사이버 공격 (위협)의 전환, EDR이 필요한 이유

1. 사이버 위협 전환시대

 

1) 기술 발전과 상생하는 사이버 위협

사무실과 집(재택), 데이터 센터와 클라우드가 공존하는 하이브리드 업무환경이 확대되고 있습니다. 우리의 IT 환경은 과거보다 훨씬 복잡한 환경으로 변화되었습니다. 물리적 업무 공간은 확대되고 업무용 어플리케이션은 증가했으며 다양한 종류의 기기들이 업무에 사용되고 있습니다. 이를 통해 우리는 업무 생산성을 유지할 수 있게 되었지만 반대로 취약점의 증가, 공격 경로(Attack Surface)의 확대 등 해결과제도 증가하고 있습니다. 변화된 환경은 사이버 범죄자들에게도 새로운 기회를 제공하고 있습니다.

[복잡하고 분산되어가는 IT환경]

 

시장조사 기관인 IDC에 따르면 IT 전문가의 40%가 공격의 정교함과 보안 제품 관리 및 기술 지원의 복잡성 증가를 중요한 해결 과제로 꼽았습니다. 이러한 복잡성은 공격자들에게 큰 이점 될 수 있습니다. 복잡한 구성과 프로세스는 보안과 관리에 누수를 발생시키고 공격은 이곳에서부터 시작될 수 있습니다.

 

2) 확대되는 공격 대상과 다양해지는 공격 목적

APT와 랜섬웨어로 대표되는 지능형위협은 지속적으로 증가하고 있습니다. 개인 대상의 랜섬웨어는 기업으로 확대되고 있으며 대응(탐지 및 제거 등)을 어렵게 하기 위한 기술적 발전을 거듭하고 있습니다. ADT캡스의 보안전문가 그룹인 EQST(이큐스트) 가 발표한 ‘2021년 상반기 보안트렌드’ 등에 따르면 금전 취득 목적의 랜섬웨어 공격이 꾸준히 증가하고 있는 것을 알 수 있으며 유출된 정보를 다크웹(Dark Web)을 통해 판매하는 등 2차 피해를 발생시키고 있습니다.

 

[‘21년 상반기 보안 이슈 및 사건. EQST 2021년 상반기 보안 트렌드]

 

사이버 범죄의 목적은 비단 금전취득에만 국한되는 것은 아니며 그 대상도 한정된 것은 아닙니다. 아래 열거된 최근 사이버보안 관련 이슈를 살펴보면 이제 사이버 범죄는 더 이상 PC 나 서버에 국한된 문제가 아닙니다. 인간의 생명을 위협하고 국가의 기반 시설을 파괴하며 체제(Government)까지도 위협하고 있습니다. 사이버 범죄는 소리 없는 전쟁과도 같으며 지금 이 순간에도 전 영역에서 발생하고 있습니다.

최근 사이버보안 이슈

  • 국가 기반 시설 및 제조 산업을 표적으로 하는 공격 증가(전력, 가스, 송유시설 등)
  • 클라우드 서버를 통한 악성코드 배포(DDoS, 스팸 발송지, 악성코드 통제 등)
  • 정부 차원의 지원을 받으며 고도로 훈련된 해커 그룹의 육성(북한, 러시아 등)
  • 악성 코드 유포지로 활용되는 IoT 기기(스마트 홈 해킹 피해, 무선AP DDoS 활용 등)
  • 보안 솔루션을 우회하는 정교한 악성 코드 증가(악성코드 검증 진단 시험 후 사용)
  • 파일 설치가 아닌 스크립트 방식의 악성코드 실행(Java script, VB, PowerShell 등)

정보유출을 주목적으로 하는 APT(Advanced Persistent Threats) 공격과 랜섬웨어는 IT 환경을 넘어 이제 제조/설비를 대상으로 하고 있으며 특정 S/W를 대상으로 하는 공급망(SCM) 해킹 등으로 이어지고 있습니다. 무차별 공격이 아닌 특정 집단 및 특정 소프트웨어를 공격의 대상으로 하여 더욱 정교해지고 있습니다. 공격자는 목표가 정해지면 수집된 정보를 바탕으로 목표달성을 위한 공격방법(TTP)을 정하고 탐지가 어렵도록 장기간에 걸쳐 지속적인 공격을 진행합니다. 기업은 상시로 자산에 대한 가시성을 확보하고 약점을 최대한 보완함과 동시에 상시 모니터링을 통해 이상 행위를 감지해야 공격에 대응할 수 있습니다.

 

2. 사이버 위협 그 시작과 종료

 

1) 취약한 면을 지속적으로 공략하는 전략

모든 공격에는 이유와 목적이 있습니다. 금전취득을 위한 랜섬웨어 유포, 체제 전복이나 사회혼란을 노리는 핵티비즘(hacktivism), 자기 과시, 시설 파괴 등 이유는 다양합니다. 그러나 우리는 이러한 다양한 목적의 공격에서 유사한 단계를 발견할 수 있습니다. ‘2017 사이버위협 인텔리전스 보고서’ 에 따르면 APT 공격의 경우 아래와 같은 일련의 단계를 거쳐 최종 목적에 이르게 된다고 합니다.

  • 사전 정보 수집: 공격 대상에 대한 정보 수집 (IP 대역, 솔루션 사용현황 등)
  • 내부 침투: 각종 취약점 또는 소셜 엔지니어링 기법 등을 이용한 침투
  • 내부 정보 수집: 추가 공격을 위한 악성코드 주입 및 C&C 서버와의 통신 등
  • 자료 탈취: 내부 기밀 데이터의 취득 및 외부 전송
  • 파괴: PC 및 서버 등의 파괴 및 흔적 삭제

 

[APT 공격의 TTP 프로파일링]

 

랜섬웨어 역시 이와 유사하게 공격에 대한 공통점을 확인할 수 있습니다.

 

[랜섬웨어 공격의 TTP 프로파일링]

 

공격자들은 소프트웨어, 이메일, 게시판, 콘텐츠, 원격(재택) 근무자 VPN, 주소록 등 모든 것을 활용합니다. 어떠한 것이 공격의 어느 단계에 사용될지 예상하는 것은 어렵습니다. 게시판의 취약점을 이용한 사전 침투 공격이 가능합니다. 또는 주소록을 활용한 사회공학적 방법이 내부확산을 위해 사용될 수도 있습니다. 어떠한 것에서도 취약점을 찾아내어 이를 활용할 수 있습니다. 앞서 언급한 ‘EQST 보고서’에 따르면 최근 발생하는 주요 침해사고의 원인은 크리덴셜 스터핑(32.5%)이며 VPN을 이용한 공격(20.5%) 역시 빠르게 증가하는 것을 확인할 수 있습니다. 우리는 여기에서 ‘계정관리’ 라는 공통점을 찾을 수 있습니다. 취약하거나 유추가 가능한 아이디 및 패스워드의 반복적인 사용이 많은 침해사고의 불씨를 제공하고 있습니다. 최근 다크웹을 통해 VPN계정, 윈도우 RDP(Remote Desktop Protocol) 정보 등이 대량 유통되는 사례들이 발생하고 있어 이러한 사고는 향후에도 쉽게 줄지 않을 것으로 예상됩니다.

2) 보안 인식의 부재는 위협의 시작이 됩니다.

다수의 공격은 외부(공격자)에서 시작되지만, 공격의 성공 여부는 목표가 되는 기업 또는 기업의 내부(사용자, IT 자산, 프로세스 등)에 의해 결정됩니다. 출처 불명의 문서열람, 무분별한 웹 서핑, SNS에 노출된 개인 업무, 업무상 불편함으로 인한 규정 위반, 의심 없는 첨부 메일 확인, 수 개월간 변경하지 않은 비밀번호 등 무심코 하는 수많은 사용자들의 행동 모두가 공격자에게 기회를 제공하고 공격자는 이러한 기회를 놓치지 않습니다. 서서히 오랜 기간에 걸쳐 진행되는 공격을 즉시 탐지하기란 매우 어렵습니다. 누군가의 피해 사례가 나의 취약한 부분을 보완하는 시작점이 되는 것은 바람직하지 않습니다. 그러나 매번 반복되는 현상입니다.

 

3. 공격을 어떻게 바라보고 대응할 것인가?

 

우리는 공격에 대비해 많은 노력을 하고 있습니다. 최신의 보안 솔루션을 도입하고 업무프로세스를 강화합니다. 정기적인 교육과 모니터링도 빠지지 않습니다. 그럼에도 불행히 공격과 피해는 줄지 않고 있습니다. 수동적이고 단편적인 대응과 더불어 공격의 전체(전 과정)를 이해하려는 노력이 필요합니다. 앞서 언급한 APT 공격의 예를 살펴보겠습니다. 다음과 같은 시나리오가 가능합니다.

  • 사용자가 메일을 전달 받습니다.
  • 메일 상의 링크를 통하여 특정 웹 페이지에 접속합니다
  • 접속 순간 스크립트가 실행되면서 특정 프로세스가 실행됩니다.
  • 특정 프로세스가 외부로 접속하여 악성코드를 다운로드 합니다.
  • 사용자 권한 또는 운영체제 프로그램(PowerShell 등)을 이용해 악성코드가 실행됩니다.
  •  악성코드가 특정 기능을 수행합니다. (정보수집, 정보유출, 키로깅, 데이터 파괴 등)

위의 내용은 매우 일반적인 공격의 과정입니다. 사용자를 유도해 특정 웹 페이지에 접속하는 것만으로 브라우저나 운영체제의 취약점을 이용하여 명령을 실행하는(워터링홀 공격)사례를 어렵지 않게 찾을 수 있습니다. 이러한 과정 중에 모든 행위가 악의적인 것은 아닙니다. 공격자는 파워쉘(PowerShell) 등 윈도우에 내장된 정상적인 명령어나 체계를 이용하여 악의적인 행동을 하게 만듭니다(Living off the land). 따라서 이상행위와 정상행위가 혼합된 전체과정을 안티바이러스(AV) 등 단위 보안 제품으로만 탐지하고 대응하기에는 매우 어렵습니다.

[악성행위 전체 가시성과 탐지 포인트]

 

많은 노력에도 불구하고 공격의 전체 과정을 파악하고 대응하는 것은 매우 어려운 일 입니다. 그러나 공격의 일부만이라도 탐지하여 대응할 수 있다면 피해가 발생하거나 피해가 확산되는 것은 방지할 수 있습니다. 이를 위해서는 공격을 큰 틀에서 바라볼 필요가 있습니다.

 

4. 위협의 흐름을 식별하고, 보안을 강화하자!

 

낮은 수준의 보안 인식은 사용자 부주의를 낳고 자신도 모르는 사이 공격자들의 먹잇감이 되어 공격자들을 돕는 처지가 됩니다. 게다가 보안 규제는 늘 그렇듯 불편함을 만들고 사용자들은 피곤함을 느낄 수밖에 없습니다. 그러한 불편함 때문에 일부 사용자들은 자신들만의 방법으로 기업의 보안 규제를 우회합니다. 기업의 중역들에게는 보안 정책을 완화하여 불편함을 해소시켜 주고, IT지식을 갖고 있는 일부 사용자들은 보안 솔루션을 우회하는 방법을 찾아 냅니다. 결국 작은 구멍 하나가 커다란 댐을 무너뜨리듯 작은 부주의나 위반 행위가 기업의 존폐 위기를 만들 수 있습니다. 그렇다고 실시간으로 모든 사용자들과 그들의 행위를 들여다보는 것(모니터링)은 불가능 합니다. 또한 개인정보 침해 등 다른 문제를 야기할 수도 있습니다.

효과적인 하나의 방법은 보안의 기준(Security Baseline)을 만들어 놓고 해당 기준을 위반하는 사용자 및 행위부터 들여다보는(모니터링) 것 입니다. 우리는 모두 해야 할 것과 하지 말아야 할 것을 잘 알고 있습니다. 출처가 불분명한 파일을 함부로 다운로드 받거나 실행하지 말아야 합니다. 그러나 우리는 선정적이고 자극적인 제목에 이끌립니다. 공짜라는 이유로 잘 알지 못하는 무선장치(AP 등)에 연결을 시도합니다. 친구의 부탁으로 회사의 정보를 SNS 나 웹메일을 통해 전달해 줍니다. 이러한 모든 행위가 공격을 위한 출발점이 됩니다. 또한 공격자도 이 점을 잘 알고 있습니다.

[보안 규정 위반 사용자의 행위 상세 가시성 제공]

 

“뭐 ~ 이 정도는 괜찮겠지” 라는 생각으로 행해지는 많은 행위들이 잠재적인 위협을 만들어 냅니다. 사용자와 단말의 이상 행위에 관심을 가져야 할 때입니다. 더 나아가 공격을 사전에 탐지하여 대응하고 재발을 방지하기 위해서는 행위에 대한 분석과 가시성을 확보할 수 있는 방안이 필요합니다. 단말에서 발생된 프로세스, 파일의 이동, 접속한 목적지 및 경로, 파일 다운로드 및 업로드 등 전반적인 행위를 파악해야 지능적이고 정교한 공격을 대응할 수 있습니다.

재택과 클라우드로 우리의 업무 환경이 복잡해 지면서 EDR(Endpoint Detection & Response) 제품의 필요성과 중요성이 부각되는 이유입니다. 오늘 우리가 한 행동 중에 이상한 행동은 없었을까요? 나는 모르지만 우리 기업에 이상한 현상이 발생하지는 않았을까요? EDR이 필요한 이유입니다.

 

[EDR 과 NAC 협업을 통한 기업 보안 강화]

 

 


 

 

지니언스 EDR 더 알아보기 함께보면 좋은 컨텐츠
지니언스 EDR

이 글 공유하기