보안

'누구나 해킹당할 수 있다' 파이어아이 해킹 사고와 기업이 걱정해야 하는 것

Lucian Constantin | CSO 2020.12.14
러시아의 코지 베어(Cozy Bear) 그룹이 주장하는 레드 팀(Red team)의 해킹 도구 도난은 다른 기업에 있어서는 생각보다 큰 위협이 아닐 수 있다. 하지만 진정한 교훈은 바로 ‘누구나 해킹 당할 수 있다’는 것이다. 
 
ⓒ Getty Images Bank

사이버보안 업체 파이어아이(FireEye)는 12월 8일 정부가 후원하는 정교한 공격자 그룹이 자사의 네트워크에 침입해 전문가들이 실제 공격자를 시뮬레이션하고 고객의 보안을 테스트하기 위해 개발한 도구를 훔쳤다고 발표했다. 이는 아주 걱정스러운 사건이지만, 과거에 공격 도구가 유출됐던 사례에 비춰봤을 때, 기업에 상당한 위험 증가를 초래할 가능성은 낮다. 

파이어아이는 전 세계 주요 정부와 기업 고객을 보유한 세계 최고의 사이버보안 업체 가운데 하나다. 정부가 후원하는 공격자에 대한 최고 수준의 연구와 사고 대응 능력으로 유명한 이 업체는 지난 수년 동안 정부와 기업에서 가장 두드러진 침해 사고를 조사하고 있었다. 


파이어아이, 누가 공격한 것인가? 

파이어아이 CEO 케빈 맨디아는 공개 석상에서 “최근 파이어아이는 정부 후원의 고도로 정교한 위협 행위자로부터 공격을 받았다. 이 공격은 지금까지 대응해온 수만 건의 사고와는 다르다. 공격자는 특히 파이어아이를 표적으로 삼고 공격하기 위해 세계적 수준의 능력을 맞춤화했다. 이들은 운영 보안(operational security)에 대해 고도로 훈련되어 있으며, 규율과 집중력을 갖고 실행했다. 보안 도구와 포렌식 검사에 대응하는 방법을 사용해 비밀리에 운영했다. 이들은 지금껏 보지 못했던 새로운 기술 조합을 사용했다"라고 밝혔다. 


공격자가 훔친 것은 무엇인가? 

워싱턴 포스트가 보도한 바에 따르면, 공격자는 보안 업계에서 APT29 또는 코지 베어로 알려진 러시아 SVR 해외정보국의 해킹부서로 파이어아이의 정부 고객 관련 정보를 노렸다. 파이어아이 측은 현재 사건 대응과 컨설팅 관련 계약과 관련된 고객 정보가 도난당했다는 어떤 증거도 발견하지 못했지만, 공격자는 파이어아이의 내부 레드팀 도구 일부를 입수했다고 말했다. 

레드 팀은 실제 공격을 시뮬레이션하기 위해 계약을 맺은 침투 테스터를 지칭하는 업계 용어로, 블루 팀(blue team)인 방어자와 함께 기업의 보안 조치의 강도, 대응 능력 및 잠재적 침해의 영향을 평가할 수 있다. 파이어아이에 따르면, 도난당한 도구는 네트워크 정찰을 위한 간단한 스크립트부터 메타스플로잇(Metasploit), 코발트스트라이크(CobaltStrike)와 같이 공개적으로 사용 가능한 다른 침투 테스트 도구와 유사하지만 레드 팀을 위해 특별히 개발한 첨단 공격 프레임워크에 이르기까지 다양하다. 일부 도구는 파이어아이의 오픈소스 가상머신 코만도VM(CommandoVM)의 일부로 이미 공개됐거나 기존 오픈소스 스크립트 및 패키지의 수정판이다. 

파이어아이 측은 “공격자가 훔친 레드 팀 도구에는 제로데이 공격이 포함되지 않았다. 이 도구는 전세계의 레드 팀에서 사용하는 잘 알려져 있고 문서화된 방법을 적용하고 있다. 이번 도난이 공격자의 전반적인 능력을 크게 향상시킬 것이라 생각하지는 않지만, 파이어아이는 이런 시나리오를 막기 위해 최선을 다하고 있다”라고 전했다. 

파이어아이는 오픈IOC(OpenIOC), 야라(Yara), 스노트(Snort), 클램안티바이러스(ClamAV)를 비롯한 다양하고 인기많은 오픈소스 탐지 기술에 대한 IOCs(Indicators of Compromise) 및 탐지 규칙, 그리고 서명(signatures) 등을 공개했다. 이 도구가 이용한 모든 취약점의 CVE 식별자 목록도 이 업체의 깃허브(GitHub) 계정에 게재됐다. 


파이어아이 해킹 사고와 과거 사이버공격 도구 도난 사고와의 비교 

2017년 ‘섀도우 브로커(Shadow Brokers)라는 단체가 NSA의 공격 도구를 훔친 사례나 2015년 보안 감시 소프트웨어 업체인 해킹팀(Hacking Team)의 도구 유출 사례와 같이 사이버공격 도구가 공개 유출된 이후에, 많은 공격자 그룹이 이 공격 도구들을 채택해 공격에 사용했다.
   
메타스플로잇 프로젝트를 감독하고 취약점 및 컴플라이언스 관리업체인 래피드7(Rapid7) 연구 책임자 토드 비어즐리는 “파이어아이 침해 소식을 들었을 때 가장 먼저 생각난 것은 섀도우 브로커 목록이었다. 이로 인해 워너크라이(WannaCry) 사태가 어떻게 발생했는지 다들 잘 알고 있을 것이다. 하지만 이번 사건은 NSA 도난 사건과 몇 가지 중요한 차이점이 있다. 즉, 파이어아이의 자체 진술에 따르면, 파이어아이 도구는 대부분 이미 알려진 기술과 도구에 대한 수정판으로 보인다”라고 설명했다.
  
섀도우 브로커의 유출 목록에는 이터널블루(EternalBlue) 및 이터널로맨스(EternalRomance)가 포함되어 있었다. 이는 유출 1개월 전에 마이크로소프트가 NSA의 경고를 받은 윈도우 SMB 프로토콜 취약점에 대해 무기화한 2가지 익스플로잇으로, 도난당할 당시 제로데이 상태였다. 특히 이터널블루는 2017년 주요 워너크라이 및 낫페트야(NotPetya) 랜섬웨어 웜을 강화해 전 세계 기업 네트워크에서 수십만 개의 시스템을 중단시키고 수십억 달러의 손실을 입혔다.


파이어아이 도난 사건으로 인한 위험 

비어즐리는 “공격 도구가 유출되거나 공개되더라도 이번 파이어아이의 유출로 인해 사이버 대재앙은 일어나지 않을 것이다. 오해하지 마라. 파이어아이 레드 팀 구성은 세계 최고 수준이다. 하지만 이들이 최고라고 하는 것은 공격적인 작업을 철저히 수행하고 비밀 슈퍼 도구에 의존하지 않는 방식이기 때문이다. 기업의 위험을 줄이기 위해 IT 및 보안 팀은 합당한 시간 내에 패치 롤아웃을 관리하고, IDS/IPS/방화벽에 대한 적절한 경고 인프라를 갖추고 있으며, 합리적인 방식으로 자산을 관리해야 한다는 것을 의미한다”라고 충고했다. 

사이버보안 스타트업 스테어웰(Stairwell) CEO 마이크 위아섹도 같은 의견이었다. 위아섹은 “이번 사건의 경우, 제로데이가 없다는 것이 축복이다. 공격자가 기업 내 교두보를 확보하는 데 이전보다 더 좋아진 것도, 나빠진 것도 없다는 걸 의미하기 때문이다. 즉, 최신 정보를 유지하고, 심층적인 방어를 하고, 의심스러운 이벤트를 보고하도록 사용자를 교육하는 등 사이버보안 위생이 그 어느 때보다 중요해졌다. 현재 진행중인 전염병에 대한 공중 보건 조치와 마찬가지로 이런 기본적인 조치를 통해 대부분을 보호할 수 있다”라고 말했다.
 
현재 파이어아이는 도구가 사이버공격자에 의해 유포되거나 사용됐다는 증거를 보지 못했다고 밝혔다. 그러나 현실은 이 공격 그룹이 기존 역량을 감안했을 때, 실제 이 도구가 필요하지 않다는 것이다. 파이어아이의 설명에 따르면, 공격자는 애초에 파이어아이에 침입하기 위해 전에 볼 수 없었던 기술을 조합해 개발했기 때문에 파이어아이가 가지고 있던 것과 유사한 도구를 만들 수 있었을 것이란 추측이다.
 
이전에 구글의 위협 분석 그룹을 설립하고 알파벳 크로니컬 보안 스타트업 CSO로 근무했던 위아섹은 “공격자가 다른 것을 노리고 있었을 가능성이 높고 이 도구가 편리했기 때문에 그냥 손에 넣었을 수도 있다고 생각한다. 또한 그들이 가치가 있는 것인지 알지 못한 채 나중에 분석하기 위해 가져갔을 수도 있다"라고 추측했다.
  
위아섹은 “정교한 공격자는 알려진 공격 코드를 훔치기 위해 파이어아이를 해킹할 수 있는 새로운 기술을 개발했다는 것은 말이 되지 않는다. 제프 베조스나 엘론 머스크가 총을 들고 은행을 강탈하는 것과 같다. 이런 일이 일어난다고 상상하는 것만으로도 우습다. 개인적인 의견이지만, 새로운 기술을 개발해 알려진 공격 도구를 훔치는 것은 역량의 낭비처럼 보인다. 그들이 수행한 다른 목적이 무엇인지 무척 궁금하다. 하지만 이를 알아내는 것은 불가능하며 파이어아이조차 아직 알지 못한다. 마치 박물관 도둑과 비슷하다. 누군가가 모나리자를 훔치기 위해 침입해 아마도 나가는 길에 선물 가게에서 물건을 훔친 것인지 모른다”라고 견해를 밝혔다.
  
공격자가 이런 도구를 갖는 가치는 파이어아이가 고객에게 사용하는 공격 기술에 대한 통찰력을 얻을 수 있다는 것이다. 파이어아이는 고객에게 해당 공격을 탐지하도록 가르치기 때문에 이 공격 도구가 공개된 후 위험한 것은 파이어아이 고객이 아닌 기업이다. 이들은 해당 도구를 탐지하지 못할 수 있기 때문이다. 그래서 파이어아이가 수백 개의 IOC 및 탐지 서명을 개발해 공개하기로 한 것이다. 이에 대해 많은 보안 전문가가 지금까지 파이어아이의 개방성과 전반적인 대응에 대해 박수를 보내고 있다.
 
데이터 개인정보보호 업체 빅아이디(BigID) CSO 로저 헤일은 “이런 도구의 도난으로 인해 기업의 위험이 절대적으로 증가한다. 이 도구는 탐지되지 않도록 특별히 설계됐다. 그나마 다행인 것은 파이어아이가 IOC 및 대응책을 공개적으로 발표했다는 것이다. 그러나 기업은 스스로를 보호하기 위해 보안 스택을 업데이트해야 한다. 해당 위험은 대응책이 배치될 때까지 완화되지 않으며, 그것도 도구가 수정되지 않는 한에서”라고 경고했다. 

헤일은 공격자가 파이어아이 도구와 기술을 분석하고 수정해 자신의 기술을 발전시킬 수 있다고 생각하지만, 섀도우 브로커의 유출로 인한 위험보다는 위험 수위가 낮다는 데 동의했다. 

산업 사이버보안 업체 드라고스(Dragos) CEO 로버트 리는 “워너크라이와 같은 무기화된 취약점의 수십억 달러의 위험과 이미 다른 도구를 사용하고 있는 정교한 공격자의 위험은 다르다. 이 시점에서 공격 도구와 공격자는 단지 사과와 오렌지가 매우 많은 것뿐이다”라고 비유했다.

 
파이어아이의 침해사고, 방어자에게 기회 제공 

로버트 리는 파이어아이가 발표한 대응책의 가치는 유출된 도구에 대한 탐지를 제품과 네트워크에 배포하는 보안 공급업체의 가치를 넘어서는 것이라고 평가했다. 

리는 “실제로 방어자에게는 이런 야라 규칙을 보고 드러나는 전술, 기술 및 행동에 대해 생각할 수 있는 좋은 기회다. 도구를 탐지하는 것 이상으로, 방어자에게 파이어아이의 표적화 기술에 대해 배울 수 있는 좋은 기회를 제공하기 때문이다. 따라서 이를 올바르게 수행하는 기업은 긍정적인 결과를 산출할 수도 있다. 시야를 조금 더 넓혀 파이어아이 도구 세트 이상을 생각한다면 더 광범위한 공격자에 대한 좋은 탐지 아이디어를 찾을 수 있을 것이다”라고 설명했다. 

또한 “공격자가 원할 경우, 탐지 서명을 회피하기 위해 유출된 도구를 수정하는 것은 그리 어렵지 않을 것이기 때문에 대신 사용되는 기법을 탐지하는 것이 더 유용할 수 있다. 그렇기는 하지만, 모든 기업이 이렇게 심층 분석을 수행하고, 이를 방어 강화를 위한 내부 프로젝트로 전환할 만한 역량을 가진 보안팀을 보유하고 있는 것은 아니다. 하지만 아마도 잘 될 것이다. 왜냐하면 닫아야 할 시급한 구멍이 있기 때문이다”라고 예상했다.
 
리는 “만약 중소기업이거나 기업에 정교한 보안 팀이 없다면, 이것이 왜 최우선 순위인지 모를 수 있다. 최근 마이크로소프트의 취약점이 많이 공개됐기 때문에 연말 휴가에 들어가기 전에 이런 취약점이 더 중요할 수도 있다. 하지만 이것이 가장 중요하다고 생각하는가? 아니다. 조금이라도 여유가 있다면 여기에 집중해야 할 좋은 기회다. 그렇지 않으면 모든 주요 보안 공급업체가 이런 탐지 기능을 자사의 제품에 추가할 것이다”라고 말했다. 

위아섹은 “파이어아이와 FBI의 발언을 생각해보면, 이런 유형의 공격자는 공개한 지표 정도는 사소하게 회피할 수 있다는 것은 확실하다. 하지만 완벽한 사람은 없으며 이런 가설 때문에 악의적인 활동을 탐지할 수 있는 기회를 무시해서는 안된다”라고 덧붙였다. 


파이어아이 침해 사고의 가장 큰 교훈, 누구나 해킹당할 수 있다 

정교한 공격자에 의해 해킹 당한 사이버보안 업체는 이번이 처음이 아니다. 과거 사례로 카스퍼스키랩(Kaspersky Lab), 비트9(Bit9), 어베스트(Avast)에 대한 공격이 있다. 그리고 일반 기업의 방어자에게는 보안 세계에서 최고 수준에 있는 사람들조차 해킹 당하는 것을 보는 것이 실망스러울 수 있다. 결국 이 최고들조차 이런 일을 당했다면 우리는 어떻게 할 것인가?

기업 네트워크와 같은 복잡한 환경을 다룰 때, 뚫을 수 없는 방어라는 것은 없다는 것을 기억해야 한다. 충분히 의욕적이고 자원이 풍부한 공격자는 결국 뚫을 방법을 찾을 것이다. 현대 보안 프로그램의 목표는 위험을 제거하는 것이 아니라 최소화하고 관리하는 것이며, 보안 전문가는 해킹 당할 경우가 아니라 언제 해킹을 당하느냐가 문제가 될 것인지에 대한 질문을 듣는 것이 일반적이다. 중요한 것은 이런 사고를 최대한 효율적으로 기업에 미치는 영향을 최소화하면서 처리할 수 있도록 준비하는 것이다. 

리는 “파이어아이에게는 안쓰러운 일이지만, 이는 한편으로는 좋은 이야기일 수 있다. 민간 기업이라도 거의 실시간으로 국가 수준의 적을 탐지하고 대응할 수 있음을 보여주기 때문이다. 침해 당한지 1년 후에 그 사실을 발견한 것보다 매우 좋은 일이다. 그들은 침입을 당했고, 거의 즉시 탐지했으며, 올바르게 대응했기 때문에 충격을 크게 줄일 수 있었다. 실제로 정보 보안 전문가란 바로 이런 일을 하는 것이다. 예방뿐만 아니라 탐지 및 대응도 전체적인 탄력성(resilience)을 증가시킨다. 이번 사건이 처음 단계에서 충격적으로 보일 수 있지만, 이를 받아들이고 자사의 보안 프로그램으로 무엇을 할 수 있는지 생각해 볼 기회를 가졌으면 한다”라고 의견을 제시했다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.