SK인포섹 보안 전문가 그룹 이큐스트(EQST)’

올해 유의해야 할 5 사이버 위협 전망 내놔


올해 주요 보안 위협에 대해 설명하고 있는 이재우 이큐스트 그룹장


SK인포섹(www.skinfosec.com, 대표이사 안희철) 18일 서울 종로 SK서린빌딩 수펙스홀에서 열린 이큐스트 미디어 데이에서 ‘2018 5 사이버 위협 전망을 발표했다. 

이큐스트(EQST) SK인포섹의 하이테크(High Tech) 전문가 그룹으로 사이버 위협 분석 연구를 비롯해, 실제 해킹 사고 현장에서 침해사고 대응을 맡고 있다.  

이날 발표에서는 작년 한 해 동안 발생한 주요 보안 사고에 쓰인 해킹 기법과 공격 흐름을 되짚어 보고, 이를 통해 올해 유의해야 할 다섯 가지 위협 전망을 내놓았다. 

이큐스트 그룹은 ‘17년에 발생한 주요 보안 사고 및 공격 방식으로 게임사, IT기업 등을 타깃한 시스템 관리 서버 APT 공격 사드(THADD) 배치로 발단이 된 중국 해커들의 아파치 스트러츠 취약점 공격 호스팅 업체에 피해를 입한 랜섬웨어 공격 가상화폐 채굴을 위한 악성코드 공격 원격관리 소프트웨어 해킹 공격 보안 솔루션을 우회하는 공격 소프트웨어 공급의 구조적 취약점을 노린 공격 등 총 7가지를 꼽았다. 

이를 바탕으로 이큐스트 그룹은 관리서버의 신규 취약점을 이용한 APT 공격 취약점 자동화 공격 도구의 제로 데이(Zero-Day) 범용 소프트웨어를 타깃한 자동화 공격 소프트웨어 공급망의 취약한 구조를 노린 공격 대규모 랜섬웨어 감염을 노린 공격 등이 작년에 이어, 올해도 여전히 위협적일 것으로 내다 봤다. 

이날 발표를 맡은 이재우 이큐스트 그룹장은 공격의 피해를 늘리기 위해 해커들의 공격기법이 날로 지능적이고, 대범해지고 있다면서 “SK인포섹은 해킹 위협에 대한 지속적인 연구를 통해 효과적인 대응 방안을 마련해 나갈 것이라고 말했다.

 

2018 5 사이버 위협 전망』 상세 설명

관리서버의 신규 취약점을 이용한 APT공격

2011년부터 관리서버를 공격하여 내부망에 악성코드를 전파하려는 시도가 지속적으로 증가하고 있습니다. 관리서버가 APT 공격에 지속적으로 사용되는 이유는 공격 효과가 높기 때문입니다. 관리서버는 일반적으로 패치 및 자산관리, 파일 배포 등에 사용되기 때문에, 해커는 이 기능을 이용하여 악성파일 배포를 하고 PC를 장악할 수 있습니다. 최근 몇 년 동안 해커는 관리 서버의 신규 취약점을 연구하여 해당 서버를 공격하고 있으며, 이는 관리자가 사후에 발견 하더라도 어떤 취약점을 이용해서 공격 했는지 알 수 가 없기 때문에 대응 조치를 하기가 매우 어렵습니다. 그리고 관리 서버를 개발하는 국내 Vendor의 개발 및 경영 환경이 어렵기 때문에 취약점을 사전에 발견 하더라도 패치에 장시간이 소요되곤 합니다. 이런 특징 때문에 2018년에도 관리 서버에 대한 공격이 지속 될 것으로 보이며, 단순한 권한 획득이 아닌 Zero-Day처럼 신규 취약점을 통해 공격을 시도 할 것으로 예상됩니다. 

■ 취약점 자동화 공격 도구 Zero-Day

새로운 취약점이 발표되면 보안장비를 패턴 업데이트하는데 평균 일주일의 시간이 소요됩니다. 이전에는 신규 취약점이 발표된 후 약 2~3일 후에 자동화 공격 툴이 만들어졌지만 최근에는 취약점이 발표되기도 전에 자동화 공격 도구(Tool)이 발견 되는 사례가 있었습니다.
Zero-Day
취약점 공격과 자동화 공격 도구를 이용한 공격이 동시에 행해지면 매우 큰 피해를 입힐 뿐만 아니라, 대응하는 입장에서도 매우 어려운 상황들이 발생하게 됩니다. 때문에 공격자는 적은 노력으로 매우 큰 효과를 볼 수 있는 Zero-Day Package 공격을 계속해서 시도할 것으로 예상됩니다.
 

■ 범용 소프트웨어 자동화 공격

최근 공격자들은 외부에 공개된 범용 소프트웨어를 스캐닝(Scanning)하고, 발견된 보안 취약점 및 취약 계정을 통해 침투 한 후 악성코드를 설치하거나 자동화된 공격을 감행하고 있습니다. 또한, 최근에는 오픈 소스 소프트웨어를 타깃한 공격들이 증가되고 있습니다. 보안에 취약한 오픈 소스 소프트웨어를 별도 망에 설치하고 테스트한 결과, 5시간도 되지 않아 악성코드가 설치되는 것을 확인하였습니다.
범용 소프트웨어는 불특정 다수가 사용하고 있어 타깃 할 수 있는 대상이 많고, 자동화된 공격으로 큰 피해를 입힐 수 있기 때문에 심각한 위협이 될 것으로 전망하고 있습니다.
 

■ 소프트웨어 공급망 Hole에 대한 공격

소프트웨어 공급망은 개발사, 총판, 리셀러, 협력업체, 구매회사로 이어지는 매우 복잡한 구조를 가지고 있습니다. 때문에 소프트웨어가 배포되는 과정에서 보안에 취약한 지점이 반드시 존재하며, 해커는 이 구조적인 취약점을 노려 악성코드를 설치하거나 원본 파일을 악성코드로 변경하는 공격을 감행하고 있습니다. 보안 수준이 높은 회사라 할지라도 악성코드로 변경된 소프트웨어의 악성 유무를 확인하기가 매우 어렵기 때문에 소프트웨어 공급망에 대한 공격이 늘어날 것으로 예상됩니다.   

■ 대규모 랜섬웨어 감염을 위한 구조적 취약점 공격 

대규모 시스템에 악성코드를 감염시켜 중요한 데이터를 인질 삼아 금전을 요구하는 랜섬웨어 공격은 계속 증가할 것으로 예상됩니다. 해커는 클라우드에서 사용되는 파일 공유 기능이나 파일 서버를 공격해 랜섬웨어에 감염시키려는 시도를 하고 있습니다. 특히 파일 배포 기능이 있는 관리서버나 자원을 공유해서 사용하는 서버 환경의 경우에는 랜섬웨어 감염 리스크가 높다고 볼 수 있습니다. ‘17년에 있었던 보안 사고 중에서 데스크톱 가상화(VDI) 서버 내에 있는 가상머신(VM) 전체가 감염돼 시스템 전체를 초기화 했던 사례가 있었습니다. 올해에도 이러한 구조적 취약점을 이용한 공격이 늘 것으로 예상됩니다. 


티스토리 툴바