데일리시큐가 2월 6일 주최한 국내 최대 사이버위협 인텔리전스 컨퍼런스 K-CTI 2024에서 강동화 한국인터넷진흥원(KISA) 사고분석1팀 책임연구원은 ‘최근 국내 침해사고 동향 및 대응방안’을 주제로 강연을 진행했다.
이 강연에서 그는 최근 침해사고 키워드로 △크리덴셜 스터핑 △공급망 공격 △백업 솔루션 취약점 △무단 문자 발송 △공유기 디도스 △국내 웹사이트 대상 웹변조/정보유출을 들었다.
그는 “지난해 1월부터 대기업 정보유출 및 디도스 공격 사건이 발생했고 이후 샤오치잉 웹페이지 변조 및 정보유출 사건, 4월에 가상자산거래소 해킹 사건, 공급망 공격 사건, 교육업계 컨텐츠 유출 사건, 그리고 식료품 제조사 및 의약 제조사에 대한 랜섬웨어 공격, 쇼핑몰에 대한 크리덴셜 스터핑 공격, 공유기 악용한 디도스 공격 등 다양한 사건사고들이 많이 발생했다”고 전했다.
키워드 별로 살펴보면 다음과 같다.
◆크리덴션 스터핑 공격
지난해 1월부터 11월까지 지속적으로 발생했다. 쇼핑몰이나 상품권 거래 등에서 사용자들이 사고를 인지하고 KISA에 신고하는 경우가 많이 발생했다. 개인정보 유출에 의한 2차 피해는 발생하지 않았다. 3년전부터 지속적으로 발생했고 2022년부터 대폭 공격이 증가했다.
공격자들은 유명 포털 사이트로 위장한 피싱 사이트를 만들어 사용자 계정을 탈취하고 확보한 아이디, 패스워드를 활용해 다양한 불법적인 행위로 사용자들에게 피해를 발생시킨다.
KISA에서 수집한 유출 계정만 해도 28만개에 달하고 실제로는 더 많은 정보들이 유출됐다고 볼 수 있다.
그는 “크리덴셜 스터핑 공격을 막기란 쉽지 않다. 국내외 IP를 활용해 지속적으로 피싱 사이트 공격이 발생하고 있다. 이를 통해 개인정보 유출이나 상품권 무단 사용 등 피해가 발생하게 되는데 이러한 2차 피해를 예방하기 위해서는 각 사이트에서 2차 인증이 적용이 반드시 필요하다. 그리고 평소와 다른 IP에서 로그인이 발생할 때 이를 감지, 차단하는 방법도 적극 활용해야 한다”고 강조했다.
◆공급망 공격
제조사가 고객사에 기능 업데이트를 제공하는 온라인 업데이트 서버를 취약하게 관리해 가상가산거래소 및 포털 기업 등 다수 고객사의 침해사고가 발생했다.
해커는 VPN 계정을 탈취해 내부에 침투하고 별다른 제한 없이 제조사 내부에서 운영하는 중앙 관리 서버에 접근해 내부 직원 PC에 악성코드를 자유롭게 배포하게 된다. 업데이트 서버까지 장악한 해커는 이를 통해 고객사 장비에까지 악성코드를 유포하게 된다. 결국 해당 소프트웨어를 사용하는 더 많은 기관에까지 악성코드가 설치되고 내부 해킹 통로로 활용되는 것이다. 이런 공격으로 해킹을 당한 곳이 가상자산 거래소와 문서 소프트웨어 개발사, 보안솔루션 기업 등이 있다. 공격자는 이들 기업의 업데이트 체계를 완벽하게 숙지하고 공격을 실행하고 있다. 특히 해커들은 공격과정에서 AWS VDI 관리자 정보까지 입수해 접속했음을 알 수 있다.
그는 “VPN 계정을 할당하고 사용할 때 권한 분리를 해 줘야 한다. 서버도 마찬가지로 누구나 접속할 수 있게 할 것이 아니라 사전 승인된 단말이나 IP를 지정해야 한다. 자산 파악을 정확히 해서 각 중요도에 따라 접근 권한을 제한하고 차등 적용을 하는 것이 중요하다. 사고분석을 나가 보면, PC와 서버간 접근 제어는 잘 되어 있지만 서버와 서버간 접근 제어는 잘 안되어 있다. 공격자도 이 부분을 잘 파악하고 있어 서버간 이동을 자유롭게 하고 있다”고 주의를 당부했다.
◆백업 솔루션 취약점 악용
베리타스 Backup Exec Agent 취약점을 악용한 사례다. 2021년에 발견된 취약점이지만 최근에도 악용사례가 지속적으로 접수되고 있다. 해커들은 이를 통해 관리자 계정 비밀번호 변경하고 추가 계정 생성 등 행위를 실행한다.
그는 “이번 사고분석을 할 때 시스몬(Sysmon) 모니터링 도구를 활용했다. 공격자는 어떤 취약점을 활용해 공격했는지 흔적을 남기지 않기 때문에 이를 추적하기 위해 활용해 분석하게 됐다”고 설명했다.
◆무단 문자 발송
무단 문자 발송은 지속적으로 발생돼 왔다. 해커는 특정 문자 발송기업의 기존에 확보하고 있던 계정을 가지고 로그인했다. 한편 이 기업의 발송 솔루션은 파일 업로드를 할 때 별도로 확장자를 검사하거나 파일 팩을 검사하지 않았다. 해커는 파일 업로드 취약점을 활용해 웹쉘 업로드 이후 웹소스코드를 탐색해 DB계정 정보를 확보하고 이를 활용해 문자 발송 페이지를 생성한다. 이후 SMS 무단 발송을 하게 된다. 지난해 12월에는 4건의 신고가 접수됐고 1월 초에 많은 신고들이 접수됐다.
◆공유기 악용 DDoS 공격(2024년 1월)
올해 초에 발생한 이 공격은 고객에게 제공한 공유기를 악용한 디도스 공격이다. 우선 루트 계정 정보가 유출됐고 고객사에게 제공된 많은 공유기마다 각기 다른 패스워드를 적용하지 않기 때문에 공격자는 이를 이용해 디도스 공격을 실행한 것이다. 디도스 공격에 악용된 공유기를 입수해 분석한 결과, 악성코드가 설치돼 있었다. 바로 미라이 변종 악성코드였다.
◆침해사고 분석의 어려움과 대응방안
그는 사고 대응을 위해 중요한 것은 분석 자료들이 많이 남아 있어야 하는데 공격자들이 의도적으로 흔적을 삭제하거나 손상시키는 경우 그리고 관리자가 시스템을 포맷하고 재설치하는 경우 때문에 사고 분석에 어려움이 있다고 한다.
강동화 책임은 “특히 랜섬웨어 공격자들은 자신들이 분석당하지 않도록 흔적들을 삭제하는 경우가 많지만 관리자가 C드라이브를 포맷하지 않으면 어느 정도 분석이 가능하기 때문에 사고발생 후 원인 분석이 되지 않은 상황에서 포맷을 바로 하는 것은 잘못된 판단이다. 관리자의 어려움은 이해할 수 있지만 중요한 침해사고 원인 분석은 어렵게 된다”라며 “관리자인 경우 시스몬(Sysmon)이라는 MS에서 제공하는 시스템 모니터링 도구를 활용해 이벤트 로그를 기록해 둔다면 분석가들이 공격자의 악성행위를 식별하고 침해사고 원인을 분석할 때 많은 도움이 될 것이다. 생성되는 로그 양이 많지만 원인분석을 위해 설치 전에 검토해 활용하길 바란다”고 조언했다.
■[G-PRIVACY 2024] 하반기 최대 개인정보보호&정보보안 컨퍼런스 개최 (7시간 보안교육 이수)
△일시: 2024년 3월 12일(화)
△장소: 서울 양재동 더케이호텔서울 2층 가야금홀
△주최: 데일리시큐
△참석대상자: 전국 공공기관 및 지자체, 교육기관, 공기업, 일반기업, 금융기관 등 개인정보보호 책임자, 개인정보보호 담당자, CISO, 정보보안 실무자 등 1,000여 명 이상(현업 보안업무와 관련 없는 자는 참석불가)
△전시회: 국내외 최신 정보보안 솔루션 소개
△보안기업 전시회 참가신청: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
△참관객 사전등록: 클릭
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
