2021-01-28 02:05 (목)
[정보보호 현장 리포트①] 기본적 보안체계 갖춘 실제 내부망 실상은 충격
상태바
[정보보호 현장 리포트①] 기본적 보안체계 갖춘 실제 내부망 실상은 충격
  • 길민권
  • 승인 2015.09.08 16:47
이 기사를 공유합니다

김혁준 대표 “기존 예방체계만으로는 효과적인 내부 네트워크 방어 어려워”
많은 기관과 기업들이 조직의 중요 데이터를 보호하기 위해 다양한 방어체계를 구축하고 있다. 하지만 과연 제대로 방어가 이루어지고 있을까. 현장은 우리가 생각한 것보다 더 치열하고 위험한 상황에 처해 있다. 현장 담당자들은 실제 위협들을 모르고 당하고 있기도 하고 혹은 알면서도 임시방편으로 막으면서 불안해 하고 있다.  
 
데일리시큐는 앞으로 우리나라 현장 정보보호의 실상이 어떤 상황인지 함께 알아보고 실질적인 대응을 위해서 무엇을 준비해야 할지 알아 보는 시간을 갖고자 한다. 실제 현장에서 이루어지는 사이버공격들을 분석해 보고 기존 보안 체계에서 보완할 점은 무엇인지 함께 생각해 보는 시간을 갖고자 한다.
 
실제 기관이나 기업의 보안 현실은 어떨까. 오랜 기간 공공, 금융, 민간 기업의 사이버위협 점검을 실시해 온 현장 전문가의 의견을 들어보는 것이 가장 확실할 것이다.

◇기본적 방어체계 갖춘 기관 네트워크에 대한 내부망 점검 수행
 김혁준 나루씨큐리티 대표는 “2009년부터 다수의 국내외 내부망 현장분석을 통해 현재 운영되고 있는 예방체계만으로는 효과적인 내부 네트워크 방어가 어렵다는 것을 경험하고 있다. 점검을 수행한 대부분의 사업장은 국내 유수의 민간, 금융 및 공공 사업장으로 내부망 보호를 위한 백신, 샌드박스 등의 방어체계가 갖추어진 곳이었으나 이러한 체계가 완벽한 방어를 수행한 경우는 찾아볼 수 없었다”고 말한다.


그림1. 윈도우 계열 운영체제 사용중
 
그의 말에 따르면, 백신 등 기본적인 방어체계를 갖춘 기관으로 약 1만여대의 내부망 호스트로 구성되어 있으며 그림 1과 같이 대부분의 호스트는 원도우 계열의 운영체제를 사용하고 있는 네트워크에 대한 내부망 점검을 수행한 결과이다. 
 
내부망에 침투하고자 하는 공격자는 신뢰관계 공격, 드라이브 바이 다운로드, 문서기반 공격, USB 등 다양한 방법을 사용해 내부자산에 침투하려 했고 운영중인 정보보호 예방체계는 이를 시그니처 혹은 행위기반의 분석을 통해 탐지 대응하고 있다. 그러나 비록 공격자가 수행한 대부분의 공격이 이러한 예방체계를 통해 탐지된다고 해도, 단 하나의 공격이 방어자 눈에 띄지 않게 성공적으로 수행된 경우 공격자는 초기침해에 성공한 호스트에 지속적인 접근이 가능하도록 하기 위해 외부행 지속통신을 발생시킬 수 있는 것이다.  
 
이러한 통신의 형태는 공격목적에 따라 낮은 자유도를 가지나 다수의 호스트에 대한 효과적인 제어를 수행하는 비콘형 명령제어 채널 혹은 높은 자유도를 가지나 비교적 소수의 호스트를 목표로한 장기지속형 백도어 통신으로 나누어진다.
 
◇악성 명령제어 채널에 접속하는 내부 호스트 수가 무려 1천590개
김 대표는 “기존 방어체계를 우회한 공격을 탐지하기 위해 약 일주일간 점검대상 기관의 내부망 통신점검을 통해 점검기간 중 주기성을 가진 비정상 지속통신을 모두 탐지하고 해당통신에 대한 분석을 수행했다”며 “그 결과 내부에서 운영중인 백신에는 탐지되지 않으나 다수의 백신을 통한 점검결과를 제공하는 외부 인텔리전스에는 탐지되는 악성통신이 외부 접속 IP 기반 77개가 탐지되었으며 해당 악성 명령제어 채널에 접속하는 내부 호스트 수는 1천590개로 나타났다”고 말했다.



그림2. 장악당한 내부 호스트와 악성명령 제어 채널
 
이는 전체 호스트에 10%가 넘는다. 이러한 악성통신은 그림 2에서 나타난 것과 같이 하나의 목적지에 평균 69개 최대 269개의 내부망 호스트를 장악하고 있었으며 내부에 감염된 호스트의 효과적인 관리를 위해 그림 3과 같은 명령제어 채널 구조를 유지하고 있었다. 
 
그림 2는 장악된 내부망 호스트의 효과적 관리를 위해 각각 두개(가장왼쪽), 여섯개(중앙) 그리고 세개의 명령제어 채널구조를 가진 것을 나타내며 그림에서 작은 원의 집합으로 나타난 것이 내부망 호스트이며 이러한 점들이 집중되는 구간에 위치한 하나의 원(각각 적색, 밝은 녹색, 그리고 청색)이 목적지 명령제어 채널을 나타낸다.
 
이 기관은 알려진 악성명령제어 채널 이외에 82개의 알려지지 않은 외부목적지에 주기적 통신을 수행하는 2천502개의 호스트가 탐지되었다.
 
김혁준 대표는 “효과적인 내부자산 방어를 위해서는 예방체계의 강화와 더불어 이를 우회한 공격에 대한 탐지/대응 체계의 수립이 필수적”이라고 강조했다.
 
데일리시큐는 향후 지속적으로 기관명을 공개하지 않는 선에서 현장의 사이버 위협 실상을 공유하고 효과적인 대응책이 무엇인지 전문가들의 의견을 전달하도록 하겠다.
 
김혁준 나루씨큐리티 대표는 현장의 사이버 위협 실상에 대한 분석 내용과 대응방안에 대해 오는 9월 15일 데일리시큐 주최로 개최되는 ‘2015 대한민국 정보보호 인텔리전스 컨퍼런스(K-ISI 2015)에서 상세히 설명할 예정이다.  
(K-ISI 2015 사전등록: dailysecu.com/kisi2015/index.html)
공공, 금융, 의료, 교육, 기업 정보보호 담당자만 참석가능하다. 이외 보안기업 직원, 학생, 프리랜서 등은 참석이 제한된다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com