사이버 공격 대응, 보복 공격이 최선인가

사이버 공격에 대한 보복 공격을 또 하나의 보안 도구로 여겨야 할까?

일반적으로 사이버 공격에 엄격한 현행법으로 볼 때 이것은 큰 논쟁거리다. 지난 주 블랙햇(Black Hat) DC 컨퍼런스에서는 기관에서 적들에게 대항해 공격 툴(attack tool)로 보안망에 침투하여 데이터를 망가뜨리는 보복 작전을 수행하는 것이 옳은지, 그 방법은 무엇인지에 대해 토론이 벌어졌다.

그 중에서도 공격 툴과 봇넷을 이용해 취약점을 알아낸 다음, 공격자들이 다음에 취할 행동을 파악하거나 거짓 정보를 흘리고, 상대방의 네트워크에 침투하는 아이디어가 많은 주목을 받았다.

"악의를 가진 공격... 보복 공격 상관없다"

블랙햇에서 연설했던, 프랑스의 선의 해킹 및 취약성 연구 회사인 테트리-시큐리티 (TEHTRI-Security)의 창업자이자 CEO인 로렌트 아우닷은 “만약 침입을 당했다는 사실을 깨닫는다면, 공격자들이 어디까지 침투했는지를 알아내어 반격을 취하고 싶은 것이 당연하다”고 이야기했다. 아마도 적들이 사용한 툴의 허점을 찾아내어 백도어(backdoor)를 심고서 공격자들을 감시하고 싶을 것이다.

아우닷은 “그들의 네트워크를 악용하여 보복할 것이다. 관련된 통계나 로그들을 모아 제우스(ZeuS)나 스파이아이(SpyEye), 또는 국가의 지원을 받는 공격자들에게 대항하는 것이 우리의 아이디어다”라고 말했다. 아우닷의 회사는 모바일 기기를 포함해 여러 취약점들을 발견해낸 경험이 있다. 그는 제로데이 취약점을 찾는 일은 그리 복잡하지 않다고 밝혔다. 뒤이어 엘레오노르(Eleonore)와 같은 공격 툴에 맞서 반격을 가하거나, 거짓 정보를 흘리는 방법을 제시하면서, “반격을 가해도 된다. 적들은 선의의 해커들이 아니다”라고 주장했다.

"역공격도 불법"

한편, 최근 공군에 합류한 보안 연구자 매튜 윅스는 툴을 이용해 네트워크에 침투하는 해커에 대한 역공격에 대해 의문을 제기했다. 현행법에서는 대부분의 역공격도 불법으로 보고 있기 때문이다.

네트워크 취약성을 좋은 목적으로 혹은 악의로 테스트 할 수 있는 도구인 메타스플로잇(Metasploit)의 오픈소스 버전에 참여한 사람으로서, 윅스는 이런 도구들 자체에도 다른 소프트웨어와 마찬가지로 스스로의 취약성을 가지고 있다고 말했다. 또한 공격자들은 자신들의 공격 툴을 보완하는 데에 주의를 기울이지 않았을 수 있다고 설명했다.

그는 컨퍼런스에서 오픈소스 메타스플로잇의 몇 가지 취약점들에 대해 깊게 토론을 가졌다. 그리고 그는 네서스(Nessus)나 와이어샤크(WireShark) 프로토콜 분석기와 같은 다른 공격성 툴도 역시나 취약점이 있다고 이야기했다.

윅스의 말대로 이런 역공격 아이디어들에는 “의도하지 않은 결과”를 가져올 수 있다는 점에서 논쟁의 여지가 남아있다. 그래도 그는 보안 연구자로서 공격자들이 접속했을 경우 무한 스핀 사이클에 빠지도록 만드는 “타르핏츠(tarpits)”와 같은 보호 조치를 어떻게 사용할 것인가에 관심을 보였다.

그는 “여러 수단을 동원하여 해커들이 무엇을 할지 감시하는 것이 가능”하다고 이야기했다.

회사나 민간 단체에서 이런 방법으로 공격자들에게 대항하는 사례는 많지 않지만, 미국을 포함한 전 세계 군 당국에서는 보복 공격을 위한 사이버 부대 창설을 진행하고 있다. 그리고 사이버공간에서 스파이 활동을 벌이는 것에 대해 누구도 반대를 하지 않는다.

"전략적 공격 대비책 마련해야"

이런 대반란 계획이 사이버 공격의 위협을 낮출 수는 있다. 하지만 블랙햇에서는 데이터 도둑들은 여전히 회사 네트워크에 너무도 쉽게 접근할 수 있으며, 이런 일은 단순히 피싱(phishing) 이메일을 여는 것처럼 간단하게 벌어진다는 이야기가 나왔다. 보안 회사 맨디언트(Mandiant)에 따르면 데이터 도둑들은 이런 방법으로 침투하여 규칙적으로 수 개월 동안 중요한 정보들을 빼돌린다. 이들을 잡기 위해서는 굉장한 인내심이 필요하다.

맨디언트는 그들의 사건 대응 팀이 조사를 통해 얻은 몇 가지 결과를 공개하였는데, 사이버 도둑들은 한번에 치고 빠지는 것이 아니라 오랜 기간 동안 계획적으로 데이터 유출을 감행한다는 것이 드러났다. 주로 윈도우 기반 컴퓨터의 권한을 빼앗기 위해 특정 직원들에게 피싱 이메일을 보내는 방법을 사용하는 공격자들은, 가장 가치 있는 데이터를 찾기 위해 네트워크 사이를 옮겨 다닌다. 그리고는 그것들을 “대기 저장소(staging area)”에 모으기 시작한 다음 최종적으로는 RAR과 같은 압축 파일로 옮긴다.

공격자들이 네트워크에서 데이터를 빼내는 방법에 대해서도 많은 토론이 있었는데, 맨디언트 시큐리티의 컨설턴트 션 코인은 공격자들이 수 개월 동안 일을 진행한다고 이야기했다. 몇 달 동안 대부분 워드 문서로 이루어진 120GB 이상의 데이터가 수집되며, 대기 저장소에서 선별된 다음 RAR, ZIP, CAB와 같은 압축 파일로 합쳐진다.

그는 “여러 개의 작은 파일보다 하나의 큰 파일을 옮기는 것이 쉽다”고 말했다. 대부분 회사 IT 사용자들은 그들의 컴퓨터가 대기 저장소로 사용 되더라도, 갑자기 느려지는 현상을 보며 이유를 궁금해 할 뿐 공격을 감지하지 못 한다.

주로 트로얀 백도어나 포이즌 아이비(Poison Ivy)와 같은 데이터 수집 툴이 사용된다. 그러나 데이터 도둑들은 굉장한 사기꾼들이라, 침입 방지 시스템(IPS, Intrusion Protection System)이나 데이터 손실 방지(DLP, Data-Loss Prevention)와 같은 보안 수단을 회피하기 위해 자동화 공격 대신 수동적으로 많은 것을 진행한다.

맨디언트의 컨설턴트 리얀 카잔츠얀이 설명했던 한 사례에서, 피해를 입은 한 기관은 맥아피의 IPS로 RAR 파일을 감시하고 있었지만, 공격자들은 이를 알아차리고 경고 기능을 끈 다음 감시망을 피해 조작을 가했다.

코인은 “어떤 공격자들은 모든 것을 탈취해 간 다음 골라내지만, 선택적으로 빼돌리는 녀석들도 있다”고 이야기했다. 요즘 추세를 보면 데이터 도둑들은 각자의 스타일에 따라 습관적인 방법을 사용하고 있다.

조직 바깥으로 권한이 부여되지 않은 데이터 전송 시도를 감시하거나 차단하는 DLP 도구들이 정말 효과적인지에 대해서 카잔츠얀과 코인 모두 회의적인 답변을 전했다.

코인에 따르면 DLP는 기본적으로 사용자가 실수로 파일을 외부로 보내는 것을 막는 역할을 한다. 이는 표적 공격을 막기 위해 만들어진 것이 아니다. 카잔츠얀도 비슷한 의견을 표했다. 코인은 만약 데이터 도둑이 조직 내부에 침입했다고 의심이 든다면, 우선 “공황상태에 빠지지 말라”고 조언했다. 네트워크를 허둥지둥 변경하면 어떤 공격자들이라도 눈치를 채고 전략을 바꿀 것이다. 위험 부담이 있는 결정이긴 하지만, 고통스럽더라도 당분간 데이터 도둑질을 지켜보면서 공격자가 네트워크 내부에 설치해둔 것들을 조심스럽게 제거해야 한다.