엔키는 지난 2월 8일 데일리시큐 주최 국내 최대 사이버 위협 인텔리전스 컨퍼런스 K-CTI 2023에서 “금융 회사 침해 사고 분석”을 주제로 강연을 진행했다.

엔키(대표 이성권. ENKI)는 공격자의 관점으로 보안 문제를 해결하는 오펜시브 시큐리티 전문기업이다. 엔키는 설립 초창기부터 악성코드 분석 및 사이버 위협 동향 연구를 지속했으며, 취약점 연구, 침투 테스트, 보안 교육 등 보안 업계에서 최고로 인정받고 있다.

데일리시큐는 K-CTI 2023 종료후 엔키의 분석가 안소희, 천호진과 인터뷰를 진행해 금융권 사이버 위협 실태에 대해 들어보는 시간을 가졌다.

Q. 이번 주제로 강연을 준비하게 된 계기가 무엇인가요?

△안 : 작년에 보안 사고가 정말 많았죠? 작년도에 침해사고 분석이나 침해 흔적 조사하는 업무를 정말 많이 수행했어요. 관련 문의도 많이 받았고요. 저희가 분석을 수행하면서 신종 루트킷을 발견했어요. 그래서 관련 기술을 공유하고 싶어서 팀원들과 함께 강연을 준비하게 됐습니다.

△천 : 루트킷 특성 상 침해 진위나 피해 범위 파악이 어렵고, 루트킷 자체를 탐지하기도 어려워요. 특히 국내 금융사들이 타켓이었던 만큼 이 강연을 통해 많은 금융사들이 주의하고 모두가 안전하게 서비스를 이용할 수 있게 힘써주시길 바라고 있습니다.

Q. 현재 금융권을 위협하는 사이버 범죄 실태는 어떤가요?

△안 : 해킹을 통해 탈취한 정보인지 정확히 알 수는 없지만 다크웹이나 텔레그램을 통해서 회사 내부 기밀정보, 이용자 개인정보, 임직원 개인정보 등 다양한 정보들이 활발하게 거래되고 있습니다. 그리고 이번에 발표한 주제의 루트킷이 이런 범죄에 적합하게 사용되는 도구인지라 다른 분야의 기업들에도 이 루트킷을 활용해서 보안체계, 솔루션 기술들을 우회하고 내부에 침투해서 이런 정보들을 탈취하고 판매되고 있다면 정말 위험한 세상이겠다 싶었어요.

Q. 루트킷은 어떤 악성코드인가요?

△천 : 루트킷의 주 행위는 악성코드를 은닉하는 것입니다. 루트킷을 포함한 다른 악성코드를 철저한 방법으로 숨겨 악성코드에 감염됐다는 사실을 알지 못하게 합니다. 이번에 발견된 신종 루트킷은 악성코드를 은닉하는 행위 외에 해커가 필요할때만 악성코드를 실행시켜 더욱 탐지가 어려웠습니다.

Q. 실무하는 보안 담당자들이 어떻게 대응하는 것이 효과적일까요?

△안 : 공격자가 만든 루트킷도 결국 ‘사람이 만든 프로그램’이기 때문에 완벽하지 않습니다. 적지만 반드시 흔적을 남겨요. 하지만 남는 흔적들이 상당히 정교하고 정상적인 로그처럼 보이기 때문에 눈치채기 매우 어렵습니다. 때문에 보안 담당자들은 모니터링하거나 분석할 때 항상 당연한 것을 당연하지 않게 바라보는 시야를 가져야 하고, 루트킷 기술이나 관련 보안 이슈에 민감하게 반응해야 하죠.

과거에는 루트킷이란 악성코드가 개발하기 힘들고 높은 기술이 필요해서 잘 발견되지 않는 악성코드로 분류되었지만 최근에는 다양한 사이버 위협 그룹들이 공격에 사용하고 있는 사례들이 목격되고 있습니다. 때문에 언제나 루트킷에 감염될 수 있다는 가능성을 열어두고 보안을 관리하는 방법이 필요할거예요.

Q. 루트킷을 추적하는 과정에서 분석 기술 노하우를 공유해주실 수 있나요?

△안 : 정말 어려운 질문이네요. 회사마다 사용하고 있는 환경, 패킷 양 등 정말 많은 변수들이 존재하거든요. 특히 루트킷의 분석 난이도 또한 개발자의 기술 역량에 따라 달라지기 때문에 스스로 악성코드 분석 분야에서 지속적으로 연구하고 기술을 꾸준히 향상시키는 것이 해답이라고 생각해요. 하지만 이 방법은 시간이 오래 걸려서 당장에 보안 계획을 수립하거나 사건이 터졌을 때 즉각적으로 대응하기엔 어려울 수 있어요. 실질적으로 빠른 해결 방법은 이미 전문가인 사람에게 의뢰하는게 가장 효율적이죠. 저희 엔키에 해당 분야 전문가들이 많으니까 엔키에 문의주셔도 좋을것 같습니다.

Q. “금융회사 침해사고 분석” 강연을 마치고 주변 반응은 어땠나요?

△천 : 강연을 마치면서 저희가 해당 주제로 제작한 사이버 위협 인텔리전스 보고서를 공유해 드리겠다고 했는데, 생각보다 많은 관심과 요청해주셔서 너무 감사했습니다. 무사히 잘 마친것 같아서 너무 기분 좋아요. 그리고 보고서 같은 경우에는 주제가 민감하다 보니 모두에게 공유해 드릴 수는 없겠지만 관심 있으시면 문의주세요.

Q. 마지막으로 하고 싶은 말이 있다면?

△천 : 저희 회사에 연구원분들이 정말 많은데 모두 잘하세요. 실력이 뛰어나신 분들과 같이 일하니까 많이 배우기도 하고 재밌어요. 그리고 악성코드 분석 뿐만 아니라 모의 해킹, 대회 문제 출제 등 다양한 업무를 TF 형태로 진행하니까 스펙트럼이 넓어지는게 느껴져요. 프로젝트에 투입되면 집요하게 분석하고 공격자 관점에서 최초 침입 벡터를 발견해 해결하고 이런 전반적인 과정들을 고객이 자체적으로 대응할 수 있도록 기술 강의도 진행하거든요. 최근에 기술 강의를 몇 번 나간 적이 있는데 재밌게 잘 따라와 주셔서 뿌듯했어요.

△안 : 저희가 분석한 사례는 금융권이였지만, 이 루트킷이 금융권만 노리란 법은 없거든요. 컴퓨터 기술을 활용하는 산업군은 모두 해당된다고 생각해요. 생각보다 사이버 위협은 심각한 상황이에요. 인정하고 싶지 않지만 공격자들의 수준은 우리가 생각하는 것 이상이고, 빠르게 변화하고 있거든요. 그들의 공격은 계속될 거고, 정보 유출은 큰 피해를 입힐 수 있는 문제라 보안 업계에 종사하는 분들 모두가 민감하고 예민하게 반응해서 보안사고 없이 안전한 날을 함께 보내길 희망합니다. 

★정보보안 대표 미디어 데일리시큐!