인터넷망과 폐쇄망의 접점 관리, 개발환경을 비롯한 공급망 인프라, 패치·계정관리 서버 등 이 3곳이 기업해킹의 급소로 지목됐다.
이는 한국인터넷진흥원(KISA)이 지난해 실제 발생한 기업해킹 사례를 분석한 결과다.
최근 KISA 사이버침해대응본부 이동근 침해사고분석단장은 2017년 주요 기업 해킹사례로 3가지 사건의 분석 결과를 제시했다. 각 사건 해당 기업명은 밝히지 않았지만 대신 유형별로 사고예방에 필요한 조치사항을 조언했다.
첫 사례는 1년전쯤 발생한 호스팅업체 'A사' 랜섬웨어 감염사건이었다.
공격자는 먼저 업체 IDC의 사업부 측 웹서버에 랜섬웨어 등 악성코드를 업로드했다. 또 업체 관리자 계정 정보를 탈취해 해당 업체 사무실의 관리용 PC에 백도어(게이트웨이)를 설치했다. 이 백도어로 IDC의 호스팅 웹서버 153대에 접속해 랜섬웨어를 감염시켰다. 이어 IDC의 백업서버 데이터를 삭제했다. 그리고 특정시점에 랜섬웨어 감염 웹서버 153대의 랜섬웨어가 동작하도록 명령을 내렸다. 랜섬웨어에 감염된 웹서버는 153대 서버의 호스팅 고객 데이터를 잃고 복구할 수 없게 됐다.
이동근 단장은 A사 사건이 기업의 업무PC 및 대외 서비스용 서버가 연결된 인터넷망, DB관리자 시스템의 폐쇄망, 실제 DB 인프라가 위치한 외부 IDC 등 3가지 망의 길목(접점)을 해킹한 사례라고 설명했다. 공격자는 폐쇄망에 접근할 수 있는 계정을 탈취해 가상사설망(VPN)서버로 터미널에 접속하고 이후 내부 업무용 서버와 웹서버같은 대외 서비스 인프라를 장악할 수 있었다.
KISA 측은 4가지 예방 조치를 제시했다. 프로세스 모니터링 등 게이트웨이 구간 무결성을 확인해야 한다. 외부 접점 접근제어와 퇴사자 계정 삭제 등 계정관리 정책을 수립해야 한다. 원격연결시 ID와 패스워드에 더해 일회용패스워드(OTP) 등 다중인증 방식을 적용해야 한다. 폐쇄망이 실제로 프록시같은 인터넷 접점에서 격리돼 있는지 점검해야 한다.
둘째 사례는 소프트웨어(SW) 개발 및 유지보수 환경 등 '공급망' 인프라 위협이다.
원격관리SW제품 개발업체 B사는 제품을 패키징하는 시스템을 해킹당해 제품 이용자들의 악성코드 감염을 유발했다. 공격자는 먼저 B사 사무실의 제품빌드서버에 침투, 악성코드를 설치했다. B사는 이를 모른 채 SW제품 신규 버전 파일을 버전관리서버에 업로드 후, 제품빌드서버에 원격접속해 빌드 작업을 실행했다. 감염된 제품빌드서버는 악성코드가 포함된 설치파일을 자동생성했다. 설치파일은 외부IDC 업데이트서버로 업로드됐다. 이후 악성코드는 이를 설치한 B사 제품 이용자PC를 감염시키고 정보를 탈취해 공격자 명령제어서버로 전송했다.
공격자가 기업 자체보안수준 향상으로 직접해킹이 어려워지자 우회경로를 찾으면서 공급망 위협이 발생했다. 개발망과 인터넷망에 모두 접속 가능한 개발자PC를 장악한 뒤 악성코드를 유포하는 식이었다. 이 단장이 소개한 사례엔 제품패키징 과정과 별개로, 유지보수환경을 노린 경우도 있었다. 공격자가 기업 고객지원망에 접근할 수 있는 고객지원PC를 해킹해 데이터백업서버를 거쳐 IDC의 고객사 서버에 악성코드를 유포한 사건이었다.
KISA 측은 3가지 예방 조치를 제시했다. 보안측면에서 개발 환경 안전성과 무결성을 고려하지 않는 기업이 많은데, 이를 관리해야 한다. 또 유지보수 환경의 보안성을 강화해야 한다. 일반 기업이 편의성 문제로 보안구멍을 만들거나 유지보수업체를 신뢰하고 보안성검토를 하지 않는 경우가 많기 때문이다. 그리고 제품도입시 전과정의 보안성을 검토해야 한다.
이 단장은 "업무 과중 문제로 고려하지 않는 경우가 많지만, 기업 보안부서가 제품 도입 단계부터 보안성을 검토해야 하고 납품하는 과정에서 변조가 없는지 등을 점검해야 한다"고 지적했다.
셋째 사례는 패치관리시스템(PMS), 액티브디렉토리(AD), 파일공유서버 등을 이용한 보안위협 사례다.
PMS, AD, 파일서버의 공통점은 공격자에게 장악됐을 때 위협의 내부확산 거점 구실을 할 수 있다는 점으로 요약된다. PMS는 악성코드에 감염시 그에 연결된 관리대상 컴퓨터에 악성코드와 악성명령을 일괄 전달하고 정보유출 등 피해를 유발할 수 있다. 계정관리시스템 AD가 해킹되면 내부에 연결된 시스템의 파일 공유, 스크립트 실행, 보안정책 변경 동작이 공격자에게 악용된다. 악성파일 확산, 악성스크립트 실행, 보안조치를 무력화하는 정책 확산이 벌어질 수 있다.
이 단장은 "시스템 관리자에게 AD서버를 통한 파일 배포, 스크립트 실행, 보안정책 변경은 편리하지만 관리가 안 돼 해킹이 쉬운 경우가 많다"며 "파일서버도 윈도 기본 명령어 조합으로 손쉽게 공격을 받을 수 있고 공격자가 한 시스템을 장악시 전체 시스템에 피해가 번질 위험이 있는데 역시 방치된 경우가 많다"고 경고했다.
관련기사
- 이스트시큐리티, "입사지원서 위장한 랜섬웨어 주의"2018.05.28
- "평창올림픽, 해킹으로 서비스 52종 중단됐었다"2018.05.28
- 금융보안원, 침해사고 대응훈련 이달부터 실시2018.05.28
- "한국어 지원 추가된 사탄 랜섬웨어 새버전 유포"2018.05.28
KISA 측은 4가지 예방 조치를 제시했다. 시스템 접근제어 정책과 접근이력을 관리해야 한다. 원격명령어 수행이력도 점검해야 한다. 파일 배포 이력도 마찬가지다. 네트워크 공유 정책 수립과 계정관리 활동도 필요하다.
이 단장은 분석한 해킹사고 사례 가운데 B사 사례인 공급망 인프라 위협과 마지막 사례인 '거점' 공격 위협에 대해 "2017년 사례들이지만 올해 1~5월 사이에도 비슷한 유형 해킹 사건이 계속 발생하고 있어 소개하게 됐다"며 "이밖에도 상반기 CPU 보안버그(멜트다운-스펙터), 랜섬웨어(갠드크랩), 액티브X 취약점을 이용한 공격조직의 악성코드 유포 등 보안 이슈가 있었다"고 언급했다.