사이버범죄를 담당하는 수사기관들이 사이버 공간에서 범죄자들을 추적하기 위하여 제일 먼저 사용하는 방법은 범죄자들이 사이버범죄에 사용한 IP주소를 추적하는 것이다. 그리고 이러한 사실을 누구보다 잘 아는 범죄자들은 자신의 위치 또는 자신의 범죄행위를 입증하는 증거자료를 없애고자 IP 주소를 숨기는 기술을 반드시 병행한다. 그 예로 VPN(Virtual Private Network), Proxy, Tor(The Onion Router)를 통해 실제 IP 주소를 숨기는 방식들이 있다.
이 중에서도 가장 사용이 활발하게 이용하는 방식은 VPN을 이용하는 것이며, 이는 Proxy 나 Tor에 비하여 다양한 통신 프로토콜을 지원하며 속도도 안정적이기 때문이다. 최근 국제 형사경찰기구인 인터폴의 유럽 담당 조직인 유로폴에서 사이버 범죄자들이 가장 많이 이용하는 VPN 서비스인 VPN랩 (VPN Lab)을 폐쇄시킨 사례도 그 사실을 뒷받침하고 있다. 이처럼 사이버 공격자들은 악성코드, 랜섬웨어 등을 배포할 시 추적을 어렵게 하기 위해 VPN을 사용하는 것이 일반적이기 때문에 기업 보안담당자나 수사기관에서도 VPN 서비스를 이용했는지 확인하는 프로세스를 네트워크 포렌식 과정에서 수행하고 있다.
본래 VPN의 목적은 기업이나 단체에서 내부인들만 쓸 수 있는 특수 목적의 인트라넷에 접근할 때 만들어지는 가상의 사설망으로, 재택근무나 원격 업무의 증가로 외부에서도 안전하게 사내 업무 시스템에 접근하여 사내 트래픽을 보호하는 보안 기술이다. 예를 들어 현재 우리 집이 서울이지만, 기업이 부산에 있는 경우, 그 기업의 VPN을 사용하면 내가 직접 부산에 가지 않아도 부산에 있는 것처럼 네트워크 접속이 되는 것이다.
그러나 이렇게 VPN 접속을 하면 실질적으로는 몸은 서울에 있지만 네트워크 트래픽은 부산에 있는 기업을 통해서 나가기 때문에, 이 상태로 포털 사이트에 접속할 경우, 포털 사이트 입장에서는 이 사용자가 부산에서 들어온 것으로 인지하게 된다. 여기서 한발 더 나아간 예시를 들면, 한국에 있는 사이버 범죄자가 부산에 있는 기업의 VPN이 아닌 베트남 있는 VPN에 연결된 채 청와대 사이트에 악의적인 공격을 수행한다면, 청와대는 이 공격이 베트남에서 들어온 것으로 착각할 수밖에 없게 된다. 이 같은 우회적 습성을 지닌 탓에 VPN은 사용자의 진짜 IP주소를 은닉하는 목적으로도 악용되고 있다.
따라서 해커들은 이 같은 IP주소를 세탁할 VPN 사용을 굉장히 즐겨하고 있으며, 과거에는 VPN 상용 서비스를 제공하는 사이트를 통하여 이 같은 IP주소 우회를 사용했다고 하면, 지금은 그 수준을 넘어서서, 해커들이 VPN 서버를 자체적으로 구축하는 방식도 점차 늘어나는 추세이다. 예를 들어, 해커들이 보안에 취약한 서버를 발견하면 그 서버를 탈취하여 VPN 서버를 직접 설치하고, 그곳을 경유해 다른 곳을 해킹하는 용도로 사용하는 사례도 많다.
위 그래프는 에이아이스페라의 Criminal IP를 통해서 수집된 전 세계 VPN IP 주소의 통계를 나타낸 것인데, 이 같은 분위기가 반영된 것으로, 현재 VPN 서버로 사용되는 IP 주소 추이는 2018년도에 비하여 2021년까지 폭발적으로 증가하고 있다는 것을 알 수 있다. Criminal IP 분석에 의하면 이 중 상당수는 기업의 정식VPN 서버가 아닌, 해커들에 의해 만들어진 VPN 서버로 추정되는 것이 많다는 것을 알 수 있었다.
국가별 통계를 살펴보면, 2019년 1월부터 2022년 2월10일까지 발견된 총 VPN IP주소 가운데 가장 많이 발견된 국가는 미국, 독일, 중국, 영국, 일본 순이라는 것을 알 수 있다. 본래 미국은 IP주소 자체를 가장 많이 보유하고 있기 때문에 높은 순위라고 치고, 중국은 원래 악성IP주소가 많으니 마찬가지라고 감안하더라도, 상대적으로 해킹 공격과 연관성 부분에서 덜 알려져 있는 베트남, 브라질 등이 상위에 올라가 있다는 것은 위협 모니터링 입장에서도 주목할만한 변화라고 볼 수 있다. 이는 이제 베트남에서의 접속을 가볍게 볼 수 없다는 점도 시사한다.
이번에는 전체 랭킹에는 못 들었지만, 순위가 급등한 케이스다. 과거에는 수치가 적었지만 최근 3-4년간 급등한 국가를 살펴보았고 가장 압도적인 성장세를 보이는 것은 홍콩과 태국이라는 것을 알 수 있었다. 위 그래프를 살펴보면 홍콩은 2020년에서 2021년 사이 약 36만건의 VPN IP주소가 추가되었으며, 태국은 약 80만건의 VPN IP 주소가 추가되었다. 갑자기 VPN IP 주소가 많아진 이런 국가에 대해서는 해당 IP주소로 접근이 들어올 경우 면밀한 모니터링이 필요하며, 침입탐지, 관제 등의 전략을 재검토해야 할 수도 있음을 시사한다.
VPN 무상 DB 활용
기존에도 물론 기업이나 기관 내부에서는 VPN을 타고 들어오는 IP 주소에 대해 사이버 위협이 발생할 수 있다는 가정을 한 채 각별한 주의를 기울이고 있었다. 하지만, 계속해서 변화되는 IP주소에 대해 실시간으로 IP주소 DB를 확보하기 어려운 실황이다. 또한, 상대적으로 가볍게 생각했던 베트남, 태국 등의 국가에서의 접근 역시 좀 더 면밀한 모니터링이 필요하다는 점이 대두되고 있다. 따라서 기존 기업의 보안 프로세스 안에 VPN IP 주소 검증 분야를 더욱 확대해야 한다.
예를 들어, 회원관리가 필요한 포털 사이트의 경우 악성으로 이용되는 VPN IP를 탐지함으로써 로그인 및 회원가입 단계에서의 계정도용과 부정 접속을 발견해 유저의 개인정보를 보호하는 단계를 추가하면 상당히 많은 해킹을 예방할 수 있다. 이는 다수의 VPN을 이용하여 대량의 개인정보를 탈취하는 크리덴셜 스터핑(credential stuffing) 등의 공격 등도 사전에 예방, 탐지할 수 있는 효과를 가져올 수 있다. 또한, 금융권이나 가상화폐거래소에서의 결제 및 이체 서비스에서는 부정 거래를 시도할 때에 VPN IP를 판별하여 이상금융거래 탐지시스템 (Fraud Detection System, FDS)에 활용할 수 있다.
에이아이스페라는 Criminal IP가 보유한 수십억 개의 VPN IP 데이터 가운데 최근 계정도용, 크리덴셜 스터핑, 부정접속 등이 특히 급증하고 있는 홍콩과 태국의 VPN IP 주소 데이터를 기업 및 기관에 무상으로 제공하고 있다(문의 : support@aispera.com). 해외의 몇몇 기관에서는 VPN IP 주소 DB를 굉장히 비싼 가격에 판매하고 있기 때문에, 기업에서는 보안 프로세스를 개선하고 싶어도 이 같은 DB 자체를 구하기 힘들어 VPN IP 주소의 검증 작업이 어려운 면이 많다. 하지만 이 같은 무료 DB를 이용하면 VPN IP 주소 검증 프로세스를 시범적으로 운영해보며 공격탐지의 범위를 넓혀볼 수 있다.
특히 VPN IP주소 DB 안에는 이미 랜섬웨어, 계정도용 등이 발생한 이력이 있는 IP 주소도 포함되어 있기 때문에 이러한 IP 인텔리전스 DB를 활용한 작업은 사이버 공격의 전반적인 방어를 위해 유용하게 활용될 수 있다.
그 외 전 세계의 VPN IP 주소 DB는 데이터스토어(클릭), 한국데이터거래소(클릭), 데이터바우처(클릭)에서 찾아볼 수 있다.
◇2022 대한민국 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최
-부제: 최신 국내〮외 사이버위협 동향 및 방어 전략 공유
-일시: 2022년 02월 22일 화요일 오전 9시~오후 5시30분
-장소: 더케이호텔서울 2층 가야금홀
-주최: 데일리시큐
-참석대상: 정부, 공공, 금융, 대기업 등 CISO, CPO, 정보보안 실무자 250여 명(학생/프리랜서/보안과 관련없는 자는 참석제한)
-보안교육: 7시간 이수증 발급
-방역: 좌석간 거리두기, 손소독, 체온체크 등
-사전등록: 클릭
★정보보안 대표 미디어 데일리시큐!★
