네이트 해킹도 역시 내부자를 악성코드에 감염시키는 형태의 공격이었다. 이 공격방법은 몇 년 전부터 계속돼 온 전형적인 해킹방법이다. 수억원의 보안장비와 수십명의 보안담당자가 있어도 악성코드 침입 한방에 무너지고 말았다. 이러한 공격방법에 계속해서 당하는 이유는 무엇이고 해결방법은 없을까?
 
30일부터 KISA는 보호나라에 이번 네이트 해킹사건과 관련된 악성코드 전용 백신을 배포했다. 해킹사고 당시 이 악성코드 진단을 하지 못한 것이 문제였다. 네이트에서 전용 백신을 사용하고 있었지만 이를 탐지하지 못해 내부 직원 PC에 신종 악성코드가 감염됐고 범죄자는 이를 통해 DB서버 접근계정을 알아내고 DB를 빼내간 것으로 추정된다.
 
네이트의 경우 DB로 바로 뚫고 들어갈 수 없는 단계별 보안방식을 취하고 있기 때문에 범죄자는 직접 해킹보다는 내부자 악성코드 감염을 통해 공격하는 우회방법을 택한 것으로 보인다.
 
보급된 전용백신을 근거로 추정해 볼 때, 네이트 내부를 감염시킨 악성코드는 소위말하는 트로이목마로 정보유출용 악성코드다.
 
모 악성코드 분석가는 “기술적으로 그리 높은 수준의 악성코드가 아니다. 일반적인 트로이잔 구조인데 진단이 되지 않아 이와 같은 문제가 발생한 것”이라며 “파일이 NATEON.exe이었으니 무심코 실행했을 것”이라고 설명했다. 범죄자들은 악성코드 유포시 백신탐지를 테스트한 후 백신들이 탐지못한다는 것을 확인하고 유포하는 것이 일반적이다.  
 
감염경로로는 이메일, 메신저, USB 등 직접적으로 직원을 대상으로 한 공격이 있을 수 있고 네이트 내부직원 누군가가 사내 PC로 악성코드가 유포중인 P2P나 웹하드, 커뮤니티사이트, 뉴스사이트 등에 접속하면서 감염됐을 가능성 등 둘 중 하나다.   
 
감염되면 원격조정이나 유출된 네이트 직원 계정을 통해 DB서버에 접근하게 된다. 접근이 외부에서 발생한 것이 아니라 내부에서 정상접근이기 때문에 기존 모니터링 체계에서는 이상징후가 발견되지 않은 것이다.
 
하지만 그 많은 DB가 빠져나가는데 왜 중간에 차단하지 못했을까. 모 보안전문가는 “트래픽 분석을 통해 알 수 있는데 트래픽 분석은 쉽지 않다. 또 큰 규모의 회사이다 보니 트래픽 분석 후 차단도 쉽지 않았을 것”이라며 “사실 트래픽 로그 스트리밍 분석이 필요한데 효용성 대비 많은 비용이 들어가기 때문에 엄두를 못낸다”고 말했다.
 
또 다른 관계자는 “IPS 등과 같은 침입탐지 및 차단 솔루션이 그 역할을 할 수 있는데 범죄자들은 대부분 우회할 수 있는 기술을 가지고 있기 때문에 DB접근시 쿼리명령을 날릴 때 알람 기능이 중요하다”고 말했다.
 
또 모 전문가는 “타깃을 정한 APT 공격이었다면 범죄자는 몇 달전부터 해킹작업을 준비했을 것”이라며 “몇 달 전부터 계속 악성코드를 변형된 형태로 발전시켜 나가면서 네이트 내부 서버에 접근했을 것”이라고 말하고 있다.
 
◇악성코드 유포사이트 접속만해도 감염=전상훈 KAIST 사이버보안연구센터 R&D 팀장은 “감염경로는 여러가지 있을 수 있지만 최근에는 악성코드를 유포하고 있는 사이트에 방문만해도 바로 감염된다. 예전처럼 악성파일을 실행해야 감염되는 것이 아니기 때문에 유포사이트에 접근하지 않는 것이 가장 최선”이라고 강조했다.
 
또 그는 “바이러스토탈과 같은 사이트에 들어가보면 최근 악성코드나 익스플로잇 코드를 주요 백신들이 얼마나 잡아 내고 있는지를 보여주는데 많은 경우 백신들이 공격코드들을 진단하지 못하고 있다”며 “이런 악성코드를 이용해 감염시키기는 너무도 쉬운 상황”이라고 설명했다.  
 
이러한 악성코드에 대응하기 위한 방법은 무엇이 있을까? 전 팀장은 “백신이 탐지하지 못하는 악성코드를 탐지해 내는 것이 중요하다”며 “안티바이러스 업체가 대응하기 힘든 다양한 악성코드를 막으려면 그 경로를 찾아내야하고 그것을 전체에 적용하는 시스템이 필요하다”고 강조했다.
 
◇해커의 입장에서 보안구축하고 파격적 보안교육 중요=권석철 큐브피아 대표는 “네이트와 같은 경우는 악성코드 감염에 의해 서버를 장악당한 사례”라며 “이런 공격방법은 기존에 많이 사용하던 공격패턴이다. 악성코드 감염은 굳이 보안담당자나 시스템 관리자가 감염되지 않더라도 직원중 누구 한명이라도 감염되면 범죄자는 충분히 시스템을 장악할 수 있다. 그 정도까지 해킹 범죄자들의 기술은 진화된 상태”라고 경고했다.   
 
권 대표는 “직원 전체가 보안의식을 가지고 모든 업무를 처리해야 한다. 단 한명이라도 부주의하게 메일에 있는 파일을 열어보고나 메신저로 전달된 링크를 클릭하거나 악성코드를 유포하고 있는 사이트에 접근하면 끝”이라며 “피상적인 직원 보안교육보다는 실제로 해킹되는 장면을 보여주고 이렇게 될 때 우리 기업이 어떤 피해를 당할 수 있다는 것을 직접적으로 보여주는 파격적인 보안교육이 필요하다”고 강조했다.
 
또 그는 “현재 관제는 외부만 담당하고 내부는 보안팀에서 담당하는 식의 보안은 효과적이지 못하다. 관제와 백신, 보안팀, 보안장비 등이 상호 크로스 체크 될 수 있도록 체계를 세워야 하고 보다 적극적인 직원 보안교육이 필요하며 해커의 입장에서 보안을 하는 것이 가장 중요하다”고 덧붙였다. [데일리시큐=길민권 기자]