기는 강조했다.
4. 사칭(Impersonation)
사칭은 주로 비밀번호를 재설정할 때나 전화번호를 전송 제어할 때, 기타 보안 제어를 우회할 때 사용된다고 레이건은 설명한다. 예컨대, 해커는 전화번호를 중간에서 가로채기 위해 특정한 운반책을 겨냥할지 모르고, 인증 토큰 및 메시지라는 이중 인증을 차단할 수도 있다. 이 같은 수법은 고도의 기술이 필요하지 않다는 점에서 “매우 쉬운” 형태의 공격 방법이라고 할 수 있다.
“제가 공격자라고 가정해봅시다. 전화 통화 한 번으로 회사 네트워크의 VPN 크리덴셜을 확보할 수 있다고 하면, 기기를 해킹할 필요조차 사라지는 셈입니다. 정상적인 사용자로 접속해서, 해당 기업만이 보유한 정보를 훑어볼 수 있게 되는 것이죠.” 핀처의 말이다. 대부분의 엔드유저 공격은 합법적인 기관인 체 하는 개인들에 의해 발생하고 있다.
“오픈소스 첩보수집(OSINT: Open Source Intelligence Gathering)을 조금만 해도, 공격자들은 (피해자에게) 은행, 상사, 고객, 친구가 보낸 것처럼 나타나는 정보를 만들 수 있습니다.” 핀처는 아무런 의심 없이 개인 정보를 보낼 만큼 사람들이 너무 바쁘거나 정신이 없다고도 지적했다.
5. 물리적으로 수중에 넣기
“누군가의 시스템에 물리적으로 접근할 수 있다는 건 거의 언제나 완패하는 게임”이라고 레이건은 말한다. 충분한 시간, 동기, 기술 등을 가진 공격자는 훔쳐낸 노트북을 뚫는 데 “거의 언제나” 성공한다고 레이건은 설명한다. 악성 USB 드라이브, 훔친 하드 드라이브, 부트 공격(boot attacks), 키로거(keylogger) 등도 물리적인 접근을 확보하는 공격에 포함된다.
모바일 기기는 적절한 보안 구성이 갖추면 특히 뚫기 어려워진다. 애플이 아이폰 비밀번호를 6자리로 입력하도록 업데이트하고 너무 많이 로그인을 시도하면 기기를 잠가버리는 조치를 취한 것 역시 모바일 기기를 공격자로부터 보호하기 위해서였다.
6. 가짜 다운로드
사람들이 멀웨어를 다운받도록 교묘하게 조종한 뒤 기기를 침해하는 전략 중 한 가지다. 공격에 성공하는 데 별다른 기술적 전문성이 필요치 않다는 점도 마찬가지다.
“사람들이 간절하게 원하는 어떤 것을 보여준 다음, 그들이 이에 접근하기 전에 다른 걸 설치하도록 하는 수법입니다.” 레이건은 말한다. 그 ‘어떤 것’은 블록버스터 영화에서부터 연예인 섹스 비디오까지 다양하다.
이렇게 효과와 접근성이 높은 수법을 ‘멀버타이징(Malvertising)’이라고 한다. 멀버타이징은 가능한 한 많은 사람을 대상으로 사기치고 공격할 수 있는 기회주의적인 공격 수법이라고 레이건은 덧붙였다. 공격자는 가짜 광고 하나를 게시하는 비용만 지불하면 되고, 주의 깊게 보지 않는 사람들이 이런 공격 수법에 넘어간다. 레이건은 최근, 아도비 아크로뱃을 다운로드 받으려다 악성 광고를 클릭하게 된 사람의 예를 들기도 했다.
7. 패치 안 된 취약점
패치 안 된 취약점들은 사이버 범죄자들이 공격을 펼치는 데 가장 쉬운 매개가 된다고 레이건은 말한다. 공격자는 인터넷에서 취약점을 물색하면서 패치 안 된 취약점들을 빈번하게 익스플로잇하며, 뚫을 수 있는 특정 환경을 공격하기도 한다. 레이건은 최근의 워너크라이 랜섬웨어 공격을 사례로 들었다.
“제일 밑에 달려있는 과일이라고 보시면 됩니다.” 레이건은 강조한다. “취약점에 대한 익스플로잇까지 공개돼있다면 특히 더 그렇죠.” 알려진 익스플로잇은 공격자가 패치 안 된 소프트웨어를 뚫고 들어가 호스트를 감염시키는 걸 쉽게 만든다.
“만약 알려진 익스플로잇이 없다면, 익스플로잇을 만들어내는 건 공격자의 기술적인 능력에 달려있습니다.” 레이건은 후자가 더 어렵다는 점을 이렇게 언급했다. 패치 안 된 취약점에 대한 공격은 모든 플랫폼을 대상으로 이뤄진다. 윈도우, 안드로이드, iOS 전부가 위험하다는 뜻이다.
8. 클라이언트 쪽 익스플로잇
자바스크립트로 보낸 페이로드가 포함되는 공격 유형이다. 이 자바스크립트는 토르 프록시를 통해 삽입될 수 있는데, 웹사이트 주소를 실수로 잘못 기입할 때를 노려 악성 애플릿(applet)이나 플래시 익스플로잇을 운송하는 타이포스쿼팅(typo-squatting) 공격까지 해당된다.
브라우저 보안이 향상되면서 이런 유형의 공격이 더욱 복잡해지고 있다고 레이건은 지적한다. 예를 들어, 크롬은 자동 업데이트가 되기 때문에 이런 공격이 일어나기가 어렵다. 파이어폭스나 마이크로소프트 엣지(Edge)는 상대적으로 더 쉽다.
“브라우저 개발자들이 분발하고 있기 때문에 이런 익스플로잇을 개발하는 건 정말 어려워졌습니다. 그렇지만 알려졌거나 패치 안 된 취약점들이 여전히 남아있기 때문에, 공격자가 다른 목적으로 이를 이용하는 것은 상대적으로 쉽습니다.” 레이건은 설명했다.
[국제부 오다인 기자(boan2@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>