세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
금융 회사의 네트워크, 해커들의 땅굴투성
  |  입력 : 2018-06-21 10:48
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
해커들, 악성 트래픽을 정상 트래픽 안에 감추고
공격자들 사이의 거래 및 공유 생태계, 방어자들의 그것보다 유리


[보안뉴스 문가용 기자] 금융 서비스를 제공하는 조직들이 데이터를 보호하기 위해 사용하는 보안 툴이나 전략이 오히려 사이버 범죄자들에게 도움이 된다는 연구 결과가 나왔다. 보안 업체 벡트라(Vectra)에 의하면 사이버 범죄자들은 금융사의 보안 장치들을 오히려 자신들의 ‘땅굴망’처럼 활용한다고 한다.

[이미지 = iclickart]


역설적이게도 금융권은 정부 기관을 제외하고는 가장 큰 보안 예산을 운영하는 곳이다. 뱅크오브아메리카(Bank of America)는 사이버 보안에만 매년 6억 달러를 투자하고, JP모건 체이스(JP Morgan Chase)는 5억 달러를 쓴다. 에퀴팩스(Equifax)는 작년에 큰 사고를 당하긴 했지만 그래도 매년 8천 5백만 달러를 보안을 위해서만 집행하는 곳이다.

이렇게나 많은 돈을 쓰는데, 에퀴팩스는 작년 대규모 유출 사고를 겪고도 78일이 지나서야 이를 알아차렸다. 그러는 동안 공격자는 1억 4천 5백 5십만 건의 사회보장번호와 1천 7백 6십만 개의 면허증 번호와, 2천 3십만 개의 전화번호, 1백 8십만 개의 이메일 주소에 접근할 수 있었다.

어떻게 공격자들은 그렇게 삼엄한 보안 장치들을 뚫고 그 많은 데이터를 빼낼 수 있었을까? 이런 일이 에퀴팩스에서 끝날 수 있는 일일까? 벡트라는 이 부분에 대한 고민을 바탕으로 연구와 조사를 시작했다고 한다. 먼저는 에퀴팩스에서 정확히 무슨 일이 일어났는지 파악하는 것부터 시작했다.

에퀴팩스 사건 다시 보기
에퀴팩스에서의 유출 사고는 웹 서버 익스플로잇으로부터 시작됐다. 누군가 웹 서버를 통해 에퀴팩스의 네트워크로 들어가는 데 성공한 것이다. 이 때 공격자들은 에퀴팩스의 보안 팀들이 알아챌 수 있을만한 해킹 도구를 사용하지 않았다. 대신 에퀴팩스 내부에 C&C 터널을 만들었다. 30개가 넘는 웹셸을 설치하고, 전부 다른 주소를 부여해 에퀴팩스 내부에 둥지를 틀었다. 그런 다음 해킹 툴을 개조해 에퀴팩스의 소프트웨어들을 익스플로잇 하고, 방화벽을 우회해 정보를 빼냈다.

에퀴팩스 사건이 터지고부터 6개월 동안 벡트라의 연구원들은 246개 고객사들로부터 제공 받은 메타데이터를 꼼꼼하게 분석했다. 총 4백 5십만 개의 장비들에서 수확한 데이터로, 공격자들의 최근 행동 패턴이나 공격 방식을 이해하기 위함이었다. 그러면서 에퀴팩스 사건 당시 발견됐던 공격자들의 기술이나 행동 방식들을 많은 공격자들이 답습하고 있다는 것을 발견할 수 있었다.

가장 눈에 띄던 건 HTTP, HTTPS, DNS 트래픽에 감춰진 터널을 마련하고 있다는 점이었다. 공격자들은 이 터널들을 활용해 강력한 접근 통제 장치들을 뚫어냈다. 벡트라의 수석 보안 분석가인 크리스 모랄레스(Chris Morales)는 “공격자들이 이런 방식을 사용해온 건 3~4년 전부터”라고 말한다. “즉, 에퀴팩스 사건이 일어나기도 한참 전부터라는 소리입니다. 보안 전문가들 중 그 누구도 알아차리지 못했어요.”

금융 서비스 조직 내에 땅굴 뚫기
금융 업체들은 다른 조직들에 비해 강력한 보안 장치들을 가지고 있다. 웹 애플리케이션들도 겹겹이 보호하고 있으며, 여러 번 인증을 거쳐야만 접근을 허락해주기도 한다. 이렇게 앱들에 대한 보호가 철저하게 이뤄지고 있으니, 데이터 역시 ‘감춰진 터널’을 통해서만 움직일 수 있게 된다. 조직 내에서도 특수한 정보를 교환할 때 이런 ‘감춰진 터널’을 합법적으로 사용한다.

기업용 웹 애플리케이션들 사이에 많은 트래픽이 흐르기 시작하면 공격자들이 숨기 쉬운 곳으로 변한다. 모랄레스는 “감춰진 터널은 탐지가 매우 힘들다”며 그 이유에 대해 “보통의 정상적인 프로토콜을 사용하는 연결들 속에 숨겨져 있기 때문”이라고 말한다. “이런 경우 메시지가 헤더에 엠베드 될 수도 있고, 쿠키에 포함되어 있을 수도 있습니다.”

‘감춰진 터널’ 공격은 다음과 같이 진행된다.
1) 공격자가 피싱 공격 등과 같은 수법을 동원해 최초로 침투한다.
2) 최초 침투에 성공한 공격자는 네트워크의 여러 가지 특성을 이해하기 위해 정찰을 실시한다.
3) 이 때 장비의 수, 펌웨어 버전, 시스템 구성, 아키텍처 등의 정보를 수집하며, 더 많은 장비들을 감염시키려 시도한다.
4) 그러는 와중에 공격자는 자신이 발생시키는 트래픽이 ‘정상’처럼 보이게 할 수 있는 방법을 찾는다.

이 4)번 부분에 대하여 모랄레스는 추가적인 설명을 덧붙였다. “예를 들어 네트워크 스캐너를 찾았다면 스캔을 하는 척하며 네트워크를 정찰할 수 있습니다. 그러면 트래픽이 더 정상적으로 보이겠죠. 공격자들은 자신들이 침투한 네트워크 환경 속에서 다양한 방법들을 동원해 악성 트래픽을 위장시킵니다. 그리고 이런 것이 바로 공격자들의 ‘감춰진 터널’이 되는 겁니다.”

5) 그런 후 공격자들은 감춰진 터널을 통해 데이터를 조금씩 빼돌린다.
6) 정상적으로 보이는 경로로, 조금씩 빼돌리기 때문에 보안 장치에 탐지되지 않는다.

모랄레스는 “이 과정에서 데이터를 조금씩 빼돌리는 툴을 암시장에서 구매해 사용하기도 한다”고 말한다. “공격자들에게 필요한 것들은 다크웹에 다 있다고 보시면 됩니다. 게다가 이런 툴들의 거래 및 공유가 활발하기도 하죠. 공격자에게 여러 모로 유리한 생태계가 조성되어 있습니다. 방어자들의 그것보다 더 나아보일 때가 있을 정도입니다.”

벡트라의 보고서에 의하면 금융 산업은 다른 곳에 비해 C&C의 특성이 적게 발견된다고 한다. HTTP C&C 통신 역시 보편적으로 낮은 편이다. 그러나 다른 산업에 비해 장비 당 발견되는 터널의 수는 훨씬 많다고 한다. “금융 업계가 뚫기 어려우니 해커들이 이런 방법까지 동원하는 것입니다. 공격자들은 항상 새로운 방법들을 들고 나타납니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)