“과거 10년간의 해킹사고를 분석해 보면 공격기법에 특별한 것은 없다. 해당 기업 환경에 맞는 특화된 공격들이 진행된 것이다. 여전히 많은 사고들이 진행되고 있고 피해를 입고 있다. 2020년 우리는 과연 과거보다 잘 준비되어져 가고 있는지 고민해 볼 때다.” -이재광 KISA 팀장-
데일리시큐 주최 하반기 최대 정보보안&개인정보보호 컨퍼런스 PASCON 2020이 11월 10일 더케이호텔서울 가야금홀에서 방역수칙 준수하에 성황리에 개최됐다.
이 자리에서 이재광 KISA 침해사고분석단 종합분석팀 팀장은 ‘위협 종합분석과 TTP 보고서’를 주제로 키노트 발표를 진행해 큰 관심을 끌었다.
그의 강연 화두는 ‘과거에도 그리고 지금 현재도 공격은 계속되고 피해를 입고 있는 상황에 방어자는 과연 과거보다 잘 준비하고 있을까. 잘 준비하려면 어떻게 해야 할까’에 대한 고민을 같이 해보자는 것이다.
우선 과거 10년간 이슈가 됐던 해킹 사고들을 보자. △2011년 3.4 디도스 공격, △2012년 400만 개인정보 유출사건(개인정보 웹서버 관리자 페이지 취약점 공격), △2013년 3.20, 6.25 사건(방송사에 악성코드 유포. 중앙관리솔루션이 악용된 사례. 공급망 공격), △2014년 1,200만건 개인정보 유출(웹서버 취약점 악용), △2016년 보안업체 해킹당해 코드서명 인증서 유출사고(관리되지 않은 영업부서 홈페이지 해킹당해), △2017-2018년 호스팅 업체 랜섬웨어 공격(게이트웨이 서버 장악), 평창올림픽 악성코드 공격, 암호화폐 거래소 본격 해킹, △2019년 랜섬웨어 사고 다수 발생 등을 들 수 있다.
이런 사고들을 겪으면서 방어자들은 어떻게 변했나. IoC가 확대되고 방어영역 확장 그리고 탐지기술들이 상당히 발전했다.
이 팀장은 그럼에도 불구하고 보안을 디자인하는 과정에서 디자인 영역에 들어가지 못하는 부분들이 있으며 침해사고는 그 영역에서 주로 발생하고 있다는 것을 지적했다.
이재광 팀장은 침해사고 조사 경험을 전하며 “침해사고는 보안 디자인 영역 밖에서 대부분 발생한다. 메일보안솔루션들이 있지만 여전히 스피어피싱은 유효한 공격 루트다. 엄청난 계정들을 수집해 지속적으로 공격에 활용한다. 또 중앙관리서버들이 해커들에게 쉽게 장악당하고 있다. 공급망도 마찬가지다. 이런 부분들이 보안 디자인 구성에서 쉽지 않은 영역들”이라고 말했다.
또 “4차 산업혁명으로 클라우드가 활성화 되고 공급망 영역이 확대되면서 침해사고 분석을 위한 가시성 확보는 더욱 어려운 시기”라며 “그럼에도 불구하고 보안에 대한 투자는 매우 중요하다. 보안 투자로 공격자를 힘들게 만들어야 한다. 실제 보안 투자와 디자인에 신경쓰지 않은 기업들은 공격에 쉽게 허물어지고 있다. 투자를 통해 공격 효율성을 떨어뜨려야 한다”고 강조했다.
여전히 많은 공격들이 진행되고 있다. 우리는 과연 과거보다 잘 준비 되어져 가고 있는 것일까.
이 팀장은 공격의 효율성을 떨어뜨리기 위해 방어자가 공격에 개입할 수 있어야 한다고 강조했다.
그는 “공격자들은 상당히 많은 C2를 확보하고 한번 노출된 C2는 사용하지 않는다. OS 취약점을 지속적으로 찾고 보안제품 우회 방법도 개발하고 있다. 기업들이 사용하는 SW들의 취약점도 연구해 확보하고 있다. 또 추출한 계정들을 VPN, 클라우드 관리 콘솔, 깃허브 등에 무차별로 넣어서 로그인을 시도하고 엄청난 악성코드 경유지, 유포지, 봇넷 등을 확보하고 공격을 시도한다. 방어자가 따라갈 수 없는 수준이다”라며 “하지만 방어자는 적재적소에서 공격자에게 스트레스를 줄 수 있다. 해커의 TTP와 툴을 알면 가능하다”고 설명했다.
이어 “사이버 킬체인 개념으로 공격자가 공격해 나가는 과정 중에 방어자가 개입해 공격을 무력화 시키거나 최소화시키는 전략으로 나가야 한다. 어느날 갑자기 해킹을 당하는 것이 아니라 공격자들도 많은 과정을 준비한다. 그 과정에 방어자가 개입하는 것이다. 이때 ‘ATT&CK’(Adversarial Tactics, Techniques, &nd Common Knowledge)가 도움이 된다”며 “공격자들은 최초 침투에서 악성코드를 실행하고 내부환경에서 권한상승을 시도하고 보안장비를 우회하고 내부 이동을 통해 최종 목표를 확보하는 과정을 거치게 돼 있다. 그 과정에서 방어자들은 어떻게 대처해야 하는지 방법을 제시한 것이 바로 TTP(Tactics, Techniques, Procedure)다”라고 전했다.
공격자들은 방어환경을 보고 TTP를 만든다. 따라서 방어자는 자기 조직의 방어환경을 정확히 이해하고 있어야 한다. 이를 기반으로 공격자의 TTP를 예측해 방어를 준비하고 공격의 흐름속에서 공격 과정에 개입해 공겨자에게 스트레스를 주고 공격을 무력화 혹은 최소화시켜 나갈 수 있다.
이재광 팀장은 “ATT&CK와 TTP를 활용한 방어전술을 구축해야 한다. 이게 안되면 사고는 계속 반복될 것”이라며 “KISA 종합분석팀에서 발간한 TTP 보고서를 참조해 모르게 진행되고 있는 공격들을 찾아내 사전에 조치하고 대응하는데 도움이 되길 바란다”고 밝혔다.
PASCON 2020 이재광 팀장의 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
★정보보안 대표 미디어 데일리시큐!★