2024-03-29 03:15 (금)
[K-ISI 2017] 이재광 KISA 팀장 “2017년 주요 사이버 공격, 변화와 고민”
상태바
[K-ISI 2017] 이재광 KISA 팀장 “2017년 주요 사이버 공격, 변화와 고민”
  • 길민권 기자
  • 승인 2017.09.24 22:37
이 기사를 공유합니다

▲ 이재광 KISA 팀장. K-ISI 2017에서 강연.
▲ 이재광 KISA 팀장. K-ISI 2017에서 강연.
지난 9월 21일 데일리시큐 주최로 열린 ‘대한민국 정보보호 인테리전스 컨퍼런스 K-ISI 2017’이 200명 이상의 국내 보안전문가들이 참석한 가운데 한국과학기술회관 대회의실에서 개최됐다.

이 자리에서 이재광 한국인터넷진흥원 분석1팀 팀장은 ‘2017년 주요 사이버 공격, 변화와 고민’이란 주제로 첫 포문을 열었다.

그는 최근 Shadow Brokers의 등장으로 인해 제로데이 취약점 리스크를 어떻게 대해야 하는지. 미라이 악성코드의 등장으로 인해 취약한 인프라를 어떻게 해야 하는지. 대규모 서버 봇넷의 중심에 놓여있는 거점을 분석하면서 선제적으로 탐지하고 대응하는 것이 얼마나 중요한지. 우회 침투를 위해 공격자들이 사용하는 다양한 기법과 스피어피싱을 활용한 내부침투의 다양한 사례를 설명하면서 보안전문가들이 어떻게 변화해야 하는지 함께 고민하는 시간을 가졌다.

이 팀장은 제로데이 공격을 설명하면서 ‘Shadow Brokers’와 ‘호스팅 랜섬’ 공격 방법에 대해 설명했고 우회침투를 위해 ‘스피어피싱’, ‘워터링홀’, ‘Supply Chain’에 대한 상세한 분석내용을 공개했다. 또한 거점을 주제로 ‘악성툴 유포지’와 ‘미라이(Mirai)’에 대해서도 상세 내용을 공유했다.

▲ 이재광 팀장 발표자료 내용.
▲ 이재광 팀장 발표자료 내용.
Shadow Brokers는 중앙 관리 서버에서 정상 업데이트 정책파일을 업데이트할 때 이때 업데이트 URL을 변조하고 변조된 업데이트 정책파일을 적용하게 해 악성코드를 감염시킨다. 이후 악성코드 및 명령어 전송을 통해 데이터를 파괴하거나 정보를 유출해 빼내가는 방식이다. 또 이 팀장은 Shadow Brokers가 2016년 8월부터 2017년 3월까지 4차에 걸쳐 58종의 해킹툴을 무료공개한 과정에 대해서도 설명했다.

또 이터널블루 취약점을 이용한 악성코드 전파과정을 설명하고 최근 핫 이슈인 랜섬웨어 관련해서도 인터넷나야나 사건을 재조명하며 공격 과정에 대해 상세 분석 내용을 공개했다.

이러한 제로데이 공격에 대해 이 팀장은 “백도어를 어떻게 점검할 것인지, 내부망 이동을 어떻게 탐지할 것인지”가 고민이라며 “이러한 공격은 흔적이 거의 남지 않아 탐지에 애를 먹고 있다”고 어려움을 전했다.

또 우회공격에 대해서도 공정거래위원회를 사칭한 스피어피싱 공격과 국내 골프장 사이트를 이용한 워터링홀 공격 그리고 국내 개발자 및 관리자 PC를 해킹한 후 IDC업데이트 서버까지 장악해 이용자들을 공격하는 방식에 대해서도 설명했다. 특히 SW 실행파일이 제작되는 빌드 서버의 팀뷰어(원격접속 SW) 계정을 탈취해 악성코드를 설치하는 공격사례도 상세 소개했다. 즉 이러한 공격을 통해 해커는 자동 변조된 프로그램을 제작할 수 있게 된다.

▲ K-ISI 2017 컨퍼런스 현장
▲ K-ISI 2017 컨퍼런스 현장
이런 우회공격에 대해 이 팀장은 “우회공격으로 인해 악성코드 감염을 줄일 수는 있어도 막을 수 없는 상황이다. 이슈 기반의 점검은 알려진 이슈만 찾을 수 있을 뿐 알려지지 않는 공격에는 무방비로 당할 수밖에 업다. 제품이 아닌 흔적에 대한 관리가 필요하다”고 강조했다.

한편 공격 거점을 만들기 위해 공격자들이 지속적으로 노력하고 있다는 것도 강조했다. 국내 사례를 소개하며 국내 특정 기업 2곳을 해킹경유지로 만들고 한 곳을 악성툴 32종을 유포하는 유포지로 만들었다. 또 국내 33개 기관과 794개 IP, 4개 기업, 15개 대학 24개 IP를 해킹해 악성툴을 다운로드하도록 공격했다.

이외에도 디도스 공격으로 미국 동부지역 인터넷을 마비시킨 ‘미라이’ 봇넷이 한국 특정 웹서버에서 발견됐다고 밝히고 공격거점 확보를 위해 공격자들도 계속해서 공격을 감행하고 있다고 전했다.

이번 K-ISI 2017 이재광 KISA팀장의 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★