Home > 전체기사
최초 침투 후 횡적으로 움직이는 데 필요한 시간, 단 19분
  |  입력 : 2019-02-20 09:12
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
최초 침투 이후 횡적으로 움직이는 건 까다로워...전체 평균 4시간 넘어
2위는 북한...2시간 20분 걸려...러시아는 들키는 걸 개의치 않기 때문에 가능


[보안뉴스 문가용 기자] 피해자 조직의 네트워크에 최초로 침투에 성공한 순간부터 네트워크 내로 퍼지기까지 걸리는 시간은 얼마일까? 러시아 정부의 지원을 받는 해커의 경우 단 19분이다. 이는 그 어떤 해커들보다 빠른 시간으로, 러시아의 해킹 부대가 얼마나 뛰어난 실력을 갖추고 있는지를 나타내는 지표 중 하나다.

[이미지 = iclickart]


이를 조사하고 발표한 건 보안 업체 크라우드스트라이크(CrowdStrike)로, 2018년 한 해 동안 크라우드스트라이크가 조사한 3만 여 건의 사이버 사건들을 분석한 결과다. 러시아가 압도적인 1위를 기록한 가운데 2위를 기록한 건 북한이다. 북한의 해커들이 최초 침투 후 확산에 걸리는 시간은 2시간 20분이라고 한다. 그 다음은 4시간이 걸리는 중국, 그 다음은 5시간 9분이 걸리는 이란이라고 한다.

크라우드스트라이크의 CTO인 드미트리 알페로비치(Dmitri Alperovitch)는 “결국 보안 전문가들이 은연중에 생각해왔던 것들이 확인됐다”며 “러시아가 횡적으로 움직이는 데에는 가장 빠르다는 것”이라고 설명했다. “다만 다른 나라 해커들과 비교했을 때 얼마나 더 빠른지는 아무도 몰랐죠. 이렇게까지나 압도적으로 빠를 줄은 상상도 못했습니다.”

사이버 범죄 및 공격을 하는 사람들은 대체적으로 횡적으로 움직이는 데 어려움을 느낀다. 국가 지원 해커가 아닌 일반 사이버 범죄자들의 경우 이번 조사에서 횡적으로 움직이는 데 걸리는 시간이 가장 느린 것으로 나타났다. 평균 9시간 42분이 걸린 것이다. 최초 침투로부터 확산하기까지 걸리는 전체 평균 시간은 4시간 30분이었다.

반면 2018년 동안 가장 많은 사이버전 활동을 벌인 건 중국이었다. 그럼에도 러시아가 가장 빠르게 횡적으로 움직이는 데 성공했다는 건, 러시아 공격자들의 수준이 최근 급성장했다는 걸 알 수 있게 해주는 대목이다. 러시아 해커들이라고 해서 이렇게까지 압도적으로 수준이 높았던 것은 아니다.

“러시아가 전략을 수정하면서 이런 방향으로 발전한 것으로 보입니다. 현재 러시아는 빠르게 치고 들어가 파괴한다는 노선을 잡고 사이버 공격을 실시하고 있습니다. 자신들의 정체가 식별이 되든 말든 상관이 없다는 태도죠.” 보안 업체 쓰레트스톱(ThreatStop)의 연구 책임자인 존 밤베넥(John Bambenek)의 설명이다. “사이버 공격을 하는 자들로서는 비정상적으로 움직인다고 봐도 될 정도입니다.”

실제로 최근 들어 러시아의 공격은 식별하는 게 훨씬 쉬워졌다. 빠르게 움직이고, 그 과정에서 실수의 확률이 높아졌기 때문이다. 밤베넥은 “조심하자는 기조가 아예 사라진 느낌이 들 정도입니다. 가서 부수자. 딱 이것만 머릿속에 있는 것 같아요. 그렇다고 해서 공격 효과가 없는 것도 아니고요. 게다가 미국과 러시아 간 범죄자 인도 협약을 맺고 있지 않아서 들켜도 상관이 없습니다.”

보안 업체 파이어아이(FireEye)의 CEO인 케빈 만디아(Kevin Mandia)는 “러시아가 이렇게까지 뻔뻔하게 움직이기 시작한 건 2014년 가을부터”라고 말한다. “그 즈음부터 우리(파이어아이)가 대응을 해도 공격을 중단하거나 도망가지 않더군요. 그 전까지는 수사가 시작되면 흔적을 감추고 사라졌거든요. 이제는 들키거나 말거나 할 걸 한다는 식으로 공격을 감행하고 있습니다.”

이런 식의 태도 변화는 다른 사이버 범죄자들에게서도 눈에 띄기 시작했다고 전문가들은 말한다. 보안 업체 오버왓치(OverWatch)의 부회장인 제니퍼 에이어스(Jennifer Ayers)는 “사이버 공격자들이 전체적으로 침투를 빠르게 성공시키고 있으며, 표적으로 삼은 네트워크에 거침없이 들어가고 있다”고 설명한다.

중국
그렇다면 중국은 왕성한 활동에도 불구하고 왜 비교적 느리게 움직이는 걸까? “중국 해커들은 최초 침투에 성공하고 나서는 한 발 뒤로 물러섭니다. 그런 다음 데이터를 더 모으고, 다음 공격 과정에 대한 전략을 세웁니다. 그러면서 예를 들면 특정 기계를 공략하기 위한 커널 모듈을 개발하거나 하죠. 그러니 시간이 걸릴 수밖에 없습니다.” 밤베넥의 설명이다.

중국은 원래 국가 경제 개발의 한 수단으로 해킹 공격을 감행해왔다. 그러나 2015년 오바마 전 대통령과 시진핑 주석이 사이버 공격을 서로 하지 말자는 협약을 맺은 후부터 한 동안 조용했다. 그러다가 작년부터 사이버 공격을 다시 증가시키기 시작했다. 알페로비치는 “중국이 다시 돌아왔다”며, “여러 산업군에서 중국의 정찰 행위가 눈에 띄기 시작했다”고 경고했다. “2018년 한 해 동안 사이버전의 주인공은 단연 중국이었습니다.”

2019년 현재까지도 중국은 가장 왕성한 활동을 하고 있는 사이버전 국가다. 파이어아이의 수석 사이버 정찰 분석가인 벤자민 리드(Benjamin Read)는 “하지만 효율성에 있어서는 러시아가 뛰어난 게 맞다”고 말한다. “사실 기술력에 있어서 러시아 해커들이 가장 뛰어난 게 사실입니다. 기술력이 좋으니 효율이 높을 수밖에 없죠. 현재 이 러시아 해커들은 유럽의 여러 조직들을 노리고 있습니다. 그리고 2020년 대선을 위한 움직임도 마련하고 있겠죠.”

방어는 어떻게 할까?
공격자가 평균 6개월 동안 네트워크에 머물러 공격을 해도 잡기가 힘든 판에, 이렇게 빨리 치고 들어오는 공격을 어떻게 막을 수 있을까? 크라우드스트라이크는 “방어자들은 제일 먼저 탐지, 수사, 수정, 복구에 걸리는 시간을 재보고, 그 시간을 공격자들의 평균 횡적 움직임 시간과 비교해보는 작업을 해야 한다”고 권장한다. 현재 능력을 알아야 한다는 것이다.

에이어스는 “보안 툴과 프로세스를 공격자들의 시간에 맞춰야 한다”고 말한다. “공격자들이 빠듯한 시간 안에 움직인다는 걸 고려해서 규칙들도 새롭게 설정해야 합니다. 특정 위협이나 징조가 발견됐을 때 어떤 식으로 움직일 것인지 미리 결정해두라는 겁니다. 예를 들어 멀웨어의 일부인 해시가 발견됐을 때는 즉각 차단하라는 식으로 말이죠. 또한 어떤 위협에 대해서 사건 대응을 시작해야 하는지, 외부 전문가를 초빙해야 하는지도 결정해두면 빠르게 움직이는 데 도움이 됩니다.”

밤베넥도 “결국 대응을 빨리하는 것이 러시아 해커들과 같이 기민한 움직임을 보이는 자들에 대한 대처법”이라고 말한다.

한편 크라우드스트라이크는 중국, 이란, 러시아의 해커들이 통신사들을 주로 공략한다는 걸 파악해내기도 했다. “인터넷의 제어 장치에 관심을 보이고 있는 것입니다. 이전에도 전쟁이 발발하면 전보망, 레이더망, 무선 주파수 등을 장악하려고 했죠. 그것과 같은 이치입니다. 지금 사이버 공간에서는 전쟁이 일어나고 있습니다.”

3줄 요약
1. 최초 침투 이후 네트워크 내 다른 곳으로 움직이는 건 해커들에게 어려운 일.
2. 그런데 러시아 해커들은 평균 19분 안에 이 일을 해냄. 들키는 걸 상관하지 않는 듯한 모습. 전체 평균 시간은 4시간 30분.
3. 가장 왕성한 활동력을 보여주는 건 중국의 해커. 굉장히 조심스럽게 움직임.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 랜섬웨어 유포가 다시 기승을 부리고 있습니다. 여러분이 근무하거나 경영하는 회사 업무망이 랜섬웨어에 감염됐다면 어떤 선택을 하시겠습니까?
회사 업무에 큰 지장이 있으니 돈을 주고서라도 파일을 복호화할 것
불편함과 손실을 감수하더라도 자체적으로 해결하고자 노력할 것
      

보쉬시큐리티시스템즈
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

Videotec
PTZ 카메라

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

포소드
CCTV / 통합관제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

쿠도커뮤니케이션
스마트 관제 솔루션

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

테크어헤드
얼굴인식 소프트웨어

비전정보통신
IP카메라 / VMS / 폴

씨오피코리아
CCTV 영상 전송장비

트루엔
IP 카메라

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

두현
DVR / CCTV / IP

KPN
안티버그 카메라

에스카
CCTV / 영상개선

디케이솔루션
메트릭스 / 망전송시스템

인사이트테크놀러지
방폭카메라

구네보코리아
보안게이트

티에스아이솔루션
출입 통제 솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

사라다
지능형 객체 인식 시스템

아이큐스
지능형 CCTV

퍼시픽솔루션
IP 카메라 / DVR

유시스
CCTV 장애관리 POE

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

파이브지티
얼굴인식 시스템

케이티앤씨
CCTV / 모듈 / 도어락

지와이네트웍스
CCTV 영상분석

지에스티엔지니어링
게이트 / 스피드게이트

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

다원테크
CCTV / POLE / 브라켓

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

수퍼락
출입통제 시스템

유진시스템코리아
팬틸트 / 하우징

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스 시스템즈
스피드 돔 카메라

에프에스네트웍스
스피드 돔 카메라

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

창우
폴대

대원전광
렌즈

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향