사용자 삽입 이미지

“나는 20년 동안 방화벽, 침입방지시스템 등 전통적인 보안솔루션 시장에서 살아왔다. 우리가 새로운 회사를 인수한다면 당연히 거기는(전통적인 보안솔루션 업체)아닐 것이다.”

20일 방한한 데이브 메르켈 파이어아이 최고기술책임자(CTO)는 “다음에 인수할 회사는 어떤 회사가 될 것인가?”라는 기자의 질문에 이렇게 답했다.

그는 “나는 CTO로 기업인수에 대한 이야기를 하는 것이 적절치는 않다고 생각한다. 하지만 반대로 CTO의 입장에서 인수에 대한 결정권이 있다면 파이어아이의 ‘4단계 위협 예방 프로세스’에 부합하는 기업을 택할 것”이라고 덧붙였다.
사용자 삽입 이미지


파이어아이는 지난해 맨디언트(Mandiant)를 인수한데 이어 올해 5월에는 엔펄스(nPulse)를 인수했다. 두 회사의 공통점은 ‘가시성(Visibility)’에 있다. 파이어아이가 가시성 확보를 위해 두 회사의 솔루션을 자사 솔루션과 통합에 나선 것이다. (이들 회사는 이전부터 파이어아이와 파트너십을 맺고 있었다.)

파이어아이, 엔드포인트 보안업체 맨디언트 10억달러에 인수

파이어아이, 美 네트워크 포렌식 업체 ‘엔펄스’ 인수

맨디언트는 엔드포인트에서 발생할 수 있는 보안위협을 탐지하고, 사고 발생 시 재발방지를 위한 다양한 분석과 조치를 내려줄 수 있는 솔루션과 서비스를 보유한 업체다.

맨디언트의 가장 큰 장점은 엔드포인트를 위협하는 요소들에 대한 정보를 분석할 수 있다는 점이다. 기존 파이어아이 장비로는 엔드포인트의 위험까진 진단하기 힘들었다.

엔펄스는 네트워크 포렌식 업체다. 네트워크에서 일어나는 일들을 기록한 다음 침해사고에 대응할 수 있는 기능을 제공하는 것이 핵심이다.

그럼 다시 파이어아이의 4단계 위협 예방 프로세스를 자세히 살펴보자. 각 단계는 탐지(Detect), ’예방(Prevent)’, ‘분석(Analyze)’, ‘해결(Resolve)’로 구성돼 있다. 파이어아이의 APT 대응 솔루션은 탐지와 예방 영역에 해당한다.

맨디언트와 엔펄스의 솔루션은 각각 어느 영역에 포함될까?

우선 맨디언트는 보안위협에 대한 분석이 핵심으로 4단계 위협 예방 프로세스에서는 ‘분석’에 위치한다. 엔펄스 역시 네트워크 포렌식이 핵심 기능임으로 ‘분석’에 그 초점을 잡고 있다.

메르켈 CTO는 엔펄스 인수에 대해 “엔펄스는 정교한 공격이 발생했을 때 그 공격이 어떻게 이뤄졌는지 알 수 있게 도와줄 수 있다. 즉 ‘분석’단계에서 가장 큰 위력을 발휘할 것으로 기대하고 있다”고 설명했다.

그렇다면 현재 파이어아이가 강화하지 않은 절차는 바로 ’해결’이다. 기업의 보안리스크를 줄이고 보안에 대한 인식 변화를 위한 교육이나 컨설팅 등이 여기에 포함될 것이다. 물론 맨디언트의 ‘분석’을 통해서도 일부 해결할 수 있을 것이다.

하지만 실시간 위협 예방 프로세스가 제대로 구현하려면 무엇보다도 ‘해결’에 대한 투자를 우선시 할 것으로 기대된다.
2014/08/20 15:45 2014/08/20 15:45
사이버 공격은 네트워크 방어를 우회하기 위한 시도를 계속하며 끊임없이 진화하고 있습니다. 이미 탐지된 동일 위협으로는 지속적인 목적 달성이 어렵기 때문에, 기존에 알려진 악성코드를 변종으로 재탄생시켜 보다 정교화된 위협을 가하고 있는 것이죠.

가령 공격자들이 지속적으로 위협 행위를 성공시킨다면 그들은 공격 방식과 기술을 재구성하거나 업데이트할 필요가 없습니다. 공격자가 전술을 새롭게 짤 경우 악성코드 재생산, 인프라 업데이트, 새로운 프로세스에 대한 교육 등 상당한 노력이 수반되기 때문입니다.

이를 근거로 파이어아이는 이러한 위협에 대응하기 위해 새롭게 등장하거나 또는 변종된 악성코드의 공격 방식과 우회 전술을 탐지한 뒤, 공격자가 이러한 변종을 시도한 의도를 알아내는 것이 지능형지속가능위협(APT) 공격에 대응할 수 있다고 지적합니다.

그래야만 향후 또 다른 악성코드가 변종 될 경우 공격 양상을 예측할 수 있다는 주장이죠.

여기에 대해 박성수 파이어아이 악성코드 전문가는 “네트워크 보안망을 뚫고 공격에 성공한 기술들은 더 널리 전파되고 실패한 전술은 버려지기 마련입니다. 최근 파이어아이에 의해 분석된 최신의 APT 사례를 살펴보면, 악성코드가 최초 탐지된 후 상당 기간이 흘렀지만 여전히 변종된 형태로 활발하게 사용되고 있다는 점과 보통 스피어 피싱으로 네트워크에 침투되고 있다는 점이 공통된 특성으로 보입니다”라고 설명했습니다.

이번에는 파이어아이가 발간한 보고서를 바탕으로 전세계서 발생한 지능형지속가능위협(APT) 공격 사례 중 일부를 소개하려고 합니다.


◆야후 블로그를 활용한 타이도어(Taidoor) 변종 악성코드

타이도어(Taidoor)는 2008년부터 현재까지 지속적으로 APT 공격에 사용되고 있는 악성코드로, 주로 스피어 피싱 이메일을 통해 사이버 스파이 활동에 이용돼 왔습니다.

파이어아이는 타이도어를 이용한 공격방식에 있어 2011년과 2012년 사이 기술적인 변화를 밝혀냈는데, 기존 방식이 악성 이메일 첨부파일 실행 시 타이도어가 직접 드롭(drop)되는 방식이었다면, 새로 발견된 방식은 ‘downloader’를 드롭시킨 뒤 기존 타이도어 악성코드를 인터넷상에 다운로드하는 방식으로 알려졌습니다.

공격자들은 기존의 타이도어 악성코드를 C&C 서버로부터 다운로드 하는 대신, 특정 야후 블로그의 포스트에서 암호화된 텍스트를 다운로드 합니다. 암호가 풀린 텍스트는 DLL 파일로 기존 타이도어 악성코드의 변형 버전입니다. 즉, 타이도어 악성코드를 다운로드하는 메커니즘으로 야후 블로그를 악용한 사례라고 볼 수 있을 것 같습니다.

자료출처 : http://www.fireeye.com/blog/technical/2013/09/evasive-tactics-taidoor-3.html


◆악성코드 포이즌 아이비(PIVY) 변종을 이용한 몰레츠(Molerats) 공격 

몰레츠는 원격제어(RAT) 악성코드인 ‘포이즌 아이비(PIVY)’ 역시 8년 째 APT 공격에 이용돼 오고 있는 악성코드입니다.

2013년 여름 중동과 미국 내 몰레츠 해커집단이 C&C 인프라와 연결되는 포이즌 아이비 악성코드를 이용한 공격이 탐지됩니다. 몰레츠는 타겟 호스트를 감염시키기 위해 제로데이 취약점을 이용한 스피어 피싱을 이용했는데, 타깃 대상이 악의적인 파일을 열도록 유도하기 위해 현재 이집트 및 동유럽 전역에 걸친 위기 상황과 관련된 아라비아어로 된 콘텐츠를 활용한 것이 특징입니다.

몰레츠 공격은 본래 이스라엘과 팔레스타인 조직에만 초점을 맞춘 것으로 보였지만 다른 아랍권 국가나 미국 등 세계적인 공격을 감행하고 있어 보다 주의가 요구됩니다.

특히 그간 포이즌 아이비 악성코드는 대부분 중국 해커집단과 연관되어 있다고 여겨져 왔으나 변종 버전이 사용됨에 따라 그 배후에 대해서도 더욱 주의를 기울여야 한다고 합니다.

자료출처 http://www.fireeye.com/blog/technical/2013/08/operation-molerats-middle-east-cyber-attacks-using-poison-ivy.html


◆IE의 제로데이 취약점(cve-2013-3893)을 악용한 ‘오퍼레이션 디퓨티도그(Operation DeputyDog)’

오퍼레이션 디퓨티도그는 가장 최근의 발견한 공격입니다. 올해 8월 17일 등장해 19일에 공격을 시작했습니다.

일본 내 기업들을 표적으로 한 이 공격은 해커들이 정보를 송수신하기 위한 C&C서버를 한국에 심어두기도 한 것으로 밝혀져 보안업계에서 회자가 됐습니다.(국내에서는 10월 9일 마이크로소프트가 10월 정기 보안업데이트를 실시하면서 알려졌습니다.)

파이어아이는 자사의 동적 위협 분석 클라우드 서비스(DTI)에 기반해 이번 악성코드 캠페인과 연관된 위협 활동을 지속적으로 모니터링한 결과, 이번 공격이 지난 2월 비트9(Bit9)을 공격했던 위협요소와 일치한다는 것을 발견했습니다.

특히 cve-2013-3893 취약점은 암호화된 JPG 확장자 형태의 파일로 알려졌는데, 이는 기존 시그니처 기반의 보안 솔루션을 우회할 수 있습니다.

출처 : http://www.fireeye.com/blog/technical/cyber-exploits/2013/09/operation-deputydog-zero-day-cve-2013-3893-attack-against-japanese-targets.html

앞서 3개의 사례에서처럼 공격자들은 이전에 알려지지 않은 제로데이(Zero-day) 취약점을 활용하고 보다 강력한 악성 코드를 만들어 내고 있습니다. 여기에 대비하기 위해서는 보안 위협을 실시간으로 모니터링하고 분석할 수 있는 대책마련이 필요할 것으로 보입니다.


2013/11/03 18:30 2013/11/03 18:30


최근 APT(지능형지속가능위협) 공격이나 타깃공격의 대상이 정부기관이나 대기업을 넘어 중소기업도 표적이 되고 있다. 한동안 조용했던 APT 공격이 보이지 않는 곳에서 여전히 성행하고 있다.

시만텍 2012년 상반기 표적공격 동향 보고서를 살펴보면 중소기업을 겨냥한 표적공격이 18%에서 36% 이상으로 급증했는데, 소기업의 경우 지능적인 사이버 공격을 감시할 전담 IT 인력이 부재해 협력관계에 있는 대기업을 겨냥한 표적공격의 전초기지로 삼기가 수월하기 때문으로 보인다.

시만텍 분석에 따르면 2012년 상반기 표적공격은 2011년 12월 하루 평균154건이 발생해 최고 기록을 갱신한 후 올 1월 잠시 소강상태를 보이다가 2월부터 다시 예년 수준을 회복했다.

특히 올 6월에는 이란과 중동지역에서 국가 기간시설에 침투해 중요 정보를 빼돌려온 악성코드 ‘플레이머(W32.Flamer/플레임)’가 발견돼 충격을 주기도 했다. ‘플레이머’는 2010년 ‘스턱스넷(Stuxnet)’, 2011년 이와 유사한 ‘듀큐(Duqu)’, 전세계 화학 및 방산업체를 공격한 ‘니트로(Nitro)’ 등과 같은 APT 공격이다.

상황이 이렇지만 APT 공격은 여전히 막기가 힘들다는 것이 업계의 공통된 의견이다.

APT는 제로데이 공격과 사회공학적 기법 등 일반적인 해킹과는 다른 지능적인 공격 기법을 사용하기 때문이다. 최근 시장에 출시된 대부분의 보안 솔루션들은 샘플(시그니처) 기반이기 때문에 알려지지 않은 악성코드나 멀웨어를 잡아낼 수 없다는 것이 가장 큰 이유다.

지난해 APT 공격으로 인해 많은 기업들이 몸살을 앓았다. EMC RSA, 소니컴퓨터엔터테인먼트, 엡실론 등 해외기업을 비롯해 농협, SK커뮤니케이션즈, 넥슨 등 국내기업들도 APT 공격을 당하며 수 천만건의 개인정보와 기업정보를 유출시켰다.

APT는 다양한 기법이 사용된 공격이지만, 악성코드를 웹, 메일, FTP 등을 통해 유포시키는 것에서 시작한다.

뒤집어 해석하면 APT 공격은 인터넷을 통해 어떤 패킷과 데이터가 오가는지를 모니터링하고 차단할 수 있다면 방어할 수 있다는 의미다.

그러나 이는 생각보다 쉽지 않다는 것이 보안 전문가들의 의견이다. 현재까지 악성코드를 차단하기 위한 다양한 솔루션이 나와 있지만 제로데이 공격, 알려지지 않은 악성코드가 유입될 경우에는 속수무책으로 당할 수밖에 없다.

매일 1초에 8개의 신종 악성코드가 만들어지고 유포된다는 조사결과도 APT 공격의 위험성을 나타내는 수치로 볼 수 있다.

막기 힘들다는 APT 공격. 그러나 이제는 상황이 변하고 있다. 클라우드와 가상화 기술의 발달로 인해 악성코드로 의심되는 파일을 직접 구동시켜본 뒤 이를 격리·치료할 수 있는 솔루션 등이 나오기 시작했다.

실제 지난 2월 미국 샌프란시스코에서 열린 RSA 컨퍼런스에서 국내 보안업체인 안랩을 비롯해 파이어아이, RSA 등의 업체들이 가상화 기반 APT 대응 솔루션을 선보여 눈길을 끌었다.

RSA 컨퍼런스 이후에도 APT 대응 솔루션은 연이어 나왔다. IBM, HP, 체크포인트, 트렌드마이크로, 포티넷 등 글로벌 업체은 APT, 클라우드 보안에 초점을 맞춘 솔루션을 내놨으며, 국내에서도 하우리, 윈스테크넷 이 APT 공격에 특화된 솔루션을 내놨다.

이들 업체들의 공통점은 기존 안티멀웨어(Anti-Malware), 안티바이러스(Anti-Virus) 솔루션들이 사용하는 샘플, 시그니처 기반 기술을 사용하지 않고 행위기반으로 탐지하는 기술을 채택했다는 점이다.



앞으로도 행위기반 기술은 더욱 발전될 것으로 보인다. 이상징후를 사전에 파악해 차단하는 기술이 널리 보급된다면, 제로데이 공격(zero day attack)과 APT 공격은 사라지지 않을까 기대해본다.


2012/10/15 09:22 2012/10/15 09:22

보안업계 관계자들은 올해 상반기의 보안시장을 평가하며 대형보안사고가 일어나지 않았다는 점에서 우선 안도의 한숨을 쉬었다.

그러나 위협은 더욱 증가했다고 평가했다. 상반기 보안업계를 떠들썩하게 만든 키워드에 대해 잉카인터넷, 안랩, 시만텍코리아, 이글루시큐리티 등 주요 보안업체들의 관계자는 지난해와 큰 차이를 보이지 않았다고 답했다.

최근 보안이슈와 관련 문종현 잉카인터넷 ISARC 대응팀장은 “눈에 보이는, 언론에 보도되는 사고가 없었을 뿐이지 사실 지난해에 비해 보안위협은 더욱 높아졌다”고 전했다. 문 팀장은 최근 국내 사용자들을 타깃으로 한 공격이 더욱 거세지고, 은밀해지고 있다고 강조했다.

그는 “상황실에서 특정 악성코드가 기업들을 공격하는 모습을 종종 탐지하곤 한다. 대부분이 알려진 악성코드를 사용한 공격으로 별 무리가 없지만 신종 악성코드가 포착되기도 한다”며 “한글파일(.hwp) 형태로 배포되는 악성코드가 증가했다는 것이 가장 두드러진 현상”이라고 덧붙였다.

◆APT, 누구를 노리는가=2012년 상반기 중에도 다수의 HWP 문서 취약점을 악용한 악성파일이 다수 발견돼 한컴오피스를 이용하고 있는 사용자들에게 새로운 위협요소로 떠올랐다.

근래에는 국내 유명기업이나 정부기관, 정치권 등을 겨냥하는 지능형지속가능위협(APT) 공격이 지속적으로 탐지된 바 있다.

한컴오피스의 사용자들이 대부분 우리나라 사람이란 점에서 이러한 트렌드는 의미가 있다. pdf, doc 파일들은 전세계적으로 통용되는 파일이기에 특정 국가의 사용자를 노린다고 판단하긴 힘들다.

그러나 hwp 파일의 유통은 대부분 한국에서만 이뤄지므로 hwp 취약점을 악용한 악성코드의 등장은 우리나라 사용자만을 노린다고 볼 수 있다. 최근 북한과 관련된 hwp 파일이 다수 유통된 것도 이와 같은 맥락으로 유추된다.

얼마전에는 ‘국방융합기술.hwp’라는 파일이 유통되기도 했을뿐더러 올해 상반기부터 꾸준히 등장하고 있어 주의가 요망된다.


◆개인정보보호법, 새로운 시장을 만들다=지난해 하반기부터 꾸준히 보안업계에서 화제가 되고 있는 키워드는 개인정보보호법이다. 개인정보보호법은 지난해 9월 30일을 시작으로, 6개월간의 계도기간을 거쳐 지난 3월 30일부로 본격 시행됐다.

올해 상반기까지만 하더라도 개인정보보호법 관련 보안솔루션 시장은 눈에 띄게 증가하는 추세는 아니었다. 데이터유출방지(DLP), 디지털콘텐츠보안(DRM) 솔루션만이 다소 인기를 끌었다.

이는 개인정보보호법에 대한 사업자들의 이해가 떨어지고, 컴플라이언스적인 이슈를 모두 해결할 수 있는 제품이 많지 않았기 때문이다. 그러나 최근 개인정보보호 솔루션을 가지고 있는 보안업체들이 컴플라이언스적인 이슈를 모두 해결할 수 있는 패키지 상품을 출시해 인기를 끌고 있다.

행정안전부, 방송통신위원히 등 정부를 비롯해 개인정보보호협회, 개인정보보호협의회 등의 기관에서도 다양한 캠페인과 행사로 개인정보보호 관련 솔루션 시장을 크게 성장시켰다.


◆모바일과 BYOD, 새로운 흐름으로=스마트워크 구축 본격화로 함께 모바일단말관리, 무선침입방지시스템 등이 주목을 받고 있다. 상반기에 구축된 사례만 해도 각각 10건이 넘는다. 구축사례 대부분이 금융기관이지만 하반기에는 이와 관련된 시장이 급증할 것으로 업계관계자들은 예상하고 있다.

모바일단말관리(MDM) 솔루션은 모바일오피스 내부에 구축돼 모바일 디바이스를 통제할 수 있는 기능을 갖추고 있다. 불법 애플리케이션(앱) 구동금지, 특정상황에서 카메라, 캡쳐기능 무력화를 비롯해 안티바이러스의 기능도 갖추고 있다.

스마트워크를 구축하며 함께 고려되는 사안이 바로 무선네트워크다. 통합커뮤니케이션(UC) 인프라를 모바일에 적용하기 위해서는 체계적인 무선네트워크가 필요하다. 외부에서 침입할 수 없도록 만듦과 동시에 내부의 취약점도 잡아낼 수 있어야 한다.

금융권과 공공기관에서 도입이 증가하고 있는 WIPS는 기업의 무선 네트워크 안팎에서 발생하는 침입을 탐지, 차단할 수 있는 무선 보안 솔루션이다.

최근에는 WIPS의 개념과 유사한 WNAC(Wireless Network Access Control) 솔루션이 출시돼 또 한번 무선네트워크 보안의 활성화가 예상된다.

올해 하반기에는 위에서 언급한 내용들을 중심으로 다양한 교집합, 합집합에 대한 키워드가 등장할 것으로 보인다. 특정 기관을 노리는 APT 공격, 안드로이드 취약점, 모바일오피스 보안, 온라인게임 계정 탈취 공격 등 좀 더 고도화된 공격이 예상된다.
2012/07/06 08:17 2012/07/06 08:17


최근 인기리에 방영중인 드라마 ‘유령’에는 특정 계층의 사용자를 노리는 타깃공격이 매우 심도있게 다뤄지고 있다.


극 중 등장하는 해커는 자신이 좋아하는 연예인의 안티카페에 가입된 사용자를 꾀어내기 위해 피싱메일을 발송한다. 사용자들은 아무런 의심없이 해당 메일을 열람하게 되는데, 이 순간 악성코드가 사용자 PC로 전이돼 해커의 제어 범위안에 들어가게 됐다. 이후 해커는 해당 PC를 제어해 살인까지 저지르게 된다.


이러한 해킹기법을 ‘사회공학적 기법’이라고 통칭하는데, 최근 전세계적으로 이러한 공격이 지속적으로 일어나고 있다.

(관련기사 : “디아블로3 맵핵 찾지마세요” / 소비자 불만이 접수됐다?…미 공정거래협회로 위장한 스팸메일 활개 / “APT 공격 급증세, 이젠 중소기업도 타깃”)

런 공격은 주로 사회적으로 이슈가 되거나, 특정인들이 관심이 있어할 만한 주제로 메일과 첨부파일을 보내는 것으로 첨부파일을 열람하면 악성코드에 감염되는 형태를 띈다.

과거에 등장한 형태를 살펴보면, ▲헤드헌팅을 가장한 메일 ▲무료 이벤트를 가장한 메일 ▲가십거리를 담은 메일 ▲성인 콘텐츠를 가장한 메일 등이다.

첨부파일에는 대체로 pdf, doc(워드), xls(엑셀) 와 같은 문서파일이 주를 이루고 있는데, 최근에는 한컴의 hwp 포맷파일도 등장하고 있어 주의가 요망된다.

(관련기사 : 올해의 보안 핫 이슈는 ‘APT 공격’)

한컴의 ‘아래아한글’의 사용자들이 대부분 우리나라 사람이란 점에서 이러한 트렌드는 의미가 깊다. pdf, doc 파일들은 전세계적으로 통용되는 파일이기에 특정 국가의 사용자를 노린다고 보기는 힘들다는 것이 업계의 공통적인 의견이다.

그러나 hwp 파일의 유통은 대부분 한국에서만 이뤄지므로 hwp 취약점을 악용한 악성코드의 등장은 우리나라 사용자만을 노린다고 볼 수 있다. 최근 북한과 관련된 hwp 파일이 다수 유통된 것도 이와 같은 맥락으로 유추된다.

이와 관련 윤광택 시만텍코리아 이사는 “‘아래아한글’ 사용자를 노리는 악성코드가 등장했다는 것은 분명 무언가를 노리고 있다고밖에 설명할 수 없다”며 “hwp 파일을 사용하는 곳이 주로 관공서라는 점을 생각해본다면 이해가 빠를 것”이라고 말했다.

이어 “일본에도 우리와 유사한 상황이 발생하고 있다. 일본에서만 사용되는 워드프로세서 ‘이치타로우’의 취약점을 노린 악성코드가 계속해서 나타나고 있다”며 “특정 지역에서만 사용되는 소프트웨어의 취약점을 노린 공격에는 분명 악의적인 의도가 있을 것”이라고 덧붙였다
.



2012/06/21 08:15 2012/06/21 08:15


지난 6일 미국의 비즈니스전문 소셜네트워크서비스(SNS)인 링크드인이 해킹당해 650만개의 계정정보가 탈취당하는 사고가 발생했다.

수사당국은 해킹의 배후는 러시아의 해커그룹으로 추측하고 있다. 이들이 지난 5일 링크드인을 해킹, 계정정보를 탈취했다고 주장하면서 이를 온라인에 게시했기 때문이다.

링크드인은 해킹으로 인해 비밀번호가 유출된 사용자들의 계정을 비활성화시키고, 해당 사용자들에게 비밀번호 유출사실을 통보할 예정이다.

링크드인이 탈취당한 정보에는 계정 비밀번호도 포함돼 있다. 해당 비밀번호는 SHA(Secure Hash Algorithm)-1을 사용하고 있는데, 혹자들은 이미 SHA-1은 취약한(cracked) 알고리즘이라는 주장도 하고 있다. 실제 해커들이 공개한 정보에는 비밀번호도 포함돼 있었기 때문이다.

흔히 해커들은 계정정보 탈취의 경우 암호화하지 않은 영역을 다른 범죄에 사용하게 된다. 비밀번호와 같은 민감한 정보들은 암호화를 해둬 다시 활용할 수 없도록 했기 때문이다.

마타사노 시큐리티의 토마스 파섹 연구원은 “SHA-1 은 1990년대 초반 이후 보안적으로 전혀 강화되지 않았다. SHA-1로 암호화된 데이터를 복호화하지 못한다는 것은 일반적인 오해”라며 “이미 많은 SHA-1 암호를 복호화하기 위한 크래킹도구가 나와있는 상태이다. 만약 링크드인이 SHA-512를 사용했다면 걱정을 좀 덜 수 있었을 것”이라고 말했다.

또 미국 암호화연구소의 폴 커쳐 사장은 “링크드인이 비밀번호 보안에 대해 조금이라도 아는 사람과 이야기를 나눠봤다면 이런 어처구니 없는 상황은 발생하지 않았을 것”이라고 비판했다.

아울러 외신들은 링크드인이 최고보안책임자(CSO)를 갖추지 않은채 영업을 지속했다는 점을 지적했다.

뉴욕타임즈, 매셔블 등 외신들은 “해커들이 링크드인의 시스템을 얼마나 휘젓고 다녔는지 당사자도 모를 것이다. 링크드인에는 보안을 총괄하는 담당임원이 없기 때문”이라고 보도했다. 실제 링크드인은 데이비드 헨케 수석부사장이 서비스운영과 보안을 모두 총괄하고 있다.

링크드인의 해킹사건은 국내 SK컴즈, 넥슨 등의 개인정보유출 사고와 매우 유사한 점이 있다. 유출되기 전까지 전혀 알지 못했다는 점과 사고가 발생하기 전까진 최고보안책임자가 없었다는 점이 동일하다.

SK컴즈 해킹사고 당시에도 암호화에 대한 논란은 있어왔으나, 이에 대한 해명과 검증은 제대로 이뤄지지 않았다. 그러나 여전히 많은 사용자들이 계정도용이나 개인정보도용으로 인한 피해사례를 신고하고 있는 상황.

사실 링크드인 사고에서 우리가 배울 점은 그리 많지 않다. 이미 그들보다 먼저 많은 사고를 경험했기 때문이다.

지난해 대형사고가 이어진 이후 대부분의 인터넷서비스업체와 금융권들은 CSO, CISO를 선임해 운용하고 있으며, 암호 알고리즘도 점점 복호화가 불가능하도록 고도화시키고 있다. 보안에 대한 투자도 급증하면서 보안 컨설팅 역시 늘어났다.

그러나 보안은 창과 방패의 싸움이다. 방패가 튼튼해지면 창도 더욱 강력해진다. 다소 느슨해진 보안인식을 이번 일을 기회로 다시 한번 강화해야할 필요가 있어보인다.

2012/06/11 08:14 2012/06/11 08:14


#1. 2010년 6월 러시아 보안업체인 바이러스블로카다(VirusBlokAda)는 지멘스의 대규모 공정 및 유틸리티 공장에 사용되는 스카다(supervisory control and data acquisition, SCADA) 관리시스템을 공격하는 악성코드를 발견했다고 발표했다.

바이러스블로카다는 해당 악성코드가 1년전부터 활동한 것으로 분석했다. 특히, 스턱스넷은 국가의 기간산업을 타깃으로 한 공격이라는 점에서 세간의 이목을 끌었다. 또 스턱스넷은 프로그램 로직 제어기(PLC)에 들어가 프로그램을 재설계하고 이를 숨기는 능력까지 갖추고 있어 매우 위험한 것으로 알려졌다.

한편 스턱스넷은 USB메모리스틱을 통해 전파됐다. 이 일 발생 이후 보안업계에서는 외부 디바이스에 저장된 데이터를 내부로 복사나 열람할 수 없게하는 솔루션을 내놓기 시작했다.

#2.시만텍은 지난해 10월 스턱스넷과 유사한 악성코드 ‘듀큐(W.32 Duqu)’가 발견됐다고 밝혔다.

시만텍은 'DQ' 파일명을 가진 파일을 생성해 ‘듀큐’로 명명된 이 악성코드의 제작자가 스턱스넷 바이너리는 물론 스턱스넷의 소스코드에도 접근한 것으로 분석했으며, 이를 근거로 듀큐 제작자가 스턱스넷 제작자와 동일인일 가능성이 있는 것으로 보고 있다.

시만텍의 분석에 따르면 듀큐는 스턱스넷과 매우 유사하지만 목적은 다르다. 산업시설에 물리적 피해를 입혔던 스턱스넷과 달리 듀큐는 산업용 제어시스템 제조업체와 같은 조직에 침투해 설계문서 등 핵심 정보 자산을 수집, 향후 제3자에 대한 공격을 보다 쉽게 감행할 수 있도록 준비하는 데 목적을 두고 있다.

듀큐는 스턱스넷 등장 당시의 파급력은 가지지 못했지만, APT 공격이 여전히 성행하고 있음을 다시금 재조명하게 만들었다.


2010년 스턱스넷, 2011년 듀큐에 이어 올해에도 APT 공격에 활용된 강력한 악성코드가 발견됐다.

카스퍼스키랩에서 발견한 플레임(Worm.Win32.Flame) 악성코드는 발견은 최근의 일이지만 약 2년 전인 2010년 3월부터 활동을 시작한 것으로 조사됐다.

특히 이 악성코드는 중동 여러국가에서 활동하고 있는 것으로 보이며, 사이버 스파이 활동을 수행하도록 제작돼 컴퓨터 화면에 표시된 내용과 특정 대상 시스템에 대한 정보, 저장된 파일, 연락처 데이터, 컴퓨터 주변 대화 내용 녹화에 이르는 각종 기밀 정보를 탈취한다.

카스퍼스키랩 알렉산더 고스테프는 “이미 플레임의 사이버공격 작전이 개시돼 현재 활성화 단계로 접어든 것으로 보인다”며 “공격자는 은밀한 목표를 달성하기 위해 지속적으로 감염된 시스템을 감시하고 정보를 수집하며 새로운 공격 대상 시스템을 찾고 있다”고 말했다.


플레임은 스턱스넷과 듀큐와 유사하지만 일부 다른 특이점을 지니고 있다. 특정 소프트웨어나 시스템을 공격하는 스턱스넷, 듀큐와 달리 특정 지역을 대상으로 한 공격이다. 중동지방이나 동유럽이 주된 대상이다(상단 이미지, 출처 IT프로).

‘APT(지능형지속가능위협)’ 공격이 위협적인 이유는 ‘타깃공격+제로데이 공격+사회공학적 공격+...’ 등이 복합적으로 합쳐졌기 때문에 탐지하기가 어렵고 규모가 커 막대한 피해를 입을 수 있기 때문이다.

실제 앞서 나온 세 개의 악성코드 모두 알려지지 않은 취약점을 이용한 제로데이 공격이고, 이메일 첨부파일 등을 열람하도록 내용을 조작한 사회공학적인 요소가 포함돼 있으며, 특정 시스템이나 지역을 타깃으로 하기 때문에 발견하는 데 까지 많은 시간이 소요됐다.

이번에 등장한 플레임이 특정 지역에서만 주로 감지된다는 점으로 일부 보안전문가와 군 관계자들은 국가간 사이버전쟁이 막이 올랐다고 주요 외신을 통해 주장하기도 했다.

카스퍼스키랩이 플레임 바이러스에 대한 상세한 내용을 발표한 직후 모세 얄론 이스라엘 부수상은 라디오 방송을 통해 “이란이 핵을 보유하겠다는 위협을 심각하게 생각하는 이들은 이를 막기 위해 별도의 수단을 사용하는 것이 좋다”며 “이스라엘은 첨단기술을 보유하고 있는 축복을 받았으며, 이를 통해 우리는 다양한 가능성을 갖추게 될 것”이라는 의미심장한 발언을 했다.

이란은 APT 공격과 인연이 깊다. 과거 2010년에 등장한 스턱스넷도 이란의 핵시설과 산업시설을 노린 악성코드라는 주장이 나올정도로 이란은 APT 공격에 속수무책으로 당했다. 이번에 등장한 플레임의 활동지역과 감염시도가 주로 중동지역에 초점 잡힌 것에도 주목된다.

이런 상황에서 뉴욕타임즈는 미국 오바마 정부가 이란의 핵시설을 무력화시키기 위해 사이버공격을 진행할 것을 국방부에 주문했다는 사실을 보도했다.

뉴욕타임즈에 따르면 미국와 이스라엘은 공동으로 ‘올림픽게임’이라는 프로젝트를 진행했으며, 스턱스넷은 프로젝트 중 나온 일부의 결과물이다. 양 국가는 이후에도 지속적으로 사이버공격을 감행하기 위해 현재도 프로젝트를 진행하고 있다고 뉴욕타임즈는 전했다.

<관련기사 : Obama Ordered Wave of Cyberattacks Against Iran , 뉴욕타임즈>

이번에 등장한 플레임이 시사하는 것은 APT 공격이 여전히 성행하고 있으며, 이제는 국가대 국가간 사이버전쟁 양상을 띈다는 점이다.

이런 상황에 비춰봤을 때, 휴전중인 우리나라도 결코 안전지대라고 보긴 힘들다. 대비책 마련에 진지한 고민이 필요할 시기다.


2012/06/03 08:13 2012/06/03 08:13
얼마 전까지만 해도 APT(지능형지속가능위협) 공격은 절대 막을 수 없을 것이라는 의견이 지배적이었다.

APT는 제로데이 공격과 사회공학적 기법 등 일반적인 해킹과는 다른 지능적인 공격 기법을 사용하기 때문이다. 최근 시장에 출시된 대부분의 보안 솔루션들은 샘플(시그니처) 기반이기 때문에 알려지지 않은 악성코드나 멀웨어를 잡아낼 수 없다는 것이 가장 큰 이유다.

그러나 상황이 변했다. 클라우드와 가상화 기술의 발달로 인해 악성코드로 의심되는 파일을 직접 구동시켜본 뒤 이를 격리·치료할 수 있는 솔루션이 나오기 시작했다.

실제 지난 2월 미국 샌프란시스코에서 열린 RSA 컨퍼런스(주석1)에서 국내 보안업체인 안랩을 비롯해 파이어아이, RSA 등의 업체들이 가상화 기반 APT 대응 솔루션을 선보여 눈길을 끌었다.

특히 안랩은 ‘세계 최초’ 라는 수식어를 붙여가며 자사의 APT 대응 솔루션인 ‘트러스와처2.0’을 대대적으로 홍보에 나섰다. 안랩이 이렇게 자랑할 수 있는 근거는 어디에 있을까.

안랩 김수암 팀장은 “17년동안 안티바이러스(백신) 프로그램을 개발하며 쌓인 노하우가 새로운 기술로 발전한 것”이라고 말했다.

사실 안랩이 백신을 개발한 것은 훨씬 더 이전의 일이다. 안랩은 1988년에 국내 최초로 백신을 개발했고, 1991년 우리의 귀에 익은 ‘백신 III(V3)’가 탄생하게 된 것이다.

김 팀장은 “국내에서 가장 오랫동안 백신 사업을 해왔기 때문에 가장 많은 파일형태를 가지고 있을뿐더러, 국내에 특화된 악성코드, 멀웨어 정보들도 가지고 있다. 이것이 안랩이 신기술을 개발할 수 있는 가장 큰 근거”라고 강조했다.

그런데 APT 공격은 앞서 소개했다시피 샘플 기반 솔루션에서는 전혀 찾아내지 못한다. 다양한 악성코드 샘플을 가지고 있다고 해서 APT 대응 솔루션을 개발할 수 있는 것과는 별개의 문제다.

기자가 이렇게 질문하자 김 팀장은 “악성코드로 동작하는 파일들은 각 특성값이 있다. 기존에 있던 파일들을 분석할 수 있는 것”이라며 “APT는 잘 알다시피 일반 바이러스처럼 대중을 상대로 하는 공격이 아니지만 악성코드 자체의 특성값을 가지고 있기 때문에 사전에 검열할 수 있는 엔진을 마련한다면 어느정도는 걸러낼 수 있다”고 설명했다.

이어 “일반적인 백신업체들은 악성코드 자체의 특성값을 잡아낼 수 있는 노하우나 엔진이 없다. 단순히 샘플기반 엔진이기 때문에 우리보다 한템포 늦을 수밖에 없다”고 자신감을 나타냈다.

김 팀장은 안랩이 개발한 가상화 기반 APT 대응 솔루션의 구동원리를 연이어 설명했다.

그는 “APT에 사용되는 파일, URL 등을 수집, 분석하는 엔진을 가지고 있다. 해커가 해킹을 할때 접속하는 C&C(Command & Control) 서버 리스트도 실시간으로 수집하고 있다. 이는 사람이 할 수 없는 일이다. 자동화된 분석기법(주석2)으로 클라우드 서버가 수행하는 것이다. 이 역시 안랩의 기술 중 하나”라며 “수집된 정보를 바탕으로 실시간 감시를 수행하고 의심이 가는 파일은 즉시 가상화 환경에서 구동시켜보고 문제가 있다면 격리, 치료 조치를 취하게 된다. 이것이 트러스와처2.0의 동작 프로세스”라고 전했다.

그렇다면 가상화, 행위기반 기술을 사용하는 모든 업체들은 동일한 성능을 나타낼까? 꼭 그렇지도 않다는 것이 김 팀장의 주장이다.

김 팀장은 “행위기반이라고 하면 가상머신에 파일을 집어넣었을때 시스템의 어떤 부위에 접속하는지 보는 것이 가장 일반적이다. 시스템 레지스트리에 접근하는지, 패킷에 접근하는지를 살펴보면 된다는 것”이라며 “그러나 문제는 이것이 100% 정확한 탐지는 아니라는 것이다. 인터넷뱅킹을 위해 설치하는 액티브X는 시스템의 레지스트리를 건드리게 된다. 이를 악성코드로 인지하게 되는 것은 오탐이다. 이를 방지할 수 있는 기술이 있어야 진짜 행위기반 APT 대응 솔루션이라고 할 수 있을 것”이라고 설명했다.


주석 1. RSA 컨퍼런스 = 매년 미국 샌프란시스코에서 열리는 정보보호 컨퍼런스. 올해로 21년째를 맞았으며 매년 300여개가 넘는 보안업체들이 참석한다.

주석 2. DICA(Dynamic Intelligent Contents Analysis) 기술 = 클라우드 기반 사전 분석 기술과 자체 가상 머신을 이용한 실제 악성 행위 분석 기술. DICA 기술은 워드, 아래아한글, PDF, 플래시 플레이어, 문서 및 스크립트 등의 비 실행 파일 포맷(non-executable format)의 리더나 편집기의 종류에 상관 없이 악성 문서 파일을 검출한다.

2012/04/06 19:39 2012/04/06 19:39
TAG , ,