[보안컬럼]파이어세일, 시작은 대규모 악성코드 감염

[보안컬럼]파이어세일, 시작은 대규모 악성코드 감염

파이어세일(Fire Sale)은 영화 ‘다이하드’ 시리즈에 등장한 용어로 기간망을 공격해 교통·통신 등 국가 핵심시설을 통제 불능 상태에 빠뜨린다.

최근 ‘한수원’ 해킹 사태로 인해 기간망에 대한 해킹 우려가 크다. 정확한 확인절차 없이 다양한 설이 난무하면서 국가적으로 우왕좌왕하는 모습이다.

기간망 공격은 이란 원전을 공격할 때 사용됐던 USB, 이번 한수원 해킹 때 이용된 것으로 발표된 이메일 공격이 널리 알려져 있다. 이런 공격은 대부분 표적 공격이라 특정 대상을 노린다. 성공 가능성도 높지만, 특정 사용자를 노려야 하기 때문에 그만큼 시간적 준비가 필요하다.

오랜 기간 준비와 조직적 움직임이 있어야 기간망에 대한 공격과 자료유출이 가능하다. 교통·금융·전력·통신 등 다양한 부문에 걸쳐 거의 동시다발적으로 사이버 공격을 벌이기 위해선 표적공격으로는 사실상 어려운 점들이 많다. 오히려, 이런 공격을 위해선 보다 대규모로 악성코드를 감염시키고, 감염된 좀비PC 중에서 사용 목적에 맞는 목표를 식별하는 방식이 더 효율적일 수 있다.

우리나라에선 웹사이트를 통해 감염시키는 드라이브 바이 다운로드(Drive-by-download) 공격이 널리 사용된다. 보안이 취약한 사용자가 악성링크가 삽입된 웹사이트에 접속하면, 사용자 몰래 악성코드가 설치된다. 연이어 다양한 악성코드가 설치되는데, 그 중 가장 주시해서 봐야 할 부분이 바로 RAT(Remote Admin Tool)다. 한국에선 gh0st RAT가 자주 이용되며, 이 프로그램에는 원격 PC 화면, 파일 보기(가져오기), 서비스 및 하드웨어 보기 등등 PC에서 다룰 수 있는 거의 모든 일을 할 수 있다.

한수원에 직접적으로 관련된 공인인증서는 발견되지 않았다. 하지만, XX 원자력 연료, XXX 전력거래소, XX 발전소, XXX 원자력 XXX 등 이름만으로도 중요도를 짐작케 하는 인증서를 다수 확인했다.

망분리가 된 인트라넷과 인터넷 활용의 접점에 위치한 PC에서 빼낸 것으로 추정되는 인증서가 공격자에게 유출됐다. 내부망과 연결되는 접점이 감염됐다고 볼 수 있다. 인증서 탈취 이외에도 원격에서 직접 제어하는 백도어들이 설치된 상황에서 감염 PC는 다른 PC 또는 내부 네트워크로 침입하기 위한 교두보 역할을 한다.

단순히 인증서만 유출됐다고 작은 문제로 넘겨서는 안 된다. 인증서 탈취가 일어난 것은 해당 PC의 권한을 이미 공격자가 가지고 있다는 것이다. 기업과 기관도 내부에 공격이 발생될 거점이 만들어진 심각한 상황인 것이다. 좀비 PC를 탐지하는 솔루션과 서비스들 침입을 막기 위한 다양한 보안 서비스도 날마다 변경되는 공격을 관찰하지 못한다면 무용지물이 된다.

위험을 관찰하고, 공격 형태를 따라갈 수 있는 정보 획득과 갱신이 상시적으로 이뤄져야만 위험을 줄일 수 있다. 결론은 장비와 제품 하나로 위험을 막을 수는 없으며, 끊임없이 관찰하고 업데이트해야 한다.

한수원도 국내외의 보안장비와 제품들이 대부분 들어가 있었을 것이고, 위험을 관찰하는 모니터링이 전체적으로 있었을 것이다. 그럼에도 외부에서 자료가 대량으로 공개되기 전까지 아무런 경고와 인식도 없었던 것으로 드러났다. 내부로 침입이 성공한 이후에는 그 어떤 일도 상상 이상의 일들이 발생할 수 있다. 일상생활에도 치명적인 문제를 일으킬 수 있다는 점은 이제 누구도 부인하지 못할 상황이다. 무엇이 필요하고, 어떤 형태가 돼야 대응이 가능할 것인지 진지한 행동이 필요하다.

문일준 빛스캔 대표 moonslab@bitscan.co.kr