Offcanvas

보안

리뷰 | 실제 랜섬웨어 공격 재현··· 현실적 취약성 평가툴 ‘크로스보우'

2017.11.15 John Breeden II  |  CSO
때로는 공격이 최선의 방어다. 이것은 보안 기업 사이쓰(SCYTHE)가 취약성 평가 플랫폼 '크로스보우(Crossbow)’를 개발한 철학이기도 하다.

크로스보우는 SaaS(Software as a Service) 혹은 온프레미스 방식으로 사용할 수 있는 가상 위협 샌드박스(Sandbox) 툴이다. 관리자가 워너크라이(WannaCry), 골든아이(Goldeneye), 핵스도어(Haxdoor) 같은 실제 악성코드를 불러와 적용하거나 새로운 위협을 개발한 후 이를 직접 자사 네트워크에 뿌려 보안을 테스트할 수 있다.

크로스보우는 그동안 CSO가 리뷰한 보안 프로그램 중 가장 위험한 툴이다. 불러오거나 구축할 수 있는 모든 공격은 실질적이며 과거 여러 해킹조직이 기업의 보안을 뚫었던 실제 기법과 전략을 그대로 이용한다. 그만큼 보안 취약성을 확인, 테스트, 관리하는 가장 현실적인 툴이기도 하다. 그래서 이 툴은 시뮬레이션이 아니라 마치 군대의 실시간 사격 연습에 더 가깝다. 크로스보우가 만드는 가상 위협이 실질적이기 때문이다.

사이쓰는 거의 모든 기업에 존재하는 사이버 보안 방어의 3요소, 즉 직원, 보안 제품, IT 인력을 테스트하기 위해 크로스보우를 개발했다. 직원의 반응을 보기 위해 피싱(Phishing) 공격을 하거나, 해킹된 관리자 계정을 시뮬레이션 하기 위해 관리자 자격으로 클라이언트 기기에 해킹된 에이전트를 심는다. 그리고 IT가 이를 감지해 대응할 때까지 얼마나 걸리는지 파악한다.

크로스보우는 사용이 간편한 인터페이스로 간소화된 실제 공격 툴을 제공하므로 기업은 필요한 캠페인을 구성해 자사의 사이버 보안을 테스트하고 강화할 수 있다. 메인 인터페이스는 다크 웹(Dark Web)에서 찾거나 구매할 수 있는 DIY 악성코드 공격 키트와 유사하다. 차이점이라면 이들 키트 대부분은 1~2가지 공격 방법만 제공하지만, 크로스보우는 네트워크에 침투하거나 호스트(Host)를 해킹하는 데 사용하는 거의 모든 취약성을 다룬다는 점이다. 기업은 이들을 원하는 대로 구성할 수 있다.

사이쓰의 크로스보우를 이용하면 실제 공격을 구성해 사내 네트워크를 테스트할 수 있다.

이미 알려진 공격을 재현할 경우 클릭 몇 번이면 충분하고 새로운 위협 상황을 만드는 것도 어렵지 않다. 모든 것이 사용하기 쉬운 리소스로 구성되며 프로그래밍 기술도 필요 없다. 키로거(Keylogger)를 설치한 후 HTTP 또는 DNS를 이용해 데이터를 추출하는 등의 기능을 바로 만들 수 있다. 크로스보우는 트위터(Twitter)를 명령 및 제어 서버로 사용하거나 악성코드 전달을 위해 내장된 이미지를 사용하는 등 첨단 기법도 지원한다.

인터페이스는 사용하기 간편하지만 크로스보우를 통해 구축해 테스트할 수 있는 공격 유형은 최신식이다. 아마 테스트 과정에서 이를 막아야 하는 입장에서는 악몽과 같을 것이다. 또한 공격을 매우 다양하게 구성할 수 있다. 예를 들어, 키드라이브(Keydrive)에 존재했던 악성코드를 주차 관련 시스템으로 확장해 직원의 반응을 확인할 수도 있다. 사용자를 해킹된 웹사이트를 유도하는 공격도 가능하다. 크로스보우를 이용하면 쉽게 이런 사이트를 구성하고 적합한 악성코드를 배치할 수 있다.

크로스보우는 거의 모든 최신 보안 위협을 테스트하고 대비책을 세울 수 있도록 지원한다.

크로스보우를 이용하면 공격을 극단적으로 표적화해 직원과 기존 IT툴, IT 인력 등의 보안 상황을 점검할 수 있다. 예를 들어, 새로운 사이버 보안 프로그램이 특정 유형의 공격을 막는 역할을 할 때 관련 공격을 구성해 그 효과를 테스트할 수 있다. 심지어 예약 옵션도 있어 매월 첫 주에 마케팅 부서를 테스트한 후 둘째 주에는 엔지니어링 부서를 테스트하는 것도 가능하다.

크로스보우 대시보드 화면

크로스보우는 악성코드를 신중하게 구축한다. 악성코드 대부분은 에이전트에 설치되며 더 상세하게 구성할 수도 있다. 예를 들어 암호화 공격을 하는 랜섬웨어 에이전트라면 백업을 위해 암호화하는 모든 파일에 적절하게 사본을 만들도록 설정할 수 있다. 또한 에이전트에는 유효한 날짜 범위를 설정해 이 시간 외에는 작동하지 않도록 할 수 있다. 테스트용 악성코드가 테스트의 범위를 넘는 상황이 발생해도 피해를 최소화할 수 있다.

모든 테스트 공격 내용은 크로스보우 메인 콘솔(Console)이 기록된다. 공격에 성공하면 아웃바운드(Outbound) 통신이 수반하므로 이를 통해 테스트의 공격 여부를 확인할 수 있다. 이번 테스트에서는 해킹된 서버에서 메인 디스플레이 보기를 포함해 악성코드가 작업하는 모든 내용을 관찰할 수 있었다. 반대로 모든 공격이 차단되면 어떤 프로그램과 장치, 관리자 덕분인지를 크로스보우에서 확인할 수 있다.

크로스보우를 이용하면 감염시킨 사용자 PC 화면도 볼 수 있다.

크로스보우의 취약성 평가 형태는 현재 시장에 나온 제품 중 가장 능동적이며 현실적이다. 시뮬레이션 또는 네트워크 스캔 대신 관리자가 스스로 해커가 돼 네트워크의 사이버 보안 방어벽 중 일부를 겨냥한 표적 공격을 할 수 있다.

단점은 관리자의 능동적인 참여가 필요하다는 것이다. 누군가 모의 공격을 구성, 계획, 실행, 모니터링해야 한다. 이를 담당하는 '레드팀(Red Team)'이 있다면 금상첨화지만 그렇지 않은 경우 IT 팀 누군가 공격자 역할을 구성해야 한다. 현재는 안전한 것으로 평가하고 있지만 새로운 혹은 알려진 보안 위협에 대한 방어 수준을 테스트하고 싶다면 크로스보우를 검토할만하다. 다소 위험하지만 상당한 효과를 볼 수 있을 것이다. ciokr@idg.co.kr 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.