사이버전이 국가 간 은밀히 일어나고 있었다는 건 공공연한 사실이다. 하지만 그 사이버 공격들은 몰래 첩보를 빼앗는 선에서 그쳤다. 그러나 러시아-우크라이나 전쟁부터 상황은 달라졌다. 이제 적국을 겨냥한 사이버전 행위는 파괴적인 양상을 띄게 됐다.
[보안뉴스 문가용 기자] 지난 11월, 우크라이나의 대통령은 우크라이나의 IT 방어 시스템을 통해 1300번 이상의 러시아발 사이버 공격을 막아냈다고 발표했었다. 여기에는 위성 통신 인프라에 대한 공격도 포함이 된다. 새삼스럽지만 이 어마어마한 숫자는 모든 정치적 대립과 전쟁 행위에 사이버 공격이 필수로 동반된다는 게 이미 이 시대의 현실이라는 것을 적나라하게 드러낸다. 군사 작전을 돕기 위해서만이 아니라 적국의 기반 시설을 파괴하기 위해서도 사이버 공격이 감행된다는 것을 염두에 두어야 한다.
[이미지 = utoimage]
마이크로소프트의 부회장인 존 램버트(John Lambert)는 “앞으로도 APT 공격자들은 군사적인 목적성을 띄고 바쁘게 움직일 것”이라고 예측하고 있다. “현재 우크라이나에서 벌어지고 있는 일은 사이버 공격이 어떤 방향으로 진화해 왔으며, 군사적인 충돌에 발맞추어 어떤 식으로 우리의 일상과 삶, 전장에 영향을 줄지 고스란히 드러내고 있습니다. 그러므로 전력망, 통신망, 미디어 등과 같은 사회 기반 시설은 사이버 공격자들의 주요한 표적으로서 보호되어야 할 것입니다.”
특히 주목해야 할 것은 러시아 정부가 군사 작전을 운영하면서 APT 공격을 실시했다는 것이다. 정부가 치르는 전쟁의 도구로서 APT 공격이 활용되고 있다는 건, APT의 전략과 전술이 변해야 한다는 뜻이 된다. “좀 더 사회 기반 시설에 공격을 집중시키고 있고, 다목적 도구를 주로 활용하며, 리빙오프더랜더(living-off-the-land) 기법을 광범위하게 활용합니다. 또한 소프트웨어 공급망을 공격해 표적에 접근하기도 하고요.” 다목적 도구나 리빙오프더랜드 전략을 활용한다는 건 들키지 않고 추적도 당하지 않는 것에 공격자들이 집중한다는 뜻이다.
보안 업체 크라우드스트라이크(CrowdStrike)의 부회장 아담 메이어스(Adam Meyers)는 “APT는 늘 변하고, 늘 다른 방식으로 공격하는 게 특징이었다”며 “어떤 산업을 공략하느냐, 어떤 지정학적 배경을 가지고 공격하느냐에 따라 공격이 늘 달라졌다”고 설명한다. “그래서 저희 크라우드스트라이크는 내부적으로 항상 이렇게 말해왔습니다. 멀웨어 문제가 아니라 적군 문제라고 말이죠. 멀웨어를 분석해서는 APT를 추적할 수도 그들의 동기를 파악할 수도 없습니다. 이들을 적군으로 간주하고 분석했을 때 그들이 원하는 게 뭔지 알 수 있게 됩니다. 조금 더 나은 방어도 가능하게 되고요.”
사회 기반 시설, 위성, 표적 공격
2021년 석유와 가스 유통 업체인 콜로니얼 파이프라인(Colonial Pipeline)이 사이버 공격에 당했을 때 일반 대중들은 처음으로 사이버 공격이 한 국가의 사회와 경제에 미치는 영향을 피부로 체감할 수 있었다. 비아샛(Viasat) 위성 통신 시스템에 대한 공격이 있었을 때(이는 러시아의 짓일 가능성이 높다) 우리는 APT 공격자들이 다양한 사회 기반 시설을 노리고 있음을 알 수 있었다. MS는 요 몇 년 동안 국가 정보 기관 고객들에게 보내는 APT 경고가 꾸준히 두 배씩 늘어나고 있다고 발표하기도 했었고, 이런 공격들의 40%가 사회 기반 시설을 겨냥하고 있었다고 한다.
적국의 사이버 부대가 노리는 건 사회 기반 시설만이 아니다. 이들은 사회 기반 시설과 엮여 있는 사기업들에 랜섬웨어 공격을 가하기도 한다. 기업 활동을 못하게 막기도 하고, 데이터를 훔쳐 공개함으로써 여러 가지 악영향이 미치게 만들기도 한다. 보안 업체 카스퍼스키(Kaspersky)의 수석 보안 연구원인 데이비드 엠(David Emm)은 “2023년에는 정부와 각종 산업 시설, 사회 기반 시설에서 기록적인 수의 파괴적 사이버 공격이 발생할 것이라고 보고 있다”고 말한다. 단순히 정보나 첩보를 훔치는 걸 넘어서서 물리적이고 경제적인 피해를 입히기 위한 공격이 노골적으로 행해질 것이라는 뜻이다.
코발트 스트라이크만 막아서는 안 된다
코발트 스트라이크(Cobalt Strike)는 APT 그룹들이 가장 즐겨 사용하는 해킹 도구 중 하나다. 레드팀 훈련을 위해 만들어진 합법적인 도구이기 때문에 방어하기 애매하고, 익스플로잇 이후를 위한 해킹 기능도 가지고 있으며, 비밀 통신 채널도 갖추고 있기 때문이다. 심지어 협업 기능까지도 탑재되어 있으니 공격자들로서는 보안 업계에서 더 없이 좋은 도구를 만들어준 것이나 다름이 없다. 보안 업체 트렐릭스(Trellix)의 보안 연구자 리안드로 벨라스코(Leandro Velasco)는 “수많은 APT 그룹들이 그 동안 코발트 스트라이크를 자기들 입맛대로 커스터마이징 해서 사용해 왔다”고 설명한다.
하지만 보안 업계가 가만히 당하고만 있지는 않았다. 그 동안 공격자들이 사용하는 코발트 스트라이크를 탐지하는 방안을 연구해 왔고, 여기에 더해 또 다른 인기 공격 프레임워크인 메타스플로잇(Metasploit)도 파헤쳤다. 탐지율은 점점 높아졌고 공격자들도 가만히 있을 수 없었다. 그래서 최근에는 공격 시뮬레이션 도구인 브루트 라텔 C4(Brute Ratel C4)나 오픈소스 도구인 슬리버(Sliver)가 주목 받고 있다.
“브루트 라텔 C4의 경우 백신과 EDR 솔루션의 탐지를 피해가는 데 특화되어 있는 도구입니다. 그러니 위험할 수밖에 없습니다. 해커들 사이에서 최근 떠오르고 있는 도구 중에 만주사카(Manjusaka)라는 게 있는데, 윈도와 리눅스용 임플란트들을 고루 가지고 있습니다. 이 임플란트들은 러스트(Rust)라는 언어로 작성되어 있어 탐지가 그리 잘 되지 않습니다. 원격 익스플로잇에 특화되어 있는 닌자(Ninja)도 요즘 자주 눈에 보입니다.” 엠의 설명이다.
APT의 집중 공략 대상, 아이덴티티
공격자들이 집중적으로 노리는 자원은 아이덴티티라고 볼 수 있다. 코로나 때문에 원격 근무가 활성화 됐기 때문이다. 집으로 간 직원들의 아이덴티티만 잘 빼앗아 오면 쉽게 기업의 네트워크로 접속할 수 있다는 사실을 알게 된 것이다. MS가 조사한 바에 의하면 매초 921번의 아이덴티티 관련 공격이 발생한다고 하는데, 이는 작년에 비해 74% 늘어난 수치다.
아이덴티티는 각종 인프라와 기반 시설, 기업의 ‘보안 요소’이기도 하다. 그렇기 때문에 APT들이 더더욱 이 아이덴티티를 노린다고도 볼 수 있다. 실제 크라우드스트라이크가 지난 한 해 조사한 침해 사고 중 거의 대부분의 경우에서 아이덴티티와 관련된 요소들을 발견할 수 있었다고 메이어스는 설명한다. “공격자들이 합법적인 아이덴티티를 사용하고 도용한다는 건 이제 확연한 사실입니다. 그래서 이전에는 선 신뢰 후 확인이 용납되었다면 이제는 선 확인 후 신뢰가 되어야만 합니다.”
공급망 공격
최근 APT 공격자들의 가장 주된 공격 전략이라면 단연 공급망 공격을 꼽을 수 있다. 비단 APT 공격자들만이 아니라 일반 해킹 범죄들도 공급망을 두드려보고 있으니 어쩌면 당연한 일이라고도 볼 수 있다. 그 중에서도 코드 리포지터리들이 요즘에는 집중 공격을 받고 있다. 다행히 아직까지 이렇다 할 대규모 피해가 발생하지는 않았는데, 파이선 생태계는 거의 매일처럼 배후를 알 수 없는 자들로부터 크고 작은 공격을 받는 중이다. 작년에 비해 개발자 및 개발사를 노리는 공격(리포지터리 공격)은 650%나 증가했다.
리포지터리를 노리는 것 외에 벤더-공급자 간 관계에서 약한 부분을 파헤쳐 악용하는 것도 점점 흔해지고 있다. 지난 1월 이란 정부와 관련이 있는 APT 단체인 DEV-0198이 물류 회사를 침해한 뒤 크리덴셜을 훔쳐내고, 이 크리덴셜을 가지고 이스라엘의 클라우드 업체에 침투하는 데 성공하기도 했엇다. 클라우드 업체를 직접 뚫기에는 보안이 삼엄했기 때문에 비교적 쉬운 물류 회사를 우회 공격한 것이었다. MS는 “공격자들이 기업과 기업 간 관계를 좀 더 상세히 이해하기 시작했다”며 “최근의 공격들을 보면 이들이 정말 우리에 대해 많이 알고 있다는 걸 느낄 수 있다”고 강조한다.
이런 APT 단체의 공격을 막으려면 기본 보안 실천 사항을 모든 구성원이 지키고, 잘 지켜지는지 주기적으로 확인하며, 사건 대응 전략을 구성해 평상시에도 훈련을 해두어야 한다고 벨라스코는 강조한다. “APT 단체들은 컴퓨터를 잘 다루기로 둘째 가라면 서러울 사람들이 모인 집단입니다. 일반 회사 하나, 개인 한 명이 뭘 잘한다고 공격을 100% 봉쇄할 수는 없습니다. 그러니 빠르게 탐지해서 공동으로 대처하는 식으로 대비해야 합니다.”
3줄 요약
1. 러시아-우크라이나 전쟁으로 인해 모든 지정학적 충돌에 사이버 공격 동반될 것이 분명해짐.
2. APT 공격자들은 자주 전략을 바꾸는데, 최근에는 코발트 스트라이크 유사 도구와 공급망 공격을 선호하고 있음.
3. 빠른 탐지와 공동의 대처가 피해를 줄이는 유일한 방법.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 지난 11월, 우크라이나의 대통령은 우크라이나의 IT 방어 시스템을 통해 1300번 이상의 러시아발 사이버 공격을 막아냈다고 발표했었다. 여기에는 위성 통신 인프라에 대한 공격도 포함이 된다. 새삼스럽지만 이 어마어마한 숫자는 모든 정치적 대립과 전쟁 행위에 사이버 공격이 필수로 동반된다는 게 이미 이 시대의 현실이라는 것을 적나라하게 드러낸다. 군사 작전을 돕기 위해서만이 아니라 적국의 기반 시설을 파괴하기 위해서도 사이버 공격이 감행된다는 것을 염두에 두어야 한다.
[이미지 = utoimage]
마이크로소프트의 부회장인 존 램버트(John Lambert)는 “앞으로도 APT 공격자들은 군사적인 목적성을 띄고 바쁘게 움직일 것”이라고 예측하고 있다. “현재 우크라이나에서 벌어지고 있는 일은 사이버 공격이 어떤 방향으로 진화해 왔으며, 군사적인 충돌에 발맞추어 어떤 식으로 우리의 일상과 삶, 전장에 영향을 줄지 고스란히 드러내고 있습니다. 그러므로 전력망, 통신망, 미디어 등과 같은 사회 기반 시설은 사이버 공격자들의 주요한 표적으로서 보호되어야 할 것입니다.”
특히 주목해야 할 것은 러시아 정부가 군사 작전을 운영하면서 APT 공격을 실시했다는 것이다. 정부가 치르는 전쟁의 도구로서 APT 공격이 활용되고 있다는 건, APT의 전략과 전술이 변해야 한다는 뜻이 된다. “좀 더 사회 기반 시설에 공격을 집중시키고 있고, 다목적 도구를 주로 활용하며, 리빙오프더랜더(living-off-the-land) 기법을 광범위하게 활용합니다. 또한 소프트웨어 공급망을 공격해 표적에 접근하기도 하고요.” 다목적 도구나 리빙오프더랜드 전략을 활용한다는 건 들키지 않고 추적도 당하지 않는 것에 공격자들이 집중한다는 뜻이다.
보안 업체 크라우드스트라이크(CrowdStrike)의 부회장 아담 메이어스(Adam Meyers)는 “APT는 늘 변하고, 늘 다른 방식으로 공격하는 게 특징이었다”며 “어떤 산업을 공략하느냐, 어떤 지정학적 배경을 가지고 공격하느냐에 따라 공격이 늘 달라졌다”고 설명한다. “그래서 저희 크라우드스트라이크는 내부적으로 항상 이렇게 말해왔습니다. 멀웨어 문제가 아니라 적군 문제라고 말이죠. 멀웨어를 분석해서는 APT를 추적할 수도 그들의 동기를 파악할 수도 없습니다. 이들을 적군으로 간주하고 분석했을 때 그들이 원하는 게 뭔지 알 수 있게 됩니다. 조금 더 나은 방어도 가능하게 되고요.”
사회 기반 시설, 위성, 표적 공격
2021년 석유와 가스 유통 업체인 콜로니얼 파이프라인(Colonial Pipeline)이 사이버 공격에 당했을 때 일반 대중들은 처음으로 사이버 공격이 한 국가의 사회와 경제에 미치는 영향을 피부로 체감할 수 있었다. 비아샛(Viasat) 위성 통신 시스템에 대한 공격이 있었을 때(이는 러시아의 짓일 가능성이 높다) 우리는 APT 공격자들이 다양한 사회 기반 시설을 노리고 있음을 알 수 있었다. MS는 요 몇 년 동안 국가 정보 기관 고객들에게 보내는 APT 경고가 꾸준히 두 배씩 늘어나고 있다고 발표하기도 했었고, 이런 공격들의 40%가 사회 기반 시설을 겨냥하고 있었다고 한다.
적국의 사이버 부대가 노리는 건 사회 기반 시설만이 아니다. 이들은 사회 기반 시설과 엮여 있는 사기업들에 랜섬웨어 공격을 가하기도 한다. 기업 활동을 못하게 막기도 하고, 데이터를 훔쳐 공개함으로써 여러 가지 악영향이 미치게 만들기도 한다. 보안 업체 카스퍼스키(Kaspersky)의 수석 보안 연구원인 데이비드 엠(David Emm)은 “2023년에는 정부와 각종 산업 시설, 사회 기반 시설에서 기록적인 수의 파괴적 사이버 공격이 발생할 것이라고 보고 있다”고 말한다. 단순히 정보나 첩보를 훔치는 걸 넘어서서 물리적이고 경제적인 피해를 입히기 위한 공격이 노골적으로 행해질 것이라는 뜻이다.
코발트 스트라이크만 막아서는 안 된다
코발트 스트라이크(Cobalt Strike)는 APT 그룹들이 가장 즐겨 사용하는 해킹 도구 중 하나다. 레드팀 훈련을 위해 만들어진 합법적인 도구이기 때문에 방어하기 애매하고, 익스플로잇 이후를 위한 해킹 기능도 가지고 있으며, 비밀 통신 채널도 갖추고 있기 때문이다. 심지어 협업 기능까지도 탑재되어 있으니 공격자들로서는 보안 업계에서 더 없이 좋은 도구를 만들어준 것이나 다름이 없다. 보안 업체 트렐릭스(Trellix)의 보안 연구자 리안드로 벨라스코(Leandro Velasco)는 “수많은 APT 그룹들이 그 동안 코발트 스트라이크를 자기들 입맛대로 커스터마이징 해서 사용해 왔다”고 설명한다.
하지만 보안 업계가 가만히 당하고만 있지는 않았다. 그 동안 공격자들이 사용하는 코발트 스트라이크를 탐지하는 방안을 연구해 왔고, 여기에 더해 또 다른 인기 공격 프레임워크인 메타스플로잇(Metasploit)도 파헤쳤다. 탐지율은 점점 높아졌고 공격자들도 가만히 있을 수 없었다. 그래서 최근에는 공격 시뮬레이션 도구인 브루트 라텔 C4(Brute Ratel C4)나 오픈소스 도구인 슬리버(Sliver)가 주목 받고 있다.
“브루트 라텔 C4의 경우 백신과 EDR 솔루션의 탐지를 피해가는 데 특화되어 있는 도구입니다. 그러니 위험할 수밖에 없습니다. 해커들 사이에서 최근 떠오르고 있는 도구 중에 만주사카(Manjusaka)라는 게 있는데, 윈도와 리눅스용 임플란트들을 고루 가지고 있습니다. 이 임플란트들은 러스트(Rust)라는 언어로 작성되어 있어 탐지가 그리 잘 되지 않습니다. 원격 익스플로잇에 특화되어 있는 닌자(Ninja)도 요즘 자주 눈에 보입니다.” 엠의 설명이다.
APT의 집중 공략 대상, 아이덴티티
공격자들이 집중적으로 노리는 자원은 아이덴티티라고 볼 수 있다. 코로나 때문에 원격 근무가 활성화 됐기 때문이다. 집으로 간 직원들의 아이덴티티만 잘 빼앗아 오면 쉽게 기업의 네트워크로 접속할 수 있다는 사실을 알게 된 것이다. MS가 조사한 바에 의하면 매초 921번의 아이덴티티 관련 공격이 발생한다고 하는데, 이는 작년에 비해 74% 늘어난 수치다.
아이덴티티는 각종 인프라와 기반 시설, 기업의 ‘보안 요소’이기도 하다. 그렇기 때문에 APT들이 더더욱 이 아이덴티티를 노린다고도 볼 수 있다. 실제 크라우드스트라이크가 지난 한 해 조사한 침해 사고 중 거의 대부분의 경우에서 아이덴티티와 관련된 요소들을 발견할 수 있었다고 메이어스는 설명한다. “공격자들이 합법적인 아이덴티티를 사용하고 도용한다는 건 이제 확연한 사실입니다. 그래서 이전에는 선 신뢰 후 확인이 용납되었다면 이제는 선 확인 후 신뢰가 되어야만 합니다.”
공급망 공격
최근 APT 공격자들의 가장 주된 공격 전략이라면 단연 공급망 공격을 꼽을 수 있다. 비단 APT 공격자들만이 아니라 일반 해킹 범죄들도 공급망을 두드려보고 있으니 어쩌면 당연한 일이라고도 볼 수 있다. 그 중에서도 코드 리포지터리들이 요즘에는 집중 공격을 받고 있다. 다행히 아직까지 이렇다 할 대규모 피해가 발생하지는 않았는데, 파이선 생태계는 거의 매일처럼 배후를 알 수 없는 자들로부터 크고 작은 공격을 받는 중이다. 작년에 비해 개발자 및 개발사를 노리는 공격(리포지터리 공격)은 650%나 증가했다.
리포지터리를 노리는 것 외에 벤더-공급자 간 관계에서 약한 부분을 파헤쳐 악용하는 것도 점점 흔해지고 있다. 지난 1월 이란 정부와 관련이 있는 APT 단체인 DEV-0198이 물류 회사를 침해한 뒤 크리덴셜을 훔쳐내고, 이 크리덴셜을 가지고 이스라엘의 클라우드 업체에 침투하는 데 성공하기도 했엇다. 클라우드 업체를 직접 뚫기에는 보안이 삼엄했기 때문에 비교적 쉬운 물류 회사를 우회 공격한 것이었다. MS는 “공격자들이 기업과 기업 간 관계를 좀 더 상세히 이해하기 시작했다”며 “최근의 공격들을 보면 이들이 정말 우리에 대해 많이 알고 있다는 걸 느낄 수 있다”고 강조한다.
이런 APT 단체의 공격을 막으려면 기본 보안 실천 사항을 모든 구성원이 지키고, 잘 지켜지는지 주기적으로 확인하며, 사건 대응 전략을 구성해 평상시에도 훈련을 해두어야 한다고 벨라스코는 강조한다. “APT 단체들은 컴퓨터를 잘 다루기로 둘째 가라면 서러울 사람들이 모인 집단입니다. 일반 회사 하나, 개인 한 명이 뭘 잘한다고 공격을 100% 봉쇄할 수는 없습니다. 그러니 빠르게 탐지해서 공동으로 대처하는 식으로 대비해야 합니다.”
3줄 요약
1. 러시아-우크라이나 전쟁으로 인해 모든 지정학적 충돌에 사이버 공격 동반될 것이 분명해짐.
2. APT 공격자들은 자주 전략을 바꾸는데, 최근에는 코발트 스트라이크 유사 도구와 공급망 공격을 선호하고 있음.
3. 빠른 탐지와 공동의 대처가 피해를 줄이는 유일한 방법.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
