여전히 사용되는 ‘해묵은’ 공격 벡터 7가지

오늘날 디지털 혁명 시대에도 악의적 해커는 수십 년 전의 공격 벡터를 계속 사용하고 있다. 최근 한 연구에서는 오래 전에 사용된 특정 공격이 부활한 기간을 보여주기도 했다. 공격은 시간이 지나면서 조금씩 바뀔 수 있지만 감염과 배포, 확산 지점은 그대로 유지되며 심각한 데이터 유출을 야기할 수 있다.

ETI(Egress Threat Intelligence) 부사장 잭 채프먼은 “사이버 범죄자는 기존에 자신이 선호하던 공격 방식을 재사용하는 경향이 있다. 특히, 법률집행 및 보안팀의 노력으로 새로운 공격 벡터가 차단되거나 실행되지 않을 때 더욱 그렇다”라고 말했다.
 

CNSS(Cato Networks Strategic Security) 엔지니어 피터 리도 채프먼의 말에 동의하며 사이버 범죄자가 오래된 공격 벡터를 사용하는 대표적인 이유 2가지로 경제와 표적 획득을 들었다. 리는 “나날이 발전하는 익스플로잇 공격 시장은 공격자가 표적에 가하는 모든 공격에 가격을 붙인다. 가격은 매우 다양하기 때문에 공격자는 저렴한 공격을 시도해 목적을 달성하려고 할 것이다. 예를 들어, 2017년에 만든 패치되지 않은 웹 서버 CVE로 동일한 표적을 해킹할 수 있다면 굳이 200만 달러의 아이폰 제로데이를 구매할 필요가 없다. 또한, 사이버 보안이 전반적으로 개선돼 사이버 범죄자의 메시지가 주요 표적에게 도달하는 것이 더욱 어려워졌다. 이로 인해 여러 방어자의 레이더에서 벗어난 오래된 벡터에 의지할 수밖에 없는 경우가 많다”라고 말했다.

사이버 범죄자가 여전히 사용 중인 오래된 7가지 공격 벡터와 실질적인 대응책도 살펴보자.
 

1. 시스템을 감염시키고 악성코드를 퍼뜨리는 물리적 스토리지 장치

최초의 컴퓨터 바이러스는 플로피 디스크를 통해 확산됐다. 지금도 공격자는 물리적 스토리지 장치를 사용해 시스템을 감염시키고 악성코드를 퍼뜨린다. 이런 현상은 올해 1월, FBI가 악성 소프트웨어를 포함한 여러 USB 드라이브를 운송, 국방, 보험 기관 직원에게 송달하는 USB 공격 캠페인인 배드USB(BadUSB)에 관해 공식적으로 경고했을 때 목격됐다.

배드USB는 기프트 카드나 송장으로 위장한 키보드로 구성됐으며, PC에 연결하면 자격 증명 수집기와 백도어, 랜섬웨어와 같은 악성코드를 다운로드하는 명령이 주입된다. 배드USB 공격은 재택근무 트렌드를 악용하려는 시도였다. 현재에도 많은 공격자가 수십년이나 된 공격 방식을 거리낌없이 사용한다는 것을 알 수 있다.

시스코 탈로스(Cisco Talos) 전략 분석 책임자 데이비드 리벤버그는 CSO와의 인터뷰를 통해 “작년중반부터 CTIR(Cisco Talos Incident Response)은 이동식 USB 드라이브가 기업을 악성코드로 감염시켜 여러 산업에 걸쳐 악영향을 미치는 사태에 대응했다. 윈도우 시스템을 표적으로 삼아 이동식 드라이브를 통해 확산되는 것으로 알려진 샐리티(Sality), 플러그X(PlugX)와 같은 오래된 공격 벡터뿐만 아니라 이들 벡터와 동일한 방식으로 퍼지는 변종 악성코드도 많이 관찰됐다”라고 말했다.

리벤버그에 따르면, 공격자는 이런 공격 방식이 효과가 있기 때문에 계속 사용하는 것이며, 최근 하이브리드 근무 증가와 직원 교육의 부재를 악용하고 있다. 리벤버그는 “정당한 비즈니스 운영을 위해 USB나 이동식 드라이브를 사용하는 기업은 USB 사용을 제한해야 한다. 또한, USB 재사용 및 집에서 가져온 개인용 USB 사용을 제한하는 정책을 수립하고 직원을 대상으로 개인용 USB를 기업 시스템에 연결할 때 발생할 수 있는 위험에 관해 교육할 필요가 있다.
 

2. 마이크로소프트 워드와 아웃룩을 악용하는 매크로 바이러스

공격자는 문서에 숨겨진, 매크로 언어로 작성된 바이러스가 있는 기업을 계속 노리고 있다. 이런 바이러스는 1999년 멜리사(Melissa) 바이러스 이후에 나온 공격 벡터로, 마이크로소프트 워드와 아웃룩 기반 시스템에 익스플로잇 공격을 수행한다. 이메일과 악성 첨부파일을 통해 컴퓨터를 감염시킨 후, 피해자의 상위 50개 연락처에 자신의 복제본을 대량 전송해 여러 보호 기능을 마비시킨다.

헌츠맨 시큐리티(Huntsman Security) 프로젝트 관리 책임자 피어스 윌슨은 “기업이 자사를 보호하는 방법과 영국 NCSC, 미국 NIST, 호주 ACSC의 지침이 있지만 매크로를 여전히 완벽하게 막는 것은 어렵다. 매크로를 중심으로 많은 벡터가 소셜 엔지니어링에 의존한다. 예를 들어, 문서에는 무작위 글자가 표시돼 있지만, 이메일에는 민감한 문서로서 사용자가 매크로를 실행해야만 복호화할 수 있다고 적혀 있다”라고 말했다.

윌슨은 공격자가 사이버 범죄나 더욱 정교한 익스플로잇 공격을 시도하기 위해 매크로를 사용할 수 있지만, 보안은 거의 사용자 교육과 게이트웨이 및 엔드포인트에 대한 기술적 통제에 달려 있다고 덧붙였다. 윌슨은 “하지만 여전히 공급자 보안 설문지를 비롯한 많은 문서가 매크로를 사용하기 때문에 항상 경계 보안에 실패하고 공격자가 침투할 위험이 있다”라고 말했다.
 

3. 오래되고 패치되지 않은 취약점을 악용한 공격 기반 확보

포레스터(Forrester) 애널리스트 앨리 멜런은 이전에 확인된 취약점을 표적으로 삼는 것은 공격자가 오랫동안 사용해 유효성이 증명된 매우 보편적인 전략이며, 알려진 취약점은 패치되지 않을 경우, 몇 년 후에 악용될 가능성이 있다고 주장했다. 멜런은 “이런 취약점의 전통적인 예는 이터널블루(EternalBlue)이다. 이터널블루 취약점은 2017년 3월, 패치가 출시됐음에도 같은 해 5월과 6월에 각각 워너크라이(WannaCry) 랜섬웨어와 낫페티야(NotPetya) 공격에 사용됐다. 그런 까닭에 시스템에 신속하고 효과적으로 패치를 적용하는 것이 매우 중요하다”라고 말했다.

센시스(Censys) 위험 및 취약점 담당 엔지니어 라이언 린더도 동일한 입장을 내놓았다. 린더는 “오늘날에도 이터널블루(CVE-2017-0144)는 여전히 많은 기업을 취약하게 만든다. 이터널블루 익스플로잇 공격은 서버 메시지 블록(Server Message Block, SMB) 프로토콜에 영향을 미친다. 센시스의 조사 데이터에 따르면, 여전히 20만 개 이상의 시스템이 1983년에 만들어진 SMBv1을 지원하는 인터넷에 노출됐다. 많은 기업이 소프트웨어를 최신 상태로 유지하지 못해 치명적인 익스플로잇 공격에 취약해지고 있으며, 익스플로잇 공격이 발견돼도 여전히 시스템을 패치하지 못한 기업이 많다.

멜런은 “대규모 기업에서 패치를 일관되게 적용하는 것은 매우 어려운 일이다. 따라서 우선순위를 정해 전사적인 노력을 기울이는 것이 중요하다”라고 말했다.
 

4. 웹 애플리케이션 및 페이지를 조작해 데이터베이스에 액세스하기 위한 SQL 주입

채프먼에 따르면, SQL 공격은 20년 이상 사용됐지만 해커는 여전히 SQL 공격을 수행해 웹 애플리케이션 및 페이지를 악용하고 후방의 데이터베이스에 액세스하고 있다. 채프먼은 “새롭거나 혁신적인 접근법은 아니지만 사이버 범죄자는 목표를 달성하기 위해 또다시 새로운 공격을 개발할 필요가 없다는 것을 잘 알고 있다. 개발자가 보안을 충분히 검토하지 않고 코드를 잘라내는 경우가 많기 때문에 SQL 주입은 여전히 효과가 있다”라고 덧붙였다.

실제로 SQL 주입은 OWASP(The Open Wev Application Security Project) 상위 10개 웹 취약점 중에서도 3위에 올라있으며, 작년에는 718 SQL 주입 취약점이 CVE로 인정됐다. 채프먼은 “기업은 동적 애플리케이션 보안 테스트(DAST)와 정적 애플리케이션 보안 테스트(SAST)를 실시해 이런 공격을 방지할 수 있다”라고 강조했다.
 

5. 사용자를 속이는 교묘한 요금 사기

요금 사기를 통한 공격은 일반적으로 “죽어서 돈을 남긴 부를 잃은 친척’ 수법으로 알려진 419건의 사기로 유명세를 얻었다. 연구에 따르면, 이런 공격은 19세기부터 사용된 수법으로 지금도 사기꾼이 자주 사용하고 있으며, 시간이 부족하다며 사용자를 압박하는 형식이다. 예를 들어, “적은 비용으로 큰 수익을 얻을 수 있다. 신속하게 행동하지 않으면 이런 기회를 놓치게 된다”라는 식의 메시지를 전달한다.

버그크라우드(Bugcrowd) 설립자 케이시 엘리스는 CSO와의 인터뷰를 통해 “이런 사기 메일은 지금도 널리 퍼지고 있지만, 뜻밖의 횡재를 위해 소액을 투자하게 하는 암호화폐 사기와 상사에 대한 아첨을 돕는 전신송금 및 기프트 카드 사기, IRS에 돈을 지불한 후 납입고지서를 취소하는 가짜 벌금 사기 등에 사용될 가능성이 훨씬 높다”라고 말했다. 이들 사기 행위는 탐욕과 손실회피, 편향을 촉발하기 때문에 요금 사기를 악용한 공격이 더욱 효과적일 수 있다”라고 말했다.

엘리스는 “피해자가 익스플로잇 공격을 받으면 공격자가 매몰비용의 오류를 악용해 더 많은 것을 얻어내는 경우가 많다. 코로나19 팬데믹으로 인한 사회적 고립과 사회 역학의 변화로 이런 유형의 사기가 증가했다. 과연 비용 지불이 현명한지 재점검하는 것은 피해를 입을 가능성이 있는 사용자에게 더욱 어려운 일이다. 기업에서 신뢰의 문화를 조성하되, 상대를 비난하지 않는 선에서 검증을 실시하고 어떤 것의 합법 여부에 대한 이중 확인에 비판적인 입장을 취하지 않는 것은 이런 공격 유형에 대한 인력의 대비 능력을 강화하는 효과적인 방법이 될 수 있다. 이들 직원은 각자가 얻은 교훈을 공유하고 사전 대책을 마련해 가족과 동료를 더욱 잘 보호할 수 있다”라고 말했다.
 

6. 시스템을 노출시키는 RDP 공격

NTL(Netskope Threat Labs) 책임자 레이 칸잔스는 RDP(Remote Desktop Protocol) 취약점은 몇 년 동안 문제가 됐지만, 사이버 공격의 약 3분의 1이 여전히 RDP가 인터넷에 노출된 윈도우 컴퓨터로 시작된다고 주장했다. 칸잔스는 “공격자는 RDP와 같이 노출된 서비스를 발견해 공격하는 프로젝트를 완전히 자동화했다”라고 말했다.

칸잔스는 RDP가 인터넷에 노출되면 안 된다고 덧붙였다. 또한, 집이나 사무실 밖에서 RDP 액세스가 필요한 경우, RDP를 노출 없이 사용할 수 있는 VPN(Virtual Private Network) 또는 ZTNA(Zero-Trust Network Access) 솔루션을 사용해야 한다. 칸잔스는 “VPN이나 ZTNA 솔루션을 사용해 그 어떤 네트워크 서비스도 인터넷에 노출돼 공격자의 표적이 되는 일이 없도록 해야 한다”라고 강조했다.
 

7. 집단 피해자를 대상으로 하는 캐스트 넷 피싱

캐스트넷 이메일 피싱 공격은 어부가 비교적 작은 그물을 연못이나 다른 좁은 곳에 던지는 전통적인 낚시 기법의 이름에서 유래했다. 어떤 물고기인지에 관계없이 작은 공간에서 잡는 것이다. 벌칸 사이버(Vulcan Cyber) 수석 기술 엔지니어 마이크 파킨은 “특정 개인에 집중하는 스피어 피싱이나 수천~수만 통의 이메일을 발송하고 누구든 미끼를 물도록 하는 드리프트 넷 피싱과 달리 캐스트 넷 피싱은 특정 기업의 사용자를 표적으로 삼는다. 공격자는 기업에서 표적으로 삼은 대상이 있기만 하면 어떤 직원이 미끼를 물어도 상관없다”라고 말했다.

파킨은 캐스트 넷 피싱 역시 몇 년 동안 사용된 공격 방식이기는 하지만 사이버 범죄자의 노력에 비해 효과가 매우 크기 때문에 지금도 많이 사용되고 있다고 밝혔다. 파킨은 “캐스트 넷 피싱은 발신자를 시기적절한 낚시바늘, 예를 들어, 지역 스포츠 이벤트나 근처에 새로 연 식당으로 위장한 이메일을 전송해 표적 대상이 이런 유형의 이메일을 정상적인 것으로 간주하도록 함으로써 스팸 필터를 통과한다. 캐스트 넷 피싱은 한 명의 개인을 잡기 위한 낚시바늘을 만드는 것보다 수고가 덜 든다. 공격자는 발만 들이면 기업 환경으로 아예 기반을 넓힐 수 있다”라고 말했다.
editor@itworld.co.kr