지능형 위협 사이버 공격은 실제로 어떻게 발생할까. 웹센스는 이에 대한 킬 체인에 대해 설명하고 대응방안에 대해 제시했다.
 
회사 측은 “소셜 미디어와 다른 사이트들은 목표로하는 정보의 소스들이다. 이메일, 소셜 미디어 또는 다른 콘텐츠로 사용자들을 속여서 위험한 행위를 유도한다”며 “사용자는 인지하지 못한 상태에서 다른 사이트로 이동된다. 공격자는 사용자의 시스템을 검사해 취약점을 찾아낸다. 멀웨어는 취약한 시스템을 감염시킨다. 감염된 시스템은 명령 및 제어(C&C) 서버와 통신한다. 이후 중요한 정보가 유출된다”고 설명했다.
 
즉 지능형 위협은 최대 7단계의 ‘킬 체인’에서 발생한다는 것이다. 데이터 유출 공격을 만들고 실행하는 수많은 방법을 사용하는 사이버 범죄자들에 의한 모든 위협들이 7단계를 전부 사용하지는 않지만 전반적인 흐름은 다음과 같다고 웹센스는 소개한다.  

 
◇1단계=정찰
정찰 단계에서 사이버 범죄자들은 개인, 전문가 및 소셜 미디어 웹 사이트를 사용해 자신의 목표를 물색한다. 그들의 통제하에 해킹된 웹 사이트로 연결되는 신뢰할 수 있는 “유인”을 생성하는데 도움이 되는 정보를 찾는다. 어떤 유인은 인간의 호기심에 바탕을 두고 최근의 재해, 사회극 또는 유명 인사의 죽음을 사용한다.
 
◇2단계=유인
유인 단계에서 수집된 정보를 사용하여, 사이버 범죄자들은 해킹된 웹 사이트로 연결되는 링크를 클릭하도록 사용자들을 속이는 무해하게 보이는 “유인”을 생성한다. 유인은 신뢰할 수 있는 소스에서 온 것처럼 보이기 위해 이메일, 소셜 미디어 게시물 또는 다른 콘텐츠를 통해 제공된다.
 
◇3단계=리다이렉트
유인에서, 사이버 범죄자들은 취약점 공격 킷, 취약점 공격 코드, 난독화 스크립트 또는 다른 악의적인 콘텐츠가 포함된 안전하게 보이거나 숨겨진 웹 페이지로 사용자들을 “리다이렉트”한다.
 
◇4단계=취약점 공격 킷
사용자들이 해킹된 웹 사이트로 연결된 링크를 클릭하면, 취약점 공격 킷으로 알려진 소프트웨어가 피해자의 시스템을 스캔해 드러난 취약점 또는 제로데이 위협을 발견한다. 이러한 취약점은 사이버 범죄자들이 추가적으로 네트워크에 침입이 가능하도록 악성코드(Malware), 키 로거 또는 다른 지능형 도구를 전달하는 출입문이 된다.
 
◇5단계=드로퍼 파일
취약점 공격 킷은 악성 코드를 전달하는 경로를 발견하면, 일반적으로 사이버 범죄자들은 피해자의 시스템을 감염시키기 위해 다른 해킹된 서버에서 “드로퍼 파일”을 전달한다. 드로퍼 파일에는 중요한 데이터를 발견하고 추출하는 과정을 시작하기 위해서 희생자의 시스템에서 실행되는 소프트웨어가 포함되어 있을 수 있다. 일부 드로퍼 파일은 탐지를 회피하기 위해 소정 기간 동안 활동을 중단한 상태로 유지하고 향후에 악성 코드를 전달하기 위하여 추가적인 실행 파일이 포함되는 경우가 있다.
 
◇6단계=콜홈(Call Home)
일단 드로퍼 파일이 목표 시스템을 감염시키면, 추가 프로그램, 툴 또는 명령을 다운로드받기 위하여 명령 및 제어(Command-and-Control) 서버로 콜홈(Callhome)을 한다. 이는 공격자와 감염된 시스템간의 직접 연결이 시작되는 점이다.
 
◇7단계=데이터 유출
가장 최신의 사이버 공격의 최종 게임인 데이터 유출 단계로 위협 킬 체인을 완료한다. 사이버 범죄자들은 금전적인 이득을 위해 또는 다른 공격에 사용하기 위해 지적 재산권, 개인 식별 정보 또는 다른 중요한 데이터를 훔친다.
 
사이버 범죄 공격들은 기존의 방어를 우회하고 데이터를 유출하는 계획된 공격 모델을 따라하며 성공한다. 이러한 지능형 공격들은 시그니처가 개발되기도 전에 너무 자주 발생하기 때문에 기 적용된 독립형 방어 시스템으로 대응이 불가능하다.
 
웹센스 관계자는 “조직에서는 지능형 위협의 7 단계를 통합하는 방어 체계를 구축하기 위해 세 가지 핵심 보안 요구 사항이 필요하다”고 강조했다. 그 방법은 다음과 같다.
 
△제로 데이, 시그니처리스(signature-less) 위협과 APT를 식별할 수 있는 인라인의 실시간 방어 △실시간 인텔리젼스 기반의 통합 웹, 이메일 및 데이터 보안 솔루션 △데이터 유출 및 데이터 손실을 방지하는 지능형 아웃바운드 봉쇄 방어 등이다.
 
웹센스 측은 ‘TRITON’은 세 가지 요구 사항 모두를 단일의 통합 솔루션으로 결합한 플랫폼이라고소개했다.
 
우선 TRITON은 글로벌 위협 인텔리젼스로부터 정보를 제공받는 실시간 방어로 무장된 웹센스 지능형 분류 엔진(ACE)에 의해 구동된다. 또 모두 ACE에 의해 구동되는 통합 웹, 이메일 및 데이터 보안을 제공하며 TRITON은 웹 및 이메일 보안의 핵심인 데이터 유출 방지(DLP) 기술을 통합하여 지능형 봉쇄 방어는 조직의 외부로 나가는 데이터를 보호한다.
 
회사 관계자는 “TRITON을 사용하는 조직에서는 어플라이언스, 클라우드 또는 두 플랫폼의 하이브리드 구축으로 본사, 지사 및 모바일 작업자까지 동일하게 보호를 받는다”며 “TRITON으로, 조직과 직원 그리고 중요한 데이터는 지능형 위협의 7단계 전반에 걸쳐서 보호를 받는다”고 설명했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com