윈도 '파워셸' 통한 사이버위협 커지나

시만텍, 2017년 10대 보안 전망에 '파워셸 공격' 언급

컴퓨팅입력 :2016/12/06 14:49

윈도 스크립트 도구 '파워셸(Powershell)'을 사용하는 사이버위협이 증가 추세고, 내년에도 이를 활용하는 공격 시도가 유행할 것이란 관측이 나왔다. 마이크로소프트(MS)가 파워셸을 윈도10 기본 명령어 인터페이스로 적용할 예정으로 알려져, 파워셸을 경유한 윈도 보안 위협 가능성이 함께 커지는 것 아니냐는 의문이 제기된다.

시만텍코리아는 6일 서울 역삼동 사무실에서 '2017년 10대 보안 전망'을 발표했다. 10대 전망 가운데 6번째 항목에서 파일 형체 없이 메모리(RAM)에서 움직여 탐지가 어려운 '파일리스(fileless)' 악성코드 공격 유형이 올해 많아졌고, 이 유형이 내년에도 주로 파워셸 공격을 통해 이뤄질 수 있다는 관측을 제시했다.

■"파워셸 경유 APT 위협 많다…윈도10 확대 적용으로 위험 커지진 않아"

파워셸은 뭐고, 파워셸 공격은 뭘까. 현장 발표자로 나선 시만텍코리아 최고기술책임자(CTO) 윤광택 상무의 관련 설명을 전하면 다음과 같다.

윈도서버2012 R2 기반 파워셸 실행 화면. 파워셸은 마이크로소프트에서 만든 윈도용 셸 프로그램으로, 명령줄 인터페이스와 스크립트 실행 기능을 제공한다.

"파워셸은 2006년쯤 만들어진 윈도 cmd 창 비슷한 프로그램이다. 윈도용 스크립트 셸이다. 셸이란 명령어를 타이핑해 그 결과값을 활용하거나 할 수 있는 도구를 가리킨다. 유닉스나 리눅스용으로도 다양한 셸 프로그램이 있다. 공격자들이 이 셸을 점점 많이 사용하는 추세다. 파워셸은 APT공격 시나리오에서 '측면이동(lateral movement)' 시도에 동원된다. 조직내 악성코드 감염 기기를 확보한 뒤, 그 기기에서 DB나 다른 서버 시스템으로 이동해야 할 필요가 있다. 그 이동 경로에 윈도가 많다보니 거기서 시도되는 접근 기법으로 셸 (스크립트) 명령어가 쓰인다. 파워셸 스크립트 사용 사이버위협 사례가 랜섬웨어에도 있지만, 대부분은 APT공격의 측면이동 시도였고, 그게 점점 늘고 있다."

APT 측면이동 기법에 파워셸이 동원되는 경향이 늘고 있다면, 파워셸이 더 널리 쓰이는 상황에서 사이버위협 피해 가능성도 더 늘어날 수 있는 건 아닐까? MS는 파워셸을 더 많은 사용자들이 쓸 수 있게 만들려 하고 있다. 윈도10 테스트버전 업데이트 사용자 환경에서 파워셸을 기존 '명령 프롬프트(Command Prompt)' 프로그램 대신 기본 명령줄 도구로 대체할 뜻을 내비친 상황이다. 이 변화는 모든 윈도10 사용자에게 적용될 가능성이 높다.

[☞관련기사: MS 윈도 '명령 프롬프트' 사라지나]

시만텍 측은 이런 우려를 부정했다. 파워셸 기능이 모든 윈도10 사용자에게 통용된다 하더라도 파워셸 공격을 통해 수행되는 APT절차의 위험성이 더 확산하진 않을 것이라는 설명이다.

윤 상무는 파워셸을 통한 측면이동 사례에 "공격자들이 스크립트 기반으로 쉽게 공격을 운영하려는 움직임이 새로운 시도를 통해 나타나고 있다는 얘기"라며 "다른 윈도 시스템 보안 기능이 존재하기 때문에, (파워셸 기본 명령줄 도구 지정이) 반드시 위협을 키울 것이라 단정할 수 없다"고 말했다.

시만텍코리아 CTO 윤광택 상무. [사진=시만텍코리아]

이날 윤 상무가 발표한 10대 보안 전망은 ▲클라우드 확산이 전환점 ▲커넥티드카 인질 만들기 ▲기업 침투 목적 IoT기기 공격 ▲사물인터넷(IoT)기기를 동원한 분산서비스거부(DDoS)공격 ▲조직 바깥(클라우드) 인프라 향하는 랜섬웨어 ▲파일리스 악성코드 ▲머신러닝을 통한 보안 ▲HTTPS 피싱사이트 증가 ▲스파이 드론 ▲불량 국가들의 온라인 절도로 요약된다.

윤 상무는 "클라우드 환경의 확대와 새로운 IoT 기기 및 서비스의 출현으로, 기업에서 수립한 사이버 보안 대응 전략 또한 이에 대응할 수 있도록 수정이 불가피하다"며 "클라우드는 네트워크 경계선 방어 전략의 변화를 요구하고, IoT 기기는 기업에 침투하기 위한 발판이 될 수 있어, 기업은 새로운 환경에 맞는 보안 위협 분석 및 전략을 수립하고 새로운 대응 기술을 도입해야 한다"고 말했다.

이날 시만텍코리아 10대 보안 전망에 앞서 본사는 11월말 소비자 대상 신원도용방지 서비스 업체 '라이프록(LifeLock)'을 23억달러(약 2조7천억원)에 사들였다는 소식을 발표했다. 이 회사의 서비스 구성 항목이 10대 보안전망과 뚜렷한 접점을 갖고 있는 건 아니었다. 라이프록 서비스는 사회보장번호 도용방지, 신규계좌개설 안전보장, 개인정보 암거래 모니터링, 온라인 사생활 프라이버시 보호 등을 지원한다.

[☞참조링크: Symantec acquires LifeLock for $2.3 billion]

[☞참조링크: Symantec to Acquire LifeLock for $2.3 Billion to Form World’s Largest Digital Safety Platform for Consumers and Families]

■"커넥티드카가 '인질' 될 수 있다"…10대 보안 전망 요약

시만텍은 클라우드 확산 환경을 보안 전환점으로 봤다. 웨어러블, 가상현실, IoT 등 엔드포인트 기기 보호, 모든 애플리케이션과 서비스의 사용자 및 정보를 보호하는 방향으로 보안 활동 초점을 옮겨야 한다는 메시지였다.

커넥티드 기능을 갖춘 자동차를 노린 해킹 발생은 '시간 문제'로 묘사됐다. 차를 인질삼아 몸값을 요구하고, 자율주행 해킹으로 차량 탈취, 무단감시, 정보수집 등 새로운 위협이 가능해진다. 소프트웨어 및 자동차 제조사간 법적 책임 문제가 발생할 수 있다.

커넥티드카. (사진은 기사와 무관함)

조직에 침투할 목적으로 IoT 기기를 공격할 가능성이 커진다. PC와 모바일 기기뿐아니라 온도조절기와 다른 커넥티드 기기까지 IT보안 담당 부서가 감독해야 할 대상이 된다. 프린터 서버를 사이버 공격에 이용했던 사례처럼 모든 커넥티드 기기를 포괄한 보안대책이 필요하다.

미국 호스팅서비스 업체 딘(Dyn)을 겨냥했던 IoT 봇넷 기반 DDoS 공격이 지난 10월 있었다. 보안이 취약한 IoT 기기가 유통되면 기기를 리콜하거나 업데이트를 배포해야 이런 기기를 동원한 DDoS 공격 문제를 해결할 수 있다.

[☞관련기사: '소스' 풀린 IoT 악성코드, 디도스 연쇄 유발]

[☞관련기사: 악성코드 미라이, 암호 바꿔도 안심 못한다?]

조직내 데이터, 문서와 파일이 많이 소재하는 장소의 변화에 따라, 이를 노려 금전적 이익을 취하려는 암호화 랜섬웨어 공격자들의 목표 영역도 변화했다. 파일서버나 전산실 스토리지같은 조직내 인프라를 넘어 클라우드서비스 영역까지 랜섬웨어 공격 범주에 들게 됐다. 시만텍은 방화벽과 같은 내부 인프라 보안 정책만으로 이런 위협에 대응할 수 없으므로 기업 보안 방식에 변화가 필요하다고 지적했다.

파일을 이용하지 않고 컴퓨터의 RAM에서 직접 동작하는 파일리스 악성코드 감염 시도가 많아지고 있다. 이는 침입방지 시스템이나 백신프로그램의 탐지 기능을 우회해 방어수단을 무력화하는 경향이 있다. 올해 증가한 이런 공격 유형이 내년에도 파워셸 공격을 통해 악명을 떨칠 전망이다.

머신러닝 기술이 보안 기술을 발전시킬 것으로 기대된다. 클라우드 환경에서 엔드포인트 및 공격 센서로부터 수집한 정보를 활용해 사이버 위협에 대응할 수 있는 솔루션이 글로벌 시장에서 나름대로의 역할을 하게 될 전망이다.

구글이 크롬 브라우저에 HTTP 기반 사이트를 안전하지 않다고 표시하는 정책에 따라 무료SSL 인증서가 인기를 얻는 추세다. 이런 무료SSL로 운영되는 HTTPS 사이트가 보안 표준을 약하게 만들고 스피어피싱, 악성코드 프로그램 활동을 조장할 전망이다.

[☞관련기사: 크롬 주소창서 '자물쇠 아이콘' 사라진다]

시만텍은 내년 이후 스파이 활동과 폭발 공격에 드론을 악용할 가능성을 제기했다. 물리적으로 높은 비행 및 수송능력을 갖춘 드론이 폭발물을 운반할 수 있는 상황이고 이미 프라이버시 침해에 악용되는 카메라를 탑재한 드론 악용 사례도 널리 알려져 있다. 오는 2025년까지 공격자가 원하는대로 드론 제어 신호를 가로채 동작과 경로를 재지정하는 '드론재킹' 사례도 나올 전망이다. 드론의 주요 시스템을 통제하기 위한 해킹방지 기술도 개발될 수 듯하다.

관련기사

대량살상무기 운용과 테러 위협 시도에 이름이 오르내리는 소위 '불량국가(rogue nation states)'들이 온라인에서 금전적 이익을 도모할 것으로 예상된다. 올상반기에도 세계 각지 은행이 외환 송금을 위해 구축한 국제은행간통신협회(SWIFT) 네트워크를 공격한 사건이 증가 추세로 파악됐다. 불량국가의 이득에 조직범죄가 동원될 가능성이 있고, 그 활동에 나라의 정치, 군사, 금융시스템 장애가 발생할 우려가 나왔다.

[☞관련기사: 은행 간 외환송금 가로채기 해킹 확산...한국도 영향권]