Home > 전체기사 > 외신
사이버 공격자들, 사이퍼 스턴팅이라는 기술로 악성 트래픽 감춰
  |  입력 : 2019-05-16 15:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
SSL과 TLS 트래픽의 디지털 지문을 조작하고 뻥튀기 한 공격자들
자신들이 생성한 트래픽을 정상적으로 보이게 하기 위해...효과적인 우회 기술


[보안뉴스 문가용 기자] 사이버 공격자들이 ‘사이퍼 스턴팅(cipher stunting)’이라는 기술을 사용해 암호화된 트래픽을 조작함으로써 탐지 장치들을 피해간다고 보안 업체 아카마이(Akamai)가 발표했다.

[이미지 = iclickart]


아카마이는 “사이퍼 스턴팅은 SSL과 TLS로 암호화 된 통신의 디지털 지문을 조작하는 것”이라고 설명하며 “최초 핸드셰이크 요청인 ‘클라이언트 헬로(Client Hello)’ 패킷의 변종 수가 갑자기 폭발적으로 늘어나고 있는 걸 한 고객사에서 발견했다”고 한다. “작년 8월까지 많아야 수천 건이었던 것이 올해 2월에 갑자기 수십 억 건으로 늘어났습니다. 한 번도 본 적이 없는 양이었습니다.”

아카마이의 위협 분석 책임자인 모시 지오니(Moshe Zioni)는 “최초 핸드셰이크 요청 패킷의 변종이 발생한다는 것 자체는 비정상적인 게 아니”라며, “정상적인 소프트웨어의 기능으로도 나타날 수 있는 현상”이라고 말한다. “그러나 수십억이 넘어가는 그 수는 아무리 생각해도 문제가 있다는 뜻으로 해석할 수밖에 없었습니다.”

지오니는 이런 현상을 일으키고 있는 것이 무엇일까 찾아 나섰다. 그 결과 자바 기반의 툴을 하나 찾아낼 수 있었다. “자바 툴 하나가 대부분의 변종을 만들어내고 있었습니다. 그렇다는 건 이런 현상이 누군가의 의도로 탄생한 것이라는 뜻이 되죠. 정상적인 것으로 해석될 수 있는 트래픽이 급증한다는 건, 누군가 그 뒤에 숨으려고 하는 가능성이 높고요. 조사를 더 진행하면서 이것이 굉장히 효과적인 탐지 우회 기법이라는 걸 알 수 있었습니다.”

실제로 클라이언트 헬로 패킷의 수를 급증시키는 건 최근 공격자들이 새롭게 사용하기 시작한 눈속임 기술 중 하나다. “현재 SSL과 TLS의 인기는 굉장히 높은 편입니다. 암호화 트래픽이라고 한다면 대부분 SSL과 TLS를 사용하는 걸 말하는 거라고 볼 수 있습니다. 그렇기 때문에 SSL과 TLS와 관련된 디지털 지문 조작 공격이 인기를 모으고 있는 겁니다.”

그러면서 지오니는 “암호화 된 트래픽은 내용을 들여다볼 수 없기 때문에 몇 년 전까지만 하더라도 보안 담당자들에게 큰 골칫거리였다”고 설명을 이어갔다. “공격자들이 이 보이지 않는 트래픽 안에 자신들의 공격 무기를 숨겨서 유통시켰기 때문입니다. 그래서 보안 전문가들은 트래픽의 내용이 아니라 디지털 지문을 조사해 트래픽을 검사하는 방법을 개발했습니다. 이에 공격자들이 디지털 지문을 조작하는 방법을 들고 나온 겁니다.”

그렇다면 디지털 지문을 구성하는 클라이언트 헬로 패킷의 특성이란 무엇일까? “TLS 버전, 세션 ID, 암호화 관련 옵션, 확장자, 압축 방법과 관련된 정보입니다. TLS 연결이 성립되는 동안 이러한 정보를 확인하고 매칭시킴으로써 공격자와 정상 사용자를 구분하는 것이 디지털 지문 작업의 목적인 것이죠.”

보안 업체 셰이프 시큐리티(Shape Security)의 CTO인 슈만 고스마줌더(Shuman Ghosemajumder)는 “디지털 지문 기법이 가진 한계가 드러났다”고 짚는다. “결국 쫓고 쫓기는 보안 담당자와 해커의 관계가 이 부분에서도 계속 진행되고 있다는 걸 알 수 있습니다. 이제 차례가 다시 보안 업계로 넘어온 상태죠. 이 때 디지털 지문의 한계를 깨닫는 것부터 시작해야 합니다.”

클라이언트와 서버 간 최초 핸드셰이크에서 파생된 특성들을 사용해 암호화 된 통신에 디지털 지문을 부여하는 건 최소 10년은 넘게 사용되어 온 기술이다. 2009년 보안 업체 퀄리스(Qualys)의 전문가 이반 리스틱(Ivan Ristic)은 SSL 특성들을 사용해 클라이언트와 브라우저에 디지털 지문을 부여하는 방법에 대해 발표한 바 있다. 또 다른 보안 전문가 리 브로더스톤(Lee Brotherston)은 2015년 TLS 디지털 지문을 사용해 위협을 효과적으로 탐지하는 법을 공개하기도 했었다.

사이퍼 스턴팅을 하는 공격자들의 최종 목표는 단일 컴퓨터나 단일 네트워크로부터 발생하는 트래픽을 수만 개 내지는 수천 만 개의 사용자 장비로 보이도록 둔갑시키는 것이다. “그렇게 하기 위해 공격자들은 사이퍼 패킷의 각종 정보들을 무작위로 가져다 쓰면서 디지털 지문의 양을 늘리고 내용을 바꾸기 시작했습니다. 그러면서 클라이언트 헬로 패킷의 디지털 지문 수가 수백억 개로 증가하기 시작한 것이죠. 그게 올해 2월부터의 일입니다”

이렇게 무작위 지문이 늘어나자 방어자들은 트래픽을 분석하는 데 애로사항을 맞닥트리기 시작했다. 정확히 범인들이 노리던 것이다. “이런 상황에서 방어자가 특정 멀웨어를 분석하는 건 어려워질 수 있습니다. 하지만 TLS 암호화 요청들 중에 행동 패턴이 이상한 것을 탐지하는 건 여전히 가능합니다.” 지오니의 설명이다.

“결국 공격자들은 탐지를 피하고 원하는 바를 이루기 위해 계속해서 새로운 수단을 강구할 것입니다. 그런 방법 중 하나를 막았다고 해서 안심할 수 없는 게 보안이기도 하죠. 암호화 트래픽과 관련된 해커들과의 싸움에 있어서 보안이 궁극적으로 확보해야 하는 건 인터넷 트래픽에 대한 깊은 가시성입니다. 이 부분을 해결할 수 있다면 이런 식의 트래픽 감추기 기술이 상당 부분 줄어들 것입니다.”

3줄 요약
1. 암호화 트래픽을 검사하기 위한 디지털 지문, 공격자들이 대량으로 늘리기 시작함.
2. 그 이유는 검사해야 할 디지털 지문을 크게 늘림으로써 악성 트래픽을 감출 수 있기 때문.
3. 새로운 방법은 계속해서 나올 것이라, 보안이 궁극적으로 추구해야 할 건 트래픽의 가시성.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 랜섬웨어 유포가 다시 기승을 부리고 있습니다. 여러분이 근무하거나 경영하는 회사 업무망이 랜섬웨어에 감염됐다면 어떤 선택을 하시겠습니까?
회사 업무에 큰 지장이 있으니 돈을 주고서라도 파일을 복호화할 것
불편함과 손실을 감수하더라도 자체적으로 해결하고자 노력할 것
      

보쉬시큐리티시스템즈
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

Videotec
PTZ 카메라

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

포소드
CCTV / 통합관제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

쿠도커뮤니케이션
스마트 관제 솔루션

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

테크어헤드
얼굴인식 소프트웨어

비전정보통신
IP카메라 / VMS / 폴

씨오피코리아
CCTV 영상 전송장비

트루엔
IP 카메라

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

두현
DVR / CCTV / IP

KPN
안티버그 카메라

에스카
CCTV / 영상개선

디케이솔루션
메트릭스 / 망전송시스템

인사이트테크놀러지
방폭카메라

구네보코리아
보안게이트

티에스아이솔루션
출입 통제 솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

사라다
지능형 객체 인식 시스템

아이큐스
지능형 CCTV

퍼시픽솔루션
IP 카메라 / DVR

유시스
CCTV 장애관리 POE

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

파이브지티
얼굴인식 시스템

케이티앤씨
CCTV / 모듈 / 도어락

지와이네트웍스
CCTV 영상분석

지에스티엔지니어링
게이트 / 스피드게이트

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

다원테크
CCTV / POLE / 브라켓

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

수퍼락
출입통제 시스템

유진시스템코리아
팬틸트 / 하우징

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스 시스템즈
스피드 돔 카메라

에프에스네트웍스
스피드 돔 카메라

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

창우
폴대

대원전광
렌즈

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향