2018.12.10

"불안한 추세를 보여주는 최근 사례"와 사이버 공격의 이해

Josh Fruhlinger | CSO
가상은행강도에서부터 국가규모의 반개방 공격에 이르기까지 지난 수년간 IT 보안은 많은 어려움을 겪었다. 최근 주요 사이버 공격과 이로부터 배울 수 있는 것들을 살펴보자. 
 

사이버 공격에 대한 정의

간단히 정의하면, 사이버 공격은 하나, 또는 여러 컴퓨터를 이용해 다른 컴퓨터(하나 또는 여러 컴퓨터)나 네트워크를 공격하는 것이다. 사이버 공격은 크게 두 가지 유형으로 분류할 수 있다. 그 목적이 표적이 되는 컴퓨터를 비활성화 또는 오프라인 상태로 만드는 공격과 표적 컴퓨터의 데이터에 액세스를 하고 관리자 권한을 획득하는 것을 목적으로 하는 공격이다.
 
ⓒ Getty Images Bank 
 

사이버 공격의 유형

사이버 공격자는 이런 목적들을 달성하기 위해 여러 다양한 기술적 방법이나 기법을 활용해야 한다. 항상 새로운 방법이나 기법이 많이 등장한다. 여기에서 소개하는 방법이나 기법 중에는 중복되는 것들도 있다. 그러나 가장 많이 회자되는 '개념'들이다.

- 악성코드(Malware): 악성 소프트웨어(Malicious Software)를 줄인 말이다. 마이크로소프트는 "악성코드는 그 구조나 작동 방식에 상관없이, 하나의 컴퓨터, 서버, 컴퓨터 네트워크에 피해를 초래하도록 설계된 모든 종류의 소프트웨어"라고 정의한다. 웜(Worm), 바이러스, 트로이목마(trojans)는 모두 악성코드의 변종이다. 재생산 및 확산 방법에 따라 서로 구분이 된다. 이런 공격으로 컴퓨터나 네트워크를 작동 불능 상태로 만들거나, 시스템을 원격으로 제어할 수 있도록 공격자에게 관리자 권한을 승인하게 만들 수 있다.

- 피싱(Phishing): 사이버 공격자가 이메일로 표적으로 삼은 사람을 속여 유해한(위험한) 행동을 하도록 만드는 공격 기법이다. 이메일을 수신하는 사람을 속여, 중요한 문서나 자료로 가장한 악성코드를 다운로드받게 하거나, 은행 사이트의 사용자 이름과 비밀번호 같이 민감한 정보를 캐내는 가짜 웹사이트로 연결된 링크를 클릭하도록 만든다. 많은 피싱 이메일은 비교적 조잡하고, 수많은 사람(잠재적 피해자)에게 발송된다. 그러나 중요한 표적이 유용한 정보를 누설하도록 정교하게 만들어진 피싱 공격도 있다.

- 서비스 거부 공격(Denial of Service Attacks): 특정 온라인 서비스가 제대로 작동하지 못하도록 만드는 무차별(Brute force) 공격 기법 가운데 하나다. 예를 들어, 공격자는 특정 웹사이트나 데이터베이스에 트래픽과 많은 요청을 보내 시스템 기능을 과부하 상태로 만들어 누구도 해당 웹사이트나 데이터베이스를 사용할 수 없도록 만든다. 분산형 서비스 거부 공격(Distributed Denial of Service, DDoS) 공격은 통상 악성코드로 감염시켜 사이버 범죄자가 통제할 수 있게 만든 수많은 컴퓨터를 사용해, 표적에 트래픽을 집중적으로 보내는 공격이다.

- 중간자(Man in the middle) 공격: 공격자가 사용자와 사용자가 액세스하는 웹서비스 중간에 은밀히 침입하는 공격 기법이다. 공격자가 호텔 네트워크를 가장한 로그인 화면을 가진 와이파이 네트워크를 만든 후 사용자가 전송하는 은행 비밀번호 같은 민감한 정보를 수집하는 공격을 예로 들 수 있다.

- 크립토재킹(Cryptojacking): 다른 사람의 컴퓨터를 암호화폐 채굴에 동원하는 전문화된 공격이다. 표적의 컴퓨터에 악성코드를 설치해 암호화폐 채굴에 필요한 연산을 하도록 만들거나, 표적의 브라우저에서 자바스크립트 코드를 실행시킨다. 

- SQL 주입(SQL Injection): 공격자가 피해자의 데이터베이스를 제어할 수 있는 취약점을 악용할 수 있는 공격 수단이다. 많은 데이터베이스가 SQL(Structured Query Language)로 작성된 명령에 따라 작동하도록 설계되어 있으며, 사용자 정보를 수집하는 많은 웹사이트가 이런 데이터를 SQL 데이터베이스에 전송한다. SQL 주입 공격에 대한 예를 들면, 해커는 이름과 주소 정보를 묻는 웹 양식 형태의 SQL 명령을 작성할 수 있다. 만약 웹 사이트와 데이터베이스가 제대로 프로그래밍되어 있지 않다면, 데이터베이스가 이 명령을 실행시키는 시도를 할 수 있다.

- 제로데이 익스플로잇(Zero-day exploits): 아직 수정되지 않은 소프트웨어 취약점이다. 패치가 릴리스되면, 사용자들이 보안 업데이트를 다운로드 받으면서, 매일 공격에 피해를 당할 수 있는 컴퓨터의 수가 조금씩 줄어들기 때문에 '제로데이 익스플로잇'이라는 이름이 붙여졌다. 이런 취약점을 공격할 수 있는 기법들이 다크웹(dark web)에서 거래되곤 한다. 때론 정부 기관이 이를 발견하고도, 공익을 위해 정보를 공개하지 않고 자국의 해킹에 사용해 구설수에 오른 사례도 있다.
 

최근 사이버 공격

최악의 사이버 공격 기법 선정은 어느 정도 주관적일 수밖에 없다. 여기 열거된 사이버 공격 기법들도 해당되는 이야기다. 여러 다양한 이유 때문에 가장 큰 주목을 받은 공격 기법들이다. 많이 확산됐거나, 더 크고 무서운 트렌드를 알려주는 공격 기법들이다. 최근 가장 규모가 컸던 사이버 공격들을 모아봤다.

- 워너크라이(WannaCry)
워너크라이는 2017년 5월에 급속도로 확산됐던 랜섬웨어 공격이다. 다른 랜섬웨어처럼 감염시킨 컴퓨터를 제어한 후 하드 드라이브의 콘텐츠를 암호화시켰다. 그런 다음 암호화를 풀어주는 대가로 비트코인 결제를 요구했다. 특히 영국 NHS 산하 시설의 컴퓨터를 표적으로 삼은 랜섬웨어 악성코드가 큰 피해를 초래했다.

하지만 랜섬웨어는 새롭지 않다. 워너크라이를 중요하게, 그리고 공포스럽게 만든 것은 '번식'에 사용한 수단이었다. 미국 NSA(National Security Agency)가 비밀리에 개발한 코드를 사용해, 마이크로소프트 윈도우의 취약점을 공격했기 때문이다. 이른바 이터널블루(EternalBlue)라는 익스플로잇인데, 해킹 그룹인 쉐도우 브로커(Shadow Brokers)가 이를 훔쳐 유출시켰다. 마이크로소프트는 사고 발생 몇 주 전 취약점에 대한 패치를 배포한 상태였다. 그러나 업그레이드를 하지 않은 시스템이 많았다. 마이크로소프트는 미국 정부가 정보보안 업계와 해당 취약점에 대한 정보를 공유하지 않고, 오히려 취약점을 공격하는 무기를 만든 사실에 분노했다. 

- 낫페트야(NotPetya)
2016년 피싱 스팸을 통해 확산되기 시작했던 랜섬웨어인 페트야(Petya)가 있다. 감염된 장치의 마스터 부트 레코드(Master Boot Record, MBR)를 암호화, 사용자가 파일에 액세스하기 아주 힘들게 만드는 랜섬웨어의 일종이었다.

그러나 2017년 6월 갑자기 훨씬 지독한 페트야 악성코드 버전이 확산되기 시작했다. 최초 페트야 버전과는 꽤 달랐으며, 낫페트야(NotPetya)라는 이름이 붙여졌다. 최초 우크라이나 회계 소프트웨어가 감염되면서 발생했고, 워너크라이가 사용했던 이터널블루를 통해 확산됐다. 러시아는 이를 부인했지만, 낫페트야는 우크라이나에 대한 러시아의 사이버 공격에 사용한 악성코드로 알려져 있다. 페트야를 계기로 국가가 무기화한 악성코드를 사용해 사이버 공격을 하는 시대가 열렸다.

- 이더리움(Ethereum)
지금까지 설명한 다른 공격 사례만큼 주목받지는 못했지만, 관여된 돈의 액수를 감안하면 한 자리를 차지할 자격이 충분하다. 이더(Ether)는 비트코인 같은 암호화폐다. 그런데 2018년 7월 어느 날 단 몇분 만에 이더리움 앱에서 740만 달러에 상응하는 이더가 도난 당하는 사고가 발생했다. 이것이 전부가 아니다. 몇주 후 또 다시 3,200만 달러를 도난 당했다. 블록체인 기반 암호화폐의 '안전성' 및 보안에 대해 의구심을 불러일으킨 사고들이었다.

- 에퀴팩스(Equifax)
지난 2017년 7월, 대형 신용 평가 기관인 에퀴팩스는 "범죄자들이 미국 웹사이트 애플리케이션의 취약점을 공격, 특정 파일에 대한 액세스 권한을 획득하는 사고가 발생했다"고 발표했다. 그 결과, 1억 5,000만 명에 달하는 사람들의 개인 정보가 유출됐다. 에퀴팩스의 후속 조치는 사람들을 더 화나게 만들었다. 에퀴팩스는 개인 정보 침해 여부를 확인할 수 있는 사이트를 구축 했는 데, 에퀴팩스 서비스를 판매하는 사이트처럼 디자인되었기 때문이다.

세네카글로벌(SenecaGlobal) CEO 에드 스조퍼는 "에퀴팩스 침해 사고가 특히 더 심각한 이유는 이미 픽스에 대해 통보받은 상태였기 때문이다. 침해 사고가 발생하기 훨씬 전에 에퀴팩스가 사용하고 있던 아파치 스트럿츠(Apache Struts)라는 도구에 픽스를 적용해야만 했었다. 그러나 제때 그렇게 하지 않았다. 이런 침해 사고를 방지하기 위해서는 문화와 리소스를 변화시켜야 한다. 단순히 기술적인 문제가 아니었다. 기술적인 픽스는 알려져 있는 상태였기 때문이다. 에퀴팩스는 리소스를 갖고 있었다. 그러나 적절한 프로세스를 이행할 문화가 없었다"고 지적했다.

- 야후
야후의 대규모 이메일 시스템 해킹 사고는 특별히 강조해 언급할 필요가 있다. 사고는 2013년에 발생했지만, 30억 개에 달하는 야후 이메일 주소가 영향을 받았다는 '중대성'은 2017년 10월에야 명확히 드러났기 때문이다.

비밀번호와 백업 이메일 주소 등의 정보가 도난 당했다. 해킹이 쉬운 구식 기법으로 암호화를 한 것이 문제였다. 공격자들은 훔친 정보를 사용, 다른 계정까지 침해할 수 있었다. 계정 소유주들만 영향을 받은 것이 아니다. 현재 인수가 완료된 상태이지만, 당시 버라이즌의 야후 인수합병 거래에도 영향을 미쳤다. 침해 사고로 인해 인수에 대해 재검토한 것이다.

이 침해 사고가 알려주는 정말 두려운 사실은 '이런 사고를 숨기려는 문화가 있고, 이점을 감안하면 이런 사례가 또 있을 수 있다는 것'이다. G2 크라우드 조사 담당 책임자 미치 리버맨은 "누구나 PR 때문에 침해 사고에 대한 정보를 공개하기 꺼린다. 그러나 진실은 결국 세상에 공개되기 마련이다. 우리가 모르고 있는 사실이 또 있을 수 있다"고 말했다.

- 깃허브(GitHub)
2018년 2월 28일, 버전 컨트롤 호스팅 서비스인 깃허브가 대규모 서비스 거부 공격을 받았다. 초당 1.35TB의 트래픽이 이 인기 사이트를 공격한 것이다. 이 공격으로 깃허브 운영이 중단된 시간은 아주 짧다. 깃허브는 20분이 채 안되는 시간에 공격을 저지할 수 있었다. 그러나 공격의 '규모'가 무서웠다. 초당 1.2TB의 트래픽이 유입된 2016년 말의 딘(Dyn) 공격 규모를 능가했다.

더 큰 문제는 공격에 사용된 인프라였다. 딘 공격은 미라이 봇넷(Mirai botnet)의 부산물이었다. 악성코드가 수많은 IoT 장치를 감염시키는 방법으로 감행되는 공격이다. 그러나 깃허브 공격은 Memcached 메모리 캐싱 시스템을 실행시키는 서버의 취약점을 악용했다. 간단한 요청에도 아주 많은 데이터를 반환시킬 수 있다.

Memcached는 내부 네트워크에서 실행되는 보호된 서버에만 사용되도록 만들어져있다. 일반적으로 악의를 가진 공격자가 IP 주소를 스푸핑, 무방비 상태의 피해자에게 수많은 데이터를 전송하는 공격을 저지하는 보안 체계가 제대로 구축되어 있지 않다. 그런데 유감스럽게도 수 많은 Memcached 서버가 개방된 인터넷에 위치해 있다. 그 결과, 이를 악용한 DDoS 공격이 급증했다. 서버가 '하이재킹'을 당한 것이라고 말할 수 있다. 이 서버는 명령을 받으면 아무런 질문 없이 패킷을 전송한다.

깃허브 공격 며칠 후, 미국의 서비스 공급업체 한 곳이 Memcached 기반 DDoS 공격을 받았다. 공격에 사용된 트래픽은 초당 1.7TB였다.
 

사이버 공격에 대한 통계

어두운 사이버 범죄의 세계에 무슨 일이 일어나고 있는지 알고 싶다면 통계를 자세히 조사하는 것이 가장 좋다. 그런데 관련 통계가 계속 상승하고 있다. 포지티브 테크놀로지스(Positive Technologies)에 따르면, 2018년 2분기 발생한 고유한 '사이버 사고'의 수는 지난해 같은 기간에 비해 47%가 증가했다. 또 공격이 점차 더 정교해지고 있다. 표적화된 공격이 54%로 무작위 대량 공격보다 많다.

은행털이인 윌리 서튼은 "돈이 있기 때문에 은행을 턴다"는 유명한 말을 남겼다. 포지티브 조사에 따르면, 암호화폐 플랫폼 공격이 급증했는 데, 암호화폐 기술이 '돈이 되는 기술'이기 때문이다. 총계로 봤을 때, 범죄자들이 사이버 범죄로 2018년에 올린 '수익'은 1조 5,000억 달러다. 개인을 기준으로, 사이버 범죄자들은 오프라인 범죄자보다 10~15%가 더 많은 '수익'을 올렸다. 또 세탁된 범죄 수익의 약 10%가 사이버 범죄와 관련이 있는 것으로 추정되고 있다.

스마트폰 안전도 걱정해야 한다. 모바일 공격이 증가하고 있는 추세이기 때문이다. 카스퍼스키랩의 발표에 따르면, 2018년 3분기에 악성 모바일 설치 패키지의 수가 불과 수개월 전보다 약 1/3 가까이 증가했다. 그러나 이런 공격을 방지하는 방법은 간단하다. 노튼(Norton)에 따르면, 이런 패키지의 99%는 비공식 '서드 파티' 앱 스토어로부터 유입된다.
 

사이버 공격 지도

사실 이런 통계를 자세히 조사하기 위해서는 많은 노력이 필요하다(여기 소개된 내용은 ‘겉 핥기’에 불과하다. 몇몇 중요한 내용만 소개했다. 이런 이유로 일부는 파악하기 쉬운 시각적인 사이버 공격 지도를 선호할 것이다. 이 ‘미래적인’ 지도는 공격 별로 공격이 발생한 국가, 공격이 집중된 표적을 알려준다. 현재 인터넷의 위협 지형을 하늘에서 보는 것처럼 한 눈에 파악할 수 있도록 도와준다.

문제는 이것이 '피상적'일 수 있다는 것이다. 여기 표시된 데이터 대부분은 '라이브 데이터'가 아니다. 또 종합적인 데이터도 아니다. 그러나 보안에 대한 대화를 시작하고, 학생들이 사이버 보안에 관심을 갖도록 만드는 데 유용한 역할을 할 수 있다. 또 보안 공급업체의 경우, 좋은 영업 도구가 될 수 있다. editor@itworld.co.kr


2018.12.10

"불안한 추세를 보여주는 최근 사례"와 사이버 공격의 이해

Josh Fruhlinger | CSO
가상은행강도에서부터 국가규모의 반개방 공격에 이르기까지 지난 수년간 IT 보안은 많은 어려움을 겪었다. 최근 주요 사이버 공격과 이로부터 배울 수 있는 것들을 살펴보자. 
 

사이버 공격에 대한 정의

간단히 정의하면, 사이버 공격은 하나, 또는 여러 컴퓨터를 이용해 다른 컴퓨터(하나 또는 여러 컴퓨터)나 네트워크를 공격하는 것이다. 사이버 공격은 크게 두 가지 유형으로 분류할 수 있다. 그 목적이 표적이 되는 컴퓨터를 비활성화 또는 오프라인 상태로 만드는 공격과 표적 컴퓨터의 데이터에 액세스를 하고 관리자 권한을 획득하는 것을 목적으로 하는 공격이다.
 
ⓒ Getty Images Bank 
 

사이버 공격의 유형

사이버 공격자는 이런 목적들을 달성하기 위해 여러 다양한 기술적 방법이나 기법을 활용해야 한다. 항상 새로운 방법이나 기법이 많이 등장한다. 여기에서 소개하는 방법이나 기법 중에는 중복되는 것들도 있다. 그러나 가장 많이 회자되는 '개념'들이다.

- 악성코드(Malware): 악성 소프트웨어(Malicious Software)를 줄인 말이다. 마이크로소프트는 "악성코드는 그 구조나 작동 방식에 상관없이, 하나의 컴퓨터, 서버, 컴퓨터 네트워크에 피해를 초래하도록 설계된 모든 종류의 소프트웨어"라고 정의한다. 웜(Worm), 바이러스, 트로이목마(trojans)는 모두 악성코드의 변종이다. 재생산 및 확산 방법에 따라 서로 구분이 된다. 이런 공격으로 컴퓨터나 네트워크를 작동 불능 상태로 만들거나, 시스템을 원격으로 제어할 수 있도록 공격자에게 관리자 권한을 승인하게 만들 수 있다.

- 피싱(Phishing): 사이버 공격자가 이메일로 표적으로 삼은 사람을 속여 유해한(위험한) 행동을 하도록 만드는 공격 기법이다. 이메일을 수신하는 사람을 속여, 중요한 문서나 자료로 가장한 악성코드를 다운로드받게 하거나, 은행 사이트의 사용자 이름과 비밀번호 같이 민감한 정보를 캐내는 가짜 웹사이트로 연결된 링크를 클릭하도록 만든다. 많은 피싱 이메일은 비교적 조잡하고, 수많은 사람(잠재적 피해자)에게 발송된다. 그러나 중요한 표적이 유용한 정보를 누설하도록 정교하게 만들어진 피싱 공격도 있다.

- 서비스 거부 공격(Denial of Service Attacks): 특정 온라인 서비스가 제대로 작동하지 못하도록 만드는 무차별(Brute force) 공격 기법 가운데 하나다. 예를 들어, 공격자는 특정 웹사이트나 데이터베이스에 트래픽과 많은 요청을 보내 시스템 기능을 과부하 상태로 만들어 누구도 해당 웹사이트나 데이터베이스를 사용할 수 없도록 만든다. 분산형 서비스 거부 공격(Distributed Denial of Service, DDoS) 공격은 통상 악성코드로 감염시켜 사이버 범죄자가 통제할 수 있게 만든 수많은 컴퓨터를 사용해, 표적에 트래픽을 집중적으로 보내는 공격이다.

- 중간자(Man in the middle) 공격: 공격자가 사용자와 사용자가 액세스하는 웹서비스 중간에 은밀히 침입하는 공격 기법이다. 공격자가 호텔 네트워크를 가장한 로그인 화면을 가진 와이파이 네트워크를 만든 후 사용자가 전송하는 은행 비밀번호 같은 민감한 정보를 수집하는 공격을 예로 들 수 있다.

- 크립토재킹(Cryptojacking): 다른 사람의 컴퓨터를 암호화폐 채굴에 동원하는 전문화된 공격이다. 표적의 컴퓨터에 악성코드를 설치해 암호화폐 채굴에 필요한 연산을 하도록 만들거나, 표적의 브라우저에서 자바스크립트 코드를 실행시킨다. 

- SQL 주입(SQL Injection): 공격자가 피해자의 데이터베이스를 제어할 수 있는 취약점을 악용할 수 있는 공격 수단이다. 많은 데이터베이스가 SQL(Structured Query Language)로 작성된 명령에 따라 작동하도록 설계되어 있으며, 사용자 정보를 수집하는 많은 웹사이트가 이런 데이터를 SQL 데이터베이스에 전송한다. SQL 주입 공격에 대한 예를 들면, 해커는 이름과 주소 정보를 묻는 웹 양식 형태의 SQL 명령을 작성할 수 있다. 만약 웹 사이트와 데이터베이스가 제대로 프로그래밍되어 있지 않다면, 데이터베이스가 이 명령을 실행시키는 시도를 할 수 있다.

- 제로데이 익스플로잇(Zero-day exploits): 아직 수정되지 않은 소프트웨어 취약점이다. 패치가 릴리스되면, 사용자들이 보안 업데이트를 다운로드 받으면서, 매일 공격에 피해를 당할 수 있는 컴퓨터의 수가 조금씩 줄어들기 때문에 '제로데이 익스플로잇'이라는 이름이 붙여졌다. 이런 취약점을 공격할 수 있는 기법들이 다크웹(dark web)에서 거래되곤 한다. 때론 정부 기관이 이를 발견하고도, 공익을 위해 정보를 공개하지 않고 자국의 해킹에 사용해 구설수에 오른 사례도 있다.
 

최근 사이버 공격

최악의 사이버 공격 기법 선정은 어느 정도 주관적일 수밖에 없다. 여기 열거된 사이버 공격 기법들도 해당되는 이야기다. 여러 다양한 이유 때문에 가장 큰 주목을 받은 공격 기법들이다. 많이 확산됐거나, 더 크고 무서운 트렌드를 알려주는 공격 기법들이다. 최근 가장 규모가 컸던 사이버 공격들을 모아봤다.

- 워너크라이(WannaCry)
워너크라이는 2017년 5월에 급속도로 확산됐던 랜섬웨어 공격이다. 다른 랜섬웨어처럼 감염시킨 컴퓨터를 제어한 후 하드 드라이브의 콘텐츠를 암호화시켰다. 그런 다음 암호화를 풀어주는 대가로 비트코인 결제를 요구했다. 특히 영국 NHS 산하 시설의 컴퓨터를 표적으로 삼은 랜섬웨어 악성코드가 큰 피해를 초래했다.

하지만 랜섬웨어는 새롭지 않다. 워너크라이를 중요하게, 그리고 공포스럽게 만든 것은 '번식'에 사용한 수단이었다. 미국 NSA(National Security Agency)가 비밀리에 개발한 코드를 사용해, 마이크로소프트 윈도우의 취약점을 공격했기 때문이다. 이른바 이터널블루(EternalBlue)라는 익스플로잇인데, 해킹 그룹인 쉐도우 브로커(Shadow Brokers)가 이를 훔쳐 유출시켰다. 마이크로소프트는 사고 발생 몇 주 전 취약점에 대한 패치를 배포한 상태였다. 그러나 업그레이드를 하지 않은 시스템이 많았다. 마이크로소프트는 미국 정부가 정보보안 업계와 해당 취약점에 대한 정보를 공유하지 않고, 오히려 취약점을 공격하는 무기를 만든 사실에 분노했다. 

- 낫페트야(NotPetya)
2016년 피싱 스팸을 통해 확산되기 시작했던 랜섬웨어인 페트야(Petya)가 있다. 감염된 장치의 마스터 부트 레코드(Master Boot Record, MBR)를 암호화, 사용자가 파일에 액세스하기 아주 힘들게 만드는 랜섬웨어의 일종이었다.

그러나 2017년 6월 갑자기 훨씬 지독한 페트야 악성코드 버전이 확산되기 시작했다. 최초 페트야 버전과는 꽤 달랐으며, 낫페트야(NotPetya)라는 이름이 붙여졌다. 최초 우크라이나 회계 소프트웨어가 감염되면서 발생했고, 워너크라이가 사용했던 이터널블루를 통해 확산됐다. 러시아는 이를 부인했지만, 낫페트야는 우크라이나에 대한 러시아의 사이버 공격에 사용한 악성코드로 알려져 있다. 페트야를 계기로 국가가 무기화한 악성코드를 사용해 사이버 공격을 하는 시대가 열렸다.

- 이더리움(Ethereum)
지금까지 설명한 다른 공격 사례만큼 주목받지는 못했지만, 관여된 돈의 액수를 감안하면 한 자리를 차지할 자격이 충분하다. 이더(Ether)는 비트코인 같은 암호화폐다. 그런데 2018년 7월 어느 날 단 몇분 만에 이더리움 앱에서 740만 달러에 상응하는 이더가 도난 당하는 사고가 발생했다. 이것이 전부가 아니다. 몇주 후 또 다시 3,200만 달러를 도난 당했다. 블록체인 기반 암호화폐의 '안전성' 및 보안에 대해 의구심을 불러일으킨 사고들이었다.

- 에퀴팩스(Equifax)
지난 2017년 7월, 대형 신용 평가 기관인 에퀴팩스는 "범죄자들이 미국 웹사이트 애플리케이션의 취약점을 공격, 특정 파일에 대한 액세스 권한을 획득하는 사고가 발생했다"고 발표했다. 그 결과, 1억 5,000만 명에 달하는 사람들의 개인 정보가 유출됐다. 에퀴팩스의 후속 조치는 사람들을 더 화나게 만들었다. 에퀴팩스는 개인 정보 침해 여부를 확인할 수 있는 사이트를 구축 했는 데, 에퀴팩스 서비스를 판매하는 사이트처럼 디자인되었기 때문이다.

세네카글로벌(SenecaGlobal) CEO 에드 스조퍼는 "에퀴팩스 침해 사고가 특히 더 심각한 이유는 이미 픽스에 대해 통보받은 상태였기 때문이다. 침해 사고가 발생하기 훨씬 전에 에퀴팩스가 사용하고 있던 아파치 스트럿츠(Apache Struts)라는 도구에 픽스를 적용해야만 했었다. 그러나 제때 그렇게 하지 않았다. 이런 침해 사고를 방지하기 위해서는 문화와 리소스를 변화시켜야 한다. 단순히 기술적인 문제가 아니었다. 기술적인 픽스는 알려져 있는 상태였기 때문이다. 에퀴팩스는 리소스를 갖고 있었다. 그러나 적절한 프로세스를 이행할 문화가 없었다"고 지적했다.

- 야후
야후의 대규모 이메일 시스템 해킹 사고는 특별히 강조해 언급할 필요가 있다. 사고는 2013년에 발생했지만, 30억 개에 달하는 야후 이메일 주소가 영향을 받았다는 '중대성'은 2017년 10월에야 명확히 드러났기 때문이다.

비밀번호와 백업 이메일 주소 등의 정보가 도난 당했다. 해킹이 쉬운 구식 기법으로 암호화를 한 것이 문제였다. 공격자들은 훔친 정보를 사용, 다른 계정까지 침해할 수 있었다. 계정 소유주들만 영향을 받은 것이 아니다. 현재 인수가 완료된 상태이지만, 당시 버라이즌의 야후 인수합병 거래에도 영향을 미쳤다. 침해 사고로 인해 인수에 대해 재검토한 것이다.

이 침해 사고가 알려주는 정말 두려운 사실은 '이런 사고를 숨기려는 문화가 있고, 이점을 감안하면 이런 사례가 또 있을 수 있다는 것'이다. G2 크라우드 조사 담당 책임자 미치 리버맨은 "누구나 PR 때문에 침해 사고에 대한 정보를 공개하기 꺼린다. 그러나 진실은 결국 세상에 공개되기 마련이다. 우리가 모르고 있는 사실이 또 있을 수 있다"고 말했다.

- 깃허브(GitHub)
2018년 2월 28일, 버전 컨트롤 호스팅 서비스인 깃허브가 대규모 서비스 거부 공격을 받았다. 초당 1.35TB의 트래픽이 이 인기 사이트를 공격한 것이다. 이 공격으로 깃허브 운영이 중단된 시간은 아주 짧다. 깃허브는 20분이 채 안되는 시간에 공격을 저지할 수 있었다. 그러나 공격의 '규모'가 무서웠다. 초당 1.2TB의 트래픽이 유입된 2016년 말의 딘(Dyn) 공격 규모를 능가했다.

더 큰 문제는 공격에 사용된 인프라였다. 딘 공격은 미라이 봇넷(Mirai botnet)의 부산물이었다. 악성코드가 수많은 IoT 장치를 감염시키는 방법으로 감행되는 공격이다. 그러나 깃허브 공격은 Memcached 메모리 캐싱 시스템을 실행시키는 서버의 취약점을 악용했다. 간단한 요청에도 아주 많은 데이터를 반환시킬 수 있다.

Memcached는 내부 네트워크에서 실행되는 보호된 서버에만 사용되도록 만들어져있다. 일반적으로 악의를 가진 공격자가 IP 주소를 스푸핑, 무방비 상태의 피해자에게 수많은 데이터를 전송하는 공격을 저지하는 보안 체계가 제대로 구축되어 있지 않다. 그런데 유감스럽게도 수 많은 Memcached 서버가 개방된 인터넷에 위치해 있다. 그 결과, 이를 악용한 DDoS 공격이 급증했다. 서버가 '하이재킹'을 당한 것이라고 말할 수 있다. 이 서버는 명령을 받으면 아무런 질문 없이 패킷을 전송한다.

깃허브 공격 며칠 후, 미국의 서비스 공급업체 한 곳이 Memcached 기반 DDoS 공격을 받았다. 공격에 사용된 트래픽은 초당 1.7TB였다.
 

사이버 공격에 대한 통계

어두운 사이버 범죄의 세계에 무슨 일이 일어나고 있는지 알고 싶다면 통계를 자세히 조사하는 것이 가장 좋다. 그런데 관련 통계가 계속 상승하고 있다. 포지티브 테크놀로지스(Positive Technologies)에 따르면, 2018년 2분기 발생한 고유한 '사이버 사고'의 수는 지난해 같은 기간에 비해 47%가 증가했다. 또 공격이 점차 더 정교해지고 있다. 표적화된 공격이 54%로 무작위 대량 공격보다 많다.

은행털이인 윌리 서튼은 "돈이 있기 때문에 은행을 턴다"는 유명한 말을 남겼다. 포지티브 조사에 따르면, 암호화폐 플랫폼 공격이 급증했는 데, 암호화폐 기술이 '돈이 되는 기술'이기 때문이다. 총계로 봤을 때, 범죄자들이 사이버 범죄로 2018년에 올린 '수익'은 1조 5,000억 달러다. 개인을 기준으로, 사이버 범죄자들은 오프라인 범죄자보다 10~15%가 더 많은 '수익'을 올렸다. 또 세탁된 범죄 수익의 약 10%가 사이버 범죄와 관련이 있는 것으로 추정되고 있다.

스마트폰 안전도 걱정해야 한다. 모바일 공격이 증가하고 있는 추세이기 때문이다. 카스퍼스키랩의 발표에 따르면, 2018년 3분기에 악성 모바일 설치 패키지의 수가 불과 수개월 전보다 약 1/3 가까이 증가했다. 그러나 이런 공격을 방지하는 방법은 간단하다. 노튼(Norton)에 따르면, 이런 패키지의 99%는 비공식 '서드 파티' 앱 스토어로부터 유입된다.
 

사이버 공격 지도

사실 이런 통계를 자세히 조사하기 위해서는 많은 노력이 필요하다(여기 소개된 내용은 ‘겉 핥기’에 불과하다. 몇몇 중요한 내용만 소개했다. 이런 이유로 일부는 파악하기 쉬운 시각적인 사이버 공격 지도를 선호할 것이다. 이 ‘미래적인’ 지도는 공격 별로 공격이 발생한 국가, 공격이 집중된 표적을 알려준다. 현재 인터넷의 위협 지형을 하늘에서 보는 것처럼 한 눈에 파악할 수 있도록 도와준다.

문제는 이것이 '피상적'일 수 있다는 것이다. 여기 표시된 데이터 대부분은 '라이브 데이터'가 아니다. 또 종합적인 데이터도 아니다. 그러나 보안에 대한 대화를 시작하고, 학생들이 사이버 보안에 관심을 갖도록 만드는 데 유용한 역할을 할 수 있다. 또 보안 공급업체의 경우, 좋은 영업 도구가 될 수 있다. editor@itworld.co.kr


X