.jpg)
.gif)
약 9개월 간 ‘진심으로’ 공격한 보안 업체 연구원들
정보 유출 성공률 100% 달성... 약 4백만 개 방법 밝혀내
[보안뉴스 문가용 기자] 아직 정보유출 사고에 면역이 되었다고 볼 수 있는 조직은 하나도 없다. 그렇다면 지금의 우리 상태는 어떠한가를 끊임없이 점검해야 하는데, 보안 전문가들은 이때 ‘공격자들의 눈과 마음으로’ 우리의 네트워크와 사이버 환경을 바라봐야 한다고 말한다. 그래야 리스크가 무엇인지 파악이 되고, 그 리스크 파악이 있어야 적절한 보안 대책을 마련할 수 있고, 그래야 한정된 자원을 알뜰히 사용할 수 있다고 말이다.
.jpg)
하지만 입장을 바꿔서 공격자들의 눈과 마음을 갑자기 갖기란 말 만큼 쉽지 않다. 이에 세이프브리치(SafeBreach)라는 보안 전문업체가 ‘해커 입장이 되는 게 어떤 것인지’에 대해 구체적이고 상세하게 풀어 보고서를 발간했다. 물론 이를 위해 세이프브리치의 연구원들은 정말로 해커가 되어 생활을 해보았다고 한다. 다양한 엔드포인트, 네트워크, 클라우드를 2016년 1월부터 9월까지 진심어린 마음으로 공격한 것이다. 그리고 총 3백 98만 5천 11개의 정보 유출 방법을 발견, 확인했다고 발표했다.
세이프브리치의 연구팀은 한 가지 중요 목표를 가지고 이 실험을 진행했다고 밝혔다. 이트직 코틀러(Itzik Kotler) CTO는 “이미 세상에 널리 알려진 해킹 사건을 보다 깊이 파헤쳐 ‘몇 건의 정보가 유출되고 손해액은 얼마더라’ 이상의 내용을 알려주는 것”이라고 설명했다. “소니나 타깃의 해킹 사건이 좋은 예가 되겠죠. 하지만 정말로 무슨 일이 거기서 왜 일어났는지는 잘 이해하지는 못하는 사람들이 대부분입니다. 실제 일어난 사건들을 재구성 혹은 재해석함으로써 ‘이런 일이 이렇게까지 치밀하게 실제로 발생하고 있다’는 경각심을 일으키고 싶었습니다.”
아는 만큼 보이고, 보이는 만큼 대비할 수 있다고, 이미 잘 알려진 사건들을 파헤쳐 사람들의 이해를 돕고, 그 이해를 바탕으로 경각심을 ‘구체화’시키겠다는 것이다. “성공적인 정보유출 사건은 세 가지 요소를 가지고 있습니다. 하나는 ‘침투’로, 해커들이 최초로 시스템에 들어오는 것을 말합니다. 두 번째는 ‘횡적인 움직임’으로, 해커들이 침투한 시스템을 통해 네트워크 상에 있는 다른 시스템에도 자유롭게 돌아다니는 것을 말합니다. 세 번째는 ‘유출’로, 해커들이 데이터를 훔쳐내는 것을 말합니다.”
공격자들이 침투를 위해 가장 많이 사용하는 방법은 실행파일이 아닌 파일들에 실행파일을 숨기는 것이라고 세이프브리치는 설명한다. 특히 윈도우 스크립트 파일, 매크로, 비주얼 베이직이 주로 사용된다고 한다. 또, 멀웨어를 퍼트리는 데에는 1년 이상된 익스플로잇 킷(exploit kit, EK)을 주로 활용한다. 익스플로잇 킷은 엔드포인트의 여전한 위협거리로, 스위트 오렌지(Sweet Orange), 뉴트리노(Neutrino), 리그 익스플로잇 킷(Rig Exploit Kit)이 가장 인기가 높다.
세이프브리치의 연구원들은 또 보안 제품의 환경설정 때문에 위협거리가 발생하기도 한다고 경고한다. “저희 연구원들이 내부와 외부 시뮬레이터 사이로 멀웨어를 통과시켰는데, 멀웨어 샌드박싱 솔루션들이 제대로 설정되어 있지 않아 기능 발휘를 다 못하고 있는 경우가 참 많았습니다. 그래서 프로토콜 일부, 암호화된 트래픽 일부, 포트와 파일 형식 일부는 취약한 상태였죠.”
다음으로는 횡적 움직임 역시 그대로 재현했는데, 내부망을 분리시킬 수 있게 해주는 프록시에서도 문제가 다수 발견되었다. 프록시 환경설정이 잘못될 경우 최초 침투에 성공한 해커들이 다른 내부망으로도 쉽게 옮겨갈 수 있다고 한다. “프록시 퍼징(proxy fuzzing)에 특히 취약한 곳이 많았습니다.” 퍼징이란 소프트웨어에 반복적인 오류를 일으켜 취약점을 찾아내는 기법을 말한다. 이는 또한 세그멘케이션 혹은 망분리가 제대로 도입되지 않고 있다는 뜻으로도 이어진다.
게다가 유출 혹은 탈취도 그다지 어려울 것이 없었다고 세이프브리치 측은 설명한다. “거의 모든 조직들이 외부 인터넷망과의 접속을 매우 원활하고 자유롭게 유지하고 있었습니다. 가장 많이 사용되는 프로토콜은 HTTP, IRC, SIP, Syslog였고요. 침투에 성공하면 높은 확률로 횡적인 움직임을 할 수 있었고, 이는 100% 정보유출 성공으로 이어졌습니다.” 그리고 이는 앞으로도 상당 기간 모든 기업의 위협거리로 남아있을 거라는 예측도 했다.
그렇다면 이런 위협을 어떻게 줄일 수 있을까? “사업마다, 기업마다 다양한 방법을 적용시켜야 합니다. ‘보안’이라고 묶어서 말 하지만, 그 안을 들여다보면 수많은 색깔의 문제들이 존재하고 있거든요. 그 중에 나에게 닥친 문제가 무엇인가를 정확하게 파악하고 그에 대한 해결책을 마련하는 게 보안 담당자 및 전문가의 몫입니다.”
세이프브리치는 이번 연구를 통해 그래도 희망을 발견할 수 있었다고 한다. “그래도 몇 년 전보다 기업들이 정보보안에 대하여 공격적인 자세를 취하고 있었습니다. 즉 보안에 대한 실제 의미있는 투자를 시작했다는 겁니다. 그것도 ‘사건이 벌어지면’ 취하는 후속조치가 아니라 미리 공격이 들어올 걸 알고 방지하거나 빠르게 탐지하는 방향으로 말이죠.”
해당 보고서는 여기서 열람 및 다운로드가 가능하다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
정보 유출 성공률 100% 달성... 약 4백만 개 방법 밝혀내
[보안뉴스 문가용 기자] 아직 정보유출 사고에 면역이 되었다고 볼 수 있는 조직은 하나도 없다. 그렇다면 지금의 우리 상태는 어떠한가를 끊임없이 점검해야 하는데, 보안 전문가들은 이때 ‘공격자들의 눈과 마음으로’ 우리의 네트워크와 사이버 환경을 바라봐야 한다고 말한다. 그래야 리스크가 무엇인지 파악이 되고, 그 리스크 파악이 있어야 적절한 보안 대책을 마련할 수 있고, 그래야 한정된 자원을 알뜰히 사용할 수 있다고 말이다.
하지만 입장을 바꿔서 공격자들의 눈과 마음을 갑자기 갖기란 말 만큼 쉽지 않다. 이에 세이프브리치(SafeBreach)라는 보안 전문업체가 ‘해커 입장이 되는 게 어떤 것인지’에 대해 구체적이고 상세하게 풀어 보고서를 발간했다. 물론 이를 위해 세이프브리치의 연구원들은 정말로 해커가 되어 생활을 해보았다고 한다. 다양한 엔드포인트, 네트워크, 클라우드를 2016년 1월부터 9월까지 진심어린 마음으로 공격한 것이다. 그리고 총 3백 98만 5천 11개의 정보 유출 방법을 발견, 확인했다고 발표했다.
세이프브리치의 연구팀은 한 가지 중요 목표를 가지고 이 실험을 진행했다고 밝혔다. 이트직 코틀러(Itzik Kotler) CTO는 “이미 세상에 널리 알려진 해킹 사건을 보다 깊이 파헤쳐 ‘몇 건의 정보가 유출되고 손해액은 얼마더라’ 이상의 내용을 알려주는 것”이라고 설명했다. “소니나 타깃의 해킹 사건이 좋은 예가 되겠죠. 하지만 정말로 무슨 일이 거기서 왜 일어났는지는 잘 이해하지는 못하는 사람들이 대부분입니다. 실제 일어난 사건들을 재구성 혹은 재해석함으로써 ‘이런 일이 이렇게까지 치밀하게 실제로 발생하고 있다’는 경각심을 일으키고 싶었습니다.”
아는 만큼 보이고, 보이는 만큼 대비할 수 있다고, 이미 잘 알려진 사건들을 파헤쳐 사람들의 이해를 돕고, 그 이해를 바탕으로 경각심을 ‘구체화’시키겠다는 것이다. “성공적인 정보유출 사건은 세 가지 요소를 가지고 있습니다. 하나는 ‘침투’로, 해커들이 최초로 시스템에 들어오는 것을 말합니다. 두 번째는 ‘횡적인 움직임’으로, 해커들이 침투한 시스템을 통해 네트워크 상에 있는 다른 시스템에도 자유롭게 돌아다니는 것을 말합니다. 세 번째는 ‘유출’로, 해커들이 데이터를 훔쳐내는 것을 말합니다.”
공격자들이 침투를 위해 가장 많이 사용하는 방법은 실행파일이 아닌 파일들에 실행파일을 숨기는 것이라고 세이프브리치는 설명한다. 특히 윈도우 스크립트 파일, 매크로, 비주얼 베이직이 주로 사용된다고 한다. 또, 멀웨어를 퍼트리는 데에는 1년 이상된 익스플로잇 킷(exploit kit, EK)을 주로 활용한다. 익스플로잇 킷은 엔드포인트의 여전한 위협거리로, 스위트 오렌지(Sweet Orange), 뉴트리노(Neutrino), 리그 익스플로잇 킷(Rig Exploit Kit)이 가장 인기가 높다.
세이프브리치의 연구원들은 또 보안 제품의 환경설정 때문에 위협거리가 발생하기도 한다고 경고한다. “저희 연구원들이 내부와 외부 시뮬레이터 사이로 멀웨어를 통과시켰는데, 멀웨어 샌드박싱 솔루션들이 제대로 설정되어 있지 않아 기능 발휘를 다 못하고 있는 경우가 참 많았습니다. 그래서 프로토콜 일부, 암호화된 트래픽 일부, 포트와 파일 형식 일부는 취약한 상태였죠.”
다음으로는 횡적 움직임 역시 그대로 재현했는데, 내부망을 분리시킬 수 있게 해주는 프록시에서도 문제가 다수 발견되었다. 프록시 환경설정이 잘못될 경우 최초 침투에 성공한 해커들이 다른 내부망으로도 쉽게 옮겨갈 수 있다고 한다. “프록시 퍼징(proxy fuzzing)에 특히 취약한 곳이 많았습니다.” 퍼징이란 소프트웨어에 반복적인 오류를 일으켜 취약점을 찾아내는 기법을 말한다. 이는 또한 세그멘케이션 혹은 망분리가 제대로 도입되지 않고 있다는 뜻으로도 이어진다.
게다가 유출 혹은 탈취도 그다지 어려울 것이 없었다고 세이프브리치 측은 설명한다. “거의 모든 조직들이 외부 인터넷망과의 접속을 매우 원활하고 자유롭게 유지하고 있었습니다. 가장 많이 사용되는 프로토콜은 HTTP, IRC, SIP, Syslog였고요. 침투에 성공하면 높은 확률로 횡적인 움직임을 할 수 있었고, 이는 100% 정보유출 성공으로 이어졌습니다.” 그리고 이는 앞으로도 상당 기간 모든 기업의 위협거리로 남아있을 거라는 예측도 했다.
그렇다면 이런 위협을 어떻게 줄일 수 있을까? “사업마다, 기업마다 다양한 방법을 적용시켜야 합니다. ‘보안’이라고 묶어서 말 하지만, 그 안을 들여다보면 수많은 색깔의 문제들이 존재하고 있거든요. 그 중에 나에게 닥친 문제가 무엇인가를 정확하게 파악하고 그에 대한 해결책을 마련하는 게 보안 담당자 및 전문가의 몫입니다.”
세이프브리치는 이번 연구를 통해 그래도 희망을 발견할 수 있었다고 한다. “그래도 몇 년 전보다 기업들이 정보보안에 대하여 공격적인 자세를 취하고 있었습니다. 즉 보안에 대한 실제 의미있는 투자를 시작했다는 겁니다. 그것도 ‘사건이 벌어지면’ 취하는 후속조치가 아니라 미리 공격이 들어올 걸 알고 방지하거나 빠르게 탐지하는 방향으로 말이죠.”
해당 보고서는 여기서 열람 및 다운로드가 가능하다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)