Informe de McAfee Labs sobre amenazas Agosto de 2015

보고서

맥아피 연구소 위협 보고서 2015년 8월호

2분기에 58% 증가한 새로운 샘플 수에서 알 수 있듯 랜섬웨어가 급격히 증가하고 있습니다.

맥아피 연구소 소개

도입

맥아피 연구소는 위협 연구, 위협 인텔리전스 및 사이버 보안 사고 리더십에서 세계 최고의 선도적인 정보제공처입니다. 맥아피 연구소는 파일, 웹, 메시지 및 네트워크 등의 주요 위협 벡터에 배치된 수백만 개의 센서로부터 데이터를 집계하여 위협을 방어하고 위험을 줄이기 위해 실시간으로 위협 인텔리전스, 중요 분석 및 전문가 의견을 제공합니다.

이달로 인텔이 맥아피 인수 소식을 발표한지 5주년을 맞습니다. 이후 보안 분야에 많은 변화가 있었습니다. 그래서 인텔시큐리티는 지난 5년을 되짚어보고 발생할 것으로 예상했던 일들과 실제로 발생한 일들을 비교해봤습니다.

맥아피는 현재 인텔시큐리티(Intel Security)로 통합되었습니다. www.mcafee.com/us/mcafee-labs.aspx 맥아피 연구소 팔로잉하기

인텔은 사이버 위협 상황을 중심으로 한 지난 5년간의 주요 전개 양상을 살펴보기 위해 맥아피 인수 이후 인텔이나 맥아피에서 근무해온 십여 명의 핵심 인사와 인터뷰를 실시했습니다. 인터뷰 질문에는 다음과 같은 내용이 포함되었습니다. 위협 주체의 유형이 어떻게 바뀌어왔는가?, 공격자의 습성과 공격 대상이 어떻게 변해왔는가?, 사이버 범죄의 경제적인 측면은 어떻게 변해왔는가?, 업계는 어떻게 대응해왔는가? 또한 인터뷰에 응한 사람들이 예상하지 못했던 일이나 깜짝 놀랄만한 일은 무엇이었는지도 조사했습니다. 부디 이번 조사가 도움이 되기를 바랍니다. 이번 분기에는 두 가지 대단히 흥미로운 핵심 주제도 논의합니다.

맥아피 연구소 위협 보고서에서는 신뢰할 수 있는 네트워크나 시스템에 공격자들이 침입하는 수법을 분석하는 데 상당한 시간을 할애한 반면, 공격자들이 네트워크나 시스템에 침입하는 데 성공하고 난 후 탈취하려는 정보를 빼내는 방법에 대해서는 거의 다루고 있지 않습니다. 핵심 주제에서는 McAfee Foundstone 포렌식 컨설팅 팀의 괄목할만한 경험을 활용하여 공격자가 표적 데이터를 은밀히 빼내는 데 사용한 구체적인 전술과 수법을 자세히 파헤칩니다.

맥아피 연구소 위협 보고서, 2015년 8월호 | 2

그래픽 처리 장치(GPU)를 대상으로 한 악성코드 공격이 몇 년 전부터 출현했지만 큰 주목을 받지 못했습니다. 공격자들이 GPU 를 활용함으로써 감지를 피한 채 악성코드를 실행하고 데이터를 장치에 저장하는 방법을 보여주는 개념증명코드(proof-ofconcept code)가 최근 GitHub에 게시됐던 것으로 알려졌습니다. 이 핵심 주제에서는 이와 같은 주장을 분석하고 이러한 공격 수법을 통해 가능한 일과 불가능한 일을 명확히 설명합니다.

■■

기타 주목할 사항: ■■

■■

––(이메일, 브라우저 검색 등을 통해) 고객이 위험한 URL에 연결하도록 유인하려는 시도가 시간당 670만 건 이상 발생했습니다.

Black Hat USA 2015가 8월 초에 개최됐습니다. 인텔은 2개의 세션에서 발표를 맡았는데, 그 중 하나는 인텔과 인텔시큐리티가 공동으로 수행한 연구가 하드웨어 보호 능력을 어떻게 개선하는지 설명하는 데 초점이 맞춰졌습니다. “펌웨어와 하드웨어를 이용한 하이퍼바이저 공격”이란 세션에서는 BIOS와 같은 시스템 펌웨어와 하드웨어 에뮬레이션에 존재하는 취약성의 관점에서 현대식 하이퍼바이저 공격 범위를 탐구했습니다. 발표 내용은 Black Hat 폐회 직후에 이곳에 수록할 예정입니다. 지난 분기에 언급했듯이 더 많은 쿼리, 더 많은 위협 데이터, 더 많은 평판 유형을 처리하기 위해 맥아피 글로벌 위협 인텔리전스의 기본 클라우드 인프라를 교체했습니다. 또한 속도, 안전, 보안, 복원력, 그리고 관리의 용이성을 개선하고자 아키텍처도 새로 바꿨습니다. 그 밑거름이 바로 새로 개발된 RESTful 아키텍처입니다. 2분기에는 전 세계 맥아피 GTI에 RESTful 아키텍처를 구현하는 작업이 완료됐습니다.

2014년에 인텔은 맥아피 GTI 내부의 데이터를 더욱 철저히 이해하고 활용하기 위해 데이터 과학팀을 발족했습니다. 데이터 과학팀은 대시보드와 연결되는 맥아피 GTI 클라우드 장비를 개발했습니다. 덕분에 실제 공격 패턴을 확인하고 분석해서 고객을 더욱 효과적으로 보호할 수 있게 됐습니다. 아래의 수치를 통해 고객이 겪고 있는 공격 건수에 대해 가늠할 수 있습니다. 2분기에 고객이 당한 공격 건수는 다음과 같습니다.

––시간당 1,920만 건 이상의 감염 파일이 고객의 네트워크에 유입됐습니다. ––PUP 설치 또는 실행 시도가 시간당 7백만 건 발생했습니다. ––고객을 위험한 IP 주소에 연결하거나 이런 주소가 고객의 네트워크에 연결하려는 시도가 시간당 230만 건 발생했습니다. ■■

인텔은 맥아피 연구소 위협 보고서 사용자 설문조사를 통해 독자들로부터 소중한 의견을 지속적으로 수렴하고 있습니다. 본 위협 보고서에 관한 귀하의 의견을 공유하고 싶다면 여기를 클릭하여 5분만에 완료할 수 있는 간단한 설문조사에 참여해 주십시오.

—Vincent Weafer, 맥아피 연구소 선임 부사장

이 보고서 공유


목차 맥아피 연구소 위협 보고서 2015년 8월호 본 보고서 조사와 작성에 참여한 사람들: Brad Antoniewicz Christiaan Beek Dave Bull Torry Campbell Cedric Cochin Carric Dooley Douglas Frosst Robert Gresham Paula Greve Steve Grobman Dave Marcus François Paget Eric Peterson Matthew Rosenquist Raj Samani Craig Schmugar Mike Sentonas Rick Simon Bruce Snell Dan Sommer James Walter Vincent Weafer

요약

5

핵심 주제

6

인텔 + 맥아피: 지난 5년 회고

7

데이터 탈취: 사이버 도난 과정의 중요 단계

16

GPU 악성코드: 허와 실

26

위협 통계

30

요약 인텔 + 맥아피: 지난 5년 회고

본 보고서에서는 지난 5년을 되짚어보고 일어날 것으로 예상했던 일들과 실제로 벌어진 일들을 비교해봅니다. 또한 위협 주체의 유형 변화, 공격자 행태와 목표의 변화 양상, 사이버 범죄의 경제적 측면의 변화, 업계의 대응과 같은 사이버 범죄의 주요 전개 양상에 대해 살펴봅니다.

이달로 인텔이 맥아피 인수 소식을 발표한지 5주년을 맞습니다. 이후 사이버 보안 세계에 많은 변화가 있었습니다. 인텔은 지난 5년간의 사이버 보안 시장과 인텔의 보안 연구가 어떻게 전개되어 왔는지 설명하기 위해 맥아피 인수 이전부터 인텔이나 맥아피에서 일해온 십여 명의 전문가들의 의견을 수렴했습니다. 본 보고서에서는 하드웨어 보안에 대한 생각의 발전, “퍼펙트 스톰(perfect storm)”이 사이버 보안 세계에 닥쳐올 시기에 대한 전망과 실제 전개 양상, 감지하기 어려운 공격의 등장으로 수반되는 과제, 새로 등장할 유형의 기기에 대한 2010년 전망과 실제 출시된 기기의 차이를 단계적으로 논의합니다. 또한 몇 가지 전혀 예기치 못했던 전개 양상, 특히 사이버 범죄가 완숙기에 접어든 일종의 산업으로 진화한 점도 구체적으로 살펴봅니다.

데이터 탈취: 사이버 도난 과정의 중요 단계

이 핵심 주제에서는 공격자가 목표로 삼은 데이터를 은밀히 빼내는 데 사용한 구체적인 전술과 수법을 자세히 파헤칩니다.

최근 10년 새에 2007년 TJ Maxx에서 발생한 9,400백만 건의 기록 유출 사고부터 올해 Anthem에서 발생한 8천만 건의 환자 기록 도난 사고에 이르기까지 대규모 데이터 유출 사고 건수와 기록 도난 분량이 엄청나게 증가했습니다. 이 핵심 주제에서는 데이터 도난 과정의 중요 단계인 ‘데이터 탈취’을 중점적으로 논의합니다. 데이터 탈취란 사이버 범죄자가 원 소유주의 네트워크에서 본인이 제어하는 네트워크로 데이터를 복사하거나 옮기는 것을 말합니다. 이 핵심 주제에서는 공격자 유형, 공격 동기, 가능성 높은 표적, 데이터를 훔치는 데 사용하는 방법과 메커니즘, 그리고 데이터 탈취를 더욱 철저히 감지하기 위해 기업이 수용해야 하는 정책을 살펴봅니다.

GPU 악성코드: 허와 실

이 핵심 주제에서는 GPU 공격을 통해 가능한 일과 불가능한 일을 명확히 설명합니다.

그래픽 처리 장치(GPU)를 대상으로 한 악성코드 공격이 몇 년 전부터 등장했습니다. 실제로, GPU 성능을 이용해서 각 희생자의 감염 시스템에서 결제 금액을 늘리는 수법인 비트코인 마이닝 트로이 목마(Bitcoin-mining Trojan) 형식의 GPU 악성코드가 최소 4년 전부터 성행해왔습니다. 최근 한 단체는 세 가지 개념증명 프로젝트를 발표했는데, 아무도 눈여겨보지 않는 GPU 에서 코드를 실행하고 데이터를 저장하는 수법을 통해 GPU를 우회 수단으로 악용한다는 주장이 포함되어 있습니다. 이 핵심 주제에서는 이 프로젝트와 관련한 논거를 세분화해서 다루고 이와 같은 소프트웨어 모듈들을 사용할 경우 어떤 일이 가능한지 분석합니다.



핵심 주제 인텔 + 맥아피: 지난 5년 회고 데이터 탈취: 사이버 도난 과정의 중요 단계 GPU 악성코드: 허와 실

피드백 공유

핵심 주제

인텔 + 맥아피: 지난 5년 회고 —맥아피 연구소 2010년 8월 19일에 인텔은 맥아피 인수 소식을 발표했습니다. 당시에 이미 맥아피와 인텔은 협력 체제를 통해 몇 가지 프로젝트를 진행하던 차였는데, 인텔은 그와 같은 체제를 무기한으로 연장한다면 작업 효과를 한층 더 개선 및 촉진할 수 있을 것이란 사실을 깨달았습니다. 이후 두 회사는 상호간의 역량을 전수하는 데 매진해왔습니다. 맥아피와 인텔은 전제를 철저히 검증하는 한편 비현실적인 전망을 배제하고 자신감을 증진하면서 미래를 향한 공격적인 계획을 수립했습니다.

맥아피 인수 이전부터 인텔이나 맥아피에서 일해온 십여 명의 전문가들이 사이버 보안 시장과 양사의 협업이 어떻게 전개되어 왔는지 되짚어보기 위해 본 보고서 연구에 협력했습니다. 열거하자면 아래와 같습니다. Christiaan Beek Torry Campbell Carric Dooley Steve Grobman Dave Marcus Matthew Rosenquist Raj Samani Mike Sentonas Craig Schmugar Bruce Snell James Walter Vincent Weafer

5년이 지난 지금 파트너 관계는 어떻게 바뀌었을까요? 맥아피 인수 이전부터 인텔이나 맥아피에서 일해온 십여 명의 전문가들이 사이버 보안 시장과 양사의 협업이 어떻게 전개되어 왔는지 되짚어보기 위해 본 보고서 연구에 협력했습니다. 인텔시큐리티는 지난 5년을 돌아보고 당시에 위협 양상을 어떻게 예상했고, 실제 양상은 어땠으며, 전혀 예기치 못했던 전개 양상에는 어떤 것이 있는지 살펴봤습니다.

인텔이 바라본 맥아피 인텔은 전체 기술 시장의 꾸준한 성장과 함께 번창하고 있습니다. 창사 이후 한결같이 인텔은 시장을 저해하거나 꾸준한 성장의 걸림돌로 작용하는 요소를 해소하는 데 필요한 조치를 취해왔습니다. 프로세서 속도, 메모리 용량, 전력 소모량, 주변장치 연결, 칩 크기 등은 인텔이 극복한 걸림돌입니다. 5년 전 인텔은 보안을 어렴풋한 장애물로 인식했습니다. 프라이버시, 보안 또는 심지어 안전의 위협으로 인해 기기, 네트워크 또는 서비스에 대한 소비자들의 신뢰를 잃기 시작한다면 시장의 다른 부문도 약화되어 갈 것입니다. 인텔이 조직적으로 해결할 수 있는 간단한 일부 특정 하드웨어 문제와 달리, 보안 문제는 인텔이 홀로 감당하기에 무리이며 이와 같은 성장의 장애물을 제거하려면 맥아피의 보안 전문지식이 필요하다는 결론에 도달했습니다.

맥아피가 바라본 인텔 5년 전 공격자들이 방어망을 우회하는 능력을 강화하고, 보호를 필요로 하는 기기의 유형이 급격히 증가하며, 루트킷과 같은 로레벨(low-level)의 위협이 크게 늘어나자 맥아피는 보안 범위를 확장해야 한다는 사실을 절감했습니다. 시그니처 기반의 악성코드 방지 소프트웨어와 주변부 전면 방어만으로는 장기적으로 안전한 환경을 보장할 수 없었기 때문입니다. 맥아피는 주변부 전면 방어를 무력화시키기에 충분할 정도로 악성코드가 정교해질 것으로 예상했습니다. 맥아피는 신뢰할 수 있는 네트워크에서 공격을 저지하고 공격으로 인한 손상을 치료할 수 있도록 하드웨어와 새로운 플랫폼의 심층부에 보안을 구현하길 원했습니다. 이와 같은 수준에 도달하려면 하드웨어 기능과 습성에 대한 훨씬 더 면밀한 이해가 필요했습니다. 당시에 맥아피는 이미 프로세스 차원의 보안 프로젝트를 위해 인텔과 협력 관계를 맺고 있었고 인텔의 지식과 역량을 십분 활용할 수 있다는 것을 깨달았습니다.



핵심 주제

추가 리뷰 인텔이 인수 소식을 발표했을 때 맥아피는 기술자, 분석가 및 투자 커뮤니티에 합당한 이유를 설명했습니다. 주요 이유 중 하나는 소프트웨어와 하드웨어의 연계를 강화함으로써 보안을 개선하고 갈수록 더 정교해지는 위협에 더욱 효과적으로 대응할 수 있다는 것이었습니다. 이 같은 위협이 기기의 수 및 종류의 대폭적인 증가와 맞물리면서 보안 사고 및 취약성의 퍼펙트 스톰이 형성될 우려가 있었습니다. 이와 같은 새로운 위협은 감지하기가 더 어려워서 새로운 사이버 방어 전략이 필요하다고 맥아피는 판단했습니다. 또한 PC를 제외하고도 수십 억 대의 기기가 네트워크에 연결되면서 컴퓨팅 동향이 급격히 변할 것으로 예상했습니다. 이와 같은 요소들이 사이버 위협 동향의 경제적, 기술적 발전에 촉매제가 될 것으로 우려됐습니다. 따라서 결론은 분명했습니다.

하드웨어 기반의 보안 초기에 맥아피 인수의 핵심 목표는 보안 기술을 하드웨어에 접목시키는 것이었습니다. 경우에 따라 공개된 지 며칠 만에 사이버 범죄 커뮤니티가 위협을 복제해 내고 가장 정교한 형태로 진화시킬 정도로 발 빠르게 움직이는 것을 감안하면 이 같은 행보는 도전이나 다름 없었습니다. 보안용 하드웨어는 보안용 소프트웨어보다 개발, 출시 및 배치하는 데 훨씬 더 많은 시간이 소요되는 탓에 보안 산업은 주로 소프트웨어의 민첩성과 적응력에 의존하여 예상하지 못한 새로운 위협에 대응합니다. 고객은 일반적인 하드웨어 설계 주기 기간인 5 년 전은 고사하고 어제까지도 상상하지 못했던 공격을 차단하려면 방어망을 발 빠르게 업데이트할 수 있어야 합니다. 인텔시큐리티는 칩에 악성코드 방지 소프트웨어를 내장하는데 주력하는 대신, 하드웨어 지원으로 암호화 성능을 강화하고 로레벨(low-level) 기능으로 부당 변경 방지 및 커널 모니터링 기능을 개선하며 차세대 칩에 기본적인 보안 요소를 내장하여 보안 및 운영체제 소프트웨어가 활용하도록 설계하는 것이 더 합리적이라고 판단했습니다.

맥아피 인수 이후 인텔시큐리티는 하드웨어 및 펌웨어 구성 요소를 분석하고 로레벨(low-level) 보안 위험을 평가하기 위해 평가 오픈 소스인 CHIPSEC 프레임워크를, 그리고 런타임 무결성 확보를 위해 Intel Kernel Guard를 각각 출시했습니다.

펌웨어와 BIOS를 무대로 한 로레벨 공격은 끈질기게 되풀이해서 공격하는데 효과적이어서 사이버 스파이와 기타 장기적 공격 주체로부터 인기를 얻고 있습니다. 이와 같은 유형의 악성코드는 감지를 피한 채 운영체제 하부 깊숙이 잠입해서 바이러스 검사와 재부팅에도 살아남기 때문에, 인텔시큐리티는 하드웨어 및 펌웨어 구성 요소를 분석하고 로레벨 보안 위험을 평가하기 위해 평가 오픈 소스인 CHIPSEC 프레임워크를, 그리고 런타임 무결성 확보를 위해 Intel Kernel Guard를, 인증 및 보호를 위해 BIOS Guard를 각각 출시했습니다. 인텔시큐리티는 인텔과 맥아피의 지식, 노하우, 시장 입지를 통합함으로써 위협 상황의 변화를 관찰하고 그에 맞게 대응하며 예측하기에 유리한 고지를 점했습니다. 인텔시큐리티의 목표는 보안이 개선된 칩을 시장에 보급하면서 모바일, 사물 인터넷(IoT) 및 클라우드라는 새로운 패러다임에 적합한 보안 소프트웨어를 제공하는 것입니다.



핵심 주제

다가오는 퍼펙트 스톰 더 많아진 사용자, 더 많아진 데이터, 더 커진 네트워크, 그리고 더욱 다양해진 기기와 클라우드 같은 기타 공격 대상이 더욱 거세진 공격, 더욱 영리해진 신종 악성코드, 그리고 점점 더 교묘해지는 공격 주체와 맞물리면서 보안의퍼펙트 스톰이 형성되리라는 사실을 우리 모두 짐작했습니다. 이런 예상 중 대부분은 현실화됐습니다. 다만, 클라우드 컴퓨팅, 사물 인터넷 기기, 그리고 모바일 기기 보급 속도는 예상보다 빨랐습니다. 2020년까지 310억 대의 기기가 인터넷에 연결될 것이라던 2010년의 예측과 달리, 지금으로서는 그 수치를 훨씬 넘어설 것으로 전망됩니다.

보안의 퍼펙트 스톰을 제대로 예측하긴 했지만 그 속도와 여파는 과소평가했습니다.

사이버 공격자들은 잠재적 공격 대상의 대폭적인 증가와 공격 범위 확대 추세를 십분 활용하고 있습니다. 처음에만 해도 이와 같은 위협에 대한 우려는 대부분 정부, 금융기관, 보안 솔루션 제공업체의 몫이었지만 보안 위협이 비즈니스의 가치에 지대한 영향을 미치고 개인의 삶에 큰 고충을 야기함에 따라 이제 기업과 소비자의 주요 관심사가 됐습니다. 현재 우리는 장기적인 첩보 활동과 함께 정부의 후원(물론, 정부는 이를 적극 부인하는 입장입니다)으로 이뤄지는 일부 눈에 띄는 공격을 포함한 국가 차원의 사이버 전쟁에 직면해 있습니다. 거듭 말하자면 이와 같은 전개 양상을 예상 및 예측하긴 했지만 악성코드의 급격한 진화, 공격 건수 증가, 국가 차원의 엄청난 공격 규모는 예상을 훨씬 웃돌고 있습니다.

공격자의 프로파일 변화 Q4 2014 정부 후원 범죄단체 핵티비스트 범죄 오락 • 반달리즘 • 제한적인 기술 능력 • 명성 및 악명 • 한정된 기술 자원 • 알려진 취약점 악용

• 주 정부 지원 • 끈질기고 감정적인 범죄 • 광범위한 범죄자 네트워크 • 표적형 공격

• 금전적 이득 • 상당한 수준의 기술 자원과 능력 • 연합체 형성 • 애드웨어, 크라임웨어, IP 도용

• 사이버 전쟁, 국가 기밀, 산업 스파이 • 고도로 정교 • 사실상 무한한 자원 • 지능형 지속 위협(APT)

자원 증가 및 완성도 향상 공격자 유형 및 자원 증가와 완성도 향상

감지할 수 없는 위협 감지 악성코드가 전통적인 보안 방어를 회피하도록 진화하고 적응해왔기 때문에 퍼펙트 스톰에 대비할 한 가지 방편으로 감지할 수 없는 위협을 감지하는 기술을 추가함으로써 시그니처 기반의 악성코드 방지 소프트웨어를 하루빨리 강화해야 한다는 것이 인텔시큐리티의 입장이었습니다. 더구나 대다수 공격과 달리, 방어망은 일반적으로 누구나 테스트하고 그 성능을 측정할 수 있습니다. 어떤 공격자든 보안 솔루션을 실험실에 설치해서 모든 방법으로 테스트해서 악용할만한 약점이나 회피할 방법을 찾아낼 수 있습니다.



핵심 주제

이런 우려에도 불구하고 지난 몇 년간 대다수 보안 침입은 어렵지 않게 감지할 수 있었습니다. 공격자들은 계획 수립, 공격 목표 결정, 은밀한 침입, 그리고 공격 감행에서 정교함을 보였고 심지어 일부는 대단히 기술적이고 교묘했습니다. 그러나 최근 2년 새에 기술적으로 정교해진 공격 건수의 급증으로 전환 국면을 맞게 됐습니다. 이와 같은 공격 수법 중 다수는 오로지 첨단 방어망을 회피할 목적으로 개발됐습니다. 그래서 이와 같은 악성코드는 여러 개로 분해된 채 잠입한 후 비활성 코드로 위장한 채 잠복하면서 무방비 상태가 오기를 기다립니다. 또한 이런 위협은 기존의 악성코드와 달리 새로 배치될 때마다 암호와 동적 코드를 변경하고 증거가 될만한 데이터를 은폐하는 방법으로 시그니처 기반의 함정을 피할 수 있습니다. 회고: 최근 5년간의 위협

추세와 주목할 만한 악성코드 2010 2011 MBR 감염 대상 증가

2012

2013

2014

2015

OS 하부(MBR, BIOS, 펌웨어)

드라이브-바이 다운로드 (Drive-By Download)

브라우저의 영구적인 위협 익스플로잇 킷(Exploit Kit) 폭증 파일리스 위협/MFI(Malware-Free Intrusion) 서버사이드 폴리모피즘(Server Side Polymorphism)/해시버스터(Hashbuster)

일회용 악성코드

메모리 스크래핑 악성코드(PoS 악성코드 포함) 매크로 및 파워쉘 부스트 스크립트(PowerShell Boost Script) 악성코드

페이크AV 비트코인/디지털 통화 취약점 악용 랜섬웨어 PoS 악성코드 Mac 악성코드 급증 악성코드 플랫폼

모바일 위협(악성코드, PHA, PUA)

다양화 및 다중 플랫폼

IoT 위협

공격

주요 취약점 2011

2012

2013

2014

2015

BEAST—CVE-2011-3389 CRIME—CVE-2012-4929, CVE-2012-4930 RC4—CVE-2013-2566 HeartBleed—CVE-2014-0160, CVE-2014-0346 Shellshock— CVE-2014-6271, CVE-2014-6277, CVE-2014-6278, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187 BERserk—CVE-2006-4339, CVE-2014-1568 Poodle— CVE-2014-3566, CVE-2014-8730 FREAK— CVE-2015-0204, CVE-2015-1637 Logjam— CVE-20154000

인터넷 코어를 겨냥한 주요 공격



핵심 주제

회피 능력을 가진 악성코드와 장기간 지속되는 공격이 갈수록 증가할 것이란 사실은 이미 예상했지만 일부 공격 전술과 수법은 5년 전만해도 상상조차 못했던 것들입니다.

수개월간 계속되는 장기적 공격이나 장기적인 안목으로 악의적 활동을 본격적으로 개시하기에 앞서 기다리면서 지켜보기를 마다하지 않는 공격도 점점 더 늘고 있습니다. 이런 공격은 탈취한 데이터를 즉시 팔려는 데 목적을 둔 것이 아니라 지속적인 첩보 활동에 중점을 두는 경우가 많습니다. 2010년에 인텔시큐리티는 장기간 지속되는 공격이 등장할 것으로 예상하긴 했지만 일부 공격 전술과 수법은 5년 전에 상상조차 못했던 것들입니다. 그와 같은 공격은 이미 2015년 5월호 맥아피 연구소 위협 보고서에서 “이퀘이션 그룹 (Equation Group): HDD 및 SSD 펌웨어 악용”이란 핵심 주제로 다룬 바 있습니다. 또 다른 장기적 공격 역시 “트로이 목마 공격 해부: 한국의 사이버 스파이”란 제목의 보고서를 통해 소개되기도 했습니다.

기기의 종류 증가 앞서 언급했듯이 퍼펙트 스톰은 기기의 종류와 수량의 급격한 증가에 가상화와 퍼블릭 클라우드의 보편화가 뒷받침된 데서 그 발현 원인을 찾을 수 있습니다. 소비자들은 신기술을 대단히 적극적으로 수용하고 있습니다. 휴대전화에서 시작되어 스마트폰과 태블릿을 거쳐 이제는 웨어러블 기기까지 보편화되고 있습니다. 급격한 기기 보급으로 가정과 직장이 의료, 에너지, 물류, 소매, 도시, 운송, 자동차 및 제조 등의 분야에서 사물 인터넷에 연결됩니다. 사람들은 일상 생활까지 기기에 의존하게 되면서 보안과 프라이버시 문제를 기꺼이 감수하겠다는 입장입니다. 지금까지 그랬듯이 앞으로도 특정 유형의 기기가 수익성 높은 시장을 창출할 때마다 그 기기를 대상으로 한 공격이 시작될 것이라는 게 인텔시큐리티의 견해입니다. 지난 5년 동안 일부 분야의 결과는 인텔시큐리티의 예상과 크게 다르지 않았지만 또 다른 분야에서는 의외의 결과가 나타나기도 했습니다.

모바일 기기 보급률이 예상보다 훨씬 빠르게 증가했지만 모바일 기기를 대상으로 한 심각한 대규모 공격 증가율은 예상했던 것보다 훨씬 더 느렸습니다.

IoT 기기를 노린 공격과 보안 위반이 아직 시작 단계에 있습니다.

모바일: 모바일 기기를 노린 악성코드 공격이 급증하고 있지만 대부분의 공격은 여전히 탐색 수준에 그치고 그 여파도 비교적 미미합니다. 스마트폰에서 탈취할 수 있는 데이터의 가치가 상대적으로 적은 데다, 스마트폰은 기업을 노린 주요 공격 벡터가 아닙니다. 최소한 범죄자가 클라우드 기반의 백업 데이터베이스를 공격하지 않는 한, 다수의 스마트폰과 태블릿이 지원하는 자동 백업 기능 덕분에 이와 같은 기기가 감염되더라도 손쉽게 악성코드를 제거하고 데이터를 복구할 수 있습니다. 또한 스마트폰 및 태블릿용 어플리케이션 시장은 악성 앱 다운로드를 제한하는 화이트리스팅 서비스와 같은 역할을 하기 때문에 공격하는 데 훨씬 더 많은 제약이 따릅니다. 이와 같은 제약이 100% 효과를 발휘하는 건 아니지만 모바일 공격의 증가를 억제하는 효과만큼은 분명합니다. 그런 이유로 모바일 기기 보급률이 예상보다 훨씬 빠르게 증가했지만 모바일 기기를 대상으로 한 심각한 대규모 공격 증가율은 예상했던 것보다 훨씬 더 더딘 상황입니다. 사물 인터넷(IoT: Internet of Things): IoT 기기를 노린 공격이 본격적으로 시작되려는 조짐을 보이고 있습니다. 기기, 운영체제, 버전의 다양성은 단기적 측면에서 공격을 막는 효과를 창출하고 있습니다. 사이버 범죄자의 구미를 자극하기에 충분할 정도로 큰 설치 기반을 갖춘 경우가 드물기 때문입니다. 그러나 엄청나게 많은 IoT 기기가 예상했던 것보다 훨씬 빠르게 증가하고 있는 데다 예상하지 못했던 산업에서도 기기가 보편화되면서 대규모 공격 범위가 형성됐습니다. 따라서 IoT 기기를 노린 공격이 보편화되는 것도 시간 문제입니다. 물론 공격자는 기기 자체를 노리는 것이 아니라 데이터나 기기에 구현된 게이트웨이 기능을 노립니다. 공격자는 가장 손쉽게 진입할 방법을 원하는데 IoT 기기를 이용하면 별다른 저항 없이 다양한 표적이 있는 네트워크에 접속할 수 있습니다. IoT 기기를 겨냥한 공격과 보안 위반이 시작 단계에 있습니다. PC와 데이터 센터 시스템: PC 외 다른 유형의 기기들이 놀라울 정도로 증가했지만 인텔시큐리티가 예상했던 대로 PC와 데이터 센터 시스템은 여전히 사이버 범죄자에게 가장 매력적인 표적입니다. PC와 데이터 센터 시스템은 가장 유용한 데이터, 가장 뚜렷한 취약점, 그리고 가장 미흡한 패치 영역이기 때문입니다.



핵심 주제

클라우드 보급으로 인해 일부 공격의 본질이 변했습니다. 기기에 저장된 소량의 데이터를 노리기보다 중요한 데이터가 저장된 곳으로 진입할 교두보로 삼기 위해 기기를 공략하기 때문입니다.

가상화와 클라우드: 가상화와 클라우드 컴퓨팅의 보편화가 기기 증가에 일조하고 있습니다. 인텔시큐리티는 가상화, 특히 데이터 센터의 급성장을 이미 예상했지만 클라우드 컴퓨팅과 스토리지의 도입 및 배치율이 급증한 것은 예상 밖의 결과입니다. 가상화로 이전하는 것은 경제적 측면에서 대단히 합리적인데 인텔은 그러한 취지를 고려하여 하드웨어를 최적화했습니다. 클라우드로 이전하는 것은 운영적 측면과 경제적 측면에서 합리적이지만, 기업의 클라우드 도입이 서서히 진행될 것이라고 예상했었습니다. 클라우드 보급으로 인해 일부 공격의 본질이 변했습니다. 기기에 저장된 소량의 데이터를 노리기보다 중요한 데이터가 저장된 곳으로 진입할 교두보로 삼기 위해 기기를 공략하기 때문입니다. 공격자가 희생자의 클라우드 증명서에 대한 접속 권한을 얻게 되면 희생자의 활동과 금융 거래를 염탐하고, 데이터를 조작하며, 조작된 정보를 반환하고, 클라이언트를 악성 사이트로 리디렉션할 수 있습니다. 공격자는 희생자의 계정이나 서비스 인스턴스를 새로운 교두보로 삼고 희생자의 평판을 악용하여 후속 공격을 감행할 수 있습니다. 맥아피를 인수하기 훨씬 전부터 쉽게 공격 당할 수 있는 클라우드의 취약점을 간파했는데 예상했던 대로 이런 맹점들이 여전히 남아있습니다.

사이버 공격 수법의 진화와 경제화 모두가 예상했던 대로 사이버 공격의 건수와 기술적 능력이 크게 늘었습니다. 공격자가 무시하기에는 여건이 너무나 매력적입니다. 범죄자가 새로운 공격 수법을 개발하면 보안 업계가 새로운 방어 수단으로 대응하는 구조가 반복되면서 전통적인 군비경쟁처럼 공격 수법이 진화를 거듭하고 있습니다. 글로벌 인터넷과 ‘다크웹(dark web)’이 이와 같은 경쟁에 기름을 끼얹는 격이 되면서 범죄자들이 공격 수법을 공유하고 서로에게 배우기가 쉬워졌습니다. 기술적으로 가장 정교한 범죄 단체에서 시작된 경우라도 공격이 세상에 모습을 드러낸 순간 다른 범죄자들이 그 수법을 관찰, 분석, 재사용, 그리고 심지어 한층 더 개선할 수 있습니다. 취약점이 발견된 직후 이를 악용하려는 범죄자들에게 팔리는 경우도 빈번합니다. 기술 솔루션 제공업체들은 버그에 현상금을 걸기 시작했으며 기술 솔루션 제공업체나 범죄자가 취약점 정보를 구매하면서 취약점 정보가 예상했던 것보다 훨씬 더 큰 사업으로 자리잡았습니다.

취약점 유형 Adobe Reader

$5,000 – $30,000

Mac OS X

$20,000 – $50,000

Android

$30,000 – $60,000

Flash 또는 Java 브라우저 플러그인

$40,000 – $100,000

Word

$50,000 – $100,000

Windows

$60,000 – $120,000

Firefox 또는 Safari

$60,000 – $150,000

Chrome 또는 Internet Explorer

$80,000 – $200,000

IOS


제로데이 익스플로잇 가격

$100,000 – $250,000

2013년 제로데이 익스플로잇 견적가


핵심 주제

사이버 범죄가 완숙기에 접어든 일종의 산업으로 진화하면서 공급업체, 시장, 서비스 제공업체, 금융, 거래 시스템, 그리고 다수의 비즈니스 모델이 창출됐습니다.

전혀 예상하지 못했던 점은 사이버 범죄가 완숙기에 접어든 일종의 산업으로 진화하면서 공급업체, 시장, 서비스 제공업체(사이버 범죄를 서비스로 제공), 금융, 거래 시스템, 그리고 다수의 비즈니스 모델이 창출됐다는 것입니다. 물론, 범죄자는 금전적 이득을 얻기에 가장 쉬운 방법을 추구하며, 사람들이 범죄를 멈추지 않는 이유는 충분한 벌이가 되기 때문입니다. 유감스럽게도 사이버 범죄는 아주 좋은 벌이 수단입니다. 한 보안 솔루션 제공업체가 가상의 악성코드 판매 마케팅을 실시한 결과 1,425%의 투자 수익이 발생했습니다. 또한 인텔시큐리티가 의뢰한 설문조사에서 사이버 범죄로 인한 글로벌 경제의 연간 비용은 약 4천억 달러로 추산됐습니다. 인터넷이 사이버 범죄에 필수 요소이긴 해도 범죄자가 익명을 유지할 수 있는 기술이야말로 공격의 기폭제입니다. 특히 네트워크 익명화(특히, TOR)와 가상 통화는 범죄자가 법 집행을 피할 수 있도록 일조해왔습니다. 일각에서는 가상 통화의 등장에 주목하고 다양한 형태의 불법 거래 가능성을 우려하기도 했습니다. 한편 비트코인과 익명의 중개업자로 인해 랜섬웨어 시장이 활성화되면서 상업성을 갖게 됐고 예기치 못했던 높은 성장세를 유지하게 됐습니다. 5년 전에는 신용카드 정보가 포함된 대규모 도난 사고가 많았고 이런 정보는 사기 구매를 목표로 한 사람들에게 단시간에 대량으로 판매됐습니다. 신용카드 발행사가 도난 당한 신용카드 사용을 발 빠르게 막는 데 각고의 노력을 기울인 덕분에 이제 도난 당한 신용카드의 가치는 급락하고 있습니다. 그러자 일부 공격자들은 급격히 가치가 사라지지 않는 개인 건강 기록과 같은 다른 고가치 데이터를 탈취하기 시작했습니다. 또한 비즈니스 커뮤니티로부터 교훈을 얻은 사이버 범죄자들은 데이터 웨어하우징을 활용하여 탈취한 다수의 데이터 세트를 취합해서 연계함으로써 훨씬 더 가치 있는 정보를 발굴하고 있습니다. 최근 발생한 개인 소득세 기록이나 신원 조사 정보와 같은 대규모 데이터 도난 사고 중 다수는 바로 현금화되지 않았는데, 이는 범죄 수법이 성숙기에 접어들었다는 의미로도 해석할 수 있습니다. 이와 같은 추세는 인텔시큐리티가 예상하지 못했던 부분입니다. 사이버 범죄의 비즈니스 성숙도를 짐작할만한 또 다른 징후는 사이버 범죄의 진입장벽이 낮아졌다는 점입니다. 상용화된 악성코드 툴킷, 랜섬웨어용 제휴 프로그램, 명령어 입력 방식의 공격 감행 프로그램, 기타 유사한 상용 제품이 다크웹에 등장하면서 공격이 더 빨라지고 간편해졌을뿐더러 공격 범위도 넓어졌습니다. 이제 사이버 범죄자가 되는 데 별다른 기술이 필요하지 않습니다. (상용화된 악성코드 패키지에 대해서는 맥아피 연구소 위협 보고서: 2015년 2월호 “Blacole 사망 후: Angler 익스플로잇 키트”를 참조하십시오.)



핵심 주제

저렴한 악성코드 패키지가 사이버 공격 활성화에 크게 기여하고 있습니다.

일반적으로 국가가 사이버 공격을 감행하는 데는 저마다 동기가 다르겠지만 공통적으로 동일한 범죄 인프라를 활용하는 경우가 많습니다. 국가 차원의 사이버 공격 동기는 일반적으로 금전적 이득과 직접적인 관련이 없으며 방대한 양의 여러 가지 자원을 동원하여 더 장기적인 안목으로 작전을 진행합니다. 첩보 활동은 소수의 사람들이 은밀히 수행할 수 있는데 일반적으로 사이버 첩보 활동도 마찬가지입니다. 그러나 정부가 후원하는 사이버 첩보 활동의 규모는 인텔시큐리티의 예상치를 웃돌았으며 최근 2년 새에 일반 대중에게까지 알려지는 사례도 눈에 띄게 늘었습니다.

뜻밖의 결과

기업과 소비자는 여전히 업데이트, 패치, 비밀번호 보안, 보안 경보, 기본 설정, 그리고 간단하면서도 중요한 기타 온라인 자산과 물리적 자산 보호 방법에 충분한 관심을 기울이지 않습니다.

일부 예상 밖의 결과는 지금까지 거론한 내용과 다소 동떨어져 있습니다. 업데이트, 패치, 비밀번호 보안, 보안 경보, 기본 설정, 그리고 간단하면서도 중요한 기타 온라인 자산과 물리적 자산 보호 방법에 대한 기업과 소비자의 관심이 여전히 부족하다는 점을 최대 이변으로 손꼽을만합니다. 보안 산업에서는 이런 현상이 새로울 것도 없습니다. 보안 산업은 수십 년 동안 한결같이 이 점을 강조해왔지만 여전히 공격 성공 가능성이 가장 높은 맹점으로 남아 있습니다. 물리적 자산의 경우, 중요 인프라를 대상으로 한 대대적인 공격이 성공을 거둔 사례가 없다는 점이 의문입니다. 사이버 범죄자 관점에서 그와 같은 공격은 대가를 얻기 쉽지 않기 때문에 합리적이지 않지만 테러리스트나 일부 국가의 입장이라면 충분히 설득력이 있습니다. 인텔시큐리티는 중요 인프라에 대한 사이버 정찰이 보편화될 것으로 기대했지만 정치적 또는 전략적 이유로 지금까지 이런 일은 실현되지 않고 있습니다.

중대한 인터넷 취약점 발견 및 악용 사례를 통해 일부 기초 기술에 대한 인적, 물적 투자가 얼마나 미흡한지 증명됐습니다.

인프라의 경우, 최근 예기치 않게 인터넷 코어 취약점(수십 년이나 된 코드 문제)을 발견해서 악용한 사례를 통해 일부 기초 기술에 대한 인적, 물적 투자가 얼마나 미흡한지 증명됐습니다. 결국, 이와 같은 위기감 고조는 소프트웨어 후원과 모든 것을 인터넷에 의존하는 주요 기업 간의 협력 사례 증가라는 결실로 이어졌습니다.



핵심 주제

사이버 범죄 활동을 근절하기 위해 보안 산업, 학계, 법 집행기관 및 정부 간의 긍정적인 협력 사례가 늘고 있다는 점은 대단히 고무적입니다.

마지막으로, 사이버 범죄 활동을 근절하기 위해 보안 산업, 학계, 법 집행기관 및 정부 간의 긍정적인 협력 사례가 늘고 있다는 점은 대단히 고무적입니다. 범죄자들은 본인의 코드와 수법을 기꺼이 공유합니다. 우리 역시 같은 자세로 방어에 임해야 합니다. “뭉치면 살고 흩어지면 죽는다”는 말이 진부한 표현일 수 있지만 지금의 상황에 정확히 들어맞는 말입니다.

결론 5년 전에 예측했던 것 중 일부는 맞았고 일부는 틀렸습니다. 퍼펙트 스톰의 형성 요인으로 예측했던 것 중 다수는 현실로 나타난 반면, 일부는 예상을 빗나갔습니다. 세 가지 현상이 여전히 사이버 보안 환경의 걸림돌로 남아 있습니다. 공격 범위 증가, 해킹의 산업화, 그리고 IT 보안 시장의 복잡성과 분열입니다. 사이버 범죄는 여러 가지 비즈니스 모델을 시험해보거나 범죄, 정치적, 그리고 군사적 목적이 혼재된 채 활동하는 등 인텔시큐리티가 예상했던 것보다 훨씬 더 빠른 속도로 취미에서 산업으로 진화하고 있습니다. 언론 매체, 보안 위반을 공개할 것을 요구하는 새로운 규정, 강화된 지식, 그리고 의식 수준 성숙에 힘입어 사이버 범죄에 대한 의식이 그 어느 때보다 높아지긴 했습니다. 그러나 오늘날 위험은 훨씬 더 커졌고, 상황은 공격자에게 유리하게 변했으며, 그들의 기술과 자원은 사상 최고 수준입니다. 보안 전투는 앞으로도 계속 엄청난 도전일 테지만 전쟁은 끝나지 않았습니다. 더 많은 보안 전문가 양성, 기술 혁신, 그리고 사이버 공간에서 시민을 보호해야 한다는 정부의 책임감과 더불어, 보안 의식 상승이 호재로 작용합니다. 인텔과 맥아피의 합병으로 미래에도 사람과 기술을 보호할 수 있는 보안을 제공하겠다는 목표가 한걸음 더 가까워졌습니다.


핵심 주제

데이터 탈취: 사이버 도난 과정의 중요 단계 —Brad Antoniewicz 최근 10년간 기술이 유례를 찾아보기 힘든 수준으로 전 세계에 보편화됐습니다. 전 세계 인터넷 사용 인구가 15%에서 40% 이상으로 대폭 증가했고, 그와 더불어 모든 규모의 기업들이 고객과 소통하고 비즈니스에 도움이 될만한 데이터를 제공할 목적으로 인터넷에 연결된 네트워크를 구축했습니다. 정보 수집 및 디지털화에 현대식 네트워크의 범위 확장이 맞물리면서 절도범들이 군침을 흘릴만한 기회가 찾아왔습니다. 바로 데이터 탈취입니다.

범죄자는 이름, 생년월일, 주소, 전화번호, 주민등록번호, 신용카드 및 직불카드 번호, 진료 정보, 계정 증명서, 심지어 성적 취향에 이르기까지 개인에 관한 거의 모든 정보를 훔칩니다.

최근 10년간 대규모 데이터 누출 사고 건수가 엄청나게 증가했습니다. 2007년 TJ Maxx는 최대 9,400만 명의 고객 신용카드 및 직불카드 정보를 도난 당하면서 역대 최대 수준의 데이터 누출 사고를 겪었습니다. 불과 2년 뒤 굴지의 결제 서비스 업체인 Heartland Payment Systems에서는 보안이 뚫리면서 약 1억 3천만 명의 고객 데이터가 유출됐습니다. 이후 몇 년간 더 광범위한 정보 네트워크가 표적이 되면서 훨씬 더 큰 규모의 데이터 탈취 사고가 잇따랐습니다. 신용카드 및 직불가드 번호 외에도, 범죄자는 이름, 생년월일, 주소, 전화번호, 주민등록번호, 진료 정보, 계정 증명서, 심지어 성적 취향에 이르기까지 개인에 관한 거의 모든 정보를 훔칩니다. 사이버 범죄자는 단순히 이익을 추구하는 집단이나 개인이 아닙니다. 데이터 탈취 목적이 각기 다른 범죄자들을 범죄 동기를 기준으로 명확히 분류할 수 있습니다. 최근 외국 정부의 “미국 정보 장교” 구인 공고에서 알 수 있듯 피해자가 공무원이고 범죄자가 정부를 위해 일하는 경우가 되듯 개인 정보 탈취 목적은 저마다 다릅니다. 인터넷의 성공과 사이버 범죄의 진화로 인해 사이버 첩보 활동도 새로운 국면을 맞으면서 디지털 지적 재산(IP) 탈취가 현실적인 위협으로 자리잡았습니다. Google, Microsoft, Sony부터 Boeing, Lockheed Martin, DuPont에 이르기까지 모든 유형의 기업들이 영업 비밀을 도난 당한 전력이 있는 것으로 볼 때 존재하는 모든 장소에서 범죄자가 가치를 발견한다는 사실이 입증된 셈입니다. 이 핵심 주제에서는 데이터 도난 과정의 중요 단계인 ‘데이터 탈취’을 중점적으로 논의합니다. 데이터 탈취란 사이버 범죄자가 원 소유주의 네트워크에서 본인이 제어하는 네트워크로 데이터를 복사하거나 옮기는 것을 말합니다. 데이터 탈취는 데이터를 훔칠 의도를 가진 주체의 의해 이뤄집니다. 따라서 엄밀히 말하면, (하드웨어에서 이익을 얻는 데 더 관심이 있는 범죄자에 의해) 도난 당하거나 분실한 장비 때문에 우연히 발생한 데이터 손실과 다릅니다.

위협 주체 위협 출처, 위협 주체, 그리고 위협 동인은 컴퓨터 네트워크 및 시스템에 무단으로 접근하려는 단체나 개인을 지칭하는 용어입니다. 그와 같은 위협을 구분하기 위해 공공 부문과 민간 부문에서 발간한 다양한 자료에서 예외 없이 거론되는 세 가지 핵심 주체가 있는데, 바로 국가, 범죄단체, 그리고 핵티비스트입니다.



핵심 주제

동기 동기는 위협 주체를 구분하기 좋은 특성 중 하나입니다. 모든 주체가 목적을 달성하기 위해 작전 과정에서 데이터를 탈취할 필요는 없지만 작전의 일환으로 데이터를 필요로 하는 경우가 많습니다.

국가 일반적 동기

보편적인 데이터 유형

데이터를 탈취해야 할 경우 탈취 주체는 일반적으로 가장 매력적인 유형의 데이터를 찾습니다. 그러나 탈취 주체가 추구하는 데이터의 유형은 달라질 수 있으므로 범죄단체 등의 주체가 이익을 늘리기 위해 이를테면 IP 도용으로 관심을 선회하는 경우도 보기 드물지 않습니다.

범죄단체

■■

첩보 활동

■■

영향력

■■

소스 코드

■■

■■

이메일

■■

■■

내부 문서

■■

■■

군사 활동

■■

■■

금전적

핵티비스트 ■■

명성

■■

사회적

은행 계좌 정보

■■

이메일

신용카드 데이터

■■

직원 정보

PII(주민등록번호, 진료 기록 등 포함)

■■

모든 민감한 내부 데이터

공무원 개인식별정보(PII)

노리는 데이터의 양

소량-대량

대량

소량-대량

탈취 수법의 정교함

높음

중간-낮음

중간-낮음

네트워크상의 위치

파악 불가/종종 분산

파악 가능

파악 가능 및 파악 불가/ 종종 분산

국가라는 탈취 주체는 일반적으로 전략적 우위를 점하는 데 목적을 두고 종종 지적 재산을 표적으로 삼기도 합니다. 그와 같은 주체에게 이로운 정보가 방대하다는 사실을 고려하면 피해 기업에서 빠져나가는 데이터의 양은 가늠하기조차 어려울 수 있습니다. 예를 들어, 간단한 계획이나 신제품 도면은 비교적 적은 분량인 반면, 대용량 어플리케이션의 소스 코드는 엄청난 양입니다. 기업 차원에서 이와 같은 정보를 관리하기 어렵고 여러 네트워크에 분산되어 있는 경우도 빈번하기 때문에 탈취 주체가 내부 지식을 가지고 있지 않는 한 정보를 찾는 데 상당한 시간을 소모해야 합니다.

범죄단체의 금전적 목적 때문에 그들의 동기는 다소 이해하기 쉽습니다. 이런 주체는 신용카드 정보, 금융 정보 또는 개인식별정보가 대량으로 저장된 곳을 표적으로 삼는 경향이 있습니다. 이와 같은 유형의 데이터 중 대부분은 구조화된 표준 형식을 따르기 때문에 찾기가 수월합니다. 또한 이런 데이터는 규제를 받는 것이 일반적이어서 네트워크에서 정해진 위치에 보관됩니다.



핵심 주제

일반적으로 핵티비스트는 저지하기 가장 어려운데 이들이 노리는 내부 데이터는 기업의 평판에 영향을 미칠 수 있습니다. 그런 이유로 신용카드 정보부터 이메일에 이르기까지 모든 유형의 데이터가 이 주체의 표적이 될 수 있으며 데이터의 크기는 소량부터 대량까지 다양합니다.

물리적 접근 탈취 주체가 시스템에 물리적으로 접근할 수 있는 경우, 심지어 프록시 서버로 접근할 수 있는 경우, 엄청난 효과를 거둘 수 있습니다. USB 저장 장치는 네트워크 보안 통제를 회피하면서 대량의 데이터를 손쉽게 탈취할 수 있는 수단입니다. 사이버 범죄자는 의심을 하지 않는 직원에게 이동식 매체를 건네 줘서 그 사람이 시스템에 이동식 매체를 삽입했을 때 본의 아니게 공격이 시작되는 전략을 취할 수 있습니다.

배경 지식 사회공학, 내부자 협조, 오픈 소스 정보 수집을 통해 네트워크 및 시스템에 관한 배경 지식을 확보할 수 있습니다. 이와 같은 수법으로 공격자는 시스템 접속 권한을 획득하고 데이터를 찾아서 탈취하는 데 걸리는 시간을 줄일 수 있습니다.

데이터 탈취 무력화시킨 네트워크에서 정보를 복사하는 작업이 복잡할 수 있습니다. 따라서 피해 기업의 보안 구성, 네트워크 분할 허점, 보안 통제 배치 상태 및 설정, 시스템 접속 권한에 대한 확실한 이해가 필요합니다. 이와 같은 복잡한 수법을 정확히 이해하고 분류하기 위해 구성 요소를 다음과 같은 5개 영역으로 나눴습니다. ■■

■■

■■

■■

■■

데이터 표적: 파일 공유 시스템, 저장소, POS(Point Of Sale) 시스템 등 공격자가 표적으로 삼은 데이터가 저장된 시스템 개발 인프라 (Staging Infrastructure): 공격자가 기업에서 데이터를 수집하여 덤프 서버로 전송하는 데 사용하는 기업 소유의 시스템 덤프 서버: 공격자가 완전한 통제권을 확보할 때까지 임시로 데이터를 저장하는 데 사용되는 시스템 데이터 운반 수단: 한 위치에서 다른 위치로 데이터를 옮기는 데 사용되는 네트워크 프로토콜이나 데이터 저장 장치 데이터 조작: 암호화, 난독화, 압축 및 청킹(Chunking)과 같은 데이터 변경 또는 위장 수법

데이터 탈취 구성 요소

데이터 표적

개발 인프라 (Staging Infrastructure)

인터넷

덤프 서버

데이터 전송/조작

데이터 탈취에 필요한 주요 구성 요소



핵심 주제

데이터 표적 공격자가 네트워크에 존재하는 시스템을 무력화시키고 나면 다른 시스템을 탐사하고 가치 있는 데이터가 저장된 시스템을 찾아낼 수 있는 문이 열린 셈입니다. 복합 네트워크에는 여러 가지 유형의 데이터가 존재합니다. 따라서 탈취 주체가 내부 지식을 가지고 있지 않는 한 정보를 찾는 데 많은 시간이 걸립니다. 주요 데이터 표적은 다음과 같습니다.

데이터 표적

데이터 유형

관심을 갖는 주체

데이터베이스 시스템

다양함: 보호 받는 의료 정보, 개인식별정보, 신용카드 정보, 금융 정보, 사용자 계정

범죄단체, 핵티비스트

소스 코드저장소

소스 코드, 증명서, 키

국가, 핵티비스트

특수 시스템

다양함

전부, 엔드포인트 유형에 따라 다름

파일 공유 시스템 및 유사 시스템

소스 코드, 설계, 통신 등


이메일 및 통신

설계, 통신


데이터베이스 시스템 이와 같은 시스템에는 대량의 정형 데이터가 저장되어 있기 때문에 범죄단체가 선호하는 표적이 됩니다. 시스템은 수행하는 비즈니스 기능에 따라 다음과 같이 나뉩니다. ■■

인증: 사용자 인증에 필요한 사용자 이름 및 비밀번호와 같은 정보가 저장된 시스템

■■

환자 추적: 의료 산업에서 환자 입원, 관리 및 퇴원 기록을 추적하는 시스템

■■

결제 처리: 고객 또는 기업의 금융 거래를 수락, 발행 및 처리하는 시스템

■■

■■

■■

고객 처리/충성도: 추적, 마케팅 또는 그와 유사한 용도로 사용되는 고객 데이터가 저장된 시스템 인적자원관리/재무: 직원 관리 및 결제를 담당하는 시스템 비생산적/섀도우 IT: 생산 활동 데이터 및 기타 기업 데이터가 저장된 섀도우 IT 시스템과 테스트 시스템은 공격자에게 좀더 가치가 있는 반면, 공격에 더욱 취약할 수 있습니다.


핵심 주제

소스 코드 저장소 사내 소스 코드저장소는 어플리케이션 소스 코드, API 키, 데이터베이스 및 인증 서버 증명서, 암호 키와 같은 대단히 중요한 정보를 포함하고 있는데도 불구하고 무방비 상태인 경우가 빈번합니다.

특수 시스템 대형 소매업체와 제조업체를 대상으로 한 공격에서 탈취 주체는 해당 산업의 용도에 맞게 정의된 특수 시스템이나 엔드포인트에 저장된 데이터를 노립니다. 그와 같은 시스템으로는 다음과 같은 것들이 있습니다. ■■

■■

■■

POS 시스템: 일반적으로 카드 판독기에서 신용카드 데이터를 읽어오고 난 후 메모리에 암호화되지 않는다는 사실을 고려하면 결제 처리에서 가장 취약한 연결고리는 POS 시스템에 존재합니다. 개발자 워크스테이션: 개발자 워크스테이션은 풍부한 지적 재산과 배경 정보를 담고 있을 수 있으므로 가치가 높은 표적이 됩니다. 제어 시스템: 설정값과 프로그램 로직은 귀중한 정보가 되는 데다 수정할 경우 산업 공격에서 엄청난 파장을 일으킬 수 있습니다.

파일 저장소 범죄자에게 대용량 파일 저장소에 저장된 엄청난 양의 데이터는 일장일단이 있습니다. 한편으로는 귀중한 정보가 대량으로 저장되어 있을 수 있지만 또 한편으로는 비정형 데이터가 포함되어 있는 탓에 수동으로 귀중한 정보를 찾느라 엄청난 고충이 따릅니다. 이런 범주에 속하는 시스템은 다음과 같습니다. ■■

■■

■■

네트워크 파일 공유 시스템: 이러한 시스템에는 문서, 도면, 기타 기업 데이터가 저장된 그룹 폴더와 사용자 폴더가 존재합니다. 콘텐츠 관리 시스템: Microsoft SharePoint 및 기타 시스템에는 파일 공유 시스템과 유사한 콘텐츠가 저장되어 있지만 일반적으로 사이버 범죄자가 원하는 데이터를 확보하는 데 더 큰 어려움이 따릅니다. 타사의 클라우드: Google Drive, Dropbox, Box.com과 같은 클라우드 기반 파일 공유 서비스에서도 데이터가 노출될 수 있는데, 내부 네트워크를 이용하는 공격자보다 내부 지식을 가진 외부 공격자의 표적이 되는 경우가 더 많습니다.

이메일 및 통신 사용자 워크스테이션, 이메일 서버, Skype for Business와 같은 인스턴스 메시징 시스템은 캐시에 민감한 기업 데이터, 운영 정보, 개인 통신 정보가 저장되기 때문에 종종 공격 표적이 됩니다.



핵심 주제

개발 인프라(Staging Infrastrucure)

공격 표적을 네트워크의 심층부에 더욱 세분화해서 배치할수록 공격자가 데이터를 탈취하기가 더욱 복잡해집니다.

공격 표적을 네트워크의 심층부에 더욱 세분화해서 배치할수록 공격자가 데이터를 탈취하기가 더욱 복잡해집니다. 필요한 경우 공격자는 목적에 맞게 개발 인프라 (Staging Infrastructure)를 구축하여 네트워크 세그먼트와 공격자의 통제하에 있는 덤프 서버 사이에서 중개자 역할을 하는 호스트로 사용할 수 있습니다. 개발 인프라(Staging Infrastructure)는 필요에 따라 복잡할 수도 있고 단순할 수도 있습니다. 고급 수법의 탈취 시나리오에서는 다음과 같은 역할을 하는 시스템이 동원됩니다. ■■

■■

■■

엔드포인트: 수집기와 수집기에 라우팅 가능한 세그먼트나 동일한 세그먼트에 존재하는 단수 또는 복수의 데이터 표적을 말합니다. 수집기: 표적이 된 엔드포인트에서 데이터가 수집되는 지점 역할을 하며 이 데이터를 유출기에 업로드합니다. 필요한 경우 수집기를 인터넷에 연결할 수도 있습니다. 수준 높은 데이터 탈취 작전에서는 데이터 발신 경로에 혼선을 주기 위해 다수의 수집기가 여러 대의 유출기에 데이터를 전송합니다. 유출기: 수집기로부터 데이터를 수신해서 공격자의 덤프 서버로 전송합니다. 유출기는 단순히 데이터 전송 기능만 수행하는 경우도 있지만 공격자가 회수할 데이터를 호스팅하는 경우도 있습니다.

데이터 유출 아키텍처

수집기

유출기

인터넷

덤프 서버

엔드포인트

전형적인 데이터 탈취 아키텍처

위의 도식은 전형적인 데이터 탈취 아키텍처를 보여주고 있을 뿐, 실전에서는 이와 다른 경우도 있습니다. 예를 들어, 공개적으로 해부된 한 데이터 탈취 작업에서는 지리적으로 분산되어 있는 다수의 유출기와 수집기로 구성된 임시 네트워크가 구축되었고 시스템 간에 데이터를 전송하거나 덤프 서버에 데이터를 전송할 때 이 장비들이 번갈아 가며 데이터 수집 및 유출 임무를 담당했습니다. 또 다른 사례에서는 기업 소유의 인터넷 접속 기반의 콘텐츠 배포 서버를 유출기로 사용하고 외부 공개 콘텐츠의 비디오 스트림에 데이터를 삽입하는 방식으로 데이터를 탈취했습니다.



핵심 주제

덤프 서버 덤프 서버는 탈취한 데이터가 기업 통제를 벗어나 가장 처음 저장되는 곳입니다. 그러나 덤프 서버가 반드시 공격자의 통제 범위에 있을 필요는 없습니다. 다시 말해서, 덤프 서버는 공격자가 쉽게 접근할 수 있는 장소에 있기만 하면 됩니다. 다음과 같은 인프라가 덤프 서버로 사용될 수 있습니다. ■■

■■

■■

■■

■■

포획 시스템: 공격자가 다른 범죄 활동 과정에서 장악한 시스템을 말합니다. 개인 WordPress 블로그부터 보안 통제가 미흡한 기업 소유 서버에 이르기까지 모든 것이 이런 시스템에 해당될 수 있습니다. 특정 국가의 호스트 기반 시스템: 사생활 보호법이 엄격한 국가는 공격자에게 인기가 많습니다. 그런 국가에 시스템을 호스팅하면 적정 수준의 보호를 받으면서 방해를 받을 염려가 없기 때문입니다. 임시 호스트 기반 시스템: AWS, Digital Ocean 또는 Azure 같은 서비스 제공업체를 통해 클라우드에 단시간 호스팅되는 시스템 클라우드 파일 공유 서비스: DropBox, Box.com 또는 Paste Bin와 같은 일반 접속 방식의 온라인 파일 공유 사이트 클라우드 호스트 기반 서비스: 사용자가 데이터를 게시할 수 있는 Twitter 및 Facebook 같은 다양한 기타 인터넷 기반 서비스

공격자가 장악한 호스트, 특정 국가의 호스트 기반 시스템, 그리고 임시 호스트 기반 시스템이 덤프 서버로 사용될 수 있습니다. 이런 시스템들은 데이터에 대한 강력한 통제력을 제공하기 때문에 공격자가 유출기로부터 나오는 데이터 운반 과정을 완벽하게 맞춤 설계할 수 있게 됩니다. 기업은 광범위한 위치에 분산된 클라우드 파일 공유 및 호스팅 서비스로 인해 대상 호스트를 차단하는 데 어려움을 겪습니다. 그러나 이런 서비스는 부정행위를 손쉽게 보고할 수 있는 기능을 지원하고 악성 계정을 신속하게 무효화할 수 있다는 장점이 있습니다. 공격자가 전용 호스트를 덤프 서버로 사용할 때 감수해야 하는 단점은 발각될 경우 손쉽게 차단 또는 폐쇄될 수 있다는 점입니다. 한 가지 방편이 있다면 도메인 생성 알고리즘을 사용해서 이와 같은 맹점을 보완하는 것입니다. 도메인 생성 알고리즘은 표적이 된 기업 내부에서 실행되는 악성코드에 삽입되어 쿼리를 통해 활성 제어 서버 또는 덤프 서버를 식별하기 위한 쿼리 절차를 통과할 수 있는 예측 가능한 도메인 이름 목록을 생성합니다.


핵심 주제

데이터 운반 수단 데이터 운반 수단이란 데이터를 한 장소나 시스템에서 다른 장소나 시스템으로 복사(예: 유출기에서 덤프 서버로 또는 엔드포인트에서 수집기로 복사)하는 프로토콜과 방법을 말합니다.

아래 도표에는 현재 널리 사용되고 있는 데이터 운반 수단과 네트워크가 요약되어 있습니다.

운반 수단

설명

내부

HTTP/HTTPS

HTTP는 네트워크 통신에 널리 사용되고 있기 때문에 유출할 데이터를 다른 트래픽으로 은닉하는 데 이상적인 프로토콜입니다. 일반적으로 HTTP는 HTTP 헤더와 GET/POST/PUT 등의 HTTP 메소드에 명령어를 삽입하는 방법을 통해 탈취 데이터를 운반하는 데 사용됩니다.

FTP

FTP는 기업 서버에 널리 사용되고 있는데 고유 시스템 명령어를 통해 손쉽게 조작할 수 있어서 간편한 운송 수단으로 유용합니다.

USB

USB 저장 장치는 인터넷에 연결되지 않은 네트워크에서 데이터를 탈취하는 데 흔히 사용됩니다. 특정한 마커가 있는 USB 저장 장치를 찾아서 탈취할 데이터를 저장 장치의 숨겨진 영역에 복사하는 악성코드도 발견된 적이 있습니다. USB 저장 장치를 네트워크에 접속되는 감염 시스템에 삽입하면 데이터 탈취가 시작됩니다.

외부

USB 저장 장치는 내부자가 대량의 데이터를 손쉽게 복사하고 삭제하고 기존의 시스템에 저장된 데이터를 삭제하는 용도로도 사용할 수 있습니다. DNS

TXT 또는 심지어 A 및 CNAME 레코드와 같은 특정 DNS 레코드에 소량의 데이터를 저장할 수 있습니다. 도메인과 네임서버 통제권을 확보한 공격자는 유출 시스템에 특정한 색인을 추가하는 방법으로 소량의 데이터를 전송할 수 있습니다.

TOR

TOR 네트워크 사용률이 높아지고 있습니다. TOR은 공격자가 추적하기 어려운 서버에 탈취한 데이터를 게시하는 데 유용합니다. 그러나 기업 네트워크의 TOR 트래픽은 합법적인 경우가 드물기 때문에 손쉽게 감지해서 차단할 수 있습니다.

SMTP/이메일

이메일 메시지 본문 내용에 포함시키거나 첨부 파일의 형태로 데이터를 기업 외부로 전송하는 데 기업 소유 SMTP 서버나 기업이 소유하지 않은 다른 SMTP 서버가 사용될 수 있습니다.

SMB

SMB는 Windows 환경에서 대단히 보편적인 프로토콜로서 이미 시스템에 활성화되어 있는 경우가 많습니다.

RDP

RDP는 복사/붙여넣기 및 파일 공유와 같은 다양한 작업을 지원하며 경우에 따라 RDP를 지원하는 시스템이 인터넷에 노출될 수 있습니다.

맞춤형 전송 방식

간혹 제어 서버 통신이나 정교한 악성코드에 맞춤형 전송 방식이 사용되는 경우도 있습니다. 견고한 전송 방식을 개발하려면 많은 노력이 필요한 데다 그 특이성 때문에 네트워크에서 프로토콜이 발각되기 쉽기 때문에 오히려 기존의 전송 방식이 각광 받는 추세입니다.



핵심 주제

(HTTPS와 같은) 암호화를 지원하는 대체 전송 방식이 동원될 경우, 기업이 감지하는 데 따르는 어려움이 가중될 수 있습니다. 전송 과정에 암호화가 동원되는 사례가 늘고 있긴 하지만 암호화는 여전히 제한적으로 사용되고 있습니다. 암호화를 사용하지 않으면 쉽게 감지되는 데다 인터넷을 통해 전송되는 경우도 있기 때문에 데이터 위험이 가중됩니다. 많은 전송 방식은 서버에서 활성화하려는 경우 유효 인증서나 일정 형식의 개방/익명 접속을 요구합니다. 따라서 공격자가 데이터 탈취 절차를 자동화하려면 본인이 장악한 호스트에 사용자 이름/비밀번호를 남기거나 승인을 받지 않은 다른 사용자가 원격으로 시스템에 접속하는 위험을 감수해야 합니다.

데이터 조작

전송에 앞서 데이터를 조작하면 감지를 피하고 전송 시간을 단축하며 분석 시간을 늘리는 데 도움이 됩니다.

전송에 앞서 데이터를 조작하면 감지를 피하고 전송 시간을 단축하며 분석 시간을 늘리는 데 도움이 됩니다. 인터넷을 통해 데이터를 전송할 때 가장 빈번하게 데이터를 조작하지만 내부 네트워크에서 데이터를 조작하는 수법도 여전히 널리 통용되고 있습니다. 원본 데이터가 조작되면 데이터 운반 수단을 통해 목적지로 전송됩니다. 보편적으로 사용되는 데이터 조작 수법은 다음과 같습니다.

수법

설명

압축

표준 ZIP 형식을 이용한 압축은 일정 수준의 난독화뿐 아니라 파일 전송 속도 개선에도 효과적입니다.

청킹(Chunking)

전송하려는 데이터를 여러 개로 분할하면 전송 데이터가 정상적인 네트워크 활동에 섞여 들기 쉽습니다.

인코딩/난독화

가장 보편적인 유형의 데이터 조작은 기본 인코딩 또는 난독화 알고리즘입니다. 고정 키를 이용한 XOR 연산 수행, Base64 인코딩, 16진수로 모든 문자 변환 등의 같은 간단한 수법을 통해 데이터를 조작해도 충분히 감지를 피할 수 있습니다.

암호화

예상과 달리 데이터 탈취 과정에서 항상 암호화가 사용되는 것은 아닙니다. 성능이 저하되거나 그에 필요한 제반 여건이 미흡하기 때문으로 보입니다. 보편적으로 사용되는 암호화 수법은 RC4 또는 AES 암호화입니다.

결론 디지털 정보가 공격자의 주요 표적이 됐습니다. 대규모 직원 정보 데이터베이스부터 POS 시스템의 휘발성 메모리에 이르기까지 다양한 데이터가 도난 당하고 있습니다. 기업이 새로운 보안 계층을 네트워크에 구축하면 공격자는 그 즉시 신뢰할 수 있는 시스템을 공범으로 탈바꿈시킬 방법을 찾아냅니다.



핵심 주제

기선을 제압하는 첫 단계는 공격 주체, 그들의 동기, 그리고 공격 수법을 이해하는 것입니다. 데이터 탈취는 공격 활동 전체에서 사소한 부분일지 몰라도 공격을 감행하려는 공격자와 이를 저지하려는 방어자 입장에서 가장 중요한 요소이기도 합니다. 중요 자산과 표적이 될만한 데이터 주변에 방어망을 구축함과 동시에 강력한 정책과 절차를 수립하는 기업은 가장 중요한 시스템을 가장 철저히 관리하는 데 필요한 조치를 적절한 순서대로 취할 수 있습니다.

인텔시큐리티가 이 위협을 어떻게 차단하는지 알아보십시오.

권장 정책 및 절차 데이터 출처 확인

위험 평가를 실시하십시오. 예를 들어, 주요 이해관계자와의 면담을 통해 어떤 민감한 데이터가 네트워크에 존재하고 민감한 데이터 어디에 저장되어 있는지 파악해야 합니다. ■■

자산 현황 관리

■■

시스템 및 네트워크 아키텍처

민감한 정보와 그 위치를 파악할 수 있는 데이터 발견 소프트웨어를 도입하는 방안을 고려하십시오. 데이터 흐름 확인

네트워크를 넘나드는 민감한 데이터의 흐름을 파악하십시오. ■■

시스템 및 네트워크 아키텍처

데이터 이동 현황을 파악할 수 있는 실시간 데이터 흐름 모니터링 소프트웨어를 도입하는 방안을 고려하십시오. 규제 및 프라이버시 요건 확인

자사에 적용되는 규제 요건과 요구되는 보안 통제 수단을 파악하십시오.

데이터 분류

민감도, 유형, 중요도에 따라 데이터를 분리하는 정책을 수립하십시오.

데이터 소유자 배정

데이터 보호 상태 확인

■■

데이터 보호 정책

■■

데이터 분류 정책

데이터 소유자와 그들의 책임을 세부적으로 규정하는 프로그램을 개발하십시오. ■■

데이터 소유자

■■

데이터 자산 현황 파악 및 관리

유휴 데이터와 활성 데이터에 대한 보안 요건을 규정한 정책을 수립하십시오. ■■

데이터 암호화 정책

무단 데이터 탈취를 방지할 수 있는 데이터 유출 방지 소프트웨어를 구현하십시오. 데이터 접근 방식 검토

프로그램 정기적으로 검토

데이터 접근을 공식적으로 추적 및 인증하는 절차를 규정하십시오. ■■

데이터 인증

■■

변경 관리

매년 정책과 절차를 검토할 수 있는 데이터 위험 관리 프로세스를 규정하십시오. ■■

위험 관리

위험을 평가하고 규정 준수를 관리할 수 있는 위험 관리 소프트웨어를 도입하는 방안을 고려하십시오.



핵심 주제

GPU 악성코드: 허와 실 —Craig Schmugar

저자가 이 기사에 도움을 준 Intel Visual & Parallel Computing Group 에 감사의 말을 전합니다.

그래픽 처리 장치(GPU)는 화면에 출력할 이미지 생성을 가속화하도록 설계된 특수 하드웨어 부품입니다. 개인용 컴퓨터에서 GPU는 전용 비디오 카드, 메인보드 또는 CPU 와 동일한 모양의 부품에 탑재되어 있습니다.

오늘날의 거의 모든 악성코드는 시스템의 주기억장치에서 호출되어 CPU에서 실행되도록 설계되어 있습니다. 이와 같은 설계 구조가 수십 년간 유지돼 왔기 때문에 대다수 호스트 기반 방어 및 포렌식 도구는 이를 전제로 하여 구성됩니다. 따라서 이와 같은 구조를 탈피한 악성코드가 등장한다면 혼란이 야기될 수밖에 없습니다. 실제로, 올해 초에 많은 정보 보안 전문가들이 골머리를 앓았습니다. 그래픽 처리 장치(GPU)를 대상으로 한 악성코드 공격이 수년 전부터 이따금 출몰하여 주목 받기도 했습니다. 실제로, 우수한 GPU 처리 속도를 이용해서 각 희생자의 감염 시스템에서 결제 금액을 늘리는 수법인 비트코인 마이닝 트로이목마(Bitcoin-mining Trojan) 형식의 GPU 악성코드가 최소 4년 전부터 성행해왔습니다. 최근에 세계 최대의 코드 호스트인 GitHub에 개념증명 코드의 시초가 등장하면서 이와 같은 주제가 다시 주목을 받았습니다. 당시 “젤리피시 팀(Team JellyFish)”은 세 가지 개념증명 악성코드를 발표했습니다. 이 신종 악성코드는 단순히 효율적인 GPU의 고유 처리력과 관련한 GPU의 효율성을 활용하는 수준을 넘어, 아무도 눈여겨보지 않는 GPU에서 코드를 실행하고 데이터를 저장하는 수법으로 GPU 아키텍처를 우회한다고 알려져 있습니다. GitHub 프로그램 페이지에는 각기 다음과 같은 문구가 나타납니다. GPU 키로거 역할을 하는 Demon은 다음과 같은 기능을 갖추고 있습니다. ■■

USB 데이터 구조의 DMA(Direct Memory Access)를 통해 키보드 버퍼의 위치를 파악하는 CPU 커널 모듈 부트트랩

■■

사용자 공간의 파일에 저장되는 키보드 버퍼

■■

스스로를 삭제하는 커널 모듈

■■

GPU에 키보드 버퍼를 저장하고 파일을 삭제하는 OpenCL

JellyFish는 Linux 기반 사용자 모드 GPU 루트킷 역할을 하며, GPU는 다음과 같이 공략하기에 유리한 이점들을 갖고 있습니다. ■■

온라인 GPU 분석 도구 부재

■■

DMA를 통해 CPU 호스트 메모리에 접근하는 기능

■■

수학적 계산에 CPU보다 유리한 GPU 성능

■■

웜부팅에도 기존의 상태 유지

WIN_JELLY는 Windows GPU 원격 접속 도구 역할을 하며, GPU의 지속적 실행 코드 저장 장치는 재부팅 후에 다시 사용자 공간에 매핑될 수 있습니다. GPU 공격과 관련한 개념증명 GitHub 프로그램 노트



핵심 주제

이후 이런 주장을 뒷받침하는 다수의 기사가 게재됐습니다. 전후 관계를 무시한다면 이와 같은 주장을 왜곡해서 자동으로 실행되고 현재의 방어망을 회피하는 탐지 불가한 슈퍼버그의 등장이라고 결론 짓는 것도 어렵지 않지만 진실은 얼핏 보이는 것과 다릅니다. 이와 같은 주장의 요지는 크게 4가지로 요약됩니다.

nVidia CUDA(Compute Unified Device Architecture)는 소프트웨어 개발자가 다목적 처리에 CUDA 지원 GPU를 사용할 수 있는 API 모델 겸 병렬 컴퓨팅 플랫폼입니다. CUDA 플랫폼을 이용하면 GPU의 가상 명령 세트와 병렬 계산 요소에 직접 접근할 수 있습니다.

■■

GPU에서 CPU 호스트 메모리에 접근

■■

차후에 CPU 호스트 파일 삭제

■■

웜부팅에도 기존의 상태 유지

■■

GPU 분석 도구 부재

이와 같은 주장의 타당성을 확인하고자 맥아피 연구소는 인텔의 VPG(Visual and Parallel Computing Group) 회원들에게 젤리피시 팀의 논거를 검증하는 데 필요한 지원을 요청했습니다. 다음 절의 반론에서는 인텔이 제공하는 전문 분야인 통합 그래픽과 OpenCL을 다루고 있지만 대부분의 세부 사항은 외장형 그래픽 카드와 nVidia의 CUDA 플랫폼에 적용됩니다.

GPU에서 CPU 호스트 메모리에 접근 GPU에 접근하는 프로그램은 CPU에서 실행되는 상위 프로세스를 필요로 합니다. 상위 프로세스는 다른 위협과 유사한 방식으로 작동하기 때문에 메모리를 읽고 쓰는 작업이 때때로 보안 제품에 의해 모니터링되거나 제한될 수 있지만, 이와 같은 작업에 GPU 를 활용할 때의 장점 중 하나는 범죄 활동을 숨기고 보안 제품의 감지를 피할 수 있다는 점입니다. 그러나 종래와 다른 방법을 이용하고 GUP를 활용하여 이따금 악성코드와 관련된 페이로드를 전달하려면 물리적 메모리를 반드시 GPU에 매핑해야 합니다. 게다가 악성코드의 무단 접근 범위는 프로세스의 가상 주소 공간에 매핑되는 메모리 페이지로 한정되고, 읽기/쓰기 권한을 확보하려면 중요 OS 메모리를 GPU에 매핑할 수 있는 커널 모드 접근(Ring 0 Access)이 필요한데 그로 인해 호스트에서 악성코드의 점유 공간이 늘어납니다. 이와 같은 의존성은 기존의 커널 보호 구조에 적용됩니다. 이를 토대로 아래에 설명하고 있는 논거가 도출됩니다.

차후에 CPU 호스트 파일 삭제 프로그램이 GPU에서 실행되고 나면 어플리케이션을 설치하는 데 필요한 파일을 삭제할 수 있습니다. 메모리 매핑을 담당하는 커널 드라이브뿐 아니라 상위 사용자 모드 프로세스도 이에 해당됩니다. 그러나 이 시점에 GPU에서 실행되는 코드는 고립 상태인데 Microsoft Windows가 제한 시간 탐지 및 복구(TDR) 프로세스를 시작할 경우 그래픽 카드가 초기화됩니다. 설정을 바꿀 수 있긴 하지만 Windows의 기본 설정된 제한 시간은 2초입니다. Microsoft는 테스트와 디버그 목적에 한하여 TDR 설정을 수정해야 한다고 공표하고 있습니다. 따라서 이 값이 변경된 경우 미심쩍은 활동으로 간주하고 보안 제품이 경보를 발령하거나 심지어 작업을 차단할 수 있습니다. 더욱이 GPU 작업이 장시간 진행되는 경우 GUI에 응답 불가 오류가 발생하기 때문에 문제가 있음을 쉽게 인지할 수 있습니다. 물론, 다른 운영체제에서도 같은 현상이 나타납니다.


이와 같은 걸림돌을 극복하려면 (최소한) 사용자 모드 코드가 실행 상태를 유지해야 하는데 엔드포인트 보호 솔루션은 이를 감지할 수 있습니다. 운영체제에 의한 GPU 접근이 드러나지 않는 다중 GPU 및/또는 헤드리스 시스템(headless system)만은 예외적으로 공격 상황에서도 이와 같은 가시적 징후가 나타나지 않습니다. 그럼에도 불구하고 Windows에서 TDR 값을 수정할 경우 문제 발생의 소지가 있다는 증거로 남게 됩니다.


핵심 주제

웜부팅에도 기존의 상태 유지 곧이 곧대로 받아들였을 때 가장 모호한 주장은 GPU에 상주하는 악성코드가 OS를 재부팅하더라도 기존의 상태를 유지할 수 있다는 이론입니다. WIN_JELLY에 관한 주장을 다시 상기하자면 “GPU의 지속적 실행 코드 저장 장치는 재부팅 후에 사용자 공간에 다시 매핑됩니다.” 이 문구를 섣불리 해석할 경우 보안 측면에서 상당히 부정적으로 여겨질 수 있지만 면밀히 검토해보면 이 주장은 얼핏 보기와 다른 의미를 내포하고 있습니다. “ 지속적”이란 단어는 실행되는 코드가 아닌 데이터 저장 장치를 지칭합니다. 앞의 논거에서 유념해야 할 점이 있습니다. 기본적으로, GPU 프로그램이 실행 상태를 유지하려면 호스트 프로세스가 필요합니다. 여기서 거론되는 지속성이란 개념은 시스템 시작 시점에 호스트 어플리케이션이 실행되면서 GPU 메모리에서 데이터를 수집하고 그것을 다시 사용자 공간에 매핑한다는 의미입니다. 이런 프로세스가 성립하려면 악성 사용자 모드 코드 역시 반드시 GPU 외부에서 존속해야 하기 때문에 심각하게 우려할만한 사항은 아닙니다.

GPU 분석 도구 부재 GPU 성능 모니터링 및 디버깅 기능을 지원하는 도구는 많지만 포렌식 및 악성코드 분석 도구는 극히 드뭅니다. 역사적으로 포렌식 및 악성코드 분석 도구는 당장 필요해서 개발되거나 일반적인 프로세스를 간소화하려는 사람들에 의해 개발됐습니다. GPU에 어떤 위협이 활동 중인지 한결 손쉽게 파악할 수 있는 위협 분석 도구가 필요하지만 그러나 이와 같은 공격 벡터를 통해 다른 공격 지표를 확보할 수 있기 때문에 엔드포인트 보안 제품으로 위협을 분류하고 파악하는 데 굳이 포렌식 및 악성코드 분석 도구가 필요하지 않습니다.

결론 GPU를 대상으로 한 위협은 우려할 만한 근거가 있습니다. 그러나 이러한 유형의 공격은 아직 퍼펙트 스톰 상태로 발전하지 않았습니다. 한편으로는 그와 같은 공격 수법에 대한 리버스 엔지니어링과 포렌식 분석이 순수한 CPU 공격 수법보다 훨씬 더 복잡하고 까다롭기 때문에 더 오랜 기간 동안 적발되지 않은 채 감염이 지속될 수 있습니다. 악성코드 부분을 CPU와 호스트 메모리에서 제거하면 노출 범위가 줄어서 호스트 기반의 보안 제품이 공격을 감지하기 더 어려워집니다. 또 한편으로는 노출 범위가 아예 없어지는 것은 아닙니다. 적어도 악의적 활동을 추적할만한 흔적은 남기 때문에 엔드포인트 보안 제품이 위협을 감지해서 해결할 수 있습니다. 10년 전쯤만 해도 GPU 악성코드와 Windows 커널 루트킷이 어느 정도 평행선을 유지했습니다. 커널 루트킷이 제 효과를 발휘하려면 권한 코드를 실행해야 했습니다. 대신, 악성코드는 실행되고 나면 존재를 감출 수 있는데 반해, 루트킷 분석 도구에는 더 많은 제약이 따랐습니다. 지금은 공격자가 (둠스데이 GPU 악성코드의 전제 조건인) 권한 코드를 확보하고 실행하기가 더 어렵습니다. 보안 제품에는 루트킷별 방어 수단이 추가됐고 Microsoft는 Patch Guard, Driver Signing Enforcement, Early Launch Anti-Malware (ELAM), Secure Boot 및 기타 방어 기능을 비롯한 다수의 커널 보호 기능을 선보였습니다. 이와 같은 보호 기능 중 다수는 Windows 커널 기반의 GPU 공격을 차단하는 데 일조하고 있습니다. 특정 시스템에서 GPU 악성코드의 생존에 영향을 미칠만한 최근의 기술 발전으로는 Microsoft Windows 10의 Device Guard 기능을 들 수 있습니다. Device Guard 는 하드웨어에 있는 입출력 메모리 관리 장치(인텔의 경우, 인텔 VT-d(Virtualization Technology for Directed I/O))를 활용하여 관리자가 오직 Microsoft의 인증을 받은 신뢰할 수 있는 애플리케이션만 실행되게 장치를 잠그는 것을 허용할 수 있습니다. 이 기능은 특정한 상황에서만 사용할 수 있지만 중요 정보를 보호하는 데 필요한 보안을 강화하는 데 효과적입니다.


핵심 주제

인텔시큐리티가 이 위협을 어떻게 차단하는지 알아보십시오.

지금까지의 반론은 GPU 공격을 둘러싼 모든 주장을 일축하려는 의도가 아니라 현재의 위협 및 방어에 관한 약간의 배경 정보를 제공하는 데 그 목적이 있습니다. 공격자와 방어자 모두 앞으로 이 분야에서 발전을 보일 것이 분명합니다. 적어도 이 분야에 대한 최근의 관심은 보안 커뮤니티가 현재의 실태를 재검토하고 이를 개선할 방안을 모색하는 결과로 이어졌습니다.

이와 같은 유형의 공격을 방지하는 안전 의식 GPU 공격으로부터 시스템을 보호할 수 있는 몇 가지 방법이 있는데 맥아피 연구소가 권장하는 방법은 다음과 같습니다. ■■

■■

■■

■■

■■

자동 운영체제 업데이트를 활성화하거나 운영체제 업데이트를 주기적으로 다운로드하여 운영체제를 알려진 취약성에 대해 패치 적용된 상태로 유지하십시오. 다른 소프트웨어 제조업체가 패치를 배포하면 즉시 이를 설치하십시오. 모든 엔드포인트에 보안 소프트웨어를 설치하고 AV 시그니처를 최신 상태로 유지하십시오. 불법 어플리케이션이 실행되는 것을 막을 수 있도록 어플리케이션 화이트리스팅 기능을 구현하십시오. 가급적이면 관리자 모드에서 어플리케이션을 실행하지 마십시오.



위협 통계 모바일 위협 악성코드 웹 위협

피드백 공유

위협 통계

모바일 위협 새로운 모바일 악성코드 New Mobile Malware 1,400,000 1,200,000 1,000,000 800,000 600,000 400,000 200,000 0 3분기 4분기 2013

1분기

2분기 3분기 2014

4분기

1분기 2분기 2015

Mobile Malware 모바일Total 악성코드 총계 9,000,000 모바일 악성코드 샘플 총 개수가 2분기에 17% 증가했습니다.

8,000,000 7,000,000 6,000,000 5,000,000 4,000,000 3,000,000 2,000,000 1,000,000 0 3분기 4분기 2013

1분기

2분기 3분기 2014

4분기

1분기 2분기 2015



위협 통계

Regional Mobile2분기 Malware Infection Rates in감염률 Q2 2015 2015년 지역별 모바일 악성코드 12% 4% 가까이 감소한 북미와 이전 분기와 동일한 아프리카를 제외하고 2분기에 모바일 악성코드 감염률이 지역별로 1% 가량 감소했습니다.

10% 8% 6% 4% 2% 0% 아프리카

아시아

오스트레일리아

유럽

북미

남미

글로벌 모바일 악성코드 감염률Rates Global Mobile Malware Infection 30% 25% 20% 15% 10% 5% 0% 4분기 2013

1분기

2분기

2014

3분기

4분기

1분기

2015

2분기



위협 통계

악성코드 새로운New 악성코드 Malware 60,000,000 50,000,000 40,000,000 30,000,000 20,000,000 10,000,000 0 3분기 4분기 2013

1분기

2분기 3분기 2014

4분기

1분기 2분기 2015

악성코드 총계 Total Malware 500,000,000

맥아피 연구소 악성코드 zoo가 이전 분기 대비 12% 증가함에 따라 확보된 샘플이 4억 3천 3백만 개를 넘어섰습니다.

450,000,000 400,000,000 350,000,000 300,000,000 250,000,000 200,000,000 150,000,000 100,000,000 50,000,000 0 3분기 4분기 2013

1분기

2분기 3분기 2014

4분기

1분기 2분기 2015



위협 통계

New Rootkit Malware 새로운 루트킷 악성코드 120,000 100,000 80,000 60,000 40,000 20,000 0 3분기 4분기 2013

1분기

2분기 3분기 2014

4분기

1분기 2분기 2015

Rootkit 루트킷Total 악성코드 총계Malware 1,800,000 1,600,000 1,400,000 1,200,000 1,000,000 800,000 600,000 400,000 200,000 0 3분기 4분기 2013

1분기

2분기 3분기 2014

4분기

1분기 2분기 2015



위협 통계

New Ransomware 새로운 랜섬웨어 1,400,000 2분기에 58% 증가한 새로운 샘플 수에서 알 수 있듯 랜섬웨어가 급격히 증가하고 있습니다. 맥아피 연구소 위협 보고서 2015년 5월호에서 처음 언급했듯이 CTB-Locker, CryptoWall처럼 감염 속도가 빠른 신종 악성코드의 증가가 그 원인인 것으로 분석됩니다. 지난 해에 랜섬웨어 샘플 총 개수는 127%나 증가했습니다.

1,200,000 1,000,000 800,000 600,000 400,000 200,000 0 3분기 4분기 2013

1분기

2분기 3분기 2014

4분기

1분기 2분기 2015

4분기

1분기 2분기 2015

Total 총계 Ransomware 랜섬웨어 4,500,000 4,000,000 3,500,000 3,000,000 2,500,000 2,000,000 1,500,000 1,000,000 500,000 0 3분기 4분기 2013

1분기

2분기 3분기 2014



위협 통계

새로운 악성 시그니처 바이너리 New Malicious Signed Binaries 3,000,000 2,500,000 2,000,000 1,500,000 1,000,000 500,000 0 3분기 4분기 2013

1분기

2분기 3분기 2014

4분기

1분기 2분기 2015

총 Total 악성 시그니처 Malicious바이너리 Signed Binaries 20,000,000 18,000,000 16,000,000 14,000,000 12,000,000 10,000,000 8,000,000 6,000,000 4,000,000 2,000,000 0 3분기 4분기 2013

1분기

2분기 3분기 2014

4분기

1분기 2분기 2015



위협 통계

웹 위협 새로운New 주의Suspect 대상 URLURLs 35,000,000 30,000,000 25,000,000 20,000,000 15,000,000 10,000,000 5,000,000 0 3분기 4분기 2013 URLs

1분기

2분기 3분기 2014

4분기

1분기 2분기 2015

4분기

1분기

관련 도메인

New피싱 Phishing 새로운 URL URLs 3,000,000 2,500,000 2,000,000 1,500,000 1,000,000 500,000 0 3분기 4분기 2013 URLs

1분기

2분기

3분기 2014

2분기 2015

관련 도메인



위협 통계

Spam URLs 새로운 New 스팸 URL 2,000,000 2분기에 새로운 스팸 URL과 도메인이 무려 380%나 증가했습니다. 이와 같은 급증의 주요 원인은 수십만 개의 자동 생성된 도메인이나 순차 도메인이 스팸 활동에 주력한 데서 찾을 수 있습니다. 맥아피 연구소는 실시간 블랙홀 목록(Realtime Blackhole List) 데이터베이스를 개선하여 이와 같은 도메인을 적발했습니다.

1,800,000 1,600,000 1,400,000 1,200,000 1,000,000 800,000 600,000 400,000 200,000 0 3분기 4분기 2013 URLs

1분기

2분기 3분기 2014

4분기

1분기

2분기 2015

관련 도메인

글로벌 스팸 및 이메일의 양 Global Spam and Email Volume (trillions of messages) (메시지 건수 [단위: 조]) 12.0 10.0 8.0 6.0 4.0 2.0 0 3분기 4분기 2013 스팸

1분기

2분기 3분기 2014

4분기

1분기

2분기

합법적 이메일



위협 통계

상위 10개의 봇넷에서 발송된 이메일 Spam Emails From Top 10 스팸 Botnets (메시지 백만]) (millions수[단위: of messages)

1,400

Kelihos 봇넷이 계속 잠들어 있는 가운데 봇넷에 의해 생성된 스팸량의 감소 추세는 2분기에도 지속됐습니다. Slenfbot이 1위에 올랐고 근소한 격차로 Gamut이 그 뒤를 이었으며 Cutwail이 3위를 기록했습니다. 2분기에 Slenfbot 스팸의 가장 보편적인 주제는 “정력 강화 비법” 이었으며 가장 널리 사용된 제목은 “밤을 즐기는 비결”이었습니다.

1,200 1,000 800 600 400 200 0 3분기 4분기 2013

1분기

2분기 3분기 2014

4분기

Kelihos

Gamut

Asprox

Cutwail

기타

Stealrat

Slenfbot

Darkmailer

Dyre

1분기 2분기 2015 Darkmailer 2

Worldwide Botnet Prevalence 전 세계 봇넷 분포율

Wapomi

22.0%

Muieblackcat

19.9%

Ramnit

2.0%

Sality

2.7%

18.4%

5.1%

Darkness Maazben

7.5% 10.2%

12.2%

Dorifel H-Worm 기타



인텔시큐리티 소개 피드백. 향후 유익한 정보 제공을 위해 여러분의 의견이 필요합니다. 귀하의 의견을 공유하고 싶다면 여기를 클릭하여 5분만에 완료할 수 있는 위협 보고서 설문조사에 참여해 주십시오.

맥아피는 현재 인텔시큐리티(Intel Security)에 통합되었습니다. 하드웨어 강화 보안에 대한 혁신적 접근 방식인 보안 연결(Security Connected) 전략과 고유한 글로벌 위협 인텔리전스(Global Threat Intelligence)를 통해 인텔시큐리티는 전세계 기업과 개인의 시스템, 네트워크 및 모바일 기기를 보호하는 사전 예방적이고 입증된 보안 솔루션과 서비스를 개발하는 데 역량을 집중하고 있습니다. 인텔시큐리티는 맥아피의 경험과 전문 지식을 인텔의 혁신성 및 입증된 성과와 결합시켜 모든 아키텍처와 컴퓨팅 플랫폼에서 보안을 필수적 요소로 강화합니다. 인텔시큐리티의 사명은 디지털 세상에서 누구나 안전하게 생활하고 일할 수 있다는 신뢰를 심어주는 것입니다. www.intelsecurity.com

맥아피 연구소 팔로잉하기

1. https://downloads.cloudsecurityalliance.org/initiatives/top_threats/The_Notorious_Nine_Cloud_Computing_ Top_Threats_in_2013.pdf

McAfee. Part of Intel Security. 서울특별시 강남구 테헤란로 152 강남파이낸스센터 5층 135-984 (02)3458-9800 www.intelsecurity.com

본 문서의 정보는 교육적 목적과 McAfee 고객의 편의를 위해서만 제공됩니다. 본 문서의 정보는 고지 없이 변경될 수 있으며 특정한 상황에서 정보의 정확성이나 적용 가능성에 대한 보증이나 보장 없이 “그 자체”로 제공됩니다. Intel과 Intel 로고 및 McAfee 로고는 미국 및/또는 기타 국가에서 Intel Corporation 또는 McAfee, Inc.의 등록상표입니다. 기타 상표와 브랜드는 다른 업체의 자산일 수 있습니다. Copyright © 2015 McAfee, Inc. 62058rpt_qtr-q2_0815_ PAIR