안랩 한창규 센터장, 악성코드에서 많이 사용하는 공격기법 4가지 발표
이스트시큐리티 문종현 센터장, 공급망 공격과 스피어피싱 위험성 강조
이슈메이커스랩 최상명 Founder, 북 추정 해커조직과 액티브X 취약점의 위험성 언급

[보안뉴스 김경애 기자] 국제 사이버 시큐리티 콘퍼런스 ‘ISEC 2018’(International Security Conference 2018)가 성황리에 열리고 있는 가운데, 행사 둘째 날인 31일에는 많은 보안종사자들이 기대를 품었던 ‘대한민국 대표 악성코드 분석가 3인이 말하는 2018 사이버보안’을 주제로 한 토크콘서트로 막이 올랐다.


이날 토크콘서트는 보안뉴스 편집국장인 권 준 상무이사가 사회를 보고 악성코드 분석 전문가인 안랩 한창규 ASEC 센터장, 이스트시큐리티 문종현 ESRC 센터장, 이슈메이커스랩 최상명 Founder 3인의 주제발표와 패널 토의 순으로 진행됐다.

첫 번째 주자는 안랩 한창규 센터장이 ‘최근 보안위협 동향’을 주제로 발표로 나섰다. 한창규 센터장은 악성코드에서 많이 사용하는 공격기법 4가지로 △Polymorphism △Packer △Obfuscation △Injection △안티 VM △Fileless를 꼽았다.


한창규 센터장은 “악성코드에서 많이 사용하는 공격기법을 얼굴에 비유한다면 Polymorphism는 얼굴을 변형시키는 악성코드 변종을 뜻하며, Packer는 악성코드의 외형은 변하지 않으나 가면이나 마스크를 사용하는 것처럼 악성코드를 포장해 속이 잘 안보이게 위장하는 것을 의미한다”며 “이와 유사한 유형인 Obfuscation는 난독화로 악성코드 분석을 방해하기 위한 목적으로 사용되는 기법이다. Injection은 정상인 얼굴처럼 도용해 악성코드를 추가하는 기법”이라고 설명했다.

특히, 최근에는 공격자가 안티VM과 파일레스(Fileless) 기법을 많이 활용한다고 설명했다. 이어 한 센터장은 “악성코드는 키보드를 입력하는지, 윈도우 창이 이동했는지, 마우스를 움직였는지 체크한다”며 “안티VM의 경우 악성코드가 탐지되지 않도록 우회한다. Fileless는 공격자가 파일기반으로 탐지되는 원리를 알고, 최초 취약점 발생부터 감염까지 파일 형태로 존재하지 않도록 함으로써 진단을 하지 못해 최근 매우 핫한 이슈 가운데 하나”라고 우려했다.


바통을 이어받은 이스트시큐리티 문종현 센터장은 ‘국가기반 APT 공격그룹의 위협동향’를 주제로 실제 공격사례를 심층 분석했다. 4가지 사이버위협으로 그는 △소프트웨어 공급망 공격(서플라이 체인 어택) △스피어피싱 △워터링홀 △소셜네트워크를 이용한 사이버공격인 SNP를 소개했다.

이스트시큐리티 문종현 센터장은 소프트웨어 공급망 공격과 관련해 “처음에는 공격자가 신뢰관계를 형성하기 위해 정상 소프트웨어 서버를 해킹해 악위적인 행위를 한 뒤, 개발·공급사를 타깃으로 감염시킨다”며 “대표적인 사례로 2009년 발생한 7.7 디도스 공격이 한국에서 발생했던 최초의 공급망 공격으로 볼 수 있다”고 설명했다.

이어 스피어피싱은 한국의 특정 보안관련 업체 타깃으로 발생한 사례가 발표됐다. 문 센터장에 따르면 특정 온라인 여행사 정보보안팀으로 위장해 IDC 인프라 경력사원 모집 내용으로 정상 메일을 발송했다. 이후 신뢰관계를 쌓은 후, 코트라 무역관인 권모 씨를 사칭해 ‘美 사이버 보안시장의 현재와 미래’란 내용으로 악성파일을 발송했다. 특히, 공격자는 무작위 공격이 아닌 치밀한 사전 계획을 거친 후 공격을 감행했다고 밝혔다.

워터링홀 공격은 국내 액티브X 취약점을 이용해 금융, 안보, 통일, 외교, 대북단체 등 특정 분야 웹사이트만 해킹해 웹사이트의 방문자를 집중 감염시킨 공격사례가 공개됐다.

마지막으로 소셜네트워크 공격사례에 대해 문 센터장은 “해커들이 유용하게 사용하는 기법 중 하나”라며 “지인 사칭이나 친구맺기 등을 통해 페이스북과 카카오톡으로 악성파일을 전송해 이용자를 감염시킨다. 공격자는 이를 통해 음성녹음, 전화주소록, 문자탈취 등 모든 권한을 가져가 무제한적으로 스마트폰을 해킹할 수 있다”고 설명했다.


마지막 주자로 나선 이슈메이커스랩 최상명 Founder(파운더)는 ‘국가지원 공격 조직이 악성코드 유포를 위해 사용하는 취약점과 해당 조직의 외화벌이 활동’이란 주제로 발표를 이어갔다.

특히, 액티브X 취약점을 이용한 북한 추정 사이버공격에 초점을 맞춘 최상명 파운더는 “MS에서 액티브X 사용을 금지했음에도 국내는 아직까지도 액티브X를 많이 사용하고 있다. 특히, 보안업체에서도 공인인증서, 방화벽, 개인정보보호, 인증, 패치관리, 계정관리, 암호화 솔루션에 많이 이용하고 있다. 해커는 이를 미리 파악하고 공격에 액티브X 취약점을 활용해 피해를 입혔다”고 밝혔다.

더욱이 북한 추정 해커들의 제로데이 취약점 활용 빈도는 갈수록 높아지고 있는 추세로 드러났다. 제로데이 취약점을 잘 찾는다는 것은 무엇보다 그들의 공격수준이 상당히 높아졌다는 것을 의미한다.

3인의 강연이 끝난 후, 질의응답이 이어졌다. 각종 보안위협에 대한 가장 중요한 대응에 대해 최상명 파운더는 “공격자들은 방어자보다 앞서 있다. 기업에서는 보안 솔루션들을 구축 및 운영하고 있지만 공격자는 이미 이러한 것들을 모두 파악해 성공적인 공격 수행을 위해 준비한다. 이에 언제든지 공격이 들어올 수 있다는 가정 하에 신속한 공격탐지에 초점을 맞추는 게 중요하다. 어디까지 침투하고, 어떤 정보를 탈취했는지 빠르게 파악 및 차단할 수 있는 방향으로 대응해 나가야 한다”고 당부했다.

문종현 센터장은 “국가 지원을 전폭적으로 받는 해커조직들의 보안위협을 많이 경험하다 보니 지금껏 국내 보안담당자들이 공격에 쫒아가기만 바쁘고, 장비에만 의존하는 건 아닌지 보안 인프라 환경 측면에서 다시 생각해보게 됐다”며, “공격자들은 인력 양성 및 기술 개발에 집중 투자하고 있는 반면, 방어자는 그렇지 못한 상황이다. 정부와 민간이 협력해 보안에 적극 투자하고, 악성코드 분석인력 양성에도 나설 필요가 있다”고 말했다.

마지막으로 한 센터장은 “보안위협 대응에 있어 시작부터 마지막까지 결국 보안의 홀은 사람이다. 이를 위해 보안인식 교육이 선행돼야 한다”며, “이와 함께 기관 및 기업에서 취약점 관리만 잘해도 보안사고의 90% 이상을 막을 수 있다”는 말로 취약점 관리의 중요성을 강조했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>