국내에서는 매일 많은 수의 침해사고가 발생하고 있다. 한국인터넷진흥원에서는 민간기업에서 발생한 침해사고의 원인파악과 재발 방지를 위해 분석을 지원하고 대응하고 있다.
이러한 수많은 침해사고를 장기간 분석하다 보면 공격자들이 선호하는 기법들이 자연스레 보이기 마련이다.
이번에 KISA 침해사고분석단 종합분석팀은 ‘TTPs#7 : SMB/Admin Share를 활용한 내부이동 전략 분석’ 보고서를 발표했다.
이번 보고서는 국내 대형 쇼핑몰의 개인정보 유출 사고, 가상화폐 거래소의 자산 탈취 사고, 그룹웨어 개발사의 소스 코드 탈취 및 공급망 공격 사고, 언론사 정보 탈취 사고 등 국내에서 발생한 주요 침해사고에서 공통으로 사용되는 핵심 기법에 대해 상세히 소개하고 있다. 그 공격 기법 중 하나가 바로 ‘SMB/Admin Share’를 이용한 내부전파(Lateral Movement)이다.
Windows의 SMB/Admin Share 기능은 많은 기업에서 서버 간 자료 공유의 편의성을 추구하거나, Active Directory 환경에서의 정책 배포를 위해 사용하는 기능이다. 하지만 이 기능을 잘못 사용하였을 경우 보안상 큰 문제가 발생할 수 있다.
보고서는 내부전파 기법인 ‘SMB/Admin Share’ 기능을 잘못 사용했을 경우 공격자들이 어떻게 악용하는지, 어떠한 흔적들이 남는지에 대한 내용을 담고 있다.
공격자들이 어떤 취약한 점을 노려 공격하는지 알 수 있다면 자신의 보안 환경에 맞게 방어기법을 적용할 수 있으므로, 방어자들이 공격자의 내부전파 기법을 아는 것은 매우 중요하다.
더불어, 해당 공격 조직이 사용한 방어 회피(Defense Evasion) 기법에 대해서도 자세하게 다루고자 한다. 대부분의 침해사고 대응은 랜섬웨어 감염으로 파일이 암호화되거나, 정보가 유출되어 해커로부터 협박을 당하는 등 Impact 단계에서 침해사고를 인지한 후 비로소 시작된다.
하지만 방어자가 침해 사실을 인지할 수 없도록 공격자가 감염 상태만 지속 유지한다면, 공격자는 오랫동안 기업 내부에 잠복할 수 있으며, 내부 정보를 지속적으로 탈취할 수도 있다.
본문에서 다룬 공격 조직은 국내 기업 여러 곳에 침투하여 악성코드를 감염시킨 후 오랜 시간 동안 기업의 정보를 탈취했으며, 최근까지도 활발하게 활동 중인 것을 확인하였다. 이번 보고서에서는 공격자가 기업 내부에 침투한 후 어떻게 탐지되지 않고 감염 상태를 유지하였는지 소개하고, 또한 피해기업은 왜 감염 사실을 인지하기 어려웠는가에 대하여 환기하고자 한다.
한국인터넷진흥원은 이번 보고서를 통해서 SMB/Admin Share를 통해 내부전파를 진행하는 공격 그룹의 TTP를 상세히 설명했다.
해당 공격기법은 SMB/Admin Share의 C$, Admin$ 공유 비활성화로 해결되지 않는다. RemoteRegistry 서비스 기능을 이용하면 원격에서 레지스트리 조작을 통해 활성화가 가능하기 때문이다.
하지만 SMB/Admin Share 기능에는 제약도 존재한다. 연결에 사용될 계정의 권한이 ‘Administrators’ 그룹에 속한 계정 중 User Account Control 기능이 설정해제 되어있어야 한다는 것이다. 혹은 ‘Administrator’ 계정을 활성화해 사용해야 해당 기능을 이용할 수 있다.
한편 이 기법을 통해 내부전파가 이루어지는 것을 예방하기 위해선 계정마다 필요한 권한을 나누어 사용해야 하며 ‘Administrator’ 계정은 직접 사용하지 않는 것을 권장하고 있다.
관리자 권한이 필요할 때에는 ‘Administrators’ 그룹의 권한을 부여하되 User Account Control 기능은 활성화한 후 사용해야 한다. 권한이 낮은 계정이 탈취되었을 때는 사용할 수 없는 기법이므로 내부전파가 이루어지는 것을 예방할 수 있을 것이다.
또한 공격자는 최초침투 및 내부전파를 통해 기업의 인프라를 장악하고, 수년에 걸쳐 피해기업을 감염된 인프라로 활용했다.
하지만 방어자는 자사 인프라가 수년간 악용되었음에도 불구하고 한국인터넷진흥원의 피해사실 통보를 통해 비로소 감염사실을 인지할 수 있었다. 이번 사고에서, 침해사고가 발생했다는 사실보다 더 중요한 문제는 방어자에게 감염 여부를 확인할 수 있는 트리거가 부재했다는 점이다.
멘디언트의 "M-Trends 2022" 보고서에 의하면, 아태지역 비랜섬웨어 사고의 드웰 타임 20% 이상이 700일을 초과한다고 한다. 이 조사결과를 통해 이번 보고서의 피해 기업뿐만 아니라 대다수의 국내 기업도 같은 문제에 직면했다고 해석할 수 있다.
드웰 타임(dwell time)이란, 방어자가 공격을 인지하기까지 공격자가 기업 인프라에 존재한 시간을 말한다.
종합분석팀은 “우리는 질병이 발생하기 전에 조기에 치료하고 확산을 방지하기 위한 정기 건강검진을 받는다. 하지만 사이버 환경에서는 트렌디한 위협이 부상했을 때 자사의 환경이 안전한지 특별 점검을 수행할 뿐, 공격자에게 인프라가 장악당하고 기업의 자산이 외부로 유출되고 있는지의 여부는 진단하지 않는다”며 “이를 보완하기 위한 다양한 노력 중 하나는 Compromise Assessment(CA)라는 활동이다. CA는 조직 내에 현재 존재하거나 과거에 활동한 공격자를 찾기 위한 활동이며, CA를 통해 기업은 내부에 다른 침해사고가 진행되고 있는지, 잠복된 위협은 없는지를 스스로 평가해 볼 수 있다. 만약 방어자가 침해사고의 의심정황을 인지하고 CA 활동을 진행하였다면, 수년에 걸쳐 노출된 기업의 인프라는 보다 빨리 개선되었을 것”이라고 강조했다.
또 지난해 연말부터 유행한 Log4j 취약점을 보완하고 대응하기 위한 노력만큼이나 주기적으로 자사의 인프라가 안전한지 점검하는 노력도 수반되어야 한다”고 강조했다.
“지금 우리 기업 인프라는 감염되지 않았는가?” 자문하고 대응해야 한다고 덧붙였다.
보다 상세한 내용은 분석 보고서를 참조하면 된다.
이번 분석보고서 작성은 KISA 침해사고분석단 종합분석팀 김동욱 선임, 이슬기 선임, 이태우 선임, 이재광 팀장 등이 참여했다.
이번 보고서는 데일리시큐 자료실에서도 다운로드 가능하다.
★정보보안 대표 미디어 데일리시큐!
