2020-12-05 08:05 (토)
보안사고 대응전략, 성공•실패 이분법 탈피…피해 감소에 집중
상태바
보안사고 대응전략, 성공•실패 이분법 탈피…피해 감소에 집중
  • 길민권 기자
  • 승인 2020.11.18 00:22
이 기사를 공유합니다

KISA, 스피어피싱 공격 타깃별 피해 시나리오 분석 보고서 공유
보고서 캡쳐 이미지.
보고서 캡쳐 이미지.

최근 대형 침해사고로 이어지는 공격들은 특정 타깃을 오랜 기간 관찰해 정보를 획득하고, 스피어 피싱과 같은 타깃형 공격을 이용해 내부 네트워크로 침투하는 전략이 주로 사용된다.

타깃형 공격에 대응하기 위해서 공격 타깃의 업무특성 및 보유자산으로 인한 피해 분석과 추가 발생 가능한 공격에 대한 예측이 필요하다. 하지만, 특정 타깃별로 어떠한 침해사고가 발생할 수 있는지 모호하다는 문제점이 존재한다.

따라서 자사의 위협 노출에 대해 구체적으로 문제점을 파악하고 관리적·기술적 대응방안을 마련하기 위해서는, 공격 타깃과 공격 기법에 따른 기존 사고 사례 분석이 수반되어야 한다.

최근 TTPs(Tactics, Techniques, Procedures) 단위로 공격자 혹은 공격그룹을 프로파일링하는 트렌드가 유행하고 있는데, 이는 IoCs(Indicators of Compromise) 단위의 단발성 대응이 아니라, TTPs 분석을 통해 지속적으로 공격을 대응할 수 있기 때문이다.

하지만 공격자 중심의 분석과는 다른 관점, 방어자 관점에서 피해 발생 가능한 유형을 구분하고, 방어 전략을 마련할 수 있는 연구는 미진한 실정이다.

이런 문제점을 해결하기 위해, 한국인터넷진흥원 침해대응센터는 방어자가 구체적인 방어 전략을 수립할 수 있도록 공격 타깃별 발생할 수 있는 침해사고 시나리오 분석과 공격도구가 어떠한 기능을 사용하는지 소개하는 <스피어피싱 공격 타깃별 피해 시나리오 분석(악성행위에 사용되는 도구를 중심으로)> 기술보고서를 최근 업데이트했다.

이 보고서에서는 타깃이 보유하고 있는 자산으로 인해 기업에게 미치는 피해를 분석하고, 최종적으로 감염된 악성코드가 어떠한 행위를 할 수 있는지 설명한다.

이를 위해 침해사고에서 보편적으로 이용되는 악성코드가 어떠한 기능을 갖추고 있으며, 손쉽게 이용가능한지 소개하고 있다. 또한 시나리오를 구현 및 검증함으로써, 제안하는 시나리오가 실제로 발생할 수 있는 현실이고 자사에 발생할 수 있는 실질적 위협임을 인식토록 하는 것이 목적이다.

보고서는 시나리오 2건을 중심으로, IT 환경에서 주요 역할을 수행하는 개발자와 서버관리자에게 직접적인 침투 시도가 발생하고, 각 타깃이 보유한 자산과 역할로 인해 침해사고가 어떻게 특화되는지 상세히 알려주고 있다.

△시나리오 1은 개발자 소스코드 저장소 계정 탈취 → 전사 소스코드 유출 △시나리오 2 (서버관리자) Active Directory 장악 → 전사 데이터 랜섬웨어 감염 사례를 들고 있다.


보고서는 말미에 아래와 같은 내용을 방어자에게 조언하고 있다.

타깃형 공격을 통해 공격자가 임직원의 단말기로 침투하면, 감염된 단말기는 추가 공격에 활용되거나 내부문서 암호화 등의 피해가 발생할 수 있다. 이러한 랜섬웨어 감염 피해를 경감하기 위해 주기적인 백업과 업데이트가 요구된다.

또한, 공격자에 의해 개발자 PC가 감염되면 단말기 내 소스코드가 유출되고 기업 내부 개발 환경으로 침투가 가능하다. 제품 업데이트 서버의 추가 감염을 통해 피해 범위가 크게 확산될 가능성이 존재하기 때문에, 개발자 PC 등 개발 환경에 대한 주기적인 점검이 필요하다. 서버관리자도 마찬가지로 기업 네트워크의 중앙거점으로 활용하는 AD 서버 계정을 잘 관리하고 있는지 점검이 필요하다.

단말기별 용도 분리를 통해 안전한 환경에서 서버를 관리하고, 비정상 접근을 모니터링 하는 사전예방 활동도 필요하다. 정교하게 구성된 타깃형 공격은 일시적으로 차단할 수 있지만, 결국 내부로의 침입을 막을 수 없다. 이는 보안 솔루션과 이용자 교육이 불필요하다는 이야기가 아니며, APT(Advanced Persistent Attack)의 정의에 따라, 공격자는 시스템 내부로 침투하고야 말 것이라는 사실을 의미한다.

따라서 Post-Exploitation 단계에서 발생하는 징후를 이용해 신속히 대응하거나, 피해 확산을 방지하기 위한 기본적인 접근제어 수준부터 재점검하는 보안 활동이 필요하다.

보안담당자는 주기적인 침투 테스트 수행과 발생하는 징후(이벤트 로그 등)를 분석하고 내부 네트워크에 공격자가 침투한 상태에서의 방어전략 마련도 필요하다. 이 방어 전략은 외부에서 내부로의 침입차단이 아니라, 내부에서의 피해확산 혹은 유출차단을 목적으로 한다.

따라서 기존의 ‘성공’ 아니면 ‘실패’라는 이분법적인 접근을 넘어서서, 피해 감소의 측면을 고려한 보안사고 대응전략이 필요하다. 사고발생시점과 사고인지시점 사이의 피해 감소 노력이 전체적인 침해사고 피해를 줄일 수 있을 것이다.

'스피어피싱 공격 타깃별 피해 시나리오 분석' 기술보고서는 KISA 홈페이지 및 데일리시큐 자료실에서도 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★