Home > 전체기사

아이덴티티가 화폐가 되는 시대, 동적인 방어 체계가 필요하다

  |  입력 : 2022-05-23 23:02
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
아이덴티티 방어에 우리가 적극 나서야 하는 건, 아이덴티티가 현대 IT 구조에서 새로운 화폐로 자리를 잡았기 때문이다. 공격자들은 각종 기술들을 활발히 사용해 이 아이덴티티를 공략한다. 그런데 우리의 방어 기술은 아직도 정적이기만 하다.

[보안뉴스 문가용 기자] 아이덴티티는 이 시대의 새로운 화폐다. 디지털 공격자들은 이 새로운 화폐를 차지하기 위해 온갖 수단들을 동원한다. 버라이즌(Verizon)의 데이터 침해 수사 보고서에 따르면 데이터 침해 사고의 61%가 바로 이 아이덴티티 도난 사고와 연결된다고 한다. 왜 이렇게 크리덴셜이 귀하고, 또 많은 공격자들의 먹잇감이 되는 걸까? 이유는 간단하다. 정상적인 크리덴셜로 로그인을 할 경우 공격자들이더라도 피해자의 네트워크에서 거의 모든 일을 무제한으로 할 수 있기 때문이다.

[이미지 = utoimage]


그런 상황인지라 접근 제어는 각종 주요 시설의 기본 방어 시스템이 된다. 그러나 어떤 기술이나 도구도 그렇지만 이 접근 제어라는 방어 도구도 완벽하지는 않다. 공격자들의 동기가 충분히 강력하기만 하다면 어디서든 구멍은 발견되기 마련이며, 이것에 성공한 공격자들이라면 정상 임직원의 크리덴셜을 훔쳐내어 자신들의 멋대로 활용한다. 엉뚱한 사람의 ID로 로그인을 해서 여러 가지 못된 짓들을 하는데, 그렇기 때문에 사기방지 기술에 투자하는 기업들이 늘어나는 중이다.

방어에 대한 투자가 늘어나면 공격자들이 가만히 있지 않는다. 자신들도 공격의 수위를 높이고 범위를 확대한다. 최근 공격자들은 로그인 넘어의 영역까지도 넘보기 시작했다. 특히 최초 아이덴티티 생성 및 부여, 장비 등록, 비밀번호 리셋 등과 같은 “아이덴티티 구성” 및 “아이덴티티 관리”와 관련된 영역에도 이들의 손길이 미치고 있는 것에 IT 업계는 주목하고 있다. 아이덴티티를 생성하고 부여하는 시스템은 모든 접근 제어 시스템의 근간이 된다. 공격자들이 착안한 것이 바로 이 부분이다.

그리고 록빗(LockBit), 아바돈(Avaddon), 다크사이드(DarkSide), 콘티(Conti), 블랙바이트(BlackByte)와 같은 랜섬웨어 그룹들이 죄다 ‘최초 침투 브로커(IAB)’라는 유형의 범죄 서비스를 이용한다. IAB는 최근 다크웹에서 급성장하고 있는 범죄 서비스의 일종으로, 여러 기업들에 대한 접근 경로를 확보하고 이를 판매한다. 이 때 이들이 실제 판매하는 것들 중 하나가 크리덴셜 정보다.

아이덴티티 관련 공격의 증가
옥타(Okta)나 마이크로소프트(Microsoft)의 제품들처럼 기업 환경에서 널리 사용되는 소프트웨어의 경우, 각종 사이버 공격의 도구가 되기도 한다. 실제로 이런 서드파티 소프트웨어를 통한 사이버 공격은 자주 발생하는 편이다. 물론 옥타나 마이크로소프트가 직접 해커들에게 뚫리는 경우는 흔치 않다. 이런 회사들에서 공급하는 서드파티 소프트웨어를 사용하는 사람들의 크리덴셜이 도난당한 것이 주요 원인이 된다. 즉 아이덴티티만 얻어낼 수 있다면 마치 옥타와 마이크로소프트와 같은 대형 기업을 침해한 것과 비슷한 효과를 낼 수 있다는 것이다.

예를 들어 최근 몇 달 동안 악명을 떨쳤던 랩서스(Lapsus$)라는 랜섬웨어 그룹의 경우 훔친 크리덴셜을 사용해 계정을 탈취하고, 이런 계정들을 가지고 공격을 진행했었다. 이들은 다크웹에서 판매되고 있는 계정 크리덴셜을 자주 구매하는 것으로 알려져 있었고, 이를 통해 옥타와 MS의 제품 등 주요 서드파티 앱들의 계정을 탈취하곤 했었다. 또한 최근 알려진 바 랩서스의 경우 소스코드로 진입하게 해 주는 크리덴셜이 나올 때까지 구매 행위를 이어가는 것으로 보이기도 한다.

물론 모든 계정들은 원래 계정 탈취 공격에 취약하다. 하지만 공격자들이 자주 노리는 계정은 정해져 있다. 은행 계좌, 인터넷 쇼핑몰 계정 중 지불 카드 정보가 저장된 것들이 바로 그런 계정들이다. 공격자들은 주로 봇넷이나 머신러닝을 기반으로 한 자동화 도구들을 사용해 인터넷에 노출된 소비자용 웹사이트들을 끊임없이 공략하는데, 주로 고객들의 크리덴셜을 수집한다는 목적을 가지고 있다. 크리덴셜 스터핑 공격이나 브루트포스 공격이 가장 대표적이다.

그렇다고 공격자들이 전부 자동화 도구를 사용해 크리덴셜과 계정들을 탈취하는 건 아니다. 피싱 공격, 콜센터 사칭, 중간자 공격 등을 사용하기도 하고, 다크웹에서 좋은 물건을 찾기도 한다. 이런 경우 봇을 기가막히게 잡아내는 보안 기술을 회피하기 위해서 굳이 자동화 도구를 버리고 수동적인 방법을 사용하는 것이라고 볼 수 있다. 이런 수동적인 방법의 극한은 인간을 고용하는 것이다. 수많은 크리덴셜을 손으로 하나하나 입력하도록 아르바이트를 고용해 일을 시킴으로써 자동화 탐지 기술을 회피할 수 있게 된다. 이런 계정 탈취 시도는 2019년에서 2020년 사이에 282%나 증가하기도 했다.

아이덴티티, 왜?
공격자들이 이렇게 아이덴티티와 관련된 공격 기술을 늘리고 활발히 활용하는 데에는 이유가 있다. 탐지가 매우 어렵다는 것이다. 일반 임직원이 사용하는 것과 같은 크리덴셜로 로그인을 하니 컴퓨터 모니터 뒤에 있는 사람을 직접 물리적으로 확인하는 게 아닌 이상 알아내기가 힘들 수밖에 없다. 실제로 오늘 날 우리가 듣는 대부분의 정보 유출 사고나 시스템 침해 사건은 이 구분을 확실히 하지 못해서 발생하는 경우가 대부분이다.

우리는 사용자의 신원을 확인하기 위해 여러 인증 장치를 사용한다. 현대의 인증 장치들은 ‘당신은 누구인가?’에 대한 답을 주는 것에 초점을 맞추고 있다. 그리고 그 질문에 대한 답이 확인되면 해당 인물에 맞는 권한을 내주는 것이 바로 인증 장치들이다. 매우 정적이다.

이런 원리로 움직이는 접근 제어 장치들은 1차적 방어 장치로서는 나무랄 데 없다. 하지만 최근 옥타와 마이크로소프트가 당한 것을 생각했을 때 공격자들을 이것만으로 막는 건 힘들다는 건 명백하다. 2차 방어 시스템이 필요한 것이다. 이상적으로 봤을 때 이 2차 방어 시스템은 학습 능력을 갖추고 있으며 상황에 적응하는 기술을 갖추고 있을 필요가 있다. ‘당신은 누군가’를 확인하는 것에서 한 발 더 나아가 방금 신원을 확인한 자가 무엇을 하는지까지도 관찰할 수 있는 기능이어야 한다는 뜻이다.

보다 다이내믹한 시스템
아이덴티티 시스템을 노리기 위해 공격자들이 현재 사용하는 여러 가지 기술들은 보안과 사용성 사이를 교묘하게 파고든다. 사용자들을 보호할 수단들은 있지만 실제 환경에서 활용되기 애매한 부분들을 공격자들이 잘 이해하고 있다는 뜻이다. 그래서 쉽게 사용할 수 있는 보안 장치들이 화두가 되고 있는데, ‘쉬운 것’에만 집중하다 보면 보안의 진정한 ‘보호 기능’은 약화될 수밖에 없다. ‘허용’과 ‘거부’로 이뤄진 보안 시스템보다 더 똑똑해서, 여러 가지 맥락적 상황을 판단할 수 있는 보안 도구가 필요하다. 사용자의 행동을 보고 판단할 수 있는 그런 시스템 말이다.

현대의 인증 시스템들은 정적이다. 하지만 공격자들은 동적으로 빈틈을 파고 든다. 그러므로 우리에게도 동적인 방어 시스템이 필요하다. 마구 움직이고, 변화무쌍하게 우리를 찔러대는 사람들에 대항하여 가만히 서 있는 방패 하나에 의지한다는 것은 누가 생각해도 한계가 있는 방어법이다. 정적인 방어와 동적인 공격 사이의 격차를 해결하려면 지능과 학습 능력을 갖춘 도구가 있어야 한다. 그게 아니라면 화폐의 가치, 즉 아이덴티티가 가지고 있는 가치를 낮춰 공격자들이 관심도 갖지 않게 해야 하는데, 이런 방향으로 상황이 바뀔 가능성은 극히 낮다.

글 : 거나 피터슨(Gunnar Peterson), CISO, Forter
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)