2018.10.02

소니 해커 기소문을 통해 알아보는 5가지 IT 보안 교훈들

David Strom | CSO
2018년 8월, 미 법무부(DoJ)는 소니 해킹과 워너크라이 랜섬웨어의 생성, 배포 혐의를 받고 있는 북한 정보공작원 박진혁(Park Jin Hyok)에 대한 기소장을 공개했다. 170페이지가 넘는 이 기소장은 미국 로스앤젤레스 FBI의 네이썬 쉴즈가 작성했으며 사이버공격 방식을 알아내기 위해 수사 당국이 사용한 포렌식 분석을 잘 보여주고 있다.

박진혁의 해킹 단체는 보안 전문가들 사이에서 여러 이름으로 불리고 있다. 라자러스 그룹(Lazarus Group), APT37, Lab 110, Group 123, 히든 코브라(Hidden Cobra), 니켈 아카데미(Nickel Academy), 그리고 리퍼(Reaper) 등이 그것이다.

이 가운데 일부는 해당 해킹 단체가 생성한 악성코드 이름에서 따온 것도 있다. 기소장은 서두에서 이 북한 해커 집단이 지난 6년 동안 각종 사이버 공격의 중심에 있었다고 주장했다.

물론 북한 정부 측은 박진혁의 존재 자체를 부인하고 있으며, 그가 기소된 사건들은 북한 정부와는 "전혀 관계가 없다"고 반박했다. 하지만 이번 기사는 박진혁이나 북한 정부의 유무죄 여부를 판단하려는 것이 아니다. FBI가 수사 과정에서 찾아낸 자료들과, 이 사건들을 통해 기업의 CISO 및 IT 관리자가 보안에 대해 배우고 명심해야 할 것들을 알아 보려고 한다.

FBI가 소니 해커를 찾아낸 방법
이 기소문은 법적 관점에서 읽을 것이 아니라, 북한 정부가 네트워크에 침투하기 위해 얼마나 혈안이 되어있는 지를 중점적으로 봐야 한다. 소니 해킹 사건에 대해 FBI가 밝혀 낸 사실들은 다음과 같다.

FBI는 박진혁의 움직임을 디지털로 추적할 수 있었다. 박진혁은 중국 국경 지대에서 북한 정부의 유령회사이자 군사 해킹 작전으로 알려진 조선 엑스포(Chosun Expo) 직원으로 일하고 있었다. 소니 해킹이 시작되기 직전 그는 북한으로 돌아갔다.

우선 FBI는 악성코드의 여러 부분들을 조직적으로 해체, 분석해 3건의 소니 데이터 유출 사고와, 3번의 워너크라이 공격이 발생한 타임라인을 만들어 냈다.

소니 악성코드에는 1만 개의 하드코딩 된 호스트 이름이 들어있었다. 해커들이 소니 네트워크 내부에서 들키지 않고 최소 몇개월 이상 머무르며 폭넓은 조사를 했음이 드러나는 대목이다. 또한 악성코드에는 소니 네트워크에서 사용하는 특정 유닉스/리눅스 시스템을 공격하는 코드도 포함되어 있었다.

첫 번째 정찰이 이뤄진 것은 2014년 가을이었다. 12월 첫 번째 공격이 있기 수 개월 전이었다. 이 정찰은 또한 해커들의 공격의 동기가 되기도 했던 영화 '더 인터뷰(The Interview)'가 개봉하기 바로 전에 일어나기도 했다.

공격자들은 여러 가지 다른 요소들도 사용했는데, 그 가운데에는 소니 직원의 페이스북 계정에서 보낸 것처럼 보이는 스피어 피싱 이메일도 있었다. 이들 이메일은 악성코드 첨부 파일에 잔뜩 감염된 상태였다.

이 밖에 AMC 씨어터(AMC Theater) 직원들에게 보낸 이메일들도 있었다. AMC에서는 크리스마스 오프닝으로 이들 영화를 상영할 예정이었다. 소니와 마찬가지로 이 이메일들에도 악성코드 첨부 파일이 잔뜩 들어 있었지만, AMC의 네트워크 침투시도는 다행히도 실패로 끝났다.

한편, 소니 공격에 사용된 똑같은 이메일과 IP 주소가 북한을 소재로 한 독립 TV 쇼를 만든 영국의 제작사를 공격하는 데에도 똑같이 사용됐다. 존 칼린은 자신의 저서 '냉전의 새벽(Dawn of the Cold War)'에서 국가간 사이버 전쟁에 대해 자세히 소개하고, 소니를 표적으로 한 여러 사이버 공격들 및 다른 국가 주도 사이버 테러리스트들의 공격 시도에 대해서도 상세히 설명했다.

2016년, 동일한 북한 해커들이 이번에는 스위프트(SWIFT) 지불 네트워크를 공격하여 동남아시아 여러 국가의 은행들로부터 기금을 훔치는 데 성공했다. FBI는 이들이 동남아시아 은행들을 표적으로 삼기 시작한 것은 2014년 가을부터였다고 밝혔다.

이들 은행은 TLS 트래픽과 유사한 커스텀 바이너리 프로토콜을 통해 커뮤니케이션 할 수 있는 백도어에 감염되어 있었다. 아시아 은행들과 소니에서 발견된 악성코드는 유사한 삭제 기능을 공유하고 있어 이 사건의 배후를 북한 해커들로 좁혀갈 수 있었다.



박진혁 및 그의 해커 팀은 무척 분주하게 움직였다. 이번에는 폴란드의 은행들이 워터링 홀(watering hole) 공격의 대상이 되었다. 북한의 폴란드 은행 공격 사실은 2017년이 되어서야 드러났지만, 시작은 2016년 가을 무렵이었던 것으로 추정된다.

이 공격에 사용된 이메일 주소, 페이스북 계정 및 북한 IP 주소는 공교롭게도 록히드 마틴과 같은 미국 기업 및 한국의 일부 기업들을 대상으로 한 공격에서도 사용되었던 것으로 드러났다. 북한 해커들이 만든 악성코드들 중에는 브람불(Brambul) 및 데스트오버(Destover)같은 것들이 포함됐다.

FBI는 Group-IB 러시아 리서치 애널리스트들의 조사 자료를 토대로 분석을 진행했다. 러시아 애널리스트들의 보고서가 출시된 것은 2017년 중반이었는데 이런 해킹 시도들 중 상당수를 한 데 엮는 역할을 했다.

마지막으로, 앞서 설명한 해킹에 사용된 악성코드 요소들은 워너크라이에서도 발견되었으며, 그 밖에 IP나 이메일 주소 같은 주요 정보들도 함께 발견됐다. 워너크라이에는 사실 3가지 버전이 있는데, 3버전 모두 동일한 코드로 엮여 있으며 비트코인 지갑 주소를 공유한다.

북한 정부의 통제 및 명령 체계, 세계 곳곳으로 확산
이번 기소문을 읽으면서 필자가 충격을 받았던 부분은 북한 정부의 명령, 통제 체계가 이렇게까지 전 세계적으로 뻗어 있을 줄 몰랐다는 것이다.

미국, 남아프리카, 사우디 아라비아, 폴란드 등 다수 국가에 서버가 흩어져 있었다. 이메일 계정 역시 전 세계 곳곳의 여러 VPN과 프록시 서버에서 액세스할 수 있었다. 다분히 그 근원지를 숨기고자 하는 의도가 드러나는 부분이다. 또한 지메일 계정 및 가짜 페이스북 프로필을 이용해 다수의 백도어와 트로이목마를 배포하기도 했다. 박진혁과 연결된 여러 가짜 계정들은 다음 그림을 참조하라.



그런데 더욱 놀라운 것은 비교적 최근까지만 해도, 북한 전역을 통틀어 공용 IP 주소는 약 1,000개 밖에 없었으며 인터넷 연결 대역폭도 매우 낮았다는 것이다. 2016년 1월 해커들이 소니에 대한 복수를 다짐하며 ISP에 디도스 공격을 감행할 수 있었던 것도 이 때문이었다.

CISO와 IT 매니저를 위한 다섯 가지 교훈
이번 기소문과 북한의 여러가지 해킹 시도로부터 배울 수 있는 5가지 IT 교훈을 함께 살펴 보자.

1. 대비, 교육이 가장 중요하다
AMC가 가짜 피싱 이메일에 넘어가지 않을 수 있었던 것은 더 철저한 직원 교육과 철통 같은 방어가 있었기 때문이었다. 인식 교육은 연중 끊임없이 이뤄져야 한다. 피싱 이메일을 진짜처럼 보이게 만드는 해커들의 능력도 나날이 발전하고 있다. 이들은 내부자만 알 수 있는 정보를 넣기도 하고, 기업 로고와 템플릿을 사용하며, 진짜와 매우 유사한 도메인 명과 이메일 주소를 사용한다.

웜뱃 시큐리티(Wombat Security), 노우비포(KnowBe4), 미디어프로(MediaPro), 그리고 SANS 인스티튜트(SANS Institute)에 이르기까지 다양한 공급업체들이 인식 개선 교육 프로그램을 제공하고 있다. 이런 프로그램들의 목적은 지속적인 평가, 교육, 강화, 그리고 측정의 사이클을 유지하는 것이다. 또한 사용자가 교육에 따르는 부담을 덜고, 더 교과적으로 교육을 실시할 수 있도록 하려면 어떤 인센티브를 제공하는 것이 좋은 지 생각해야 한다.

2. 탐지 시스템, 제대로 작동하고 있는가
기업들은 지금보다 더 나은 침입 탐지 메커니즘이 필요하다. 소니만 해도 그렇다. 북한 해커가 소니 네트워크 내부에 침투해 수개월이나 머무르며 어떤 서버를 공격할 지, 어떤 직원의 계정을 복제할 지 결정하는 동안에도 소니는 이를 몰랐다.

자사의 침입 탐지 시스템(Intrusion Detection System, IDS)이 침입자를 탐지해 내지 못한다면 다른 솔루션을 알아봐야 할 때다.

해커는 표적을 선정할 때 무척 조심스럽게 고른다. 조금이라도 더 진짜 같아 보이기 위해, 그리하여 피싱 이메일과 워터링 홀에 속아 넘어올 확률을 조금이라도 올리기 위해 표적에 대한 조사를 철저히 하는 것이다. AMC 사를 제외하면, 해커들은 거의 모든 기업 네트워크를 성공적으로 침투할 수 있었으며 그 내부에서 대상이 모르는 상태에서 수개월을 보내곤 했다.

3. 망 분리 강화
IDS의 완성을 위해서는 망 분리(network segmentation)를 강화할 필요가 있다. 소니의 네트워크는 전혀 파티션이 나눠지지 않은 상태였기 때문에 해커들이 횡적으로 움직이기가 더욱 쉬웠다. 데이터를 적절한 구역으로 분리하고 나누는 것이 이를 안전하게 보호할 수 있는 방법이다.

4. 액세스 권한에 대한 감사
액세스 컨트롤도 한 번쯤 감사가 필요하다. 어떤 직원들이 관리자의 권한을 가지고 있는지, 너무 위험하거나 지나친 권한을 허용하고 있지는 않은 지 살펴봐야 한다.

5. 레드 팀을 꾸리고 운영하라
레드 팀을 만들어 운영함으로써 보안상의 약점을 찾도록 하자. 전체 보고서는 레드 팀이 사용할 수 있는 구체적인 정보를 담고 있다. 이런 정보는 과연 소니 해커들이 사용했던 동일한 전략에 자사의 네트워크도 취약할 것인지를 판단하는 데 쓰일 것이다. 앞서 설명한 문제들을 다 해결한 후에 레드 팀을 운영하는 것이 가장 이상적이다. editor@itworld.co.kr  

2018.10.02

소니 해커 기소문을 통해 알아보는 5가지 IT 보안 교훈들

David Strom | CSO
2018년 8월, 미 법무부(DoJ)는 소니 해킹과 워너크라이 랜섬웨어의 생성, 배포 혐의를 받고 있는 북한 정보공작원 박진혁(Park Jin Hyok)에 대한 기소장을 공개했다. 170페이지가 넘는 이 기소장은 미국 로스앤젤레스 FBI의 네이썬 쉴즈가 작성했으며 사이버공격 방식을 알아내기 위해 수사 당국이 사용한 포렌식 분석을 잘 보여주고 있다.

박진혁의 해킹 단체는 보안 전문가들 사이에서 여러 이름으로 불리고 있다. 라자러스 그룹(Lazarus Group), APT37, Lab 110, Group 123, 히든 코브라(Hidden Cobra), 니켈 아카데미(Nickel Academy), 그리고 리퍼(Reaper) 등이 그것이다.

이 가운데 일부는 해당 해킹 단체가 생성한 악성코드 이름에서 따온 것도 있다. 기소장은 서두에서 이 북한 해커 집단이 지난 6년 동안 각종 사이버 공격의 중심에 있었다고 주장했다.

물론 북한 정부 측은 박진혁의 존재 자체를 부인하고 있으며, 그가 기소된 사건들은 북한 정부와는 "전혀 관계가 없다"고 반박했다. 하지만 이번 기사는 박진혁이나 북한 정부의 유무죄 여부를 판단하려는 것이 아니다. FBI가 수사 과정에서 찾아낸 자료들과, 이 사건들을 통해 기업의 CISO 및 IT 관리자가 보안에 대해 배우고 명심해야 할 것들을 알아 보려고 한다.

FBI가 소니 해커를 찾아낸 방법
이 기소문은 법적 관점에서 읽을 것이 아니라, 북한 정부가 네트워크에 침투하기 위해 얼마나 혈안이 되어있는 지를 중점적으로 봐야 한다. 소니 해킹 사건에 대해 FBI가 밝혀 낸 사실들은 다음과 같다.

FBI는 박진혁의 움직임을 디지털로 추적할 수 있었다. 박진혁은 중국 국경 지대에서 북한 정부의 유령회사이자 군사 해킹 작전으로 알려진 조선 엑스포(Chosun Expo) 직원으로 일하고 있었다. 소니 해킹이 시작되기 직전 그는 북한으로 돌아갔다.

우선 FBI는 악성코드의 여러 부분들을 조직적으로 해체, 분석해 3건의 소니 데이터 유출 사고와, 3번의 워너크라이 공격이 발생한 타임라인을 만들어 냈다.

소니 악성코드에는 1만 개의 하드코딩 된 호스트 이름이 들어있었다. 해커들이 소니 네트워크 내부에서 들키지 않고 최소 몇개월 이상 머무르며 폭넓은 조사를 했음이 드러나는 대목이다. 또한 악성코드에는 소니 네트워크에서 사용하는 특정 유닉스/리눅스 시스템을 공격하는 코드도 포함되어 있었다.

첫 번째 정찰이 이뤄진 것은 2014년 가을이었다. 12월 첫 번째 공격이 있기 수 개월 전이었다. 이 정찰은 또한 해커들의 공격의 동기가 되기도 했던 영화 '더 인터뷰(The Interview)'가 개봉하기 바로 전에 일어나기도 했다.

공격자들은 여러 가지 다른 요소들도 사용했는데, 그 가운데에는 소니 직원의 페이스북 계정에서 보낸 것처럼 보이는 스피어 피싱 이메일도 있었다. 이들 이메일은 악성코드 첨부 파일에 잔뜩 감염된 상태였다.

이 밖에 AMC 씨어터(AMC Theater) 직원들에게 보낸 이메일들도 있었다. AMC에서는 크리스마스 오프닝으로 이들 영화를 상영할 예정이었다. 소니와 마찬가지로 이 이메일들에도 악성코드 첨부 파일이 잔뜩 들어 있었지만, AMC의 네트워크 침투시도는 다행히도 실패로 끝났다.

한편, 소니 공격에 사용된 똑같은 이메일과 IP 주소가 북한을 소재로 한 독립 TV 쇼를 만든 영국의 제작사를 공격하는 데에도 똑같이 사용됐다. 존 칼린은 자신의 저서 '냉전의 새벽(Dawn of the Cold War)'에서 국가간 사이버 전쟁에 대해 자세히 소개하고, 소니를 표적으로 한 여러 사이버 공격들 및 다른 국가 주도 사이버 테러리스트들의 공격 시도에 대해서도 상세히 설명했다.

2016년, 동일한 북한 해커들이 이번에는 스위프트(SWIFT) 지불 네트워크를 공격하여 동남아시아 여러 국가의 은행들로부터 기금을 훔치는 데 성공했다. FBI는 이들이 동남아시아 은행들을 표적으로 삼기 시작한 것은 2014년 가을부터였다고 밝혔다.

이들 은행은 TLS 트래픽과 유사한 커스텀 바이너리 프로토콜을 통해 커뮤니케이션 할 수 있는 백도어에 감염되어 있었다. 아시아 은행들과 소니에서 발견된 악성코드는 유사한 삭제 기능을 공유하고 있어 이 사건의 배후를 북한 해커들로 좁혀갈 수 있었다.



박진혁 및 그의 해커 팀은 무척 분주하게 움직였다. 이번에는 폴란드의 은행들이 워터링 홀(watering hole) 공격의 대상이 되었다. 북한의 폴란드 은행 공격 사실은 2017년이 되어서야 드러났지만, 시작은 2016년 가을 무렵이었던 것으로 추정된다.

이 공격에 사용된 이메일 주소, 페이스북 계정 및 북한 IP 주소는 공교롭게도 록히드 마틴과 같은 미국 기업 및 한국의 일부 기업들을 대상으로 한 공격에서도 사용되었던 것으로 드러났다. 북한 해커들이 만든 악성코드들 중에는 브람불(Brambul) 및 데스트오버(Destover)같은 것들이 포함됐다.

FBI는 Group-IB 러시아 리서치 애널리스트들의 조사 자료를 토대로 분석을 진행했다. 러시아 애널리스트들의 보고서가 출시된 것은 2017년 중반이었는데 이런 해킹 시도들 중 상당수를 한 데 엮는 역할을 했다.

마지막으로, 앞서 설명한 해킹에 사용된 악성코드 요소들은 워너크라이에서도 발견되었으며, 그 밖에 IP나 이메일 주소 같은 주요 정보들도 함께 발견됐다. 워너크라이에는 사실 3가지 버전이 있는데, 3버전 모두 동일한 코드로 엮여 있으며 비트코인 지갑 주소를 공유한다.

북한 정부의 통제 및 명령 체계, 세계 곳곳으로 확산
이번 기소문을 읽으면서 필자가 충격을 받았던 부분은 북한 정부의 명령, 통제 체계가 이렇게까지 전 세계적으로 뻗어 있을 줄 몰랐다는 것이다.

미국, 남아프리카, 사우디 아라비아, 폴란드 등 다수 국가에 서버가 흩어져 있었다. 이메일 계정 역시 전 세계 곳곳의 여러 VPN과 프록시 서버에서 액세스할 수 있었다. 다분히 그 근원지를 숨기고자 하는 의도가 드러나는 부분이다. 또한 지메일 계정 및 가짜 페이스북 프로필을 이용해 다수의 백도어와 트로이목마를 배포하기도 했다. 박진혁과 연결된 여러 가짜 계정들은 다음 그림을 참조하라.



그런데 더욱 놀라운 것은 비교적 최근까지만 해도, 북한 전역을 통틀어 공용 IP 주소는 약 1,000개 밖에 없었으며 인터넷 연결 대역폭도 매우 낮았다는 것이다. 2016년 1월 해커들이 소니에 대한 복수를 다짐하며 ISP에 디도스 공격을 감행할 수 있었던 것도 이 때문이었다.

CISO와 IT 매니저를 위한 다섯 가지 교훈
이번 기소문과 북한의 여러가지 해킹 시도로부터 배울 수 있는 5가지 IT 교훈을 함께 살펴 보자.

1. 대비, 교육이 가장 중요하다
AMC가 가짜 피싱 이메일에 넘어가지 않을 수 있었던 것은 더 철저한 직원 교육과 철통 같은 방어가 있었기 때문이었다. 인식 교육은 연중 끊임없이 이뤄져야 한다. 피싱 이메일을 진짜처럼 보이게 만드는 해커들의 능력도 나날이 발전하고 있다. 이들은 내부자만 알 수 있는 정보를 넣기도 하고, 기업 로고와 템플릿을 사용하며, 진짜와 매우 유사한 도메인 명과 이메일 주소를 사용한다.

웜뱃 시큐리티(Wombat Security), 노우비포(KnowBe4), 미디어프로(MediaPro), 그리고 SANS 인스티튜트(SANS Institute)에 이르기까지 다양한 공급업체들이 인식 개선 교육 프로그램을 제공하고 있다. 이런 프로그램들의 목적은 지속적인 평가, 교육, 강화, 그리고 측정의 사이클을 유지하는 것이다. 또한 사용자가 교육에 따르는 부담을 덜고, 더 교과적으로 교육을 실시할 수 있도록 하려면 어떤 인센티브를 제공하는 것이 좋은 지 생각해야 한다.

2. 탐지 시스템, 제대로 작동하고 있는가
기업들은 지금보다 더 나은 침입 탐지 메커니즘이 필요하다. 소니만 해도 그렇다. 북한 해커가 소니 네트워크 내부에 침투해 수개월이나 머무르며 어떤 서버를 공격할 지, 어떤 직원의 계정을 복제할 지 결정하는 동안에도 소니는 이를 몰랐다.

자사의 침입 탐지 시스템(Intrusion Detection System, IDS)이 침입자를 탐지해 내지 못한다면 다른 솔루션을 알아봐야 할 때다.

해커는 표적을 선정할 때 무척 조심스럽게 고른다. 조금이라도 더 진짜 같아 보이기 위해, 그리하여 피싱 이메일과 워터링 홀에 속아 넘어올 확률을 조금이라도 올리기 위해 표적에 대한 조사를 철저히 하는 것이다. AMC 사를 제외하면, 해커들은 거의 모든 기업 네트워크를 성공적으로 침투할 수 있었으며 그 내부에서 대상이 모르는 상태에서 수개월을 보내곤 했다.

3. 망 분리 강화
IDS의 완성을 위해서는 망 분리(network segmentation)를 강화할 필요가 있다. 소니의 네트워크는 전혀 파티션이 나눠지지 않은 상태였기 때문에 해커들이 횡적으로 움직이기가 더욱 쉬웠다. 데이터를 적절한 구역으로 분리하고 나누는 것이 이를 안전하게 보호할 수 있는 방법이다.

4. 액세스 권한에 대한 감사
액세스 컨트롤도 한 번쯤 감사가 필요하다. 어떤 직원들이 관리자의 권한을 가지고 있는지, 너무 위험하거나 지나친 권한을 허용하고 있지는 않은 지 살펴봐야 한다.

5. 레드 팀을 꾸리고 운영하라
레드 팀을 만들어 운영함으로써 보안상의 약점을 찾도록 하자. 전체 보고서는 레드 팀이 사용할 수 있는 구체적인 정보를 담고 있다. 이런 정보는 과연 소니 해커들이 사용했던 동일한 전략에 자사의 네트워크도 취약할 것인지를 판단하는 데 쓰일 것이다. 앞서 설명한 문제들을 다 해결한 후에 레드 팀을 운영하는 것이 가장 이상적이다. editor@itworld.co.kr  

X