2017.08.03

SSL/TLS 공격이 증가하는 이유

Fahmida Y. Rashid | CSO
기업들이 잠재적인 공격이나 노출로부터 데이터를 보호하기 위해 점점 더 능숙하게 네트워크 트래픽을 암호화함에 따라 온라인 공격자들 역시 자신들의 악의적인 활동을 감추기 위한 보안 소켓 계층/전송 계층 보안(SSL/TLS) 계략을 강화하고 있다.



보안업체 지스케일러(Zscaler)의 연구자들에 따르면, 2017년 상반기 이 회사에서 관찰한 트랜잭션 중 평균 60%가 SSL/TLS를 통해 이루어졌다. SSL/TLS 사용 증가에는 정당한 활동은 물론 악성 활동도 한몫하고 있다. 범죄자들이 악성 콘텐츠 배포를 위해 유효한 SSL 인증서에 의존하고 있기 때문이다. SSL이 감염 고리의 일부로 포함된 웹 악용은 하루 평균 300회에 달한 것으로 나타났다.

지스케일러의 보안 연구 수석 책임자 디픈 데사이는 “크라임웨어(crimeware)군이 SSL/TLS를 이용하는 빈도가 점점 높아지고 있다”고 지적했다. 지스케일러 측에 따르면, SSL/TLS에서 전송되는 악성 콘텐츠가 지난 6개월간 2배 이상 늘어났다고 한다. 지스케일러가 자사 클라우드 플랫폼 이용 고객을 위해 2017년 전반기 동안 차단한 SSL/TLS 기반 악성 활동은 하루 평균 840만 건에 달했다. 그중 60만 건은 진보된 형태의 위협이었다.

지스케일러 연구원이 확인한 바에 따르면, 2017년 전반기 동안SSL/TLS를 통한 피싱 시도는 하루 1만 2,000건에 달했다. 2016년에 비해 400%나 늘어난 수치다.

이는 빙산의 일각에 불과하다. 지스케일러의 이번 조사에서 SSL/TLS를 이용해 페이로드(payload)를 전송하는 애드웨어(adware) 캠페인과 같은 다른 공격은 제외됐기 때문이다.

기업 네트워크 트래픽의 대부분이 암호화되면 범죄자도 자신의 활동을 암호화하는 것이 합리적이다. 그러면 IT 관리자들이 악성과 양성 트래픽을 구분하기가 더 어렵기 때문이다. 악성코드군 역시 SSL의 사용 빈도가 높아지고 있다. 침해된 엔드포인트와 지휘통제 시스템 간의 통신 내용을 암호화해서 전송되는 명령과 페이로드, 기타 정보를 숨기는 것이 목적이다. 데사이는 2017년 상반기에 암호화된 연결을 통해 전송되는 페이로드 수가 2016년 전체에 비해 두 배가 늘었다고 밝혔다.

지스케일러 측에 따르면, 지휘통제(C&C) 활동에 SSL/TLS를 사용하는 악성 페이로드 중 약 60%의 출처는 지봇(Zbot), 보트랙(Vawtrak), 트릭봇(Trickbot)과 같은 뱅킹 트로이 계열이며, 12%는 페어잇(Fareit), 파프라(Papra)등과 같은 정보 탈취 트로이 계열이었다. 페이로드 중 4분의 1의 출처는 랜섬웨어 계열이었다.

피싱 일당 역시 SSL/TLS를 사용한다. 그들은 적법한 인증서가 있는 사이트에 악성 페이지를 호스팅하기 때문이다. 브라우저에 ‘안전(secure)’이라는 말이나 자물쇠 아이콘이 표시되기 때문에 사용자들은 유효한 사이트라고 착각한다. 단지 인증서 자체가 유효하고 연결이 암호화되어 있다는 의미에 불과하다는 것을 깨닫지 못한다. 사이트의 적법성과 실체에 대한 아무런 보장이 없다. 사이트의 실제 소유자가 맞는지 검증하려면 실제 인증서를 확인하는 수밖에 없다. 단순히 ‘안전’이라는 단어나 자물쇠 대신 도메인 소유자의 이름을 표시해 주는 브라우저에서는 확인하기 쉽다.

마이크로소프트, 링크드인, 어도비는 가장 흔히 위장되는 브랜드다. 데사이는 nnicrosoft.com(‘n’이 두 개 나란히 있어서 ‘m’처럼 보임)과 같은 피싱 사이트를 본 적이 있다고 밝혔다. 이 밖에도 피싱 일당이 악용하는 사이트로는 아마존 셀러(Amazon Seller), 구글 드라이브(Google Drive), 아웃룩(Outlook), 도큐사인(DocuSign) 등이 있다고 덧붙였다.

SSL/TLS를 이용한 공격이 늘어나는 것을 레츠 인크립트(Let’s Encrypt)와 같은 무료 인증 기관(CA)의 탓으로 돌리면 안 된다. 이러한 서비스들 덕분에 사이트 소유자들의 SSL 인증서 취득이 훨씬 쉽고 빨라졌지만 범죄자들에게 실수로 유효 인증서를 제공하는 것이 이들만은 아니다. 데사이의 팀은 인정받는 CA의 인증서도 본 적이 있다고 한다. CA에서 인증서를 잘못 발급한 경우도 있지만 정확히 발급한 경우가 대부분이었다. 범죄자들은 페이로드를 호스팅하고 탈출한 데이터를 수집하기 위해 합법적인 사이트, 예를 들어 오피스 365, 셰어포인트, 구글 드라이브, 드롭박스 등과 같이 보통 잘 알려진 클라우드 서비스를 탈취해 악용해 왔다.

예를 들어, 데사이의 설명에 따르면, 코지베어(CozyBear) 공격 집단은 파워셸(PowerShell) 스크립트를 이용해 허점이 노출된 시스템에 숨겨진 원드라이브(OneDrive) 파티션을 마운트(mount)한 후 여기로 데이터를 전부 복사하는 방식을 구사한다. 시스템과 서비스(이 경우 원드라이브) 사이의 모든 활동은 기본적으로 암호화된다. 원드라이브는 업무적인 이유로 자주 이용되므로 IT 부서에서는 공격을 눈치채지 못하는 경우가 있다. 공격자는 부정한 방법으로 인증서를 취득하지 않아도 된다. 원드라이브는 모든 사용자에게 그 정도 수준의 보호를 제공해 주기 때문이다.

기업들은 암호화가 선택의 문제가 아니기 때문에 SSL 점검도 생각해 봐야 한다. 이는 지스케일러에서 제공하는 것과 같은 클라우드 기반 플랫폼이나 마이크로소프트, 아버 네트웍스(Arbor Networks), 체크포인트(Check Point) 등이 제공하는 것과 같은 일렬로 배포되는 기기에서도 가능하다. 사용자들은 온라인에서 자신의 정보가 무단으로 탈취되는 일이 없다는 보장이 필요하지만, 기업들은 암호화된 트래픽 중 어떤 것에 사용자 데이터가 들어 있으며 어떤 것이 악성 명령을 전달하는지 구별해 낼 방법이 필요하다.

전통적인 네트워크 모니터링 도구에 의한 정밀 조사를 피하고자 SSL/TLS에 의존하는 공격이 늘어남에 따라 기업들은 모든 데이터를 보호하고 악성 트래픽이 방어선을 뚫지 못하게 하는 확실한 조처를 해야 한다. ciokr@idg.co.kr
 



2017.08.03

SSL/TLS 공격이 증가하는 이유

Fahmida Y. Rashid | CSO
기업들이 잠재적인 공격이나 노출로부터 데이터를 보호하기 위해 점점 더 능숙하게 네트워크 트래픽을 암호화함에 따라 온라인 공격자들 역시 자신들의 악의적인 활동을 감추기 위한 보안 소켓 계층/전송 계층 보안(SSL/TLS) 계략을 강화하고 있다.



보안업체 지스케일러(Zscaler)의 연구자들에 따르면, 2017년 상반기 이 회사에서 관찰한 트랜잭션 중 평균 60%가 SSL/TLS를 통해 이루어졌다. SSL/TLS 사용 증가에는 정당한 활동은 물론 악성 활동도 한몫하고 있다. 범죄자들이 악성 콘텐츠 배포를 위해 유효한 SSL 인증서에 의존하고 있기 때문이다. SSL이 감염 고리의 일부로 포함된 웹 악용은 하루 평균 300회에 달한 것으로 나타났다.

지스케일러의 보안 연구 수석 책임자 디픈 데사이는 “크라임웨어(crimeware)군이 SSL/TLS를 이용하는 빈도가 점점 높아지고 있다”고 지적했다. 지스케일러 측에 따르면, SSL/TLS에서 전송되는 악성 콘텐츠가 지난 6개월간 2배 이상 늘어났다고 한다. 지스케일러가 자사 클라우드 플랫폼 이용 고객을 위해 2017년 전반기 동안 차단한 SSL/TLS 기반 악성 활동은 하루 평균 840만 건에 달했다. 그중 60만 건은 진보된 형태의 위협이었다.

지스케일러 연구원이 확인한 바에 따르면, 2017년 전반기 동안SSL/TLS를 통한 피싱 시도는 하루 1만 2,000건에 달했다. 2016년에 비해 400%나 늘어난 수치다.

이는 빙산의 일각에 불과하다. 지스케일러의 이번 조사에서 SSL/TLS를 이용해 페이로드(payload)를 전송하는 애드웨어(adware) 캠페인과 같은 다른 공격은 제외됐기 때문이다.

기업 네트워크 트래픽의 대부분이 암호화되면 범죄자도 자신의 활동을 암호화하는 것이 합리적이다. 그러면 IT 관리자들이 악성과 양성 트래픽을 구분하기가 더 어렵기 때문이다. 악성코드군 역시 SSL의 사용 빈도가 높아지고 있다. 침해된 엔드포인트와 지휘통제 시스템 간의 통신 내용을 암호화해서 전송되는 명령과 페이로드, 기타 정보를 숨기는 것이 목적이다. 데사이는 2017년 상반기에 암호화된 연결을 통해 전송되는 페이로드 수가 2016년 전체에 비해 두 배가 늘었다고 밝혔다.

지스케일러 측에 따르면, 지휘통제(C&C) 활동에 SSL/TLS를 사용하는 악성 페이로드 중 약 60%의 출처는 지봇(Zbot), 보트랙(Vawtrak), 트릭봇(Trickbot)과 같은 뱅킹 트로이 계열이며, 12%는 페어잇(Fareit), 파프라(Papra)등과 같은 정보 탈취 트로이 계열이었다. 페이로드 중 4분의 1의 출처는 랜섬웨어 계열이었다.

피싱 일당 역시 SSL/TLS를 사용한다. 그들은 적법한 인증서가 있는 사이트에 악성 페이지를 호스팅하기 때문이다. 브라우저에 ‘안전(secure)’이라는 말이나 자물쇠 아이콘이 표시되기 때문에 사용자들은 유효한 사이트라고 착각한다. 단지 인증서 자체가 유효하고 연결이 암호화되어 있다는 의미에 불과하다는 것을 깨닫지 못한다. 사이트의 적법성과 실체에 대한 아무런 보장이 없다. 사이트의 실제 소유자가 맞는지 검증하려면 실제 인증서를 확인하는 수밖에 없다. 단순히 ‘안전’이라는 단어나 자물쇠 대신 도메인 소유자의 이름을 표시해 주는 브라우저에서는 확인하기 쉽다.

마이크로소프트, 링크드인, 어도비는 가장 흔히 위장되는 브랜드다. 데사이는 nnicrosoft.com(‘n’이 두 개 나란히 있어서 ‘m’처럼 보임)과 같은 피싱 사이트를 본 적이 있다고 밝혔다. 이 밖에도 피싱 일당이 악용하는 사이트로는 아마존 셀러(Amazon Seller), 구글 드라이브(Google Drive), 아웃룩(Outlook), 도큐사인(DocuSign) 등이 있다고 덧붙였다.

SSL/TLS를 이용한 공격이 늘어나는 것을 레츠 인크립트(Let’s Encrypt)와 같은 무료 인증 기관(CA)의 탓으로 돌리면 안 된다. 이러한 서비스들 덕분에 사이트 소유자들의 SSL 인증서 취득이 훨씬 쉽고 빨라졌지만 범죄자들에게 실수로 유효 인증서를 제공하는 것이 이들만은 아니다. 데사이의 팀은 인정받는 CA의 인증서도 본 적이 있다고 한다. CA에서 인증서를 잘못 발급한 경우도 있지만 정확히 발급한 경우가 대부분이었다. 범죄자들은 페이로드를 호스팅하고 탈출한 데이터를 수집하기 위해 합법적인 사이트, 예를 들어 오피스 365, 셰어포인트, 구글 드라이브, 드롭박스 등과 같이 보통 잘 알려진 클라우드 서비스를 탈취해 악용해 왔다.

예를 들어, 데사이의 설명에 따르면, 코지베어(CozyBear) 공격 집단은 파워셸(PowerShell) 스크립트를 이용해 허점이 노출된 시스템에 숨겨진 원드라이브(OneDrive) 파티션을 마운트(mount)한 후 여기로 데이터를 전부 복사하는 방식을 구사한다. 시스템과 서비스(이 경우 원드라이브) 사이의 모든 활동은 기본적으로 암호화된다. 원드라이브는 업무적인 이유로 자주 이용되므로 IT 부서에서는 공격을 눈치채지 못하는 경우가 있다. 공격자는 부정한 방법으로 인증서를 취득하지 않아도 된다. 원드라이브는 모든 사용자에게 그 정도 수준의 보호를 제공해 주기 때문이다.

기업들은 암호화가 선택의 문제가 아니기 때문에 SSL 점검도 생각해 봐야 한다. 이는 지스케일러에서 제공하는 것과 같은 클라우드 기반 플랫폼이나 마이크로소프트, 아버 네트웍스(Arbor Networks), 체크포인트(Check Point) 등이 제공하는 것과 같은 일렬로 배포되는 기기에서도 가능하다. 사용자들은 온라인에서 자신의 정보가 무단으로 탈취되는 일이 없다는 보장이 필요하지만, 기업들은 암호화된 트래픽 중 어떤 것에 사용자 데이터가 들어 있으며 어떤 것이 악성 명령을 전달하는지 구별해 낼 방법이 필요하다.

전통적인 네트워크 모니터링 도구에 의한 정밀 조사를 피하고자 SSL/TLS에 의존하는 공격이 늘어남에 따라 기업들은 모든 데이터를 보호하고 악성 트래픽이 방어선을 뚫지 못하게 하는 확실한 조처를 해야 한다. ciokr@idg.co.kr
 

X