Offcanvas

보안

'보안엔 예상이 통하지 않는다'··· 사이버 킬체인의 정의와 한계점

2017.11.28 Maria Korolov, Lysa Myers  |  CSO


어떤 공격은 우리의 예상을 뛰어넘는다
지난 한 해 동안 우리가 뼈저리게 배운 교휸은, 사이버 공격은 교과서대로 발생하지 않는다는 것이다. 이들은 때때로 어떤 단계를 건너뛰기도 하고, 또 새로운 단계를 더하기도 하며, 왔던 길을 되돌아 가기도 한다. 근래 발생한 가장 피해 규모가 컸던 공격 사례 중 하나는 공격자가 완전히 다른 공격 경로를 선택함으로써 기업 보안 팀이 수년에 걸쳐 공들여 쌓아 놓았던 방어를 위회해 간 경우였다. 커델스키 시튜리티(Kudelski Security)의 글로벌 관리 서비스 부회장인 앨든 키나이아는 “록히든 마틴의 킬 체인 개념은 악성코드 대비 위주인데, 이로 인해 다른 종류의 공격을 잘 못 보게 되는 경우가 생간다”고 말했다.

알러트 로직(Alert Logic)의 제품 및 마케팅 수석 부회장인 미샤 고프슈타인은 “사이버 킬 체인은 결코 우리가 경험해 온 공격에 꼭 들어 맞는 솔루션이라 할 수 없다”고 말했다. 알러트 로직은 데이터센터 보안 솔루션 전문 기업이다.

특히, 올해 웹 애플리케이션 공격은 가장 평범한 데이터 유형을 타깃으로 이루어졌다. 2017년 버라이즌 데이터 유출 조사 보고서에 따르면, 모든 데이터 유출 사고의 3분의 1은 이러한 데이터를 목표로 했다. 가장 흔한 공격 방식은 애플리케이션 자체의 취약성을 이용한 것이다.

근래 발생한 대규모 기관의 정보유출 사건 예로는 신용평가기관인 이퀴팩스(Equifax)의 정보 유출 사건이 있다. 이런 류의 공격을 미리 탐지하기란 쉽지 않다. 실제로 이퀴팩스 역시 2개월 넘게 웹사이트 상의 수상한 네트워크 트래픽 흐름을 감지내 내지 못했다.

포지티브 테크놀로지(Positive Technologies)의 사이버 보안 대응 팀장인 리앤 갤러웨이는 “공격자가 모든 작업을 마치고 빠져나가는 단계가 되어서야 기업들은 비로소 공격이 발생했다는 사실을 알게 되는 경우가 많다. 때로는 소비자를 비롯해 제 3자가 뭔가 이상한 점이 있다는 것을 알려주고 나서야 공격 사실을 알게 되기도 한다”고 말했다.

조사 결과, 이퀴팩스 공격은 아파치 스트럿츠(Aapche Struts) 웹 서버 소프트웨어 상의 취약점 때문이었던 것으로 나타났다. 만일 이퀴팩스가 제 때에 이러한 취약성을 보완한 보안 패치를 했더라면, 피해를 예방할 수 있었을지도 모른다. 하지만 때로는 소프트웨어 업데이트 그 자체가 공격의 대상이 되는 경우도 있다. 지난 9월 어베스트(Avast)의 C클리너(CCleaner) 소프트웨어 업데이트가 그 좋은 예다.

제로데이 공격은 또 어떠한가? 소프트웨어 애플리케이션 및 API는 앱 당 평균 26.8건의 심각한 취약점을 가지고 있다고 콘트라스트 시큐리티(Contrast Security)의 CTO인 제프 윌리엄스가 말했다. “이는 기겁할 만한 숫자다. 이퀴팩스 사건 이후 사람들은 이들의 안일함에 분개했지만, 사실 대부분 기업들이 애플리케이션 보안에 있어 이퀴팩스보다 더 안전하다고 보기 어렵다. 오늘날 우리는 전 세계 수천 개의 IP 주소를 통해 발생하는 광범위한 애플리케이션 공격을 목격하고 있다.”

이런 공격에 대비하기 위해서는 우선 패치 배포를 가속화해야 한다. 윌러엄스는 “예전에는 이런 공격이 발생하려면 애플리케이션 취약점이 노출된 후에도 짧게는 수 주에서, 길게는 수 개월까지 걸렸다. 오늘날 이 기간은 고작 하루 남짓으로 줄어들었고, 2018년이 되면 아마도 취약성 발견 후 수 시간 이내로 공격이 진행될 정도로 가속화 되고 있다”고 말했다.

애플리케이션에 직접적으로 보안 통제를 내장할 필요가 있다는 지적도 있다. RASP(runtime application self protection)을 의미하는 것으로, 가트너는 이 시장의 연간 성장세가 9%에 달할 것으로 예측하고 있다.

비르섹 시스템(Virsec Systems)의 CTO인 사티아 쿱타는 “이제는 보다 애플리케이션과 가까운 곳, 코어 프로세스나 메모리 사용 등보다 심층적인 차원에서 보안에 접근해야 한다. 애플리케이션 수준에 내장된 새로운 컨트롤 플로우(control flow) 기술은 애플리케이션 프로토콜 및 문맥을 이해하고, 애플리케이션 플로우를 매핑할 수 있다. 마치 구글 지도와 같다. 애플리케이션이 A 지점에서 B 지점으로 가야 하는데 예상치 못한 우회를 하는 것이 목격되면, 어떤 문제가 발생했음을 바로 알 수 있다”고 설명했다.

유출된 개인 정보나 허술한 암호 역시 공격자들의 도구가 된다. 이 경우 악성코드를 설치할 필요도, C&C 서버와의 커뮤니케이션이나 횡적 움직임(lateral movement)도 필요 없다. 옵시디언 시큐리티(Obsidian Security)의 CTO인 벤 존슨은 “데이터베이스 유출이나 아마존 S3 버킷을 찾아 냈다는 것은 공격에 이렇다 하게 손써 보지도 못하고 당할 수 밖에 없다는 것을 의미한다”고 말했다.

최근 레드록(RedLock) 보고서에 따르면, 아마존 S3 같은 클라우드 스토리지 서비스를 사용하는 기관의 53%는 이러한 서비스를 최소 한 건 이상 실수로 노출한 경험이 있는 것으로 나타났다. 또한, 올 여름 스카이하이 네트워크(Skyhigh Networks) 보고서는 기업이 사용하는 AWS S3 버킷의 7%는 무제한적 액세스가 가능했고, 35%는 암호화도 되지 않은 상태였다고 지적했다.

이처럼 합법적인 경로를 통해 데이터가 유출될 경우, 유출 방어(exfiltration defense) 시스템도 이것이 수상한 움직임이라는 것을 탐지해 내지 못한다. 고프슈타인은 “따라서 웹 애플리케이션 공격에 대비하기 위해서는 여기에 맞는 특수화 된 툴이 필요하다”고 말했다.

서비스 거부 공격(denial of service attack)은 어떨까. 사이버리즌(Cybereason)의 CSO 샘 커리는 “이 경우, 어쨌든 목표를 선정하는 과정이 필요하기 때문에 정찰 과정을 거치기는 해야 한다”고 말했다. 그리고 정찰 단계를 거친 공격자들은 곧바로 공격 단계로 접어든다.

그러나 서비스 거부 공격은 다른 악성 공격들을 감추기 위한 위장일 뿐일 수도 있다. 커리는 “시스템에 과도한 부하를 부여하면 그 자체로부터 취약성을 만들어낼 수 있다. 또한 시그널 대 노이즈 비율을 높여 공격의 증거를 다른 잡음들 사이에 파묻히게 만드는 동시에 시그널을 찾을 수 없도록 만드는 방식이다”라고 설명했다.

위에 언급된 단계들 외에 공격 단계를 추가하기도 한다. 예를 들어, 공격자들은 침입 흔적을 지우고 교란 요소를 투입하거나, 거짓 데이터를 전파하기도 하며 향후 재 공격에 사용할 목적으로 백도어를 설치해 두기도 한다.

이들은 또한, 공격의 단계를 순서를 바꿔가며 시행하거나 전 단계로 돌아가 반복하기도 한다. 즉, 사이버 공격은 우리가 생각하는 것처럼 순서대로 차근차근 진행되지 않는다는 것이다. 커리는 “마치 나뭇가지처럼, 혹은 촉수처럼 사방 팔방으로 퍼져 나가는 형세다”라고 말했다.

공격을 통한 이익 취득 : 끝날 때까지 끝난 게 아니다
서비스 거부 공격이 언제나 파괴를 마지막으로 끝맺음 되는 것은 아니다. 한차례 성공적인 공격을 허용한 네트워크는 언제라도 재 공격의 대상이 될 수 있음을 기억하자.

또는 공격을 바탕으로 새로운 이익 창출을 시도하는 해커들도 있다. 프리엠프 시큐리티(Preempt Security)의 CEO인 아지 산셰티는 “공격자들의 수익 모델은 다양하다. 감염된 인프라를 광고 사기나 스팸 발송에 이용하기도 하고, 인프라를 잠궈 합의금을 요구하거나 그 내부의 데이터를 암시장에 팔아 넘기는 공격자도 있다. 심지어는 인프라 자체를 또 다른 범죄자들에게 임대한 사례도 있었다. 범죄자들의 수익 모델은 갈수록 다양해지고 있는 상황이다”라고 설명했다.

비트코인의 등장은 이런 해커들의 수익 창출을 보다 편리하게 만들어줬으며, 그에 따라 공격자들의 공격 의지 역시 한층 활발해졌다고 산셰티는 덧붙였다. 더불어 탈취된 데이터의 소비 영역 또한 과거에 비해 한층 다채로워졌다. 피해 기업의 입장에선 대응에 사법부 등 외부의 도움을 받을 여지가 늘어나게 된 부분이다.

스플렁크(Splunk)의 보안 연구 부문 팀장 몬지 메르자는 “예를 들어, 신용 카드 정보를 탈취했다고 한다면 정보를 판매할 때 이를 검증하고, 정보를 이용해 상품이나 서비스를 구매한 후 그것을 다시 현금화하는 일련의 과정이 요구된다”라고 말했다. 이 모든 과정은 전통적인 사이버 공격 킬 체인 바깥에서 이뤄지는 과정이라는 게 메르자의 설명이다.

공격 개시 전 역시 암시장 생태계가 사이버 공격 라이프 사이클에 영향을 미치는 또 다른 영역이다. 공격자들은 감염된 인증서나 취약 포트, 패치가 적용되지 않은 애플리케이션 등에 대한 목록을 공유한다.

스카이포트 시스템(Skyport Systems)의 상품 본부 팀장인 닐스 스워트는 이것들을 ‘아나 따먹을 수 있는 열매’에 비유하며, “앞으로 그 데이터 목록이 보다 널리 공유될 것”이라고 전망했다.

기업 방화벽을 넘어서는 보안
전통적인 사이버 공격 라이프 사이클은 기업 시스템을 전혀 건드리지 않는 공격들을 놓치게 되기도 한다. 일례로, 오늘날 기업들은 중요 데이터 관리를 위해 서드파티 SaaS에 의존하는 경향이 증가하고 있다. 존슨은 “SaaS 애플리케이션의 크리덴셜을 공격할 경우 취약점을 노리지 않고도, 별도의 설치 과정 없이도 공격이 이루어질 수 있다”고 말했다.

또 암시장에서 로그인 정보를 구입하여 기업의 인프라 근처에는 얼씬도 하지 않는 공격자들에 대한 대비 전략은 완전히 달라야 한다. 중앙화된 단일 로그인 시스템이나 이중 인증 방식을 도입해야 한다.

제 3의 아니 제 4의 공급자들을 목표로 한 공격은 또 어떤가? 로펌, 마케팅 에이전시 등 여러 업체들도 기업의 중요 문서에 대한 부분적 액세스 권한을 가지고 있는 경우가 많다. 금융 기관들 역시 서드파티 프로세싱 시스템을 사용하고 있으며, 의료 기관들이 외부 업체에 의존하는 것은 일상적인 일이다.

데이터 유출과 그로 인한 벌금을 피하기 위해서는 자사 네트워크를 넘어서는 보안 프로세스가 필요하다. 문서 관리 시스템, 서드파티에 대한 감사 체제는 물론이고, 서비스 공급자들이 필수적인 보안 통제 방안을 준비하고 피해를 보상하기에 충분한 사이버 보헙 정책을 제공하도록 해야 한다.

콜롬비아 대학 컴퓨터 공학과 교수인 살바토르 스톨포는 “이제는 사이버 공격 라이프사이클을 새롭게 정의해야 한다. 여기에는 기업 방화벽 너머의 데이터까지 포함되어야 하며, 기업 네트워크 밖으로 벗어난 데이터에 대한 통제권을 줄 수 있어야 한다”고 말했다. editor@itworld.co.kr

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.