2021-07-31 13:45 (토)
AD 환경 이용하는 국내 기업들 랜섬웨어 공격 타깃…TTP 활용 중요해
상태바
AD 환경 이용하는 국내 기업들 랜섬웨어 공격 타깃…TTP 활용 중요해
  • 길민권 기자
  • 승인 2021.06.03 13:38
이 기사를 공유합니다

“2020년 말부터 국내서 AD 환경의 랜섬웨어 감염 사고 다시 발생중”
KISA, ‘TTPs#5 : AD 환경을 위협하는 공격 패턴 분석’ 보고서 발표
AD 환경을 위협하는 공격 개요 (출처=KISA 보고서)
AD 환경을 위협하는 공격 개요 (출처=KISA 보고서) [위 아래 연결 이미지]

과거의 침해사고들이 현재에도 여전히 발생하고 있다. 방어 체계를 잘 갖춘 기업도 전혀 예외가 아니다.

최근 사이버보안에서 강조되고 있는 부분이 바로, 고통의 피라미드(The Pyramid of Pain)다. 방어자가 TTP(Tactic, Technique, Procedure)와 같은 공격자의 전략과 전술, 그리고 그 과정을 이해하고 방어 체계를 운영하는 것이 가장 효과적이란 것이다. 보안은 공격자를 Tough!한 단계로 끌고 가는 것.

이에 한국인터넷진흥원(KISA) 침해사고분석단 종합분석팀은 3일 ‘TTPs#5 : AD 환경을 위협하는 공격 패턴 분석’ 보고서를 발표했다.

연구원들은 “이번 TTP#5 보고서에서는 AD(Active Directory) 환경에서의 최초 침투 방법부터 최종 목적을 달성하기까지의 과정을 상세히 서술했다. 이를 통해 AD 환경을 사용하는 기업들이 사내 보안 체계를 점검하고 방어 전략을 수립하는데 도움이 되길 바란다”고 전했다.

◇ "공격자는 TTP를 쉽게 확보하거나 버릴 수 없다"

보고서에 따르면, 여전히, IoC(Indicator of Compromise, 악성IP - 악성 도메인 등 단순 지표) 기반의 방어 체계는 매우 유용하다. 다만, 공격자는 단순 지표와 관련된 공격 인프라를 쉽게 확보하고 버린다.

하지만 TTP는 다르다. 공격자는 TTP를 쉽게 확보하거나 버릴 수 없다. 타깃이 정해진 공격자는 타깃의 방어 환경을 무력화하기 위해 많은 시간을 들여서 TTP를 학습하고 연습한다. 그리고 확보된 TTP를 지속 활용할 수 있는 대상들이 새로운 타깃이 된다.

공격자의 TTP는 언제나 방어 환경의 특성과 맞물려 있다. 그래서, 방어자는 방어 환경에 대해 정확히 이해하고 있어야 하며, 공격의 흐름과 과정을 패턴이나 기법이 아닌 전략 전술 관점으로 보아야 한다. 방어자의 환경과 공격자의 TTP는 함께 이야기 되어야 한다.

TTP를 이해한 방어자는 '공격자의 TTP가 방어자 환경에 유효한 것인지' 여부와, '유효하다면 TTP를 무력화할 수 있는 방어 전략은 무엇인지' 등 2가지를 설명할 수 있어야 한다.

2019년 상반기, AD를 사용하는 기업들을 타깃으로 한 랜섬웨어 감염 사고들이 대량 발생했다. AD는 다수의 시스템을 관리하는데 효율적이지만 미숙한 계정 관리로 인해 관리자 권한이 탈취된다면 전체 내부망이 장악할 수 있다는 문제점이 존재한다.

한국인터넷진흥원은 보고서에서 “침해사고 조사 과정에서 확인된 공격자의 기법, 악성코드의 유사성 등을 정리해 AD 환경을 사용하는 기업들에게 보안권고 및 정보 공유 등 대응을 한 바 있다”며 “이후 공격자는 한동안 국내에서의 활동이 조금 뜸해졌으나 2020년 말부터 국내에서 AD 환경의 랜섬웨어 감염 사고가 다시 발생하기 시작했다”고 전했다.

다수의 랜섬웨어 사고 소식을 접한 기업들은 백업의 중요성을 인지하고 주기적으로 중요데이터를 백업했다.

이후 기업들이 데이터 백업으로 복구에 성공해 공격자의 요구에 응하지 않자 공격자는 랜섬웨어 감염뿐만 아니라 기업 내부 정보를 유출해 유출한 자료를 인질로 삼아 몸값을 이중으로 요구하기 시작했다.

이런 사고들의 침투 기법은 AD 환경 구성 방식에 따라 조금씩 차이가 있긴 하지만 2019년부터 발생한 AD 환경의 랜섬웨어 감염 사고들을 분석해 본 결과, 대부분은 동일한 TTP를 사용했음을 확인할 수 있었다.

◇ 공격자들의 국내 기업 대상 랜섬웨어 공격 패턴

공격자는 스피어피싱을 통한 내부 침투, 계정 탈취 후 DC 서버 장악, SMB기능을 통한 내부 이동의 과정을 통해 랜섬웨어에 감염시켰다. 이러한 사고는 공격자가 요구한 대가 지불액, 기업의 이미지 손상에 따른 피해, 시스템 복구 비용 등 막대한 손실이 발생할 뿐 아니라 AD의 특성상 시스템 전체가 장악되어 기업 주요 정보 유출 등 추가 피해가 발생할 수 있다.

앞으로도 기업들을 대상으로 한 해킹사고는 끊임없이 발생할 것이고 AD를 사용하는 기업들도 타깃이 될 수 있다.

기업마다 망 구성방식, 권한 관리, 보안 정책 등이 다르기 때문에 침투 방식이나 세부적인 공격 방법은 변경될 수 있으나 권한상승, 계정 탈취, SMB를 통한 내부 이동 등은 대부분의 AD사고에서 확인되는 공통적인 특성이다.

따라서 AD환경을 사용하는 기업 입장에서는 계정 관리 및 모니터링이 제일 중요하다.

보고서 마지막 부분에 강조하는 내용은 다음과 같다.

최초 침투에 성공한 공격자는 관리자 계정 탈취를 목표로 내부망을 탐색하고 이동할 것이고 이때 일반 사용자 계정을 아무리 많이 탈취하더라도 내부망 장악에 도움이 되지 않는다. 때문에 계정이 탈취되더라도 AD DC(Domain Controller)서버를 장악할 수 없도록 사용자 및 서비스 계정들의 권한을 분리해 관리해야 한다.

그리고 관리자 그룹 계정 사용을 최소화하고 불가피하게 관리자 계정을 사용하는 시스템들은 주기적으로 모니터링해야 한다. 특히 AD DC의 경우 등록된 서비스와 그룹 정책 목록에 의심스러운 사항은 없는지 주의를 기울여야 한다.

또한 주요 시스템 로그는 주기적으로 백업하고 계정 탈취 도구가 탐지되거나 파이프 통신 발견 시 즉시 전사 시스템을 점검해 보아야 한다고 강조했다.

KISA는 19년 초 AD 환경에서 발생한 사고에 대해 상세한 기술보고서를 발간한 바 있다. 아마 이후 해당 공격 그룹의 공격 형태가 바뀌더라도 AD 환경을 타깃으로 한 공격 기법은 여기서 크게 벗어나지 않을 것이라고 말한다.

기업들이 과거 KISA에서 발간됐던 기술보고서와 이번 보고서의 TTP전략을 함께 정확히 이해하고 파악해 내부 환경에 적용한다면 많은 도움이 될 것으로 보인다.

이번 TTP#5 보고서에서는 AD 환경에서의 최초 침투 방법부터 최종 목적을 달성하기까지의 과정을 상세히 서술하고 있다. 이번 보고서 집필은 KISA 침해사고분석단 종합분석팀 김가영 주임, 김동욱 선임, 이태우 선임, 이슬기 선임, 이재광 팀장 등이 참여했다.

KISA 인터넷보호나라 자료실과 데일리시큐 자료실에서도 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★