"언제적 해킹 기법인데"…당하고 또 당하는 이유
기사내용 요약
SK쉴더스, APT 공격과 침해사고 동향 발표
초기 차단 능사 아니다…"목적 달성 전에 사전에 탐지 해야"
SK쉴더스 탑서트 담당이 지난 23일 판교에서 열린 보안스터디에서 발표 하고 있다
"어차피 뚫릴 수 밖에 없습니다. 일단 시스템에 침투한 해커가 서버를 완전 장악하기 전에 해커의 활동경로를 신속하게 또 면밀하게 확인·차단하는 게 중요합니다."
지난 23일 SK쉴더스 판교 사옥에서 열린 보안스터디에서 김성동 SK쉴더스 탑서트(Top-CERT) 담당은 이렇게 말했다. 공격자의 '침투'를 막는 보안에서 나아가, 이미 내부에 침투한 해커들의 악성 행위를 조속히 찾아 내 추적하고, 차단하는 보안이 필요한 시점이란 지적이다.
김 담당이 이끌고 있는 탑서트는 SK쉴더스에서 해킹 사고 발생 시, 즉시 사고 현장에 투입돼 사고 원인을 규명하고 해킹 경로를 추적해 대응방안을 제시하는 보안 전문가 집단이다. 그간 북한발 사이버 공격, 지능형 지속위협 공격(APT) 등 대형 보안 사고에 대응했으며 연간 평균 50여건, 총 500여건 이상의 사고 분석을 수행했다. 김 담당은 지난 2021년부터 경찰청 사이버 테러 범죄 자문위원으로 활동 중이다.
전통적인 해킹 수법에 매년 당한다
김 담당은 "여전히 수 많은 기업들이 전통적인 해킹 공격에 당하고 있다"고 강조했다.
최근 3년 간 탑서트가 담당한 침해사고를 분석한 결과, 해커들은 피해자 PC에 초기 침투하기 위해 ▲어플리케이션 취약점 공격 ▲악성메일 ▲웹사이트에 특정 페이지에 악성코드를 심어두는 '워터링홀' 등 잘 알려진 공격기법을 주로 활용한 것으로 나타났다.
그 중 가장 많이 이용한 것은 '어플리케이션 취약점' 공격이다. MS익스체인지·오라클 웹로직·아파치 등 응용 소프트웨어의 보안 정책에서의 결함이나 시스템 개발에서의 눈에 띄지 않는 취약점을 공격하는 방법이다.
실제 지난 1월부터 2월까지 국내 웹사이트를 대상으로 웹페이지 변조, 정보유출 등의 공격을 수행하고 그 결과를 자신들의 홈페이지, 텔레그램, 해킹포럼 등을 통해 공개했던 중국 해킹그룹 샤오치잉이 웹로직 취약점을 악용한 것으로 알려졌다.
초기 침투가 끝난 해커는 본격적인 공격을 위해, 실제 악성 행위를 할 수 있는 악성 코드를 이용해 거점확보 단계에 돌입한다.
이 단계에서도 공격자들은 고전적 공격 방식인 '웹쉘(Webshel)'을 가장 많이 활용했다. 웹쉘 공격은 온라인 사이트의 파일 업로드 취약점을 이용해 악성코드를 업로드 후, 실행함으로써 관리자 권한을 획득하는 공격 방법이다. 탑서트 침해사고 분석 결과 이같은 공격은 2020년 20%에서 지난해 52%로 2배 이상 크게 증가했다. .
김 담당은 "해커가 웹쉘을 악용해 웹 서버에 저장된 기업의 계정정보, 기밀문서 등을 유출하고 해당 서버를 악성 코드 유포지로 악용하는 사례가 매년 증가한 것으로 나타났다"면서 "웹쉘 공격이 증가하는 것은 공격방식의 편리함이 요인으로 보인다"고 설명했다.
고전적인 기법이나 목적 달성은 순조로워… "목적 달성 전에 탐지·차단해야"
공격에 성공한 해커의 70% 이상은 정보유출과 랜섬웨어를 목표로 삼았다. 아울러 과거에는 유출된 정보를 공개적으로 유포했지만, 최근에는 피해 기업과 직접 협상 거래를 시도해 금품을 갈취하는 행태로 변화하고 있다.
해커의 목적 달성 평균 시간도 빨라지고 있다. 탑서트 분석 결과, 해커가 목적을 달성하는데 걸리는 시간은 2018년에는 8.9개월이 걸렸던 것에 비해 2020년에는 3.7개월, 올해는 2개월로 크게 줄어들었다. 이는 기업이 사고를 인지하는데 걸리는 시간 3.6개월보다 한 달 정도로 빠르다.
김 담당은 "다양한 사이버 위협에 능동적으로 대처하며, 해커가 최종 목적을 달성하기 전에 탐지·차단할 수 있는 체계가 마련돼야 한다"고 강조했다.
SK쉴더스 탑서트는 고도화·지능화되는 침해사고에 대응하기 위해 4가지 전략을 제시했다. ▲침해사고 이슈 보고서 정기적 배포 ▲위협 현팅(Threat Hunting) 정보 제공 ▲공격 표면 관리(ASM)서비스 제공 ▲엔드포인트 침입 탐지 및 대응(EDR) 특화 MDR(Managed Detection Response) 서비스 확대 등이다.
김 담당은 "MDR 서비스는 기술, 프로세스 및 전문 지식을 결합해 연중무휴(24x7) 위협 모니터링, 분석, 사고 대응 및 보고를 제공하는 고도화된 사이버 보안 서비스"라며 "보안 위협을 실시간으로 감지하고 대응함으로써 사이버 위협을 사전에 차단할 수 있도록 지원하고 있다"고 말했다.