[EX-Scan/GateXcanner] 랜섬웨어도 비대면 타고 일상 속에 온택트 된다면? 2021년 안전한 업무환경을 위한 OT 보안 대비책

    보안 이야기 2021. 1. 12. 16:50

    안녕하세요. 2021년도 새해가 밝았습니다.

     

    올 새해는 코로나라는 특수상황으로 인해 전세계 사람들 모두가 언택트 새해 인사로 소통하는 모습이 그려졌는데요.

    어서 빨리 일상으로 회귀하여 2021년은 건강한 한 해가 되길 바랍니다.

     

    2020년은 코로나19로 인한 비대면 트렌드, 디지털 전환 가속화는 물론, 디지털 뉴딜 정책 등 보안과 맞물린 이슈가 많은 한 해였습니다. 특히 디지털 전환이 가속화되고 데이터 경제가 활성화되면서 네트워크 보안, 데이터 보안 등 영역에 상관없이 그리고 전 산업 군에서 보안의 중요성을 인식할 수 있었습니다. 무엇보다 언택트 환경에서의 보안을 권장이 아닌 필수로 인식하고 해당 환경에서 정보보안에 대한 사회적 관심과 이슈가 상승한 시기였다고 생각하는데요.

     

    한편 전문가들은 코로나19로 인한 비대면 트렌드 등의 영향으로 ▲고도화된 APT 공격 지속 등장 ▲원격근무 환경을 노린 공격 증가 ▲랜섬웨어 등 협박성 공격 고도화 ▲5G 네트워크 노린 취약점 공격 활발 ▲사회공학적 기법 활용한 피싱 공격 증가 등을 올해의 보안 이슈로 전망합니다.

     

    더불어 랜섬웨어, 랜섬디도스 등의 사이버 위협 트렌드 또한 이어질 것으로 예측했습니다. 최근 랜섬웨어와 관련해서 들은 이름만 해도 메이즈, 클롭, 락빗, 비너스락커, 갠드크랩, 블랙킹덤 등으로 다양한데요. 실제로 컨설팅 업체 크롤(Kroll)이 발표한 자료에 따르면 지난 2020년 9월까지 발생한 사이버 공격 중 1/3이 랜섬웨어에 해당하는 것으로 나타났습니다.

     

    오늘은 작년에도 올해에도 가장 주목되는 위협인 '랜섬웨어'와 더불어, 전문가들이 예방하기 가장 어려운 유형의 위협으로 꼽은 '공급망 공격'에 대해 다룹니다. 그리고 지난달 보안 업계를 들썩이게 한 ‘솔라윈즈 해킹사건’을 통해 공급망 공격의 실태에서부터 이러한 공격 예방을 위해 소프트캠프가 제시하는 2021년도 보안 대비책까지 살펴보겠습니다.

     

     

    ▶ 2021년 가장 주목해야 할 최대 위협은 역시 “랜섬웨어”

     

    최근 한국인터넷진흥원(KISA)에서 발표한 2021년 사이버 위협 전망에 따르면, 국내·외 공통으로 2021년 가장 주목해야 할 사이버 위협으로 “랜섬웨어”가 선정되었습니다. 또한 KISA는 ‘2021 글로벌 사이버 위협 시그널’을 통해 표적형 공격과 결합한 랜섬웨어와 이를 통한 피해 규모가 증가할 것으로 내다봤습니다.

     

    앞서 언급하였듯 2020년 한 해 유독 눈에 띄는 사이버 공격은 랜섬웨어였습니다. 주요 사례로는 국내 유통 기업이 영업을 중단한 사례, 일본 자동차 기업 세계 11곳의 공장 시스템 마비로 출하가 중단된 사건, 랜섬웨어로 병원 시스템이 마비돼 긴급 이송하던 환자가 사망한 사건을 꼽을 수 있는데요. 공격자들은 수익 극대화를 위해 다양한 산업 분야로 랜섬웨어를 유포하고 있는 실정입니다. 이와 유사한 사건은 꾸준히 발생할 것이며 올해에도 소프트웨어 취약점을 통해 기업 내부 시스템을 장악하고 랜섬웨어를 유포하는 형식의 공격은 나날이 증가할 것으로 예측됩니다. 특히 랜섬웨어는 서비스, 제조, 의료 등 분야를 가리지 않고 대상을 표적해 공격할 뿐 아니라, 기업의 주요 정보, 고객 개인정보 및 결제 정보를 갖고 협박하는 수단 또한 다양해질것으로 경고합니다.

     

    이러한 예방을 위해서 무엇보다 ▲최신 보안 업데이트 조치 ▲출처 불명확한 이메일과 URL 링크 실행 주의 ▲백업 체계 구축 및 보안성 강화 등 철저한 관리가 필요합니다. 대부분의 랜섬웨어가 이메일로 유포된다는 점에 주목해, 발신자가 불분명하거나 내용이 의심스러운 메일을 확인할 때는 주의를 기울여야 합니다. 또한 안정성이 확인되지 않은 웹사이트는 방문을 자제하고, OS 및 인터넷 브라우저, 응용프로그램, 오피스 SW 등의 프로그램에는 최신 보안 패치를 적용하는 등 기본적인 보안 수칙을 지키는 것이 중요한데요. 특히 기업 보안 관리자는 랜섬웨어를 활용하는 공격자에 대비해 현재 운영하고 있는 보안 인프라 및 방어 체계를 꼼꼼히 점검할 필요가 있습니다.

     

    가장 좋은 대응 방안은 ‘예방’입니다. 기본 보안 수칙 준수 및 백업 생활화, 임직원 보안 교육 등을 통해 랜섬웨어에 감염될 가능성을 평소에 줄일 것을 당부합니다.

     

     

    ■ 사이버 위협 전망 주요내용  <출처: KISA>

    글로벌 전망

    국내 전망

    ▲표적형 공격 랜섬웨어의 확산과 피해규모 증가
    ▲고도화된 표적형 악성 이메일
    ▲코로나-19 사이버 공격 팬데믹
    ▲다크웹 유출 정보를 활용한 2차 공격 기승
    ▲기업을 낚는 사이버 스나이퍼

    ▲표적 공격과 결합된 랜섬웨어의 위협 확대
    ▲거세진 DDoS, 금전까지 요구하는 공격 증가
    ▲사회기반시설 및 중요 인프라를 겨냥한 사이버 위협 범위 확대▲포스트 코로나 시대 비대면(언택트) 전환 후 보안 사각지대를 노린 사이버 위협 증가
    ▲클라우드 서비스 목표한 공격 증가
    ▲국가 지원 해킹 그룹의 공격 증가와 위협 대상 확대 및 다양화▲5G를 이용한 사물인터넷(IoT)제품의 활성화로 새로운 보안 위협 대두
    ▲보안 솔루션을 우회하기 위한 기법 고도화

     

    2021년 사이버 위협 시그널 포스터 <출처: KISA>

     

     

    ▶ 세계 1위 네트워크 관리 솔루션 기업 솔라윈즈(SolarWinds) 해킹 사건

     

    지난 12월, 미국 CISA(Cyber Infrastructure Security Agency)는 솔라윈즈의 제품 관련 공급망 공격에 대한 긴급 보안 주의를 발표했습니다. 바로 세계 1위 네트워크 관리 소프트웨어인 '솔라윈즈' 를 모든 연방 기관에서 즉시 중단시키라는 긴급 보안 지침을 발령한 것 인데요, 이는 솔라윈즈가 백도어를 유포하기 위한 플랫폼으로 악용됐다는 사실이 뒤늦게 드러났기 때문이라고 알려지고 있습니다.

     

    더욱 더 상세하게는 솔라윈즈의 IT 모니터링 및 시스템 관리 프로그램 ‘오리온’이 소프트웨어 업데이트 과정에서 공격자가 악성코드를 배포한 사고 라고 합니다. 사이버보안 기업인 파이어아이를 시작으로 미국 주요 기업과 정부기관들이 잇달아 러시아의 코지 베어(Cozy Bear)라 여겨지는 공격 그룹으로부터 해킹 공격에 뚫린 것으로 밝혀졌습니다.

     

    이번 해킹은 솔라윈즈의 오리온 플랫폼을 주 침입 경로로 사용한 공급망 공격이었습니다. 솔라윈즈에 따르면 해커들은 지난 3월부터 6월까지 솔라윈즈의 모니터링 솔루션 ‘오리온’에 멀웨어를 심어 사용자가 애플리케이션 업데이트를 실행하면 자연스레 악성코드가 유포되도록 했습니다. 이에 따라 솔라윈즈 제품을 사용하는 수많은 고객들이 해킹 피해를 입었는데요. 주요 고객사인 미국 포춘지 선정 기업들은 물론, 미국 상위 10대 통신업체, 미국 상위 5대 회계 법인, 전 세계 수백 개의 대학 등 총 1만 8,000여 곳이 피해를 입은 것으로 추정됩니다.

     

    미국 CISA가 12/13(현지시간) 발령한 긴급 보안 지침 <출처: CISA 홈페이지 캡처>

     

    솔라윈즈는 ‘모든 사람의 IT’라는 사명 아래 정부 기관과 민간 기업에 네트워크 모니터링 소프트웨어를 제공하고 있습니다. 현재까지 전세계에 30만 곳 넘는 고객사를 확보하고 있으며, 포춘지 선정 500대 기업 가운데 400 곳이 넘는 기업에서 솔라윈즈를 사용하고 있는 것으로 밝혀졌습니다. 또한 미 국무부와 상무부를 비롯한 연방 기관이 핵심 고객이라는 점에서 이번 사건에 대한 논란은 불거질 수 밖에 없었는데요. 미 10대 통신업체 및 전 세계 유수의 대학도 솔라윈즈를 쓰고 있으며 지난해 국내 총판 계약을 맺고 한국 시장에도 진출했습니다.

     

    네트워크 모니터링 솔루션 ‘오리온’은 컴퓨터 시스템 관리자가 회사나 조직의 네트워크 상태를 쉽게 볼 수 있도록 단일한 플랫폼에서 네트워크 및 인프라 관리 솔루션을 제공하고 있습니다. 이에 서버와 애플리케이션, 가상화, 데이터베이스, 스토리지, 네트워크, 클라우드의 인프라 운영에 대한 가시성 확보까지 가능해 오리온은 전체 네트워크 정보를 간편하게 보여준다는 장점을 지닌 제품으로 전세계 수많은 고객사를 확보하고 있었습니다.

     

    솔라윈즈는 그들 제품의 강점은 ‘가시성’이라는 주장과 함께 '보안'에 대한 자신감 또한 줄곧 드러내 왔는데요. 지난 6월에는 오리온 제품이 취약점을 포함하지 않는다고 공식 발표한 바 있으며, 악성코드를 묻는 블룸버그 소속 기자를 미증권거래소에 회부하며 해당 주장을 강력하게 부인한 사례가 있습니다.

     

    하지만 해커들에게 오리온은 공격 통로로 이용되었습니다. 가장 먼저 이 결함을 밝힌 파이어아이에 따르면, 자사 해킹 경위를 분석하는 과정 중 솔라윈즈 오리온 플랫폼에서 백도어를 발견했으며 해커들은 정상적인 오리온의 소프트웨어 업데이트로 위장시켜 시스템에 멀웨어를 유포했다고 알렸습니다. 파이어아이는 공격의 배후 세력으로 UNC2452라는 단체를 꼽고 있으며, 선버스트(SUNBURST)라는 멀웨어를 솔라윈즈 소프트웨어 업데이트를 통해 퍼트리고 있다고 주장했습니다.

     

    선버스트는 HTTP를 통해 공격자의 서버와 통신하는 기능을 가지고 있는 백도어로, 감염된 솔라윈즈 업데이트를 설치하고 나면 선버스트는 최대 2주 동안 아무런 활동도 없이 시간을 보내다가 갑자기 정보를 수집하고 명령을 공격자들의 서버로부터 받습니다. 이 백도어는 자신이 발생시키는 네트워크 트래픽을 오리온 향상 프로그램(Orion Improvement Program) 프로토콜인 것처럼 위장할 수 있으며, 정찰 활동으로 수집한 내용을 정상 플러그인 환경설정 파일에 저장함으로써 정상적인 솔라윈즈 활동에 녹아들 수 있도록 한다고 합니다.

     

    파이어아이의 CEO 케빈 맨디아는 공격자들이 상당히 오랜 시간 피해자의 네트워크를 관찰하고, 이를 통해 정상 트래픽의 자신들의 활동을 녹여내는 방법을 터득한 것으로 보인다고 주장합니다. 또한 마이크로소프트 조사에 따르면 공격자는 백도어가 설치된 곳 가운데 추가 공격 대상을 얼마든지 선택할 수 있다며, 솔라윈즈 백도어가 추가 공격 가능성을 열어줬다는 점을 우려했습니다.

     

    IT 및 보안 담당자들은 정상적으로 업무를 수행하기 위해 권한이 높은 계정을 가지고 있을 수밖에 없는데, 이들이 즐겨 사용하는 소프트웨어 도구의 공급망을 공격하는 것에 성공한다는 건 사실상 피해자 네트워크에서 온갖 행위를 할 수 있게 된다는 뜻임을 시사합니다. 그동안 자사 제품은 취약점을 포함하지 않는다고 줄곧 주장해온 솔라윈즈는 이번 사건을 통해 전세계적으로 신뢰를 잃게 되었는데요. 이번 사건은 소프트웨어 공급망 공격이 미치는 심각한 영향과 대부분의 기업이 이런 위협을 예방하고 탐지할 준비가 되어 있지 않은 현실을 보여줍니다.

     

     

    ▶ 일상에서 탐지하기 어려운 공급망 공격… 대응책은?

     

    공급망 공격은 대규모 사용자를 한 번에 감염시킬 수 있으며, 탐지되지 않고 장기간 스파이 활동을 벌일 수 있다는 점에서 더욱 큰 파괴력을 초래하는데요. 특히 상당기간 탐지되지 않으며, 탐지된다 해도 수많은 기기를 감염시키기 때문에 다수의 공격자 은닉처를 만들 수 있다는 점에서 공급망 공격에 대한 우려는 더욱 커질 수 밖에 없습니다.

     

    2020년 6월, 사이버보안 업체 블루보이언트(BlueVoyant)가 실시한 설문조사에 따르면, 80%의 기관과 기업이 공급업체 중 '한 곳'에 의해 침해가 발생한 경우가 있다고 밝혔으며, 평균 침해 건수는 2.7건이었습니다. 공급업체를 통한 침해의 높은 위험에도 불구하고 응답자의 77%는 해당 공급업체에 대한 가시성이 제한적이라고 답했습니다.

     

    공급망 공격에 대한 예방책으로는 ▲인증서 및 개발 시스템 보안 관리 ▲업데이트 체계 관리 ▲침해 사고 대응체계 마련 등을 들 수 있습니다. 무엇보다 공격자들은 공급자(소프트웨어 개발사)를 신뢰할 수밖에 없는 상황을 악용해 공격을 진행하기 때문에 기업과 기관에서는 이를 대응할 수 있는 보안 솔루션의 필요성이 대두됩니다.

     

    소프트캠프에서는 설치/패치 프로그램 및 내부로 유입되는 파일 등에 대한 안전성 확보를 위해 프로그램 보안관리 서비스 '엑스스캔(EX-Scan)'과 외부 유입파일 검증시스템 '게이트엑스캐너(GateXcanner)'를 국내 공공기관 및 금융사 등의 주요 기업에 제공하고 있습니다.

     

     

     EX-Scan

    ㅣ조직 내 배포, 설치, 패치 되는 모든 프로그램의 위협요소 사전 관리 서비스

     

    △ 외부에서 개발한 프로그램을 감염시켜 해킹을 시도하는 사례 증가

    △ 회사 내부에서 배포/설치되는 프로그램을 통한 알려지지 않은 해킹 위협 존재

    △ 전자금융감독규정, 프로그램 변경 정당성에 대한 제3자 검증, 위/변조 무결성 검증 규정

    △ 내부 설치 프로그램에 대해 대부분 바이러스 검사만 이루어지고 있는 실정, 사전 보안관리 필요

     

    EX-Scan 은 정적분석과 위험 행위패턴 사용분석을 통해 설치 프로그램에 대한 타당성과 이상징후를 검사합니다. 이를 통해 ▲패치관리 시스템 취약점 보안 ▲알려지지 않은 보안 위협 대응 ▲편리한 분석보고서 확인 및 감사 대응을 돕습니다. 따라서 전자금융감독 규정을 준수해야하는 금융기관, 외부 개발 프로그램을 사용하고 패치 관리를 해야하는 조직, 금융기관에서 주로 사용하고 있는 ATM기기, 기존 패치관리 시스템에 대한 체계적인 관리가 필요한 조직이라면 EX-Scan의 적용대상이 되겠습니다.

     

     

     GateXcanner

    ㅣ외부파일 검증 키오스크

     

    GateXcanner는 USB, CD, 외장하드 등과 같은 외부 저장매체로부터 파일 반입 시 악성코드 등을 검증하고 안전한 파일만 내부로 반입하는 키오스크 시스템입니다. 국가 기간시스템인 발전소, 가스, 교통통제 시스템 등 외부에서 반입되는 패치 프로그램에 대해서 자동으로 악성코드를 검사하고 관리하는 제품으로, 정상 소프트웨어를 배포하거나 업데이트하는 과정에 침투해 이를 변조하거나 악성코드를 숨기는 공격에 대응할 수 있습니다. 높은 보안성을 자랑하는 국내 No.1 OT 보안 솔루션으로 국내 기관 및 기업에서의 GateXcanner 도입에 대한 관심이 증가하고 있습니다.

     

    공급망 공격은 새로운 유형의 공격이 아닙니다. 지난 수년간 보안 전문가들은 공급망 공격에 대해 대비할 것을 경고해왔지만, 이번 솔라윈즈 사건만 보더라도 대부분의 기관과 기업은 이런 유형의 공격에 대비하지 못했던 현실을 알 수 있습니다. 실제로 업데이트 파일을 점검하고 적용하는 기업들은 거의 없을 뿐더러, 우리 또한 일상에서 보안 패치나 업그레이드 파일을 받을 때마다 아무런 의심 없이 행동하는 것이 사실입니다.

     

    비대면 시대의 도래. 디지털 중심의 일상생활이 자리잡은 2021년 사이버 보안 위협은 우리 생활에 더욱 큰 피해를 입힐 것으로 예상되는 가운데 기관과 기업 및 일반 사용자 등 모든 구성원이 보안 의식을 높여야 할 때 입니다. 기본적인 보안 수칙을 지키고 적합한 보안 솔루션을 검토하여 위협에 예방할 수 있는 한 해가 되길 바랍니다.