2019-11-14 17:24 (목)
[K-ISI 2018] "국내 호스팅사 등 공급망 이용한 은밀한 타깃 공격...지금도 ing"
상태바
[K-ISI 2018] "국내 호스팅사 등 공급망 이용한 은밀한 타깃 공격...지금도 ing"
  • 길민권 기자
  • 승인 2018.09.16 17:29
이 기사를 공유합니다

이재광 KISA 팀장 "망 사이 접점과 개발 테스트서버 모니터링 강화해야"

▲ 데일리시큐 주최 K-ISI 2018에서 국내 공급망을 해킹해 공격을 하고 있는 해커들의 흔적에 대해 강연을 진행하고 있는 KISA 이재광 팀장.
▲ 데일리시큐 주최 K-ISI 2018에서 국내 공급망을 해킹해 공격을 확대해 나가고 있는 해커들의 흔적을 분석한 내용에 대해 강연을 진행하고 있는 KISA 이재광 팀장.
데일리시큐 주최 대한민국 정보보호 인텔리전스 컨퍼런스 K-ISI 2018에서 이재광 한국인터넷진흥원(KISA) 침해사고분석단 팀장은 '은밀하게 위대하게-해커의 전략과 흔적들'이란 주제로 강연을 진행했다.

이재광 팀장은 분석가들을 힘들고 고민하게 만들었던 일련의 국내 공급망을 타깃으로 한 해킹공격행위에 대한 분석 내용을 공유해 큰 관심을 끌었다.

이번에 공유한 공격내용 분석은 지난 2016년 12월 이전부터 시작해 현재까지 진행되고 있는 APT 공격사례다.

▲ 2016년 12월 이전부터 시작된 공격자의 공격 흐름
▲ 2016년 12월 이전부터 시작된 공격자의 공격 흐름
공격자는 2016년 12월 이전부터 국내 호스팅사를 대상으로 공격을 진행했으며 KISA가 본격 대응을 시작한 것은 올해 초부터다. 공격은 타깃인 호스팅사 관리자 PC와 게이트웨이와 VPN 등 내부망 침투를 위한 접점을 장악해 개발, 운영 환경까지 장악하게 된다. 올해 4월에는 또 다른 호스팅사 공격에 성공해 해당 회사의 내부망을 장악하고 고객서비스망까지 장악해 정보를 빼내 가고 있다.

이재광 팀장은 호스팅사와 같은 공급망을 장악해 공격을 확산시켜 나가는 것이 최근 공격 트렌드이며 이런 공격은 상당히 심각한 상황이라고 경고했다.

이 팀장은 "공격자는 외부 서비스 서버를 장악해 게이트웨이를 타고 타깃 공급망 본사를 침투하고 있다. 게이트웨이에 대한 위협 모니터링이 반드시 필요하다. 이후 공격자는 타깃의 운영서버에 악성코드를 설치해 내부망을 장악한 후 고객서비스망까지 침투하고 고객정보를 빼내간다. 이런 공격으로 어디까지 공격의 흐름이 흘러 들어갔는지 우려스러운 부분이다"라고 말했다.

분석 내용을 정리하면, 공격자는 2016년 12월 이전부터 공격을 시작해 호스팅사의 관리자 PC를 장악해 공격을 시작했고 16년 12월 호스팅사 고객(타깃1)의 서비스를 장악해 나갔다. 2017년 9월 타깃1의 내부망 침투 접점을 장악하고 2018년 2월 타깃1의 개발 및 운영 환경을 장악했다. 이후 타깃1의 고객서비스를 장악했고 2018년 4월 타깃2의 개발 및 기술지원 환경을 장악했다. 4월에 또 타깃3의 운영 환경을 장악했고 5월에는 타깃4의 개발 및 기술지원 환경을 장악했다. 공격은 현재 진형중이다.

또 공급망 본사 PC를 장악후 개발망을 공격해 인증서와 소스코드 등을 공격해 나간다. 특히 소스코드 백업 서버를 공격하고 테스트 서버까지 공격해 공격에 요긴하게 활용한다. 더불어 해커는 국내 서버 다수를 활용해 통신채널로 활용하고 있으며 리버스커넥션 백도어와 방화벽을 우회해 공격하고 있다.

▲ 이재광 팀장의 K-ISI 2018 발표현장.
▲ 이재광 팀장의 K-ISI 2018 발표현장.
이재광 팀장은 "개발환경 중에서도 가장 관리가 안되는 환경이 바로 테스트서버와 소스코드 백업서버다. 공격자들은 이를 노리고 있다. 메인 개발PC를 아무리 관리를 잘해도 소용이 없는 것이 바로 이런 공격 때문이다. 고객관리 서버도 주요 타깃이다. 백업서버 등을 통해 내부로 이동해 다양한 공격을 진행하고 있으며 테스트 서버의 백신까지 중지시켜 공격한다. 거침없이 공격을 진행시켜 나가고 있다는 것을 알 수 있다. 공급망 위협에 대한 대책이 필요하다"고 강조했다.

이어 그는 "공격자가 장악한 서버와 주고받은 통신을 분석해 보면 9천번 이상 통신한 경우도 있다. 통신채널(C2)도 지속적으로 사용하는 것이 아니라 공격 상황에 맞게 사용했다가 잠시 쉬고 다시 사용하고 여러대의 서버를 중복하거나 갈아타면서 통신채널로 활용하고 있다. 네트워크 보안 관점에서 고민해야 봐야 할 사안이다"라고 전했다.

해커가 사용하고 있는 국내 통신채널은 수십대에 달하며 1일 최대 접속이 600회를 넘는 경우도 있다. 이러한 공격은 지금도 계속 되고 있다.

공격자는 서비스망과 폐쇄망 사이를 연결하는 접점을 집중 공략하고 있다. 또 통신채널로 사용되고 있는 서버에 자신들의 흔적을 남기지 않고 있다.

이 팀장은 마지막으로 "타깃1을 대응하는데 10주가 걸렸다. 분석팀 50% 이상을 투입했다. 하지만 여전히 불씨는 살아있다. 공급망이라 어디까지 공격의 불씨가 남아있는지 알 수가 없다. 한편 기업들은 분석이 이루어지면 깨끗해 졌다고 생각한다. 아니다. 지금부터 대응의 시작이란 것을 알았으면 한다"며 "또 여전히 대응 속도는 공격자 보다 한바퀴가 느리다. 한바퀴라면 사실 따라잡기 불가능한 거리다. 그들을 따라 잡을 의지가 흔들릴 때가 있다. 그리고 분석가들이나 KISA가 어떻게 이런 공격들을 분석하고 대응해야 하는지 어떤 변화가 필요한지 고민이다"라고 말을 맺었다.

★정보보안 대표 미디어 데일리시큐!★