‘제1회 사이버공격 가상 시나리오 공모전’ 토론회 개최

대부분 DDoS 관련 시나리오...아쉬운 점

2회 공모전에서는 다양한 공격 유형 제시되길

작년 말에 진행된 방송통신위원회 주최, KISA와 보안뉴스가 주관한 '제1회 사이버공격 가상 시나리오 공모전'에서 제출된 시나리오를 바탕으로 한 ‘사이버공격 가상 시나리오 공모전 토론회’가 보안뉴스 주최로 7일 토즈 강남점에서 개최됐다.

행안부와 경찰청 관계자 및 공모전 참가자 그리고 공모전을 후원한 시만텍코리아 관계자 20여 명이 참여한 이날 토론회에서는, 공모전에 제출된 시나리오에 대한 설명과 토론이 이뤄졌다. 이날 프로그램은 공모전 수상자의 수상 시나리오 요약 발표를 진행한 후 이를 토대로 토론하는 형식으로 진행됐다.

첫 번째 발표자는 ‘자기증식 인공지능 공격코드와 DNS 터널링 기법을 이용한 코드 제어’라는 시나리오를 제출해 장려상(보안뉴스 대표상)을 수상한 넥스지 기술연구소 서트팀의 안중호 씨가 맡았다. 그는 “이번 시나리오는 인터넷 인프라의 발전과 보안상의 취약성으로 인해 발생 가능한 다양한 공격기법의 결합에 대해 다루었다”고 말했다.

그는 무선 AP를 통해 웹 사이트에 접속해, 공격자는 스스로를 은닉하고, 게시물의 업로드나 취약한 웹 사이트를 검색해 공격자가 작성한 코드를 원격에서 실행시키는 메커니즘인 RFI(Remote File Inclusion)방식에 대해 설명했다.

두 번째 발표자는, ‘신종 악성코드 확산기법을 이용한 VoIP환경에서의 텔레뱅킹 위협’이라는 제목의 시나리오를 제출해 장려상(보안뉴스 대표상)을 수상한 안철수연구소의 박영준 연구원이었다. 그가 제출한 시나리오는 감염된 시스템의 네트워크를 통해 실행파일이나 문서파일을 전송하는 과정에서 소켓관련 함수를 후킹 해, 사용자 모르게 악성코드를 삽입하는 새로운 악성코드 확산방식에 대해 기술했다. 그리고 이렇게 확산된 악성코드를 이용해 인터넷전화(VoIP)환경에서 텔레뱅킹으로 돈을 빼내는 방식이 포함돼 있다고 전했다.

그는 “계좌정보가 탈취된 상황에서 텔레뱅킹의 ARS 번호를 획득해, 은행과 사용자 사이에 프락시로 구현한 가짜 ARS에 연결해 이체 정보를 변조하고 은행에는 정상적인 확인을 보내 범죄를 은폐할 수 있다”고 설명했다.

그리고 그는 “본 문서에서 제시한 신종 악성코드 확산기법은 보안패치만으로는 해결이 불가능하기 때문에, 악성코드 확산을 예방하기 위해서는 식별되지 않은 파일을 실행하거나 열람하지 않도록하는 사용자의 주의가 요구된다”면서 “VoIP통신에 있어서 SIP(Session Initiation Protocol) 패킷에 대한 무결성 체크와 같은 프로토콜 개선이 요구되며, ARS를 이용한 텔레뱅킹 서비스에 있어서는 사용자 식별 방식 및 거래 절차를 개선해야 한다”고 주장했다.

세 번째 발표는, ‘TTL 변조를 통한 Agent 서비스거부공격 분석과 대응방안’이라는 주제로 장려상(시만텍코리아 대표상)을 수상한 서울산업대학교 산업정보시스템공학과의 보안동아리 아이기스의 멤버 김인범 씨가 맡았다.

그는 “이번에 제출한 시나리오에서는 TCP/IP 네트워크 옵션인 TTL변조를 통한 Agent공격에 대한 사이버 테러 가능성을 연구하고 그에 대한 대응방안을 제안했다”며 “이는 기존 DDoS 공격과 달리 좀비컴퓨터(Agent)가 취약한 PC를 직접 공격해 네트워크를 이용하지 못하게 하는 방법으로, 이를 사이버테러에 이용한다면 큰 혼란을 야기할 수 있다”고 말했다.

따라서 그는 “이런 기법은 레지스트리를 변조하는 방식을 이용하고 있기 때문에 관리자는 사용권한에 대한 관리와 레지스트리 관리를 철저히 해야 하고, 사용자는 PC보안을 철저히 해야 이런 위협에서 안전할 수 있다”고 주장했다.

마지막 발표는, ‘P2P BOT을 이용한 집중 서비스 거부 공격’이라는 시나리오로 우수상(KISA 원장상)을 수상한 단국대학교 레드빈즈의 김진욱 씨가 나섰다.

그는 이번 시나리오에서 새로운 유형의 DDOS공격을 개발하고, 공격자의 신원보장 및 공격코드의 보호를 위한 공격명령 전달 체계의 변화를 시도했다고 밝혔다. CDOS라 불리는 새로운 유형의 공격은, 기존의 다수의 좀비PC가 피해 서버를 공격하는 것이 아니라, 소수의 좀비PC를 이용해 피해 서버에서 다수의 트래픽을 유발하는 방법이다. 공격명령 전달 체계의 변화는, 기존 DDoS 좀비PC가 C&C서버와의 통신으로 진행 된 것과 달리 좀비PC끼리 IRC와 같은 P2P를 이용해 서로 채널을 개설하고 서로 채널에 참가하면서 통신을 하는 방식이다.

그는 “채널은 일정 지정된 구간에서 랜덤으로 생성되며 채널에 참여하는 데는 몇 십초에 불과하다”면서 “이런 명령전달 체계에서는 공격자도 하나의 채널로 참여하기 때문에 경찰에 의한 공격자 신원 파악 및 추적을 따돌릴 수 있다”고 설명했다.

이번 토론회에서는 향후 나타날 사이버 공격에 대한 의견이 이뤄졌으나, 참석자 대부분은 시나리오가 대부분 기술적인 부분에 치우쳐 있고 DDoS 공격을 바탕으로 하고 있다는데 아쉬움을 나타내기도 했다.

토론회에 참석한 한 관계자는 “미래에 나타날 공격이 DDoS 공격만은 아닐 것이라고 생각하는데 7.7 DDoS 대란의 영향 탓인지 대부분 DDoS 공격과 관련된 내용이어서 안타까웠다”며 “다음 시나리오 공모전에서는 기술적인 부분에 집착하지 않은 다양한 유형의 공격 시나리오가 발표되면 좋겠다”고 의견을 밝혔다.

[오병민 기자(boan4@boannews.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다