2019-08-18 01:45 (일)
[김혁준 칼럼] 사이버전의 역사(5) - 사이버전 실전해부
상태바
[김혁준 칼럼] 사이버전의 역사(5) - 사이버전 실전해부
  • 길민권 기자
  • 승인 2019.07.11 16:42
이 기사를 공유합니다

“사이버전 시대의 해킹 대응, 변화관리로의 정보보호에 중점 둬야”

▲ [그림] 1. 이탈리아 특수작전팀이 구성한 원격제어(RCS) 공격망
▲ [그림] 1. 이탈리아 특수작전팀이 구성한 원격제어(RCS) 공격망
침해사고대응 전문기업 나루씨큐리티 김혁준 대표가 데일리시큐를 통해 <사이버전의 역사>를 주제로 연재를 진행하고 있습니다. 바쁘신 가운데 기고 수락해 주신 점 감사드립니다. 보안의 다양한 주제들을 가지고 김혁준 대표와 데일리시큐 독자들간 의견교환과 정보공유를 할 수 있는 소중한 시간이 되길 바랍니다. -편집자 주-

사이버전은 우리가 사는 물리적 공간이 아닌 사이버 공간에서 발생하며 “침해사고”라는 이름으로 두 공간이 만날 때 비로소 외부에 알려진다. 따라서 우리에게 보이는 것은 수천 개의 부분으로 이루어진 전체 그림의 마지막 조각뿐이며 전체 모습을 보기 매우 어렵다. 영국의 저명한 작가 아서 클라크는 “충분히 성숙한 기술은 마술과 구별되지 않는다”라고 말한 것과 같이 세계적인 마술사가 수많은 장치와 인력을 동원해 수년간 구성한 쇼가 무대에 올라갔을 때의 모습을 보는 것과도 같다.

사이버전은 매우 은밀히 진행되기에 그 전모가 외부에 노출되는 경우는 매우 드물다. 그러나 2006년 줄리안 어산지에 의해 설립된 위키리크스(Wikileaks)는 2007년 이라크전 미공개 영상, 2010 아프간전 비밀 데이터 그리고 지난 미국 대선에서 힐러리 클린턴의 개인 이메일을 공개하여 큰 파장을 일으켰으며 또한 이탈리아 정부의 특수작전부대인 ROS의 사이버전 진행과정을 자사 홈페이지를 통해 상세하게 공개하였다. 사이버전의 역사 다섯 번째 이야기 “사이버전 실전 해부”에서는 이를 기반으로 사이버전의 특성 및 진행과정을 소개하고자 한다.

사이버전은 일반 전쟁과는 다른 정보전의 특성을 가진다. 통상 우리가 사는 물리적인 공간에서는 007로 대변되는 정보원과 이들이 사용하는 물리적 거점을 통해 정보수집 작업이 이루어지며 수집된 정보를 기반으로 공격 목표를 선정하고 이를 달성하기 위한 일련의 작업이 이루어진다. 사이버 전장에서도 이러한 정보수집, 거점 확보, 타깃 설정, 목표 달성의 일련의 과정이 발생하는데 이 과정에서 환경적 제약에 따라 다양한 모습으로 관찰되며 각 과정은 비 동기적으로 진행된다.

이러한 일련의 작업을 수행하기 위해서는 방어자의 역추적을 방지하기 위한 프락시 설정, 탈취된 정보를 저장하기 위한 저장소, 직접 공격을 수행하기 위한 공격거점 등 다양한 인프라를 구축하여야 한다. [그림1]은 위키리크스를 통해 공개된 이탈리아 ROS의 공격 인프라 그림으로 공격원점 추적을 회피하기 위한 익명화 채널 사용, 공격팀 내부 권한 관리를 통한 수집정보 접근제어 등의 체계를 엿볼 수 있다.

이러한 인프라가 구축된 후 가장 먼저 진행되는 것은 정보수집 과정으로 공격자는 피싱 메일, 공급망 공격, 직접 침투 등 다양한 방법을 통해 공격 대상 지역의 정보를 수집한다. 이때 공격자는 가급적 주요 공격 목표를 대상으로 광범위한 공격을 수행하며 다수의 성공사례와 실패사례가 동시에 발생한다. 일반적으로 정보수집 과정은 국가 간 긴장상황 변화와 무관하게 움직인다. 이 정보수집 과정에는 인적 정보수집과 더불어 향후 공급망 공격을 수행하기 위한 주요 소프트웨어 납품업체에 대한 공격 등이 수행된다.

이렇듯 철저한 준비를 갖추고 공격 대상 사용자 정보를 손바닥 드려다 보듯 하던 공격자도 사이버 공간의 특성상 예측하지 못한 암초를 만나게 된다. 이탈리아 특수작전부대 공격팀은 공격 원점 노출을 피하기 위해 영국의 방탄 호스팅 업체인 산트렉스를 외부 접점으로 사용하고 있었다. 방탄 호스팅이란 서버 호스팅 사업자 중 외부의 정보제공 요청 및 해당 호스팅을 원점으로 한 공격행위에 대한 차단 요구를 일절 받아들이지 않는 호스팅 사업자를 말한다.

2013년 7월 3일 산트렉스는 자사 서버가 운영되는 인터넷데이터센터에 요금 체불로 46.166.163./24 대역을 사용할 수 없게 되었다. 마침 해당 대역은 이탈리아 특수작전부에서 정보수집 시 외부에 노출되는 익명화 IP로 사용하는 대역으로 사용하고 있었으며 작전팀은 공격 대상 PC 혹은 모바일 장치에 설치한 원격제어장치에 접근할 수 없게 되었다. 이탈리아 정부 작전팀은 공격도구 및 공격 인프라 구축에 깊게 관여되어 있는 자국의 사이버 사업체인 해킹팀을 통해 호스팅 사업자를 통해 익명화 서버에 접근하고자 하였으나 연락이 이루어지지 않자 당시 산트렉스가 보유하고 있던 주소 대역을 불법으로 가로채기 하기로 결정한다.

2013년 8월 16일 07시 32분 이탈리아 특수작전팀은 자국의 ISP인 아루바를 통해 마치 산트랙스 보유 대역을 아루바가 가지고 있는 것과 같이 허위로 아나운싱을 하고 아루바 네트워크에 산트렉스에 설치한 것과 동일한 허위 RCS 서버를 구축하여 클라이언트에 접근을 시도하였다. 몇 번의 시행착오를 거쳐 2013년 8월 20일 해당 대역을 사용하는 총 4개의 RCS 클라이언트 중 3개에 대한 접근에 성공하였고 클라이언트 설정 변경을 통해 익명화 접점을 모두 변경한 후 2013년 8월 22일 13시 35분 가로채기를 실행한 대역을 원상복구 하였다. 이 작전이 이루어진 2013년 8월 16일 7시 32분부터 동월 22일 13시 35분까지 6일 동안 전 세계에서 46.166.163./24 대역으로 전달되는 모든 패킷은 마치 마술과 같이 특수작전팀이 구성한 허위 서버로 전달되었고 해당 건이 위키리크스를 통해 공개되기 전 어느 누구도 이 사실을 인지하지 못하였다.

전지전능해 보이는 해커들의 마술과 같은 해킹 행위도 그 과정에서 발생한 행위를 하나하나 추적해 보면 우리와 똑같은 사람인 것을 알 수 있고 이러한 과정을 거울삼아 향후 발생할 수 있는 사고에 대응할 수 있다. 국가기반 해킹이 발생하기 전 정보보호 대응체계가 “누가” “무엇을”이라는 부분에 집중하여 변화하지 않는 속성으로 악성과 정상을 구분하는 것에 중점을 두었다면 이제 사이버전 시대의 해킹에 대응하기 위해서는 “언제” “어디서”라는 환경요소에 대한 선행적 이해를 통해 발생한 행위에 따라 지속적으로 정상과 비정상을 확인할 수 있는 “Trust but verify!” 즉 변화관리로의 정보보호에 중점을 두어야 한다.

<참고서적>
1. MARQUIS-BOIRE, Morgan. Backdoors are forever: Hacking team and the targeting of dissent. 2013.
2. MARCZAK, William R., et al. When governments hack opponents: A look at actors and technology. In: 23rd {USENIX} Security Symposium ({USENIX} Security 14). 2014. p. 511-525.
3. https://wikileaks.org/hackingteam/emails/
4.https://bgpmon.net/how-hacking-team-helped-italian-special-operations-group-with-bgp-routing-hijack/

▲ 필자. 김혁준 나루씨큐리티 대표
▲ 필자. 김혁준 나루씨큐리티 대표
[필자. 김혁준 (주)나루씨큐리티 창업자 및 대표이사 / joonkim@narusec.com / △경찰청 사이버범죄 전문가 그룹 자문위원 △정보통신망 침해사고 민관합동 조사단 전문가 △국방데이터센터(DIDC) 자문위원 △한국블록체인협회 보안분과위원(내부망보안, 보안아키택처) △2017/2018 IITP 정보보호 R&D 기획위원회 위원 △고려대학교 사이버국방학과 출강 △(전)사이버사령부 자문위원 △(전)한국인터넷 진흥원 침해사고대응센터 연구원 △알버타 주립대학교 Prediction in Interacting System 센터 연구원 △알버타 주립대학교 컴퓨터공학과 졸업 △2018년 사이버치안대상 감사장 수상 △2008 FIRST Security Best Practice 수상 △네트워크 보안모니터링 외 2권 번역 △사이버전 전장환경 및 네트워크 분석 관련 논문(6) △국제특허 1건을 포함한 3건 보유 8건 출원 △나루시큐리티는 타깃공격대응 전문기업으로 침해사고 원인규명을 위한 사이버킬체인 기반의 사고분석 및 재발방지를 위한 보안아키텍처 수립 방안을 제공하고 있다. 자체 개발한 내부망타깃공격 전문대응솔루션 '컨텍텀(ConnecTome)'과 침해사고대응훈련서비스를 국내외 공공기관 및 기업 등에 제공하고 있다.]

★정보보안 대표 미디어 데일리시큐!★