보안

악성코드가 엔드포인트 보호를 우회할 수 있는 6가지 방법

Maria Korolov | CSO 2019.06.12
포네몬(Ponemon)의 2018년 엔드포인트 보안 위험 현황 보고서에 따르면, IT 보안 전문가의 63%가 지난 12개월 동안 공격 빈도가 증가했다고 답했으며, 응답자의 52%는 현실적으로 모든 공격을 저지하는 것은 불가능하다고 말했다. 안티바이러스 솔루션은 단지 공격의 43%만을 차단하고 있다. 응답자 가운데 64%는 그들이 속한 조직에서 데이터 유출을 야기한 엔드포인트 공격을 한 번 이상 경험한 적이 있다고 밝혔다. 

IT 보안 전문가 660명을 대상으로 실시한 설문조사에서 대부분의 응답자(70%)가 조직에 대한 새롭고 알려지지 않은 위협이 증가했다고 답하면서 공격으로 인한 피해 비용도 평균 500만 달러에서 710만 달러로 증가했다고 밝혔다.
 
ⓒ Getty Images Bank

그러나 거의 모든 컴퓨터에는 어떤 형태로든 보호 장치가 탑재되어 있다. 그런데 공격자들은 어떻게 늘 보안을 뚫고 들어오는 것일까. 공격자들이 엔드포인트 보호 보안을 우회하기 위해 가장 많이 사용하는 방법들은 다음과 같다. 


1. 스크립트 기반 공격

스크립트 기반 또는 "파일 없는(fileless)" 공격에서는 파워셸을 활용하거나 이미 설치된 다른 윈도우 구성 요소를 사용하기 위해 기존의 합법적인 애플리케이션에서 실행되는 스크립트가 사실 악성코드다. 새로운 소프트웨어를 설치하지 않기 때문에 많은 전통적인 방어 장치를 우회할 수 있다. 

포네몬에 따르면, 이런 유형의 공격은 성공할 가능성이 훨씬 더 높은데, 2017년에는 전체 공격의 30%에서 지난해에는 35%로 증가하는 추세에 있다. 실제 악성코드바이트의 보안 연구원인 제롬 세구라는 "스캔을 할 악성코드 바이너리가 실제로는 존재하지 않는 사례에서 보듯이 아티팩트는 거의 없을 것"이라고 말했다.

보안 시스템에 의해 수집될 수 있는 네트워크 트래픽이 있을 수는 있다. 세구라는 "그러나 공격자들은 이런 통신들을 암호화할 수 있고 데이터를 조용히 유출시키기 위해 신뢰받고 있는 통신 경로를 사용할 수 있다"고 설명했다. 

올해 초 발표된 시만텍 인터넷 보안 위협 보고서에 따르면, 악의적인 파워셸 스크립트 사용이 지난해 1,000% 증가했다. 디지털 가디언의 클라우드 서비스 보안 설계자인 나아만 하트는 "예를 들어 공격자가 베이스64로 인코딩 된 명령과 같이 사람이 읽을 수 없는 명령을 실행하는 방식으로 파워셸을 사용한다"며, ""오늘날 파워셸은 필수품이기 때문에 일반적으로 항상 이용이 가능하다"고 말했다. 

하트는 이런 종류의 공격을 포착하기 위한 핵심은 흔한 애플리케이션이 흔하지 않은 작업을 실행하는 사례를 찾는 것이라고 말했다. 하트는 "예를 들어, 실행된 환경에서 사용된 마지막 1,000개의 명령을 추적하는 경우, 5번도 실행이 안 된 명령을 찾으면 된다. 이것은 일반적으로 흔치 않은 명령으로 이어질 것이며, 이런 명령은 대개 악의적인 것들이다"고 설명했다. 


2. 유명 인프라에 위험한 사이트를 호스팅

많은 보안 플랫폼은 사용자가 악의적인 링크를 클릭하는 것을 방지함으로써 피싱 공격을 방어한다. 예를 들어, 특정 IP 주소가 다른 악성코드 활동과 연결되어 있는지를 확인할 수도 있을 것이다. 세구라는 "하지만 만약 그것을 애저나 구글 클라우드와 같은 것에 호스팅하는 경우를 가정한다면, 이들은 널리 사용되어 블랙리스트에 오를 수 없는 인프라다"고 말했다. 슬랙, 깃허브 및 기타 협업 도구를 사용해서도 방어를 우회할 수 있다.
 
악성코드가 이미 설치되었다면 C&C(Command-and-Control) 서버로 다시 통신해 다음에 수행할 작업에 대한 지침을 얻고 데이터를 유출한다. 그리고 나서 C&C 서버가 이렇게 이용되지 않았을 경우라면 합법적이었을 플랫폼에서 호스트 되는 경우, 이 통신 채널은 위장될 수 있다.

비트디펜더의 선임 전자 위협 분석가인 리비우 아르센은 "게다가 이런 서비스에는 암호화 기능이 내장되어 있다"고 말했다. 심지어 온라인 사진 공유 사이트도 공격의 일부로 사용될 수 있다. 아르센은 "공격자들은 소셜 미디어 계정을 만들고 이미지 안에 숨겨진 코드나 지시사항이 들어있는 사진을 업로드한다"면서, "그리고 나서 악성코드는 단순히 계정에 접근해 가장 최근 사진을 보고 이미지에 숨겨진 명령들을 끄집어 내어 지시를 실행한다"고 말했다.
 
IT 부서와 기업 보안 팀에게는 마치 직원이 소셜 미디어를 검색하는 것처럼 보일 것이다. 이런 경우는 잡아내기가 어렵다. 공격자가 사용자의 정상적인 행동을 모방하기 때문에 최신의 엔드포인트 보호 기술조차도 어려움을 겪을 것이다.
이를 방지하기 위해, 방어자는 비정상적인 시간에 정상적인 통신이 이뤄지는 경우나 애플리케이션이 부서에서 일반적으로 사용되지 않는 경우를 찾아내고 싶을 것이다.

스테가노그래피(Steganography)라고 하는 이미지에 명령을 숨기는 기술도 이미지 첨부에서 명령을 숨기는 데 사용될 수 있다. 이셋(ESET)은 지난 5월 마이크로소프트 익스체인지 메일 서버를 대상으로 설계된 백도어인 털라(Turla)의 라이트뉴론(LightNeuron)에 대한 보고서를 발행했다. 이셋에 따르면, 라이트뉴론은 이메일을 사용해 C&C 서버와 통신하며, PDF 또는 JPG와 같은 이미지 첨부 파일에 메시지를 숨긴다.


3. 합법적인 애플리케이션과 유틸리티 오염시키기

모든 기업은 직원이 사용하는 다양한 서드파티 애플리케이션, 도구 및 유틸리티를 보유하고 있다. 공격자가 애플리케이션을 개발하는 회사, 업그레이드 유틸리티 또는 오픈소스 프로젝트의 코드베이스에 들어가 이런 애플리케이션의 보안을 약화시키는 경우 백도어 및 기타 악성코드를 설치할 수 있다. 

아르센은 "예를 들어 컴퓨터에서 잠재적으로 원하지 않는 파일과 레지스트리 항목을 정리하는 데 사용되는 인기있는 컴퓨터 유틸리티인 클리너가 백도어로 오염되었다"고 말했다. 시만텍 인터넷 보안 위협 보고서에 따르면, 2018년 소프트웨어 공급망을 노린 공격 건수는 78% 증가했다.

시놉시스의 주요 보안 전략가인 팀 맥키는 "오픈소스 코드는 특히 취약하다"고 말했다. 첫째, 공격자는 실제로 작동하는 합법적인 버그 수정이나 소프트웨어 개선에 기여한다. 맥키는 "검토 과정을 통과하기 위해 악성코드를 가릴 수 있는 합법적인 코드가 있다"고 말했다.

만약 검토 과정이 기여의 전체 기능을 확인하지 못한다면, 이런 기여는 소프트웨어의 향후 출시에서 일부가 될 뿐이지만, 더 중요한 것은 상용 소프트웨어 패키지에 포함된 구성요소의 일부가 될 수도 있다는 점이다.

맥키는 이를 방어하기 위해 기업과 소프트웨어 개발자들은 오픈소스 코드에 대한 소프트웨어 검사를 신중하게 한 다음, 한번 발견되면 빨리 제거되거나 치료될 수 있도록 코드를 정확한 원점에 다시 매핑해야 한다고 충고했다.


4. 샌드박스 회피

차세대 엔드포인트 보호 플랫폼의 일반적인 기능 중 하나는 안전한 가상 환경 내에서 알려지지 않은 악성 프로그램이 실행되는 샌드박스다. 이것은 공격자가 시그니처 기반 방어에 의해 포착되지 않도록 악성코드를 지속적으로 수정하는 경우에 유용한 기법이다.

루시 시큐리티(Lucy Security)의 설립자인 올리버 뮌초우는 "해커도 쉽게 이런 필터를 우회할 수 있다"고 말했다. 이 악성코드를 샌드박스 밖에서 나쁜 행동만 활성화시키는 방식으로 악성코드를 작성함으로써 이 작업을 수행한다. 예를 들어 실제 사람이 그것과 상호작용할 때 또는 다른 기준이 충족될 때만 활성화될 수 있다.

예를 들어 지연이 있을 수 있다. 악성코드는 실행되기 전에 몇 시간, 며칠 또는 심지어 몇 주를 대기하면서 페이로드가 발동되기 전에 감염이 가능한 한 확산되도록 할 수 있다. 또는 악성코드는 하이퍼바이저 환경에서 실행되고 있는지를 간단히 확인할 수 있다. 

예를 들어, 시스코 탈로스(Cisco Talos)의 5월 보고서에 따르면, 재스퍼 로더(JasperLoader) 악성코드의 최신 버전은 윈도우 관리도구 WMI(Windows Management Instrumentation)의 하위 시스템을 쿼리해 실행 위치를 확인하고, 버츄얼박스 VM웨어 또는 KVM에 있는 경우 실행을 종료한다.


5. 패치되지 않은 취약점

국가안보국(NSA)이 처음 개발한 보안 도구인 이터널블루(EnternalBlue)가 2017년 온라인에 유출됐다. 그 이후로 이터널블루는 마이크로소프트가 급히 패치를 출시하기는 했지만, 영국 의료 시스템에 대한 공격, 페덱스에 대한 4억 달러 공격, 머크(Merck)에 대한 6억 7,000만 달러 공격, 그리고 기타 많은 피해자가 속출했다. 

가장 최근에는 미국 볼티모어 시가 이터널블루의 취약점을 이용한 랜섬웨어 공격을 받았다. 게다가, 공격받은 것은 볼티모어 하나가 아니다. 보안업체 이셋에 따르면, 2017년 이후 이터널블루와 관련된 공격 시도가 계속 증가해 올해 봄에 사상 최고조에 달했다. 이셋은 전 세계에서 약 100만 대의 컴퓨터가 여전히 구식이고 취약한 SMB v1 프로토콜을 사용하고 있다고 밝혔다. 포네몬에 따르면, 65%의 기관들이 계속 패치를 하는 것이 어렵거나 매우 어렵다고 응답했다.


6. 보안 장치 제거

지난 4월, 앱솔루트 시큐리티(Absolute Security)는 600만 개의 장치를 1년 동안 연구한 글로벌 보고서를 발표했다. 한 기기에는 평균적으로 10개의 보안 장치들이 있으며, 이는 아주 많은 엔드포인트 보호에 해당한다. 하지만, 기대되는 만큼 항상 효과적인 것은 아니다. 우선 보안 장치들은 서로 겹치고, 충돌하고, 간섭한다. 어느 특정 시점에서는 엔드포인트의 7%가 보호 기능을 상실하고 있으며 21%는 오래된 시스템을 가지고 있다.

최신 업데이트가 이뤄지고 완전히 효과적인 엔드포인트 보호 보안이 설치되어 있는 경우에도, 공격자가 이터널블루를 이용하는 것과 같은 발판을 마련하면 그들은 엔드포인트 보호 서비스를 무력화시키는 몇 가지 방법을 갖고 있다. BTB 시큐리티의 컨설턴트인 움베르토 가우나는 "예를 들어, 공격자는 파워셸과 같은 기존의 합법적인 애플리케이션을 사용할 수 있다"고 말했다.

가우나는 "또한 엔드포인트 보안 장치에 대한 서비스 거부 공격(DoS)을 개시해 더 이상 기능을 발휘할 수 없도록 압도하거나 제대로 구성되지 않은 보안 장치를 이용할 수 있다"고 덧붙였다. 그런 다음 공격자는 권한을 확대하기 위해 레지스트리를 변경해 엔드포인트 보호 서비스가 다시 시작 되어도 무시될 수 있도록 한다. 

가우나는 "이에 맞서 시스템을 보호하는 방법은 보다 철처한 권한 체계를 만들고, 지속적으로 패치를 하는 것이다"고 말했다. 


우회 방법을 사용하는 공격자, 확산 중 

앞서 설명한 방법들은 모두 매우 정교하다. 그래서 이런 방법은 전형적으로 국가 기반의 공격자의 공격에서 나타난다. 전에는 정말 그랬었다. 스웨덴에 본사를 둔 사이버 보안 업체 배핀 베이 네트워크(Baffin Bay Networks)의 위협 연구 책임자인 저스틴 섀턱은 "이제는 이런 우회 방법들이 훨씬 광범위한 공격자에 의해 사용되고 있다"며, "이는 정말 문제가 있다"고 말했다.

섀턱은 기술이 다소 부족한 사람들도 사용할 수 있도록 공격방법들이 다크웹에 패키지화 되어 있다고 말했다. 이 때문에 기업이 방어해야 할 정교한 공격 횟수가 늘어날 뿐 아니라 당국이 개입하기도 더욱 어려워진다. 섀턱은 "기술력이 떨어지는 사람들은 모든 위험을 감수한다. 그들은 잡히더라도, 이 능력을 패키지화해 사람들에게 전달하는 사람까지 알아내지는 못한다"고 전했다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.