2016.04.26

모든 보안 관리자가 읽어야 할 문서, '해킹 팀 해킹 후기'

Steve Ragan | CSO
해킹 팀이 뉴스에 다시 등장했다. 최근 이탈리아 업체 해킹 팀(Hacking Team)을 해킹한 방법에 대한 세부적인 설명이 포함된 사건 후기를 해킹 당사자가 게시했기 때문이다.



그 자체로 대단히 흥미로운 읽을거리지만 이번 해킹 후기는 기업의 보안 프로그램을 지원하고 관리하는 사람이라면 누구나 반드시 읽어야 할 글이기도 하다.

해킹 팀은 각국 정부와 사법 기관을 상대로 침입 및 감시 도구를 판매하는 이탈리아 업체다. 9개월 전 누군가가 해킹 팀 네트워크에서 거의 400GB에 이르는 데이터를 유출시키는 사고가 발생해 큰 망신을 당했다.

아이러니한 점은 해킹 팀이 개발한 도구 역시 해킹 팀이 당한 사건과 똑같은 일을 벌이는 데 사용된다는 것이다. 그래서 보안업계의 많은 이들은 이 해킹 사건에 내심 통쾌함을 느꼈다. 그리고 최근 해킹 팀의 데이터를 유출시킨 장본인인 피니어스 피셔가 이 해킹 과정을 처음부터 끝까지 정리해서 게시했다.

피니어스 피셔는 "과거에는 서류를 훔치려면 사무실 안에 잠입해야 했다. 은행을 털려면 총이 필요했다. 지금은 이 두 가지 모두 침대에 누워 노트북으로 할 수 있다"고 전했다.

"이것이 해킹의 미학이자 비대칭성(asymmetry)이다. 한 사람이 100시간 동안의 작업으로 수백만 달러 규모의 기업이 몇 년에 걸쳐 이룬 것을 무너뜨릴 수 있다…."

해킹 팀이 당한 사건은 전형적인 표적 공격의 사례다. 지식과 시간, 리소스를 갖춘 공격자를 끝까지 막아낼 수 있는 조직은 거의 없다. 게다가 해킹 팀이 네트워크를 관리하고 개발한 방식도 다소 허술했다.

피셔는 한 임베디드 기기의 펌웨어를 리버스 엔지니어링(reverse engineer)해서 새로운 익스플로잇을 개발했다. 피셔는 이 제로데이 취약점을 해킹 팀의 네트워크에 백도어를 설치하기 위해 단 한 번만 사용했기 때문에 이를 통해 지속적인 접근이 가능했다.

결국 잘못 구성된 iSCSI 하나가 해킹 팀을 무너뜨린 단초였지만, 네트워크 내의 서비스가 보안이 취약한 서브넷에 노출된 상태, 인증 없는 몽고DB 인스턴스, 일반 텍스트로 암호가 저장된 백업, 핵심 시스템을 포함한 도처에 사용된 약한 암호 등 다른 문제점들도 있었다.

이 해킹 후기를 통해 얻을 수 있는 교훈은 무엇일까? 인포스펙티브의 사라 클라크는 "이번 사건으로 모든 사람의 위협 경보 단계가 한 단계 높아졌다"고 이 사안에 관한 자신의 생각을 밝혔다.

클라크는 "나는 네트워크 현장에서 떠난지 10년 가까이 됐지만 친구들 도움을 받아 별 어려움 없이 후기에 나열된 일을 모두 할 수 있었다. 나를 멈추게 한 것은 기소에 대한 두려움, 윤리 의식, 그리고 단기, 중기, 장기적 영향을 파악하는 뛰어난 분석 능력이었다"고 말했다.

피니어스 피셔가 문서화한 개요와 프로세스를 보면 클라크가 한 일은 보안 담당자라면 으레 할 만한 일이다. 즉, "다음은 무엇인가"에 대한 답을 찾고자 했던 것이다. 이런 형태의 공격에 대해 우려하는 조직은 무엇을 모니터링해야 하는가?

이와 비슷한 공격에 직면했다면 일반적인 엔터프라이즈 모니터링 도구는 (제대로 구성되었다는 전제하에) 무엇을 감지하는가? IDS/IPS, 로그 모니터링, 취약점 스캔, 펜 테스트 스코핑(pen test scoping), SIEM 경보 또는 경보 분석에서 어떤 부분을 만들고 수정해야 하는가?

미국 오스틴에 소재한 포스포인트(Forcepoint)의 특수 조사 부문 책임자 앤디 세틀은 다음과 같은 생각을 전했다. 세틀은 "공격자는 표적에 대한 침투 의지가 확고했다. 이런 형태의 위협에는 단순히 '만약'이 아닌 '언제'라는 질문을 통해 대처해야 한다. 공격자는 일단 회사 네트워크 내부로 들어오면 손쉽게 회사 인프라를 돌아다닐 수 있다"고 말했다.

"조직 인프라의 민감한 내부 작업을 보호하는 것도 똑같이 중요하다. 회사 네트워크 내의 서비스를 필수 요소로만 최소화하는 것은 서비스의 외부 노출을 최소화하는 것 못지않게 중요하다."

모니터와 심사(Monitor & Assess)
방화벽 로그는 이러한 유형의 공격에 대한 사전 경보를 제공할 수 있다. 네트워크 매핑, 포트 스캔 및 열거에는 방화벽과 침입 차단 장비(IPS)를 통해 대처할 수 있지만, 이들이 생산하는 데이터를 모니터링/심사하지 않는 것은 사건이 임박했음을 알리는 경고등 기능을 잃는 것과 마찬가지다.

업데이트와 패치
세틀은 "당연히 업데이트와 패치는 필수다. 피니어스 피셔는 네트워크 관리 시스템인 나기오스(Nagios) 내의 알려진 취약점을 이용했다. 흥미롭게도 공격자는 시스템관리자(sysadmins) 영역을 몰래 염탐한 이후에야 나기오스 시스템에 대해 인식했다"고 설명했다.

망 분리
이 공격은 서로 분리되어야 할 백업 및 관리 네트워크가 분리되어 있지 않았기 때문에 가능했다. 운영 네트워크와 관리 네트워크의 분리는 인프라를 보호하기 위한 유용한 방법이다. 특히 관리 네트워크에 관리 권한이 필요한 경우엔 더욱 그렇다. 이 공격에서 피니어스 피셔는 이메일 서버 백업 이미지를 덤프하는 데 성공했다.

높은 권한의 사용자를 감시하고 보호
흔히 하는 말이지만 가장 어려운 문제 가운데 하나는 권한이 높은 계정을 모니터링하는 것이다. 많은 조직, 특히 정부 관련 조직에서는 내부자 위협을 차단하기 위한 보안 인가(security clearance)를 요구한다.

그러나 이 사건에서 알 수 있는 것은 일단 내부로 침투한 공격자는 최단거리로 sysadmins에 접근해서 이들의 활동을 모니터링하고 정보를 얻고 회사 및 인프라에 대해 파악한다는 것이다.

세틀은 "사고방식의 변화가 필요하다. 높은 권한의 사용자와 이들의 워크스테이션을 모니터링하지 말아야 하는가? 모니터링하는 것은 이들을 신뢰하지 않아서가 아니라, 이들을 보호하고 이들이 네트워크 스니퍼(network sniffers), 키 로거(key-loggers) 등에게 감시당하고 있지 않은지 확인하기 위한 것"이라고 덧붙였다.

이그레스 모니터링(Egress Monitoring)
세틀은 "마지막으로 살펴볼 부분은 많은 데이터가 유출되었다는 점이다. 이것이 왜 탐지되지 않았을까? 지적 재산이 표적인 공격에서 흔히 일어나는 일이다. 데이터 도난 또는 데이터 손실 방지(DTP/DLP) 솔루션을 구축하고 모니터링하면 이러한 유형의 공격 가능성과 잠재적 영향을 낮출 수 있다"고 말했다. editor@itworld.co.kr


2016.04.26

모든 보안 관리자가 읽어야 할 문서, '해킹 팀 해킹 후기'

Steve Ragan | CSO
해킹 팀이 뉴스에 다시 등장했다. 최근 이탈리아 업체 해킹 팀(Hacking Team)을 해킹한 방법에 대한 세부적인 설명이 포함된 사건 후기를 해킹 당사자가 게시했기 때문이다.



그 자체로 대단히 흥미로운 읽을거리지만 이번 해킹 후기는 기업의 보안 프로그램을 지원하고 관리하는 사람이라면 누구나 반드시 읽어야 할 글이기도 하다.

해킹 팀은 각국 정부와 사법 기관을 상대로 침입 및 감시 도구를 판매하는 이탈리아 업체다. 9개월 전 누군가가 해킹 팀 네트워크에서 거의 400GB에 이르는 데이터를 유출시키는 사고가 발생해 큰 망신을 당했다.

아이러니한 점은 해킹 팀이 개발한 도구 역시 해킹 팀이 당한 사건과 똑같은 일을 벌이는 데 사용된다는 것이다. 그래서 보안업계의 많은 이들은 이 해킹 사건에 내심 통쾌함을 느꼈다. 그리고 최근 해킹 팀의 데이터를 유출시킨 장본인인 피니어스 피셔가 이 해킹 과정을 처음부터 끝까지 정리해서 게시했다.

피니어스 피셔는 "과거에는 서류를 훔치려면 사무실 안에 잠입해야 했다. 은행을 털려면 총이 필요했다. 지금은 이 두 가지 모두 침대에 누워 노트북으로 할 수 있다"고 전했다.

"이것이 해킹의 미학이자 비대칭성(asymmetry)이다. 한 사람이 100시간 동안의 작업으로 수백만 달러 규모의 기업이 몇 년에 걸쳐 이룬 것을 무너뜨릴 수 있다…."

해킹 팀이 당한 사건은 전형적인 표적 공격의 사례다. 지식과 시간, 리소스를 갖춘 공격자를 끝까지 막아낼 수 있는 조직은 거의 없다. 게다가 해킹 팀이 네트워크를 관리하고 개발한 방식도 다소 허술했다.

피셔는 한 임베디드 기기의 펌웨어를 리버스 엔지니어링(reverse engineer)해서 새로운 익스플로잇을 개발했다. 피셔는 이 제로데이 취약점을 해킹 팀의 네트워크에 백도어를 설치하기 위해 단 한 번만 사용했기 때문에 이를 통해 지속적인 접근이 가능했다.

결국 잘못 구성된 iSCSI 하나가 해킹 팀을 무너뜨린 단초였지만, 네트워크 내의 서비스가 보안이 취약한 서브넷에 노출된 상태, 인증 없는 몽고DB 인스턴스, 일반 텍스트로 암호가 저장된 백업, 핵심 시스템을 포함한 도처에 사용된 약한 암호 등 다른 문제점들도 있었다.

이 해킹 후기를 통해 얻을 수 있는 교훈은 무엇일까? 인포스펙티브의 사라 클라크는 "이번 사건으로 모든 사람의 위협 경보 단계가 한 단계 높아졌다"고 이 사안에 관한 자신의 생각을 밝혔다.

클라크는 "나는 네트워크 현장에서 떠난지 10년 가까이 됐지만 친구들 도움을 받아 별 어려움 없이 후기에 나열된 일을 모두 할 수 있었다. 나를 멈추게 한 것은 기소에 대한 두려움, 윤리 의식, 그리고 단기, 중기, 장기적 영향을 파악하는 뛰어난 분석 능력이었다"고 말했다.

피니어스 피셔가 문서화한 개요와 프로세스를 보면 클라크가 한 일은 보안 담당자라면 으레 할 만한 일이다. 즉, "다음은 무엇인가"에 대한 답을 찾고자 했던 것이다. 이런 형태의 공격에 대해 우려하는 조직은 무엇을 모니터링해야 하는가?

이와 비슷한 공격에 직면했다면 일반적인 엔터프라이즈 모니터링 도구는 (제대로 구성되었다는 전제하에) 무엇을 감지하는가? IDS/IPS, 로그 모니터링, 취약점 스캔, 펜 테스트 스코핑(pen test scoping), SIEM 경보 또는 경보 분석에서 어떤 부분을 만들고 수정해야 하는가?

미국 오스틴에 소재한 포스포인트(Forcepoint)의 특수 조사 부문 책임자 앤디 세틀은 다음과 같은 생각을 전했다. 세틀은 "공격자는 표적에 대한 침투 의지가 확고했다. 이런 형태의 위협에는 단순히 '만약'이 아닌 '언제'라는 질문을 통해 대처해야 한다. 공격자는 일단 회사 네트워크 내부로 들어오면 손쉽게 회사 인프라를 돌아다닐 수 있다"고 말했다.

"조직 인프라의 민감한 내부 작업을 보호하는 것도 똑같이 중요하다. 회사 네트워크 내의 서비스를 필수 요소로만 최소화하는 것은 서비스의 외부 노출을 최소화하는 것 못지않게 중요하다."

모니터와 심사(Monitor & Assess)
방화벽 로그는 이러한 유형의 공격에 대한 사전 경보를 제공할 수 있다. 네트워크 매핑, 포트 스캔 및 열거에는 방화벽과 침입 차단 장비(IPS)를 통해 대처할 수 있지만, 이들이 생산하는 데이터를 모니터링/심사하지 않는 것은 사건이 임박했음을 알리는 경고등 기능을 잃는 것과 마찬가지다.

업데이트와 패치
세틀은 "당연히 업데이트와 패치는 필수다. 피니어스 피셔는 네트워크 관리 시스템인 나기오스(Nagios) 내의 알려진 취약점을 이용했다. 흥미롭게도 공격자는 시스템관리자(sysadmins) 영역을 몰래 염탐한 이후에야 나기오스 시스템에 대해 인식했다"고 설명했다.

망 분리
이 공격은 서로 분리되어야 할 백업 및 관리 네트워크가 분리되어 있지 않았기 때문에 가능했다. 운영 네트워크와 관리 네트워크의 분리는 인프라를 보호하기 위한 유용한 방법이다. 특히 관리 네트워크에 관리 권한이 필요한 경우엔 더욱 그렇다. 이 공격에서 피니어스 피셔는 이메일 서버 백업 이미지를 덤프하는 데 성공했다.

높은 권한의 사용자를 감시하고 보호
흔히 하는 말이지만 가장 어려운 문제 가운데 하나는 권한이 높은 계정을 모니터링하는 것이다. 많은 조직, 특히 정부 관련 조직에서는 내부자 위협을 차단하기 위한 보안 인가(security clearance)를 요구한다.

그러나 이 사건에서 알 수 있는 것은 일단 내부로 침투한 공격자는 최단거리로 sysadmins에 접근해서 이들의 활동을 모니터링하고 정보를 얻고 회사 및 인프라에 대해 파악한다는 것이다.

세틀은 "사고방식의 변화가 필요하다. 높은 권한의 사용자와 이들의 워크스테이션을 모니터링하지 말아야 하는가? 모니터링하는 것은 이들을 신뢰하지 않아서가 아니라, 이들을 보호하고 이들이 네트워크 스니퍼(network sniffers), 키 로거(key-loggers) 등에게 감시당하고 있지 않은지 확인하기 위한 것"이라고 덧붙였다.

이그레스 모니터링(Egress Monitoring)
세틀은 "마지막으로 살펴볼 부분은 많은 데이터가 유출되었다는 점이다. 이것이 왜 탐지되지 않았을까? 지적 재산이 표적인 공격에서 흔히 일어나는 일이다. 데이터 도난 또는 데이터 손실 방지(DTP/DLP) 솔루션을 구축하고 모니터링하면 이러한 유형의 공격 가능성과 잠재적 영향을 낮출 수 있다"고 말했다. editor@itworld.co.kr


X