윈도우 파워쉘, 안드로이드와 애플, 사회 기반시설부터 랜섬웨어까지
[보안뉴스 문가용] 우후죽순처럼 발생하는 해킹 공격. 사건사고를 수집하고 그에 대한 정보를 공유하는 것도 중요하지만 최신 트렌드를 주기적으로 종합해 큰 틀에서 다음 공격을 예상해보는 것도 방어에 큰 도움이 된다. 그럼 최근 열린 보안 컨퍼런스 RSA에서 제기된 우리가 눈여겨봐야 할 공격 패턴들에는 어떤 것들이 있을까?
.jpg)
1. 윈도우 파워쉘
파워쉘을 통한 해커들의 공격이 이어지고 있다. SANS의 에드 스쿠디스(Ed Skoudis)는 “보안 업계가 파워쉘 5의 등장을 계기로 파워쉘 공격에 상당히 잘 대처할 수 있게 되었지만, 파워쉘 공격이 중단되지는 않을 것”이라고 내다봤다. 그 증거로 “파워쉘을 공략하도록 해주는 툴이 계속해서 등장하고 있다”며 “파워쉘 엠파이어(PowerShell Empire)가 생생한 증거”라고 설명했다.
“공격자들이 파워쉘에 무차별적으로 접근하는 일은 적어도 3~5년은 더 발생할 겁니다. 물론 보안 업계가 마냥 당하고만 있는 건 아니지요. 지금도 계속해서 마련하고 있는 여러 가지 대처법은 전체적으로 올바른 방향을 향하고 있습니다. 다만 큰 방향만 맞지, 세세한 기술적인 대처가 온전하게 이루어지고 있지 않아서 문제죠. 그러니 당분간은 윈도우 파워쉘 공격이 더 일어날 겁니다.”
2. 스테이지프라이트와 비슷한 모바일 취약점
작년 한 해 우리는 안드로이드 계열 스마트폰에서 헤아리기 불가능할 정도로 많은 취약점들을 찾아냈다. 그 중 하나이면서 아마 가장 많은 충격을 안긴 취약점을 꼽으라면 스테이지프라이트(Stagefright)를 들 수 있을 것이다. 이는 OS의 핵심 라이브러리 파일 내에 존재하는 버그로 정교하게 조작된 MP3 혹은 MP4 파일을 사용해 외부로부터의 공격을 가능케 하는 취약점이다. 이 취약점 자체만으로도 충분히 위협적이지만 스테이지프라이트로 인해 보다 근본적인 약점이 드러났다는 게 더 치명적이다. “기기 제조사, 모바일 플랫폼 개발자, 통신사가 힘을 합해야 사용자들의 기기가 빨리 패치되는 건데, 그런 공조 체제가 부재하다는 사실이 드러났습니다.”
스쿠디스가 설명을 이어갔다. “결국 스테이지프라이트 때 우리가 볼 수 있었던 건 모바일 제조사들의 가장 큰 관심사는 사용자의 핸드폰을 복구해주고 치료해주는 게 아니라 이왕 고장났으니 다른 폰을 사도록 유도하는 것이었습니다. 패치해서 고쳐주는 게 오히려 그들의 사업에는 방해가 되는 꼴이었던 것이죠.”
그렇기 때문에 결국 스테이지프라이트는 사용자 스스로가 갖는 보안의 역할이 얼마나 중요한지가 드러난 사건이라고도 평할 수 있다. “사용자가 알아서 최신 버전 소식을 찾아내고, 패치하는 노력을 기울여야 합니다. 당신이 안드로이드나 애플 모바일 기기용 앱을 개발하는 사람이라면, 최신 버전의 OS에서만 구동이 되게끔 해서 사용자가 최신 버전을 설치할 수밖에 없게 하는 것도 좋은 방법입니다.”
3. 개발자들도 안전하지 않아 – 엑스코드고스트
안드로이드만 지옥 같은 한 해를 보낸 건 아니다. iOS는 아예 기존에 쌓아뒀던 ‘견고한 성’과 같은 이미지도 몽땅 잃었으니 말이다. 특히 엑스코드고스트(Xcode Ghost) 사건은 난공불락의 공식 앱 스토어도 뚫을 수 있다는 희망을 해커들에게 안겨주기도 했다.
“엑스코드고스트 사건은 정말 상징적인 일입니다. 해커들이 아주 머리를 잘 썼어요. 애플이 정식으로 개발자들을 위해 내놓은 엑스코드(Xcode)라는 개발자 툴에다가 백도어를 심었을 줄 누가 예상했겠습니까? 툴이 오염되었으니 그 툴로 만든 모든 앱들이 오염되었을 것은 자명한 결과였고, 실제 그렇게 공식 앱 스토어가 뚫려버렸죠. 현대 소프트웨어의 생애주기 및 속성을 아주 잘 이해하고 있는 겁니다. 이렇게 소프트웨어 생태계의 근본을 찾아 흔들기 시작하면, 애플리케이션에 둘러 싸여 사는 현대인들에게 막대한 피해를 입히는 게 가능해집니다.”
스쿠디스는 “앞으로도 몇 년 동안은 이런 공격 방식에 착안한 해커들이 많이 활동할 것”이라며 “특히 기업체들을 겨냥한 공격이 많을 것”이라고 경고했다. “이제 애플의 공식 앱스토어도 뚫어봤으니 업체들마다 따로 만들어 운영하는 앱들을 노리기도 쉬워질 것입니다. 일반 사용자보다 업체를 노리는 쪽이 수익면에서는 더 확실하기도 하고요.”
4. 사회 기반시설 공격
현재 사회 기반시설 만큼 취약한 곳도 찾기 힘들 정도다. 노화된 통제 시스템들 때문이다. 발전소, 수력 및 전기 공급 발전기, 교통 시스템 등 이미 현대 사회의 주축을 이루는 중요 시설은 대부분 오래 전부터 있어왔고 그렇기에 비교적 요즘의 것인 인터넷 및 IP 기술과 맞물리면서 취약점들이 걷잡을 수 없는 수준으로 등장하고 있는 것이다. 이것이 가장 잘 드러난 사건이 바로 작년 12월에 있었던 우크라이나 대규모 정전사태라고 SANS의 요하네스 울리히(Johannes Ullrich)는 설명한다.
“복잡한 공격이었습니다. 시작은 피싱이었고, 이것을 발판 삼아 여러 시스템들에 접근할 수 있었던 것으로 보입니다. 그 여러 시스템 중에 무정전 전원장치도 있었던 게 문제였죠. 게다가 고객 서비스용 통신 시스템에도 디도스와 비슷한 공격이 있었어요. 통신 시스템을 마비시켜 해커들이 활동할 시간을 좀 더 벌어둔 것이죠.”
우크라이나의 대규모 정전사태가 심각하게 거론되었지만 사실 그 정도(약 6시간)로 끝난 게 오히려 행운이라고 보는 시각들도 존재한다. 하지만 우크라이나 사태는 전기가 다시 돌아왔다고 끝난 게 아니다. 킬디스크(KillDisk)라는 멀웨어 기능이 여러 시스템의 붓 섹터를 전부 삭제했기 때문에 복구가 장기적으로 진행될 예정이다.
“제가 알기로는 아직도 복구 작업이 한창입니다. 지금은 전기 공급을 위한 최소한의 시스템만 급히 복구한 거지, 이전과 같이 모든 것이 제대로 된 통제 하에 운영되는 건 아닙니다. 사회 기반시설에 대한 공격이 갖는 더 큰 문제는 바로 이렇게 장기적인 피해가 누적된다는 겁니다. 복구가 불가능한 피해는 아니지만, 비용과 시간이 엄청나게 드는 게 보통이죠. 게다가 한 번 당하면 트라우마로 남아 네트워크에 대한 신뢰도도 떨어지기 마련이고요.”
5. 외부 소프트웨어의 약점 공격하기
“코딩을 할 때 완전히 백지부터 시작하는 경우는 거의 없습니다. 아마 깨끗한 흰 종이 위에서 모든 걸 창조해내는 개발자는 한 명도 없을 걸요? 제가 하는 건 이미 있는 코드들 중 필요한 걸 골라 이어 붙여 주는 겁니다. 소프트웨어가 대부분 그렇게 만들어지죠. 테이프 덕지덕지 바른 종이공작 같은 거요. 이런 과정에서 소스코드를 다시 한 번 들여다본다는 건 거의 일어나지 않는 일입니다.”
그런 점에 착안, 공격자들은 점점 소프트웨어를 구성하는 여러 요소들 중 취약한 것들을 찾아서 공격하는 기법을 날로 발전시키고 있다. 개발 프로세스의 특성 상 하나의 요소만 잘 공략하면 굉장히 많은 소프트웨어에 영향을 줄 수 있으니 효율도 좋다. “이건 개발자에게 시큐어 코딩을 닦달한다고 해결 될 문제가 아니에요. 소프트웨어 개발 전체 프로세스를 처음부터 바꿔야지요. 시스템의 체질 개선이 이루어져야 할 문제입니다.”
6. 사(악한)물인터넷
사물인터넷 또한 좋은 먹잇감이다. 우리 생활 반경 여기저기에 설치되어 있는 센서와 기기들, 게다가 대단히 빠른 속도로 늘어나고 있는 ‘공격의 창구’를 해커들이 그냥 지나칠 리 없다. 울리히에 의하면 사물인터넷이 당하게 될 가장 빈번한 공격은 ‘디도스 공격’이라고 한다. “작은 사물인터넷 기기를 공격해 먹통으로 만들고, 그것을 장악해서 다른 용도로 활용하기 위함이죠. 아직 기기들이 취약하기 때문에 몇 년은 이런 공격이 계속해서 들어올 겁니다.”
특히 위험한 건 기업들이라고 울리히는 전한다. “사무실에서도 다양한 업무 목적으로 사물인터넷 기기들을 들여놓고 있죠. 이왕이면 평범한 가정보다 이런 사무공간을 노리는 게 더 효과가 좋지 않겠어요? 인터넷과 PC를 통해서만 일어나던 공격이 이제 다른 경로를 통해서도 들어오게 되었습니다.”
7. 랜섬웨어, 랜섬웨어, 랜섬웨어
울리히는 마지막으로 랜섬웨어의 급증을 언급했다. “당분간 랜섬웨어의 증가 현상은 계속 이어질 것으로 보입니다. 왜냐하면 이른바 ‘멀웨어 경제’라고 하는 것의 큰 흐름이 바뀌었기 때문입니다.” 가장 큰 요소는 “훔칠 수 있는 정보는 이제 다 훔쳤다고 봐도 되는 상태”에 다다랐기 때문이다.
“그렇기 때문에 이제 개인정보가 돈이 되지 않습니다. 헐값이죠. 즉 공급이 엄청나게 늘어났기 때문에, 해커들로서도 새로운 수익모델을 찾아야 합니다. 그게 바로 랜섬웨어였죠. 훔친 데이터를 또 다른 해커들에게 팔 수 없다면, 이제 그 훔친 데이터를 피해자 본인들에게 되판다는 개념인데, 대단히 신선한 것이었습니다.”
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용] 우후죽순처럼 발생하는 해킹 공격. 사건사고를 수집하고 그에 대한 정보를 공유하는 것도 중요하지만 최신 트렌드를 주기적으로 종합해 큰 틀에서 다음 공격을 예상해보는 것도 방어에 큰 도움이 된다. 그럼 최근 열린 보안 컨퍼런스 RSA에서 제기된 우리가 눈여겨봐야 할 공격 패턴들에는 어떤 것들이 있을까?
1. 윈도우 파워쉘
파워쉘을 통한 해커들의 공격이 이어지고 있다. SANS의 에드 스쿠디스(Ed Skoudis)는 “보안 업계가 파워쉘 5의 등장을 계기로 파워쉘 공격에 상당히 잘 대처할 수 있게 되었지만, 파워쉘 공격이 중단되지는 않을 것”이라고 내다봤다. 그 증거로 “파워쉘을 공략하도록 해주는 툴이 계속해서 등장하고 있다”며 “파워쉘 엠파이어(PowerShell Empire)가 생생한 증거”라고 설명했다.
“공격자들이 파워쉘에 무차별적으로 접근하는 일은 적어도 3~5년은 더 발생할 겁니다. 물론 보안 업계가 마냥 당하고만 있는 건 아니지요. 지금도 계속해서 마련하고 있는 여러 가지 대처법은 전체적으로 올바른 방향을 향하고 있습니다. 다만 큰 방향만 맞지, 세세한 기술적인 대처가 온전하게 이루어지고 있지 않아서 문제죠. 그러니 당분간은 윈도우 파워쉘 공격이 더 일어날 겁니다.”
2. 스테이지프라이트와 비슷한 모바일 취약점
작년 한 해 우리는 안드로이드 계열 스마트폰에서 헤아리기 불가능할 정도로 많은 취약점들을 찾아냈다. 그 중 하나이면서 아마 가장 많은 충격을 안긴 취약점을 꼽으라면 스테이지프라이트(Stagefright)를 들 수 있을 것이다. 이는 OS의 핵심 라이브러리 파일 내에 존재하는 버그로 정교하게 조작된 MP3 혹은 MP4 파일을 사용해 외부로부터의 공격을 가능케 하는 취약점이다. 이 취약점 자체만으로도 충분히 위협적이지만 스테이지프라이트로 인해 보다 근본적인 약점이 드러났다는 게 더 치명적이다. “기기 제조사, 모바일 플랫폼 개발자, 통신사가 힘을 합해야 사용자들의 기기가 빨리 패치되는 건데, 그런 공조 체제가 부재하다는 사실이 드러났습니다.”
스쿠디스가 설명을 이어갔다. “결국 스테이지프라이트 때 우리가 볼 수 있었던 건 모바일 제조사들의 가장 큰 관심사는 사용자의 핸드폰을 복구해주고 치료해주는 게 아니라 이왕 고장났으니 다른 폰을 사도록 유도하는 것이었습니다. 패치해서 고쳐주는 게 오히려 그들의 사업에는 방해가 되는 꼴이었던 것이죠.”
그렇기 때문에 결국 스테이지프라이트는 사용자 스스로가 갖는 보안의 역할이 얼마나 중요한지가 드러난 사건이라고도 평할 수 있다. “사용자가 알아서 최신 버전 소식을 찾아내고, 패치하는 노력을 기울여야 합니다. 당신이 안드로이드나 애플 모바일 기기용 앱을 개발하는 사람이라면, 최신 버전의 OS에서만 구동이 되게끔 해서 사용자가 최신 버전을 설치할 수밖에 없게 하는 것도 좋은 방법입니다.”
3. 개발자들도 안전하지 않아 – 엑스코드고스트
안드로이드만 지옥 같은 한 해를 보낸 건 아니다. iOS는 아예 기존에 쌓아뒀던 ‘견고한 성’과 같은 이미지도 몽땅 잃었으니 말이다. 특히 엑스코드고스트(Xcode Ghost) 사건은 난공불락의 공식 앱 스토어도 뚫을 수 있다는 희망을 해커들에게 안겨주기도 했다.
“엑스코드고스트 사건은 정말 상징적인 일입니다. 해커들이 아주 머리를 잘 썼어요. 애플이 정식으로 개발자들을 위해 내놓은 엑스코드(Xcode)라는 개발자 툴에다가 백도어를 심었을 줄 누가 예상했겠습니까? 툴이 오염되었으니 그 툴로 만든 모든 앱들이 오염되었을 것은 자명한 결과였고, 실제 그렇게 공식 앱 스토어가 뚫려버렸죠. 현대 소프트웨어의 생애주기 및 속성을 아주 잘 이해하고 있는 겁니다. 이렇게 소프트웨어 생태계의 근본을 찾아 흔들기 시작하면, 애플리케이션에 둘러 싸여 사는 현대인들에게 막대한 피해를 입히는 게 가능해집니다.”
스쿠디스는 “앞으로도 몇 년 동안은 이런 공격 방식에 착안한 해커들이 많이 활동할 것”이라며 “특히 기업체들을 겨냥한 공격이 많을 것”이라고 경고했다. “이제 애플의 공식 앱스토어도 뚫어봤으니 업체들마다 따로 만들어 운영하는 앱들을 노리기도 쉬워질 것입니다. 일반 사용자보다 업체를 노리는 쪽이 수익면에서는 더 확실하기도 하고요.”
4. 사회 기반시설 공격
현재 사회 기반시설 만큼 취약한 곳도 찾기 힘들 정도다. 노화된 통제 시스템들 때문이다. 발전소, 수력 및 전기 공급 발전기, 교통 시스템 등 이미 현대 사회의 주축을 이루는 중요 시설은 대부분 오래 전부터 있어왔고 그렇기에 비교적 요즘의 것인 인터넷 및 IP 기술과 맞물리면서 취약점들이 걷잡을 수 없는 수준으로 등장하고 있는 것이다. 이것이 가장 잘 드러난 사건이 바로 작년 12월에 있었던 우크라이나 대규모 정전사태라고 SANS의 요하네스 울리히(Johannes Ullrich)는 설명한다.
“복잡한 공격이었습니다. 시작은 피싱이었고, 이것을 발판 삼아 여러 시스템들에 접근할 수 있었던 것으로 보입니다. 그 여러 시스템 중에 무정전 전원장치도 있었던 게 문제였죠. 게다가 고객 서비스용 통신 시스템에도 디도스와 비슷한 공격이 있었어요. 통신 시스템을 마비시켜 해커들이 활동할 시간을 좀 더 벌어둔 것이죠.”
우크라이나의 대규모 정전사태가 심각하게 거론되었지만 사실 그 정도(약 6시간)로 끝난 게 오히려 행운이라고 보는 시각들도 존재한다. 하지만 우크라이나 사태는 전기가 다시 돌아왔다고 끝난 게 아니다. 킬디스크(KillDisk)라는 멀웨어 기능이 여러 시스템의 붓 섹터를 전부 삭제했기 때문에 복구가 장기적으로 진행될 예정이다.
“제가 알기로는 아직도 복구 작업이 한창입니다. 지금은 전기 공급을 위한 최소한의 시스템만 급히 복구한 거지, 이전과 같이 모든 것이 제대로 된 통제 하에 운영되는 건 아닙니다. 사회 기반시설에 대한 공격이 갖는 더 큰 문제는 바로 이렇게 장기적인 피해가 누적된다는 겁니다. 복구가 불가능한 피해는 아니지만, 비용과 시간이 엄청나게 드는 게 보통이죠. 게다가 한 번 당하면 트라우마로 남아 네트워크에 대한 신뢰도도 떨어지기 마련이고요.”
5. 외부 소프트웨어의 약점 공격하기
“코딩을 할 때 완전히 백지부터 시작하는 경우는 거의 없습니다. 아마 깨끗한 흰 종이 위에서 모든 걸 창조해내는 개발자는 한 명도 없을 걸요? 제가 하는 건 이미 있는 코드들 중 필요한 걸 골라 이어 붙여 주는 겁니다. 소프트웨어가 대부분 그렇게 만들어지죠. 테이프 덕지덕지 바른 종이공작 같은 거요. 이런 과정에서 소스코드를 다시 한 번 들여다본다는 건 거의 일어나지 않는 일입니다.”
그런 점에 착안, 공격자들은 점점 소프트웨어를 구성하는 여러 요소들 중 취약한 것들을 찾아서 공격하는 기법을 날로 발전시키고 있다. 개발 프로세스의 특성 상 하나의 요소만 잘 공략하면 굉장히 많은 소프트웨어에 영향을 줄 수 있으니 효율도 좋다. “이건 개발자에게 시큐어 코딩을 닦달한다고 해결 될 문제가 아니에요. 소프트웨어 개발 전체 프로세스를 처음부터 바꿔야지요. 시스템의 체질 개선이 이루어져야 할 문제입니다.”
6. 사(악한)물인터넷
사물인터넷 또한 좋은 먹잇감이다. 우리 생활 반경 여기저기에 설치되어 있는 센서와 기기들, 게다가 대단히 빠른 속도로 늘어나고 있는 ‘공격의 창구’를 해커들이 그냥 지나칠 리 없다. 울리히에 의하면 사물인터넷이 당하게 될 가장 빈번한 공격은 ‘디도스 공격’이라고 한다. “작은 사물인터넷 기기를 공격해 먹통으로 만들고, 그것을 장악해서 다른 용도로 활용하기 위함이죠. 아직 기기들이 취약하기 때문에 몇 년은 이런 공격이 계속해서 들어올 겁니다.”
특히 위험한 건 기업들이라고 울리히는 전한다. “사무실에서도 다양한 업무 목적으로 사물인터넷 기기들을 들여놓고 있죠. 이왕이면 평범한 가정보다 이런 사무공간을 노리는 게 더 효과가 좋지 않겠어요? 인터넷과 PC를 통해서만 일어나던 공격이 이제 다른 경로를 통해서도 들어오게 되었습니다.”
7. 랜섬웨어, 랜섬웨어, 랜섬웨어
울리히는 마지막으로 랜섬웨어의 급증을 언급했다. “당분간 랜섬웨어의 증가 현상은 계속 이어질 것으로 보입니다. 왜냐하면 이른바 ‘멀웨어 경제’라고 하는 것의 큰 흐름이 바뀌었기 때문입니다.” 가장 큰 요소는 “훔칠 수 있는 정보는 이제 다 훔쳤다고 봐도 되는 상태”에 다다랐기 때문이다.
“그렇기 때문에 이제 개인정보가 돈이 되지 않습니다. 헐값이죠. 즉 공급이 엄청나게 늘어났기 때문에, 해커들로서도 새로운 수익모델을 찾아야 합니다. 그게 바로 랜섬웨어였죠. 훔친 데이터를 또 다른 해커들에게 팔 수 없다면, 이제 그 훔친 데이터를 피해자 본인들에게 되판다는 개념인데, 대단히 신선한 것이었습니다.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
