세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사 > 외신
[주말판] 공격자들을 화나게 만드는 몇 가지 방법들
  |  입력 : 2018-12-29 15:23
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
해커를 해킹하는 건 불법일 때 많아...화를 돋구는 건 괜찮아
해커 입장에서 가장 까다로운 조직은 기본을 잘 지키는 곳
정보와 첩보 공유만 잘 해도 해커들의 설 곳 줄어들 수 있어


[보안뉴스 문가용 기자] 자신의 기업이나 시스템을 노리는 공격자를 네트워크 상에서 발견했다면 어떤 기분이 들까? 화가 나고, 되갚아 주고 싶을 것이다. 그러나 보복 해킹이 대부분의 상황에서 금지된 이 때, 공격을 그대로 되갚아 주는 건 오히려 손해가 된다. 우리가 할 수 있는 최선은 그들이 제일 싫어하는 걸 함으로써 똑같이 화나게 만들고, 더 나아가 사기를 꺾는 것이다.

[이미지 = iclickart]


기업 법률 상담 및 자문을 전문으로 하는 유나이티드렉스(UnitedLex)의 CPO이자 부회장인 제이슨 스트레이트(Jason Straight)는 “해킹 공격에 대해 잘못 대응하면 컴퓨터 사기 및 남용방지법을 위반할 수 있다”고 경고한다. “물론 보복 해킹이나 그와 유사한 행위는 꽤나 달콤한 유혹입니다. 많은 조직들이 ‘이 정도는 괜찮지 않을까’하면서 살짝 살짝 시도하기도 하는데요, 별로 권장할만한 일은 아닙니다.”

이어지는 그의 발언은 충격적이다. “네, 정말로 기업들은 보복 해킹을 하고 있습니다. 일부러 그렇게 하는 기업들도 있고, 능동적인 보안 조치와 헷갈려서 그렇게 하는 기업들도 있어요. 어찌됐든 법을 위반하고 있는 겁니다. 아직 법원이 이러한 행위에 대해서 본격적인 조사를 하지 않아서 다행이지, 마음먹고 나서기 시작하면 꽤나 많은 기업들이 골치 아프게 될 겁니다.”

공공 상업 서비스 조합(Public Commercial Services Union, PCSU)의 CISO인 진 프레드릭슨(Gene Fredriksen)은 “보복 해킹을 하는 기업들의 마음을 이해한다”고 말한다. “저 역시 너무 화가 나서 똑같이 공격하고 싶을 때가 있어요. 하지만 저까지 똑같은 불법 행위자가 될 수는 없죠. 다신 발 못 붙이게 차단하고, IP 주소를 블랙리스트에 걸고, 덫을 설치하는 것 정도가 최선입니다.”

그러면서 프레드릭슨은 “핵심은 그들을 성가시고 화가 나게 만들어 냉정하게 공격을 성공시키지 못하도록 하는 것”이라고 설명한다. 그래서 이번 주 본지에서는 공격자들의 화를 돋구는 요소가 무엇인지 여러 전문가들을 통해 알아봤다.

보안 101
보안 업체 사일런스(Cylance)의 보안 엔지니어인 로버트 포트블리에(Robert Portvliet)는 “침투 테스트를 진행할 때, 그러니까 해커의 입장에서 공격을 실시할 때 가장 짜증이 나는 건 기업들이 꼼꼼하고 충실하게 보안 실천 사항들을 잘 지켜서 공격의 경로가 굉장히 적을 때였다”고 회상한다.

그러면서 포트블리에는 “보안 실천 사항들이란 작고 간단한 일들로 구성되어 있다”고 말한다. “예를 들어 파워셸 실행을 못하게 막아두면 공격자들이 새로운 공격 패키지를 설치할 수 없게 됩니다. 권한을 필요한 만큼만 허용하면 누군가 실수를 하더라도 중요한 정보가 새나갈 확률이 줄어듭니다. 크리덴셜의 이동을 막거나 보호해주는 아키텍처를 사용하면 LLMNR 포이즈닝과 같은 공격 기법은 통하지 않게 됩니다.”

가끔씩 뚫을 수 있다는 연구 결과가 발표되곤 하지만, 망분리는 여전히 강력한 네트워크 방어법이다. “닿을 수 없는 건 공격할 수 없거든요. 만약 조직 내 두 부서가 전혀 업무적으로 소통하지 않는다면, 둘의 망을 완전히 분리해두는 게 좋습니다. 쓸데없이 많이 연결된 네트워크 망은 공격자들에게 있어 보너스가 주렁주렁 열린 나무와 같지요. 그런 보상들이 공격자들을 유혹하는 것이고요.”

포트블리에는 “방어를 하는 기업들이 공격자의 입장이 되어보는 것은 반드시 거쳐야 한다”고 말한다. “공격자라면 어디서부터 어떻게 침투해올 것인가 가정하고, 실제로 바깥에서부터 침투를 시도해보고, 직원 누군가에게 피싱 메일을 보내는 등의 실험을 진행해야 합니다. 침해가 되었다는 가정을 해놓고, 그 위험 요소들을 몰아내고 네트워크와 시스템을 복구하는 방법도 미리 알아두어야 하고요.”

포트블리에는 “침투 테스터로서, 기본을 탄탄하게 지키는 조직이 가장 뚫기 힘들었다”고 강조한다. “보안에 돈을 많이 쓰면서도 기본을 하지 않아 쉽게 뚫리는 곳이 태반인데요, 예산을 그리 높이 배정할 여유가 없더라도 여러 보안 전문가들이 말하는 기본을 잘 지키는 기업들은 ‘단단하다’는 느낌을 주더군요.”

허니팟
프레드릭슨은 “허니팟이 한 때는 큰 인기를 끌었다”고 말한다. “하지만 지금은 꽤나 인기가 떨어진 상태죠. 실제 조직들의 시스템처럼 보이는 허니팟들을 여기 저기 설치해두고, 그걸 이따금씩 확인하는 건 굉장히 재미있는 일입니다. 마치 불에 뛰어들고 있는 나방들을 보는 것 같다고나 할까요. 반대로 애써 뚫어놨더니 허상에 불과했다는 걸 깨닫게 되는 공격자들에게는 이만한 짜증거리도 없고요.”

또한 허니팟은, 불나방처럼 달려드는 해커들의 정체와 공격 방법, 공격 동기 등을 파악할 수 있게 해준다. “예를 들어 공격자들이 느리고 눈에 안 띄는 공격을 시도한다거나 6개월 동안 숨어서 정보를 빼돌리려고 한다면, 방어자들도 그에 걸맞은 모니터링 및 추적 전략을 짜서 실행해야 합니다. 이럴 때 허니팟을 사용하면 공격자들에 대해 보다 많은 정보를 얻어낼 수 있게 됩니다.”

이렇게 좋은 허니팟인데 왜 인기가 떨어지는 걸까? 사용이 간편하지만은 않기 때문이다. 구축에도 시간이 걸리고, 모니터링도 꾸준히 해줘야 한다. 자원이 투자되어야 한다는 건데, 허니팟에 쏟을 자원을 모든 기업들이 넉넉히 가지고 있는 건 아니다. 포트블리에는 “그래서 그런지 보안 전문 기업이 아니라면 허니팟을 활용하는 사용자 기업은 찾기 힘들다”고 말한다. “아직까지 대중성을 가진 방어책이라고 말할 수는 없습니다.”

그러나 유나이티드렉스의 스트레이트는 “허니팟을 사용하기 전에 알아두어야 할 게 있다”고 말한다. “허니팟을 짜증나는 덫이 아니라 재미있는 공략거리라고 생각하는 해커들도 있습니다. 허니팟을 설치해서 여태까지 없었던 공격이나 상황이 발생할 수도 있다는 걸 염두에 두어야 합니다.”

카나리아
카나리아도 허니팟과 비슷한 전략인데, “허니팟보다 들어가는 자원이 적다”는 특징을 가지고 있다고 스트레이트는 설명한다. “허니팟은 공격자들이 실제로 들어와서 해킹을 하고 뭔가를 가져가라고 만들어놓은 공간입니다. 카나리아는 ‘누군가 당신의 네트워크를 이리 저리 찔러보고 있다’는 경고를 해주는 장치입니다.”

카나리아의 경우, 가짜 크리덴셜을 모아놓은 데이터베이스 등 뭔가 먹음직스런 공격 대상을 하나 설정하고, 네트워크에서 일반 직원들이라면 드나들지 않을 공간에 넣어두는 것으로 준비는 끝난다. 어떤 계정에서 이것에 접근을 하면, 조사를 시작하면 된다. “허니팟과는 달라요. 공격자를 추적하는 등의 능동적인 액션을 취하는 게 아니거든요. 보다 수동적이죠. 사실 그렇기 때문에 어지간한 해커는 자신이 카나리아를 쳤다는 사실을 깨닫지 못할 때가 많아요.”

스트레이트는 “허니팟보다 카나리아는 리스크가 적다”며 “대신 공격자에 대한 심도 있는 분석이나 조사는 불가능하다”고 말한다. “우리 네트워크에 누군가 불법적으로 접근했다는 것만 알고 싶다, 그것만 있어도 충분하다는 경우라면 카나리아가 알맞습니다.”

기만술(deception)
기만술의 발전이 오픈소스 세계에서나 상업용 툴 제작자들 사이에서나 눈에 띄고 있다. 최근에 나오는 기만술은 가짜 장비나 워크스테이션을 동원하는 걸 넘어 가짜 공유 폴더 및 파일과 엠베디드 시스템들까지도 아우르기 시작했다. 즉 흉내 낼 수 있는 것들이 점점 많아지고 있는 것이다.

게다가 허니팟 기술과의 통합도 이뤄지고 있는 분위기다. 덫과 기만의 만남이라니, 공격자 입장에서는 참 안타까운 상황이다. 그래서 허니팟이 흉내 내는 여러 종류의 시스템들을 기만술에서도 활용할 수 있게 된다. 공격자 입장에서 찔러봄직한 것들, 그러나 아무런 열매도 얻을 수 없는 것들이 늘어난다는 소리다. 이걸 누군가 건드린다면, 자동으로 악성 공격자가 된다. 정상적인 사용자라면 가짜 시스템과 파일을 건드릴 이유가 없기 때문이다.

“건드리면 알람이 울려대니, 공격자들로서는 난감한 상황일 겁니다. 물론 그렇다고 공격자들이 이 난관을 건너지 못할 것이라는 뜻은 아닙니다. 다만 더 힘들게 긴 시간 작업해야 한다는 뜻이죠. 게다가 더 조심해야 하는 건 물론이고요. 이런 상황이라면 제 실력을 발휘하지 못하고 실수를 저지를 가능성이 높아집니다.”

그러나 포트블리에는 “아직까지 침투 테스트를 진행하면서 기만술을 맞닥트린 적이 없다”고 말한다. “허니팟, 허니토큰, 가짜 워크스테이션을 사용하는 기업들은 심심찮게 있는데, 기만술 전문 툴을 사용하는 곳은 보지 못했어요.” 그러면서 포트블리에는 “기만술 도구를 사용하고 싶다면 시스템과 환경의 보안을 더 강화하고 관련 정책도 점검해야 한다”고 설명했다. “기만술은 케이크 위에 올리는 크림 같은 겁니다. 그 자체로 카스테라가 아니라는 걸 기억해야 합니다.”

공유 전략
기업들끼리 첩보와 방어법을 공유하기 시작하면 공격자들은 위태로운 위치에 처하게 된다고 프레드릭슨은 설명한다. “예를 들어 어떤 기업의 시스템 포트가 열려 있다는 걸 누군가 알게 된다면, 그걸 알려줘서 공격자의 통로 하나를 줄이는 데 도움을 줄 수 있겠죠.” 이런 일이 기업들 간에 자주 발생할수록 공격자들의 설 곳은 줄어든다.

“안타까운 건 이런 식으로 서로에게 도움이 되는 정보를 공유하는 건 해커들 사이에서 더 활발하다는 겁니다. 일반 기업들은 다른 기업의 포트를 살펴보지도 않고, 열려 있는 걸 알게 된다고 해도 그러려니 합니다. 첩보를 공유하는 걸 업으로 삼는 기업이나 담당자도 꼭 필요한 만큼, 약속된 만큼만 공유하죠. 공유가 자리 잡을수록 보안에 좋다는 건 다 아는 사실입니다만, 아무도 하지 않는 것이기도 합니다.”

그렇기 때문에 서로 대화를 시작하는 게 공격자를 괴롭히는 일이 될 수 있다. “공격자들은 우리가 대화를 하지 않을 거라는 걸 알고 있고 기대하고 있어요. 이를 깨고 대화를 시작한다면, 그래서 공격자들의 행위가 더 어려워진다면, 공격자들은 이전보다 더 많은 노력을 기울이고 자원을 투자해야 할 겁니다.”

아슬아슬한 줄타기
스트레이트는 “기업이라면 마땅히 합법적인 테두리 안에서 활동해야 한다”는 입장이지만, “그래도 합법과 불법의 경계에 있는 보안 관련 행위들이 존재한다”고 팁을 준다. “회색 지대에 걸치는 보안 강화 방법들이 있어요. 딱히 불법은 아니지만, 그렇다고 모두가 긍정할만한 것도 아닌 것들이죠.”

스트레이트는 예를 하나 든다. “한 번은 해커가 침투를 하는 바람에 고생을 하고 있던 회사를 지원한 적이 있어요. 한 번 침투만이 아니라 꾸준한 침해가 일어나고 있었죠. 그런데 침해된 서버의 파일들을 조사하는 과정에서 한 이메일 주소와 비밀번호를 발견했습니다. 추적을 해보니 공격자가 회사의 정보를 그 이메일 주소로 보내고 있더라고요. 그 회사는 이 이메일에 로그인을 해서 공격자가 훔친 파일들을 찾아낼 수 있었습니다.”

그런데 이건 미국의 컴퓨터 사기 및 남용방지법에 의하면 불법 행위다. “이러한 수사 과정을 있는 그대로 보고했습니다. 그렇지만 법정이나 사법기관은 별 문제 삼지 않더라고요. 오히려 그 계정 주인을 추적해 재판을 했죠. 이게 모든 나라, 모든 상황에서 통용될 수는 없겠지만, 아슬아슬하게 불법을 저지르지 않으면서 효과적으로 안전을 꾀할 수 있는 방법이 있긴 합니다.”

3줄 요약
1. 해커가 우리를 화나게 하지만, 우리는 그들을 해킹할 수 없다. 불법이기 때문.
2. 대신 해커를 화나게 하는 건 가능하다. 즉, 공격에 투자되는 자원을 늘리고, 성공률을 낮출 수 있다는 것.
3. 기본기 잘 지키는 기업 제일 까다롭고, 정보 공유를 통해 해커를 무력화시킬 수 있음.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술