[보안뉴스 조재호 기자] SK텔레콤의 대규모 유심 서버 해킹사고에 이어 콜센터 운영기업의 대규모 개인정보 유출사고가 발생하면서 대한민국이 발칵 뒤집혔다. 2차 피해도 우려돼 국민들의 불안감도 증폭되고 있다.

이번 보안사고는 장시간 시스템 내에 잠복해 있다가 서버나 인프라를 공격하는 스텔스(Stealth)형 해킹으로, 기존 보안 시스템으로는 탐지하기 어렵고 공격대상도 사회적 파장이 큰 인프라와 대규모 개인정보 서버를 겨냥한 게 특징이다.


[자료: gettyimagesbank]

이러한 가운데 사이버 위협헌팅 보안기업 씨큐비스타가 이러한 스텔스(Stealth)형 사이버 위협을 근본적으로 예방하고 대응할 수 있도록 차세대 NDR 기반 스텔스형 사이버 위협 대응 전략을 상세히 분석한 보안보고서 ‘씨큐리포트’(CQ Report)를 발표했다.

지난 4월 19일 국내 최대 통신사 SK텔레콤이 BPFdoor, Symbiote 등 악성코드 공격을 받아 IMSI(국제 이동 가입자 식별자), MSISDN(전화번호), 인증 키 등 민감한 개인정보가 외부로 유출돼, 유심 정보를 악용한 휴대폰 신규개통, 개인인증 도용 등 ‘심 스와핑’을 통한 2차 피해가 잇따를 것으로 우려되고 있다.

해커들은 심 스와핑 수법을 통해 피해자 명의로 수신되는 통화와 문자, 인증코드를 가로채 금융기관이나 가상화폐 거래소 계정을 탈취하거나 이메일, SNS 계정 등에 접근할 수 있게 됐다. 보안업계는 탈취된 유심(USIM) 정보와 유출된 개인정보가 결합될 경우 더 큰 피해로 이어질 수 있다고 경고했다.

같은 날 콜센터 전문 운영사의 인사시스템이 LummaC2 악성코드 해킹 공격을 받아 임직원과 퇴사한 임직원들의 개인정보 약 3만 6천건이 유출되는 사고도 발생했다. 이름, 주민등록번호 뒷자리, 비밀번호, 계좌번호, 연락처 등이 암호화되어 유출됐으며 증명사진, 신분증 사본, 통장 사본, 근로계약서, 서명 정보, 가족관계증명서, 주민등록등본, 혼인관계증명서 등이 암호화 없이 유출됐다. 해킹된 약 22GB 분량의 개인정보는 다크웹에서 2천만원에 거래되고 있는 것으로 알려졌다.

스텔스형 위협은 시그니처 기반 탐지 체계를 우회하며, 통신 세션 내 이상 징후를 교묘하게 은닉해 IPS, EDR 등과 같은 기존 보안시스템으로는 탐지하기 어렵다. 최근 급격히 진화하면서 장기간 은닉할 수 있는 능력을 갖췄고, 통신 인프라, 클라우드 서버, 엔드포인트를 위협하는 주요 공격 수단으로 부상하고 있다.

이번 유출 사고에 사용된 악성코드는 △은닉형 BPFdoor와 △기생형 Symbiote, △정보 탈취형 LummaC2 등이다. 특히 BPFdoor는 일반 악성코드와 달리 매우 은밀하게 통신을 제어할 수 있도록 설계된 고급 스텔스 백도어 악성코드로, ‘방화벽, IPS, EDR 등의 기존 보안 솔루션’으로는 탐지가 거의 불가능한 것으로 알려졌다.

이와 관련 발표한 보고서에서는 스텔스형 악성코드들은 각각 고유한 통신 특성과 패턴이 있어 심층 분석을 통해 이를 조합한 탐지 로직을 구성해야 하며, 비암호화 및 암호화 통신을 아우르는 통합 탐지 및 대응 체계를 구축해 사이버 보안을 강화해야 한다고 강조했다.

이와 함께 통신 세션 메타데이터를 실시간으로 분석하는 TTP 탐지 모듈과 대규모 세션 데이터의 정밀 분석 체계를 병행해 암호화 여부와 관계없이 네트워크상의 은닉형 이상 징후를 선제적으로 탐지할 수 있는 차세대 NDR 대응을 구축해야 한다고 덧붙였다.

시큐비스타 전덕조 대표는 “최근 사이버 위협은 단순한 시그니처 탐지를 우회하는 수준을 넘어 커널 은닉, 암호화 통신 위장, 포트리스(portless) 백도어 통신 등 점점 더 고도화되고 있다”며 “TLS 1.3, QUIC 등 최신 암호화 프로토콜 환경에서도 Beaconing 통신, TLS 핸드셰이크 이상, 주기성 패턴 등을 포착해 은닉형 공격을 조기 탐지할 수 있는 정교한 통신 세션 기반 이상 분석 기법 도입이 시급하다”고 강조했다.

[조재호 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>