Home > 전체기사
MS, 대규모 이모텟 캠페인에 대항한 사례 상세하게 공개
  |  입력 : 2020-04-07 17:08
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
자가복제하는 이모텟 버전에 대한 묘사 나와...크리덴셜 훔쳐가며 네트워크 내에서 이동
문제의 피해자 단체는 네트워크 가시성 도구와 이메일 필터 가동시키지 않고 있어


[보안뉴스 문가용 기자] 마이크로소프트가 대규모 이모텟(Emotet) 공격에 대한 ‘대응 일지’를 상세하게 공개했다. 공격은 제일 먼저 대규모 피싱 이메일로부터 시작됐다. 공격자들이 MS의 한 고객사의 직원들을 겨냥해 뿌린 건데, 직원 한 명이 이를 열고 첨부파일까지 다운로드 받아 실행시켰다. 이 때문에 크리덴셜이 공격자의 C&C 서버로 전달됐고, 공격자들은 해당 사용자인 것처럼 시스템에 잠입할 수 있게 되었다.

[이미지 = iclickart]


여기까지는 시작에 불과했다. 공격자들은 더 큰 계획을 가지고 있었는데, 이는 바로 네트워크 전체에 이모텟을 심는 것이었다. 이모텟은 이제는 자동화 기술까지 탑재한 멀웨어로, 각종 데이터를 수집해 공격자들에게 전달하는 기능을 수행한다. 이 데이터를 가지고 공격자들은 추가적인 피해를 입힐 수 있게 된다. 이모텟은 C&C 인프라로부터 업데이트를 받아 다양한 공격을 실행하는 높은 유연성도 가지고 있다.

크리덴셜을 가져가고 4일 후, 공격자들은 해당 계정을 통해 또 다른 피싱 메일을 보내기 시작했다. 이번에는 회사 내 다른 직원들을 향한 것이었다. 이전과 달리 ‘동료가 보낸 것처럼’ 메일을 꾸밀 수 있었다. 내부 계정으로 보낸 것이기 때문에 이메일 보안 장치가 발동되지도 않았다. 그 결과 많은 직원들이 메일을 열고 악성 첨부파일을 클릭했다. 멀웨어가 다운로드 됐다.

그러다가 공격자들은 관리자 계정에까지 침투하는 데 성공했다. 그 때부터 여러 직원들의 계정으로 크리덴셜을 훔치는 트로이목마를 전파했다. 이 고객사의 경우 네트워크 가시성을 확보하는 도구를 전혀 가지고 있지 않았기 때문에 이러한 일이 벌어지고 있다는 걸 알 수 없었다. 이모텟은 24시간 동안 마음껏 네트워크 내부를 누비며 스스로를 여기저기에 복제했다. 경고가 울린 적은 한 번도 없었다.

그런 후 8일이 지났다. 회사의 IT 기능이 일제히 마비되기 시작했다. CPU들이 전부 한계치에 도달했고 모든 컴퓨터들이 멈췄다. 바이러스 경고가 계속해서 떴고, 네트워크에 연결된 감시 카메라들조차 기능을 하나도 발휘하지 않았다. 재무부는 그 어떤 외부 거래나 금융 업무를 할 수 없었고, 외부 파트너사들도 이 회사에 접근할 수 없었다. IT 팀은 내부 오류인지 외부 공격인지 분간할 수 없었고, 조사를 진행하려 했으나 네트워크 접속이 되지 않아 난감한 상황이었다. 혼돈이 시작됐다.

회사 측은 내부적으로 문제를 해결할 수 없다고 판단을 내리고 마이크로소프트의 사건 대응 팀에 연락했다. 최초 피싱 이메일이 열리고 8일이 지난 시점이었다. MS의 보고서에 의하면(MS는 고객사의 이름을 밝히지 않고 파브리캄(Fabrikam)이라는 가상의 기업 이름을 보고서에 사용하고 있다) 이 공격을 사전에 차단할 장치들이 이미 회사 내에 수없이 많이 존재해 있었다고 한다. 이모텟은 그 모든 장치를 피해가는 데 성공한 것이었다. 그 만큼 이모텟이 좋은 공격 도구이기도 하지만, 그 만큼 피해자 기업이 안일하기도 했었다는 뜻이다.

가장 중요한 네트워크 가시성 결여 문제는 MS의 발목도 잡았다. 조사를 시작하려고 해도 네트워크를 ‘볼’ 수가 없었던 것이다. 그래서 MS 조사 팀은 디펜더 ATP(Defender Advanced Threat Protection), 애저 시큐리티 스캔(Azure Security Scan), 애저 ATP(Azure Advanced Threat Protection) 서비스 등에 더해 다른 MS 멀웨어 탐지 도구들을 활용했다.

그 결과 이모텟의 확산을 막으려면 아키텍처에서부터 변화를 만들어 적용해야만 한다는 결론에 도달했다. 그런 후 관리자 도구들을 사용해 감염된 시스템들을 격리시키고 위협을 하나하나 제거해야만 한다고 판단을 내렸다. 그래서 자원 제어 장치들을 구축하고, 제일 먼저 관리자 권한을 가진 자원들을 격리시키기 시작했다. 일종의 완충지대를 만든 것. “이 구역에는 바이러스가 충분히 들어 있어 분석 후 청소 작업을 하는 것이 가능했습니다.” MS는 분석 후 시그니처를 백신에 업로드했고, 업데이트 된 백신은 이모텟을 삭제했다.

파브리캄이 이 공격에 당했던 가장 큰 이유는 무엇일까? MS는 기본 보안 실천 사항을 지키지 않은 것이라고 말한다. “이메일 필터는 경고를 내보내지 않았고, 그에 따라 공격자들은 자유롭게 이메일 공격을 실시할 수 있었습니다. 이모텟이 이메일로 전달되는데도 아무도 몰랐다는 게 정말 놀랍습니다. 이는 또한 네트워크 가시성 문제로 이어지기도 합니다. 회사가 가시성 확보를 위한 노력을 조금만 했더라도 피해를 조기에 막을 수 있었다고 봅니다.”

MS 측은 보고서를 PDF 파일(https://www.microsoft.com/security/blog/wp-content/uploads/2020/04/Case-study_Full-Operational-Shutdown.pdf)로 배포하고 있다. 회사 이름은 정확히 언급하고 있지 않은데, 외신인 지디넷에 의하면 2018년 2월 미국 앨런타운에서 발생한 사이버 사건과 비슷하다고 한다. 당시 앨런타운에서도 자가 복제하는 이모텟 때문에 시스템이 마비되었으며, MS가 사건 대응을 해 18만 5천 달러의 수익을 올렸기 때문이다.

3줄 요약
1. MS, 이모텟 캠페인 무력화시킨 과정을 실제 사례 들어가며 상세히 묘사.
2. 회사 이름은 밝히지 않고 파브리캄이라는 가상의 조직 만들어 보고서 작성.
3. 모든 것은 기본기 부족에서부터 시작 : 메일 열람, 네트워크 가시성, 이메일 필터 등.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상