2019-12-07 15:05 (토)
농협과 SK컴즈 해킹, 처음부터 타깃이었을까?
상태바
농협과 SK컴즈 해킹, 처음부터 타깃이었을까?
  • 길민권
  • 승인 2011.11.18 06:32
이 기사를 공유합니다

해킹방지워크샵, 전문가 6인 APT 공격에 대한 정의-분석-대책 논의
“농협 해킹, 악성코드는 북한인지 아닌지 알려주지 않았다”
“사내 좀비PC 한대만 있어도 SK컴즈와 같은 일 당할 수 있다”
제15회 해킹방지워크샵 마지막 시간에 패널토의가 있었다. 주제는 ‘타깃형 공격에 대응하는 우리의 자세’라는 주제였다. 이 자리에는 심상현 CONCERT 사무국장과 이희조 고려대 교수, 노명선 KISA 단장, 성재모 금융보안연구원 본부장, 조원영 시만텍코리아 전무, 조시행 안철수연구소 상무 등이 패널로 참석했다.
 
이희조 교수는 주제발표에서 “최근 1~2년 사이에 APT공격이 많이 발생하고 있다. 타깃공격은 특정 대상을 목표로 고도화된 기술을 사용해 지속적으로 공격해 목표를 달성하는 형태의 공격을 말한다”며 “타깃공격은 4단계로 진행된다. 타깃에 대한 정보수집과 취약점을 찾아내 공격 설계를 하는 준비단계와 취약점을 이용해 실제 공격단계, 공격후 감염 시스템의 확산을 통해 정보를 수집하는 단계 그리고 정보유출 단계로 이어진다”고 설명했다.
 
이 교수는 “스턱스넷 사례를 볼 때, 산업시스템은 바이러스 감염 위험이 없을 것이라고 생각하는 통념을 깨부쉈다. 분리된 네트워크 마져도 악성코드 감염이 가능한 것이다. 또 전용망에 대한 오해도 크다. 망분리가 안전하다고 생각하지만 그렇지 않다. USB 등으로 데이터 쉐어 과정에서 얼마든지 감염 가능성이 크다”고 지적하고 또 “현대캐피탈과 농협 해킹 사건은 아웃소싱 협력업체에 대한 보안측면을 다시 생각토록 했다.  SK컴즈 해킹사건도 시사하는 바가 크다. 바로 사용자가 설치하는 소프트웨어가 정상인지 아닌지 확인할 방법이 없다. 향후 소프트웨어에 대한 무결성 점검할 수 있는 방안이 마련돼야 할 것”이라고 강조했다. 
 
이외에도 이 교수는 “제로데이 악성코드 감염의 90% 이상이 이메일이나 웹을 통해 이루어지고 있다. 향후 새로운 공격이나 새로운 악성코드 공격에 어떻게 대응할 것인지 고민해야 한다”고 밝히고 “포렌직에 대한 연구가 더욱 필요하다. 로그기록으로 사건을 정확하게 파악할 수 있는 시스템이 갖춰져야 범인을 검거할 수 있고 재발을 방지할 수 있을 것이다. 또 이를 위해서는 국내 기관간 공조와 해외 공조가 필요한데도 여전히 기관간 협력이 매끄럽지 못하다. 사건발생시 어떻게 공동대응해야 하고 사전예방을 어떻게 해야 할지에 대해 고민해야 한다”고 지적했다.

 
다음은 패널들 간 주제별 토론이 이루어졌다. 지상 토론 형식으로 기술하겠다. 토론자의 소속과 직책은 생략한다. (패널: 심상현 CONCERT 사무국장, 이희조 고려대 교수, 노명선 KISA 단장, 성재모 금융보안연구원 본부장, 조원영 시만텍코리아 전무, 조시행 안철수연구소 상무)
 
◇APT의 개념정의부터 하자
심상현=APT(지능적 지속 위협, Advanced Persistent Threat)라는 말이 자주 나오고 있다. P(Persistent)와 T(Threat)는 납득이 되지만 A(Advanced)는 납득이 안된다. 누구를 기준으로 누구의 시각으로 본 Advanced냐. 기준이 일반인인가 아니면 전문가 기준인가. 막을 수 없거나 어떻게 했는지 모르면 무조건 APT인가.
 
조시행=기술적 측면은 백신이 탐지가 어려운 고도화되고 새로운 기법으로 감염시키는 형태를 APT라고 할 수 있다. 일반적인 방법으로 쉽게 감염을 탐지 못하는 방법으로 공격하는 것을 의미한다.
 
조원영=APT는 고도화된 기법을 사용하는 것을 말한다. 그들은 타깃에 대한 완벽한 정보를 수집하고 타깃이 사용하는 보안툴이 공격을 막을 수 있는지 테스트후 막지 못한다는 것을 확인하고 공격을 하는 것이다. 즉 막지 못하는 것을 알고 공격하는 형태를 APT라고 규정할 수 있다.
그들은 낮게 천천히 공격한다. 잠복 기간이 평균 145일이다. 최장은 670일로 드러난 것도 있다. 즉 4개월 이상 잠복하면서 지속적으로 시스템을 장악하는 형태다. 또 많은 전문가들을 동원하고 조직화돼 있고 자금력도 뛰어나다. 스크립키드 수준의 공격이 아니다. 그런 차원에서 Advanced 를 정의할 수 있다.
 
노명선= Advanced 해킹기법은 여러 공격 기술이 복합적 형태로 공격하는 것을 말한다. 농협사건을 예를 들면, 공격자는 지난 9월 유지보수업체 감염자 노트북에 악성코드 감염을 성공시키고 이후 관찰을 위해 백도어를 설치했다. 그 결과 해당 노트북이 금융시스템을 들락거리는 것을 확인하고 키로거, 도청프로그램 등을 설치해 농협 DB서버 ID와 패스워드를 입수했다. 이런 식의 공격이 APT 공격의 전형적인 수법이다.
 
조시행=APT 공격은 악성코드를 지속적으로 변형시킨다는 특징이 있다. 그래서 백신이 탐지 못하도록해 생명력을 유지해 간다.
 
성재모=APT 공격은 탐지도 어렵고 피해규모 산출도 어려운 것이 특징이다. 타깃된 기업은 정말 엄청난 정보가 빠져나가게 된다. 미국 석유 관련 정보들이 APT 공격에 지속적으로 정보가 빠져나간 바 있다. RSA도 지속적 공격으로 모든 소스가 유출된 것이다. SK컴즈처럼 개인정보가 대량으로 유출되는 것도 문제지만 정말 크리티컬한 정보들도 모두 빠져나갈 수 있다는 것이 위험하다. 탐지하기 어려운 방식의 복합적 공격을 APT라고 말할 수 있다.
 
이희조=공격이 이루어질 때 조직적으로 그리고 알려지지 않은 방식으로 탐지되지 않게 공격 형태 패턴을 변형시켜 하는 방식을 APT라고 정의할 수 있다.
 
심상현=APT라는 개념은 해외에서 들어온 개념이다. 소화가 안된 채로 회자되고 있다는 느낌이다. 기관과 보안기업들은 용어 자체부터 납득할 수 있고 이해할 수 있도록 민간에 전달하는 역할도 해주길 바란다.
 
타깃공격이 맞을까?
심상현=타깃공격이라고 알려져 있는 현대캐피탈, 농협, SK컴즈 등 3개 주요 사건이 정말 타깃공격이라고 생각하는가.  
 
노명선=2개 사건은 개인정보를 노린 공격이었기 때문에 타깃 공격이라고 생각한다. 하지만 농협의 경우는 다르다. 추정컨대 공격자가 최초로 농협을 선택했다고 보기 힘들다. 타깃을 정했다면 더 큰 1금융기관이 타깃이 돼야 했을 것이다. 악성코드를 뿌린 다음 우연히 농협이 걸려든 것으로 볼 수 있다.
 
조원형=타깃을 큰 산업군으로 정하고 사회공학적 기법으로 정보를 수집후 걸려든 다수의 피해자중 공격자가 원하는 산업군의 기업을 정해 그때부터 본격적으로 공격한 것이다. 처음부터 타깃이 농협은 아니었을 것.
 
조시행=비슷하다. 공격자 입장에서 농협 한 곳만 타깃으로 정할리 없다. 공격의 성공률을 높이기 위해 금융권 전체를 대상으로 조사를 실시했을 것이다. 그 가운데 농협이 걸려든 것이다. 또 SK컴즈와 같은 경우도 타깃한 것이 아니다. SK컴즈를 공격한 악성코드 샘플이 다른 곳에서 나온 것만 봐도 알 수 있다. 악성코드를 뿌린 후 감염된 기업 여러 곳 중 공격자가 SK컴즈를 선택했다고 볼 수 있다.
 
◇누가 그리고 왜 공격하는가
심상현=우리는 사건이 발생하면 피해자 기업에 대해서만 왈가왈부한다. 누가 공격했는지는 관심도 없다. 공격자에 대한 이야기를 해보자. 누가 왜 공격을 하는 것일까.
 
조원영=하루 70만~80만개 악성코드가 만들어진다. 다양한 공격툴도 나오고 있다. 산업군 별로 보면 자원분야가 가장 많은 공격을 받고 있다. 이어 수도, 통신, 일반제조 등이 공격을 받고 있다. 이를 근거로 생각해보면 공격자가 누구인지 추정해 볼 수도 있을 것이다. 경쟁사일수도 있고 적성국가의 정보기관일 가능성이 크다.
 
조시행=농협의 경우 불행히도 악성코드만 가지고는 공격자가 누구인지 증거를 찾기 힘들다. 즉 범인이 누구인지 알 수 없다는 것이다. 올해만 1000만개 악성코드가 나왔다. 이런 판에 악성코드 분석만 가지고 공격자가 누구인지 찾기란 불가능하다. 포렌식으로 검사해야 하는데 이 부분은 안철수연구소의 범위를 넘어서는 것이다. 악성코드 분석만 가지고는 북한이 농협을 공격했다는 증거를 찾지 못했다. 또 한편 북한이 아니라는 증거도 찾지 못했다.
 
◇타깃공격, 대책은 없을까
이희조=누가 왜 했는지를 정확하게 파악해야 대책이 나올 수 있다. 그러기 위해서는 국가간 공조체계가 필요하다. 또 국내 기관간 협력체계가 반드시 필요하다.
 
성재모=조금만 눈여겨 보면 탐지할 수 있는 공격도 많다. 하지만 국내 기업중 제대로 된 보안 프로세스와 인력을 갖추고 있는 기업이 얼마나 되는지 반문해 본다. 이런 상황에 공격은 앞으로 계속될 것이고 지금 이대로라면 계속 당할 수밖에 없다. 보안담당자가 사내 웹서버가 몇 개인지도 모르는 경우도 봤다. 전사적 통제체계가 마련돼야 한다. 대규모로 장기적 공격에 대비하기 위해서는 기업을 넘어 정부조직의 공조와 정보공유가 이루어지고 이것이 민간에게로 넘어와야 한다.
 
조원영=사용자 측면에서 프로세스를 어떻게 정립해야 하는지가 중요하다. 현재 공격당하는지도 모르는 상황이다. 상존하고 있는 리스크를 확인하는 작업이 필요하다. 기업내 좀비 PC가 한대만 있어도 SK컴즈와 같은 사태가 발생할 수 있다. 기업내 상존하고 있는 좀비 PC를 찾아 제거하는 일부터 해야 한다. 또 일회성에 그칠 것이 아니라 이런 진단작업이 지속적으로 상시적으로 이루어져야 한다. 또 APT공격에는 당할 수밖에 없다. 하지만 사고가 발생하는 단계에서 얼마나 사고 범위를 줄일 수 있느냐를 준비해야 한다.
 
노명선=농협과 SK컴즈 사태는 시사점을 준다. 바로 기본으로 돌아가라는 것이다. 사내 보안관리 체계를 다시 한번 점검해야 한다. 내부 조직의 프로세스, 내부망 관리체계 등을 살피고 특히 기업내 접근통제와 계정관리 체계를 반드시 마련해야 한다.
 
조시행=타깃공격을 방어하기 위해서는 민간과 기관의 공조체계가 확립돼야 한다. 하지만 기관과 민간이 생각하는 공조와 공유에는 갭이 존재한다. 상호간 조율할 문제가 분명히 있다. SK컴즈 문제만 해도 언론상에서 여러 잘못된 정보들이 보도됐다. 하지만 수사과정에 있기 때문에 잘못된 부분을 알려주고 싶어도 알리지 못하는 어려움도 있다. 또 정보공유 문제는 보안기업과 기관간 평등한 위치에서 이루어져야 한다고 생각한다. A라는 기업이 중요한 정보를 기관에 공조하면 기관은 절대 A기업 실명을 거론하지 않는다. 이렇게 되면 A기업은 공조를 위한 동기부여가 줄어들게 된다. 물론 기관 입장에서는 특혜 의혹도 신경쓰일 것이다. 이런 부분의 갭이 있기 때문에 공조가 적극적으로 안되는 부분이 안타깝다.
타깃 공격에 기업들은 로그 감시를 철저히 해야 한다. 특히 기업의 모든 실행파일의 움직임을 철저하게 모니터링 해야 한다. 그래야 이상징후를 파악할 수 있다. [데일리시큐=길민권 기자]