이재광 팀장은 분석가들을 힘들고 고민하게 만들었던 일련의 국내 공급망을 타깃으로 한 해킹공격행위에 대한 분석 내용을 공유해 큰 관심을 끌었다.
이번에 공유한 공격내용 분석은 지난 2016년 12월 이전부터 시작해 현재까지 진행되고 있는 APT 공격사례다.
이재광 팀장은 호스팅사와 같은 공급망을 장악해 공격을 확산시켜 나가는 것이 최근 공격 트렌드이며 이런 공격은 상당히 심각한 상황이라고 경고했다.
이 팀장은 "공격자는 외부 서비스 서버를 장악해 게이트웨이를 타고 타깃 공급망 본사를 침투하고 있다. 게이트웨이에 대한 위협 모니터링이 반드시 필요하다. 이후 공격자는 타깃의 운영서버에 악성코드를 설치해 내부망을 장악한 후 고객서비스망까지 침투하고 고객정보를 빼내간다. 이런 공격으로 어디까지 공격의 흐름이 흘러 들어갔는지 우려스러운 부분이다"라고 말했다.
분석 내용을 정리하면, 공격자는 2016년 12월 이전부터 공격을 시작해 호스팅사의 관리자 PC를 장악해 공격을 시작했고 16년 12월 호스팅사 고객(타깃1)의 서비스를 장악해 나갔다. 2017년 9월 타깃1의 내부망 침투 접점을 장악하고 2018년 2월 타깃1의 개발 및 운영 환경을 장악했다. 이후 타깃1의 고객서비스를 장악했고 2018년 4월 타깃2의 개발 및 기술지원 환경을 장악했다. 4월에 또 타깃3의 운영 환경을 장악했고 5월에는 타깃4의 개발 및 기술지원 환경을 장악했다. 공격은 현재 진형중이다.
또 공급망 본사 PC를 장악후 개발망을 공격해 인증서와 소스코드 등을 공격해 나간다. 특히 소스코드 백업 서버를 공격하고 테스트 서버까지 공격해 공격에 요긴하게 활용한다. 더불어 해커는 국내 서버 다수를 활용해 통신채널로 활용하고 있으며 리버스커넥션 백도어와 방화벽을 우회해 공격하고 있다.
이어 그는 "공격자가 장악한 서버와 주고받은 통신을 분석해 보면 9천번 이상 통신한 경우도 있다. 통신채널(C2)도 지속적으로 사용하는 것이 아니라 공격 상황에 맞게 사용했다가 잠시 쉬고 다시 사용하고 여러대의 서버를 중복하거나 갈아타면서 통신채널로 활용하고 있다. 네트워크 보안 관점에서 고민해야 봐야 할 사안이다"라고 전했다.
해커가 사용하고 있는 국내 통신채널은 수십대에 달하며 1일 최대 접속이 600회를 넘는 경우도 있다. 이러한 공격은 지금도 계속 되고 있다.
공격자는 서비스망과 폐쇄망 사이를 연결하는 접점을 집중 공략하고 있다. 또 통신채널로 사용되고 있는 서버에 자신들의 흔적을 남기지 않고 있다.
이 팀장은 마지막으로 "타깃1을 대응하는데 10주가 걸렸다. 분석팀 50% 이상을 투입했다. 하지만 여전히 불씨는 살아있다. 공급망이라 어디까지 공격의 불씨가 남아있는지 알 수가 없다. 한편 기업들은 분석이 이루어지면 깨끗해 졌다고 생각한다. 아니다. 지금부터 대응의 시작이란 것을 알았으면 한다"며 "또 여전히 대응 속도는 공격자 보다 한바퀴가 느리다. 한바퀴라면 사실 따라잡기 불가능한 거리다. 그들을 따라 잡을 의지가 흔들릴 때가 있다. 그리고 분석가들이나 KISA가 어떻게 이런 공격들을 분석하고 대응해야 하는지 어떤 변화가 필요한지 고민이다"라고 말을 맺었다.
★정보보안 대표 미디어 데일리시큐!★