디지털트윈 확산에 커지는 사이버공격 '공포'

사이버공격 최근 추세, '보안시스템 역이용, 침투'
보안SW 제로데이, ‘액티브 디렉토리’ 환경 취약점 등 악용
한국인터넷진흥원, “2023년 들어 더욱 기승, 기업들 특히 주의”

기업에 사이버보안의 중요성이 커지고 있다.[이스트시큐리티]

[중소기업투데이 조민혁 기자] 갈수록 사이버보안은 기업에 중요한 과제가 되고 있다. 특히 디지털트윈과 스마트팩토리가 날로 확산되고 있어, 사이버공격에 의한 피해는 더욱 치명적일 수 밖에 없다. 그런 가운데 2023년 들어선 ‘Active Directory’ 환경을 악용한 악성코드 내부 전파 수법이나, 보안 SW제로데이 취약점을 악용한 공격이 기승을 떨고 있는 것으로 나타났다.

한국인터넷진흥원은 이같은 경향을 분석하고, 중소기업 등 민간기업들의 피해를 방지하기 위한 대응책을 권고하고 있어 주목된다.

‘Active Directory’ 환경 악용

이에 따르면 우선 윈도2000 이상의 네트워크를 작동하는 ‘Active Directory’ 환경을 악용한 악성코드 내부 전파 기법이 최근 크게 늘어나고 있어 주의가 요망된다.

특히 국내에서 발생한 주요 침해사고에서 공통으로 사용되는 핵심 기법은 ‘SMB/Admin Share’를 이용한 내부 전파(Lateral Movement)다. 윈도우의 SMB/Admin Share 기능은 많은 기업에서 서버 간 자료 공유의 편의성을 추구하거나, Active Directory 환경에서의 정책 배포를 위해 사용하는 기능이다.

그러나 사용자가 이 기능을 잘못 사용하였을 경우 보안상 큰 문제가 발생할 수 있다. 해커들은 바로 그 빈틈을 노린다. 대부분의 침해사고 대응은 랜섬웨어 감염으로 파일이 암호화되거나, 정보가 유출되어 해커로부터 협박을 당하는 등 초동단계에서 침해사고를 인지한 후 비로소 시작된다.

그러나 이 경우는 다르다. 방어자가 침해 사실을 처음부터 인지할 수 없도록 공격자가 감염 상태만 지속 유지한다. 그렇게 오랫동안 기업 내부에 잠복하면서, 계속 내부 정보를 지속적으로 빼내는 것이다.

글로벌 사이버보안 분석기관인 맨디언트 보고서에 따르면, 2022년 신종 악성코드 계열 588개를 추적한 결과 백도어(34%), 다운로더(14%), 드롭퍼(11%), 랜섬웨어(7%), 런처(5%) 등 순으로 발견됐다. 악성코드 종류는 수년 동안 변함없이 유지됐고, 백도어의 비중은 새로 추적된 악성코드 계열에서도 3분의 1을 넘었다.

보안 소프트웨어 제로데이 취약점 악용

보안 SW 제로데이 취약점을 악용하는 대표적인 사례는 주로 북한의 해킹 그룹에 의한 것이다. 특히 금년 들어 북한의 해킹그룹이 다양한 사이버 공격을 이어가고 있다.

이들은 정부기관, 방산 업체, 금융기관 등 주요 인프라나 기업을 대상으로 일주일에 한 번 꼴로 공격을 감행하고 있다.

주요 목적은 정보 탈취나 외화벌이 이고 공격 기법은 주로 피싱이다. 북한 입장에서는 피싱 공격으로 해도 충분히 성과를 거두고있는데 공격 기법을 바꿀 필요가 없다.

글로벌 사이버보안 리처시 기관인 레코디드 퓨처 연구팀인 ‘인식트 그룹(Insikt Group)’이 지난 6월에 펴낸 ‘북한의 사이버 전략’ 보고서는 이 점을 잘 설명하고 있다.

이 보고서는 2009년 7월부터 2023년 5월 사이 북한 연계 해킹 조직의 소행으로 정부와 관련 업체 등에 의해 공개적으로 지목된 사이버 공격 273건을 분석한 결과가 담겨있다.

이에 따르면 지금까지 공격 활동이 가장 많이 보고된 북한 해킹 조직은 ‘김수키’다. 이는 전체의 37%를 차지하고, 이어 ‘라자루스’, ‘APT37’ 등이 뒤를 이었다. ‘김수키’는 주로 정부와 비정부 기구를 대상으로 사이버 공격을 벌이는게 특징이다.

이에 비해 ‘라자루스’는 다양한 표적을 대상으로 활동하지만 암호화폐와 기존 금융기관에 다소 집중하는 것으로 분석했다.

2023년 상반기에는 라자루스 그룹이 제로데이 취약점을 이용하여 공격을 시도하는 정황이 새롭게 확인됐다. 이는 특히 ‘워터링홀’ 수법을 구사하며, 국내 대다수의 기업과 사용자들이 사용하고 있는 보안 솔루션 및 언론 사이트를 최초 침투에 악용했다.

마치 사자가 물웅덩이 주변에 웅크리고 있다가, 몰려드는 동물들을 사냥하는 방식과 닮은 수법이다. 공격자는 물웅덩이격으로 주로 언론사의 기사 페이지에 악성 스크립트를 삽입해 워터링홀 페이지로 악용하다. 독자나 타사 기자들이 해당 페이지에 접속하면 보안 소프트웨어 취약점을 통해 악성코드를 연달아 살포하는 것이다.

취약점을 악용하는 워터링홀 공격에는 특정 언론사 홈페이지가 악용됐다. 이는 언론계의 일반적 관행과 풍토를 역이용한 것이다. 흔히 언론사들은 타 언론사의 단독 보도 확인 등을 위하여 홈페이지를 모니터링하기도 한다. 따라서, 하나의 언론사가 감염됐을 경우 모니터링하는 언론사도 사고가 전이되는 등 감염이 연쇄적으로 확산될 수 있다.

일반인들도 일상생활 중 항상 언론기사를 접하며 살아가고 있으며 특정 현안에 대한 기사를 주변 사람들과 공유하기도 한다. 이러한 과정에서 워터링홀로 악용되는 언론사의 기사가 공유될 경우 보안 소프트웨어의 취약점이 발현돼 피해가 확산될 수 있다. 마치 ‘코로나’가 퍼져 나가는 양상과도 닮았다.

이 과정에서 공격자는 아예 보안 소프트웨어나 솔루션 개발업체의 소스코드를 탈취, 취약점 코드를 개발한 것으로 드러났다. 공격자는 워터링홀 공격을 위해 언론사 사이트를 이용하고, 명령제어지 구축을 위해 호스팅 업체를 악용하는 등 국내 인프라를 이용한 공격 범위 확장을 지속하고 있다.

라자루스 그룹은 이런 워터링홀 수법을 구사하기 위해 탈취한 소스코드를 분석하여 취약점을 공격하는 코드를 제작한다. 또한 잇달아 다른 개발사를 공격하는 등 추가적인 공격도구를 준비하기도 한다.

더욱이 이들에 의한 악용된 보안 소프트웨어는 많은 사용자들이 인터넷 뱅킹과 같은 중요 서비스를 사용할 때 필수적으로 설치되는 소프트웨어다. 약 20%의 시장점유율을 가진 것으로 알려져 있어, 우려를 낳고 있다. 다행히도 한국인터넷진흥원은 “이를 대응하는 과정에서 해당 취약점에 대해 선제적으로 조치하고 있다”면서 “그렇지 않았다면 수백만명이 위협에 노출되었을 것”이라고 밝혔다.

진흥원은 “특히 제로데이 취약점을 최소화하기 위해 개발 환경에서 보안 취약점을 발생하지 않도록 하는 환경을 조성할 필요가 있다”면서 “만약 취약점이 발견되면 신속한 대응 또한 매우 중요하므로 공격을 바로 확인할 수 있는 가시적 경보 시스템이 중요하다”고 권했다.

출처 : 중소기업투데이(http://www.sbiztoday.kr)