세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
“보안 USB 활용한 사이버공격, 내부망 장악 노렸다”
  |  입력 : 2018-06-27 17:06
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
특정 프로그램으로 위장해 보안 USB에 악성코드 심어... 내부망에 연결된 시스템 노려
보안 USB의 인증제도 보안성 재검토, 침해사고 라이프사이클의 변화 추적 필요


[보안뉴스 김경애 기자] 국내 방위산업체가 만든 특정 형태의 보안 USB 드라이브를 활용한 사이버공격이 포착됐다. 이는 보안 USB 드라이브를 활용해 공용 인터넷에 연결되지 않는 내부망에 침투해 정보탈취 등 피해를 확산시킬 수 있어 내부망 보안관리가 다시금 이슈가 되고 있다.

▲감염 경로 화면[이미지=팔로알토 네트웍스 사이트]


익명을 요청한 보안전문가는 “최근 국방 분야 보안 솔루션 전문기업의 보안 USB를 악용한 폐쇄망 공격 악성코드가 보고됐다”며 “우선 국내 업체에서 만든 특정 프로그램으로 위장해 첫 번째 악성코드를 보내 해당 악성코드가 내부 시스템에 상주토록 한다. 여기에 특정 보안 USB가 PC에 꽂아지면 보안 USB에 또 다른 악성코드를 심는다. 해당 보안 USB는 군, 경찰, 정부 에이전시 등에 납품되는 제품”이라고 밝혔다.

이와 관련 팔로알토 네트웍스 유닛42(Palo Alto Networks Unit 42)에 따르면 보안 USB를 활용한 폐쇄망 공격은 공격자가 트로이목마 버전의 합법적인 소프트웨어로 사용자를 속여 ‘SymonLoader(사이먼로더)’라는 새로운 도구인 로더 프로그램을 설치, 손상된 시스템에서 저장장치 변경 사항을 모니터링하는 것으로 분석됐다.

특히 여기서 주목되는 점은 국내 대기업에서 만든 특정 프로그램을 위장했다는 것이다. 이와 관련 익명의 보안전문가는 “국내 대기업에서 만든 A, B, C 등 여러 프로그램으로 위장해 침투했다”고 밝혔다. 뿐만 아니라 특정 보안USB에 접근하는 악성코드도 포착됐다.

사이먼로더는 윈도우XP 및 윈도우 서버 2003 시스템만을 대상으로 노린다. 사이먼로더가 특정 유형의 보안 USB 드라이브를 감지하면 파일 시스템에 직접 접근하는 API를 사용해 알 수없는 악성파일을 로드하려고 시도하는 것으로 분석됐다.

팔로알토 측은 “사이먼로더가 대상 USB 장치의 유형을 감지하면 보안 USB에 해당하는 장치 드라이버를 통해 저장소에 접근을 시도한다”며 “그런 다음 드라이브 정보 필드에서 특정 USB 장치 유형에 해당하는 문자열을 확인하고, 다음 USB의 미리 정의된 저장위치에 액세스해 알 수없는 PE 파일을 추출한다”고 밝혔다.

현재까지 파악된 해당 공격조직은 국내 대기업의 내부망을 장악한 적이 있는 화려한 전력을 갖춘 조직으로 알려졌다. 특히, 일본과 한국을 주로 노리며, Minzen, Datper, Nioupale (Daserf) 및 HomamDownloader와 같은 다양한 사용자 지정 악성 프로그램으로 공격 캠페인을 수행한 것으로 드러났다.

보안 USB의 보안성 검토와 함께 다른 공격 여부 조사해야
이에 보안 USB를 사용하는 기업의 경우 보안성을 재검토하고, 다른 보안 USB를 타깃으로 하는 공격은 없는지 등을 철저히 조사해야 한다는 의견이 제기됐다. 뿐만 아니라 침해사고 라이프사이클 각 단계에 대한 보안점검을 철저히 해야 한다고 강조했다.

▲USB에 접근하는 악성코드 화면[이미지=이슈메이커스랩]


이와 관련 사이버전 추적 전문 연구그룹 이슈메이커스랩 관계자는 “해커들은 국내에서 사용하고 있는 보안 USB에 대해서 아주 잘 알고 있는 것으로 보인다”며 “다른 보안 USB들에 대해서도 동일한 공격은 없는지 확인해 보는 것이 필요하다”고 당부했다.

누리랩 최원혁 대표는 “보안 USB의 경우 CC인증 대상임에도 이와 같이 악의적 공격이 존재했다는 점에서 인증제도의 보안성 검토 등에 헛점이 있었던 것은 아닌지 체크해 봐야 한다”며 “형식적인 인증이 아닌 실질적인 보안대책이 될 수 있어야 한다”고 말했다.

기업의 한 보안담당자도 보안성 검토 측면에 대해 언급하면서 “망분리는 매우 효과적이고 강력한 보안기술이다. 이 때문에 공격자들은 폐쇄망 공격을 위해 다양한 기술들을 연구해 왔다”며 “해당 공격기술을 사용하면 USB를 매개로 폐쇄망에 접근해 악성코드를 유포하고 데이터를 절취할 수 있기 때문에 정책적으로 망분리 환경을 운영하고 있는 우리나라의 수많은 기관과 기업들에 심각한 위협이 될 수 있다”고 우려했다. 이어 그는 “보안USB를 비롯해 망 접점이 될 수 있는 보안제품에 유사한 공격이 증가할 수 있다. 이러한 제품들의 보안성이 적절한지 검토가 필요한 시점”이라고 강조했다.

나루씨큐리티 김혁준 대표는 “최근 공격들은 기존 범용 보안체계의 우회를 넘어 보안체계 자체를 활용한 타깃 공격이 되고 있다. 이중 USB를 활용한 공급망 공격은 이미 2008년 미국 사이버사찰설의 원인이 됐던 벅샷양키작전 및 2010년 이란 핵시설 타깃의 스턱스넷에서 이미 활용된 공격기법이다. 이는 예방을 중심으로 한 범용 방어체계의 명백한 한계를 보여주고 있다”고 지적했다.

덧붙여 김 대표는 “현 시점에서 해당 침투방법에 대한 대응체계가 없기에 공격자들이 사용한 것으로, USB 보안체계를 강화한다면 또 다른 방법을 사용할 것”이라며 “기존 예방중심의 대응에서 벗어나 침해사고 라이프사이클 전체에 대한 시야를 갖춰 그 변화를 추적하는 것이 필요하다”고 언급했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)