3.20 사이버테러에 대한 단상: 표적 공격, 그리고 위협 정보 공유

'다크서울'에 대한 시스코의 또 다른 관점

최근 '와이퍼(Wiper) 악성코드'를 이용하여 국내 금융권과 방송사에 가해진 공격은 해당 기관들에 큰 피해를

입혔습니다. 와이퍼(Wiper) 악성코드는 백신 프로그램을 무력화시킨 뒤 컴퓨터의 부팅 영역을 파괴하고,

하드디스크를 망가뜨려 저장된 데이터를 전부 삭제하는 것이 특징이지요.

일명 ‘다크서울(DarkSeoul)’이라 불리는 이 사건은 한국 현지 시간으로 지난 3월 21일 오후 2시에 발생했으며,

이로 인해 4개의 은행과 3개의 방송국이 큰 피해를 입었습니다. 또한 이 공격에 대한 온갖 추측과 비난은

지금까지도 이어지고 있고요.

보안을 중요시하는 기업인 시스코 역시, 이번 사건에 깊은 관심을 갖고 꾸준히 지켜보고 있는데요. 금번 포스팅을

통해서는, ‘다크서울(DarkSeoul)’을 둘러싸고 현재까지 나오고 있는 여러 추측들과는 조금 다른 방향의 관점을

제시해보고자 합니다. 지금껏 아무도 거론하지 않았던, 이번 공격의 실질적인 동기에 대한 분석과 의견까지

포함해서 말이지요.

공격의 실체는 과연 무엇일까? 그리고 그들은 왜 공격을 가했을까?

먼저 언론 등을 통해 현재까지 언급된 사실들부터 살펴보실까요?

- 우선, 공격을 받는 대상 또는 표적이 매우 분명했습니다. 

- 공격에 사용된 악성코드는 공격 대상 기관들에게 와이퍼 페이로드(wiper payload)를 배포하기 위해

특별히 설계된 것으로 확인되었습니다.

- 또, 공격 대상들에게 큰 피해를 입히는 악성코드를 일시에 동작시키기 위해 동작 시작 시간도 설정되어 있었습니다.

 
- 그 결과, 현재까지 피해 기업들이 겪은 데이터 손실과 가동중단 시간은 상당히 심각한 수준에 이르렀습니다.

이처럼 공격이 '무엇'인지는 규명되었지만, 공격한 이유와 그 방법에 대해서는 아직도 논란이 많습니다. 일각에서는

남한 경제에 해를 입히기 위한 북한 소행에 무게를 두기도 하고, 또 한국에서 데이터를 훔쳐낸 흔적을 지우기 위한

중국의 소행이라는 주장도 있습니다.

하지만 범행의 동기를 국가 또는 정치적 이유로 간주하는 대신, 흔히 범죄의 동기가 되는 ‘돈’에 대해 중점을 둬보면

어떨까요? 이런 주장을 뒷받침 해줄 수 있는 기록들을 함께 살펴보시지요.

- 2011년 12월: 美FBI는 뱅킹 트로이목마(banking Trojans)에 대한 주의적 경고를 내렸습니다. 이 바이러스는

피해자의 계정에서 사기적 수법으로 자금을 유출한 사실을 은폐하기 위해 DDoS 공격을 감행한다고 합니다.

- 2012년 10월: RSA는 “범죄자들이 D-Day를 사전에 설정하여 공격을 개시하고, 보안 시스템이 이 공격을

차단하기 전에 가능한 많은 계정에서 자금을 유출하는 것이 가능한” 정교한 트로이안 목마 캠페인이라는

신종 사이버범죄에 대해 경고 했었습니다.

- 2013년 2월: 미국 보안 전문가인 브라이언 크렙스(Brian Krebs)는 은행들에 가해진 DDoS 공격은

해킹으로 유출된 자금 90만 달러를 은닉했다고 보고했습니다.

- 2013년 3월 20일: 한국 시각으로 오후 2시, 은행 및 방송사를 대상으로 ‘다크서울’ 사건이 발생했습니다.

이렇듯 과거에 있었던 일련의 사건들을 살펴볼 때, ‘다크서울’ 공격 또한 금전적 이득을 취하기 위한 것은 아닐까

조심스럽게 추정해봅니다. 또한 공교롭게도 ‘다크서울’ 공격에서 식별된 악성코드 중 하나는, 공격받은 국내 은행들의

고객들을 표적으로 삼은 뱅킹 트로이목마라는 사실이 밝혀지기도 했고요.

시스코의 시큐리티 인텔리전스 오퍼레이션(Security Intelligence Operation(SIO))을 통해 분석해 본 결과,

웹 보안 트래픽 로그상에서 특정 국내 제약사 홈페이지가 이러한 악성코드를 배포하는데 이용됐다는 사실이

확인되었습니다. 또 안티바이러스 업체인 아바스트(Avast) 역시 사건이 발생하던 시점에 국내의 모 기관 홈페이지도

이와 유사한 형태로 이용되고 있다는 사실을 발견했지요. 공격용 악성코드 배포 사이트인 ‘rootadmina2012.com’

으로부터 취약점 공격용 악성코드를 다운받게 하려는 iframe이 이들 두 사이트 모두에 동일하게 주입되어 있었던

것인데요. 이것은 마이크로소프트 XML 서비스의 취약점을 악용하는 스크립트로, 이에 대한 자세한 내용은

MS12-043에 기술되어 있습니다.

한편 시스코의 SIO 활동을 주도하고 있는 TRAC(Threat Research & Communications; 위협 연구 및 커뮤니케이션)

팀이 취합한 보고서에 따르면, 시스코 보안 제품을 사용하는 고객들은 지난 3월 20일에 시도된 1단계 웹 및

이메일 공격에 침해 받은 일이 없는 것으로 나타났습니다. ^^ 시스코는 실제로 SIO 데이터베이스에서 소수의

사건(events)만이 악성 도메인 또는 1단계 악용과 관련되어 있다는 점을 발견했는데요. 뿐만 아니라,

시스코 고객들 대상으로 공격이 시도된 기록은 있지만 취약 코드가 이들에게 다운로드 되지 않았고, iframe에 의한

악성코드 자동 다운로드 시도가 차단되었다는 로그들이 남아 있었답니다~

계층적 방어, 그 효과는?

또, 추가적 공격을 위한 후속 툴(일명 “dropper”)을 배포하는 2단계 악성코드에 대한 세부사항은 공격자들이 갖고

있는 표적에 대한 알고 있는 정보와 그들이 실행한 구체적 정찰 행위(reconnaissance)를 잘 보여주고 있는데요.

최근 맥아피 블로그에서는 해당 사건에 대해 이 악성코드가 국내에서 유명한 안랩과 하우리의 호스트 기반

안티바이러스 엔진을 무력화했다는 것을 밝힌 바 있습니다. 이처럼 공격자들은 특정 방어체계를 피하거나 무력화하기

위한 기법을 종종 활용하곤 한답니다. 그러므로 공격자들에 대한 압박 수위를 높이고 이들이 의도한 공격을 완전히

실현하지 못하도록 막기 위해서는, 다양한 계층적 보안 솔루션을 제시해야만 하는 것이지요.

시스코 고객들이 이번 공격에 직접적인 영향을 받지는 않았습니다만, 이번 공격의 시작단계라고 할 수 있는 1단계의

악성코드 유포과정 및 이 유포과정에 사용된 취약점에 대해 시스코가 분석한 결과를 살펴볼 필요도 있을 듯 합니다.

그에 따르면, 시스코 SIO에 의해 평판기반 웹컨텐츠 보안(WSA), 이메일 보안(ESA), IPS 기능과 통합보안장비(ASA)

의 봇넷트래픽 필터링 및 차세대 방화벽 기능(ASA CX)에 실시간으로 전파되므로, 이 공격을 저지할 수 있는 다양한

종류의 보호 체계를 보유하고 있다는 사실을 재차 확인할 수 있는데요. 특히 범죄자들이 표적을 공격하기 위해

정찰 기능을 사용할 시, 시스코가 보유한 위와 같은 보안시스템들이 이들이 넘어야 할 '계층적 보호장벽'으로

기능하는데 따른 효과도 가늠해볼 수 있을 것입니다. 즉, 보호 장치에 겹겹이 둘러싸여 있느냐 그렇지 못하냐에 따라,

그저 '공격의 대상'이 되는데 그칠 지 아니면 '실질적인 피해 대상'이 될 지, 그 결과가 판이해질 수 있다는 것이지요~

위협 정보 공유 중요성

이번 사건은 공격을 방어해야 하는 입장에 처한 기업들 사이에서 '위협 정보의 공유'가 반드시 이뤄져야 한다는 점

역시 잘 보여주고 있습니다. 일례로 시스코 SIO는 고객들에게 보안에 대한 폭넓은 시각과 조기 경보 기능을 제공하기

위해 다양한 보안 솔루션의 인텔리전스와 역량을 한데 수집하고 있는데요. 게다가 이 같은 정보를 원격으로 시스코에

제공하기로 동의한 고객들은 결국 서로를 돕기 위해 시스코 보안 제품의 보안 효과를 더욱 향상시키는 데 기여하는

셈이 된답니다~

기업들도 마찬가지로, 일종의 '방어 전선 커뮤니티'를 형성하여 현재 진행 중이거나 실행된 공격에 보다 효과적으로

대응할 수 있는 적합한 보안 체계 설정 등에 대한 세부 사항들을 공유할 필요가 있겠습니다. 이러한 커뮤니티가

있다면, 앞서 언급한 안티바이러스 업체의 게시글과 같은 위협 분석 정보 역시 보다 널리 공유될 수도 있을 것이고요.

시스코의 경우, 지난 여러 해 동안 FIRST(Forum of Incident Response and Security Teams, 국제 컴퓨터 침해

사고 대응협의회)의 회원으로 활동 중에 있는데요. 시스코가 이런 활동에 적극 참여하는 이유는, 더욱 신중한 판단이

요구되는 보안 상황에서 FIRST가 사건의 다른 대응자들과 함께 정보를 주고 받을 수 있는 전문적인 토론의 장을

마련해 주기 때문이랍니다~

다시 말해, '위협 정보 공유'는 목표물에 해를 입히려는 공격자들의 정찰활동을 감지하여 사전에 제압할 수 있는

중요한 방법이라는 점을 명심해야 할 필요가 있습니다. 어떤 기업이 어떠한 방법으로 공격을 당했는데, 향후에

동일한 공격자가 동일한 방식으로 다시금 다른 기업들을 겨냥하지 않으리란 보장이 없으니까요.

이 모든 상황 분석을 바탕으로, 우리는 두 가지 중요한 결론을 도출해낼 수 있습니다. 우선, '위협 정보 공유'와

'공격 방어능력을 개선하기 위해 구성된 커뮤니티의 노력'이 서로 결합된다면, 모든 기업들은 이를 통해 상당한

혜택을 받을 수 있다는 것입니다. 또한, 계층적 방어 및 효과적인 위협 정보 공유는 정확한 목표물에 대한 공격을

제압하는 데 있어 핵심적인 역할을 한다는 사실도 기억하시기 바랍니다.

마지막으로, 시스코의 보안 제품을 사용한 고객들은 이번 '다크서울' 대란으로부터 안전하게 보호 받았다는 사실을

꼭 기억해주시기 바랍니다. ^^ 그리고 만약 이들이 공격의 대상이 되었을지언정, 시스코가 제공하는 심층적이고

다양한 보안 기능과 더불어 시스코 SIO에 의해 실시간 업데이트되는 글로벌 위협정보 덕분에, 분명히 안전하게

보호 받았을 것이라고 감히 장담해봅니다.

크리에이티브 커먼즈 라이선스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이선스에 따라 이용하실 수 있습니다.