김성동 SK쉴더스 탑서트 담당이 APT 공격과 침해사고 동향 발표를 진행하고 있다. 사진=SK쉴더스
김성동 SK쉴더스 탑서트 담당이 APT 공격과 침해사고 동향 발표를 진행하고 있다. 사진=SK쉴더스

[데일리한국 김정우 기자] “초기침투는 가장 막기 어렵고 대기업이라도 뚫릴 수밖에 없다. 해커가 완전 장악하기 전에 활동경로를 신속, 면밀하게 확인하고 차단하는 게 중요하다”

김성동 SK쉴더스 탑서트(Top-CERT) 담당은 24일 SK쉴더스 판교 사옥에서 기자들을 대상으로 진행된 보안스터디 자리에서 APT(지능형 지속위협) 공격과 침해사고 동향을 공유하며 이 같이 말했다.

SK쉴더스 탑서트는 해킹 사고 발생 시 즉시 현장에 투입돼 원인을 규명하고 사건을 분석해 대책을 제시하는 해킹 사고 분석 전문가 팀이다. 2012년 설립돼 지난 10년간 국내 다수의 APT 사고를 경험하며 해킹사고 분석 능력과 노하우를 축적했다. 대규모 해킹 사고를 비롯해 연간 평균 50여건의 국내 사고에 대응하며 총 500여건 이상의 사고 분석을 수행해 왔다.

탑서트는 2016년 북한발 정보유출 사고에서 소프트웨어 취약점을 국내 최초로 발견해 대규모 정보 유출 사고를 예방했으며 지난해에는 국가기간망 북한발 정보 유출 사고에서도 최초 취약점을 발견해 대응을 도운 바 있다. 인터넷 역사상 가장 큰 위협이라고 밝혀진 오픈소스 소프트웨어 ‘Apache Log4j’ 취약점으로 인한 실제 해킹 여부를 확인할 수 있는 무료 점검 툴을 제작해 무료 공개하기도 했다.

APT 공격은 기업, 정부기관, 군 등을 대상으로 해커가 지속적으로 다양한 보안 위협을 가하는 것으로, 적게는 며칠, 길게는 몇 년 단위로 공격이 지속된다. 최근에는 국가적인 차원의 해커 집단이 공격을 수행하는 추세다.

APT 공격은 대체적으로 △초기침투 △악성코드를 이용한 거점확보 △관리자 권한 획득 △내부정찰 △보안 장치를 우회하고 민감정보 또는 시스템에 접근하거나 악성행위를 수행하는 내부이동 △일련의 과정을 반복하며 피해 대상의 자원을 확보해가는 지속실행 △시스템 내부 데이터 수집 및 랜섬웨어 등 악성행위 실행 등 단계를 거쳐 수행된다.

최근 3년간 탑서트가 직접 담당한 침해사고를 분석한 결과 초기침투 단계에서 어플리케이션 취약점을 이용한 공격이 크게 증가하고 있는 것으로 나타났다. 이 가운데 메시징, 협업 소프트웨어 ‘MS 익스체인지’의 취약점을 통한 공격 비중이 가장 높은 45%였다.

거점확보 단계에서는 ‘웹쉘’을 활용한 공격이 2020년 20%에서 52%로 2배 이상 크게 증가했다. 웹쉘은 파일 업로드 기능을 이용해 시스템에 명령을 내릴 수 있는 웹 프로그램을 업로드 할 수 있는 취약점으로 간단한 서버 스크립트로 만들어져 해커가 원격으로 웹 서버를 제어할 수 있도록 한다.

사진=SK쉴더스
사진=SK쉴더스

APT 공격에 성공한 해커의 70% 이상은 정보유출과 랜섬웨어를 목표로 삼았으며 이 두 가지 유형을 합친 ‘서비스형 랜섬웨어(RaaS)’가 꾸준히 증가하고 있다.

김 담당은 올해 신규 취약점과 국내 솔루션의 취약점이 많아질 것으로 예상했다. 취약점 분석 사이트 CVE details에 따르면 최근 3년간 취약점은 계속 급증하고 있으며 2021년 2만171건 대비 지난해 2만5227건으로 125% 증가했다. 탑서트가 담당한 침해사고에서도 취약점을 악용한 공격은 2021년 대비 지난해 150% 늘었다.

랜섬웨어도 증가할 전망이다. 최근 3년간 한국인터넷진흥원(KISA)에 신고된 랜섬웨어 건수는 2021년 223건 대비 지난해 303건으로 135% 상승했으며 탑서트가 담당한 랜섬웨어 사고도 2021년 대비 지난해 175% 증가했다.

또한 국제 정세 불안으로 인한 사이버 공격이 증가하고 랩서스·샤오치잉과 같은 APT 공격을 수행하는 해커 그룹이 조직화된 활동을 보이면서 국가 기반 시설을 노리는 APT 공격이 늘어날 것으로 예상된다고 김 담당은 밝혔다.

탑서트가 담당한 침해사고를 분석한 결과 기업이 침해사고를 인지하는데 걸리는 평균 시간은 단축되고 있지만 해커가 목적을 달성하는데 걸리는 시간은 더 짧아지고 있는 것으로 나타났다. 이에 김 담당은 해커가 최종 목적을 달성하기 전에 탐지·차단할 수 있는 체계가 마련돼야 한다고 강조했다.

SK쉴더스 탑서트는 점차 고도화·지능화되는 침해사고에 대응하기 위해 4가지 전략을 선보인다. 

첫 번째로 ‘침해사고 이슈 보고서’를 정기적으로 배포한다. 최근 고도화된 APT 공격에 따라 해커가 사용하는 TTPs(해커가 사용하는 전술과 목표 달성을 위한 공격 기술, 수행 절차 등을 항목화해 분류해 놓은 프레임워크)를 분석·제공하는 것이다.

두 번째로 ‘위협 헌팅(발견되지 않은 위협을 탐지해 공격이 발생하기 전 공격기법과 공격자를 식별하고 제거하는 행위) 정보를 제공, 최근 기업·공공기관 등 정보 유출을 목적으로 한 공격에 대비할 수 있도록 돕는다.

세 번째로는 ‘ASM(공격 표면 관리) 서비스’를 론칭할 예정이다. ASM은 공격 표면을 구성하는 인프라, 데이터 소프트웨어, 사용자 등의 측면에서 보안 취약점과 잠재적 위험 요소를 분석·해결·모니터링하는 활동으로 외부 위협을 선제적으로 차단할 수 있도록 한다. 

마지막으로 탑서트의 전문 분석 역량을 기반으로 ‘EDR(엔드포인트 침입 탐지 및 대응)’ 특화 ‘MDR(Managed Detection Response)’ 서비스를 확대·고도화할 계획이다. 연중무휴 보안 위협을 실시간 감지하고 대응함으로써 사이버 위협을 사전에 차단할 수 있도록 지원하는 사이버 보안 서비스다.

김 담당은 “최근 침해사고는 백신 등 기존 보안솔루션을 회피하는 고도화된 APT 공격이 확산되고 있는 만큼 내부 인프라 전반에 대해 보안 위협에 빠르게 대응할 수 있는 행위 기반 지능형 위협 대응 솔루션이 필요하다”며 “EDR 솔루션 도입으로 이런 공격에 대한 대응이 상당 부분 가능하다”고 말했다.

키워드

#SK쉴더스 #보안 #APT #해킹 #웹쉘 #랜섬웨어 #EDR #MDR #탑서트
저작권자 © 데일리한국 무단전재 및 재배포 금지