Home > 전체기사
유럽의 거대 생산업체, 어쩌다 랜섬웨어에 걸렸나
  |  입력 : 2020-11-17 17:21
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
스카다펜스, 한 유럽 업체의 곤란한 상황 해결하면서 겪은 일 공개
네트워크 상태 분석하고 멀웨어 분석해 사건 자체의 가시성 확보 성공
가장 끝단에서 관리되지 않았던 시스템 한 대가 문제의 근원


[보안뉴스 문가용 기자] 세상에 완전히 똑같은 쌍둥이 조직은 존재하지 않는다. 그럼에도 서로를 통한 배움은 언제나 있을 수 있다. 랜섬웨어 수사와 대처 과정을 상세히 공개하는 것 역시 그런 의미에서 도움이 된다. 랜섬웨어를 남모르게 겪고 있는 조직이나, 앞으로 걸릴 수 있는 조직 모두에게 이는 귀중한 나눔이다.

[이미지 = utoimage]


최근 진행된 2020 (ISC)² 보안 콩그레스((ISC)² Security Congress) 행사에서 스카다펜스(SCADAfence)의 CEO인 엘라드 벤메어(Elad Ben-Meir)는 최근 한 대형 유럽 생산업체에서 발생한 랜섬웨어 사건에 대해 상세히 공개했다. 공격자가 어떻게 침투했는지, 수사자들이 포렌식 데이터를 어떻게 수집했는지, 사건 대응을 어떤 식으로 이뤄갔는지를 남김없이 공유했고, 청중들에게 상당히 좋은 반응을 이끌어 내었다.

이 유럽의 회사 측에서 공격에 대해 인지한 건 밤이 깊은 때였다. 여러 중요 기능들이 마비되기 시작하더니 전체가 멈춰섰다. 현장에 IT 팀이 파견되었고 네트워크 장비 다수에서 협박 편지를 발견할 수 있었다. 복구의 가망이 없어 보였고 그래서 회사는 처음부터 공격자에게 돈을 줄 생각이었다. 그러나 범인이 액수를 올렸고, 회사로서는 다른 선택지를 찾기 시작했다. 그것이 스카다펜스였다. 공격이 발생하고 7시간이 지난 시점이었고 약 200개의 치명적인 중요도의 서버들이 암호화 된 상태였다. 이미 전체 생산 시스템은 가동이 불가능했다.

스카다펜스 팀은 현장에 오는 동안 “최대한 감염된 시스템을 한 곳에 몰아두고 더 퍼지지 않도록 하라”고 당부했다. 살릴 수 있는 시스템은 최대한 많이 살려두라는 것이었다. 또한 특정 네트워크 영역에 감염 요인들을 모음으로써 증거가 될 수 있는 시스템들이 최대한 현 상태 그대로 보존될 수 있도록 할 수도 있었다.

벤메어는 “이런 조치를 요청한 건, 공격이 어떤 경로로 들어오는지 파악하기 위함이었다”고 설명했다. “공격이 최초에 어디서부터 들어오는 건지, 어떤 기계들이 감염된 건지, 감염된 기계들이 어떤 기기들에 연결되어 있는지, 멀웨어가 스스로 번식할 수 있는지 확인하려고 해도 필요한 조치였습니다.”

스카다펜더의 전문가들은 현장으로 오는 와중에도 계속해서 증거들을 찾아내기 시작했다. 피해 기업의 IT 팀에 연락해 피해를 입은 시스템의 이미지, 로그 파일 이미지, 설정 파일 등 유용한 정보가 있을 만한 자료들을 전부 수집해 놓으라고 부탁했다. 이 작업은 최대한 빠른 시간 안에 진행되어야 했다. 시간이 지나면 가치를 잃거나 사라지는 정보들이 공격이 진행되는 과정 중에 생성되기 때문이다.

현장에 도착한 대응 팀은 제일 먼저 감염 증상을 나타내는 기기들을 살폈다. 페이로드를 유포하는 주요 시스템들로 의심되는 것들을 추려내고 검사했다. 예를 들어 네크워크에 있는 거의 모든 시스템들과 통신하는 ‘주 제어 장치’의 경우 공격자 입장에서는 매우 유용한 도구일 수 있다. 이런 식을로 공격에 도움이 되는 장비들이 가장 먼저 검사 대상이 됐다.

“이런 장비들을 검사함으로써 네트워크의 실제적인 지형도를 파악할 수 있었습니다. 어떤 장비가 어떤 장비와 연결되어 있고, 어떤 상황에서 어떤 흐름으로 통신을 하는지 알게 된 것이죠. 공격의 흐름을 파악할 수 있는 것인데, 그렇게 되다 보면 자연스럽게 공격을 어디서부터 어떻게 막아야 하는지도 눈에 보입니다.” 벤메어의 설명이다.

그런 후 대응 팀은 기계들의 설정 파일과 설정 상태들을 전부 점검했다. 수상한 실행파일들이 있는지, 말이 되지 않는 파일 타임스탬프가 존재하는지도 살폈다. 당연히 모든 로그 파일과 이벤트 로그도 검사했다. 수상한 실행파일이나 바이너리는 리버스 엔지니어링 전문 팀에게 보내 분석을 의뢰했다.

분석 팀은 빠르게 공격의 출처를 파악해냈다. 공격자들이 사용하는 도구와 침해지표도 정리됐다. “분석 팀에서 보내온 정보와 저희가 네트워크를 점검하며 얻어낸 정보를 합치자, 사건이 어떤 식으로 발생했는지 보다 명료하게 이해가 되기 시작했습니다. 즉 사건 자체의 가시성을 확보할 수 있었던 것입니다.”

그렇게, 도착하고서 수시간이 지난 뒤, 대응 팀은 한 기계에서 스캐닝 시도가 있었다는 것을 발견하는 데에 이르렀다. 그런데 이 기계는 감염된 기계 목록에 없었다. 방화벽 로그에도 스캐닝 행위에 대한 흔적이 없었다. 네트워크의 일부가 방화벽이 아니라 NIC(네트워크 인터페이스 카드)로 연결되어 있었기 때문이다. 공격자들이 이 부분을 활용한 것이 분명했다. 재미있게도 피해 기업은 자사 네트워크에 이러한 부분이 있었다는 것을 몰랐다.

스캔 행위를 추적하니, 공격자들이 네트워크의 여러 부분을 다양하게 스캔했다는 것을 알 수 있었다. 또한 페이로드가 한 영역에서 다른 영역으로 이동한다든가 하는 비정상 행위들도 존재함을 발견할 수 있었다. “여러 면모를 봤을 때 고급 기술을 가진 해커가 아니라 아마추어 사이버 범죄자의 소행이라는 느낌이 왔습니다.”

그렇다고 공격자가 아주 쑥맥인 것은 아니었다. 그들은 여러 가지 방법을 사용해 네트워크 침투를 시도했다. 윈도 업데이트 기능을 몰래 비활성화 시키거나, 악성 파일을 정상 윈도 폴더 내에 감추기도 했다. 엔드포인트 보안 솔루션을 끄고, 암호화가 진행되는 동안 입력 장치를 비활성화 시켰다. 미미캐츠(MimiKatz)와 같은 도구도 사용한 흔적이 나타났다.

스카다펜스 팀이 현장에 도착하고서 10시간이 지났다. 이제 상황은 완벽히 스카다펜스의 지휘 아래 놓이게 됐다. 최초 감염의 통로가 된 기기는 서드파티 장비로, 외부 파트너사가 관리하는 것이었다. 이 파트너사는 외부에서 생산 시스템과 네트워크에 접속해 이상 기기를 유지 및 관리해주고 있었다. 문제의 장비는 바로 이 작업을 가능케 하는 것이었다. 이 장비에는 외부 IP 주소가 있었고, 이 때문에 피해 업체의 방화벽 로그에 기록이 남지 않았다. 게다가 RDP 포트마저 열려 있어 인터넷을 통한 접속이 가능했다. 최신화도 안 되어 있었고, 장비 자체의 방화벽 기능도 항시 비활성화 된 상태였다.

“한 마디로 대단히 취약한 장비였습니다. 그리고 네트워크 끝단에 있었고, 단단히 보호되어 있는 네트워크의 바깥에 연결되어 있었습니다. 그런데 말입니다, 사건 대응을 하는 저희로서는 이런 장비들들 한두 번 발견하는 게 아닙니다. 어느 고객사나 적어도 한두 개, 관리가 전혀 되지 않는 시스템을 가지고 있습니다. 아무리 네트워크 보안을 단단히 해도 이런 시스템 하나가 네트워크를 허술하게 만들죠. 이런 시스템들이 공격자들의 밥줄이라고 해도 과언이 아닙니다.”

벤메어는 “망을 작은 단위로 분리할수록 이렇게 방치되는 시스템이 생겨날 가능성이 줄어든다”고 권고했다. “또한 방치된 시스템이 없을수록 공격자는 더 많은 자원을 공격에 투자해야 합니다. 적어도 아마추어 해커의 장난 같은 공격에 생산 설비 전체가 마비되지는 않을 수 있습니다.”

3줄 요약
1. 한 랜섬웨어 사례가 최근 보안 컨퍼런스에서 심층 소개됨.
2. 범인이 이용한 건 네트워크 끝단에 방치되어 있던 한 장비.
3. 조사했던 보안 전문가는 보다 세밀한 망분리를 권고함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상