본문 바로가기 주메뉴 바로가기

사이버홍보실

공지사항

지능형 지속위협은 갑자기 일어나지 않는다.

admin 2018-06-01 조회수 1,207

지능형 지속위협은 갑자기 일어나지 않는다.

  지난 2월 전 세계에서 가장 뜨거웠던 도시는 다름 아닌 대한민국 평창이었다. 위키피디아의 2월 한 달 동안 주요 도시 페이지뷰 가운데 ‘평창’은 세계 주요 도시의 1.5에서 4.9배 높은 수치를 기록하며 뉴욕, 런던, 파리를 월등하게 앞섰다. 물론 이는 ‘평창동계올림픽’의 영향이었다.

  이처럼 지구촌의 시선이 평창, 그리고 평창동계올림픽으로 향해있을 때, 사건이 발생했다. 2월 9일 8시, 역사에 길이 남을 성대한 개막식이 열림과 동시에 평창동계올림픽 업무망에 해킹 공격이 시작된 것이다. 메인 프레스센터에 설치된 IPTV가 꺼졌으며 조직 위원회 홈페이지는 마비됐다. 느닷없는 공격으로 평창동계올림픽에서 사용된 300여 대의 서버가 영향을 받았고, 이 가운데 50여 대가 파괴됐다. 이 과정에서 서비스 인증 서버와 데이터 서비스 등이 파괴되면서 52종의 서비스가 중단되는 상황이 벌어졌다. 개막식을 지켜보는 이들은 이 사실을 알지 못했는데, 이는 공격을 받은 업무망이 방송망과 분리돼 경기 중계에는 지장이 없었기 때문이다.

<개막식이 열리던 2월 9일 8시, 평창동계올림픽 업무망에 해킹 공격이 시작됐다.>

  알고 보니 공격자들은 선수촌 개촌식(2월 1일)이 이루어지기 훨씬 전인 2017년 12월부터 장기간에 걸쳐 지능형 지속공격(Advanced Persistence Threat, APT)를 벌여온 것으로 최근 확인됐다. 이들은 파트너사 계정 정보를 탈취한 후 조직 위원회 시스템으로 잠입했다. 이후 조직 위원회의 계정마저 탈취했으며, 탈취한 정보로 CDN(Contents Delivery Network) 계정에 침입해 공격 당일 서비스를 교란시켰다. CDN이란 인터넷 환경에서 사용자들에게 다양한 콘텐츠를 안정적이고 효율적으로 전달하기 위한 시스템이다. 이 시스템은 여러 인터넷 서비스 사업자와 연결해 사용자들이 원하는 콘텐츠를 최적의 경로로 전송받을 수 있게 한다. 해커들은 우선 이 CDN 서버에 접근해 네트워크 혼란을 유도하고, 2차적으로 조직 위원회와 국내외 파트너사 시스템에 침입해 공격했다. 공격에는 총 41개의 악성코드가 사용됐으며 분석 결과 이 중 25개가 실제 시스템 파괴에 사용됐고, 나머지 16개는 사전 준비 작업에 쓰인 것으로 밝혀졌다.
 

  평창올림픽 조직 위원회는 사건 발생 직후부터 12시간 동안 대응 및 복구 작업을 벌여 대회 1일 오전 7시 50분, 마침내 해커와의 전쟁이 종결됐다. 시스템 복구와 후속 공격 예방을 위해 조직 위원회는 모든 계정의 ID와 패스워드를 변경하고, 백신을 투입하는 작업을 진행했다. 결국 개회식과 동시에 일어난 해킹 공격에도 대회는 성공적으로 마무리될 수 있었다.

<개회식과 동시에 일어난 해킹 공격에도 대회는 성공적으로 마무리 됐다.>

  해커들이 올림픽 개최 두 달 전부터 치밀하게 공격을 준비했음에도 조직 위원회가 이를 알아차리지 못한 것은 이들이 얼마나 은밀하게 시스템에 잠입했고 정보를 탈취해갔는지 짐작하게 한다. 특히 16종의 악성코드가 사전 준비 작업에 쓰인 것으로 분석됐는데, 이들이 파트너사 계정 탈취부터 조직 위원회 계정 탈취까지 장기간에 걸쳐 조직적 계획적으로 침입해 왔다는 점이 주목할 만하다. 이는 곧 단 한 개의 계정 탈취가 결국 전체 시스템을 붕괴할 수도 있다는 점을 시사하기 때문이다.

  그렇다면 APT 공격을 막을 수 있는 방법은 없는 것일까? 전문가들은 APT 공격에 악성코드가 사용된다는 점을 들어 ‘행위 분석 기반’의 보안을 강조한다. 오상진 평창동계올림픽 조직 위원회 정보통신국장도 평창올림픽 해킹과 같은 고도의 공격을 사전에 방어하기 위해서는 정교한 행위 분석 기반의 보안 체계가 필요하다고 밝힌 바 있다. 시그니처 분석 기반이 아닌 행위 분석 기반의 필요성이 강조되는 이유는 APT에 활용되는 다양한 신종 악성 코드에 대한 업데이트가 불필요하기 때문이다.

<최근 증가하는 모바일 APT 공격에 대한 위험성이 강조된다.>
 

  네트워크 보안뿐 아니라 최근 증가하는 모바일 APT 공격에 대한 위험성도 강조된다. 업무상에 모바일 기기의 활용이 증가하며 네트워크에 사용자 단말이 추가되고 있는데, 모바일 기기들은 대체로 APT 공격에 대한 보안이 취약하기 때문이다. 특히 모바일 기기의 대표격이라고 할 수 있는 스마트폰의 경우, ‘휴대 전화’의 관점에서의 보안이 네트워크 공격의 창구를 연다는 지적이다. 보안 영역에서의 스마트폰의 개념을 바꿔야 한다는 필요성이 대두되는 이유다.

  ‘가랑비에 옷 젖는 줄 모른다’는 속담이 있다. 최하위단의 계정 탈취가 시스템 내에서 번져나가는 일련의 과정을 가랑비인 줄 알고 파악하지 못한다면, 결국 전체 시스템을 통째로 내어주게 될지도 모른다. 조금의 의심스러운 행위도 탐지할 수 있는 철저한 보안 시스템 구축이 필요한 이유다.



출처: http://handreamnet.tistory.com/440 [한드림넷 블로그 / HanDreamnet Blog]